時(shí)間:2022-06-29 07:28:33
開(kāi)篇:寫(xiě)作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇防火墻技術(shù)論文,希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友,陪伴您不斷探索和進(jìn)步。
關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻
1從軟、硬件形式上分
如果從防火墻的軟、硬件形式來(lái)分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。
(1)軟件防火墻。
軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上,它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持,一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過(guò)于Checkpoint。使用這類防火墻,需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。
(2)硬件防火墻。
這里說(shuō)的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對(duì)芯片級(jí)防火墻說(shuō)的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻,他們都基于PC架構(gòu),就是說(shuō),它們和普通的家庭用的PC沒(méi)有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng),最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。值得注意的是,由于此類防火墻采用的依然是別人的內(nèi)核,因此依然會(huì)受到OS(操作系統(tǒng))本身的安全性影響。
(3)芯片級(jí)防火墻。
芯片級(jí)防火墻基于專門(mén)的硬件平臺(tái),沒(méi)有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強(qiáng),性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng)),因此防火墻本身的漏洞比較少,不過(guò)價(jià)格相對(duì)比較高昂。
2從防火墻技術(shù)分
防火墻技術(shù)雖然出現(xiàn)了許多,但總體來(lái)講可分為“包過(guò)濾型”和“應(yīng)用型”兩大類。前者以以色列的Checkpoint防火墻和美國(guó)Cisco公司的PIX防火墻為代表,后者以美國(guó)NAI公司的Gauntlet防火墻為代表。
(1)包過(guò)濾(Packetfiltering)型。
包過(guò)濾方式是一種通用、廉價(jià)和有效的安全手段。之所以通用,是因?yàn)樗皇轻槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式,適用于所有網(wǎng)絡(luò)服務(wù);之所以廉價(jià),是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過(guò)濾功能,所以這類防火墻多數(shù)是由路由器集成的;之所以有效,是因?yàn)樗芎艽蟪潭壬蠞M足了絕大多數(shù)企業(yè)安全要求。
在整個(gè)防火墻技術(shù)的發(fā)展過(guò)程中,包過(guò)濾技術(shù)出現(xiàn)了兩種不同版本,稱為“第一代靜態(tài)包過(guò)濾”和“第二代動(dòng)態(tài)包過(guò)濾”。
包過(guò)濾方式的優(yōu)點(diǎn)是不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序,因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層,與應(yīng)用層無(wú)關(guān)。但其弱點(diǎn)也是明顯的:過(guò)濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過(guò)濾器中,過(guò)濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會(huì)受到很大地影響;由于缺少上下文關(guān)聯(lián)信息,不能有效地過(guò)濾如UDP、RPC(遠(yuǎn)程過(guò)程調(diào)用)一類的協(xié)議;另外,大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制,它只能依據(jù)包頭信息,而不能對(duì)用戶身份進(jìn)行驗(yàn)證,很容易受到“地址欺騙型”攻擊。對(duì)安全管理人員素質(zhì)要求高,建立安全規(guī)則時(shí),必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此,過(guò)濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用,共同組成防火墻系統(tǒng)。
(2)應(yīng)用(ApplicationProxy)型。
應(yīng)用型防火墻是工作在OSI的最高層,即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流,通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門(mén)的程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。
在型防火墻技術(shù)的發(fā)展過(guò)程中,它也經(jīng)歷了兩個(gè)不同的版本:第一代應(yīng)用網(wǎng)關(guān)型防火和第二代自適應(yīng)防火墻。
類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層,所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù),而不是像包過(guò)濾那樣,只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過(guò)濾。
另外型防火墻采取是一種機(jī)制,它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門(mén)的,所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的,而都需先經(jīng)過(guò)服務(wù)器審核,通過(guò)后再由服務(wù)器代為連接,根本沒(méi)有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì),從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。
防火墻的最大缺點(diǎn)是速度相對(duì)比較慢,當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí),防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門(mén)的服務(wù),在自己的程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間,所以給系統(tǒng)性能帶來(lái)了一些負(fù)面影響,但通常不會(huì)很明顯。
3從防火墻結(jié)構(gòu)分
從防火墻結(jié)構(gòu)上分,防火墻主要有:?jiǎn)我恢鳈C(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機(jī)防火墻是最為傳統(tǒng)的防火墻,獨(dú)立于其它網(wǎng)絡(luò)設(shè)備,它位于網(wǎng)絡(luò)邊界。
這種防火墻其實(shí)與一臺(tái)計(jì)算機(jī)結(jié)構(gòu)差不多(如下圖),同樣包括CPU、內(nèi)存、硬盤(pán)等基本組件,主板更是不能少的,且主板上也有南、北橋芯片。它與一般計(jì)算機(jī)最主要的區(qū)別就是一般防火墻都集成了兩個(gè)以上的以太網(wǎng)卡,因?yàn)樗枰B接一個(gè)以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤(pán)就是用來(lái)存儲(chǔ)防火墻所用的基本程序,如包過(guò)濾程序和服務(wù)器程序等,有的防火墻還把日志記錄也記錄在此硬盤(pán)上。雖然如此,但我們不能說(shuō)它就與我們平常的PC機(jī)一樣,因?yàn)樗墓ぷ餍再|(zhì),決定了它要具備非常高的穩(wěn)定性、實(shí)用性,具備非常高的系統(tǒng)吞吐性能。正因如此,看似與PC機(jī)差不多的配置,價(jià)格甚遠(yuǎn)。
隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高,原來(lái)作為單一主機(jī)的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個(gè)獨(dú)立的硬件實(shí)體,而是由多個(gè)軟、硬件組成的系統(tǒng),這種防火墻,俗稱“分布式防火墻”。
原來(lái)單一主機(jī)的防火墻由于價(jià)格非常昂貴,僅有少數(shù)大型企業(yè)才能承受得起,為了降低企業(yè)網(wǎng)絡(luò)投資,現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級(jí)的包過(guò)濾型。這樣企業(yè)就不用再同時(shí)購(gòu)買(mǎi)路由器和防火墻,大大降低了網(wǎng)絡(luò)設(shè)備購(gòu)買(mǎi)成本。
分布式防火墻再也不只是位于網(wǎng)絡(luò)邊界,而是滲透于網(wǎng)絡(luò)的每一臺(tái)主機(jī),對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中,通常會(huì)安裝一個(gè)用于防火墻系統(tǒng)管理軟件,在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡,這樣一塊防火墻卡同時(shí)兼有網(wǎng)卡和防火墻的雙重功能。這樣一個(gè)防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何其它主機(jī)發(fā)送的通信連接都視為“不可信”的,都需要嚴(yán)格過(guò)濾。而不是傳統(tǒng)邊界防火墻那樣,僅對(duì)外部網(wǎng)絡(luò)發(fā)出的通信請(qǐng)求“不信任”。
4按防火墻的應(yīng)用部署位置分
按防火墻的應(yīng)用部署位置分,可以分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類。
邊界防火墻是最為傳統(tǒng)的,它們于內(nèi)、外部網(wǎng)絡(luò)的邊界,所起的作用的對(duì)內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離,保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都屬于硬件類型,價(jià)格較貴,性能較好。
個(gè)人防火墻安裝于單臺(tái)主機(jī)中,防護(hù)的也只是單臺(tái)主機(jī)。這類防火墻應(yīng)用于廣大的個(gè)人用戶,通常為軟件防火墻,價(jià)格最便宜,性能也最差。
混合式防火墻可以說(shuō)就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統(tǒng),由若干個(gè)軟、硬件組件組成,分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間,既對(duì)內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過(guò)濾,又對(duì)網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過(guò)濾。它屬于最新的防火墻技術(shù)之一,性能最好,價(jià)格也最貴。
5按防火墻性能分
按防火墻的性能來(lái)分可以分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類。
因?yàn)榉阑饓νǔN挥诰W(wǎng)絡(luò)邊界,所以不可能只是十兆級(jí)的。這主要是指防火的通道帶寬(Bandwidth),或者說(shuō)是吞吐率。當(dāng)然通道帶寬越寬,性能越高,這樣的防火墻因包過(guò)濾或應(yīng)用所產(chǎn)生的延時(shí)也越小,對(duì)整個(gè)網(wǎng)絡(luò)通信性能的影響也就越小。
雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊,不能防止來(lái)自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來(lái)的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。
參考文獻(xiàn)
[1]孫建華等.網(wǎng)絡(luò)系統(tǒng)管理-Linux實(shí)訓(xùn)篇[M].北京:人民郵電出版社,2003,(10).
關(guān)鍵詞:防火墻;NetST;網(wǎng)絡(luò)信息
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-4311(2012)18-0178-02
0 引言
一般來(lái)說(shuō),防火墻包括幾個(gè)不同的組成部分:過(guò)濾器(有時(shí)也稱屏蔽)用于阻斷一定類型的通信傳輸。網(wǎng)關(guān)是一臺(tái)或一組機(jī)器,它提供中繼服務(wù),以補(bǔ)償過(guò)濾器的影響。駐有網(wǎng)關(guān)的網(wǎng)絡(luò)常被叫做非軍事區(qū)(DeMilitarized Zone,DMZ)。DMZ中的網(wǎng)關(guān)有時(shí)還由一個(gè)內(nèi)部網(wǎng)關(guān)(internal gateway)協(xié)助工作。一般情況下,兩個(gè)網(wǎng)關(guān)通過(guò)內(nèi)部過(guò)濾器到內(nèi)部的連接比外部網(wǎng)關(guān)到其他內(nèi)部主機(jī)的連接更為開(kāi)放。就網(wǎng)絡(luò)通信而言,兩個(gè)過(guò)濾器或網(wǎng)關(guān)本身,都是可以省去的,詳細(xì)情況隨防火墻的變化而變化。一般說(shuō)來(lái),外部過(guò)濾器可用來(lái)保護(hù)網(wǎng)關(guān)免受攻擊,而內(nèi)部過(guò)濾器用來(lái)應(yīng)付一個(gè)網(wǎng)關(guān)遭到破壞后所帶來(lái)的后果,兩個(gè)過(guò)濾器均可保護(hù)內(nèi)部網(wǎng)絡(luò),使之免受攻擊。一個(gè)暴露的網(wǎng)關(guān)機(jī)器通常被叫做堡壘機(jī)。
防火墻可分成兩種主要類別:數(shù)據(jù)包過(guò)濾(packet filtering)和應(yīng)用網(wǎng)關(guān)(application gateway)。
數(shù)據(jù)包過(guò)濾防火墻的工作方法是通過(guò)基于數(shù)據(jù)包的源地址、目的地址或端口來(lái)進(jìn)行過(guò)濾的。一般說(shuō)來(lái),不保持前后連接信息,過(guò)濾決定也是根據(jù)當(dāng)前數(shù)據(jù)包的內(nèi)容來(lái)做的。管理員可以設(shè)計(jì)一個(gè)可接受機(jī)器和服務(wù)的列表,以及一個(gè)不可接受機(jī)器和服務(wù)的列表。在主機(jī)和網(wǎng)絡(luò)一級(jí),利用數(shù)據(jù)包過(guò)濾器很容易實(shí)現(xiàn)允許或禁止訪問(wèn)。例如,允許主機(jī)A和B之間的任何IP訪問(wèn),或禁止除A以外的任何機(jī)器訪問(wèn)B。
大多數(shù)安全策略需要更為精細(xì)的控制:對(duì)根本不被信任的主機(jī),需要定義容許它們?cè)L問(wèn)的服務(wù)。例如,可以希望允許任何主機(jī)與機(jī)器A連接,但僅限于發(fā)送或接收郵件。其他服務(wù)可以或不可以被允許。數(shù)據(jù)包過(guò)濾器允許在這一級(jí)別上進(jìn)行某些控制,為了正確地做到這一點(diǎn),要求精通許多操作系統(tǒng)上TCP和UDP端口的使用知識(shí)。包過(guò)濾防火墻的優(yōu)點(diǎn)是速度快,缺點(diǎn)是不能對(duì)數(shù)據(jù)內(nèi)容進(jìn)行控制。
應(yīng)用網(wǎng)關(guān)防火墻則是另一種方式,它不使用通用目標(biāo)機(jī)制來(lái)允許各種不同種類的通信,而是針對(duì)每個(gè)應(yīng)用使用專用目的代碼。雖然這樣做看來(lái)有些浪費(fèi),但卻比任何其他方法安全得多。一是不必?fù)?dān)心不同過(guò)濾規(guī)則集之間的交互影響,二是不必?fù)?dān)憂對(duì)外部提供安全服務(wù)的主機(jī)中的漏洞。只需仔細(xì)檢查選擇的數(shù)個(gè)程序。應(yīng)用網(wǎng)關(guān)還有另一個(gè)優(yōu)點(diǎn):它易于記錄并控制所有的進(jìn)/出通信,并對(duì)Internet的訪問(wèn)做到內(nèi)容級(jí)的過(guò)濾,所以是很安全的。應(yīng)用級(jí)網(wǎng)關(guān)的最大缺點(diǎn)就是速度慢。
1 網(wǎng)絡(luò)的系統(tǒng)規(guī)劃與設(shè)計(jì)
根據(jù)用戶具體情況,規(guī)劃內(nèi)網(wǎng)的環(huán)境,必要時(shí)使用多個(gè)網(wǎng)段。確定是否需要向外部Internet提供服務(wù)以及何種服務(wù),由此確定是否需要DMZ網(wǎng)段以及DMZ網(wǎng)段的具體結(jié)構(gòu)。根據(jù)內(nèi)網(wǎng)、DMZ網(wǎng)的結(jié)構(gòu)確定NetST■防火墻的具體連接方式,防火墻位置一般放在路由器之后,內(nèi)網(wǎng)、DMZ網(wǎng)之前。設(shè)計(jì)系統(tǒng)的訪問(wèn)控制規(guī)則,使防火墻起作用。
2 防火墻配置步驟建議
配置網(wǎng)絡(luò)結(jié)構(gòu),安裝NetST■防火墻硬件,使防火墻各網(wǎng)卡正確連接內(nèi)網(wǎng),外網(wǎng)和DMZ網(wǎng)。配置NetST■防火墻網(wǎng)絡(luò)參數(shù)使網(wǎng)絡(luò)連接正常,必要時(shí)需重啟NetST■防火墻。設(shè)計(jì)網(wǎng)絡(luò)安全策略,根據(jù)用戶具體情況設(shè)置安全選項(xiàng)、NAT規(guī)則、訪問(wèn)控制的過(guò)濾規(guī)則、內(nèi)容過(guò)濾規(guī)則等。啟動(dòng)防火墻引擎,使規(guī)則起作用。
3 防火墻規(guī)則定義的一般步驟
NetST防火墻一般按下列步驟定義規(guī)則:
一般情況下,我們建議用戶按上面步驟進(jìn)行規(guī)則配置,用戶也可以根據(jù)情況進(jìn)行一定的調(diào)整和修改。
4 狀態(tài)檢測(cè)防火墻引擎
NetST防火墻引擎采用國(guó)際先進(jìn)的狀態(tài)檢測(cè)包過(guò)濾技術(shù),實(shí)時(shí)在線監(jiān)測(cè)當(dāng)前內(nèi)外網(wǎng)絡(luò)的TCP連接狀態(tài),根據(jù)連接狀態(tài)動(dòng)態(tài)配置規(guī)則,對(duì)異常的連接狀態(tài)進(jìn)行阻斷,實(shí)現(xiàn)入侵檢測(cè)并及時(shí)報(bào)警。NetST■防火墻支持對(duì)目前國(guó)際上主要的網(wǎng)絡(luò)攻擊方法的判別,并且進(jìn)行有效阻斷。作為包過(guò)濾型防火墻, NetST防火墻為用戶提供強(qiáng)大的包過(guò)濾功能。NetST防火墻支持各種主流網(wǎng)絡(luò)協(xié)議,不僅可以根據(jù)網(wǎng)絡(luò)流量的類型、網(wǎng)絡(luò)地址、應(yīng)用服務(wù)等條件進(jìn)行過(guò)濾,并且可以對(duì)多種網(wǎng)絡(luò)入侵進(jìn)行辨別和有效阻斷,同時(shí)實(shí)時(shí)進(jìn)行記錄和報(bào)警;另外,NetST■防火墻與內(nèi)置多種網(wǎng)絡(luò)對(duì)象的Java管理控制臺(tái)配合使用,可以更加充分發(fā)揮NetST■防火墻引擎的強(qiáng)大的包過(guò)濾功能。
4.1 全面安全防護(hù) NetST防火墻具備抵御多種外來(lái)惡意攻擊的能力:
4.1.1 DoS(Deny of Service,拒絕服務(wù))攻擊:此類型的攻擊方式包括SYN Flooding、LAND攻擊、Ping Flooding、Ping of Death、Teardrop/New Tear、IP碎片攻擊等,攻擊者對(duì)服務(wù)器不斷發(fā)各種類型的數(shù)據(jù)包使服務(wù)器的處理能力達(dá)到飽和,從而不能再接受正常的訪問(wèn)。NetST■防火墻利用地址檢測(cè)、流量限制、碎片重組等方法進(jìn)行防御;
4.1.2 IP欺騙:攻擊機(jī)器 C模擬被攻擊機(jī)器A信任的機(jī)器B與A通信,通常先通過(guò)DoS攻擊使B的網(wǎng)絡(luò)陷于癱瘓,然后再冒充B與A通信以執(zhí)行對(duì)A造成危害的操作。防止IP欺騙的方法一是服務(wù)器不開(kāi)危險(xiǎn)服務(wù),二是服務(wù)器的TCP連接的起始序列號(hào)要隨機(jī)選取,防止被猜,三是加強(qiáng)對(duì)DoS攻擊的防御。NetST■防火墻的防御方法是一是禁止外網(wǎng)到內(nèi)網(wǎng)的連接請(qǐng)求,或只將允許的開(kāi)放端口請(qǐng)求轉(zhuǎn)到DMZ區(qū)的服務(wù)器,同時(shí)DMZ區(qū)服務(wù)器盡量只開(kāi)單一服務(wù),并注意對(duì)系統(tǒng)軟件進(jìn)行升級(jí)或打補(bǔ)丁;
4.1.3 端口掃描:通過(guò)端口掃描,攻擊者可知道被攻擊的服務(wù)器上運(yùn)行那些服務(wù),從而對(duì)服務(wù)進(jìn)行攻擊或利用某些服務(wù)的缺陷攻擊主機(jī)。NetST■防火墻利用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能、TCP狀態(tài)檢測(cè)等方法進(jìn)行防御;
4.1.4 IP盜用:在內(nèi)網(wǎng)中的一臺(tái)機(jī)器通過(guò)修改IP地址模擬另一臺(tái)機(jī)器,從而NetST■防火墻使用基于用戶的認(rèn)證使IP地址與用戶動(dòng)態(tài)綁定以及IP地址與MAC地址綁定來(lái)進(jìn)行預(yù)防。
4.2 全面內(nèi)容過(guò)濾 NetST防火墻支持對(duì)最常用的應(yīng)用層協(xié)議進(jìn)行內(nèi)容過(guò)濾,使用戶可以根據(jù)網(wǎng)絡(luò)傳輸?shù)膬?nèi)容進(jìn)行管理和控制,從而使企業(yè)網(wǎng)絡(luò)運(yùn)行更加快速有效。NetST防火墻支持HTTP協(xié)議的URL過(guò)濾和HTML內(nèi)容過(guò)濾。NetST■防火墻支持與WebCM■3000系列產(chǎn)品無(wú)縫集成,由NetST■防火墻提取出URL,然后與UFP服務(wù)器連接以確定是否允許此請(qǐng)求通過(guò);同時(shí),可過(guò)濾HTML頁(yè)面中的各種腳本和Java小程序;可拒絕各種媒體類型的數(shù)據(jù),如圖像、聲頻、視頻等,以免浪費(fèi)帶寬,降低工作效率;NetST防火墻支持FTP協(xié)議內(nèi)容過(guò)濾,用戶可自行設(shè)定拒絕上載和下載的文件類型表,對(duì)此文件類型范圍內(nèi)的文件傳送請(qǐng)求將被拒絕;
NetST防火墻支持主要郵件協(xié)議的內(nèi)容過(guò)濾。對(duì)于SMTP協(xié)議,用戶可自行設(shè)定拒絕發(fā)的附件文件類型表,對(duì)此文件類型范圍內(nèi)的附件發(fā)送請(qǐng)求將被拒絕;對(duì)于POP3協(xié)議,可自行設(shè)定危險(xiǎn)的附件文件類型表,對(duì)此文件類型范圍內(nèi)的附件收取將修改文件的后綴名以使其暫時(shí)失效,從而防止諸如“ILOVEYOU”等郵件病毒的攻擊。
在當(dāng)前信息技術(shù)高速發(fā)展的情況下,好的反火槍技術(shù)不斷發(fā)展更新,設(shè)計(jì)該系統(tǒng)的過(guò)程中,我們也是在不斷的發(fā)現(xiàn)問(wèn)題,解決問(wèn)題。也發(fā)現(xiàn)了不少?zèng)]有能解決的新問(wèn)題,比如延時(shí)的控制以及系統(tǒng)運(yùn)行時(shí)的安全保障等新的問(wèn)題。這需要在今后的工作中不斷的去努力,不斷地去研究逐漸解決。
參考文獻(xiàn):
[1]張迅.基于SIP的IP視頻電話的設(shè)計(jì)與實(shí)現(xiàn).華中科技大學(xué)碩士學(xué)位論文,2006:14-19.
[2]武海寧基于SIP/RTP的實(shí)用VOIP系統(tǒng)研究.北京郵電大學(xué)碩士學(xué)位論文,2007:17-23.
[3]唐岷.基于SIP的VoIP穿越防火墻/NAT的研究與實(shí)現(xiàn).南京理工大學(xué)碩士學(xué)位論文,2006:45-50.
