導語:在防火墻技術論文的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑���,好期刊匯集了九篇優秀范文�����,愿這些內容能夠啟發您的創作靈感���,引領您探索更多的創作可能�����。
第1篇
防火墻是當前公認的確保網絡安全最有效的手段。它通過對訪問權限的控制�����,對所涉及用戶的操作進行審查和過濾���,有效降低了計算機網絡的安全風險。防火墻可以對內部網與互聯網之間的所有活動進行即時有效的監督�,不管是對運行秩序還是內部網的安全運行都能起到很好的保護作用。
1.1計算機防火墻技術
防火墻對計算機網絡保護作用的實現是通過將內部網絡與互聯網分開來實現的�,具有相當強的隔離性����。在防火墻的使用上����,通常都是依靠包的源地址和數據包協議等進行設置的。此外,防火墻的實現途徑還有服務器的軟件這種形式��,不過使用頻率相對少一些����。防火墻在過去比較長的時間里��,它的主要目的除了限制主機之外�����,再就是規范網絡訪問控制,功能相對單一和簡單,不過,隨著近些年網絡技術的不斷更新和完善,防火墻的功能越來越豐富了��,集成了信息的解密、加密等多種功能,另外還具有壓縮機解壓這種新的功能����,計算機網絡的安全性因此得到了非常大的提高。
1.2防火墻的主要功能
防火墻的功能是比較多的���,最主要的是以下幾個方面:首先����,對本機的數據進行篩選和過濾���,這樣可以有效避免非法信息及各種網絡病毒的攻擊和侵入����,另外防火墻還可以對網絡中部分特殊站點進行嚴格規范���,這樣可以有效避免因相關人員的無意操作所帶來的網絡風險。其次,防火墻能夠比較徹底地攔截不安全訪問�����,外部人員如果想進入內部網�,必須先經過防火墻的審查,只有審查合格了才能夠進入,在這一個環節中�����,那些不安全的訪問用戶就會被過濾掉�����,大大降低了網絡安全的風險�。再次��,防火墻能夠很好地保存網絡運行中產生的各種信息數據,當它發現網絡中出現威脅網絡安全的非法活動時,能夠在第一時間發出警報����,并采取針對性的措施[3]����。
二、結語
第2篇
原文
引言
21世紀全世界的計算機都將通過Internet聯到一起�����,信息安全的內涵也就發生了根本的變化���。它不僅從一般性的防衛變成了一種非常普通的防范,而且還從一種專門的領域變成了無處不在�����。當人類步入21世紀這一信息社會����、網絡社會的時候,我國將建立起一套完整的網絡安全體系�,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系�����。
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平臺。我國在構建信息防衛系統時,應著力發展自己獨特的安全產品�,我國要想真正解決網絡安全問題��,最終的辦法就是通過發展民族的安全產業�,帶動我國網絡安全技術的整體提高。
網絡安全產品有以下幾大特點:第一����,網絡安全來源于安全策略與技術的多樣化����,如果采用一種統一的技術和策略也就不安全了���;第二����,網絡的安全機制與技術要不斷地變化;第三,隨著網絡在社會各方面的延伸���,進入網絡的手段也越來越多�,因此�����,網絡安全技術是一個十分復雜的系統工程。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發���。安全與反安全就像矛盾的兩個方面��,總是不斷地向上攀升�,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業��。
信息安全是國家發展所面臨的一個重要問題��。對于這個問題�,我們還沒有從系統的規劃上去考慮它,從技術上、產業上��、政策上來發展它���。政府不僅應該看見信息安全的發展是我國高科技產業的一部分���,而且應該看到�,發展安全產業的政策是信息安全保障系統的一個重要組成部分�����,甚至應該看到它對我國未來電子化�����、信息化的發展將起到非常重要的作用。
1.防火墻概述:
1.1什么是防火墻
防火墻是建立在兩個網絡邊界上的實現安全策略和網絡通信監控的系統或系統集���,它強制執行對內部網絡(如校園網)和外部網絡(如Internet)的訪問控制�。
......
目錄
引言:
1.防火墻概述
1.1什么是防火墻
1.2防火墻的四大功能
2.防火墻的分類
2.1從防火墻的軟、硬件形式劃分
2.2按照防火墻防御方式劃分
2.3按防火墻結構劃分
3.防火墻的選擇
3.1總擁有成本
3.2防火墻本身是安全的
3.3管理與培訓
3.4可擴充性
3.5防火墻的安全性
4.防火墻的發展前景
4.1在包過濾中引入鑒別授權機制
4.2復變包過濾技術
4.3虛擬專用防火墻(VPF)
4.4多級防火墻
結尾語
參考資料
參考文獻:
(1)張炯明.安全電子商務使用技術.北京.清華大學出版社.2002.4
(2)吳應良.電子商務概論.廣州.華南理工大學出版社.2003.8
(3)游夢良,李冬華.企業電子商務模式.廣州.廣東人民大學出版社.2001.10
(4)祁明.電子商務安全與保密[M].北京.高等教育出版社.2001.10
(5)王縝,葉林.電子商務中的安全技術.河北工業科技報.第4期.2002
第3篇
[論文摘要]通過對幾種不同防火墻的攻擊方法和原理進行研究,針對黑客攻擊的方法和原理����,我們能夠部署網絡安全防御策略,為構建安全穩定的網絡安全體系提供了理論原理和試驗成果。
防火墻技術是一種用來加強網絡之間訪問控制����,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,以保護內部網絡操作環境的特殊網絡互聯設備���。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查���,以決定網絡之間的通信是否被允許�����。
從理論上看�����,防火墻處于網絡安全的最底層��,負責網絡間的安全認證與傳輸���,但隨著網絡安全技術的整體發展和網絡應用的不斷變化�����,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務��,同時還能為各種網絡應用提供相應的安全服務��。盡管如此,事情沒有我們想象的完美����,攻擊我們的是人�����,不是機器�,聰明的黑客們總會想到一些辦法來突破防火墻�����。
一、包過濾型防火墻的攻擊
包過濾技術是一種完全基于網絡層的安全技術�,只能根據Packet的來源����、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意入侵。
包過濾防火墻是在網絡層截獲網絡Packet��,根據防火墻的規則表,來檢測攻擊行為����。根據Packet的源IP地址;目的IP地址�����;TCP/UDP源端口��;TCP/UDP目的端口來過濾�。所以它很容易受到如下攻擊��。
(一)ip欺騙
如果修改Packet的源�,目的地址和端口�����,模仿一些合法的Packet就可以騙過防火墻的檢測����。如:我將Packet中的源地址改為內部網絡地址,防火墻看到是合法地址就會放行��。
這種攻擊應該怎么防范呢���?
