第一篇：《網(wǎng)絡(luò)安全技術(shù)》課程介紹

《網(wǎng)絡(luò)安全技術(shù)》課程介紹

本課程是計算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)和信息安全專業(yè)的專業(yè)核心課，主要講述計算機(jī)網(wǎng)絡(luò)安全的相關(guān)內(nèi)容。課程特點(diǎn)采用理論與實踐相結(jié)合的方式對網(wǎng)絡(luò)安全相關(guān)知識做了深入淺出的介紹。

下面從以下幾方面介紹本門課程：

（1）教學(xué)目標(biāo)

通過本課程的學(xué)習(xí)，要求學(xué)生從理論上了解網(wǎng)絡(luò)安全的現(xiàn)狀，熟悉常用加密算法、數(shù)字簽名技術(shù)、保密通信技術(shù)和計算機(jī)病毒的原理及基本的攻防技術(shù)。

從實踐角度看，學(xué)生學(xué)完本課程之后能夠?qū)χ鳈C(jī)進(jìn)行基本的安全配置、對Web服務(wù)器做基本的安全配置、掌握基本的攻防技術(shù)、掌握基本的VPN技術(shù)。

（2）本課程的教學(xué)覆蓋面

本課程的教學(xué)覆蓋范圍包括保密通信、主機(jī)安全、Web安全、黑客與病毒、VPN。其中重度點(diǎn)內(nèi)容包括：數(shù)字簽名、主機(jī)安全配置、基本的攻防技術(shù)。課程難點(diǎn)內(nèi)容包括：公鑰密碼的原理，web上SSL協(xié)議的實現(xiàn)。

（3）教學(xué)方法及組織形式

針對本門課程的特點(diǎn)，本課主要采用理論教學(xué)與實訓(xùn)教學(xué)相結(jié)合的教學(xué)方法，理論課上應(yīng)用多媒體課件、動畫及視頻等多種媒體手段生動形象的描述有關(guān)知識，實訓(xùn)課上以專門的實訓(xùn)系統(tǒng)和安全靶機(jī)為平臺，針對不同實訓(xùn)特點(diǎn)，采取分組實驗，讓學(xué)生真正接觸并掌握網(wǎng)絡(luò)安全的實踐技能。

（4）授課對象

本門課的授課對象主要是高職高專的學(xué)生，因此所講理論要求密切與實訓(xùn)結(jié)合。實訓(xùn)過程密切與生產(chǎn)結(jié)合。

（5）教材與參考資料

課程選用的教材是在吉林中軟吉大公司出品的《網(wǎng)絡(luò)綜合教學(xué)實訓(xùn)系統(tǒng)——網(wǎng)絡(luò)安全技術(shù)篇》基礎(chǔ)上改編的校內(nèi)教材，參考的文獻(xiàn)主要包括清華大學(xué)出版的《計算機(jī)網(wǎng)絡(luò)安全》、人民郵電出版的《計算機(jī)網(wǎng)絡(luò)安全技術(shù)》等教材、中國知網(wǎng)等知名數(shù)據(jù)庫中的論文，以及網(wǎng)上的一些相關(guān)資料。

第二篇：網(wǎng)絡(luò)安全技術(shù)課程論文

《網(wǎng)絡(luò)安全技術(shù)》課程論文

題

目：

網(wǎng)絡(luò)黑客 院

(部)：

商學(xué)院 專

業(yè)：

電子商務(wù) 班

級：

姓

名：

學(xué)

號：

指導(dǎo)教師：

完成日期：

網(wǎng) 絡(luò) 黑 客

摘要:隨著網(wǎng)絡(luò)在人們生活與工作的各方面使用的日益普遍，網(wǎng)絡(luò)安全問題已經(jīng)成為一 個被人們強(qiáng)烈關(guān)注的熱點(diǎn)。而其中黑客攻擊所造成的安全問題是很重要的一個方面。本文將介紹有關(guān)黑客使用的手段,造成的威脅與應(yīng)對的方法。隨著網(wǎng)絡(luò)在人們生活與工作的各方面使用的日益普遍，網(wǎng)絡(luò)安全問題已經(jīng)成為一 個被人們強(qiáng)烈關(guān)注的熱點(diǎn)。而其中黑客攻擊所造成的安全問題是很重要的一個方面。本文將介紹有關(guān)黑客使用的手段,造成的威脅與應(yīng)對的方法。關(guān)鍵詞：網(wǎng)絡(luò)安全，黑客技術(shù)，黑客，病毒，防火墻。

一、網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)軟件安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

二、黑客技術(shù)

2.1定義

黑客是英文“Hacker”的英文譯音,它起源于美國麻省理工學(xué)院的計算機(jī)實驗室中。早期黑客只是利用自己的智慧和特殊的技術(shù)，揭露軟件和網(wǎng)絡(luò)系統(tǒng)中的漏洞,以便讓制造商和網(wǎng)絡(luò)管理人員及時修補(bǔ)。然而,當(dāng)互聯(lián)網(wǎng)以遠(yuǎn)比人們預(yù)料快的多的速度發(fā)展的時候,黑客原有的“揭露漏洞,不進(jìn) 行破壞,幫助完善系統(tǒng)”的信條已發(fā)生了變異，現(xiàn)代的黑客已經(jīng)分化為三類,一是初級黑客, 這些人一般沒有特殊的企圖,只是出于好奇心,追求刺激,試探性地對網(wǎng)絡(luò)進(jìn)行攻擊；二是 高水平黑客,這些人出于利益的驅(qū)動,為達(dá)到一定的目的,有針對性地對網(wǎng)絡(luò)進(jìn)行攻擊；三 是職業(yè)黑客,這些人其本身可能就是恐怖分子,經(jīng)濟(jì)或政治間諜等,由于他們的水平極高, 攻擊具有很大的隱蔽性,因而造成的損失也最大。總之,從發(fā)展趨勢看,黑客正在不斷地走向系統(tǒng)化,組織化和年輕化。

2.2中國黑客的現(xiàn)狀

如今國內(nèi)黑客站點(diǎn)門派繁多，但整體素質(zhì)不如人意，有的甚至低劣。主要體現(xiàn)在以下幾點(diǎn)：（1）叫法不一，很不正規(guī)。（2）技術(shù)功底薄弱，夸大作風(fēng)。

（3）內(nèi)容粗制濫造，應(yīng)付了事，原創(chuàng)作品少，且相互抄襲。曾有某篇文章說，中國的黑客一代不如一代。

（4）效率低，更新少，可讀性差，界面雜亂。有些站點(diǎn)很少更新，死鏈接，打不開，站點(diǎn)雜亂，經(jīng)常有死鏈接，作品抄襲。

（5）整體技術(shù)水平不高，研究層次級別低。（6）缺少一個統(tǒng)一協(xié)調(diào)中國黑客界行動發(fā)展的組織。2.3黑客的危害

由于成為黑客并實施黑客攻擊越來越容易,因此黑客攻擊的事件越來越多,造成的危害也就越來越嚴(yán)重,歸納起來,主要有以下幾種: 2.31 充當(dāng)政治工具

近年來,黑客活動開始染上政治色彩,用非法入侵到國防，政府等一些機(jī)密信息系統(tǒng)，盜取國家的軍 事和政治情報等做法危害國家安全。

2.32 用于戰(zhàn)爭

通過網(wǎng)絡(luò),利用黑客手段侵入敵方信息系統(tǒng)，獲取軍事信息，發(fā)布假信息,病毒,擾亂對 方系統(tǒng)等等。

2.33非法侵入他人的系統(tǒng),獲取個人隱私獲得信息以便利用其進(jìn)行敲詐,勒索或損害他人的名譽(yù),炸毀電子郵箱,使系統(tǒng)癱瘓等。

三、黑客的攻擊原理

3.1 拒絕服務(wù)攻擊。拒絕服務(wù)攻擊是一種利用 TCP/IP 協(xié)議的弱點(diǎn)和系統(tǒng)存在的漏洞，對網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊的行為。它以消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源為目的,對網(wǎng)絡(luò)服務(wù)器發(fā)送大量“請求”信息,造成網(wǎng)絡(luò)或服務(wù)器系統(tǒng)不堪重負(fù),致使系統(tǒng)癱瘓而無法提供正常的網(wǎng)絡(luò)服務(wù)。

