畢業(yè)設(shè)計(論文)計算機(jī)網(wǎng)絡(luò)安全_第1頁
畢業(yè)設(shè)計(論文)計算機(jī)網(wǎng)絡(luò)安全_第2頁
畢業(yè)設(shè)計(論文)計算機(jī)網(wǎng)絡(luò)安全_第3頁
畢業(yè)設(shè)計(論文)計算機(jī)網(wǎng)絡(luò)安全_第4頁
畢業(yè)設(shè)計(論文)計算機(jī)網(wǎng)絡(luò)安全_第5頁
已閱讀5頁,還剩9頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、計算機(jī)網(wǎng)絡(luò)安全摘 要21世紀(jì),計算機(jī)網(wǎng)絡(luò)的飛速發(fā)展已經(jīng)大大地改變我們的生活方式,人類進(jìn)入了信息時代。通過計算機(jī)網(wǎng)絡(luò),我們可以很方便地存儲、交換以及搜索信息,給人的工作、生活以及娛樂帶來了極大的方便。然而,由于很多原因,計算機(jī)網(wǎng)絡(luò)也暴露出很多安全問題。這些安全問題對計算機(jī)網(wǎng)絡(luò)的使用造成不小的影響,這些影響體現(xiàn)在個人生活、商務(wù)往來、經(jīng)濟(jì)活動,基于政治和軍事方面。計算機(jī)網(wǎng)絡(luò)的安全就是為了克服這些安全問題,使計算機(jī)網(wǎng)絡(luò)的使用更有保障而誕生和發(fā)展起來的。由于其重要性,計算機(jī)網(wǎng)絡(luò)安全已經(jīng)受到人們的極大關(guān)注,網(wǎng)絡(luò)安全正在成為一個發(fā)展非常迅速的領(lǐng)域。在很短的時間內(nèi),各種網(wǎng)絡(luò)安全技術(shù)紛紛問世并在不斷地發(fā)展。本論

2、文主要目標(biāo)就是把目前有關(guān)計算機(jī)網(wǎng)絡(luò)安全的技術(shù)放在一個結(jié)構(gòu)化比較清楚的框架中,使我們可以更快、更深刻的掌握計算機(jī)網(wǎng)絡(luò)安全的知識。本論文的第一章是緒論。這部分內(nèi)包括:網(wǎng)絡(luò)信息安全的重要性以及安全的定義。本論文的第二章是計算網(wǎng)絡(luò)面臨的威脅。從四個方面說起:(1)人為的無意失誤;(2)人為的惡意攻擊;(3)網(wǎng)絡(luò)軟件的漏洞和“后門”;(4)天災(zāi)人禍。本論文的第三章是信息加密策略。主要內(nèi)容:(1)加密的由來;(2)加密的概念;(3)加密的理由;(4)三種加密方法。本論文的第四章是防火墻技術(shù)。論述:防火墻技術(shù)綜述,并詳細(xì)說明防火墻的分類。本論文的第五章是入侵檢測系統(tǒng)。主要就:入侵檢測基本概念,入侵檢測系統(tǒng)的

3、分類來細(xì)述。最后討論了一下安全的未來。關(guān)鍵詞:加密技術(shù);防火墻技術(shù);入侵檢測技術(shù)目錄第一章 緒論21-1 概述21-2 安全的定義3第二章 計算網(wǎng)絡(luò)面臨的威脅32-1人為的無意失誤42-2 人為的惡意攻擊42-3 攻擊動機(jī)52-4 天災(zāi)人禍5第三章 信息加密策略63-1 加密的由來63-2 加密的概念63-3 加密的理由63-4 三種加密方法73-4-1 對稱加密73-4-2 非對稱加密83-4-3 單項加密8第四章 防火墻技術(shù)84-1 防火墻技術(shù)綜述84-2 防火墻的分類94-2-1 包過濾型94-2-2 網(wǎng)絡(luò)地址轉(zhuǎn)化nat104-2-3 代理型104-2-4 監(jiān)測型10第五章 入侵檢測系統(tǒng)

