论文部分内容阅读
摘 要:随着计算机技术应用的普及,学生对计算机技术的知识了解越来越深,职业中学教材《计算机网络》中的计算机网络安全知识已经不能满足学生的需要,同时也不能满足企业的需求,为了向社会企业提供所需的人才,需要补充教材,因此,我在职中生对计算机网络安全与防火墙技术的知识扩展作了实践。
关键词:网络安全 防火墙
中图分类号:G633 文献标识码:A 文章编号:1673-9795(2012)01(c)-0117-02
计算机在这个时代说得上是跟生活紧密相连,在中职学校中,计算机的应用课程也是随着实际的应用在普及,由于现在科技脚步比较接近生活,给学生提供了不少便利的条件,对此,计算机课程就显得重要得多。对于学生的就业来说,计算机也成了一个家常便饭,必须是每个学生都应该掌握的技能。
职业中学的教材《计算机网络》中的计算机网络安全知识已经不能满足学生的需要和企业的需求,为了向社会企业提供所需的人才,本人认为有必要在职中计算机应用专业补充开设网络安全与防火墙技术,因此,我在职中生对计算机网络安全与防火墙技术的扩展作了实践。以下是本人在计算机专业扩展的内容:
所有来自因特网的传输信息或从内部网络发出的信息都必须穿过防火墙。因此,防火墙能够确保如电子信件、文件传输、远程登录或在特定的系统间信息交换的安全。
1 当前防火墙主要实现如下功能
1.1 包过滤
第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后,将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。如果允许传入Web连接,而目的端口为80,则包就会被放行。
多个复杂规则的组合也是可行的。如果允许Web连接,但只针对特定的服务器,目的端口和目的地址二者必须与规则相匹配,才可以讓该包通过。
最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么事情了。通常,为了安全起见,与传入规则不匹配的包就被丢弃了。如果有理由让该包通过,就要建立规则来处理它。
IP包过滤:
IP分段字段用来确定数据包在传输过程中是否被重新分段,分段带来的问题是只有第一个段有高层协议的报头(如TCP头),而其他的段中没有。数据包过滤器一般是让非首段包通过,而仅对第一个分段进行过滤,因为目标主机如果得不到第一个分段,也就不能组装一个完整的数据包,因此这样做是可以接受的。强大的防火墙应该考虑非第一个分段有可能泄露有用的信息,比如出站的NFS数据包几乎肯定要分段,内部网中的敏感数据经过NFS传输可能会泄露,因此防火墙要根据第一个分段的操作策略来决定是否转发非第一个分段。
IP分段也经常用来进行拒绝服务攻击。攻击者向目标主机发送第一个分段包,防火墙对这种包不作处理直接让其通过,目标主机得不到第一个分段来重组数据包时,会放弃该包,同时发一个ICMP“数据组装超时”的包给源主机。如果目标主机大量收到这种非第一个分段包,它需要占用大量的CPU时间来处理。当达到一定极限之后,目标主机就不能处理正常的服务了,而造成拒绝服务攻击。此外返回的ICMP也会泄露有用的消息,因此对这种ICMP,防火墙应该过滤掉。
1.2 审计和报警机制
在防火墙结合网络配置和安全策略对相关数据分析完成以后,就要做出接受、拒绝、丢弃或加密等决定。如果某个访问违反安全规定,审计和报警机制开始起作用,并作记录,报告等等。
审计是一种重要的安全措施,用以监控通信行为和完善安全策略,检查安全漏洞和错误配置,并对入侵者起到一定的威慑作用。报警机制是在通信违反相关策略以后,以多种方式如声音、邮件、电话、手机短信息及时报告给管理人员。
1.3 远程管理
是指管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理,管理的通信协议可以基于FTP、HTTP等。管理界面一般完成对防火墙的配置、管理和监控。管理界面设计直接关系到防火墙的易用性和安全性。目前防火墙主要有两种远程管理界面:web界面和GUI界面。对于硬件防火墙,一般还有串口配置模块和/或控制台控制界面。
管理主机和防火墙之间的通信一般经过加密。国内比较普遍采用自定义协议、一次性口令进行管理主机与防火墙之间通信(适用GUI界面)。
1.4 NAT
