【正文】 nd information security。Key words: Computer network, Network security, The prevention measures, Firewall technologyII 淺析計算機網(wǎng)絡安全和防火墻技術目錄摘 要................................................I Abstract.............................................II 引言.................................................1 第一章 網(wǎng)絡安全概述.................................2 計算機網(wǎng)絡安全的含義..........................2 網(wǎng)絡信息安全的主要威脅........................2 自然威脅..................................2 人為威脅—黑客攻擊與計算機病毒............3 計算機網(wǎng)絡中的安全缺陷及產(chǎn)生原因..............4 影響計算機網(wǎng)絡安全的因素......................5 第二章 計算機網(wǎng)絡安全防范策略.......................6 防火墻技術....................................6 數(shù)據(jù)加密與用戶授權訪問控制技術................9 入侵檢測技術.................................10 防病毒技術...................................11 安全管理隊伍的建設...........................11 第三章 防火墻技術..................................12 防火墻的定義.................................12 防火墻的功能.................................12 防火墻是網(wǎng)絡安全的屏障...................12 防火墻的種類.............................13 防火墻的技術原理.............................13 防火墻的應用.................................15 個人防火墻的應用.........................15 防火墻技術在校園網(wǎng)中應用.................20 結論................................................22III 婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)致謝................................................23 參考文獻.............................................24 IV 淺析計算機網(wǎng)絡安全和防火墻技術引言近年來，隨著計算機網(wǎng)絡技術的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應用變得越來越廣泛，在帶來了前所未有的海量信息的同時，計算機網(wǎng)絡的安全性變得日益重要起來，由于計算機網(wǎng)絡聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡的開放性和網(wǎng)絡資源的共享性等因素，致使計算機網(wǎng)絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。為確保信息的安全與網(wǎng)絡暢通，研究計算機網(wǎng)絡的安全與防護措施已迫在眉捷，但網(wǎng)絡安全問題至今仍沒有能夠引起足夠的重視，更多的用戶認為網(wǎng)絡安全問題離自己尚遠，這一點從大約有40%以上的用戶特別是企業(yè)級用戶沒有安裝防火墻(Firewall)便可以窺見一斑，而所有的問題都在向大家證明一個事實，大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)，所以防火墻技術應當引起我們的注意和重視。本文主要研究網(wǎng)絡安全的缺陷原由及網(wǎng)絡安全技術的原理和其他技術，如防火墻技術對網(wǎng)絡安全起到的不可忽視的影響。婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)第一章網(wǎng)絡安全概述 計算機網(wǎng)絡安全的含義計算機網(wǎng)絡安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡提供商除了關心這些網(wǎng)絡信息安全外，還要考慮如何應付突發(fā)的自然災害、軍事打擊等對網(wǎng)絡硬件的破壞，以及在網(wǎng)絡出現(xiàn)異常時如何恢復網(wǎng)絡通信，保持網(wǎng)絡通信的連續(xù)性。從本質上來講，網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件及其在網(wǎng)絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡入侵和攻擊行為使得網(wǎng)絡安全面臨新的挑戰(zhàn)。 網(wǎng)絡信息安全的主要威脅網(wǎng)絡安全所面臨的威脅來自很多方面，并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。 