论文部分内容阅读
摘 要 随着计算机网络的高速发展和普遍使用,计算机网络提供给我们生活各种资源的同时也存留了许多安全隐患,安全是网络正常运行的必要因素,当然不仅仅是一方面的安全,它还包括了网络信息的整体安全,所以,全方位保护是必须的。使用简单、高速快捷、多网合一、安全保密便是未来的网络技术的特点。如果按网络的组建规模和延伸范围来划分,计算机网络可分为局域网、城域网、广域网。文章就局域网技术在目前发展基础上,简要介绍局域网,分析当前局域网网络安全的形式和面临的种种威胁与问题,并且研究网络安全防范的具体措施和相关的技术,说明了当前在我们生活中局域网网络安全的重要性。
关键词 局域网;网络;安全;网络信息
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)22-0117-02
1 局域网中常见的安全威胁
对于网络安全可以定义为通过保护网络系统硬件、软件和系统中的各种数据,以防止偶然或者故意的恶劣伤害行为导致网络系统受到改动、泄露和破坏,只有网络服务正常不间断的运行才能促进安全。就其本质而言,网络安全也被称为是网络信息安全。
1)计算机病毒及恶意代码威胁。一些网络使用者没有及时安装杀毒软件以及进行系统补丁的安装的习惯,或者不及时更新病毒库,这些行为都会使得计算机网络深受病毒侵略。而许多网络寄生的软件大都是抓住该缺陷来入侵计算机系统的。这些寄生的犯罪软件在自己寄生的文件中注入新的代码也可以修改磁盘上现有的软件。近几年来,犯罪软件(Crime Software)逐渐增多,寄生软件已隐后,成为犯罪软件的助手。
2)由局域网内部带来的安全威胁。内部管理员泄露传播给他人以重要内部信息,这些重要的信息包括管理员口令以及网络构造等;而有的员工则利用对服务器、部分程序、脚本以及系统的缺点等戏弄网络,甚至破坏网络。误入系统数据库乱删或者泄露数据信息等都是危害局域网内部网络安全的潜在隐患。
3)由互联网带来的安全威胁。互联网和局域网是相互连接的关系。由于互联网具有开放、自由和国际化的特点,所以局域网存在着很大的安全威胁。当局域网的内部或者外部缺乏安全保护措施时,互联网对局域网的黑客攻击是在所难免的。一些黑客可以根据系统的类别、IP地址、用户名口令以及TCP端口号等主要信息进行操作,并通过带有攻击性的软件实施攻击。因为这些黑客具有嗅探程序测评、扫描网络和计算机系统潜在的安全隐患的能力。部分黑客还能通过监听方式获取网络使用者的用户名和口令等信息,更冒充身份登录网络偷取数据。更有甚者以发送大型数据的方式攻击网络服务器,给网络服务器带来更大的压力,终止网络服务,造成瘫痪现象。
2 网络安全的防护措施
2.1 防火墙
2.1.1 防火墙系统构造
1)双重宿主主机体系结构。在双重宿主主机的基础上建立双重宿主主机系统构造,包括至少两个的网络接口。所以该主机具有和网络接口相关联的路由器的功能,可以从某个网络把IP数据包发送到其他网络但是如果是防火墙系统构造的话则不能通过该方式发送。因此IP数据包的发送方式并不只是简单的从外部发送到内部。外部和内部的两个网络之间不能相互联系,但可以和双重宿主主机联系,只有通过双重宿主主机的控制和过滤作用才能进行联系和通信。
2)被屏蔽的主机系统构造。在双重宿主机系统构造中,其防火墙并没有用到路由器。只有在被屏蔽的主机系统构造中才用到路由器,该路由器具有隔离内部和外部网络的作用。通过数据包的过滤功能能够提供类似杜绝直接连接数据包而不通过代理服务器的作用。在该系统结构中,主要包括了互联网的主机可以和内部网络系统相连的堡垒主机。通过堡垒主机外部的网络系统才能正常访问内部系统。因此,保护堡垒主机的安全是最关键的措施。而对于数据包而言,它可以堡垒主机和外部空间相连,值得注意的是“可允许连接”是根据自身站点的安全方案而决定。