如果防火墻能結合接口�,地址來匹配�,這種攻擊就不能成功了�。
eth1連接外部網絡,eth2連接內部網絡,所有源地址為內網地址的Packet一定是先到達eth2,我們配置eth1只接受來自eth2的源地址為內網地址的Packet,那么這種直接到達eth1的偽造包就會被丟棄�。
(二)分片偽造
分片是在網絡上傳輸IP報文時采用的一種技術手段���,但是其中存在一些安全隱患。Ping of Death�����, teardrop等攻擊可能導致某些系統在重組分片的過程中宕機或者重新啟動�����。這里我們只談談如何繞過防火墻的檢測���。
在IP的分片包中��,所有的分片包用一個分片偏移字段標志分片包的順序��,但是,只有第一個分片包含有TCP端口號的信息。當IP分片包通過分組過濾防火墻時�����,防火墻只根據第一個分片包的Tcp信息判斷是否允許通過,而其他后續的分片不作防火墻檢測��,直接讓它們通過。
工作原理弄清楚了����,我們來分析:從上面可以看出��,我們如果想穿過防火墻只需要第一個分片��,也就是端口號的信息符合就可以了����。
那我們先發送第一個合法的IP分片��,將真正的端口號封裝在第二個分片中����,那樣后續分片包就可以直接穿透防火墻��,直接到達內部網絡主機,通過我的實驗����,觀察攻擊過程中交換的數據報片斷�,發現攻擊數據包都是只含一個字節數據的報文,而且發送的次序已經亂得不可辨別����,但對于服務器TCP/IP堆棧來說�����,它還是能夠正確重組的�����。
二����、NAT防火墻的攻擊
這里其實談不上什么攻擊��,只能說是穿過這種防火墻的技術�����,而且需要新的協議支持,因為這種方法的是為了讓兩個不同NAT后面的p2p軟件用戶可以不通過端口映射直接進行連接�����,我們稱為UDP打洞技術���。
UDP打洞技術允許在有限的范圍內建立連接���。STUN(The Simple Traversal of User Datagram Protocol through Network Address Translators)協議實現了一種打洞技術可以在有限的情況下允許對NAT行為進行自動檢測然后建立UDP連接�����。在UDP打洞技術中�����,NAT分配的外部端口被發送給協助直接連接的第三方����。在NAT后面的雙方都向對方的外部端口發送一個UDP包,這樣就在NAT上面創建了端口映射�,雙方就此可以建立連接�����。一旦連接建立�����,就可以進行直接的UDP通信了��。
但是UDP連接不能夠持久連接��。UDP是無連接的并且沒有對誰明確的通信�。一般地����,NAT見了的端口映射����,如果一段時間不活動后就是過期��。為了保持UDP端口映射�,必須每隔一段時間就發送UDP包�,就算沒有數據的時候����,只有這樣才能保持UDP通信正常。另外很多防火墻都拒絕任何的外來UDP連接。
由于各方面原因,這次沒有對建立TCP的連接做研究,估計是能連接的���。
三��、防火墻的攻擊
防火墻運行在應用層,攻擊的方法很多。這里就以WinGate為例���。 WinGate是以前應用非常廣泛的一種Windows95/NT防火墻軟件,內部用戶可以通過一臺安裝有WinGate的主機訪問外部網絡,但是它也存在著幾個安全脆弱點����。
黑客經常利用這些安全漏洞獲得WinGate的非授權Web��、Socks和Telnet的訪問,從而偽裝成WinGate主機的身份對下一個攻擊目標發動攻擊�。因此,這種攻擊非常難于被跟蹤和記錄���。
導致WinGate安全漏洞的原因大多數是管理員沒有根據網絡的實際情況對WinGate防火墻軟件進行合理的設置�����,只是簡單地從缺省設置安裝完畢后就讓軟件運行,這就讓攻擊者可從以下幾個方面攻擊:
(一)非授權Web訪問
某些WinGate版本(如運行在NT系統下的2.1d版本)在誤配置情況下,允許外部主機完全匿名地訪問因特網�����。因此,外部攻擊者就可以利用WinGate主機來對Web服務器發動各種Web攻擊( 如CGI的漏洞攻擊等)�,同時由于Web攻擊的所有報文都是從80號Tcp端口穿過的���,因此����,很難追蹤到攻擊者的來源��。
檢測WinGate主機是否有這種安全漏洞的方法如下:
(1)以一個不會被過濾掉的連接(譬如說撥號連接)連接到因特網上。
(2)把瀏覽器的服務器地址指向待測試的WinGate主機���。
如果瀏覽器能訪問到因特網,則WinGate主機存在著非授權Web訪問漏洞。
(二)非授權Socks訪問
在WinGate的缺省配置中,Socks(1080號Tcp端口)同樣是存在安全漏洞��。與打開的Web(80號Tcp端口)一樣����,外部攻擊者可以利用Socks訪問因特網��。
轉貼于
(三)非授權Telnet訪問
它是WinGate最具威脅的安全漏洞。通過連接到一個誤配置的WinGate服務器的Telnet服務,攻擊者可以使用別人的主機隱藏自己的蹤跡��,隨意地發動攻擊���。
檢測WinGate主機是否有這種安全漏洞的方法如下:
1)使用telnet嘗試連接到一臺WinGate服務器。
[root@happy/tmp]#telnet172.29.11.191
Trying172.29.11.191….
Connectedto172.29.11.191.
Escapecharacteris'^]'.
Wingate>10.50.21.5
2)如果接受到如上的響應文本,那就輸入待連接到的網站。
3)如果看到了該新系統的登錄提示符�����,那么該服務器是脆弱的���。
Connectedtohost10.50.21.5…Connected
SunOS5.6
Login:
其實只要我們在WinGate中簡單地限制特定服務的捆綁就可以解決這個問題��。
四、監測型防火墻的攻擊
一般來說�����,完全實現了狀態檢測技術防火墻��,智能性都比較高�,普通的掃描攻擊還能自動的反應。但是這樣智能的防火墻也會受到攻擊���!
