计算机攻防技术
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇计算机攻防技术范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
计算机攻防技术范文第1篇
1 引言
从20世纪60年代初,美国贝尔实验室出现计算机“病毒”的第一个雏形以来,病毒就一直严重威胁着信息网络安全。计算机病毒传播途径多样化,病毒种类多,隐蔽性强,更新快,破坏力强,计算机中所保存的是各种计算机硬件实施与各种重要的数据,一旦遭到病毒的攻击,就将面临数据丢失的威胁。当今社会已进入信息化时代,计算机发挥着越来越重要的作用。然而,在公共计算机房中,使用人员多且繁杂,病毒的感染和蔓延成为公共计算机房管理的一大难题。本文对公共计算机房病毒防护策略作初步探讨,从而为公共计算机房计算机及网络安全、稳定运行提供参考。
2 计算机病毒的定义及特性
在《中华人民共和国计算机信息系统安全保护条例》中定义:编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。计算机病毒具有繁殖性、潜伏性、隐蔽性、破坏性,传染性和可触发性等特点。编制者的主观愿望和其相应的技术力量决定了病毒破坏的程度。计算机病毒主要攻击和破坏系统数据区、内存、文件、运行速度、系统速度、磁盘的引导扇区、键盘、屏幕显示、主板、打印机、喇叭、CMOS等,可以导致文件奇怪丢失、数据写入错误、数据不能正常存储等破坏等行为。公共计算机房病毒具有感染速度快、扩散面广、传播形式复杂多样、彻底清除困难、破坏性大、具有潜伏性和可激发性以及针对性强等特点。
3 公共计算机房的病毒防护
公共计算机房的病毒传播途径主要有两种,第一种是来自网外的计算机,通过网内Intemet的接入点,将病毒传入到网内;第二种是来自网内的计算机,通过共享数据、交换文件等形式造成病毒感染,从而向网内的其他计算机传播病毒。例如网络文件的下载和电子邮件的附件均可造成病毒的传播。对于公共计算机房来说,主要可以采取以几种手段对病毒进行防护。
3.1安装反病毒软件
安装反病毒软件是目前计算机病毒防治最广泛,也是一种行之有效的方法。目前国际上较好的反病毒软件有:BitDefender、Kaspersky、ZoneAlarm、Tren Micro、BullGuard、AVG、McAfee、Norton、Norman、Panda等,国内使用较多的反病毒软件有:金山、瑞星、趋势(日本)、江民、东方微点和费尔托斯特等。并且越来越多的免费病毒软件推向市场,如360杀毒软件。防火墙可以对网络数据的传输进行实时监视,遇到异常网址马上阻止电脑访问,防止电脑中毒。在安装一些软件时,杀毒软件还会主动询问用户是否安装,避免在用户不知情的情况下将病毒软件隐藏安装在用户的系统中造成用户电脑的瘫痪或私密文件的泄露。反病毒软件还有全盘扫描功能。扫描过程中发现病毒文件时通过主动杀毒并删除染毒文件来保障用户电脑的安全。
3.2建立网络防病毒管控中心
病毒的防范和控制仅靠单机版杀毒软件来防范还不够,还应该建立网络防病毒管控中心,成立一套全方位的网络防病毒系统。通过管理控制中心可以对反病毒软件提供统一升级,集中更新病毒码和扫描引擎文件。还可以统一防病毒软件配置,确保了网络内的防毒安全策略的一致性。管理员还可以通过管控中心定期进行统一查杀病毒公共计算机机房网络内的计算机不受病毒的交叉感染。管控中心还可以通过集中式报警和日志管理对监控和查杀病毒的情况进行详细的日志记录。除此之外,对病毒入口进行全面监控也很重要。U盘、软盘、个人电子邮件、个人刻制的光盘以及各种移动设备,都是病毒有可能进入网络的路径,对病毒入口进行实时监控可以防患于未然,切断病毒传播途径。
3.6安全管理制度与安全教育
管理的失误是造成网络安全事故的主要原因。因此建立一个完善的安全管理制度并严格执行可以在很大程度上的提高网络的安全性能、减少安全隐患并及时消除安全事故的影响。完善的安全管理制度应该包括以下几个方面:严格的人员管理制度;机房管理制度;软件的管理以及操作的管理,还应该有实时的安全监督制度,并建立完整的安全培训制度。加强安全教育,提高用户安全防范意识,养成良好的习惯,防患于未然。
3.3 做好数据备份工作
不管怎么样对病毒进行防护,都有可能给病毒留下可趁之机,使计算机系统被感染,计算机用户还需要注意做好重要数据的备份和加密工作,这样即便计算机系统感染病毒,重要数据被泄露或者破坏,也可以将损失降到最低。
4 结束语
公共计算机房的安全管理是一项艰巨而且技术含量很高的工作。通过以上的论述我们了解到,对于网络病毒的防护,预防病毒的萌生与蔓延是关键所在。通过以上的措施,能有效的控制公共计算机房的病毒感染及蔓延。随着计算机技术的不断发展,病毒防护措施也在不断的向前发展,这是一项值得长期研究和实践的课题。只有运用最先进防毒技术、合理的部署策略,制定规范的安全管理制度,提高用户的防护意识和防范水平,才能使防毒系统行之有效。但是“魔高一尺,道高一丈”,相关安全技术人员还应该努力创新防毒技术,与时俱进。
参考文献
[1]程小龙,马建宁.浅析局域网系统安全维护与病毒防范[J].网络财富,2009,(15):140-141.
