序言：寫作是分享個人見解和探索未知領域的橋梁，我們為您精選了8篇的防火墻技術論文樣本，期待這些樣本能夠為您提供豐富的參考和啟發，請盡情閱讀。

第1篇

本文通過了解防火墻四種基本類型:包過濾型、網絡地址轉換—NAT、型和監測型的不同特點、重要性，進一步分析了網絡安全防火墻技術。

【關鍵詞】網絡防火墻服務器

緒論

作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。雖然從上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、型和監測型。

一、包過濾型

包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。包過濾技術的優點是簡單實用,實現成本較低,在環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。

二、網絡地址轉化—NAT

網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部機中。當不符合規則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。

三、型

型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品,并已經開始向應用層。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到內部網絡系統。

型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。

四、監測型

監測型防火墻是新一代的產品，這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部。因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品

雖然監測型防火墻安全性上已超越了包過濾型和服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以在實用中的防火墻產品仍然以第二代型產品為主,但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。

第2篇

關鍵詞:計算機 信息系統 安全

一、面臨的主要威脅

1、內部竊密和破壞。內部人員可能對網絡系統形成下列威脅:內部人員有意或無意泄密、更改記錄信息;內部非授權人員有意無意偷竊機密信息、更改網絡配置和記錄信息;內部人員破壞網絡系統。

2、截收。攻擊者可能通過搭線或在電磁波輻射的范圍內安裝截收裝置等方式,截獲機密信息,或通過對信息流和流向、通信頻度和長度等參數的分析,推出有用信息。它不破壞傳輸信息的內容,不易被查覺。

3、非法訪問。非法訪問指的是未經授權使用網絡資源或以未授權的方式使用網絡資源,它包括非法用戶如黑客進入網絡或系統進行違法操作,合法用戶以未授權的方式進行操作。

4、破壞信息的完整性。攻擊可能從三個方面破壞信息的完整性:改變信息流的次序、時序,更改信息的內容、形式;刪除某個消息或消息的某些部分;在消息中插入一些信息,讓收方讀不懂或接收錯誤的信息。

5、冒充。攻擊者可能進行下列冒充:冒充領導命令、調閱文件;冒充主機欺騙合法主機及合法用戶;冒充網絡控制程序套取或修改使用權限、口令、密鑰等信息,越權使用網絡設備和資源;接管合法用戶、欺騙系統、占用合法用戶的資源。

6、破壞系統的可用性。攻擊者可能從下列幾個方面破壞網絡系統的可用性:使合法用戶不能正常訪問網絡資源;使有嚴格時間要求的服務不能及時得到響應;摧毀系統。

7、重演。重演指的是攻擊者截獲并錄制信息,然后在必要的時候重發或反復發送這些信息。

8、抵賴。可能出現下列抵賴行為:發信者事后否認曾經發送過某條消息;發信者事后否認曾經發送過某條消息的內容;發信者事后否認曾經接收過某條消息;發信者事后否認曾經接收過某條消息的內容。

9、其它威脅。對網絡系統的威脅還包括計算機病毒、電磁泄漏、各種災害、操作失誤等。

二、防火墻技術

防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為甚。防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。防火墻是網絡安全的屏障:一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。

三、入侵檢測技術

IETF將一個入侵檢測系統分為四個組件:事件產生器(Event Generators);事件分析器(Event An-alyzers);響應單元(Response Units)和事件數據庫(Event Data Bases)。事件產生器的目的是從整個計算環境中獲得事件,并向系統的其他部分提供此事件。事件分析器分析得到的數據,并產生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。事件數據庫是存放各種中間和最終數據的地方的統稱,它可以是復雜的數據庫,也可以是簡單的文本文件。

四、數據加密技術

數據加密技術是網絡中最基本的安全技術,主要是通過對網絡中傳輸的信息進行數據加密來保障其安全性。加密是一種限制對網絡上傳輸數據的訪問權的技術。原始數據(也稱為明文,plaintext)被加密設備(硬件或軟件)和密鑰加密而產生的經過編碼的數據稱為密文(ciphertext)。將密文還原為原始明文的過程稱為解密,它是加密的反向處理,但解密者必須利用相同類型的加密設備和密鑰,才能對密文進行解密。數據加密類型可以簡單地分為三種:一是根本不考慮解密問題;二是私用密鑰加密技術;三是公開密鑰加密技術。

五、安全協議

安全協議的建立和完善,是計算機網絡信息安全保密走上規范化、標準化道路的基本因素.目前已開發應用的安全協議有以下5種:(1)加密協議.一能用于把保密數據轉換成公開數據,在公用網中自由發送:二能用于授權控制,無關人員無法解讀。(2)密鑰管理協議。包括密鑰的生成、分類、存儲、保護、公證等協議.(3)數據驗證協議。包括數據解壓、數據驗證、數字簽名。(4)安全審計協議。包括與安全有關的事件,如數據事件的探測、收集、控制。(5)防護協議。除防病毒卡、千擾儀、防泄露等物理性防護措施外,還用于對信息系統自身保護的數據(審計表等)和各種秘密參數(用戶口令、密鑰等)進行保護,以增強反網絡入侵功能。

參考文獻:

[1]丁霞軍.基于ASP的管理信息系統開發及其安全性研究(學位論文).安徽:安徽理工大學,2005

第3篇

論文摘要：隨著當代信息技術的發展，互聯網的共享性、開放性以及互聯程度也在不斷擴大。internet的廣泛普及，商業數字貨幣、網絡銀行等一部分網絡新業務的迅速興起，使得計算機網絡的安全問題越來越顯得重要，通過歸納總結，提出網絡信息中的一些安全防護策略。

1．引言

網絡環境的復雜性、多變性以及信息系統的脆弱性，決定了網絡安全威脅的客觀存在。當前，隨著計算機技術的飛速發展，利用因特網高科技手段進行經濟商業犯罪的現象已經屢見不鮮了，因此，如何采用更加安全的數據保護及加密技術，成為當前計算機工作者的研究熱點與重點。網絡安全技術，尤其是網絡信息的安全，關系到網民、企業甚至是國家的信息安全。因此，發展更加安全的網絡安全技術，是關系到社會經濟穩定繁榮發展的關鍵，成為當前計算機安全工作的重點。

2．網絡信息安全的風險來源

影響計算機網絡安全的因索很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結起來豐要以下幾個方面：

(1)病毒感染

從“蠕蟲”病毒開始到cih、愛蟲病毒，病毒一直是計算機系統安全最直接的威脅。病毒依靠網絡迅速傳播，它很容易地通過服務器以軟件下載、郵件接收等方式進入網絡，竊取網絡信息，造成很人的損失。

(2)來自網絡外部的攻擊

這是指來自局域網外部的惡意攻擊，例如：有選擇地破壞網絡信息的有效性和完整性；偽裝為合法用戶進入網絡并占用大量資源；修改網絡數據、竊取、破譯機密信息、破壞軟件執行；在中間站點攔截和讀取絕密信息等。

（3)來自網絡內部的攻擊

在局域網內部，一些非法用戶冒用合法用戶的口令以合法身份登陸網站后。竊取機密信息，破壞信息內容，造成應用系統無法運行。

（4)系統的漏洞及“后門”

