计算机网络技术专业的论文.doc

西北大学继续教育学院毕业论文摘 要由于计算机技术的飞速发展，计算机网络的应用也越来越广泛。然而随之而来的各种病毒的困扰及黑客行为的不断升级，网络安全已经成为了一个非常重要而且是必须考虑的问题之一了。通过对计算机网络安全存在的问题进行深入剖析，并提出了相应的安全防范技术措施。近年来，随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，计算机网络的安全性变得日益重要起来，由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素，致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与网络畅通，研究计算机网络的安全与防护措施已迫在眉捷。本人结合实际经验，对计算机网络安全与防护措施进行了探讨。关键词：网络安全,入侵检测 ,计算机,不安全因素,计算机网络目 录.第一章绪论61.1 计算机安全的定义61.2 对计算机网络安全的影响因素71.2.1 网络系统本身因素71.2.2来自内部网用户的安全威胁71.2.3缺乏有效的监视手段8第二章 计算机网络安全的防御措施82.1防火墙隔离控制技术82.2 VPN 虚拟专用网络92.3 防毒墙病毒过滤92.4采用入侵检测系统102.5 Web、 Email、Bbs的安全检测系统102.6 漏洞扫描系统102.7 IP 盗用问题的解决102.8利用网络监听维护子网系统安全.112.9 数据库的备份与恢复11第三章 计算机网络安全的对策113.1 技术层面对策113.2 管理层面对策123.3 物理安全层面对策13第四章 防火墙144.1 防火墙是什么144.2 防火墙的分类144.3 防火墙的发展历程144.4 防火墙的工作原理154.5 防火墙应该具备的特性154.6 防火墙主要技术164.7防火墙的分类164.7.1.包过滤型164.7.2.网络地址转化NAT164.7.3.代理型174.7.4.监测型174.8 常见攻击方式以及应对策略18五 结束语18致 谢19参考文献20 第一章 绪论以影响计算机网络安全的主要因素为突破口，重点分析防范各种不利于计算机网络正常运行的措施，从不同角度全面了解计算机网络安全的情况，做到心中有数，将不利因素解决在萌芽状态，确保计算机网络安全管理与有效运行。随着计算机网络的发展和internet的广泛普及，信息已经成为现在社会生活的核心。国家政府机和各企事业单位不仅大多建立自己的局域网系统，而且通过各种方式与互联网相连。通过上网树立形象拓展业务，已经成为政府办公，企业发展的重要手段。1.1 计算机安全的定义国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件，软件数据不因偶然和恶意的原因而遭到破坏，更改和泄露。”上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可以理解为我们常说的信息安全，是指对信息的保密性，完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性，完整性和可用性的保护。1.2 对计算机网络安全的影响因素计算机网络就是具有独立功能的多台计算机通过通信线路连接起来，在操作系统和网络通信协议的管理协调下，实现硬件资源共享、软件资源共享和用户间信息交换。在计算机网络运行的过程中就会发生安全问题，而在复杂的网络环境中要保障计算机网络的安全就必须了解影响计算机网络安全的几个因素。 1.2.1 网络系统本身因素操作系统是许多程序在计算机上运行的平台，如UNIX、MSNT、Windows等。网络操作系统给用户带来了很大便利，但同时也埋了下很大隐患。在操作系统上存在安全漏洞，具体是在操作系统的稳定性方面和可扩充性方面，由于设计的系统不规范，不协调，缺乏安全性考虑,因而是其受到影响。网络硬件的配置不协调，一是文件服务器。它是网络的中枢，其运行稳定性和功能的完善性直接影响网络系统的质量。二是网卡用工作站选配不当导致网络不稳定。另一方面网络的开放性、自由性和国际性决定了计算机网络将面临各方面的威胁，计算机可能在这种脆弱性面前被入侵者利用并遭受损失。所以建立有效的监视手段是十分必要的，同时能够减少和预防计算机受到危害。1.2.2来自内部网用户的安全威胁 来自内部网用户的安全威胁远远大于外部网用户的安全威胁，使用者缺乏安全意识，许多应用服务器系统在访问控制及安全通信方面缺乏考虑，并且如果系统设置错误，也很容易造成损失，管理制度不健全，网络管理维护任在一个安全设计充分的网络中，多是人为因素造成的。人为因素主要指人为地对计算机硬件造成破坏导致网络信息的丢失以及不法分子恶意地利用计算机网络的漏洞，使用窃听、冒充、篡改等手段，对其他计算机用户的网络资源进行盗取修改和破坏。人为因素是对计算机网络安全造成威胁的最大因素，出现人为因素的原因有很多, 除了网络用户的网络安全意识和防范技术有待增强外，同时也包括计算机网络本身的缺陷被恶意利用。另外，在很大程度上，网络用户本身的网络安全意识薄弱致使不法分子有机可乘，不良的上网习惯和有限的防范技术经常使病毒和间谍软件入侵至计算机，使自身的信息被盗用修改删除，可能造成利益上的损失1.2.3缺乏有效的监视手段 完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学准确的分析评估，并保障将要实施的安全策略技术上是可实现性，经济上的可行性和组织上的可执行性。