自然威脅自然威脅可能來自于各種自然災害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡設備的自然老化等。這些無目的的事件，有時會直接威脅網(wǎng)絡的安全，影響信息的存儲媒體。淺析計算機網(wǎng)絡安全和防火墻技術 人為威脅—黑客攻擊與計算機病毒人為威脅就是說對網(wǎng)絡的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點【2】，以便達到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟上和政治上不可估量的損失。網(wǎng)絡安全的人為威脅主要分為以下幾種：l 網(wǎng)絡缺陷Intemet由于它的開放性迅速在全球范圍內(nèi)普及，但也正是因為開放性使其保護信息安全存在先天不足。Internet最初的設計考慮主要是考慮資源共享，基本沒有考慮安全問題，缺乏相應的安全監(jiān)督機制。l 黑客攻擊自1998年后，網(wǎng)上的黑客越來越多，也越來越猖獗；與此同時黑客技術逐漸被越來越多的人掌握現(xiàn)在還缺乏針對網(wǎng)絡犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強，這是網(wǎng)絡安全的主要威脅之一。l 各種病毒病毒時時刻刻威脅著整個互聯(lián)網(wǎng)。像Nimda和CodeRed的爆發(fā)更是具有深遠的影響，促使人們不得不在網(wǎng)絡的各個環(huán)節(jié)考慮對于各種病毒的檢測防治，對病毒徹底防御的重要性毋庸置疑。l 管理的欠缺及資源濫用很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對于網(wǎng)絡安全的認識，管理上存在很多漏洞，特別是國內(nèi)的企業(yè)，只是提供了接入Internet的通道，對于網(wǎng)絡上黑客的攻擊缺乏基本的應對措施，同時企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，這是造成網(wǎng)絡安全問題的根本原因。軟件的漏洞和后門：隨著CPU的頻率越來越高，軟件的規(guī)模越來越大，軟件系統(tǒng)中的漏洞也不可避免的存在，強大如微軟所開發(fā)的Windows也存在。各種各樣的安全漏洞和“后門”，這是網(wǎng)絡安全的主要威脅之一。l 網(wǎng)絡內(nèi)部用戶的誤操作和惡意行為對于來自網(wǎng)絡內(nèi)部的攻擊，主流的網(wǎng)絡安全產(chǎn)品防火墻基本無能為力，這類攻擊及其誤操作行為需要網(wǎng)絡信息 3 婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)審計、IDS等主要針對內(nèi)部網(wǎng)絡安全的安全產(chǎn)品來抵御。l 網(wǎng)絡資源濫用網(wǎng)絡有了安全保證和帶寬管理，依然不能防止員工對網(wǎng)絡資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯(lián)網(wǎng)，盡量避免網(wǎng)絡對工作帶來負面影響。l 信息泄漏惡意、過失的不合理信息上傳和發(fā)布，可能會造成敏感信息泄漏、有害信息擴散，危及社會、國家、體和個人利益。更有基于競爭需要，利用技術手段對目標機信息資源進行竊取。在眾多人為威脅中來自用戶和惡意軟件即計算機病毒的非法侵入嚴重，計算機病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴重的威脅和巨大的損失。 計算機網(wǎng)絡中的安全缺陷及產(chǎn)生原因網(wǎng)絡安全缺陷產(chǎn)生的原因主要有：第一TCP/IP的脆弱性。因特網(wǎng)的基石是TCP/IP協(xié)議【3】，不幸的是該協(xié)議對于網(wǎng)絡的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡攻擊。第二，網(wǎng)絡結構的不安全性。因特網(wǎng)是一種網(wǎng)間網(wǎng)技術。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡。當人們用一臺主機和另一局域網(wǎng)的主機進行通信時，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機，他就可以劫持用戶的數(shù)據(jù)包。第三，易被竊聽。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行竊聽。第四，缺乏安全意識。雖然網(wǎng)絡中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設。如人們?yōu)榱吮荛_防火墻代理服務器的額外認證，進行直接的PPP連接從而避開了防火墻的保護。淺析計算機網(wǎng)絡安全和防火墻技術 影響計算機網(wǎng)絡安全的因素①網(wǎng)絡資源的共享性。資源共享是計算機網(wǎng)絡應用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯(lián)網(wǎng)需求的日益增長，外部服務請求不可能做到完全隔離，攻擊者利用服務請求的機會很容易獲取網(wǎng)絡數(shù)據(jù)包。②網(wǎng)絡的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。③網(wǎng)絡操作系統(tǒng)的漏洞。