前言:中文期刊网精心挑选了谈谈如何防范网络安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
谈谈如何防范网络安全范文1
关键词 计算机教学 网络 安全问题
现今,随着计算机的普及,计算机病毒也是无处不在,黑客的猖獗,都防不胜防。本文将对计算机信息网络安全存在的问题进行深入剖析,并提出相应的安全防范措施。
学生学习,要有正确的学习动力和浓厚的学习兴趣,这样学习有主动性和积极性,只有产生了兴趣,才会有动机,才能结出丰硕的成果,因此计算机网络课程具有灵活性、实践性、综合设计性较强的课程,在教学中进行教学设计,注重激发学生创新思维,以培养学生的创新能力。
下面我们来谈谈计算机网络应注意哪些不安全的因素。对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素也是对计算机信息网络安全威胁最大的因素。
一、谈谈计算机网络的脆弱性
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。在使用互联网时应注意以下几项不可靠的安全性。
1.网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
2.网络的国际性,意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
3.网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。
二、注意在操作系统中存在的安全问题
操作系统是一个支撑软件,是计算机程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不可靠安全性,是计算机系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
1.操作系统结构体系的缺陷。操作系统本身有内存管理、CPU?管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。
2.操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如FTP,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。像这些远程调用、文件传输,如果生产厂家或个人在上面安装间谍程序,那么用户的整个传输过程、使用过程都会被别人监视到,所有的这些传输文件、加载的程序、安装的程序、执行文件,都可能给操作系统带来安全的隐患。所以,建议尽量少使用一些来历不明,或者无法证明它的安全性的软件。
3.操作系统有守护进程的防护功能,它是系统的一些进程,总是在等待某些事件的出现。所谓的守护进程,就是监控病毒的监控软件,当有病毒出现就会被捕捉到。但是有些进程是一些病毒,碰到特定的情况它就会把用户的硬盘格式化,这些进程就是很危险的守护进程,平时它可能不起作用,可是在某些条件下发生后,它才发生作用。如果操作系统守护进程被人为地破坏掉就会出现这种不良的安全隐患。
4.在课堂上,学生与教师相互交流时,操作系统提供远程调用功能,所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序,可以提交程序给远程的服务器执行,远程调用要经过很多的环节,中间的通讯环节可能会出现被人监控等安全问题。尽管操作系统的漏洞可以通过版本的不断升级来克服,但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间,一个小小的漏洞就足以使你的整个网络瘫痪掉。
三、谈谈教学中的寓教于乐
计算机教学本来就是一个上机实践的活动过程,所以培养学生的兴趣只是一个起点,如何保持学生的兴趣,是个漫长过程。计算机教师如何影响学生,帮助学生分析其优势和存在的问题,帮助他们循序渐进,逐步走向成功,并让这种成功的感觉一直激励他们,期间有着许多环节。因此教师应该充分发挥自身的作用,在处理课堂教学时,针对教材的特点,精心设计自己的教学过程,充分考虑每个教学环节,把知识性和趣味性融为一体,从而有效地调动学生学习的积极性。在组织每一课堂教学时,可设计来调节课堂气氛,这种设置的时机没有一定的模式,教师可视具体情况灵活确定。
参考文献:
谈谈如何防范网络安全范文2
[关键词]企业网络;网络威胁;安全管理
[中图分类号]C29 [文献标识码]A [文章编号]1672-5158(2013)06-0479-01
计算机网络技术的发展,使大型企业网络的安全保护面临了从未有过的挑战。计算机泄密已经随着其在企业领域的广泛应用悄然来临,且具有极大的隐蔽性和破坏性。安全管理总监如果对这个新的泄密渠道不加以认真研究,不采取有效的安全堵漏措施,就可能在不知不觉中遭受惨重的损失。