(一)協議隧道攻擊
協議隧道的攻擊思想類似與VPN的實現原理,攻擊者將一些惡意的攻擊Packet隱藏在一些協議分組的頭部���,從而穿透防火墻系統對內部網絡進行攻擊����。
比如說,許多簡單地允許ICMP回射請求�、ICMP回射應答和UDP分組通過的防火墻就容易受到ICMP和UDP協議隧道的攻擊�����。Loki和lokid(攻擊的客戶端和服務端)是實施這種攻擊的有效的工具。在實際攻擊中��,攻擊者首先必須設法在內部網絡的一個系統上安裝上lokid服務端����,而后攻擊者就可以通過loki客戶端將希望遠程執行的攻擊命令(對應IP分組)嵌入在ICMP或UDP包頭部,再發送給內部網絡服務端lokid�,由它執行其中的命令�����,并以同樣的方式返回結果���。
由于許多防火墻允許ICMP和UDP分組自由出入��,因此攻擊者的惡意數據就能附帶在正常的分組��,繞過防火墻的認證,順利地到達攻擊目標主機����。
(二)利用FTP-pasv繞過防火墻認證的攻擊
FTP-pasv攻擊是針對防火墻實施入侵的重要手段之一����。目前很多防火墻不能過濾這種攻擊手段。如CheckPoint的Firewall-1,在監視FTP服務器發送給客戶端的包的過程中����,它在每個包中尋找“227”這個字符串���。如果發現這種包���,將從中提取目標地址和端口�����,并對目標地址加以驗證,通過后��,將允許建立到該地址的TCP連接。
攻擊者通過這個特性,可以設法連接受防火墻保護的服務器和服務�。
五����、通用的攻擊方法
(一)木馬攻擊
反彈木馬是對付防火墻的最有效的方法��。攻擊者在內部網絡的反彈木馬定時地連接外部攻擊者控制的主機,由于連接是從內部發起的,防火墻(任何的防火墻)都認為是一個合法的連接,因此基本上防火墻的盲區就是這里了����。防火墻不能區分木馬的連接和合法的連接��。
說一個典型的反彈木馬�����,目前變種最多有“毒王”之稱的“灰鴿子”,該木馬由客戶端主動連接服務器,服務器直接操控�����。非常方便����。
(二)d.o.s拒絕服務攻擊
簡單的防火墻不能跟蹤 tcp的狀態,很容易受到拒絕服務攻擊,一旦防火墻受到d.o.s攻擊,它可能會忙于處理��,而忘記了自己的過濾功能����。簡單的說明兩個例子。
Land(Land Attack)攻擊:在Land攻擊中,黑客利用一個特別打造的SYN包,它的源地址和目標地址都被設置成某一個服務器地址進行攻擊。此舉將導致接受服務器向它自己的地址發送SYN-ACK消息�����,結果這個地址又發回ACK消息并創建一個空連接�,每一個這樣的連接都將保留直到超時�,在Land攻擊下,許多UNIX將崩潰��,NT變得極其緩慢�����。
IP欺騙DOS攻擊:這種攻擊利用TCP協議棧的RST位來實現�,使用IP欺騙�,迫使服務器把合法用戶的連接復位,影響合法用戶的連接���。假設現在有一個合法用戶(a.a.a.a)已經同服務器建立了正常的連接,攻擊者構造攻擊的TCP數據��,偽裝自己的IP為a.a.a.a�,并向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據后���,認為從a.a.a.a發送的連接有錯誤,就會清空緩沖區中已建立好的連接�����。這時��,合法用戶a.a.a.a再發送合法數據����,服務器就已經沒有這樣的連接了�,該用戶就被拒絕服務而只能重新開始建立新的連接。
六�����、結論
我們必須承認以現在的防火墻技術��,無法給我們一個相當安全的網絡。網絡中是沒有百分之百安全的��,由于我們面對的黑客都屬于聰明的高技術性計算機專家�,攻擊時的變數太大,所以網絡安全不可能單靠防火墻來實現���,只可能通過不斷完善策略、協議等根本因素才行����。
在防火墻目前還不算長的生命周期中�����,雖然問題不斷�,但是��,它也在科學家的苦心經營下不斷自我完善����,從單純地攔截一次來自黑客的惡意進攻��,逐步走向安全事件管理及安全信息管理的大路�����,并將最終匯入網絡安全管理系統的大海,這應該是一種歷史的必然����。一旦防火墻把網絡安全管理當作自我完善的終極目的���,就等同于將發展的方向定位在了網絡安全技術的制高點��,如果成功����,防火墻將成為未來網絡安全技術中不可缺少的一部分。
參考文獻
[1]W.Richard As.TCP/IP詳解 卷一:協議[M].機械工業出版社,2000.
[2]黎連業��,張維.防火墻及其應用技術[M].北京:清華大學����,2004.
[3]Marcus Goncalves. 防火墻技術指南[M].北京:機械工業出版社,2000.
第4篇
論文摘要:本文在闡述計算機網絡的基礎上分析了當前計算機系統安全及網絡安全等問題,提出了一些相應的防范措施�,提出了計算機網絡信息安全應注重研究的幾個問題�。
隨著國際互聯網的迅猛發展����,世界各國遭受計算機病毒感染和黑客攻擊的事件屢屢發生,嚴重地干擾了正常的人類社會生活�����。因此��,加強網絡的安全顯得越來越重要�����,防范計算機病毒將越來越受到世界各國的高度重視。
一、計算機病毒
計算機病毒就是指編制或在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用,并能自我復制的一組計算機指令或程序代碼��。計算機病毒的特性表現為傳染性��、隱蔽性���、潛伏性和破壞性����。計算機病毒的檢測方法主要有人工方法�、自動檢測(用反病毒軟件)和防病毒卡�����。
二�����、計算機系統安全
計算機信息系統的安全保護包括計算機的物理組成部分、信息和功能的安全保護�����。
1��、實體安全
計算機主機及外設的電磁干擾輻射必須符合國家標準或軍隊標準的要求����。系統軟件應具備以下安全措施:操作系統應有較完善的存取控制功能,以防止用戶越權存取信息;應有良好的存貯保護功能��,以防止用戶作業在指定范圍以外的存貯區域進行讀寫�����;還應有較完善的管理能力�,以記錄系統的運行情況�,監測對數據文件的存取。
2、輸入輸出控制
數據處理部門的輸出控制應有專人負責��,數據輸出文件在發到用戶之前����,應由數據處理部門進行審核,輸出文件的發放應有完備手續,計算機識別用戶的最常用的方法是口令���,所以須對口令的產生�、登記、更換期限實行嚴格管理��。系統應能跟蹤各種非法請求并記錄某些文件的使用情況���,識別非法用戶的終端�。計算機系統必須有完整的日志記錄,每次成功地使用�,都要記錄節點名�����、用戶名、口令��、終端名���、上下機時間����、操作的數據或程序名、操作的類型���、修改前后的數據值。
三��、網絡安全
計算機網絡安全的目標是在安全性和通信方便性之間建立平衡���。計算機的安全程度應當有一個從低�、中到高的多層次的安全系統,分別對不同重要性的信息資料給與不同級別的保護���。
1、計算機網絡安全現狀
計算機網絡安全具有三個特性:
⑴保密性:網絡資源只能由授權實體存取�����。⑵完整性:信息在存儲或傳輸時不被修改��、信息包完整;不能被未授權的第二方修改。⑶可用性:包括對靜態信息的可操作性及對動態信息內容的可見性����。
2���、計算機網絡安全缺陷
⑴操作系統的漏洞:操作系統是一個復雜的軟件包�,操作系統最大的漏洞是I/O處理——I/O命令通常駐留在用戶內存空間�����,任何用戶在I/O操作開始之后都可以改變命令的源地址或目的地址���。⑵TCP/IP 協議的漏洞:TCP/IP協議由于采用明文傳輸�,在傳輸過程中����,攻擊者可以截取電子郵件進行攻擊����,通過在網頁中輸入口令或填寫個人資料也很容易攻擊。⑶應用系統安全漏洞:WEB服務器和瀏覽器難以保障安全�����,很多人在編CGI 程序時不是新編程序�����,而是對程序加以適當的修改。這樣一來,很多CGI 程序就難免具有相同安全漏洞。⑷安全管理的漏洞:缺少網絡管理員,信息系統管理不規范�����,不能定期進行安全測試����、檢查,缺少網絡安全監控等��,對網絡安全都會產生威脅�����。
3�����、計算機網絡安全機制應具有的功能
網絡安全機制應具有身份識別、存取權限控制、數字簽名、審計追蹤、密鑰管理等功能。
4��、計算機網絡安全常用的防治技術
⑴加密技術:加密在網絡上的作用就是防止重要信息在網絡上被攔截和竊取�����。加密技術是實現保密性的主要手段�����,采用這種技術可以把重要信息或數據從一種可理解的明文形式變換成一種雜亂的、不可理解的密文形式,并以密文形式將信息在線路上傳輸,到達目的端口后將密文還原成明文�。常見的加密技術分單密鑰密碼技術和公開密鑰技術兩種����。這兩種加密技術在不同方面各具優勢����,通常將這兩種加密技術結合在一起使用����。⑵防火墻技術:所謂“防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開的方法�����,它實際上是一種隔離技術�����。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度���,它能允許你“同意”的人和數據進入你的網絡����,同時將你“不同意”的人和數據拒之門外��,阻止網絡中的黑客來訪問你的網絡���,防止他們更改���、拷貝����、毀壞你的重要信息。實現防火墻的技術包括四大類——網絡級防火墻(也叫包過濾型防火墻)、應用級網關���、電路級網關和規則檢查防火墻�����。防火墻的作用是防止外部用戶非法使用內部網絡資源����,并且保護內部網絡的設備不受破壞���,防止內部網絡的主要數據被竊取���。一個防火墻系統通常由屏蔽路由器和服務器組成�。屏蔽路由器是一個多端口的IP路由器,它通過對每一個到來的IP包依據一組規則進行檢查��,來判斷是否對之進行轉發���。屏蔽路由器從包頭取得信息����,例如協議號、收發報文的IP地址和端口號����、連接標志以至另外一些IP選項���,對IP包進行過濾����。
