时间:2023-09-18 17:33:42
2014年5月至今,美国对中国网络空间数次发难,从美国司法部中国5名军人,到之后指责所谓的“中国官方黑客”,均始于美国“火眼”、“曼迪昂特”等网络安全公司所的针对性报告。
与美国等西方国家政府与民间力量娴熟的配合相比,中国对网络安全产业民间力量的重视程度和运用水平,远远不够。游离于国家和社会之间的中国网络安全公司们,更像是一支“志愿军”。
在众多安全业界人士看来,一旦这支“志愿军”发展壮大,将成为维护国家网络安全的中坚力量,在实现中国与美国等国家的网络空间安全“对位攻防”中发挥巨大作用。
国际网络对抗“马前卒”
近年来,以美国“赛门铁克”、“火眼”、“曼迪昂特”,俄罗斯“卡巴斯基”为代表的网络安全公司快速兴起,成为国家间网络攻防的重要力量。专家认为,名义上独立的网络安全公司,已经成为大国博弈的重要工具。
2013年初,美国网络安全公司“曼迪昂特”公司报告《APT1:揭露中国网络间谍单位》。报告发出后,中国企业在海外备受质疑,华为遭质疑被排挤出美国市场,并在欧盟、澳大利亚、韩国受阻,一些走出海外的中国安全企业也纷纷退回国内。
启明星辰首席战略官潘柱廷认为,类似《APT1》的做法,实质是由网络安全公司充当“马前卒”,替美国政府实现丑化中国形象、驱逐中国公司,既让美国产业界直接获益,又为美国官方赢得了可进可退的空间。
另一个典型是俄罗斯网络安全公司卡巴斯基。俄罗斯并不算信息强国,但是借助卡巴斯基公司,俄罗斯占据了从攻防能力到分析能力的战略高地。
知名网络安全专家杜跃进说,2010年末,伊朗核电站遭“震网病毒”攻击而瘫痪,卡巴斯基通过技术研究断定此病毒为美国和以色列所开发;2012年,能够避过100种杀毒软件、具有强大窃密能力的“火焰病毒”在伊朗大肆传播,也被卡巴斯基率先发现。卡巴斯基通过分析证实此病毒与“震网病毒”存在技术关联,并从技术层面指出美国是幕后主使。
“卡巴斯基对‘震网’、‘火焰’等病毒的快速跟进,将美国的攻击行为完整展示于世界面前,为俄罗斯在网络安全和外交层面都争取了主动。”安天实验室首席技术架构师肖新光说,技术实力强大的网络安全公司,在国家网络安全博弈层面,也是一种战略威慑。
民间力量利用不足
反观中国,经过近几年的发展,虽有了以瀚海源、绿盟、安天实验室为代表的大量网络安全公司,但在整体实力上仍与国外巨头不在一个量级,难以实现“攻防对位”。
网络安全专家认为,美国通过安全企业的技术能力,能有效发现、长期跟踪、深度分析其所谓“来自中国的黑客攻击”,并能自圆其说地提供证据链和推理过程。但如果不是斯诺登的出现,证明美国在监控全世界,美国还会继续掌握舆论主导权。
肖新光说,由于奥运安防的带动,中国的网络攻防能力在2008年已大体接近美国。奥运会过后的2008?2013年,受重视程度下降,企业发展明显趋缓,成为中国网络安全行业“失去的5年”。
相反,美国以“火眼”为代表的网络安全公司却在过去5年里快速崛起,将中国网络安全行业远远甩在后面。以前美国的“火眼”公司还购买安天的病毒搜索引擎,而现在“火眼”在这方面的能力已远远超过国内企业。
“没有足够大的产业规模,就难有足够强的安全技术实力。”奇虎360首席技术官谭晓生向《财经国家周刊》记者展示了一组对比鲜明的数字:2013年中国信息安全市场的规模约200亿元,还不如美国赛门铁克一家公司大。美国安全产业规模约占其整个IT产业规模的10%,而这个比例在中国只有2%左右。
重发展而轻安全的普遍现状,使得中国网络安全行业规模小、利润薄,员工待遇不好,难以招到顶尖人才,大量国内顶尖人才被美国网络安全公司重金挖走。
一位网络安全厂商人士告诉《财经国家周刊》记者,美国“火眼”、“曼迪昂特”等网络安全公司核心技术团队的负责人,不乏原来国内公司的顶尖技术人才。
如何引导民间网安力量
如何引导民间网络安全公司作为维护国家网络安全的新抓手,尽快实现与美国等西方国家之间的“攻防对位”,已经成为一个迫切的命题。
