计算机网络安全与防火墙技术

论文导读：影响计算机网络安全的因素很多。而防火墙是一种保护计算机网络安全的技术性措施。使用单防火墙和单子网保护多级应用系统的网络结构。欺骗，论文参考，计算机网络安全与防火墙技术。
关键词：计算机网络安全，防火墙，单子网，arp欺骗
 

影响计算机网络安全的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有。这些因素可以大体分类为：计算机病毒、人为的无意失误、人为的恶意攻击、网络软件的缺陷和漏洞、物理安全问题。

而防火墙是一种保护计算机网络安全的技术性措施，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。

1. 非法攻击防火墙的基本“招数”

通常情况下, 有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖，虽说成功与否尚取决于机遇等其他因素，但对攻击者而言很值得一试。下面以数据包过滤防火墙为例，简要描述可能的攻击过程。

通常主机A与主机B 的TCP 连接(中间有或无防火墙) 是通过主机A向主机B 提出请求建立起来的，而其间A和B 的确认仅仅根据由主机A 产生并经主机B 验证的初始序列号ISN。IP 地址欺骗攻击的第一步是切断可信赖主机。这样可以使用TCP 淹没攻击(TCP SynFlood Attack)，使得信赖主机处于“自顾不暇”的忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障，只能发出无法建立连接的RST 包，而无暇顾及其他。

攻击者最关心的是猜测目标主机的ISN。为此，可以利用SMTP的端口(25),通常它是开放的，邮件能够通过这个端口，与目标主机打开(Open)一个TCP 连接，因而得到它的ISN。在此有效期间，重复这一过程若干次，以便能够猜测和确定ISN的产生和变化规律，这样就可以使用被切断的可信赖主机的IP 地址向目标主机发出连接请求。请求发出后，目标主机会认为它是TCP 连接的请求者，从而给信赖主机发送响应(包括SYN)，而信赖主机目前仍忙于处理Flood淹没攻击产生的“合法”请求，因此目标主机不能得到来自于信赖主机的响应。现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主机，随着不断地纠正预测的ISN，攻击者最终会与目标主机建立一个会晤。通过这种方式, 攻击者以合法用户的身份登录到目标主机而不需进一步的确认。论文参考，arp欺骗。。如果反复试验使得目标主机能够接收对网络的ROOT 登录，那么就可以完全控制整个网络。

2. 单防火墙和单子网

由于不同的资源存在着不同的风险程度，所以要基于此来对网络资源进行划分。这里的风险包含两个因素: 资源将被妥协的可能性和资源本身的敏感性。例如：一个好的Web 服务器运行CGI 会比仅仅提供静态网页更容易得到用户的认可，但随之带来的却是Web 服务器的安全隐患。网络管理员在服务器前端配置防火墙,会减少它全面暴露的风险。数据库服务器中存放有重要数据,它比Web 服务器更加敏感,因此需要添加额外的安全保护层。

使用单防火墙和单子网保护多级应用系统的网络结构，这里所有的服务器都被安排在同一个子网，防火墙接在边界路由器与内部网络之间，防御来自Internet 的网络攻击。论文参考，arp欺骗。。在网络使用和基于主机的入侵检测系统下，服务器得到了加强和防护，这样便可以保护应用系统免遭攻击。像这样的纵向防护技术在所有坚固的设计中是非常普遍的，但它们并没有明显的显示在图表中。

在这种设计方案中，所有服务器都安排在同一个子网，用防火墙将它们与Internet 隔离，这些不同安全级别的服务器在子网中受到同等级的安全保护。尽管所有服务器都在一个子网,但网络管理员仍然可以将内部资源与外部共享资源有效地分离。使用单防火墙和单子网保护服务器的方案系统造价便宜，而且网络管理和维护比较简单，这是该方案的一个重要优点。因此, 当进一步隔离网络服务器并不能从实质上降低重要数据的安全风险时，采用单防火墙和单子网的方案的确是一种经济的选择。

3. 单防火墙和多子网

如果遇见适合划分多个子网的情况，网络管理员可以把内部网络划分成独立的子网，不同层的服务器分别放在不同的子网中，数据层服务器只接受中间层服务器数据查询时连接的端口，就能有效地提高数据层服务器的安全性，也能够帮助防御其它类型的攻击。论文参考，arp欺骗。。这时，更适于采用一种更为精巧的网络结构———单个防火墙划分多重子网结构。单个防火墙划分多重子网的方法就是在一个防火墙上开放多个端口，用该防火墙把整个网络划分成多个子网，每个子网分管应用系统的特定的层。管理员能够在防火墙不同的端口上设置不同的安全策略。

使用单个防火墙分割网络是对应用系统分层的最经济的一种方法，但它并不是没有局限性。逻辑上的单个防火墙，即便有冗余的硬件设备，当用它来加强不同安全风险级别的服务器的安全策略时，如果该防火墙出现危险或错误的配置，入侵者就会获取所有子网包括数据层服务器所在的最敏感网络的访问权限。而且，该防火墙需要检测所有子网间的流通数据，因此，它会变成网络执行效率的瓶颈。所以，在资金允许的情况下，我们可以用另一种设计方案———多个防火墙划分多个子网的方法，来消除这种缺陷。

4.arp欺骗对策

各种网络安全的对策都是相对的，主要要看网管平时对网络安全的重视性了。下面介始一些相应的对策：

在系统中建立静态ARP表，建立后对本身自已系统影响不大的，对网络影响较大，破坏了动态ARP解析过程。论文参考，arp欺骗。。静态ARP协议表不会过期的，我们用“arp–d”命令清除ARP表，即手动删除。论文参考，arp欺骗。。但是有的系统的静态ARP表项可以被动态刷新，如Solaris系统，那样的话依靠静态ARP表项并不能对抗ARP欺骗攻击，相反纵容了ARP欺骗攻击，因为虚假的静态ARP表项不会自动超时消失。论文参考，arp欺骗。。 在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击)，可以做静态ARP协议设置(因为对方不会响应ARP请求报文)如：arp -sXXX.XXX.XX.X 08-00-20-a8-2e-ac。 在绝大多数操作系统如：Unix、BSD、NT等，都可以结合“禁止相应网络接口做ARP解析”和“使用静态ARP表”的设置来对抗ARP欺骗攻击。而Linux系统，其静态ARP表项不会被动态刷新，所以不需要“禁止相应网络接口做ARP解析”即可对抗ARP欺骗攻击。

参考文献：
[1]林晓东，杨义先.网络防火技术[J].电信科学，1997.
[2]龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,2006.
[3]常建平,靳慧云,娄梅枝.网络安全与计算机犯罪[M].北京:中国人民公安大学出版社,2002.