計(jì)算機(jī)硬件對(duì)網(wǎng)絡(luò)安全的支持作用探究_圖文

1、計(jì)算機(jī)硬件對(duì)網(wǎng)絡(luò)安全的支持作用探究 馮國(guó)平山西煤炭職業(yè)技術(shù)學(xué)院山西03003l摘要:網(wǎng)絡(luò)安全已成為不容忽視的問(wèn)題,網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)需在網(wǎng)絡(luò)硬件及環(huán)境、軟件及數(shù)據(jù)、網(wǎng)際通信等不同層次 上實(shí)施一系列不盡相同的保護(hù)措施,各項(xiàng)安全防護(hù)都不能孤立地進(jìn)行,整體是一項(xiàng)復(fù)雜的系統(tǒng)工程。因此,不斷探討硬件對(duì) 網(wǎng)絡(luò)安全的支持作用是十分必要的。關(guān)鍵詞:網(wǎng)絡(luò)安全,機(jī)制;硬件加速0引言網(wǎng)絡(luò)硬件設(shè)備包括計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)連接設(shè)備和傳輸介質(zhì)等。計(jì)算機(jī)設(shè)備包括主機(jī)、服務(wù)器和工作站等。網(wǎng)絡(luò)連接設(shè)備有網(wǎng)卡、調(diào)制解調(diào)器、通信處理器、集線器、交換機(jī)等。傳輸介質(zhì)則是電纜、光纖、微波和電磁波等。l硬件設(shè)備對(duì)網(wǎng)絡(luò)安全的影響在網(wǎng)絡(luò)安全建設(shè)中

2、,主要的硬件設(shè)備包括交換機(jī)、路由器及保證內(nèi)部網(wǎng)絡(luò)安全的硬件防火墻。各種硬件設(shè)備都應(yīng)進(jìn)行安全方面的配置,以達(dá)到所有硬件設(shè)備都參與安全實(shí)施的目的。要保障這些設(shè)備安全可靠地運(yùn)行必須有良好的工作環(huán)境,不然就會(huì)留下嚴(yán)重隱患。環(huán)境因素中溫度、濕度、塵埃、靜電、電磁波、傳輸媒介等都會(huì)對(duì)網(wǎng)絡(luò)設(shè)備產(chǎn)生影響。溫度偏高會(huì)引起設(shè)備技術(shù)參數(shù)的偏離,形成邏輯錯(cuò)誤,此外還會(huì)導(dǎo)致系統(tǒng)內(nèi)部電源的燒毀或燒壞一些電器元件。溫度過(guò)低會(huì)出現(xiàn)水汽凝聚和結(jié)露現(xiàn)象,導(dǎo)致短路、腐蝕生銹,使一些熱敏器件內(nèi)部損壞而不能正常工作。過(guò)多的塵?？稍斐山^緣電阻減小,泄漏電流增加,機(jī)器出現(xiàn)錯(cuò)誤動(dòng)作,如果外加空氣潮濕將會(huì)引起元器件間放電、打火,嚴(yán)重的還會(huì)引起

3、火災(zāi)。對(duì)于機(jī)器內(nèi)部電路板上的雙列直插組件的接線器,灰塵的阻塞往往會(huì)形成錯(cuò)誤的運(yùn)行結(jié)果。靜電是網(wǎng)絡(luò)所面臨的較為嚴(yán)重的問(wèn)題。靜電具有高電壓、低能量的特點(diǎn),容易使終端閉鎖,產(chǎn)生一些奇怪的現(xiàn)象。人體所帶靜電超過(guò)1萬(wàn)伏的現(xiàn)象并不罕見。網(wǎng)絡(luò)器件對(duì)靜電很敏感,所產(chǎn)生的破壞是在不知不覺中發(fā)生的。電磁波和微波也通過(guò)傳導(dǎo)、輻射等方式對(duì)網(wǎng)絡(luò)系統(tǒng)形成干擾,輕者產(chǎn)生誤動(dòng)作,使所傳輸?shù)男畔l(fā)生混亂,嚴(yán)重的會(huì)使硬件設(shè)備癱瘓。傳輸介質(zhì)的選擇不當(dāng)、安裝工藝技術(shù)處理不好也會(huì)影響系統(tǒng)。如光纖和電纜的長(zhǎng)度、走向、松緊、 圈 曲率、保護(hù)、兩端的對(duì)應(yīng)關(guān)系及光電轉(zhuǎn)換器,分路器等處理不當(dāng),易引起串?dāng)_、開路或短路等故障。2保障網(wǎng)絡(luò)硬件設(shè)備安全

