網(wǎng)絡(luò)安全關(guān)系到信息的保密與泄露,以下是小編整理的網(wǎng)絡(luò)安全防火墻論文���,歡迎參考閱讀�����!
防火墻安全的計算機網(wǎng)絡(luò)安全論文
1計算機網(wǎng)絡(luò)安全中常用的防火墻技術(shù)
隨著計算機網(wǎng)絡(luò)技術(shù)快速發(fā)展��,防火墻安全防范技術(shù)也不斷的發(fā)生著變化�,目前�����,常用的防火墻技術(shù)有代理型防火墻安全技術(shù)�、包過濾型防火墻安全技術(shù)、監(jiān)測型防火墻安全技術(shù)、網(wǎng)址轉(zhuǎn)換防火墻安全技術(shù)等����。
1。1代理型防火墻安全技術(shù)代理型防火墻安全技術(shù)是一種代理服務(wù)器����,屬于高級防火墻技術(shù),代理型防火墻安全技術(shù)常用于用戶之間����,對可能對電腦信息造成危害的動作進行攔截,從用戶的角度講���,代理服務(wù)器是有用的服務(wù)器����,從服務(wù)器的角度看�,代理型服務(wù)器�,就是用戶機。當(dāng)用戶的計算機進行信息溝通�、傳遞時,所有的信息都會通過代理型服務(wù)器����,代理型服務(wù)器會將不利的信息過濾掉���,例如阻攔各種攻擊信息的行為,代理服務(wù)器會將真正的信息傳遞到用戶的計算機中�。代理型防火墻技術(shù)的最大的特點是安全性能高,針對性強�����,能將不利的信息直接過濾掉����。
1。2包過濾型防火墻安全技術(shù)包過濾防火墻安全技術(shù)是一種比較傳統(tǒng)的安全技術(shù)����,其關(guān)鍵技術(shù)點是網(wǎng)絡(luò)分包傳輸,在信息傳遞過程中����,以包為單位,每個數(shù)據(jù)包代表不同的含義�����,數(shù)據(jù)包可以根據(jù)信息數(shù)據(jù)的大小、信息的來源����、信息的性質(zhì)等進行劃分,包過濾防火墻技術(shù)就是對這些數(shù)據(jù)包進行識別��,判斷這些數(shù)據(jù)包是否合法���,從而實現(xiàn)計算機網(wǎng)絡(luò)安全防護����。包過濾型防火墻安全技術(shù)是在計算機網(wǎng)路系統(tǒng)中設(shè)定過濾邏輯���,使用相關(guān)軟件對進出網(wǎng)絡(luò)的數(shù)據(jù)進行控制�����,從而實現(xiàn)計算機網(wǎng)絡(luò)安全防護��。包過濾防火墻技術(shù)的最重要的是包過濾技術(shù)����,包過濾型防火墻安全技術(shù)的特點有適應(yīng)性強����、實用性強、成本低���,但包過濾型防火墻技術(shù)的最大缺點是不能對惡意程序���、數(shù)據(jù)進行進行識別,一些非法人員可以偽造地址�,繞過包過濾防火墻,直接對用戶計算機進行攻擊�����。
1���。3監(jiān)測型防火墻安全技術(shù)監(jiān)測型防火墻安全技術(shù)是對數(shù)據(jù)信息進行檢測���,從而提高計算機網(wǎng)絡(luò)安全,但監(jiān)測型防火墻安全技術(shù)成本費用比較高�,不容易管理,從安全角度考慮�����,監(jiān)測型防火墻安全技術(shù)還是可以用于計算機網(wǎng)絡(luò)中。
1����。4網(wǎng)址轉(zhuǎn)換防火墻安全技術(shù)網(wǎng)址轉(zhuǎn)換技術(shù)將網(wǎng)絡(luò)地址轉(zhuǎn)換成外部的、臨時的地址���,這樣外部IP對內(nèi)部網(wǎng)絡(luò)進行訪問時�,其他用戶不能利用其他IP重復(fù)訪問網(wǎng)絡(luò)���,外部IP在訪問網(wǎng)絡(luò)時���,首先會轉(zhuǎn)到記錄和識別中進行身份確認(rèn),系統(tǒng)的源地址通過外部網(wǎng)絡(luò)和非安全網(wǎng)卡連接真正的IP會轉(zhuǎn)換成虛擬的IP�����,將真正的IP隱藏起來��。當(dāng)用戶訪問網(wǎng)絡(luò)時��,如果符合相關(guān)準(zhǔn)則��,防火墻就會允許用戶訪問�,如果檢測不符合準(zhǔn)則�����,防火墻就會認(rèn)為該訪問不安全,進行攔截�。
2防火墻安全防范技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用
