計算機網(wǎng)絡(luò)安全安全與防范-鄧宏亮-定稿

1、PAGE18摘 要計算機網(wǎng)絡(luò)飛速發(fā)展的同時，安全問題不容忽視。網(wǎng)絡(luò)安全經(jīng)過了二十多年的發(fā)展，已經(jīng)發(fā)展成為一個跨多門學(xué)科的綜合性科學(xué)，它包括：通信技術(shù)、網(wǎng)絡(luò)技術(shù)、計算機軟件、硬件設(shè)計技術(shù)、密碼學(xué)、網(wǎng)絡(luò)安全與計算機安全技術(shù)等。在理論上，網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的。密碼學(xué)是網(wǎng)絡(luò)安全的核心，利用密碼技術(shù)對信息進行加密傳輸、加密存儲、數(shù)據(jù)完整性鑒別、用戶身份鑒別等，比傳統(tǒng)意義上簡單的存取控制和授權(quán)等技術(shù)更可靠。加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。由于加密算法的公開化和解密技術(shù)的發(fā)展，加上發(fā)達國家對關(guān)鍵加密算法的出口限制，各個國家正不斷致力于開發(fā)和設(shè)計新的加密

2、算法和加密機制。從技術(shù)上，網(wǎng)絡(luò)安全取決于兩個方面：網(wǎng)絡(luò)設(shè)備的硬件和軟件。網(wǎng)絡(luò)安全則由網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合來實現(xiàn)的。但是，由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對其上的信息提供的一種增值服務(wù)，人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸，因此，將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實現(xiàn)，實現(xiàn)線速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個主要方向。在安全技術(shù)不斷發(fā)展的同時，全面加強安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個重要內(nèi)容。因為即使有了網(wǎng)絡(luò)安全的理論基礎(chǔ)，沒有對網(wǎng)絡(luò)安全的深刻認識、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中，那么談再多的網(wǎng)絡(luò)安全也是無用的。同時，網(wǎng)絡(luò)安全不僅僅是防火墻，也不是防病毒、入侵監(jiān)測、防火墻、身份認證、加密等

3、產(chǎn)品的簡單堆砌，而是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機結(jié)合。總之，網(wǎng)絡(luò)在今后的發(fā)展過程中不再僅僅是一個工具，也不再是一個遙不可及僅供少數(shù)人使用的技術(shù)專利，它將成為一種文化、一種生活融入到社會的各個領(lǐng)域。關(guān)鍵詞：計算機；網(wǎng)絡(luò)；安全；防范目 錄 TOC o 1-3 h z u HYPERLINK l _Toc1 摘 要 PAGEREF _Toc1 h I HYPERLINK l _Toc2 目 錄 PAGEREF _Toc2 h II HYPERLINK l _Toc3 第1章 緒 論 PAGEREF _Toc3 h 1 HYPERLINK l _Toc4 計算

4、機網(wǎng)絡(luò)發(fā)展前景 PAGEREF _Toc4 h 1 HYPERLINK l _Toc5 本章小結(jié) PAGEREF _Toc5 h 2 HYPERLINK l _Toc6 第2章 計算機網(wǎng)絡(luò)安全概述 PAGEREF _Toc6 h 3 HYPERLINK l _Toc7 計算機網(wǎng)絡(luò)安全的概念 PAGEREF _Toc7 h 3 HYPERLINK l _Toc8 計算機網(wǎng)絡(luò)安全現(xiàn)狀 PAGEREF _Toc8 h 3 HYPERLINK l _Toc9 本章小結(jié) PAGEREF _Toc9 h 4 HYPERLINK l _Toc0 第3章 網(wǎng)絡(luò)安全的威脅因素 PAGEREF _Toc0 h 5

5、 HYPERLINK l _Toc1 網(wǎng)絡(luò)安全的威脅因素 PAGEREF _Toc1 h 5 HYPERLINK l _Toc2 本章小結(jié) PAGEREF _Toc2 h 5 HYPERLINK l _Toc3 第4章 幾種常用的網(wǎng)絡(luò)安全技術(shù) PAGEREF _Toc3 h 7 HYPERLINK l _Toc4 防火墻技術(shù) PAGEREF _Toc4 h 7 HYPERLINK l _Toc5 防火墻的主要功能 PAGEREF _Toc5 h 7 HYPERLINK l _Toc6 防火墻的主要優(yōu)點 PAGEREF _Toc6 h 7 HYPERLINK l _Toc7 防火墻的主要缺陷 P

