本科計算機網(wǎng)絡(luò)工程畢業(yè)論文

1、. . 摘要隨著計算機網(wǎng)絡(luò)的不斷開展和普及，計算機網(wǎng)絡(luò)帶來了無窮的資源，但隨之而來的網(wǎng)絡(luò)平安問題也顯得尤為重要。平安是網(wǎng)絡(luò)運行的前提，網(wǎng)絡(luò)平安不僅僅是單點的平安，而是整個信息網(wǎng)絡(luò)的平安，需要從多方進展立體的防護。文中就局域網(wǎng)網(wǎng)絡(luò)平安的當(dāng)前形式及面臨的各種威脅，網(wǎng)絡(luò)平安防措施、技術(shù)，闡述了局域網(wǎng)網(wǎng)絡(luò)平安當(dāng)前在我們生活中的重要性。關(guān)鍵詞：局域網(wǎng) 網(wǎng)絡(luò) 平安 網(wǎng)絡(luò)平安. AbstractAlong with calculator network continuously development and universality, the calculator network brought an e

2、ndless resources, but the network safe problem for following also seems to be is importance.The safety is a network movement of premise, the network safety isnt only an only a little bit single safety, but the whole safety of information network, need from in many ways carry on a stereoscopic protec

3、tion.In the te*t the current form of area net network safety in bureau and face of various threat, the network safety guards against a measure, technique and elaborated that the area net network safety in bureau is in the importance in our life at present.Keyword：LAN Internet Security Network Securi

4、ty. 目錄TOC o 1-3 h z uHYPERLINK l _Toc262502813第一章網(wǎng)絡(luò)平安 PAGEREF _Toc262502813 h 1HYPERLINK l _Toc262502814第一節(jié)網(wǎng)絡(luò)平安的定義 PAGEREF _Toc262502814 h 1HYPERLINK l _Toc262502815第二節(jié)局域網(wǎng)平安威脅及平安攻擊 PAGEREF _Toc262502815 h 1HYPERLINK l _Toc262502816一局域網(wǎng)平安威脅 PAGEREF _Toc262502816 h1HYPERLINK l _Toc262502817二平安攻擊 PAGER

5、EF _Toc262502817 h 2HYPERLINK l _Toc262502818第三節(jié)局域網(wǎng)當(dāng)前形式及面臨的問題 PAGEREF _Toc262502818 h 4HYPERLINK l _Toc262502819第二章網(wǎng)絡(luò)平安的防護措施 PAGEREF _Toc262502819 h 6HYPERLINK l _Toc262502820第一節(jié)網(wǎng)絡(luò)體系構(gòu)造 PAGEREF _Toc262502820 h 6HYPERLINK l _Toc262502821一網(wǎng)絡(luò)層次構(gòu)造 PAGEREF _Toc262502821 h 6HYPERLINK l _Toc262502822二效勞、接口和

6、協(xié)議 PAGEREF _Toc262502822 h 6HYPERLINK l _Toc262502823三網(wǎng)絡(luò)參考模型 PAGEREF _Toc262502823 h 7HYPERLINK l _Toc262502824第二節(jié)網(wǎng)絡(luò)平安模型 PAGEREF _Toc262502824 h 10HYPERLINK l _Toc262502825第三節(jié)局域網(wǎng)平安防措施 PAGEREF _Toc262502825 h 12HYPERLINK l _Toc262502826一防火墻系統(tǒng) PAGEREF _Toc262502826 h 12HYPERLINK l _Toc262502827二入侵檢測系統(tǒng)

7、 PAGEREF _Toc262502827 h 14HYPERLINK l _Toc262502828第三章基于*學(xué)校網(wǎng)絡(luò)平安的研究 PAGEREF _Toc262502828 h 16HYPERLINK l _Toc262502829第一節(jié)校園網(wǎng)絡(luò)平安防體系的建立 PAGEREF _Toc262502829 h16HYPERLINK l _Toc262502830一校園網(wǎng)絡(luò)平安策略概述 PAGEREF _Toc262502830 h 16HYPERLINK l _Toc262502831二對于校園網(wǎng)的解決方案 PAGEREF _Toc262502831 h 16HYPERLINK l _T

8、oc262502832第二節(jié)*校網(wǎng)絡(luò)平安設(shè)計方案 PAGEREF _Toc262502832 h 19HYPERLINK l _Toc262502833一網(wǎng)絡(luò)平安設(shè)計原則 PAGEREF _Toc262502833 h 19HYPERLINK l _Toc262502834二網(wǎng)絡(luò)平安建立方案 PAGEREF _Toc262502834 h 19HYPERLINK l _Toc262502835完畢語 PAGEREF _Toc262502835 h 22HYPERLINK l _Toc262502836辭 PAGEREF _Toc262502836 h 23HYPERLINK l _Toc262

9、502837參考文獻 PAGEREF _Toc262502837 h 24. 第一章 網(wǎng)絡(luò)平安隨著Internet的興起，網(wǎng)絡(luò)平安問題越來越引起人們的關(guān)注，采取平安技術(shù)來防止對數(shù)據(jù)的破壞已成為網(wǎng)絡(luò)應(yīng)用中的當(dāng)務(wù)之急。網(wǎng)絡(luò)平安的定義網(wǎng)絡(luò)平安是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的行為而遭受到破壞、更改、泄露，使系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)效勞不中斷。網(wǎng)絡(luò)平安從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息平安1。局域網(wǎng)平安威脅及平安攻擊一 局域網(wǎng)平安威脅一來自互聯(lián)網(wǎng)的平安威脅局域網(wǎng)是與Internet互連的。由于Internet的開放性、國際性與自由性，局域網(wǎng)將面臨更加嚴重的平安威脅。