【關(guān)鍵詞】建筑工程 防火防爆設(shè)計(jì)安全性能設(shè)計(jì)要點(diǎn)
中圖分類號(hào): TU198 文獻(xiàn)標(biāo)識(shí)碼: A
一.引言
隨著社會(huì)經(jīng)濟(jì)的發(fā)展,建筑工程建設(shè)得到了前所未有的發(fā)展,建筑工程項(xiàng)目的數(shù)量日益增多,同時(shí)出現(xiàn)的各種建筑工程事故也在增加。建筑工程的結(jié)構(gòu)設(shè)計(jì)是保證工程質(zhì)量的關(guān)鍵,防火防爆設(shè)計(jì)直接影響著工程項(xiàng)目的實(shí)用性,甚至關(guān)系著人民的生命財(cái)產(chǎn)安全。因此,為了提高建筑工程的質(zhì)量,保障人民的生命財(cái)產(chǎn)安全,降低國(guó)家的經(jīng)濟(jì)損失,我們必須要加強(qiáng)對(duì)建筑工程防火防爆設(shè)計(jì)的研究,提高設(shè)計(jì)的安全性。
二.對(duì)工業(yè)建筑進(jìn)行防火防爆設(shè)計(jì)需考慮的問(wèn)題。
建筑消防設(shè)計(jì)是建筑設(shè)計(jì)中一個(gè)重要組成部分,關(guān)系到人民生命財(cái)產(chǎn)安全,應(yīng)該引起大家的足夠重視。文章從防火分區(qū)、安全疏散以及防爆泄壓三方面來(lái)討論:
(1). 建筑的防火分區(qū)問(wèn)題。
《建規(guī)》中規(guī)定了廠房及倉(cāng)庫(kù)的的防火分區(qū),其中有一點(diǎn)需要注意,廠房及倉(cāng)庫(kù)的防火分區(qū)首先受該建筑物生產(chǎn)類別影響,其次還和建筑物的耐火等級(jí)有關(guān)。雖然《建規(guī)》中規(guī)定封閉樓梯間的門(mén)為雙向彈簧門(mén)就可以了,但做為劃分防火分區(qū)用的封閉樓梯間門(mén)至少應(yīng)設(shè)乙級(jí)防火門(mén)。否則樓梯間也是火災(zāi)縱向蔓延的途徑之一,也應(yīng)按上下連通層作為一個(gè)防火分區(qū)計(jì)算面積。
(2). 安全疏散設(shè)計(jì)問(wèn)題。
很多大型工業(yè)建筑在消防安全疏散設(shè)計(jì)中存在的問(wèn)題,諸如首層疏散樓梯無(wú)法直通室外,設(shè)備及管道布置錯(cuò)綜復(fù)雜致使人員逃生路線迂回曲折,疏散距離超過(guò)規(guī)范要求等。在設(shè)計(jì)中應(yīng)合理設(shè)置安全疏散通道,并使疏散通道兩側(cè)的隔墻耐火極限≥lh(非燃材料),房間內(nèi)最遠(yuǎn)工作點(diǎn)的疏散距離應(yīng)考慮設(shè)備及管道布置的影響等等。
(3)防爆泄壓應(yīng)注意的問(wèn)題
首先,不同用途的廠房有不同的廠房爆炸危險(xiǎn)等級(jí),進(jìn)而根據(jù)規(guī)范采取相應(yīng)級(jí)別的泄壓比。第二,要避免建筑物內(nèi)有爆炸危險(xiǎn)的部位形成長(zhǎng)細(xì)比過(guò)大的空間,以防止爆炸時(shí)產(chǎn)生較大超壓,保證所設(shè)計(jì)的泄壓面積能有效。第三,泄壓方向要避開(kāi)人員疏散通道及重要設(shè)施。
三.工業(yè)廠房防火防爆設(shè)計(jì)要點(diǎn)。
有爆炸危險(xiǎn)的廠房,一旦發(fā)生爆炸,不但會(huì)造成房倒人亡,設(shè)備摧毀,生產(chǎn)停頓,甚至引起相鄰廠房或設(shè)施連鎖爆炸、次生火災(zāi)。因此,從廠房設(shè)計(jì)起,就應(yīng)考慮防爆抗爆措施。消防部門(mén)也應(yīng)加強(qiáng)對(duì)此類廠房的審核,嚴(yán)格把關(guān),將隱患消滅在源頭。因此在設(shè)計(jì)爆炸危險(xiǎn)廠房時(shí)應(yīng)注意把握以下幾個(gè)方面:
1.平面布局設(shè)計(jì)。
規(guī)模較大的工廠和倉(cāng)庫(kù),應(yīng)根據(jù)實(shí)際需要,合理劃分生產(chǎn)區(qū)、儲(chǔ)存區(qū)、生產(chǎn)輔助設(shè)施區(qū)和行政辦公、生活福利區(qū)等。同一生產(chǎn)企業(yè)內(nèi),宜盡量將火災(zāi)危險(xiǎn)性相同或相近的建筑集中布置,以便分別采取防火防爆設(shè)施,便于安全管理。在選址時(shí),應(yīng)注意周?chē)h(huán)境,充分考慮建廠地區(qū)的企業(yè)和居民安全。注意地勢(shì)條件,應(yīng)根據(jù)產(chǎn)品的性質(zhì),優(yōu)先選取有利地形,減少危險(xiǎn)性,減少對(duì)周?chē)h(huán)境的火災(zāi)威脅。注意風(fēng)向,散發(fā)可燃?xì)怏w、可燃蒸汽和可燃粉塵的車(chē)間、裝置,應(yīng)布置在廠區(qū)的全年主導(dǎo)風(fēng)向的下風(fēng)向。
2.建筑耐火等級(jí)。
建筑物耐火等級(jí)。劃分建筑物耐火等級(jí)是建筑設(shè)計(jì)防火規(guī)范中規(guī)定的防火技術(shù)措施中最基本的措施。它要求建筑物在火災(zāi)高溫的持續(xù)作用下,墻、柱、梁、樓板、屋蓋、吊頂?shù)然窘ㄖ?gòu)件,能在一定的時(shí)間內(nèi)不破壞,不傳播火災(zāi),從而起到延緩和阻止火災(zāi)蔓延的作用,并為人員疏散、搶救物資和撲滅火災(zāi)以及為火災(zāi)后結(jié)構(gòu)修復(fù)創(chuàng)造條件。
3.防火墻和防火門(mén)及防火間距。
根據(jù)在建筑物中的位置和構(gòu)造形式,有與屋脊方向垂直的橫向防火墻、與屋脊方向平行的縱向防火墻、內(nèi)墻防火墻、外墻防火墻和獨(dú)立防火墻等。內(nèi)防火墻是把廠房或庫(kù)房劃分成防火單元,可以阻止火勢(shì)在建筑物內(nèi)的蔓延擴(kuò)展;外防火墻是鄰近兩幢建筑物的防火間距不足而設(shè)置的無(wú)門(mén)窗洞的外墻,或兩幢建筑物之間的室外獨(dú)立防火墻。已采取防火分割的相鄰區(qū)域如需要互相通行時(shí),可在中間設(shè)置防火門(mén)。按燃燒性能不同有非燃燒體防火門(mén)和難燃燒體防火門(mén);按開(kāi)啟方式不同有平開(kāi)門(mén)和卷簾門(mén)等。
火災(zāi)發(fā)生時(shí),由于強(qiáng)烈的熱輻射、熱對(duì)流以及燃燒物質(zhì)的爆炸飛濺、拋向空中形成飛火,能使鄰近甚至遠(yuǎn)處建筑物形成新的起火點(diǎn)。為阻止火勢(shì)向相鄰建筑物蔓延擴(kuò)散,應(yīng)保證建筑物之間的防火間距。
4.工業(yè)建筑防爆。
在一些工業(yè)建筑中,使用和產(chǎn)生的可燃?xì)怏w、可燃蒸氣、可燃粉塵等物質(zhì)能夠與空氣形成爆炸危險(xiǎn)性的混合物,遇到火源就能引起爆炸。這種爆炸能夠在瞬間以機(jī)械功的形式釋放出巨大的能量,使建筑物、生產(chǎn)設(shè)備遭到毀壞,造成人員傷亡。對(duì)于上述有爆炸危險(xiǎn)的工業(yè)建筑,為了防止爆炸事故的發(fā)生,減少爆炸事故造成的損失,要從建筑平面與空間布置、建筑構(gòu)造和建筑設(shè)施方面采取防火防爆措施。首先,此類建筑以獨(dú)立設(shè)置,并宜采用敞開(kāi)或半敞開(kāi)式,承重結(jié)構(gòu)多采用鋼筋混凝土或鋼框架、排架結(jié)構(gòu)。第二,要加強(qiáng)與其貼臨建造建筑物的保護(hù),根據(jù)需要將兩者之間的隔墻設(shè)置為防火墻或防爆墻。第三,有爆炸危險(xiǎn)的甲、乙類廠房(倉(cāng)庫(kù))應(yīng)設(shè)置足夠有效的泄壓設(shè)施,以減少爆炸帶來(lái)的損失。當(dāng)建筑物長(zhǎng)細(xì)比大于3時(shí),宜將該建筑劃分為長(zhǎng)細(xì)比小于等于3的多個(gè)計(jì)算段來(lái)計(jì)算所需泄壓面積,且各計(jì)算段中的公共截面不得作為泄壓面積。另外,位于寒冷及嚴(yán)寒地區(qū)的有爆炸危險(xiǎn)的建筑物屋頂上所設(shè)的泄壓設(shè)施還應(yīng)考慮采取有效防止冰雪積聚的措施。
5. 設(shè)置防爆門(mén)斗
設(shè)置防爆門(mén)斗是解決交通和防爆的有力措施,第一道門(mén)宜采用防爆門(mén),才能達(dá)到防爆的效果。但防爆門(mén)均采用特殊鋼材制作,其連接轉(zhuǎn)動(dòng)部件和防止門(mén)與門(mén)框碰撞產(chǎn)生火花,門(mén)鉸鏈應(yīng)采用青銅軸和墊圈或其他摩擦碰撞不發(fā)火材料制作,門(mén)扇周邊貼橡膠板,防止碰撞產(chǎn)生火花。防爆門(mén)斗內(nèi)要有一定的容積,保證當(dāng)門(mén)打開(kāi)時(shí)瞬時(shí)進(jìn)入門(mén)斗的可燃?xì)怏w濃度降低,兩門(mén)布置應(yīng)在不同方位上,間距200以上。防爆門(mén)斗也是爆炸危險(xiǎn)部位的安全出口,其位置應(yīng)滿足安全疏散距離的要求。
四.結(jié)束語(yǔ)
隨著人們生活水平的提高,對(duì)生命財(cái)產(chǎn)的安全性要求也在不斷提高。建筑安全保障問(wèn)題在人們心中的地位越來(lái)越高,經(jīng)濟(jì)性建立在安全性的基礎(chǔ)之上,只有保證了建筑結(jié)構(gòu)的安全性,才能夠考慮建筑工程施工的經(jīng)濟(jì)性和適用性。在正常的情況下,建筑工程首先要具備良好的工作性能,進(jìn)而為社會(huì)創(chuàng)造出良好的經(jīng)濟(jì)效益。進(jìn)而有效提高建筑結(jié)構(gòu)的安全性能,促進(jìn)建筑工程建設(shè)的發(fā)展,促進(jìn)建筑業(yè)的發(fā)展。
參考文獻(xiàn):
[1] 李海 防爆防火設(shè)計(jì)在工業(yè)建筑中的應(yīng)用 [期刊論文] 《黑龍江科技信息》 -2012年2期
[2] 曲海富 海洋工程防爆墻結(jié)構(gòu)有限元分析 [學(xué)位論文] 2007 - 天津大學(xué):船舶與海洋結(jié)構(gòu)物設(shè)計(jì)制造
[論文關(guān)鍵詞] 計(jì)算機(jī)網(wǎng)絡(luò)安全網(wǎng)絡(luò)技術(shù) [論文提要] 近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)獲得了飛速的發(fā)展,網(wǎng)絡(luò)安全問(wèn)題也隨之成為人們關(guān)注的焦點(diǎn)。本文分析了影響網(wǎng)絡(luò)安全的主要因素,重點(diǎn)闡述了幾種常用的網(wǎng)絡(luò)信息安全技術(shù)。
Keywords: computer network security network technology
Abstracts: In recent years, computer network access to the rapid development of network security issues will become a focus of attention. This paper analyzes the main factors affecting network security, focuses on several commonly used network information security technology. 中圖分類號(hào):TN711文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施,保證在一個(gè)網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全包括兩個(gè)方面,即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù),免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。 隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,全球信息化已成為人類發(fā)展的大趨勢(shì)。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、互連性等特征,加上安全機(jī)制的缺乏和防護(hù)意識(shí)不強(qiáng),致使網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌行為的攻擊,所以網(wǎng)絡(luò)信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。 一、威脅網(wǎng)絡(luò)安全的主要因素 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素有很多,威脅網(wǎng)絡(luò)安全則主要來(lái)自人為的無(wú)意失誤、人為的惡意功擊和網(wǎng)絡(luò)軟件系統(tǒng)的漏洞以及“后門(mén)”三個(gè)方面的因素,歸納起來(lái)如下: 1.應(yīng)用系統(tǒng)和軟件安全漏洞。WEB服務(wù)器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁(yè)活起來(lái),然而很多人在編CGI程序時(shí)對(duì)軟件包并不十分了解,多數(shù)人不是新編程序,而是對(duì)程序加以適當(dāng)?shù)男薷模@樣一來(lái),很多CGI程序就難免具有相同安全漏洞。且每個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是完美無(wú)缺,因此始終處于一個(gè)危險(xiǎn)的境地,一旦連接入網(wǎng),就有可能成為功擊對(duì)象。 2.安全策略。安全配置不當(dāng)造成安全漏洞,例如:防火墻軟件的配置不正確,那么它根本不起作用。許多站點(diǎn)在防火墻配置上無(wú)意識(shí)地?cái)U(kuò)大了訪問(wèn)權(quán)限,忽視了這些權(quán)限可能會(huì)被其他人員濫用。網(wǎng)絡(luò)入侵的目的主要是取得使用系統(tǒng)的存儲(chǔ)權(quán)限、寫(xiě)權(quán)限以及訪問(wèn)其他存儲(chǔ)內(nèi)容的權(quán)限,或者是作為進(jìn)一步進(jìn)入其他系統(tǒng)的跳板,或者惡意破壞這個(gè)系統(tǒng),使其毀壞而喪失服務(wù)能力。對(duì)特定的網(wǎng)絡(luò)應(yīng)用程序,當(dāng)它啟動(dòng)時(shí),就打開(kāi)了一系列的安全缺口,許多與該軟件捆綁在一起的應(yīng)用軟件也會(huì)被啟用。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置,否則,安全隱患始終存在。 3.后門(mén)和木馬程序。在計(jì)算機(jī)系統(tǒng)中,后門(mén)是指軟、硬件制作者為了進(jìn)行非授權(quán)訪問(wèn)而在程序中故意設(shè)置的訪問(wèn)口令,但也由于后門(mén)的存大,對(duì)處于網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)構(gòu)成潛在的嚴(yán)重威脅。木馬是一類特殊的后門(mén)程序,是一種基于遠(yuǎn)程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點(diǎn);如果一臺(tái)電腦被安裝了木馬服務(wù)器程序,那么黑客就可以使用木馬控制器程序進(jìn)入這臺(tái)電腦,通過(guò)命令服務(wù)器程序達(dá)到控制電腦目的。 4.病毒。目前數(shù)據(jù)安全的頭號(hào)大敵是計(jì)算機(jī)病毒,它是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù),影響硬件的正常運(yùn)行并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。它具有病毒的一些共性,如:傳播性、隱蔽性、破壞性和潛伏性等等,同時(shí)具有自己的一些特征,如:不利用文件寄生(有的只存在于內(nèi)存中),對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)以及和黑客技術(shù)相結(jié)合等。 5.黑客。黑客通常是程序設(shè)計(jì)人員,他們掌握著有關(guān)操作系統(tǒng)和編程語(yǔ)言的高級(jí)知識(shí),并利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng),其危害性非常大。從某種意義上講,黑客對(duì)信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。 二、常用的網(wǎng)絡(luò)安全技術(shù) 1.殺毒軟件技術(shù)。殺毒軟件是我們計(jì)算機(jī)中最為常見(jiàn)的軟件,也是用得最為普通的安全技術(shù)方案,因?yàn)檫@種技術(shù)實(shí)現(xiàn)起來(lái)最為簡(jiǎn)單,但我們都知道殺毒軟件的主要功能就是殺毒,功能比較有限,不能完全滿足網(wǎng)絡(luò)安全的需要。這種方式對(duì)于個(gè)人用戶或小企業(yè)基本能滿足需要,但如果個(gè)人或企業(yè)有電子商務(wù)方面的需求,就不能完全滿足了,值得欣慰的是隨著殺毒軟件技術(shù)的不斷發(fā)展,現(xiàn)在的主流殺毒軟件同時(shí)對(duì)預(yù)防木馬及其它的一些黑客程序的入侵有不錯(cuò)的效果。還有的殺毒軟件開(kāi)發(fā)商同時(shí)提供了軟件防火墻,具有了一定防火墻功能,在一定程度上能起到硬件防火墻的功效,如:360、金山防火墻和Norton防火墻等。
2.防火墻技術(shù)。防火墻技術(shù)是指網(wǎng)絡(luò)之間通過(guò)預(yù)定義的安全策略,對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問(wèn)控制的安全應(yīng)用措施。防火墻如果從實(shí)現(xiàn)方式上來(lái)分,又分為硬件防火墻和軟件防火墻兩類,我們通常意義上講的硬防火墻為硬件防火墻,它是通過(guò)硬件和軟件的結(jié)合來(lái)達(dá)到隔離內(nèi)外部網(wǎng)絡(luò)的目的,價(jià)格較貴,但效果較好,一般小型企業(yè)和個(gè)人很難實(shí)現(xiàn);軟件防火墻它是通過(guò)純軟件的方式來(lái)達(dá)到,價(jià)格很便宜,但這類防火墻只能通過(guò)一定的規(guī)則來(lái)達(dá)到限制一些非法用戶訪問(wèn)內(nèi)部網(wǎng)的目的。然而,防火墻也并非人們想象的那樣不可滲透。在過(guò)去的統(tǒng)計(jì)中曾遭受過(guò)黑客入侵的網(wǎng)絡(luò)用戶有三分之一是有防火墻保護(hù)的,也就是說(shuō)要保證網(wǎng)絡(luò)信息的安全還必須有其他一系列措施,例如:對(duì)數(shù)據(jù)進(jìn)行加密處理。需要說(shuō)明的是防火墻只能抵御來(lái)自外部網(wǎng)絡(luò)的侵?jǐn)_,而對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全卻無(wú)能為力,要保證企業(yè)內(nèi)部網(wǎng)的安全,還需通過(guò)對(duì)內(nèi)部網(wǎng)絡(luò)的有效控制和來(lái)實(shí)現(xiàn)。 3.?dāng)?shù)據(jù)加密技術(shù)。與防火墻配合使用的安全技術(shù)還有文件加密與數(shù)字簽名技術(shù),它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部竊取,偵聽(tīng)或破壞所采用的主要技術(shù)手段之一。按作用不同,文件加密和數(shù)字簽名技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。數(shù)據(jù)存儲(chǔ)加密技術(shù)是以防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密為目的,可分為密文存儲(chǔ)和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對(duì)傳輸中的數(shù)據(jù)流加密,常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對(duì)介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證,達(dá)到保密的要求,系統(tǒng)通過(guò)對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù),實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。數(shù)據(jù)加密在許多場(chǎng)合集中表現(xiàn)為密匙的應(yīng)用,密匙管理技術(shù)事實(shí)上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷(xiāo)毀等各環(huán)節(jié)上的保密措施。 數(shù)據(jù)加密技術(shù)主要是通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密來(lái)保障網(wǎng)絡(luò)的安全可靠性,能夠有效地防止機(jī)密信息的泄漏。另外,它也廣泛地被應(yīng)用于信息鑒別、數(shù)字簽名等技術(shù)中,用來(lái)防止欺騙,這對(duì)信息處理系統(tǒng)的安全起到極其重要的作用。 4.入侵檢測(cè)技術(shù)。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)也叫網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控技術(shù),它通過(guò)硬件或軟件對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)流進(jìn)行實(shí)時(shí)檢查,并與系統(tǒng)中的入侵特征數(shù)據(jù)庫(kù)等比較,一旦發(fā)現(xiàn)有被攻擊的跡象,立刻根據(jù)用戶所定義的動(dòng)作做出反應(yīng),如切斷網(wǎng)絡(luò)連接,或通知防火墻系統(tǒng)對(duì)訪問(wèn)控制策略進(jìn)行調(diào)整,將入侵的數(shù)據(jù)包過(guò)濾掉等。因此入侵檢測(cè)是對(duì)防火墻有益的補(bǔ)充。可在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng),從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),大大提高了網(wǎng)絡(luò)的安全性。 5.網(wǎng)絡(luò)安全掃描技術(shù)。網(wǎng)絡(luò)安全掃描技術(shù)是檢測(cè)遠(yuǎn)程或本地系統(tǒng)安全脆弱性的一種安全技術(shù),通過(guò)對(duì)網(wǎng)絡(luò)的掃描,網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù),及時(shí)發(fā)現(xiàn)安全漏洞,客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。利用安全掃描技術(shù),可以對(duì)局域網(wǎng)絡(luò)、Web站點(diǎn)、主機(jī)操作系統(tǒng)、系統(tǒng)服務(wù)以及防火墻系統(tǒng)的安全漏洞進(jìn)行服務(wù),檢測(cè)在操作系統(tǒng)上存在的可能導(dǎo)致遭受緩沖區(qū)溢出攻擊或者拒絕服務(wù)攻擊的安全漏洞,還可以檢測(cè)主機(jī)系統(tǒng)中是否被安裝了竊聽(tīng)程序、防火墻系統(tǒng)是否存在安全漏洞和配置錯(cuò)誤。 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)的發(fā)展戚戚相關(guān),關(guān)系著IN-TERNET的進(jìn)一步發(fā)展和普及。網(wǎng)絡(luò)安全不能僅依靠殺毒軟件、防火墻和漏洞檢測(cè)等硬件設(shè)備的防護(hù),還應(yīng)注重樹(shù)立人的計(jì)算機(jī)安全意識(shí),才可能更好地進(jìn)行防護(hù),才能真正享受到網(wǎng)絡(luò)帶來(lái)的巨大便利。
[參考文獻(xiàn)] [1]顧巧論.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2008.
