第一篇：網(wǎng)絡安全技術

網(wǎng)絡安全技術

——防火墻技術與病毒

摘 要：

計算機網(wǎng)絡安全，指致力于解決諸如如何有效進行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g手段。而計算機網(wǎng)絡安全主要包括計算機網(wǎng)絡安全的概況、虛擬網(wǎng)技術、防火墻技術、入侵檢測技術, 安全掃描技術, 電子認證和數(shù)字簽名技術.VPN技術、數(shù)據(jù)安全、計算機病毒等。防火墻技術作為時下比較成熟的一種網(wǎng)絡安全技術，其安全性直接關系到用戶的切身利益。針對網(wǎng)絡安全獨立元素——防火墻技術，通過對防火墻日志文件的分析，設計相應的數(shù)學模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全等級，實現(xiàn)對目標網(wǎng)絡的網(wǎng)絡安全風險評估，為提高系統(tǒng)的安全性提供科學依據(jù)。本文將以最常見的WORD宏病毒為例來解釋計算機病毒傳播過程。

關鍵詞：網(wǎng)絡安全 防火墻技術 計算機病毒

1.1 研究背景

隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是Internet的廣泛使用，使計算機應用更加廣泛與深入。同時，我們不得不注意到，網(wǎng)絡雖然功能強大，也有其脆弱易受到攻擊的一面。據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡安全問題所造成的經(jīng)濟損失高達75億美元，而全求平均每20秒鐘就發(fā)生一起Internet計算機侵入事件。在我國，每年因黑客入侵、計算機病毒的破壞也造成了巨大的經(jīng)濟損失。人們在利用網(wǎng)絡的優(yōu)越性的同時，對網(wǎng)絡安全問題也決不能忽視。如何建立比較安全的網(wǎng)絡體系，值得我們關注研究。

1.2 計算機病毒簡介

計算機病毒是指那些具有自我復制能力的計算機程序, 它能影響計算機軟件、硬件的正常運行, 破壞數(shù)據(jù)的正確與完整。計算機病毒的來源多種多樣, 有的是計算機工作人員或業(yè)余愛好者為了純粹尋開心而制造出來的;有的則是軟件公司為保護自己的產(chǎn)品被非法拷貝而制造的報復性懲罰, 因為他們發(fā)現(xiàn)病毒比加密對付非法拷貝更有效且更有威脅, 這種情況助長了病毒的傳播。還有一種情況就是蓄意破壞, 它分為個人行為和政府行為兩種, 個人行為多為雇員對雇主的報復行為, 而政府行為則是有組織的戰(zhàn)略戰(zhàn)術手段。另外有的病毒還是用于研究或?qū)嶒灦O計的“有用”程序, 由于某種原因失去控制擴散出實驗室, 從而成為危害四方的計算機病毒。

1987 年, 計算機用戶忽然發(fā)現(xiàn), 在世界的各個角落, 幾乎同時出現(xiàn)了形形色色的計算機病毒。Brain, Lenig h, IBM 圣誕樹, 黑色星期五, 特別是近期發(fā)現(xiàn)的幾種病毒, 其名氣也最大, 它們是: 臺灣一號病毒、DIR-Ⅱ病毒、幽靈病毒、米開朗基羅病毒等, 至今, 病毒種類已超過一萬種。

1988 年底, 我國國家統(tǒng)計系統(tǒng)發(fā)現(xiàn)小球病毒。隨后, 中國有色金屬總公司所屬昆明、天津、成都等地的一些單位, 全國一些科研部門和國家機關也相繼發(fā)現(xiàn)病毒入侵。自從“中國炸彈”病毒出現(xiàn)后,已發(fā)現(xiàn)越來越多的國產(chǎn)病毒。比如目前國內(nèi)主要有:感染W(wǎng)indow s3.x 的“V3783”,感染W(wǎng)indow s95/ 98的“CIH”病毒。

縱觀計算機病毒的發(fā)展歷史, 我們不難看出, 計算機病毒已從簡單的引導型、文件型病毒或它們的混合型發(fā)展到了多形性病毒、欺騙性病毒、破壞性病毒。已從攻擊安全性較低的DOS平臺發(fā)展到攻擊安全性較高的Window s95/ 98平臺;從破壞磁盤數(shù)據(jù)發(fā)展到直接對硬件芯片進行攻擊。1995 年宏病毒的出現(xiàn), 使病毒從感染可執(zhí)行文件過渡到感染某些非純粹的數(shù)據(jù)文件。最近有資料顯示已發(fā)現(xiàn)JAVA病毒, 各種跡象表明病毒正向著各個領域滲透, 這些新病毒更隱秘, 破壞性更強。

計算機病毒的種類很多, 不同種類的病毒有著各自不同的特征, 它們有的以感染文件為主、有的以感染系統(tǒng)引導區(qū)為主, 大多數(shù)病毒只是開個小小的玩笑。

按傳染方式分類可分為引導型病毒、文件型病毒和混合型病毒3種。引導型病毒主要是感染磁盤的引導區(qū), 系統(tǒng)從包含了病毒的磁盤啟動時傳播, 它一般不對磁盤文件進行感染;文件型病毒一般只傳染磁盤上的可執(zhí)行文件(COM, EXE), 其特點是附著于正常程序文件, 成為程序文件的一個外殼或部件;混合型病毒則兼有以上兩種病毒的特點, 既感染引導區(qū)又感染文件, 因此擴大了這種病毒的傳染途徑。

按連接方式分類可分為源碼型病毒、入侵型病毒和操作系統(tǒng)型病毒等3 種。其中源碼型病毒主要攻擊高級語言編寫的源程序, 它會將自己插入到系統(tǒng)的源程序中, 并隨源程序一起編譯、連接成可執(zhí)行文件, 從而導致剛剛生成的可執(zhí)行文件直接帶毒;入侵型病毒用自身代替正常程序中的部分模塊或堆棧區(qū)的病毒, 它只攻擊某些特定程序, 針對性強;操作系統(tǒng)型病毒是用其自身部分加入或替代操作系統(tǒng)的部分功能, 危害性較大。

病毒按程序運行平臺分類可分為DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它們分別是發(fā)作于DOS,Windows9X,WindowsNT, OS/2等操作系統(tǒng)平臺上的病毒。而計算機病毒的主要危害：不同的計算機病毒有不同的破壞行為, 其中有代表性的行為如下: 一是攻擊系統(tǒng)數(shù)據(jù)區(qū), 包括硬盤的主引導扇區(qū)、Boot 扇區(qū)、FAT 表、文件目錄。一般來說, 攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒, 受損的數(shù)據(jù)不易恢復。二是攻擊文件, 包括刪除、改名、替換文件內(nèi)容、刪除部分程序代碼、內(nèi)容顛倒、變碎片等等。三是攻擊內(nèi)存。

1.3防火墻概述

隨著Internet的迅速發(fā)展，網(wǎng)絡應用涉及到越來越多的領域，網(wǎng)絡中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡病毒的問題，使得網(wǎng)絡安全問題越來越突出。因此，保護網(wǎng)絡資源不被非授權訪問，阻止病毒的傳播感染顯得尤為重要。就目前而言，對于局部網(wǎng)絡的保護，防火墻仍然不失為一種有效的手段，防火墻技術主要分為包過濾和應用代理兩類。其中包過濾作為最早發(fā)展起來的一種技術，其應用非常廣泛。

防火墻是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障，以防止發(fā)生不可預測的、潛在破壞性的侵入。[4]防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。防火墻提供信息安全服務，是實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡和互聯(lián)網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。

2.防火墻的原理及分類

顧名思義，包過濾防火墻[9]就是把接收到的每個數(shù)據(jù)包同預先設定的包過濾規(guī)則相比較，從而決定是否阻塞或通過。過濾規(guī)則是基于網(wǎng)絡層IP包包頭信息的比較。包過濾防火墻工作在網(wǎng)絡層，IP包的包頭中包含源、目的IP地址，封裝協(xié)議類型(TCP，UDP，ICMP或IP Tunnel)，TCP/UDP端口號，ICMP消息類型，TCP包頭中的ACK等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包;如果沒有匹配規(guī)則，則按缺省情況處理。包過濾防火墻是速度最快的防火墻，這是因為它處于網(wǎng)絡層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實現(xiàn)，對用戶來說都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡，使之遭受攻擊。例如，HTTP。通常是使用80端口。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設置允所有80端口的連接通過，這時，意識到這一漏洞的外部人員可以在沒有被認證的情況下進入私有網(wǎng)絡。包過濾防火墻的維護比較困難，定義過濾規(guī)則也比較復雜，因為任何一條過濾規(guī)則的不完善都會給網(wǎng)絡黑客造成可乘之機。同時，包過濾防火墻一般無法提供完善的日志。

應用級代理技術通過在OSI的最高層檢查每一個IP包，從而實現(xiàn)安全策略。代理技術與包過濾技術完全不同，包過濾技術在網(wǎng)絡層控制所有的信息流，而代理技術一直處理到應用層，在應用層實現(xiàn)防火墻功能。它的代理功能，就是在防火墻處終止客戶連接并初始化一個新的連接到受保護的內(nèi)部網(wǎng)絡。這一內(nèi)建代理機制提供額外的安全，這是因為它將內(nèi)部和外部網(wǎng)絡隔離開來，使網(wǎng)絡外部的黑客在防火墻內(nèi)部網(wǎng)絡上進行探測變得困難，更重要的是能夠讓網(wǎng)絡管理員對網(wǎng)絡服務進行全面的控制。但是，這將花費更多的處理時間，并且由于代理防火墻支持的應用有限，每一種應用都需要安裝和配置不同的應用代理程序。比如訪問WEB站點的HTTP，用于文件傳輸?shù)腇TP，用于E一MAIL的SMTP/POP3等等。如果某種應用沒有安裝代理程序，那么該項服務就不被支持并且不能通過防火墻進行轉(zhuǎn)發(fā);同時升級一種應用時，相應的代理程序也必須同時升級。

代理服務(Proxy Service)也稱鏈路級網(wǎng)關或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應用級網(wǎng)關一類。它是針對數(shù)據(jù)包過濾[10]和應用網(wǎng)關技術存在的缺點而引入的防火墻技術，其特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應用層的“鏈接”，由兩個終止代理服務器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理服務也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡管理員發(fā)出警報，并保留攻擊痕跡。應用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應用層通信流的作用。同時 也常結(jié)合入過濾器的功能。它工作在OSI模型的最高層，掌握著應用系統(tǒng)中可用作安全決策的全部信息。

復合型防火墻：由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結(jié)合起來，形成復合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為Internet上其他節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡不受未授權外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎。執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時實現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護功能了。

3.1防火墻包過濾技術發(fā)展趨勢

(1)安全策略功能

一些防火墻廠商把在AAA系統(tǒng)上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網(wǎng)關技術的，包過濾技術的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡通信帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。

(2)多級過濾技術

所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾(網(wǎng)絡層)一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應用網(wǎng)關(應用層)一級，能利用FTP、SMTP等各種網(wǎng)關，控制和監(jiān)測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產(chǎn)生的一種綜合型過濾技術，它可以彌補以上各種單獨過濾技術的不足。

這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網(wǎng)絡層，從這個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術發(fā)展打下基礎。

(3)功能擴展

功能擴展是指一種集成多種功能的設計趨勢，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個功能為主了，即其已經(jīng)逐漸向我們普遍稱之為IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當然目前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術可以有效地防止病毒在網(wǎng)絡中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。

3.1防火墻的體系結(jié)構(gòu)發(fā)展趨勢

隨著網(wǎng)絡應用的增加，對網(wǎng)絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網(wǎng)絡數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。參考文獻

[1] 艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識與技術.2004，(s):79一82.[2] 高峰.許南山.防火墻包過濾規(guī)則問題的研究[M].計算機應用.2003，23(6):311一312.[3] 孟濤、楊磊.防火墻和安全審計[M].計算機安全.2004，(4):17一18.[4] 鄭林.防火墻原理入門[Z].E企業(yè).2000.[5] 魏利華.防火墻技術及其性能研究.能源研究與信息.2004，20(l):57一62

[6] 李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學報.2002，2(l):59一61

[7] 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術分析.信息安全與通信保密.2006，(8):24一27

[8] 付歌，楊明福.一個快速的二維數(shù)據(jù)包分類算法.計算機工程.2004，30(6):76一78

[9] 付歌，楊明福，王興軍.基于空間分解的數(shù)據(jù)包分類技術.計算機工程與應用.2004(8):63一65

[10] 〕韓曉非，王學光，楊明福.位并行數(shù)據(jù)包分類算法研究.華東理工大學學報.2003，29(5):504一508

[11] 韓曉非，楊明福，王學光.基于元組空間的位并行包分類算法.計算機工程與應用.2003，(29):188一192

[12] 馮東雷，張勇，白英彩.一種高性能包分類漸增式更新算法.計算機研究與發(fā)展.2003，40(3):387一392

第二篇：網(wǎng)絡安全技術

網(wǎng)絡信息安全與策略

【摘要】隨著我國網(wǎng)路信息科技的高速發(fā)展，網(wǎng)絡信息安全問題日益突出。以網(wǎng)絡方式獲取信息和交流信息已成為現(xiàn)代信息社會的一個重要特征。網(wǎng)絡給人們生活帶來極大便利的同時，也給許多部門、單位和個人帶來了極大的風險，造成嚴重的經(jīng)濟損失。最新報道：央視《經(jīng)濟半小時》播出“我國黑客木馬形成產(chǎn)業(yè) 2009年收入可超百億元”節(jié)目，可以看出黑客通過網(wǎng)絡傳播木馬的嚴重性。本文主要探討了網(wǎng)絡信息安全中存在的威脅，并提出了相應的技術保障和對策?！娟P鍵字】網(wǎng)絡

信息

安全

黑客

病毒

技術

一、網(wǎng)絡信息安全的內(nèi)涵

在網(wǎng)絡出現(xiàn)以前，信息安全是指為建立信息處理系統(tǒng)而采取的技術上和管理上的安全保護以實現(xiàn)電子信息的保密性、完整性、可用性、可控性和不可否認性。當今信息時代，計算機網(wǎng)絡已經(jīng)成為一種不可缺少的信息交換工具。然而，由于計算機網(wǎng)絡具有開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性，再加上本身存在的技術弱點和人為的疏忽，致使網(wǎng)絡易受計算機病毒、黑客或惡意軟件的侵害。面對侵襲網(wǎng)絡安全的種種威脅，必須考慮信息的安全這個至關重要的問題。

網(wǎng)絡信息安全分為網(wǎng)絡安全和信息安全兩個層面。網(wǎng)絡安全包括系統(tǒng)安全，即硬件平臺、操作系統(tǒng)、應用軟件;運行服務安全，即保證服務的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全，包括數(shù)據(jù)加密、備份、程序等。