10、如果局域網(wǎng)與外部網(wǎng)絡(luò)間沒有采取一定的平安防護措施，很容易遭到來自Internets上黑客的各種攻擊。他們可以通過嗅探程序來探測、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的平安漏洞，如網(wǎng)絡(luò)I P 地址、應(yīng)用操作系統(tǒng)的類型、開放的T C P 端口號、系統(tǒng)用來保存用戶名和口令等平安信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序進展攻擊。他們還可以通過網(wǎng)絡(luò)監(jiān)聽等手段獲得部網(wǎng)用戶的用戶名、口令等信息，進而假冒部合法身份進展非法登錄，竊取部網(wǎng)絡(luò)中重要信息。還能通過發(fā)送大量數(shù)據(jù)包對網(wǎng)絡(luò)效勞器進展攻擊，使得效勞器超負荷工作導(dǎo)致拒絕效勞，甚至使系統(tǒng)癱瘓。二來自局域網(wǎng)部的平安威脅部管理人員把部網(wǎng)絡(luò)構(gòu)造、管理員口令以及系統(tǒng)的一些重要信息傳播給

11、外人帶來信息泄漏；部職工有的可能熟悉效勞器、小程序、腳本和系統(tǒng)的弱點，利用網(wǎng)絡(luò)開些小玩笑，甚至搞破壞。如，泄漏至關(guān)重要的信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等，這都將給網(wǎng)絡(luò)造成極大的平安威脅。三計算機病毒及惡意代碼的威脅由于網(wǎng)絡(luò)用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件Crime Software洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。二 平安攻擊平安攻擊是平安威脅的具體表達，他主要包括以下幾種類

12、型：被動攻擊、主動攻擊、物理臨近攻擊和分發(fā)攻擊2。一被動攻擊被動攻擊的主要目標(biāo)是被動檢視公共媒體上傳送的信息。抵抗這類攻擊的對策是使用虛擬專用網(wǎng)(VPN)。表1.1列舉了一些特定的被動攻擊。攻擊描述檢視明文檢視網(wǎng)絡(luò)的攻擊者獲取未加保護措施的用戶信息或數(shù)據(jù)解密加密不善的通信數(shù)據(jù)公共域中已具備密碼分析能力口令嗅探這類攻擊包括使用協(xié)議分析工具捕獲用于未授權(quán)使用的口令通信量分析即使不解密下層信息，外部通信模式的觀察也能給對手提供關(guān)鍵信息。如通信模式的改變可以暗示緊急行動表1.1 特定的被動攻擊舉例二主動攻擊主動攻擊的主要目標(biāo)是企圖避開或打破平安防護、引入惡意代碼如計算機病毒以及轉(zhuǎn)換數(shù)據(jù)或系統(tǒng)的完整性。

13、典型對策包括增強的區(qū)域邊界保護如防火墻和邊界護衛(wèi)、基于身份認證的訪問控制、受保護的遠程訪問、質(zhì)量平安管理、自動病毒檢測工具、審計和入侵檢測。表1.2類聚了一些特定的主動攻擊。表1.2 主動攻擊舉例攻擊描述修改傳輸中的數(shù)據(jù)在金融領(lǐng)域，如果能夠修改電子交易，從而改變交易的數(shù)量或?qū)⒔灰邹D(zhuǎn)移到別的賬戶，其后果將是災(zāi)難性的重放插入數(shù)據(jù)舊消息的重新插入將耽誤及時的行動會話劫持這種攻擊包括未授權(quán)使用一個已經(jīng)建立的會話偽裝成授權(quán)的用戶或效勞器這類攻擊包括攻擊者自己偽裝成他人，因而得以未授權(quán)訪問資源和信息。一個攻擊者通過實施嗅探或其它手段獲得用戶/管理員信息，然后使用該信息作為一個授權(quán)用戶登陸。這類攻擊也包括用

14、于獲取敏感數(shù)據(jù)的欺騙效勞器，通過與未產(chǎn)生疑心的用戶建立信任關(guān)系來實施該攻擊獲取系統(tǒng)應(yīng)用和操作系統(tǒng)軟件攻擊者探求以系統(tǒng)權(quán)限運動的軟件中存在的脆弱性利用主機或網(wǎng)絡(luò)信任攻擊者通過操縱文件使虛擬/遠方主機提供效勞，從而去利用傳遞的信任利用數(shù)據(jù)執(zhí)行攻擊者將惡意代碼植入看起來無害的供下載的軟件或電子中，從而使用戶去執(zhí)行該惡意代碼。惡意代碼可用于破壞或修改文件，特別是包含權(quán)限參數(shù)值的文件插入或利用惡意代碼攻擊者能進入用戶系統(tǒng)并執(zhí)行命令。通過先前發(fā)現(xiàn)的脆弱性并使用該訪問來到達其攻擊目的利用協(xié)議或根底設(shè)施的BUGS攻擊者利用協(xié)議中缺限來欺騙用戶或重定向通信量。惡意代碼在VPN中可以通過更低級隧道來攫取信息拒絕效

