第一篇：計算機網(wǎng)絡(luò)安全技術(shù)課程論文

淺談計算機網(wǎng)絡(luò)安全技術(shù)

學(xué)號******姓名 ** ．1摘要：隨著計算機網(wǎng)絡(luò)在人類生活領(lǐng)域中的廣泛應(yīng)用，針對計算機網(wǎng)絡(luò)的攻擊事件也隨之增加。網(wǎng)絡(luò)已經(jīng)無所不在的影響著社會的政治、經(jīng)濟、文化、軍事、意識形態(tài)和社會生活等各個方面。同時在全球范圍內(nèi)，針對重要信息資源和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的入侵行為和企圖入侵行為的數(shù)量仍在持續(xù)不斷增加，網(wǎng)絡(luò)攻擊與入侵行為對國家安全、經(jīng)濟和社會生活造成了極大的威脅。諸如此類的事件已給政府及企業(yè)造成了巨大的損失，甚至危害到國家的安全。網(wǎng)絡(luò)安全已成為世界各國當(dāng)今共同關(guān)注的焦點，網(wǎng)絡(luò)安全的重要性是不言而喻的，因此，對漏洞的了解及防范也相對重要起來。在我的這篇論文里，將綜合概括計算機網(wǎng)絡(luò)安全來源，計算機通信網(wǎng)絡(luò)安全的客觀因素，以及應(yīng)對計算機通信網(wǎng)絡(luò)安全的基本策略。

關(guān)鍵詞 ：網(wǎng)絡(luò)安全的來源 /計算機網(wǎng)絡(luò)安全/ 防護技術(shù)

．2引言

隨著信息時代的加速到來，人們對因特網(wǎng)的依賴也越來越強，網(wǎng)絡(luò)已成為人們生活中不可缺少的一部分。計算機網(wǎng)絡(luò)在為人們提供便利、帶來效益的同時，也使人類面臨著信息安全的巨大挑戰(zhàn)。

組織和單位的計算機網(wǎng)絡(luò)是黑客攻擊的主要目標。如果黑客組織能攻破組織及單位的計算機網(wǎng)絡(luò)防御系統(tǒng)，他就有訪問成千上萬計算機的可能性。據(jù)統(tǒng)計，近年來因網(wǎng)絡(luò)安全事故造成的損失每年高達上千億美元。計算機系統(tǒng)的脆弱性已為各國政府與機構(gòu)所認識，因此對于計算機網(wǎng)絡(luò)安全的建立與防護得到各國的極度關(guān)注。建立安全的全球性安全網(wǎng)絡(luò)是件迫不及待的任務(wù)，各國人們都在此投入大量人力，物力，財力來確保計算機網(wǎng)絡(luò)安全。

．3影響計算機通信網(wǎng)絡(luò)安全的因素分析

3.1影響計算機通信網(wǎng)絡(luò)安全的客觀因素。

3.1.1 網(wǎng)絡(luò)資源的共享性。計算機網(wǎng)絡(luò)最主要的一個功能就是“資源共享”。無論你是在天涯海角，還是遠在天邊，只要有網(wǎng)絡(luò)，就能找到你所需要的信息。所以，資源共享的確為我們提供了很大的便利，但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞也提供了機會。

3.1.2

網(wǎng)絡(luò)操作系統(tǒng)的漏洞。操作系統(tǒng)漏洞是指計算機操作系統(tǒng)本身所存在的問題或技術(shù)缺陷。由于網(wǎng)絡(luò)協(xié)議實現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種的缺陷和漏洞。

3.1.3網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷。網(wǎng)絡(luò)設(shè)計是指拓撲結(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。

3.1.4網(wǎng)絡(luò)的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的信息。

3.1.5惡意攻擊。惡意攻擊就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒．是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也越來越多，影響越來越大。無論是DOS 攻擊還是DDOS 攻擊，簡單的看，都只是一種破壞網(wǎng)絡(luò)服務(wù)的黑客方式，雖然具體的實現(xiàn)方式千變?nèi)f化，但都有一個共同點，就是其根本目的是使受害主機或網(wǎng)絡(luò)無法及時接收并處理外界請求，或無法及時回應(yīng)外界請求。具體表現(xiàn)方式有以下幾種：（1）制造大流量無用數(shù)據(jù)，造成通往被攻擊主機的網(wǎng)絡(luò)擁塞，使被攻擊主機無法正常和外界通信。（2）利用被攻擊主機提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請求，使被攻擊主機無法及時處理其它正常的請求。（3）利用被攻擊主機所提供服務(wù)程序或傳輸協(xié)議的本身實現(xiàn)缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯誤而分配大量系統(tǒng)資源，使主機處于掛起狀態(tài)甚至死機。

DOS 攻擊幾乎是從互聯(lián)網(wǎng)絡(luò)的誕生以來，就伴隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展而一直存在也不斷發(fā)展和升級。值得一提的是，要找DOS 的工具一點不難，黑客網(wǎng)絡(luò)社區(qū)都有共享黑客軟件的傳統(tǒng)，并會在一起交流攻擊的心得經(jīng)驗，你可以很輕松的從Internet 上獲得這些工具。所以任何一個上網(wǎng)者都可能構(gòu)成網(wǎng)絡(luò)安全的潛在威脅。DOS 攻擊給飛速發(fā)展的互聯(lián)網(wǎng)絡(luò)安全帶來重大的威脅。然而從某種程度上可以說，D0S 攻擊永遠不會消失而且從技術(shù)上目前沒有根本的解決辦法。

3.2影響計算機網(wǎng)絡(luò)通信安全的主觀因素。主要是計算機系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全觀念和必備技術(shù)，如安全意識、防范意思等網(wǎng)絡(luò)安全 4.1．防火墻技術(shù)

目前，防火墻有兩個關(guān)鍵技術(shù)，一是包過濾技術(shù)，二是代理服務(wù)技術(shù)。１）包過濾技術(shù)

包過濾技術(shù)主要是基于路由的技術(shù)，即依據(jù)靜態(tài)或動態(tài)的過濾邏輯，在對數(shù)據(jù)包進行轉(zhuǎn)發(fā)前根據(jù)數(shù)據(jù)包的目的地址、源地址及端口號對數(shù)據(jù)包進行過濾。包過濾不能對數(shù)據(jù)包中的用戶信息和文件信息進行識別，只能對整個網(wǎng)絡(luò)提供保護。一般說來，包過濾必須使用兩塊網(wǎng)卡，即一塊網(wǎng)卡連到公網(wǎng)，一塊網(wǎng)卡連到內(nèi)網(wǎng)，以實現(xiàn)對網(wǎng)上通信進行實時和雙向的控制。

包過濾技術(shù)具有運行速度快和基本不依賴于應(yīng)用的優(yōu)點，但包過濾只能依據(jù)現(xiàn)有數(shù)據(jù)包過濾的安全規(guī)則進行操作，而無法對用戶在某些協(xié)議上進行各種不同要求服務(wù)的內(nèi)容分別處理，即只是機械地允許或拒絕某種類型的服務(wù)，而不能對服務(wù)中的某個具體操作進行控制。因此，對于有些來自不安全的服務(wù)器的服務(wù)，僅依靠包過濾就不能起到保護內(nèi)部網(wǎng)的作用了。２）代理服務(wù)技術(shù)

代理服務(wù)又稱為應(yīng)用級防火墻、代理防火墻或應(yīng)用網(wǎng)關(guān)，一般針對某一特定的應(yīng)用來使用特定的代理模塊。代理服務(wù)由用戶端的代理客戶和防火墻端的代理服務(wù)器兩部分組成，其不僅能理解數(shù)據(jù)包頭的信息，還能理解應(yīng)用信息本身的內(nèi)容。當(dāng)一個遠程用戶連接到某個運行代理服務(wù)的網(wǎng)絡(luò)時，防火墻端的代理服務(wù)器即進行連接，ＩＰ報文即不再向前轉(zhuǎn)發(fā)而進入內(nèi)網(wǎng)。

代理服務(wù)通常被認為是最安全的防火墻技術(shù)，因為代理服務(wù)有能力支持可靠的用戶認證并提供詳細的注冊信息。

代理服務(wù)的代理工作在客戶機和服務(wù)器之間，具有完全控制會話和提供詳細日志、安全審計的功能，而且代理服務(wù)器的配置可以隱藏內(nèi)網(wǎng)的ＩＰ地址，保護內(nèi)部主機免受外部的攻擊。此外，代理服務(wù)還可以過濾協(xié)議，如過濾ＦＴＰ連接，拒絕使用ＰＵＴ命令等，以保證用戶不將文件寫到匿名的服務(wù)器上去。

代理服務(wù)在轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包的方式與包過濾防火墻也不同，包過濾防火墻是在網(wǎng)絡(luò)層轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包，而代理服務(wù)則在應(yīng)用層轉(zhuǎn)發(fā)網(wǎng)絡(luò)訪問。

以上介紹了兩種防火墻技術(shù)。由于此項技術(shù)在網(wǎng)絡(luò)安全中具有不可替代的作用，因而在最近十多年里得到了較大的發(fā)展，已有四類防火墻在流行，即包過濾防火墻、代理防火墻、狀態(tài)檢測防火墻和第四代防火墻。4.2．防病毒技術(shù)

Internet在為人類傳播和交換信息的同時，也為計算機病毒的傳播和發(fā)展提供了良好的平臺，針對網(wǎng)絡(luò)的病毒正以驚人的速度，向著更具破壞性、更加隱蔽、感染率更高、傳播速度更快、更多種類、適應(yīng)平臺更廣泛的方向發(fā)展。計算機網(wǎng)絡(luò)安全防范的一項重要內(nèi)容，就是在充分保證計算機網(wǎng)絡(luò)安全和對計算機網(wǎng)絡(luò)性能影響最小的前提下，有效地防止計算機病毒的侵襲。

4.3.加強計算機網(wǎng)絡(luò)安全的對策措施

4.3.1 加強網(wǎng)絡(luò)安全教育和管理

對工作人員結(jié)合機房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個方面安全問題，進行安全教育，提高工作人員的安全觀念和責(zé)任心；加強業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操作技能；教育工作人員嚴格遵守操作規(guī)程和各項保密規(guī)定，防止人為事故的發(fā)生。同時，要保護傳輸線路安全。對于傳輸線路，應(yīng)有露天保護措施或埋于地下，并要求遠離各種輻射源，以減少各種輻__射引起的數(shù)據(jù)錯誤；線纜鋪設(shè)應(yīng)當(dāng)盡可能使用光纖，以減少各種輻射引起的電磁泄漏和對發(fā)送線路的干擾。要定期檢查連接情況，以檢測是否有搭線竊聽、非法外連或破壞行為。

4.3.2 運用網(wǎng)絡(luò)加密技術(shù)

網(wǎng)絡(luò)信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種：①鏈接加密。在網(wǎng)絡(luò)節(jié)點間加密，在節(jié)點間傳輸加密的信息，傳送到節(jié)點后解密，不同節(jié)點間用不同的密碼。②節(jié)點加密。與鏈接加密類似，不同的只是當(dāng)數(shù)據(jù)在節(jié)點間傳送時，不用明碼格式傳送，而是用特殊的加密硬件進行解密和重加密，這種專用硬件通常放置在安全保險箱中。③首尾加密。對進入網(wǎng)絡(luò)的數(shù)據(jù)加密，然后待數(shù)據(jù)從網(wǎng)絡(luò)傳送出后再進行解密。網(wǎng)絡(luò)的加密技術(shù)很多，在實際應(yīng)用中，人們通常根據(jù)各種加密算法結(jié)合在一起使用，這樣可以更加有效地加強網(wǎng)絡(luò)的完全性。網(wǎng)絡(luò)加密技術(shù)也是網(wǎng)絡(luò)安全最有效的技術(shù)之一。既可以對付惡意軟件攻擊，又可以防止非授權(quán)用戶的訪問。

4.3.3 加強計算機網(wǎng)絡(luò)訪問控制：

訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問，也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點的安全控制。根據(jù)網(wǎng)絡(luò)安全的等級、網(wǎng)絡(luò)空間的環(huán)境不同，可靈活地設(shè)置訪問控制的種類和數(shù)量。

4.3.4 使用防火墻技術(shù)：

采用防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的主要手段。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。防火墻是在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng)，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機制，并且本身具有較強的抗攻擊能力。在邏輯上，防火墻是一個分離器、限制器和分析器，可以有效地監(jiān)控內(nèi)部網(wǎng)和Internet 之間的任何活動，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻的應(yīng)用可最大限度地保障網(wǎng)絡(luò)的正常運行，它可以起著提高內(nèi)部網(wǎng)絡(luò)的安全性、強化網(wǎng)絡(luò)安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡(luò)防毒、信息加密、存儲通信、授權(quán)、認證等重要作用。

總之，網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、管理、使用等諸多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施。因此，只有綜合采取多種防范措施，制定嚴格的保密政策和明晰的安全策略，才能完好、實時地保證信息的機密性、完整性和可用性，為網(wǎng)絡(luò)提供強大的安全保證。

05計算機網(wǎng)絡(luò)的安全策略

5.4.1物理安全策略。物理安全策略目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。物理安全策略還包括加強網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)的安全、可靠地運行，將起到十分有效的作用。網(wǎng)絡(luò)安全管理策略包括：確定安全管理等級和安全管理范圍；

5.4.2常用的網(wǎng)絡(luò)安全技術(shù)。

5.2.1 網(wǎng)絡(luò)加密技術(shù)。網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。網(wǎng)絡(luò)信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密，端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供加密保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供加密保護。用戶可根據(jù)網(wǎng)絡(luò)情況選擇上述三種加密方式。

如果按照收發(fā)雙方的密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。在實際應(yīng)用中，人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES 或者IDEA 來加密信息，而采用RSA 來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼算法和分組密碼算法，前者每次只加密一個比特。

5.2.2 防火墻技術(shù)。防火墻技術(shù)是設(shè)置在被保護網(wǎng)絡(luò)和外界之間的一道屏障，是通過計算機硬件和軟件的組合來建立起一個安全網(wǎng)關(guān)，從而保護內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵，它可以通過鑒別、限制，更改跨越防火墻的數(shù)據(jù)流，來保證通信網(wǎng)絡(luò)的安全對今后計算機通信網(wǎng)絡(luò)的發(fā)展尤為重要。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和狀態(tài)監(jiān)測型。

5.2.3 操作系統(tǒng)安全內(nèi)核技術(shù)。操作系統(tǒng)安全內(nèi)核技術(shù)除了在傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)上著手，人們開始在操作系統(tǒng)的層次上考慮網(wǎng)絡(luò)安全性，嘗試把系統(tǒng)內(nèi)核中可能引起安全性問題的部分從內(nèi)核中剔除出去，從而使系統(tǒng)更安全。操作系統(tǒng)平臺的安全措施包括：采用安全性較高的操作系統(tǒng)；對操作系統(tǒng)的安全配置；利用安全掃描系統(tǒng)檢查操作系統(tǒng)的漏洞等。美國國防部技術(shù)標準把操作系統(tǒng)的安全等級分成了D1、C1、C2、B1、B2、B3、A 級，其安全等級由低到高。目前主要的操作系統(tǒng)的安全等級都是C2 級,其特征包括：①用戶必須通過用戶注冊名和口令讓系統(tǒng)識別；②系統(tǒng)可以根據(jù)用戶注冊名決定用戶訪問資源的權(quán)限；③系統(tǒng)可以對系統(tǒng)中發(fā)生的每一件事進行審核和記錄；④可以創(chuàng)建其他具有系統(tǒng)管理權(quán)限的用戶。