3.2 惡意程序攻擊

利用一些特殊的數(shù)據(jù)包傳送給目標(biāo)主機(jī),使其做出相對應(yīng)的響應(yīng),由于每種操作系統(tǒng)的響應(yīng)時間和方式都是不一樣的,黑客利用這種特征把得到的結(jié)果與準(zhǔn)備好的數(shù)據(jù)庫中的資料相對照,從中便可輕而易舉地判斷出目標(biāo)主機(jī)操作系統(tǒng)所用的版本及其他相關(guān)信息, 尤其是對于某些系統(tǒng),互聯(lián)網(wǎng)上已發(fā)布了其安全漏洞所在,但用戶由于不懂或一時疏忽未下載并安裝網(wǎng)上發(fā)布 的該系統(tǒng)的“補(bǔ)丁”程序,那么黑客就可以自己編寫一段程序進(jìn)入到該系統(tǒng)進(jìn)行破壞.還有一些黑客準(zhǔn)備了后門程序, 即進(jìn)入到目標(biāo)系統(tǒng)后為方便下一次入侵而安裝在被攻擊計算機(jī)系統(tǒng) 內(nèi)的一些程序,為該計算機(jī)埋下了無窮無盡的隱患,給用戶造成了不可預(yù)測的損失。

3.3 欺騙攻擊

每一臺計算機(jī)都有一個IP 地址,登錄時服務(wù)器可以根據(jù)這個IP 地址來判斷來訪者的身份。TCP/IP 協(xié)議是用 IP 地址來作為網(wǎng)絡(luò)節(jié)點(diǎn)的惟一標(biāo)識,因此攻擊者可以在一定范圍內(nèi)直接修改節(jié)點(diǎn)的 IP地 3

址,冒充某個可信節(jié)點(diǎn)的IP地址進(jìn)行攻擊,欺騙攻擊就是一種利用假IP 地址騙取服務(wù)器的信任,實現(xiàn)非法登錄的入侵方法。

3.4 對用戶名和密碼進(jìn)行攻擊。此種攻擊方式大致分為三種情況,一是對源代碼的攻擊,對于網(wǎng)站來說,由于ASP的方便易用,越來越多的網(wǎng)站后臺程序都使用ASP腳本語言。但是,由于ASP本身存在一些 安全漏洞,稍不小心就會給黑客提供可乘之機(jī)。第二種攻擊的方法就是監(jiān)聽,用戶輸入的密碼需要從用戶端傳送到服務(wù)器端進(jìn)行系統(tǒng)對其的校驗,黑客能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。一般系統(tǒng)在傳送密碼時都進(jìn)行了加密處理, 即黑客所得到的數(shù)據(jù)中不會存在明文的密碼, 因此, 這種手法一般運(yùn)用于局域網(wǎng),一旦成功,攻擊者將會得到很大的操作權(quán)益。第三是解密,就是使用窮舉法對已知用戶名的密碼進(jìn)行解密。這種解密軟件對嘗試所有可能字符所組成的密碼。這種方法十分耗時,但在密碼設(shè)置簡單的情況下卻比較容易得手。

四、防范措施

4.1提高安全意識

（1）不要隨意打開來歷不明的電子郵件及文件，不要隨便運(yùn)行不太了解的人給你的程序，比如“特洛伊”類黑客程序就需要騙你運(yùn)行。

（2）避免從Internet下載不知名的軟件、游戲程序。即使從知名的網(wǎng)站下載的軟件也要及時用最新的病毒和木馬查殺軟件對軟件和系統(tǒng)進(jìn)行掃描。

(3)密碼設(shè)置盡可能使用字母數(shù)字混排，單純的英文或者數(shù)字很容易窮舉。將常用的密碼設(shè)置為不同，防止被人查出一個，連帶到重要密碼。重要密碼最好經(jīng)常更換。

(4)及時下載安裝系統(tǒng)補(bǔ)丁程序。

(5)不隨便運(yùn)行黑客程序，不少這類程序運(yùn)行時會發(fā)出你的個人信息。

(6)在支持HTML的BBS上，如發(fā)現(xiàn)提交警告，先看源代碼，很可能是騙取密碼的陷阱。

4.2 使用防毒、防黑等防火墻軟件

（1）防火墻是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)/出兩個方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。

（2）防火墻的主要功能包括

1）、檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包；

2）、檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包。

3）、執(zhí)行安全策略，限制所有不符合安全策略要求的數(shù)據(jù)包通過。

4）、具有防攻擊能力，保證自身的安全性的能力。（3）防火墻具有以下優(yōu)點(diǎn)：

1）、防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)了集中地安全管理，可以強(qiáng)化網(wǎng)絡(luò)安全策略，比分散的主機(jī)管理更經(jīng)濟(jì)易行。2）、防火墻能防止非授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。3）、防火墻可以方便地監(jiān)視網(wǎng)絡(luò)安全性并報警。

4）、可以作為部署網(wǎng)絡(luò)地址轉(zhuǎn)換的地點(diǎn)，利用NAT技術(shù)，可以緩解地址空間的短缺，隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)。

5）、由于所有的訪問都經(jīng)過防火墻，防火墻是審計和記錄網(wǎng)絡(luò)訪問和使用的最佳地方。

五、越來越不對稱的威脅

Internet上的安全是相互依賴的。每個Internet系統(tǒng)遭受攻擊的可能性取決于連接到全球Internet上的其他系統(tǒng)的安全狀態(tài)。由于攻擊技術(shù)的進(jìn)步，一個攻擊者可以比較容易地利用分布式系統(tǒng)，對一個受害者發(fā)動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅的不對稱性將繼續(xù)增加。

總結(jié)

互聯(lián)網(wǎng)開辟了一個新的世界,它的出現(xiàn)和發(fā)展如此之快,遠(yuǎn)遠(yuǎn)超出了專家的預(yù)測,由于互聯(lián)網(wǎng)的開放性,隨意性,虛擬性,方便性在給人類提供了資源共享的有利條件和新的通信方式,給人們帶來了一個新的創(chuàng)造,展示和實現(xiàn)自我的虛擬世界,也帶來了負(fù)面影響。人們經(jīng)常使用的操作系統(tǒng)和互聯(lián)網(wǎng)的 TCP/IP 協(xié)議有著許多安全漏洞,使得黑客攻擊互聯(lián)網(wǎng)成為 可能.當(dāng)然,黑客攻擊事件的增多,破壞性增大,有系統(tǒng)本身不安全的因素,安全技術(shù)滯后 的因素,但同時,人的因素不容忽視。應(yīng)該讓所有網(wǎng)民知道互聯(lián)網(wǎng)是不安全的,使網(wǎng)民建立 起安全防范意識,并且使其懂得保護(hù)安全,防范黑客和病毒的最基本方法,比如怎樣設(shè)置一個相對安全的密碼,怎樣利用大眾軟件中一些安全設(shè)置,像 windows,outlook 等,怎樣防范病毒以及使用殺毒軟件等等,不要讓那些因為網(wǎng)民對安全的無知和不警惕,但實際非常容 易避免的不安全事件發(fā)生。拒絕黑客,保障互聯(lián)網(wǎng)的安全,需要定完善的安全管理機(jī)制和管理制度對黑客的犯罪的嚴(yán)厲打擊。