4、運(yùn)行的對(duì)策2.1合理選用網(wǎng)絡(luò)結(jié)構(gòu),設(shè)備與傳輸媒介各種類型的網(wǎng)絡(luò)結(jié)構(gòu)都有各自的優(yōu)缺點(diǎn),應(yīng)進(jìn)行比較分 析?？偩€型以太網(wǎng)的主要性能指標(biāo)為:最多5條網(wǎng)段,每網(wǎng)段 最長(zhǎng)lOOm(雙絞線,同軸電纜最長(zhǎng)500m,每網(wǎng)段最多可連接 30臺(tái)工作站,兩工作站點(diǎn)之間最小距離為0.5m。對(duì)于服務(wù)器 和工作站,在要求達(dá)到一定的技術(shù)指標(biāo)的同時(shí)還要兼顧可靠 性。服務(wù)器應(yīng)有較完善的容錯(cuò)能力,可帶電熱插拔,具有智 能化的I/O技術(shù)及良好的可擴(kuò)充性能等。當(dāng)然機(jī)器的型號(hào),兼 容性,廠家的保修及售后服務(wù)也不能忽視。傳輸介質(zhì)應(yīng)考慮 其傳輸速度,傳輸距離和抗干擾的能力等。不同的拓?fù)浣Y(jié)構(gòu) 應(yīng)采用合適的傳輸媒介。由于服務(wù)器和工作站同時(shí)出現(xiàn)故

5、障的概率極小,可針對(duì) 每個(gè)工作站在服務(wù)器上建立起目錄,存放該工作站的數(shù)據(jù)。 對(duì)服務(wù)器采用雙機(jī)熱備份,將關(guān)鍵性數(shù)據(jù)存放在主機(jī)和備份 機(jī)都可以接管的磁盤陣列上。保證在數(shù)據(jù)存儲(chǔ)和傳輸中使用 的設(shè)備,都是雙份的,在主機(jī)和備份機(jī)中,每臺(tái)機(jī)器配置有 雙CPU,雙網(wǎng)卡,雙SCSI卡,雙磁盤控制卡及鏡像等。一旦 運(yùn)行中有一個(gè)硬件設(shè)備損壞,另一個(gè)備用設(shè)備立即代替原設(shè) 備正常工作。網(wǎng)絡(luò)的維護(hù)工作一般由三家承擔(dān):用戶單位網(wǎng)絡(luò)中心、 承建網(wǎng)絡(luò)系統(tǒng)的系統(tǒng)集成商和專業(yè)的系統(tǒng)維護(hù)商。用戶單位 的網(wǎng)絡(luò)中心的時(shí)間響應(yīng)快,但要全面建設(shè)則在人員、設(shè)備備 份及故障檢測(cè)儀器等方面有較大的投資。系統(tǒng)集成商主要承 擔(dān)建網(wǎng)工作,做長(zhǎng)期網(wǎng)絡(luò)維