5.2.5 身份驗證技術(shù)身份驗證技術(shù)。身份驗證技術(shù)身份驗證技術(shù)是用戶向系統(tǒng)出示自己身份證明的過程。身份認證是系統(tǒng)查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環(huán)節(jié)，人們常把這兩項工作統(tǒng)稱為身份驗證。它的安全機制在于首先對發(fā)出請求的用戶進行身份驗證，確認其是否為合法的用戶，如是合法用戶，再審核該用戶是否有權(quán)對他所請求的服務(wù)或主機進行訪問。從加密算法上來講，其身份驗證是建立在對稱加密的基礎(chǔ)上的。

5.2.6 網(wǎng)絡(luò)防病毒技術(shù)。在網(wǎng)絡(luò)環(huán)境下，計算機病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計算機網(wǎng)絡(luò)防病毒，那可能給社會造成災(zāi)難性的后果，因此計算機病毒的防范也是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)。網(wǎng)絡(luò)防病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁地掃描和監(jiān)測，工作站上采用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。防病毒必須從網(wǎng)絡(luò)整體考慮，從方便管理人員的能，在夜間對全網(wǎng)的客戶機進行掃描，檢查病毒情況；利用在線報警功能，網(wǎng)絡(luò)上每一臺機器出現(xiàn)故障、病毒侵入時，網(wǎng)絡(luò)管理人員都能及時知道，從而從管理中心處予以解決。06結(jié)束語

隨著信息技術(shù)的飛速發(fā)展，影響通信網(wǎng)絡(luò)安全的各種因素也會不斷強化，因此計算機網(wǎng)絡(luò)的安全問題也越來越受到人們的重視，以上我們簡要的分析了計算機網(wǎng)絡(luò)存在的幾種安全隱患，并探討了計算機網(wǎng)絡(luò)的幾種安全防范措施。

總的來說，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)，隨著計算機網(wǎng)絡(luò)技術(shù)的進一步發(fā)展，網(wǎng)絡(luò)安全防護技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

參考文獻

［1］吳鈺鋒，劉泉，李方敏.網(wǎng)絡(luò)安全中的密碼技術(shù)研究及其應(yīng)用［J］.真空電子技術(shù)，2004.［2］楊義先.網(wǎng)絡(luò)安全理論與技術(shù)［M］.北京：人民郵電出版社，2003.［3］李學(xué)詩.計算機系統(tǒng)安全技術(shù)［M］.武漢：華中理工大學(xué)出版社，2003.

第二篇：網(wǎng)絡(luò)安全技術(shù)課程論文

《網(wǎng)絡(luò)安全技術(shù)》課程論文

題

目：

網(wǎng)絡(luò)黑客 院

(部)：

商學(xué)院 專

業(yè)：

電子商務(wù) 班

級：

姓

名：

學(xué)

號：

指導(dǎo)教師：

完成日期：

網(wǎng) 絡(luò) 黑 客

摘要:隨著網(wǎng)絡(luò)在人們生活與工作的各方面使用的日益普遍，網(wǎng)絡(luò)安全問題已經(jīng)成為一 個被人們強烈關(guān)注的熱點。而其中黑客攻擊所造成的安全問題是很重要的一個方面。本文將介紹有關(guān)黑客使用的手段,造成的威脅與應(yīng)對的方法。隨著網(wǎng)絡(luò)在人們生活與工作的各方面使用的日益普遍，網(wǎng)絡(luò)安全問題已經(jīng)成為一 個被人們強烈關(guān)注的熱點。而其中黑客攻擊所造成的安全問題是很重要的一個方面。本文將介紹有關(guān)黑客使用的手段,造成的威脅與應(yīng)對的方法。關(guān)鍵詞：網(wǎng)絡(luò)安全，黑客技術(shù)，黑客，病毒，防火墻。

一、網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)軟件安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

二、黑客技術(shù)

2.1定義

黑客是英文“Hacker”的英文譯音,它起源于美國麻省理工學(xué)院的計算機實驗室中。早期黑客只是利用自己的智慧和特殊的技術(shù)，揭露軟件和網(wǎng)絡(luò)系統(tǒng)中的漏洞,以便讓制造商和網(wǎng)絡(luò)管理人員及時修補。然而,當(dāng)互聯(lián)網(wǎng)以遠比人們預(yù)料快的多的速度發(fā)展的時候,黑客原有的“揭露漏洞,不進 行破壞,幫助完善系統(tǒng)”的信條已發(fā)生了變異，現(xiàn)代的黑客已經(jīng)分化為三類,一是初級黑客, 這些人一般沒有特殊的企圖,只是出于好奇心,追求刺激,試探性地對網(wǎng)絡(luò)進行攻擊；二是 高水平黑客,這些人出于利益的驅(qū)動,為達到一定的目的,有針對性地對網(wǎng)絡(luò)進行攻擊；三 是職業(yè)黑客,這些人其本身可能就是恐怖分子,經(jīng)濟或政治間諜等,由于他們的水平極高, 攻擊具有很大的隱蔽性,因而造成的損失也最大?？傊?從發(fā)展趨勢看,黑客正在不斷地走向系統(tǒng)化,組織化和年輕化。

2.2中國黑客的現(xiàn)狀

如今國內(nèi)黑客站點門派繁多，但整體素質(zhì)不如人意，有的甚至低劣。主要體現(xiàn)在以下幾點：（1）叫法不一，很不正規(guī)。（2）技術(shù)功底薄弱，夸大作風(fēng)。

（3）內(nèi)容粗制濫造，應(yīng)付了事，原創(chuàng)作品少，且相互抄襲。曾有某篇文章說，中國的黑客一代不如一代。

（4）效率低，更新少，可讀性差，界面雜亂。有些站點很少更新，死鏈接，打不開，站點雜亂，經(jīng)常有死鏈接，作品抄襲。

（5）整體技術(shù)水平不高，研究層次級別低。（6）缺少一個統(tǒng)一協(xié)調(diào)中國黑客界行動發(fā)展的組織。2.3黑客的危害

由于成為黑客并實施黑客攻擊越來越容易,因此黑客攻擊的事件越來越多,造成的危害也就越來越嚴重,歸納起來,主要有以下幾種: 2.31 充當(dāng)政治工具

近年來,黑客活動開始染上政治色彩,用非法入侵到國防，政府等一些機密信息系統(tǒng)，盜取國家的軍 事和政治情報等做法危害國家安全。

2.32 用于戰(zhàn)爭

通過網(wǎng)絡(luò),利用黑客手段侵入敵方信息系統(tǒng)，獲取軍事信息，發(fā)布假信息,病毒,擾亂對 方系統(tǒng)等等。

2.33非法侵入他人的系統(tǒng),獲取個人隱私獲得信息以便利用其進行敲詐,勒索或損害他人的名譽,炸毀電子郵箱,使系統(tǒng)癱瘓等。

三、黑客的攻擊原理

3.1 拒絕服務(wù)攻擊。拒絕服務(wù)攻擊是一種利用 TCP/IP 協(xié)議的弱點和系統(tǒng)存在的漏洞，對網(wǎng)絡(luò)設(shè)備進行攻擊的行為。它以消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源為目的,對網(wǎng)絡(luò)服務(wù)器發(fā)送大量“請求”信息,造成網(wǎng)絡(luò)或服務(wù)器系統(tǒng)不堪重負,致使系統(tǒng)癱瘓而無法提供正常的網(wǎng)絡(luò)服務(wù)。

3.2 惡意程序攻擊

利用一些特殊的數(shù)據(jù)包傳送給目標主機,使其做出相對應(yīng)的響應(yīng),由于每種操作系統(tǒng)的響應(yīng)時間和方式都是不一樣的,黑客利用這種特征把得到的結(jié)果與準備好的數(shù)據(jù)庫中的資料相對照,從中便可輕而易舉地判斷出目標主機操作系統(tǒng)所用的版本及其他相關(guān)信息, 尤其是對于某些系統(tǒng),互聯(lián)網(wǎng)上已發(fā)布了其安全漏洞所在,但用戶由于不懂或一時疏忽未下載并安裝網(wǎng)上發(fā)布 的該系統(tǒng)的“補丁”程序,那么黑客就可以自己編寫一段程序進入到該系統(tǒng)進行破壞.還有一些黑客準備了后門程序, 即進入到目標系統(tǒng)后為方便下一次入侵而安裝在被攻擊計算機系統(tǒng) 內(nèi)的一些程序,為該計算機埋下了無窮無盡的隱患,給用戶造成了不可預(yù)測的損失。

3.3 欺騙攻擊

每一臺計算機都有一個IP 地址,登錄時服務(wù)器可以根據(jù)這個IP 地址來判斷來訪者的身份。TCP/IP 協(xié)議是用 IP 地址來作為網(wǎng)絡(luò)節(jié)點的惟一標識,因此攻擊者可以在一定范圍內(nèi)直接修改節(jié)點的 IP地 3

址,冒充某個可信節(jié)點的IP地址進行攻擊,欺騙攻擊就是一種利用假IP 地址騙取服務(wù)器的信任,實現(xiàn)非法登錄的入侵方法。

3.4 對用戶名和密碼進行攻擊。此種攻擊方式大致分為三種情況,一是對源代碼的攻擊,對于網(wǎng)站來說,由于ASP的方便易用,越來越多的網(wǎng)站后臺程序都使用ASP腳本語言。但是,由于ASP本身存在一些 安全漏洞,稍不小心就會給黑客提供可乘之機。第二種攻擊的方法就是監(jiān)聽,用戶輸入的密碼需要從用戶端傳送到服務(wù)器端進行系統(tǒng)對其的校驗,黑客能在兩端之間進行數(shù)據(jù)監(jiān)聽。一般系統(tǒng)在傳送密碼時都進行了加密處理, 即黑客所得到的數(shù)據(jù)中不會存在明文的密碼, 因此, 這種手法一般運用于局域網(wǎng),一旦成功,攻擊者將會得到很大的操作權(quán)益。第三是解密,就是使用窮舉法對已知用戶名的密碼進行解密。這種解密軟件對嘗試所有可能字符所組成的密碼。這種方法十分耗時,但在密碼設(shè)置簡單的情況下卻比較容易得手。

四、防范措施

4.1提高安全意識

（1）不要隨意打開來歷不明的電子郵件及文件，不要隨便運行不太了解的人給你的程序，比如“特洛伊”類黑客程序就需要騙你運行。

（2）避免從Internet下載不知名的軟件、游戲程序。即使從知名的網(wǎng)站下載的軟件也要及時用最新的病毒和木馬查殺軟件對軟件和系統(tǒng)進行掃描。

(3)密碼設(shè)置盡可能使用字母數(shù)字混排，單純的英文或者數(shù)字很容易窮舉。將常用的密碼設(shè)置為不同，防止被人查出一個，連帶到重要密碼。重要密碼最好經(jīng)常更換。

(4)及時下載安裝系統(tǒng)補丁程序。

(5)不隨便運行黑客程序，不少這類程序運行時會發(fā)出你的個人信息。

(6)在支持HTML的BBS上，如發(fā)現(xiàn)提交警告，先看源代碼，很可能是騙取密碼的陷阱。

4.2 使用防毒、防黑等防火墻軟件

（1）防火墻是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。

（2）防火墻的主要功能包括

1）、檢查所有從外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包；

2）、檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包。

3）、執(zhí)行安全策略，限制所有不符合安全策略要求的數(shù)據(jù)包通過。

4）、具有防攻擊能力，保證自身的安全性的能力。（3）防火墻具有以下優(yōu)點：

1）、防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)了集中地安全管理，可以強化網(wǎng)絡(luò)安全策略，比分散的主機管理更經(jīng)濟易行。2）、防火墻能防止非授權(quán)用戶進入內(nèi)部網(wǎng)絡(luò)。3）、防火墻可以方便地監(jiān)視網(wǎng)絡(luò)安全性并報警。

4）、可以作為部署網(wǎng)絡(luò)地址轉(zhuǎn)換的地點，利用NAT技術(shù)，可以緩解地址空間的短缺，隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)。

5）、由于所有的訪問都經(jīng)過防火墻，防火墻是審計和記錄網(wǎng)絡(luò)訪問和使用的最佳地方。

五、越來越不對稱的威脅

Internet上的安全是相互依賴的。每個Internet系統(tǒng)遭受攻擊的可能性取決于連接到全球Internet上的其他系統(tǒng)的安全狀態(tài)。由于攻擊技術(shù)的進步，一個攻擊者可以比較容易地利用分布式系統(tǒng)，對一個受害者發(fā)動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅的不對稱性將繼續(xù)增加。

總結(jié)

互聯(lián)網(wǎng)開辟了一個新的世界,它的出現(xiàn)和發(fā)展如此之快,遠遠超出了專家的預(yù)測,由于互聯(lián)網(wǎng)的開放性,隨意性,虛擬性,方便性在給人類提供了資源共享的有利條件和新的通信方式,給人們帶來了一個新的創(chuàng)造,展示和實現(xiàn)自我的虛擬世界,也帶來了負面影響。人們經(jīng)常使用的操作系統(tǒng)和互聯(lián)網(wǎng)的 TCP/IP 協(xié)議有著許多安全漏洞,使得黑客攻擊互聯(lián)網(wǎng)成為 可能.當(dāng)然,黑客攻擊事件的增多,破壞性增大,有系統(tǒng)本身不安全的因素,安全技術(shù)滯后 的因素,但同時,人的因素不容忽視。應(yīng)該讓所有網(wǎng)民知道互聯(lián)網(wǎng)是不安全的,使網(wǎng)民建立 起安全防范意識,并且使其懂得保護安全,防范黑客和病毒的最基本方法,比如怎樣設(shè)置一個相對安全的密碼,怎樣利用大眾軟件中一些安全設(shè)置,像 windows,outlook 等,怎樣防范病毒以及使用殺毒軟件等等,不要讓那些因為網(wǎng)民對安全的無知和不警惕,但實際非常容 易避免的不安全事件發(fā)生。拒絕黑客,保障互聯(lián)網(wǎng)的安全,需要定完善的安全管理機制和管理制度對黑客的犯罪的嚴厲打擊。

參考文獻

[1] 蔡立軍.計算機網(wǎng)絡(luò)安全技術(shù).中國水利水電出版社，第二版

[2] 孫華國．淺析網(wǎng)絡(luò)黑客．中國科技信息報，2005

[3] Jerry Lee Ford Z．個人防火墻．人民郵電出版社，2002

[4]余建斌.黑客的攻擊手段及用戶對策.北京人民郵電出版社，1998

第三篇：淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù) 論文

JIU JIANG UNIVERSITY

畢 業(yè) 論 文

題 目： 淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)