四��、結論
計算機病毒在形式上越來越難以辨別��,造成的危害也日益嚴重,這就要求網絡防毒產品在技術上更先進����、功能上更全面���。而計算機網絡安全是計算機技術快速發展過程中日益突出的問題����,目前中國的科研機構正廣泛開展這一方面研究���,主要是反病毒研究、反黑客問題研究、計算機網絡防火墻技術、加密技術����、安全機制�。到時,計算網絡就會得到更安全的保障。
參考文獻
1���、陳立新:《計算機:病毒防治百事通》[M]���,北京:清華大學出版社����,2001
第5篇
第一章
網 絡 安 全……………………………………………………………01
第一節����、黑客的定義及其危害………………………………………………………01
1、什么是黑客?…………………………………………………………………… 01
2��、黑客可以分為哪幾種類型����?…………………………………………………… 02
3、黑客有什么樣的危害?………………………………………………………… 02
第二節���、黑客常用的攻擊手段……………………………………………………… 03
1、什么是后門程序?…………………………………………………………………03
2、炸彈攻擊的原理是什么?…………………………………………………………03
3、什么是郵件炸彈?…………………………………………………………………03
4、什么是邏輯炸彈? …………………………………………………………………04
5�����、什么是聊天室炸彈�����?………………………………………………………………04
6�、什么是拒絕服務攻擊��?……………………………………………………………04
7�、拒絕服務攻擊工具Trin00有何特點�?……………………………………………05
8、你以為自己的密碼很安全嗎��?……………………………………………………05
9�����、哪幾類密碼最危險��?………………………………………………………………05
10、黑客破解密碼的窮舉法是怎么回事?………………………………………… 05
11�、黑客破解密碼的字典法是怎么回事�����?………………………………………… 05
12�����、黑客破解密碼的猜測法是怎么回事��?………………………………………… 06
13、什么是特洛伊木馬�?…………………………………………………………… 06
14���、網絡監聽是怎么回事��?………………………………………………………… 07
略…………(共五節)
摘 要
本文敘述了網絡安全與防護、黑客技術��、防火墻技術的概念���、作用�,并且介紹了網絡安全的各種防護方法及防火墻技術的相關知識。
關鍵字
黑客 密碼 防火墻 網絡安全
Network security of the computer and technical research of shelter
Abstract This text has narrated network security and protecting����, hacker's technology���, concept����, function of fire wall technology���, Recommend the shelter methods and set fire wall the some relevant knowledges of technologies of network security.
Keywords Hacker Passwords Fire wall Network security
:20000多字的本科畢業論文 有參考文獻
300元
備注:此文版權歸本站所有�����;。
第6篇
【關鍵詞】防火墻����;安全策略���;安全意識
1�、防火墻安全策略的原理
防火墻又稱為防護墻,是一種介于內部網絡和外部網絡之間的網絡安全系統���。其基本作用是保護特定的網絡不受非法網絡或入侵者的攻擊,但同時還得允許兩個正常網絡之間可以進行合法的通信�。安全策略就是對通過防護墻的信息數據進行檢驗�,只有符合規則或符合安全策略的合法數據才能通過防火墻的檢驗�����,進行數據通信和資源共享����。
通過防火墻安全策略可以有效地控制內網用戶訪問外網的權限���,控制內網不同安全級別的子網之間的訪問權限等��。同時也能夠對網絡設備本身進行控制��,如限制哪些IP地址不能使用設備,控制網管服務器與其他設備間的互相訪問等�。
在具體防火墻的應用中��,防火墻安全策略是對防火墻的數據流進行網絡安全訪問的基本手段,其決定了后續的應用數據流是否被處理����。NGFW會對收到的流量進行檢測����,檢測對象包括源\目的安全區域�����、源\目的地址、用戶、服務和時間段等��。具體步驟如下:
(1)首先是數據流先要經過防火墻�;
(2)然后查找防火墻配置的安全策略,判斷是否允許下一步的操作;
(3)防火墻根據安全策略定義規則對數據包進行處理。
2��、安全策略的分類
安全策略大體可分為三大類:域間安全策略��、域內安全策略和接口包過濾��。
域間安全策略用于控制域間流量的轉發,適用于接口加入不同安全區域的場景��。域間安全策略按IP地址��、時間段和服務����、用戶等多種方式匹配流量�,并對符合條件的流量進行包過濾控制。其也用于控制外界與設備本身的互訪,允許或拒絕與設備本身的互訪。
域內安全策略與域間安全策略一樣����,也可以按IP地址���、時間段和服務�����、用戶等多種方式匹配流量,并對符合條件的流量進行包過濾控制。但是在企業中某些部門如財務部等重要數據所在的部門,需要防止內部員工對服務器��、PC機等的惡意攻擊�。所以在域內應用安全策略進行IPS檢測���,阻斷惡意員工的非法訪問����。
當接口未加入安全區域的情況下,通過接口包過濾控制接口接收和發送的IP報文�����,可以按IP地址����、時間段和服務�、用戶等多種方式匹配流量并執行相應動作�。硬件包過濾是在特定的二層硬件接口卡上實現的,用來控制接口卡上的接口可以接收哪些流量。硬件包過濾直接通過硬件實現��,所以過濾速度較快��。
3��、安全策略的配置思路
(1)管理員應該首先明確需要劃分哪幾個安全區域,接口如何來連接,分別加入哪些安全區域。
(2)管理員選擇根據源地址或用戶來區分企業員工���。
(3)先確定每個用戶組的權限,然后再確定特殊用戶的權限。包括用戶所處的源安全區域和地址��,用戶需要訪問的目的安全區域和地址�,用戶能夠使用哪些服務和應用,用戶的網絡訪問權限在哪些時間段生效等。如果想允許某種網絡訪問,則配置安全策略的動作為“允許”,否則為“禁止”��。
(4)確定對哪些通過防火墻的流量進行內容安全監測�,進行哪些內容安全檢測。
(5)將上述步驟規劃出的安全策略的相關參數一一列出,并將所有安全策略按照先精確����,再寬泛的順序進行排序��。在配置安全策略時需要按照此順序進行配置���。
4����、安全策略的具體配置
針對具體的網絡拓撲結構以及對防火墻的相關要求,我們在這里對防火墻的安全策略相關配置大體如下:
(1)配置安全區域��。
系統缺省已經創建了四個安全區域�。如果用戶還需要劃分更多的安全等級,就可以自行創建新的安全區域并定義其安全級別��。具體新建安全區域步驟為:選擇網絡/安全區域�,然后單擊“新建”,直接配置安全區域的相關參數即可���。
(2)配置地址和地址組。
地址是IPV4地址或MAC地址的集合����,地址組是地址的集合�。地址包含一個或若干個IPV4地址或MAC地址�����,類似于一個基礎組件���,只需定義一次��,就可以被各種策略多次引用。
(3)配置地區和地區組�����。
地區是以地區為單位的IP地址對象����,每個地區是當前地區的公網IP地址的集合�����。為了進一步方便擴展和復用��,設備還支持配置地區組供策略引用。配置較為靈活����。
(4)配置服務和服務組����。
服務是通過協議類型和端口號來確定的應用協議類型����,服務組是服務和服務組的集合。其中,預定義服務是指系統缺省已經存在�����,可以直接選擇的服務類型;自定義服務是通過指定協議類型和端口號等信息來定義的一些應用協議類型�。
(5)配置應用和應用組��。
應用是指用來執行某一特殊任務或用途的計算機程序。應用組是指多個應用的集合���。具體通過WEB界面配置相應的服務。
(6)配置時間段��。
時間段定義了時間范圍��,定義好的時間段被策略引用侯���,可以對某一時間段內流經NGFW的流量進行匹配和控制���。具體通過WEB界面進行配置相關時間段。
綜上所述��,我們在進一步加強網絡安全的今天�,就必須在增強網絡安全意識的前提下,不斷地加強網絡安全技術�。而在防火墻安全技術中��,防火墻的安全配置策略就是重中之重。在實際應用過程中����,要不斷地進行優化處理����。只有不斷地的豐富和完善�����,我們的網絡世界才會安全通暢�!
