Ⅰ 分析防火墙技术和入侵检测技术的优缺点。
防火墙的概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙,英语为firewall,《英汉证券投资词典》的解释为:金融机构内部将银行业务与证券业务严格区分开来的法律屏障,旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放置在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。防火墙是网络安全策略的组成部分,它只是一个保护装置,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。
1.2 防火墙的功能
(1)访问控制:
■ 限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。网络卫士防火墙支持多种应用、服务和协议,支持所有的internet服务,包括安全的web浏览器、电子邮件、ftp、telnet及rpc和udp等,还支持如oracle、sybase、sql服务器数据库访问和real audio,vodlive、netmeeting和internet phone等这样的多媒体应用及internet广播服务。
■ 提供基于状态检测技术的ip地址、端口、用户和时间的管理控制;
■ 访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask(如202.100.100.0/24),ip区间(如202.100.100.1-202.100.100.254),ip/mask与通配符,ip区间与通配符等,使配置防火墙的安全策略极为方便。
■ 高效的url和文件级细粒度应用层管理控制;应用层安全控制策略主要针对常用的网络应用协议http和ftp,控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限,源对象可以是网段、主机。http和ftp的协议端口用户可根据实际情况在策略中定义,协议命令为http和ftp的主要常用命令。通过应用层策略实现了url和文件级的访问控制。
■ 双向nat,提供ip地址转换和ip及tcp/udp端口映射,实现ip复用和隐藏网络结构:nat在ip层上通过地址转换提供ip复用功能,解决ip地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。网络卫士防火墙提供了nat功能,并可根据用户需要灵活配置。当内部网用户需要对外访问时,防火墙系统将访问主体转化为自己,并将结果透明地返回用户,相当于一个ip层代理。防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。internet用户访问对内部网络中具有保留ip主机的访问,可以利用反向nat实现,即为内部网络主机在防火墙上映射一注册ip地址,这样internet 用户就可以通过防火墙系统访问主机了。映射类型可以为ip级和端口级。端口映射可以通过一个注册ip地址的不同tcp/udp端口映射到多个保留的ip主机。
■ 用户策略:可以根据企业安全策略,将一次性口令认证与防火墙其它安全机制结合使用,实现对用户访问权限的控制。用户控制策略可以实现用户之间、用户与ip网段或主机间的访问行为,如协议类型、访问时间等,策略控制对象十分灵活。一次性口令认证方式用于控制内部网与外部网之间的高安全级访问行为。
■ 接口策略:防止外部机器盗用内部机器的ip地址,这通过防火墙的接口策略实现。网络卫士防火墙将接口策略加在相应的接口上,以防止其它接口区域的ip被此接口区域内的主机冒用。如在正常情况下,内部ip不可能在防火墙的外部接口作为通信源地址出现,因此可以在外部接口上禁止所有的内部ip作为源地址的通信行为。
■ ip与mac地址绑定:防止防火墙广播域内主机的ip地址不被另一台机器盗用。也就是说,如果要保护的主机与防火墙直接相连,可以将此机器的ip与其物理网卡地址捆绑,这样其他内部机器就不可能使用这个ip通过防火墙。
■ ip与用户绑定:绑定一次性口令用户到定义ip列表上,防止绑定用户的从非许可区域通过防火墙。
■ 支持流量管理:流量管理与控制.
■ 可扩展支持计费功能:计费功能可以定义内部网络ip,记录内部网络与外部网络的方向性通信流量,并可依据ip及用户统计查询计费信息。计费模块还可以提供用户化计 费信息接口,将计费信息导出到用户自的计费处理软件中。
■ 基于优先级的带宽管理:用户带宽最大用量限制,用户带宽用量保障,多级用户优先级设置流量控制功能为用户提供全部监测和管理网络的信息。
(2)防御功能
■ 防tcp、udp等端口扫描:网络卫士防火墙可以检测到对网络或内部主机的所有tcp/udp扫描。
■ 抗dos/ddos攻击:拒绝服务攻击(dos)就是攻击者过多的占用共享资源,导致服务器超载或系统崩溃,而使正常用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制,阻止dos黑客攻击。
■ 可防御源路由攻击、ip碎片包攻击、dns/rip/icmp攻击、syn等多种攻击:网络卫士防火墙系统可以检测对网络或内部主机的多种拒绝服务攻击。
■阻止activex、java、javascript等侵入:属于http内容过滤,防火墙能够从http页面剥离activex、javaapplet等小程序及从script、php和asp等代码检测出危险的代码,同时,能够过滤用户上载的cgi、asp等程序。
■ 提供实时监控、审计和告警功能:网络卫士防火墙提供对网络的实时监控,当发现攻击和危险行为时,防火墙提供告警等功能。
■ 可扩展支持第三方ids入侵检测系统,实现协同工作:网络卫士防火墙支持topsec协议,可与第三方ids产品实现无缝集成,协同工作。
(3)用户认证
因为企业网络为本地用户、移动用户和各种远程用户提供信息资源,所以为了保护网络和信息安全,必须对访问连接用户采用有效的权限控制和身份识别,以确保系统安全。
■ 提供高安全强度的一次性口令(otp)用户认证:一次性口令认证机制是高强度的认证机制,能极大地提高了访问控制的安全性,有效阻止非授权用户进入网络,保证网络系统的合法使用。一次性口令用户认证的基本过程是:首先用户向防火墙发送身份认证请求,并指明自己的用户名,防火墙收到请求后,向用户提出挑战及同步信息,用户收到此信息后,结合自己的口令,产生一次性口令并发送给防火墙,防火墙判断用户答复是否正确以鉴别用户的合法性,为防止口令猜测,如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于采用一次性的口令认证机制,即使窃听者在网络上截取到口令,由于该口令的有效期仅为一次,故也无法再利用这个口令进行认证鉴别。在实际应用中,用户采用一次性口令登录程序登陆时,防火墙向用户提供一个种子及同步次数,登录程序根据用户输入的口令、种子、同步次数计算出一次性口令并传给防火墙.用户可以在不同的服务器上使用不同的种子而口令相同,每次在网络上传输的口令也不同, 用户可以定期改变种子来达到更高的安全目标.
