㈠ 網路病毒過濾規則 國外發展趨勢
防火牆包過濾技術發展趨勢 。2. 防火牆的體系結構發展趨勢 。3. 防火牆的系統管理發展趨勢 防火牆的系統管理也有一些發展趨勢,主要體現在以下幾個方面: (1). 首先是集中式管理,分布式和分層的安全結構是將來的趨勢。集中式管理可以降低管理成本,並保證在大型網路中安全策略的一致性。快速響應和快速防禦也要求採用集中式管理系統。目前這種分布式防火牆早已在Cisco(思科)、3Com等大的網路設備開發商中開發成功,也就是目前所稱的"分布式防火牆"和"嵌入式防火牆"。關於這一新技術在本篇下面將詳細介紹。(2). 強大的審計功能和自動日誌分析功能。這兩點的應用可以更早地發現潛在的威脅並預防攻擊的發生。日誌功能還可以管理員有效地發現系統中存的安全漏洞,及時地調整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火牆通常是比較高級的,早期的靜態包過濾防火牆是不具有的(3). 網路安全產品的系統化 隨著網路安全技術的發展,現在有一種提法,叫做"建立以防火牆為核心的網路安全體系"。因為我們在現實中發現,僅現有的防火牆技術難以滿足當前網路安全需求。通過建立一個以防火牆為核心的安全體系,就可以為內部網路系統部署多道安全防線,各種安全技術各司其職,從各方面防禦外來入侵。如現在的IDS設備就能很好地與防火牆一起聯合。一般情況下,為了確保系統的通信性能不受安全設備的影響太大,IDS設備不能像防火牆一樣置於網路入口處,只能置於旁路位置。而在實際使用中,IDS的任務往往不僅在於檢測,很多時候在IDS發現入侵行為以後,也需要IDS本身對入侵及時遏止。顯然,要讓處於旁路偵聽的IDS完成這個任務又太難為,同時主鏈路又不能串接太多類似設備。在這種情況下,如果防火牆能和IDS、病毒檢測等相關安全產品聯合起來,充分發揮各自的長處,協同配合,共同建立一個有效的安全防範體系,那麼系統網路的安全性就能得以明顯提升。目前主要有兩種解決辦法:一種是直接把IDS、病毒檢測部分直接"做"到防火牆中,使防火牆具有IDS和病毒檢測設備的功能;另一種是各個產品分立,通過某種通訊方式形成一個整體,一旦發現安全事件,則立即通知防火牆,由防火牆完成過濾和報告。目前更看重後一種方案,因為它實現方式較前一種容易許多。分布式防火牆技術在前面已提到一種新的防火牆技術,即分布式防火牆技術已在逐漸興起,並在國外一些大的網路設備開發商中得到了實現,由於其優越的安全防護體系,符合未來的發展趨勢,所以這一技術一出現便得到許多用戶的認可和接受。下面我們就來介紹一下這種新型的防火牆技術。因為傳統的防火牆設置在網路邊界,外於內、外部互聯網之間,所以稱為"邊界防火牆(Perimeter Firewall)"。隨著人們對網路安全防護要求的提高,邊界防火牆明顯感覺到力不從心,因為給網路帶來安全威脅的不僅是外部網路,更多的是來自內部網路。但邊界防火牆無法對內部網路實現有效地保護,除非對每一台主機都安裝防火牆,這是不可能的。基於此,一種新型的防火牆技術,分布式防火牆(Distributed Firewalls)技術產生了。它可以很好地解決邊界防火牆以上的不足,當然不是為每對路主機安裝防火牆,而是把防火牆的安全防護系統延伸到網路中各對台主機。一方面有效地保證了用戶的投資不會很高,另一方面給網路所帶來的安全防護是非常全面的我們都知道,傳統邊界防火牆用於限制被保護企業內部網路與外部網路(通常是互聯網)之間相互進行信息存取、傳遞操作,它所處的位置在內部網路與外部網路之間。實際上,所有以前出現的各種不同類型的防火牆,從簡單的包過濾在應用層代理以至自適應代理,都是基於一個共同的假設,那就是防火牆把內部網路一端的用戶看成是可信任的,而外部網路一端的用戶則都被作為潛在的攻擊者來對待。而分布式防火牆是一種主機駐留式的安全系統,它是以主機為保護對象,它的設計理念是主機以外的任何用戶訪問都是不可信任的,都需要進行過濾。當然在實際應用中,也不是要求對網路中每對台主機都安裝這樣的系統,這樣會嚴重影響網路的通信性能。它通常用於保護企業網路中的關鍵結點伺服器、數據及工作站免受非法入侵的破壞
㈡ 計算機網路技術的問題!高手進來交流!
4~排除法做的~2是有帶這種功能的交換機的~3知道是可以劃分~因為乙太網交換機可以對通過信息進行過濾 所以利用多個乙太網交換機組成的區域網能出現環路
我說的對嗎?呵呵~我沒看你的補充問題哦
㈢ 急~~~~~~~~~計算機網路問題
作為企業用戶首選的網路安全產品,防火牆一直是用戶和廠商關注的焦點。為了能夠為
用戶從眼花繚亂的產品中選擇出滿足需求的防火牆提供客觀依據,《網路世界》評測實驗室
對目前市場上主流的防火牆產品進行了一次比較評測。
《網路世界》評測實驗室依然本著科學、客觀公正的原則,不向廠商收取費用,向所有
希望參加評測的廠商開放。
我們此次評測徵集的產品包括百兆和千兆防火牆兩個系列。此次送測產品有來自國內外
12家廠商的14款產品,其中百兆防火牆包括來自安氏互聯網有限公司的LinkTrust CyberWal
l -100Pro、方正數碼的方正方御FGFW,聯想網御2000,NetScreen-208、清華得實NetST210
4 、ServGate公司的SG300、神州數碼的DCFW-1800、天融信網路衛士NGFW4000、三星SecuiW
all 防火牆以及衛士通龍馬的龍馬衛士防火牆,千兆防火牆包括北大青鳥JB-FW1、 NetScre
en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火牆和北大青鳥JB-FW1防
火牆性能測試尚未全部完成就自行退出本次比較測試。在我們評測工程師的共同努力下,順
利完成了對其他12款產品的評測任務。
測試內容主要涵蓋性能、防攻擊能力以及功能三個方面,這其中包括按照RFC2504、RFC
2647以及我國標准進行的定量測試和定性測試。我們性能測試和防攻擊能力主要採用Spiren
t公司的SmartBits 6000B測試儀作為主要測試設備,利用SmartFlow和WebSuite Firewall測
試軟體進行測試。在測防攻擊能力時,為准確判定被攻擊方收到的包是否是攻擊包,我們還
使用NAI公司的Sniffer Pro軟體進行了抓包分析。
在功能測試方面,我們的評測工程師則以第一手的感受告訴讀者防火牆在易用性、可管
理性、VPN、加密認證以及日誌審計等多方面功能。
最後,我們還要感謝向我們提供測試工具的思博倫通信公司以及NAI公司,同時也對那些
勇於參加此次防火牆產品公開比較評測的廠商表示贊賞。
性能綜述
對於網路設備來說,性能都是率先要考慮的問題。與其他網路設備相比,防火牆的性能
一直被認為是影響網路性能的瓶頸。如何在啟動各項功能的同時確保防火牆的高性能對防火
牆來說是巨大的挑戰。
在我們測試的過程中,感受最深的一點就是由於防火牆之間體系結構和實現方式的巨大