參考文獻:
[1] 宿潔��, 袁軍鵬. 防火墻技術及其進展[J]. 計算機工程與應用���, 2004�, 40(9):147-149.
[2] 劉克龍���, 蒙楊����, 卿斯漢. 一種新型的防火墻系統[J]. 計算機學報, 2000���, 23(3):231-236.
[3] 翟鈺, 武舒凡, 胡建武. 防火墻包過濾技術發展研究[J]. 計算機應用研究��, 2004�����, 21(9):144-146.
[4] 林曉東, 楊義先. 網絡防火墻技術[J]. 電信科學�, 1997(3):41-43.
[5] 楊瓊�����, 楊建華, 王習平�,等. 基于防火墻與入侵檢測聯動技術的系統設計[J]. 武漢理工大學學報�, 2005�����, 27(7):112-115.
第7篇
關鍵詞:防火墻�����;封包識別;內容過濾���;連線跟蹤
近年來防火墻對網絡的保護越來越重要,特別是P2P軟件越來越多的趨勢下��,傳統防火墻并不能有效的過濾P2P軟件,因此越來越多的防火墻改用Connection Classification針對整個連線進行較完整的掃描�����。雖然有廠商推出此類防火墻�����,特別針對P2P使用的動態連線端口提供了連線過濾能力����,但是商業應用層防火墻的售價偏高�,而且商業用的防火墻�,其操作系統不對外開放,只能通過廠商的軟件更新才可以升級�����,而P2P系統與技術的更新非?����??���,所以商用防火墻要一直依賴廠商推出的更新特征值或者軟件升級的方式讓使用者升級�,使用者才有可能讓所購買的防火墻可以過濾最新的P2P軟件。
而本片論文所使用的是目前網絡上都可以取得的Open Source套件����,也有許多熱心的程序員不斷地更新P2P軟件的特征值���,讓使用者可以在花費較低成本的情況下��,來達到與商用防火墻相同的目的。
1Netfilter/iptables工作原理
從Linux內核2.4版本開始����,內置了IP信息包過濾工具Netfilter/iptables系統��,它使防火墻配置和信息包過濾變得更加容易,其中Netfilter是用來實現防火墻的過濾器���,而iptables則用來指定Netfilter規則并管理內核包過濾,它為用戶配置防火墻規則提供了方便����,通過iptables可以加入、插入或刪除內核包過濾表(鏈)中的規則�����,這些規則由Netfilter及其相關模塊執行��。
Netfilter是嵌入內核IP協議棧的一系列調用入口��,設置在報文處理的路徑上,Netfilter就是根據網絡報文的流向,在以下幾個點插入處理過程:
NF_IP_PRE_ROUTING,在報文作路由以前執行;
NF_IP_FORWARD,在報文轉向另一個NIC以前執行;
NF_IP_POST_ROUTING�,在報文流出以前執行���;
NF_IP_LOCAL_IN�����,在流入本地的報文作路由以后執行��;
NF_IP_LOCAL_OUT���,在本地報流出路由前執行。
檢查點分布在協議棧的流程中�,流程圖如下���。
Netfilter框架為多種協議提供了一套類似的鉤子(HOOK)����,用一個struct list_headnf_hooks[NPROTO][NF_MAX_HOOKS]二維數組結構存儲��,一維為協議族�����,二維為上面提到的各個調用入口。每個希望嵌入Netfilter中的模塊都可以為多個協議族的多個調用點注冊多個鉤子函數(HOOK),這些鉤子函數將形成一條函數指針鏈�,每次協議棧代碼執行到NF_HOOK()函數時,都會依次啟動所有這些函數,處理參數所指定的協議棧內容��。
每個注冊的鉤子函數經過處理后都將返回下列值之一,告知Netfilter核心代碼處理結果,以便對報文采取相應的動作:
NF_ACCEPT:繼續正常的報文處理��;
NF_DROP:將報文丟棄�;
NF_STOLEN:由鉤子函數處理了該報文,不要再繼續傳送���;
NF_QUEUE:將報文入隊�,通常交由用戶程序處理;
NF_REPEAT:再次調用該鉤子函數。
Netfilter/iptables IP信息包過濾系統是一種功能強大的工具���,可用于添加�、編輯和刪除規則,這些規則是在做信息包過濾時,防火墻所遵循和組成的規則。
2L7-filter
L7-filter是基于連線跟蹤和字符串匹配的網絡應用層過濾方式,L7-filter是將網絡上的封包在應用層的數據內容重新拷貝一份�,然后把拷貝內容以字符串的形式與事先設定好的特征碼進行匹配過濾。這里的特征碼是以正則表達式的形式存放在.pat文件里(此處采用的正則表達式是version 8版本),并通過iptables命令將正則表達式預處理后�����,傳到內核netfilter中,因而它具有更好的通用性和擴展性�����。
以大家常用的BT為例,如果要封鎖防火墻內網的BT�����,執行的命令如下:
iptables -A FORWARD-m layer7 --l7proto bittorrent -j DROP
其中bittorrent表示BT協議。在/etc/l7-filter/protocols目錄下���,存在一個bittorrent.pat文件����,文件里存放的是BT發送的封包特征碼�,特征碼以正則表達式的形式存放。bittorrent.pat文件內容如下:
bittorrent //與.pat的文件名相同
\x13bittorrent protocol//BT 握手協議的封包特征
由于L7-filter的數據是存放在內核中的��,如果系統是作為路由的功能��,且聯機數很大時�,操作系統(linux)要為連接記錄分配大量的內存空間來存放相應聯機數的應用層數據�。因此緩沖區的長度不宜過大,另外對于一個應用程序所發送的封包而言�����,其握手或協商作用的封包通常是在前幾個封包����,當連接正常通信時�����,其封包特征不是很明顯�����,因此L7-filter只檢測每個連接的前若干個封包(默認值是10個��,可以通過修改/proc/net/layer7_numpackets值進行配置)��。
L7-filter對封包應用層數據的預處理原理如下:
1.基于匹配是將數據當作是字符串來處理�����,且‘\0’(二進碼00000000)是字符串結尾的標志���,在拷貝應用層的封包數據中出現‘\0’時����,去掉所有的‘\0’���。
2.將封包應用層數據中出現的大寫字符轉換成小寫����,從而使用匹配時大小寫不敏感。但是相關的匹配算法則可以實現大小寫敏感。
3.L7-filter在處理.pat文件理的正則表達式時�,也是先將正則表達式中出現在的大寫字符轉換成小寫����,然后檢查正則表達式的格式是否出錯�。
3存在的不足之處
3.1存在誤判
數據在網絡的傳輸過程中,數據內容是無法估計的���,基于應用層過濾的方式勢必會造成誤判��,盡管在編輯正則表達時要求規范�,但是誤判還是難以避免,比如說迅雷,其發送的UDP封包的特征值是“\x32\0\0\0”����,但是從上一節介紹L7-filter預處理封包是將\0去除的原則,這里的特征碼的正則表達式將會被處理成“^\32”(其中^號表示數據開始位置),并將此規則用于迅雷封包的過濾,設定規則的命令為(網絡環境的配置如上同):
