论文计算机网络安全与防火墙专业技术.doc

计算机网络安全与防火墙技术计算机网络安全与防火墙技术海浪 12151833 摘要:计算机网络的不断发展,加快了我国企业和全社会信息化的脚步,同时网络安全问题已成为信息时代人类共同面临的挑战,网络安全问题也日益突出。全面分析了目前计算机网络安全问题海浪,通过在网络上使用数据加密、网络存取控制等安全策略,以及运用防火墙技术来提高网络安全性能,从而保证网络的安全。关键词:网络安全;策略;防火墙技术;包过滤Computer network security and firewall technology Yang Chengmin (Computer College & China West Normal University,Nanchong 623000,Sichuan)Abstract: With the development of computer network,network security has become one of the most important problems in todays information，the issue of network security is increasingly conspicuous.A comprehensive analysis of the current computer network security issues, the network through the use of data encryption, access 海浪control, network security strategy, and the use of firewall technology to improve network security, thus ensuring network security.Key words: network security; strategy; firewall technology; packet filtering一、引言随着计算机应用范围的扩大和计算机网络的飞速发展,计算机信息技术正在不断改变着人们的工作、学习和生活方式,使人们的工作效率大为提高,信息资源得到最大程度的共享。但必须看到,紧随信息技术的发展而带来的网络安全问题日渐突出,如果不很好地解决这个问题,必将阻碍计算机网络化发展的进程，同时也会产生很多不必要的经济损失（附录一）。二、网络安全网络安全概述:目前网络信息安全不仅从一般性的防卫变成了一种非常普遍的防范，而且还从一种专门的领域变成了无处不在。当人类步入世纪这一信息社会、网络社会的时候，我国将建立起一套完整的海浪网络安全体系，特别是从政策上和法律上建立起有自己特色的网络安全体系。信息安全体系实际上包括国家的法规和政策，以及技术与市场的发展平台。在构建信息防卫系统时，应着力发展自己独特的安全产品，网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会各方面的延伸，进入网络的手段也越来越多。因此，网络安全技术是一个十分复杂的系统工程，安全产业将来也是一个随着新术发展而不断发展的产业。信息安全是网络发展所面临的一个重要的作用.(一 )网络安全的定义 网络安全从本质上来讲就是网络上的信息安全,就是指网络系统中流动和保存的数据,不受到偶然的或者恶意的破坏、泄露、更改,系统连续正常的工作,网络服务不中断。从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。 (二 )影响网络的安全因素网络中的主机可能会受到非法海浪入侵者的攻击,网络中的敏感数据有可能泄露或被修改,从内部网向公共网传送的信息可能被他人窃听或篡改等等。以上这些影响网络安全的隐患都是网络系统自身存在的安全弱点和系统在使用管理过程中的失误或疏漏而导致的。影响网络安全的主要因素包括:1. 信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。 2. 信息被篡改。这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。3. 传输非法信息流。只允许用户同海浪其他用户进行特定类型的通信,但禁止其它类型的通信,如允许电子邮件传输而禁止文件传送。4. 网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或故意地破坏。5. 非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。6. 环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。7. 软件漏洞。软件漏洞包括以下几个方面:操作系统、数据库及应用软件、TCP/IP协议、网络软件和服务、密码设置等的安全漏洞。这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果。8. 人为安全因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为泄露系统的关键信息,则其造成的安全后果是难以估量的。这主要表现在管理措施不完善,安全意识淡薄,管理人员的误操作等。三、目前主要的网络安全策略 安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。网络系统随时会受到各种攻击,安全策略也在不断的完善,使用单一的安全策略不可能很好地对系统起到海浪保护作用,往往需要多种措施配合使用。(一 )数据加密（附录二）数据加密是网络系统中一种比较有效的数据保护方式,目的是为了防止网络数据的篡改、泄露和破坏。通常数据加海浪密采用链路加密、端端加密、节点加密和混合加密方式。1. 链路加密链路加密是传输数据仅在物理层前的数据链路层进行加密。接收方是传送路径上的各台节点机，信息在每台节点机内都要被解密和再加密，依次进行，直至到达目的地。使用链路加密装置能为某链路上的所有报文提供传输服务。即经过一台节点机的所有网络信息传输均需加海浪、解密，每一个经过的节点都必须有密码装置，以便解密、加密报文。如果报文仅在一部分链路上加密而在另一部分链路上不加密，则相当于未加密，仍然是不安全的。与链路加密类似的节点加密方法，是在节点处采用一个与节点机相连的密码装置（被保护的外围设备）,密文在该装置中被解密并被重新加密，明文不通过节点机，避免了链路加密关节点处易受攻击的缺点。对于在两个网络节点间的某一次通信链路,链路加密能为网上传输的数据提供安全保证。对于链路加行海浪解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。所有消息在被传输之前进行加密,在每一个节点对接收到的消息进的地之前,一条消息可能要经过许多通信链路的传输。 由于在每一个中间传输节点消息均被解密后重新进行加密,因此,包括路由信息在内的链路上的所有数据均以密文形式出现。这样,链路加密就掩盖了被传输消息的源点与终点。由于填充技术的使用以及填充字符在不需要传输数据的情况下就可以进行加密,这海浪使得消息的频率和长度特性得以掩盖,从而可以防止对通信业务进行分析。 尽管链路加密在计算机网络环境中使用得相当普遍,但它并非没有问题。链路加密通常用在点对点的同步或异步线路上,它要求先对在链路两端的加密设备进行同步,然后使用一种链模式对链路上传输的数据进行加密。这就给网络的性能和可管理性带来了副作用。 在线路/信号经常不通的海外海浪或卫星网络中,链路上的加密设备需要频繁地进行同步,带来的后果是数据丢失或重传。