第一篇：網(wǎng)絡(luò)安全技術(shù)課程論文

《網(wǎng)絡(luò)安全技術(shù)》課程論文

題

目：

網(wǎng)絡(luò)黑客 院

(部)：

商學(xué)院 專

業(yè)：

電子商務(wù) 班

級(jí)：

姓

名：

學(xué)

號(hào)：

指導(dǎo)教師：

完成日期：

網(wǎng) 絡(luò) 黑 客

摘要:隨著網(wǎng)絡(luò)在人們生活與工作的各方面使用的日益普遍，網(wǎng)絡(luò)安全問題已經(jīng)成為一 個(gè)被人們強(qiáng)烈關(guān)注的熱點(diǎn)。而其中黑客攻擊所造成的安全問題是很重要的一個(gè)方面。本文將介紹有關(guān)黑客使用的手段,造成的威脅與應(yīng)對(duì)的方法。隨著網(wǎng)絡(luò)在人們生活與工作的各方面使用的日益普遍，網(wǎng)絡(luò)安全問題已經(jīng)成為一 個(gè)被人們強(qiáng)烈關(guān)注的熱點(diǎn)。而其中黑客攻擊所造成的安全問題是很重要的一個(gè)方面。本文將介紹有關(guān)黑客使用的手段,造成的威脅與應(yīng)對(duì)的方法。關(guān)鍵詞：網(wǎng)絡(luò)安全，黑客技術(shù)，黑客，病毒，防火墻。

一、網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)軟件安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

二、黑客技術(shù)

2.1定義

黑客是英文“Hacker”的英文譯音,它起源于美國(guó)麻省理工學(xué)院的計(jì)算機(jī)實(shí)驗(yàn)室中。早期黑客只是利用自己的智慧和特殊的技術(shù)，揭露軟件和網(wǎng)絡(luò)系統(tǒng)中的漏洞,以便讓制造商和網(wǎng)絡(luò)管理人員及時(shí)修補(bǔ)。然而,當(dāng)互聯(lián)網(wǎng)以遠(yuǎn)比人們預(yù)料快的多的速度發(fā)展的時(shí)候,黑客原有的“揭露漏洞,不進(jìn) 行破壞,幫助完善系統(tǒng)”的信條已發(fā)生了變異，現(xiàn)代的黑客已經(jīng)分化為三類,一是初級(jí)黑客, 這些人一般沒有特殊的企圖,只是出于好奇心,追求刺激,試探性地對(duì)網(wǎng)絡(luò)進(jìn)行攻擊；二是 高水平黑客,這些人出于利益的驅(qū)動(dòng),為達(dá)到一定的目的,有針對(duì)性地對(duì)網(wǎng)絡(luò)進(jìn)行攻擊；三 是職業(yè)黑客,這些人其本身可能就是恐怖分子,經(jīng)濟(jì)或政治間諜等,由于他們的水平極高, 攻擊具有很大的隱蔽性,因而造成的損失也最大?？傊?從發(fā)展趨勢(shì)看,黑客正在不斷地走向系統(tǒng)化,組織化和年輕化。

2.2中國(guó)黑客的現(xiàn)狀

如今國(guó)內(nèi)黑客站點(diǎn)門派繁多，但整體素質(zhì)不如人意，有的甚至低劣。主要體現(xiàn)在以下幾點(diǎn)：（1）叫法不一，很不正規(guī)。（2）技術(shù)功底薄弱，夸大作風(fēng)。

（3）內(nèi)容粗制濫造，應(yīng)付了事，原創(chuàng)作品少，且相互抄襲。曾有某篇文章說，中國(guó)的黑客一代不如一代。

（4）效率低，更新少，可讀性差，界面雜亂。有些站點(diǎn)很少更新，死鏈接，打不開，站點(diǎn)雜亂，經(jīng)常有死鏈接，作品抄襲。

（5）整體技術(shù)水平不高，研究層次級(jí)別低。（6）缺少一個(gè)統(tǒng)一協(xié)調(diào)中國(guó)黑客界行動(dòng)發(fā)展的組織。2.3黑客的危害

由于成為黑客并實(shí)施黑客攻擊越來越容易,因此黑客攻擊的事件越來越多,造成的危害也就越來越嚴(yán)重,歸納起來,主要有以下幾種: 2.31 充當(dāng)政治工具

近年來,黑客活動(dòng)開始染上政治色彩,用非法入侵到國(guó)防，政府等一些機(jī)密信息系統(tǒng)，盜取國(guó)家的軍 事和政治情報(bào)等做法危害國(guó)家安全。

2.32 用于戰(zhàn)爭(zhēng)

通過網(wǎng)絡(luò),利用黑客手段侵入敵方信息系統(tǒng)，獲取軍事信息，發(fā)布假信息,病毒,擾亂對(duì) 方系統(tǒng)等等。

2.33非法侵入他人的系統(tǒng),獲取個(gè)人隱私獲得信息以便利用其進(jìn)行敲詐,勒索或損害他人的名譽(yù),炸毀電子郵箱,使系統(tǒng)癱瘓等。

三、黑客的攻擊原理

3.1 拒絕服務(wù)攻擊。拒絕服務(wù)攻擊是一種利用 TCP/IP 協(xié)議的弱點(diǎn)和系統(tǒng)存在的漏洞，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊的行為。它以消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源為目的,對(duì)網(wǎng)絡(luò)服務(wù)器發(fā)送大量“請(qǐng)求”信息,造成網(wǎng)絡(luò)或服務(wù)器系統(tǒng)不堪重負(fù),致使系統(tǒng)癱瘓而無法提供正常的網(wǎng)絡(luò)服務(wù)。

3.2 惡意程序攻擊

利用一些特殊的數(shù)據(jù)包傳送給目標(biāo)主機(jī),使其做出相對(duì)應(yīng)的響應(yīng),由于每種操作系統(tǒng)的響應(yīng)時(shí)間和方式都是不一樣的,黑客利用這種特征把得到的結(jié)果與準(zhǔn)備好的數(shù)據(jù)庫中的資料相對(duì)照,從中便可輕而易舉地判斷出目標(biāo)主機(jī)操作系統(tǒng)所用的版本及其他相關(guān)信息, 尤其是對(duì)于某些系統(tǒng),互聯(lián)網(wǎng)上已發(fā)布了其安全漏洞所在,但用戶由于不懂或一時(shí)疏忽未下載并安裝網(wǎng)上發(fā)布 的該系統(tǒng)的“補(bǔ)丁”程序,那么黑客就可以自己編寫一段程序進(jìn)入到該系統(tǒng)進(jìn)行破壞.還有一些黑客準(zhǔn)備了后門程序, 即進(jìn)入到目標(biāo)系統(tǒng)后為方便下一次入侵而安裝在被攻擊計(jì)算機(jī)系統(tǒng) 內(nèi)的一些程序,為該計(jì)算機(jī)埋下了無窮無盡的隱患,給用戶造成了不可預(yù)測(cè)的損失。

3.3 欺騙攻擊

每一臺(tái)計(jì)算機(jī)都有一個(gè)IP 地址,登錄時(shí)服務(wù)器可以根據(jù)這個(gè)IP 地址來判斷來訪者的身份。TCP/IP 協(xié)議是用 IP 地址來作為網(wǎng)絡(luò)節(jié)點(diǎn)的惟一標(biāo)識(shí),因此攻擊者可以在一定范圍內(nèi)直接修改節(jié)點(diǎn)的 IP地 3

址,冒充某個(gè)可信節(jié)點(diǎn)的IP地址進(jìn)行攻擊,欺騙攻擊就是一種利用假IP 地址騙取服務(wù)器的信任,實(shí)現(xiàn)非法登錄的入侵方法。