[2]李軍義.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用[M].北京:北方大學(xué)出版社,2006.
[3]蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:水利水電出版社,2005.
[4]趙秦.計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)研究[J].中國(guó)新技術(shù)新產(chǎn)品,2009,(14).
關(guān)鍵詞:計(jì)算機(jī);網(wǎng)絡(luò)安全;防火墻技術(shù);分析
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2012)24-5787-02
Computer Network Security and Firewall Technology
ZHANG Rui
(Hinggan League Frontier Defense Detachment, Inner Mongolia Frontier Corps, Ulanhot 137400, China)
Abstract: With the popularization of computer technology in our country, the openness of the network to bring convenience, but also brought confusion to the network security issues. For example: the computer network are often victims of a virus or hacker attacks, so that important files and data loss. In order to be able to better ensure the security of network information, to avoid destruction and violation of, therefore, become the focus of attention as a firewall to protect network security technology. In this paper, a brief introduction of the com puter network security and firewall technology, computer network security and firewall technology to analyze, and described the use of fire wall technology in computer network security.
Key words: computer; network security; firewall technology; analysis
計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題主要有:信息在傳輸?shù)倪^(guò)程中,數(shù)據(jù)被篡改和復(fù)制,以及攔截和查看,甚至遭受惡意的病毒攻擊等。這些安全問(wèn)題嚴(yán)重影響著計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行,出現(xiàn)系統(tǒng)癱瘓或重要數(shù)據(jù)的泄漏,造成不可挽回的嚴(yán)重后果。為了構(gòu)建安全可靠的網(wǎng)絡(luò)安全環(huán)境,我國(guó)除了從法律和政策方面建立網(wǎng)絡(luò)安全體系,還從技術(shù)方面進(jìn)行完善。由于網(wǎng)絡(luò)內(nèi)部和外部環(huán)境的特殊性,因此防火墻技術(shù)是目前保護(hù)網(wǎng)絡(luò)安全最為有效地技術(shù)。不僅能夠?qū)W(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行檢查,還能對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控。
1計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)的含義
計(jì)算機(jī)網(wǎng)絡(luò)安全主要是保護(hù)使用者在進(jìn)行信息傳輸時(shí),不被外界所竊聽(tīng)和篡改,及復(fù)制,同時(shí)還要避免自然災(zāi)害所造成的損害,以確保網(wǎng)絡(luò)通信的連續(xù)。總的來(lái)說(shuō),計(jì)算機(jī)網(wǎng)絡(luò)安全就是在確保網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的同時(shí),還要確保各方面流動(dòng)或存儲(chǔ)的數(shù)據(jù)不被更改和破壞,及泄漏。
防火墻技術(shù)屬于一種隔離技術(shù),是網(wǎng)絡(luò)與網(wǎng)絡(luò)之間安全的一道屏障,同時(shí)也是保證網(wǎng)絡(luò)信息安全的基本手段。防火墻不僅能夠?qū)W(wǎng)絡(luò)信息流進(jìn)行控制,增強(qiáng)網(wǎng)絡(luò)間的訪問(wèn)控制和安全性,還能夠抵抗攻擊,阻止其他用戶非法獲取網(wǎng)絡(luò)信息資源。防火墻除了能夠保護(hù)數(shù)據(jù)不被竊取和復(fù)制等,還能夠保護(hù)內(nèi)在的設(shè)備不被破壞,同時(shí)還能夠確定服務(wù)器是否被訪問(wèn)、被什么人訪問(wèn)、什么時(shí)候訪問(wèn)等。
2計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析
2.1計(jì)算機(jī)網(wǎng)絡(luò)安全分析
其一,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全造成的威脅。在計(jì)算機(jī)網(wǎng)絡(luò)安全中,造成的威脅主要是自然和人為兩種。前者主要是自然災(zāi)害和設(shè)備的老化、電磁輻射和干擾,以及惡劣環(huán)境等造成的威脅;后者是病毒和黑客攻擊、網(wǎng)絡(luò)缺陷和管理的漏洞,以及惡意的操作等造成的威脅。除此之外,TCP/IP協(xié)議和網(wǎng)絡(luò)結(jié)構(gòu)的缺陷,以及網(wǎng)絡(luò)安全意識(shí)的缺乏都將對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全造成威脅。
其二,計(jì)算機(jī)網(wǎng)絡(luò)安全主要影響原因在于網(wǎng)絡(luò)資源的共享和開(kāi)放、網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)不夠完善,以及人為的惡意攻擊等。由于資源共享的目的是實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用,任何用戶都能夠通過(guò)互聯(lián)網(wǎng)進(jìn)行信息資源的訪問(wèn),因此,攻擊者只要通過(guò)服務(wù)請(qǐng)求就能夠輕松訪問(wèn)到網(wǎng)絡(luò)數(shù)據(jù)包,為攻擊者提供了破壞的機(jī)會(huì)。同時(shí)合理的網(wǎng)絡(luò)系統(tǒng)在確保節(jié)約資源的條件下,保證其安全性,相反就會(huì)構(gòu)成安全的威脅。隨著網(wǎng)絡(luò)的廣泛,黑客和病毒的攻擊是計(jì)算機(jī)網(wǎng)絡(luò)最難防御的威脅。
其三,利用數(shù)據(jù)加密和網(wǎng)絡(luò)存取控制的方式確保對(duì)網(wǎng)絡(luò)安全的保護(hù)。前者主要是通過(guò)鏈路和端端加密,以及節(jié)點(diǎn)和混合加密來(lái)阻止數(shù)據(jù)被惡意的篡改和破壞,以及泄漏等;后者主要是通過(guò)身份的識(shí)別和數(shù)字簽名,以及存取權(quán)限的控制和備份恢復(fù)等來(lái)阻止非法訪問(wèn)造成數(shù)據(jù)的丟失和泄密,以及破壞等。
2.2防火墻技術(shù)分析
其一,包過(guò)濾性的防火墻。該防火墻主要是在OSI參考模型中的網(wǎng)絡(luò)和傳輸層通過(guò)一個(gè)過(guò)濾路由器實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的保護(hù),只要與源頭和目的地址、協(xié)議類型,以及端口號(hào)等過(guò)濾條件相符,就能夠進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā),相反就會(huì)丟失數(shù)據(jù)包。并且該防火墻工作透明,不僅效率高,而且速度也很快。但是該防火墻無(wú)法支持應(yīng)用層協(xié)議,不能防御黑客的攻擊和處理新型安全威脅。
其二,NAT和應(yīng)用型的防火墻。前者是將IP地址轉(zhuǎn)換成臨時(shí)注冊(cè)的IP地址,當(dāng)內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)進(jìn)行訪問(wèn)時(shí),如果是通過(guò)安全網(wǎng)卡,防火墻就會(huì)自動(dòng)將源地址與端口偽裝,然后與外部相連。相反,如果是通過(guò)非安全網(wǎng)卡,那么訪問(wèn)是經(jīng)過(guò)一個(gè)開(kāi)放的IP與端口。防火墻對(duì)訪問(wèn)安全的判斷是依照已經(jīng)預(yù)設(shè)好的映射規(guī)則進(jìn)行;而后者是運(yùn)行在OSI的應(yīng)用層。它不僅阻止網(wǎng)絡(luò)的通信流,還能夠?qū)崟r(shí)監(jiān)控,其安全性非常高。但是該防火墻影響系統(tǒng)的性能,使管理更加復(fù)雜。
其三,狀態(tài)檢測(cè)型的防火墻。該防火墻與其他防火墻相比較的話,不僅高安全和高效性,還具有很好的可擴(kuò)展和伸縮性。該防火墻將相同連接的包看成整體數(shù)據(jù)流,并對(duì)連接狀態(tài)表中的狀態(tài)因素進(jìn)行辨別和區(qū)分。雖然這種防火墻性能很好,但是容易造成網(wǎng)絡(luò)連接的延緩滯留。
3在計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的運(yùn)用
從整體上來(lái)說(shuō),計(jì)算機(jī)網(wǎng)絡(luò)安全是通過(guò)網(wǎng)絡(luò)的管理控制,以及技術(shù)的解決辦法,確保在網(wǎng)絡(luò)的環(huán)境中,保護(hù)數(shù)據(jù)進(jìn)行使用和保密,及完整性。計(jì)算機(jī)網(wǎng)絡(luò)安全主要有物理和邏輯安全。但是根據(jù)使用者的不一樣,對(duì)網(wǎng)絡(luò)安全的理解也就會(huì)不一樣。如:一般的使用者認(rèn)為,計(jì)算機(jī)網(wǎng)絡(luò)安全就是在網(wǎng)絡(luò)上傳自己的隱私或者是重要的信息時(shí),能夠保護(hù)信息不能被竊聽(tīng)和篡改,以及偽造。而網(wǎng)絡(luò)的供應(yīng)商們則認(rèn)為,除了保證網(wǎng)絡(luò)信息的安全,還要考慮各種對(duì)網(wǎng)絡(luò)硬件破壞因素的保護(hù),以及在出現(xiàn)異常時(shí)恢復(fù)網(wǎng)絡(luò)通信的保護(hù)。
1)加密技術(shù)。即信息的發(fā)送方先對(duì)信息做加密處理,密碼由和接收方掌握,接收方接收到經(jīng)過(guò)加密處理的信息后,用解密密鑰對(duì)信息進(jìn)行解密,從而完成一次安全的信息傳輸。加密措施利用密鑰來(lái)保障信息傳輸?shù)陌踩浴?/p>
2)身份驗(yàn)證。通過(guò)對(duì)網(wǎng)絡(luò)用戶的使用授權(quán),在信息的發(fā)送方和接收方之間通過(guò)身份認(rèn)證,建立起相對(duì)安全的信息通道,這樣可以有效防止未經(jīng)授權(quán)的非法用戶的介入。
3)防病毒技術(shù),主要涉及對(duì)病毒的預(yù)防、檢測(cè)以及清除三方面。
其一,在網(wǎng)絡(luò)建設(shè)中,安裝防火墻對(duì)互聯(lián)網(wǎng)之間的交換信息按照某種規(guī)則進(jìn)行控制,構(gòu)成一道安全屏障來(lái)保護(hù)內(nèi)網(wǎng)與外網(wǎng)間的信息和數(shù)據(jù)傳輸,確保網(wǎng)絡(luò)不被其他未經(jīng)授權(quán)的第三方侵入。
其二,網(wǎng)絡(luò)的連接如果是由路由器和互聯(lián)網(wǎng)相連,服務(wù)器有WWW和DNS、FIP和Email等,且IP地址確定,同時(shí)該網(wǎng)絡(luò)擁有一個(gè)C類IP地址。那么該網(wǎng)絡(luò)首先要進(jìn)入主干網(wǎng),對(duì)主干網(wǎng)的中心資源采取訪問(wèn)控制,禁止服務(wù)器以外的服務(wù)訪問(wèn)。然后,為了防御外來(lái)非法訪問(wèn)盜用,在連接端口接收數(shù)據(jù)的同時(shí),就要檢查IP和以太網(wǎng)的地址,丟棄盜用IP地址數(shù)據(jù)包,并將有關(guān)的信息進(jìn)行記錄。實(shí)際的操作過(guò)程是:預(yù)設(shè)控制位102,當(dāng)防火墻與IP、以太網(wǎng)地址訪問(wèn)到某個(gè)地址屬于非法訪問(wèn),那么防火墻就會(huì)自動(dòng)將路由器中的存取控制表進(jìn)行更改,過(guò)濾非法的IP地址包,以阻止外來(lái)的非法訪問(wèn)。
4結(jié)束語(yǔ)
總而言之,隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展和運(yùn)用,網(wǎng)絡(luò)為人們帶來(lái)便捷的同時(shí),也帶來(lái)了一定的安全問(wèn)題。由于網(wǎng)絡(luò)安全不僅與技術(shù)和管理有聯(lián)系,對(duì)網(wǎng)絡(luò)的使用和維護(hù)等也有聯(lián)系。雖然目前防火墻技術(shù)是防止網(wǎng)絡(luò)威脅的主要手段,但是由于網(wǎng)絡(luò)安全存在多方面,僅依靠防火墻技術(shù)是無(wú)法滿足人們對(duì)網(wǎng)絡(luò)安全的需求,因此,只有將網(wǎng)絡(luò)安全與防火墻技術(shù)結(jié)合進(jìn)行研究,才能提供更好的安全服務(wù)。
參考文獻(xiàn):
[1]張威,潘小鳳.防火墻與入侵檢測(cè)技術(shù)探討[J].南京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào),2008(2).
[2]程衛(wèi)驥.淺析網(wǎng)絡(luò)安全的威脅因素及防范措施[C]//煤礦自動(dòng)化與信息化——第21屆全國(guó)煤礦自動(dòng)化與信息化學(xué)術(shù)會(huì)議暨第3屆中國(guó)煤礦信息化與自動(dòng)化高層論壇論文集:下冊(cè).2011.
關(guān)鍵詞:數(shù)字化校園網(wǎng),安全隱患,安全機(jī)制,安全實(shí)施
數(shù)字化校園是在校園網(wǎng)的基礎(chǔ)之上,以計(jì)算機(jī)網(wǎng)絡(luò)和信息數(shù)字化技術(shù)為依托,利用先進(jìn)的信息手段和工具,來(lái)支撐學(xué)校的教學(xué)和管理信息流,實(shí)現(xiàn)了教育、教學(xué)、科研、管理、技術(shù)服務(wù)等校園信息的收集、處理、整合、存儲(chǔ)、傳輸、應(yīng)用等方面的全部數(shù)字化,使教學(xué)資源得到充分優(yōu)化利用的一種虛擬教育環(huán)境。
一、高校數(shù)字化校園網(wǎng)的安全隱患分析
高校校園網(wǎng)的應(yīng)用以及服務(wù)主要是面向?qū)W生,學(xué)生經(jīng)常玩游戲、下電影、瀏覽未知以及可能存在安全隱患的網(wǎng)站、接收陌生人的電子郵件、用聊天軟件時(shí)隨意接受陌生人傳送的文件,這些安全隱患都有可能導(dǎo)致校園網(wǎng)病毒泛濫;觀看網(wǎng)上直播,嚴(yán)重影響網(wǎng)絡(luò)速度,甚至阻塞網(wǎng)絡(luò)運(yùn)行;同時(shí)高校的學(xué)生人數(shù)較多,學(xué)生對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)也參差不齊:很多學(xué)生認(rèn)為網(wǎng)絡(luò)中的安全威脅就是計(jì)算機(jī)病毒。所以,整個(gè)校園網(wǎng)中的大部分用戶,對(duì)網(wǎng)絡(luò)中存在的安全威脅還是沒(méi)有一個(gè)清晰、系統(tǒng)的認(rèn)識(shí)。
經(jīng)過(guò)調(diào)查、分析、研究,高校校園網(wǎng)存在以下安全隱患:
1.校園網(wǎng)直接與因特網(wǎng)相連,所以會(huì)遭受黑客以及網(wǎng)絡(luò)安全缺陷方面的攻擊;
2.校園網(wǎng)內(nèi)部安全隱患;
3.用戶接入點(diǎn)數(shù)量大,使用率高,隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果;
4.缺乏統(tǒng)一管理;
5.網(wǎng)絡(luò)中心負(fù)荷量大:絕大部分網(wǎng)絡(luò)管理功能都是由網(wǎng)絡(luò)中心來(lái)完成的,包括校園網(wǎng)絡(luò)的建設(shè)維護(hù)、網(wǎng)絡(luò)使用的政策制定以及相關(guān)費(fèi)用的收取;
總之,實(shí)施一個(gè)科學(xué)、合理的安全機(jī)制數(shù)字化校園網(wǎng),對(duì)校園網(wǎng)的正常運(yùn)行起著至關(guān)重要的作用。
二、數(shù)字化校園網(wǎng)安全機(jī)制的實(shí)施
為了有效地解決校園網(wǎng)將會(huì)遇到的種種網(wǎng)絡(luò)安全問(wèn)題,需要在網(wǎng)絡(luò)中的各個(gè)環(huán)節(jié)都采取必要的安全防范措施,通過(guò)多種安全防范技術(shù)和措施的綜合運(yùn)用,從而來(lái)保證校園網(wǎng)能夠高性能、高安全性的正常運(yùn)行。
1、防火墻的實(shí)施
防火墻技術(shù)是抵抗黑客入侵和防止未授權(quán)訪問(wèn)的最有效手段之一,也是目前網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略應(yīng)用最為廣泛的工具之一。
防火墻是一種保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備;同時(shí)防火墻也是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。論文格式,安全實(shí)施。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的活動(dòng),保證內(nèi)部網(wǎng)絡(luò)的安全。
可根據(jù)具體的校園網(wǎng)實(shí)際環(huán)境,在防火墻上設(shè)置如下安全策略:
1)解決內(nèi)外網(wǎng)絡(luò)邊界安全,防止外部攻擊,保護(hù)內(nèi)部網(wǎng)絡(luò)(禁止外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò));2)根據(jù)IP地址、協(xié)議類型、端口等進(jìn)行數(shù)據(jù)包過(guò)濾;3)內(nèi)外網(wǎng)絡(luò)采用兩套IP地址,實(shí)現(xiàn)雙向地址轉(zhuǎn)換功能;4)支持安全服務(wù)器網(wǎng)絡(luò)(DMZ區(qū)),允許內(nèi)外網(wǎng)絡(luò)訪問(wèn)DMZ區(qū),但禁止DMZ區(qū)訪問(wèn)內(nèi)部網(wǎng)絡(luò);5)通過(guò)IP與MAC地址綁定防止IP盜用,避免亂用網(wǎng)絡(luò)資源;6)防止IP欺騙;7)防DDoS攻擊;8)開(kāi)啟黑白名單功能,實(shí)現(xiàn)URL過(guò)濾,過(guò)濾不健康網(wǎng)站;9)提供應(yīng)用服務(wù),隔離內(nèi)外網(wǎng)絡(luò);10)具有自身保護(hù)能力,可防范對(duì)防火墻的常見(jiàn)攻擊;11)啟動(dòng)入侵檢測(cè)及告警功能;12)學(xué)生訪問(wèn)不良信息網(wǎng)站后的日志記錄,做到有據(jù)可查;13)多種應(yīng)用協(xié)議的支持,等等。
2、網(wǎng)閘的實(shí)施
安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接,并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。安全隔離網(wǎng)閘可以在保證安全的前提下,使用戶可以瀏覽網(wǎng)頁(yè)、收發(fā)電子郵件、在不同網(wǎng)絡(luò)上的數(shù)據(jù)庫(kù)之間交換數(shù)據(jù),并可以在網(wǎng)絡(luò)之間交換定制的文件。論文格式,安全實(shí)施。
可根據(jù)具體的校園網(wǎng)實(shí)際環(huán)境,在網(wǎng)閘上設(shè)置如下安全策略:
1)阻斷內(nèi)外網(wǎng)絡(luò)的物理連接,防止外部攻擊,保護(hù)內(nèi)部網(wǎng)絡(luò);2)剝離內(nèi)外網(wǎng)絡(luò)傳輸?shù)腡CP/IP以及應(yīng)用層協(xié)議,避免因?yàn)門(mén)CP/IP以及應(yīng)用層協(xié)議造成的漏洞; 3)內(nèi)外網(wǎng)絡(luò)采用一套IP地址,實(shí)現(xiàn)指定協(xié)議通訊功能; 4)允許內(nèi)網(wǎng)訪問(wèn)外網(wǎng)特定服務(wù)、應(yīng)用(HTTP,F(xiàn)TP,F(xiàn)ILE,DB等);5)允許外網(wǎng)指定機(jī)器訪問(wèn)內(nèi)網(wǎng)特定應(yīng)用(FILE,DB等);6)防止IP欺騙; 7)防DDoS攻擊;8)具有自身保護(hù)能力,可防范常見(jiàn)DoS、DDoS攻擊; 9)多種應(yīng)用協(xié)議的支持,等等。
3、 防病毒的實(shí)施
計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的影響是災(zāi)難性的。計(jì)算機(jī)病毒的傳播方式已經(jīng)由在單機(jī)之間傳播轉(zhuǎn)向到各個(gè)網(wǎng)絡(luò)系統(tǒng)之間的傳播,一旦病毒侵入到某一局域網(wǎng)并發(fā)作,那么造成的危害是難以承受的。病毒和防病毒之間的斗爭(zhēng)已經(jīng)進(jìn)入了由“殺”病毒到“防”病毒的時(shí)代。只有將病毒拒絕于內(nèi)部網(wǎng)之外,或者及時(shí)查殺內(nèi)部網(wǎng)的病毒,以此防范病毒在網(wǎng)絡(luò)內(nèi)泛濫傳播,才能保證數(shù)據(jù)的真正安全。論文格式,安全實(shí)施。
我們結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)、計(jì)算機(jī)病毒的特征,給出以下防范防治策略:
1)阻止外網(wǎng)的病毒入侵(這是病毒入侵最常見(jiàn)的方式,因此在兩個(gè)或多個(gè)網(wǎng)絡(luò)邊界之間,在網(wǎng)關(guān)處進(jìn)行病毒攔截是效率最高,耗費(fèi)資源最少的措施,但只能阻擋來(lái)自外部病毒的入侵);2)阻止網(wǎng)絡(luò)郵件/群件系統(tǒng)傳播病毒(在郵件系統(tǒng)上部署防病毒體系);3)設(shè)置文件服務(wù)器防病毒保護(hù);4)最終用戶:病毒絕大部分是潛伏在計(jì)算機(jī)網(wǎng)絡(luò)的客戶端機(jī)器上,因此在網(wǎng)絡(luò)內(nèi)對(duì)所有的客戶機(jī)也要進(jìn)行防毒控制;5)內(nèi)容保護(hù):為了能夠在第一時(shí)間主動(dòng)的阻止新型病毒的入侵,在防病毒系統(tǒng)中對(duì)附加內(nèi)容進(jìn)行過(guò)濾和保護(hù)是非常必要的;6)集中管理:通過(guò)一個(gè)監(jiān)控中心對(duì)整個(gè)系統(tǒng)內(nèi)的防毒服務(wù)和情況進(jìn)行管理和維護(hù),這樣可以大大降低維護(hù)人員的數(shù)量和維護(hù)成本,并且縮短了升級(jí)、維護(hù)系統(tǒng)的響應(yīng)時(shí)間。
4、學(xué)生宿舍區(qū)域802.1x認(rèn)證
考慮到認(rèn)證效率、接入安全、管理特性等多方面的因素,對(duì)于學(xué)生宿舍區(qū)域的用戶接入建議采用已經(jīng)標(biāo)準(zhǔn)化的802.1x認(rèn)證方式:
1)網(wǎng)絡(luò)環(huán)境復(fù)雜,接入用戶數(shù)量巨大:建議采用分布式的用戶認(rèn)證方式,把認(rèn)證分散到樓棟匯聚交換機(jī)上去完成,如果發(fā)生故障,不至于會(huì)影響到整個(gè)網(wǎng)絡(luò)的所有用戶;2)網(wǎng)絡(luò)流量大,認(rèn)證用戶數(shù)量大:所采用的認(rèn)證方式要具有很高的效率,以保證用戶能及時(shí)通過(guò)認(rèn)證,在網(wǎng)絡(luò)流量大,認(rèn)證用戶數(shù)多時(shí)不會(huì)對(duì)設(shè)備的性能產(chǎn)生影響,以保證整個(gè)網(wǎng)絡(luò)高效、穩(wěn)定的運(yùn)行;3)某些用戶技術(shù)層次高,存在對(duì)網(wǎng)絡(luò)安全造成影響的可能:難免存在某些用戶因好奇使用一些黑客軟件或病毒軟件而造成對(duì)網(wǎng)絡(luò)的影響,因此所采用的認(rèn)證方式要能夠有比較高的安全性,能防止如DHCP的惡意攻擊等安全功能。
5、數(shù)據(jù)存儲(chǔ)方案的實(shí)施