6、護(hù)工作有一定困難。系統(tǒng)維護(hù)商 萬(wàn) 方數(shù)據(jù)的豐業(yè)是網(wǎng)絡(luò)維護(hù),具有專業(yè)固定、反應(yīng)靈敏的網(wǎng)絡(luò)維護(hù)人 員,有先進(jìn)的故障檢測(cè)儀器和關(guān)鍵設(shè)備備件。由此看來(lái),選 擇專業(yè)維護(hù)商與本單位網(wǎng)絡(luò)中心相結(jié)合實(shí)施網(wǎng)絡(luò)維護(hù)的方式 是比較理想的模式。3通過(guò)硬件保障網(wǎng)絡(luò)安全的策略(1據(jù)國(guó)外調(diào)查顯示,80%的安全突破事件是由薄弱的 口令引起的。網(wǎng)絡(luò)上有大多數(shù)路由器的廣泛的默認(rèn)幾令列表。 正確設(shè)置邊界路由器,首先需要對(duì)默認(rèn)口令進(jìn)行修改,大多 數(shù)的入侵事件是由薄弱的口令引起的。(2關(guān)閉IP直接廣播。因?yàn)榉?wù)器可以接受來(lái)自各方發(fā) 出的指令,而一旦攻擊者使用假冒的源地址向網(wǎng)絡(luò)廣播地址 發(fā)送請(qǐng)求,這一請(qǐng)求要求所有的主機(jī)對(duì)這個(gè),“播請(qǐng)求做

7、出回 應(yīng),這種情況會(huì)降低網(wǎng)絡(luò)性能。(3盡可能的關(guān)閉路由器的HTTP設(shè)置。HTTP使用的 身份識(shí)別協(xié)議相當(dāng)于向整個(gè)網(wǎng)絡(luò)發(fā)送一個(gè)未加密的n令,而 HTTP協(xié)議中沒有一個(gè)用于驗(yàn)證口令的有效規(guī)定。雖然這種 未加密的n令對(duì)于你從遠(yuǎn)程位置設(shè)置你的路由器非常方便, 但是這將可能影響整個(gè)網(wǎng)絡(luò)的安全。(4關(guān)閉IP源路由。IP協(xié)議允許一臺(tái)主機(jī)指定數(shù)據(jù)包通 過(guò)你的網(wǎng)絡(luò)的路由,而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。 (5保持路由器的物理安全。從網(wǎng)絡(luò)嗅探的角度看,路 由器比集線器更安全,路由器根據(jù)IP地址智能化地路由數(shù)據(jù) 包,而集線器向所有節(jié)點(diǎn)播出數(shù)據(jù)。任何一臺(tái)接入集線器的 電腦將其網(wǎng)絡(luò)適配器置為混合模式,就能夠接收和看到

8、所有 的數(shù)據(jù),包括口令、POP3通信和Web通信。最后,確保物理 訪fJ你的網(wǎng)絡(luò)設(shè)備是安全的,防止未經(jīng)允許的嗅探設(shè)備接入 本地子網(wǎng)中。(6確定你的數(shù)據(jù)包過(guò)濾的需求。封鎖端口有兩項(xiàng)理由。 其中之一根據(jù)你對(duì)安全水平的要求對(duì)于你的網(wǎng)絡(luò)是合適的。 對(duì)于高度安全的網(wǎng)絡(luò)來(lái)說(shuō),特別是在存儲(chǔ)或者保持秘密數(shù)據(jù) 的時(shí)候,通常要求經(jīng)過(guò)允許才可以過(guò)濾。在這種規(guī)定中,除 了網(wǎng)路功能需要的之外,所有的端口和IP地址部必要要封鎖。 例如。用于Web通信的端口80和用于SMTP的l 10/25端口允 許來(lái)自指定地址的訪問(wèn),而所有其它端n和地址酃日丁以關(guān)閉。 大多數(shù)網(wǎng)絡(luò)將通過(guò)使用“按拒絕請(qǐng)求實(shí)施過(guò)濾”的方案享受 可以接受的安全

9、水平。當(dāng)使用這種過(guò)濾政策時(shí),可以封鎖你 的網(wǎng)絡(luò)沒有使用的端口和特洛伊木馬或者偵查活動(dòng)常用的端 f1來(lái)增強(qiáng)你的網(wǎng)絡(luò)的安全性。例如,封鎖139端口和445(TCP48髓各安呈技7It與應(yīng)用10.1 和UDP端口將使黑客更難對(duì)你的網(wǎng)絡(luò)實(shí)施窮舉攻擊。封鎖 31337(TCP和UDP端口將使Back Orifice木馬程序更難攻擊 你的網(wǎng)絡(luò)。這項(xiàng)工作應(yīng)該在網(wǎng)絡(luò)規(guī)劃階段確定,這時(shí)候安全 水平的要求應(yīng)該符合網(wǎng)絡(luò)用戶的需求。查看這些端幾的列表, 了解這些端口正常的用途。(7建證準(zhǔn)許進(jìn)入和外出的地址過(guò)濾政策。在你的邊界 路由器上建立政策以便根據(jù)IP地址過(guò)濾進(jìn)出網(wǎng)絡(luò)的違反安全 規(guī)定的行為。除了特殊的不同尋常的案例

