论文部分内容阅读
【摘要】本文介绍了在高校计算机实验室管理中网络安全技术是一项重要内容,针对网络安全问题并提出了解决方案,网络安全技术的实现重要手段就是防火墙技术。
【关键词】网络;安全;防火墙
在高校计算机实验室管理中网络安全防范是一项重要内容,网络的开放和共享方便了教师和学生的使用,但计算机信息和资源很容易受到攻击,在计算机实验室管理中网络安全也越来越受到重视,本文就高校网络安全、防火墙技术、确保网络安全的实现进行简要的介绍。
一、高校计算机实验室网络安全漏洞
高校计算机实验室网络的开放使得网络很容易受到攻击,而且受到攻击后的伤害是比较严重的,比如数据被人窃取,服务器不能正常提供服务等等,这是因为网络存在着如下漏洞:
1、协议
计算机实验室采用的互联网的某些协议,如TCP/IP或UDP协议存在着许多安全方面的漏洞,为了使信息在网络传输中不被窃取、替换、修改等,要求采取各种硬件及软件措施,如网关、传输协议等来保护FTP或E-mail文件。再就是黑客捕获目标IP地址不是一件复杂的事情,黑客可利用IP和客户软件的漏洞使远程用户瞬间死机,为了保证互联网上信息往来的安全,需要采用数字签名的措施来保证数据发送和来源的可靠。
2、口令
计算机实验室网络的口令系统非常脆弱,常常会被破译。破译者常常通过对信道的监测来截取口令或将加密的口令解密,获得对系统的访问权。特别是由于与内部局域网相连的互联网需要进行两类认证,一是需要用户进行TCP/IP注册认证,由用户输入IP地址和口令;二是对业务往来和电子邮件信息需要进行来源认证。这两类认证常常会受到攻击。例如当用户通过TELNET或FTP与远程主机联系时,由于在互联网上传输的口令没有加密,因而带有口令和用户名的IP包就有可能被攻击者截获,用此口令和用户名在系统上进行注册,并根据被窃取口令所具有的权限获得对系统相应的访问控制权,进而窃取用户的机密信息。
3、 操作系统和应用软件
在操作系统中发现了不少的漏洞,例如对可执行文件的访问控制不严就成为许多黑客攻击成功的原因之一。许多应用软件也都有安全漏洞,容易被黑客侵入,浏览器中的超级链接也很容易被攻击者利用而进入系统。为此,需要采取安全级别较高的操作系统并增加必要的软、硬件防护措施。
4、互联网
互联网既庞大又复杂,系统边界难以确定,用户难以监视,系统受到的威胁来自各方,许多访问控制措施配置起来十分困难也不易验证其正确性。为此,为确保安全,计算机实验室内部网与互联网的连接必须设立网关,以拦截和检查每一条从互联网来或去的信息,防止黑客、病毒之类的攻击,还要使互联网的网关成为防火墙的一部分。
二、防火墙技术
由于高校计算机实验室的网络存在着以上漏洞,所以受到了种类繁多的攻击,归纳起来主要有扫描类攻击、缓冲区溢出攻击、木马攻击、DOS攻击、碎片攻击等等。为了防止计算机实验室网络受到攻击,采取的有效手段是防火墙技术。防火墙是可在内部网和互联网之间,或者内部网的各部分之间实施安全防护的系统,通过防火墙可以在内部、外部两个网络之间建立起安全的控制点,来实施对进、出内部网络的服务和访问信息的审计和控制,以允许、拒绝或重新定向经过防火墙的数据流的方式,防止不希望、未授权的数据流进出被保护的内部网络。因此,防火墙计算机实验室是实现网络安全防范的重要组成部分。
1、防火墙要解决的安全问题
(1)被保护系统的安全问题
在访问控制安全方面,防火墙应能保护内部网络的资源不被非授权使用。在通信安全方面,防火墙应能提供数据保密性、完整性的认证,以及各种通信端不可否认的服务。
(2)自身的安全问题
