序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇互聯(lián)網(wǎng)安全論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

關鍵詞：網(wǎng)絡工程；安全防護技術；思考

一、前言

現(xiàn)代的通信技術發(fā)展飛速，網(wǎng)絡的普及改變了我們的生活方式和交流方式，成為我們與人聯(lián)系的主要途徑。但因為互聯(lián)網(wǎng)往是開放的，所以在網(wǎng)絡工程中還有著很多的安全問題，對我們的網(wǎng)絡環(huán)境造成影響。所以，研究網(wǎng)絡工程中的安全防護技術非常重要，下面就針對網(wǎng)絡工程中的安全防護盡心初步的分析。

二、網(wǎng)絡工程中容易出現(xiàn)的問題

1.黑客問題

黑客一詞源于英語中的hacker，是指利用網(wǎng)絡中的漏洞破壞他人的網(wǎng)絡和竊取他人資料的人，在黑客進行攻擊時，主要有兩種方式：破壞性攻擊、非破壞性攻擊。破壞性攻擊是指黑進電腦的系統(tǒng)中，達到自己盜竊信息的目的。非破壞性攻擊一般來說是妨礙電腦的正常運行，以妨礙為主要的破壞目的，但沒有盜竊他人電腦中的重要資料，阻止計算機正常服務和信息轟炸對電腦系統(tǒng)進行破壞。黑客會對我們的電腦安全產(chǎn)生很大的隱患。

2.計算機中病毒

計算機中毒顯現(xiàn)對網(wǎng)絡工程的安全有著很大的影響，而且計算機病毒具有破壞系統(tǒng)，傳染其他電腦的特點，計算機的病毒不是計算機自身產(chǎn)生的，而是病毒的編寫者將指令和程序植入到計算機的系統(tǒng)中，計算機病毒是認為制造的，它會嚴重影響計算機系統(tǒng)的正常工作，給用戶帶來很大的危害。計算機病毒具有破壞力強、傳播速度快而且不容易被發(fā)現(xiàn)，尤其是一些木馬病毒、震網(wǎng)、火焰等病毒，通過網(wǎng)絡進行傳播后，一旦被傳播，會對計算機內(nèi)的資源造成毀壞，所以，計算機中毒是保證網(wǎng)絡安全的重要問題。

3.IP地址被盜IP地址被盜用也是我們網(wǎng)絡工程區(qū)安全中的問題之一，如果我們的IP地址被盜用，我們的計算機就無法正常的上網(wǎng)，使用網(wǎng)絡。在區(qū)域網(wǎng)絡中常常出現(xiàn)這種情況，用戶被告知IP地址已被占用，使我們無法進行網(wǎng)絡連接。這些IP地址的權限一般來說比較高，盜竊者會用不知名的信息來打擾用戶的使用，使我們的自身權益受到了嚴重的侵害，也對網(wǎng)絡的安全性造成了非常惡劣的影響。

4.垃圾郵件

現(xiàn)在的垃圾郵件讓我們的網(wǎng)絡安全受到了很多負擔，垃圾郵件就是那些不是用戶自愿接受的郵件，卻無法組織收到垃圾郵件。垃圾郵件會嚴重損害我們使用郵件時的效率。對我們的網(wǎng)絡造成不必要的負擔，也讓我們的網(wǎng)絡安全收到了很大的威脅，垃圾郵件會減慢我們系統(tǒng)的使用效率，也浪費了大量的網(wǎng)絡資源，如果垃圾郵件的數(shù)量過多還會危害整個網(wǎng)絡工程。

5.系統(tǒng)出錯

計算機系統(tǒng)出錯也會給我們的網(wǎng)絡工程安全帶來很大的影響。在計算機網(wǎng)絡工程中，網(wǎng)絡的管理體制還不是很周全，各個崗位的工作分類還不夠明確，在密碼方面和權限方面的管理還不是很充足，這些因素會讓我們的網(wǎng)絡安全收到來自外界的破壞，而且我們的方位意識還不夠完全，沒有辦法有效率的避免計算機系統(tǒng)出錯，所以計算機系統(tǒng)出現(xiàn)的問題越來越嚴重，導致系統(tǒng)無法正常的工作，最終對計算機網(wǎng)絡安全產(chǎn)生威脅，所以，增加網(wǎng)絡工程中安全防護技術十分重要

三、安全防護技術

1.設置防火墻

預防黑客最簡單的方法就是設置防火墻，設置防火墻來過濾不需要的信息是我們網(wǎng)絡工程中安全防護技術中最簡單有效的方法一。設置防火墻在計算機的外部網(wǎng)絡和局域網(wǎng)之間設置防火墻，網(wǎng)絡防火墻是一個連接計算機和網(wǎng)絡的軟件，基本互聯(lián)網(wǎng)安全機能有：防火墻、木馬入侵檢測、殺毒軟體、信息清理、數(shù)值加固等等。基本互聯(lián)網(wǎng)機能的建設就是互聯(lián)網(wǎng)工作一個有力的屏障，能高效防止黑客打擊、木馬打擊、無用消息散播以及機密文件被盜取。著重基本互聯(lián)網(wǎng)安全機能的投資，努力推進基本互聯(lián)網(wǎng)機能的建設。另外互聯(lián)網(wǎng)風險是即時發(fā)生和變換的，那些已經(jīng)建成了基本互聯(lián)網(wǎng)機能的計算機，著重安全機能的提升和平時維修時特別重要的方式。

2.防病毒

著重互聯(lián)網(wǎng)安全的擴散，安裝防病毒軟件，比如360安全衛(wèi)士，金山殺毒等，著重私密信息保護。人類是互聯(lián)網(wǎng)機能的締造者，并且人類也是互聯(lián)網(wǎng)安全中最主要的創(chuàng)造者，使用社會對互聯(lián)網(wǎng)安全檢舉，趁早找到互聯(lián)網(wǎng)發(fā)生的各種風險，另外能及時找到互互聯(lián)網(wǎng)中違法資料擴散的位置，及時查處，保護互聯(lián)網(wǎng)的純凈。

3.著重基本互聯(lián)網(wǎng)安全機能的建設

如果缺少對互諒網(wǎng)隱患的認知和了解，一些公司和部門在互聯(lián)網(wǎng)安全方面的重視度十分低，還未建成完整基本互聯(lián)網(wǎng)安全機能，這樣為互聯(lián)網(wǎng)安全設置了重大風險。我們要在計算機在攻擊前做到有效的識別，防止惡意攻擊的破壞。基本互聯(lián)網(wǎng)機能的建設有：防火墻、木馬入侵檢測、殺毒軟體、信息清理、數(shù)值加固等等。互聯(lián)網(wǎng)工作一個有力的屏障，能高效防止黑客打擊、木馬打擊、無用消息散播以及機密文件被盜取。著重基本互聯(lián)網(wǎng)安全機能的投資，努力推進基本互聯(lián)網(wǎng)機能的建設。另外互聯(lián)網(wǎng)風險是即時發(fā)生和變換的，那些已經(jīng)建成了基本互聯(lián)網(wǎng)機能的計算機，著重安全機能的提升和平時維修時特別重要的方式。

4.拒絕接受垃圾郵件

拒絕接收垃圾郵件，就要先保護我們的郵件地址，避免隨便的使用郵箱地址到處登記，還可以用軟件進行管理，過濾垃圾郵件，設置拒接接受垃圾郵件。

5.加強風險防范意識

提升網(wǎng)絡安全的風險防范意識也不容小覷，在互聯(lián)網(wǎng)工程隱患預防的路途中，使用數(shù)值鎖住技能是特別正確的方式。要透過深化消息私密性管轄來確認計算機運營中的安全。在建設完美的互聯(lián)網(wǎng)安全機能的基底上實行互聯(lián)網(wǎng)的實名制梳理不僅可以高效提升自己消息的私密性，更可以更廣泛高能的特省互聯(lián)網(wǎng)的全面安全。另一方面，加深對私密用戶的的長期管轄和監(jiān)理工作，能夠有效的控制號碼被盜。

參考文獻：

[1]吳志新.網(wǎng)絡工程中的安全防護技術的思考[J].電子世界,2014,12:325-326.