3.4 對(duì)用戶名和密碼進(jìn)行攻擊。此種攻擊方式大致分為三種情況,一是對(duì)源代碼的攻擊,對(duì)于網(wǎng)站來說,由于ASP的方便易用,越來越多的網(wǎng)站后臺(tái)程序都使用ASP腳本語言。但是,由于ASP本身存在一些 安全漏洞,稍不小心就會(huì)給黑客提供可乘之機(jī)。第二種攻擊的方法就是監(jiān)聽,用戶輸入的密碼需要從用戶端傳送到服務(wù)器端進(jìn)行系統(tǒng)對(duì)其的校驗(yàn),黑客能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。一般系統(tǒng)在傳送密碼時(shí)都進(jìn)行了加密處理, 即黑客所得到的數(shù)據(jù)中不會(huì)存在明文的密碼, 因此, 這種手法一般運(yùn)用于局域網(wǎng),一旦成功,攻擊者將會(huì)得到很大的操作權(quán)益。第三是解密,就是使用窮舉法對(duì)已知用戶名的密碼進(jìn)行解密。這種解密軟件對(duì)嘗試所有可能字符所組成的密碼。這種方法十分耗時(shí),但在密碼設(shè)置簡(jiǎn)單的情況下卻比較容易得手。

四、防范措施

4.1提高安全意識(shí)

（1）不要隨意打開來歷不明的電子郵件及文件，不要隨便運(yùn)行不太了解的人給你的程序，比如“特洛伊”類黑客程序就需要騙你運(yùn)行。

（2）避免從Internet下載不知名的軟件、游戲程序。即使從知名的網(wǎng)站下載的軟件也要及時(shí)用最新的病毒和木馬查殺軟件對(duì)軟件和系統(tǒng)進(jìn)行掃描。

(3)密碼設(shè)置盡可能使用字母數(shù)字混排，單純的英文或者數(shù)字很容易窮舉。將常用的密碼設(shè)置為不同，防止被人查出一個(gè)，連帶到重要密碼。重要密碼最好經(jīng)常更換。

(4)及時(shí)下載安裝系統(tǒng)補(bǔ)丁程序。

(5)不隨便運(yùn)行黑客程序，不少這類程序運(yùn)行時(shí)會(huì)發(fā)出你的個(gè)人信息。

(6)在支持HTML的BBS上，如發(fā)現(xiàn)提交警告，先看源代碼，很可能是騙取密碼的陷阱。

4.2 使用防毒、防黑等防火墻軟件

（1）防火墻是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)/出兩個(gè)方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。

（2）防火墻的主要功能包括

1）、檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包；

2）、檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包。

3）、執(zhí)行安全策略，限制所有不符合安全策略要求的數(shù)據(jù)包通過。

4）、具有防攻擊能力，保證自身的安全性的能力。（3）防火墻具有以下優(yōu)點(diǎn)：

1）、防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)了集中地安全管理，可以強(qiáng)化網(wǎng)絡(luò)安全策略，比分散的主機(jī)管理更經(jīng)濟(jì)易行。2）、防火墻能防止非授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。3）、防火墻可以方便地監(jiān)視網(wǎng)絡(luò)安全性并報(bào)警。

4）、可以作為部署網(wǎng)絡(luò)地址轉(zhuǎn)換的地點(diǎn)，利用NAT技術(shù)，可以緩解地址空間的短缺，隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)。

5）、由于所有的訪問都經(jīng)過防火墻，防火墻是審計(jì)和記錄網(wǎng)絡(luò)訪問和使用的最佳地方。

五、越來越不對(duì)稱的威脅

Internet上的安全是相互依賴的。每個(gè)Internet系統(tǒng)遭受攻擊的可能性取決于連接到全球Internet上的其他系統(tǒng)的安全狀態(tài)。由于攻擊技術(shù)的進(jìn)步，一個(gè)攻擊者可以比較容易地利用分布式系統(tǒng)，對(duì)一個(gè)受害者發(fā)動(dòng)破壞性的攻擊。隨著部署自動(dòng)化程度和攻擊工具管理技巧的提高，威脅的不對(duì)稱性將繼續(xù)增加。

總結(jié)

互聯(lián)網(wǎng)開辟了一個(gè)新的世界,它的出現(xiàn)和發(fā)展如此之快,遠(yuǎn)遠(yuǎn)超出了專家的預(yù)測(cè),由于互聯(lián)網(wǎng)的開放性,隨意性,虛擬性,方便性在給人類提供了資源共享的有利條件和新的通信方式,給人們帶來了一個(gè)新的創(chuàng)造,展示和實(shí)現(xiàn)自我的虛擬世界,也帶來了負(fù)面影響。人們經(jīng)常使用的操作系統(tǒng)和互聯(lián)網(wǎng)的 TCP/IP 協(xié)議有著許多安全漏洞,使得黑客攻擊互聯(lián)網(wǎng)成為 可能.當(dāng)然,黑客攻擊事件的增多,破壞性增大,有系統(tǒng)本身不安全的因素,安全技術(shù)滯后 的因素,但同時(shí),人的因素不容忽視。應(yīng)該讓所有網(wǎng)民知道互聯(lián)網(wǎng)是不安全的,使網(wǎng)民建立 起安全防范意識(shí),并且使其懂得保護(hù)安全,防范黑客和病毒的最基本方法,比如怎樣設(shè)置一個(gè)相對(duì)安全的密碼,怎樣利用大眾軟件中一些安全設(shè)置,像 windows,outlook 等,怎樣防范病毒以及使用殺毒軟件等等,不要讓那些因?yàn)榫W(wǎng)民對(duì)安全的無知和不警惕,但實(shí)際非常容 易避免的不安全事件發(fā)生。拒絕黑客,保障互聯(lián)網(wǎng)的安全,需要定完善的安全管理機(jī)制和管理制度對(duì)黑客的犯罪的嚴(yán)厲打擊。

參考文獻(xiàn)

[1] 蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù).中國(guó)水利水電出版社，第二版

[2] 孫華國(guó)．淺析網(wǎng)絡(luò)黑客．中國(guó)科技信息報(bào)，2005

[3] Jerry Lee Ford Z．個(gè)人防火墻．人民郵電出版社，2002

[4]余建斌.黑客的攻擊手段及用戶對(duì)策.北京人民郵電出版社，1998

第二篇：計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)課程論文

淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

學(xué)號(hào)******姓名 ** ．1摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)在人類生活領(lǐng)域中的廣泛應(yīng)用，針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的攻擊事件也隨之增加。網(wǎng)絡(luò)已經(jīng)無所不在的影響著社會(huì)的政治、經(jīng)濟(jì)、文化、軍事、意識(shí)形態(tài)和社會(huì)生活等各個(gè)方面。同時(shí)在全球范圍內(nèi)，針對(duì)重要信息資源和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的入侵行為和企圖入侵行為的數(shù)量仍在持續(xù)不斷增加，網(wǎng)絡(luò)攻擊與入侵行為對(duì)國(guó)家安全、經(jīng)濟(jì)和社會(huì)生活造成了極大的威脅。諸如此類的事件已給政府及企業(yè)造成了巨大的損失，甚至危害到國(guó)家的安全。網(wǎng)絡(luò)安全已成為世界各國(guó)當(dāng)今共同關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)安全的重要性是不言而喻的，因此，對(duì)漏洞的了解及防范也相對(duì)重要起來。在我的這篇論文里，將綜合概括計(jì)算機(jī)網(wǎng)絡(luò)安全來源，計(jì)算機(jī)通信網(wǎng)絡(luò)安全的客觀因素，以及應(yīng)對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)安全的基本策略。

關(guān)鍵詞 ：網(wǎng)絡(luò)安全的來源 /計(jì)算機(jī)網(wǎng)絡(luò)安全/ 防護(hù)技術(shù)