差異性,從而也就使得不同防火牆之間的性能差異非常明顯。從防火牆的硬體體系結構來講
,目前主要有三種,一種使用ASIC體系,一種採用網路處理器(NP),還有一種也是最常見
的,採用普通計算機體系結構,各種體系結構對數據包的處理能力有著顯著的差異。防火牆
軟體本身的運行效率也會對性能產生較大影響,目前防火牆軟體平台有的是在開放式系統(
如Linux,OpenBSD)上進行了優化,有的使用自己專用的操作系統,還有的根本就沒有操作
系統。我們在進行性能測試時努力地將影響防火牆性能的因素降到最小,測試防火牆性能時
將防火牆配置為最簡單的方式:路由模式下內外網全通。
我們此次測試過程中,針對百兆與千兆防火牆的性能測試項目相同,主要包括:雙向性
能、單向性能、起NAT功能後的性能和最大並發連接數。雙向性能測試項目為吞吐量、10%線
速下的延遲、吞吐量下的延遲以及幀丟失率;單向性能測試項目包括吞吐量、10%線速下的延
遲;起NAT功能後的性能測試包括吞吐量、10%線速下的延遲。
百兆防火牆性能解析
作為用戶選擇和衡量防火牆性能最重要的指標之一,吞吐量的高低決定了防火牆在不丟
幀的情況下轉發數據包的最大速率。在雙向吞吐量中,64位元組幀,安氏領信防火牆表現最為
出眾,達到了51.96%的線速,NetsScreen-208也能夠達到44.15%,
在單向吞吐量測試中,64位元組幀長NetScreen-208防火牆成績已經達到83.60%,位居第一
,其次是方正方御防火牆,結果為71.72%。
延遲決定了數據包通過防火牆的時間。雙向10%線速的延遲測試結果表明,聯想網御200
0與龍馬衛士的數值不分伯仲,名列前茅。
幀丟失率決定防火牆在持續負載狀態下應該轉發,但由於缺乏資源而無法轉發的幀的百
分比。該指標與吞吐量有一定的關聯性,吞吐量比較高的防火牆幀丟失率一般比較低。在測
試的5種幀長度下,NetScreen-208在256、512和1518位元組幀下結果為0,64位元組幀下結果為5
7.45%。
一般來講,防火牆起NAT後的性能要比起之前的單向性能略微低一些,因為啟用NAT功能
自然要多佔用一些系統的資源。安氏領信防火牆與清華得實NetST 2104防火牆在起NAT功能後
64位元組幀的吞吐量比單向吞吐量結果略高。
最大並發連接數決定了防火牆能夠同時支持的並發用戶數,這對於防火牆來說也是一個
非常有特色也是非常重要的性能指標,尤其是在受防火牆保護的網路向外部網路提供Web服務
的情況下。天融信NGFW 4000以100萬的最大並發連接數名列榜首,而龍馬衛士防火牆結果也
達到80萬。
我們的抗攻擊能力測試項目主要通過SmartBits 6000B模擬7種主要DoS攻擊。我們還在防
攻擊測試中試圖建立5萬個TCP/HTTP連接,考察防火牆在啟動防攻擊能力的同時處理正常連接
的能力。
Syn Flood目前是一種最常見的攻擊方式,防火牆對它的防護實現原理也不相同,比如,
安氏領信防火牆與NetScreen-208採用SYN代理的方式,在測試這兩款防火牆時我們建立的是
50000個TCP連接背景流,兩者能夠過濾掉所有攻擊包。SG-300、聯想網御2000在正常建立TC
P/HTTP連接的情況下防住了所有攻擊包。大多數防火牆都能夠將Smurf、Ping of Death和La
nd-based三種攻擊包全部都過濾掉。
Teardrop攻擊測試將合法的數據包拆分成三段數據包,其中一段包的偏移量不正常。對
於這種攻擊,我們通過Sniffer獲得的結果分析防火牆有三種防護方法,一種是將三段攻擊包
都丟棄掉,一種是將不正常的攻擊包丟棄掉,而將剩餘的兩段數據包組合成正常的數據包允
許穿過防火牆,還有一種是將第二段丟棄,另外兩段分別穿過防火牆,這三種方式都能有效
防住這種攻擊。實際測試結果顯示方正方御、安氏領信、SG-300、龍馬衛士屬於第一種情況
,神州數碼DCFW-1800、得實NetST2104、聯想網御2000屬於第二種情況,Netscreen-208屬於
第三種情況。
對於Ping Sweep和Ping Flood攻擊,所有防火牆都能夠防住這兩種攻擊,SG-300防火牆
過濾掉了所有攻擊包,而方正方御防火牆只通過了1個包。雖然其餘防火牆或多或少地有一些
ping包通過,但大部分攻擊包都能夠被過濾掉,這種結果主要取決於防火牆軟體中設定的每
秒鍾通過的ping包數量。
千兆防火牆性能結果分析
由於千兆防火牆主要應用於電信級或者大型的數據中心,因此性能在千兆防火牆中所佔
的地位要比百兆防火牆更加重要。總的來說,三款千兆防火牆之間的差異相當大,但性能結
果都明顯要高於百兆防火牆。
雙向吞吐量測試結果中,NetScreen-5200 64、128、256、512、1518位元組幀結果分別為
58.99%、73.05%、85.55%、94.53%、97.27%線速。千兆防火牆的延遲與百兆防火牆相比降低
都十分明顯,NetScreen-5200的雙向10%線速下的延遲相當低,64位元組幀長僅為4.68祍,1518?紙謚〕さ囊倉揮?4.94祍。起NAT功能後,NetScreen-5200防火牆64位元組幀長的吞吐量為62.
5%。由於ServGate SG2000H不支持路由模式,所有隻測了NAT 結果,該防火牆在1518位元組幀
長達到了100%線速。阿姆瑞特F600+起NAT功能對其性能影響很小。最大並發連接數的測試結
果表明,NetScreen-5200防火牆達到100萬。
在防攻擊能力測試中, 三款千兆防火牆對於Smurf和Land-based攻擊的防護都很好,沒
有一個攻擊包通過防火牆。對於Ping of Death攻擊, NetScreen-5200和阿姆瑞特F600+防火
牆丟棄了所有的攻擊包,SG2000H防火牆測試時對發送的45個攻擊包,丟棄了後面的兩個攻擊
包,這樣也不會對網路造成太大的危害。在防護Teardrop攻擊時,F600+防火牆丟棄了所有的
攻擊包,ServGate-2000防火牆只保留了第一個攻擊包,NetSreen-5200防火牆則保留了第一
和第三個攻擊包,這三種情況都能夠防護該攻擊。阿姆瑞特F600+和SG2000H在PingSweep攻擊
測試結果為1000個攻擊包全都過濾掉。
功能綜述
在我們此次測試防火牆的過程中,感受到了不同防火牆產品之間的千差萬別,並通過親
自配置體會到防火牆在易用性、管理性以及日誌審計等方面的各自特色。
包過濾、狀態檢測和應用層代理是防火牆主要的三種實現技術,從此次參測的防火牆產
品中我們可以明顯地看到狀態檢測或將狀態檢測與其他兩種技術混合在一起是主流的實現原
理。
在工作方式方面,大部分防火牆都支持路由模式和橋模式(透明模式),來自ServGate
公司的SG300和SG2000H,其工作方式主要是橋模式和 NAT模式,沒有一般產品所具有的路由
模式。天融信NGFW 4000和衛士通龍馬的龍馬衛士防火牆還支持混合模式。
百兆防火牆
與交換機走向融合?
