計算機(jī)網(wǎng)絡(luò)安全防護(hù)中防火墻的局限性.doc

計算機(jī)網(wǎng)絡(luò)安全防護(hù)中防火墻的局限性摘要：針對計算機(jī)網(wǎng)絡(luò)安全防護(hù)當(dāng)中防火墻的局限性，介紹了計算機(jī)網(wǎng)絡(luò)安全中常見的攻擊手段，如網(wǎng)絡(luò)通信攻擊手段的表現(xiàn)形式和網(wǎng)絡(luò)系統(tǒng)自身攻擊手段介紹，探討了安全傳統(tǒng)網(wǎng)絡(luò)防火墻的局限性，普通應(yīng)用程序加密與防火墻的檢測和web應(yīng)用程序與防范能力。對用戶使用計算機(jī)網(wǎng)絡(luò)的安全性提供了可靠的網(wǎng)絡(luò)服務(wù)環(huán)境。關(guān)鍵詞：計算機(jī)網(wǎng)絡(luò) 安全防護(hù) 防火墻中圖分類號：tp393.08文獻(xiàn)標(biāo)識碼：a 文章編號：1007-9416(2012)08-0166-01當(dāng)今時代，是高科技的網(wǎng)絡(luò)時代，擁有安全、可靠的計算機(jī)網(wǎng)絡(luò)環(huán)境是用戶夢寐以求的愿望，因為安全可靠是保證工作性能的基礎(chǔ)，因此，計算機(jī)的網(wǎng)絡(luò)安全是優(yōu)質(zhì)公共事業(yè)服務(wù)的環(huán)境，它可以使企事業(yè)單位利用計算機(jī)和網(wǎng)絡(luò)的辦公、生產(chǎn)、經(jīng)營活動有序，并可以使計算機(jī)網(wǎng)絡(luò)可以規(guī)范的為社會效益與經(jīng)濟(jì)效益服務(wù)。網(wǎng)絡(luò)技術(shù)的發(fā)展也對計算機(jī)網(wǎng)絡(luò)的綜合安全性提出了嚴(yán)峻的考驗，信息化的高科技時代越來越離不開安全可靠的網(wǎng)絡(luò)化。但由于計算機(jī)網(wǎng)絡(luò)自身的特性，如自由性、廣闊性、開放性制約著必然存在較多的安全漏洞、安全隱患，也使不法分子和一些黑客由于利益的驅(qū)動，是他們利用技術(shù)手段對計算機(jī)的軟件程序進(jìn)行威脅攻擊，通過非法的手段竊取或破壞具有價值的資料，這些資料對于擁有者也可能是非常重要的私人信息、重要的數(shù)據(jù)，由于黑客的攻擊致使網(wǎng)絡(luò)服務(wù)中斷，由于感染病毒，致使計算機(jī)的運(yùn)行速率減慢甚至是將計算機(jī)的整體系統(tǒng)受到徹底的崩潰。1、計算機(jī)網(wǎng)絡(luò)安全中常見的攻擊手段在應(yīng)用的計算機(jī)網(wǎng)絡(luò)系統(tǒng)中，它們的運(yùn)行平臺空間可以傳輸與存儲海量的數(shù)據(jù)，這種存儲方便的功能，同時極有可能被非法盜用、篡改或暴露，就是在正常的使用環(huán)境中稍不留神，也可能受到黑客們的攻擊，他們的攻擊手段一般就是采用監(jiān)聽、假冒、掃描、篡改、惡意攻擊、阻隔服務(wù)等許多方式。1.1 網(wǎng)絡(luò)通信攻擊手段的表現(xiàn)形式計算機(jī)網(wǎng)絡(luò)平臺為不同地域、空間的人們創(chuàng)設(shè)了共享交流的工具，當(dāng)用戶通過網(wǎng)絡(luò)進(jìn)行通信聯(lián)絡(luò)交流時，如果沒有設(shè)置有效的保密防護(hù)措施，同樣位于網(wǎng)絡(luò)中的其他人員便有可能偷聽或獲取到通信內(nèi)容。該類竊取信息內(nèi)容的攻擊方式主要通過對計算機(jī)系統(tǒng)與網(wǎng)絡(luò)信息進(jìn)行監(jiān)聽進(jìn)而獲取相關(guān)通信內(nèi)容。網(wǎng)絡(luò)黑客常常利用該類監(jiān)聽手段對其想要獲取信息的對象展開攻擊，竊取用戶賬號、網(wǎng)址或密碼，可能導(dǎo)致重要保密信息的泄漏。例如，操作應(yīng)用系統(tǒng)的主體類型、ip地址、具體開放的tcp端口、口令信息、系統(tǒng)用戶名等內(nèi)容。黑客們還會利用假冒身份手段對各類業(yè)務(wù)應(yīng)用進(jìn)行偽造，通過對各類金融業(yè)務(wù)信息的偽造、數(shù)據(jù)篡改、更改金融業(yè)務(wù)信息流時序、次序與流向，對其金融信息的綜合完整性進(jìn)行破壞，假冒合法用戶身份對信息進(jìn)行肆意篡改并開展金融欺詐等。1.2 網(wǎng)絡(luò)系統(tǒng)自身攻擊手段介紹排除通信過程中相關(guān)信息安全問題外，計算機(jī)網(wǎng)絡(luò)系統(tǒng)自身也會受到一些不良惡意程序的威脅攻擊，例如病毒攻擊、木馬、蠕蟲攻擊、邏輯炸彈攻擊等。