導語：如何才能寫好一篇防火墻技術的基本原理，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：VOIP；防火墻；STUN；入侵防護系統

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)32-1091-02

Reserch and Implementation of Security Technologies on VOIP System

ZHAO Jing

(Department of Computer and Electronics Engineering,University of Shanghai for Science and Technology,Shanghai 200093,China)

Abstract: In this article an analysis is made of the existing security concerns in VOIP system,then a series of methods and technologies are provided to protect VOIP application.In this way,the security of VOIP system will be enhanced.

Key words: VOIP; firewall; STUN; IPS

1 引言

VoIP也稱為網絡電話，它是在IP網絡上通過TCP/IP協議實現的一種語音應用，這種應用包括PC對PC連接、PC對電話連接、電話對電話連接等。目前，全球市場包括中國已有相當大的一部分語音業務通過IP來傳送，隨著VoIP的廣泛普及和應用，加強VoIP系統的安全性顯得日益緊迫。

2 VoIP基本原理及技術

IP電話是建立在IP技術上的分組化、數字化傳輸技術,它將普通電話的模擬信號轉換成可以在因特網上傳送的IP數據包，同時也將收到的IP數據包轉換成聲音的模擬電信號，其基本原理是：通過語音壓縮算法對語音數據進行壓縮編碼處理，然后把這些語音數據按IP等相關協議進行打包，經過IP網絡把數據包傳輸到目的端，再把這些語音數據包組裝起來，經過解碼解壓處理后，恢復成原來的語音信號，從而達到由IP網絡傳送語音的目的。

3 VoIP系統面臨的安全威脅

下面分析一下VOIP系統可能面臨的安全威脅，大致可以分為以下幾類。

3.1 常規威脅

由于VoIP基于可同時承載語音、數據等的統一IP網絡架構，語音和數據網絡的融合增加了網絡被攻擊的風險，對數據網絡的各種攻擊手段都會出現在語音和數據融合的網絡中。

3.2 VoIP特有的安全威脅

除了會遭遇上述的威脅外，VoIP系統還會遭遇以下這些與語音有關的主要威脅：

1） 產品本身易受攻擊：VoIP基礎設施需要添加專用交換機系統、網關、、注冊和定位服務器以及撥打到IP骨干網的電話，對數據通信的攻擊可通過IP語音基礎設施進行。

2） 相關協議實現的漏洞：VoIP涉及大量協議，如SIP、H.323、MGCP等，這些復雜的協議會由于軟件實現中的缺陷或錯誤而留下漏洞。

3） 信令協議篡改：惡意用戶可以監控和篡改建立呼叫后傳輸的數據包。

4） IP電話被盜打：通過竊取使用者IP電話的登錄密碼能夠獲得話機的權限。

5） 流媒體偵聽：VOIP存在通過對IP電話之間的RTP語音流竊取并重放的問題。

6） 呼叫黑洞：指未授權的拒絕通過VoIP傳輸，從而結束或阻止正在進行的信息交流。

4 可以采用的主要安全技術

在分析了VoIP系統可能受到的安全威脅之后,可以認識到加強VoIP系統安全的必要性和復雜性，可以采用下面介紹的這些主要技術和措施來保障VoIP系統的安全運行。

4.1 防火墻技術

傳統防火墻其自身的特性對VoIP的部署是一個障礙，因為它丟棄所有從外到內未開放端口的連接請求，而VoIP采用動態端口傳輸語音和視頻，若防火墻開放全部端口，意味著防火墻形同虛設；另外VoIP要求因特網上基于IP的資源是可預測、靜態可用的，因而當防火墻利用NAT技術時，要使VoIP有效通過防火墻會較困難，因而必須采用一些新技術。

4.1.1 語音感知應用層網關（ALG）

應用層網關被設計成能夠識別指定的協議（如H.323、SIP或MGCP等），它不是簡單地察看包頭信息來決定數據包是否可以通過，而是更深層的分析數據包載荷內的數據，也就是應用層的數據。采用這種技術可以使網絡能夠動態開放和關閉防火墻端口。

4.1.2 STUN (Simple Traversal of UDP Through NAT)

STUN是一種UDP流協議穿透NAT的協議，其解決NAT問題的思路如下：私網接入用戶通過某種機制預先得到其地址對應在出口NAT上的對外地址，然后直接填寫出口NAT上的對外地址，而不是私網內用戶的私有IP地址，這樣報文負載中的內容在經過NAT時就無需被修改了，只需按普通NAT流程轉換報文頭的IP地址即可，而此時負載中的IP地址信息和報文頭地址信息是一致的。

4.1.3 TURN（Traversal Using Relay NAT）

TURN方式解決NAT問題的思路與STUN相似，采用TURN Server的地址和端口作為客戶端對外的接收地址和端口，即私網用戶發出的報文都要經過TURN Server進行Relay轉發。這種應用方式除了具有STUN方式的優點外，還解決了STUN無法穿透對稱NAT的問題

4.1.4 深度包檢測技術

深度包檢測技術以基于指紋匹配、啟發式技術、異常檢測以及統計學分析等技術的規則集，決定如何處理數據包。通常深度包檢測技術深入檢查通過防火墻的每個數據包及其應用載荷，因為很多惡意行為可能隱藏在數據載荷中。

4.1.5 會話邊界控制器（SBC）

SBC可以被看作支持VoIP的防火墻，它還可以修改IP包的包頭，使IP包能夠順利通過網絡邊緣設備。SBC是一種“可識別應用層”的設備，可以識別第五層和第七層的消息，并且還可以處理第五層的眾多會話信令協議，修改數據包頭的地址，從而實現“遠端防火墻穿越”。同時SBC可以通過對會話數目的限制，實現應用層防DOS攻擊。

4.2 虛擬局域網（VLAN）技術

讓語音和數據在不同的虛擬局域網上傳輸，把所有的VoIP電話放在單獨的虛擬局域網上，并且使用不可路由的RFC 1918地址。防止VLAN間進行通信可緩解竊聽電話的現象，還可為VoIP虛擬局域網賦予較高優先級。

4.3 加密技術

可以使用加密技術比如IPsec來保持VoIP的安全，加密還可以挫敗需要對基礎設施獲得物理訪問權的其他類型的攻擊。

4.4 入侵防護系統（IPS）

IPS可以緩解從內部發動攻擊這個問題。例如，利用SIP發送大量的“注冊”請求會導致服務器無力處理請求，而如果IPS能夠理解SIP，就可以檢測這些攻擊。

4.5 加強操作系統安全

支持VoIP的服務器一般運行在Linux、Windows等操作系統上，而這些操作系統又有著不同的漏洞和補丁需要完善。VoIP設備一般都放在機房內獨立運行，不需要人為干預，但是這些設備出廠的時候，如果沒有打上最新的補丁，就需要網管維護部門不斷跟蹤最新的安全信息或者和設備廠商保持聯系，為這些骨干設備升級操作系統，避免遭到黑客的攻擊，另外還要認真限制對它們的訪問。

5 結束語

本文對VOIP應用過程中存在的主要安全威脅進行了研究和分析,并且針對這些安全威脅提出了一系列的解決方法和技術,通過對這些技術的合理應用可以極大的增強VOIP應用的安全性。

參考文獻：

[1] Rosenberg J, Schulzrinne H, Camarillo G,et al. SIP:Session initiation protocol[EB/OL][S.L].IETF,2002,6.

[2] Lippmann R P,Cunningham R K.Improving Intrusion Detection Performance Using Keyword Selection and Neural puter Networks-the International Journal of Computer and Telecommunica- tions Networking,2000,34(4):597-603

篇2

關鍵詞:防火墻;過濾包;控制列表;組網

中圖分類號:TP393.02文獻標識碼:A

文章編號:1004-373X(2009)20-082-03

Achievement of ACL/Packet Filtering Skill Based on Accessing of Port Adduction

FENG Naiguang1,CHENG Xi2

(1.Sichuan Radio and TV University,Chengdu,610073,China;2.Anqing TV University,Anqing,246003,China)

Abstract:The purpose of this article is to do research on the skills of setting and achievement of the network firewall,which is to build the firewall in the control list with filtrating skill while accessing the port.The result comes out to be effectively controlling access of the outer network to the inner server through particular users.Meanwhile,the inner network could only access the outer network through the particular mainframe.The conclusion is that the firewall has increased its ability a lot to quarantine the virus with building this firewall with the above skill.This leads to the result that only very few inner users get virus attack,which shows that it has much stronger ability to quarantine the virus than the ordinary firewall.

