浅析计算机网络安全和防火墙技术.docx
《浅析计算机网络安全和防火墙技术.docx》由会员分享,可在线阅读,更多相关《浅析计算机网络安全和防火墙技术.docx(18页珍藏版)》请在冰豆网上搜索。
浅析计算机网络安全和防火墙技术
毕业论文
浅析计算机网络安全和防火墙技术
姓名:
学号:
指导老师:
系名:
专业:
班级:
二OO九年十二月十三日
摘要
随着时代的发展,Internet日益普及,网络已经成为信息资源的海洋,给人们带来了极大的方便。
但由于Internet是一个开放的,无控制机构的网络,经常会受到计算机病毒、黑客的侵袭。
它可使计算机和计算机网络数据和文件丢失,系统瘫痪。
因此,计算机网络系统安全问题必须放在首位。
作为保护局域子网的一种有效手段,防火墙技术备受睐。
本文主要阐述了网络安全技术所要受到的各方面威胁以及自身存在的一些缺陷,所谓知己知彼,百战不殆。
只有了解了网络安全存在的内忧外患,才能更好的改善网络安全技术,发展网络安全技术。
然后主要阐述防火墙在网络安全中起到的巨大的作用,防火墙的优缺点及各种类型防火墙的使用和效果。
计算机网络技术的在飞速发展中,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要,只有熟悉了各种对网络安全的威胁,熟悉各种保护网路安全的技术,我们才能更好的保护计算机和信息的安全。
关键字:
计算机网络;网络安全;防范措施;防火墙技术
Abstract
WiththedevelopmentofTheTimes,theInternethasbecomeincreasinglypopularandnetworkinformationresourcesofthesea,andbringgreatconvenience。
ButbecauseoftheInternetisanopen,withoutcontrolnetwork,computervirus,oftenbyhackers。
Itcanmakethecomputerandthecomputernetwork,thesystemfilesanddataloss。
Therefore,thecomputernetworksystemsecurityproblemsmustbegivenpriority。
Astheprotectionoflocalsubnetaneffectivemeans,firewalltechnology。
Thisarticlemainlyelaboratedbynetworksecuritytechnologytoeveryaspectofthethreatanditsexistence,somedefects,so-calledawareness。
Theexistenceofthe1930'sandnetworksecurity,canimprovenetworksecuritytechnology,thedevelopmentofnetworksecuritytechnology。
Andthenexpoundsmainlyfirewallinnetworksecurityofhugeroleplays,advantagesanddisadvantagesofvarioustypesoffirewalluseandeffectofthefirewall。
Thecomputernetworktechnology,especiallyintherapiddevelopmentoftheInternetisbecomingmoreandmorewidelyappliedinbroughtanunprecedentedhugeamountsofinformation,networkofopennessandfreedomintheprivateinformationanddataweredamagedorinfringed,thepossibilityofnetworkinformationsecurityisbecomingincreasinglyimportant,onlyfamiliartoallkindsofnetworksecuritythreats,familiarwithvariousprotectionnetworksecuritytechnology,wecanbetterprotectthecomputerandinformationsecurity。
Keywords:
Computernetwork,Networksecurity,Thepreventionmeasures,Firewalltechnology
引言
近年来,随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,计算机网络的安全性变得日益重要起来,由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击【1】。
为确保信息的安全与网络畅通,研究计算机网络的安全与防护措施已迫在眉捷,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑,而所有的问题都在向大家证明一个事实,大多数的黑客入侵事件都是由于未能正确安装防火墙而引发,所以防火墙技术应当引起我们的注意和重视。
本文主要研究网络安全的缺陷原由及网络安全技术的原理和其他技术,如防火墙技术对网络安全起到的不可忽视的影响。
第一章网络安全概述
1.1计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。
