導(dǎo)語：在防火墻技術(shù)論文的撰寫旅程中，學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑，好期刊匯集了九篇優(yōu)秀范文，愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感，引領(lǐng)您探索更多的創(chuàng)作可能。

第1篇

防火墻是當(dāng)前公認(rèn)的確保網(wǎng)絡(luò)安全最有效的手段。它通過對(duì)訪問權(quán)限的控制，對(duì)所涉及用戶的操作進(jìn)行審查和過濾，有效降低了計(jì)算機(jī)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。防火墻可以對(duì)內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間的所有活動(dòng)進(jìn)行即時(shí)有效的監(jiān)督，不管是對(duì)運(yùn)行秩序還是內(nèi)部網(wǎng)的安全運(yùn)行都能起到很好的保護(hù)作用。

1.1計(jì)算機(jī)防火墻技術(shù)

防火墻對(duì)計(jì)算機(jī)網(wǎng)絡(luò)保護(hù)作用的實(shí)現(xiàn)是通過將內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)分開來實(shí)現(xiàn)的，具有相當(dāng)強(qiáng)的隔離性。在防火墻的使用上，通常都是依靠包的源地址和數(shù)據(jù)包協(xié)議等進(jìn)行設(shè)置的。此外，防火墻的實(shí)現(xiàn)途徑還有服務(wù)器的軟件這種形式，不過使用頻率相對(duì)少一些。防火墻在過去比較長的時(shí)間里，它的主要目的除了限制主機(jī)之外，再就是規(guī)范網(wǎng)絡(luò)訪問控制，功能相對(duì)單一和簡(jiǎn)單，不過，隨著近些年網(wǎng)絡(luò)技術(shù)的不斷更新和完善，防火墻的功能越來越豐富了，集成了信息的解密、加密等多種功能，另外還具有壓縮機(jī)解壓這種新的功能，計(jì)算機(jī)網(wǎng)絡(luò)的安全性因此得到了非常大的提高。

1.2防火墻的主要功能

防火墻的功能是比較多的，最主要的是以下幾個(gè)方面:首先，對(duì)本機(jī)的數(shù)據(jù)進(jìn)行篩選和過濾，這樣可以有效避免非法信息及各種網(wǎng)絡(luò)病毒的攻擊和侵入，另外防火墻還可以對(duì)網(wǎng)絡(luò)中部分特殊站點(diǎn)進(jìn)行嚴(yán)格規(guī)范，這樣可以有效避免因相關(guān)人員的無意操作所帶來的網(wǎng)絡(luò)風(fēng)險(xiǎn)。其次，防火墻能夠比較徹底地?cái)r截不安全訪問，外部人員如果想進(jìn)入內(nèi)部網(wǎng)，必須先經(jīng)過防火墻的審查，只有審查合格了才能夠進(jìn)入，在這一個(gè)環(huán)節(jié)中，那些不安全的訪問用戶就會(huì)被過濾掉，大大降低了網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。再次，防火墻能夠很好地保存網(wǎng)絡(luò)運(yùn)行中產(chǎn)生的各種信息數(shù)據(jù)，當(dāng)它發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)威脅網(wǎng)絡(luò)安全的非法活動(dòng)時(shí)，能夠在第一時(shí)間發(fā)出警報(bào)，并采取針對(duì)性的措施[3]。

二、結(jié)語

第2篇

原文

引言

21世紀(jì)全世界的計(jì)算機(jī)都將通過Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。

一個(gè)國家的信息安全體系實(shí)際上包括國家的法規(guī)和政策，以及技術(shù)與市場(chǎng)的發(fā)展平臺(tái)。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí)，應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品，我國要想真正解決網(wǎng)絡(luò)安全問題，最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè)，帶動(dòng)我國網(wǎng)絡(luò)安全技術(shù)的整體提高。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn)：第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化；第三，隨著網(wǎng)絡(luò)在社會(huì)各方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

信息安全是國家發(fā)展所面臨的一個(gè)重要問題。對(duì)于這個(gè)問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分，甚至應(yīng)該看到它對(duì)我國未來電子化、信息化的發(fā)展將起到非常重要的作用。

1.防火墻概述：

1.1什么是防火墻

防火墻是建立在兩個(gè)網(wǎng)絡(luò)邊界上的實(shí)現(xiàn)安全策略和網(wǎng)絡(luò)通信監(jiān)控的系統(tǒng)或系統(tǒng)集，它強(qiáng)制執(zhí)行對(duì)內(nèi)部網(wǎng)絡(luò)(如校園網(wǎng))和外部網(wǎng)絡(luò)(如Internet)的訪問控制。

......

目錄

引言:

1.防火墻概述

1.1什么是防火墻

1.2防火墻的四大功能

2.防火墻的分類

2.1從防火墻的軟、硬件形式劃分

2.2按照防火墻防御方式劃分

2.3按防火墻結(jié)構(gòu)劃分

3.防火墻的選擇

3.1總擁有成本

3.2防火墻本身是安全的

3.3管理與培訓(xùn)

3.4可擴(kuò)充性

3.5防火墻的安全性

4.防火墻的發(fā)展前景

4.1在包過濾中引入鑒別授權(quán)機(jī)制

4.2復(fù)變包過濾技術(shù)

4.3虛擬專用防火墻（VPF）

4.4多級(jí)防火墻

結(jié)尾語

參考資料

參考文獻(xiàn):

(1)張炯明.安全電子商務(wù)使用技術(shù).北京.清華大學(xué)出版社.2002.4

(2)吳應(yīng)良.電子商務(wù)概論.廣州.華南理工大學(xué)出版社.2003.8

(3)游夢(mèng)良,李冬華.企業(yè)電子商務(wù)模式.廣州.廣東人民大學(xué)出版社.2001.10

(4)祁明.電子商務(wù)安全與保密［M］.北京.高等教育出版社.2001.10

(5)王縝,葉林.電子商務(wù)中的安全技術(shù).河北工業(yè)科技報(bào).第4期.2002

第3篇

[論文摘要]通過對(duì)幾種不同防火墻的攻擊方法和原理進(jìn)行研究，針對(duì)黑客攻擊的方法和原理，我們能夠部署網(wǎng)絡(luò)安全防御策略，為構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)安全體系提供了理論原理和試驗(yàn)成果。

防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，以保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許。

從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。盡管如此，事情沒有我們想象的完美，攻擊我們的是人，不是機(jī)器，聰明的黑客們總會(huì)想到一些辦法來突破防火墻。

一、包過濾型防火墻的攻擊

包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)Packet的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識(shí)別基于應(yīng)用層的惡意入侵。

包過濾防火墻是在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)Packet，根據(jù)防火墻的規(guī)則表，來檢測(cè)攻擊行為。根據(jù)Packet的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口來過濾。所以它很容易受到如下攻擊。

（一）ip欺騙

如果修改Packet的源，目的地址和端口，模仿一些合法的Packet就可以騙過防火墻的檢測(cè)。如：我將Packet中的源地址改為內(nèi)部網(wǎng)絡(luò)地址，防火墻看到是合法地址就會(huì)放行。

這種攻擊應(yīng)該怎么防范呢？

如果防火墻能結(jié)合接口，地址來匹配，這種攻擊就不能成功了。

eth1連接外部網(wǎng)絡(luò)，eth2連接內(nèi)部網(wǎng)絡(luò)，所有源地址為內(nèi)網(wǎng)地址的Packet一定是先到達(dá)eth2，我們配置eth1只接受來自eth2的源地址為內(nèi)網(wǎng)地址的Packet，那么這種直接到達(dá)eth1的偽造包就會(huì)被丟棄。

（二）分片偽造

分片是在網(wǎng)絡(luò)上傳輸IP報(bào)文時(shí)采用的一種技術(shù)手段，但是其中存在一些安全隱患。Ping of Death， teardrop等攻擊可能導(dǎo)致某些系統(tǒng)在重組分片的過程中宕機(jī)或者重新啟動(dòng)。這里我們只談?wù)勅绾卫@過防火墻的檢測(cè)。

在IP的分片包中，所有的分片包用一個(gè)分片偏移字段標(biāo)志分片包的順序，但是，只有第一個(gè)分片包含有TCP端口號(hào)的信息。當(dāng)IP分片包通過分組過濾防火墻時(shí)，防火墻只根據(jù)第一個(gè)分片包的Tcp信息判斷是否允許通過，而其他后續(xù)的分片不作防火墻檢測(cè)，直接讓它們通過。

工作原理弄清楚了，我們來分析：從上面可以看出，我們?nèi)绻氪┻^防火墻只需要第一個(gè)分片，也就是端口號(hào)的信息符合就可以了。

那我們先發(fā)送第一個(gè)合法的IP分片，將真正的端口號(hào)封裝在第二個(gè)分片中，那樣后續(xù)分片包就可以直接穿透防火墻，直接到達(dá)內(nèi)部網(wǎng)絡(luò)主機(jī)，通過我的實(shí)驗(yàn)，觀察攻擊過程中交換的數(shù)據(jù)報(bào)片斷，發(fā)現(xiàn)攻擊數(shù)據(jù)包都是只含一個(gè)字節(jié)數(shù)據(jù)的報(bào)文，而且發(fā)送的次序已經(jīng)亂得不可辨別，但對(duì)于服務(wù)器TCP/IP堆棧來說，它還是能夠正確重組的。

二、NAT防火墻的攻擊

這里其實(shí)談不上什么攻擊，只能說是穿過這種防火墻的技術(shù)，而且需要新的協(xié)議支持，因?yàn)檫@種方法的是為了讓兩個(gè)不同NAT后面的p2p軟件用戶可以不通過端口映射直接進(jìn)行連接，我們稱為UDP打洞技術(shù)。