參考文獻(xiàn)

[1] 蔡立軍.計算機(jī)網(wǎng)絡(luò)安全技術(shù).中國水利水電出版社，第二版

[2] 孫華國．淺析網(wǎng)絡(luò)黑客．中國科技信息報，2005

[3] Jerry Lee Ford Z．個人防火墻．人民郵電出版社，2002

[4]余建斌.黑客的攻擊手段及用戶對策.北京人民郵電出版社，1998

第三篇：《網(wǎng)絡(luò)安全技術(shù)》課程總結(jié)報告

《網(wǎng)絡(luò)安全技術(shù)》

課程總結(jié)報告

學(xué)校名稱 班級學(xué)號 姓名

20XX年X月

文件安全傳輸

計算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展引發(fā)了人們對網(wǎng)絡(luò)安全的重視，信息安全的目標(biāo)在于保證信息的保密性、完整性、可靠性、可用性和不可否認(rèn)性。網(wǎng)絡(luò)漏洞是系統(tǒng)軟、硬件存在安全方面的脆弱性。安全漏洞的存在導(dǎo)致非法用戶入侵系統(tǒng)或未經(jīng)授權(quán)獲得訪問權(quán)限，造成信息篡改和泄露、拒絕服務(wù)或系統(tǒng)崩潰等問題。

文件安全傳輸方案：

2.1 方案要求

1.熟悉安全通信中常用的加密算法； 2.熟悉數(shù)字簽名過程；

3.實現(xiàn)文件傳輸信息的保密性、完整性和不可否認(rèn)性。

2.2 主要儀器名稱

1.Windows 2000/XP計算機(jī)兩臺。2.CIS工具箱。

2.3 方案內(nèi)容

1.將任意兩臺主機(jī)作為一組，記為發(fā)送方——終端A和接收方——終端B。使用“快照X”恢復(fù)Windows系統(tǒng)環(huán)境。

2.終端A操作：

1)與終端B預(yù)先協(xié)商好通信過程中所使用的對稱加密算法，非對稱加密算法和哈希函數(shù)；

2)采用對稱加密算法（密鑰稱之為回話密鑰）對傳輸信息進(jìn)行加密文，確保傳輸信息的保密性；

64位密碼：c080400414 明文：hello world!密文：｛115097728，-1527542226，315982460,167601359｝

3)使用終端B的公鑰對回話密鑰進(jìn)行加密，確保傳輸信息的保密性以及信息接收方的不可否認(rèn)性；

接收方RSA公鑰(e,n):(101,143)DES密碼密文：｛99,81,23,81,52,81,81,52｝ 4)采用哈希函數(shù)（生成文件摘要）確保傳輸信息的完整性，并使自己的私鑰對文件摘要進(jìn)行簽名（得到數(shù)字簽名），確保信息發(fā)送方的不可否認(rèn)性；

獲取摘要：｛3468fb8a6340be53d2cf10fb2defof5b｝ 數(shù)字簽名：

｛1130,582,1833,4,1991,1002,582,750,1002,1130,1465,1991,1130,500,500,1238,1002,750,500,538,1238,153,1833,500,4,85,1204,1130,750,4,538,1465｝ RSA私鑰(d,n):(101,143)5)將密文加密后的會話密鑰和數(shù)字簽名打包封裝（放在一起）后，通過網(wǎng)絡(luò)傳輸給終端B。

3.終端B操作：

1)與終端A預(yù)先協(xié)商好通信過程中所使用到的對稱加密算法；

2)使用自己的私鑰對終端A加密的會話密鑰進(jìn)行解密，得到準(zhǔn)會話密鑰； 3)使用準(zhǔn)會話密鑰對得到的密文進(jìn)行解密得到準(zhǔn)明文；

4)使用終端A的公鑰對得到的數(shù)字簽名進(jìn)行解密，得到準(zhǔn)明文摘要； 5)使用哈希函數(shù)計算得到準(zhǔn)明文摘要；

6)將計算得到的摘要與準(zhǔn)明文摘要進(jìn)行比較，若相同則表明文件安全傳輸成功。

接收方：

使用自己的私鑰101對發(fā)送方加密的會話密鑰進(jìn)行解密的c0804004 使用密鑰c0804004對密文進(jìn)行解密，得到hello word！

使用發(fā)送方的公鑰（1411,2041）對得到的數(shù)字簽名進(jìn)行解密，得到準(zhǔn)明文摘要

使用哈希函數(shù)計算得準(zhǔn)明文摘要｛3468fb8a6340be53d2cf10fb2defof5b｝ 將計算得到的摘要與準(zhǔn)明文摘要進(jìn)行比較，發(fā)現(xiàn)相同說明文件安全傳輸成功

2.4 對文件使用非對稱加密算法直接加密的可行性

不可行。非對稱加密算法安全性依賴于算法與密鑰，其中用于消息解密的密鑰值與用于消息加密的密鑰值不同，但是由于其算法復(fù)雜，并且待加密的文件或信息一般較長，使得加密解密速度比對稱加密解密的速度慢數(shù)千倍。

而AES對稱機(jī)密算法是高級加密標(biāo)準(zhǔn)，速度快并且安全級別高，更適用于大量數(shù)據(jù)的加密場合。不過因為非對稱加密算法通常有兩個密鑰，其中“公鑰”可以對外公布，“私鑰”則只能由持有人一個人知道，兩者必須配對使用，否則不能打開加密文件。因而表現(xiàn)出非對稱加密算法的優(yōu)越性，對稱式的加密方法如果是在網(wǎng)絡(luò)上傳輸加密文件就很難把密鑰告知對方，不管用什么方法都有可能被竊聽到；這時用非對稱的方式對密鑰再做一次加密，收件人解密是只要用自己的私鑰就可以，這樣能很好地避免密鑰的傳輸安全性問題。所以一般經(jīng)常用其加密對稱加密算法所使用過的密鑰。防火墻技術(shù)

網(wǎng)絡(luò)掃描通過選用遠(yuǎn)程TCP/IP不同端口的服務(wù)，并記錄目標(biāo)給予的回答，可以搜集到很多關(guān)于目標(biāo)網(wǎng)絡(luò)的有用信息，如系統(tǒng)開放的端口、提供的服務(wù)、服務(wù)進(jìn)程守護(hù)程序的版本號、操作系統(tǒng)類型、操作系統(tǒng)的版本、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、防火墻規(guī)則和闖入察覺裝置等。下面闡述端口掃描和遠(yuǎn)程操作系統(tǒng)掃描的主要技術(shù)。

實驗?zāi)康模?/p>

1.了解防火墻的含義與作用 2．學(xué)習(xí)防火墻的基本配置方法

主要儀器名稱：

1．Windows 2003系統(tǒng)防火墻 2．Udptools-udp連接工具

實驗原理：

1．防火墻基礎(chǔ)操作：

操作概述，啟用windows 2003系統(tǒng)防火墻，設(shè)置規(guī)則阻斷icmp回顯請求數(shù)據(jù)包，并驗證對UDP工具的里外操作

在啟用windows 2003系統(tǒng)防火墻之前，同組主機(jī)通過ping指令相互測試網(wǎng)絡(luò)連通性確保相互連通的，若測試未通過先排除故障

2．本機(jī)啟用防火墻，并設(shè)置防火墻對本地連接，進(jìn)行操作 3．同組主機(jī)通過ping之戀互相測試網(wǎng)絡(luò)連通性，確保相互連通 4．設(shè)置本級防火墻允許其傳入icmp回顯請求 5．第三次測試網(wǎng)絡(luò)連通性