數(shù)字化校園是計(jì)算機(jī)技術(shù)的一個(gè)新興應(yīng)用領(lǐng)域,涉及的內(nèi)容非常廣泛,包括資料數(shù)字化、海量存儲(chǔ)及數(shù)據(jù)管理、全方位查詢檢索、多渠道等技術(shù),提供包括電子圖書(shū)、視頻、音頻及其他多種形式的媒體資料等等。在數(shù)字化校園環(huán)境下,各種數(shù)字信息的增長(zhǎng)非常迅猛,同時(shí),數(shù)字信息存儲(chǔ)的容量需求越來(lái)越大。
因此,設(shè)計(jì)一種高容量、可擴(kuò)充的存儲(chǔ)技術(shù)方案也是校園網(wǎng)絡(luò)安全的重點(diǎn)。可以容納、甚至可以無(wú)限制地容納更多信息的“海量”存儲(chǔ)技術(shù):如NAS存儲(chǔ)、SAN存儲(chǔ)等應(yīng)用支撐平臺(tái)解決方案,在系統(tǒng)結(jié)構(gòu)上滿足用戶未來(lái)的應(yīng)用需求,同時(shí)合理使用用戶投資,建立滿足用戶現(xiàn)有需求的系統(tǒng),并且易于擴(kuò)展的系統(tǒng),來(lái)幫助用戶解決在數(shù)據(jù)存儲(chǔ)和應(yīng)用需求方面所面臨的挑戰(zhàn)。
三、總結(jié)
隨著Internet技術(shù)突飛猛進(jìn)的發(fā)展,網(wǎng)絡(luò)的應(yīng)用范圍和領(lǐng)域迅速擴(kuò)大,新的網(wǎng)絡(luò)技術(shù)、安全技術(shù)不斷推陳出新,黑客技術(shù)也逐漸多元化,導(dǎo)致安全問(wèn)題日益突出。在計(jì)算機(jī)網(wǎng)絡(luò)里,安全防范體系的建立不是一勞永逸的,沒(méi)有絕對(duì)的安全,我們只能不斷的采用新的網(wǎng)絡(luò)技術(shù),以及新的安全設(shè)備與技術(shù),這樣才有可能將網(wǎng)絡(luò)中威脅降到最低限度。論文格式,安全實(shí)施。
防火墻、網(wǎng)閘、病毒防范是信息安全領(lǐng)域的主流技術(shù),這些網(wǎng)絡(luò)安全技術(shù)為整個(gè)網(wǎng)絡(luò)安全的建設(shè)起到至關(guān)重要的作用,任何一個(gè)網(wǎng)絡(luò)或者用戶都不能夠忽視。論文格式,安全實(shí)施。到目前為止,盡管相關(guān)研究人員已經(jīng)在理論和實(shí)踐方面都作了大量的工作,而影響校園網(wǎng)的安全因素在不斷地變化,黑客與病毒的攻擊方式在不斷地更新。論文格式,安全實(shí)施。要確保網(wǎng)絡(luò)的安全就只有根據(jù)實(shí)際情況,在安全技術(shù)上采用最新的技術(shù)成果,及時(shí)調(diào)整安全策略,有效整合現(xiàn)有安全資源,并且不斷引入新的安全機(jī)制,才能保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展,確保數(shù)字化校園網(wǎng)的有效性和先進(jìn)性。
參考文獻(xiàn):
[1]焦中明.高校數(shù)字化校園建設(shè)的幾個(gè)問(wèn)題.贛南師范學(xué)院學(xué)報(bào)
[2]徐立.我國(guó)高校校園網(wǎng)建設(shè)的研究.中南大學(xué)碩士論文
[3]沈培華.數(shù)字校園的五個(gè)層次.計(jì)算機(jī)世界
[4]趙思輝.數(shù)字化校園基礎(chǔ)平臺(tái)體系架構(gòu).福建電腦
[5]宋金玲.數(shù)字校園的相關(guān)技術(shù)及方法研究.中國(guó)礦業(yè)大學(xué)
[6]曾力煒,徐鷹.關(guān)于數(shù)字化校園建設(shè)的研究.計(jì)算機(jī)與現(xiàn)代化
[7]占素環(huán).校園網(wǎng)網(wǎng)絡(luò)安全技術(shù)及解決方案.農(nóng)機(jī)化研究
[8]張武軍,李雪安.高校校園網(wǎng)安全整體解決方案研究.電子科技
[論文關(guān)鍵詞] 電子商務(wù) 信息安全 信息安全技術(shù) 數(shù)字認(rèn)證 安全協(xié)議
[論文摘 要]電子商務(wù)是新興商務(wù)形式,信息安全的保障是電子商務(wù)實(shí)施的前提。本文針對(duì)電子商務(wù)活動(dòng)中存在的信息安全隱患問(wèn)題,實(shí)施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)、身份驗(yàn)證技術(shù)、防火墻技術(shù)等技術(shù)性措施,完善電子商務(wù)發(fā)展的內(nèi)外部環(huán)境,促進(jìn)我國(guó)電子商務(wù)可持續(xù)發(fā)展。
隨著網(wǎng)絡(luò)的發(fā)展,電子商務(wù)的迅速崛起,使網(wǎng)絡(luò)成為國(guó)際競(jìng)爭(zhēng)的新戰(zhàn)場(chǎng)。然而,由于網(wǎng)絡(luò)技術(shù)本身的缺陷,使得網(wǎng)絡(luò)社會(huì)的脆性大大增加,一旦計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊不能正常運(yùn)作時(shí),整個(gè)社會(huì)就會(huì)陷入危機(jī)。所以,構(gòu)筑安全的電子商務(wù)信息環(huán)境,愈來(lái)愈受到國(guó)際社會(huì)的高度關(guān)注。
一、電子商務(wù)中的信息安全技術(shù)
電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,包括密碼、鑒別、訪問(wèn)控制、信息流控制、數(shù)據(jù)保護(hù)、軟件保護(hù)、病毒檢測(cè)及清除、內(nèi)容分類識(shí)別和過(guò)濾、網(wǎng)絡(luò)隱患掃描、系統(tǒng)安全監(jiān)測(cè)報(bào)警與審計(jì)等技術(shù)。
1.防火墻技術(shù)。防火墻主要是加強(qiáng)網(wǎng)絡(luò)之間的訪問(wèn)控制, 防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)。
2.加密技術(shù)。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識(shí)別的密文數(shù)據(jù),當(dāng)需要時(shí)可使用不同的密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)。
3.數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。
4.數(shù)字時(shí)間戳技術(shù)。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔,包括需加時(shí)間戳的文件的摘要、DTS 收到文件的日期與時(shí)間和DIS 數(shù)字簽名,用戶首先將需要加時(shí)間的文件用HASH編碼加密形成摘要,然后將該摘要發(fā)送到DTS,DTS 在加入了收到文件摘要的日期和時(shí)間信息后再對(duì)該文件加密,然后送回用戶。
二、電子商務(wù)安全防范措施
網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。網(wǎng)絡(luò)安全防范技術(shù)可以從數(shù)據(jù)的加密(解密)算法、安全的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)防火墻、完善的安全管理制度、硬件的加密和物理保護(hù)、安全監(jiān)聽(tīng)系統(tǒng)和防病毒軟件等領(lǐng)域來(lái)進(jìn)行考慮和完善。
1.防火墻技術(shù)
用過(guò)Internet,企業(yè)可以從異地取回重要數(shù)據(jù),同時(shí)又要面對(duì) Internet 帶來(lái)的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn):即客戶、推銷(xiāo)商、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問(wèn);以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此,企業(yè)必須加筑安全的“壕溝”,而這個(gè)“壕溝”就是防火墻.防火墻系統(tǒng)決定了哪些內(nèi)容服務(wù)可以被外界訪問(wèn);外界的哪些人可以訪問(wèn)內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò),而且防火墻本身必須能夠免于滲透。
2. VPN技術(shù)
虛擬專用網(wǎng)簡(jiǎn)稱VPN,指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)聯(lián)接而形成邏輯上的虛擬“私”網(wǎng),依靠IPS或 NSP在安全隧道、用戶認(rèn)證和訪問(wèn)控制等相關(guān)技術(shù)的控制下達(dá)到與專用網(wǎng)絡(luò)類同的安全性能,從而實(shí)現(xiàn)基于 Internet 安全傳輸重要信息的效應(yīng)。目前VPN 主要采用四項(xiàng)技術(shù)來(lái)保證安全, 這四項(xiàng)技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。
3.數(shù)字簽名技術(shù)
為了保證數(shù)據(jù)和交易的安全、防止欺騙,確認(rèn)交易雙方的真實(shí)身份,電子商務(wù)必須采用加密技術(shù)。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來(lái)確定用戶是否是真實(shí)的。數(shù)字簽名就是通過(guò)一個(gè)單向哈希函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理而得到的用以認(rèn)證報(bào)文是否發(fā)生改變的一個(gè)字母數(shù)字串。發(fā)送者用自己的私鑰把數(shù)據(jù)加密后傳送給接收者,接收者用發(fā)送者的公鑰解開(kāi)數(shù)據(jù)后,就可確認(rèn)消息來(lái)自于誰(shuí),同時(shí)也是對(duì)發(fā)送者發(fā)送的信息真實(shí)性的一個(gè)證明,發(fā)送者對(duì)所發(fā)信息不可抵賴,從而實(shí)現(xiàn)信息的有效性和不可否認(rèn)性。
三、電子商務(wù)的安全認(rèn)證體系
隨著計(jì)算機(jī)的發(fā)展和社會(huì)的進(jìn)步,通過(guò)網(wǎng)絡(luò)進(jìn)行的電子商務(wù)活動(dòng)當(dāng)今社會(huì)越來(lái)越頻繁,身份認(rèn)證是一個(gè)不得不解決的重要問(wèn)題,它將直接關(guān)系到電子商務(wù)活動(dòng)能否高效而有序地進(jìn)行。認(rèn)證體系在電子商務(wù)中至關(guān)重要,它是用戶獲得訪問(wèn)權(quán)限的關(guān)鍵步驟。現(xiàn)代密碼的兩個(gè)最重要的分支就是加密和認(rèn)證。加密目的就是防止敵方獲得機(jī)密信息。認(rèn)證則是為了防止敵方的主動(dòng)攻擊,包括驗(yàn)證信息真?zhèn)渭胺乐剐畔⒃谕ㄐ胚^(guò)程被篡改刪除、插入、偽造及重放等。認(rèn)證主要包括三個(gè)方面:消息認(rèn)證、身份認(rèn)證和數(shù)字簽名。
身份認(rèn)證一般是通過(guò)對(duì)被認(rèn)證對(duì)象(人或事)的一個(gè)或多個(gè)參數(shù)進(jìn)行驗(yàn)證。從而確定被認(rèn)證對(duì)象是否名實(shí)相符或有效。這要求要驗(yàn)證的參數(shù)與被認(rèn)證對(duì)象之間應(yīng)存在嚴(yán)格的對(duì)應(yīng)關(guān)系,最好是惟一對(duì)應(yīng)的。身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡。
數(shù)字證書(shū)是在互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)。提供了一種 Internet 上驗(yàn)證用戶身份的方式,其作用類似于司機(jī)的駕駛執(zhí)照或身份證。它是由一個(gè)權(quán)威機(jī)構(gòu)CA機(jī)構(gòu),又稱為證書(shū)授權(quán)(Certificate Authority)中心發(fā)行的,人們可以在網(wǎng)上用它識(shí)別彼此的身份。
四、結(jié)束語(yǔ)
安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證100%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。因此,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問(wèn)題,使電子商務(wù)系統(tǒng)相對(duì)更安全。電子商務(wù)的安全運(yùn)行必須從多方面入手,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問(wèn)題,從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。
參考文獻(xiàn)
[1] 勞幗齡.電子商務(wù)的安全技術(shù)[M].北京:中國(guó)水利水電出版社,2005.
[2] 趙泉.網(wǎng)絡(luò)安全與電子商務(wù)[M].北京:清華大學(xué)出版社,2005.
論文摘要:隨著計(jì)算機(jī)的飛速發(fā)展以及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用,隨著信息時(shí)代的來(lái)臨,信息作為一種重要的資源正得到了人們的重視與應(yīng)用。因特網(wǎng)是一個(gè)發(fā)展非常活躍的領(lǐng)域,可能會(huì)受到黑客的非法攻擊,所以在任何情況下,對(duì)于各種事故,無(wú)意或有意的破壞,保護(hù)數(shù)據(jù)及其傳送、處理都是非常必要的。計(jì)劃如何保護(hù)你的局域網(wǎng)免受因特網(wǎng)攻擊帶來(lái)的危害時(shí),首先要考慮的是防火墻。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。本文介紹了防火墻技術(shù)的基本概念、系統(tǒng)結(jié)構(gòu)、原理、構(gòu)架、入侵檢測(cè)技術(shù)及VPN等相關(guān)問(wèn)題。
Abstract:Along with the fast computer development and the universal application of the network technology, along with information times coming up on, Information is attracting the world’s attention and employed as a kind of important resources. Internet is a very actively developed field. Because it may be illegally attacked by hackers, It is very necessary for data’s protection, delivery and protection against various accidents, intentional or want destroy under any condition. Firewall is the first consideration when plan how to protect your local area network against endangers brought by Internet attack. The core content of firewall technology is to construct a relatively safe environment of subnet in the not-so-safe network environment. This paper introduces the basic conception and system structure of fire-wall technology and also discusses two main technology means to realize fire-wall: One is based on packet filtering, which is to realize fire-wall function through Screening Router; and the other is Proxy and the typical representation is the gateway on application level.....
第一章 緒論
§1.1概述
隨著以 Internet為代表的全球信息化浪潮的來(lái)臨,信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益廣泛,應(yīng)用層次正在深入,應(yīng)用領(lǐng)域也從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展,其中以黨政系統(tǒng)、大中院校網(wǎng)絡(luò)系統(tǒng)、銀行系統(tǒng)、商業(yè)系統(tǒng)、管理部門(mén)、政府或軍事領(lǐng)域等為典型。伴隨網(wǎng)絡(luò)的普及,公共通信網(wǎng)絡(luò)傳輸中的數(shù)據(jù)安全問(wèn)題日益成為關(guān)注的焦點(diǎn)。一方面,網(wǎng)絡(luò)化的信息系統(tǒng)提供了資源的共享性、用戶使用的方便性,通過(guò)分布式處理提高了系統(tǒng)效率和可靠性,并且還具備可擴(kuò)充性。另一方面,也正是由于具有這些特點(diǎn)增加了網(wǎng)絡(luò)信息系統(tǒng)的不安全性。
開(kāi)放性的網(wǎng)絡(luò),導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊可能是多方面的,例如:可能來(lái)自物理傳輸線路的攻擊,也可以對(duì)網(wǎng)絡(luò)通信協(xié)議和實(shí)現(xiàn)實(shí)施攻擊,可以是對(duì)軟件實(shí)施攻擊,也可以對(duì)硬件實(shí)施攻擊。國(guó)際性的網(wǎng)絡(luò),意味著網(wǎng)絡(luò)的攻擊不僅僅來(lái)自本地網(wǎng)絡(luò)的用戶,也可以來(lái)自 linternet上的任何一臺(tái)機(jī)器,也就是說(shuō),網(wǎng)絡(luò)安全所面臨的是一個(gè)國(guó)際化的挑戰(zhàn)。開(kāi)放的、國(guó)際化的 Internet的發(fā)展給政府機(jī)構(gòu)、企事業(yè)單位的工作帶來(lái)了革命性的變革和開(kāi)放,使得他們能夠利用 Internet提高辦事效率、市場(chǎng)反應(yīng)能力和競(jìng)爭(zhēng)力。通過(guò) Internet,他們可以從異地取回重要數(shù)據(jù),同時(shí)也面臨 Internet開(kāi)放所帶來(lái)的數(shù)據(jù)安全的挑戰(zhàn)與危險(xiǎn)。如何保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵,己成為政府機(jī)構(gòu)、企事業(yè)單位信息化建設(shè)健康發(fā)展所要考慮的重要因素之一。廣泛分布的企業(yè)內(nèi)部網(wǎng)絡(luò)由公共網(wǎng)絡(luò)互聯(lián)起來(lái),這種互聯(lián)方式面臨多種安全威脅,極易受到外界的攻擊,導(dǎo)致對(duì)網(wǎng)絡(luò)的非法訪問(wèn)和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。
雖然國(guó)內(nèi)己有許多成熟的防火墻及其他相關(guān)安全產(chǎn)品,并且這些產(chǎn)品早已打入市場(chǎng),但是對(duì)于安全產(chǎn)品來(lái)說(shuō),要想進(jìn)入我軍部隊(duì)。我們必須自己掌握安全測(cè)試技術(shù),使進(jìn)入部隊(duì)的安全產(chǎn)品不出現(xiàn)問(wèn)題,所以對(duì)網(wǎng)絡(luò)安全測(cè)試的研究非常重要,具有深遠(yuǎn)的意義。
§1.2本文主要工作
了解防火墻的原理 、架構(gòu)、技術(shù)實(shí)現(xiàn)
了解防火墻的部署和使用配置
熟悉防火墻測(cè)試的相關(guān)標(biāo)準(zhǔn)
掌握防火墻產(chǎn)品的功能、性能、安全性和可用性的測(cè)試方法
掌握入侵檢測(cè)與VPN的概念及相關(guān)測(cè)試方法
第二章 防火墻的原理 、架構(gòu)、技術(shù)實(shí)現(xiàn)
§2.1什么是防火墻?
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
§2.2防火墻的原理
隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和開(kāi)放性的增強(qiáng),網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動(dòng)和被動(dòng)的人為攻擊。一種解決辦法是為需要保護(hù)的網(wǎng)絡(luò)上的每個(gè)工作站和服務(wù)器裝備上強(qiáng)大的安全特征(例如入侵檢測(cè)),但這幾乎是一種不切合實(shí)際的方法,因?yàn)閷?duì)具有幾百個(gè)甚至上千個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò),它們可能運(yùn)行著不同的操作系統(tǒng),當(dāng)發(fā)現(xiàn)了安全缺陷時(shí),每個(gè)可能被影響的節(jié)點(diǎn)都必須加以改進(jìn)以修復(fù)這個(gè)缺陷。另一種選擇就是防火墻 (Firewall),防火墻是用來(lái)在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個(gè)設(shè)備或一組設(shè)備,作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點(diǎn)存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障,它可以實(shí)施比較廣泛的安全策略來(lái)控制信息流,防止不可預(yù)料的潛在的入侵破壞. DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。
§2.3防火墻的架構(gòu)
防火墻產(chǎn)品的三代體系架構(gòu)主要為:
第一代架構(gòu):主要是以單一cpu作為整個(gè)系統(tǒng)業(yè)務(wù)和管理的核心,cpu有x86、powerpc、mips等多類型,產(chǎn)品主要表現(xiàn)形式是pc機(jī)、工控機(jī)、pc-box或risc-box等;
第二代架構(gòu):以np或asic作為業(yè)務(wù)處理的主要核心,對(duì)一般安全業(yè)務(wù)進(jìn)行加速,嵌入式cpu為管理核心,產(chǎn)品主要表現(xiàn)形式為box等;
第三代架構(gòu):iss(integrated security system)集成安全體系架構(gòu),以高速安全處理芯片作為業(yè)務(wù)處理的主要核心,采用高性能cpu發(fā)揮多種安全業(yè)務(wù)的高層應(yīng)用,產(chǎn)品主要表現(xiàn)形式為基于電信級(jí)的高可靠、背板交換式的機(jī)架式設(shè)備,容量大性能高,各單元及系統(tǒng)更為靈活。
§2.4防火墻的技術(shù)實(shí)現(xiàn)
從Windows軟件防火墻的誕生開(kāi)始,這種安全防護(hù)產(chǎn)品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭(zhēng),不斷的進(jìn)化與升級(jí)。從最早期的只能分析來(lái)源地址,端口號(hào)以及未經(jīng)處理的報(bào)文原文的封包過(guò)濾防火墻,后來(lái)出現(xiàn)了能對(duì)不同的應(yīng)用程序設(shè)置不同的訪問(wèn)網(wǎng)絡(luò)權(quán)限的技術(shù);近年來(lái)由ZoneAlarm等國(guó)外知名品牌牽頭,還開(kāi)始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻;最后,由于近來(lái)垃圾插件和流氓軟件的盛行,很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上,Windows軟件防火墻從開(kāi)始的時(shí)候單純的一個(gè)截包丟包,堵截IP和端口的工具,發(fā)展到了今天功能強(qiáng)大的整體性的安全套件。
第三章 防火墻的部署和使用配置
§ 3.1防火墻的部署
雖然監(jiān)測(cè)型防火墻安全性上已超越了包過(guò)濾型和服務(wù)器型防火墻,但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主,但在某些方面也已經(jīng)開(kāi)始使用監(jiān)測(cè)型防火墻。基于對(duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。
實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過(guò)濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過(guò)濾。例如,它可以過(guò)濾掉FTP連接中的PUT命令,而且通過(guò)應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。
----那么我們究竟應(yīng)該在哪些地方部署防火墻呢?