操作系統及網絡軟件不可能是百分之百的無缺陷、無漏洞的。編程人員有時會在軟件中留有漏洞。一旦這個疏漏被不法分子所知，就會借這個薄弱環節對整個網絡系統進行攻擊，大部分的黑客入侵網絡事件就是由系統的“漏洞” 和“后門”所造成的。

3．網絡信息安全的防護策略

現在網絡信息安全的防護措施必不可少。從技術上來說，計算機網絡安全主要由防病毒、入侵檢測等多個安全組件組成，就此對我們常用的幾項防護技術分別進行分析。

3．1防火墻技術

防火墻(ifrewal1)是指設置在不同網絡或網絡安全域之間的系列部件的組合，它越來越多地應用于專用網絡與公用網絡的互聯環境之中，尤其以接入internet網絡為甚。不同網絡或網絡安拿域之間信息都會經過它的過濾，防火墻就會根據自身的安全政策控制(允許、拒絕、監測)出入網絡的信息流，而且它本身也具有較強的抗攻擊能力，不會被病毒控制。防火墻可以阻j網絡中的黑客來訪問你的機器，防止他們篡改、拷貝、毀壞你的重要信息。它為網絡信息的安全提供了很好的服務，為我們更安全地使用網絡提供了很好的保障。

“防火墻”技術是指假設被保護網絡具有明確定義的邊界和服務而采取的一種安全保障技術，它通過監測、限制和更改通過“防火墻”的數據流，一方面盡可能地對外部網絡屏蔽被保護網絡的信息、結構，實現對內部網絡的保護，以防“人放火”；另一方面對內屏蔽外部某些危險站點，防止“引火燒身”。因而，比較適合于相對獨立、與外部網絡互聯單一、明確并且網絡服務種類相對集中的統一互聯網絡系統。防火墻可對網絡存取和訪問進行監控審計，如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。

通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用，有的防火墻還支持具有internet服務特性的企業內部網絡技術體系vpn。vpn，可以將分部在世界各地的lan或專用電子網有機地聯成一個整體。這樣一方面省去了專用通信線路，也達到了信息共享的目的。

3．2數據加密技術

數據加密技術是網絡中最藎木的安傘技術，主要是通過對網絡傳輸的信息進行數據加密來保障其安全性。加密是對網絡上傳輸數據的訪問權加強限制的一種技術。原始數據(也稱為明文，plaintext)被加密設備(硬件或軟件)和密鑰加密而產生的經過編碼的數據稱為密文(ciphertext)。解密是加密的反向處理，是將密文還原為原始明文，但解秘者必須利用相同類型的加密設備和密鑰，才能對密文進行解密。

3．3入侵檢測技術

入侵檢測系統(intrusiondetectionsystem，ids)是從多種計算機系統及網絡系統中收集信息，再通過這些信息分析，對計算機和網絡資源的惡意使用行為進行識別的網絡信息安全系統。入侵檢測系統具有多方面的功能：威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持等。入侵檢測技術是為保證計算機信息系統安全而設計與配置的一種能夠及時發現并報告系統中朱授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

3．4病毒防護

可采用如下的方法或措施：

(1)合理設置殺毒軟什，如果安裝的殺毒軟什具備掃描電郵件的功能，盡量將這些功能傘部打開；

（2)定期檢查敏感文件；

(3)采取必要的病毒檢測和監控措施；

(4)對新購的硬盤、軟盤、軟件等資源，使用前應先用病毒測試軟件檢查已知病毒，硬盤可以使用低級格式化(dos中的format格式化可以去抻軟盤中的病毒，但不能清除硬盤引導的病毒)；

（5)慎重對待郵件附件，如果收到郵件中有可執行文件(如．exe、．com等)或者帶有“宏”的文殺一遍，確認沒有病毒后再打開；

（6)及時升級郵件程序和操作系統，以修補所有已知的安全漏洞。

3．5身份認證技術

身份認證(authentication)是系統核查用戶身份證明的過程，其實質是查明用戶是否具仃它所請求資源的存儲使用權。身份識別(identificaiion)是指用戶向系統出示自己的身份證明的過程。這兩項上作通常被稱為身份認證。

身份認證至少應包括驗證協議和授權協議。網絡中的各種應用和計算機系統都需要通過身份認證來確認合法性，然后確定它的個人數據和特定權限。對于身份認證系統來說，合法用戶的身份是否易于被別人冒充足它最重要的技術指標。用戶身份被冒充不儀可能損害用戶自身的利益，也可能損害其他用戶的利益或整個系統。因此，身份認證是授權控制的基礎。只有有效的身份認證，才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。

安裝必要的安全軟件，殺毒軟件和防火墻這些都是必備的，而且還要安裝并使用必要的防黑軟件。我們一定要把這些安全防護措施及時應在電腦中，在上網時一定要打開它們。最后要及時給系統打補丁，建議人家下載自己的操作系統對應的補丁程序，這是我們網絡安全的恭礎。

第4篇

關鍵詞:流過濾技術;IPv6;IPSec;防火墻

中圖分類號:TP393 文獻標識碼:A文章編號:1007-9599 (2010) 07-0000-01

IPv6 Firewall Study Based on Flow Filtering Technology

Wang Wei,Liu DiHua

(Changchun University,Computer Science&Engineering College,Changchun130012,China)

Abstract:The most effective and simplest network security tool is firewall,one flow filtering technology as shirt-sleeve the state detection packet-filtering technology and applications of the technology,acting as the latest firewall technology growing more and more concern,IPv6 as the next generation of network address replaced IPv4 is inevitable,so the filtration technology based on the study of IPv6 firewall is also a research hotspot.

Keywords:Flow Filtering technology;IPv6;IPSec;Firewall

一、引言

隨著計算機網絡的迅猛發展,網絡安全問題變得日趨嚴重。而防火墻作為最簡單、最有效的網絡安全工具顯得尤為重要。傳統防火墻包括簡單包過濾防火墻、狀態檢測包過濾防火墻、應用防火墻等,它們都有各自的優點,但也存在著不容忽視的缺點。而“流過濾”技術融合了包過濾和應用的安全性和優點,克服了包過濾和應用的諸多缺陷,代表了一種全新的防火墻技術結構。在大家紛紛開始關注應用層安全的今天,“流過濾”技術架構更加顯示了其前瞻性和先進性。

目前我們使用的是第二代互聯網IPv4技術,核心技術屬于美國。它的最大問題是網絡地址資源有限,從理論上講,我們都知道IPv4地址用32位二進制表示,編址1600萬個網絡、40億臺主機。其中北美占有3/4,約30億個,而人口最多的亞洲只有不到4億個,中國只有3千多萬個。而對于互聯網飛速發展的今天,占全球網民大多數的亞洲來說,IP地址緊缺已經是一個破在眉睫的問題,IPv4地址確實是要用光了,而這件事很快就要發生了。那么擴充資源的最直接的辦法就是擴大IP地址的空間,另一方面,Ipv4在實際的使用中也暴露了一些問題。在這樣的環境下,Ipv6應運而生,Ipv6取代Ipv4是必然的。

