《2022年浅谈防火墙技术在计算机网络安全中的应用——孙苗.docx》由会员分享,可在线阅读,更多相关《2022年浅谈防火墙技术在计算机网络安全中的应用——孙苗.docx(27页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精品学习资源北 京 华 夏 管 理 学 院毕 业 论 文文 理学 院电 脑专 业课题名称浅谈防火墙技术在电脑网络安全中的应用学生姓名孙苗学生班级电脑指起导讫老日师期付春霞2 0 1 1年4月2 3日欢迎下载精品学习资源防火墙在网络安全中的应用摘 要随着电脑网络技术的飞速进展, 特殊是互联网的应用变得越来越广泛, 在带来了前所未有的海量信息的同时, 网络的开放性和自由性也产生了私有信息和数据被破坏或侵害的可能性, 网络信息的安全性变得日益重要起来, 已被信息社会的各个领域所重视;本文对目前电脑网络存在的安全隐患进行了分析,阐述了我国网络安全的现状及网络安全问题产生的缘由,对我们网络安全现状进行了
2、系统的分析, 并探讨了针对电脑安全隐患的防范策略;正是由于安全威逼的无处不在, 为明白决这个问题防火墙显现了;防火墙是网络安全的关键技术 , 是隔离在本地网络与外界网络之间的一道防备系统,其核心思想是在担心全的网络环境中构造一个相对安全的子网环境, 防火墙是实施网络安全掌握得一种必要技术;本文争论了防火墙的安全功能、体系结构、实现防火墙的主要技术手段及配置等;关键词网络安全 / 黑客/ 病毒/ 防火墙欢迎下载精品学习资源Firewall Network Security ApplicationABSTRACTWith the rapiddevelopment of computer netwo
3、rk technology,In particular, the applicationof the Internethas becomemore and more extensive,In bringing an unprecedented mass of informationat the sametime,Openand freelyshaped the network also had private information and data have been damaged or thepossibility of violations of, Network informatio
4、n security has become increasingly important, has been the information society in all areas of the pie. This article exists on the current computer network security risk wasanalyzed,elaboratedon Chinasnetworksecurityand network securitystatusof the causes for our network security status of a systema
5、tic analysis, and discusses the security risks for computer preventive strategies.It is precisely because security threats everywhere, the firewall in order to solve this problem emerged. Network security firewall is the key technology is to separate the local network and external networks of a defe
6、nse system,itscore idea is in an insecurenetwork environmentto constructa sub-network environment of relative security, the firewall is to implement the networksecurity controls were a necessary technique. This article discusses thefirewallsecurityfeatures,architecture,to achieve the main technicalm
7、eans and firewall configuration.key wordsnetwork security / hacking /virus/ firewall欢迎下载精品学习资源目 录1引言.52 我国网络安全现状 .5争论背景 .5争论意义 .62.3电脑网络面临的威逼 .72.3.1网络安全脆弱的缘由 .7网络安全面临的威逼 .73 防火墙的安全功能及安全网络方案 .9防火墙具备的安全功能 .93.2网络安全的解决方案 .103 入侵检测系统部署 .10漏洞扫描系统 .10网络版杀毒产品部署 .103.2.4安全服务配置 .113.2.5配置拜访策略 .113.2.6日志监控 .
