計算機的網路安全技術常用技術有:
一、病毒防護技術
阻止病毒的傳播。在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體,禁止未經許可的控制項下載和安裝。
二、入侵檢測技術
利用防火牆技術,經過仔細的配置,通常能夠在內外網之間提供安全的網路保護,降低了網路安全風險。入侵檢測系統是新型網路安全技術,目的是提供實時的入侵檢測及採取相應的防護手段,如記錄證據用於跟蹤和恢復、斷開網路連接等。
三、安全掃描技術
網路安全技術中,另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。
安全掃描工具源於Hacker在入侵網路系統時採用的工具。商品化的安全掃描工具為網路安全漏洞的發現提供了強大的支持。安全掃描工具通常也分為基於伺服器和基於網路的掃描器。
四、認證簽名技術
認證技術主要解決網路通訊過程中通訊雙方的身份認可,數字簽名作為身份認證技術中的一種具體技術,同時數字簽名還可用於通信過程中的不可抵賴要求的實現。
該種認證方式是最常用的一種認證方式,用於操作系統登錄、telnet、rlogin等,但由於此種認證方式過程不加密,即password容易被監聽和解密。
五、應用安全技術
由於應用系統的復雜性,有關應用平台的安全問題是整個安全體系中最復雜的部分。下面的幾個部分列出了在Internet/Intranet中主要的應用平台服務的安全問題及相關技術。
同時,新發現的針對BIND-NDS實現的安全漏洞也開始發現,而絕大多數的域名系統均存在類似的問題。如由於DNS查詢使用無連接的UDP協議,利用可預測的查詢ID可欺騙域名伺服器給出錯誤的主機名-IP對應關系。
參考資料來源:網路—網路安全技術
基本上都是360吧
③ 計算機網路安全與防火牆技術成果怎麼展示
影響計算機網路安全的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網路系統資源的非法使有。這些因素可以大體分類為:計算機病毒、人為的無意失誤、人為的惡意攻擊、網路軟體的缺陷和漏洞、物理安全問題。
而防火牆是一種保護計算機網路安全的技術性措施,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路,防止他們更改、拷貝、毀壞你的重要信息。
1. 非法攻擊防火牆的基本「招數」
通常情況下, 有效的攻擊都是從相關的子網進行的。因為這些網址得到了防火牆的信賴,雖說成功與否尚取決於機遇等其他因素,但對攻擊者而言很值得一試。下面以數據包過濾防火牆為例,簡要描述可能的攻擊過程。
通常主機A與主機B 的TCP 連接(中間有或無防火牆) 是通過主機A向主機B 提出請求建立起來的,而其間A和B 的確認僅僅根據由主機A 產生並經主機B 驗證的初始序列號ISN。IP 地址欺騙攻擊的第一步是切斷可信賴主機。這樣可以使用TCP 淹沒攻擊(TCP SynFlood Attack),使得信賴主機處於「自顧不暇」的忙碌狀態,相當於被切斷,這時目標主機會認為信賴主機出現了故障,只能發出無法建立連接的RST 包,而無暇顧及其他。
攻擊者最關心的是猜測目標主機的ISN。為此,可以利用SMTP的埠(25),通常它是開放的,郵件能夠通過這個埠,與目標主機打開(Open)一個TCP 連接,因而得到它的ISN。在此有效期間,重復這一過程若干次,以便能夠猜測和確定ISN的產生和變化規律,這樣就可以使用被切斷的可信賴主機的IP 地址向目標主機發出連接請求。請求發出後,目標主機會認為它是TCP 連接的請求者,從而給信賴主機發送響應(包括SYN),而信賴主機目前仍忙於處理Flood淹沒攻擊產生的「合法」請求,因此目標主機不能得到來自於信賴主機的響應。現在攻擊者發出回答響應,並連同預測的目標主機的ISN一同發給目標主機,隨著不斷地糾正預測的ISN,攻擊者最終會與目標主機建立一個會晤。通過這種方式, 攻擊者以合法用戶的身份登錄到目標主機而不需進一步的確認。,arp欺騙。。如果反復試驗使得目標主機能夠接收對網路的ROOT 登錄,那麼就可以完全控制整個網路。
2. 單防火牆和單子網