篇(2)

【關鍵詞】互聯(lián)網(wǎng)+ 入侵監(jiān)測 安全防御 遺傳算法

1 引言

入侵檢測是一種網(wǎng)絡安全防御技術，其可以部署于網(wǎng)絡防火墻、訪問控制列表等軟件中，可以檢測流入到系統(tǒng)中的數(shù)據(jù)流，并且識別數(shù)據(jù)流中的網(wǎng)絡包內(nèi)容，判別數(shù)據(jù)流是否屬于木馬和病毒等不正常數(shù)據(jù)。目前，網(wǎng)絡安全入侵檢測技術已經(jīng)誕生了多種，比如狀態(tài)檢測技術和深度包過濾技術，有效提高了網(wǎng)絡安全識別、處理等防御能力。

2 “互聯(lián)網(wǎng)+”時代網(wǎng)絡安全管理現(xiàn)狀

目前，我國已經(jīng)進入到了“互聯(lián)網(wǎng)+”時代，互聯(lián)網(wǎng)已經(jīng)應用到了金融、民生、工業(yè)等多個領域。互聯(lián)網(wǎng)的繁榮為人們帶來了許多的便利，同時互聯(lián)網(wǎng)安全事故也頻頻出現(xiàn)，網(wǎng)絡病毒、木馬和黑客攻擊技術也大幅度改進，并且呈現(xiàn)出攻擊渠道多樣化、威脅智能化、范圍廣泛化等特點。

2.1 攻擊渠道多樣化

目前，網(wǎng)絡設備、應用接入渠道較多，按照內(nèi)外網(wǎng)劃分為內(nèi)網(wǎng)接入、外網(wǎng)接入；按照有線、無線可以劃分為有線接入、無線接入；按照接入設備可以劃分為PC接入、移動智能終端接入等多種類別，接入渠道較多，也為攻擊威脅提供了較多的入侵渠道。

2.2 威脅智能化

攻擊威脅程序設計技術的提升，使得病毒、木馬隱藏的周期更長，行為更加隱蔽，傳統(tǒng)的網(wǎng)絡木馬、病毒防御工具無法查殺。

2.3 破壞范圍更廣

隨著網(wǎng)絡及承載的應用軟件集成化增強，不同類型的系統(tǒng)管理平臺都通過SOA架構、ESB技術接入到網(wǎng)絡集群平臺上，一旦某個系統(tǒng)受到攻擊，病毒可以在很短的時間內(nèi)傳播到其他子系統(tǒng)，破壞范圍更廣。

3 “互聯(lián)網(wǎng)+”時代網(wǎng)絡安全入侵檢測功能設計

入侵檢測業(yè)務流程包括三個階段，分別是采集網(wǎng)絡數(shù)據(jù)、分析數(shù)據(jù)內(nèi)容和啟動防御措施，能夠實時預估網(wǎng)絡安全防御狀況，保證網(wǎng)絡安全運行，如圖1所示。

網(wǎng)絡安全入侵檢測過程中，為了提高入侵檢測準確度，引入遺傳算法和BP神經(jīng)網(wǎng)絡，結合這兩種數(shù)據(jù)挖掘算法的優(yōu)勢，設計了一個遺傳神經(jīng)網(wǎng)絡算法，業(yè)務流程如下：

（1）采集網(wǎng)絡數(shù)據(jù)，獲取數(shù)據(jù)源。

（2）利用遺傳神經(jīng)網(wǎng)絡識別數(shù)據(jù)內(nèi)容，對數(shù)據(jù)進行建模，將獲取的網(wǎng)絡數(shù)據(jù)包轉換為神經(jīng)網(wǎng)絡能夠識別的數(shù)學向量。

（3）使用已知的、理想狀態(tài)的數(shù)據(jù)對遺傳神經(jīng)網(wǎng)絡進行訓練。

（4）使用訓練好的遺傳神經(jīng)網(wǎng)絡對網(wǎng)絡數(shù)據(jù)進行檢測。

（5）保存遺傳神經(jīng)網(wǎng)絡檢測的結果。

（6）網(wǎng)絡安全響應。

遺傳神經(jīng)網(wǎng)絡在入侵檢測過程中包括兩個階段，分別是訓練學習階段和檢測分析階段。

（1）訓練學習階段。遺傳神經(jīng)網(wǎng)絡訓練學習可以生成一個功能完善的、識別準確的入侵檢測模型，系統(tǒng)訓練學習流程如下：給定樣本庫和期望輸出參數(shù)，將兩者作為遺傳神經(jīng)網(wǎng)絡輸入?yún)?shù)，學習樣本中包含非常典型的具有攻擊行為特征的樣本數(shù)據(jù)和正常數(shù)據(jù)，通過訓練學習得到的遺傳神經(jīng)網(wǎng)絡可以與輸入的期望結果進行比較和分析，直到期望輸出的誤差可以達到人們的期望值。

（2）檢測分析階段。遺傳神經(jīng)網(wǎng)絡訓練結束之后，使用權值的形式將其保存起來，將其應用到實際網(wǎng)絡入侵檢測系統(tǒng)，能夠識別正常行為或異常行為。

4 結束語

互聯(lián)網(wǎng)的快速發(fā)展和普及為人們的工作、生活和學習帶來便利，但同時也潛在著許多威脅，采用先進的網(wǎng)絡安全防御技術，以便提升網(wǎng)絡的安全運行能力。入侵檢測是網(wǎng)絡安全主動防御的一個關鍵技術，入侵檢測利用遺傳算法和BP神經(jīng)網(wǎng)絡算法優(yōu)勢，可以準確地構建一個入侵檢測模型，準確地檢測出病毒、木馬數(shù)據(jù)，啟動病毒木馬查殺軟件，清除網(wǎng)絡中的威脅，保證網(wǎng)絡正常運行。

參考文獻

[1]徐振華.基于BP神經(jīng)網(wǎng)絡的分布式入侵檢測模型改進算法研究[J].網(wǎng)絡安全技術與應用，2016，24（2）：111-112.

[2]劉成.試論入侵檢測技術在網(wǎng)絡安全中的應用與研究[J].網(wǎng)絡安全技術與應用，2016，24（2）：74-75.

[3]周立軍，張杰，呂海燕.基于數(shù)據(jù)挖掘技術的網(wǎng)絡入侵檢測技術研究[J].現(xiàn)代電子技術，2016，18（6）：121-122.

[4]謝勝軍.云計算時代網(wǎng)絡安全現(xiàn)狀與防御措施探討[J].網(wǎng)絡安全技術與應用，2016，26（2）：41-42.

篇(3)

論文摘要：為實現(xiàn)以教育信息化帶動教育現(xiàn)代化的跨越式發(fā)展，各高校都在大力進行教育信息化建設，因特網(wǎng)成為高校大學生獲取信息的有利工具。培養(yǎng)大學生的信息道德素質已經(jīng)成為高校信息素質教育的重要內(nèi)容之一。

當前，為適應數(shù)字化、網(wǎng)絡化信息時代的發(fā)展需求，實現(xiàn)以教育信息化帶動教育現(xiàn)代化的跨越式發(fā)展，各高校都在大力進行教育信息化建設，高校計算機“五進”—即進教室、宿舍、家庭、實驗室、辦公室，極大地推動了師生計算機應用水平的提高和計算機教學的開展。因特網(wǎng)作為世界上最大的信息載體，以其豐富的信息資源、便捷的交流通道、以及內(nèi)容的廣泛性、訪問的快捷性等使之成為高校大學生獲取信息的有利工具。

互聯(lián)網(wǎng)提供了廣闊豐富的信息搜索，網(wǎng)絡信息的極端豐富和信息流動的極端自由，一方面改變了人們獲取信息的途徑和方式，提供了信息共享的廣闊空間，促進了信息的交流與傳播;另一方面也導致了信息的過度膨脹和泛濫，成了信息污垢滋生繁衍和傳播的“場所”。各種合法信息與非法信息、有益信息與有害信息、有用信息與垃圾信息、真實信息與虛假信息混雜在一起，嚴重防礙了人們對有用信息的吸收利用，導致一些辨別能力差的上網(wǎng)者在價值判斷、價值選擇上出現(xiàn)了迷惘，而利用高科技手段進行犯罪活動者，更是屢見不鮮。這些給社會帶來了許多消極負面的影響，導致了各種決策失誤和經(jīng)濟損失，嚴重危害人類的生產(chǎn)、生活和健康，甚至危害社會的穩(wěn)定和發(fā)展。

據(jù)美國匹茲堡大學的一份研究報告表明，全球每1億網(wǎng)民中就有至少570萬人患有不同程度的“網(wǎng)絡綜合癥”。網(wǎng)絡文化對高校大學生的思想品德的形成、心理和人格的健康發(fā)展，以及社會道德規(guī)范的沖擊等諸多方面帶來了極大的困擾。目前，許多大學生上網(wǎng)是為了聊天、玩游戲，真正上網(wǎng)查找資料用于專業(yè)學習的很少;對網(wǎng)絡最普遍的應用就是發(fā)郵件，看時事新聞;有些大學生因“網(wǎng)絡成隱癥”而逃課，無節(jié)制地花費大量時間和精力在互聯(lián)網(wǎng)上持續(xù)聊天、閱讀不文明、不健康的網(wǎng)上信息，以至損害生理和心理的身體健康;還有一些缺乏自律的大學生在作畢業(yè)論文時，不作自己的研究思考，不尊重別人的知識產(chǎn)權，直接從中國期刊鏡像網(wǎng)站下載文章，經(jīng)剪貼和技術處理而成來應付老師;更有一些法制觀念淡薄的大學生在BBS上發(fā)表一些不負責任的言論、冒用別人的IP地址、盜用別人的帳號、甚至因好奇而充當了黑客……