15、勞攻擊者有很多其它的攻擊方法，包括有效地將一個路由器從網(wǎng)絡(luò)中脫離ICMP炸彈，在網(wǎng)絡(luò)中擴散垃圾包以及向中心擴散垃圾等三物理臨近攻擊在物理臨近攻擊中未授權(quán)者可物理上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，目的是修改、收集或拒絕訪問信息。這種接近可以是秘密進入或公開接近，也可以是兩種都有。表1.3列舉了這種攻擊獨有的典型攻擊實例。表1.3 臨近攻擊舉例攻擊描述修改數(shù)據(jù)或收集信息臨近的攻擊者由于獲得了對系統(tǒng)的物理訪問從而修改或竊取信息，如IP地址、登錄的用戶名和口令系統(tǒng)干預(yù)這種攻擊來自臨近的攻擊者訪問并干預(yù)系統(tǒng)如竊聽、降級等物理破壞該攻擊者來自獲得對系統(tǒng)的物理訪問的臨近者，導(dǎo)致對本地系統(tǒng)的物理破壞四分發(fā)攻擊“分發(fā)攻擊

16、一詞是指在軟件和硬件開發(fā)出來之后和安裝之前這段時間，或當(dāng)它從一個地方傳送到另一個地方，攻擊者惡意修改軟硬件。在工廠，可以通過加強處理配置控制將這類威脅降到最低。通過使用受控分發(fā)，或者由最終用戶檢驗的簽名軟件和訪問控制可以消除分發(fā)威脅。表1.4給了這類分發(fā)特有的典型攻擊實例表1.4分發(fā)攻擊舉例攻擊描述在制造商的設(shè)備上修改軟/硬件當(dāng)軟件和硬件在生產(chǎn)線上流通時，可以通過修改軟硬件配置來實施這類攻擊。這一階段威脅的對策包括嚴格的完整性控制和在測試軟件產(chǎn)品中的加密簽名，前者又包括高可靠配置控制在產(chǎn)品分發(fā)時修改軟/硬件這些攻擊可以通過在產(chǎn)品分發(fā)期如在裝船時安裝竊聽設(shè)備修改軟件和硬件配置來實施。這一階段威脅

17、的對策包括在包裝階段使用篡改檢測技術(shù)，使用授權(quán)和批準(zhǔn)傳遞和使用忙買技術(shù)第三節(jié) 局域網(wǎng)當(dāng)前形式及面臨的問題隨著局域網(wǎng)絡(luò)技術(shù)的開展和社會信息化進程的加快,現(xiàn)在人們的生活、工作、學(xué)習(xí)、娛樂和交往都已離不開計算機網(wǎng)絡(luò)?，F(xiàn)今，全球網(wǎng)民數(shù)量已超過15億，網(wǎng)絡(luò)已經(jīng)成為生活中離不開的工具，經(jīng)濟、文化、軍事和社會活動都強烈地依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性、開放性和易受攻擊性，決定了網(wǎng)絡(luò)平安威脅的客觀存在。盡管計算機網(wǎng)絡(luò)為人們提供了巨大的方便，但是受技術(shù)和社會因素的各種影響，計算機網(wǎng)絡(luò)一直存在著多種平安缺陷。攻擊者經(jīng)常利用這些缺陷，實施攻擊和入侵，給計算機網(wǎng)絡(luò)造成極大的損害，網(wǎng)絡(luò)攻擊、病

18、毒傳播、垃圾等迅速增長，利用網(wǎng)絡(luò)進展盜竊、詐騙、敲詐訛詐、竊密等案件逐年上升，嚴重影響了網(wǎng)絡(luò)的正常秩序，嚴重損害了網(wǎng)民的利益；網(wǎng)上、暴力等不良和有害信息的傳播，嚴重危害了青少年的身心安康。網(wǎng)絡(luò)系統(tǒng)的平安性和可靠性正在成為世界各國共同關(guān)注的焦點。根據(jù)中國互聯(lián)網(wǎng)信息中心2010年初發(fā)布的統(tǒng)計報告顯示：我國互聯(lián)網(wǎng)已超過三百萬家，上網(wǎng)用戶2億多，網(wǎng)民數(shù)和寬帶上網(wǎng)人數(shù)均居全球第二。同時，網(wǎng)絡(luò)平安風(fēng)險也無處不在，各種網(wǎng)絡(luò)平安漏洞大量存在和不斷被發(fā)現(xiàn)，計算機系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴重，計算機病毒呈現(xiàn)出異?；顫姷膽B(tài)勢。面對網(wǎng)絡(luò)平安的嚴峻形勢，我國的網(wǎng)絡(luò)平安保障工作尚處于起步階段，根底薄弱，水平不高，

19、網(wǎng)絡(luò)平安系統(tǒng)在預(yù)測、反響、防和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)，平安防護能力不僅大大低于美國、俄羅斯和以色列等信息平安強國，而且排在印度、國之后。在監(jiān)視管理方面缺乏依據(jù)和標(biāo)準(zhǔn)，監(jiān)管措施不到位，監(jiān)管體系尚待完善，網(wǎng)絡(luò)信息平安保障制度不健全、責(zé)任不落實、管理不到位。網(wǎng)絡(luò)信息平安法律法規(guī)不夠完善，關(guān)鍵技術(shù)和產(chǎn)品受制于人，網(wǎng)絡(luò)信息平安效勞機構(gòu)專業(yè)化程度不高，行為不規(guī)，網(wǎng)絡(luò)平安技術(shù)與管理人才缺乏。面對網(wǎng)絡(luò)平安的嚴峻形勢，如何建立高質(zhì)量、高穩(wěn)定性、高可靠性的平安網(wǎng)絡(luò)成為通信行業(yè)乃至整個社會開展所要面臨和解決的重大課題。. 第二章 網(wǎng)絡(luò)平安的防護措施第一節(jié) 網(wǎng)絡(luò)體系構(gòu)造一 網(wǎng)絡(luò)層次構(gòu)造計算機網(wǎng)絡(luò)就是將多臺計算機

