Ⅰ 分析防火牆技術和入侵檢測技術的優缺點。
防火牆的概念
所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。
防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的較少,例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。
防火牆,英語為firewall,《英漢證券投資詞典》的解釋為:金融機構內部將銀行業務與證券業務嚴格區分開來的法律屏障,旨在防止可能出現的內幕消息共享等不公平交易出現。使用防火牆比喻不要引火燒身。
當然,既然打算由淺入深的來了解,就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。在電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網路中,所謂「防火牆」,顧名思義,是一種隔離設備。防火牆是一種高級訪問控制設備,置於不同網路安全域之間的一系列部件的組合,它是不同網路安全域之間通信流的唯一通道,能根據用戶有關的安全策略控制進出網路的訪問行為。從專業角度講,防火牆是位於兩個或多個網路間,實施網路訪問控制的組件集合。從用戶角度講,防火牆就是被放置在用戶計算機與外網之間的防禦體系,網路發往用戶計算機的所有數據都要經過其判斷處理,才決定能否將數據交給計算機,一旦發現數據異常或有害,防火牆就會將數據攔截,從而實現對計算機的保護。防火牆是網路安全策略的組成部分,它只是一個保護裝置,通過監測和控制網路間的信息交換和訪問行為來實現對網路安全的有效管理,其主要目的就是保護內部網路的安全。
1.2 防火牆的功能
(1)訪問控制:
■ 限制未經授權的用戶訪問本企業的網路和信息資源的措施,訪問者必需要能適用現行所有的服務和應用。網路衛士防火牆支持多種應用、服務和協議,支持所有的internet服務,包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等,還支持如oracle、sybase、sql伺服器資料庫訪問和real audio,vodlive、netmeeting和internet phone等這樣的多媒體應用及internet廣播服務。
■ 提供基於狀態檢測技術的ip地址、埠、用戶和時間的管理控制;
■ 訪問控制對象的多種定義方式支持多種方式定義訪問控制對象: ip/mask(如202.100.100.0/24),ip區間(如202.100.100.1-202.100.100.254),ip/mask與通配符,ip區間與通配符等,使配置防火牆的安全策略極為方便。
■ 高效的url和文件級細粒度應用層管理控制;應用層安全控制策略主要針對常用的網路應用協議http和ftp,控制策略可以實現定義訪問源對象到目標對象間的常用協議命令通過防火牆的許可權,源對象可以是網段、主機。http和ftp的協議埠用戶可根據實際情況在策略中定義,協議命令為http和ftp的主要常用命令。通過應用層策略實現了url和文件級的訪問控制。
■ 雙向nat,提供ip地址轉換和ip及tcp/udp埠映射,實現ip復用和隱藏網路結構:nat在ip層上通過地址轉換提供ip復用功能,解決ip地址不足的問題,同時隱藏了內部網的結構,強化了內部網的安全。網路衛士防火牆提供了nat功能,並可根據用戶需要靈活配置。當內部網用戶需要對外訪問時,防火牆系統將訪問主體轉化為自己,並將結果透明地返回用戶,相當於一個ip層代理。防火牆的地址轉換是基於安全控制策略的轉換,可以針對具體的通信事件進行地址轉換。internet用戶訪問對內部網路中具有保留ip主機的訪問,可以利用反向nat實現,即為內部網路主機在防火牆上映射一注冊ip地址,這樣internet 用戶就可以通過防火牆系統訪問主機了。映射類型可以為ip級和埠級。埠映射可以通過一個注冊ip地址的不同tcp/udp埠映射到多個保留的ip主機。
■ 用戶策略:可以根據企業安全策略,將一次性口令認證與防火牆其它安全機制結合使用,實現對用戶訪問許可權的控制。用戶控制策略可以實現用戶之間、用戶與ip網段或主機間的訪問行為,如協議類型、訪問時間等,策略控制對象十分靈活。一次性口令認證方式用於控制內部網與外部網之間的高安全級訪問行為。
■ 介面策略:防止外部機器盜用內部機器的ip地址,這通過防火牆的介面策略實現。網路衛士防火牆將介面策略加在相應的介面上,以防止其它介面區域的ip被此介面區域內的主機冒用。如在正常情況下,內部ip不可能在防火牆的外部介面作為通信源地址出現,因此可以在外部介面上禁止所有的內部ip作為源地址的通信行為。
■ ip與mac地址綁定:防止防火牆廣播域內主機的ip地址不被另一台機器盜用。也就是說,如果要保護的主機與防火牆直接相連,可以將此機器的ip與其物理網卡地址捆綁,這樣其他內部機器就不可能使用這個ip通過防火牆。
■ ip與用戶綁定:綁定一次性口令用戶到定義ip列表上,防止綁定用戶的從非許可區域通過防火牆。
■ 支持流量管理:流量管理與控制.
