1、景德镇高等专科学校 数学与计算机系 毕业设计(2009届)论文柯贤文景德镇高等专科学校毕业设计计算机网络安全与防火墙柯贤文二零零九年二月二十日景德镇高等专科学校数学与计算机系毕业设计(2009届)课题名称: 计算机网络安全与防火墙 姓名: 柯 贤 文 学号: 200601090120 专业: 计算机信息管理 所在班级: 06计算机信息管理 指导教师:姓名: 饶 国 勇 职称: 讲 师 时 间:二零零九年二月二十日 目录目录3摘要4第一章:计算机网络安全概述51.网络安全概述51.1网络安全的特征:52.网络安全分析62.1.物理安全分析6案例分析62.2.网络结构的安全分析6案例分析62.3.
2、系统的安全分析6案例分析72.4.应用系统的安全分析7案例分析72.5.管理的安全风险分析73.网络安全措施83 .1.安全技术手段83 .2.安全防范意识84.网络安全案例85.网络安全类型96.Internet安全隐患的主要体现9第二章:防火墙概述101.防火墙的定义102.为什么使用防火墙?103.防火墙的功能114.防火墙的类型115. Internet 防火墙125.1 Internet防火墙与安全策略的关系135.2 防火墙的好处135.3 Internet防火墙的作用13第三章:防火墙的安装与设置14第四章:网络安全试验模拟攻击18一:黑客软件“灰鸽子”试验18二:黑客软件“P2
3、P终结者”试验21第五章:关于个人电脑安全防护策略24总结26声明26鸣谢27参考文献27 摘要在当今网络化的世界中,网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易受到攻击,计算机信息和资源也很容易受到黑客的攻击,甚至是后果十分严重的攻击,诸如数据被人窃取,服务器不能提供服务等等。因此,网络和信息安全技术也越来越受到人们的重视。防火墙技术作为网络安全的重要组成部分,格外受到关注。本文就网络安全、防火墙的种类以及防火墙技术在现实中的应用等进行简要的介绍。具体介绍了计算机网络安全和防火墙的概念、特征、类型、安全分析等,认为实现网络安全措施的一种重要手段就是防火墙技术,因而重点介绍了防
4、火墙种类和防火墙技术的实现。为了便于理解,在一些重要的概念后都追加了一个本人所熟悉的案例分析。最后经过本人进行一些网络安全模拟实验后(安装防火墙,网络攻防实验等),对个人电脑的安全性问题提出了一些可行性的建议。关键词:计算机网络安全;信息;防火墙;防范;攻击第一章:计算机网络安全概述1.网络安全概述网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上数据的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究
5、领域。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。 1.1网络安全的特征: l 保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。l 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被 修改、不被破坏和丢失的特性。l 可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
6、l 可控性:对信息的传播及内容具有控制能力。l 可审查性:出现的安全问题时提供依据与手段从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。 随着计算机技术的迅速发展,在计算机上处理的业务也由简单连接的内部网络的内部业务处理、办公自动化等发
7、展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互连网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题,应该象每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。 2.网络安全分析2.1.物
8、理安全分析网络的物理安全是整个网络系统安全的前提。总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要尽量避免网络的物理安全风险。案例分析以我系机房为例;所有的机房布线都采用“暗线”,地面铺设了地板砖,房间中有空调。这样做分别体现了线路的安全,灰尘的危害,防止高温等。还有例如银行等企业为了数据安全,他们通常采用的是安装双服务器,从而来保证重要数据的安全。2.2.网络结构的安全分析网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信
9、时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上Internet/Intrant的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。案例分析以我系机房为例;在机房内,各个计算机按照常理说是应该可以互相访问数据信息的。但是为何却不能实现呢?是管理远的技术不过关还是别的原因?答案是这样的,因为各个
10、计算机实现互相访问数据信息,在实现信息交换的同时,也可能会因为一台计算机上所携带的病毒导致整个机房中的电脑导致中毒。基于这种考虑,管理员就在路由上做了一些限制,才得以保障网络拓扑结构的安全。2.3.系统的安全分析所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择,无论是Microsfot 的Windows NT或者其它任何商用UNIX操作系统,其开发厂商必然有其后门“Back-Door”。因此,我们可以得出如下结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠
11、的操作系统和硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。案例分析以我系机房为例;据我所了解目前我们系的服务器安全性似乎还不太高,曾经多次遭遇病毒或者黑客的攻击,不过机房里面的计算机系统都具有还原的功能,也就是在机器重新启动后,系统会保持原来的状态。从某种意义上讲这样做还是体现了系统安全的重要性,达到了保护系统安全的目的。2.4.应用系统的安全分析应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安
