導語：如何才能寫好一篇防火墻技術(shù)的基本原理，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：VOIP；防火墻；STUN；入侵防護系統(tǒng)

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)32-1091-02

Reserch and Implementation of Security Technologies on VOIP System

ZHAO Jing

(Department of Computer and Electronics Engineering,University of Shanghai for Science and Technology,Shanghai 200093,China)

Abstract: In this article an analysis is made of the existing security concerns in VOIP system,then a series of methods and technologies are provided to protect VOIP application.In this way,the security of VOIP system will be enhanced.

Key words: VOIP; firewall; STUN; IPS

1 引言

VoIP也稱為網(wǎng)絡(luò)電話，它是在IP網(wǎng)絡(luò)上通過TCP/IP協(xié)議實現(xiàn)的一種語音應(yīng)用，這種應(yīng)用包括PC對PC連接、PC對電話連接、電話對電話連接等。目前，全球市場包括中國已有相當大的一部分語音業(yè)務(wù)通過IP來傳送，隨著VoIP的廣泛普及和應(yīng)用，加強VoIP系統(tǒng)的安全性顯得日益緊迫。

2 VoIP基本原理及技術(shù)

IP電話是建立在IP技術(shù)上的分組化、數(shù)字化傳輸技術(shù),它將普通電話的模擬信號轉(zhuǎn)換成可以在因特網(wǎng)上傳送的IP數(shù)據(jù)包，同時也將收到的IP數(shù)據(jù)包轉(zhuǎn)換成聲音的模擬電信號，其基本原理是：通過語音壓縮算法對語音數(shù)據(jù)進行壓縮編碼處理，然后把這些語音數(shù)據(jù)按IP等相關(guān)協(xié)議進行打包，經(jīng)過IP網(wǎng)絡(luò)把數(shù)據(jù)包傳輸?shù)侥康亩?，再把這些語音數(shù)據(jù)包組裝起來，經(jīng)過解碼解壓處理后，恢復成原來的語音信號，從而達到由IP網(wǎng)絡(luò)傳送語音的目的。

3 VoIP系統(tǒng)面臨的安全威脅

下面分析一下VOIP系統(tǒng)可能面臨的安全威脅，大致可以分為以下幾類。

3.1 常規(guī)威脅

由于VoIP基于可同時承載語音、數(shù)據(jù)等的統(tǒng)一IP網(wǎng)絡(luò)架構(gòu)，語音和數(shù)據(jù)網(wǎng)絡(luò)的融合增加了網(wǎng)絡(luò)被攻擊的風險，對數(shù)據(jù)網(wǎng)絡(luò)的各種攻擊手段都會出現(xiàn)在語音和數(shù)據(jù)融合的網(wǎng)絡(luò)中。

3.2 VoIP特有的安全威脅

除了會遭遇上述的威脅外，VoIP系統(tǒng)還會遭遇以下這些與語音有關(guān)的主要威脅：

1） 產(chǎn)品本身易受攻擊：VoIP基礎(chǔ)設(shè)施需要添加專用交換機系統(tǒng)、網(wǎng)關(guān)、、注冊和定位服務(wù)器以及撥打到IP骨干網(wǎng)的電話，對數(shù)據(jù)通信的攻擊可通過IP語音基礎(chǔ)設(shè)施進行。

2） 相關(guān)協(xié)議實現(xiàn)的漏洞：VoIP涉及大量協(xié)議，如SIP、H.323、MGCP等，這些復雜的協(xié)議會由于軟件實現(xiàn)中的缺陷或錯誤而留下漏洞。

3） 信令協(xié)議篡改：惡意用戶可以監(jiān)控和篡改建立呼叫后傳輸?shù)臄?shù)據(jù)包。

4） IP電話被盜打：通過竊取使用者IP電話的登錄密碼能夠獲得話機的權(quán)限。

5） 流媒體偵聽：VOIP存在通過對IP電話之間的RTP語音流竊取并重放的問題。

6） 呼叫黑洞：指未授權(quán)的拒絕通過VoIP傳輸，從而結(jié)束或阻止正在進行的信息交流。

4 可以采用的主要安全技術(shù)

在分析了VoIP系統(tǒng)可能受到的安全威脅之后,可以認識到加強VoIP系統(tǒng)安全的必要性和復雜性，可以采用下面介紹的這些主要技術(shù)和措施來保障VoIP系統(tǒng)的安全運行。

4.1 防火墻技術(shù)

傳統(tǒng)防火墻其自身的特性對VoIP的部署是一個障礙，因為它丟棄所有從外到內(nèi)未開放端口的連接請求，而VoIP采用動態(tài)端口傳輸語音和視頻，若防火墻開放全部端口，意味著防火墻形同虛設(shè)；另外VoIP要求因特網(wǎng)上基于IP的資源是可預測、靜態(tài)可用的，因而當防火墻利用NAT技術(shù)時，要使VoIP有效通過防火墻會較困難，因而必須采用一些新技術(shù)。

4.1.1 語音感知應(yīng)用層網(wǎng)關(guān)（ALG）

應(yīng)用層網(wǎng)關(guān)被設(shè)計成能夠識別指定的協(xié)議（如H.323、SIP或MGCP等），它不是簡單地察看包頭信息來決定數(shù)據(jù)包是否可以通過，而是更深層的分析數(shù)據(jù)包載荷內(nèi)的數(shù)據(jù)，也就是應(yīng)用層的數(shù)據(jù)。采用這種技術(shù)可以使網(wǎng)絡(luò)能夠動態(tài)開放和關(guān)閉防火墻端口。

4.1.2 STUN (Simple Traversal of UDP Through NAT)

STUN是一種UDP流協(xié)議穿透NAT的協(xié)議，其解決NAT問題的思路如下：私網(wǎng)接入用戶通過某種機制預先得到其地址對應(yīng)在出口NAT上的對外地址，然后直接填寫出口NAT上的對外地址，而不是私網(wǎng)內(nèi)用戶的私有IP地址，這樣報文負載中的內(nèi)容在經(jīng)過NAT時就無需被修改了，只需按普通NAT流程轉(zhuǎn)換報文頭的IP地址即可，而此時負載中的IP地址信息和報文頭地址信息是一致的。

4.1.3 TURN（Traversal Using Relay NAT）

TURN方式解決NAT問題的思路與STUN相似，采用TURN Server的地址和端口作為客戶端對外的接收地址和端口，即私網(wǎng)用戶發(fā)出的報文都要經(jīng)過TURN Server進行Relay轉(zhuǎn)發(fā)。這種應(yīng)用方式除了具有STUN方式的優(yōu)點外，還解決了STUN無法穿透對稱NAT的問題

4.1.4 深度包檢測技術(shù)

深度包檢測技術(shù)以基于指紋匹配、啟發(fā)式技術(shù)、異常檢測以及統(tǒng)計學分析等技術(shù)的規(guī)則集，決定如何處理數(shù)據(jù)包。通常深度包檢測技術(shù)深入檢查通過防火墻的每個數(shù)據(jù)包及其應(yīng)用載荷，因為很多惡意行為可能隱藏在數(shù)據(jù)載荷中。

4.1.5 會話邊界控制器（SBC）

SBC可以被看作支持VoIP的防火墻，它還可以修改IP包的包頭，使IP包能夠順利通過網(wǎng)絡(luò)邊緣設(shè)備。SBC是一種“可識別應(yīng)用層”的設(shè)備，可以識別第五層和第七層的消息，并且還可以處理第五層的眾多會話信令協(xié)議，修改數(shù)據(jù)包頭的地址，從而實現(xiàn)“遠端防火墻穿越”。同時SBC可以通過對會話數(shù)目的限制，實現(xiàn)應(yīng)用層防DOS攻擊。

4.2 虛擬局域網(wǎng)（VLAN）技術(shù)

讓語音和數(shù)據(jù)在不同的虛擬局域網(wǎng)上傳輸，把所有的VoIP電話放在單獨的虛擬局域網(wǎng)上，并且使用不可路由的RFC 1918地址。防止VLAN間進行通信可緩解竊聽電話的現(xiàn)象，還可為VoIP虛擬局域網(wǎng)賦予較高優(yōu)先級。

4.3 加密技術(shù)

可以使用加密技術(shù)比如IPsec來保持VoIP的安全，加密還可以挫敗需要對基礎(chǔ)設(shè)施獲得物理訪問權(quán)的其他類型的攻擊。

4.4 入侵防護系統(tǒng)（IPS）

IPS可以緩解從內(nèi)部發(fā)動攻擊這個問題。例如，利用SIP發(fā)送大量的“注冊”請求會導致服務(wù)器無力處理請求，而如果IPS能夠理解SIP，就可以檢測這些攻擊。

4.5 加強操作系統(tǒng)安全

支持VoIP的服務(wù)器一般運行在Linux、Windows等操作系統(tǒng)上，而這些操作系統(tǒng)又有著不同的漏洞和補丁需要完善。VoIP設(shè)備一般都放在機房內(nèi)獨立運行，不需要人為干預，但是這些設(shè)備出廠的時候，如果沒有打上最新的補丁，就需要網(wǎng)管維護部門不斷跟蹤最新的安全信息或者和設(shè)備廠商保持聯(lián)系，為這些骨干設(shè)備升級操作系統(tǒng)，避免遭到黑客的攻擊，另外還要認真限制對它們的訪問。

5 結(jié)束語

本文對VOIP應(yīng)用過程中存在的主要安全威脅進行了研究和分析,并且針對這些安全威脅提出了一系列的解決方法和技術(shù),通過對這些技術(shù)的合理應(yīng)用可以極大的增強VOIP應(yīng)用的安全性。

參考文獻：

[1] Rosenberg J, Schulzrinne H, Camarillo G,et al. SIP:Session initiation protocol[EB/OL][S.L].IETF,2002,6.

[2] Lippmann R P,Cunningham R K.Improving Intrusion Detection Performance Using Keyword Selection and Neural puter Networks-the International Journal of Computer and Telecommunica- tions Networking,2000,34(4):597-603

篇2

關(guān)鍵詞:防火墻;過濾包;控制列表;組網(wǎng)

中圖分類號:TP393.02文獻標識碼:A

文章編號:1004-373X(2009)20-082-03

Achievement of ACL/Packet Filtering Skill Based on Accessing of Port Adduction

FENG Naiguang1,CHENG Xi2

(1.Sichuan Radio and TV University,Chengdu,610073,China;2.Anqing TV University,Anqing,246003,China)

Abstract:The purpose of this article is to do research on the skills of setting and achievement of the network firewall,which is to build the firewall in the control list with filtrating skill while accessing the port.The result comes out to be effectively controlling access of the outer network to the inner server through particular users.Meanwhile,the inner network could only access the outer network through the particular mainframe.The conclusion is that the firewall has increased its ability a lot to quarantine the virus with building this firewall with the above skill.This leads to the result that only very few inner users get virus attack,which shows that it has much stronger ability to quarantine the virus than the ordinary firewall.

