(最新整理)初稿计算机网络安全及防火墙技术

(最新整理)初稿计算机网络安全及防火墙技术内容摘要：

火墙类型、防火墙本身是安全的、防火墙的安全性 防火墙的类型 防火墙产品主要有堡垒主机、包过滤路由器、层网关 (代理服务器 )以及电路层网关、屏蔽主机防火墙、双宿主机等类型。 防火墙本身是安全的 作为信息系统安全产品 ,防火墙本身也应该保证安全 ,不给外部侵入者以可乘之机。 通常 ,防火墙 的安全性来自两个方面 :其一是防火墙本身的设计是否合理 ,这类问题一般用户根本无从入手 ,只有通过权威认证机构的全面测试才能确定。 所以对用户来说 ,保守的是选择一个通过多家权威认证机构测试的产品。 其二是使用是否恰 当。 一般来说 ,防火墙的许多配置需要系统管理员手工修改 ,如果系统管理员对防火墙不十分熟悉 ,就有可能在配置过程中遗留大量的安全漏洞。 防火墙的安全性 防火墙产 品最难评估的方面是防火墙的安全性能 ,即防火墙是否能够有效地阻挡外部入侵。 这一点同防火墙自身的安全性一样 ,普通用户通常无法判断。 即使安装好了防火墙 ,如果没有实际的外部入侵 ,也无从得知产品性能的优劣。 但在实际应用中检测安全产品的性能是极为危险的 ,所以用户在选择防火墙产品时 ,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。 防火墙的基本功能 防 火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是，对网络进行访问控制。 绝大部分的防火墙都是放置在可 信任网络（ Internal）和不可信任网络（ Inter）之间。 防火墙的三个特性 A．所有的通信都经过防火墙 B．防火墙只放行经过授权的网络流量 C．防火墙能经受的住对其本身的攻击 我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（ Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的。 所以一般情况下防火墙都位于网络的边界，例如 保护网络的防火墙，将部署在内部网络到外部网络的核心区域上。 防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。 并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。 总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。 防火墙保护的风险 A．机密性的风险 B．数据完整性的风险 C．用性的风险 我们讨论的防火墙主要是部署在网络的边界（ Network。 Perimeter），这个概念主要是指一个本地网络的整个边界，表面看起来，似乎边界的定义很简单，但是随着虚拟专用网络（ VPN）的出现，边界这个概念在通过 VPN 拓展的网络中 变的非常模糊了。 在这种情况下，我们需要考虑的不仅仅是来自外部网络和内部网络的威胁，也包含了远程 VPN 客户端的安全。 因为远程 VPN 客户端的安全将直接影响到整个防御体系的安全。 防火墙的主要优点 A．防火墙 可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内。 B．防火墙可以用于限制对某些特殊服务的访问。 C．防火墙功能单一，不需要在安全性，可用性和功能上做取舍。 D．防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。 防火墙的许多弱点 A．不能防御已经授权的访问 ,以及存在于网络内部系统间的攻击 . B．不能防御合法用户恶意的攻击 .以及社交攻击等非预期的威胁 . C．不能修复脆弱的 管理措施和存在问题的安全策略 三 网络安全防护 网络安全论述 网络安全的具体含义会随着 “ 角度 ” 的变化而变化。 比如：从用户（个人、企业等）的角度来说，他们希望涉及个人 隐私 或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。 计算机网络安全服务和安全机制 物理措施：例如，保护网络关键设备 (如交换机、大型计算机等 )，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（ UPS）等措施。 访问控 制：对用户访问网络资源的权限进行严格的认证和控制。 例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。 数据加密：加密是保护数据安全的重要手段。 加密的作用是保障信息被人截获后不能读懂其含义。 防止计算机网络病毒，安装网络防病毒系统。 网络隔离：网络隔离有两种方式，一种是采用隔离卡来实现的，一种是采用网络安全隔离网闸实现的。 隔离卡主要用于对单台机器的隔离，网闸主要用于对于整个网络的隔离。 其他措施：其他措施包括信息过滤、容错、数据镜像、数据备 份和审计等。 近年来，围绕网络安全问题提出了许多解决办法，例如数据加密技术和防火墙技术等。 数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息。 防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。 微机操作系统的安全控制。 如用户开机键入的口令（某些微机主板有 “ 万 能口令 ” ），对文件的读写存取的控制（如 Unix 系统的文件属性控制机制）。 主要用于保护存贮在硬盘上的信息和数据。 网络接口模块的安全控制。 在网络环境下对来自其他机器的网络通信 进程进行安全控制。 主要包括：身份认证，客户权限设置与判别，审计日志等。 网络互联设备的安全控制。 对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。 主要通过网管软件或路由器配置实现。 安全服务 对等实体认证服务 、 访问控制服务 、 数据保密服务 、 数据完整性服务 、数据源点认证服务 、 禁止否认服务。 安全机制 加密机制 、 数字签名机制 、 访问控制机制 、 数据完整性机制 、 认证机制 、信息流填充机制 、 路由控制机制 、 公证机制。 网络安全方防范措施 计算机网络安全的防范可以 从技术和管理上两个方面来考虑解决。 从技术上解决信息网络安全问题 （ 1）数据备份 所谓数据备份就是将硬盘上的有用的文件、数据都拷贝到另外的地方如移动硬盘等，这样即使连接在网络上的计算机被攻击破坏，因为已经有备份，所以不用担心，再将需要的文件和数据拷回去就可以了。 做好数据的备份是解决数据安全问题的最直接与最有效措施之一。 望通过它更好地采集和保护客户数据。 销售人员离职时偶有发生的对客户数据的破坏或者删除，是很多中小企业老板相当头疼的问题。 我们来看看这 4 种软件是如何解决这个问题的。 Salesforce 回收站 功能，可以通过权限设置赋予用户查看他人删除数据或者清除回收站权限。 XToolsCRM 回收站功能，老板用户可以真正删除数据或者清空回收站。 数据日志功能，记录数据的编辑和修改历史，只有老板可以查看。 C 3 C R M 和 S S C R M 没有发现类似功能。 ：不管是回收站还是数据日志，都是给企业老板的定心丸。 充分考虑老板对数据安全的担忧，是供应商应该重视的问题。 价格对比 Salesforce 每用户每月 6 5 美金（折合人民币： 520 元）， 5用户的团队版 1年 699 美金（折合人民币： 5 6 0 0 元）。 XToolsCRM 按照优惠包销售， 4用户 1 9 8 元每月，用户多时，平均价格更低。 C 3 C R M 由于开源软件规则的限制，不能直接收取租用费，以虚拟主机的形式向客户提供服务；如果需要 C3CRM解决技术问题，每月 1 0 0 元服务。