UDP打洞技術(shù)允許在有限的范圍內(nèi)建立連接。STUN（The Simple Traversal of User Datagram Protocol through Network Address Translators）協(xié)議實(shí)現(xiàn)了一種打洞技術(shù)可以在有限的情況下允許對(duì)NAT行為進(jìn)行自動(dòng)檢測(cè)然后建立UDP連接。在UDP打洞技術(shù)中，NAT分配的外部端口被發(fā)送給協(xié)助直接連接的第三方。在NAT后面的雙方都向?qū)Ψ降耐獠慷丝诎l(fā)送一個(gè)UDP包，這樣就在NAT上面創(chuàng)建了端口映射，雙方就此可以建立連接。一旦連接建立，就可以進(jìn)行直接的UDP通信了。

但是UDP連接不能夠持久連接。UDP是無連接的并且沒有對(duì)誰明確的通信。一般地，NAT見了的端口映射，如果一段時(shí)間不活動(dòng)后就是過期。為了保持UDP端口映射，必須每隔一段時(shí)間就發(fā)送UDP包，就算沒有數(shù)據(jù)的時(shí)候，只有這樣才能保持UDP通信正常。另外很多防火墻都拒絕任何的外來UDP連接。

由于各方面原因，這次沒有對(duì)建立TCP的連接做研究，估計(jì)是能連接的。

三、防火墻的攻擊

防火墻運(yùn)行在應(yīng)用層，攻擊的方法很多。這里就以WinGate為例。 WinGate是以前應(yīng)用非常廣泛的一種Windows95/NT防火墻軟件，內(nèi)部用戶可以通過一臺(tái)安裝有WinGate的主機(jī)訪問外部網(wǎng)絡(luò)，但是它也存在著幾個(gè)安全脆弱點(diǎn)。

黑客經(jīng)常利用這些安全漏洞獲得WinGate的非授權(quán)Web、Socks和Telnet的訪問，從而偽裝成WinGate主機(jī)的身份對(duì)下一個(gè)攻擊目標(biāo)發(fā)動(dòng)攻擊。因此，這種攻擊非常難于被跟蹤和記錄。

導(dǎo)致WinGate安全漏洞的原因大多數(shù)是管理員沒有根據(jù)網(wǎng)絡(luò)的實(shí)際情況對(duì)WinGate防火墻軟件進(jìn)行合理的設(shè)置，只是簡(jiǎn)單地從缺省設(shè)置安裝完畢后就讓軟件運(yùn)行，這就讓攻擊者可從以下幾個(gè)方面攻擊：

（一）非授權(quán)Web訪問

某些WinGate版本（如運(yùn)行在NT系統(tǒng)下的2.1d版本）在誤配置情況下，允許外部主機(jī)完全匿名地訪問因特網(wǎng)。因此，外部攻擊者就可以利用WinGate主機(jī)來對(duì)Web服務(wù)器發(fā)動(dòng)各種Web攻擊（ 如CGI的漏洞攻擊等），同時(shí)由于Web攻擊的所有報(bào)文都是從80號(hào)Tcp端口穿過的，因此，很難追蹤到攻擊者的來源。

檢測(cè)WinGate主機(jī)是否有這種安全漏洞的方法如下：

（1）以一個(gè)不會(huì)被過濾掉的連接（譬如說撥號(hào)連接）連接到因特網(wǎng)上。

（2）把瀏覽器的服務(wù)器地址指向待測(cè)試的WinGate主機(jī)。

如果瀏覽器能訪問到因特網(wǎng)，則WinGate主機(jī)存在著非授權(quán)Web訪問漏洞。

（二）非授權(quán)Socks訪問

在WinGate的缺省配置中，Socks（1080號(hào)Tcp端口）同樣是存在安全漏洞。與打開的Web（80號(hào)Tcp端口）一樣，外部攻擊者可以利用Socks訪問因特網(wǎng)。

轉(zhuǎn)貼于

（三）非授權(quán)Telnet訪問

它是WinGate最具威脅的安全漏洞。通過連接到一個(gè)誤配置的WinGate服務(wù)器的Telnet服務(wù)，攻擊者可以使用別人的主機(jī)隱藏自己的蹤跡，隨意地發(fā)動(dòng)攻擊。

檢測(cè)WinGate主機(jī)是否有這種安全漏洞的方法如下：

1)使用telnet嘗試連接到一臺(tái)WinGate服務(wù)器。

[root@happy/tmp]#telnet172.29.11.191

Trying172.29.11.191….

Connectedto172.29.11.191.

Escapecharacteris'^]'.

Wingate>10.50.21.5

2)如果接受到如上的響應(yīng)文本，那就輸入待連接到的網(wǎng)站。

3)如果看到了該新系統(tǒng)的登錄提示符，那么該服務(wù)器是脆弱的。

Connectedtohost10.50.21.5…Connected

SunOS5.6

Login:

其實(shí)只要我們?cè)赪inGate中簡(jiǎn)單地限制特定服務(wù)的捆綁就可以解決這個(gè)問題。

四、監(jiān)測(cè)型防火墻的攻擊

一般來說，完全實(shí)現(xiàn)了狀態(tài)檢測(cè)技術(shù)防火墻，智能性都比較高，普通的掃描攻擊還能自動(dòng)的反應(yīng)。但是這樣智能的防火墻也會(huì)受到攻擊！

（一）協(xié)議隧道攻擊

協(xié)議隧道的攻擊思想類似與VPN的實(shí)現(xiàn)原理，攻擊者將一些惡意的攻擊Packet隱藏在一些協(xié)議分組的頭部，從而穿透防火墻系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊。

比如說，許多簡(jiǎn)單地允許ICMP回射請(qǐng)求、ICMP回射應(yīng)答和UDP分組通過的防火墻就容易受到ICMP和UDP協(xié)議隧道的攻擊。Loki和lokid（攻擊的客戶端和服務(wù)端）是實(shí)施這種攻擊的有效的工具。在實(shí)際攻擊中，攻擊者首先必須設(shè)法在內(nèi)部網(wǎng)絡(luò)的一個(gè)系統(tǒng)上安裝上lokid服務(wù)端，而后攻擊者就可以通過loki客戶端將希望遠(yuǎn)程執(zhí)行的攻擊命令（對(duì)應(yīng)IP分組）嵌入在ICMP或UDP包頭部，再發(fā)送給內(nèi)部網(wǎng)絡(luò)服務(wù)端lokid，由它執(zhí)行其中的命令，并以同樣的方式返回結(jié)果。

由于許多防火墻允許ICMP和UDP分組自由出入，因此攻擊者的惡意數(shù)據(jù)就能附帶在正常的分組，繞過防火墻的認(rèn)證，順利地到達(dá)攻擊目標(biāo)主機(jī)。

（二）利用FTP-pasv繞過防火墻認(rèn)證的攻擊

FTP-pasv攻擊是針對(duì)防火墻實(shí)施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如CheckPoint的Firewall-1，在監(jiān)視FTP服務(wù)器發(fā)送給客戶端的包的過程中，它在每個(gè)包中尋找“227”這個(gè)字符串。如果發(fā)現(xiàn)這種包，將從中提取目標(biāo)地址和端口，并對(duì)目標(biāo)地址加以驗(yàn)證，通過后，將允許建立到該地址的TCP連接。

攻擊者通過這個(gè)特性，可以設(shè)法連接受防火墻保護(hù)的服務(wù)器和服務(wù)。

五、通用的攻擊方法

（一）木馬攻擊

反彈木馬是對(duì)付防火墻的最有效的方法。攻擊者在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時(shí)地連接外部攻擊者控制的主機(jī)，由于連接是從內(nèi)部發(fā)起的，防火墻（任何的防火墻）都認(rèn)為是一個(gè)合法的連接，因此基本上防火墻的盲區(qū)就是這里了。防火墻不能區(qū)分木馬的連接和合法的連接。

說一個(gè)典型的反彈木馬，目前變種最多有“毒王”之稱的“灰鴿子”，該木馬由客戶端主動(dòng)連接服務(wù)器，服務(wù)器直接操控。非常方便。

(二)d.o.s拒絕服務(wù)攻擊

簡(jiǎn)單的防火墻不能跟蹤 tcp的狀態(tài)，很容易受到拒絕服務(wù)攻擊，一旦防火墻受到d.o.s攻擊，它可能會(huì)忙于處理，而忘記了自己的過濾功能。簡(jiǎn)單的說明兩個(gè)例子。

Land（Land Attack）攻擊：在Land攻擊中，黑客利用一個(gè)特別打造的SYN包，它的源地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址進(jìn)行攻擊。此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)，在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢。

IP欺騙DOS攻擊：這種攻擊利用TCP協(xié)議棧的RST位來實(shí)現(xiàn)，使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。假設(shè)現(xiàn)在有一個(gè)合法用戶(a.a.a.a)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為a.a.a.a，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從a.a.a.a發(fā)送的連接有錯(cuò)誤，就會(huì)清空緩沖區(qū)中已建立好的連接。這時(shí)，合法用戶a.a.a.a再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，該用戶就被拒絕服務(wù)而只能重新開始建立新的連接。

六、結(jié)論

我們必須承認(rèn)以現(xiàn)在的防火墻技術(shù)，無法給我們一個(gè)相當(dāng)安全的網(wǎng)絡(luò)。網(wǎng)絡(luò)中是沒有百分之百安全的，由于我們面對(duì)的黑客都屬于聰明的高技術(shù)性計(jì)算機(jī)專家，攻擊時(shí)的變數(shù)太大，所以網(wǎng)絡(luò)安全不可能單靠防火墻來實(shí)現(xiàn)，只可能通過不斷完善策略、協(xié)議等根本因素才行。

在防火墻目前還不算長的生命周期中，雖然問題不斷，但是，它也在科學(xué)家的苦心經(jīng)營下不斷自我完善，從單純地?cái)r截一次來自黑客的惡意進(jìn)攻，逐步走向安全事件管理及安全信息管理的大路，并將最終匯入網(wǎng)絡(luò)安全管理系統(tǒng)的大海，這應(yīng)該是一種歷史的必然。一旦防火墻把網(wǎng)絡(luò)安全管理當(dāng)作自我完善的終極目的，就等同于將發(fā)展的方向定位在了網(wǎng)絡(luò)安全技術(shù)的制高點(diǎn)，如果成功，防火墻將成為未來網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分。

參考文獻(xiàn)

[1]W．Richard As.TCP/IP詳解 卷一：協(xié)議[M].機(jī)械工業(yè)出版社，2000.