12、全性,它包括很多方面。l 应用系统的安全是动态的、不断变化的。应用的安全涉及方面很多,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有sendmail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性。l 应用的安全性涉及到
13、信息、数据的安全性。信息的安全性涉及到机密信息泄露、未经授权的访问、 破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。采用多层次的访问控制与权限控制手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息(包括管理员口令与帐户、上传信息等)的机密性与完整性。案例分析例如使用过电信的“星空极速”软件都知道,他就是采用了加密算法使得用户的密码在用户不知情的情况下进行加密,不过因此而产生的一系列问题也导致用户对
14、此软件作出了“流氓软件”的评论。还比如“QQ”在传输用户的信息也采用了必要的加密措施,使得信息不容易被非法截获。2.5.管理的安全风险分析管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法
15、是制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。因此,网络的安全建设是校园网建设过程中重要的一环。 3.网络安全措施3 .1.安全技术手段u 物理措施:例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)或者安装双服务器等保护措施。u 访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网
16、络设备配置的权限,等等。u 数据加密:加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒,安装网络防病毒系统。u 其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来,围绕网络安全问题提出了许多解决办法,例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限,从而保护网络资源。其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等等。3 .2.安全防范意识拥有网络安全意识
17、是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏安全防范意识有关。 4.网络安全案例4 .1.概况随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域。其中存贮、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息。有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。 近年来,计算机犯罪案件也急剧上升,计算机犯罪已经成
18、为普遍的国际性问题。据美国联邦调查局的报告,计算机犯罪是商业犯罪中最大的犯罪类型之一,每笔犯罪的平均金额为45000美元,每年计算机犯罪造成的经济损失高达50亿美元。 计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点。通常计算机罪犯很难留下犯罪证据,这大大刺激了计算机高技术犯罪案件的发生。 计算机犯罪案率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。 5.网络安全类型运行系统安全,即保证信息处理和传输系统的安全。它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏,产生信息泄露,干扰
19、他人,受他人干扰。 网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密。 网络上信息传播安全,即信息传播后果的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用网络上大量自由传输的信息失控。 网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。 6.Internet安全隐患的主要体现l Internet是一个开放的、无控制机构的网络,黑客(Hacker)经常会侵入网络中的
20、计算机系统,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。 l Internet的数据传输是基于TCP/IP通信协议进行的,这些协议缺乏使传输过程中的信息不被窃取的安全措施。 l Internet上的通信业务多数使用Unix操作系统来支持,Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。 l 在计算机上存储、传输和处理的电子信息,还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的服务协议中是凭着君子协定来维系的。 l 电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输
21、重要机密信息会存在着很大的危险。 l 计算机病毒通过Internet的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。第二章:防火墙概述1.防火墙的定义所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则
22、、验证工具、包过滤和应用网关4个部分组成,图2-1 : 防火墙示意图防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。 2.为什么使用防火墙?防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。 3.防火墙的功能防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而
23、且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。3.1防火墙是网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
24、3.2防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。 3.3对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可