8、114 防火墙的配置 .14防火墙的初始配置 .14过滤型防火墙的拜访掌握表 ACL配置 .17双宿主机网关 DUAL HOMEDGATEWAY.21屏蔽主机网关 S CREENEDHOST GATEWAY. 21屏蔽子网 SCREENEDSUBNET . 22致谢.23参考文献 .24欢迎下载精品学习资源1 引言现今社会随着电脑网络技术的进展,促进了信息技术的变革, 社会对电脑网络的依靠也逐步增强;电脑网络正转变着人们在工作和生活中的方式;但是,随之而来的 电脑网络受攻击现象也就显现了,数据丢失、网上银行账号密码被破解等现象,使用 户苦不堪言,缺失的也无法挽回;为爱护电脑、服务器和局域网资源
9、受到攻击等,利 用防火墙技术是当前比较可行的一种网络安全爱护技术;2 我国网络安全现状据美国联邦调查局统计,美国每年因网络安全造成的缺失高达75 亿美元;据美国金融时报报道,世界上平均每20 分钟就发生一次人侵国际互联网络的电脑安全大事, 1/3 的防火墙被突破;美国联邦调查局电脑犯罪组负责人吉姆塞特尔称:给我精选 10 名“黑客”,组成小组, 90 天内,我将使美国趴下;一位电脑专家毫不夸张地说:假如给我一台一般电脑、一条线和一个调制解调器,就可以令某个地区的网络运行失常;据明白,从 1997 年底至今,我国的政府部门、证券公司、银行等机构的电脑网络相继遭到多次攻击; 公安机关受理各类信息网
10、络违法犯罪案件逐年剧增,特殊以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈;由于我国大量的网络基础设施和网络应用依靠于外国的产品和技术,在电子政务、电子商务和各行业的电脑网络应用尚处于进展阶段, 以上这些领域的大型电脑网络工程都由国内一些欢迎下载精品学习资源较大的系统集成商负责; 有些集成商仍缺乏足够专业的安全支撑技术力气,同时一些负责网络安全的工程技术人员对很多潜在风险熟悉不足;缺乏必要的技术设施和相关处理体会,面对形势日益严肃的现状,很多时候都显得有些力不从心;也正是由于受技术条件的限制, 很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识;随着网络的
11、逐步普及,网络安全的问题已经日益突;犹如其它任何社会一样,互 连网也受到某些无聊之人的困扰,某些人宠爱在网上做这类的事, 像在现实中向其他人的墙上喷染涂鸦、 将他人的邮箱推倒或者坐在大街上按汽车喇叭一样;网络安全已成为互连网上事实上的焦点问题; 它关系到互连网的进一步进展和普及, 甚至关系着互连网的生存; 近年来, 无论在发达国家, 仍是在进展中国家, 黑客活动越来越猖狂, 他们无孔不入,对社会造成了严峻的危害;目前在互连网上大约有将近 80%以上的用户曾经遭受过黑客的困扰;而与此同时,更让人担心的是,互连网上病毒和黑客的联姻、不断增多的黑客网站, 使学习黑客技术、 获得黑客攻击工具变的轻而易
12、举; 这样, 使原本就特别脆弱的互连网更加显得担心全;2.2 争论意义现在网络的观念已经深化人心, 越来越多的人们通过网络来明白世界, 同时他们也可以通过网络发布消息,与伴侣进行沟通和沟通,呈现自己,以及开展电子商务等等;人们的日常生活也越来越依靠网络进行;同时网络攻击也愈演愈烈,时刻威逼着用户上网安全, 网络与信息安全已经成为当今社会关注的重要问题之一;党的十六届四中全会,把信息安全和政治安全、经济安全、文化安全并列为国家安全的四大范畴之一,信息安全的重要性被提升到一个空前的战略高度;正是由于安全威逼的无处不在,为明白决这个问题防火墙显现了; 防火墙的本义原是指古代人们房屋之间修建的那道为防
13、止火灾扩散而建立的墙, 而现在意义上的防火墙是指隔离在本地网络与外界网络之间的一道防备系统,是这一类防范措施的总称;应当说,在互连网上防火墙是一种特别有效的网络安全模型, 通过它可以隔离风险区域 即 Internet或有肯定风险的网络 与安全区域 局域网 的连接,同时不会阻碍人们对风险区域的拜访;成而有效的掌握用户的上网安全; 防火墙是实施网络安全掌握得一种必要技术,它是一个或一组系统组成,它在网络之间执行拜访掌握策略;实现它的实际方式各不相同,但是欢迎下载精品学习资源在原就上,防火墙可以被认为是这样同一种机制:拦阻担心全的传输流,答应安全的 传输流通过;特定应用程序行为掌握等特殊的自我爱护机