由於不同的資源存在著不同的風險程度,所以要基於此來對網路資源進行劃分。這里的風險包含兩個因素: 資源將被妥協的可能性和資源本身的敏感性。例如:一個好的Web 伺服器運行CGI 會比僅僅提供靜態網頁更容易得到用戶的認可,但隨之帶來的卻是Web 伺服器的安全隱患。網路管理員在伺服器前端配置防火牆,會減少它全面暴露的風險。資料庫伺服器中存放有重要數據,它比Web 伺服器更加敏感,因此需要添加額外的安全保護層。
使用單防火牆和單子網保護多級應用系統的網路結構,這里所有的伺服器都被安排在同一個子網,防火牆接在邊界路由器與內部網路之間,防禦來自Internet 的網路攻擊。,arp欺騙。。在網路使用和基於主機的入侵檢測系統下,伺服器得到了加強和防護,這樣便可以保護應用系統免遭攻擊。像這樣的縱向防護技術在所有堅固的設計中是非常普遍的,但它們並沒有明顯的顯示在圖表中。
在這種設計方案中,所有伺服器都安排在同一個子網,用防火牆將它們與Internet 隔離,這些不同安全級別的伺服器在子網中受到同等級的安全保護。盡管所有伺服器都在一個子網,但網路管理員仍然可以將內部資源與外部共享資源有效地分離。使用單防火牆和單子網保護伺服器的方案系統造價便宜,而且網路管理和維護比較簡單,這是該方案的一個重要優點。因此, 當進一步隔離網路伺服器並不能從實質上降低重要數據的安全風險時,採用單防火牆和單子網的方案的確是一種經濟的選擇。
3. 單防火牆和多子網
如果遇見適合劃分多個子網的情況,網路管理員可以把內部網路劃分成獨立的子網,不同層的伺服器分別放在不同的子網中,數據層伺服器只接受中間層伺服器數據查詢時連接的埠,就能有效地提高數據層伺服器的安全性,也能夠幫助防禦其它類型的攻擊。,arp欺騙。。這時,更適於採用一種更為精巧的網路結構———單個防火牆劃分多重子網結構。單個防火牆劃分多重子網的方法就是在一個防火牆上開放多個埠,用該防火牆把整個網路劃分成多個子網,每個子網分管應用系統的特定的層。管理員能夠在防火牆不同的埠上設置不同的安全策略。
使用單個防火牆分割網路是對應用系統分層的最經濟的一種方法,但它並不是沒有局限性。邏輯上的單個防火牆,即便有冗餘的硬體設備,當用它來加強不同安全風險級別的伺服器的安全策略時,如果該防火牆出現危險或錯誤的配置,入侵者就會獲取所有子網包括數據層伺服器所在的最敏感網路的訪問許可權。而且,該防火牆需要檢測所有子網間的流通數據,因此,它會變成網路執行效率的瓶頸。所以,在資金允許的情況下,我們可以用另一種設計方案———多個防火牆劃分多個子網的方法,來消除這種缺陷。
4.arp欺騙對策
各種網路安全的對策都是相對的,主要要看網管平時對網路安全的重視性了。下面介始一些相應的對策:
在系統中建立靜態ARP表,建立後對本身自已系統影響不大的,對網路影響較大,破壞了動態ARP解析過程。,arp欺騙。。靜態ARP協議表不會過期的,我們用「arp–d」命令清除ARP表,即手動刪除。,arp欺騙。。但是有的系統的靜態ARP表項可以被動態刷新,如Solaris系統,那樣的話依靠靜態ARP表項並不能對抗ARP欺騙攻擊,相反縱容了ARP欺騙攻擊,因為虛假的靜態ARP表項不會自動超時消失。,arp欺騙。。 在相對系統中禁止某個網路介面做ARP解析(對抗ARP欺騙攻擊),可以做靜態ARP協議設置(因為對方不會響應ARP請求報文)如:arp -sXXX.XXX.XX.X 08-00-20-a8-2e-ac。 在絕大多數操作系統如:Unix、BSD、NT等,都可以結合「禁止相應網路介面做ARP解析」和「使用靜態ARP表」的設置來對抗ARP欺騙攻擊。而Linux系統,其靜態ARP表項不會被動態刷新,所以不需要「禁止相應網路介面做ARP解析」即可對抗ARP欺騙攻擊。
④ 簡述計算機網路安全技術中「防火牆」(firewall)的基本功能及其技術分類
防火牆的本義原是指古代人們房屋之間修建的那道牆,這道牆在火災發生時可以阻止蔓延到別的房屋。而這里所說的防火牆當然不是指物理上的防火牆,而是指隔離在本地網路與外界網路之間的一道防禦系統。應該說,在互聯網上防火牆是一種非常有效的網路安全模型,通過它可以隔離風險區域(即Internet或有一定風險的網站)與安全區域(區域網或PC)的連接。同時可以監控進出網路的通信,讓安全的信息進入。
