網(wǎng)絡(luò)安全關(guān)系到信息的保密與泄露���,以下是小編整理的網(wǎng)絡(luò)安全防火墻論文��,歡迎參考閱讀����!
防火墻安全的計(jì)算機(jī)網(wǎng)絡(luò)安全論文
1計(jì)算機(jī)網(wǎng)絡(luò)安全中常用的防火墻技術(shù)
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)快速發(fā)展��,防火墻安全防范技術(shù)也不斷的發(fā)生著變化�����,目前���,常用的防火墻技術(shù)有代理型防火墻安全技術(shù)����、包過(guò)濾型防火墻安全技術(shù)、監(jiān)測(cè)型防火墻安全技術(shù)�����、網(wǎng)址轉(zhuǎn)換防火墻安全技術(shù)等�����。
1���。1代理型防火墻安全技術(shù)代理型防火墻安全技術(shù)是一種代理服務(wù)器,屬于高級(jí)防火墻技術(shù)����,代理型防火墻安全技術(shù)常用于用戶(hù)之間,對(duì)可能對(duì)電腦信息造成危害的動(dòng)作進(jìn)行攔截�,從用戶(hù)的角度講,代理服務(wù)器是有用的服務(wù)器��,從服務(wù)器的角度看�����,代理型服務(wù)器��,就是用戶(hù)機(jī)。當(dāng)用戶(hù)的計(jì)算機(jī)進(jìn)行信息溝通�、傳遞時(shí),所有的信息都會(huì)通過(guò)代理型服務(wù)器�����,代理型服務(wù)器會(huì)將不利的信息過(guò)濾掉�,例如阻攔各種攻擊信息的行為,代理服務(wù)器會(huì)將真正的信息傳遞到用戶(hù)的計(jì)算機(jī)中����。代理型防火墻技術(shù)的最大的特點(diǎn)是安全性能高,針對(duì)性強(qiáng)��,能將不利的信息直接過(guò)濾掉���。
1����。2包過(guò)濾型防火墻安全技術(shù)包過(guò)濾防火墻安全技術(shù)是一種比較傳統(tǒng)的安全技術(shù)��,其關(guān)鍵技術(shù)點(diǎn)是網(wǎng)絡(luò)分包傳輸���,在信息傳遞過(guò)程中����,以包為單位,每個(gè)數(shù)據(jù)包代表不同的含義�����,數(shù)據(jù)包可以根據(jù)信息數(shù)據(jù)的大小�、信息的來(lái)源、信息的性質(zhì)等進(jìn)行劃分��,包過(guò)濾防火墻技術(shù)就是對(duì)這些數(shù)據(jù)包進(jìn)行識(shí)別�����,判斷這些數(shù)據(jù)包是否合法���,從而實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)。包過(guò)濾型防火墻安全技術(shù)是在計(jì)算機(jī)網(wǎng)路系統(tǒng)中設(shè)定過(guò)濾邏輯�,使用相關(guān)軟件對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行控制,從而實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)���。包過(guò)濾防火墻技術(shù)的最重要的是包過(guò)濾技術(shù)����,包過(guò)濾型防火墻安全技術(shù)的特點(diǎn)有適應(yīng)性強(qiáng)、實(shí)用性強(qiáng)�、成本低,但包過(guò)濾型防火墻技術(shù)的最大缺點(diǎn)是不能對(duì)惡意程序����、數(shù)據(jù)進(jìn)行進(jìn)行識(shí)別,一些非法人員可以偽造地址����,繞過(guò)包過(guò)濾防火墻,直接對(duì)用戶(hù)計(jì)算機(jī)進(jìn)行攻擊�。
1。3監(jiān)測(cè)型防火墻安全技術(shù)監(jiān)測(cè)型防火墻安全技術(shù)是對(duì)數(shù)據(jù)信息進(jìn)行檢測(cè)��,從而提高計(jì)算機(jī)網(wǎng)絡(luò)安全�,但監(jiān)測(cè)型防火墻安全技術(shù)成本費(fèi)用比較高,不容易管理����,從安全角度考慮,監(jiān)測(cè)型防火墻安全技術(shù)還是可以用于計(jì)算機(jī)網(wǎng)絡(luò)中�。
