浅析计算机网络安全和防火墙技术论文

浅析计算机网络安全和防火墙技术论文内容摘要：

WWW 服务器向外部提供信息，那么就可以在 FireWall 上设置使得只有这两类应用的数据包可以通过。 这对于 路由器 来说，就要不仅分析 IP 层的信息，而且还要进一步了解 TCP 传输层甚至应用层的信息以进行取舍。 FireWall 一般安装在路由器 上以保护一个子网，也可以安装在一台 主机 上，保护这台主机不受侵犯。 为了让大家更好地使用防火墙，我们从反面列举 4 个有代表性的失败案例。 例 1：未制定完整的企业安全策略 网络环境：某中型企业购买了适合自己网络特点的防火墙，刚投入使用后，发现以前局域网中肆虐横行的蠕虫病毒不见了，企业网站遭受拒绝服务攻击的次数也大大减少了，为此，公司领导特意表扬了负责防火墙安装实施的信息部。 该企业网络环境如图 所示： 11 图 该企业内部网络的核心交换机是带路由模块的三层交换机，出口通过路由器和 ISP 连接。 内部网划分为 5 个 VLAN， VLAN VLAN 2 和 VLAN 3 分配给不同的部门使用，不同的 VLAN 之间根据部门级别设置访问权限； VLAN 4 分配给交换机出口地址和路由器使用； VLAN 5 分配给公共服务器使用。 在没有加入防火墙之前，各个 VLAN 中的 PC 机能够通过交换机和路由器不受限制地访问 Inter。 加入防火墙后，给防火墙分配一个 VLAN 4 中的空闲 IP 地址，并把网关指向路由器；将 VLAN 5 接入到防火墙的一个网口上。 这样，防火墙就把整个网络分为 3个区域 : 内部网、公共服务器区和外部网，三者之间的通信受到防火墙安全规则的限制。 问题描述：防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用 聊天软件，于是没过多久就有员工自己拨号上网，导致感染了特洛依木马和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪。 问题分析：我们知道，防火墙作为一种保护网络安全的设备，必须部署在受保护网络的边界处，只有这样防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。 如果被保护网络的边界不惟一，有很多出入口，那么只部署一台防火墙是不够的。 在本案例中，防火墙投入使用后，没有禁止私自拨号上网行为，使得许 多 PC 机通过电话线和 Inter 相连，导致网络边界不惟一，入侵者可以通过攻击这些 PC 机然后进一步攻击内部网络，从而成功地避开了防火墙。 解决办法：根据自己企业网的特点，制定一整套安全策略，并彻底地贯彻实施。 比如说，制定一套安全管理规章制度，严禁员工私自拨号上网。 同时封掉拨号上网的电话号码，并购买检测拨号上网的软件，这样从管理和技术上杜绝出现网络边界不惟一的情况发生。 另外，考虑到企业员工的需求，可以在防火墙上添加按照时间段生效的安全规则，在非工作时间打开 使用的 TCP/UDP 端口，使得企业员工可以在 工余时间使用 聊天软件。 例 2：未考虑与其他安全产品的配合使用 问题描述：某公司购买了防火墙后，紧接着又购买了漏洞扫描和 IDS（入侵检测系统）产品。 当系统管理员利用 IDS 发现入侵行为后，必须每次都要手工调 12 整防火墙安全策略，使管理员工作量剧增，而且经常调整安全策略，也给整个网络带来不良影响。 问题分析：选购防火墙时未充分考虑到与其他安全产品如 IDS 的联动功能，导致不能最大程度地发挥安全系统的作用。 解决办法：购买防火墙前应查看企业网是否安装了漏洞扫描或 IDS 等其他安全产品，以及具体产品名称和型号，然后 确定所要购买的防火墙是否有联动功能（即是否支持其他安全产品，尤其是 IDS 产品），支持的是哪些品牌和型号的产品，是否与已有的安全产品名称相符，如果不符，最好不要选用，而选择能同已有安全产品联动的防火墙。 这样，当 IDS 发现入侵行为后，在通知管理员的同时发送消息给防火墙，由防火墙自动添加相关规则，把入侵者拒之门外。 例 3：未经常维护升级防火墙 问题描述：某政府机构购置防火墙后已安全运行一年多，由于该机构网络结构一直很稳定，没有什么变化，各种应用也运行稳定，因此管理员逐渐放松了对防火墙的管理，只要网络一直保持 畅通即可，不再关心防火墙的规则是否需要调整，软件是否需要升级。 而且由于该机构处于政府专网内，与 Inter 物理隔离，防火墙无法实现在线升级。 因此该机构的防火墙软件版本一直还是购买时的旧版本，虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包，但从未手工升级过。 在一次全球范围的蠕虫病毒迅速蔓延事件中，政府专网也受到蠕虫病毒的感染，该机构防火墙因为没有及时升级，无法抵御这种蠕虫病毒的攻击，造成整个机构的内部网大面积受感染，网络陷于瘫痪之中。 问题分析：安全与入侵永远是一对矛盾。 防火墙软件作为一种安 全工具，必须不断地升级与更新才能应付不断发展的入侵手段，过时的防护盾牌是无法抵挡最先进的长矛的。 作为安全管理员来说，应当时刻留心厂家发布的升级包，及时给防火墙打上最新的补丁。 解决办法：及时维护防火墙，当本机构发生人员变动、网络调整和应用变化时，要及时调整防火墙的安全规则，及时升级防火墙。 从以上三个案例我们可以得出一些结论：防火墙只是保证安全的一种技术手段，要想真正实现安全，安全策略是核心问题。 保护网络安全不仅仅是防火墙一种产品，只有将多种安全产品无缝地结合起来，充分利用它们各自的优点，才能最大限度地保 证网络安全。 而保护网络安全是动态的过程，防火墙需要积极地维护和升级。 