计算机网络专业毕业设计选题.docx
《计算机网络专业毕业设计选题.docx》由会员分享,可在线阅读,更多相关《计算机网络专业毕业设计选题.docx(17页珍藏版)》请在冰点文库上搜索。
计算机网络专业毕业设计选题
网络安全技术分析(纯理论)
一、网络的安全隐患及其对策
1.引言
现代计算机系统功能日渐复杂,网络体系日渐强大,正在对社会产生巨大深远的影响,但同时由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以使得安全问题越来越突出。
对于军用的自动化指挥网络、C3I系统而言,其网上信息的安全和保密尤为重要。
因此,要提高计算机网络的防御能力,加强网络的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。
无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。
故此,网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
2.计算机网络安全面临的威胁
影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的。
归结起来,针对网络安全的威胁主要有4个方面:
(1)实体摧毁
实体摧毁是计算机网络安全面对的“硬杀伤”威胁。
主要有电磁攻击、兵力破坏和火力打击3种。
(2)无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
(3)黑客攻击
这是计算机网络所面临的最大威胁。
此类攻击又可以分为2种:
一种是网络攻击,以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,他是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息。
这2种攻击均可对计算机网络造成极大的危害。
(4)网络软件的漏洞和“后门”
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。
1999,2000年初发生了许多黑客攻击事件,其中allaire(http:
//www.allaire.com/)的关于Coldfus的漏洞被广泛宣传和利用,许多的服务器都因未及时的打上补丁而遭到攻击。
另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”被洞开,其造成的后果将不堪设想。
3.计算机防御对策
根据网络作战的目标范围,网络作战模型包含4个层次:
第1层次,实体层次的计算机网络对抗;第2层次,能量层次的计算机网络对抗;第3层次,信息层次(逻辑层次)的计算机网络对抗;第4层次,感知层次(超技术层次)的计算机网络对抗。
针对不同层次对抗,计算机网络防御应采取相应的对策。
3.1 实体层次防御对策
实体层次的计算机网络对抗以常规物理方式直接破坏、摧毁计算机网络系统的实体,完成目标打击和摧毁任务。
在平时,主要指敌对势力利用行政管理方面的漏洞对计算机系统进行的破坏活动;在战时,通过运用高技术明显提高传统武器的威力,直接摧毁敌方的指挥控制中心、网络节点以及通信信道。
这一层次计算机防御的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
在组建网络的时候,要充分考虑网络的结构、布线、路由器、网桥的设置、位置的选择,加固重要的网络设施,增强其抗摧毁能力。
与外部网络相连时,采用防火墙屏蔽内部网络结构,对外界访问进行身份验证、数据过滤,在内部网中进行安全域划分、分级权限分配。
对外部网络的访问,将一些不安全的站点过滤掉,对一些经常访问的站点做成镜像,可大大提高效率,减轻线路负担。
网络中的各个节点要相对固定,严禁随意连接,一些重要的部件安排专门的场地人员维护、看管,防止自然或人为的破坏,加强场地安全管理,做好供电、接地、灭火的管理,与传统意义上的安全保卫工作的目标相吻合。
3.2 能量层次防御对策
能量层次的计算机网络对抗是敌对双方围绕着制电磁权而展开的物理能量的对抗。
敌对方通过运用强大的物理能量干扰、压制或嵌入对方的信息网络、乃至像热武器(如高功率微波武器、强脉冲武器等)一样直接摧毁敌方的信息系统;另一方面又通过运用探测物理能量的技术手段对计算机辐射信号进行采集与分析,获取秘密信息。
这一层次计算机防御的对策主要是做好计算机设施的防电磁泄露、抗电磁脉冲干扰,在重要部位安装干扰器、建设屏蔽机房等。
目前主要防护措施有2类:
一类是对外围辐射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;给网络加装电磁屏蔽网,防止敌方电磁武器的攻击。
另一类是对自身辐射的防护,这类防护措施又可分为2种:
一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
3.3 信息层次防御对策
信息层次的计算机网络对抗是运用逻辑手段破坏敌方的网络系统,保护己方的网络系统的对抗。
这个概念接近于美国人讲的CyberspaceWarfare,主要包括计算机病毒对抗、黑客对抗、密码对抗、软件对抗,芯片陷阱等多种形式。
他与计算机网络在物理能量领域对抗的主要区别表现在:
信息层次的对抗中获得制信息权的决定因素是逻辑的,而不是物理能量的,取决于对信息系统本身的技术掌握水平,是知识和智力的较量,而不是电磁能量强弱的较量。
信息层次的计算机网络对抗是网络对抗的关键层次,是网络防御的主要环节。
信息层次的防御对策主要是防御黑客攻击和计算机病毒。
3.3.1 防御黑客攻击
黑客攻击是黑客自己开发或利用已有的工具寻找计算机系统和网络的缺陷和漏洞,并对这些缺陷实施攻击。
在计算机网络飞速发展的同时,黑客技术也日益高超,目前黑客能运用的攻击软件已有1000多种。
从网络防御的角度讲,计算机黑客是一个挥之不去的梦魇。
借助黑客工具软件,黑客可以有针对性地频频对敌方网络发动袭击令其瘫痪,多名黑客甚至可以借助同样的软件在不同的地点“集中火力”对一个或者多个网络发起攻击。
而且,黑客们还可以把这些软件神不知鬼不觉地通过互联网按到别人的电脑上,然后在电脑主人根本不知道的情况下“借刀杀人”,以别人的电脑为平台对敌方网站发起攻击!