1、防火牆規則設置
雙擊任務欄的圖標彈出主界面,KFW防火牆已經內置42條規則,其中包括了20條標准安全規則及22條針對主流木馬程序的規則,這些規則能夠確保系統安全。雙擊任意一條規則可以進行編輯。KFW還提供5個安全等級,一般情況下使用中、高級即可,另外,還可根據網上安全情況來動態的設置規則,比如震盪波病毒在網上猖獗時可以添加對5554、1068、445等埠的攔截。
2、應用程序規則
KFW防火牆可以對應用程序設置規則,這項功能對付木馬十分有用。每當有新的程序要訪問網路時,KFW都會彈出確認框,它還可以對應用程序的收發數據包進行控制,並對數據包設置跟蹤。
3、數據包過濾和記錄
KFW防火牆有專業級別的包內容記錄功能,可以使您更深入的了解各種攻擊包的結構。實時數據包地址 、類型過濾可以阻止木馬的入侵和對危險埠的掃描。例如過濾藍色代碼病毒性攻擊包等,也可防範ICQ、QQ的死機攻擊。
4、網路埠列表
KFW防火牆的網路埠列表窗口中列出了所有使用網路埠的應用程序及其所使用的埠。 除了以上功能外,IP翻譯資料庫還可以顯示出IP地址所對應地理位置。
⑤ 防火牆是計算機網路安全中常用到的一種技術
防火牆是計算機網路安全必須用到的技術,其能夠將計算機網路資源確保在安全范圍內。這種技術的使用原理是要提前設置該保護目標,讓其有規律地對計算機網路信息以及數據進行授權和限制,防火牆技術在使用過程中會主動記錄網路信息與數據來源,其控制著計算機的運行條件與使用方法,以此杜絕外來攻擊對計算機內部造成的影響,其可以在不同的角度與層面上來確保計算機網路資源的安全。防火牆技術在計算機網路信息安全中發揮著非常重要的作用。
⑥ 關於計算機網路安全與防火牆技術的論文怎麼寫
防火牆的概念
當然,既然打算由淺入深的來了解,就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網路中,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火牆的功能
防火牆是網路安全的屏障:
一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
防火牆可以強化網路安全策略:
通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
對網路存取和訪問進行監控審計:
如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄:
通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。
除了安全作用,防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN(虛擬專用網)。
參考資料:
防火牆的用途簡單的說,就是防止非法程序對計算機的入侵。非法程序包括病毒,木馬程序,黑客入侵,等等,只要是未經許可的入侵,均可視為非法。
防火牆的用途(Firewall Purpose)
撰文者: Indeepnight 位於 上午 8:55
防火牆是近年才開始受大眾注目,以前都只把焦點放在防毒軟體的能力上
不過,防火牆的用意雖然是好的,可是對於大眾來說,它的功能經常都會讓人摸不著頭緒,甚至會防礙原有操作電腦的順暢性
現在的作業系統,也都預設有防火牆的功能(M$、Linux皆有),不過大多數都是行銷策略的手法,讓大家感覺到物超所值,但實際的應用面就...乏人問津,至於硬體與軟體之間的差異,可以參考筆者先前寫的防火牆的使用,有粗略的說明
今天筆者就來說明一些較為常見的應用與設定:
Internet的發展給企業帶來了革命性的改革和開放,企業正努力通過利用
它來提高市場反應速度和辦事效率,以便更具競爭力。企業通過Internet,可
以從異地取回重要數據,同時又要面對Internet開放帶來的數據安全的新挑戰
和新危險:即客戶、銷售商、移動用戶、異地員工和內部員工的安全訪問;以
及保護企業的機密信息不受黑客和工業間諜的入侵。因此企業必須加註安全的
「戰壕」,而這些「戰壕」又要在哪裡修建呢?