在访问控制安全方面,防火墙应能保护防火墙自身与安全有关的数据不被非授权使用。在通信安全方面,在对防火墙进行管理时,包括远程管理,应能够提供数据保密性、完整性的认证,以及各种通信端不可否认的服务。
2、防火墙的关键技术
(1)包过滤技术
包过滤技术主要是基于路由的技术,即依据静态或动态的过滤逻辑,在对数据包进行转发前根据数据包的目的地址、源地址及端口号对数据包进行过滤。包过滤不能对数据包中的用户信息和文件信息进行识别,只能对整个网络提供保护。一般说来,包过滤必须使用两块网卡,即一块网卡连到公网,一块网卡连到内网,以实现对网上通信进行实时和双向的控制。包过滤技术具有运行速度快和基本不依赖于应用的优点,但包过滤只能依据现有数据包过滤的安全规则进行操作,而无法对用户在某些协议上进行各种不同要求服务的内容分别处理,即只是机械地允许或拒绝某种类型的服务,而不能对服务中的某个具体操作进行控制。因此,对于有些来自不安全的服务器的服务,仅依靠包过滤就不能起到保护内部网的作用了。
(2)代理服务技术
代理服务又称为应用级防火墙、代理防火墙或应用网关,一般针对某一特定的应用来使用特定的代理模块。代理服务由用户端的代理客户和防火墙端的代理服务器两部分组成,其不仅能理解数据包头的信息,还能理解应用信息本身的内容。当一个远程用户连接到某个运行代理服务的网络时,防火墙端的代理服务器即进行连接,IP报文即不再向前转发而进入内网。代理服务通常被认为是最安全的防火墙技术,因为代理服务有能力支持可靠的用户认证并提供详细的注册信息。代理服务的代理工作在客户机和服务器之间,具有完全控制会话和提供详细日志、安全审计的功能,而且代理服务器的配置可以隐藏内网的IP地址,保护内部主机免受外部的攻击。此外,代理服务还可以过滤协议,以保证用户不将文件写到匿名的服务器上去。代理服务在转发网络数据包的方式与包过滤防火墙也不同,包过滤防火墙是在网络层转发网络数据包,而代理服务则在应用层转发网络访问。 以上介绍了两种防火墙技术。由于此项技术在网络安全中具有不可替代的作用,因而在最近十多年里得到了较大的发展,已有四类防火墙在流行,即包过滤防火墙、代理防火墙、状态检测防火墙和第四代防火墙。
防火墙是特定的计算机硬件和软件的组合,它在两个计算机网络之间实施相应的访问控制策略,使得内部网络与Internet或其他外部网络互相隔离、限制网络互访,禁止外部网络的客户直接进入内部网络进行访问,内部网络用户也必须经过授权才能访问外部网络。在内部网络与外部Internet的接口处,必须安装防火墙。内部网络规模较大且设置有VLAN时,则应该在各个VLAN之间设置防火墙。通过公共网络连接的总部与各分支机构之间也应该设置防火墙,并将总部与各分支机构组成VPN。
三、确保高校网络安全技术实现
1、安全策略
我们都需要一个安全策略,不要等到发生入侵之后才想起来制定这个策略;现在就开始制定一个,才能防患于未然。
2、防火墙必不可少
令人吃惊的是,现在大多数学校都在运行着没有防火墙保护的公共网络,让我们姑且忽略有关“硬件防火墙好,还是软件防火墙好”的争论,无论采用哪一种防火墙,总比没有防火墙好。使连接到Internet的每一个人都需要在其网络入口处采取一定的措施来阻止和丢弃恶意的网络通信。虽然Windows XP SP2自带的防火墙也勉强可用,但为了满足您的特殊需要,市场上还存在着大量产品可供挑选,最主要的事情就是去使用它们。
3、补丁策略必不可少