奇虎360董事长周鸿指出,美国国防部、海军、空军每年都有大笔订单投入到民营网络安全公司,这种做法值得中国借鉴。
杜跃进认为,目前中国信息安全行业整体赢利能力偏弱,没有足够的利润投入深层次的技术研发。可借鉴印度对软件行业的扶持政策,推出诸如“免税10年”这样积极的、导向性明显的产业政策。
上海安言信息科技有限公司董事长张耀疆告诉记者,目前政府和国企是网络安全公司最大采购方,但往往“重硬件、轻服务”,经常是买了一堆“盒子”,安全服务却跟不上,网络安全公司也难从本职的安全服务中获利。
另一方面,网络安全行业采用“低价优先”的招标机制。
关键词:影响危害;防御手段;总结
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2012)0510030—02
ARP攻击:ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
1 ARP攻击对计算机网络安全的影响危害
1)随着全球发展信息化的脉搏,我国社会发展也朝着信息化、网络化、数字化的方向迈进。人类将通信技术与计算技术进行有机结合,取得了计算机网络信息化的初步建立,通过人们近几十年对计算机网络的应用、完善、加强,如今计算机网络在先进的设备支持下取得了进一步完善的成果。在对计算机网络应用的过程中,人们发现这种通讯和资源共享的技术,提高了人们社会生活中的工作效率,由此计算机网络在全球范围内普及开来。
2)当人们对计算机网络的青睐程度与日剧增的时候,网络信息安全成了我们不得不面对的问题。ARP攻击,就是威胁计算机网络安全的“凶手”之一,它常常盗窃IP地址,造成计算机功能和计算机网络侵害。在过去的ARP攻击的案例中,企业由于ARP攻击,造成直接经济损失的案例不胜枚举。
3)要保障计算机网络的安全、稳定、高效,我们就要对ARP攻击进行技术上的防范,但是要保证技术防范措施的科学合理、有效,这就要求我们要对ARP攻击本身有着系统详细的了解。
①计算机网络中,两台计算机的信息传输,实际上是一种包含开始标志和结束标志以及信息内容和要信息发送路径(MAC)的帧传输。
②ARP攻击,就是针对ARP协议进行转换,将原有的协议内容伪造成第二层MAC地址。通过伪造IP地址和MAC实现ARP欺骗,并发送大量的ARP通信信息,将通信网络阻塞。从而达到对计算机网络进行攻击的目的。
4)因为ARP攻击,对计算机网络安全的威胁极大,所以人们XffARP攻击都极为重视,也一直在摸索这防御ARP攻击的有效途径,但是传统的防御手段对ARP攻击却束手无策者主要因为以下几点原因:
(见右表)
2 计算机网络防御ARP攻击的防御手段
进一步加强计算机网络的安全性,提高计算机网络抵御ARP攻击的能力,成了我们计算机网络发展亟待解决的问题。强化计算机网络的防御能力,降低ARP对计算机网络的损害,要求我们应该在以下几点进行注意:
2.1 加强正确判断计算机网络是否受ARP攻击的能力
及时、有效、正确的判断出局域网络内部,是否存在ARP攻击,是降低ARP对网络攻击的有效途径。加强对局域网络内是否存在ARP攻击,要求我们要定时对局域网进行检测,要求计算机网络管理员,一旦发现网络状态异样,就必须进入MS-DOS,验查局域网内的所有IP地址中的MAC地址中的内容。通过比对找出局域网内部受到攻击的计算机,并将其锁定。
2.2 加强对ARP攻击的防御能力
2.2.1 对ARP攻击的初级防御
1)一般情况下,我们针对ARP攻击可以采取重新启动计算机的方法,使ARP的攻击环境失去,降低ARP的攻击能力。
2)当发现ARP攻击,我们也可以采用复位网络设备的方法,降低ARP的攻击能力。
3)当发现ARP攻击,我们也可以采用禁止计算机的网卡设备运行,降低ARP攻击的能力。
虽然以上方法,都可以起到减低ARP攻击,对计算机网络的侵害程度。但是以上三种方法均不能消除ARP攻击,给计算机网络带来的故障。