基於Internet體系應用有兩大部分:Intranet和Extranet。Intranet是借
助Internet的技術和設備在Internet上面構造出企業3W網,可放入企業全部信
息;而Extranet是在電子商務、互相合作的需求下,用Intranet間的通道,可
獲得其它體系中部分信息。因此按照一個企業的安全體系可知防火牆戰壕須在
以下位置上位置:
①保證對主機和應用安全訪問;
②保證多種客戶機和伺服器的安全性;
③保護關鍵部門不受到來自內部的攻擊、外部的攻擊、為通過Internet與
遠程訪問的雇員、客戶、供應商提供安全通道。
同時防火牆的安全性還要來自其良好的技術性能。一般防火牆具備以下特
點:
①廣泛的服務支持,通過將動態的、應用層的過濾能力和認證相結合,可
實現WWW瀏覽器、HTTP伺服器、FTP等;
②對私有數據的加密支持,保證通過Internet進行虛擬私人網路和商務活
動不受損壞;
③客戶端認證只允許指定的用戶訪問內部網路或選擇服務,是企業本地網
與分支機構、商業夥伴和移動用戶間安全通信的附加部分;
④反欺騙,欺騙是從外部獲取網路訪問權的常用手段,它使數據包好似來
自網路內部。Firewall-1能監視這樣的數據包並能扔掉它們;C/S 模式
和跨平台支持,能使運行在一平台的管理模塊控制運行在另一平台的監
視模塊。
網路安全:初上網者必看---我們為什麼需要防火牆
來源:賽迪網 時間:2006-10-04 09:10:44
很多網路初級用戶認為,只要裝了殺毒軟體,系統就絕對安全了,這種想法是萬萬要不得的!在現今的網路安全環境下,木馬、病毒肆虐,黑客攻擊頻繁,而各種流氓軟軟體、間諜軟體也行風作浪。怎樣才能讓我們的系統立於如此險惡的網路環境呢?光靠殺毒軟體足以保證我們的系統安全嗎?下面我就從影響系統安全的幾個方面來剖析防火牆的重要性。
現在的網路安全威脅主要來自病毒攻擊、木馬攻擊、黑客攻擊以及間諜軟體攻擊。殺毒軟體發展了十幾年,依然是停留在被動殺毒的層面(別看那些自我標榜主動防禦,無非是一些騙人的幌子,看看這個文章就知道了),而國外的調查表明,當今全球殺毒軟體對80%的病毒無法起到識別作用,也就是說,殺毒軟體之所以能殺毒,純粹是根據病毒樣本的代碼特徵來識別他是否是病毒,就如警察抓住一個小偷,這個小偷留著大鬍子,於是警察就天天在街上盯著大鬍子的人。這樣的殺毒效果可想而知。同樣的道理,殺毒軟體對於木馬、間諜軟體的防範也是基於這種方式。
現在病毒、木馬的更新很快,從全球范圍內來看,能造成較大損失的病毒木馬,大部分都是新出現的,或者是各類變種,由於這些病毒木馬的特徵並沒有被殺毒軟體掌握,因此殺毒軟體對它們是既不能報警,也無法剿殺。難道我們就任病毒木馬宰割了嗎?當然不!高手豈能向幾個病毒木馬低頭!雖然殺毒軟體只能乾瞪眼,可是我們還有嚴守大門的防火牆呢!