可見,針對基于流過濾技術的Ipv6防火墻的研究是一個新的研究熱點。

二、流過濾的研究

流過濾技術工作在鏈路層或IP層,是融合了包過濾技術和應用技術安全性的一種全新的防火墻技術,不但克服了包過濾和應用的諸多缺陷,而且融合了它們的優點。其基本原理是以狀態包過濾的形態實現對應用層的保護,通過內嵌專門實現的TCP協議棧,在狀態檢測包過濾的技術上實現了透明的應用信息過濾機制。具體來說,就是客戶端在規則允許下,兩端可以直接訪問,但是對于任何一個被規則允許的訪問在防火墻內部都存在兩個完全獨立的TCP會話,數據以“流”的方式從一個會話流向另一個會話,有防火墻應用層策略位于流的中間,因此可以在任何時候代替服務器或客戶機端參與應用層的會話,從而起到了與應用防火墻相同的控制能力,產生了防火墻的功效。

流過濾的結構繼承了包過濾防火墻和應用的特點,因而非常容易部署,消耗資源少、效率高且抗攻擊能力也高。并且由于應用層安全策略與網絡層安全策略是緊密的,所以在任何一種部署下都能夠起到相同的保護作用。

三、IPv6防火墻的研究

IPv6的采用,為我們設計防火墻系統提供了一個新思路,即能否把保密和認證機制融入到防火墻中,并形成統一的標準,這將使得防火墻更加完善和安全。RCF1825定義了IPSec,它提供了IP的安全性體系結構。它對于目前使用最廣泛的IPv4協議和各國政府大力發展的下一代的IP版本IPv6協議都能提供良好的支持,IPSec協議可以給運行于IP層的任何一個協議提供安全保護。IPSec是IPv4可選的功能,在IPV6里則是一個必選安全子集。在IPSec出現之前,一般是采用在HTTP下加入SSL層為WEB訪問和其他應用程序提供安全保護,SSL只能作用于使用它的程序,不能提供全面的安全保護。而一般的機構則是一直采用鏈路層加密,即對每個通信一對一加密設備進行保護,盡管這種系統提供良好的數據安全機制,但不能保證鏈路兩端以及其通信節點都是安全的,所以鏈路層保護基本上不能獲得更好更廣泛的應用。IPSec在IPv6中更容易實現,它為IP提供訪問控制、數據源的身份驗證、數據完整性檢查、機密性保證以及抗重播攻擊等安全機制。

IPSec由認證頭頭協議(AH)、封裝安全載荷協議(ESP)、密匙管理協議(IKE)和一些認證及加密算法等組成,主要采用了8個RFC文檔進行定義。

其中IKE是一種混合協議,負責密匙的產生、分發與交換,它由SA和密鑰管理協議(ISAKMP)以及兩種密鑰交換協議OAKLEY與SKEME組成用于協商信源節點和信宿節點間保護IP報文的AH和ESP的相關參數,如加密、認證的算法和密鑰、密鑰生存期等,稱之為安全聯盟。其中AH和ESP是網絡層協議,IKE是應用層協議,使用的是UDP數據報格式。AH字段為IP數據報提供了完整、身份驗證,并且防止重放攻擊。ESP頭提供了數據報的機密,通過使用公共密鑰加密對數據來源進行身份驗證,防止重放攻擊和通過使用安全網關來提供有限的業務料機密性。IKE協議用于協商AH和ESP協議所使用的密碼算法,并將算法所需的必備密鑰放在合適的位置。

IPSec具有兩種操作模式:傳輸模式和隧道模式,在傳輸模式下,IPSec對數據進行加密,原始的IP幀頭不發生改變,這樣的優點是每個IP分組只增加幾個字節,但網絡中的中間節點能看到源地址和目標地址,通過一些特殊的手段可以對數據包進行分析,傳輸模式無法阻止入侵者對數據進行分析,但可以保證IP數據的保密性。隧道模式下對整個IP包進行加密重新生成新的IP幀頭和IPSec標頭,這樣的好處是由發送端路由器進行加密,接受端路由進行解密,終端設備不用因為使用IPSec協議而發生改變,減少了應用成本,而且入侵者無法獲得實際的目標地址和源地址,也無法對數據進行分析。

IPSec傳輸模式只有在源系統和目標系統都具有IPSec功能時才可以采用,所以在很多情況下一般采用隧道模式,可樣可以在不改變服務器或主機的操作系統和應用軟件的情況下使用IPSec。

四、基于流過技術的IPv6防火墻的研究

(一)基于流過技術的IPv6防火墻的設計策略

本文設計的防火墻將采用屏蔽子網的防火墻系統結構,在這個基礎上解決IPSec與防火墻的兼容問題;并且在堡壘主機中添加了流過濾模塊,對應用層進行了更好的保護。

屏蔽子網的IPv6防火墻體系結構圖:

屏蔽子網防火墻系統層次結構示意圖:

在IPv6網絡通信中,網絡傳輸的IPv6報文都是密文,防火墻無法獲得端口等信息進行過濾。為解決這一問題,本文在采用屏蔽子網防火墻系統結構的基礎上,提出了解決方案。

兩個分組過濾路由器和一個堡壘主機,它們單獨構成一個子網,位于內部子網和Internet之間,稱之為屏蔽子網。外部路由器介于Internet與屏蔽子網之間,而內部路由器介于屏蔽子網與內部可信子網之間,兩個路由器可進行不同級別的過濾,屏蔽子網只允許Internet和內部子網接入到堡壘主機中,但試圖繞過它的流量都將被阻塞掉。

下面我們介紹其實現:

1.外部路由器只需對不加密的報文部分進行過濾。如:由于IPv6采用了IPSec機制,所以外部路由器只需對外部數據報頭中的源地址及網關地址等明文信息進行過濾;對于IPv4報文中IPSec是可選部分,而且大多用在VPN中,所以外部路由器也可對沒加密的IPv4報文進行過濾;這樣大大減輕了堡壘主機的負荷。

2.堡壘主機接收到外部路由器轉發的數據包后,去掉外部IP頭,通過SPI(安全參數索引)計算密鑰,對實際的數據包進行解密或對AH數據報頭校驗,沒有通過認證的丟棄;通過認證的再通過過濾規則對其進行過濾:如果為允許通過的包,若為關鍵報文,交由傳輸層,由傳輸層將報文交給應用層。堡壘主機通過流過濾模塊對關鍵報文進行數據包重組之后通過流過濾規則過濾掉系統認為不安全的業務,從而實現了對應用層的保護。如果為非關鍵報文就直接交給包過濾進行過濾,如為允許包就通過,否則就阻塞。堡壘主機將通過以上過濾的分組進行重新打包,發向內部路由器,并根據規則對丟棄的分組進行處理。

3.內部路由器接受到來自堡壘主機的流量,首先根據源地址、源端口等信息以及內網各主機的安全級別進行再次過濾,然后根據該分組的內網實際地址,對該分組進行ESP封裝加密(密鑰的來源可取自堡壘主機),然后轉發該分組至目的端。而內部路由器在處理由內網通往外網的流量時,首先對該分組解密,然后根據各主機的不同權限和該系統的安全策略進行過濾,通過的流量由堡壘主機進行封裝加密后轉發。若內網各主機有不同的安全級別(如:一些保密單位主機要求限制對其的訪問),可強制所有通往保密主機的流量都由內部路由器路由,進而可由內部路由器解密后實現接入控制。