1.網(wǎng)絡信息安全的內(nèi)容

(1)硬件實體安全。即網(wǎng)絡硬件和存儲媒體的安全。要保護這些硬設施不受損害，能夠正常工作；預防地震、水災、颶風、雷擊等的措施；滿足設備正常運行環(huán)境要求；防止電磁輻射、泄露；媒體的安全備份及管理等。

(2)軟件系統(tǒng)安全。即計算機程序和文檔資料及其網(wǎng)絡中各種軟件不被篡改或破壞，不被非法操作或誤操作，功能不會失效，不被非法復制。

(3)運行服務安全。即網(wǎng)絡中的各個信息系統(tǒng)能夠正常運行并能正常地通過網(wǎng)絡交流信息。通過對網(wǎng)絡系統(tǒng)中的各種設備運行狀況的監(jiān)測，發(fā)現(xiàn)不安全因素能及時報警并采取措施改變不安全狀態(tài)，保障網(wǎng)絡系統(tǒng)正常運行。

(4)數(shù)據(jù)信息安全。即網(wǎng)絡中存儲及流通數(shù)據(jù)的安全。要保護網(wǎng)絡中的數(shù)據(jù)文件和數(shù)據(jù)信息在傳輸過程中不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網(wǎng)絡安全最根本的目的。

2.網(wǎng)絡信息安全的目標

(1)保密性。保密性是指利用密碼技術對敏感信息進行加密處理同時采取抑制、屏蔽措施防止電磁泄漏，保證信息只有合法用戶才能利用，而不會泄露給非授權人、實休。

(2)完整性。完整性是指信息未經(jīng)授權不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網(wǎng)絡信息安全進行攻擊的最終目的就是破壞信息的完整性。

(3)可用性?？捎眯允侵负戏ㄓ脩粼L問并能按要求順序使用信息的特性，即保證合法用戶在需要時可以訪問到信息。

(4)可控性?？煽匦允侵甘跈鄼C構(gòu)對信息的內(nèi)容及傳播具有控制的能力的特性，可以控制授權范圍內(nèi)的信息流向以及方式。

(5)不可否認性。不可否認性是指在信息交流過程結(jié)束后，通信雙方不能抵賴曾經(jīng)做出的行為，也不能否認曾經(jīng)接收到對方的信息。

二、網(wǎng)絡信息安全面臨的威脅

1.操作系統(tǒng)自身的因素

無論哪一種操作系統(tǒng)，其體系結(jié)構(gòu)本身就是不安全的一種因素。由于操作系統(tǒng)的程序是可以動態(tài)連接的，包過I/O的驅(qū)動程序與系統(tǒng)服務都可以用打補丁的方法升級和進行動態(tài)連接。而這種動態(tài)連接正是計算機病毒產(chǎn)生的溫床，該產(chǎn)品的廠商可以使用，“黑客”成員也可以使用。因此，這種打補丁與滲透開發(fā)的操作系統(tǒng)是不可能從根本上解決安全問題。

2.網(wǎng)絡協(xié)議和軟件的安全缺陷

因特網(wǎng)的基石是TCP/IP協(xié)議簇，該協(xié)議簇在實現(xiàn)上力求效率，而沒有考慮安全因素，因為那樣無疑增大代碼量，從而降低了TCP/IP的運行效率，所以說TCP/IP本身在設計上就是不安全的。很容易被竊聽和欺騙：大多數(shù)因特網(wǎng)上的流量是沒有加密的，電子郵件口令、文件傳輸很容易被監(jiān)聽和劫持。很多基于TCP/IP的應用服務都在不同程度上存在著安全問題，這很容易被一些對TCP/IP十分了解的人所利用，一些新的處于測試階級的服務有更多的安全缺陷。缺乏安全策略：許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被內(nèi)部人員濫用，黑客從一些服務中可以獲得有用的信息，而網(wǎng)絡維護人員卻不知道應該禁止這種服務。配置的復雜性：訪問控制的配置一般十分復雜，所以很容易被錯誤配置，從而給黑客以可乘之機。TCP/IP是被公布于世的，了解它的人越多被人破壞的可能性越大?，F(xiàn)在，銀行之間在專用網(wǎng)上傳輸數(shù)據(jù)所用的協(xié)議都是保密的，這樣就可以有效地防止入侵。當然，人們不能把TCP/IP和其實現(xiàn)代碼保密，這樣不利于TCP/IP網(wǎng)絡的發(fā)展。

3.電腦黑客攻擊多樣化

進人2006年以來，網(wǎng)絡罪犯采用翻新分散式阻斷服務(DDOS)攻擊的手法，用形同互聯(lián)網(wǎng)黃頁的域名系統(tǒng)服務器來發(fā)動攻擊，擾亂在線商務。寬帶網(wǎng)絡條件下，常見的拒絕服務攻擊方式主要有兩種，一是網(wǎng)絡黑客蓄意發(fā)動的針對服務和網(wǎng)絡設備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式，造成網(wǎng)絡流量急速提高，導致網(wǎng)絡設備崩潰，或者造成網(wǎng)絡鏈路的不堪負重。

調(diào)查資料顯示，2006年初發(fā)現(xiàn)企業(yè)的系統(tǒng)承受的攻擊規(guī)模甚于以往，而且來源不是被綁架的“僵尸”電腦，而是出自于域名系統(tǒng)(DNS)服務器。一旦成為DDOS攻擊的目標，目標系統(tǒng)不論是網(wǎng)頁服務器、域名服務器，還是電子郵件服務器，都會被網(wǎng)絡上四面八方的系統(tǒng)傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統(tǒng)正常的信息處理，借以切斷攻擊目標對外的連線。黑客常用“僵尸”電腦連成網(wǎng)絡，把大量的查詢要求傳至開放的DNS服務器，這些查詢信息會假裝成被巨量信息攻擊的目標所傳出的，因此DNS服務器會把回應信息傳到那個網(wǎng)址。

美國司法部的一項調(diào)查資料顯示，1998年3月到2005年2月期間，82%的人侵者掌握授權用戶或設備的數(shù)據(jù)。在傳統(tǒng)的用戶身份認證環(huán)境下，外來攻擊者僅憑盜取的相關用戶身份憑證就能以任何臺設備進人網(wǎng)絡，即使最嚴密的用戶認證保護系統(tǒng)也很難保護網(wǎng)絡安全。另外，由于企業(yè)員工可以通過任何一臺未經(jīng)確認和處理的設備，以有效合法的個人身份憑證進入網(wǎng)絡，使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機可乘，嚴重威脅網(wǎng)絡系統(tǒng)的安全。有資料顯示，最近拉美國家的網(wǎng)絡詐騙活動增多，作案手段先進。犯罪活動已經(jīng)從“現(xiàn)實生活轉(zhuǎn)入虛擬世界”，網(wǎng)上詐騙活動日益增多。

4計算機病毒

計算機病毒是專門用來破壞計算機正常工作，具有高級技巧的程序。它并不獨立存在，而是寄生在其他程序之中，它具有隱蔽性、潛伏性、傳染性和極大的破壞性。隨著網(wǎng)絡技術的不斷發(fā)展、網(wǎng)絡空間的廣泛運用，病毒的種類急劇增加。目前全世界的計算機活體病毒達14萬多種，其傳播途徑不僅通過軟盤、硬盤傳播，還可以通過網(wǎng)絡的電子郵件和下載軟件傳播。從國家計算機病毒應急處理中日常監(jiān)測結(jié)果來看，計算機病毒呈現(xiàn)出異?；钴S的態(tài)勢。據(jù)2001年調(diào)查，我國約73%的計算機用戶曾感染病毒,2003年上半年升至83%。其中，感染3次以上的用戶高達59%，而且病毒的破壞性較大。被病毒破壞全部數(shù)據(jù)的占14%，破壞部分數(shù)據(jù)的占57%。只要帶病毒的電腦在運行過程中滿足設計者所預定的條件，計算機病毒便會發(fā)作，輕者造成速度減慢、顯示異常、丟失文件，重者損壞硬件、造成系統(tǒng)癱瘓。