■ 可擴展支持計費功能:計費功能可以定義內部網路ip,記錄內部網路與外部網路的方向性通信流量,並可依據ip及用戶統計查詢計費信息。計費模塊還可以提供用戶化計 費信息介面,將計費信息導出到用戶自的計費處理軟體中。
■ 基於優先順序的帶寬管理:用戶帶寬最大用量限制,用戶帶寬用量保障,多級用戶優先順序設置流量控制功能為用戶提供全部監測和管理網路的信息。
(2)防禦功能
■ 防tcp、udp等埠掃描:網路衛士防火牆可以檢測到對網路或內部主機的所有tcp/udp掃描。
■ 抗dos/ddos攻擊:拒絕服務攻擊(dos)就是攻擊者過多的佔用共享資源,導致伺服器超載或系統崩潰,而使正常用戶無法享有服務或沒有資源可用。防火牆通過控制、檢測與報警機制,阻止dos黑客攻擊。
■ 可防禦源路由攻擊、ip碎片包攻擊、dns/rip/icmp攻擊、syn等多種攻擊:網路衛士防火牆系統可以檢測對網路或內部主機的多種拒絕服務攻擊。
■阻止activex、java、javascript等侵入:屬於http內容過濾,防火牆能夠從http頁面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測出危險的代碼,同時,能夠過濾用戶上載的cgi、asp等程序。
■ 提供實時監控、審計和告警功能:網路衛士防火牆提供對網路的實時監控,當發現攻擊和危險行為時,防火牆提供告警等功能。
■ 可擴展支持第三方ids入侵檢測系統,實現協同工作:網路衛士防火牆支持topsec協議,可與第三方ids產品實現無縫集成,協同工作。
(3)用戶認證
因為企業網路為本地用戶、移動用戶和各種遠程用戶提供信息資源,所以為了保護網路和信息安全,必須對訪問連接用戶採用有效的許可權控制和身份識別,以確保系統安全。
■ 提供高安全強度的一次性口令(otp)用戶認證:一次性口令認證機制是高強度的認證機制,能極大地提高了訪問控制的安全性,有效阻止非授權用戶進入網路,保證網路系統的合法使用。一次性口令用戶認證的基本過程是:首先用戶向防火牆發送身份認證請求,並指明自己的用戶名,防火牆收到請求後,向用戶提出挑戰及同步信息,用戶收到此信息後,結合自己的口令,產生一次性口令並發送給防火牆,防火牆判斷用戶答復是否正確以鑒別用戶的合法性,為防止口令猜測,如果用戶連續三次認證失敗則在一定時間內禁止該用戶認證。由於採用一次性的口令認證機制,即使竊聽者在網路上截取到口令,由於該口令的有效期僅為一次,故也無法再利用這個口令進行認證鑒別。在實際應用中,用戶採用一次性口令登錄程序登陸時,防火牆向用戶提供一個種子及同步次數,登錄程序根據用戶輸入的口令、種子、同步次數計算出一次性口令並傳給防火牆.用戶可以在不同的伺服器上使用不同的種子而口令相同,每次在網路上傳輸的口令也不同, 用戶可以定期改變種子來達到更高的安全目標.
