計算機(jī)科學(xué)與技術(shù)專業(yè) 畢業(yè)設(shè)計外文翻譯

《計算機(jī)科學(xué)與技術(shù)專業(yè) 畢業(yè)設(shè)計外文翻譯》由會員分享，可在線閱讀，更多相關(guān)《計算機(jī)科學(xué)與技術(shù)專業(yè) 畢業(yè)設(shè)計外文翻譯（5頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、本科生畢業(yè)翻譯 單 位 計算機(jī)科學(xué)學(xué)院 姓 名 專業(yè)班級計算機(jī)科學(xué)與技術(shù)專業(yè) 指導(dǎo)教師（職稱） 翻譯完成時間二○○九年五月 Information Security Technical Report (2005) 10, 204e212 Firewalls e Are they enough protection forcurrent networks? J. Stuart Broderick Strategic Consulting, Symantec Corporation, 911 Central Parkway North, Suite

2、 300,San Antonio, TX 78232, USA 縱深防御 縱深防御是一個被安全從業(yè)人員吹捧多年的概念。盡管使用多重防火墻級聯(lián)的縱深防御已經(jīng)被廣泛應(yīng)用于世界各國的政府團(tuán)體機(jī)構(gòu)，然而其在非政府領(lǐng)域的應(yīng)用還是十分有限的。或許是由于成本的原因。幾年前，成本的理由是合理的。但是，隨著一些更快更小的防火墻技術(shù)和安全設(shè)備的產(chǎn)生，或許一些團(tuán)體機(jī)構(gòu)是時候該重新考慮一下他們應(yīng)首先顧慮的問題了。 為了讓團(tuán)體機(jī)構(gòu)的信息得到最佳的保護(hù)，他們的網(wǎng)絡(luò)應(yīng)該被規(guī)劃（或重新設(shè)計）這是從安全的立場（金等人）而不是從商業(yè)和地域角度來考慮。從安全角度來設(shè)計一個網(wǎng)絡(luò)，應(yīng)該確保讓未經(jīng)授權(quán)的內(nèi)部訪問和來源于外部的訪問變

3、得非常困難。在下面這個圖表中就給出了一個分割或者隔離網(wǎng)絡(luò)的例子： 在圖中，用戶每向核心敏感層躍遷一次都要通過越來越嚴(yán)格的防火墻。此圖是一個簡單的可靠分割網(wǎng)絡(luò)的例子，它不是一個萬能的解決方案。每個團(tuán)體機(jī)構(gòu)都可以根據(jù)自身的風(fēng)險承受能力、所保護(hù)信息的價值以及其與第三方關(guān)系確定是否有權(quán)使用的信息，來論證、修改這一模式。 在現(xiàn)實中，只有被高度信賴的管理員和安全人員才能直接訪問系統(tǒng)關(guān)鍵任務(wù)，他們使命關(guān)鍵是有原因的：團(tuán)體機(jī)構(gòu)的運(yùn)營依靠他們，因此未經(jīng)授權(quán)的訪問是不可能的。對于值得信賴的管理員和其他特別授權(quán)的人員，使用強(qiáng)有力的身份驗證和VPN技術(shù)可以使他們達(dá)到任意想要到達(dá)的處理辦公環(huán)境。 這種類型的網(wǎng)絡(luò)隔

4、離并不是一個新設(shè)想。各國政府在全球范圍內(nèi)使用相似的解決方案已經(jīng)很多年了。但直到最近，防火墻方案的成本才達(dá)到任意團(tuán)體機(jī)構(gòu)能實際承擔(dān)的水平。在大型團(tuán)體機(jī)構(gòu)的網(wǎng)絡(luò)中，通過幾十或幾百個防火墻來劃分復(fù)雜的計算機(jī)網(wǎng)絡(luò)，以嚴(yán)格的限制阻擋任何入侵者（內(nèi)部或外部）對系統(tǒng)的損害于防火墻之外。 如果得到IT安全政策、標(biāo)準(zhǔn)和程序的支持，這種網(wǎng)絡(luò)解決方案將是最合適、有效的。 確保這些建立之前，首先要投資于這種解決方案，或者使團(tuán)體機(jī)構(gòu)的營利相對較少。此類解決方案，考慮和關(guān)注的細(xì)節(jié)應(yīng)該是任意團(tuán)體機(jī)構(gòu)的雇員或者家庭網(wǎng)絡(luò)。 除非你所在團(tuán)體機(jī)構(gòu)持有或處理的信息是極其敏感的或者非常有價值的，它所需要的保護(hù)水平才要高于你競爭對