院 系： 信息科學(xué)與技術(shù)學(xué)院 專 業(yè)： 網(wǎng)絡(luò)系統(tǒng)管理 姓 名：

年 級： 指導(dǎo)老師 ：

二零一一年十一月二十日

摘 要

隨著時代的發(fā)展，Internet日益普及，網(wǎng)絡(luò)已經(jīng)成為信息資源的海洋，給人們帶來了極大的方便。但由于Internet是一個開放的，無控制機構(gòu)的網(wǎng)絡(luò)，經(jīng)常會受到計算機病毒、黑客的侵襲。它可使計算機和計算機網(wǎng)絡(luò)數(shù)據(jù)和文件丟失，系統(tǒng)癱瘓。因此，計算機網(wǎng)絡(luò)系統(tǒng)安全問題必須放在首位。作為保護局域子網(wǎng)的一種有效手段，防火墻技術(shù)備受睞。

本文主要闡述了網(wǎng)絡(luò)安全技術(shù)所要受到的各方面威脅以及自身存在的一些缺陷，所謂知己知彼，百戰(zhàn)不殆。只有了解了網(wǎng)絡(luò)安全存在的內(nèi)憂外患，才能更好的改善網(wǎng)絡(luò)安全技術(shù)，發(fā)展網(wǎng)絡(luò)安全技術(shù)。然后主要闡述防火墻在網(wǎng)絡(luò)安全中起到的巨大的作用，防火墻的優(yōu)缺點及各種類型防火墻的使用和效果。

計算機網(wǎng)絡(luò)技術(shù)的在飛速發(fā)展中，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要，只有熟悉了各種對網(wǎng)絡(luò)安全的威脅，熟悉各種保護網(wǎng)路安全的技術(shù)，我們才能更好的保護計算機和信息的安全。

關(guān)鍵字：計算機網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防范措施；防火墻技術(shù)

II

Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。

This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。

The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。

Key words: Computer network, Network security, The prevention measures, Firewall technology

III

目錄

摘 要..................................................................II Abstract..............................................................III 引言....................................................................5 第一章 網(wǎng)絡(luò)安全概述.....................................................6 1.1計算機網(wǎng)絡(luò)安全的含義...........................................................6 1.2網(wǎng)絡(luò)信息安全的主要威脅.........................................................6 1.2.1自然威脅...................................................................6 1.2.2人為威脅—黑客攻擊與計算機病毒.............................................6 1.3計算機網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因...............................................8 1.5影響計算機網(wǎng)絡(luò)安全的因素.......................................................8 第二章 計算機網(wǎng)絡(luò)安全防范策略..........................................10 2.1防火墻技術(shù)....................................................................10 2.2 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)..............................................12 2.3 入侵檢測技術(shù).................................................................13 2.4防病毒技術(shù)....................................................................13 2.4.1 對付病毒有以下四種基本方法.................................................14 2.5安全管理隊伍的建設(shè)............................................................17 第三章防火墻技術(shù)........................................................18 3.1防火墻的定義..................................................................18 3.2防火墻的功能..................................................................18 3.2.1防火墻是網(wǎng)絡(luò)安全的屏障......................................................18 3.2.2防火墻的種類................................................................18 3.3 防火墻的技術(shù)原理............................................................18 3.4 防火墻的應(yīng)用.................................................................19 3.4.1個人防火墻的應(yīng)用............................................................19 3.4.2防火墻技術(shù)在校園網(wǎng)中應(yīng)用....................................................23 結(jié)論...................................................................25 致謝...................................................................26 參考文獻...............................................................27 IV

引言

近年來，隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時，計算機網(wǎng)絡(luò)的安全性變得日益重要起來，由于計算機網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素，致使計算機網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。

為確保信息的安全與網(wǎng)絡(luò)暢通，研究計算機網(wǎng)絡(luò)的安全與防護措施已迫在眉捷，但網(wǎng)絡(luò)安全問題至今仍沒有能夠引起足夠的重視，更多的用戶認為網(wǎng)絡(luò)安全問題離自己尚遠，這一點從大約有40%以上的用戶特別是企業(yè)級用戶沒有安裝防火墻(Firewall)便可以窺見一斑，而所有的問題都在向大家證明一個事實，大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)，所以防火墻技術(shù)應(yīng)當(dāng)引起我們的注意和重視。

本文主要研究網(wǎng)絡(luò)安全的缺陷原由及網(wǎng)絡(luò)安全技術(shù)的原理和其他技術(shù)，如防火墻技術(shù)對網(wǎng)絡(luò)安全起到的不可忽視的影響。

第一章 網(wǎng)絡(luò)安全概述

1.1計算機網(wǎng)絡(luò)安全的含義

計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

1.2網(wǎng)絡(luò)信息安全的主要威脅

網(wǎng)絡(luò)安全所面臨的威脅來自很多方面，并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。

1.2.1自然威脅

自然威脅可能來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無目的的事件，有時會直接威脅網(wǎng)絡(luò)的安全，影響信息的存儲媒體。威脅分別有：

1.自然災(zāi)害（如雷電、地震、火災(zāi)、水災(zāi)等），物理損壞（如硬盤損壞、設(shè)備使用壽命到期、外力破損等），設(shè)備故障（如停電斷電、電磁干擾等），意外事故。

2.電磁泄漏（如偵聽微機操作過程）。

3.操作失誤（如刪除文件，格式化硬盤，線路拆除等），意外疏漏（如系統(tǒng)掉電、死機等系統(tǒng)崩潰）

4.計算機系統(tǒng)機房環(huán)境的安全。

1.2.2人為威脅—黑客攻擊與計算機病毒

人為威脅就是說對網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點【2】，以便達到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟上和政治上不可估量的損失。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種： ? 網(wǎng)絡(luò)缺陷

Intemet由于它的開放性迅速在全球范圍內(nèi)普及，但也正是因為開放性使其保護信息安全存在先天不足。Internet最初的設(shè)計考慮主要是考慮資源共享，基本沒有考慮安全問題，缺乏相應(yīng)的安全監(jiān)督機制。

? 黑客攻擊

自1998年后，網(wǎng)上的黑客越來越多，也越來越猖獗；與此同時黑客技術(shù)逐漸被越來越多的人掌握現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強，這是網(wǎng)絡(luò)安全的主要威脅之一。? 各種病毒

病毒時時刻刻威脅著整個互聯(lián)網(wǎng)。像Nimda和CodeRed的爆發(fā)更是具有深遠的影響，促使人們不得不在網(wǎng)絡(luò)的各個環(huán)節(jié)考慮對于各種病毒的檢測防治，對病毒徹底防御的重要性毋庸置疑。? 管理的欠缺及資源濫用

很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對于網(wǎng)絡(luò)安全的認識，管理上存在很多漏洞，特別是國內(nèi)的企業(yè)，只是提供了接入Internet的通道，對于網(wǎng)絡(luò)上黑客的攻擊缺乏基本的應(yīng)對措施，同時企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，這是造成網(wǎng)絡(luò)安全問題的根本原因。軟件的漏洞和后門：隨著CPU的頻率越來越高，軟件的規(guī)模越來越大，軟件系統(tǒng)中的漏洞也不可避免的存在，強大如微軟所開發(fā)的Windows也存在。各種各樣的安全漏洞和“后門”，這是網(wǎng)絡(luò)安全的主要威脅之一。? 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為

對于來自網(wǎng)絡(luò)內(nèi)部的攻擊，主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無能為力，這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息審計、IDS等主要針對內(nèi)部網(wǎng)絡(luò)安全的安全產(chǎn)品來抵御。

? 網(wǎng)絡(luò)資源濫用

網(wǎng)絡(luò)有了安全保證和帶寬管理，依然不能防止員工對網(wǎng)絡(luò)資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯(lián)網(wǎng)，盡量避免網(wǎng)絡(luò)對工作帶來負面影響。? 信息泄漏

惡意、過失的不合理信息上傳和發(fā)布，可能會造成敏感信息泄漏、有害信息擴散，危及社會、國家、體和個人利益。更有基于競爭需要，利用技術(shù)手段對目標機信息資源進行竊取。在眾多人為威脅中來自用戶和惡意軟件即計算機病毒的非法侵入嚴重，計算機病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴重的威脅和巨大的損失。? 操作系統(tǒng)存在的安全問題

操作系統(tǒng)是作為一個支撐軟件，使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運行的一個環(huán)境。操作系統(tǒng)提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開發(fā)設(shè)計的不周而留下的破綻，都給網(wǎng)絡(luò)安全留下隱患。

? 數(shù)據(jù)庫存儲的內(nèi)容存在的安全問題

數(shù)據(jù)庫管理系統(tǒng)大量的信息存儲在各種各樣的數(shù)據(jù)庫里面，包括我們上網(wǎng)看到的所有信息，數(shù)據(jù)庫主要考慮的是信息方便存儲、利用和管理，但在安全方面考慮的比較少。例如：授權(quán)用戶超出了訪問權(quán)限進行數(shù)據(jù)的更改活動；非法用戶繞過安全內(nèi)核，竊取信息。對于數(shù)據(jù)庫的安全而言，就是要保證數(shù)據(jù)的安全可靠和正確有效，即確保數(shù)據(jù)的安全性、完整性。數(shù)據(jù)的安全性是防止數(shù)據(jù)庫被破壞和非法的存取；數(shù)據(jù)庫的完整性是防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)。

1.3計算機網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因

①網(wǎng)絡(luò)安全天生脆弱

計算機網(wǎng)絡(luò)安全系統(tǒng)的脆弱性是伴隨計算機網(wǎng)絡(luò)一同產(chǎn)生的，換句話說，安全系統(tǒng)脆弱是計算機網(wǎng)絡(luò)與生俱來的致命弱點。在網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)特性決定了不可能無條件、無限制的提高其安全性能。要使網(wǎng)絡(luò)更方便快捷，又要保證網(wǎng)絡(luò)安全，這是一個非常棘手的“兩難選擇”，而網(wǎng)絡(luò)安全只能在“兩難選擇”所允許的范圍中尋找支撐點?？梢哉f世界上任何一個計算機網(wǎng)絡(luò)都不是絕對安全的

②黑客攻擊后果嚴重

近幾年，黑客猖狂肆虐，四面出擊，使交通通訊網(wǎng)絡(luò)中斷，軍事指揮系統(tǒng)失靈，電力供水系統(tǒng)癱瘓，銀行金融系統(tǒng)混亂??危及國家的政治、軍事、經(jīng)濟的安全與穩(wěn)定，在世界各國造成了難以估量的損失。

③網(wǎng)絡(luò)殺手集團化

目前，網(wǎng)絡(luò)殺手除了一般的黑客外，還有一批具有高精尖技術(shù)的“專業(yè)殺手”，更令人擔(dān)憂的是出現(xiàn)了具有集團性質(zhì)的“網(wǎng)絡(luò)恐怖分子”甚至政府出面組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”，其規(guī)模化、專業(yè)性和破壞程度都使其他黑客望塵莫及?？梢哉f，由政府組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”是當(dāng)前網(wǎng)絡(luò)安全的最大隱患。目前，美國正開展用無線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡(luò)方式把病毒植入敵方計算機主機或各類傳感器、網(wǎng)橋中的研究以伺機破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡(luò)系統(tǒng)。另外，為達到預(yù)定目的，對出售給潛在敵手的計算機芯片進行暗中修改，在CPU中設(shè)置“芯片陷阱”，可使美國通過因特網(wǎng)發(fā)布指令讓敵方電腦停止工作，以起到“定時炸彈”的作用。

1.5影響計算機網(wǎng)絡(luò)安全的因素

①網(wǎng)絡(luò)資源的共享性

資源共享是計算機網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯(lián)網(wǎng)需求的日益增長，外部服務(wù)請求不可能做到完全隔離，攻擊者利用服務(wù)請求的機會很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。

②網(wǎng)絡(luò)的開放性

網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。

③網(wǎng)絡(luò)操作系統(tǒng)的漏洞

網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實現(xiàn)的最終載體之一，它不僅

負責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。

④網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷

網(wǎng)絡(luò)設(shè)計是指拓撲結(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況下，還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計則會成為網(wǎng)絡(luò)的安全威脅。

⑤惡意攻擊

就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒，這是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。

第二章 計算機網(wǎng)絡(luò)安全防范策略

計算機網(wǎng)絡(luò)安全從技術(shù)上來說，主要由防病毒、防火墻、入侵檢測等多個安全組件組成，任何一個單獨的組件都無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)等，以下就此幾項技術(shù)分別進行分析。2.1防火墻技術(shù)

防火墻

防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續(xù)控制引擎。在電腦術(shù)語中，當(dāng)然就不是這個意思了，我們可 以類比來理解，在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。

防火墻（FireWall）成為近年來新興的保護計算機網(wǎng)絡(luò)安全技術(shù)性措施。它是一種隔離控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。作為Internet網(wǎng)的安全性保護軟件，F(xiàn)ireWall已經(jīng)得到廣泛的應(yīng)用。通常企業(yè)為了維護內(nèi)部的信息系統(tǒng)安全，在企業(yè)網(wǎng)和Internet間設(shè)立FireWall軟件。企業(yè)信息系統(tǒng)對于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應(yīng)用。如果在某一臺IP主機上有需要禁止的信息或危險的用戶，則可以通過設(shè)置使用FireWall過濾掉從該主機發(fā)出的包。如果一個企業(yè)只是使用Internet的電子郵件和WWW服務(wù)器向外部提供信息，那么就可以在FireWall上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。這對于路由器來說，就要不僅分析IP層的信息，而且還要進一步了解TCP傳輸層甚至應(yīng)用層的信息以進行取舍。FireWall一般安裝在路由器 上以保護一個子網(wǎng)，也可以安裝在一臺主機上，保護這臺主機不受侵犯。

為了讓大家更好地使用防火墻，我們從反面列舉4個有代表性的失敗案例。例1：未制定完整的企業(yè)安全策略

網(wǎng)絡(luò)環(huán)境：某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表揚了負責(zé)防火墻安裝實施的信息部。

該企業(yè)網(wǎng)絡(luò)環(huán)境如圖2.1所示：

圖2.1 該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機是帶路由模塊的三層交換機，出口通過路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個VLAN，VLAN

1、VLAN 2和VLAN 3分配給不同的部門使用，不同的VLAN之間根據(jù)部門級別設(shè)置訪問權(quán)限；VLAN 4分配給交換機出口地址和路由器使用；VLAN 5分配給公共服務(wù)器使用。在沒有加入防火墻之前，各個VLAN中的PC機能夠通過交換機和路由器不受限制地訪問Internet。加入防火墻后，給防火墻分配一個VLAN 4中的空閑IP地址，并把網(wǎng)關(guān)指向路由器；將VLAN 5接入到防火墻的一個網(wǎng)口上。這樣，防火墻就把整個網(wǎng)絡(luò)分為3個區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。

