時間:2022-06-29 07:28:33
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇防火墻技術論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:網絡安全;防火墻
1從軟、硬件形式上分
如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。
(1)軟件防火墻。
軟件防火墻運行于特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這臺計算機就是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網管對所工作的操作系統平臺比較熟悉。
(2)硬件防火墻。
這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻,他們都基于PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。值得注意的是,由于此類防火墻采用的依然是別人的內核,因此依然會受到OS(操作系統)本身的安全性影響。
(3)芯片級防火墻。
芯片級防火墻基于專門的硬件平臺,沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強,性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統),因此防火墻本身的漏洞比較少,不過價格相對比較高昂。
2從防火墻技術分
防火墻技術雖然出現了許多,但總體來講可分為“包過濾型”和“應用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
(1)包過濾(Packetfiltering)型。
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網絡服務采取特殊的處理方式,適用于所有網絡服務;之所以廉價,是因為大多數路由器都提供數據包過濾功能,所以這類防火墻多數是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數企業安全要求。
在整個防火墻技術的發展過程中,包過濾技術出現了兩種不同版本,稱為“第一代靜態包過濾”和“第二代動態包過濾”。
包過濾方式的優點是不用改動客戶機和主機上的應用程序,因為它工作在網絡層和傳輸層,與應用層無關。但其弱點也是明顯的:過濾判別的依據只是網絡層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由于缺少上下文關聯信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協議;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭信息,而不能對用戶身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網關配合使用,共同組成防火墻系統。
(2)應用(ApplicationProxy)型。
應用型防火墻是工作在OSI的最高層,即應用層。其特點是完全“阻隔”了網絡通信流,通過對每種應用服務編制專門的程序,實現監視和控制應用層通信流的作用。其典型網絡結構如圖所示。
在型防火墻技術的發展過程中,它也經歷了兩個不同的版本:第一代應用網關型防火和第二代自適應防火墻。
類型防火墻的最突出的優點就是安全。由于它工作于最高層,所以它可以對網絡中任何一層數據通信進行篩選保護,而不是像包過濾那樣,只是對網絡層的數據進行過濾。
另外型防火墻采取是一種機制,它可以為每一種應用服務建立一個專門的,所以內外部網絡之間的通信不是直接的,而都需先經過服務器審核,通過后再由服務器代為連接,根本沒有給內、外部網絡計算機任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。
防火墻的最大缺點是速度相對比較慢,當用戶對內外部網絡網關的吞吐量要求比較高時,防火墻就會成為內外部網絡之間的瓶頸。那因為防火墻需要為不同的網絡服務建立專門的服務,在自己的程序為內、外部網絡用戶建立連接時需要時間,所以給系統性能帶來了一些負面影響,但通常不會很明顯。
3從防火墻結構分
從防火墻結構上分,防火墻主要有:單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機防火墻是最為傳統的防火墻,獨立于其它網絡設備,它位于網絡邊界。
這種防火墻其實與一臺計算機結構差不多(如下圖),同樣包括CPU、內存、硬盤等基本組件,主板更是不能少的,且主板上也有南、北橋芯片。它與一般計算機最主要的區別就是一般防火墻都集成了兩個以上的以太網卡,因為它需要連接一個以上的內、外部網絡。其中的硬盤就是用來存儲防火墻所用的基本程序,如包過濾程序和服務器程序等,有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此,但我們不能說它就與我們平常的PC機一樣,因為它的工作性質,決定了它要具備非常高的穩定性、實用性,具備非常高的系統吞吐性能。正因如此,看似與PC機差不多的配置,價格甚遠。
隨著防火墻技術的發展及應用需求的提高,原來作為單一主機的防火墻現在已發生了許多變化。最明顯的變化就是現在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個獨立的硬件實體,而是由多個軟、硬件組成的系統,這種防火墻,俗稱“分布式防火墻”。
原來單一主機的防火墻由于價格非常昂貴,僅有少數大型企業才能承受得起,為了降低企業網絡投資,現在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業就不用再同時購買路由器和防火墻,大大降低了網絡設備購買成本。
分布式防火墻再也不只是位于網絡邊界,而是滲透于網絡的每一臺主機,對整個內部網絡的主機實施保護。在網絡服務器中,通常會安裝一個用于防火墻系統管理軟件,在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡,這樣一塊防火墻卡同時兼有網卡和防火墻的雙重功能。這樣一個防火墻系統就可以徹底保護內部網絡。各主機把任何其它主機發送的通信連接都視為“不可信”的,都需要嚴格過濾。而不是傳統邊界防火墻那樣,僅對外部網絡發出的通信請求“不信任”。
4按防火墻的應用部署位置分
按防火墻的應用部署位置分,可以分為邊界防火墻、個人防火墻和混合防火墻三大類。
邊界防火墻是最為傳統的,它們于內、外部網絡的邊界,所起的作用的對內、外部網絡實施隔離,保護邊界內部網絡。這類防火墻一般都屬于硬件類型,價格較貴,性能較好。
個人防火墻安裝于單臺主機中,防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶,通常為軟件防火墻,價格最便宜,性能也最差。
混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統,由若干個軟、硬件組件組成,分布于內、外部網絡邊界和內部各主機之間,既對內、外部網絡之間通信進行過濾,又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一,性能最好,價格也最貴。
5按防火墻性能分
按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。
因為防火墻通常位于網絡邊界,所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應用所產生的延時也越小,對整個網絡通信性能的影響也就越小。
雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。
參考文獻
[1]孫建華等.網絡系統管理-Linux實訓篇[M].北京:人民郵電出版社,2003,(10).
關鍵詞:防火墻;NetST;網絡信息
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-4311(2012)18-0178-02
0 引言
一般來說,防火墻包括幾個不同的組成部分:過濾器(有時也稱屏蔽)用于阻斷一定類型的通信傳輸。網關是一臺或一組機器,它提供中繼服務,以補償過濾器的影響。駐有網關的網絡常被叫做非軍事區(DeMilitarized Zone,DMZ)。DMZ中的網關有時還由一個內部網關(internal gateway)協助工作。一般情況下,兩個網關通過內部過濾器到內部的連接比外部網關到其他內部主機的連接更為開放。就網絡通信而言,兩個過濾器或網關本身,都是可以省去的,詳細情況隨防火墻的變化而變化。一般說來,外部過濾器可用來保護網關免受攻擊,而內部過濾器用來應付一個網關遭到破壞后所帶來的后果,兩個過濾器均可保護內部網絡,使之免受攻擊。一個暴露的網關機器通常被叫做堡壘機。
防火墻可分成兩種主要類別:數據包過濾(packet filtering)和應用網關(application gateway)。
數據包過濾防火墻的工作方法是通過基于數據包的源地址、目的地址或端口來進行過濾的。一般說來,不保持前后連接信息,過濾決定也是根據當前數據包的內容來做的。管理員可以設計一個可接受機器和服務的列表,以及一個不可接受機器和服務的列表。在主機和網絡一級,利用數據包過濾器很容易實現允許或禁止訪問。例如,允許主機A和B之間的任何IP訪問,或禁止除A以外的任何機器訪問B。
大多數安全策略需要更為精細的控制:對根本不被信任的主機,需要定義容許它們訪問的服務。例如,可以希望允許任何主機與機器A連接,但僅限于發送或接收郵件。其他服務可以或不可以被允許。數據包過濾器允許在這一級別上進行某些控制,為了正確地做到這一點,要求精通許多操作系統上TCP和UDP端口的使用知識。包過濾防火墻的優點是速度快,缺點是不能對數據內容進行控制。
應用網關防火墻則是另一種方式,它不使用通用目標機制來允許各種不同種類的通信,而是針對每個應用使用專用目的代碼。雖然這樣做看來有些浪費,但卻比任何其他方法安全得多。一是不必擔心不同過濾規則集之間的交互影響,二是不必擔憂對外部提供安全服務的主機中的漏洞。只需仔細檢查選擇的數個程序。應用網關還有另一個優點:它易于記錄并控制所有的進/出通信,并對Internet的訪問做到內容級的過濾,所以是很安全的。應用級網關的最大缺點就是速度慢。
1 網絡的系統規劃與設計
根據用戶具體情況,規劃內網的環境,必要時使用多個網段。確定是否需要向外部Internet提供服務以及何種服務,由此確定是否需要DMZ網段以及DMZ網段的具體結構。根據內網、DMZ網的結構確定NetST■防火墻的具體連接方式,防火墻位置一般放在路由器之后,內網、DMZ網之前。設計系統的訪問控制規則,使防火墻起作用。
2 防火墻配置步驟建議
配置網絡結構,安裝NetST■防火墻硬件,使防火墻各網卡正確連接內網,外網和DMZ網。配置NetST■防火墻網絡參數使網絡連接正常,必要時需重啟NetST■防火墻。設計網絡安全策略,根據用戶具體情況設置安全選項、NAT規則、訪問控制的過濾規則、內容過濾規則等。啟動防火墻引擎,使規則起作用。
3 防火墻規則定義的一般步驟
NetST防火墻一般按下列步驟定義規則:
一般情況下,我們建議用戶按上面步驟進行規則配置,用戶也可以根據情況進行一定的調整和修改。
4 狀態檢測防火墻引擎
NetST防火墻引擎采用國際先進的狀態檢測包過濾技術,實時在線監測當前內外網絡的TCP連接狀態,根據連接狀態動態配置規則,對異常的連接狀態進行阻斷,實現入侵檢測并及時報警。NetST■防火墻支持對目前國際上主要的網絡攻擊方法的判別,并且進行有效阻斷。作為包過濾型防火墻, NetST防火墻為用戶提供強大的包過濾功能。NetST防火墻支持各種主流網絡協議,不僅可以根據網絡流量的類型、網絡地址、應用服務等條件進行過濾,并且可以對多種網絡入侵進行辨別和有效阻斷,同時實時進行記錄和報警;另外,NetST■防火墻與內置多種網絡對象的Java管理控制臺配合使用,可以更加充分發揮NetST■防火墻引擎的強大的包過濾功能。
4.1 全面安全防護 NetST防火墻具備抵御多種外來惡意攻擊的能力:
4.1.1 DoS(Deny of Service,拒絕服務)攻擊:此類型的攻擊方式包括SYN Flooding、LAND攻擊、Ping Flooding、Ping of Death、Teardrop/New Tear、IP碎片攻擊等,攻擊者對服務器不斷發各種類型的數據包使服務器的處理能力達到飽和,從而不能再接受正常的訪問。NetST■防火墻利用地址檢測、流量限制、碎片重組等方法進行防御;
4.1.2 IP欺騙:攻擊機器 C模擬被攻擊機器A信任的機器B與A通信,通常先通過DoS攻擊使B的網絡陷于癱瘓,然后再冒充B與A通信以執行對A造成危害的操作。防止IP欺騙的方法一是服務器不開危險服務,二是服務器的TCP連接的起始序列號要隨機選取,防止被猜,三是加強對DoS攻擊的防御。NetST■防火墻的防御方法是一是禁止外網到內網的連接請求,或只將允許的開放端口請求轉到DMZ區的服務器,同時DMZ區服務器盡量只開單一服務,并注意對系統軟件進行升級或打補丁;
4.1.3 端口掃描:通過端口掃描,攻擊者可知道被攻擊的服務器上運行那些服務,從而對服務進行攻擊或利用某些服務的缺陷攻擊主機。NetST■防火墻利用網絡地址轉換(NAT)功能、TCP狀態檢測等方法進行防御;
4.1.4 IP盜用:在內網中的一臺機器通過修改IP地址模擬另一臺機器,從而NetST■防火墻使用基于用戶的認證使IP地址與用戶動態綁定以及IP地址與MAC地址綁定來進行預防。
4.2 全面內容過濾 NetST防火墻支持對最常用的應用層協議進行內容過濾,使用戶可以根據網絡傳輸的內容進行管理和控制,從而使企業網絡運行更加快速有效。NetST防火墻支持HTTP協議的URL過濾和HTML內容過濾。NetST■防火墻支持與WebCM■3000系列產品無縫集成,由NetST■防火墻提取出URL,然后與UFP服務器連接以確定是否允許此請求通過;同時,可過濾HTML頁面中的各種腳本和Java小程序;可拒絕各種媒體類型的數據,如圖像、聲頻、視頻等,以免浪費帶寬,降低工作效率;NetST防火墻支持FTP協議內容過濾,用戶可自行設定拒絕上載和下載的文件類型表,對此文件類型范圍內的文件傳送請求將被拒絕;
NetST防火墻支持主要郵件協議的內容過濾。對于SMTP協議,用戶可自行設定拒絕發的附件文件類型表,對此文件類型范圍內的附件發送請求將被拒絕;對于POP3協議,可自行設定危險的附件文件類型表,對此文件類型范圍內的附件收取將修改文件的后綴名以使其暫時失效,從而防止諸如“ILOVEYOU”等郵件病毒的攻擊。
在當前信息技術高速發展的情況下,好的反火槍技術不斷發展更新,設計該系統的過程中,我們也是在不斷的發現問題,解決問題。也發現了不少沒有能解決的新問題,比如延時的控制以及系統運行時的安全保障等新的問題。這需要在今后的工作中不斷的去努力,不斷地去研究逐漸解決。
參考文獻:
[1]張迅.基于SIP的IP視頻電話的設計與實現.華中科技大學碩士學位論文,2006:14-19.
[2]武海寧基于SIP/RTP的實用VOIP系統研究.北京郵電大學碩士學位論文,2007:17-23.
[3]唐岷.基于SIP的VoIP穿越防火墻/NAT的研究與實現.南京理工大學碩士學位論文,2006:45-50.