14、制使它可以监控进出网络的 通信信息,仅让安全的、核准了的信息进入;它可以限制他人进入内部网络,过滤掉 担心全服务和非法用户;它可以封锁特洛伊木马,防止秘密数据的外泄;它可以限定 用户拜访特殊站点, 禁止用户对某些内容不健康站点的拜访; 它仍可以为监视互联网的安全供应便利;现在国外的优秀防火墙如 Outpost 不但能完成以上介绍的基本功能, 仍能对特殊的私人信息爱护如防止密码泄露、 对内容进行治理以防止小孩子或职工查看不合适的网页内容,答应按特定关键字以及特定网地进行过滤等、同时仍能对DNS 缓存进行爱护、 对 Web页面的交互元素进行掌握如过滤不需要的GIF, Flash动画等界面元素; 随
15、着时代的进展和科技的进步防火墙功能日益完善和强大,但面对日益增多的网络安全威逼防火墙仍不是完整的解决方案;但不管如何变化防火墙仍旧是网络 安全必不行少的工具之一;2.3 电脑网络面临的威逼网络安全脆弱的缘由(1) Internet所用底层 TCP/IP 网络协议本身易受到攻击, 该协议本身的安全问题极大地影响到上层应用的安全;(2) Internet上广为传插的易用黑客和解密工具使很多网络用户轻易地获得了攻击网络的方法和手段;(3) 快速的软件升级周期,会造成问题软件的显现,常常会显现操作系统和应用程序存在新的攻击漏洞;(4) 现行法规政策和治理方面存在不足;目前我国针对电脑及网络信息爱护的条
16、款不细致,网上保密的法规制度可操作性不强,执行不力;同时,不少单位没有从治理制度、人员和技术上建立相应的安全防范机制;缺乏行之有效的安全检查爱护措施,甚至有一些网络治理员利用职务之便从事网上违法行为;网络安全面临的威逼信息安全是一个特别关键而又复杂的问题; 电脑信息系统安全指电脑信息系统资产 包括网络 的安全, 即电脑信息系统资源 硬件、软件和信息 不受自然和人为有害因素的威逼和危害;电脑信息系统之所以存在着脆弱性,主要是由于技术本身存在着安全弱点、 系统欢迎下载精品学习资源的安全性差、缺乏安全性实践等 ; 电脑信息系统受到的威逼和攻击除自然灾难外,主要来自电脑犯罪、电脑病毒、黑客攻击、信息战
17、争和电脑系统故障等;由于电脑信息系统已经成为信息社会另一种形式的“金库” 和“保密室” ,因而, 成为一些人窥视的目标;再者,由于电脑信息系统自身所固有的脆弱性,使电脑信息系统面临威逼和攻击的考查;电脑信息系统的安全威逼主要来自于以下几个方面:(1) 自然灾难;电脑信息系统仅仅是一个智能的机器,易受自然灾难及环境 温度、湿度、振动、冲击、污染 的影响;目前,我们不少电脑房并没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施,接地系统也疏于周到考虑,抵挡自然灾难和意外事故的才能较差;日常工作中因断电而设备损坏、数据丢失的现象时有发生;由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全
18、性、完整性和可用性受到威逼;(2) 黑客的威逼和攻击;电脑信息网络上的黑客攻击大事越演越烈,已经成为具有一 定经济条件和技术专长的形形色色攻击者活动的舞台;他们具有电脑系统和网络脆弱性的学问,能使用各种电脑工具;境内外黑客攻击破坏网络的问题特别严峻,他们通 常采纳非法侵人重要信息系统,窃听、猎取、攻击侵人网的有关敏锐性重要信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪, 给国家造成重大政治影响和经济缺失;黑客问题的显现,并非黑客能够制造入侵的时机,从没有路的地方走出一条路,只是他们善于发觉漏洞;即信息网络本身的不完善性和缺陷,成为被攻击的目标或利用为攻击的途径,其信息网络脆弱性
19、引发了信息社会脆弱性和安全问 题,并构成了自然或人为破坏的威逼;(3) 电脑病毒; 90 岁月,显现了曾引起世界性恐慌的“电脑病毒”,其扩散范畴广, 增长速度惊人,缺失难以估量;它像灰色的幽灵将自己附在其他程序上,在这些程序 运行时进人到系统中进行扩散;电脑感染上病毒后,轻就使系统上作效率下降,重就 造成系统死机或毁坏, 使部分文件或全部数据丢失, 甚至造成电脑主板等部件的损坏;(4) 垃圾邮件和间谍软件;一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、 宗教、政治等活动, 把自己的电子邮件强行 “推入”别人的电子邮箱, 强迫他人接受垃圾邮件; 与电脑病毒不同, 间谍软件的主要