問題描述：防火墻投入運行后，實施了一套較為嚴格的安全規(guī)則，導(dǎo)致公司員工無法使用QQ聊天軟件，于是沒過多久就有員工自己撥號上網(wǎng)，導(dǎo)致感染了特洛依木馬和蠕蟲等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。

問題分析：我們知道，防火墻作為一種保護網(wǎng)絡(luò)安全的設(shè)備，必須部署在受保護網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達到將入侵者拒之門外的目的。如果被保護網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺防火墻是不夠的。在本案例中，防火墻投入使用后，沒有禁止私自撥號上網(wǎng)行為，使得許多PC機通過電話線和Internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過攻擊這些PC機然后進一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開了防火墻。

解決辦法：根據(jù)自己企業(yè)網(wǎng)的特點，制定一整套安全策略，并徹底地貫徹實施。比如說，制定一套安全管理規(guī)章制度，嚴禁員工私自撥號上網(wǎng);同時封掉撥號上網(wǎng)的電話號碼，并購買檢測撥號上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時間段生效的安全規(guī)則，在非工作時間打開QQ使用的TCP/UDP端口，使得企業(yè)員工可以在工余時間使用QQ聊天軟件。

例2：未考慮與其他安全產(chǎn)品的配合使用

問題描述：某公司購買了防火墻后，緊接著又購買了漏洞掃描和IDS（入侵檢測系統(tǒng)）產(chǎn)品。當(dāng)系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后，必須每次都要手工調(diào)

整防火墻安全策略，使管理員工作量劇增，而且經(jīng)常調(diào)整安全策略，也給整個網(wǎng)絡(luò)帶來不良影響。

問題分析：選購防火墻時未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動功能，導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。

解決辦法：購買防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號，然后確定所要購買的防火墻是否有聯(lián)動功能（即是否支持其他安全產(chǎn)品，尤其是IDS產(chǎn)品），支持的是哪些品牌和型號的產(chǎn)品，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動的防火墻。這樣，當(dāng)IDS發(fā)現(xiàn)入侵行為后，在通知管理員的同時發(fā)送消息給防火墻，由防火墻自動添加相關(guān)規(guī)則，把入侵者拒之門外。

例3：未經(jīng)常維護升級防火墻 問題描述：某政府機構(gòu)購置防火墻后已安全運行一年多，由于該機構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定，沒有什么變化，各種應(yīng)用也運行穩(wěn)定，因此管理員逐漸放松了對防火墻的管理，只要網(wǎng)絡(luò)一直保持暢通即可，不再關(guān)心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級。而且由于該機構(gòu)處于政府專網(wǎng)內(nèi)，與Internet物理隔離，防火墻無法實現(xiàn)在線升級。因此該機構(gòu)的防火墻軟件版本一直還是購買時的舊版本，雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級包，但從未手工升級過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中，政府專網(wǎng)也受到蠕蟲病毒的感染，該機構(gòu)防火墻因為沒有及時升級，無法抵御這種蠕蟲病毒的攻擊，造成整個機構(gòu)的內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡(luò)陷于癱瘓之中。

問題分析：安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具，必須不斷地升級與更新才能應(yīng)付不斷發(fā)展的入侵手段，過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說，應(yīng)當(dāng)時刻留心廠家發(fā)布的升級包，及時給防火墻打上最新的補丁。

解決辦法：及時維護防火墻，當(dāng)本機構(gòu)發(fā)生人員變動、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時，要及時調(diào)整防火墻的安全規(guī)則，及時升級防火墻。

從以上三個案例我們可以得出一些結(jié)論：防火墻只是保證安全的一種技術(shù)手段，要想真正實現(xiàn)安全，安全策略是核心問題。保護網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無縫地結(jié)合起來，充分利用它們各自的優(yōu)點，才能最大限度地保證網(wǎng)絡(luò)安全。而保護網(wǎng)絡(luò)安全是動態(tài)的過程，防火墻需要積極地維護和升級。

2.2 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)

與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊，雖無法避免，但卻可以有效地檢測；而對于被動攻擊，雖無法檢測，但卻可以避免，實現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實質(zhì)上是對以符號為基礎(chǔ)的數(shù)據(jù)進行移位和置換的變換算法，這種變換是對稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對稱加密算法中最具代表性的算法。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法

2.3 入侵檢測技術(shù)

入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)是從多種計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊：在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入策略集中，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵【6】。

入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測技術(shù)的功能主要體現(xiàn)在以下方面： 1)分析用戶及系統(tǒng)活動，查找非法用戶和合法用戶的越權(quán)操作； 2)檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞； 3)識別反映已知進攻的活動模式并向相關(guān)人上報警； 4)對異常行為模式的統(tǒng)計分析；

5)能夠?qū)崟r地對檢測到的入侵行為進行反應(yīng)； 6)評估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 7)可以發(fā)現(xiàn)新的攻擊模式； 入侵檢測方法

方法有很多，如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應(yīng)用層入侵檢測中已有實現(xiàn)

1.監(jiān)視、分析用戶及系統(tǒng)活動；

2.系統(tǒng)構(gòu)造和弱點的審計；

3.識別反映已知進攻的活動模式并向相關(guān)人士報警；

4.異常行為模式的統(tǒng)計分析；

5.評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

6.操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。

入侵檢測技術(shù)同樣存在問題

1.現(xiàn)有的入侵檢測系統(tǒng)檢測速度遠小于網(wǎng)絡(luò)傳輸速度, 導(dǎo)致誤報率和漏報率

2.入侵檢測產(chǎn)品和其它網(wǎng)絡(luò)安全產(chǎn)品結(jié)合問題, 即期間的信息交換,共同協(xié)作發(fā)現(xiàn)攻擊并阻擊攻擊

3.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)對加密的數(shù)據(jù)流及交換網(wǎng)絡(luò)下的數(shù)據(jù)流不能進行檢測, 并且其本身構(gòu)建易受攻擊

4.入侵檢測系統(tǒng)體系結(jié)構(gòu)問題

2.4 防病毒技術(shù)

計算機病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計算機病毒對系統(tǒng)的傳染和

破壞。實際上這是一種動態(tài)判定技術(shù)，即一種行為規(guī)則判定技術(shù)。也就是說，計算機病毒的預(yù)防是采用對病毒的規(guī)則進行分類處理，而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認定是計算機病毒。具體來說，計算機病毒的預(yù)防是通過阻止計算機病毒進入系統(tǒng)內(nèi)存或阻止計算機病毒對磁盤的操作，尤其是寫操作。

預(yù)防病毒技術(shù)包括：磁盤引導(dǎo)區(qū)保護、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。例如，大家所熟悉的防病毒卡，其主要功能是對磁盤提供寫保護，監(jiān)視在計算機和驅(qū)動器之間產(chǎn)生的信號。以及可能造成危害的寫命令，并且判斷磁盤當(dāng)前所處的狀態(tài)：哪一個磁盤將要進行寫操作，是否正在進行寫操作，磁盤是否處于寫保護等，來確定病毒是否將要發(fā)作。計算機病毒的預(yù)防應(yīng)用包括對已知病毒的預(yù)防和對未知病毒的預(yù)防兩個部分。目前，對已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動態(tài)判定技術(shù)。

一、計算機病毒的預(yù)防技術(shù)

計算機病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計算機病毒對系統(tǒng)的傳染和破壞。實際上這是一種動態(tài)判定技術(shù)，即一種行為規(guī)則判定技術(shù)。也就是說，計算機病毒的預(yù)防是采用對病毒的規(guī)則進行分類處理，而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認定是計算機病毒。具體來說，計算機病毒的預(yù)防是通過阻止計算機病毒進入系統(tǒng)內(nèi)存或阻止計算機病毒對磁盤的操作，尤其是寫操作。

預(yù)防病毒技術(shù)包括：磁盤引導(dǎo)區(qū)保護、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。例如，大家所熟悉的防病毒卡，其主要功能是對磁盤提供寫保護，監(jiān)視在計算機和驅(qū)動器之間產(chǎn)生的信號。以及可能造成危害的寫命令，并且判斷磁盤當(dāng)前所處的狀態(tài)：哪一個磁盤將要進行寫操作，是否正在進行寫操作，磁盤是否處于寫保護等，來確定病毒是否將要發(fā)作。計算機病毒的預(yù)防應(yīng)用包括對已知病毒的預(yù)防和對未知病毒的預(yù)防兩個部分。目前，對已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動態(tài)判定技術(shù)。

二、檢測病毒技術(shù)

計算機病毒的檢測技術(shù)是指通過一定的技術(shù)手段判定出特定計算機病毒的一種技術(shù)。它有兩種：一種是根據(jù)計算機病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù)。另一種是不針對具體病毒程序的自身校驗技術(shù)。即對某個文件或數(shù)據(jù)段進行檢驗和計算并保存其結(jié)果，以后定期或不定期地以保存的結(jié)果對該文件或數(shù)據(jù)段進行檢驗，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段完整性已遭到破壞，感染上了病毒，從而檢測到病毒的存在。

三、清除病毒技術(shù)

計算機病毒的清除技術(shù)是計算機病毒檢測技術(shù)發(fā)展的必然結(jié)果，是計算機病毒傳染程序的一種逆過程。目前，清除病毒大都是在某種病毒出現(xiàn)后，通過對其進行分析研究而研制出來的具有相應(yīng)解毒功能的軟件。這類軟件技術(shù)發(fā)展往往是被動的，帶有滯后性。而且由于計算機軟件所要求的精確性，解毒軟件有其局限性，對有些變種病毒的清除無能為力。目前市場上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV，及我國的LANClear和Kill89等產(chǎn)品均采用上述三種防病毒技術(shù)

2.4.1 對付病毒有以下四種基本方法

1、基于網(wǎng)絡(luò)目錄和文件安全性方法

以NetWare為例，在NetWare中，提供了目錄和文件訪問權(quán)限與屬性兩種安全性措施。“訪問權(quán)限有：防問控制權(quán)、建立權(quán)、刪除權(quán)、文件掃描權(quán)、修改權(quán)、讀權(quán)、寫權(quán)和管理權(quán)。屬性有：需歸檔、拷貝禁止、刪除禁止、僅執(zhí)行、隱含、索引、清洗、讀審記、寫審記、只讀、讀寫、改名禁止、可共享、系統(tǒng)和交易。屬性優(yōu)先于訪問權(quán)限。根據(jù)用戶對目錄和文件的操作能力，分配不同的訪問權(quán)限和屬性。例如，對于公用目錄中的系統(tǒng)文件和工具軟件，應(yīng)該只設(shè)置只讀屬性，系統(tǒng)程序所在的目錄不要授予修改權(quán)和管理權(quán)。這樣，病毒就無法對系統(tǒng)程序?qū)嵤└腥竞图纳?，其它用戶也就不會感染病毒?/p>

由此可見，網(wǎng)絡(luò)上公用目錄或共享目錄的安全性措施，對于防止病毒在網(wǎng)上傳播起到積極作用。至于網(wǎng)絡(luò)用戶的私人目錄，由于其限于個別使用，病毒很難傳播給其它用戶。采用基于網(wǎng)絡(luò)目錄和文件安全性的方法對防止病毒起到了一定作用，但是這種方法畢竟是基于網(wǎng)絡(luò)操作系統(tǒng)的安全性的設(shè)計，存在著局限性。現(xiàn)在市場上還沒有一種能夠完全抵御計算機病毒侵染的網(wǎng)絡(luò)操作系統(tǒng)，從網(wǎng)絡(luò)安全性措施角度來看，在網(wǎng)絡(luò)上也是無法防止帶毒文件的入侵。

2、采用工作站防病毒芯片

這種方法是將防病毒功能集成在一個芯片上，安裝在網(wǎng)絡(luò)工作站上，以便經(jīng)常性地保護工作站及其通往服務(wù)器的路徑。工作站是網(wǎng)絡(luò)的門戶，只要將這扇門戶關(guān)好，就能有效地防止病毒的入侵。將工作站存取控制與病毒保護能力合二為一插在網(wǎng)卡的EPROM槽內(nèi)，用戶也可以免除許多繁瑣的管理工作。

Trend Micro Devices公司解決的辦法是基于網(wǎng)絡(luò)上每個工作站都要求安裝網(wǎng)絡(luò)接口卡網(wǎng)絡(luò)接口卡上有一個Boot Rom芯片，因為多數(shù)網(wǎng)卡的Boot Rom并沒有充分利用，都會剩余一些使用空間，所以如果安全程序夠小的話，就可以把它安裝在網(wǎng)絡(luò)的Boot Rom的剩余空間內(nèi)，而不必另插一塊芯片。

市場上Chipway防病毒芯片就是采用了這種網(wǎng)絡(luò)防病毒技術(shù)。在工作站DOS引導(dǎo)過程中，ROMBIOS，Extended BIOS裝入后，Partition Table裝入之前，Chipway獲得控制權(quán)，這樣可以防止引導(dǎo)型病毒。Chipway的特點是：①不占主板插槽，避免了沖突；②遵循網(wǎng)絡(luò)上國際標準，兼容性好；③具有他工作站防毒產(chǎn)品的優(yōu)點。但目前，Chipway對防止網(wǎng)絡(luò)上廣為傳播的文件型病毒能力還十分有限。

3、采用Station Lock網(wǎng)絡(luò)防毒方法

Station Lock是著名防病毒產(chǎn)品開發(fā)商Trend Micro Devices公司的新一代網(wǎng)絡(luò)防病毒產(chǎn)品。其防毒概念是建立在”病毒必須執(zhí)行有限數(shù)量的程序之后，才會產(chǎn)生感染效力“的基礎(chǔ)之上。例如，病毒是一個不具自我辨別能力的小程序，在病毒傳染過程中至少必須攔截一個DOS中斷請求，而且必須試圖改變程序指針，以便讓系統(tǒng)優(yōu)先執(zhí)行病毒程序從而獲得系統(tǒng)控制權(quán)。引導(dǎo)型病毒必須使用系統(tǒng)的BIOS功能調(diào)用，文件型病毒必須將自己所有的程序代碼拷貝到另一個系統(tǒng)執(zhí)行文件時才能復(fù)制感染?；旌闲筒《竞投嘈误w病毒在實施感染之前也必須獲取系統(tǒng)控制權(quán)，才能運行病毒體程序而實施感染。Station Lock就是通過這些特點，用間接方法觀察，精確地預(yù)測病毒的攻擊行為。其作用對象包括多型體病毒和未來型病毒。

Station Lock也能處理一些基本的網(wǎng)絡(luò)安全性問題，例如存取控制、預(yù)放未授權(quán)拷貝以及在一個點對點網(wǎng)絡(luò)環(huán)境下限制工作站資源相互存取等。Station Lock能根據(jù)病毒活動辯別可能的病毒攻擊意圖，并在它造成任

何破壞之前予以攔截。由于Station Lock是在啟動系統(tǒng)開始之前，就接管了工作站上的硬件和軟件，所以病毒攻擊Station Lock是很困難的。Station Lock是目前網(wǎng)絡(luò)環(huán)境下防治病毒比較有效的方法。

4、基于服務(wù)器的防毒技術(shù)

