第一篇：計(jì)算機(jī)畢業(yè)論文：軟交換技術(shù)

軟交換技術(shù)

摘要：軟交換技術(shù)的出現(xiàn)一方面造就了網(wǎng)絡(luò)的融合，另一方面軟交換采用了開(kāi)放式應(yīng)用程序接口（ApI），方便了第三方應(yīng)用的開(kāi)發(fā)和新業(yè)務(wù)的引進(jìn)。論文主要從軟交換提出的必然性、軟交換的概念和主要功能、基于軟交換的增強(qiáng)型業(yè)務(wù)框架以及其各層間的協(xié)議等方面對(duì)軟交換技術(shù)進(jìn)行了論述，并對(duì)軟交換技術(shù)在電力通信網(wǎng)中的應(yīng)用前景作了介紹。

關(guān)鍵詞：軟交換；網(wǎng)絡(luò)融合；可編程網(wǎng)絡(luò)；應(yīng)用程序接口；電力通信網(wǎng)

0引言

在傳統(tǒng)的基于TDM的pSTN網(wǎng)絡(luò)中，提供給用戶(hù)的各項(xiàng)功能都直接與交換機(jī)有關(guān)，業(yè)務(wù)和控制都是由交換機(jī)完成的。交換機(jī)的功能與其提供的業(yè)務(wù)都需要在每個(gè)接點(diǎn)完成，并且采用依靠交換機(jī)和信令來(lái)提供業(yè)務(wù)，所以必須在交換機(jī)的技術(shù)標(biāo)準(zhǔn)和信令標(biāo)準(zhǔn)中對(duì)開(kāi)放的每項(xiàng)業(yè)務(wù)進(jìn)行詳細(xì)規(guī)范。如要增加新業(yè)務(wù)，首先需要修訂標(biāo)準(zhǔn)，再對(duì)交換機(jī)進(jìn)行改造，每提供一項(xiàng)新業(yè)務(wù)都需要較長(zhǎng)的時(shí)期。

為滿(mǎn)足用戶(hù)對(duì)新業(yè)務(wù)的需求，網(wǎng)絡(luò)中出現(xiàn)了公共的業(yè)務(wù)平臺(tái)－－智能網(wǎng)（IN）。智能網(wǎng)的設(shè)計(jì)思想就是把呼叫連接和業(yè)務(wù)提供分開(kāi)。交換機(jī)完成呼叫連接，而智能網(wǎng)完成業(yè)務(wù)提供，這種方法大大提高了增強(qiáng)業(yè)務(wù)的能力，縮短了新業(yè)務(wù)提供的時(shí)間。而這種分離僅僅是第一步，隨著承載的多樣化，必須將呼叫控制和承載連接進(jìn)一步分離，這正是軟交換引入的目的。軟交換在未來(lái)網(wǎng)絡(luò)中的位置將被分成接入傳送層、媒體層、控制層和業(yè)務(wù)層，即把控制和業(yè)務(wù)的提供從媒體層中分離出來(lái)。各層的功能如下：

（1）接入和傳送層。將用戶(hù)連接到網(wǎng)絡(luò)，并將業(yè)務(wù)量集中后傳送到目的地址。

（2）媒體層。將要通過(guò)網(wǎng)絡(luò)傳送的業(yè)務(wù)轉(zhuǎn)換成正確的格式，例如將話(huà)音業(yè)務(wù)打包成ATM信元或Ip包。此外，媒體層還可將業(yè)務(wù)選路到目的地址。

（3）控制層。包含呼叫智能。該層決定用戶(hù)應(yīng)該接收那些業(yè)務(wù)，還控制其他的在較低層的網(wǎng)絡(luò)單元進(jìn)行業(yè)務(wù)流的處理。

（4）業(yè)務(wù)應(yīng)用層。在純呼叫建立之上提供附加的業(yè)務(wù)。

這種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與現(xiàn)有網(wǎng)絡(luò)相比具有如下優(yōu)點(diǎn)：

（1）可以使用基于包的承載傳送，例如Ip、ATM，克服了TDM網(wǎng)絡(luò)中容量不足的缺點(diǎn)；

（2）具有開(kāi)放式端點(diǎn)的拓?fù)浣Y(jié)構(gòu)，既能良好的傳送話(huà)音，也能支持?jǐn)?shù)據(jù)業(yè)務(wù)。

（3）將網(wǎng)絡(luò)的承載部分與控制部分相分離，允許二者分別演進(jìn)，有效地打破了單塊集成交換的結(jié)構(gòu)；

（4）在各單元之間使用開(kāi)放的接口，允許運(yùn)營(yíng)者為其網(wǎng)絡(luò)的每一部分購(gòu)買(mǎi)最理想的產(chǎn)品。

新的網(wǎng)絡(luò)結(jié)構(gòu)固然有其優(yōu)勢(shì)所在，但原有網(wǎng)絡(luò)近期不會(huì)消失，這就產(chǎn)生了新、舊網(wǎng)絡(luò)融合、互通的問(wèn)題。如何靈活、有效地使現(xiàn)有的pSTN網(wǎng)絡(luò)與分組網(wǎng)絡(luò)實(shí)現(xiàn)互通，將pSTN逐步地向Ip網(wǎng)絡(luò)演進(jìn)，其關(guān)鍵的網(wǎng)絡(luò)產(chǎn)品就是軟交換設(shè)備（Soft Switch）。

2軟交換技術(shù)

（1）軟交換的概念

軟交換又稱(chēng)為呼叫AGENT、呼叫服務(wù)器或媒體網(wǎng)關(guān)控制。其最基本的特點(diǎn)和最重要的貢獻(xiàn)就是把呼叫控制功能從媒體網(wǎng)關(guān)中分離出來(lái)，通過(guò)服務(wù)器或網(wǎng)元上的軟件實(shí)現(xiàn)基本呼叫控制功能，包括呼叫選路、管理控制、連接控制（建立會(huì)話(huà)、拆除會(huì)話(huà)）、信令互通（如從7號(hào)信令到Ip信令）等。這種分離為控制、交換和軟件可編程功能建立分離的平面，使業(yè)務(wù)提供者可以自由地將傳輸業(yè)務(wù)與控制協(xié)議結(jié)合起來(lái)，實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)移。這一分離同時(shí)意味著呼叫控制和媒體網(wǎng)關(guān)之間的開(kāi)放和標(biāo)準(zhǔn)化，為網(wǎng)絡(luò)走向開(kāi)放和可編程創(chuàng)造了條件和基礎(chǔ)。

（2）軟交換的主要功能

軟交換作為新、舊網(wǎng)絡(luò)融合和關(guān)鍵設(shè)備，必須具有以下功能：

1）媒體網(wǎng)關(guān)接入功能

該功能可以認(rèn)為是一種適配功能。它可以連接各種媒體網(wǎng)關(guān)，如pSTN/ISDN的Ip中繼媒體網(wǎng)關(guān)、ATM媒體網(wǎng)關(guān)、用戶(hù)媒體網(wǎng)關(guān)、無(wú)線(xiàn)媒體網(wǎng)關(guān)、數(shù)據(jù)媒體網(wǎng)關(guān)等，完成H.248協(xié)議功能。同時(shí)還可以直接與H.323終端和SIp客戶(hù)端終端進(jìn)行連接，提供相應(yīng)業(yè)務(wù)。

2）呼叫控制功能

呼叫控制功能是軟交換的重要功能之一。它完成基本呼叫的建立、維持和釋放，所提供的控制功能包括呼叫處理、連接控制、智能呼叫觸發(fā)檢出和資源控制等。

3）業(yè)務(wù)提供功能

由于軟交換在網(wǎng)絡(luò)從電路交換向分組交換演進(jìn)的過(guò)程中起著十分重要的作用，因此軟交換應(yīng)能夠支持pSTN/ISDN交換機(jī)提供的全部業(yè)務(wù)，包括基本業(yè)務(wù)和補(bǔ)充業(yè)務(wù)；同時(shí)還應(yīng)該可以與現(xiàn)有智能網(wǎng)配合，提供現(xiàn)有智能網(wǎng)提供的業(yè)務(wù)。

4）互聯(lián)互通功能

目前，存在兩種比較流行的Ip電話(huà)體系結(jié)構(gòu)，一種是ITU-T制定的H.323協(xié)議，另一種是IETF制定的SIp協(xié)議標(biāo)準(zhǔn)，兩者是并列的、不可兼容的體系結(jié)構(gòu)，均可以完成呼叫建立、釋放、補(bǔ)充業(yè)務(wù)、能力交換等功能。軟交換可以支持多種協(xié)議，當(dāng)然也可以同時(shí)支持這兩種協(xié)議。

（3）引入軟交換的意義

軟交換將是下一代話(huà)音網(wǎng)絡(luò)交換的核心。如果說(shuō)傳統(tǒng)的電信網(wǎng)是基于程控交換機(jī)的網(wǎng)絡(luò)，那么下一代分組話(huà)音網(wǎng)則是基于軟交換的網(wǎng)絡(luò)。軟交換是新、舊網(wǎng)絡(luò)融合的樞紐。這主要表現(xiàn)在以下幾個(gè)方面：

1）從經(jīng)濟(jì)角度考慮，與電路交換機(jī)相比，軟交換成本低。軟交換由于采用了開(kāi)放式平臺(tái)，易于接收革新應(yīng)用，且軟交換利用的是普遍計(jì)算機(jī)器件，其性?xún)r(jià)比每年提高80％，遠(yuǎn)高于電路交換（每年提高20%），可見(jiàn)軟交換在經(jīng)濟(jì)方面有很大優(yōu)勢(shì)。

2）從用戶(hù)角度考慮，在傳統(tǒng)的交換網(wǎng)絡(luò)中，一個(gè)設(shè)備廠(chǎng)商往往供應(yīng)軟件、硬件和應(yīng)用等所有的東西，用戶(hù)被鎖定在供應(yīng)商那里，沒(méi)有選擇的空間，實(shí)現(xiàn)和維護(hù)的費(fèi)用也很高?；谲浗粨Q的新型網(wǎng)絡(luò)徹底打破了這種局面，因?yàn)閺S(chǎng)商的產(chǎn)品都是基于開(kāi)放標(biāo)準(zhǔn)的，所以用戶(hù)可以向多個(gè)廠(chǎng)商購(gòu)買(mǎi)各種層次的產(chǎn)品，可以在每一類(lèi)產(chǎn)品中選擇性?xún)r(jià)比最好的來(lái)構(gòu)建自己的網(wǎng)絡(luò)。

3）軟交換可以提高網(wǎng)絡(luò)的可靠性。軟交換將以前的電路交換的核心功能進(jìn)行了分類(lèi)，將功能以功能軟件的形式分配到分組網(wǎng)絡(luò)的骨干網(wǎng)中。這種分門(mén)別類(lèi)的分布式結(jié)構(gòu)是可編程的，并對(duì)服務(wù)供應(yīng)商和第三方特性開(kāi)發(fā)商是開(kāi)放的。由于所有的功能都以標(biāo)準(zhǔn)的計(jì)算機(jī)平臺(tái)為基礎(chǔ)，可以很容易地實(shí)現(xiàn)網(wǎng)絡(luò)的可伸縮性和可靠性。

3基于軟交換的增強(qiáng)的業(yè)務(wù)框架及其接口協(xié)議

（1）基于軟交換的增值業(yè)務(wù)框架結(jié)構(gòu)

軟交換的引入形成了增強(qiáng)的業(yè)務(wù)框架，其中應(yīng)用服務(wù)器完成增值業(yè)務(wù)的執(zhí)行和管理，提供增值業(yè)務(wù)的開(kāi)發(fā)平臺(tái)，并處理與軟交換間的接口信令；媒體服務(wù)器（Media Server）提供特殊業(yè)務(wù)（如IVR、會(huì)議和傳真）的資源平臺(tái)，處理與媒體網(wǎng)關(guān)間的承載接口。

（2）軟交換體系結(jié)構(gòu)的接口和采用的通信協(xié)議

軟交換作為一個(gè)開(kāi)放的實(shí)體，與外部的接

1）媒體網(wǎng)關(guān)和軟交換間的接口。用于傳遞軟交換和媒體網(wǎng)關(guān)間的信令信息。此接口可使用信令控制傳輸協(xié)議（SCTp）或其他類(lèi)似的協(xié)議。

2）軟交換間的接口。實(shí)現(xiàn)不同軟交換間的交互。此接口可以使用會(huì)話(huà)發(fā)起協(xié)議SIp-T或BICC（承載無(wú)關(guān)的呼叫控制）協(xié)議。