5.人性的脆弱性

人們與生俱來就有信任他人、樂于助人以及對未知事物的好奇心等弱點。狡猾的電腦黑客往往利用這些弱點，通過E-mail、偽造的Web網(wǎng)站、向特定的用戶提幾個簡單的問題的伎倆，騙取公司的保密資料或從個人用戶那里騙取網(wǎng)上購物的信用卡、用戶名和密碼，達到入侵網(wǎng)絡信息系統(tǒng)的目的，使得那些采用多種先進技術的安全保護措施形同虛設。

6管理因素

用戶安全意識淡薄, 管理不善是當前存在的一個嚴重的問題。目前我國安全管理方面存在的問題主要有: 一是缺乏強有力的權威管理機構(gòu), 由于我國網(wǎng)絡安全立法滯后, 安全管理部門受人力、技術等條件的限制影響著安全管理措施的有效實施。二是缺乏安全審計,安全審計是把與安全相關的事件記錄到安全日志中,我國現(xiàn)有的網(wǎng)絡系統(tǒng)大多數(shù)缺少安全審計, 安全日志形同虛設。三是安全意識淡薄。人們對信息安全認識不夠, 過分依賴信息安全產(chǎn)品, 缺乏細致的內(nèi)部網(wǎng)絡管理機制, 一些用戶警惕性不高, 操作麻痹, 甚至把自己賬號隨意給他人。

三、保障網(wǎng)絡信息安全的對策和技術

1.安全通信協(xié)議和有關標準。

在網(wǎng)絡安全技術應用領域，安全通信協(xié)議提供了一種標準，基于這些標準，企業(yè)可以很方便地建立自己的安全應用系統(tǒng)。目前主要的安全通信協(xié)議有SSL（TLS）、IPsec和S/MIME SL提供基于客戶/服務器模式的安全標準，SSL（TLS）在傳輸層和應用層之間嵌入一個子層，主要用于實現(xiàn)兩個應用程序之間安全通訊機制，提供面向連接的保護；IP安全協(xié)議（IPsec）提供網(wǎng)關到網(wǎng)關的安全通信標準，在網(wǎng)絡層實現(xiàn)，IPsec能夠保護整個網(wǎng)絡；S/MIME在應用層提供對信息的安全保護，主要用于信息的安全存儲、信息認證、傳輸和信息轉(zhuǎn)發(fā)。三種安全通信協(xié)議雖然均提供了類似的安全服務，但是他們的具體應用范圍是不同的，在實際應用中，應根據(jù)具體情況選擇相應的安全通信協(xié)議。

2.防火墻技術

防火墻技術是為了保證網(wǎng)絡路由安全性而在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造一個保護層。所有的內(nèi)外連接都強制性地經(jīng)過這一保護層接受檢查過濾，只有被授權的通信才允許通過。防火墻的安全意義是雙向的，一方面可以限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問，另一方面也可以限制內(nèi)部網(wǎng)對外部網(wǎng)中不健康或敏感信息的訪問。同時，防火墻還可以對網(wǎng)絡存取訪問進行記錄和統(tǒng)計，對可疑動作告警，以及提供網(wǎng)絡是否受到監(jiān)視和攻擊的詳細信息。防火墻系統(tǒng)的實現(xiàn)技術一般分為兩種，一種是分組過濾技術，一種是代理服務技術。分組過濾基于路由器技術，其機理是由分組過濾路由器對IP分組進行選擇，根據(jù)特定組織機構(gòu)的網(wǎng)絡安全準則過濾掉某些IP地址分組，從而保護內(nèi)部網(wǎng)絡。代理服務技術是由一個高層應用網(wǎng)關作為代理服務器，對于任何外部網(wǎng)的應用連接請求首先進行安全檢查，然后再與被保護網(wǎng)絡應用服務器連接。代理服務技術可使內(nèi)、外網(wǎng)絡信息流動受到雙向監(jiān)控。

3.訪問拉制技術

訪問控制根據(jù)用戶的身份賦予其相應的權限，即按事先確定的規(guī)則決定主體對客體的訪問是否合法，當一主體試圖非法使用一個未經(jīng)授權使用的客體時，該機制將拒絕這一企圖，其主要通過注冊口令、用戶分組控制、文件權限控制三個層次完成。此外，審計、日志、入侵偵察及報警等對保護網(wǎng)絡安全起一定的輔助作用，只有將上述各項技術很好地配合起來，才能為網(wǎng)絡建立一道安全的屏障。

4.反病毒軟件

反病毒軟件已成為人們抵御病毒進攻的有力武器。目前的反病毒軟件具有幾項技術特色。首先, 出現(xiàn)了病毒防火墻。該技術為用戶提供了一個實時監(jiān)防止病毒發(fā)作的工具,它對用戶訪問的每一個文件進行病毒檢測, 確認無毒后才會讓系統(tǒng)接管進行下一步的工作。其次, 反病毒軟件提出了在線升級的方式。第三, 完成了統(tǒng)一的防病毒管理。第四,嵌入式查毒技術的形成, 它將殺毒引擎直接嵌掛到IE 瀏覽器和流行辦公軟件Office2003 和OfficeXP 組件當中,使其與可能發(fā)生病毒侵擾的應用程序有機地結(jié)合為一體, 在占用系統(tǒng)資源最小的情況下查殺病毒。

5.入侵檢測技術

隨著網(wǎng)絡安全風險系數(shù)的不斷提高, 作為對防火墻及其有益的補充, IDS(入侵檢測系統(tǒng))能夠幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,它擴展了系統(tǒng)管理員的安全管理能力包括安全審計、監(jiān)視、進攻識別和響應, 提高了信息安全基礎結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)是一種對網(wǎng)絡活動進行實時監(jiān)測的專用系統(tǒng), 該系統(tǒng)處于防火墻之后, 可以和防火墻及路由器配合工作, 用來檢查一個LAN 網(wǎng)段上的所有通信,記錄和禁止網(wǎng)絡活動,可以通過重新配置來禁止從防火墻外部進入的惡意流量。入侵檢測系統(tǒng)能夠?qū)W(wǎng)絡上的信息進行快速分析或在主機上對用戶進行審計分析, 通過集中控制臺來管理、檢測。

6.PKI技術

PKI是在公開密鑰理論和技術基礎上發(fā)展起來的一種綜合安全平臺，能夠為所有網(wǎng)絡應用透明地提供采用加密和數(shù)字簽名等密碼服務所必需的密鑰和證書管理，從而達到保證網(wǎng)上傳遞信息的安全、真實、完整和不可抵賴的目的。利用PKI可以方便地建立和維護一個可信的網(wǎng)絡計算環(huán)境，從而使得人們在這個無法直接相互面對的環(huán)境里，能夠確認彼此的身份和所交換的信息，能夠安全地從事商務活動。目前，PKI技術己趨于成熟，其應用已覆蓋了從安全電子郵件、虛擬專用網(wǎng)絡(VPN),Web交互安全到電子商務、電子政務、電子事務安全的眾多領域，許多企業(yè)和個人已經(jīng)從PKI技術的使用中獲得了巨大的收益。

