精品毕业论文信息网络平台安全防护技术

精品毕业论文信息网络平台安全防护技术内容摘要：

ways or TCP Tunnels)， 也有人将它归于应用级网关一类。 它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的 链接 ，由两个终止代理服务器上的 链接 来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。 总之，防火墙技术在一定程度上能有效地防止外来的入侵，它在网络系统中起到控制进出网络的 信息流向和信息包，提供使用和流量的日志和审计，隐藏内部 IP 地址及网络结构的细节等。 本文将重点地讲述防火墙的防护技能，对其进行专门的研究。 其他措施 其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。 其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等等。 网络安全的防范是一个体系和系统，必需协调法律、技术和管理三个方面，还要集成防护、监测、响应、恢复等多种技术。 网络安全的防范是通过各种计算机、网络、密码和信息安全技术，保护在网络中传输、交换和存储信息的机密性、完整性和真实性，并 对信息的传播及内容进行控制。 网络安全的防范从技术层次上看，主要有防火墙技术、入侵监测 (IDS/IPS、 IPS 可以做到一手检测，一手阻击 )技术、数据加密技术和数据恢复技术，此外还有安全协议、安全审计、身份认证、数字签名、拒绝服务等多种技术手段。 这里特别需要指出的是防火墙、防病毒和安全协议的技术。 防火墙守住网络门户，防病毒是网络的第一把保护伞，安全协议提供了身份鉴别、密钥分配、数据加密、防信息重传以及通信双方的不可否认性等重要功能。 网络安全防护中防火墙技术问题分析及应用策略 9 4 网络安全防护中防火墙技术问题分析及应用策略 网络的开放性，系统的复杂性， 边界的不确定性，路径的不确定性等等，给网络安全防护带来了很大的困难。 一种单一的防护手段不可能解决所有问题，或者说是很不安全的。 要做到全面，不间断的安全防护，必须要有一个全面的防范体系。 网络与信息安全防范体系是一个动态的、基于时间变化的概念，为确保网络与信息系统的抗攻击性能，保证信息的完整性、可用性、可控性和不可否认性，本人提供这样一种思路：结合不同的安全保护因素，例如防病毒软件、防火墙和安全漏洞检测工具，来创建一个比单一防护有效得的多的综合的保护屏障。 多层、安全互动的安全防护成倍地增加了黑客攻击的成本和难 度，从而大大减少了他们对网络系统的攻击。 其中包括攻击检测 — 应急响应 — 恢复 — 应急响应 — 预警 — 攻击防范。 而对于网络安全防护技术的研究，我将主要研究防火墙技术，下面开始对防火墙技术进行讨论。 防火墙的概念与构成 所谓防火墙就是一个或一组网络设备 (计算机或路由器等 )，可用来在两个或多个网络间加强访问控制。 它的实现有好多种形式，有些实现还是很复杂的，但基本原理原理却很简单。 你可以把它想象成一对开关，一个开关用来阻止传输 , 另一个开关用来允许传输。 设立防火墙的主要目的是保护一个网络不受来自另一个 网络的攻击。 通常，被保护的网络属于我们自己，或者是我们负责管理的，而所要防备的网络则是一个外部的网络，该网络是不可信赖的，因为可能有人会从该网络上对我们的网络发起攻击，破坏网络安全。 对网络的保护包括下列工作：拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源。 不同的防火墙侧重点不同。 从某种意义上来说，防火墙实际上代表了一个网络的访问原则。 如果某个网络决定设定防火墙，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略 (security policy)，即 确定那些类型的信息允许通过防火墙，那些类型的信息不允许通过防火墙。 防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的予以放行，不符合的拒之门外。 网络安全防护中防火墙技术问题分析及应用策略 10 在设计防火墙时，除了安全策略以外，还要确定防火墙类型和拓扑结构。 一般来说，防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间。 