3）軟交換與應(yīng)用/業(yè)務(wù)之間的接口協(xié)議。提供訪(fǎng)問(wèn)各種數(shù)據(jù)庫(kù)、三方應(yīng)用平臺(tái)、各種功能服務(wù)器等的接口，實(shí)現(xiàn)對(duì)增值業(yè)務(wù)、管理業(yè)務(wù)和三方應(yīng)用的支持。

如：

1、軟交換與應(yīng)用服務(wù)器間的接口，可以使用SIp協(xié)議或ApI（如parlay），提供對(duì)三方應(yīng)用和各種增值業(yè)務(wù)的支持功能；

2、軟交換與策略服務(wù)器間的接口，可使用COpS協(xié)議，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的工作進(jìn)行動(dòng)態(tài)干預(yù)；

3、軟交換與網(wǎng)管中心間的接口，可使用SNMp協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)管理；

4、軟交換與智能網(wǎng)SCp間的接口，可使用INAp協(xié)議，實(shí)現(xiàn)對(duì)現(xiàn)有智能網(wǎng)業(yè)務(wù)的支持。

4軟交換技術(shù)在電力系統(tǒng)中的應(yīng)用

電力通信網(wǎng)是世界上目前分布最廣的網(wǎng)絡(luò)之一，有光纖、微波、載波等多種傳輸介質(zhì)。這就形成了光纖網(wǎng)、微波網(wǎng)等多種網(wǎng)絡(luò)形式，各種網(wǎng)絡(luò)都有自己的交換設(shè)備、復(fù)接設(shè)備等，這些網(wǎng)絡(luò)間的互聯(lián)互通存在較大的困難。如果信息需要在不同介質(zhì)的網(wǎng)絡(luò)間傳輸，將需要更多的轉(zhuǎn)換環(huán)節(jié)。這不但造成了資源的浪費(fèi)，而且對(duì)整個(gè)電力通信網(wǎng)的管理也帶來(lái)了很大的不便。軟交換技術(shù)的引入，將可以解決以下幾個(gè)方面的問(wèn)題：

（1）電力通信網(wǎng)中網(wǎng)絡(luò)互通

電力通信網(wǎng)中的電話(huà)網(wǎng)是一種交換網(wǎng)絡(luò)，而且擁有電力系統(tǒng)獨(dú)有的載波電話(huà)網(wǎng)絡(luò)；同時(shí)電力通信網(wǎng)中也存在計(jì)算機(jī)網(wǎng)絡(luò)，它們是以Ip協(xié)議為基礎(chǔ)的分組網(wǎng)絡(luò)。軟交換可以提供支持多種信令協(xié)議的接口，可以很好的實(shí)現(xiàn)電話(huà)網(wǎng)和計(jì)算機(jī)網(wǎng)之間的信令互通及不同網(wǎng)關(guān)的互操作問(wèn)題。這就是使得計(jì)算機(jī)網(wǎng)可以更方便地對(duì)電話(huà)網(wǎng)進(jìn)行管理和支持，電話(huà)網(wǎng)也可以和計(jì)算機(jī)網(wǎng)絡(luò)配合，更好地提供服務(wù)。

（2）目前，電力通信網(wǎng)中傳輸?shù)男畔⒅饕钦Z(yǔ)音和數(shù)據(jù)，但隨著網(wǎng)絡(luò)的演進(jìn)和計(jì)算機(jī)技術(shù)的不斷發(fā)展，對(duì)視頻業(yè)務(wù)和多媒體業(yè)務(wù)也提出了新的要求。軟交換技術(shù)不但能很好地支持語(yǔ)音業(yè)務(wù)，利用新的網(wǎng)絡(luò)設(shè)施可以提供各種增值業(yè)務(wù)和補(bǔ)充業(yè)務(wù)，而且軟交換提供了開(kāi)放式的應(yīng)用程序接口（ApI），非常便于提供新業(yè)務(wù)。這對(duì)目前比較流行的電力系統(tǒng)呼叫中心（也稱(chēng)客戶(hù)服務(wù)中心）來(lái)說(shuō)，引入軟交換技術(shù)無(wú)疑是一種明智的選擇，基于軟交換的呼叫中心可以用更低的成本、更短的周期為用戶(hù)提供更好的服務(wù)，更好地樹(shù)立電力系統(tǒng)的形象。

（3）統(tǒng)一不同介質(zhì)的網(wǎng)絡(luò)

電力通信網(wǎng)中存在多種傳輸介質(zhì)，且各自較獨(dú)立，都各有自己的一套設(shè)備，若引進(jìn)了軟交換技術(shù)，在一臺(tái)交換服務(wù)器上可對(duì)多種介質(zhì)的信息進(jìn)行交換。這不但在經(jīng)濟(jì)方面避免了設(shè)備的浪費(fèi)，而且提高了網(wǎng)絡(luò)的可靠性，各種介質(zhì)的網(wǎng)絡(luò)達(dá)到了一定的融合互通，在不同介質(zhì)的網(wǎng)絡(luò)中傳遞信息時(shí)也省掉了復(fù)雜的轉(zhuǎn)換環(huán)節(jié)。在管理上也更方便，只需對(duì)一個(gè)設(shè)備進(jìn)行維護(hù)就可實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的信息交換。

（4）其他方面的功能

軟交換具有操作維護(hù)功能（主要包括業(yè)務(wù)統(tǒng)計(jì)和告警等）。對(duì)業(yè)務(wù)繁雜的電力系統(tǒng)來(lái)說(shuō)，引入軟交換可以對(duì)各種業(yè)務(wù)進(jìn)行統(tǒng)一的統(tǒng)計(jì)。若出現(xiàn)故障還可以及時(shí)地發(fā)出告警信號(hào)。另外，軟交換還可以采集詳細(xì)的清單，實(shí)現(xiàn)對(duì)用電量和電話(huà)費(fèi)等的計(jì)費(fèi)。

軟交換技術(shù)是一種新的技術(shù)，其應(yīng)用將不僅限于以上幾個(gè)方面。在電力通信網(wǎng)中引入軟交換將會(huì)產(chǎn)生很多方面的效果。

5結(jié)束語(yǔ)

目前，軟交換的研究是通信技術(shù)的研究熱點(diǎn)之一。國(guó)內(nèi)、外很多的科研、生產(chǎn)機(jī)構(gòu)都在從事這方面的研究，國(guó)際上著名的設(shè)備商都提供了各自的解決方案。從事軟交換的國(guó)際組織ISC（軟交換國(guó)際論壇）正在加緊對(duì)軟交換的系統(tǒng)結(jié)構(gòu)、主要功能、通信接口協(xié)議及其性能要求等作出具體的規(guī)范。軟交換技術(shù)已被列為國(guó)家863的重點(diǎn)研究項(xiàng)目之一，2000年11月底以前完成能夠提供多媒體業(yè)務(wù)和應(yīng)用于無(wú)線(xiàn)系統(tǒng)的軟交換體系的總體技術(shù)和技術(shù)方案的研究，也包括配套網(wǎng)關(guān)和業(yè)務(wù)的支撐環(huán)境。

軟交換將是下一代網(wǎng)絡(luò)的關(guān)鍵性技術(shù)，可以對(duì)pSTN向分組網(wǎng)絡(luò)的過(guò)渡提供無(wú)縫連接。在電力通信網(wǎng)、電話(huà)網(wǎng)等多種專(zhuān)業(yè)網(wǎng)都很有應(yīng)用前途，將為網(wǎng)絡(luò)的演進(jìn)作出巨大貢獻(xiàn)。軟交換的出現(xiàn)，在網(wǎng)絡(luò)開(kāi)放性和可編程方面邁出了第一步，代表了網(wǎng)絡(luò)發(fā)展的方向。但軟交換只是網(wǎng)絡(luò)革命的前奏，還有很多的問(wèn)題需要進(jìn)一步探討。

第二篇：計(jì)算機(jī)防火墻技術(shù)畢業(yè)論文

本文由yin528855貢獻(xiàn)

doc文檔可能在WAP端瀏覽體驗(yàn)不佳。建議您優(yōu)先選擇TXT，或下載源文件到本機(jī)查看。

計(jì)算機(jī)防火墻技術(shù)論文

畢 業(yè) 論 文

計(jì)算機(jī)防火墻技術(shù)

姓 學(xué)

名： 號(hào)：

指導(dǎo)老師： 系 專(zhuān) 班 名： 業(yè)： 級(jí)：

二零一零年十一月十五日 1 計(jì)算機(jī)防火墻技術(shù)論文

摘要

因特網(wǎng)的迅猛發(fā)展給人們的生活帶來(lái)了極大的方便，但同時(shí)因特網(wǎng)也面臨 著空前的威脅。因此，如何使用有效可行的方法使網(wǎng)絡(luò)危險(xiǎn)降到人們可接受的范 圍之內(nèi)越來(lái)越受到人們的關(guān)注。而如何實(shí)施防范策略，首先取決于當(dāng)前系統(tǒng)的安 全性。所以對(duì)網(wǎng)絡(luò)安全的各獨(dú)立元素——防火墻、漏洞掃描、入侵檢測(cè)和反病毒 等進(jìn)行風(fēng)險(xiǎn)評(píng)估是很有必要的。防火墻技術(shù)作為時(shí)下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用 戶(hù)的切身利益。針對(duì)網(wǎng)絡(luò)安全獨(dú)立元素——防火墻技術(shù)，通過(guò)對(duì)防火墻日志文件 的分析，設(shè)計(jì)相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全 等級(jí)，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪(fǎng)問(wèn)，冒充合法用戶(hù)，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線(xiàn)路竊聽(tīng)等方面。這以要求我們與 Internet 互連所帶來(lái)的安全性問(wèn)題予以足夠重視。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展 使網(wǎng)絡(luò)安全問(wèn)題日益突出,而防火墻是應(yīng)用最廣泛的安全產(chǎn)品。本文闡述了網(wǎng)絡(luò) 防火墻的工作原理并對(duì)傳統(tǒng)防火墻的利弊進(jìn)行了對(duì)比分析,最后結(jié)合計(jì)算機(jī)科學(xué) 其它領(lǐng)域的相關(guān)新技術(shù),提出了新的防火墻技術(shù),并展望了其發(fā)展前景。

關(guān)鍵詞： 關(guān)鍵詞 ：包過(guò)濾 智能防火墻

應(yīng)用層網(wǎng)關(guān)

分布式防火墻

監(jiān)測(cè)型防火墻 嵌入式防火墻

網(wǎng)絡(luò)安全，防火墻，防范策略，發(fā)展趨勢(shì) 2 計(jì)算機(jī)防火墻技術(shù)論文

摘要?? 1 第一章 引言 ?? 4 1.1 研究背景?? 4 1.2 研究目的?? 4 1.3 論文結(jié)構(gòu)?? 5 第二章 網(wǎng)絡(luò)安全 ?? 6 2.1 網(wǎng)絡(luò)安全問(wèn)題?? 6 2.1.1 網(wǎng)絡(luò)安全面臨的主要威脅 ?? 6 2.1.2 影響網(wǎng)絡(luò)安全的因素 ?? 6 2.2 網(wǎng)絡(luò)安全措施?? 7 2.2.1 完善計(jì)算機(jī)安全立法 ?? 7 2.2.2 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) ?? 7 2.3 制定合理的網(wǎng)絡(luò)管理措施?? 8 第三章 防火墻概述 ?? 9 3.1 防火墻的概念?? 9 3.1.1 傳統(tǒng)防火墻介紹 ?? 9 3.1.2 智能防火墻簡(jiǎn)介 ?? 10 3.2 防火墻的功能?? 11 3.2.1 防火墻的主要功能 ?? 11 3.2.2 入侵檢測(cè)功能 ?? 11 3.2.3 虛擬專(zhuān)網(wǎng)功能 ?? 12 3.2.4 其他功能 ?? 12 3.3 防火墻的原理及分類(lèi)?? 13 3.3.1 包過(guò)濾防火墻 ?? 13 3.3.2 應(yīng)用級(jí)代理防火墻 ?? 13 3.3.3 代理服務(wù)型防火墻 ?? 14 3.3.4 復(fù)合型防火墻 ?? 14 3.4 防火墻包過(guò)濾技術(shù)?? 14 3.4.1 數(shù)據(jù)表結(jié)構(gòu) ?? 15 3.4.2 傳統(tǒng)包過(guò)濾技術(shù) ?? 16 3.4.3 動(dòng)態(tài)包過(guò)濾 ?? 17 3.4.4 深度包檢測(cè) ?? 17 3.4.5 流過(guò)濾技術(shù) ?? 18 第四章 防火墻的配置 ?? 20 4.1 硬件連接與實(shí)施?? 20 4.2 防火墻的特色配置?? 20 4.3 軟件的配置與實(shí)施?? 21 第五章 防火墻發(fā)展趨勢(shì) ?? 23 5.1 防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì)?? 23 5.2 防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)?? 24 5.3 防火墻的系統(tǒng)管理發(fā)展趨勢(shì)?? 24 結(jié)論?? 25 參考文獻(xiàn)?? 26 致謝?? 27 3 計(jì)算機(jī)防火墻技術(shù)論文