2.2.2 对ARP攻击的高级防御
1)保护计算及网络不受ARP威胁的双向绑定地址方式。通过上文的叙述,我们可以了解,ARP攻击目的的实现,是以伪造IP地址和MAC地址实现的,所以只要我们将网络信任关系的建立从传统的IP基础,或者是MAC基础,进行统一实现IP地址和MAC地址的双向绑定,实现计算机网络的真正无懈可击。
2)注册表中设置禁止TCMP重定向报文和响应ICMP路由通告报文。
2.3 加强防火墙对ARP的攻击能力
防火墙技术,是计算机网络抵御外来侵害的主要手段。针对ARP攻击对计算机网络的伤害,我们可以针对ARP攻击,设计出专门针对ARP攻击的防火墙技术。ARP放火墙技术,主要完成的是核实网关地址的合法性的任务,将合法的网关MAC接入,不合法的一律禁止接入,这样就在源头上切断了ARP攻击的传播。
3 总结
关键词:计算机;网络安全;ARP攻击
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2017)02-0226-01
伴随着改革开放的进一步深化,我们国家在进入到二十一世纪之后,综合国力有了显著的提升。无论是经济发展还是科技发展,在新时代的背景之下都取得了很大的进步。随着人们对于网络依赖性的逐渐增强,网络安全问题也成成为了当下社会各界普遍关注的一个问题。但是网络安全问题一直都没有得到很好的解决。因此,对计算机网络安全下防ARP攻击研究有着鲜明的现实意义。
1 链路层攻击
链路层在实际过程当中,我们通常也会将其称作数据链路层等,其主要内容将会包括操作系统当中的设备驱动及与计算机相对应的网络接口。而ARP协议就是链路层当中的一个协议内容,它与逆地址解析协议共同构成了链路层网络接口的两大特殊协议。而这两大特殊的协议主要的存在功能为用来转换IP层与网络接口层的使用地址。
就ARP协议来说,我们可以简单的将其基本的工作原理进行如下的概括:在网络大环境当中,如果需要对以太网当中的数据包进行传输时,就需要知道传输目标的主机MAC地址。而数据源主机在对数据进行传的过程当中将会对自身的ARP协议进行检查,检查的主要内容为自身内部的ARP协议当中是否存在目标主机的MAC地址,如果存在的话那么就可以进行直接的传输。当网络当中所以主机接收到这一数据包之后,都将会把数据包中的地址与自身地址进行比对,如果相同那么就会进行进一步的传输,如果不同则将会被自动忽略[1]。而存在的网络攻击就是利用以上的ARP基本原理来实现的。其基本的攻击类型分为两个方面:
1.1 ARP广播攻击
ARP广播攻击在实际当中也通常被称为 ARP扫描攻击或是ARP请求风暴。这种网络攻击手段其基本的表现方式可能仅仅是本地网段当中出现了大量请求的ARP广播包,然后对本地网段当中的所有主机进行扫描,最终大量的ARP广播包将会占据大量的网络宽带资源。但是这实际上是黑客的一种攻击行为,可能是黑客在网络发送了大量的虚假目标主机IP地 址,假的MAC地址的ARP请求,从而产生的大量数据包,导致了ARP 请求你溢出。通过这拥姆绞骄涂梢越原有的合法ARP挤出,最终让原本的合法目标主机MAC地址成为了新的MAC地址,同时使大量的主机产生了大量的ARP请求[2]。
1.2 ARP欺骗攻击
在ARP当中,其实并不是只有在经过了实际的请求之后才可以接受ARP的应答。也可以忽略请求直接接受ARP的应答。而当计算机接收到了ARP的应答数据之后,就会对本地的ARP内容进行更新、然后将问答过程当中的IP地址与MAC地址存入到计算机当中。所以在实际的应用过程当中如果有一个人发送出一个错误的网络应答数据包,那么就会影响整个网络环境[3]。
2 ARP攻击防治方法