一、企业网络安全性急需重视
企业已经越来越依赖网络以及企业内部网络来支持重要的工作流程,内部网络断线所带来的成本也急剧升高。当这一刻显得迫在眉睫时,如何确保核心网络系统的稳定性就变得非常重要,即使一个企业的虚拟网络或防火墙只是短暂的中断,也都可能会中断非常高额的交易,导致收入流失、客户不满意以及生产力的降低。尽管所有的企业都应该对安全性加以关注,但其中一些更要注意。那些存储有私密信息或专有信息、并依靠这些信息运作的企业尤其需要一套强大而可靠的安全性解决方案。通过一部中央控制台来进行配置和管理的安全性解决方案能够为此类企业提供巨大帮助。这类安全性解决方案使IT管理员们能够轻松地对网络的安全性进行升级,从而适应不断变化的商务需求,并帮助企业对用户访问保持有效的控制。例如,IT管理员能够根据最近发现的网络攻击行为迅速调整网络的安全性级别。此外,用户很难在终端系统上屏蔽掉由一台远程服务器控制的网络安全特性。IT管理人员们将非常自信:一旦他们在整个网络中配置了适当的安全性规则,不论是用户还是系统的安全性都将得到保证,并且始终安全。而对于那些安全性要求较高的企业来说,基于软件的解决方案(例如个人防火墙以及防病毒扫描程序等)都不够强大,无法满足用户的要求。因为即使一个通过电子邮件传送过来的恶意脚本程序,都能轻松将这些防护措施屏蔽掉,甚至是那些运行在主机上的“友好”应用都可能为避免驱动程序的冲突而无意中关掉这些安全性防护软件。一旦这些软件系统失效,终端系统将非常容易受到攻击。更为可怕的是,网络中的其他部分也将处在攻击威胁之下。
二、大型企业网络安全的威胁
企业网络威胁简单地说就是指对网络中软、硬件的正常使用、数据的完整无损,以及网络通信正常工作等造成的威胁。当然这种威胁可大可小,大的可以使整个网络中的PC机和服务器处于瘫痪状态,网络数据被无情销毁,可能会使一个公司因此而被迫停产、关闭;小的可能只是网络中某个用户计算机上发现了病毒,造成系统性能下降。那么,具体有哪些网络威胁呢?其实很简单,如病毒、木马、网络监听、黑客攻击以及包括诸如流氓软件在内的恶意软件等都属于网络威胁的范畴。这些网络威胁总体来说可分为两大类:一类是主动攻击型威胁,另一类就是被动型威胁,如计算机病毒、木马、恶意软件等。
目前,企业网络的最大安全隐患是来自Internet的恶意程序和黑客攻击。计算机病毒是最常见,也是最主要的安全威胁。随着计算机网络技术的发展,计算机病毒技术也在快速地发展变化之中,而且在一定程度上走在了计算机网络安全技术的前面。就计算机病毒来说,防护永远只能是一种被动防护,因为计算机病毒也是计算机程序的一种,并没有非常明显的特征,更不可以通过某种方法一次性全面预防各种病毒。就像现在的关键字过滤技术一样,同样一个意思,却可以有无穷种表达方式,根本是防不胜防。目前计算机病毒已经发展到了新阶段,我们所面临的不再是一个简简单单的病毒,而是包含了病毒、黑客攻击、木马、间谍软件等多种危害于一身的基于Internet的网络威胁。
病毒透过文件、操作系统或网络来进行复制,特别是通过插入代码,再得到一个表面合法的程序复制,然后在遭到感染的程序启动时执行它们的功能。接着,它们就进驻到内存,使它们能够更进一步感染系统,并将这种感染能力传送到其他系统。从黑客程序进入被侵害电脑的途径看,黑客程序与病毒也有很多相似之处。病毒通过网络传输、磁盘交换等途径,未经用户允许强行侵入电脑。而绝大多数黑客程序采用了与电子邮件捆绑,伪装成趣味程序诱骗用户,制作蠕虫+黑客类病毒等传播手段。如“网络神偷’’可以和其他程序捆绑在一起,当用户安装运行带有服务端的程序后,服务端可以从捆绑程序释放后驻留电脑。可见两者的侵入电脑的途径大同小异,只是采用的手段有一点点不同罢了。无论如何,不会有用户主动给电脑安装木马,这就像没有人主动将小偷领进家门一样。从这个意义上讲,黑客程序与私闯民宅的行径性质相同,所以将黑客程序列入病毒范畴是不容置疑的。
三、大型企业网络安全管理
目前,企业在信息化建设中均已配置了防火墙、IDS/IDP、VPN、身份验证、企业版反病毒软件等安全产品来增强企业网络的安全性。
企业必须要强化网络病毒的防范意识,做好计算机病毒的防范工作,就是不使计算机感染上病毒,防患于未然,预防工作从宏观上讲是一个系统工程,要求全社会的共同努力和法律法规的进一步规范,即规范制造网络病毒的惩治办法。就企业来讲,应当制定出一套具体的措施,防止病毒的相互传播,对于计算机操作和维护人员来说,不仅要遵守病毒防治的有关措施,还应当不断增长知识,积累防治病毒的经验,了解病毒,消除病毒。预防病毒,最关键的是在思想上给予足够的重视,根据病毒隐蔽性和主动攻击性强的特点,制定出切实可行的安全措施和规范,尽可能的减少病毒的传染机率。要堵塞计算机病毒的传染途径。堵塞传播途径是预防计算机病毒传染的有效方法,根据病毒传染的规律,确定严防死守的入口点,在计算机上安装具有动态预防病毒入侵的软件,做好病毒的检验工作,使病毒的入侵机率和危害程度降至最低。要掌握计算机病毒的预防检测和消除免疫技术。计算机病毒给企业和个人带来的损失是无法弥补的,要想有效的阻止病毒入侵,掌握计算机病毒的预防检测和消除免疫技术是最直接和最有效的保证。病毒防范技术总是在与病毒的较量中得到发展的,总体来说计算机病毒的防范需要在预防检测和消除免疫等方面进行不断改进和提高。