20、互連起來，使得用戶程序能夠交換信息和共享資源。不同系統(tǒng)中的實體進展通信，其過程是相當(dāng)復(fù)雜的，為了簡化網(wǎng)絡(luò)的設(shè)計，人們采用工程設(shè)計中常用的構(gòu)造化設(shè)計方法，即將復(fù)雜的通信問題分解成假設(shè)干個容易處理的子問題，然后逐個加以解決。網(wǎng)絡(luò)設(shè)計中采用的構(gòu)造化設(shè)計方法，就是將網(wǎng)絡(luò)按照功能分成一系列的層次，每一層次完成一個特定的功能，相鄰層中的較高層直接使用較低層提供的效勞來實現(xiàn)本層的功能，同時又向它的上層提供效勞，效勞的提供和使用都是通過相鄰層的接口來進展的。這也就是人們通常所說的網(wǎng)絡(luò)層次構(gòu)造，層次構(gòu)造是現(xiàn)代計算機網(wǎng)絡(luò)的根底。參見圖2.1。這種構(gòu)造不僅使得網(wǎng)絡(luò)的設(shè)計與具體的應(yīng)用、根底的媒體技術(shù)以及互聯(lián)技術(shù)等無關(guān)

21、，具有很大的靈活性，而且每一層的功能簡單、易于實現(xiàn)和維護3。圖2.1 網(wǎng)絡(luò)的層次構(gòu)造二 效勞、接口和協(xié)議每一層中的活動元素稱為實體，實體可以是軟件實體如進程，也可以是硬件實體如智能I/O芯片位于不同系統(tǒng)上同一層中的實體稱為對等實體，不同系統(tǒng)間進展通信實際上是各對等實體間在通信。在*層上進展通信所使用的規(guī)則的集合稱為該層的協(xié)議，各層協(xié)議按層次順序排列而成的協(xié)議序列稱為協(xié)議棧4。事實上，除了在最底層的物理媒體上進展的是實通信之外，其余各對等實體間進展的都是虛通信，即并沒有數(shù)據(jù)流從一個系統(tǒng)的第N層直接流到另一個系統(tǒng)的第N層。每個實體只能和同一個系統(tǒng)中上下相鄰的實體進展直接的通信，不同系統(tǒng)中的對等實體

22、是沒有直接通信能力的，它們間的通信必須通過其下各層的通信間接完成。第N層實體向第N+1層實體提供的在第N層上的通信能力稱為第N層的效勞。由此可見，第N+1層實體通過請求第N層的效勞完成第N+1層上的通信，而第N層實體通過請求第N-1層的效勞完成第N層上的通信，以此類推直到最底層，最底層上的對等實體通過連接它們的物理媒體直接通信。在第N層協(xié)議中所傳送的每一信息被稱作第N層協(xié)議數(shù)據(jù)單元PDU(ProtocolDataUnit)。相鄰實體間的通信是通過它們的邊界進展的，該邊界稱為相鄰層間的接口。在接口處規(guī)定了下層向上層提供的效勞，以及上下層實體請求提供效勞所使用的形式規(guī)語句，這些形式規(guī)語句稱為效勞原

23、語。因此可以說，相鄰實體通過發(fā)送或接收效勞原語進展交互作用。而下層向上層提供的效勞分為兩大類：面向連接的效勞和無連接的效勞。面向連接的效勞是系統(tǒng)效勞模式的抽象，每一次完整的數(shù)據(jù)傳輸都必須經(jīng)過建立連接、使用連接和終止連接三個過程。在數(shù)據(jù)傳輸過程中，各數(shù)據(jù)分組不攜帶信宿地址，而使用連接號。本質(zhì)上，效勞類型中的連接是一個管道，發(fā)送者在一端放入數(shù)據(jù)，接收者從另一端取出數(shù)據(jù)，其特點是：收發(fā)數(shù)據(jù)不但順序一致而且容一樣。無連接效勞是郵政系統(tǒng)效勞模式的抽象，其中每個數(shù)據(jù)分組都攜帶完整的信宿地址，各數(shù)據(jù)分組在系統(tǒng)中獨立傳送。無連接效勞不能保證數(shù)據(jù)分組的先后順序，由于先后發(fā)送的數(shù)據(jù)分組可能經(jīng)不同去往信宿，所以先發(fā)

24、的未必先到。在對一個網(wǎng)絡(luò)進展層次構(gòu)造的劃分時，應(yīng)做到：層次功能明確，相互獨立；層間接口清晰，穿越接口的信息量盡量少；層次適中。雖然模型系統(tǒng)在構(gòu)造上是分層的，但這并不要求現(xiàn)實系統(tǒng)在工程實現(xiàn)時也采用同樣的層次構(gòu)造。它們可以由實現(xiàn)者按其選擇的任何方式來構(gòu)造，只要這種實現(xiàn)的最終性能與模型系統(tǒng)所定義的性能相吻合即可。通常人們將網(wǎng)絡(luò)的層次構(gòu)造、協(xié)議棧和相鄰層間的接口以及效勞統(tǒng)稱為網(wǎng)絡(luò)體系構(gòu)造。三 網(wǎng)絡(luò)參考模型目前最有代表性的網(wǎng)絡(luò)參考模型是OSI參考模型和TCP/IP參考模型，但TCP/IP參考模型更流行。以下簡要介紹這兩種參考模型5。一OSI參考模型OSI(Open System Interconnect