第一章

1.1 研究背景

引言

隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是 Internet 的廣泛使用，使計(jì)算機(jī)應(yīng)用更 加廣泛與深入。同時(shí)，我們不得不注意到，網(wǎng)絡(luò)雖然功能強(qiáng)大，也有其脆弱易受 到攻擊的一面。據(jù)美國(guó) FBI 統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失高 達(dá) 75 億美元，而全求平均每 20 秒鐘就發(fā)生一起 Internet 計(jì)算機(jī)侵入事件[1]。在我國(guó)，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。人們?cè)?利用網(wǎng)絡(luò)的優(yōu)越性的同時(shí)，對(duì)網(wǎng)絡(luò)安全問(wèn)題也決不能忽視。如何建立比較安全的 網(wǎng)絡(luò)體系，值得我們關(guān)注研究。

1.2 研究目的

為了解決互聯(lián)網(wǎng)時(shí)代個(gè)人網(wǎng)絡(luò)安全的問(wèn)題，近年來(lái)新興了防火墻技術(shù)[2]。防火墻具有很強(qiáng)的實(shí)用性和針對(duì)性，它為個(gè)人上網(wǎng)用戶(hù)提供了完整的網(wǎng)絡(luò)安全解 決方案，可以有效地控制個(gè)人電腦用戶(hù)信息在互聯(lián)網(wǎng)上的收發(fā)。用戶(hù)可以根據(jù)自 己的需要，通過(guò)設(shè)定一些參數(shù)，從而達(dá)到控制本機(jī)與互聯(lián)網(wǎng)之間的信息交流阻止 惡性信息對(duì)本機(jī)的攻擊，比如 ICMPnood 攻擊、聊天室炸彈、木馬信息破譯并修 改郵件密碼等等。而且防火墻能夠?qū)崟r(shí)記錄其它系統(tǒng)試圖對(duì)本機(jī)系統(tǒng)的訪(fǎng)問(wèn)，使 計(jì)算機(jī)在連接到互聯(lián)網(wǎng)的時(shí)候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。防火墻 可以保護(hù)人們?cè)诰W(wǎng)上瀏覽時(shí)免受黑客的攻擊，實(shí)時(shí)防范網(wǎng)絡(luò)黑客的侵襲，還可以 根據(jù)自己的需要?jiǎng)?chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。防火可以有效地阻截各種惡意攻擊、保護(hù)信息的安全;信息泄 漏攔截保證安全地瀏覽網(wǎng)頁(yè)、遏制郵件病毒的蔓延;郵件內(nèi)容檢測(cè)可以實(shí)時(shí)監(jiān)視 郵件系統(tǒng)，阻擋一切針對(duì)硬盤(pán)的惡意活動(dòng)。個(gè)人防火墻就是在單機(jī) Windows 系統(tǒng)上，采取一些安全防護(hù)措施，使得本機(jī) 的息得到一定的保護(hù)。個(gè)人防火墻是面向單機(jī)操作系統(tǒng)的一種小型安全防護(hù)軟 件，按一定的規(guī)則對(duì) TCP，UDP，ICMP 和 IGMP 等報(bào)文進(jìn)行過(guò)濾，對(duì)網(wǎng)絡(luò)的信息流 和系統(tǒng)進(jìn)程進(jìn)行監(jiān)控，防止一些惡意的攻擊。目前市場(chǎng)上大多數(shù)的防火墻產(chǎn)品僅 僅是網(wǎng)關(guān)的，雖然它們的功能相當(dāng)強(qiáng)大，但由于它們基于下述的假設(shè):內(nèi)部網(wǎng)是 安全可靠的，所有的威脅都來(lái)自網(wǎng)外。因此，他們防外不防內(nèi)，難以實(shí)現(xiàn)對(duì)企業(yè) 內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個(gè)撥號(hào)上網(wǎng)用戶(hù)所在主 機(jī)的安全問(wèn)題，而多數(shù)個(gè)人上網(wǎng)之時(shí)，并沒(méi)有置身于得到防護(hù)的安全網(wǎng)絡(luò)內(nèi)部。個(gè)人上網(wǎng)用戶(hù)多使用 Windows 操作系統(tǒng)，而 Windows 操作系統(tǒng)，特別是

計(jì)算機(jī)防火墻技術(shù)論文

WindowsXP 系統(tǒng)，本身的安全性就不高。各種 Windows 漏洞不斷被公布，對(duì)主機(jī) 的攻擊也越來(lái)越多。一般都是利用操作系統(tǒng)設(shè)計(jì)的安全漏洞和通信協(xié)議的安全漏 洞來(lái)實(shí)現(xiàn)攻擊。如假冒 IP 包對(duì)通信雙方進(jìn)行欺騙:對(duì)主機(jī)大量發(fā)送正數(shù)據(jù)包[3] 進(jìn)行轟炸攻擊，使之際崩潰;以及藍(lán)屏攻擊等。因此，為了保護(hù)主機(jī)的安全通信，研制有效的個(gè)人防火墻技術(shù)很有必要。所謂的防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共 網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合[ 1 ]。它可通過(guò)監(jiān)測(cè)、限制、更改跨 越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況, 以 此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一 個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和 Internet 之間的任何活動(dòng), 保證了內(nèi)部網(wǎng)絡(luò) 的安全。一個(gè)高效可靠的防火墻必須具有以下典型的特性: 1 從里到外和從外到里的所有通信都必須通過(guò)防火墻； 2 只有本地安全策略授權(quán)的通信才允許通過(guò)； 3 防火墻本身是免疫的,不會(huì)被穿透的。防火墻的基本功能有:過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為；封 堵某些禁止的業(yè)務(wù)； 記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè) 和報(bào)警

1.3 論文結(jié)構(gòu)

在論文中接下來(lái)的幾章里，將會(huì)有下列安排: 第二章，分析研究網(wǎng)絡(luò)安全問(wèn)題，網(wǎng)絡(luò)安全面臨的主要威脅，影響網(wǎng)絡(luò)安 全的因素，及保護(hù)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。第三章，介紹防火墻的相關(guān)技術(shù)，如防火墻的原理、功能、包過(guò)濾技術(shù)等。第四章，以 H3CH3C 的 F100 防火墻為例，介紹防火墻配置方法。第五章，系統(tǒng)闡述防火墻發(fā)展趨勢(shì)。5 計(jì)算機(jī)防火墻技術(shù)論文

第二章 網(wǎng)絡(luò)安全 2.1 網(wǎng)絡(luò)安全問(wèn)題

安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。我國(guó)對(duì)于 計(jì)算機(jī)安全的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的 或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行?！?從技術(shù)講，計(jì)算機(jī)安全分為 3 種： 1）實(shí)體的安全。它保證硬件和軟件本身的安全。2）運(yùn)行環(huán)境的安全性。它保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作。3）信息的安全性。它保障信息不會(huì)被非法閱讀、修改和泄漏。隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)的安全問(wèn)題也延伸到了計(jì)算機(jī)網(wǎng)絡(luò)。2.1.1 網(wǎng)絡(luò)安全面臨的主要威脅 一般認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來(lái)自計(jì)算機(jī)病毒、黑客的攻擊和 拒絕服務(wù)攻擊三個(gè)方面。1）計(jì)算機(jī)病毒的侵襲。當(dāng)前，活性病毒達(dá) 14000 多種，計(jì)算機(jī)病毒侵入 網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。2）黑客侵襲。即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過(guò)隱蔽通 道進(jìn)行非法活動(dòng)；采用匿名用戶(hù)訪(fǎng)問(wèn)進(jìn)行攻擊；通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)獲取網(wǎng)上用戶(hù)賬號(hào) 和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。3）拒絕服務(wù)攻擊。例如“點(diǎn)在郵件炸彈”，它的表現(xiàn)形式是用戶(hù)在很短 的時(shí)間內(nèi)收到大量無(wú)用的電子郵件，從而影響正常業(yè)務(wù)的運(yùn)行。嚴(yán)重時(shí)會(huì)使系統(tǒng) 關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪(fǎng) 問(wèn)、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶(hù)??等。2.1.2 影響網(wǎng)絡(luò)安全的因素 1）單機(jī)安全 購(gòu)買(mǎi)單機(jī)時(shí)，型號(hào)的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境（電壓、濕度、防塵條件、強(qiáng)電磁場(chǎng)以及自然災(zāi)害等）；計(jì)算機(jī)的操作??等等，這些都是影響單機(jī)安全性 的因素。2）網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點(diǎn)的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。6 計(jì)算機(jī)防火墻技術(shù)論文 2.2 網(wǎng)絡(luò)安全措施

網(wǎng)絡(luò)信息安全涉及方方面面的問(wèn)題，是一個(gè)復(fù)雜的系統(tǒng)。一個(gè)完整的網(wǎng)絡(luò)

信息安全體系至少應(yīng)包括三類(lèi)措施：一是法律政策、規(guī)章制度以及安全教育等外 部軟環(huán)境。二是技術(shù)方面，如信息加密存儲(chǔ)傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò) 防毒等。三是管理措施，包括技術(shù)與社會(huì)措施。主要措施有：提供實(shí)時(shí)改變安全 策略的能力、實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等，以防 患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計(jì)是安全的防線(xiàn)。2.2.1 完善計(jì)算機(jī)安全立法 我國(guó)先后出臺(tái)的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前，在這方面的立 法還遠(yuǎn)不能適應(yīng)形勢(shì)發(fā)展的需要,應(yīng)該在對(duì)控制計(jì)算機(jī)犯罪的國(guó)內(nèi)外立法評(píng)價(jià)的 基礎(chǔ)上，完善我國(guó)計(jì)算機(jī)犯罪立法，以便為確保我國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)健康有序的 發(fā)展提供強(qiáng)有力的保障。2.2.2 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)(1)數(shù)據(jù)加密 加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的 加密類(lèi)型：私匙加密和公匙加密。(2)認(rèn)證 對(duì)合法用戶(hù)進(jìn)行認(rèn)證可以防止非法用戶(hù)獲得對(duì)公司信息系統(tǒng)的訪(fǎng)問(wèn)，使用 認(rèn)證機(jī)制還可以防止合法用戶(hù)訪(fǎng)問(wèn)他們無(wú)權(quán)查看的信息。(3)防火墻技術(shù) 防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防 止外部網(wǎng)絡(luò)用戶(hù)未經(jīng)授權(quán)的訪(fǎng)問(wèn)。目前，防火墻采取的技術(shù)，主要是包過(guò)濾、應(yīng) 用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足： 防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件； 防火墻不易防止反彈端口木 馬攻擊等。(4)檢測(cè)系統(tǒng) 入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動(dòng)的安全防護(hù)技 術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之 前攔截相應(yīng)入侵。隨著時(shí)代的發(fā)展，入侵檢測(cè)技術(shù)將朝著三個(gè)方向發(fā)展:分布式入侵檢測(cè)、智 能化入侵檢測(cè)和全面的安全防御方案。7 計(jì)算機(jī)防火墻技術(shù)論文

(5)防病毒技術(shù) 隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜和高級(jí)，計(jì)算機(jī)病毒 防范不僅僅是一個(gè)產(chǎn)品、一個(gè)策略或一個(gè)制度，它是一個(gè)匯集了硬件、軟件、網(wǎng) 絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。(6)文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個(gè)關(guān)鍵性的概念，因?yàn)樵L(fǎng)問(wèn)控制實(shí)現(xiàn)在兩個(gè) 方面：本地和遠(yuǎn)程。建立文件權(quán)限的時(shí)候，必須在 Windows 2000 中首先實(shí)行新 技術(shù)文件系統(tǒng)（New Technology File System，NTFS）。一旦實(shí)現(xiàn)了 NTFS，你 可以使用 Windows 資源管理器在文件和文件夾上設(shè)置用戶(hù)級(jí)別的權(quán)限。你需要了 解可以分配什么樣的權(quán)限，還有日?；顒?dòng)期間一些規(guī)則是處理權(quán)限的。Windows 2000 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪(fǎng)問(wèn)控制。2.3 制定合理的網(wǎng)絡(luò)管理措施