Keywords:firewall;packet filtering;control lists;network construction

0 引 言

Internet的發(fā)展為政府結(jié)構(gòu)、企事業(yè)單位帶來了革命性的改革和開放。他們正努力利用Internet提高辦事效率和市場反應(yīng)速度,以便更具競爭力。但隨之帶來的負面效應(yīng)之一是數(shù)據(jù)在傳輸過程中可能存在不安全的因素。網(wǎng)絡(luò)安全成為當今最熱門的話題之一,很多企、事業(yè)單位為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展,防火墻也逐漸被大眾所接受。這里研究的是防火墻中核心技術(shù)的實現(xiàn),即組網(wǎng)配置中防火墻設(shè)計技術(shù)的實現(xiàn)。

1 防火墻及ACL/包過濾技術(shù)簡介

1.1 防火墻的的概念、分類及功能

簡單地說,防火墻的作用是在保護一個網(wǎng)絡(luò)免受“不信任”網(wǎng)絡(luò)的攻擊的同時,保證兩個網(wǎng)絡(luò)之間可以進行合法的通信。防火墻應(yīng)該具有如下基本特征:經(jīng)過防火墻保護的網(wǎng)絡(luò)之間的通信必須都經(jīng)過防火墻。只有經(jīng)過各種配置策略驗證過的合法數(shù)據(jù)包才可以通過防火墻。防火墻本身必須具有很強的抗攻擊、滲透能力?，F(xiàn)代的防火墻體系不僅是一個“入口的屏障”,而且是幾個網(wǎng)絡(luò)的接入控制點,所有經(jīng)過被防火墻保護的網(wǎng)絡(luò)的數(shù)據(jù)流都應(yīng)該首先經(jīng)過防火墻,形成一個信息進入的關(guān)口。因此防火墻不但可以保護內(nèi)部網(wǎng)絡(luò)在Internet中的安全,同時還可以保護若干主機在一個內(nèi)部網(wǎng)絡(luò)中的安全。在每一個被防火墻分割的網(wǎng)絡(luò)中,所有的計算機之間是被認為“可信任的”,它們之間的通信不受防火墻的干涉。而在各個被防火墻分割的網(wǎng)絡(luò)之間,必須按照防火墻規(guī)定的“策略”進行互相的訪問。現(xiàn)在的許多防火墻同時還具有一些其他特點,如進行身份鑒別,對信息進行安全(加密)處理等。

防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型,但總體來講可分為兩大類,即包過濾和應(yīng)用。包過濾(Packet Filtering),作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。應(yīng)用(Application Proxy),也叫應(yīng)用網(wǎng)關(guān)(Application Gateway),它作用在應(yīng)用層,其特點是完全“阻隔”了網(wǎng)絡(luò)通信流,通過對每種應(yīng)用服務(wù)編制專門的程序,實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際應(yīng)用中的網(wǎng)關(guān)通常由專用工作站實現(xiàn)。

1.2 ACL/包過濾概念

ACL(Access Control Lists,存取控制列表)是一套與文件相關(guān)的用戶、組和模式項,此文件為所有可能的用戶ID或組ID組合指定了權(quán)限。ACL初期僅在路由器上支持,目前已經(jīng)擴展到三層交換機,部分最新的二層交換機如2950等也開始提供ACL支持。只不過支持的特性不是那么完善而已。在其他廠商的路由器或多層交換機上也提供類似的技術(shù),不過名稱和配置方式都可能有細微的差別。

ACL的基本原理是使用包過濾技術(shù),在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等,根據(jù)預先定義好的規(guī)則對包進行過濾,從而達到訪問控制的目的。ACL的主要功能就是一方面保護資源節(jié)點,阻止非法用戶對資源節(jié)點的訪問,另一方面限制特定的用戶節(jié)點所能具備的訪問權(quán)限。

ACL/包過濾應(yīng)用在路由器中,就為路由器增加了對數(shù)據(jù)包的過濾功能。ACL/包過濾實現(xiàn)對IP數(shù)據(jù)包的過濾,對路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取數(shù)據(jù)包的包頭信息,包括IP層所承載的上層協(xié)議的協(xié)議號,數(shù)據(jù)包的源地址、目的地址、源端口和目的端口等,然后和設(shè)定的ACL 規(guī)則進行比較,根據(jù)比較的結(jié)果決定對數(shù)據(jù)包進行轉(zhuǎn)發(fā)或者丟棄。

1.3 基于接口的ACL/包過濾技術(shù)

對路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取包頭信息,然后和設(shè)定的規(guī)則進行比較,根據(jù)比較的結(jié)果對數(shù)據(jù)包進行轉(zhuǎn)發(fā)或者丟棄。而實現(xiàn)包過濾的核心技術(shù)是訪問控制列表(見圖1)。

圖1 ACL/包過濾工作過程

包過濾技術(shù)主要是設(shè)定一定的規(guī)則,控制數(shù)據(jù)包。路由器會根據(jù)設(shè)定的規(guī)則和數(shù)據(jù)包的包頭信息比較,來決定是否允許這個數(shù)據(jù)包通過。

實現(xiàn)包過濾技術(shù)最核心內(nèi)容就是訪問控制列表。使用訪問控制列表的目的主要是拒絕某些不希望的訪問。此外訪問控制列表具有區(qū)分數(shù)據(jù)包的能力。

訪問控制列表按照數(shù)據(jù)包的特點,規(guī)定了一些規(guī)則,見圖2。這些規(guī)則描述了具有一定特點的數(shù)據(jù)包,并且規(guī)定它們是被“允許”的還是被“禁止”的。這些規(guī)則的定義是按照數(shù)據(jù)包包頭的特點定義的,例如可以這樣定義:允許202.38.0.0/16網(wǎng)段的主機可以使用協(xié)議HTTP 訪問129.10.10.1。禁止從202.110.0.0/16網(wǎng)段的所有訪問。

圖2 基于接口的訪問控制列表規(guī)則

訪問控制列表就可以提供這樣的功能,它按照數(shù)據(jù)包的特點,規(guī)定了一些規(guī)則。

這些規(guī)則描述具有一定特點的數(shù)據(jù)包(例如所有源地址是202.10.10.0 地址段的數(shù)據(jù)包、所有使用 Telnet 訪問的數(shù)據(jù)包等),并且規(guī)定它們是被“允許”的還是被“禁止”的。

這樣可以將訪問控制列表規(guī)則應(yīng)用到路由器的接口,阻止一些非法的訪問,同時并不影響合法用戶的訪問。訪問控制列表提供了一種區(qū)分數(shù)據(jù)包種類的手段,它把各種數(shù)據(jù)包按照各自的特點區(qū)分成各種不同的種類,達到控制用戶訪問的目的。

用戶可以通過 Internet 和外部網(wǎng)絡(luò)進行聯(lián)系,網(wǎng)絡(luò)管理員都面臨著一個問題,就是如何拒絕一些不希望的連接,同時又要保證合法用戶進行的訪問。

為了達到這樣的效果,需要有一定的規(guī)則來定義哪些數(shù)據(jù)包是“合法”的(或者是可以允許訪問),哪些是“非法”的(或者是禁止訪問)。這些規(guī)則就是訪問控制列表。

由于訪問控制列表具有區(qū)分數(shù)據(jù)包的功能,因此,訪問控制列表可以控制“什么樣的數(shù)據(jù)包”,可以做什么樣的事情。

例如,當企業(yè)內(nèi)部網(wǎng)通過撥號方式訪問 Internet,如果不希望所有的用戶都可以撥號上網(wǎng),就可以利用控制列表決定哪些主機可以觸發(fā)撥號,以達到訪問 Internet 的目的。

利用訪問控制列表可以控制數(shù)據(jù)包的觸發(fā)撥號,同樣在IPSec(是一套用來通過公共IP網(wǎng)絡(luò)進行安全通訊的協(xié)議格式,它包括數(shù)據(jù)格式協(xié)議、密鑰交換和加密算法等)、地址轉(zhuǎn)換等應(yīng)用中,可以利用控制列表描述什么樣的數(shù)據(jù)包可以加密,什么樣的數(shù)據(jù)包可以地址轉(zhuǎn)換等。

2 包過濾防火墻配置原理及配置實例

2.1 包過濾防火墻配置原理

包過濾防火墻的配置包括:允許或禁止防火墻;設(shè)置防火墻缺省過濾方式;設(shè)置包過濾防火墻分片報文檢測開關(guān);配置分片報文檢測的上、下門限值;在接口上應(yīng)用訪問控制列表,使能或禁止包過濾防火墻,并在系統(tǒng)視圖下進行配置,如表1所示。

表1 配置命令

操作命令

使能包過濾防火墻Firewall packet-filter enable

禁止包過濾防火墻Undo firewall packet-filter enable

系統(tǒng)缺省情況下,使能包過濾防火墻。

2.2 基于接口的ACL/包過濾防火墻典型配置實例

2.2.1 組網(wǎng)需求

以下通過一個公司配置防火墻的實例來說明防火墻的配置。

該公司通過一臺 Quidway 安全網(wǎng)關(guān)的接口Ethernet1/0/0 訪問Internet,安全網(wǎng)關(guān)與內(nèi)部網(wǎng)通過以太網(wǎng)接口Ethernet0/0/0 連接。公司內(nèi)部對外提供WWW,FTP和Telnet服務(wù),公司內(nèi)部子網(wǎng)為129.38.1.0,其中,內(nèi)部FTP 服務(wù)器地址為129.38.1.1,內(nèi)部Telnet 服務(wù)器地址為129.38.1.2,內(nèi)部WWW服務(wù)器地址為129.38.1.3,公司對外地址為202.38.160.1。在安全網(wǎng)關(guān)上配置了地址轉(zhuǎn)換,這樣內(nèi)部PC 機可以訪問Internet,外部PC 可以訪問內(nèi)部服務(wù)器。通過配置防火墻,希望實現(xiàn)以下要求:

(1) 外部網(wǎng)絡(luò)只有特定用戶可以訪問內(nèi)部服務(wù)器;

(2) 內(nèi)部網(wǎng)絡(luò)只有特定主機可以訪問外部網(wǎng)絡(luò)。

現(xiàn)假定外部特定用戶的 IP 地址為202.39.2.3。

2.2.2 組網(wǎng)圖

圖3為該包過濾防火墻組網(wǎng)配置圖。

圖3 包過濾防火墻組網(wǎng)配置圖

2.2.3 配置步驟

第一步:在安全網(wǎng)關(guān)Quidway 上允許防火墻。

[Quidway] firewall packet-filter enable

第二步:設(shè)置防火墻缺省過濾方式為允許包通過。

[Quidway] firewall packet-filter default permit

第三步:創(chuàng)建訪問控制列表3001。

[Quidway] ACL number 3001

第四步:配置規(guī)則允許特定主機訪問外部網(wǎng),允許內(nèi)部服務(wù)器訪問外部網(wǎng)。

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.4 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.1 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.2 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.3 0

[Quidway-ACL-adv-3001] rule deny ip

第五步:創(chuàng)建訪問控制列表3002。

[Quidway] ACL number 3002

第六步: 配置規(guī)則允許特定用戶從外部網(wǎng)訪問內(nèi)部服務(wù)器。

[Quidway-ACL-adv-3002] rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

第七步:配置規(guī)則允許特定用戶從外部網(wǎng)取得數(shù)據(jù)(只允許端口大于1024 的包)。

[Quidway-ACL-adv-3002] rule permit tcp destination 202.38.160.1 0

destination-port gt 1024

第八步:將規(guī)則3001 作用于從接口Ethernet0/0/0 進入的包。

[Quidway-Ethernet0/0/0] firewall packet-filter 3001 inbound

最后將規(guī)則3002 作用于從接口Ethernet1/0/0 進入的包。

[Quidway-Ethernet1/0/0] firewall packet-filter 3002 inbound

通過上述方法配置防火墻后,完全能達到外部網(wǎng)絡(luò)只有特定用戶可以訪問內(nèi)部服務(wù)器。內(nèi)部網(wǎng)絡(luò)只有特定主機可以訪問外部網(wǎng)絡(luò)的要求,并能有效識別欺詐型的IP地址。在實際應(yīng)用過程中,該防火墻運行穩(wěn)定,成本低廉,堵塞情況少,能對多數(shù)黑客攻擊進行有效隔離。

3 結(jié) 語

隨著網(wǎng)絡(luò)應(yīng)用的增加,對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。

另外,由于網(wǎng)絡(luò)多媒體應(yīng)用越來越普遍,它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。因此為了使防火墻在接口處不造成數(shù)據(jù)堵塞,可使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流,比起ACL/包過濾的防火墻具有更好的性能,但成本較高,不利于普及。從執(zhí)行速度的角度看來,基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎,從而減輕了CPU的負擔,該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

參考文獻

[1]張玉芳,熊忠陽,賴芳,等.IPv6下基于病毒過濾防火墻的設(shè)計與實現(xiàn)[J].計算機科學,2009(4):108-111.

