第一篇：計算機系畢業(yè)論文(網(wǎng)絡(luò)安全)

計算機網(wǎng)絡(luò)信息安全研究

【摘要】近幾年來，Internet技術(shù)日趨成熟，已經(jīng)開始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的第一代Internet技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代Internet技術(shù)的過渡。作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計算機連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。對網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面。這以要求我們與Internet互連所帶來的安全性問題予以足夠重視。

關(guān)鍵詞：計算機 網(wǎng)絡(luò) 安全

【Abstract】In recent years, Internet technology is becoming more and more mature, have begun to provide and guarantee from the transition of second first generation Internet technology network connectivity to the main target to the data network to provide information services for the characteristics of the generation of Internet technology.The use of the world's largest information network, open the Internet protocol itself greatly facilitates a variety of computer networking, to broaden the sharing of resources.However, as early in the design of network protocols on security issues ignored, and in the management and use of anarchy, gradually making the Internet a serious threat to their security, and its related accidents frequently happen.The network security threats mainly displays in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the network to spread the virus, wiretap etc..Attach great importance to security issues that require us to bring and Internet interconnection.Keywords: computer network security

目錄

1引言..................................................................................................................2計算機網(wǎng)絡(luò)安全的重要性.................................................................................3計算機網(wǎng)絡(luò)的特點............................................................................................3.1．隱蔽性和潛伏性.....................................................................................3.2．危害性和破壞性..............................................................................................-54不安全因素.......................................................................................................4.1．網(wǎng)絡(luò)內(nèi)部..........................................................................................................-54.3．每一種安全機制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境......................................-54.5.程序存在漏洞....................................................................................................-55網(wǎng)絡(luò)安全應(yīng)具備的功能....................................................................................6安全防范措施...................................................................................................6.1嚴(yán)格管理，制定完善制度.................................................................................-76.3．對內(nèi)部網(wǎng)絡(luò)的保密..........................................................................................-76.5漏洞掃描系統(tǒng).....................................................................................................-887.3數(shù)據(jù)傳輸安全.....................................................................................................-9 8網(wǎng)絡(luò)安全管理的發(fā)展趨勢...............................................................................9結(jié)語................................................................................................................【參考文獻】....................................................................................................1引言

隨著計算機網(wǎng)絡(luò)越來越深入到人們生活中的各個方面，計算機網(wǎng)絡(luò)的安全性也就變得越來越重要。計算機網(wǎng)絡(luò)的技術(shù)發(fā)展相當(dāng)迅速，攻擊手段層出不窮。而計算機網(wǎng)絡(luò)攻擊一旦成功，就會使網(wǎng)絡(luò)上成千上萬的計算機處于癱瘓狀態(tài)，從而給計算機用戶造成巨大的損失。因此，認真研究當(dāng)今計算機網(wǎng)絡(luò)存在的安全問題，提高計算機網(wǎng)絡(luò)安全防范意識是非常緊迫和必要的。

2網(wǎng)絡(luò)安全的重要性

計算機網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。計算機網(wǎng)絡(luò)安全包括兩個方面：物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。它在大大增強信息服務(wù)靈活性的同時，也帶來了眾多安全隱患，黑客和反黑客、破壞和反破壞的斗爭愈演愈烈，不僅影響了網(wǎng)絡(luò)穩(wěn)定運行和用戶的正常使用，造成了重大經(jīng)濟損失，而且可能威脅到國家安全。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為影響一個國家的政治、經(jīng)濟、軍事和人民生活的重大關(guān)鍵問題。

3計算機網(wǎng)絡(luò)安全的特點

3.1隱蔽性和潛伏性

計算機網(wǎng)絡(luò)攻擊正是因為其隱蔽性，并且過程需要的時間較短，讓使用者防不勝防。計算機攻擊產(chǎn)生效果是需要一段時間的，攻擊一般需要潛伏在計算機程序當(dāng)中，直至滿足了攻擊效果產(chǎn)生的條件，被攻擊對象才會發(fā)現(xiàn)問題。3.2危害性和破壞性

一般來講，網(wǎng)絡(luò)攻擊會對計算機系統(tǒng)造成非常嚴(yán)重的破壞，使得計算機處于一種癱瘓的狀態(tài)。假如攻擊成功，將會給計算機用戶帶來非常慘重的經(jīng)濟損失，甚至?xí){社會及其國家的安全。3.3擴散性和突發(fā)性

計算機網(wǎng)絡(luò)破壞一般在之前是沒有預(yù)兆的，并且它的影響擴散非常迅速。不管計算機網(wǎng)絡(luò)攻擊的對象是個體還是群體，都會因網(wǎng)絡(luò)的互聯(lián)性形成擴散的連環(huán)

蟲變種層出不窮，網(wǎng)絡(luò)的迅速發(fā)展也給這類威脅提供了高速繁殖的媒介。4.6.黑客的攻擊

黑客的攻擊手段雖然種類繁多，但主要利用以下兩類漏洞：一類是TCP/IP協(xié)議本身的漏洞，因為TCP/IP協(xié)議的最初設(shè)計基于互相信任的網(wǎng)絡(luò)，因此缺乏對安全性的考慮;另一類是操作系統(tǒng)的漏洞，很多操作系統(tǒng)在本身結(jié)構(gòu)設(shè)計和代碼設(shè)計時偏重考慮系統(tǒng)使用的方便性，導(dǎo)致了系統(tǒng)在遠程訪問、權(quán)限控制和口令管理及其它方面存在安全漏洞。黑客的攻擊手段在不斷地更新，幾乎每天都有不同的系統(tǒng)安全問題出現(xiàn)。然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為地參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

5網(wǎng)絡(luò)安全應(yīng)具備的功能

為了能更好地適應(yīng)信息技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)應(yīng)用系統(tǒng)必須具備以下功能：

（1）訪問控制：通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達攻擊目標(biāo)之前。

（2）檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。

（3）攻擊監(jiān)控：通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取響應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。

（4）加密通訊：主動地加密通訊，可使攻擊者不能了解、修改敏感信息。（5）認證：良好的認證體系可防止攻擊者假冒合法用戶。

（6）備份和恢復(fù)：良好的備份和恢復(fù)機制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。

（7）多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標(biāo)（8）設(shè)立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護及緊急情況服務(wù)。

6.4通過安全隧道構(gòu)建安全的VPN 該VPN通過IPv6的IPSec隧道實現(xiàn)。在路由器之間建立IPSec的安全隧道以構(gòu)成安全的VPN是最常用的安全網(wǎng)絡(luò)組建方式。IPSec網(wǎng)關(guān)的路由器實際上是IPSec隧道的終點和起點，為了滿足轉(zhuǎn)發(fā)性能的要求，該路由器需要專用的加密板卡。

6.5漏洞掃描系統(tǒng)

很多時候，我們必須通過修補操作系統(tǒng)漏洞來徹底消除利用漏洞傳播的蠕蟲影響。眾所周知Microsoft有專門的Update站點來發(fā)布最新的漏洞補丁，我們所需要做的是下載補丁，安裝并重新啟動。如何在蠕蟲和黑客還沒有滲透到網(wǎng)絡(luò)之前修補這些漏洞，如何將部署這些補丁對企業(yè)的運行影響減小到最低呢?那就是選擇一套高效安全的桌面管理軟件，來進行完善企業(yè)或單位的rr管理。又如何解決網(wǎng)絡(luò)層安全問題呢?首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)管員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。

7網(wǎng)絡(luò)系統(tǒng)安全綜合解決措施

要想實現(xiàn)網(wǎng)絡(luò)安全功能，應(yīng)對網(wǎng)絡(luò)系統(tǒng)進行全方位防范，從而制定出比較合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。下面就網(wǎng)絡(luò)系統(tǒng)的安全問題，提出一些防范措施。7.1物理安全

物理安全可以分為兩個方面：一是人為對網(wǎng)絡(luò)的損害；二是網(wǎng)絡(luò)對使用者的危害。網(wǎng)絡(luò)對使用者的危害主要是電纜的電擊、高頻信號的幅射等，這需要對網(wǎng)絡(luò)的絕緣、接地和屏蔽工作做好。7.2訪問控制安全

訪問控制識別并驗證用戶，將用戶限制在已授權(quán)的活動和資源范圍之內(nèi)。網(wǎng)絡(luò)的訪問控制安全可以從以下幾個方面考慮。

①口令。網(wǎng)絡(luò)安全系統(tǒng)的最外層防線就是網(wǎng)絡(luò)用戶的登錄，在注冊過程中，系統(tǒng)會檢查用戶的登錄名和口令的合法性，只有合法的用戶才可以進入系統(tǒng)。②網(wǎng)絡(luò)資源屬主、屬性和訪問權(quán)限。網(wǎng)絡(luò)資源主要包括共享文件、共享打印機、網(wǎng)絡(luò)通信設(shè)備等網(wǎng)絡(luò)用戶都有可以使用的資源。資源屬主體現(xiàn)了不同用戶對資源的從屬關(guān)系，如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取

8網(wǎng)絡(luò)安全管理的發(fā)展趨勢

在20世紀(jì)90年代中后期，隨著互聯(lián)網(wǎng)的發(fā)展以及社會信息化程度的提高，各種安全設(shè)備在網(wǎng)絡(luò)中的應(yīng)用也越來越多，市場上開始出現(xiàn)了獨立的安全管理產(chǎn)品。相對而言，國外計算機網(wǎng)絡(luò)對安全管理的需求更加多樣化，而且起步較早，已經(jīng)形成了較大規(guī)模的市場，有一部分產(chǎn)品在市場上逐漸獲得了用戶的認可。近年來，國內(nèi)廠商也開始推出網(wǎng)絡(luò)安全管理產(chǎn)品，但受技術(shù)實力限制，大多是針對自己的安全設(shè)備開發(fā)的集中管理軟件、安全審計系統(tǒng)等。

由于各種網(wǎng)絡(luò)安全產(chǎn)品的作用體現(xiàn)在網(wǎng)絡(luò)中的不同方面.統(tǒng)一的網(wǎng)絡(luò)安全管理平臺必然要求對網(wǎng)絡(luò)中部署的安全設(shè)備進行協(xié)同管理，這是統(tǒng)一安全管理平臺的最高追求目標(biāo)。但這并非是一個單純而簡單的技術(shù)問題，它還涉及到行業(yè)標(biāo)準(zhǔn)和聯(lián)盟。目前，國內(nèi)外已有一些廠商開始操作一些相關(guān)工作。CA公司的eTrust產(chǎn)品對安全策略管理支持比較成功：而IBM的Tivoli套件中的Risk manager軟件是目前比較優(yōu)秀的風(fēng)險管理軟件。另外，聯(lián)想的Lead—SecManager在安全設(shè)備管理、安全策略管理、安全風(fēng)險控制及集中安全審計方面都做了十分有效的工作。

9結(jié)語

對每個企業(yè)來說，如何最大限度地發(fā)揮網(wǎng)絡(luò)效益，同時防止企業(yè)信息泄露與破壞，是企業(yè)管理者、企業(yè)網(wǎng)絡(luò)管理者和企業(yè)用戶都非常關(guān)注的問題。本文從技術(shù)上探討了企業(yè)網(wǎng)絡(luò)安全的問題，提出了一種具有普遍意義的網(wǎng)絡(luò)安全模型。實際上，企業(yè)網(wǎng)絡(luò)安全建設(shè)是一個復(fù)雜的系統(tǒng)工程，在強調(diào)技術(shù)應(yīng)用的同時，不能忽視網(wǎng)絡(luò)安全管理的建設(shè)工作。在加強對企業(yè)用戶的安全制度教育的同時，應(yīng)該考慮建立完善的內(nèi)網(wǎng)安全防范日志，對內(nèi)部網(wǎng)絡(luò)監(jiān)測過程中出現(xiàn)的重要事件進行記錄，便于管理員從中發(fā)現(xiàn)網(wǎng)絡(luò)上的不安全因素、網(wǎng)絡(luò)上的潛在威脅及網(wǎng)絡(luò)中的可疑分子，同時也為事故后責(zé)任的追查，對案件的偵破都是很好的依據(jù)，并且是對有不良動機者也是一個很好的警示。

總之，網(wǎng)絡(luò)安全是一個系統(tǒng)工程，一個企業(yè)或單位的計算機網(wǎng)絡(luò)安全需要通過在內(nèi)部網(wǎng)絡(luò)中的每臺T作站上部署防病毒、防火墻、入侵榆測、補丁管理與系統(tǒng)監(jiān)控等;通過集中收集內(nèi)部網(wǎng)絡(luò)中的威脅，分析面對的風(fēng)險，靈活適當(dāng)?shù)卣{(diào)整安

0

第二篇：計算機系畢業(yè)論文

畢業(yè)論文

題 目

丹陽市珥陵中學(xué)校園網(wǎng)組建

學(xué)生姓名 學(xué) 號 系 部 專 業(yè) 班 級 指導(dǎo)教師 顧問教師

計算機科學(xué)與工程

二〇一〇年十一月

摘要

摘 要

隨著學(xué)校信息化教育的發(fā)展和規(guī)模的擴大，信息化校園建設(shè)已提上日程。多媒體校園網(wǎng)已成為學(xué)校必備的重要信息基礎(chǔ)設(shè)施，其規(guī)模和應(yīng)用水平已成為了衡量學(xué)校教學(xué)與科研綜合實力的重要標(biāo)志。

丹陽珥陵中學(xué)，校園布局彰顯特色，建筑匠心獨運，環(huán)境幽美，景色宜人，為廣大師生營造了一片健康美好的學(xué)習(xí)和發(fā)展空間。在當(dāng)今信息產(chǎn)業(yè)蓬勃發(fā)展的今天，信息已經(jīng)成為一種關(guān)鍵性的戰(zhàn)略資源，計算機技術(shù)在人們的生活中已經(jīng)起到了越來越重要的作用。丹陽珥陵中學(xué)與時俱進，跟隨信息時代的腳步，因此一個完善的校園網(wǎng)絡(luò)對丹陽珥陵中學(xué)的發(fā)展具有重要的作用。

校園作為知識基地和人才基地，它理應(yīng)成為代表信息產(chǎn)業(yè)應(yīng)用最成功的典范。一所成功的學(xué)校不僅在學(xué)術(shù)上、教育上要力爭上游，更應(yīng)在管理上上一個臺階。通過校園信息網(wǎng)，將各處的電腦聯(lián)成一個數(shù)據(jù)網(wǎng)，實現(xiàn)各類數(shù)據(jù)的統(tǒng)一性和規(guī)范性；教職員工和學(xué)生可共享各種信息，極易進行各種信息的教流、經(jīng)驗的分享、討論、消息的發(fā)布、工作流的自動實現(xiàn)和協(xié)同工作等，從而有效地提高學(xué)校的現(xiàn)代化管理水平和教學(xué)質(zhì)量，增強學(xué)生學(xué)習(xí)的積極性、主動性，為信息時代培育出高素質(zhì)的人才。

關(guān)鍵詞： 校園網(wǎng)

交換模塊

遠程訪問控制

I

目錄

目 錄

摘 要------------------------------I 目 錄------------------------------II 第一章 概 述---------------------1

1.1 校園網(wǎng)組建的背景--------------1 1.2 校園網(wǎng)組建的需求分析----------2

1.2.1設(shè)計理念----------------2 1.2.2設(shè)計目標(biāo)----------------2 1.2.3 設(shè)計原則-------------------2 第二章 丹陽珥陵中學(xué)網(wǎng)絡(luò)建設(shè)的實施方案----------------------------5

2.1校園網(wǎng)絡(luò)特點------------------5 2.2丹陽珥陵中學(xué)網(wǎng)絡(luò)的總體設(shè)計方案 5