例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
人为的网络入侵和攻击行为使得网络安全面临新的挑战。
1.2网络信息安全的主要威胁
网络安全所面临的威胁来自很多方面,并且随着时问的变化而变化。
这些威胁可以宏观地分为自然威胁和人为威胁。
1.2.1自然威胁
自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。
这些无目的的事件,有时会直接威胁网络的安全,影响信息的存储媒体。
1.2.2人为威胁—黑客攻击与计算机病毒
人为威胁就是说对网络的人为攻击。
这些攻击手段都是通过寻找系统的弱点【2】,以便达到破坏、欺骗、窃取数据等目的,造成经济上和政治上不可估量的损失。
网络安全的人为威胁主要分为以下几种:
●网络缺陷
Intemet由于它的开放性迅速在全球范围内普及,但也正是因为开放性使其保护信息安全存在先天不足。
Internet最初的设计考虑主要是考虑资源共享,基本没有考虑安全问题,缺乏相应的安全监督机制。
●黑客攻击
自1998年后,网上的黑客越来越多,也越来越猖獗;与此同时黑客技术逐渐被越来越多的人掌握现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,这是网络安全的主要威胁之一。
●各种病毒
病毒时时刻刻威胁着整个互联网。
像Nimda和CodeRed的爆发更是具有深远的影响,促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治,对病毒彻底防御的重要性毋庸置疑。
●管理的欠缺及资源滥用
很多上了互联网的企业缺乏对于网络安全的认识,管理上存在很多漏洞,特别是国内的企业,只是提供了接入Internet的通道,对于网络上黑客的攻击缺乏基本的应对措施,同时企业内部普遍存在资源滥用现象,这是造成网络安全问题的根本原因。
软件的漏洞和后门:
随着CPU的频率越来越高,软件的规模越来越大,软件系统中的漏洞也不可避免的存在,强大如微软所开发的Windows也存在。
各种各样的安全漏洞和“后门”,这是网络安全的主要威胁之一。
●网络内部用户的误操作和恶意行为
对于来自网络内部的攻击,主流的网络安全产品防火墙基本无能为力,这类攻击及其误操作行为需要网络信息审计、IDS等主要针对内部网络安全的安全产品来抵御。
●网络资源滥用
网络有了安全保证和带宽管理,依然不能防止员工对网络资源的滥用。
等行为极大地降低了员工的工作效率。
管理层希望员工更加有效地使用互联网,尽量避免网络对工作带来负面影响。
●信息泄漏
恶意、过失的不合理信息上传和发布,可能会造成敏感信息泄漏、有害信息扩散,危及社会、国家、体和个人利益。
更有基于竞争需要,利用技术手段对目标机信息资源进行窃取。
在众多人为威胁中来自用户和恶意软件即计算机病毒的非法侵入严重,计算机病毒是利用程序干扰破坏系统正常工作的一种手段,它的产生和蔓延给信息系统的可靠性和安全性带来严重的威胁和巨大的损失。
1.3计算机网络中的安全缺陷及产生原因
网络安全缺陷产生的原因主要有:
第一TCP/IP的脆弱性。
因特网的基石是TCP/IP协议【3】,不幸的是该协议对于网络的安全性考虑得并不多。
并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。
第二,网络结构的不安全性。
因特网是一种网间网技术。
它是由无数个局域网所连成的一个巨大网络。
当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。
第三,易被窃听。
由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。
第四,缺乏安全意识。
虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。
如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。
1.4影响计算机网络安全的因素
①网络资源的共享性。
资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。
随着互联网需求的日益增长,外部服务请求不可能做到完全隔离,攻击者利用服务请求的机会很容易获取网络数据包。
②网络的开放性。
网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的敏感性信息。
③网络操作系统的漏洞。
网络操作系统是网络协议和网络服务得以实现的最终载体之一,它不仅负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。
由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。
④网络系统设计的缺陷。
网络设计是指拓扑结构的设计和各种网络设备的选择等。
网络设备、网络协议、网络操作系统等都会直接带来安全隐患。
合理的网络设计在节约资源的情况下,还可以提供较好的安全性。
不合理的网络设计则会成为网络的安全威胁。
⑤恶意攻击。
就是人们常见的黑客攻击及网络病毒,这是最难防范的网络安全威胁。
随着电脑教育的大众化,这类攻击也是越来越多,影响越来越大。
第二章计算机网络安全防范策略
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,任何一个单独的组件都无法确保网络信息的安全性。
目前广泛运用和比较成熟的网络安全技术主要有:
防火墙技术、数据加密技术、入侵检测技术、防病毒技术等,以下就此几项技术分别进行分析。