當我們拿到要測試的防火牆時,有一個非常直觀的感覺是防火牆不再只是傳統的三個端
口,正在朝向多個埠方向發展,帶有4個埠的防火牆非常常見,我們都知道三個埠是用
來劃分內網、外網和DMZ區,那麼增加的第4個埠有什麼用呢?不同產品差別很大,但以用
作配置管理的為主,安氏的防火牆將該埠作為與IDS互動的埠,比較獨特。像天融信網路
衛士NGFW4000則可以最多擴展到12個埠,Netscreen-208有8個固定埠,Netscreen-5200
則是模塊化的千兆防火牆,可以插帶8個miniGBIC 1000Base-SX/LX千兆埠或24個百錐絲?的模塊,這顯示了防火牆與交換機融合的市場趨勢。
對DHCP協議的支持方面,防火牆一般可以作為DHCP信息的中繼代理,安氏領信防火牆、
清華得實NetST2104、天融信NGFW4000都有這個功能。而Netscreen-208、SG300還可以作為D
HCP 伺服器和客戶端,這是非常獨特的地方。
在VLAN支持方面,Netscreen防火牆又一次顯示了強大的實力。與交換機類似,Netscre
en-208支持每個埠劃分為子埠,每個子埠屬於不同的VLAN,支持802.1Q,並且不同子
埠還可以屬於不同區域。安氏領信、聯想網御2000、天融信NGFW4000防火牆則有相應選項
支持VLAN,主要支持802.1Q和Cisco的ISL。
管理特色凸現
管理功能是一個產品是否易用的重要標志,對此我們考察了防火牆對管理員的許可權設置
、各種管理方式的易用性以及帶寬管理特性。
不同的防火牆對管理員的許可權分級方式不同,但總的來說,不同的管理員許可權在保護防
火牆的信息的同時,通過三權分立確保了防火牆的管理者職責分明,各司其職。方正方御FG
FW通過實施域管理權、策略管理、審計管理、日誌查看四個不同許可權對管理員許可權進行限制
。
目前,對防火牆的管理一般分為本地管理和遠程管理兩種方式,具體來說,主要包括串
口命令行、Telnet、GUI管理工具以及Web管理。總的來講,像Netscreen-208、神州數碼防火
牆支持命令行、Telnet、GUI管理工具以及Web管理這幾種方式,非常方便用戶從中選擇自己
喜歡的方式。但我們在測試過程中發現不少防火牆的命令行比較難懂,對於很多用戶來說使
用會比較困難,而安氏、Netscreen-208、天融信、清華得實防火牆的命令行方式比較簡潔明
了,這為喜歡用命令行進行防火牆配置的用戶來說帶來了便捷。當然,很多防火牆的CLI命令
功能比較簡單,主要功能還是留給了GUI管理軟體,方正、聯想防火牆是非常典型的例子。
從易用性的角度來講,Web管理是最好的方式。安氏、Netscreen-208的Web管理界面給我
們留下了最深刻的印象,漂亮的界面以及非常清晰的菜單選項可以使用戶輕松配置管理防火
牆的各方面,同時Web管理一般都支持基於SSL加密的HTTPS方式訪問。當然,對於要集中管理
多台防火牆來說,GUI管理軟體應該是不錯的選擇。聯想網御2000、天融信、清華得實、方正
方御的GUI管理軟體安裝和使用都比較容易。
帶寬管理正在成為防火牆中必不可少的功能,通過帶寬管理和流量控制在為用戶提供更
好服務質量、防止帶寬浪費的同時也能夠有效防止某些攻擊。此次送測的9款百兆防火牆都支
持帶寬管理。比如神州數碼DCFW-1800防火牆能夠實時檢測用戶流量,對不同的用戶,每天分
配固定的流量,當流量達到時切斷該用戶的訪問。龍馬衛士防火牆通過支持基於IP和用戶的
流量控制實現對防火牆各個介面的帶寬控制。
VPN和加密認證
防火牆與VPN的集成是一個重要發展方向。此次參測的防火牆中安氏領信防火牆、方正網
御FGFW、Netscreen-208、SG300、清華得實NetST 2104、龍馬衛士防火牆這6款防火牆都有
VPN功能或VPN模塊。作為構建VPN最主要的協議IPSec,這6款防火牆都提供了良好的支持。
安氏領信防火牆的VPN模塊在對各種協議和演算法的方面支持得非常全面,包括DES、3DES
、AES、CAST、BLF、RC2/R4等在內的主流加密演算法都在該產品中得到了支持。主要的認證算
法MD5在6款防火牆中都得到了較好支持。不同加密演算法與認證演算法的組合將會產生不同的算
法,如3DES-MD5就是3DES加密演算法和MD5演算法的組合結果。安氏和NetScreen-208能夠很好地
支持這種不同演算法之間的組合。 方正網御、清華得實NetST2104和衛士通龍馬的龍馬衛士防
火牆則以支持國家許可專用加密演算法而具有自己的特點。當然,加密除了用於VPN之外,遠程
管理、遠程日誌等功能通過加密也能夠提升其安全性。
在身份認證方面,防火牆支持的認證方法很重要。安氏領信防火牆支持本地、RADIUS、
SecureID、NT域、數字證書、MSCHAP等多種認證方式和標准,這也是所有參測防火牆中支持
得比較全的。非常值得一提的是聯想網御2000所提供的網御電子鑰匙。帶USB介面的電子鑰匙
主要用來實現管理員身份認證,認證過程採用一次性口令(OTP)的協議SKEY,可以抵抗網路竊
聽。
防禦功能
防火牆本身具有一定的防禦功能指的是防火牆能夠防止某些攻擊、進行內容過濾、病毒
掃描,使用戶即使沒有入侵檢測產品和防病毒產品的情況下也能夠通過防火牆獲得一定的防
護能力。
在病毒掃描方面,表現最突出的當屬聯想網御2000,它集成了病毒掃描引擎,具有防病
毒網關的作用,能夠實時監控HTTP、FTP、SMTP數據流,使各種病毒和惡意文件在途徑防火牆
時就被捕獲。
在內容過濾方面,大部分防火牆都支持URL過濾功能,可有效防止對某些URL的訪問。清
華得實NetST2104、安氏防火牆內置的內容過濾模塊,為用戶提供對HTTP、FTP、SMTP、POP3
協議內容過濾,能夠針對郵件的附件文件類型進行過濾。聯想網御2000還支持郵件內容過濾
的功能。
在防禦攻擊方面,Netscreen-208、方正方御、聯想網御2000、SG300以及安氏領信防火
牆則對Syn Flood、針對ICMP的攻擊等多種DoS攻擊方式有相應的設置選項,用戶可以自主設
置實現對這些攻擊的防護。安氏領信防火牆除了本身帶有入侵檢測模塊之外,還有一個專門
埠與IDS互動。天融信NGFW 4000則通過TOPSEC協議與其他入侵檢測或防病毒產品系統實現
互動,以實現更強勁的防攻擊能力。
安全特性
代理機制通過阻斷內部網路與外部網路的直接聯系,保證了內部網的拓撲結構等重要信
息被限制在代理網關的內側。
參測的百兆防火牆大都能夠支持大多數應用層協議的代理功能,包括HTTP、SMTP、POP3
、FTP等,從而能夠屏蔽某些特殊的命令,並能過濾不安全的內容。
NAT通過隱藏內部網路地址,使其不必暴露在Internet上 從而使外界無法直接訪問內部
網路設備,而內部網路通過NAT以公開的IP地址訪問外部網路,從而可以在一定程度上保護內
部網路。另一方面,NAT也解決了目前IP地址資源不足的問題。此次參測的防火牆對於NAT都
有較強的支持功能,雖然大家叫的名稱不同,但主要方式包括一對一、多對一NAT、多對多N
AT以及埠NAT。
高可用性
負載均衡的功能現在在防火牆身上也開始有所體現,Netscreen-208支持防火牆之間的負
載分擔,而其他防火牆則支持伺服器之間的負載均衡。
目前用戶對於防火牆高可用性的需求越來越強烈。此次參測的9款百兆防火牆都支持雙機
熱備的功能。Netscreen-208可以將8個埠中設定一個埠作為高可用埠,實現防火牆之
間的Active-Active高可用性。
日誌審計和警告功能
防火牆日誌處理方式主要包括本地和遠程兩種。但由於防火牆在使用過程中會產生大量
的日誌信息,為了在繁多的日誌中進行查詢和分析,有必要對這些日誌進行審計和管理,同
時防火牆存儲空間較小,因此單獨安裝一台伺服器用來存放和審計管理防火牆的各種日誌都
非常必要。
安氏、方正防禦、聯想網御2000、清華得實NetST2104、神州數碼DCFW-1800、天融信NG
FW4000以及龍馬衛士防火牆都提供了日誌管理軟體實現對日誌伺服器的配置和管理,可以利
用管理軟體對日誌信息進行查詢、統計和提供審計報表。而NetScreen-208支持多種日誌服務
器的存儲方式,包括Internal、Syslog、WebTrends、flash卡等。
當日誌中監測到系統有可疑的行為或網路流量超過某個設定閾值時,根據設定的規則,
防火牆應該向管理員發出報警信號。安氏、Netscreen-208在警告通知方式方面支持E-mail、
Syslog、SNMP trap等。而方正方御則支持通過LogService消息、E-mail、聲音、無線、運行
報警程序等方式進行報警。
對日誌進行分級和分類將非常有利於日誌信息的查詢以及處理。安氏、NetScreen-208、
天融信NGFW4000以及衛士通龍馬的龍馬衛士防火牆支持不同等級的日誌。龍馬衛士防火牆將
