计算机网络安全的现状及对策

p;3.宏病毒　这是一种特殊的文件型病毒，由于宏功能的强大，一些软件开发商在产品研发中引入宏语言，并允许这些产品在生成载有宏的数据文件之后出现。宏病毒就是主要利用Microsoft word 提供的宏功能来将病毒驻进到带有宏的.DOC文档中，病毒的传输速度很快，对系统和文件可以造成破坏。
5.2.2 计算机病毒的主要传播途径
1.通过存储设备来传播，包括软盘、硬盘、优盘、光盘等。2.通过计算机网络进行传播，如收发电子邮件、访问网页、下载文件或软件等。
5.2.3 计算机感染病毒的主要症状
1.程序载入时间比平常久，即运行速度慢。
2.系统内存容量忽然大量减少。
3.磁盘可利用的空间突然减少。
4.无缘无故丢失数据和程序，有些文件的内容被加上一些奇怪的资料。
5.文件名称、扩展名、日期、属性被更改过。
5.2.4 病毒攻击实例
2000年5月至今，“爱虫病毒”已经令众多用户电脑被感染，且影响持续时间长，造成损失超过100亿美元以上。    2003年1月“蠕虫王”病毒使得网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元。
2003年7月，令全世界闻风丧胆、令所有企业深恶痛绝的“冲击波”病毒发作，使得大量网络瘫痪，造成了数十亿美金的损失。
5.2.5计算机病毒防范策略
1. 把好入口关。光盘、软盘之前必须使用杀毒工具进行病毒的扫描，看是否有病毒。
2. 日常维护少不了。
3. 不要随便登录不明网站。
第6章防火墙技术
6.1 防火墙的概述
防火墙是一个或一组系统，它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同，但是在原则上，防火墙可以被认为是这样一对机制：一种机制是拦阻传输流通行，另一种机制是允许传输流通过。
“防火墙”是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关(scurity gateway),从而保护内部网免受非法用户的侵入。所谓防火墙就是一个能把互联网与内部网隔开的屏障。
6.2 防火墙的作用和特性
6.2.1 防火墙的作用
1．防火墙能强化安全策略（防火墙是阻塞点）。
2．防火墙能有效的记录Internet上的活动。如作日志记录、有报警功能。
3．防火墙能限制暴露用户点，隐藏内部信息。
4．防火墙是一个安全策略的检查站。
6.2.2 防火墙的特性
1．所有内部对外部的通信都必须通过防火墙，反之亦然。
2．只有按安全策略所定义的授权，通信才允许通过。
3．防火墙不能防范不通过它的连接。
4．防火墙不能防御所有的威胁。
6.3 实现防火墙的主要技术
6.3.1 数据包过滤技术
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。    数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。
包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
6.3.2 应用级网关
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。
6.3.3 代理服务技术
代理服务(Proxy Server)是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。
6.4 防火墙的体系结构
防火墙的体系结构可分为简单结构和复杂结构。简单结构包括屏蔽路由器结构和双重宿主主机结构；复杂结构包括屏蔽主机体系结构（应用最多）和屏蔽子网体系结构。
6.4.1 双重宿主主机结构
双重宿主主机结构（见图5.1）此结构有双网卡，运行包过滤技术（进行安全检查）和应用代理技术（代理服务，转发数据）。
优点：结构简单，易于实现，成本低，能够提供比较完善的控制机制。
缺点：一个主机同时运行防火墙的两种技术，它的速度慢，安全性也不好。

图5.1 双重宿主主机结构
6.4.2 屏蔽主机体系结构
屏蔽主机体系结构（见图5.2）特点：此类防火墙结构由屏蔽路由器和壁垒主机构成，路由器运行包过滤技术，它位于内外网之间，为系统提供主要的安全功能。壁垒主机位于内部网中，运行代理服务技术，负责数据中转。此结构只允许壁垒主机与外部网络通信，外部网络能够到达内部网络唯一的节点是壁垒主机。
优点：它能为内部网提供更好的安全性。
缺点：壁垒主机与内部网之间没有任何的安全措施，一旦路由器失效，整个内部网就会十分危险。

        图5.2 屏蔽主机体系结构
6.4.3 屏蔽子网体系结构
屏蔽子网体系结构（见图5.3）特点：此类防火墙结构有两个屏蔽路由器和一个壁垒主机三部分构成。两个路由器运行包过滤技术，主要负责数据的过滤检查。壁垒主机运行代理服务技术，负责将合法数据转发出去。入侵者必须通过内外路由器、壁垒主机三道防线才能进入内部系统。既使壁垒主机被侵害，内部系统仍然是安全的。
优点：安全性很高（三道防线、内部网对外部不可见、代理服务）。
缺点：结构复杂，造价高。

图5.3 屏蔽子网体系结构
&nbs

首页上一页 2 3 4 5 6 下一页尾页 5/6/6

计算机网络安全的现状及对策(五)