高校大學生正處在人生觀、世界觀和價值觀形成和確立的關鍵時期，因此，大學生要跟上教育信息化的步伐，在網(wǎng)絡信息的海洋中自由地航行，就必須具備抵御風浪的能力—即良好的信息道德素質。培養(yǎng)大學生的信息道德素質，高校負有不可推卸的責任，同時也是一個重要的研究課題。信息道德是人們依據(jù)信息行為規(guī)范從事信息活動的品德，是指人們在應用信息技術時，能施行與信息和信息技術相關的符合倫理道德的行為。它是調節(jié)信息生產(chǎn)者、信息加工者、信息傳遞者和信息使用者之間相互關系的行為規(guī)范的總和。其內(nèi)容包括:信息交流與傳遞目標應與社會整體目標協(xié)調一致;應承擔相應的社會責任和義務;遵循法律規(guī)范，抵制各種各樣的違法、、迷信信息和虛假信息;尊重個人隱私等。

當前，隨著全社會對信息道德問題的日益重視，高校信息道德素質教育已經(jīng)成為高校素質教育的重要內(nèi)容之一。高校信息道德素質教育的基本目標是使大學生熟悉信息道德法律和規(guī)范，引導大學生在學習和工作中成為具有較高信息道德素養(yǎng)的人。通過教育培養(yǎng)，使大學生充分認識網(wǎng)絡的各種功能，引導大學生上網(wǎng)的積極性，發(fā)揮大學生利用網(wǎng)絡信息資源的主觀能動性，培養(yǎng)和訓練大學生的創(chuàng)新思維和個性品質;同時，明確網(wǎng)絡的負面影響，規(guī)范大學生的上網(wǎng)行為，提高大學生的信息鑒別能力和自我約束能力，增強對信息污染的免疫力。

高校信息道德素質教育的主要途徑為:

1堅持正面灌翰、正確引導的原則，幫助大學生明辨是非、健康發(fā)展

在現(xiàn)實生活中，人的行為是否合法、是否犯罪容易判斷，而在網(wǎng)絡社會里，人們的身份、行為方式等都被隱匿，人們的交往具有虛擬化、超時空和數(shù)字化的特征。這使得人們擺脫了現(xiàn)實社會的道德倫理的束縛，有了自我表達意見的機會，從而使現(xiàn)實的道德倫理和行為規(guī)范失去了原有的約束力。這容易使人們忘記了社會角色，淡化了社會責任。為此，各高校應建立一種信息道德教育機制，組建一種可操作性的教育力量或整合原有的教育力量，實現(xiàn)統(tǒng)一協(xié)調的、有目的、有層次的高校信息道德教育服務。可以積極利用網(wǎng)絡快捷、生動、便利、開放等優(yōu)勢條件進行正面灌輸，通過構建學生理論學習網(wǎng)站、網(wǎng)上書記校長接待室、網(wǎng)上黨校，或在主頁中開設相應欄目等形式，開展網(wǎng)絡文明、網(wǎng)絡道德的宣傳教育。針對重大熱點、難點問題，進行有計劃、有目的的網(wǎng)上網(wǎng)下引導。做好《公民道德建設實施綱要》的認真貫徹實施，對大學生的信息行為進行規(guī)范引導。還可以通過積極健康的校園科技文化活動，引導學生戒除對不良網(wǎng)絡生存方式的沉迷，建立積極有益的正常學習生活交流方式，展示和發(fā)展健康的個性。

2大力推廣和普及有關網(wǎng)絡方面的法律法規(guī)，規(guī)范大學生的網(wǎng)上行為

自1986年4月開始，我國相繼制定并頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機系統(tǒng)安全規(guī)范》、《計算機病毒控制規(guī)定》、《互聯(lián)網(wǎng)安全條例》、(計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》、《中華人民共和國電信條例》等一系列規(guī)定和法規(guī)，并在刑法、刑事訴訟法、民法、民事訴訟法等相關法律條文中寫人了有關計算機信息安全方面的條文。近年來，為適應信息產(chǎn)業(yè)和信息犯罪增加的形勢，我國加快了信息立法的步伐。2000年9月29日國務院第31次常委會議通過公布實施了《互聯(lián)網(wǎng)信息服務管理辦法》，這是我國為盡快融人世貿(mào)組織規(guī)則而制定的有效管理信息產(chǎn)業(yè)、應對國際競爭和處理信息安全問題的基本框架性政策。對于以上政策法律法規(guī)，高校應通過靈活多樣的教育方式大力普及、推廣，且做到教育內(nèi)容與最新的信息道德規(guī)范同步。

篇(4)

關鍵詞:僵尸網(wǎng)絡;源端檢測;防御模型

中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2010)18-4876-02

Research of Botnet Defense Model Based on Source-end Detection

WANG Wei

(Anhui Technical College of Water Resources anf Hydroelectric Power, Hefei 231603, China)

Abstract: This paper introduces the composition and its harm of Botnet, analyses attacks and detection technology of Botnet, focus on the defense strategy of Botnet, this paper puts forward a model of defense, then analyses its performance.

Key words: botnet; source-end detection; defense model

僵尸網(wǎng)絡(Botnet),是20世紀90年代末興起的危害互聯(lián)網(wǎng)的產(chǎn)物,近年來已經(jīng)成為影響互聯(lián)網(wǎng)安全的重大威脅之一,是目前互聯(lián)網(wǎng)上黑客最青睞的攻擊平臺。

1僵尸網(wǎng)絡概述

僵尸網(wǎng)絡是指由黑客直接或通過控制服務器間接集中控制的僵尸程序感染計算機群,是由攻擊者遠程控制的被攻陷主機所組成的網(wǎng)絡,如圖1所示。

僵尸主機(Zombie)指被植入了僵尸程序(Bot)的計算機,控制者(Botmaster)是出于惡意目的,通過傳播Bot控制大量Zombie,并進行網(wǎng)絡攻擊的網(wǎng)絡黑客。命令控制服務器(Command & Control Server,簡稱C&C S)是大量Zombie連接的服務器, Botmaster通過該服務器或由自身控制Zombie。通常,根據(jù)Bot程序的種類、Botnet基于的控制協(xié)議和有無命令控制服務器三種情況對僵尸網(wǎng)絡進行分類。

2 僵尸網(wǎng)絡攻擊及其檢測

僵尸網(wǎng)絡是一個分布式、可控制的網(wǎng)絡,是隨著Bot程序的不斷惡意傳播而形成的,其形成過程大致經(jīng)歷了Bot的傳播、感染計算機、Zombie加入僵尸網(wǎng)絡和Botmaster控制僵尸網(wǎng)絡四個過程。

在確定網(wǎng)絡攻擊目標后,僵尸網(wǎng)絡的攻擊過程大致可分為三個步驟:即①控制者向其控制的命令控制服務器或直接向僵尸主機發(fā)出攻擊指令;②命令控制服務器向僵尸主機發(fā)出攻擊指令;③僵尸主機向受害者發(fā)起直接攻擊,如圖1所示。

僵尸網(wǎng)絡可以一對多地執(zhí)行相同的惡意行為,利用僵尸網(wǎng)絡可以地發(fā)起的攻擊行為有:分布式拒絕服務攻擊、垃圾郵件、蠕蟲釋放、竊取信息、濫用資源影響網(wǎng)絡的性能等。

僵尸網(wǎng)絡攻擊常用的技術有:①hypervisor技術;②Fast Flux domains技術;③P2P技術等。

為了應對僵尸網(wǎng)絡的安全威脅,實現(xiàn)對僵尸網(wǎng)絡的防御,首先要求對可能存在的僵尸網(wǎng)絡發(fā)現(xiàn)與跟蹤;其次,要求能夠對互聯(lián)網(wǎng)絡環(huán)境下有無僵尸網(wǎng)絡進行檢測;最后,還要在現(xiàn)實網(wǎng)絡環(huán)境中進行防御體系架設,防止僵尸網(wǎng)絡的形成。

僵尸網(wǎng)絡跟蹤的基本過程是:首先通過各種途徑獲取網(wǎng)絡中實際存在的僵尸網(wǎng)絡及其控制信道等相關信息,然后模擬成受控的僵尸程序加入僵尸網(wǎng)絡中,從而對僵尸網(wǎng)絡的內(nèi)部活動進行觀察和跟蹤。