网络安全管理是一种管理模式,主要体现在管理上,技术是实现管理的基础。目前的网络安全管理还处在初级探索阶段,预防病毒要求其代码至少每周升级2到3次。网络安全管理是一个动态的系统工程,关系到安全项目规划、应用需求分析、网络技术应用、安全策略制定、安全等级评定、网络用户管理、人员安全培训、规章制度制定等方方面面的问题,仅仅依靠技术是不行的,还需要决策者的正确引导和大力支持。网络安全要求安全管理人员不但要懂网络、懂安全,还要了解应用需求、网络协议和网络攻击手段等,要充分认识到不同网络的计算机、内部网和互联网接入的计算机以及商业计算机与非的计算机在管理方面的不同。网络安全最大的威胁不是来自外部,而是内部人员由于对网络安全知识缺乏、人为错误操作造成和引起的。人是信息安全目标实现的主体,网络安全需要全体人员积极认识、共同努力,避免出现“木桶效应”。最后,要建立严格制度的文档。网络安全制度的规范是确保这项工作顺利实施的动力,是保证这项工作制度化、规范化开展的保证。需对制度进行完善和规范,确保网络安全工作的实际效果。
参考文献
谈谈如何防范网络安全范文3
一、网络管理员的职责
1.网络管理员是一份正式职业
2002年11月我国正式颁布了网络管理员职业的国家标准。国家职业标准的颁布,说明这个岗位被政府正式作为一个职业来对待,它将为劳动者就业提供客观、规范、统一的从业依据和资格要求,对于提高劳动者素质,推行国家职业资格证书制度建设,促进稳定就业起到了重要作用。
2.网络管理员的职责
网络管理员的常规任务就是网络的运营、维护与管理,日常工作的主要任务有七项:网络基础设施管理、网络操作系统管理、网络应用系统管理、网络用户管理、网络安全保密管理、信息存储备份管理和网络机房管理。这些管理涉及到多个领域,每个领域的管理又有各自特定的任务。
(1)网络基础设施管理
主要包括:确保网络通信传输畅通;掌握局域网主干设备的配置情况及配置参数变更情况;对运行关键业务网络的主干设备配备相应的备份设备;负责网络布线配线架的管理;掌握用户端设备接入网络的情况;掌握与外部网络的连接配置;实时监控整个局域网的运转和网络通信流量情况等。
(2)网络操作系统管理
首先,网络管理员应实时监督系统的运转情况,及时发现故障征兆并进行处理。在网络运行过程中,应随时掌握网络系统配置情况及配置参数变更情况,对配置参数进行备份。最后,还应该为关键的网络操作系统服务器建立热备份系统,做好防灾准备。
(3)网络应用系统管理
确保这些服务运行的不间断性和工作性能的良好性。任何系统都不可能永远不出现故障,关键是一旦出现故障时如何将故障造成的损失和影响控制在最小范围内。热备份、负载均衡是常用的技术措施。
(4)网络用户管理
用户服务与管理在网络管理员的日常工作量中占有很大一部分份额,其内容包括:用户的开户与撤消管理,用户组的设置与管理,用户的权限管理和配额管理,用户计费管理,以及包括技术支持和技术培训服务。
(5)网络安全保密管理
安全与保密是一个问题的两个方面,安全主要指防止外部对网络的攻击和入侵,保密主要指防止网络内部信息的泄露。根据所维护管理的计算机网络的安全保密要求级别的不同,网络管理员的任务也不同。防火墙、入侵检测系统、漏洞扫描等是常用的技术措施。
(6)信息存储备份管理
在计算机网络中最贵重的是什么?不是设备,不是计算机软件,而是数据和信息。因此网络管理员还有一个重要职责,就是采取一切可能的技术手段和管理措施,保护网络中的信息安全。备份技术是基本的技术手段。
(7)网络机房管理
掌管机房数据通信电缆布线情况;掌管机房设备供电线路安排;管理网络机房的温度、湿度和通风状况;确保网络机房符合防火安全要求;保持机房整洁有序,按时记录网络机房运行日志,制订网络机房管理制度并监督执行。
二、网络管理员面临的风险及对策
众所周知,Internet的起源是美国的军研网ARPANET,后来转为民用,发展成学术网,最后成为今天的商用网