[2]劉鵬遠.Windows平臺通用個人防火墻的分析與設(shè)計[J].計算機工程,2009(6):114-116,119.

[3]劉益洪,陳林.基于防火墻的網(wǎng)絡(luò)安全技術(shù)分析[J].通信工程, 2008(6):136-138.

[4]鐘樂海.網(wǎng)絡(luò)安全技術(shù)[M].北京:電子工業(yè)出版社,2007.

[5]王永彪,徐凱聲.用包過濾技術(shù)實現(xiàn)個人防火墻[J].計算機安全,2005(5):21-22,26.

[6]劉建偉.聯(lián)動型網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與實現(xiàn)[J].科學技術(shù)與工程,2009(3):1 614-1 616.

[7]張連銀.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].科技資訊,2007(9):188-190.

[8]唐成華,胡昌振,崔中杰.基于域的網(wǎng)絡(luò)安全策略研究[J].計算機工程,2007(9):131-133.

篇3

關(guān)鍵詞：計算機網(wǎng)絡(luò)；實驗；方案

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）02-0271-02

1 概述

教學定位：計算機網(wǎng)絡(luò)定位為高等學校計算機核心基礎(chǔ)課程，其教學目標是：使學生掌握計算機網(wǎng)絡(luò)基本知識，了解計算機網(wǎng)絡(luò)基本組成，掌握基本的網(wǎng)絡(luò)管理和計算機系統(tǒng)安全設(shè)置方法，以及利用互聯(lián)網(wǎng)進行信息獲取、信息等各種網(wǎng)絡(luò)應(yīng)用及開發(fā)能力。

課程實施方案總體設(shè)計思想，學校的層次不同，學生專業(yè)不同，人才培養(yǎng)目標不同，課程教學內(nèi)容、教學要求和教學目標也不相同。因此，計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用課程應(yīng)有不同的實施方案?？梢詮牟煌嵌仍O(shè)計實施方案，例如：按學科劃分、按課程內(nèi)容劃分等。對于“計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用”課程，采用基于內(nèi)容的實施方案設(shè)計方法，可以初步分成如下兩大類：

1）以計算機網(wǎng)絡(luò)原理和技術(shù)講解為主的課程教學實施方案

主要內(nèi)容：計算機網(wǎng)絡(luò)技術(shù)基礎(chǔ)知識，網(wǎng)絡(luò)模擬與網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)設(shè)備的功能、組成及基本原理，網(wǎng)絡(luò)管理，網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)應(yīng)用開發(fā)等。

該實施方案主要針對重點高校的理工類學生，全面培養(yǎng)學生計算機網(wǎng)絡(luò)技術(shù)的理解，提高計算機網(wǎng)絡(luò)的應(yīng)用水平，初步培養(yǎng)簡單的網(wǎng)絡(luò)應(yīng)用開發(fā)能力。

2）以計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用講解為主的課程教學實施方案

主要內(nèi)容：計算機網(wǎng)絡(luò)基本概念，網(wǎng)絡(luò)硬件基本功能、簡單原理，計算機網(wǎng)絡(luò)操作系統(tǒng)的簡單配置，網(wǎng)絡(luò)服務(wù)的應(yīng)用，Internet應(yīng)用以及計算機系統(tǒng)安全等方面。

該實施方案主要針對重點高校文科類學生、一般院校理工類學生、文科類學生，全面培養(yǎng)學生的計算機網(wǎng)絡(luò)知識和計算機網(wǎng)絡(luò)應(yīng)用能力，特別是互聯(lián)網(wǎng)應(yīng)用能力。

2 教學內(nèi)容的組織方式

對于計算機相關(guān)專業(yè)的計算機網(wǎng)絡(luò)課程，最常用的內(nèi)容組織方式是采用基于OSI七層模型的方式分層講解。從內(nèi)容的性質(zhì)和認知順序看，將知識單元組織成不同的知識模塊，知識模塊又可以分為基本原理、基本技能、網(wǎng)絡(luò)協(xié)議三個認知層次，從而為課程內(nèi)容簡歷一個清晰的知識框架。

3 實驗教學設(shè)計

計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用是一門實踐性很強的課程，在日常的工作和生活中有著非常廣泛的應(yīng)用。因此，實踐教學除了要對課程的理論知識進行應(yīng)用驗證外，還將選擇大量實際中有可能遇到問題，特別是難點問題進行講解，從而提高學生解決問題的能力。

3.1實驗內(nèi)容基本要求

對于課程內(nèi)容的所涉及到的知識點，安排相應(yīng)的實驗驗證所學的理論知識，關(guān)于計算機網(wǎng)絡(luò)及應(yīng)用課程中的實驗設(shè)計，對應(yīng)的實驗內(nèi)容和基本要求如表1所示。

3.2實驗項目設(shè)計

實驗名稱：簡潔明了的反映實驗的核心內(nèi)容

實驗?zāi)康模簩嶒烆A期達到的目標。采用了解/理解，掌握/會等詞匯分條描述，也可用深入理解，熟練掌握等用詞對目的進行強調(diào)。

實驗類型：分為驗證型、綜合型、探究型三種類型

實驗內(nèi)容：實驗的具體內(nèi)容，分條描述

實驗條件：實驗所需的硬件設(shè)備、軟件系統(tǒng)、網(wǎng)絡(luò)環(huán)境

實驗分析：給出設(shè)計該實驗的出發(fā)點，問題分析，解題思路，實驗難點分析等。

實驗步驟：操作步驟和程序關(guān)鍵代碼

實驗拓展：在本實驗的基礎(chǔ)上的應(yīng)用能力拓展，給出一個或幾個待解決的問題，培養(yǎng)學生知識的靈活應(yīng)用和遷移能力。

同時，還應(yīng)該根據(jù)實驗的實際情況，形式可分為單人實驗、小組實驗和教師演示實驗。

3.3實驗教學大綱

計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用實驗分成3個實驗單元，每個實驗單元包含若干實驗項目，在項目設(shè)計和選取上遵循以下三條原則：

1） 結(jié)合理論教學，實驗項目應(yīng)該能夠反映和驗證課程所講授的主要知識點，以加深學生對理論教學內(nèi)容的理解，實現(xiàn)從原理到應(yīng)用的知識遷移。

篇4

關(guān)鍵詞：計算機網(wǎng)絡(luò)；信息；安全

中圖分類號：TP393.08文獻標識碼：A文章編號：1007-9599 (2010) 16-0000-01

To Enhance Computer Network Information Security Measures

Chen Xin

(Shandong Tengzhou City People's Hospital,Tengzhou277500,China)

Abstract:Based on the information security of computer network, analysis of main factors,from the vulnerability scanning,intrusion detection,firewall and data encryption,and so on,to enhance computer network information security measures.

Keywords:Computer network;Information;Security

隨著科技信息的高速發(fā)展，計算機網(wǎng)絡(luò)得到了廣泛的應(yīng)用。然而，計算機網(wǎng)絡(luò)分布范圍廣，具有體系開放的特點。同時，由于網(wǎng)絡(luò)的脆弱性和復雜性，容易受到入侵者的攻擊。計算機網(wǎng)絡(luò)的安全防護面臨著嚴重的威脅。因此，為了維護計算機、服務(wù)器和局域網(wǎng)資源的信息安全，我們必須建立一套計算機網(wǎng)絡(luò)安全管理系統(tǒng)，保證網(wǎng)絡(luò)信息的保密性、完整性和可用性。

一、影響計算機網(wǎng)絡(luò)信息安全的主要因素

（一）系統(tǒng)漏洞。目前許多流行的操作系統(tǒng)如U-nix服務(wù)器、NT服務(wù)器及Windows桌面PC等都多多少少的存在一些網(wǎng)絡(luò)安全漏洞。這些漏洞的潛在隱患為黑客攻擊提供了渠道，一旦這些漏洞依靠互聯(lián)網(wǎng)廣泛傳播，則會成為整個網(wǎng)絡(luò)系統(tǒng)受攻擊的首選目標和薄弱環(huán)節(jié)。

（二）計算機病毒。計算機病毒是能實現(xiàn)自我復制并影響計算機使用的一組計算機指令或程序代碼。它在計算機程序運行中進行編制或插入，從而破壞計算機功能或者破壞數(shù)據(jù)，輕則減慢計算機運行速度，重則導致系統(tǒng)癱瘓、硬件損壞。

（三）黑客攻擊。黑客攻擊是通過對計算機某個程序、系統(tǒng)和網(wǎng)絡(luò)的破解或破壞以致提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的過程。黑客攻擊手段分為兩種，一種是破壞性攻擊，是指以破壞目標系統(tǒng)的數(shù)據(jù)為目的，侵入他人電腦系統(tǒng)對重要機密信息進行竊取、破譯。另一種是非破壞性攻擊，是指以擾亂網(wǎng)絡(luò)正常運行為目，通常采用拒絕服務(wù)進行網(wǎng)絡(luò)攻擊，并不盜竊系統(tǒng)資料。

（四）人為失誤。在日常計算機信息處理、計算機系統(tǒng)和網(wǎng)絡(luò)操作、維護和管理等相關(guān)工作中，操作人員由于不慎選擇用戶口令，將自己的賬號隨意轉(zhuǎn)借給他人等操作失誤，會帶來網(wǎng)絡(luò)安全威脅。

三、加強計算機網(wǎng)絡(luò)信息安全的措施

（一）漏洞掃描。檢查網(wǎng)絡(luò)中的系統(tǒng)漏洞并采取措施對其安全隱患進行排除是維護網(wǎng)絡(luò)安全問題的首要措施。漏洞掃描技術(shù)原理是通過網(wǎng)絡(luò)漏洞掃描軟件對網(wǎng)絡(luò)信息系統(tǒng)進行檢查，發(fā)現(xiàn)其中可被黑客所利用的漏洞的技術(shù)。基于網(wǎng)絡(luò)的漏洞掃描系統(tǒng)主要分為被動式和主動式兩種。被動式是基于對主機的檢測，檢查主機中對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他違背安全規(guī)則相漏洞。主動式是基于對計算機TCP/IP端口的檢測，檢查是否支持匿名登錄，是否有某些網(wǎng)絡(luò)服務(wù)需要鑒別等等安全漏洞。然后，根據(jù)所檢查出來的漏洞，對網(wǎng)絡(luò)風險等級進行客觀評價。并通過打補丁和優(yōu)化系統(tǒng)配置等方式最大可能地對最新的安全漏洞進行彌補，以消除安全隱患。

（二）入侵檢測。入侵檢測技術(shù)是一種能夠及時識別對計算機或網(wǎng)絡(luò)信息資源進行非法入侵的惡意企圖和動作，并通過對這些非法入侵的檢查能夠立即采取措施來阻斷攻擊，并追蹤定位攻擊源的技術(shù)。入侵檢測步驟主要包括：1.搜集系統(tǒng)中不同環(huán)節(jié)的信息；2.將該信息進行分析識別，尋找該入侵活動的特征；3.對檢測到的行為做出自動響應(yīng)，即時將網(wǎng)絡(luò)連接阻斷；4.報告檢測結(jié)果。入侵檢測系統(tǒng)所采用的技術(shù)可分兩種。（1）特征檢測。特征檢測是通過一種模式來表示入侵者的入侵活動，系統(tǒng)通過對主體活動的檢測來判斷這些活動是否符合該模式，如果符合則表示網(wǎng)絡(luò)存在入侵安全威脅。該方式的缺點在于只能對已有的入侵模式進行檢查，而對新的入侵模式不起作用。其難點在于如何設(shè)計模式既能夠表達“入侵”現(xiàn)象又不會將正常的活動包含進來。（2）異常檢測。異常檢測是通過對入侵活動是否異常于正常主體活動的檢測來判斷網(wǎng)絡(luò)是否存在安全威脅。根據(jù)這一理念，首先，建立主體正?；顒拥摹盎顒雍啓n”，對當前主體的活動狀況與“活動簡檔”進行比較，當違反其統(tǒng)計規(guī)律時，則表示該活動可能是“入侵行為”。如何建立“活動簡檔”、以及如何設(shè)計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為是該異常檢測的難題。