6、AGEREF _Toc7 h 8 HYPERLINK l _Toc8 防火墻的分類 PAGEREF _Toc8 h 8 HYPERLINK l _Toc9 防火墻的部署 PAGEREF _Toc9 h 9 HYPERLINK l _Toc0 數(shù)據(jù)加密技術(shù) PAGEREF _Toc0 h 10 HYPERLINK l _Toc1 系統(tǒng)容災(zāi)技術(shù) PAGEREF _Toc1 h 10 HYPERLINK l _Toc2 入侵檢測技術(shù) PAGEREF _Toc2 h 11 HYPERLINK l _Toc3 入侵檢測系統(tǒng)的分類 PAGEREF _Toc3 h 11 HYPERLINK l _Toc4

7、目前入侵檢測系統(tǒng)的缺陷 PAGEREF _Toc4 h 12 HYPERLINK l _Toc5 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動 PAGEREF _Toc5 h 12 HYPERLINK l _Toc6 結(jié)語 PAGEREF _Toc6 h 13 HYPERLINK l _Toc7 漏洞掃描技術(shù) PAGEREF _Toc7 h 13 HYPERLINK l _Toc8 物理安全 PAGEREF _Toc8 h 13 HYPERLINK l _Toc9 本章小結(jié) PAGEREF _Toc9 h 14 HYPERLINK l _Toc0 第5章 結(jié)束語與展望 PAGEREF _Toc0 h 15

8、HYPERLINK l _Toc1 論文總結(jié) PAGEREF _Toc1 h 15 HYPERLINK l _Toc2 工作展望 PAGEREF _Toc2 h 15 HYPERLINK l _Toc3 致 謝 PAGEREF _Toc3 h 17 HYPERLINK l _Toc4 參考文獻 PAGEREF _Toc4 h 18第1章 緒 論 計算機網(wǎng)絡(luò)發(fā)展前景計算機網(wǎng)絡(luò)就是計算機之間通過連接介質(zhì)(如網(wǎng)絡(luò)線、光纖等)互聯(lián)起來，按照網(wǎng)絡(luò)協(xié)議進行數(shù)據(jù)通信，實現(xiàn)資源共享的一種組織形式。計算機網(wǎng)絡(luò)是二十世紀60年代起源于美國，原本用于軍事通訊，后逐漸進入民用，經(jīng)過短短40年不斷的發(fā)展和完善，現(xiàn)已廣泛

9、應(yīng)用于各個領(lǐng)域，并正以高速向前邁進。在不久的將來，我們將看到一個充滿虛擬性的新時代。在這個虛擬時代，人們的工作和生活方式都會極大地改變，那時我們將進行虛擬旅行，讀虛擬大學(xué)，在虛擬辦公室里工作，進行虛擬的駕車測試等。對計算機網(wǎng)絡(luò)發(fā)展的前景，我有如下看法：1全球因特網(wǎng)裝置之間的通信量將超過人與人之間的通信量。因特網(wǎng)將從一個單純的大型數(shù)據(jù)中心發(fā)展成為一個更加聰明的高智商網(wǎng)絡(luò)，將成為人與信息之間的高層調(diào)節(jié)者。其中的個人網(wǎng)站復(fù)制功能將不斷預(yù)期人們的信息需求和喜好，用戶將通過網(wǎng)站復(fù)制功能篩選網(wǎng)站，過濾掉與己無關(guān)的信息并將所需信息以最佳格式展現(xiàn)出來。同時，個人及企業(yè)將獲得大量個性化服務(wù)。這些服務(wù)將會由軟件設(shè)

10、計人員在一個開放的平臺中實現(xiàn)。由軟件驅(qū)動的智能網(wǎng)技術(shù)和無線技術(shù)將使網(wǎng)絡(luò)觸角伸向人們所能到達的任何角落，同時允許人們自行選擇接收信息的形式。2帶寬的成本將變得非常低廉，甚至可以忽略不計。隨著帶寬瓶頸的突破，未來網(wǎng)絡(luò)的收費將來自服務(wù)而不是帶寬。交互性的服務(wù)，如節(jié)目聯(lián)網(wǎng)的視頻游戲、電子報紙和雜志等服務(wù)將會成為未來網(wǎng)絡(luò)價值的主體。3在不久的未來，無線網(wǎng)絡(luò)將更加普及，其中cnet:短距無線網(wǎng)絡(luò)前景看俏。短距無線通訊標準Zigbee與超寬頻UWB（Ultra wideband）即將制訂完成，未來將與藍芽（Bluetooth）共同建構(gòu)短距離無線網(wǎng)絡(luò)環(huán)境，包括藍芽、Zigbee與UWB等相關(guān)產(chǎn)品出貨量都將大幅