2.2.1 丹陽珥陵中學(xué)網(wǎng)絡(luò)的組成與拓撲結(jié)構(gòu)-----------------------5 2.2.2 VLAN及IP地址規(guī)劃------6

第三章 交換模塊的設(shè)計---------------8

3.1 訪問層交換服務(wù)的實現(xiàn)－配置訪問層交換機----------------------8 3.1.1 配置訪問層交換機的管理IP、默認網(wǎng)關(guān)-------------------9 3.1.2 配置訪問層交換機的端口基本參數(shù)------------------------10 3.1.3 配置訪問層交換機的訪問端口---------------------------10 3.1.4 配置訪問層交換機AccessSwitch2-----------------------10 3.2 分布層交換服務(wù)的實現(xiàn)－配置分布層交換機----------------------11 3.2.1 配置分布層交換機的管理IP、默認網(wǎng)關(guān)------------------11 3.2.2 在分布層交換機上定義VLAN----------------------------11 3.2.3 配置分布層交換機的端口基本參數(shù)-----------------------12 3.2.4 配置分布層交換機的3層交換功能-----------------------12 3.3 核心層交換服務(wù)的實現(xiàn)－配置核心層交換機----------------------14 第四章 廣域網(wǎng)接入模塊設(shè)計---------16 4.1 配置接入路由器InternetRouter的基本參數(shù)--------------------16 4.1.1配置接入路由器的各接口參數(shù)----------------------------16 4.1.2 配置接入路由器的路由功能-----------------------------17 第五章 遠程訪問模塊和服務(wù)器模塊設(shè)計 20 5.1 遠程訪問模塊設(shè)計-----------20 5.2 服務(wù)器模塊設(shè)計--------------20 第六章 總結(jié)與展望-----------------22 致 謝-----------------------------23 參考文獻----------------------------24

II

概

述

第一章 概 述

江蘇省重點中學(xué)—丹陽市珥陵高級中學(xué)（原丹陽縣珥陵初級中學(xué)、丹陽縣五七中學(xué)、丹陽縣珥陵中學(xué)、丹陽市珥陵中學(xué)）創(chuàng)建于1956年，是當(dāng)時丹陽縣創(chuàng)辦的第二所公辦中學(xué)。學(xué)校地處江蘇省教育現(xiàn)代化示范名鎮(zhèn)，坐落在丹西公路與丹金公路交匯處，交通十分快捷，是一所具有鮮明辦學(xué)特色和優(yōu)秀辦學(xué)質(zhì)量的江蘇省三星級學(xué)校。學(xué)校先后獲得江蘇省德育先進學(xué)校、江蘇省青少年科技教育先進學(xué)校、江蘇省貫徹體衛(wèi)兩個條例先進集體、鎮(zhèn)江市文明單位、鎮(zhèn)江市模范學(xué)校、鎮(zhèn)江市青少年法制教育先進集體、鎮(zhèn)江市“爭創(chuàng)文明學(xué)生活動”先進學(xué)校、丹陽市精品管理學(xué)校、丹陽市軍訓(xùn)工作先進集體等榮譽稱號。學(xué)校環(huán)境優(yōu)雅。

1.1 校園網(wǎng)組建的背景

丹陽珥陵中學(xué)擁有這么悠久的歷史和深厚的文化，這是得天獨厚且十分寶貴的文化遺產(chǎn)和資源，對學(xué)校的發(fā)展有著重要的現(xiàn)實意義。丹陽珥陵中學(xué)一直堅持與時俱進，不斷豐富和發(fā)展學(xué)校的辦學(xué)理念。樹立以人為本的辦學(xué)理念和科學(xué)發(fā)展觀，以“塑有思想的教師，育有道德的學(xué)生，辦有靈魂的學(xué)校”為根本辦學(xué)目標(biāo)，努力發(fā)揮每一位師生的發(fā)展?jié)撃堋?/p>

隨著國家信息化工作的深入開展，提高教育系統(tǒng)信息化水平成為當(dāng)前工作的重點。而校園網(wǎng)建設(shè)則是教育系統(tǒng)信息化建設(shè)的關(guān)鍵，尤其是高校校園網(wǎng)建設(shè)。在信息化的建設(shè)過程中，它的作用體現(xiàn)在如下幾個方面：

1、校園網(wǎng)能促進教師和學(xué)生盡快提高應(yīng)用信息技術(shù)的水平；信息技術(shù)學(xué)科的內(nèi)容是發(fā)展的，它是一門應(yīng)用型學(xué)科，因此，為了讓學(xué)生學(xué)到實用的知識，必須給他們提供一個實踐的環(huán)境，這個環(huán)境離不開校園網(wǎng)。

2、校園網(wǎng)為教師提供了一種先進的輔助教學(xué)工具、提供了豐富的資源庫，所以校園網(wǎng)是學(xué)校進行教學(xué)改革、推行素質(zhì)教育的一種必不可少的工具。

3、校園網(wǎng)是學(xué)校現(xiàn)代化管理的基礎(chǔ)，深入、全面的學(xué)習(xí)信息管理系統(tǒng)必須建立在校園網(wǎng)上。

4、校園網(wǎng)提供了學(xué)習(xí)與外界交流的窗口，學(xué)習(xí)英將校園網(wǎng)與互聯(lián)網(wǎng)連接，這也是學(xué)習(xí)信息化的要求，做到了這一步，通過校園網(wǎng)去了解世界、在互聯(lián)網(wǎng)上樹立學(xué)習(xí)的形象都是很容易的。

教育即未來，作為國家最重要的斬落工程，如何應(yīng)用信息技術(shù)改造我們傳統(tǒng)的教學(xué)和管理手段；如何加深學(xué)生對于信息化和信息技術(shù)的理解與了解；如何造就同時具備傳統(tǒng)和信息雙重文化的一代新人，已成為教育界當(dāng)前最為緊迫的任務(wù)之一。信息技術(shù)的應(yīng)用，勢必極大的推進教育手段和教育內(nèi)容的革命性變革。

淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計論文

1.2 校園網(wǎng)組建的需求分析

1.2.1設(shè)計理念1、2、建設(shè)成穩(wěn)定可靠、具有高安全性、開放性的校園網(wǎng)絡(luò)系統(tǒng)，整個系網(wǎng)絡(luò)結(jié)構(gòu)清晰，網(wǎng)絡(luò)層次合理數(shù)據(jù)網(wǎng)絡(luò)需要采用分布式布線。網(wǎng)絡(luò)統(tǒng)易于擴充、便于管理。

建成后，應(yīng)該實現(xiàn)各信息點的高速上網(wǎng)、并能為多媒體教學(xué)科研提供一個高速承載平臺，方便的網(wǎng)絡(luò)管理、安全的用戶認證；3、4、5、運營商級的網(wǎng)絡(luò)系統(tǒng)安全性、運營安全性；

完善的接入管理解決方案和靈活、安全的認證計費解決方案； 從網(wǎng)絡(luò)設(shè)備的功能、性價比等方面考慮未來5-10年之內(nèi)的業(yè)務(wù)應(yīng)用。

1.2.2設(shè)計目標(biāo)

運用先進的網(wǎng)絡(luò)技術(shù)和通訊技術(shù)，建立以丹陽珥陵中學(xué)教育信息網(wǎng)站為中心，實現(xiàn)丹陽珥陵中學(xué)校園網(wǎng)絡(luò)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的保障服務(wù)，使網(wǎng)絡(luò)安全可靠，具備高性能、高安全性、高可靠性、可增值特性以及開放性、兼容性、可擴展性。

建成后的網(wǎng)絡(luò)中心將實現(xiàn)以下功能：

1、網(wǎng)站發(fā)布 教育局建立自己的主頁，利用互聯(lián)網(wǎng)向社會宣傳丹陽珥陵中學(xué)教育，提供各類咨詢信息等；同時教育單位可在本網(wǎng)絡(luò)中心申請空間，建立自已的網(wǎng)頁對外發(fā)布。

2、資源共享 建立電子圖書館或其它形式的教育資源庫，供師生檢索、查詢、利用。

3、網(wǎng)上教學(xué) 通過視頻會議系統(tǒng)或VOD視頻點播實現(xiàn)實時或非實時方式的遠程多媒體教學(xué)。

4、電子郵件服務(wù) 通過E－mail與同行交往。

5、文件傳輸FTP服務(wù) 利用FTP服務(wù)實現(xiàn)縣內(nèi)教育用戶上傳以及從網(wǎng)上下載資料。

6、辦公自動化服務(wù)

7、互聯(lián)網(wǎng)接入

8、后期還要建設(shè)成為視頻監(jiān)控、課件點播、網(wǎng)絡(luò)直播、遠程教學(xué)、在線考試、視頻會議等多媒體服務(wù)應(yīng)用中心。

1.2.3 設(shè)計原則 實用性原則

丹陽珥陵中學(xué)網(wǎng)絡(luò)是一個較復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，所以一定要以丹陽珥陵中學(xué)現(xiàn)行需求為基礎(chǔ)，充分考慮發(fā)展的需要為依據(jù)來確定系統(tǒng)規(guī)模。本方案充分滿足校

概

述

園網(wǎng)絡(luò)特定的應(yīng)用功能和性能的需求，在保證系統(tǒng)安全可靠的情況下，選用性能高、價格優(yōu)的產(chǎn)品。

安全性和可靠性原則

對安全級別要求很高，特別是內(nèi)網(wǎng)。系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)層的安全手段防止系統(tǒng)外部成員的非法侵入。網(wǎng)絡(luò)設(shè)計能有效的避免單點失敗，在設(shè)備的選擇和關(guān)鍵設(shè)備的互聯(lián)時，提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最短時間內(nèi)修復(fù)。為此在丹陽珥陵中學(xué)校園網(wǎng)絡(luò)設(shè)計上考慮以下的技術(shù)：

選擇的網(wǎng)絡(luò)設(shè)備必需具有良好的可靠性保證，可熱插拔的模塊，快速的恢復(fù)機制等；

冗余及負載均衡的電源系統(tǒng)。據(jù)研究，電源故障在實際系統(tǒng)中導(dǎo)致的系統(tǒng)故障比率高達60%；

其它關(guān)鍵設(shè)備的冗余，如控制模塊、交換結(jié)構(gòu)的冗余；

校園網(wǎng)是一個公眾性校園服務(wù)網(wǎng)絡(luò)，它涉及各種不同的用戶以及不同的訪問方式，加之學(xué)生獨有的頭腦靈活及喜好挑戰(zhàn)特點，網(wǎng)絡(luò)的安全性尤其重要，確保系統(tǒng)的動作正常、用戶信息的保密。安全機制包括：

完善的網(wǎng)絡(luò)管理，基于政策式的控制；

基于網(wǎng)絡(luò)五元組元素（源IP地址、目標(biāo)IP地址、源MAC地址、目標(biāo)MAC地址、端口號）進行用戶地址唯一性標(biāo)識和業(yè)務(wù)區(qū)分；

規(guī)范性原則

網(wǎng)絡(luò)設(shè)計所采用的組網(wǎng)技術(shù)和設(shè)備應(yīng)符合國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)和業(yè)界標(biāo)準(zhǔn)，為網(wǎng)絡(luò)的擴展升級、與其他網(wǎng)絡(luò)的互聯(lián)提供良好的基礎(chǔ)。

開放性和標(biāo)準(zhǔn)化原則

丹陽珥陵中學(xué)正全力向揚州一流、蘇中上游、全省知名，具有一流的管理水平和一流的辦學(xué)特色的四星級高中邁進。因此需要建立一個可靠、高效、靈活的計算機網(wǎng)絡(luò)系統(tǒng)平臺。不僅著重考慮數(shù)據(jù)信息能夠訊速、準(zhǔn)確、安全、可靠地交換，還要考慮同層次網(wǎng)絡(luò)互連，遠程分部的互聯(lián)，以及與相關(guān)信息系統(tǒng)網(wǎng)際互聯(lián)，以充分共享資源。這些需求體現(xiàn)在設(shè)計時，要求提供開放性好、標(biāo)準(zhǔn)化程度高的技術(shù)方案；設(shè)備的各種接口滿足開放和標(biāo)準(zhǔn)化原則。

可擴充和擴展化原則

所有網(wǎng)絡(luò)設(shè)備不但滿足當(dāng)前需要，并在擴充模塊后滿足可預(yù)見將來需求考慮到丹陽珥陵中學(xué)將來的發(fā)展，必須實現(xiàn)網(wǎng)絡(luò)拓撲的靈活改變，實現(xiàn)如帶寬和設(shè)備的擴展，應(yīng)用的擴展和辦公地點的擴展等。并保證建設(shè)完成后的網(wǎng)絡(luò)在向新的技術(shù)升級時，能保護現(xiàn)有的投資。

可管理性原則

淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計論文

隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)絡(luò)的管理越來越重要，管理的事務(wù)也越來越復(fù)雜。整個網(wǎng)絡(luò)系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護，操作簡單，易學(xué)，易用，便于進行網(wǎng)絡(luò)配置，網(wǎng)絡(luò)在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進行遠程管理和故障診斷。如：可以通過友好的圖形化界面，對網(wǎng)絡(luò)進行虛網(wǎng)劃分，設(shè)置各子網(wǎng)的訪問權(quán)限，實施網(wǎng)絡(luò)的動態(tài)監(jiān)測、配置，數(shù)據(jù)流量的分析等，簡化網(wǎng)絡(luò)的管理。

工程概況

校園網(wǎng)的建設(shè)包括4個區(qū)域的建設(shè)，分別是核心區(qū)、圖書館、計算機中心和學(xué)生社區(qū)。其中核心區(qū)包括500個左右的信息點，圖書館區(qū)域包括300個左右的信息點，計算機中心區(qū)域包括200個左右的信息點，學(xué)生社區(qū)包括7000個左右的信息點。

核心區(qū)：網(wǎng)絡(luò)中心設(shè)在院網(wǎng)絡(luò)中心大樓的二樓，從網(wǎng)絡(luò)中心到院行政辦樓、系行政辦公樓、綜合教學(xué)樓、教師交流中心、教師宿舍、網(wǎng)絡(luò)技術(shù)與工程中心均采用6芯單模鎧裝光纜連接相應(yīng)樓層的二級配線間。

圖書館區(qū)域；網(wǎng)絡(luò)中心設(shè)在圖書館二樓，從分中心至網(wǎng)絡(luò)中心采用12芯單模鎧裝光纜連接。在該區(qū)域的電子閱覽室、館內(nèi)辦公樓、實訓(xùn)中心、實驗樓、學(xué)術(shù)交流中心分別設(shè)立三級配線間，從分中心到各三級配線間除到電子閱覽室采用6芯單模鎧裝光纜連接外，其他均采用6芯多模鎧裝光纜連接。

計算機中心區(qū)域：網(wǎng)絡(luò)分中心設(shè)在計算機中心大樓二樓，從分中心至網(wǎng)絡(luò)中心采用12芯單模鎧裝光纜連接。在該區(qū)域的13個中心機房均采用6芯多模鎧裝光纜連接。

學(xué)生社區(qū)區(qū)域：網(wǎng)絡(luò)分中心設(shè)在學(xué)生宿舍管理辦公室，從分中心至網(wǎng)絡(luò)中心采用24芯單模鎧裝光纜連接。在該區(qū)域的各個中心機房均采用8芯多模鎧裝光纜連接學(xué)生炒股及學(xué)生活動中心等三級配線間。該區(qū)域主要是針對對學(xué)生宿舍的信息化服務(wù)，集中了該校校園網(wǎng)絡(luò)的主要信息流。