4、115-1 入侵檢測基本概念115-2 入侵檢測系統(tǒng)的分類115-2-1 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)115-2-2 基于主機(jī)的入侵檢測125-2-3 基于應(yīng)用程序的入侵檢測系統(tǒng)13結(jié)束語 網(wǎng)絡(luò)安全未來14參考文獻(xiàn)14第一章 緒論1-1 概述信息社會的到來,給全球帶來了信息技術(shù)飛速發(fā)展的契機(jī)。信息技術(shù)的應(yīng)用,引起了人們生產(chǎn)方式、生活方式和思想觀念的巨大變化,極大地推動了人類社會的發(fā)展和人類文明的進(jìn)步,把人類帶入了嶄新的時代。信息系統(tǒng)的建立已逐漸成為社會各個領(lǐng)域不可或缺的基礎(chǔ)設(shè)施;信息已成社會發(fā)展的重要戰(zhàn)略資源、決策資源和控制戰(zhàn)場的靈魂;信息化水平已成為衡量一個國家現(xiàn)代化程度和綜合程度的重要標(biāo)志。當(dāng)今

5、,計算機(jī)網(wǎng)絡(luò)信息共享和資源共享等優(yōu)點,日益受到人們的注目,并獲得廣泛的應(yīng)用。同時,隨著全球互聯(lián)網(wǎng)絡(luò)internet 應(yīng)用范圍的擴(kuò)大,使得網(wǎng)絡(luò)應(yīng)用進(jìn)入到一個嶄新的階段。一方面,入網(wǎng)用戶能以最快的速度、最便于工作利的方式及最廉價的開銷,獲得最新的信息,并在國際范圍內(nèi)進(jìn)行交流;另一方面,隨著網(wǎng)絡(luò)規(guī)模越來越大和越來越開放,網(wǎng)絡(luò)上的許多敏感信息和保密數(shù)據(jù)難免受到各種主動和被動的人為攻擊。也就是說,人們在計算機(jī)網(wǎng)絡(luò)提供益處的同時,必須考慮如何對待網(wǎng)絡(luò)上日益泛濫的信息垃圾和非法行為,即必須研究網(wǎng)絡(luò)安全問題。眾所周知,利用計算機(jī)環(huán)境進(jìn)行全球通信已成為時代發(fā)展的必然趨勢。但是,如何在一個開放式的計算機(jī)網(wǎng)絡(luò)物理環(huán)

6、境中構(gòu)造一個封閉的邏輯環(huán)境來滿足于國家、群體和個人實際需要,已成為必須考慮的實際問題?;ミB的計算機(jī)網(wǎng)絡(luò)常常由于節(jié)點分散、難以管理等問題,而受到攻擊和受分布操作帶來的損失。若沒有安全保障,則系統(tǒng)會帶來災(zāi)難性的后果。1-2 安全的定義在網(wǎng)絡(luò)信息安全領(lǐng)域中,對于安全沒有一個明確的定義。通常,在網(wǎng)絡(luò)環(huán)境里的安全指的是一種能夠識別和消除不安全因素的能力。國際標(biāo)準(zhǔn)化組織(iso)7498-2安全體系結(jié)構(gòu)文獻(xiàn)定義安全就是最小化資產(chǎn)和資源的漏洞。安全的一般性定義也必須解決保護(hù)公司財產(chǎn)的需要,包括信息和物理設(shè)備(例如計算機(jī)本身)。安全的想法也涉及到適宜性和從屬性概念。負(fù)責(zé)安全的任何一個人都必須決定誰在具體的設(shè)備

