如何防范计算机网络攻击

互联网发展至今，除了表面上的繁荣，也出现了一些不好的现象，其中黑客攻击是最让广大网民头疼的，是计算机网络安全的主要威胁。下面重点分析黑客网络攻击的几种常见方法和防范措施。

(一)利用网络系统漏洞进行攻击

很多网络系统都存在这样或那样的漏洞，这些漏洞可能是系统本身所拥有的，比如WindowsNT和UNIX，也可能是网络管理的疏忽造成的。黑客可以利用这些漏洞完成密码检测、系统入侵等攻击。

对于系统本身的漏洞，可以安装软件补丁；此外，网管也需要细心工作，避免因为疏忽而让别人有机可乘。

(2)电子邮件攻击

电子邮件是互联网上广泛使用的通信方式。黑客可以利用一些邮件炸弹软件或者CGI程序，向目的邮箱发送大量重复无用的垃圾邮件，从而使目的邮箱爆仓，无法使用。当垃圾邮件的发送流量特别大的时候，还可能导致邮件系统响应缓慢无法正常工作，甚至瘫痪，这就类似于后面要提到的“拒绝服务攻击(DDoS)”。

对于遭受此类攻击的邮箱，可以使用一些垃圾邮件清除软件来解决，其中有SpamEater、Spamkiller等。都是常见的，Outlook等接收软件也可以达到这个目的。

(3)解密攻击

在互联网上，使用密码是最常见也是最重要的安全保护方式，用户每时每刻都需要输入密码进行身份验证。现在大部分密码保护方式都是认密码不认人。只要有密码，系统就会认为你是授权的普通用户。所以获取密码也是黑客攻击的重要手段。

还有几种获取密码的方法。一种方法是监控网络上的数据。因为用户输入的密码在系统校验密码时需要从客户端传输到服务器端，黑客就可以监控两端之间的数据。

而一般系统在传输密码时都会加密，即黑客获取的数据中不会有明文密码，这又给黑客破解带来了一个难题。这种方法一般用在局域网中，一旦成功，攻击者将获得极大的操作权限。

另一种解密方法是使用穷举法对已知用户名的密码进行暴力解密。这类解密软件尝试所有可能字符组成的密码，但这项工作非常耗时。但如果用户密码设置的比较简单，比如“12345”、“ABC”，可能一眨眼就搞定了。

为了防止受到这种攻击的伤害，用户必须通过复杂的方式设置密码，或者可以使用多层密码，或者改变思维使用中文密码，不要使用自己的生日、电话号码甚至用户名作为密码，因为一些密码破解软件允许破解者输入与被破解用户相关的信息，比如生日，然后优先使用这些数据组成的密码。另外，密码要经常改，减少被破解的可能性。

后门软件攻击

后门软件攻击是互联网上常见的攻击方式。Back Orifice2000和Glacier是众所周知的木马。他们可以非法获取用户电脑的超级用户权限，并对其进行完全控制。除了文件操作，他们还可以在对方的桌面上拍照，获取密码。

这些后门软件分为服务器端和客户端。黑客攻击时，会使用客户端程序登录安装了服务器端程序的电脑。这些服务器端的程序都比较小，一般都是依附于一些软件的。有可能是用户下载一个小游戏运行时，安装了后门软件的服务器端，而后门软件大多再生能力很强，给用户清理造成了一定的麻烦。

在网上下载数据时，一定要在病毒运行前对其进行扫描，并使用一定的反编译软件，查看源数据中是否存在其他可疑应用，杜绝这些后门软件。

(5)拒绝服务攻击

互联网上很多大网站都遭受过这样的攻击。拒绝服务攻击(DDoS)不难，但破坏性很大。其具体方法是向目的服务器发送大量数据包，几乎占用了服务器的所有网络带宽，从而无法处理正常的服务请求，导致无法进入网站，网站响应速度大幅降低或服务器瘫痪。

现在常见的同类蠕虫或病毒都可以攻击服务器进行拒绝服务。它们非常多产。一般他们通过微软Outlook软件向很多邮箱发送病毒，使得邮件服务器无法承受如此巨大的数据处理量而瘫痪。

对于个人上网用户来说，也有可能因为大量的数据包而无法正常操作，所以大家在上网的时候一定要安装防火墙软件，同时可以安装一些可以隐藏IP地址的程序，那么如何大大降低被攻击的可能性。