----首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部 Internet的接口處,以阻擋來(lái)自外部網(wǎng)絡(luò)的入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻;第三,通過(guò)公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻,如果有條件,還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。
----安裝防火墻的基本原則是:只要有惡意侵入的可能,無(wú)論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。
§ 3.2 防火墻的使用配置
一、防火墻的配置規(guī)則:
沒(méi)有連接的狀態(tài)(沒(méi)有握手或握手不成功或非法的數(shù)據(jù)包),任何數(shù)據(jù)包無(wú)法穿過(guò)防火墻。(內(nèi)部發(fā)起的連接可以回包。通過(guò)ACL開(kāi)放的服務(wù)器允許外部發(fā)起連接)
inside可以訪問(wèn)任何outside和dmz區(qū)域。
dmz可以訪問(wèn)outside區(qū)域。
inside訪問(wèn)dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)。
outside訪問(wèn)dmz需要配合acl(訪問(wèn)控制列表)。
二、防火墻設(shè)備的設(shè)置步驟:
1、確定設(shè)置防火墻的部署模式;
2、設(shè)置防火墻設(shè)備的IP地址信息(接口地址或管理地址(設(shè)置在VLAN 1上));
3、設(shè)置防火墻設(shè)備的路由信息;
4、確定經(jīng)過(guò)防火墻設(shè)備的IP地址信息(基于策略的源、目標(biāo)地址);
5、確定網(wǎng)絡(luò)應(yīng)用(如FTP、EMAIL等應(yīng)用);
6、配置訪問(wèn)控制策略。
第四章 防火墻測(cè)試的相關(guān)標(biāo)準(zhǔn)
防火墻作為信息安全產(chǎn)品的一種,它的產(chǎn)生源于信息安全的需求。所以防火墻的測(cè)試不僅有利于提高防火墻的工作效率,更是為了保證國(guó)家信息的安全。依照中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 18019-1999《信息技術(shù)包過(guò)濾防火墻安全技術(shù)要求》、GB/T18020-1999《信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求》和GB/T17900-1999《網(wǎng)絡(luò)服務(wù)器的安全技術(shù)要求》以及多款防火墻隨機(jī)提供的說(shuō)明文檔,中國(guó)軟件評(píng)測(cè)中心軟件產(chǎn)品測(cè)試部根據(jù)有關(guān)方面的標(biāo)準(zhǔn)和不同防火墻的特點(diǎn)整理出以下軟件防火墻的測(cè)試標(biāo)準(zhǔn):
4.1 規(guī)則配置方面
要使防火墻軟件更好的服務(wù)于用戶,除了其默認(rèn)的安全規(guī)則外,還需要用戶在使用過(guò)程中不斷的完善其規(guī)則;而規(guī)則的設(shè)置是否靈活方便、實(shí)際效果是否理想等方面,也是判斷一款防火墻軟件整體安全性是否合格的重要標(biāo)準(zhǔn)。簡(jiǎn)單快捷的規(guī)則配置過(guò)程讓防火墻軟件具備更好的親和力,一款防火墻軟件如果能實(shí)施在線檢測(cè)所有對(duì)本機(jī)的訪問(wèn)并控制它們、分別對(duì)應(yīng)用程序、文件或注冊(cè)表鍵值實(shí)施單獨(dú)的規(guī)則添加等等,這將成為此款軟件防火墻規(guī)則配置的一個(gè)特色。
§ 4.2 防御能力方面
對(duì)于防火墻防御能力的表現(xiàn),由于偶然因素太多,因此無(wú)法從一個(gè)固定平等的測(cè)試環(huán)境中來(lái)得出結(jié)果。但是可以使用了X-Scan等安全掃描工具來(lái)測(cè)試。雖然得出的結(jié)果可能仍然有一定的出入,但大致可以做為一個(gè)性能參考。
§ 4.3 主動(dòng)防御提示方面
對(duì)于網(wǎng)絡(luò)訪問(wèn)、系統(tǒng)進(jìn)程訪問(wèn)、程序運(yùn)行等本機(jī)狀態(tài)發(fā)生改變時(shí),防火墻軟件一般都會(huì)有主動(dòng)防御提示出現(xiàn)。這方面主要測(cè)試軟件攔截或過(guò)濾時(shí)是否提示用戶做出相應(yīng)的操作選擇。
§ 4.4 自定義安全級(jí)別方面
用戶是否可以參照已有安全級(jí)別的安全性描述來(lái)設(shè)置符合自身特殊需要的規(guī)則。防火墻可設(shè)置系統(tǒng)防火墻的安全等級(jí)、安全規(guī)則,以防止電腦被外界入侵。一般的防火墻共有四個(gè)級(jí)別:
高級(jí):預(yù)設(shè)的防火墻安全等級(jí),用戶可以上網(wǎng),收發(fā)郵件;l
中級(jí):預(yù)設(shè)的防火墻安全等級(jí),用戶可以上網(wǎng),收發(fā)郵件,網(wǎng)絡(luò)聊天, FTP、Telnet等;l
低級(jí):預(yù)設(shè)的防火墻安全等級(jí),只對(duì)已知的木馬進(jìn)行攔截,對(duì)于其它的訪問(wèn),只是給于提示用戶及記錄;l
自定義:用戶可自定義防火墻的安全規(guī)則,可以根據(jù)需要自行進(jìn)行配置。l
§ 4.5 其他功能方面
這主要是從軟件的擴(kuò)展功能表現(xiàn)、操作設(shè)置的易用性、軟件的兼容性和安全可靠性方面來(lái)綜合判定。比如是否具有過(guò)濾網(wǎng)址、實(shí)施木馬掃描、阻止彈出廣告窗口、將未受保護(hù)的無(wú)線網(wǎng)絡(luò)“學(xué)習(xí)”為規(guī)則、惡意軟件檢測(cè)、個(gè)人隱私保護(hù)等豐富的功能項(xiàng),是否可以滿足用戶各方面的需要。
§ 4.6 資源占用方面
這方面的測(cè)試包括空閑時(shí)和瀏覽網(wǎng)頁(yè)時(shí)的CPU占用率、內(nèi)存占有率以及屏蔽大量攻擊時(shí)的資源占用和相應(yīng)速度。總的來(lái)是就是資源占用率越低越好,啟動(dòng)的速度越快越好。
§ 4.7 軟件安裝方面
這方面主要測(cè)試軟件的安裝使用是否需要重啟系統(tǒng)、安裝過(guò)程是不是方便、安裝完成后是否提示升級(jí)本地?cái)?shù)據(jù)庫(kù)的信息等等。
§ 4.8 軟件界面方面
軟件是否可切換界面皮膚和語(yǔ)言、界面是否簡(jiǎn)潔等等。簡(jiǎn)潔的界面并不代表其功能就不完善,相反地,簡(jiǎn)化了用戶的操作設(shè)置項(xiàng)也就帶來(lái)了更智能的安全防護(hù)功能。比如有的防護(hù)墻安裝完成后會(huì)在桌面生成簡(jiǎn)單模式和高級(jí)模式兩個(gè)啟動(dòng)項(xiàng),這方便用戶根據(jù)不同的安全級(jí)別啟動(dòng)相應(yīng)的防護(hù)
第五章 防火墻的入侵檢測(cè)
§ 5.1 什么是入侵檢測(cè)系統(tǒng)?
入侵檢測(cè)可被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)的處理過(guò)程,它不僅檢測(cè)來(lái)自外部的入侵行為,同時(shí)也檢測(cè)內(nèi)部用戶的未授權(quán)活動(dòng)。
入侵檢測(cè)系統(tǒng) (IDS)是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認(rèn)為是防火墻之后的第二道安全閘門(mén),它作為一種積極主動(dòng)的安全防護(hù)技術(shù),從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā),對(duì)防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù),從而能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵
§ 5.2 入侵檢測(cè)技術(shù)及發(fā)展
自1980年產(chǎn)生IDS概念以來(lái),已經(jīng)出現(xiàn)了基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),出現(xiàn)了基于知識(shí)的模型識(shí)別、異常識(shí)別和協(xié)議分析等入侵檢測(cè)技術(shù),并能夠?qū)Π僬住⑶д咨踔粮吡髁康木W(wǎng)絡(luò)系統(tǒng)執(zhí)行入侵檢測(cè)。
入侵檢測(cè)技術(shù)的發(fā)展已經(jīng)歷了四個(gè)主要階段:
第一階段是以基于協(xié)議解碼和模式匹配為主的技術(shù),其優(yōu)點(diǎn)是對(duì)于已知的攻擊行為非常有效,各種已知的攻擊行為可以對(duì)號(hào)入座,誤報(bào)率低;缺點(diǎn)是高超的黑客采用變形手法或者新技術(shù)可以輕易躲避檢測(cè),漏報(bào)率高。
第二階段是以基于模式匹配+簡(jiǎn)單協(xié)議分析+異常統(tǒng)計(jì)為主的技術(shù),其優(yōu)點(diǎn)是能夠分析處理一部分協(xié)議,可以進(jìn)行重組;缺點(diǎn)是匹配效率較低,管理功能較弱。這種檢測(cè)技術(shù)實(shí)際上是在第一階段技術(shù)的基礎(chǔ)上增加了部分對(duì)異常行為分析的功能。
第三階段是以基于完全協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù),其優(yōu)點(diǎn)是誤報(bào)率、漏報(bào)率和濫報(bào)率較低,效率高,可管理性強(qiáng),并在此基礎(chǔ)上實(shí)現(xiàn)了多級(jí)分布式的檢測(cè)管理;缺點(diǎn)是可視化程度不夠,防范及管理功能較弱。
第四階段是以基于安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù),其優(yōu)點(diǎn)是入侵管理和多項(xiàng)技術(shù)協(xié)同工作,建立全局的主動(dòng)保障體系,具有良好的可視化、可控性和可管理性。以該技術(shù)為核心,可構(gòu)造一個(gè)積極的動(dòng)態(tài)防御體系,即IMS——入侵管理系統(tǒng)。
新一代的入侵檢測(cè)系統(tǒng)應(yīng)該是具有集成HIDS和NIDS的優(yōu)點(diǎn)、部署方便、應(yīng)用靈活、功能強(qiáng)大、并提供攻擊簽名、檢測(cè)、報(bào)告和事件關(guān)聯(lián)等配套服務(wù)功能的智能化系統(tǒng)
§ 5.3入侵檢測(cè)技術(shù)分類
從技術(shù)上講,入侵檢測(cè)技術(shù)大致分為基于知識(shí)的模式識(shí)別、基于知識(shí)的異常識(shí)別和協(xié)議分析三類。而主要的入侵檢測(cè)方法有特征檢測(cè)法、概率統(tǒng)計(jì)分析法和專家知識(shí)庫(kù)系統(tǒng)。
(1)基于知識(shí)的模式識(shí)別
這種技術(shù)是通過(guò)事先定義好的模式數(shù)據(jù)庫(kù)實(shí)現(xiàn)的,其基本思想是:首先把各種可能的入侵活動(dòng)均用某種模式表示出來(lái),并建立模式數(shù)據(jù)庫(kù),然后監(jiān)視主體的一舉一動(dòng),當(dāng)檢測(cè)到主體活動(dòng)違反了事先定義的模式規(guī)則時(shí),根據(jù)模式匹配原則判別是否發(fā)生了攻擊行為。
模式識(shí)別的關(guān)鍵是建立入侵模式的表示形式,同時(shí),要能夠區(qū)分入侵行為和正常行為。這種檢測(cè)技術(shù)僅限于檢測(cè)出已建立模式的入侵行為,屬已知類型,對(duì)新類型的入侵是無(wú)能為力的,仍需改進(jìn)。
(2)基于知識(shí)的異常識(shí)別
這種技術(shù)是通過(guò)事先建立正常行為檔案庫(kù)實(shí)現(xiàn)的,其基本思想是:首先把主體的各種正常活動(dòng)用某種形式描述出來(lái),并建立“正常活動(dòng)檔案”,當(dāng)某種活動(dòng)與所描述的正常活動(dòng)存在差異時(shí),就認(rèn)為是“入侵”行為,進(jìn)而被檢測(cè)識(shí)別。
異常識(shí)別的關(guān)鍵是描述正常活動(dòng)和構(gòu)建正常活動(dòng)檔案庫(kù)。
利用行為進(jìn)行識(shí)別時(shí),存在四種可能:一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據(jù)異常識(shí)別思想,把第二種和第四種情況判定為“入侵”行為。這種檢測(cè)技術(shù)可以檢測(cè)出未知行為,并具有簡(jiǎn)單的學(xué)習(xí)功能。
以下是幾種基于知識(shí)的異常識(shí)別的檢測(cè)方法:
1)基于審計(jì)的攻擊檢測(cè)技術(shù)
這種檢測(cè)方法是通過(guò)對(duì)審計(jì)信息的綜合分析實(shí)現(xiàn)的,其基本思想是:根據(jù)用戶的歷史行為、先前的證據(jù)或模型,使用統(tǒng)計(jì)分析方法對(duì)用戶當(dāng)前的行為進(jìn)行檢測(cè)和判別,當(dāng)發(fā)現(xiàn)可疑行為時(shí),保持跟蹤并監(jiān)視其行為,同時(shí)向系統(tǒng)安全員提交安全審計(jì)報(bào)告。
2)基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)
由于用戶的行為十分復(fù)雜,要準(zhǔn)確匹配一個(gè)用戶的歷史行為和當(dāng)前的行為是相當(dāng)困難的,這也是基于審計(jì)攻擊檢測(cè)的主要弱點(diǎn)。
而基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)則是一個(gè)對(duì)基于傳統(tǒng)統(tǒng)計(jì)技術(shù)的攻擊檢測(cè)方法的改進(jìn)方向,它能夠解決傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)所面臨的若干問(wèn)題,例如,建立確切的統(tǒng)計(jì)分布、實(shí)現(xiàn)方法的普遍性、降低算法實(shí)現(xiàn)的成本和系統(tǒng)優(yōu)化等問(wèn)題。
3)基于專家系統(tǒng)的攻擊檢測(cè)技術(shù)
所謂專家系統(tǒng)就是一個(gè)依據(jù)專家經(jīng)驗(yàn)定義的推理系統(tǒng)。這種檢測(cè)是建立在專家經(jīng)驗(yàn)基礎(chǔ)上的,它根據(jù)專家經(jīng)驗(yàn)進(jìn)行推理判斷得出結(jié)論。例如,當(dāng)用戶連續(xù)三次登錄失敗時(shí),可以把該用戶的第四次登錄視為攻擊行為。
4)基于模型推理的攻擊檢測(cè)技術(shù)
攻擊者在入侵一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序,如猜測(cè)口令的程序,這種行為程序構(gòu)成了某種具有一定行為特征的模型,根據(jù)這種模型所代表的攻擊意圖的行為特征,可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖,盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠?yàn)槟承┬袨榻⑻囟ǖ哪P停瑥亩軌虮O(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本,這種系統(tǒng)就能檢測(cè)出非法的用戶行為。一般為了準(zhǔn)確判斷,要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。
使用基于知識(shí)的模式識(shí)別和基于知識(shí)的異常識(shí)別所得出的結(jié)論差異較大,甚至得出相反結(jié)論。這是因?yàn)榛谥R(shí)的模式識(shí)別的核心是維護(hù)一個(gè)入侵模式庫(kù),它對(duì)已知攻擊可以詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類型,但對(duì)未知攻擊卻無(wú)能為力,而且入侵模式庫(kù)必須不斷更新。而基于知識(shí)的異常識(shí)別則是通過(guò)對(duì)入侵活動(dòng)的檢測(cè)得出結(jié)論的,它雖無(wú)法準(zhǔn)確判斷出攻擊的手段,但可以發(fā)現(xiàn)更廣泛的、甚至未知的攻擊行為。
§ 5.4入侵檢測(cè)技術(shù)剖析
1)信號(hào)分析
對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息,一般通過(guò)三種技術(shù)手段進(jìn)行分析:模式匹配、統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè),而完整性分析則用于事后分析。
2)模式匹配
模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫(kù)進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)單(如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令),也可以很復(fù)雜(如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化)。一般來(lái)講,一種進(jìn)攻模式可以用一個(gè)過(guò)程(如執(zhí)行一條指令)或一個(gè)輸出(如獲得權(quán)限)來(lái)表示。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合,顯著減少系統(tǒng)負(fù)擔(dān),且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣,檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。但是,該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法,不能檢測(cè)到從未出現(xiàn)過(guò)的黑客攻擊手段。
3)統(tǒng)計(jì)分析
統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性(如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等)。在比較這一點(diǎn)上與模式匹配有些相象之處。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較,任何觀察值在正常值范圍之外時(shí),就認(rèn)為有入侵發(fā)生。例如,本來(lái)都默認(rèn)用GUEST帳號(hào)登錄的,突然用ADMINI帳號(hào)登錄。這樣做的優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵,缺點(diǎn)是誤報(bào)、漏報(bào)率高,且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法,目前正處于研究熱點(diǎn)和迅速發(fā)展之中。
4)完整性分析
完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性,它在發(fā)現(xiàn)被更改的、被特咯伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制,稱為消息摘要函數(shù)(例如MD5),它能識(shí)別哪怕是微小的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵,只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變,它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn),用于事后分析而不用于實(shí)時(shí)響應(yīng)。盡管如此,完整性檢測(cè)方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如,可以在每一天的某個(gè)特定時(shí)間內(nèi)開(kāi)啟完整性分析模塊,對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。
§ 5.5防火墻與入侵檢測(cè)的聯(lián)動(dòng)
網(wǎng)絡(luò)安全是一個(gè)整體的動(dòng)態(tài)的系統(tǒng)工程,不能靠幾個(gè)產(chǎn)品單獨(dú)工作來(lái)進(jìn)行安全防范。理想情況下,整個(gè)系統(tǒng)的安全產(chǎn)品應(yīng)該有一個(gè)響應(yīng)協(xié)同,相互通信,協(xié)同工作。其中入侵檢測(cè)系統(tǒng)和防火墻之間的聯(lián)動(dòng)就能更好的進(jìn)行安全防護(hù)。圖8所示就是入侵檢測(cè)系統(tǒng)和防火墻之間的聯(lián)動(dòng),當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到入侵后,通過(guò)和防火墻通信,讓防火墻自動(dòng)增加規(guī)則,以攔截相關(guān)的入侵行為,實(shí)現(xiàn)聯(lián)動(dòng)聯(lián)防。
§ 5.6什么是VPN ?