[2]黎連業(yè)，張維.防火墻及其應(yīng)用技術(shù)[M].北京：清華大學(xué)，2004.

[3]Marcus Goncalves. 防火墻技術(shù)指南[M].北京：機(jī)械工業(yè)出版社，2000.

第4篇

論文摘要：本文在闡述計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)上分析了當(dāng)前計(jì)算機(jī)系統(tǒng)安全及網(wǎng)絡(luò)安全等問題，提出了一些相應(yīng)的防范措施，提出了計(jì)算機(jī)網(wǎng)絡(luò)信息安全應(yīng)注重研究的幾個(gè)問題。

隨著國際互聯(lián)網(wǎng)的迅猛發(fā)展，世界各國遭受計(jì)算機(jī)病毒感染和黑客攻擊的事件屢屢發(fā)生，嚴(yán)重地干擾了正常的人類社會(huì)生活。因此，加強(qiáng)網(wǎng)絡(luò)的安全顯得越來越重要，防范計(jì)算機(jī)病毒將越來越受到世界各國的高度重視。

一、計(jì)算機(jī)病毒

計(jì)算機(jī)病毒就是指編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒的特性表現(xiàn)為傳染性、隱蔽性、潛伏性和破壞性。計(jì)算機(jī)病毒的檢測(cè)方法主要有人工方法、自動(dòng)檢測(cè)（用反病毒軟件）和防病毒卡。

二、計(jì)算機(jī)系統(tǒng)安全

計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)包括計(jì)算機(jī)的物理組成部分、信息和功能的安全保護(hù)。

1、實(shí)體安全

計(jì)算機(jī)主機(jī)及外設(shè)的電磁干擾輻射必須符合國家標(biāo)準(zhǔn)或軍隊(duì)標(biāo)準(zhǔn)的要求。系統(tǒng)軟件應(yīng)具備以下安全措施：操作系統(tǒng)應(yīng)有較完善的存取控制功能，以防止用戶越權(quán)存取信息；應(yīng)有良好的存貯保護(hù)功能，以防止用戶作業(yè)在指定范圍以外的存貯區(qū)域進(jìn)行讀寫；還應(yīng)有較完善的管理能力，以記錄系統(tǒng)的運(yùn)行情況，監(jiān)測(cè)對(duì)數(shù)據(jù)文件的存取。

2、輸入輸出控制

數(shù)據(jù)處理部門的輸出控制應(yīng)有專人負(fù)責(zé)，數(shù)據(jù)輸出文件在發(fā)到用戶之前，應(yīng)由數(shù)據(jù)處理部門進(jìn)行審核，輸出文件的發(fā)放應(yīng)有完備手續(xù)，計(jì)算機(jī)識(shí)別用戶的最常用的方法是口令，所以須對(duì)口令的產(chǎn)生、登記、更換期限實(shí)行嚴(yán)格管理。系統(tǒng)應(yīng)能跟蹤各種非法請(qǐng)求并記錄某些文件的使用情況，識(shí)別非法用戶的終端。計(jì)算機(jī)系統(tǒng)必須有完整的日志記錄，每次成功地使用，都要記錄節(jié)點(diǎn)名、用戶名、口令、終端名、上下機(jī)時(shí)間、操作的數(shù)據(jù)或程序名、操作的類型、修改前后的數(shù)據(jù)值。

三、網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)是在安全性和通信方便性之間建立平衡。計(jì)算機(jī)的安全程度應(yīng)當(dāng)有一個(gè)從低、中到高的多層次的安全系統(tǒng)，分別對(duì)不同重要性的信息資料給與不同級(jí)別的保護(hù)。

1、計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)安全具有三個(gè)特性：

⑴保密性：網(wǎng)絡(luò)資源只能由授權(quán)實(shí)體存取。⑵完整性：信息在存儲(chǔ)或傳輸時(shí)不被修改、信息包完整；不能被未授權(quán)的第二方修改。⑶可用性：包括對(duì)靜態(tài)信息的可操作性及對(duì)動(dòng)態(tài)信息內(nèi)容的可見性。

2、計(jì)算機(jī)網(wǎng)絡(luò)安全缺陷

⑴操作系統(tǒng)的漏洞：操作系統(tǒng)是一個(gè)復(fù)雜的軟件包，操作系統(tǒng)最大的漏洞是I/O處理——I/O命令通常駐留在用戶內(nèi)存空間，任何用戶在I/O操作開始之后都可以改變命令的源地址或目的地址。⑵TCP/IP 協(xié)議的漏洞：TCP/IP協(xié)議由于采用明文傳輸，在傳輸過程中，攻擊者可以截取電子郵件進(jìn)行攻擊，通過在網(wǎng)頁中輸入口令或填寫個(gè)人資料也很容易攻擊。⑶應(yīng)用系統(tǒng)安全漏洞：WEB服務(wù)器和瀏覽器難以保障安全，很多人在編CGI 程序時(shí)不是新編程序，而是對(duì)程序加以適當(dāng)?shù)男薷?。這樣一來，很多CGI 程序就難免具有相同安全漏洞。⑷安全管理的漏洞：缺少網(wǎng)絡(luò)管理員，信息系統(tǒng)管理不規(guī)范，不能定期進(jìn)行安全測(cè)試、檢查，缺少網(wǎng)絡(luò)安全監(jiān)控等，對(duì)網(wǎng)絡(luò)安全都會(huì)產(chǎn)生威脅。

3、計(jì)算機(jī)網(wǎng)絡(luò)安全機(jī)制應(yīng)具有的功能

網(wǎng)絡(luò)安全機(jī)制應(yīng)具有身份識(shí)別、存取權(quán)限控制、數(shù)字簽名、審計(jì)追蹤、密鑰管理等功能。

4、計(jì)算機(jī)網(wǎng)絡(luò)安全常用的防治技術(shù)

⑴加密技術(shù)：加密在網(wǎng)絡(luò)上的作用就是防止重要信息在網(wǎng)絡(luò)上被攔截和竊取。加密技術(shù)是實(shí)現(xiàn)保密性的主要手段，采用這種技術(shù)可以把重要信息或數(shù)據(jù)從一種可理解的明文形式變換成一種雜亂的、不可理解的密文形式，并以密文形式將信息在線路上傳輸，到達(dá)目的端口后將密文還原成明文。常見的加密技術(shù)分單密鑰密碼技術(shù)和公開密鑰技術(shù)兩種。這兩種加密技術(shù)在不同方面各具優(yōu)勢(shì)，通常將這兩種加密技術(shù)結(jié)合在一起使用。⑵防火墻技術(shù)：所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。實(shí)現(xiàn)防火墻的技術(shù)包括四大類——網(wǎng)絡(luò)級(jí)防火墻（也叫包過濾型防火墻）、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。防火墻的作用是防止外部用戶非法使用內(nèi)部網(wǎng)絡(luò)資源，并且保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不受破壞，防止內(nèi)部網(wǎng)絡(luò)的主要數(shù)據(jù)被竊取。一個(gè)防火墻系統(tǒng)通常由屏蔽路由器和服務(wù)器組成。屏蔽路由器是一個(gè)多端口的IP路由器，它通過對(duì)每一個(gè)到來的IP包依據(jù)一組規(guī)則進(jìn)行檢查，來判斷是否對(duì)之進(jìn)行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息，例如協(xié)議號(hào)、收發(fā)報(bào)文的IP地址和端口號(hào)、連接標(biāo)志以至另外一些IP選項(xiàng)，對(duì)IP包進(jìn)行過濾。

四、結(jié)論

計(jì)算機(jī)病毒在形式上越來越難以辨別，造成的危害也日益嚴(yán)重，這就要求網(wǎng)絡(luò)防毒產(chǎn)品在技術(shù)上更先進(jìn)、功能上更全面。而計(jì)算機(jī)網(wǎng)絡(luò)安全是計(jì)算機(jī)技術(shù)快速發(fā)展過程中日益突出的問題，目前中國的科研機(jī)構(gòu)正廣泛開展這一方面研究，主要是反病毒研究、反黑客問題研究、計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)、加密技術(shù)、安全機(jī)制。到時(shí)，計(jì)算網(wǎng)絡(luò)就會(huì)得到更安全的保障。

參考文獻(xiàn)

1、陳立新：《計(jì)算機(jī)：病毒防治百事通》[M]，北京：清華大學(xué)出版社，2001

第5篇

第一章

網(wǎng) 絡(luò) 安 全……………………………………………………………01

第一節(jié)、黑客的定義及其危害………………………………………………………01

1、什么是黑客？…………………………………………………………………… 01

2、黑客可以分為哪幾種類型？…………………………………………………… 02

3、黑客有什么樣的危害？………………………………………………………… 02

第二節(jié)、黑客常用的攻擊手段……………………………………………………… 03

1、什么是后門程序？…………………………………………………………………03

2、炸彈攻擊的原理是什么？…………………………………………………………03

3、什么是郵件炸彈？…………………………………………………………………03

4、什么是邏輯炸彈? …………………………………………………………………04

5、什么是聊天室炸彈？………………………………………………………………04

6、什么是拒絕服務(wù)攻擊？……………………………………………………………04

7、拒絕服務(wù)攻擊工具Trin00有何特點(diǎn)？……………………………………………05

8、你以為自己的密碼很安全嗎？……………………………………………………05

9、哪幾類密碼最危險(xiǎn)？………………………………………………………………05

10、黑客破解密碼的窮舉法是怎么回事？………………………………………… 05

11、黑客破解密碼的字典法是怎么回事？………………………………………… 05

12、黑客破解密碼的猜測(cè)法是怎么回事？………………………………………… 06

13、什么是特洛伊木馬？…………………………………………………………… 06

14、網(wǎng)絡(luò)監(jiān)聽是怎么回事？………………………………………………………… 07

略…………（共五節(jié)）

摘 要

本文敘述了網(wǎng)絡(luò)安全與防護(hù)、黑客技術(shù)、防火墻技術(shù)的概念、作用，并且介紹了網(wǎng)絡(luò)安全的各種防護(hù)方法及防火墻技術(shù)的相關(guān)知識(shí)。

關(guān)鍵字

黑客 密碼 防火墻 網(wǎng)絡(luò)安全

Network security of the computer and technical research of shelter

Abstract This text has narrated network security and protecting， hacker's technology， concept， function of fire wall technology， Recommend the shelter methods and set fire wall the some relevant knowledges of technologies of network security.

