防火墙和入侵检测论文：基于防火墙和入侵检测的网络安全技术手段

文章源于科技论文发表网：防火墙和入侵检测论文：基于防火墙和入侵检测的网络安全技术手段摘要:随着计算机网络的发展,网络中的安全问题也日趋严重。当越来越多的企业和部门接入互联网络时,对于本企业和部门的内部网络的保护就更加的重要。只要有连通性的网络信息系统就存在网络安全的风险,攻和防之间的力量和手段的对比是在不断变化的。本文从被动防御和主动防御两个方面,结合接入互联网的不同方式,介绍网络安全中的防火墙与入侵检测这两个技术手段。关键词:网络安全防火墙审核入侵检测信息时代的发展,影响着世界的每一个角落。每个人的生活和工作几乎都与计算机密切相关。在速度越来越快的计算机硬件和日益更新的软件背后,网络作为中枢神经把人们联系在了一起。也正是因为网络的出现与发展,使以Internet将我们带入了一个新的网络化时代。但是,随着网络规模和应用的扩大,网络安全技术越来越引起人们的重视,以下从被动防御和主动防御两个方面,介绍几种网络信息安全技术的手段。一、防火墙技术在企业环境中,防火墙不仅仅是单一的设备或软件,而可能是由各种软硬件组件构成的一套系统。堡垒主机,就是防火墙体系中直接与不可信任网络相连接的设备,可以是包过滤防火墙、线路级网关或者应用级网关。文章源于科技论文发表网：常见的防火墙体系架构如下:1、单一路由器的防火墙最简单的防火墙就是用单一的路由器作为防火墙。这种路由器又称屏蔽路由器或包过滤路由器。一台配置了ACL的路由器就已经具备了过滤数据包所需的软件和硬件。路由器可以像ISAServer中的配置包过滤器一样,根据IP地址和TCP或UDP协议的端口号来允许或者拒绝出站入站的数据包。而且,路由器非常适合配置过滤整个IP地址段,要过滤特定的TCP/IP的应用也很容易配置,例如,通过策略可以过滤所有的ICMP数据。但是,用包过滤路由器实现防火墙功能也会带来如下几个缺点:在路由器上需要配置大量的包过滤规则,任何配置上的错误都可能导致安全策略不能正确实施而引发安全危机。这就要求安全管理员精通TCP/IP协议,并具有丰富的经验。大多数的路由器都没有很好的监控和日志功能。一旦有人入侵,也不容易通过审计发现问题。2、单宿主堡垒主机此方案和单一路由器相比,防火墙系统中添加了一台单网卡的堡垒主机,该主机接入到局域网中,路由器可以根据IP地址和端口完成对数据包的过滤,堡垒主机则可以配置成为线路级网关或者应用级网关,也叫做代理服务器。在局域网中可以使用内部地址来编址,利用代理服务器的NAT功能来把内部网络的地址隐藏起来。使用这种防火墙配置的时候需要注意的是,包过滤路由器必须配置文章源于科技论文发表网：为只接收堡垒主机发来的出站数据包,从Internet来的入站数据包也只发到堡垒主机上。这样才能避免内部用户自行修改网关配置,提高了安全等级。3、双宿堡垒主机单宿主的堡垒主机通常只有一块网卡,接入到内部网络中,并没实现物理隔离。如果堡垒主机遭入侵,黑客可以访问到内部网络的任何资源。双宿主堡垒主机使用双网卡实现物理隔离,即一块网卡连接外部网络,一块连接内部网络,克服了单宿主堡垒主机的缺点。在单宿主堡垒主机的模式下,由于没有物理隔离,如果黑客能控制屏蔽路由器,修改路由表,就可以让网络流量绕过堡垒主机直接到达内部计算机。在双宿主堡垒主机模式下,即使修改路由表也无法避开堡垒主机。因为在内部网络和Internet之间的通信必须经过堡垒主机的内部网卡到达外部网卡,没有其他物理的路径可以选择。4、DMZ方案非军事区DMZ(DeMilitarizedZone),就是把需要发布到Internet中服务器放置在单独的子网当中,实现与内部网络和外部网络的物理隔离。通常放置到DMZ的服务器有Web服务器、邮件服务器等。常见DMZ解决方案有三宿主堡垒主机DMZ方案或者背靠背DMZ方案。三宿主堡垒主机DMZ方案,在堡垒主机上安装3块网卡分别接入到局域网、DMZ和Inter-net。背靠背的方式中,需要有两台双网卡的计算机,DMZ区就是在两台堡垒主机之间。DMZ中服务器的IP文章源于科技论文发表网：地址既可以使用公有的IP地址,也可以使用私有的IP地址,在提高了网络安全性的同时,也提高了网络的构建成本。二、入侵检测系统IDS入侵检测就是通过收集和分析计算机网络或计算机系统中的信息流,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。入侵监测系统处于防火墙之后,可对网络活动进行实时监测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续,可以与防火墙系统配合工作。入侵监测系统与系统扫描器不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的,它更关注配置上的漏洞而不是当前进出主机的流量。IDS可扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤主机网卡上的流量,提供实时报警。入侵检测系统在发现入侵后,会及时做出响应。常见的入侵检测系统有两种类型:基于网络的IDS系统和基于主机的IDS系统。(1)基于网络的IDS系统基于网络的架构要求监控网络的计算机的网卡被设置为“混杂模式”,这样,这台计算机就可以侦听到整个网络中所有的数据。基于网络的IDS软件,例如Snort,只需要在一台计算机上安装。IDS系统会扫描并实时监测整个子网内所有的通信。基于网络的IDS系统对黑客的扫描和DoS攻击很有效。但是,在交换网络和ATM网络中,这种模式工作不理想。由于广播数据包不能跨越路由器,文章源于科技论文发表网：因此,基于网络的IDS系统也不能监控跨越路由器的其他子网中的攻击。基于网络的IDS系统对非法登录、木马攻击、账号密码的篡改、日志文件的篡改等攻击行为也不是很有效。(2)基于主机的IDS系统基于主机的IDS系统由Agent、Manager、和UI(UserInterface)3层组建构成。被监控的主机上需要安装Agent,这些代理会读取被监控主机的日志和系统信息。监控这些主机的系统是Manager,Manager发送查询请求给Agent,从而读取被监控的数据。管理员可以通过UI层读取Manager收集到的数据。UI是一个报告系统,可以根据收集到得数据生成统计报告和网络审计报告。Manager和UI层可以在一台主机上,也可以是在不同的主机上。使用基于主机的IDS系统可以减少网络中的流量,因为Manager只需要向Agent查询有用的信息。Manager与Agent之间的通信可以是经过加密和认证的,以保证安全。因为Manager与Agent之间的通信时点对点的方式,因此,在使用交换机的环境下没有问题,无需进行端口“镜像”,也可以跨越路由器监控其他子网中的资源。总之,没有任何一种技术可以单独保证网络的安全,也不能实现网络的绝对安全性。网络安全是一个动态平衡的过程,构建严格的安全策略,强大的安全技术手段和规章制度的紧密结合,是提高网络安全性的重要保证。文章源于科技论文发表网：参考文献:[1]谢希仁.计算机网络(第四版).电子工业出版社.2003.6.[2]李俊宇.信息安全技术基础.冶金工业出版社.2004.12.[3]石淑华.计算机网络安全技术.计算机网络安全技术.2008.12.