防火牆為什麼就能擋住病毒木馬甚至是最新的病毒木馬變種呢?這就要從防火牆的防禦機制說起了。防火牆是根據連接網路的數據包來進行監控的,也就是說,防火牆就相當於一個嚴格的門衛,掌管系統的各扇門(埠),它負責對進出的人進行身份核實,每個人都需要得到最高長官的許可才可以出入,而這個最高長官,就是你自己了。每當有不明的程序想要進入系統,或者連出網路,防火牆都會在第一時間攔截,並檢查身份,如果是經過你許可放行的(比如在應用規則設置中你允許了某一個程序連接網路),則防火牆會放行該程序所發出的所有數據包,如果檢測到這個程序並沒有被許可放行,則自動報警,並發出提示是否允許這個程序放行,這時候就需要你這個「最高統帥」做出判斷了。一般來說,自己沒有運行或者不太了解的程序,我們一律阻攔,並通過搜索引擎或者防火牆的提示確認該軟體的性質。
寫到這里,大家估計對殺毒軟體和防火牆的區別有一定了解了,舉個直觀的例子:你的系統就好比一座城堡,你是這個城堡的最高統帥,殺毒軟體和防火牆是負責安全的警衛,各有分工。殺毒軟體負責對進入城堡的人進行鑒別,如果發現可疑的人物就抓起來(當然,抓錯的幾率很大,不然就沒有這么多誤殺誤報事件了);而防火牆則是門衛,對每一個進出城堡的人都進行檢查,一旦發現沒有出入證的人就向最高統帥確認。因此,任何木馬或者間諜軟體,或許可能在殺毒軟體的眼皮底下偷偷記錄你的帳號密碼,可是由於防火牆把城門看得死死的,再多的信息也傳不出去,從而保護了你的系統安全。
另外,對於黑客攻擊,殺毒軟體是沒有任何辦法的,因為黑客的操作不具有任何特徵碼,殺毒軟體自然無法識別,而防火牆則可以把你系統的每個埠都隱藏起來,讓黑客找不到入口,自然也就保證了系統的安全。
目前全球范圍內防火牆種類繁多,不過從個人經驗來說,推薦天網防火牆給大家。天網防火牆可以有效的防止黑客、木馬或者其他惡意程序盜取您的隱私包括:網上銀行、網路游戲、QQ等的帳號和密碼。
⑦ 在計算機網路系統中,防火牆技術的原理是什麼
什麼是防火牆?