■ 可擴展支持第三方認證和支持智能ic卡、ikey等硬體方式認證:網路衛士防火牆有很好的擴展性,可擴展支持radius等認證,提供撥號用戶等安全訪問。也可通過擴展支持支持職能ic卡、ikey等硬體方式認證。
(4)安全管理
■ 提供基於otp機制的管理員認證。
■ 提供分權管理安全機制;提供管理員和審計員分權管理的安全機制,保證安全產品的安全管理。
■ 遠程管理提供加密機制;在進行遠程管理時,管理機和防火牆之間的通訊可進行加密以保證安全,真正實現遠程管理。
■ 遠程管理安全措施:管理源主機限定;並發管理連接數限定;管理介面icmp開關控制;管理介面開關;遠程登錄嘗試鎖定;
■ 提供安全策略檢測機制:網路衛士防火牆提供規則測試功能,實現策略的控制邏輯檢查,及時發現控制邏輯的錯誤,為用戶檢查規則配置的正確性,完善控制策略提供方便、快捷、有效的工具。
■ 提供豐富完整的審計機制;網路衛士防火牆產品的日誌審計功能十分完善,有對系統管理體系的分類日誌(管理日誌、通信事件日誌),也有按日期對應的運行日誌。日誌內容包括事件時間及事件摘要等。
■ 提供日誌下載、備份和查詢功能;防火牆的日誌管理方式包括日誌下載、備份和日誌查詢,這為用戶進行日誌的審計和分析提供了方便。防火牆還提供日誌導出工具,將各種日誌信息導出到管理伺服器,方便進一步處理。
■ 可擴展支持計費功能。計費模塊提供較強的計費功能。防火牆上設置計費功能可以避免防火牆所保護的內部網計費時,可能因防火牆策略未許可而導致某些用戶計費信息與實際使用的不一致,也彌補了防火牆作地址轉換時,外部網難以計費的缺陷。計費功能可以定義內部網路ip,記錄內部網路與外部網路的方向性通信流量,並可依據ip及用戶統計查詢計費信息。計費模塊還可以提供用戶化計費信息介面,將計費信息導出到用戶自己的計費處理軟體中。
(5)雙機熱備份
提供防火牆的雙機熱備份功能,提高應用系統可靠性和性能。熱備份通過多種方式觸發工作模式切換,模式切換時間短。
(6)操作管理
■ 提供靈活的本地、遠程管理方式;
■ 支持gui和命令行多種操作方式;
■ 可提供基於命令行和gui的本地和遠程配置管理。
1.3 防火牆的分類
(1)從軟、硬體形式上分類
如果從防火牆的軟、硬體形式來分的話,防火牆可以分為軟體防火牆和硬體防火牆以及晶元級防火牆。
■ 軟體防火牆
軟體防火牆運行於特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這台計算機就是整個網路的網關。俗稱「個人防火牆」。軟體防火牆就像其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於Checkpoint。使用這類防火牆,需要網管對所工作的操作系統平台比較熟悉。
■ 硬體防火牆
這里說的硬體防火牆是指「所謂的硬體防火牆」。之所以加上「所謂」二字是針對晶元級防火牆說的了。它們最大的差別在於是否基於專用的硬體平台。目前市場上大多數防火牆都是這種所謂的硬體防火牆,他們都基於PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是,由於此類防火牆採用的依然是別人的內核,因此依然會受到OS(操作系統)本身的安全性影響。
■ 晶元級防火牆
晶元級防火牆基於專門的硬體平台,沒有操作系統。專有的ASIC晶元促使它們比其他種類的防火牆速度更快,處理能力更強,性能更高。做這類防火牆最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火牆由於是專用OS(操作系統),因此防火牆本身的漏洞比較少,不過價格相對比較高昂。
(2)從防火牆技術上分類
防火牆技術雖然出現了許多,但總體來講可分為「包過濾型」和「應用代理型」兩大類。前者以以色列的Checkpoint防火牆和美國Cisco公司的PIX防火牆為代表,後者以美國NAI公司的Gauntlet防火牆為代表。
■ 包過濾(Packet filtering)型
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網路服務採取特殊的處理方式,適用於所有網路服務;之所以廉價,是因為大多數路由器都提供數據包過濾功能,所以這類防火牆多數是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數企業安全要求。