發(fā)現(xiàn)僵尸網(wǎng)絡的方法主要有三類,即:通過部署蜜罐對僵尸程序進行樣本捕獲;利用網(wǎng)絡行為監(jiān)測法;利用網(wǎng)絡IDS發(fā)現(xiàn)僵尸網(wǎng)絡。

3基于源端檢測的僵尸網(wǎng)絡防御模型

傳統(tǒng)的僵尸網(wǎng)絡防御方法主要有兩種:一種是通過加強主機的安全防御等級防止被僵尸程序感染,及時清除主機中的僵尸程序;另一種是通過摧毀或無效化僵尸網(wǎng)絡命令及其控制機制。

由圖1所示的僵尸網(wǎng)絡攻擊體系及其攻擊過程可知,對于僵尸網(wǎng)絡攻擊的防御可以定位于三個位置,即:發(fā)起攻擊的源端、僵尸主機端和受害者端。其中,控制者端是僵尸網(wǎng)絡發(fā)起攻擊的源端,在此位置發(fā)現(xiàn)并防御僵尸網(wǎng)絡攻擊是效率最高、效果最好的方法。本文提出一種基于源端檢測的僵尸網(wǎng)絡防御模型。

1)基本思想

僵尸網(wǎng)絡的控制者發(fā)動攻擊時,會向其控制的僵尸主機發(fā)出相同的含有攻擊指令的IP數(shù)據(jù)包,當該IP包到達控制者端的邊界路由器時,部署在路由器上的檢測算法以檢測數(shù)據(jù)表為基礎,依據(jù)該IP包的分析結果決定是否允許IP包進入網(wǎng)絡,從而實現(xiàn)對攻擊的防御。

2)檢測數(shù)據(jù)表結構

表1 檢測數(shù)據(jù)表結構

其中,各字段含義如下:

R_IP:表示發(fā)出數(shù)據(jù)包需通過邊界路由器轉發(fā)的主機IP地址;

Available:表示R_IP是否可以通過邊界路由器轉發(fā)數(shù)據(jù)包,若其值為”Y”表示可以轉發(fā),若為”N”則表示不能轉發(fā),該包要丟棄;

same_num:表示數(shù)據(jù)表中保存的與當前R_IP發(fā)出的數(shù)據(jù)包相同的次數(shù),其初值為0,根據(jù)網(wǎng)絡用戶操作的特點,可設其上限值(閾值)如為10;

Timing:為了相同度檢測數(shù)據(jù)表無限長大,同時,根據(jù)網(wǎng)絡攻擊的特點,即在較短時間發(fā)出大量攻擊數(shù)據(jù)包。因此,可設定相同度檢測數(shù)據(jù)表中記錄的存在時間,如60s,當表記錄生成時該字段激活,開始計時;

Content:某一R_IP發(fā)出的經(jīng)過邊界路由器轉發(fā)的數(shù)據(jù)包的內(nèi)容。

3)檢測防御算法

① 當IP數(shù)據(jù)包進入邊界路由器后,取該IP包的源IP地址,在檢測數(shù)據(jù)表查找有無R_IP字段與之相同的記錄,若無,則在檢測數(shù)據(jù)表中新增一條記錄,并將該IP的源IP地址填入R_IP字段、將Available字段置為”Y”, 將same_num字段值置為1,激活Timing字段,開始計時,同時,將IP包的內(nèi)容填入Content字段中,然后轉發(fā)該IP包,本次檢測結束;若有,則轉②。

② 檢測數(shù)據(jù)表中所有R_IP與IP包源地址相同該記錄的Available字段,若所有記錄的Available字段值均為”Y”,則轉③;否則,則說明該IP包是攻擊數(shù)據(jù)包或者發(fā)包方是網(wǎng)絡攻擊者,邊界路由器將其丟棄,檢測結束。

③ 取IP包的數(shù)據(jù)部分與所有R_IP與IP包源地址相同記錄的Content字段進行比較,若有相同,則轉④;否則,在檢測數(shù)據(jù)表中新增一條記錄,并將該IP的源IP地址填入R_IP字段、將Available字段置為”Y”, 將same_num字段值置為1,并激活Timing字段,開始計時,同時,將IP包的內(nèi)容填入Content字段中,然后轉發(fā)該IP包,本次檢測結束。

④ 將該記錄的same_num字段值自加,若自加后same_num字段值小于設定的閾值,則將該IP轉發(fā),檢測結束;若自加后字段same_num值達到設定的閾值,則說明該IP包是攻擊數(shù)據(jù)包,邊界路由器將此IP包丟棄,并將檢測數(shù)據(jù)表中R_IP的與該IP包源IP地址值相同的記錄的Available字段置為”N”,檢測結束。檢測算法流程圖如圖2所示。

4)性能分析

應用上述防御模型能夠比較有效地在僵尸網(wǎng)絡發(fā)動攻擊時進行檢測進而實現(xiàn)防御。但是,也應該看出,該模型還有不太完善的地方,主要有以下兩個方面:

①由于是通過設置相同IP包閾值來確定相同數(shù)據(jù)包即網(wǎng)絡攻擊IP包,在具有相同內(nèi)容的數(shù)據(jù)包通過邊界路由器而未達到該上限值前,還是可能存在網(wǎng)絡攻擊行為的;

②在攻擊端發(fā)動網(wǎng)絡攻擊并被邊界路由器檢測防御后,在一定的時間內(nèi)攻擊端的正常網(wǎng)絡訪問行為也是被屏蔽的。

4結束語

隨著互聯(lián)網(wǎng)的快速發(fā)展與廣泛應用,僵尸網(wǎng)絡的危害愈演愈烈,如何防御僵尸網(wǎng)絡可能帶來的危害具有現(xiàn)實意義。通過對僵尸網(wǎng)絡防御策略的研究,可以為廣大網(wǎng)絡用戶提供最大限度的安全保護,達到保障網(wǎng)絡用戶權益的目標。

參考文獻:

[1] 張兆信,趙永葆,趙爾丹.計算機網(wǎng)絡安全與應用[M].北京:機械工業(yè)出版社,2008.

[2] 諸葛建偉,韓心慧,周勇林,等.僵尸網(wǎng)絡研究[J].軟件學報,2008(3),703―704.

篇(5)

2006年超級女聲總決賽中，主辦方宣布除了以往的手機短信、聲訊電話外，粉絲還可以用Q幣投票。

Q幣是一種在騰訊網(wǎng)站統(tǒng)一支付的虛擬貨幣（1Q幣=1人民幣），通過購買Q幣卡，電話充值，銀行卡充值等方式獲得。Q幣可購買騰訊一系列相關服務，比如購買靚號、QQ會員服務、QQ寵物等，還可以購買QQ游戲中的道具。

其實，Q幣投票本是超女主辦方的噱頭，卻意外帶來了許多“麻煩”：粉絲們?yōu)榱酥С中膼鄣母枋郑娂娰徺I虛擬貨幣Q幣，僅淘寶網(wǎng)一天的Q幣交易就超過50萬元。一位25歲的小伙子已成為淘寶網(wǎng)上的Q幣大賣家，一個月僅靠賣Q幣就能賺近4000元，而他的Q幣是通過騰訊游戲倒賣裝備或者贏取得到的，還可低價收購一些Q幣。一位網(wǎng)絡工作人員稱，當時中小型論壇給版主的工資就是Q幣，然后兌成人民幣。

為了更自由更便捷地交易，人們不斷創(chuàng)造著能替換真實貨幣的東西，二十多年前游戲機的游戲幣紅遍大街小巷。與Q幣同時走紅的是新浪U幣、盛大元寶、網(wǎng)易POPO幣等，“虛擬貨幣”已經(jīng)在互聯(lián)網(wǎng)這個虛擬世界里扮演上了“貨幣”的角色。

學者楊濤在2006年第7期的《法制與新聞》上發(fā)表文章稱，根據(jù)《人民幣管理條例》，人民幣是我國法定貨幣，人民幣在現(xiàn)實中是有數(shù)量限制的，而Q幣等虛擬貨幣商家可無限發(fā)行，虛擬貨幣代替人民幣成為網(wǎng)上交易的一般等價物，必會沖擊我國的金融秩序，“泛濫后果不堪設想”。