防火墙相当于一个控流器，可用来监视或拒绝应用层的通信业务，防火墙也可以在网络层和传输层运行，在这种情况下，防火墙检查进入和离去的报文分组的 IP 和 TCP 头部，根据预先设计的报文分组过滤规则来拒绝或允许报文 分组通过。 防火墙是用来实现一个组织机构的网络安全措施的主要设备。 在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施。 下面介绍了防火墙的基本构件和技术：筛选路由器 (screening router)、分组过滤 (packet filtering)技术、双宿主机 (dualhomed host)、代理服务 (Proxy Service)、应用层网关(application level gateway)和堡垒主机 (bastion host)。 像筛选路由器这样的能够实现安全措施的路 由器常常被称为安全路由器或安全网关，而实现安全管理的应用层网关又称为安全应用层网关。 防火墙的基本构件和技术 筛选路由器 (Screening Router) 许多路由器产品都具有根据给定规则对报文分组进行筛选的功能，这些规则包括协议的类型、特定协议类型的源地址和目的地址字段以及作为协议一部分的控制字段。 例如在常用的 Cisco 路由器上就具有这种对报文分组进行筛选的功能，这种路由器被称为筛选路由器。 最早的 Cisco 路由器只能根据 IP 数据报头部内容进行过滤，而目前的产品还可以根据 TCP 端口及 连接建立的情况进行过滤 , 而且在过滤语法上也有了一定改进。 筛选路由器提供了一种强有力的机制，可用于控制任何网络段上的通信业务类型。 而通过控制一个网络段上的通信业务类型，筛选路由器可以控制该网络段上网络服务的类型，从而可以限制对网络安全有害的服务。 筛选路由器可以根据协议类型和报文分组中有关协议字段的值来区别不同的网络通信业务。 路由器根据与协议相关的准则来区别和限制通过其端口的报文分组的能力被称为报文分组过滤。 因此，筛选路由器又称为分组过滤路由器。 下面我们首先介绍应用筛选路由器时需要考虑的安全防线设置问题， 以及筛选路由器与 OSI 模型的关系，分组过滤技术将在下一节讨论。 (1) 识别危险区域 网络安全防护中防火墙技术问题分析及应用策略 11 根据 1996 年 1 月的统计，连入 INTERNET 的网络大约为 60,000 个左右，主机总数则已超过 900 万台。 由于 INTERNET 上有如此众多的用户，其中难免有少数居心不良的所谓“黑客”。 这种情况就像迁入一个大城市时会遇到犯罪问题一样。 在大城市中，使用带锁的门来保护我们的居室是明智之举。 在这种环境下要求凡事要小心谨慎，因此当有人来敲我们的门时，应首先查看来人，再决定是否让来人进入。 如果来人看起来很危险 (安全风险很高 )，则不应让其进来。 类似地，筛选路由器也通过查看进入的分组来决定它们当中是否有可能有害的分组。 企业网络中的边界被称为安全环形防线。 由于在 INTERNET 上危险的“黑客”很多，确定一个危险区域是很有用的。 这个危险区域就是指通过 INTERNET 可以直接访问的所有具有 TCP/IP 功能的网络。 这里“具有 TCP/IP 功能”是指一台主机支持 TCP/IP 协议和它所支持的上层协议。 “直接访问”是指在 INTERNET 和企业网络的主机之间没有设置强有力的安全措施 (没有“锁门” )。 从我们自己的角度上看， INTERNET 中的地区网、国家网和主干网都 代表着一个危险区域，在危险区域内的主机对于外来攻击的防范是很脆弱的。 因此，我们当然希望把自己的网络和主机置于危险区域之外。 然而，没有相应的设备去拦截对自己网络的攻击，则危险区域将会延伸至自己的网络上。 筛选路由器就是这样一种设备，它可以用来减小危险区域，从而使其不能渗透到我们网络的安全防线之内。 在我们的企业网络中，可能不是所有的主机都具有 TCP/IP 功能。 即使这样，这些非 TPC/IP 主机也可能成为容易攻击的，尽管从技术上说它们不属于危险区域。 如果一台非 TCP/IP 主机与一台 TCP/IP 主机相连，就会发生这种 情况。 入侵者可以使用一种TCP/IP 主机和非 TCP/IP 主机都支持的协议来通过 TCP/IP 主机访问非 TCP/IP 主机，例如：如果这两台主机都连在同一个以太网网段上，入侵者就可以通过以太网协议去访问非 TCP/IP 主机。 筛选路由器本身不能够消除危险区域，但它们可以极为有效地减小危险区域。 (2) 筛选路由器和防火墙与 OSI 模型的关系 按照与 OSI 模型的关系将筛选路由器和防火墙进行比较。 