当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法InternetIP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP地址)。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。互联网上所有的路由器发现源或目标地址含有这些私有网络ID时都会自动地丢弃。目前防火墙一般采用双向NAT:SNAT(Source NAT)和DNAT(Destination NAT)。
2 以下是校园网防火墙的具体应用方案实例
2.1 对网络中心资源主机的访问控制
我校在Internet与校园网内网之间部署一台ISA Server2000防火墙,成为内外网之间一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过SA Server2000与Internet连接。那么,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。
2.2 对校外非法网址的访问
一般情况,一些传播非法信息的站点主要在校外,而这些站点的域名可能是已知的,这时可通过计费系统获得最新的IP访问信息,利用域名查询或字符匹配等方法确定来自某个IP的访问是非法的。
2.3 防止IP地址欺骗和盗用
为对网络内部人员访问Internet进行一定限制,在连接内部网络的端口接收数据时进行IP地址和以太网地址检查,盗用IP地址的数据包将被丢弃,并记录有关信息;再连接Internet端接收数据时,如从外部网络收到一段假冒内部IP地址发出的报文也应丢弃,并记录有关信息。
防止IP地址被盗用的彻底解决办法是,网络上全部采用交换式集线器提供用户接入,设定每个端口的以太网地址和IP地址,但由于各种原因这种方法目前不可行。建议用下述方法解决:
2.3.1 代理服务器防火墙
代理服务器是运行在内部用户和外部主机之间并且可以在它们之间转发数据的软件.它们的工作是通过监测每项服务所用的端口,屏蔽出入每个端口的数据,并依据代理服务器管理员设定的规则,判断是否阻断出入的数据。
2.3.2 捆绑IP地址和以太网地址
简单的说一下,计算机网卡的MAC地址就像人的身份证号码,在这个世界上,没有任何两个人的身份证号码是一样的,同理,不存在任何两块网卡的MAC地址是相同的,均为唯一的标识!但,IP却有所不同,IP分为公用IP和私用IP,公用IP在互联网上使用,私用IP在局域网中使用!
公用的IP,在地球上也是唯一的,不存在相同的两个,否则就发生冲突;
私用IP,在同一局域网中也不应该存在重复,否则发生冲突;但不同的局域网,很可能存在其中的两台计算机私用IP一致,但不发生冲突,因为这两台计算机不处于同一个局域网中!
这就像学生分班一样,同一个班级不应该安排两个姓名完全一样的学生,否则老师点名难免闹笑话!但是在一个学校的不同班级,允许存在同名同姓的学生!一块网卡可以使用公用IP和私用IP,完全可以根据需要而定!
2.4 透明通道式防火墙
在透明模式下,防火墙将流过的所有二层数据进行解封装,把数据根据用户定义的规则进行从二层到四层的过滤。但与路由模式不同的是,防火墙会将过滤后的数据重新用原来的二层源地址和目的地址再封装成帧进行转发,而不改变数据帧的源地址和目的地址。
防火墙在透明模式下工作时,对用户来说像是网桥或交换机,用户感觉不到防火墙的存在,所以称之为透明模式。这种模式对网络结构的变更最小,所以适合一些特殊情况。但是要注意的是在透明模式下,防火墙的功能要受到一些限制,某些过滤功能在透明模式下无法实现。
3 结语
通过上机操作,学生的实操成绩为:优占10%,良占30%,中占53%,合格占7%。从实操成绩来看,学生掌握得比较好,而且对计算机网络安全有了新的认识,并在课后相互研究,且有不少学生时常找我谈计算机网络安全的知识。计算机(1)班张升毅毕业后在广州市花都区中型印刷公司负责网络管理和彩盒包装设计,计算机(3)班袁汉杰毕业后在广州市花都区华美酒店做计算机网络管理员等等,他们毕业后也经常回校和本人讨论网络安全和防火墙设置等方面的内容,因此,本人认为,现《计算机网络》中的计算机网络安全知识已经不能满足学生求知的需求,有必要在职中生对计算机网络安全与防火墙技术的知识进行扩展,今后本人还将继续对此进行探讨、实践。根据毕业后学生们回校反映的問题,本人计划以具体的校园网防火墙的具体应用方案继续扩展,提高学生的实践能力。