實際上，虛擬貨幣并不是一個陌生的概念，而是一個誕生于10年前，逐漸壯大的貨幣家族。從其發(fā)展進程和屬性來看，主要可以分為兩種類型：一是在特定平臺，特別是網(wǎng)絡游戲平臺、虛擬社區(qū)、電子商務網(wǎng)站封閉運行的貨幣。按其發(fā)行方或監(jiān)管方規(guī)定，只能用于在所屬平臺買賣虛擬物品；二是已經(jīng)具有更多傳統(tǒng)貨幣屬性，更接近傳統(tǒng)貨幣的虛擬貨幣，如比特幣、瑞波幣等。此類虛擬貨幣借助互聯(lián)網(wǎng)技術、電子商務的推動，已經(jīng)延伸到傳統(tǒng)貨幣體系以及實體經(jīng)濟領域。

每一種虛擬貨幣都有自己的運行機制，通過各方參與者形成一個龐大的生態(tài)系統(tǒng)。以比特幣為例，其發(fā)行、支付，匯兌、交易，乃至衍生品等功能和業(yè)務，已經(jīng)形成一個獨特的、同時又與傳統(tǒng)貨幣體系存在一定相似性的運行機制，走在了虛擬貨幣的最前沿。我們甚至還能看到虛擬貨幣身上已經(jīng)有著傳統(tǒng)貨幣的影子：價值尺度、流通手段、支付手段、貯藏手段、世界貨幣。

比特幣的顛覆與重生，是人們對紙幣失望的另類表現(xiàn)

2009年，比特幣挾帶著一場支付革命橫空出世。根據(jù)比特幣發(fā)明者中本聰?shù)谋忍貛拧皠?chuàng)世”論文《比特幣：一種點對點的電子現(xiàn)金系統(tǒng)》，可以在一定程度上透視發(fā)明者的初衷：即通過建立一種全新的數(shù)字化貨幣體系，克服傳統(tǒng)金融體系特別是鑄幣廠發(fā)行貨幣模式下的各種弊端，為人們帶來更便捷、效率更高的交易和流通。

比特幣生逢其時。隨著信息科技的發(fā)展，紙幣的使用受到局限。此外，在次貸危機和債務危機爆發(fā)的背景下，全球貨幣政策在2008年至2013年經(jīng)歷了三輪全局性寬松浪潮，貨幣的普遍、連續(xù)超發(fā)，也引發(fā)了世人對紙幣清償性的擔憂。

在紙幣的貨幣三性受到?jīng)_擊的背景下，比特幣的出現(xiàn)讓人振奮。比特幣最大的特征是“虛擬”，它不與任何現(xiàn)實有天然的關聯(lián)，這使其具有屏蔽諸多現(xiàn)實煩惱的優(yōu)勢。它不與任何國家關聯(lián)，因此具有超性，這讓人們看到了完全規(guī)避紙幣匯率無謂波動的希望；它不與任何發(fā)行方關聯(lián)，且具有2100萬單位的天然發(fā)行上限，增量發(fā)行也有成本遞增的特點，這讓人們看到了完全規(guī)避紙幣超發(fā)風險的希望；它不與任何監(jiān)管權威關聯(lián)，這讓一些人對其蘊藏的貨幣自由充滿了向往。

很快，比特幣從小范圍的流通擴展到更具體的應用環(huán)境，你可以購買商鋪和服務，可匯兌，進行跨境匯款，還能進行比特幣本身的交易。此外，我們還能夠看到，比特幣生態(tài)系統(tǒng)在進化過程中有意無意地促進了多領域的創(chuàng)新，例如：采礦機制造商發(fā)揚創(chuàng)客精神，通過對運算能力的極致要求帶動硬件創(chuàng)新；比特幣交易平臺在應對黑客一次次的攻擊后，不斷改善安全手段，無意中促進了互聯(lián)網(wǎng)安全領域的發(fā)展；各種機構提供基于比特幣的信用卡、ATM機、對沖基金等服務，不斷推進比特幣生態(tài)系統(tǒng)的壯大；在上述創(chuàng)新之上，最根本的創(chuàng)新在于：從金融體系的底層實現(xiàn)了與互聯(lián)網(wǎng)的鏈接……

從2013年年初的80元人民幣到巔峰時期的7395元人民幣，僅僅用了9個月。之后，它的價格從7395元跌到2752元，也僅僅用了19天。2014年，經(jīng)歷了黑客攻擊等負面事件后，各國政府對比特幣的監(jiān)管也開始從嚴，比特幣就此沉寂。不過今年9月，比特幣交易開始重新活躍。

繼比特幣被炒熱之后，各種互聯(lián)網(wǎng)“山寨幣”出現(xiàn)的速度之快令人目不暇接，被大家所熟知的互聯(lián)網(wǎng)貨幣就包括萊特幣、萬事達幣、質數(shù)幣、比奧幣、瑞波幣、新星幣等數(shù)十種。這些互聯(lián)網(wǎng)貨幣幾乎都有著一套復雜的規(guī)則，夾雜著特有的計算機語言，如果不是計算機專業(yè)出身，或者深入研究過它們的鼻祖――比特幣的話，很難在短時間內(nèi)理解和接受這些所謂的“山寨幣”。

比特幣和山寨幣的發(fā)明或許是一個偶然，但可以確定的是：虛擬貨幣的繁榮卻是一個必然趨勢。不管是中本聰還是其他發(fā)明者，他們研究出的特殊代碼成為網(wǎng)上購物、外匯匯兌、貨幣交易的有效媒介。在流通與交易過程中，這種媒介自然而然地具有了傳統(tǒng)貨幣的若干特征，甚至是某種意義上的“世界貨幣”。可以說，即使沒有比特幣，也會有其他類似虛擬貨幣吸引我們?nèi)绱硕嗟年P注或使用。

黑客、政客、金融家：誰是未來貨幣系統(tǒng)的統(tǒng)治者？

如今，當你需要一本好書，可以登錄亞馬遜網(wǎng)站用Amazon Coins購買；當你看中了一件ZARA的裙子，上可以支持比特幣支付；當你需要匯款給遠在國外的陌生人，你可以通過Ripple而非傳統(tǒng)的銀行匯款來實現(xiàn)。虛擬貨幣現(xiàn)在已經(jīng)滲透到了世界的每個角落。從《暗黑破壞神3》里的金幣、Facebook積分到飛行常客里程數(shù)，都是虛擬貨幣的多種形式。

目前，虛擬貨幣中衍生出一類社交貨幣。比如Ripple，它是一個開源的虛擬貨幣支付系統(tǒng)，它的目標是構建一個去中心化的、準許任何人創(chuàng)建自家貨幣的虛擬貨幣系統(tǒng)，唯一需要的就是要有人愿意用流通貨幣換你的虛擬貨幣。

通俗點說，迄今任何形式的支付系統(tǒng)都需要記賬單位。比如全球最大的支付平臺PayPal用美元，而中國支付寶用人民幣。你能想像支付寶和Paypal互相支付這樣的情景嗎？Ripple可以做到這一點。

人們普遍相信，互聯(lián)網(wǎng)會顛覆金融，就像它顛覆新聞、音樂和零售那樣。但是從目前來看，互聯(lián)網(wǎng)技術本身只會使交易過程變得高效、便捷，比如金融垂直搜索、移動支付、P2P借貸等，并沒有真正革了金融的命。

然而，作為金融權力結構中最核心的一塊，貨幣發(fā)行是否會遭遇互聯(lián)網(wǎng)貨幣的撼動呢？在如今“洶涌來襲”的互聯(lián)網(wǎng)貨幣中，誰將獨領？隨著互聯(lián)網(wǎng)金融監(jiān)管的趨嚴，互聯(lián)網(wǎng)貨幣的命運又將如何？

或許眼下我們沒有明確的答案，但可以預見的是，在互聯(lián)網(wǎng)的技術和思想的有力支撐下，層出不窮的互聯(lián)網(wǎng)貨幣形態(tài)已經(jīng)在影響著人們的生活、交流，以及支付方式。人們開始猜測未來是否存在這樣一種可能：虛擬貨幣最終取代由政府發(fā)行的美元、歐元等實際貨幣。

身為虛擬經(jīng)濟領域的前瞻者，英國經(jīng)濟學家愛德華?卡斯特羅諾瓦認為虛擬貨幣為經(jīng)濟、社交和商業(yè)活動提供了簡便的解決方案，并創(chuàng)造性地提出下一代支付系統(tǒng)將是數(shù)字價值轉移系統(tǒng)。他清楚解釋：貨幣未來的發(fā)展仰賴虛擬世界與電玩，而非傳統(tǒng)的金融機構與政府。

如今再反觀“掌握了美元，就掌握了世界”的說法，它既彰顯著全球儲備貨幣（不論是美元還是英鎊、歐元）的巨大威力，同時也向我們展現(xiàn)出貨幣發(fā)行者、金融家這些站在背后的強大力量。不管是曾經(jīng)的羅斯柴爾德家族，還是后來的摩根家族、洛克菲勒家族，我們從他們身上能夠看到金融家與政客的如影隨形，以及他們對世界經(jīng)濟與政治的無形掌控。