网络安全评估分析是对网络进行检查，查找其中是否有可以被黑客利用的漏洞，对系统安全状态进行评估分析，并对发现的问题提出建议从而提高网络系统安全性能的过程，评估分析技术是一种非常行之有效的安全技术。一些网站在设置权限上过于疏忽，容易被黑客蓄意破坏和利用，黑客对网站的非授权访问是计算机网络环境面临的巨大威胁，被黑客利用的网站可以通过网页或免费下载的软件等传播病毒，可使系统工作效率降低，甚至会造成整个系统的瘫痪，极易导致数据的丢失。黑客的攻击手段在不断的更新，然而安全工具的更新速度太慢，绝大多数情况需要人为参与才能发现以前未知的安全问题，这是它们对新出现的安全问题总是反应太慢。第二章 计算机网络安全的防御措施 如何才能使我们的网络百分之百安全呢？这个问题最简单的回答是：百分百安全是不可能的。迄今为止还没有一种技术可以完全消除网络安全漏洞。网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。从广泛的网络安全意义范围看，网络安全不仅是技术问题，更是一个管理问题，它包含管理机构，法律，技术，经济各方面。 2.1防火墙隔离控制技术 防火墙是一种在网络通信时执行的一种尺度，允许防火墙同意访问的人和数据进入自己的内部网，即是一种隔离控制技术，通过预定义的安全策略，对内外网通信强制实施访问控制，常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过；状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性；应用网关技术在应用层实现，它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络，其目的在于隐蔽被保护网络的具体细节，保护其中的主机及其数据。这个是最主要的防范措施。后面一章重点讲防火墙技术。2.2 VPN 虚拟专用网络 VPN（Virtual Private Network）即虚拟专用网络，它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接，并保证数据的安全传输。为了保障信息的安全，VPN 技术采用了鉴别、访问控制、保密性和完整性等措施，以防止信息被泄露、篡改和复制。VPN技术可以在不同的传输协议层实现，如在应用层有SSL 协议，它广泛应用于Web 浏览程序和Web 服务器程序，提供对等的身份认证和应用数据的加密；在会话层有Socks 协议，在该协议中，客户程序通过Socks 客户端的1080 端口透过防火墙发起连接，建立到Socks 服务器的VPN 隧道；在网络层有IPSec 协议，它是一种由IETF 设计的端到端的确保IP 层通信安全的机制，对IP 包进行的IPSec处理有AH（Authentication Header）和ESP（Encapsulating Security Payload）两种方式。2.3 防毒墙病毒过滤在网络环境下，病毒传播扩散快，仅使用单机防御病毒产品已经很难彻底清除网络病毒必须有适合于局域网的全方位防御病毒产品。防毒墙是指位于网络入口处，用于对网络传输中的病毒进行过滤的网络安全设备。防火墙能够对网络数据流连接的合法性进行分析，但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的，因为它无法识别合法数据包中是否存在病毒这一情况；防毒墙则是为了解决防火墙这种防毒缺陷而产生的一种安全设备。防毒墙使用签名技术在网关处进行查毒工作，阻止网络蠕虫（Worm）和僵尸网络（BOT）的扩散。此外，管理人员能够定义分组的安全策略，以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的IP/MAC 地址，以及TCP/UDP 端口和协议。2.4采用入侵检测系统入侵检测技术是保证计算机系统的安全面设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望的活动，从而达到限制这些活动，以保证系统的安全。2.5 Web、 Email、Bbs的安全检测系统 在网络的www服务器，email服务器等中使用网络安全监测系统实时跟踪监视网络，截获internet网上传输的内容，并将其还原成完整的www,email ftp telnet应用的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全管理中心报告，采取措施。2.6 漏洞扫描系统 漏洞扫描系统.解决网络层安全问题,首先要清楚网络中存在哪些安全 隐患,脆弱点.面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员 的技术和 经验寻找安全漏洞,做出风险评估,显然是不现实的.解决的方案是, 寻找一种能查找网络安全漏洞,评估并提出修改建议的网络 安全扫描工具,利 用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安 全隐患.在要求安全程度不高的情况下,可以利用各种黑客工具,对 网络模拟 攻击从而暴露出网络的漏洞. 2.7 IP 盗用问题的解决在路由器上捆绑 IP 和 MAC 地址.当某个 IP 通过 路由器访问 Internet 时,路由器要检查发出这个 IP 广播包的工作站的 MAC 是 否与路由器上的 MAC 地址表相符,如果相符就放行.否则不允许通过路由器,同 时给发出这个 IP 广播包的工作站返回一个警告信息.2.8利用网络监听维护子网系统安全.对于网络外部的入侵可以通过安装防 火墙来解决,但是对于网络内部的侵袭则无能为力.在这种情况下,我们可以采 用对各个 子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运 作状态提供依据.设计一个子网专用的监听程序.该软件的主要功能为长期监听 子网络内计算机 间相互联系的情况, 为系统中各个服务器的审计文件提供备份.2.9 数据库的备份与恢复 数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略：只备份数据库、备份数据库和事务日志、增量备份。 第三章 计算机网络安全的对策3.1 技术层面对策对于技术方面，计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来，技术层面可以采取以下对策： 1) 建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息，严格做好开机查毒，及时备份数据，这是一种简单有效的方法。2) 网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。3) 数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略：只备份数据库、备份数据库和事务日志、增量备份。4) 应用密码技术。应用密码技术是信息安全核心技术，密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一，密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。5) 切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理，不使用来历不明的U 盘和程序,不随意下载网络可疑信息。6) 提高网络反病毒技术能力。通过安装病毒防火墙，进行实时过滤。对网络服务器中的文件进行频繁扫描和监测，在工作站上采用防病毒卡，加强网络目录和文件访问权限的设置。在网络中，限制只能由服务器才允许执行的文件。7) 研发并完善高安全的操作系统。研发具有高安全的操作系统，不给病毒得以滋生的温床才能更安全。3.2 管理层面对策计算机网络的安全管理，不仅要看所采用的安全技术和防范措施，而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合，才能使计算机网络安全确实有效。计算机网络的安全管理，包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念，提高计算机用户的安全意识，对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰，是十分重要的措施。这就要对计算机用户不断进行法制教育，包括计算机安全法、计算机犯罪法、保密法、数据保护法等，明确计算机用户和系统管理人员应履行的权利和义务，自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则，自觉地和一切违法犯罪的行为作斗争，维护计算机及网络系统的安全，维护信息系统的安全。除此之外，还应教育计算机用户和全体工作人员，应自觉遵守为维护系统安全而建立的一切规章制度，包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。3.3 物理安全层面对策要保证计算机网络系统的安全、可靠，必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施，主要包括以下内容：1) 计算机系统的环境条件。计算机系统的安全环境条件，包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面，都要有具体的要求和严格的标准。2) 机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地，要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性，避开强振动源和强噪声源，并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。3) 机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全，首先，应考虑物理访问控制来识别访问用户的身份，并对其合法性进行验证；其次，对来访者必须限定其活动范围；第三，要在计算机系统中心设备外设多层安全防护圈，以防止非法暴力入侵；第四设备所在的建筑物应具有抵御各种自然灾害的设施。第四章 防火墙4.1 防火墙是什么 防火墙就是一个位于计算机和它所连接的网络之间的软件。 该计算机流入流出的所有网 络通信均要经过此防火墙。 4.2 防火墙的分类 防火墙又大致分为硬件防火墙和软件防火墙:硬件防火墙是指把防火墙程序做到芯片里 面，由硬件执行这些功能，能减少 CPU 的负担，使路由更稳定。硬件防火墙一般都有 WA N、LAN 和 DMZ 三个端口，还具有各种安全功能，价格比较高，企业以及大型网络使用得 比较多。 软件防火墙其实就是安全防护软件，比如天网防火墙、 金山网镖、 蓝盾防火墙等等。 4.3 防火墙的发展历程 目前的防火墙无论从技术上还是产品发展历程上， 都经历了五个发展阶段。 第一代防火 墙技术几乎与路由器同时出现，采用了包过滤技术。