以上方案的實現,需要存在一套獨立的密鑰分配協議,這可以考慮在安裝防火墻系統時,由客戶端軟件實現,在此,就不多做討論了。

(二)系統設計

本文設計的系統,包括數據包捕獲模塊、數據包分流模塊、包過濾模塊、流過濾模塊、報警信息記錄模塊、日志數據庫的設計、過濾規則數據庫、控制規則模塊、客戶端模塊等。

1.數據包捕獲模塊:數據包捕獲模塊,與一般的數據包捕獲模塊功能基本相同,對網絡鏈接的偵聽并收集數據包。

2.數據包分流模塊:對捕獲的數據包進行類型分析。判斷其是否為關鍵報文,以確定是經過包過濾模塊或是流過濾模塊。

數據包捕獲模塊和分流模塊工作流程:首先把堡壘主機的網卡設為混雜模式-》啟用SONKET函數-》數據包捕獲模塊利用數據包嗅探器原理接收到數據包-》數據包分流模塊分析數據包頭的信息-》如果關鍵報文。那么就交給流過濾模塊對這類數據包進行處理;但是如果不是關鍵報文,那么就交給包過濾模塊處理-》如此循環。

3.包過濾模塊:本文設計的包過濾模塊只對非關鍵報文進行過濾。根據過濾規則:允許傳輸的,通過;阻塞傳輸的,丟棄,并將非法報文相關信息交給報警信息記錄模塊處理。

包過濾工作流程:利用數據包捕獲模塊獲得報文,并分析報頭信息-》應用一個過濾規則進行判斷-》如果允許傳輸,則為允許包(合法報文);如果阻塞傳輸,則為阻塞包(非法報文),并將非法報文相關信息交給報警信息記錄模塊處理;如果經過本條規則過濾既不是允許傳輸的報文,也不是阻塞傳輸的報文,則進行下一個過濾規則的判斷-》如果所有的規則都沒有符合的,則默認為非法報文,阻塞傳輸-》如此循環。

4.流過濾模塊:接收來自數據包分流模塊的關鍵報文,實現對關鍵報文的截取、檢查、合法轉發。

流過濾工作流程:捕獲模塊接收到數據包,對數據包的包頭進行分析,判斷是否為關鍵報文-》如果不是關鍵報文,則交給包過濾模塊進行過濾;如果是關鍵報文,則交給流過濾模塊進行過濾-》判斷為關鍵報文之后,發送應答報文-》判斷同一會話關鍵報文是否傳輸完畢:如果同一會話的關鍵報文沒有傳輸完畢,則繼續接收下一個數據包;如果同一會話的關鍵報文傳輸完畢,則去掉重復報文,根據序號字段排列報文順序判-》判斷每一報文序號字段檢查數據是否完整:如果不完整,則繼續接收數據包;如果完整,則組合所有報文應用層-》取得httpurl鏈接中的一條規則,比較報文首部相關信息與規則對應字段,并在重組數據匹配規則中過濾內容項判-》判斷數據是否合法:如果比較完畢合法,則按報文正確順序發送原始報,之后繼續接收下一個數據包,繼續下一個循環;如果不合法,則根據規則中action字段值處理數據。

5.報警信息記錄模塊:報警信息記錄模塊負責將報警信息記錄進日志數據庫,同時將報警信息交給客戶端。

6.日志數據庫的設計:對系統運行情況的實時監控。

7.過濾規則數據庫:用來存放過濾規則。本文把設計的包過濾規則和流過濾規則都要存放到這個過濾規則數據庫中。可以說這是個大的容器,用來存放本文的規則,當然如后期用戶自己設置一些合適自己的規則,也要放到過濾規則庫中。

8.控制規則模塊:實現的是用戶根據自己的要求設置規則。必須考慮用戶自己設計過濾規則時可能出現的問題,把重復的規則要刪掉;不重復的寫入過濾規則數據庫中。

9.客戶端模塊:負責將報警信息傳送給防火墻客戶端,同時接受防火墻客戶的各種操作。

基于流過濾技術的IPv6防火墻的系統設計圖:

(三)系統的實現

本文采用的是Linux開發平臺。硬件環境:PC機,10/100M自適應網卡,路由器,局域網和外網環境。軟件環境:Linux操作系統,GCC開發平臺,開源防火墻。

五、總結

本文設計的防火墻系統實現了IPv6數據包的過濾功能,能夠保護內網主機的安全,基本符合了防火墻的行業標準,基本達到了預期的目標。當然,本設計也存在很多的不足,有待進一步的充實和改進。

參考文獻:

[1]東軟軟件股份有限公司,NetEye Firewall3.2 技術白皮書

[2]孫為.純IPv6網絡中IPSec的研究與應用:[碩士學位論文],西安:西安電子科技大學

[3]NetEye防火墻3.2.計算機安全[J].2003

第5篇

關鍵詞入侵檢測異常檢測誤用檢測

在網絡技術日新月異的今天，論文基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet，全社會信息共享已逐步成為現實。然而，近年來，網上黑客的攻擊活動正以每年10倍的速度增長。因此，保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。

1防火墻

目前防范網絡攻擊最常用的方法是構建防火墻。

防火墻作為一種邊界安全的手段，在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問，通過監視、限制、更改通過網絡的數據流，一方面盡可能屏蔽內部網的拓撲結構，另一方面對內屏蔽外部危險站點，以防范外對內的非法訪問。然而，防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內部的襲擊。調查發現，50％的攻擊都將來自于網絡內部。

(3)由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。畢業論文而這一點，對于層出不窮的網絡攻擊技術來說是至關重要的。

因此，在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要，網絡的防衛必須采用一種縱深的、多樣化的手段。

由于傳統防火墻存在缺陷，引發了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補充，在不影響網絡性能的情況下，通過對網絡的監測，幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高信息安全基礎結構的完整性，提供對內部攻擊、外部攻擊和誤操作的實時保護。現在，入侵檢測已經成為網絡安全中一個重要的研究方向，在各種不同的網絡環境中發揮重要作用。

2入侵檢測

2．1入侵檢測

入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析，從中發現違反安全策略的行為和遭到攻擊的跡象，并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵，在可能造成系統損壞或數據丟失之前，識別并驅除入侵者，使系統迅速恢復正常工作，并且阻止入侵者進一步的行動。同時，收集有關入侵的技術資料，用于改進和增強系統抵抗入侵的能力。

入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今，英語論文已經開發出一些入侵檢測的產品，其中比較有代表性的產品有ISS(IntemetSecuritySystem)公司的Realsecure，NAI(NetworkAssociates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2檢測技術

入侵檢測為網絡安全提供實時檢測及攻擊行為檢測，并采取相應的防護手段。例如，實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制；攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者，進一步加強信息系統的安全力度。入侵檢測的步驟如下：

收集系統、網絡、數據及用戶活動的狀態和行為的信息

入侵檢測一般采用分布式結構，在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息，一方面擴大檢測范圍，另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。

入侵檢測所利用的信息一般來自以下4個方面：系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。

(2)根據收集到的信息進行分析

常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。

統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述，統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時，就有可能發生入侵行為。該方法的難點是閾值的選擇，閾值太小可能產生錯誤的入侵報告，閾值太大可能漏報一些入侵事件。

完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3分類及存在的問題

入侵檢測通過對入侵和攻擊行為的檢測，查出系統的入侵者或合法用戶對系統資源的濫用和誤用。工作總結根據不同的檢測方法，將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。

