《网络安全技术综述》Word文档下载推荐.docx
- 文档编号:19732618
- 上传时间:2023-01-09
- 格式:DOCX
- 页数:44
- 大小:1.72MB
《网络安全技术综述》Word文档下载推荐.docx
《《网络安全技术综述》Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《《网络安全技术综述》Word文档下载推荐.docx(44页珍藏版)》请在冰豆网上搜索。
1.1.2网络安全的基本要素简述2
1.1.3网络安全的重要性3
1.1.4网络安全的模型3
1.1.5网络安全脆弱的原因4
2、网络信息安全防范技术分析比较与发展趋势6
2.1网络信息安全防范技术解析与差别6
2.2网络安全技术发展趋势分析11
2.2.1防火墙技术发展趋势11
2.2.2入侵检测技术发展趋势13
2.2.3防病毒技术发展趋势13
3、防火墙简介15
3.1防火墙的概述15
3.1.1防火墙的概念15
3.1.2防火墙的功能15
3.2防火墙技术16
3.2.1防火墙的分类16
3.2.2防火墙的优、缺点16
3.3防火墙技术在网络安全中的应用17
3.3.1防火墙在企业网络中的应用18
3.3.2防火墙技术在局域网中的应用19
3.3.3防火墙技术在个人电脑上的应用19
4、网络安全技术工具的比较与分析21
4.1网络安全技术工具的比较21
4.2对目前网络安全技术工具的测试与分析26
5、防火墙的设计31
5.1需求分析31
5.2功能模块介绍31
5.3详细设计32
结束语36
参考文献37
致谢38
附录39
摘要
互联网给我们带来了极大的便利。
然而,伴随着互联网的空前发展以及互联网技术的普及的同时也让我们面临这样一种困境:
用户的私人数据、企业的重要资源以及政府机密等信息都被暴露在公共网络空间之下,随之而来的网络安全问题越来越引起人们的关注。
如果计算机系统遭受了破坏,则会给使用者造成重大损失,严重的将会影响企业的工作开展。
加强网络安全学习和管理,是每一个电脑使用者必须去做的。
本文主要分析了计算机网络安全的一些基本技术,包括各种技术之间的论述和比较,着重对防火墙技术作了详细的介绍,对当前的网络安全技术工具进行了举例和分析,并对本次设计防火墙进行了简单的说明。
关键词:
网络安全,防火墙技术,防火墙设计
Abstract
TheInternethasbroughtusgreatconvenience.However,alongwiththeunprecedenteddevelopmentoftheInternetandthepopularityoftheInternettechnologyalsoallowsustofacesuchadilemma:
theuser'
sprivatedata,enterprisesresourcesandaconfidentialgovernmentinformationhavebeenexposedunderthepublicnetworkspace,followedbyfromtheissueofnetworksecurityhasdrawnincreasingattention.Ifthecomputersystemhassuffereddamage,andgiveusersacauseofsignificantlosses,seriouswillaffectthework.Strengthenthestudyandmanagementofnetworksecurity,acomputerusermustdo.
Thispaperanalyzesthesecurityofcomputernetworkofsomeofthebasictechnology,includingavarietyoftechnologybetweenthediscussionandcomparison,focusingonthefirewalltechnologyisintroducedindetailinthispaper,thecurrentnetworksecuritytechnologytoolsareillustratedandanalyzed,andthedesignoffirewallforasimpleexplanation.