防火牆就是一種過濾塞(目前你這么理解不算錯),你可以讓你喜歡的東西通過這個塞子,別的玩意都統統過濾掉。在網路的世界裡,要由防火牆過濾的就是承載通信數據的通信包。
天下的防火牆至少都會說兩個詞:Yes或者No。直接說就是接受或者拒絕。最簡單的防火牆是乙太網橋。但幾乎沒有人會認為這種原始防火牆能管多大用。大多數防火牆採用的技術和標准可謂五花八門。這些防火牆的形式多種多樣:有的取代系統上已經裝備的TCP/IP協議棧;有的在已有的協議棧上建立自己的軟體模塊;有的乾脆就是獨立的一套操作系統。還有一些應用型的防火牆只對特定類型的網路連接提供保護(比如SMTP或者HTTP協議等)。還有一些基於硬體的防火牆產品其實應該歸入安全路由器一類。以上的產品都可以叫做防火牆,因為他們的工作方式都是一樣的:分析出入防火牆的數據包,決定放行還是把他們扔到一邊。
所有的防火牆都具有IP地址過濾功能。這項任務要檢查IP包頭,根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖,兩個網段之間隔了一個防火牆,防火牆的一端有台UNIX計算機,另一邊的網段則擺了台PC客戶機。
⑧ 關於計算機網路安全和防火牆技術的書什麼比較權威啊
計算機網路安全目錄
基本信息
內容簡介
編輯本段基本信息
書 名:計算機網路安全
作者:顧巧論 賈春福 出版社: 清華大學出版社 出版時間: 2008 ISBN: 9787302091394 開本: 16 定價: 24.00 元
⑨ 計算機網路安全與防火牆技術
這個屬於網路安全,網路安全也就是防止駭客侵入電腦盜取機密。小方向說就是個人電腦,中個網頁木馬,盜取電腦上的網銀,游戲賬號,QQ號之類的,裝個殺毒軟體就算是一種安全保護,這樣上網的時候可以阻止一些木馬和病毒通過你瀏覽網頁下載資料就進入你的電腦。
再大一點范圍就是區域網的防範,可以阻止病毒蔓延,如果區域網開了共享,一台計算機中毒有可能所有計算機都中毒,殺毒工作量和難度就增加,還有可能損壞重要資料,甚至毀壞硬體。
更大范圍就是網際網路,如果駭客要侵入一個網站,或者一個銀行的後台系統,那麼就要盜取用戶名和密碼,這樣就可以更改破壞數據。
課題的難點就是現在的駭客技術日新月異,並且高級駭客還會自己編寫工具入侵,短時間內很難找到應對辦法。那麼網路安全就是以防範為主,防火牆有軟硬體防火牆,配置不同防範效果自然也是不一樣的,當然入侵也是要有漏洞才能入侵,最主要的還是減少電腦上的漏洞,關閉不常用的埠,駭客沒有可趁之機自然無法入侵成功。
網路發展,網路安全越來越重要,所以很多人研究,但是真正的高手很少。
未來的計算機普及以後網路安全會顯得尤其重要,只要用得上電腦網路的行業都會用的上網路安全。
比如說類似淘寶網店 銀行網銀 還有個大網站這些都需要非常嚴密的網路安全管理!一旦被入侵被破壞那就會損失或多或少的money
⑩ 簡述計算機網路安全技術中「防火牆」(firewall)的基本功能及技術分類。
一 防火牆基本原理
首先,我們需要了解一些基本的防火牆實現原理。防火牆目前主要分包過濾,和狀態檢測的包過濾,應用層代理防火牆。但是他們的基本實現都是類似的。
│ │---路由器-----網卡│防火牆│網卡│----------內部網路│ │
防火牆一般有兩個以上的網路卡,一個連到外部(router),另一個是連到內部網路。當打開主機網路轉發功能時,兩個網卡間的網路通訊能直接通過。當有防火牆時,他好比插在網卡之間,對所有的網路通訊進行控制。
說到訪問控制,這是防火牆的核心了:),防火牆主要通過一個訪問控製表來判斷的,他的形式一般是一連串的如下規則:
1 accept from+ 源地址,埠 to+ 目的地址,埠+ 採取的動作
2 deny ...........(deny就是拒絕。。)
3 nat ............(nat是地址轉換。後面說)
防火牆在網路層(包括以下的煉路層)接受到網路數據包後,就從上面的規則連表一條一條地匹配,如果符合就執行預先安排的動作了!如丟棄包。。。。
但是,不同的防火牆,在判斷攻擊行為時,有實現上的差別。下面結合實現原理說說可能的攻擊。
二 攻擊包過濾防火牆
包過濾防火牆是最簡單的一種了,它在網路層截獲網路數據包,根據防火牆的規則表,來檢測攻擊行為。他根據數據包的源IP地址;目的IP地址;TCP/UDP源埠;TCP/UDP目的埠來過濾!!很容易受到如下攻擊:
1 ip 欺騙攻擊:
這種攻擊,主要是修改數據包的源,目的地址和埠,模仿一些合法的數據包來騙過防火牆的檢測。如:外部攻擊者,將他的數據報源地址改為內部網路地址,防火牆看到是合法地址就放行了:)。可是,如果防火牆能結合介面,地址來匹配,這種攻擊就不能成功了:(
2 d.o.s拒絕服務攻擊
簡單的包過濾防火牆不能跟蹤 tcp的狀態,很容易受到拒絕服務攻擊,一旦防火牆受到d.o.s攻擊,他可能會忙於處理,而忘記了他自己的過濾功能。:)你就可以饒過了,不過這樣攻擊還很少的。!