20、目的不在于对系统造成破坏,而是窃取系统或是用户信息;事实上,间谍软件日前仍是一个具有争议的概念,一种被普遍接受的观点认为间谍软件是指那些在用户小知情的情形下进行非法安装欢迎下载精品学习资源发装后很难找到其踪影, 并静静把截获的一些秘密信息供应应第下者的软件;间谍软件的功能繁多,它可以监视用户行为,或是发布广告,修改系统设置,威逼用户隐私和电脑安全,并可能小同程度的影响系统性能;(5) 信息战的严峻威逼;信息战,即为了国家的军事战略而实行行动,取得信息优势, 干扰敌方的信息和信息系统, 同时保卫自己的信息和信息系统; 这种对抗形式的目标, 不是集中打击敌方的人员或战役技术装备, 而是集中打击敌方
21、的电脑信息系统, 使其神经中枢的指挥系统瘫痪; 信息技术从根本上转变了进行战争的方法,其攻击的首要目标主要是连接国家政治、军事、经济和整个社会的电脑网络系统,信息武器已经成为了继原子武器、生物武器、化学武器之后的第四类战略武器;可以说,将来国与国之间的对抗第一将是信息技术的较量;网络信息安全应当成为国家安全的前提;(6) 电脑犯罪;电脑犯罪,通常是利用窃取口令等手段非法侵人电脑信息系统,传播有害信息,恶意破坏电脑系统,实施贪污、盗窃、诈骗和金融犯罪等活动;在一个开放的网络环境中, 大量信息在网上流淌, 这为不法分子供应了攻击目标;他们利用不同的攻击手段, 获得拜访或修改在网中流淌的敏锐信息,闯
22、入用户或政府部门的电脑系统,进行窥视、窃取、篡改数据;不受时间、地点、条件限制的网络诈 骗,其“低成本和高收益”又在肯定程度上刺激了犯罪的增长;使得针对电脑信息系 统的犯罪活动日益增多;3 防火墙的安全功能及安全网络方案防火墙是网络安全策略的有机组成部分,它通过掌握和监测网络之间的信息交换和拜访行为来实现对网络安全的有效治理; 从总体上看, 防火墙应当具有以下基本功能:(1) 报警功能,将任何有网络连接恳求的程序通知用户,用户自行判定是否放行也或阻断其程序连接网络;(2) 黑白名单功能,可以对现在或曾经恳求连接网络的程序进行规章设置;包括以后不准许连接网网等功能;(3) 局域网查询功能,可以查
23、询本局域网内其用户,并显示各用户主机名;(4) 流量查看功能, 对电脑进出数据流量进行查看, 直观的完整的查看实时数据量和欢迎下载精品学习资源上传下载数据率;(5) 端口扫描功能,户自可以扫描本机端口,端口范畴为0-65535 端口,扫描完后将显示已开放的端口;(6) 系统日志功能,日志分为流量日志和安全日志,流量日志是记录不同时间数据包进去电脑的情形,分别记录目标地址,对方地址,端口号等;安全日志负责记录恳求连接网络的程序,其中包括记录下程序的恳求连网时间,程序目录路径等;(7) 系统服务功能,可以便利的查看所以存在于电脑内的服务程序;可以关闭,启动,暂停电脑内的服务程序;(8) 连网/ 断
24、网功能,在不使用物理方法下使用户电脑连接网络或断开网络;完成以上功能使系统能对程序连接网络进行治理,大大提高了用户上网的效率, 降低的上网风险;从而用户上网消遣的质量到达提高,同时也到达网络安全爱护的目的;3.2网络安全的解决方案3 入侵检测系统部署入侵检测才能是衡量一个防备体系是否完整有效的重要因素,强大完整的入侵检 测体系可以补偿防火墙相对静态防备的不足; 对来自外部网和校内网内部的各种行为进行实时检测,准时发觉各种可能的攻击妄想,并实行相应的措施;具体来讲,就是 将入侵检测引擎接入中心交换机上;入侵检测系统集入侵检测、 网络治理和网络监视功能于一身,能实时捕捉内外网之间传输的全部数据,利
25、用内置的攻击特点库,使用模式匹配和智能分析的方法, 检测网络上发生的入侵行为和反常现象, 并在数据库中记录有关大事,作为网络治理员事后分析的依据;假如情形严峻,系统可以发出实时报警,使得学校治理员能够准时实行应对措施;漏洞扫描系统采纳目前最先进的漏洞扫描系统定期对工作站、 服务器、交换机等进行安全检查, 并依据检查结果向系统治理员供应具体牢靠的安全性分析报告,为提高网络安全整体水平产生重要依据;网络版杀毒产品部署在该网络防病毒方案中,我们最终要到达一个目的就是:要在整个局域网内杜绝 病毒的感染、传播和发作,为了实现这一点,我们应当在整个网络内可能感染和传播 病毒的地方实行相应的防病毒手段;同时