（三）設(shè)置防火墻。防火墻在網(wǎng)絡(luò)信息安全維護中相當于一個過濾網(wǎng)的作用。它是對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式通過一定的安全策略對其進行檢查，決定，并網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，從而起到加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的作用。

防火墻從其實現(xiàn)的原理和方法上，可分為以下類別：1.包過濾型。包過濾型防火墻首先讀取網(wǎng)絡(luò)數(shù)據(jù)包中的地址信息，并對其進行檢查，只有滿足過濾條件（安全站點發(fā)送）的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地。若信息來自威脅站點，則被數(shù)據(jù)流阻擋丟棄。2.型。服務(wù)器位于客戶機與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。內(nèi)網(wǎng)用戶對外網(wǎng)的訪問需先經(jīng)過防火墻對外網(wǎng)的訪問，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。這樣，在外網(wǎng)與內(nèi)網(wǎng)之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，從而達到保護網(wǎng)絡(luò)安全的效果。3.監(jiān)測型。監(jiān)測型防火墻是通過對網(wǎng)絡(luò)系統(tǒng)各層的數(shù)據(jù)進行實時的、主動的檢測并進行分析，有效的判斷出各層中的非法侵入。

（四）數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)的基本原理是按某種算法對原來的明文文件或數(shù)據(jù)進行重新編碼，使其成為一段不可讀的代碼，即“密文”，并且其內(nèi)容的顯示必須滿足輸入正確的密鑰條件，從而隱藏原信息內(nèi)容，有效防止信息泄露的技術(shù)。數(shù)據(jù)加密主要采取三種方式，即鏈路加密、節(jié)點加密、端到端加密。鏈路加密是僅在物理層前的數(shù)據(jù)鏈路進行加密，主要用于保護通信節(jié)點間的數(shù)據(jù)，而不考慮信源和信宿的情況，使信息在每臺節(jié)點機內(nèi)都要被解密和再加密，依次進行，直至到達目的地。節(jié)點加密是協(xié)議傳輸層上進行加密，主要是對源節(jié)點和目標節(jié)點之間傳輸數(shù)據(jù)進行加密保護。端對端加密是網(wǎng)絡(luò)層以上的加密稱為端對端加密，是面向網(wǎng)絡(luò)層主體，對應(yīng)用層的數(shù)據(jù)信息進行加密。

四、結(jié)束語

計算機網(wǎng)絡(luò)信息安全中攻擊手段越來越復雜，破壞性也越來越強。面對日益嚴峻的形勢，我們必須依靠完備的系統(tǒng)管理軟件、嚴密的網(wǎng)絡(luò)安全風險分析、嚴謹?shù)南到y(tǒng)測試、綜合的防御技術(shù)實施、嚴格的保密策略以各方面的綜合應(yīng)用，實時地保證信息的完整性和正確性，為網(wǎng)絡(luò)提供強大的安全服務(wù)。

參考文獻：

篇5

SSL 安全服務(wù)環(huán)境

一　引言：

    CORBA即公共對象請求結(jié)構(gòu)，它作為面向?qū)ο蠓植际教幚淼闹髁鳂藴手唬遮呁晟坪统墒?，并在各領(lǐng)域得到了廣泛的應(yīng)用。一些基于CORBA的應(yīng)用（如電子銀行、電子商務(wù)等）更是在Internet上迅速地發(fā)展起來。但由于Internet的早期設(shè)計并未考慮到網(wǎng)絡(luò)的安全性問題，它靈活、松散的體系結(jié)構(gòu)，使其很難滿足分布式CORBA應(yīng)用對安全性的要求。

    Internet上CORBA應(yīng)用程序的安全需求

         客戶對象域                         Internet                服務(wù)對象域

CORBA客戶對象 客戶方防火墻         服務(wù)方防火墻        CORBA服務(wù)對象

圖1 Internet 上的CORBA應(yīng)用程序

(對象域：一組受防火墻保護的CORBA對象)

    圖1所示為一典型的Internet 上的CORBA應(yīng)用程序，如(電子商務(wù))。在這里CORBA客戶對象和服務(wù)對象處于不同的對象域里，都受到防火墻的保護。當客戶對象通過互聯(lián)網(wǎng)向遠端不同對象域的服務(wù)對象激發(fā)一個調(diào)用請求時，它必須考慮如下安全問題：

    1身份鑒別

    在CORBA應(yīng)用中，無論是客戶對象還是服務(wù)對象都必須實現(xiàn)互相之間的可靠的身份鑒別。如：基于CORBA的電子銀行應(yīng)用，它必須保證將客戶的請求發(fā)往給他提供服務(wù)的銀行，而銀行必須驗證客戶的身份，然后對其請求服務(wù);如果客戶對銀行沒有身份鑒別，則黑客可能冒充客戶的銀行，騙取客戶的帳戶信息，相反如果銀行沒有對客戶進行身份鑒別，則黑客可能冒充客戶向銀行提出服務(wù)。

    2 完整性

    在Internet的CORBA應(yīng)用中，僅有身份鑒別是不夠的，保持請求的完整性也相當重要。如：盡管在CORBA客戶方和服務(wù)方都有安全的身份鑒別機制，但黑客可以截獲CORBA客戶對象和服務(wù)對象之間的通信信息，并插入假冒的請求，欺騙服務(wù)對象對其服務(wù)。

    3機密性

    在Internet的CORBA應(yīng)用中， CORBA客戶對象和服務(wù)對象之間的通信信息必需保密。

    4授權(quán)和訪問控制

    在Internet的CORBA應(yīng)用中，一個服務(wù)對象可能會允許多個客戶對象的請求，但不同的客戶對象要求分配不同的權(quán)力。

    5 可靠性

    當然，Internet的CORBA應(yīng)用必須有很高的穩(wěn)定性.此外CORBA應(yīng)用不應(yīng)該對系統(tǒng)的其他應(yīng)用產(chǎn)生影響。

二、Internet上CORBA應(yīng)用的安全性實現(xiàn)技術(shù)及工具

對于CORBA應(yīng)用的保密性， 完整性， 身份鑒別我們可以采用加密的方法解決。SSL包括：各種加密算法（DES，RSA，IDEA，RC2，RC4，Blowfish），各種檢驗和機制（MD2，MD5，SHA），證書函數(shù)（X.509）等。我們可以用SSL協(xié)議對IIOP通信進行加密，實現(xiàn)Internet上的CORBA應(yīng)用的保密性， 完整性和身份鑒別。具體方法是：

1）用DES加密算法實現(xiàn)保密性。

    2）用MD5檢驗和機制保證完整性。

    3）身份鑒別機制用RSA的非對稱密鑰加解密機制和SSL握手協(xié)議實現(xiàn)。

另一種常見的安全技術(shù)是防火墻技術(shù)。一般的基于Tcp/ip層的防火墻對低層的網(wǎng)絡(luò)層、傳輸層的攻擊能很好的防護。而應(yīng)用層防火墻能提供很好的授權(quán)和訪問控制功能，同時它還能對內(nèi)容進行檢查。因此，可以將防火墻技術(shù)嵌入CORBA應(yīng)用的模型里，為Internet上的CORBA應(yīng)用提供安全保護。

    最后，CORBA安全服務(wù)(CORBASec)是CORBA中一項重要的公共對象服務(wù)，它在CORBA客戶對象和服務(wù)對象之間建立安全語言環(huán)境，為CORBA應(yīng)用提供很好的安全服務(wù)。

三、Internet 上的CORBA應(yīng)用的常見安全防護模型.

    有了這些安全技術(shù)和工具之后，下面的任務(wù)就是確定一種合理的安全模型，使它能充分地利用這些安全技術(shù)和工具，使它滿足Internet 上的CORBA應(yīng)用程序的安全需求。

    1基于CORBA防火墻的安全防護模型

圖 2

防火墻技術(shù)已被廣泛的用于網(wǎng)絡(luò)的安全防護，它可以就每個通過它的網(wǎng)絡(luò)數(shù)據(jù)包，檢查數(shù)據(jù)包收、發(fā)雙方的身份，根據(jù)預先的安全性設(shè)置確定該數(shù)據(jù)包是否能通過防火墻。將防火墻技術(shù)應(yīng)用到CORBA中，并結(jié)合SSL對Internet上傳送的IIOP請求加密，就形成了如圖2所示的基于CORBA防火墻的安全模型。

IIOP Proxy是一種常見的CORBA防火墻， 它是一種應(yīng)用級的防火墻，工作在IIOP應(yīng)用層，對IIOP請求進行檢查，從而實現(xiàn)對CORBA對象調(diào)用的控制;另一方面，它也不允許客戶和服務(wù)之間直接傳遞任何數(shù)據(jù)包，因此，對于非CORBA的服務(wù)和應(yīng)用也能提供安全保護。

在這種模型里， CORBA客戶對象并不直接和CORBA服務(wù)對象通信，而是通過設(shè)在防火墻主機上的IIOP Proxy他們之間的通信.。一個CORBA客戶對象對CORBA服務(wù)對象的請求經(jīng)過三個階段：

CORBA客戶對象將它對CORBA服務(wù)對象的IIOP請求用SSL加密后發(fā)往IIOP Proxy。 IIOP Proxy收到CORBA客戶對象的IIOP請求后，將請求解密，檢查請求的有效性，而后根據(jù)目標服務(wù)對象、客戶對象認證標志等信息對解密后的請求進行安全過濾。 假如請求符合預設(shè)的安全規(guī)則，IIOP Proxy將請求轉(zhuǎn)發(fā)給相應(yīng)的服務(wù)對象。

而CORBA服務(wù)對象對CORBA客戶對象請求的回應(yīng)過程則與之相反。

但這種模型有其缺點：IIOP Proxy轉(zhuǎn)發(fā)解密后的請求給服務(wù)對象時，它并不對請求再加密，或只用防火墻的密鑰加密，服務(wù)對象和客戶對象之間也沒有完全傳遞安全語言環(huán)境，而CORBA的安全語言環(huán)境含有保證服務(wù)對象和客戶對象之間通信安全的重要信息(如客戶的鑒別證書等)。

2 第二種模型是：端到端的安全防護模型

在這種模型里， 仍用SSL對Internet上傳送的IIOP請求加密，但是，CORBA客戶對象直接和CORBA服務(wù)對象通信，中間不設(shè)任何防火墻，他們之間的通信安全由CORBA安全服務(wù)保證。由于CORBA安全服務(wù)(CORBASec)為CORBA客戶對象與CORBA服務(wù)對象之間的通信提供了直接的安全語言環(huán)境，它能提供比IIOP Proxy更可靠的身份鑒別、安全審計、授權(quán)和訪問控制功能。

但是這種模型有個非常嚴重的缺陷：既使CORBA應(yīng)用程序能夠很好地保護自己，但是不能保證主機上的其他應(yīng)用和服務(wù)也能提供相同級別的安全防護。如果要對這些應(yīng)用和服務(wù)也提供全面的安全防護，則每臺主機都需要一個防火墻系統(tǒng)，很顯然這是不現(xiàn)實的。

四. CORBA應(yīng)用的一種新型的安全防護模型

1：基本實現(xiàn)原理

由于上面常見的兩種模型都有其缺點，我們提出了這種新的安全模型，它綜合了前兩種模型的優(yōu)點，在保證完整地傳遞CORBA對象之間的安全語言環(huán)境的同時，又能很好地對其他非CORBA應(yīng)用和服務(wù)提供安全保障。其基本原理如下（圖 4）所示：

