計(jì)算機(jī)內(nèi)外網(wǎng)安全的策略研究.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，各公司、企業(yè)、政府機(jī)關(guān)交流信息的方式正在發(fā)生變化。但這些部門面臨的最大的問(wèn)題就是如何用一種有效的安全解決方案來(lái)保護(hù)網(wǎng)絡(luò)及信息系統(tǒng)不受攻擊。在眾多的方案中，防火墻是安全解決策略的關(guān)鍵部分。
　　 防火墻是位于私有網(wǎng)絡(luò)和公有網(wǎng)絡(luò)之間的一種安全信任機(jī)制。本文主要針對(duì)防火墻技術(shù)和防火墻應(yīng)用的模型、實(shí)現(xiàn)進(jìn)行研究。研究工作主要分為三部分。首先，改進(jìn)Linux防火墻以防范TCP Flood的DoS(Denial of

2、 Service)攻擊；其次，設(shè)計(jì)一種新的基于雙網(wǎng)關(guān)的單工通信防火墻模型；第三，通過(guò)改進(jìn)ARP協(xié)議機(jī)制，提出一種新方法來(lái)防范ARP欺騙攻擊。論文主要組織如下。
　　 第一部分研究了防火墻技術(shù)的相關(guān)概念及其在Linux防火墻的實(shí)現(xiàn)框架。鑒于TCP洪泛攻擊是最主要的DoS攻擊方法，我們分析了現(xiàn)有防范方法的不足，然后提出了一種分配TCP連接信息摘要的方案。該方案可以同時(shí)抵御主機(jī)資源攻擊和網(wǎng)絡(luò)帶寬資源攻擊。
　　 第二部分我們討

3、論了現(xiàn)有的防火墻模型。金融部門對(duì)網(wǎng)絡(luò)安全格外關(guān)注，既要阻止外網(wǎng)對(duì)內(nèi)網(wǎng)用戶私有資源的訪問(wèn)，又要將實(shí)時(shí)信息發(fā)布到外網(wǎng)。為解決這個(gè)問(wèn)題，我們提出了一種新的防火墻模型，即基于雙網(wǎng)關(guān)的單工通信系統(tǒng)，然后在內(nèi)外網(wǎng)關(guān)鏈路層設(shè)計(jì)了專有協(xié)議，并通過(guò)形式化描述工具Petri網(wǎng)對(duì)該協(xié)議進(jìn)行了描述和驗(yàn)證。
　　 第三部分，防火墻僅僅能有效地保護(hù)內(nèi)部網(wǎng)絡(luò)不受外網(wǎng)攻擊，也就是說(shuō)，如果攻擊來(lái)自內(nèi)部網(wǎng)絡(luò)，防火墻就無(wú)法處理。據(jù)統(tǒng)計(jì)，網(wǎng)絡(luò)攻擊有70％以上來(lái)自內(nèi)部，