Keywords Hacker Passwords Fire wall Network security

：20000多字的本科畢業(yè)論文 有參考文獻(xiàn)

300元

備注:此文版權(quán)歸本站所有；。

第6篇

【關(guān)鍵詞】防火墻；安全策略；安全意識(shí)

1、防火墻安全策略的原理

防火墻又稱為防護(hù)墻，是一種介于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。其基本作用是保護(hù)特定的網(wǎng)絡(luò)不受非法網(wǎng)絡(luò)或入侵者的攻擊，但同時(shí)還得允許兩個(gè)正常網(wǎng)絡(luò)之間可以進(jìn)行合法的通信。安全策略就是對(duì)通過防護(hù)墻的信息數(shù)據(jù)進(jìn)行檢驗(yàn)，只有符合規(guī)則或符合安全策略的合法數(shù)據(jù)才能通過防火墻的檢驗(yàn)，進(jìn)行數(shù)據(jù)通信和資源共享。

通過防火墻安全策略可以有效地控制內(nèi)網(wǎng)用戶訪問外網(wǎng)的權(quán)限，控制內(nèi)網(wǎng)不同安全級(jí)別的子網(wǎng)之間的訪問權(quán)限等。同時(shí)也能夠?qū)W(wǎng)絡(luò)設(shè)備本身進(jìn)行控制，如限制哪些IP地址不能使用設(shè)備，控制網(wǎng)管服務(wù)器與其他設(shè)備間的互相訪問等。

在具體防火墻的應(yīng)用中，防火墻安全策略是對(duì)防火墻的數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)安全訪問的基本手段，其決定了后續(xù)的應(yīng)用數(shù)據(jù)流是否被處理。NGFW會(huì)對(duì)收到的流量進(jìn)行檢測(cè)，檢測(cè)對(duì)象包括源＼目的安全區(qū)域、源＼目的地址、用戶、服務(wù)和時(shí)間段等。具體步驟如下：

（1）首先是數(shù)據(jù)流先要經(jīng)過防火墻；

（2）然后查找防火墻配置的安全策略，判斷是否允許下一步的操作；

（3）防火墻根據(jù)安全策略定義規(guī)則對(duì)數(shù)據(jù)包進(jìn)行處理。

2、安全策略的分類

安全策略大體可分為三大類：域間安全策略、域內(nèi)安全策略和接口包過濾。

域間安全策略用于控制域間流量的轉(zhuǎn)發(fā)，適用于接口加入不同安全區(qū)域的場(chǎng)景。域間安全策略按IP地址、時(shí)間段和服務(wù)、用戶等多種方式匹配流量，并對(duì)符合條件的流量進(jìn)行包過濾控制。其也用于控制外界與設(shè)備本身的互訪，允許或拒絕與設(shè)備本身的互訪。

域內(nèi)安全策略與域間安全策略一樣，也可以按IP地址、時(shí)間段和服務(wù)、用戶等多種方式匹配流量，并對(duì)符合條件的流量進(jìn)行包過濾控制。但是在企業(yè)中某些部門如財(cái)務(wù)部等重要數(shù)據(jù)所在的部門，需要防止內(nèi)部員工對(duì)服務(wù)器、PC機(jī)等的惡意攻擊。所以在域內(nèi)應(yīng)用安全策略進(jìn)行IPS檢測(cè)，阻斷惡意員工的非法訪問。

當(dāng)接口未加入安全區(qū)域的情況下，通過接口包過濾控制接口接收和發(fā)送的IP報(bào)文，可以按IP地址、時(shí)間段和服務(wù)、用戶等多種方式匹配流量并執(zhí)行相應(yīng)動(dòng)作。硬件包過濾是在特定的二層硬件接口卡上實(shí)現(xiàn)的，用來控制接口卡上的接口可以接收哪些流量。硬件包過濾直接通過硬件實(shí)現(xiàn)，所以過濾速度較快。

3、安全策略的配置思路

（1）管理員應(yīng)該首先明確需要?jiǎng)澐帜膸讉€(gè)安全區(qū)域，接口如何來連接，分別加入哪些安全區(qū)域。

（2）管理員選擇根據(jù)源地址或用戶來區(qū)分企業(yè)員工。

（3）先確定每個(gè)用戶組的權(quán)限，然后再確定特殊用戶的權(quán)限。包括用戶所處的源安全區(qū)域和地址，用戶需要訪問的目的安全區(qū)域和地址，用戶能夠使用哪些服務(wù)和應(yīng)用，用戶的網(wǎng)絡(luò)訪問權(quán)限在哪些時(shí)間段生效等。如果想允許某種網(wǎng)絡(luò)訪問，則配置安全策略的動(dòng)作為“允許”，否則為“禁止”。

（4）確定對(duì)哪些通過防火墻的流量進(jìn)行內(nèi)容安全監(jiān)測(cè)，進(jìn)行哪些內(nèi)容安全檢測(cè)。

（5）將上述步驟規(guī)劃出的安全策略的相關(guān)參數(shù)一一列出，并將所有安全策略按照先精確，再寬泛的順序進(jìn)行排序。在配置安全策略時(shí)需要按照此順序進(jìn)行配置。

4、安全策略的具體配置

針對(duì)具體的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及對(duì)防火墻的相關(guān)要求，我們?cè)谶@里對(duì)防火墻的安全策略相關(guān)配置大體如下：

（1）配置安全區(qū)域。

系統(tǒng)缺省已經(jīng)創(chuàng)建了四個(gè)安全區(qū)域。如果用戶還需要?jiǎng)澐指嗟陌踩燃?jí)，就可以自行創(chuàng)建新的安全區(qū)域并定義其安全級(jí)別。具體新建安全區(qū)域步驟為：選擇網(wǎng)絡(luò)/安全區(qū)域，然后單擊“新建”，直接配置安全區(qū)域的相關(guān)參數(shù)即可。

（2）配置地址和地址組。

地址是IPV4地址或MAC地址的集合，地址組是地址的集合。地址包含一個(gè)或若干個(gè)IPV4地址或MAC地址，類似于一個(gè)基礎(chǔ)組件，只需定義一次，就可以被各種策略多次引用。

（3）配置地區(qū)和地區(qū)組。

地區(qū)是以地區(qū)為單位的IP地址對(duì)象，每個(gè)地區(qū)是當(dāng)前地區(qū)的公網(wǎng)IP地址的集合。為了進(jìn)一步方便擴(kuò)展和復(fù)用，設(shè)備還支持配置地區(qū)組供策略引用。配置較為靈活。

（4）配置服務(wù)和服務(wù)組。

服務(wù)是通過協(xié)議類型和端口號(hào)來確定的應(yīng)用協(xié)議類型，服務(wù)組是服務(wù)和服務(wù)組的集合。其中，預(yù)定義服務(wù)是指系統(tǒng)缺省已經(jīng)存在，可以直接選擇的服務(wù)類型；自定義服務(wù)是通過指定協(xié)議類型和端口號(hào)等信息來定義的一些應(yīng)用協(xié)議類型。

（5）配置應(yīng)用和應(yīng)用組。

應(yīng)用是指用來執(zhí)行某一特殊任務(wù)或用途的計(jì)算機(jī)程序。應(yīng)用組是指多個(gè)應(yīng)用的集合。具體通過WEB界面配置相應(yīng)的服務(wù)。

（6）配置時(shí)間段。

時(shí)間段定義了時(shí)間范圍，定義好的時(shí)間段被策略引用侯，可以對(duì)某一時(shí)間段內(nèi)流經(jīng)NGFW的流量進(jìn)行匹配和控制。具體通過WEB界面進(jìn)行配置相關(guān)時(shí)間段。

綜上所述，我們?cè)谶M(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全的今天，就必須在增強(qiáng)網(wǎng)絡(luò)安全意識(shí)的前提下，不斷地加強(qiáng)網(wǎng)絡(luò)安全技術(shù)。而在防火墻安全技術(shù)中，防火墻的安全配置策略就是重中之重。在實(shí)際應(yīng)用過程中，要不斷地進(jìn)行優(yōu)化處理。只有不斷地的豐富和完善，我們的網(wǎng)絡(luò)世界才會(huì)安全通暢！

參考文獻(xiàn)：

[1] 宿潔， 袁軍鵬. 防火墻技術(shù)及其進(jìn)展[J]. 計(jì)算機(jī)工程與應(yīng)用， 2004， 40（9）：147-149.

[2] 劉克龍， 蒙楊， 卿斯?jié)h. 一種新型的防火墻系統(tǒng)[J]. 計(jì)算機(jī)學(xué)報(bào)， 2000， 23（3）：231-236.

[3] 翟鈺， 武舒凡， 胡建武. 防火墻包過濾技術(shù)發(fā)展研究[J]. 計(jì)算機(jī)應(yīng)用研究， 2004， 21（9）：144-146.

[4] 林曉東， 楊義先. 網(wǎng)絡(luò)防火墻技術(shù)[J]. 電信科學(xué)， 1997（3）：41-43.

[5] 楊瓊， 楊建華， 王習(xí)平，等. 基于防火墻與入侵檢測(cè)聯(lián)動(dòng)技術(shù)的系統(tǒng)設(shè)計(jì)[J]. 武漢理工大學(xué)學(xué)報(bào)， 2005， 27（7）：112-115.