1。4網(wǎng)址轉(zhuǎn)換防火墻安全技術(shù)網(wǎng)址轉(zhuǎn)換技術(shù)將網(wǎng)絡(luò)地址轉(zhuǎn)換成外部的�����、臨時(shí)的地址,這樣外部IP對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問(wèn)時(shí)����,其他用戶(hù)不能利用其他IP重復(fù)訪問(wèn)網(wǎng)絡(luò),外部IP在訪問(wèn)網(wǎng)絡(luò)時(shí)��,首先會(huì)轉(zhuǎn)到記錄和識(shí)別中進(jìn)行身份確認(rèn)�,系統(tǒng)的源地址通過(guò)外部網(wǎng)絡(luò)和非安全網(wǎng)卡連接真正的IP會(huì)轉(zhuǎn)換成虛擬的IP,將真正的IP隱藏起來(lái)�。當(dāng)用戶(hù)訪問(wèn)網(wǎng)絡(luò)時(shí),如果符合相關(guān)準(zhǔn)則���,防火墻就會(huì)允許用戶(hù)訪問(wèn)���,如果檢測(cè)不符合準(zhǔn)則�����,防火墻就會(huì)認(rèn)為該訪問(wèn)不安全�,進(jìn)行攔截。
2防火墻安全防范技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用
2��。1訪問(wèn)策略設(shè)置訪問(wèn)策略設(shè)置是防火墻的核心安全策略,因此�����,在設(shè)置訪問(wèn)策略時(shí)�,要采用詳細(xì)的信息說(shuō)明和詳細(xì)的系統(tǒng)統(tǒng)計(jì),在設(shè)置過(guò)程中�,要了解用戶(hù)對(duì)內(nèi)部及外部的應(yīng)用,掌握用戶(hù)目的地址��、源地址����,然后根據(jù)排序準(zhǔn)則和應(yīng)用準(zhǔn)則進(jìn)行設(shè)置在,這樣防火墻在執(zhí)行過(guò)程中����,能按照相應(yīng)的順序進(jìn)行執(zhí)行。
2���。2安全服務(wù)配置安全服務(wù)的是一個(gè)獨(dú)立的局域網(wǎng)絡(luò)��,安全服務(wù)的隔離區(qū)將系統(tǒng)管理的機(jī)群和服務(wù)器的機(jī)群?jiǎn)为?dú)劃分出來(lái)����,從而保障系統(tǒng)管理和服務(wù)器的信息安全,安全服務(wù)既是獨(dú)立的網(wǎng)絡(luò)又是計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)的重要組成部分��。對(duì)于內(nèi)部網(wǎng)絡(luò)可以采用網(wǎng)址轉(zhuǎn)換防火墻安全技術(shù)進(jìn)行保護(hù)�,將主機(jī)地址設(shè)置成有效的IP地址,并且將這些網(wǎng)址設(shè)置公用地址����,這樣就能對(duì)外界IP地址進(jìn)行攔截,有效的保護(hù)計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)安全��,確保計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)安全����、穩(wěn)定的運(yùn)行。如果企業(yè)擁有邊界路由器�����,可以利用原有的邊界路由器�����,采用包過(guò)濾防火墻安全技術(shù)進(jìn)行網(wǎng)絡(luò)安全保護(hù)�,這樣還可有降低防火墻成本費(fèi)用����。
2�����。3日志監(jiān)控日志監(jiān)控是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的重要管理手段之一�����,在進(jìn)行日志監(jiān)控時(shí)�����,一些管理員認(rèn)為不必要進(jìn)行日志信息采集��,但防火墻信息數(shù)據(jù)很多��,并且這些信息十分繁雜��,只有收集關(guān)鍵的日志����,才能當(dāng)做有效的日志����。系統(tǒng)警告信息十分重要�,對(duì)進(jìn)入防火墻的信息進(jìn)行選擇性記錄��,就能記錄下對(duì)計(jì)算機(jī)網(wǎng)絡(luò)有威脅的信息����。
3結(jié)束語(yǔ)
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展必然會(huì)為網(wǎng)絡(luò)安全帶來(lái)一定的隱患,因此�,要不斷更新完善計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù),改革防火墻安全防范技術(shù)��,抵抗各種對(duì)計(jì)算機(jī)信息有害的行為�����,提高計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)能力�����,確保計(jì)算機(jī)網(wǎng)絡(luò)安全����,從而保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定的運(yùn)行。
計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)
導(dǎo)讀:影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多��。而防火墻是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施�。使用單防火墻和單子網(wǎng)保護(hù)多級(jí)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)。欺騙�,論文參考,計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)���。
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)安全���,防火墻,單子網(wǎng)�,arp欺騙
影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多,有些因素可能是有意的���,也可能是無(wú)意的�����;可能是人為的�����,也可能是非人為的��;可能是外來(lái)黑客對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使有��。這些因素可以大體分類(lèi)為:計(jì)算機(jī)病毒�����、人為的無(wú)意失誤����、人為的惡意攻擊、網(wǎng)絡(luò)軟件的缺陷和漏洞���、物理安全問(wèn)題���。
而防火墻是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,所謂“防火墻”�,是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(如Internet)分開(kāi)的方法,它實(shí)際上是一種隔離技術(shù)����。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)�,同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外,最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)�,防止他們更改、拷貝�、毀壞你的重要信息。
1�����。 非法攻擊防火墻的基本“招數(shù)”
通常情況下, 有效的攻擊都是從相關(guān)的子網(wǎng)進(jìn)行的����。因?yàn)檫@些網(wǎng)址得到了防火墻的信賴(lài)�,雖說(shuō)成功與否尚取決于機(jī)遇等其他因素,但對(duì)攻擊者而言很值得一試�。下面以數(shù)據(jù)包過(guò)濾防火墻為例,簡(jiǎn)要描述可能的攻擊過(guò)程��。
通常主機(jī)A與主機(jī)B 的TCP 連接(中間有或無(wú)防火墻) 是通過(guò)主機(jī)A向主機(jī)B 提出請(qǐng)求建立起來(lái)的�����,而其間A和B 的確認(rèn)僅僅根據(jù)由主機(jī)A 產(chǎn)生并經(jīng)主機(jī)B 驗(yàn)證的初始序列號(hào)ISN���。IP 地址欺騙攻擊的第一步是切斷可信賴(lài)主機(jī)���。這樣可以使用TCP 淹沒(méi)攻擊(TCP SynFlood Attack),使得信賴(lài)主機(jī)處于“自顧不暇”的忙碌狀態(tài)�����,相當(dāng)于被切斷,這時(shí)目標(biāo)主機(jī)會(huì)認(rèn)為信賴(lài)主機(jī)出現(xiàn)了故障����,只能發(fā)出無(wú)法建立連接的RST 包,而無(wú)暇顧及其他�����。