当出现ARP攻击的时候,具体的解决方法如下:第一步,需要使用者记住网关的实际IP地址与MAC地址,以此为基础为以后的二者绑定做准备。而对于网关的正确IP地址与MAC地址的获取主要有以下几个途径:一方面可以向网管人员询问,另一方面是在计算机正常上网过程当中进行查询,然后记录IP地址与MAC地址。第二步,当发现MAC地址存在冲突之后可以先利用arp-d命令来清除计算机当中的ARP缓存。如果病毒持续攻击网络,那么就需要静态绑定IP-MAC。也可以通过防火墙当中水所提供的静态绑定规则进行操作。第三,如果病毒不断的攻击网关,并且致使网关的IP-MAC静态绑定都无法操作,那么就应该先找到病毒主机,然后将其进行断网杀毒,只有这样才可以很好的保证网段内其它机器都可以进行正常的上网操作[4]。
3 结语
随着现阶段的人们对于网络的依赖性越来越高,所以网络安全问题随之产生。为了可以更好的维护网络安全与用户的使用体验,就需要对现存的网络安全问题进行深入的研究的。以便可以寻找到解决网络安全问题的方法。就计算机网络安全来说,它是一个较为综合的课题。其内部将会涉及到网络安全技术、网路安全管理、网络安全维护等多个方面。因为ARP协议的设定时间较早,所以存在着很大的局限性。应该结合网络安全大背景,对ARP协议进行从新的规划,以增强其安全性。
参考文献
[1]徐林.论计算机网络安全的防ARP攻击的安全策略[J].计算机光盘软件与应用,2013,17:164+166.
[2]朱秀娟,叶娜,罗U新.局域网ARP欺骗的工作原理与防范策略[J].电子技术与软件工程,2014,23:21.
随着网络的开放性、共享性及互联程度的扩大,特别是Internet网的出现,网络的重要性和对社会的影响也越来越大。随着网络上各种新业务的兴起,比如电子商务(Electronic Commerce)、电子现金(Electronic Cash)、数字货币(Digital Cash)、网络银行(Network Bank)等的兴起,以及各种专用网(比如金融网、科研网等)的建设,使得安全问题显得越来越重要。因此对网络安全技术的研究成为现在计算机和通信界的一个热点,并且成为信息科学的一个重要研究领域,正日益受到人们的关注。
我国的信息化进程虽然刚刚起步,但是发展迅速,网络已经渗透到国民经济的各个领域,渗透到了我们工作和生活的方方面面。在短短的几年时间里,也发生了多起针对、利用计算机网络进行犯罪的案件,给国家、企业和个人造成了重大的经济损失和危害,特别是具有行业特征(例如金融部门等)的犯罪,更是令人触目惊心。面对如此严重危害计算机网络的种种威胁,必须采取有力的措施来保证计算机网络的安全。但是现有的计算机网络大多数在建设之初都忽略了安全问题,即使考虑了安全,也只是把安全机制建立在物理安全机制上,随着网络的互联程度的扩大,这种安全机制对于网络环境来讲形同虚设。另外,目前网络上使用的协议,比如TCP/IP协议,在制订之初也没有把安全考虑在内,所以没有安全可言。TCP/IP协议中存在很多的安全问题,根本不能满足网络安全要求。开放性和资源共享是计算机网络安全问题的主要根源,它的安全性主要依赖于加密、网络用户身份鉴别、存取控制策略等技术手段。
面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,一种全新安全防护防范理念的网络安全技术“第五代网络隔离技术"应运而生。网络隔离技术的目标是确保把有害的攻击隔离在可信网络之外和保证可信网络内部信息不外泄的前提下完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的,由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(Protocol Isolation)。隔离概念的出现,是为了保护高安全度网络环境的情况下产生的;隔离产品的大量出现,也是经历了五代隔离技术不断的实践和理论相结合后得来的。