【關鍵詞】建筑工程 防火防爆設計安全性能設計要點
中圖分類號: TU198 文獻標識碼: A
一.引言
隨著社會經濟的發展,建筑工程建設得到了前所未有的發展,建筑工程項目的數量日益增多,同時出現的各種建筑工程事故也在增加。建筑工程的結構設計是保證工程質量的關鍵,防火防爆設計直接影響著工程項目的實用性,甚至關系著人民的生命財產安全。因此,為了提高建筑工程的質量,保障人民的生命財產安全,降低國家的經濟損失,我們必須要加強對建筑工程防火防爆設計的研究,提高設計的安全性。
二.對工業建筑進行防火防爆設計需考慮的問題。
建筑消防設計是建筑設計中一個重要組成部分,關系到人民生命財產安全,應該引起大家的足夠重視。文章從防火分區、安全疏散以及防爆泄壓三方面來討論:
(1). 建筑的防火分區問題。
《建規》中規定了廠房及倉庫的的防火分區,其中有一點需要注意,廠房及倉庫的防火分區首先受該建筑物生產類別影響,其次還和建筑物的耐火等級有關。雖然《建規》中規定封閉樓梯間的門為雙向彈簧門就可以了,但做為劃分防火分區用的封閉樓梯間門至少應設乙級防火門。否則樓梯間也是火災縱向蔓延的途徑之一,也應按上下連通層作為一個防火分區計算面積。
(2). 安全疏散設計問題。
很多大型工業建筑在消防安全疏散設計中存在的問題,諸如首層疏散樓梯無法直通室外,設備及管道布置錯綜復雜致使人員逃生路線迂回曲折,疏散距離超過規范要求等。在設計中應合理設置安全疏散通道,并使疏散通道兩側的隔墻耐火極限≥lh(非燃材料),房間內最遠工作點的疏散距離應考慮設備及管道布置的影響等等。
(3)防爆泄壓應注意的問題
首先,不同用途的廠房有不同的廠房爆炸危險等級,進而根據規范采取相應級別的泄壓比。第二,要避免建筑物內有爆炸危險的部位形成長細比過大的空間,以防止爆炸時產生較大超壓,保證所設計的泄壓面積能有效。第三,泄壓方向要避開人員疏散通道及重要設施。
三.工業廠房防火防爆設計要點。
有爆炸危險的廠房,一旦發生爆炸,不但會造成房倒人亡,設備摧毀,生產停頓,甚至引起相鄰廠房或設施連鎖爆炸、次生火災。因此,從廠房設計起,就應考慮防爆抗爆措施。消防部門也應加強對此類廠房的審核,嚴格把關,將隱患消滅在源頭。因此在設計爆炸危險廠房時應注意把握以下幾個方面:
1.平面布局設計。
規模較大的工廠和倉庫,應根據實際需要,合理劃分生產區、儲存區、生產輔助設施區和行政辦公、生活福利區等。同一生產企業內,宜盡量將火災危險性相同或相近的建筑集中布置,以便分別采取防火防爆設施,便于安全管理。在選址時,應注意周圍環境,充分考慮建廠地區的企業和居民安全。注意地勢條件,應根據產品的性質,優先選取有利地形,減少危險性,減少對周圍環境的火災威脅。注意風向,散發可燃氣體、可燃蒸汽和可燃粉塵的車間、裝置,應布置在廠區的全年主導風向的下風向。
2.建筑耐火等級。
建筑物耐火等級。劃分建筑物耐火等級是建筑設計防火規范中規定的防火技術措施中最基本的措施。它要求建筑物在火災高溫的持續作用下,墻、柱、梁、樓板、屋蓋、吊頂等基本建筑構件,能在一定的時間內不破壞,不傳播火災,從而起到延緩和阻止火災蔓延的作用,并為人員疏散、搶救物資和撲滅火災以及為火災后結構修復創造條件。
3.防火墻和防火門及防火間距。
根據在建筑物中的位置和構造形式,有與屋脊方向垂直的橫向防火墻、與屋脊方向平行的縱向防火墻、內墻防火墻、外墻防火墻和獨立防火墻等。內防火墻是把廠房或庫房劃分成防火單元,可以阻止火勢在建筑物內的蔓延擴展;外防火墻是鄰近兩幢建筑物的防火間距不足而設置的無門窗洞的外墻,或兩幢建筑物之間的室外獨立防火墻。已采取防火分割的相鄰區域如需要互相通行時,可在中間設置防火門。按燃燒性能不同有非燃燒體防火門和難燃燒體防火門;按開啟方式不同有平開門和卷簾門等。
火災發生時,由于強烈的熱輻射、熱對流以及燃燒物質的爆炸飛濺、拋向空中形成飛火,能使鄰近甚至遠處建筑物形成新的起火點。為阻止火勢向相鄰建筑物蔓延擴散,應保證建筑物之間的防火間距。
4.工業建筑防爆。
在一些工業建筑中,使用和產生的可燃氣體、可燃蒸氣、可燃粉塵等物質能夠與空氣形成爆炸危險性的混合物,遇到火源就能引起爆炸。這種爆炸能夠在瞬間以機械功的形式釋放出巨大的能量,使建筑物、生產設備遭到毀壞,造成人員傷亡。對于上述有爆炸危險的工業建筑,為了防止爆炸事故的發生,減少爆炸事故造成的損失,要從建筑平面與空間布置、建筑構造和建筑設施方面采取防火防爆措施。首先,此類建筑以獨立設置,并宜采用敞開或半敞開式,承重結構多采用鋼筋混凝土或鋼框架、排架結構。第二,要加強與其貼臨建造建筑物的保護,根據需要將兩者之間的隔墻設置為防火墻或防爆墻。第三,有爆炸危險的甲、乙類廠房(倉庫)應設置足夠有效的泄壓設施,以減少爆炸帶來的損失。當建筑物長細比大于3時,宜將該建筑劃分為長細比小于等于3的多個計算段來計算所需泄壓面積,且各計算段中的公共截面不得作為泄壓面積。另外,位于寒冷及嚴寒地區的有爆炸危險的建筑物屋頂上所設的泄壓設施還應考慮采取有效防止冰雪積聚的措施。
5. 設置防爆門斗
設置防爆門斗是解決交通和防爆的有力措施,第一道門宜采用防爆門,才能達到防爆的效果。但防爆門均采用特殊鋼材制作,其連接轉動部件和防止門與門框碰撞產生火花,門鉸鏈應采用青銅軸和墊圈或其他摩擦碰撞不發火材料制作,門扇周邊貼橡膠板,防止碰撞產生火花。防爆門斗內要有一定的容積,保證當門打開時瞬時進入門斗的可燃氣體濃度降低,兩門布置應在不同方位上,間距200以上。防爆門斗也是爆炸危險部位的安全出口,其位置應滿足安全疏散距離的要求。
四.結束語
隨著人們生活水平的提高,對生命財產的安全性要求也在不斷提高。建筑安全保障問題在人們心中的地位越來越高,經濟性建立在安全性的基礎之上,只有保證了建筑結構的安全性,才能夠考慮建筑工程施工的經濟性和適用性。在正常的情況下,建筑工程首先要具備良好的工作性能,進而為社會創造出良好的經濟效益。進而有效提高建筑結構的安全性能,促進建筑工程建設的發展,促進建筑業的發展。
參考文獻:
[1] 李海 防爆防火設計在工業建筑中的應用 [期刊論文] 《黑龍江科技信息》 -2012年2期
[2] 曲海富 海洋工程防爆墻結構有限元分析 [學位論文] 2007 - 天津大學:船舶與海洋結構物設計制造
[論文關鍵詞] 計算機網絡安全網絡技術 [論文提要] 近年來計算機網絡獲得了飛速的發展,網絡安全問題也隨之成為人們關注的焦點。本文分析了影響網絡安全的主要因素,重點闡述了幾種常用的網絡信息安全技術。
Keywords: computer network security network technology
Abstracts: In recent years, computer network access to the rapid development of network security issues will become a focus of attention. This paper analyzes the main factors affecting network security, focuses on several commonly used network information security technology. 中圖分類號:TN711文獻標識碼:A 文章編號:計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。 隨著計算機網絡的不斷發展,全球信息化已成為人類發展的大趨勢。但由于計算機網絡具有聯結形式多樣性、互連性等特征,加上安全機制的缺乏和防護意識不強,致使網絡易受黑客、惡意軟件和其他不軌行為的攻擊,所以網絡信息的安全和保密是一個至關重要的問題。 一、威脅網絡安全的主要因素 影響計算機網絡安全的因素有很多,威脅網絡安全則主要來自人為的無意失誤、人為的惡意功擊和網絡軟件系統的漏洞以及“后門”三個方面的因素,歸納起來如下: 1.應用系統和軟件安全漏洞。WEB服務器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁活起來,然而很多人在編CGI程序時對軟件包并不十分了解,多數人不是新編程序,而是對程序加以適當的修改,這樣一來,很多CGI程序就難免具有相同安全漏洞。且每個操作系統或網絡軟件的出現都不可能是完美無缺,因此始終處于一個危險的境地,一旦連接入網,就有可能成為功擊對象。 2.安全策略。安全配置不當造成安全漏洞,例如:防火墻軟件的配置不正確,那么它根本不起作用。許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被其他人員濫用。網絡入侵的目的主要是取得使用系統的存儲權限、寫權限以及訪問其他存儲內容的權限,或者是作為進一步進入其他系統的跳板,或者惡意破壞這個系統,使其毀壞而喪失服務能力。對特定的網絡應用程序,當它啟動時,就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置,否則,安全隱患始終存在。 3.后門和木馬程序。在計算機系統中,后門是指軟、硬件制作者為了進行非授權訪問而在程序中故意設置的訪問口令,但也由于后門的存大,對處于網絡中的計算機系統構成潛在的嚴重威脅。木馬是一類特殊的后門程序,是一種基于遠程控制的黑客工具,具有隱蔽性和非授權性的特點;如果一臺電腦被安裝了木馬服務器程序,那么黑客就可以使用木馬控制器程序進入這臺電腦,通過命令服務器程序達到控制電腦目的。 4.病毒。目前數據安全的頭號大敵是計算機病毒,它是編制者在計算機程序中插入的破壞計算機功能或數據,影響硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。它具有病毒的一些共性,如:傳播性、隱蔽性、破壞性和潛伏性等等,同時具有自己的一些特征,如:不利用文件寄生(有的只存在于內存中),對網絡造成拒絕服務以及和黑客技術相結合等。 5.黑客。黑客通常是程序設計人員,他們掌握著有關操作系統和編程語言的高級知識,并利用系統中的安全漏洞非法進入他人計算機系統,其危害性非常大。從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。 二、常用的網絡安全技術 1.殺毒軟件技術。殺毒軟件是我們計算機中最為常見的軟件,也是用得最為普通的安全技術方案,因為這種技術實現起來最為簡單,但我們都知道殺毒軟件的主要功能就是殺毒,功能比較有限,不能完全滿足網絡安全的需要。這種方式對于個人用戶或小企業基本能滿足需要,但如果個人或企業有電子商務方面的需求,就不能完全滿足了,值得欣慰的是隨著殺毒軟件技術的不斷發展,現在的主流殺毒軟件同時對預防木馬及其它的一些黑客程序的入侵有不錯的效果。還有的殺毒軟件開發商同時提供了軟件防火墻,具有了一定防火墻功能,在一定程度上能起到硬件防火墻的功效,如:360、金山防火墻和Norton防火墻等。
2.防火墻技術。防火墻技術是指網絡之間通過預定義的安全策略,對內外網通信強制實施訪問控制的安全應用措施。防火墻如果從實現方式上來分,又分為硬件防火墻和軟件防火墻兩類,我們通常意義上講的硬防火墻為硬件防火墻,它是通過硬件和軟件的結合來達到隔離內外部網絡的目的,價格較貴,但效果較好,一般小型企業和個人很難實現;軟件防火墻它是通過純軟件的方式來達到,價格很便宜,但這類防火墻只能通過一定的規則來達到限制一些非法用戶訪問內部網的目的。然而,防火墻也并非人們想象的那樣不可滲透。在過去的統計中曾遭受過黑客入侵的網絡用戶有三分之一是有防火墻保護的,也就是說要保證網絡信息的安全還必須有其他一系列措施,例如:對數據進行加密處理。需要說明的是防火墻只能抵御來自外部網絡的侵擾,而對企業內部網絡的安全卻無能為力,要保證企業內部網的安全,還需通過對內部網絡的有效控制和來實現。 3.數據加密技術。與防火墻配合使用的安全技術還有文件加密與數字簽名技術,它是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部竊取,偵聽或破壞所采用的主要技術手段之一。按作用不同,文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密,常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。數據加密在許多場合集中表現為密匙的應用,密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環節上的保密措施。 數據加密技術主要是通過對網絡數據的加密來保障網絡的安全可靠性,能夠有效地防止機密信息的泄漏。另外,它也廣泛地被應用于信息鑒別、數字簽名等技術中,用來防止欺騙,這對信息處理系統的安全起到極其重要的作用。 4.入侵檢測技術。網絡入侵檢測技術也叫網絡實時監控技術,它通過硬件或軟件對網絡上的數據流進行實時檢查,并與系統中的入侵特征數據庫等比較,一旦發現有被攻擊的跡象,立刻根據用戶所定義的動作做出反應,如切斷網絡連接,或通知防火墻系統對訪問控制策略進行調整,將入侵的數據包過濾掉等。因此入侵檢測是對防火墻有益的補充。可在不影響網絡性能的情況下對網絡進行監聽,從而提供對內部攻擊、外部攻擊和誤操作的實時保護,大大提高了網絡的安全性。 5.網絡安全掃描技術。網絡安全掃描技術是檢測遠程或本地系統安全脆弱性的一種安全技術,通過對網絡的掃描,網絡管理員可以了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。利用安全掃描技術,可以對局域網絡、Web站點、主機操作系統、系統服務以及防火墻系統的安全漏洞進行服務,檢測在操作系統上存在的可能導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞,還可以檢測主機系統中是否被安裝了竊聽程序、防火墻系統是否存在安全漏洞和配置錯誤。 網絡安全與網絡的發展戚戚相關,關系著IN-TERNET的進一步發展和普及。網絡安全不能僅依靠殺毒軟件、防火墻和漏洞檢測等硬件設備的防護,還應注重樹立人的計算機安全意識,才可能更好地進行防護,才能真正享受到網絡帶來的巨大便利。
[參考文獻] [1]顧巧論.計算機網絡安全[M].北京:清華大學出版社,2008.