在PKI體系中，CA(CertificateAuthority，認證中心)和數(shù)字證書是密不可分的兩個部分。認證中心又叫CA中心，它是負責產(chǎn)生、分配并管理數(shù)字證書的可信賴的第三方權威機構(gòu)。認證中心是PKI安全體系的核心環(huán)節(jié)，因此又稱作PKI/CA。認證中心通常采用多層次的分級結(jié)構(gòu)，上級認證中心負責簽發(fā)和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。數(shù)字證書，又叫“數(shù)字身份證”、“數(shù)字ID”，是由認證中心發(fā)放并經(jīng)認證中心數(shù)字簽名的，包含公開密鑰擁有者以及公開密鑰相關信息的一種電子文件，可以用來證明數(shù)字證書持有者的真實身份。

7.增強網(wǎng)絡安全意識

利用講座和電視視頻直播給上網(wǎng)的朋友們普及有關網(wǎng)絡安全知識,使他們知道網(wǎng)絡中時時刻刻都存在潛在的威脅,可能會帶來經(jīng)濟損失和精神損失。同時，還要讓他們知道一切不明身份的垃圾郵件千萬不要打開，因為它可能給你的電腦帶進病毒。通過事實中的案例告訴網(wǎng)民在網(wǎng)絡中做任何事情一定不要放松自己的警惕，加強自己電腦的殺毒軟件，多關注網(wǎng)上欺騙手段的視頻?？傊?，利用一切可以利用的手段加強網(wǎng)民的網(wǎng)絡安全意識。

8.法律保護

隨著互聯(lián)網(wǎng)技術的發(fā)展，大量的信息在互聯(lián)網(wǎng)上進行傳播，不可避免地會侵犯他人的合法權益，而且這種侵犯將因為互聯(lián)網(wǎng)比其他媒體更有廣泛的影響而加重侵權的嚴重程度。從這個意義上來說，一個人可以不上網(wǎng)，但是他的合法權益被他人通過互聯(lián)網(wǎng)侵犯卻是有可能的，因此，加強與互聯(lián)網(wǎng)相關的立法建設，對于全體國民都是非常重要的。

四、結(jié)論

隨著信息技術的飛速發(fā)展，網(wǎng)絡及網(wǎng)絡信息安全技術已經(jīng)深入到了社會的多個領域。網(wǎng)絡和信息時代給我們帶來技術進步和生活便利的同時，也給國家和個人都帶了巨大經(jīng)濟損失。網(wǎng)民要加強自己的防范意識，保證自己的財產(chǎn)不受到侵犯。我還希望國家相關部門規(guī)范網(wǎng)絡信息安全標準，加快先進技術的研發(fā)來保障網(wǎng)絡通訊的安全。同時，加強相關法律法規(guī)的力度來保證人民的根本利益，為我們提供一個安全的網(wǎng)絡環(huán)境。參考文獻：

[1]龐淑英.網(wǎng)絡信息安全技術基礎及應用.2009 [2]李俊宇.信息安全技術基礎冶金工業(yè)出版社.2004.12 [3]王麗輝.網(wǎng)絡安全及相關技術吉林農(nóng)業(yè)科技學院學報，第19卷第2期.2005 [4]何萬敏.網(wǎng)絡信息安全與防范技術甘肅農(nóng)業(yè).2005年第1期 [5]黃慧陳閡中.針對黑客攻擊的預防措施計算機安全.2005 [6]王云峰.信息安全技術及策略[J].廣東廣播電視大學學報,2006

第三篇：網(wǎng)絡安全技術論文

當前網(wǎng)絡常見安全問題分析

指導老師：

摘要：信息時代，人們對計算機和網(wǎng)絡的應用和依賴程度愈來愈高，信息安全問題日益突顯，海量的信息存儲在網(wǎng)絡上，隨時可能遭到非法入侵，存在著嚴重的安全隱患本文針對根據(jù)幾火突出的網(wǎng)絡安全問題，歸納并提出了一些網(wǎng)絡信息安全防抄的方法和策略計算機網(wǎng)絡的廣泛應用給計算機的安全提出了更高的要求，也使網(wǎng)絡安全問題日漸突出。如果不很好地解決這個問題，必將阻礙計算機網(wǎng)絡化發(fā)展的進程。關鍵詞：網(wǎng)絡安全

黑客入侵

網(wǎng)絡詐騙

1、網(wǎng)絡安全的基本內(nèi)涵

網(wǎng)絡安全從本質(zhì)上來講就是網(wǎng)絡上的信息安全，網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全，具體指的是網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不會因為偶然的或者惡意的攻擊而遭到破壞、更改、泄漏，系統(tǒng)能夠連續(xù)可靠、正常地運行，網(wǎng)絡服務不中斷網(wǎng)絡安全包括數(shù)據(jù)安全和系統(tǒng)安全兩方面，它具有保密性、完整性、可用性可控性、不可否認性五大特征

從廣義上來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論，都是網(wǎng)絡安全所要研究的領域。計算機網(wǎng)絡安全不僅包括組網(wǎng)的硬件、管理控制網(wǎng)絡的軟件，也包括共享的資源，快捷的網(wǎng)絡服務，所以定義網(wǎng)絡安全應考慮涵蓋計算機網(wǎng)絡所涉及的全部內(nèi)容。參照ISO給出的計算機安全定義，認為計算機網(wǎng)絡安全是指：“保護計算機網(wǎng)絡系統(tǒng)中的硬件，軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡系統(tǒng)連續(xù)可靠性地正常運行，網(wǎng)絡服務正常有序?！?/p>

2、常見的網(wǎng)絡安全問題

互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡環(huán)境為信息共享、信息交流、信息服務創(chuàng)造了理想空間，網(wǎng)絡技術的迅速發(fā)展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題：（1）信息泄漏、信息污染、信息不易受控。例如，資源未授權侵用、未授權信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認等，這些都是信息安全的技術難點。（2）在網(wǎng)絡環(huán)境中，一些組織或個人出于某種特殊目的，進行信息泄密、信息破壞、信息侵權和意識形態(tài)的信息滲透，甚至通過網(wǎng)絡進行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權益受到威脅。（3）網(wǎng)絡運用的趨勢是全社會廣泛參與，隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧，使信息資源的保護和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問題變得廣泛而復雜。（4）隨著社會重要基礎設施的高度信息化，社會的“命脈”和核心控制系統(tǒng)有可能面臨惡意攻擊而導致?lián)p壞和癱瘓，包括國防通信設施、動力控制網(wǎng)、金融系統(tǒng)和政府網(wǎng)站等。

2.1遭受黑客攻擊

自 1994 年國際互聯(lián)網(wǎng)進入我國以來，我國的網(wǎng)民人數(shù)急劇增長，隨著網(wǎng)絡的逐漸普及，黑客隊伍也相應產(chǎn)生并逐漸壯大，其作案范圍日益擴大，作案手段日益高明，對網(wǎng)絡安全造成了危害。

黑客主要是使用一些現(xiàn)有的工具對操作系統(tǒng)的弱口令或安全漏洞加以利用攻擊，獲得一般用戶甚至管理員用戶權限，進而達到實施破壞的目的。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行，并不盜竊系統(tǒng)資料，通常采用拒絕服務攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標系統(tǒng)的數(shù)據(jù)為目的

電腦黑客活動已形成重要威脅。網(wǎng)絡信息系統(tǒng)具有致命的脆弱性、易受攻擊性和開放性，從國內(nèi)情況來看，目前我國95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡管理中心都遭受過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機構(gòu)是黑客攻擊的重點。

