版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、<p> 網(wǎng)絡(luò)安全技術(shù)專題(論文)</p><p> 題目: 銀行辦公局域網(wǎng)辦公攻擊方案 </p><p> 院(系): 軟件學(xué)院 </p><p> 專業(yè)班級(jí): </p><p> 學(xué) 號(hào): <
2、/p><p> 學(xué)生姓名: </p><p> 指導(dǎo)教師: </p><p> 教師職稱: 助 教 </p><p> 起止時(shí)間:2010.12.06-2010.12.19</p><p> 專題設(shè)計(jì)(論
3、文)任務(wù)及評(píng)語(yǔ)</p><p> 院(系):軟件學(xué)院 教研室:網(wǎng)絡(luò)教研室</p><p><b> 目 錄</b></p><p> 第1章 專題的設(shè)計(jì)目的與要求1</p><p> 1.1 專題設(shè)計(jì)目的1</p><
4、p> 1.2 專題設(shè)計(jì)的實(shí)驗(yàn)環(huán)境1</p><p> 1.3 專題設(shè)計(jì)的預(yù)備知識(shí)1</p><p> 1.4 專題設(shè)計(jì)要求3</p><p> 第2章 專題的設(shè)計(jì)內(nèi)容4</p><p> 2.1 背景描述8</p><p> 2.2軟件安裝與工具使用9</p><p&g
5、t; 2.3結(jié)果顯示15</p><p> 第3章 設(shè)計(jì)總結(jié)16</p><p><b> 參考文獻(xiàn)17</b></p><p> 第1章 專題的設(shè)計(jì)目的與要求</p><p> 1.1 專題設(shè)計(jì)目的</p><p> 本技術(shù)專題實(shí)際是網(wǎng)絡(luò)系統(tǒng)管理專業(yè)學(xué)生學(xué)習(xí)完《網(wǎng)絡(luò)安全基礎(chǔ)》課
6、程后,進(jìn)行的一次關(guān)于網(wǎng)絡(luò)安全技術(shù)方面的訓(xùn)練,學(xué)生應(yīng)該具有較系統(tǒng)的網(wǎng)絡(luò)安全知識(shí),并在實(shí)際應(yīng)用時(shí)具備一定的防范非法入侵、維護(hù)網(wǎng)絡(luò)、系統(tǒng)安全性的能力,其目的在于加深對(duì)網(wǎng)絡(luò)安全知識(shí)的理解,掌握運(yùn)用軟件進(jìn)行攻擊和防御的基本方法。</p><p> 1.2 專題設(shè)計(jì)的實(shí)驗(yàn)環(huán)境</p><p> 硬件:Intel® Pentium ( R ) 4 CPU 2.4GHz 845P主板
7、 DDR256M內(nèi)存 </p><p> 軟件:冰盾DDoS防火墻2010 V9.7 Build</p><p> 1.3 專題設(shè)計(jì)的預(yù)備知識(shí)</p><p><b> 1.什么事防火墻</b></p><p> 防火墻是一個(gè)或一組系統(tǒng),它在網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略。實(shí)現(xiàn)防火墻的實(shí)際方式各不相同,但是
8、在原則上,防火墻可以被認(rèn)為是這樣一對(duì)機(jī)制:一種機(jī)制是攔阻傳輸流通行,另一種機(jī)制是允許傳輸流通過(guò)。一些防火墻偏重?cái)r阻傳輸流的通行,而另一些防火墻則偏重允許傳輸流通過(guò)。了解有關(guān)防火墻的最重要的概念可能就是它實(shí)現(xiàn)了一種訪問(wèn)控制策略。如果你不太清楚你需要允許或否決那類(lèi)訪問(wèn),你可以讓其他人或某些產(chǎn)品根據(jù)他(它)們認(rèn)為應(yīng)當(dāng)做的事來(lái)配置防火墻,然后他(它)們會(huì)為你的機(jī)構(gòu)全面地制定訪問(wèn)策略。</p><p> 2.防火墻可以防
9、范什么?</p><p> 一般來(lái)說(shuō),防火墻在配置上是防止來(lái)自“外部”世界未經(jīng)授權(quán)的交互式登錄的。這大大有助于防止破壞者登錄到你網(wǎng)絡(luò)中的計(jì)算機(jī)上。一些設(shè)計(jì)更為精巧的防火墻可以防止來(lái)自外部的傳輸流進(jìn)入內(nèi)部,但又允許內(nèi)部的用戶可以自由地與外部通信。如果你切斷防火墻的話,它可以保護(hù)你免受網(wǎng)絡(luò)上任何類(lèi)型的攻擊。</p><p> 防火墻的另一個(gè)非常重要的特性是可以提供一個(gè)單獨(dú)的“攔阻點(diǎn)”,在“
10、攔阻點(diǎn)”上設(shè)置安全和審計(jì)檢查。與計(jì)算機(jī)系統(tǒng)正受到某些人利用調(diào)制解調(diào)器撥入攻擊的情況不同,防火墻可以發(fā)揮一種有效的“電話監(jiān)聽(tīng)”(Phone tap)和跟蹤工具的作用。防火墻提供了一種重要的記錄和審計(jì)功能;它們經(jīng)??梢韵蚬芾韱T提供一些情況概要,提供有關(guān)通過(guò)防火墻的傳流輸?shù)念?lèi)型和數(shù)量以及有多少次試圖闖入防火墻的企圖等等信息。</p><p> 3.防火墻不能防范什么?</p><p> 防火