[2]廉龙颖,王希斌.浅谈高校计算机机房管理[J].黑龙江科技信息,2011,(11):94.
[3]王玉芬.浅谈计算机机房的管理技巧[J].福建电脑,2010,(1):198.
计算机攻防技术范文第2篇
关键词:计算机;网络;攻击;防御
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 17-0000-01
Analysis of Computer Network Attack Methods and Defense Technology
Shen Yan1,Wang Yong2
(Hangzhou Wanxiang polytechnic,Hangzhou31000,China;2.Zhejiang Supcon Software Technology Co.,Ltd.,Hangzhou310053,China)
Abstract:With the rapid development of computers,the current network has covered institutions and enterprises and among all households,of course,the attendant problem of network security has come to the fore.In order to protect their networks from attack,we must attack,attack theory,attack the process with in-depth,detailed understanding,and thus can be targeted for proactive protection.In this paper,the characteristics of attack methods to analyze,to study how to detect attacks and defense.
Keywords:Computer;Network;Attacks;Defense
一、攻击的主要方式
对网络的攻击方式是多种多样的,一般来讲,攻击总是利用“系统配置的缺陷”,“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止,已经发现的攻击方式超过2000种,其中对绝大部分攻击手段已经有相应的解决方法,这些攻击大概可以划分为以下几类:(一)拒绝服务攻击:一般情况下,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、Win Nuke攻击等。(二)非授权访问尝试:是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。(三)预探测攻击:在连续的非授权访问尝试过程中,攻击者为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。(四)可疑活动:是通常定义的“标准”网络通信范畴之外的活动,也可以指网络上不希望有的活动,如IP Unknown Protocol和Duplicate IP Address事件等。(五)协议解码:协议解码可用于以上任何一种非期望的方法中,网络或安全管理员需要进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTU User和Portmapper Proxy等解码方式。
二、攻击行为的特征分析与反攻击技术
入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为,要有效的进反攻击首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析,并提出相应的对策。(一)Land攻击。攻击类型:Land攻击是一种拒绝服务攻击。攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。检测方法:判断网络数据包的源地址和目标地址是否相同。反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为,并对这种攻击进行审计。
(二)TCP SYN攻击。攻击类型:TCP SYN攻击是一种拒绝服务攻击。攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYN ACK数据包发送回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接,即不能对外提供正常服务。检测方法:检查单位时间内收到的SYN连接否收超过系统设定的值。反攻击方法:当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。