Keywords:firewall;packet filtering;control lists;network construction

0 引 言

Internet的發展為政府結構、企事業單位帶來了革命性的改革和開放。他們正努力利用Internet提高辦事效率和市場反應速度,以便更具競爭力。但隨之帶來的負面效應之一是數據在傳輸過程中可能存在不安全的因素。網絡安全成為當今最熱門的話題之一,很多企、事業單位為了保障自身服務器或數據安全都采用了防火墻。隨著科技的發展,防火墻也逐漸被大眾所接受。這里研究的是防火墻中核心技術的實現,即組網配置中防火墻設計技術的實現。

1 防火墻及ACL/包過濾技術簡介

1.1 防火墻的的概念、分類及功能

簡單地說,防火墻的作用是在保護一個網絡免受“不信任”網絡的攻擊的同時,保證兩個網絡之間可以進行合法的通信。防火墻應該具有如下基本特征:經過防火墻保護的網絡之間的通信必須都經過防火墻。只有經過各種配置策略驗證過的合法數據包才可以通過防火墻。防火墻本身必須具有很強的抗攻擊、滲透能力。現代的防火墻體系不僅是一個“入口的屏障”,而且是幾個網絡的接入控制點,所有經過被防火墻保護的網絡的數據流都應該首先經過防火墻,形成一個信息進入的關口。因此防火墻不但可以保護內部網絡在Internet中的安全,同時還可以保護若干主機在一個內部網絡中的安全。在每一個被防火墻分割的網絡中,所有的計算機之間是被認為“可信任的”,它們之間的通信不受防火墻的干涉。而在各個被防火墻分割的網絡之間,必須按照防火墻規定的“策略”進行互相的訪問?，F在的許多防火墻同時還具有一些其他特點,如進行身份鑒別,對信息進行安全(加密)處理等。

防火墻技術可根據防范的方式和側重點的不同而分為很多種類型,但總體來講可分為兩大類,即包過濾和應用。包過濾(Packet Filtering),作用在網絡層和傳輸層,它根據分組包頭源地址,目的地址和端口號、協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端,其余數據包則被從數據流中丟棄。應用(Application Proxy),也叫應用網關(Application Gateway),它作用在應用層,其特點是完全“阻隔”了網絡通信流,通過對每種應用服務編制專門的程序,實現監視和控制應用層通信流的作用。實際應用中的網關通常由專用工作站實現。

1.2 ACL/包過濾概念

ACL(Access Control Lists,存取控制列表)是一套與文件相關的用戶、組和模式項,此文件為所有可能的用戶ID或組ID組合指定了權限。ACL初期僅在路由器上支持,目前已經擴展到三層交換機,部分最新的二層交換機如2950等也開始提供ACL支持。只不過支持的特性不是那么完善而已。在其他廠商的路由器或多層交換機上也提供類似的技術,不過名稱和配置方式都可能有細微的差別。

ACL的基本原理是使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。ACL的主要功能就是一方面保護資源節點,阻止非法用戶對資源節點的訪問,另一方面限制特定的用戶節點所能具備的訪問權限。

ACL/包過濾應用在路由器中,就為路由器增加了對數據包的過濾功能。ACL/包過濾實現對IP數據包的過濾,對路由器需要轉發的數據包,先獲取數據包的包頭信息,包括IP層所承載的上層協議的協議號,數據包的源地址、目的地址、源端口和目的端口等,然后和設定的ACL 規則進行比較,根據比較的結果決定對數據包進行轉發或者丟棄。

1.3 基于接口的ACL/包過濾技術

對路由器需要轉發的數據包,先獲取包頭信息,然后和設定的規則進行比較,根據比較的結果對數據包進行轉發或者丟棄。而實現包過濾的核心技術是訪問控制列表(見圖1)。

圖1 ACL/包過濾工作過程

包過濾技術主要是設定一定的規則,控制數據包。路由器會根據設定的規則和數據包的包頭信息比較,來決定是否允許這個數據包通過。

實現包過濾技術最核心內容就是訪問控制列表。使用訪問控制列表的目的主要是拒絕某些不希望的訪問。此外訪問控制列表具有區分數據包的能力。

訪問控制列表按照數據包的特點,規定了一些規則,見圖2。這些規則描述了具有一定特點的數據包,并且規定它們是被“允許”的還是被“禁止”的。這些規則的定義是按照數據包包頭的特點定義的,例如可以這樣定義:允許202.38.0.0/16網段的主機可以使用協議HTTP 訪問129.10.10.1。禁止從202.110.0.0/16網段的所有訪問。

圖2 基于接口的訪問控制列表規則

訪問控制列表就可以提供這樣的功能,它按照數據包的特點,規定了一些規則。

這些規則描述具有一定特點的數據包(例如所有源地址是202.10.10.0 地址段的數據包、所有使用 Telnet 訪問的數據包等),并且規定它們是被“允許”的還是被“禁止”的。

這樣可以將訪問控制列表規則應用到路由器的接口,阻止一些非法的訪問,同時并不影響合法用戶的訪問。訪問控制列表提供了一種區分數據包種類的手段,它把各種數據包按照各自的特點區分成各種不同的種類,達到控制用戶訪問的目的。

用戶可以通過 Internet 和外部網絡進行聯系,網絡管理員都面臨著一個問題,就是如何拒絕一些不希望的連接,同時又要保證合法用戶進行的訪問。

為了達到這樣的效果,需要有一定的規則來定義哪些數據包是“合法”的(或者是可以允許訪問),哪些是“非法”的(或者是禁止訪問)。這些規則就是訪問控制列表。

由于訪問控制列表具有區分數據包的功能,因此,訪問控制列表可以控制“什么樣的數據包”,可以做什么樣的事情。

例如,當企業內部網通過撥號方式訪問 Internet,如果不希望所有的用戶都可以撥號上網,就可以利用控制列表決定哪些主機可以觸發撥號,以達到訪問 Internet 的目的。

利用訪問控制列表可以控制數據包的觸發撥號,同樣在IPSec(是一套用來通過公共IP網絡進行安全通訊的協議格式,它包括數據格式協議、密鑰交換和加密算法等)、地址轉換等應用中,可以利用控制列表描述什么樣的數據包可以加密,什么樣的數據包可以地址轉換等。

2 包過濾防火墻配置原理及配置實例

2.1 包過濾防火墻配置原理

包過濾防火墻的配置包括:允許或禁止防火墻;設置防火墻缺省過濾方式;設置包過濾防火墻分片報文檢測開關;配置分片報文檢測的上、下門限值;在接口上應用訪問控制列表,使能或禁止包過濾防火墻,并在系統視圖下進行配置,如表1所示。

表1 配置命令

操作命令

使能包過濾防火墻Firewall packet-filter enable

禁止包過濾防火墻Undo firewall packet-filter enable

系統缺省情況下,使能包過濾防火墻。

2.2 基于接口的ACL/包過濾防火墻典型配置實例

2.2.1 組網需求

以下通過一個公司配置防火墻的實例來說明防火墻的配置。

該公司通過一臺 Quidway 安全網關的接口Ethernet1/0/0 訪問Internet,安全網關與內部網通過以太網接口Ethernet0/0/0 連接。公司內部對外提供WWW,FTP和Telnet服務,公司內部子網為129.38.1.0,其中,內部FTP 服務器地址為129.38.1.1,內部Telnet 服務器地址為129.38.1.2,內部WWW服務器地址為129.38.1.3,公司對外地址為202.38.160.1。在安全網關上配置了地址轉換,這樣內部PC 機可以訪問Internet,外部PC 可以訪問內部服務器。通過配置防火墻,希望實現以下要求:

(1) 外部網絡只有特定用戶可以訪問內部服務器;

(2) 內部網絡只有特定主機可以訪問外部網絡。

現假定外部特定用戶的 IP 地址為202.39.2.3。

2.2.2 組網圖

圖3為該包過濾防火墻組網配置圖。

圖3 包過濾防火墻組網配置圖

2.2.3 配置步驟

第一步:在安全網關Quidway 上允許防火墻。

[Quidway] firewall packet-filter enable

第二步:設置防火墻缺省過濾方式為允許包通過。

[Quidway] firewall packet-filter default permit

第三步:創建訪問控制列表3001。

[Quidway] ACL number 3001

第四步:配置規則允許特定主機訪問外部網,允許內部服務器訪問外部網。

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.4 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.1 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.2 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.3 0

[Quidway-ACL-adv-3001] rule deny ip

第五步:創建訪問控制列表3002。

[Quidway] ACL number 3002

第六步: 配置規則允許特定用戶從外部網訪問內部服務器。

[Quidway-ACL-adv-3002] rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

第七步:配置規則允許特定用戶從外部網取得數據(只允許端口大于1024 的包)。

[Quidway-ACL-adv-3002] rule permit tcp destination 202.38.160.1 0

destination-port gt 1024

第八步:將規則3001 作用于從接口Ethernet0/0/0 進入的包。

[Quidway-Ethernet0/0/0] firewall packet-filter 3001 inbound

最后將規則3002 作用于從接口Ethernet1/0/0 進入的包。

[Quidway-Ethernet1/0/0] firewall packet-filter 3002 inbound

通過上述方法配置防火墻后,完全能達到外部網絡只有特定用戶可以訪問內部服務器。內部網絡只有特定主機可以訪問外部網絡的要求,并能有效識別欺詐型的IP地址。在實際應用過程中,該防火墻運行穩定,成本低廉,堵塞情況少,能對多數黑客攻擊進行有效隔離。

3 結 語

隨著網絡應用的增加,對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。

另外,由于網絡多媒體應用越來越普遍,它要求數據穿過防火墻所帶來的延遲要足夠小。因此為了使防火墻在接口處不造成數據堵塞,可使用專門的硬件處理網絡數據流,比起ACL/包過濾的防火墻具有更好的性能,但成本較高,不利于普及。從執行速度的角度看來,基于網絡處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎,從而減輕了CPU的負擔,該類防火墻的性能要比傳統防火墻的性能好許多。

參考文獻

[1]張玉芳,熊忠陽,賴芳,等.IPv6下基于病毒過濾防火墻的設計與實現[J].計算機科學,2009(4):108-111.