在這種模型里，在保持客戶對象和服務(wù)對象之間的安全語言環(huán)境的基礎(chǔ)上，再設(shè)一個基于Tcp層的CORBA防火墻系統(tǒng)(Tcp Proxy)，對除CORBA應(yīng)用之外的服務(wù)提供保護，但是它比IIOP Proxy要簡化了許多，它的任務(wù)只是將加密了的包含IIOP請求的tcp數(shù)據(jù)流從客戶對象轉(zhuǎn)發(fā)給服務(wù)對象，它并不象IIOP Proxy一樣對IIOP請求進行控制，客戶對象和服務(wù)對象之間仍保持有直接的安全語言環(huán)境，因此它能利用CORBA的安全服務(wù)(CORBASec)，滿足CORBA應(yīng)用的獨特安全需求。

由于Tcp Proxy不對IIOP請求的內(nèi)容進行檢查，而由服務(wù)對象對IIOP的請求內(nèi)容進行檢查，并提供審計、授權(quán)和訪問控制功能,因此，CORBA應(yīng)用程序不但擁有了和端對端模型一樣的安全保護，而且有Tcp Proxy提供低層安全防護，能對ip和Tcp級的網(wǎng)絡(luò)攻擊過濾，確保了傳給服務(wù)對象的Tcp信息流是安全的。另外，由于Tcp Proxy只連接了CORBA應(yīng)用使用的端口號，因此，非CORBA的服務(wù)也得到了保護。

2：安全性比較

在新型安全防護模型里，Tcp Porxy只工作在Tcp層，它不能對IIOP消息流中的惡意內(nèi)容進行過濾。例如：易受到針對CORBA服務(wù)的緩沖區(qū)溢出攻擊等。它提供的安全級別看起來比IIOP Proxy要低，但是，實際上IIOP Proxy也帶來了許多的安全問題:

1 ) 在沒有IIOP Proxy的CORBA應(yīng)用中，客戶對象的請求和安全語言環(huán)境是一同傳給服務(wù)對象的，因此服務(wù)對象能從安全語言環(huán)境中直接得到客戶對象的身份鑒別標志，從而直接對之進行授權(quán)和訪問控制;然而，IIOP Proxy將客戶對象的請求和客戶的身份鑒別標志(即安全語言環(huán)境)分離，這就意味著不能保證服務(wù)對象接受到的從IIOP Proxy轉(zhuǎn)發(fā)來的請求和由IIOP Proxy附在請求上的服務(wù)語言環(huán)境是相一致的。

2 ) 服務(wù)對象只信任IIOP Proxy，也導致另一個嚴重的安全問題。如果一個黑客成功地入侵了防火墻主機，則整個CORBA應(yīng)用的安全就被破壞了。另外，僅靠IIOP Proxy對IIOP消息中的惡意內(nèi)容進行過濾也有相當?shù)木窒扌浴Ｒ驗镮IOP Proxy能利用的信息只有請求的頭部信息(GIOP header和message header)，而請求體由于IIOP Proxy不能存取服務(wù)對象的接口定義而不可識別，它是以一種非結(jié)構(gòu)化的字節(jié)流，應(yīng)此，IIOP Proxy也不能防范一些應(yīng)用層的攻擊(如緩沖區(qū)溢出攻擊)。

而這些問題在新型的安全防護模型里，由于客戶對象和服務(wù)對象之間仍保持有直接的安全語言環(huán)境，因此我們可以直接利用CORBA的安全服務(wù)(CORBASec)來解決它們。從而彌補了CORBA防火墻(IIOP Proxy)的不足。同時Tcp Proxy能對非CORBA的應(yīng)用提供安全防護，它有效地克服了端到端安全防護模型的缺點。

五 結(jié)論

通過比較三種CORBA應(yīng)用安全防護模型，可以看到：結(jié)合Tcp Proxy、CORBA安全服務(wù)，SSL(Secure Socket Layer)的新型的安全防護模型能為CORBA應(yīng)用提供全面的安全防護。

六 參考文獻

1 <<CORBA教程 --公用對象請求體系結(jié)構(gòu)>> 清華大學出版社

Firewalls： a technical Overview http：//boran.com/security/it12-firewall.html

http：//omg.org CORBA Overview http：//infosys.tuwien.ac.at/Research/CORBA/OMG/arch2.htm CORBA 技術(shù)的新進展 <<計算機應(yīng)用>> 第十九卷第五期 劉錦德 蘇森 CORBA 規(guī)范、實現(xiàn)及其在CIMS中的應(yīng)用

篇6

關(guān)鍵詞:防火墻;網(wǎng)絡(luò)安全;RSA算法;PKI技術(shù)

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)13-3381-04

Firewall and Network Security System Constitutes

ZHANG Lei

(Nanjing University of Aeronautics and Astronautics, Nanjing 210016, China)

Abstract: This paper discusses the basic principles of the firewall and deployment principles,and from the firewall,the location of the deployment of a firewall detailed selection criteria,and the exchange of information classification and RSA encryption algorithms to make in order to analyze for information security,PKI technology,which is the core of technology,discusses the composition of the network security system.

Key words: firewall; network; security; RSA Algorithm; PKI

1 概述

信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分,甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點:第一,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了;第二,網(wǎng)絡(luò)的安全機制與技術(shù)要不斷地變化;第三,隨著網(wǎng)絡(luò)在社會個方面的延伸,進入網(wǎng)絡(luò)的手段也越來越多,因此,網(wǎng)絡(luò)安全技術(shù)是一個十分復雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù),就其產(chǎn)品的主流趨勢而言,大多數(shù)服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨使用更具有大的優(yōu)勢。那么我們究竟應(yīng)該在哪些地方部署防火墻呢?首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來自外部網(wǎng)絡(luò)的入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個VLAN之間設(shè)置防火墻;第三,通過公網(wǎng)連接的總部與各分支機構(gòu)之間也應(yīng)該設(shè)置防火墻,如果有條件,還應(yīng)該同時將總部與各分支機構(gòu)組成虛擬專用網(wǎng)(VPN)。

安裝防火墻的基本原則:只要有惡意侵入的可能,無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。

2 防火墻技術(shù)

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。

目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。

雖然防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng),提出了防火墻概念后,防火墻技術(shù)得到了飛速的發(fā)展。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。

防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上,企業(yè)對安全系統(tǒng)提出的問題:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。

作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負責網(wǎng)絡(luò)間的安全認證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證、防止病毒與黑客侵入等方向發(fā)展。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、型和監(jiān)測型。

2.1 包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。

包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡(luò)信息進行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。

2.2 網(wǎng)絡(luò)地址轉(zhuǎn)化NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址。NAT將自動修改IP報文的源IP地址和目的IP地址,IP地址校驗則在NAT處理過程中自動完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報文的數(shù)據(jù)部分中,所以還需要同時對報文進行修改,以匹配IP頭中已經(jīng)修改過的源IP地址。否則,在報文數(shù)據(jù)都分別嵌入IP地址的應(yīng)用程序就不能正常工作。

NAT的實現(xiàn)方式有三種,即靜態(tài)轉(zhuǎn)換、動態(tài)轉(zhuǎn)換和端口多路復用OverLoad。

靜態(tài)轉(zhuǎn)換(Static Nat)是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址,IP地址對是一對一的,是一成不變的,某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換,可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。

動態(tài)轉(zhuǎn)換(Dynamic Nat)是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時,IP地址是不確定的,是隨機的,所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說,只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換,以及用哪些合法地址作為外部地址時,就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。

端口多路復用(Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換,即端口地址轉(zhuǎn)換(PAT,Port Address Translation).采用端口多路復用方式。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問,從而可以最大限度地節(jié)約IP地址資源。同時,又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機,有效避免來自internet的攻擊。因此,目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復用方式。

在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的,不需要用戶進行設(shè)置,用戶只要進行常規(guī)操作即可。

NAT的工作過程如圖1所示。

2.3 型

型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,服務(wù)器相當于一臺真正的服務(wù)器;而從服務(wù)器來看,服務(wù)器又是一臺真正的客戶機。當客戶機需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務(wù)器,服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置,大大增加了系統(tǒng)管理的復雜性。

2.4 監(jiān)測型

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用。據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品

雖然監(jiān)測型防火墻安全性上已超越了包過濾型和服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻。基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。

實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點,使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。

3 防火墻的選擇

選擇防火墻的標準有很多,但最重要的是以下幾條:

3.1 總擁有成本

防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過受保護網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價值為10萬元,則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當然,對于關(guān)鍵部門來說,其所造成的負面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算,非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本,關(guān)鍵部門則應(yīng)另當別論。

3.2 防火墻本身是安全的

作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機。如果像馬其頓防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統(tǒng)內(nèi)部,網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。

通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設(shè)計是否合理,這類問題一般用戶根本無從入手,只有通過權(quán)威認證機構(gòu)的全面測試才能確定。所以對用戶來說,保守的方法是選擇一個通過多家權(quán)威認證機構(gòu)測試的產(chǎn)品。其二是使用不當。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。

3.3 管理與培訓

管理和培訓是評價一個防火墻好壞的重要方面。我們已經(jīng)談到,在計算防火墻的成本時,不能只簡單地計算購置成本,還必須考慮其總擁有成本。人員的培訓和日常維護費用通常會在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓和售后服務(wù)。

3.4 可擴充性

在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統(tǒng),而隨著要求的提高,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產(chǎn)品的廠商來說,也擴大了產(chǎn)品覆蓋面。

3.5 防火墻的安全性

防火墻產(chǎn)品最難評估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣,普通用戶通常無法判斷。即使安裝好了防火墻,如果沒有實際的外部入侵,也無從得知產(chǎn)品性能的優(yōu)劣。但在實際應(yīng)用中檢測安全產(chǎn)品的性能是極為危險的,所以用戶在選擇防火墻產(chǎn)品時,應(yīng)該盡量選擇占市場份額較大同時又通過了權(quán)威認證機構(gòu)認證測試的產(chǎn)品。

4 加密技術(shù)

信息交換加密技術(shù)分為兩類:即對稱加密和非對稱加密。

4.1 對稱加密技術(shù)

在對稱加密技術(shù)中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。對稱加密技術(shù)也存在一些不足,如果交換一方有N個交換對象,那么他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES(數(shù)據(jù)加密標準)的一種變形,這種方法使用兩個獨立的56為密鑰對信息進行3次加密,從而使有效密鑰長度達到112位。

4.2 非對稱加密/公開密鑰加密

在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的數(shù)學難題之上,是計算機復雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。

4.3 RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制,其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實:到目前為止,無法找到一個有效的算法來分解兩大素數(shù)之積。RSA算法的描述如下:

公開密鑰:n=pq(p、q分別為兩個互異的大素數(shù),p、q必須保密)

e與(p-1)(q-1)互素

私有密鑰:d=e-1 {mod(p-1)(q-1)}

加密:c=me(mod n),其中m為明文,c為密文。

解密:m=cd(mod n)

利用目前已經(jīng)掌握的知識和理論,分解2048bit的大整數(shù)已經(jīng)超過了64位計算機的運算能力,因此在目前和預見的將來,它是足夠安全的。

5 PKI技術(shù)

PKI(Publie Key Infrastucture)技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過網(wǎng)絡(luò)進行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動缺少物理接觸,因此使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù),他能夠有效地解決電子商務(wù)應(yīng)用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應(yīng)該是安全的易用的、靈活的和經(jīng)濟的。它必須充分考慮互操作性和可擴展性。它是認證機構(gòu)(CA)、注冊機構(gòu)(RA)、策略管理、密鑰(Key)與證書(Certificate)管理、密鑰備份與恢復、撤消系統(tǒng)等功能模塊的有機結(jié)合。

5.1 認證機構(gòu)

CA(Certification Authorty)就是這樣一個確保信任度的權(quán)威實體,它的主要職責是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明―證書,任何相信該CA的人,按照第三方信任原則,也都應(yīng)當相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個具有較強安全性的CA是至關(guān)重要的,這不僅與密碼學有關(guān)系,而且與整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外,靈活也是CA能否得到市場認同的一個關(guān)鍵,它不需支持各種通用的國際標準,能夠很好地和其他廠家的CA產(chǎn)品兼容。

5.2 注冊機構(gòu)

RA(Registration Authorty)是用戶和CA的接口,它所獲得的用戶標識的準確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統(tǒng)的安全、靈活,就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。