1989 年，贝尔实验室的 Dave Presotto 和 Howard Trickey 推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙 应用层防火墙（代理防火墙）的初步结构。第四代防火墙是 1992 年，USC 信息科学院的 B obBraden 开发出了基于动态包过滤技术的第四代防火墙，后来演变为目前所说的状态监视 技术。1994 年，以色列的 CheckPoint 公司开发出了第一个采用这种技术的商业化的产品。 第五代防火墙是 1998 年，NAI 公司推出了一种自适应代理技术，并在其产品 Gauntlet Fire wall for NT 中得以实现，给代理类型的防火墙赋予了全新的意义。高级应用代理的研究，克服速度和安全性之间的矛盾，可以称之为第五代防火墙。前五代防火墙技术有一个共同的 特点，就是采用逐一匹配方法，计算量太大。包过滤是对 IP 包进行匹配检查，状态检测包 过滤除了对包进行匹配检查外还要对状态信息进行匹配检查，应用代理对应用协议和应用数 据进行匹配检查。因此，它们都有一个共同的缺陷，安全性越高，检查的越多，效率越低。用一个定律来描述，就是防火墙的安全性与效率成反比。 4.4 防火墙的工作原理 所有的防火墙至少都会说两个词：Yes 或者 No。也就就是接受或者拒绝。最简单的防火墙是以太网桥。 但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的 TCP/ IP 协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系 统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如 SMTP 或者 HTTP 协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可 以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是 把他们扔到一边。所有的防火墙都具有 IP 地址过滤功能。这项任务要检查 IP 包头，根据其 IP 源地址和目标地址作出放行/丢弃决定。 4.5 防火墙应该具备的特性当前的防火墙需要具备如下的技术、功能、特性，才可以成为企业用户欢迎的防火墙产品：1、安全、成熟、国际领先的特性；2、具有专有的硬件平台和操作系统平台；3、采用 高性能的全状态检测（Stateful Inspection）技术；4、具有优异的管理功能，提供优异的G UI 管理界面；5、支持多种用户认证类型和多种认证机制；6、需要支持用户分组，并支持 分组认证和授权；7、支持内容过滤；8、支持动态和静态地址翻译(NAT；9、支持高可用性， 单台防火墙的故障不能影响系统的正常运行；10、支持本地管理和远程管理；11、支持日志 管理和对日志的统计分析；12、实时告警功能，在不影响性能的情况下，支持较大数量的连 接数；13、在保持足够的性能指标的前提下，能够提供尽量丰富的功能；14、可以划分很多 不同安全级别的区域，相同安全级别可控制是否相互通讯；15、支持在线升级；16、支持虚 拟防火墙及对虚拟防火墙的资源限制等功能；17、防火墙能够与入侵检测系统互动。4.6 防火墙主要技术 先进的防火墙产品将网关与安全系统合二为一，具有以下技术：双端口或三端口的结构；透明的访问方式；灵活的代理系统；多级的过滤技术；网络地址转换技术（NAT）；Internet 网关技术；安全服务器网络（SSN）；用户鉴别与加密；用户定制服务；审计和告警。4.7防火墙的分类防火墙的根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和监测型。 4.7.1.包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。 4.7.2.网络地址转化NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。 4.7.3.代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。 4.7.4.监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品，虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。 4.8 常见攻击方式以及应对策略 1 病毒 策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程序；或者通过常用 的基于主机的安全方法来保护网络。2 口令字对口令字的攻击方式有两种：穷举和嗅探。穷举针对来自外部网络的攻击，来猜测防火墙管理的口令字。嗅探针对内部网络的攻击，通过监测网络获取主机给防火墙的口令字。策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）、采用一次性口令或禁止直接登录防火墙。 3 邮件 来自于邮件的攻击方式越来越突出，在这种攻击中，垃圾邮件制造者将一条消息复制成成千 上万份，并按一个巨大的电子邮件地址清单发送这条信息，当不经意打开邮件时，恶意代码 即可进入。 策略：打开防火墙上的过滤功能，在内网主机上采取相应阻止措施。 4 IP 地址 黑客利用一个类似于内部网络的 IP 地址，以“逃过”服务器检测，从而进入内部网达到攻 击的目的。 策略：通过打开内核 rp_filter 功能，丢弃所有来自网络外部但却有内部地址的数据包；同时 将特定 IP 地址与 MAC 绑