Keywords:
Networksecurity,Firewall,Firewalldesign
引言
随着全球信息化的飞速发展,计算机技术也是飞速的发展的,以互联网为代表的信息网络技术的应用越来越普及,从传统的小型业务系统,并逐渐向大型关键业务系统扩展,信息网络已经深入并将继续深入到国家的政府、军事、文教、金融、商业等诸多领域,可以说网络无处不在,他正在以自己独有的特点改变着我们的工作方式和生活方式。
网络的不断发展,方便了人和人之间的交流,让人们的生活节奏变得越来越快,我们也渐渐的适应了快速的通信生活。
缘于信息的高速、便捷的特点,人们都乐于使用高科技的先进的技术进行通信,这让我们的生活向着高速化方向发展。
网络信息的普及给我们带来很多好处,但同样也带来了一些问题,安全渐渐的成为影响网络性能的一个重要问题。
据有关数据显示,信息安全已成为一个非常严重的社会问题,并引起了人们足够的重视。
互联网所具备的自由性、开放性、国际性对安全也提出了更高的要求。
国际性计算机犯罪在最近几年来在数量上急剧增加,国内形势也不容乐观,信息犯罪案件也在加速上升,可以说,计算机犯罪已经成为一个全球性的问题。
在信息技术不断更行换代的今天,需要注意的是,在我们充分利用网络的有利资源的同时,还应该加强网络安全的防范,而加强防火墙技术的发展对网络安全能够得到相当好的维护作用。
网络安全化会使我们的生活更加的丰富,使通讯更加安全,让信息快速的发展。
1、网络安全概述
1.1网络安全的简介
1.1.1网络安全的定义
国际标准化组织(ISO)引用ISO74982文献中对安全的定义是这样的:
安全就是最大程度地减少数据和资源被攻击的可性。
从本质上说,网络的安全和信息的安全等同,指的是网络系统的软硬件和系统中的数据受到保护,不受各种偶然的或者恶意的网络攻击而遭到损坏、修改、删除等,系统连续可靠正常地运行,网络服务不中断。
从广泛意义上讲,凡是涉及到网络上信息的完整性、保密性、可控性,可用性和不可否认性的相关技术和理论都是网络安全所要进行研究的领域。
1.1.2网络安全的基本要素简述
网络安全的基本要素一般包括,机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(controllability)和不可否认性(Non-Repudiation)[1]。
1.机密性
机密性在传统说法上就是保密性,是用来指保证信息不会被非授权用户访问,也就是说即使非授权用户得到信息也无法知道信息的内容,从而不能对信息进行使用,对信息造成破坏。
2.完整性
完整性是指访问者只有在得到允许是情况下才能对实体或是进程进行修改,并且能够对实体或者进程是否已被修改做出判定。
3.可用性
可用性是信息资源服务功能和性能可靠性的度量,它一方面涉及到物理、网络、系统、数据、应用和用户等多方面的因素,另一方面是对信息网络总体可靠性的要求。
4.可控性
可控性主要指国家对信息的监视设计,个人一般是不可能对网络信息进行控制的。
5.不可否认性
不可否认性是对出现的安全问题提供调查的依据和手段[7]。
1.1.3网络安全的重要性
随着计算机技术的飞速发展,以互联网为代表的信息网络技术的应用正日益普及,应用领域从原来的小型业务系统,逐渐向大型关键业务系统扩展,其涉及到金融、商业、生物工程、太空研究等诸多领域,可以说网络无处不在,它正以自己独特的方式改变我们的工作方式和生活方式。
正如美国前总统克林顿所说:
“今后的时代,控制世界的国家将不是靠军事,而是信息能力走在前面的国家”[12]。
我们不能不相信,因为正如我们所看到的21世纪所发生的战争,一开始都不是狂轰乱炸,而是先进行军事情报搜集分析,这离不开高科技的网络技术,信息时代的出现,将从根本上改变战争的方式。
网络以其开放性、共享性的特征,对社会的影响也越来越大,尤其是在网络得到快速普及的今天。
目前网络上兴起的各种新业务,比如电子商务、网络银行、电子政务、电子货币以及各种专用网络的建设,使得各种机密信息的安全问题越来越受关注。
计算机犯罪事件也在逐年攀升,并已成为普遍的全球性问题。
1.1.4网络安全的模型
目前,大多数的通信模型如下图所示:
图1-1网络安全模型
如果用户在信息传输的过程希望得到保护,不使信息受到攻击者对传输信息造成威胁或者攻击,这时安全性特征就产生作用了。
我们把提供安全性的所有技术大致分为两个部分:
1、对将被发送的信息进行安全性相关的变换,包括消息的加密,通过加密搅乱了该消息,使攻击者不可读;
2、增加基于该消息内容的代码,使之能够用于证实发送者的身份。
这个一般模型表明,在设计特殊安全性服务时有四个基本任务:
设计一个算法来执行安全性相关的转换,该算法应当使对手不能破坏该算法的目的。
生成用于该算法的秘密信息。
研制秘密信息的分布和共享的方法。
指定由两个责任者使用的协议,该协议利用安全算法和秘密信息以取得一种特殊的安全服务。
1.1.5网络安全脆弱的原因
1.开放性的网络环境
正如一句非常经典的话:
“Internet的美妙之处在于你和每个人都能互相连接,Internet的可怕之处在于每个人都能和你相互连接[12]。
”
由于网络建立之初只考虑它所应具有的方便性、开放性,并没有考虑网络的总体安全。
所以,开放性的网络,导致网络的技术对每一个网络用户都是开放的,他们都有可能接入,这样网络所要面临的破坏和攻击就会来自多方面,例如,这种攻击可能是对网络设备的攻击,也可能是对软件系统的攻击,还有可能是对传输线路的攻击,各种攻击神出鬼没,让管理者很难察觉,也很难管理与维护。
还有就是Internet是不分国界的,在我们可以享用更多网络资源的同时也就意味着我们将面临来自本地网络用户的攻击和来自Internet上的任意一台机器的攻击。
Internet是个模拟出来的虚拟世界,你不知道和你相连接的一端是谁,同样他人也不知道和自己相连的是谁。
在这个虚拟的世界里,界限和法律基本上是不存在的,所在各种网络攻击也就无处不在。
2.源于协议本身的挑战
有网络传输就有网络传输协议的存在,每一种网络传输协议都有不同的层次、不同方面的漏洞,被广大用户使用的TCP/IP也不例外的存在着自身的漏洞。
下面将从几方面讨论针对TCP/IP协议各个层次的攻击。
(1)网络应用层服务的安全隐患。
如攻击者可以利用FTP(文件传输协议)、Login、Finger(是UNIX系统中用于查询用户情况的实用程序,Dos也有此命令)、Whois(域名查询)、WWW等服务来获取信息或取得权限。
(2)IP层通信系统的易欺骗性。
由于TCP/IP本身存在的缺陷,IP层数据包是不需要认证的,攻击者可以假冒别的用户进行通信,即IP欺骗。
(3)数据传输机制。
由于局域网中以太网协议的数据传输机制是广播发送,这就使得系统和网络具有易被监视性。
在网络上,黑客能用嗅探软件听到口令和其他敏感信息,从而对网络实行攻击。
3.操作系统存在漏洞
使用网络离不开操作系统,操作系统的安全性对网络安全同样有非常重要的影响,有很多攻击方法都是从寻找操作系统缺陷入手的。
操作系统的缺陷有以下几个方面。
(1)系统模型本身的缺陷。
这是由于系统设计初期,对系统模型设计不完善,考虑不周全而造成的,无法通过修改操作系统程序的源代码来弥补。
(2)操作系统的源代码存在Bug。
任何程序都会有Bug,操作系统作为计算机的一个程序也不会例外。
(3)操作系统程序配置不正确。
一般操作系统的默认设置都是比较简单的,容易受到入侵者的攻击,可是要进行安全配置的设置不仅复杂而且还需要配置人员要具有相当强的安全知识,大多数的用户并不具备这方面的才能,操作系统提供的这些功能在得不到正确配置的情况下是很危险的,这会让操作系统的安全存在缺陷隐患。
(4)安全管理知识的缺乏也是影响网络安全的一个重要因素。
许多公司和用户对网络安全不够重视,意识也比较薄弱,这些因素也会影响到网络的安全。
2、网络信息安全防范技术分析比较与发展趋势
2.1网络信息安全防范技术解析与差别
网络安全性很广,但网络安全性主要可以被粗略地分为四个相互联系的部分:
保秘、反拒认、鉴别和完整性控制。
提及保密人们时常想到的就是保护信息不被没有权限的用户访问。
保密和完整性的实现主要是通过使用注册过的邮件和文件锁。
鉴别主要指在揭示主要信息或进行事务处理之前先确认对方的身份。
而反拒认与签名有关。
(一)网络认证技术
1.网络认证协议是由美国麻省理工学院提出的基于可信赖的第三方的认证系统。
该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。
在以上情况下,网络认证协议作为一种可信任的第三方认证服务,是通过传统的密码技术(如:
共享密钥)执行认证服务的。
2.双因素的认证,除口令外,还必须拥有系统颁发的令牌访问设备,当用户向系统登录时,用户除输人口令外,还必须输入令牌访问设备所显示的数字,该数字与认证服务器同步,不断变化。
这种方法比基于口令的认证方法具有更好的安全性,在一定程度上解决了口令认证方法中的问题
3.x.509证书及认证框架,国际电信联盟的X.509定义了一种提供认证服务的框架。
采用基于X.509证书的认证技术类似于Kerberos技术,它也依赖于共同信赖的第三方来实现认证。
所不同的是它采用非对称密码体制,实现上更加简单明了。