美军认为,在未来计算机网络进攻战中,“黑客战”将是其基本战法之一。
理论上开放系统都会有漏洞的,正是这些漏洞被一些拥有很高技术水平和超强耐性的黑客所利用。
黑客们最常用的手段是获得超级用户口令,他们总是先分析目标系统正在运行哪些应用程序,目前可以获得哪些权限,有哪些漏洞可加以利用,并最终利用这些漏洞获取超级用户权限,再达到他们的目的。
因此,对黑客攻击的防御,主要从访问控制技术、防火墙技术和信息加密技术入手。
(1)访问控制
访问控制是网络安全防范和保护的主要策略,他的主要任务是保证网络资源不被非法使用和非常访问。
他也是维护网络系统安全、保护网络资源的重要手段。
可以说是保证网络安全最重要的核心策略之一。
访问控制技术主要包括7种:
①入网访问控制;
②网络的权限控制;
③目录级安全控制;
④属性安全控制;
⑤网络服务器安全控制;
⑥网络监测和锁定控制;
⑦网络端口和节点的安全控制。
根据网络安全的等级,网络空间的环境不同,可灵活地设置访问控制的种类和数量。
(2)防火墙技术
古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,他能够防止火势蔓延到别的寓所,这种墙因此而得名“防火墙”。
现在,如果一个网络接到了Internet上,他的用户就可以访问外部世界并与之通信。
但同时,外部世界也同样可以访问该网络并与之交互。
为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。
这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的惟一关卡。
这种中介系统也叫做“防火墙”,或“防火墙系统”。
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,他是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出2个方向通信的门槛。
一个防火墙系统通常由屏蔽路由器和代理服务器组成。
屏蔽路由器是一个多端口的IP路由器,他通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。
代理服务器是防火墙系统中的一个服务器进程,他能够代替网络用户完成特定的TCP/IP功能。
一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接2个网络的网关。
目前的防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙3种类型,并在计算机网络得到了广泛的应用。
防火墙的确是一种重要的新型安全措施。
但是,防火墙也不能解决进入防火墙的数据带来的所有安全问题。
如果用户抓来一个程序在本地运行,那个程序很可能就包含一段恶意的代码,或泄露敏感信息,或对之进行破坏。
防火墙的另一个缺点是很少有防火墙制造商推出简便易用的“监狱看守”型的防火墙,大多数的产品还停留在需要网络管理员手工建立的水平上。
(3)信息加密技术
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
网络加密常用的方法有链路加密、端点加密和节点加密3种。
(1)链路加密的目的是保护网络节点之间的链路信息安全;
(2)端-端加密的目的是对源端用户到目的端用户的数据提供保护;
(3)节点加密的目的是对源节点到目的节点之间的传输链路提供保护。
用户可根据网络情况酌情选择上述加密方式。
信息加密过程是由形形色色的加密算法来具体实施,他以很小的代价提供很大的安全保护。
在多数情况下,信息加密是保证信息机密性的惟一方法。
据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。
如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。
在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。
当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:
利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。