26、为了有效、 快捷地实施和治理整个网络的防欢迎下载精品学习资源病毒体系,应能实现远程安装、智能升级、远程报警、集中治理、分布查杀等多种功能;安全服务配置安全服务隔离区 DMZ 把服务器机群和系统治理机群单独划分出来,设置为安全服务隔离区 ,它既是内部网络的一部分 ,又是一个独立的局域网 ,单独划分出来是为了更好的爱护服务器上数据和系统治理的正常运行;建议通过NAT 网络地址转换 技术将受爱护的内部网络的全部主机地址映射成防火墙上设置 的少数几个有效公网 IP 地址;这不仅可以对外屏蔽内部网络结构和IP 地址,爱护内部网络的安全 , 也可以大大节约公网 IP 地址的使用 ,节约了投资成本;假如单位
27、原先已有边界路由器 ,就可充分利用原有设备 ,利用边界路由器的包过滤功能 ,添加相应的防火墙配置 , 这样原先的路由器也就具有防火墙功能了;然后再利用防火墙与需要爱护的内部网络连接; 对于 DMZ区中的公用服务器 ,就可直接与边界路由器相连 , 不用经过防火墙; 它可只经过路由器的简洁防护;在此拓扑结构中, 边界路由器与防火墙就一起组成了两道安全防线,并且在这两者之间可以设置一个DMZ区, 用来放置那些答应外部用户拜访的公用服务器设施;配置拜访策略拜访策略是防火墙的核心安全策略 ,所以要经过详尽的信息统计才可以进行设置; 在过程中我们需要明白本单位对内对外的应用以及所对应的源地址、目的地址、T
28、CP 或 UDP的端口,并依据不同应用的执行频繁程度计策略在规章表中的位置进行排序, 然后才能实施配置;缘由是防火墙进行规章查找时是次序执行的,假如将常用的规章放在首位就可以提高防火墙的工作效率;日志监控日志监控是特别有效的安全治理手段; 往往很多治理员认为只要可以做日志的信息就去采集;如 :全部的告警或全部与策略匹配或不匹配的流量等等,这样的做法看似日志信息特别完善,但每天进出防火墙的数据有上百万甚至更多,所以,只有采集到最关键的日志才是真正有用的日志;一般而言,系统的告警信息是有必要记录的,对于流量信息进行挑选,把影响网络安全有关的流量信息储存下来;电脑网络安全方案设计并实现欢迎下载精品学
29、习资源用户的重要信息都是以文件的形式储备在磁盘上, 使用户可以便利地存取、 修改、分发;这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密;特殊是对于移动办公的情形更是如此; 因此, 需要对移动用户的文件及文件夹进行本地安全治理,防止文件泄密等安全隐患;本设计方案采纳清华紫光公司出品的紫光S 锁产品,“紫光S 锁”是清华紫光“桌面电脑信息安全爱护系统”的商品名称; 紫光 S锁的内部集成了包括中心处理器CPU、加密运算协处理器 CAU、只读储备器 ROM,随机储备器 RAM、电可擦除可编程只读储备器 E2PROM等,以及固化在 ROM内部的芯片操作系统COSChipOperati
30、ngSystem、硬件 ID 号、各种密钥和加密算法等;紫光S锁采纳了通过中国人民银行认证的 SmartCOS,其安全模块可防止非法数据的侵入和数据的篡 改,防止非法软件对 S 锁进行操作;2. 病毒防护系统基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS;1 邮件防毒;采纳趋势科技的 ScanMailforNotes;该产品可以和 Domino的群件服务器无缝相结合并内嵌到Notes 的数据库中,可防止病毒入侵到LotueNotes 的数据库及电子邮件, 实时扫描并清除隐匿于数据库及信件附件中的病毒;可通过任何Notes 工作站或 Web界面远程控管防毒治理工作,并供应实时监
31、控病毒流量的活动记录报告; ScanMail 是 NotesDominoServer 使用率最高的防病毒软件;2 服务器防毒;采纳趋势科技的 ServerProtect ;该产品的最大特点是内含集中治理的概念, 防毒模块和治理模块可分开安装; 一方面削减了整个防毒系统对原系统的影响,另一方面使全部服务器的防毒系统可以从单点进行部署,治理和更新;3 客户端防毒; 采纳趋势科技的 OfficeScan ;该产品作为网络版的客户端防毒系统,使治理者通过单点掌握全部客户机上的防毒模块,并可以自动对全部客户端的防毒模块进行更新; 其最大特点是拥有敏捷的产品集中部署方式,不受 Windows域治理模式的约