篇(6)

論文關鍵詞：信息安全；保護

信息安全包括以下內(nèi)容：真實性，保證信息的來源真實可靠；機密性，信息即使被截獲也無法理解其內(nèi)容；完整性，信息的內(nèi)容不會被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對信息的傳播及內(nèi)容具有控制能力；不可抵賴性，用戶對其行為不能進行否認；可審查性，對出現(xiàn)的網(wǎng)絡安全問題提供調查的依據(jù)和手段。與傳統(tǒng)的安全問題相比，基于網(wǎng)絡的信息安全有一些新的特點：信息安全威脅主要來源于自然災害、意外事故；計算機犯罪；人為錯誤，比如使用不當，安全意識差等；“黑客”行為；內(nèi)部泄密；外部泄密；信息丟失；電子諜報，比如信息流量分析、信息竊取等；信息戰(zhàn)；網(wǎng)絡協(xié)議自身缺陷，等等。

1我國信息安全的現(xiàn)狀

近年來，隨著國家宏觀管理和支持力度的加強、信息安全技術產(chǎn)業(yè)化工作的繼續(xù)進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環(huán)境日益完善等因素，我國在信息安全管理上的進展是迅速的。但是，由于我國的信息化建設起步較晚，相關體系不完善，法律法規(guī)不健全等諸多因素，我國的信息化仍然存在不安全問題。

①網(wǎng)絡安全的防護能力較弱。我國的信息化建設發(fā)展迅速，各個企業(yè)紛紛設立自己的網(wǎng)站，特別是“政府上網(wǎng)工程”全面啟動后，各級政府已陸續(xù)設立了自己的網(wǎng)站，但是由于許多網(wǎng)站沒有防火墻設備、安全審計系統(tǒng)、入侵監(jiān)測系統(tǒng)等防護設備，整個系統(tǒng)存在著相當大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報告稱，在網(wǎng)絡黑客攻擊的國家中，中國是最大的受害國。

②對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制，很多單位和部門直接引進國外的信息設備，并不對其進行必要的監(jiān)測和改造，從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機。

③我國基礎信息產(chǎn)業(yè)薄弱，核心技術嚴重依賴國外，缺乏自主創(chuàng)新產(chǎn)品，尤其是信息安全產(chǎn)品。我國信息網(wǎng)絡所使用的網(wǎng)管設備和軟件基本上來自國外，這使我國的網(wǎng)絡安全性能大大減弱，被認為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術，我國的網(wǎng)絡處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中，網(wǎng)絡安全處于極脆弱的狀態(tài)。

除此之外，我國目前信息技術領域的不安全局面，也與西方發(fā)達國家對我國的技術輸出進行控制有關。

2我國信息安全保護的策略

針對我國信息安全存在的問題，要實現(xiàn)信息安全不但要靠先進的技術，還要有嚴格的法律法規(guī)和信息安全教育。

①加強全民信息安全教育，提高警惕性。從小做起，從己做起，有效利用各種信息安全防護設備，保證個人的信息安全，提高整個系統(tǒng)的安全防護能力，從而促進整個系統(tǒng)的信息安全。

②發(fā)展有自主知識產(chǎn)權的信息安全產(chǎn)業(yè)，加大信息產(chǎn)業(yè)投入。增強自主創(chuàng)新意識，加大核心技術的研發(fā)，尤其是信息安全產(chǎn)品，減小對國外產(chǎn)品的依賴程度。

③創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國信息安全的法規(guī)體系，制定相關的法律法規(guī)，例如信息安全法、數(shù)字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產(chǎn)權保護法、電子信息個人隱私法、電子信息進出境法等，加大對網(wǎng)絡犯罪和信息犯罪的打擊力度，對其進行嚴厲的懲處。

篇(7)

關鍵詞:防火墻;雙機;狀態(tài)檢測;VRRP

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10454-03

隨著互聯(lián)網(wǎng)以及現(xiàn)代通訊技術的發(fā)展,以及用戶對服務品質的需求,高可用性網(wǎng)絡已經(jīng)越來越成為Internet組網(wǎng)設計的目標。因網(wǎng)絡中斷給用戶帶來的損失以及潛在損失已經(jīng)十分巨大,有研究表明,網(wǎng)絡停運帶來的損失已經(jīng)高達幾百萬美元/每小時,而由此帶來的隱性損失則更是難以估量。

在防火墻的可靠性試驗之前,先了解目前防火墻的技術以及該技術特點對防火墻可靠性的影響,目前各類型的防火墻從其實現(xiàn)原理上來說基于以下三大類:

1) 基于逐包轉發(fā)過濾的包過濾;

2) 通過檢測會話狀態(tài)基于會話流的狀態(tài);

3) 基于應用方式的全。

這三種防火墻技術的優(yōu)缺點不作詳細討論,對于第一種逐包轉發(fā)過濾的包過濾防火墻因為其不能很好的區(qū)分和保護不同的區(qū)域,在運行內(nèi)部網(wǎng)絡訪問外部網(wǎng)絡的同時也提供了外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡的安全漏洞,因此這種防火墻技術在近年來屬于逐步被淘汰的技術,但是就可靠性而言,因為該技術采用逐包轉發(fā)過濾,對會話流的來回路徑不敏感,因此在不做Nat的時候,其冗余設備的備份可以做到平滑過渡,不過在啟動了Nat功能的情況下,由于不同的設備很難做到對同一會話進行相同的地址轉換,導致包過濾防火墻在Nat的應用中也出現(xiàn)問題。

對于基于應用方式的全防火墻,由于其隔離了與外部網(wǎng)絡和內(nèi)部網(wǎng)絡的連接,它能給內(nèi)部網(wǎng)絡提供很好的保護,但是他的優(yōu)點同時也是最大的缺點,由于采用的是應用的方式,對于應用程序而言就不透明了,需要應用程序為這種連接進行適配;并且由于采用了全方式,其處理的性能要明顯低于其它兩種類型的防火墻。就可靠性而言,要做到雙機熱備的話,不僅要求會話的來回路徑一致,而且因為它是全,這要求每一個報文都需要適時地備份到備機上去,這種特性使得全方式的防火墻的雙機熱備實現(xiàn)起來很困難,在實際應用中也很少見這種防火墻的備份方案。

下面我們將通過兩組實驗討論基于會話流的狀態(tài)防火墻的可靠性問題,所謂狀態(tài)防火墻是指用戶通過防火墻訪問外部網(wǎng)絡時,會在防火墻上創(chuàng)建一個會話表項(該會話表項通常情況下會包含該會話的五元組信息――源/目的IP地址、源/目的端口、協(xié)議類型),這樣從外面回應的報文如果能匹配該五元組就能順利通過防火墻到達用戶,而從外面主動發(fā)起的會話請求因為不能匹配任何會話表項,而被ACL規(guī)則過濾掉。這樣就可以提供給用戶不同級別的保護,從而有效地保護用戶的內(nèi)部網(wǎng)絡。目前大部分防火墻產(chǎn)品都是屬于這種技術的防火墻。由于這種基于會話流的防火墻要求每個會話的來回路徑一致,因此在做雙機熱備的時候對組網(wǎng)有特殊的要求,以下將通過實驗了解防火墻可靠性技術,以及實驗過程中出現(xiàn)的問題并提出的解決方案。

1 防火墻雙機試驗組網(wǎng)及配置

單組防火墻雙機可靠性實驗中采用設備有TOPsec NGFW4000 、JUNIPER SSG 520、 H3C Secblade III、H3C 9500系列及華為Quidway 6500系列交換機, sinfor互聯(lián)網(wǎng)安全控制產(chǎn)品。根據(jù)可靠性要求將網(wǎng)絡安全設備和交換設備進行如下組網(wǎng)設計和部署,通過實驗測試防火墻HA情況下不同安全區(qū)域的數(shù)據(jù)過濾及交換情況以及在該種模式和網(wǎng)絡結構中存在的故障現(xiàn)象。

首先我們做單組防火墻雙機的實驗,其網(wǎng)絡結構如圖1所示。

該結構使用H3C系列高端網(wǎng)絡及安全設備組網(wǎng),適用于大中型企業(yè)核心網(wǎng)絡安全控制區(qū)域的網(wǎng)絡拓撲結構。通過這種網(wǎng)絡結構的部署可以有效的防御外部網(wǎng)絡及企業(yè)內(nèi)部網(wǎng)絡對重要服務器的安全攻擊、漏洞掃描、木馬入侵等等,進而有效地對企業(yè)的研發(fā)、生產(chǎn)、商業(yè)、財務等機密數(shù)據(jù)進行保護和可控授權訪問。本實驗中將主要針對這種結構下所使用設備部署完成后出現(xiàn)的故障進行分析和討論。

