學習啦 > 論文大全 > 技術(shù)論文 > 網(wǎng)絡(luò)安全防范技術(shù)論文

網(wǎng)絡(luò)安全防范技術(shù)論文

時間: 家文952 分享

網(wǎng)絡(luò)安全防范技術(shù)論文

  近年來, 計算 機網(wǎng)絡(luò)技術(shù)不斷 發(fā)展 ,網(wǎng)絡(luò) 應用 逐漸普及。網(wǎng)絡(luò)已成為一個無處不在、無所不用的工具。下面是由學習啦小編整理的網(wǎng)絡(luò)安全防范技術(shù)論文,謝謝你的閱讀。

  網(wǎng)絡(luò)安全防范技術(shù)論文篇一

  網(wǎng)絡(luò)安全與防范技術(shù)

  摘 要 隨著 網(wǎng)絡(luò) 的普及,網(wǎng)絡(luò)安全日顯重要,本文從網(wǎng)絡(luò)不安全因素入手,探討了網(wǎng)絡(luò)安全防范 理論 技術(shù)、主流網(wǎng)絡(luò)常用的防火墻和入侵檢測技術(shù)。

  關(guān)鍵詞 網(wǎng)絡(luò)安全、防火墻、入侵檢測系統(tǒng)

  近年來, 計算 機網(wǎng)絡(luò)技術(shù)不斷 發(fā)展 ,網(wǎng)絡(luò) 應用 逐漸普及。網(wǎng)絡(luò)已成為一個無處不在、無所不用的工具。越來越多的計算機用戶足不出戶則可訪問到全球網(wǎng)絡(luò)系統(tǒng)豐富的信息資源, 經(jīng)濟 、文化、軍事和 社會 活動也強烈依賴于網(wǎng)絡(luò),一個網(wǎng)絡(luò)化的社會已呈現(xiàn)在我們面前。

  然而,隨著網(wǎng)絡(luò)應用的不斷增多,網(wǎng)絡(luò)安全 問題 也越來越突出,由于計算機網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素,致使計算機網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安全與暢通, 研究 計算機網(wǎng)絡(luò)的安全與防范措施已迫在眉捷。本人結(jié)合實際經(jīng)驗,談一談。

  1 網(wǎng)絡(luò)不安全因素

  網(wǎng)絡(luò)的安全因素主要有:

  (1)網(wǎng)絡(luò)資源的共享性。資源共享是計算機網(wǎng)絡(luò)應用的主要目的,但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著聯(lián)網(wǎng)需求的日益增長,外部服務(wù)請求不可能做到完全隔離,攻擊者利用服務(wù)請求的機會很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。

  (2)網(wǎng)絡(luò)的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個 企業(yè) 、單位以及個人的敏感性信息。

  (3)網(wǎng)絡(luò)操作系統(tǒng)的漏洞。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實現(xiàn)的最終載體之一,它不僅負責網(wǎng)絡(luò)硬件設(shè)備的接口封裝,同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實現(xiàn)的復雜性,決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。

  (4)網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷。網(wǎng)絡(luò)設(shè)計是指拓撲結(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況下,還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計則會成為網(wǎng)絡(luò)的安全威脅。

  (5)惡意攻擊。就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒.是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦 教育 的大眾化,這類攻擊也是越來越多, 影響 越來越大。

  2 網(wǎng)絡(luò)安全防御方式

  網(wǎng)絡(luò)安全技術(shù)的主要代表是防火墻和入侵檢測技術(shù)。下面簡要介紹一下這兩種技術(shù)。

  2.1 防火墻技術(shù)

  網(wǎng)絡(luò)安全所說的防火墻是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪,用來保護內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點上。所有來自Internet(外部網(wǎng))的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。

  2.1.1 防火墻的主要功能

  防火墻的主要功能包括:

  (1)防火墻可以對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描,從而過濾掉一些攻擊,以免其在目標計算機上被執(zhí)行。

