6.3.1 包过滤防火墙
包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议[9,10]。
6.3.2 代理防火墙
代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。现要较为流行的代理服务器软件是WinGate和Proxy Server[13]。
6.3.3 双穴主机防火墙
该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问[9,10]。
总 结
任何策略和工具最终都需要人来实施和使用,因此,本文将为相关人员制定出一定的安全对策作为结尾,以帮助大家更好地使用Web服务 。
普遍适用的安全对策有:打好系统和应用软件补丁,定时更新系统。安全问题不只为使用者关注,开发者因为商业服务的需要或为了得到更多的用户,他们同样关注着安全问题。一旦发现漏洞,开发者往往迅速做出反应,制作并发布修补漏洞的补丁。及时更新系统,能够降低很多的安全风险的危害。建立用户分级和审核制度,区分系统管理员和普通用户,设置健壮的密码。许多的安全问题都是由于不合适的使用了不合适的权利而造成的。产生这种问题的根源,一是权限设置不当,二是密码泄露,所以从源头上避免安全问题的产生是一个基本的安全对策。从开发者官方和可信赖的站点下载软件,避免使用破解版和绿色版。病毒和木马制造者可以通过将之附加到流行的应用程序之内而将病毒和木马散播出去,破解版和绿色版的软件程序则是很好的传播渠道。我们应该尽量避免使用这样的软件,以免引狼入室,为恶意攻击者大开方便之门。
适用于系统管理员或者Web服务提供者的安全对策有:关闭不必要或多余的服务,按照安全规则和标准上来说,多余的东西就没必要开启,关闭无用的服务不仅可以减少安全隐患,也能提高系统性能和稳定性。按最小权限原则对文件系统进行设置,这是避免提权操作和跨站脚本攻击的好办法。安装并使用防火墙软件,关注系统和程序的最新安全漏洞并及时打好补丁,这样可以让系统自动地对攻击进行防护,减少系统管理员的工作量。了解最新的黑客攻击方法并学习应对策略,道高一尺,魔高一仗,攻击手段总是比防护手段发展得快。所以只有及早地学习研究攻击手段,才能早日研究出防护办法,防患于未然。
适用于普通用户的安全对策有:避免浏览违法网站,不要打开陌生人的邮件和附件,这样可以减少接触病毒或木马的机会。安装并使用防病毒和木马的软件,这样可以降低和避免病毒和木马造成的危害。使用前对下载的音频视频文件进行病毒扫描,这往往为广大用户所忽视,直接打开这些文件,造成病毒和木马的感染。
致 谢
首先感谢母校湖南大学在过去的四年里为我创造了一个适宜的学习和生活环境。
本文是在我的导师蒋理副教授的悉心指导下完成的。从题目的选定到论文的完成,蒋老师都给予了详细的指导。我也从中学会了如何统筹规划地完成一个项目。在此,我对蒋老师表示最尊敬的致意,并真诚地祝愿他身体健康、工作顺利。
在论文的写作过程中,我也得到了许多老师和同学的帮助,在此一并感谢他们。
最后,感谢我的父母亲人,是他们给我创造了这个难得的学习深造机会。虽然他们不在我身边,但他们的关心、爱护和支持永远激励着我不断努力。在此,我深深地祝福他们。
参考文献
[1] 同济大学.计算机网络基础与实训[EB/OL]http://hb.tongji.edu.cn/net/subject/diginote/6.files/frame.htm.
[2] Dancefire.麒麟操作系统内核同其他操作系统内核的相似性分析[EB/OL]http://www.dancefire.org/article/Kernel_Similarity_Analysis.html.
[3] 孔凡飞.基于WS Security的电子商务Web服务安全的概要设计[D]杭州:浙江大学,20030201:25.
[4] 邓集波.WEB中基于角色访问控制的静态授权研究[D]武汉:华中科技大学,20020510:18.
[5] 周颖.Web服务安全性研究及其应用[D]重庆:重庆大学,20041010:36.
[6] 汪永平.互联网系统安全性与脆弱性初探[D]兰州:兰州大学,19991101:32-34.
[7] 张振兴.Web服务安全性的研究与实现[D]北京:华北电力大学,20031230:40-43.
[8] 孟丽佳.EC商务系统中Web安全性设计与实现[D]大连:大连理工大学,20050612:27.
[9]贾贺,张旭.构建安全Web站点[M]北京:电子工业出版社,2002年1月:84.
[10] Steve Kalman著 冯大辉,姚湘怡译.web安全实践 web security field guide[M]北京:人民邮电出版社,2003年12月:264-268.
[11] Fan, Di.How product intangibility and its moderators affect perceived risk in online shopping setting[D]Canada: Concordia University,2005:29.
[12] El Namroud, Dany.Servers/Web sites security[D]Canada: Ecole de Technologies Superieure,2002:59.
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