．2引言

隨著信息時(shí)代的加速到來，人們對(duì)因特網(wǎng)的依賴也越來越強(qiáng)，網(wǎng)絡(luò)已成為人們生活中不可缺少的一部分。計(jì)算機(jī)網(wǎng)絡(luò)在為人們提供便利、帶來效益的同時(shí)，也使人類面臨著信息安全的巨大挑戰(zhàn)。

組織和單位的計(jì)算機(jī)網(wǎng)絡(luò)是黑客攻擊的主要目標(biāo)。如果黑客組織能攻破組織及單位的計(jì)算機(jī)網(wǎng)絡(luò)防御系統(tǒng)，他就有訪問成千上萬計(jì)算機(jī)的可能性。據(jù)統(tǒng)計(jì)，近年來因網(wǎng)絡(luò)安全事故造成的損失每年高達(dá)上千億美元。計(jì)算機(jī)系統(tǒng)的脆弱性已為各國(guó)政府與機(jī)構(gòu)所認(rèn)識(shí)，因此對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全的建立與防護(hù)得到各國(guó)的極度關(guān)注。建立安全的全球性安全網(wǎng)絡(luò)是件迫不及待的任務(wù)，各國(guó)人們都在此投入大量人力，物力，財(cái)力來確保計(jì)算機(jī)網(wǎng)絡(luò)安全。

．3影響計(jì)算機(jī)通信網(wǎng)絡(luò)安全的因素分析

3.1影響計(jì)算機(jī)通信網(wǎng)絡(luò)安全的客觀因素。

3.1.1 網(wǎng)絡(luò)資源的共享性。計(jì)算機(jī)網(wǎng)絡(luò)最主要的一個(gè)功能就是“資源共享”。無論你是在天涯海角，還是遠(yuǎn)在天邊，只要有網(wǎng)絡(luò)，就能找到你所需要的信息。所以，資源共享的確為我們提供了很大的便利，但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞也提供了機(jī)會(huì)。

3.1.2

網(wǎng)絡(luò)操作系統(tǒng)的漏洞。操作系統(tǒng)漏洞是指計(jì)算機(jī)操作系統(tǒng)本身所存在的問題或技術(shù)缺陷。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種的缺陷和漏洞。

3.1.3網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷。網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來安全隱患。

3.1.4網(wǎng)絡(luò)的開放性。網(wǎng)上的任何一個(gè)用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的信息。

3.1.5惡意攻擊。惡意攻擊就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒．是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也越來越多，影響越來越大。無論是DOS 攻擊還是DDOS 攻擊，簡(jiǎn)單的看，都只是一種破壞網(wǎng)絡(luò)服務(wù)的黑客方式，雖然具體的實(shí)現(xiàn)方式千變?nèi)f化，但都有一個(gè)共同點(diǎn)，就是其根本目的是使受害主機(jī)或網(wǎng)絡(luò)無法及時(shí)接收并處理外界請(qǐng)求，或無法及時(shí)回應(yīng)外界請(qǐng)求。具體表現(xiàn)方式有以下幾種：（1）制造大流量無用數(shù)據(jù)，造成通往被攻擊主機(jī)的網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無法正常和外界通信。（2）利用被攻擊主機(jī)提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請(qǐng)求，使被攻擊主機(jī)無法及時(shí)處理其它正常的請(qǐng)求。（3）利用被攻擊主機(jī)所提供服務(wù)程序或傳輸協(xié)議的本身實(shí)現(xiàn)缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯(cuò)誤而分配大量系統(tǒng)資源，使主機(jī)處于掛起狀態(tài)甚至死機(jī)。

DOS 攻擊幾乎是從互聯(lián)網(wǎng)絡(luò)的誕生以來，就伴隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展而一直存在也不斷發(fā)展和升級(jí)。值得一提的是，要找DOS 的工具一點(diǎn)不難，黑客網(wǎng)絡(luò)社區(qū)都有共享黑客軟件的傳統(tǒng)，并會(huì)在一起交流攻擊的心得經(jīng)驗(yàn)，你可以很輕松的從Internet 上獲得這些工具。所以任何一個(gè)上網(wǎng)者都可能構(gòu)成網(wǎng)絡(luò)安全的潛在威脅。DOS 攻擊給飛速發(fā)展的互聯(lián)網(wǎng)絡(luò)安全帶來重大的威脅。然而從某種程度上可以說，D0S 攻擊永遠(yuǎn)不會(huì)消失而且從技術(shù)上目前沒有根本的解決辦法。

3.2影響計(jì)算機(jī)網(wǎng)絡(luò)通信安全的主觀因素。主要是計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全觀念和必備技術(shù)，如安全意識(shí)、防范意思等網(wǎng)絡(luò)安全 4.1．防火墻技術(shù)

目前，防火墻有兩個(gè)關(guān)鍵技術(shù)，一是包過濾技術(shù)，二是代理服務(wù)技術(shù)。１）包過濾技術(shù)

包過濾技術(shù)主要是基于路由的技術(shù)，即依據(jù)靜態(tài)或動(dòng)態(tài)的過濾邏輯，在對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)前根據(jù)數(shù)據(jù)包的目的地址、源地址及端口號(hào)對(duì)數(shù)據(jù)包進(jìn)行過濾。包過濾不能對(duì)數(shù)據(jù)包中的用戶信息和文件信息進(jìn)行識(shí)別，只能對(duì)整個(gè)網(wǎng)絡(luò)提供保護(hù)。一般說來，包過濾必須使用兩塊網(wǎng)卡，即一塊網(wǎng)卡連到公網(wǎng)，一塊網(wǎng)卡連到內(nèi)網(wǎng)，以實(shí)現(xiàn)對(duì)網(wǎng)上通信進(jìn)行實(shí)時(shí)和雙向的控制。

包過濾技術(shù)具有運(yùn)行速度快和基本不依賴于應(yīng)用的優(yōu)點(diǎn)，但包過濾只能依據(jù)現(xiàn)有數(shù)據(jù)包過濾的安全規(guī)則進(jìn)行操作，而無法對(duì)用戶在某些協(xié)議上進(jìn)行各種不同要求服務(wù)的內(nèi)容分別處理，即只是機(jī)械地允許或拒絕某種類型的服務(wù)，而不能對(duì)服務(wù)中的某個(gè)具體操作進(jìn)行控制。因此，對(duì)于有些來自不安全的服務(wù)器的服務(wù)，僅依靠包過濾就不能起到保護(hù)內(nèi)部網(wǎng)的作用了。２）代理服務(wù)技術(shù)

代理服務(wù)又稱為應(yīng)用級(jí)防火墻、代理防火墻或應(yīng)用網(wǎng)關(guān)，一般針對(duì)某一特定的應(yīng)用來使用特定的代理模塊。代理服務(wù)由用戶端的代理客戶和防火墻端的代理服務(wù)器兩部分組成，其不僅能理解數(shù)據(jù)包頭的信息，還能理解應(yīng)用信息本身的內(nèi)容。當(dāng)一個(gè)遠(yuǎn)程用戶連接到某個(gè)運(yùn)行代理服務(wù)的網(wǎng)絡(luò)時(shí)，防火墻端的代理服務(wù)器即進(jìn)行連接，ＩＰ報(bào)文即不再向前轉(zhuǎn)發(fā)而進(jìn)入內(nèi)網(wǎng)。

代理服務(wù)通常被認(rèn)為是最安全的防火墻技術(shù)，因?yàn)榇矸?wù)有能力支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊(cè)信息。

代理服務(wù)的代理工作在客戶機(jī)和服務(wù)器之間，具有完全控制會(huì)話和提供詳細(xì)日志、安全審計(jì)的功能，而且代理服務(wù)器的配置可以隱藏內(nèi)網(wǎng)的ＩＰ地址，保護(hù)內(nèi)部主機(jī)免受外部的攻擊。此外，代理服務(wù)還可以過濾協(xié)議，如過濾ＦＴＰ連接，拒絕使用ＰＵＴ命令等，以保證用戶不將文件寫到匿名的服務(wù)器上去。