第五代隔离技术的出现,是在对市场上网络隔离产品和高安全度网需求的详细分析情况下产生的,它不仅很好地解决了第三代和第四代很难解决的速度瓶颈问题,并且先进的安全理念和设计思路明显地提升了产品的安全功能,是一种创新的隔离防护手段。第五代隔离技术的实现原理是通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术进行不同安全级别网络之间的数据交换,彻底阻断了网络间的直接TCP/IP连接,同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全可控,杜绝了由于操作系统和网络协议自身的漏洞带来的安全风险。
北京盖特佳信息安全技术有限公司的研发人员最早从1999年就开始对网络隔离技术的研究, 经历了从串口、并口到USB的研发过程。在实践中发现,要更安全地完成协议隔离,靠不可路由的协议虽然达到了一定的安全度,但由于像串口、并口和USB等都为通用设备,IPX/SPX和NetBEUI等都为常见协议,都有规范的接口,安全强度仍然不够高。为此,研发人员提出了用专用硬件通信和专有安全协议的全新理念,虽然增加了研发难度,但明显地提高了系统的抗攻击能力,有更强的控制能力,并最终研发出了“网杰安全隔离与信息交换系统”。
[关键词] 电子商务网络攻击防范技术
一、电子商务
电子商务(EC)是英文“Electronic Commerce”的中译文。电子商务指的是通过简单、快捷、低成本的电子通信方式,买卖双方不谋面地进行的各种商务活动。由于电子商务拥有巨大的商机,从传统产业到专业网站都对开展电子商务有着十分浓厚的兴趣,电子商务热潮已经在全世界范围内兴起。电子商务内容包括两个方面:一是电子方式。不仅指互联网,还包括其他各种电子工具。二是商务活动。主要指的是产品及服务的销售、贸易和交易活动;电子化的对象是针对整个商务的交易过程,涉及信息流、商流、资金流和物流四个方面。
二、电子商务网络攻击的主要形式
1.截获或窃取信息
攻击者通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过网关和路由器时截获数据等方式,获取传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,推出诸如消费者的银行账号、密码,以及企业的商业机密等有用信息。
2.违反授权原则
一个被授权进入系统做某件事的用户,在系统中做未经授权的其他事情。
3.拒绝服务
可以导致合法接入信息、业务或其他资源受阻。
4.中断
破坏系统中的硬件、线路、文件系统等,使系统不能正常工作,破译信息和网络资源。
5.计算机病毒
计算机病毒增长速度已远远超过计算机本身的发展速度,计算机病毒的破坏性越来越大,传播速度也越来越快,计算机病毒已成为电子商务发展的重大障碍之一。
三、电子商务的重要安全防范技术
1.防火墙(Firewall)技术
(1)防火墙的概念:是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。防火墙从本质上说是一种保护装置,用来保护网络数据和资源。防火墙是Internet上广泛应用的一种安全措施,它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙技术是目前最为广泛使用的网络安全技术之一,防火墙技术也日趋成熟。
(2)防火墙的基本准则。①一切未被允许的就是禁止的;②一切未被禁止的就是允许的。
(3)防火墙的作用。所有来自Internet的信息或从内部网络发出的信息都必须穿过防火墙,因此,防火墙能够确保诸如电子邮件、文件传输、远程登录以及特定系统间信息交换的安全。防火墙可用于多个目的:限定人们从一个特别的节点进入;防止入侵者接近你的防御设施;限定人们从一个特别的节点离开;有效地阻止破坏者对计算机系统进行破坏。
2.数字签名(Digital Signature)技术