VPN的英文全稱是“Virtual Private Network”,翻譯過(guò)來(lái)就是“虛擬專用網(wǎng)絡(luò)”。顧名思義,虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。它可以通過(guò)特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路,就好比是架設(shè)了一條專線一樣,但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線,但是不用給鋪設(shè)線路的費(fèi)用,也不用購(gòu)買(mǎi)路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一,目前在交換機(jī),防火墻設(shè)備或Windows 2000等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。
虛擬專用網(wǎng)(VPN)被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
§ 5.7VPN的特點(diǎn)
1.安全保障雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在安全性方面,由于VPN直接構(gòu)建在公用網(wǎng)上,實(shí)現(xiàn)簡(jiǎn)單、方便、靈活,但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。
2.服務(wù)質(zhì)量保證(QoS)
VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。在網(wǎng)絡(luò)優(yōu)化方面,構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低,在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞,使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送;而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制策略,可以按照優(yōu)先級(jí)分實(shí)現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預(yù)防阻塞的發(fā)生。
3.可擴(kuò)充性和靈活性
VPN必須能夠支持通過(guò)Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點(diǎn),支持多種類型的傳輸媒介,可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。
4.可管理性
從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。VPN管理的目標(biāo)為:減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上,VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、QoS管理等內(nèi)容。
§ 5.8 VPN防火墻
VPN防火墻就是一種過(guò)濾塞(目前你這么理解不算錯(cuò)),你可以讓你喜歡的東西通過(guò)這個(gè)塞子,別的玩意都統(tǒng)統(tǒng)過(guò)濾掉。在網(wǎng)絡(luò)的世界里,要由VPN防火墻過(guò)濾的就是承載通信數(shù)據(jù)的通信包。
最簡(jiǎn)單的VPN防火墻是以太網(wǎng)橋。但幾乎沒(méi)有人會(huì)認(rèn)為這種原始VPN防火墻能管多大用。大多數(shù)VPN防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門(mén)。這些VPN防火墻的形式多種多樣:有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧;有的在已有的協(xié)議棧上建立自己的軟件模塊;有的干脆就是獨(dú)立的一套操作系統(tǒng)。還有一些應(yīng)用型的VPN防火墻只對(duì)特定類型的網(wǎng)絡(luò)連接提供保護(hù)(比如SMTP或者HTTP協(xié)議等)。還有一些基于硬件的VPN防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類。以上的產(chǎn)品都可以叫做VPN防火墻,因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈隫PN防火墻的數(shù)據(jù)包,決定放行還是把他們?nèi)拥揭贿叀?/p>
所有的VPN防火墻都具有IP地址過(guò)濾功能。這項(xiàng)任務(wù)要檢查IP包頭,根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定。看看下面這張圖,兩個(gè)網(wǎng)段之間隔了一個(gè)VPN防火墻,VPN防火墻的一端有臺(tái)UNIX計(jì)算機(jī),另一邊的網(wǎng)段則擺了臺(tái)PC客戶機(jī)。
當(dāng)PC客戶機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請(qǐng)求時(shí),PC的telnet客戶程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來(lái),協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里,然后通過(guò)PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。在這個(gè)例子里,這個(gè)IP包必須經(jīng)過(guò)橫在PC和UNIX計(jì)算機(jī)中的VPN防火墻才能到達(dá)UNIX計(jì)算機(jī)。
現(xiàn)在我們“命令”(用專業(yè)術(shù)語(yǔ)來(lái)說(shuō)就是配制)VPN防火墻把所有發(fā)給UNIX計(jì)算機(jī)的數(shù)據(jù)包都給拒了,完成這項(xiàng)工作以后,比較好的VPN防火墻還會(huì)通知客戶程序一聲呢!既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒(méi)法轉(zhuǎn)發(fā),那么只有和UNIX計(jì)算機(jī)同在一個(gè)網(wǎng)段的用戶才能訪問(wèn)UNIX計(jì)算機(jī)了。
還有一種情況,你可以命令VPN防火墻專給那臺(tái)可憐的PC機(jī)找茬,別人的數(shù)據(jù)包都讓過(guò)就它不行。這正是VPN防火墻最基本的功能:根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場(chǎng)面這種小伎倆就玩不轉(zhuǎn)了,由于黑客們可以采用IP地址欺騙技術(shù),偽裝成合法地址的計(jì)算機(jī)就可以穿越信任這個(gè)地址的VPN防火墻了。不過(guò)根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。另外要注意的一點(diǎn)是,不要用DNS主機(jī)名建立過(guò)濾表,對(duì)DNS的偽造比IP地址欺騙要容易多了。
后記:
入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)系統(tǒng)面臨的最主要挑戰(zhàn)有兩個(gè):一個(gè)是虛警率太高,一個(gè)是檢測(cè)速度太慢。現(xiàn)有的入侵檢測(cè)系統(tǒng)還有其他技術(shù)上的致命弱點(diǎn)。因此,可以這樣說(shuō),入侵檢測(cè)產(chǎn)品仍具有較大的發(fā)展空間,從技術(shù)途徑來(lái)講,除了完善常規(guī)的、傳統(tǒng)的技術(shù)(模式識(shí)別和完整性檢測(cè))外,應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。
但無(wú)論如何,入侵檢測(cè)不是對(duì)所有的入侵都能夠及時(shí)發(fā)現(xiàn)的,即使擁有當(dāng)前最強(qiáng)大的入侵檢測(cè)系統(tǒng),如果不及時(shí)修補(bǔ)網(wǎng)絡(luò)中的安全漏洞的話,安全也無(wú)從談起。
同樣入侵檢測(cè)技術(shù)也存在許多缺點(diǎn),IDS的檢測(cè)模型始終落后于攻擊者的新知識(shí)和技術(shù)手段。主要表現(xiàn)在以下幾個(gè)方面:
1)利用加密技術(shù)欺騙IDS;
2)躲避IDS的安全策略;
3)快速發(fā)動(dòng)進(jìn)攻,使IDS無(wú)法反應(yīng);
4)發(fā)動(dòng)大規(guī)模攻擊,使IDS判斷出錯(cuò);
5)直接破壞IDS;
6)智能攻擊技術(shù),邊攻擊邊學(xué)習(xí),變IDS為攻擊者的工具。
我認(rèn)為在與防火墻技術(shù)結(jié)合中應(yīng)該注意擴(kuò)大檢測(cè)范圍和類別、加強(qiáng)自學(xué)習(xí)和自適應(yīng)的能力方面發(fā)展。
參考文獻(xiàn) :
1..Marcus Goncalves著。宋書(shū)民,朱智強(qiáng)等譯。防火墻技術(shù)指南[M]。機(jī)械工業(yè)出版社
2.梅杰,許榕生。Internet防火墻技術(shù)新發(fā)展。微電腦世界 .
3.Ranum M J. Thinking About Firewalls.
關(guān)鍵詞:電力 無(wú)線網(wǎng)絡(luò) 漏洞 自動(dòng)化 解決方案
中圖分類號(hào):TN915 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-3791(2014)10(c)-0084-02
1 研究背景
近年來(lái),全球的數(shù)據(jù)網(wǎng)絡(luò)正以令人驚奇的速度發(fā)展,為信息的交流和經(jīng)濟(jì)的發(fā)展提供了高效的工具和便利的平臺(tái)。隨著電力建設(shè)的飛速發(fā)展,電力自動(dòng)化數(shù)據(jù)網(wǎng)絡(luò)也迅速擴(kuò)大,正在向全面覆蓋所有的電力企業(yè)邁進(jìn),電力系統(tǒng)數(shù)字化已是大勢(shì)所趨。電力調(diào)度自動(dòng)化系統(tǒng)、配電自動(dòng)化系統(tǒng)、電量計(jì)費(fèi)系統(tǒng)、電力市場(chǎng)技術(shù)支持系統(tǒng)及交易系統(tǒng)、電力客戶服務(wù)中心系統(tǒng)、變電站自動(dòng)化系統(tǒng)、發(fā)電廠監(jiān)控系統(tǒng)、MIS 系統(tǒng)等,無(wú)一不是以高速的數(shù)據(jù)傳輸與交換為基本手段而建設(shè)的。電力自動(dòng)化數(shù)據(jù)通信網(wǎng)絡(luò)利用因特網(wǎng)、無(wú)線網(wǎng)等的工具和平臺(tái),在提高數(shù)據(jù)傳輸效率、減少開(kāi)發(fā)維護(hù)工作量的同時(shí),也帶來(lái)了新的問(wèn)題,這就是內(nèi)部機(jī)密信息在網(wǎng)絡(luò)上的泄密、以及被攻擊破壞等。
隨著計(jì)算機(jī)運(yùn)算性能的提高,通信技術(shù)的不斷發(fā)展,電力通信協(xié)議也在不斷的改進(jìn),以適應(yīng)通信數(shù)據(jù)類別、流量和實(shí)時(shí)性的要求。IEC60870規(guī)約系列規(guī)定了電力遠(yuǎn)動(dòng)、繼電保護(hù)數(shù)據(jù)、電能計(jì)費(fèi)等多個(gè)方面的通信協(xié)議,甚至出現(xiàn)了104網(wǎng)絡(luò)通信規(guī)約,以適應(yīng)網(wǎng)絡(luò)RTU在電力系統(tǒng)中的應(yīng)用。各項(xiàng)信息安全技術(shù)也開(kāi)始得到廣泛的應(yīng)用,但是仍然是以以下觀點(diǎn)為基礎(chǔ)開(kāi)展的,電力數(shù)據(jù)網(wǎng)絡(luò)的信息安全研究應(yīng)該有所突破:
(1)電力通信網(wǎng)絡(luò)的兩個(gè)隔離。物理隔離作為國(guó)家的明文規(guī)定是建立在網(wǎng)絡(luò)條件不如人意,網(wǎng)絡(luò)威脅依然嚴(yán)重的情況下的,需要看到電力信息系統(tǒng)的開(kāi)放性將是主流方向,基礎(chǔ)研究應(yīng)該突破這個(gè)框架開(kāi)展一些前瞻性的工作。(2)重點(diǎn)防護(hù)監(jiān)控系統(tǒng),對(duì)通信數(shù)據(jù)網(wǎng)絡(luò)的信息安全重視不足。雖然通信網(wǎng)絡(luò)的安全威脅相比而言較小,但是由于電力通信對(duì)實(shí)時(shí)性和可靠性的要求,使得通信數(shù)據(jù)網(wǎng)絡(luò)與電力監(jiān)控系統(tǒng)的信息安全同等重要。(3)認(rèn)為電力自動(dòng)化通信沒(méi)有安全問(wèn)題,或者認(rèn)為還不值得深入研究,電力信息使得任何安全研究都不能不重視其實(shí)時(shí)性的要求,因此自動(dòng)化通信的信息安全研究開(kāi)展不多,還需要進(jìn)行大量的研究。
2 電力系統(tǒng)無(wú)線通信對(duì)于信息安全的需求
電力自動(dòng)化管理系統(tǒng)無(wú)線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)非常混雜,從加密的技術(shù)角度來(lái)區(qū)分,可分為實(shí)時(shí)數(shù)據(jù)和非實(shí)時(shí)數(shù)據(jù)兩類。
2.1 實(shí)時(shí)數(shù)據(jù)的數(shù)據(jù)特點(diǎn)
無(wú)線網(wǎng)絡(luò)中傳輸?shù)膶?shí)時(shí)數(shù)據(jù),其通信規(guī)約對(duì)時(shí)間的要求很?chē)?yán)格,不允許較大的傳輸延遲;另一方面,實(shí)時(shí)數(shù)據(jù)的數(shù)據(jù)量相對(duì)較小,且數(shù)據(jù)流量比較穩(wěn)定。主要包括:
(1)下行數(shù)據(jù)。包括遙控、遙調(diào)和保護(hù)裝置及其他自動(dòng)裝置的整定值信息等。這類數(shù)據(jù)與設(shè)備狀態(tài)相關(guān),直接影響到電網(wǎng)的安全運(yùn)行。安全要求和實(shí)時(shí)要求都很高。(2)上行數(shù)據(jù)。包括遙信、重要遙測(cè)、事件順序記錄(SOE)信息等。這類數(shù)據(jù)是電網(wǎng)穩(wěn)定運(yùn)行的判據(jù),也是調(diào)度決策的依據(jù),實(shí)時(shí)性要求很高。管理數(shù)據(jù)。如負(fù)荷管理、停電計(jì)劃等管理信息系統(tǒng)(MIS)的重要管理數(shù)據(jù)。這類數(shù)據(jù)對(duì)保密性有一定要求。實(shí)時(shí)數(shù)據(jù)其數(shù)據(jù)流量穩(wěn)定且時(shí)效性快,但是要求實(shí)時(shí)性高、可靠性高,其保密性和數(shù)據(jù)完整性的要求也高,因此對(duì)實(shí)時(shí)數(shù)據(jù)加密必須慎之又慎。
2.2 非實(shí)時(shí)數(shù)據(jù)的數(shù)據(jù)特點(diǎn)
無(wú)線網(wǎng)絡(luò)中傳輸?shù)姆菍?shí)時(shí)數(shù)據(jù),其數(shù)據(jù)量一般較大,但時(shí)效性不高,可以允許一定的傳輸延遲。它主要包括電力設(shè)備的維護(hù)日志、電力用戶的電能質(zhì)量信息等。非實(shí)時(shí)數(shù)據(jù)實(shí)時(shí)性要求不高,但是對(duì)數(shù)據(jù)完整性和保密性有一定的要求,在數(shù)據(jù)加密中要注意選擇合適的算法。
3 電力自動(dòng)化系統(tǒng)的安全漏洞及解決方案
電力自動(dòng)化應(yīng)用系統(tǒng),不論是電力負(fù)荷管理系統(tǒng)、電能量管理系統(tǒng)或是其它的應(yīng)用系統(tǒng),它的網(wǎng)絡(luò)結(jié)構(gòu)框圖都可以歸納成圖1所示。
3.1 中心站的安全隱患及解決方法
應(yīng)用系統(tǒng)都有一個(gè)中心站,它包括前置機(jī)、服務(wù)器等硬件設(shè)備及配套的管理軟件,它負(fù)責(zé)接收各個(gè)子站上傳的數(shù)據(jù)并通過(guò)管理軟件對(duì)數(shù)據(jù)進(jìn)行分析、歸納和管理;另一方面,它也維護(hù)各個(gè)子站正常運(yùn)行,并以下發(fā)命令的方式對(duì)子站進(jìn)行操作管理;而且中心站還是本應(yīng)用系統(tǒng)與其它的電力自動(dòng)化應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)共享和管理的一個(gè)數(shù)據(jù)接口。一般來(lái)說(shuō),中心站和子站之間以及中心站和其它應(yīng)用系統(tǒng)之間的數(shù)據(jù)傳輸都是通過(guò)有線傳輸(如光纖)進(jìn)行的。
中心站既是內(nèi)部通信子站數(shù)據(jù)集中的一個(gè)節(jié)點(diǎn),也是應(yīng)用系統(tǒng)與外部進(jìn)行數(shù)據(jù)收發(fā)的一個(gè)接口。只要攻擊者侵入了該節(jié)點(diǎn),整個(gè)系統(tǒng)的數(shù)據(jù)就相當(dāng)于暴露在了入侵者的面前。而且一旦中心站出現(xiàn)了故障,即使其它的通信子站均運(yùn)行正常,整個(gè)系統(tǒng)也無(wú)法正常工作了。正由于它的重要性和脆弱性,因此對(duì)于中心站就更是要進(jìn)行重點(diǎn)防護(hù)。防火墻就是一種有效的網(wǎng)絡(luò)安全保護(hù)措施,它可以按照用戶事先規(guī)定好的方案控制信息的流入和流出,監(jiān)督和控制使用者的操作。防火墻大量的應(yīng)用于企業(yè)中,它可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的信息的出入口,能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,它能有效地監(jiān)控內(nèi)部網(wǎng)和 Internet之間的任何活動(dòng),保證內(nèi)部網(wǎng)絡(luò)的安全。
防火墻的目的是在內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn),通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流,實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。一般的防火墻都可以達(dá)到以下目的:一是可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò),過(guò)濾掉不安全服務(wù)和非法用戶;二是防止入侵者接近你的防御設(shè)施;三是限定用戶訪問(wèn)特殊站點(diǎn);四是為監(jiān)視Internet安全提供方便。由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù),因此更適合于相對(duì)獨(dú)立的網(wǎng)絡(luò),例如Intranet 等種類相對(duì)集中的網(wǎng)絡(luò)。防火墻正在成為控制對(duì)網(wǎng)絡(luò)系統(tǒng)訪問(wèn)的非常流行的方法。事實(shí)上,在Internet上的Web網(wǎng)站中,超過(guò)三分之一的Web網(wǎng)站都是由某種形式的防火墻加以保護(hù),這是對(duì)黑客防范最嚴(yán),安全性較強(qiáng)的一種方式,任何關(guān)鍵性的服務(wù)器,都建議放在防火墻之后。可見(jiàn),防火墻處于可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)邊界的位置,是可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)數(shù)據(jù)交換的“門(mén)戶”,用來(lái)防止未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò),通過(guò)邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略,其性能、可用性、可靠性、安全性等指標(biāo)在很大程度上決定了網(wǎng)絡(luò)的傳輸效率和傳輸安全。防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理,從總體上來(lái)看,防火墻的基本功能有兩個(gè):一是隔離,使內(nèi)部網(wǎng)絡(luò)不與外部網(wǎng)絡(luò)進(jìn)行物理直接連接;二是訪問(wèn)控制,是進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包按照安全策略有選擇地轉(zhuǎn)發(fā)。圍繞這兩個(gè)基本功能,大量與安全有關(guān)的網(wǎng)絡(luò)技術(shù)和安全技術(shù)被綜合進(jìn)防火墻設(shè)備中,使防火墻地功能不斷擴(kuò)展,性能不斷提高。概括地說(shuō),功能較完善的防火墻采用了以下安全技術(shù):
3.1.1 多級(jí)的過(guò)濾控制技術(shù)
一般采用了三級(jí)過(guò)濾措施,并輔以鑒別手段。在分組過(guò)濾一級(jí),能過(guò)濾掉所有的源路由分組和假冒的IP源地址;在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí),能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測(cè)Internet提供的所有通用服務(wù);在電路網(wǎng)關(guān)一級(jí),實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接,并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。
3.1.2 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)
利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址作轉(zhuǎn)換,使外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的拓?fù)湫畔ⅲ瑫r(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個(gè)主機(jī)的通信,確保每個(gè)分組送往正確的地址。
3.1.3 用戶鑒別與加密
為了降低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn),鑒別功能必不可少,防火墻采用一次性使用的口令字系統(tǒng)來(lái)作為用戶的鑒別手段,并實(shí)現(xiàn)了對(duì)郵件的加密。
3.1.4 審計(jì)和告警
對(duì)網(wǎng)絡(luò)事件進(jìn)行審計(jì),如果發(fā)現(xiàn)入侵行為將以發(fā)出郵件、聲響等多種方式報(bào)警。為了加強(qiáng)自動(dòng)化應(yīng)用系統(tǒng)的安全水平,需要在系統(tǒng)與其它網(wǎng)絡(luò)的接口之間設(shè)置一套防火墻設(shè)備。這樣既能防止外來(lái)的訪問(wèn)者攻擊系統(tǒng),竊取或者篡改系統(tǒng)數(shù)據(jù);同時(shí)也能防止內(nèi)部數(shù)據(jù)未經(jīng)允許流向外部網(wǎng)絡(luò)。如圖1所示,在公網(wǎng)通信中,除了自動(dòng)化系統(tǒng)與其它應(yīng)用系統(tǒng)的接口外,子站采集自終端的數(shù)據(jù)要發(fā)送到中心站,也要通過(guò) Internet網(wǎng)絡(luò)進(jìn)行傳輸,這就給攻擊者提供了一個(gè)侵入的端口。因此要在這兩處均安裝防火墻設(shè)備,來(lái)保證系統(tǒng)的安全運(yùn)行。在專網(wǎng)通信中,由于整個(gè)通信網(wǎng)絡(luò)是一個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò),因此中心站了通信子站之間就不必加裝防火墻了。
3.2 無(wú)線終端的安全防護(hù)手段
無(wú)論是哪種無(wú)線網(wǎng)絡(luò),都有若干數(shù)量的無(wú)線終端,它們是通信系統(tǒng)的最基本的組成結(jié)構(gòu),通過(guò)通信子站與中心站進(jìn)行通信。因?yàn)闊o(wú)線終端的數(shù)據(jù)眾多,也使它們往往成為系統(tǒng)安全漏洞所在。對(duì)于應(yīng)用系統(tǒng)而言,保護(hù)系統(tǒng)信息安全與保護(hù)系統(tǒng)業(yè)務(wù)正常是同等重要的。保護(hù)系統(tǒng)信息安全首先必須保證信息訪問(wèn)的安全性,要讓不該看到信息的人不能看到,不該操作信息的人不能操作。這方面,一是要依靠身份認(rèn)證技術(shù)來(lái)給信息的訪問(wèn)加上一把鎖,二是要通過(guò)適當(dāng)?shù)脑L問(wèn)控制模型顯式地準(zhǔn)許或限制訪問(wèn)能力及范圍。這就引出了兩種信息安全技術(shù):身份認(rèn)證技術(shù)及訪問(wèn)控制技術(shù)。通過(guò)這兩種技術(shù)手段,就能有效的解決以上的兩個(gè)安全問(wèn)題。對(duì)于自動(dòng)化應(yīng)用系統(tǒng)來(lái)說(shuō),系統(tǒng)內(nèi)的終端用戶只是采集電力用戶數(shù)據(jù)并上傳給服務(wù)器,并不存在越權(quán)訪問(wèn)系統(tǒng)信息的問(wèn)題。因此采用身份認(rèn)證技術(shù)就足以解決無(wú)線終端的信息保護(hù)問(wèn)題了。
身份認(rèn)證是指被認(rèn)證對(duì)象向系統(tǒng)出示自己身份證明的過(guò)程,通常是獲得系統(tǒng)服務(wù)所必須的第一道關(guān)卡。身份認(rèn)證需要證實(shí)的是實(shí)體本身,而不是象消息認(rèn)證那樣證實(shí)其合法性、完整性。身份認(rèn)證的過(guò)程一般會(huì)涉及到兩方面的內(nèi)容識(shí)別和驗(yàn)證。識(shí)別,就是要對(duì)系統(tǒng)中的每個(gè)合法注冊(cè)的用戶具有識(shí)別能力,要保證識(shí)別的有效性,必須保證任意兩個(gè)不同的用戶都不能具有相同的標(biāo)識(shí)符。驗(yàn)證是指訪問(wèn)者聲明自己的身份后,系統(tǒng)還必須對(duì)它聲稱的身份進(jìn)行驗(yàn)證。標(biāo)識(shí)符可以是非秘密的,而驗(yàn)證信息必須是秘密的。
身份認(rèn)證系統(tǒng)有兩方認(rèn)證和三方認(rèn)證兩種形式兩方認(rèn)證系統(tǒng)由被認(rèn)證對(duì)象和認(rèn)證方組成,被認(rèn)證對(duì)象出示證件,提出操作要求,認(rèn)證方檢驗(yàn)被認(rèn)證對(duì)象所提供證件的合法性和有效性三方認(rèn)證系統(tǒng)除了被認(rèn)證對(duì)象和認(rèn)證方外,還有一個(gè)仲裁者,由雙方都信任的人充當(dāng)仲裁和調(diào)節(jié)。建立一個(gè)身份認(rèn)證系統(tǒng)的應(yīng)滿足的是:1)可識(shí)別率最大化:認(rèn)證方正確識(shí)別合法被認(rèn)證對(duì)象身份的概率最大化;2)可欺騙率最小化:攻擊者偽裝被認(rèn)證對(duì)象欺騙認(rèn)證方的成功率最小化;3)不可傳遞性:認(rèn)證方不可以用被認(rèn)證對(duì)象提供的信息來(lái)偽裝被認(rèn)證對(duì)象;4)計(jì)算有效性:實(shí)現(xiàn)身份認(rèn)證所需的計(jì)算量要小;5)安全存儲(chǔ):實(shí)現(xiàn)身份認(rèn)證所需的參數(shù)能夠安全的存儲(chǔ);6)第三方可信賴性:在三方認(rèn)證的系統(tǒng)中,第三方必須是雙方都信任的人或組織或可信安全性身份認(rèn)證系統(tǒng)所使用的算法的安全性是可證明和可信任的。
電力自動(dòng)化系統(tǒng)內(nèi)部使用身份認(rèn)證技術(shù),在每一個(gè)無(wú)線終端的實(shí)體上增加了一道安全防護(hù),如圖2 所示。在進(jìn)行數(shù)據(jù)傳輸之前,驗(yàn)證對(duì)方是否是系統(tǒng)內(nèi)的合法用戶。可以防止入侵者偽裝成內(nèi)部用戶,獲取系統(tǒng)數(shù)據(jù)。
3.3 保護(hù)系統(tǒng)信息安全的常用方案-算法加密
除了以上的信息安全技術(shù)之外,算法加密技術(shù)是一種被普遍應(yīng)用的安全技術(shù)。它在發(fā)送方將要發(fā)送的數(shù)據(jù)根據(jù)一定的算法進(jìn)行加密,變成不可識(shí)別的密文;而在接收方通過(guò)對(duì)應(yīng)的解密算法再將密文轉(zhuǎn)化為明文。從而保證數(shù)據(jù)在傳輸過(guò)程中的保密性。
4 結(jié)論
該文研究了電力自動(dòng)化無(wú)線通信系統(tǒng)中的信息安全問(wèn)題。隨著電力自動(dòng)化無(wú)線通信技術(shù)的快速發(fā)展,對(duì)網(wǎng)絡(luò)信息安全的要求也不斷提高。無(wú)線通信技術(shù)有著其自身的特點(diǎn),要求的安全解決方案也與其他不同。需要既保證無(wú)線信道的帶寬,又要有效地提高系統(tǒng)的安全防護(hù)強(qiáng)度。
參考文獻(xiàn)
[1] 孫毅,唐良瑞,杜丹.配電自動(dòng)化中的通信網(wǎng)解決方案[J].燕山大學(xué)學(xué)報(bào),2004,5(28):423-426.