(三)TCP/UDP端口扫描。攻击类型:TCP/UDP端口扫描是一种预探测攻击。
攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。检测方法:统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。反攻击方法:当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。
三、入侵检测系统的几点思考
入侵检测系统存在一些亟待解决的问题,主要表现在以下几个方面:(一)如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等著名ICP的攻击事件中,我们了解到安全问题日渐突出,攻击者的水平在不断地提高,加上日趋成熟多样的攻击工具,以及越来越复杂的攻击手法,使入侵检测系统必须不断跟踪最新的安全技术。(二)网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的方法对于加密过的数据包就显得无能为力。(三)网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制,以适应更多的环境的要求。(四)对入侵检测系统的评价还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术,随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断的升级才能保证网络的安全性。(五)采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作,当入侵检测系统发现攻击行为时,过滤掉所有来自攻击者的IP数据包,当一个攻击者假冒大量不同的IP进行模拟攻击时,入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是造成新的拒绝服务访问。
参考文献:
计算机攻防技术范文第3篇
【关键词】图书馆;公共计算机;网络技术;安全与防护
1.引言
电子计算机网络技术的引用是一个大趋势,它已经渗透到人们生活工作的方方面面,图书馆也引入了计算机应用于图书馆日常运作中,在计算机的运行过程中存在着一些安全问题,损害图书馆的利益,妨碍图书馆的正常运作,需要重视起来,并不断提高图书馆公共计算机的安全和防护针对性的解决公共计算机出现的安全问题,及时发现并处理,在日常工作中做好防护工作,谨防外来病毒侵害图书馆公共计算机。
2.图书馆公共计算机安全与防护必要性
图书馆是国家和当地政府为居民提供的一个提高自身修养,学习新知识、新技能的场所,对居民学习意义重大,备受各界人士关注。随着计算机网络技术的崛起,图书馆也引入了计算机技术,帮助提高了图书馆管理和运作的效率,减轻了工作人员的工作强度。凡事皆利弊共存,在方便快捷的同时也需要承担计算机被病毒侵入而产生的各种后果,这些病毒隐藏的极深,若发现不及时,会给图书馆的正常工作带来干扰和一定的损失。另一方面网络速度和计算机运作状况也严重制约着图书馆的工作状态和质量,必须做好图书馆公共计算机安全和防护工作,有效的解决这些难题,才能使计算机网络技术在图书馆管理和运作中发挥有效的价值。图书馆公共计算机也是读者寻找图书,获取资源的一种方式,若是不能保证其质量和安全,则不利于读者的正常阅读。另外,现在读者借还书也是通过计算机网络系统完成,读者经常会因为计算机网络技术而影响正常的借还书程序,给读者和图书馆管理人员带来了极大的困扰,一个正常运转的图书馆公共计算机系统是现代社会图书馆运作的必要条件,因此图书馆公共计算机安全与防护是一个亟待解决的问题。
3.图书馆公共计算机安全与防护工作
图书馆是一个公共场所,图书馆公共计算机是图书馆运行的一个重要的模块,需要不断提高其自身安全和防护能力,工作人员需要提高个人计算机网络技术安全意识,及时探查发现公共计算机的安全问题,文章主要从几方面介绍了如何加强公共计算机安全与防护工作。
3.1加强宣传计算机安全防护知识
计算机防护知识的学习是计算机操作者和使用者必备的知识,恰当的使用能够减少木马病毒入侵的几率,保证计算机的正常运行。一般来说,计算机病毒的入侵多是由于操作使用不当造成的,例如下载网站含有病毒,浏览网址存在木马风险,在使用过程中不按规定程序进行安全检测和病毒查杀,给木马病毒打开了大门,致使计算机感染病毒,系统瘫痪,丢失数据或者损坏数据。种种现象表明,必须要加强计算机安全防护知识的宣传和培训工作,减少因操作不当引起的计算机安全问题。随着计算机使用频率的提高,图书馆各项活动都在选择使用计算机,各个系统都大量配备计算机,面对这种庞大的使用量,计算机网络技术的使用知识却没有使用量普及的快。