在整個防火牆技術的發展過程中,包過濾技術出現了兩種不同版本,稱為「第一代靜態包過濾」和「第二代動態包過濾」。
包過濾方式的優點是不用改動客戶機和主機上的應用程序,因為它工作在網路層和傳輸層,與應用層無關。但其弱點也是明顯的:過濾判別的依據只是網路層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由於缺少上下文關聯信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協議;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭信息,而不能對用戶身份進行驗證,很容易受到「地址欺騙型」攻擊。對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網關配合使用,共同組成防火牆系統。
■ 應用代理(Application Proxy)型
應用代理型防火牆是工作在OSI的最高層,即應用層。其特點是完全「阻隔」了網路通信流,通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用。其典型網路結構如圖所示。
在代理型防火牆技術的發展過程中,它也經歷了兩個不同的版本:第一代應用網關型代理防火和第二代自適應代理防火牆。
代理類型防火牆的最突出的優點就是安全。由於它工作於最高層,所以它可以對網路中任何一層數據通信進行篩選保護,而不是像包過濾那樣,只是對網路層的數據進行過濾。
另外代理型防火牆採取是一種代理機制,它可以為每一種應用服務建立一個專門的代理,所以內外部網路之間的通信不是直接的,而都需先經過代理伺服器審核,通過後再由代理伺服器代為連接,根本沒有給內、外部網路計算機任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網
Ⅱ 互聯網技術的優缺點分別是什麼
一、互聯網技術的優點有以下八方面:
1.互聯網能夠不受空間限制來進行信息交換;
2.信息交換具有時域性(更新速度快);
3.交換信息具有互動性(人與人,人與信息之間可以互動交流);
4.信息交換的使用成本低(通過信息交換,代替實物交換);
5.信息交換趨向於個性化發展(容易滿足每個人的個性化需求);
6.使用者眾多;
7.有價值的信息被資源整合,信息儲存量大;
8.信息交換能以多種形式存在(視頻、圖片、文章等等);
二、互聯網技術的缺點有以下四方面:
1.由於計算機及其網路是一項新的技術,它還缺少完善的知識產權、技術、運作機制的保障,人們從思想意識、習慣、技術等方面還沒有完全接受它,人們對它的信任性、依賴性還很低。而且大多數人還沒有掌握計算機及網路技術。並且計算機及其網路的軟、硬體,信息資源都沒有完善(正在快速發展完善)。這一切都需要一個較長的時間磨合、運作。
2.對青少年的人生觀、價值觀和世界觀形成的構成潛在威脅。
3.互聯網使許多青少年沉溺於網路虛擬世界,脫離現實,也使一些青少年荒廢學業。
4.互聯網中的不良信息和網路犯罪對青少年的身心健康和安全構成危害和威脅。
Ⅲ 網路安全工程師好學嗎
網路安全工程師好學不好學都是相對的。每個人擅長的技能都不同,有人擅長抽象記憶,有人擅長問題分析。總的來說有幾方面要去學習:
1、操作系統。
2、會寫代碼。
3、資料庫要學習。
4、網路技術。
基本技能和個人品質
1.具備強大的IT技術基礎,包括對軟體、硬體及網路技術的了解。
2.注重細節,具備分析和識別數據趨勢的能力。
3.具備在壓力下工作的能力。
4.具備與各種人員進行有效溝通的能力。
5.了解保密的重要性和必要性,清楚與此有關的法律條文。
6.能夠運用邏輯推理能力來識別IT系統的優缺點。
7.了解黑客以及網路犯罪的各種手段。
(3)網路安全技術的優缺點擴展閱讀:
安全工程師考試成績復核詳情如下:
1、客觀題科目原則上不查分。(參加考試但成績為缺考的除外)