代理服務(wù)在轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包的方式與包過濾防火墻也不同，包過濾防火墻是在網(wǎng)絡(luò)層轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包，而代理服務(wù)則在應(yīng)用層轉(zhuǎn)發(fā)網(wǎng)絡(luò)訪問。

以上介紹了兩種防火墻技術(shù)。由于此項(xiàng)技術(shù)在網(wǎng)絡(luò)安全中具有不可替代的作用，因而在最近十多年里得到了較大的發(fā)展，已有四類防火墻在流行，即包過濾防火墻、代理防火墻、狀態(tài)檢測(cè)防火墻和第四代防火墻。4.2．防病毒技術(shù)

Internet在為人類傳播和交換信息的同時(shí)，也為計(jì)算機(jī)病毒的傳播和發(fā)展提供了良好的平臺(tái)，針對(duì)網(wǎng)絡(luò)的病毒正以驚人的速度，向著更具破壞性、更加隱蔽、感染率更高、傳播速度更快、更多種類、適應(yīng)平臺(tái)更廣泛的方向發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)安全防范的一項(xiàng)重要內(nèi)容，就是在充分保證計(jì)算機(jī)網(wǎng)絡(luò)安全和對(duì)計(jì)算機(jī)網(wǎng)絡(luò)性能影響最小的前提下，有效地防止計(jì)算機(jī)病毒的侵襲。

4.3.加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的對(duì)策措施

4.3.1 加強(qiáng)網(wǎng)絡(luò)安全教育和管理

對(duì)工作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個(gè)方面安全問題，進(jìn)行安全教育，提高工作人員的安全觀念和責(zé)任心；加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操作技能；教育工作人員嚴(yán)格遵守操作規(guī)程和各項(xiàng)保密規(guī)定，防止人為事故的發(fā)生。同時(shí)，要保護(hù)傳輸線路安全。對(duì)于傳輸線路，應(yīng)有露天保護(hù)措施或埋于地下，并要求遠(yuǎn)離各種輻射源，以減少各種輻__射引起的數(shù)據(jù)錯(cuò)誤；線纜鋪設(shè)應(yīng)當(dāng)盡可能使用光纖，以減少各種輻射引起的電磁泄漏和對(duì)發(fā)送線路的干擾。要定期檢查連接情況，以檢測(cè)是否有搭線竊聽、非法外連或破壞行為。

4.3.2 運(yùn)用網(wǎng)絡(luò)加密技術(shù)

網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種：①鏈接加密。在網(wǎng)絡(luò)節(jié)點(diǎn)間加密，在節(jié)點(diǎn)間傳輸加密的信息，傳送到節(jié)點(diǎn)后解密，不同節(jié)點(diǎn)間用不同的密碼。②節(jié)點(diǎn)加密。與鏈接加密類似，不同的只是當(dāng)數(shù)據(jù)在節(jié)點(diǎn)間傳送時(shí)，不用明碼格式傳送，而是用特殊的加密硬件進(jìn)行解密和重加密，這種專用硬件通常放置在安全保險(xiǎn)箱中。③首尾加密。對(duì)進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)加密，然后待數(shù)據(jù)從網(wǎng)絡(luò)傳送出后再進(jìn)行解密。網(wǎng)絡(luò)的加密技術(shù)很多，在實(shí)際應(yīng)用中，人們通常根據(jù)各種加密算法結(jié)合在一起使用，這樣可以更加有效地加強(qiáng)網(wǎng)絡(luò)的完全性。網(wǎng)絡(luò)加密技術(shù)也是網(wǎng)絡(luò)安全最有效的技術(shù)之一。既可以對(duì)付惡意軟件攻擊，又可以防止非授權(quán)用戶的訪問。

4.3.3 加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)訪問控制：

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問，也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級(jí)安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。根據(jù)網(wǎng)絡(luò)安全的等級(jí)、網(wǎng)絡(luò)空間的環(huán)境不同，可靈活地設(shè)置訪問控制的種類和數(shù)量。

4.3.4 使用防火墻技術(shù)：

采用防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的主要手段。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。防火墻是在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng)，通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機(jī)制，并且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻是一個(gè)分離器、限制器和分析器，可以有效地監(jiān)控內(nèi)部網(wǎng)和Internet 之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻的應(yīng)用可最大限度地保障網(wǎng)絡(luò)的正常運(yùn)行，它可以起著提高內(nèi)部網(wǎng)絡(luò)的安全性、強(qiáng)化網(wǎng)絡(luò)安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡(luò)防毒、信息加密、存儲(chǔ)通信、授權(quán)、認(rèn)證等重要作用。

總之，網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等諸多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施。因此，只有綜合采取多種防范措施，制定嚴(yán)格的保密政策和明晰的安全策略，才能完好、實(shí)時(shí)地保證信息的機(jī)密性、完整性和可用性，為網(wǎng)絡(luò)提供強(qiáng)大的安全保證。

05計(jì)算機(jī)網(wǎng)絡(luò)的安全策略

5.4.1物理安全策略。物理安全策略目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。物理安全策略還包括加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對(duì)于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行，將起到十分有效的作用。網(wǎng)絡(luò)安全管理策略包括：確定安全管理等級(jí)和安全管理范圍；

5.4.2常用的網(wǎng)絡(luò)安全技術(shù)。

5.2.1 網(wǎng)絡(luò)加密技術(shù)。網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個(gè)加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對(duì)付惡意軟件的有效方法之一。網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密，端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端點(diǎn)加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供加密保護(hù)；節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供加密保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)情況選擇上述三種加密方式。

如果按照收發(fā)雙方的密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。在實(shí)際應(yīng)用中，人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES 或者IDEA 來加密信息，而采用RSA 來傳遞會(huì)話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼算法和分組密碼算法，前者每次只加密一個(gè)比特。

5.2.2 防火墻技術(shù)。防火墻技術(shù)是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外界之間的一道屏障，是通過計(jì)算機(jī)硬件和軟件的組合來建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵，它可以通過鑒別、限制，更改跨越防火墻的數(shù)據(jù)流，來保證通信網(wǎng)絡(luò)的安全對(duì)今后計(jì)算機(jī)通信網(wǎng)絡(luò)的發(fā)展尤為重要。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和狀態(tài)監(jiān)測(cè)型。

5.2.3 操作系統(tǒng)安全內(nèi)核技術(shù)。操作系統(tǒng)安全內(nèi)核技術(shù)除了在傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)上著手，人們開始在操作系統(tǒng)的層次上考慮網(wǎng)絡(luò)安全性，嘗試把系統(tǒng)內(nèi)核中可能引起安全性問題的部分從內(nèi)核中剔除出去，從而使系統(tǒng)更安全。操作系統(tǒng)平臺(tái)的安全措施包括：采用安全性較高的操作系統(tǒng)；對(duì)操作系統(tǒng)的安全配置；利用安全掃描系統(tǒng)檢查操作系統(tǒng)的漏洞等。美國(guó)國(guó)防部技術(shù)標(biāo)準(zhǔn)把操作系統(tǒng)的安全等級(jí)分成了D1、C1、C2、B1、B2、B3、A 級(jí)，其安全等級(jí)由低到高。目前主要的操作系統(tǒng)的安全等級(jí)都是C2 級(jí),其特征包括：①用戶必須通過用戶注冊(cè)名和口令讓系統(tǒng)識(shí)別；②系統(tǒng)可以根據(jù)用戶注冊(cè)名決定用戶訪問資源的權(quán)限；③系統(tǒng)可以對(duì)系統(tǒng)中發(fā)生的每一件事進(jìn)行審核和記錄；④可以創(chuàng)建其他具有系統(tǒng)管理權(quán)限的用戶。