[2] 宋磊,羅其亮,羅毅,等.電力系統(tǒng)實(shí)時(shí)數(shù)據(jù)通信加密方案[J].電力系統(tǒng)自動(dòng)化,2004,28(14):76-81.
關(guān)鍵詞:VPN網(wǎng)絡(luò),視頻監(jiān)控系統(tǒng)
背景需求分析
近年來(lái),數(shù)字視頻監(jiān)控系統(tǒng)以其控制靈活、信息容量大、存儲(chǔ)和檢索便利等優(yōu)點(diǎn)逐步取代了傳統(tǒng)的模擬視頻監(jiān)控系統(tǒng),被廣泛應(yīng)用于監(jiān)控、安防、質(zhì)檢等方面。隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展、普及和網(wǎng)絡(luò)帶寬的迅速擴(kuò)大,視頻監(jiān)控已經(jīng)發(fā)展到了網(wǎng)絡(luò)多媒體監(jiān)控系統(tǒng),即將數(shù)字視頻監(jiān)控技術(shù)與網(wǎng)絡(luò)技術(shù)相結(jié)合,在現(xiàn)場(chǎng)監(jiān)控主機(jī)無(wú)人職守情況下,實(shí)現(xiàn)局域網(wǎng)或Internet遠(yuǎn)程監(jiān)控的功能。如此一來(lái),將監(jiān)控信息從監(jiān)控中心釋放出來(lái),從而提高了治理水平和效率。但假如遠(yuǎn)程訪問(wèn)視頻監(jiān)控服務(wù)技術(shù)功能不足,則無(wú)法保證監(jiān)控信息所需的保密性和速度性,這該怎樣解決呢?VPN?(VirtualPrivate Networking)技術(shù)的出現(xiàn),正好解決了該問(wèn)題,實(shí)現(xiàn)了遠(yuǎn)程視頻監(jiān)控信息安全便利的傳輸。
經(jīng)調(diào)查發(fā)現(xiàn),實(shí)現(xiàn)VPN遠(yuǎn)程視頻監(jiān)控系統(tǒng)較重視的需求為:
虛擬私有網(wǎng)絡(luò)VPN安全傳輸:完整的VPN網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng),最重要的需求是要讓各分支外點(diǎn)及本地局域網(wǎng)的監(jiān)控視頻能安全、實(shí)時(shí)的傳送到總公司監(jiān)控中心的治理服務(wù)器,統(tǒng)一作企業(yè)安全防護(hù)及報(bào)警。視頻監(jiān)控信息若不作加密處理就直接通過(guò)公眾互聯(lián)網(wǎng)進(jìn)行傳送,可能會(huì)造成企業(yè)內(nèi)部機(jī)密外露等問(wèn)題。因此,需要建置完善的VPN傳輸,不僅可節(jié)約高昂的專線成本,還能得到安全穩(wěn)定的傳輸質(zhì)量。
穩(wěn)定良好的寬帶接入服務(wù):將視頻監(jiān)控信息集成到VPN中,雖然可以確保得到安全穩(wěn)定的聯(lián)機(jī),但VPN線路還是建立在公眾互聯(lián)網(wǎng)上,一但接入的寬帶線路不穩(wěn)定輕易掉線,也連帶影響到VPN的聯(lián)機(jī)質(zhì)量。穩(wěn)定良好的的寬帶接入服務(wù)或于運(yùn)營(yíng)商掉線斷網(wǎng)時(shí)可以實(shí)時(shí)提供備援的支持是必要的。
帶寬增級(jí)同時(shí)也能節(jié)省成本:多媒體視頻監(jiān)控系統(tǒng)包括視頻、音頻及相關(guān)數(shù)據(jù)的傳送,若要得到實(shí)時(shí)、順暢的傳送質(zhì)量,需要相當(dāng)大的帶寬才可達(dá)成,因此首先就面臨到帶寬的增級(jí)。如此就會(huì)導(dǎo)致線路成本的增加及可能的線路添加,帶來(lái)成本及治理上的諸多問(wèn)題。這時(shí),兼顧成本的考慮下,適當(dāng)?shù)木€路集成整合成為企業(yè)的需求。
網(wǎng)絡(luò)安全防攻擊防火墻:越來(lái)越多的攻擊及病毒,造成企業(yè)網(wǎng)絡(luò)安全的潛危機(jī)。一旦寬帶接入受到惡意攻擊影響網(wǎng)絡(luò)正常運(yùn)作,輕則讓監(jiān)控信息傳輸效率大減,嚴(yán)重時(shí)發(fā)生整個(gè)網(wǎng)絡(luò)斷網(wǎng),造成視頻監(jiān)控系統(tǒng)停擺的窘境。若是多購(gòu)置防火墻,等于是增加成本,因此路由器中需要有適當(dāng)?shù)姆阑饓δ埽赃M(jìn)行網(wǎng)絡(luò)安全的防護(hù)。
內(nèi)部上網(wǎng)行為管控避免影響重要傳輸:多數(shù)員工在上班時(shí)間通過(guò)BT等下載音樂(lè)電影,或是聊QQ、MSN等實(shí)時(shí)交流工具,不僅影響工作效率,也很大可能會(huì)造成帶寬被占用、影響監(jiān)控信息傳送速度降低影響監(jiān)控實(shí)時(shí)反應(yīng),更嚴(yán)重是可能隨之而來(lái)的病毒、蠕蟲(chóng)和木馬的威脅。有效而可靠的管制內(nèi)網(wǎng)用戶使用特定軟件是很必要的。
方便的配置及治理:當(dāng)今講求效率的時(shí)代,路由器也需要提供簡(jiǎn)易配置好治理的配置接口設(shè)計(jì),讓網(wǎng)管由繁復(fù)工作中解放。另外VPN客戶端大多不配備專業(yè)的網(wǎng)管,很多指令行的路由器給設(shè)置帶來(lái)了困擾,而想要對(duì)路由器進(jìn)行任一個(gè)操作,都必須找來(lái)專業(yè)的人員,這又為實(shí)時(shí)反應(yīng)帶來(lái)了變量。因此路由器的配置,最好使用直觀的配置接口及簡(jiǎn)化的配置設(shè)計(jì),即使不是是專門(mén)的網(wǎng)管人員經(jīng)簡(jiǎn)單的培訓(xùn)后也可輕易上手,節(jié)省不必要的時(shí)間浪費(fèi)。
VPN遠(yuǎn)程視頻監(jiān)控應(yīng)用
依據(jù)企業(yè)遠(yuǎn)程VPN視頻監(jiān)控系統(tǒng)服務(wù)需求及以上組網(wǎng)分析,具有高度性價(jià)比優(yōu)勢(shì)的多WAN VPN防火墻廠商俠諾科技,為遠(yuǎn)程VPN視頻監(jiān)控系統(tǒng)提出一完整的組網(wǎng)方案。
方案功能特點(diǎn)
多WAN端口接入?yún)R聚帶寬:Qno俠諾多WAN產(chǎn)品支持帶寬匯聚、自動(dòng)線路備援等功能,多WAN口接入方式,讓企業(yè)有更大和彈性配置空間。可支持多線路多ISP接入,不僅可以匯聚帶寬以節(jié)省成本,而且還可以實(shí)現(xiàn)線路備援、數(shù)據(jù)分流、負(fù)載均衡等效果。當(dāng)一條線路掉線,會(huì)自動(dòng)改用另一個(gè)WAN連接端口的線路連接,確保VPN聯(lián)機(jī)不掉線,避免掉線時(shí)造成無(wú)形的損失與傷害。
強(qiáng)效防火墻有效防病毒攻擊:VPN防火墻,具備主動(dòng)式封包檢測(cè)功能,只需單向啟動(dòng)各式黑客攻擊、蠕蟲(chóng)病毒防護(hù)功能,即可簡(jiǎn)易完成配置,有效防止內(nèi)外網(wǎng)惡意攻擊,確保企業(yè)網(wǎng)絡(luò)安全,降低網(wǎng)絡(luò)受攻擊帶來(lái)的損失。具有內(nèi)建的防制ARP功能,憑借自動(dòng)檢視封包的機(jī)制,偵測(cè)過(guò)濾可疑的封包,做為防制ARP攻擊的第一道防線。可搭配IP /MAC雙向綁定,在路由器端以內(nèi)網(wǎng)PC端進(jìn)行IP/MAC綁定,即可達(dá)到防堵ARP無(wú)漏洞的效果。論文參考網(wǎng)。
QoS帶寬治理優(yōu)化帶寬使用:視頻監(jiān)控多媒體傳輸需要有穩(wěn)定的帶寬,而少數(shù)BT下載等惡意占用帶寬造成網(wǎng)絡(luò)卡,經(jīng)常會(huì)造成客戶抱怨。讓人寬慰的是俠諾二代多元QoS帶寬治理功能,支持一周七天、一天三個(gè)時(shí)段采取不同的帶寬治理政策,依據(jù)不同的網(wǎng)絡(luò)應(yīng)用環(huán)境、時(shí)段,自由選擇管控方式,達(dá)到帶寬利用率最佳化的目的。該功能包含有傳統(tǒng)QoS帶寬管控及智能SmartQoS治理,可依據(jù)聯(lián)機(jī)數(shù)、要害字、最大或最小帶寬等方式進(jìn)行管控,也可啟動(dòng)動(dòng)態(tài)智能治理,對(duì)于非凡的應(yīng)用或用戶進(jìn)行非凡限制。這個(gè)功能并不禁止特定的應(yīng)用,只是加以限制,從而更彈性的提供帶寬服務(wù)。
輕松實(shí)現(xiàn)了中心管控:同時(shí)治理外點(diǎn)多條VPN接入聯(lián)機(jī),對(duì)于大部分網(wǎng)管來(lái)說(shuō),是非常棘手的問(wèn)題,尤其是必須反復(fù)留心查詢各點(diǎn)聯(lián)機(jī)狀況、帶寬使用率、視頻監(jiān)控等信息,更是耗費(fèi)許多時(shí)間。而Qno俠諾多WAN VPN防火墻則輕松解決了上述問(wèn)題,其所具備的中心控管功能,可一次看清全部VPN聯(lián)機(jī)的情況,再也不必一一地檢查聯(lián)機(jī)的狀況。若需進(jìn)一步協(xié)助設(shè)定或排解問(wèn)題,網(wǎng)管也可直接進(jìn)入分點(diǎn)的治理接口查看或進(jìn)行設(shè)定治理,安全又有效率。
簡(jiǎn)易又方便的系統(tǒng)治理:Qno俠諾多WAN VPN防火墻具有全中文化配置及治理界面,所有設(shè)定參數(shù)與組態(tài)清楚明確、簡(jiǎn)單易懂,輕松完成網(wǎng)絡(luò)設(shè)置。還支持強(qiáng)大的系統(tǒng)日志功能,可通過(guò)對(duì)日志治理和查找,即時(shí)監(jiān)控系統(tǒng)狀態(tài)及內(nèi)外流量,進(jìn)而作對(duì)應(yīng)的配置,確保內(nèi)網(wǎng)運(yùn)作無(wú)誤。
支持多VPN協(xié)議外點(diǎn)靈活選擇:Qno俠諾高階產(chǎn)品系列,可支持PPTP、IPSec VPN、SmartLinkVPN、QnoKey IPSec客戶端密鑰等多種連機(jī)方式,可滿足外點(diǎn)多種VPN彈性配置需求,實(shí)現(xiàn)總部中心端與各分點(diǎn)建構(gòu)實(shí)時(shí)、穩(wěn)定、安全的互連VPN網(wǎng)絡(luò)系統(tǒng)。由此可見(jiàn),多通道多協(xié)議的特點(diǎn)完全能勝任企業(yè)擴(kuò)展及網(wǎng)絡(luò)視頻布點(diǎn),而且外點(diǎn)可根據(jù)實(shí)際規(guī)劃與應(yīng)用,靈活選擇適用的方式接入中心端。
SmartLink VPN快速設(shè)定:俠諾SmartLinkVPN快速聯(lián)機(jī),簡(jiǎn)化20多復(fù)雜設(shè)置步驟,將大部份的設(shè)定參數(shù)的工作交由VPN網(wǎng)關(guān)自動(dòng)完成,用戶只需要輸中心端服務(wù)器IP地址、用戶名、密碼三個(gè)參數(shù),即可完成超快速VPN連機(jī)設(shè)定。
策略路由解決VPN跨網(wǎng)瓶頸:由于國(guó)內(nèi)長(zhǎng)期存在電信、網(wǎng)通互連不互通的問(wèn)題,許多企業(yè)建立VPN時(shí)會(huì)發(fā)生跨ISP網(wǎng)絡(luò)時(shí)帶寬不足,導(dǎo)致VPN不穩(wěn)定或易于掉線。俠諾多WAN口的設(shè)計(jì),可搭配策略路由的設(shè)定,讓不同ISP外點(diǎn)可直接連到對(duì)應(yīng)VPN服務(wù)器入口,實(shí)現(xiàn)“電信走電信、網(wǎng)通走網(wǎng)通”,從而有效解決跨網(wǎng)受限問(wèn)題。
指定路由強(qiáng)化網(wǎng)絡(luò)穩(wěn)定性:另外一方面,多WAN口的設(shè)計(jì),也提供了訪問(wèn)網(wǎng)絡(luò)快速穩(wěn)定的途徑。支持指定路由功能,可通過(guò)協(xié)議綁定,將特定的服務(wù)或應(yīng)用綁定在指定的端口,如WEB走WAN1,MAIL走WAN2等等,加速訪問(wèn)速度,進(jìn)一步保障網(wǎng)絡(luò)的穩(wěn)定性。也可將VPN綁定特定端口,保證VPN通道的穩(wěn)定流暢。
總結(jié)
通過(guò)以上介紹,可以看出,Qno俠諾多WAN VPN防火墻產(chǎn)品多項(xiàng)功能,都體現(xiàn)了俠諾簡(jiǎn)單、安全、快速的“3S”研發(fā)理念和貼近用戶需求的專心,幫助企業(yè)以較少的成本、時(shí)間與精力,達(dá)成高效、快速、安全的運(yùn)營(yíng)效能。非凡對(duì)于遠(yuǎn)程VPN視頻監(jiān)控服務(wù)來(lái)說(shuō),在帶寬、安全性穩(wěn)定性等多方面都有較高要求,VPN遠(yuǎn)程視頻監(jiān)控解決方案,可有效保持企業(yè)總部和分支機(jī)構(gòu)間的隧道暢通,進(jìn)而保證其服務(wù)的穩(wěn)定性和可靠度,提高安全監(jiān)控的視頻質(zhì)量,當(dāng)異常事件發(fā)生時(shí),可以在第一時(shí)間進(jìn)行處理。論文參考網(wǎng)。可謂是最省成本、且最方便的解決途徑。
春節(jié)假期,偶然在街上碰到大學(xué)同學(xué)小張。多年不見(jiàn)話題就多了,在了解到本人現(xiàn)在所從事的是網(wǎng)絡(luò)安全技術(shù)方面的工作后,他像是碰到了大救星,一個(gè)勁兒要請(qǐng)客吃飯。原來(lái),他利用這幾年打工的儲(chǔ)蓄獨(dú)立創(chuàng)業(yè),加盟了一家全國(guó)聞名的服裝連鎖店,連鎖總店要求必須部署VPN信息網(wǎng)絡(luò)。年前,他便按照要求進(jìn)行了統(tǒng)一購(gòu)買(mǎi)了VPN設(shè)備,但是由于其設(shè)置和應(yīng)用過(guò)于復(fù)雜,對(duì)于作為網(wǎng)絡(luò)“外行”的人來(lái)說(shuō),實(shí)在是有點(diǎn)難以應(yīng)付。此外,因?yàn)榻鹑谖C(jī)的影響,為了壓縮人力資源成本,他暫時(shí)還沒(méi)有聘請(qǐng)專業(yè)網(wǎng)管的計(jì)劃,正為這事上火。論文參考網(wǎng)。
其實(shí),這種問(wèn)題在國(guó)內(nèi)數(shù)萬(wàn)家中小連鎖企業(yè)的經(jīng)營(yíng)治理過(guò)程中絕不是首例。產(chǎn)生這種矛盾的原因有兩點(diǎn):專業(yè)化的高端設(shè)備滿足了企業(yè)的應(yīng)用需求,但是一般的兼職網(wǎng)管無(wú)法應(yīng)付其治理和維護(hù);平民化的低端設(shè)備,使用和治理倒是比較簡(jiǎn)單,卻達(dá)不到企業(yè)信息化治理的全面需求。VPN網(wǎng)絡(luò)是未來(lái)企業(yè)發(fā)展的大勢(shì)所趨,但當(dāng)務(wù)之急是為企業(yè)提供最為合適的設(shè)備,即要能兼具安全與簡(jiǎn)便的基本特性。安全無(wú)須多說(shuō),簡(jiǎn)便性就成了體現(xiàn)產(chǎn)品技術(shù)水平的最大差異化,也同樣彰顯了企業(yè)客戶在應(yīng)用上的突出需求之一。事實(shí)證實(shí),其簡(jiǎn)便的應(yīng)用特性非常貼近中小企業(yè)的需求現(xiàn)狀,得到了較好的市場(chǎng)效果。
作為在SMB寬帶接入和VPN應(yīng)用領(lǐng)域耕耘多年的專業(yè)廠商,俠諾科技每年都會(huì)其創(chuàng)新的產(chǎn)品及應(yīng)用功能。但是無(wú)論怎樣創(chuàng)新變化,簡(jiǎn)單、安全、快速的“3S”研發(fā)理念都始終貫穿于其系列產(chǎn)品線。其中,簡(jiǎn)便(即Simple)被放在首位——“俠諾極簡(jiǎn)風(fēng),治理一鍵通”。 俠諾的極簡(jiǎn)風(fēng)格,是要求專心體察用戶的細(xì)致需求,將最復(fù)雜的技術(shù)以最簡(jiǎn)單的方式呈現(xiàn)給用戶,讓企業(yè)的網(wǎng)管員用最少的時(shí)間與精力,達(dá)到較為復(fù)雜的配置與治理需求,幫助企業(yè)有效的增進(jìn)運(yùn)營(yíng)效能。事實(shí)證實(shí),其簡(jiǎn)便的應(yīng)用特性非常貼近中小企業(yè)的需求現(xiàn)狀,得到了較好的市場(chǎng)效果。
【關(guān)鍵詞】IPSecVPN網(wǎng)絡(luò)安全防火墻;
1引言
IPSecVNP作為一種主流網(wǎng)絡(luò)安全技術(shù)已經(jīng)發(fā)展了多年,無(wú)論是目前流行的正在使用的IPv4網(wǎng)絡(luò)還是發(fā)展中的IPv6網(wǎng)絡(luò),無(wú)論是移動(dòng)辦公還是局域網(wǎng)間通訊,都在大量使用IPSecVNP作為網(wǎng)絡(luò)安全通訊基礎(chǔ)設(shè)備。本論文通過(guò)研究IPSec協(xié)議族,實(shí)現(xiàn)了一個(gè)較為完整的IPSecVNP系統(tǒng)。包括客戶端、服務(wù)器端軟硬件設(shè)計(jì)和實(shí)現(xiàn)、網(wǎng)絡(luò)配置及內(nèi)嵌以管理等。還解決了IPSec協(xié)議通過(guò)CBAC防火墻問(wèn)題。
2 IPSecVPN系統(tǒng)設(shè)計(jì)
本文實(shí)現(xiàn)了IPSecVNP系統(tǒng)的功能,滿足了政府、金融行業(yè)和企事業(yè)單位低成本安全通訊的需求,可以按照客戶實(shí)際需要的VPN系統(tǒng)進(jìn)行安裝部署、調(diào)試維護(hù)。IPSecVPN的主要作用是采用加密、認(rèn)證等方式保護(hù)網(wǎng)絡(luò)通信的安全性、私密性、可認(rèn)證性和完整性。
IPSecVNP網(wǎng)關(guān)作為IPSecVNP系統(tǒng)中主要的設(shè)備,擔(dān)負(fù)大部分計(jì)算任務(wù),兩臺(tái)以上IPSecVNP網(wǎng)關(guān)就可以搭建IPSecVPN系統(tǒng)的基本框架。IPSec移動(dòng)客戶端(easyVPN)是專為單臺(tái)主機(jī)或便攜式電腦設(shè)計(jì)的,目的是使其擁有與IPSecVPN網(wǎng)關(guān)保護(hù)的局域網(wǎng)絡(luò)通信的能力。如圖1所示。
IPSecVPN網(wǎng)關(guān)工作在本地局域網(wǎng)及與其通信的遠(yuǎn)程局域網(wǎng)的網(wǎng)關(guān)位置,具有加密和認(rèn)證功能,使用互聯(lián)網(wǎng)作為信道。通過(guò)IPSecVPN網(wǎng)關(guān)的加密能力確保信息在不安全的互聯(lián)網(wǎng)上以密文形式傳輸。數(shù)據(jù)校驗(yàn)功能確保了即便信息被截取,也無(wú)法窺視、篡改通訊內(nèi)容。
IPSecVPN實(shí)現(xiàn)的總體結(jié)構(gòu)分為IPSec輸入輸出處理、SPD和SAD策略管理、IKE密鑰交換、加密算法和認(rèn)證算法、NAT兼容等模塊。其中IPSec安全協(xié)議的處理是數(shù)據(jù)處理的核心,策略管理模塊提供IPSec處理策略,IKE密鑰交換模塊用于通訊雙方SA協(xié)商,加密算法和認(rèn)證算法模塊是安全通訊基礎(chǔ),NAT兼容提供復(fù)雜網(wǎng)絡(luò)環(huán)境下IPSecVPN應(yīng)用的解決方法。