2.2計算機病毒

病毒實際上是一種特殊的程序或普通程序中的一段特殊代碼，它的功能是破壞計算機的正常運行或竊取用戶計算機上的隱私。計算機感染上病毒后，輕則使系統(tǒng)效率下降，重則造成系統(tǒng)死機或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計算機主板等部件的損壞。有了互聯(lián)網(wǎng)后，病毒的傳播速度更快，涉及范圍更廣，危害性更大。計算機系統(tǒng)遭受病毒感染和破壞的情況相當嚴重。據(jù)國家計算機病毒應急處理中心副主任張健介紹，從國家計算機病毒應急處理中心日常監(jiān)測結(jié)果看來，計算機病毒呈現(xiàn)出異?；钴S的態(tài)勢。

2.3 垃圾郵件和間諜軟件

一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進行商業(yè)、宗教、政治等活動，把自己的電子郵件強行“推入”別人的電子郵箱，強迫他人接受垃圾郵件。與計算機病毒不同，間諜軟件的主要目的不在于對系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設置，威脅用戶隱私和計算機安全，并可能不同程度地影響系統(tǒng)性能。

2.4 計算機犯罪

計算機犯罪，通常是利用竊取口令等手段非法侵人計算機信息系統(tǒng)，傳播有害信息，惡意破壞計算機系統(tǒng)，實施貪污盜竊、詐騙和金融犯罪等活動。網(wǎng)絡安全的防范措施

3.1 安裝殺毒軟件

計算機病毒有以下五種特征：寄生性、傳染性、破壞性、可觸發(fā)性、可潛伏性。根據(jù)計算機病毒的特征，人們摸索出了許多檢測計算機病毒和殺毒的軟件。國內(nèi)的有瑞星、KV3000、金山毒霸、360殺毒軟件等，國外的有諾頓、卡巴斯基等。但是，沒有哪種殺毒軟件是萬能的，所以當本機的殺毒軟件無法找到病毒時，用戶可以到網(wǎng)上下載一些專殺工具，如木馬專殺工具、蠕蟲專殺工具或宏病毒專殺工具等。值得注意的是，安裝了殺毒軟件后，我們還必須每周至少更新一次殺毒軟件病毒庫，因為防病毒軟件只有最新才是最有效的。每周還要對電腦硬盤進行一次全面的掃描、殺毒，以便及時發(fā)現(xiàn)并清除隱藏在系統(tǒng)中的病毒。當不慎感染上病毒時，應立即將殺毒軟件升級到最新版本，然后對整個硬盤進行掃描，清除一切可以查殺的病毒。當受到網(wǎng)絡攻擊時，我們的第一反應就是拔掉網(wǎng)絡連接端口以斷開網(wǎng)絡。3.2 安裝網(wǎng)絡防火墻

所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客訪問自己的網(wǎng)絡，防止他們隨意更改、移動甚至刪除網(wǎng)絡上的重要信息。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，所以，防火墻是網(wǎng)絡安全的重要一環(huán)。常見的個人網(wǎng)絡防火墻有天網(wǎng)防火墻、瑞星防火墻和360安全衛(wèi)士等。.安裝防病毒網(wǎng)關軟件 防病毒網(wǎng)關放置在內(nèi)部網(wǎng)絡和互聯(lián)網(wǎng)連接處。當在內(nèi)部網(wǎng)絡發(fā)現(xiàn)病毒時，可能已經(jīng)感染了很多計算機，防病毒網(wǎng)關可以將大部分病毒隔離在外部，它同時具有反垃圾郵件和反間諜軟件的能力。當出現(xiàn)新的病毒時，管理員只要將防病毒網(wǎng)關升級就可以抵御新病毒的攻擊。

3.3 數(shù)據(jù)加密

數(shù)據(jù)加密作為一項基本技術是所有通信安全的基石。數(shù)據(jù)加密過程是由形形色色的加密算法來具體實施的，它以很小的代價來提供很大的安全保護。在多數(shù)情況下，數(shù)據(jù)加密是保證信息機密性的惟一方法。一般把受保護的原始信息稱為明文，編碼后的稱為密文。數(shù)據(jù)加密的基本過程包括對明文進行翻譯，譯成密文或密碼的代碼形式。該過程的逆過程為解密，即將該加密的編碼信息轉(zhuǎn)化為原來的形式的過程。機密資料被加密后，無論是被人通過復制數(shù)據(jù)、還是采用網(wǎng)絡傳送的方式竊取過去，只要對方不知道你的加密算法，該機密資料就成了毫無意義的亂碼一堆。常見的加密軟件有SecWall、明朝萬達、完美數(shù)據(jù)加密大師等。

3.4 警惕“網(wǎng)絡釣魚”

“網(wǎng)絡釣魚”（phishing）是通過大量發(fā)送聲稱來自于銀行或其他知名機構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息的一種攻擊方式。黑客就是利用這種欺騙性的電子郵件和偽造的web站點來進行網(wǎng)絡詐騙活動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內(nèi)容。黑客通常會將自己偽裝成網(wǎng)絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。對此，用戶應該提高警惕，可安裝一款有反垃圾郵件功能的良好殺毒軟件。大多數(shù)安全產(chǎn)品都能將這種郵件識別為垃圾郵件，使你對它們的花言巧語提高警惕。不登錄不熟悉的網(wǎng)站，鍵入網(wǎng)站地址時要認真校對。多用常識思考，因為這是你 抵御詐騙的最有效方式。沒有人會無條件地給予你什么，而網(wǎng)上一見鐘情的概率也是微乎其微。因此，你從一開始就要對這種聯(lián)絡抱有高度懷疑，以防誤入圈套。結(jié)語

本文簡要地分析了計算機網(wǎng)絡存在的幾種安全隱患，并探討了計算機網(wǎng)絡的幾種安全防范措施?？偟膩碚f，網(wǎng)絡安全不僅僅是技術問題，同時也是一個安全管理問題。目前解決網(wǎng)絡安全問題的大部分技術是存在的，但是隨著社會的發(fā)展，人們對網(wǎng)絡功能的要求愈加苛刻，這就決定了通信網(wǎng)絡安全維護是一個長遠持久的課題。我們必須適應社會，不斷提高技術水平，以保證網(wǎng)絡安全維護的順利進行。

參考文獻

1、尹建璋《計算機網(wǎng)絡技術及應用實例》西安電子科技大學出版社，2、劉遠生、辛一主編《計算機網(wǎng)絡安全》北京:清華大學出版社.2009.6

3、張千里，陳光英《網(wǎng)絡安全新技術》北京：人民郵電出版社,2003.1

4、徐茂智《信息安全概論》人民郵電出版社2007.8

5、劉永華、解圣慶《局域網(wǎng)組建、管理與維護》清華大學出版社2006.6

5、呂江。網(wǎng)絡安全現(xiàn)狀分析及應對措施[J]．中國新技術新產(chǎn)品，2009，23：44～45．

The current network common security analysis

Abstract: information age, people to the computer and network applications and dependence on more and more high, the information security problem has become very prominent, the magnitude of the information stored in the network, may at any time by the illegal invasion, there are serious security hidden danger in this paper according to a few fire outstanding network security problem, inductive and puts forward some prevention network information security copy method and strategy of the wide application of computer network to computer security put forward higher request, also make the problem of network security becomes more and more serious if not solve this problem well, will hinder the process of the development of computer network.Keywords: network security ,hackers ,network fraud