11、成長。隨著電子電機工程師協(xié)會（IEEE）推出個人局域網(wǎng)絡(luò)（WPAN）標準后，新一代的短距離無線通訊發(fā)展趨勢逐漸確定，除了藍芽（）外，Zigbee（）與UWB（802.15.3a）標準也將于今年或明年初陸續(xù)通過，未來Zigbee與UWB將以各自不同特性，如速度、價格等切入短距離無線網(wǎng)絡(luò)環(huán)境。4計算機網(wǎng)絡(luò)飛速發(fā)展的同時，安全問題不容忽視。網(wǎng)絡(luò)安全經(jīng)過了二十多年的發(fā)展，已經(jīng)發(fā)展成為一個跨多門學(xué)科的綜合性科學(xué)，它包括：通信技術(shù)、網(wǎng)絡(luò)技術(shù)、計算機軟件、硬件設(shè)計技術(shù)、密碼學(xué)、網(wǎng)絡(luò)安全與計算機安全技術(shù)等。在理論上，網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的。密碼學(xué)是網(wǎng)絡(luò)安全的核心，利用密碼技術(shù)對信息進

12、行加密傳輸、加密存儲、數(shù)據(jù)完整性鑒別、用戶身份鑒別等，比傳統(tǒng)意義上簡單的存取控制和授權(quán)等技術(shù)更可靠。加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。由于加密算法的公開化和解密技術(shù)的發(fā)展，加上發(fā)達國家對關(guān)鍵加密算法的出口限制，各個國家正不斷致力于開發(fā)和設(shè)計新的加密算法和加密機制。從技術(shù)上，網(wǎng)絡(luò)安全取決于兩個方面：網(wǎng)絡(luò)設(shè)備的硬件和軟件。網(wǎng)絡(luò)安全則由網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合來實現(xiàn)的。但是，由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對其上的信息提供的一種增值服務(wù)，人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸，因此，將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實現(xiàn)，實現(xiàn)線速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個主要方向。在

13、安全技術(shù)不斷發(fā)展的同時，全面加強安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個重要內(nèi)容。因為即使有了網(wǎng)絡(luò)安全的理論基礎(chǔ)，沒有對網(wǎng)絡(luò)安全的深刻認識、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中，那么談再多的網(wǎng)絡(luò)安全也是無用的。同時，網(wǎng)絡(luò)安全不僅僅是防火墻，也不是防病毒、入侵監(jiān)測、防火墻、身份認證、加密等產(chǎn)品的簡單堆砌，而是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機結(jié)合?？傊W(wǎng)絡(luò)在今后的發(fā)展過程中不再僅僅是一個工具，也不再是一個遙不可及僅供少數(shù)人使用的技術(shù)專利，它將成為一種文化、一種生活融入到社會的各個領(lǐng)域。 本章小結(jié)計算機網(wǎng)絡(luò)經(jīng)過40多年不斷發(fā)展和完善，現(xiàn)在正以高速的發(fā)展方向邁進。全球的因特網(wǎng)

14、裝置之間的通信量將超過人與人之間的通信量，因特網(wǎng)將從一個單純的大型數(shù)據(jù)中心發(fā)展成為一個高智商網(wǎng)絡(luò)，將成為人與信息之間的高層調(diào)節(jié)者。帶寬的成本將會變得非常低，甚至忽略不計。在不久的將來，無線網(wǎng)絡(luò)將更加普及，尤其短距無線網(wǎng)絡(luò)的前景更大。在計算機網(wǎng)絡(luò)飛速發(fā)展的同時，網(wǎng)絡(luò)安全問題也更加突出，因此各國正不斷致力于開發(fā)和設(shè)計新的加密算法加密機制，加強安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)發(fā)展的一個重要內(nèi)容?？傊?，計算機網(wǎng)絡(luò)在今后的發(fā)展中范圍更廣、潛力更大，將會融入到社會各個領(lǐng)域。第2章 計算機網(wǎng)絡(luò)安全概述 計算機網(wǎng)絡(luò)安全的概念國際標準化組織將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算

15、機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護。計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認識和要求也就不同。從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出

16、現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。 計算機網(wǎng)絡(luò)安全現(xiàn)狀 計算機網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。計算機和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計算機和網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計算機病毒的種類，而