11、墻不能防范不經(jīng)過(guò)防火墻的攻擊。許多接入到Internet的企業(yè)對(duì)通過(guò)接入路線造成公司專用數(shù)據(jù)數(shù)據(jù)泄露非常擔(dān)心。不幸得是,對(duì)于這些擔(dān)心來(lái)說(shuō),一盤(pán)磁帶可以被很有效地用來(lái)泄露數(shù)據(jù)。許多機(jī)構(gòu)的管理層對(duì)Internet接入非??謶?,它們對(duì)應(yīng)當(dāng)如何保護(hù)通過(guò)調(diào)制解調(diào)器撥號(hào)訪問(wèn)沒(méi)有連慣的政策。當(dāng)你住在一所木屋中,卻安裝了一扇六英尺厚的鋼門(mén),會(huì)被認(rèn)為很愚蠢。然而,有許多機(jī)構(gòu)購(gòu)買(mǎi)了價(jià)格昂貴的防火墻,但卻忽視了通往其網(wǎng)絡(luò)中的其它幾扇后門(mén)。要使防火墻發(fā)揮作用,
12、防火墻就必須成為整個(gè)機(jī)構(gòu)安全架構(gòu)中不可分割的一部分。防火墻的策略必須現(xiàn)實(shí),能夠反映出整個(gè)網(wǎng)絡(luò)安全的水平。例如,一個(gè)保存著超級(jí)機(jī)密或保密數(shù)據(jù)的站點(diǎn)根本不需要防火墻:首先,它根本不應(yīng)當(dāng)被接入到Internet上,或者保存著真正秘密數(shù)據(jù)的系統(tǒng)應(yīng)當(dāng)與這家企業(yè)的其余網(wǎng)絡(luò)隔離開(kāi)。</p><p> 4..什么是“單故障點(diǎn)”?應(yīng)當(dāng)如何避免出現(xiàn)這種故障?</p><p> 安全性取決于一種機(jī)制的結(jié)構(gòu)具
13、有單故障點(diǎn)。運(yùn)行橋頭堡主機(jī)的軟件存在錯(cuò)誤。應(yīng)用程序存在錯(cuò)誤。控制路由器的軟件存在錯(cuò)誤。使用所有這些組件建造設(shè)計(jì)安全的網(wǎng)絡(luò),并以冗余的方式使用它們才有意義。</p><p> 如果你的防火墻結(jié)構(gòu)是屏蔽子網(wǎng),那么,你有兩臺(tái)包過(guò)濾路由器和一臺(tái)橋頭堡主機(jī)。(參見(jiàn)本節(jié)的問(wèn)題2)Internet訪問(wèn)路由器不允許傳輸流從Internet進(jìn)入你的專用網(wǎng)絡(luò)。然而,如果你不在橋頭堡主機(jī)以及(或)阻塞(choke)路由器上與其它任何
14、機(jī)制一道執(zhí)行這個(gè)規(guī)則(rule)的話,那么只要這種結(jié)構(gòu)中的一個(gè)組件出現(xiàn)故障或遭到破壞就會(huì)使攻擊者進(jìn)入防火墻內(nèi)部。另一方面,如果你在橋頭堡主機(jī)上具有冗余規(guī)則,并在阻塞路由器上也有冗余規(guī)則,那么攻擊者必須對(duì)付三種機(jī)制。</p><p> 此外,如果這臺(tái)橋頭堡主機(jī)或阻塞路由器使用規(guī)則來(lái)攔阻外部訪問(wèn)進(jìn)入內(nèi)部網(wǎng)絡(luò)的話,你可能需要讓它觸發(fā)某種報(bào)警,因?yàn)槟阒烙腥诉M(jìn)入了你的訪問(wèn)路由器。</p><p>
15、; 5.防火墻的基本類(lèi)型是什么?</p><p> 在概念上,有兩種類(lèi)型的防火墻:</p><p><b> 1、網(wǎng)絡(luò)級(jí)防火墻</b></p><p><b> 2、應(yīng)用級(jí)防火墻</b></p><p> 這兩種類(lèi)型的差異并不像你想像得那樣大,最新的技術(shù)模糊了兩者之間的區(qū)別,使哪個(gè)“更好”
16、或“更壞”不再那么明顯。同以往一樣,你需要謹(jǐn)慎選擇滿足你需要的防火墻類(lèi)型。</p><p> 網(wǎng)絡(luò)級(jí)防火墻一般根據(jù)源、目的地址做出決策,輸入單個(gè)的IP包。一臺(tái)簡(jiǎn)單的路由器是“傳統(tǒng)的”網(wǎng)絡(luò)級(jí)防火墻,因?yàn)樗荒茏龀鰪?fù)雜的決策,不能判斷出一個(gè)包的實(shí)際含意或包的實(shí)際出處。現(xiàn)代網(wǎng)絡(luò)級(jí)防火墻已變得越來(lái)越復(fù)雜,可以保持流經(jīng)它的接入狀態(tài)、一些數(shù)據(jù)流的內(nèi)容等等有關(guān)信息。許多網(wǎng)絡(luò)級(jí)防火墻之間的一個(gè)重要差別是防火墻可以使傳輸流直接通
17、過(guò),因此要使用這樣的防火墻通常需要分配有效的IP地址塊。網(wǎng)絡(luò)級(jí)防火墻一般速度都很快,對(duì)用戶很透明。</p><p> 應(yīng)用級(jí)防火墻一般是運(yùn)行代理服務(wù)器的主機(jī),它不允許傳輸流在網(wǎng)絡(luò)之間直接傳輸,并對(duì)通過(guò)它的傳輸流進(jìn)行記錄和審計(jì)。由于代理應(yīng)用程序是運(yùn)行在防火墻上的軟件部件,因此它處于實(shí)施記錄和訪問(wèn)控制的理想位置。應(yīng)用級(jí)防火墻可以被用作網(wǎng)絡(luò)地址翻譯器,因?yàn)閭鬏斄魍ㄟ^(guò)有效地屏蔽掉起始接入原址的應(yīng)用程序后,從一“面”進(jìn)來(lái)