25、ion，開放系統(tǒng)互聯(lián)) OSI參考模型分為七層，由低到高依次為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層，參見圖2.2。OSI參考模型只是規(guī)定了網(wǎng)絡(luò)的層次劃分，以及每一層上所實現(xiàn)的功能，但它沒有規(guī)定每一層上所實現(xiàn)的效勞和協(xié)議，因此它本身并不是一個網(wǎng)絡(luò)體系構(gòu)造。各層的主要功能如下：圖2.2 OSI參考模型1 應(yīng)用層是OSI參考模型的最高層，它的作用是為應(yīng)用進程提供訪問OSI環(huán)境的方法；2 表示層為上層用戶提供數(shù)據(jù)或信息語法的表示轉(zhuǎn)換；3 會話層是進程-進程層，進程間的通信也稱為會話，會話層組織和管理不同主機上各進程間的對話；4 傳輸層是第一個端-端層，也稱為主機-主機層，它為上層

26、用戶提供不依賴具體網(wǎng)絡(luò)的高效、經(jīng)濟、透明的端-端數(shù)據(jù)傳輸效勞所謂端-端是描述網(wǎng)絡(luò)傳輸中對等實體之間關(guān)系的一個概念。在端-端系統(tǒng)中，初始信源機上*實體與最終信宿機的對等實體直接通信，彼此之間就像有一條直接線路，而不管傳輸過程中要經(jīng)過多少接口報文處理機IMP。與端-端對應(yīng)的另一個概念是點-點。在點-點系統(tǒng)中，對等實體間的通信由一段一段的直接相連的機器間的通信組成；5 網(wǎng)絡(luò)層的作用是將數(shù)據(jù)分成一定長度的分組，將分組穿過通信子網(wǎng)從信源送到信宿；6 數(shù)據(jù)鏈路層的作用就是通過一定的手段，將有過失的物理鏈路轉(zhuǎn)化成對網(wǎng)絡(luò)層來說是沒有傳輸錯誤的數(shù)據(jù)鏈路；7 物理層的作用是在物理媒介上傳輸原始的數(shù)據(jù)比特流，這一層

27、的設(shè)計同具體的物理媒介有關(guān)，如用什么信號表示“1”，用什么信號表示“0”，信號電平多少，收發(fā)雙方如何同步。由以上幾點可知，只有最低三層涉及通過通信子網(wǎng)的數(shù)據(jù)傳輸，高三層是端到端的層次，因而通信子網(wǎng)只包括第三層的功能。從實際的觀點出發(fā)，OSI分層可以按照以下幾點來考慮：1 依賴于應(yīng)用的協(xié)議；2與特定媒體相關(guān)的協(xié)議；3 在1與2之間的橋接功能。二TCP/IP參考模型TCP/IP參考模型沒有明確區(qū)分開效勞、接口和協(xié)議這三個概念，并且它是專門用來描述TCP/IP協(xié)議棧的，無法用來描述其它非TCP/IP網(wǎng)絡(luò)。因此，盡管TCP/IP模型在工業(yè)上得到了廣泛的應(yīng)用，但人們在討論網(wǎng)絡(luò)時常常使用OSI參考模型，因

28、為它更具有一般性。TCP/IP草靠模型分為四層，它們是應(yīng)用層、傳輸層、網(wǎng)絡(luò)互聯(lián)層和網(wǎng)絡(luò)接口層，參見圖2.3。各層功能如下：圖2.3 TCP/IP參考模型1 應(yīng)用層將OSI的高層-應(yīng)用層、表示層和會話層的功能結(jié)合了起來，常見的協(xié)議有文件傳輸協(xié)(FTP)、遠程終端協(xié)議(TELNET)、簡單電子傳輸協(xié)議(SMTP)、域名系統(tǒng)(DNS)、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)、訪問站點的HTTP等；2 傳輸層在功能上等價于OSI的傳輸層。在這一層上主要定義了兩個傳輸協(xié)議，一個是可靠的面向連接的協(xié)議，稱為傳輸控制協(xié)議(TCP)，另一個是不可靠的無連接協(xié)議，稱為用戶數(shù)據(jù)報協(xié)議(UDP)；3 網(wǎng)絡(luò)互聯(lián)層在功能上等價與

29、OSI網(wǎng)絡(luò)層中與子網(wǎng)無關(guān)的局部。網(wǎng)絡(luò)互聯(lián)層是TCP/IP參考模型的核心，這一層上的協(xié)議稱為IP。TCP和IP是非常重要的兩個協(xié)議，以至于TCP/IP參考模型和TCP/IP協(xié)議族就以這兩個的名稱來命名；4網(wǎng)絡(luò)接口層在功能上等價于OSI的子網(wǎng)絡(luò)技術(shù)功能層。它包括OSI模型中的網(wǎng)絡(luò)層中與子網(wǎng)有關(guān)的下部子層、數(shù)據(jù)鏈路層和物理層。負責(zé)將IP分組封裝成適合在物理網(wǎng)絡(luò)上傳輸?shù)膸袷讲鬏?，或?qū)奈锢砭W(wǎng)絡(luò)接收到的幀解封，取出IP分組交給網(wǎng)絡(luò)互聯(lián)層。第二節(jié) 網(wǎng)絡(luò)平安模型消息將通過*種類型的互聯(lián)網(wǎng)從一方傳輸?shù)搅硪环?。這兩方都是事務(wù)的主體，必須合作以便進展消息交換?？梢酝ㄟ^在互聯(lián)網(wǎng)上定義一條從信息源到信息目的地之間