2.1 NAT服務(wù)器正常運(yùn)行的檢測

傳輸控制協(xié)議TCP和用戶數(shù)據(jù)報協(xié)議UDP，分別為應(yīng)用層提供可靠的面向連接的服務(wù)和無連接服務(wù)。其中，UDP協(xié)議相對比較簡單。

啟用Windows2003系統(tǒng)防火墻，設(shè)置規(guī)則阻斷ICMP回顯請求數(shù)據(jù)包，并驗證針對UDP連接工具的例外操作。

1.在啟用防火墻之前，同組主機(jī)通過ping指令互相測試網(wǎng)絡(luò)連通性，確保相互是聯(lián)通的。若測試未通過則需要清楚故障；

2.本機(jī)啟用防火墻，并設(shè)置防火墻僅對“本地連接”保護(hù)；

3.同組主機(jī)通過ping指令互相測試網(wǎng)絡(luò)連通性，確認(rèn)是否相互連通； 回答：沒有連接，測試超時。

4.設(shè)置本機(jī)防火墻允許其傳入icmp回顯請求； 5.第n詞測試網(wǎng)絡(luò)連通性?；卮穑簻y試連接成功。

2.2 NAT服務(wù)器——防火墻(Network Address Translation)NAT是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部借點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通訊時，就在網(wǎng)關(guān)處，將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)上正常使用。

NAT服務(wù)器的網(wǎng)絡(luò)地址轉(zhuǎn)換

1.客戶機(jī)將數(shù)據(jù)包發(fā)給運(yùn)行NAT的計算機(jī)；

2.NAT將數(shù)據(jù)包中的端口號和專用的IP地址換為自己的端口號和公用的IP地址，然后將數(shù)據(jù)包發(fā)給外部網(wǎng)絡(luò)的目的主機(jī)，同時記錄一個跟蹤信息在映像表中，以便向客戶機(jī)發(fā)送回答信息；

3.外部網(wǎng)絡(luò)發(fā)送回答信息給NAT；

4.NAT將所收到的數(shù)據(jù)包的端口號和公用IP地址轉(zhuǎn)換為客戶機(jī)的端口號和內(nèi)部網(wǎng)絡(luò)使用的專用IP地址并轉(zhuǎn)發(fā)給客戶機(jī)；

5.NAT服務(wù)器可使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)無法直接訪問，而要通過它的轉(zhuǎn)換，將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開來，因此NAT服務(wù)器可起到防火墻的作用。入侵檢測技術(shù) Snort是一個強(qiáng)大的輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)，它具有實時數(shù)據(jù)流量分析和記錄ＩＰ網(wǎng)絡(luò)數(shù)據(jù)包功能，能夠進(jìn)行協(xié)議分析，對網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容進(jìn)行協(xié)議分析，對網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容進(jìn)行搜索／匹配，他能夠檢測各種不同的攻擊方式，對攻擊進(jìn)行實時報警，此外，Snort是開放源的入侵檢測系統(tǒng)，并且有很好的擴(kuò)展性和可移植性。

3.1 嗅探器

嗅探器模式是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。

1.啟動Snort，進(jìn)入實驗平臺，單擊工具欄：“控制臺”按鈕，進(jìn)入IDS工作目錄，運(yùn)行Snort對網(wǎng)絡(luò)etho進(jìn)行監(jiān)聽。并遵循以下要求：

1)僅捕獲同組主機(jī)發(fā)出的icmp回顯請求數(shù)據(jù)包； 2)利用詳細(xì)模式在終端顯示數(shù)據(jù)鏈路層，應(yīng)用層信息； 3)對捕獲的信息進(jìn)行日志記錄。

Snort命令：Snort-i etho-deo icmp and src net 172.16.0.37-l/var/log/Snort 2.查看Snort日志記錄 Snort數(shù)據(jù)包記錄

1)對網(wǎng)絡(luò)接口etho進(jìn)行監(jiān)聽，僅捕獲同組主機(jī)發(fā)出的Telent請求數(shù)據(jù)包，并將捕獲數(shù)據(jù)包以二進(jìn)制方式進(jìn)行，存儲到日志文件中；

2)當(dāng)前主機(jī)執(zhí)行上述命令，同組主機(jī)Telent遠(yuǎn)程登錄當(dāng)前主機(jī)； 3)停止Snort，捕獲讀取Snort.log文件，查看數(shù)據(jù)包內(nèi)容。

3.2 數(shù)據(jù)包記錄器

數(shù)據(jù)包記錄器模式是把數(shù)據(jù)包記錄到硬盤上。

1.對網(wǎng)絡(luò)接口etho進(jìn)行監(jiān)聽，僅捕獲同組主機(jī)發(fā)出的telnet請求數(shù)據(jù)包并將捕獲數(shù)據(jù)包以二進(jìn)制方式進(jìn)行存儲到日志文件中。

Snort命令：Snort-i etho-b top and src net 172.16.0.37 and dst port 23 2.當(dāng)前主機(jī)執(zhí)行上述命令，同組主機(jī)telnet遠(yuǎn)程登錄到當(dāng)前主機(jī)。3.停止Snort捕獲，讀取Snort.log文件，查看數(shù)據(jù)包內(nèi)容。Snort命令：Snort-r/var/log/Snort/Snort.log.1304385940

3.3 網(wǎng)絡(luò)入侵檢測系統(tǒng) 網(wǎng)路入侵檢測模式是最復(fù)雜的，而且是可配置的?？梢宰宻nort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測結(jié)果采取一定的動作。

1.在Snort規(guī)則集目錄/opt/ids/rules下新建Snort規(guī)則集文件new.rules，對來自外部主機(jī)的目標(biāo)為當(dāng)前主機(jī)80/tcp端口的請求數(shù)據(jù)包進(jìn)行報警。報警消息自定義，Snort規(guī)則alert tcp!172.16.0.39 any→172.16.0.39 80 2.編輯Snort.conf配置文件，使其包含new.rules規(guī)則集文件，具體操作如下：使用Vim編輯器打開Snort.conf，切至編輯模式，在最后添加新行包含規(guī)則集文件new.rules。添加包涵new.rules規(guī)則集文件語句Include $RULE-PATH/new.rules 3.以入侵檢測方式啟動Snort，進(jìn)行監(jiān)聽

啟動命令：/Snort-c Snort conf。以入侵檢測公事啟動Snort，同組主機(jī)訪問當(dāng)前主機(jī)Web服務(wù)。病毒攻防技術(shù)

實驗?zāi)康模?/p>

1．了解腳本病毒的工作原理

2．了解腳本病毒常見的感染目標(biāo)和感染方式 3．掌控編寫腳本病毒專殺工具的一般方法

主要儀器名稱：

Windows腳本安全wsh 能夠解釋執(zhí)行VBS和JS文件

4.1 簡介

腳本程序的執(zhí)行環(huán)境需要WSH環(huán)境，WSH為宿主腳本創(chuàng)建環(huán)境。即當(dāng)腳本到達(dá)計算機(jī)時，WSH充當(dāng)主機(jī)的不分，它使對象和服務(wù)可用于腳本，并提供一系列腳本執(zhí)行指南。

4.2 腳本病毒的主要特征

1． 由于腳本是直接執(zhí)行，可以直接通過自我復(fù)制的方式傳染其他同類文件，并且使異常處理變得非常容易； 2． 腳本病毒通過HTML文檔，Email附件或其它方式，可以在很短的時間內(nèi)傳遍世界各地；

3． 新型的郵件病毒，郵件正文即為病毒，用戶接收到帶毒文件后，即使不將郵件打開，只要將鼠標(biāo)指向郵件，通過預(yù)覽功能被激活；

4． 病毒源碼容易被獲取，變種多； 5． 欺騙性強(qiáng)。

4.3 腳本病毒的查殺方法

1.卸載Windows Scriping Host；

2.禁用文件系統(tǒng)對象FileSystem()bject；

3.在Windows目錄中或任務(wù)管理器進(jìn)程里，找到WScript.exe更改名稱,結(jié)束進(jìn)程或刪除，如右圖；

4.設(shè)置瀏覽器；

5.禁止OE自動收發(fā)郵件功能； 6.進(jìn)入注冊表編輯器，找到注冊表項：HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionrunMSKernel32，將其刪除，如下圖；