5、手的團(tuán)體機(jī)構(gòu)一兩個級別。除非一個入侵者有特殊的目的來訪問你的信息，否則，他們將只能訪問最容易得到的信息。如果實施一個安全的解決方案，找到一個比你對手更高明的受挫原因，那所有最執(zhí)著的入侵者都將尋找另一個更容易攻擊的目標(biāo)。 設(shè)置主機(jī)防火墻/個人防火墻 最終的網(wǎng)絡(luò)邊界是指出計算機(jī)連接到哪個網(wǎng)絡(luò)。這一點(diǎn)是配置防火墻的總趨勢，有時被成為個人防火墻。有些解決方案是安全有效的，其安全設(shè)置能被集中管理，其他只需依靠普通使用者的知識就能使用。通常情況下，pc機(jī)的使用者都不是安全專家，因此，指望他們能管理好自己的個人防火墻簡直就是癡心妄想。 倘若管理員有豐富安全知識，那中央管理的個人防火墻方案就能提供許多優(yōu)

6、點(diǎn)。不過，對于一些有能力的用戶，這些防火墻有時會影響他們進(jìn)行的工作，所以他們要求（或者入侵）在標(biāo)準(zhǔn)防火墻下存在特別漏洞。這些漏洞也許是或者不是同一個來源，但應(yīng)該進(jìn)行認(rèn)真評估，以減少對整個團(tuán)體機(jī)構(gòu)的威脅風(fēng)險。 應(yīng)用程序安全 到目前為止，我們還之討論了防火墻、網(wǎng)絡(luò)協(xié)議及其使用。到頭來，還是應(yīng)用程序在保護(hù)數(shù)據(jù)本身。因此，即使所有的防火墻基礎(chǔ)設(shè)施是徹底安全的，應(yīng)用程序不正常響應(yīng)或者接受虛假、無效、意外的數(shù)據(jù)，那么遭到未經(jīng)授權(quán)的訪問也是順理成章的。這一點(diǎn)已經(jīng)變得非常明顯，在過去幾年里，關(guān)于安全原則的程序代碼質(zhì)量顯著下降。部分原因可能是功能方面缺少這種安全需求，產(chǎn)品上市時間原因，或者干脆說，安全編程的

7、技術(shù)沒被教授（或許他們不被認(rèn)為是“酷”的技術(shù)）。 用安全相關(guān)的軟件來彌補(bǔ)隨處出現(xiàn)的程序缺陷已經(jīng)司空見慣了。他們已經(jīng)存在于網(wǎng)絡(luò)通信的各環(huán)節(jié)的交流中。這些缺陷可能包括： ·TCP/IP協(xié)議 ·包含缺陷的TCP/IP協(xié)議的實現(xiàn) ·任意一款有數(shù)據(jù)流通過的操作系統(tǒng)（含補(bǔ)丁） ·防火墻軟件或者配置文件操作的軟件 ·加密軟件（如果用到的話） 一個在任意環(huán)節(jié)出現(xiàn)的代碼錯誤都表明了它本身的安全弱點(diǎn)被發(fā)現(xiàn)，這不是一個簡單問題而且不能用簡單的解決方案。 如前所述，IP V6 提供了一種解決方案，可以解決許多通過TCP/IP發(fā)送數(shù)據(jù)的綜合安全問題。從安全立場來看，它不可能也沒有解決那些不堪一擊的程序代

8、碼的問題。直到那些程序的安全質(zhì)量問題被暴露出來，成為最薄弱的安全環(huán)節(jié)。 無線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)一體化 計算機(jī)無線網(wǎng)絡(luò)技術(shù)的理論，已經(jīng)針對如何保護(hù)飽受非法訪問的網(wǎng)絡(luò)問題，提出了有重大意義的觀點(diǎn)。這主要是因為無線網(wǎng)絡(luò)有效地解決了網(wǎng)絡(luò)劃分的問題。兩個主要的非法來源在侵入網(wǎng)絡(luò)邊界時被確定，他們是： （1） 使用無線網(wǎng)卡鏈接到團(tuán)體有限網(wǎng)絡(luò)的筆記本和其他電腦 （2） 未被授權(quán)的非法網(wǎng)絡(luò)接入節(jié)點(diǎn)或者為了方便用戶而連接到有線網(wǎng)絡(luò)的路由器 在大多數(shù)情況下，不安全的介紹是無意的，只是缺少對部分用戶的教育。不安全的介紹通常是作為一種便利功能給出的。 更加危險的潛在不安全因素是技術(shù)本身。無線設(shè)備（無線局域網(wǎng)）