-

二、计算机网络安全的防火墙技术

计算机网络安全是指利用网络管理控制和技术措施，确保信息数据的机密性、完整性和可用性在网络环境中得到保护。网络安全保护的根本目的是防止计算机网络存储和传输的信息被非法使用、破坏和篡改。防火墙技术是实现上述目标的一种常见的计算机网络安全技术。

(一)防火墙的含义

所谓“防火墙”，是指将内网与公共接入网(如互联网)隔离的一种方法，实际上是一种隔离技术。防火墙是两个网络通信时实施的一种访问控制措施。它可以允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地防止网络中的黑客访问你的网络，防止他们更改、复制和破坏你的重要信息。

(二)防火墙安全性分析

防火墙在保护网络安全方面起到了一定的作用，但它并不是万无一失的。通过对防火墙的基本原理和实现方式的分析和研究，笔者对防火墙的安全性有以下几点认识:

1.只有正确选择和合理配置防火墙，才能有效发挥其安全防护功能。

防火墙作为网络安全的保护手段，可以通过多种方式实现。要建立合理的保护系统并配置有效的防火墙，应遵循四个基本步骤:

A.风险分析；

B.需求分析；

C.制定安全政策；

D.选择准确的保护措施，并使其符合安全政策。

然而，大多数防火墙的设置都没有进行充分的风险分析和需求分析，只根据不完整的安全策略选择了看似“满足”需求的防火墙。这样的防火墙能否“防火”，还是个问题。

2.应该正确评估防火墙的失效状态。

评价防火墙的性能，能否起到安全防护的作用，不仅要看它是否正常工作，能否阻挡或捕获恶意攻击和非法访问的蛛丝马迹，还要看防火墙一旦被攻破后的状态。根据等级，它应该有四种状态:

A.可以继续正常工作而不受伤害；

B.关机重启，恢复正常工作状态；

C.关闭并禁止所有数据流量；

D.关闭并允许所有数据通过。

前两种状态最理想，第四种最不安全。但是很多防火墙因为没有条件测试和验证其失效状态而无法确定其失效状态级别，所以网络中必然存在安全隐患。

3.防火墙必须动态维护。

防火墙安装并投入使用后，并不是一切都好。为了充分发挥其安全防护功能，必须对其进行跟踪维护，需要与商家保持密切联系，时刻关注商家动态。因为商家一旦发现产品存在安全漏洞，会尽快发布补丁产品，所以要尽快确认真伪(防止特洛伊木马等病毒)，更新防火墙软件。

4.目前很难对防火墙进行测试和验证。

要证明防火墙能否起到保护作用，最根本、最有效的方法就是对其进行测试，甚至是从“黑客”的角度用各种手段对防火墙进行攻击。但是，具体实施很困难，主要是因为:

防火墙性能测试仍然是一项非常新的技术，没有官方出版物，可用的工具和软件也很少。据了解，目前美国只有ISS公司提供防火墙性能测试的工具和软件。

B.防火墙测试技术不先进，与防火墙设计不完全一致，很难达到既定的效果。

C.选择“谁”进行公正的测试也是一个问题。

由此可见，防火墙的性能测试绝不是一件简单的事情，但这种测试是相当必要的，进而提出了一个问题:不测试如何证明防火墙的安全性？

5.非法攻击防火墙的基本“招数”

A.IP地址欺骗攻击。很多防火墙软件无法识别数据包来自哪个网络接口，所以攻击者不需要指明攻击数据包的真实来源，只需要伪装IP地址就可以获得目标的信任，让它认为来自网络内部。IP地址欺骗攻击是基于这种防火墙缺乏对IP地址的识别和验证机制。

B.破坏防火墙的另一种方法是结合攻击和干扰。也就是说，在攻击过程中让防火墙一直处于忙碌状态。防火墙的过度繁忙有时会导致其忘记执行其安全保护功能，处于失效状态。

C.防火墙也可能受到来自内部的攻击。因为安装防火墙后，严禁随机访问，使内部人员无法在业余时间通过Telnet浏览邮件或使用FTP发送信息。个人会对防火墙不满，可能会攻击破坏，希望回到以前的状态。在这里，攻击的目标往往是防火墙或运行在防火墙上的操作系统，因此它不仅涉及网络安全，还涉及主机安全。

-

(三)防火墙的基本类型

防火墙技术有四种:网络级防火墙(也叫包过滤防火墙)、应用层网关、电路级网关和规则检查防火墙。

1.网络防火墙

一般通过与否的判断是基于源地址和目的地址，应用或协议，以及每个IP包的端口。路由器是“传统的”网络级防火墙。大多数路由器可以通过检查这些信息来决定是否转发收到的数据包，但它无法判断一个IP数据包来自哪里，去往哪里。