筛选路由器的功能相当于 OSI 模型的网络层 (IP 协议 )和传输层 (TCP 协议 )。 防火墙常常被描述为网关，而网关应可以在 OSI 模型的所有七个 层次上执行处理功能。 通常，网关在 OSI 模型的第七层(应用层 )执行处理功能。 对于大多数防火墙网关来说，也确实如此。 防火墙可以执行分组过滤功能，因为防火墙覆盖了网络层和传输层。 某些厂商，可能是由于市场营销策略，模糊了筛选路由器和防火墙之间的区别，将他们的筛选路网络安全防护中防火墙技术问题分析及应用策略 12 由器产品称为防火墙产品。 为了清晰起见，我们根据 OSI 模型对筛选路由器和防火墙加以区别。 有些时候，筛选路由器也被称为分组过滤网关。 使用“网关”这一术语来称呼分组过滤设备可能有以下理由，即在传输层根据 TCP 标志执行的过滤功能不属于路由器的功能，因为路由器运 行在 OSI 模型的网络层。 在网络层以上运行的设备也被称为网关。 分组过滤 (Packet Filtering) 技术 筛选路由器可以采用分组过滤功能以增强网络的安全性。 筛选功能也可以由许多商业防火墙产品和一些类似于 Karlbridge 的基于纯软件的产品来实现。 但是，许多商业路由器产品都可以被编程以用来执行分组过滤功能。 许多路由器厂商，像 Cisco、 Bay Networks、 3COM、 DEC、 IBM 等，他们的路由器产品都可以用来通过编程实现分组过滤功能。 (1) 分组过滤和网络安全策略 分组过滤可以用来实现 许多种网络安全策略。 网络安全策略必须明确描述被保护的资源和服务的类型、重要程度和防范对象。 通常，网络安全策略主要用于防止外来的入侵，而不是监控内部用户。 例如，阻止外来者入侵内部网络，对一些敏感数据进行存取和破坏网络服务是更为重要的。 这种类型的网络安全策略决定了筛选路由器将被置于何处，以及如何进行编程用来执行分组过滤。 良好的网络安全的实现同时也应该使内部用户难以妨害网络安全，但这通常不是网络安全工作的重点。 网络安全策略的一个主要目标是向用户提供透明的网络服务机制。 由于分组过滤执行在 OSI 模型的网络层和传输 层，而不是在应用层，所以这种途径通常比防火墙产品提供更强的透明性。 我们曾经提到防火墙在 OSI 模型应用层上运行，在这个层次实现的安全措施通常都不够透明。 (2) 一个分组过滤的简单模型 一个分组过滤装置常被置于一个或几个网段之间。 网段通常被分为内部网段和外部网段，外部网段将你的网络连向外部网络，例如 INTERNET；内部网段用来连接一个单位或组织内部的主机和其它网络资源。 在分组过滤装置的每一个端口都可以实施网络安全策略，这种策略描述通过该端口可存取的网络服务的类型。 如果同时有许多网段和该过滤装置相连，则分组过滤装网络安全防护中防火墙技术问题分析及应用策略 13 置 所实施的策略将变得很复杂。 一般来说，在解决网络安全问题时应该避免过于复杂的方案，其原因如下： 难于维护；在配置过滤规则时容易发生错误；执行复杂的方案将对设备的性能产生负作用。 在许多实际情况下，一般都只采用简单模型来实现网络安全策略。 在这个模型中只有两个网段与过滤装置相连，典型的情况是一个网段连向外部网络，另一个连向内部网络。 通过分组过滤来限制请求被拒绝服务的网络通信流。 由于分组过滤规则的设计原则是有利于内部网络连向外部网络，所以在筛选路由器两侧所执行的过滤规则是不同的。 换句话说，分组过滤器是不对称的。 (3) 分 组过滤器的操作 当前，几乎所有的分组过滤装置 (筛选路由器或分组过滤网关 )都按如下方式操作： ① 对于分组过滤装置的有关端口必须设置分组过滤准则，也称为分组过滤规则。 ② 当一个分组到达过滤端口时，将对该分组的头部进行分析。 大多数分组过滤装置只检查 IP、 TCP 或 UDP 头部内的字段。 ③ 分组过滤规则按一定的顺序存贮。 当一个分组到达时，将按分组规则的存贮顺序依次运用每条规则对分组进行检查。 ④ 如果一 条规则阻塞传递或接收一个分组，则不允许该分组通过。 ⑤ 如果一条规则允许传递或接收一个分组，则允许该分组通过。 ⑥ 如果一个分组不满足任何规则，则该分组被阻塞。 从规则 4 和 5，我们可以看到将规则按适当的顺序排列是非常重要的。 在配置分组过滤规则时一个常犯的错误就是将分组过滤规则按错误的顺序排列。 如果一个分组过滤规则排序有错，我们就有可能拒绝进行某些合法的访问，而又允许访问本想拒绝的服务。 规则 6 遵循以下原则：未被明确允许的就将被禁止。 这是一个在设计安全可。