[2]李軍義.計算機網絡技術與應用[M].北京:北方大學出版社,2006.
[3]蔡立軍.計算機網絡安全技術[M].北京:水利水電出版社,2005.
[4]趙秦.計算機網絡信息安全技術研究[J].中國新技術新產品,2009,(14).
關鍵詞:計算機;網絡安全;防火墻技術;分析
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)24-5787-02
Computer Network Security and Firewall Technology
ZHANG Rui
(Hinggan League Frontier Defense Detachment, Inner Mongolia Frontier Corps, Ulanhot 137400, China)
Abstract: With the popularization of computer technology in our country, the openness of the network to bring convenience, but also brought confusion to the network security issues. For example: the computer network are often victims of a virus or hacker attacks, so that important files and data loss. In order to be able to better ensure the security of network information, to avoid destruction and violation of, therefore, become the focus of attention as a firewall to protect network security technology. In this paper, a brief introduction of the com puter network security and firewall technology, computer network security and firewall technology to analyze, and described the use of fire wall technology in computer network security.
Key words: computer; network security; firewall technology; analysis
計算機網絡安全問題主要有:信息在傳輸的過程中,數據被篡改和復制,以及攔截和查看,甚至遭受惡意的病毒攻擊等。這些安全問題嚴重影響著計算機網絡的正常運行,出現系統癱瘓或重要數據的泄漏,造成不可挽回的嚴重后果。為了構建安全可靠的網絡安全環境,我國除了從法律和政策方面建立網絡安全體系,還從技術方面進行完善。由于網絡內部和外部環境的特殊性,因此防火墻技術是目前保護網絡安全最為有效地技術。不僅能夠對網絡傳輸的數據進行檢查,還能對整個網絡進行監控。
1計算機網絡安全及防火墻技術的含義
計算機網絡安全主要是保護使用者在進行信息傳輸時,不被外界所竊聽和篡改,及復制,同時還要避免自然災害所造成的損害,以確保網絡通信的連續。總的來說,計算機網絡安全就是在確保網絡系統正常運行的同時,還要確保各方面流動或存儲的數據不被更改和破壞,及泄漏。
防火墻技術屬于一種隔離技術,是網絡與網絡之間安全的一道屏障,同時也是保證網絡信息安全的基本手段。防火墻不僅能夠對網絡信息流進行控制,增強網絡間的訪問控制和安全性,還能夠抵抗攻擊,阻止其他用戶非法獲取網絡信息資源。防火墻除了能夠保護數據不被竊取和復制等,還能夠保護內在的設備不被破壞,同時還能夠確定服務器是否被訪問、被什么人訪問、什么時候訪問等。
2計算機網絡安全及防火墻技術分析
2.1計算機網絡安全分析
其一,對計算機網絡安全造成的威脅。在計算機網絡安全中,造成的威脅主要是自然和人為兩種。前者主要是自然災害和設備的老化、電磁輻射和干擾,以及惡劣環境等造成的威脅;后者是病毒和黑客攻擊、網絡缺陷和管理的漏洞,以及惡意的操作等造成的威脅。除此之外,TCP/IP協議和網絡結構的缺陷,以及網絡安全意識的缺乏都將對計算機網絡安全造成威脅。
其二,計算機網絡安全主要影響原因在于網絡資源的共享和開放、網絡系統的設計不夠完善,以及人為的惡意攻擊等。由于資源共享的目的是實現網絡應用,任何用戶都能夠通過互聯網進行信息資源的訪問,因此,攻擊者只要通過服務請求就能夠輕松訪問到網絡數據包,為攻擊者提供了破壞的機會。同時合理的網絡系統在確保節約資源的條件下,保證其安全性,相反就會構成安全的威脅。隨著網絡的廣泛,黑客和病毒的攻擊是計算機網絡最難防御的威脅。
其三,利用數據加密和網絡存取控制的方式確保對網絡安全的保護。前者主要是通過鏈路和端端加密,以及節點和混合加密來阻止數據被惡意的篡改和破壞,以及泄漏等;后者主要是通過身份的識別和數字簽名,以及存取權限的控制和備份恢復等來阻止非法訪問造成數據的丟失和泄密,以及破壞等。
2.2防火墻技術分析
其一,包過濾性的防火墻。該防火墻主要是在OSI參考模型中的網絡和傳輸層通過一個過濾路由器實現對整個網絡的保護,只要與源頭和目的地址、協議類型,以及端口號等過濾條件相符,就能夠進行數據包的轉發,相反就會丟失數據包。并且該防火墻工作透明,不僅效率高,而且速度也很快。但是該防火墻無法支持應用層協議,不能防御黑客的攻擊和處理新型安全威脅。
其二,NAT和應用型的防火墻。前者是將IP地址轉換成臨時注冊的IP地址,當內部網絡對外部網絡進行訪問時,如果是通過安全網卡,防火墻就會自動將源地址與端口偽裝,然后與外部相連。相反,如果是通過非安全網卡,那么訪問是經過一個開放的IP與端口。防火墻對訪問安全的判斷是依照已經預設好的映射規則進行;而后者是運行在OSI的應用層。它不僅阻止網絡的通信流,還能夠實時監控,其安全性非常高。但是該防火墻影響系統的性能,使管理更加復雜。
其三,狀態檢測型的防火墻。該防火墻與其他防火墻相比較的話,不僅高安全和高效性,還具有很好的可擴展和伸縮性。該防火墻將相同連接的包看成整體數據流,并對連接狀態表中的狀態因素進行辨別和區分。雖然這種防火墻性能很好,但是容易造成網絡連接的延緩滯留。
3在計算機網絡安全中防火墻技術的運用
從整體上來說,計算機網絡安全是通過網絡的管理控制,以及技術的解決辦法,確保在網絡的環境中,保護數據進行使用和保密,及完整性。計算機網絡安全主要有物理和邏輯安全。但是根據使用者的不一樣,對網絡安全的理解也就會不一樣。如:一般的使用者認為,計算機網絡安全就是在網絡上傳自己的隱私或者是重要的信息時,能夠保護信息不能被竊聽和篡改,以及偽造。而網絡的供應商們則認為,除了保證網絡信息的安全,還要考慮各種對網絡硬件破壞因素的保護,以及在出現異常時恢復網絡通信的保護。
1)加密技術。即信息的發送方先對信息做加密處理,密碼由和接收方掌握,接收方接收到經過加密處理的信息后,用解密密鑰對信息進行解密,從而完成一次安全的信息傳輸。加密措施利用密鑰來保障信息傳輸的安全性。
2)身份驗證。通過對網絡用戶的使用授權,在信息的發送方和接收方之間通過身份認證,建立起相對安全的信息通道,這樣可以有效防止未經授權的非法用戶的介入。
3)防病毒技術,主要涉及對病毒的預防、檢測以及清除三方面。
其一,在網絡建設中,安裝防火墻對互聯網之間的交換信息按照某種規則進行控制,構成一道安全屏障來保護內網與外網間的信息和數據傳輸,確保網絡不被其他未經授權的第三方侵入。
其二,網絡的連接如果是由路由器和互聯網相連,服務器有WWW和DNS、FIP和Email等,且IP地址確定,同時該網絡擁有一個C類IP地址。那么該網絡首先要進入主干網,對主干網的中心資源采取訪問控制,禁止服務器以外的服務訪問。然后,為了防御外來非法訪問盜用,在連接端口接收數據的同時,就要檢查IP和以太網的地址,丟棄盜用IP地址數據包,并將有關的信息進行記錄。實際的操作過程是:預設控制位102,當防火墻與IP、以太網地址訪問到某個地址屬于非法訪問,那么防火墻就會自動將路由器中的存取控制表進行更改,過濾非法的IP地址包,以阻止外來的非法訪問。
4結束語
總而言之,隨著計算機網絡的快速發展和運用,網絡為人們帶來便捷的同時,也帶來了一定的安全問題。由于網絡安全不僅與技術和管理有聯系,對網絡的使用和維護等也有聯系。雖然目前防火墻技術是防止網絡威脅的主要手段,但是由于網絡安全存在多方面,僅依靠防火墻技術是無法滿足人們對網絡安全的需求,因此,只有將網絡安全與防火墻技術結合進行研究,才能提供更好的安全服務。
參考文獻:
[1]張威,潘小鳳.防火墻與入侵檢測技術探討[J].南京工業職業技術學院學報,2008(2).
[2]程衛驥.淺析網絡安全的威脅因素及防范措施[C]//煤礦自動化與信息化——第21屆全國煤礦自動化與信息化學術會議暨第3屆中國煤礦信息化與自動化高層論壇論文集:下冊.2011.
關鍵詞:數字化校園網,安全隱患,安全機制,安全實施
數字化校園是在校園網的基礎之上,以計算機網絡和信息數字化技術為依托,利用先進的信息手段和工具,來支撐學校的教學和管理信息流,實現了教育、教學、科研、管理、技術服務等校園信息的收集、處理、整合、存儲、傳輸、應用等方面的全部數字化,使教學資源得到充分優化利用的一種虛擬教育環境。
一、高校數字化校園網的安全隱患分析
高校校園網的應用以及服務主要是面向學生,學生經常玩游戲、下電影、瀏覽未知以及可能存在安全隱患的網站、接收陌生人的電子郵件、用聊天軟件時隨意接受陌生人傳送的文件,這些安全隱患都有可能導致校園網病毒泛濫;觀看網上直播,嚴重影響網絡速度,甚至阻塞網絡運行;同時高校的學生人數較多,學生對網絡安全的認識也參差不齊:很多學生認為網絡中的安全威脅就是計算機病毒。所以,整個校園網中的大部分用戶,對網絡中存在的安全威脅還是沒有一個清晰、系統的認識。
經過調查、分析、研究,高校校園網存在以下安全隱患:
1.校園網直接與因特網相連,所以會遭受黑客以及網絡安全缺陷方面的攻擊;
2.校園網內部安全隱患;
3.用戶接入點數量大,使用率高,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果;
4.缺乏統一管理;
5.網絡中心負荷量大:絕大部分網絡管理功能都是由網絡中心來完成的,包括校園網絡的建設維護、網絡使用的政策制定以及相關費用的收取;
總之,實施一個科學、合理的安全機制數字化校園網,對校園網的正常運行起著至關重要的作用。
二、數字化校園網安全機制的實施
為了有效地解決校園網將會遇到的種種網絡安全問題,需要在網絡中的各個環節都采取必要的安全防范措施,通過多種安全防范技術和措施的綜合運用,從而來保證校園網能夠高性能、高安全性的正常運行。
1、防火墻的實施
防火墻技術是抵抗黑客入侵和防止未授權訪問的最有效手段之一,也是目前網絡系統實現網絡安全策略應用最為廣泛的工具之一。
防火墻是一種保護內部網絡操作環境的特殊網絡互聯設備;同時防火墻也是設置在不同網絡或網絡安全域之間的一系列部件的組合。它通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。論文格式,安全實施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監控了內部網和Internet之間的活動,保證內部網絡的安全。
可根據具體的校園網實際環境,在防火墻上設置如下安全策略:
1)解決內外網絡邊界安全,防止外部攻擊,保護內部網絡(禁止外部網絡訪問內部網絡);2)根據IP地址、協議類型、端口等進行數據包過濾;3)內外網絡采用兩套IP地址,實現雙向地址轉換功能;4)支持安全服務器網絡(DMZ區),允許內外網絡訪問DMZ區,但禁止DMZ區訪問內部網絡;5)通過IP與MAC地址綁定防止IP盜用,避免亂用網絡資源;6)防止IP欺騙;7)防DDoS攻擊;8)開啟黑白名單功能,實現URL過濾,過濾不健康網站;9)提供應用服務,隔離內外網絡;10)具有自身保護能力,可防范對防火墻的常見攻擊;11)啟動入侵檢測及告警功能;12)學生訪問不良信息網站后的日志記錄,做到有據可查;13)多種應用協議的支持,等等。
2、網閘的實施
安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接,并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。安全隔離網閘可以在保證安全的前提下,使用戶可以瀏覽網頁、收發電子郵件、在不同網絡上的數據庫之間交換數據,并可以在網絡之間交換定制的文件。論文格式,安全實施。
可根據具體的校園網實際環境,在網閘上設置如下安全策略:
1)阻斷內外網絡的物理連接,防止外部攻擊,保護內部網絡;2)剝離內外網絡傳輸的TCP/IP以及應用層協議,避免因為TCP/IP以及應用層協議造成的漏洞; 3)內外網絡采用一套IP地址,實現指定協議通訊功能; 4)允許內網訪問外網特定服務、應用(HTTP,FTP,FILE,DB等);5)允許外網指定機器訪問內網特定應用(FILE,DB等);6)防止IP欺騙; 7)防DDoS攻擊;8)具有自身保護能力,可防范常見DoS、DDoS攻擊; 9)多種應用協議的支持,等等。
3、 防病毒的實施
計算機病毒對計算機網絡的影響是災難性的。計算機病毒的傳播方式已經由在單機之間傳播轉向到各個網絡系統之間的傳播,一旦病毒侵入到某一局域網并發作,那么造成的危害是難以承受的。病毒和防病毒之間的斗爭已經進入了由“殺”病毒到“防”病毒的時代。只有將病毒拒絕于內部網之外,或者及時查殺內部網的病毒,以此防范病毒在網絡內泛濫傳播,才能保證數據的真正安全。論文格式,安全實施。
我們結合計算機網絡、計算機病毒的特征,給出以下防范防治策略:
1)阻止外網的病毒入侵(這是病毒入侵最常見的方式,因此在兩個或多個網絡邊界之間,在網關處進行病毒攔截是效率最高,耗費資源最少的措施,但只能阻擋來自外部病毒的入侵);2)阻止網絡郵件/群件系統傳播病毒(在郵件系統上部署防病毒體系);3)設置文件服務器防病毒保護;4)最終用戶:病毒絕大部分是潛伏在計算機網絡的客戶端機器上,因此在網絡內對所有的客戶機也要進行防毒控制;5)內容保護:為了能夠在第一時間主動的阻止新型病毒的入侵,在防病毒系統中對附加內容進行過濾和保護是非常必要的;6)集中管理:通過一個監控中心對整個系統內的防毒服務和情況進行管理和維護,這樣可以大大降低維護人員的數量和維護成本,并且縮短了升級、維護系統的響應時間。
4、學生宿舍區域802.1x認證
考慮到認證效率、接入安全、管理特性等多方面的因素,對于學生宿舍區域的用戶接入建議采用已經標準化的802.1x認證方式:
1)網絡環境復雜,接入用戶數量巨大:建議采用分布式的用戶認證方式,把認證分散到樓棟匯聚交換機上去完成,如果發生故障,不至于會影響到整個網絡的所有用戶;2)網絡流量大,認證用戶數量大:所采用的認證方式要具有很高的效率,以保證用戶能及時通過認證,在網絡流量大,認證用戶數多時不會對設備的性能產生影響,以保證整個網絡高效、穩定的運行;3)某些用戶技術層次高,存在對網絡安全造成影響的可能:難免存在某些用戶因好奇使用一些黑客軟件或病毒軟件而造成對網絡的影響,因此所采用的認證方式要能夠有比較高的安全性,能防止如DHCP的惡意攻擊等安全功能。
5、數據存儲方案的實施
數字化校園是計算機技術的一個新興應用領域,涉及的內容非常廣泛,包括資料數字化、海量存儲及數據管理、全方位查詢檢索、多渠道等技術,提供包括電子圖書、視頻、音頻及其他多種形式的媒體資料等等。在數字化校園環境下,各種數字信息的增長非常迅猛,同時,數字信息存儲的容量需求越來越大。
因此,設計一種高容量、可擴充的存儲技術方案也是校園網絡安全的重點。可以容納、甚至可以無限制地容納更多信息的“海量”存儲技術:如NAS存儲、SAN存儲等應用支撐平臺解決方案,在系統結構上滿足用戶未來的應用需求,同時合理使用用戶投資,建立滿足用戶現有需求的系統,并且易于擴展的系統,來幫助用戶解決在數據存儲和應用需求方面所面臨的挑戰。
三、總結
隨著Internet技術突飛猛進的發展,網絡的應用范圍和領域迅速擴大,新的網絡技術、安全技術不斷推陳出新,黑客技術也逐漸多元化,導致安全問題日益突出。在計算機網絡里,安全防范體系的建立不是一勞永逸的,沒有絕對的安全,我們只能不斷的采用新的網絡技術,以及新的安全設備與技術,這樣才有可能將網絡中威脅降到最低限度。論文格式,安全實施。
防火墻、網閘、病毒防范是信息安全領域的主流技術,這些網絡安全技術為整個網絡安全的建設起到至關重要的作用,任何一個網絡或者用戶都不能夠忽視。論文格式,安全實施。到目前為止,盡管相關研究人員已經在理論和實踐方面都作了大量的工作,而影響校園網的安全因素在不斷地變化,黑客與病毒的攻擊方式在不斷地更新。論文格式,安全實施。要確保網絡的安全就只有根據實際情況,在安全技術上采用最新的技術成果,及時調整安全策略,有效整合現有安全資源,并且不斷引入新的安全機制,才能保證網絡安全防范體系的良性發展,確保數字化校園網的有效性和先進性。
參考文獻:
[1]焦中明.高校數字化校園建設的幾個問題.贛南師范學院學報
[2]徐立.我國高校校園網建設的研究.中南大學碩士論文
[3]沈培華.數字校園的五個層次.計算機世界
[4]趙思輝.數字化校園基礎平臺體系架構.福建電腦
[5]宋金玲.數字校園的相關技術及方法研究.中國礦業大學
[6]曾力煒,徐鷹.關于數字化校園建設的研究.計算機與現代化
[7]占素環.校園網網絡安全技術及解決方案.農機化研究
[8]張武軍,李雪安.高校校園網安全整體解決方案研究.電子科技
[論文關鍵詞] 電子商務 信息安全 信息安全技術 數字認證 安全協議
[論文摘 要]電子商務是新興商務形式,信息安全的保障是電子商務實施的前提。本文針對電子商務活動中存在的信息安全隱患問題,實施保障電子商務信息安全的數據加密技術、身份驗證技術、防火墻技術等技術性措施,完善電子商務發展的內外部環境,促進我國電子商務可持續發展。
隨著網絡的發展,電子商務的迅速崛起,使網絡成為國際競爭的新戰場。然而,由于網絡技術本身的缺陷,使得網絡社會的脆性大大增加,一旦計算機網絡受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構筑安全的電子商務信息環境,愈來愈受到國際社會的高度關注。
一、電子商務中的信息安全技術
電子商務的信息安全在很大程度上依賴于技術的完善,包括密碼、鑒別、訪問控制、信息流控制、數據保護、軟件保護、病毒檢測及清除、內容分類識別和過濾、網絡隱患掃描、系統安全監測報警與審計等技術。
1.防火墻技術。防火墻主要是加強網絡之間的訪問控制, 防止外部網絡用戶以非法手段通過外部網絡進入內部網絡。
2.加密技術。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據,當需要時可使用不同的密鑰將密文數據還原成明文數據。
3.數字簽名技術。數字簽名技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發送者的公鑰才能解密被加密的摘要。
4.數字時間戳技術。時間戳是一個經加密后形成的憑證文檔,包括需加時間戳的文件的摘要、DTS 收到文件的日期與時間和DIS 數字簽名,用戶首先將需要加時間的文件用HASH編碼加密形成摘要,然后將該摘要發送到DTS,DTS 在加入了收到文件摘要的日期和時間信息后再對該文件加密,然后送回用戶。
二、電子商務安全防范措施
網絡安全是電子商務的基礎。網絡安全防范技術可以從數據的加密(解密)算法、安全的網絡協議、網絡防火墻、完善的安全管理制度、硬件的加密和物理保護、安全監聽系統和防病毒軟件等領域來進行考慮和完善。
1.防火墻技術
用過Internet,企業可以從異地取回重要數據,同時又要面對 Internet 帶來的數據安全的新挑戰和新危險:即客戶、推銷商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此,企業必須加筑安全的“壕溝”,而這個“壕溝”就是防火墻.防火墻系統決定了哪些內容服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過,而且防火墻本身必須能夠免于滲透。
2. VPN技術
虛擬專用網簡稱VPN,指將物理上分布在不同地點的網絡通過公用骨干網聯接而形成邏輯上的虛擬“私”網,依靠IPS或 NSP在安全隧道、用戶認證和訪問控制等相關技術的控制下達到與專用網絡類同的安全性能,從而實現基于 Internet 安全傳輸重要信息的效應。目前VPN 主要采用四項技術來保證安全, 這四項技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。
3.數字簽名技術
為了保證數據和交易的安全、防止欺騙,確認交易雙方的真實身份,電子商務必須采用加密技術。數字簽名就是基于加密技術的,它的作用就是用來確定用戶是否是真實的。數字簽名就是通過一個單向哈希函數對要傳送的報文進行處理而得到的用以認證報文是否發生改變的一個字母數字串。發送者用自己的私鑰把數據加密后傳送給接收者,接收者用發送者的公鑰解開數據后,就可確認消息來自于誰,同時也是對發送者發送的信息真實性的一個證明,發送者對所發信息不可抵賴,從而實現信息的有效性和不可否認性。
三、電子商務的安全認證體系
隨著計算機的發展和社會的進步,通過網絡進行的電子商務活動當今社會越來越頻繁,身份認證是一個不得不解決的重要問題,它將直接關系到電子商務活動能否高效而有序地進行。認證體系在電子商務中至關重要,它是用戶獲得訪問權限的關鍵步驟。現代密碼的兩個最重要的分支就是加密和認證。加密目的就是防止敵方獲得機密信息。認證則是為了防止敵方的主動攻擊,包括驗證信息真偽及防止信息在通信過程被篡改刪除、插入、偽造及重放等。認證主要包括三個方面:消息認證、身份認證和數字簽名。
身份認證一般是通過對被認證對象(人或事)的一個或多個參數進行驗證。從而確定被認證對象是否名實相符或有效。這要求要驗證的參數與被認證對象之間應存在嚴格的對應關系,最好是惟一對應的。身份認證是安全系統中的第一道關卡。
數字證書是在互聯網通信中標志通信各方身份信息的一系列數據。提供了一種 Internet 上驗證用戶身份的方式,其作用類似于司機的駕駛執照或身份證。它是由一個權威機構CA機構,又稱為證書授權(Certificate Authority)中心發行的,人們可以在網上用它識別彼此的身份。
四、結束語
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。
參考文獻
[1] 勞幗齡.電子商務的安全技術[M].北京:中國水利水電出版社,2005.
[2] 趙泉.網絡安全與電子商務[M].北京:清華大學出版社,2005.
論文摘要:隨著計算機的飛速發展以及網絡技術的普遍應用,隨著信息時代的來臨,信息作為一種重要的資源正得到了人們的重視與應用。因特網是一個發展非常活躍的領域,可能會受到黑客的非法攻擊,所以在任何情況下,對于各種事故,無意或有意的破壞,保護數據及其傳送、處理都是非常必要的。計劃如何保護你的局域網免受因特網攻擊帶來的危害時,首先要考慮的是防火墻。防火墻的核心思想是在不安全的網際網環境中構造一個相對安全的子網環境。本文介紹了防火墻技術的基本概念、系統結構、原理、構架、入侵檢測技術及VPN等相關問題。
Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....
第一章緒論
§1.1概述
隨著以Internet為代表的全球信息化浪潮的來臨,信息網絡技術的應用正日益廣泛,應用層次正在深入,應用領域也從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,其中以黨政系統、大中院校網絡系統、銀行系統、商業系統、管理部門、政府或軍事領域等為典型。伴隨網絡的普及,公共通信網絡傳輸中的數據安全問題日益成為關注的焦點。一方面,網絡化的信息系統提供了資源的共享性、用戶使用的方便性,通過分布式處理提高了系統效率和可靠性,并且還具備可擴充性。另一方面,也正是由于具有這些特點增加了網絡信息系統的不安全性。
開放性的網絡,導致網絡所面臨的破壞和攻擊可能是多方面的,例如:可能來自物理傳輸線路的攻擊,也可以對網絡通信協議和實現實施攻擊,可以是對軟件實施攻擊,也可以對硬件實施攻擊。國際性的網絡,意味著網絡的攻擊不僅僅來自本地網絡的用戶,也可以來自linternet上的任何一臺機器,也就是說,網絡安全所面臨的是一個國際化的挑戰。開放的、國際化的Internet的發展給政府機構、企事業單位的工作帶來了革命性的變革和開放,使得他們能夠利用Internet提高辦事效率、市場反應能力和競爭力。通過Internet,他們可以從異地取回重要數據,同時也面臨Internet開放所帶來的數據安全的挑戰與危險。如何保護企業的機密信息不受黑客和工業間諜的入侵,己成為政府機構、企事業單位信息化建設健康發展所要考慮的重要因素之一。廣泛分布的企業內部網絡由公共網絡互聯起來,這種互聯方式面臨多種安全威脅,極易受到外界的攻擊,導致對網絡的非法訪問和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。
雖然國內己有許多成熟的防火墻及其他相關安全產品,并且這些產品早已打入市場,但是對于安全產品來說,要想進入我軍部隊。我們必須自己掌握安全測試技術,使進入部隊的安全產品不出現問題,所以對網絡安全測試的研究非常重要,具有深遠的意義。
§1.2本文主要工作
了解防火墻的原理、架構、技術實現
了解防火墻的部署和使用配置
熟悉防火墻測試的相關標準
掌握防火墻產品的功能、性能、安全性和可用性的測試方法
掌握入侵檢測與VPN的概念及相關測試方法
第二章防火墻的原理、架構、技術實現
§2.1什么是防火墻?