数据加密与用户授权访问控制技术 与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。 用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。 数据加密主要用于对动态信息的保护。 对动态数据的攻击分为主动攻击和被动攻击。 对于主动攻击，虽无法避免，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以避免，实现这一切的基础就是数据加密。 数据加密实质上是对以符号为基础的数据进行移位和 置换的变换算法，这种变换是对称密钥算法”。 这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信急，也可以用该密钥解密信息， DES 是对称加密算法中最具代表性的算法。 在公钥加密算法中，公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者。 私钥是保密的，用于解密其接收的公钥加密过 13 的信息 【 5】。 典型的公钥加密算法 ~nRSA 是目前使用比较广泛的加密算法 入侵检测技术 入侵检测系统 (IntrusionDetectionSystem， IDS)是从多种计算机系统及网络系 统中收集信息，再通过此信息分析入侵特征的网络安全系统。 IDS 被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击：在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵 【 6】。 入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系 统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。 入侵检测技术的功能主要体现在以下方面： 1) 分析用户及系统活动，查找非法用户和合法用户的越权操作； 2) 检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞； 3) 识别反映已知进攻的活动模式并向相关人上报警； 4) 对异常行为模式的统计分析； 5) 能够实时地对检测到的入侵行为进行反应； 6) 评估重要系统和数据文件的完整性； 7) 可以发现新的攻击模式； 入侵检测 方法 方法有很多，如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。 目前一些 入侵检测系统 在应用层入侵检测中已有实现 、分析用户及系统活动； ； ； ； ； ，并识别用户违反安全策略的行为。 入侵检测技术同样 存在问题 , 导致误报率和漏报率 题 , 即期间的信息交换 ,共同协作发现攻击并阻击攻击 3. 基于网络的入侵检测系统对加密的数据流及交换网络下的数据流不能进行检测 , 并且其本身构建易受攻击 4. 入侵检测系统体系结构问题 防病毒技术 计算机病毒的预防技术就是通过一定的技术手段防止 计算机病毒对系统的传染和 14 破坏。 实际上这是一种动态判定技术，即一种行为规则判定技术。 也就是说，计算机病毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。 具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作，尤其是写操作。 预防病毒技术包括：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。 例如，大家所熟悉的防病毒卡，其主要功能是对磁盘提供写保护，监视在计算机和驱动器之间产生的信号。 以及可能造成危害的写命令，并且判断 磁盘当前所处的状态：哪一个磁盘将要进行写操作，是否正在进行写操作，磁盘是否处于写保护等，来确定病毒是否将要发作。 计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。 目前，对已知病毒的预防可以采用特征判定技术或静态判定技术，而对未知病毒的预防则是一种行为规则的判定技术，即动态判定技术。 一 、计算机病毒的预防技术 计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。 实际上这是一种动态判定技术，即一种行为规则判定技术。 也就是说，计算机病毒的预防是采用对病毒的规则进行分类 处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。 具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作，尤其是写操作。 预防病毒技术包括：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。 例如，大家所熟悉的防病毒卡，其主要功能是对磁盘提供写保护，监视在计算机和驱动器之间产生的信号。 以及可能造成危害的写命令，并且判断磁盘当前所处的状态：哪一个磁盘将要进行写操作，是否正在进行写操作，磁盘是否处于写保护等，来确定病毒是否将要发作。 计算机病毒的预防应用包括对 已知病毒的预防和对未知病毒的预防两个部分。 目前，对已知病毒的预防可以采用特征判定技术或静态判定技术，而对未知病毒的预防则是一种行为规则的判定技术，即动态判定技术。 二 、检测病毒技术 计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。 它有两种：一种是根据计算机病毒的关键字、特征程序段内容、病毒特征。