5.3 策略管理

在PKI系統(tǒng)中,制定并實現(xiàn)科學的安全策略管理是非常重要的這些安全策略必須適應(yīng)不同的需求,并且能通過CA和RA技術(shù)融入到CA 和RA的系統(tǒng)實現(xiàn)中。同時,這些策略應(yīng)該符合密碼學和系統(tǒng)安全的要求,科學地應(yīng)用密碼學與網(wǎng)絡(luò)安全的理論,并且具有良好的擴展性和互用性。

5.4 密鑰備份和恢復

為了保證數(shù)據(jù)的安全性,應(yīng)定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設(shè)計和實現(xiàn)健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關(guān)系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。

5.5 證書管理與撤消系統(tǒng)

證書是用來證明證書持有者身份的電子介質(zhì),它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常,這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是,有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進行證書撤消,證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的機制撤消證書或采用在線查詢機制,隨時查詢被撤消的證書。

6 安全技術(shù)的研究現(xiàn)狀和動向

我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段,正在進入網(wǎng)絡(luò)信息安全研究階段,現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個綜合、交叉的學科領(lǐng)域它綜合了利用數(shù)學、物理、生化信息技術(shù)和計算機技術(shù)的諸多學科的長期積累和最新發(fā)展成果,提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案,目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究,各部分相互協(xié)同形成有機整體。

國際上信息安全研究起步較早,力度大,積累多,應(yīng)用廣,在70年代美國的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計算機保密模型”(Beu& La padula模型)的基礎(chǔ)上,指定了“可信計算機系統(tǒng)安全評估準則”(TCSEC),其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面和系列安全解釋,形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準則。安全協(xié)議作為信息安全的重要內(nèi)容,其形式化方法分析始于80年代初,目前有基于狀態(tài)機、模態(tài)邏輯和代數(shù)工具的三種分析方法,但仍有局限性和漏洞,處于發(fā)展的提高階段。作為信息安全關(guān)鍵技術(shù)密碼學,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術(shù)會議頻繁。1976年美國學者提出的公開密鑰密碼體制,克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的困難,同時解決了數(shù)字簽名問題,它是當前研究的熱點。而電子商務(wù)的安全性已是當前人們普遍關(guān)注的焦點,目前正處于研究和發(fā)展階段,它帶動了論證理論、密鑰管理等研究,由于計算機運算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼、DNA密碼、混沌理論等密碼新技術(shù)正處于探索之中。

7 結(jié)束語

21世紀全世界的計算機都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在。一個國家的信息安全體系實際上包括國家的法規(guī)和政策,以及技術(shù)與市場的發(fā)展平臺。我國必須建立起一套完整的網(wǎng)絡(luò)安全體系,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。在構(gòu)建信息防衛(wèi)系統(tǒng)時,應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品要想真正解決網(wǎng)絡(luò)安全問題,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高,以此保證我國信息網(wǎng)絡(luò)的安全,推動我國國民經(jīng)濟的高速發(fā)展。

參考文獻:

[1] 范明玨,王光衛(wèi).網(wǎng)絡(luò)安全協(xié)議理論與技術(shù)[M].北京:清華大學出版社,2009.

[2] Carasik-Henmi A.防火墻核心技術(shù)精解[M].北京:中國水利水電出版社,2005.

篇7

關(guān)鍵詞：計算機網(wǎng)絡(luò) 安全問題 防護措施 信息

中圖分類號：TP3 文獻標識碼：A 文章編號：1674-098X（2013）05（b）-0035-01

進入信息時代，人們的溝通方式發(fā)生了巨大的變化。隨著互聯(lián)網(wǎng)的高速發(fā)展，世界上的每一臺計算機都可以連入網(wǎng)絡(luò)并與任何一臺連入網(wǎng)絡(luò)的計算機進行通信。它不僅用于個人的上網(wǎng)行為，還關(guān)系到商業(yè)、軍事、醫(yī)療、公共管理等多個方面，所以計算機網(wǎng)絡(luò)安全問題變得尤為重要。人類社會對計算機的依賴程度達到了前所未有的高度，當計算機網(wǎng)絡(luò)受到攻擊而不能正常工作，將會帶來巨大的危機，社會經(jīng)濟不能正常發(fā)展，軍事防護沒有保證，公共安全出現(xiàn)混亂，這種損失是無法預計的。所以，必須要分析研究計算機網(wǎng)絡(luò)存在的安全隱患，建立防護措施保證網(wǎng)絡(luò)的正常秩序。

1 網(wǎng)絡(luò)安全及其現(xiàn)狀

隨著計算機的出現(xiàn)，其安全問題就出現(xiàn)在人們的視野，國際標準化組織早已對其進行了定義：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”?？梢钥闯?，計算機安全主要包括兩個方面的內(nèi)容：物理安全和邏輯安全。物理安全較好理解，主要是硬件上的攻擊和破壞。邏輯安全可以理解為信息安全，無論是黑客還是病毒等攻擊手段，其目的都是為了獲取計算機內(nèi)部的信息數(shù)據(jù)，并用這些數(shù)據(jù)創(chuàng)造非法的價值。

目前計算機網(wǎng)絡(luò)安全問題都已成為各個國家、企業(yè)、機構(gòu)非常重視的問題，但是安全問題時有發(fā)生?；ヂ?lián)網(wǎng)上頻繁的發(fā)生著惡意犯罪、信息泄露以及計算機病毒泛濫事件，而這些事件會對經(jīng)濟造成巨大的損失，對國家造成機密泄露，甚至使人民缺少安全感，對國家失去信心造成恐慌。事實證明，計算機網(wǎng)絡(luò)安全仍然需要不斷的加強和改進。

2 計算機網(wǎng)絡(luò)安全的威脅

2.1 自然威脅

自然威脅可能來自大自然中的非人為能夠控制的各種不可避免性威脅。包括一些自然災(zāi)害、電磁干擾、設(shè)備老化等問題。這些問題的發(fā)生不可預見也很難防護，造成的損失也無法估量。

2.2 黑客攻擊

黑客能夠善于發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)中存在的漏洞，并根據(jù)這些漏洞有針對性的攻擊，進入到系統(tǒng)內(nèi)部，竊取或篡改信息，造成系統(tǒng)不能正常工作。其本質(zhì)原因是因為系統(tǒng)和網(wǎng)絡(luò)本身不夠完善，存在缺點和漏洞，成為別人攻擊和利用的目標。黑客的另一種攻擊方式是網(wǎng)絡(luò)偵查，可以在網(wǎng)絡(luò)管理人員毫不知情的情況下，對網(wǎng)絡(luò)中的數(shù)據(jù)進行截取、篡改和破壞。

2.3 病毒攻擊

計算機病毒是一段可執(zhí)行的代碼或程序，能夠破壞系統(tǒng)使其不能正常運行。這種程序被稱為病毒，是因為它一般具有生物病毒的高復制性和高傳播性，一旦感染很難清除甚至稱為一個傳播源。病毒的危害有很多，包括減少內(nèi)存、破壞數(shù)據(jù)、刪除文檔、泄露信息等等。

2.4 內(nèi)部威脅

內(nèi)部威脅主要是因為很多企業(yè)用戶中的管理人員安全防范意識不強，采用的防護措施不夠，很容易被有目的的利用或攻擊。還有一種可能就是內(nèi)部員工有目的性的對信息進行泄露，進行非法的利益謀取。這些原因都導致內(nèi)部網(wǎng)絡(luò)安全事故頻頻發(fā)生，造成不必要的損失。

3 防護措施

計算機網(wǎng)絡(luò)的特性決定了其很難從根本上杜絕網(wǎng)絡(luò)安全問題的發(fā)生，只有從不斷的加強管理和防護措施，盡量避免安全事故的仿生，減小損失。

3.1 訪問權(quán)限

訪問權(quán)限控制是重要的網(wǎng)絡(luò)安全防護措施之一，其基本原理就是身份認證，對不同人員設(shè)置不同的訪問權(quán)限。這樣沒有通過身份認證的人員并不能使用系統(tǒng)內(nèi)部網(wǎng)絡(luò)，禁止沒有權(quán)限的人或非法用戶使用受保護的資源。權(quán)限訪問主要可以分為三個部分：第一，對用戶的身份進行識別和驗證，檢查其是否具有合法性；第二，規(guī)定訪問級別，不同級別的用戶享有不同的資源訪問權(quán)限；第三，訪問跟蹤審計，對所有使用資源的用戶進行記錄和統(tǒng)計。

3.2 防火墻技術(shù)

防火墻一般用于隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，它被放置在內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連接的節(jié)點上，對外部有害信息進行隔離，是一種邏輯保護手段。防火墻的具體功能有如下幾個方面：1）它可以對流進的數(shù)據(jù)進行過濾，將有害的信息隔離在防火墻之外；2）防火墻可以有針對性的關(guān)閉某些端口，禁止一些不安全的站點的訪問；3）對流過的數(shù)據(jù)進行記錄和統(tǒng)計，監(jiān)督使用情況。防火墻可以和其他安全技術(shù)相配合，提高整體的網(wǎng)絡(luò)安全性。但是防火墻有一個明顯的缺點，就是其只能防止外部的攻擊，對于網(wǎng)絡(luò)內(nèi)部的攻擊和病毒沒有好的防護手段。一旦被入侵，防火墻將不再有任何作用。

3.3 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是保護網(wǎng)絡(luò)中傳輸數(shù)據(jù)不被截獲篡改的有效手段。我們可以對數(shù)據(jù)進行編碼，然后加密，使傳輸?shù)臄?shù)據(jù)失去了其原有的信息特性，這樣即使被非法人員獲得，因為沒有相應(yīng)的解密手段也不能夠獲得真正的信息。因為加密都有一定的標記性，所以非法的篡改也可以被發(fā)現(xiàn)，這樣就大大提高了數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>

3.4 增強管理防范意識

從思想上提高防范意識，加強對網(wǎng)絡(luò)數(shù)據(jù)的管理和維護，是提高網(wǎng)絡(luò)安全性的有效手段。人的能動性和獨立性決定了不能以程序化的模式來約束和估計人的行為。所以要加強對內(nèi)部網(wǎng)絡(luò)人員的管理和培訓，建立健全的網(wǎng)絡(luò)管理制度，提高員工的思想覺悟和法律意識。

4 結(jié)語

隨著社會信息化發(fā)展的加快，社會生活和生產(chǎn)都離不開計算機網(wǎng)絡(luò)，計算機網(wǎng)絡(luò)安全的重要性也隨著社會的發(fā)展不斷提升。本文分析了計算機網(wǎng)絡(luò)安全的現(xiàn)況，并提出了目前網(wǎng)絡(luò)安全所面臨的幾個主要問題，最后提出了幾點防護意見。計算機網(wǎng)絡(luò)安全是一門復雜的學科，也是一門持續(xù)發(fā)展的學科，我們應(yīng)當在提高防護措施的同時，加強人員的管理和素質(zhì)的培養(yǎng)，不斷提高全民網(wǎng)絡(luò)道德水平和安全意識。

參考文獻

[1] 陳霜霜.計算機網(wǎng)絡(luò)安全的研究與探討[J].信息科技，2011（12）.

