李國賓

提要網(wǎng)絡(luò)安全技術(shù)作為一個獨特的領(lǐng)域,越來越受到全球網(wǎng)絡(luò)建設(shè)者及使用者的關(guān)注,本文主要就網(wǎng)絡(luò)中經(jīng)常受到的網(wǎng)絡(luò)攻擊提出預(yù)防措施。

關(guān)鍵詞:網(wǎng)絡(luò)安全;技術(shù)

中圖分類號:TP31文獻標(biāo)識碼:A

互聯(lián)網(wǎng)的飛速發(fā)展給人們的生產(chǎn)生活帶來了巨大變化,然而網(wǎng)絡(luò)安全技術(shù)作為一個獨特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者及使用者的關(guān)注,本文主要就網(wǎng)絡(luò)中經(jīng)常受到的網(wǎng)絡(luò)攻擊及預(yù)防措施進行論述。

一、常見的網(wǎng)絡(luò)攻擊

(一)入侵系統(tǒng)攻擊。此類攻擊如果成功,將使你的系統(tǒng)上的資源被對方一覽無遺,對方可以直接控制你的機器,可任意修改或盜取被控機器中的各種信息。

(二)欺騙類攻擊。網(wǎng)絡(luò)協(xié)議本身的一些缺陷可以被利用,使黑客可以對網(wǎng)絡(luò)進行攻擊,主要方式有:IP欺騙;ARP欺騙;DNS欺騙;Web欺騙;電子郵件欺騙;源路由欺騙;地址欺騙等。

(三)利用病毒攻擊。病毒是黑客實施網(wǎng)絡(luò)攻擊的有效手段之一,它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預(yù)見性和破壞性等特性,而且在網(wǎng)絡(luò)中其危害更加可怕,目前可通過網(wǎng)絡(luò)進行傳播的病毒已有數(shù)萬種,可通過注入技術(shù)進行破壞和攻擊。

(四)木馬程序攻擊。特洛伊木馬是一種直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限,安裝此程序的人就可以直接遠程控制目標(biāo)系統(tǒng)。

(五)網(wǎng)絡(luò)偵聽。網(wǎng)絡(luò)偵聽為主機工作模式,主機能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?。只要使用網(wǎng)絡(luò)監(jiān)聽工具,就可以輕易地截取所在網(wǎng)段的所有用戶口令和賬號等有用的信息資料。

(六)對防火墻的攻擊。防火墻也是由軟件和硬件組成的,在設(shè)計和實現(xiàn)上都不可避免地存在著缺陷,對防火墻的攻擊方法也是多種多樣的,如探測攻擊技術(shù)、認證的攻擊技術(shù)等。

二、防御措施主要有以下幾種

(一)防火墻。防火墻是建立在被保護網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障,用于保護企業(yè)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部兩個網(wǎng)絡(luò)之間建立一個安全控制點,對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進行控制和審計。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換——NAT、代理型和監(jiān)測型。

1、包過濾型。包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外,系統(tǒng)管理員也可以根據(jù)實際情況靈活制定判斷規(guī)則。

2、網(wǎng)絡(luò)地址轉(zhuǎn)化——NAT。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn),它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng),它還意味著用戶不需要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址,在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄,系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問OLM防火墻,根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全;當(dāng)符合規(guī)則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計算機中。當(dāng)不符合規(guī)則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的,不需要用戶進行設(shè)置,用戶只要進行常規(guī)操作即可。

3、代理型。代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機。當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)。

4、監(jiān)測型。監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用。據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。

(二)虛擬專用網(wǎng)。虛擬專用網(wǎng)(VPN)的實現(xiàn)技術(shù)和方式有很多,但是所有的VPN產(chǎn)品都應(yīng)該保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。如在非面向連接的公用IP網(wǎng)絡(luò)上建立一個隧道,利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密,以保證數(shù)據(jù)的私有性和安全性。此外,還需要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。

(三)虛擬局域網(wǎng)。選擇虛擬局域網(wǎng)(VLAN)技術(shù)可從鏈路層實施網(wǎng)絡(luò)安全。VLAN是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個VLAN組成一個邏輯子網(wǎng),即一個邏輯廣播域,它可以覆蓋多個網(wǎng)絡(luò)設(shè)備,允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴,但VLAN技術(shù)的局限在新的VLAN機制較好的解決了,這一新的VLAN就是專用虛擬局域網(wǎng)(PVLAN)技術(shù)。

(四)漏洞檢測。漏洞檢測就是對重要計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)進行檢查,發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征。通常采用兩種策略,即被動式策略和主動式策略。被動式策略基于主機檢測,對系統(tǒng)中不合適的設(shè)置、口令以及其他同安全規(guī)則相背的對象進行檢查;主動式策略基于網(wǎng)絡(luò)檢測,通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊,并記錄它的反應(yīng),從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結(jié)果實際上就是系統(tǒng)安全性的一個評估,它指出了哪些攻擊是可能的,因此成為安全方案的一個重要組成部分。漏洞檢測系統(tǒng)是防火墻的延伸,并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能,保證計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。

(五)入侵檢測。入侵檢測系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實時捕獲下來,檢查是否有黑客入侵或可疑活動的發(fā)生,一旦發(fā)現(xiàn)有黑客入侵或可疑活動的發(fā)生,系統(tǒng)將做出實時報警響應(yīng)。

(六)密碼保護。加密措施是保護信息的最后防線,被公認為是保護信息傳輸唯一實用的方法。無論是對等還是不對等加密都是為了確保信息的真實和不被盜取應(yīng)用,但隨著計算機性能的飛速發(fā)展,破解部分公開算法的加密方法已變得越來越可能。

(七)安全策略。安全策略可以認為是一系列政策的集合,用來規(guī)范對組織資源的管理、保護以及分配,以達到最終安全的目的,安全策略的制定需要基于一些安全模型。

總之,網(wǎng)絡(luò)安全是一個綜合性的課題,涉及技術(shù)、管理、使用等許多方面,為網(wǎng)絡(luò)提供強大的安全服務(wù)——這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。

(作者單位:中國鐵通南陽分公司)

主要參考文獻:

[1]雷震甲.網(wǎng)絡(luò)工程師教程[M].北京:清華大學(xué)出版社,2004.

[2]郭軍.網(wǎng)絡(luò)管理[M].北京:北京郵電大學(xué)出版社,2001.