丹陽珥陵中學(xué)建設(shè)的實施方案

第二章 丹陽珥陵中學(xué)網(wǎng)絡(luò)建設(shè)的實施方案

2.1校園網(wǎng)絡(luò)特點

校園網(wǎng)的最終使用主體包括全體學(xué)生、教學(xué)老師、管理服務(wù)群體等，使用主體的多樣性也決定了網(wǎng)絡(luò)承載業(yè)務(wù)的多樣性。當(dāng)前校園網(wǎng)的主要特點包括：網(wǎng)絡(luò)吞吐能力高、速度快、系統(tǒng)規(guī)模大（多校區(qū)）；用戶群龐大、多層次（教師、學(xué)生等）、接入方式多樣（PPPoE、專線接入、WLAN等）；網(wǎng)絡(luò)環(huán)境復(fù)雜、多網(wǎng)共存（教學(xué)網(wǎng)、科研網(wǎng)、辦公網(wǎng)、學(xué)生宿舍網(wǎng)、教工家屬網(wǎng)等）；數(shù)據(jù)業(yè)務(wù)復(fù)雜（網(wǎng)上點播、電子教室、財務(wù)、政務(wù)等）、類型多樣（數(shù)據(jù)、語音、視頻等）；用網(wǎng)時間集中、同時在線人數(shù)眾多、流量巨大且分布時段不均；學(xué)生活躍、好奇、敢于嘗試、攻擊性強；計算機蠕蟲、病毒泛濫、盜版資源泛濫、網(wǎng)絡(luò)行為突發(fā)性高。

2.2丹陽珥陵中學(xué)網(wǎng)絡(luò)的總體設(shè)計方案

2.2.1 丹陽珥陵中學(xué)網(wǎng)絡(luò)的組成與拓撲結(jié)構(gòu)

為了實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補充。

本校園網(wǎng)設(shè)計方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠程訪問模塊、服務(wù)器群。整個網(wǎng)絡(luò)系統(tǒng)的拓撲結(jié)構(gòu)圖如圖2-1所示。

淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計論文

圖2-1 校園網(wǎng)整體拓撲結(jié)構(gòu)圖

2.2.2 VLAN及IP地址規(guī)劃

整個校園網(wǎng)中VLAN及IP編址方案如下表所示：

表2.1 VLAN及IP編址方案

除了表中的內(nèi)容外，撥號用戶從192.168.200.0/27中動態(tài)取得IP地址。

丹陽珥陵中學(xué)網(wǎng)絡(luò)建設(shè)的實施方案

為了簡化起見，這里我們只規(guī)劃了8個VLAN，同時為每個VLAN定義了一個由拼音縮寫組成的VLAN名稱。

淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計論文

第三章 交換模塊的設(shè)計

為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。

園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：訪問層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術(shù)還實現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。

現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實現(xiàn)。

3.1 訪問層交換服務(wù)的實現(xiàn)－配置訪問層交換機

訪問層為所有的終端用戶提供一個接入點。這里的訪問層交換機采用的是Cisco Catalyst 2950 24口交換機（WS-C2950-24）。交換機擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運行的是Cisco的IOS操作系統(tǒng)。我們以圖1-1中的訪問層交換機AccessSwitch1為例進行介紹。如圖3-1所示，圖3-1 訪問層交換機AccessSwitch1

a.配置訪問層交換機AccessSwitch1的基本參數(shù)

1）設(shè)置交換機名稱

設(shè)置交換機名稱，也就是出現(xiàn)在交換機CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機命名。當(dāng)我們需要Telnet登錄到若干臺交換機以維護一個大型網(wǎng)絡(luò)時，通過交換機名稱提示符提示自己當(dāng)前配置交換機的位置是很有必要的。

如圖3-2所示，為訪問層交換機AccessSwitch1命名。

交換模塊設(shè)計

圖3-2 為訪問層交換機AccessSwitch1命名

2）設(shè)置交換機的加密使能口令

當(dāng)用戶在普通用戶模式而想要進入特權(quán)用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當(dāng)用戶查看配置文件時，無法看到明文形式的口令。

如圖3-3所示，將交換機的加密使能口令設(shè)置為secretpasswd。

圖3-3 為交換機設(shè)置加密使能口令

3.1.1 配置訪問層交換機的管理IP、默認網(wǎng)關(guān)

訪問層交換機是OSI參考模型的第2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給訪問層交換機的每個端口設(shè)置IP地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠程登錄到訪問層交換機上進行管理，必要給訪問層交換機設(shè)置一個管理用IP地址。這種情況下，實際上是將交換機看成和PC機一樣的主機。

給交換機設(shè)置管理用IP地址只能在VLAN1，即本征VLAN中進行。按照表2.1，管理VLAN所在的子網(wǎng)是：192.168.0.0/24，這里將訪問層交換機AccessSwitch1的管理IP地址設(shè)為：192.168.0.5/24

如圖2-5所示，顯示了為訪問層交換機AccessSwitch1設(shè)置管理IP并激活本征VLAN。

圖3-4 設(shè)置訪問層交換機AccessSwitch1的管理IP

為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機，還應(yīng)設(shè)置默認網(wǎng)關(guān)地址192.168.0.254。如圖所示。

圖3-5 設(shè)置訪問層交換機AccessSwitch1的默認網(wǎng)關(guān)地址

淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計論文

3.1.2 配置訪問層交換機的端口基本參數(shù)

1）端口雙工配置

可以設(shè)定某端口根據(jù)對端設(shè)備雙工類型自動調(diào)整本端口雙工模式，也可以強制將端口雙工模式設(shè)為半雙工或全雙工模式。在了解對端設(shè)備類型的情況下，建議手動設(shè)置端口雙工模式。

如圖所示，設(shè)置訪問層交換機AccessSwitch1的所有端口均工作在全雙工模式。

圖3-6 設(shè)置訪問層交換機AccessSwitch1的端口工作模式

2）端口速度

可以設(shè)定某端口根據(jù)對端設(shè)備速度自動調(diào)整本端口速度，也可以強制將端口速度10Mpbs或100Mbps。在了解對端設(shè)備速度的情況下，建議手動設(shè)置端口速度。

如圖所示，設(shè)置訪問層交換機AccessSwitch1的所有端口的速度均為100Mbps。

圖3-7 設(shè)置訪問層交換機AccessSwitch1的端口速度

3.1.3 配置訪問層交換機的訪問端口

訪問層交換機AccessSwitch1為終端用戶提供接入服務(wù)。在圖中，訪問層交換機AccessSwitch1為VLAN10、VLAN20提供接入服務(wù)。

3.1.4 配置訪問層交換機AccessSwitch2

訪問層交換機AccessSwitch2為VLAN 30和VLAN 40的用戶提供接入服務(wù)。同時，分別通過自己的FastEthernet 0/23、FastEthernet 0/24上連到分布層交換機DistributeSwitch1、DistributeSwitch2的端口FastEthernet 0/24。

對訪問層交換機AccessSwitch2的配置步驟、命令和對訪問層交換機AccessSwitch1的配置類似。

交換模塊設(shè)計

3.2 分布層交換服務(wù)的實現(xiàn)－配置分布層交換機

分布層除了負責(zé)將訪問層交換機進行匯集外，還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能。

這里的分布層交換機采用的是Cisco Catalyst 3550交換機。作為3層交換機，Cisco Catalyst 3550交換機擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口。

3.2.1 配置分布層交換機的管理IP、默認網(wǎng)關(guān)

如圖所示，顯示了為分布層交換機DistributeSwitch1設(shè)置管理IP并激活本征VLAN。同時，還設(shè)置了默認網(wǎng)關(guān)的地址。

圖3-8 分布層交換機DistributeSwitch1配置

3.2.2 在分布層交換機上定義VLAN 在本校園網(wǎng)實現(xiàn)實例中，除了默認的本征VLAN外，又定義了8個VLAN，如表1-1所示。

如圖所示，定義了8個VLAN，同時為每個VLAN命名。

淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計論文

圖3-9 定義VLAN

3.2.3 配置分布層交換機的端口基本參數(shù)

分布層交換機DistributeSwitch1的端口FastEthernet 0/1～FastEthernet 0/10為服務(wù)器群提供接入服務(wù)，而端口FastEthernet 0/

23、FastEthernet 0/24分別下連到訪問層交換機AccessSwitch1的端口FastEthernet 0/23以及訪問層交換機AccessSwitch2的端口FastEthernet 0/23。

此外，分布層交換機DistributeSwitch1還通過自己的千兆端口GigabitEthernet 0/1上連到核心交換機CoreSwitch1的GigabitEthernet 3/1。

3.2.4配置分布層交換機的3層交換功能

分布層交換機DistributeSwitch1需要為網(wǎng)絡(luò)中的各個VLAN提供路由功能。這需要首先啟用分布層交換機的路由功能。如圖所示。

交換模塊設(shè)計

圖3-10 啟用路由功能

接下來，需要為每個VLAN定義自己的默認網(wǎng)關(guān)地址，如圖所示。

圖3-11 定義各VLAN的默認網(wǎng)關(guān)地址

此外，還需要定義通往Internet的路由。這里使用了一條缺省路由命令，如圖所示。其中，下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。

淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計論文

圖3-12 定義到Internet的缺省路由

3.3 核心層交換服務(wù)的實現(xiàn)－配置核心層交換機

核心層將各分布層交換機互連起來進行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。對核心層交換機CoreSwitch1的基本參數(shù)的配置步驟與對訪問層交換機AccessSwitch1的基本參數(shù)的配置類似。

配置核心層交換機CoreSwitch1的端口參數(shù)

核心層交換機CoreSwitch1通過自己的端口FastEthernet 4/3同廣域網(wǎng)接入模塊（Internet路由器）相連。同時，核心層交換機CoreSwitch1的端口GigabitEthernet 3/1～GigabitEthernet 3/2分別下連到分布層交換機DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。

如圖所示，給出了對上述端口的配置命令。

交換模塊設(shè)計

圖3-13 設(shè)置核心層交換機CoreSwitch1的各端口參數(shù)

淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計論文

第四章 廣域網(wǎng)接入模塊設(shè)計

在本設(shè)計中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器InternetRouter來完成的。采用的是Cisco的3640路由器。它通過自己的串行接口serial 0/0使用DDN（128K）技術(shù)接入Internet。它的作用主要是在Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問控制列表（Access Control List，ACL），廣域網(wǎng)接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的安全功能。

圖4-1廣域網(wǎng)模塊

4.1 配置接入路由器InternetRouter的基本參數(shù)

對接入路由器InternetRouter的基本參數(shù)的配置步驟與對AccessSwitch1的基本參數(shù)的配置類似。

圖4-2 配置接入路由器InternetRouter的基本參數(shù)

4.1.1配置接入路由器的各接口參數(shù)

廣域網(wǎng)接入模塊設(shè)計

對接入路由器InternetRouter的各接口參數(shù)的配置主要是對接口FastEthernet 0/0以及接口Serial 0/0的IP地址、子網(wǎng)掩碼的配置。

如圖4-3所示，顯示了為接入路由器InternetRouter的各接口設(shè)置IP地址、子網(wǎng)掩碼。

圖4-3 接入路由器InternetRouter的管理IP、默認網(wǎng)關(guān)

4.1.2 配置接入路由器的路由功能

在接入路由器InternetRouter上需要定義兩個方向上的路由：到校園網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。

到Internet上的路由需要定義一條缺省路由，如圖所示。其中，下一跳指定從本路由器的接口serial 0/0送出。

圖4-4 定義到Internet的缺省路由

到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如圖所示。

圖4-5 定義到校園網(wǎng)內(nèi)部的路由

4.1.3 配置接入路由器上的ACL 路由器是外網(wǎng)進入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表（Access Control List，ACL）是保護內(nèi)網(wǎng)安全的有效手段。一個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。

淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計論文

由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設(shè)計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護。

這里，在本實例中，我們將針對服務(wù)器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路由器InternetRouter上ACL的配置方案。

在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實現(xiàn)中它們都是應(yīng)該對外加以屏蔽的。主要應(yīng)該做以下的ACL設(shè)計：（1）對外屏蔽簡單網(wǎng)管協(xié)議，即SNMP。

利用這個協(xié)議，遠程主機可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：SNMP和SNMPTRAP。

如圖所示，顯示了如何設(shè)置對外屏蔽簡單網(wǎng)管協(xié)議SNMP。

圖4-6 對外屏蔽簡單網(wǎng)管協(xié)議SNMP

（2）對外屏蔽遠程登錄協(xié)議telnet

首先，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器，并可以使用相關(guān)命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。

如圖所示，顯示了如何對外屏蔽遠程登錄協(xié)議telnet

圖4-7 對外屏蔽遠程登錄協(xié)議telnet

（3）對外屏蔽其它不安全的協(xié)議或服務(wù)

這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049，遠程執(zhí)行（rsh）、遠程登錄（rlogin）和遠程命令（rcmd）端口512、513、514，遠程過程調(diào)用（SUNRPC）端口111?？梢詫⑨槍σ陨蠀f(xié)議綜合進行設(shè)計，如圖所示。

廣域網(wǎng)接入模塊設(shè)計

圖4-8對外屏蔽其它不安全的協(xié)議或服務(wù)

淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計論文

第五章 遠程訪問模塊和服務(wù)器模塊設(shè)計

5.1 遠程訪問模塊設(shè)計

遠程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務(wù)。

圖5-1 遠程訪問服務(wù)

遠程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費也不相同。在本設(shè)計中，由于面對的用戶群規(guī)模、業(yè)務(wù)量較小，所以采用了異步撥號連接作為遠程訪問的技術(shù)手段。

異步撥號連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換電話網(wǎng)（Public Switched Telephone Network，PSTN）上提供服務(wù)的。傳統(tǒng)PSTN提供的服務(wù)也被稱為簡易老式電話業(yè)務(wù)（Plan Old Telephone System，POTS）。因為目前存在著大量安裝好的電話線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號連接也就成為最為方便和普遍的遠程訪問類型。

廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如HDLC、PPP等。其中，PPP除了提供身份認證功能外，還可以提供其他很多可選項配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢。也是本設(shè)計所采用的異步連接封裝協(xié)議。

5.2 服務(wù)器模塊設(shè)計

服務(wù)器模塊用來對校園網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計方案中，所有的服務(wù)器被集中到VLAN 100構(gòu)成服務(wù)器群并通過分別層交換機DistributeSwitch1的端口fastethernet 1～20接入校園網(wǎng)。如圖所示。

遠程訪問模塊和服務(wù)器模塊設(shè)計

圖5-2 服務(wù)器群

校園網(wǎng)提供的常見的服務(wù)（服務(wù)器）包括：

WEB服務(wù)器：提供WEB網(wǎng)站服務(wù)。

DNS、目錄服務(wù)器：提供域名解析以及目錄服務(wù)。

FTP、文件服務(wù)器：提供文件傳輸、共享服務(wù)。

郵件服務(wù)器：提供郵件收發(fā)服務(wù)。

數(shù)據(jù)庫服務(wù)器：提供各種數(shù)據(jù)庫服務(wù)。

打印服務(wù)器：提供打印機共享服務(wù)。

實時通信服務(wù)器：提供實時通信服務(wù)。

流媒體服務(wù)器：提供各種流媒體播放、點播服務(wù)。

網(wǎng)管服務(wù)器：對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進行綜合管理。

淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計論文

第六章 總結(jié)與展望

到目前為止，我的論文基本完成。從剛開始挑選題目到搜集材料，及后來的論文的正文的編寫，整個過程可謂是歷經(jīng)辛苦。不過有苦也有甜，好在現(xiàn)在論文終于結(jié)束了，回想曾經(jīng)論文設(shè)計過程中，有無數(shù)的回憶，也學(xué)到了很多的知識。

從開始的沒有頭緒，到后來的慢慢的確定目標(biāo)，決定以組建一個校園網(wǎng)來作為我大學(xué)生涯中唯一的一次論文設(shè)計題材。這一過程，使我不但對曾經(jīng)在學(xué)校里所學(xué)到的專業(yè)知識有了很好的綜合性運用，使得我對以前很多抽象、枯燥的理論知識加深了理解。