服務(wù)器是網(wǎng)絡(luò)的核心，一旦服務(wù)器被病毒感染，就會使服務(wù)器無法啟動，整個網(wǎng)絡(luò)陷于癱瘓，造成災(zāi)難性后果。目前基于服務(wù)器的防治病毒方法大都采用了NLM(NetWare Load Module)技術(shù)以NLM模塊方式進行程序設(shè)計，以服務(wù)器為基礎(chǔ)，提供實時掃描病毒能力。市場上的產(chǎn)品如Central Point公司的AntiVirus for Networks，Intel公司的LANdesk Virus Protect以及南京威爾德電腦公司的Lanclear for NetWare等都是采用了以服務(wù)器為基礎(chǔ)的防病毒技術(shù)。這些產(chǎn)品的目的都是保護服務(wù)器，使服務(wù)器不被感染。這樣，病毒也就失去了傳播途徑，因而從根本上杜絕了病毒在網(wǎng)上蔓延。

(1)對服務(wù)器中所有文件掃描

這一方法是對服務(wù)器的所有文件進行集中檢查看其是否帶毒，若有帶毒文件，則提供給網(wǎng)絡(luò)管理員幾種處理方法。允許用戶清除病毒，或刪除帶毒文件，或更改帶毒文件名成為不可執(zhí)行文件名并隔離到一個特定的病毒文件目錄中。

(2)實時在線掃描

網(wǎng)絡(luò)防病毒技術(shù)必須保持全天24小時監(jiān)控網(wǎng)絡(luò)是否有帶毒文件進入服務(wù)器。為了保證病毒監(jiān)測實時性，通常采用多線索的設(shè)計方法，讓檢測程序作為一個隨時可以激活的功能模塊，且在NetWare運行環(huán)境中，不影響其它線索的運行。這往往是設(shè)計一個NLM最重要的部分，即多線索的調(diào)度。實時在線掃描能非常及時地追蹤病毒的活動，及時告之網(wǎng)絡(luò)管理員和工作站用戶。

(3)掃描選擇

該功能允許網(wǎng)絡(luò)管理員定期檢查服務(wù)器中是否帶毒，例如可按每月、每星期、每天集中掃描一下網(wǎng)絡(luò)服務(wù)器，這樣就使網(wǎng)絡(luò)用戶擁有極大的操作選擇余地。

(4)自動報告功能及病毒存檔

當(dāng)網(wǎng)絡(luò)用戶將帶毒文件有意或無意地拷入服務(wù)器中時，網(wǎng)絡(luò)防病毒系統(tǒng)必須立即通知網(wǎng)絡(luò)管理員，或涉嫌病毒的使用者，同時自己記入病毒檔案。病毒檔案一般包括：病毒類型、病毒名稱、帶毒文件所存的目錄及工作站標識等，另外，記錄對病毒文件處理方法。

(5)工作站掃描

基于服務(wù)器的防病毒軟件不能保護本地工作站的硬盤，有效的方法是在服務(wù)器上安裝防毒軟件，同時在上網(wǎng)的工作站內(nèi)存中調(diào)入一個常駐掃毒程序，實時檢測在工作站中運行的程序。如LANdesk Virus Protect采用Lpscan，而LANClear for NetWare采用world程序等。

(6)對用戶開放的病毒特征接口

大家知道病毒及其變種層出不窮。據(jù)有關(guān)資料報道，截止1994年2月25日，全世界流傳的MSDOS病毒達2700多種。如何使防病毒系統(tǒng)能對付不斷出現(xiàn)的新病毒？這要求開發(fā)商能夠使自己的產(chǎn)品具有自動升級功能，也就是真正交給網(wǎng)絡(luò)

用戶防治病毒的一把金鑰匙。其典型的做法是開放病毒特征數(shù)據(jù)庫。用戶隨時將遇到的帶毒文件，經(jīng)過病毒特征分析程序，自動將病毒特征加入特征庫，以隨時增強抗毒能力。當(dāng)然這一工作難度極大，需要不懈的努力。在上述四種網(wǎng)絡(luò)防毒技術(shù)中，Station Lock是一種針對病毒行為的防治方法，StationLock目前已能提供Intel以太網(wǎng)絡(luò)接口卡支持，而且未來還將支持各種普及型的以太令牌環(huán)(Token-Ring)網(wǎng)絡(luò)接口卡?；诜?wù)器的防治病毒方法，表現(xiàn)在可以集中式掃毒，能實現(xiàn)實時掃描功能，軟件升級方便。特別是當(dāng)連網(wǎng)的機器很多時，利用這種方法比為每臺工作站都安裝防病毒產(chǎn)品要節(jié)省成本。其代表性的產(chǎn)品有LANdesk、LANClear for NetWare等。

2.5 安全管理隊伍的建設(shè)

在計算機網(wǎng)絡(luò)系統(tǒng)中，絕對的安全是不存在的，制定健全的安全管理體制是計算機網(wǎng)絡(luò)安全的重要保證，只有通過網(wǎng)絡(luò)管理人員與使用人員的共同努力，運用一切可以使用的工具和技術(shù)，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。同時，要不斷地加強計算機信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強安全技術(shù)建設(shè)，強化使用人員和管理人員的安全防范意識。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進行安全管理工作，應(yīng)該對本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴肅處理。只有共同努力，才能使計算機網(wǎng)絡(luò)的安全可靠得到保障，從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。

第三章 防火墻技術(shù)

3.1 防火墻的定義

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡(luò)的安全政策控制(允許拒絕監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

Internet防火墻是一個或一組系統(tǒng)，它能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，用于加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取，防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的服務(wù)，以及哪些外部服務(wù)何時可以被內(nèi)部人員訪問。要使一個防火墻有效，所有來自和去往Internet的信息都必須經(jīng)過防火墻并接受檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。但是，防火墻系統(tǒng)一旦被攻擊突破或迂回繞過，就不能提供任何保護了。3.2防火墻的功能

3.2.1 防火墻是網(wǎng)絡(luò)安全的屏障

防火墻(作為阻塞點,控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。

防火墻可以強化網(wǎng)絡(luò)安全策略,通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認證審計等)配置在防火墻上，對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計:所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù),當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。防止內(nèi)部信息的外泄，通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。3.2.2防火墻的種類

防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同,總體來講可分為二大類:分組過濾,應(yīng)用代理。

分組過濾(Packetfiltering);作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號,協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

應(yīng)用代理(ApplicationProxy):也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway), 它作用在應(yīng)用層,其特點是完全 “ 阻隔 ” 了網(wǎng)絡(luò)通信流通過對每種應(yīng)用服務(wù)編制專門的代理程序,實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用,實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)【8】。

3.3 防火墻的技術(shù)原理

目前，防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同，大致可分為三種：（1）包過濾技術(shù)

包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè) 置好的過濾規(guī)則，通

過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會被防火墻過濾掉，由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通?？梢赃^濾基于某些或所有下列信息組的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術(shù)實際上是一種基于路由器的技術(shù)，其最大優(yōu)點就是價格便宜，實現(xiàn)邏輯簡單便于安裝和使用。

缺點：1）過濾規(guī)則難以配置和測試。2）包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息，訪問信息有限，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。3）對一些協(xié)議，如UDP和RPC難以有效的過濾。

（2）代理技術(shù)

代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個網(wǎng)絡(luò)之間設(shè)置一個“中間檢查站”，兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個檢查站相互通信，但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務(wù)器，它運行在兩個網(wǎng)絡(luò)之間，對網(wǎng)絡(luò)之間的每一個請求進行檢查。當(dāng)代理服務(wù)器接收到用戶請求后，會檢查用戶請求合法性。若合法，則把請求轉(zhuǎn)發(fā)到真實的服務(wù)器上，并將答復(fù)再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針對某種應(yīng)用服務(wù)而寫的，工作在應(yīng)用層。

優(yōu)點：它將內(nèi)部用戶和外界隔離開來，使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與包過濾技術(shù)相比，代理技術(shù)是一種更安全的技術(shù)【9】。

缺點：在應(yīng)用支持方面存在不足，執(zhí)行速度較慢。（3）狀態(tài)監(jiān)視技術(shù) 這是第三代防火墻技術(shù)，集成了前兩者的優(yōu)點。能對網(wǎng)絡(luò)通信的各層實行檢測。同包過濾技術(shù)一樣，它能夠檢測通過IP地址、端口號以及TCP標記，過濾進出的數(shù)據(jù)包。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識別進出的應(yīng)用層數(shù)據(jù)，這些算法通過己知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。

狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序，可方便地實現(xiàn)應(yīng)用和服務(wù)的擴充。此外，它還可監(jiān)測RPC和UDP端口信息，而包過濾和代理都不支持此類端口。這樣，通過對各層進行監(jiān)測，狀態(tài)監(jiān)視器實現(xiàn)網(wǎng)絡(luò)安全的目的。目前，多使用狀態(tài)監(jiān)測防火墻，它對用戶透明，在OSI最高層上加密數(shù)據(jù)，而無需修改客戶端程序，也無需對每個需在防火墻上運行的服務(wù)額外增加一個代理。

要想建立一個真正行之有效的安全的計算機網(wǎng)絡(luò)，僅使用防火墻還是不夠，在實際的應(yīng)用中，防火墻常與其它安全措施，比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用，才起到防御的最大化的效果。3.4 防火墻的應(yīng)用

3.4.1 個人防火墻的應(yīng)用 瑞星個人防火墻的應(yīng)用 1）安裝

第一步啟動安裝程序。

當(dāng)把瑞星個人防火墻下載版安裝程序保存到您電腦中的指定目錄后，找到該目錄，雙擊運行安裝程序，就可以進行瑞星個人防火墻下載版的安裝了。

第二步完成安裝后，如圖3.1：

圖3.1 第三步輸入產(chǎn)品序列號和用戶ID。

啟動個人防火墻，當(dāng)出現(xiàn)如圖3.2下所示的窗口后，在相應(yīng)位置輸入您購買獲得的產(chǎn)品序列號和用戶ID，點擊“確定”，通過驗證后則會提示“您的瑞星個人防火墻現(xiàn)在可以正常使用”。

圖3.2 常見問題：不輸入產(chǎn)品序列號和用戶ID，產(chǎn)品將無法升級，防火墻保護功能將全部失效，您的計算機將無法抵御黑客攻擊。

2）升級

第一步網(wǎng)絡(luò)配置：

?打開防火墻主程序

?在菜單中依次選擇【設(shè)置】/【設(shè)置網(wǎng)絡(luò)】，打開【網(wǎng)絡(luò)設(shè)置】窗口,如圖3.3

圖3.3 1。設(shè)定網(wǎng)絡(luò)連接方式，如果設(shè)定“通過代理服務(wù)器訪問網(wǎng)絡(luò)”，還需要輸入代理服務(wù)器IP、端口、身份驗證信息。

2。您可以選中【使用安全升級模式】，確保升級期間阻止新的網(wǎng)絡(luò)連接 3。點擊【確定】按鈕完成設(shè)置

小提示：

1。如果您已經(jīng)可以瀏覽網(wǎng)頁，說明網(wǎng)絡(luò)設(shè)置已經(jīng)配置好了，這里直接使用默認設(shè)置即可。

2。如果您不使用撥號方式上網(wǎng)，將不會看到界面中【使用撥號網(wǎng)絡(luò)連接】的選項以及相關(guān)設(shè)置。

3。請確保此步設(shè)置正確，否則可能無法完成智能升級。

第二步：智能升級

完成網(wǎng)絡(luò)配置后，進行智能升級的操作方法：

方法一：點擊主界面右側(cè)的【智能升級】按鈕，圖3.4示:

圖3.4 方法二：在菜單中依次選擇【操作】/【智能升級】

方法三：右鍵點擊防火墻托盤圖標，在彈出菜單中選擇【啟動智能升級】 3)啟動瑞星個人防火墻下載版程序

啟動瑞星個人防火墻軟件主程序有三種方法：

方法一：進入【開始】/【所有程序】/【瑞星個人防火墻】，選擇【瑞星個人防火墻】即可啟動。

方法二：用鼠標雙擊桌面上的【瑞星個人防火墻】快捷圖標即可啟動。方法三：用鼠標單擊任務(wù)欄“快速啟動”上的【瑞星個人防火墻】快捷圖標

即可啟動。

成功啟動程序后的界面如下圖3.5所示:

圖3.5 主要界面元素

1、菜單欄：

用于進行菜單操作的窗口，包括【操作】、【設(shè)置】、【幫助】三個菜單。如圖3.6示:

圖3.6

2、操作按鈕：

位于主界面右側(cè)，包括【啟動/停止保護】、【連接/斷開網(wǎng)絡(luò)】、【智能升級】、【查看日志】。如圖3。7示:

圖3.7 功能：停止防火墻的保護功能，執(zhí)行此功能后，您計算機將不再受瑞星防火墻的保護已處于停止保護狀態(tài)時，此按鈕將變?yōu)椤締⒂帽Ｗo】；點擊將重新啟用防火墻的保護功能，您也可以通過菜單項【操作】/【停止保護】來執(zhí)行此功能；將您的計算機完全與網(wǎng)絡(luò)斷開，就如同拔掉網(wǎng)線或是關(guān)掉Modem一樣。其他人都不能訪問您的計算機，但是您也不能再訪問網(wǎng)絡(luò)。這是在遇到頻繁攻擊時最為有效的應(yīng)對方法；已經(jīng)斷開網(wǎng)絡(luò)后，此項將變?yōu)椤具B接網(wǎng)絡(luò)】，點擊將恢復(fù)網(wǎng)絡(luò)連接；您也可以通過菜單項【操作】/【斷開網(wǎng)絡(luò)】來執(zhí)行此功能；啟動智能升級程序?qū)Ψ阑饓M行升級更新；您也可以通過菜單項【操作】/【智能升級】來執(zhí)行此功能；啟動日志顯示程序；您也可能通過【操作】/【顯示日志】來執(zhí)行此

功能。

3、標簽頁：

位于主界面上部，分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護】、【安全資訊】、【漏洞掃描】、【啟動選項】六個標簽。如圖3。8示:

圖3。8

4、安全級別：

位于主界面右下角，拖動滑塊到對應(yīng)的安全級別，修改立即生效。

5、當(dāng)前版本及更新日期：

位于主界面右上角，顯示防火墻當(dāng)前版本及更新日期。

6、規(guī)則設(shè)置

配置防火墻的過濾規(guī)則（如圖3。9），包括： 黑名單：在黑名單中的計算機禁止與本機通訊

白名單：在白名單中的計算機對本地具有完全的訪問權(quán)限

端口開關(guān)：允許或禁止端口中的通訊，可簡單開關(guān)本機與遠程的端口 可信區(qū)：通過可信區(qū)的設(shè)置，可以把局域網(wǎng)和互聯(lián)網(wǎng)區(qū)分對待 IP規(guī)則：在IP層過濾的規(guī)則