第四篇：網(wǎng)絡安全技術論文

網(wǎng)絡安全技術 論文

題 目 網(wǎng)絡安全之防火墻技術 學生姓名 ＿＿ *** ＿＿＿ ＿＿ 學 號 ＿ ***＿ ＿＿＿＿ 專業(yè)班級 ＿＿＿*** ＿

指導老師 ＿ ***＿ ＿＿ ＿

2011年 12 月12日

摘要：

文中首先論述了信息網(wǎng)絡安全內(nèi)涵發(fā)生的根本變化，闡述了我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網(wǎng)絡安全體系的必要性，然后具體講述了網(wǎng)絡防火墻安全技術的分類及其主要技術特征，防火墻部署原則，并從防火墻部署的位置詳細闡述了防火墻的選擇標準。同時就信息交換加密技術的分類及RSA算法作了簡要的分析，論述了其安全體系的構(gòu)成。關鍵詞：網(wǎng)絡安全 防火墻

一、防火墻的定義和由來

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術得到了飛速的發(fā)展。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應用層網(wǎng)關(代理服務器)以及電路層網(wǎng)關、屏蔽主機防火墻、雙宿主機等類型。防火墻處于5層網(wǎng)絡安全體系中的最底層,屬于網(wǎng)絡層安全技術范疇。在這一層上,企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡層采取相應的防范措施。

二、防火墻的功能

防火墻服務于以下多個目的： 1)限定人們從一個特定的控制點進入； 2)限定人們從一個特定的點離開； 3)防止侵入者接近你的其他防御設施；

4)有效地阻止破壞者對你的計算機系統(tǒng)進行破壞。

1）防火墻是網(wǎng)絡安全的屏障：

一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

2）防火墻可以強化網(wǎng)絡安全策略：

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。

3）對網(wǎng)絡存取和訪問進行監(jiān)控審計：

如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。

除了安全作用，防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部網(wǎng)絡技術體系VPN（虛擬專用網(wǎng)）。

三、防火墻技術與產(chǎn)品發(fā)展的回顧

從總體上看,防火墻應該具有以下五大基本功能：

●過濾進、出網(wǎng)絡的數(shù)據(jù)； ●管理進、出網(wǎng)絡的訪問行為； ●封堵某些禁止行為；

●記錄通過防火墻的信息內(nèi)容和活動； ●對網(wǎng)絡攻擊進行檢測和告警。

為實現(xiàn)以上功能,在防火墻產(chǎn)品的開發(fā)中,人們廣泛地應用了網(wǎng)絡拓撲、計算機操作系統(tǒng)、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段?？v觀防火墻近年

來的發(fā)展,可以將其劃分為如下四個階段(即四代)。

1）基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過濾功能,故網(wǎng)絡訪問控制可能通過路控制來實現(xiàn),從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點是：

1)利用路由器本身對分組的解析,以訪問控制表(Access List)方式實現(xiàn)對分組的過濾； 2)過濾判斷的依據(jù)可以是:地址、端口號、IP旗標及其他網(wǎng)絡特征；

3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對安全要求低的網(wǎng)絡可以采用路由器附帶防火墻功能的方法,而對安全性要求高的網(wǎng)絡則需要單獨利用一臺路由器作為防火墻。2）用戶化的防火墻工具套

為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護自己的網(wǎng)絡,從而推動了用戶防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下特征： 1)將過濾功能從路由器中獨立出來,并加上審計和告警功能;； 2)針對用戶需求,提供模塊化的軟件包；

3)軟件可以通過網(wǎng)絡發(fā)送,用戶可以自己動手構(gòu)造防火墻；

4)與第一代防火墻相比,安全性提高了,價格也降低了。3）建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些特點:：

1)是批量上市的專用防火墻產(chǎn)品；

2)包括分組過濾或者借用路由器的分組過濾功能；

3)裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；

4)保護用戶編程空間和用戶可配置內(nèi)核參數(shù)的設置； 5)安全性和速度大大提高。

四、防火墻的選擇

選擇防火墻的標準有很多,但最重要的是以下幾條:

1.總擁有成本防火墻產(chǎn)品作為網(wǎng)絡系統(tǒng)的安全屏障,其總擁有成本(TCO)不應該超過受保護網(wǎng)絡系統(tǒng)可能遭受最大損失的成本。

以一個非關鍵部門的網(wǎng)絡系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于關鍵部門來說,其所造成的負面影響和連帶損失也應考慮在內(nèi)。如果僅做粗略估算,非關鍵部門的防火墻購置成本不應該超過網(wǎng)絡系統(tǒng)的建設總成本,關鍵部門則應另當別論。

2.防火墻本身是安全的

通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,這類問題一般用戶根本無從入手,只有通過權威認證機構(gòu)的全面測試才能確定。其二是使用不當。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。3.可擴充性

隨著網(wǎng)絡的擴容和網(wǎng)絡應用的增加,網(wǎng)絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產(chǎn)品。好的產(chǎn)品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統(tǒng),而隨著要求的提高,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產(chǎn)品的廠商來說,也擴大了產(chǎn)品覆蓋面。

五、結(jié)論

雖然防火墻是目前保護網(wǎng)絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。針對這些缺陷，應該設計更為有效的防火墻，為網(wǎng)絡安全提供更全面的保障。

參考文獻

[1] 莫向陽.Filter-Hook Driver詳解[M].北京：機械工業(yè)出版社，2008。[2] W.Richard Stevens.TCP/IP詳解卷一[M].北京：機械工業(yè)出版社，2004。[3] 辛長安.Viusal C++編程技術與難點剖析[M].北京：清華大學出版社，2002。

第五篇：網(wǎng)絡安全技術論文

常見防火墻技術分析

?

指導教師：曾啟杰

（廣東工業(yè)大學自動化學院，廣州，510006）

摘 要:隨著科學技術和經(jīng)濟的迅猛發(fā)展，網(wǎng)絡所涉及的應用領域也越來越廣泛。Internet的迅猛發(fā)展給現(xiàn)代人的生產(chǎn)和生活帶來了前所未有的飛躍，但同時網(wǎng)絡病毒和黑客入侵的問題也越來越突出，網(wǎng)絡安全問題變得尤為重要。就目前網(wǎng)絡保護而言，防火墻依然是一種有效的手段。但是，由于防火墻是屬于高科技產(chǎn)物，許多人對此還并不了解。鑒于此，本文從通用的角度，通俗易懂地表述有關防火墻技術的一些知識及應用。

關鍵詞: 防火墻（Firewall）Internet防火墻技術 網(wǎng)絡安全（Network Security）應用現(xiàn)狀 1防火墻技術

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術得到了飛速的發(fā)展。

1.1防火墻的概念

防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障，是一種獲取安全性方法的形象說法。它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。

而在網(wǎng)絡中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。[1]

1.2防火墻原理

首先，我們需要了解一些基本的防火墻實現(xiàn)原理。防火墻目前主要分包過濾，和狀態(tài)檢測的包過濾，應用層代理防火墻，但是他們的基本實現(xiàn)都是類似的。

│ │---路由器-----網(wǎng)卡│防火墻│網(wǎng)卡│----------內(nèi)部網(wǎng)絡│ │

防火墻一般有兩個以上的網(wǎng)絡卡，一個連到外部(router)，另一個是連到內(nèi)部網(wǎng)絡。當打開主機網(wǎng)絡轉(zhuǎn)發(fā)功能時，兩個網(wǎng)卡間的網(wǎng)絡通訊能直接通過。當有防火墻時，他好比插在網(wǎng)卡之間，對所有的網(wǎng)絡通訊進行控制。