一個完備的校園網(wǎng)，應(yīng)在教師備課教學(xué)、學(xué)生學(xué)習(xí)、教務(wù)管理、行政管理、圖書資料管理、資源信息、對外交流等方面發(fā)揮輔助、支持功能，它是一項龐大而又復(fù)雜的工程。所以，在組建校園網(wǎng)時要有明確的目標(biāo)，確定校園網(wǎng)的需求分析。然后要設(shè)計好整個校園網(wǎng)規(guī)劃的拓撲圖，根據(jù)拓撲圖來做各個部分的網(wǎng)絡(luò)設(shè)置的配置，最后對各部分的配置進行調(diào)試，做到各部分組成一個整體網(wǎng)絡(luò)，實現(xiàn)網(wǎng)絡(luò)上的相通。其次，一個網(wǎng)絡(luò)存在著安全隱患，所以在實現(xiàn)網(wǎng)絡(luò)的相通的同時還要做好安全設(shè)施，使得該網(wǎng)絡(luò)高速，安全的運轉(zhuǎn)。

在整個過程中，我學(xué)到了新知識，增長了見識。在今后的日子里，我仍然要不斷地充實自己，腳踏實地，認真嚴(yán)謹，努力做出更好的成績。

致 謝

致 謝

感謝支立勛老師，是您的悉心指導(dǎo)，才使我得以順利完成畢業(yè)論文。感謝您讓我懂得了無論做什么事都要保持腳踏實地勤勉務(wù)實的作風(fēng)，這才是獲得成功的基礎(chǔ)。在論文的選題、開題、撰寫的每一個環(huán)節(jié)，都無不得到您的悉心指導(dǎo)和幫助。特別是在撰寫部分，在您的精心指導(dǎo)從不厭煩的情況下，我才取得了今天的成績。

同時，我也要感謝計算機系授課的各位老師，正是由于他們的傳道、授業(yè)、解惑，讓我學(xué)到了專業(yè)知識，而且讓我掌握了學(xué)習(xí)的方法，更教會了我做人處事的道理，在此表示感謝。雖然我的論文并不是太好，但是，在以后的生活中我會更加的努力。感謝我的母?；窗残畔⒙殬I(yè)技術(shù)學(xué)院，是她提供了一個良好的學(xué)習(xí)環(huán)境和生活環(huán)境，讓我的大學(xué)生活多姿多彩。

參考文獻

參考文獻

[1] 馮登國.《計算機通信網(wǎng)絡(luò)安全》[M].北京：清華大學(xué)出版社.[2] 單國棟，戴英俠，王航編著《計算機工程》[M].[3] 銳捷網(wǎng)絡(luò)編著的《網(wǎng)絡(luò)互連與實現(xiàn)》[M]，北京希望電子出版社.[4] 謝希仁.《計算機網(wǎng)絡(luò)教程》[M].人民郵電出版社.第四版.[5] 徐愛萍.《計算機組成原理與指導(dǎo)》[M].清華大學(xué)出版社.[6] 《TCP/IP協(xié)議》[M]第三版.清華大學(xué)出版社.[7] 鐘鳴編著《局域網(wǎng)組網(wǎng)大全》[M]郵電出版社.[8] 《網(wǎng)絡(luò)安全指南》[M]美Peter Norton Mike Stockkman編著.人民郵電出版社2000年11月.[9] 《現(xiàn)代計算機網(wǎng)絡(luò)教程》[M]張基溫編著.人民郵電出版社2001年7月.[10] 《計算機工程與設(shè)計—網(wǎng)絡(luò)端口掃描及其防御技術(shù)研究》[M]唐小明編著.

第三篇：計算機系畢業(yè)論文

目錄

內(nèi)容摘要.......................................................1 關(guān)鍵詞.........................................................1 引言...........................................................1 一.FLASH游戲技術(shù)..............................................1

（一）概述..................................................1

（二）特點..................................................1

（三）優(yōu)勢..................................................2

二、設(shè)計構(gòu)思...................................................2

（一）選材..................................................3

（二）素材準(zhǔn)備..............................................3

三、詳細設(shè)計...................................................4

（一）創(chuàng)建文件..............................................4

（二）制作元件..............................................4

（三）界面設(shè)計制作..........................................7

四、關(guān)鍵代碼...................................................9 結(jié)論..........................................................13 參考文獻......................................................14

“坦克2011”FLASH游戲制作

[內(nèi)容摘要] Flash是由macromedia公司推出的交互式矢量圖和 Web 動畫的標(biāo)準(zhǔn)，由Adobe公司收購。Flash是一種創(chuàng)作工具，設(shè)計人員和開發(fā)人員可使用它來創(chuàng)建演示文稿、應(yīng)用程序和其它允許用戶交互的內(nèi)容。Flash 可以包含簡單的動畫、視頻內(nèi)容、復(fù)雜演示文稿和應(yīng)用程序以及介于它們之間的任何內(nèi)容。它不僅能夠制作出許多眩目多彩的效果，只要你肯賦予它一定的情景，它也會模擬出現(xiàn)實生活中的場景。通過flash生成的動畫，游戲比較小，可以很好的用在網(wǎng)頁設(shè)計及更多的領(lǐng)域。

[關(guān)鍵詞] Flash游戲 ActionScript語言

引言

flash游戲是一種新興起的游戲形式，以游戲簡單，操作方便，綠色，無需安裝，文件體積小等優(yōu)點現(xiàn)在漸漸被廣大網(wǎng)友喜愛。flash游戲又叫flash 小游戲，因為flash游戲主要應(yīng)用于一些趣味化的、小型的游戲之上，以完全發(fā)

[1]揮它基于矢量圖的優(yōu)勢。flash游戲因為flash cs3的原因，在近年發(fā)展迅速，許多年青人投身其中，并在整個flash行業(yè)中發(fā)揮重要作用。flash player占據(jù)了90%互聯(lián)網(wǎng)用戶的瀏覽器，所以發(fā)的發(fā)展空間還十分巨大，前途不可估量。

一.FLASH游戲技術(shù)

（一）概述

Flash游戲在游戲形式上的表現(xiàn)與傳統(tǒng)游戲基本無異，但主要生存于網(wǎng)絡(luò)之上，因為它的體積小、傳播快、畫面美觀，所以大有取代傳統(tǒng)web網(wǎng)游的趨勢，現(xiàn)在國內(nèi)外用Flash制作無端網(wǎng)游已經(jīng)成為一種趨勢，只要瀏覽器安裝了ADOBE的Flash player，就可以玩所有的flash游戲了，這比傳統(tǒng)的web網(wǎng)游進步許多。但是Flash游戲也有自身的缺點，比如安全性差，不能承擔(dān)大型任務(wù)等。但是使用者應(yīng)該盡量發(fā)揮它的長處，回避它的短處。

（二）特點

與之前的網(wǎng)頁游戲相比，F(xiàn)lash網(wǎng)頁游戲基于Flash的圖像處理技術(shù)，讓游戲畫面等的表現(xiàn)力都大大提高。2008年以來，F(xiàn)lash網(wǎng)頁游戲技術(shù)在游戲開發(fā)領(lǐng)域得到了迅速的拓展和研究，是今后網(wǎng)頁游戲，尤其是休閑網(wǎng)頁游戲的一個重要發(fā)展方向。Flash網(wǎng)頁游戲和傳統(tǒng)網(wǎng)絡(luò)游戲最大的區(qū)別就是它的游戲資源的組織和加載方式。它通過二進制流的形式加載游戲中所需要的圖像數(shù)據(jù)。例如游戲中地圖的呈現(xiàn)，它采用漸進式加載，在進入地圖和圖片加載的同時，首先呈現(xiàn)的是一幅交錯的不清晰的圖片，隨著地圖數(shù)據(jù)的逐漸加載，游戲中清楚呈現(xiàn)的地圖像素也逐漸增多，地圖圖片慢慢從開始的不清晰變得清晰。[2]

（三）優(yōu)勢

隨著flash技術(shù)的不斷進步，flash游戲的豐富性、趣味性與大型網(wǎng)絡(luò)游戲有了分庭抗禮、一爭高低的競爭資本。而Flash游戲最大的優(yōu)勢在于方便性，不需要下載數(shù)據(jù)包、不需安裝客戶端、不需要安裝光盤，玩家只需打開網(wǎng)頁就可以玩。這種方便快速的特性是網(wǎng)絡(luò)游戲所不具備的。

據(jù)有關(guān)部門統(tǒng)計，目前中國1.72億的網(wǎng)民之中，網(wǎng)游玩家占30%，剩余的70%人群中，白領(lǐng)人群占到其中的40%以上，即5100多萬。白領(lǐng)人群的特點是工作壓力大，時間和精力有限，而flash游戲不用下載龐大的客戶端，只要打開IE瀏覽器，幾秒鐘即可進入游戲，關(guān)閉或者切換游戲頁面極其方便。[3]在辦公室工作累了，隨時可以打開游戲休閑放松幾分鐘。憑借這種一特點，flash游戲能夠很快吸引了上班一族，成為寫字樓里不少白領(lǐng)們休閑娛樂、放松神經(jīng)的首選。

二、設(shè)計構(gòu)思

在本設(shè)計中，利用了Adobe Flash CS3 Pro的動畫技術(shù)制作坦克游戲，使游戲畫面，游戲音效，可玩性合為一體。該制作分為：素材的準(zhǔn)備、元件制作、音效的設(shè)置和導(dǎo)入、動畫編輯4個部分。

游戲的整體思路是很重要的，有了完整的思路，后面的工作就可以順利多了。這款坦克游戲有三個場景，游戲開始界面，操作說明界面，游戲主界面。游戲開始界面和操作說明界面通過背景圖，幾個按鈕和修飾動畫來構(gòu)成，游戲主界面是最龐大的工程。

再就是開始把每個素材按構(gòu)思好的思路鏈接在一起，首先就是要將素材導(dǎo)入庫內(nèi)，在導(dǎo)入之前先在庫內(nèi)建立多個文件夾，并取好與內(nèi)容相符的名字，然后把圖片，音樂素材按內(nèi)容導(dǎo)入到相應(yīng)的文件夾中，這樣把素材連起來的時候就可以很容易找到所需要素材了。

（一）選材

坦克大戰(zhàn)游戲一直都是小游戲中的經(jīng)典，網(wǎng)絡(luò)上的坦克大戰(zhàn)游戲不計其數(shù)，要想做出與眾不同的坦克大戰(zhàn)游戲，選材就尤為重要?？v觀網(wǎng)絡(luò)上的坦克大戰(zhàn)小游戲，基本上與FC版的坦克大戰(zhàn)相差不大，多數(shù)都是通過方向鍵控制坦克，一個鍵發(fā)射炮彈，然后守住基地，消滅敵人的模式。我的這款極品坦克2010大致的游戲方式是通過鼠標(biāo)控制坦克的移動，鼠標(biāo)左鍵發(fā)射炮彈，在規(guī)定時間內(nèi)保護好自己，消滅更多敵人，得到更多分數(shù)來達到游戲的目的。

（二）素材準(zhǔn)備

這是工程比較龐大的一塊,當(dāng)靠flash是不夠的,還需要用到photoshop等軟件。不同的場景需要不同的背景，不同的動作需要不同的音效。背景素材通過photoshop來完成，音樂素材從網(wǎng)上下載資源，元件素材在flash中完成?？紤]在flash里手繪,對每個動作的繪制都要很仔細才行,不然會有很多不協(xié)調(diào)與搭配。

下一步就是開始整個作品最重要的內(nèi)容了，就是作出整個FLASH了。

三、詳細設(shè)計

（一）創(chuàng)建文件

1）.打開flash文檔，新建flash文件（AS2）

2）將圖片，聲音素材導(dǎo)入到庫

（二）制作元件

首先確定要制作的元件有哪些，2011四個圖形元件，2011影片剪輯，開始游戲，操作說明，退出游戲，開始，繼續(xù)，重來，返回7個按鈕元件，主坦克，敵坦克元件，主坦克，敵坦克炮彈元件，游戲顯示窗口元件，生命條和時間條元

件，感應(yīng)區(qū)元件。為各個元件命名，元件制作過程中用AS2來編寫其中需要的代碼，為后面整個游戲的實現(xiàn)做鋪墊。

這些元件都是用flash工具來畫，用幀完成動畫，導(dǎo)入相應(yīng)的音效，然后填寫代碼。

主坦克：

敵坦克：

顯示面板：

生命樹，生命條及時間條：

（三）界面設(shè)計制作

1）開始界面

游戲開始界面命名為場景1，將PS好的背景圖1拖入文檔中，使其和文檔相符，將做好的2011影片剪輯置于極品坦克四個字后面，突出游戲名字。然后將游戲開始，操作說明，退出游戲三個按鈕元件整齊的放在界面上，排列工整，美觀。為三個按鈕添加代碼，實現(xiàn)場景的跳轉(zhuǎn)。

2）操作說明界面

新建場景，命名為場景2，將PS好的背景圖2拖入文檔中，使其和文檔相符，寫上操作說明的文字，加點濾鏡，使其更美觀。然后將“返回”按鈕元件拖入場景右下角，為按鈕添加代碼，實現(xiàn)場景的跳轉(zhuǎn)。

3）制作游戲主界面

新建場景，命名為場景3，將PS好的背景圖3拖入文檔中，使其和文檔相符。將顯示窗口，生命數(shù)，坦克元件放到合適的位置。

四、關(guān)鍵編碼

（一）主坦克代碼

for(linpd1=0;linpd1<_root.direnSHU;linpd1++){ _root[“diren1”+linpd1].gotoAndPlay(“baozha”);} //引爆屏幕上的所有敵人 _root.SM.nextFrame();//減少生命數(shù)

_root.tk.shengming = _root.tkSM;//設(shè)置新生命的生命值 this._x = 260;this._y = 190;

//設(shè)置初始位置

（二）敵坦克代碼

_root.ddC =(_root.ddC-100)%20+100;_root.attachMovie(“dd”, “dd”+_root.ddC, _root.ddC);_root[“dd”+_root.ddC]._x = this._x;_root[“dd”+_root.ddC]._y = this._y;_root[“dd”+_root.ddC]._rotation = this._rotation;_root[“dd”+_root.ddC].xspeed = Math.sin(_rotation*0.0175)*_root.speeddd;_root[“dd”+_root.ddC].yspeed =-Math.cos(_rotation*0.0175)*_root.speeddd;_root.ddC++;//載入敵人炮彈并且設(shè)置炮彈的行走方向 gotoAndStop(“kaipao”);//回到初始位置準(zhǔn)備再次開炮

_root.FenShu++;//總分數(shù)加1 _root.chudiren(i);//產(chǎn)生新的敵人

（三）顯示窗口代碼

if(xuan == 1){ gotoAndStop(“kaishi1”);} if(xuan == 2){ gotoAndStop(“shengli1”);} if(xuan == 3){ gotoAndStop(“shibai1”);}

（四）游戲運行主代碼 FenShu = 0;//設(shè)置分數(shù)初始值

paodanC = 200;//設(shè)置炮彈所在層的初始值 ddC = 100;//設(shè)置敵人炮彈所在層的初始值 ddWL = 5;//設(shè)置敵人炮彈威力 direnC = 0;//設(shè)置敵人所在層的初始值 direnSHU = 15;//設(shè)置敵人的個數(shù) speedtk = 2;//設(shè)置坦克速度 speedpd = 10;//設(shè)置炮彈速度 speeddd = 4;//設(shè)置敵人炮彈速度 speeddr = 1;//設(shè)置敵人速度 tkSM = 30;//設(shè)置坦克生命值 dshengming = 2;//設(shè)置敵人生命值

