【正文】 nd information security。Key words: Computer network, Network security, The prevention measures, Firewall technologyII 淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)目錄摘 要................................................I Abstract.............................................II 引言.................................................1 第一章 網(wǎng)絡(luò)安全概述.................................2 計算機網(wǎng)絡(luò)安全的含義..........................2 網(wǎng)絡(luò)信息安全的主要威脅........................2 自然威脅..................................2 人為威脅—黑客攻擊與計算機病毒............3 計算機網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因..............4 影響計算機網(wǎng)絡(luò)安全的因素......................5 第二章 計算機網(wǎng)絡(luò)安全防范策略.......................6 防火墻技術(shù)....................................6 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)................9 入侵檢測技術(shù).................................10 防病毒技術(shù)...................................11 安全管理隊伍的建設(shè)...........................11 第三章 防火墻技術(shù)..................................12 防火墻的定義.................................12 防火墻的功能.................................12 防火墻是網(wǎng)絡(luò)安全的屏障...................12 防火墻的種類.............................13 防火墻的技術(shù)原理.............................13 防火墻的應(yīng)用.................................15 個人防火墻的應(yīng)用.........................15 防火墻技術(shù)在校園網(wǎng)中應(yīng)用.................20 結(jié)論................................................22III 婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)致謝................................................23 參考文獻.............................................24 IV 淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)引言近年來，隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時，計算機網(wǎng)絡(luò)的安全性變得日益重要起來，由于計算機網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素，致使計算機網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。為確保信息的安全與網(wǎng)絡(luò)暢通，研究計算機網(wǎng)絡(luò)的安全與防護措施已迫在眉捷，但網(wǎng)絡(luò)安全問題至今仍沒有能夠引起足夠的重視，更多的用戶認(rèn)為網(wǎng)絡(luò)安全問題離自己尚遠，這一點從大約有40%以上的用戶特別是企業(yè)級用戶沒有安裝防火墻(Firewall)便可以窺見一斑，而所有的問題都在向大家證明一個事實，大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)，所以防火墻技術(shù)應(yīng)當(dāng)引起我們的注意和重視。本文主要研究網(wǎng)絡(luò)安全的缺陷原由及網(wǎng)絡(luò)安全技術(shù)的原理和其他技術(shù)，如防火墻技術(shù)對網(wǎng)絡(luò)安全起到的不可忽視的影響。婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)第一章網(wǎng)絡(luò)安全概述 計算機網(wǎng)絡(luò)安全的含義計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。 網(wǎng)絡(luò)信息安全的主要威脅網(wǎng)絡(luò)安全所面臨的威脅來自很多方面，并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。 自然威脅自然威脅可能來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無目的的事件，有時會直接威脅網(wǎng)絡(luò)的安全，影響信息的存儲媒體。淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù) 人為威脅—黑客攻擊與計算機病毒人為威脅就是說對網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點【2】，以便達到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟上和政治上不可估量的損失。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種：l 網(wǎng)絡(luò)缺陷Intemet由于它的開放性迅速在全球范圍內(nèi)普及，但也正是因為開放性使其保護信息安全存在先天不足。Internet最初的設(shè)計考慮主要是考慮資源共享，基本沒有考慮安全問題，缺乏相應(yīng)的安全監(jiān)督機制。l 黑客攻擊自1998年后，網(wǎng)上的黑客越來越多，也越來越猖獗；與此同時黑客技術(shù)逐漸被越來越多的人掌握現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強，這是網(wǎng)絡(luò)安全的主要威脅之一。l 各種病毒病毒時時刻刻威脅著整個互聯(lián)網(wǎng)。像Nimda和CodeRed的爆發(fā)更是具有深遠的影響，促使人們不得不在網(wǎng)絡(luò)的各個環(huán)節(jié)考慮對于各種病毒的檢測防治，對病毒徹底防御的重要性毋庸置疑。l 管理的欠缺及資源濫用很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對于網(wǎng)絡(luò)安全的認(rèn)識，管理上存在很多漏洞，特別是國內(nèi)的企業(yè)，只是提供了接入Internet的通道，對于網(wǎng)絡(luò)上黑客的攻擊缺乏基本的應(yīng)對措施，同時企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，這是造成網(wǎng)絡(luò)安全問題的根本原因。軟件的漏洞和后門：隨著CPU的頻率越來越高，軟件的規(guī)模越來越大，軟件系統(tǒng)中的漏洞也不可避免的存在，強大如微軟所開發(fā)的Windows也存在。各種各樣的安全漏洞和“后門”，這是網(wǎng)絡(luò)安全的主要威脅之一。l 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為對于來自網(wǎng)絡(luò)內(nèi)部的攻擊，主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無能為力，這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息 3 婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)審計、IDS等主要針對內(nèi)部網(wǎng)絡(luò)安全的安全產(chǎn)品來抵御。