【正文】 nd information security。Key words: Computer network, Network security, The prevention measures, Firewall technologyII 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)目錄摘 要................................................I Abstract.............................................II 引言.................................................1 第一章 網(wǎng)絡(luò)安全概述.................................2 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義..........................2 網(wǎng)絡(luò)信息安全的主要威脅........................2 自然威脅..................................2 人為威脅—黑客攻擊與計(jì)算機(jī)病毒............3 計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因..............4 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素......................5 第二章 計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略.......................6 防火墻技術(shù)....................................6 數(shù)據(jù)加密與用戶授權(quán)訪問(wèn)控制技術(shù)................9 入侵檢測(cè)技術(shù).................................10 防病毒技術(shù)...................................11 安全管理隊(duì)伍的建設(shè)...........................11 第三章 防火墻技術(shù)..................................12 防火墻的定義.................................12 防火墻的功能.................................12 防火墻是網(wǎng)絡(luò)安全的屏障...................12 防火墻的種類.............................13 防火墻的技術(shù)原理.............................13 防火墻的應(yīng)用.................................15 個(gè)人防火墻的應(yīng)用.........................15 防火墻技術(shù)在校園網(wǎng)中應(yīng)用.................20 結(jié)論................................................22III 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)致謝................................................23 參考文獻(xiàn).............................................24 IV 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)引言近年來(lái)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來(lái)越廣泛，在帶來(lái)了前所未有的海量信息的同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)的安全性變得日益重要起來(lái)，由于計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開(kāi)放性和網(wǎng)絡(luò)資源的共享性等因素，致使計(jì)算機(jī)網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。為確保信息的安全與網(wǎng)絡(luò)暢通，研究計(jì)算機(jī)網(wǎng)絡(luò)的安全與防護(hù)措施已迫在眉捷，但網(wǎng)絡(luò)安全問(wèn)題至今仍沒(méi)有能夠引起足夠的重視，更多的用戶認(rèn)為網(wǎng)絡(luò)安全問(wèn)題離自己尚遠(yuǎn)，這一點(diǎn)從大約有40%以上的用戶特別是企業(yè)級(jí)用戶沒(méi)有安裝防火墻(Firewall)便可以窺見(jiàn)一斑，而所有的問(wèn)題都在向大家證明一個(gè)事實(shí)，大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)，所以防火墻技術(shù)應(yīng)當(dāng)引起我們的注意和重視。本文主要研究網(wǎng)絡(luò)安全的缺陷原由及網(wǎng)絡(luò)安全技術(shù)的原理和其他技術(shù)，如防火墻技術(shù)對(duì)網(wǎng)絡(luò)安全起到的不可忽視的影響。婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)第一章網(wǎng)絡(luò)安全概述 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。例如從普通使用者的角度來(lái)說(shuō)，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽(tīng)、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。 網(wǎng)絡(luò)信息安全的主要威脅網(wǎng)絡(luò)安全所面臨的威脅來(lái)自很多方面，并且隨著時(shí)問(wèn)的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。 自然威脅自然威脅可能來(lái)自于各種自然災(zāi)害、惡劣的場(chǎng)地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無(wú)目的的事件，有時(shí)會(huì)直接威脅網(wǎng)絡(luò)的安全，影響信息的存儲(chǔ)媒體。淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù) 人為威脅—黑客攻擊與計(jì)算機(jī)病毒人為威脅就是說(shuō)對(duì)網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過(guò)尋找系統(tǒng)的弱點(diǎn)【2】，以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟(jì)上和政治上不可估量的損失。