一些图书馆工作人员缺乏计算机方面知识,更不懂计算机的防护管理,缺乏安全防护意识,使他们意识不到病毒的危害,也没有手段避免病毒的侵入,更无法及时发现木马病毒的存在,使得他们管理的计算机遭受木马病毒侵害,大面积破坏计算机的应用程序,损坏数据材料。有些病毒侵入计算机后并没有立时明显的危害,隐藏的比较深,它会在关键时刻给予计算机巨大打击,破坏性比较大。网络技术的发达使得病毒的传输更加顺畅,往往一台计算机中毒,其他计算机也会遭受伤害,或通过邮件、网络、软件传输等破坏其他计算机系统。这种情况下,技术人员的后期维护明显滞后,若是计算机使用人员能够提高安全防护知识技能,具有一定的辨别能力,将计算机使用过程中易出现问题的地方严格把控,注意安装软件时的安全检测和定期的木马病毒检测定能减少计算机安全事故,促进图书馆计算机网络应用的发展。需要对图书馆计算机操作人员进行培训和考核,由专业人士进行指导,告诉他们下载软件浏览网站的正确入口,教会他们识别病毒的入侵,从根本上解决这一问题。最好的防护就是让自己强大,工作人员的安全防护知识提高,就能减少一大部分计算机安全问题。
3.2选择病毒查杀软件
现在计算机木马病毒种类繁多,各种病毒危害也不一样,因此要注意选择病毒查杀软件对计算机进行安全防护,使计算机处于正常健康的工作环境。现代社会面对纷繁杂乱的计算机病毒和安全防护软件,非专业人员往往无法选择出合适的病毒查杀软件。在选择杀毒软件时应该根据实际需要和软件防护类型进行选择,市面上那种针对一台计算机的防护软件,一般不适用于图书馆的公共计算机安全防护,需要选择为企业定制的防火墙软件,这类软件一般由一台主机控制,通过一定的调试和远程操控,使图书馆其他计算机访问主机的杀毒服务器,下载并安装该杀毒软件下的安全软件。当主服务器病毒数据库更新时,其他计算机联网后就会自动更新病毒数据库,自动完成病毒识别升级功能。一般这种防火墙类杀毒软件都有自动检测功能,可以及时发现其他相关计算机的病毒攻击,进行远程操控,解除病毒危害。杀毒软件的完善能够减轻技术人员的工作压力,同时也降低了对计算机操作人员的安全防护知识要求,提高了图书馆整体的工作效率,减轻了他们的劳动强度,因此可以大量引进此类软件用于图书馆公共计算机的安全与防护工作。计算机安全防护不只有阻止病毒的入侵和查杀,还有一些恶意软件和优盘病毒也是图书馆公共计算机面临的问题,这些软件有的自动更改网页,覆盖原本文件信息,占有计算机大量内存,导致计算机功能受损,并且处于删不掉的状态。优盘病毒属于外界设备的病毒传播,一般很难防备。这些问题困扰着计算机网络的实际应用,需要图书馆公共计算机管理人员和操作人员不断提高自身的安全防护意识,学习专业的防护知识,掌握杀毒软件的选择和使用原则,为自己使用的计算机选择合适的杀毒软件,对病毒进行无死角跟踪和查杀,使计算机杀毒软件可以更有效的应用于图书馆公共计算机安全与防护工作中。
3.3专业技术人员更新知识技能
作为图书馆公共计算机专业管理人员,需要具备丰富的计算机网络知识和计算机安全防护知识,及时了解新的病毒种类,关注市面上的杀毒软件。面对层出不穷的病毒,计算机专业防护人员应当时刻更新自身知识技能,关注计算机安全防护知识,了解和学习国内外先进的公共计算机安全和防护手段,对图书馆计算机进行定期检查更新病毒数据库,检查计算机运行情况,以便及时发现并清除病毒,最大限度减小病毒带来的危害,在其造成大范围伤害前将其消灭。
计算机攻防技术范文第4篇
一、工程造价结算审核内容
1、工程量的审核
工程量审核的前提是工程量计算规则要科学合理,工作人员也应该予以充分掌握。首先要明确计算范围,其次是要弄清各环节的限制范围,最后在核查完毕之后要参照计算比例与实际尺寸是否相符,直至确认无误。
2、施工费用的审核
在施工费用的审核上应严格按照工程造价管理部门所颁布的相关文件规定,审核中重点应该放在合同和标书中明确的规定费率上。在具体的审核过程中要注意以下三点,分别为计算费率是否准确、施工单位取费级别是否符合规定、取费表同施工性质是否相符。
3、工料定额单价的审核
工料定额单价审核主要有以下三个方面,一是直接套用工料定额单价审核,主要分析设计图纸中建筑标准是否与分项项目内容相符;二是补充定额单价审查上要特别注意编制依据及其可靠程度;三是换算定额单价审核,要重点分析换算系数的正确性。
4、设计变更单和施工签证单的审核
设计变更单和施工签证单的审核工作主要由以下四点,分别为审查设计变更内容是否符合相关规定;审查手续是否齐全;审查签证是否存在纰漏;审查内容是否科学合理。
二、工程造价结算审计中常见的审计方法
1、全面审计法
这种审计法是通过对工程项目全过程进行分别的审查。并且,全面审计法的计算方式是与图纸预算方法基本一致的,都是按照国家规定的预算定额来对每一个施工环节进行全面的的审查。通常情况下,这种审计方法的出错率较小,设计结果的精确性非常高。然而,其在实际应用过程中,也有很多的不足之处,由于全面审计法涉及的是全过程的工程项目量,这就加大了审计人员的工作难度。
2、标准图审计法