l 網(wǎng)絡(luò)資源濫用網(wǎng)絡(luò)有了安全保證和帶寬管理，依然不能防止員工對網(wǎng)絡(luò)資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯(lián)網(wǎng)，盡量避免網(wǎng)絡(luò)對工作帶來負面影響。l 信息泄漏惡意、過失的不合理信息上傳和發(fā)布，可能會造成敏感信息泄漏、有害信息擴散，危及社會、國家、體和個人利益。更有基于競爭需要，利用技術(shù)手段對目標(biāo)機信息資源進行竊取。在眾多人為威脅中來自用戶和惡意軟件即計算機病毒的非法侵入嚴(yán)重，計算機病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴(yán)重的威脅和巨大的損失。 計算機網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因網(wǎng)絡(luò)安全缺陷產(chǎn)生的原因主要有：第一TCP/IP的脆弱性。因特網(wǎng)的基石是TCP/IP協(xié)議【3】，不幸的是該協(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡(luò)攻擊。第二，網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡(luò)。當(dāng)人們用一臺主機和另一局域網(wǎng)的主機進行通信時，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機，他就可以劫持用戶的數(shù)據(jù)包。第三，易被竊聽。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行竊聽。第四，缺乏安全意識。雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外認(rèn)證，進行直接的PPP連接從而避開了防火墻的保護。淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù) 影響計算機網(wǎng)絡(luò)安全的因素①網(wǎng)絡(luò)資源的共享性。資源共享是計算機網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯(lián)網(wǎng)需求的日益增長，外部服務(wù)請求不可能做到完全隔離，攻擊者利用服務(wù)請求的機會很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。②網(wǎng)絡(luò)的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。③網(wǎng)絡(luò)操作系統(tǒng)的漏洞。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實現(xiàn)的最終載體之一，它不僅負責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。④網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷。網(wǎng)絡(luò)設(shè)計是指拓撲結(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況下，還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計則會成為網(wǎng)絡(luò)的安全威脅。⑤惡意攻擊。就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒，這是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)第二章計算機網(wǎng)絡(luò)安全防范策略計算機網(wǎng)絡(luò)安全從技術(shù)上來說，主要由防病毒、防火墻、入侵檢測等多個安全組件組成，任何一個單獨的組件都無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)等，以下就此幾項技術(shù)分別進行分析。 防火墻技術(shù)防火墻網(wǎng)絡(luò)安全的屏障，配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。當(dāng)一個網(wǎng)絡(luò)接上Internet之后，系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。防火墻可以強化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證)配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離【4】，從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。為了讓大家更好地使用防火墻，我們從反面列舉4個有代表性的失敗案例。例1：未制定完整的企業(yè)安全策略 淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)網(wǎng)絡(luò)環(huán)境：某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表揚了負責(zé)防火墻安裝實施的信息部。： 該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機是帶路由模塊的三層交換機，出口通過路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個VLAN，VLANVLAN 2和VLAN 3分配給不同的部門使用，不同的VLAN之間根據(jù)部門級別設(shè)置訪問權(quán)限；VLAN 4分配給交換機出口地址和路由器使用；VLAN 5分配給公共服務(wù)器使用。在沒有加入防火墻之前，各個VLAN中的PC機能夠通過交換機和路由器不受限制地訪問Internet。加入防火墻后，給防火墻分配一個VLAN 4中的空閑IP地址，并把網(wǎng)關(guān)指向路由器；將VLAN 5接入到防火墻的一個網(wǎng)口上。這樣，防火墻就把整個網(wǎng)絡(luò)分為3個區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。問題描述：防火墻投入運行后，實施了一套較為嚴(yán)格的安全規(guī)則，導(dǎo)致公司員工無法使用聊天軟件，于是沒過多久就有員工自己撥號上網(wǎng)，導(dǎo)致感染了特洛依木馬 婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)和蠕蟲等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。問題分析：我們知道，防火墻作為一種保護網(wǎng)絡(luò)安全的設(shè)備，必須部署在受保護網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達到將入侵者拒之門外的目的。如果被保護網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺防火墻是不夠的。在本案例中，防火墻投入使用后，沒有禁止私自撥號上網(wǎng)行為，使得許多PC機通過電話線和Internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過攻擊這些PC機然后進一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開了防火墻。解決辦法：根據(jù)自己企業(yè)網(wǎng)的特點，制定一整套安全策略，并徹底地貫徹實施。比如說，制定一套安全管理規(guī)章制度，嚴(yán)禁員工私自撥號上網(wǎng)。同時封掉撥號上網(wǎng)的電話號碼，并購買檢測撥號上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時間段生效的安全規(guī)則，在非工作時間打開使用的TCP/UDP端口，使得企業(yè)員工可以在工余時間使用聊天軟件。例2：未考慮與其他安全產(chǎn)品的配合使用 問題描述：某公司購買了防火墻后，緊接著又