Internet。美国军方放弃ARPANET的重要原因就是其安全性低,通过对TCP/IP协议的分析也可以印证这一点。Internet的基础并不稳固,也不安全,这是当前网络安全问题突出、黑客和网络入侵事件层出不穷的根本原因。为了加强网络安全,网络中往往要部署一些安全产品,如防火墙、入侵检测系统等。不管产品销售商和商如何吹嘘他们的产品,一旦有安全事故的发生,他们会负责任吗?他们会为自己的产品不能防范入侵而赔偿用户的损失吗?不会!最终要负责任的人还是网络管理员,因此网络管理员面临着一系列的职业风险。
1.硬件设施的风险
机房中网络设备众多,而且很多设备往往价值不菲。网络管理员面临着设备失窃、火灾发生等风险。
2.网络安全、数据安全的风险
网络被黑客入侵,导致重要信息失窃,或数据被破坏导致系统无法恢复,这样的风险对网络管理员而言越来越大。因为随着计算机的广泛使用、计算机知识的普及,各种黑客工具软件在网上可谓唾手可得。
3.不作为的风险
根据最新的法律法规,由于不作为的过错而导致网络攻击,网络管理员是要负相关责任的,甚至有被追究刑事责任的可能。不作为具体表现如下:
(1)运维及升级等管理制度不落实的漏洞。
(2)当事人的疏忽大意。
(3)网络及应用工程场站设施没有分离管理,多个工程单位交接时的混乱。
(4)未对网络系统、应用系统和硬件系统的默认安装进行运维前的清理,没有安全验收检查和责任交割。
(5)用户的乱访问、乱下载、乱复制。
(6)管理员、开发人员、维护人员角色不清,导致多重权限身份。
4.对策
尽管网络管理员要面临一系列的职业风险,但这些风险并不可怕,关键是要有应对措施。
(1)尽职尽责,避免不作为
网络管理员应具有完备的职业操守,全面了解本行业的业务,全盘掌握自己的网络状况。如能认真履行日常的职责,不作为的过错是完全可以避免的。
(2)技术手段与管理措施并重
对于市面形形的安全产品,网络管理员不能过分迷信。诸如防火墙、入侵检测等技术措施,只能起一定的防护作用。在部署技术手段的同时,更要注重加强网络的管理措施,如硬件设施、操作系统、应用服务、用户、数据各个方面、各个层次上的管理。不少专家学者提倡“七分技术、三分管理”,甚至提出“三分技术、七分管理”的主张,这反映出技术观念的改变,对管理措施的重视达到了空前的高度。需要指出的是,对某个对象的管理措施要根据相应的风险来部署,措施过少起不到抵御风险的作用,措施过多会造成浪费。
(3)学会转移风险
风险是不可避免的,却是可以转移的。把风险转移出去,网络管理员就不用负相关责任了。以下是部分安全风险的转移方式:
需求不明的风险->业主单位;
项目设计风险->项目设计单位和专家论证;
领导决策风险->作好备忘、记要、记录;
施工资质风险->考察及领导决策记要;
专家论证风险->专家资质及专家组及负责人;
工程实施风险->施工单位、审核和验收单位;
运行维护风险->业主单位和维护单位。
譬如说,应该向领导反映要采取某种措施来加强网络安全,而领导没有采用的情况,要做好备忘、记录;一旦因此发生网络安全事故的时候,网络管理员只要拿出相关的证据,就可以表明责任不在自己,而在领导身上。
三、如何培养网络管理员的职业素质
下面结合我校计算机网络专业的设置来谈谈网络管理员职业素质的培养。
1.网络专业的课程设置
网络专业的课程设置如图1所示。
可以看出,网络专业的课程以计算机网络基础为奠基,以网络工程、网络管理和网络开发为专业方向。这样课程基本上覆盖了对网络管理员知识要求的各个方面,只有学好了这些课程,才有可能成为一名合格的网络管理员。
2.相关的认证考试
在学好专业课程的基础上,学生可以选择一些网络管理员的认证考试来提升自己的知识、技能和竞争力。以下是一些相关的认证考试:
(1)全国计算机技术与软件资格水平考试
简称“软考”,国家人事部主办。初级水平为网络管理员,中级水平为网络工程师,高级水平则为系统分析师等。
(2)锐捷认证网络工程师(RCNA)
福建锐捷网络科技公司主办,内容与美国思科公司的CCNA认证相似。
(3)布线系统测试工程师
FLUKE公司主办,是综合布线工程系统测试方面的认证。
(4)国家网络技术水平考试
简称NCNE,信息产业部推出,是我国在网络方面的政府认证,是信息产业部国家信息化工程师认证考试管理中心与美国国家通信系统工程师协会(NACSE)合作的认证考试,是国家信息化工程师认证考试体系(简称 NCIE)中推出的第一个专业认证考试。
(5)白金网络管理员
它是中国计算机用户协会、银河网络教育中心推出的,由教育部考试中心考试认证。
培训对象是政府机构、企事业单位的网络维护和管理人员或准备从事此类工作的人。
(6)1+6 网络工程师
劳动和社会保障部中国就业培训技术指导中心与清华万博网络技术股份有限公司联合推出。
(7)神州数码网络工程师
神州数码(中国)有限公司神州数码培训中心推出。认证级别分为网络工程师、网络专家、资深网络专家三个级别。
四、小结
谈谈如何防范网络安全范文4
1.1知识要求