■ 可扩展支持第三方认证和支持智能ic卡、ikey等硬件方式认证:网络卫士防火墙有很好的扩展性,可扩展支持radius等认证,提供拨号用户等安全访问。也可通过扩展支持支持职能ic卡、ikey等硬件方式认证。
(4)安全管理
■ 提供基于otp机制的管理员认证。
■ 提供分权管理安全机制;提供管理员和审计员分权管理的安全机制,保证安全产品的安全管理。
■ 远程管理提供加密机制;在进行远程管理时,管理机和防火墙之间的通讯可进行加密以保证安全,真正实现远程管理。
■ 远程管理安全措施:管理源主机限定;并发管理连接数限定;管理接口icmp开关控制;管理接口开关;远程登录尝试锁定;
■ 提供安全策略检测机制:网络卫士防火墙提供规则测试功能,实现策略的控制逻辑检查,及时发现控制逻辑的错误,为用户检查规则配置的正确性,完善控制策略提供方便、快捷、有效的工具。
■ 提供丰富完整的审计机制;网络卫士防火墙产品的日志审计功能十分完善,有对系统管理体系的分类日志(管理日志、通信事件日志),也有按日期对应的运行日志。日志内容包括事件时间及事件摘要等。
■ 提供日志下载、备份和查询功能;防火墙的日志管理方式包括日志下载、备份和日志查询,这为用户进行日志的审计和分析提供了方便。防火墙还提供日志导出工具,将各种日志信息导出到管理服务器,方便进一步处理。
■ 可扩展支持计费功能。计费模块提供较强的计费功能。防火墙上设置计费功能可以避免防火墙所保护的内部网计费时,可能因防火墙策略未许可而导致某些用户计费信息与实际使用的不一致,也弥补了防火墙作地址转换时,外部网难以计费的缺陷。计费功能可以定义内部网络ip,记录内部网络与外部网络的方向性通信流量,并可依据ip及用户统计查询计费信息。计费模块还可以提供用户化计费信息接口,将计费信息导出到用户自己的计费处理软件中。
(5)双机热备份
提供防火墙的双机热备份功能,提高应用系统可靠性和性能。热备份通过多种方式触发工作模式切换,模式切换时间短。
(6)操作管理
■ 提供灵活的本地、远程管理方式;
■ 支持gui和命令行多种操作方式;
■ 可提供基于命令行和gui的本地和远程配置管理。
1.3 防火墙的分类
(1)从软、硬件形式上分类
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
■ 软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
■ 硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
■ 芯片级防火墙
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
(2)从防火墙技术上分类
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
■ 包过滤(Packet filtering)型
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
■ 应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型代理防火和第二代自适应代理防火墙。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网
Ⅱ 互联网技术的优缺点分别是什么
一、互联网技术的优点有以下八方面:
1.互联网能够不受空间限制来进行信息交换;
2.信息交换具有时域性(更新速度快);
3.交换信息具有互动性(人与人,人与信息之间可以互动交流);
4.信息交换的使用成本低(通过信息交换,代替实物交换);
5.信息交换趋向于个性化发展(容易满足每个人的个性化需求);
6.使用者众多;
7.有价值的信息被资源整合,信息储存量大;
8.信息交换能以多种形式存在(视频、图片、文章等等);
二、互联网技术的缺点有以下四方面:
1.由于计算机及其网络是一项新的技术,它还缺少完善的知识产权、技术、运作机制的保障,人们从思想意识、习惯、技术等方面还没有完全接受它,人们对它的信任性、依赖性还很低。而且大多数人还没有掌握计算机及网络技术。并且计算机及其网络的软、硬件,信息资源都没有完善(正在快速发展完善)。这一切都需要一个较长的时间磨合、运作。
2.对青少年的人生观、价值观和世界观形成的构成潜在威胁。
3.互联网使许多青少年沉溺于网络虚拟世界,脱离现实,也使一些青少年荒废学业。
4.互联网中的不良信息和网络犯罪对青少年的身心健康和安全构成危害和威胁。
Ⅲ 网络安全工程师好学吗
网络安全工程师好学不好学都是相对的。每个人擅长的技能都不同,有人擅长抽象记忆,有人擅长问题分析。总的来说有几方面要去学习:
1、操作系统。
2、会写代码。
3、数据库要学习。
4、网络技术。
基本技能和个人品质
