计算机网络信息安全.docx

计算机网络信息安全.docx

《计算机网络信息安全.docx》由会员分享，可在线阅读，更多相关《计算机网络信息安全.docx（10页珍藏版）》请在冰点文库上搜索。

计算机网络信息安全

计算机网络信息安全

学生姓名

专业

年级

指导教师

学习中心（函授站）

摘要

保障网络信息的安全，是每一个国家和社会以及每一个团体和个人必须正视的事情。

本文针对计算机网络应用相关的基本信息安全问题和解决方案进行了研究。

探讨了新一代防火墙技术的发展和应用，并设计了一种混合型的防火墙系统。

本文给出了该型防火墙的结构组成，阐述了其功能原理，并为实现了相关功能编制了该型防火墙的配制文件。

该型防火墙在内部网和外部网之间形成一个屏蔽子网，可以较好地抵御来自内外部的威胁，可自动根据具体情况完成内外主机的通信，可智能更新信息的过滤规则、自动配置过滤策略，具有防病毒功能，能自动生成事件日记，同时还提供了Web、Mail等服务。

关键词:

信息安全安全技术防火墙技术计算机网络

Abstract

Withthedevelopmentofcomputerandcommunicationtechnology，ensuringthesecurityofthenetinformationarethethingsthateverycountry，andgroupandeverypersonmustenvisage.Thebasieinformationsecurityproblemsandthesolutionsrelatingtotheapplicationofthecomputernethavebeenworkedinthepaper.Thedevelopmentandapplicationofthenewgenerationofthefirewalltechnologyhavebeendiscussed.Finally，akindofmixedfirewallsystemhasbeendesigned.

Inthispaper，thepurposesofdesigngthefirewallandthequestionsthatexpectingtoresolveareexpoundedindetail，thestructureofthefirewallisgiven，itsfunctionsandprinciplearestatedanditsformulatingfilesaredrawnupinordertoachievetherelatedfunctions.Thereisashieldingsubnetbetweeninternalnetandexternallybringaboutcommunicationbetweeninternalandexternalnetaccordingtotheconcreteconditions，intelligentlyrenewthefilteringrulesofinformation，automaticallydisposethefilteringpolicies，itcananti-virusesandthengenerateeventfilesautomatically，simultaneously，italsooffersservicessuchasWebandMail.

Keywords:

Informationsecurity,Firewalltechnology,Securitytechnology,Computernet

目录

引言3

1计算机网络安全的现状3

1.1计算机犯罪案件逐年递增3

1.2计算机病毒危害突出4

1.3黑客攻击手段多样4

2新一代防火墙技术4

2.1智能防火墙技术5

2.2嵌入式防火墙技术6

2.3分布式防火墙技术6

3.混合型防火墙系统的设计与实现6

3.1混合型防火墙体系结构组成7

3.2混合型防火墙功能实现7

结论9

参考文献10

引言

人们通过网络学习、购物、交流，可以说，互联网的迅猛发展是人们享受到了前所未有的便利。

然而，网络也不是完美无缺的，计算机犯罪、黑客、有害程序和后门等问题使网络用户的切身利益受到了严重的威胁和损害，网络安全问题日益受到关注。

计算机技术的普及和应用给人们的生活带来了方便，互联网技术的不断发展，使世界成为一个整体，特别是计算机网络的社会化已成为信息时代的主要推动力。

随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,网络给人们带来惊喜的同时，也带来了威胁,诸如网络的数据窃贼、黑客的侵袭、病毒发布者,甚至系统内部的泄密者。

