计算机网络安全与防火墙技术.docxVIP

?

?

计算机网络安全与防火墙技术

?

?

论文导读：影响计算机网络安全的因素很多。而防火墙是一种保护计算机网络安全的技术性措施。使用单防火墙和单子网保护多级应用系统的网络结构。欺骗，论文参考，计算机网络安全与防火墙技术。

关键词：计算机网络安全，防火墙，单子网，arp欺骗

?

影响计算机网络安全的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有。这些因素可以大体分类为：计算机病毒、人为的无意失误、人为的恶意攻击、网络软件的缺陷和漏洞、物理安全问题。

而防火墙是一种保护计算机网络安全的技术性措施，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。

1.非法攻击防火墙的基本“招数”

通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖，虽说成功与否尚取决于机遇等其他因素，但对攻击者而言很值得一试。下面以数据包过滤防火墙为例，简要描述可能的攻击过程。

通常主机A与主机B的TCP连接(中间有或无防火墙)是通过主机A向主机B提出请求建立起来的，而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。IP地址欺骗攻击的第一步是切断可信赖主机。这样可以使用TCP淹没攻击(TCPSynFloodAttack)，使得信赖主机处于“自顾不暇”的忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障，只能发出无法建立连接的RST包，而无暇顾及其他。

攻击者最关心的是猜测目标主机的ISN。为此，可以利用SMTP的端口(25),通常它是开放的，邮件能够通过这个端口，与目标主机打开(Open)一个TCP连接，因而得到它的ISN。在此有效期间，重复这一过程若干次，以便能够猜测和确定ISN的产生和变化规律，这样就可以使用被切断的可信赖主机的IP地址向目标主机发出连接请求。请求发出后，目标主机会认为它是TCP连接的请求者，从而给信赖主机发送响应(包括SYN)，而信赖主机目前仍忙于处理Flood淹没攻击产生的“合法”请求，因此目标主机不能得到来自于信赖主机的响应。现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主机，随着不断地纠正预测的ISN，攻击者最终会与目标主机建立一个会晤。通过这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。论文参考，arp欺骗。。如果反复试验使得目标主机能够接收对网络的ROOT登录，那么就可以完全控制整个网络。

2.单防火墙和单子网

由于不同的资源存在着不同的风险程度，所以要基于此来对网络资源进行划分。这里的风险包含两个因素:资源将被妥协的可能性和资源本身的敏感性。例如：一个好的Web服务器运行CGI会比仅仅提供静态网页更容易得到用户的认可，但随之带来的却是Web服务器的安全隐患。网络管理员在服务器前端配置防火墙,会减少它全面暴露的风险。数据库服务器中存放有重要数据,它比Web服务器更加敏感,因此需要添加额外的安全保护层。

使用单防火墙和单子网保护多级应用系统的网络结构，这里所有的服务器都被安排在同一个子网，防火墙接在边界路由器与内部网络之间，防御来自Internet的网络攻击。论文参考，arp欺骗。。在网络使用和基于主机的入侵检测系统下，服务器得到了加强和防护，这样便可以保护应用系统免遭攻击。像这样的纵向防护技术在所有坚固的设计中是非常普遍的，但它们并没有明显的显示在图表中。

在这种设计方案中，所有服务器都安排在同一个子网，用防火墙将它们与Internet隔离，这些不同安全级别的服务器在子网中受到同等级的安全保护。尽管所有服务器都在一个子网,但网络管理员仍然可以将内部资源与外部共享资源有效地分离。使用单防火墙和单子网保护服务器的方案系统造价便宜，而且网络管理和维护比较简单，这是该方案的一个重要优点。因此,当进一步隔离网络服务器并不能从实质上降低重要数据的安全风险时，采用单防火墙和单子网的方案的确是一种经济的选择。

3.单防火墙和多子网

如果遇见适合划分多个子网的情况，网络管理员可以把内部网络划分成独立的子网，不同层的服务器分别放在不同的子网中，数据层服务器只接受中间层服务器数据查询时连接的端口，就能有效地提高数据层服务器的安全性，也能够帮助防御其它类型的攻击。论文参考，arp欺骗。。这时，更适于采用一种更为精巧的网络结构———单个防火墙划分多重子网结构。单个防火墙划分多重子