标准图审计法的含义是指通过图纸施工或者利用标准图纸施工的工程项目,先集中审计力量对标准预算或者决算造价进行编制,并以此作为标准对比进行审计的方法,一般对于按照标准图纸设计或者是通用图纸施工的工程,其地面以上的结构基本上相同,可以集中审计力量对一份预决算造价进行细审,以此作为标准图纸的标准造价。
3、对比审计法
可以说,在所有审计方法里,对比审计法是工程造价管理中比较常用的设计方法,其最主要的审计内容是指审计部门以同类工程中的工程造价为参考,并对拟建的工程进行审计,但是,在实际中应用这种审计方法时,应该特别注意两个方面:首先,审计人员在参考已完成审计的同类工程造价的过程中,对于施工图纸中的相同部门,可以根据拟建工程来进行审计,然而,不同的部门要进行分别审计,不可以采用审计对比法。其次,拟建工程与参考工程两者之间是有区别的,其建筑面积存在很大的差异,那么,针对这种现象,可以利用参考工程与拟建工程相同工程量这一点进行对比审计,由于这一过程较为复杂,审计人员必须保持严谨的工作态度,对拟建工程进行认真仔细的审计,避免审计结果发生误差。
三、加强工程结算审计的技巧分析
1、积极创新,更新观念
首先要明确项目成本管理的主体、工程造价法规及相应的管理职能,并将其具体内容纳入到建筑市场经济活动范围中。其次,招投标管理部门要对市场、业主、施工方、设计单位准入市场行为加以有效管理。同样,造价管理部门也应该在充分依据合同的基础上对市场价格信息、咨询机构、造价条款及计价方法进行管理和规制。但就当前形势来看,我国社会主义市场经济仍然处于起步阶段,市场运作机制并不完善,因此工程造价的控制必须要积极创新、更新观念,从改革和发展的角度对待问题,确保符合建筑市场的发展趋势。
2、加强成本管理体制和专业咨询
随着市场经济的进一步发展,咨询结构的出现是市场经济发展趋势中的必然产物。近年来尤其是在我国建筑行业,工程造价咨询机构已经成为了我国建筑市场发展不可缺少的重要主体。但不可忽视的是,咨询行业作为一个新兴产业,当前仍然存在较多的问题。一是质量差、二是商业行为不规范、三是不公平竞争、四是需求矛盾与竞争力明显的矛盾。因此对于上述问题我们必须要采取措施予以完善,具体有以下三个方面的对策:
(1)加强管理
多方协作和项目成本管理等方面是建筑部门的主要任务,因此宣传成本、建设成本等工作必须要采取措施进行有效管理。
(2)健全法规
我国建筑市场必须要严格按照相关规定执行,创造出一个公平公正公开的良好市场环境,为我国建筑行业发展奠定基础。
(3)提高水平
通过不断提高从业人员的业务评估水平能够极大的提高从业人员道德水平与专业素质水平,从而实现工程造价结算管理工作到全过程造价咨询服务的转变。
3、充分利用计算机辅助软件
如今,伴随着科学技术的快速发展,信息计算机技术已经被广泛应用于工程结算审计工作中,有效的解决了以往传统审计工作中存在的弊端,大大提高了审计工作的效率与质量,降低了错误率,通过利用计算机系统来减少审计人员繁重的工作任务量,逐渐实现了工程结算审计工作信息化管理的发展模式。目前,越来越多的审计计算机辅助软件被开发出来,这势必将会成为我国工程造价结算审计工作未来主要的发展趋势。
4、加强审计制度和人员队伍建设
对于审计制度,应该按照木地建设工程造价管理办法和机关国家建设项目审计准备的要求,结合自身单位的实际情况,建立有利用市场竞争力的规章制度,使审计制度有章可循,减少不必要的错误。另外,还要加强人员队伍的建设,工程决算审计是一项专业性很强的工作,要求工作人员洞察能力比较强,知识而比较广,懂审计、会计、法律、工程预算等方面的知识。
计算机攻防技术范文第5篇
Abstract: In a computer, a way for a network and its resources from the network "wall" outside "the fire" of the device called a firewall. Firewalls (FireWall) is basically a separate process or a set of integrated processes, running up control of the router or server applications through their network traffic; used in two or more networks to enhance access control, and its purpose is to protect a network from attack from another network. According to statistics, the computer connected to the Internet, 1 / 3 of a computer protected by a firewall. With the increasing crime computer network, firewall technology concern.