單組防火墻雙機實驗采用H3C9512高端交換作為企業(yè)的核心交換,H3C9508作為企業(yè)應用服務器區(qū)域的核心交換。在4臺9500系列的交換上分別配置萬兆光纖交換單板,在9508上加H3C的SecBlade III防火墻業(yè)務單板,防火墻單板通過9508內(nèi)置的萬兆接口與9508互連。兩臺9500系列交換通過萬兆光纖接口卡進行交叉互連,設備互連接口地址均使用30位掩碼。9508交換作為二層交換使用,服務器區(qū)域的三層網(wǎng)關地址全部配置在SecBlade防火墻與9508互連的萬兆接口的邏輯子接口上,并且這些VLAN都配置為VRRP模式,可根據(jù)需要將其中一臺防火墻或者其中一部分VLAN配置為master vlan,另外一臺或者另外一部分VLAN配置為slaver vlan。在防火墻和9512上都啟用ospf協(xié)議,將互連及三層VLAN地址段到ospf中。因該防火墻可將不同的VLAN劃分在不同的安全區(qū)域內(nèi),所以我們在防火墻上配置3個不同的安全域,并將配置好的邏輯子接口劃分到不同的安全域中,這樣就形成了不同的安全區(qū)域,安全區(qū)域的默認訪問規(guī)則為單向,也就是高優(yōu)先級區(qū)域默認可訪問低優(yōu)先級區(qū)域。然后在9508上增加與防火墻三層接口相同的VLAN,在將千兆物理接口添加到不同安全區(qū)域級別的VLAN中。最后啟用防火墻的雙機熱備功能,并選擇防火墻業(yè)務板上的一個接口作為心跳接口,服務器(unix系統(tǒng),需要雙網(wǎng)卡)通過EtherChannel IEEE802.3ad配置成網(wǎng)卡冷備的模式,為了能模擬出各種情況,我們特意將server1的主網(wǎng)卡放在9508-A上,將server2的主網(wǎng)卡放在9508-B上。為避免因靜態(tài)路由帶來的不能檢測設備故障的情況,該組網(wǎng)采用了動態(tài)路由協(xié)議,在防火墻和交換上都啟用ospf協(xié)議。

串聯(lián)多組防火墻雙機試驗設備采用了Juniper及Topsec防火墻、H3c9512交換機、深信服行為控制設備、Radware的LinkProof鏈路負載均衡及2條不同ISP互聯(lián)網(wǎng)線路。這些設備都是我們選用的支持雙機的網(wǎng)絡及安全設備進行串聯(lián),進行Intranet和internet互訪、Intranet與DMZ、Internet與DMZ區(qū)域之間數(shù)據(jù)通訊測試。由于實驗1已經(jīng)介紹了單組防火墻雙機的實驗情形,故這里只介紹軍事化區(qū)域至互聯(lián)網(wǎng)區(qū)域數(shù)據(jù)通訊的實驗情況,該實驗的網(wǎng)絡拓撲結構如圖2所示。

該網(wǎng)絡結構使用雙重防火墻及上網(wǎng)行為控制設備對企業(yè)軍事化區(qū)域和互聯(lián)網(wǎng)區(qū)域進行了嚴格的數(shù)據(jù)過濾和行為控制,是企業(yè)軍事化區(qū)域、半軍事化區(qū)域及互聯(lián)網(wǎng)區(qū)域之間數(shù)據(jù)互訪受控的一種常用網(wǎng)絡結構,適用于大中型企業(yè)對內(nèi)外部數(shù)據(jù)交換須進行嚴格控制、審計、授權訪問等操作,或網(wǎng)絡運營服務商對外部用戶提供高可靠和安全性互聯(lián)網(wǎng)服務在互聯(lián)網(wǎng)出口部分至企業(yè)核心交換層的網(wǎng)絡部署。通過本網(wǎng)絡可以有效對內(nèi)外部上至應用層下至物理層數(shù)據(jù)的交換有效的控制、阻斷、審計。

同樣先簡單介紹該組網(wǎng)拓撲結構及設備配置的基本信息。我們同樣使用9512作為核心交換,雙機之間通過TRUNK接口互聯(lián),上行與SSG520防火墻相連的接口配置VRRP與其互聯(lián)。SSG通過廠商的NSRP協(xié)議配置HA,并將其配置為橋接路由模式。SINFOR設備通過串口心跳配置好HA,并將其配置為透明橋接模式。Topsec防火墻通過CISCO 的HSRP和浮動靜態(tài)路由技術來配置冗余備份雙機結構,并將其配置為NAT模式。負載設備LinkProof采用標準VRRP配置為冗余雙機(由于本次實驗設備限制,只做單機)。為防止動態(tài)路由的動蕩引起鏈路路由切換,兩組防火墻的路由都采用靜態(tài)路由的方式進行配置。

2 防火墻雙機試驗故障現(xiàn)象

對于實驗1我們做如下的數(shù)據(jù)訪問測試:在9512A上和9512B上分別做一個用戶VLAN并接入兩臺pc,兩臺服務器(可使用普通pc代替)分別接入到9508上的,使用同一個網(wǎng)段的地址。我們通過pc使用ICMP包對pc至server端的鏈路進行檢測,從pc1和pc2分別發(fā)至server1和server2的檢測包結果顯示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包則出現(xiàn)丟包或者不通的現(xiàn)象。查看路由得知pc至server 都有三條下一跳路由,跟蹤路由發(fā)現(xiàn)pc1跟蹤server2的路由到SecBlade-A后出現(xiàn)中斷,pc2至server1的路由到SecBladeB出現(xiàn)中斷。之后我們將交叉鏈路去除后再次做上面同樣的測試發(fā)現(xiàn)故障依舊,根據(jù)路由情況得知基于會話狀態(tài)的防火墻在特殊的網(wǎng)絡結構中存在來回路徑不一致而導致的中斷現(xiàn)象發(fā)生。

對于實驗2做了如下數(shù)據(jù)訪問測試:首先現(xiàn)在沒有任何設備、接口、線路故障的情況下,三組雙機設備都是主機在工作的,此時PC至互聯(lián)網(wǎng)server的訪問數(shù)據(jù)會通過所有雙機的主設備;我們手動的將SSG520主機的外網(wǎng)接口shutdown后會自動切換到備機工作,sinfor發(fā)現(xiàn)與其lan口相連的接口down了也會自動的切換到備機, topsec主機發(fā)現(xiàn)與其互聯(lián)的sinfor主機故障切換了,topsec主機也會切換到備機工作,這種情況并未發(fā)生中斷現(xiàn)象。但當我們將剛才shutdown的接口還原時,我們發(fā)現(xiàn)此時出現(xiàn)的故障情況為PC至server的數(shù)據(jù)會出現(xiàn)中斷現(xiàn)象。將SSG520手動down的接口還原后的情況發(fā)現(xiàn)三組冗余雙機設備開始在不斷的進行主備的切換,無法達到一致狀態(tài)。這時情況是三組雙機因為切換的時間和檢測的故障的。根據(jù)各種設備切故障檢測和切換機制分析得知:目前大部分的冗余雙機故障檢測基本上為互聯(lián)接口物理up/down和IP跟蹤兩種檢測方式,由于各不同廠商設備主備切換的時間存在差異,導致其他兩組設備切換卻得不到一致和同步切換的效果,而在故障檢測中增加IP跟蹤的檢測機制只能對存在接口地址的雙機設備有效,而在設備互連接口不存在IP地址作為透明模式使用時依然無法進行更有效的補充,這種情況下三組設備很難達到同步切換的狀態(tài),因此導致故障現(xiàn)象的發(fā)生。