10、之外,所有試圖從 你的網(wǎng)絡(luò)內(nèi)部訪問(wèn)互聯(lián)網(wǎng)的lP地址都應(yīng)該有一個(gè)分配給你的 局域網(wǎng)的地址。例如,這個(gè)地址也許通過(guò)這個(gè)路 由器訪問(wèn)互聯(lián)網(wǎng)是合法的。但足,9這個(gè)地址很 可能足欺騙性的,并且是一場(chǎng)攻擊的一部分。相反,來(lái)自互 聯(lián)網(wǎng)外部的通信的源地址應(yīng)該不足你的內(nèi)部網(wǎng)絡(luò)的一部分。 因此,應(yīng)該封鎖入網(wǎng)的192.168.X.X,172.16.X.x和10.X.X.X 等地址。最后,擁有源地址的通信或者保留的和無(wú)法路由的 目標(biāo)地址的所有的通信都應(yīng)該允許通過(guò)這臺(tái)路由器。這包括 回送地址或者E類(classE地址段-254.255.2

11、55.255。網(wǎng)絡(luò)巾大量的垃圾數(shù)據(jù)流消耗著網(wǎng)絡(luò)帶寬和節(jié)點(diǎn)機(jī)器的 處理時(shí)間,已經(jīng)成為現(xiàn)代網(wǎng)絡(luò)發(fā)展的瓶頸問(wèn)題。網(wǎng)絡(luò)垃圾流 量對(duì)經(jīng)濟(jì)的影響也非常大,有關(guān)數(shù)據(jù)顯示,近幾年來(lái)每年用 來(lái)清理網(wǎng)絡(luò)數(shù)據(jù)的費(fèi)用高達(dá)數(shù)十億美元,以保證安全設(shè)備、 應(yīng)用加速設(shè)備和其它網(wǎng)絡(luò)設(shè)備正常工作。以上所有設(shè)備的一 個(gè)共同點(diǎn)是,需要查找第三層(IP協(xié)議頭(header到應(yīng)用協(xié)議 層的開放系統(tǒng)互連(osl棧。同時(shí),所需性能水平的增長(zhǎng)速度 高于網(wǎng)絡(luò)中有害流量的增長(zhǎng)速度。那些目前在網(wǎng)絡(luò)上提供這 些服務(wù)的通用CPU能否繼續(xù)提供必需的性能以阻止這些有害 流量進(jìn)入并通過(guò)網(wǎng)絡(luò)傳播嗎?不論將這一更高層處理稱為 “應(yīng)用敏感”型還足“內(nèi)容敏感”型,事

12、實(shí)上,所有這些安全 風(fēng)險(xiǎn)和最新低優(yōu)先級(jí)流量都在使用與高優(yōu)先級(jí)流量相同的第 3層、第4層甚至第7層網(wǎng)絡(luò)協(xié)議。4結(jié)束語(yǔ)無(wú)論是P2P數(shù)據(jù)流使用知名端in(例如80端訂偽裝成 Wcb數(shù)據(jù)流以便順利通過(guò)防火墻,還是垃圾郵件使用與用戶 急需業(yè)務(wù)以及私人電子郵件相同的簡(jiǎn)單郵件傳送協(xié)議(SMTP 連接,如果不深入分析應(yīng)用層是無(wú)法識(shí)別出數(shù)據(jù)流的。目前 有一些方法可以暫緩網(wǎng)絡(luò)中有害流量的增長(zhǎng),一種方法是跟 蹤所有的連接,對(duì)每個(gè)連接的某些狀態(tài)進(jìn)行連續(xù)監(jiān)視,并進(jìn) 【1:轉(zhuǎn)66頁(yè)】 萬(wàn) 方數(shù)據(jù)門負(fù)責(zé)對(duì)客戶端進(jìn)行認(rèn)證,不同的客戶端選擇不同的策略。線AP圖1SSL VPN應(yīng)用在WLAN中的示意圖(2保密性。即傳輸?shù)臄?shù)據(jù)需要