(1)数字签名技术的概念。数字签名技术是在传输的数据信息里附加一些特定的数据或对数据信息作密码变换,这种附加数据或密码变换使接收方能确认信息的真正来源和完整性,并且发送方事后不能否认发送的信息,而接收方或非法者不能伪造或篡改发送方的信息。数字签名类似于手工签名,是手工签名的数字实现。
(2)数字签名的基本准则。①接收者能够核实发送者对报文的签名;②接收者不能伪造对报文的签名;③发送者事后不能抵赖对报文的签名。
(3)数字签名的方法。①对整体消息的签名:消息经过密码变换的被签字的消息整体;②对消息摘要的签名:附加在被签字消息之后或某一特定位置上的一段签字图样;③确定性数字签名:其明文与密文一一对应,对于一特定消息的签名不变化;④随机化的或概率式数字签名:对同一消息的签字是随机变化的,如基于离散对数的ElGamal数字签名算法。
3.数据加密技术
(1)数据加密技术的几个概念。通讯的保密性、真实性和完整性可以通过对穿过公共网络的数据进行加密来实现。数据加密是转换数据,给数据加密的过程。数据加密技术是研究对数据进行加密的技术。①密码:是一组含有参数k的变换E。设已知数据信息(明文)m,通过变换EK得数,据信息(密文)c,即:c=EK (m)。以上变换过程称之为加密,参数k称为密钥。被变换的数据信息(m)叫做明文;变换得到的数据信息叫做密文。②数据加密:把明文变换成密文的过程。③解密:把密文还原成明文的过程。
关键词:计算机;网络安全;防火墙技术
中图分类号:TP393.08
由于计算机的应用,推进网络信息的进步,社会加强对计算机网络的应用力度,增加网络安全维护的压力。根据计算机网络的应用环境,充分发挥防火墙技术的优势,保障计算机网络资源的安全价值。防火墙技术的更新速度比较快,完全适应于现代计算机网络的发展,表现出可靠优势,为计算机网络运行提供安全保护的渠道。防火墙技术在计算机网络安全中得到广泛应用。
1 分析防火墙技术
防火墙技术的原理:按照预设条件监控计算机网络内的流通信息,对流通信息执行授权和限制服务,主动记录关联信息,分析信息的具体来源,明确发生在网络系统内的每一项交互信息,预防外部攻击。
防火墙技术的属性:(1)筛选安全防护策略,确保安全策略能够通过防火墙的防护体系;(2)完整记录信息活动,检测攻击行为,及时提供报警和限制服务;(3)容纳全部信息,维护整体计算机网络。
2 计算机网络系统的安全攻击
计算机网络系统位于信息环境中,网络遭遇的安全攻击属于防火墙技术重点防护的内容。因此,分析计算机网络系统的安全攻击,如下:
2.1 IP攻击
攻击者选择攻击目标群,设置IP攻击路径。首先攻击者向目标主机发送安全信息,获取主机信任,锁定攻击目标,通过信息模式发送虚假IP,当IP欺骗计算机网络安全的保护措施后,虚假IP转化为多项攻击行为,读取用户信息,篡改服务项目,同时安置在用户难以发现的位置,准备随时进行非法攻击。
2.2 拒绝服务
拒绝服务的攻击利用系统漏洞,攻击者向计算机发送攻击数据包,导致主机瘫痪,不能提供任何网络服务[1]。拒绝服务的攻击具备毁灭性特点,攻击者不定时、不定向的发送攻击数据包,计算机无法承担高负荷的数据存储,快速进入停滞或休眠状态,即使用户发送服务请求,计算机因失去服务能力,不能处理用户请求,完全陷入拒绝服务的状态,此时服务器处于正常接收状态,用户只能觉察到服务器不工作,实质已经呈现被攻击状态,丧失服务能力。
2.3 端口攻击
计算机包含多项端口,如:远程、协议、共享等端口,为计算机系统运行提供端口服务。用户并未意识到端口的攻击影响,针对比较常用的端口实行防火墙处理,其余均未实行防护措施。计算机在投入运行时,大部分端口处于开放状态,为攻击者提供硬性攻击路径,攻击木马在端口处的攻击处于零防御状态,所以用户需要关闭不常用端口,切断攻击路径,同时利用防火墙技术检测,防止遗漏端口保护。
2.4 程序攻击
