計算機中級職稱論文發(fā)表(2)

計算機中級職稱論文發(fā)表

　　計算機中級職稱論文發(fā)表篇二

　　計算機網(wǎng)絡(luò)安全與防火墻技術(shù)

　　摘要：影響計算機網(wǎng)絡(luò)安全的因素很多。而防火墻是一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施。使用單防火墻和單子網(wǎng)保護多級應(yīng)用系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)。欺騙，，計算機網(wǎng)絡(luò)安全與防火墻技術(shù)。

　　關(guān)鍵詞：計算機網(wǎng)絡(luò)安全，防火墻，單子網(wǎng)，arp欺騙

　　影響計算機網(wǎng)絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無意的;可能是人為的，也可能是非人為的;可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使有。這些因素可以大體分類為：計算機病毒、人為的無意失誤、人為的惡意攻擊、網(wǎng)絡(luò)軟件的缺陷和漏洞、物理安全問題。

　　而防火墻是一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。

　　1. 非法攻擊防火墻的基本“招數(shù)”

　　通常情況下, 有效的攻擊都是從相關(guān)的子網(wǎng)進行的。因為這些網(wǎng)址得到了防火墻的信賴，雖說成功與否尚取決于機遇等其他因素，但對攻擊者而言很值得一試。下面以數(shù)據(jù)包過濾防火墻為例，簡要描述可能的攻擊過程。

　　通常主機A與主機B 的TCP 連接(中間有或無防火墻) 是通過主機A向主機B 提出請求建立起來的，而其間A和B 的確認僅僅根據(jù)由主機A 產(chǎn)生并經(jīng)主機B 驗證的初始序列號ISN。IP 地址欺騙攻擊的第一步是切斷可信賴主機。這樣可以使用TCP 淹沒攻擊(TCP SynFlood Attack)，使得信賴主機處于“自顧不暇”的忙碌狀態(tài),相當于被切斷,這時目標主機會認為信賴主機出現(xiàn)了故障，只能發(fā)出無法建立連接的RST 包，而無暇顧及其他。

　　攻擊者最關(guān)心的是猜測目標主機的ISN。為此，可以利用SMTP的端口(25),通常它是開放的，郵件能夠通過這個端口，與目標主機打開(Open)一個TCP 連接，因而得到它的ISN。在此有效期間，重復(fù)這一過程若干次，以便能夠猜測和確定ISN的產(chǎn)生和變化規(guī)律，這樣就可以使用被切斷的可信賴主機的IP 地址向目標主機發(fā)出連接請求。請求發(fā)出后，目標主機會認為它是TCP 連接的請求者，從而給信賴主機發(fā)送響應(yīng)(包括SYN)，而信賴主機目前仍忙于處理Flood淹沒攻擊產(chǎn)生的“合法”請求，因此目標主機不能得到來自于信賴主機的響應(yīng)?，F(xiàn)在攻擊者發(fā)出回答響應(yīng),并連同預(yù)測的目標主機的ISN一同發(fā)給目標主機，隨著不斷地糾正預(yù)測的ISN，攻擊者最終會與目標主機建立一個會晤。通過這種方式, 攻擊者以合法用戶的身份登錄到目標主機而不需進一步的確認。，arp欺騙。。如果反復(fù)試驗使得目標主機能夠接收對網(wǎng)絡(luò)的ROOT 登錄，那么就可以完全控制整個網(wǎng)絡(luò)。

　　2. 單防火墻和單子網(wǎng)

　　由于不同的資源存在著不同的風(fēng)險程度，所以要基于此來對網(wǎng)絡(luò)資源進行劃分。這里的風(fēng)險包含兩個因素: 資源將被妥協(xié)的可能性和資源本身的敏感性。例如：一個好的Web 服務(wù)器運行CGI 會比僅僅提供靜態(tài)網(wǎng)頁更容易得到用戶的認可，但隨之帶來的卻是Web 服務(wù)器的安全隱患。網(wǎng)絡(luò)管理員在服務(wù)器前端配置防火墻,會減少它全面暴露的風(fēng)險。數(shù)據(jù)庫服務(wù)器中存放有重要數(shù)據(jù),它比Web 服務(wù)器更加敏感,因此需要添加額外的安全保護層。

　　使用單防火墻和單子網(wǎng)保護多級應(yīng)用系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，這里所有的服務(wù)器都被安排在同一個子網(wǎng)，防火墻接在邊界路由器與內(nèi)部網(wǎng)絡(luò)之間，防御來自Internet 的網(wǎng)絡(luò)攻擊。，arp欺騙。。在網(wǎng)絡(luò)使用和基于主機的入侵檢測系統(tǒng)下，服務(wù)器得到了加強和防護，這樣便可以保護應(yīng)用系統(tǒng)免遭攻擊。像這樣的縱向防護技術(shù)在所有堅固的設(shè)計中是非常普遍的，但它們并沒有明顯的顯示在圖表中。