7.設(shè)計腳本病毒專殺工具查殺病毒，如下圖。

第四篇：計算機(jī)網(wǎng)絡(luò)安全技術(shù)課程論文

淺談計算機(jī)網(wǎng)絡(luò)安全技術(shù)

學(xué)號******姓名 ** ．1摘要：隨著計算機(jī)網(wǎng)絡(luò)在人類生活領(lǐng)域中的廣泛應(yīng)用，針對計算機(jī)網(wǎng)絡(luò)的攻擊事件也隨之增加。網(wǎng)絡(luò)已經(jīng)無所不在的影響著社會的政治、經(jīng)濟(jì)、文化、軍事、意識形態(tài)和社會生活等各個方面。同時在全球范圍內(nèi)，針對重要信息資源和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的入侵行為和企圖入侵行為的數(shù)量仍在持續(xù)不斷增加，網(wǎng)絡(luò)攻擊與入侵行為對國家安全、經(jīng)濟(jì)和社會生活造成了極大的威脅。諸如此類的事件已給政府及企業(yè)造成了巨大的損失，甚至危害到國家的安全。網(wǎng)絡(luò)安全已成為世界各國當(dāng)今共同關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)安全的重要性是不言而喻的，因此，對漏洞的了解及防范也相對重要起來。在我的這篇論文里，將綜合概括計算機(jī)網(wǎng)絡(luò)安全來源，計算機(jī)通信網(wǎng)絡(luò)安全的客觀因素，以及應(yīng)對計算機(jī)通信網(wǎng)絡(luò)安全的基本策略。

關(guān)鍵詞 ：網(wǎng)絡(luò)安全的來源 /計算機(jī)網(wǎng)絡(luò)安全/ 防護(hù)技術(shù)

．2引言

隨著信息時代的加速到來，人們對因特網(wǎng)的依賴也越來越強(qiáng)，網(wǎng)絡(luò)已成為人們生活中不可缺少的一部分。計算機(jī)網(wǎng)絡(luò)在為人們提供便利、帶來效益的同時，也使人類面臨著信息安全的巨大挑戰(zhàn)。

組織和單位的計算機(jī)網(wǎng)絡(luò)是黑客攻擊的主要目標(biāo)。如果黑客組織能攻破組織及單位的計算機(jī)網(wǎng)絡(luò)防御系統(tǒng)，他就有訪問成千上萬計算機(jī)的可能性。據(jù)統(tǒng)計，近年來因網(wǎng)絡(luò)安全事故造成的損失每年高達(dá)上千億美元。計算機(jī)系統(tǒng)的脆弱性已為各國政府與機(jī)構(gòu)所認(rèn)識，因此對于計算機(jī)網(wǎng)絡(luò)安全的建立與防護(hù)得到各國的極度關(guān)注。建立安全的全球性安全網(wǎng)絡(luò)是件迫不及待的任務(wù)，各國人們都在此投入大量人力，物力，財力來確保計算機(jī)網(wǎng)絡(luò)安全。

．3影響計算機(jī)通信網(wǎng)絡(luò)安全的因素分析

3.1影響計算機(jī)通信網(wǎng)絡(luò)安全的客觀因素。

3.1.1 網(wǎng)絡(luò)資源的共享性。計算機(jī)網(wǎng)絡(luò)最主要的一個功能就是“資源共享”。無論你是在天涯海角，還是遠(yuǎn)在天邊，只要有網(wǎng)絡(luò)，就能找到你所需要的信息。所以，資源共享的確為我們提供了很大的便利，但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞也提供了機(jī)會。

3.1.2

網(wǎng)絡(luò)操作系統(tǒng)的漏洞。操作系統(tǒng)漏洞是指計算機(jī)操作系統(tǒng)本身所存在的問題或技術(shù)缺陷。由于網(wǎng)絡(luò)協(xié)議實現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種的缺陷和漏洞。

3.1.3網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷。網(wǎng)絡(luò)設(shè)計是指拓?fù)浣Y(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。

3.1.4網(wǎng)絡(luò)的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的信息。

3.1.5惡意攻擊。惡意攻擊就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒．是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也越來越多，影響越來越大。無論是DOS 攻擊還是DDOS 攻擊，簡單的看，都只是一種破壞網(wǎng)絡(luò)服務(wù)的黑客方式，雖然具體的實現(xiàn)方式千變?nèi)f化，但都有一個共同點(diǎn)，就是其根本目的是使受害主機(jī)或網(wǎng)絡(luò)無法及時接收并處理外界請求，或無法及時回應(yīng)外界請求。具體表現(xiàn)方式有以下幾種：（1）制造大流量無用數(shù)據(jù)，造成通往被攻擊主機(jī)的網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無法正常和外界通信。（2）利用被攻擊主機(jī)提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請求，使被攻擊主機(jī)無法及時處理其它正常的請求。（3）利用被攻擊主機(jī)所提供服務(wù)程序或傳輸協(xié)議的本身實現(xiàn)缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯誤而分配大量系統(tǒng)資源，使主機(jī)處于掛起狀態(tài)甚至死機(jī)。

DOS 攻擊幾乎是從互聯(lián)網(wǎng)絡(luò)的誕生以來，就伴隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展而一直存在也不斷發(fā)展和升級。值得一提的是，要找DOS 的工具一點(diǎn)不難，黑客網(wǎng)絡(luò)社區(qū)都有共享黑客軟件的傳統(tǒng)，并會在一起交流攻擊的心得經(jīng)驗，你可以很輕松的從Internet 上獲得這些工具。所以任何一個上網(wǎng)者都可能構(gòu)成網(wǎng)絡(luò)安全的潛在威脅。DOS 攻擊給飛速發(fā)展的互聯(lián)網(wǎng)絡(luò)安全帶來重大的威脅。然而從某種程度上可以說，D0S 攻擊永遠(yuǎn)不會消失而且從技術(shù)上目前沒有根本的解決辦法。

3.2影響計算機(jī)網(wǎng)絡(luò)通信安全的主觀因素。主要是計算機(jī)系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全觀念和必備技術(shù)，如安全意識、防范意思等網(wǎng)絡(luò)安全 4.1．防火墻技術(shù)

目前，防火墻有兩個關(guān)鍵技術(shù)，一是包過濾技術(shù)，二是代理服務(wù)技術(shù)。１）包過濾技術(shù)

包過濾技術(shù)主要是基于路由的技術(shù)，即依據(jù)靜態(tài)或動態(tài)的過濾邏輯，在對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)前根據(jù)數(shù)據(jù)包的目的地址、源地址及端口號對數(shù)據(jù)包進(jìn)行過濾。包過濾不能對數(shù)據(jù)包中的用戶信息和文件信息進(jìn)行識別，只能對整個網(wǎng)絡(luò)提供保護(hù)。一般說來，包過濾必須使用兩塊網(wǎng)卡，即一塊網(wǎng)卡連到公網(wǎng)，一塊網(wǎng)卡連到內(nèi)網(wǎng)，以實現(xiàn)對網(wǎng)上通信進(jìn)行實時和雙向的控制。