关键词:网络安全 防火墙
中图分类号:G633 文献标识码:A 文章编号:1673-9795(2012)01(c)-0117-02
计算机在这个时代说得上是跟生活紧密相连,在中职学校中,计算机的应用课程也是随着实际的应用在普及,由于现在科技脚步比较接近生活,给学生提供了不少便利的条件,对此,计算机课程就显得重要得多。对于学生的就业来说,计算机也成了一个家常便饭,必须是每个学生都应该掌握的技能。
职业中学的教材《计算机网络》中的计算机网络安全知识已经不能满足学生的需要和企业的需求,为了向社会企业提供所需的人才,本人认为有必要在职中计算机应用专业补充开设网络安全与防火墙技术,因此,我在职中生对计算机网络安全与防火墙技术的扩展作了实践。以下是本人在计算机专业扩展的内容:
所有来自因特网的传输信息或从内部网络发出的信息都必须穿过防火墙。因此,防火墙能够确保如电子信件、文件传输、远程登录或在特定的系统间信息交换的安全。
1 当前防火墙主要实现如下功能
1.1 包过滤
第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后,将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。如果允许传入Web连接,而目的端口为80,则包就会被放行。
多个复杂规则的组合也是可行的。如果允许Web连接,但只针对特定的服务器,目的端口和目的地址二者必须与规则相匹配,才可以讓该包通过。
最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么事情了。通常,为了安全起见,与传入规则不匹配的包就被丢弃了。如果有理由让该包通过,就要建立规则来处理它。
IP包过滤:
IP分段字段用来确定数据包在传输过程中是否被重新分段,分段带来的问题是只有第一个段有高层协议的报头(如TCP头),而其他的段中没有。数据包过滤器一般是让非首段包通过,而仅对第一个分段进行过滤,因为目标主机如果得不到第一个分段,也就不能组装一个完整的数据包,因此这样做是可以接受的。强大的防火墙应该考虑非第一个分段有可能泄露有用的信息,比如出站的NFS数据包几乎肯定要分段,内部网中的敏感数据经过NFS传输可能会泄露,因此防火墙要根据第一个分段的操作策略来决定是否转发非第一个分段。
IP分段也经常用来进行拒绝服务攻击。攻击者向目标主机发送第一个分段包,防火墙对这种包不作处理直接让其通过,目标主机得不到第一个分段来重组数据包时,会放弃该包,同时发一个ICMP“数据组装超时”的包给源主机。如果目标主机大量收到这种非第一个分段包,它需要占用大量的CPU时间来处理。当达到一定极限之后,目标主机就不能处理正常的服务了,而造成拒绝服务攻击。此外返回的ICMP也会泄露有用的消息,因此对这种ICMP,防火墙应该过滤掉。
1.2 审计和报警机制
在防火墙结合网络配置和安全策略对相关数据分析完成以后,就要做出接受、拒绝、丢弃或加密等决定。如果某个访问违反安全规定,审计和报警机制开始起作用,并作记录,报告等等。
审计是一种重要的安全措施,用以监控通信行为和完善安全策略,检查安全漏洞和错误配置,并对入侵者起到一定的威慑作用。报警机制是在通信违反相关策略以后,以多种方式如声音、邮件、电话、手机短信息及时报告给管理人员。
1.3 远程管理
是指管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理,管理的通信协议可以基于FTP、HTTP等。管理界面一般完成对防火墙的配置、管理和监控。管理界面设计直接关系到防火墙的易用性和安全性。目前防火墙主要有两种远程管理界面:web界面和GUI界面。对于硬件防火墙,一般还有串口配置模块和/或控制台控制界面。
管理主机和防火墙之间的通信一般经过加密。国内比较普遍采用自定义协议、一次性口令进行管理主机与防火墙之间通信(适用GUI界面)。
1.4 NAT