5.2.5 身份驗(yàn)證技術(shù)身份驗(yàn)證技術(shù)。身份驗(yàn)證技術(shù)身份驗(yàn)證技術(shù)是用戶向系統(tǒng)出示自己身份證明的過程。身份認(rèn)證是系統(tǒng)查核用戶身份證明的過程。這兩個(gè)過程是判明和確認(rèn)通信雙方真實(shí)身份的兩個(gè)重要環(huán)節(jié)，人們常把這兩項(xiàng)工作統(tǒng)稱為身份驗(yàn)證。它的安全機(jī)制在于首先對(duì)發(fā)出請(qǐng)求的用戶進(jìn)行身份驗(yàn)證，確認(rèn)其是否為合法的用戶，如是合法用戶，再審核該用戶是否有權(quán)對(duì)他所請(qǐng)求的服務(wù)或主機(jī)進(jìn)行訪問。從加密算法上來講，其身份驗(yàn)證是建立在對(duì)稱加密的基礎(chǔ)上的。

5.2.6 網(wǎng)絡(luò)防病毒技術(shù)。在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計(jì)算機(jī)網(wǎng)絡(luò)防病毒，那可能給社會(huì)造成災(zāi)難性的后果，因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè)，工作站上采用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。防病毒必須從網(wǎng)絡(luò)整體考慮，從方便管理人員的能，在夜間對(duì)全網(wǎng)的客戶機(jī)進(jìn)行掃描，檢查病毒情況；利用在線報(bào)警功能，網(wǎng)絡(luò)上每一臺(tái)機(jī)器出現(xiàn)故障、病毒侵入時(shí)，網(wǎng)絡(luò)管理人員都能及時(shí)知道，從而從管理中心處予以解決。06結(jié)束語

隨著信息技術(shù)的飛速發(fā)展，影響通信網(wǎng)絡(luò)安全的各種因素也會(huì)不斷強(qiáng)化，因此計(jì)算機(jī)網(wǎng)絡(luò)的安全問題也越來越受到人們的重視，以上我們簡(jiǎn)要的分析了計(jì)算機(jī)網(wǎng)絡(luò)存在的幾種安全隱患，并探討了計(jì)算機(jī)網(wǎng)絡(luò)的幾種安全防范措施。

總的來說，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時(shí)也是一個(gè)安全管理問題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

參考文獻(xiàn)

［1］吳鈺鋒，劉泉，李方敏.網(wǎng)絡(luò)安全中的密碼技術(shù)研究及其應(yīng)用［J］.真空電子技術(shù)，2004.［2］楊義先.網(wǎng)絡(luò)安全理論與技術(shù)［M］.北京：人民郵電出版社，2003.［3］李學(xué)詩.計(jì)算機(jī)系統(tǒng)安全技術(shù)［M］.武漢：華中理工大學(xué)出版社，2003.

第三篇：網(wǎng)絡(luò)安全技術(shù)論文

當(dāng)前網(wǎng)絡(luò)常見安全問題分析

指導(dǎo)老師：

摘要：信息時(shí)代，人們對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的應(yīng)用和依賴程度愈來愈高，信息安全問題日益突顯，海量的信息存儲(chǔ)在網(wǎng)絡(luò)上，隨時(shí)可能遭到非法入侵，存在著嚴(yán)重的安全隱患本文針對(duì)根據(jù)幾火突出的網(wǎng)絡(luò)安全問題，歸納并提出了一些網(wǎng)絡(luò)信息安全防抄的方法和策略計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用給計(jì)算機(jī)的安全提出了更高的要求，也使網(wǎng)絡(luò)安全問題日漸突出。如果不很好地解決這個(gè)問題，必將阻礙計(jì)算機(jī)網(wǎng)絡(luò)化發(fā)展的進(jìn)程。關(guān)鍵詞：網(wǎng)絡(luò)安全

黑客入侵

網(wǎng)絡(luò)詐騙

1、網(wǎng)絡(luò)安全的基本內(nèi)涵

網(wǎng)絡(luò)安全從本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，具體指的是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會(huì)因?yàn)榕既坏幕蛘邜阂獾墓舳獾狡茐?、更改、泄漏，系統(tǒng)能夠連續(xù)可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷網(wǎng)絡(luò)安全包括數(shù)據(jù)安全和系統(tǒng)安全兩方面，它具有保密性、完整性、可用性可控性、不可否認(rèn)性五大特征

從廣義上來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。計(jì)算機(jī)網(wǎng)絡(luò)安全不僅包括組網(wǎng)的硬件、管理控制網(wǎng)絡(luò)的軟件，也包括共享的資源，快捷的網(wǎng)絡(luò)服務(wù)，所以定義網(wǎng)絡(luò)安全應(yīng)考慮涵蓋計(jì)算機(jī)網(wǎng)絡(luò)所涉及的全部?jī)?nèi)容。參照ISO給出的計(jì)算機(jī)安全定義，認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)安全是指：“保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件，軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠性地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)正常有序?！?/p>

2、常見的網(wǎng)絡(luò)安全問題

互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，為人類社會(huì)的進(jìn)步提供了巨大推動(dòng)力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題：（1）信息泄漏、信息污染、信息不易受控。例如，資源未授權(quán)侵用、未授權(quán)信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認(rèn)等，這些都是信息安全的技術(shù)難點(diǎn)。（2）在網(wǎng)絡(luò)環(huán)境中，一些組織或個(gè)人出于某種特殊目的，進(jìn)行信息泄密、信息破壞、信息侵權(quán)和意識(shí)形態(tài)的信息滲透，甚至通過網(wǎng)絡(luò)進(jìn)行政治顛覆等活動(dòng)，使國(guó)家利益、社會(huì)公共利益和各類主體的合法權(quán)益受到威脅。（3）網(wǎng)絡(luò)運(yùn)用的趨勢(shì)是全社會(huì)廣泛參與，隨之而來的是控制權(quán)分散的管理問題。由于人們利益、目標(biāo)、價(jià)值的分歧，使信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問題變得廣泛而復(fù)雜。（4）隨著社會(huì)重要基礎(chǔ)設(shè)施的高度信息化，社會(huì)的“命脈”和核心控制系統(tǒng)有可能面臨惡意攻擊而導(dǎo)致?lián)p壞和癱瘓，包括國(guó)防通信設(shè)施、動(dòng)力控制網(wǎng)、金融系統(tǒng)和政府網(wǎng)站等。

2.1遭受黑客攻擊

自 1994 年國(guó)際互聯(lián)網(wǎng)進(jìn)入我國(guó)以來，我國(guó)的網(wǎng)民人數(shù)急劇增長(zhǎng)，隨著網(wǎng)絡(luò)的逐漸普及，黑客隊(duì)伍也相應(yīng)產(chǎn)生并逐漸壯大，其作案范圍日益擴(kuò)大，作案手段日益高明，對(duì)網(wǎng)絡(luò)安全造成了危害。

黑客主要是使用一些現(xiàn)有的工具對(duì)操作系統(tǒng)的弱口令或安全漏洞加以利用攻擊，獲得一般用戶甚至管理員用戶權(quán)限，進(jìn)而達(dá)到實(shí)施破壞的目的。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的

電腦黑客活動(dòng)已形成重要威脅。網(wǎng)絡(luò)信息系統(tǒng)具有致命的脆弱性、易受攻擊性和開放性，從國(guó)內(nèi)情況來看，目前我國(guó)95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。

2.2計(jì)算機(jī)病毒

病毒實(shí)際上是一種特殊的程序或普通程序中的一段特殊代碼，它的功能是破壞計(jì)算機(jī)的正常運(yùn)行或竊取用戶計(jì)算機(jī)上的隱私。計(jì)算機(jī)感染上病毒后，輕則使系統(tǒng)效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計(jì)算機(jī)主板等部件的損壞。有了互聯(lián)網(wǎng)后，病毒的傳播速度更快，涉及范圍更廣，危害性更大。計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重。據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心副主任張健介紹，從國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心日常監(jiān)測(cè)結(jié)果看來，計(jì)算機(jī)病毒呈現(xiàn)出異常活躍的態(tài)勢(shì)。

