1. 計算機網路安全概念與應用
計算機網路安全概念與應用
隨著互聯網的普及,計算機網路安全是重中之重,下面由我來普及一下計算機網路安全的概念與應用。
計算機網路安全的總體含義:計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境里,數據的保密性、完整性及可使用性受到保護。計算機網路安全包括兩個方面:即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,免於破壞、丟失等;邏輯安安全包括信息的完整性、保密性和可用性。
一、計算機網路安全簡介
計算機網路安全不僅包括組網的硬體、管理控制網路的軟體,也包括共享的資源,快捷的網路服務,所以定義網路安全應考慮涵蓋計算機網路所涉及的全部內容。參照ISO給出的計算機安全定義,認為計算機網路安全是指:“保護計算機網路系統中的硬體,軟體和數據資源,不因偶然或惡意的原因遭到破壞、更改、泄露,使網路系統連續可靠性地正常運行,網路服務正常有序。”
二、計算機網路的脆弱性
互聯網是對全世界都開放的網路,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網路安全提出了挑戰。互聯網的不安全性主要有以下幾項:
1、網路的開放性
網路的'技術是全開放的,使得網路所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊,或是來自對網路通信協議的攻擊,以及對計算機軟體、硬體的漏洞實施攻擊。
2、網路的國際性
意味著對網路的攻擊不僅是來自於本地網路的用戶,還可以是互聯網上其他國家的黑客,所以,網路的安全面臨著國際化的挑戰。
3、網路的自由性
大多數的網路對用戶的使用沒有技術上的約束,用戶可以自由的上網,發布和獲取各類信息。
計算機系統硬體和通訊設施極易遭受到自然環境的影響,如:各種自然災害(如地震、泥石流、水災、風暴、建築物破壞等)對計算機網路構成威脅。還有一些偶發性因素,如電源故障、設備的機能失常、軟體開發過程中留下的某些漏洞等,也對計算機網路構成嚴重威脅。此外管理不好、規章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機信息安全造成威脅。
三、防火牆的脆弱性
防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.它是一種計算機硬體和軟體的結合,使Internet 與Intranet 之間建立起一個安全網關(SecurityGateway),從而保護內部網免受非法用戶的侵入。
但防火牆只能提供網路的安全性,不能保證網路的絕對安全,它也難以防範網路內部的攻擊和病毒的侵犯。並不要指望防火牆靠自身就能夠給予計算機安全。防火牆保護你免受一類攻擊的威脅,但是卻不能防止從LAN 內部的攻擊,若是內部的人和外部的人聯合起來,即使防火牆再強,也是沒有優勢的。它甚至不能保護你免受所有那些它能檢測到的攻擊。隨著技術的發展,還有一些破解的方法也使得防火牆造成一定隱患。這就是防火牆的局限性。
四、潛在威脅
對計算機信息構成不安全的因素很多,其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網路存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬體設備、編制計算機病毒。人為因素是對計算機信息網路安全威脅最大的因素。
五、如何提高網路的安全性
1、建立良好的安全習慣。不要輕易下載小網站上的軟體和程序;不要隨意打開來歷不明的郵件以及附件;安裝正版的殺毒軟體,安裝防火牆;不要在線啟動、閱讀某些文件;使用移動存儲器之前先殺毒。
2、安裝專業的殺毒軟體。
3、使用復雜的密碼。
4、迅速隔離受感染計算機。當發現計算機中毒或有異常情況時,應立即斷網,以防止其他計算機中毒。
5、關閉或刪除系統中不需要的服務。
6、經常升級補丁。
;2. 簡述計算機網路安全技術中「防火牆」(firewall)的基本功能及技術分類。
一 防火牆基本原理
首先,我們需要了解一些基本的防火牆實現原理。防火牆目前主要分包過濾,和狀態檢測的包過濾,應用層代理防火牆。但是他們的基本實現都是類似的。
│ │---路由器-----網卡│防火牆│網卡│----------內部網路│ │
防火牆一般有兩個以上的網路卡,一個連到外部(router),另一個是連到內部網路。當打開主機網路轉發功能時,兩個網卡間的網路通訊能直接通過。當有防火牆時,他好比插在網卡之間,對所有的網路通訊進行控制。
說到訪問控制,這是防火牆的核心了:),防火牆主要通過一個訪問控製表來判斷的,他的形式一般是一連串的如下規則:
1 accept from+ 源地址,埠 to+ 目的地址,埠+ 採取的動作
2 deny ...........(deny就是拒絕。。)
3 nat ............(nat是地址轉換。後面說)
防火牆在網路層(包括以下的煉路層)接受到網路數據包後,就從上面的規則連表一條一條地匹配,如果符合就執行預先安排的動作了!如丟棄包。。。。
但是,不同的防火牆,在判斷攻擊行為時,有實現上的差別。下面結合實現原理說說可能的攻擊。
二 攻擊包過濾防火牆
包過濾防火牆是最簡單的一種了,它在網路層截獲網路數據包,根據防火牆的規則表,來檢測攻擊行為。他根據數據包的源IP地址;目的IP地址;TCP/UDP源埠;TCP/UDP目的埠來過濾!!很容易受到如下攻擊:
1 ip 欺騙攻擊:
這種攻擊,主要是修改數據包的源,目的地址和埠,模仿一些合法的數據包來騙過防火牆的檢測。如:外部攻擊者,將他的數據報源地址改為內部網路地址,防火牆看到是合法地址就放行了:)。可是,如果防火牆能結合介面,地址來匹配,這種攻擊就不能成功了:(
2 d.o.s拒絕服務攻擊
簡單的包過濾防火牆不能跟蹤 tcp的狀態,很容易受到拒絕服務攻擊,一旦防火牆受到d.o.s攻擊,他可能會忙於處理,而忘記了他自己的過濾功能。:)你就可以饒過了,不過這樣攻擊還很少的。!