3．1異常檢測

又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統或用戶的“正常”行為特征輪廓，通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測，是一種間接的方法。

常用的具體方法有：統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。

采用異常檢測的關鍵問題有如下兩個方面：

(1)特征量的選擇

在建立系統或用戶的行為特征輪廓的正常模型時，選取的特征量既要能準確地體現系統或用戶的行為特征，又能使模型最優化，即以最少的特征量就能涵蓋系統或用戶的行為特征。(2)參考閾值的選定

由于異常檢測是以正常的特征輪廓作為比較的參考基準，因此，參考閾值的選定是非常關鍵的。

閾值設定得過大，那漏警率會很高；閾值設定的過小，則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。

由此可見，異常檢測技術難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實時地建立和更新系統或用戶的特征輪廓，這樣所需的計算量很大，對系統的處理性能要求很高。

3．2誤用檢測

又稱為基于知識的檢測。其基本前提是：假定所有可能的入侵行為都能被識別和表示。首先，留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據已經定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為，是一種直接的方法。

常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統誤用入侵檢測方法、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。

誤用檢測是根據攻擊簽名來判斷入侵的，根據對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種，同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關系，就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助，而且對即將發生的入侵也有預警作用。

誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較，從中發現違背安全策略的行為。由于只需要收集相關的數據，這樣系統的負擔明顯減少。該方法類似于病毒檢測系統，其檢測的準確率和效率都比較高。但是它也存在一些缺點。

3．2．1不能檢測未知的入侵行為

由于其檢測機理是對已知的入侵方法進行模式提取，對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。

3．2．2與系統的相關性很強

對于不同實現機制的操作系統，由于攻擊的方法不盡相同，很難定義出統一的模式庫。另外，誤用檢測技術也難以檢測出內部人員的入侵行為。

目前，由于誤用檢測技術比較成熟，多數的商業產品都主要是基于誤用檢測模型的。不過，為了增強檢測功能，不少產品也加入了異常檢測的方法。

4入侵檢測的發展方向

隨著信息系統對一個國家的社會生產與國民經濟的影響越來越大，再加上網絡攻擊者的攻擊工具與手法日趨復雜化，信息戰已逐步被各個國家重視。近年來，入侵檢測有如下幾個主要發展方向：

4．1分布式入侵檢測與通用入侵檢測架構

傳統的IDS一般局限于單一的主機或網絡架構，對異構系統及大規模的網絡的監測明顯不足，再加上不同的IDS系統之間不能很好地協同工作。為解決這一問題，需要采用分布式入侵檢測技術與通用入侵檢測架構。

4．2應用層入侵檢測

許多入侵的語義只有在應用層才能理解，然而目前的IDS僅能檢測到諸如Web之類的通用協議，而不能處理LotusNotes、數據庫系統等其他的應用系統。許多基于客戶／服務器結構、中間件技術及對象技術的大型應用，也需要應用層的入侵檢測保護。

4．3智能的入侵檢測

入侵方法越來越多樣化與綜合化，盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究，但是，這只是一些嘗試性的研究工作，需要對智能化的IDS加以進一步的研究，以解決其自學習與自適應能力。

4．4入侵檢測的評測方法

用戶需對眾多的IDS系統進行評價，評價指標包括IDS檢測范圍、系統資源占用、IDS自身的可靠性，從而設計出通用的入侵檢測測試與評估方法與平臺，實現對多種IDS的檢測。

4．5全面的安全防御方案

結合安全工程風險管理的思想與方法來處理網絡安全問題，將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估，然后提出可行的全面解決方案。

綜上所述，入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，使網絡系統在受到危害之前即攔截和響應入侵行為，為網絡安全增加一道屏障。隨著入侵檢測的研究與開發，并在實際應用中與其它網絡管理軟件相結合，使網絡安全可以從立體縱深、多層次防御的角度出發，形成人侵檢測、網絡管理、網絡監控三位一體化，從而更加有效地保護網絡的安全。

參考文獻

l吳新民．兩種典型的入侵檢測方法研究．計算機工程與應用，2002；38(10)：181—183

2羅妍，李仲麟，陳憲．入侵檢測系統模型的比較．計算機應用，2001；21(6)：29～31

3李渙洲．網絡安全與入侵檢測技術．四川師范大學學報．2001；24(3)：426—428

4張慧敏，何軍，黃厚寬．入侵檢測系統．計算機應用研究，2001；18(9)：38—4l

第6篇

論文摘要：在介紹網絡安全概念及其產生原因的基礎上，介紹了各種信息技術及其在局域網信息安全中的作用和地位。

隨著現代網絡通信技術的應用和發展，互聯網迅速發展起來，國家逐步進入到網絡化、共享化，我國已經進入到信息化的新世紀。在整個互聯網體系巾，局域網是其巾最重要的部分，公司網、企業網、銀行金融機構網、政府、學校、社區網都屬于局域網的范疇。局域網實現了信息的傳輸和共享，為用戶方便訪問互聯網、提升業務效率和效益提供了有效途徑。但是由于網絡的開放性，黑客攻擊、病毒肆虐、木馬猖狂都給局域網的信息安全帶來了嚴重威脅。

信息技術是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論和信息論諸多學科的技術。信息技術的應用就是確保信息安全，使網絡信息免遭黑客破壞、病毒入侵、數據被盜或更改。網絡已經成為現代人生活的一部分，局域網的安全問題也閑此變得更為重要，信息技術的應用必不可少。

1網絡安全的概念及產生的原因

1.1網絡安全的概念

計算機網絡安全是指保護計算機、網絡系統硬件、軟件以及系統中的數據不因偶然的或惡意的原因而遭到破壞、更改和泄密，確保系統能連續和可靠地運行，使網絡服務不巾斷。從本質上來講，網絡安全就是網絡上的信息安全。網絡系統的安全威脅主要表現在主機可能會受到非法入侵者的攻擊，網絡中的敏感信息有可能泄露或被修改。從內部網向公共網傳送的信息可能被他人竊聽或篡改等等。典型的網絡安全威脅主要有竊聽、重傳、偽造、篡改、非授權訪問、拒絕服務攻擊、行為否認、旁路控制、電磁／射頻截獲、人員疏忽。

網絡安全包括安全的操作系統、應用系統以及防病毒、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復和完全掃描等。它涉及的領域相當廣泛，這是因為目前的各種通信網絡中存在著各種各樣的安全漏洞和威脅。從廣義上講，凡是涉及網絡上信息的保密性、完整性、可性、真實性和可控性的相關技術和理論，都是網絡安全所要研究的領域。網絡安全歸納起來就是信息的存儲安全和傳輸安全。

1.2網絡安全產生的原因

1.2.1操作系統存在安全漏洞

任何操作系統都不是無法摧毀的“饅壘”。操作系統設計者留下的微小破綻都給網絡安全留下了許多隱患，網絡攻擊者以這些“后門”作為通道對網絡實施攻擊。局域網中使用的操作系統雖然都經過大量的測試與改進，但仍有漏洞與缺陷存在，入侵者利用各種工具掃描網絡及系統巾的安全漏洞，通過一些攻擊程序對網絡進行惡意攻擊，嚴重時造成網絡的癱瘓、系統的拒絕服務、信息的被竊取或篡改等。

