計算機(jī)科學(xué)與技術(shù)專業(yè) 畢業(yè)設(shè)計外文翻譯

《計算機(jī)科學(xué)與技術(shù)專業(yè) 畢業(yè)設(shè)計外文翻譯》由會員分享，可在線閱讀，更多相關(guān)《計算機(jī)科學(xué)與技術(shù)專業(yè) 畢業(yè)設(shè)計外文翻譯（5頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、本科生畢業(yè)翻譯單 位 計算機(jī)科學(xué)學(xué)院 姓 名專業(yè)班級計算機(jī)科學(xué)與技術(shù)專業(yè)指導(dǎo)教師（職稱）翻譯完成時間二九年五月Information Security Technical Report (2005) 10, 204e212Firewalls e Are they enough protection forcurrent networks?J. Stuart BroderickStrategic Consulting, Symantec Corporation, 911 Central Parkway North, Suite 300,San Antonio, TX 78232, USA縱深防御

2、縱深防御是一個被安全從業(yè)人員吹捧多年的概念。盡管使用多重防火墻級聯(lián)的縱深防御已經(jīng)被廣泛應(yīng)用于世界各國的政府團(tuán)體機(jī)構(gòu)，然而其在非政府領(lǐng)域的應(yīng)用還是十分有限的。或許是由于成本的原因。幾年前，成本的理由是合理的。但是，隨著一些更快更小的防火墻技術(shù)和安全設(shè)備的產(chǎn)生，或許一些團(tuán)體機(jī)構(gòu)是時候該重新考慮一下他們應(yīng)首先顧慮的問題了。為了讓團(tuán)體機(jī)構(gòu)的信息得到最佳的保護(hù)，他們的網(wǎng)絡(luò)應(yīng)該被規(guī)劃（或重新設(shè)計）這是從安全的立場（金等人）而不是從商業(yè)和地域角度來考慮。從安全角度來設(shè)計一個網(wǎng)絡(luò)，應(yīng)該確保讓未經(jīng)授權(quán)的內(nèi)部訪問和來源于外部的訪問變得非常困難。在下面這個圖表中就給出了一個分割或者隔離網(wǎng)絡(luò)的例子：在圖中，用戶每向核

3、心敏感層躍遷一次都要通過越來越嚴(yán)格的防火墻。此圖是一個簡單的可靠分割網(wǎng)絡(luò)的例子，它不是一個萬能的解決方案。每個團(tuán)體機(jī)構(gòu)都可以根據(jù)自身的風(fēng)險承受能力、所保護(hù)信息的價值以及其與第三方關(guān)系確定是否有權(quán)使用的信息，來論證、修改這一模式。在現(xiàn)實中，只有被高度信賴的管理員和安全人員才能直接訪問系統(tǒng)關(guān)鍵任務(wù)，他們使命關(guān)鍵是有原因的：團(tuán)體機(jī)構(gòu)的運(yùn)營依靠他們，因此未經(jīng)授權(quán)的訪問是不可能的。對于值得信賴的管理員和其他特別授權(quán)的人員，使用強(qiáng)有力的身份驗證和VPN技術(shù)可以使他們達(dá)到任意想要到達(dá)的處理辦公環(huán)境。這種類型的網(wǎng)絡(luò)隔離并不是一個新設(shè)想。各國政府在全球范圍內(nèi)使用相似的解決方案已經(jīng)很多年了。但直到最近，防火墻方案

4、的成本才達(dá)到任意團(tuán)體機(jī)構(gòu)能實際承擔(dān)的水平。在大型團(tuán)體機(jī)構(gòu)的網(wǎng)絡(luò)中，通過幾十或幾百個防火墻來劃分復(fù)雜的計算機(jī)網(wǎng)絡(luò)，以嚴(yán)格的限制阻擋任何入侵者（內(nèi)部或外部）對系統(tǒng)的損害于防火墻之外。如果得到IT安全政策、標(biāo)準(zhǔn)和程序的支持，這種網(wǎng)絡(luò)解決方案將是最合適、有效的。確保這些建立之前，首先要投資于這種解決方案，或者使團(tuán)體機(jī)構(gòu)的營利相對較少。此類解決方案，考慮和關(guān)注的細(xì)節(jié)應(yīng)該是任意團(tuán)體機(jī)構(gòu)的雇員或者家庭網(wǎng)絡(luò)。除非你所在團(tuán)體機(jī)構(gòu)持有或處理的信息是極其敏感的或者非常有價值的，它所需要的保護(hù)水平才要高于你競爭對手的團(tuán)體機(jī)構(gòu)一兩個級別。除非一個入侵者有特殊的目的來訪問你的信息，否則，他們將只能訪問最容易得到的信息。如

5、果實施一個安全的解決方案，找到一個比你對手更高明的受挫原因，那所有最執(zhí)著的入侵者都將尋找另一個更容易攻擊的目標(biāo)。設(shè)置主機(jī)防火墻/個人防火墻最終的網(wǎng)絡(luò)邊界是指出計算機(jī)連接到哪個網(wǎng)絡(luò)。這一點(diǎn)是配置防火墻的總趨勢，有時被成為個人防火墻。有些解決方案是安全有效的，其安全設(shè)置能被集中管理，其他只需依靠普通使用者的知識就能使用。通常情況下，pc機(jī)的使用者都不是安全專家，因此，指望他們能管理好自己的個人防火墻簡直就是癡心妄想。倘若管理員有豐富安全知識，那中央管理的個人防火墻方案就能提供許多優(yōu)點(diǎn)。不過，對于一些有能力的用戶，這些防火墻有時會影響他們進(jìn)行的工作，所以他們要求（或者入侵）在標(biāo)準(zhǔn)防火墻下存在特別漏洞

6、。這些漏洞也許是或者不是同一個來源，但應(yīng)該進(jìn)行認(rèn)真評估，以減少對整個團(tuán)體機(jī)構(gòu)的威脅風(fēng)險。應(yīng)用程序安全到目前為止，我們還之討論了防火墻、網(wǎng)絡(luò)協(xié)議及其使用。到頭來，還是應(yīng)用程序在保護(hù)數(shù)據(jù)本身。因此，即使所有的防火墻基礎(chǔ)設(shè)施是徹底安全的，應(yīng)用程序不正常響應(yīng)或者接受虛假、無效、意外的數(shù)據(jù)，那么遭到未經(jīng)授權(quán)的訪問也是順理成章的。這一點(diǎn)已經(jīng)變得非常明顯，在過去幾年里，關(guān)于安全原則的程序代碼質(zhì)量顯著下降。部分原因可能是功能方面缺少這種安全需求，產(chǎn)品上市時間原因，或者干脆說，安全編程的技術(shù)沒被教授（或許他們不被認(rèn)為是“酷”的技術(shù)）。用安全相關(guān)的軟件來彌補(bǔ)隨處出現(xiàn)的程序缺陷已經(jīng)司空見慣了。他們已經(jīng)存在于網(wǎng)絡(luò)通信

7、的各環(huán)節(jié)的交流中。這些缺陷可能包括：TCP/IP協(xié)議包含缺陷的TCP/IP協(xié)議的實現(xiàn)任意一款有數(shù)據(jù)流通過的操作系統(tǒng)（含補(bǔ)丁）防火墻軟件或者配置文件操作的軟件加密軟件（如果用到的話）一個在任意環(huán)節(jié)出現(xiàn)的代碼錯誤都表明了它本身的安全弱點(diǎn)被發(fā)現(xiàn)，這不是一個簡單問題而且不能用簡單的解決方案。如前所述，IP V6 提供了一種解決方案，可以解決許多通過TCP/IP發(fā)送數(shù)據(jù)的綜合安全問題。從安全立場來看，它不可能也沒有解決那些不堪一擊的程序代碼的問題。直到那些程序的安全質(zhì)量問題被暴露出來，成為最薄弱的安全環(huán)節(jié)。無線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)一體化計算機(jī)無線網(wǎng)絡(luò)技術(shù)的理論，已經(jīng)針對如何保護(hù)飽受非法訪問的網(wǎng)絡(luò)問題，提出了有

8、重大意義的觀點(diǎn)。這主要是因為無線網(wǎng)絡(luò)有效地解決了網(wǎng)絡(luò)劃分的問題。兩個主要的非法來源在侵入網(wǎng)絡(luò)邊界時被確定，他們是：（1） 使用無線網(wǎng)卡鏈接到團(tuán)體有限網(wǎng)絡(luò)的筆記本和其他電腦（2） 未被授權(quán)的非法網(wǎng)絡(luò)接入節(jié)點(diǎn)或者為了方便用戶而連接到有線網(wǎng)絡(luò)的路由器在大多數(shù)情況下，不安全的介紹是無意的，只是缺少對部分用戶的教育。不安全的介紹通常是作為一種便利功能給出的。更加危險的潛在不安全因素是技術(shù)本身。無線設(shè)備（無線局域網(wǎng)）銷售時承諾有限制范圍和信息加密傳輸。但事實最有說服力。無線局域網(wǎng)信號能被接收到，通過用一些簡單的專業(yè)技術(shù)就能做到，不是150尺的距離（常見的無線設(shè)備規(guī)格），而是幾百碼或者超過一里外的某些情況。

9、非無線網(wǎng)絡(luò)的專家認(rèn)為，數(shù)據(jù)的傳輸應(yīng)該像有線網(wǎng)絡(luò)那樣點(diǎn)對點(diǎn)的進(jìn)行。但他們忘記了無線電可以在360的任意方向向網(wǎng)絡(luò)周圍的三維空間傳播。這款無線網(wǎng)絡(luò)設(shè)備的廠商和安全委員會認(rèn)為他們包含數(shù)據(jù)加密技術(shù)。不幸的是，這種加密規(guī)格是很爛的，很容易被攻破。更糟的是，很多用戶甚至連這種級別的待遇都沒有。現(xiàn)在的網(wǎng)絡(luò)邊界不僅是漏洞,根本就是空白的。防火墻技術(shù)防火墻解決方案（麥蒂安德烈，茲威基等）在過去的25年里，已經(jīng)在許多方面取得了進(jìn)展，耗費(fèi)龐大而昂貴的軟硬件支持作為服務(wù)。在另一極端，未來的電子消費(fèi)產(chǎn)品可以裝配到掌上電腦而且花費(fèi)不到100美金。盡管這是顯著的進(jìn)展，但還是要取決于同一個問題：一個不可靠的協(xié)議簇和應(yīng)用軟件（

10、無論是安裝在硬盤里或是加載在固件里）。有三種基本類型的防火墻：代理防火墻使用規(guī)則，不僅檢查報頭信息，而且檢查有效的荷載內(nèi)容，如果報頭是已被授權(quán)的。濾包防火墻基本分為兩類：普通包過濾檢查每個數(shù)據(jù)包的報頭信息；狀態(tài)包過濾檢查初始報頭并在允許的情況下監(jiān)控其他包序列號的一致性。電路級防火墻已經(jīng)成歷史了，通常被忽略幾乎類似宗教狂熱式的銷售戰(zhàn)在代理防火墻和包過濾防火墻間持續(xù)了多年。在現(xiàn)實中，許多商業(yè)防火墻是這兩種防火墻的融合。這只不過是兩種技術(shù)所占的比例不同罷了。大部分的混合防火墻都是傾向于一種技術(shù)，這要看開發(fā)團(tuán)隊的理解傾向了。那些團(tuán)體機(jī)構(gòu)并不關(guān)心他們購買和使用的是那種防火墻，他們只是需要這防火墻運(yùn)作起來

11、并保護(hù)他們的數(shù)據(jù)而已。無論那種解決方案被采用，防火墻軟件就是提供了一個可靠（但常常有缺陷）的安全保護(hù)，當(dāng)然僅僅當(dāng)他們能做到時才算。重點(diǎn)發(fā)展程序本身的安全性而非防火墻范圍的保護(hù)。根據(jù)組織機(jī)構(gòu)的具體需求正確配置和安裝防火墻。配置可靠的硬件基礎(chǔ)。鎖定要保護(hù)的數(shù)據(jù)。配置保證能夠正常運(yùn)行的最基本服務(wù)數(shù)量。妥善處理防火墻本身的安全及其功能配置。保護(hù)不可能做到完美，因為我們所要絕對保護(hù)數(shù)據(jù)的設(shè)計往往都存在缺陷，不可能做到。以上列出的要求都適用于各種防火墻和依托防火墻的常見操作系統(tǒng)或硬件。當(dāng)市場銷售和促銷時，技術(shù)細(xì)節(jié)就會被忽略，防火墻只是一款安裝在操作系統(tǒng)上的應(yīng)用程序，只要它能負(fù)責(zé)控制TCP/IP通信的端口滿

12、足其規(guī)則就行。同樣的防火墻軟件也要迎合其他軟件和前面說的一樣。防火墻和其他軟件的不同就在于防火墻的開發(fā)者要比其他軟件的開發(fā)者更注重安全問題。為了提高防火墻范圍內(nèi)的保護(hù)水平，應(yīng)該補(bǔ)充額外的安全技術(shù)，如入侵檢測/防御惡意軟件技術(shù)。結(jié)合這項技術(shù)可以綜合一個個單一的安全技術(shù)為一體，這已經(jīng)變得越來越普通。前一種做法可以由用戶自定義各種需求，而后者則全依賴開發(fā)商的安全側(cè)重點(diǎn)。沒有辦法來確定誰對誰錯，對于一個特定組織的具體工作。防火墻不能保護(hù)你的組織機(jī)構(gòu)的內(nèi)容：會話劫持偵聽數(shù)據(jù)修改網(wǎng)絡(luò)數(shù)據(jù)重新路由數(shù)據(jù)網(wǎng)絡(luò)信息詐騙用戶信息泄露用戶調(diào)制解調(diào)器附帶的防火墻系統(tǒng)保護(hù)社會工程攻擊下載/接受的文件、信息包含病毒或惡意代

13、碼來自內(nèi)部的數(shù)據(jù)攻擊最安全的防火墻實現(xiàn)需要：制定一個公司范圍的安全策略（安全策略標(biāo)準(zhǔn)和程序，格林堡，2003）并按此執(zhí)行要按“攻擊者”而不是“防衛(wèi)者”的角度思考培訓(xùn)用戶和管理者為關(guān)鍵系統(tǒng)采用在防火墻和訪問控制兩方面的“超前安全”策略O(shè)允許的情況下，將防火墻集成到操作系統(tǒng)支持的硬件上O禁用所有不必要的服務(wù)O盡可能利用強(qiáng)大的認(rèn)證手段O檢測“后門”O(jiān)檢測未被授權(quán)的擅自篡改除了防火墻外，一個不錯的信息保護(hù)計劃（格林伯格，2003）也將：執(zhí)行和監(jiān)督入侵檢測系統(tǒng)，以便你知道自己什么時候在被攻擊執(zhí)行事件處理和過程響應(yīng)，來處理試圖或闖入的情況。乍一看，防火墻可能會被認(rèn)為是一個簡單的即插即用設(shè)備，放到那就能實施

14、保護(hù)。但實際上，在介紹了防火墻的解決方案后，你會發(fā)現(xiàn)，使之有效地開展工作，需要大量的知識和安全專長。接下來的步驟由于您已經(jīng)閱讀這么深入了，很顯然，你關(guān)心自己的現(xiàn)有的防火墻環(huán)境或以后的防火墻有關(guān)的配置方案。 解決這個問題的關(guān)鍵是要退一步，考慮一下你自己到底需要什么。根據(jù)你自己習(xí)慣舒適的原則，你可以自己隨便安排，或者按你所在團(tuán)體的設(shè)置，或者干脆成為一個獨(dú)立的第三方。無論選擇那種方式，關(guān)鍵是你都要徹底審視一下環(huán)境和趨勢，和其他安全問題一樣，問題是你所在團(tuán)體的風(fēng)險承受力和他得承受能力。總結(jié)妥善設(shè)計、實施和管理防火墻技術(shù)，為目前的計算機(jī)網(wǎng)絡(luò)提供重要的保護(hù)。他們不一定是過去吹噓的那種安全方面的靈丹妙藥，只

15、不過是團(tuán)體機(jī)構(gòu)用來抵擋電腦系統(tǒng)被入侵的一個簡單的護(hù)盾罷了。為了現(xiàn)在和光明的未來，防火墻仍是一個組織團(tuán)體防御的堅定選擇。范圍僅限于安裝了防火墻設(shè)備的水平，不過他們都肯定會被嵌入到硬件設(shè)備中，這是遲早的事。盡管由于有防火墻技術(shù)的保證，他們正被試圖用來保護(hù)不可靠網(wǎng)絡(luò)通信的數(shù)據(jù)，讓應(yīng)用程序盡可能的花費(fèi)較少的信息驗證努力就能確保信息正確有效的接受和發(fā)送。在日益復(fù)雜的攻擊和用戶越來越少的安全意識下，就導(dǎo)致了防火墻就技術(shù)不斷面臨艱難的挑戰(zhàn)。實際中的防火墻只是整個安全解決方案的一部分，圍繞著這個單位的數(shù)據(jù)會有更強(qiáng)有力的保護(hù)措施。用防火墻作為其他技術(shù)的輔助，比如入侵檢測系統(tǒng)、惡意軟件保護(hù)系統(tǒng)等，當(dāng)然這些都軟件都

16、是可靠地。接下來一個必須及時慎重考慮的問題就是：數(shù)據(jù)安全已經(jīng)越來越不能再被忽略了，在數(shù)據(jù)本身變成應(yīng)用的最后一步之前。ReferencesA definitive introduction to information security policies,standards and procedures. ; 2002.Eric Greenberg. Mission critical security planner; 2003 ISBN0-471-21165-6.King, Dalton, Ertem Osmanoglu. Security architecture design,deploy

17、ment & operations ISBN:0-07-213385-6.Mandy Andress. Surviving security: how to integrate people,process and technology chapter 7; ISBN:0-672-32129-7.RFC 1883. Internet protocol, version 6 (IPv6) specification; December1995 () e originalspecification.RFC 2460. Internet protocol, version 6 (IPv6) specification; December1998 () e obsoletesRFC 1883.Zwicky, Cooper, Chapman. Building internet firewalls chapter4; ISBN:1-56592-871-7.