在用戶層提供手工注入SA和IKE動(dòng)態(tài)協(xié)商SA程序。用一個(gè)IKE守護(hù)進(jìn)程監(jiān)聽(tīng)動(dòng)態(tài)協(xié)商請(qǐng)求,并進(jìn)行相應(yīng)的協(xié)商處理。策略系統(tǒng)實(shí)現(xiàn)存儲(chǔ)、管理及驗(yàn)證策略。并提供用戶層操作到內(nèi)核的接口Pfkey Sockets(手工注入SA和利用IKE動(dòng)態(tài)協(xié)商SA的接口及SAD與SPD的接口)。在內(nèi)核中除實(shí)現(xiàn)與用戶的接口外,還將實(shí)現(xiàn)SAD,SPD的管理、IPSec協(xié)議進(jìn)入/外出處理及認(rèn)證加密算法。IPSec協(xié)議處理部分建議采用IP+IPSec方案。這樣會(huì)進(jìn)一步加快IPSec的處理速度。
3 IPSecVPN穿越防火墻設(shè)計(jì)
前提:A、B、C三臺(tái)cisco3750邊緣路由器分別處于兩局域網(wǎng)網(wǎng)關(guān)位置,兩兩一組,形成冗余。網(wǎng)關(guān)后各有一臺(tái)主機(jī),這兩臺(tái)主機(jī)之間進(jìn)行IPsec安全通訊。每臺(tái)邊緣路由器都已經(jīng)配置好相應(yīng)的IPsec隧道及相關(guān)策略,而且配置了基于cisco ios CBAC狀態(tài)型防火墻,兩局域網(wǎng)由兩路由器模擬的Internet網(wǎng)云連接。
3.1首先,對(duì)于防火墻主要進(jìn)行如下一些配置:開(kāi)啟inspect檢測(cè),這樣可以讓每個(gè)接口自動(dòng)檢查ACL允許的流量,deny的不檢查,有通信時(shí)建立狀態(tài)表,沒(méi)有通信時(shí)就不建立,也就是有會(huì)話時(shí)就有ACL,沒(méi)有就刪除。以下是針對(duì)IPSec協(xié)議的檢測(cè),在outside方向,開(kāi)啟對(duì)isakmp協(xié)商的檢測(cè)。
ip inspect name outside udp timeout 5
ip inspect name outside isakmp
ip inspect name outside icmp
3.2對(duì)outside區(qū)域運(yùn)用防火墻策略。由于AH和ESP的協(xié)議號(hào)分別為50和51,所以在outside方向上,讓有限狀態(tài)機(jī)對(duì)協(xié)議號(hào)為50的AH和51的ESP報(bào)文進(jìn)行檢測(cè)放行。
permit ahp any any
permit esp any any
由于isakmp的協(xié)商屬于UDP協(xié)議,且端口號(hào)為500和4500,在outside方向,讓有限狀態(tài)機(jī)對(duì)isakmp的4500和500端口進(jìn)行檢測(cè)放行,以便isakmp協(xié)商成功。
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
驗(yàn)證:在A路由器上使用 show access-list命令可以看到,如圖2所示。
圖2顯示ESP格式報(bào)文的加密報(bào)文和isakmp的通道協(xié)商已經(jīng)與防火墻的規(guī)則進(jìn)行了匹配并且放行。Ping測(cè)試顯示成功,如圖3所示。
4加密流量與非加密流量對(duì)比
前提:為了達(dá)到加密與非加密流量對(duì)比,需要在配置兩臺(tái)服務(wù)器,一臺(tái)處于內(nèi)網(wǎng)中,受到IPSecVPN的加密保護(hù),一臺(tái)在公網(wǎng)上,供外網(wǎng)客戶訪問(wèn),不采用IPSec加密。服務(wù)器上包括WWW、FTP、DNS、MAIL常用服務(wù)。
(1)在外網(wǎng)和內(nèi)網(wǎng)服務(wù)器上開(kāi)啟wireshark進(jìn)行抓包并分析;(2)訪問(wèn)服務(wù)器www網(wǎng)頁(yè);(3)訪問(wèn)FTP服務(wù)器;(4)使用OE發(fā)送郵件;(5)使用OE進(jìn)行收郵件;(6)使用telent登錄服務(wù)器;(7)打開(kāi)wireshark顯示抓包分析結(jié)果,外網(wǎng)服務(wù)器的抓包結(jié)果顯示,所有包的協(xié)議都可以顯示出來(lái),包括WWW的網(wǎng)址與內(nèi)容,F(xiàn)TP和TELNET的用戶名與密碼,這些都是極其不安全的,而經(jīng)過(guò)IPSec加密的內(nèi)網(wǎng)服務(wù)器則所有包都是用ESP包頭進(jìn)行封裝加密,顯示不出任何包信息,這樣可以很好的保護(hù)企業(yè)的數(shù)據(jù)。如圖5和圖6所1示。
5小結(jié)
本文通過(guò)研究IPSec協(xié)議族,實(shí)現(xiàn)了一個(gè)較為完整的IPSecVPN系統(tǒng)。包括客戶端、服務(wù)器端軟硬件設(shè)計(jì)和實(shí)現(xiàn)、網(wǎng)絡(luò)配置及內(nèi)嵌管理等,還解決了IPSec協(xié)議通過(guò)CBAC防火墻問(wèn)題。
參考文獻(xiàn):
關(guān)鍵詞:網(wǎng)絡(luò)安全,信息化建設(shè),網(wǎng)絡(luò)管理
一、引言
計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)入校園,使各種資源數(shù)字化。極大的改變了現(xiàn)有教學(xué)方式及工作方式。和其它的互聯(lián)網(wǎng)一樣,校園網(wǎng)也具備計(jì)算機(jī)網(wǎng)絡(luò)的一切結(jié)構(gòu)和功能。為了讓網(wǎng)絡(luò)保持暢通,為廣大師生提供良好的服務(wù),校園網(wǎng)的管理與維護(hù)就顯的越來(lái)越重要。如何正確規(guī)范化的管理校園網(wǎng),使之形成一套完整管理與維護(hù)理論體系,也是當(dāng)前一項(xiàng)重要的研究課題。
二、校園網(wǎng)的管理與維護(hù)
隨著各種資源不斷網(wǎng)絡(luò)化,就必須對(duì)校園網(wǎng)加強(qiáng)管理,制定相關(guān)政策法規(guī),出現(xiàn)問(wèn)題有法可依。這些規(guī)章制度包括網(wǎng)絡(luò)使用規(guī)范、用戶上網(wǎng)規(guī)范、信息點(diǎn)教學(xué)平臺(tái)、網(wǎng)絡(luò)管理制度、計(jì)算機(jī)操作管理制度、網(wǎng)絡(luò)設(shè)備維修保養(yǎng)及報(bào)廢制度等。重要體現(xiàn)在如下幾方面:
1.網(wǎng)絡(luò)系統(tǒng)安全存在的問(wèn)題:
第一、有效阻擋病毒;現(xiàn)階段,各種木馬及計(jì)算機(jī)病毒令人防不勝防,如何將損失降到最小,是網(wǎng)絡(luò)管理員考慮的問(wèn)題。當(dāng)軟毒軟件不能有效殺滅病毒時(shí),要求網(wǎng)管員要在第一時(shí)間給出解決的辦法并及時(shí)通知在校園網(wǎng)上,使教師了解病毒發(fā)作的特征和相應(yīng)的解決方法,使各用戶及時(shí)安裝最新的病毒庫(kù)和補(bǔ)丁程序。通過(guò)路由器查出有木馬和病毒的計(jì)算機(jī),在網(wǎng)絡(luò)上封閉其訪問(wèn)網(wǎng)絡(luò)權(quán)限,等用戶計(jì)算機(jī)正常以后再開(kāi)通網(wǎng)上訪問(wèn)權(quán)限。這樣可避免擴(kuò)散到其他計(jì)算機(jī)上,有效控制病毒在整網(wǎng)的蔓延。并要求所用計(jì)算機(jī)及時(shí)升級(jí)。
第二、網(wǎng)絡(luò)用戶權(quán)限管理與維護(hù),首先要加強(qiáng)對(duì)網(wǎng)管權(quán)限的監(jiān)管力度,由于網(wǎng)管可控制網(wǎng)內(nèi)的每一臺(tái)電腦,如果網(wǎng)絡(luò)管理人員成為泄密者,其后果將不堪設(shè)想。可以通過(guò)在平時(shí)管理時(shí)用普通帳號(hào),只有在安裝軟件和設(shè)置服務(wù)器時(shí)才用超級(jí)管理員帳號(hào),這樣做可以防止網(wǎng)管丟了密碼對(duì)網(wǎng)絡(luò)所造成的破壞。平時(shí)要求網(wǎng)絡(luò)用戶在使用密碼時(shí),盡量設(shè)置強(qiáng)口令的密碼,如可以設(shè)置為字母加數(shù)據(jù)加特殊符號(hào),這要有效提高破譯密碼的時(shí)間和難度。在網(wǎng)絡(luò)培訓(xùn)和計(jì)算機(jī)課程中強(qiáng)調(diào)網(wǎng)絡(luò)安全。
第三、校園網(wǎng)防火墻管理與維護(hù):根據(jù)學(xué)校網(wǎng)絡(luò)建設(shè),有的學(xué)校用的是教育網(wǎng)接口,有的學(xué)校由于所處地理位置不同,有可能會(huì)用到當(dāng)?shù)鼐W(wǎng)絡(luò)供應(yīng)商提供的接口。不管用那一種方式接入互聯(lián)網(wǎng),都不能忽略網(wǎng)絡(luò)安全問(wèn)題,如要防止有些學(xué)生及個(gè)別教師在內(nèi)部做出的攻擊,還要防止外網(wǎng)對(duì)校園網(wǎng)的外部的攻擊。攻擊的方式多種多樣,要有效防止攻擊事件的發(fā)生,防火墻和入侵檢測(cè)系統(tǒng)是必不可少的,通過(guò)網(wǎng)絡(luò)防火墻,使局域網(wǎng)內(nèi)的網(wǎng)絡(luò)用戶可以安全地通過(guò)防火墻訪問(wèn)Internet,局域網(wǎng)內(nèi)的WWW服務(wù)器也可以安全地對(duì)Internet提供服務(wù)。有效阻止外部未經(jīng)過(guò)驗(yàn)證的數(shù)據(jù)包進(jìn)入校園網(wǎng)里,防火墻有硬件防火墻和軟件防火墻,可根據(jù)各自學(xué)校的要求進(jìn)行設(shè)置。
2.網(wǎng)絡(luò)系統(tǒng)安全管理方式方法:
第一、及時(shí)安裝系統(tǒng)補(bǔ)丁程序(Patch);對(duì)文件目錄權(quán)限;定期檢查系統(tǒng)安全性;不要將服務(wù)器的登錄方式設(shè)置為自動(dòng)登錄,應(yīng)使用NT Security對(duì)話框注冊(cè);取消服務(wù)器上經(jīng)常不用的服務(wù)和協(xié)議種類。盡量關(guān)閉不必要的服務(wù)端口,對(duì)一些可能存在被攻擊的端口要定期掃描,一旦發(fā)現(xiàn)可疑情況及時(shí)做處理;定期對(duì)重要數(shù)據(jù)進(jìn)行備份;隨著服務(wù)和協(xié)議數(shù)量越多其系統(tǒng)的安全性會(huì)變的越來(lái)越差;超級(jí)管理員賬號(hào)僅用于網(wǎng)絡(luò)管理,不要在任何客戶機(jī)上使用超級(jí)管理員賬號(hào)。論文參考。對(duì)于windows系統(tǒng),要特別慎重屬于Administrator組成員用戶;記住口令文件保存在WINNT SYSTEM32CONFIG目錄的SAM文件中,并且在WINNTREPAIR目錄中有SAM備份。所以對(duì)SAM文件寫(xiě)入、更改權(quán)限等要進(jìn)行安全審計(jì);系統(tǒng)默認(rèn)禁用Guest賬號(hào),最好不允許使用Guest賬號(hào)。不要在Everyone組增加任何權(quán)限,因?yàn)镚uest也屬于該組;新增用戶時(shí)分配一個(gè)口令,并控制用戶'首次登錄必須更改口令',最好進(jìn)一步設(shè)置成口令的不低于6個(gè)字符,杜絕安全漏洞;利用端口掃描工具,定期在防火墻外對(duì)網(wǎng)絡(luò)內(nèi)所有的服務(wù)器和客戶進(jìn)行端口掃描;禁止自動(dòng)啟動(dòng)telnet服務(wù)。
3、應(yīng)用軟件的管理與維護(hù):包括網(wǎng)絡(luò)實(shí)驗(yàn)室及各客戶端軟件的配置更新規(guī)范,如相關(guān)的教學(xué)軟件、編程軟件、系統(tǒng)軟件等。如:對(duì)未及時(shí)歸還用戶,如無(wú)特殊情況,損壞或丟失者,都要根據(jù)情節(jié)進(jìn)行相應(yīng)的處理。系統(tǒng)軟件或價(jià)值較高的應(yīng)用軟件,一律不外借。除了軟件的管理以外,還要大力加強(qiáng)軟件的建設(shè),如軟件的購(gòu)買(mǎi)、保管,使用、報(bào)損等。可根據(jù)需要,設(shè)立教師課件資源庫(kù),把每位教學(xué)每學(xué)期的多媒體課件,課后習(xí)題,輔導(dǎo)資料全部入庫(kù),這樣不但對(duì)教師和學(xué)生帶來(lái)方便,也成為校園網(wǎng)中的寶貴教學(xué)資源。
4.網(wǎng)絡(luò)核心設(shè)備的管理與維護(hù):校園網(wǎng)是由計(jì)算機(jī)、服務(wù)器(性能好的計(jì)算機(jī))、路由器、交換機(jī)等各種設(shè)備組成,校園網(wǎng)要正常運(yùn)行,必須保證核心網(wǎng)絡(luò)設(shè)備正常運(yùn)行,是校園網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ),所有的設(shè)備都屬于網(wǎng)絡(luò)專用設(shè)備,網(wǎng)絡(luò)管理人員定期要對(duì)全校的網(wǎng)絡(luò)設(shè)備進(jìn)行檢查及時(shí)解決故障,還要對(duì)一些網(wǎng)絡(luò)設(shè)備進(jìn)行設(shè)置:如web服務(wù)器、proxy服務(wù)器、路由器路由設(shè)置,防火墻規(guī)則設(shè)置等,同時(shí)這些設(shè)備對(duì)溫度,濕度,安全有較高的要求,所以對(duì)核心設(shè)備應(yīng)用專門(mén)存放房間,以保證設(shè)備正常運(yùn)行。
5.網(wǎng)絡(luò)實(shí)驗(yàn)室的管理:
網(wǎng)絡(luò)實(shí)驗(yàn)室全天對(duì)學(xué)生開(kāi)放,這就涉及到使用,安全等管理問(wèn)題,出于安全的考慮,實(shí)驗(yàn)室中的每一臺(tái)計(jì)算機(jī)均鎖在柜子里,防止學(xué)生破壞計(jì)算機(jī)硬件設(shè)備;學(xué)生上網(wǎng)問(wèn)題可以用劃分子網(wǎng)來(lái)解決,通過(guò)對(duì)網(wǎng)絡(luò)掩碼的劃分,使學(xué)生在正常上實(shí)驗(yàn)課時(shí),被分配到取消上網(wǎng)資源子網(wǎng),如需用網(wǎng)絡(luò)資源時(shí),可對(duì)子網(wǎng)整體設(shè)置,這樣可使實(shí)驗(yàn)室管理更高效;當(dāng)實(shí)驗(yàn)室軟件出現(xiàn)問(wèn)題時(shí),可采用網(wǎng)絡(luò)對(duì)拷的方式進(jìn)行快速修復(fù),把一臺(tái)已安裝和設(shè)置好的計(jì)算機(jī)當(dāng)服務(wù)器制作出鏡像文件,再逐個(gè)分發(fā)到需要的計(jì)算機(jī)上。一般五分鐘左右就可以修好。為了管理上網(wǎng)的學(xué)生用戶,可采用軟件方式加硬件方式進(jìn)行管理,換句話說(shuō),如果用戶沒(méi)有合法的用戶名和密碼,當(dāng)計(jì)算機(jī)開(kāi)機(jī)自檢完以后不再加載系統(tǒng)程序。可專門(mén)設(shè)置一個(gè)服務(wù)器對(duì)所有學(xué)生設(shè)置上網(wǎng)時(shí)間和權(quán)限。論文參考。論文參考。
三.對(duì)網(wǎng)絡(luò)用戶進(jìn)行定期培訓(xùn)
1.主要對(duì)教師進(jìn)行培訓(xùn):教師是學(xué)校開(kāi)展現(xiàn)代教育技術(shù)實(shí)驗(yàn)的主力軍,讓教師通過(guò)校內(nèi)外的培訓(xùn),盡快提高現(xiàn)代教育思想和教育技術(shù)素質(zhì),是開(kāi)展現(xiàn)代教育技術(shù)實(shí)驗(yàn)成敗的關(guān)鍵。通過(guò)培訓(xùn),使教師隊(duì)伍計(jì)算機(jī)知識(shí)和操作水平不斷提高。各校必需有一批懂技術(shù)、會(huì)使用的人員,才能真正發(fā)揮網(wǎng)絡(luò)的功能,才能夠發(fā)揮出校園網(wǎng)巨大潛能,使校園網(wǎng)的建設(shè)更具有更深遠(yuǎn)的實(shí)際意義。
2.培訓(xùn)成果:教師人人懂得計(jì)算機(jī)操作,掌握上校園網(wǎng)的方法,會(huì)使用'備課系統(tǒng)'進(jìn)行備課,會(huì)使用多媒體教學(xué)系統(tǒng)進(jìn)行教學(xué),掌握上網(wǎng)技術(shù),要善于通過(guò)國(guó)內(nèi)外互聯(lián)網(wǎng)獲得信息資源,會(huì)使用常規(guī)電教設(shè)備和多媒體電子教學(xué)平臺(tái)進(jìn)行教學(xué),會(huì)改編課件,會(huì)設(shè)計(jì)、編寫(xiě)課件腳本,制作多媒體課件(方便、普及型的PPT課件)。教師絕大部分的課時(shí)都使用多媒體軟件,運(yùn)用多媒體的教學(xué)工具進(jìn)行教學(xué)。
3.教師用計(jì)算機(jī)的管理:
一般實(shí)行專人專用,在教師使用期內(nèi)所出的問(wèn)題全由用戶自己負(fù)責(zé)。如:注意防塵、防潮、防磁、防碰撞;要求各位老師及時(shí)升級(jí)殺毒軟件。由于人為因素對(duì)計(jì)算機(jī)硬件造成損壞的,要按原價(jià)賠償。在計(jì)算機(jī)的使用過(guò)程中,遇到問(wèn)題,可向網(wǎng)絡(luò)組反映。不允許做一些可能會(huì)對(duì)計(jì)算機(jī)造成傷害的操作,如私自把主機(jī)機(jī)箱蓋打開(kāi)等,否則后果自負(fù)。具體的規(guī)定可根據(jù)各自學(xué)校的情況制定
四、總結(jié)
通過(guò)對(duì)校園網(wǎng)維護(hù)和管理的論述,近一步說(shuō)明了校園網(wǎng)管理與維護(hù)既關(guān)系到學(xué)校教學(xué)質(zhì)量和人才培養(yǎng),也反應(yīng)了一個(gè)學(xué)校的信息化建設(shè)的水平的高低.如何高效、安全、健康的利用現(xiàn)用的網(wǎng)絡(luò)資源,提高學(xué)校管理與維護(hù)校園網(wǎng)的水平。
參考文獻(xiàn)
[1] 孟洛明.現(xiàn)代網(wǎng)絡(luò)管理技術(shù).北京.北京郵電大學(xué)出版社.2000.6
[2] Refdom.交換網(wǎng)絡(luò)中的嗅探和ARP欺騙.xfocus.net.
[3] David BJohnson,David A Maltz.Yih—ChunHu.The Dynamic SoumeRouting Protocol for Mobile Ad HocNetworks(DSR).
