cropizu论述计算机网络安全问题Word文档下载推荐.docx

1、因此，保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。网络安全问题是一门涉及计算机科学、网络技术、通信技术、信息安全技术、信息论等多学科的综合性学科。解决网络安全问题的重要手段就是防火墙技术。文中第一步是引入引言,并对计算机网络安全的现状和影响安全的因素进行了讲解，在这基础上讲解了信息安全的内容和防火墙的基本论述；第二步对防火墙基本原理和关键技术进行了具体讲解,我们把它分为三种: 包过滤、应用代理、状态检测；第三步是本论文是重点部分网络安全防御系统的设计，这个分为四个部分，一是防火墙系统，二是入侵检测系统，三是加密和认证系统，四是备份恢复与报警系统；第四步对本文进行

2、总结并论述了防火墙的发展趋势。2研究内容第一部分,计算机网络安全的现状和信息安全,并引出了防火墙问题；第二部分,讲解了防火墙的基本原理和关键技术；第三部分,是全文的重点部分，对网络安全防御系统的设计；第四部分,浅谈了防火墙的未来发展以及对本文进行总结.3研究方法、技术线路、实验方案及可行性分析本课题采用文献研究和案例分析方法进行研究；技术线路一步一步逼进最后得出结论及设计了一个网络安全防御系统；实验方案主要是论述法和讲解法；可行性分析在本文进行了论述和举例进行了论证。4进程安排和采取的主要措施：第一周，对本论文查阅了相关资料，如在图书馆，网上等；第二周，通过查阅资料，确定了论文的主题，并列出了

3、大概的提纲；第三周，在列出了提纲的基础上，对每一个分支进行具体的分析；第四周，在老师的协助下，修改需要改进的地方并对这次论文进行总结.第五周，圆满完成任务。5参考文献：1王其良,高敬瑜.计算机网络安全技术M.北京大学出版社,2006,11.2陈波.计算机系统安全原理与技术M.机械工业出版社,2006,1.3许治坤,王伟,郭添森,等.网络渗透技术M.电子工业出版社,2005,5.4宿洁、袁军鹏,“防火墙技术及其进展J”.计算机工程与应用,2004，5.5凌捷、肖鹏、何东风,“防火墙本身的安全问题浅析J”.计算机应用与软件,2004,2.6李家春，李之棠.入侵检测系统.计算机应用研究.2001.1

4、2.7 刘克龙，蒙杨，卿斯汉一种新型的防火墙系统.计算机学报.2000.38阎慧,土伟.防火墙原理与技术M.北京:机械工业出版,2004.9袁家政.计算机网络安全与应用技术M.北京:清华大学出版社2002.10陈爱民.计算机的安全与保密M.北京:电子工业出版社,2002.11殷伟.计算机安全与病毒防治M.合肥:安徽科学技术出版社,2004.12卢开澄.计算机系统安全. 重庆出版社编著,2006.13 朱文余.计算机密码应用基础. 科学出版社等编著,2005.14周学毛.网络规划建设与管理维护M.北京:电子工业出版社,2005.15刘文清.计算机网络技术基础M.北京:中国电力出版社,2005.

5、6.指导教师意见： 签名： 年 月 日湖南人文科技学院专科学生毕业论文（设计）评审表作者姓名专业、班级计算机系计应班学 号论文题目刘庆完成时间5月24日内容摘要）学生填写（防火墙技术是解决网络安全问题的重要手段之一。第四步论述了防火墙的未来发展以及对本论文进行总结。指导老师评语及建议分 指导教师：系评审小组评定结论： 组长：备注：（湖南人文科技学院计算机科学技术系 06级计应班 贺柳娟） 摘要随着计算机网络的发展和Internet的广泛普及，信息已经成为现代社会生活的核心,人们在享受互联网带来的丰富信息、巨大便利的同时，也面临着网络安全的严重威胁。本文首先对计算机网络安全的现状和影响安全的因素

6、进行了讲述，在这基础上论述了信息安全和防火墙的基本概要；第三步是进行网络安全防御系统的设计，分为四个部分，一是防火墙系统，二是入侵检测系统，三是加密和认证系统，四是备份恢复与报警系统；第四步对本文进行总结以及论述了防火墙的未来发展。关键词：网络安全 防火墙技术 安全技术 包过滤 入侵检测系统 备份恢复1 引言Internet的迅速发展在提高了工作效率的同时，也带来了一个日益严峻的问题网络安全，网络安全成为当今研究热点和社会关注焦点。传统的研究方法和解决方案通常是对单一的安全技术进行改进优化或对多个安全措施的简单组合；只有综合运用各种安全措施，使之相互协调工作，从而构建一个全方位的纵深安全防御系

7、统，才能有效提高网络信息安全。网络安全作为一个无法回避的问题呈现在我们面前，网络安全问题是关系到国家安全与主权、社会稳定和个人利益的重要问题，很多企业为了保障自身网络安全都采用了防火墙。1.1 计算机网络安全1.1.1 计算机网络安全现状早在20世纪90年代，如果企业和政府机构希望能具有竞争力，他们就必须对市场需求作出强有力的响应,这就引发了依靠互联网获取和共享住处的趋势。在过去，网络大多是封闭式的，因此比较容易确保其安全性。然而，网络已经发生了变化，确保网络安全性和可用性已经成为更加复杂的任务。越来越多的通信现在都是通过电子邮件进行，越来越多的移动员工、远程办公人员和分支机构开始利用互联网从

8、远程连接到他们的企业网络,而一些企业的很大一部分收入都来自于通过互联网达成的商业交易。犯罪分子利用这种优势，破坏网络安全的行为，安全威胁大体可分为两种：一是对网络数据的威胁； 二是对网络设备的威胁。这些威胁可能来源于各种各样的因素： 可能是有意的，也可能是无意的；可能是来源于企业外部的， 也可能是内部人员造成的；可能是人为的，也可能是自然力造成的。1.1.2 影响计算机网络安全的主要因素网络系统在稳定性和可扩充性方面存在问题。由于设计的系统不规范、不合理以及缺乏安全性考虑，因而使其受到影响。网络硬件的配置不协调主要表现在：一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统

9、的质量;网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。缺乏安全策略,许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用,访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机。1.2 信息安全1.2.1 信息安全的概念信息安全它的范围很广，大到国家军事政治等机密安全，小范围包括个人信息的泄露等。在计算机网络中，根据国际标准化组织ISO的定义，信息系统安全就是为数据处理系统建立和采取的技术和管理的安全保护，保护计算机的硬件、软件数据不因偶然和恶意的原因

10、而遭到破坏、更改和泄露，系统连续可靠正常地运行，信息服务不中断。1.2.2 信息系统安全的内容信息系统安全的内容应包括两个方面:物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括确保信息的完整性、保密性和可用性。（1） 完整性:是指信息在存储或传输过程中保持不被遭受非授权篡改或破坏的特性；（2） 保密性:是指信息不泄漏给非授权的个人和实体或进程，不为其所使用；（3） 可用性:是指信息可被合法用户访问并按要求顺利使用的特性，即根据授权实体的请求可以访问和使用所需求的信息。1.3 防火墙的概论1.3.1 防火墙的定义防火墙是汽车中一个部件的名称。在汽车中，

11、利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。从网络安全角度上讲，防火墙是一种安全有效的防范技术，是访问控制机制、安全策略和防入侵措施。从狭义上来讲，防火墙是指安装了防火墙软件的计算机、路由器或专门的硬件设备；从广义上讲，防火墙还包括了保护整个网络的安全策略和安全行为。它通过在网络边界上建立网络安全监测系统，对流经它的网络通信进行扫描，能够有效隔离内部和外部网络，确定允许哪些内部服务访问外部服务，以及允许哪些外部服务访问内部服务，以阻挡来自外部网络的入侵和攻击。1.3.2 防火墙的功能防火墙指的是一个由软件和硬件设备组合而成、在内部网