计算机网络运行程序起初设计时,为满足功能需求,采用辅助程序,被称为“后门”,辅助程序具有通道特性,在程序设计完成后需要关闭,但是编程人员并没有关闭辅助程序,攻击者攻击某项运行程序时,首先检测是否留有后门,一旦检测到很容易攻入程序内部,强力毁坏计算机文件、数据。辅助程序是计算机网络运行的安全隐患,必须采用恰当的防火墙技术,才可避免程序攻击。
3 防火墙技术在计算机网络安全中的应用
防火墙技术主要隔离计算机网络的内网与外网,形成稳定的保护途径,有效识别外部攻击,具体分析如下:
3.1 服务器的应用
服务器是防火墙技术的一类,服务器为网络系统提供服务,代替真实网络完成信息交互[2]。例如:计算机网络信息由内网传输到外网时,自身携带IP信息,如果IP被外网攻击者解析并跟踪,很容易将病毒或木马带入内网,病毒攻击内网后窃取数据,利用服务器,为交互信息提供虚拟的IP,以此隐藏真实IP,外部攻击者只能解析虚拟IP,不会获取任何真实信息,保护内网信息。服务器起到中转作用,控制两网信息的交互过程。服务器在账号管理、信息验证等方面具有明显的应用优势,在安全性能方面要求较高,满足计算机网络的安全需求。服务器的构建比较严谨,必须在应用网关的条件下,才能实现信息保护,所以此类防火墙技术虽然防护能力高,但是运用复杂,用户使用时,最主要的是通过网关提供稳定的网络性能,营造优质的网络保护环境。
3.2 包过滤技术的应用
包过滤技术具有信息选择的特点,此类技术获取传输信息后比对原有的安全注册表,判断传输信息是否安全。以网络传输的目的IP为例,分析包过滤技术的应用[3]。包过滤技术主动获取传输信息的目的IP,解析目的IP的数据包,数据包内包含目的IP的源信息,能够作为标志信息,包过滤技术将数据包与用户安全注册表进行对比,识别数据内是否含有攻击信息,确保安全后执行数据传输任务。包过滤技术将计算机内、外网分为两类路径,控制由内到外的信息传输,在由外到内的传输过程内,不仅发挥控制作用,还会提供限制功能,包过滤技术既可以应用在计算机主机上,又可以应用在路由器上,所以包过滤技术又分为开放、封闭两种应用方式,主要根据计算机网络安全的实际情况选择,提供对应服务。包过滤技术受到端口限制并不能实现全网保护,所以兼容能力偏低。
3.3 复合技术的应用
复合技术体现综合防护的优势,防火墙融合和包过滤两类技术,体现更稳定的防护方式,弥补防火墙技术的不足之处。基于与包过滤的参与下,防火墙技术逐步形成系统性的保护类型,保障防火墙技术的灵活性[4]。目前,防火墙技术表现出混合特性,复合体现与包过滤的双向优势,最主要的是以此两类技术为主,融入多项安全技术,结合分析计算机网络安全的运行实际,确保防火墙技术在计算机网络受到攻击危险时,可以快速提供防御服务,体现防火墙技术的策略性。复合技术为计算机网络安全提供多级防御,防止外网攻击,主动监测内网信息。复合防护方式有:(1)提供认证机制,确保网络交互的所有信息处于安全约束的状态,形成动态过滤的防护方式;(2)主动隐藏内部信息,形成智能化的感应方式,一旦出现网络攻击,立即采取报警提示;(3)加强交互保护的能力,发挥复合技术的优点,有利于提升防护价值,确保实时维护。
4 结束语
计算机网络应用规模逐步扩大,促使网络运行面临严重的安全问题,科学利用防火墙技术,解决计算机网络中的安全问题,有效保护网络安全。防火墙技术在计算机网络安全发展的过程中,体现出变革与更新特性,实时保护计算机网络系统,避免计算机遭遇外网攻击,确保内网环境的安全。由此可见:防火墙技术在计算机网络安全中占据重要地位。
参考文献:
[1]防火墙技术在网络安全中的应用[J].科技资讯,2012(09):23.
[2]网络安全与防火墙技术的研究[J].网友世界,2011(25):13-15.
[3]浅析防火墙技术在网络安全中的应用[J].云教育,2013(14):112.
免责声明:以上文章内容均来源于本站老师原创或网友上传,不代表本站观点,与本站立场无关,仅供学习和参考。本站不是任何杂志的官方网站,直投稿件和出版请联系出版社。