（1）加強(qiáng)網(wǎng)絡(luò)用戶(hù)及有關(guān)人員的安全意識(shí)、職業(yè)道德和事業(yè)心、責(zé)任心的

培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。（2）建立完善的安全管理體制和制度，以起到對(duì)管理人員和操作人員鼓勵(lì) 和監(jiān)督的作用。（3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。8 計(jì)算機(jī)防火墻技術(shù)論文

第三章

防火墻概述

隨著 Internet 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類(lèi) 重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng) 絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪(fǎng)問(wèn)，阻止病毒的傳播 感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種 有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類(lèi)。其中包過(guò)濾作為最早 發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。3.1 防火墻的概念

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可 預(yù)測(cè)的、潛在破壞性的侵入。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部 網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或 網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服 務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實(shí)現(xiàn)網(wǎng)絡(luò)和 信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè) 分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的 安全。3.1.1 傳統(tǒng)防火墻介紹 目前的防火墻技術(shù)無(wú)論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個(gè)發(fā) 展歷程。圖 1 表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。

圖1 第一代防火墻 第 一 代 防 火 墻 技 術(shù) 幾 乎 與 路 由 器 同 時(shí) 出 現(xiàn)，采 用 了 包 過(guò) 濾（Packet filter）技術(shù)。二代、第三代防火墻 第二代、第三代防火墻 1989 年，貝爾實(shí)驗(yàn)室的 Dave Presotto 和 Howard Trickey 推 9 計(jì)算機(jī)防火墻技術(shù)論文

出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻—— 應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。

第四代防火墻 1992 年，USC 信息科學(xué)院的 BobBraden 開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾（Dynamic packet filter）技 術(shù) 的 第 四 代 防 火 墻，后 來(lái) 演 變 為 目 前 所 說(shuō) 的 狀 態(tài) 監(jiān) 視（Stateful inspection）技術(shù)。1994 年，以色列的 CheckPoint 公司開(kāi)發(fā)出了 第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻 1998 年，NAI 公司推出了一種自適應(yīng)代理（Adaptive proxy）技術(shù)，并在 其產(chǎn)品 Gauntlet Firewall for NT 中得以實(shí)現(xiàn)，給代理類(lèi)型的防火墻賦予了全 新的意義，可以稱(chēng)之為第五代防火墻。[5] [5] 但傳統(tǒng)的防火墻并沒(méi)有解決目前網(wǎng)絡(luò)中主要的安全問(wèn)題。目前網(wǎng)絡(luò)安全的 三大主要問(wèn)題是:以拒絕訪(fǎng)問(wèn)(DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(chóng)(Worm)為主 要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。這三大安全問(wèn)題 占據(jù)網(wǎng)絡(luò)安全問(wèn)題九成以上。而這三大問(wèn)題，傳統(tǒng)防火墻都無(wú)能為力。主要有以 下三個(gè)原因: 一是傳統(tǒng)防火墻的計(jì)算能力的限制。傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代 價(jià)，檢查的強(qiáng)度越高，計(jì)算的代價(jià)越大。二是傳統(tǒng)防火墻的訪(fǎng)問(wèn)控制機(jī)制是一個(gè) 簡(jiǎn)單的過(guò)濾機(jī)制。它是一個(gè)簡(jiǎn)單的條件過(guò)濾器，不具有智能功能，無(wú)法檢測(cè)復(fù)雜 的攻擊。三是傳統(tǒng)的防火墻無(wú)法區(qū)分識(shí)別善意和惡意的行為。該特征決定了傳統(tǒng) 的防火墻無(wú)法解決惡意的攻擊行為?，F(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解 決上面的問(wèn)題。3.1.2 智能防火墻簡(jiǎn)介 智能防火墻[6]是相對(duì)傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利 用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪(fǎng)問(wèn)控制的目 的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特 征值，直接進(jìn)行訪(fǎng)問(wèn)控制。由于這些方法多是人工智能學(xué)科采用的方法，因此，又稱(chēng)為智能防火墻。10 計(jì)算機(jī)防火墻技術(shù)論文 3.2 防火墻的功能

3.2.1 防火墻的主要功能 1．包過(guò)濾。包過(guò)濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護(hù)機(jī)制，它可用來(lái)控制流出和流入網(wǎng)絡(luò)的數(shù) 據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端 口、目的地址、目的端口、協(xié)議和時(shí)間;可根據(jù)地址簿進(jìn)行設(shè)置規(guī)則。2．地址轉(zhuǎn)換。網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT)。SNAT 用于對(duì)內(nèi)部網(wǎng) 絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來(lái)自外部其他網(wǎng) 絡(luò)的非授權(quán)訪(fǎng)問(wèn)或惡意攻擊。并將有限的 IP 地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部 IP 地址對(duì) 應(yīng)起來(lái)，用來(lái)緩解地址空間的短缺問(wèn)題，節(jié)省資源，降低成本。DNAT 主要用于 外網(wǎng)主機(jī)訪(fǎng)問(wèn)內(nèi)網(wǎng)主機(jī)。3．認(rèn)證和應(yīng)用代理。認(rèn)證指防火墻對(duì)訪(fǎng)問(wèn)網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶(hù)認(rèn)證數(shù) 據(jù)庫(kù);提供 HTTP、FTP 和 SMTP 代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪(fǎng)問(wèn)控制;同時(shí) 支持 URL 過(guò)濾功能。4．透明和路由 指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提 供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪(fǎng)問(wèn)，同時(shí)阻止了外部未授權(quán)訪(fǎng)問(wèn)者對(duì)專(zhuān)用網(wǎng) 絡(luò)的非法訪(fǎng)問(wèn);防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng) 之間的安全訪(fǎng)問(wèn)。3.2.2 入侵檢測(cè)功能 入侵檢測(cè)技術(shù)[7]就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技 術(shù)，包括以下內(nèi)容: 1.反端口掃描。端口掃描就是指黑客通過(guò)遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主 機(jī)的哪些非常用端口是打開(kāi)的;是否支持 FTP、服務(wù);且 FTP 服務(wù)是否支持 Web “匿 名”，以及 IIS 版本，是否有可以被成功攻破的 IIS 漏洞，進(jìn)而對(duì)內(nèi)部網(wǎng)絡(luò)的主 機(jī)進(jìn)行攻擊。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有: 關(guān)閉閑置和有潛在危險(xiǎn)的端口;檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該 端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。2.檢測(cè)拒絕服務(wù)攻擊。拒絕服務(wù)(DoS)攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用 過(guò)多的服務(wù)資源，從而使合法用戶(hù)無(wú)法得到服務(wù)的響應(yīng)，其攻擊方式有很多種;11 計(jì)算機(jī)防火墻技術(shù)論文

而分布式的拒絕服務(wù)攻擊(DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生 的一類(lèi)攻擊方式，分布式的拒絕服務(wù)攻擊(DDoS)。其原理很簡(jiǎn)單，就是利用更多 的受控主機(jī)同時(shí)發(fā)起進(jìn)攻，以比 DoS 更大的規(guī)模(或者說(shuō)以更高于受攻主機(jī)處理 能力的進(jìn)攻能力)來(lái)進(jìn)攻受害者?，F(xiàn)在的防火墻設(shè)備通常都可檢測(cè) Synflod、Land、Ping of Death、TearDrop、ICMP flood 和 UDPflod 等多種 DOS/DDOS 攻 擊。3.檢 測(cè) 多 種 緩 沖 區(qū) 溢 出 攻 擊(Buffer Overflow)。緩 沖 區(qū) 溢 出(Buffer Overflow)攻擊指利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，造成緩沖區(qū)的 溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。更 為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各 種非法操作，防火墻設(shè)備可檢測(cè)對(duì) FTP、Telnet、SSH、RPC 和 SMTP 等服務(wù)的遠(yuǎn) 程堆棧溢出入侵。4.檢測(cè) CGI/IIS 服務(wù)器入侵。CGI 就是 Common Gateway Inter——face 的 簡(jiǎn)稱(chēng)。是 World Wide Web 主機(jī)和 CGI 程序間傳輸資訊的定義。IIS 就是 Internet Information server 的簡(jiǎn)稱(chēng)，也就是微軟的 Internet 信息服務(wù)器。防火墻設(shè)備 可檢測(cè)包括針對(duì) Unicode、ASP 源碼泄漏、PHF、NPH、pfdisPlay.cgi 等已知上 百種的有安全隱患的 CGI/IIS 進(jìn)行的探測(cè)和攻擊方式。5.檢測(cè)后門(mén)、木馬及其網(wǎng)絡(luò)蠕蟲(chóng)。后門(mén)程序是指采用某種方法定義出一個(gè) 特殊的端口并依靠某種程序在機(jī)器啟動(dòng)之前自動(dòng)加載到內(nèi)存，強(qiáng)行控制機(jī)器打開(kāi) 那個(gè)特殊的端口的程序。木馬程序的全稱(chēng)是 “特洛依木馬” 它們是指尋找后門(mén)、，竊取計(jì)算機(jī)的密碼的一類(lèi)程序。網(wǎng)絡(luò)蠕蟲(chóng)病毒分為 2 類(lèi)，一種是面向企業(yè)用戶(hù)和 局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)造成 癱瘓性的后果，以“紅色代碼”，“尼姆達(dá)”，以及最新的“sql 蠕蟲(chóng)王”為代 表。另外一種是針對(duì)個(gè)人用戶(hù)的，通過(guò)網(wǎng)絡(luò)(主要是電子郵件，惡意網(wǎng)頁(yè)形式)迅速傳播的蠕蟲(chóng)病毒，以愛(ài)蟲(chóng)病毒，求職信病毒為例。防火墻設(shè)備可檢測(cè)試圖穿 透防火墻系統(tǒng)的木馬控制端和客戶(hù)端程序;檢測(cè)試圖穿透防火墻系統(tǒng)的蠕蟲(chóng)程 序。3.2.3 虛擬專(zhuān)網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專(zhuān)用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的“加密通道”在公共網(wǎng)絡(luò) 中傳播。VPN 的基本原理是通過(guò) IP 包的封裝及加密、認(rèn)證等手段，從而達(dá)到安 全的目的。3.2.4 其他功能 1.IP 地址/MAC 地址綁定。可支持任一網(wǎng)絡(luò)接口的 IP 地址和 MAC 地址的綁 12 計(jì)算機(jī)防火墻技術(shù)論文

定，從而禁止用戶(hù)隨意修改 IP 地址。2.審計(jì)。要求對(duì)使用身份標(biāo)識(shí)和認(rèn)證的機(jī)制，文件的創(chuàng)建，修改，系統(tǒng)管 理的所有操作以及其他有關(guān)安全事件進(jìn)行記錄，以便系統(tǒng)管理員進(jìn)行安全跟蹤。一般防火墻設(shè)備可以提供三種日志審計(jì)功能:系統(tǒng)管理日志、流量日志和入侵日 志。3.特殊站點(diǎn)封禁。內(nèi)置特殊站點(diǎn)數(shù)據(jù)庫(kù)，用戶(hù)可選擇是否封禁色情、反動(dòng) 和暴力等特殊站點(diǎn)。3.3 防火墻的原理及分類(lèi)