篇8

關(guān)鍵詞：網(wǎng)絡(luò)安全技術(shù) 企業(yè)網(wǎng)絡(luò) 解決方案

中圖分類號：TN711文獻標識碼： A 文章編號：

隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，自由的、開放的、國際化的Internet給政府機構(gòu)、企事業(yè)單位帶來了前所未有的變革，使得企事業(yè)單位能夠利用Internet提高辦事效率和市場反應(yīng)能力，進而提高競爭力。另外，網(wǎng)絡(luò)安全問題也隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而真多，凡是有網(wǎng)絡(luò)的地方就存在著安全隱患。在2007年1月舉行的達沃斯世界經(jīng)濟論壇上，與會者首次觸及了互聯(lián)網(wǎng)安全問題，表明網(wǎng)絡(luò)安全已經(jīng)成為影響互聯(lián)網(wǎng)發(fā)展的重要問題。由于因特網(wǎng)所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時，網(wǎng)絡(luò)安全隱患也越來越大，如何針對企業(yè)的具體網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計出先進的安全方案并選配合理的網(wǎng)絡(luò)安全產(chǎn)品，以及搭建有效的企業(yè)網(wǎng)絡(luò)安全防護體系是擺在計算機工作者面前的巨大課題。

一、企業(yè)網(wǎng)絡(luò)安全隱患分析 企事業(yè)單位可以通過Internet獲取重要數(shù)據(jù)，同時又要面對Internet開放性帶來的數(shù)據(jù)安全問題。公安部網(wǎng)絡(luò)安全狀況調(diào)查結(jié)果顯示：2009年，被調(diào)查的企業(yè)有49%發(fā)生過網(wǎng)絡(luò)信息安全事件。在發(fā)生過安全事件的企業(yè)中，83%的企業(yè)感染了計算機病毒、蠕蟲和木馬程序，36%的企業(yè)受到垃圾電子郵件干擾和影響。59%的企業(yè)發(fā)生網(wǎng)絡(luò)端口掃描，拒絕服務(wù)攻擊和網(wǎng)頁篡改等安全危機。如何保護企業(yè)的機密信息不受黑客和工業(yè)間諜的攻擊，已成為政府機構(gòu)、企事業(yè)單位信息化健康發(fā)展所要解決的一項重要工作。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)病毒和黑客工具軟件具有技術(shù)先進、隱蔽性強、傳播速度快、破壞力強等特點。這主要表現(xiàn)在： 1.網(wǎng)絡(luò)安全所面臨的是一個國際化的挑戰(zhàn)，網(wǎng)絡(luò)的攻擊不僅僅來自本地網(wǎng)絡(luò)的用戶，而是可以來自Internet上的任何一個終端機器。2.由于網(wǎng)絡(luò)技術(shù)是全開放的，任何一個團體組織或者個人都可能獲得，開放性的網(wǎng)絡(luò)導致網(wǎng)絡(luò)所面臨的破壞和攻擊往往是多方面的，例如：對網(wǎng)絡(luò)通信協(xié)議的攻擊，對物理傳輸線路的攻擊，對硬件的攻擊，也可以是對軟件的攻擊等等。3.用戶可以自由地使用和各種類型的信息，自由地訪問網(wǎng)絡(luò)服務(wù)器，因為網(wǎng)絡(luò)最初對用戶的使用并沒有提供任何的技術(shù)約束。

二、企業(yè)網(wǎng)絡(luò)安全解決方案

（一）物理隔離方案。其基本原理為：從物理上來隔離阻斷網(wǎng)絡(luò)上潛在的攻擊連接。其中包括一系列阻斷的特征，如：沒有連接、沒有命令、沒有協(xié)議、沒有TCP/IP連接，沒有應(yīng)用連接、沒有包轉(zhuǎn)發(fā)，只有文件“擺渡”，對固態(tài)介質(zhì)只有讀和寫兩個命令。其結(jié)果是無法攻擊、無法入侵、無法破壞。比如可以采用DShield/宇宙盾通用雙向網(wǎng)絡(luò)信息安全隔離網(wǎng)閘。

（二）網(wǎng)絡(luò)系統(tǒng)安全解決方案。網(wǎng)絡(luò)應(yīng)用服務(wù)器的操作系統(tǒng)選擇是一個很重要的部分，網(wǎng)絡(luò)操作系統(tǒng)的穩(wěn)定性和安全性能決定了服務(wù)器的性能。網(wǎng)絡(luò)操作系統(tǒng)的系統(tǒng)軟件，管理并控制著計算機軟硬件資源，并在用戶與計算之間擔任著重要的橋梁作用。一般對其采用下列設(shè)置保障其基本安全

1.關(guān)閉不必要的服務(wù)。2.制定嚴格的賬戶策略。3.科學的分配用戶賬戶權(quán)限。4.科學的安全配置和分析。 （三）入侵檢測解決方案。在現(xiàn)有的企業(yè)網(wǎng)絡(luò)安全防護體系中，大部分企業(yè)都部署了防火墻對企業(yè)進行保護。但是傳統(tǒng)防火墻設(shè)備有其自身的缺點。如果操作系統(tǒng)由于自身的漏洞也有可能帶來較大的安全風險。根據(jù)企業(yè)網(wǎng)絡(luò)的實際應(yīng)用情況，對網(wǎng)絡(luò)環(huán)境安全狀況進行詳細的分析研究認為，對外提供應(yīng)用服務(wù)的服務(wù)器應(yīng)該受到重點的監(jiān)控和防護。在這一區(qū)域部署入侵檢測系統(tǒng)，這樣可以充分發(fā)揮IDS的優(yōu)勢，形成防火墻后的第二道防線，如果充分利用IDS與防火墻的互動功能優(yōu)勢，則可以大大提升動態(tài)防護的效果。

（四）安全管理解決方案。信息系統(tǒng)安全管理機構(gòu)是負責信息安全日常事務(wù)工作的，應(yīng)按照國家信息系統(tǒng)安全的有關(guān)法律、法規(guī)、制度、規(guī)范建立和健全有關(guān)的安全策略和安全目標，結(jié)合自身信息系統(tǒng)的安全需求建立安全實施細則，并負責貫徹實施。 單位安全網(wǎng)（即內(nèi)網(wǎng)）系統(tǒng)安全管理機構(gòu)主要實現(xiàn)以下職能：

1.建立和健全本系統(tǒng)的系統(tǒng)安全操作規(guī)程。

2.確定信息安全各崗位人員的職責和權(quán)限，實行相互授權(quán)、相互牽連，建立崗位責任制。

3.審議并通過安全規(guī)劃，年度安全報告，有關(guān)安全的宣傳、教育、培訓計劃。

篇9

關(guān)鍵詞：arp欺騙；入侵檢測系統(tǒng)；網(wǎng)絡(luò)監(jiān)控平臺

計算機網(wǎng)絡(luò)是一個開放性的平臺，這就決定了網(wǎng)絡(luò)先天就存在安全的問題。網(wǎng)絡(luò)安全一直是限制網(wǎng)絡(luò)發(fā)展的一個重要原因?，F(xiàn)今的網(wǎng)絡(luò)架構(gòu)中采用交換機互聯(lián)，使用網(wǎng)關(guān)地址轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包，這種交換式連接的局域網(wǎng)一直是很成熟的技術(shù)，但近年來它在一種新型網(wǎng)絡(luò)攻擊面前卻毫無辦法進行防范，這種攻擊就是arp欺騙。

1．a(chǎn)rp欺騙

ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

假設(shè)一個網(wǎng)絡(luò)環(huán)境中，網(wǎng)內(nèi)有三臺主機，分別為主機A、B、C。主機詳細信息如下描述：

A的地址為：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址為：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

C的地址為：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

正常情況下A和C之間進行通訊，但是此時B向A發(fā)送一個自己偽造的ARP應(yīng)答，而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應(yīng)答，就會更新本地的ARP緩存（A被欺騙了），這時B就偽裝成C了。同時，B同樣向C發(fā)送一個ARP應(yīng)答，應(yīng)答包中發(fā)送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本來應(yīng)該是AA-AA-AA-AA-AA-AA），當C收到B偽造的ARP應(yīng)答，也會更新本地ARP緩存（C也被欺騙了），這時B就偽裝成了A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數(shù)據(jù)都經(jīng)過了B。主機B完全可以知道他們之間說的什么：）。這就是典型的ARP欺騙過程。

2．目前的網(wǎng)絡(luò)防御方法

2.1 防火墻

雖然防火墻可以有效地保護網(wǎng)絡(luò)免遭黑客的攻擊，但是也現(xiàn)存著一些明顯的不足：①對內(nèi)部網(wǎng)絡(luò)發(fā)起的攻擊無法阻止；②可以阻斷外部攻擊而無法消滅攻擊來源；③做nat轉(zhuǎn)換后，由于防火墻本身性能和并發(fā)連接數(shù)的限制，容易導致出口成為網(wǎng)絡(luò)瓶頸，形成網(wǎng)絡(luò)擁塞；④對于網(wǎng)絡(luò)中新生的攻擊行為，如果未做出相應(yīng)策略的設(shè)置，則無法防范；⑤對于利用系統(tǒng)后門、蠕蟲病毒以及獲得用戶授權(quán)等一切擁有合法開放端口掩護的攻擊行為將無法防范。為了彌補防火墻存在的不足，許多網(wǎng)絡(luò)管理者應(yīng)用入侵檢測來提高網(wǎng)絡(luò)的安全性和抵御攻擊的能力。

2.2 入侵檢測系統(tǒng)（intrusiondetectionsystem）

入侵檢測系統(tǒng)（ids）按照收集數(shù)據(jù)來源的不同一般可以分為三大類：

①由多個部件組成，分布于內(nèi)部網(wǎng)絡(luò)的各個部分的分布式入侵檢測系統(tǒng)。

②依靠網(wǎng)絡(luò)上的數(shù)據(jù)包作為分析、監(jiān)控數(shù)據(jù)源的基于網(wǎng)絡(luò)型入侵檢測系統(tǒng)。

③安裝在網(wǎng)段內(nèi)的某臺計算機上，以系統(tǒng)的應(yīng)用程序日志和審計日志為數(shù)據(jù)源主機型入侵檢測系統(tǒng)。

雖然入侵檢測系統(tǒng)以不同的形式安裝于內(nèi)部網(wǎng)絡(luò)的各個不同的位置，但由于采集數(shù)據(jù)源的限制，對arp病毒形式的攻擊行為卻反應(yīng)遲鈍。入侵檢測系統(tǒng)一般部署在主干網(wǎng)絡(luò)或者明確要監(jiān)控的網(wǎng)段之中，而一個內(nèi)部網(wǎng)絡(luò)往往有很多個獨立的網(wǎng)段；由于財力的限制，網(wǎng)絡(luò)管理者一般都不能在每個網(wǎng)絡(luò)中部署用于數(shù)據(jù)采集的監(jiān)控計算機。一旦未部署的網(wǎng)段中arp欺騙阻塞了本網(wǎng)段與外界的正常通訊，入侵檢測系統(tǒng)無法采集到完整的數(shù)據(jù)信息而不能迅速準確的作出反應(yīng)。除此以外，現(xiàn)有的各種入侵檢測系統(tǒng)還存在著一些共同的缺陷，如；較高的誤報率，無關(guān)緊要的報警過于頻繁；系統(tǒng)產(chǎn)品對不同的網(wǎng)絡(luò)或網(wǎng)絡(luò)中的變化反應(yīng)遲鈍，適應(yīng)能力較低；系統(tǒng)產(chǎn)品報告的專業(yè)性太強，需要管理者、使用者有比較高深的網(wǎng)絡(luò)專業(yè)知識；對用于處理信息的設(shè)備在硬件上有較高的要求，在大型局域網(wǎng)絡(luò)中檢測系統(tǒng)受自身處理速度的限制，容易發(fā)生故障無法對網(wǎng)絡(luò)進行實時監(jiān)測。

2.3 入侵防御系統(tǒng)（intrusionpreventsystem）

（1）入侵防御系統(tǒng)（ips）是針對入侵檢測系統(tǒng)（ids）所存在的不足，借用網(wǎng)絡(luò)防火墻的部分原理而建立的。入侵防御系統(tǒng)有效的結(jié)合了入侵檢測技術(shù)和防火墻原理；不但能檢測入侵的發(fā)生，而且通過一些有效的響應(yīng)方式來終止入侵行為；從而形成了一種新型的、混合的、具有一定深度的入侵防范技術(shù)。

入侵防御系統(tǒng)（ips）按照應(yīng)用方式的不同一般可以分為三大類：

①基于主機的入侵防御系統(tǒng)hips：是一種駐留在服務(wù)器、工作站等獨立系統(tǒng)中的安全管理程序。這些程序可以對流入和流出特定系統(tǒng)的數(shù)據(jù)包進行檢查，監(jiān)控應(yīng)用程序和操作系統(tǒng)的行為，保護系統(tǒng)不會被惡意修改和攻擊。