2.3 垃圾郵件和間諜軟件

一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進(jìn)行商業(yè)、宗教、政治等活動(dòng)，把自己的電子郵件強(qiáng)行“推入”別人的電子郵箱，強(qiáng)迫他人接受垃圾郵件。與計(jì)算機(jī)病毒不同，間諜軟件的主要目的不在于對(duì)系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用戶隱私和計(jì)算機(jī)安全，并可能不同程度地影響系統(tǒng)性能。

2.4 計(jì)算機(jī)犯罪

計(jì)算機(jī)犯罪，通常是利用竊取口令等手段非法侵人計(jì)算機(jī)信息系統(tǒng)，傳播有害信息，惡意破壞計(jì)算機(jī)系統(tǒng)，實(shí)施貪污盜竊、詐騙和金融犯罪等活動(dòng)。網(wǎng)絡(luò)安全的防范措施

3.1 安裝殺毒軟件

計(jì)算機(jī)病毒有以下五種特征：寄生性、傳染性、破壞性、可觸發(fā)性、可潛伏性。根據(jù)計(jì)算機(jī)病毒的特征，人們摸索出了許多檢測(cè)計(jì)算機(jī)病毒和殺毒的軟件。國(guó)內(nèi)的有瑞星、KV3000、金山毒霸、360殺毒軟件等，國(guó)外的有諾頓、卡巴斯基等。但是，沒有哪種殺毒軟件是萬能的，所以當(dāng)本機(jī)的殺毒軟件無法找到病毒時(shí)，用戶可以到網(wǎng)上下載一些專殺工具，如木馬專殺工具、蠕蟲專殺工具或宏病毒專殺工具等。值得注意的是，安裝了殺毒軟件后，我們還必須每周至少更新一次殺毒軟件病毒庫，因?yàn)榉啦《拒浖挥凶钚虏攀亲钣行У?。每周還要對(duì)電腦硬盤進(jìn)行一次全面的掃描、殺毒，以便及時(shí)發(fā)現(xiàn)并清除隱藏在系統(tǒng)中的病毒。當(dāng)不慎感染上病毒時(shí)，應(yīng)立即將殺毒軟件升級(jí)到最新版本，然后對(duì)整個(gè)硬盤進(jìn)行掃描，清除一切可以查殺的病毒。當(dāng)受到網(wǎng)絡(luò)攻擊時(shí)，我們的第一反應(yīng)就是拔掉網(wǎng)絡(luò)連接端口以斷開網(wǎng)絡(luò)。3.2 安裝網(wǎng)絡(luò)防火墻

所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，所以，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。常見的個(gè)人網(wǎng)絡(luò)防火墻有天網(wǎng)防火墻、瑞星防火墻和360安全衛(wèi)士等。.安裝防病毒網(wǎng)關(guān)軟件 防病毒網(wǎng)關(guān)放置在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接處。當(dāng)在內(nèi)部網(wǎng)絡(luò)發(fā)現(xiàn)病毒時(shí)，可能已經(jīng)感染了很多計(jì)算機(jī)，防病毒網(wǎng)關(guān)可以將大部分病毒隔離在外部，它同時(shí)具有反垃圾郵件和反間諜軟件的能力。當(dāng)出現(xiàn)新的病毒時(shí)，管理員只要將防病毒網(wǎng)關(guān)升級(jí)就可以抵御新病毒的攻擊。

3.3 數(shù)據(jù)加密

數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)是所有通信安全的基石。數(shù)據(jù)加密過程是由形形色色的加密算法來具體實(shí)施的，它以很小的代價(jià)來提供很大的安全保護(hù)。在多數(shù)情況下，數(shù)據(jù)加密是保證信息機(jī)密性的惟一方法。一般把受保護(hù)的原始信息稱為明文，編碼后的稱為密文。數(shù)據(jù)加密的基本過程包括對(duì)明文進(jìn)行翻譯，譯成密文或密碼的代碼形式。該過程的逆過程為解密，即將該加密的編碼信息轉(zhuǎn)化為原來的形式的過程。機(jī)密資料被加密后，無論是被人通過復(fù)制數(shù)據(jù)、還是采用網(wǎng)絡(luò)傳送的方式竊取過去，只要對(duì)方不知道你的加密算法，該機(jī)密資料就成了毫無意義的亂碼一堆。常見的加密軟件有SecWall、明朝萬達(dá)、完美數(shù)據(jù)加密大師等。

3.4 警惕“網(wǎng)絡(luò)釣魚”

“網(wǎng)絡(luò)釣魚”（phishing）是通過大量發(fā)送聲稱來自于銀行或其他知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息的一種攻擊方式。黑客就是利用這種欺騙性的電子郵件和偽造的web站點(diǎn)來進(jìn)行網(wǎng)絡(luò)詐騙活動(dòng)，受騙者往往會(huì)泄露自己的私人資料，如信用卡號(hào)、銀行卡賬戶、身份證號(hào)等內(nèi)容。黑客通常會(huì)將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。對(duì)此，用戶應(yīng)該提高警惕，可安裝一款有反垃圾郵件功能的良好殺毒軟件。大多數(shù)安全產(chǎn)品都能將這種郵件識(shí)別為垃圾郵件，使你對(duì)它們的花言巧語提高警惕。不登錄不熟悉的網(wǎng)站，鍵入網(wǎng)站地址時(shí)要認(rèn)真校對(duì)。多用常識(shí)思考，因?yàn)檫@是你 抵御詐騙的最有效方式。沒有人會(huì)無條件地給予你什么，而網(wǎng)上一見鐘情的概率也是微乎其微。因此，你從一開始就要對(duì)這種聯(lián)絡(luò)抱有高度懷疑，以防誤入圈套。結(jié)語

本文簡(jiǎn)要地分析了計(jì)算機(jī)網(wǎng)絡(luò)存在的幾種安全隱患，并探討了計(jì)算機(jī)網(wǎng)絡(luò)的幾種安全防范措施?？偟膩碚f，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時(shí)也是一個(gè)安全管理問題。目前解決網(wǎng)絡(luò)安全問題的大部分技術(shù)是存在的，但是隨著社會(huì)的發(fā)展，人們對(duì)網(wǎng)絡(luò)功能的要求愈加苛刻，這就決定了通信網(wǎng)絡(luò)安全維護(hù)是一個(gè)長(zhǎng)遠(yuǎn)持久的課題。我們必須適應(yīng)社會(huì)，不斷提高技術(shù)水平，以保證網(wǎng)絡(luò)安全維護(hù)的順利進(jìn)行。

參考文獻(xiàn)

1、尹建璋《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用實(shí)例》西安電子科技大學(xué)出版社，2、劉遠(yuǎn)生、辛一主編《計(jì)算機(jī)網(wǎng)絡(luò)安全》北京:清華大學(xué)出版社.2009.6

3、張千里，陳光英《網(wǎng)絡(luò)安全新技術(shù)》北京：人民郵電出版社,2003.1

4、徐茂智《信息安全概論》人民郵電出版社2007.8

5、劉永華、解圣慶《局域網(wǎng)組建、管理與維護(hù)》清華大學(xué)出版社2006.6

5、呂江。網(wǎng)絡(luò)安全現(xiàn)狀分析及應(yīng)對(duì)措施[J]．中國(guó)新技術(shù)新產(chǎn)品，2009，23：44～45．

The current network common security analysis

Abstract: information age, people to the computer and network applications and dependence on more and more high, the information security problem has become very prominent, the magnitude of the information stored in the network, may at any time by the illegal invasion, there are serious security hidden danger in this paper according to a few fire outstanding network security problem, inductive and puts forward some prevention network information security copy method and strategy of the wide application of computer network to computer security put forward higher request, also make the problem of network security becomes more and more serious if not solve this problem well, will hinder the process of the development of computer network.Keywords: network security ,hackers ,network fraud