1.具备强大的IT技术基础,包括对软件、硬件及网络技术的了解。
2.注重细节,具备分析和识别数据趋势的能力。
3.具备在压力下工作的能力。
4.具备与各种人员进行有效沟通的能力。
5.了解保密的重要性和必要性,清楚与此有关的法律条文。
6.能够运用逻辑推理能力来识别IT系统的优缺点。
7.了解黑客以及网络犯罪的各种手段。
(3)网络安全技术的优缺点扩展阅读:
安全工程师考试成绩复核详情如下:
1、客观题科目原则上不查分。(参加考试但成绩为缺考的除外)
2、主观题成绩复查仅复核有无漏评,计分、登分是否准确,是否有违纪记录或其它异常情况等,不对试卷进行重评。
3、对勘察设计各专业和注册建筑师有关科目采用答题卡作答后对合格人员进行复评的科目,只受理进入复评人员的复查申请。
4、复查程序。如对考试成绩有异议,考生在成绩公布后30日内向当地考试机构提交书面复查申请,各地人事考试机构汇总后报人社部考试中心,人社部考试中心汇总后交有关部门进行成绩复核,复核结果由各地人事考试机构反馈考生。
5、各省组织评阅的科目,由各省负责成绩复查工作。
Ⅳ 无线网络的优点与缺点
无线网络优点:方便、灵活、在有效距离内都是可以使用的
无线网络缺点:信号受周围环境影响会导致不稳定现象,传输速度较慢
增强无线网络的信号的方法:
一、合理摆放无线路由器的位置
由于无线信号在穿越障碍物后,尤其是在穿越金属后,信号会大幅衰减。而在我们家庭的房子里,有很多钢筋混凝土墙,所以我们在摆放无线路由器的时候,应该使信号尽量少穿越墙壁。
二、修改信号频道减少干扰
我们在无线路由器的配置界面里,会看到无线信道的选项。一般来说,54M的无线信道有11个,依次是信道1到信道11。当有多个无线信号在使用同一个无线信号频道的话,就会出现信号干扰。
三、扩展天线增强信号
由于天线增益的大小直接影响到信号的发射强度和接收能力,而市场上有些路由器的天线采用的是可拆卸设计,所以给无线路由器更换一个高增益的天线是增强信号最直接的方法。
Ⅳ 什么是包过滤防火墙技术它是如何确保网络安全的以及其优缺点如何设计实现
包过滤检查的是包的IP头部,根据数据包是否符合源地址/目的地址/协议号来做相应动作。最直观体现就是访问控制列表,接口上应用一条列表,符合规则的过,否则丢弃。
Ⅵ 举出三种网络安全工具 简述其优缺点 选出最好软件
说的很专业了又不懂,免费的就用360杀毒软件,收费的就用金山和瑞星。
谢谢。
Ⅶ 简述网络计划优缺点
优点:便捷,简单,随意
缺点:网络受限,缺乏安全感,诚意欠缺
Ⅷ 防火墙分为哪两种类型比较它们在维护网络安全方面的优缺点
按传统理论,防火墙可分为包过滤(Packetfiltering)和应用代理(ApplicationProxy)两种类型。
1、包过滤型(Packet Filter):包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。另外, PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMPIP Tunnel)、端口号等进行筛选。
2、代理服务型(Proxy Service):代理服务型防火墙通常由两部分构成:服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。
3、复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。
4、其它防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙。双端主机防火墙(Dyal-Homed Host Firewall)堡垒主机充当网关,并在其上运行防火墙软件。内部网与外部网之间不能直接进行通信,必须经过堡垒主机。屏蔽主机防火墙(Screened Host Firewall)一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点,确保内部网不受外部非授权用户的攻击。加密路由器(Encrypting Router):加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
其实目前防火墙产品非常之多,划分的标准也比较杂。 主要分类如下:
1. 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。
2.从防火墙技术分为 “包过滤型”和“应用代理型”两大类。
3.从防火墙结构分为 < 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
4. 按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。
5. 按防火墙性能分为 百兆级防火墙和千兆级防火墙两类。