日誌級別分為調試信息、消息、警告、錯誤、嚴重錯誤5種級別。NetScreen-208則將日誌分
為負載日誌、事件日誌、自我日誌三種,事件日誌分為8個不同等級。
優秀的文檔很關鍵
大部分防火牆產品都附帶有詳細的印刷文檔或電子文檔。給我們留下深刻印象的是聯想
、方正與安氏防火牆的印刷文檔非常精美全面,內容涵蓋了主流的防火牆技術以及產品的詳
細配置介紹,還舉了很多實用的例子幫助用戶比較快地配好防火牆,使用各種功能。得實Ne
tST 2104防火牆用戶手冊、天融信NGFW 4000電子文檔都對CLI命令進行了詳細解釋,非常有
利於那些習慣使用命令行進行配置的防火牆管理員使用。Netscreen網站上有非常完整的用戶
手冊,但缺憾在於它們全部是英文的。
千兆防火牆
此次總共收集到4款千兆防火牆產品,但北大青鳥在性能測試尚未完成時就自行退出,所
以共測試完成了三款千兆防火牆,它們都是來自國外廠商的產品: NetScreen-5200、阿姆瑞
特F600+和ServGate SG2000H。NetScreen-5200是採用ASIC處理器的代表,而SG2000H則是采
用網路處理器的例子。
從實現原理來看,三者都主要是基於狀態檢測技術,而在工作方式上,NetScreen-5200
、阿姆瑞特F600+主要支持路由模式和橋模式,而ServGate SG2000H則支持橋模式和NAT模式
。
F600+支持DHCP中繼代理,而NetScreen-5200可以作為DHCP伺服器、客戶端或中繼代理。
在VLAN支持方面,NetScreen-5200的每個埠可以設定不同子埠,每個子埠可以支持不
同的VLAN,可以非常容易集成到交換網路中。據稱,該設備能夠支持4000個VLAN。F600+與S
G2000H也支持802.1Q VLAN。而且,還有一點可以指出的是NetScreen-5200支持OSPF、BGP路
由協議。
從管理上來看,NetScreen-5200和SG2000H主要通過Web和命令行進行管理。而F600+則主
要通過在客戶端安裝GUI管理軟體來進行管理,串口CLI命令功能很簡單。從配置上來說,Ne
tScreen-5200配置界面非常美觀,菜單清晰,並提供了向導可以指導用戶快速配置一些策略
和建立VPN通道。SG2000H功能也比較強大,但配置起來比較復雜一點。阿姆瑞特的F600+在安
裝Armarenten管理器的同時還將其中文快速安裝手冊以及中文用戶指南都安裝上,非常方便
用戶使用,而該管理軟體與防火牆之間則通過128位加密進行通信,有利於對多台防火牆
的管理。
在帶寬管理上,F600+很有特色,它通過「管道」概念實現,每個管道可以具有優先順序、
限制和分組等特點,可以給防火牆規則分配一個或多個管道,還可以動態分配不同管道的帶
寬。NetScreen-5200則支持對不同埠分配帶寬以及根據不同應用在策略中設定優先順序控制
進出的網路流量。
在VPN支持方面,NetScreen-5200不僅支持通過IPSec、L2TP和IKE建立VPN隧道,還支持
DES、3DES、AES加密演算法和MD5 、SHA-1認證演算法。F600+支持通過IPSec建立VPN,而SG2000
H未加VPN模塊。在認證方法上,只有Netscreen-5200支持內置資料庫、RADIUS、SecurID和L
DAP。
F600+還有一個非常顯著的特點就是提供了一個功能強大的日誌管理器,它雖然不支持在
防火牆中記錄日誌,但能夠在防火牆管理器中實時顯示日誌數據,還支持Syslog 日誌伺服器
,提供靈活的審計報表,並將日誌進行分類。NetScreen-5200和SG2000H在日誌報表和審計報
表方面都支持著名的WebTrends軟體和Syslog日誌伺服器,NetScreen還支持將日誌通過flas
h卡、NetScreen Global Pro等方式進行處理。
㈣ 計算機網路信息安全及防範措施有哪些
1. 完整性
指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性,即保持信息原樣性,使信息能正確生成、存儲、傳輸,這是最基本的安全特徵。
2. 保密性
指信息按給定要求不泄漏給非授權的個人、實體或過程,或提供其利用的特性,即杜絕有用信息泄漏給非授權個人或實體,強調有用信息只被授權對象使用的特徵。
3. 可用性
指網路信息可被授權實體正確訪問,並按要求能正常使用或在非正常情況下能恢復使用的特徵,即在系統運行時能正確存取所需信息,當系統遭受攻擊或破壞時,能迅速恢復並能投入使用。可用性是衡量網路信息系統面向用戶的一種安全性能。
4. 不可否認性
指通信雙方在信息交互過程中,確信參與者本身,以及參與者所提供的信息的真實同一性,即所有參與者都不可能否認或抵賴本人的真實身份,以及提供信息的原樣性和完成的操作與承諾。
5. 可控性
指對流通在網路系統中的信息傳播及具體內容能夠實現有效控制的特性,即網路系統中的任何信息要在一定傳輸范圍和存放空間內可控。除了採用常規的傳播站點和傳播內容監控這種形式外,最典型的如密碼的託管政策,當加密演算法交由第三方管理時,必須嚴格按規定可控執行。
1、登陸路由器,然後可以找到「安全設置」,然後再找到「IP地址過濾」,然後這里可以設置區域網IP地址、禁止訪問的埠和協議等,如下圖所示
7、顯示捕獲的報文情況,包括公網IP地址、埠、協議和DNS解析可以點擊右下角的「導出列表」,然後就可以將這些信息導出為文本(在安裝目錄下面的BandInfo),然後你就可以將這些IP地址、埠和協議添加到聚生網管的ACL訪問控制列表,從而實現了自主化的、針對性的網路應用的封堵,從而實現了更為精細的網路管理。
總之,禁止區域網電腦訪問公網IP地址、禁止埠訪問的方法很多,路由器和網路管理軟體在一定程度上都可以實現。不過,針對國內企業而言,通過專業的網路管理軟體更為便捷和有效,畢竟有些網路應用的伺服器IP地址眾多、通訊埠也多種多樣,很難通過單一的ACL訪問控制列表封堵完全,而網路管理軟體通常已經集成了對主流網路應用,如股票軟體、P2P軟體、聊天軟體、網路游戲的封堵功能,從而可以更加便利網路管理,尤其是企業沒有專業網管員的情況下,點點滑鼠就可以實現全方位的網路管理軟體,更為簡單和高效。
㈥ 計算機網路安全問題及防範措施
對計算機信息構成不安全的因素很多, 其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網路存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬體設備、編制計算機病毒。人為因素是對計算機信息網路安全威脅最大的因素,垃圾郵件和間諜軟體也都在侵犯著我們的計算機網路。計算機網路不安全因素主要表現在以下幾個方面:
1、 計算機網路的脆弱性
互聯網是對全世界都開放的網路,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網路安全提出了挑戰。互聯網的不安全性主要有以下幾項:
(1)網路的開放性,網路的技術是全開放的,使得網路所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊,或是來自對網路協議的攻擊,以及對計算機軟體、硬體的漏洞實施攻擊。
(2)網路的國際性,意味著對網路的攻擊不僅是來自於本地網路的用戶,還可以是互聯網上其他國家的黑客,所以,網路的安全面臨著國際化的挑戰。
(3)網路的自由性,大多數的網路對用戶的使用沒有技術上的約束,用戶可以自由地上網,發布和獲取各類信息。
2、操作系統存在的安全問題
操作系統是作為一個支撐軟體,使得你的程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟體資源和硬體資源。操作系統軟體自身的不安全性,系統開發設計的不周而留下的破綻,都給網路安全留下隱患。
(1)操作系統結構體系的缺陷。操作系統本身有內存管理、CPU 管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序裡面存在問題,比如內存管理的問題,外部網路的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是伺服器系統立刻癱瘓。
(2)操作系統支持在網路上傳送文件、載入或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網路很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那麼系統可能就會造成崩潰。像這些遠程調用、文件傳輸,如果生產廠家或個人在上面安裝間諜程序,那麼用戶的整個傳輸過程、使用過程都會被別人監視到,所有的這些傳輸文件、載入的程序、安裝的程序、執行文件,都可能給操作系統帶來安全的隱患。所以,建議盡量少使用一些來歷不明,或者無法證明它的安全性的軟體。
