目录
TCP/IP与网络安全
起初,TCP/IP只用于一个相对封闭的环境,之后才发展为并无太多限制、 可以从远程访问更多资源的形式。因此,“安全”这个概念并没有引起人们太多 的关注。然而,随着互联网的日益普及,发生了很多非法访问、恶意攻击等问题, 着实影响了企业和个人的利益。由此,网络安全逐渐成为人们不可忽视一个重要 内容。
互联网向人们提供了很多便利的服务。为了让人们能够更好、更安全的利用 互联网,只有牺牲一些便利性来确保网络的安全。因此,”便利性”和“安全性” 作为两个对立的特性兼容并存,产生了很多新的技术。随着恶意使用网络的技术 不断翻新,网络安全的技术也在不断进步。今后,除了基本的网络技术外,通过 正确理解安全相关的技术、制定合理的安全策略,按照制定的策略进行网络管 理及运维成为一个重要的课题。
网络安全构成要素
随着互联网的发展,对网络的依赖程度越高就越应该重视网络安全。尤其是 现在,对系统的攻击手段愈加多样化,某种特定程度的技术远不足以确保一个系 统的安全。网络安全最基本的要领是要有预备方案。即不是在遇到问题的时候才 去处理,而是通过对可能发生的问题进行预测,在可行的最大范围内为系统制定 安保对策,进行日常运维,这才是重中之重。
TCP/IP相关的安全要素如图所示。在此,我们针对每一个要素进行介绍。
防火墙
组织机构(域)内部的网络与互联网相连时,为了避免域内受到非法访问的威胁,往往会设置防火墙。
防火墙的种类和形态有很多种。例如,专门过滤(不过滤)特定数据包的包过滤防火墙、数据到达应用以后由应用处理并拒绝非法访问的应用网关。这些防火墙都有基本相同的设计思路,那就是“暴露给危险的主机和路由器的个数要有限"。
如果网络中有1000台主机,若为每一台主机都设置非法访问的对策,那将是非常繁琐的工作。而如果设置防火墙的话,可以限制从互联网访问的主机个数。将安全的主机和可以暴露给危险的主机加以区分,只针对后者集中实施安全防护。
如图所示,这是一个设置防火墙的例子。图中,对路由器设置了只向其发送特定地址和端口号的包。即设置了一个包过滤防火墙。
当从外部过来TCP通信请求时,只允许对Web服务器的TCP 80端口和邮件服务器的TCP 25端口的访问。其他所有类型的包全部丢弃”。
此外,建立TCP连接的请求只允许从内网发起。关于这一点,防火墙可以通过监控TCP包首部中的SYN和ACK标志位来实现。具体为,当SYN= 1, ACK=0 时属于互联网发过来的包,应当废弃。有了这样的设置以后,只能从内网向外建 立连接,而不能从外网直接连接内网。
IDS (入侵检测系统)
数据包符合安全策略,防火墙才会让其通过。即只要与策略相符,就无法判 断当前访问是否为非法访问,所以全部允许通过。
而IDS正是检查这种已经侵入内部网络进行非法访问的情况,并及时通知给 网络管理员的系统。
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