从一个新的漏洞被发现开始,到新的大规模攻击工具问世为止,两者间隔时间已经缩短了许多。在厂商发布安全补丁的时候,我们需要做出快速响应,访问和安装那些补丁应该成为工作内容和计划任务的一部分,不要事后才采取行动。
4、强化服务器
“强化”涉及两个简单的实践法则:购买商业软件时,删除您不需要的所有东西;如果不能删除,就把它禁用。可以通过强化来删除的典型对象包括示例文件、使用向导演示、先用后付费的捆绑软件以及在可以预见的将来不准备使用的高级特性。安装越复杂,越有可能留下安全隐患,所以将您的安装精简到不能再精简的程度。除此之外,设备和软件通常配置了默认用户名/密码访问、来宾和匿名帐户以及默认共享,删除不需要的,并修改所有身份验证凭据的默认值。
5、随时更新防病毒系统
原来我们鼓励用户“每周”检查一次防病毒更新,如今都提供了自动的签名更新。只要一直都连在Internet上,它们就能在一个新的安全威胁被发现后的数小时内下载到您的机器上。良好的安全性要求你在每个桌面都配备防病毒功能,并随时更新它。虽然在一个网络的网关那里建立防病毒机制能解决一部分问题,但在整个防病毒战线中,您只能把网关防病毒视为一道附加的防线,而不能把它视为桌面防病毒的一个替代品。
总之,高校计算机实验室网络安全的问题已成为计算机实验室管理者必须重视的工作,必须随时做好网络安全准备工作,尤其要对重要的文件或机密信息采取安全防护措施。同时,要引入国际先进的计算机病毒防治的方法及标准,使用防火墙及杀毒软件等,防止网络黑客及网络计算机病毒的入侵,保证计算机实验室正常教学秩序,另外,还要进行安全意识及安全措施方面的培训,并在法律规范等诸多方面加强管理。
参考文献:
[1]李艇.《网络安全与认证》出版社:重庆大学出版社
[2]杨守君.《黑客技术与网络安全》中国对外翻译出版公司
[3]杨富国等 《网络设备安全与防火墙》出版社:北方交通大学出版社
[4]杨绍兰.《信息安全防范的现状分析》 四川图书馆学报
【关键词】网络;安全;防火墙
在高校计算机实验室管理中网络安全防范是一项重要内容,网络的开放和共享方便了教师和学生的使用,但计算机信息和资源很容易受到攻击,在计算机实验室管理中网络安全也越来越受到重视,本文就高校网络安全、防火墙技术、确保网络安全的实现进行简要的介绍。
一、高校计算机实验室网络安全漏洞
高校计算机实验室网络的开放使得网络很容易受到攻击,而且受到攻击后的伤害是比较严重的,比如数据被人窃取,服务器不能正常提供服务等等,这是因为网络存在着如下漏洞:
1、协议
计算机实验室采用的互联网的某些协议,如TCP/IP或UDP协议存在着许多安全方面的漏洞,为了使信息在网络传输中不被窃取、替换、修改等,要求采取各种硬件及软件措施,如网关、传输协议等来保护FTP或E-mail文件。再就是黑客捕获目标IP地址不是一件复杂的事情,黑客可利用IP和客户软件的漏洞使远程用户瞬间死机,为了保证互联网上信息往来的安全,需要采用数字签名的措施来保证数据发送和来源的可靠。
2、口令
计算机实验室网络的口令系统非常脆弱,常常会被破译。破译者常常通过对信道的监测来截取口令或将加密的口令解密,获得对系统的访问权。特别是由于与内部局域网相连的互联网需要进行两类认证,一是需要用户进行TCP/IP注册认证,由用户输入IP地址和口令;二是对业务往来和电子邮件信息需要进行来源认证。这两类认证常常会受到攻击。例如当用户通过TELNET或FTP与远程主机联系时,由于在互联网上传输的口令没有加密,因而带有口令和用户名的IP包就有可能被攻击者截获,用此口令和用户名在系统上进行注册,并根据被窃取口令所具有的权限获得对系统相应的访问控制权,进而窃取用户的机密信息。