每一位高等计算机人才必须掌握与计算机相关的外语、数学、法律法规和相关的其他文化知识外,还应掌握:局域网系统的设计安装、试运转、维修、正常工作、科学管理,网络操作系统的安装、配置、正常工作、科学管理,交换机和路由器的安装、正常工作、保护、科学管理,网站的建设、保护、科学管理。
1.2能力要求
善于运用辩证法的基本观点和方法去认识,发现,分析和解决突出问题的基本能力;拥有较强的口头表达能力和文字表述能力;能够运用外语进行简单的交谈,能够阅读本专业的国外资料,并且能够做到最基本的会听、会说、会写、会读、会译的要求。能够运用计算机常用的应用软件进行文字表述和处理一些信息;具备撰写计算机技术文档的基本能力;具有能够自学新知识、新技术的能力和继续学习,自主创新,创造及自主创业的能力;具有自信,自尊、自爱、自律、自强不息的优良品质和人际交往及科学的企业管理能力。相关的金融、税务及法规知识。
1.3岗位要求
掌握计算机网络的科学设计、合理组建、精密配置和维护流程,能够合理有序的解决网络工程中出现的设计、施工、配置和维护的专业技术难题,并且能够胜任大型网络的施工、装配和保护工作能力;具备合理安装、合理配置、科学管理和维护网络设备,合理有效的规划和管理局域网用户,安装、配置和管理常用网络服务,管理中型企业网络的能力;掌握基本的网页设计和网站设计、基本的程序设计和管理等专门性知识,了解网络营销和知识,能够熟练使用相关的知识;具备一定计算机网络安全的意识、能够运用相关软件检测病毒(例如,A-CL,IDS,NAT等软件)和网络安全防范措施的能力;能够有效应用数据库技术的能力;具有实际操作和管理计算机和电子相关生产第一线的能力。
1.4社会能力要求
掌握基本的礼仪素养,具备较好的人际交往能力,拥有良好的道德职业精神和积极工作的敬业精神。
2如何培养计算机高科技人才
中国现在正在不断壮大,无论是经济还是军事,都在赶超世界领先水平,所有的事物都在信息化,所以我国应该抓紧对计算机人才的培养,如何有效的培养计算机人才呢?以下就来谈谈我的看法,我想大家都听过科教兴国这四个字吧,对于计算机人才的培养,我个人觉得首先应该从小时候抓起,让每一个人从小就接触电脑,当然我不是说让他们去玩游戏,这样我们才能够及早的发现孩子们在计算机方面的天赋,让他们可以从小的时候就发挥自己的想象能力,敢于想象,敢于创新,并不断的改正自己的错误,从中去发现一些计算机中的奥妙,都说孩子们的想象力强,因此我们应该人尽其能,充分发挥他们的能力,当他们有了一定的接受能力,就可以对他们进行进一步深造,去传授一些关于计算机方面的深奥的理论知识,并在这过程中不断纠正他们的错误,并加以深刻的解释,只有这样,中国的计算机人才才会大量涌入人才市场,并在国际上占有一席之地。
3工作岗位
本专业的就业方向主要定位于每一个工作岗位中要求具有熟练掌握计算机技能及较高技术应用能力的中、低职位。同时专业还应该注重因材施教,鼓励学生们去参加各类计算机技能大赛,争取获得CCIE、CIW等高级甚至世界顶级IT职业资格证书,取得人才培养低进高出的突出效果,从而使得部分能力较强学生可以获得很高的待遇。主要就业部门:管理部、工程部、开发部、教育部、系统维护、信息技术部。可从事的工作岗位:系统管理员、网络管理员、安全助理、网页设计员、网站维护员、程序员、信息工程管理员、信息工程监理员、信息化管理员、数据库管理员、施工员、测试员等。
4小结
谈谈如何防范网络安全范文5
[论文摘要]通过对几种不同防火墙的攻击方法和原理进行研究,针对黑客攻击的方法和原理,我们能够部署网络安全防御策略,为构建安全稳定的网络安全体系提供了理论原理和试验成果。
防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,以保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许。
从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。尽管如此,事情没有我们想象的完美,攻击我们的是人,不是机器,聪明的黑客们总会想到一些办法来突破防火墙。
一、包过滤型防火墙的攻击
包过滤技术是一种完全基于网络层的安全技术,只能根据Packet的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意入侵。
包过滤防火墙是在网络层截获网络Packet,根据防火墙的规则表,来检测攻击行为。根据Packet的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口来过滤。所以它很容易受到如下攻击。
(一)ip欺骗
如果修改Packet的源,目的地址和端口,模仿一些合法的Packet就可以骗过防火墙的检测。如:我将Packet中的源地址改为内部网络地址,防火墙看到是合法地址就会放行。
这种攻击应该怎么防范呢?