第7篇

關(guān)鍵詞：防火墻；封包識(shí)別；內(nèi)容過濾；連線跟蹤

近年來防火墻對(duì)網(wǎng)絡(luò)的保護(hù)越來越重要，特別是P2P軟件越來越多的趨勢(shì)下，傳統(tǒng)防火墻并不能有效的過濾P2P軟件，因此越來越多的防火墻改用Connection Classification針對(duì)整個(gè)連線進(jìn)行較完整的掃描。雖然有廠商推出此類防火墻，特別針對(duì)P2P使用的動(dòng)態(tài)連線端口提供了連線過濾能力，但是商業(yè)應(yīng)用層防火墻的售價(jià)偏高，而且商業(yè)用的防火墻，其操作系統(tǒng)不對(duì)外開放，只能通過廠商的軟件更新才可以升級(jí)，而P2P系統(tǒng)與技術(shù)的更新非?？?，所以商用防火墻要一直依賴廠商推出的更新特征值或者軟件升級(jí)的方式讓使用者升級(jí)，使用者才有可能讓所購買的防火墻可以過濾最新的P2P軟件。

而本片論文所使用的是目前網(wǎng)絡(luò)上都可以取得的Open Source套件，也有許多熱心的程序員不斷地更新P2P軟件的特征值，讓使用者可以在花費(fèi)較低成本的情況下，來達(dá)到與商用防火墻相同的目的。

1Netfilter/iptables工作原理

從Linux內(nèi)核2.4版本開始，內(nèi)置了IP信息包過濾工具Netfilter/iptables系統(tǒng)，它使防火墻配置和信息包過濾變得更加容易，其中Netfilter是用來實(shí)現(xiàn)防火墻的過濾器，而iptables則用來指定Netfilter規(guī)則并管理內(nèi)核包過濾，它為用戶配置防火墻規(guī)則提供了方便，通過iptables可以加入、插入或刪除內(nèi)核包過濾表(鏈)中的規(guī)則，這些規(guī)則由Netfilter及其相關(guān)模塊執(zhí)行。

Netfilter是嵌入內(nèi)核IP協(xié)議棧的一系列調(diào)用入口，設(shè)置在報(bào)文處理的路徑上，Netfilter就是根據(jù)網(wǎng)絡(luò)報(bào)文的流向，在以下幾個(gè)點(diǎn)插入處理過程：

NF_IP_PRE_ROUTING，在報(bào)文作路由以前執(zhí)行；

NF_IP_FORWARD，在報(bào)文轉(zhuǎn)向另一個(gè)NIC以前執(zhí)行；

NF_IP_POST_ROUTING，在報(bào)文流出以前執(zhí)行；

NF_IP_LOCAL_IN，在流入本地的報(bào)文作路由以后執(zhí)行；

NF_IP_LOCAL_OUT，在本地報(bào)流出路由前執(zhí)行。

檢查點(diǎn)分布在協(xié)議棧的流程中，流程圖如下。

Netfilter框架為多種協(xié)議提供了一套類似的鉤子(HOOK)，用一個(gè)struct list_headnf_hooks[NPROTO][NF_MAX_HOOKS]二維數(shù)組結(jié)構(gòu)存儲(chǔ)，一維為協(xié)議族，二維為上面提到的各個(gè)調(diào)用入口。每個(gè)希望嵌入Netfilter中的模塊都可以為多個(gè)協(xié)議族的多個(gè)調(diào)用點(diǎn)注冊(cè)多個(gè)鉤子函數(shù)(HOOK)，這些鉤子函數(shù)將形成一條函數(shù)指針鏈，每次協(xié)議棧代碼執(zhí)行到NF_HOOK()函數(shù)時(shí)，都會(huì)依次啟動(dòng)所有這些函數(shù)，處理參數(shù)所指定的協(xié)議棧內(nèi)容。

每個(gè)注冊(cè)的鉤子函數(shù)經(jīng)過處理后都將返回下列值之一，告知Netfilter核心代碼處理結(jié)果，以便對(duì)報(bào)文采取相應(yīng)的動(dòng)作：

NF_ACCEPT：繼續(xù)正常的報(bào)文處理；

NF_DROP：將報(bào)文丟棄；

NF_STOLEN：由鉤子函數(shù)處理了該報(bào)文，不要再繼續(xù)傳送；

NF_QUEUE：將報(bào)文入隊(duì)，通常交由用戶程序處理；

NF_REPEAT：再次調(diào)用該鉤子函數(shù)。

Netfilter/iptables IP信息包過濾系統(tǒng)是一種功能強(qiáng)大的工具，可用于添加、編輯和刪除規(guī)則，這些規(guī)則是在做信息包過濾時(shí)，防火墻所遵循和組成的規(guī)則。

2L7-filter

L7-filter是基于連線跟蹤和字符串匹配的網(wǎng)絡(luò)應(yīng)用層過濾方式，L7-filter是將網(wǎng)絡(luò)上的封包在應(yīng)用層的數(shù)據(jù)內(nèi)容重新拷貝一份，然后把拷貝內(nèi)容以字符串的形式與事先設(shè)定好的特征碼進(jìn)行匹配過濾。這里的特征碼是以正則表達(dá)式的形式存放在.pat文件里(此處采用的正則表達(dá)式是version 8版本)，并通過iptables命令將正則表達(dá)式預(yù)處理后，傳到內(nèi)核netfilter中，因而它具有更好的通用性和擴(kuò)展性。

以大家常用的BT為例，如果要封鎖防火墻內(nèi)網(wǎng)的BT，執(zhí)行的命令如下：

iptables -A FORWARD-m layer7 --l7proto bittorrent -j DROP

其中bittorrent表示BT協(xié)議。在/etc/l7-filter/protocols目錄下，存在一個(gè)bittorrent.pat文件，文件里存放的是BT發(fā)送的封包特征碼，特征碼以正則表達(dá)式的形式存放。bittorrent.pat文件內(nèi)容如下：

bittorrent //與.pat的文件名相同

\x13bittorrent protocol//BT 握手協(xié)議的封包特征

由于L7－filter的數(shù)據(jù)是存放在內(nèi)核中的，如果系統(tǒng)是作為路由的功能，且聯(lián)機(jī)數(shù)很大時(shí)，操作系統(tǒng)(linux)要為連接記錄分配大量的內(nèi)存空間來存放相應(yīng)聯(lián)機(jī)數(shù)的應(yīng)用層數(shù)據(jù)。因此緩沖區(qū)的長度不宜過大，另外對(duì)于一個(gè)應(yīng)用程序所發(fā)送的封包而言，其握手或協(xié)商作用的封包通常是在前幾個(gè)封包，當(dāng)連接正常通信時(shí)，其封包特征不是很明顯，因此L7-filter只檢測(cè)每個(gè)連接的前若干個(gè)封包(默認(rèn)值是10個(gè)，可以通過修改/proc/net/layer7_numpackets值進(jìn)行配置)。

L7-filter對(duì)封包應(yīng)用層數(shù)據(jù)的預(yù)處理原理如下：

1．基于匹配是將數(shù)據(jù)當(dāng)作是字符串來處理，且‘\0’(二進(jìn)碼00000000)是字符串結(jié)尾的標(biāo)志，在拷貝應(yīng)用層的封包數(shù)據(jù)中出現(xiàn)‘\0’時(shí)，去掉所有的‘\0’。

2．將封包應(yīng)用層數(shù)據(jù)中出現(xiàn)的大寫字符轉(zhuǎn)換成小寫，從而使用匹配時(shí)大小寫不敏感。但是相關(guān)的匹配算法則可以實(shí)現(xiàn)大小寫敏感。

3．L7－filter在處理.pat文件理的正則表達(dá)式時(shí)，也是先將正則表達(dá)式中出現(xiàn)在的大寫字符轉(zhuǎn)換成小寫，然后檢查正則表達(dá)式的格式是否出錯(cuò)。

3存在的不足之處

3.1存在誤判

數(shù)據(jù)在網(wǎng)絡(luò)的傳輸過程中，數(shù)據(jù)內(nèi)容是無法估計(jì)的，基于應(yīng)用層過濾的方式勢(shì)必會(huì)造成誤判，盡管在編輯正則表達(dá)時(shí)要求規(guī)范，但是誤判還是難以避免，比如說迅雷，其發(fā)送的UDP封包的特征值是“\x32\0\0\0”，但是從上一節(jié)介紹L7-filter預(yù)處理封包是將\0去除的原則，這里的特征碼的正則表達(dá)式將會(huì)被處理成“^\32”(其中^號(hào)表示數(shù)據(jù)開始位置)，并將此規(guī)則用于迅雷封包的過濾，設(shè)定規(guī)則的命令為(網(wǎng)絡(luò)環(huán)境的配置如上同)：

iptables -A FORWARD-m layer7 --l7proto xunlei -j DROP

由此正則表達(dá)式可以看出，網(wǎng)絡(luò)上的封包凡是以\x32開的數(shù)據(jù)全將被DROP(阻擋)?；诰W(wǎng)絡(luò)封包數(shù)據(jù)的不可預(yù)測(cè)性，這里假設(shè)整個(gè)網(wǎng)絡(luò)環(huán)境中，封包中數(shù)據(jù)中每個(gè)字符出現(xiàn)的率是相等的，第一位數(shù)據(jù)的可能是256種(ASCII碼0－255)，\x32出現(xiàn)的機(jī)率是1/256，則采用“^\x32”的正則表達(dá)式過濾迅雷時(shí)，會(huì)阻擋掉網(wǎng)絡(luò)中1/256的封包，這樣的機(jī)率會(huì)嚴(yán)重影響網(wǎng)絡(luò)的正常傳輸，誤判非常嚴(yán)重。

另外，對(duì)于L7-filter對(duì)于\0字符不處理的情況下，如果P2P軟件是以\0，或是以\0為特征的一部分作特征碼時(shí)，L7-filter性能就非常差，并且誤判也會(huì)增加。