18、,從另一面出去。在某些情況下,設(shè)置了應(yīng)用級(jí)防火墻后,可能會(huì)對(duì)性能造成影響,會(huì)使防火墻不太透明。早期的應(yīng)用級(jí)防火墻,如那些利用TIS防火墻工具包構(gòu)造的防火墻,對(duì)于最終用戶不很透明,并需要對(duì)用戶進(jìn)行培訓(xùn)。應(yīng)用級(jí)防火墻一般會(huì)提供更詳盡的審計(jì)報(bào)告,比網(wǎng)絡(luò)級(jí)防火墻實(shí)施更保守的安全模型。</p><p> 防火墻未來(lái)的位置應(yīng)當(dāng)處于網(wǎng)絡(luò)級(jí)防火墻與應(yīng)用級(jí)防火墻之間的某一位置。網(wǎng)絡(luò)級(jí)防火墻可能對(duì)流經(jīng)它們的信息越來(lái)越“了解”(aw
19、are),而應(yīng)用級(jí)防火墻可能將變得更加“低級(jí)”和透明。最終的結(jié)果將是能夠?qū)νㄟ^(guò)的數(shù)據(jù)流記錄和審計(jì)的快速包屏蔽系統(tǒng)。越來(lái)越多的防火墻(網(wǎng)絡(luò)和應(yīng)用層)中都包含了加密機(jī)制,使它們可以在Internet上保護(hù)流經(jīng)它們之間的傳輸流。具有端到端加密功能的防火墻可以被使用多點(diǎn)Internet接入的機(jī)構(gòu)所用,這些機(jī)構(gòu)可以將Internet作為“專用骨干網(wǎng)”,無(wú)需擔(dān)心自己的數(shù)據(jù)或口令被偷看。</p><p> 1.4 專題設(shè)計(jì)要
20、求</p><p> 該實(shí)訓(xùn)要求對(duì)網(wǎng)絡(luò)安全的知識(shí)有一定基礎(chǔ),通過(guò)資料查閱和學(xué)習(xí),了解網(wǎng)絡(luò)安全攻擊與防御實(shí)例。通過(guò)在實(shí)驗(yàn)室的實(shí)踐,能夠獨(dú)立承擔(dān)實(shí)訓(xùn)任務(wù);內(nèi)容翔實(shí),符合實(shí)訓(xùn)的要求;進(jìn)行攻擊和防御的步驟要分明;安全配置的過(guò)程要詳細(xì);嚴(yán)格按照說(shuō)明書(shū)格式要求格式化。</p><p> 第2章 專題的設(shè)計(jì)內(nèi)容</p><p> 以Internet為代表的全球性信息化浪潮日
21、益深刻,信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正逐漸地得到普及和廣泛。隨著應(yīng)用層次的不斷深入,應(yīng)用領(lǐng)域開(kāi)始從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展,比較典型的如政府部門(mén)業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、教育科研系統(tǒng)等。 </p><p> 與此同時(shí),這股強(qiáng)勁的Internet旋風(fēng)也以驚人的速度滲透到銀行、證券等金融行業(yè)的各個(gè)方面。各金融企業(yè)之間的競(jìng)爭(zhēng)也日益激烈,主要是通過(guò)提高金融機(jī)構(gòu)的運(yùn)作效率,為客戶提供方便快捷和豐富多彩的服務(wù),
22、增強(qiáng)金融企業(yè)的發(fā)展能力和影響力來(lái)實(shí)現(xiàn)的。為了適應(yīng)這種發(fā)展趨勢(shì),銀行在改進(jìn)服務(wù)手段、增加服務(wù)功能、完善業(yè)務(wù)品種、提高服務(wù)效率等方面做了大量的工作,以提高銀行的競(jìng)爭(zhēng)力,爭(zhēng)取更大的經(jīng)濟(jì)效益。而實(shí)現(xiàn)這一目標(biāo)必須通過(guò)實(shí)現(xiàn)金融電子化,利用高科技手段推動(dòng)金融業(yè)的發(fā)展和進(jìn)步,網(wǎng)絡(luò)的建設(shè)為銀行業(yè)的發(fā)展提供了有力的保障,并且勢(shì)必為銀行業(yè)的發(fā)展帶來(lái)巨大的經(jīng)濟(jì)效益。目前銀行主要應(yīng)用有:儲(chǔ)蓄、對(duì)公、信用卡、儲(chǔ)蓄卡、IC卡、國(guó)際業(yè)務(wù)、電子匯兌、電子郵件、電子公文、
23、網(wǎng)上銀行、網(wǎng)上交易系統(tǒng)、新的綜合對(duì)公業(yè)務(wù)、國(guó)際業(yè)務(wù)信貸系統(tǒng)等。但是我們應(yīng)該意識(shí)到事務(wù)的兩面性,隨著應(yīng)用的不斷增加,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也會(huì)不斷暴露出來(lái)。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī),引起大范圍的癱瘓和損失。而且由于銀行屬于商業(yè)系統(tǒng),都有一些各自的商業(yè)機(jī)密信息,如果這些機(jī)密信息在網(wǎng)上傳輸過(guò)程中泄密,其造成的損失將是不可估量的。所以金融業(yè)網(wǎng)絡(luò)安全</p><p> 冰盾信息安全技術(shù)可以通過(guò)以上