(3)操作系統不安全的一個原因在於它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端伺服器上安裝「間諜」軟體的條件。若將間諜軟體以打補丁的方式「打」在一個合法用戶上,特別是「打」在一個特權用戶上,黑客或間諜軟體就可以使系統進程與作業的監視程序監測不到它的存在。
(4)操作系統有些守護進程,它是系統的一些進程,總是在等待某些事件的出現。所謂守護進程,比如說用戶有沒按鍵盤或滑鼠,或者別的一些處理。一些監控病毒的監控軟體也是守護進程,這些進程可能是好的,比如防病毒程序,一有病毒出現就會被撲捉到。但是有些進程是一些病毒,一碰到特定的情況,比如碰到5月1日,它就會把用戶的硬碟格式化,這些進程就是很危險的守護進程,平時它可能不起作用,可是在某些條件發生,比如5月1日,它才發生作用,如果操作系統有些守護進程被人破壞掉就會出現這種不安全的情況。
(5)操作系統會提供一些遠程調用功能,所謂遠程調用就是一台計算機可以調用遠程一個大型伺服器裡面的一些程序,可以提交程序給遠程的伺服器執行,如telnet。遠程調用要經過很多的環節,中間的通訊環節可能會出現被人監控等安全的問題。
(6)操作系統的後門和漏洞。後門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。在軟體開發階段,程序員利用軟體的後門程序得以便利修改程序設計中的不足。一旦後門被黑客利用,或在發布軟體前沒有刪除後門程序,容易被黑客當成漏洞進行攻擊,造成信息泄密和丟失。此外,操作系統的無口令的入口,也是信息安全的一大隱患。
(7)盡管操作系統的漏洞可以通過版本的不斷升級來克服, 但是系統的某一個安全漏洞就會使得系統的所有安全控制毫無價值。當發現問題到升級這段時間,一個小小的漏洞就足以使你的整個網路癱瘓掉。
3、資料庫存儲的內容存在的安全問題
資料庫管理系統大量的信息存儲在各種各樣的資料庫裡面,包括我們上網看到的所有信息,資料庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少。例如:授權用戶超出了訪問許可權進行數據的更改活動;非法用戶繞過安全內核,竊取信息。對於資料庫的安全而言,就是要保證數據的安全可靠和正確有效,即確保數據的安全性、完整性。數據的安全性是防止資料庫被破壞和非法的存取;資料庫的完整性是防止資料庫中存在不符合語義的數據。
4 、防火牆的脆弱性
防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與網之間的界面上構造的保護屏障.它是一種硬體和軟體的結合,使Internet 與Intranet 之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入。
但防火牆只能提供網路的安全性,不能保證網路的絕對安全,它也難以防範網路內部的攻擊和病毒的侵犯。並不要指望防火牆靠自身就能夠給予計算機安全。防火牆保護你免受一類攻擊的威脅,但是卻不能防止從LAN 內部的攻擊,若是內部的人和外部的人聯合起來,即使防火牆再強,也是沒有優勢的。它甚至不能保護你免受所有那些它能檢測到的攻擊。隨著技術的發展,還有一些破解的方法也使得防火牆造成一定隱患。這就是防火牆的局限性。
5、其他方面的因素
計算機系統硬體和通訊設施極易遭受到自然的影響,如:各種自然災害(如地震、泥石流、水災、風暴、物破壞等)對構成威脅。還有一些偶發性因素,如電源故障、設備的機能失常、軟體開發過程中留下的某些漏洞等,也對計算機網路構成嚴重威脅。此外不好、規章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機信息安全造成威脅。
計算機網路安全的對策,可以從一下幾個方面進行防護:
1、 技術層面對策
對於技術方面,計算機網路安全技術主要有實時掃描技術、實時監測技術、防火牆、完整性保護技術、病毒情況分析報告技術和系統安全管理技術。綜合起來,技術層面可以採取以下對策:
(1)建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業修養。對重要部門和信息,嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法。
(2)網路訪問控制。訪問控制是網路安全防範和保護的主要策略。它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
(3)資料庫的備份與恢復。資料庫的備份與恢復是資料庫管理員維護數據安全性和完整性的重要操作。備份是恢復資料庫最容易和最能防止意外的保證方法。恢復是在意外發生後利用備份來恢復數據的操作。有三種主要備份策略:只備份資料庫、備份資料庫和事務日誌、增量備份。
(4)應用密碼技術。應用密碼技術是信息安全核心技術,密碼手段為信息安全提供了可靠保證。基於密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。
(5)切斷途徑。對被感染的硬碟和計算機進行徹底殺毒處理,不使用來歷不明的U 盤和程序,不隨意下載網路可疑信息。
(6)提高網路反病毒技術能力。通過安裝病毒防火牆,進行實時過濾。對網路伺服器中的文件進行頻繁掃描和監測,在工作站上採用防病毒卡,加強網路目錄和文件訪問許可權的設置。在網路中,限制只能由伺服器才允許執行的文件。
(7)研發並完善高安全的操作系統。研發具有高安全的操作系統,不給病毒得以滋生的溫床才能更安全。
2、管理層面對策
計算機網路的安全管理,不僅要看所採用的安全技術和防範措施,而且要看它所採取的管理措施和執行計算機安全保護、法規的力度。只有將兩者緊密結合,才能使計算機網路安全確實有效。
計算機網路的安全管理,包括對計算機用戶的安全、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網路的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
這就要對計算機用戶不斷進行法制教育,包括計算機安全法、計算機犯罪法、保密法、數據保護法等,明確計算機用戶和系統管理人員應履行的權利和義務,自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭,維護計算機及網路系統的安全,維護信息系統的安全。除此之外,還應教育計算機用戶和全體工作人員,應自覺遵守為維護系統安全而建立的一切規章制度,包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。
3、安全層面對策
要保證計算機網路系統的安全、可靠,必須保證系統實體有個安全的物理環境條件。這個安全的環境是指機房及其設施,主要包括以下內容:
(1)計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標准。
(2)機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地,要注意其外部環境安全性、可靠性、場地抗電磁干擾性,避開強振動源和強雜訊源,並避免設在建築物高層和用水設備的下層或隔壁。還要注意出入口的管理。
(3)機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網路設施、重要數據而採取的安全措施和對策。為做到區域安全,首先,應考慮物理訪問控制來識別訪問用戶的身份,並對其合法性進行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機系統中心設備外設多層安全防護圈,以防止非法暴力入侵;第四設備所在的建築物應具有抵禦各種自然災害的設施。
㈦ 關於計算機網路的問題!
防止IIS
的入侵:
IIS的入侵一般是埠或者竊取合法用戶名進行入侵,解決方案:IIS安全可以從以下4個方面入手
1.檢查IP
或者域名
2.檢查身份驗證
3.主目錄許可權
4.NTFS許可權
建議還是採用PKI
對IIS數據進心加密
Telnet
的入侵也是通過竊取你計算機的合法用戶名,
建議盡量少用Telnet進行遠程連接.最好不要開啟3389埠.如果實在是要進行Telnet連接
可以採用其他軟體代替Telnet
比如說
LINUX的
SSH
相當不錯
入侵檢測系統:分為2種
基於主機的入侵檢測
和基於網路的入侵檢測,不過說到基本策略,我用Snort為例,入侵檢測系統和殺毒軟體的工作原理是差不多的,在入侵檢測系統裡面集成了很多入侵的策略,通過監視數據包來比對系統本身集成的策略來報警.