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
§2.2防火墻的原理
隨著網絡規模的擴大和開放性的增強,網絡上的很多敏感信息和保密數據將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網絡上的每個工作站和服務器裝備上強大的安全特征(例如入侵檢測),但這幾乎是一種不切合實際的方法,因為對具有幾百個甚至上千個節點的網絡,它們可能運行著不同的操作系統,當發現了安全缺陷時,每個可能被影響的節點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻(Firewall),防火墻是用來在安全私有網絡(可信任網絡)和外部不可信任網絡之間安全連接的一個設備或一組設備,作為私有網絡和外部網絡之間連接的單點存在。防火墻是設置在可信任的內部網絡和不可信任的外部網絡之間的一道屏障,它可以實施比較廣泛的安全策略來控制信息流,防止不可預料的潛在的入侵破壞.DMZ外網和內部局域網的防火墻系統。
§2.3防火墻的架構
防火墻產品的三代體系架構主要為:
第一代架構:主要是以單一cpu作為整個系統業務和管理的核心,cpu有x86、powerpc、mips等多類型,產品主要表現形式是pc機、工控機、pc-box或risc-box等;
第二代架構:以np或asic作為業務處理的主要核心,對一般安全業務進行加速,嵌入式cpu為管理核心,產品主要表現形式為box等;
第三代架構:iss(integratedsecuritysystem)集成安全體系架構,以高速安全處理芯片作為業務處理的主要核心,采用高性能cpu發揮多種安全業務的高層應用,產品主要表現形式為基于電信級的高可靠、背板交換式的機架式設備,容量大性能高,各單元及系統更為靈活。
§2.4防火墻的技術實現
從Windows軟件防火墻的誕生開始,這種安全防護產品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭,不斷的進化與升級。從最早期的只能分析來源地址,端口號以及未經處理的報文原文的封包過濾防火墻,后來出現了能對不同的應用程序設置不同的訪問網絡權限的技術;近年來由ZoneAlarm等國外知名品牌牽頭,還開始流行了具有未知攻擊攔截能力的智能行為監控防火墻;最后,由于近來垃圾插件和流氓軟件的盛行,很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上,Windows軟件防火墻從開始的時候單純的一個截包丟包,堵截IP和端口的工具,發展到了今天功能強大的整體性的安全套件。
第三章防火墻的部署和使用配置
§3.1防火墻的部署
雖然監測型防火墻安全性上已超越了包過濾型和服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代型產品為主,但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。
實際上,作為當前防火墻產品的主流趨勢,大多數服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過應用,應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。
----那么我們究竟應該在哪些地方部署防火墻呢?
----首先,應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處,以阻擋來自外部網絡的入侵;其次,如果公司內部網絡規模較大,并且設置有虛擬局域網(VLAN),則應該在各個VLAN之間設置防火墻;第三,通過公網連接的總部與各分支機構之間也應該設置防火墻,如果有條件,還應該同時將總部與各分支機構組成虛擬專用網(VPN)。
----安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內部網絡還是與外部公網的連接處,都應該安裝防火墻。
§3.2防火墻的使用配置
一、防火墻的配置規則:
沒有連接的狀態(沒有握手或握手不成功或非法的數據包),任何數據包無法穿過防火墻。(內部發起的連接可以回包。通過ACL開放的服務器允許外部發起連接)
inside可以訪問任何outside和dmz區域。
dmz可以訪問outside區域。
inside訪問dmz需要配合static(靜態地址轉換)。
outside訪問dmz需要配合acl(訪問控制列表)。
二、防火墻設備的設置步驟:
1、確定設置防火墻的部署模式;
2、設置防火墻設備的IP地址信息(接口地址或管理地址(設置在VLAN1上));
3、設置防火墻設備的路由信息;
4、確定經過防火墻設備的IP地址信息(基于策略的源、目標地址);
5、確定網絡應用(如FTP、EMAIL等應用);
6、配置訪問控制策略。
第四章防火墻測試的相關標準
防火墻作為信息安全產品的一種,它的產生源于信息安全的需求。所以防火墻的測試不僅有利于提高防火墻的工作效率,更是為了保證國家信息的安全。依照中華人民共和國國家標準GB/T18019-1999《信息技術包過濾防火墻安全技術要求》、GB/T18020-1999《信息技術應用級防火墻安全技術要求》和GB/T17900-1999《網絡服務器的安全技術要求》以及多款防火墻隨機提供的說明文檔,中國軟件評測中心軟件產品測試部根據有關方面的標準和不同防火墻的特點整理出以下軟件防火墻的測試標準:
4.1規則配置方面
要使防火墻軟件更好的服務于用戶,除了其默認的安全規則外,還需要用戶在使用過程中不斷的完善其規則;而規則的設置是否靈活方便、實際效果是否理想等方面,也是判斷一款防火墻軟件整體安全性是否合格的重要標準。簡單快捷的規則配置過程讓防火墻軟件具備更好的親和力,一款防火墻軟件如果能實施在線檢測所有對本機的訪問并控制它們、分別對應用程序、文件或注冊表鍵值實施單獨的規則添加等等,這將成為此款軟件防火墻規則配置的一個特色。
§4.2防御能力方面
對于防火墻防御能力的表現,由于偶然因素太多,因此無法從一個固定平等的測試環境中來得出結果。但是可以使用了X-Scan等安全掃描工具來測試。雖然得出的結果可能仍然有一定的出入,但大致可以做為一個性能參考。
§4.3主動防御提示方面
對于網絡訪問、系統進程訪問、程序運行等本機狀態發生改變時,防火墻軟件一般都會有主動防御提示出現。這方面主要測試軟件攔截或過濾時是否提示用戶做出相應的操作選擇。
§4.4自定義安全級別方面
用戶是否可以參照已有安全級別的安全性描述來設置符合自身特殊需要的規則。防火墻可設置系統防火墻的安全等級、安全規則,以防止電腦被外界入侵。一般的防火墻共有四個級別:
高級:預設的防火墻安全等級,用戶可以上網,收發郵件;l
中級:預設的防火墻安全等級,用戶可以上網,收發郵件,網絡聊天,FTP、Telnet等;l
低級:預設的防火墻安全等級,只對已知的木馬進行攔截,對于其它的訪問,只是給于提示用戶及記錄;l
自定義:用戶可自定義防火墻的安全規則,可以根據需要自行進行配置。l
§4.5其他功能方面
這主要是從軟件的擴展功能表現、操作設置的易用性、軟件的兼容性和安全可靠性方面來綜合判定。比如是否具有過濾網址、實施木馬掃描、阻止彈出廣告窗口、將未受保護的無線網絡“學習”為規則、惡意軟件檢測、個人隱私保護等豐富的功能項,是否可以滿足用戶各方面的需要。
§4.6資源占用方面
這方面的測試包括空閑時和瀏覽網頁時的CPU占用率、內存占有率以及屏蔽大量攻擊時的資源占用和相應速度。總的來是就是資源占用率越低越好,啟動的速度越快越好。
§4.7軟件安裝方面
這方面主要測試軟件的安裝使用是否需要重啟系統、安裝過程是不是方便、安裝完成后是否提示升級本地數據庫的信息等等。
§4.8軟件界面方面
軟件是否可切換界面皮膚和語言、界面是否簡潔等等。簡潔的界面并不代表其功能就不完善,相反地,簡化了用戶的操作設置項也就帶來了更智能的安全防護功能。比如有的防護墻安裝完成后會在桌面生成簡單模式和高級模式兩個啟動項,這方便用戶根據不同的安全級別啟動相應的防護
第五章防火墻的入侵檢測
§5.1什么是入侵檢測系統?
入侵檢測可被定義為對計算機和網絡資源上的惡意使用行為進行識別和響應的處理過程,它不僅檢測來自外部的入侵行為,同時也檢測內部用戶的未授權活動。
入侵檢測系統(IDS)是從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認為是防火墻之后的第二道安全閘門,它作為一種積極主動的安全防護技術,從網絡安全立體縱深、多層次防御的角度出發,對防范網絡惡意攻擊及誤操作提供了主動的實時保護,從而能夠在網絡系統受到危害之前攔截和響應入侵
§5.2入侵檢測技術及發展
自1980年產生IDS概念以來,已經出現了基于主機和基于網絡的入侵檢測系統,出現了基于知識的模型識別、異常識別和協議分析等入侵檢測技術,并能夠對百兆、千兆甚至更高流量的網絡系統執行入侵檢測。
入侵檢測技術的發展已經歷了四個主要階段:
第一階段是以基于協議解碼和模式匹配為主的技術,其優點是對于已知的攻擊行為非常有效,各種已知的攻擊行為可以對號入座,誤報率低;缺點是高超的黑客采用變形手法或者新技術可以輕易躲避檢測,漏報率高。
第二階段是以基于模式匹配+簡單協議分析+異常統計為主的技術,其優點是能夠分析處理一部分協議,可以進行重組;缺點是匹配效率較低,管理功能較弱。這種檢測技術實際上是在第一階段技術的基礎上增加了部分對異常行為分析的功能。
第三階段是以基于完全協議分析+模式匹配+異常統計為主的技術,其優點是誤報率、漏報率和濫報率較低,效率高,可管理性強,并在此基礎上實現了多級分布式的檢測管理;缺點是可視化程度不夠,防范及管理功能較弱。
第四階段是以基于安全管理+協議分析+模式匹配+異常統計為主的技術,其優點是入侵管理和多項技術協同工作,建立全局的主動保障體系,具有良好的可視化、可控性和可管理性。以該技術為核心,可構造一個積極的動態防御體系,即IMS——入侵管理系統。
新一代的入侵檢測系統應該是具有集成HIDS和NIDS的優點、部署方便、應用靈活、功能強大、并提供攻擊簽名、檢測、報告和事件關聯等配套服務功能的智能化系統§5.3入侵檢測技術分類
從技術上講,入侵檢測技術大致分為基于知識的模式識別、基于知識的異常識別和協議分析三類。而主要的入侵檢測方法有特征檢測法、概率統計分析法和專家知識庫系統。
(1)基于知識的模式識別
這種技術是通過事先定義好的模式數據庫實現的,其基本思想是:首先把各種可能的入侵活動均用某種模式表示出來,并建立模式數據庫,然后監視主體的一舉一動,當檢測到主體活動違反了事先定義的模式規則時,根據模式匹配原則判別是否發生了攻擊行為。
模式識別的關鍵是建立入侵模式的表示形式,同時,要能夠區分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為,屬已知類型,對新類型的入侵是無能為力的,仍需改進。
(2)基于知識的異常識別
這種技術是通過事先建立正常行為檔案庫實現的,其基本思想是:首先把主體的各種正常活動用某種形式描述出來,并建立“正常活動檔案”,當某種活動與所描述的正常活動存在差異時,就認為是“入侵”行為,進而被檢測識別。
異常識別的關鍵是描述正常活動和構建正常活動檔案庫。
利用行為進行識別時,存在四種可能:一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據異常識別思想,把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為,并具有簡單的學習功能。
以下是幾種基于知識的異常識別的檢測方法:
1)基于審計的攻擊檢測技術
這種檢測方法是通過對審計信息的綜合分析實現的,其基本思想是:根據用戶的歷史行為、先前的證據或模型,使用統計分析方法對用戶當前的行為進行檢測和判別,當發現可疑行為時,保持跟蹤并監視其行為,同時向系統安全員提交安全審計報告。
2)基于神經網絡的攻擊檢測技術
由于用戶的行為十分復雜,要準確匹配一個用戶的歷史行為和當前的行為是相當困難的,這也是基于審計攻擊檢測的主要弱點。
而基于神經網絡的攻擊檢測技術則是一個對基于傳統統計技術的攻擊檢測方法的改進方向,它能夠解決傳統的統計分析技術所面臨的若干問題,例如,建立確切的統計分布、實現方法的普遍性、降低算法實現的成本和系統優化等問題。
3)基于專家系統的攻擊檢測技術
所謂專家系統就是一個依據專家經驗定義的推理系統。這種檢測是建立在專家經驗基礎上的,它根據專家經驗進行推理判斷得出結論。例如,當用戶連續三次登錄失敗時,可以把該用戶的第四次登錄視為攻擊行為。
4)基于模型推理的攻擊檢測技術
攻擊者在入侵一個系統時往往采用一定的行為程序,如猜測口令的程序,這種行為程序構成了某種具有一定行為特征的模型,根據這種模型所代表的攻擊意圖的行為特征,可以實時地檢測出惡意的攻擊企圖,盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型,從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本,這種系統就能檢測出非法的用戶行為。一般為了準確判斷,要為不同的入侵者和不同的系統建立特定的攻擊腳本。
使用基于知識的模式識別和基于知識的異常識別所得出的結論差異較大,甚至得出相反結論。這是因為基于知識的模式識別的核心是維護一個入侵模式庫,它對已知攻擊可以詳細、準確地報告出攻擊類型,但對未知攻擊卻無能為力,而且入侵模式庫必須不斷更新。而基于知識的異常識別則是通過對入侵活動的檢測得出結論的,它雖無法準確判斷出攻擊的手段,但可以發現更廣泛的、甚至未知的攻擊行為。
§5.4入侵檢測技術剖析
1)信號分析
對收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息,一般通過三種技術手段進行分析:模式匹配、統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
2)模式匹配
模式匹配就是將收集到的信息與已知的網絡入侵和系統已有模式數據庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令),也可以很復雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得權限)來表示。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火墻采用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。
3)統計分析
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網絡、系統的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發生。例如,本來都默認用GUEST帳號登錄的,突然用ADMINI帳號登錄。這樣做的優點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法,目前正處于研究熱點和迅速發展之中。
4)完整性分析
完整性分析主要關注某個文件或對象是否被更改,這經常包括文件和目錄的內容及屬性,它在發現被更改的、被特咯伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制,稱為消息摘要函數(例如MD5),它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發現。缺點是一般以批處理方式實現,用于事后分析而不用于實時響應。盡管如此,完整性檢測方法還應該是網絡安全產品的必要手段之一。例如,可以在每一天的某個特定時間內開啟完整性分析模塊,對網絡系統進行全面地掃描檢查。
§5.5防火墻與入侵檢測的聯動
網絡安全是一個整體的動態的系統工程,不能靠幾個產品單獨工作來進行安全防范。理想情況下,整個系統的安全產品應該有一個響應協同,相互通信,協同工作。其中入侵檢測系統和防火墻之間的聯動就能更好的進行安全防護。圖8所示就是入侵檢測系統和防火墻之間的聯動,當入侵檢測系統檢測到入侵后,通過和防火墻通信,讓防火墻自動增加規則,以攔截相關的入侵行為,實現聯動聯防。
§5.6什么是VPN?