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種：l 網(wǎng)絡(luò)缺陷Intemet由于它的開(kāi)放性迅速在全球范圍內(nèi)普及，但也正是因?yàn)殚_(kāi)放性使其保護(hù)信息安全存在先天不足。Internet最初的設(shè)計(jì)考慮主要是考慮資源共享，基本沒(méi)有考慮安全問(wèn)題，缺乏相應(yīng)的安全監(jiān)督機(jī)制。l 黑客攻擊自1998年后，網(wǎng)上的黑客越來(lái)越多，也越來(lái)越猖獗；與此同時(shí)黑客技術(shù)逐漸被越來(lái)越多的人掌握現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強(qiáng)，這是網(wǎng)絡(luò)安全的主要威脅之一。l 各種病毒病毒時(shí)時(shí)刻刻威脅著整個(gè)互聯(lián)網(wǎng)。像Nimda和CodeRed的爆發(fā)更是具有深遠(yuǎn)的影響，促使人們不得不在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)考慮對(duì)于各種病毒的檢測(cè)防治，對(duì)病毒徹底防御的重要性毋庸置疑。l 管理的欠缺及資源濫用很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對(duì)于網(wǎng)絡(luò)安全的認(rèn)識(shí)，管理上存在很多漏洞，特別是國(guó)內(nèi)的企業(yè)，只是提供了接入Internet的通道，對(duì)于網(wǎng)絡(luò)上黑客的攻擊缺乏基本的應(yīng)對(duì)措施，同時(shí)企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，這是造成網(wǎng)絡(luò)安全問(wèn)題的根本原因。軟件的漏洞和后門(mén)：隨著CPU的頻率越來(lái)越高，軟件的規(guī)模越來(lái)越大，軟件系統(tǒng)中的漏洞也不可避免的存在，強(qiáng)大如微軟所開(kāi)發(fā)的Windows也存在。各種各樣的安全漏洞和“后門(mén)”，這是網(wǎng)絡(luò)安全的主要威脅之一。l 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊，主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無(wú)能為力，這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息 3 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)審計(jì)、IDS等主要針對(duì)內(nèi)部網(wǎng)絡(luò)安全的安全產(chǎn)品來(lái)抵御。l 網(wǎng)絡(luò)資源濫用網(wǎng)絡(luò)有了安全保證和帶寬管理，依然不能防止員工對(duì)網(wǎng)絡(luò)資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯(lián)網(wǎng)，盡量避免網(wǎng)絡(luò)對(duì)工作帶來(lái)負(fù)面影響。l 信息泄漏惡意、過(guò)失的不合理信息上傳和發(fā)布，可能會(huì)造成敏感信息泄漏、有害信息擴(kuò)散，危及社會(huì)、國(guó)家、體和個(gè)人利益。更有基于競(jìng)爭(zhēng)需要，利用技術(shù)手段對(duì)目標(biāo)機(jī)信息資源進(jìn)行竊取。在眾多人為威脅中來(lái)自用戶和惡意軟件即計(jì)算機(jī)病毒的非法侵入嚴(yán)重，計(jì)算機(jī)病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來(lái)嚴(yán)重的威脅和巨大的損失。 計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因網(wǎng)絡(luò)安全缺陷產(chǎn)生的原因主要有：第一TCP/IP的脆弱性。因特網(wǎng)的基石是TCP/IP協(xié)議【3】，不幸的是該協(xié)議對(duì)于網(wǎng)絡(luò)的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對(duì)TCP/IP很熟悉，就可以利用它的安全缺陷來(lái)實(shí)施網(wǎng)絡(luò)攻擊。第二，網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無(wú)數(shù)個(gè)局域網(wǎng)所連成的一個(gè)巨大網(wǎng)絡(luò)。當(dāng)人們用一臺(tái)主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過(guò)很多機(jī)器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺(tái)處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)，他就可以劫持用戶的數(shù)據(jù)包。第三，易被竊聽(tīng)。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒(méi)有加密，因此人們利用網(wǎng)上免費(fèi)提供的工具就很容易對(duì)網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M(jìn)行竊聽(tīng)。第四，缺乏安全意識(shí)。雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障，但人們普遍缺乏安全意識(shí)，從而使這些保護(hù)措施形同虛設(shè)。如人們?yōu)榱吮荛_(kāi)防火墻代理服務(wù)器的額外認(rèn)證，進(jìn)行直接的PPP連接從而避開(kāi)了防火墻的保護(hù)。淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù) 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素①網(wǎng)絡(luò)資源的共享性。資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會(huì)。隨著互聯(lián)網(wǎng)需求的日益增長(zhǎng)，外部服務(wù)請(qǐng)求不可能做到完全隔離，攻擊者利用服務(wù)請(qǐng)求的機(jī)會(huì)很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。②網(wǎng)絡(luò)的開(kāi)放性。網(wǎng)上的任何一個(gè)用戶很方便訪問(wèn)互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的敏感性信息。