[2]劉鵬遠.Windows平臺通用個人防火墻的分析與設計[J].計算機工程,2009(6):114-116,119.

[3]劉益洪,陳林.基于防火墻的網絡安全技術分析[J].通信工程, 2008(6):136-138.

[4]鐘樂海.網絡安全技術[M].北京:電子工業出版社,2007.

[5]王永彪,徐凱聲.用包過濾技術實現個人防火墻[J].計算機安全,2005(5):21-22,26.

[6]劉建偉.聯動型網絡安全系統的設計與實現[J].科學技術與工程,2009(3):1 614-1 616.

[7]張連銀.防火墻技術在網絡安全中的應用[J].科技資訊,2007(9):188-190.

[8]唐成華,胡昌振,崔中杰.基于域的網絡安全策略研究[J].計算機工程,2007(9):131-133.

篇3

關鍵詞：計算機網絡；實驗；方案

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）02-0271-02

1 概述

教學定位：計算機網絡定位為高等學校計算機核心基礎課程，其教學目標是：使學生掌握計算機網絡基本知識，了解計算機網絡基本組成，掌握基本的網絡管理和計算機系統安全設置方法，以及利用互聯網進行信息獲取、信息等各種網絡應用及開發能力。

課程實施方案總體設計思想，學校的層次不同，學生專業不同，人才培養目標不同，課程教學內容、教學要求和教學目標也不相同。因此，計算機網絡技術及應用課程應有不同的實施方案?？梢詮牟煌嵌仍O計實施方案，例如：按學科劃分、按課程內容劃分等。對于“計算機網絡技術及應用”課程，采用基于內容的實施方案設計方法，可以初步分成如下兩大類：

1）以計算機網絡原理和技術講解為主的課程教學實施方案

主要內容：計算機網絡技術基礎知識，網絡模擬與網絡協議，網絡設備的功能、組成及基本原理，網絡管理，網絡服務，網絡應用開發等。

該實施方案主要針對重點高校的理工類學生，全面培養學生計算機網絡技術的理解，提高計算機網絡的應用水平，初步培養簡單的網絡應用開發能力。

2）以計算機網絡技術及應用講解為主的課程教學實施方案

主要內容：計算機網絡基本概念，網絡硬件基本功能、簡單原理，計算機網絡操作系統的簡單配置，網絡服務的應用，Internet應用以及計算機系統安全等方面。

該實施方案主要針對重點高校文科類學生、一般院校理工類學生、文科類學生，全面培養學生的計算機網絡知識和計算機網絡應用能力，特別是互聯網應用能力。

2 教學內容的組織方式

對于計算機相關專業的計算機網絡課程，最常用的內容組織方式是采用基于OSI七層模型的方式分層講解。從內容的性質和認知順序看，將知識單元組織成不同的知識模塊，知識模塊又可以分為基本原理、基本技能、網絡協議三個認知層次，從而為課程內容簡歷一個清晰的知識框架。

3 實驗教學設計

計算機網絡技術及應用是一門實踐性很強的課程，在日常的工作和生活中有著非常廣泛的應用。因此，實踐教學除了要對課程的理論知識進行應用驗證外，還將選擇大量實際中有可能遇到問題，特別是難點問題進行講解，從而提高學生解決問題的能力。

3.1實驗內容基本要求

對于課程內容的所涉及到的知識點，安排相應的實驗驗證所學的理論知識，關于計算機網絡及應用課程中的實驗設計，對應的實驗內容和基本要求如表1所示。

3.2實驗項目設計

實驗名稱：簡潔明了的反映實驗的核心內容

實驗目的：實驗預期達到的目標。采用了解/理解，掌握/會等詞匯分條描述，也可用深入理解，熟練掌握等用詞對目的進行強調。

實驗類型：分為驗證型、綜合型、探究型三種類型

實驗內容：實驗的具體內容，分條描述

實驗條件：實驗所需的硬件設備、軟件系統、網絡環境

實驗分析：給出設計該實驗的出發點，問題分析，解題思路，實驗難點分析等。

實驗步驟：操作步驟和程序關鍵代碼

實驗拓展：在本實驗的基礎上的應用能力拓展，給出一個或幾個待解決的問題，培養學生知識的靈活應用和遷移能力。

同時，還應該根據實驗的實際情況，形式可分為單人實驗、小組實驗和教師演示實驗。

3.3實驗教學大綱

計算機網絡技術及應用實驗分成3個實驗單元，每個實驗單元包含若干實驗項目，在項目設計和選取上遵循以下三條原則：

1） 結合理論教學，實驗項目應該能夠反映和驗證課程所講授的主要知識點，以加深學生對理論教學內容的理解，實現從原理到應用的知識遷移。

篇4

關鍵詞：計算機網絡；信息；安全

中圖分類號：TP393.08文獻標識碼：A文章編號：1007-9599 (2010) 16-0000-01

To Enhance Computer Network Information Security Measures

Chen Xin

(Shandong Tengzhou City People's Hospital,Tengzhou277500,China)

Abstract:Based on the information security of computer network, analysis of main factors,from the vulnerability scanning,intrusion detection,firewall and data encryption,and so on,to enhance computer network information security measures.

Keywords:Computer network;Information;Security

隨著科技信息的高速發展，計算機網絡得到了廣泛的應用。然而，計算機網絡分布范圍廣，具有體系開放的特點。同時，由于網絡的脆弱性和復雜性，容易受到入侵者的攻擊。計算機網絡的安全防護面臨著嚴重的威脅。因此，為了維護計算機、服務器和局域網資源的信息安全，我們必須建立一套計算機網絡安全管理系統，保證網絡信息的保密性、完整性和可用性。

一、影響計算機網絡信息安全的主要因素

（一）系統漏洞。目前許多流行的操作系統如U-nix服務器、NT服務器及Windows桌面PC等都多多少少的存在一些網絡安全漏洞。這些漏洞的潛在隱患為黑客攻擊提供了渠道，一旦這些漏洞依靠互聯網廣泛傳播，則會成為整個網絡系統受攻擊的首選目標和薄弱環節。

（二）計算機病毒。計算機病毒是能實現自我復制并影響計算機使用的一組計算機指令或程序代碼。它在計算機程序運行中進行編制或插入，從而破壞計算機功能或者破壞數據，輕則減慢計算機運行速度，重則導致系統癱瘓、硬件損壞。

（三）黑客攻擊。黑客攻擊是通過對計算機某個程序、系統和網絡的破解或破壞以致提醒該系統所有者的系統安全漏洞的過程。黑客攻擊手段分為兩種，一種是破壞性攻擊，是指以破壞目標系統的數據為目的，侵入他人電腦系統對重要機密信息進行竊取、破譯。另一種是非破壞性攻擊，是指以擾亂網絡正常運行為目，通常采用拒絕服務進行網絡攻擊，并不盜竊系統資料。

（四）人為失誤。在日常計算機信息處理、計算機系統和網絡操作、維護和管理等相關工作中，操作人員由于不慎選擇用戶口令，將自己的賬號隨意轉借給他人等操作失誤，會帶來網絡安全威脅。

三、加強計算機網絡信息安全的措施

（一）漏洞掃描。檢查網絡中的系統漏洞并采取措施對其安全隱患進行排除是維護網絡安全問題的首要措施。漏洞掃描技術原理是通過網絡漏洞掃描軟件對網絡信息系統進行檢查，發現其中可被黑客所利用的漏洞的技術?；诰W絡的漏洞掃描系統主要分為被動式和主動式兩種。被動式是基于對主機的檢測，檢查主機中對系統中不合適的設置、脆弱的口令以及其他違背安全規則相漏洞。主動式是基于對計算機TCP/IP端口的檢測，檢查是否支持匿名登錄，是否有某些網絡服務需要鑒別等等安全漏洞。然后，根據所檢查出來的漏洞，對網絡風險等級進行客觀評價。并通過打補丁和優化系統配置等方式最大可能地對最新的安全漏洞進行彌補，以消除安全隱患。

（二）入侵檢測。入侵檢測技術是一種能夠及時識別對計算機或網絡信息資源進行非法入侵的惡意企圖和動作，并通過對這些非法入侵的檢查能夠立即采取措施來阻斷攻擊，并追蹤定位攻擊源的技術。入侵檢測步驟主要包括：1.搜集系統中不同環節的信息；2.將該信息進行分析識別，尋找該入侵活動的特征；3.對檢測到的行為做出自動響應，即時將網絡連接阻斷；4.報告檢測結果。入侵檢測系統所采用的技術可分兩種。（1）特征檢測。特征檢測是通過一種模式來表示入侵者的入侵活動，系統通過對主體活動的檢測來判斷這些活動是否符合該模式，如果符合則表示網絡存在入侵安全威脅。該方式的缺點在于只能對已有的入侵模式進行檢查，而對新的入侵模式不起作用。其難點在于如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。（2）異常檢測。異常檢測是通過對入侵活動是否異常于正常主體活動的檢測來判斷網絡是否存在安全威脅。根據這一理念，首先，建立主體正?；顒拥摹盎顒雍啓n”，對當前主體的活動狀況與“活動簡檔”進行比較，當違反其統計規律時，則表示該活動可能是“入侵行為”。如何建立“活動簡檔”、以及如何設計統計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為是該異常檢測的難題。