3、 操作系统和应用软件
在操作系统中发现了不少的漏洞,例如对可执行文件的访问控制不严就成为许多黑客攻击成功的原因之一。许多应用软件也都有安全漏洞,容易被黑客侵入,浏览器中的超级链接也很容易被攻击者利用而进入系统。为此,需要采取安全级别较高的操作系统并增加必要的软、硬件防护措施。
4、互联网
互联网既庞大又复杂,系统边界难以确定,用户难以监视,系统受到的威胁来自各方,许多访问控制措施配置起来十分困难也不易验证其正确性。为此,为确保安全,计算机实验室内部网与互联网的连接必须设立网关,以拦截和检查每一条从互联网来或去的信息,防止黑客、病毒之类的攻击,还要使互联网的网关成为防火墙的一部分。
二、防火墙技术
由于高校计算机实验室的网络存在着以上漏洞,所以受到了种类繁多的攻击,归纳起来主要有扫描类攻击、缓冲区溢出攻击、木马攻击、DOS攻击、碎片攻击等等。为了防止计算机实验室网络受到攻击,采取的有效手段是防火墙技术。防火墙是可在内部网和互联网之间,或者内部网的各部分之间实施安全防护的系统,通过防火墙可以在内部、外部两个网络之间建立起安全的控制点,来实施对进、出内部网络的服务和访问信息的审计和控制,以允许、拒绝或重新定向经过防火墙的数据流的方式,防止不希望、未授权的数据流进出被保护的内部网络。因此,防火墙计算机实验室是实现网络安全防范的重要组成部分。
1、防火墙要解决的安全问题
(1)被保护系统的安全问题
在访问控制安全方面,防火墙应能保护内部网络的资源不被非授权使用。在通信安全方面,防火墙应能提供数据保密性、完整性的认证,以及各种通信端不可否认的服务。
(2)自身的安全问题
在访问控制安全方面,防火墙应能保护防火墙自身与安全有关的数据不被非授权使用。在通信安全方面,在对防火墙进行管理时,包括远程管理,应能够提供数据保密性、完整性的认证,以及各种通信端不可否认的服务。
2、防火墙的关键技术
(1)包过滤技术
包过滤技术主要是基于路由的技术,即依据静态或动态的过滤逻辑,在对数据包进行转发前根据数据包的目的地址、源地址及端口号对数据包进行过滤。包过滤不能对数据包中的用户信息和文件信息进行识别,只能对整个网络提供保护。一般说来,包过滤必须使用两块网卡,即一块网卡连到公网,一块网卡连到内网,以实现对网上通信进行实时和双向的控制。包过滤技术具有运行速度快和基本不依赖于应用的优点,但包过滤只能依据现有数据包过滤的安全规则进行操作,而无法对用户在某些协议上进行各种不同要求服务的内容分别处理,即只是机械地允许或拒绝某种类型的服务,而不能对服务中的某个具体操作进行控制。因此,对于有些来自不安全的服务器的服务,仅依靠包过滤就不能起到保护内部网的作用了。
(2)代理服务技术
代理服务又称为应用级防火墙、代理防火墙或应用网关,一般针对某一特定的应用来使用特定的代理模块。代理服务由用户端的代理客户和防火墙端的代理服务器两部分组成,其不仅能理解数据包头的信息,还能理解应用信息本身的内容。当一个远程用户连接到某个运行代理服务的网络时,防火墙端的代理服务器即进行连接,IP报文即不再向前转发而进入内网。代理服务通常被认为是最安全的防火墙技术,因为代理服务有能力支持可靠的用户认证并提供详细的注册信息。代理服务的代理工作在客户机和服务器之间,具有完全控制会话和提供详细日志、安全审计的功能,而且代理服务器的配置可以隐藏内网的IP地址,保护内部主机免受外部的攻击。此外,代理服务还可以过滤协议,以保证用户不将文件写到匿名的服务器上去。代理服务在转发网络数据包的方式与包过滤防火墙也不同,包过滤防火墙是在网络层转发网络数据包,而代理服务则在应用层转发网络访问。 以上介绍了两种防火墙技术。由于此项技术在网络安全中具有不可替代的作用,因而在最近十多年里得到了较大的发展,已有四类防火墙在流行,即包过滤防火墙、代理防火墙、状态检测防火墙和第四代防火墙。