7、上進(jìn)行合適的操作,以及什么時候。當(dāng)涉及到公司安全的時候什么是適宜的。在公司與公司之間是不同的,但是任何一個具有網(wǎng)絡(luò)的公司都必須具有一個解決適宜性、從屬性和物理安全問題的安全政策。網(wǎng)絡(luò)安全是一個動態(tài)平衡的過程。所謂“動態(tài)”就是指安全是一個不間斷的過程,信息系統(tǒng)的入侵和保衛(wèi)者總是在無休止地演出攻與防的戰(zhàn)斗。只要是有連通性的網(wǎng)絡(luò)信息系統(tǒng)就存在網(wǎng)絡(luò)安全的風(fēng)險,攻和防之間的力量和手段的對比是在不斷地變化的。所謂“平衡”是指安全的措施要和風(fēng)險的程度相適應(yīng),沒有必要盲目地讓信息系統(tǒng)變得特別安全。因為安全的級別和程度越高就意味著成本和開銷越大,也意味著對使用者的使得性和網(wǎng)絡(luò)的性能的負(fù)面影響也越大。第二章 計算

8、網(wǎng)絡(luò)面臨的威脅隨著計算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,全球信息化已成為人類發(fā)展的大趨勢。但由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊,所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。無論是在局域網(wǎng)還是在廣域網(wǎng)中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此,網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網(wǎng)絡(luò)信息的保密性、完可用性。計算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為兩種:一是對網(wǎng)絡(luò)中信息的威脅;二是對網(wǎng)絡(luò)中設(shè)備的威脅。影響計算機(jī)網(wǎng)絡(luò)的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可

9、能是自然的;可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使有,歸結(jié)起來,針對網(wǎng)絡(luò)安全的威脅主要有四:2-1人為的無意失誤如操作員安全配置不當(dāng)造成的安全漏洞,用戶安全意識不強(qiáng),用戶口令選擇不慎,用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。下面從危險口有幾個方面來說,它們完全是由于人在無意情況下造成的威脅。(1)使用用戶名(賬號)作為口令。盡管這種方法便于記憶,可是在安全上幾乎不堪一擊。幾乎所有以破解口令為手段的黑客軟件,都首先會將用戶名作為口令的突破口,而破解這種口令幾乎不需要時間。不要以為沒有人會采用這種愚蠢的辦法,根據(jù)有經(jīng)驗的黑客反映,在一個用戶數(shù)超過1000的計算機(jī)網(wǎng)絡(luò)中,一般

10、可以找到1020個這樣的用戶,而他們則成為了黑客入侵的最佳選擇。(2)使用用戶名(賬號)的變換形式作為口令。使用這種方法的用戶自以為很聰明,將用戶名顛倒或者加前后綴作為口令,既容易記憶又可以防止許多黑客軟件。的確,對于這種方法是有相當(dāng)一部分黑客軟件無用武之地,不過那只是一些初級的軟件,一個優(yōu)秀的黑客軟件是完全有辦法破解的。(3)使用自己或者親友的生日作為口令。這種口令有著很大的欺騙性,因為這樣往往可以得到一個6位或者8位的口令,從數(shù)學(xué)理論上來說分別有1000000和100000000種可能性,很難得到破解。其實,由于口令中表示月份的兩位數(shù)字只有12個可以使用,表示日期的兩位數(shù)字也只有131個可

11、以使用,而今位數(shù)的口令中年分的位數(shù)通常是19*年,經(jīng)過這樣推理,使用生日作為口令盡管有6位,但實際上可能的表達(dá)方式只有100*12*31=37200種,即使再考慮到年月共有6種排列順序,一共也只的37200*6=22322種,僅僅是原來100000000的確1/448,而一臺普通的pentium200計算機(jī)每秒可以搜索3萬4萬種,僅僅需要5.58秒時間就可以搜索完全所有可能的口令。(4)使用常用的英文單詞作為口令。這種方法比前幾種方法要安全一些。前幾種只需要時間一定能破解,而這一種剛未必。如果選用的單詞是十分生僻的,那么黑客軟件搜索起來相對有困難。但也要清楚黑客大多有一個很大的字典庫,一般包含

12、10萬20萬的英文單詞及相應(yīng)的組合,如果用戶不是在研究英語的專家,那么選擇的英文單詞恐怕十之八九能在黑客的字典庫中找到。如果是那樣的話,以20萬單詞的字典庫計算,再考慮到一些des算法的加密運(yùn)算,每秒1800個的搜索速度也不過只需要110秒即可搜索完。2-2 人為的惡意攻擊這是計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅,敵手的攻擊和計算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對計算機(jī)網(wǎng)絡(luò)造成極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。惡意的舉動可