网络信息的安全性变得日益重要,已被信息社会的各个领域所重视[1]。

1计算机网络安全的现状

近年来,威胁网络安全的事件不断发生,特别是计算机和网络技术发展迅速的国家和部门发生的网络安全事件越来越频繁和严重。

1.1计算机犯罪案件逐年递增

一些国家和部门不断遭到入侵攻击。

据美国金融时报报道,世界上平均每20min就发生一次入侵国际互联网络的计算机安全事件,1/3的防火墙被突破。

计算机犯罪对全球造成了前所未有的新威胁，犯罪学家预言未来信息化社会犯罪的形式将主要是计算机网络犯罪。

1.2计算机病毒危害突出

20世纪90年代以来，出现了许多引起世界性恐慌的“计算机病毒”，其蔓延范围广，增长速度惊人，损失难以估计。

它们像灰色的幽灵将自己附在其他程序上，在这些程序运行时进人到系统中进行扩散。

计算机感染上病毒后，轻则使系统上作效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失，甚至造成计算机主板等部件的损坏。

1.3黑客攻击手段多样

目前世界上有20多万个黑客网站，其攻击方法达几千种之多。

一些专业人士他们洞悉网络的缺陷与漏洞，运用丰富的电脑及网络技术，借助四通八达的网络，对网络及各种电子数据、资料等信息发动进攻。

2新一代防火墙技术

新一代防火墙是应该加强放行数据的安全性，因为网络安全的真实需要是既要保证安全，也必须保证应用的正常运行。

新一代防火墙既有包过滤的功能，又能在应用层进行代理。

较传统的防火墙来说，具有先进的过滤和代理体系，能从数据链路层到应用层进行全方位安全处理，TCP/IP协议和代理的直接相互配合，提供透明代理模式，减轻客户端的配置工作，使本系统的防欺骗能力和运行的健壮性都大大提高;除了访问控制功能外，新一代的防火墙应当还集成了其它许多安全技术，如NAT和VPN、病毒防护等、使防火墙的安全性提升到又一高度[2]。

表1新一代的防火墙产品技术特点

技术类型

技术特点

透明的访问方式

利用透明的代理系统技术，降低了系统登录固有的安全风险和出错概率

灵活的代理系统

采用两种代理机制:

一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接

多级过滤技术

采用了三级过滤措施：

分组过滤一级；应用级网关一级；电路网关一级

网络地址转换技术

利用NAT技术对所有内部地址做转换，详尽记录每一个主机的通信，确保每个分组送往正确的地址

Intemet网关技术

支持用户在Intemet互联的所有服务，防止与Internet服务有关的安全漏洞能够以多种安全的应用服务器（包括FTp、Finger、mail、Ident、NewS、www等）来实现网关功能

安全服务器网络（SSN）

采用分别保护的策略对用户上网的对外服务器实施保护,对SSN上的主机既可单独管理，也可设置成通过FTP、Telnet等方式从内部网上管理

用户鉴别与加密

采用一次性使用的口令系统来作为用户的鉴别手段，

并实现了对邮件的加密

2.1智能防火墙技术

智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的的。

新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。

由于这些方法多是人工智能学科采用的方法，因此被称为智能防火墙。

表2智能防火墙的关键技术

技术类型

技术特点

防攻击技术

智能识别恶意数据流量，并有效地阻断恶意数据攻击，有效的切断恶意病毒或木马的流量攻击

防扫描技术

能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者，有效地解决代表或恶意代码的恶意扫描攻击

包擦洗和协议正常化技术

对IP、TCP、UDP、ICMP等协议进行擦洗，实现协议的正常化，对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁，效果显著。

防欺骗技术

对IP层的身份认证，基于身份来实现访问控制

入侵防御技术

对准许放行的数据进行入侵检测，并提供入侵防御保护，可以有效地检测新出现的攻击

智能防火墙成功地解决了普遍存在的拒绝服务攻击（DDOS）的问题、病毒传播问题和高级应用入侵问题，代表着防火墙的主流发展方向。

其主要应用领域主要包括:

入侵防御、防范黑客攻击、防范潜在风险、防范恶意数据攻击、防范MAC欺骗和IP欺骗等几个方面[3]。

2.2嵌入式防火墙技术

嵌入式防火墙就是内潜于路由器或交换机的防火墙。

嵌入式防火墙是某些路由器的标准配置。

用户也可以购买防火墙模块，安装到已有的路由器或交换机中。

嵌入式防火墙弥使得不论企业局域网的拓扑结构如何变更，防护措施都能延伸到网络边缘为网络提供保护;基于硬件、能够防范入侵的安全特性能独立于主机操作系统与其他安全性程序运行，甚至在安全性较差的宽带链路上都能实现安全移动与远程接入。