密码技术是网络安全最有效的技术之一。
一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
3.3.2 防御计算机病毒
如果说,黑客们入侵计算机网络事件是从计算机网络中向外窃取信息情报的话。
那么计算机病毒则是人们向内攻击计算机网络的方法了。
目前计算机病毒已经搅得世界不得安宁,并且他将继续逞凶在未来的信息战场之上,成为各国军队不得不认真对付的一种高技术武器。
由于计算机病毒的传染性、潜伏性和巨大的破坏性。
计算机病毒作为信息战的武器,其攻防对抗的焦点和关键技术是病毒的制作技术、注入技术、激活技术和隔离技术,其中实施病毒战难度最大的是注入、激活和隔离技术。
防御计算机病毒,首先要进行计算机病毒的种类、性能、干扰机理的研究,加强计算机病毒注入、激活、耦合技术的研究和计算机病毒的防御82技术的研究。
但是要从根本上解决问题,就必须要用我国自己的安全设备加强信息与网络的安全性,大力发展基于自主技术的信息安全产业。
这样才能从根本上摆脱引进国外的关键信息系统难以安全利用、有效监控的被动局面。
3.4 感知层次(超技术层次)防御对策
感知层次(超技术层次)的计算机网络对抗是网络空间中面向信息的超逻辑形式的对抗。
网络对抗并不总是表现为技术的、逻辑的对抗形式,如国内外敌对势力利用计算机网络进行反动宣传,传播谣言,蛊惑人心,进行情报窃取和情报欺骗,针对对方军民进行心理战等,就已经超出了网络的技术设计的范畴,属于对网络的管理、监察和控制的问题。
利用黑客技术篡改股市数据以及对股市数据的完整性保护属于逻辑的对抗,而直接发表虚假信息欺骗大众则属于超逻辑的对抗。
后一种意义上的网络对抗瞄准了人性的弱点,运用政治的、经济的、人文的、法制的、舆论的、攻心的等各种手段,打击对方的意志、意念和认知系统,往往以伪装、欺诈、谣言、诽谤、恐吓等形式出现。
因此,感知层次的计算机网络防御,一是依靠实体层次和信息层次的防御,二是依靠网络进攻和其他渠道。
如通过网络进攻,攻击敌方的网站、服务器,阻塞敌方的网络通道,可以防止敌恶意信息和欺骗信息在己方网络中的存在;通过加强政治思想教育,心理素质培养,正面的舆论引导,科技知识的宣传,可以消除或减弱敌方在感知层次的计算机网络进攻对我民众和部队官兵不良影响。
二、网络安全解决方案
筛选路由器—第一道防线
应当使用筛选路由器来保护任何面向Internet的防火墙。
这种路由器只有两个接口:
一个与Internet相连而另一个与外部防火墙(或必要时与负载平衡的防火墙群集)相连。
所有攻击中,将近90%涉及到IP地址失窃,或改变源地址以使数据包看起来如同来自内部网络。
传入数据包没有什么理由可以来自内部网络。
另外,由于一个网络的安全性通常取决于所连接网络的安全性,因此最好能避免您的网络被用作假数据包的来源。
筛选路由器是实现这些目的的理想方法。
应当将筛选路由器配置为“allowallexceptthatwhichisspecificallydenied”(允许通过特别拒绝以外的所有通信)状态。
这样,ACL就执行下列操作:
定义一个进入筛选器,它拒绝任何源地址为内部网络地址的传入通信。
定义一个外出筛选器,它拒绝源地址非内部网络的传出通信。
拒绝RFC1918中所确定的任何专用地址范围内源地址或目标地址的所有传入或传出通信。
允许所有其它的传入和传出通信。
这可阻止大多数攻击,因为窃取内部地址几乎是所有攻击的基本条件。
将筛选路由器后面的防火墙配置为“denyallexceptthatwhichisspecificallyallowed”(拒绝除特别允许之外的所有通信)状态。
(这部分信息的依据为RFC2267,“Networkingressfiltering:
DefeatingdenialofserviceattackswhichemployIPsourceaddressspoofing”,1998年1月。
)
对可用性要求较高的环境,可使用两个筛选路由器,并将二者连接到一对防火墙负载平衡设备上。
防火墙—分层保护
典型的非军事区(DMZ)有两个防火墙。
外部防火墙配置为只允许Internet和DMZ之间连接所需的通信。
内部防火墙的配置要能够保护内部网络不受DMZ的影响—DMZ是非信任网络,因此有必要对内部网络实施保护。
什么是DMZ?