13、能有很多原因,但是這類舉動一般可以歸納為3個大的范疇,分別是偶然的破壞者、堅定者和間諜。他們的目的及出發(fā)點可能會有些差異。當(dāng)確定一個公司的安全的時候,需要考慮的最重要的一件事就是識別出把該公司作為目標(biāo)的黑客的類型和預(yù)料黑客的態(tài)度。2-3 攻擊動機(jī)了解攻擊的動機(jī)可以幫助洞察網(wǎng)絡(luò)中哪些部分容易受到攻擊以及攻擊者最可能采取什么方式。在許多情況下,攻擊都來自外部的internet,所以在internet和可信的企業(yè)網(wǎng)絡(luò)之間設(shè)置防火墻是限制攻擊發(fā)生的關(guān)鍵因素。防火墻在網(wǎng)絡(luò)安全中是一個很重要的因素,但要保證網(wǎng)絡(luò)的安全必須把整個網(wǎng)絡(luò)當(dāng)作一個整體來對待。下面是一些常見的攻擊原因。(1)貪婪入侵者為了獲得巨額報

14、酬而愛雇于某人,幫助此人攻入企業(yè)網(wǎng)絡(luò)盜竊或篡改信息。(2)惡作劇入侵者閑極無聊又具備一定的計算機(jī)知識,所以總想訪問所有感興趣的站點。(3)揚(yáng)名入侵者非常熟悉計算機(jī),想通過攻入大家都認(rèn)為很難滲透區(qū)域來證明他的能力。攻擊成功可以獲得同行的尊敬和認(rèn)可。(4)報復(fù)入侵者被停職、解雇、降職或受到某些不公正的待遇而采取入侵行為。這種攻擊往往導(dǎo)致重要信息損毀或服務(wù)被破壞。(5)無知入侵者正在學(xué)習(xí)計算機(jī)和網(wǎng)絡(luò),無意中發(fā)現(xiàn)的一些系統(tǒng)弱點可能導(dǎo)致數(shù)據(jù)被毀。所有安全系統(tǒng)根本原則是,如果攻擊者具有足夠的技術(shù)、動機(jī)和機(jī)會,則攻擊將會成功。作為安全系統(tǒng)的設(shè)計者,目標(biāo)是推測以上3個特點,以使能夠成功攻擊者的數(shù)量最小。2-4

15、 天災(zāi)人禍這類網(wǎng)絡(luò)威脅主要是指那些不可預(yù)測的自然災(zāi)害和人為惡性事件。例如,臺風(fēng)、地震、火山噴發(fā)、洪水等自然災(zāi)害,以及人為縱火、惡意破壞、惡意偷盜、爆炸撞機(jī)的恐怖事件等,震驚全世界的紐約“911”事件是一個典型的事例。雖然對一個部門的內(nèi)部網(wǎng)絡(luò)來說,發(fā)生天災(zāi)人禍的幾率是非常小的。但是,一旦發(fā)生,后果將是非常嚴(yán)重的,甚至是毀滅性的,萬萬不可疏于防范。第三章 信息加密策略3-1 加密的由來加密作為保障數(shù)據(jù)安全的一種方式,它不是現(xiàn)在才有的,它產(chǎn)生的歷史相當(dāng)久遠(yuǎn),它是起源于要追溯于公元前2000年(幾個世紀(jì)了),雖然它不是現(xiàn)在我們所講的加密技術(shù)(甚至不叫加密),但作為一種加密的概念,確實早在幾個世紀(jì)前就誕