3)被屏蔽子网的系统构造。对于被屏蔽子网络结构额外的安全层是被添加到被屏蔽主机的系统构造中的,也就是说内部和外部网络的隔离对周边添加网络而言并不困难。作为子网络系统构造中最简易的方式,屏蔽路由器可以和周边网络相连接。内部网络和外部网络二者各有一个,所以在内部和外部网络中自然而然的形成一个隔离的地方。因此只有顺利通过两个路由器才能阻止入侵者的攻击,如果不幸仍然找到入侵也还有堡垒主机最后一个保障可以信赖。
2.1.2 防火墙的功能
1)数据包过滤功能。对于数据包过滤功能,可以理解为在网络适当位置中根据体系内部设置的过滤规则对数据包进行有目的有选择的通过,如果和数据包过滤规则不相符则该数据将从数据流中被淘汰,只有那些和过滤规则相符合的数据包才能受到相对的网络接口的接纳。数据包过滤功能是防火墙中最常见也是最常用的功能技术。运用该方法不但可以阻止主机和网络内部相连,还能控制内部员工访问任何站点,这是治理有害网络的可行措施。OSI参考模型的传输部分和网络层是数据包过滤型防火墙的工作平台,过滤型防火墙具有对数据包来源、目标地址、端口号以及协议种类等判定以确定是否通过,只有和过滤条件相符的数据包才能受到相对网络接口的接纳,反之和过滤条件不相符的数据包则会被淘汰。
2)网络地址转换技术。网络地址转换可以定义为将IP地址转换为临时的、注册的和外部的地址标准的一种方法。然而如果网络用户没有将网络中的全部计算机进行IP地址的注册,将难以进行网络地址转换技术。在内部网络的环境下使用安全网卡对外部网络进行访问时,系统将会通过外部源头地址以及起步端口的映射来伪装地址,使得它和外部相连,所以在一定程度上就对外部隐藏了真实的内部网络地址。而在外部网络如果使用不安全的网络进行内部网络访问时,它不了解内部网络的具体连接状况,只依靠一个具有开放性的IP地址和端口进行访问请求。防火墙判定该访问是否符合安全条件可不可以接受主要是根据原本定义好的映射规则。而相对于用户而言,网络地址转换的整个流程是没有隐藏的,用户只要正常操作而不用一直设置。 3)代理技术。在应用层时可以运用代理技术来促进防火墙功能的实现,而代理服务器的作用就是连接中装内部网络向外部网络的申请。
内部用户的服务要求代理要倾听,在某个被连接的情况下,首先要验证身份,同时根据安全措施确定中转连接命令是否实施。如果要进行转发,则代理服务器就会通过真正的服务器发送要求,而服务器的工作就是将代理服务器收到的客户机的数据信息返回到内部网络。
值得一提的是,通过代理作用,外部网络可以访问内部。在外部网要进行服务的情况下,代理服务器首先也要验证用户的身份,只有用户合法才能将服务请求转发到内部网络中的一个主机中。整个过程来说,应用代理可以不停的监督用户的操作,阻止和干涉用户的非法操作,并且将其一一记录下,而那些非法的语言也会遭到访问拒绝。
2.2 入侵检测系统
1)关于入侵检测系统。入侵检测主要是检测用户的行为、安全日志或者审计信息数据以及从别的网络上获取的信息。其主要目的是杜绝闯入系统的情况发生。入侵检测的技术可以看作是对计算机系统安全的一种保障,是装备用来发现和报告系统中存在的未经授权或者不正常情况的技术,也可以认为是检测计算机网络中违背安全措施的技术。入侵检测的软件和硬件是整个系统的主要组成部分。
2)入侵检测原理。和其他检测技术原理一样,入侵检测原理也是要在某组数据中检测得出和某一特征相符的数据。因为,在攻击的过程中,攻击者会遗留下痕迹,通过这些混在系统运行中的痕迹,入侵检测系统可以轻而易举的发现并提出相应的警告提示。
入侵检测技术的首要任务就是收集信息资料,其资料包括网络、系统、用户活动行为、数据等情况。这些信息都比如有日记文件、流量、不正常的目录和改变的文件、不正常的程序等,是通过在不同网段的传感器和不同的主机的来收集的。
第二步分析收集到的信息,将收集到的信息内容送到驻留在传感器中的检测引擎。一般通过一定模式来匹配、统计,完整的分析方式来分析。如果某个误用模式被检测到则会立即给控制台发生相应的警告和提示。
参考文献
[1]袁津生,吴砚农.计算机网络安全基础[M].北京:人民邮电出版社,2012:67-110.
[2]徐庆等.深析阜新矿业集团局域网的安全控制与病毒防治策略[J].科技风,2010.