24、對(duì)銀行網(wǎng)絡(luò)系統(tǒng)應(yīng)用與安全風(fēng)險(xiǎn)分析,提出防范網(wǎng)絡(luò)安全危險(xiǎn)的安全需求: </p><p> 1) 采用相關(guān)的訪問(wèn)控制產(chǎn)品及控制技術(shù)來(lái)防范來(lái)自不安全網(wǎng)絡(luò)或不信任域的非法訪問(wèn)或非授權(quán)訪問(wèn)。 </p><p> 2) 采用加密設(shè)備應(yīng)用加密、認(rèn)證技術(shù)防范信息在網(wǎng)絡(luò)傳輸過(guò)程中被非法竊取,而造成信息的泄露,并通過(guò)認(rèn)證技術(shù)保證數(shù)據(jù)的完整性、真實(shí)性、可靠性。 </p><p&g
25、t; 3) 采用安全檢測(cè)技術(shù)來(lái)實(shí)時(shí)檢查進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流,動(dòng)態(tài)防范各種來(lái)自內(nèi)外網(wǎng)絡(luò)的惡意攻擊。4) 采用網(wǎng)絡(luò)安全評(píng)估系統(tǒng)定期或不定期對(duì)網(wǎng)絡(luò)系統(tǒng)或操作系統(tǒng)進(jìn)行安全性掃描,評(píng)估網(wǎng)絡(luò)系統(tǒng)及操作系統(tǒng)的安全等級(jí),并分析提出補(bǔ)救措施。 </p><p> 5) 采用防病毒產(chǎn)品及技術(shù)實(shí)時(shí)監(jiān)測(cè)進(jìn)入網(wǎng)絡(luò)或主機(jī)的數(shù)據(jù),防范病毒對(duì)網(wǎng)絡(luò)或主機(jī)的侵害。 </p><p> 6) 采用網(wǎng)絡(luò)備份與恢復(fù)系統(tǒng),
26、實(shí)現(xiàn)數(shù)據(jù)庫(kù)的安全存儲(chǔ)及災(zāi)難復(fù)。 </p><p> 7) 構(gòu)建CA認(rèn)證中心,來(lái)保證加密密鑰的安全分發(fā)及安全管理。 </p><p> 8) 應(yīng)用安全平臺(tái)的開(kāi)發(fā),針對(duì)銀行特殊的應(yīng)用進(jìn)行特定的應(yīng)用開(kāi)發(fā)。 </p><p> 9) 必須制定完善安全管理制度,并通過(guò)培訓(xùn)等手段來(lái)增強(qiáng)員工的安全防范技術(shù)及防范意識(shí)。</p><p>
27、隨著互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高,曾經(jīng)作為最主要網(wǎng)絡(luò)安全防范手段的防火墻,已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。作為對(duì)防火墻有益補(bǔ)充的入侵檢測(cè)系統(tǒng)(IDS),能夠幫助網(wǎng)絡(luò)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。IDS被認(rèn)為是防火墻之后的第二道安全閘門(mén),它能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng),從而提供對(duì)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵的實(shí)時(shí)
28、保護(hù)。</p><p> 攻擊者可以從容地對(duì)那些沒(méi)有安全保護(hù)的網(wǎng)絡(luò)進(jìn)行攻擊和入侵,如進(jìn)行拒絕服務(wù)攻擊、從事非授權(quán)的訪問(wèn)、肆意竊取和篡改重要的數(shù)據(jù)信息、安裝后門(mén)監(jiān)聽(tīng)程序以便隨時(shí)獲得內(nèi)部信息、傳播計(jì)算機(jī)病毒、摧毀主機(jī)等。攻擊和入侵事件給這些機(jī)構(gòu)和企業(yè)帶來(lái)了巨大的經(jīng)濟(jì)損失,甚至直接威脅到國(guó)家的安全。攻擊者為什么能夠?qū)W(wǎng)絡(luò)進(jìn)行攻擊和入侵呢?原因在于計(jì)算機(jī)網(wǎng)絡(luò)中存在著可以為攻擊者所利用的安全弱點(diǎn)、漏洞以及不安全的配置,主
29、要表現(xiàn)在操作系統(tǒng)、協(xié)議、應(yīng)用程序、網(wǎng)絡(luò)設(shè)備等幾個(gè)方面。 </p><p> 攻擊者常用的入侵方法如下: </p><p> ?。?)利用系統(tǒng)的內(nèi)部缺陷和漏洞 </p><p> 對(duì)于口令字的攻擊:口令字是一般安全系統(tǒng)所采取的最簡(jiǎn)單的安全措施。許多攻擊行為從突破口令字入手,有的采用程序強(qiáng)力攻擊的辦法登錄到遠(yuǎn)程網(wǎng)絡(luò),或采用口令字典進(jìn)行猜測(cè)的辦法,發(fā)現(xiàn)設(shè)置十分簡(jiǎn)單的口