30、的路由以及兩個信息主體之間使用的*種通信協(xié)議(例如，TCP/IP)，來建立一條邏輯信息通道。如圖2.4所示6：當(dāng)需要或者希望防可能對信息性、真實性等產(chǎn)生威脅的攻擊者的時候，平安方面的因素便會起作用。所有用于提供平安性的技術(shù)都包含以下兩個主要局部：第一對待發(fā)送信息進展與平安相關(guān)的轉(zhuǎn)換。其例如包括：消息加密，使得對于攻擊者而言該消息不可讀；建立在消息容上面的附加碼，它可以用來驗證發(fā)送者的身份。第二兩個主體共享一些不希望被攻擊者所知的秘密信息。其例如包括與消息變化一起使用的加密密鑰，它在傳輸之前用于打亂消息而在接收之后用于恢復(fù)消息。圖2.4 網(wǎng)絡(luò)平安模型為了到達平安傳輸可能需要可信的第三方。例如，第

31、三方可能需要負責(zé)分發(fā)秘密信息給兩個主體，同時對攻擊者隱藏這些信息。通用模型說明設(shè)計特定的平安效勞時有四個根本的任務(wù)：第一設(shè)計用來執(zhí)行與平安相關(guān)的轉(zhuǎn)換的算法，這種算法應(yīng)該是不會被攻擊者擊破的。第二生成用于該算法的秘密信息。第三開發(fā)分發(fā)和共享秘密信息的方法。第四指定一種能被兩個主體使用的協(xié)議，這種協(xié)議使用平安算法和秘密信息以便獲得特定的平安效勞。另一種有害訪問是利用計算機系統(tǒng)邏輯上的弱點，這不僅能夠影響應(yīng)用程序，而且還能夠影響實用程序，例如編輯器和編譯器。程序存在兩種形式的威脅：第一，信息訪問威脅：本不該訪問*些數(shù)據(jù)用戶截取或修改數(shù)據(jù)。第二，效勞威脅：利用計算機的效勞缺陷阻止合法用戶的使用。病毒和

32、蠕蟲是軟件攻擊的兩個具體例如。由于磁盤的有用軟件可能隱藏著有害邏輯，因此可以通過這些磁盤小系統(tǒng)引入這種攻擊。他們同樣可以通過網(wǎng)絡(luò)進入到系統(tǒng)中；后一種機制在網(wǎng)絡(luò)平安中更受關(guān)注。解決有害訪問的平安機制主要有兩大疇。第一類疇是看門人功能，如圖2.5所示。它包含基于口令的登錄過程，它們設(shè)計成拒絕除授權(quán)用戶外的所有訪問，另一類平安機制是屏蔽邏輯，它們設(shè)計用來檢測和拒絕蠕蟲、病毒以及其他類似的攻擊。一旦任意一個有害的用戶或者有害的軟件獲得訪問權(quán)，第二道防線包含各種檢測活動的部控制，能夠檢視和分析存儲的信息，以此來檢測有害入侵者的存在。圖2.5 網(wǎng)絡(luò)訪問平安模型第三節(jié) 局域網(wǎng)平安防措施一 防火墻系統(tǒng)一防火墻

33、概述防火墻是一種用來增強部網(wǎng)絡(luò)平安性的系統(tǒng)，它將網(wǎng)絡(luò)隔離為部網(wǎng)和外部網(wǎng)，從*種程度上來說，防火墻是位于部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站，它一般由一臺和多臺計算機構(gòu)成，它對部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進展分析、檢測、管理和控制，通過對數(shù)據(jù)的篩選和過濾，來防止未授權(quán)的訪問進出部計算機網(wǎng)，從而到達保護部網(wǎng)資源和信息的目的。防火墻是指設(shè)置在不同網(wǎng)絡(luò)如可信任的企業(yè)部網(wǎng)和不可信的公共網(wǎng)或網(wǎng)絡(luò)平安域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的唯一出入口，能根據(jù)企業(yè)的平安政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息平安效勞，實現(xiàn)網(wǎng)絡(luò)和信息平安的根底設(shè)施。在邏輯上

34、，防火墻是一個別離器，一個限制器，也是一個分析器，有效地監(jiān)控了部網(wǎng)和Internet之間的任何活動，保證了部網(wǎng)絡(luò)的平安。二防火墻的體系構(gòu)造1 雙重宿主主機體系構(gòu)造雙重宿主主機體系構(gòu)造圍繞雙重宿主主機構(gòu)筑。雙重宿主主機至少有兩個網(wǎng)絡(luò)接口。這樣的主機可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個網(wǎng)絡(luò)到另外一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而雙重宿主主機的防火墻體系構(gòu)造制止這種發(fā)送。因此IP數(shù)據(jù)包并不是從一個網(wǎng)絡(luò)如外部網(wǎng)絡(luò)直接發(fā)送到另一個網(wǎng)絡(luò)如部網(wǎng)絡(luò)。外部網(wǎng)絡(luò)能與雙重宿主主機通信，部網(wǎng)絡(luò)也能與雙重宿主主機通信。但是外部網(wǎng)絡(luò)與部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機的過濾和控制。2 被屏

35、蔽主機體系構(gòu)造雙重宿主主機體系構(gòu)造防火墻沒有使用路由器。而被屏蔽主機體系構(gòu)造防火墻則使用一個路由器把部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。在這種體系構(gòu)造中，主要的平安由數(shù)據(jù)包過濾提供例如，數(shù)據(jù)包過濾用于防止人們繞過代理效勞器直接相連。這種體系構(gòu)造涉及到堡壘主機。堡壘主機是因特網(wǎng)上的主機能連接到的唯一的部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問部的系統(tǒng)或效勞都必須先連接到這臺主機。因此堡壘主機要保持更高等級的主機平安。數(shù)據(jù)包過濾容許堡壘主機開放可允許的連接什么是可允許連接將由你的站點的特殊的平安策略決定到外部世界。3 被屏蔽子網(wǎng)體系構(gòu)造被屏蔽子網(wǎng)體系構(gòu)造添加額外的平安層到被屏蔽主機體系構(gòu)造，即通過添加周邊網(wǎng)絡(luò)更進一