2、主觀題成績復查僅復核有無漏評,計分、登分是否准確,是否有違紀記錄或其它異常情況等,不對試卷進行重評。
3、對勘察設計各專業和注冊建築師有關科目採用答題卡作答後對合格人員進行復評的科目,只受理進入復評人員的復查申請。
4、復查程序。如對考試成績有異議,考生在成績公布後30日內向當地考試機構提交書面復查申請,各地人事考試機構匯總後報人社部考試中心,人社部考試中心匯總後交有關部門進行成績復核,復核結果由各地人事考試機構反饋考生。
5、各省組織評閱的科目,由各省負責成績復查工作。
Ⅳ 無線網路的優點與缺點
無線網路優點:方便、靈活、在有效距離內都是可以使用的
無線網路缺點:信號受周圍環境影響會導致不穩定現象,傳輸速度較慢
增強無線網路的信號的方法:
一、合理擺放無線路由器的位置
由於無線信號在穿越障礙物後,尤其是在穿越金屬後,信號會大幅衰減。而在我們家庭的房子里,有很多鋼筋混凝土牆,所以我們在擺放無線路由器的時候,應該使信號盡量少穿越牆壁。
二、修改信號頻道減少干擾
我們在無線路由器的配置界面里,會看到無線信道的選項。一般來說,54M的無線信道有11個,依次是信道1到信道11。當有多個無線信號在使用同一個無線信號頻道的話,就會出現信號干擾。
三、擴展天線增強信號
由於天線增益的大小直接影響到信號的發射強度和接收能力,而市場上有些路由器的天線採用的是可拆卸設計,所以給無線路由器更換一個高增益的天線是增強信號最直接的方法。
Ⅳ 什麼是包過濾防火牆技術它是如何確保網路安全的以及其優缺點如何設計實現
包過濾檢查的是包的IP頭部,根據數據包是否符合源地址/目的地址/協議號來做相應動作。最直觀體現就是訪問控制列表,介面上應用一條列表,符合規則的過,否則丟棄。
Ⅵ 舉出三種網路安全工具 簡述其優缺點 選出最好軟體
說的很專業了又不懂,免費的就用360殺毒軟體,收費的就用金山和瑞星。
謝謝。
Ⅶ 簡述網路計劃優缺點
優點:便捷,簡單,隨意
缺點:網路受限,缺乏安全感,誠意欠缺
Ⅷ 防火牆分為哪兩種類型比較它們在維護網路安全方面的優缺點
按傳統理論,防火牆可分為包過濾(Packetfiltering)和應用代理(ApplicationProxy)兩種類型。
1、包過濾型(Packet Filter):包過濾通常安裝在路由器上,並且大多數商用路由器都提供了包過濾的功能。另外, PC機上同樣可以安裝包過濾軟體。包過濾規則以IP包信息為基礎,對IP源地址、IP目標地址、封裝協議(TCP/UDP/ICMPIP Tunnel)、埠號等進行篩選。
2、代理服務型(Proxy Service):代理服務型防火牆通常由兩部分構成:伺服器端程序和客戶端程序。客戶端程序與中間節點(Proxy Server)連接,中間節點再與要訪問的外部伺服器實際連接。與包過濾型防火牆不同的是,內部網與外部網之間不存在直接的連接,同時提供日誌(Log)及審計(Audit)服務。
3、復合型(Hybrid)防火牆:把包過濾和代理服務兩種方法結合起來,可以形成新的防火牆,所用主機稱為堡壘主機(Bastion Host),負責提供代理服務。
4、其它防火牆:路由器和各種主機按其配置和功能可組成各種類型的防火牆。雙端主機防火牆(Dyal-Homed Host Firewall)堡壘主機充當網關,並在其上運行防火牆軟體。內部網與外部網之間不能直接進行通信,必須經過堡壘主機。屏蔽主機防火牆(Screened Host Firewall)一個包過濾路由器與外部網相連,同時,一個堡壘主機安裝在內部網上,使堡壘主機成為外部網所能到達的唯一節點,確保內部網不受外部非授權用戶的攻擊。加密路由器(Encrypting Router):加密路由器對通過路由器的信息流進行加密和壓縮,然後通過外部網路傳輸到目的端進行解壓縮和解密。
其實目前防火牆產品非常之多,劃分的標准也比較雜。 主要分類如下:
1. 從軟、硬體形式上分為 軟體防火牆和硬體防火牆以及晶元級防火牆。
2.從防火牆技術分為 「包過濾型」和「應用代理型」兩大類。
3.從防火牆結構分為 < 單一主機防火牆、路由器集成式防火牆和分布式防火牆三種。
4. 按防火牆的應用部署位置分為 邊界防火牆、個人防火牆和混合防火牆三大類。
5. 按防火牆性能分為 百兆級防火牆和千兆級防火牆兩類。