当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法InternetIP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP地址)。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。互联网上所有的路由器发现源或目标地址含有这些私有网络ID时都会自动地丢弃。目前防火墙一般采用双向NAT:SNAT(Source NAT)和DNAT(Destination NAT)。
2 以下是校园网防火墙的具体应用方案实例
2.1 对网络中心资源主机的访问控制
我校在Internet与校园网内网之间部署一台ISA Server2000防火墙,成为内外网之间一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过SA Server2000与Internet连接。那么,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。
2.2 对校外非法网址的访问
一般情况,一些传播非法信息的站点主要在校外,而这些站点的域名可能是已知的,这时可通过计费系统获得最新的IP访问信息,利用域名查询或字符匹配等方法确定来自某个IP的访问是非法的。
2.3 防止IP地址欺骗和盗用
为对网络内部人员访问Internet进行一定限制,在连接内部网络的端口接收数据时进行IP地址和以太网地址检查,盗用IP地址的数据包将被丢弃,并记录有关信息;再连接Internet端接收数据时,如从外部网络收到一段假冒内部IP地址发出的报文也应丢弃,并记录有关信息。
防止IP地址被盗用的彻底解决办法是,网络上全部采用交换式集线器提供用户接入,设定每个端口的以太网地址和IP地址,但由于各种原因这种方法目前不可行。建议用下述方法解决:
2.3.1 代理服务器防火墙
代理服务器是运行在内部用户和外部主机之间并且可以在它们之间转发数据的软件.它们的工作是通过监测每项服务所用的端口,屏蔽出入每个端口的数据,并依据代理服务器管理员设定的规则,判断是否阻断出入的数据。
2.3.2 捆绑IP地址和以太网地址
简单的说一下,计算机网卡的MAC地址就像人的身份证号码,在这个世界上,没有任何两个人的身份证号码是一样的,同理,不存在任何两块网卡的MAC地址是相同的,均为唯一的标识!但,IP却有所不同,IP分为公用IP和私用IP,公用IP在互联网上使用,私用IP在局域网中使用!
公用的IP,在地球上也是唯一的,不存在相同的两个,否则就发生冲突;
私用IP,在同一局域网中也不应该存在重复,否则发生冲突;但不同的局域网,很可能存在其中的两台计算机私用IP一致,但不发生冲突,因为这两台计算机不处于同一个局域网中!
这就像学生分班一样,同一个班级不应该安排两个姓名完全一样的学生,否则老师点名难免闹笑话!但是在一个学校的不同班级,允许存在同名同姓的学生!一块网卡可以使用公用IP和私用IP,完全可以根据需要而定!
2.4 透明通道式防火墙
在透明模式下,防火墙将流过的所有二层数据进行解封装,把数据根据用户定义的规则进行从二层到四层的过滤。但与路由模式不同的是,防火墙会将过滤后的数据重新用原来的二层源地址和目的地址再封装成帧进行转发,而不改变数据帧的源地址和目的地址。
防火墙在透明模式下工作时,对用户来说像是网桥或交换机,用户感觉不到防火墙的存在,所以称之为透明模式。这种模式对网络结构的变更最小,所以适合一些特殊情况。但是要注意的是在透明模式下,防火墙的功能要受到一些限制,某些过滤功能在透明模式下无法实现。
3 结语
通过上机操作,学生的实操成绩为:优占10%,良占30%,中占53%,合格占7%。从实操成绩来看,学生掌握得比较好,而且对计算机网络安全有了新的认识,并在课后相互研究,且有不少学生时常找我谈计算机网络安全的知识。计算机(1)班张升毅毕业后在广州市花都区中型印刷公司负责网络管理和彩盒包装设计,计算机(3)班袁汉杰毕业后在广州市花都区华美酒店做计算机网络管理员等等,他们毕业后也经常回校和本人讨论网络安全和防火墙设置等方面的内容,因此,本人认为,现《计算机网络》中的计算机网络安全知识已经不能满足学生求知的需求,有必要在职中生对计算机网络安全与防火墙技术的知识进行扩展,今后本人还将继续对此进行探讨、实践。根据毕业后学生们回校反映的問题,本人计划以具体的校园网防火墙的具体应用方案继续扩展,提高学生的实践能力。