另一方面,即使仅一小部分数据需要进行加密,也会使得所有传输数据被加密。 在一个网络节点,链路加密仅海浪在通信链路上提供安全性,消息以明文形式存在,因此所有节点在物理上必须是安全的,否则就会泄漏明文内容。 2. 端端加密 端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密(又称脱线加密或包加密),消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。 端到端加密系统的价格便宜些,并且与链路加密和节点加密相比更可靠,更容易设计、实现和维护。端海浪到端加密还避免了其它加密系统所固有的同步问题,因为每个报文包均是独立被加密的,所以一个报文包所发生的传输错误不会影响后续的报文包。此外,从用户对安全需求的直觉上讲,端到端加密更自然些。单个用户可能会选用这种加密方法,以便不影响网络上的其他用户,此方法只需要源和目的节点是保密的即可。 端到端加密系统通常不允许对消息的目的地址进行加密,这是因为每一个消息所经过的节点都要用此地址来确定如何传输消息。由于这种加密方法不能掩盖被传输消息的源点与终点,因此它对于防止攻击者分析通信业务是脆弱的。3. 节点加密 尽管节点加密能给网络数据提供较高的安全性,但它在操作方式上与链路加密是类似的两者均在通信链路上为传输的消息提供安全性;都在中间节点先对消息进行解密,然后进海浪行加密。因为要对所有传输的数据进行加密,所以加密过程对用户是透明的。 然而,与链路加密不同,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。 节点加密要求报头和路由海浪信息以明文形式传输,以便中间节点能得到如何处理消息的信息。因此这种方法对于防止攻击者分析通信业务是脆弱的。4. 混合加密 混合加密是采用链路加密和端端加密相结合的混合加密方式,可以有效的保护报头中的敏感数据,获得更高的安全性。(二 )网络存取控制（附录三）网络的存取控制就是对海浪网络上的用户进行身份识别,防止非法用户进入系统而使数据泄密或破坏网络数据。目前的存取控制方法较多,但常用的技术有:身份识别、数字签名、存取权限控制等。1. 身份识别。身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段,用户向其系统请求服务时,要出示自己的身份证明,例如输入UserID和Password。而系统应具备查验用户的海浪身份证明的能力,对于用户的输入,能够明确判别该输入是否来自合法用户。2. 数字签名。数字签名是采用电子形式的签名,可以用密码形式实现,安全性更高。数字签名方式可以用单密钥和双密钥体制。单密钥数字签名体制加密和解密使用的密码密钥不能公开。双密钥数字签名体制是两个用户登记公开密钥,作为对方验证签名的依据之一,用户双方都有自已的海浪保密密钥,可以对发送的数据保密。3. 存取权限控制。其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。在开放系统中,网上资源的使用应制订一些规定:一是定义哪些用户可以访问哪些资源,二是定义可以访问的用户各自具备的读、写、操作等权限。4. 灾难恢复策略。备份策略是网络系统最常用的灾海浪难恢复策略,对于服务器上的数据,管理人员应经常备份。备份可以采用本机上备份,也可以采用网络备份。备份要经常进行,尽量远离服务器,在其他房间单独存放,以免由于盗窃、火灾等原因导致备份的数据丢失。四、防火墙技术网络防火墙技术概述：是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态，是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件海浪或文件，以及无法防范数据驱动型的攻击。 作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关（代理服务器）以及电路层网关、屏蔽主机防火墙、双宿主机等。根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、网络地址转换、代理型和监测型。 (一 )防火墙的定义 防火墙是一种将内部网和公开网分开的方法,实质上是一种隔离技术。目前防火墙已成为世界上用得最多的网络产品之一。防火墙是保护网络安全最主要的手段之一,近年来防火墙技术取得海浪了很大的进展,各种防火墙技术应运而生。 (二 )防火墙技术分析 根据防火墙所采用的技术不同,可以将它分为四种类型:包过滤型、网络地址转换-NAT、代理型、检测型等。1. 包过滤型。包过滤型防火墙是防火墙的海浪初级产品, 其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外，系统管理员也可以根据实际情况灵活制订判断规则。包过滤的优点是:简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。包过滤的缺点: 它是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断,不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略;不能防范黑客攻击,不支持应用层协议,不能处理海浪新的安全威胁。如:恶意的小程序以及电子邮件中附带的病毒，有经验的黑客很容易伪造地址，骗过包过滤型防火墙。2. 网络地址转换-NAT。网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP地址标准,用户必须要为网络中每一台机器取得注册的IP地址。它允许具有私有地址的内部网络访问因特网。在内部网络通过安全网卡访问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是海浪否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。否则防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。3. 代理型防火墙。代理型防火墙也可以称为代理服务器，它的安全性要高于包过滤型产品，并且是工作在OSI的最高层即应用海浪层。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有海浪效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。4. 检测型防火墙。检测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。它采用的一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。这种动态海浪连接表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息.它能够对各层的数据进行主动的、实时的监测、有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节之中，不仅能够检测来自网络外部海浪的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，检测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本海浪较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。实际上，作为当前防火墙产品的主