類似的情況還有很多，例如：BT的UDP track的特征“.........\0\0\0\x01”等。

3.2過濾速率較低

在目前Linux防火墻架構(gòu)中，封包必須逐一比對(duì)防火墻規(guī)則直到比對(duì)到符合的規(guī)則為止，才會(huì)停止比對(duì)。同樣的Netfilter的extension matching module L7-filter也是一樣，當(dāng)規(guī)則使用越多，L7-filter比對(duì)的次數(shù)也越多次。與傳統(tǒng)Layer4防火墻不同點(diǎn)在于L7-filter在第一次透過封包內(nèi)容比對(duì)出結(jié)果后，便會(huì)在此封包所屬Conntrack上增加一個(gè)辨識(shí)出來的應(yīng)用軟件名稱，以供以后可以透過搜尋這個(gè)名稱來直接比對(duì)；就如同Layer4防火墻是直接比對(duì)封包的包頭來決定是否符合規(guī)則。因?yàn)閷⒎獍鼉?nèi)容透過字符串比對(duì)是非常緩慢的。雖然有了這樣的方式，但是字符串比對(duì)與傳統(tǒng)Layer4防火墻直接比對(duì)每個(gè)封包的包頭，在速度上仍有不小的差異。這種狀況會(huì)隨著防火墻規(guī)則數(shù)量的增加而產(chǎn)生性能上的落差。

4性能的改進(jìn)

4.1L7-filter誤判的改進(jìn)

鑒于L7-filter針對(duì)數(shù)據(jù)包中‘\0’不作處理的規(guī)則，為了提高L7-filter的性能，降低針對(duì)‘\0’特征碼誤判率問題，我們?cè)谶@里對(duì)L7-filter預(yù)處理數(shù)據(jù)內(nèi)容的規(guī)則進(jìn)行修改。

L7-filter在實(shí)現(xiàn)匹配之前，是先將數(shù)據(jù)包內(nèi)容中出現(xiàn)的大寫字母轉(zhuǎn)變?yōu)樾?，iptables在讀.pat文件中的正則表達(dá)式時(shí)，也是先將正則表達(dá)式中出現(xiàn)的大寫字母轉(zhuǎn)變成小寫，實(shí)現(xiàn)大小寫不敏感的。但是在實(shí)際的應(yīng)用中，正則表達(dá)式算法是大小寫敏感的。因此我們可以將數(shù)據(jù)包中的‘\0’用一個(gè)特定的大寫字母(在選擇替代大寫字母時(shí)，不能與正則表達(dá)中出現(xiàn)的特殊符號(hào)沖突，這里取N)來代替，用這個(gè)大寫字母實(shí)現(xiàn)‘\0’匹配。因此L7-filter的字符串預(yù)處理改進(jìn)為：

1．在.pat正則表達(dá)文件中，用‘\NULL’表示‘\0’，當(dāng)iptables讀.pat文件時(shí)，將\NULL轉(zhuǎn)化成大寫字母N，然后將正則表達(dá)式轉(zhuǎn)到內(nèi)核數(shù)據(jù)空間。(只將代表‘\0’的字符串用一個(gè)大寫字來代替，而其它的沒有改變，仍能保證匹配的大小不敏感。)

2．在L7-filter在組織連機(jī)的數(shù)據(jù)包時(shí)，同樣要將數(shù)據(jù)中的‘\0’替換成大寫字母N，但是，針對(duì)網(wǎng)絡(luò)封包長度的特點(diǎn)，當(dāng)封包中數(shù)據(jù)量太少的情況下，會(huì)在封包的結(jié)尾加一些‘\0’填充，來滿足網(wǎng)絡(luò)封包的最小長度要求。因此這里為了使有限的緩沖區(qū)能夠存放最多的封包數(shù)量的數(shù)據(jù)和提高匹配效率，在這里先將數(shù)據(jù)包數(shù)據(jù)中結(jié)尾出現(xiàn)的填充字符‘\0’去掉，然后將數(shù)據(jù)封包中非填充字符‘\0’替換成大寫字母N，在這里強(qiáng)調(diào)的是，原封包中的數(shù)據(jù)不能改動(dòng)，只改動(dòng)拷貝數(shù)據(jù)。

綜上所述，可以看出實(shí)現(xiàn)L7封包數(shù)據(jù)預(yù)處理后，能夠克服L7－filter不處理‘\0’的缺陷。

4.2過濾速率的改進(jìn)

我們修改圖1的第一個(gè)檢查點(diǎn)(NF_IP_PRE_ROUTING)動(dòng)作如圖2，在第一次比對(duì)出結(jié)果后，透過將此封包所屬連線的狀態(tài)標(biāo)示存儲(chǔ)在Conntrack中，當(dāng)之后封包進(jìn)入防火墻后，可以查詢此封包所屬的連線是否已經(jīng)有比對(duì)結(jié)果的標(biāo)示存在，若有則直接取得該結(jié)果，如果沒有則依照防火墻內(nèi)的規(guī)則一條一條的比對(duì)。如果封包一直沒有比對(duì)結(jié)果，我們可以設(shè)定一個(gè)門檻值，當(dāng)每條連線比對(duì)超過這幾個(gè)封包都沒有結(jié)果后，我們就可以默認(rèn)策略設(shè)定為ACCEPT或是DROP寫入對(duì)應(yīng)的Conntrack Entry中，避免封包比對(duì)沒有比對(duì)規(guī)則還會(huì)不斷的進(jìn)入系統(tǒng)比對(duì)。

除了拋棄(DROP)與允許(ACCEPT)之外，我們?cè)黾恿硪活~外的目的函數(shù)，稱為STATE；當(dāng)封包比對(duì)有結(jié)果后，可以將此結(jié)果透過STATE這個(gè)目標(biāo)函數(shù)，將結(jié)果存入Conntrack[11]。

iptables t mangle I PREROUTING m statecheck -accept j ACCEPT

iptables t mangle I PREROUTING m statecheck -drop j ACCEPT

iptables t mangle I PREROUTING m layer7 l7proto msn-login j STATE --drop

如上前兩條防火墻的規(guī)則，是在NF_IP_PRE_ROUTING檢查點(diǎn)最前面放置兩條防火墻規(guī)則，可以讓封包進(jìn)入PREROUTING后馬上通過我們寫的statecheck matching module來對(duì)比，去查詢State Table中是否已經(jīng)存有應(yīng)對(duì)的狀態(tài)，即圖2增加的檢查功能部分。而第三條規(guī)則代表msn-login不被允許，除此之外目標(biāo)函數(shù)STATE需在應(yīng)對(duì)Conntrack的狀態(tài)標(biāo)記為“drop”，即圖2的Save State部分。后續(xù)同一連線包一進(jìn)入Netfilter后，我們的statecheck matching module即可根據(jù)此狀態(tài)將其丟棄，不需要再做其它規(guī)則的比較，即圖2的Apply Action部分。

STATE目標(biāo)函數(shù)除了“drop”外，還有其它函數(shù)可供使用，如“accept”、“MARK X”。

5結(jié)束語

隨著網(wǎng)絡(luò)的發(fā)展，未來會(huì)有越來越多的軟件會(huì)使用P2P的方式做傳輸，相對(duì)的所使用的端口一定沒有固定，甚至?xí)窝b成其它的應(yīng)用軟件的端口，傳統(tǒng)的只看固定端口來做網(wǎng)絡(luò)安全的控管已經(jīng)明顯的不足。應(yīng)用層防火墻的應(yīng)用會(huì)越來越廣，甚至在頻寬管理的應(yīng)用上都會(huì)采用第七層辨識(shí)的方式來控制，未來基于應(yīng)用層的過濾方式只會(huì)越來越被廣泛的應(yīng)用。

參考文獻(xiàn)

[1] The netfilter project team，“Linux Netfilter/iptables frameworks，” Nov 1999. [Online].省略/. [Accessed:Sep. 2004].

[2]L7-filter Classifier project team，“L7-filter Classifier，” May 2003. [Online]. Available:l7-filter.省略/. [Accessed: Oct.2004].

[3]Steve Suehring，Robert L. Ziegler著，何涇沙 等(譯). Linux防火墻(第3版)［M］.北京：機(jī)械工業(yè)出版社，2006.12

[4]趙炯. Linux內(nèi)核完全剖析[M].北京：機(jī)械工業(yè)出版社，2006

第8篇

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)，防護(hù)技術(shù)，研究

 

隨著高新技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為我們生活中所不可缺少的概念，然而隨之而來的問題----網(wǎng)絡(luò)安全也毫無保留地呈現(xiàn)在我們的面前，不論是在軍事中還是在日常的生活中，網(wǎng)絡(luò)的安全問題都是我們所不得不考慮的，只有有了對(duì)網(wǎng)絡(luò)攻防技術(shù)的深入了解，采用有效的網(wǎng)絡(luò)防護(hù)技術(shù)，才能保證網(wǎng)絡(luò)的安全、暢通，保護(hù)網(wǎng)絡(luò)信息在存儲(chǔ)和傳輸?shù)倪^程中的保密性、完整性、可用性、真實(shí)性和可控性，才能使我們面對(duì)網(wǎng)絡(luò)而不致盲從，真正發(fā)揮出網(wǎng)絡(luò)的作用。

一、計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)技術(shù)構(gòu)成

（一）被動(dòng)防護(hù)技術(shù)

其主要采用一系列技術(shù)措施（如信息加密、身份認(rèn)證、訪問控制、防火墻等）對(duì)系統(tǒng)自身進(jìn)行加固和防護(hù)，不讓非法用戶進(jìn)入網(wǎng)絡(luò)內(nèi)部，從而達(dá)到保護(hù)網(wǎng)絡(luò)信息安全的目的。這些措施一般是在網(wǎng)絡(luò)建設(shè)和使用的過程中進(jìn)行規(guī)劃設(shè)置，并逐步完善。因其只能保護(hù)網(wǎng)絡(luò)的入口，無法動(dòng)態(tài)實(shí)時(shí)地檢測(cè)發(fā)生在網(wǎng)絡(luò)內(nèi)部的破壞和攻擊的行為，所以存在很大的局限性。

( 1 )信息保密技術(shù)