3 分片攻擊
這種攻擊的原理是:在IP的分片包中,所有的分片包用一個分片偏移欄位標志分片包的順序,但是,只有第一個分片包含有TCP埠號的信息。當IP分片包通過分組過濾防火牆時,防火牆只根據第一個分片包的Tcp信息判斷是否允許通過,而其他後續的分片不作防火牆檢測,直接讓它們通過。
這樣,攻擊者就可以通過先發送第一個合法的IP分片,騙過防火牆的檢測,接著封裝了惡意數據的後續分片包就可以直接穿透防火牆,直接到達內部網路主機,從而威脅網路和主機的安全。
4 木馬攻擊
對於包過濾防火牆最有效的攻擊就是木馬了,一但你在內部網路安裝了木馬,防火牆基本上是無能為力的。
原因是:包過濾防火牆一般只過濾低埠(1-1024),而高埠他不可能過濾的(因為,一些服務要用到高埠,因此防火牆不能關閉高埠的),所以很多的木馬都在高埠打開等待,如冰河,subseven等。。。
但是木馬攻擊的前提是必須先上傳,運行木馬,對於簡單的包過濾防火牆來說,是容易做的。這里不寫這個了。大概就是利用內部網路主機開放的服務漏洞。
早期的防火牆都是這種簡單的包過濾型的,到現在已很少了,不過也有。現在的包過濾採用的是狀態檢測技術,下面談談狀態檢測的包過濾防火牆。狀態檢測技術最早是checkpoint提出的,在國內的許多防火牆都聲稱實現了狀態檢測技術。
可是:)很多是沒有實現的。到底什麼是狀態檢測?
一句話,狀態檢測就是從tcp連接的建立到終止都跟蹤檢測的技術。
原先的包過濾,是拿一個一個單獨的數據包來匹配規則的。可是我們知道,同一個tcp連接,他的數據包是前後關聯的,先是syn包,-》數據包=》fin包。數據包的前後序列號是相關的。
如果割裂這些關系,單獨的過濾數據包,很容易被精心夠造的攻擊數據包欺騙!!!如nmap的攻擊掃描,就有利用syn包,fin包,reset包來探測防火牆後面的網路。!
相反,一個完全的狀態檢測防火牆,他在發起連接就判斷,如果符合規則,就在內存登記了這個連接的狀態信息(地址,port,選項。。),後續的屬於同一個連接的數據包,就不需要在檢測了。直接通過。而一些精心夠造的攻擊數據包由於沒有在內存登記相應的狀態信息,都被丟棄了。這樣這些攻擊數據包,就不能饒過防火牆了。
說狀態檢測必須提到動態規則技術。在狀態檢測里,採用動態規則技術,原先高埠的問題就可以解決了。實現原理是:平時,防火牆可以過濾內部網路的所有埠(1-65535),外部攻擊者難於發現入侵的切入點,可是為了不影響正常的服務,防火牆一但檢測到服務必須開放高埠時,如(ftp協議,irc等),防火牆在內存就可以動態地天加一條規則打開相關的高埠。等服務完成後,這條規則就又被防火牆刪除。這樣,既保障了安全,又不影響正常服務,速度也快。!
一般來說,完全實現了狀態檢測技術防火牆,智能性都比較高,一些掃描攻擊還能自動的反應,因此,攻擊者要很小心才不會被發現。
但是,也有不少的攻擊手段對付這種防火牆的。