1.2.2 TCP／lP協議的脆弱性

當前特網部是基于TCP／IP協議，但是陔協議對于網絡的安全性考慮得并不多。且，南于TCtVIP協議在網絡上公布于眾，如果人們對TCP／IP很熟悉，就可以利川它的安全缺陷來實施網絡攻擊。

1.2.3網絡的開放性和廣域性設計

網絡的開放性和廣域性設計加大了信息的保密難度.這其巾還包括網絡身的布線以及通信質量而引起的安全問題。互聯網的全開放性使網絡可能面臨來自物理傳輸線路或者對網絡通信協議以及對軟件和硬件實施的攻擊；互聯網的同際性給網絡攻擊者在世界上任何一個角落利州互聯網上的任何一個機器對網絡發起攻擊提供機會，這也使得網絡信息保護更加難。

1.2.4計算機病毒的存在

計算機病毒是編制或者存計箅機程序巾插入的一組旨在破壞計箅機功能或數據，嚴重影響汁算機軟件、硬件的正常運行，并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性幾大特點。大量涌現的病毒在網上傳播極快，給全球地嗣的網絡安全帶來了巨大災難。

1.2.5網絡結構的不安全性

特網是一個南無數個局域網連成的大網絡，它是一種網問網技術。當l主機與另一局域網的主機進行通信時，它們之間互相傳送的數據流要經過很多機器重重轉發，這樣攻擊者只要利用l臺處于用戶的數據流傳輸路徑上的主機就有可能劫持用戶的數據包。

2信息技術在互聯網中的應用

2.1信息技術的發展現狀和研究背景

信息網絡安全研究在經歷了通信保密、數據保護后進入網絡信息安全研究階段，當前已經…現了一些比較成熟的軟件和技術，如：防火墻、安全路由器、安全網關、黑客人侵檢測、系統脆弱性掃描軟件等。信息網絡安全是一個綜合、交叉的學科，應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統等方面綜合開展研究，使各部分相互協同，共同維護網絡安全。

國外的信息安全研究起步較早，早在20世紀70年代美國就在網絡安全技術基礎理論研究成果“計算機保密模型(Beu&Lapaduh模型)”的基礎上，提出了“可信計箅機系統安全評估準則(TESEC)”以及后來的關于網絡系統數據庫方面的相關解釋，彤成了安全信息系統體系結構的準則。安全協議作為信息安全的重要內容，處于發展提高階段，仍存在局限性和漏洞。密碼學作為信息安全的關鍵技術，近年來空前活躍，美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。自從美國學者于1976年提出了公開密鑰密碼體制后，成為當前研究的熱點，克服了網絡信息系統密鑰管理的閑舴，同時解決了數字簽名問題。另外南于計箅機運算速度的不斷提高和網絡安全要求的不斷提升，各種安全技術不斷發展，網絡安全技術存21世紀將成為信息安全的關鍵技術。

2.2信息技術的應用

2.2.1網絡防病毒軟件

存網絡環境下，病毒的傳播擴散越來越快，必須有適合于局域網的全方位防病毒產品。針對局域網的渚多特性，應該有一個基于服務器操作系統平的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果局域網和互聯網相連，則川到網大防病毒軟件來加強上網計算機的安全。如果使用郵件存網絡內部進行信息交換.則需要安裝基于郵件服務器平的郵件防病毒軟件，用于識別出隱藏在電子郵件和附件巾的病毒最好的策略是使川全方位的防病毒產品，針對網絡巾所有可能的病毒攻擊點設置對應的防病毒軟件。通過全方位、多層次的防病毒系統的配置，定期或不定期地動升級，保護局域網免受病毒的侵襲。

2.2.2防火墻技術

防火墻技術是建立在現代通信網絡技術和信息安全技術基礎；上的應用性安全技術，越來越多地應用于專用網絡與公用網絡的互聯環境巾，尤其以接入lnlernel網絡的局域網為典型。防火墻是網絡安全的屏障：一個防火墻能檄大地提高一個內部網絡的安全性，通過過濾不安全的服務而降低風險。南于只有經過精心選擇的應州協議才能通過防火墻，所以網絡環境變得更安全。防火墻可以強化網絡安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件如口令、加密、身份認證、審計等配置在防火墻上。對網絡存取和訪問進行監控審計：如果所有的訪問都經過防火墻，那么防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。

防火墻技術是企業內外部網絡問非常有效的一種實施訪問控制的手段，邏輯上處于內外部網之問，確保內部網絡正常安全運行的一組軟硬件的有機組合，川來提供存取控制和保密服務。存引人防火墻之后，局域網內網和外部網之問的通信必須經過防火墻進行，某局域網根據網絡決策者及網絡擘家共同決定的局域網的安全策略來設置防火墻，確定什么類型的信息可以通過防火墻。可見防火墻的職責就是根據規定的安全策略，對通過外部網絡與內部網絡的信息進行檢企，符合安全策略的予以放行，不符合的不予通過。

防火墻是一種有效的安全工具，它對外屏蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是它仍有身的缺陷，對于內部網絡之問的入侵行為和內外勾結的入侵行為很難發覺和防范，對于內部網絡之間的訪問和侵害，防火墻則得無能為力。

2.2.3漏洞掃描技術

漏洞掃描技術是要弄清楚網絡巾存在哪些安全隱患、脆弱點，解決網絡層安全問題。各種大型網絡不僅復雜而且不斷變化，僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估得很不現實。要解決這一問題，必須尋找一種能金找網絡安全漏洞、評估并提…修改建議的網絡安全掃描工具，利刖優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。存網絡安全程度要水不高的情況下，可以利用各種黑客工具對網絡實施模擬攻擊，暴露出：網絡的漏洞，冉通過相關技術進行改善。

2.2.4密碼技術

密碼技術是信息安全的核心與關鍵。密碼體制按密鑰可以分為對稱密碼、非對稱密碼、混合密碼3種體制。另外采用加密技術的網絡系統不僅不需要特殊網絡拓撲結構的支持，而且在數據傳輸過程巾也不會對所經過網絡路徑的安全程度做出要求，真正實現了網絡通信過程端到端的安全保障。非對稱密碼和混合密碼是當前網絡信息加密使川的主要技術。

信息加密技術的功能主要是保護計算機網絡系統內的數據、文件、口令和控制信息等網絡資源的安全。信息加密的方法有3種，一是網絡鏈路加密方法：目的是保護網絡系統節點之間的鏈路信息安全；二是網絡端點加密方法：目的是保護網絡源端川戶到口的川戶的數據安全；二是網絡節點加密方法：目的是對源節點到目的節點之間的傳輸鏈路提供保護川戶可以根據實際要求采川不同的加密技術。

2.2.5入侵檢測技術。

入侵檢測系統對計算機和網絡資源上的惡意使川行為進行識別和響應。入侵檢測技術同時監測來自內部和外部的人侵行為和內部剛戶的未授權活動，并且對網絡入侵事件及其過程做fIj實時響應，是維護網絡動態安全的核心技術。入侵檢測技術根據不同的分類標準分為基于行為的入侵檢測和基于知識的人侵檢測兩類。根據使用者的行為或資源使狀況的正常程度來判斷是否發生入侵的稱為基于行為的入侵檢測，運用已知的攻擊方法通過分析入侵跡象來加以判斷是否發生入侵行為稱為基于知識的入侵檢測。通過對跡象的分析能對已發生的入侵行為有幫助，并對即將發生的入侵產生警戒作用