32、束, 除支持 SMS,登录域脚本, 共享安装以外, 仍支持纯 Web的部署方式;4 集中控管 TVCS;治理员可以通过此工具在整个企业范畴内进行配置、监视和爱护趋势科技的防病毒软件, 支持跨域和跨网段的治理, 并能显示基于服务器的防病毒产品状态;无论运行于何种平台和位置, TVCS在整个网络中总起一个单一治理掌握台作用;简便的安装和分发代理部署, 网络的分析和病毒统计功能以及自动下载病毒代欢迎下载精品学习资源码文件和病毒爆发警报,给治理带来极大的便利;3. 动态口令身份认证系统动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以细心修改,通过十次以上的非线性迭代运算,完成时间参
33、数与密钥充分的混合扩散;在此基础上,采纳先进的身份认证及加解密流程、先进的密钥治理方式,从整体上保证了系统的安全性;4. 拜访掌握“防火墙”单位安全网由多个具有不同安全信任度的网络部分构成,在掌握不行信连接、 辨论非法拜访、 区分身份假装等方面存在着很大的缺陷, 从而构成了对网络安全的重要隐患;本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的 局域网出入口,实现这些重要部门的拜访掌握;通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离;这样不仅爱护了单位网络服务器,使其不受来自内
34、部的攻击,也爱护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击;假如有人闯进您的一个部门,或者假如病毒开头扩散,网段能够限制造成的损坏进一步扩大;5. 信息加密、信息完整性校验为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性;SJW-22网络密码机系统组成网络密码机硬件 : 是一个基于专用内核,具有自主版权的高级通信爱护掌握系统;本地治理器软件 : 是一个安装于密码机本地治理平台上的基于网络或串口方式的网络密码机本地治理系统软件;中心治理器软件: 是一个安装于中心治理平台 Wind
35、ows系统上的对全网的密码机设备进行统一治理的系统软件;6. 安全审计系统依据以上多层次安全防范的策略, 安全网的安全建设可实行“加密”、 “外防”、欢迎下载精品学习资源“内审”相结合的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部秘密信息是否泄密,以解决内层安全;安全审计系统能帮忙用户对安全网的安全进行实时监控,准时发觉整个网络上的动态,发觉网络入侵和违规行为,忠实记录网络上发生的一切,供应取证手段;作为 网络安全特别重要的一种手段,安全审计系统包括识别、记录、储备、分析与安全相 关行为有关的信息;在安全网中使用的安全审计系统应实现如下功能:安全审计自动响应、 安
36、全审计数据生成、安全审计分析、安全审计浏览、安全审计大事储备、 安全审计大事挑选等;本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具;汉邦安全审计系统是针对目前网络进呈现状及存在的安全问题,面对企事业的网络治理人员而设计的一套网络安全产品, 是一个分布在整个安全网范畴内的网络安全监视监测、掌握系统;1安全审计系统由安全监控中心和主机传感器两个部分构成;主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控 RAS连接、监控网络连接情形及共享资源的使用情形; 安全监控中心是治理平台和监控平台, 网络治理员通过安全监控中心为主机传感器设定监控规章, 同时获得监控结果、 报警
37、信息以及日志的审计;主要功能有文件爱护审计和主机信息审计;文件爱护审计:文件爱护安装在审计中心, 可有效的对被审计主机端的文件进行治理规章设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记 录日志、供应报警等功能;以及对文件爱护进行用户治理;主机信息审计 : 对网络内公共资源中,全部主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、 IP 地址信息;2 资源监控系统主要有四类功能;监视屏幕: 在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕 ; 用户实时掌握屏幕截获的开头和终止;4 防火墙的配置像路由器一样,在使用之前,防火墙也需要经过基本的初始配置;但因各种