　　在這種設(shè)計方案中，所有服務(wù)器都安排在同一個子網(wǎng)，用防火墻將它們與Internet 隔離，這些不同安全級別的服務(wù)器在子網(wǎng)中受到同等級的安全保護。盡管所有服務(wù)器都在一個子網(wǎng),但網(wǎng)絡(luò)管理員仍然可以將內(nèi)部資源與外部共享資源有效地分離。使用單防火墻和單子網(wǎng)保護服務(wù)器的方案系統(tǒng)造價便宜，而且網(wǎng)絡(luò)管理和維護比較簡單，這是該方案的一個重要優(yōu)點。因此, 當進一步隔離網(wǎng)絡(luò)服務(wù)器并不能從實質(zhì)上降低重要數(shù)據(jù)的安全風(fēng)險時，采用單防火墻和單子網(wǎng)的方案的確是一種經(jīng)濟的選擇。

　　3. 單防火墻和多子網(wǎng)

　　如果遇見適合劃分多個子網(wǎng)的情況，網(wǎng)絡(luò)管理員可以把內(nèi)部網(wǎng)絡(luò)劃分成獨立的子網(wǎng)，不同層的服務(wù)器分別放在不同的子網(wǎng)中，數(shù)據(jù)層服務(wù)器只接受中間層服務(wù)器數(shù)據(jù)查詢時連接的端口，就能有效地提高數(shù)據(jù)層服務(wù)器的安全性，也能夠幫助防御其它類型的攻擊。，arp欺騙。。這時，更適于采用一種更為精巧的網(wǎng)絡(luò)結(jié)構(gòu)———單個防火墻劃分多重子網(wǎng)結(jié)構(gòu)。單個防火墻劃分多重子網(wǎng)的方法就是在一個防火墻上開放多個端口，用該防火墻把整個網(wǎng)絡(luò)劃分成多個子網(wǎng)，每個子網(wǎng)分管應(yīng)用系統(tǒng)的特定的層。管理員能夠在防火墻不同的端口上設(shè)置不同的安全策略。

　　使用單個防火墻分割網(wǎng)絡(luò)是對應(yīng)用系統(tǒng)分層的最經(jīng)濟的一種方法，但它并不是沒有局限性。邏輯上的單個防火墻，即便有冗余的硬件設(shè)備，當用它來加強不同安全風(fēng)險級別的服務(wù)器的安全策略時，如果該防火墻出現(xiàn)危險或錯誤的配置，入侵者就會獲取所有子網(wǎng)包括數(shù)據(jù)層服務(wù)器所在的最敏感網(wǎng)絡(luò)的訪問權(quán)限。而且，該防火墻需要檢測所有子網(wǎng)間的流通數(shù)據(jù)，因此，它會變成網(wǎng)絡(luò)執(zhí)行效率的瓶頸。所以，在資金允許的情況下，我們可以用另一種設(shè)計方案———多個防火墻劃分多個子網(wǎng)的方法，來消除這種缺陷。

　　4.arp欺騙對策

　　各種網(wǎng)絡(luò)安全的對策都是相對的，主要要看網(wǎng)管平時對網(wǎng)絡(luò)安全的重視性了。下面介始一些相應(yīng)的對策：

　　在系統(tǒng)中建立靜態(tài)ARP表，建立后對本身自已系統(tǒng)影響不大的，對網(wǎng)絡(luò)影響較大，破壞了動態(tài)ARP解析過程。，arp欺騙。。靜態(tài)ARP協(xié)議表不會過期的，我們用“arp–d”命令清除ARP表，即手動刪除。，arp欺騙。。但是有的系統(tǒng)的靜態(tài)ARP表項可以被動態(tài)刷新，如Solaris系統(tǒng)，那樣的話依靠靜態(tài)ARP表項并不能對抗ARP欺騙攻擊，相反縱容了ARP欺騙攻擊，因為虛假的靜態(tài)ARP表項不會自動超時消失。，arp欺騙。。 在相對系統(tǒng)中禁止某個網(wǎng)絡(luò)接口做ARP解析(對抗ARP欺騙攻擊)，可以做靜態(tài)ARP協(xié)議設(shè)置(因為對方不會響應(yīng)ARP請求報文)如：arp -sXXX.XXX.XX.X 08-00-20-a8-2e-ac。 在絕大多數(shù)操作系統(tǒng)如：Unix、BSD、NT等，都可以結(jié)合“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP解析”和“使用靜態(tài)ARP表”的設(shè)置來對抗ARP欺騙攻擊。而Linux系統(tǒng)，其靜態(tài)ARP表項不會被動態(tài)刷新，所以不需要“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP解析”即可對抗ARP欺騙攻擊。

　　參考文獻：

　　[1]林曉東，楊義先.網(wǎng)絡(luò)防火技術(shù)[J].電信科學(xué)，1997.

　　[2]龍冬陽.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].廣州:華南理工大學(xué)出版社,2006.

　　[3]常建平,靳慧云,婁梅枝.網(wǎng)絡(luò)安全與計算機犯罪[M].北京:中國人民公安大學(xué)出版社,2002.

　　
看了“計算機中級職稱論文發(fā)表”的人還看：

1.2017年發(fā)表中級職稱論文要求

2.2017上海中級職稱論文要求

3.2017年職稱論文規(guī)定

4.編輯中級職稱論文

5.專業(yè)技術(shù)人員職稱改革探討論文