訪問規(guī)則：本機中訪問網(wǎng)絡(luò)的程序的過濾規(guī)則

圖3。9 3.4.2 防火墻技術(shù)在校園網(wǎng)中應(yīng)用

一、安裝防火墻

防火墻技術(shù)在校園網(wǎng)安全建設(shè)中得到廣泛的應(yīng)用。由于防火墻是一種按某種規(guī)則對專網(wǎng)和互聯(lián)網(wǎng),或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進行有條件的控制(包括隔離),從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)部署防火墻技術(shù)[10],構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障,可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來,保護校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。

二、校園網(wǎng)防火墻系統(tǒng)的配置

假定校園網(wǎng)通過Cisco路由器與INTERNET相連。校園內(nèi)的IP地址范圍是確

定的,且有明確的閉和邊界,它有一個C類的IP地址,有DNS、Email、WWW、FTP等服務(wù)器,可采用以下存取控制策略。

1)對進入CERNET主干網(wǎng)的存取控制

2)對網(wǎng)絡(luò)中心資源主機的訪問控制,網(wǎng)絡(luò)中心的DNS、Email、FTP、WWW等服務(wù)器是重要的資源,要特別的保護,可對網(wǎng)絡(luò)中心所在子網(wǎng)禁止,DNS,Email,WWW,FTP以外的一切服務(wù)。

3)對校外非法網(wǎng)址的訪問,一般情況,一些傳播非法信息的站點主要在校外,而這些站點的域名可能是已知的。為防止IP地址欺騙和盜用需為對網(wǎng)絡(luò)內(nèi)部人員訪問Internet進行一定限制在連接內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)時進行IP地址和以太網(wǎng)地址檢查,盜用IP地址的數(shù)據(jù)包將被丟棄,并記錄有關(guān)信息;再連接 Internet 端接收數(shù)據(jù)時,如從外部網(wǎng)絡(luò)收到一段假冒內(nèi)部IP地址發(fā)出的報文,也應(yīng)丟棄,并記錄有關(guān)信息。防止IP地址被盜用的徹底解決辦法是:代理服務(wù)器防火墻和捆綁IP地址和以太網(wǎng)地址,對非法訪問的動態(tài)禁止一旦獲得某個IP地址的訪問是非法的,可立即更改路由器中的存取控制表,從而禁止其對外的非法訪問。首先應(yīng)在路由器和校園網(wǎng)的以太口預(yù)設(shè)控制組102,然后過濾掉來自非法地址的所有IP包。

結(jié)論

計算機網(wǎng)絡(luò)的安全問題越來越受到人們的重視，一個安全的計算機網(wǎng)絡(luò)系統(tǒng)的保護不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān)，而且和每個使用者的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動態(tài)的，新的Internet黑客站點、病毒與安全技術(shù)每日劇增，世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)，隨著計算機網(wǎng)絡(luò)技術(shù)的進一步發(fā)展，網(wǎng)絡(luò)安全防護技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

防火墻不能完全解決網(wǎng)絡(luò)安全的全部問題，如不能防范內(nèi)部攻擊等，因此還需要考慮其他技術(shù)的和非技術(shù)的因素，如身份鑒別，信息加密術(shù)，提高網(wǎng)絡(luò)管理人員的安全意識等，總之，防火墻是網(wǎng)絡(luò)安全的第一道重要的安全屏障，如何提高防火墻的防護能力并保證系統(tǒng)的高速高效運行，不斷提高網(wǎng)絡(luò)安全水平，這將是一個隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷研究的課題。

致謝

本文是在指導(dǎo)老師胡楠老師的悉心教導(dǎo)下完成的。寫論文的這段時間，老師淵博的學(xué)識，嚴謹?shù)闹螌W(xué)太多和細心指導(dǎo)，以及他給我的支持和鼓勵使我終身難忘，我所取得的每一點成就都與導(dǎo)師的熱心關(guān)懷和精心指導(dǎo)是分不開的，值此論文完成之際，特別向?qū)熤乱灾孕牡母兄x各崇高的敬意。

本課題的完成過程中，本人還得到了同學(xué)們及其他各方面的支持和幫助，特別感謝致謝在一起愉快的度過大學(xué)生活的各位室友，正是由于你們的幫助和支持，我才能克服一個一個的困難和疑惑，直至本文的順利完成。

在論文即將完成之際，我的心情無法平靜，從開始進入課題到論文的順利完成，有多少可敬的師長、同學(xué)、朋友給了我無言的幫助，在這里請接受我誠摯的謝意!我還要感謝培養(yǎng)我長大含辛茹苦的父母，謝謝你們!最后，我要向百忙之中抽時間對本文進行審閱，評議和參與本人論文答辯的各位老師表示感謝。

參考文獻

[1]張斌,黑客與反黑客,北京郵電大學(xué)出版社,Pag56-75 [2]石淑華,池瑞楠,計算機網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag267-283 [3]肖新峰,宋強,王立新等,TCP/IP協(xié)議與網(wǎng)絡(luò)管理,北京清華大學(xué)出版社,Pag83-99 [4]李軍,防火墻上臺階,信息網(wǎng)絡(luò)安全2004年07期,Pag28—29 [5]陳愛民,計算機的安全與保密,北京電子工業(yè)出版社,pag35-42 [6]蔣建春,馬恒太,任黨恩等,網(wǎng)絡(luò)安全入侵檢測研究綜述軟件學(xué)報

[7]石淑華,池瑞楠,計算機網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag70-104 [8]老聃,安全網(wǎng)關(guān)—網(wǎng)絡(luò)邊界防護的利器,信息安全與通信保密,2004年08期75 [9]陳平,何慶等主編,電腦2003合訂本，西南師范大學(xué)出版社,2004年1月 [10] 張穎,劉軍,王磊,計算機網(wǎng)絡(luò)安全的現(xiàn)狀及解決方法[N]電腦商情報 ,2007年1月

第四篇：淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)論文

婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

摘 要

隨著時代的發(fā)展，Internet日益普及，網(wǎng)絡(luò)已經(jīng)成為信息資源的海洋，給人們帶來了極大的方便。但由于Internet是一個開放的，無控制機構(gòu)的網(wǎng)絡(luò)，經(jīng)常會受到計算機病毒、黑客的侵襲。它可使計算機和計算機網(wǎng)絡(luò)數(shù)據(jù)和文件丟失，系統(tǒng)癱瘓。因此，計算機網(wǎng)絡(luò)系統(tǒng)安全問題必須放在首位。作為保護局域子網(wǎng)的一種有效手段，防火墻技術(shù)備受睞。

本文主要闡述了網(wǎng)絡(luò)安全技術(shù)所要受到的各方面威脅以及自身存在的一些缺陷，所謂知己知彼，百戰(zhàn)不殆。只有了解了網(wǎng)絡(luò)安全存在的內(nèi)憂外患，才能更好的改善網(wǎng)絡(luò)安全技術(shù)，發(fā)展網(wǎng)絡(luò)安全技術(shù)。然后主要闡述防火墻在網(wǎng)絡(luò)安全中起到的巨大的作用，防火墻的優(yōu)缺點及各種類型防火墻的使用和效果。

計算機網(wǎng)絡(luò)技術(shù)的在飛速發(fā)展中，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要，只有熟悉了各種對網(wǎng)絡(luò)安全的威脅，熟悉各種保護網(wǎng)路安全的技術(shù)，我們才能更好的保護計算機和信息的安全。

關(guān)鍵字：計算機網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防范措施；防火墻技術(shù)

婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。

This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。

The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。

Key words: Computer network, Network security, The prevention measures, Firewall technology

II 淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)

目錄

摘 要................................................I Abstract.............................................II 引言.................................................1 第一章 網(wǎng)絡(luò)安全概述.................................2 1.1 計算機網(wǎng)絡(luò)安全的含義..........................2 1.2 網(wǎng)絡(luò)信息安全的主要威脅........................2 1.2.1 自然威脅..................................2 1.2.2 人為威脅—黑客攻擊與計算機病毒............3 1.3 計算機網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因..............4 1.4 影響計算機網(wǎng)絡(luò)安全的因素......................5 第二章 計算機網(wǎng)絡(luò)安全防范策略.......................6 2.1 防火墻技術(shù)....................................6 2.2 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)................9 2.3 入侵檢測技術(shù).................................10 2.4 防病毒技術(shù)...................................11 2.5 安全管理隊伍的建設(shè)...........................11 第三章 防火墻技術(shù)..................................12 3.1 防火墻的定義.................................12 3.2 防火墻的功能.................................12 3.2.1 防火墻是網(wǎng)絡(luò)安全的屏障...................12 3.2.2 防火墻的種類.............................13 3.3 防火墻的技術(shù)原理.............................13 3.4 防火墻的應(yīng)用.................................15 3.4.1 個人防火墻的應(yīng)用.........................15 3.4.2 防火墻技術(shù)在校園網(wǎng)中應(yīng)用.................20 結(jié)論................................................22

III 婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

致謝................................................23 參考文獻.............................................24 IV 淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)

引言

近年來，隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時，計算機網(wǎng)絡(luò)的安全性變得日益重要起來，由于計算機網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素，致使計算機網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。

為確保信息的安全與網(wǎng)絡(luò)暢通，研究計算機網(wǎng)絡(luò)的安全與防護措施已迫在眉捷，但網(wǎng)絡(luò)安全問題至今仍沒有能夠引起足夠的重視，更多的用戶認為網(wǎng)絡(luò)安全問題離自己尚遠，這一點從大約有40%以上的用戶特別是企業(yè)級用戶沒有安裝防火墻(Firewall)便可以窺見一斑，而所有的問題都在向大家證明一個事實，大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)，所以防火墻技術(shù)應(yīng)當(dāng)引起我們的注意和重視。

本文主要研究網(wǎng)絡(luò)安全的缺陷原由及網(wǎng)絡(luò)安全技術(shù)的原理和其他技術(shù)，如防火墻技術(shù)對網(wǎng)絡(luò)安全起到的不可忽視的影響。

婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

第一章網(wǎng)絡(luò)安全概述

1.1 計算機網(wǎng)絡(luò)安全的含義

計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

1.2 網(wǎng)絡(luò)信息安全的主要威脅

網(wǎng)絡(luò)安全所面臨的威脅來自很多方面，并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。

1.2.1 自然威脅

自然威脅可能來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無目的的事件，有時會直接威脅網(wǎng)絡(luò)的安全，影響信息的存儲媒體。

淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)

1.2.2 人為威脅—黑客攻擊與計算機病毒

人為威脅就是說對網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點【2】，以便達到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟上和政治上不可估量的損失。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種：

? 網(wǎng)絡(luò)缺陷

Intemet由于它的開放性迅速在全球范圍內(nèi)普及，但也正是因為開放性使其保護信息安全存在先天不足。Internet最初的設(shè)計考慮主要是考慮資源共享，基本沒有考慮安全問題，缺乏相應(yīng)的安全監(jiān)督機制。? 黑客攻擊

自1998年后，網(wǎng)上的黑客越來越多，也越來越猖獗；與此同時黑客技術(shù)逐漸被越來越多的人掌握現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強，這是網(wǎng)絡(luò)安全的主要威脅之一。

? 各種病毒

病毒時時刻刻威脅著整個互聯(lián)網(wǎng)。像Nimda和CodeRed的爆發(fā)更是具有深遠的影響，促使人們不得不在網(wǎng)絡(luò)的各個環(huán)節(jié)考慮對于各種病毒的檢測防治，對病毒徹底防御的重要性毋庸置疑。

? 管理的欠缺及資源濫用

很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對于網(wǎng)絡(luò)安全的認識，管理上存在很多漏洞，特別是國內(nèi)的企業(yè)，只是提供了接入Internet的通道，對于網(wǎng)絡(luò)上黑客的攻擊缺乏基本的應(yīng)對措施，同時企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，這是造成網(wǎng)絡(luò)安全問題的根本原因。軟件的漏洞和后門：隨著CPU的頻率越來越高，軟件的規(guī)模越來越大，軟件系統(tǒng)中的漏洞也不可避免的存在，強大如微軟所開發(fā)的Windows也存在。各種各樣的安全漏洞和“后門”，這是網(wǎng)絡(luò)安全的主要威脅之一。

? 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為

對于來自網(wǎng)絡(luò)內(nèi)部的攻擊，主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無能為力，這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息 3 婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

審計、IDS等主要針對內(nèi)部網(wǎng)絡(luò)安全的安全產(chǎn)品來抵御。? 網(wǎng)絡(luò)資源濫用

網(wǎng)絡(luò)有了安全保證和帶寬管理，依然不能防止員工對網(wǎng)絡(luò)資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯(lián)網(wǎng)，盡量避免網(wǎng)絡(luò)對工作帶來負面影響。? 信息泄漏

惡意、過失的不合理信息上傳和發(fā)布，可能會造成敏感信息泄漏、有害信息擴散，危及社會、國家、體和個人利益。更有基于競爭需要，利用技術(shù)手段對目標機信息資源進行竊取。在眾多人為威脅中來自用戶和惡意軟件即計算機病毒的非法侵入嚴重，計算機病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴重的威脅和巨大的損失。

1.3 計算機網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因

網(wǎng)絡(luò)安全缺陷產(chǎn)生的原因主要有：

第一TCP/IP的脆弱性。因特網(wǎng)的基石是TCP/IP協(xié)議【3】，不幸的是該協(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡(luò)攻擊。

第二，網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡(luò)。當(dāng)人們用一臺主機和另一局域網(wǎng)的主機進行通信時，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機，他就可以劫持用戶的數(shù)據(jù)包。

第三，易被竊聽。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行竊聽。

第四，缺乏安全意識。雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外認證，進行直接的PPP連接從而避開了防火墻的保護。淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)

1.4 影響計算機網(wǎng)絡(luò)安全的因素

①網(wǎng)絡(luò)資源的共享性。資源共享是計算機網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯(lián)網(wǎng)需求的日益增長，外部服務(wù)請求不可能做到完全隔離，攻擊者利用服務(wù)請求的機會很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。

②網(wǎng)絡(luò)的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。

③網(wǎng)絡(luò)操作系統(tǒng)的漏洞。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實現(xiàn)的最終載體之一，它不僅負責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。

④網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷。網(wǎng)絡(luò)設(shè)計是指拓撲結(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況下，還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計則會成為網(wǎng)絡(luò)的安全威脅。

⑤惡意攻擊。就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒，這是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

第二章計算機網(wǎng)絡(luò)安全防范策略

計算機網(wǎng)絡(luò)安全從技術(shù)上來說，主要由防病毒、防火墻、入侵檢測等多個安全組件組成，任何一個單獨的組件都無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)等，以下就此幾項技術(shù)分別進行分析。

2.1 防火墻技術(shù)

防火墻網(wǎng)絡(luò)安全的屏障，配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。當(dāng)一個網(wǎng)絡(luò)接上Internet之后，系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。

防火墻可以強化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離【4】，從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

為了讓大家更好地使用防火墻，我們從反面列舉4個有代表性的失敗案例。

例1：未制定完整的企業(yè)安全策略 淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)

網(wǎng)絡(luò)環(huán)境：某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表揚了負責(zé)防火墻安裝實施的信息部。

該企業(yè)網(wǎng)絡(luò)環(huán)境如圖2.1所示：

圖2.1 該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機是帶路由模塊的三層交換機，出口通過路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個VLAN，VLAN