（三）設置防火墻。防火墻在網絡信息安全維護中相當于一個過濾網的作用。它是對兩個或多個網絡之間傳輸的數據包如鏈接方式通過一定的安全策略對其進行檢查，決定，并網絡之間的通信是否被允許，并監視網絡運行狀態的特殊網絡互聯設備，從而起到加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的作用。

防火墻從其實現的原理和方法上，可分為以下類別：1.包過濾型。包過濾型防火墻首先讀取網絡數據包中的地址信息，并對其進行檢查，只有滿足過濾條件（安全站點發送）的數據包才被轉發到相應目的地。若信息來自威脅站點，則被數據流阻擋丟棄。2.型。服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。內網用戶對外網的訪問需先經過防火墻對外網的訪問，然后再由防火墻轉發給內網用戶。這樣，在外網與內網之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業內部網絡系統，從而達到保護網絡安全的效果。3.監測型。監測型防火墻是通過對網絡系統各層的數據進行實時的、主動的檢測并進行分析，有效的判斷出各層中的非法侵入。

（四）數據加密。數據加密技術的基本原理是按某種算法對原來的明文文件或數據進行重新編碼，使其成為一段不可讀的代碼，即“密文”，并且其內容的顯示必須滿足輸入正確的密鑰條件，從而隱藏原信息內容，有效防止信息泄露的技術。數據加密主要采取三種方式，即鏈路加密、節點加密、端到端加密。鏈路加密是僅在物理層前的數據鏈路進行加密，主要用于保護通信節點間的數據，而不考慮信源和信宿的情況，使信息在每臺節點機內都要被解密和再加密，依次進行，直至到達目的地。節點加密是協議傳輸層上進行加密，主要是對源節點和目標節點之間傳輸數據進行加密保護。端對端加密是網絡層以上的加密稱為端對端加密，是面向網絡層主體，對應用層的數據信息進行加密。

四、結束語

計算機網絡信息安全中攻擊手段越來越復雜，破壞性也越來越強。面對日益嚴峻的形勢，我們必須依靠完備的系統管理軟件、嚴密的網絡安全風險分析、嚴謹的系統測試、綜合的防御技術實施、嚴格的保密策略以各方面的綜合應用，實時地保證信息的完整性和正確性，為網絡提供強大的安全服務。

參考文獻：

篇5

SSL 安全服務環境

一　引言：

    CORBA即公共對象請求結構，它作為面向對象分布式處理的主流標準之一，正日趨完善和成熟，并在各領域得到了廣泛的應用。一些基于CORBA的應用（如電子銀行、電子商務等）更是在Internet上迅速地發展起來。但由于Internet的早期設計并未考慮到網絡的安全性問題，它靈活、松散的體系結構，使其很難滿足分布式CORBA應用對安全性的要求。

    Internet上CORBA應用程序的安全需求

         客戶對象域                         Internet                服務對象域

CORBA客戶對象 客戶方防火墻         服務方防火墻        CORBA服務對象

圖1 Internet 上的CORBA應用程序

(對象域：一組受防火墻保護的CORBA對象)

    圖1所示為一典型的Internet 上的CORBA應用程序，如(電子商務)。在這里CORBA客戶對象和服務對象處于不同的對象域里，都受到防火墻的保護。當客戶對象通過互聯網向遠端不同對象域的服務對象激發一個調用請求時，它必須考慮如下安全問題：

    1身份鑒別

    在CORBA應用中，無論是客戶對象還是服務對象都必須實現互相之間的可靠的身份鑒別。如：基于CORBA的電子銀行應用，它必須保證將客戶的請求發往給他提供服務的銀行，而銀行必須驗證客戶的身份，然后對其請求服務;如果客戶對銀行沒有身份鑒別，則黑客可能冒充客戶的銀行，騙取客戶的帳戶信息，相反如果銀行沒有對客戶進行身份鑒別，則黑客可能冒充客戶向銀行提出服務。

    2 完整性

    在Internet的CORBA應用中，僅有身份鑒別是不夠的，保持請求的完整性也相當重要。如：盡管在CORBA客戶方和服務方都有安全的身份鑒別機制，但黑客可以截獲CORBA客戶對象和服務對象之間的通信信息，并插入假冒的請求，欺騙服務對象對其服務。

    3機密性

    在Internet的CORBA應用中， CORBA客戶對象和服務對象之間的通信信息必需保密。

    4授權和訪問控制

    在Internet的CORBA應用中，一個服務對象可能會允許多個客戶對象的請求，但不同的客戶對象要求分配不同的權力。

    5 可靠性

    當然，Internet的CORBA應用必須有很高的穩定性.此外CORBA應用不應該對系統的其他應用產生影響。

二、Internet上CORBA應用的安全性實現技術及工具

對于CORBA應用的保密性， 完整性， 身份鑒別我們可以采用加密的方法解決。SSL包括：各種加密算法（DES，RSA，IDEA，RC2，RC4，Blowfish），各種檢驗和機制（MD2，MD5，SHA），證書函數（X.509）等。我們可以用SSL協議對IIOP通信進行加密，實現Internet上的CORBA應用的保密性， 完整性和身份鑒別。具體方法是：

1）用DES加密算法實現保密性。

    2）用MD5檢驗和機制保證完整性。

    3）身份鑒別機制用RSA的非對稱密鑰加解密機制和SSL握手協議實現。

另一種常見的安全技術是防火墻技術。一般的基于Tcp/ip層的防火墻對低層的網絡層、傳輸層的攻擊能很好的防護。而應用層防火墻能提供很好的授權和訪問控制功能，同時它還能對內容進行檢查。因此，可以將防火墻技術嵌入CORBA應用的模型里，為Internet上的CORBA應用提供安全保護。

    最后，CORBA安全服務(CORBASec)是CORBA中一項重要的公共對象服務，它在CORBA客戶對象和服務對象之間建立安全語言環境，為CORBA應用提供很好的安全服務。

三、Internet 上的CORBA應用的常見安全防護模型.

    有了這些安全技術和工具之后，下面的任務就是確定一種合理的安全模型，使它能充分地利用這些安全技術和工具，使它滿足Internet 上的CORBA應用程序的安全需求。

    1基于CORBA防火墻的安全防護模型

圖 2

防火墻技術已被廣泛的用于網絡的安全防護，它可以就每個通過它的網絡數據包，檢查數據包收、發雙方的身份，根據預先的安全性設置確定該數據包是否能通過防火墻。將防火墻技術應用到CORBA中，并結合SSL對Internet上傳送的IIOP請求加密，就形成了如圖2所示的基于CORBA防火墻的安全模型。

IIOP Proxy是一種常見的CORBA防火墻， 它是一種應用級的防火墻，工作在IIOP應用層，對IIOP請求進行檢查，從而實現對CORBA對象調用的控制;另一方面，它也不允許客戶和服務之間直接傳遞任何數據包，因此，對于非CORBA的服務和應用也能提供安全保護。

在這種模型里， CORBA客戶對象并不直接和CORBA服務對象通信，而是通過設在防火墻主機上的IIOP Proxy他們之間的通信.。一個CORBA客戶對象對CORBA服務對象的請求經過三個階段：

CORBA客戶對象將它對CORBA服務對象的IIOP請求用SSL加密后發往IIOP Proxy。 IIOP Proxy收到CORBA客戶對象的IIOP請求后，將請求解密，檢查請求的有效性，而后根據目標服務對象、客戶對象認證標志等信息對解密后的請求進行安全過濾。 假如請求符合預設的安全規則，IIOP Proxy將請求轉發給相應的服務對象。

而CORBA服務對象對CORBA客戶對象請求的回應過程則與之相反。

但這種模型有其缺點：IIOP Proxy轉發解密后的請求給服務對象時，它并不對請求再加密，或只用防火墻的密鑰加密，服務對象和客戶對象之間也沒有完全傳遞安全語言環境，而CORBA的安全語言環境含有保證服務對象和客戶對象之間通信安全的重要信息(如客戶的鑒別證書等)。

2 第二種模型是：端到端的安全防護模型

在這種模型里， 仍用SSL對Internet上傳送的IIOP請求加密，但是，CORBA客戶對象直接和CORBA服務對象通信，中間不設任何防火墻，他們之間的通信安全由CORBA安全服務保證。由于CORBA安全服務(CORBASec)為CORBA客戶對象與CORBA服務對象之間的通信提供了直接的安全語言環境，它能提供比IIOP Proxy更可靠的身份鑒別、安全審計、授權和訪問控制功能。

但是這種模型有個非常嚴重的缺陷：既使CORBA應用程序能夠很好地保護自己，但是不能保證主機上的其他應用和服務也能提供相同級別的安全防護。如果要對這些應用和服務也提供全面的安全防護，則每臺主機都需要一個防火墻系統，很顯然這是不現實的。

四. CORBA應用的一種新型的安全防護模型

1：基本實現原理

由于上面常見的兩種模型都有其缺點，我們提出了這種新的安全模型，它綜合了前兩種模型的優點，在保證完整地傳遞CORBA對象之間的安全語言環境的同時，又能很好地對其他非CORBA應用和服務提供安全保障。其基本原理如下（圖 4）所示：