②基于網(wǎng)絡(luò)的入侵防御系統(tǒng)nips：是一種以嵌入模式部署與受保護網(wǎng)段中的系統(tǒng)。受保護網(wǎng)段中的所有網(wǎng)絡(luò)數(shù)據(jù)都必須通過nips設(shè)備，如果被檢測出存在攻擊行為，nips將會進行實時攔截。

③應(yīng)用服務(wù)入侵防御系統(tǒng)（aips）：是將hips擴展成位于應(yīng)用服務(wù)器之間的網(wǎng)絡(luò)設(shè)備。利用與hips相似的原理保護應(yīng)用服務(wù)器。

相對與ids而言，ips是以在線方式安裝在被保護網(wǎng)絡(luò)的入口處，從而監(jiān)控所有流經(jīng)的網(wǎng)絡(luò)數(shù)據(jù)。ips結(jié)合了ids和防火墻的技術(shù)，通過對流經(jīng)的數(shù)據(jù)報文進行深層檢查，發(fā)現(xiàn)攻擊行為，阻斷攻擊行為，從而達到防御的目的。

（2）但同時，我們也認識到：由于ips是基于ids同樣的策略特征庫，導致它無法完全克服ids所存在的缺陷，依然會出現(xiàn)很多的誤報和漏報的情況，而主動防御應(yīng)建立在精確、可靠的檢測結(jié)果之上，大量的誤報所激發(fā)的主動防御反而會造成巨大的負面影響；另一方面，數(shù)據(jù)包的深入檢測和保障可用網(wǎng)絡(luò)的高性能之間是存在矛盾的，隨著網(wǎng)絡(luò)帶寬的擴大、單位時間傳輸數(shù)據(jù)包的增加、ips攻擊特征庫的不斷膨脹，串連在出口位置的ips對網(wǎng)絡(luò)性能的影響會越來越嚴重，最終必將成為網(wǎng)絡(luò)傳輸?shù)钠款i。

3. 新的網(wǎng)絡(luò)安全發(fā)展方向

分析目前網(wǎng)絡(luò)安全技術(shù)的特點不難發(fā)現(xiàn)：現(xiàn)有的安全技術(shù)無法保證100%發(fā)現(xiàn)和阻斷外來的網(wǎng)絡(luò)攻擊行為；同時，內(nèi)網(wǎng)中的計算機以及其它網(wǎng)絡(luò)通訊設(shè)備中存在的系統(tǒng)安全漏洞基本上沒有得到任何監(jiān)控。

所以網(wǎng)絡(luò)安全新的發(fā)展方向就是要建立起上述的網(wǎng)絡(luò)故障自動監(jiān)控平臺，在建網(wǎng)時就要盡量 做到以下幾個方面的工作：

①設(shè)計大規(guī)模的局域網(wǎng)時，網(wǎng)內(nèi)的交換機應(yīng)該聯(lián)入一個或多個獨立的網(wǎng)段中，這樣既可以讓交換機之間形成一個獨立的管理網(wǎng)絡(luò)，又可以避免遠程操作交換機時受到用戶網(wǎng)段通信的影響。

②應(yīng)盡量多的在網(wǎng)絡(luò)中部署管理型網(wǎng)絡(luò)交換機，這樣既可以縮小故障源的范圍便于定位，又便于網(wǎng)絡(luò)管理員進行遠程操作以迅速處理網(wǎng)絡(luò)故障。

③應(yīng)在核心交換機上部署一個基于全網(wǎng)拓撲圖的網(wǎng)絡(luò)監(jiān)控軟件，網(wǎng)絡(luò)值班人員（非核心技術(shù)人員）可以通過網(wǎng)絡(luò)交換機的圖形化管理軟件對網(wǎng)絡(luò)信息進行收集、分析和進行故障分析和排除，達到動態(tài)監(jiān)控的目的。

④努力開發(fā)收集交換機數(shù)據(jù)的軟件，開發(fā)分析網(wǎng)絡(luò)行為的策略庫，不斷提高網(wǎng)絡(luò)監(jiān)控平臺的故障反應(yīng)速度和故障源定位的準確性。

參考文獻

[1]張仕斌，易勇。網(wǎng)絡(luò)安全技術(shù)[m]清華大學出版社

[2]任俠，呂述望。arp協(xié)議欺騙原理分析與抵御方法[j]計算機工程2004

篇10

關(guān)鍵詞：計算機網(wǎng)絡(luò)完全；安全隱患；安全檢測；監(jiān)控技術(shù)

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2012) 12-0000-02

一、引言

隨著網(wǎng)絡(luò)的普及與應(yīng)用，個人與企業(yè)將越來越多的數(shù)據(jù)存放于網(wǎng)絡(luò)之中，尤其伴隨著近兩年“云服務(wù)”的普及，這一趨勢更加明顯。但是在網(wǎng)絡(luò)中，由于其本身的脆弱性，加之黑客以及不法之徒在受利益的驅(qū)使下對計算機網(wǎng)絡(luò)的攻擊等，使得我們的數(shù)據(jù)及信息受到了很多安全方面的威脅。因此，做好計算機網(wǎng)絡(luò)安全的檢測與監(jiān)控不僅能夠保證我們生活工作的順利進行，更對我們的財產(chǎn)隱私起到很好的保護作用。

二、計算機網(wǎng)絡(luò)安全的隱患

計算機安全指的是通過一定的技術(shù)對保證其硬件、軟件以及數(shù)據(jù)不受侵害，我們通常認為計算機安全就是保證我們的數(shù)據(jù)及隱私不受竊取或者篡改。

計算機網(wǎng)絡(luò)中的問題一般具有以下特征：隱蔽性、潛伏性、破壞性、危害性、突發(fā)性以及擴散性?？傮w而言計算機網(wǎng)絡(luò)的安全問題主要體現(xiàn)在：

（1）計算機網(wǎng)絡(luò)的自身特點決定了網(wǎng)絡(luò)本身就存在問題。這一問題首先體現(xiàn)在網(wǎng)絡(luò)本身處于一個無政府、無主管的狀態(tài)；其次，如今使用較多的系統(tǒng)都存在著漏洞；最后，TCP／IP協(xié)議中的隱患較大。這些網(wǎng)絡(luò)本身不可避免的問題都會對計算機的安全造成較大隱患。

（2）因為外界威脅因素而導致的問題，具體有自然威脅與人為威脅兩種，其中人為威脅是我們需要處理的重點，包括黑客攻擊、病毒入侵以及非法訪問等。

（3）用戶安全意識淡薄導致的問題。由于安全意識的單薄，很容易出現(xiàn)其重要性文件不加密、密碼泄露等問題，這就給黑客提供了有機可趁的機會。另外，由于防范意識不強，使得系統(tǒng)漏洞修復不及時甚至根本不理會也會給計算機網(wǎng)絡(luò)帶來很大的威脅。

（4）缺乏評估和監(jiān)控手段。安全評估是確保計算機安全的基礎(chǔ)。但是，我們對于計算機網(wǎng)絡(luò)安全的保護大多數(shù)從更事前的預防以及事后的彌補出發(fā)，對于事發(fā)過程中的評估以及監(jiān)控做的很不到位，正是基于這一問題，本文提出了有關(guān)計算機網(wǎng)絡(luò)安全的檢測與監(jiān)控技術(shù)的研究。

三、計算機網(wǎng)絡(luò)安全的檢測與監(jiān)控技術(shù)

計算機網(wǎng)絡(luò)安全的檢測技術(shù)包括網(wǎng)絡(luò)安全掃描技術(shù)、網(wǎng)絡(luò)安全自動檢測系統(tǒng)以及網(wǎng)絡(luò)入侵監(jiān)控預警系統(tǒng)

（一）網(wǎng)絡(luò)安全的掃描技術(shù)

網(wǎng)絡(luò)安全的掃描技術(shù)是計算機網(wǎng)絡(luò)安全的檢測技術(shù)中非常重要的一部分，我們通過這一技術(shù)可以發(fā)現(xiàn)Web服務(wù)器中有關(guān)TCP/IP端口分配、開放服務(wù)以及Web服務(wù)軟件的版本等漏洞。此技術(shù)是具有主動、非破壞性以及有效性。具體的使用上，它使用腳本對系統(tǒng)模擬攻擊，然后對結(jié)果做出分析。一般來說，這種技術(shù)與防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)之間應(yīng)互相配合使用，這樣可以非常有效地改善系統(tǒng)漏洞，以起到防范黑客入侵的功效。

網(wǎng)絡(luò)安全的掃描技術(shù)在實現(xiàn)中可以分為以下三個階段：首先，發(fā)現(xiàn)目標；其次，收集關(guān)于目標的信，；最后，對收集到的信息進行判斷，而判斷的主要目標是系統(tǒng)的漏洞所在。在這三個階段中，網(wǎng)絡(luò)安全掃描技術(shù)的實施中包括：端口掃描(Port Scan)、漏洞掃描(Vulnerability Scan)、操作系統(tǒng)探測(Operating System Identification)、如何探測訪問控制規(guī)則(Firewalking)以及PING掃射(Ping Sweep)等。

（二）自動檢測系統(tǒng)

網(wǎng)絡(luò)安全的自動檢測系統(tǒng)是針對防火墻、虛擬專用網(wǎng)絡(luò)（VPN，）防火墻等技術(shù)無法解決的問題而開發(fā)的一種對系統(tǒng)安全進行更加主動、有效的檢測系統(tǒng)。這種系統(tǒng)的一般來說是依據(jù)NSS、Strobe、SATAN、ISS等網(wǎng)絡(luò)安全檢測工具來實現(xiàn)的。

其中安全測試的對象可以分為配置文件測試、文件內(nèi)客以及保護機制測試、錯誤修正測試、差別測試以及對于指定系統(tǒng)的測試。目前，在安全測試中，人工智能技術(shù)取得了較為不錯的效果，對于特殊的漏洞的檢測尤為高效。

掃描器是實現(xiàn)網(wǎng)絡(luò)安全的自動檢測系統(tǒng)的關(guān)鍵，這種程序能夠?qū)h程或者本地主機的安全性弱點進行掃描，而不是直接對網(wǎng)絡(luò)的漏洞進行攻擊。掃描器具有3個功能，即：發(fā)現(xiàn)目標；找出目標主機或網(wǎng)絡(luò)正運行的服務(wù)；對具有漏洞的服務(wù)進行測試。其最基本原理是在用戶試圖對特殊服務(wù)進行連接的時候?qū)B接所產(chǎn)生的消息進行檢測。

在網(wǎng)絡(luò)安全的自動檢測系統(tǒng)運行中，首先要做的是對攻擊方法進行收集與分先，在這個過程里，為了確保網(wǎng)絡(luò)安全自動檢測系統(tǒng)的時效性，我們可以設(shè)計一種攻擊方法插件（Plug-in）所構(gòu)成的攻擊方法庫。它其實是用于對攻擊方法進行描述與實現(xiàn)的動態(tài)鏈接庫。

在方法庫的基礎(chǔ)上，我們可以設(shè)計實現(xiàn)掃描調(diào)度程序和掃描控制程序。這種程序能夠接受用戶命令，然后配置需要掃描的目標網(wǎng)絡(luò)以及主機，并分析處理這種掃描結(jié)果，圖1比較直觀的反映了網(wǎng)絡(luò)安全自動檢測系統(tǒng)工作的整體流程。而掃描調(diào)度根則是依據(jù)掃來自描控制程序的掃描要求以及動態(tài)調(diào)用方法庫中的方法對目標進行掃描，然后把掃描結(jié)果反饋到掃描控制程序中。下圖是網(wǎng)絡(luò)安全自動測試系統(tǒng)的總體架構(gòu)圖。

（三）網(wǎng)絡(luò)入侵預警系統(tǒng)