高级网络级防火墙可以判断这一点。它可以提供内部信息来解释连接状态和某些数据流的内容，将判断的信息与规则表进行比较，并在规则表中定义各种规则来指示是同意还是拒绝数据包。包过滤防火墙检查每条规则，直到发现数据包中的信息与规则匹配。

如果不符合任何规则，防火墙将使用默认规则。通常，默认规则是要求防火墙丢弃数据包。其次，通过定义基于TCP或UDP包的端口号，防火墙可以判断是否允许建立特定的连接，比如Telnet和FTP连接。

以下是网络级防火墙的访问控制规则:

(1)允许网络123.1.0使用FTP(端口21)访问主机；

(2)允许IP地址为和的用户Telnet (23个端口)到主机；

(3)允许任意地址的电子邮件(25端口)进入主机；

(4)允许任何WWW数据(80端口)通过；

(5)不允许其他数据包进入。

网络级防火墙简单、快速、低成本、对用户透明，但它对网络的保护非常有限，因为它只检查地址和端口，没有能力了解网络更高协议层的信息。

2.规则检查防火墙

该防火墙结合了包过滤防火墙、电路级网关和应用层网关的特点。与包过滤防火墙一样，规则检查防火墙可以通过OSI网络层的IP地址和端口号过滤传入和传出的数据包。和电路级网关一样，可以检查SYN和ACK标签以及序列号是否逻辑有序。

当然，就像应用层网关一样，它可以在OSI应用层检查数据包的内容，看是否符合公司网络的安全规则。尽管规则检查防火墙集成了前三者的特征，但它与应用程序级网关的不同之处在于，它不会破坏客户端/服务器模式来分析应用层的数据，并且它允许可信客户端与不可信主机建立直接连接。

规则检查防火墙不依赖于与应用层相关的代理，而是依靠一些算法来识别传入和传出的应用层数据。这些算法通过了解合法数据包的模式来比较传入和传出的数据包，这在理论上比应用层代理过滤数据包更有效。

目前市面上流行的防火墙大多属于规则检查防火墙，因为防火墙对用户透明，在OSI的最高层加密数据，你不需要修改客户端的程序，也不需要为每个需要在防火墙上运行的服务额外添加代理。

比如目前最流行的防火墙之一，OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1，都是规则检查防火墙。

从趋势上看，未来的防火墙将位于网络级防火墙和应用级防火墙之间，即网络级防火墙将变得更能识别通过的信息，而应用级防火墙将在目前的功能上向“透明”和“低级”发展。最终，防火墙将成为一个快速注册和检查系统，它可以保护数据以加密的方式通过，使所有组织可以安全地在节点之间传输数据。

(4)防火墙的配置

有三种防火墙配置:双宿主模式、屏蔽主机模式和屏蔽子网模式。双宿模式是最简单的。双宿网关位于两个网络之间，这种双宿网关也称为bastionhost。

这种结构成本低，但存在单点失效的问题。这种结构并没有增加网络安全的自卫能力，往往是“黑客”攻击的第一目标。一旦被攻破，整个网络都会暴露。

屏蔽主机模式下的屏蔽路由器建立了一道屏障，保护主机的安全。它首先将所有传入信息发送到Bastionhost，并且只接受来自Bastionhost的数据作为传出数据。

这种结构依赖于Screeningrouter和Bastionhost。只要一个失效，全网暴露。屏蔽子网包含两个屏蔽路由器和两个主机。公网和专网之间形成隔离网，称为“非军事区”(DMZ)，堡垒主机放在“停火区”。这种结构具有良好的安全性。只有破坏两个安全单元才能暴露网络，但代价也很昂贵。

-

(4)防火墙安全措施

各种防火墙的安全性能不同。以下是通用防火墙的一些常见安全措施:

1.反电子欺骗

反欺骗的作用是保证数据包的IP地址与网关接口一致，通过修改IP地址来防止非授权访问。还应识别可疑信息，并提醒网络管理员。

2.网络地址传输

地址转移就是对互联网隐藏内部地址，防止内部地址被公开。该功能可以克服IP寻址方式的诸多限制，改进内部寻址方式。通过将未注册的IP地址映射到合法地址，您可以访问互联网。