  (2)防火墻可以關(guān)閉不使用的端口,而且它還能禁止特定端口的輸出信息。

  (3)防火墻可以禁止來自特殊站點的訪問,從而可以防止來自不明入侵者的所有通信,過濾掉不安全的服務(wù)和控制非法用戶對網(wǎng)絡(luò)的訪問。

  (4)防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對Internet上特殊站點的訪問。

  (5)防火墻提供了監(jiān)視Internet安全和預警的方便端點。

  2.1.2 防火墻的主要優(yōu)點

  防火墻的主要優(yōu)點包括:

  1)可作為網(wǎng)絡(luò)安全策略的焦點

  防火墻可作為網(wǎng)絡(luò)通信的阻塞點。所有進出網(wǎng)絡(luò)的信息都必須通過防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來,將承擔風險的范圍從整個內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上。從而在結(jié)構(gòu)上形成了一個控制中心,極大地加強了網(wǎng)絡(luò)安全,并簡化了網(wǎng)絡(luò)管理。

  2)可以有效記錄網(wǎng)絡(luò)活動

  由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間,即所有傳輸?shù)男畔⒍紩┻^防火墻。所以,防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息,提供監(jiān)視、管理與審計網(wǎng)絡(luò)的使用和預警功能。

  3)為解決IP地址危機提供了可行方案

  由于Internet的日益發(fā)展及IP地址空間有限,使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。

  2.1.3 防火墻的主要缺陷

  由于互聯(lián)網(wǎng)的開放性,防火墻也有一些弱點,使它不能完全保護網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有:

  (1)防火墻對繞過它的攻擊行為無能為力。

  (2)防火墻無法防范病毒,不能防止感染了病毒的軟件或文件的傳輸,對于病毒只能安裝反病毒軟件。

  (3)防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓撲結(jié)構(gòu)來支持。網(wǎng)絡(luò)安全性的提高往往是以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價。

  2.1.4 防火墻的分類

  防火墻的實現(xiàn)從層次上大體可分為三類:包過濾防火墻,代理防火墻和復合型防火墻。

  1)包過濾防火墻

  包過濾防火墻是在IP層實現(xiàn),它可以只用路由器來實現(xiàn)。包過濾防火墻根據(jù)報文的源IP地址,目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。

  包過濾路由器的最大優(yōu)點是:對用戶來說是透明的,即不需要用戶名和密碼來登陸。

  包過濾路由器的弊端是明顯的,由于它通常沒有用戶的使用記錄,我們不能從訪問中發(fā)現(xiàn)黑客的攻擊記錄。它還有一個致命的弱點,就是不能在用戶級別上進行過濾,即不能識別用戶與防止IP地址的盜用。如果攻擊者將自己的主機設(shè)置為一個合法主機的IP地址,則很容易地通過包過濾防火墻。

  2)代理防火墻

  代理防火墻也叫 應用 層網(wǎng)關(guān)防火墻,包過濾防火墻可以按照IP地址來禁止未授權(quán)者的訪問。但它不適合單位用來控制內(nèi)部人員訪問外部 網(wǎng)絡(luò) ,對于這樣的 企業(yè) ,應用代理防火墻是更好的選擇。

  代理服務(wù)是設(shè)置在Internet防火墻網(wǎng)關(guān)上的應用,是在網(wǎng)管員允許下或拒絕的特定的應用程序或者特定服務(wù),一般情況下可應用于特定的互聯(lián)網(wǎng)服務(wù),如超文本傳輸、遠程文件傳輸?shù)?。同時還可應用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和 報告等功能。

  應用層網(wǎng)關(guān)包括應用代理服務(wù)器、回路級代理服務(wù)器、代管服務(wù)器、IP通道、網(wǎng)絡(luò)地址轉(zhuǎn)換器、隔離域名服務(wù)器和郵件技術(shù)等。

  3)復合型防火墻

  復合型防火墻是將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用,從而實現(xiàn)了網(wǎng)絡(luò)安全性、性能和透明度的優(yōu)勢互補。

  隨著技術(shù)的 發(fā)展 ,防火墻產(chǎn)品還在不斷完善、發(fā)展。 目前 出現(xiàn)的新技術(shù)類型主要有以下幾種:狀態(tài)監(jiān)視技術(shù)、安全操作系統(tǒng)、自適應代理技術(shù)、實時侵入檢測系統(tǒng)等?;旌鲜褂脭?shù)據(jù)包過濾技術(shù)、代理服務(wù)技術(shù)和一些新技術(shù)是未來防火墻的趨勢。

  2.1.5 防火墻的部署

  防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備,只有在關(guān)鍵網(wǎng)絡(luò)流量通過防火墻的時候,防火墻才能對此實行檢查,防護功能。

  (1)防火墻的位置一般是內(nèi)網(wǎng)與外網(wǎng)的接合處,用來阻止來自外部網(wǎng)絡(luò)的入侵。

  (2)如果內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置虛擬局域網(wǎng)(VLAN),則應該在各個VLAN之間設(shè)置防火墻。

  (3)通過公網(wǎng)連接的總部與各分支機構(gòu)之間應該設(shè)置防火墻。

  (4)主干交換機至服務(wù)器區(qū)域 工作組交換機的骨干鏈路上。

  (5)遠程撥號服務(wù)器與骨干交換機或路由器之間。

  總之,在網(wǎng)絡(luò)拓撲上,防火墻應當處在網(wǎng)絡(luò)的出口與不同安全等級區(qū)域的結(jié)合處。安裝防火墻的原則是:只要有惡意侵入的可能,無論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應安裝防火墻。

  2.2 入侵檢測技術(shù)

  入侵檢測技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息(系統(tǒng)運行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等),并對這些信息進行 分析 和判斷。通過檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為,入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)攻擊或異常行為并進行阻斷、記錄、報警等響應,從而將攻擊行為帶來的破壞和 影響 降至最低。同時,入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、 審計系統(tǒng)配置和漏洞、識別異常行為和攻擊行為(通過異常檢測和模式匹配等技術(shù))、對攻擊行為或異常行為進行響應、審計和跟蹤等。

  典型的IDS系統(tǒng)模型包括4個功能部件:

  (1) 事件產(chǎn)生器,提供事件記錄流的信息源。

  (2) 事件分析器,這是發(fā)現(xiàn)入侵跡象的分析引擎。

  (3) 響應單元,這是基于分析引擎的分析結(jié)果產(chǎn)生反應的響應部件

  (4) 事件數(shù)據(jù)庫,這是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱,它可以是復雜的數(shù)據(jù)庫,也可以是簡單的文本文件。

  2.2.1入侵檢測系統(tǒng)的分類

  入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)來源不同,可分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)。

  網(wǎng)絡(luò)型入侵檢測系統(tǒng)的實現(xiàn)方式是將某臺主機的網(wǎng)卡設(shè)置成混雜模式,監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進行判斷或直接在路由設(shè)備上放置入侵檢測模塊。一般來說,網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔負著保護整個網(wǎng)絡(luò)的任務(wù)。

  主機型入侵檢測系統(tǒng)是以系統(tǒng)日志、應用程序日志等作為數(shù)據(jù)源,當然也可以通過其它手段(如檢測系統(tǒng)調(diào)用)從所有的主機上收集信息進行分析。

  入侵檢測系統(tǒng)根據(jù)檢測的 方法 不同可分為兩大類:異常和誤用。

  異常入侵檢測根據(jù)用戶的異常行為或?qū)Y源的異常存放來判斷是否發(fā)生了入侵事件。

  誤用入侵檢測通過檢查對照已有的攻擊特征、定義攻擊模式、比較用戶的活動來了解入侵。例如,著名的Internet蠕蟲事件是利用fingerd(FreeBSD)上的守護進程,允許用戶遠程讀取文件系統(tǒng),因而存在可以查看文件 內(nèi)容 的漏洞和Sendmail(Linux上的守護進程,利用其漏洞可取得root權(quán)限)的漏洞進行攻擊。對這種攻擊可以使用這種檢測方法。

  2.2.2 目前入侵檢測系統(tǒng)的缺陷

  入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全防護的重要手段,目前的IDS還存在很多 問題 ,有待于我們進一步完善。