2.1防火墙技术
防火墙网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。
防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。
当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。
防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
防火墙可以强化网络安全策略。
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。
其次对网络存取和访问进行监控审计。
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
再次防止内部信息的外泄。
利用防火墙对内部网络的划分,可实现内部网重点网段的隔离【4】,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
为了让大家更好地使用防火墙,我们从反面列举4个有代表性的失败案例。
例1:
未制定完整的企业安全策略
网络环境:
某中型企业购买了适合自己网络特点的防火墙,刚投入使用后,发现以前局域网中肆虐横行的蠕虫病毒不见了,企业网站遭受拒绝服务攻击的次数也大大减少了,为此,公司领导特意表扬了负责防火墙安装实施的信息部。
该企业网络环境如图2.1所示:
图2.1
该企业内部网络的核心交换机是带路由模块的三层交换机,出口通过路由器和ISP连接。
内部网划分为5个VLAN,VLAN1、VLAN2和VLAN3分配给不同的部门使用,不同的VLAN之间根据部门级别设置访问权限;VLAN4分配给交换机出口地址和路由器使用;VLAN5分配给公共服务器使用。
在没有加入防火墙之前,各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。
加入防火墙后,给防火墙分配一个VLAN4中的空闲IP地址,并把网关指向路由器;将VLAN5接入到防火墙的一个网口上。
这样,防火墙就把整个网络分为3个区域:
内部网、公共服务器区和外部网,三者之间的通信受到防火墙安全规则的限制。
问题描述:
防火墙投入运行后,实施了一套较为严格的安全规则,导致公司员工无法使用QQ聊天软件,于是没过多久就有员工自己拨号上网,导致感染了特洛依木马和蠕虫等病毒,并立刻在公司内部局域网中传播开来,造成内部网大面积瘫痪。
问题分析:
我们知道,防火墙作为一种保护网络安全的设备,必须部署在受保护网络的边界处,只有这样防火墙才能控制所有出入网络的数据通信,达到将入侵者拒之门外的目的。
如果被保护网络的边界不惟一,有很多出入口,那么只部署一台防火墙是不够的。
在本案例中,防火墙投入使用后,没有禁止私自拨号上网行为,使得许多PC机通过电话线和Internet相连,导致网络边界不惟一,入侵者可以通过攻击这些PC机然后进一步攻击内部网络,从而成功地避开了防火墙。
解决办法:
根据自己企业网的特点,制定一整套安全策略,并彻底地贯彻实施。
比如说,制定一套安全管理规章制度,严禁员工私自拨号上网;同时封掉拨号上网的电话号码,并购买检测拨号上网的软件,这样从管理和技术上杜绝出现网络边界不惟一的情况发生。
另外,考虑到企业员工的需求,可以在防火墙上添加按照时间段生效的安全规则,在非工作时间打开QQ使用的TCP/UDP端口,使得企业员工可以在工余时间使用QQ聊天软件。
例2:
未考虑与其他安全产品的配合使用
问题描述:
某公司购买了防火墙后,紧接着又购买了漏洞扫描和IDS(入侵检测系统)产品。
当系统管理员利用IDS发现入侵行为后,必须每次都要手工调整防火墙安全策略,使管理员工作量剧增,而且经常调整安全策略,也给整个网络带来不良影响。
问题分析:
选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能,导致不能最大程度地发挥安全系统的作用。
解决办法:
购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品,以及具体产品名称和型号,然后确定所要购买的防火墙是否有联动功能(即是否支持其他安全产品,尤其是IDS产品),支持的是哪些品牌和型号的产品,是否与已有的安全产品名称相符,如果不符,最好不要选用,而选择能同已有安全产品联动的防火墙。
这样,当IDS发现入侵行为后,在通知管理员的同时发送消息给防火墙,由防火墙自动添加相关规则,把入侵者拒之门外。
例3:
未经常维护升级防火墙
问题描述:
某政府机构购置防火墙后已安全运行一年多,由于该机构网络结构一直很稳定,没有什么变化,各种应用也运行稳定,因此管理员逐渐放松了对防火墙的管理,只要网络一直保持畅通即可,不再关心防火墙的规则是否需要调整,软件是否需要升级。
而且由于该机构处于政府专网内,与Internet物理隔离,防火墙无法实现在线升级。
因此该机构的防火墙软件版本一直还是购买时的旧版本,虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包,但从未手工升级过。
在一次全球范围的蠕虫病毒迅速蔓延事件中,政府专网也受到蠕虫病毒的感染,该机构防火墙因为没有及时升级,无法抵御这种蠕虫病毒的攻击,造成整个机构的内部网大面积受感染,网络陷于瘫痪之中。
问题分析:
安全与入侵永远是一对矛盾。
防火墙软件作为一种安全工具,必须不断地升级与更新才能应付不断发展的入侵手段,过时的防护盾牌是无法抵挡最先进的长矛的。