_root.attachMovie(“pointer”, “pointer”, 150);_root.attachMovie(“SMxianshi”, “SM”, 300);SM._x = 206;SM._y = 568;//加載準(zhǔn)星和生命板 stop();function chudiren(lin){ if(lin == _root.direnSHU){ _root.attachMovie(“diren1”, “diren1”+_root.direnC, _root.direnC);

_root[“diren1”+_root.direnC].i = _root.direnC;linY = random(2000)-600;linX = linY;if(linY<-25){ if(linY>800){

linX =-25;linX = 800;

} } _root[“diren1”+_root.direnC]._x = linX;_root[“diren1”+_root.direnC]._y = direnZB(linY);_root.direnC++;_root.direnC = _root.direnC%_root.direnSHU;} else {

} } //調(diào)用敵人并設(shè)置敵人初始位置函數(shù) function direnZB(a){ if(a<-25 || a>800){

} if(a>=-25 && a<=800){

lin = random(2);if(lin == 0){ b =-25;b = random(375);linY = random(2000)-600;linX = linY;if(linY<-25){ if(linY>800){

linX =-25;linX = 800;

} } _root[“diren1”+lin]._x = linX;_root[“diren1”+lin]._y = direnZB(linY);} else {

} return(b);} for(linSHU=0;linSHU

（五）關(guān)鍵函數(shù)的調(diào)用

代碼的填寫是實現(xiàn)游戲的關(guān)鍵，當(dāng)然，前期的制作也是必不可少。AS2是flash開發(fā)應(yīng)用程序所使用的語言，也是這個游戲所用到的語言。本游戲中，坦克的移動，主要通過“Key.siDown()”語句來實現(xiàn)；判斷是否擊中敵人目標(biāo)，主要通過“hitTest()”語句來實現(xiàn)；炮彈的發(fā)射，主要通過“attachMovie()”語句加載炮彈，再控制炮彈的速度來實現(xiàn)的。} b = 600;

結(jié)論

這次的畢業(yè)設(shè)計使我對FLASH游戲制作技術(shù)有了一個整體的認識和把握。在作品中對于視覺效果的把握可能不是很到位,但我都是非常認真的去完成。在此期間,我同時也體會到了flash制作小游戲的難度及妙處。在設(shè)計過程中遇到問題會查閱大量資料或向指導(dǎo)老師請教。雖然這次的畢業(yè)設(shè)計并不是什么經(jīng)典之作,里面還有很多欠缺的地方。但它代表的卻是我對flash的一個嶄新的態(tài)度。總之,對我來說，這次畢業(yè)設(shè)計對于我來說是在flash游戲制作方面的一個提高。

參考文獻

[1]付達杰 Flash動畫設(shè)計的再思考——技術(shù)與藝術(shù)的共進[J].科教文匯(上旬刊).2008 [2]王潔 Flash無客戶端網(wǎng)絡(luò)游戲的設(shè)計與實現(xiàn)[D].廈門大學(xué).2008 [6]王倩 基于Flash網(wǎng)頁游戲的研究與設(shè)計[D].北京交通大學(xué).2010

第四篇：計算機系畢業(yè)論文(設(shè)計)教學(xué)大綱(初稿)

課程編號：11034402

畢業(yè)設(shè)計教學(xué)大綱

（Graduate Design）

適用專業(yè)：計算機科學(xué)與技術(shù)專業(yè) 總學(xué)時：xxx 課程設(shè)計周數(shù)：10 學(xué)分：10 畢業(yè)設(shè)計（論文）是實現(xiàn)專業(yè)培養(yǎng)目標(biāo)的重要階段，是對學(xué)生學(xué)習(xí)、研究與實踐成果的全面總結(jié)；是對學(xué)生綜合素質(zhì)與工程實踐能力培養(yǎng)效果的全面檢驗；是學(xué)生畢業(yè)資格認證的一個重要依據(jù)；是衡量高等院校教育質(zhì)量和辦學(xué)效益的重要評價內(nèi)容之一。因此，為加強我系計算機科學(xué)與技術(shù)專業(yè)學(xué)生畢業(yè)設(shè)計撰寫工作的科學(xué)化、規(guī)范化管理，保證學(xué)生畢業(yè)設(shè)計的質(zhì)量，特制定本大綱。

一、畢業(yè)設(shè)計（論文）教學(xué)目的與要求.(一)教學(xué)目的.通過畢業(yè)設(shè)計，培養(yǎng)學(xué)生的開發(fā)和設(shè)計能力，提高綜合運用所學(xué)知識和技能去分析、解決實際問題的能力，檢驗學(xué)生的學(xué)習(xí)效果等。通過畢業(yè)設(shè)計，旨在使學(xué)生對所學(xué)過的基礎(chǔ)理論和專業(yè)知識進行一次全面、系統(tǒng)地回顧和總結(jié)，通過對具體題目的分析，使理論與實踐相結(jié)合，鞏固和發(fā)展所學(xué)理論知識，掌握正確的思維方法和基本技能，提高學(xué)生獨立思考能力和團結(jié)協(xié)作的工作作風(fēng)，提高學(xué)生利用計算機解決實際問題的能力及計算機實際操作水平，促進學(xué)生建立嚴(yán)謹?shù)目茖W(xué)態(tài)度和工作作風(fēng)。

（二）教學(xué)要求.1、時間要求

畢業(yè)設(shè)計環(huán)節(jié)原則上集中在第8學(xué)期進行，提倡“覆蓋一年，提前進入畢業(yè)設(shè)計環(huán)節(jié)”，學(xué)生集中用于畢業(yè)設(shè)計撰寫的時間不得少于專業(yè)培養(yǎng)計劃規(guī)定的周數(shù)即10周。

2、任務(wù)要求

學(xué)生應(yīng)在指導(dǎo)教師指導(dǎo)下獨立完成一項給定的設(shè)計任務(wù)，并編寫符合要求的設(shè)計說明書，獨立撰寫一份畢業(yè)論文。

3、知識要求

學(xué)生在畢業(yè)設(shè)計（論文）工作中，應(yīng)綜合運用專業(yè)知識與綜合技能，分析與解決工程問題。通過學(xué)習(xí)、研究與實踐，使得理論認識深化、知識領(lǐng)域擴展、專業(yè)技能延伸。

4、能力培養(yǎng)要求

學(xué)生應(yīng)學(xué)會依據(jù)技術(shù)課題任務(wù)，進行資料的調(diào)研、收集、加工與整理和正確使用工具書；培養(yǎng)學(xué)生掌握有關(guān)工程設(shè)計的程序、方法與技術(shù)規(guī)范，提高工程設(shè)計計算、編寫技術(shù)文件的能力；培養(yǎng)學(xué)生掌握實驗、測試等科學(xué)研究的基本方法；鍛煉學(xué)生分析與解決工程實際問題的能力。

5、綜合素質(zhì)要求

通過畢業(yè)設(shè)計（論文），學(xué)生應(yīng)能樹立正確的設(shè)計思想；培養(yǎng)學(xué)生嚴(yán)肅認真的科學(xué)態(tài)度和嚴(yán)謹求實的工作作風(fēng)；在工程設(shè)計中，應(yīng)能樹立正確的工程意識與經(jīng)濟意識，樹立正確的生產(chǎn)觀點、經(jīng)濟觀點與全局觀點。

6、指導(dǎo)教師教學(xué)規(guī)范要求

（1）畢業(yè)設(shè)計指導(dǎo)教師原則上應(yīng)由具有講師及以上專業(yè)技術(shù)職務(wù)的教師擔(dān)任，也可以指派具有3年以上高校教學(xué)經(jīng)驗、工作能力、科研能力突出且具有碩士及以上學(xué)位的教師擔(dān)任。

（2）指導(dǎo)教師指導(dǎo)畢業(yè)設(shè)計的學(xué)生人數(shù)，中級職稱教師≤6人，高級職稱教師≤10人。鼓勵科研能力強，有課題的教師多指導(dǎo)畢業(yè)設(shè)計。

（3）指導(dǎo)教師的教學(xué)職責(zé)

①教書育人，嚴(yán)格要求學(xué)生，加強學(xué)生的思想教育，培養(yǎng)學(xué)生勤奮學(xué)習(xí)的精神，嚴(yán)謹?shù)目茖W(xué)態(tài)度和求實創(chuàng)新的作風(fēng)；

②提出選題，擬定任務(wù)書，制定指導(dǎo)計劃和工作程序，做好準(zhǔn)備工作。

③向?qū)W生下達任務(wù)書，并提出寫作要求，指定主要參考資料、社會調(diào)查內(nèi)容，規(guī)定應(yīng)完成的資料查閱、文獻綜述（開題報告）畢業(yè)設(shè)計撰寫等。

④負責(zé)指導(dǎo)和審定學(xué)生畢業(yè)設(shè)計進度計劃、總體方案，開題報告、論文格式； ⑤加強畢業(yè)設(shè)計的過程管理，采取多種方式考核、督促學(xué)生的工作進度和質(zhì)量，及 時解答和處理學(xué)生提出的有關(guān)問題；

⑥指導(dǎo)教師應(yīng)指定時間和地點，每周與學(xué)生見面兩次；

⑦認真填寫畢業(yè)設(shè)計指導(dǎo)教師工作手冊，科學(xué)指導(dǎo)計劃，如實記錄畢業(yè)設(shè)計指導(dǎo)情況；

⑧指導(dǎo)教師必須在學(xué)生答辯前對畢業(yè)設(shè)計進行審查、認真填寫畢業(yè)設(shè)計《審查意見》、如實評定學(xué)生畢業(yè)設(shè)計成績、指導(dǎo)學(xué)生答辯。

二、畢業(yè)設(shè)計（論文）的選題

1、課題必須符合本專業(yè)的培養(yǎng)目標(biāo)及教學(xué)基本要求，體現(xiàn)本專業(yè)基本訓(xùn)練內(nèi)容，使學(xué)生受到比較全面的鍛煉。

2、課題應(yīng)盡可能結(jié)合生產(chǎn)、科研和實驗的建設(shè)任務(wù)，強化工程基本訓(xùn)練，掌握專業(yè)的基本功。在保證對學(xué)生綜合訓(xùn)練的基礎(chǔ)上，多做些來源于生產(chǎn)、科研中的實際課題，有利于增強學(xué)生責(zé)任感、緊迫感和經(jīng)濟觀念。

3、課題的類型可以多種多樣，應(yīng)貫徹因材施教的原則，使學(xué)生的創(chuàng)造性得以充分發(fā)揮。課題要保證有明確的任務(wù)或研究對象，既能達到對學(xué)生培養(yǎng)訓(xùn)練的目的，又留有發(fā)揮學(xué)生創(chuàng)造性的余地。課題類型的多樣化，能使學(xué)生針對各自的情況來選擇課題，這樣有利于發(fā)揮學(xué)生的積極性，有利于課題的高質(zhì)量完成。

4、課題的工作量和難易程度應(yīng)把握在能使大多數(shù)學(xué)生經(jīng)過努力在給定時間內(nèi)完成規(guī)定的任務(wù)的程度，以保證教學(xué)任務(wù)的完成。對于結(jié)合生產(chǎn)和科研實際的較為復(fù)雜的課題，要求取得階段性成果。

三、畢業(yè)設(shè)計（論文）內(nèi)容與安排.（一）畢業(yè)設(shè)計（論文）內(nèi)容.課題類型可以多樣化，鼓勵學(xué)生參加教師的科研課題，內(nèi)容應(yīng)符合本專業(yè)的培養(yǎng)目標(biāo)，份量應(yīng)適當(dāng)，使學(xué)生能在規(guī)定時間內(nèi)在教師指導(dǎo)下獨立完成規(guī)定任務(wù)，得出成果。對于由若干學(xué)生共同完成的課題，每個學(xué)生應(yīng)有單獨工作的部分。

1、工程設(shè)計類型的課題

盡量選擇與生產(chǎn)相結(jié)合的現(xiàn)實題目，也可以做教師自擬的題目

2、計算機應(yīng)用系統(tǒng)的設(shè)計

主要內(nèi)容為：管理系統(tǒng)需求分析，系統(tǒng)方案比較與選擇，管理軟件系統(tǒng)的設(shè)計與實現(xiàn)，數(shù)據(jù)庫系統(tǒng)的設(shè)計與實現(xiàn)，計算機多層分布式系統(tǒng)的設(shè)計與實現(xiàn)，計算機網(wǎng)絡(luò)的組建與設(shè)計等。

3、科研、設(shè)計類型的課題

難度和份量應(yīng)適當(dāng)，應(yīng)有文獻綜述，一定的理論分析計算，實驗及實驗結(jié)果分析，或仿真計算分析，能得出一定成果。

4、其它與自動化相關(guān)的課題

（二）畢業(yè)設(shè)計（論文）安排.在8學(xué)期安排10周時間，畢業(yè)設(shè)計題目由教師擬訂，學(xué)生自愿選擇，不能滿足志愿的同學(xué)由系指定課題。經(jīng)指導(dǎo)教師同意，學(xué)生可在實習(xí)單位從事與專業(yè)相關(guān)的畢業(yè)設(shè)計題目，實習(xí)單位必須有另一指導(dǎo)老師，而且必須參加學(xué)校的統(tǒng)一答辯。畢業(yè)設(shè)計與畢業(yè)設(shè)計均需由學(xué)生獨立完成，指導(dǎo)教師每周安排時間進行指導(dǎo)。

四、畢業(yè)設(shè)計（論文）材料要求 1 畢業(yè)設(shè)計（論文）任務(wù)書

2、畢業(yè)設(shè)計（論文）開題報告

3、畢業(yè)設(shè)計（論文）成績評定表（包括指導(dǎo)教師審查意見、評閱教師評語）

4、畢業(yè)設(shè)計（論文）答辯記錄表

5、畢業(yè)設(shè)計（論文）印刷本和電子版（包括封面、目錄、中外文摘要、文獻綜述、畢業(yè)設(shè)計正文主體、結(jié)束語、參考文獻、致謝、外文參考資料原文與譯文）

五、畢業(yè)設(shè)計（論文）答辯.（一）答辯委員會

（二）．答辯資格審查

1、畢業(yè)設(shè)計質(zhì)量審查

（1）指導(dǎo)教師審查。答辯前一周，學(xué)生應(yīng)將畢業(yè)設(shè)計按規(guī)范整理裝訂成冊交指導(dǎo)教師審查。指導(dǎo)教師應(yīng)認真檢查學(xué)生的畢業(yè)設(shè)計，并綜合學(xué)生的學(xué)習(xí)態(tài)度、專業(yè)水平及設(shè)計質(zhì)量，寫出審查意見，評分后交系畢業(yè)設(shè)計指導(dǎo)小組。如該項工作未完成，學(xué)生不得進入格式審查。

（2）格式審查。由系畢業(yè)設(shè)計指導(dǎo)小組對照“呂梁學(xué)院本科畢業(yè)設(shè)計格式規(guī)范要求”，組織進行畢業(yè)設(shè)計的格式審查。凡格式審查不合格者，應(yīng)限期修改，直到合乎規(guī)范要求。

（3）評閱教師評閱。畢業(yè)設(shè)計通過格式審查后，由系畢業(yè)設(shè)計指導(dǎo)小組指定教師評閱，評閱教師須根據(jù)學(xué)生設(shè)計質(zhì)量、水平等、客觀公正地給出評語和成績。并向答辯委員會提出是否同意其答辯的意見。

2、答辯資格審查

凡屬下列情況之一者，取消答辯資格：

（1）文章中的觀點、思路有原則性錯誤，經(jīng)指導(dǎo)教師或評閱教師指出未改正者；（2）未完成規(guī)定任務(wù)最低要求者；（3）弄虛作假，抄襲他人內(nèi)容者；（4）缺勤時間超過規(guī)定者；

