学院宿舍网络设计专科设计大学本科毕业论文(5)

主要的植入威胁有：特洛伊木马（Torjan Horse）和陷门。 3、潜在威胁

通过对各种威胁进行分析，可以发现某些特定的威胁可以导致更基本的威胁发生，这些特定威胁称为潜在威胁。例如对于信息泄露这样的一种基本威胁，可以找出以下几种潜在的威胁：

（1）窃听；（2）业务流分析；（3）人员疏忽；（4）媒体清理。

通过调查分析可知，下面几种威胁是最主要的威胁：授权侵犯、假冒、旁路控制、特洛伊木马、陷门和媒体清理等。

5.1.3 网络安全的策略

当安全具体化时，它有一定范围，这个范围便是属于某个组织的处理和通信资源的集合，称为安全区域。在某一个安全区域内，应该有一个关于安全问题的总体目标和规划，这就是安全策略。

以下是几种常见的网络安全策略：（是抽象策略，不是具体策略） （1）最小特权原则。（2）多道防线。（3）阻塞点。（4）最薄弱环节。 （5）失效保护机制。（6）普通参与。（7）防御多样化。

5.2 防火墙技术

防火墙是设备在不同网络或网络安全域之间一系列部件的组合。 防火墙可以分为硬件防火墙和软件防火墙两类。

5.2.1 防火墙的概念

“防火墙”是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互

第 18 页 共 24 页

联网与内部网之间建立起一个安全网关( scurity gateway),从而保护内部网免受非法用户的侵入。 所谓防火墙就是一个能把互联网与内部网隔开的屏障。

5.2.2 防火墙的作用和特性

1、防火墙的作用

（1）防火墙能强化安全策略（防火墙是阻塞点）。

（2）防火墙能有效的记录Internet上的活动。如作日志记录、有报警功能。 （3）防火墙能限制暴露用户点，隐藏内部信息。 （4）防火墙是一个安全策略的检查站。 （5）防火墙有转换地址功能（IP地址）。 2、防火墙的特性

（1）所有内部对外部的通信都必须通过防火墙，反之亦然。 （2）只有按安全策略所定义的授权，通信才允许通过。 （3）防火墙本身是抗入侵的 。

（4）防火墙是网络的要塞点，是达到网络安全目的的有效手段，因此，尽可能将安全措施都集中在这一点上。

（5）防火墙可以强制安全策略的实施。 （6）防火墙不能防范恶意的内部知情者。 （7）防火墙不能防范不通过它的连接。 （8）防火墙不能防御所有的威胁。

（9）防火墙不能防范和消除网络上的PC机的病毒。

5.2.3 实现防火墙的主要技术

1、数据包过滤技术

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用， 网络性能和透明性好，在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

第 19 页 共 24 页

数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击； 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

2、应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。 3、代理服务技术

代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的链接， 由两个终止代理服务器上的链接来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记， 形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

5.2.4 防火墙的体系结构

防火墙的体系结构可分为简单结构和复杂结构。简单结构包括屏蔽路由器结构和双重宿主主机结构；复杂结构包括屏蔽主机体系结构（应用最多）和屏蔽子网体系结构。

特点：此类防火墙结构有两个屏蔽路由器和一个壁垒主机三部分构成。两个路由器运行包过滤技术，主要负责数据的过滤检查。壁垒主机运行代理服务技术，负责将合法数据转发出去。入侵者必须通过内外路由器、壁垒主机三道防线才能进入内部系统。既使壁垒主机被侵害，内部系统仍然是安全的。 优点：安全性很高（三道防线、内部网对外部不可见、代理服务）。 缺点：结构复杂，造价高。

第 20 页 共 24 页

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新高等教育学院宿舍网络设计专科设计大学本科毕业论文(5)全文阅读和word下载服务。