30、令字從而進(jìn)入到系統(tǒng)。據(jù)美國(guó)國(guó)防部對(duì)1995年入侵行為統(tǒng)計(jì)表明,有約250 000次攻擊是由于通過(guò)破解口令字造成的。 </p><p> 系統(tǒng)中協(xié)議的脆弱性:在網(wǎng)絡(luò)運(yùn)行的許多協(xié)議中,有一些協(xié)議存在著安全漏洞。如ICMP,這種協(xié)議很容易被拒絕服務(wù)攻擊所利用。Ping是ICMP中常用的命令之一,它的連接請(qǐng)求可以被攻擊者利用,發(fā)出許多無(wú)效的連接請(qǐng)求,可以造成經(jīng)由的中間主機(jī)和被攻擊的主機(jī)或系統(tǒng)崩潰。IMAP是網(wǎng)絡(luò)上另一種
31、常見(jiàn)協(xié)議,攻擊者可以通過(guò)IMAP和POP3取得UNIX系統(tǒng)下的根目錄權(quán)限,執(zhí)行各種命令,獲取敏感信息和超級(jí)用戶的權(quán)限。TCP/IP握手協(xié)商協(xié)議也可以被拒絕服務(wù)攻擊所利用。 </p><p> 緩沖區(qū)溢出:這是對(duì)系統(tǒng)危害較大的攻擊手段,在許多系統(tǒng)中,應(yīng)用程序和緩沖區(qū)都不檢查數(shù)據(jù)的特性,它允許接受任意長(zhǎng)的數(shù)據(jù),這可能造成系統(tǒng)的堆?;蚓彌_區(qū)溢出,造成系統(tǒng)癱瘓。 </p><p> IDS的出
32、現(xiàn),緩解了以上的網(wǎng)絡(luò)安全問(wèn)題。設(shè)置硬件防火墻,可以提高網(wǎng)絡(luò)的通過(guò)能力并阻擋一般性的攻擊行為;而采用IDS入侵檢測(cè)系統(tǒng),則可以對(duì)越過(guò)防火墻的攻擊行為以及來(lái)自網(wǎng)絡(luò)內(nèi)部的違規(guī)操作進(jìn)行監(jiān)測(cè)和響應(yīng)。在本質(zhì)上,入侵檢測(cè)系統(tǒng)是一個(gè)典型的“窺探設(shè)備”,它不跨接多個(gè)物理網(wǎng)段(通常只有一個(gè)監(jiān)聽(tīng)端口),無(wú)須轉(zhuǎn)發(fā)任何流量,而只需在網(wǎng)絡(luò)上收集所關(guān)心的報(bào)文即可。 </p><p> 入侵檢測(cè)模型如圖1所示。 </p><
33、;p><b> 圖1 入侵檢測(cè)模型</b></p><p> 目前,IDS分析及檢測(cè)一般通過(guò)以下幾種技術(shù)手段進(jìn)行分析:特征庫(kù)匹配、基于統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè),而完整性分析則用于事后分析。 </p><p> 特征庫(kù)匹配(也叫特征檢測(cè))就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。
34、該方法的優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合,顯著減少系統(tǒng)負(fù)擔(dān),檢測(cè)準(zhǔn)確率和效率都相當(dāng)高;但弱點(diǎn)是需要不斷升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法。 </p><p> 統(tǒng)計(jì)分析(也叫異常檢測(cè))首先給信息對(duì)象(如用戶、連接、文件等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性(如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等)。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較,觀察值在正常偏差之外時(shí),就認(rèn)為有入侵發(fā)生。例如一個(gè)在晚九點(diǎn)至早
35、五點(diǎn)不登錄的賬戶卻在凌晨?jī)牲c(diǎn)試圖登錄,或者針對(duì)某一特定站點(diǎn)的數(shù)據(jù)流量異常增大等。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵;缺點(diǎn)是誤報(bào)、漏報(bào)率高,且不適應(yīng)用戶正常行為的突然改變。 </p><p> 完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性,它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制,能識(shí)別極其微小的變化。其優(yōu)點(diǎn)能夠發(fā)現(xiàn)文件或其他對(duì)象的任何改