防火牆由:
1.包過濾型防火牆(工作在網路層)相當於路由器的ACL
2.代理型防火牆(應用層防火牆)主要對協議和埠進行過濾
3.狀態檢測型防火牆(網路層)由包過濾型防火牆發展而來
㈧ 現在的網路環境存在怎樣的安全問題
一、網路安全概述
以Internet為代表的全球性信息化浪潮日益深刻,信息網路技術的應用正日益普及和廣泛,應用層次正在深入,應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,典型的如黨政部門信息系統、金融業務系統、企業商務系統等。伴隨網路的普及,安全日益成為影響網路效能的重要問題,而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求,這主要表現在:開放性的網路,導致網路的技術是全開放的,任何一個人、團體都可能獲得,因而網路所面臨的破壞和攻擊可能是多方面的,例如:可能來自物理傳輸線路的攻擊,也可以對網路通信協議和實現實施攻擊;可以是對軟體實施攻擊,也可以對硬體實施攻擊。國際性的一個網路還意味著網路的攻擊不僅僅來自本地網路的用戶,它可以來自Internet上的任何一台機器,也就是說,網路安全所面臨的是一個國際化的挑戰。自由意味著網路最初對用戶的使用並沒有提供任何的技術約束,用戶可以自由地訪問網路,自由地使用和發布各種類型的信息。用戶只對自己的行為負責,而沒有任何的法律限制。
盡管開放的、自由的、國際化的Internet的發展給政府機構、企事業單位帶來了革命性的改革和開放,使得他們能夠利用Internet提高辦事效率和市場反應能力,以便更具競爭力。通過Internet,他們可以從異地取回重要數據,同時又要面對Internet開放帶來的數據安全的新挑戰和新危險。如何保護企業的機密信息不受黑客和工業間諜的入侵,已成為政府機構、企事業單位信息化健康發展所要考慮的重要事情之一。
1. 什麼是安全
安全包括五個要素:機密性、完整性、可用性、可控性與可審查性。
· 機密性:確保信息不暴露給未授權的實體或進程。
· 完整性:只有被允許的人才能修改數據,並能夠判別出數據是否已被篡改。
· 可用性:得到授權的實體在需要時可訪問數據,即攻擊者不能佔用所有的資源而阻礙授權者的工作。
· 可控性:可以控制授權范圍內的信息流向及行為方式。
· 可審查性:對出現的網路安全問題提供調查的依據和手段。
2. 安全威脅
一般認為,目前網路存在的威脅主要表現在:
· 利用網路傳播病毒:通過網路傳播計算機病毒,其破壞性大大高於單機系統,而且用戶很難防範。
· 非授權訪問:沒有預先經過同意,就使用網路或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網路設備及資源進行非正常使用,或擅自擴大許可權,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。
· 信息泄漏或丟失:指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括,信息在傳輸中丟失或泄漏(如「黑客」們利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、賬號等重要信息。),信息在存儲介質中丟失或泄漏,通過建立隱蔽隧道等竊取敏感信息等。
· 破壞數據完整性:以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益於攻擊者的響應;惡意添加,修改數據,以干擾用戶的正常使用。
· 拒絕服務攻擊:它不斷對網路服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網路系統或不能得到相應的服務。
3. 安全服務、機制與技術
· 安全服務:包括服務控制服務、數據機密性服務、數據完整性服務、對象認證服務、防抵賴服務 。
· 安全機制:包括訪問控制機制、加密機制、認證交換機制、數字簽名機制、防業務流分析機制、路由控制機制 。
· 安全技術:包括防火牆技術、加密技術、鑒別技術、數字簽名技術、審計監控技術、病毒防治技術 。
在安全的開放環境中,用戶可以使用各種安全應用。安全應用由一些安全服務來實現;而安全服務又是由各種安全機制或安全技術實現的。應當指出,同一安全機制有時也可以用於實現不同的安全服務。
4. 安全工作目的
安全工作的目的就是為了在安全法律、法規、政策的支持與指導下,通過採用合適的安全技術與安全管理措施,完成以下任務:
· 使用訪問控制機制,阻止非授權用戶進入網路,即「進不來」,從而保證網路系統的可用性。
· 使用授權機制,實現對用戶的許可權控制,即不該拿走的「拿不走」,同時結合內容審計機制,實現對網路資源及信息的可控性。
· 使用加密機制,確保信息不暴露給未授權的實體或進程,即「看不懂」,從而實現信息的保密性。
· 使用數據完整性鑒別機制,保證只有得到允許的人才能修改數據,而其它人「改不了」,從而確保信息的完整性。
· 使用審計、監控、防抵賴等安全機制,使得攻擊者、破壞者、抵賴者「走不脫」,並進一步對網路出現的安全問題提供調查依據和手段,實現信息安全的可審查性。
二、網路安全問題分析
網路面臨的威脅大體可分為對網路中數據信息的危害和對網路設備的危害,我們這里主要研究的是前者。具體來說,危害網路安全的主要威脅有:非授權訪問,即對網路設備及信息資源進行非正常使用或越權使用等;冒充合法用戶,即利用各種假冒或欺騙的手段非法獲得合法用戶的使用許可權,以達到佔用合法用戶資源的目的;破壞數據的完整性,即使用非法手段,刪除、修改、重發某些重要信息,以干擾用戶的正常使用;干擾系統正常運行。指改變系統的正常運行方法,減慢系統的響應時間等手段;病毒與惡意攻擊,即通過網路傳播病毒或惡意Java、XActive等。
除此之外,Internet非法內容也形成了對網路的另一大威脅。有關部門統計顯示,有30%-40%的Internet訪問是與工作無關的,甚至有的是去訪問色情、暴力、反動等站點。在這樣的情況下,Internet資源被嚴重浪費。尤其對教育網來說,面對形形色色、良莠不分的網路資源,如不具有識別和過濾作用,不但會造成大量非法內容或郵件出入,佔用大量流量資源,造成流量堵塞、上網速度慢等問題,而且某些不良網站含有暴力、色情、反動消息等內容,將極大地危害青少年的身心健康。
三、網路安全策略
通過對網路的全面了解,按照安全策略的要求及風險分析的結果,整個網路措施應按系統體系建立,具體的安全控制系統由以下幾個方面組成: 物理安全、網路安全、信息安全。
1. 物理安全
保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提。物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面:
環境安全:對系統所在環境的安全保護,如區域保護和災難保護;
設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;
媒體安全:包括媒體數據的安全及媒體本身的安全。
顯然,為保證信息網路系統的物理安全,除在網路規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米,這給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上採取一定的防護措施,來減少或干擾擴散出去的空間信號。
2. 網路安全
網路安全,包括:系統(主機、伺服器)安全、反病毒、系統安全檢測、審計分析網路運行安全、備份與恢復、區域網與子網安全、訪問控制(防火牆)、網路安全檢測、入侵檢測。
3. 信息安全
