計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中防火墻的局限性.doc

計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中防火墻的局限性摘要：針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)當(dāng)中防火墻的局限性，介紹了計(jì)算機(jī)網(wǎng)絡(luò)安全中常見的攻擊手段，如網(wǎng)絡(luò)通信攻擊手段的表現(xiàn)形式和網(wǎng)絡(luò)系統(tǒng)自身攻擊手段介紹，探討了安全傳統(tǒng)網(wǎng)絡(luò)防火墻的局限性，普通應(yīng)用程序加密與防火墻的檢測(cè)和web應(yīng)用程序與防范能力。對(duì)用戶使用計(jì)算機(jī)網(wǎng)絡(luò)的安全性提供了可靠的網(wǎng)絡(luò)服務(wù)環(huán)境。關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò) 安全防護(hù) 防火墻中圖分類號(hào)：tp393.08文獻(xiàn)標(biāo)識(shí)碼：a 文章編號(hào)：1007-9416(2012)08-0166-01當(dāng)今時(shí)代，是高科技的網(wǎng)絡(luò)時(shí)代，擁有安全、可靠的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境是用戶夢(mèng)寐以求的愿望，因?yàn)榘踩煽渴潜ＷC工作性能的基礎(chǔ)，因此，計(jì)算機(jī)的網(wǎng)絡(luò)安全是優(yōu)質(zhì)公共事業(yè)服務(wù)的環(huán)境，它可以使企事業(yè)單位利用計(jì)算機(jī)和網(wǎng)絡(luò)的辦公、生產(chǎn)、經(jīng)營(yíng)活動(dòng)有序，并可以使計(jì)算機(jī)網(wǎng)絡(luò)可以規(guī)范的為社會(huì)效益與經(jīng)濟(jì)效益服務(wù)。網(wǎng)絡(luò)技術(shù)的發(fā)展也對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的綜合安全性提出了嚴(yán)峻的考驗(yàn)，信息化的高科技時(shí)代越來越離不開安全可靠的網(wǎng)絡(luò)化。但由于計(jì)算機(jī)網(wǎng)絡(luò)自身的特性，如自由性、廣闊性、開放性制約著必然存在較多的安全漏洞、安全隱患，也使不法分子和一些黑客由于利益的驅(qū)動(dòng)，是他們利用技術(shù)手段對(duì)計(jì)算機(jī)的軟件程序進(jìn)行威脅攻擊，通過非法的手段竊取或破壞具有價(jià)值的資料，這些資料對(duì)于擁有者也可能是非常重要的私人信息、重要的數(shù)據(jù)，由于黑客的攻擊致使網(wǎng)絡(luò)服務(wù)中斷，由于感染病毒，致使計(jì)算機(jī)的運(yùn)行速率減慢甚至是將計(jì)算機(jī)的整體系統(tǒng)受到徹底的崩潰。1、計(jì)算機(jī)網(wǎng)絡(luò)安全中常見的攻擊手段在應(yīng)用的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，它們的運(yùn)行平臺(tái)空間可以傳輸與存儲(chǔ)海量的數(shù)據(jù)，這種存儲(chǔ)方便的功能，同時(shí)極有可能被非法盜用、篡改或暴露，就是在正常的使用環(huán)境中稍不留神，也可能受到黑客們的攻擊，他們的攻擊手段一般就是采用監(jiān)聽、假冒、掃描、篡改、惡意攻擊、阻隔服務(wù)等許多方式。1.1 網(wǎng)絡(luò)通信攻擊手段的表現(xiàn)形式計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)為不同地域、空間的人們創(chuàng)設(shè)了共享交流的工具，當(dāng)用戶通過網(wǎng)絡(luò)進(jìn)行通信聯(lián)絡(luò)交流時(shí)，如果沒有設(shè)置有效的保密防護(hù)措施，同樣位于網(wǎng)絡(luò)中的其他人員便有可能偷聽或獲取到通信內(nèi)容。該類竊取信息內(nèi)容的攻擊方式主要通過對(duì)計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)信息進(jìn)行監(jiān)聽進(jìn)而獲取相關(guān)通信內(nèi)容。網(wǎng)絡(luò)黑客常常利用該類監(jiān)聽手段對(duì)其想要獲取信息的對(duì)象展開攻擊，竊取用戶賬號(hào)、網(wǎng)址或密碼，可能導(dǎo)致重要保密信息的泄漏。例如，操作應(yīng)用系統(tǒng)的主體類型、ip地址、具體開放的tcp端口、口令信息、系統(tǒng)用戶名等內(nèi)容。黑客們還會(huì)利用假冒身份手段對(duì)各類業(yè)務(wù)應(yīng)用進(jìn)行偽造，通過對(duì)各類金融業(yè)務(wù)信息的偽造、數(shù)據(jù)篡改、更改金融業(yè)務(wù)信息流時(shí)序、次序與流向，對(duì)其金融信息的綜合完整性進(jìn)行破壞，假冒合法用戶身份對(duì)信息進(jìn)行肆意篡改并開展金融欺詐等。