在這種模型里，在保持客戶對象和服務對象之間的安全語言環境的基礎上，再設一個基于Tcp層的CORBA防火墻系統(Tcp Proxy)，對除CORBA應用之外的服務提供保護，但是它比IIOP Proxy要簡化了許多，它的任務只是將加密了的包含IIOP請求的tcp數據流從客戶對象轉發給服務對象，它并不象IIOP Proxy一樣對IIOP請求進行控制，客戶對象和服務對象之間仍保持有直接的安全語言環境，因此它能利用CORBA的安全服務(CORBASec)，滿足CORBA應用的獨特安全需求。

由于Tcp Proxy不對IIOP請求的內容進行檢查，而由服務對象對IIOP的請求內容進行檢查，并提供審計、授權和訪問控制功能,因此，CORBA應用程序不但擁有了和端對端模型一樣的安全保護，而且有Tcp Proxy提供低層安全防護，能對ip和Tcp級的網絡攻擊過濾，確保了傳給服務對象的Tcp信息流是安全的。另外，由于Tcp Proxy只連接了CORBA應用使用的端口號，因此，非CORBA的服務也得到了保護。

2：安全性比較

在新型安全防護模型里，Tcp Porxy只工作在Tcp層，它不能對IIOP消息流中的惡意內容進行過濾。例如：易受到針對CORBA服務的緩沖區溢出攻擊等。它提供的安全級別看起來比IIOP Proxy要低，但是，實際上IIOP Proxy也帶來了許多的安全問題:

1 ) 在沒有IIOP Proxy的CORBA應用中，客戶對象的請求和安全語言環境是一同傳給服務對象的，因此服務對象能從安全語言環境中直接得到客戶對象的身份鑒別標志，從而直接對之進行授權和訪問控制;然而，IIOP Proxy將客戶對象的請求和客戶的身份鑒別標志(即安全語言環境)分離，這就意味著不能保證服務對象接受到的從IIOP Proxy轉發來的請求和由IIOP Proxy附在請求上的服務語言環境是相一致的。

2 ) 服務對象只信任IIOP Proxy，也導致另一個嚴重的安全問題。如果一個黑客成功地入侵了防火墻主機，則整個CORBA應用的安全就被破壞了。另外，僅靠IIOP Proxy對IIOP消息中的惡意內容進行過濾也有相當的局限性。因為IIOP Proxy能利用的信息只有請求的頭部信息(GIOP header和message header)，而請求體由于IIOP Proxy不能存取服務對象的接口定義而不可識別，它是以一種非結構化的字節流，應此，IIOP Proxy也不能防范一些應用層的攻擊(如緩沖區溢出攻擊)。

而這些問題在新型的安全防護模型里，由于客戶對象和服務對象之間仍保持有直接的安全語言環境，因此我們可以直接利用CORBA的安全服務(CORBASec)來解決它們。從而彌補了CORBA防火墻(IIOP Proxy)的不足。同時Tcp Proxy能對非CORBA的應用提供安全防護，它有效地克服了端到端安全防護模型的缺點。

五 結論

通過比較三種CORBA應用安全防護模型，可以看到：結合Tcp Proxy、CORBA安全服務，SSL(Secure Socket Layer)的新型的安全防護模型能為CORBA應用提供全面的安全防護。

六 參考文獻

1 <<CORBA教程 --公用對象請求體系結構>> 清華大學出版社

Firewalls： a technical Overview http：//boran.com/security/it12-firewall.html

http：//omg.org CORBA Overview http：//infosys.tuwien.ac.at/Research/CORBA/OMG/arch2.htm CORBA 技術的新進展 <<計算機應用>> 第十九卷第五期 劉錦德 蘇森 CORBA 規范、實現及其在CIMS中的應用

篇6

關鍵詞:防火墻;網絡安全;RSA算法;PKI技術

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)13-3381-04

Firewall and Network Security System Constitutes

ZHANG Lei

(Nanjing University of Aeronautics and Astronautics, Nanjing 210016, China)

Abstract: This paper discusses the basic principles of the firewall and deployment principles,and from the firewall,the location of the deployment of a firewall detailed selection criteria,and the exchange of information classification and RSA encryption algorithms to make in order to analyze for information security,PKI technology,which is the core of technology,discusses the composition of the network security system.

Key words: firewall; network; security; RSA Algorithm; PKI

1 概述

信息安全是國家發展所面臨的一個重要問題。對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。

網絡安全產品有以下幾大特點:第一,網絡安全來源于安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷地變化;第三,隨著網絡在社會個方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的系統工程。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。

網絡防火墻技術的作為內部網絡與外部網絡之間的第一道安全屏障,是最先受到人們重視的網絡安全技術,就其產品的主流趨勢而言,大多數服務器(也稱應用網關)也集成了包濾技術,這兩種技術的混合應用顯然比單獨使用更具有大的優勢。那么我們究竟應該在哪些地方部署防火墻呢?首先,應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處,以阻擋來自外部網絡的入侵;其次,如果公司內部網絡規模較大,并且設置有虛擬局域網(VLAN),則應該在各個VLAN之間設置防火墻;第三,通過公網連接的總部與各分支機構之間也應該設置防火墻,如果有條件,還應該同時將總部與各分支機構組成虛擬專用網(VPN)。

安裝防火墻的基本原則:只要有惡意侵入的可能,無論是內部網絡還是與外部公網的連接處,都應該安裝防火墻。

2 防火墻技術

網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。

目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統,提出了防火墻概念后,防火墻技術得到了飛速的發展。國內外已有數十家公司推出了功能各不相同的防火墻產品系列。

防火墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇。在這一層上,企業對安全系統提出的問題:所有的IP是否都能訪問到企業的內部網絡系統?如果答案是“是”,則說明企業內部網還沒有在網絡層采取相應的防范措施。

作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換NAT、型和監測型。

2.1 包過濾型

包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。

包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。

2.2 網絡地址轉化NAT

網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。NAT將自動修改IP報文的源IP地址和目的IP地址,IP地址校驗則在NAT處理過程中自動完成。有些應用程序將源IP地址嵌入到IP報文的數據部分中,所以還需要同時對報文進行修改,以匹配IP頭中已經修改過的源IP地址。否則,在報文數據都分別嵌入IP地址的應用程序就不能正常工作。

NAT的實現方式有三種,即靜態轉換、動態轉換和端口多路復用OverLoad。

靜態轉換(Static Nat)是指將內部網絡的私有IP地址轉換為公有IP地址,IP地址對是一對一的,是一成不變的,某個私有IP地址只轉換為某個公有IP地址。借助于靜態轉換,可以實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問。

動態轉換(Dynamic Nat)是指將內部網絡的私有IP地址轉換為公用IP地址時,IP地址是不確定的,是隨機的,所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說,只要指定哪些內部地址可以進行轉換,以及用哪些合法地址作為外部地址時,就可以進行動態轉換。動態轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網絡內部的計算機數量時?？梢圆捎脛討B轉換的方式。

端口多路復用(Port address Translation,PAT)是指改變外出數據包的源端口并進行端口轉換,即端口地址轉換(PAT,Port Address Translation).采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問,從而可以最大限度地節約IP地址資源。同時,又可隱藏網絡內部的所有主機,有效避免來自internet的攻擊。因此,目前網絡中應用最多的就是端口多路復用方式。

在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。

NAT的工作過程如圖1所示。

2.3 型

型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。

型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。

2.4 監測型

監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部。因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品

雖然監測型防火墻安全性上已超越了包過濾型和服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代型產品為主,但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。

實際上,作為當前防火墻產品的主流趨勢,大多數服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過應用,應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。

3 防火墻的選擇

選擇防火墻的標準有很多,但最重要的是以下幾條:

3.1 總擁有成本

防火墻產品作為網絡系統的安全屏障,其總擁有成本(TCO)不應該超過受保護網絡系統可能遭受最大損失的成本。以一個非關鍵部門的網絡系統為例,假如其系統中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于關鍵部門來說,其所造成的負面影響和連帶損失也應考慮在內。如果僅做粗略估算,非關鍵部門的防火墻購置成本不應該超過網絡系統的建設總成本,關鍵部門則應另當別論。

3.2 防火墻本身是安全的

作為信息系統安全產品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。如果像馬其頓防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統內部,網絡系統也就沒有任何安全性可言了。

通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,這類問題一般用戶根本無從入手,只有通過權威認證機構的全面測試才能確定。所以對用戶來說,保守的方法是選擇一個通過多家權威認證機構測試的產品。其二是使用不當。一般來說,防火墻的許多配置需要系統管理員手工修改,如果系統管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。

3.3 管理與培訓

管理和培訓是評價一個防火墻好壞的重要方面。我們已經談到,在計算防火墻的成本時,不能只簡單地計算購置成本,還必須考慮其總擁有成本。人員的培訓和日常維護費用通常會在TCO中占據較大的比例。一家優秀秀的安全產品供應商必須為其用戶提供良好的培訓和售后服務。

3.4 可擴充性

在網絡系統建設的初期,由于內部信息系統的規模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復雜和昂貴的防火墻產品。但隨著網絡的擴容和網絡應用的增加,網絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產品。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統,而隨著要求的提高,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產品的廠商來說,也擴大了產品覆蓋面。