國(guó)際計(jì)算機(jī)安全委員會(huì) ICSA 將防火墻分成三大類(lèi):包過(guò)濾防火墻，應(yīng)用級(jí)代

理服務(wù)器[8]以及狀態(tài)包檢測(cè)防火墻。3.3.1 包過(guò)濾防火墻 顧名思義，包過(guò)濾防火墻[9]就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過(guò) 濾規(guī)則相比較，從而決定是否阻塞或通過(guò)。過(guò)濾規(guī)則是基于網(wǎng)絡(luò)層 IP 包包頭信 息的比較。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，IP 包的包頭中包含源、目的 IP 地址，封裝協(xié)議類(lèi)型(TCP，UDP，ICMP 或 IP Tunnel)，TCP/UDP 端口號(hào)，ICMP 消息類(lèi)型，TCP 包頭中的 ACK 等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包 按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包;如果沒(méi)有 匹配規(guī)則，則按缺省情況處理。包過(guò)濾防火墻是速度最快的防火墻，這是因?yàn)樗?處于網(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就 可以實(shí)現(xiàn)，對(duì)用戶(hù)來(lái)說(shuō)都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng) 絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用 80 端口。如果公司的安全策略允 許內(nèi)部員工訪(fǎng)問(wèn)網(wǎng)站，包過(guò)濾防火墻可能設(shè)置允所有 80 端口的連接通過(guò)，這時(shí)，意識(shí)到這一漏洞的外部人員可以在沒(méi)有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過(guò)濾防 火墻的維護(hù)比較困難，定義過(guò)濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過(guò)濾規(guī)則的不完 善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。同時(shí)，包過(guò)濾防火墻一般無(wú)法提供完善的日志。3.3.2 應(yīng)用級(jí)代理防火墻 應(yīng)用級(jí)代理技術(shù)通過(guò)在 OSI 的最高層檢查每一個(gè) IP 包，從而實(shí)現(xiàn)安全策略。代理技術(shù)與包過(guò)濾技術(shù)完全不同，包過(guò)濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代 理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能。它的代理功能，就是在防 火墻處終止客戶(hù)連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理 13 計(jì)算機(jī)防火墻技術(shù)論文

機(jī)制提供額外的安全，這是因?yàn)樗鼘?nèi)部和外部網(wǎng)絡(luò)隔離開(kāi)來(lái)，使網(wǎng)絡(luò)外部的黑 客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測(cè)變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò) 服務(wù)進(jìn)行全面的控制。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支 持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪(fǎng)問(wèn) WEB 站點(diǎn)的 HTTP，用于文件傳輸?shù)?FTP，用于 E 一 MAIL 的 SMTP/POP3 等等。如 果某種應(yīng)用沒(méi)有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過(guò)防火墻進(jìn) 行轉(zhuǎn)發(fā);同時(shí)升級(jí)一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同時(shí)升級(jí)。3.3.3 代理服務(wù)型防火墻 代理服務(wù)(Proxy Service)也稱(chēng)鏈路級(jí)網(wǎng)關(guān)或 TCP 通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類(lèi)。它是針對(duì)數(shù)據(jù)包 過(guò)濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越 防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代 理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì) 過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng) 絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔 離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí) 也常結(jié)合入過(guò)濾器的功能。它工作在 OSI 模型的最高層，掌握著應(yīng)用系統(tǒng)中可用 作安全決策的全部信息。3.3.4 復(fù)合型防火墻 由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法 結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防 火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過(guò)濾路由器或防火墻與 Internet 相連，同時(shí) 一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾器路由器或防火墻上過(guò)濾規(guī)則的設(shè) 置，使堡壘機(jī)成為 Internet 上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng) 絡(luò)不受未授權(quán)外部用戶(hù)的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng) 內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與 Internet 及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機(jī)和分組過(guò)濾 路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。

3.4 防火墻包過(guò)濾技術(shù)

隨著 Internet 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類(lèi) 14 計(jì)算機(jī)防火墻技術(shù)論文

重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng) 絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪(fǎng)問(wèn)，阻止病毒的傳播 感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種 有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類(lèi)。其中包過(guò)濾作為最早 發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。所謂包過(guò)濾，就是對(duì)流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個(gè)檢查，并依據(jù)所制定 的安全策略來(lái)決定數(shù)據(jù)包是通過(guò)還是不通過(guò)。包過(guò)濾最主要的優(yōu)點(diǎn)在于其速度與 透明性。也正是由于此。包過(guò)濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰。由于其主要是對(duì)數(shù)據(jù)包的過(guò)濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過(guò)濾技術(shù)的基礎(chǔ)?？紤]包過(guò)濾技術(shù)的發(fā)展過(guò)程，可以認(rèn)為包過(guò)濾的核心問(wèn)題就是如何充分利用數(shù)據(jù) 包中各個(gè)字段的信息，并結(jié)合安全策略來(lái)完成防火墻的功能[11]-[15] 3.4.1 數(shù)據(jù)表結(jié)構(gòu) 當(dāng)應(yīng)用程序用 TCP 傳送數(shù)據(jù)時(shí)，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過(guò)每一層 直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對(duì)接收到的數(shù)據(jù)都要增加一些首部 信息。TCP 傳給 IP 的數(shù)據(jù)單元稱(chēng)作 TCP 報(bào)文段(TCP Segment);IP 傳給網(wǎng)絡(luò)接口 層的數(shù)據(jù)單元稱(chēng)作 IP 數(shù)據(jù)報(bào)(IP Datagram)；通過(guò)以太網(wǎng)傳輸?shù)谋忍亓鞣Q(chēng)作幀(Frame)。對(duì)于進(jìn)防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。IP，TCP 首部格式如表 2-1 表 2-2 所示。表 2-1 IP 首部格式 版本 首部長(zhǎng) 服務(wù)類(lèi)型 標(biāo)識(shí) 生存時(shí)間 協(xié)議 源 IP 地址 目的 IP 地址 選項(xiàng) 標(biāo)志 首部校驗(yàn)和

總 長(zhǎng) 度 片偏移

表 2-2 TCP 首部格式 源端口號(hào) 目的端口號(hào) 序列號(hào) 15 計(jì)算機(jī)防火墻技術(shù)論文

確認(rèn)號(hào) 首 保 L 部 留 R 長(zhǎng) C T B L P R C B C J H T H TCP 校驗(yàn)和 H J R 窗口大小

緊急指針 選項(xiàng)

對(duì)于幀的頭部信息主要是源/目的主機(jī)的 MAC 地址;IP 數(shù)據(jù)報(bào)頭部信息主要 是源/目的主機(jī)的 IP 地址;TCP 頭部的主要字段包括源/目的端口、發(fā)送及確認(rèn)序 號(hào)、狀態(tài)標(biāo)識(shí)等。理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過(guò)與否的 依據(jù)，但是在實(shí)際情況中，包過(guò)濾技術(shù)上的問(wèn)題主要是選取哪些字段信息，以及 如何有效地利用這些字段信息并結(jié)合訪(fǎng)問(wèn)控制列表來(lái)執(zhí)行包過(guò)濾操作，并盡可能 提高安全控制力度。3.4.2 傳統(tǒng)包過(guò)濾技術(shù) 傳統(tǒng)包過(guò)濾技術(shù)，大多是在 IP 層實(shí)現(xiàn)，它只是簡(jiǎn)單的對(duì)當(dāng)前正在通過(guò)的單 一數(shù)據(jù)包進(jìn)行檢測(cè)，查看源/目的 IP 地址、端口號(hào)以及協(xié)議類(lèi)型(UDP/TCP)等，結(jié)合訪(fǎng)問(wèn)控制規(guī)則對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)。這種技術(shù)實(shí)現(xiàn)簡(jiǎn)單，處理速度快，對(duì)應(yīng)用透明，但是它存在的問(wèn)題也很多，主要表現(xiàn)有: 1.所有可能會(huì)用到的端口都必須靜態(tài)放開(kāi)。若允許建立 HTTP 連接，就需 要開(kāi)放 1024 以上所有端口，這無(wú)疑增加了被攻擊的可能性。2.不能對(duì)數(shù)據(jù)傳輸狀態(tài)進(jìn)行判斷。如接收到一個(gè) ACK 數(shù)據(jù)包，就認(rèn)為這是 一個(gè)己建立的連接，這就導(dǎo)致許多安全隱患，一些惡意掃描和拒絕服務(wù)攻擊就是 利用了這個(gè)缺陷。3.無(wú)法過(guò)濾審核數(shù)據(jù)包上層的內(nèi)容。即使通過(guò)防火墻的數(shù)據(jù)包有攻擊性或 包含病毒代碼，也無(wú)法進(jìn)行控制和阻斷。綜合上述問(wèn)題，傳統(tǒng)包過(guò)濾技術(shù)的缺陷在于:(l)缺乏狀態(tài)檢測(cè)能力;(2)缺 乏應(yīng)用防御能力。(3)只對(duì)當(dāng)前正在通過(guò)的單一數(shù)據(jù)包進(jìn)行檢測(cè)，而沒(méi)有考慮前 后數(shù)據(jù)包之間的聯(lián)系;(4)只檢查包頭信息，而沒(méi)有深入檢測(cè)數(shù)據(jù)包的有效載荷。傳統(tǒng)包過(guò)濾技術(shù)必須發(fā)展進(jìn)化，在繼承其優(yōu)點(diǎn)的前提下，采用新的技術(shù)手 段，克服其缺陷，并進(jìn)一步滿(mǎn)足新的安全應(yīng)用要求。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目 前包過(guò)濾技術(shù)向兩個(gè)方向發(fā)展:(l)橫向聯(lián)系。即在包檢測(cè)中考慮前后數(shù)據(jù)包之間 的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如 IP 首部的標(biāo)識(shí)字段和片 16 計(jì)算機(jī)防火墻技術(shù)論文

偏移字段、TCP 首部的發(fā)送及確認(rèn)序號(hào)、滑動(dòng)窗口的大小、狀態(tài)標(biāo)識(shí)等，動(dòng)態(tài)執(zhí) 行數(shù)據(jù)包過(guò)濾。(2)縱向發(fā)展。深入檢測(cè)數(shù)據(jù)包有效載荷，識(shí)別并阻止病毒代碼 和基于高層協(xié)議的攻擊，以此來(lái)提高應(yīng)用防御能力。這兩種技術(shù)的發(fā)展并不是獨(dú) 立的，動(dòng)態(tài)包過(guò)濾可以說(shuō)是基于內(nèi)容檢測(cè)技術(shù)的基礎(chǔ)。實(shí)際上，在深度包檢測(cè)技 術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢(shì)。3.4.3 動(dòng)態(tài)包過(guò)濾 動(dòng)態(tài)包過(guò)濾[16]又稱(chēng)為基于狀態(tài)的數(shù)據(jù)包過(guò)濾，是在傳統(tǒng)包過(guò)濾技術(shù)基礎(chǔ) 之上發(fā)展起來(lái)的一項(xiàng)過(guò)濾技術(shù)，最早由 Checkpoint 提出。與傳統(tǒng)包過(guò)濾技術(shù)只檢查單個(gè)、孤立的數(shù)據(jù)包不同，動(dòng)態(tài)包過(guò)濾試圖將數(shù) 據(jù)包的上下文聯(lián)系起來(lái)，建立一種基于狀態(tài)的包過(guò)濾機(jī)制。對(duì)于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下 該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個(gè)狀態(tài)表。這樣，當(dāng)一個(gè)新的數(shù)據(jù)包到 達(dá)，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù) 包通過(guò)與否;如果是新建連接，則檢查靜態(tài)規(guī)則表。動(dòng)態(tài)包過(guò)濾通過(guò)在內(nèi)存中動(dòng)態(tài)地建立和維護(hù)一個(gè)狀態(tài)表，數(shù)據(jù)包到達(dá)時(shí)，對(duì)該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進(jìn)行。這種方法 的好處在于由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過(guò)散列算法，直接進(jìn)行狀態(tài)檢查，從而使性能得到了較 大提高;而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開(kāi)通 1024 號(hào)以 上的端口，使安全性得到進(jìn)一步地提高。動(dòng)態(tài)包過(guò)濾技術(shù)克服了傳統(tǒng)包過(guò)濾僅僅孤立的檢查單個(gè)數(shù)據(jù)包和安全規(guī)則 靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細(xì)致。3.4.4 深度包檢測(cè) 目前許多造成大規(guī)模損害的網(wǎng)絡(luò)攻擊，比如紅色代碼和尼姆達(dá)，都是利用 了應(yīng)用的弱點(diǎn)。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對(duì)防火墻提出了新 的要求。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來(lái)確認(rèn)出惡意行為并阻止它們。深度包檢測(cè)(Deep Packet Inspection)就是針對(duì)這種需求，深入檢測(cè)數(shù)據(jù) 包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容過(guò)濾，以此提高系統(tǒng)應(yīng)用防御能力。應(yīng)用防御的技術(shù)問(wèn)題主要包括:(l)需要對(duì)有效載荷知道得更清楚;(2)也需 要高速檢查它的能力。簡(jiǎn)單的數(shù)據(jù)包內(nèi)容過(guò)濾對(duì)當(dāng)前正在通過(guò)的單一數(shù)據(jù)包的有效載荷進(jìn)行掃描 檢測(cè)，但是對(duì)于應(yīng)用防御的要求而言，這是遠(yuǎn)遠(yuǎn)不夠的。如一段攻擊代碼被分割 到 10 個(gè)數(shù)據(jù)包中傳輸，那么這種簡(jiǎn)單的對(duì)單一數(shù)據(jù)包的內(nèi)容檢測(cè)根本無(wú)法對(duì)攻 17 計(jì)算機(jī)防火墻技術(shù)論文