密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一, 信息加密過程是由形形的加密算法來具體實(shí)施，它以很小的代價(jià)提供很大的安全保護(hù)。它通過信息的變換或編碼，將敏感信息變成難以讀懂的亂碼型信息，以此來保護(hù)敏感信息的安全。在多數(shù)情況下，信息加密是保證信息機(jī)密性的惟一方法。信息加密的主要目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。

網(wǎng)絡(luò)加密常用的方法有：鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密3種。密碼體制主要有分組密碼體制和序列密碼體制。論文參考網(wǎng)。

( 2 ) 信息認(rèn)證技術(shù)

認(rèn)證技術(shù)是網(wǎng)絡(luò)安全的一個(gè)重要方面，屬于網(wǎng)絡(luò)安全的第一道防線。其認(rèn)證機(jī)制是接收者接收信息的同時(shí)還要驗(yàn)證信息是否來自合法的發(fā)送者，以及該信息是否被篡改過，計(jì)算機(jī)系統(tǒng)是基于收到的識(shí)別信息識(shí)別用戶。認(rèn)證涉及多個(gè)步驟：收集認(rèn)證信息、安全地傳輸認(rèn)證信息、確定使用計(jì)算機(jī)的人（就是發(fā)送認(rèn)證信息的人）。其主要目的是用來防止非授權(quán)用戶或進(jìn)程侵入計(jì)算機(jī)系統(tǒng)，保護(hù)系統(tǒng)和數(shù)據(jù)的安全

其主要技術(shù)手段有：用戶名/密碼方式；智能卡認(rèn)證方式；動(dòng)態(tài)口令；USB Key認(rèn)證；生物識(shí)別技術(shù)。

( 3 ) 訪問控制技術(shù)

訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一，是一種基于主機(jī)的防護(hù)技術(shù)。訪問控制技術(shù)通過控制與檢查進(jìn)出關(guān)鍵服務(wù)器中的訪問，保護(hù)服務(wù)器中的關(guān)鍵數(shù)據(jù)，其利用用戶身份認(rèn)證功能，資源訪問權(quán)限控制功能和審計(jì)功能來識(shí)別與確認(rèn)訪問系統(tǒng)的用戶，決定用戶對(duì)系統(tǒng)資源的訪問權(quán)限，并記錄系統(tǒng)資源被訪問的時(shí)間和訪問者信息。其主要目的是保證網(wǎng)絡(luò)資源不被非法使用和訪問。

其主要方式有：自主訪問控制、強(qiáng)行訪問控制和信息流控制。

( 4 ) 防火墻技術(shù)

防火墻是一種網(wǎng)絡(luò)之間的訪問控制機(jī)制，它的主要目的是保護(hù)內(nèi)部網(wǎng)絡(luò)免受來自外部網(wǎng)絡(luò)非授權(quán)訪問，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

其主要機(jī)制是在受保護(hù)的內(nèi)部網(wǎng)和不被信任的外部網(wǎng)絡(luò)之間設(shè)立一個(gè)安全屏障，通過監(jiān)測(cè)、限制、更改、抑制通過防火墻的數(shù)據(jù)流，盡可能地對(duì)外部網(wǎng)絡(luò)屏蔽內(nèi)部網(wǎng)絡(luò)的信息和結(jié)構(gòu)，防止外部網(wǎng)絡(luò)的未授權(quán)訪問，實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)的可控性隔離，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

防火墻的分類主要有：數(shù)據(jù)包過濾型防火墻、應(yīng)用層網(wǎng)關(guān)型防火墻和狀態(tài)檢測(cè)型防火墻。

（二）主動(dòng)防護(hù)技術(shù)

主動(dòng)防護(hù)技術(shù)主要采取技術(shù)的手段如入侵取證、網(wǎng)絡(luò)陷阱、入侵檢測(cè)、自動(dòng)恢復(fù)等，能及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為并及時(shí)地采取應(yīng)對(duì)措施，如跟蹤和反攻擊、設(shè)置網(wǎng)絡(luò)陷阱、切斷網(wǎng)絡(luò)連接或恢復(fù)系統(tǒng)正常工作。實(shí)現(xiàn)實(shí)時(shí)動(dòng)態(tài)地監(jiān)視網(wǎng)絡(luò)狀態(tài)，并采取保護(hù)措施，以提供對(duì)內(nèi)、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

( 1 )入侵取證技術(shù)

入侵取證技術(shù)是指利用計(jì)算機(jī)軟硬件技術(shù)，按照符合法律規(guī)范的方式，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)入侵、破壞、欺詐、攻擊等犯罪行為進(jìn)行識(shí)別、保存、分析和提交數(shù)字證據(jù)的過程。

入侵取證的主要目的是對(duì)網(wǎng)絡(luò)或系統(tǒng)中發(fā)生的攻擊過程及攻擊行為進(jìn)行記錄和分析，并確保記錄信息的真實(shí)性與完整性（以滿足電子證據(jù)的要求），據(jù)此找出入侵者或入侵的機(jī)器，并解釋入侵的過程，從而確定責(zé)任人，并在必要時(shí)，采取法律手段維護(hù)自己的利益。

入侵取證技術(shù)主要包括：網(wǎng)絡(luò)入侵取證技術(shù)（網(wǎng)絡(luò)入侵證據(jù)的識(shí)別、獲取、保存、安全傳輸及分析和提交技術(shù)等）、現(xiàn)場(chǎng)取證技術(shù)（內(nèi)存快照、現(xiàn)場(chǎng)保存、數(shù)據(jù)快速拷貝與分析技術(shù)等）、磁盤恢復(fù)取證技術(shù)、數(shù)據(jù)還原取證技術(shù)（對(duì)網(wǎng)上傳輸?shù)男畔?nèi)容，尤其是那些加密數(shù)據(jù)的獲取與還原技術(shù)）、電子郵件調(diào)查取證技術(shù)及源代碼取證技術(shù)等。

( 2 ) 網(wǎng)絡(luò)陷阱技術(shù)

網(wǎng)絡(luò)陷阱技術(shù)是一種欺騙技術(shù)，網(wǎng)絡(luò)安全防御者根據(jù)網(wǎng)絡(luò)系統(tǒng)中存在的安全弱點(diǎn)，采取適當(dāng)技術(shù)，偽造虛假或設(shè)置不重要的信息資源，使入侵者相信網(wǎng)絡(luò)系統(tǒng)中上述信息資源具有較高價(jià)值，并具有可攻擊、竊取的安全防范漏洞，然后將入侵者引向這些資源。同時(shí)，還可獲得攻擊者手法和動(dòng)機(jī)等相關(guān)信息。這些信息日后可用來強(qiáng)化現(xiàn)有的安全措施，例如防火墻規(guī)則和IDS配置等。

其主要目的是造成敵方的信息誤導(dǎo)、紊亂和恐慌，從而使指揮決策能力喪失和軍事效能降低。論文參考網(wǎng)。靈活的使用網(wǎng)絡(luò)陷阱技術(shù)可以拖延攻擊者，同時(shí)能給防御者提供足夠的信息來了解敵人，將攻擊造成的損失降至最低。

網(wǎng)絡(luò)陷阱技術(shù)主要包括：偽裝技術(shù)（系統(tǒng)偽裝、服務(wù)偽裝等）、誘騙技術(shù)、引入技術(shù)、信息控制技術(shù)（防止攻擊者通過陷阱實(shí)現(xiàn)跳轉(zhuǎn)攻擊）、數(shù)據(jù)捕獲技術(shù)（用于獲取并記錄相關(guān)攻擊信息）及數(shù)據(jù)統(tǒng)計(jì)和分析技術(shù)等。

( 3 ) 入侵檢測(cè)技術(shù)

入侵檢測(cè)的基本原理是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息（系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等），對(duì)這些信息進(jìn)行分析和判斷，及時(shí)發(fā)現(xiàn)入侵和異常的信號(hào)，為做出響應(yīng)贏得寶貴時(shí)間，必要時(shí)還可直接對(duì)攻擊行為做出響應(yīng)，將攻擊行為帶來的破壞和影響降至最低。它是一種主動(dòng)的入侵發(fā)現(xiàn)機(jī)制，能夠彌補(bǔ)防火墻和其他安全產(chǎn)品的不足，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的監(jiān)控及對(duì)入侵采取相應(yīng)的防護(hù)手段，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)系統(tǒng)已經(jīng)被認(rèn)為是維護(hù)網(wǎng)絡(luò)安全的第二道閘門。

其主要目的是動(dòng)態(tài)地檢測(cè)網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為，及時(shí)發(fā)現(xiàn)攻擊或異常行為并進(jìn)行阻斷、記錄、報(bào)警等響應(yīng)，彌補(bǔ)被動(dòng)防御的不足之處。

入侵檢測(cè)技術(shù)主要包括：數(shù)據(jù)收集技術(shù)、攻擊檢測(cè)技術(shù)、響應(yīng)技術(shù)。

( 4 ) 自動(dòng)恢復(fù)技術(shù)

任何一個(gè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)都無法確保萬無一失，所以，在網(wǎng)絡(luò)系統(tǒng)被入侵或破壞后，如何盡快恢復(fù)就顯得非常關(guān)鍵了。這其中的一個(gè)關(guān)鍵技術(shù)就是自動(dòng)恢復(fù)技術(shù)，他針對(duì)服務(wù)器上的關(guān)鍵文件和信息進(jìn)行實(shí)時(shí)地一致性檢查，一旦發(fā)現(xiàn)文件或信息的內(nèi)容、屬主、時(shí)間等被非法修改就及時(shí)報(bào)警，并在極短的時(shí)間內(nèi)進(jìn)行恢復(fù)。論文參考網(wǎng)。其性能的關(guān)鍵是資源占有量、正確性和實(shí)時(shí)性。

其主要目的是在計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)受到攻擊的時(shí)候，能夠在極短的時(shí)間內(nèi)恢復(fù)系統(tǒng)和數(shù)據(jù)，保障系統(tǒng)的正常運(yùn)行和數(shù)據(jù)的安全。

自動(dòng)恢復(fù)技術(shù)主要包括：備份技術(shù)、冗余技術(shù)、恢復(fù)技術(shù)、遠(yuǎn)程控制技術(shù)、文件掃描與一致性檢查技術(shù)等。