③網(wǎng)絡(luò)操作系統(tǒng)的漏洞。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的最終載體之一，它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時(shí)還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過(guò)程所帶來(lái)的缺陷和漏洞。④網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷。網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來(lái)安全隱患。合理的網(wǎng)絡(luò)設(shè)計(jì)在節(jié)約資源的情況下，還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計(jì)則會(huì)成為網(wǎng)絡(luò)的安全威脅。⑤惡意攻擊。就是人們常見(jiàn)的黑客攻擊及網(wǎng)絡(luò)病毒，這是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來(lái)越多，影響越來(lái)越大。婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)第二章計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來(lái)說(shuō)，主要由防病毒、防火墻、入侵檢測(cè)等多個(gè)安全組件組成，任何一個(gè)單獨(dú)的組件都無(wú)法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測(cè)技術(shù)、防病毒技術(shù)等，以下就此幾項(xiàng)技術(shù)分別進(jìn)行分析。 防火墻技術(shù)防火墻網(wǎng)絡(luò)安全的屏障，配置防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻是指一個(gè)由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間，限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)及管理內(nèi)部用戶訪問(wèn)外界網(wǎng)絡(luò)的權(quán)限。當(dāng)一個(gè)網(wǎng)絡(luò)接上Internet之后，系統(tǒng)的安全除了考慮計(jì)算機(jī)病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證)配置在防火墻上。其次對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離【4】，從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。為了讓大家更好地使用防火墻，我們從反面列舉4個(gè)有代表性的失敗案例。例1：未制定完整的企業(yè)安全策略 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)網(wǎng)絡(luò)環(huán)境：某中型企業(yè)購(gòu)買(mǎi)了適合自己網(wǎng)絡(luò)特點(diǎn)的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲(chóng)病毒不見(jiàn)了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表?yè)P(yáng)了負(fù)責(zé)防火墻安裝實(shí)施的信息部。： 該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī)，出口通過(guò)路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個(gè)VLAN，VLANVLAN 2和VLAN 3分配給不同的部門(mén)使用，不同的VLAN之間根據(jù)部門(mén)級(jí)別設(shè)置訪問(wèn)權(quán)限；VLAN 4分配給交換機(jī)出口地址和路由器使用；VLAN 5分配給公共服務(wù)器使用。在沒(méi)有加入防火墻之前，各個(gè)VLAN中的PC機(jī)能夠通過(guò)交換機(jī)和路由器不受限制地訪問(wèn)Internet。加入防火墻后，給防火墻分配一個(gè)VLAN 4中的空閑IP地址，并把網(wǎng)關(guān)指向路由器；將VLAN 5接入到防火墻的一個(gè)網(wǎng)口上。這樣，防火墻就把整個(gè)網(wǎng)絡(luò)分為3個(gè)區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。問(wèn)題描述：防火墻投入運(yùn)行后，實(shí)施了一套較為嚴(yán)格的安全規(guī)則，導(dǎo)致公司員工無(wú)法使用聊天軟件，于是沒(méi)過(guò)多久就有員工自己撥號(hào)上網(wǎng)，導(dǎo)致感染了特洛依木馬 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)和蠕蟲(chóng)等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開(kāi)來(lái)，造成內(nèi)部網(wǎng)大面積癱瘓。問(wèn)題分析：我們知道，防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備，必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達(dá)到將入侵者拒之門(mén)外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺(tái)防火墻是不夠的。在本案例中，防火墻投入使用后，沒(méi)有禁止私自撥號(hào)上網(wǎng)行為，使得許多PC機(jī)通過(guò)電話線和Internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過(guò)攻擊這些PC機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開(kāi)了防火墻。解決辦法：根據(jù)自己企業(yè)網(wǎng)的特點(diǎn)，制定一整套安全策略，并徹底地貫徹實(shí)施。比如說(shuō)，制定一套安全管理規(guī)章制度，嚴(yán)禁員工私自撥號(hào)上網(wǎng)。同時(shí)封掉撥號(hào)上網(wǎng)的電話號(hào)碼，并購(gòu)買(mǎi)檢測(cè)撥號(hào)上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時(shí)間段生效的安全規(guī)則，在非工作時(shí)間打開(kāi)使用的TCP/UDP端口，使得企業(yè)員工可以在工余時(shí)間使用聊天軟件。例2：未考慮與其他安全產(chǎn)品的配合使用 問(wèn)題描述：某公司購(gòu)買(mǎi)了防火墻后，緊接著又