防火墙是特定的计算机硬件和软件的组合,它在两个计算机网络之间实施相应的访问控制策略,使得内部网络与Internet或其他外部网络互相隔离、限制网络互访,禁止外部网络的客户直接进入内部网络进行访问,内部网络用户也必须经过授权才能访问外部网络。在内部网络与外部Internet的接口处,必须安装防火墙。内部网络规模较大且设置有VLAN时,则应该在各个VLAN之间设置防火墙。通过公共网络连接的总部与各分支机构之间也应该设置防火墙,并将总部与各分支机构组成VPN。
三、确保高校网络安全技术实现
1、安全策略
我们都需要一个安全策略,不要等到发生入侵之后才想起来制定这个策略;现在就开始制定一个,才能防患于未然。
2、防火墙必不可少
令人吃惊的是,现在大多数学校都在运行着没有防火墙保护的公共网络,让我们姑且忽略有关“硬件防火墙好,还是软件防火墙好”的争论,无论采用哪一种防火墙,总比没有防火墙好。使连接到Internet的每一个人都需要在其网络入口处采取一定的措施来阻止和丢弃恶意的网络通信。虽然Windows XP SP2自带的防火墙也勉强可用,但为了满足您的特殊需要,市场上还存在着大量产品可供挑选,最主要的事情就是去使用它们。
3、补丁策略必不可少
从一个新的漏洞被发现开始,到新的大规模攻击工具问世为止,两者间隔时间已经缩短了许多。在厂商发布安全补丁的时候,我们需要做出快速响应,访问和安装那些补丁应该成为工作内容和计划任务的一部分,不要事后才采取行动。
4、强化服务器
“强化”涉及两个简单的实践法则:购买商业软件时,删除您不需要的所有东西;如果不能删除,就把它禁用。可以通过强化来删除的典型对象包括示例文件、使用向导演示、先用后付费的捆绑软件以及在可以预见的将来不准备使用的高级特性。安装越复杂,越有可能留下安全隐患,所以将您的安装精简到不能再精简的程度。除此之外,设备和软件通常配置了默认用户名/密码访问、来宾和匿名帐户以及默认共享,删除不需要的,并修改所有身份验证凭据的默认值。
5、随时更新防病毒系统
原来我们鼓励用户“每周”检查一次防病毒更新,如今都提供了自动的签名更新。只要一直都连在Internet上,它们就能在一个新的安全威胁被发现后的数小时内下载到您的机器上。良好的安全性要求你在每个桌面都配备防病毒功能,并随时更新它。虽然在一个网络的网关那里建立防病毒机制能解决一部分问题,但在整个防病毒战线中,您只能把网关防病毒视为一道附加的防线,而不能把它视为桌面防病毒的一个替代品。
总之,高校计算机实验室网络安全的问题已成为计算机实验室管理者必须重视的工作,必须随时做好网络安全准备工作,尤其要对重要的文件或机密信息采取安全防护措施。同时,要引入国际先进的计算机病毒防治的方法及标准,使用防火墙及杀毒软件等,防止网络黑客及网络计算机病毒的入侵,保证计算机实验室正常教学秩序,另外,还要进行安全意识及安全措施方面的培训,并在法律规范等诸多方面加强管理。
参考文献:
[1]李艇.《网络安全与认证》出版社:重庆大学出版社
[2]杨守君.《黑客技术与网络安全》中国对外翻译出版公司
[3]杨富国等 《网络设备安全与防火墙》出版社:北方交通大学出版社
[4]杨绍兰.《信息安全防范的现状分析》 四川图书馆学报