二、計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)過程模型

針對(duì)日益嚴(yán)重的網(wǎng)絡(luò)安全問題和愈來愈突出的安全需求，人們?cè)谘芯糠篮诩夹g(shù)的同時(shí)，認(rèn)識(shí)到網(wǎng)絡(luò)安全防護(hù)不是一個(gè)靜態(tài)過程，而是一個(gè)包含多個(gè)環(huán)節(jié)的動(dòng)態(tài)過程，并相應(yīng)地提出了反映網(wǎng)絡(luò)安全防護(hù)支柱過程的P2DR模型，其過程模型如圖1所示。

圖1　P2DR模型體系結(jié)構(gòu)圖

其過程如下所述：

1．進(jìn)行系統(tǒng)安全需求和安全風(fēng)險(xiǎn)分析，確定系統(tǒng)的安全目標(biāo)，設(shè)計(jì)相應(yīng)的安全策略。

2．應(yīng)根據(jù)確定的安全策略，采用相應(yīng)的網(wǎng)絡(luò)安全技術(shù)如身份認(rèn)證技術(shù)、訪問控制、網(wǎng)絡(luò)技術(shù)，選擇符合安全標(biāo)準(zhǔn)和通過安全認(rèn)證的安全技術(shù)和產(chǎn)品，構(gòu)建系統(tǒng)的安全防線，把好系統(tǒng)的入口。

3．應(yīng)建立一套網(wǎng)絡(luò)案例實(shí)時(shí)檢測(cè)系統(tǒng)，主動(dòng)、及時(shí)地檢測(cè)網(wǎng)絡(luò)系統(tǒng)的安全漏洞、用戶行為和網(wǎng)絡(luò)狀態(tài)；當(dāng)網(wǎng)絡(luò)出現(xiàn)漏洞、發(fā)現(xiàn)用戶行為或網(wǎng)絡(luò)狀態(tài)異常時(shí)及時(shí)報(bào)警。

4．當(dāng)出現(xiàn)報(bào)警時(shí)應(yīng)及時(shí)分析原因，采取應(yīng)急響應(yīng)和處理，如斷開網(wǎng)絡(luò)連接，修復(fù)漏洞或被破壞的系統(tǒng)。

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，我們的生活中越來越離不開網(wǎng)絡(luò)，然而網(wǎng)絡(luò)安全問題也日趨嚴(yán)重，做好網(wǎng)絡(luò)防護(hù)已經(jīng)是我們所不得不做的事情，只有采取合理有效的網(wǎng)絡(luò)防護(hù)手段才能保證我們網(wǎng)絡(luò)的安全、保證信息的安全，使我們真正能夠用好網(wǎng)絡(luò)，使網(wǎng)絡(luò)為我們的生活添光添彩。

第9篇

論文摘要：隨著計(jì)算機(jī)信息化建設(shè)的飛速發(fā)展,計(jì)算機(jī)已普遍應(yīng)用到日常工作、生活的每一個(gè)領(lǐng)域,比如政府機(jī)關(guān)、學(xué)校、醫(yī)院、社區(qū)及家庭等。但隨之而來的是,計(jì)算機(jī)網(wǎng)絡(luò)安全也受到全所未有的威脅,計(jì)算機(jī)病毒無處不在,黑客的猖獗, 都防不勝防。  

 

計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施,保證在一個(gè)網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。從技術(shù)上來說, 計(jì)算機(jī)網(wǎng)絡(luò)安全主要由防病毒、防火墻等多個(gè)安全組件組成,一個(gè)單獨(dú)的組件無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、pki技術(shù)等。 

一、計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 

（一）防火墻技術(shù)。防火墻是指一個(gè)由軟件或硬件設(shè)備組合而成,處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間,限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。當(dāng)一個(gè)網(wǎng)絡(luò)接上internet之后,系統(tǒng)的安全除了考慮計(jì)算機(jī)病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。 

（二）數(shù)據(jù)加密技術(shù)。與防火墻相比,數(shù)據(jù)加密技術(shù)比較靈活,更加適用于開放的網(wǎng)絡(luò)。數(shù)據(jù)加密主要用于對(duì)動(dòng)態(tài)信息的保護(hù),對(duì)動(dòng)態(tài)數(shù)據(jù)的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。對(duì)于主動(dòng)攻擊,雖無法避免,但卻可以有效地檢測(cè);而對(duì)于被動(dòng)攻擊,雖無法檢測(cè),但卻可以避免,實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)分為兩類:即對(duì)稱加密和非對(duì)稱加密。 

1.對(duì)稱加密技術(shù)。對(duì)稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密密鑰與解密密鑰是相同的,或者可以由其中一個(gè)推知另一個(gè),這種加密方法可簡(jiǎn)化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機(jī)密性和報(bào)文完整性就可以得以保證。目前,廣為采用的一種對(duì)稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)des,des的成功應(yīng)用是在銀行業(yè)中的電子資金轉(zhuǎn)賬(eft)領(lǐng)域中。2.非對(duì)稱加密。在非對(duì)稱加密體系中,密鑰被分解為一對(duì)(即公開密鑰和私有密鑰)。這對(duì)密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對(duì)應(yīng)于生成密鑰的交換方。非對(duì)稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。 

（三）pki技術(shù)。pki技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。pki技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動(dòng)缺少物理接觸,因此使得用電子方式驗(yàn)證信任關(guān)系變得至關(guān)重要。而pki技術(shù)作為一種相對(duì)安全的技術(shù)，恰恰成為了電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù)的首要選擇,在實(shí)際的操作過程中他能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全問題，而進(jìn)一步保護(hù)客戶的資料安全。 

二、計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問題 

（一）互聯(lián)網(wǎng)絡(luò)的不安全性。1.1網(wǎng)絡(luò)的開放性,由于現(xiàn)代網(wǎng)絡(luò)技術(shù)是全開放的,所以在一定程度上導(dǎo)致了網(wǎng)絡(luò)面臨著來自多方面的攻擊。這其中可能存在來自物理傳輸線路的攻擊,也有肯那個(gè)來自對(duì)網(wǎng)絡(luò)通信協(xié)議的攻擊，也包括來自于本地網(wǎng)絡(luò)的用戶,還可以是互聯(lián)網(wǎng)上其他國家的黑客等等。1.2網(wǎng)絡(luò)的自由性,大多數(shù)的網(wǎng)絡(luò)對(duì)用戶的使用沒有技術(shù)上的約束,用戶可以自由的上網(wǎng),和獲取各類信息。 這也為了影響網(wǎng)絡(luò)安全的一個(gè)主要因素。 

（二）操作系統(tǒng)存在的安全問題。操作系統(tǒng)作為一個(gè)支撐軟件,使得你的程序或別的運(yùn)用系統(tǒng)在上面正常運(yùn)行的一個(gè)環(huán)境。操作系統(tǒng)提供了很多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開發(fā)設(shè)計(jì)的不周而留下的破綻,都給網(wǎng)絡(luò)安全留下隱患。 

1.操作系統(tǒng)結(jié)構(gòu)體系的缺陷。操作系統(tǒng)本身有內(nèi)存管理、cpu管理、外設(shè)的管理,每個(gè)管理都涉及到一些模塊或程序,如果在這些程序里面存在問題,比如內(nèi)存管理的問題,外部網(wǎng)絡(luò)的一個(gè)連接過來,剛好連接一個(gè)有缺陷的模塊,可能出現(xiàn)的情況是,計(jì)算機(jī)系統(tǒng)會(huì)因此崩潰。所以,有些黑客往往是針對(duì)操作系統(tǒng)的不完善進(jìn)行攻擊,使計(jì)算機(jī)系統(tǒng),特別是服務(wù)器系統(tǒng)立刻癱瘓。2.操作系統(tǒng)支持在網(wǎng)絡(luò)上傳送文件、加載或安裝程序,包括可執(zhí)行文件,這些功能也會(huì)帶來不安全因素。網(wǎng)絡(luò)很重要的一個(gè)功能就是文件傳輸功能,比如ftp,這些安裝程序經(jīng)常會(huì)帶一些可執(zhí)行文件,這些可執(zhí)行文件都是人為編寫的程序,如果某個(gè)地方出現(xiàn)漏洞,那么系統(tǒng)可能就會(huì)造成崩潰。3.操作系統(tǒng)不安全的一個(gè)原因在于它可以創(chuàng)建進(jìn)程,支持進(jìn)程的遠(yuǎn)程創(chuàng)建和激活,支持被創(chuàng)建的進(jìn)程繼承創(chuàng)建的權(quán)利,這些機(jī)制提供了在遠(yuǎn)端服務(wù)器上安裝“間諜”軟件的條件。若將間諜軟件以打補(bǔ)丁的方式“打”在一個(gè)合法用戶上,特別是“打”在一個(gè)特權(quán)用戶上,黑客或間諜軟件就可以使系統(tǒng)進(jìn)程與作業(yè)的監(jiān)視程序監(jiān)測(cè)不到它的存在。 

（三）防火墻的局限性。防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.它是一種計(jì)算機(jī)硬件和軟件的結(jié)合,使內(nèi)部網(wǎng)與外部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)(security gateway),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。 

三、結(jié)束語 

計(jì)算機(jī)網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程,涉及技術(shù)、設(shè)備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進(jìn)行把握。網(wǎng)絡(luò)安全解決方案是綜合各種計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù),將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全掃描技術(shù)等綜合起來,形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護(hù)體系。我們必須做到管理和技術(shù)并重,安全技術(shù)必須結(jié)合安全措施,并加強(qiáng)計(jì)算機(jī)立法和執(zhí)法的力度,建立備份和恢復(fù)機(jī)制,制定相應(yīng)的安全標(biāo)準(zhǔn)。此外,由于計(jì)算機(jī)病毒、計(jì)算機(jī)犯罪等技術(shù)是不分國界的,因此必須進(jìn)行充分的國際合作,來共同對(duì)付日益猖獗的計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒等問題。 

 

參考文獻(xiàn):