VPN的英文全稱是“VirtualPrivateNetwork”,翻譯過來就是“虛擬專用網絡”。顧名思義,虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一,目前在交換機,防火墻設備或Windows2000等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網絡建立虛擬私有網。
虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
§5.7VPN的特點
1.安全保障雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在安全性方面,由于VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改,并且要防止非法用戶對網絡資源或私有信息的訪問。
2.服務質量保證(QoS)
VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。在網絡優化方面,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低,在流量高峰時引起網絡阻塞,使實時性要求高的數據得不到及時發送;而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略,可以按照優先級分實現帶寬管理,使得各類數據能夠被合理地先后發送,并預防阻塞的發生。
3.可擴充性和靈活性
VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
4.可管理性
從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為:減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。
§5.8VPN防火墻
VPN防火墻就是一種過濾塞(目前你這么理解不算錯),你可以讓你喜歡的東西通過這個塞子,別的玩意都統統過濾掉。在網絡的世界里,要由VPN防火墻過濾的就是承載通信數據的通信包。
最簡單的VPN防火墻是以太網橋。但幾乎沒有人會認為這種原始VPN防火墻能管多大用。大多數VPN防火墻采用的技術和標準可謂五花八門。這些VPN防火墻的形式多種多樣:有的取代系統上已經裝備的TCP/IP協議棧;有的在已有的協議棧上建立自己的軟件模塊;有的干脆就是獨立的一套操作系統。還有一些應用型的VPN防火墻只對特定類型的網絡連接提供保護(比如SMTP或者HTTP協議等)。還有一些基于硬件的VPN防火墻產品其實應該歸入安全路由器一類。以上的產品都可以叫做VPN防火墻,因為他們的工作方式都是一樣的:分析出入VPN防火墻的數據包,決定放行還是把他們扔到一邊。
所有的VPN防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭,根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖,兩個網段之間隔了一個VPN防火墻,VPN防火墻的一端有臺UNIX計算機,另一邊的網段則擺了臺PC客戶機。
當PC客戶機向UNIX計算機發起telnet請求時,PC的telnet客戶程序就產生一個TCP包并把它傳給本地的協議棧準備發送。接下來,協議棧將這個TCP包“塞”到一個IP包里,然后通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX計算機。在這個例子里,這個IP包必須經過橫在PC和UNIX計算機中的VPN防火墻才能到達UNIX計算機。
現在我們“命令”(用專業術語來說就是配制)VPN防火墻把所有發給UNIX計算機的數據包都給拒了,完成這項工作以后,比較好的VPN防火墻還會通知客戶程序一聲呢!既然發向目標的IP數據沒法轉發,那么只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。
還有一種情況,你可以命令VPN防火墻專給那臺可憐的PC機找茬,別人的數據包都讓過就它不行。這正是VPN防火墻最基本的功能:根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了,由于黑客們可以采用IP地址欺騙技術,偽裝成合法地址的計算機就可以穿越信任這個地址的VPN防火墻了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是,不要用DNS主機名建立過濾表,對DNS的偽造比IP地址欺騙要容易多了。
后記:
入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。入侵檢測系統面臨的最主要挑戰有兩個:一個是虛警率太高,一個是檢測速度太慢。現有的入侵檢測系統還有其他技術上的致命弱點。因此,可以這樣說,入侵檢測產品仍具有較大的發展空間,從技術途徑來講,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究。
但無論如何,入侵檢測不是對所有的入侵都能夠及時發現的,即使擁有當前最強大的入侵檢測系統,如果不及時修補網絡中的安全漏洞的話,安全也無從談起。
同樣入侵檢測技術也存在許多缺點,IDS的檢測模型始終落后于攻擊者的新知識和技術手段。主要表現在以下幾個方面:
1)利用加密技術欺騙IDS;
2)躲避IDS的安全策略;
3)快速發動進攻,使IDS無法反應;
4)發動大規模攻擊,使IDS判斷出錯;
5)直接破壞IDS;
6)智能攻擊技術,邊攻擊邊學習,變IDS為攻擊者的工具。
我認為在與防火墻技術結合中應該注意擴大檢測范圍和類別、加強自學習和自適應的能力方面發展。
參考文獻:
1..MarcusGoncalves著。宋書民,朱智強等譯。防火墻技術指南[M]。機械工業出版社
2.梅杰,許榕生。Internet防火墻技術新發展。微電腦世界.
關鍵詞:電力 無線網絡 漏洞 自動化 解決方案
中圖分類號:TN915 文獻標識碼:A 文章編號:1672-3791(2014)10(c)-0084-02
1 研究背景
近年來,全球的數據網絡正以令人驚奇的速度發展,為信息的交流和經濟的發展提供了高效的工具和便利的平臺。隨著電力建設的飛速發展,電力自動化數據網絡也迅速擴大,正在向全面覆蓋所有的電力企業邁進,電力系統數字化已是大勢所趨。電力調度自動化系統、配電自動化系統、電量計費系統、電力市場技術支持系統及交易系統、電力客戶服務中心系統、變電站自動化系統、發電廠監控系統、MIS 系統等,無一不是以高速的數據傳輸與交換為基本手段而建設的。電力自動化數據通信網絡利用因特網、無線網等的工具和平臺,在提高數據傳輸效率、減少開發維護工作量的同時,也帶來了新的問題,這就是內部機密信息在網絡上的泄密、以及被攻擊破壞等。
隨著計算機運算性能的提高,通信技術的不斷發展,電力通信協議也在不斷的改進,以適應通信數據類別、流量和實時性的要求。IEC60870規約系列規定了電力遠動、繼電保護數據、電能計費等多個方面的通信協議,甚至出現了104網絡通信規約,以適應網絡RTU在電力系統中的應用。各項信息安全技術也開始得到廣泛的應用,但是仍然是以以下觀點為基礎開展的,電力數據網絡的信息安全研究應該有所突破:
(1)電力通信網絡的兩個隔離。物理隔離作為國家的明文規定是建立在網絡條件不如人意,網絡威脅依然嚴重的情況下的,需要看到電力信息系統的開放性將是主流方向,基礎研究應該突破這個框架開展一些前瞻性的工作。(2)重點防護監控系統,對通信數據網絡的信息安全重視不足。雖然通信網絡的安全威脅相比而言較小,但是由于電力通信對實時性和可靠性的要求,使得通信數據網絡與電力監控系統的信息安全同等重要。(3)認為電力自動化通信沒有安全問題,或者認為還不值得深入研究,電力信息使得任何安全研究都不能不重視其實時性的要求,因此自動化通信的信息安全研究開展不多,還需要進行大量的研究。
2 電力系統無線通信對于信息安全的需求
電力自動化管理系統無線網絡中傳輸的數據非常混雜,從加密的技術角度來區分,可分為實時數據和非實時數據兩類。
2.1 實時數據的數據特點
無線網絡中傳輸的實時數據,其通信規約對時間的要求很嚴格,不允許較大的傳輸延遲;另一方面,實時數據的數據量相對較小,且數據流量比較穩定。主要包括:
(1)下行數據。包括遙控、遙調和保護裝置及其他自動裝置的整定值信息等。這類數據與設備狀態相關,直接影響到電網的安全運行。安全要求和實時要求都很高。(2)上行數據。包括遙信、重要遙測、事件順序記錄(SOE)信息等。這類數據是電網穩定運行的判據,也是調度決策的依據,實時性要求很高。管理數據。如負荷管理、停電計劃等管理信息系統(MIS)的重要管理數據。這類數據對保密性有一定要求。實時數據其數據流量穩定且時效性快,但是要求實時性高、可靠性高,其保密性和數據完整性的要求也高,因此對實時數據加密必須慎之又慎。
2.2 非實時數據的數據特點
無線網絡中傳輸的非實時數據,其數據量一般較大,但時效性不高,可以允許一定的傳輸延遲。它主要包括電力設備的維護日志、電力用戶的電能質量信息等。非實時數據實時性要求不高,但是對數據完整性和保密性有一定的要求,在數據加密中要注意選擇合適的算法。
3 電力自動化系統的安全漏洞及解決方案
電力自動化應用系統,不論是電力負荷管理系統、電能量管理系統或是其它的應用系統,它的網絡結構框圖都可以歸納成圖1所示。
3.1 中心站的安全隱患及解決方法
應用系統都有一個中心站,它包括前置機、服務器等硬件設備及配套的管理軟件,它負責接收各個子站上傳的數據并通過管理軟件對數據進行分析、歸納和管理;另一方面,它也維護各個子站正常運行,并以下發命令的方式對子站進行操作管理;而且中心站還是本應用系統與其它的電力自動化應用系統進行數據共享和管理的一個數據接口。一般來說,中心站和子站之間以及中心站和其它應用系統之間的數據傳輸都是通過有線傳輸(如光纖)進行的。
中心站既是內部通信子站數據集中的一個節點,也是應用系統與外部進行數據收發的一個接口。只要攻擊者侵入了該節點,整個系統的數據就相當于暴露在了入侵者的面前。而且一旦中心站出現了故障,即使其它的通信子站均運行正常,整個系統也無法正常工作了。正由于它的重要性和脆弱性,因此對于中心站就更是要進行重點防護。防火墻就是一種有效的網絡安全保護措施,它可以按照用戶事先規定好的方案控制信息的流入和流出,監督和控制使用者的操作。防火墻大量的應用于企業中,它可以作為不同網絡或網絡安全域之間的信息的出入口,能根據企業的安全策略控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它能有效地監控內部網和 Internet之間的任何活動,保證內部網絡的安全。
防火墻的目的是在內部、外部兩個網絡之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火墻的數據流,實現對進、出內部網絡的服務和訪問的審計和控制。一般的防火墻都可以達到以下目的:一是可以限制他人進入內部網絡,過濾掉不安全服務和非法用戶;二是防止入侵者接近你的防御設施;三是限定用戶訪問特殊站點;四是為監視Internet安全提供方便。由于防火墻假設了網絡邊界和服務,因此更適合于相對獨立的網絡,例如Intranet 等種類相對集中的網絡。防火墻正在成為控制對網絡系統訪問的非常流行的方法。事實上,在Internet上的Web網站中,超過三分之一的Web網站都是由某種形式的防火墻加以保護,這是對黑客防范最嚴,安全性較強的一種方式,任何關鍵性的服務器,都建議放在防火墻之后。可見,防火墻處于可信網絡和不可信網絡邊界的位置,是可信網絡和不可信網絡數據交換的“門戶”,用來防止未經授權的通信進出被保護的內部網絡,通過邊界控制強化內部網絡的安全策略,其性能、可用性、可靠性、安全性等指標在很大程度上決定了網絡的傳輸效率和傳輸安全。防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理,從總體上來看,防火墻的基本功能有兩個:一是隔離,使內部網絡不與外部網絡進行物理直接連接;二是訪問控制,是進出內部網絡的數據包按照安全策略有選擇地轉發。圍繞這兩個基本功能,大量與安全有關的網絡技術和安全技術被綜合進防火墻設備中,使防火墻地功能不斷擴展,性能不斷提高。概括地說,功能較完善的防火墻采用了以下安全技術:
3.1.1 多級的過濾控制技術
一般采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒的IP源地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關一級,實現內部主機與外部站點的透明連接,并對服務的通行實行嚴格控制。
3.1.2 網絡地址轉換技術(NAT)
利用NAT技術能透明地對所有內部地址作轉換,使外部網絡無法了解內部網絡的拓撲信息,同時允許內部網絡使用自己編的IP地址和專用網絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
3.1.3 用戶鑒別與加密
為了降低防火墻產品在Telnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少,防火墻采用一次性使用的口令字系統來作為用戶的鑒別手段,并實現了對郵件的加密。
3.1.4 審計和告警
對網絡事件進行審計,如果發現入侵行為將以發出郵件、聲響等多種方式報警。為了加強自動化應用系統的安全水平,需要在系統與其它網絡的接口之間設置一套防火墻設備。這樣既能防止外來的訪問者攻擊系統,竊取或者篡改系統數據;同時也能防止內部數據未經允許流向外部網絡。如圖1所示,在公網通信中,除了自動化系統與其它應用系統的接口外,子站采集自終端的數據要發送到中心站,也要通過 Internet網絡進行傳輸,這就給攻擊者提供了一個侵入的端口。因此要在這兩處均安裝防火墻設備,來保證系統的安全運行。在專網通信中,由于整個通信網絡是一個相對獨立的網絡,因此中心站了通信子站之間就不必加裝防火墻了。
3.2 無線終端的安全防護手段
無論是哪種無線網絡,都有若干數量的無線終端,它們是通信系統的最基本的組成結構,通過通信子站與中心站進行通信。因為無線終端的數據眾多,也使它們往往成為系統安全漏洞所在。對于應用系統而言,保護系統信息安全與保護系統業務正常是同等重要的。保護系統信息安全首先必須保證信息訪問的安全性,要讓不該看到信息的人不能看到,不該操作信息的人不能操作。這方面,一是要依靠身份認證技術來給信息的訪問加上一把鎖,二是要通過適當的訪問控制模型顯式地準許或限制訪問能力及范圍。這就引出了兩種信息安全技術:身份認證技術及訪問控制技術。通過這兩種技術手段,就能有效的解決以上的兩個安全問題。對于自動化應用系統來說,系統內的終端用戶只是采集電力用戶數據并上傳給服務器,并不存在越權訪問系統信息的問題。因此采用身份認證技術就足以解決無線終端的信息保護問題了。
身份認證是指被認證對象向系統出示自己身份證明的過程,通常是獲得系統服務所必須的第一道關卡。身份認證需要證實的是實體本身,而不是象消息認證那樣證實其合法性、完整性。身份認證的過程一般會涉及到兩方面的內容識別和驗證。識別,就是要對系統中的每個合法注冊的用戶具有識別能力,要保證識別的有效性,必須保證任意兩個不同的用戶都不能具有相同的標識符。驗證是指訪問者聲明自己的身份后,系統還必須對它聲稱的身份進行驗證。標識符可以是非秘密的,而驗證信息必須是秘密的。
身份認證系統有兩方認證和三方認證兩種形式兩方認證系統由被認證對象和認證方組成,被認證對象出示證件,提出操作要求,認證方檢驗被認證對象所提供證件的合法性和有效性三方認證系統除了被認證對象和認證方外,還有一個仲裁者,由雙方都信任的人充當仲裁和調節。建立一個身份認證系統的應滿足的是:1)可識別率最大化:認證方正確識別合法被認證對象身份的概率最大化;2)可欺騙率最小化:攻擊者偽裝被認證對象欺騙認證方的成功率最小化;3)不可傳遞性:認證方不可以用被認證對象提供的信息來偽裝被認證對象;4)計算有效性:實現身份認證所需的計算量要小;5)安全存儲:實現身份認證所需的參數能夠安全的存儲;6)第三方可信賴性:在三方認證的系統中,第三方必須是雙方都信任的人或組織或可信安全性身份認證系統所使用的算法的安全性是可證明和可信任的。
電力自動化系統內部使用身份認證技術,在每一個無線終端的實體上增加了一道安全防護,如圖2 所示。在進行數據傳輸之前,驗證對方是否是系統內的合法用戶。可以防止入侵者偽裝成內部用戶,獲取系統數據。
3.3 保護系統信息安全的常用方案-算法加密
除了以上的信息安全技術之外,算法加密技術是一種被普遍應用的安全技術。它在發送方將要發送的數據根據一定的算法進行加密,變成不可識別的密文;而在接收方通過對應的解密算法再將密文轉化為明文。從而保證數據在傳輸過程中的保密性。
4 結論
該文研究了電力自動化無線通信系統中的信息安全問題。隨著電力自動化無線通信技術的快速發展,對網絡信息安全的要求也不斷提高。無線通信技術有著其自身的特點,要求的安全解決方案也與其他不同。需要既保證無線信道的帶寬,又要有效地提高系統的安全防護強度。
參考文獻
[1] 孫毅,唐良瑞,杜丹.配電自動化中的通信網解決方案[J].燕山大學學報,2004,5(28):423-426.
[2] 宋磊,羅其亮,羅毅,等.電力系統實時數據通信加密方案[J].電力系統自動化,2004,28(14):76-81.
關鍵詞:VPN網絡,視頻監控系統
背景需求分析
近年來,數字視頻監控系統以其控制靈活、信息容量大、存儲和檢索便利等優點逐步取代了傳統的模擬視頻監控系統,被廣泛應用于監控、安防、質檢等方面。隨著計算機及網絡技術的發展、普及和網絡帶寬的迅速擴大,視頻監控已經發展到了網絡多媒體監控系統,即將數字視頻監控技術與網絡技術相結合,在現場監控主機無人職守情況下,實現局域網或Internet遠程監控的功能。如此一來,將監控信息從監控中心釋放出來,從而提高了治理水平和效率。但假如遠程訪問視頻監控服務技術功能不足,則無法保證監控信息所需的保密性和速度性,這該怎樣解決呢?VPN?(VirtualPrivate Networking)技術的出現,正好解決了該問題,實現了遠程視頻監控信息安全便利的傳輸。
經調查發現,實現VPN遠程視頻監控系統較重視的需求為:
虛擬私有網絡VPN安全傳輸:完整的VPN網絡視頻監控系統,最重要的需求是要讓各分支外點及本地局域網的監控視頻能安全、實時的傳送到總公司監控中心的治理服務器,統一作企業安全防護及報警。視頻監控信息若不作加密處理就直接通過公眾互聯網進行傳送,可能會造成企業內部機密外露等問題。因此,需要建置完善的VPN傳輸,不僅可節約高昂的專線成本,還能得到安全穩定的傳輸質量。
穩定良好的寬帶接入服務:將視頻監控信息集成到VPN中,雖然可以確保得到安全穩定的聯機,但VPN線路還是建立在公眾互聯網上,一但接入的寬帶線路不穩定輕易掉線,也連帶影響到VPN的聯機質量。穩定良好的的寬帶接入服務或于運營商掉線斷網時可以實時提供備援的支持是必要的。
帶寬增級同時也能節省成本:多媒體視頻監控系統包括視頻、音頻及相關數據的傳送,若要得到實時、順暢的傳送質量,需要相當大的帶寬才可達成,因此首先就面臨到帶寬的增級。如此就會導致線路成本的增加及可能的線路添加,帶來成本及治理上的諸多問題。這時,兼顧成本的考慮下,適當的線路集成整合成為企業的需求。
網絡安全防攻擊防火墻:越來越多的攻擊及病毒,造成企業網絡安全的潛危機。一旦寬帶接入受到惡意攻擊影響網絡正常運作,輕則讓監控信息傳輸效率大減,嚴重時發生整個網絡斷網,造成視頻監控系統停擺的窘境。若是多購置防火墻,等于是增加成本,因此路由器中需要有適當的防火墻功能,以進行網絡安全的防護。
內部上網行為管控避免影響重要傳輸:多數員工在上班時間通過BT等下載音樂電影,或是聊QQ、MSN等實時交流工具,不僅影響工作效率,也很大可能會造成帶寬被占用、影響監控信息傳送速度降低影響監控實時反應,更嚴重是可能隨之而來的病毒、蠕蟲和木馬的威脅。有效而可靠的管制內網用戶使用特定軟件是很必要的。
方便的配置及治理:當今講求效率的時代,路由器也需要提供簡易配置好治理的配置接口設計,讓網管由繁復工作中解放。另外VPN客戶端大多不配備專業的網管,很多指令行的路由器給設置帶來了困擾,而想要對路由器進行任一個操作,都必須找來專業的人員,這又為實時反應帶來了變量。因此路由器的配置,最好使用直觀的配置接口及簡化的配置設計,即使不是是專門的網管人員經簡單的培訓后也可輕易上手,節省不必要的時間浪費。
VPN遠程視頻監控應用
依據企業遠程VPN視頻監控系統服務需求及以上組網分析,具有高度性價比優勢的多WAN VPN防火墻廠商俠諾科技,為遠程VPN視頻監控系統提出一完整的組網方案。
方案功能特點
多WAN端口接入匯聚帶寬:Qno俠諾多WAN產品支持帶寬匯聚、自動線路備援等功能,多WAN口接入方式,讓企業有更大和彈性配置空間。可支持多線路多ISP接入,不僅可以匯聚帶寬以節省成本,而且還可以實現線路備援、數據分流、負載均衡等效果。當一條線路掉線,會自動改用另一個WAN連接端口的線路連接,確保VPN聯機不掉線,避免掉線時造成無形的損失與傷害。
強效防火墻有效防病毒攻擊:VPN防火墻,具備主動式封包檢測功能,只需單向啟動各式黑客攻擊、蠕蟲病毒防護功能,即可簡易完成配置,有效防止內外網惡意攻擊,確保企業網絡安全,降低網絡受攻擊帶來的損失。具有內建的防制ARP功能,憑借自動檢視封包的機制,偵測過濾可疑的封包,做為防制ARP攻擊的第一道防線。可搭配IP /MAC雙向綁定,在路由器端以內網PC端進行IP/MAC綁定,即可達到防堵ARP無漏洞的效果。論文參考網。
QoS帶寬治理優化帶寬使用:視頻監控多媒體傳輸需要有穩定的帶寬,而少數BT下載等惡意占用帶寬造成網絡卡,經常會造成客戶抱怨。讓人寬慰的是俠諾二代多元QoS帶寬治理功能,支持一周七天、一天三個時段采取不同的帶寬治理政策,依據不同的網絡應用環境、時段,自由選擇管控方式,達到帶寬利用率最佳化的目的。該功能包含有傳統QoS帶寬管控及智能SmartQoS治理,可依據聯機數、要害字、最大或最小帶寬等方式進行管控,也可啟動動態智能治理,對于非凡的應用或用戶進行非凡限制。這個功能并不禁止特定的應用,只是加以限制,從而更彈性的提供帶寬服務。
輕松實現了中心管控:同時治理外點多條VPN接入聯機,對于大部分網管來說,是非常棘手的問題,尤其是必須反復留心查詢各點聯機狀況、帶寬使用率、視頻監控等信息,更是耗費許多時間。而Qno俠諾多WAN VPN防火墻則輕松解決了上述問題,其所具備的中心控管功能,可一次看清全部VPN聯機的情況,再也不必一一地檢查聯機的狀況。若需進一步協助設定或排解問題,網管也可直接進入分點的治理接口查看或進行設定治理,安全又有效率。
簡易又方便的系統治理:Qno俠諾多WAN VPN防火墻具有全中文化配置及治理界面,所有設定參數與組態清楚明確、簡單易懂,輕松完成網絡設置。還支持強大的系統日志功能,可通過對日志治理和查找,即時監控系統狀態及內外流量,進而作對應的配置,確保內網運作無誤。
支持多VPN協議外點靈活選擇:Qno俠諾高階產品系列,可支持PPTP、IPSec VPN、SmartLinkVPN、QnoKey IPSec客戶端密鑰等多種連機方式,可滿足外點多種VPN彈性配置需求,實現總部中心端與各分點建構實時、穩定、安全的互連VPN網絡系統。由此可見,多通道多協議的特點完全能勝任企業擴展及網絡視頻布點,而且外點可根據實際規劃與應用,靈活選擇適用的方式接入中心端。
SmartLink VPN快速設定:俠諾SmartLinkVPN快速聯機,簡化20多復雜設置步驟,將大部份的設定參數的工作交由VPN網關自動完成,用戶只需要輸中心端服務器IP地址、用戶名、密碼三個參數,即可完成超快速VPN連機設定。
策略路由解決VPN跨網瓶頸:由于國內長期存在電信、網通互連不互通的問題,許多企業建立VPN時會發生跨ISP網絡時帶寬不足,導致VPN不穩定或易于掉線。俠諾多WAN口的設計,可搭配策略路由的設定,讓不同ISP外點可直接連到對應VPN服務器入口,實現“電信走電信、網通走網通”,從而有效解決跨網受限問題。
指定路由強化網絡穩定性:另外一方面,多WAN口的設計,也提供了訪問網絡快速穩定的途徑。支持指定路由功能,可通過協議綁定,將特定的服務或應用綁定在指定的端口,如WEB走WAN1,MAIL走WAN2等等,加速訪問速度,進一步保障網絡的穩定性。也可將VPN綁定特定端口,保證VPN通道的穩定流暢。
總結
通過以上介紹,可以看出,Qno俠諾多WAN VPN防火墻產品多項功能,都體現了俠諾簡單、安全、快速的“3S”研發理念和貼近用戶需求的專心,幫助企業以較少的成本、時間與精力,達成高效、快速、安全的運營效能。非凡對于遠程VPN視頻監控服務來說,在帶寬、安全性穩定性等多方面都有較高要求,VPN遠程視頻監控解決方案,可有效保持企業總部和分支機構間的隧道暢通,進而保證其服務的穩定性和可靠度,提高安全監控的視頻質量,當異常事件發生時,可以在第一時間進行處理。論文參考網。可謂是最省成本、且最方便的解決途徑。
春節假期,偶然在街上碰到大學同學小張。多年不見話題就多了,在了解到本人現在所從事的是網絡安全技術方面的工作后,他像是碰到了大救星,一個勁兒要請客吃飯。原來,他利用這幾年打工的儲蓄獨立創業,加盟了一家全國聞名的服裝連鎖店,連鎖總店要求必須部署VPN信息網絡。年前,他便按照要求進行了統一購買了VPN設備,但是由于其設置和應用過于復雜,對于作為網絡“外行”的人來說,實在是有點難以應付。此外,因為金融危機的影響,為了壓縮人力資源成本,他暫時還沒有聘請專業網管的計劃,正為這事上火。論文參考網。
其實,這種問題在國內數萬家中小連鎖企業的經營治理過程中絕不是首例。產生這種矛盾的原因有兩點:專業化的高端設備滿足了企業的應用需求,但是一般的兼職網管無法應付其治理和維護;平民化的低端設備,使用和治理倒是比較簡單,卻達不到企業信息化治理的全面需求。VPN網絡是未來企業發展的大勢所趨,但當務之急是為企業提供最為合適的設備,即要能兼具安全與簡便的基本特性。安全無須多說,簡便性就成了體現產品技術水平的最大差異化,也同樣彰顯了企業客戶在應用上的突出需求之一。事實證實,其簡便的應用特性非常貼近中小企業的需求現狀,得到了較好的市場效果。
作為在SMB寬帶接入和VPN應用領域耕耘多年的專業廠商,俠諾科技每年都會其創新的產品及應用功能。但是無論怎樣創新變化,簡單、安全、快速的“3S”研發理念都始終貫穿于其系列產品線。其中,簡便(即Simple)被放在首位——“俠諾極簡風,治理一鍵通”。 俠諾的極簡風格,是要求專心體察用戶的細致需求,將最復雜的技術以最簡單的方式呈現給用戶,讓企業的網管員用最少的時間與精力,達到較為復雜的配置與治理需求,幫助企業有效的增進運營效能。事實證實,其簡便的應用特性非常貼近中小企業的需求現狀,得到了較好的市場效果。
【關鍵詞】IPSecVPN網絡安全防火墻;
1引言
IPSecVNP作為一種主流網絡安全技術已經發展了多年,無論是目前流行的正在使用的IPv4網絡還是發展中的IPv6網絡,無論是移動辦公還是局域網間通訊,都在大量使用IPSecVNP作為網絡安全通訊基礎設備。本論文通過研究IPSec協議族,實現了一個較為完整的IPSecVNP系統。包括客戶端、服務器端軟硬件設計和實現、網絡配置及內嵌以管理等。還解決了IPSec協議通過CBAC防火墻問題。
2 IPSecVPN系統設計
本文實現了IPSecVNP系統的功能,滿足了政府、金融行業和企事業單位低成本安全通訊的需求,可以按照客戶實際需要的VPN系統進行安裝部署、調試維護。IPSecVPN的主要作用是采用加密、認證等方式保護網絡通信的安全性、私密性、可認證性和完整性。
IPSecVNP網關作為IPSecVNP系統中主要的設備,擔負大部分計算任務,兩臺以上IPSecVNP網關就可以搭建IPSecVPN系統的基本框架。IPSec移動客戶端(easyVPN)是專為單臺主機或便攜式電腦設計的,目的是使其擁有與IPSecVPN網關保護的局域網絡通信的能力。如圖1所示。
IPSecVPN網關工作在本地局域網及與其通信的遠程局域網的網關位置,具有加密和認證功能,使用互聯網作為信道。通過IPSecVPN網關的加密能力確保信息在不安全的互聯網上以密文形式傳輸。數據校驗功能確保了即便信息被截取,也無法窺視、篡改通訊內容。
IPSecVPN實現的總體結構分為IPSec輸入輸出處理、SPD和SAD策略管理、IKE密鑰交換、加密算法和認證算法、NAT兼容等模塊。其中IPSec安全協議的處理是數據處理的核心,策略管理模塊提供IPSec處理策略,IKE密鑰交換模塊用于通訊雙方SA協商,加密算法和認證算法模塊是安全通訊基礎,NAT兼容提供復雜網絡環境下IPSecVPN應用的解決方法。
在用戶層提供手工注入SA和IKE動態協商SA程序。用一個IKE守護進程監聽動態協商請求,并進行相應的協商處理。策略系統實現存儲、管理及驗證策略。并提供用戶層操作到內核的接口Pfkey Sockets(手工注入SA和利用IKE動態協商SA的接口及SAD與SPD的接口)。在內核中除實現與用戶的接口外,還將實現SAD,SPD的管理、IPSec協議進入/外出處理及認證加密算法。IPSec協議處理部分建議采用IP+IPSec方案。這樣會進一步加快IPSec的處理速度。
3 IPSecVPN穿越防火墻設計
前提:A、B、C三臺cisco3750邊緣路由器分別處于兩局域網網關位置,兩兩一組,形成冗余。網關后各有一臺主機,這兩臺主機之間進行IPsec安全通訊。每臺邊緣路由器都已經配置好相應的IPsec隧道及相關策略,而且配置了基于cisco ios CBAC狀態型防火墻,兩局域網由兩路由器模擬的Internet網云連接。
3.1首先,對于防火墻主要進行如下一些配置:開啟inspect檢測,這樣可以讓每個接口自動檢查ACL允許的流量,deny的不檢查,有通信時建立狀態表,沒有通信時就不建立,也就是有會話時就有ACL,沒有就刪除。以下是針對IPSec協議的檢測,在outside方向,開啟對isakmp協商的檢測。
ip inspect name outside udp timeout 5
ip inspect name outside isakmp
ip inspect name outside icmp
3.2對outside區域運用防火墻策略。由于AH和ESP的協議號分別為50和51,所以在outside方向上,讓有限狀態機對協議號為50的AH和51的ESP報文進行檢測放行。
permit ahp any any
permit esp any any
由于isakmp的協商屬于UDP協議,且端口號為500和4500,在outside方向,讓有限狀態機對isakmp的4500和500端口進行檢測放行,以便isakmp協商成功。
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
驗證:在A路由器上使用 show access-list命令可以看到,如圖2所示。
圖2顯示ESP格式報文的加密報文和isakmp的通道協商已經與防火墻的規則進行了匹配并且放行。Ping測試顯示成功,如圖3所示。
4加密流量與非加密流量對比
前提:為了達到加密與非加密流量對比,需要在配置兩臺服務器,一臺處于內網中,受到IPSecVPN的加密保護,一臺在公網上,供外網客戶訪問,不采用IPSec加密。服務器上包括WWW、FTP、DNS、MAIL常用服務。
(1)在外網和內網服務器上開啟wireshark進行抓包并分析;(2)訪問服務器www網頁;(3)訪問FTP服務器;(4)使用OE發送郵件;(5)使用OE進行收郵件;(6)使用telent登錄服務器;(7)打開wireshark顯示抓包分析結果,外網服務器的抓包結果顯示,所有包的協議都可以顯示出來,包括WWW的網址與內容,FTP和TELNET的用戶名與密碼,這些都是極其不安全的,而經過IPSec加密的內網服務器則所有包都是用ESP包頭進行封裝加密,顯示不出任何包信息,這樣可以很好的保護企業的數據。如圖5和圖6所1示。
5小結
本文通過研究IPSec協議族,實現了一個較為完整的IPSecVPN系統。包括客戶端、服務器端軟硬件設計和實現、網絡配置及內嵌管理等,還解決了IPSec協議通過CBAC防火墻問題。
參考文獻:
關鍵詞:網絡安全,信息化建設,網絡管理
一、引言
計算機網絡進入校園,使各種資源數字化。極大的改變了現有教學方式及工作方式。和其它的互聯網一樣,校園網也具備計算機網絡的一切結構和功能。為了讓網絡保持暢通,為廣大師生提供良好的服務,校園網的管理與維護就顯的越來越重要。如何正確規范化的管理校園網,使之形成一套完整管理與維護理論體系,也是當前一項重要的研究課題。
二、校園網的管理與維護
隨著各種資源不斷網絡化,就必須對校園網加強管理,制定相關政策法規,出現問題有法可依。這些規章制度包括網絡使用規范、用戶上網規范、信息點教學平臺、網絡管理制度、計算機操作管理制度、網絡設備維修保養及報廢制度等。重要體現在如下幾方面:
1.網絡系統安全存在的問題:
第一、有效阻擋病毒;現階段,各種木馬及計算機病毒令人防不勝防,如何將損失降到最小,是網絡管理員考慮的問題。當軟毒軟件不能有效殺滅病毒時,要求網管員要在第一時間給出解決的辦法并及時通知在校園網上,使教師了解病毒發作的特征和相應的解決方法,使各用戶及時安裝最新的病毒庫和補丁程序。通過路由器查出有木馬和病毒的計算機,在網絡上封閉其訪問網絡權限,等用戶計算機正常以后再開通網上訪問權限。這樣可避免擴散到其他計算機上,有效控制病毒在整網的蔓延。并要求所用計算機及時升級。
第二、網絡用戶權限管理與維護,首先要加強對網管權限的監管力度,由于網管可控制網內的每一臺電腦,如果網絡管理人員成為泄密者,其后果將不堪設想。可以通過在平時管理時用普通帳號,只有在安裝軟件和設置服務器時才用超級管理員帳號,這樣做可以防止網管丟了密碼對網絡所造成的破壞。平時要求網絡用戶在使用密碼時,盡量設置強口令的密碼,如可以設置為字母加數據加特殊符號,這要有效提高破譯密碼的時間和難度。在網絡培訓和計算機課程中強調網絡安全。
第三、校園網防火墻管理與維護:根據學校網絡建設,有的學校用的是教育網接口,有的學校由于所處地理位置不同,有可能會用到當地網絡供應商提供的接口。不管用那一種方式接入互聯網,都不能忽略網絡安全問題,如要防止有些學生及個別教師在內部做出的攻擊,還要防止外網對校園網的外部的攻擊。攻擊的方式多種多樣,要有效防止攻擊事件的發生,防火墻和入侵檢測系統是必不可少的,通過網絡防火墻,使局域網內的網絡用戶可以安全地通過防火墻訪問Internet,局域網內的WWW服務器也可以安全地對Internet提供服務。有效阻止外部未經過驗證的數據包進入校園網里,防火墻有硬件防火墻和軟件防火墻,可根據各自學校的要求進行設置。
2.網絡系統安全管理方式方法:
第一、及時安裝系統補丁程序(Patch);對文件目錄權限;定期檢查系統安全性;不要將服務器的登錄方式設置為自動登錄,應使用NT Security對話框注冊;取消服務器上經常不用的服務和協議種類。盡量關閉不必要的服務端口,對一些可能存在被攻擊的端口要定期掃描,一旦發現可疑情況及時做處理;定期對重要數據進行備份;隨著服務和協議數量越多其系統的安全性會變的越來越差;超級管理員賬號僅用于網絡管理,不要在任何客戶機上使用超級管理員賬號。論文參考。對于windows系統,要特別慎重屬于Administrator組成員用戶;記住口令文件保存在WINNT SYSTEM32CONFIG目錄的SAM文件中,并且在WINNTREPAIR目錄中有SAM備份。所以對SAM文件寫入、更改權限等要進行安全審計;系統默認禁用Guest賬號,最好不允許使用Guest賬號。不要在Everyone組增加任何權限,因為Guest也屬于該組;新增用戶時分配一個口令,并控制用戶'首次登錄必須更改口令',最好進一步設置成口令的不低于6個字符,杜絕安全漏洞;利用端口掃描工具,定期在防火墻外對網絡內所有的服務器和客戶進行端口掃描;禁止自動啟動telnet服務。
3、應用軟件的管理與維護:包括網絡實驗室及各客戶端軟件的配置更新規范,如相關的教學軟件、編程軟件、系統軟件等。如:對未及時歸還用戶,如無特殊情況,損壞或丟失者,都要根據情節進行相應的處理。系統軟件或價值較高的應用軟件,一律不外借。除了軟件的管理以外,還要大力加強軟件的建設,如軟件的購買、保管,使用、報損等。可根據需要,設立教師課件資源庫,把每位教學每學期的多媒體課件,課后習題,輔導資料全部入庫,這樣不但對教師和學生帶來方便,也成為校園網中的寶貴教學資源。
4.網絡核心設備的管理與維護:校園網是由計算機、服務器(性能好的計算機)、路由器、交換機等各種設備組成,校園網要正常運行,必須保證核心網絡設備正常運行,是校園網絡系統的基礎,所有的設備都屬于網絡專用設備,網絡管理人員定期要對全校的網絡設備進行檢查及時解決故障,還要對一些網絡設備進行設置:如web服務器、proxy服務器、路由器路由設置,防火墻規則設置等,同時這些設備對溫度,濕度,安全有較高的要求,所以對核心設備應用專門存放房間,以保證設備正常運行。
5.網絡實驗室的管理:
網絡實驗室全天對學生開放,這就涉及到使用,安全等管理問題,出于安全的考慮,實驗室中的每一臺計算機均鎖在柜子里,防止學生破壞計算機硬件設備;學生上網問題可以用劃分子網來解決,通過對網絡掩碼的劃分,使學生在正常上實驗課時,被分配到取消上網資源子網,如需用網絡資源時,可對子網整體設置,這樣可使實驗室管理更高效;當實驗室軟件出現問題時,可采用網絡對拷的方式進行快速修復,把一臺已安裝和設置好的計算機當服務器制作出鏡像文件,再逐個分發到需要的計算機上。一般五分鐘左右就可以修好。為了管理上網的學生用戶,可采用軟件方式加硬件方式進行管理,換句話說,如果用戶沒有合法的用戶名和密碼,當計算機開機自檢完以后不再加載系統程序。可專門設置一個服務器對所有學生設置上網時間和權限。論文參考。論文參考。
三.對網絡用戶進行定期培訓
1.主要對教師進行培訓:教師是學校開展現代教育技術實驗的主力軍,讓教師通過校內外的培訓,盡快提高現代教育思想和教育技術素質,是開展現代教育技術實驗成敗的關鍵。通過培訓,使教師隊伍計算機知識和操作水平不斷提高。各校必需有一批懂技術、會使用的人員,才能真正發揮網絡的功能,才能夠發揮出校園網巨大潛能,使校園網的建設更具有更深遠的實際意義。
2.培訓成果:教師人人懂得計算機操作,掌握上校園網的方法,會使用'備課系統'進行備課,會使用多媒體教學系統進行教學,掌握上網技術,要善于通過國內外互聯網獲得信息資源,會使用常規電教設備和多媒體電子教學平臺進行教學,會改編課件,會設計、編寫課件腳本,制作多媒體課件(方便、普及型的PPT課件)。教師絕大部分的課時都使用多媒體軟件,運用多媒體的教學工具進行教學。
3.教師用計算機的管理:
一般實行專人專用,在教師使用期內所出的問題全由用戶自己負責。如:注意防塵、防潮、防磁、防碰撞;要求各位老師及時升級殺毒軟件。由于人為因素對計算機硬件造成損壞的,要按原價賠償。在計算機的使用過程中,遇到問題,可向網絡組反映。不允許做一些可能會對計算機造成傷害的操作,如私自把主機機箱蓋打開等,否則后果自負。具體的規定可根據各自學校的情況制定
四、總結
通過對校園網維護和管理的論述,近一步說明了校園網管理與維護既關系到學校教學質量和人才培養,也反應了一個學校的信息化建設的水平的高低.如何高效、安全、健康的利用現用的網絡資源,提高學校管理與維護校園網的水平。
參考文獻
[1] 孟洛明.現代網絡管理技術.北京.北京郵電大學出版社.2000.6
[2] Refdom.交換網絡中的嗅探和ARP欺騙.xfocus.net.
[3] David BJohnson,David A Maltz.Yih—ChunHu.The Dynamic SoumeRouting Protocol for Mobile Ad HocNetworks(DSR).