16、生了。當(dāng)時埃及人是最先使用特別的象形文字作為信息編碼的,隨著時間推移,巴比倫、美索不達(dá)米亞和希臘文明都開始使用一些方法來保護(hù)他們的書面信息。近期加密技術(shù)主要應(yīng)用于軍事領(lǐng)域,如美國獨(dú)立戰(zhàn)爭、美國內(nèi)戰(zhàn)和兩次世界大戰(zhàn)。最廣為人知的編碼機(jī)器是german enigma機(jī),在第二次世界大戰(zhàn)中德國人利用它創(chuàng)建了加密信息。此后,由于alan turing和ultra計劃以及其他人的努力,終于對德國人的密碼進(jìn)行了破解。當(dāng)初,計算機(jī)的研究就是為了破解德國人的密碼,人們并沒有想到計算機(jī)給今天帶來的信息革命。隨著計算機(jī)的發(fā)展,運(yùn)算能力的增強(qiáng),過去的密碼都變得十分簡單了,于是人們又不斷地研究出了新的數(shù)據(jù)加密方式,如利

17、用rosa算法產(chǎn)生的私鑰和公鑰就是在這個基礎(chǔ)上產(chǎn)生的。3-2 加密的概念數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容,通過這樣的途徑來達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取、閱讀的目的。該過程的逆過程為解密,即將該編碼信息轉(zhuǎn)化為其原來數(shù)據(jù)的過程。3-3 加密的理由當(dāng)今網(wǎng)絡(luò)社會選擇加密已是我們別無選擇,其一是我們知道在互聯(lián)網(wǎng)上進(jìn)行文件傳輸、電子郵件商務(wù)往來存在許多不安全因素,特別是對于一些大公司和一些機(jī)密文件在網(wǎng)絡(luò)上傳輸。而且這種不安全性是互聯(lián)網(wǎng)存在基礎(chǔ)tcp/ip協(xié)議所固有的,包括一些基于tcp

18、/ip的服務(wù);另一方面,互聯(lián)網(wǎng)給眾多的商家?guī)砹藷o限的商機(jī),互聯(lián)網(wǎng)把全世界連在了一起,走向互聯(lián)網(wǎng)就意味著走向了世界,這對于無數(shù)商家無疑是夢寐以求的好事,特別是對于中小企業(yè)。為了解決這一對矛盾、為了能在安全的基礎(chǔ)上大開這通向世界之門,我們只好選擇了數(shù)據(jù)加密和基于加密技術(shù)的數(shù)字簽名。加密在網(wǎng)絡(luò)上的作用就是防止有用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取。一個簡單的例子就是密碼的傳輸,計算機(jī)密碼極為重要,許多安全防護(hù)體系是基于密碼的,密碼的泄露在某種意義上來講意味著其安全體系的全面崩潰。通過網(wǎng)絡(luò)進(jìn)行登錄時,所鍵入的密碼以明文的形式被傳輸?shù)椒?wù)器,而網(wǎng)絡(luò)上的竊聽是一件極為容易的事情,所以很有可能黑客會竊取得用

19、戶的密碼,如果用戶是root用戶或administrator用戶,那后果將是極為嚴(yán)重的。還有如果你公司在進(jìn)行著某個招標(biāo)項目的投標(biāo)工作,工作人員通過電子郵件的方式把他們單位的標(biāo)書發(fā)給招標(biāo)單位,如果此時有另一位競爭對手從網(wǎng)絡(luò)上竊取到你公司的標(biāo)書,從中知道你公司投標(biāo)的標(biāo)的,那后果將是怎樣,相信不用多說聰明的你也明白。這樣的例子實在是太多了,解決上述難題的方案就是加密,加密后的口令即使被黑客獲得也是不可讀的,加密后的標(biāo)書沒有收件人的私鑰也就無法解開,標(biāo)書成為一大堆無任何實際意義的亂碼??傊疅o論是單位還是個人在某種意義上來說加密也成為當(dāng)今網(wǎng)絡(luò)社會進(jìn)行文件或郵件安全傳輸?shù)臅r代象征!數(shù)字簽名就是基于加密技術(shù)

