网络安全与防御
开篇:润墨网以专业的文秘视角,为您筛选了一篇网络安全与防御范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘要】文章结合企业网络管理的实际情况,介绍了企业网络安全的概念、网络安全隐患及重点介绍几种常见网络攻击形式和解决方法。本文还介绍了一些日常企业网络管理的防御方法。
【关键词】网络安全;网络攻击;ARP欺骗;IP欺骗
一、引言
网络技术的普及,使人们对网络的依赖程度加大,对网络的破坏造成的损失和混乱会比以往任何时候都大。这也就使得需要对网络安全做更高的要求,也使得网络安全的地位将越来越重要,网络安全必然会随着网络应用的发展而不断发展。而由于网络分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的共用性,而存在很多严重的脆弱性。它们是网络安全的严重隐患。
二、计算机网络安全隐患的主要体现方面
互联网络是一个开放的、无控制机构的网络,黑客经常会侵入网络中的计算机系统,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直接瘫痪。
(1)Internet的数据传输时基于TCP/IP通信协议进行的,这些协议缺乏使传输过程中的信息不被窃取的安全措施。
(2)在计算机上存储、传输、处理的电子信息,还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实、内容是否被改动,以及是否泄漏等,在应用层支持的服务协议中是凭着君子协定来维系的。
(3)电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在很大的危险。
(4)计算机病毒通过互联网的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪,使数据和文件丢失。在网络上传播病毒可以通过匿名FTP文件传送、也可以通过邮件和邮件的附件文件等众多方式传播。
三、针对网络攻击的几种方式
对网络攻击的目的是打击网络的使用者,损害网络用户和所有者的利益。有时破坏网络是攻击者最容易采取的手段。针对网络攻击,主要有:ARP欺骗攻击、IP欺骗攻击、拒绝服务器攻击、Web服务中的上传漏洞攻击、网络嗅探攻击和跨站漏洞攻击等。现结合日常工作,将介绍一下我碰到和解决过的一些攻击。
1.ARP欺骗攻击
ARP攻击分为在交换环境下进行欺骗攻击和网关欺骗攻击。两种攻击其实原理是一样的。ARP欺骗是目前在局域网内比较常见的攻击手段。这种欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。实际上,维护还不仅仅如此,一般来说ARP协议不像IP地址的冲突可以通过多种方法和手段来避免.。ARP协议工作在更底层,隐蔽性更高。系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。而且很多黑客工具,例如网络剪刀手等,可以随时发送ARP欺骗数据包和ARP恢复数据包,就可以实现一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机能否上网,甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。所以ARP欺骗的危害是巨大的,而且非常难对付。非法用户和恶意用户可以随时发送ARP欺骗数据包和ARP恢复数据包,这样就增加了网络管理员查找真凶的难度。
解决方法:(1)不要把网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。(2)设置静态的MAC--IP对应表,不要让主机刷新已设定好的转换表。(3)除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。(4)使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。(5)使用””proxy””IP的传输。(6)使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。(7)管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。(8)管理员定期轮询,检查主机上的ARP缓存。(9)使用防火墙连续监控网络。
2.IP欺骗攻击
IP攻击简单地讲就是伪造他人的IP地址,进行欺骗,获得信任,从而进一步攻击目标主机。IP攻击是通过利用TCP/IP协议本身存在的一些缺陷进行攻击的方法,即使主机没有任何漏洞也能进行。
解决方法:现在大多数OS使用较强壮的随机序列号生成器,要准确猜测TCP连接的ISN几乎不可能。在边界路由器上进行源地址过滤,也就是说,对进入本网络的IP包,要检查其源IP地址,禁止外来的却使用本地IP的数据包进入,这也是大多数路由器的缺省配置。禁止r-类型的服务,用SSH(专为远程登录会话和其他网络服务提供安全性的协议)代替rlogin这样的不安全的网络服务。在通信时要求加密传输和验证。Bellovin提出一种弥补TCP序列号随机性不足的方法,就是分割序列号空间,每一个连接都将有自己独立的序列号空间。连接之间序列号没有明显的关联。
3.拒绝服务攻击
拒绝服务攻击即让目标计算机停止提供服务或资源访问。SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
解决方法:最为常用的一种当然是时刻关注安全信息以期待最好的方法出现。管理员应当订阅安全信息报告,实时的关注所有安全问题的发展。第二步是应用包过滤的技术,主要是过滤对外开放的端口。这些手段主要是防止假冒地址的攻击,使得外部机器无法假冒内部机器的地址来对内部机器发动攻击。对于应该使用向内的包过滤还是使用向外的包过滤一直存在着争论。RFC2267建议在全球范围的互连网上使用向内过滤的机制,但是这样会带来很多的麻烦,在中等级别的路由器上使用访问控制列表不会带来太大的麻烦,但是已经满载的骨干路由器上会受到明显的威胁。
四、确保网络安全的主要技术
1.防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部用户以非法手段通过外部网络进入内部网络并访问内部网络资源,保护内部网络操作环境的网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
2.加密技术
网络中,加密就是把数据和信息转换为不可辨识形势的过程。是不应了解该数据和信息的人不能够知道和识别。预知该数据和信息的内容,需将其转变为可辨识的数据和信息,这就是解密过程。加密和解密组成加密系统。
3.虚拟专用网络技术
虚拟专用网络技术(Virtual Private Network,VPN)依靠ISP和其他NSP,通过一个公用网络建立一个临时的、安全的连接隧道。在虚拟的专用网络隧道中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
4.访问控制技术
访问控制,防止非法用户进入系统及合法用户对系统资源的的非法利用。访问控制可以保护存储在某些机器上的个人信息,保护重要信息的机密性,维护机器内信息的完整性,减少病毒感染机会,从而延缓这种感染的传播。访问控制,需采取两种措施:一是识别与确证访问系统的用户,二是决定特定用户对某一系统资源可进行何种类型的访问。
五、结束语
随着信息技术的不断发展,网络逐渐成为人们生活不可或缺的组成部分。然而,网络是一把双刃剑,我们正确使用网络,它就像一个聚宝盆,一座取之不尽用之不竭的"富金山",谁勤于在这座金山上耕耘劳动,谁就会有所得。作为企业的网络管理工作者,我们不但要做到防止外部黑客以及病毒的侵袭,还要做到管理好公司内部人员的越权操作,所谓是“无规矩不成方圆”。为加强公司内部网络的管理工作,确保公司内部网络安全高效运行。
参考文献
[1]王绍斌.信息系统攻击与防御[M].电子工业出版社,2007.
[2]何益权.企业网络管理系统[J].计算机与自动化技术,2005(3).
[3]白英彩.计算机网络管理系统设计与应用[M].北京:清华大学出版社,2004.