这里可信赖的第三方是指称为CA(CertificateAuthority)的认证机构。
该认证机构负责认证用户的身份并向用户签发。
数字证书遵循X.509标准所规定的格式,因此称为X.509证书。
持有此证书的用户就可以凭此证书访问那些信任CA的服务器。
X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。
一个用户有两把密钥:
一把是用户的专用密钥,另一把是其他用户都可利用的公共密钥。
用户可用常规密钥(如DES)为信息加密,然后再用接收者的公共密钥对DES进行加密并将之附于信息之上,这样接收者可用对应的专用密钥打开DES密锁,并对信息解密。
这样是很实用的。
4.口令认证,当网络需要时,被认证对象要求访问提供服务的系统时,提供服务的认证方要求被认证对象提交该对象的口令,认证方收到口令后,将其与系统中存储的用户El令进行相关的比较,以确认被认证对象是否为合法访问者。
这种认证方法的优点在于:
一般的系统都提供了对口令认证的支持,对于封闭的小型系统来可以说是一种简单可行的方法[7]。
然而,基于口令的认证方法存在下面几点不足:
①系统中所有用户的口令以文件形式存储在认证方,攻击者可以利用系统中存在的漏洞获系统的口令文件。
②用户每次访问系统时都要以明文方式输入口令,这时很容易泄密。
③口令在传输过程中可能被截获。
④只能进行单向认证,即系统可以认证用户,而用户无法对系统进行认证。
攻击者可能伪装成系统骗取用户的口令。
对于第②点,系统可以对口令进行加密传输。
对于第③点,系统可以对口令文件进行不可逆加密。
虽然如此,入侵者还是可以利用一些工具很容易地将口令和口令文件解密。
当前,常用的身份识别技术主要是基于RADIUS的鉴别、授权和管理(AAA)系统。
RADIUS是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户或服务器模式。
它包含有关用户的专门简档,如:
用户名、接入口令、接入权限等等。
这是保持远程接入网络的集中认证、授权得到接受的标准。
华为、思科等厂商都有使用RADIUS技术的相关产品。
(二)物理隔离技术
“物理隔离”就是内部网间接地连接公共网。
物理隔离以保护工作站、路由器、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏攻击为目的。
要想从真正意义上保证内部信息网络不受来自互联网的黑客攻击,只有使内部网和公共网物理隔离。
另外,物理隔离也为内部网划定了明确的安全边线,这种明确划定的安全边界使得网络的可控性得到一定程度的增强,便于内部管理。
实施内外网物理隔离,在技术方面上也是可以确保的,在物理传导上使内外网络隔断,确保外部网不能轻易通过网络连接而侵入内部网,同时防止内部网信息通过网络连接泄密到外部网,对内部网信息造成威胁。
物理隔离在指导思想上很大程度上与防火墙是有区别的。
防火墙绝不是物理隔离产品,防火墙是在不同网络间以确保数据交换和互访,又防御恶意或非法访问为根本起因。
在包代理技术、过滤技术方面,其关键是使所选择的数据不被完全孤立。
物理隔离与防火墙是两个不同的安全策略,它们功能互补,但不能相互代替。
它们二者的安全策略非常清楚,即对可公开的数据,交由防火墙去保护,而把需要保密的内部数据,进行相应的保护,实行真正意义上的物理隔离。
物理隔离常见的方式有物理安全隔离卡、物理隔离网闸、物理隔离集线器等。
1.物理安全隔离卡
物理安全隔离卡是物理隔离的比较低级实现形式,一个物理安全隔离卡只能管一台计算机,而且只能在Windows环境下工作,每次切换都需要开关机一次。
物理安全隔离卡的功能即:
以物理方式将一台PC虚拟为两个电脑,实现工作站的双重状态,既可是安全状态,又可是公共状态,并且两个状态是完全隔离的,从而使一台工作站可在完全安全状态下联结内、外网。
物理安全隔离卡实际是被设置在计算机中最低的物理层上,通过卡上一边的IDE总线连接主板,另一边连接IDE硬盘,内、外网的连接均须通过网络安全隔离卡。
PC机硬盘被物理分隔成为两个区域,在IDE总线物理层上,在固件中控制磁盘通道,在任何时候,数据只能通往一个分区,其他则无效。
在安全状态时,主机只能使用硬盘的安全区与内部网连接,而此时外部网联接是断开的,且硬盘的公共区的通道是封闭的。
在公共状态时,主机只能使用硬盘的公共区与外部网联结,而此时与内部网是断开的,且硬盘安全区也是被封闭的。
图2-1物理隔离部件在网络中的位置与连接示图
2.物理隔离网闸
物理隔离网闸是连接两个独立主机系统的信息安全设备。