20、的,它的作用就是用來確定用戶是否是真實的。應(yīng)用最多的還是電子郵件,如當(dāng)用戶收到一封電子郵件時,郵件上面標(biāo)有發(fā)信人的姓名和信箱地址,很多人可能會簡單地認(rèn)為發(fā)信人就是信上說明的那個人,但實際上偽造一封電子郵件對于一個通常人來說是極為容易的事。在這種情況下,就要用到加密技術(shù)基礎(chǔ)上的數(shù)字簽名,用它來確認(rèn)發(fā)信人身份的真實性。類似數(shù)字簽名技術(shù)的還有一種身份認(rèn)證技術(shù),有些站點提供入站ftp和www服務(wù),當(dāng)然用戶通常接觸的這類服務(wù)是匿名服務(wù),用戶的權(quán)力要受到限制,但也有的這類服務(wù)不是匿名的,如某公司為了信息交流提供用戶的合作伙伴非匿名的ftp服務(wù),或開發(fā)小組把他們的web網(wǎng)頁上載到用戶的www服務(wù)器上,現(xiàn)在的

21、問題就是,用戶如何確定正在訪問用戶的服務(wù)器的人就是用戶認(rèn)為的那個人,身份認(rèn)證技術(shù)就是一個好的解決方案。在這里需要強(qiáng)調(diào)一點的就是,文件加密其實不只用于電子郵件或網(wǎng)絡(luò)上的文件傳輸,其實也可應(yīng)用靜態(tài)的文件保護(hù),如pip軟件就可以對磁盤、硬盤中的文件或文件夾進(jìn)行加密,以防他人竊取其中的信息。3-4 三種加密方法 加密技術(shù)通常分為三大類:“對稱式”、“非對稱式”和”單項式”。3-4-1 對稱加密對稱式加密就是加密和解密使用同一個密鑰,通常稱之為“session key ”這種加密技術(shù)目前被廣泛采用,如美國政府所采用的des加密標(biāo)準(zhǔn)就是一種典型的“對稱式”加密法,它的session key長度為56bit

22、s。對稱加密算法的一個優(yōu)點是加密的運(yùn)算速度快。有很多先烈的加密算法來實現(xiàn)對稱加密。例如數(shù)據(jù)加密標(biāo)準(zhǔn)(des),3des,rsa 算法的rc2、rc4、rc5、rc6、mars、twofish,以及serpent等。3-4-2 非對稱加密非對稱式加密就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為“公鑰”和“私鑰”,它們兩個必需配對使用,否則不能打開加密文件。這里的“公鑰”是指可以對外公布的,“私鑰”則不能,只能由持有人一個人知道。它的優(yōu)越性就在這里,因為對稱式的加密方法如果是在網(wǎng)絡(luò)上傳輸加密文件就很難把密鑰告訴對方,不管用什么方法都有可能被別竊廳到。而非對稱式的加密方法有兩個密鑰,且

23、其中的“公鑰”是可以公開的,也就不怕別人知道,收件人解密時只要用自己的私鑰即可以,這樣就很好地避免了密鑰的傳輸安全性問題。3種最常見的非對稱加密是rsa、digital signature algorithm(dsa)和diffie-hellman。dsa是美國國家技術(shù)標(biāo)準(zhǔn)局研發(fā)的技術(shù),并且已廣為使用。盡管它的功能不同于rsa,但它并不是一項專利,并且成為linux 下公鑰加密方法的標(biāo)準(zhǔn)。diffie-hellman是一種安全交換密鑰的協(xié)議,因比可以看做密鑰交換協(xié)議。它是一種開放式標(biāo)準(zhǔn)并在安全通信中廣泛使用,主要有一點作了改動:因為 diffie-hellman密鑰交換協(xié)議的方法易受man i

24、n the middle這類攻擊,所以station-to station(sts)協(xié)議改變了diffie-hellman協(xié)議包括采取相應(yīng)的認(rèn)證。3-4-3 單項加密單項加密也叫做哈希加密,這種加密使用hash算法把一些不同長度的信息轉(zhuǎn)化成雜亂的確128位的編碼里,叫做hash值。hash加密用于不想對信息解密或讀取。使用這種方法解密在理論上是不可能根據(jù)密明文,所以叫做單向加密。但是通過比較兩個實體的hash值是否一樣而確定數(shù)據(jù)時候可靠。例如,一臺自動取款機(jī)(atm)不需要解密一個消費(fèi)者的個人標(biāo)識數(shù)字(pin)。磁條卡將顧客的pin單向地加密成一段hash值,一旦插下時,atm機(jī)將計算用戶pi