2。1訪問策略設(shè)置訪問策略設(shè)置是防火墻的核心安全策略��,因此����,在設(shè)置訪問策略時,要采用詳細(xì)的信息說明和詳細(xì)的系統(tǒng)統(tǒng)計����,在設(shè)置過程中,要了解用戶對內(nèi)部及外部的應(yīng)用�����,掌握用戶目的地址����、源地址,然后根據(jù)排序準(zhǔn)則和應(yīng)用準(zhǔn)則進行設(shè)置在�����,這樣防火墻在執(zhí)行過程中,能按照相應(yīng)的順序進行執(zhí)行��。
2���。2安全服務(wù)配置安全服務(wù)的是一個獨立的局域網(wǎng)絡(luò)�����,安全服務(wù)的隔離區(qū)將系統(tǒng)管理的機群和服務(wù)器的機群單獨劃分出來��,從而保障系統(tǒng)管理和服務(wù)器的信息安全�,安全服務(wù)既是獨立的網(wǎng)絡(luò)又是計算機內(nèi)部網(wǎng)絡(luò)的重要組成部分��。對于內(nèi)部網(wǎng)絡(luò)可以采用網(wǎng)址轉(zhuǎn)換防火墻安全技術(shù)進行保護����,將主機地址設(shè)置成有效的IP地址,并且將這些網(wǎng)址設(shè)置公用地址�,這樣就能對外界IP地址進行攔截,有效的保護計算機內(nèi)部網(wǎng)絡(luò)安全���,確保計算機內(nèi)部網(wǎng)絡(luò)安全��、穩(wěn)定的運行�。如果企業(yè)擁有邊界路由器,可以利用原有的邊界路由器�,采用包過濾防火墻安全技術(shù)進行網(wǎng)絡(luò)安全保護,這樣還可有降低防火墻成本費用�����。
2�����。3日志監(jiān)控日志監(jiān)控是保護計算機網(wǎng)絡(luò)安全的重要管理手段之一�,在進行日志監(jiān)控時�,一些管理員認(rèn)為不必要進行日志信息采集,但防火墻信息數(shù)據(jù)很多���,并且這些信息十分繁雜�����,只有收集關(guān)鍵的日志�,才能當(dāng)做有效的日志�����。系統(tǒng)警告信息十分重要,對進入防火墻的信息進行選擇性記錄��,就能記錄下對計算機網(wǎng)絡(luò)有威脅的信息�����。
3結(jié)束語
計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展必然會為網(wǎng)絡(luò)安全帶來一定的隱患�,因此,要不斷更新完善計算機網(wǎng)絡(luò)安全技術(shù)�,改革防火墻安全防范技術(shù),抵抗各種對計算機信息有害的行為��,提高計算機網(wǎng)絡(luò)安全防護能力��,確保計算機網(wǎng)絡(luò)安全���,從而保證計算機網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定的運行���。
計算機網(wǎng)絡(luò)安全與防火墻技術(shù)
導(dǎo)讀:影響計算機網(wǎng)絡(luò)安全的因素很多。而防火墻是一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施�����。使用單防火墻和單子網(wǎng)保護多級應(yīng)用系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)。欺騙����,論文參考,計算機網(wǎng)絡(luò)安全與防火墻技術(shù)��。
關(guān)鍵詞:計算機網(wǎng)絡(luò)安全���,防火墻,單子網(wǎng)����,arp欺騙
影響計算機網(wǎng)絡(luò)安全的因素很多,有些因素可能是有意的�����,也可能是無意的�;可能是人為的,也可能是非人為的�����;可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使有。這些因素可以大體分類為:計算機病毒����、人為的無意失誤、人為的惡意攻擊��、網(wǎng)絡(luò)軟件的缺陷和漏洞����、物理安全問題。
而防火墻是一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施�,所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法��,它實際上是一種隔離技術(shù)����。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度,它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)��,同時將你“不同意”的人和數(shù)據(jù)拒之門外����,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改�、拷貝���、毀壞你的重要信息。
1��。 非法攻擊防火墻的基本“招數(shù)”