36、步的把部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。被屏蔽子網(wǎng)體系構(gòu)造的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。一個位于周邊網(wǎng)與部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。這樣就在部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個“隔離帶。為了侵入用這種體系構(gòu)造構(gòu)筑的部網(wǎng)絡(luò)，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，他將仍然必須通過部路由器。三防火墻的功能1 數(shù)據(jù)包過濾技術(shù)數(shù)據(jù)包過慮技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)位置對數(shù)據(jù)包實施有選擇的通過的技術(shù)選擇好依據(jù)系統(tǒng)設(shè)置的過濾規(guī)則后，只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口，而其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。數(shù)據(jù)包過濾技術(shù)是防火墻中最常用的技術(shù)。對于一個危險的網(wǎng)絡(luò)，用這種方

37、法可以阻塞*些主機和網(wǎng)絡(luò)連入部網(wǎng)絡(luò)，也可限制部人員對一些站點的訪問。包過濾型防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)源地址，目的地址，端口號和協(xié)議類型等標(biāo)志確定是否允許通過，只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地，其余數(shù)據(jù)包則被數(shù)據(jù)流中阻擋丟棄。2 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的外部的、注冊的IP的地址標(biāo)準(zhǔn)，用戶必須要為網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址。在部網(wǎng)絡(luò)通過平安網(wǎng)卡訪問外部網(wǎng)絡(luò)時，系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接，這樣對外就隱藏了真實的部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非平安網(wǎng)卡訪問部網(wǎng)絡(luò)時，它并不知道部網(wǎng)絡(luò)的連

38、接情況，而只是通過一個開放的IP地址和端口來請求訪問。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否平安和承受與否。網(wǎng)絡(luò)地址轉(zhuǎn)換過程對于用戶來說是透明的，不需要用戶進展設(shè)置，用戶只要進展常規(guī)操作即可。3 代理技術(shù)代理技術(shù)是在應(yīng)用層實現(xiàn)防火墻功能，代理效勞器執(zhí)行部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請時的中轉(zhuǎn)連接作用。代理偵聽網(wǎng)絡(luò)部客戶的效勞請求，當(dāng)一個連接到來時，首先進展身份驗證，并根據(jù)平安策略決定是否中轉(zhuǎn)連接。當(dāng)決定轉(zhuǎn)發(fā)時，代理效勞器上的客戶進程向真正的效勞器發(fā)出請求，效勞器返回代理效勞器轉(zhuǎn)發(fā)客戶機的數(shù)據(jù)。另一種情況是，外部網(wǎng)通過代理訪問部網(wǎng)，當(dāng)外部網(wǎng)絡(luò)節(jié)點提出效勞請求時，代理效勞器首先對該用戶身份進展驗證。

39、假設(shè)為合法用戶，則把該請求轉(zhuǎn)發(fā)給真正的*個部網(wǎng)絡(luò)的主機。而在整個效勞過程中，應(yīng)用代理一直監(jiān)控著用戶的操作，一旦用戶進展非法操作，就可以進展干預(yù)，并對每一個操作進展記錄。假設(shè)為不合法用語，則拒絕訪問。二 入侵檢測系統(tǒng)一入侵檢測系統(tǒng)概述入侵檢測是指通過對行為、平安日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進展操作，檢測到對系統(tǒng)的闖入或闖入的企圖。入侵檢測技術(shù)是為保證計算機系統(tǒng)的平安而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反平安策略行為的技術(shù)。進展入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)二入侵檢測原理入侵檢測跟其他檢測技術(shù)有同樣的原理。從一組數(shù)據(jù)

40、中，檢測出符合*一特點的數(shù)據(jù)。攻擊者進展攻擊的時候會留下痕跡，這些痕跡和系統(tǒng)正常運行的時候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測系統(tǒng)的任務(wù)是從這些混合的數(shù)據(jù)中找出是否有入侵的痕跡，并給出相關(guān)的提示和警告。入侵檢測的第一步是信息收集，收集容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。第二步是信息分析，收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術(shù)手段進展分析：模式匹配、統(tǒng)計分析和完整性分析。當(dāng)檢測到*種誤用模式時

41、，產(chǎn)生一個告警并發(fā)送給控制臺。第三步是結(jié)果處理，控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。. 第三章 基于*學(xué)校網(wǎng)絡(luò)平安的研究第一節(jié) 校園網(wǎng)絡(luò)平安防體系的建立一 校園網(wǎng)絡(luò)平安策略概述具體的平安由以下幾個方面組成：物理平安、網(wǎng)絡(luò)平安、信息平安7。一物理平安物理平安策略主要指網(wǎng)絡(luò)根底設(shè)施、網(wǎng)絡(luò)設(shè)備的平安以及不同網(wǎng)絡(luò)之間的隔離進展控制的策略。物理平安直接關(guān)系到網(wǎng)絡(luò)的平安，如果非法用戶有接觸網(wǎng)絡(luò)設(shè)備的可能，則他直接對設(shè)備進展破壞要比通過網(wǎng)絡(luò)遠程進展破壞容易得多。二網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安是指系統(tǒng)主機、效勞器平安、反病毒、

