淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)論文

1、淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)論文婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) 摘 要隨著時(shí)代的發(fā)展，internet日益普及，網(wǎng)絡(luò)已經(jīng)成為信息資源的海洋，給人們帶來了極大的方便。但由于internet是一個(gè)開放的，無控制機(jī)構(gòu)的網(wǎng)絡(luò)，經(jīng)常會(huì)受到計(jì)算機(jī)病毒、黑客的侵襲。它可使計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)和文件丟失，系統(tǒng)癱瘓。因此，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問題必須放在首位。作為保護(hù)局域子網(wǎng)的一種有效手段，防火墻技術(shù)備受睞。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的在飛速發(fā)展中，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要，只有熟悉了各

2、種對(duì)網(wǎng)絡(luò)安全的威脅，熟悉各種保護(hù)網(wǎng)路安全的技術(shù)，我們才能更好的保護(hù)計(jì)算機(jī)和信息的安全。關(guān)鍵字：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防范措施；防火墻技術(shù) 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) abstractwith the development of the times, the internet has become increasingly popular and network information resources of the sea, and bring great convenience。 but because of the internet is an open, without cont

3、rol network, computer virus, often by hackers。 it can make the computer and the computer network, the system files and data loss。 therefore, the computer network system security problems must be given priority。 as the protection of local subnet an effective means, firewall technology。this article ma

4、inly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。 the existence of the 1930s and network security, can improve network security technology, the development of network security technology。 and then expounds mainly firewa

5、ll in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。the computer network technology, especially in the rapid development of the internet is becoming more and more widely applied in brought an unprecedented huge amounts o

6、f information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security

7、technology, we can better protect the computer and information security。 key words: computer network, network security, the prevention measures, firewall technology ii 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)目錄摘 要 . i abstract . ii引言 . 1第一章 網(wǎng)絡(luò)安全概述 . 21.1 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義 . 21.2 網(wǎng)絡(luò)信息安全的主要威脅 . 21.2.1 自然威脅 . 21.2.2 人為威脅黑客攻擊與計(jì)算機(jī)病毒 .

8、31.3 計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因 . 41.4 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素 . 5第二章 計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略 . 62.1 防火墻技術(shù) . 62.2 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù) . 92.3 入侵檢測(cè)技術(shù) . 102.4 防病毒技術(shù) . 112.5 安全管理隊(duì)伍的建設(shè) . 11第三章 防火墻技術(shù) . 123.1 防火墻的定義 . 123.2 防火墻的功能 . 123.2.1 防火墻是網(wǎng)絡(luò)安全的屏障 . 123.2.2 防火墻的種類 . 133.3 防火墻的技術(shù)原理 . 133.4 防火墻的應(yīng)用 . 153.4.1 個(gè)人防火墻的應(yīng)用 . 153.4.2 防火墻技術(shù)在校園網(wǎng)中應(yīng)用

9、. 20結(jié)論 . 22 iii婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) 致謝 . 23參考文獻(xiàn) . 24 iv 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù) 引言近年來，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)的安全性變得日益重要起來，由于計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素，致使計(jì)算機(jī)網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。為確保信息的安全與網(wǎng)絡(luò)暢通，研究計(jì)算機(jī)網(wǎng)絡(luò)的安全與防護(hù)措施已迫在眉捷，但網(wǎng)絡(luò)安全問題至今仍沒有能夠引起足夠的重視，更多的用戶認(rèn)為網(wǎng)絡(luò)安全問題離自己尚遠(yuǎn)，這一點(diǎn)從

10、大約有40%以上的用戶特別是企業(yè)級(jí)用戶沒有安裝防火墻(firewall)便可以窺見一斑，而所有的問題都在向大家證明一個(gè)事實(shí)，大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)，所以防火墻技術(shù)應(yīng)當(dāng)引起我們的注意和重視。 1婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) 第一章網(wǎng)絡(luò)安全概述1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，

11、以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。1.2 網(wǎng)絡(luò)信息安全的主要威脅網(wǎng)絡(luò)安全所面臨的威脅來自很多方面，并且隨著時(shí)問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。1.2.1 自然威脅自然威脅可能來自于各種自然災(zāi)害、惡劣的場(chǎng)地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無目的的事件，有時(shí)會(huì)直接威脅網(wǎng)絡(luò)的安全，影響信息的

12、存儲(chǔ)媒體。2 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)1.2.2 人為威脅黑客攻擊與計(jì)算機(jī)病毒 人為威脅就是說對(duì)網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點(diǎn)【2】，以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟(jì)上和政治上不可估量的損失。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種：l 網(wǎng)絡(luò)缺陷intemet由于它的開放性迅速在全球范圍內(nèi)普及，但也正是因?yàn)殚_放性使其保護(hù)信息安全存在先天不足。internet最初的設(shè)計(jì)考慮主要是考慮資源共享，基本沒有考慮安全問題，缺乏相應(yīng)的安全監(jiān)督機(jī)制。l 黑客攻擊自1998年后，網(wǎng)上的黑客越來越多，也越來越猖獗；與此同時(shí)黑客技術(shù)逐漸被越來越多的人掌握現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成

13、效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強(qiáng)，這是網(wǎng)絡(luò)安全的主要威脅之一。l 各種病毒病毒時(shí)時(shí)刻刻威脅著整個(gè)互聯(lián)網(wǎng)。像nimda和codered的爆發(fā)更是具有深遠(yuǎn)的影響，促使人們不得不在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)考慮對(duì)于各種病毒的檢測(cè)防治，對(duì)病毒徹底防御的重要性毋庸置疑。 l 管理的欠缺及資源濫用很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對(duì)于網(wǎng)絡(luò)安全的認(rèn)識(shí)，管理上存在很多漏洞，特別是國內(nèi)的企業(yè)，只是提供了接入internet的通道，對(duì)于網(wǎng)絡(luò)上黑客的攻擊缺乏基本的應(yīng)對(duì)措施，同時(shí)企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，這是造成網(wǎng)絡(luò)安全問題的根本原因。軟件的漏洞和后門：隨著cpu的頻率越來越高，軟件的規(guī)模越來越大，軟件系統(tǒng)中的

14、漏洞也不可避免的存在，強(qiáng)大如微軟所開發(fā)的windows也存在。各種各樣的安全漏洞和“后門”，這是網(wǎng)絡(luò)安全的主要威脅之一。l 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為對(duì)于來自網(wǎng)絡(luò)內(nèi)部的攻擊，主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無能為力，這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息 3婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) 審計(jì)、ids等主要針對(duì) 4 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù) 1.4 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素網(wǎng)絡(luò)資源的共享性。資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會(huì)。隨著互聯(lián)網(wǎng)需求的日益增長(zhǎng)，外部服務(wù)請(qǐng)求不可能做到完全隔離，攻擊者利用服務(wù)請(qǐng)求的機(jī)會(huì)很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。網(wǎng)絡(luò)的開

15、放性。網(wǎng)上的任何一個(gè)用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的敏感性信息。網(wǎng)絡(luò)操作系統(tǒng)的漏洞。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的最終載體之一，它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時(shí)還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過程所帶來的缺陷和漏洞。網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷。網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計(jì)在節(jié)約資源的情況下，還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計(jì)則會(huì)成為網(wǎng)絡(luò)的安全威脅。惡意攻擊。就是人們常見的黑客

16、攻擊及網(wǎng)絡(luò)病毒，這是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。 5婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) 第二章計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略 計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來說，主要由防病毒、防火墻、入侵檢測(cè)等多個(gè)安全組件組成，任何一個(gè)單獨(dú)的組件都無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測(cè)技術(shù)、防病毒技術(shù)等，以下就此幾項(xiàng)技術(shù)分別進(jìn)行分析。2.1 防火墻技術(shù)防火墻網(wǎng)絡(luò)安全的屏障，配置防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻是指一個(gè)由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之

17、間，限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。當(dāng)一個(gè)網(wǎng)絡(luò)接上internet之后，系統(tǒng)的安全除了考慮計(jì)算機(jī)病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證)配置在防火墻上。其次對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并

18、提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離【4】，從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。為了讓大家更好地使用防火墻，我們從反面列舉4個(gè)有代表性的失敗案例。例1：未制定完整的企業(yè)安全策略6 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)網(wǎng)絡(luò)環(huán)境：某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點(diǎn)的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表揚(yáng)了負(fù)責(zé)防火墻安裝實(shí)施的信息部。該企業(yè)網(wǎng)絡(luò)環(huán)境如圖2.1所示： 圖2.1該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層

19、交換機(jī)，出口通過路由器和isp連接。內(nèi)部網(wǎng)劃分為5個(gè)vlan，vlan 1、vlan 2和vlan 3分配給不同的部門使用，不同的vlan之間根據(jù)部門級(jí)別設(shè)置訪問權(quán)限；vlan 4分配給交換機(jī)出口地址和路由器使用；vlan 5分配給公共服務(wù)器使用。在沒有加入防火墻之前，各個(gè)vlan中的pc機(jī)能夠通過交換機(jī)和路由器不受限制地訪問internet。加入防火墻后，給防火墻分配一個(gè)vlan 4中的空閑ip地址，并把網(wǎng)關(guān)指向路由器；將vlan 5接入到防火墻的一個(gè)網(wǎng)口上。這樣，防火墻就把整個(gè)網(wǎng)絡(luò)分為3個(gè)區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。問題描述：防火墻投入運(yùn)行

20、后，實(shí)施了一套較為嚴(yán)格的安全規(guī)則，導(dǎo)致公司員工無法使用qq聊天軟件，于是沒過多久就有員工自己撥號(hào)上網(wǎng)，導(dǎo)致感染了特洛依木馬 7婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) 和蠕蟲等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。問題分析：我們知道，防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備，必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達(dá)到將入侵者拒之門外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺(tái)防火墻是不夠的。在本案例中，防火墻投入使用后，沒有禁止私自撥號(hào)上網(wǎng)行為，使得許多pc機(jī)通過電話線和internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過攻擊

21、這些pc機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開了防火墻。解決辦法：根據(jù)自己企業(yè)網(wǎng)的特點(diǎn)，制定一整套安全策略，并徹底地貫徹實(shí)施。比如說，制定一套安全管理規(guī)章制度，嚴(yán)禁員工私自撥號(hào)上網(wǎng); 同時(shí)封掉撥號(hào)上網(wǎng)的電話號(hào)碼，并購買檢測(cè)撥號(hào)上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時(shí)間段生效的安全規(guī)則，在非工作時(shí)間打開qq使用的tcp/udp端口，使得企業(yè)員工可以在工余時(shí)間使用qq聊天軟件。例2：未考慮與其他安全產(chǎn)品的配合使用問題描述：某公司購買了防火墻后，緊接著又購買了漏洞掃描和ids（入侵檢測(cè)系統(tǒng)）產(chǎn)品。當(dāng)系統(tǒng)管理員利用ids發(fā)現(xiàn)

22、入侵行為后，必須每次都要手工調(diào)整防火墻安全策略，使管理員工作量劇增，而且經(jīng)常調(diào)整安全策略，也給整個(gè)網(wǎng)絡(luò)帶來不良影響。問題分析：選購防火墻時(shí)未充分考慮到與其他安全產(chǎn)品如ids的聯(lián)動(dòng)功能，導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。解決辦法：購買防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或ids等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號(hào)，然后確定所要購買的防火墻是否有聯(lián)動(dòng)功能（即是否支持其他安全產(chǎn)品，尤其是ids產(chǎn)品），支持的是哪些品牌和型號(hào)的產(chǎn)品，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻。這樣，當(dāng)ids發(fā)現(xiàn)入侵行為后，在通知管理員的同 8 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防

23、火墻技術(shù)時(shí)發(fā)送消息給防火墻，由防火墻自動(dòng)添加相關(guān)規(guī)則，把入侵者拒之門外。 例3：未經(jīng)常維護(hù)升級(jí)防火墻問題描述：某政府機(jī)構(gòu)購置防火墻后已安全運(yùn)行一年多，由于該機(jī)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定，沒有什么變化，各種應(yīng)用也運(yùn)行穩(wěn)定，因此管理員逐漸放松了對(duì)防火墻的管理，只要網(wǎng)絡(luò)一直保持暢通即可，不再關(guān)心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級(jí)。而且由于該機(jī)構(gòu)處于政府專網(wǎng) 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比 9婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) 較靈活，更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對(duì)靜態(tài)信息的保護(hù)，需要系統(tǒng)級(jí)別的支持，一般在操作系統(tǒng)中實(shí)現(xiàn)。數(shù)據(jù)加密主要用于對(duì)

24、動(dòng)態(tài)信息的保護(hù)。對(duì)動(dòng)態(tài)數(shù)據(jù)的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。對(duì)于主動(dòng)攻擊，雖無法避免，但卻可以有效地檢測(cè)；而對(duì)于被動(dòng)攻擊，雖無法檢測(cè)，但卻可以避免，實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實(shí)質(zhì)上是對(duì)以符號(hào)為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和置換的變換算法，這種變換是對(duì)稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，des是對(duì)稱加密算法中最具代表性的算法。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法nrsa是目前使用比較廣泛的加密算法。2.

25、3 入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)(intrusiondetectionsystem，ids)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。ids被認(rèn)為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊：在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加入策略集中，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵【6】。入侵檢測(cè)的作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠

26、及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)技術(shù)的功能主要體現(xiàn)在以下方面：1) 分析用戶及系統(tǒng)活動(dòng)，查找非法用戶和合法用戶的越權(quán)操作；2) 檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修 10 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)3)4)5)6)7) 補(bǔ)漏洞； 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人上報(bào)警； 對(duì)異常行為模式的統(tǒng)計(jì)分析； 能夠?qū)崟r(shí)地對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng)； 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 可以發(fā)現(xiàn)新的攻擊模式；2.4 防病毒技術(shù)隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)病毒變得越來越復(fù)雜和高級(jí)，對(duì)計(jì)算機(jī)信息系統(tǒng)構(gòu)成極大的威脅。在病毒防

27、范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類。單機(jī)防病毒軟件一般安裝在單臺(tái)pc上，即對(duì)本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測(cè)、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染，網(wǎng)絡(luò)防病毒軟件會(huì)立刻檢測(cè)到并加以刪除【7】。2.5 安全管理隊(duì)伍的建設(shè)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，絕對(duì)的安全是不存在的，制定健全的安全管理體制是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證，只有通過網(wǎng)絡(luò)管理人員與使用人員的共同努力，運(yùn)用一切可以使用的工具和技術(shù)，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。同時(shí)，要不斷地加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)的

28、安全規(guī)范化管理力度，大力加強(qiáng)安全技術(shù)建設(shè)，強(qiáng)化使用人員和管理人員的安全防范意識(shí)。網(wǎng)絡(luò)內(nèi)使用的ip地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進(jìn)行安全管理工作，應(yīng)該對(duì)本網(wǎng)內(nèi)的ip地址資源統(tǒng)一管理、統(tǒng)一分配。對(duì)于盜用ip資源的用戶必須依據(jù)管理制度嚴(yán)肅處理。只有共同努力，才能使計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠得到保障，從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。 11婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) 第三章防火墻技術(shù)3.1 防火墻的定義防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡(luò)的安全政策控制(允許拒絕監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信

29、息安全的基礎(chǔ)設(shè)施。internet防火墻是一個(gè)或一組系統(tǒng)，它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取，防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的服務(wù)，以及哪些外部服務(wù)何時(shí)可以被內(nèi)部人員訪問。要使一個(gè)防火墻有效，所有來自和去往internet的信息都必須經(jīng)過防火墻并接受檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。但是，防火墻系統(tǒng)一旦被攻擊突破或迂回繞過，就不能提供任何保護(hù)了。3.2 防火墻的功能3.2.1 防火墻是網(wǎng)絡(luò)安全的屏障防火墻(

30、作為阻塞點(diǎn),控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略,通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認(rèn)證審計(jì)等)配置在防火墻上，對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì):所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù),當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。防止內(nèi) 12 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)部信息的外泄，通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)

31、重點(diǎn)網(wǎng)段的隔離,而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。3.2.2 防火墻的種類防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同,總體來講可分為二大類:分組過濾,應(yīng)用代理。分組過濾(packetfiltering);作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號(hào),協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。應(yīng)用代理(applicationproxy):也叫應(yīng)用網(wǎng)關(guān)(applicationgateway), 它作用在應(yīng)用層,其特點(diǎn)是完全 " 阻隔 " 了網(wǎng)絡(luò)通信流通過對(duì)每種應(yīng)用

32、服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用,實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)【8】。 3.3 防火墻的技術(shù)原理目前，防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同，大致可分為三種：（1）包過濾技術(shù)包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè) 置好的過濾規(guī)則，通過檢查ip數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的ip地址會(huì)被防火墻過濾掉，由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通?？梢赃^濾基于某些或所有下列信息組的ip包：源ip地址;目的ip地址;tcp/udp源端口;tcp/udp目的端口。包過濾技術(shù)實(shí)際上是一種基于路由器的技術(shù)，其最大優(yōu)點(diǎn)就是價(jià)格便宜，實(shí)現(xiàn)邏輯簡(jiǎn)單便于安裝和使用。缺點(diǎn)：1

33、）過濾規(guī)則難以配置和測(cè)試。2）包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息，訪問信息有限，對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。3）對(duì)一些協(xié)議，如udp和rpc難以有效的過濾。13婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) （2）代理技術(shù)代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個(gè)網(wǎng)絡(luò)之間設(shè)置一個(gè)“中間檢查站”，兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個(gè)檢查站相互通信，但是它們之間不能越過它直接通信。這個(gè)“中間檢查站”就是代理服務(wù)器，它運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，對(duì)網(wǎng)絡(luò)之間的每一個(gè)請(qǐng)求進(jìn)行檢查。當(dāng)代理服務(wù)器接收到用戶請(qǐng)求后，會(huì)檢查用戶請(qǐng)求合法性。若合法，則把請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)的服務(wù)器上，并將答復(fù)再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針

34、對(duì)某種應(yīng)用服務(wù)而寫的，工作在應(yīng)用層。優(yōu)點(diǎn)：它將內(nèi)部用戶和外界隔離開來，使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與包過濾技術(shù)相比，代理技術(shù)是一種更安全的技術(shù)【9】。缺點(diǎn)：在應(yīng)用支持方面存在不足，執(zhí)行速度較慢。（3）狀態(tài)監(jiān)視技術(shù)這是第三代防火墻技術(shù)，集成了前兩者的優(yōu)點(diǎn)。能對(duì)網(wǎng)絡(luò)通信的各層實(shí)行檢測(cè)。同包過濾技術(shù)一樣，它能夠檢測(cè)通過ip地址、端口號(hào)以及tcp標(biāo)記，過濾進(jìn)出的數(shù)據(jù)包。它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接，不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過己知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級(jí)代理在過濾數(shù)據(jù)包上更有效

35、。狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序，可方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。此外，它還可監(jiān)測(cè)rpc和udp端口信息，而包過濾和代理都不支持此類端口。這樣，通過對(duì)各層進(jìn)行監(jiān)測(cè)，狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。目前，多使用狀態(tài)監(jiān)測(cè)防火墻，它對(duì)用戶透明，在osi最高層上加密數(shù)據(jù)，而無需修改客戶端程序，也無需對(duì)每個(gè)需在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理。要想建立一個(gè)真正行之有效的安全的計(jì)算機(jī)網(wǎng)絡(luò)，僅使用防火墻還是不夠，在實(shí)際的應(yīng)用中，防火墻常與其它安全措施，比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用，才起到防御的最大化的效果。14 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)3.4 防火墻的應(yīng)用3.4.1 個(gè)人防火墻的應(yīng)用瑞

36、星個(gè)人防火墻的應(yīng)用1）安裝第一步啟動(dòng)安裝程序。當(dāng)把瑞星個(gè)人防火墻下載版安裝程序保存到您電腦中的指定目錄后，找到該目錄，雙擊運(yùn)行安裝程序，就可以進(jìn)行瑞星個(gè)人防火墻下載版的安裝了。第二步完成安裝后，如圖3.1： 圖3.1第三步輸入產(chǎn)品序列號(hào)和用戶id。啟動(dòng)個(gè)人防火墻，當(dāng)出現(xiàn)如圖3.2下所示的窗口后，在相應(yīng)位置輸入您購買獲得的產(chǎn)品序列號(hào)和用戶id，點(diǎn)擊“確定”，通過驗(yàn)證后則會(huì)提示“您的瑞星個(gè)人防火墻現(xiàn)在可以正常使用”。15婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) 圖3.2常見問題：不輸入產(chǎn)品序列號(hào)和用戶id，產(chǎn)品將無法升級(jí)，防火墻保護(hù)功能將全部失效，您的計(jì)算機(jī)將無法抵御黑客攻擊。2）升級(jí)第一步網(wǎng)絡(luò)配置：打開防

37、火墻主程序在菜單中依次選擇【設(shè)置】/【設(shè)置網(wǎng)絡(luò)】，打開【網(wǎng)絡(luò)設(shè)置】窗口,如圖3.3圖3.31。設(shè)定網(wǎng)絡(luò)連接方式，如果設(shè)定“通過代理服務(wù)器訪問網(wǎng)絡(luò)”，還需要輸入代理服務(wù)器ip、端口、身份驗(yàn)證信息。2。您可以選中【使用安全升級(jí)模式】，確保升級(jí)期間阻止新的網(wǎng)絡(luò)連接16 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)3。點(diǎn)擊【確定】按鈕完成設(shè)置小提示：1。如果您已經(jīng)可以瀏覽網(wǎng)頁，說明網(wǎng)絡(luò)設(shè)置已經(jīng)配置好了，這里直接使用默認(rèn)設(shè)置即可。2。如果您不使用撥號(hào)方式上網(wǎng)，將不會(huì)看到界面中【使用撥號(hào)網(wǎng)絡(luò)連接】的選項(xiàng)以及相關(guān)設(shè)置。3。請(qǐng)確保此步設(shè)置正確，否則可能無法完成智能升級(jí)。第二步：智能升級(jí)完成網(wǎng)絡(luò)配置后，進(jìn)行智能升級(jí)的操作方法

38、：方法一：點(diǎn)擊主界面右側(cè)的【智能升級(jí)】按鈕，圖3.4示: 圖3.4方法二：在菜單中依次選擇【操作】/【智能升級(jí)】 方法三：右鍵點(diǎn)擊防火墻托盤圖標(biāo)，在彈出菜單中選擇【啟動(dòng)智能升級(jí)】3)啟動(dòng)瑞星個(gè)人防火墻下載版程序啟動(dòng)瑞星個(gè)人防火墻軟件主程序有三種方法：方法一：進(jìn)入【開始】/【所有程序】/【瑞星個(gè)人防火墻】，選擇【瑞星個(gè)人防火墻】即可啟動(dòng)。方法二：用鼠標(biāo)雙擊桌面上的【瑞星個(gè)人防火墻】快捷圖標(biāo)即可啟動(dòng)。方法三：用鼠標(biāo)單擊任務(wù)欄“快速啟動(dòng)”上的【瑞星 17婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) 個(gè)人防火墻】快捷圖標(biāo)即可啟動(dòng)。成功啟動(dòng)程序后的界面如下圖3.5所示:圖3.5主要界面元素1、菜單欄：用于進(jìn)行菜單操作

39、的窗口，包括【操作】、【設(shè)置】、【幫助】三個(gè)菜單。如圖3.6示: 圖3.62、操作按鈕：位于主界面右側(cè)，包括【啟動(dòng)/停止保護(hù)】、【連接/斷開網(wǎng)絡(luò)】、【智能升級(jí)】、【查看日志】。如圖3。7示: 圖3.7功能：停止防火墻的保護(hù)功能，執(zhí)行此功能后，您計(jì) 18 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)算機(jī)將不再受瑞星防火墻的保護(hù)已處于停止保護(hù)狀態(tài)時(shí)，此按鈕將變?yōu)椤締⒂帽Ｗo(hù)】；點(diǎn)擊將重新啟用防火墻的保護(hù)功能，您也可以通過菜單項(xiàng)【操作】/【停止保護(hù)】來執(zhí)行此功能；將您的計(jì)算機(jī)完全與網(wǎng)絡(luò)斷開，就如同拔掉網(wǎng)線或是關(guān)掉modem一樣。其他人都不能訪問您的計(jì)算機(jī)，但是您也不能再訪問網(wǎng)絡(luò)。這是在遇到頻繁攻擊時(shí)最為有效的應(yīng)對(duì)方

40、法；已經(jīng)斷開網(wǎng)絡(luò)后，此項(xiàng)將變?yōu)椤具B接網(wǎng)絡(luò)】，點(diǎn)擊將恢復(fù)網(wǎng)絡(luò)連接；您也可以通過菜單項(xiàng)【操作】/【斷開網(wǎng)絡(luò)】來執(zhí)行此功能；啟動(dòng)智能升級(jí)程序?qū)Ψ阑饓M(jìn)行升級(jí)更新；您也可以通過菜單項(xiàng)【操作】/【智能升級(jí)】來執(zhí)行此功能；啟動(dòng)日志顯示程序；您也可能通過【操作】/【顯示日志】來執(zhí)行此功能。3、標(biāo)簽頁：位于主界面上部，分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護(hù)】、【安全資訊】、【漏洞掃描】、【啟動(dòng)選項(xiàng)】六個(gè)標(biāo)簽。如圖3。8示:圖3。84、安全級(jí)別：位于主界面右下角，拖動(dòng)滑塊到對(duì)應(yīng)的安全級(jí)別，修改立即生效。5、當(dāng)前版本及更新日期：位于主界面右上角，顯示防火墻當(dāng)前版本及更新日期。6、規(guī)則設(shè)置配置防火墻的過濾規(guī)則（如

41、圖3。9），包括：黑名單：在黑名單中的計(jì)算機(jī)禁止與本機(jī)通訊白名單：在白名單中的計(jì)算機(jī)對(duì)本地具有完全的訪問權(quán)限端口開關(guān)：允許或禁止端口中的通訊，可簡(jiǎn)單開關(guān)本機(jī)與遠(yuǎn)程的端口19婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) 可信區(qū)：通過可信區(qū)的設(shè)置，可以把局域網(wǎng)和互聯(lián)網(wǎng)區(qū)分對(duì)待ip規(guī)則：在ip層過濾的規(guī)則訪問規(guī)則：本機(jī)中訪問網(wǎng)絡(luò)的程序的過濾規(guī)則 圖3。93.4.2 防火墻技術(shù)在校園網(wǎng)中應(yīng)用一、 安裝防火墻防火墻技術(shù)在校園網(wǎng)安全建設(shè)中得到廣泛的應(yīng)用。由于防火墻是一種按某種規(guī)則對(duì)專網(wǎng)和互聯(lián)網(wǎng),或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進(jìn)行有條件的控制(包括隔離),從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)部署防火墻技術(shù)10

42、,構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障,可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來,保護(hù)校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。 二、 校園網(wǎng)防火墻系統(tǒng)的配置假定校園網(wǎng)通過cisco路由器與internet相連。校園內(nèi)的ip地址范圍是確定的,且有明確的閉和邊界,它有一個(gè)c類的ip地址,有dns、email、www、ftp等服務(wù)器,可采用以下存取控制策略。1) 對(duì)進(jìn)入cernet主干網(wǎng)的存取控制2) 對(duì)網(wǎng)絡(luò)中心資源主機(jī)的訪問控制,網(wǎng)絡(luò)中心的dns、email、ftp、www等服務(wù)器是重要的資源,要特別的保護(hù),可對(duì)網(wǎng)絡(luò)中心所在子網(wǎng)禁止,dns,email,www,ftp 20 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)以外的一切服務(wù)。

43、3) 對(duì)校外非法網(wǎng)址的訪問,一般情況,一些傳播非法信息的站點(diǎn)主要在校外,而這些站點(diǎn)的域名可能是已知的。為防止ip地址欺騙和盜用需為對(duì)網(wǎng)絡(luò)內(nèi)部人員訪問internet進(jìn)行一定限制在連接內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)時(shí)進(jìn)行ip地址和以太網(wǎng)地址檢查,盜用ip地址的數(shù)據(jù)包將被丟棄,并記錄有關(guān)信息;再連接 internet 端接收數(shù)據(jù)時(shí),如從外部網(wǎng)絡(luò)收到一段假冒內(nèi)部ip地址發(fā)出的報(bào)文,也應(yīng)丟棄,并記錄有關(guān)信息。防止ip地址被盜用的徹底解決辦法是:代理服務(wù)器防火墻和捆綁ip地址和以太網(wǎng)地址,對(duì)非法訪問的動(dòng)態(tài)禁止一旦獲得某個(gè)ip地址的訪問是非法的,可立即更改路由器中的存取控制表,從而禁止其對(duì)外的非法訪問。首先應(yīng)在路

44、由器和校園網(wǎng)的以太口預(yù)設(shè)控制組102,然后過濾掉來自非法地址的所有ip包。 21婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) 結(jié)論計(jì)算機(jī)網(wǎng)絡(luò)的安全問題越來越受到人們的重視，一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識(shí)有關(guān)，而且和每個(gè)使用者的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動(dòng)態(tài)的，新的internet黑客站點(diǎn)、病毒與安全技術(shù)每日劇增，世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。防火墻不能完全解決網(wǎng)絡(luò)安全的全部問題，如不能防范內(nèi)部攻擊等，因此還需要考慮其他技術(shù)的和非技術(shù)的因素，如身份鑒別，信息加密術(shù)，提高網(wǎng)絡(luò)管理人員的安全意識(shí)

45、等，總之，防火墻是網(wǎng)絡(luò)安全的第一道重要的安全屏障，如何提高防火墻的防護(hù)能力并保證系統(tǒng)的高速高效運(yùn)行，不斷提高網(wǎng)絡(luò)安全水平，這將是一個(gè)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷研究的課題。 22 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)致謝本課題的完成過程中，本人還得到了同學(xué)們及其他各方面的支持和幫助，特別感謝致謝在一起愉快的度過大學(xué)生活的各位室友，正是由于你們的幫助和支持，我才能克服一個(gè)一個(gè)的困難和疑惑，直至在論文即將完成之際，我的心情無法平靜，從開始進(jìn)入課題到論文的順利完成，有多少可敬的師長(zhǎng)、同學(xué)、朋友給了我無言的幫助，在這里請(qǐng)接受我誠摯的謝意!我還要感謝培養(yǎng)我長(zhǎng)大含辛茹苦的父母，謝謝你們!最后，我要向百忙之中抽時(shí)間對(duì)

46、 23婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè) 參考文獻(xiàn)1張斌,黑客與反黑客,北京郵電大學(xué)出版社,pag56-752石淑華,池瑞楠,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,pag267-2833肖新峰,宋強(qiáng),王立新等,tcp/ip協(xié)議與網(wǎng)絡(luò)管理,北京清華大學(xué)出版社,pag83-994李軍,防火墻上臺(tái)階,信息網(wǎng)絡(luò)安全2004年07期,pag28295陳愛民,計(jì)算機(jī)的安全與保密,北京電子工業(yè)出版社,pag35-426蔣建春,馬恒太,任黨恩等,網(wǎng)絡(luò)安全入侵檢測(cè)研究綜述軟件學(xué)報(bào)7石淑華,池瑞楠,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,pag70-1048老聃,安全網(wǎng)關(guān)網(wǎng)絡(luò)邊界防護(hù)的利器,信息

47、安全與通信保密,2004年08期759陳平,何慶等主編,電腦2003合訂本，西南師范大學(xué)出版社,2004年1月10 張穎,劉軍,王磊,計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及解決方法n電腦商情報(bào) ,2007年1月24 蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂

48、螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆

49、薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄

50、袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈

51、蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂

52、袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆

53、螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁

54、薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)薃薆羃蒞蒆襖羂肄蟻螀羈膇蒄蚆羀艿蠆薂聿莁蒂袁肈肁芅螇肇膃蒀蚃肇蒞芃蠆肆肅蕿薅肅膇莂袃肄芀薇蝿肅莂莀蚅膂肂薅薁膁膄莈袀膁芆薄袆膀葿莆螂腿膈螞蚈螅芁蒅薄螄莃蝕袂螄肅蒃螈袃膅蚈蚄袂芇蒁薀袁莀芄罿袀腿蒀裊衿芁莂螁衿莄薈蚇袈肅莁薃袇膆薆袂羆羋荿螈羅莀薄蚄羄肀莇薀羃節(jié)