3 分片攻擊
這種攻擊的原理是:在IP的分片包中,所有的分片包用一個分片偏移欄位標志分片包的順序,但是,只有第一個分片包含有TCP埠號的信息。當IP分片包通過分組過濾防火牆時,防火牆只根據第一個分片包的Tcp信息判斷是否允許通過,而其他後續的分片不作防火牆檢測,直接讓它們通過。
這樣,攻擊者就可以通過先發送第一個合法的IP分片,騙過防火牆的檢測,接著封裝了惡意數據的後續分片包就可以直接穿透防火牆,直接到達內部網路主機,從而威脅網路和主機的安全。
4 木馬攻擊
對於包過濾防火牆最有效的攻擊就是木馬了,一但你在內部網路安裝了木馬,防火牆基本上是無能為力的。
原因是:包過濾防火牆一般只過濾低埠(1-1024),而高埠他不可能過濾的(因為,一些服務要用到高埠,因此防火牆不能關閉高埠的),所以很多的木馬都在高埠打開等待,如冰河,subseven等。。。
但是木馬攻擊的前提是必須先上傳,運行木馬,對於簡單的包過濾防火牆來說,是容易做的。這里不寫這個了。大概就是利用內部網路主機開放的服務漏洞。
早期的防火牆都是這種簡單的包過濾型的,到現在已很少了,不過也有。現在的包過濾採用的是狀態檢測技術,下面談談狀態檢測的包過濾防火牆。狀態檢測技術最早是checkpoint提出的,在國內的許多防火牆都聲稱實現了狀態檢測技術。
可是:)很多是沒有實現的。到底什麼是狀態檢測?
一句話,狀態檢測就是從tcp連接的建立到終止都跟蹤檢測的技術。
原先的包過濾,是拿一個一個單獨的數據包來匹配規則的。可是我們知道,同一個tcp連接,他的數據包是前後關聯的,先是syn包,-》數據包=》fin包。數據包的前後序列號是相關的。
如果割裂這些關系,單獨的過濾數據包,很容易被精心夠造的攻擊數據包欺騙!!!如nmap的攻擊掃描,就有利用syn包,fin包,reset包來探測防火牆後面的網路。!
相反,一個完全的狀態檢測防火牆,他在發起連接就判斷,如果符合規則,就在內存登記了這個連接的狀態信息(地址,port,選項。。),後續的屬於同一個連接的數據包,就不需要在檢測了。直接通過。而一些精心夠造的攻擊數據包由於沒有在內存登記相應的狀態信息,都被丟棄了。這樣這些攻擊數據包,就不能饒過防火牆了。
說狀態檢測必須提到動態規則技術。在狀態檢測里,採用動態規則技術,原先高埠的問題就可以解決了。實現原理是:平時,防火牆可以過濾內部網路的所有埠(1-65535),外部攻擊者難於發現入侵的切入點,可是為了不影響正常的服務,防火牆一但檢測到服務必須開放高埠時,如(ftp協議,irc等),防火牆在內存就可以動態地天加一條規則打開相關的高埠。等服務完成後,這條規則就又被防火牆刪除。這樣,既保障了安全,又不影響正常服務,速度也快。!