擊特征進(jìn)行匹配: 要清楚地知道有效載荷，必須采取有效方法，將單個(gè)數(shù)據(jù)包重 新組合成完整的數(shù)據(jù)流。應(yīng)用層的內(nèi)容過(guò)濾要求大量的計(jì)算資源，很多情況下高 達(dá) 100 倍甚至更高。因而要執(zhí)行深度包檢測(cè)，帶來(lái)的問(wèn)題必然是性能的下降，這 就是所謂的內(nèi)容處理障礙。為了突破內(nèi)容處理障礙，達(dá)到實(shí)時(shí)地分析網(wǎng)絡(luò)內(nèi)容和 行為，需要重點(diǎn)在加速上采取有效的辦法。通過(guò)采用硬件芯片和更加優(yōu)化的算法，可以解決這個(gè)問(wèn)題。一個(gè)深度包檢測(cè)的流程框圖如圖 3.1 所示。

圖 3.1 深度包檢測(cè)框圖 在接收到網(wǎng)絡(luò)流量后，將需要進(jìn)行內(nèi)容掃描的數(shù)據(jù)流定向到 TCP/IP 堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測(cè)引擎，按基本檢測(cè)方式進(jìn)行處理。定向到 TCP/IP 堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類(lèi)型分離內(nèi) 容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個(gè)命令解析器中。命令解析器定制和分析每一個(gè)內(nèi)容 協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測(cè)病毒和蠕蟲(chóng)。如果檢測(cè)到信息流是一個(gè) HTTP 數(shù)據(jù) 流，則命令解析器檢查上載和下載的文件;如果數(shù)據(jù)是 Mail 類(lèi)型，則檢查郵件的 附件。如果數(shù)據(jù)流包含附件或上載/下載文件，附件和文件將傳輸?shù)讲《緬呙枰?擎，所有其他內(nèi)容傳輸?shù)絻?nèi)容過(guò)濾引擎。如果內(nèi)容過(guò)濾啟動(dòng)，數(shù)據(jù)流將根據(jù)過(guò)濾 的設(shè)置進(jìn)行匹配，通過(guò)或拒絕數(shù)據(jù)。3.4.5 流過(guò)濾技術(shù) 流過(guò)濾是東軟集團(tuán)提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過(guò) 濾技術(shù)與基于內(nèi)容的深度包檢測(cè)技術(shù)為一體，提供了一個(gè)較好的應(yīng)用防御解決方 案，它以狀態(tài)監(jiān)測(cè)技術(shù)為基礎(chǔ)，但在此基礎(chǔ)上進(jìn)行了改進(jìn)其基本的原理是:以狀 態(tài)包過(guò)濾的形態(tài)實(shí)現(xiàn)應(yīng)用層的保護(hù)能力:通過(guò)內(nèi)嵌的專(zhuān)門(mén)實(shí)現(xiàn)的 TCP/IP 協(xié)議棧，實(shí)現(xiàn)了透明的應(yīng)用信息過(guò)濾機(jī)制。18 計(jì)算機(jī)防火墻技術(shù)論文

流過(guò)濾技術(shù)[17]的關(guān)鍵在于其架構(gòu)中的專(zhuān)用 TCP/IP 協(xié)議棧:這個(gè)協(xié)議棧是 一個(gè)標(biāo)準(zhǔn)的 TCP 協(xié)議的實(shí)現(xiàn)，依據(jù) TCP 協(xié)議的定義對(duì)出入防火墻的數(shù)據(jù)包進(jìn)行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過(guò)濾邏輯進(jìn)行過(guò)濾，從而可以有效地識(shí) 別并攔截應(yīng)用層的攻擊企圖。在這種機(jī)制下，從防火墻外部看，仍然是包過(guò)濾的形態(tài)，工作在鏈路層或 IP 層，在規(guī)則允許下，兩端可以直接訪(fǎng)問(wèn)，但是任何一個(gè)被規(guī)則允許的訪(fǎng)問(wèn)在 防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的 TCP 會(huì)話(huà)，數(shù)據(jù)以“流”的方式從一個(gè)會(huì)話(huà)流 向另一個(gè)會(huì)話(huà)。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代 替服務(wù)器或客戶(hù)端參與應(yīng)用層的會(huì)話(huà)，從而起到了與應(yīng)用代理防火墻相同的控制 能力。如在對(duì) SMTP 協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì) 郵件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì) SMTP 協(xié)議的各種攻擊的防范功能一流過(guò)濾的 示意圖如圖 3.2 所示。

圖 3.2 流過(guò)濾示意圖 19 計(jì)算機(jī)防火墻技術(shù)論文

第四章

4.1 硬件連接與實(shí)施

防火墻的配置

一般來(lái)說(shuō)硬件防火墻和路由交換設(shè)備一樣具備多個(gè)以太接口，速度根據(jù)檔次 與價(jià)格不同而在百兆與千兆之間有所區(qū)別。(如圖 4.1)圖 4.1 對(duì)于中小企業(yè)來(lái)說(shuō)一般出口帶寬都在 100M 以?xún)?nèi)，所以我們選擇 100M 相關(guān)產(chǎn) 品即可。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對(duì)外網(wǎng)訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行過(guò)濾和監(jiān)控。如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接 口都標(biāo)記為 LAN 接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個(gè) LAN 接口作為外網(wǎng)連接端 口。相應(yīng)的其他 LAN 接口連接內(nèi)網(wǎng)各個(gè)網(wǎng)絡(luò)設(shè)備。4.2 防火墻的特色配置

從外觀上看防火墻和傳統(tǒng)的路由器交換機(jī)沒(méi)有太大的差別，一部分防火墻

具備 CONSOLE 接口通過(guò)超級(jí)終端的方式初始化配置，而另外一部分則直接通過(guò)默 認(rèn)的 LAN 接口和管理地址訪(fǎng)問(wèn)進(jìn)行配置。與路由器交換機(jī)不同的是在防火墻配置中我們需要?jiǎng)澐侄鄠€(gè)不同權(quán)限不同 優(yōu)先級(jí)別的區(qū)域，另外還需要針對(duì)相應(yīng)接口隸屬的區(qū)域進(jìn)行配置，例如 1 接口劃 分到 A 區(qū)域，2 接口劃分到 B 區(qū)域等等，通過(guò)不同區(qū)域的訪(fǎng)問(wèn)權(quán)限差別來(lái)實(shí)現(xiàn)防 火墻保護(hù)功能。默認(rèn)情況下防火墻會(huì)自動(dòng)建立 trust 信任區(qū)，untrust 非信任區(qū)，DMZ 堡壘主機(jī)區(qū)以及 LOCAL 本地區(qū)域。相應(yīng)的本地區(qū)域優(yōu)先級(jí)最高，其次是 trust 信任區(qū)，DMZ 堡壘主機(jī)區(qū)，最低的是 untrust 非信任區(qū)域。20 計(jì)算機(jī)防火墻技術(shù)論文 在實(shí)際設(shè)置時(shí)我們必須將端口劃分到某區(qū)域后才能對(duì)其進(jìn)行各個(gè)訪(fǎng)問(wèn)操 作，否則默認(rèn)將阻止對(duì)該接口的任何數(shù)據(jù)通訊。除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無(wú)外乎通過(guò)超級(jí) 終端下的命令行參數(shù)進(jìn)行配置或者通過(guò) WEB 管理界面配置。4.3 軟件的配置與實(shí)施

以 H3C 的 F100 防火墻為例，當(dāng)企業(yè)外網(wǎng) IP 地址固定并通過(guò)光纖連接的具體

配置。首先當(dāng)企業(yè)外網(wǎng)出口指定 IP 時(shí)配置防火墻參數(shù)。選擇接口四連接外網(wǎng)，接 口 一 連 接 內(nèi) 網(wǎng)。這 里 假 設(shè) 電 信 提 供 的 外 網(wǎng) IP 地 址 為 202.10.1.194 255.255.255.0。第一步：通過(guò) CONSOLE 接口以及本機(jī)的超級(jí)終端連接 F100 防火墻，執(zhí)行 system 命令進(jìn)入配置模式。第二步：通過(guò) firewall packet default permit 設(shè)置默認(rèn)的防火墻策略為 “容許通過(guò)”。第三步：進(jìn)入接口四設(shè)置其 IP 地址為 202.10.1.194，命令為 int e0/4 ip add 202.10.1.194 255.255.255.0 第四步：進(jìn)入接口一設(shè)置其 IP 地址為內(nèi)網(wǎng)地址，例如 192.168.1.1 255.255.255.0，命令為 int e0/1 ip add 192.168.1.1 255.255.255.0 第五步： 將兩個(gè)接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū) untrust，內(nèi)網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步：由于防火墻運(yùn)行基本是通過(guò) NAT 來(lái)實(shí)現(xiàn)，各個(gè)保護(hù)工作也是基于此 功能實(shí)現(xiàn)的，所以還需要針對(duì)防火墻的 NAT 信息進(jìn)行設(shè)置，首先添加一個(gè)訪(fǎng)問(wèn)控 制列表—— acl num 2000 21 計(jì)算機(jī)防火墻技術(shù)論文

rule per source 192.168.0.0 0.0.255.255 rule deny 第七步：接下來(lái)將這個(gè)訪(fǎng)問(wèn)控制列表應(yīng)用到外網(wǎng)接口通過(guò)啟用 NAT—— int e0/4 nat outbound 2000 第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或 外網(wǎng)電信下一跳地址—— ip route-static 0.0.0.0 0.0.0.0 202.10.1.193(如圖 2)執(zhí)行 save 命令保存退出后就可以在企業(yè)外網(wǎng)出口指定 IP 時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā) 以及安全保護(hù)功能了。22 計(jì)算機(jī)防火墻技術(shù)論文

第五章

防火墻發(fā)展趨勢(shì)

針對(duì)傳統(tǒng)防火墻不能解決的問(wèn)題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也 出現(xiàn)了新的發(fā)展趨勢(shì)。主要可以從包過(guò)濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管 理三方面來(lái)體現(xiàn)。5.1 防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì)

(1)安全策略功能 一些防火墻廠(chǎng)商把在 AAA 系統(tǒng)上運(yùn)用的用戶(hù)認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶(hù)角色的安全策略功能。該功能在無(wú)線(xiàn)網(wǎng)絡(luò)應(yīng)用中非常 必要。具有用戶(hù)身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過(guò)濾技術(shù)的 防火墻不具有。用戶(hù)身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶 來(lái)的負(fù)面影響也越大，因?yàn)橛脩?hù)身份驗(yàn)證需要時(shí)間，特別是加密型的用戶(hù)身份驗(yàn) 證。(2)多級(jí)過(guò)濾技術(shù) 所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。在分 組過(guò)濾(網(wǎng)絡(luò)層)一級(jí)，過(guò)濾掉所有的源路由分組和假冒的 IP 源地址；在傳輸層 一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹(shù)包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí)，能利用 FTP、SMTP 等各種網(wǎng)關(guān)，控 制和監(jiān)測(cè) Internet 提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的 不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。這種過(guò)濾技術(shù)在分層上非常清楚，每種過(guò)濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這 個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來(lái)的防火墻技術(shù)發(fā)展打下基礎(chǔ)。(3)功能擴(kuò)展 功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括 VPN、AAA、PKI、IPSec 等附加功能，甚至防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中 了，很多時(shí)候我們已經(jīng)無(wú)法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個(gè)功 能為主了，即其已經(jīng)逐漸向我們普遍稱(chēng)之為 IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。23 計(jì)算機(jī)防火墻技術(shù)論文

有些防火墻集成了防病毒功能，通常被稱(chēng)之為“病毒防火墻”，當(dāng)然目前主要還 是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问?，更容易?shí)現(xiàn)。這種防火墻技術(shù)可 以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù) 功能的防火墻可以大大減少公司的損失。5.2 防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)

隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要

能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普 遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。為了滿(mǎn)足這種需要，一些防 火墻制造商開(kāi)發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度 的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大 程度上依賴(lài)于軟件的性能，但是由于這類(lèi)防火墻中有一些專(zhuān)門(mén)用于處理數(shù)據(jù)層面 任務(wù)的引擎，從而減輕了 CPU 的負(fù)擔(dān)，該類(lèi)防火墻的性能要比傳統(tǒng)防火墻的性能 好許多。與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于 ASIC 的防火墻使用專(zhuān)門(mén)的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比 起前兩種類(lèi)型的防火墻具有更好的性能。但是純硬件的 ASIC 防火墻缺乏可編程 性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方 案是增加 ASIC 芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以 同時(shí)滿(mǎn)足來(lái)自靈活性和運(yùn)行性能的要求。5.3 防火墻的系統(tǒng)管理發(fā)展趨勢(shì)

(1)集中式管理，分布式和分層的安全結(jié)構(gòu)。(2)強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。(3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化 縱觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進(jìn)步以及網(wǎng)絡(luò)病毒朝智

能化和多樣化發(fā)展，對(duì)防火墻技術(shù)的同步發(fā)展提出了更高的要求。防火墻技術(shù)只 有不斷向主動(dòng)型和智能型等方向發(fā)展，才能更好的滿(mǎn)足人們對(duì)防火墻技術(shù)日益增 長(zhǎng)的需求。24 計(jì)算機(jī)防火墻技術(shù)論文

結(jié)論

隨著 Internet 和 Intranet 技術(shù)的發(fā)展,網(wǎng)絡(luò)的安全已經(jīng)顯得越來(lái)越重要, 網(wǎng)絡(luò)病毒對(duì)企業(yè)造成的危害已經(jīng)相當(dāng)廣泛和嚴(yán)重, 其中也會(huì)涉及到是否構(gòu)成犯 罪行為的問(wèn)題，相應(yīng)的病毒防范技術(shù)也發(fā)展到了網(wǎng)絡(luò)層面,并且愈來(lái)愈有與黑客 技術(shù)和漏洞相結(jié)合的趨勢(shì)。新型防火墻技術(shù)產(chǎn)生,就是為了解決來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi) 和外的攻擊;克服傳統(tǒng)“邊界防火墻”的缺點(diǎn),集成了 IDS、VPN 和防病毒等安 全技術(shù),實(shí)現(xiàn)從網(wǎng)絡(luò)到服務(wù)器以及客戶(hù)端全方位的安全解決方案,滿(mǎn)足企業(yè)實(shí)際 應(yīng)用和發(fā)展的安全要求。防火墻目的在于為用戶(hù)提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中 的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。本論文從防火墻方面解決網(wǎng)絡(luò)安全問(wèn)題，對(duì)網(wǎng)絡(luò)安全技術(shù)的有深刻的了解。25 計(jì)算機(jī)防火墻技術(shù)論文

參考文獻(xiàn)

[1] 王艷.淺析計(jì)算機(jī)安全[J].電腦知識(shí)與技術(shù).2010，(s):1054 一 1055.[2] 艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識(shí)與技術(shù).2004，(s):79 一 82.[3] 高峰.許南山.防火墻包過(guò)濾規(guī)則問(wèn)題的研究[M].計(jì)算機(jī)應(yīng)用.2003，23(6):311 一 312.[4] 孟濤、楊磊.防火墻和安全審計(jì)[M].計(jì)算機(jī)安全.2004，(4):17 一 18.[5] 鄭林.防火墻原理入門(mén)[Z].E 企業(yè).2000.[6] 魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.2004，20(l):57 一 62 [7] 李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學(xué)報(bào).2002，2(l):59 一 61 [8] 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24 一 27 [9] A.Feldman, S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9 th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3, 1193-1202.[10] ]王永綱，石江濤，戴雪龍，顏天信.網(wǎng)絡(luò)包分類(lèi)算法仿真測(cè)試與比較研究.中國(guó)科學(xué)技 術(shù)大學(xué)學(xué)報(bào).2004，34(4):400 一 409 [11] 邵華鋼，楊明福.基于空間分解技術(shù)的多維數(shù)據(jù)包分類(lèi).計(jì)算機(jī)工程.2003，29(12):123 一 124 [12] 付歌，楊明福.一個(gè)快速的二維數(shù)據(jù)包分類(lèi)算法.計(jì)算機(jī)工程.2004，30(6):76 一 78 [13] 付 歌，楊 明 福，王 興 軍.基 于 空 間 分 解 的 數(shù) 據(jù) 包 分 類(lèi) 技 術(shù).計(jì) 算 機(jī) 工 程 與 應(yīng) 用.2004(8):63 一 65 [14] 〕韓曉非，王學(xué)光，楊明福.位并行數(shù)據(jù)包分類(lèi)算法研究.華東理工大學(xué)學(xué)報(bào).2003，29(5):504 一 508 [15] 韓曉非，楊明福，王學(xué)光.基于元組空間的位并行包分類(lèi)算法.計(jì)算機(jī)工程與應(yīng)用.2003，(29):188 一 192 [16] 馮東雷，張勇，白英彩.一種高性能包分類(lèi)漸增式更新算法.計(jì)算機(jī)研究與發(fā)展.2003，40(3):387 一 392 [17] 余勝生，張寧，周敬利，胡熠峰.一種用于大規(guī)模規(guī)則庫(kù)的快速包分類(lèi)算法.計(jì)算機(jī)工 程.2004，30(7):49 一 51 26 計(jì)算機(jī)防火墻技術(shù)論文

致謝

本文是在李老師的悉心指導(dǎo)卜完成的，從文獻(xiàn)的查閱、論文的選題、撰寫(xiě)、修改、定稿，我的每一個(gè)進(jìn)步都和李老師的關(guān)注與指導(dǎo)密不可分。李老師在研究 方向、資料的收集、論文的選題、研究工作作的開(kāi)展以及論文的最終定稿，給子 我巨大、無(wú)私的幫助。論文的字里行間無(wú)不凝結(jié)著老師的悉心指導(dǎo)和浮淳教海，老師淵博的學(xué)識(shí)和嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度給我留下了深刻的印象，我從他那里學(xué)到的不 僅僅是專(zhuān)業(yè)知識(shí)，更重要的是嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、對(duì)事業(yè)忘我的追求、高度的使命 感、責(zé)任感及和藹熱情的品質(zhì)和做人的道理，這些將使我受益一生，并將激勵(lì)我 不斷向前奮進(jìn)。還 有 就 是 在 這 次 的 實(shí)習(xí)中 更要對(duì)和我一起并肩戰(zhàn)斗的其他幾位小組成 員說(shuō)一聲辛苦了，我們有了今天的成績(jī)是我們不懈與團(tuán)結(jié)。讓我們共同努力創(chuàng)造 更好的明天。在此過(guò)程中我們互相幫助，勉勵(lì)是我們能完成這次任務(wù)的最大動(dòng)力，也是我們之間最大的收獲，最好的精神財(cái)富，愿我們還會(huì)有更好的合作！經(jīng) 過(guò) 了 這 次 的 實(shí)習(xí)也 意 味 著 我 學(xué)習(xí)生 涯 的 結(jié) 束。在 TOP 的 三 年 時(shí) 間 轉(zhuǎn) 瞬 即 逝，借 此 機(jī) 會(huì) 我 要 感 謝 兩年來(lái)傳授我知識(shí)的老師們，更要感謝所 有對(duì)我學(xué)業(yè)、生活上的支持和鼓勵(lì)，感謝所有關(guān)心幫助過(guò)我的人。27

第三篇：軟交換技術(shù)實(shí)訓(xùn)報(bào)告

軟交換技術(shù)實(shí)驗(yàn)報(bào)告

第一組 組長(zhǎng)：彭海量 組員：王璨、黃針、王立東、曾靜、李永鵬班級(jí)：5121201 實(shí)驗(yàn)教室：YF309

一、實(shí)訓(xùn)目的

通過(guò)本次實(shí)訓(xùn)，熟練掌握以下內(nèi)容：

1、銳捷軟交換數(shù)據(jù)配置過(guò)程，能實(shí)現(xiàn)基本端局通信。

2、銳捷語(yǔ)音網(wǎng)關(guān)數(shù)據(jù)配置過(guò)程。

3、銳捷網(wǎng)絡(luò)電話(huà)配置過(guò)程。

4、熟悉數(shù)據(jù)之間的邏輯關(guān)系、數(shù)據(jù)配合。

5、對(duì)實(shí)驗(yàn)室VoIP系統(tǒng)的高級(jí)功能進(jìn)行配置，內(nèi)容包括電話(huà)會(huì)議功能、計(jì)費(fèi)功能、附加業(yè)務(wù)等，學(xué)習(xí)電話(huà)會(huì)議、電話(huà)會(huì)議室、管理員、計(jì)費(fèi)的概念，以對(duì)軟交換平臺(tái)的高級(jí)功能有全面了解。

6、學(xué)習(xí)多個(gè)軟交換系統(tǒng)之間的互聯(lián)方法。

7、掌握VoIP軟交換系統(tǒng)之間互聯(lián)的方法。

8、掌握VoIP組網(wǎng)配置和調(diào)試流程。

二、實(shí)訓(xùn)環(huán)境：

實(shí)驗(yàn)室硬件設(shè)備：軟交換、語(yǔ)音網(wǎng)關(guān)、網(wǎng)絡(luò)電話(huà)、PC維護(hù)臺(tái)設(shè)備搭建如下圖所示：

三、數(shù)據(jù)規(guī)劃：

修改：軟交換ETH0 IP地址172.24.10.10

四、實(shí)訓(xùn)操作步驟和內(nèi)容：

一、軟交換服務(wù)器RG-VX9000E配置

1、網(wǎng)絡(luò)參數(shù)配置

RG-VX9000E提供Web配置管理。前3個(gè)以太網(wǎng)口ETH0-ETH2可作為應(yīng)用端口，默認(rèn)情況下ETH0口處于激活狀態(tài)，其默認(rèn)IP地址為192.168.33.90，子網(wǎng)掩碼為255.255.255.0。

可通過(guò)IE登錄軟交換服務(wù)器的web管理界面。步驟如下：

（1）用網(wǎng)線(xiàn)將軟交換服務(wù)器第一個(gè)以太網(wǎng)口與網(wǎng)絡(luò)連接并確認(rèn)物理連接正常。

（2）將PC的網(wǎng)絡(luò)端口IP地址配置為192.168.33.10，掩碼為255.255.255.0。如果軟交換設(shè)備已經(jīng)設(shè)置了IP地址，則把PC機(jī)的IP地址和軟交換現(xiàn)在的IP地址設(shè)置在同一網(wǎng)段。

（3）打開(kāi)IE瀏覽器，在地址欄中輸入訪(fǎng)問(wèn)地址：192.168.33.90并按回車(chē)鍵，即可進(jìn)入Web登錄界面。如果軟交換不是默認(rèn)出廠(chǎng)地址，而是已經(jīng)設(shè)置了IP地址，則在Web中輸入軟交換現(xiàn)在的IP地址，便可以登錄。

（4）輸入默認(rèn)登錄用戶(hù)名：admin，密碼：admin，單擊登錄按鈕即可進(jìn)入Web管理主界面。

（5）選擇系統(tǒng)管理-網(wǎng)絡(luò)接口配置，選擇配置第一塊網(wǎng)卡ETH0，并將“系統(tǒng)啟動(dòng)時(shí)加載”選擇YES,IP地址為172.24.10.220，子網(wǎng)掩碼為255.255.255.0；確認(rèn)配置無(wú)誤后單擊提交按鈕，系統(tǒng)左上方提示“修改成功，重啟系統(tǒng)后生效”。

（6）選擇系統(tǒng)管理-重啟系統(tǒng)，進(jìn)入重啟系統(tǒng)界面，單擊重啟系統(tǒng)按鈕即執(zhí)行重啟操作。重啟系統(tǒng)所需時(shí)間約3~5min。

（7）選擇系統(tǒng)管理-網(wǎng)絡(luò)接口配置菜單，添加網(wǎng)絡(luò)路由，目標(biāo)IP地址為0.0.0.0，子網(wǎng)掩碼為0.0.0.0，網(wǎng)關(guān)地址為172.24.10.1；確認(rèn)配置無(wú)誤后單擊提交按鈕，系統(tǒng)左上方提示“修改成功，重啟系統(tǒng)生效”。

2、SIP信息配置

（1）選擇系統(tǒng)管理-設(shè)置SIP信息菜單，進(jìn)行SIP參數(shù)配置。

（2）將SIP監(jiān)聽(tīng)端口設(shè)置成5060（默認(rèn)為5060），那么所有向這里注冊(cè)的客戶(hù)端的端口都需要設(shè)置成5060，否則將無(wú)法注冊(cè)。端口號(hào)避免與公有端口號(hào)重疊。