但是嵌入式防火墙工作于IP层，所以无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。

就本质而言，嵌入式防火墙常常是无监控状态的，它在传递信息包时并不考虑以前的连接状态。

防火墙安全性解决方案能够为那些需要在家访问公司局域网的远程办公用户提供了保护。

帮助企业确保网络最薄弱和未保护领域的安全，如笔记本电脑和远程PC机，实行集中式管理的嵌入式客户机方案，并实现了跨企业边缘防火墙的可靠网络连接，为企业和政府点提供天衣无缝的安全性。

2.3分布式防火墙技术

分布式防火墙产品是指那些驻留在网络主机如服务器或桌面机并对主机系统自身提供安全保护的软件产品;从广义来讲，“分布式防火墙”是一种新的防火墙体系结构。

它包含有网络防火墙；主机防火墙；中心管理等。

分布式防火墙克服了传统防火墙的缺陷，它在网络内部增加了另一层安全，有效抵御来自内部的攻击，消除网络边界上的通信瓶颈和单一故障点，支持基于加密和认证的网络应用;与拓扑无关，支持移动计算。

分布式防火墙主要应用在企业的网络和服务器主机，在于堵住内部网的漏洞，解决来自企业内部网的攻击。

分布式防火墙实施在企业各个网络端点上，克服了传统防火墙的缺陷，有效地保护了主机，适应了新的网络应用的需要。

3.混合型防火墙系统的设计与实现

传统防火墙一旦被攻破后，整个内部网络完全暴露，对整个内部网络系统构成很大的威胁，且传统防火墙对内部网络用户的威胁不具备防范功能。

针对常规防火墙存在的这些问题，结合现有技术，设计了一种混合型防火墙系统。

3.1混合型防火墙体系结构组成

混合型防火墙采用一种组合结构，它主要由内部防火墙、外部防火墙、堡垒主机和基站主机服务器四部分组成，如下图1所示。

图1混合型防火墙组成示意图

内、外防火墙在内部网和外部网之间构成一个安全子网，称为屏蔽子网，基站主机、堡垒主机、邮件服务器、打印服务器、Web服务器、数据库服务器等公用服务器布置在屏蔽子网中。

外部防火墙介于Internet与屏蔽子网之间，内部防火墙介于内部网与屏蔽子网之间。

3.2混合型防火墙功能实现

堡垒主机服务器中运行的应用过滤管理器模块对到达堡垒主机的数据包，从最底层协议到高层协议逐层分析，提取与安全相关的各种信息，如:

通信信息、信息应用的状态等，把获取的信息通过安全通道保密发送给基站主机服务器进行分析，并负责接收基站主机服务器的保密回传的应用服务过滤信息，然后由应用过滤管理器模块负责相关应用服务的过滤功能进行配置，完成过滤工作[4]。

对于内部网络中非法用户的操作，如最常见的IP地址的盗用，一般在内部路由器中实施网络适配器的物理地址和IP地址绑定实现，但随着子网和IP地址的增加，其扩展性较差。

我们考虑到每一个网络用户都有一个唯一的硬件地址，这个唯一的硬件地址在网络中以网帧传输，在给用户IP地址的时候，在基站主机服务器中自动建立一个表，该表中记录IP地址和映射的物理地址，当用户在使用网络服务的时候，从该节点发送一个经过打包的数据到网络中，该数据包包括此节点的IP地址与映射的物理地址，数据包在发送的时候读取基站主机服务器中的表，如果IP地址与映射的物理地址相符的时候，就可以完成网络通信，通过屏蔽子网与外部网络实施联接，否则，请求更新基站主机服务器中的表，进行再次核实，这样可以避免网络内部盗用护地址和非法使用IP地址的用户进入屏蔽子网。