12、和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙能有效地防止外来的入侵，起了一个作为保护层的作用，使得内部网与外部网之间所有的信息流都必须通过防火墙，信息流在流经防火墙时，网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。它的主要功能可分为四点：一是防火墙是网络

13、安全的屏障，能极大的提高一个内部网络的安全性；二是防火墙可以强化网络安全策略，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上；三是对网络存取和访问进行监控审计，就提供了监测和攻击的详细信息，并且清楚防火墙的控制是否充足；四是防止内部信息的外泄，可利用防火墙对内部网络的划分和阻塞有关内部网络中的DNS信息等。2 防火墙的基本原理和关键技术2.1 防火墙的基本原理防火墙就是一种过滤塞，你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采

14、用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的 一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。防火墙对于企业网络的防御系统来说，是一个不可缺少的基础设施。我们在选择防火墙时，首先考虑的就是需要一个什么结构的产品，防火墙发展到今天，很多产品已经越来越像是一个网络安全的工具箱，工具的多少固然很重要，而系统

15、的结构则是一个起决定性作用的前提，因为防火墙的结构决定了这些工具的组合能力，决定了当你在某种场合需要一个系统声称提供的功能的时候是不是真的能够用得上，以下是防火器的主要技术。2.2关键技术2.2.1包过滤包过滤（packet filtering）防火墙是出现最早的一类防火墙。事实上，路由器本身就具有包过滤防火墙的功能。理论上，包过滤器可以配置为根据协议报头的任何部分进行判断，但实际上，大多数的包过滤实现都针对最为有用的数据域：协议类型、IP 地址、端口号等。通常源地址、目的地址、协议类型、源端口、目的端口以及包到达或发出的接口等构成包过滤防火墙的基本安全控制和审计手段。简单包过滤是对单个包的检

16、查，目前绝大多数路由器产品都提供这样的功能，所以如果你已经有边界路由器了，那么完全没有必要购买一个简单包过滤的防火墙产品。包过滤结构的最大优点是部署容易，对应用透明。另一个优点是性能，状态检测包过滤是各种防火墙结构中在吞吐能力上最具优势的结构，但是对于防火墙产品来说，毕竟安全是首要的因素，包过滤防火墙对于网络控制的依据仍然是IP地址和服务端口等基本的传输层以下的信息；简单的包过滤防火墙只检查序号为0 的IP分包，可以容易地被攻击者定制IP分包的方法绕过防火墙策略，所以在安全性方面存在较为严重的缺陷，当前基本上已经被基于状态检查包过滤的专业防火墙所取代。 状态检查是介于简单包过滤和应用级防火墙之

17、间的一种中间方式，它使用基于维持连接状态和协议信息的复杂过滤器来阻断或通过数据包。在大幅度提高安全性的同时，能够以非常高的速度进行包过滤，成为当前主流防火墙优先采用的工作方式。2.2.2 应用代理应用代理防火墙的工作方式不同于包过滤防火墙，它首先对带有代理并且按照策略规则允许通过的数据包接收并重新产生，然后忽略掉那些没有相应代理的数据包。 应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术，最初的代表是TIS工具包，现在这个工具包也可以在网络上免费得到，它是一组代理的集合。代理的原理是彻底隔断两端的直接通信，所有通信都必须经应用层的代理转发，访问者任何时候都不

18、能直接与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说，状态检测包过滤规范了网络层和传输层行为，而应用代理则是规范了特定的应用协议上的行为。代理技术的一个主要的弱点是缺乏对应用的透明性，代理的另一个无法回避的缺陷是性能很差。应用代理可以提供比包过滤防火墙更为细致的网络安全策略和更好的安全水平，体现在下面几点：（1） 阻断了内外的直接网络连接，不必存在内外网络的直接路由；（2） 隐藏了内部网络的客户，对外表现为一个较为繁忙的主机；（3） 能够在应用层进行内容和协议过滤，实现精细安全控制；能够对应用

