计算机网络安全和防火墙技术

计算机网络安全和防火墙技术内容摘要：

安全的服务而降低风险。 防火墙可以强化网络安全策略。 通过以防火墙为中心的安全方案配置，能将所有安全软件 (如口令、加密、身份认证 )配置在 防火墙上。 其次对网络存取和访问进行监控审计。 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。 当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。 再次防止内部信息的外泄。 利用防火墙对内部网络的划分，可实现内部网重点网段的隔离 【 4】 ，从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。 为了让大家更好地使用防火墙，我们从反面列举 4 个有代表性的失败案例。 例 1：未制定完整的企业安全策略 网络环境：某中型企业购买了适 合自己网络特点的防火墙，刚投入使用后，发现以前局域网中肆虐横行的蠕虫病毒不见了，企业网站遭受拒绝服务攻击的次数也大大减少了，为此，公司领导特意表扬了负责防火墙安装实施的信息部。 该企业网络环境如 图 所示： 图 该企业内部网络的核心交换机是带路由模块的三层交换机，出口通过路由器和 ISP 连接。 内部网划分为 5 个 VLAN， VLAN VLAN 2 和 VLAN 3 分配给不同的部门使用，不同的 VLAN 之间根据部门级别设置访问权限； VLAN 4 分配给交换机出口地址和路由器使用； VLAN 5 分配给公共服务器 使用。 在没有加入防火墙之前，各个 VLAN 中的 PC 机能够通过交换机和路由器不受限制地访问 Inter。 加入防火墙后，给防火墙分配一个 VLAN 4 中的空闲 IP 地址，并把网关指向路由器；将 VLAN 5 接入到防火墙的一个网口上。 这样，防火墙就把整个网络分为 3个区域 : 内部网、公共服务器区和外部网，三者之间的通信受到防火墙安全规则的限制。 问题描述：防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用 聊天软件，于是没过多久就有员工自己拨号上网，导致感染了特洛依木马和蠕虫等病毒，并立刻在公司内部 局域网中传播开来，造成内部网大面积瘫痪。 问题分析：我们知道，防火墙作为一种保护网络安全的设备，必须部署在受保护网络的边界处，只有这样防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。 如果被保护网络的边界不惟一，有很多出入口，那么只部署一台防火墙是不够的。 在本案例中，防火墙投入使用后，没有禁止私自拨号上网行为，使得许多 PC 机通过电话线和 Inter 相连，导致网络边界不惟一，入侵者可以通过攻击这些 PC 机然后进一步攻击内部网络，从而成功地避开了防火墙。 解决办法：根据自己企业网的特点，制 定一整套安全策略，并彻底地贯彻实施。 比如说，制定一套安全管理规章制度，严禁员工私自拨号上网。 同时封掉拨号上网的电话号码，并购买检测拨号上网的软件，这样从管理和技术上杜绝出现网络边界不惟一的情况发生。 另外，考虑到企业员工的需求，可以在防火墙上添加按照时间段生效的安全规则，在非工作时间打开 使用的 TCP/UDP 端口，使得企业员工可以在工余时间使用 聊天软件。 例 2：未考虑与其他安全产品的配合使用 问题描述：某公司购买了防火墙后，紧接着又购买了漏洞扫描和 IDS（入侵检测系统）产品。 当系统管理员利用 IDS 发 现入侵行为后，必须每次都要手工调 整防火墙安全策略，使管理员工作量剧增，而且经常调整安全策略，也给整个网络带来不良影响。 问题分析：选购防火墙时未充分考虑到与其他安全产品如 IDS 的联动功能，导致不能最大程度地发挥安全系统的作用。 解决办法：购买防火墙前应查看企业网是否安装了漏洞扫描或 IDS 等其他安全产品，以及具体产品名称和型号，然后确定所要购买的防火墙是否有联动功能（即是否支持其他安全产品，尤其是 IDS 产品），支持的是哪些品牌和型号的产品，是否与已有的安全产品名称相符，如果不符，最好不要选用，而选择能同已有安全产品联动的防火墙。 这样，当 IDS 发现入侵行为后，在通知管理员的同时发送消息给防火墙，由防火墙自动添加相关规则，把入侵者拒之门外。 例 3：未经常维护升级防火墙 问题描述：某政府机构购置防火墙后已安全运行一年多，由于该机构网络结构一直很稳定，没有什么变化，各种应用也运行稳定，因此管理员逐渐放松了对防火墙的管理，只要网络一直保持畅通即可，不再关心防火墙的规则是否需要调整，软件是否需要升级。 而且由于该机构处于政府专网内，与 Inter 物理隔离，防火墙无法实现在线升级。 因此该机构的防火墙软件版本一直还 是购买时的旧版本，虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包，但从未手工升级过。 在一次全球范围的蠕虫病毒迅速蔓延事件中，政府专网也受到蠕虫病毒的感染，该机构防火墙因为没有及时升级，无法抵御这种蠕虫病毒的攻击，造成整个机构的内部网大面积受感染，网络陷于瘫痪之中。 问题分析：安全与入侵永远是一对矛盾。 防火墙软件作为一种安全工具，必须不断地升级与更新才能应付不断发展的入侵手段，过时的防护盾牌是无法抵挡最先进的长矛的。 作为安全管理员来说，应当时刻留心厂家发布的升级包，及时给防火墙打上最新的补丁。 解决办法：及时维护防火墙，当本机构发生人员变动、网络调整和应用变化时，要及时调整防火墙的安全规则，及时升级防火墙。 从以上三个案例我们可以得出一些结论 ：防火墙只是保证安全的一种技术手段，要想真正实现安全，安全策略是核心问题。 保护网络安全不仅仅是防火墙一种产品，只有将多种安全产品无缝地结合起来，充分利用它们各自的优点，才能最大限度地保证网络安全。 而 保护网络安全是动态的过程，防火墙需要积极地维护和升级。 数据加密与用户授权访问控制技术 与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放 的网络。 用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。 数据加密主要用于对动态信息的保护。 对动态数据的攻击分为主动攻击和被动攻击。 对于主动攻击，虽无法避免，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以避免，实现这一切的基础就是数据加密。 数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换是对称密钥算法”。 这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信急，也可以用该密钥解密信息， DES 是对称加密算法中最具代表性的算法。 在公钥加密算法中，公钥是公开的，任何人可以用公钥加密信 息，再将密文发送给私钥拥有者。 私钥是保密的，用于解密其接收的公钥加密过的信息 【 5】。 典型的公钥加密算法 ~nRSA 是目前使用比较广泛的加密算法。 入侵检测技术 入侵检测系统 (IntrusionDetectionSystem， IDS)是从多种计算机系统及网络系统中收集信息，再通过此信息分析入侵特征的网络安全系统。 IDS 被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击：在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵 【 6】。 入侵检测的作用包括威慑、检测、响应、损失情况评 估、攻击预测和起诉支持。 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。 入侵检测技术的功能主要体现在以下方面： 1) 分析用户及系统活动，查找非法用户和合法用户的越权操作； 2) 检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞； 3) 识别反映已知进攻的活动模式并向相关人上报警； 4) 对异常行为模式的统计分析； 5) 能够实时地对检测到的入侵行为进行反应； 6) 评估重要系统和数据文件的完整性； 7) 可以发现新的攻击模式； 防病毒技术 随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对计算机。