iptables -A FORWARD-m layer7 --l7proto xunlei -j DROP
由此正則表達式可以看出���,網絡上的封包凡是以\x32開的數據全將被DROP(阻擋)��?;诰W絡封包數據的不可預測性,這里假設整個網絡環境中����,封包中數據中每個字符出現的率是相等的����,第一位數據的可能是256種(ASCII碼0-255)�,\x32出現的機率是1/256��,則采用“^\x32”的正則表達式過濾迅雷時,會阻擋掉網絡中1/256的封包,這樣的機率會嚴重影響網絡的正常傳輸,誤判非常嚴重。
另外,對于L7-filter對于\0字符不處理的情況下,如果P2P軟件是以\0���,或是以\0為特征的一部分作特征碼時��,L7-filter性能就非常差�����,并且誤判也會增加。
類似的情況還有很多,例如:BT的UDP track的特征“.........\0\0\0\x01”等。
3.2過濾速率較低
在目前Linux防火墻架構中�����,封包必須逐一比對防火墻規則直到比對到符合的規則為止��,才會停止比對�����。同樣的Netfilter的extension matching module L7-filter也是一樣���,當規則使用越多����,L7-filter比對的次數也越多次�����。與傳統Layer4防火墻不同點在于L7-filter在第一次透過封包內容比對出結果后�����,便會在此封包所屬Conntrack上增加一個辨識出來的應用軟件名稱��,以供以后可以透過搜尋這個名稱來直接比對�����;就如同Layer4防火墻是直接比對封包的包頭來決定是否符合規則�。因為將封包內容透過字符串比對是非常緩慢的��。雖然有了這樣的方式����,但是字符串比對與傳統Layer4防火墻直接比對每個封包的包頭����,在速度上仍有不小的差異。這種狀況會隨著防火墻規則數量的增加而產生性能上的落差。
4性能的改進
4.1L7-filter誤判的改進
鑒于L7-filter針對數據包中‘\0’不作處理的規則���,為了提高L7-filter的性能,降低針對‘\0’特征碼誤判率問題�,我們在這里對L7-filter預處理數據內容的規則進行修改。
L7-filter在實現匹配之前�,是先將數據包內容中出現的大寫字母轉變為小寫�,iptables在讀.pat文件中的正則表達式時����,也是先將正則表達式中出現的大寫字母轉變成小寫,實現大小寫不敏感的����。但是在實際的應用中����,正則表達式算法是大小寫敏感的�����。因此我們可以將數據包中的‘\0’用一個特定的大寫字母(在選擇替代大寫字母時���,不能與正則表達中出現的特殊符號沖突�,這里取N)來代替�����,用這個大寫字母實現‘\0’匹配�。因此L7-filter的字符串預處理改進為:
1.在.pat正則表達文件中�,用‘\NULL’表示‘\0’�,當iptables讀.pat文件時,將\NULL轉化成大寫字母N,然后將正則表達式轉到內核數據空間����。(只將代表‘\0’的字符串用一個大寫字來代替�,而其它的沒有改變���,仍能保證匹配的大小不敏感��。)
2.在L7-filter在組織連機的數據包時�����,同樣要將數據中的‘\0’替換成大寫字母N�����,但是,針對網絡封包長度的特點�����,當封包中數據量太少的情況下��,會在封包的結尾加一些‘\0’填充���,來滿足網絡封包的最小長度要求。因此這里為了使有限的緩沖區能夠存放最多的封包數量的數據和提高匹配效率��,在這里先將數據包數據中結尾出現的填充字符‘\0’去掉����,然后將數據封包中非填充字符‘\0’替換成大寫字母N,在這里強調的是,原封包中的數據不能改動����,只改動拷貝數據��。
綜上所述,可以看出實現L7封包數據預處理后����,能夠克服L7-filter不處理‘\0’的缺陷。
4.2過濾速率的改進
我們修改圖1的第一個檢查點(NF_IP_PRE_ROUTING)動作如圖2�����,在第一次比對出結果后�,透過將此封包所屬連線的狀態標示存儲在Conntrack中,當之后封包進入防火墻后���,可以查詢此封包所屬的連線是否已經有比對結果的標示存在��,若有則直接取得該結果,如果沒有則依照防火墻內的規則一條一條的比對。如果封包一直沒有比對結果,我們可以設定一個門檻值��,當每條連線比對超過這幾個封包都沒有結果后����,我們就可以默認策略設定為ACCEPT或是DROP寫入對應的Conntrack Entry中,避免封包比對沒有比對規則還會不斷的進入系統比對�����。
除了拋棄(DROP)與允許(ACCEPT)之外�,我們增加另一額外的目的函數,稱為STATE�;當封包比對有結果后�,可以將此結果透過STATE這個目標函數,將結果存入Conntrack[11]。
iptables t mangle I PREROUTING m statecheck -accept j ACCEPT
iptables t mangle I PREROUTING m statecheck -drop j ACCEPT
iptables t mangle I PREROUTING m layer7 l7proto msn-login j STATE --drop
如上前兩條防火墻的規則��,是在NF_IP_PRE_ROUTING檢查點最前面放置兩條防火墻規則����,可以讓封包進入PREROUTING后馬上通過我們寫的statecheck matching module來對比�,去查詢State Table中是否已經存有應對的狀態����,即圖2增加的檢查功能部分����。而第三條規則代表msn-login不被允許�����,除此之外目標函數STATE需在應對Conntrack的狀態標記為“drop”���,即圖2的Save State部分�����。后續同一連線包一進入Netfilter后�����,我們的statecheck matching module即可根據此狀態將其丟棄�����,不需要再做其它規則的比較�����,即圖2的Apply Action部分����。
STATE目標函數除了“drop”外,還有其它函數可供使用�,如“accept”�����、“MARK X”�����。
5結束語
隨著網絡的發展����,未來會有越來越多的軟件會使用P2P的方式做傳輸�����,相對的所使用的端口一定沒有固定,甚至會偽裝成其它的應用軟件的端口,傳統的只看固定端口來做網絡安全的控管已經明顯的不足��。應用層防火墻的應用會越來越廣��,甚至在頻寬管理的應用上都會采用第七層辨識的方式來控制,未來基于應用層的過濾方式只會越來越被廣泛的應用�����。
參考文獻
[1] The netfilter project team,“Linux Netfilter/iptables frameworks���,” Nov 1999. [Online].省略/. [Accessed:Sep. 2004].