对于其他的网络攻击，一样可以通过基站主机服务器中的智能认证系统认证后，方可进入屏蔽子网，通过堡垒主机指定的端口完成网络通信。

基站主机服务器上的智能认证中心实际是一个专家服务系统，该系统主要由堡垒主机中过滤管理器保密传送的信息使其运行。

无论是外部请求还是内部请求，在通过内外部防火墙后，都要在屏蔽子网中经堡垒主机指定端口方可完成访问。

然后看前方针对数据包的过滤规则，如果规则阻止传输，该数据包丢弃;如果规则允许传输，该数据包通过防火墙;如果规则中没有任何满足该数据包的规则，堡垒主机上的过滤管理器就对该数据包进行分析，从中提取信息保密发送给基站主机服务器，智能认证系统把刚刚接收到信息与相关数据库中数据比较、分析、推断，得出过滤策略，通过保密通信更新内外部防火墙的路由表及过滤规则。

无论内外部网络访问没有通过基站主机服务器的认证和堡垒主机分配的端口，均不能通过前方防火墙，这时就会中断网络通信。

假设攻破堡垒主机，接收不到基站主机服务器的保密回传应用服务过滤信息，不能满足前方防火墙中的过滤规则，就不能通过防火墙，这样对内外部网络形成不了威胁。

以下是为实现混合型防火墙功能设计的配置文件[5]:

某公司使用PIX系列防火墙连接到internet，ISP分配给该公司一段地址:

44.45.102.3-10。

在DMZ（DemilitarizedZone非军事区）区放置应用服务器WebServer、Mailserver、AppServer等。

分配IP地址44.45.102.8/9/10，内部访问外部地址池44.45.102.4-7。

要求内部网络能够访问DMZ区域，且应用服务器地址发布到internet。

DMZ网段192.168.10.1/24。

内部4个子网段192.168.5.1/24、192.168.20.1/24、192.168.30.1/24、192.168.40.1/24。

VLANIDS/20/30/40。

TELNET地址192.168.20.16。

混合型防火墙配置示意图如下图2所示。

图2混合型防火墙配置示意图

该混合型防火墙吸收了包过滤技术、网络地址转换技术、Internet网关技术等防火墙技术，可以自动根据具体情况完成内外主机直接通信，可智能更新信息的过滤规则，自动配置过滤策略，具有防病毒功能，自动生成事件日记。

经模拟网络攻击，该防火墙都能较好地抵御来自内外部的威胁，保证网络的安全和使用效率，达到了保证网络安全运行的目的和设计的初衷。

结论

本文分析了当前计算机网络信息安全的现状以及多种保证网络信息安全的技术，提出了一种混合型防火墙的设计，综合实现了当前几种单一型防火墙的功能，可以有效地解决常规防火墙存在的一些问题,如:

邮件攻击、病毒攻击、IP地址盗用等网络信息安全威胁

由于时间、设备、试验手段等条件的限制，以及本人在此领域专业知识的局限，同时由于针对网络信息安全的攻击具有不确定性且随着时间的推移会出现新的威胁，因此，本设计还有较多不足之处。

当前信息安全技术发展迅速，但没有任一种解决方案可以防御所有危及信息安全的攻击，这是“矛”与“盾”的问题，需要不断吸取新的技术，取众家所长，才能使“盾”更坚，以防御不断锋利的“矛”，因此，要不断跟踪新技术，对所采用的信息安全技术进行升级完善，以确保相关利益不受侵犯。

参考文献

[1]宁蒙.网络信息安全与防范技术[M].第1版.南京:

东南大学出版社.2005.

[2]郑加锋.浅谈互联网安全与信息加密技术[J].情报探索.2005（l）:

68-6938.

[3]黄世权.网络安全及其基本解决方案[J].科技情报开发与经济,2004（12）:

240-24136.

[4]蔡皖东.网络与信息安全[M].第1版.西安:

西北工业大学出版社.20044.

[5]陈月波.网络信息安全[M].武汉:

武汉工业大学出版社.2005.