25、n的hash值并產(chǎn)生使對于那些維護(hù)atm機(jī)的人來說也于法獲知用戶的pin碼。目前使用幾種標(biāo)準(zhǔn)單向加密算法有md2、md4、md5和sha。md2,md4和md5是一組基于單向hash功能的算法。第四章 防火墻技術(shù)4-1 防火墻技術(shù)綜述網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。 目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)

26、關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。 雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。 自從1986年美國digital公司在internet上安裝了全球第一個商用防火墻系統(tǒng),提出了防火墻概念后,防火墻技術(shù)得到了飛速的發(fā)展。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。 防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上,企業(yè)對安全系統(tǒng)提出的問題是:所有的ip是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)

27、系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。 作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。 4-2 防火墻的分類根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換nat、

28、代理型和監(jiān)測型。4-2-1 包過濾型 包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、tcp/udp源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。 包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。 但包過濾技術(shù)的缺陷也是明顯

29、的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造ip地址,騙過包過濾型防火墻。 4-2-2 網(wǎng)絡(luò)地址轉(zhuǎn)化nat 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把ip地址轉(zhuǎn)換成臨時的、外部的、注冊的ip地址標(biāo)準(zhǔn)。它允許具有私有ip地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的ip地址。 在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)

30、連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的ip地址和端口來請求訪問。olm防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時,防火墻認(rèn)為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計算機(jī)中。當(dāng)不符合規(guī)則時,防火墻認(rèn)為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。 4-2-3 代理型 代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代

31、理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。 代理型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大

32、大增加了系統(tǒng)管理的復(fù)雜性。 4-2-4 監(jiān)測型 監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品 雖然監(jiān)測型防火墻安全性上已超

33、越了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻?;趯ο到y(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。 實際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。例如,它可以過濾掉ftp連接中的put命令,而且通過代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能

34、夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點,使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。第五章 入侵檢測系統(tǒng)5-1 入侵檢測基本概念入侵檢測系統(tǒng)是一種安全軟件或者硬件。如果一個系統(tǒng)的計算機(jī)或者網(wǎng)絡(luò)安裝了入侵檢測系統(tǒng),它會監(jiān)視系統(tǒng)的某些范圍,當(dāng)系統(tǒng)受到攻擊的時候,它可以檢測出來并做出響應(yīng)。 入侵被檢測出來的過程包括監(jiān)控在計算機(jī)系統(tǒng)或者網(wǎng)絡(luò)中發(fā)生的事件,再分析處理這些事件,檢測出入侵事件。入侵檢測系統(tǒng)是使這監(jiān)控和分析過程自動化的產(chǎn)品,可以是軟件,也可是硬件。如上所述,入侵就是成功的攻擊。目前的入侵檢測系統(tǒng)不只檢測入侵(已成功的攻擊),它們還檢

35、測未成功的攻擊,所以準(zhǔn)確地說,入侵檢測系統(tǒng)應(yīng)該被稱為攻擊檢測系統(tǒng)!但是入侵檢測系統(tǒng)工程這個名稱已經(jīng)用習(xí)慣了,因此我們說入侵檢測系統(tǒng)意味著入侵和攻擊都能被檢測出來。5-2 入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的一個重要概念是從什么樣的數(shù)據(jù)源檢測入侵。根據(jù)數(shù)據(jù)來源的不同,入侵檢測系統(tǒng)常被分為基于主機(jī)的入侵檢測系統(tǒng)的、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于應(yīng)用程序的入侵檢測系統(tǒng)。基于主機(jī)的入侵檢測系統(tǒng)的數(shù)據(jù)源來自主機(jī),如日志文件、審計記錄等?;诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡(luò)流量。5-2-1 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)大多數(shù)入侵檢測系統(tǒng)工程商業(yè)產(chǎn)品是基于網(wǎng)絡(luò)的。為了檢測入侵,這種入侵檢測系統(tǒng)捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包。通過

