【文章內(nèi)容簡介】 源 ， 造成流量堵塞 、 上網(wǎng)速度慢等問題 ， 而且某些網(wǎng)站如娛樂 、 游戲 、 暴力 、 色情 、 反動消息等不良網(wǎng)絡(luò)內(nèi)容 ，將極大地危害學(xué)生的身心健康 ， 導(dǎo)致無法想象的后果 。 3 相關(guān)的知識和技術(shù) 網(wǎng)絡(luò)攻擊的主要類型 在安全系統(tǒng)中，一般至少應(yīng)當(dāng)考慮如下三類安全威脅；外部攻擊、內(nèi)部攻擊和授權(quán)濫用。攻擊者來自該計(jì)算機(jī)系統(tǒng)的外部時稱作外部攻擊；當(dāng)攻 擊者就是那些有權(quán)使用計(jì)算機(jī)，但無權(quán)訪問某些特定的數(shù)據(jù)、程序或資源的人意圖越權(quán)使用系統(tǒng)資源時視為內(nèi)部攻擊，包括假冒者 (即那些使用其他合法用戶的身份和口令的人 )秘密使用者 (即那些有意逃避審計(jì)機(jī)制和存取控制的人 )；特權(quán)濫用者也是計(jì)算機(jī)系統(tǒng)資源的合法用戶；表現(xiàn)為有意或無意地濫用他們的特權(quán)。其中主要有： 很多攻擊我們在日常都有接觸，最為簡單的，比如早期通過“ Ping”命令來執(zhí)行攻擊，方法用了早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對 TCP/IP 棧的實(shí)現(xiàn)在 ICMP 包上都是規(guī)定 63KB，并且在對包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)的情況，利用內(nèi)存分配錯誤的漏洞點(diǎn)，來發(fā)動攻擊，不過這一攻擊方法，顯然現(xiàn)在已很少有人使用，畢竟目前最為簡單的防火墻軟件，恐怕也都可以對這類攻擊做出攔截。 “ IP 欺騙”發(fā)起攻擊 IP 欺騙攻擊發(fā)生在這樣一種情況下。網(wǎng)絡(luò)外部的攻擊者假冒受信主機(jī)，通過偽裝成當(dāng)前內(nèi)外范圍內(nèi)的 IP 地址信息，或是遠(yuǎn)程中，看似為信任區(qū)域的主機(jī)，比如從 IP 地址來看，甚至你會認(rèn)為那只是你鄰居、對門、室友的計(jì)算機(jī)、或者你在公司、學(xué)校的服務(wù)器等等。而一旦 騙取用戶的信任，黑客就會把數(shù)據(jù)或命令注入到客戶、服務(wù)器之間對等網(wǎng)絡(luò)連接間傳送中已存在的數(shù)據(jù)流，而當(dāng)防火墻也無法辨別或無法做出判斷時，那么此時攻擊就會自動發(fā)起。 3.“破解密碼”來實(shí)施攻擊 破解密碼，如何破解電報(bào)信息一樣，并不容易但是有技巧，比如早年，一些精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 7 所謂的“密碼詞典”等程序，他們就通過這一方法，利用最為原始，看似又更為有效的破解方式，來試圖強(qiáng)行計(jì)算原創(chuàng)計(jì)算機(jī)登錄密碼，特別是當(dāng)反復(fù)試探，甚至上千、上萬次試驗(yàn)后，真的出現(xiàn)破解到密碼的情況，那么便會在用戶尚未察覺，防火墻又無法發(fā)揮效果的情況下，立即登錄計(jì)算機(jī)， 并創(chuàng)建管理員賬戶，同時快速植入后門程序等，而即使用戶發(fā)現(xiàn)了這一情況，程序已然植入到系統(tǒng)當(dāng)中，竊密禍根便從此種下。 4.“拒絕服務(wù)”欺騙式攻擊 和其他的攻擊方式不同，拒絕服務(wù)器是因?yàn)樗麄儾皇且垣@得網(wǎng)絡(luò)或網(wǎng)絡(luò)上信息的訪問權(quán)為目的。攻擊主要是使服務(wù)器不能正常的使用提供服務(wù)。通?？梢院谋M網(wǎng)絡(luò)、系統(tǒng)或應(yīng)用程序有限的資源來實(shí)現(xiàn)。特別是當(dāng)其涉及到特殊的網(wǎng)絡(luò)服務(wù)應(yīng)用，像 HTTP 或 FTP 服務(wù)，攻擊者能夠獲得并保持所有服務(wù)器支持的有用連接，有效的把服務(wù)器或服務(wù)的真正使用者關(guān)在外面。拒絕訪問攻擊也能用普通的Inter 協(xié)議實(shí) 現(xiàn)，像 TCP 和 ICMP 漏洞等，通過系統(tǒng)的缺陷發(fā)起攻擊。 “應(yīng)用層”攻擊 應(yīng)用層攻擊能夠使用多種不同的方法實(shí)現(xiàn)。如使用服務(wù)器上通?？烧业杰浖囊阎毕?，通過使用這些缺陷，攻擊者能夠獲得計(jì)算機(jī)的訪問權(quán)，該計(jì)算機(jī)上有運(yùn)行應(yīng)用程序所需賬戶的許可權(quán)，一旦獲取，同樣會立即創(chuàng)建管理員賬戶，并快速植入木馬程序。