主要涉及到信息傳輸的安全、信息存儲的安全以及對網路傳輸信息內容的審計三方面,具體包括數據加密、數據完整性鑒別、防抵賴、信息存儲安全、資料庫安全、終端安全、信息的防泄密、信息內容審計、用戶授權。
面對網路安全的脆弱性,除了在網路設計上增加安全服務功能,完善系統的安全保密措施外,還必須花大力氣加強網路的安全管理,組織管理和人員錄用等方面有許多的不安全因素,而這又是計算機網路安全所必須考慮的基本問題,所以應引起網路管理員的重視。
四、防治計算機病毒
計算機病毒在網路中泛濫已久,一旦入侵到本地網路,在本地區域網中會快速繁殖,導致區域網計算機的相互感染,下面介紹一下有關區域網病毒的入侵原理及防範方法。
1. 區域網病毒入侵原理及現象
一般來說,計算機網路的基本構成包括網路伺服器和網路節點站(包括有盤工作站、無盤工作站和遠程工作站)。計算機病毒一般首先通過各種途徑進入到有盤工作站,也就進入網路,然後開始在網上的傳播。具體地說,其傳播方式有以下幾種。
1)病毒直接從工作站拷貝到伺服器中或通過郵件在網內傳播;
2)病毒先傳染工作站,在工作站內存駐留,等運行網路盤內程序時再傳染給伺服器;
3)病毒先傳染工作站,在工作站內存駐留,在病毒運行時直接通過映像路徑傳染到伺服器中
4)如果遠程工作站被病毒侵入,病毒也可以通過數據交換進入網路伺服器中一旦病毒進入文件伺服器,就可通過它迅速傳染到整個網路的每一個計算機上。
在網路環境下,網路病毒除了具有可傳播性、可執行性、破壞性等計算機病毒的共性外,還具有一些新的特點。
1)感染速度快
在單機環境下,病毒只能通過介質從一台計算機帶到另一台,而在網路中則可以通過網路通訊機制進行迅速擴散。根據測定,在網路正常工作情況下,只要有一台工作站有病毒,就可在十幾分鍾內將網上的數百台計算機全部感染。
2)擴散面廣
由於病毒在網路中擴散非常快,擴散范圍很大,不但能迅速傳染區域網內所有計算機,還能通過遠程工作站將病毒在一瞬間傳播到千里之外。
3)傳播的形式復雜多樣
計算機病毒在網路上一般是通過「工作站」到「伺服器」到「工作站」的途徑進行傳播的,但現在病毒技術進步了不少,傳播的形式復雜多樣。
4)難於徹底清除
單機上的計算機病毒有時可以通過帶毒文件來解決。低級格式化硬碟等措施能將病毒徹底清除。而網路中只要有一台工作站未能清除干凈,就可使整個網路重新被病毒感染,甚至剛剛完成殺毒工作的一台工作站,就有可能被網上另一台帶毒工作站所感染。因此,僅對工作站進行殺毒,並不能解決病毒對網路的危害。
5)破壞性大
網路病毒將直接影響網路的工作,輕則降低速度,影響工作效率,重則使網路崩潰,破壞伺服器信息,使網路服務癱瘓。
2. 區域網病毒防範方法
查殺病毒的基本步驟:
1)首先要斷開網路,使受感染的機器隔離;
2)使用殺毒軟體進行查殺,可以使用金山或瑞星的專殺工具,徹底清除病毒;
3)安裝IE 相應最新補丁或升級IE 版本,如果是伺服器還要安裝IIS補丁;
4)把系統中出現的一些非法共享(如C、D 等),應該將其共享屬性去掉;對於伺服器,查看一下Administrators 組中是否加進了「guest」用戶,要把guest 用戶從Administrators 組中刪除。
隨著各公司機構內部網不斷建立和擴充,用戶通過區域網與網際網路連接,內部有Web伺服器和FTP伺服器,一旦網路病毒在內部區域網傳播,即便將每台電腦的網線都拔下,也很難徹底查殺干凈,另外管理員的工作量也變得很大。實際上目前已經有很多解決這種問題的產品和方案,網路版殺毒軟體是其中比較好的一個選擇。網路版殺毒軟體和單機版殺毒軟體最大的區別在於,網路版是針對區域網內部電腦的管理而設置了控制操作平台,供網管統一管理使用,而單機版殺毒軟體是不具備管理功能的。並且,隨著信息化進程的不斷推進,網路環境日益復雜,面對日益復雜的網路環境,以及一些黑客程序和木馬程序的攻擊,單機版無法保證整個網路安全。如果把單機版殺毒軟體當作網路版殺毒軟體使用,用戶將不能隨時了解每台機器的狀況。若區域網中的一台機器感染了病毒,將會在很短的時間內傳播開,而通過網路版殺毒軟體,網路管理員就可以通過一台伺服器管理整個區域網的機器,由中心端來對客戶端進行統一管理,對客戶端自動分發最新病毒碼,即便客戶端不能訪問外網,也可以保持最新的病毒碼定義。
五、過濾不良網路信息
網路一項重要的功能就是讓用戶通過路由器或代理伺服器(網關)瀏覽Internet,面對形形色色、良莠不分的網路資源,如不具有識別和過濾作用,不但會造成大量非法內容或郵件出入,佔用大量流量資源,造成流量堵塞、上網速度慢等問題,而且某些網站的娛樂、游戲、甚至暴力、色情、 反動消息等不良內容,將極大地危害青少年學生的身心健康。
許多企業和學校都在努力嘗試解決不良信息的瀏覽問題,由於多數不良信息來源於互聯網,解決方法主要是針對互聯網進行限制,主要可以分為三類:斷開物理連接、地址庫過濾和防火牆過濾。
斷開物理連接的做法很直接,就是在內網里使用虛擬互聯網軟體單獨設置一個區域給用戶用來上網,但是實際上這個區域和互聯網是斷開的,用戶使用瀏覽器瀏覽網頁的時候實際上是在瀏覽本地伺服器。用戶雖然可以用瀏覽器瀏覽網頁,但是可以瀏覽的資源有限,而且網頁內容也完全取決於本地伺服器的更新速度。這樣做雖然可以起到一定的作用,但同時也忽視了互聯網最大的特點──實時性,而且可瀏覽的范圍太小。而且因為要經常從互聯網下載網頁,網路管理員的工作量增加,大大降低了網路的使用效率。
地址庫過濾則是在區域網連接互聯網介面的網關處設置一個軟體的「關卡」,這個「關卡」會檢查每個HTTP 請求,把每個請求和一個記錄著被禁止訪問的網站地址庫進行比較。這樣的處理方式會大大降低瀏覽互聯網的速度,而且地址庫的更新也是問題。每天在互聯網上出現的新網站有成千上萬,不可能被及時的一一檢查。
防火牆過濾也是在區域網連接互聯網介面的網關處設置軟、硬體設施,這類過濾形式可以設置對關鍵詞比如說「性」等的禁止,當軟體發現含有關鍵詞的訪問請求時,會自動切斷訪問,但對於打包的郵件無能為力;而且,這種過濾往往矯枉過正,比如說軟體發現「正確性」一詞中含有「性」,也不分青紅皂白一律關閉;由於牽涉到在入口處對內容進行檢查,Internet的瀏覽速度在人數多時奇慢無比;另外從資金角度來看,由於目前適合中小規模區域網使用的低價位防火牆大多依賴於LINUX 操作系統,學校或企業需要另行購買一台防火牆伺服器,加大了資金投入。
七、拒絕惡意網頁和垃圾郵件
1. 拒絕惡意網頁
Internet 網上除了前面說過的不良信息外,還有危害更大的網路陷阱,其中以一些惡意網頁為代表,這些網頁通過惡意代碼纂改注冊表中的源代碼,達到更改用戶主頁的目的,輕則造成用戶IE 瀏覽器被鎖定、主頁無法改回、彈出眾多窗口耗盡資源等嚴重危害,重則通過瀏覽網頁讓電腦在不知不覺中被植入木馬,傳播病毒,或盜取用戶重要個人信息,其危害可見一斑。
實際上惡意網頁一般都是利用IE的文本漏洞通過編輯的腳本程序修改注冊表,以達到篡改用戶瀏覽器設置的目的。我們常見到的比如IE標題欄顯示「歡迎訪問⋯⋯網站」、默認主頁被更改為陌生網址、每次打開IE都自動登錄到此網站、右鍵菜單被添加莫名其妙的廣告、用戶無法更改IE設置等現象都屬此類問題,解決方法有兩種:第一種方法是使用注冊表編輯器,手動把被篡改的注冊表信息改回初始值。第二種方法是使用專門的解鎖工具,如著名的「超級兔子」或「3721 網路工具」等可以很簡單地解除被修改的IE 瀏覽器。
另外有的惡意網頁是利用IE 的腳本漏洞,用含有有害代碼的ActiveX網頁文件,讓用戶自動運行木馬程序,因此建議在訪問一些陌生網站時在IE 設置中將ActiveX 插件和控制項、Java 腳本等禁止。由於IE 是使用頻率最高的網路瀏覽器,因此針對其本身漏洞的攻擊也非常多,要保持及時給IE 升級或打補丁,這樣才能盡量堵塞漏洞,提高IE 的安全性。