（5）畢業(yè)設(shè)計或相關(guān)文獻資料中有違背四項基本原則，或宣揚腐朽道德觀念等重大問題者。

學(xué)生按要求完成畢業(yè)設(shè)計任務(wù)，通過設(shè)計質(zhì)量審查和答辯資格審查，方可參加答辯。指導(dǎo)教師和評閱教師對學(xué)生的畢業(yè)設(shè)計答辯資格有一票否決權(quán)。

（三）答辯

1、學(xué)生畢業(yè)設(shè)計審查合格后，由答辯小組以公開方式組織答辯。答辯小組一般由5人及以上人員組成，其成員由專業(yè)水平高、責(zé)任心強的教師組成；

2、答辯小組成員應(yīng)在答辯前2－3天內(nèi)認真審閱答辯學(xué)生的設(shè)計，了解設(shè)計的質(zhì)量和水平，并準(zhǔn)備答辯時提出的問題1－2個，為答辯做好準(zhǔn)備工作。

3、答辯程序如下：

(1)學(xué)生自述文章主題、基本構(gòu)思，核心內(nèi)容，突破重難點，主要學(xué)術(shù)創(chuàng)新觀點，時間約10分鐘。

(2)答辯小組審閱、提問、學(xué)生應(yīng)答，時間應(yīng)控制在10分鐘。(3)答辯小組評議、評分、時間5分鐘。

4、對一次答辯成績不及格或有異議的畢業(yè)設(shè)計，可酌情組織第二次答辯，以確定其成績。

六、畢業(yè)設(shè)計（論文）成績評定細則

1、畢業(yè)設(shè)計成績由三部分構(gòu)成，其中指導(dǎo)教師評定成績占總成績的40%，評閱教師的評定成績占總成績的30%，答辯評定成績占總成績的30%。

2、畢業(yè)設(shè)計(論文)成績的評定，采用百分制，綜合成績按優(yōu)秀（90－100）、良好（80－89）、中等（70－79）、及格（60－69）、不及格（59分以下）五級制計分。獲得“優(yōu)秀”成績的學(xué)生人數(shù)，一般應(yīng)控制在20%以內(nèi)，“及格”和“不及格”成績學(xué)生累計不少于7%。

3、凡畢業(yè)設(shè)計(論文)成績不及格者，作結(jié)業(yè)處理，半年后可申請隨下屆畢業(yè)生重修一次，并按學(xué)分繳納畢業(yè)設(shè)計重修費。學(xué)生重修論文由原所在專業(yè)安排，一般應(yīng)在校內(nèi)進行，食宿及費用自理，重修前，學(xué)生應(yīng)與系畢業(yè)設(shè)計指導(dǎo)小組聯(lián)系，由指導(dǎo)小組指定專門的畢業(yè)設(shè)計指導(dǎo)教師將重修的畢業(yè)設(shè)計題目及具體安排通知學(xué)生，重修論文及答辯通過后，按規(guī)定發(fā)給畢業(yè)證書。

4．成績評定標(biāo)準(zhǔn).（1）指導(dǎo)教師和評閱教師成績評定標(biāo)準(zhǔn)（2）答辯成績評定標(biāo)準(zhǔn)

七、大綱使用說明

第五篇：計算機網(wǎng)絡(luò)安全畢業(yè)論文

計算機網(wǎng)絡(luò)安全畢業(yè)論文

課題名稱：計算機網(wǎng)絡(luò)安全 姓名：呂金亮 班級：1031網(wǎng)絡(luò) 專業(yè)：計算機應(yīng)用 指導(dǎo)教師： 完成日期：

摘要:

21世紀(jì)的一些重要特征就是數(shù)字化，網(wǎng)絡(luò)化和信息化，它是一個以網(wǎng)絡(luò)為核心的信息時代。隨著計算機互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)信息已經(jīng)成為社會發(fā)展的重要組成部分。它涉及到政府、經(jīng)濟、文化、軍事等諸多領(lǐng)域。由于計算機網(wǎng)絡(luò)組成形式多樣性、終端分布廣和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)信息容易受到來自黑客竊取、計算機系統(tǒng)容易受惡意軟件攻擊，因此，網(wǎng)絡(luò)信息資源的安全及管理維護成為當(dāng)今信息話時代的一個重要話題。

文中首先論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化,闡述了我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網(wǎng)絡(luò)安全體系的必要性,以及網(wǎng)絡(luò)面臨的安全性威脅（黑客入侵）及管理維護（防火墻安全技術(shù)）。進一步闡述了網(wǎng)絡(luò)拓撲結(jié)構(gòu)的安全設(shè)計，包括對網(wǎng)絡(luò)拓撲結(jié)構(gòu)的分析和對網(wǎng)絡(luò)安全的淺析。然后具體講述了網(wǎng)絡(luò)防火墻安全技術(shù)的分類及其主要技術(shù)特征，防火墻部署原則，并從防火墻部署的位置詳細闡述了防火墻的選擇標(biāo)準(zhǔn)。同時就信息交換加密技術(shù)的分類及RSA算法做了簡要的分析，論述了其安全體系的構(gòu)成。

關(guān)鍵詞：信息安全 網(wǎng)絡(luò) 防火墻 數(shù)據(jù)加密

目錄

首頁........................................................................1 目錄........................................................................3 第一章 引言 1.1 概述.................................................................4 1.2 1.3 網(wǎng)絡(luò)安全技術(shù)的研究目的 意義和背景....................................4 計算機網(wǎng)絡(luò)安全的含義.................................................5 第二章 網(wǎng)絡(luò)安全初步分析 2.1 網(wǎng)絡(luò)安全的必要性.....................................................6 2.2 網(wǎng)絡(luò)的安全管理.......................................................6 2.2.1安全管理原則.................................................6 2.2.2安全管理的實現(xiàn).................................................7 2.3 采用先進的技術(shù)和產(chǎn)品

2.3.1 防火墻技術(shù)....................................................7 2.3.2 數(shù)據(jù)加密技術(shù)..................................................7 2.3.3 認證技術(shù)......................................................7 2.3.4 計算機病毒的防范..............................................7 2.4 常見的網(wǎng)絡(luò)攻擊及防范對策...............................................8 2.4.1 特洛伊木馬....................................................8 2.4.4 淹沒攻擊......................................................8 第三章 網(wǎng)絡(luò)攻擊分析及特點........................................................9 第四章 網(wǎng)絡(luò)安全面臨的威脅 3.1自然災(zāi)害 3.2網(wǎng)絡(luò)軟件漏洞 3.3黑客的威脅和攻擊 3.4計算機病毒

3.5垃圾郵件和間諜軟件 3.6計算機犯罪

第4章 計算機網(wǎng)絡(luò)安全防范策略

4.1 防火墻技術(shù)

4.1.1 防火墻的主要功能 4.1.2 防火墻的主要優(yōu)點 4.1.3 防火墻的主要缺陷 4.1.4 防火墻的分類 4.1.5 防火墻的部署 4.2 數(shù)據(jù)加密技術(shù) 4.3 系統(tǒng)容災(zāi)技術(shù) 4.4 入侵檢測技術(shù)

4.4.1 入侵檢測系統(tǒng)的分類 4.4.2 目前入侵檢測系統(tǒng)的缺陷

4.4.3 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動 4.4.4 結(jié)語 4.5 漏洞掃描技術(shù)

4.6 物理安全

第四章 網(wǎng)絡(luò)安全技術(shù)

4.1 防火墻的定義和選擇......................................................12 4.2 加密技術(shù)................................................................12 4.2.1 對稱加密技術(shù).....................................................12 4.2.2 非對稱加密/公開密鑰加密..........................................12.4.2.3 RSA算法.........................................................12 4.3注冊與認證管理...........................................................13 4.3.1 認證機構(gòu)...........................................................13 4.3.2 注冊機構(gòu)..........................................................13 4.3.3 密鑰備份和恢復(fù)....................................................13 第五章 安全技術(shù)的研究

5.1 安全技術(shù)的研究現(xiàn)狀和方向................................................14 5.1.1 包過濾型..........................................................14 5.1.2 代理型............................................................14

結(jié)束語.....................................................................15 參 考 文 獻

第一章 引言

1.1 概述

我們知道, 21世紀(jì)的一些重要特征就是數(shù)字化,網(wǎng)絡(luò)化和信息化,它是一個以網(wǎng)絡(luò)為核心的信息時代。要實現(xiàn)信息化就必須依靠完善的網(wǎng)絡(luò)，因為網(wǎng)絡(luò)可以非常迅速的傳遞信息。因此網(wǎng)絡(luò)現(xiàn)在已成為信息社會的命脈和發(fā)展知識經(jīng)濟的基礎(chǔ)。

隨著計算機網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)中的安全問題也日趨嚴(yán)重。當(dāng)網(wǎng)絡(luò)的用戶來自社會各個階層與部門時，大量在網(wǎng)絡(luò)中存儲和傳輸?shù)臄?shù)據(jù)就需要保護。當(dāng)人類步入21世紀(jì)這一信息社會、網(wǎng)絡(luò)社會的時候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國特色的網(wǎng)絡(luò)安全體系。

一個國家的安全體系實際上包括國家的法律和政策，以及技術(shù)與市場的發(fā)展平臺。我國在構(gòu)建信息信息防衛(wèi)系統(tǒng)時,應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡(luò)安全問題,最終的辦法就是通過發(fā)展名族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾個特點：第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機制與技術(shù)要不斷的變化；第三，隨著網(wǎng)絡(luò)在社會各個方面的延伸，進入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團聯(lián)合開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷的向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

信息安全是國家發(fā)展所面臨的一個重要問題，對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應(yīng)該看到它對我國未來數(shù)字化、網(wǎng)絡(luò)化、信息化的發(fā)展將起到非常重要的作用。

1.2 網(wǎng)絡(luò)安全技術(shù)的研究目的、意義和背景

目前計算機網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多方面的。這種威脅將不斷給社會帶來巨大的損失。網(wǎng)絡(luò)安全已被信息社會的各個領(lǐng)域所重視。

隨著計算機絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢；給政府機構(gòu)、企事業(yè)單位帶來了革命性的改革。但由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)容易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。對于軍用的自動化指揮網(wǎng)絡(luò)、C3I系統(tǒng)、銀行和政府等傳輸銘感數(shù)據(jù)的計算機網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全性和保密性尤為重要。因此，上述的網(wǎng)絡(luò)必須要有足夠強的安全措施，否則該網(wǎng)絡(luò)將是個無用、甚至?xí)C國家安全的網(wǎng)絡(luò)。無論是在局域網(wǎng)中還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性，故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位的針對各種不同的威脅和網(wǎng)絡(luò)的脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性、和可行。為了確保信息安的安全與暢通，研究計算機網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。本文就進行初步探討計算機網(wǎng)絡(luò)安全的管理及技術(shù)措施。

認真分析網(wǎng)絡(luò)面臨的威脅，我認為計算機網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個極為復(fù)雜的系統(tǒng)工程，是一個安全管理和技術(shù)防范相結(jié)合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計算機網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強工作人員的責(zé)任心和防范意識，自覺執(zhí)行各項安全制度，在此基礎(chǔ)上，再采用現(xiàn)金的技術(shù)和產(chǎn)品，構(gòu)造全防衛(wèi)的防御機制，使系統(tǒng)在理想的狀態(tài)下運行。

1.3 計算機網(wǎng)絡(luò)安全的含義

計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者的不同，對網(wǎng)絡(luò)安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的災(zāi)害，軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件極其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

第二章 網(wǎng)絡(luò)安全初步分析

2.1 網(wǎng)絡(luò)安全的必要性

隨著計算機技術(shù)的不斷發(fā)展，計算機網(wǎng)絡(luò)已經(jīng)成為信息時代的重要特征。人們稱它為信息高速公路。網(wǎng)絡(luò)是計算機技術(shù)和通信技術(shù)的產(chǎn)物，適應(yīng)社會對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設(shè)自己的信息高速公路。我國近年來計算機網(wǎng)絡(luò)發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應(yīng)用。我相信在不長的時間里，計算機網(wǎng)絡(luò)一定會得到極大的發(fā)展，那時將全面進入信息時代。正因為網(wǎng)絡(luò)應(yīng)用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。

2.2 網(wǎng)絡(luò)的安全管理

面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強網(wǎng)絡(luò)安全的安全管理，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網(wǎng)絡(luò)安全所必須考慮的基本問題。

2.2.1安全管理原則

網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于3個原則： ① 多人負責(zé)原則

每一項與安全有關(guān)的活動，都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此項工作；他們應(yīng)該簽署工作情況記錄以證明安全工作以得到保障。與安全有關(guān)的活動有：訪問控制使用證件的發(fā)放與回收，信息處理系統(tǒng)使用的媒介發(fā)放與回收，處理保密信息，硬件與軟件的維護，系統(tǒng)軟件的設(shè)計、實現(xiàn)和修改，重要數(shù)據(jù)的刪除和銷毀等。

② 任期有限原則

一般來講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認為這個職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期的循環(huán)任職，強制實行休假制度，并規(guī)定對工作人員進行輪流培訓(xùn)，以使任期有限制度切實可行。③ 職責(zé)分離原則

除非經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情。出于對安全的考慮，下面每組內(nèi)的兩項信息處理工作應(yīng)當(dāng)分開：計算機操作與計算機編程、機密資料的接收與傳送、安全管理與系統(tǒng)管理、應(yīng)用程序和系統(tǒng)程序的編制、訪問證件的管理與其他工作、計算機操作與信息處理系統(tǒng)使用媒介的保管等。

2.2.2 安全管理的實現(xiàn)

信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制定相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是:

①

根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級。

②

根據(jù)確定的安全等級，確定安全管理范圍。

③

制定相應(yīng)的機房出入管理制度，對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識別或安裝自動識別系統(tǒng)，采用此卡、身份卡等手段，對人員進行識別，登記管理。

2.3 采用先進的技術(shù)和產(chǎn)品

要保證計算機網(wǎng)絡(luò)安全的安全性，還要采用一些先進的技術(shù)和產(chǎn)品。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。

2.3.1 防火墻技術(shù)

為保證網(wǎng)絡(luò)安全，防止外部網(wǎng)對內(nèi)部網(wǎng)的非法入侵，在被保護的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。它可以監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，確認其來源及去處，檢查數(shù)據(jù)的格式及內(nèi)容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有：應(yīng)用層網(wǎng)關(guān)、數(shù)據(jù)包過濾、代理服務(wù)器等幾大類型。

2.3.2 數(shù)據(jù)加密技術(shù)

與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)，是為了提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國除了從法律上、管理上加強數(shù)據(jù)的安全保護外，從技術(shù)上分別在軟件和硬件兩方面采取措施，推動著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作用的不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。

2.3.3 認證技術(shù)

認證技術(shù)是防止主動攻擊的重要手段，它對于開放環(huán)境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設(shè)備的身份過程，即認證建立信息的發(fā)送者或接受者的身份。認證的主要目的有兩個：第一，驗證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗證信息的完整性，保證信息在傳送過程中未被篡改或延遲等。目前使用的認證技術(shù)主要有：消息認證、身份認證、數(shù)字簽名。

2.3.4 計算機病毒的防范

首先要加強工作人員防病毒的意識，其次是安裝好的殺毒軟件。合格的防病毒軟件應(yīng)該具備以下條件：

① 較強的查毒、殺毒能力。在當(dāng)前全球計算機網(wǎng)絡(luò)上流行的計算機病毒有4萬多種，在各種操作系統(tǒng)中包括Windows、UNIX 和 Netware 系統(tǒng)都有大量能夠造成危害的計算機病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查殺、殺毒范圍廣、能力強的特點。