而盡管現(xiàn)在包括微軟等對軟件程序、硬件驅(qū)動程序都進(jìn)行了認(rèn)證處理，但由于目前技術(shù)方面仍然存在弱點(diǎn)，導(dǎo)致仍會有大量黑客通過此方法對系統(tǒng)進(jìn)行攻擊，而且大多會取得成功。 防火墻理論知識 防火墻的概 念 防火墻是目前最為流行也是使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)，在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過程中，防火墻作為第一道安全防線，受到越來越多用戶的關(guān)注。防火墻并不是真正的墻，它是一類防范措施的總稱，簡單的說，就是位于信任程度不同的網(wǎng)絡(luò)之間（如 Inter 或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)與局域網(wǎng)之間）的軟件或硬件設(shè)備的組合，它通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，對兩個網(wǎng)絡(luò)之間的通信進(jìn)行控制，防止對重要信息資源的非法存取和訪問，以達(dá)到保護(hù)系統(tǒng)安全的目的。典型的防火墻具有以下三個方面的基本特征： (1)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必 須經(jīng)過防火墻根據(jù)美國國家安全局制定的《信息保障技術(shù)框架》，防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個安全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對進(jìn)、出內(nèi)精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 8 部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。 (2)只有符合安全策略的數(shù)據(jù)流才能通過防火墻 防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問規(guī)則和安全審查，然后將符合通 過條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對于那些不符合通過條件的報(bào)文則予以阻斷。 (3)防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力 防火墻處于網(wǎng)絡(luò)邊緣，每時每刻都要面對黑客的入侵，這就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。 防火墻的常見類型 根據(jù)防范的方式和側(cè)重點(diǎn)的不同，防火墻可以分為以下幾種類型： 1. 包過濾型防火 墻 包過濾型防火墻又稱網(wǎng)絡(luò)級防火墻，它是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇，根據(jù)源地址和目的地址、應(yīng)用或協(xié)議以及每個 IP 包的端口來做出通過與否的判斷。 在防火墻內(nèi)設(shè)置有過濾規(guī)則表，其中定義了多種規(guī)則來決定 是否允許數(shù)據(jù)包通過。當(dāng)數(shù)據(jù)包到來時，防火墻會檢查每一條規(guī)則，若發(fā)現(xiàn)包中的信息與某規(guī)則相符，則放行；若沒有一條規(guī)則能符合，一般情況下，防火墻就會丟棄該包。另外，通過定義基于 TCP 或 UDP 數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如 Tel、 FTP 連接。 包過濾防火墻邏輯簡單、速度快、價(jià)格便宜，且網(wǎng)絡(luò)性能和透明性好，但因?yàn)樗粰z查地址和端口，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力，所以無法攔截具有 IP 欺騙性質(zhì)等的數(shù)據(jù)包，對網(wǎng)絡(luò)的保護(hù)很有限。 應(yīng)用級網(wǎng)關(guān)防火墻主要工作在應(yīng)用層，應(yīng)用 代理服務(wù)技術(shù)能將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段，使得網(wǎng)絡(luò)內(nèi)部的客戶不直接與外部的服務(wù)器通信。它的基本工作過程是：當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，代理服務(wù)器根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，再由代理服務(wù)器將數(shù)據(jù)傳給客戶機(jī)。由于外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。 常用的應(yīng)用級防火墻已有了相應(yīng)的代理服務(wù)器，如 HTTP、 FTP、 Tel、XWindows 等，但對于新開發(fā)的應(yīng)用，尚沒有相應(yīng)的代理服務(wù)器，他們只有通過網(wǎng)絡(luò)級防火墻和一般 的代理服務(wù)（如 sock 代理）。 應(yīng)用級網(wǎng)關(guān)防火墻有較好的訪問控制，是目前最安全的防火墻技術(shù)，其缺點(diǎn)精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 9 是執(zhí)行速度慢，操作系統(tǒng)容易受到攻擊，而且有的防火墻需要在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所使用的應(yīng)用程序，而一些應(yīng)用程序可能根本不支持代理連接。 電路級網(wǎng)關(guān)防火墻是在 OSI 模型中會話層上來過濾數(shù)據(jù)包，它用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的 TCP 握手信息，以此來決定該會話是否合法。 該防火墻并非作為一個獨(dú)立的產(chǎn)品存在，常與其他的應(yīng)用級防火墻結(jié)合在一起使用，如 DEC 公司的 AltaVista Firewall 等防火墻。此外，電路級網(wǎng)關(guān)還提供“代理服務(wù)器”的安全功能。但是，由于該網(wǎng)關(guān)是工作在會話層的，故無法檢查應(yīng)用層級的數(shù)據(jù)包。 規(guī)則檢查防火墻結(jié)合了上述三種防火墻的特點(diǎn)，既能在 OSI 網(wǎng)絡(luò)層上通過IP 地址和端口號過濾進(jìn)出的數(shù)據(jù)包，也可以在 OSI 應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否符合內(nèi)部網(wǎng)絡(luò)的安全規(guī)則，或是像電路級網(wǎng)關(guān)防火墻一樣，檢查 SYN 和 ACK 標(biāo)記和序列數(shù)字是否邏輯有序。 與應(yīng)用級網(wǎng)關(guān)防火墻不同的是，規(guī)則檢查防火墻允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接 聯(lián)系，它不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進(jìn)出的數(shù)據(jù)包，從理論上比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。 目前市場上流行的防火墻大多屬于規(guī)則檢查防火墻，如 OnTechnology 公司生產(chǎn)的 OnGuard 和 CheckPoint 公司生產(chǎn)的 FireWall1 防火墻，該種防火墻的優(yōu)點(diǎn)在于對用戶透明，在 OSI 最高層上加密數(shù)據(jù)，不需要用戶去修改客戶端的程序，也不需對每個在防火墻上運(yùn)行的服務(wù)器額外增加一個代理 [5]。 防火墻的安全策略 安全策略是防火墻的重要組成部分，它決定了受保護(hù)網(wǎng)絡(luò)的安全性和易用性，一個合理可行的安全策略能夠在網(wǎng)絡(luò)安全需求及用戶易用性之間實(shí)現(xiàn)良好的平衡。策略設(shè)置不當(dāng)，便會拒絕用戶正常請求的合法服務(wù)或是給攻擊者制造可乘之機(jī)。一般防火墻設(shè)置有兩種策略： (1)凡是未被準(zhǔn)許的就是禁止的。防火墻先是封鎖所有的信息流，然后對要求通過的信息進(jìn)行審查，符合條件的就讓通過。這是一種安全性高于一切的策略，其代價(jià)是網(wǎng)絡(luò)的方便性受到限制，網(wǎng)絡(luò)的應(yīng)用范圍和效率會降低在這個策略下，會有很多安全的信息和用戶被拒之門外。 (2)凡是未被禁止的就是允 許的。防火墻先是轉(zhuǎn)發(fā)所有的信息，開始時防火精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 10 墻幾乎是不起作用，如同虛設(shè)，然后再逐項(xiàng)對有害的內(nèi)容剔除，被禁止的內(nèi)容越多，防火墻的作用就越大。在此策略下，網(wǎng)絡(luò)的靈活性得到完整地保留，但是有可能漏過的信息太多，使安全風(fēng)險(xiǎn)加大，并且網(wǎng)絡(luò)管理者往往疲于奔命，工作量增大。 網(wǎng)絡(luò)是動態(tài)發(fā)展的，制定的安全目標(biāo)也應(yīng)是動態(tài)的，隨著網(wǎng)絡(luò)結(jié)構(gòu)或網(wǎng)絡(luò)應(yīng)用范圍的調(diào)整，防火墻的安全策略也應(yīng)隨之調(diào)整或改變。 防火墻 技術(shù)存在的問題 防火墻產(chǎn)品主要是“身份認(rèn)證”級的安全產(chǎn)品，只是實(shí)現(xiàn)了粗粒度的訪問控制，無法成為安全解決方案的全部，仍有 諸多方面需要改進(jìn)和完善，比如： (1)網(wǎng)絡(luò)上有些攻擊可以繞過防火墻，而防火墻卻不能對繞過它的攻擊提供阻擋。 (2)防火墻管理控制的是內(nèi)部與外部網(wǎng)絡(luò)之間的數(shù)據(jù)流，不能防范來自網(wǎng)絡(luò)內(nèi)部的攻擊。 (3)當(dāng)使用端到端的加密時，防火墻的作用會受到很大的限制。 (4)當(dāng)內(nèi)部網(wǎng)中存在后門時，將會使防火墻形同虛設(shè)。 (5)防火墻不能對被病毒感染的程序和文件的傳輸提供保護(hù)。 (6)所有防御規(guī)則都是事先設(shè)置好的，缺乏實(shí)時性，對變化的安全形勢缺少應(yīng)變的能力。 (7)防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊。安全需求的發(fā)展 要求新的防火墻能夠綜合使用包過濾、代理等技術(shù)，加強(qiáng)綜合安全能力；也需要防火墻向網(wǎng)絡(luò)協(xié)議的上層發(fā)展，能從數(shù)據(jù)鏈路層一直到應(yīng)用層施加全方位的控制。 而且網(wǎng)絡(luò)安全單靠防火墻是不夠的，需要和其他形式的安全防護(hù)結(jié)合起來，在提高防火墻自身功能和性能的同時，由其他技術(shù)完成防火墻所缺乏的功能，協(xié)同配合，共同建立一個有效的安全防范體系。 入侵檢測系統(tǒng)相關(guān)理論知識 入侵檢測系統(tǒng)的概念 網(wǎng)絡(luò)安全技術(shù)發(fā)展到今天，除了防火墻和殺毒系統(tǒng)的防護(hù)，入侵檢測技術(shù)也成為抵御黑客攻擊的有效方式，被認(rèn)為是防火墻之后的第二道安全閘 門。 入侵檢測系統(tǒng) IDS（ Intrusion Detection System） [6]主要是通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中潛在的違反安全策略的行為和被攻擊的跡象。與其他安全措施不同的是，它需要更多的智能模塊，使得能夠?qū)⒌玫降臄?shù)據(jù)進(jìn)行分析并得出有用的結(jié)果，對入侵攻精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 11 擊行為能及時報(bào)警或采取相應(yīng)的防護(hù)手段。 一個基本的入侵檢測系統(tǒng)需要解決兩個方面的問題：一是如何充分并可靠地提取描述行為特征的數(shù)據(jù)；二是如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地判定行為的性質(zhì)。它在很大程度上 依賴于收集信息的可靠性和準(zhǔn)確性。 一個成功的入侵檢測系統(tǒng)，不僅可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)，還能給網(wǎng)絡(luò)安全策略的制訂提供依據(jù)。它應(yīng)該管理配置簡單，使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。 入侵檢測系統(tǒng)的 類型 根據(jù)數(shù)據(jù)來源和系統(tǒng)結(jié)構(gòu)的不同，入侵檢測系統(tǒng)可以分為基于主機(jī)、基于網(wǎng)絡(luò)和混合性入侵檢測系統(tǒng)三類： (1) 基于主機(jī)的入侵檢測（ HID， Hostbased Intrusion Detection） 通常在被重點(diǎn)檢測的主機(jī)上運(yùn)行一個代理程序，用于監(jiān)視、檢測對于主機(jī)的攻擊行為 (如可疑的網(wǎng)絡(luò)連接、系統(tǒng)日志檢查、非法訪問等 )，通知用戶并進(jìn)行響應(yīng)。 HID 最適合配置來對抗內(nèi)部的威脅，因?yàn)槟鼙O(jiān)視并響應(yīng)用戶特殊的行為以及對主機(jī)文件的訪問行為。 (2) 基于網(wǎng)絡(luò)的入侵檢測（ NID， Network In