這些黑客們向網(wǎng)絡(luò)系統(tǒng)大量發(fā)送ping包進(jìn)向服務(wù)器進(jìn)行攻擊，使網(wǎng)絡(luò)系統(tǒng)服務(wù)器由于長期處于超負(fù)荷工作狀態(tài)，致使相關(guān)的服務(wù)器出現(xiàn)癱瘓問題。另外入侵者還可通過對網(wǎng)絡(luò)系統(tǒng)發(fā)送不良電子郵件，借助網(wǎng)絡(luò)系統(tǒng)傳播功能令公司整體網(wǎng)絡(luò)的持續(xù)服務(wù)與正常運(yùn)行受到不同程度的影響，還有可能令整體網(wǎng)絡(luò)系統(tǒng)被不良破壞。隨著信息技術(shù)的日新月異，網(wǎng)絡(luò)安全已被擺上日益突出的位置。2、安全網(wǎng)絡(luò)防火墻的局限性在計算機(jī)網(wǎng)絡(luò)中有不同類型的防火墻。這種稱作防火墻的硬件是計算機(jī)系統(tǒng)自身的一部分，通過網(wǎng)線將因特網(wǎng)和計算機(jī)連接起來。防火墻可以使用在獨立的機(jī)器上運(yùn)行，也可以將這個機(jī)器作為支持網(wǎng)絡(luò)的所有計算機(jī)的代理和防火墻，但是我們不要以為在機(jī)算機(jī)設(shè)備中運(yùn)行了防火墻，計算機(jī)網(wǎng)絡(luò)安全就萬事大吉了，放火墻還有許多局限性。2.1 普通應(yīng)用程序加密防火墻無法檢測網(wǎng)絡(luò)防火墻它不是現(xiàn)實中的障礙物，它是計算機(jī)的一個軟件。只有當(dāng)應(yīng)用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫中已有的特征完全匹配時，防火墻才能識別和截獲攻擊數(shù)據(jù)。如果采用常見的編碼技術(shù)，就能夠?qū)阂獯a和其他攻擊命令隱藏起來，轉(zhuǎn)換成某種形式，既能欺騙前端的網(wǎng)絡(luò)安全系統(tǒng)，又能夠在后臺服務(wù)器中執(zhí)行。這種攻擊代碼具有較強(qiáng)的破壞功能，只要與防火墻規(guī)則庫中的不一致，就能夠躲過網(wǎng)絡(luò)防火墻的防護(hù)。2.2 加密的web應(yīng)用程序無法檢測網(wǎng)絡(luò)防火墻是于1990年發(fā)明的，這種用于檢測的防火墻，是基于網(wǎng)絡(luò)層tcp和1p地址，但隨著計算機(jī)的發(fā)展，由于網(wǎng)絡(luò)防火墻對于加密的ssl流中的數(shù)據(jù)是不可見的，防火墻無法迅速截獲ssl數(shù)據(jù)流并對其解密，因此無法阻止應(yīng)用程序的攻擊，甚至有些網(wǎng)絡(luò)防火墻，根本就不提供數(shù)據(jù)解密的功能。2.3 對于web的應(yīng)用程序防火墻能力不足對于常規(guī)的企業(yè)局域網(wǎng)的防范，雖然通用的網(wǎng)絡(luò)防火墻仍占有很高的市場份額，但對于新近出現(xiàn)的上層協(xié)議，如xml和soap等應(yīng)用的防范，網(wǎng)絡(luò)防火墻就顯得有些力不從心。即使是最先進(jìn)的網(wǎng)絡(luò)防火墻，在防范web應(yīng)用程序時，由于無法全面控制網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)流，也無法截獲應(yīng)用層的攻擊。2.4 防火墻的應(yīng)用防護(hù)只適用于簡單情況先進(jìn)網(wǎng)絡(luò)防火墻供應(yīng)商，雖然提出了應(yīng)用防護(hù)的特性，但只適用于簡單的環(huán)境中。對于實際的企業(yè)應(yīng)用來說，這些特征存在著局限性。有些防火墻供應(yīng)商，聲稱能夠阻止緩存溢出，但是，如果一個程序或者是一個簡單的web網(wǎng)頁，防火墻具有防護(hù)的局限性只能屏蔽。2.5 防火墻無法擴(kuò)展深度檢測功能設(shè)置的網(wǎng)絡(luò)防火墻，如果針對所有網(wǎng)絡(luò)和應(yīng)用程序流量的深度檢測功能，防火墻是無法高效運(yùn)行的，雖然一些網(wǎng)絡(luò)防火墻供應(yīng)商采用的是基于asic的平臺，基于網(wǎng)絡(luò)的a-sic平臺對于新的深度檢測功能是無法支持的。3、結(jié)語基于計算機(jī)網(wǎng)絡(luò)安全的現(xiàn)實重要性只有認(rèn)清形勢、合理明晰影響網(wǎng)絡(luò)安全的常見攻擊手段、原理與方式，深入探索保護(hù)網(wǎng)絡(luò)安全的有效防范技術(shù)策略，才能有效提升網(wǎng)絡(luò)系統(tǒng)