② 完善的升級服務(wù)。與其他軟件相比，防病毒軟件更需要不斷的更新升級，以查殺層出不窮的計算機病毒。

2.4 常見的網(wǎng)絡(luò)攻擊和防范對策

2.4.1 特洛伊木馬

特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬的程序包括兩部分，即實現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。特洛伊木馬具有很強的生命力，在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的過程中，從而使它們受到感染。此類攻擊對計算機的危害極大，通過特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可以獲得對被攻擊的計算機的控制權(quán)。

防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進行數(shù)字簽名，而在運行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機上的監(jiān)聽TCP服務(wù)。2.4.2 郵件炸彈

郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺機器不斷的大量的向同以地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，妨礙計算機的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過計算機網(wǎng)絡(luò)對某一目標(biāo)的報復(fù)活動中。

防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進行配置，自動刪除來自同一主機的過量或重復(fù)消息，也可以使自己的SMTP連接只能達成指定的服務(wù)器，從而免受外界郵件的侵襲。

2.4.3 過載攻擊

過載攻擊是攻擊者通過服務(wù)器長時間發(fā)出大量無用的請求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用的最多的一種方法是進程攻擊，它是通過大量地進行人為的增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。

防止過載攻擊的方法有：限制單個用戶所擁有的最大進程數(shù)；殺死一些耗時的進程。然而，不幸的是這兩種方法都存在著一定的負面效應(yīng)。通過對單個用戶所擁有的最大進程數(shù)的限制和耗時進程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類似拒絕服務(wù)的現(xiàn)象。通常，管理員可以使用網(wǎng)絡(luò)監(jiān)視工具來發(fā)現(xiàn)這種攻擊，通過主機列表和網(wǎng)絡(luò)地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。2.4.4 淹沒攻擊

正常情況下，TCP連接建立要經(jīng)過3次握手的過程，即客戶機向客戶機發(fā)送SYN請求信號；目標(biāo)主機收到請求信號后向客戶機發(fā)送SYN/ACK消息；客戶機收到SYN/ACK消息后再向主機發(fā)送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網(wǎng)絡(luò)的機會。攻擊者可以使用一個不存在或當(dāng)時沒有被使用的主機的IP地址，向被攻擊主機發(fā)出SYN請求信號，當(dāng)被攻擊主機收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機發(fā)出SYN/消息。由于此時的主機IP不存在或當(dāng)時沒有被使用所以無法向主機發(fā)送RST，因此，造成被攻擊的主機一直處于等待狀態(tài)，直至超時。如果攻擊者不斷的向被攻擊的主機發(fā)送SYN請求，被攻擊主機就一直處于等待狀態(tài)，從而無法響應(yīng)其他用戶請求。

對付淹沒攻擊的最好方法就是實時監(jiān)控系統(tǒng)處于SYN-RECEIVED狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過某一給定的數(shù)值時，實時關(guān)閉這些連接。

第三章 網(wǎng)絡(luò)攻擊分析及特點

攻擊是指非授權(quán)行為。攻擊的范圍從簡單的使服務(wù)器無法提供正常的服務(wù)到安全破壞、控制服務(wù)器。在網(wǎng)絡(luò)上成功實施的攻擊級別以來于擁護采取的安全措施。

在此先分析下比較流行的攻擊Dodos分布式拒絕服務(wù)攻擊：Does是Denial of Service的簡稱，即拒絕服務(wù)，造成Does的攻擊行為被稱為Does攻擊，其目的是使計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的Does攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。連通性攻擊是指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。而分布式拒絕服務(wù)（DDoS:Distributed Denial of Service）攻擊是借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上，在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在 Internet 上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。而且現(xiàn)在沒有有限的方法來避免這樣的攻擊。

因為此攻擊基于TCP/IP 協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？

1.確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補丁。計算機緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補丁。

2.確保管理員對所有主機進行檢查，而不僅針對關(guān)鍵主機。這是為了確保管理員知道每個主機系統(tǒng)在 運行什么？ 誰在使用主機？ 哪些人可以訪問主機？ 不然，即使黑客侵犯了系統(tǒng)，也很難查明。

3.確保從服務(wù)器相應(yīng)的目錄或文件數(shù)據(jù)庫中刪除未使用的服務(wù)如FTP或NFS.等守護程序存在一些已知的漏洞，黑客通過根攻擊就能獲得訪問特權(quán)系統(tǒng)的權(quán)限，并能訪問其他系統(tǒng)—甚至是受防火墻保護的系統(tǒng)。

4.確保運行在 Unix上的所有服務(wù)都有TCP封裝程序，限制對主機的訪問權(quán)。5.禁止內(nèi)部網(wǎng)通過Modem連接至PSTN 系統(tǒng)。否則，黑客能通過電話線發(fā)現(xiàn)未受保護的主機，即刻就能訪問極為機密的數(shù)據(jù)。

6.禁止使用網(wǎng)絡(luò)訪問程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp，以基于PKI的訪問程序如SSH取代。SSH不會在網(wǎng)上以明文格式傳遞口令，而Telnet和 Rlogin 則正好相反，黑客能搜尋到這些口令，從而立即訪問網(wǎng)絡(luò)上的重要服務(wù)器。此外，在Unix上應(yīng)該將.rhost 和 hosts.equiv 文件刪除,因為不用猜口令,這些文件就會提供登錄訪問!7.限制在防火墻外與網(wǎng)絡(luò)文件共享。這會使黑客有機會截獲系統(tǒng)文件，并以特洛伊木馬替換他，文件傳輸功能無異將陷入癱瘓。

8.確保手頭上有一張最新的網(wǎng)絡(luò)拓撲圖。這張圖應(yīng)該詳細標(biāo)明TCP/IP地址、主機、路由器及其他網(wǎng)絡(luò)設(shè)備，還應(yīng)該包括網(wǎng)絡(luò)邊界、非軍事區(qū)（DMZ）及網(wǎng)絡(luò)的內(nèi)部保密部分。

9.在防火墻上運行端口映射程序或端口掃描程序。大多數(shù)時間是由于防火墻配置不當(dāng)造成的，使DoS/ DDoS攻擊成功率很高，所以一定要認真檢查特權(quán)端口和非特權(quán)端口。

10.檢查所有網(wǎng)絡(luò)設(shè)備和主機/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)紕漏或時間出現(xiàn)變更，幾乎可以坑定：相關(guān)的主機安全收到了威脅。

計算機網(wǎng)絡(luò)的攻擊特

1．損失巨大

由于攻擊和入侵的對象是網(wǎng)絡(luò)上的計算機,因此攻擊一旦成功,就會使網(wǎng)絡(luò)中的計算機處于癱瘓狀態(tài),從而給計算機用戶造成巨大的經(jīng)濟損失。如美國每年因計算機犯罪而造成的經(jīng)濟損失就達幾百億美元。平均每起計算機犯罪案件所成的經(jīng)濟損失是一般案件的幾十到幾百倍。

2．威脅社會和國家安全

一些計算機網(wǎng)絡(luò)攻擊者出于各種目的經(jīng)常把政府部門和軍事部門的計算機作為攻擊目標(biāo),從而對社會和國家安全造成威脅。

3．手段多樣與手法隱蔽

計算機攻擊的手段可以說五花八門:網(wǎng)絡(luò)攻擊者既可以通過監(jiān)視網(wǎng)上數(shù)據(jù)來獲取別人的保密信息,又可以通過截取別人的帳號和口令進入別人的計算機系統(tǒng),還可以通過一些特殊的方法繞過人們精心設(shè)計的防火墻,等等。這些過程都可以在很短的時間內(nèi)通過計算機完成,因而犯罪不留痕跡,隱蔽性很強。

4．以軟件攻擊為主

幾乎所有的網(wǎng)絡(luò)入侵都是通過對軟件的截取和攻擊進而破壞整個計算機系統(tǒng)的。因此,計算機犯罪具有隱蔽性,這要求人們對計算機的各種軟件(包括計算機通信過程中的信息流)進行嚴(yán)格的保護。

第3章 計算機網(wǎng)絡(luò)安全面臨的威脅

3.1自然災(zāi)害

計算機信息系統(tǒng)僅僅是一個智能的機器,易受自然災(zāi)害及環(huán)境(溫度、濕度、振動、沖擊、污染)的影響。目前,我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄露或干擾等措施,接地系統(tǒng)也疏于周到考慮,抵御自然災(zāi)害和意外事故的能力較差。日常工作中因斷電而設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象時有發(fā)生。由于噪音和電磁輻射,導(dǎo)致網(wǎng)絡(luò)信噪比下降,誤碼率增加,信息的安全性、完整性和可用性受到威脅。

3.2網(wǎng)絡(luò)軟件漏洞

網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標(biāo),曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的,一般不為外人所知,一旦“后門”洞開,其造成的后果將不堪設(shè)想。

3.3黑客的威脅和攻擊

這是計算機網(wǎng)絡(luò)所面臨的最大威脅。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行,并不盜竊系統(tǒng)資料,通常采用拒絕服務(wù)攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。黑客們常用的攻擊手段有獲取口令、電子郵件攻擊、特洛伊木馬攻擊、www的欺騙技術(shù)和尋找系統(tǒng)漏洞等。

3.4計算機病毒

20世紀(jì)90年代,出現(xiàn)了曾引起世界性恐慌的“計算機病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進入到系統(tǒng)中進行擴散。計算機感染上病毒后,輕則使系統(tǒng)工作效率下降,重則造成系統(tǒng)死機或毀壞,使部分文件或全部數(shù)據(jù)丟失,甚至造成計算機主板等部件的損壞。

3.6計算機犯罪

計算機犯罪,通常是利用竊取口令等手段非法侵入計算機信息系統(tǒng),傳播有害信息,惡意破壞計算機系統(tǒng),實施貪污、盜竊、詐騙和金融犯罪等活動。在一個開放的網(wǎng)絡(luò)環(huán)境中,大量信息在網(wǎng)上流動,這為不法分子提供了攻擊目標(biāo)。他們利用不同的攻擊手段,獲得訪問或修改在網(wǎng)中流動的敏感信息,闖入用戶或政府部門的計算機系統(tǒng),進行窺視、竊取、篡改數(shù)據(jù)。不受時間、地點、條件限制的網(wǎng)絡(luò)詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息。

4.1 防火墻技術(shù)

網(wǎng)絡(luò)安全所說的防火墻(Fire Wall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪，用來保護內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點上。所有來自Internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。

4.1.1 防火墻的主要功能 防火墻的主要功能包括：

1、防火墻可以對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，從而過濾掉一些攻擊，以免其在目標(biāo)計算機上被執(zhí)行。

2、防火墻可以關(guān)閉不使用的端口，而且它還能禁止特定端口的輸出信息。

3、防火墻可以禁止來自特殊站點的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務(wù)和控制非法用戶對網(wǎng)絡(luò)的訪問。

4、防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對Internet上特殊站點的訪問。

5、防火墻提供了監(jiān)視Internet安全和預(yù)警的方便端點

4.1.2 防火墻的主要優(yōu)點

防火墻的主要優(yōu)點包括:

1、可作為網(wǎng)絡(luò)安全策略的焦點

防火墻可作為網(wǎng)絡(luò)通信的阻塞點。所有進出網(wǎng)絡(luò)的信息都必須通過防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來，將承擔(dān)風(fēng)險的范圍從整個內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上。從而在結(jié)構(gòu)上形成了一個控制中心，極大地加強了網(wǎng)絡(luò)安全，并簡化了網(wǎng)絡(luò)管理。

2、可以有效記錄網(wǎng)絡(luò)活動

由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間，即所有傳輸?shù)男畔⒍紩┻^防火墻。所以，防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，提供監(jiān)視、管理與審計網(wǎng)絡(luò)的使用和預(yù)警功能。

3、為解決IP地址危機提供了可行方案 由于Internet的日益發(fā)展及IP地址空間有限，使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。

4、防火墻能夠強化安全策略

因為網(wǎng)絡(luò)上每天都有上百萬人在收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良，或違反規(guī)則的人，防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略，僅僅容許“認可的”和符合規(guī)則的請求通過.5、防火墻能有效地記錄網(wǎng)絡(luò)上的活動

因為所有進出信息都必須通過防火墻，所以防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息.作為訪問的唯一點，防火墻能在被保護的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進行記錄.6、防火墻限制暴露用戶點

防火墻能夠用來隔開網(wǎng)絡(luò)中的兩個網(wǎng)段，這樣就能夠防止影響一個網(wǎng)段的信息通過整個網(wǎng)絡(luò)進行傳播.7、防火墻是一個安全策略的檢查站

所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外.4.1.3 防火墻的主要缺陷

由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點，使它不能完全保護網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有：

1、防火墻對繞過它的攻擊行為無能為力。

2、防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件。

3、防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓撲結(jié)構(gòu)來支持。網(wǎng)絡(luò)安全性的提高往往是以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價。

4、不能防范惡意的知情者

防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，放在公文包中帶出去.如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的.內(nèi)部用戶可以偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻.對于來自知情者的威脅，只能要求加強內(nèi)部管理，如主機安全和用戶教育等.5、不能防范不通過它的連接

防火墻能夠有效地防止通過它的傳輸信息，然而它卻不能防止不通過它而傳輸?shù)男畔?例如，如果站點允許對防火墻后面的內(nèi)部系統(tǒng)進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵.6、不能防備全部的威脅

防火墻被用來防備已知的威脅，如果是一個很好的防火墻設(shè)計方案，就可以防備新的威脅，但沒有一扇防火墻能自動防御所有新的威脅.7、防火墻不能防范病毒

防火墻一般不能消除網(wǎng)絡(luò)上的病毒.4.1.4 防火墻的分類 防火墻的實現(xiàn)從層次上大體可分為三類：包過濾防火墻，代理防火墻和復(fù)合型防火墻。

1、包過濾防火墻

包過濾防火墻是在IP層實現(xiàn)，它可以只用路由器來實現(xiàn)。包過濾防火墻根據(jù)報文的源IP地址，目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。

2、代理防火墻

代理防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻，包過濾防火墻可以按照IP地址來禁止未授權(quán)者的訪問。但它不適合單位用來控制內(nèi)部人員訪問外部網(wǎng)絡(luò)，對于這樣的企業(yè)，應(yīng)用代理防火墻是更好的選擇。

3、復(fù)合型防火墻

復(fù)合型防火墻是將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用，從而實現(xiàn)了網(wǎng)絡(luò)安全性、性能和透明度的優(yōu)勢互補。

4.1.5 防火墻的部署

防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，只有在關(guān)鍵網(wǎng)絡(luò)流量通過防火墻的時候，防火墻才能對此實行檢查，防護功能。

1、防火墻的位置一般是內(nèi)網(wǎng)與外網(wǎng)的接合處，用來阻止來自外部網(wǎng)絡(luò)的入侵。

2、如果內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置虛擬局域網(wǎng)（VLAN），則應(yīng)該在各個VLAN之間設(shè)置防火墻。

3、通過公網(wǎng)連接的總部與各分支機構(gòu)之間應(yīng)該設(shè)置防火墻。

4、主干交換機至服務(wù)器區(qū)域工作組交換機的骨干鏈路上。

5、遠程撥號服務(wù)器與骨干交換機或路由器之間。

總之，在網(wǎng)絡(luò)拓撲上，防火墻應(yīng)當(dāng)處在網(wǎng)絡(luò)的出口與不同安全等級區(qū)域的結(jié)合處。安裝防火墻的原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應(yīng)安裝防火墻。

4.2 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)就是對信息進行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息、的真實內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。

數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲加密技術(shù)是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進行驗證，達到保密的要求，系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實現(xiàn)對數(shù)據(jù)的安全保護。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應(yīng)用，密匙管理技術(shù)事實上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。

4.3 系統(tǒng)容災(zāi)技術(shù)