3結語

第7篇

關鍵詞入侵檢測異常檢測誤用檢測

在網絡技術日新月異的今天，基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet，全社會信息共享已逐步成為現實。然而，近年來，網上黑客的攻擊活動正以每年10倍的速度增長。因此，保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。

1 防火墻

目前防范網絡攻擊最常用的方法是構建防火墻。

防火墻作為一種邊界安全的手段，在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問，通過監視、限制、更改通過網絡的數據流，一方面盡可能屏蔽內部網的拓撲結構，另一方面對內屏蔽外部危險站點，以防范外對內的非法訪問。然而，防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內部的襲擊。調查發現，50％的攻擊都將來自于網絡內部。

(3)由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。畢業論文 而這一點，對于層出不窮的網絡攻擊技術來說是至關重要的。

因此，在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要，網絡的防衛必須采用一種縱深的、多樣化的手段。

由于傳統防火墻存在缺陷，引發了入侵檢測IDS(Intrusion Detection System)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補充，在不影響網絡性能的情況下，通過對網絡的監測，幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高信息安全基礎結構的完整性，提供對內部攻擊、外部攻擊和誤操作的實時保護。現在，入侵檢測已經成為網絡安全中一個重要的研究方向，在各種不同的網絡環境中發揮重要作用。

2 入侵檢測

2．1 入侵檢測

入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析，從中發現違反安全策略的行為和遭到攻擊的跡象，并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵，在可能造成系統損壞或數據丟失之前，識別并驅除入侵者，使系統迅速恢復正常工作，并且阻止入侵者進一步的行動。同時，收集有關入侵的技術資料，用于改進和增強系統抵抗入侵的能力。

入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今，英語論文 已經開發出一些入侵檢測的產品，其中比較有代表性的產品有ISS(Intemet Security System)公司的Realsecure，NAI(Network Associates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2 檢測技術

入侵檢測為網絡安全提供實時檢測及攻擊行為檢測，并采取相應的防護手段。例如，實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制；攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者，進一步加強信息系統的安全力度。入侵檢測的步驟如下：

收集系統、網絡、數據及用戶活動的狀態和行為的信息

入侵檢測一般采用分布式結構，在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息，一方面擴大檢測范圍，另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。

入侵檢測所利用的信息一般來自以下4個方面：系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。

(2)根據收集到的信息進行分析

常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。

統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述，統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時，就有可能發生入侵行為。該方法的難點是閾值的選擇，閾值太小可能產生錯誤的入侵報告，閾值太大可能漏報一些入侵事件。

完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3 分類及存在的問題

入侵檢測通過對入侵和攻擊行為的檢測，查出系統的入侵者或合法用戶對系統資源的濫用和誤用。工作總結 根據不同的檢測方法，將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。

3．1 異常檢測

又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統或用戶的“正常”行為特征輪廓，通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測，是一種間接的方法。

常用的具體方法有：統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。

采用異常檢測的關鍵問題有如下兩個方面：

(1)特征量的選擇

在建立系統或用戶的行為特征輪廓的正常模型時，選取的特征量既要能準確地體現系統或用戶的行為特征，又能使模型最優化，即以最少的特征量就能涵蓋系統或用戶的行為特征。

(2)參考閾值的選定

由于異常檢測是以正常的特征輪廓作為比較的參考基準，因此，參考閾值的選定是非常關鍵的。

閾值設定得過大，那漏警率會很高；閾值設定的過小，則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。

由此可見，異常檢測技術難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實時地建立和更新系統或用戶的特征輪廓，這樣所需的計算量很大，對系統的處理性能要求很高。

3．2 誤用檢測

又稱為基于知識的檢測。其基本前提是：假定所有可能的入侵行為都能被識別和表示。首先，留學生論文 對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據已經定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為，是一種直接的方法。

常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統誤用入侵檢測方法、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。

誤用檢測是根據攻擊簽名來判斷入侵的，根據對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種，同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關系，就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助，而且對即將發生的入侵也有預警作用。

誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較，從中發現違背安全策略的行為。由于只需要收集相關的數據，這樣系統的負擔明顯減少。該方法類似于病毒檢測系統，其檢測的準確率和效率都比較高。但是它也存在一些缺點。

3．2．1 不能檢測未知的入侵行為

由于其檢測機理是對已知的入侵方法進行模式提取，對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。

3．2．2 與系統的相關性很強

對于不同實現機制的操作系統，由于攻擊的方法不盡相同，很難定義出統一的模式庫。另外，誤用檢測技術也難以檢測出內部人員的入侵行為。

目前，由于誤用檢測技術比較成熟，多數的商業產品都主要是基于誤用檢測模型的。不過，為了增強檢測功能，不少產品也加入了異常檢測的方法。

4 入侵檢測的發展方向

隨著信息系統對一個國家的社會生產與國民經濟的影響越來越大，再加上網絡攻擊者的攻擊工具與手法日趨復雜化，信息戰已逐步被各個國家重視。近年來，入侵檢測有如下幾個主要發展方向：

4．1 分布式入侵檢測與通用入侵檢測架構

傳統的IDS一般局限于單一的主機或網絡架構，對異構系統及大規模的網絡的監測明顯不足，再加上不同的IDS系統之間不能很好地協同工作。為解決這一問題，需要采用分布式入侵檢測技術與通用入侵檢測架構。

4．2應用層入侵檢測

許多入侵的語義只有在應用層才能理解，然而目前的IDS僅能檢測到諸如Web之類的通用協議，而不能處理Lotus Notes、數據庫系統等其他的應用系統。許多基于客戶／服務器結構、中間件技術及對象技術的大型應用，也需要應用層的入侵檢測保護。

4．3 智能的入侵檢測

入侵方法越來越多樣化與綜合化，盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究，但是，這只是一些嘗試性的研究工作，需要對智能化的IDS加以進一步的研究，以解決其自學習與自適應能力。

4．4 入侵檢測的評測方法

用戶需對眾多的IDS系統進行評價，評價指標包括IDS檢測范圍、系統資源占用、IDS自身的可靠性，從而設計出通用的入侵檢測測試與評估方法與平臺，實現對多種IDS的檢測。

4．5 全面的安全防御方案

結合安全工程風險管理的思想與方法來處理網絡安全問題，將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估，然后提出可行的全面解決方案。

綜上所述，入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，使網絡系統在受到危害之前即攔截和響應入侵行為，為網絡安全增加一道屏障。隨著入侵檢測的研究與開發，并在實際應用中與其它網絡管理軟件相結合，使網絡安全可以從立體縱深、多層次防御的角度出發，形成人侵檢測、網絡管理、網絡監控三位一體化，從而更加有效地保護網絡的安全。

參考文獻

l 吳新民．兩種典型的入侵檢測方法研究．計算機工程與應用，2002；38(10)：181—183

2 羅妍，李仲麟，陳憲．入侵檢測系統模型的比較．計算機應用，2001；21(6)：29～31

3 李渙洲．網絡安全與入侵檢測技術．四川師范大學學報．2001；24(3)：426—428

4 張慧敏，何軍，黃厚寬．入侵檢測系統．計算機應用研究，2001；18(9)：38—4l

第8篇

[關鍵詞] 安全模型 電子商務 網絡 局域網

一、引言

一個電子商務系統的性能如何，可以通過網絡的吞吐量、主機的運算速度、數據庫的TPC等量化指標來衡量，用戶可根據自己的業務情況、資金條件來選擇系統性能。而一個電子商務系統的安全如何，則是個難以量化的指標，“什么事情也沒有”實際上就是安全的最高境界，而“什么事情也沒有”最容易產生忽視安全問題。因此很好地解決系統的安全問題是非常重要的。