看看世界上仅有的政治方面的DMZ:
南北朝鲜之间的区域。
DMZ由其保护边界确定—在这种情况下,两个地理边界,分别由单独的保护实体进行监视和保护。
网络中的DMZ与此非常类似:
某单独的网络部分经过单独的物理防火墙与(通常)两个其它网络相连。
DMZ与屏蔽子网。
常见的方法是使用具有多个接口的单一物理防火墙。
一个接口连接Internet,第二个接口连接到内部网络,第三个接口连接到通常称为DMZ的区域。
这种体系结构不是真正的DMZ,因为单个设备负责多个保护区域。
这种方案的确切名称是屏蔽子网。
屏蔽子网具有严重缺陷—单个攻击就可破坏整个网络,因为所有网络段都与该防火墙相连。
DMZ的优点。
为什么部署DMZ?
网络攻击日趋增加—有些只是出于好玩、炫耀自己的恶作剧能力,还一些是严重的、有目的的公司间谍和破坏。
有效的安全体系结构是攻击的一道屏障,同时该结构具有可调整能力。
真正的DMZ结构具有下列优点:
具有针对性的安全策略。
每个防火墙实施与保护对象对应的策略。
深入防御。
在安全遭到破坏时,设备的多个物理构件为安全管理员提供更多时间来做出反应。
这是为什么要部署真正的DMZ而不是屏蔽子网的唯一、也是最重要的原因。
改进性能。
两设备间通信检查的职责分开,每个特定保护区配置一台设备。
可扩展性。
可根据需要扩展防火墙—外部防火墙处理的负载通常必须比内部防火墙高很多。
像RadWare'sFireProof这样的技术可以跨防火墙农场而平衡负载。
消除故障点。
为了获得高可用性,应当至少部署与一对防火墙完全适用的一对防火墙负载平衡器。
这样防火墙即可与DMZ核心交换机完全匹配。
DMZ体系结构—安全和性能
另一类常见的攻击是从线路上窥探数据包。
尽管有最近出现的防窥探工具(可能经常不可靠),但用简单集线器构建的网络还是很容易受到这种攻击。
(并且反防窥探工具也可能使它成为一项重要议题。
)使用交换机替代集线器可消除此弱点。
在共享介质网络(即用集线器构建的网络)中,所有的设备可看见所有的通信。
通常网络接口对非发给它的数据帧不进行处理。
混杂模式的接口将把每一帧的内容向上传到计算机的协议栈。
该信息对于有协议分析器的攻击者可能非常有价值。
交换网络可以实际杜绝这种情况的发生。
交换网络中任何机器的网络接口将只能看到特别发给该接口的那些帧。
在这里混杂模式没有什么不同,因为NIC不识别其它任何网络通信。
攻击者窥探交换网络的唯一已知方法是:
攻击者破坏交换机本身并更改其操作,这样交换机至少在一个端口充斥了所有通信。
破坏交换机很难,并且很快会被网络管理员发现。
交换网络还免去了使用双主机DMZ服务器的必要。
双主机提供不了更多的附加保护;附加的NIC不能防止来自已破坏计算机的攻击。
但是在需要高可用性或高性能情况下,使用两个NIC可能更加适合。
消除故障点。
在需要高可用性的环境中有必要使用两个NIC。
一种切实可行的设计方案是在核心部分包括两台交换机,并在每台服务器中包括两个NIC。
一个NIC连接到一台交换机,另一个NIC连接到另一台交换机。
内部网络的情况如何?