作为安全管理员来说,应当时刻留心厂家发布的升级包,及时给防火墙打上最新的补丁。
解决办法:
及时维护防火墙,当本机构发生人员变动、网络调整和应用变化时,要及时调整防火墙的安全规则,及时升级防火墙。
从以上三个案例我们可以得出一些结论:
防火墙只是保证安全的一种技术手段,要想真正实现安全,安全策略是核心问题。
保护网络安全不仅仅是防火墙一种产品,只有将多种安全产品无缝地结合起来,充分利用它们各自的优点,才能最大限度地保证网络安全。
而保护网络安全是动态的过程,防火墙需要积极地维护和升级。
2.2数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。
用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。
数据加密主要用于对动态信息的保护。
对动态数据的攻击分为主动攻击和被动攻击。
对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。
数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是对称密钥算法”。
这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。
在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。
私钥是保密的,用于解密其接收的公钥加密过的信息【5】。
典型的公钥加密算法~nRSA是目前使用比较广泛的加密算法。
2.3入侵检测技术
入侵检测系统(IntrusionDetectionSystem,IDS)是从多种计算机系统及网络系统中收集信息,再通过此信息分析入侵特征的网络安全系统。
IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击:
在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵【6】。
入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测技术的功能主要体现在以下方面:
1)分析用户及系统活动,查找非法用户和合法用户的越权操作;
2)检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;
3)识别反映已知进攻的活动模式并向相关人上报警;
4)对异常行为模式的统计分析;
5)能够实时地对检测到的入侵行为进行反应;
6)评估重要系统和数据文件的完整性;
7)可以发现新的攻击模式;
2.4防病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。
在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。
单机防病毒软件一般安装在单台Pc上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。
网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除【7】。
2.5安全管理队伍的建设
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。
同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。
网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。
对于盗用IP资源的用户必须依据管理制度严肃处理。
只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
第三章防火墙技术
3.1防火墙的定义
防火墙是指设置在不同网络或网络安全域之间信息的唯一出入口,能根据网络的安全政策控制(允许拒绝监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
Internet防火墙是一个或一组系统,它能增强机构内部网络的安全性,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取,防火墙系统还决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的服务,以及哪些外部服务何时可以被内部人员访问。
要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙并接受检查。
防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。
但是,防火墙系统一旦被攻击突破或迂回绕过,就不能提供任何保护了。
3.2防火墙的功能
3.2.1防火墙是网络安全的屏障
防火墙(作为阻塞点,控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
防火墙可以强化网络安全策略,通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令加密身份认证审计等)配置在防火墙上,对网络存取和访问进行监控审计:
所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
防止内部信息的外泄,通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,而限制了局部重点或敏感网络安全问题
升级会员 