1、VLAN 2和VLAN 3分配給不同的部門使用，不同的VLAN之間根據(jù)部門級別設(shè)置訪問權(quán)限；VLAN 4分配給交換機出口地址和路由器使用；VLAN 5分配給公共服務(wù)器使用。在沒有加入防火墻之前，各個VLAN中的PC機能夠通過交換機和路由器不受限制地訪問Internet。加入防火墻后，給防火墻分配一個VLAN 4中的空閑IP地址，并把網(wǎng)關(guān)指向路由器；將VLAN 5接入到防火墻的一個網(wǎng)口上。這樣，防火墻就把整個網(wǎng)絡(luò)分為3個區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。

問題描述：防火墻投入運行后，實施了一套較為嚴格的安全規(guī)則，導(dǎo)致公司員工無法使用QQ聊天軟件，于是沒過多久就有員工自己撥號上網(wǎng)，導(dǎo)致感染了特洛依木馬 婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

和蠕蟲等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。

問題分析：我們知道，防火墻作為一種保護網(wǎng)絡(luò)安全的設(shè)備，必須部署在受保護網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達到將入侵者拒之門外的目的。如果被保護網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺防火墻是不夠的。在本案例中，防火墻投入使用后，沒有禁止私自撥號上網(wǎng)行為，使得許多PC機通過電話線和Internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過攻擊這些PC機然后進一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開了防火墻。

解決辦法：根據(jù)自己企業(yè)網(wǎng)的特點，制定一整套安全策略，并徹底地貫徹實施。比如說，制定一套安全管理規(guī)章制度，嚴禁員工私自撥號上網(wǎng);同時封掉撥號上網(wǎng)的電話號碼，并購買檢測撥號上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時間段生效的安全規(guī)則，在非工作時間打開QQ使用的TCP/UDP端口，使得企業(yè)員工可以在工余時間使用QQ聊天軟件。

例2：未考慮與其他安全產(chǎn)品的配合使用 問題描述：某公司購買了防火墻后，緊接著又購買了漏洞掃描和IDS（入侵檢測系統(tǒng)）產(chǎn)品。當(dāng)系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后，必須每次都要手工調(diào)整防火墻安全策略，使管理員工作量劇增，而且經(jīng)常調(diào)整安全策略，也給整個網(wǎng)絡(luò)帶來不良影響。

問題分析：選購防火墻時未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動功能，導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。

解決辦法：購買防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號，然后確定所要購買的防火墻是否有聯(lián)動功能（即是否支持其他安全產(chǎn)品，尤其是IDS產(chǎn)品），支持的是哪些品牌和型號的產(chǎn)品，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動的防火墻。這樣，當(dāng)IDS發(fā)現(xiàn)入侵行為后，在通知管理員的同 淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)

時發(fā)送消息給防火墻，由防火墻自動添加相關(guān)規(guī)則，把入侵者拒之門外。

例3：未經(jīng)常維護升級防火墻 問題描述：某政府機構(gòu)購置防火墻后已安全運行一年多，由于該機構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定，沒有什么變化，各種應(yīng)用也運行穩(wěn)定，因此管理員逐漸放松了對防火墻的管理，只要網(wǎng)絡(luò)一直保持暢通即可，不再關(guān)心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級。而且由于該機構(gòu)處于政府專網(wǎng)內(nèi)，與Internet物理隔離，防火墻無法實現(xiàn)在線升級。因此該機構(gòu)的防火墻軟件版本一直還是購買時的舊版本，雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級包，但從未手工升級過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中，政府專網(wǎng)也受到蠕蟲病毒的感染，該機構(gòu)防火墻因為沒有及時升級，無法抵御這種蠕蟲病毒的攻擊，造成整個機構(gòu)的內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡(luò)陷于癱瘓之中。

問題分析：安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具，必須不斷地升級與更新才能應(yīng)付不斷發(fā)展的入侵手段，過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說，應(yīng)當(dāng)時刻留心廠家發(fā)布的升級包，及時給防火墻打上最新的補丁。

解決辦法：及時維護防火墻，當(dāng)本機構(gòu)發(fā)生人員變動、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時，要及時調(diào)整防火墻的安全規(guī)則，及時升級防火墻。

從以上三個案例我們可以得出一些結(jié)論：防火墻只是保證安全的一種技術(shù)手段，要想真正實現(xiàn)安全，安全策略是核心問題。保護網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無縫地結(jié)合起來，充分利用它們各自的優(yōu)點，才能最大限度地保證網(wǎng)絡(luò)安全。而保護網(wǎng)絡(luò)安全是動態(tài)的過程，防火墻需要積極地維護和升級。

2.2

數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)

與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比 婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

較靈活，更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊，雖無法避免，但卻可以有效地檢測；而對于被動攻擊，雖無法檢測，但卻可以避免，實現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實質(zhì)上是對以符號為基礎(chǔ)的數(shù)據(jù)進行移位和置換的變換算法，這種變換是對稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對稱加密算法中最具代表性的算法。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法。

2.3 入侵檢測技術(shù)

入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)是從多種計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊：在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入策略集中，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵【6】。

入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測技術(shù)的功能主要體現(xiàn)在以下方面：

1)分析用戶及系統(tǒng)活動，查找非法用戶和合法用戶的越權(quán)操作；

2)檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修 淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)

3)4)5)6)7)補漏洞；

識別反映已知進攻的活動模式并向相關(guān)人上報警； 對異常行為模式的統(tǒng)計分析；

能夠?qū)崟r地對檢測到的入侵行為進行反應(yīng)； 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 可以發(fā)現(xiàn)新的攻擊模式；

2.4 防病毒技術(shù)

隨著計算機技術(shù)的不斷發(fā)展，計算機病毒變得越來越復(fù)雜和高級，對計算機信息系統(tǒng)構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺Pc上，即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染，網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除【7】。

2.5 安全管理隊伍的建設(shè)

在計算機網(wǎng)絡(luò)系統(tǒng)中，絕對的安全是不存在的，制定健全的安全管理體制是計算機網(wǎng)絡(luò)安全的重要保證，只有通過網(wǎng)絡(luò)管理人員與使用人員的共同努力，運用一切可以使用的工具和技術(shù)，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。同時，要不斷地加強計算機信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強安全技術(shù)建設(shè)，強化使用人員和管理人員的安全防范意識。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進行安全管理工作，應(yīng)該對本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴肅處理。只有共同努力，才能使計算機網(wǎng)絡(luò)的安全可靠得到保障，從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

第三章防火墻技術(shù)

3.1 防火墻的定義

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡(luò)的安全政策控制(允許拒絕監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

Internet防火墻是一個或一組系統(tǒng)，它能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，用于加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取，防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的服務(wù)，以及哪些外部服務(wù)何時可以被內(nèi)部人員訪問。要使一個防火墻有效，所有來自和去往Internet的信息都必須經(jīng)過防火墻并接受檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。但是，防火墻系統(tǒng)一旦被攻擊突破或迂回繞過，就不能提供任何保護了。

3.2 防火墻的功能

3.2.1 防火墻是網(wǎng)絡(luò)安全的屏障

防火墻(作為阻塞點,控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。

防火墻可以強化網(wǎng)絡(luò)安全策略,通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認證審計等)配置在防火墻上，對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計:所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù),當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。防止內(nèi) 淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)

部信息的外泄，通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

3.2.2 防火墻的種類

防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同,總體來講可分為二大類:分組過濾,應(yīng)用代理。

分組過濾(Packetfiltering);作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號,協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

應(yīng)用代理(ApplicationProxy):也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway), 它作用在應(yīng)用層,其特點是完全 “ 阻隔 ” 了網(wǎng)絡(luò)通信流通過對每種應(yīng)用服務(wù)編制專門的代理程序,實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用,實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)【8】。

3.3 防火墻的技術(shù)原理

目前，防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同，大致可分為三種：

（1）包過濾技術(shù)

包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè) 置好的過濾規(guī)則，通過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會被防火墻過濾掉，由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通常可以過濾基于某些或所有下列信息組的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術(shù)實際上是一種基于路由器的技術(shù)，其最大優(yōu)點就是價格便宜，實現(xiàn)邏輯簡單便于安裝和使用。

缺點：1）過濾規(guī)則難以配置和測試。2）包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息，訪問信息有限，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。3）對一些協(xié)議，如UDP和RPC難以有效的過濾。婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

（2）代理技術(shù)

代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個網(wǎng)絡(luò)之間設(shè)置一個“中間檢查站”，兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個檢查站相互通信，但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務(wù)器，它運行在兩個網(wǎng)絡(luò)之間，對網(wǎng)絡(luò)之間的每一個請求進行檢查。當(dāng)代理服務(wù)器接收到用戶請求后，會檢查用戶請求合法性。若合法，則把請求轉(zhuǎn)發(fā)到真實的服務(wù)器上，并將答復(fù)再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針對某種應(yīng)用服務(wù)而寫的，工作在應(yīng)用層。

優(yōu)點：它將內(nèi)部用戶和外界隔離開來，使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與包過濾技術(shù)相比，代理技術(shù)是一種更安全的技術(shù)【9】。

缺點：在應(yīng)用支持方面存在不足，執(zhí)行速度較慢。（3）狀態(tài)監(jiān)視技術(shù) 這是第三代防火墻技術(shù)，集成了前兩者的優(yōu)點。能對網(wǎng)絡(luò)通信的各層實行檢測。同包過濾技術(shù)一樣，它能夠檢測通過IP地址、端口號以及TCP標記，過濾進出的數(shù)據(jù)包。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識別進出的應(yīng)用層數(shù)據(jù)，這些算法通過己知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。

狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序，可方便地實現(xiàn)應(yīng)用和服務(wù)的擴充。此外，它還可監(jiān)測RPC和UDP端口信息，而包過濾和代理都不支持此類端口。這樣，通過對各層進行監(jiān)測，狀態(tài)監(jiān)視器實現(xiàn)網(wǎng)絡(luò)安全的目的。目前，多使用狀態(tài)監(jiān)測防火墻，它對用戶透明，在OSI最高層上加密數(shù)據(jù)，而無需修改客戶端程序，也無需對每個需在防火墻上運行的服務(wù)額外增加一個代理。

要想建立一個真正行之有效的安全的計算機網(wǎng)絡(luò)，僅使用防火墻還是不夠，在實際的應(yīng)用中，防火墻常與其它安全措施，比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用，才起到防御的最大化的效果。淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)

3.4 防火墻的應(yīng)用

3.4.1 個人防火墻的應(yīng)用

瑞星個人防火墻的應(yīng)用 1）安裝

第一步啟動安裝程序。

當(dāng)把瑞星個人防火墻下載版安裝程序保存到您電腦中的指定目錄后，找到該目錄，雙擊運行安裝程序，就可以進行瑞星個人防火墻下載版的安裝了。

第二步完成安裝后，如圖3.1：

圖3.1 第三步輸入產(chǎn)品序列號和用戶ID。

啟動個人防火墻，當(dāng)出現(xiàn)如圖3.2下所示的窗口后，在相應(yīng)位置輸入您購買獲得的產(chǎn)品序列號和用戶ID，點擊“確定”，通過驗證后則會提示“您的瑞星個人防火墻現(xiàn)在可以正常使用”。

婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

圖3.2 常見問題：不輸入產(chǎn)品序列號和用戶ID，產(chǎn)品將無法升級，防火墻保護功能將全部失效，您的計算機將無法抵御黑客攻擊。

2）升級

第一步網(wǎng)絡(luò)配置：

?打開防火墻主程序 ?在菜單中依次選擇【設(shè)置】/【設(shè)置網(wǎng)絡(luò)】，打開【網(wǎng)絡(luò)設(shè)置】窗口,如圖3.3 圖3.3 1。設(shè)定網(wǎng)絡(luò)連接方式，如果設(shè)定“通過代理服務(wù)器訪問網(wǎng)絡(luò)”，還需要輸入代理服務(wù)器IP、端口、身份驗證信息。

2。您可以選中【使用安全升級模式】，確保升級期間阻止新的網(wǎng)絡(luò)連接 淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)

3。點擊【確定】按鈕完成設(shè)置

小提示：

1。如果您已經(jīng)可以瀏覽網(wǎng)頁，說明網(wǎng)絡(luò)設(shè)置已經(jīng)配置好了，這里直接使用默認設(shè)置即可。

2。如果您不使用撥號方式上網(wǎng)，將不會看到界面中【使用撥號網(wǎng)絡(luò)連接】的選項以及相關(guān)設(shè)置。

3。請確保此步設(shè)置正確，否則可能無法完成智能升級。

第二步：智能升級

完成網(wǎng)絡(luò)配置后，進行智能升級的操作方法：

方法一：點擊主界面右側(cè)的【智能升級】按鈕，圖3.4示:

圖3.4 方法二：在菜單中依次選擇【操作】/【智能升級】 方法三：右鍵點擊防火墻托盤圖標，在彈出菜單中選擇【啟動智能升級】

3)啟動瑞星個人防火墻下載版程序

啟動瑞星個人防火墻軟件主程序有三種方法：

方法一：進入【開始】/【所有程序】/【瑞星個人防火墻】，選擇【瑞星個人防火墻】即可啟動。

方法二：用鼠標雙擊桌面上的【瑞星個人防火墻】快捷圖標即可啟動。

方法三：用鼠標單擊任務(wù)欄“快速啟動”上的【瑞星 婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

個人防火墻】快捷圖標即可啟動。

成功啟動程序后的界面如下圖3.5所示:

圖3.5 主要界面元素

1、菜單欄：

用于進行菜單操作的窗口，包括【操作】、【設(shè)置】、【幫助】三個菜單。如圖3.6示:

圖3.6

2、操作按鈕：

位于主界面右側(cè)，包括【啟動/停止保護】、【連接/斷開網(wǎng)絡(luò)】、【智能升級】、【查看日志】。如圖3。7示:

圖3.7 功能：停止防火墻的保護功能，執(zhí)行此功能后，您計 淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)

算機將不再受瑞星防火墻的保護已處于停止保護狀態(tài)時，此按鈕將變?yōu)椤締⒂帽Ｗo】；點擊將重新啟用防火墻的保護功能，您也可以通過菜單項【操作】/【停止保護】來執(zhí)行此功能；將您的計算機完全與網(wǎng)絡(luò)斷開，就如同拔掉網(wǎng)線或是關(guān)掉Modem一樣。其他人都不能訪問您的計算機，但是您也不能再訪問網(wǎng)絡(luò)。這是在遇到頻繁攻擊時最為有效的應(yīng)對方法；已經(jīng)斷開網(wǎng)絡(luò)后，此項將變?yōu)椤具B接網(wǎng)絡(luò)】，點擊將恢復(fù)網(wǎng)絡(luò)連接；您也可以通過菜單項【操作】/【斷開網(wǎng)絡(luò)】來執(zhí)行此功能；啟動智能升級程序?qū)Ψ阑饓M行升級更新；您也可以通過菜單項【操作】/【智能升級】來執(zhí)行此功能；啟動日志顯示程序；您也可能通過【操作】/【顯示日志】來執(zhí)行此功能。

