(计算机安全状态检测和防Dos攻击防火墙.docVIP

状态检测和防Dos攻击防火墙 摘要：针对DoS(DenialofService)拒绝服务攻击 ,在分析DoS的攻击原理和现有的检测、防范手段的基础上 ,提出了一种检测、防范DoS的分布式模型 ,并提出了利用简单网络管理协议 (SNMP)技术实现该模型的方案 ,分析了实现后的检测系统自身的安全性 .研究结果表明 ,分布式检测防范模型能在一定程度上对付DoS攻击 ,能在更高的层面处理分布式攻击 .利用类似的方法还可以检测其他的入侵攻击。 关键词：状态检测，防Dos攻击，防火墙 引言： 互联网的发展，极大的推动了整个社会的发展，在社会、经济、教育和娱乐等各方面都产生了重大的影响。互联网与人们的生活越来越紧密，人们通过网络互相交流，共享一些资源，互联网也缩小了人们地理上的距离，我们生活的这个星球也被称为“地球村”。与此同时，网络安全也成为了人们关注的焦点。病毒、网络攻击等术语也越来越经常出现在人们的面前。 政府或公司的机密数据被黑客盗取、个人计算机被病毒感染造成重要数据被删除等这些事件时常发生。网络安全已经成为政府、科研机构和公司关注的一个焦点。网络攻击手段的不断升级，其破坏性也越来越大，造成的损失也就越来越多。在这些网络攻击中，拒绝服务(DenialofService，DoS)攻击作为一种重要的网络攻击手段，该攻击主要利用了网络协议的缺陷。由于DoS攻击的原理简单，攻击的工具也能够很容易的得到，因此利用它对受害主机进行攻击占了网络攻击中的近一半，其造成的损失也比较高。 1防火墙的概念 防火墙是一种用来加强网络之间访问控制的特殊网络设备，常常被安装在受保护的内部网络连接到Internet的结点上。它对传输的数据包和连接方式按照一定的安全策略进行检测，从而决定网络之间的通信是否允许。防火墙能有效控制内部网络和外部网络之间的访问及数据传输，从而达到保护内部网络信息不受外部非授权用户的访问和对不良信息的过滤。 2状态检测防火墙 状态检测防火墙又称动态报过滤，是传统包过滤上的功能扩展。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚连接，当反向应答分组送达时，就认为一个虚拟连接已经建立。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不仅仅检测“to”和“from”的地址，而且不要求每个访问的应用都有代理。这是第三代防火墙技术，能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，过滤 进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接，不依靠 与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通 过己知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。 状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。此外，它还可监测RPC和UDP端口信息，而包过滤和代理都不支持此类端口。这样，通过对各层进行监测，状态监视器实现网络安全的目的。目前，多使用状态监测防火墙，它对用户透明，在OSI最高层上加密数据，而无需修改客户端程序，也无需对每个需在防火墙上运行的服务额外增加一个代理。 2.1状态检测型防火墙工作原理 状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。 2.2 状态检测型防火墙优点 （1）安全性好 状态检测防火墙工作在数据链路层和网络层之间，它从这里截取数据包，因为数据链路层是网卡工作的真正位置，网络层是协议栈的第一层，这样防火墙确保了截取和检查所有通过网络的原始数据包。防火墙截取到数据包就处理它们，首先根据安全策略从数据包中提取有用信息，保存在内存中；然后将相关信息组合起来，进行一些逻辑或数学运算，获得相应的结论，进行相应的操作，如允许数据包通过、拒绝数据包、认证连接、加密数据等。状态检测防火墙虽然工作在协议栈较低层，但它检测所有应用层的数据包，从中提取有用信息，如IP地址、端口号、数据内容等，这样安全性得到很大提高。 （2）性能高效 状态检测防火墙工作在