通常情況下�����, 有效的攻擊都是從相關(guān)的子網(wǎng)進行的�����。因為這些網(wǎng)址得到了防火墻的信賴����,雖說成功與否尚取決于機遇等其他因素�,但對攻擊者而言很值得一試。下面以數(shù)據(jù)包過濾防火墻為例�����,簡要描述可能的攻擊過程���。
通常主機A與主機B 的TCP 連接(中間有或無防火墻) 是通過主機A向主機B 提出請求建立起來的�,而其間A和B 的確認(rèn)僅僅根據(jù)由主機A 產(chǎn)生并經(jīng)主機B 驗證的初始序列號ISN。IP 地址欺騙攻擊的第一步是切斷可信賴主機����。這樣可以使用TCP 淹沒攻擊(TCP SynFlood Attack),使得信賴主機處于“自顧不暇”的忙碌狀態(tài)���,相當(dāng)于被切斷�����,這時目標(biāo)主機會認(rèn)為信賴主機出現(xiàn)了故障�,只能發(fā)出無法建立連接的RST 包����,而無暇顧及其他。
攻擊者最關(guān)心的是猜測目標(biāo)主機的ISN���。為此�����,可以利用SMTP的端口(25)���,通常它是開放的�����,郵件能夠通過這個端口����,與目標(biāo)主機打開(Open)一個TCP 連接���,因而得到它的ISN�。在此有效期間����,重復(fù)這一過程若干次,以便能夠猜測和確定ISN的產(chǎn)生和變化規(guī)律�����,這樣就可以使用被切斷的可信賴主機的IP 地址向目標(biāo)主機發(fā)出連接請求����。請求發(fā)出后����,目標(biāo)主機會認(rèn)為它是TCP 連接的請求者����,從而給信賴主機發(fā)送響應(yīng)(包括SYN)�,而信賴主機目前仍忙于處理Flood淹沒攻擊產(chǎn)生的“合法”請求,因此目標(biāo)主機不能得到來自于信賴主機的響應(yīng)��,F(xiàn)在攻擊者發(fā)出回答響應(yīng)�����,并連同預(yù)測的目標(biāo)主機的ISN一同發(fā)給目標(biāo)主機���,隨著不斷地糾正預(yù)測的ISN���,攻擊者最終會與目標(biāo)主機建立一個會晤。通過這種方式����, 攻擊者以合法用戶的身份登錄到目標(biāo)主機而不需進一步的確認(rèn)。論文參考�,arp欺騙。����。如果反復(fù)試驗使得目標(biāo)主機能夠接收對網(wǎng)絡(luò)的ROOT 登錄����,那么就可以完全控制整個網(wǎng)絡(luò)���。
2�。 單防火墻和單子網(wǎng)
由于不同的資源存在著不同的風(fēng)險程度�����,所以要基于此來對網(wǎng)絡(luò)資源進行劃分�。這里的風(fēng)險包含兩個因素: 資源將被妥協(xié)的可能性和資源本身的敏感性。例如:一個好的Web 服務(wù)器運行CGI 會比僅僅提供靜態(tài)網(wǎng)頁更容易得到用戶的認(rèn)可����,但隨之帶來的卻是Web 服務(wù)器的安全隱患。網(wǎng)絡(luò)管理員在服務(wù)器前端配置防火墻����,會減少它全面暴露的風(fēng)險。數(shù)據(jù)庫服務(wù)器中存放有重要數(shù)據(jù)����,它比Web 服務(wù)器更加敏感�,因此需要添加額外的安全保護層��。
使用單防火墻和單子網(wǎng)保護多級應(yīng)用系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)���,這里所有的服務(wù)器都被安排在同一個子網(wǎng),防火墻接在邊界路由器與內(nèi)部網(wǎng)絡(luò)之間�����,防御來自Internet 的網(wǎng)絡(luò)攻擊����。論文參考,arp欺騙�����。��。在網(wǎng)絡(luò)使用和基于主機的入侵檢測系統(tǒng)下�����,服務(wù)器得到了加強和防護����,這樣便可以保護應(yīng)用系統(tǒng)免遭攻擊����。像這樣的縱向防護技術(shù)在所有堅固的設(shè)計中是非常普遍的����,但它們并沒有明顯的顯示在圖表中。
在這種設(shè)計方案中���,所有服務(wù)器都安排在同一個子網(wǎng)���,用防火墻將它們與Internet 隔離,這些不同安全級別的服務(wù)器在子網(wǎng)中受到同等級的安全保護����。盡管所有服務(wù)器都在一個子網(wǎng),但網(wǎng)絡(luò)管理員仍然可以將內(nèi)部資源與外部共享資源有效地分離�。使用單防火墻和單子網(wǎng)保護服務(wù)器的方案系統(tǒng)造價便宜,而且網(wǎng)絡(luò)管理和維護比較簡單����,這是該方案的一個重要優(yōu)點。因此��, 當(dāng)進一步隔離網(wǎng)絡(luò)服務(wù)器并不能從實質(zhì)上降低重要數(shù)據(jù)的安全風(fēng)險時,采用單防火墻和單子網(wǎng)的方案的確是一種經(jīng)濟的選擇�。