3、標簽頁：

位于主界面上部，分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護】、【安全資訊】、【漏洞掃描】、【啟動選項】六個標簽。如圖3。8示:

圖3。8

4、安全級別： 位于主界面右下角，拖動滑塊到對應(yīng)的安全級別，修改立即生效。

5、當(dāng)前版本及更新日期：

位于主界面右上角，顯示防火墻當(dāng)前版本及更新日期。

6、規(guī)則設(shè)置

配置防火墻的過濾規(guī)則（如圖3。9），包括： 黑名單：在黑名單中的計算機禁止與本機通訊 白名單：在白名單中的計算機對本地具有完全的訪問權(quán)限

端口開關(guān)：允許或禁止端口中的通訊，可簡單開關(guān)本機與遠程的端口 婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

可信區(qū)：通過可信區(qū)的設(shè)置，可以把局域網(wǎng)和互聯(lián)網(wǎng)區(qū)分對待

IP規(guī)則：在IP層過濾的規(guī)則

訪問規(guī)則：本機中訪問網(wǎng)絡(luò)的程序的過濾規(guī)則

圖3。9 3.4.2 防火墻技術(shù)在校園網(wǎng)中應(yīng)用

一、安裝防火墻

防火墻技術(shù)在校園網(wǎng)安全建設(shè)中得到廣泛的應(yīng)用。由于防火墻是一種按某種規(guī)則對專網(wǎng)和互聯(lián)網(wǎng),或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進行有條件的控制(包括隔離),從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)部署防火墻技術(shù)[10],構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障,可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來,保護校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。

二、校園網(wǎng)防火墻系統(tǒng)的配置

假定校園網(wǎng)通過Cisco路由器與INTERNET相連。校園內(nèi)的IP地址范圍是確定的,且有明確的閉和邊界,它有一個C類的IP地址,有DNS、Email、WWW、FTP等服務(wù)器,可采用以下存取控制策略。

1)對進入CERNET主干網(wǎng)的存取控制

2)對網(wǎng)絡(luò)中心資源主機的訪問控制,網(wǎng)絡(luò)中心的DNS、Email、FTP、WWW等服務(wù)器是重要的資源,要特別的保護,可對網(wǎng)絡(luò)中心所在子網(wǎng)禁止,DNS,Email,WWW,FTP 淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)

以外的一切服務(wù)。

3)對校外非法網(wǎng)址的訪問,一般情況,一些傳播非法信息的站點主要在校外,而這些站點的域名可能是已知的。為防止IP地址欺騙和盜用需為對網(wǎng)絡(luò)內(nèi)部人員訪問Internet進行一定限制在連接內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)時進行IP地址和以太網(wǎng)地址檢查,盜用IP地址的數(shù)據(jù)包將被丟棄,并記錄有關(guān)信息;再連接 Internet 端接收數(shù)據(jù)時,如從外部網(wǎng)絡(luò)收到一段假冒內(nèi)部IP地址發(fā)出的報文,也應(yīng)丟棄,并記錄有關(guān)信息。防止IP地址被盜用的徹底解決辦法是:代理服務(wù)器防火墻和捆綁IP地址和以太網(wǎng)地址,對非法訪問的動態(tài)禁止一旦獲得某個IP地址的訪問是非法的,可立即更改路由器中的存取控制表,從而禁止其對外的非法訪問。首先應(yīng)在路由器和校園網(wǎng)的以太口預(yù)設(shè)控制組102,然后過濾掉來自非法地址的所有IP包。婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

結(jié)論

計算機網(wǎng)絡(luò)的安全問題越來越受到人們的重視，一個安全的計算機網(wǎng)絡(luò)系統(tǒng)的保護不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān)，而且和每個使用者的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動態(tài)的，新的Internet黑客站點、病毒與安全技術(shù)每日劇增，世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)，隨著計算機網(wǎng)絡(luò)技術(shù)的進一步發(fā)展，網(wǎng)絡(luò)安全防護技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

防火墻不能完全解決網(wǎng)絡(luò)安全的全部問題，如不能防范內(nèi)部攻擊等，因此還需要考慮其他技術(shù)的和非技術(shù)的因素，如身份鑒別，信息加密術(shù)，提高網(wǎng)絡(luò)管理人員的安全意識等，總之，防火墻是網(wǎng)絡(luò)安全的第一道重要的安全屏障，如何提高防火墻的防護能力并保證系統(tǒng)的高速高效運行，不斷提高網(wǎng)絡(luò)安全水平，這將是一個隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷研究的課題。淺析計算機網(wǎng)絡(luò)安全和防火墻技術(shù)

致謝

本文是在指導(dǎo)老師胡楠老師的悉心教導(dǎo)下完成的。寫論文的這段時間，老師淵博的學(xué)識，嚴謹?shù)闹螌W(xué)太多和細心指導(dǎo)，以及他給我的支持和鼓勵使我終身難忘，我所取得的每一點成就都與導(dǎo)師的熱心關(guān)懷和精心指導(dǎo)是分不開的，值此論文完成之際，特別向?qū)熤乱灾孕牡母兄x各崇高的敬意。

本課題的完成過程中，本人還得到了同學(xué)們及其他各方面的支持和幫助，特別感謝致謝在一起愉快的度過大學(xué)生活的各位室友，正是由于你們的幫助和支持，我才能克服一個一個的困難和疑惑，直至本文的順利完成。

在論文即將完成之際，我的心情無法平靜，從開始進入課題到論文的順利完成，有多少可敬的師長、同學(xué)、朋友給了我無言的幫助，在這里請接受我誠摯的謝意!我還要感謝培養(yǎng)我長大含辛茹苦的父母，謝謝你們!最后，我要向百忙之中抽時間對本文進行審閱，評議和參與本人論文答辯的各位老師表示感謝。

婁底職業(yè)技術(shù)學(xué)院計算機網(wǎng)絡(luò)專業(yè)

參考文獻

[1]張斌,黑客與反黑客,北京郵電大學(xué)出版社,Pag56-75 [2]石淑華,池瑞楠,計算機網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag267-283 [3]肖新峰,宋強,王立新等,TCP/IP協(xié)議與網(wǎng)絡(luò)管理,北京清華大學(xué)出版社,Pag83-99 [4]李軍,防火墻上臺階,信息網(wǎng)絡(luò)安全2004年07期,Pag28—29 [5]陳愛民,計算機的安全與保密,北京電子工業(yè)出版社,pag35-42 [6]蔣建春,馬恒太,任黨恩等,網(wǎng)絡(luò)安全入侵檢測研究綜述軟件學(xué)報 [7]石淑華,池瑞楠,計算機網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag70-104 [8]老聃,安全網(wǎng)關(guān)—網(wǎng)絡(luò)邊界防護的利器,信息安全與通信保密,2004年08期75

[9]陳平,何慶等主編,電腦2003合訂本，西南師范大學(xué)出版社,2004年1月

[10] 張穎,劉軍,王磊,計算機網(wǎng)絡(luò)安全的現(xiàn)狀及解決方法[N]電腦商情報 ,2007年1月

第五篇：計算機網(wǎng)絡(luò)安全論文

計算機網(wǎng)絡(luò)安全

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全左鍵成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題，在其最簡單的形式中，它主要關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠程服務(wù)的人，安全性也處理合法消息被截獲和重播的問題，發(fā)送者是否發(fā)送過該消息的問題。隨著計算機網(wǎng)絡(luò)的發(fā)展和Internet的廣泛普及，信息已經(jīng)成為現(xiàn)代社會生活的核心。國家政府機構(gòu)、各企事業(yè)單位不僅大多建立了自己的局域網(wǎng)系統(tǒng)，而且通過各種方式與互聯(lián)網(wǎng)相連。通過上網(wǎng)樹立形象、拓展業(yè)務(wù)，已經(jīng)成為政府辦公、企業(yè)發(fā)展的重要手段。

可是當(dāng)計算機發(fā)展的同時，影響計算機網(wǎng)絡(luò)安全的因素也在不斷顯現(xiàn)。為此，我們需要針對計算機網(wǎng)絡(luò)安全，采取相應(yīng)必要的措施。所以，就讓我在關(guān)于計算機網(wǎng)絡(luò)安全措施方面來談?wù)劙桑?/p>

首先，我們需要知道計算機安全的定義：國際標準化組織（ISO）將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護。當(dāng)我們明白了什么是計算機安全，那么我們就需要了解一些影響計算機網(wǎng)絡(luò)安全的主要因素，我列舉了以下幾點：

1、網(wǎng)絡(luò)系統(tǒng)本身的問題

目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX,MS NT 和Windows。黑客往往就是利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)。具體包括以下幾個方面：穩(wěn)定性和可擴充性方面，由于設(shè)計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響；網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)，一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞，其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)應(yīng)用的需求沒有引起足夠的重視，設(shè)計和選型考慮欠周密，從而使網(wǎng)絡(luò)功能發(fā)揮受阻，影響網(wǎng)絡(luò)的可靠性、擴充性和升級換代。二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定；缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權(quán)限，忽視了這些權(quán)限可能會被其他人員濫用；訪問控制配置的復(fù)雜性，容易導(dǎo)致配置錯誤，從而給他人以可乘之機；

2、來自內(nèi)部網(wǎng)用戶的安全威脅

來自內(nèi)部用戶的安全威脅遠大于外部網(wǎng)用戶的安全威脅，使用者缺乏安全意識，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮較少，并且，如果系統(tǒng)設(shè)置錯誤，很容易造成損失，管理制度不健全，網(wǎng)絡(luò)管理、維護任在一個安全設(shè)計充分的網(wǎng)絡(luò)中，人為因素造成的安全漏洞無疑是整個網(wǎng)絡(luò)安全性的最大隱患。網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶都擁有相應(yīng)的權(quán)限 ,利用這些權(quán)限破壞網(wǎng)絡(luò)安全的隱患也是存在的。如操作口令的泄漏 ,磁盤上的機密文件被人利用，臨時文件未及時刪除而被竊取，內(nèi)部人員有意無意的泄漏給黑客帶來可乘之機等，都可能使網(wǎng)絡(luò)安全機制形同虛設(shè)。其自然。特別是一些安裝了防火墻的網(wǎng)絡(luò)系統(tǒng)，對內(nèi)部網(wǎng)用戶來說一點作用也不起。

3、缺乏有效的手段監(jiān)視、硬件設(shè)備的正確使用及評估網(wǎng)絡(luò)系統(tǒng)的安全性

完整準確的安全評估是黑客入侵防范體系的基礎(chǔ)。它對現(xiàn)有或?qū)⒁獦?gòu)建的整個網(wǎng)絡(luò)的安全防護性能作出科學(xué)、準確的分析評估，并保障將要實施的安全策略技術(shù)上的可實現(xiàn)性、經(jīng)濟上的可行性和組織上的可執(zhí)行性。網(wǎng)絡(luò)安全評估分析就是對網(wǎng)絡(luò)進行檢查，查找其中是否有可被黑客利用的漏洞，對系統(tǒng)安全狀況進行評估、分析，并對發(fā)現(xiàn)的問題提出建議從而提高網(wǎng)絡(luò)系統(tǒng)安全性能的過程。評估分析技術(shù)是一種非常行之有效的安全技術(shù)

4、黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊

我們可以看到，影響計算機安全的因素也是非常多的，可是我們不能只單單找出影響的因素啊，我們應(yīng)該找出解決方法何預(yù)防措施啊！那么如何才能使我們的網(wǎng)絡(luò)百分之百的安全呢？ 其實呢，對于這個問題的最簡單的回答是：不可能。因為迄今還沒有一種技術(shù)可完全消除網(wǎng)絡(luò)安全漏洞。網(wǎng)絡(luò)的安全實際上是理想中的安全策略和實際的執(zhí)行之間的一個平衡。從廣泛的網(wǎng)絡(luò)安全意義范圍來看，網(wǎng)絡(luò)安全不僅是技術(shù)問題，更是一個管理問題，它包含管理機構(gòu)、法律、技術(shù)、經(jīng)濟各方面。既然我們無法做到百分之百，那么對能解決的，我們盡量解決，不能解決的，我們要采取措施預(yù)防！

從目前來看，我們可從提高網(wǎng)絡(luò)安全技術(shù)和人員素質(zhì)入手。因此，我們亦可以采取以下幾種方式：

1、依據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》建立健全各種安全機制、各種網(wǎng)絡(luò)安全制度，加強網(wǎng)絡(luò)安全教育和培訓(xùn)。

2、網(wǎng)絡(luò)病毒的防范。在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴散快，僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。學(xué)校、政府機關(guān)、企事業(yè)單位等網(wǎng)絡(luò)一般是內(nèi)部局域網(wǎng)，就需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關(guān)的防病毒軟件，加強上網(wǎng)計算機的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進行信息交換，還需要一套基于郵件服務(wù)器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品，針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，及時為每臺客戶端計算機打好補丁，加強日常監(jiān)測，使網(wǎng)絡(luò)免受病毒的侵襲。現(xiàn)在網(wǎng)絡(luò)版殺毒軟件比較多，如瑞星、江民、趨勢、金山毒霸等。

3、配置防火墻。利用防火墻，在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度，允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡(luò)，同時將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制，防止 Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，根據(jù)不同網(wǎng)絡(luò)的安裝需求，做好防火墻內(nèi)服務(wù)器及客戶端的各種規(guī)則配置，更加有效利用好防火墻。

4、采用入侵檢測系統(tǒng)。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。在學(xué)校、政府機關(guān)、企事業(yè)網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)，則會構(gòu)架成一套完整立體的主動防御體系，有的入侵檢測設(shè)備可以同防火強進行聯(lián)動設(shè)置。

5、Web，Email，BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時向上級安全網(wǎng)管中心報告，采取措施。

6、漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。

7、IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的 MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

8、利用網(wǎng)絡(luò)監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決，但是對于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機間相互聯(lián)系的情況，為系統(tǒng)中各個服務(wù)器的審計文件提供備份。

對于以上的方法和措施，我們完全可以在計算機使用中遇到，正如前面所說，他并不能百分之百的保護我們的計算機網(wǎng)絡(luò)安全，但卻可以為我們解決一般性問題和預(yù)防肯能會發(fā)生的嚴重問題。

無論如何，網(wǎng)絡(luò)安全與網(wǎng)絡(luò)的發(fā)展戚戚相關(guān)。網(wǎng)絡(luò)安全是一個系統(tǒng)的工程，不能僅依靠、殺毒軟件、防火墻、漏洞檢測等等硬件設(shè)備的防護，還要意識到計算機網(wǎng)絡(luò)系統(tǒng)是一個人機系統(tǒng)，安全保護的對象是計算機 ,而安全保護的主體則是人，應(yīng)重視對計算機網(wǎng)絡(luò)安全的硬件產(chǎn)品開發(fā)及軟件研制，建立一個好的計算機網(wǎng)絡(luò)安全系統(tǒng)，也應(yīng)注重樹立人的計算機安全意識，才可能防微杜漸。把可能出現(xiàn)的損失降低到最低點，才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。