关键词:计算机防火墙 计算机安全 网络安全
Keywords: computer firewall computer security network security
在计算机中,一种能使一个网络及其资源不受网络“墙”外“火灾”影响的设备称为防火墙。防火墙(FireWall)基本上是一个独立的进程或一组紧密结合的进程,运行在路由器或服务器上来控制经过其网络应用程序的通信流量;用来在两个或多个网络间加强访问控制,其目的是保护一个网络不受来自另一个网络的攻击。据统计,全球连入Internet的计算机中,有1/3以上的计算机受到防火墙的保护。随着计算机网络犯罪的递增,防火墙技术备受关注。
一、防火墙的主要功能
通常防火墙的主要功能有:过滤掉不安全的服务和非法用户;控制和限制对特殊站点的访问;限制他人进入内部网络;防止入侵者接近你的防御设施;提供了监视Internet安全和预警的方便端点;防火墙的设计应遵循安全防范策略的基本原则――“除非明确允许,否则就禁止”;如果组织机构的安全策略发生改变,可以加入新的服务;有先进的认证手段或有挂钩程序,可以安装先进的认证方法;可以使用FTP和Telnet等服务,编程的IP过滤语言,并可以根据数据包的性质进行包过滤。
许多用户在选择防火墙时还可能考虑一些特殊功能要求。这些功能主要有:
1. 网络地址转移功能( NAT)。2.双重DNS(域名服务)。3.虚拟专用网络(VPN)。4.扫毒功能。5.特殊控制需求。
二、 防火墙的原理以及实现方法
防火墙负责管理危险区域和内部网络之间的访问。在没有防火墙时,内部网络上的每个节点都暴露给危险区域上的其它主机,极易受到攻击。由此可见,对于连接到因特网的内部网络,一定要选用适当的防火墙。就防火墙的原理来讲可以把它简单地抽象为一对开关,其中一个开关用于允许传输,另一个用于阻止传输。实际上防火墙代表了用户的网络安全策略,其实现方式比较灵活。
1.在边界路由器上实现。(1)通过标准的路由器来实现(由于该用途的路由器称为Screening Router,即筛选路由器、屏蔽路由器),常用的如Cisco路由器很容易设置成一个防火墙。(2)通过PC机的路由器来实现,但要使用软件包。
2.在一台双端口主机(Dual - homed Host)上实现。内部网络和外部网络都可以访问这台主机,但外部主机与内部主机不能直接进行通信,可以实施三种类型的防火墙:(1)应用层网关防火墙(Ap-plication Gateway Firewall) (2)服务型防火墙(Proxy Server Firewall) (3)线(电)路层/级网关型防火墙(Circuit Gateway Fire-wall)。
3.在子网上实现。在一个公共子网(该子网的作用相当于一台双端口主机)上实现,可建立含有单段网络、停火区结构的防火墙。尽管防火墙有许多防范功能,但由于互连网的开放性,它也有一些力不能及的地方,表现在:①防火墙不能防范不经由防火墙的攻击。例如,如果允许从客观存在保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的SLIP或PPP连接。从而绕过防火墙,造成一个潜在的后门攻击渠道。②目前很难对防火墙进行彻底的测试验证,面对大多数的恶意攻击,防火墙会有所防范,但是不是在任何情况下都有效是未知的,这就涉及到了一个软件及时更新的问题。
参考文献:
[1]杨永峰.校园网上软件防火墙的实现[J].承德职业学院学报,2005(9).