由于物理隔离网闸所连接的两个独立主机系统,不存在通信的信息传输命令、信息传输协议、物理连接、逻辑连接,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。
所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”、无法破坏、无法入侵、无法攻击。
物理隔离网闸(GAP)的硬件主要包括3个部分:
分别是内部处理单元、外部处理单元和专用安全隔离切换装置。
系统中的专用安全隔离切换装置分别连接内部处理单元和外部处理单元。
这种独特和巧妙的设计,保证了安全隔离切换装置中的数据暂存区在任何一个时刻仅连通内部或者外部处理单元,从而实现内外网的隔离安全。
3.物理隔离集线器
网络安全隔离集线器是一种多路开关切换设备,它与网络安全隔离卡配合使用。
它有一个标准的RJ-46接口,入口与网络安全隔离卡相连,出口分别与内外网络的集线器相连。
它能检测到网络安全隔离卡发出的特殊信号,自动将其网络线切换到相应的网络HUB上。
实现多台独立的安全计算机与内外两个网络的安全连接以及自动切换,进一步提高了系统的安全性。
并且解决许多网络安全问题,对改善网络环境很有帮助。
(三)入侵检测系统
入侵检测系统的英文是“IntrusionDetectionSystems”,其缩写是IDS。
在专业上讲就是依照一定的安全策略,对网络系统的运行状况进行监视,尽可能发现各种攻击企业、攻击行为或者攻击结果,以保证网络系统资源的完整性、机密性和可用性。
有这样一个形象的比喻:
假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。
一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
它作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前发现和解决人侵。
图2-2入侵检测系统示图
入侵检测可大概分为实时入侵检测和事后入侵检测两种。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。
在发展中与其他安全产品相比人侵检测系统需要更多的智能,它必须要实现对得到的数据进行分析,并得出有用的结果,这对入侵检测系统的发展来说既是一个挑战也是一个机遇。
一个合格的入侵检测系统能在很大程度上简化管理员的工作,保证网络安全的运行。
具体说来,人侵检测系统的主要功能有:
监测并分析用户和系统的活动,评估系统关键资源和数据文件的完整性,统计分析不正常行为,操作系统日志管理、并识别违反安全策略的用户活动等。
信息网络的发展本身就是信息安全防护技术和信息安全攻击技术不断搏弈的过程。
随着信息安全技术的不断发展,我们经历了从基本安全隔离、主机加同阶段、到后来的网络认证阶段、直到将行为监控和审计也纳入安全的范畴[4]。
(四)防火墙技术
防火墙包括计算机硬件和软件的组合。
防火墙(Firewall)是一道介于开放的、不安全的公共网与信息、资源汇集的内部网之间的屏障,由一个或一组系统组成。
狭义的防火墙指安装了防火墙软件的主机或路由器系统,广义的防火墙还包括整个网络的安全策略和安全行为。
防火墙技术是任何企业最基本的安全技术,包括:
包过滤技术;
网络地址翻译(静态翻译,动态翻译,负载平衡翻译,网络冗余翻译);
应用级代理。
图2-3防火墙包过滤技术
图2-4服务代理
(五)虚拟专用网
随着网络技术的发展,办公形式也发生了改变,分支机构之间的通信的需求不断增加,如果使用公共的互联网络来进行通信,而不是架设专用线路,这样,就可以显著降低使用成本。
VPN即虚拟专用网是解决这一问题的方法。
VPN建立一条通过公众网络的逻辑上的专用连接,使得用户在异地访问内部网络时,能够和在本地访问一样的资源,同时,不用担心泄密的问题。
采用IPSec协议的产品是市场的标准,有相当多的厂家都推出了相关产品。
(六)病毒防护技术
电脑病毒是一个让人烦心的问题,在早期的单机环境下,病毒有许多特点,主要有传染性、寄生性、隐蔽性、潜伏性、可触发性等特点,随着Internet的开拓性发展,计算机网络在日常生产工作中发挥着越来越重要的作用,各种网络安全问题也逐渐增多,网络病毒越发趋于复杂,除具有单机环境下的特点外,还呈现出传播的形式复杂多样、难于彻底清除、破坏性大、扩散面广、等新的特点。
同时,许多防病毒厂商也升级了一
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全技术综述 网络安全 技术 综述