9、銷售時承諾有限制范圍和信息加密傳輸。但事實最有說服力。無線局域網(wǎng)信號能被接收到，通過用一些簡單的專業(yè)技術(shù)就能做到，不是150尺的距離（常見的無線設(shè)備規(guī)格），而是幾百碼或者超過一里外的某些情況。非無線網(wǎng)絡(luò)的專家認(rèn)為，數(shù)據(jù)的傳輸應(yīng)該像有線網(wǎng)絡(luò)那樣點(diǎn)對點(diǎn)的進(jìn)行。但他們忘記了無線電可以在360°的任意方向向網(wǎng)絡(luò)周圍的三維空間傳播。這款無線網(wǎng)絡(luò)設(shè)備的廠商和安全委員會認(rèn)為他們包含數(shù)據(jù)加密技術(shù)。不幸的是，這種加密規(guī)格是很爛的，很容易被攻破。更糟的是，很多用戶甚至連這種級別的待遇都沒有?，F(xiàn)在的網(wǎng)絡(luò)邊界不僅是漏洞,根本就是空白的。 防火墻技術(shù) 防火墻解決方案（麥蒂安德烈，茲威基等）在過去的25年里，已經(jīng)在許

10、多方面取得了進(jìn)展，耗費(fèi)龐大而昂貴的軟硬件支持作為服務(wù)。在另一極端，未來的電子消費(fèi)產(chǎn)品可以裝配到掌上電腦而且花費(fèi)不到100美金。盡管這是顯著的進(jìn)展，但還是要取決于同一個問題：一個不可靠的協(xié)議簇和應(yīng)用軟件（無論是安裝在硬盤里或是加載在固件里）。 有三種基本類型的防火墻： 代理防火墻 ·使用規(guī)則，不僅檢查報頭信息，而且檢查有效的荷載內(nèi)容，如果報頭是已被授權(quán)的。 濾包防火墻 ·基本分為兩類：普通包過濾檢查每個數(shù)據(jù)包的報頭信息；狀態(tài)包過濾檢查初始報頭并在允許的情況下監(jiān)控其他包序列號的一致性。 ·電路級防火墻——已經(jīng)成歷史了，通常被忽略 幾乎類似宗教狂熱式的銷售戰(zhàn)在代理防火墻和包過濾防火墻間

11、持續(xù)了多年。在現(xiàn)實中，許多商業(yè)防火墻是這兩種防火墻的融合。這只不過是兩種技術(shù)所占的比例不同罷了。大部分的混合防火墻都是傾向于一種技術(shù)，這要看開發(fā)團(tuán)隊的理解傾向了。那些團(tuán)體機(jī)構(gòu)并不關(guān)心他們購買和使用的是那種防火墻，他們只是需要這防火墻運(yùn)作起來并保護(hù)他們的數(shù)據(jù)而已。 無論那種解決方案被采用，防火墻軟件就是提供了一個可靠（但常常有缺陷）的安全保護(hù)，當(dāng)然僅僅當(dāng)他們能做到時才算。 ·重點(diǎn)發(fā)展程序本身的安全性而非防火墻范圍的保護(hù)。 ·根據(jù)組織機(jī)構(gòu)的具體需求正確配置和安裝防火墻。 ·配置可靠的硬件基礎(chǔ)。 ·鎖定要保護(hù)的數(shù)據(jù)。 ·配置保證能夠正常運(yùn)行的最基本服務(wù)數(shù)量。 ·妥善處理防火墻本身的安全

12、及其功能配置。 保護(hù)不可能做到完美，因為我們所要絕對保護(hù)數(shù)據(jù)的設(shè)計往往都存在缺陷，不可能做到。 以上列出的要求都適用于各種防火墻和依托防火墻的常見操作系統(tǒng)或硬件。 當(dāng)市場銷售和促銷時，技術(shù)細(xì)節(jié)就會被忽略，防火墻只是一款安裝在操作系統(tǒng)上的應(yīng)用程序，只要它能負(fù)責(zé)控制TCP/IP通信的端口滿足其規(guī)則就行。同樣的防火墻軟件也要迎合其他軟件——和前面說的一樣。防火墻和其他軟件的不同就在于防火墻的開發(fā)者要比其他軟件的開發(fā)者更注重安全問題。 為了提高防火墻范圍內(nèi)的保護(hù)水平，應(yīng)該補(bǔ)充額外的安全技術(shù)，如入侵檢測/防御惡意軟件技術(shù)。結(jié)合這項技術(shù)可以綜合一個個單一的安全技術(shù)為一體，這已經(jīng)變得越來越普通。前一

13、種做法可以由用戶自定義各種需求，而后者則全依賴開發(fā)商的安全側(cè)重點(diǎn)。沒有辦法來確定誰對誰錯，對于一個特定組織的具體工作。 防火墻不能保護(hù)你的組織機(jī)構(gòu)的內(nèi)容： ·會話劫持 ·偵聽數(shù)據(jù) ·修改網(wǎng)絡(luò)數(shù)據(jù) ·重新路由數(shù)據(jù) ·網(wǎng)絡(luò)信息詐騙 ·用戶信息泄露 ·用戶調(diào)制解調(diào)器附帶的防火墻系統(tǒng)保護(hù) ·社會工程攻擊 ·下載/接受的文件、信息包含病毒或惡意代碼 ·來自內(nèi)部的數(shù)據(jù)攻擊 最安全的防火墻實現(xiàn)需要： ·制定一個公司范圍的安全策略（安全策略標(biāo)準(zhǔn)和程序，格林堡，2003）并按此執(zhí)行 ·要按“攻擊者”而不是“防衛(wèi)者”的角度思考 ·培訓(xùn)用戶和管理者 ·為關(guān)鍵系統(tǒng)采用在防火墻和訪問控制

14、兩方面的“超前安全”策略 O允許的情況下，將防火墻集成到操作系統(tǒng)支持的硬件上 O禁用所有不必要的服務(wù) O盡可能利用強(qiáng)大的認(rèn)證手段 O檢測“后門” O檢測未被授權(quán)的擅自篡改 除了防火墻外，一個不錯的信息保護(hù)計劃（格林伯格，2003）也將： ·執(zhí)行和監(jiān)督入侵檢測系統(tǒng)，以便你知道自己什么時候在被攻擊 ·執(zhí)行事件處理和過程響應(yīng)，來處理試圖或闖入的情況。 乍一看，防火墻可能會被認(rèn)為是一個簡單的即插即用設(shè)備，放到那就能實施保護(hù)。但實際上，在介紹了防火墻的解決方案后，你會發(fā)現(xiàn)，使之有效地開展工作，需要大量的知識和安全專長。 接下來的步驟 由于您已經(jīng)閱讀這么深入了，很顯然，你關(guān)心自己的現(xiàn)

15、有的防火墻環(huán)境或以后的防火墻有關(guān)的配置方案。 解決這個問題的關(guān)鍵是要退一步，考慮一下你自己到底需要什么。 根據(jù)你自己習(xí)慣舒適的原則，你可以自己隨便安排，或者按你所在團(tuán)體的設(shè)置，或者干脆成為一個獨(dú)立的第三方。無論選擇那種方式，關(guān)鍵是你都要徹底審視一下環(huán)境和趨勢，和其他安全問題一樣，問題是你所在團(tuán)體的風(fēng)險承受力和他得承受能力。 總結(jié) 妥善設(shè)計、實施和管理防火墻技術(shù)，為目前的計算機(jī)網(wǎng)絡(luò)提供重要的保護(hù)。他們不一定是過去吹噓的那種安全方面的靈丹妙藥，只不過是團(tuán)體機(jī)構(gòu)用來抵擋電腦系統(tǒng)被入侵的一個簡單的護(hù)盾罷了。為了現(xiàn)在和光明的未來，防火墻仍是一個組織團(tuán)體防御的堅定選擇。范圍僅限于安裝了防火墻設(shè)備的水

16、平，不過他們都肯定會被嵌入到硬件設(shè)備中，這是遲早的事。 盡管由于有防火墻技術(shù)的保證，他們正被試圖用來保護(hù)不可靠網(wǎng)絡(luò)通信的數(shù)據(jù)，讓應(yīng)用程序盡可能的花費(fèi)較少的信息驗證努力就能確保信息正確有效的接受和發(fā)送。在日益復(fù)雜的攻擊和用戶越來越少的安全意識下，就導(dǎo)致了防火墻就技術(shù)不斷面臨艱難的挑戰(zhàn)。實際中的防火墻只是整個安全解決方案的一部分，圍繞著這個單位的數(shù)據(jù)會有更強(qiáng)有力的保護(hù)措施。用防火墻作為其他技術(shù)的輔助，比如入侵檢測系統(tǒng)、惡意軟件保護(hù)系統(tǒng)等，當(dāng)然這些都軟件都是可靠地。接下來一個必須及時慎重考慮的問題就是：數(shù)據(jù)安全已經(jīng)越來越不能再被忽略了，在數(shù)據(jù)本身變成應(yīng)用的最后一步之前。 References

17、A definitive introduction to information security policies,standards and procedures. < ://enterprisesecurity. symantec /article.cfm?articleid?1155&EID?0>; 2002. Eric Greenberg. Mission critical security planner; 2003 [ISBN0-471-21165-6]. King, Dalton, Ertem Osmanoglu. Security architecture

18、design,deployment & operations [ISBN:0-07-213385-6]. Mandy Andress. Surviving security: how to integrate people,process and technology [chapter 7; ISBN:0-672-32129-7]. RFC 1883. Internet protocol, version 6 (IPv6) specification; December1995 () e originalspecification. RFC 2460. Internet protocol, version 6 (IPv6) specification; December1998 () e obsoletes RFC 1883.Zwicky, Cooper, Chapman. Building internet firewalls [chapter4; ISBN:1-56592-871-7].