17、且許多攻擊都是致命的。在Internet網(wǎng)絡(luò)上，因互聯(lián)網(wǎng)本身沒有時空和地域的限制，每當有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進行攻擊從而造成計算機系統(tǒng)及網(wǎng)絡(luò)癱瘓。蠕蟲、后門(Back-doors)、Rootkits、DOS(DenialofServices)和Sniffer(網(wǎng)路監(jiān)聽)是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時至今日，有愈演愈烈之勢。這幾類攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標直指互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次。從Web程序的控制程序到內(nèi)核級Rootlets。黑客的攻擊手法不斷升級翻新

18、，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。 本章小結(jié)本章主要介紹了計算機網(wǎng)絡(luò)安全的概念及概念所包含的內(nèi)容，以及各內(nèi)容的具體含義。計算機網(wǎng)絡(luò)安全的具體含義會因使用者的不同而變化，不同的使用者，對計算機網(wǎng)絡(luò)的認識和要求也不同。計算機和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使計算機網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了病毒的種類，而且許多攻擊都是致命的。由于互聯(lián)網(wǎng)本身的性質(zhì)沒有失控和地域的限制，每種新攻擊手段在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進行攻擊導(dǎo)致計算機網(wǎng)絡(luò)及系統(tǒng)癱瘓。變種新出現(xiàn)的攻擊方法更具智能化，攻擊目標直接指向互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次，而且黑客手段

19、不斷升級翻新，因此，計算機網(wǎng)絡(luò)安全面臨更大挑戰(zhàn)。第3章 網(wǎng)絡(luò)安全的威脅因素 網(wǎng)絡(luò)安全的威脅因素歸納起來，針對網(wǎng)絡(luò)安全的威脅主要有:軟件漏洞、配置不當、安全意識不強、病毒、黑客攻擊等。1軟件漏洞：每一個操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地，一旦連接入網(wǎng)，將成為眾矢之的。2配置不當:安全配置不當造成安全漏洞，例如，防火墻軟件的配置不正確，那么它根本不起作用。對特定的網(wǎng)絡(luò)應(yīng)用程序，當它啟動時，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會被啟用。除非用戶禁止該程序或?qū)ζ溥M行正確配置，否則，安全隱患始終存在。3安全意識不強:用戶口令選擇不慎

20、，或?qū)⒆约旱膸ぬ栯S意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。4病毒:目前數(shù)據(jù)安全的頭號大敵是計算機病毒，它是編制者在計算機程序中插入的破壞計算機功能或數(shù)據(jù)，影響計算機軟件、硬件的正常運行并且能夠自我復(fù)制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點。因此，提高對病毒的防范刻不容緩。5黑客攻擊:對于計算機數(shù)據(jù)安全構(gòu)成威脅的另一個方面是來自電腦黑客(backer)。電腦黑客利用系統(tǒng)中的安全漏洞非法進入他人計算機系統(tǒng)，其危害性非常大。從某種意義上講，黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。 本章小結(jié)目前，針對網(wǎng)絡(luò)安全的威脅因素歸納為以下幾點：軟

21、件漏洞、配置不當、安全意識不強、病毒、黑客攻擊等。軟件漏洞是每一個系統(tǒng)或網(wǎng)絡(luò)軟件不可避免的，安全漏洞是由于安全配置不當而造成。用戶口令選擇不慎或?qū)⒆约旱馁~號隨意轉(zhuǎn)借他人或與他人共享帶來網(wǎng)絡(luò)安全問題，這是由于安全意識不強；病毒已成為數(shù)據(jù)安全的頭號大敵，而且其具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點；威脅計算機數(shù)據(jù)安全的另一方面來自電腦黑客，其危害性非常大，尤其在信息安全方面危害甚至比一般電腦病毒更為嚴重。第4章 幾種常用的網(wǎng)絡(luò)安全技術(shù) 防火墻技術(shù)網(wǎng)絡(luò)安全所說的防火墻(Fire Wall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)

22、互訪，用來保護內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點上。所有來自Internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。4.1.1 防火墻的主要功能防火墻的主要功能包括：1防火墻可以對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，從而過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。2防火墻可以關(guān)閉不使用的端口，而且它還能禁止特定端口的輸出信息。3防火墻可以禁止來自特殊站點的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務(wù)和控制非法用戶對網(wǎng)絡(luò)的訪問。4防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對Internet上特殊站點的訪問。5防火墻提供了監(jiān)視Internet安全和預(yù)警的方便端點。4.1.2