19、层协议进行一致性检查，防止了某些恶意定制的攻击性网络分包；（4） 提供了单点的访问、控制和日志记录功能。2.2.3 状态检测检测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。检测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上, 检测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够监测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。对于传统的包过滤防火墙只是简单的将数据包看作单个无关联的包，没有注意到数据包的上下文及同一个会话的数

20、据包之间的内在联系。对于每一个流经防火墙的数据包都要与过滤规则做比较，增加了许多不必要的操作，降低了效率。而状态检测技术试图理解数据包中更高层协议和数据信息，并跟踪一个会话的状态和上下文信息。例如，对于一个会话而言，将会话刚开始具有SYN标志位的数据包与规则库中的规则进行比较，如果通过了的话则在状态表中建立一个会话记录，以后所有属于该会话的数据包将不用检查直接通过，这样就在没有降低安全性的前提下而大大提高了效率。3 网络安全防御系统的设计网络攻击手段正在不断多样化,简单地采用多种孤立的基于单层次体系结构的安全手段已不能满足需求。在这种情况下，提出构建全面的安全防御系统,即利用复杂系统和安全工程

21、风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。把网络结构、加密认证、防火墙、病毒防护、入侵检测等单一的安全措施有机地结合起来,形成一套整体功能远远大于局部系统的安全系统。图1是我们在研究和实践中,根据实际需要,建立的全面安全防御系统模型。图 1它主要由以下四大部分有机组成:3.1 防火墙系统影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务， 低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。基于这两个策略，在设计中，整个网络通过主防火墙与外部网络相连,主防火墙增加虚拟邮件服务器,将

22、第三方杀毒软件与防火墙紧密结合起来抵御邮件病毒。并且主防火墙作为分布式防火墙控制策略中心,采用系统管理工具把策略文件分发给各分布式防火墙,各分布式防火墙将从IP安全协议和策略文件两方面来判断是否接受收到的包。分布式防火墙针对受保护主机配置控制策略规则,并可以有效防范来自内部的攻击。集成杀毒功能的防火墙对信息收集与获取攻击、拒绝服务、电子欺骗都极为有效,并且与入侵检测系统集成以弥补IDS缺乏主动控制措施的缺点。3.2入侵检测系统入侵检测系统是一种对发生在主机或网络系统中的事件进行自动监测,并将其作为安全问题进行分析的软件与硬件的组合。它的结构可分为二种：一是基于网络的入侵检测，二是基于主机的入侵

23、检测。3.2.1 体系结构（1）基于网络的入侵检测分布在网络上或设置在被监测的主机附近,在网络通信中寻找符合网络入侵模板的数据包,并立即做出相应反应,如发送电子邮件、寻呼、记录日志、切断网络连接等。它不依赖于被保护主机的操作系统,一个网段只需安装一套系统。但由于要检测整个网段的流量,易遭受拒绝服务攻击。（2）基于主机的入侵检测其主要目标是在单机模式下,防范对主机本身的入侵,检测原理是根据主机操作系统提供的审计数据来发现可疑的入侵事件,再依据一定的方法判断是否确为入侵7。它能监视所有系统行为,但其依赖于审计数据和系统日志的准确性、完整性和对入侵事件的定义,实时性也不如基于网络的DS好。3.2.2

24、入侵检测模式（1）基于标志的检测判别预定义的违背安全策略的事件特征是否在所收集的数据中出现。此方法类似杀毒软件,能较为准确地发现入侵,误报率很低,缺点是只能发现已知的攻击和入侵,且标识库需要不断地更新。（2）基于异常的检测预定义一组系统“正常”情况的数值,然后将系统运行时的数值与“正常”情况比较,判断是否被攻击。它的特点是对已知和未知的攻击都有一定的检测能力,缺点是误报率较高。3.2.3 技术分析引入防火墙和分布式入侵检测系统，并与防火墙集成后,IDS读取防火墙的规则后可以调整它的分析引擎,使之不分析已被防火墙屏蔽在内部网外的流量类型,使其负载减小,进而减少它受到DOS攻击的可能性。通过将入侵