42、系統(tǒng)平安檢測、審計分析網(wǎng)絡(luò)運行平安、備份與恢復(fù)、局域網(wǎng)與子網(wǎng)平安、訪問控制防火墻、網(wǎng)絡(luò)平安檢測、入侵檢測。三信息平安主要涉及到信息傳輸?shù)钠桨?、信息存儲的平安以及對網(wǎng)絡(luò)傳輸信息容的審計三方面，具體包括數(shù)據(jù)加密、數(shù)據(jù)完整性鑒別、防抵賴、信息存儲平安、數(shù)據(jù)庫平安、終端平安、信息的防泄密、信息容審計、用戶授權(quán)。二 對于校園網(wǎng)的解決方案計算機網(wǎng)絡(luò)系統(tǒng)是一個分層次的拓撲構(gòu)造，因此網(wǎng)絡(luò)的平安防護也需要采用分層次的拓撲防護措施，即一個完整的網(wǎng)絡(luò)平安解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個層次，并且與平安管理相結(jié)合。網(wǎng)絡(luò)平安防護分層如下表3.1所示：表3.1 網(wǎng)絡(luò)平安分層構(gòu)造物理層平安主要指網(wǎng)絡(luò)設(shè)備通訊線路的平安網(wǎng)絡(luò)層平安防

43、火墻、VLAN、路由平安系統(tǒng)層平安操作系統(tǒng)的平安應(yīng)用層平安防病毒、應(yīng)用系統(tǒng)的平安一物理層平安保證計算機信息系統(tǒng)各種設(shè)備的物理平安是整個計算機信息系統(tǒng)平安的前提。物理平安是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。它主要包括三個方面：環(huán)境平安、設(shè)備平安、媒體平安。二網(wǎng)絡(luò)層平安主要包括：限制非法用戶通過網(wǎng)絡(luò)遠程訪問和破壞系統(tǒng)數(shù)據(jù)，竊取傳輸線路中的數(shù)據(jù)；確保對網(wǎng)絡(luò)設(shè)備的平安配置。對網(wǎng)絡(luò)來說，首先要確保網(wǎng)絡(luò)設(shè)備的平安配置，保證非授權(quán)用戶不能訪問任意一臺計算機、路由器和防火墻。1 合理劃分VLANVLANVirtual L

44、ocal Area Network即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段而實現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的播送域，每一個VLAN都包含一組有著一樣需要的計算機工作站，與物理上形成的LAN有著一樣的屬性。但由于它是邏輯地而不是物理地劃分，一個VLAN部的播送和薄弱流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的平安性。VLAN在交換機上的實現(xiàn)方法，可以大致劃分為4類：第一是基于端口劃分的VLAN；第二是基于MAC地址劃分VLAN；第三是基于網(wǎng)絡(luò)層劃分VLAN；第四是基于

45、IP組播劃分VLAN。以太網(wǎng)從本質(zhì)上基于播送機制，但應(yīng)用了交換器和VLAN技術(shù)后，實際上轉(zhuǎn)變?yōu)辄c到點通訊，以上運行機制帶來的網(wǎng)絡(luò)平安是好處是顯而易見的：第一，信息只有到達應(yīng)該到達的地點。因此，防止了大局部基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。第二，通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點不能直接訪問虛擬網(wǎng)節(jié)點。2 防火墻與IDS安裝防火墻進展平安保護，它是一種在校園部網(wǎng)和Internet之間實施的信息平安防系統(tǒng)技術(shù)，通過檢測、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對外屏蔽校園部網(wǎng)絡(luò)的信息，從而對系統(tǒng)構(gòu)造及其良性運行等實現(xiàn)平安防護。IDS所采用的不是被動防御的策略，而是主動監(jiān)視、檢測和識別在進展的或

46、已經(jīng)成功的入侵行為，并及時報告給網(wǎng)絡(luò)管理者。由于IDS系統(tǒng)除了報告外，本身不能對入侵采取任何的防御措施。3 路由器訪問控制列表路由器是部網(wǎng)和Internet的連接，是信息出入的必經(jīng)之路，對網(wǎng)絡(luò)的平安具有舉足輕重的作用，路由器本身就可以對數(shù)據(jù)包進展過濾和有效地防止外部用戶對校園網(wǎng)的平安訪問，可以限制網(wǎng)絡(luò)流量，也可以限制校園網(wǎng)的*些用戶或設(shè)備使用網(wǎng)絡(luò)資源。不同VLAN之間的訪問只能通過路由器或路由模塊來完成，因此路由設(shè)備可以作為控制VLAN之間訪問的初級屏障，因此，我們可以利用路由器來提高網(wǎng)絡(luò)的平安性。三系統(tǒng)層平安操作系統(tǒng)是計算機系統(tǒng)的核心和根底工具，因此操作系統(tǒng)的漏洞往往成為危害計算機和網(wǎng)絡(luò)平安的手段和環(huán)節(jié)。保護計算機操作系統(tǒng)的平安，對于網(wǎng)絡(luò)的平安尤為重要。四應(yīng)用層平安1 網(wǎng)絡(luò)防病毒技術(shù)網(wǎng)絡(luò)病毒成為威脅網(wǎng)絡(luò)平安的重要因素，如何防護網(wǎng)絡(luò)病毒也就成為校園網(wǎng)平安必須考慮的重要問題。為保護效勞器和網(wǎng)絡(luò)中的工作站免受計算機病毒的侵害，同時也是為了建立一個集中有效的防病毒控制機制，需要應(yīng)用于網(wǎng)絡(luò)的防病毒技術(shù)?；诰W(wǎng)絡(luò)防病毒技術(shù)可以在網(wǎng)絡(luò)的各個環(huán)節(jié)上實現(xiàn)對計算機病毒的防，其中包括基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于效勞器的防病毒系統(tǒng)和基于桌面的防