網(wǎng)絡操作系統(tǒng)是網(wǎng)絡協(xié)議和網(wǎng)絡服務得以實現(xiàn)的最終載體之一，它不僅負責網(wǎng)絡硬件設備的接口封裝，同時還提供網(wǎng)絡通信所需要的各種協(xié)議和服務的程序實現(xiàn)。由于網(wǎng)絡協(xié)議實現(xiàn)的復雜性，決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。④網(wǎng)絡系統(tǒng)設計的缺陷。網(wǎng)絡設計是指拓撲結構的設計和各種網(wǎng)絡設備的選擇等。網(wǎng)絡設備、網(wǎng)絡協(xié)議、網(wǎng)絡操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡設計在節(jié)約資源的情況下，還可以提供較好的安全性。不合理的網(wǎng)絡設計則會成為網(wǎng)絡的安全威脅。⑤惡意攻擊。就是人們常見的黑客攻擊及網(wǎng)絡病毒，這是最難防范的網(wǎng)絡安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)第二章計算機網(wǎng)絡安全防范策略計算機網(wǎng)絡安全從技術上來說，主要由防病毒、防火墻、入侵檢測等多個安全組件組成，任何一個單獨的組件都無法確保網(wǎng)絡信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡安全技術主要有：防火墻技術、數(shù)據(jù)加密技術、入侵檢測技術、防病毒技術等，以下就此幾項技術分別進行分析。 防火墻技術防火墻網(wǎng)絡安全的屏障，配置防火墻是實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設備組合而成，處于企業(yè)或網(wǎng)絡群體計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡的權限。當一個網(wǎng)絡接上Internet之后，系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。防火墻可以強化網(wǎng)絡安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。其次對網(wǎng)絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離【4】，從而降低了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。為了讓大家更好地使用防火墻，我們從反面列舉4個有代表性的失敗案例。例1：未制定完整的企業(yè)安全策略 淺析計算機網(wǎng)絡安全和防火墻技術網(wǎng)絡環(huán)境：某中型企業(yè)購買了適合自己網(wǎng)絡特點的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務攻擊的次數(shù)也大大減少了，為此，公司領導特意表揚了負責防火墻安裝實施的信息部。： 該企業(yè)內(nèi)部網(wǎng)絡的核心交換機是帶路由模塊的三層交換機，出口通過路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個VLAN，VLANVLAN 2和VLAN 3分配給不同的部門使用，不同的VLAN之間根據(jù)部門級別設置訪問權限；VLAN 4分配給交換機出口地址和路由器使用；VLAN 5分配給公共服務器使用。在沒有加入防火墻之前，各個VLAN中的PC機能夠通過交換機和路由器不受限制地訪問Internet。加入防火墻后，給防火墻分配一個VLAN 4中的空閑IP地址，并把網(wǎng)關指向路由器；將VLAN 5接入到防火墻的一個網(wǎng)口上。這樣，防火墻就把整個網(wǎng)絡分為3個區(qū)域: 內(nèi)部網(wǎng)、公共服務器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。問題描述：防火墻投入運行后，實施了一套較為嚴格的安全規(guī)則，導致公司員工無法使用聊天軟件，于是沒過多久就有員工自己撥號上網(wǎng)，導致感染了特洛依木馬 婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)和蠕蟲等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。問題分析：我們知道，防火墻作為一種保護網(wǎng)絡安全的設備，必須部署在受保護網(wǎng)絡的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡的數(shù)據(jù)通信，達到將入侵者拒之門外的目的。如果被保護網(wǎng)絡的邊界不惟一，有很多出入口，那么只部署一臺防火墻是不夠的。在本案例中，防火墻投入使用后，沒有禁止私自撥號上網(wǎng)行為，使得許多PC機通過電話線和Internet相連，導致網(wǎng)絡邊界不惟一，入侵者可以通過攻擊這些PC機然后進一步攻擊內(nèi)部網(wǎng)絡，從而成功地避開了防火墻。解決辦法：根據(jù)自己企業(yè)網(wǎng)的特點，制定一整套安全策略，并徹底地貫徹實施。比如說，制定一套安全管理規(guī)章制度，嚴禁員工私自撥號上網(wǎng)。同時封掉撥號上網(wǎng)的電話號碼，并購買檢測撥號上網(wǎng)的軟件，這樣從管理和技術上杜絕出現(xiàn)網(wǎng)絡邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時間段生效的安全規(guī)則，在非工作時間打開使用的TCP/UDP端口，使得企業(yè)員工可以在工余時間使用聊天軟件。例2：未考慮與其他安全產(chǎn)品的配合使用 問題描述：某公司購買了防火墻后，緊接著又