3.5 防火墻的安全性

防火墻產品最難評估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣,普通用戶通常無法判斷。即使安裝好了防火墻,如果沒有實際的外部入侵,也無從得知產品性能的優劣。但在實際應用中檢測安全產品的性能是極為危險的,所以用戶在選擇防火墻產品時,應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產品。

4 加密技術

信息交換加密技術分為兩類:即對稱加密和非對稱加密。

4.1 對稱加密技術

在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足,如果交換一方有N個交換對象,那么他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES(數據加密標準)的一種變形,這種方法使用兩個獨立的56為密鑰對信息進行3次加密,從而使有效密鑰長度達到112位。

4.2 非對稱加密/公開密鑰加密

在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上,是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。

4.3 RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制,其安全性是基于分解大整數的困難性。在RSA體制中使用了這樣一個基本事實:到目前為止,無法找到一個有效的算法來分解兩大素數之積。RSA算法的描述如下:

公開密鑰:n=pq(p、q分別為兩個互異的大素數,p、q必須保密)

e與(p-1)(q-1)互素

私有密鑰:d=e-1 {mod(p-1)(q-1)}

加密:c=me(mod n),其中m為明文,c為密文。

解密:m=cd(mod n)

利用目前已經掌握的知識和理論,分解2048bit的大整數已經超過了64位計算機的運算能力,因此在目前和預見的將來,它是足夠安全的。

5 PKI技術

PKI(Publie Key Infrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術,他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。它是認證機構(CA)、注冊機構(RA)、策略管理、密鑰(Key)與證書(Certificate)管理、密鑰備份與恢復、撤消系統等功能模塊的有機結合。

5.1 認證機構

CA(Certification Authorty)就是這樣一個確保信任度的權威實體,它的主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明―證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關系,而且與整個PKI系統的構架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標準,能夠很好地和其他廠家的CA產品兼容。

5.2 注冊機構

RA(Registration Authorty)是用戶和CA的接口,它所獲得的用戶標識的準確性是CA頒發證書的基礎。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網絡化、安全的且易于操作的RA系統。

5.3 策略管理

在PKI系統中,制定并實現科學的安全策略管理是非常重要的這些安全策略必須適應不同的需求,并且能通過CA和RA技術融入到CA 和RA的系統實現中。同時,這些策略應該符合密碼學和系統安全的要求,科學地應用密碼學與網絡安全的理論,并且具有良好的擴展性和互用性。

5.4 密鑰備份和恢復

為了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關系到整個PKI系統強健性、安全性、可用性的重要因素。

5.5 證書管理與撤消系統

證書是用來證明證書持有者身份的電子介質,它是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發證書的整個生命周期里是有效的。但是,有時也會出現一個已頒發證書不再有效的情況這就需要進行證書撤消,證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用周期性的機制撤消證書或采用在線查詢機制,隨時查詢被撤消的證書。

6 安全技術的研究現狀和動向

我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網絡安全的方案,目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體。

國際上信息安全研究起步較早,力度大,積累多,應用廣,在70年代美國的網絡安全技術基礎理論研究成果“計算機保密模型”(Beu& La padula模型)的基礎上,指定了“可信計算機系統安全評估準則”(TCSEC),其后又制定了關于網絡系統數據庫方面和系列安全解釋,形成了安全信息系統體系結構的準則。安全協議作為信息安全的重要內容,其形式化方法分析始于80年代初,目前有基于狀態機、模態邏輯和代數工具的三種分析方法,但仍有局限性和漏洞,處于發展的提高階段。作為信息安全關鍵技術密碼學,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。1976年美國學者提出的公開密鑰密碼體制,克服了網絡信息系統密鑰管理的困難,同時解決了數字簽名問題,它是當前研究的熱點。而電子商務的安全性已是當前人們普遍關注的焦點,目前正處于研究和發展階段,它帶動了論證理論、密鑰管理等研究,由于計算機運算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼、DNA密碼、混沌理論等密碼新技術正處于探索之中。

7 結束語

21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范,而且還從一種專門的領域變成了無處不在。一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平臺。我國必須建立起一套完整的網絡安全體系,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。在構建信息防衛系統時,應著力發展自己獨特的安全產品要想真正解決網絡安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網絡安全技術的整體提高,以此保證我國信息網絡的安全,推動我國國民經濟的高速發展。

參考文獻:

[1] 范明玨,王光衛.網絡安全協議理論與技術[M].北京:清華大學出版社,2009.

[2] Carasik-Henmi A.防火墻核心技術精解[M].北京:中國水利水電出版社,2005.

篇7

關鍵詞：計算機網絡 安全問題 防護措施 信息

中圖分類號：TP3 文獻標識碼：A 文章編號：1674-098X（2013）05（b）-0035-01

進入信息時代，人們的溝通方式發生了巨大的變化。隨著互聯網的高速發展，世界上的每一臺計算機都可以連入網絡并與任何一臺連入網絡的計算機進行通信。它不僅用于個人的上網行為，還關系到商業、軍事、醫療、公共管理等多個方面，所以計算機網絡安全問題變得尤為重要。人類社會對計算機的依賴程度達到了前所未有的高度，當計算機網絡受到攻擊而不能正常工作，將會帶來巨大的危機，社會經濟不能正常發展，軍事防護沒有保證，公共安全出現混亂，這種損失是無法預計的。所以，必須要分析研究計算機網絡存在的安全隱患，建立防護措施保證網絡的正常秩序。

1 網絡安全及其現狀

隨著計算機的出現，其安全問題就出現在人們的視野，國際標準化組織早已對其進行了定義：“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”?？梢钥闯?，計算機安全主要包括兩個方面的內容：物理安全和邏輯安全。物理安全較好理解，主要是硬件上的攻擊和破壞。邏輯安全可以理解為信息安全，無論是黑客還是病毒等攻擊手段，其目的都是為了獲取計算機內部的信息數據，并用這些數據創造非法的價值。

目前計算機網絡安全問題都已成為各個國家、企業、機構非常重視的問題，但是安全問題時有發生?；ヂ摼W上頻繁的發生著惡意犯罪、信息泄露以及計算機病毒泛濫事件，而這些事件會對經濟造成巨大的損失，對國家造成機密泄露，甚至使人民缺少安全感，對國家失去信心造成恐慌。事實證明，計算機網絡安全仍然需要不斷的加強和改進。

2 計算機網絡安全的威脅

2.1 自然威脅

自然威脅可能來自大自然中的非人為能夠控制的各種不可避免性威脅。包括一些自然災害、電磁干擾、設備老化等問題。這些問題的發生不可預見也很難防護，造成的損失也無法估量。

2.2 黑客攻擊

黑客能夠善于發現網絡和系統中存在的漏洞，并根據這些漏洞有針對性的攻擊，進入到系統內部，竊取或篡改信息，造成系統不能正常工作。其本質原因是因為系統和網絡本身不夠完善，存在缺點和漏洞，成為別人攻擊和利用的目標。黑客的另一種攻擊方式是網絡偵查，可以在網絡管理人員毫不知情的情況下，對網絡中的數據進行截取、篡改和破壞。

2.3 病毒攻擊

計算機病毒是一段可執行的代碼或程序，能夠破壞系統使其不能正常運行。這種程序被稱為病毒，是因為它一般具有生物病毒的高復制性和高傳播性，一旦感染很難清除甚至稱為一個傳播源。病毒的危害有很多，包括減少內存、破壞數據、刪除文檔、泄露信息等等。

2.4 內部威脅

內部威脅主要是因為很多企業用戶中的管理人員安全防范意識不強，采用的防護措施不夠，很容易被有目的的利用或攻擊。還有一種可能就是內部員工有目的性的對信息進行泄露，進行非法的利益謀取。這些原因都導致內部網絡安全事故頻頻發生，造成不必要的損失。

3 防護措施

計算機網絡的特性決定了其很難從根本上杜絕網絡安全問題的發生，只有從不斷的加強管理和防護措施，盡量避免安全事故的仿生，減小損失。

3.1 訪問權限

訪問權限控制是重要的網絡安全防護措施之一，其基本原理就是身份認證，對不同人員設置不同的訪問權限。這樣沒有通過身份認證的人員并不能使用系統內部網絡，禁止沒有權限的人或非法用戶使用受保護的資源。權限訪問主要可以分為三個部分：第一，對用戶的身份進行識別和驗證，檢查其是否具有合法性；第二，規定訪問級別，不同級別的用戶享有不同的資源訪問權限；第三，訪問跟蹤審計，對所有使用資源的用戶進行記錄和統計。

3.2 防火墻技術

防火墻一般用于隔離內部網絡和外部網絡，它被放置在內部網絡與互聯網相連接的節點上，對外部有害信息進行隔離，是一種邏輯保護手段。防火墻的具體功能有如下幾個方面：1）它可以對流進的數據進行過濾，將有害的信息隔離在防火墻之外；2）防火墻可以有針對性的關閉某些端口，禁止一些不安全的站點的訪問；3）對流過的數據進行記錄和統計，監督使用情況。防火墻可以和其他安全技術相配合，提高整體的網絡安全性。但是防火墻有一個明顯的缺點，就是其只能防止外部的攻擊，對于網絡內部的攻擊和病毒沒有好的防護手段。一旦被入侵，防火墻將不再有任何作用。