23、 防火墻的主要優(yōu)點防火墻的主要優(yōu)點包括:1可作為網(wǎng)絡(luò)安全策略的焦點防火墻可作為網(wǎng)絡(luò)通信的阻塞點。所有進出網(wǎng)絡(luò)的信息都必須通過防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來，將承擔風(fēng)險的范圍從整個內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上。從而在結(jié)構(gòu)上形成了一個控制中心，極大地加強了網(wǎng)絡(luò)安全，并簡化了網(wǎng)絡(luò)管理。2可以有效記錄網(wǎng)絡(luò)活動由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間，即所有傳輸?shù)男畔⒍紩┻^防火墻。所以，防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，提供監(jiān)視、管理與審計網(wǎng)絡(luò)的使用和預(yù)警功能。3為解決IP地址危機提供了可行方案由于Internet的日益發(fā)展及IP地址空間有限，使得用戶

24、無法獲得足夠的注冊IP地址。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。4.1.3 防火墻的主要缺陷由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點，使它不能完全保護網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有：1防火墻對繞過它的攻擊行為無能為力。2防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件。3防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓撲結(jié)構(gòu)來支持。網(wǎng)絡(luò)安全性的提高往往是以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價。4.1.4 防火墻的分類防火墻的實現(xiàn)從層次上大體可分為三類：包過濾防火墻，代理防火墻和復(fù)合型防火墻。 1包過濾防火墻包過濾防火墻是

25、在IP層實現(xiàn)，它可以只用路由器來實現(xiàn)。包過濾防火墻根據(jù)報文的源IP地址，目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。包過濾路由器的最大優(yōu)點是：對用戶來說是透明的，即不需要用戶名和密碼來登陸。 包過濾路由器的弊端是明顯的，由于它通常沒有用戶的使用記錄，我們不能從訪問中發(fā)現(xiàn)黑客的攻擊記錄。它還有一個致命的弱點，就是不能在用戶級別上進行過濾，即不能識別用戶與防止IP地址的盜用。如果攻擊者將自己的主機設(shè)置為一個合法主機的IP地址，則很容易地通過包過濾防火墻。2代理防火墻代理防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻，包過濾防火墻可以按照IP地址來禁止未授權(quán)者的訪問。但它不適合單位用

26、來控制內(nèi)部人員訪問外部網(wǎng)絡(luò)，對于這樣的企業(yè)，應(yīng)用代理防火墻是更好的選擇。代理服務(wù)是設(shè)置在Internet防火墻網(wǎng)關(guān)上的應(yīng)用，是在網(wǎng)管員允許下或拒絕的特定的應(yīng)用程序或者特定服務(wù)，一般情況下可應(yīng)用于特定的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸、遠程文件傳輸?shù)?。同時還可應(yīng)用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。 應(yīng)用層網(wǎng)關(guān)包括應(yīng)用代理服務(wù)器、回路級代理服務(wù)器、代管服務(wù)器、IP通道、網(wǎng)絡(luò)地址轉(zhuǎn)換器、隔離域名服務(wù)器和郵件技術(shù)等。3復(fù)合型防火墻 復(fù)合型防火墻是將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用，從而實現(xiàn)了網(wǎng)絡(luò)安全性、性能和透明度的優(yōu)勢互補。隨著技術(shù)的發(fā)展，防火墻產(chǎn)品還在不斷完善、發(fā)展。目前出現(xiàn)的新技術(shù)類型主

27、要有以下幾種：狀態(tài)監(jiān)視技術(shù)、安全操作系統(tǒng)、自適應(yīng)代理技術(shù)、實時侵入檢測系統(tǒng)等。混合使用數(shù)據(jù)包過濾技術(shù)、代理服務(wù)技術(shù)和一些新技術(shù)是未來防火墻的趨勢。4.1.5 防火墻的部署防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，只有在關(guān)鍵網(wǎng)絡(luò)流量通過防火墻的時候，防火墻才能對此實行檢查，防護功能。1防火墻的位置一般是內(nèi)網(wǎng)與外網(wǎng)的接合處，用來阻止來自外部網(wǎng)絡(luò)的入侵。2如果內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置虛擬局域網(wǎng)（VLAN），則應(yīng)該在各個VLAN之間設(shè)置防火墻。3通過公網(wǎng)連接的總部與各分支機構(gòu)之間應(yīng)該設(shè)置防火墻。4主干交換機至服務(wù)器區(qū)域工作組交換機的骨干鏈路上。5遠程撥號服務(wù)器與骨干交換機或路由器之間?？傊诰W(wǎng)絡(luò)拓撲上，防火墻應(yīng)

