【文章內容簡介】 源 ， 造成流量堵塞 、 上網(wǎng)速度慢等問題 ， 而且某些網(wǎng)站如娛樂 、 游戲 、 暴力 、 色情 、 反動消息等不良網(wǎng)絡內容 ，將極大地危害學生的身心健康 ， 導致無法想象的后果 。 3 相關的知識和技術 網(wǎng)絡攻擊的主要類型 在安全系統(tǒng)中，一般至少應當考慮如下三類安全威脅；外部攻擊、內部攻擊和授權濫用。攻擊者來自該計算機系統(tǒng)的外部時稱作外部攻擊；當攻 擊者就是那些有權使用計算機，但無權訪問某些特定的數(shù)據(jù)、程序或資源的人意圖越權使用系統(tǒng)資源時視為內部攻擊，包括假冒者 (即那些使用其他合法用戶的身份和口令的人 )秘密使用者 (即那些有意逃避審計機制和存取控制的人 )；特權濫用者也是計算機系統(tǒng)資源的合法用戶；表現(xiàn)為有意或無意地濫用他們的特權。其中主要有： 很多攻擊我們在日常都有接觸，最為簡單的，比如早期通過“ Ping”命令來執(zhí)行攻擊，方法用了早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對 TCP/IP 棧的實現(xiàn)在 ICMP 包上都是規(guī)定 63KB，并且在對包的標題頭進行讀取之后，要根據(jù)該標題頭里包含的信息來為有效載荷生成緩沖區(qū)的情況，利用內存分配錯誤的漏洞點，來發(fā)動攻擊，不過這一攻擊方法，顯然現(xiàn)在已很少有人使用，畢竟目前最為簡單的防火墻軟件，恐怕也都可以對這類攻擊做出攔截。 “ IP 欺騙”發(fā)起攻擊 IP 欺騙攻擊發(fā)生在這樣一種情況下。網(wǎng)絡外部的攻擊者假冒受信主機，通過偽裝成當前內外范圍內的 IP 地址信息，或是遠程中，看似為信任區(qū)域的主機，比如從 IP 地址來看，甚至你會認為那只是你鄰居、對門、室友的計算機、或者你在公司、學校的服務器等等。而一旦 騙取用戶的信任，黑客就會把數(shù)據(jù)或命令注入到客戶、服務器之間對等網(wǎng)絡連接間傳送中已存在的數(shù)據(jù)流，而當防火墻也無法辨別或無法做出判斷時，那么此時攻擊就會自動發(fā)起。 3.“破解密碼”來實施攻擊 破解密碼，如何破解電報信息一樣，并不容易但是有技巧，比如早年，一些精品畢業(yè)論文、畢業(yè)設計，優(yōu)質的論文服務： 精品論文網(wǎng) 提供畢業(yè)設計（論文）和圖文教程、視頻教程等一攬子解決方案 7 所謂的“密碼詞典”等程序，他們就通過這一方法，利用最為原始，看似又更為有效的破解方式，來試圖強行計算原創(chuàng)計算機登錄密碼，特別是當反復試探，甚至上千、上萬次試驗后，真的出現(xiàn)破解到密碼的情況，那么便會在用戶尚未察覺，防火墻又無法發(fā)揮效果的情況下，立即登錄計算機， 并創(chuàng)建管理員賬戶，同時快速植入后門程序等，而即使用戶發(fā)現(xiàn)了這一情況，程序已然植入到系統(tǒng)當中，竊密禍根便從此種下。 4.“拒絕服務”欺騙式攻擊 和其他的攻擊方式不同，拒絕服務器是因為他們不是以獲得網(wǎng)絡或網(wǎng)絡上信息的訪問權為目的。攻擊主要是使服務器不能正常的使用提供服務。通常可以耗盡網(wǎng)絡、系統(tǒng)或應用程序有限的資源來實現(xiàn)。特別是當其涉及到特殊的網(wǎng)絡服務應用，像 HTTP 或 FTP 服務，攻擊者能夠獲得并保持所有服務器支持的有用連接，有效的把服務器或服務的真正使用者關在外面。拒絕訪問攻擊也能用普通的Inter 協(xié)議實 現(xiàn)，像 TCP 和 ICMP 漏洞等，通過系統(tǒng)的缺陷發(fā)起攻擊。 “應用層”攻擊 應用層攻擊能夠使用多種不同的方法實現(xiàn)。如使用服務器上通?？烧业杰浖囊阎毕?，通過使用這些缺陷，攻擊者能夠獲得計算機的訪問權，該計算機上有運行應用程序所需賬戶的許可權，一旦獲取，同樣會立即創(chuàng)建管理員賬戶，并快速植入木馬程序。而盡管現(xiàn)在包括微軟等對軟件程序、硬件驅動程序都進行了認證處理，但由于目前技術方面仍然存在弱點，導致仍會有大量黑客通過此方法對系統(tǒng)進行攻擊，而且大多會取得成功。 防火墻理論知識 防火墻的概 念 防火墻是目前最為流行也是使用最為廣泛的一種網(wǎng)絡安全技術，在構建安全網(wǎng)絡環(huán)境的過程中，防火墻作為第一道安全防線，受到越來越多用戶的關注。防火墻并不是真正的墻，它是一類防范措施的總稱，簡單的說，就是位于信任程度不同的網(wǎng)絡之間（如 Inter 或有一定風險的網(wǎng)絡與局域網(wǎng)之間）的軟件或硬件設備的組合，它通過強制實施統(tǒng)一的安全策略，對兩個網(wǎng)絡之間的通信進行控制，防止對重要信息資源的非法存取和訪問，以達到保護系統(tǒng)安全的目的。典型的防火墻具有以下三個方面的基本特征： (1)內部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必 須經(jīng)過防火墻根據(jù)美國國家安全局制定的《信息保障技術框架》，防火墻適用于用戶網(wǎng)絡系統(tǒng)的邊界，屬于用戶網(wǎng)絡邊界的安全保護設備。防火墻的目的就是在網(wǎng)絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內精品畢業(yè)論文、畢業(yè)設計，優(yōu)質的論文服務： 精品論文網(wǎng) 提供畢業(yè)設計（論文）和圖文教程、視頻教程等一攬子解決方案 8 部網(wǎng)絡的服務和訪問的審計和控制。 (2)只有符合安全策略的數(shù)據(jù)流才能通過防火墻 防火墻最基本的功能是確保網(wǎng)絡流量的合法性，并在此前提下將網(wǎng)絡的流量快速的從一條鏈路轉發(fā)到另外的鏈路上去。防火墻將網(wǎng)絡上的流量通過相應的網(wǎng)絡接口接收上來，在適當?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通 過條件的報文從相應的網(wǎng)絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。 (3)防火墻自身應具有非常強的抗攻擊免疫力 防火墻處于網(wǎng)絡邊緣，每時每刻都要面對黑客的入侵，這就要求防火墻自身要具有非常強的抗擊入侵本領。 防火墻的常見類型 根據(jù)防范的方式和側重點的不同，防火墻可以分為以下幾種類型： 1. 包過濾型防火 墻 包過濾型防火墻又稱網(wǎng)絡級防火墻，它是在網(wǎng)絡層對數(shù)據(jù)包進行選擇，根據(jù)源地址和目的地址、應用或協(xié)議以及每個 IP 包的端口來做出通過與否的判斷。 在防火墻內設置有過濾規(guī)則表，其中定義了多種規(guī)則來決定 是否允許數(shù)據(jù)包通過。當數(shù)據(jù)包到來時，防火墻會檢查每一條規(guī)則，若發(fā)現(xiàn)包中的信息與某規(guī)則相符，則放行；若沒有一條規(guī)則能符合，一般情況下，防火墻就會丟棄該包。另外，通過定義基于 TCP 或 UDP 數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如 Tel、 FTP 連接。 包過濾防火墻邏輯簡單、速度快、價格便宜，且網(wǎng)絡性能和透明性好，但因為它只檢查地址和端口，對網(wǎng)絡更高協(xié)議層的信息無理解能力，所以無法攔截具有 IP 欺騙性質等的數(shù)據(jù)包，對網(wǎng)絡的保護很有限。 應用級網(wǎng)關防火墻主要工作在應用層，應用 代理服務技術能將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段，使得網(wǎng)絡內部的客戶不直接與外部的服務器通信。它的基本工作過程是：當客戶機需要使用服務器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務器，代理服務器根據(jù)這一請求向服務器索取數(shù)據(jù)，再由代理服務器將數(shù)據(jù)傳給客戶機。由于外部計算機的網(wǎng)絡鏈路只能到達代理服務器，從而起到隔離防火墻內外計算機系統(tǒng)的作用。 常用的應用級防火墻已有了相應的代理服務器，如 HTTP、 FTP、 Tel、XWindows 等，但對于新開發(fā)的應用，尚沒有相應的代理服務器，他們只有通過網(wǎng)絡級防火墻和一般 的代理服務（如 sock 代理）。 應用級網(wǎng)關防火墻有較好的訪問控制，是目前最安全的防火墻技術，其缺點精品畢業(yè)論文、畢業(yè)設計，優(yōu)質的論文服務： 精品論文網(wǎng) 提供畢業(yè)設計（論文）和圖文教程、視頻教程等一攬子解決方案 9 是執(zhí)行速度慢，操作系統(tǒng)容易受到攻擊，而且有的防火墻需要在一定范圍內定制用戶的系統(tǒng)，這取決于所使用的應用程序，而一些應用程序可能根本不支持代理連接。 電路級網(wǎng)關防火墻是在 OSI 模型中會話層上來過濾數(shù)據(jù)包，它用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的 TCP 握手信息，以此來決定該會話是否合法。 該防火墻并非作為一個獨立的產(chǎn)品存在，常與其他的應用級防火墻結合在一起使用，如 DEC 公司的 AltaVista Firewall 等防火墻。此外，電路級網(wǎng)關還提供“代理服務器”的安全功能。但是，由于該網(wǎng)關是工作在會話層的，故無法檢查應用層級的數(shù)據(jù)包。 規(guī)則檢查防火墻結合了上述三種防火墻的特點，既能在 OSI 網(wǎng)絡層上通過IP 地址和端口號過濾進出的數(shù)據(jù)包，也可以在 OSI 應用層上檢查數(shù)據(jù)包的內容，查看這些內容是否符合內部網(wǎng)絡的安全規(guī)則，或是像電路級網(wǎng)關防火墻一樣，檢查 SYN 和 ACK 標記和序列數(shù)字是否邏輯有序。 與應用級網(wǎng)關防火墻不同的是，規(guī)則檢查防火墻允許受信任的客戶機和不受信任的主機建立直接 聯(lián)系，它不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進出的數(shù)據(jù)包，從理論上比應用級代理在過濾數(shù)據(jù)包上更有效。 目前市場上流行的防火墻大多屬于規(guī)則檢查防火墻，如 OnTechnology 公司生產(chǎn)的 OnGuard 和 CheckPoint 公司生產(chǎn)的 FireWall1 防火墻，該種防火墻的優(yōu)點在于對用戶透明，在 OSI 最高層上加密數(shù)據(jù)，不需要用戶去修改客戶端的程序，也不需對每個在防火墻上運行的服務器額外增加一個代理 [5]。 防火墻的安全策略 安全策略是防火墻的重要組成部分，它決定了受保護網(wǎng)絡的安全性和易用性，一個合理可行的安全策略能夠在網(wǎng)絡安全需求及用戶易用性之間實現(xiàn)良好的平衡。策略設置不當，便會拒絕用戶正常請求的合法服務或是給攻擊者制造可乘之機。一般防火墻設置有兩種策略： (1)凡是未被準許的就是禁止的。防火墻先是封鎖所有的信息流，然后對要求通過的信息進行審查，符合條件的就讓通過。這是一種安全性高于一切的策略，其代價是網(wǎng)絡的方便性受到限制，網(wǎng)絡的應用范圍和效率會降低在這個策略下，會有很多安全的信息和用戶被拒之門外。 (2)凡是未被禁止的就是允 許的。防火墻先是轉發(fā)所有的信息，開始時防火精品畢業(yè)論文、畢業(yè)設計，優(yōu)質的論文服務： 精品論文網(wǎng) 提供畢業(yè)設計（論文）和圖文教程、視頻教程等一攬子解決方案 10 墻幾乎是不起作用，如同虛設，然后再逐項對有害的內容剔除，被禁止的內容越多，防火墻的作用就越大。在此策略下，網(wǎng)絡的靈活性得到完整地保留，但是有可能漏過的信息太多，使安全風險加大，并且網(wǎng)絡管理者往往疲于奔命，工作量增大。 網(wǎng)絡是動態(tài)發(fā)展的，制定的安全目標也應是動態(tài)的，隨著網(wǎng)絡結構或網(wǎng)絡應用范圍的調整，防火墻的安全策略也應隨之調整或改變。 防火墻 技術存在的問題 防火墻產(chǎn)品主要是“身份認證”級的安全產(chǎn)品，只是實現(xiàn)了粗粒度的訪問控制，無法成為安全解決方案的全部，仍有 諸多方面需要改進和完善，比如： (1)網(wǎng)絡上有些攻擊可以繞過防火墻，而防火墻卻不能對繞過它的攻擊提供阻擋。 (2)防火墻管理控制的是內部與外部網(wǎng)絡之間的數(shù)據(jù)流，不能防范來自網(wǎng)絡內部的攻擊。 (3)當使用端到端的加密時，防火墻的作用會受到很大的限制。 (4)當內部網(wǎng)中存在后門時，將會使防火墻形同虛設。 (5)防火墻不能對被病毒感染的程序和文件的傳輸提供保護。 (6)所有防御規(guī)則都是事先設置好的，缺乏實時性，對變化的安全形勢缺少應變的能力。 (7)防火墻不能防止利用標準網(wǎng)絡協(xié)議中的缺陷進行的攻擊。安全需求的發(fā)展 要求新的防火墻能夠綜合使用包過濾、代理等技術，加強綜合安全能力；也需要防火墻向網(wǎng)絡協(xié)議的上層發(fā)展，能從數(shù)據(jù)鏈路層一直到應用層施加全方位的控制。 而且網(wǎng)絡安全單靠防火墻是不夠的，需要和其他形式的安全防護結合起來，在提高防火墻自身功能和性能的同時，由其他技術完成防火墻所缺乏的功能，協(xié)同配合，共同建立一個有效的安全防范體系。 入侵檢測系統(tǒng)相關理論知識 入侵檢測系統(tǒng)的概念 網(wǎng)絡安全技術發(fā)展到今天，除了防火墻和殺毒系統(tǒng)的防護，入侵檢測技術也成為抵御黑客攻擊的有效方式，被認為是防火墻之后的第二道安全閘 門。 入侵檢測系統(tǒng) IDS（ Intrusion Detection System） [6]主要是通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中潛在的違反安全策略的行為和被攻擊的跡象。與其他安全措施不同的是，它需要更多的智能模塊，使得能夠將得到的數(shù)據(jù)進行分析并得出有用的結果，對入侵攻精品畢業(yè)論文、畢業(yè)設計，優(yōu)質的論文服務： 精品論文網(wǎng) 提供畢業(yè)設計（論文）和圖文教程、視頻教程等一攬子解決方案 11 擊行為能及時報警或采取相應的防護手段。 一個基本的入侵檢測系統(tǒng)需要解決兩個方面的問題：一是如何充分并可靠地提取描述行為特征的數(shù)據(jù)；二是如何根據(jù)特征數(shù)據(jù)，高效并準確地判定行為的性質。它在很大程度上 依賴于收集信息的可靠性和準確性。 一個成功的入侵檢測系統(tǒng)，不僅可使系統(tǒng)管理員時刻了解網(wǎng)絡系統(tǒng)，還能給網(wǎng)絡安全策略的制訂提供依據(jù)。它應該管理配置簡單，使非專業(yè)人員非常容易地獲得網(wǎng)絡安全。入侵檢測的規(guī)模還應根據(jù)網(wǎng)絡規(guī)模、系統(tǒng)構造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時做出響應，包括切斷網(wǎng)絡連接、記錄事件和報警等。 入侵檢測系統(tǒng)的 類型 根據(jù)數(shù)據(jù)來源和系統(tǒng)結構的不同，入侵檢測系統(tǒng)可以分為基于主機、基于網(wǎng)絡和混合性入侵檢測系統(tǒng)三類： (1) 基于主機的入侵檢測（ HID， Hostbased Intrusion Detection） 通常在被重點檢測的主機上運行一個代理程序，用于監(jiān)視、檢測對于主機的攻擊行為 (如可疑的網(wǎng)絡連接、系統(tǒng)日志檢查、非法訪問等 )，通知用戶并進行響應。 HID 最適合配置來對抗內部的威脅，因為能監(jiān)視并響應用戶特殊的行為以及對主機文件的訪問行為。 (2) 基于網(wǎng)絡的入侵檢測（ NID， Network In