第四篇：網(wǎng)絡(luò)安全技術(shù)論文

網(wǎng)絡(luò)安全技術(shù) 論文

題 目 網(wǎng)絡(luò)安全之防火墻技術(shù) 學(xué)生姓名 ＿＿ *** ＿＿＿ ＿＿ 學(xué) 號(hào) ＿ ***＿ ＿＿＿＿ 專業(yè)班級(jí) ＿＿＿*** ＿

指導(dǎo)老師 ＿ ***＿ ＿＿ ＿

2011年 12 月12日

摘要：

文中首先論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化，闡述了我國(guó)發(fā)展民族信息安全體系的重要性及建立有中國(guó)特色的網(wǎng)絡(luò)安全體系的必要性，然后具體講述了網(wǎng)絡(luò)防火墻安全技術(shù)的分類及其主要技術(shù)特征，防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。同時(shí)就信息交換加密技術(shù)的分類及RSA算法作了簡(jiǎn)要的分析，論述了其安全體系的構(gòu)成。關(guān)鍵詞：網(wǎng)絡(luò)安全 防火墻

一、防火墻的定義和由來

所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。

自從1986年美國(guó)Digital公司在Internet上安裝了全球第一個(gè)商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到了飛速的發(fā)展。國(guó)內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上,企業(yè)對(duì)安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。

二、防火墻的功能

防火墻服務(wù)于以下多個(gè)目的： 1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入； 2)限定人們從一個(gè)特定的點(diǎn)離開； 3)防止侵入者接近你的其他防御設(shè)施；

4)有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

1）防火墻是網(wǎng)絡(luò)安全的屏障：

一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略：

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。

3）對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)：

如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）。

三、防火墻技術(shù)與產(chǎn)品發(fā)展的回顧

從總體上看,防火墻應(yīng)該具有以下五大基本功能：

●過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)； ●管理進(jìn)、出網(wǎng)絡(luò)的訪問行為； ●封堵某些禁止行為；

●記錄通過防火墻的信息內(nèi)容和活動(dòng)； ●對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

為實(shí)現(xiàn)以上功能,在防火墻產(chǎn)品的開發(fā)中,人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)?、?jì)算機(jī)操作系統(tǒng)、路由、加密、訪問控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段?？v觀防火墻近年

來的發(fā)展,可以將其劃分為如下四個(gè)階段(即四代)。

1）基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過濾功能,故網(wǎng)絡(luò)訪問控制可能通過路控制來實(shí)現(xiàn),從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是：

1)利用路由器本身對(duì)分組的解析,以訪問控制表(Access List)方式實(shí)現(xiàn)對(duì)分組的過濾； 2)過濾判斷的依據(jù)可以是:地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征；

3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對(duì)安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法,而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。2）用戶化的防火墻工具套

為了彌補(bǔ)路由器防火墻的不足,很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò),從而推動(dòng)了用戶防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下特征： 1)將過濾功能從路由器中獨(dú)立出來,并加上審計(jì)和告警功能;； 2)針對(duì)用戶需求,提供模塊化的軟件包；

3)軟件可以通過網(wǎng)絡(luò)發(fā)送,用戶可以自己動(dòng)手構(gòu)造防火墻；

4)與第一代防火墻相比,安全性提高了,價(jià)格也降低了。3）建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場(chǎng)上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些特點(diǎn):：

1)是批量上市的專用防火墻產(chǎn)品；

2)包括分組過濾或者借用路由器的分組過濾功能；

3)裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；

4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置； 5)安全性和速度大大提高。

四、防火墻的選擇

選擇防火墻的標(biāo)準(zhǔn)有很多,但最重要的是以下幾條:

1.總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。

以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬元,則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然,對(duì)于關(guān)鍵部門來說,其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算,非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本,關(guān)鍵部門則應(yīng)另當(dāng)別論。

2.防火墻本身是安全的

通常,防火墻的安全性問題來自兩個(gè)方面:其一是防火墻本身的設(shè)計(jì)是否合理,這類問題一般用戶根本無從入手,只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測(cè)試才能確定。其二是使用不當(dāng)。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對(duì)防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。3.可擴(kuò)充性

隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升,此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統(tǒng),而隨著要求的提高,用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資,對(duì)提供防火墻產(chǎn)品的廠商來說,也擴(kuò)大了產(chǎn)品覆蓋面。

五、結(jié)論

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。針對(duì)這些缺陷，應(yīng)該設(shè)計(jì)更為有效的防火墻，為網(wǎng)絡(luò)安全提供更全面的保障。

參考文獻(xiàn)

[1] 莫向陽.Filter-Hook Driver詳解[M].北京：機(jī)械工業(yè)出版社，2008。[2] W.Richard Stevens.TCP/IP詳解卷一[M].北京：機(jī)械工業(yè)出版社，2004。[3] 辛長(zhǎng)安.Viusal C++編程技術(shù)與難點(diǎn)剖析[M].北京：清華大學(xué)出版社，2002。

第五篇：網(wǎng)絡(luò)安全技術(shù)論文

常見防火墻技術(shù)分析

?

指導(dǎo)教師：曾啟杰

（廣東工業(yè)大學(xué)自動(dòng)化學(xué)院，廣州，510006）

摘 要:隨著科學(xué)技術(shù)和經(jīng)濟(jì)的迅猛發(fā)展，網(wǎng)絡(luò)所涉及的應(yīng)用領(lǐng)域也越來越廣泛。Internet的迅猛發(fā)展給現(xiàn)代人的生產(chǎn)和生活帶來了前所未有的飛躍，但同時(shí)網(wǎng)絡(luò)病毒和黑客入侵的問題也越來越突出，網(wǎng)絡(luò)安全問題變得尤為重要。就目前網(wǎng)絡(luò)保護(hù)而言，防火墻依然是一種有效的手段。但是，由于防火墻是屬于高科技產(chǎn)物，許多人對(duì)此還并不了解。鑒于此，本文從通用的角度，通俗易懂地表述有關(guān)防火墻技術(shù)的一些知識(shí)及應(yīng)用。

關(guān)鍵詞: 防火墻（Firewall）Internet防火墻技術(shù) 網(wǎng)絡(luò)安全（Network Security）應(yīng)用現(xiàn)狀 1防火墻技術(shù)

自從1986年美國(guó)Digital公司在Internet上安裝了全球第一個(gè)商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到了飛速的發(fā)展。

1.1防火墻的概念

防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，是一種獲取安全性方法的形象說法。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。

而在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。[1]

1.2防火墻原理

首先，我們需要了解一些基本的防火墻實(shí)現(xiàn)原理。防火墻目前主要分包過濾，和狀態(tài)檢測(cè)的包過濾，應(yīng)用層代理防火墻，但是他們的基本實(shí)現(xiàn)都是類似的。

│ │---路由器-----網(wǎng)卡│防火墻│網(wǎng)卡│----------內(nèi)部網(wǎng)絡(luò)│ │

防火墻一般有兩個(gè)以上的網(wǎng)絡(luò)卡，一個(gè)連到外部(router)，另一個(gè)是連到內(nèi)部網(wǎng)絡(luò)。當(dāng)打開主機(jī)網(wǎng)絡(luò)轉(zhuǎn)發(fā)功能時(shí)，兩個(gè)網(wǎng)卡間的網(wǎng)絡(luò)通訊能直接通過。當(dāng)有防火墻時(shí)，他好比插在網(wǎng)卡之間，對(duì)所有的網(wǎng)絡(luò)通訊進(jìn)行控制。