二、動態安全模型P2DR

由于網絡技術的發展和入侵技術的不斷提高，傳統的安全模式已經不能滿足當今的網絡安全需要。要達到理想的安全目標，它更應該是一個靈活可適應的過程，它必須對你的網絡提供安全狀態反饋，迅速分清攻擊和誤操作，并能夠提供適當的重新配置和響應能力。

面對不可避免的各種攻擊，系統安全的重點應放在如何在安全策略的指導下及時發現問題，然后迅速響應，P2DR模型就是這樣的一個動態安全模型，它對傳統安全模型作了很大改進，引進了時間的概念，對實現系統的安全、評價安全狀態給出了可操作性的描述。所謂動態的，是指安全隨著網絡環境的變化和技術的不斷發展進行不斷的策略調整;所謂基于時間的，是指一個黑客在到達攻擊目標之前需要攻破很多的設備(路由器，交換機)、系統(NT, UNIX)和防火墻的障礙，在黑客達到目標之前的時間，被稱之為防護時間Pt；在黑客攻擊過程中，檢測到他的活動的所用時間稱之為Dt；檢測到黑客的行為后，需要做出響應，這段時間稱之為Rt。

上圖為P2DR模型，它包含4個主要部分:Policy(安全策略)、Protection(防護)、Detection(檢測)、Response(響應)，防護、檢測和響應組成了一個完整的、動態的安全循環，在安全策略的指導下保證信息系統的安全。即:傳統的防護模式+靜態漏洞的檢測+動態威脅的及時檢測+快速的響應。

在整體的安全策略的控制和指導下，P2DR模型在綜合運用防護工具(如:防火墻、操作系統身份認證、加密等手段)的同時，利用檢測工具(如:漏洞評估、入侵檢測等系統)了解和評估系統的安全狀態，通過適當的反應將系統調整到“最安全”和“風險最低”的狀態。P2DR模型可用簡單的數學公式來描述:

1. Pt>Dt+Rt

公式中Pt表示系統為了保護安全目標設置各種保護后的防護時間，也可認為是黑客攻擊系統所花的時間。Dt表示從攻擊開始，系統能夠檢測到攻擊行為所花的時間。Pt為發現攻擊后，系統能做出足夠響應將系統調整到正常狀態的時間。

如果系統能滿足上述公式，即:防護時間Pt大于檢測時間Dt加上響應時間Rt，則認為該系統為安全的，因為它在攻擊危害系統之前就能夠檢測到并及時處理。

2.Et=Dt+Rt,IF Pt=0

公式中 表示系統的暴露時間。假定系統的防護時間Rt為0，對Web Server系統就是這樣，系統突然遭到破壞，則希望系統能快速檢測到并迅速調整到正常狀態，系統的檢測時間Dt和響應時間Rt之和就是系統的暴露時間Et，該時間越小，系統安全性越好。

由此，可得出安全的新概念：及時的檢測、響應和恢復就是安全。這樣難于量化的安全可通過指標：防護時間Rt、檢測時間Dt和響應時間Rt來衡量，延長這些指標可提高系統的安全性。

三、基于P2DR模型的安全解決方案

不同的安全應用和安全需求，會形成不同的安全解決方案，以下三種模型為典型的P2DR模型方案。

1.動態安全模型

動態安全模型(見表1)將傳統的靜態防火墻和最新的入侵檢測技術結合起來，形成動態的防御體系。

為了保護一個網絡的安全，很多企業都安裝了防火墻。防火墻在一定程度上保護我們的網絡系統不受到入侵，但一方面它只起到網關和包過濾的作用，有些固有的服務端口必須打開，比如www服務必須要把80端口打開，那么它無法阻止黑客通過80端口對內部的網絡或系統進行的攻擊，另一方面，防火墻無法阻止內部人員對內部網絡的攻擊，所以要采用實時入侵檢測系統對網絡進行實時的監控。防火墻好比一個企業的防盜門，實時入侵檢測系統好比24小時執守的保安，假如一個人員非法取得鑰匙或破門而入，防盜門無法判斷進入企業的人是壞人還是好人，而執守的保安會及時判斷這個人可不可以通過。一旦發現透過防火墻的信息包具有攻擊特征，馬上重新調整防火墻，阻止入黑客的進一步入侵。

2.主頁安全模型

主頁安全模型(見表2)將傳統的、簡單的備份和恢復機制，通過P2DR模型給予全新的描述。例如，有一個ICP的網站，為了保護主頁和一些重要的頁面被篡改，或者是被入侵者篡改后能及時恢復，首先要對這些主頁進行備份。在Web服務器在運做過程中，還需要對這些重要頁面進行監控，比如定時檢查頁面的內容是否發生改變，頁面文件的字節數是否發生變化等，一旦這些變化發生，即可判斷很可能是頁面被入侵者修改。一旦發現頁面被修改，立即把原來備份的頁面恢復(Restore)。

3.系統配置安全模型

系統配置安全模型使得用戶對自身系統的安全狀態和配置有比較準確的認識(見表3)。當我們在機器上安裝了某個系統，在正式生產(運行)之前需要對系統進行配置(Security Configuration)，比如添加用戶，授權，應用軟件的安裝及配置等等。系統經過一系列的調整及配置后，需要對它進行全面的安全評估，也就是對它進行漏洞的掃描(Vulnerability Scan)。最后根據掃描結果，對漏洞進行修補，并對系統進行重新的配置(Reconfig)。

在實際應用中，可以將這些安全模型進行有機結合，形成完整的系統安全解決方案。

四、小結

隨著Internet技術和規模的不斷發展，其應用的范圍和領域也迅速擴展，安全問題日益突出，特別是在與金融相關的領域。在滿足系統所有需求的基礎上，用傳統的方法解決安全問題，存在很多弊病。無論從時間，還是從現有的知識水平來看，我們都不可能從一開始就能將安全問題及相應的解決方案考慮得滴水不漏。安全是動態的，它隨著新技術的不斷發展而發展，它集技術、管理和法規綜合作用為一體，因此對安全問題的解決要有一個整體框架，并體現其動態性。

安全是一項系統工程，除在網絡設計、硬件和軟件配置及使用中要高度重視外，還必須建立和完善網絡安全管理制度，使管理人員和網絡用戶牢固樹立安全和法律意識，做到網絡安全管理的法制化和規范化，有效的落實安全管理制度是實現安全的關鍵。從理論上講，絕對安全的網絡是沒有的，但通過各方面的努力，可以將網絡潛在的危險性降到最低限度。

參考文獻:

[1]周松華:基于資源的電子商務自動協商模型研究[D].廣州:華南師范大學碩士學位論文,2005

[2]Frank Teuteberg, Karl Kurbel, Anticipating Agents’ Negotiation Strategies in an E-marketplace Using Belief Models. Business Informatics, 2002