25、检测系统的信息的采集和处理功能部分分布到多台工作站上,经本地处理后,将可疑的单机无法处理的数据传输给入侵检测系统的中心决策系统,在中心决策系统对信息进行综合后作出响应。通过集成防火墙和DIS,采用分布式结构可以极大地增强系统的性能,获得整体安全性的提高。3.3加密和认证系统3.3.1加密加密的主要目的是防止信息的非授权泄漏,基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息。加密可以有效地对抗截收、访问数据库时非法窃取信息、盗窃信息等威胁。加密主要有传输加密和存储加密两种方式,一般分为对称（私钥）密码和不对称（公钥）密码算法。3.3.2鉴别与身份认证鉴别的目的是验明用户或消息的身份。鉴别

26、可以有效地对抗冒充、非法访问、重演、抵赖等威胁,其技术主要有:报文鉴别、身份认证和数字签名等。3.3.3 工作过程每台工作站都有身份认证系统,为保证口令和重要数据的安全性,将其加密后存储在主机系统中。针对Internet明文网络传输的弱点,采用SSH、SSL、PGP等方法将口令、重要数据和敏感信息（如IDS和防火墙之间传递的信息）加密后传输。3.4备份恢复与报警系统网络备份就是在网络系统发生意外情况下（如受到黑客攻击、病毒感染、操作失误、软件系统错误等）的应急恢复、处理方案。一般有网络系统的双机热备份和网络数据冷备份两种方式。备份系统利用网络数据冷备份技术将整个网络系统及数据完整备份到磁盘阵列

27、。报警系统的功能是当接收到入侵检测系统发送的被攻击的信息时,立即通过邮件、呼机、手机等方式通知系统管理员采取必要的保护措施,同时通知恢复系统从备份目录中提取相应的原始信息以及时恢复被攻击的部分。4 本文总结和工作展望4.1本文总结及防火墙的发展趋势作为网络边界的第一道防线，由最初的路由器设备配置访问策略进行安全防护，它可以与入侵检测系统等其他安全防护手段一起维护系统的安全，也可以通过自身良好的安全配置，简单、高效地完成大多数场合安全防护；前文讲解了防火墙的基本原理、体系结构；通过防火墙、病毒防火墙、加密认证和备份恢复有效集成,构筑成一套整体功能大于局部系统的全面的安全防御体系,实现了整体的“涌

28、现”。作为保护网络边界的安全产品，防火墙技术也已经逐步趋于成熟，并为广大用户所认可；防火墙墙作为第一道防线和面对未来高端防火墙的发展趋势，无论是从用户还是产品供应商，都不可避免的推向了一种对新型防火墙技术需求的角度， 主要体现下面几点：（1） 高性能的防火墙需求：高性能防火墙是未来发展的趋势，突破高性能的极限就是对防火墙硬件结构的调整。而对于高端防火墙的技术实现，现今主要分为三种方式: 基于通用处理器的工控机架构、基于NP技术、基于ASIC芯片技术。（2） 管理接口和soc的整合：管理接口和soc整合是一个整体，而不是靠单一产品所能解决的。随着安全管理和安全运营工作的推行，SOC作为一种安全管理的解决方案已经得到大力推广。防火墙作为一种安全访问控制机制产品，要想在安全管理中起到有效的作用，必须考虑与soc的整合问题，这就涉及到各个厂家对防火墙技术开发过程中的通用性和合作问题。（3） 抗dos能力：提高防火墙抗击dos能力的技术问题，也在缠绕着广大防火墙厂商。在新型技术不断更新的今天，各个厂家已经把矛头指向了解决dos问题上来。（4） 减慢蠕虫和垃圾邮件的传播速度的功能：作为网络边界的安全设备，未来防火墙发展趋势中，减缓和降低蠕虫病毒与垃圾邮件的传播速度，是必不可少的一部分了。对于防火