如果防火墙能结合接口,地址来匹配,这种攻击就不能成功了。
eth1连接外部网络,eth2连接内部网络,所有源地址为内网地址的Packet一定是先到达eth2,我们配置eth1只接受来自eth2的源地址为内网地址的Packet,那么这种直接到达eth1的伪造包就会被丢弃。
(二)分片伪造
分片是在网络上传输IP报文时采用的一种技术手段,但是其中存在一些安全隐患。Ping of Death, teardrop等攻击可能导致某些系统在重组分片的过程中宕机或者重新启动。这里我们只谈谈如何绕过防火墙的检测。
在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的Tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。
工作原理弄清楚了,我们来分析:从上面可以看出,我们如果想穿过防火墙只需要第一个分片,也就是端口号的信息符合就可以了。
那我们先发送第一个合法的IP分片,将真正的端口号封装在第二个分片中,那样后续分片包就可以直接穿透防火墙,直接到达内部网络主机,通过我的实验,观察攻击过程中交换的数据报片断,发现攻击数据包都是只含一个字节数据的报文,而且发送的次序已经乱得不可辨别,但对于服务器TCP/IP堆栈来说,它还是能够正确重组的。
二、NAT防火墙的攻击
这里其实谈不上什么攻击,只能说是穿过这种防火墙的技术,而且需要新的协议支持,因为这种方法的是为了让两个不同NAT后面的p2p软件用户可以不通过端口映射直接进行连接,我们称为UDP打洞技术。
UDP打洞技术允许在有限的范围内建立连接。STUN(The Simple Traversal of User Datagram Protocol through Network Address Translators)协议实现了一种打洞技术可以在有限的情况下允许对NAT行为进行自动检测然后建立UDP连接。在UDP打洞技术中,NAT分配的外部端口被发送给协助直接连接的第三方。在NAT后面的双方都向对方的外部端口发送一个UDP包,这样就在NAT上面创建了端口映射,双方就此可以建立连接。一旦连接建立,就可以进行直接的UDP通信了。
但是UDP连接不能够持久连接。UDP是无连接的并且没有对谁明确的通信。一般地,NAT见了的端口映射,如果一段时间不活动后就是过期。为了保持UDP端口映射,必须每隔一段时间就发送UDP包,就算没有数据的时候,只有这样才能保持UDP通信正常。另外很多防火墙都拒绝任何的外来UDP连接。
由于各方面原因,这次没有对建立TCP的连接做研究,估计是能连接的。
三、防火墙的攻击
防火墙运行在应用层,攻击的方法很多。这里就以WinGate为例。 WinGate是以前应用非常广泛的一种Windows95/NT防火墙软件,内部用户可以通过一台安装有WinGate的主机访问外部网络,但是它也存在着几个安全脆弱点。
黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问,从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪和记录。
导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就让攻击者可从以下几个方面攻击:
(一)非授权Web访问
某些WinGate版本(如运行在NT系统下的2.1d版本)在误配置情况下,允许外部主机完全匿名地访问因特网。因此,外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击( 如CGI的漏洞攻击等),同时由于Web攻击的所有报文都是从80号Tcp端口穿过的,因此,很难追踪到攻击者的来源。
检测WinGate主机是否有这种安全漏洞的方法如下:
(1)以一个不会被过滤掉的连接(譬如说拨号连接)连接到因特网上。
(2)把浏览器的服务器地址指向待测试的WinGate主机。
如果浏览器能访问到因特网,则WinGate主机存在着非授权Web访问漏洞。
(二)非授权Socks访问
在WinGate的缺省配置中,Socks(1080号Tcp端口)同样是存在安全漏洞。与打开的Web(80号Tcp端口)一样,外部攻击者可以利用Socks访问因特网。
转贴于
(三)非授权Telnet访问
它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的WinGate服务器的Telnet服务,攻击者可以使用别人的主机隐藏自己的踪迹,随意地发动攻击。
检测WinGate主机是否有这种安全漏洞的方法如下:
1)使用telnet尝试连接到一台WinGate服务器。
[root@happy/tmp]#telnet172.29.11.191
Trying172.29.11.191….