包過濾技術(shù)具有運(yùn)行速度快和基本不依賴于應(yīng)用的優(yōu)點(diǎn)，但包過濾只能依據(jù)現(xiàn)有數(shù)據(jù)包過濾的安全規(guī)則進(jìn)行操作，而無法對用戶在某些協(xié)議上進(jìn)行各種不同要求服務(wù)的內(nèi)容分別處理，即只是機(jī)械地允許或拒絕某種類型的服務(wù)，而不能對服務(wù)中的某個具體操作進(jìn)行控制。因此，對于有些來自不安全的服務(wù)器的服務(wù)，僅依靠包過濾就不能起到保護(hù)內(nèi)部網(wǎng)的作用了。２）代理服務(wù)技術(shù)

代理服務(wù)又稱為應(yīng)用級防火墻、代理防火墻或應(yīng)用網(wǎng)關(guān)，一般針對某一特定的應(yīng)用來使用特定的代理模塊。代理服務(wù)由用戶端的代理客戶和防火墻端的代理服務(wù)器兩部分組成，其不僅能理解數(shù)據(jù)包頭的信息，還能理解應(yīng)用信息本身的內(nèi)容。當(dāng)一個遠(yuǎn)程用戶連接到某個運(yùn)行代理服務(wù)的網(wǎng)絡(luò)時，防火墻端的代理服務(wù)器即進(jìn)行連接，ＩＰ報文即不再向前轉(zhuǎn)發(fā)而進(jìn)入內(nèi)網(wǎng)。

代理服務(wù)通常被認(rèn)為是最安全的防火墻技術(shù)，因為代理服務(wù)有能力支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊信息。

代理服務(wù)的代理工作在客戶機(jī)和服務(wù)器之間，具有完全控制會話和提供詳細(xì)日志、安全審計的功能，而且代理服務(wù)器的配置可以隱藏內(nèi)網(wǎng)的ＩＰ地址，保護(hù)內(nèi)部主機(jī)免受外部的攻擊。此外，代理服務(wù)還可以過濾協(xié)議，如過濾ＦＴＰ連接，拒絕使用ＰＵＴ命令等，以保證用戶不將文件寫到匿名的服務(wù)器上去。

代理服務(wù)在轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包的方式與包過濾防火墻也不同，包過濾防火墻是在網(wǎng)絡(luò)層轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包，而代理服務(wù)則在應(yīng)用層轉(zhuǎn)發(fā)網(wǎng)絡(luò)訪問。

以上介紹了兩種防火墻技術(shù)。由于此項技術(shù)在網(wǎng)絡(luò)安全中具有不可替代的作用，因而在最近十多年里得到了較大的發(fā)展，已有四類防火墻在流行，即包過濾防火墻、代理防火墻、狀態(tài)檢測防火墻和第四代防火墻。4.2．防病毒技術(shù)

Internet在為人類傳播和交換信息的同時，也為計算機(jī)病毒的傳播和發(fā)展提供了良好的平臺，針對網(wǎng)絡(luò)的病毒正以驚人的速度，向著更具破壞性、更加隱蔽、感染率更高、傳播速度更快、更多種類、適應(yīng)平臺更廣泛的方向發(fā)展。計算機(jī)網(wǎng)絡(luò)安全防范的一項重要內(nèi)容，就是在充分保證計算機(jī)網(wǎng)絡(luò)安全和對計算機(jī)網(wǎng)絡(luò)性能影響最小的前提下，有效地防止計算機(jī)病毒的侵襲。

4.3.加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全的對策措施

4.3.1 加強(qiáng)網(wǎng)絡(luò)安全教育和管理

對工作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個方面安全問題，進(jìn)行安全教育，提高工作人員的安全觀念和責(zé)任心；加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操作技能；教育工作人員嚴(yán)格遵守操作規(guī)程和各項保密規(guī)定，防止人為事故的發(fā)生。同時，要保護(hù)傳輸線路安全。對于傳輸線路，應(yīng)有露天保護(hù)措施或埋于地下，并要求遠(yuǎn)離各種輻射源，以減少各種輻__射引起的數(shù)據(jù)錯誤；線纜鋪設(shè)應(yīng)當(dāng)盡可能使用光纖，以減少各種輻射引起的電磁泄漏和對發(fā)送線路的干擾。要定期檢查連接情況，以檢測是否有搭線竊聽、非法外連或破壞行為。

4.3.2 運(yùn)用網(wǎng)絡(luò)加密技術(shù)

網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種：①鏈接加密。在網(wǎng)絡(luò)節(jié)點(diǎn)間加密，在節(jié)點(diǎn)間傳輸加密的信息，傳送到節(jié)點(diǎn)后解密，不同節(jié)點(diǎn)間用不同的密碼。②節(jié)點(diǎn)加密。與鏈接加密類似，不同的只是當(dāng)數(shù)據(jù)在節(jié)點(diǎn)間傳送時，不用明碼格式傳送，而是用特殊的加密硬件進(jìn)行解密和重加密，這種專用硬件通常放置在安全保險箱中。③首尾加密。對進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)加密，然后待數(shù)據(jù)從網(wǎng)絡(luò)傳送出后再進(jìn)行解密。網(wǎng)絡(luò)的加密技術(shù)很多，在實際應(yīng)用中，人們通常根據(jù)各種加密算法結(jié)合在一起使用，這樣可以更加有效地加強(qiáng)網(wǎng)絡(luò)的完全性。網(wǎng)絡(luò)加密技術(shù)也是網(wǎng)絡(luò)安全最有效的技術(shù)之一。既可以對付惡意軟件攻擊，又可以防止非授權(quán)用戶的訪問。

4.3.3 加強(qiáng)計算機(jī)網(wǎng)絡(luò)訪問控制：

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問，也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。根據(jù)網(wǎng)絡(luò)安全的等級、網(wǎng)絡(luò)空間的環(huán)境不同，可靈活地設(shè)置訪問控制的種類和數(shù)量。

4.3.4 使用防火墻技術(shù)：

采用防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的主要手段。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。防火墻是在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng)，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機(jī)制，并且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻是一個分離器、限制器和分析器，可以有效地監(jiān)控內(nèi)部網(wǎng)和Internet 之間的任何活動，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻的應(yīng)用可最大限度地保障網(wǎng)絡(luò)的正常運(yùn)行，它可以起著提高內(nèi)部網(wǎng)絡(luò)的安全性、強(qiáng)化網(wǎng)絡(luò)安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡(luò)防毒、信息加密、存儲通信、授權(quán)、認(rèn)證等重要作用。

總之，網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、管理、使用等諸多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施。因此，只有綜合采取多種防范措施，制定嚴(yán)格的保密政策和明晰的安全策略，才能完好、實時地保證信息的機(jī)密性、完整性和可用性，為網(wǎng)絡(luò)提供強(qiáng)大的安全保證。

05計算機(jī)網(wǎng)絡(luò)的安全策略

5.4.1物理安全策略。物理安全策略目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機(jī)系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計算機(jī)控制室和各種偷竊、破壞活動的發(fā)生。物理安全策略還包括加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行，將起到十分有效的作用。網(wǎng)絡(luò)安全管理策略包括：確定安全管理等級和安全管理范圍；

5.4.2常用的網(wǎng)絡(luò)安全技術(shù)。

5.2.1 網(wǎng)絡(luò)加密技術(shù)。網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密，端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端點(diǎn)加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供加密保護(hù)；節(jié)點(diǎn)加密的目的是對源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供加密保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)情況選擇上述三種加密方式。

如果按照收發(fā)雙方的密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。在實際應(yīng)用中，人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES 或者IDEA 來加密信息，而采用RSA 來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼算法和分組密碼算法，前者每次只加密一個比特。

5.2.2 防火墻技術(shù)。防火墻技術(shù)是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外界之間的一道屏障，是通過計算機(jī)硬件和軟件的組合來建立起一個安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵，它可以通過鑒別、限制，更改跨越防火墻的數(shù)據(jù)流，來保證通信網(wǎng)絡(luò)的安全對今后計算機(jī)通信網(wǎng)絡(luò)的發(fā)展尤為重要。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和狀態(tài)監(jiān)測型。