[3]马江涛.局域网安全及防范策略[J].同煤科技,2010.
[4]庞铁明等.浅谈网络安全中的防火墙技术[J].电脑学习,2010.
作者简介
向光晖(1979-),男,四川西充人,工程师,东方电气集团东方汽轮机有限公司信息中心,研究方向:网络应用。
关键词 局域网;网络;安全;网络信息
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)22-0117-02
1 局域网中常见的安全威胁
对于网络安全可以定义为通过保护网络系统硬件、软件和系统中的各种数据,以防止偶然或者故意的恶劣伤害行为导致网络系统受到改动、泄露和破坏,只有网络服务正常不间断的运行才能促进安全。就其本质而言,网络安全也被称为是网络信息安全。
1)计算机病毒及恶意代码威胁。一些网络使用者没有及时安装杀毒软件以及进行系统补丁的安装的习惯,或者不及时更新病毒库,这些行为都会使得计算机网络深受病毒侵略。而许多网络寄生的软件大都是抓住该缺陷来入侵计算机系统的。这些寄生的犯罪软件在自己寄生的文件中注入新的代码也可以修改磁盘上现有的软件。近几年来,犯罪软件(Crime Software)逐渐增多,寄生软件已隐后,成为犯罪软件的助手。
2)由局域网内部带来的安全威胁。内部管理员泄露传播给他人以重要内部信息,这些重要的信息包括管理员口令以及网络构造等;而有的员工则利用对服务器、部分程序、脚本以及系统的缺点等戏弄网络,甚至破坏网络。误入系统数据库乱删或者泄露数据信息等都是危害局域网内部网络安全的潜在隐患。
3)由互联网带来的安全威胁。互联网和局域网是相互连接的关系。由于互联网具有开放、自由和国际化的特点,所以局域网存在着很大的安全威胁。当局域网的内部或者外部缺乏安全保护措施时,互联网对局域网的黑客攻击是在所难免的。一些黑客可以根据系统的类别、IP地址、用户名口令以及TCP端口号等主要信息进行操作,并通过带有攻击性的软件实施攻击。因为这些黑客具有嗅探程序测评、扫描网络和计算机系统潜在的安全隐患的能力。部分黑客还能通过监听方式获取网络使用者的用户名和口令等信息,更冒充身份登录网络偷取数据。更有甚者以发送大型数据的方式攻击网络服务器,给网络服务器带来更大的压力,终止网络服务,造成瘫痪现象。
2 网络安全的防护措施
2.1 防火墙
2.1.1 防火墙系统构造
1)双重宿主主机体系结构。在双重宿主主机的基础上建立双重宿主主机系统构造,包括至少两个的网络接口。所以该主机具有和网络接口相关联的路由器的功能,可以从某个网络把IP数据包发送到其他网络但是如果是防火墙系统构造的话则不能通过该方式发送。因此IP数据包的发送方式并不只是简单的从外部发送到内部。外部和内部的两个网络之间不能相互联系,但可以和双重宿主主机联系,只有通过双重宿主主机的控制和过滤作用才能进行联系和通信。
2)被屏蔽的主机系统构造。在双重宿主机系统构造中,其防火墙并没有用到路由器。只有在被屏蔽的主机系统构造中才用到路由器,该路由器具有隔离内部和外部网络的作用。通过数据包的过滤功能能够提供类似杜绝直接连接数据包而不通过代理服务器的作用。在该系统结构中,主要包括了互联网的主机可以和内部网络系统相连的堡垒主机。通过堡垒主机外部的网络系统才能正常访问内部系统。因此,保护堡垒主机的安全是最关键的措施。而对于数据包而言,它可以堡垒主机和外部空间相连,值得注意的是“可允许连接”是根据自身站点的安全方案而决定。
3)被屏蔽子网的系统构造。对于被屏蔽子网络结构额外的安全层是被添加到被屏蔽主机的系统构造中的,也就是说内部和外部网络的隔离对周边添加网络而言并不困难。作为子网络系统构造中最简易的方式,屏蔽路由器可以和周边网络相连接。内部网络和外部网络二者各有一个,所以在内部和外部网络中自然而然的形成一个隔离的地方。因此只有顺利通过两个路由器才能阻止入侵者的攻击,如果不幸仍然找到入侵也还有堡垒主机最后一个保障可以信赖。
2.1.2 防火墙的功能