36、變;缺點(diǎn)是一般以批處理方式實(shí)現(xiàn),不用于實(shí)時(shí)響應(yīng)。 </p><p> 根據(jù)數(shù)據(jù)來(lái)源的不同,入侵檢測(cè)系統(tǒng)常被分為基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。HIDS的數(shù)據(jù)源來(lái)自主機(jī),如日志文件、審計(jì)記錄等;而NIDS的數(shù)據(jù)源是網(wǎng)絡(luò)數(shù)據(jù)流。HIDS的檢測(cè)范圍很小,只限于1臺(tái)主機(jī)內(nèi);而NIDS的檢測(cè)范圍是整個(gè)網(wǎng)段。 </p><p> 根據(jù)網(wǎng)絡(luò)威脅原理(離被防護(hù)信息點(diǎn)越近,保護(hù)的作用就越
37、有效),HIDS從空間滿足了網(wǎng)絡(luò)安全的先決條件;同時(shí)由于監(jiān)聽(tīng)的是用戶的整個(gè)訪問(wèn)行為,HIDS可以有效利用操作系統(tǒng)本身提供的功能,準(zhǔn)確快速報(bào)告攻擊行為。但由于HIDS安裝在被保護(hù)主機(jī)上,故所占用的資源不能太多,從而限制了所采用的檢測(cè)方法及處理性能,安全性也受其所在主機(jī)的操作系統(tǒng)的安全性限制。 </p><p> NIDS最大的特點(diǎn)在于不需要改變服務(wù)器等主機(jī)的配置,不會(huì)影響這些機(jī)器的CPU、I/O)等資源的使用,也
38、不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。因此,部署一個(gè)NIDS,比HIDS的風(fēng)險(xiǎn)與成本相對(duì)較低。但由于NIDS保護(hù)的主機(jī)和操作系統(tǒng)不盡相同,入侵者可利用不同系統(tǒng)的差異來(lái)進(jìn)行信息收集或進(jìn)行攻擊。</p><p> 網(wǎng)絡(luò)攻擊手段正在不斷多樣化,簡(jiǎn)單地采用多種孤立的基于單層次體系結(jié)構(gòu)的安全手段已不能滿足需求。在這種情況下,提出構(gòu)建全面的安全防御系統(tǒng),即利用復(fù)雜系統(tǒng)和安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題,將網(wǎng)絡(luò)安全作為一個(gè)整
39、體工程來(lái)處理。把網(wǎng)絡(luò)結(jié)構(gòu)、加密認(rèn)證、防火墻、病毒防護(hù)、入侵檢測(cè)等單一的安全措施有機(jī)地結(jié)合起來(lái),形成一套整體功能遠(yuǎn)遠(yuǎn)大于局部系統(tǒng)的安全系統(tǒng)。</p><p> 圖1是我們?cè)趯W(xué)習(xí)和實(shí)踐中,根據(jù)實(shí)際需要,建立的全面安全防御系統(tǒng)模型。</p><p><b> 2.1 背景描述</b></p><p> 隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展,網(wǎng)絡(luò)攻擊和入侵事
40、件與日俱增,入侵檢測(cè)系統(tǒng)被認(rèn)為是防火墻之后的第二道網(wǎng)絡(luò)安全閘門(mén),本文介紹了網(wǎng)絡(luò)攻擊和入侵以及IDS的技術(shù)特點(diǎn),重點(diǎn)闡述了如何在網(wǎng)絡(luò)中部署IDS,并分析了IDS的存在的缺陷,最后探討了IDS的未來(lái)發(fā)展趨勢(shì)。</p><p> 入侵檢測(cè)的研究可以追溯到JamesP.Anderson在1980年的工作,他首次提出了“威脅”等術(shù)語(yǔ),這里所指的“威脅”與入侵的含義基本相同,將入侵嘗試或威脅定義為:潛在的、有預(yù)謀的、未經(jīng)授
41、權(quán)的訪問(wèn)企圖,致使系統(tǒng)不可靠或無(wú)法使用。1987年DorothyE.Denning首次給出一個(gè)入侵檢測(cè)的抽象模型,并將入侵檢測(cè)作為一個(gè)新的安全防御措施提出。</p><p> 在過(guò)去的20年里,網(wǎng)絡(luò)技術(shù)在不斷發(fā)展,攻擊者攻擊能力在不斷提高,攻擊工具與攻擊手法日趨復(fù)雜多樣,特別是以黑客為代表的攻擊者對(duì)網(wǎng)絡(luò)的威脅日益突出,他們不遺余力地與網(wǎng)絡(luò)安全進(jìn)行著斗爭(zhēng)。攻擊技術(shù)和手段的不斷發(fā)展,也促使IDS從一個(gè)簡(jiǎn)單單一的產(chǎn)品
42、發(fā)展成為一種網(wǎng)絡(luò)安全防護(hù)的重要手段。</p><p> 由于信息技術(shù)的發(fā)展,銀行業(yè)逐漸實(shí)現(xiàn)了業(yè)務(wù)和辦公的自動(dòng)化和電子化。儲(chǔ)蓄、信用卡、儲(chǔ)蓄卡、IC卡、國(guó)際業(yè)務(wù)、電子匯兌、電子郵件、電子公文、網(wǎng)上銀行、網(wǎng)上交易系統(tǒng)、新的綜合對(duì)公業(yè)務(wù)、國(guó)際業(yè)務(wù)信貸系統(tǒng)等, ATM機(jī)(自動(dòng)提款機(jī))、POS機(jī)(銷(xiāo)售終端機(jī))、CRS(現(xiàn)金循環(huán)設(shè)備)、CDM(自動(dòng)存款機(jī))、FEM(外幣兌換機(jī))、電話銀行、自助銀行、網(wǎng)絡(luò)銀行等廣泛運(yùn)用,在提