Connectedto172.29.11.191.
Escapecharacteris'^]'.
Wingate>10.50.21.5
2)如果接受到如上的响应文本,那就输入待连接到的网站。
3)如果看到了该新系统的登录提示符,那么该服务器是脆弱的。
Connectedtohost10.50.21.5…Connected
SunOS5.6
Login:
其实只要我们在WinGate中简单地限制特定服务的捆绑就可以解决这个问题。
四、监测型防火墙的攻击
一般来说,完全实现了状态检测技术防火墙,智能性都比较高,普通的扫描攻击还能自动的反应。但是这样智能的防火墙也会受到攻击!
(一)协议隧道攻击
协议隧道的攻击思想类似与VPN的实现原理,攻击者将一些恶意的攻击Packet隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。
比如说,许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid(攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中,攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端,而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应IP分组)嵌入在ICMP或UDP包头部,再发送给内部网络服务端lokid,由它执行其中的命令,并以同样的方式返回结果。
由于许多防火墙允许ICMP和UDP分组自由出入,因此攻击者的恶意数据就能附带在正常的分组,绕过防火墙的认证,顺利地到达攻击目标主机。
(二)利用FTP-pasv绕过防火墙认证的攻击
FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1,在监视FTP服务器发送给客户端的包的过程中,它在每个包中寻找“227”这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的TCP连接。
攻击者通过这个特性,可以设法连接受防火墙保护的服务器和服务。
五、通用的攻击方法
(一)木马攻击
反弹木马是对付防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。
说一个典型的反弹木马,目前变种最多有“毒王”之称的“灰鸽子”,该木马由客户端主动连接服务器,服务器直接操控。非常方便。
(二)d.o.s拒绝服务攻击
简单的防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,它可能会忙于处理,而忘记了自己的过滤功能。简单的说明两个例子。
Land(Land Attack)攻击:在Land攻击中,黑客利用一个特别打造的SYN包,它的源地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时,在Land攻击下,许多UNIX将崩溃,NT变得极其缓慢。
IP欺骗DOS攻击:这种攻击利用TCP协议栈的RST位来实现,使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。假设现在有一个合法用户(a.a.a.a)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为a.a.a.a,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从a.a.a.a发送的连接有错误,就会清空缓冲区中已建立好的连接。这时,合法用户a.a.a.a再发送合法数据,服务器就已经没有这样的连接了,该用户就被拒绝服务而只能重新开始建立新的连接。
六、结论
我们必须承认以现在的防火墙技术,无法给我们一个相当安全的网络。网络中是没有百分之百安全的,由于我们面对的黑客都属于聪明的高技术性计算机专家,攻击时的变数太大,所以网络安全不可能单靠防火墙来实现,只可能通过不断完善策略、协议等根本因素才行。
在防火墙目前还不算长的生命周期中,虽然问题不断,但是,它也在科学家的苦心经营下不断自我完善,从单纯地拦截一次来自黑客的恶意进攻,逐步走向安全事件管理及安全信息管理的大路,并将最终汇入网络安全管理系统的大海,这应该是一种历史的必然。一旦防火墙把网络安全管理当作自我完善的终极目的,就等同于将发展的方向定位在了网络安全技术的制高点,如果成功,防火墙将成为未来网络安全技术中不可缺少的一部分。
参考文献
[1]W.Richard As.TCP/IP详解 卷一:协议[M].机械工业出版社,2000.
[2]黎连业,张维.防火墙及其应用技术[M].北京:清华大学,2004.
[3]Marcus Goncalves. 防火墙技术指南[M].北京:机械工业出版社,2000.