2. 拒絕垃圾郵件
除了猖獗的網路病毒外,垃圾郵件的危害也早已受到了人們的普遍關注,實際上現在網路病毒中有約80%是通過郵件傳播的,更不用說一些色情、反動、迷信郵件的危害了。有效地防範垃圾郵件已經成為所有網路用戶的共同目標,在學校教育中防範垃圾郵件也是衡量校園網路安全的重要標准之一。
首先要做好預防工作,保護自己的郵箱不會成為垃圾郵件的攻擊目標,經查閱有關資料,有關專家提出了以下建議:
1) 給信箱起個相對復雜的名稱。如果用戶名過於簡單或者過於常見,則很容易被當作攻擊目標。因為過於簡單的名字,垃圾郵件的發送者很可能通過簡單排列組合,搜索到用戶的郵件地址,從而發送垃圾郵件。因此在申請郵箱時,不妨起個保護性強一點的用戶名,比如英文和數字的組合,盡量長一點,可以少受垃圾郵件騷擾。
2) 避免泄露郵件地址。不要隨意地在瀏覽BBS(Bulletin Board Service,公告牌服務)時,公開自己的郵件地址,目前有一些別有用心的人往往在BBS 上散布一些具有誘惑性的消息,誘使其他用戶提供電子郵件地址進行收集。
3) 不要輕易回應垃圾郵件。因為一旦回復,就等於告訴垃圾郵件發送者該地址是有效的,這樣會招來更多的垃圾郵件。
4) 最實用的是使用郵件客戶端程序的郵件管理、過濾功能。
5)最後還可以利用一些專門的防垃圾郵件軟體指定條件檢測郵件接收伺服器,自動刪除垃圾郵件。
對於一些惡意的病毒郵件,就不僅是干擾人們正常生活這么簡單了,郵件病毒其實和普通的電腦病毒一樣,只不過由於它們的傳播途徑主要是通過電子郵件,所以才被稱為郵件病毒。它們一般是通過在郵件中附件夾帶的方法進行擴散的,運行了該附件中的病毒程序,才能夠使電腦染毒。知道了這一點,我們就不難採取相應的措施進行防範了。
當遇到帶有附件的郵件時,如果附件為可執行文件(*.exe、*.com)或word文檔時,不要急於打開,可以用兩種方法來檢測是否帶有病毒。一種方法是,利用殺毒軟體的郵件病毒監視功能來過濾掉郵件中可能存在的病毒;另一種方法是,把附件先存放在硬碟上,然後利用殺毒軟體查毒。所以在郵件接收過程中用一款可靠的防毒軟體對郵件進行掃描過濾是非常有效的手段,我們通過設置殺毒軟體中的郵件監視功能,在接收郵件過程中對郵件進行處理,可以有效防止郵件病毒的侵入。
八、結語
網路安全的主要問題是網路安全和信息安全,具體可分為預防病毒、訪問控制、身份驗證和加密技術、系統安全漏洞等問題。
對網路內的網路病毒,處理方法是選擇優秀的殺毒軟體;對網路不良信息的處理方法應該以使用網路信息過濾系統為主;在面對網路上的各種惡意網頁和垃圾郵件時應通過設置郵件系統安全選項,提高安全意識並結合殺毒軟體提供保護。
要想建設一個合格的網路,一方面要考慮網路內部的安全性,一方面要關注本網路和外部信息網路互聯時的安全性。網路的安全問題是一個較為復雜的系統工程,從嚴格的意義上來講,沒有絕對安全的網路系統,提高網路的安全系數是要以降低網路效率和增加投入為代價的。隨著計算機技術的飛速發展,網路的安全有待於在實踐中進一步研究和探索。在目前的情況下,我們應當全面考慮綜合運用防毒軟體、防火牆、加密技術等多項措施,互相配合,加強管理,從中尋找到確保網路安全與網路效率的平衡點,綜合提高網路的安全性,從而建立起一套真正適合民眾使用的安全體系。
㈨ 計算機及計算機網路在提供服務的同時哪些漏洞
每台計算機,其中操作系統是作為一個支撐軟體,使電腦的程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟體資源和硬體資源。同時操作系統軟體自身的不安全性,系統開發設計的不周而留下的破綻,都給計算機網路安全留下隱患: 1、操作系統結構體系的缺陷。由於操作系統本身有內存管理、CPU 管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序裡面存在問題,比如內存管理的問題,外部網路的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是伺服器系統立刻癱瘓。
2、操作系統支持在網路上傳送文件、載入或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網路很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那麼系統可能就會造成崩潰。像這些遠程調用、文件傳輸,如果生產廠家或個人在上面安裝間諜程序,那麼用戶的整個傳輸過程、使用過程都會被別人監視到,所有的這些傳輸文件、載入的程序、安裝的程序、執行文件,都可能給操作系統帶來安全的隱患。所以,建議盡量少使用一些來歷不明,或者無法證明它的安全性的軟體。
3、操作系統不安全的一個原因在於它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端伺服器上安裝「間諜」軟體的條件。若將間諜軟體以打補丁的方式「打」在一個合法用戶上,特別是「打」在一個特權用戶上,黑客或間諜軟體就可以使系統進程與作業的監視程序監測不到它的存在。
4、操作系統有些守護進程,它是系統的一些進程,總是在等待某些事件的出現。所謂守護進程,比如說用戶有沒按鍵盤或滑鼠,或者別的一些處理。一些監控病毒的監控軟體也是守護進程,這些進程可能是好的,比如防病毒程序,一有病毒出現就會被撲捉到。但是有些進程是一些病毒,一碰到特定的情況,比如碰到7 月1 日,它就會把用戶的硬碟格式化,這些進程就是很危險的守護進程,平時它可能不起作用,可是在某些條件發生,比如7 月1 日,它才發生作用,如果操作系統有些守護進程被人破壞掉就會出現這種不安全的情況。
5、操作系統會提供一些遠程調用功能,所謂遠程調用就是一台計算機可以調用遠程一個大型伺服器裡面的一些程序,可以提交程序給遠程的伺服器執行,如telnet。遠程調用要經過很多的環節,中間的通訊環節可能會出現被人監控等安全的問題。
6、操作系統的後門和漏洞。後門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。在軟體開發階段,程序員利用軟體的後門程序得以便利修改程序設計中的不足。一旦後門被黑客利用,或在發布軟體前沒有刪除後門程序,容易被黑客當成漏洞進行攻擊,造成信息泄密和丟失。此外,操作系統的無口令的入口,也是信息安全的一大隱患。
7、盡管操作系統的漏洞可以通過版本的不斷升級來克服, 但是系統的某一個安全漏洞就會使得系統的所有安全控制毫無價值。當發現問題到升級這段時間,一個小小的漏洞就足以使你的整個網路癱瘓掉。
8、資料庫存儲的內容存在的安全問題:資料庫管理系統大量的信息存儲在各種各樣的資料庫裡面,包括我們上網看到的所有信息,資料庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少。例如:授權用戶超出了訪問許可權進行數據的更改活動;非法用戶繞過安全內核,竊取信息。對於資料庫的安全而言,就是要保證數據的安全可靠和正確有效,即確保數據的安全性、完整性。數據的安全性是防止資料庫被破壞和非法的存取;資料庫的完整性是防止資料庫中存在不符合語義的數據。
目前,時代在發展,計算機也在不斷前進,它們所提供的一些後台服務進程也在不斷發生著變化,但其中一點主要體現在操作系統方面的更新進度,因此有些服務漏洞會隨著操作系統不斷的更新而發生隨機的變化,這一點,是所有操作系統開發設計者需要攻克的問題之一。
㈩ MAC過濾 允許 的計算機訪問網路
他改了mac了,你別的軟體看的還是他原來的,實際他已經改了,這個沒太好的辦法。除非你把網通的那套程序弄來用,不現實,你可以把mac和IP綁定,然後再限制,你經常的更換一下每一對綁定的,他再上就會難的多了