28、當處在網(wǎng)絡(luò)的出口與不同安全等級區(qū)域的結(jié)合處。安裝防火墻的原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應(yīng)安裝防火墻。防火墻技術(shù)是指網(wǎng)絡(luò)之間通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制的安全應(yīng)用措施。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。由于它簡單實用且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下，達到一定的安全要求，所以被廣泛使用。據(jù)預(yù)測近5年世界防火墻需求的年增長率將達到174%。目前，市場上防火墻產(chǎn)品很多，一些廠商還把防火墻技術(shù)并入其硬件產(chǎn)品中，即在其硬件產(chǎn)品中采取功能更加先進的安全防范機

29、制?？梢灶A(yù)見防火墻技術(shù)作為一種簡單實用的網(wǎng)絡(luò)信息安全技術(shù)將得到進一步發(fā)展。然而，防火墻也并非人們想象的那樣不可滲透。在過去的統(tǒng)計中曾遭受過黑客入侵的網(wǎng)絡(luò)用戶有三分之一是有防火墻保護的，也就是說要保證網(wǎng)絡(luò)信息的安全還必須有其他一系列措施，例如對數(shù)據(jù)進行加密處理。需要說明的是防火墻只能抵御來自外部網(wǎng)絡(luò)的侵擾，而對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全卻無能為力。要保證企業(yè)內(nèi)部網(wǎng)的安全，還需通過對內(nèi)部網(wǎng)絡(luò)的有效控制和管理來實現(xiàn)。 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)就是對信息進行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息、的真實內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所

30、采用的主要手段之一。數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲加密技術(shù)是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進行驗證，達到保密的要求，系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實現(xiàn)對數(shù)據(jù)的安全保護。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應(yīng)用，密匙管理技術(shù)事實上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施

31、。數(shù)據(jù)加密技術(shù)主要是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性，能夠有效地防止機密信息的泄漏。另外，它也廣泛地被應(yīng)用于信息鑒別、數(shù)字簽名等技術(shù)中，用來防止電子欺騙，這對信息處理系統(tǒng)的安全起到極其重要的作用。 系統(tǒng)容災(zāi)技術(shù)一個完整的網(wǎng)絡(luò)安全體系，只有防范和檢測措施是不夠的，還必須具有災(zāi)難容忍和系統(tǒng)恢復(fù)能力。因為任何一種網(wǎng)絡(luò)安全設(shè)施都不可能做到萬無一失， 一旦發(fā)生漏防漏檢事件， 其后果將是災(zāi)難性的。此外，天災(zāi)人禍、不可抗力等所導(dǎo)致的事故也會對信息系統(tǒng)造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災(zāi)難，也能快速地恢復(fù)系統(tǒng)和數(shù)據(jù)，才能完整地保護網(wǎng)絡(luò)信息系統(tǒng)的安全。現(xiàn)階段主要有基于數(shù)據(jù)備份和基于系統(tǒng)容錯的系統(tǒng)容

32、災(zāi)技術(shù)。數(shù)據(jù)備份是數(shù)據(jù)保護的最后屏障，不允許有任何閃失。但離線介質(zhì)不能保證安全。數(shù)據(jù)容災(zāi)通過IP容災(zāi)技術(shù)來保證數(shù)據(jù)的安全。數(shù)據(jù)容災(zāi)使用兩個存儲器，在兩者之間建立復(fù)制關(guān)系，一個放在本地，另一個放在異地。本地存儲器供本地備份系統(tǒng)使用，異地容災(zāi)備份存儲器實時復(fù)制本地備份存儲器的關(guān)鍵數(shù)據(jù)。二者通過IP相連，構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng)，也能提供數(shù)據(jù)庫容災(zāi)功能。集群技術(shù)是一種系統(tǒng)級的系統(tǒng)容錯技術(shù)，通過對系統(tǒng)的整體冗余和容錯來解決系統(tǒng)任何部件失效而引起的系統(tǒng)死機和不可用問題。集群系統(tǒng)可以采用雙機熱備份、本地集群網(wǎng)絡(luò)和異地集群網(wǎng)絡(luò)等多種形式實現(xiàn)，分別提供不同的系統(tǒng)可用性和容災(zāi)性。其中異地集群網(wǎng)絡(luò)的容災(zāi)性是最好的。