[2]L7-filter Classifier project team����,“L7-filter Classifier,” May 2003. [Online]. Available:l7-filter.省略/. [Accessed: Oct.2004].
[3]Steve Suehring����,Robert L. Ziegler著,何涇沙 等(譯). Linux防火墻(第3版)[M].北京:機械工業出版社���,2006.12
[4]趙炯. Linux內核完全剖析[M].北京:機械工業出版社,2006
第8篇
關鍵詞:計算機網絡���,防護技術���,研究
隨著高新技術的不斷發展����,計算機網絡已經成為我們生活中所不可缺少的概念,然而隨之而來的問題----網絡安全也毫無保留地呈現在我們的面前��,不論是在軍事中還是在日常的生活中���,網絡的安全問題都是我們所不得不考慮的����,只有有了對網絡攻防技術的深入了解����,采用有效的網絡防護技術�����,才能保證網絡的安全、暢通����,保護網絡信息在存儲和傳輸的過程中的保密性�����、完整性、可用性、真實性和可控性,才能使我們面對網絡而不致盲從,真正發揮出網絡的作用�。
一�、計算機網絡防護技術構成
(一)被動防護技術
其主要采用一系列技術措施(如信息加密�����、身份認證、訪問控制����、防火墻等)對系統自身進行加固和防護,不讓非法用戶進入網絡內部��,從而達到保護網絡信息安全的目的���。這些措施一般是在網絡建設和使用的過程中進行規劃設置����,并逐步完善。因其只能保護網絡的入口�,無法動態實時地檢測發生在網絡內部的破壞和攻擊的行為,所以存在很大的局限性����。
( 1 )信息保密技術
密碼技術是網絡安全最有效的技術之一, 信息加密過程是由形形的加密算法來具體實施,它以很小的代價提供很大的安全保護。它通過信息的變換或編碼,將敏感信息變成難以讀懂的亂碼型信息���,以此來保護敏感信息的安全。在多數情況下,信息加密是保證信息機密性的惟一方法���。信息加密的主要目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據��。
網絡加密常用的方法有:鏈路加密�、端點加密和節點加密3種。密碼體制主要有分組密碼體制和序列密碼體制���。論文參考網。
( 2 ) 信息認證技術
認證技術是網絡安全的一個重要方面���,屬于網絡安全的第一道防線。其認證機制是接收者接收信息的同時還要驗證信息是否來自合法的發送者�,以及該信息是否被篡改過�,計算機系統是基于收到的識別信息識別用戶�。認證涉及多個步驟:收集認證信息、安全地傳輸認證信息��、確定使用計算機的人(就是發送認證信息的人)。其主要目的是用來防止非授權用戶或進程侵入計算機系統��,保護系統和數據的安全
其主要技術手段有:用戶名/密碼方式�����;智能卡認證方式�����;動態口令;USB Key認證�;生物識別技術。
( 3 ) 訪問控制技術
訪問控制是保證網絡安全最重要的核心策略之一�����,是一種基于主機的防護技術����。訪問控制技術通過控制與檢查進出關鍵服務器中的訪問,保護服務器中的關鍵數據,其利用用戶身份認證功能,資源訪問權限控制功能和審計功能來識別與確認訪問系統的用戶��,決定用戶對系統資源的訪問權限�����,并記錄系統資源被訪問的時間和訪問者信息���。其主要目的是保證網絡資源不被非法使用和訪問��。
其主要方式有:自主訪問控制、強行訪問控制和信息流控制。
( 4 ) 防火墻技術
防火墻是一種網絡之間的訪問控制機制,它的主要目的是保護內部網絡免受來自外部網絡非授權訪問��,保護內部網絡的安全�����。
其主要機制是在受保護的內部網和不被信任的外部網絡之間設立一個安全屏障�,通過監測�、限制��、更改、抑制通過防火墻的數據流,盡可能地對外部網絡屏蔽內部網絡的信息和結構,防止外部網絡的未授權訪問���,實現內部網與外部網的可控性隔離,保護內部網絡的安全。
防火墻的分類主要有:數據包過濾型防火墻、應用層網關型防火墻和狀態檢測型防火墻���。
(二)主動防護技術
主動防護技術主要采取技術的手段如入侵取證、網絡陷阱�、入侵檢測����、自動恢復等����,能及時地發現網絡攻擊行為并及時地采取應對措施���,如跟蹤和反攻擊、設置網絡陷阱�����、切斷網絡連接或恢復系統正常工作��。實現實時動態地監視網絡狀態��,并采取保護措施,以提供對內�、外部攻擊和誤操作的實時保護�。
( 1 )入侵取證技術
入侵取證技術是指利用計算機軟硬件技術�����,按照符合法律規范的方式����,對計算機網絡入侵���、破壞����、欺詐��、攻擊等犯罪行為進行識別、保存����、分析和提交數字證據的過程。
入侵取證的主要目的是對網絡或系統中發生的攻擊過程及攻擊行為進行記錄和分析,并確保記錄信息的真實性與完整性(以滿足電子證據的要求),據此找出入侵者或入侵的機器,并解釋入侵的過程����,從而確定責任人�����,并在必要時,采取法律手段維護自己的利益�。
入侵取證技術主要包括:網絡入侵取證技術(網絡入侵證據的識別��、獲取�����、保存�����、安全傳輸及分析和提交技術等)��、現場取證技術(內存快照、現場保存、數據快速拷貝與分析技術等)�、磁盤恢復取證技術��、數據還原取證技術(對網上傳輸的信息內容,尤其是那些加密數據的獲取與還原技術)����、電子郵件調查取證技術及源代碼取證技術等�。
( 2 ) 網絡陷阱技術
網絡陷阱技術是一種欺騙技術���,網絡安全防御者根據網絡系統中存在的安全弱點��,采取適當技術��,偽造虛假或設置不重要的信息資源,使入侵者相信網絡系統中上述信息資源具有較高價值��,并具有可攻擊、竊取的安全防范漏洞��,然后將入侵者引向這些資源��。同時,還可獲得攻擊者手法和動機等相關信息��。這些信息日后可用來強化現有的安全措施����,例如防火墻規則和IDS配置等。
其主要目的是造成敵方的信息誤導����、紊亂和恐慌����,從而使指揮決策能力喪失和軍事效能降低。論文參考網。靈活的使用網絡陷阱技術可以拖延攻擊者�����,同時能給防御者提供足夠的信息來了解敵人,將攻擊造成的損失降至最低。
網絡陷阱技術主要包括:偽裝技術(系統偽裝、服務偽裝等)�、誘騙技術���、引入技術�����、信息控制技術(防止攻擊者通過陷阱實現跳轉攻擊)���、數據捕獲技術(用于獲取并記錄相關攻擊信息)及數據統計和分析技術等���。
( 3 ) 入侵檢測技術
入侵檢測的基本原理是從各種各樣的系統和網絡資源中采集信息(系統運行狀態、網絡流經的信息等)����,對這些信息進行分析和判斷�,及時發現入侵和異常的信號,為做出響應贏得寶貴時間����,必要時還可直接對攻擊行為做出響應,將攻擊行為帶來的破壞和影響降至最低。它是一種主動的入侵發現機制,能夠彌補防火墻和其他安全產品的不足,為網絡安全提供實時的監控及對入侵采取相應的防護手段,擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性���。入侵檢測系統已經被認為是維護網絡安全的第二道閘門��。
其主要目的是動態地檢測網絡系統中發生的攻擊行為或異常行為�����,及時發現攻擊或異常行為并進行阻斷��、記錄���、報警等響應�,彌補被動防御的不足之處�。
入侵檢測技術主要包括:數據收集技術�、攻擊檢測技術�、響應技術��。
( 4 ) 自動恢復技術
任何一個網絡安全防護系統都無法確保萬無一失���,所以,在網絡系統被入侵或破壞后���,如何盡快恢復就顯得非常關鍵了��。這其中的一個關鍵技術就是自動恢復技術����,他針對服務器上的關鍵文件和信息進行實時地一致性檢查�,一旦發現文件或信息的內容��、屬主、時間等被非法修改就及時報警����,并在極短的時間內進行恢復�。論文參考網。其性能的關鍵是資源占有量����、正確性和實時性��。
其主要目的是在計算機系統和數據受到攻擊的時候�����,能夠在極短的時間內恢復系統和數據����,保障系統的正常運行和數據的安全�。
自動恢復技術主要包括:備份技術�、冗余技術���、恢復技術、遠程控制技術�、文件掃描與一致性檢查技術等�����。
二�、計算機網絡防護過程模型
針對日益嚴重的網絡安全問題和愈來愈突出的安全需求���,人們在研究防黑技術的同時�����,認識到網絡安全防護不是一個靜態過程,而是一個包含多個環節的動態過程��,并相應地提出了反映網絡安全防護支柱過程的P2DR模型���,其過程模型如圖1所示。
圖1 P2DR模型體系結構圖
其過程如下所述:
1.進行系統安全需求和安全風險分析��,確定系統的安全目標��,設計相應的安全策略��。
2.應根據確定的安全策略�,采用相應的網絡安全技術如身份認證技術、訪問控制、網絡技術,選擇符合安全標準和通過安全認證的安全技術和產品��,構建系統的安全防線���,把好系統的入口�。
3.應建立一套網絡案例實時檢測系統,主動、及時地檢測網絡系統的安全漏洞��、用戶行為和網絡狀態��;當網絡出現漏洞���、發現用戶行為或網絡狀態異常時及時報警��。
4.當出現報警時應及時分析原因,采取應急響應和處理,如斷開網絡連接�,修復漏洞或被破壞的系統����。
隨著網絡技術的不斷發展����,我們的生活中越來越離不開網絡,然而網絡安全問題也日趨嚴重����,做好網絡防護已經是我們所不得不做的事情��,只有采取合理有效的網絡防護手段才能保證我們網絡的安全、保證信息的安全,使我們真正能夠用好網絡�����,使網絡為我們的生活添光添彩�。
第9篇
論文摘要:隨著計算機信息化建設的飛速發展,計算機已普遍應用到日常工作、生活的每一個領域,比如政府機關、學校����、醫院、社區及家庭等�。但隨之而來的是,計算機網絡安全也受到全所未有的威脅,計算機病毒無處不在,黑客的猖獗, 都防不勝防���。
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性��、完整性及可使用性受到保護。從技術上來說, 計算機網絡安全主要由防病毒��、防火墻等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性�����。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術���、數據加密技術�����、pki技術等。
一����、計算機網絡安全技術
(一)防火墻技術�。防火墻是指一個由軟件或硬件設備組合而成,處于企業或網絡群體計算機與外界通道之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限��。防火墻是網絡安全的屏障,配置防火墻是實現網絡安全最基本�、最經濟���、最有效的安全措施之一����。當一個網絡接上internet之后,系統的安全除了考慮計算機病毒�����、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術完成���。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險����。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網絡存取和訪問進行監控審計��。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據���。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息����。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響���。
(二)數據加密技術。與防火墻相比,數據加密技術比較靈活,更加適用于開放的網絡�����。數據加密主要用于對動態信息的保護,對動態數據的攻擊分為主動攻擊和被動攻擊��。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密�����。數據加密技術分為兩類:即對稱加密和非對稱加密。
1.對稱加密技術�。對稱加密是常規的以口令為基礎的技術,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法�。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證�����。目前,廣為采用的一種對稱加密方式是數據加密標準des,des的成功應用是在銀行業中的電子資金轉賬(eft)領域中。2.非對稱加密。在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)����。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存��。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數字簽名等信息交換領域�。
(三)pki技術���。pki技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施�。pki技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術��。由于通過網絡進行的電子商務�����、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要。而pki技術作為一種相對安全的技術���,恰恰成為了電子商務、電子政務、電子事務的密碼技術的首要選擇,在實際的操作過程中他能夠有效地解決電子商務應用中的機密性�����、真實性�����、完整性�、不可否認性和存取控制等安全問題��,而進一步保護客戶的資料安全����。
二�、計算機網絡安全存在的問題
(一)互聯網絡的不安全性�。1.1網絡的開放性,由于現代網絡技術是全開放的,所以在一定程度上導致了網絡面臨著來自多方面的攻擊。這其中可能存在來自物理傳輸線路的攻擊,也有肯那個來自對網絡通信協議的攻擊����,也包括來自于本地網絡的用戶,還可以是互聯網上其他國家的黑客等等�����。1.2網絡的自由性,大多數的網絡對用戶的使用沒有技術上的約束,用戶可以自由的上網,和獲取各類信息�����。 這也為了影響網絡安全的一個主要因素。
(二)操作系統存在的安全問題。操作系統作為一個支撐軟件,使得你的程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性,系統開發設計的不周而留下的破綻,都給網絡安全留下隱患�����。
1.操作系統結構體系的缺陷����。操作系統本身有內存管理、cpu管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序里面存在問題,比如內存管理的問題,外部網絡的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰����。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是服務器系統立刻癱瘓��。2.操作系統支持在網絡上傳送文件、加載或安裝程序,包括可執行文件,這些功能也會帶來不安全因素���。網絡很重要的一個功能就是文件傳輸功能,比如ftp,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那么系統可能就會造成崩潰。3.操作系統不安全的一個原因在于它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端服務器上安裝“間諜”軟件的條件��。若將間諜軟件以打補丁的方式“打”在一個合法用戶上,特別是“打”在一個特權用戶上,黑客或間諜軟件就可以使系統進程與作業的監視程序監測不到它的存在�。
(三)防火墻的局限性。防火墻指的是一個由軟件和硬件設備組合而成����、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.它是一種計算機硬件和軟件的結合,使內部網與外部網之間建立起一個安全網關(security gateway),從而保護內部網免受非法用戶的侵入�����。
三�����、結束語
計算機網絡安全是一項復雜的系統工程,涉及技術�����、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握�����。網絡安全解決方案是綜合各種計算機網絡信息系統安全技術,將安全操作系統技術����、防火墻技術、病毒防護技術��、入侵檢測技術���、安全掃描技術等綜合起來,形成一套完整的��、協調一致的網絡安全防護體系�。我們必須做到管理和技術并重,安全技術必須結合安全措施,并加強計算機立法和執法的力度,建立備份和恢復機制,制定相應的安全標準�。此外,由于計算機病毒、計算機犯罪等技術是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的計算機犯罪和計算機病毒等問題���。
參考文獻:
