建立全面的网络防护体系.pdfVIP

建立全面的网络防护体系 中船重工七院七。七所王朝斌李晓蔷 ■要：车文从簟由■、防火墙、安全检测系统、主机系皱殛用户选五大J■攻详尽介绍了如何t立起一十安 全的、全i的舟络矗统，并对每—屡次优姒嘲肝了—翦的■进． 美■一；麝由■、防火墙(Hr哺111)、安垒挂一熏睦． 一引言 随着计算机网塔的不断发展．信息的全球化已成为社会发展的大趋势，但由于网络所具 有的开放性．全球性和互联性特征，致使网络易受到cmck，H^曲Ⅱ及悉毫软件的攻击， 因此网络的安全也就成为人们经常讨论的问题。 然而人们常有一种误解．就是认为操作系统的漏洞麓步，系统越可靠，在此基础上的网 络越安全．其实不然，光考虑操作系统是远远不够的，只有对网络安全的各个层次有全面的 了解，才能建立起安全的网络系统。 二网络安全层次 。 将网络安全划分威多个层次的目的，就是为了更好的防御和找出恶意入侵者，其各个屡 次也就为^侵者设置了层层障碍．(网络安全的各个层次厝如下)．入侵者如果想进人系统，就 必须要通过多层屏障，这将增加入侵者被发现的几率：在入侵者入侵莱统韵I耐；势必将增加 一 审核信息量．利用这些审核信息量，就可以跟踪和找割A侵者． 一辨都网 内部网 12l 1路由器 对进入内部网的IP地址，通常我们只需要其中的莱一些．对不必要的地址将不允许进人。 路由器就可以过滤掉这些不必要的IP地址。 一般来说．路由嚣首先屏蔽眵隋的IP地址，然后再选择放行。对于首先放行所有IP地 址．再屏蔽一些IP地址是不可取的．除非需要提供公共服务。如：}rITP．m服务。 路由嚣也可以过滤些服务项目．只有真正的服务才被允许从外部访同，并合法通过路由 器的过滤检查，如果其中的某些服务不需要。路由器会将它过滤。 正确使用路由器将为网络提供最外层保护，将那些危险的IP地址和含有危险成分的服务 过滤。使内部弼络能够处于相对安全的环境．但是由于它只能阻止对内部网的访问．而不能 约束外部同的公开网段的访问．所以为了确保通讯服务器的安全运转．避免人侵者借助这些 同段对内部舟人侵，我们还需要防火墙(Fit酮n)对此进行限镪． 2防火墙(，it峨111) 防火墙是由硬件设备和软件组合而成的。它处于网络群体计算机与外界通道之间，限制 外界用户对内部丹访问及管理内部用户访问外部阿络的权限． 不同的防火墙各自有其优缺点，但防火墙的基本准则是相罚的。 第一，一切未被允许的就应该禁止。基于此准则．防火墙将封锁所有信息流，然后对希 望提供的服务逐项开放。这是一种比较实用的方法，可以造就一种比较安全的环境．只有经 过挑选的服务才允许使用．其弊端是用户能够使用的服务范围将受限制。 第二．一切未被禁止就是允许。防火墙在此原则基础上应转发所有信息流，然后逐项屏 蔽可黼害的服务，这种方法构成一种更为灵活的网络应用环境，能够为用户提供更多的， 灵活的最务。但_其弊端是，当要保护的网络范围扩大时，很难提供可靠的安全保护．并且许 多访问血t．mt的用户软件在内部网络计算机上不能访问I咖r∞t． 防火墙有很多种类型．通常分为： 1)包过滤踌火墙——包过滤防火墙f设置在网络层)。 大多数商用路由器都提供包过滤功能．另外．Pc机上同样也可以安装包过滤软件。包过 滤是以IP信息为基础，对IP源地址，IP目标地址．传输龇女类型(TcP，u坤，Ic蛐等)， 连接请求方向等进行筛选．信息流如满足规定则可以通过．否则将过滤掉。这种防火墙主要 是防止非法用户对内部网的访问。但包过滤技术的缺点是不能自动识别含有危险的信息包。 2)代理服务型防火墙一代理服务型防火墙c通常由代理服务器和过滤路由器组成)。 它是目前较为流行的一种防火墙。它与包过滤防火墙不同的是，它使得内部网和外部网 之间不存在直接的连接。另外它