33、存儲、備份和容災(zāi)技術(shù)的充分結(jié)合，構(gòu)成的數(shù)據(jù)存儲系統(tǒng)，是數(shù)據(jù)技術(shù)發(fā)展的重要階段。隨著存儲網(wǎng)絡(luò)化時代的發(fā)展，傳統(tǒng)的功能單一的存儲器，將越來越讓位于一體化的多功能網(wǎng)絡(luò)存儲器。 入侵檢測技術(shù)入侵檢測技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息（系統(tǒng)運行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等），并對這些信息進行分析和判斷。通過檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為，入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)攻擊或異常行為并進行阻斷、記錄、報警等響應(yīng)，從而將攻擊行為帶來的破壞和影響降至最低。同時，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術(shù)）、對攻擊行為或異常行為進行

34、響應(yīng)、審計和跟蹤等。典型的IDS系統(tǒng)模型包括4個功能部件：1事件產(chǎn)生器，提供事件記錄流的信息源。 2事件分析器，這是發(fā)現(xiàn)入侵跡象的分析引擎。 3響應(yīng)單元，這是基于分析引擎的分析結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。 4事件數(shù)據(jù)庫，這是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。4.4.1 入侵檢測系統(tǒng)的分類 入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)來源不同，可分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)。網(wǎng)絡(luò)型入侵檢測系統(tǒng)的實現(xiàn)方式是將某臺主機的網(wǎng)卡設(shè)置成混雜模式，監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進行判斷或直接在路由設(shè)備上放置入侵檢測模塊。一般來說，網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔負著保護整個網(wǎng)絡(luò)的任

35、務(wù)。 主機型入侵檢測系統(tǒng)是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當然也可以通過其它手段（如檢測系統(tǒng)調(diào)用）從所有的主機上收集信息進行分析。 入侵檢測系統(tǒng)根據(jù)檢測的方法不同可分為兩大類：異常和誤用。 異常入侵檢測根據(jù)用戶的異常行為或?qū)Y源的異常存放來判斷是否發(fā)生了入侵事件。 誤用入侵檢測通過檢查對照已有的攻擊特征、定義攻擊模式、比較用戶的活動來了解入侵。例如，著名的Internet蠕蟲事件是利用fingerd(FreeBSD)上的守護進程，允許用戶遠程讀取文件系統(tǒng)，因而存在可以查看文件內(nèi)容的漏洞和Sendmail(Linux上的守護進程，利用其漏洞可取得root權(quán)限)的漏洞進行攻擊。對這種攻擊可以

36、使用這種檢測方法。4.4.2 目前入侵檢測系統(tǒng)的缺陷 入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全防護的重要手段，目前的IDS還存在很多問題，有待于我們進一步完善。 1高誤報率 誤報率主要存在于兩個方面：一方面是指正常請求誤認為入侵行為；另一方面是指對IDS用戶不關(guān)心事件的報警。導(dǎo)致IDS產(chǎn)品高誤報率的原因是IDS檢測精度過低和用戶對誤報概念的不確定。 2缺乏主動防御功能 入侵檢測技術(shù)作為一種被動且功能有限的安全防御技術(shù)，缺乏主動防御功能。因此，需要在一代IDS產(chǎn)品中加入主動防御功能，才能變被動為主動。4.4.3 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動 防火墻是一個跨接多個物理網(wǎng)段的網(wǎng)絡(luò)安全關(guān)口設(shè)備。它可以對所有流經(jīng)它的

37、流量進行各種各樣最直接的操作處理，如無通告拒絕、ICMP拒絕、轉(zhuǎn)發(fā)通過（可轉(zhuǎn)發(fā)至任何端口）、各以報頭檢查修改、各層報文內(nèi)容檢查修改、鏈路帶寬資源管理、流量統(tǒng)計、訪問日志、協(xié)議轉(zhuǎn)換等。當我們實現(xiàn)防火墻與入侵檢測系統(tǒng)的相互聯(lián)動后，IDS就不必為它所連接的鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。因此，IDS可以將大部分的系統(tǒng)資源用于對采集報文的分析，而這正是IDS最眩目的亮點。IDS可以有足夠的時間和資源做些有效的防御工作，如入侵活動報警、不同業(yè)務(wù)類別的網(wǎng)絡(luò)流量統(tǒng)計、網(wǎng)絡(luò)多種流量協(xié)議恢復(fù)（實時監(jiān)控功能）等。IDS高智能的數(shù)據(jù)分析技術(shù)、詳盡的入侵知識描述庫可以提供比防火墻更為準確、更嚴格、更全面的訪問行為審查功能。 綜上所