36、監(jiān)聽某個網(wǎng)段的流量, 一個基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以監(jiān)控并分析該網(wǎng)段發(fā)生的事伯,從而可以保護(hù)該網(wǎng)段的流量,一個基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)一般包括一組傳感器頒布在網(wǎng)絡(luò)的不同網(wǎng)段。由于這些傳感器專門為了入侵檢測系統(tǒng)設(shè)計,所以它們具有很多對付攻擊的安全措施。很多傳感器有一個運(yùn)行模式叫做“被動模式”,這樣,攻擊者難以確定它們的存在以及位置。(1) 優(yōu)點一個基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以監(jiān)控多個主機(jī)?;诰W(wǎng)絡(luò)系統(tǒng)的入侵檢測系統(tǒng)在網(wǎng)絡(luò)上的存在一般對現(xiàn)有的網(wǎng)絡(luò)影響比較小?;诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)只是被動局面地監(jiān)聽網(wǎng)絡(luò)系統(tǒng)流量,根本不妨礙網(wǎng)絡(luò)的正常運(yùn)行。所以一個現(xiàn)有的網(wǎng)絡(luò)可以容易地安裝上一個基于網(wǎng)絡(luò)系統(tǒng)的入侵檢測系統(tǒng)。

37、基于網(wǎng)絡(luò)系統(tǒng)的入侵檢測系統(tǒng)可設(shè)計成非常健壯,有時攻擊者根本都看不到它的存在。(2) 缺點基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的處理能力可能有限。在一個高速網(wǎng)絡(luò)上,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可能會處理不了所有的數(shù)據(jù)包,從而有的攻擊可能會檢測不到。有的廠家為了克服這個問題把基于主機(jī)制入侵檢測系統(tǒng)做成硬件,提高它們的處理速度。提高速度的另一種途徑是減少檢測的攻擊類型或者大量使用系統(tǒng)資源,這樣影響檢測的效率。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)不能分析加密信息?,F(xiàn)在越來越多人(包括攻擊者)使用虛擬專用網(wǎng)(vpn)。在這樣的網(wǎng)絡(luò)環(huán)境上傳輸?shù)男畔⒍急患舆^密,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)就無法正常檢測了。多數(shù)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)不能確定一次攻

38、擊是否成功,它們只能檢測攻擊者使用某種方法進(jìn)行攻擊。所以,在基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)檢測出一次攻擊之后,安全管理員必須再作調(diào)查才能確定這次攻擊是否已經(jīng)成功地穿入系統(tǒng)。5-2-2 基于主機(jī)的入侵檢測基于主機(jī)制入侵檢測系統(tǒng)處理信息來自一臺計算機(jī)系統(tǒng)里(請注意,基于應(yīng)用程序的入侵檢測系統(tǒng)實際上就是基于主機(jī)的入侵檢測系統(tǒng)的一個子集)。這個特點雞毛基于主機(jī)制入侵檢測系統(tǒng)可以非??煽亢蜏?zhǔn)確地分析主機(jī)上發(fā)生的入侵的時間,正確地指出系統(tǒng)上的哪些進(jìn)程和用戶包含在一起入侵事件內(nèi)。與基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)不同,基于主機(jī)制入侵系統(tǒng)可以通過檢查系統(tǒng)上的文件系統(tǒng)、日志以及進(jìn)程,判別出哪些攻擊已經(jīng)成功地穿入系統(tǒng)?;谥鳈C(jī)的入侵檢測系統(tǒng)分析的信息源一般有兩種:審計記錄和系統(tǒng)日志。審計記錄是操作系統(tǒng)的內(nèi)核在操作的時候生成的,所以比系統(tǒng)日志的信息有更多和更可靠的信息。然而,系統(tǒng)日志比審計記錄要少,簡單易懂,處理起來更方便。有的基于主機(jī)的入侵檢測系統(tǒng)采用集中控制方式。在每一臺主機(jī)上運(yùn)行一個傳感器。偉感器收集本機(jī)上的信息,傳輸?shù)揭粋€控

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論