25、以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 3.4防止内部信息的外泄 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger
26、显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。 除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。 4.防火墙的类型防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。 防火墙的本义是指古代构筑和
27、使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门,各房间的人如何沟通呢,这些房间的人又如何进去呢?当火灾发生时,这些人又如何逃离现场呢?这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信,在这些小孔中安装了过滤机制,也就是上面所介绍的“单向导通性”。 我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火
28、可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火墙具有以下三个方面的基本特性:(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。根据美国国家安全局制定的信息保障技术框架,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接
29、等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。典型的防火墙体系网络结构如下图所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。(二)只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上
30、来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。(三)防火墙自身应具有非常强的抗攻击免疫力这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键
31、,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetScreen等,国内主流厂商为东软、天融信、联想、方正等,它们都提供不同级别的防火墙产品。5. Internet 防火墙Internet防火墙是这样的系统(或一组系统),
32、它能增强机构内部网络的安全性。 防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙,接受防火墙的检查。防火墙只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。 5.1 Internet防火墙与安全策略的关系 防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合,防火墙是安全策略的一个部分。 安全策略建立全方位的防御体系,甚至包括:告诉用户应有的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,
33、以及雇员培训等。所有可能受到攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。 5.2 防火墙的好处 Internet防火墙负责管理Internet和机构内部网络之间的访问。在没有防火墙时,内部网络上的每个节点都暴露给Internet上的其它主机,极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定,并且安全性等同于其中最弱的系统。 5.3 Internet防火墙的作用 Internet防火墙允许网络管理员定义一个中心“ 扼制点” 来防止非法用户,比如防止黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗
34、击来自各种路线的攻击。Internet防火墙能够简化安全管理,网络的安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性,并产生报警。(注意:对一个与Internet相联的内部网络来说,重要的问题并不是网络是否会受到攻击,而是何时受到攻击?谁在攻击?)网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。 Internet防火墙可以作为部署NAT(Network Address Translator,网络地址变换)的逻辑地址。
35、因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦。 Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈的位置,并根据机构的核算模式提供部门级计费。 第三章:防火墙的安装与设置以下是我用我系机房中的电脑上进行的一系列关于本设计中的试验。第一步:安装360安全卫士,使用360进行一系列的安全扫描,例如:系统安全,修复系统漏洞,360可以进行的操作包括:查杀流行木马(顽固木马需要下载专杀工具)管理应用软件;修复系统漏洞清理恶评插件,清理使用痕迹。图3-1 :3
36、60安全卫士界面图注意:设置开机启动软件(开机启动的软件过多,导致开机速度变的缓慢)第二步:安装瑞星卡卡助手(这次360会提示是否同意安装。)1. 再次运行这个软件,重新扫描系统漏洞,软件漏洞对已经检测到的本机系统漏洞进行补丁下载。备注:这里的下载属于第三方下载。图3-2 :瑞星卡卡正在下载补丁为什么还能扫描出14个漏洞呢?图3-3 :扫描漏洞从这里我们不难发现,安装常理说,使用360进行一系列的扫描就应该能把系统中的一些漏洞扫描出来并打补丁,但是我们再安装了瑞星卡卡以后,再次进行扫描却又发现了一系列漏洞。这是为什么你呢?按照我的理解只有将两者同时运行起来,就只从修复系统漏洞这一个功能上看,只