一個完整的網(wǎng)絡(luò)安全體系，只有防范和檢測措施是不夠的，還必須具有災(zāi)難容忍和系統(tǒng)恢復(fù)能力。因為任何一種網(wǎng)絡(luò)安全設(shè)施都不可能做到萬無一失，一旦發(fā)生漏防漏檢事件，其后果將是災(zāi)難性的。此外，天災(zāi)人禍、不可抗力等所導(dǎo)致的事故也會對信息系統(tǒng)造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災(zāi)難，也能快速地恢復(fù)系統(tǒng)和數(shù)據(jù)，才能完整地保護網(wǎng)絡(luò)信息系統(tǒng)的安全。現(xiàn)階段主要有基于數(shù)據(jù)備份和基于系統(tǒng)容錯的系統(tǒng)容災(zāi)技術(shù)。數(shù)據(jù)備份是數(shù)據(jù)保護的最后屏障，不允許有任何閃失。但離線介質(zhì)不能保證安全。數(shù)據(jù)容災(zāi)通過IP容災(zāi)技術(shù)來保證數(shù)據(jù)的安全。數(shù)據(jù)容災(zāi)使用兩個存儲器，在兩者之間建立復(fù)制關(guān)系，一個放在本地，另一個放在異地。本地存儲器供本地備份系統(tǒng)使用，異地容災(zāi)備份存儲器實時復(fù)制本地備份存儲器的關(guān)鍵數(shù)據(jù)。二者通過IP相連，構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng)，也能提供數(shù)據(jù)庫容災(zāi)功能。

4.4 入侵檢測技術(shù)

入侵檢測技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息（系統(tǒng)運行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等），并對這些信息進行分析和判斷。通過檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為，入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)攻擊或異常行為并進行阻斷、記錄、報警等響應(yīng)，從而將攻擊行為帶來的破壞和影響降至最低。同時，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術(shù)）、對攻擊行為或異常行為進行響應(yīng)、審計和跟蹤等。

典型的IDS系統(tǒng)模型包括4個功能部件：

1、事件產(chǎn)生器，提供事件記錄流的信息源。

2、事件分析器，這是發(fā)現(xiàn)入侵跡象的分析引擎。

3、響應(yīng)單元，這是基于分析引擎的分析結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。

4、事件數(shù)據(jù)庫，這是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。

4.4.1 入侵檢測系統(tǒng)的分類

入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)來源不同，可分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)。網(wǎng)絡(luò)型入侵檢測系統(tǒng)的實現(xiàn)方式是將某臺主機的網(wǎng)卡設(shè)置成混雜模式，監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進行判斷或直接在路由設(shè)備上放置入侵檢測模塊。一般來說，網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負著保護整個網(wǎng)絡(luò)的任務(wù)。

主機型入侵檢測系統(tǒng)是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其它手段（如檢測系統(tǒng)調(diào)用）從所有的主機上收集信息進行分析。

入侵檢測系統(tǒng)根據(jù)檢測的方法不同可分為兩大類：異常和誤用。

異常入侵檢測根據(jù)用戶的異常行為或?qū)Y源的異常存放來判斷是否發(fā)生了入侵事件。

4.4.2 目前入侵檢測系統(tǒng)的缺陷

入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全防護的重要手段，目前的IDS還存在很多問題，有待于我們進一步完善。

1、高誤報率

誤報率主要存在于兩個方面：一方面是指正常請求誤認為入侵行為；另一方面是指對IDS用戶不關(guān)心事件的報警。導(dǎo)致IDS產(chǎn)品高誤報率的原因是IDS檢測精度過低和用戶對誤報概念的不確定。

2、缺乏主動防御功能

入侵檢測技術(shù)作為一種被動且功能有限的安全防御技術(shù)，缺乏主動防御功能。因此，需要在一代IDS產(chǎn)品中加入主動防御功能，才能變被動為主動。

4.4.3 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動

防火墻是一個跨接多個物理網(wǎng)段的網(wǎng)絡(luò)安全關(guān)口設(shè)備。它可以對所有流經(jīng)它的流量進行各種各樣最直接的操作處理，如無通告拒絕、ICMP拒絕、轉(zhuǎn)發(fā)通過（可轉(zhuǎn)發(fā)至任何端口）、各以報頭檢查修改、各層報文內(nèi)容檢查修改、鏈路帶寬資源管理、流量統(tǒng)計、訪問日志、協(xié)議轉(zhuǎn)換等。當(dāng)我們實現(xiàn)防火墻與入侵檢測系統(tǒng)的相互聯(lián)動后，IDS就不必為它所連接的鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。因此，IDS可以將大部分的系統(tǒng)資源用于對采集報文的分析，而這正是IDS最眩目的亮點。IDS可以有足夠的時間和資源做些有效的防御工作，如入侵活動報警、不同業(yè)務(wù)類別的網(wǎng)絡(luò)流量統(tǒng)計、網(wǎng)絡(luò)多種流量協(xié)議恢復(fù)（實時監(jiān)控功能）等。IDS高智能的數(shù)據(jù)分析技術(shù)、詳盡的入侵知識描述庫可以提供比防火墻更為準(zhǔn)確、更嚴(yán)格、更全面的訪問行為審查功能。

綜上所述，防火墻與IDS在功能上可以形成互補關(guān)系。這樣的組合較以前單一的動態(tài)技術(shù)或靜態(tài)技術(shù)都有了較大的提高。使網(wǎng)絡(luò)的防御安全能力大大提高。防火墻與IDS的相互聯(lián)動可以很好地發(fā)揮兩者的優(yōu)點，淡化各自的缺陷，使防御系統(tǒng)成為一個更加堅固的圍墻。在未來的網(wǎng)絡(luò)安全領(lǐng)域中，動態(tài)技術(shù)與靜態(tài)技術(shù)的聯(lián)動將有很大的發(fā)展市場和空間。4.4.4 結(jié)語

網(wǎng)絡(luò)安全是一個很大的系統(tǒng)工程，除了防火墻和入侵檢測系統(tǒng)之外，還包括反病毒技術(shù)和加密技術(shù)。反病毒技術(shù)是查找和清除計算機病毒技術(shù)。其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎。然后根據(jù)病毒特征碼數(shù)據(jù)庫來進行對比式查殺。加密技術(shù)主要是隱藏信息、防止對信息篡改或防止非法使用信息而轉(zhuǎn)換數(shù)據(jù)的功能或方法。它是將數(shù)據(jù)信息轉(zhuǎn)換為一種不易解讀的模式來保護信息，除非有解密密鑰才能閱讀信息。加密技術(shù)包括算法和密鑰。算法是將普通的文本（或是可以理解的信息）與一串?dāng)?shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟。密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法。在安全保密中，可通過適當(dāng)?shù)拿荑€加密技術(shù)和管理機制來保證網(wǎng)絡(luò)的信息通信安全。

4.5 漏洞掃描技術(shù)

漏洞掃描是自動檢測遠端或本地主機安全的技術(shù)，它查詢TCP/IP各種服務(wù)的端口，并記錄目標(biāo)主機的響應(yīng)，收集關(guān)于某些特定項目的有用信息。這項技術(shù)的具體實現(xiàn)就是安全掃描程序。掃描程序可以在很短的時間內(nèi)查出現(xiàn)存的安全脆弱點。掃描程序開發(fā)者利用可得到的攻擊方法，并把它們集成到整個掃描中，掃描后以統(tǒng)計的格式輸出，便于參考和分析。

4.6 物理安全

為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴散。通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。為保證網(wǎng)絡(luò)的正常運行，在物理安全方面應(yīng)采取如下措施:

1、產(chǎn)品保障方面:主要指產(chǎn)品采購、運輸、安裝等方面的安全措施。

2、運行安全方面:網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。

3、防電磁輻射方面:所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機。

4、保安方面:主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計算機、安全設(shè)備的安全防護。

計算機網(wǎng)絡(luò)安全是個綜合性和復(fù)雜性的問題。面對網(wǎng)絡(luò)安全行業(yè)的飛速發(fā)展以及整個社會越來越快的信息化進程，各種新技術(shù)將會不斷出現(xiàn)和應(yīng)用。??? 網(wǎng)絡(luò)安全孕育著無限的機遇和挑戰(zhàn)，作為一個熱門的研究領(lǐng)域和其擁有的重要戰(zhàn)略意義，相信未來網(wǎng)絡(luò)安全技術(shù)將會取得更加長足的發(fā)展。

第四章 網(wǎng)絡(luò)安全技術(shù)

4.1 防火墻的定義和選擇

4.1.1防火墻的定義

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。

目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應(yīng)用層網(wǎng)關(guān)（代理服務(wù)器）以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。

作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負責(zé)網(wǎng)絡(luò)間的安全認證與傳輸。但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證、防止病毒與黑客入侵等方向發(fā)展。

4.1.2 防火墻的選擇

總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有成本（TCO）不應(yīng)該超過受保護網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例，假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價值為10萬元，則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然，對于關(guān)鍵部門來說，其所造成的負面影響和連帶損失也不應(yīng)該考慮在內(nèi)。如果僅作粗略估算，非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本，關(guān)鍵部門則應(yīng)另當(dāng)別論選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下兩條：

（1）防火墻本身是安全的

作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機。如果像瑪奇諾防線一樣，正面雖然牢不可破，但進攻者能夠輕易地繞過防線進入系統(tǒng)內(nèi)部，網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。

通常，防火墻的安全性問題來自兩個方面：其一是防火墻本身的設(shè)計是否合理，其二是使用不當(dāng)。一般來說，防火墻的許多配置需要系統(tǒng)管理員手工修改，如果系統(tǒng)管理員對防火墻十分不熟悉，就有可能在配置過程中遺留大量的安全漏洞。

（2）可擴充性

在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期，由于內(nèi)部信息系統(tǒng)的規(guī)模較小，遭受攻擊造成的損失也較小，因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴容和網(wǎng)絡(luò)應(yīng)用的增加，網(wǎng)絡(luò)的風(fēng)險成本也會急劇上升，此時便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴充性，或擴充成本極高，這便是對投資的浪費。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統(tǒng)，而隨著要求的提供，用戶仍然有進一步增加選擇的余地。這樣不僅能夠保護用戶的投資，對提供防火墻產(chǎn)品的廠商來說，也擴大產(chǎn)品的覆蓋面。

4.2 加密技術(shù)

信息交換加密技術(shù)分為兩類:即對稱加密和非對稱加密.4.2.1 對稱加密技術(shù)

在對稱加密技術(shù)中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖.這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄漏，那么機密性和報文完整性就可以得以保證。對稱加密技術(shù)也存在一些不足，如果交換一方有N個交換對象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方。如三重DES是DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的一種變形，這種方法使用兩個獨立的56位密鑰對信息進行3次加密，從而使有效密鑰長度達到112位。

4.2.2 非對稱加密技術(shù)

在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛分布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計算機復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。

4.2.3 RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制。其安全性是基于分散大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分散兩大素數(shù)之積。RSA算法的描述如下：

公開密鑰： n=pq(p、q 分別為兩個互異的大素數(shù)，p、q 必須保密)e與(p-1)(q-1)互素

私有密鑰：d=e-1 {mod(p-1)(q-1)} 加密：c=me(mod n)，其中 m 為明文，c為密文。

解密：m=cd(mod n)利用目前已經(jīng)掌握的只是和理論，分解2048bit的大整數(shù)已經(jīng)超過了64位計算機的運算能力，因此在目前和預(yù)見的將來，它是足夠安全的。

4.3 注冊與認證管理

4.3.1 認證機構(gòu)

CA（Certification Authorty）就是這樣一個確保信任度的權(quán)威實體，它的主要職責(zé)是頻發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明一證書，任何相信該CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個具有較強安全性的CA是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且還與整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。

4.3.2 注冊機構(gòu)

RA(Registration Authority)是用戶和CA的借口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA發(fā)給證書的基礎(chǔ)。RA不僅要支持面對面的登記，也必須支持遠程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。

4.3.3 密鑰備份和恢復(fù)

為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。

4.3.4 證書管理與撤銷系統(tǒng)

證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進行證書撤銷，證書撤銷的理由是各種各樣的。可能包括工作變動到對密鑰懷疑等一系列原因。證書撤銷系統(tǒng)實現(xiàn)是利用周期性的發(fā)布機制撤銷證書或采用在線查詢機制，隨時查詢被撤銷的證書。

第五章 安全技術(shù)的研究

5.1 安全技術(shù)的研究現(xiàn)狀和方向

我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段，正在進入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計算機技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。根據(jù)防火墻所采用的技術(shù)不同，將它分為4個基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換-NAT、代理型和監(jiān)測型。

5.2 包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會含一些特定信息，防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一單發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制定判斷規(guī)則。

包過濾技術(shù)的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。

但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進行判斷，無法識別基于應(yīng)用層的惡意侵入。

5.3 代理型

代理型的安全性能要高過包過濾型，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看，代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器；從服務(wù)器來看，代理服務(wù)器又是一臺真正的客戶機。當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

代理型防火墻的優(yōu)點是安全性較高，可以針對應(yīng)用層進行偵測和掃描，對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。

實際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢，大多數(shù)代理服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包過濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的，應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。正是由于應(yīng)用網(wǎng)關(guān)的這些特點，使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。

結(jié)束語

互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人們不可缺少的通信工具，其發(fā)展速度也快的驚人，以此而來的攻擊破壞層出不窮，為了有效的防止入侵把損失降到最低，我們必須適合注意安全問題，使用盡量多而可靠的安全工具經(jīng)常維護，讓我們的網(wǎng)絡(luò)體系完善可靠。在英特網(wǎng)為我們提供了大量的機會和便利的同時，也在安全性方面給我們帶來了巨大的挑戰(zhàn)，我們不能因為害怕挑戰(zhàn)而拒絕它，否則就會得不償失，信心安全是當(dāng)今社會乃至整個國家發(fā)展所面臨的一個只管重要的問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要的組成部分，甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展講起到非常重要的作用。網(wǎng)絡(luò)安全是一項動態(tài)的、整體的系統(tǒng)工程，我們應(yīng)該結(jié)合現(xiàn)在網(wǎng)絡(luò)發(fā)展的特點，制定妥善的網(wǎng)絡(luò)安全策略，將英特網(wǎng)的不安全性降至到現(xiàn)有條件下的最低點，讓它為我們的工作和現(xiàn)代化建設(shè)做出更好的服務(wù)。

參考文獻

[1] 謝希仁.計算機網(wǎng)絡(luò) 電子工業(yè)出版社

[2]湯小丹、梁紅兵.計算機操作系統(tǒng) 西安電子科技大學(xué)出版社 [3] 李偉.網(wǎng)絡(luò)安全實用技術(shù)標(biāo)準(zhǔn)教程 清華大學(xué)出版社 [4] Andrew S.Tanenbaum.計算機網(wǎng)絡(luò) 清華大學(xué)出版社

[1]李軍義.計算機網(wǎng)絡(luò)技術(shù)與應(yīng)用[M].北京：北方交通大學(xué)出版社，2006.7． [2]蔡立軍.計算機網(wǎng)絡(luò)安全技術(shù)[M].北京:中國水利水電出版社,2005.[3]嘉寧.網(wǎng)絡(luò)防火墻技術(shù)淺析[J].通信工程.2004(3).[4]鄭成興.網(wǎng)絡(luò)入侵防范的理論與實踐[M].北京：機械工業(yè)出版社，2006.9.[5][美] Merike Kaeo 著.網(wǎng)絡(luò)安全性設(shè)計[M].北京：人民郵電出版社，2005.9.[6]黃怡強,等.淺談軟件開發(fā)需求分析階段的主要任務(wù)[M].中山大學(xué)學(xué)報論叢，2002(01).[7]胡道元.計算機局域網(wǎng)[M].北京:清華大學(xué)出版社.2001.[8]朱理森，張守連.計算機網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻出版社，2001.[9]謝希仁.計算機網(wǎng)絡(luò)(第4版)[M].北京:電子工業(yè)出版社.