一般來說,完全實現了狀態檢測技術防火牆,智能性都比較高,一些掃描攻擊還能自動的反應,因此,攻擊者要很小心才不會被發現。
但是,也有不少的攻擊手段對付這種防火牆的。
3. 計算機網路信息安全中防火牆的主要功能包括
防火牆在計算機網路系統中有以下這些作用:保護脆弱的服務,控制對系統的訪問,集中的安全管理。
保護脆弱的服務,通過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。例如,Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問,Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如,Firewall允許外部訪問特定的MailServer和WebServer。
集中的安全管理,Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網路系統,而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法,而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。
4. 簡述計算機網路安全技術中「防火牆」(firewall)的基本功能及其技術分類
防火牆的本義原是指古代人們房屋之間修建的那道牆,這道牆在火災發生時可以阻止蔓延到別的房屋。而這里所說的防火牆當然不是指物理上的防火牆,而是指隔離在本地網路與外界網路之間的一道防禦系統。應該說,在互聯網上防火牆是一種非常有效的網路安全模型,通過它可以隔離風險區域(即Internet或有一定風險的網站)與安全區域(區域網或PC)的連接。同時可以監控進出網路的通信,讓安全的信息進入。
1、防火牆規則設置
雙擊任務欄的圖標彈出主界面,KFW防火牆已經內置42條規則,其中包括了20條標准安全規則及22條針對主流木馬程序的規則,這些規則能夠確保系統安全。雙擊任意一條規則可以進行編輯。KFW還提供5個安全等級,一般情況下使用中、高級即可,另外,還可根據網上安全情況來動態的設置規則,比如震盪波病毒在網上猖獗時可以添加對5554、1068、445等埠的攔截。
2、應用程序規則
KFW防火牆可以對應用程序設置規則,這項功能對付木馬十分有用。每當有新的程序要訪問網路時,KFW都會彈出確認框,它還可以對應用程序的收發數據包進行控制,並對數據包設置跟蹤。
3、數據包過濾和記錄
KFW防火牆有專業級別的包內容記錄功能,可以使您更深入的了解各種攻擊包的結構。實時數據包地址 、類型過濾可以阻止木馬的入侵和對危險埠的掃描。例如過濾藍色代碼病毒性攻擊包等,也可防範ICQ、QQ的死機攻擊。
4、網路埠列表
KFW防火牆的網路埠列表窗口中列出了所有使用網路埠的應用程序及其所使用的埠。 除了以上功能外,IP翻譯資料庫還可以顯示出IP地址所對應地理位置。
5. 防火牆是計算機網路安全中常用到的一種技術
使用功能防火牆是一種確保網路安全的方法。防火牆是指設置在不同網路或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的唯一出入扣,能根據企業的安全策略控制出入網路的信息流,且本身具有較強的抗攻擊能力,它是提供信息安全服務、實現網路和信息安全的基礎設施。
6. 計算機網路信息安全及防範措施有哪些
1. 完整性
指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性,即保持信息原樣性,使信息能正確生成、存儲、傳輸,這是最基本的安全特徵。
2. 保密性
指信息按給定要求不泄漏給非授權的個人、實體或過程,或提供其利用的特性,即杜絕有用信息泄漏給非授權個人或實體,強調有用信息只被授權對象使用的特徵。
3. 可用性
指網路信息可被授權實體正確訪問,並按要求能正常使用或在非正常情況下能恢復使用的特徵,即在系統運行時能正確存取所需信息,當系統遭受攻擊或破壞時,能迅速恢復並能投入使用。可用性是衡量網路信息系統面向用戶的一種安全性能。
4. 不可否認性
指通信雙方在信息交互過程中,確信參與者本身,以及參與者所提供的信息的真實同一性,即所有參與者都不可能否認或抵賴本人的真實身份,以及提供信息的原樣性和完成的操作與承諾。
5. 可控性
指對流通在網路系統中的信息傳播及具體內容能夠實現有效控制的特性,即網路系統中的任何信息要在一定傳輸范圍和存放空間內可控。除了採用常規的傳播站點和傳播內容監控這種形式外,最典型的如密碼的託管政策,當加密演算法交由第三方管理時,必須嚴格按規定可控執行。
7. 防火牆是什麼在網路環境中的應用
防火牆(英語:Firewall)在計算機科學領域中是一個架設在互聯網與企業內網之間的信息安全系統,根據企業預定的策略來監控往來的傳輸。