38、防火墙的初始配置基本类似,所以在此仅以Cisco PIX防火墙为例进行介绍;欢迎下载精品学习资源防火墙的初始配置也是通过掌握端口 Console 与 PC机通常是便于移动的笔记本电脑的串口连接,再通过Windows系统自带的超级终端 HyperTerminal 程序进行选项配置; 防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样,参见图 1 所示;防火墙除了以上所说的通过掌握端口Console 进行初始配置外,也可以通过telnet和 Tffp 配置方式进行高级配置,但 Telnet 配置方式都是在命令方式中配置, 难度较大,而 Tffp方式需要专用的 Tffp服务器软件,但配置
39、界面比较友好;防火墙与路由器一样也有四种用户配置模式, 即:一般模式Unprivilegedmode、特权模式PrivilegedMode、配置模式ConfigurationMode和端口模式Interface Mode,进入这四种用户模式的命令也与路由器一样:一般用户模式无需特殊命令,启动后即进入;进 入特 权用 户模 式 的命 令为 enable; 进入 配置 模式 的命 令为 config terminal;而进入端口模式的命令为interface ethernet ;不过由于防火墙的端口没有路由器那么复杂,所以通常把端口模式归为配置模式,统称为 全局配置模式 ;防火墙的具体配置步骤如下
40、:1. 将防火墙的 Console 端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上,参见图 1;2. 打开 PIX 防火电源,让系统加电初始化,然后开启与防火墙连接的主机;3. 运行笔记本电脑 Windows系统中的超级终端 HyperTerminal 程序通常在 附件 程序组中;对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍;欢迎下载精品学习资源4. 当 PIX 防火墙进入系统后即显示 pixfirewall的提示符,这就证明防火墙已启动胜利,所进入的是防火墙用户模式;可以进行进一步的配置了;5. 输入命令: enable, 进入特权用户模式,此时系统提示
41、为: pixfirewall#;6. 输入命令: configure terminal,进入全局配置模式,对系统进行初始化设置;1.第一配置防火墙的网卡参数以只有1 个 LAN和 1 个 WAN接口的防火墙配置为例Interface ethernet0 auto # 0 号网卡系统自动安排为 WAN网卡, auto 选项为系统自适应网卡类型Interface ethernet1 auto2.配置防火墙内、外部网卡的 IP 地址IP address inside ip_address netmask # Inside代表内部网卡IP address outside ip_address netm
42、ask # outside代表外部网卡3.指定外部网卡的 IP 地址范畴:global 1 ip_address-ip_address4.指定要进行转换的内部地址nat 1 ip_address netmask5.配置某些掌握选项:conduit global_ip port-port protocol foreign_ip netmask其中, global_ip :指的是要掌握的地址; port :指的是所作用的端口, 0 代表全部端口; protocol :指的是连接协议,比方: TCP、UDP等;foreign_ip :表示可拜访的 global_ip 外部 IP 地址; netmask:为可选项,代表要掌握的子网掩码;7. 配置储存: wr mem8. 退出当前模式此命令为 exit ,可以任何用户模式下执行, 执行的方法也相当简洁, 只输入命令本身即可; 它与 Quit 命令一样; 下面三条语句表示了用户从配置模式退到特权模式