5.2.3 操作系統(tǒng)安全內(nèi)核技術(shù)。操作系統(tǒng)安全內(nèi)核技術(shù)除了在傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)上著手，人們開始在操作系統(tǒng)的層次上考慮網(wǎng)絡(luò)安全性，嘗試把系統(tǒng)內(nèi)核中可能引起安全性問題的部分從內(nèi)核中剔除出去，從而使系統(tǒng)更安全。操作系統(tǒng)平臺的安全措施包括：采用安全性較高的操作系統(tǒng)；對操作系統(tǒng)的安全配置；利用安全掃描系統(tǒng)檢查操作系統(tǒng)的漏洞等。美國國防部技術(shù)標(biāo)準(zhǔn)把操作系統(tǒng)的安全等級分成了D1、C1、C2、B1、B2、B3、A 級，其安全等級由低到高。目前主要的操作系統(tǒng)的安全等級都是C2 級,其特征包括：①用戶必須通過用戶注冊名和口令讓系統(tǒng)識別；②系統(tǒng)可以根據(jù)用戶注冊名決定用戶訪問資源的權(quán)限；③系統(tǒng)可以對系統(tǒng)中發(fā)生的每一件事進(jìn)行審核和記錄；④可以創(chuàng)建其他具有系統(tǒng)管理權(quán)限的用戶。

5.2.5 身份驗證技術(shù)身份驗證技術(shù)。身份驗證技術(shù)身份驗證技術(shù)是用戶向系統(tǒng)出示自己身份證明的過程。身份認(rèn)證是系統(tǒng)查核用戶身份證明的過程。這兩個過程是判明和確認(rèn)通信雙方真實身份的兩個重要環(huán)節(jié)，人們常把這兩項工作統(tǒng)稱為身份驗證。它的安全機(jī)制在于首先對發(fā)出請求的用戶進(jìn)行身份驗證，確認(rèn)其是否為合法的用戶，如是合法用戶，再審核該用戶是否有權(quán)對他所請求的服務(wù)或主機(jī)進(jìn)行訪問。從加密算法上來講，其身份驗證是建立在對稱加密的基礎(chǔ)上的。

5.2.6 網(wǎng)絡(luò)防病毒技術(shù)。在網(wǎng)絡(luò)環(huán)境下，計算機(jī)病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計算機(jī)網(wǎng)絡(luò)防病毒，那可能給社會造成災(zāi)難性的后果，因此計算機(jī)病毒的防范也是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)。網(wǎng)絡(luò)防病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測，工作站上采用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。防病毒必須從網(wǎng)絡(luò)整體考慮，從方便管理人員的能，在夜間對全網(wǎng)的客戶機(jī)進(jìn)行掃描，檢查病毒情況；利用在線報警功能，網(wǎng)絡(luò)上每一臺機(jī)器出現(xiàn)故障、病毒侵入時，網(wǎng)絡(luò)管理人員都能及時知道，從而從管理中心處予以解決。06結(jié)束語

隨著信息技術(shù)的飛速發(fā)展，影響通信網(wǎng)絡(luò)安全的各種因素也會不斷強(qiáng)化，因此計算機(jī)網(wǎng)絡(luò)的安全問題也越來越受到人們的重視，以上我們簡要的分析了計算機(jī)網(wǎng)絡(luò)存在的幾種安全隱患，并探討了計算機(jī)網(wǎng)絡(luò)的幾種安全防范措施。

總的來說，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)，隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

參考文獻(xiàn)

［1］吳鈺鋒，劉泉，李方敏.網(wǎng)絡(luò)安全中的密碼技術(shù)研究及其應(yīng)用［J］.真空電子技術(shù)，2004.［2］楊義先.網(wǎng)絡(luò)安全理論與技術(shù)［M］.北京：人民郵電出版社，2003.［3］李學(xué)詩.計算機(jī)系統(tǒng)安全技術(shù)［M］.武漢：華中理工大學(xué)出版社，2003.

第五篇：網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全技術(shù)

——防火墻技術(shù)與病毒

摘 要：

計算機(jī)網(wǎng)絡(luò)安全，指致力于解決諸如如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段。而計算機(jī)網(wǎng)絡(luò)安全主要包括計算機(jī)網(wǎng)絡(luò)安全的概況、虛擬網(wǎng)技術(shù)、防火墻技術(shù)、入侵檢測技術(shù), 安全掃描技術(shù), 電子認(rèn)證和數(shù)字簽名技術(shù).VPN技術(shù)、數(shù)據(jù)安全、計算機(jī)病毒等。防火墻技術(shù)作為時下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用戶的切身利益。針對網(wǎng)絡(luò)安全獨(dú)立元素——防火墻技術(shù)，通過對防火墻日志文件的分析，設(shè)計相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全等級，實現(xiàn)對目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險評估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。本文將以最常見的WORD宏病毒為例來解釋計算機(jī)病毒傳播過程。

關(guān)鍵詞：網(wǎng)絡(luò)安全 防火墻技術(shù) 計算機(jī)病毒

1.1 研究背景

隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是Internet的廣泛使用，使計算機(jī)應(yīng)用更加廣泛與深入。同時，我們不得不注意到，網(wǎng)絡(luò)雖然功能強(qiáng)大，也有其脆弱易受到攻擊的一面。據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全求平均每20秒鐘就發(fā)生一起Internet計算機(jī)侵入事件。在我國，每年因黑客入侵、計算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。人們在利用網(wǎng)絡(luò)的優(yōu)越性的同時，對網(wǎng)絡(luò)安全問題也決不能忽視。如何建立比較安全的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。

1.2 計算機(jī)病毒簡介

計算機(jī)病毒是指那些具有自我復(fù)制能力的計算機(jī)程序, 它能影響計算機(jī)軟件、硬件的正常運(yùn)行, 破壞數(shù)據(jù)的正確與完整。計算機(jī)病毒的來源多種多樣, 有的是計算機(jī)工作人員或業(yè)余愛好者為了純粹尋開心而制造出來的;有的則是軟件公司為保護(hù)自己的產(chǎn)品被非法拷貝而制造的報復(fù)性懲罰, 因為他們發(fā)現(xiàn)病毒比加密對付非法拷貝更有效且更有威脅, 這種情況助長了病毒的傳播。還有一種情況就是蓄意破壞, 它分為個人行為和政府行為兩種, 個人行為多為雇員對雇主的報復(fù)行為, 而政府行為則是有組織的戰(zhàn)略戰(zhàn)術(shù)手段。另外有的病毒還是用于研究或?qū)嶒灦O(shè)計的“有用”程序, 由于某種原因失去控制擴(kuò)散出實驗室, 從而成為危害四方的計算機(jī)病毒。

1987 年, 計算機(jī)用戶忽然發(fā)現(xiàn), 在世界的各個角落, 幾乎同時出現(xiàn)了形形色色的計算機(jī)病毒。Brain, Lenig h, IBM 圣誕樹, 黑色星期五, 特別是近期發(fā)現(xiàn)的幾種病毒, 其名氣也最大, 它們是: 臺灣一號病毒、DIR-Ⅱ病毒、幽靈病毒、米開朗基羅病毒等, 至今, 病毒種類已超過一萬種。

1988 年底, 我國國家統(tǒng)計系統(tǒng)發(fā)現(xiàn)小球病毒。隨后, 中國有色金屬總公司所屬昆明、天津、成都等地的一些單位, 全國一些科研部門和國家機(jī)關(guān)也相繼發(fā)現(xiàn)病毒入侵。自從“中國炸彈”病毒出現(xiàn)后,已發(fā)現(xiàn)越來越多的國產(chǎn)病毒。比如目前國內(nèi)主要有:感染W(wǎng)indow s3.x 的“V3783”,感染W(wǎng)indow s95/ 98的“CIH”病毒。