13、加密,但由于在通信過(guò)程 中需要加密解密,這會(huì)耗費(fèi)大量的資源而影響傳輸性能,因此 要考慮加密算法的復(fù)雜程度。同時(shí)還要考慮密鑰的傳輸和管理。 (3消息完整性。即能夠保證傳輸?shù)臄?shù)據(jù)沒有被篡改,這 可以采用設(shè)置訪問(wèn)控制策略的方式解決,給不同的用戶設(shè)置 不同的權(quán)限,只有擁有權(quán)限的用戶才能訪問(wèn)相應(yīng)的資源。(4服務(wù)器性能。幾乎所有的通信和IP地址分配等工 作都需要SSL VPN服務(wù)器來(lái)完成,因此服務(wù)器的性能必須 要高。5結(jié)束語(yǔ)SSL VPN技術(shù)在無(wú)線局域網(wǎng)中的應(yīng)用已經(jīng)非常流行,尤 其是針對(duì)數(shù)據(jù)保密性非常強(qiáng)的應(yīng)用。為了滿足不同應(yīng)用的需 求,根據(jù)IPSccVPN和SSLVPN各自的優(yōu)點(diǎn),很多企業(yè)都是 將兩者結(jié)合

14、起來(lái)使用,使網(wǎng)絡(luò)更安全有效。參考文獻(xiàn)1李園,王燕鴻,張鉞偉.無(wú)線網(wǎng)絡(luò)安全性威脅及應(yīng)對(duì)措施【J】.現(xiàn) 代電子技術(shù).2007.【2】趙偉艇.無(wú)線局域網(wǎng)的加密和訪問(wèn)控制安全性分析【J】.微計(jì) 算機(jī)信息.2007.3NN.SSLVPN體系結(jié)構(gòu)在無(wú)線局域網(wǎng)中的應(yīng)用與設(shè)計(jì).電子 科技大學(xué).2006.【上接48頁(yè)】行逐包(packet-by-packet處理,對(duì)數(shù)據(jù)包進(jìn)行詳細(xì)分析以找出 能夠指示數(shù)據(jù)流類型的特征信息,藉以警告軟件小心這一連 接;或者尋找組合特征信息來(lái)檢測(cè)某些特殊攻擊,并阻止其 向其它網(wǎng)絡(luò)資源進(jìn)一步擴(kuò)敖。目前許多設(shè)備是在通用CPU上 用軟件實(shí)現(xiàn)這些功能的。但是,通用CPU并不具備足夠的性 能來(lái)處理流經(jīng)該網(wǎng)絡(luò)節(jié)點(diǎn)的所有數(shù)據(jù)流,因此,可以采用硬 件加速方法來(lái)實(shí)現(xiàn)大部分模式匹配數(shù)據(jù)包處理。參考文獻(xiàn)【1】彭彩紅,羅慶云,賀衛(wèi)紅,范進(jìn).計(jì)算機(jī)網(wǎng)絡(luò)安全分析與防范技 術(shù).南華大學(xué)學(xué)報(bào)(自然科學(xué)版.2005.【2】陳明.網(wǎng)絡(luò)設(shè)備教程【M】.北京:清華大學(xué)出版社.2004.【3】夏青.淺述網(wǎng)絡(luò)技術(shù)與信息安全明.科技情報(bào)開發(fā)與經(jīng)濟(jì).2003.66吼駱安呈技7ft與庾用2010.1 萬(wàn) 方數(shù)據(jù) 計(jì)算機(jī)硬件對(duì)網(wǎng)絡(luò)安全的支持作用探究作者:馮國(guó)平 ,