3.开放式结构设计

开放式架构设计使得防火墙与相关应用程序和外部用户数据库的连接变得非常容易，如财务软件包、病毒扫描、登录分析等。

4.路由器安全管理程序

它为Bay和Cisco路由器提供集中管理和访问列表控制。

(6)传统防火墙的五大缺点

1.无法检测加密的Web流量。

如果您正在部署一个光学密钥门户，您希望网络层和应用层中的所有漏洞都被应用程序屏蔽掉。这个要求对于传统的网络防火墙来说是一个大问题。

由于网络防火墙对加密SSL流中的数据是不可见的，防火墙无法拦截SSL数据流并快速解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙根本不提供数据解密的功能。

2.普通的应用程序经过加密后，很容易逃脱防火墙的检测。

网络防火墙看不到的不仅仅是SSL加密的数据。它对应用程序加密的数据也是不可见的。现在，大多数网络防火墙依赖于静态特征库，这类似于入侵检测系统(IDS)的原理。只有当应用层攻击行为的特征与防火墙中数据库中已有的特征完全匹配时，防火墙才能识别和拦截攻击数据。

但现在，利用常见的编码技术，可以将恶意代码等攻击命令隐藏起来，转换成某种形式，不仅可以欺骗前端的网络安全系统，还可以在后台服务器中执行。只要加密的攻击代码与防火墙规则库中的规则不同，就可以避开网络防火墙，成功避免特征匹配。

3.对于Web应用，防范能力不足。

网络防火墙是1990年发明的，而商用Web服务器是一年后才出来的。基于状态检测的防火墙的设计原理是在网络层设置和加强基于TCP和IP地址的状态访问控制列表。在这方面，网络防火墙的性能确实很优秀。

近年来，HTTP是实际应用中主要的传输协议。主流平台提供商和大型应用提供商都已经转向基于Web的架构，安全保护的目标不再仅仅是重要的业务数据。网络防火墙的保护范围发生了变化。

通用网络防火墙仍然占有很高的市场份额，继续在防范传统企业局域网方面发挥重要作用。然而，对于新兴的上层协议，如XML和SOAP，网络防火墙有些不足。

由于架构的原因，即使是最先进的网络防火墙也无法完全控制网络、应用和数据流，在阻止Web应用时也无法拦截应用层的攻击。很难防止新的和未知的攻击，因为缺乏对整个应用数据流的基于会话级别的完整监控能力。

4、防护功能的应用，只适用于简单的情况。

当前的数据中心服务器经常发生变化，例如:

★需要定期部署新应用；

★软件模块需要经常添加或更新；

★ QA人员经常在代码中发现bug，部署的系统需要定期打补丁。

在这样一个动态复杂的环境中，安全专家需要采用灵活的粗粒度方法来实施有效的保护策略。

虽然一些先进的网络防火墙供应商提出了应用程序保护的特点，但它们只适用于简单的环境。如果你仔细观察，你会发现这些特性对于实际的企业应用来说是有局限性的。在大多数情况下,“概念验证”概念的特征不能应用于现实生活中的数据中心。

例如，一些防火墙供应商曾经声称可以防止缓存溢出:当黑客在浏览器的URL中输入过长的数据，试图使后台服务崩溃或试图非法访问时，网络防火墙可以检测并阻止这种情况。

如果你仔细观察，会发现这些厂商都是用控制80口数据流中URL长度的方法来实现这个功能的。

如果您使用此规则，它将对所有应用程序生效。如果一个程序或者一个简单的网页确实需要涉及到一个很长的URL，那么就有必要屏蔽这个规则。

网络防火墙的架构决定了网络防火墙运行在网络端口和网络层，除非是一些非常简单的应用，否则很难保护应用层。

5.皮带深度检测功能无法扩展。

基于状态检测的网络防火墙如果只是想扩展深度检测的功能而不增加网络性能是行不通的。

针对所有网络和应用流量的真正深度检测功能需要前所未有的处理能力来完成大量计算任务，包括以下几个方面:

★ SSL加密/解密功能；

★完全双向有效载荷检测；

★保证所有合法流量的正常化；

★广泛的协议性能；

这些基于标准PC硬件的任务无法高效运行。尽管一些网络防火墙厂商使用基于ASIC的平台，但进一步研究表明，旧的基于网络的ASIC平台无法支持新的深度检测功能。

三。结束语

由于互联网的开放性，通信协议的安全缺陷，以及网络环境下数据信息存储、访问和处理的分布式特点，在互联网上传输的数据信息很容易被泄露和破坏，对网络的安全攻击非常严重，因此建立一个有效的网络。