1)数据包过滤功能。对于数据包过滤功能,可以理解为在网络适当位置中根据体系内部设置的过滤规则对数据包进行有目的有选择的通过,如果和数据包过滤规则不相符则该数据将从数据流中被淘汰,只有那些和过滤规则相符合的数据包才能受到相对的网络接口的接纳。数据包过滤功能是防火墙中最常见也是最常用的功能技术。运用该方法不但可以阻止主机和网络内部相连,还能控制内部员工访问任何站点,这是治理有害网络的可行措施。OSI参考模型的传输部分和网络层是数据包过滤型防火墙的工作平台,过滤型防火墙具有对数据包来源、目标地址、端口号以及协议种类等判定以确定是否通过,只有和过滤条件相符的数据包才能受到相对网络接口的接纳,反之和过滤条件不相符的数据包则会被淘汰。
2)网络地址转换技术。网络地址转换可以定义为将IP地址转换为临时的、注册的和外部的地址标准的一种方法。然而如果网络用户没有将网络中的全部计算机进行IP地址的注册,将难以进行网络地址转换技术。在内部网络的环境下使用安全网卡对外部网络进行访问时,系统将会通过外部源头地址以及起步端口的映射来伪装地址,使得它和外部相连,所以在一定程度上就对外部隐藏了真实的内部网络地址。而在外部网络如果使用不安全的网络进行内部网络访问时,它不了解内部网络的具体连接状况,只依靠一个具有开放性的IP地址和端口进行访问请求。防火墙判定该访问是否符合安全条件可不可以接受主要是根据原本定义好的映射规则。而相对于用户而言,网络地址转换的整个流程是没有隐藏的,用户只要正常操作而不用一直设置。 3)代理技术。在应用层时可以运用代理技术来促进防火墙功能的实现,而代理服务器的作用就是连接中装内部网络向外部网络的申请。
内部用户的服务要求代理要倾听,在某个被连接的情况下,首先要验证身份,同时根据安全措施确定中转连接命令是否实施。如果要进行转发,则代理服务器就会通过真正的服务器发送要求,而服务器的工作就是将代理服务器收到的客户机的数据信息返回到内部网络。
值得一提的是,通过代理作用,外部网络可以访问内部。在外部网要进行服务的情况下,代理服务器首先也要验证用户的身份,只有用户合法才能将服务请求转发到内部网络中的一个主机中。整个过程来说,应用代理可以不停的监督用户的操作,阻止和干涉用户的非法操作,并且将其一一记录下,而那些非法的语言也会遭到访问拒绝。
2.2 入侵检测系统
1)关于入侵检测系统。入侵检测主要是检测用户的行为、安全日志或者审计信息数据以及从别的网络上获取的信息。其主要目的是杜绝闯入系统的情况发生。入侵检测的技术可以看作是对计算机系统安全的一种保障,是装备用来发现和报告系统中存在的未经授权或者不正常情况的技术,也可以认为是检测计算机网络中违背安全措施的技术。入侵检测的软件和硬件是整个系统的主要组成部分。
2)入侵检测原理。和其他检测技术原理一样,入侵检测原理也是要在某组数据中检测得出和某一特征相符的数据。因为,在攻击的过程中,攻击者会遗留下痕迹,通过这些混在系统运行中的痕迹,入侵检测系统可以轻而易举的发现并提出相应的警告提示。
入侵检测技术的首要任务就是收集信息资料,其资料包括网络、系统、用户活动行为、数据等情况。这些信息都比如有日记文件、流量、不正常的目录和改变的文件、不正常的程序等,是通过在不同网段的传感器和不同的主机的来收集的。
第二步分析收集到的信息,将收集到的信息内容送到驻留在传感器中的检测引擎。一般通过一定模式来匹配、统计,完整的分析方式来分析。如果某个误用模式被检测到则会立即给控制台发生相应的警告和提示。
参考文献
[1]袁津生,吴砚农.计算机网络安全基础[M].北京:人民邮电出版社,2012:67-110.
[2]徐庆等.深析阜新矿业集团局域网的安全控制与病毒防治策略[J].科技风,2010.
[3]马江涛.局域网安全及防范策略[J].同煤科技,2010.
[4]庞铁明等.浅谈网络安全中的防火墙技术[J].电脑学习,2010.
作者简介
向光晖(1979-),男,四川西充人,工程师,东方电气集团东方汽轮机有限公司信息中心,研究方向:网络应用。