攻擊者最關(guān)心的是猜測(cè)目標(biāo)主機(jī)的ISN��。為此�,可以利用SMTP的端口(25),通常它是開(kāi)放的��,郵件能夠通過(guò)這個(gè)端口�����,與目標(biāo)主機(jī)打開(kāi)(Open)一個(gè)TCP 連接����,因而得到它的ISN。在此有效期間�,重復(fù)這一過(guò)程若干次,以便能夠猜測(cè)和確定ISN的產(chǎn)生和變化規(guī)律,這樣就可以使用被切斷的可信賴(lài)主機(jī)的IP 地址向目標(biāo)主機(jī)發(fā)出連接請(qǐng)求�。請(qǐng)求發(fā)出后,目標(biāo)主機(jī)會(huì)認(rèn)為它是TCP 連接的請(qǐng)求者�����,從而給信賴(lài)主機(jī)發(fā)送響應(yīng)(包括SYN)����,而信賴(lài)主機(jī)目前仍忙于處理Flood淹沒(méi)攻擊產(chǎn)生的“合法”請(qǐng)求�,因此目標(biāo)主機(jī)不能得到來(lái)自于信賴(lài)主機(jī)的響應(yīng)。現(xiàn)在攻擊者發(fā)出回答響應(yīng)����,并連同預(yù)測(cè)的目標(biāo)主機(jī)的ISN一同發(fā)給目標(biāo)主機(jī),隨著不斷地糾正預(yù)測(cè)的ISN��,攻擊者最終會(huì)與目標(biāo)主機(jī)建立一個(gè)會(huì)晤����。通過(guò)這種方式, 攻擊者以合法用戶(hù)的身份登錄到目標(biāo)主機(jī)而不需進(jìn)一步的確認(rèn)�。論文參考,arp欺騙��。。如果反復(fù)試驗(yàn)使得目標(biāo)主機(jī)能夠接收對(duì)網(wǎng)絡(luò)的ROOT 登錄�,那么就可以完全控制整個(gè)網(wǎng)絡(luò)。
2���。 單防火墻和單子網(wǎng)
由于不同的資源存在著不同的風(fēng)險(xiǎn)程度�����,所以要基于此來(lái)對(duì)網(wǎng)絡(luò)資源進(jìn)行劃分�。這里的風(fēng)險(xiǎn)包含兩個(gè)因素: 資源將被妥協(xié)的可能性和資源本身的敏感性�����。例如:一個(gè)好的Web 服務(wù)器運(yùn)行CGI 會(huì)比僅僅提供靜態(tài)網(wǎng)頁(yè)更容易得到用戶(hù)的認(rèn)可���,但隨之帶來(lái)的卻是Web 服務(wù)器的安全隱患�。網(wǎng)絡(luò)管理員在服務(wù)器前端配置防火墻��,會(huì)減少它全面暴露的風(fēng)險(xiǎn)��。數(shù)據(jù)庫(kù)服務(wù)器中存放有重要數(shù)據(jù)�,它比Web 服務(wù)器更加敏感,因此需要添加額外的安全保護(hù)層����。
使用單防火墻和單子網(wǎng)保護(hù)多級(jí)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)�,這里所有的服務(wù)器都被安排在同一個(gè)子網(wǎng)��,防火墻接在邊界路由器與內(nèi)部網(wǎng)絡(luò)之間���,防御來(lái)自Internet 的網(wǎng)絡(luò)攻擊�����。論文參考��,arp欺騙�����。。在網(wǎng)絡(luò)使用和基于主機(jī)的入侵檢測(cè)系統(tǒng)下��,服務(wù)器得到了加強(qiáng)和防護(hù)�,這樣便可以保護(hù)應(yīng)用系統(tǒng)免遭攻擊。像這樣的縱向防護(hù)技術(shù)在所有堅(jiān)固的設(shè)計(jì)中是非常普遍的�����,但它們并沒(méi)有明顯的顯示在圖表中。
在這種設(shè)計(jì)方案中�����,所有服務(wù)器都安排在同一個(gè)子網(wǎng)��,用防火墻將它們與Internet 隔離�,這些不同安全級(jí)別的服務(wù)器在子網(wǎng)中受到同等級(jí)的安全保護(hù)。盡管所有服務(wù)器都在一個(gè)子網(wǎng)�����,但網(wǎng)絡(luò)管理員仍然可以將內(nèi)部資源與外部共享資源有效地分離��。使用單防火墻和單子網(wǎng)保護(hù)服務(wù)器的方案系統(tǒng)造價(jià)便宜�����,而且網(wǎng)絡(luò)管理和維護(hù)比較簡(jiǎn)單�����,這是該方案的一個(gè)重要優(yōu)點(diǎn)���。因此�����, 當(dāng)進(jìn)一步隔離網(wǎng)絡(luò)服務(wù)器并不能從實(shí)質(zhì)上降低重要數(shù)據(jù)的安全風(fēng)險(xiǎn)時(shí)�����,采用單防火墻和單子網(wǎng)的方案的確是一種經(jīng)濟(jì)的選擇��。
3����。 單防火墻和多子網(wǎng)