3.3 數據加密技術

數據加密技術是保護網絡中傳輸數據不被截獲篡改的有效手段。我們可以對數據進行編碼，然后加密，使傳輸的數據失去了其原有的信息特性，這樣即使被非法人員獲得，因為沒有相應的解密手段也不能夠獲得真正的信息。因為加密都有一定的標記性，所以非法的篡改也可以被發現，這樣就大大提高了數據傳輸的安全性和可靠性。

3.4 增強管理防范意識

從思想上提高防范意識，加強對網絡數據的管理和維護，是提高網絡安全性的有效手段。人的能動性和獨立性決定了不能以程序化的模式來約束和估計人的行為。所以要加強對內部網絡人員的管理和培訓，建立健全的網絡管理制度，提高員工的思想覺悟和法律意識。

4 結語

隨著社會信息化發展的加快，社會生活和生產都離不開計算機網絡，計算機網絡安全的重要性也隨著社會的發展不斷提升。本文分析了計算機網絡安全的現況，并提出了目前網絡安全所面臨的幾個主要問題，最后提出了幾點防護意見。計算機網絡安全是一門復雜的學科，也是一門持續發展的學科，我們應當在提高防護措施的同時，加強人員的管理和素質的培養，不斷提高全民網絡道德水平和安全意識。

參考文獻

[1] 陳霜霜.計算機網絡安全的研究與探討[J].信息科技，2011（12）.

篇8

關鍵詞：網絡安全技術 企業網絡 解決方案

中圖分類號：TN711文獻標識碼： A 文章編號：

隨著計算機網絡技術的飛速發展，自由的、開放的、國際化的Internet給政府機構、企事業單位帶來了前所未有的變革，使得企事業單位能夠利用Internet提高辦事效率和市場反應能力，進而提高競爭力。另外，網絡安全問題也隨著網絡技術的發展而真多，凡是有網絡的地方就存在著安全隱患。在2007年1月舉行的達沃斯世界經濟論壇上，與會者首次觸及了互聯網安全問題，表明網絡安全已經成為影響互聯網發展的重要問題。由于因特網所具有的開放性、國際性和自由性在增加應用自由度的同時，網絡安全隱患也越來越大，如何針對企業的具體網絡結構設計出先進的安全方案并選配合理的網絡安全產品，以及搭建有效的企業網絡安全防護體系是擺在計算機工作者面前的巨大課題。

一、企業網絡安全隱患分析 企事業單位可以通過Internet獲取重要數據，同時又要面對Internet開放性帶來的數據安全問題。公安部網絡安全狀況調查結果顯示：2009年，被調查的企業有49%發生過網絡信息安全事件。在發生過安全事件的企業中，83%的企業感染了計算機病毒、蠕蟲和木馬程序，36%的企業受到垃圾電子郵件干擾和影響。59%的企業發生網絡端口掃描，拒絕服務攻擊和網頁篡改等安全危機。如何保護企業的機密信息不受黑客和工業間諜的攻擊，已成為政府機構、企事業單位信息化健康發展所要解決的一項重要工作。隨著信息技術的發展，網絡病毒和黑客工具軟件具有技術先進、隱蔽性強、傳播速度快、破壞力強等特點。這主要表現在： 1.網絡安全所面臨的是一個國際化的挑戰，網絡的攻擊不僅僅來自本地網絡的用戶，而是可以來自Internet上的任何一個終端機器。2.由于網絡技術是全開放的，任何一個團體組織或者個人都可能獲得，開放性的網絡導致網絡所面臨的破壞和攻擊往往是多方面的，例如：對網絡通信協議的攻擊，對物理傳輸線路的攻擊，對硬件的攻擊，也可以是對軟件的攻擊等等。3.用戶可以自由地使用和各種類型的信息，自由地訪問網絡服務器，因為網絡最初對用戶的使用并沒有提供任何的技術約束。

二、企業網絡安全解決方案

（一）物理隔離方案。其基本原理為：從物理上來隔離阻斷網絡上潛在的攻擊連接。其中包括一系列阻斷的特征，如：沒有連接、沒有命令、沒有協議、沒有TCP/IP連接，沒有應用連接、沒有包轉發，只有文件“擺渡”，對固態介質只有讀和寫兩個命令。其結果是無法攻擊、無法入侵、無法破壞。比如可以采用DShield/宇宙盾通用雙向網絡信息安全隔離網閘。

（二）網絡系統安全解決方案。網絡應用服務器的操作系統選擇是一個很重要的部分，網絡操作系統的穩定性和安全性能決定了服務器的性能。網絡操作系統的系統軟件，管理并控制著計算機軟硬件資源，并在用戶與計算之間擔任著重要的橋梁作用。一般對其采用下列設置保障其基本安全

1.關閉不必要的服務。2.制定嚴格的賬戶策略。3.科學的分配用戶賬戶權限。4.科學的安全配置和分析。 （三）入侵檢測解決方案。在現有的企業網絡安全防護體系中，大部分企業都部署了防火墻對企業進行保護。但是傳統防火墻設備有其自身的缺點。如果操作系統由于自身的漏洞也有可能帶來較大的安全風險。根據企業網絡的實際應用情況，對網絡環境安全狀況進行詳細的分析研究認為，對外提供應用服務的服務器應該受到重點的監控和防護。在這一區域部署入侵檢測系統，這樣可以充分發揮IDS的優勢，形成防火墻后的第二道防線，如果充分利用IDS與防火墻的互動功能優勢，則可以大大提升動態防護的效果。

（四）安全管理解決方案。信息系統安全管理機構是負責信息安全日常事務工作的，應按照國家信息系統安全的有關法律、法規、制度、規范建立和健全有關的安全策略和安全目標，結合自身信息系統的安全需求建立安全實施細則，并負責貫徹實施。 單位安全網（即內網）系統安全管理機構主要實現以下職能：

1.建立和健全本系統的系統安全操作規程。

2.確定信息安全各崗位人員的職責和權限，實行相互授權、相互牽連，建立崗位責任制。

3.審議并通過安全規劃，年度安全報告，有關安全的宣傳、教育、培訓計劃。

篇9

關鍵詞：arp欺騙；入侵檢測系統；網絡監控平臺

計算機網絡是一個開放性的平臺，這就決定了網絡先天就存在安全的問題。網絡安全一直是限制網絡發展的一個重要原因?，F今的網絡架構中采用交換機互聯，使用網關地址轉發網絡數據包，這種交換式連接的局域網一直是很成熟的技術，但近年來它在一種新型網絡攻擊面前卻毫無辦法進行防范，這種攻擊就是arp欺騙。

1．arp欺騙

ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。

假設一個網絡環境中，網內有三臺主機，分別為主機A、B、C。主機詳細信息如下描述：

A的地址為：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址為：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

C的地址為：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

正常情況下A和C之間進行通訊，但是此時B向A發送一個自己偽造的ARP應答，而這個應答中的數據為發送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存（A被欺騙了），這時B就偽裝成C了。同時，B同樣向C發送一個ARP應答，應答包中發送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本來應該是AA-AA-AA-AA-AA-AA），當C收到B偽造的ARP應答，也會更新本地ARP緩存（C也被欺騙了），這時B就偽裝成了A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數據都經過了B。主機B完全可以知道他們之間說的什么：）。這就是典型的ARP欺騙過程。

2．目前的網絡防御方法

2.1 防火墻

雖然防火墻可以有效地保護網絡免遭黑客的攻擊，但是也現存著一些明顯的不足：①對內部網絡發起的攻擊無法阻止；②可以阻斷外部攻擊而無法消滅攻擊來源；③做nat轉換后，由于防火墻本身性能和并發連接數的限制，容易導致出口成為網絡瓶頸，形成網絡擁塞；④對于網絡中新生的攻擊行為，如果未做出相應策略的設置，則無法防范；⑤對于利用系統后門、蠕蟲病毒以及獲得用戶授權等一切擁有合法開放端口掩護的攻擊行為將無法防范。為了彌補防火墻存在的不足，許多網絡管理者應用入侵檢測來提高網絡的安全性和抵御攻擊的能力。

2.2 入侵檢測系統（intrusiondetectionsystem）

入侵檢測系統（ids）按照收集數據來源的不同一般可以分為三大類：

①由多個部件組成，分布于內部網絡的各個部分的分布式入侵檢測系統。

②依靠網絡上的數據包作為分析、監控數據源的基于網絡型入侵檢測系統。

③安裝在網段內的某臺計算機上，以系統的應用程序日志和審計日志為數據源主機型入侵檢測系統。

雖然入侵檢測系統以不同的形式安裝于內部網絡的各個不同的位置，但由于采集數據源的限制，對arp病毒形式的攻擊行為卻反應遲鈍。入侵檢測系統一般部署在主干網絡或者明確要監控的網段之中，而一個內部網絡往往有很多個獨立的網段；由于財力的限制，網絡管理者一般都不能在每個網絡中部署用于數據采集的監控計算機。一旦未部署的網段中arp欺騙阻塞了本網段與外界的正常通訊，入侵檢測系統無法采集到完整的數據信息而不能迅速準確的作出反應。除此以外，現有的各種入侵檢測系統還存在著一些共同的缺陷，如；較高的誤報率，無關緊要的報警過于頻繁；系統產品對不同的網絡或網絡中的變化反應遲鈍，適應能力較低；系統產品報告的專業性太強，需要管理者、使用者有比較高深的網絡專業知識；對用于處理信息的設備在硬件上有較高的要求，在大型局域網絡中檢測系統受自身處理速度的限制，容易發生故障無法對網絡進行實時監測。