38、述，防火墻與IDS在功能上可以形成互補關(guān)系。這樣的組合較以前單一的動態(tài)技術(shù)或靜態(tài)技術(shù)都有了較大的提高。使網(wǎng)絡(luò)的防御安全能力大大提高。防火墻與IDS的相互聯(lián)動可以很好地發(fā)揮兩者的優(yōu)點，淡化各自的缺陷，使防御系統(tǒng)成為一個更加堅固的圍墻。在未來的網(wǎng)絡(luò)安全領(lǐng)域中，動態(tài)技術(shù)與靜態(tài)技術(shù)的聯(lián)動將有很大的發(fā)展市場和空間。4.4.4 結(jié)語網(wǎng)絡(luò)安全是一個很大的系統(tǒng)工程，除了防火墻和入侵檢測系統(tǒng)之外，還包括反病毒技術(shù)和加密技術(shù)。反病毒技術(shù)是查找和清除計算機病毒技術(shù)。其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎。然后根據(jù)病毒特征碼數(shù)據(jù)庫來進行對比式查殺。加密技術(shù)主要是隱藏信息、防止對信息篡改或防止非法使用信息而轉(zhuǎn)換數(shù)

39、據(jù)的功能或方法。它是將數(shù)據(jù)信息轉(zhuǎn)換為一種不易解讀的模式來保護信息，除非有解密密鑰才能閱讀信息。加密技術(shù)包括算法和密鑰。算法是將普通的文本（或是可以理解的信息）與一串數(shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟。密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法。在安全保密中，可通過適當?shù)拿荑€加密技術(shù)和管理機制來保證網(wǎng)絡(luò)的信息通信安全。 漏洞掃描技術(shù) 漏洞掃描是自動檢測遠端或本地主機安全的技術(shù)，它查詢TCP/IP各種服務(wù)的端口，并記錄目標主機的響應(yīng)，收集關(guān)于某些特定項目的有用信息。這項技術(shù)的具體實現(xiàn)就是安全掃描程序。掃描程序可以在很短的時間內(nèi)查出現(xiàn)存的安全脆弱點。掃描程序開發(fā)者利用可得到的攻擊方法，并把它

40、們集成到整個掃描中，掃描后以統(tǒng)計的格式輸出，便于參考和分析。 物理安全為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴散。通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。為保證網(wǎng)絡(luò)的正常運行，在物理安全方面應(yīng)采取如下措施: 1產(chǎn)品保障方面:主要指產(chǎn)品采購、運輸、安裝等方面的安全措施。2運行安全方面:網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。3防電磁輻射方面:所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機。4保安方面:主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計算機

41、、安全設(shè)備的安全防護。 計算機網(wǎng)絡(luò)安全是個綜合性和復(fù)雜性的問題。面對網(wǎng)絡(luò)安全行業(yè)的飛速發(fā)展以及整個社會越來越快的信息化進程，各種新技術(shù)將會不斷出現(xiàn)和應(yīng)用。 網(wǎng)絡(luò)安全孕育著無限的機遇和挑戰(zhàn)，作為一個熱門的研究領(lǐng)域和其擁有的重要戰(zhàn)略意義，相信未來網(wǎng)絡(luò)安全技術(shù)將會取得更加長足的發(fā)展。 本章小結(jié)本章主要介紹了常用的幾種網(wǎng)絡(luò)安全防范技術(shù)，有防火墻技術(shù)，數(shù)據(jù)加密技術(shù)，系統(tǒng)容災(zāi)，入侵檢測技術(shù)，漏洞掃描技術(shù)，物理安全。防火墻是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)，防火墻這一節(jié)主要講述了防火墻的分類，主要功能和優(yōu)缺點以及防火墻的部署，數(shù)據(jù)加密技術(shù)是信息重新編碼從而隱藏信息內(nèi)容使非法用戶無法獲取信息的真實的一種技術(shù)

42、手段，是為了提供信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止外部獲析采用的手段之一。系統(tǒng)容災(zāi)技術(shù)是可以使系統(tǒng)和數(shù)據(jù)快速恢復(fù)的技術(shù)。入侵檢測技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息并對這些信息進行分析和判斷。入侵檢測技術(shù)可以即使發(fā)現(xiàn)攻擊和異常行為并進行阻斷記錄報警等響應(yīng)，從而使攻擊行為帶來的破壞影響降到最低，為了減少或干擾擴散出去的空間信號，通常是在物理上采取一定的防護措施保證網(wǎng)絡(luò)的正常運行。第5章 結(jié)束語與展望 論文總結(jié)隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。 大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