谈谈如何防范网络安全范文6
一、系统的安装
(一)系统的安装。时下流行的操作系统通常是windows系列操作系统,如win xp,win 7等。如时间条件允许,尽量使用原版光盘安装,不要使用ghost盘安装,因为ghost版本不同可能会造成系统的不稳定,影响办公效率。分区时系统盘不要太小,以此方式会导致系统盘空间不足而给办公带来不利影响。根据硬盘的实际大小,通常15G至20G为宜。系统盘的文件格式尽量选NTFS格式,系统安装时应断开网线,安装驱动时,尽量使用原版驱动,驱动版本过新或者过旧,都可能造成系统不稳定。系统安装完后,需要为系统漏洞安装补丁,避免一些人利用系统漏洞的病毒和恶意程序对系统进行攻击。设置自动更新、自动为系统安装补丁,或者利用其他软件,为系统安装补丁。
(二)软件的安装。安装软件时,尽量安装正版软件,如果需要网上下载,就尽量到比较大型的、口碑好的网站下载,下载完成后应先使用杀毒软件进行扫描。不必要的软件尽量不安装在系统盘。同类型的软件最好只装一个以避免软件冲突,软件版本的选择因人而异,通常选择个人使用习惯的、运行稳定的版本。在软件的安装过程中不要一味地点“同意”和“下一步”,有些软件安装的时候会有提示是否选择附带的插件,把不必要安装的插件去掉,以及根据个人习惯,选择是否需要开机自动运行等。谨慎安装网上下载的未知软件及游戏等办公不需要的软件。
二、系统的日常使用
(一)设置密码。设置密码不仅可以防止别人使用你的电脑,还可以防止网上黑客入侵攻击,增强系统的安全性,保护系统内文件数据的安全。设置密码要注意给所有administrator组的用户都设置密码,密码不能太简单,不能使用生日等作为密码,复杂一些的密码才不容易被破解。如密码泄露应及时修改密码,若因事离开计算机时,应注意锁定计算机或启用带有密码的屏保。
(二)Guest用户。Guest用户是系统自带的账号,默认来宾权限,会被有的病毒和黑客利用,如果不需要与别人共享打印机,就应关闭Guest用户。
(三)网页浏览与下载。如今网络上出现大量的挂马网页、钓鱼网站等不良网站,在打开网站时,应注意核对网站域名,对不熟悉的网站上的浮动窗口不要轻易点击,弹出窗口应及时关闭,尤其在使用银行卡、支付宝等账号密码时应格外谨慎,注意保护个人信息,切勿通过电子邮件等方式泄漏个人身份证、银行卡、联系方式等信息。通过QQ、MSN等工具收到的网站链接应谨慎打开,收到陌生人发送的电子邮件及其附件不要盲目打开。在网络上下载的资源首先要核对文件大小及后缀名是否正常,并使用杀毒软件扫描之后再运行。
(四)定期清除垃圾文件和不使用的程序。应养成定期整理硬盘的习惯,定期清理桌面,清空回收站,删除不需要的旧文件,定期清理IE缓存,删除不再使用的旧程序和系统临时文件等。这样不仅可以节约硬盘空间,还可以提高系统的工作效率,应注意的是千万不能随便删除自己不知道的系统盘文件,以免因系统文件损坏而造成系统损坏。
(五)数据的保存与备份办公文件数据尽量不要存放在系统盘。很多人习惯把文件放在“我的文档”里,这是不对的。应该把“我的文档”存放路径改到非系统盘,方法是在桌面的“我的文档”上点鼠标右键―属性―目标文件夹―移动,选择到非系统盘上,好处是当需要格式化系统盘重装系统的时候,不用担心文件丢失。重要的文件数据等应在U盘、移动硬盘等其他存储设备里进行一份或多份备份,以免因硬盘损坏而造成损失。
(六)可移动存贮设备,病毒防护。近些年来,随着软盘的逐渐推出,记忆卡、U盘和移动硬盘在日常办公过程中的使用频率日益提高,这些可移动存储设备使用方便,同时也给病毒的传播带来可乘之机。在使用时,当U盘或移动硬盘插入电脑,出现提示框时,关掉提示框,打开“我的电脑”,在新出现的盘符上点右键打开,不要双击打开,防止病毒自动运行。可以在自己的U盘上建立一个名为autorun.inf的文件,预防U盘病毒。因为病毒种类不同,而且新的病毒不断出现,所以在使用中要尽量注意,经常使用病毒库新点的杀毒软件对可移动存储设备进行扫描。当别人的U盘等插到自己计算机上时,先扫描病毒再打开,尽可能降低可移动存储设备传播病毒的概率,以免对计算机造成损害。
(七)使用软件对系统进行检测和优化。目前比较流行的360安全卫士、QQ电脑管家等软件下载安装方便,使用简单,对系统性能优化、漏洞修复、木马查杀、病毒和恶意程序预防及垃圾清理等都有良好效果,可以用来辅助维护计算机系统。定期使用这类软件检查自己的系统,发现问题及时解决,可以增强系统的安全性、稳定性,提高办公效率。
参考文献:
[1]林涛.计算机网络安全技术[M].北京:人民邮电出版社,2007.
[2]洪婷.泛谈个人计算机系统使用安全的防治措施[J].科技广场,2009,(9).
[3]夏滢.几招小技巧维护计算机操作系统安全[J].山东煤炭科技,2010,(4).