1.3防火墻的主要類型

1.3.1 網(wǎng)絡層防火墻

網(wǎng)絡層防火墻可視為一種IP封包過濾器，運作在底層的TCP/IP協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過某些防火墻設備可能只能套用內(nèi)置的規(guī)則。我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行。操作系統(tǒng)及網(wǎng)絡設備大多已內(nèi)置防火墻功能。1.3.2 應用層防火墻 應用層防火墻是在 TCP/IP 堆棧的“應用層”上運作，我們使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包，并且封鎖其他的封包（通常是直接將封包丟棄）。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進到受保護的機器里。[2] 1.3.3 數(shù)據(jù)庫防火墻

數(shù)據(jù)庫防火墻是一款基于數(shù)據(jù)庫協(xié)議分析與控制技術的數(shù)據(jù)庫安全防護系統(tǒng)。基于主動防御機制，實現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險操作阻斷、可疑行為審計。數(shù)據(jù)庫防火墻通過SQL協(xié)議分析，根據(jù)預定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫的外圍防御圈，實現(xiàn)SQL危險操作的主動預防、實時審計。數(shù)據(jù)庫防火墻面對來自于外部的入侵行為，提供SQL注入禁止和數(shù)據(jù)庫虛擬補丁包功能。

1.4防火墻技術

1.4.1 Internet防火墻技術概念

防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互連環(huán)境之中，尤以Internet網(wǎng)絡為最甚。Internet防火墻是近年發(fā)展起來的一項網(wǎng)絡安全技術，其特征是通過在網(wǎng)絡邊界上建立相應的網(wǎng)絡通信監(jiān)控系統(tǒng)，達到保障網(wǎng)絡安全的目的。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外屏蔽網(wǎng)絡內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保護。1.4.2 Internet防火墻目的

防火墻原是指建筑物大廈用來防止火災蔓延的隔斷墻。從理論上講，Internet防火墻服務也屬于類似的用來防止外界侵入的。它可以防止Internet上的各種危險(病毒、資源盜用等)傳播到你的網(wǎng)絡內(nèi)部。而事實上，防火墻并不像現(xiàn)實生活中的防火墻，它有點像古代守

1)2)3)

4)有效地阻止破壞者對你的計算機系統(tǒng)進行破壞。1.4.3 Internet防火墻五大基本功能

所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻，這樣防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用。從邏輯上講，防火墻是起分隔、限制、分析的作用。

防火墻作為網(wǎng)絡安全策略的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪

1)過濾進、出網(wǎng)絡的數(shù)據(jù) 2)管理進、出網(wǎng)絡的訪問行為 3)封堵某些禁止行為

4)記錄通過防火墻的信息內(nèi)容和活動 5）對網(wǎng)絡攻擊進行檢測和告警

為實現(xiàn)以上功能，在防火墻產(chǎn)品的開發(fā)中，人們廣泛地應用了網(wǎng)絡拓撲、計算機操作系統(tǒng)、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段。[3]

2.防火墻技術的功能 2.1基本功能

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計 算機。我們可以將防火墻配置成許多不同保護級別，高級別的保護可能會禁止一些服務，如視頻流等。

防火墻最基本的功能就是控制在計算機網(wǎng)絡中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。防火墻對流經(jīng)它的網(wǎng)絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

2.2保護網(wǎng)絡安全

一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。

防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

2.3數(shù)據(jù)庫安全

實現(xiàn)數(shù)據(jù)庫安全的實時防護。數(shù)據(jù)庫防火墻通過SQL 協(xié)議分析，根據(jù)預定義的禁止和許可策略讓合法的SQL 操作通過，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫的外圍防御圈,實現(xiàn)SQL 危險操作的主動預防、實時審計。數(shù)據(jù)庫防火墻面對來自于外部的入侵行為，提供SQL 注入禁止和數(shù)據(jù)庫虛擬補丁包功能。

2.4其他功能

除了安全作用，防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部網(wǎng)絡技術體系VPN（虛擬專用網(wǎng)）。防火墻的英文名為“FireWall”，它是目前一種最重要的網(wǎng)絡防護設備。從專業(yè)角度講，防火墻是位于兩個（或多個）網(wǎng)絡間，實施網(wǎng)絡之間訪問控制的一組組件集合。

3.防火墻技術的應用

3.1防火墻技術在網(wǎng)絡安全應用中的重要性

防火墻最基本的功能就是控制在計算機網(wǎng)絡中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它在網(wǎng)絡安全應用中的重要性主要包括以下幾個方面： 3.1.1 網(wǎng)絡安全的屏障

防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

3.1.2 強化網(wǎng)絡安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。

3.1.3 監(jiān)控網(wǎng)絡存取和訪問

如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻?3 供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。

3.1.4 防止內(nèi)部信息的外泄

通過利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。再者，隱私是內(nèi)部網(wǎng)絡非常關心的問題，一個內(nèi)部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡的某些安全漏洞。

3.2黑客攻擊防火墻技術

一直以來，黑客都在研究攻擊防火墻的技術和手段，攻擊的手法和技術越來越智能化和多樣化。但是就黑客攻擊防火墻的過程上看，大概可以分為三類攻擊。

第一類攻擊防火墻的方法是探測在目標網(wǎng)絡上安裝的是何種防火墻系統(tǒng)并且找出此防火墻系統(tǒng)允許哪些服務。我們叫它為對防火墻的探測攻擊。

第二類攻擊防火墻的方法是采取地址欺騙、TCP序號攻擊等手法繞過防火墻的認證機制，從而對防火墻和內(nèi)部網(wǎng)絡破壞。

第三類攻擊防火墻的方法是尋找、利用防火墻系統(tǒng)實現(xiàn)和設計上的安全漏洞，從而有針對性地發(fā)動攻擊。這種攻擊難度比較大，可是破壞性很大。[4]

3.3防火墻技術在網(wǎng)絡安全中的應用現(xiàn)狀

隨著防火墻技術的不斷更新，新型的防火墻技術安全性能更高，它綜合了過濾和代理技術，克服二者在安全方面的缺陷，使得防火墻的安全性能有了長足提高。目前新型防火墻技術主要包括以下幾種：

1.分布式防火墻技術，指那些駐留在網(wǎng)絡中主機如服務器或桌面機并對主機系統(tǒng)自身提供安全保護的軟件產(chǎn)品，廣義上講，分布式防火墻是一種新的防火墻體系結(jié)構(gòu)。

2.嵌入式防火墻技術，指內(nèi)嵌于路由器或交換機的防火墻，通常也被稱為阻塞點防火墻，這種防火墻能彌補并改善各類安全能力不足的企業(yè)邊緣防火墻、基于主機的應用程序、網(wǎng)絡代理程序、入侵檢測告警程序和防病毒程序等，確保企業(yè)內(nèi)部和外部的網(wǎng)絡安全。

3.職能防火墻技術，通過利用統(tǒng)計、記憶、概率和決策的職能方法對數(shù)據(jù)進行識別，并達到訪問控制的目的，由于這些方法多時人工職能學科采用的方法，也統(tǒng)稱為職能防火墻。

3.4 windows防火墻的具體操作

3.4.1 如何關閉windows防火墻

a：打開“開始”菜單，“運行”輸入control命令打開控制面板；

b：在控制面板中找到“防火墻”圖標雙擊打開；

c：選擇“關閉（不推薦）”并確定即可關閉防火墻。3.4.2 如何打開windows防火墻

只需將關閉防火墻的第三步改成“啟用（推薦）”即可開啟示windows防火墻。

參考文獻

1防火墻知識導讀

2楊青，崔建群，鄭世鈺 ．計算機網(wǎng)絡技術及應用教程 ：清華大學出版社，2007年2月第1版 ． 3淺析Internet防火墻技術 4黑客突破防火墻常用的幾種技術