3 試驗故障分析及解決方案

針對以上三組實驗的故障情況我們分別作了簡單的分析并給出了不同的解決方案。對于實驗1中防火墻可靠性實驗中,出現(xiàn)的故障情況后對PC至server的路由分別進行了跟蹤和分析。本次的整個網(wǎng)絡結構中全部使用ospf協(xié)議,并將路由都在AREA0區(qū)中。根據(jù)我國有關部門的提出的規(guī)范在默認不改變各條路由開銷(cost)值的情況下,所有設備直連的路由開銷值都相同,在兩臺防火墻上都了10.10.10.0/24的路由信息,因而在9512A和9512B上到這兩個網(wǎng)段的路由是通過ospf分別從SecBladeA和SecBladeB上的路由表中學到的,這樣從pc1至server2的路由就會從secblade-A走,而server2至pc1的路由則會從secblade-B走,這是就出現(xiàn)了來回的路徑不一致,同理pc2與server1的互訪路徑也會出項這種情況。針對實驗中因會話來回路由不一致所遇到的問題,就此故障現(xiàn)象,我們可將9512與防火墻之間的交叉鏈路去除,并更改各條鏈路的cost值,保證其來回的路徑在一條路由上。這種情況下當其中一臺交換或者防火墻出現(xiàn)故障后可通過VRRP保證master和slaver vlan之間切換,從而使PC至server的數(shù)據(jù)不會出現(xiàn)中斷現(xiàn)象,這種改造的弊端在于不能做到雙機負載也就是雙A狀態(tài)的運行模式。因此另一種解決方案將SecBlade 防火墻的會話通過心跳進行同步,保證主防火墻和備防火墻實時的去同步授權允許的會話列表,這樣一來,既解決了會話流來回路徑不一致的現(xiàn)象,同時也將該組網(wǎng)結構中的兩臺防火墻形成了雙A狀態(tài),分擔了負載。特別說明該實驗中根據(jù)設備的特性使用心跳線來代替實驗1中的防火墻的三層互聯(lián)即可。

對于在第二個實驗中出現(xiàn)的故障現(xiàn)象,由于現(xiàn)網(wǎng)中使用的各廠商設備的故障檢測機制的不一致性,如要統(tǒng)一算法需要將研究制定統(tǒng)一的故障檢測方法和切換機制。因此分析了實際情況后,我們可根據(jù)故障現(xiàn)象和原因對網(wǎng)絡結構進行整改和優(yōu)化后解決做實驗2中一組冗余雙機出現(xiàn)主備切換時導致網(wǎng)絡中斷的問題。我們可在該網(wǎng)絡結構中增加一組交換,在該組交換上分別配置兩個Vlan,我們這里配置Vlan100和Vlan200,然后將Sinfor的wan口和Topsec的Intratnat接口直接接在新增交換機的兩個接口上,并把這兩個接口配置到Vlan200中,同樣將Sinfor的lan口和SSG520的Internet接口也接入到與這臺交換機上的兩個接口上,并將這兩個接口配置到Vlan100中。另外一組設備以同樣的連接和配置方式與另外一臺交換機互聯(lián)。兩臺交換機通過TRUNK口互聯(lián)并允許Vlan 100和Vlan 200 通過。其實這里新增加的兩臺交換是用作半軍事化區(qū)域的核心交換使用的,這樣內(nèi)網(wǎng)與外網(wǎng)同時可以接入到這兩臺交換上,可以節(jié)省硬件資源。我們在進行同樣的實驗,將三組冗余設備在任何一組設備中任何一個模擬故障現(xiàn)象都不會導致其它兩組設備的主備切換,即使我們設備的故障檢測是包含Track IP的方式也不會導致另外三組冗余設備的因存在故障切換時間的差異而造成網(wǎng)絡中斷的現(xiàn)象發(fā)生。即各種故障或者切換都不會導致PC至server鏈路的中斷。具體的網(wǎng)絡整改拓撲圖如圖3所示。

從實驗3的網(wǎng)絡拓撲中可以清楚的看到,無論三組設備的故障切換是否能夠同步進行,PC至server的鏈路都會有一條通暢的路存在。這是本實驗中解決故障問題的較實用的方案。對于該實驗中存在的故障原因還存在另外一種解決方案,但有待于研究討論及權威機構的統(tǒng)一和制定,研究和制定出一套通用的雙機故障檢測及切換算法或者制定一種新的雙機故障同步切換通訊協(xié)議類型。使該算法或協(xié)議能夠支持端口檢測、會話同步、IP跟蹤等多種故障檢測機制和統(tǒng)一的切換算法,使雙機設備都能通過該算法或協(xié)議在各種不同的故障情形下進行快速有效統(tǒng)一地故障同步切換也是解決該問題的重要方法,也是統(tǒng)一網(wǎng)絡設備冗余雙機故障檢測及切換機制的研究方向。目前huawei研究的VGMP和HRP協(xié)議已經(jīng)將huawei的防火墻進行了較好的狀態(tài)一致檢測和會話同步的管理。

4 總結

在整個網(wǎng)絡結構設計和實施過程中詳細分析和說明了三組雙機實驗的網(wǎng)絡結構在企業(yè)不同安全區(qū)域部署的目的、作用和效果,同時對在部署過程中出現(xiàn)的問題進行了分析和研究,在網(wǎng)絡結構的基礎上給出問題解決方案,并對其進行網(wǎng)絡改造和優(yōu)化,用來滿足用戶信息安全的需求和目的。第一組實驗部署在企業(yè)的核心數(shù)據(jù)受控區(qū)域,為嚴格控制各應用服務器之間以及用戶與服務器之間的數(shù)據(jù)訪問,采用可自定義多區(qū)域的防火墻能夠很好的實現(xiàn)企業(yè)對不同敏感數(shù)據(jù)的安全控制需求。但在基于會話狀態(tài)的理想全冗余交叉的網(wǎng)絡連接中存在的來回路徑不一致的故障情形,因此解決方案為將主備防火墻置于雙A的工作狀態(tài),并將全部的會話狀態(tài)進行較好的同步,這樣不僅解決了路由不一致的問題,也使主備設備都得到了充分的利用,減輕和降低了單設備的負載和單點故障引起切換帶來的業(yè)務中斷。第二組實驗部署在企業(yè)互聯(lián)網(wǎng)出口的網(wǎng)絡結構中,將軍事化、半軍事化及非軍事化控制區(qū)域的數(shù)據(jù)進行了嚴格的區(qū)域控劃分和數(shù)據(jù)控制,并通過行為控制審計設備嚴格地對軍事化區(qū)域數(shù)據(jù)交換進行控制、審計及記錄。安全與性能本來存在對立的一面,因此實驗二雖然在給企業(yè)的信息安全帶來高可靠的保障和受控手段,但同時這種高安全的網(wǎng)絡結構勢必會對企業(yè)網(wǎng)絡性能造成一定的負面影響,企業(yè)可根據(jù)實際情況選擇網(wǎng)絡安全的程度。實驗二中針對該實驗中由于故障引起的雙機設備主備切換不一致導致鏈路中斷的現(xiàn)象進行了網(wǎng)絡結構改造后形成了實驗三的網(wǎng)絡拓撲結構,實驗三的網(wǎng)絡結構不僅解決了實驗二切換的故障問題,同時也將多組雙機網(wǎng)絡結構的故障率降為最低,設備切換帶來的業(yè)務中斷時間降為最少。實驗三的網(wǎng)絡拓撲方案適用于目前多數(shù)企業(yè)的互聯(lián)網(wǎng)出口結構。本文為企業(yè)網(wǎng)絡架構的設計及安全部署,網(wǎng)絡故障處理提供了一定的實踐依據(jù)和說明。

本文通過三組實驗的網(wǎng)絡拓撲結構的設計實現(xiàn)、故障測試分析及解決,對幾款目前國內(nèi)較流行的狀態(tài)防火墻和安全設備的雙機基本配置、工作模式、安全防范、故障檢測切換機制都有了基本的了解和認識,并給企業(yè)用戶在企業(yè)安全區(qū)域網(wǎng)絡拓撲結構的設計方面提供了較好的理論應用和實踐基礎。在故障測試過程中通過對故障分析和處理,提出的解決方案和處理思想對企業(yè)安全網(wǎng)絡的合理設計提供的實踐證明,也為功能全面防火墻的設計和實現(xiàn)提供了重要的研究方向和思想依據(jù)。

參考文獻:

[1] 蔡立軍.計算機網(wǎng)絡安全技術[M].北京:中國水利水電出版社,2002.

[2] 胡道元,閡京華.網(wǎng)絡安全[M].北京:清華大學出版社,2004:22-26

[3] 柯宏力.Intranet信息網(wǎng)絡技術與企業(yè)信息化[M].北京:北京郵電學院出版社,2000,24-32,71-82,150-176.

[4] 林曉東,楊義先.網(wǎng)絡防火墻技術[J].電信科學,1997,13(3):41-43.

[5] 雷震甲,馬建峰.Internet安全和防火墻技術安全體系結構[J].通信保密,1998(2).

[6] 劉曉輝.網(wǎng)管從業(yè)寶典――交換機路?由器?防火墻.重慶:重慶大學出版社, 2008-5-9,81-86, 117-185,270-275,371-400.

[7] 吳昕,李之棠.并行防火墻研究[J].計算機工程與科學,2000,22(2):54-57.

[8] 林曉東,楊義先.網(wǎng)絡防火墻技術[J].電信科學,1997,13(3):41-43.

[9] 張云鵬.網(wǎng)絡安全與防護技術的研究及應用[D].中國優(yōu)秀博碩士學位論文全文數(shù)據(jù)庫,2006(6).