37、有两个配合起来使用才能使得系统的漏洞修复完整。第三步:安装瑞星防火墙瑞星个人防火墙是为解决网络上黑客攻击问题而研制的个人信息安全产品,具有完备的规则设置,能有效的监控任何网络连接,保护网络不受黑客的攻击。为了试验要求我们在此进行安装。首先要做一些必要的配置,例如IP等这里已经检测到了本机种的部分软件信息。图3-4 :设置示意图第四章:网络安全试验模拟攻击一:黑客软件“灰鸽子”试验“灰鸽子”简介 灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。
38、当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。现在就让我们尝试了安装一个黑客软件或者一个木马程序看看有什么意外收获吧!首先以安装灰鸽子为例吧!第一步:配置好服务器端。这里的IP地址要填写正确。图4-1:配置服务器端此时我们会发现360安全卫士已经检测到这个黑客程序在运行,为了出于试验的要求,我们采取了允许其运行。出于试验的要求,我们采取了允许其运行。图4-2:被检测出提示框第二步: 将配置好的exe可执
39、行程序用QQ软件发送给局域网中的另一台机子。(QQ已经检测到)这里的QQ已经检测到了安全风险!并自动的在文件名后添加了“重命名”同时360安全卫士也检测到了一个未知的系统服务正在被载入,为了试验我们允许图4-3:QQ软件和360所提示的信息第三步:待客户端运行了这个这个exe文件,后,此时我的主机已经能够控制它了。(为了试验要求,关闭了客户机的360等安全防护软件)。这个是远程屏幕监控所监控到的对方的的桌面。图4-4:远程监控对方屏幕显示图第四步:使用此软件中的“命令广播”给对方主机发送一个类型标签的提示框。本机预览的画面。图4-5:本机预览画面消息广播对方电脑上显示所显示的情况。图4-6 :
40、对方电脑上所以显示的被攻击信息二:黑客软件“P2P终结者”试验“P2P终结者”软件简介:P2P终结者是由Net.Soft工作室开发的一套专门用来控制企业网络P2P下载流量的网络管理软件。软件针对目前P2P软件过多占用带宽的问题,提供了一个非常简单的解决方案。软件基于底层协议分析处理实现,具有很好的透明性。软件可以适应绝大多数网络环境,包括代理服务器、ADSL路由器共享上网,Lan专线等网络接入环境。第一步:1 在网上下载一个“P2P终结者”,再进行安装,和其他的软件安装一样,首先要进行系统设置:2 因为我们机房中的电脑之安装了一个网卡,所以就直接选择我们对应的网卡就可以了,接着软件就会自动读取
41、诸如IP等信息。首先进行系统设置:主要选择网卡就可以了。图4-7:安装前所进行的系统设置第二步:启动控制, 软件就可以扫描现在存在局域网段中的主机,你可以选取任意主机进行操作,例如限制带宽,甚至可以控制它的网络限制。这里所显示的信息就是本局域网段的所有计算机的相关信息。图4-8:启动控制第三步:此时计算机中安装的360安全卫士检测到“发送ARP攻击的进程:p2ppover.exe”攻击。360已经检测到的ARP攻击信息:包括IP以及MAC地址:图4-9:360所监测到的ARP攻击第四步:对本局域网段中的制定客户机进行部分控制。我们不仅可以使用此软件对任意主机进行切断网络或者限制带宽,也可以通过
42、设置带宽来限定制定主机的速度等。在这里可以对IP为192.168.4。21的这个客户机进行控制。例如为选定的客户机进行制定的规则,断开公网,取消控制等等图4-10:选定具体攻击对象第五章:关于个人电脑安全防护策略一、 安装必要的杀毒软件和个人防火墙现在不少人对防病毒有个误区,就是对待电脑病毒的关键是“杀”,其实对待电脑病毒应当是以“防”为主。目前绝大多数的杀毒软件都在扮演“事后诸葛亮”的角色,即电脑被病毒感染后杀毒软件才忙不迭地去发现、分析和治疗。这种被动防御的消极模式远不能彻底解决计算机安全问题。杀毒软件应立足于拒病毒于计算机门外。因此应当安装杀毒软件的实时监控程序,应该定期升级所安装的杀毒
43、软件(如果安装的是网络版,在安装时可先将其设定为自动升级),给操作系统打相应补丁、升级引擎和病毒定义码 防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙进行更新。 360安全卫士是清楚流氓软件的程序,和防火墙不是一个概念.比如你只有360安全卫士和瑞星卡卡,而没有防火墙,那么就等于开着门让别人随便进你家.360安全卫士和瑞星卡卡对网络病毒所起的作用不是很大,只是能清除流氓软件和其他
44、一些常见功能。 从2008年9月开始,360开始与国际著名防病毒软件ESET NOD32中国区总代理二版科技合作,通过360安全卫士平台,为国内网络用户提供为期半年的ESET NOD32防病毒软件。 二、 分类设置密码并使密码设置尽可能复杂 应尽可能使用不同的密码,以免因一个密码泄露导致所有资料外泄。对于重要的密码(如网上银行的密码)一定要单独设置,并且不要与其他密码相同。最好采用字符与数字混合的密码。 在设置账户属性时尽量不要使用“记忆密码”的功能。因为虽然密码在机器中是以加密方式存储的,但是这样的加密往往并不保险,一些初级的黑客即可轻易地破译你的密码。 三、不下载来路不明的软件及程序,不打
45、开来历不明的邮件及附件 不下载来路不明的软件及程序。因此应选择信誉较好的下载网站下载软件,将下载的软件及程序集中放在非引导分区的某个目录,在使用前最好用杀毒软件查杀病毒。有条件的话,可以安装一个实时监控病毒的软件,随时监控网上传递的信息。 不要打开来历不明的电子邮件及其附件,以免遭受病毒邮件的侵害。对于来历不明的邮件应当将其拒之门外。 四、只在必要时共享文件夹 不要以为你在内部网上共享的文件是安全的,其实你在共享文件的同时就会有软件漏洞呈现在互联网的不速之客面前,公众可以自由地访问您的那些文件,并很有可能被有恶意的人利用和攻击。因此共享文件应该设置密码,一旦不需要共享时立即关闭。 如果确实需要
46、共享文件夹,一定要将文件夹设为只读。 五、不要随意浏览黑客网站、色情网站 这点勿庸多说,不仅是道德层面,而且时下许多病毒、木马和间谍软件都来自于黑客网站和色情网站,如果你上了这些网站,而你的个人电脑恰巧又没有缜密的防范措施,哈哈,那么你十有八九会中招,接下来的事情可想而知。 六、定期备份重要数据 如果遭到致命的攻击,操作系统和应用软件可以重装,而重要的数据就只能靠你日常的备份了。所以,无论你采取了多么严密的防范措施,也不要忘了随时备份你的重要数据,做到有备无患!总结计算机网络安全防护的这些防范措施都是有一定的限制的,无论是本文中提及的物理防护还是其他防护都很难做到绝对的安全。随着IT行业的突飞猛进般的增长,网络安全已经逐渐成为一个潜在的巨大的问题,随着而产生的信息安全和信息管理也日益变得明显起来,所以我们要尽自己所能的创造一个安全的环境,不做违法的事情,为共同创造一个良好的网络安全环境做出努力做出贡献。本论文从网络安全方面着手,