出于同样的原因,内部网络也应当用交换机来构建。
如果需要高可用性,请遵照DMZ中同样的原则。
群集互连。
无论在DMZ还是在内部网络中,都使用集线器连接所有群集。
Microsoft不建议使用跨接电缆,因为它们不能提供确保介质敏感型操作正常工作所需的电子信号。
IPSec—信任DMZ的一种更安全的选择
如果所有的服务器都在运行Windows2000,则应当使用Internet协议安全(IPSec)来保护DMZ和内部网络之间所有通讯的安全。
IPSec提供下列功能:
身份验证。
可以确定这样的策略,使得只有那些需要彼此通讯的计算机才可以互相通讯。
加密。
已经侵入到DMZ的入侵者无法将通信解释进或解释出内部网络。
保护。
IPSec保护网络避免重放攻击、人为干预攻击以及通过标准协议(如ICMP或HTTP)进行的攻击(这些攻击可通过基本防火墙和状态检查数据包筛选器防火墙)。
启用IPSec后,内部防火墙必须只允许IPSec、IKE、Kerberos以及DNS通信,这样进一步加强了内部网络的安全性。
内部防火墙中不会有其它漏洞。
对于各种应用程序有漏洞的标准防火墙规则,入侵者可以通过Firewalk这样的工具确定防火墙的策略;而将所有通信封装在IPSec中并只许使用该协议,可隐藏对攻击者可能有用的实施细节(但是还应参见下面的“可能的安全含意”)。
三、防火墙技术分析与设计
防火墙技术现状
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后,提
出了防火墙的概念,防火墙技术得到了飞速的发展。
第二代防火墙,也称代理服务器,它用来提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。
第三代防火墙有效地提高了防火墙的安全性,称为状态监控功能防火墙,它可以对每一层的数据包进行检测和监控。
随着网络攻击手段和信息安全技术的发展,新一代的功能更强大、安全性更强的防火墙已经问世,这个阶段的防火墙已超出了原来传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统,我们称之为第四代防火墙,它可以抵御目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。
防火墙的定义和描述
“防火墙”这个术语参考来自应用在建筑结构里的安全技术。
在楼宇里用来起分隔作用的墙,用来隔离不同的公司或房间,尽可能的起防火作用。
一旦某个单元起火这种方法保护了其它的居住者。
然而,多数防火墙里都有一个重要的门,允许人们进入或离开大楼。
因此,虽然防火墙保护了人们的安全,但这个门在提供增强安全性的同时允许必要的访问。
在计算机网络中,一个网络防火墙扮演着防备潜在的恶意的活动的屏障,并可通过一个”门”来允许人们在你的安全网络和开放的不安全的网络之间通信。
原来,一个防火墙是由一个单独的机器组成的,放置在你的私有网络和公网之间。
近些年来,防火墙机制已发展到不仅仅是”firlwallbox”,更多提及到的是堡垒主机。
它现在涉及到整个从内部网络到外部网络的区域,由一系列复杂的机器和程序组成。
简单来说,今天防火墙的主要概念就是多个组件的应用。
到现在你要准备实施你的防火墙,需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。
防火墙的任务
防火墙在实施安全的过程中是至关重要的。
一个防火墙策略要符合四个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。
大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。
防火墙要能确保满足以下四个目标
实现一个公司的安全策略
防火墙的主要意图是强制执行你的安全策略。
在前面的课程提到过在适当的网络安全中安全策略的重要性。
举个例子,也许你的安全策略只需对MAIL服务器的SMTP流量作些限制,那么你要直接在防火墙强制这些策略。
创建一个阻塞点
防火墙在一个公司私有网络和分网问建立一个检查点。
这种实现要求所有的流量都要通过这个检查点。
一旦这些检查点清楚地建立,防火墙设备就可以监视,过滤和检查所有进来和出去的流量。
网络安全产业称这些检查点为阻塞点。
通过强制所有进出流量都通过这些检查点,网络管理员可以集中在较少的方来实现安全目的。
如果没有这样一个供监视和控制信息的点,系统或安全管理员则要在大量的地方来进行监测。
检查点的另一个名字叫做网络边界。
记录Internet活动
防火墙还能够强制日志记录,并且提供警报功能。
通过在防火墙上实现日志服务,安全管理员可以监视所有从外部网或互联网的访问。
好的日志策略是实现适当网络安全的有效工具之一。
防火墙对于管理员进行日志存档提供了更多的信息。
限制网络暴露
防火墙在你的网络周围创建了一个保护的边界。
并且对于公网隐藏了你内部系统的一些信息以增加保密性。
当远程节点侦测你的网络时,他们仅仅能看到防火墙。
远程设备将不会知道你内部网络的布局以及都有些什么。
防火墙提高认证功能和对网络加密来限制网络信息的暴露。
通过对所能进来的流量时行源检查,以限制从外部发动的攻击。
防火墙类型
目前有三种防火墙: