基于Internet的區(qū)域服務安全防御系統(tǒng)的研究與應用

1、 PAGE13 / NUMPAGES13客戶身份：某經濟貿易學校講師。選題圍：我是國家級重點中職學校的計算機老師（計算機教研組組長），平時以上計算機類的專業(yè)課為主，所任課程有：計算機網絡，網頁設計，計算機基礎，設計，計算機組裝與維護，Java編程，VB程序設計，SQL數據庫等等。評計算機類的高級講師（副高），想寫5篇計算機類的專業(yè)論文。字數：4500字左右。復制比控制在20%以下。價格：400元。先擬題目，題目通過后開寫，一篇一篇的寫。本人真實作者，因為中介不講誠信故公開此文，望有識之士不為寫手中介所騙！基于Internet的區(qū)域服務安全防御系統(tǒng)的研究與應用摘要：Internet作為信息分享平

2、臺越來越受到人們的關注，并在人們的日常生活中占據了重要的一席之地，但是隨之而來的安全問題也開始日益嚴重。如何在實現數據共享的同時保證隱私和信息的可靠性開始成為IT行業(yè)研究的對象。本文主要研究了區(qū)域網絡的安全防御系統(tǒng)，并通過實例證明了安全防御系統(tǒng)的重要性。關鍵字：網絡安全，局域網，防火墻，安全防御體系一、前言21世紀隨著Internet技術的發(fā)展，網絡開始成為了人們生活中不可或缺的一部分。從單機的數學運算、文件處理，基于簡單連接的部網絡之間的業(yè)務處理、HYPERLINK :/baike.baidu /view/38368.htm辦公自動化等發(fā)展到基于復雜的HYPERLINK :/baike.ba

3、idu /view/21848.htm部網（Intranet）、企業(yè)HYPERLINK :/baike.baidu /view/2454033.htm外部網（Extranet）、全球互聯網（Internet）的企業(yè)級計算機處理系統(tǒng)和HYPERLINK :/baike.baidu /view/8083.htm世界圍的信息共享和業(yè)務處理。在這個區(qū)域中，程序、文檔、信息等各種資源都可以被共享；甚至于硬件比如：打印機、 機等也可以通過網絡共享。網絡使我們的生活變得經濟便捷且豐富多彩，作為基礎設施的局域網絡部署也變的越來越廣泛。與此同時，計算機安全問題日益突出，在我們步入信息社會、網絡社會的同時，信息的

4、私密程度和安全程度也亮起了紅燈。由于網絡的信息共享與其特有的開放性，在局域網絡發(fā)展的同時，伴之而來的信息安全威脅在不斷增加，信息安全開始變得普遍化，從原來的專業(yè)應用開始進入人們的日常生活。而建立一套完備的網絡安全體統(tǒng)對于區(qū)域化管理來說，就變得十分必要。在局域網進行數據傳輸和信息發(fā)布的過程中，為了確保其安全性，最好采用多種安全策略和技術，并不斷改變其機制。然而安全與反安全始終是共同發(fā)展的，隨機計算機技術的提升，兩者之間的矛盾也在不斷的攀升，網絡安全必將隨著技術的發(fā)展而不斷的更新，成為區(qū)域乃至國家信息安全保障系統(tǒng)的一個重要方面，對我國未來信息化，電子化的發(fā)展也起著重要的作用。二、網絡安全（netw

5、ork security）2.1 網絡安全概述 網絡的安全是指通過采用各種技術和管理措施，使網絡系統(tǒng)正常運行，保護網絡系統(tǒng)中的硬件、軟件與其中的數據，確保網絡的連續(xù)性、可用性、完整性和性，不受偶然的或者惡意的破壞、更改、泄露。網絡安全的具體含義與對象有關。比如：從用戶（個人、企業(yè)等）的角度來說，他們希望涉與 HYPERLINK :/baike.baidu /view/1951710.htm t _blank 個人隱私或商業(yè)利益的信息在網絡上傳輸時受到性、完整性和真實性的保護。從網絡運行和管理者角度來說，他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制，避免出現“陷門”、HYPERLINK

6、 :/baike.baidu /view/2584.htm病毒、非法存取、拒絕服務和HYPERLINK :/baike.baidu /view/21050.htm網絡資源非法占用和非法控制等威脅，制止和防御HYPERLINK :/baike.baidu /view/30580.htm網絡黑客的攻擊。對安全部門來說，他們希望對非法的、有害的或涉與國家的信息進行過濾和防堵，避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失。從社會教育和意識形態(tài)角度來講，網絡上不健康的容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進行控制。2.2 網絡安全的特點1.性：信息不泄露給非授權用戶、HYPERLI

7、NK :/baike.baidu /view/21996.htm實體或過程，或供其利用的特性。2.完整性：數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。3.可用性：可被授權實體訪問并按HYPERLINK :/baike.baidu /view/195818.htm需求使用的特性。即當需要時能否存取所需的信息。例如網絡環(huán)境下拒絕服務、破壞網絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊； 4.可控性：對信息的傳播與容具有控制能力。5. 可審查性：出現的安全問題時提供依據與手段1。2.3 影響網絡安全的因素1.物理因素的影響網絡的物理安全是整個網絡系統(tǒng)安

8、全的前提。在設計區(qū)域網絡以與施工當中，應該盡可能的避免外界意外事故、環(huán)境因素干擾，人為失誤等物理風險所造成的影響2.網絡結構的影響網絡拓撲結構設計也直接影響到網絡系統(tǒng)的HYPERLINK :/baike.baidu /view/421194.htm安全性。在區(qū)域網路的設計過程中，應盡可能的避免網絡結構信息的外泄，并對外網的信息請求加以區(qū)分，將可疑信息達到主機之前排除掉。3.操作系統(tǒng)的影響系統(tǒng)的安全直接關系到網絡HYPERLINK :/baike.baidu /view/880.htm操作系統(tǒng)和網絡硬件平臺的可信度。在選擇可靠操作系統(tǒng)的過程中，應盡可能對其進行詳盡分析并進行安全配置，以彌補目前操

9、作系統(tǒng)的漏洞。4.應用系統(tǒng)的影響應用系統(tǒng)的安全涉與到很多具體應用，并且直接涉與到信息數據的安全性。應盡可能的建立安全的系統(tǒng)平臺，采用多層次的訪問控制與權限控制手段和加密技術，對于漏洞與時發(fā)現修補，從而適應應用系統(tǒng)的安全的動態(tài)變化。5.管理的影響管理是網絡中安全最最重要的部分。應完善安全管理制度，并對網絡進行實時檢測監(jiān)控、報告與預警，增強網絡的可控性和可追查性，與時發(fā)現避免非法入侵行為?？偠灾瑢τ趨^(qū)域網絡安全的控制，必須將網絡安全機制的建立與健全的安全管理制度相結合，以免在網絡安全出現問題的時候，對整個網絡造成無法彌補的損失。特別是對于區(qū)域網絡的維護，網絡安全更成為發(fā)展的重要一環(huán)。2.4 網

10、絡安全的主要防措施1. 對區(qū)域網的關鍵設備進行全面的安全檢查；2. 對訪問區(qū)域網的用戶資格進行嚴格的認證和控制；3. 安裝區(qū)域網絡防病毒系統(tǒng)；4.對區(qū)域網傳輸的重要信息數據進行加密；5.采用隔離卡或網閘對區(qū)域網絡進行隔離；6. 制定網絡安全的管理措施。 此外，還有HYPERLINK :/baike.baidu /view/506542.htm信息過濾、容錯、數據鏡像、HYPERLINK :/baike.baidu /view/600259.htm數據備份和審計等其他措施。三、Internat 網絡安全技術研究3.1 局域網（LAN）3.1.1 局域網概述局域網(Local Area Netwo

11、rk)是在一個較小的地理圍(如一個學校、工廠或公司)，通過電纜將服務器、外部設備和數據庫等聯接起來的數據網絡。它通常封閉于一個比較集中的地域，通過專用的數據網絡，與其他局域網、數據庫或處理中心相連接，從而構成一個更大的數據網絡處理體系2?？稍趦膳_或多臺局域網的計算機實現文件共享、軟件共享、服務共享甚至外部設備共享等。其網絡拓撲結構一共有三種，如下圖所示：圖1 LAN的網絡拓撲結構3.1.2 局域網安全技術目前局域網基本上都采用以太網，很容易被黑客接入，竊取信息。對此的的解決辦法主要有以下幾種：1. 對網絡進行分段，將非法用戶與區(qū)域網絡資源相互隔離，可防止非法偵聽。網絡分段可分為物理分段和邏輯分

12、段兩種方式，經常被綜合運用。比如在海關系統(tǒng)中普遍使用的DECMultiSwitch900的入侵檢測功能。2. 用交換式集線器代替共享式集線器，使兩臺機器之間的數據包僅在兩個節(jié)點之間傳輸，從而防止非法偵聽。3. 運用 HYPERLINK :/baike.baidu /view/21837.htm t _blank 虛擬局域網技術，將以太網通信變?yōu)辄c到點通信，不但可以防止大部分的網絡偵聽，還可以改進管理效率；保護網絡不受由廣播流量所造成的影響，靈活控制廣播域。3.1.3 無線局域網（WLAN）WLAN是利用電磁波發(fā)送和接受數據，不需要線纜介質，是在有線互聯網的基礎上發(fā)展起來的一種網絡。其可移動性可

13、以快速方便的解決有線網絡鎖不能解決的問題。目前WLAN的數據傳輸速率已經能夠達到最高450 HYPERLINK :/baike.baidu /view/496716.htm t _blank Mbps，傳輸距離可遠至20HYPERLINK :/baike.baidu /view/149564.htm t _blank km以上。相比有線網絡來說，無線局域網只需要一個或多個接入點(AccessPoint)設備就可建立覆蓋整個區(qū)域的網絡，安裝更加便捷；網絡設備的安放位置不再受網絡信息點位置的限制，使用更加靈活；不需要進行網絡改造，更加經濟實惠；WLAN有多種配置方式，可以根據實際需要靈活選擇，更易

14、擴展。綜上所述，無線局域網的應用越加廣泛，而無線局域網的安全問題也愈加重要。圖2 無線局域網示意圖3.1.4 無線局域網安全技術無線局域網技術最早出現在第二次世界大戰(zhàn)期間的軍事應用。目前，無線局域網絡產品主要采用的是IEEE(美國電氣和電子工程師協會)802.11b國際標準和DSSS（DirectSequenceSpreadSpectrum，直接序列擴頻）通信技術3。1. 802.11標準是一種增強性的網絡安全解決方案。主要包括三項安全技術來保障無線局域網數據傳輸。第一項為SSID（ServiceSetIdentifier）技術。將一個網絡劃分為多個子網絡，登陸每個子網絡時都需要獨立的身份認證

15、，以防止未授權用戶進入；第二項為MAC（MediaAccessControl）技術。在無線局域網的每一個接入點（AccessPoint）下設置一個授權用戶的MAC地址清單，拒絕MAC地址不在清單中的用戶；第三項為WEP（WiredEquivalentPrivacy） HYPERLINK :/baike.baidu /view/40927.htm t _blank 加密技術。來源于RC4的RSA數據加密技術，防止電波傳輸數據過程中數據被偵聽，或即使數據被截取也無法被破譯。2. DSSS通過利用高速率的擴頻序列在發(fā)射端擴展信號的頻譜，而在接收端用一樣的擴頻碼序列進行解擴，把展開的擴頻信號還原成原來

16、的信號。DSSS由于采用全頻帶傳送資料，速度較快，而且適用于固定環(huán)境或對傳輸質量要求較高的應用，比如無線廠房、無線醫(yī)院、網絡社區(qū)、分校連網等大部分都采用DSSS無線技術。3.2 廣域網3.2.1 廣域網概述廣域網（WAN，Wide Area Network）也稱遠程網，是在電信網絡的基礎發(fā)展起來的覆蓋較理位置的局域網之間的集合。它將分布在不同地區(qū)的局域網或 HYPERLINK :/baike.baidu /view/1130583.htm t _blank 計算機系統(tǒng)聯系起來，實現資源共享。WAN更能滿足大容量或突發(fā)性通信；滿足綜合服務的業(yè)務需求；并且具備更規(guī)的協議很晚上的服務管理。廣域網的拓

17、撲結構是點到點連接構成的網狀結構，如下圖所示：圖3 廣域網的拓撲結構3.2.2 廣域網接入技術1.DDN(Digital Data Network)即數字數據網，它是利用數字信道傳輸數據信號的數字網絡，可向用戶提供半永久性連接電路，不但用于計算機之間的通信，也可用于點對點的專線、一點對多點的連接、同點對多點的圖像通信和數字化信號等。2. ISDN(Integrated Services Digital Network)綜合業(yè)務數字 HYPERLINK :/ t _blank 網絡，它是一種可以在線路上同時提供音頻、視頻和數據服務的數字網絡，能夠通過一根普通的線進行多種業(yè)務通信、雙向進行數據傳輸

18、等，幾乎綜合了目前各單項業(yè)務網絡的功能，又被稱為“一線通”。 3. ADSL（Asymmetric Digital Subscriber Line）非對稱數字用戶環(huán)路，是我國目前應用最廣的寬帶接入技術，它由用戶端設備和局端設備組成，提供速率不一的上行和下行通道，不但簡化了設備設計，而且使數據和語音同時傳世互不干擾。4. 幀中繼：另一種廣域網窄帶接入技術，它提供了高速、高效率、低時延的服務，并利用永久性虛電路（PVC）建立可靠的端到端回路，比較適合局域網之間連接或者業(yè)務量突然增大的狀況4。3.3 局域網安全技術策略為了保證局域網安全，目前主要采用掃描器設備來對網絡進行掃描，發(fā)現主機的缺陷和弱點，

19、從而加強系統(tǒng)的安全性。除此之外，還需要強化網絡安全意思，建立完備的網絡安全。3.3.1 采用防火墻技術1.防火墻的概念防火墻：是網絡安全的有機組成部分，可以區(qū)分可信與不可信網絡，它通過控制和監(jiān)測網絡，來判斷來往于網絡之間的信息是否安全。防火墻本身必須建立在安全操作系統(tǒng)的基礎上，將硬件和軟件有機結合。2.防火墻的主要功能防火墻主要用于過濾進、出網絡的數據；管理進、出網絡的訪問行為；封堵某些禁止的業(yè)務；記錄通過防火墻的信息容和活動以與對網絡攻擊進行檢測和報警等。比如：對部工作子網與外網的訪問控制、DMZ區(qū)域與外網的訪問控制、部子網與DMZ區(qū)的訪問控制、撥號用戶對部網的訪問控制、下屬機構對總部的訪問

20、控制、基于時間的訪問控制、用戶級權限控制、高層協議控制、IP與MAC綁定、流量控制以與端口映射等5。3.防火墻類型包過濾防火墻過濾器可以檢測通信數據，觀察其源地址和目的地址，從而禁止特定的地址或地址圍傳出或進入，也可以禁止令人懷疑的地址模式。圖4 包過濾路由器示意圖包過濾防火墻樂意在網絡層上進行監(jiān)測，簡單透明、使用效率高，但是由于不能引入認證機制，一般不能防御使用UDP協議的攻擊，對于低層攻擊無能為力。應用層網關應用層網關又被稱為代理服務器，在應用層上實現，可以監(jiān)視容并提供日志功能，但是新的服務在代理過程中存在延遲性和專業(yè)性，且代理服務收到協議本身缺陷的限制。電路層網關圖5 電路層網關示意圖3

21、.3.2 限制VPN訪問VPN：通過國際互聯網建立虛擬專用網，它可以接收被保護的主機信息，對此加密，然后通過路由器發(fā)送至互聯網，再通過另一個局域網中的VPN設備解密。包括撥號VPN與專線VPN。 虛擬專用網（VPN）用戶有訪問網的權限，對網的安全造成了巨大的威脅。因此需要利用登陸權限控制列表來限制每一位VPN用戶訪問網的全部權限，僅僅賦予他們所需的訪問權限即可。 3.3.3采用IDSIDS（Intrusion Detection System）入侵檢測系統(tǒng)，它通過對網絡上的所有報文進行分析處理，報告異常，使網絡安全管理員與時采取行動阻止可能的破壞。 IDS可以實時地監(jiān)視、分析網絡中所有的數據報文，對系統(tǒng)記錄的網絡事件進行統(tǒng)計分析，主動切斷連接或與防火墻聯動。3.3.4 建立完善的網絡安全決策除了手動安全策略，還可以采用自動執(zhí)行實時跟蹤的安全策略，實時跟蹤網絡事件并記錄數據文件。 同時培訓區(qū)域網用戶自動響應網絡安全策略。建立完善的網絡管理機構，制定嚴格的設備管理制度和軟件數據管理制度等。對于網絡安全鎖棉鈴的問題以與日益更新的病毒和入侵方式，我們應該快速發(fā)展多層次、全方位、跨平臺的技術與具有強大功能的防護系統(tǒng)；實現自動化的服務以與安全設計的合理規(guī)劃，同時還應使網絡安裝進一步簡易化，保證