2.3 入侵防御系統（intrusionpreventsystem）

（1）入侵防御系統（ips）是針對入侵檢測系統（ids）所存在的不足，借用網絡防火墻的部分原理而建立的。入侵防御系統有效的結合了入侵檢測技術和防火墻原理；不但能檢測入侵的發生，而且通過一些有效的響應方式來終止入侵行為；從而形成了一種新型的、混合的、具有一定深度的入侵防范技術。

入侵防御系統（ips）按照應用方式的不同一般可以分為三大類：

①基于主機的入侵防御系統hips：是一種駐留在服務器、工作站等獨立系統中的安全管理程序。這些程序可以對流入和流出特定系統的數據包進行檢查，監控應用程序和操作系統的行為，保護系統不會被惡意修改和攻擊。

②基于網絡的入侵防御系統nips：是一種以嵌入模式部署與受保護網段中的系統。受保護網段中的所有網絡數據都必須通過nips設備，如果被檢測出存在攻擊行為，nips將會進行實時攔截。

③應用服務入侵防御系統（aips）：是將hips擴展成位于應用服務器之間的網絡設備。利用與hips相似的原理保護應用服務器。

相對與ids而言，ips是以在線方式安裝在被保護網絡的入口處，從而監控所有流經的網絡數據。ips結合了ids和防火墻的技術，通過對流經的數據報文進行深層檢查，發現攻擊行為，阻斷攻擊行為，從而達到防御的目的。

（2）但同時，我們也認識到：由于ips是基于ids同樣的策略特征庫，導致它無法完全克服ids所存在的缺陷，依然會出現很多的誤報和漏報的情況，而主動防御應建立在精確、可靠的檢測結果之上，大量的誤報所激發的主動防御反而會造成巨大的負面影響；另一方面，數據包的深入檢測和保障可用網絡的高性能之間是存在矛盾的，隨著網絡帶寬的擴大、單位時間傳輸數據包的增加、ips攻擊特征庫的不斷膨脹，串連在出口位置的ips對網絡性能的影響會越來越嚴重，最終必將成為網絡傳輸的瓶頸。

3. 新的網絡安全發展方向

分析目前網絡安全技術的特點不難發現：現有的安全技術無法保證100%發現和阻斷外來的網絡攻擊行為；同時，內網中的計算機以及其它網絡通訊設備中存在的系統安全漏洞基本上沒有得到任何監控。

所以網絡安全新的發展方向就是要建立起上述的網絡故障自動監控平臺，在建網時就要盡量 做到以下幾個方面的工作：

①設計大規模的局域網時，網內的交換機應該聯入一個或多個獨立的網段中，這樣既可以讓交換機之間形成一個獨立的管理網絡，又可以避免遠程操作交換機時受到用戶網段通信的影響。

②應盡量多的在網絡中部署管理型網絡交換機，這樣既可以縮小故障源的范圍便于定位，又便于網絡管理員進行遠程操作以迅速處理網絡故障。

③應在核心交換機上部署一個基于全網拓撲圖的網絡監控軟件，網絡值班人員（非核心技術人員）可以通過網絡交換機的圖形化管理軟件對網絡信息進行收集、分析和進行故障分析和排除，達到動態監控的目的。

④努力開發收集交換機數據的軟件，開發分析網絡行為的策略庫，不斷提高網絡監控平臺的故障反應速度和故障源定位的準確性。

參考文獻

[1]張仕斌，易勇。網絡安全技術[m]清華大學出版社

[2]任俠，呂述望。arp協議欺騙原理分析與抵御方法[j]計算機工程2004

篇10

關鍵詞：計算機網絡完全；安全隱患；安全檢測；監控技術

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2012) 12-0000-02

一、引言

隨著網絡的普及與應用，個人與企業將越來越多的數據存放于網絡之中，尤其伴隨著近兩年“云服務”的普及，這一趨勢更加明顯。但是在網絡中，由于其本身的脆弱性，加之黑客以及不法之徒在受利益的驅使下對計算機網絡的攻擊等，使得我們的數據及信息受到了很多安全方面的威脅。因此，做好計算機網絡安全的檢測與監控不僅能夠保證我們生活工作的順利進行，更對我們的財產隱私起到很好的保護作用。

二、計算機網絡安全的隱患

計算機安全指的是通過一定的技術對保證其硬件、軟件以及數據不受侵害，我們通常認為計算機安全就是保證我們的數據及隱私不受竊取或者篡改。

計算機網絡中的問題一般具有以下特征：隱蔽性、潛伏性、破壞性、危害性、突發性以及擴散性?？傮w而言計算機網絡的安全問題主要體現在：

（1）計算機網絡的自身特點決定了網絡本身就存在問題。這一問題首先體現在網絡本身處于一個無政府、無主管的狀態；其次，如今使用較多的系統都存在著漏洞；最后，TCP／IP協議中的隱患較大。這些網絡本身不可避免的問題都會對計算機的安全造成較大隱患。

（2）因為外界威脅因素而導致的問題，具體有自然威脅與人為威脅兩種，其中人為威脅是我們需要處理的重點，包括黑客攻擊、病毒入侵以及非法訪問等。

（3）用戶安全意識淡薄導致的問題。由于安全意識的單薄，很容易出現其重要性文件不加密、密碼泄露等問題，這就給黑客提供了有機可趁的機會。另外，由于防范意識不強，使得系統漏洞修復不及時甚至根本不理會也會給計算機網絡帶來很大的威脅。

（4）缺乏評估和監控手段。安全評估是確保計算機安全的基礎。但是，我們對于計算機網絡安全的保護大多數從更事前的預防以及事后的彌補出發，對于事發過程中的評估以及監控做的很不到位，正是基于這一問題，本文提出了有關計算機網絡安全的檢測與監控技術的研究。

三、計算機網絡安全的檢測與監控技術

計算機網絡安全的檢測技術包括網絡安全掃描技術、網絡安全自動檢測系統以及網絡入侵監控預警系統

（一）網絡安全的掃描技術

網絡安全的掃描技術是計算機網絡安全的檢測技術中非常重要的一部分，我們通過這一技術可以發現Web服務器中有關TCP/IP端口分配、開放服務以及Web服務軟件的版本等漏洞。此技術是具有主動、非破壞性以及有效性。具體的使用上，它使用腳本對系統模擬攻擊，然后對結果做出分析。一般來說，這種技術與防火墻和網絡監控系統之間應互相配合使用，這樣可以非常有效地改善系統漏洞，以起到防范黑客入侵的功效。

網絡安全的掃描技術在實現中可以分為以下三個階段：首先，發現目標；其次，收集關于目標的信，；最后，對收集到的信息進行判斷，而判斷的主要目標是系統的漏洞所在。在這三個階段中，網絡安全掃描技術的實施中包括：端口掃描(Port Scan)、漏洞掃描(Vulnerability Scan)、操作系統探測(Operating System Identification)、如何探測訪問控制規則(Firewalking)以及PING掃射(Ping Sweep)等。

（二）自動檢測系統

網絡安全的自動檢測系統是針對防火墻、虛擬專用網絡（VPN，）防火墻等技術無法解決的問題而開發的一種對系統安全進行更加主動、有效的檢測系統。這種系統的一般來說是依據NSS、Strobe、SATAN、ISS等網絡安全檢測工具來實現的。

其中安全測試的對象可以分為配置文件測試、文件內客以及保護機制測試、錯誤修正測試、差別測試以及對于指定系統的測試。目前，在安全測試中，人工智能技術取得了較為不錯的效果，對于特殊的漏洞的檢測尤為高效。

掃描器是實現網絡安全的自動檢測系統的關鍵，這種程序能夠對遠程或者本地主機的安全性弱點進行掃描，而不是直接對網絡的漏洞進行攻擊。掃描器具有3個功能，即：發現目標；找出目標主機或網絡正運行的服務；對具有漏洞的服務進行測試。其最基本原理是在用戶試圖對特殊服務進行連接的時候對連接所產生的消息進行檢測。

在網絡安全的自動檢測系統運行中，首先要做的是對攻擊方法進行收集與分先，在這個過程里，為了確保網絡安全自動檢測系統的時效性，我們可以設計一種攻擊方法插件（Plug-in）所構成的攻擊方法庫。它其實是用于對攻擊方法進行描述與實現的動態鏈接庫。

在方法庫的基礎上，我們可以設計實現掃描調度程序和掃描控制程序。這種程序能夠接受用戶命令，然后配置需要掃描的目標網絡以及主機，并分析處理這種掃描結果，圖1比較直觀的反映了網絡安全自動檢測系統工作的整體流程。而掃描調度根則是依據掃來自描控制程序的掃描要求以及動態調用方法庫中的方法對目標進行掃描，然后把掃描結果反饋到掃描控制程序中。下圖是網絡安全自動測試系統的總體架構圖。

（三）網絡入侵預警系統