3。 單防火墻和多子網(wǎng)
如果遇見適合劃分多個子網(wǎng)的情況�,網(wǎng)絡(luò)管理員可以把內(nèi)部網(wǎng)絡(luò)劃分成獨立的子網(wǎng)�,不同層的服務(wù)器分別放在不同的子網(wǎng)中,數(shù)據(jù)層服務(wù)器只接受中間層服務(wù)器數(shù)據(jù)查詢時連接的端口��,就能有效地提高數(shù)據(jù)層服務(wù)器的安全性����,也能夠幫助防御其它類型的攻擊。論文參考��,arp欺騙�。。這時��,更適于采用一種更為精巧的網(wǎng)絡(luò)結(jié)構(gòu)———單個防火墻劃分多重子網(wǎng)結(jié)構(gòu)���。單個防火墻劃分多重子網(wǎng)的方法就是在一個防火墻上開放多個端口���,用該防火墻把整個網(wǎng)絡(luò)劃分成多個子網(wǎng),每個子網(wǎng)分管應(yīng)用系統(tǒng)的特定的層�。管理員能夠在防火墻不同的端口上設(shè)置不同的安全策略。
使用單個防火墻分割網(wǎng)絡(luò)是對應(yīng)用系統(tǒng)分層的最經(jīng)濟的一種方法,但它并不是沒有局限性�����。邏輯上的單個防火墻��,即便有冗余的硬件設(shè)備����,當(dāng)用它來加強不同安全風(fēng)險級別的服務(wù)器的安全策略時,如果該防火墻出現(xiàn)危險或錯誤的配置�����,入侵者就會獲取所有子網(wǎng)包括數(shù)據(jù)層服務(wù)器所在的最敏感網(wǎng)絡(luò)的訪問權(quán)限���。而且����,該防火墻需要檢測所有子網(wǎng)間的流通數(shù)據(jù)�,因此,它會變成網(wǎng)絡(luò)執(zhí)行效率的瓶頸��。所以��,在資金允許的情況下,我們可以用另一種設(shè)計方案———多個防火墻劃分多個子網(wǎng)的方法�����,來消除這種缺陷�����。
4���。arp欺騙對策
各種網(wǎng)絡(luò)安全的對策都是相對的,主要要看網(wǎng)管平時對網(wǎng)絡(luò)安全的重視性了����。下面介始一些相應(yīng)的對策:
在系統(tǒng)中建立靜態(tài)ARP表,建立后對本身自已系統(tǒng)影響不大的�����,對網(wǎng)絡(luò)影響較大���,破壞了動態(tài)ARP解析過程���。論文參考����,arp欺騙�����。�。靜態(tài)ARP協(xié)議表不會過期的,我們用“arp–d”命令清除ARP表����,即手動刪除。論文參考�,arp欺騙。����。但是有的系統(tǒng)的靜態(tài)ARP表項可以被動態(tài)刷新,如Solaris系統(tǒng)���,那樣的話依靠靜態(tài)ARP表項并不能對抗ARP欺騙攻擊����,相反縱容了ARP欺騙攻擊�����,因為虛假的靜態(tài)ARP表項不會自動超時消失。論文參考��,arp欺騙�。。 在相對系統(tǒng)中禁止某個網(wǎng)絡(luò)接口做ARP解析(對抗ARP欺騙攻擊)����,可以做靜態(tài)ARP協(xié)議設(shè)置(因為對方不會響應(yīng)ARP請求報文)如:arp —sXXX。XXX����。XX����。X 08—00—20—a8—2e—ac。 在絕大多數(shù)操作系統(tǒng)如:Unix�����、BSD����、NT等��,都可以結(jié)合“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP解析”和“使用靜態(tài)ARP表”的設(shè)置來對抗ARP欺騙攻擊�����。而Linux系統(tǒng)�����,其靜態(tài)ARP表項不會被動態(tài)刷新���,所以不需要“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP解析”即可對抗ARP欺騙攻擊。
來源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享��,如產(chǎn)生版權(quán)問題���,請聯(lián)系我們及時刪除����。
《
網(wǎng)絡(luò)安全防火墻論文》由互聯(lián)網(wǎng)用戶整理提供,轉(zhuǎn)載分享請保留原作者信息,謝謝!
鏈接地址:http://www.weilaioem.com/gongwen/131818.html