1.3防火墻的主要類型

1.3.1 網(wǎng)絡(luò)層防火墻

網(wǎng)絡(luò)層防火墻可視為一種IP封包過濾器，運(yùn)作在底層的TCP/IP協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行。操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。1.3.2 應(yīng)用層防火墻 應(yīng)用層防火墻是在 TCP/IP 堆棧的“應(yīng)用層”上運(yùn)作，我們使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時(shí)的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包（通常是直接將封包丟棄）。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。[2] 1.3.3 數(shù)據(jù)庫防火墻

數(shù)據(jù)庫防火墻是一款基于數(shù)據(jù)庫協(xié)議分析與控制技術(shù)的數(shù)據(jù)庫安全防護(hù)系統(tǒng)?；谥鲃?dòng)防御機(jī)制，實(shí)現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險(xiǎn)操作阻斷、可疑行為審計(jì)。數(shù)據(jù)庫防火墻通過SQL協(xié)議分析，根據(jù)預(yù)定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫的外圍防御圈，實(shí)現(xiàn)SQL危險(xiǎn)操作的主動(dòng)預(yù)防、實(shí)時(shí)審計(jì)。數(shù)據(jù)庫防火墻面對(duì)來自于外部的入侵行為，提供SQL注入禁止和數(shù)據(jù)庫虛擬補(bǔ)丁包功能。

1.4防火墻技術(shù)

1.4.1 Internet防火墻技術(shù)概念

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中，尤以Internet網(wǎng)絡(luò)為最甚。Internet防火墻是近年發(fā)展起來的一項(xiàng)網(wǎng)絡(luò)安全技術(shù)，其特征是通過在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，達(dá)到保障網(wǎng)絡(luò)安全的目的。它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。1.4.2 Internet防火墻目的

防火墻原是指建筑物大廈用來防止火災(zāi)蔓延的隔斷墻。從理論上講，Internet防火墻服務(wù)也屬于類似的用來防止外界侵入的。它可以防止Internet上的各種危險(xiǎn)(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上，防火墻并不像現(xiàn)實(shí)生活中的防火墻，它有點(diǎn)像古代守

1)2)3)

4)有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。1.4.3 Internet防火墻五大基本功能

所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻，這樣防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講，防火墻是起分隔、限制、分析的作用。

防火墻作為網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪

1)過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù) 2)管理進(jìn)、出網(wǎng)絡(luò)的訪問行為 3)封堵某些禁止行為

4)記錄通過防火墻的信息內(nèi)容和活動(dòng) 5）對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警

為實(shí)現(xiàn)以上功能，在防火墻產(chǎn)品的開發(fā)中，人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)?、?jì)算機(jī)操作系統(tǒng)、路由、加密、訪問控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段。[3]

2.防火墻技術(shù)的功能 2.1基本功能

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì) 算機(jī)。我們可以將防火墻配置成許多不同保護(hù)級(jí)別，高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等。

防火墻最基本的功能就是控制在計(jì)算機(jī)網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。

2.2保護(hù)網(wǎng)絡(luò)安全

一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。

防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

2.3數(shù)據(jù)庫安全

實(shí)現(xiàn)數(shù)據(jù)庫安全的實(shí)時(shí)防護(hù)。數(shù)據(jù)庫防火墻通過SQL 協(xié)議分析，根據(jù)預(yù)定義的禁止和許可策略讓合法的SQL 操作通過，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫的外圍防御圈,實(shí)現(xiàn)SQL 危險(xiǎn)操作的主動(dòng)預(yù)防、實(shí)時(shí)審計(jì)。數(shù)據(jù)庫防火墻面對(duì)來自于外部的入侵行為，提供SQL 注入禁止和數(shù)據(jù)庫虛擬補(bǔ)丁包功能。

2.4其他功能

除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）。防火墻的英文名為“FireWall”，它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專業(yè)角度講，防火墻是位于兩個(gè)（或多個(gè)）網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件集合。

3.防火墻技術(shù)的應(yīng)用

3.1防火墻技術(shù)在網(wǎng)絡(luò)安全應(yīng)用中的重要性

防火墻最基本的功能就是控制在計(jì)算機(jī)網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它在網(wǎng)絡(luò)安全應(yīng)用中的重要性主要包括以下幾個(gè)方面： 3.1.1 網(wǎng)絡(luò)安全的屏障

防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

3.1.2 強(qiáng)化網(wǎng)絡(luò)安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。

3.1.3 監(jiān)控網(wǎng)絡(luò)存取和訪問

如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提 3 供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。

3.1.4 防止內(nèi)部信息的外泄

通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。

3.2黑客攻擊防火墻技術(shù)

一直以來，黑客都在研究攻擊防火墻的技術(shù)和手段，攻擊的手法和技術(shù)越來越智能化和多樣化。但是就黑客攻擊防火墻的過程上看，大概可以分為三類攻擊。

第一類攻擊防火墻的方法是探測(cè)在目標(biāo)網(wǎng)絡(luò)上安裝的是何種防火墻系統(tǒng)并且找出此防火墻系統(tǒng)允許哪些服務(wù)。我們叫它為對(duì)防火墻的探測(cè)攻擊。

第二類攻擊防火墻的方法是采取地址欺騙、TCP序號(hào)攻擊等手法繞過防火墻的認(rèn)證機(jī)制，從而對(duì)防火墻和內(nèi)部網(wǎng)絡(luò)破壞。

第三類攻擊防火墻的方法是尋找、利用防火墻系統(tǒng)實(shí)現(xiàn)和設(shè)計(jì)上的安全漏洞，從而有針對(duì)性地發(fā)動(dòng)攻擊。這種攻擊難度比較大，可是破壞性很大。[4]

3.3防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用現(xiàn)狀

隨著防火墻技術(shù)的不斷更新，新型的防火墻技術(shù)安全性能更高，它綜合了過濾和代理技術(shù)，克服二者在安全方面的缺陷，使得防火墻的安全性能有了長(zhǎng)足提高。目前新型防火墻技術(shù)主要包括以下幾種：

1.分布式防火墻技術(shù)，指那些駐留在網(wǎng)絡(luò)中主機(jī)如服務(wù)器或桌面機(jī)并對(duì)主機(jī)系統(tǒng)自身提供安全保護(hù)的軟件產(chǎn)品，廣義上講，分布式防火墻是一種新的防火墻體系結(jié)構(gòu)。

2.嵌入式防火墻技術(shù)，指內(nèi)嵌于路由器或交換機(jī)的防火墻，通常也被稱為阻塞點(diǎn)防火墻，這種防火墻能彌補(bǔ)并改善各類安全能力不足的企業(yè)邊緣防火墻、基于主機(jī)的應(yīng)用程序、網(wǎng)絡(luò)代理程序、入侵檢測(cè)告警程序和防病毒程序等，確保企業(yè)內(nèi)部和外部的網(wǎng)絡(luò)安全。

3.職能防火墻技術(shù)，通過利用統(tǒng)計(jì)、記憶、概率和決策的職能方法對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問控制的目的，由于這些方法多時(shí)人工職能學(xué)科采用的方法，也統(tǒng)稱為職能防火墻。

3.4 windows防火墻的具體操作

3.4.1 如何關(guān)閉windows防火墻

a：打開“開始”菜單，“運(yùn)行”輸入control命令打開控制面板；

b：在控制面板中找到“防火墻”圖標(biāo)雙擊打開；

c：選擇“關(guān)閉（不推薦）”并確定即可關(guān)閉防火墻。3.4.2 如何打開windows防火墻

只需將關(guān)閉防火墻的第三步改成“啟用（推薦）”即可開啟示windows防火墻。

參考文獻(xiàn)

1防火墻知識(shí)導(dǎo)讀

2楊青，崔建群，鄭世鈺 ．計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用教程 ：清華大學(xué)出版社，2007年2月第1版 ． 3淺析Internet防火墻技術(shù) 4黑客突破防火墻常用的幾種技術(shù)