防火牆可能是一台專屬的網路設備或是運行於主機上來檢查各個網路介面上的網路傳輸。它是目前最重要的一種網路防護設備,從專業角度來說,防火牆是位於兩個(或多個)網路間,實行網路間訪問或控制的一組組件集合之硬體或軟體。
功能
防火牆最基本的功能就是隔離網路,透過將網路劃分成不同的區域(通常情況下稱為ZONE),制定出不同區域之間的訪問控制策略來控制不同信任程度區域間傳送的數據流。例如互聯網是不可信任的區域,而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信。
它有控制信息基本的任務在不同信任的區域。 典型信任的區域包括互聯網(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是:根據最小特權原則,在不同水平的信任區域,透過連通安全政策的運行,提供受控制的連通性。
例如:TCP/IPPort 135~139是Microsoft Windows的【網上鄰居】所使用的。
如果電腦有使用【網上鄰居】的【共享文件夾】,又沒使用任何防火牆相關的防護措施的話,就等於把自己的【共享文件夾】公開到Internet,使得任何人都有機會瀏覽目錄內的文件。
且早期版本的Windows有【網上鄰居】系統溢出的無密碼保護的漏洞(這里是指【共享文件夾】有設密碼,但可經由此系統漏洞,達到無須密碼便能瀏覽文件夾的需求)。
防火牆的本義,是指古代構築和使用木製結構房屋時,為防止火災發生及蔓延,人們將堅固石塊堆砌在房屋周圍做為屏障,這種防護結構建築就被稱為防火牆。
現代網路時代引用此喻意,指隔離本地網路與外界網路或是區域網間與互聯網或互聯網的一道防禦系統,藉由控制過濾限制消息來保護內部網資料的安全。
(7)計算機網路信息安全及防火牆應用擴展閱讀:
防火牆的重要性
1、記錄計算機網路之中的數據信息
數據信息對於計算機網路建設工作有著積極的促進作用,同時其對於計算機網路安全也有著一定程度上的影響。
通過防火牆技術能夠收集計算機網路在運行的過程當中的數據傳輸、信息訪問等多方面的內容,同時對收集的信息進行分類分組,藉此找出其中存在安全隱患的數據信息,採取針對性的措施進行解決,有效防止這些數據信息影響到計算機網路的安全。
除此之外,工作人員在對防火牆之中記錄的數據信息進行總結之後,能夠明確不同類型的異常數據信息的特點,藉此能夠有效提高計算機網路風險防控工作的效率和質量。
2、防止工作人員訪問存在安全隱患的網站
計算機網路安全問題之中有相當一部分是由工作人員進入了存在安全隱患的網站所導致的。通過應用防火牆技術能夠對工作人員的操作進行實時監控,一旦發現工作人員即將進入存在安全隱患的網站,防火牆就會立刻發出警報,藉此有效防止工作人員誤入存在安全隱患的網站,有效提高訪問工作的安全性。
3、控制不安全服務
計算機網路在運行的過程當中會出現許多不安全服務,這些不安全服務會嚴重影響到計算機網路的安全。通過應用防火牆技術能夠有效降低工作人員的實際操作風險,其能夠將不安全服務有效攔截下來,有效防止非法攻擊對計算機網路安全造成影響。
此外,通過防火牆技術還能夠實現對計算機網路之中的各項工作進行實施監控,藉此使得計算機用戶的各項工作能夠在一個安全可靠的環境之下進行,有效防止因為計算機網路問題給用戶帶來經濟損失。
缺點
正常狀況下,所有互聯網的數據包軟體都應經過防火牆的過濾,這將造成網路交通的瓶頸。例如在攻擊性數據包出現時,攻擊者會不時寄出數據包,讓防火牆疲於過濾數據包,而使一些合法數據包軟體亦無法正常進出防火牆。
8. 計算機網路安全與防火牆技術
這個屬於網路安全,網路安全也就是防止駭客侵入電腦盜取機密。小方向說就是個人電腦,中個網頁木馬,盜取電腦上的網銀,游戲賬號,QQ號之類的,裝個殺毒軟體就算是一種安全保護,這樣上網的時候可以阻止一些木馬和病毒通過你瀏覽網頁下載資料就進入你的電腦。
再大一點范圍就是區域網的防範,可以阻止病毒蔓延,如果區域網開了共享,一台計算機中毒有可能所有計算機都中毒,殺毒工作量和難度就增加,還有可能損壞重要資料,甚至毀壞硬體。
更大范圍就是網際網路,如果駭客要侵入一個網站,或者一個銀行的後台系統,那麼就要盜取用戶名和密碼,這樣就可以更改破壞數據。
課題的難點就是現在的駭客技術日新月異,並且高級駭客還會自己編寫工具入侵,短時間內很難找到應對辦法。那麼網路安全就是以防範為主,防火牆有軟硬體防火牆,配置不同防範效果自然也是不一樣的,當然入侵也是要有漏洞才能入侵,最主要的還是減少電腦上的漏洞,關閉不常用的埠,駭客沒有可趁之機自然無法入侵成功。
網路發展,網路安全越來越重要,所以很多人研究,但是真正的高手很少。
未來的計算機普及以後網路安全會顯得尤其重要,只要用得上電腦網路的行業都會用的上網路安全。
比如說類似淘寶網店 銀行網銀 還有個大網站這些都需要非常嚴密的網路安全管理!一旦被入侵被破壞那就會損失或多或少的money