如果遇見(jiàn)適合劃分多個(gè)子網(wǎng)的情況,網(wǎng)絡(luò)管理員可以把內(nèi)部網(wǎng)絡(luò)劃分成獨(dú)立的子網(wǎng)�,不同層的服務(wù)器分別放在不同的子網(wǎng)中,數(shù)據(jù)層服務(wù)器只接受中間層服務(wù)器數(shù)據(jù)查詢(xún)時(shí)連接的端口�����,就能有效地提高數(shù)據(jù)層服務(wù)器的安全性��,也能夠幫助防御其它類(lèi)型的攻擊�����。論文參考��,arp欺騙����。。這時(shí)��,更適于采用一種更為精巧的網(wǎng)絡(luò)結(jié)構(gòu)———單個(gè)防火墻劃分多重子網(wǎng)結(jié)構(gòu)�����。單個(gè)防火墻劃分多重子網(wǎng)的方法就是在一個(gè)防火墻上開(kāi)放多個(gè)端口����,用該防火墻把整個(gè)網(wǎng)絡(luò)劃分成多個(gè)子網(wǎng),每個(gè)子網(wǎng)分管應(yīng)用系統(tǒng)的特定的層��。管理員能夠在防火墻不同的端口上設(shè)置不同的安全策略�����。
使用單個(gè)防火墻分割網(wǎng)絡(luò)是對(duì)應(yīng)用系統(tǒng)分層的最經(jīng)濟(jì)的一種方法����,但它并不是沒(méi)有局限性。邏輯上的單個(gè)防火墻����,即便有冗余的硬件設(shè)備����,當(dāng)用它來(lái)加強(qiáng)不同安全風(fēng)險(xiǎn)級(jí)別的服務(wù)器的安全策略時(shí)�����,如果該防火墻出現(xiàn)危險(xiǎn)或錯(cuò)誤的配置���,入侵者就會(huì)獲取所有子網(wǎng)包括數(shù)據(jù)層服務(wù)器所在的最敏感網(wǎng)絡(luò)的訪問(wèn)權(quán)限��。而且�,該防火墻需要檢測(cè)所有子網(wǎng)間的流通數(shù)據(jù)�����,因此�����,它會(huì)變成網(wǎng)絡(luò)執(zhí)行效率的瓶頸��。所以�,在資金允許的情況下,我們可以用另一種設(shè)計(jì)方案———多個(gè)防火墻劃分多個(gè)子網(wǎng)的方法��,來(lái)消除這種缺陷��。
4����。arp欺騙對(duì)策
各種網(wǎng)絡(luò)安全的對(duì)策都是相對(duì)的,主要要看網(wǎng)管平時(shí)對(duì)網(wǎng)絡(luò)安全的重視性了��。下面介始一些相應(yīng)的對(duì)策:
在系統(tǒng)中建立靜態(tài)ARP表�,建立后對(duì)本身自已系統(tǒng)影響不大的,對(duì)網(wǎng)絡(luò)影響較大��,破壞了動(dòng)態(tài)ARP解析過(guò)程����。論文參考,arp欺騙�。。靜態(tài)ARP協(xié)議表不會(huì)過(guò)期的�,我們用“arp–d”命令清除ARP表,即手動(dòng)刪除�。論文參考,arp欺騙�����。。但是有的系統(tǒng)的靜態(tài)ARP表項(xiàng)可以被動(dòng)態(tài)刷新�����,如Solaris系統(tǒng)���,那樣的話(huà)依靠靜態(tài)ARP表項(xiàng)并不能對(duì)抗ARP欺騙攻擊�����,相反縱容了ARP欺騙攻擊�,因?yàn)樘摷俚撵o態(tài)ARP表項(xiàng)不會(huì)自動(dòng)超時(shí)消失��。論文參考�,arp欺騙。����。 在相對(duì)系統(tǒng)中禁止某個(gè)網(wǎng)絡(luò)接口做ARP解析(對(duì)抗ARP欺騙攻擊),可以做靜態(tài)ARP協(xié)議設(shè)置(因?yàn)閷?duì)方不會(huì)響應(yīng)ARP請(qǐng)求報(bào)文)如:arp —sXXX����。XXX�����。XX。X 08—00—20—a8—2e—ac����。 在絕大多數(shù)操作系統(tǒng)如:Unix、BSD��、NT等�,都可以結(jié)合“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP解析”和“使用靜態(tài)ARP表”的設(shè)置來(lái)對(duì)抗ARP欺騙攻擊。而Linux系統(tǒng)�,其靜態(tài)ARP表項(xiàng)不會(huì)被動(dòng)態(tài)刷新,所以不需要“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP解析”即可對(duì)抗ARP欺騙攻擊���。
來(lái)源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享���,如產(chǎn)生版權(quán)問(wèn)題,請(qǐng)聯(lián)系我們及時(shí)刪除�����。
《
網(wǎng)絡(luò)安全防火墻論文》由互聯(lián)網(wǎng)用戶(hù)整理提供,轉(zhuǎn)載分享請(qǐng)保留原作者信息,謝謝!
鏈接地址:http://www.seogis.com/gongwen/131818.html