43、高銀行業(yè)務(wù)的處理能力、方便用戶的同時(shí),也對(duì)銀行業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)提出了更高的要求。</p><p> 另外,近年來(lái)越來(lái)越多見(jiàn)諸報(bào)端的信用卡用戶資料失竊案、銀行網(wǎng)頁(yè)被非法仿冒以及網(wǎng)絡(luò)釣魚(yú)事件,使得金融信息安全一時(shí)間成為各大銀行工作的重點(diǎn)和焦點(diǎn)。</p><p> 2.2軟件安裝與工具使用</p><p> 冰盾DDoS防火墻2010 V9.7 Build安裝:&
44、lt;/p><p><b> 一、安裝準(zhǔn)備工作</b></p><p> 1、Windows 2000、Windows XP或Windows 2003操作系統(tǒng)。</p><p><b> 2、冰盾安裝光盤(pán)。</b></p><p><b> 二、安裝步驟</b></p
45、><p> 1、下載安裝軟件:http://www.bingdun.com/</p><p> 2、運(yùn)行安裝程序bdfwsetup.exe。</p><p><b> 3、安裝歡迎畫(huà)面。</b></p><p> 如圖2.21所示: </p><p><b> 圖2.21</
46、b></p><p> 4點(diǎn)擊Next按鈕進(jìn)入安裝目錄畫(huà)面。</p><p><b> 如圖2.22所示:</b></p><p><b> 圖2.22</b></p><p> 5、點(diǎn)擊Next進(jìn)入程序組畫(huà)面。</p><p><b> 如圖2.2
47、3所示:</b></p><p><b> 圖2.23</b></p><p> 6、點(diǎn)擊Next進(jìn)入桌面圖標(biāo)選擇畫(huà)面。</p><p><b> 如圖2.24所示:</b></p><p><b> 圖2.24</b></p><p&g
48、t; 7、點(diǎn)擊Next進(jìn)入安裝配置確認(rèn)畫(huà)面。</p><p><b> 如圖2.25所示:</b></p><p><b> 圖2.25</b></p><p> 8、點(diǎn)擊Install即進(jìn)行安裝過(guò)程并可看到安裝完成畫(huà)面。</p><p><b> 如圖2.26所示</b&
49、gt;</p><p><b> 圖2.26</b></p><p><b> 三、安裝完成</b></p><p> 1、冰盾安裝完畢后會(huì)在桌面建立“冰盾防火墻”快捷圖標(biāo)。</p><p> 2、點(diǎn)擊桌面的“冰盾防火墻”的快捷圖標(biāo)即啟動(dòng)冰盾,有時(shí)可能需要重新啟動(dòng)系統(tǒng)才行。</p>
50、;<p> 冰盾DDoS防火墻2010 V9.7 Build使用過(guò)程:</p><p><b> DDOS監(jiān)控情況:</b></p><p><b> 端口過(guò)濾情況:</b></p><p> 可以設(shè)置Ip黑白名單:</p><p><b> 2.3結(jié)果顯示<
51、/b></p><p><b> 第3章 設(shè)計(jì)總結(jié)</b></p><p> 這次完成這個(gè)銀行辦公局域網(wǎng)辦公防御方案實(shí)訓(xùn),從開(kāi)始的設(shè)計(jì)構(gòu)想,一直到之后的完成實(shí)現(xiàn),前前后后也花了差不多半個(gè)多月的時(shí)間,從網(wǎng)上、書(shū)中搜集資料,然后開(kāi)始正式制作這個(gè),在制作的過(guò)程中,也碰到了很多這樣那樣的困難,有很多困難,通過(guò)同學(xué),老師的幫助,還有自己的努力,總算還是克服了過(guò)去,但是
52、還是有本來(lái)想要做到的功能沒(méi)有完成的,這方面,我覺(jué)得還是有所不足的。</p><p> 本次實(shí)習(xí)使我再度意識(shí)到一個(gè)網(wǎng)絡(luò)的安全,對(duì)于一個(gè)網(wǎng)絡(luò)的重要性。它合理方便的給學(xué)校提供了最大的方便。通過(guò)對(duì)系統(tǒng)的分析設(shè)計(jì),使我把在書(shū)本上學(xué)到的理論與實(shí)踐相結(jié)合,大大提高鞏固了之前所學(xué)習(xí)的內(nèi)容。但銀行辦公局域網(wǎng)辦公防御方案在設(shè)計(jì)過(guò)程中不可避免地遇到了各種各樣的問(wèn)題,因?yàn)楸救怂接邢蓿](méi)有完全地理解防火墻的強(qiáng)大功能,因此方案還存在著
53、許多不足之處。受開(kāi)發(fā)條件和開(kāi)發(fā)時(shí)間的限制,由于精力有限,所以此程序只做出了,程序的最基本功能,如果應(yīng)用到實(shí)際生活中,要根據(jù)具體的學(xué)校情況,添加不同的模塊。</p><p> 光陰似箭,轉(zhuǎn)眼3年的大學(xué)就要結(jié)束了。在這次設(shè)計(jì)中,我得到了許多老師的真誠(chéng)教誨和同學(xué)們的熱情幫助,在此我向給予我?guī)椭睦蠋熀屯瑢W(xué)表示最衷心的感謝!有你們的幫助和支持才會(huì)讓我完成這次設(shè)計(jì),并將走的更遠(yuǎn),更好。在學(xué)習(xí)中老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、豐富淵博