1.2 網(wǎng)絡(luò)系統(tǒng)自身攻擊手段介紹排除通信過程中相關(guān)信息安全問題外，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自身也會(huì)受到一些不良惡意程序的威脅攻擊，例如病毒攻擊、木馬、蠕蟲攻擊、邏輯炸彈攻擊等。這些黑客們向網(wǎng)絡(luò)系統(tǒng)大量發(fā)送ping包進(jìn)向服務(wù)器進(jìn)行攻擊，使網(wǎng)絡(luò)系統(tǒng)服務(wù)器由于長(zhǎng)期處于超負(fù)荷工作狀態(tài)，致使相關(guān)的服務(wù)器出現(xiàn)癱瘓問題。另外入侵者還可通過對(duì)網(wǎng)絡(luò)系統(tǒng)發(fā)送不良電子郵件，借助網(wǎng)絡(luò)系統(tǒng)傳播功能令公司整體網(wǎng)絡(luò)的持續(xù)服務(wù)與正常運(yùn)行受到不同程度的影響，還有可能令整體網(wǎng)絡(luò)系統(tǒng)被不良破壞。隨著信息技術(shù)的日新月異，網(wǎng)絡(luò)安全已被擺上日益突出的位置。2、安全網(wǎng)絡(luò)防火墻的局限性在計(jì)算機(jī)網(wǎng)絡(luò)中有不同類型的防火墻。這種稱作防火墻的硬件是計(jì)算機(jī)系統(tǒng)自身的一部分，通過網(wǎng)線將因特網(wǎng)和計(jì)算機(jī)連接起來。防火墻可以使用在獨(dú)立的機(jī)器上運(yùn)行，也可以將這個(gè)機(jī)器作為支持網(wǎng)絡(luò)的所有計(jì)算機(jī)的代理和防火墻，但是我們不要以為在機(jī)算機(jī)設(shè)備中運(yùn)行了防火墻，計(jì)算機(jī)網(wǎng)絡(luò)安全就萬事大吉了，放火墻還有許多局限性。2.1 普通應(yīng)用程序加密防火墻無法檢測(cè)網(wǎng)絡(luò)防火墻它不是現(xiàn)實(shí)中的障礙物，它是計(jì)算機(jī)的一個(gè)軟件。只有當(dāng)應(yīng)用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫(kù)中已有的特征完全匹配時(shí)，防火墻才能識(shí)別和截獲攻擊數(shù)據(jù)。如果采用常見的編碼技術(shù)，就能夠?qū)阂獯a和其他攻擊命令隱藏起來，轉(zhuǎn)換成某種形式，既能欺騙前端的網(wǎng)絡(luò)安全系統(tǒng)，又能夠在后臺(tái)服務(wù)器中執(zhí)行。這種攻擊代碼具有較強(qiáng)的破壞功能，只要與防火墻規(guī)則庫(kù)中的不一致，就能夠躲過網(wǎng)絡(luò)防火墻的防護(hù)。2.2 加密的web應(yīng)用程序無法檢測(cè)網(wǎng)絡(luò)防火墻是于1990年發(fā)明的，這種用于檢測(cè)的防火墻，是基于網(wǎng)絡(luò)層tcp和1p地址，但隨著計(jì)算機(jī)的發(fā)展，由于網(wǎng)絡(luò)防火墻對(duì)于加密的ssl流中的數(shù)據(jù)是不可見的，防火墻無法迅速截獲ssl數(shù)據(jù)流并對(duì)其解密，因此無法阻止應(yīng)用程序的攻擊，甚至有些網(wǎng)絡(luò)防火墻，根本就不提供數(shù)據(jù)解密的功能。2.3 對(duì)于web的應(yīng)用程序防火墻能力不足對(duì)于常規(guī)的企業(yè)局域網(wǎng)的防范，雖然通用的網(wǎng)絡(luò)防火墻仍占有很高的市場(chǎng)份額，但對(duì)于新近出現(xiàn)的上層協(xié)議，如xml和soap等應(yīng)用的防范，網(wǎng)絡(luò)防火墻就顯得有些力不從心。即使是最先進(jìn)的網(wǎng)絡(luò)防火墻，在防范web應(yīng)用程序時(shí)，由于無法全面控制網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)流，也無法截獲應(yīng)用層的攻擊。2.4 防火墻的應(yīng)用防護(hù)只適用于簡(jiǎn)單情況先進(jìn)網(wǎng)絡(luò)防火墻供應(yīng)商，雖然提出了應(yīng)用防護(hù)的特性，但只適用于簡(jiǎn)單的環(huán)境中。對(duì)于實(shí)際的企業(yè)應(yīng)用來說，這些特征存在著局限性。有些防火墻供應(yīng)商，聲稱能夠阻止緩存溢出，但是，如果一個(gè)程序或者是一個(gè)簡(jiǎn)單的web網(wǎng)頁(yè)，防火墻具有防護(hù)的局限性只能屏蔽。2.5 防火墻無法擴(kuò)展深度檢測(cè)功能設(shè)置的網(wǎng)絡(luò)防火墻，如果針對(duì)所有網(wǎng)絡(luò)和應(yīng)用程序流量的深度檢測(cè)功能，防火墻是無法高效運(yùn)行的，雖然一些網(wǎng)絡(luò)防火墻供應(yīng)商采用的是基于asic的平臺(tái)，基于網(wǎng)絡(luò)的a-sic平臺(tái)對(duì)于新的深度檢測(cè)功能是無法支持的。3、結(jié)語(yǔ)基于計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)實(shí)重要性只有認(rèn)清形勢(shì)、合理明晰影響網(wǎng)絡(luò)安全的常見攻擊手段、原理與方式，深入探索保護(hù)網(wǎng)絡(luò)安全的有效防范技術(shù)策略，才能有效提升網(wǎng)絡(luò)系統(tǒng)