  1) 高誤報率

  誤報率主要存在于兩個方面:一方面是指正常請求誤認為入侵行為;另一方面是指對IDS用戶不關(guān)心事件的報警。導致IDS產(chǎn)品高誤報率的原因是IDS檢測精度過低和用戶對誤報概念的不確定。

  2) 缺乏主動防御功能

  入侵檢測技術(shù)作為一種被動且功能有限的安全防御技術(shù),缺乏主動防御功能。因此,需要在一代IDS產(chǎn)品中加入主動防御功能,才能變被動為主動。

  2.2.3 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動

  綜合所述:防火墻是一個跨接多個物理網(wǎng)段的網(wǎng)絡(luò)安全關(guān)口設(shè)備。它可以對所有流經(jīng)它的流量進行各種各樣最直接的操作處理,如無通告拒絕、ICMP拒絕、轉(zhuǎn)發(fā)通過(可轉(zhuǎn)發(fā)至任何端口)、各以報頭檢查修改、各層報文內(nèi)容檢查修改、鏈路帶寬資源 管理、流量 統(tǒng)計、訪問日志、協(xié)議轉(zhuǎn)換等。

  當我們實現(xiàn)防火墻與入侵檢測系統(tǒng)的相互聯(lián)動后,IDS就不必為它所連接的鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。因此,IDS可以將大部分的系統(tǒng)資源用于對采集報文的分析,而這正是IDS最眩目的亮點。IDS可以有足夠的時間和資源做些有效的防御工作,如入侵活動報警、不同業(yè)務(wù)類別的網(wǎng)絡(luò)流量統(tǒng)計、網(wǎng)絡(luò)多種流量協(xié)議恢復(實時監(jiān)控功能)等。IDS高智能的數(shù)據(jù)分析技術(shù)、詳盡的入侵知識描述庫可以提供比防火墻更為準確、更嚴格、更全面的訪問行為審查功能。

  綜上所述,防火墻與IDS在功能上可以形成互補關(guān)系。這樣的組合較以前單一的動態(tài)技術(shù)或靜態(tài)技術(shù)都有了較大的提高。使網(wǎng)絡(luò)的防御安全能力大大提高。防火墻與IDS的相互聯(lián)動可以很好地發(fā)揮兩者的優(yōu)點,淡化各自的缺陷,使防御系統(tǒng)成為一個更加堅固的圍墻。在未來的網(wǎng)絡(luò)安全領(lǐng)域中,動態(tài)技術(shù)與靜態(tài)技術(shù)的聯(lián)動將有很大的發(fā)展市場和空間。

  3 結(jié)語

  網(wǎng)絡(luò)安全是一個很大的系統(tǒng)工程,除了防火墻和入侵檢測系統(tǒng)之外,還包括反病毒技術(shù)和加密技術(shù)。反病毒技術(shù)是查找和清除 計算 機病毒技術(shù)。其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎。然后根據(jù)病毒特征碼數(shù)據(jù)庫來進行對比式查殺。加密技術(shù)主要是隱藏信息、防止對信息篡改或防止非法使用信息而轉(zhuǎn)換數(shù)據(jù)的功能或方法。它是將數(shù)據(jù)信息轉(zhuǎn)換為一種不易解讀的模式來保護信息,除非有解密密鑰才能閱讀信息。加密技術(shù)包括算法和密鑰。算法是將普通的文本(或是可以理解的信息)與一串數(shù)字(密鑰)的結(jié)合,產(chǎn)生不可理解的密文的步驟。密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法。在安全保密中,可通過適當?shù)拿荑€加密技術(shù)和管理機制來保證網(wǎng)絡(luò)的信息通信安全。

  參考 文獻

  [1] 鄭成興著. 《網(wǎng)絡(luò)入侵防范的 理論 與 實踐》. 機械 工業(yè) 出版社

  [2] [美] Merike Kaeo 著.《網(wǎng)絡(luò)安全性設(shè)計》. 人民郵電出版社

點擊下頁還有更多>>>網(wǎng)絡(luò)安全防范技術(shù)論文

2786614