縱觀計算機(jī)病毒的發(fā)展歷史, 我們不難看出, 計算機(jī)病毒已從簡單的引導(dǎo)型、文件型病毒或它們的混合型發(fā)展到了多形性病毒、欺騙性病毒、破壞性病毒。已從攻擊安全性較低的DOS平臺發(fā)展到攻擊安全性較高的Window s95/ 98平臺;從破壞磁盤數(shù)據(jù)發(fā)展到直接對硬件芯片進(jìn)行攻擊。1995 年宏病毒的出現(xiàn), 使病毒從感染可執(zhí)行文件過渡到感染某些非純粹的數(shù)據(jù)文件。最近有資料顯示已發(fā)現(xiàn)JAVA病毒, 各種跡象表明病毒正向著各個領(lǐng)域滲透, 這些新病毒更隱秘, 破壞性更強(qiáng)。

計算機(jī)病毒的種類很多, 不同種類的病毒有著各自不同的特征, 它們有的以感染文件為主、有的以感染系統(tǒng)引導(dǎo)區(qū)為主, 大多數(shù)病毒只是開個小小的玩笑。

按傳染方式分類可分為引導(dǎo)型病毒、文件型病毒和混合型病毒3種。引導(dǎo)型病毒主要是感染磁盤的引導(dǎo)區(qū), 系統(tǒng)從包含了病毒的磁盤啟動時傳播, 它一般不對磁盤文件進(jìn)行感染;文件型病毒一般只傳染磁盤上的可執(zhí)行文件(COM, EXE), 其特點(diǎn)是附著于正常程序文件, 成為程序文件的一個外殼或部件;混合型病毒則兼有以上兩種病毒的特點(diǎn), 既感染引導(dǎo)區(qū)又感染文件, 因此擴(kuò)大了這種病毒的傳染途徑。

按連接方式分類可分為源碼型病毒、入侵型病毒和操作系統(tǒng)型病毒等3 種。其中源碼型病毒主要攻擊高級語言編寫的源程序, 它會將自己插入到系統(tǒng)的源程序中, 并隨源程序一起編譯、連接成可執(zhí)行文件, 從而導(dǎo)致剛剛生成的可執(zhí)行文件直接帶毒;入侵型病毒用自身代替正常程序中的部分模塊或堆棧區(qū)的病毒, 它只攻擊某些特定程序, 針對性強(qiáng);操作系統(tǒng)型病毒是用其自身部分加入或替代操作系統(tǒng)的部分功能, 危害性較大。

病毒按程序運(yùn)行平臺分類可分為DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它們分別是發(fā)作于DOS,Windows9X,WindowsNT, OS/2等操作系統(tǒng)平臺上的病毒。而計算機(jī)病毒的主要危害：不同的計算機(jī)病毒有不同的破壞行為, 其中有代表性的行為如下: 一是攻擊系統(tǒng)數(shù)據(jù)區(qū), 包括硬盤的主引導(dǎo)扇區(qū)、Boot 扇區(qū)、FAT 表、文件目錄。一般來說, 攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒, 受損的數(shù)據(jù)不易恢復(fù)。二是攻擊文件, 包括刪除、改名、替換文件內(nèi)容、刪除部分程序代碼、內(nèi)容顛倒、變碎片等等。三是攻擊內(nèi)存。

1.3防火墻概述

隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。就目前而言，對于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中包過濾作為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。[4]防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

2.防火墻的原理及分類

顧名思義，包過濾防火墻[9]就是把接收到的每個數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)則相比較，從而決定是否阻塞或通過。過濾規(guī)則是基于網(wǎng)絡(luò)層IP包包頭信息的比較。包過濾防火墻工作在網(wǎng)絡(luò)層，IP包的包頭中包含源、目的IP地址，封裝協(xié)議類型(TCP，UDP，ICMP或IP Tunnel)，TCP/UDP端口號，ICMP消息類型，TCP包頭中的ACK等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包;如果沒有匹配規(guī)則，則按缺省情況處理。包過濾防火墻是速度最快的防火墻，這是因為它處于網(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實現(xiàn)，對用戶來說都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用80端口。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置允所有80端口的連接通過，這時，意識到這一漏洞的外部人員可以在沒有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過濾防火墻的維護(hù)比較困難，定義過濾規(guī)則也比較復(fù)雜，因為任何一條過濾規(guī)則的不完善都會給網(wǎng)絡(luò)黑客造成可乘之機(jī)。同時，包過濾防火墻一般無法提供完善的日志。

應(yīng)用級代理技術(shù)通過在OSI的最高層檢查每一個IP包，從而實現(xiàn)安全策略。代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實現(xiàn)防火墻功能。它的代理功能，就是在防火墻處終止客戶連接并初始化一個新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理機(jī)制提供額外的安全，這是因為它將內(nèi)部和外部網(wǎng)絡(luò)隔離開來，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)服務(wù)進(jìn)行全面的控制。但是，這將花費(fèi)更多的處理時間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪問WEB站點(diǎn)的HTTP，用于文件傳輸?shù)腇TP，用于E一MAIL的SMTP/POP3等等。如果某種應(yīng)用沒有安裝代理程序，那么該項服務(wù)就不被支持并且不能通過防火墻進(jìn)行轉(zhuǎn)發(fā);同時升級一種應(yīng)用時，相應(yīng)的代理程序也必須同時升級。

代理服務(wù)(Proxy Service)也稱鏈路級網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個終止代理服務(wù)器上的“鏈接”來實現(xiàn)，外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記，形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時 也常結(jié)合入過濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。

復(fù)合型防火墻：由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機(jī)成為Internet上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機(jī)和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時實現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護(hù)功能了。

3.1防火墻包過濾技術(shù)發(fā)展趨勢

(1)安全策略功能

一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。用戶身份驗證功能越強(qiáng)，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。

(2)多級過濾技術(shù)

所謂多級過濾技術(shù)，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾(網(wǎng)絡(luò)層)一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的不足。

這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

(3)功能擴(kuò)展

功能擴(kuò)展是指一種集成多種功能的設(shè)計趨勢，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個功能為主了，即其已經(jīng)逐漸向我們普遍稱之為IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。

3.1防火墻的體系結(jié)構(gòu)發(fā)展趨勢

隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運(yùn)行性能的要求。參考文獻(xiàn)

[1] 艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識與技術(shù).2004，(s):79一82.[2] 高峰.許南山.防火墻包過濾規(guī)則問題的研究[M].計算機(jī)應(yīng)用.2003，23(6):311一312.[3] 孟濤、楊磊.防火墻和安全審計[M].計算機(jī)安全.2004，(4):17一18.[4] 鄭林.防火墻原理入門[Z].E企業(yè).2000.[5] 魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.2004，20(l):57一62

[6] 李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學(xué)報.2002，2(l):59一61

[7] 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24一27

[8] 付歌，楊明福.一個快速的二維數(shù)據(jù)包分類算法.計算機(jī)工程.2004，30(6):76一78

[9] 付歌，楊明福，王興軍.基于空間分解的數(shù)據(jù)包分類技術(shù).計算機(jī)工程與應(yīng)用.2004(8):63一65

[10] 〕韓曉非，王學(xué)光，楊明福.位并行數(shù)據(jù)包分類算法研究.華東理工大學(xué)學(xué)報.2003，29(5):504一508

[11] 韓曉非，楊明福，王學(xué)光.基于元組空間的位并行包分類算法.計算機(jī)工程與應(yīng)用.2003，(29):188一192

[12] 馮東雷，張勇，白英彩.一種高性能包分類漸增式更新算法.計算機(jī)研究與發(fā)展.2003，40(3):387一392