54、的知識(shí)、敏銳的學(xué)術(shù)思維、精益求精的工作態(tài)度以及誨人不倦的師者風(fēng)范是我終生學(xué)習(xí)的楷模,指導(dǎo)老師高深精湛的造詣與嚴(yán)謹(jǐn)求實(shí)的治學(xué)精神,將永遠(yuǎn)激勵(lì)著我。</p><p> 其次要感謝學(xué)校圖書(shū)館為我提供查找資料的場(chǎng)所,最后還特別感謝我的家人,他們的關(guān)愛(ài)讓我能夠擁有舒適的環(huán)境和充足的條件。</p><p><b> 參考文獻(xiàn)</b></p><p>
55、 1馬在強(qiáng) 計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)用技術(shù) 重慶 西南師范大學(xué)出版社 2006.11</p><p> 2.胡慶龍、文益民 網(wǎng)絡(luò)管理域維護(hù) 清華大學(xué)出版社 2007.9</p><p> 3 許治坤,王偉,郭添森,等.網(wǎng)絡(luò)滲透技術(shù)·電子工業(yè)出版社 2005.5.</p><p> 4 劉文清.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)[M].北京·中國(guó)電力出版社,2005
56、.</p><p> 5 凌捷、肖鵬、何東風(fēng),“防火墻本身的安全問(wèn)題淺析[J]” 2004.2.</p><p> 6 李家春,李之棠.入侵檢測(cè)系統(tǒng).計(jì)算機(jī)應(yīng)用研究 2001.12.</p><p> 7陳波.計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)[M].機(jī)械工業(yè)出版社,2006.1.</p><p> 8 閻慧,土偉.防火墻原理與技術(shù)[M].北京
57、·機(jī)械工業(yè)出版,2004.</p><p> 9 袁家政.計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù)[M].北京·清華大學(xué)出版社2002.</p><p> 10 陳愛(ài)民.計(jì)算機(jī)的安全與保密[M].北京·電子工業(yè)出版社,2002.</p><p> 11 殷偉.計(jì)算機(jī)安全與病毒防治[M].合肥·安徽科學(xué)技術(shù)出版社,2004.</p&
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 組建xx單位自動(dòng)化辦公局域網(wǎng)課程設(shè)計(jì)
- 企業(yè)局域網(wǎng)課程設(shè)計(jì)--局域網(wǎng)組網(wǎng)方案設(shè)計(jì)
- 計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)---某辦公樓局域網(wǎng)系統(tǒng)設(shè)計(jì)
- 計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)--某辦公樓局域網(wǎng)系統(tǒng)設(shè)計(jì)
- 局域網(wǎng)課程設(shè)計(jì)--宿舍小型局域網(wǎng)組建
- 計(jì)算機(jī)網(wǎng)絡(luò)辦公樓局域網(wǎng)組件與規(guī)劃課程設(shè)計(jì)
- 局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)
- 局域網(wǎng)課程設(shè)計(jì)--校園網(wǎng)方案書(shū)
- 網(wǎng)絡(luò)編程課程設(shè)計(jì)(局域網(wǎng)信息廣播)
- 局域網(wǎng)qq課程設(shè)計(jì)
- 局域網(wǎng)組建課程設(shè)計(jì)
- 校園局域網(wǎng)課程設(shè)計(jì)
- 網(wǎng)絡(luò)工程課程設(shè)計(jì)---校園局域網(wǎng)
- 網(wǎng)絡(luò)課程設(shè)計(jì)--校園局域網(wǎng)的建設(shè)
- 局域網(wǎng)課程設(shè)計(jì)---組建小型企業(yè)局域網(wǎng)
- 計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)報(bào)告(組建某單位自動(dòng)化辦公局域網(wǎng))
- 課程設(shè)計(jì)報(bào)告----小型企業(yè)辦公局域網(wǎng)絡(luò)的組建與配置
- 安全-局域網(wǎng)arp攻擊解決方案(綁定mac)
- 網(wǎng)絡(luò)系統(tǒng)課程設(shè)計(jì)--局域網(wǎng)信息廣播
- 局域網(wǎng)網(wǎng)絡(luò)安全建設(shè)方案研究.pdf
評(píng)論
0/150
提交評(píng)論