（3）最大注冊(cè)時(shí)間為3600秒，如果設(shè)備3600秒沒(méi)有注冊(cè)成功，則注冊(cè)失敗。

（4）默認(rèn)注冊(cè)超時(shí)時(shí)間設(shè)為120秒；如果默認(rèn)時(shí)間沒(méi)注冊(cè)成功，而未達(dá)最大時(shí)間則設(shè)備會(huì)反復(fù)詢(xún)問(wèn)注冊(cè)，這些是系統(tǒng)的參數(shù)，而且是通信網(wǎng)中常用的值。

3、批量添加號(hào)碼

（1）選擇【號(hào)碼管理—批量添加號(hào)碼】菜單，即進(jìn)入號(hào)碼注冊(cè)批量添加界面，（2）配置完成，單擊<添加號(hào)碼>按鈕，批量增加內(nèi)線(xiàn)號(hào)碼成功。

（3）號(hào)碼添加完成后，在【號(hào)碼管理—號(hào)碼列表】中可以查看剛才添加的號(hào)碼，可以進(jìn)行號(hào)碼的搜索，及其歸屬用戶(hù)的查詢(xún)，如下圖所示。

（4）用戶(hù)配置可以根據(jù)實(shí)際情況，在”企業(yè)管理”和“用戶(hù)管理”菜單中進(jìn)行添加。（5）配置完成后，可以把數(shù)據(jù)保存?zhèn)浞?，然后?duì)軟交換重啟設(shè)備，讓新數(shù)據(jù)生效，重啟一般要等待3~5min。

2、語(yǔ)音網(wǎng)關(guān)RG-VX6116E配置

1、網(wǎng)絡(luò)屬性配置

RG-VX6116E提供Web配置管理，前四個(gè)以太網(wǎng)口LAN可作為應(yīng)用端口，默認(rèn)情況下，WLAN口處于激活狀態(tài)，其默認(rèn)IP地址為192.168.30.16，子網(wǎng)掩碼為255.255.255.0，可通過(guò)IE登錄軟交換服務(wù)器的Web管理界面，步驟如下

（1）用網(wǎng)線(xiàn)將語(yǔ)音網(wǎng)關(guān)RG-VX6116E與網(wǎng)絡(luò)連接并確認(rèn)物理連接正常。（2）將PC的網(wǎng)絡(luò)接口IP地址配置為192.168.30.10，掩碼為255.255.255.0。如果軟交換設(shè)備已經(jīng)配置了IP地址，則把PC機(jī)的IP地址和軟交換現(xiàn)在IP地址設(shè)置在同一網(wǎng)段。（3）打開(kāi)瀏覽器，在地址欄中輸入訪(fǎng)問(wèn)地址192.168.30.16并按回車(chē)鍵，即可進(jìn)入Web登錄界面。如果軟交換不是默認(rèn)出廠(chǎng)地址，而是已經(jīng)設(shè)置了IP地址，則在Web中輸入軟交換現(xiàn)在的IP地址，則可以登錄。

（4）輸入默認(rèn)登錄用戶(hù)名：admin；密碼：admin；單擊【登錄】按鈕，即可進(jìn)入Web管理主界面。

（5）點(diǎn)擊【快速配置】進(jìn)入網(wǎng)絡(luò)配置，首先修改語(yǔ)音網(wǎng)關(guān)的IP 地址、子網(wǎng)掩碼、網(wǎng)關(guān)，LAN口IP地址：172.24.10.20；LAN口子網(wǎng)掩碼：255.255.255.0；網(wǎng)關(guān)：172.24.10.1

（6）配置完成，單擊<下一步>按鈕，進(jìn)入下級(jí)菜單配置。

2、配置語(yǔ)音網(wǎng)關(guān)注冊(cè)服務(wù)器

（1）登錄系統(tǒng)進(jìn)入SIP配置。在菜單中選擇【SIP設(shè)置-SIP服務(wù)器】或【快速配置】彩蛋的第二步，配置其中“SIP服務(wù)器地址、端口”，即規(guī)劃中的軟交換服務(wù)器的地址和端口，配置完成單擊<下一步>按鈕。

（2）配置語(yǔ)音網(wǎng)關(guān)的SIP服務(wù)器的地址，各配置項(xiàng)含義參考——域名：172.24.10.10； 端口：5060；

（3）配置完成，單擊<下一步>按鈕，完成將該SIP服務(wù)器添加到SIP服務(wù)器列表中。

3、配置FXS端口的電話(huà)號(hào)碼

（1）在SIP設(shè)置中注冊(cè)客戶(hù)端。在菜單中選擇【SIP設(shè)置-注冊(cè)客戶(hù)端】或【快速配置】的第三步，配置FXS用戶(hù)密碼、認(rèn)證ID和密碼，為了方便直接查找和記憶，一般均保持一致，號(hào)碼：610123；認(rèn)證ID：610123；認(rèn)證密碼：1234 號(hào)碼：610124；認(rèn)證ID：610124；認(rèn)證密碼：1234（2）配置語(yǔ)音網(wǎng)關(guān)的FXS端口的注冊(cè)客戶(hù)端極端扣電話(huà)號(hào)碼，配置完成然后保存配置。

3、網(wǎng)絡(luò)話(huà)機(jī)RG-VP3000E配置

1、RG-VP3000E提供Web配置管理。網(wǎng)絡(luò)電話(huà)機(jī)包含1個(gè)電源口，2個(gè)以太網(wǎng)（分別稱(chēng)為PC口和LAN口）。默認(rèn)情況下PC口處于激活狀態(tài)，其默認(rèn)IP地址為172.24.10.12，子網(wǎng)掩碼為255.255.255.0。

可通過(guò)IE登錄軟交換服務(wù)器的Web管理界面，步驟如下。

（1）用網(wǎng)線(xiàn)將網(wǎng)絡(luò)電話(huà)的PC——以太網(wǎng)口與網(wǎng)絡(luò)連接并確認(rèn)物理連接正常。

（2）將PC的網(wǎng)絡(luò)接口IP地址配置為172.24.10.40（不要與軟交換服務(wù)器，語(yǔ)音網(wǎng)關(guān)和IP話(huà)機(jī)的初始IP沖突），掩碼為255.255.255.0。如果網(wǎng)絡(luò)話(huà)機(jī)已經(jīng)設(shè)置了IP地址，則把PC機(jī)的IP地址和網(wǎng)絡(luò)電話(huà)現(xiàn)在IP地址設(shè)置在同一網(wǎng)段。我們可以通過(guò)網(wǎng)絡(luò)電話(huà)的菜單按鈕查詢(xún)網(wǎng)絡(luò)電話(huà)的IP地址。（3）在計(jì)算機(jī)上打開(kāi)IE瀏覽器，在地址欄中輸入訪(fǎng)問(wèn)地址：http//172.24.10.30并按回車(chē)鍵，即可進(jìn)入Web登錄界面。如果網(wǎng)絡(luò)電話(huà)不是默認(rèn)出場(chǎng)地址，而是已經(jīng)設(shè)置了IP地址，則在Web中輸入軟交換現(xiàn)在的IP地址，則可以登錄。

（4）Web連接成功后，將提示輸入“用戶(hù)名”和“密碼”，出廠(chǎng)默認(rèn)的用戶(hù)名為“admin”，密碼為“admin”，即可進(jìn)入Web管理主界面。

（5）使用Web登錄到網(wǎng)絡(luò)話(huà)機(jī)，在主菜單中選擇【網(wǎng)絡(luò)配置—IP配置】菜單，配置IP地址并提交應(yīng)用。網(wǎng)絡(luò)話(huà)機(jī)配置步驟均相同，注意避免IP沖突。（6）設(shè)置完畢后，單<應(yīng)用>按鈕，網(wǎng)絡(luò)話(huà)機(jī)網(wǎng)絡(luò)配置完成。

2、配置網(wǎng)絡(luò)話(huà)機(jī)的服務(wù)器和號(hào)碼

（1）在主菜單中選擇【快速設(shè)置】菜單，配置SIP相關(guān)參數(shù)并應(yīng)用。

（2）配置網(wǎng)絡(luò)話(huà)機(jī)的電話(huà)號(hào)碼和軟交換服務(wù)器的地址和通信端口號(hào)信息。（3）參數(shù)配置完成，網(wǎng)絡(luò)電話(huà)數(shù)據(jù)就完成了，單擊<應(yīng)用>按鈕即可。（4）配置完成如果僅修改號(hào)碼等少量數(shù)據(jù)可以直接網(wǎng)絡(luò)話(huà)機(jī)保存配置，在主菜單中選擇【系統(tǒng)維護(hù)——保存配置】，不用重啟。（5）如果大量修改數(shù)據(jù)，特別是改動(dòng)IP地址，則必須對(duì)網(wǎng)絡(luò)話(huà)機(jī)重啟，在主菜單中選擇【系統(tǒng)維護(hù)—重啟】菜單，修改的數(shù)據(jù)才可以生效。

五、VoIP中繼應(yīng)用與組網(wǎng)設(shè)計(jì) 實(shí)訓(xùn)步驟：

1、配置局內(nèi)通信。

2、VoIP平臺(tái)1路路由配置

具體配置流程：添加中繼、添加路由、添加呼叫規(guī)則。

添加中繼：登錄RG-VX9000E界面，選擇路由管理里面的添加中繼菜單，中繼名稱(chēng)設(shè)置為Q1，主機(jī)名輸入目標(biāo)主機(jī)的IP地址。

添加路由：選擇路由管理里面的添加路由選項(xiàng)，設(shè)定路由名稱(chēng)為Q1，路由規(guī)則為目標(biāo)電話(huà)號(hào)碼（例如6XXXXXXX)，中繼選擇Q1。

呼叫規(guī)則：選擇路由管理里面的添加呼叫規(guī)則選項(xiàng)，添加一條名為Q1的呼叫規(guī)則。VoIP系統(tǒng)互聯(lián)：

在菜單中選擇“批量添加號(hào)碼”，設(shè)置起始號(hào)碼和結(jié)束號(hào)碼，密碼和賬號(hào)一致？選項(xiàng)選YES，呼叫規(guī)則選擇Q1。使用權(quán)限選項(xiàng)改為自由模式。

六、實(shí)訓(xùn)心得：

彭海量：通過(guò)本次實(shí)訓(xùn)掌握了，軟交換、語(yǔ)音網(wǎng)關(guān)、IP電話(huà)的配置，但實(shí)訓(xùn)的過(guò)程中出現(xiàn)了一些問(wèn)題，導(dǎo)致IP電話(huà)和模擬電話(huà)不能相互通話(huà)，原因是（1）開(kāi)始把語(yǔ)音網(wǎng)關(guān)和軟交換eth0設(shè)為了相同的IP地址（2）沒(méi)有對(duì)電話(huà)設(shè)置密碼。總而言之，通過(guò)本次實(shí)驗(yàn)還是學(xué)到了許多，收獲了許多。

黃針：通過(guò)本次實(shí)驗(yàn)，了解了局內(nèi)、局間互通電話(huà)的流程，拓寬了我的專(zhuān)業(yè)知識(shí)。在本次實(shí)驗(yàn)中，遇到了電話(huà)號(hào)碼未注冊(cè)的情況，有兩個(gè)原因：第一是語(yǔ)音網(wǎng)關(guān)的IP地址與軟交換的IP地址相同；第二個(gè)原因是沒(méi)有設(shè)置密碼。把語(yǔ)音網(wǎng)關(guān)的IP地址修改并把密碼設(shè)置上，就注冊(cè)成功了。王璨：配置語(yǔ)音網(wǎng)關(guān)注冊(cè)服務(wù)器時(shí)顯示未注冊(cè)，查找到原因是沒(méi)有設(shè)置密碼，不匹配。后來(lái)把所有密碼密碼都設(shè)置一致并且設(shè)置和軟交換上的認(rèn)證密碼一致，才認(rèn)證成功，注冊(cè)完成。王立東：通過(guò)本次實(shí)訓(xùn)學(xué)會(huì)了軟交換服務(wù)器、語(yǔ)音網(wǎng)關(guān)、網(wǎng)絡(luò)電話(huà)的數(shù)據(jù)配置，配置完成后網(wǎng)絡(luò)電話(huà)間、語(yǔ)音網(wǎng)關(guān)等設(shè)備連接的電話(huà)用戶(hù)可以相互通信。

曾靜：本次試訓(xùn)過(guò)程中遇到了很多的問(wèn)題，例如IP地址設(shè)置混亂、網(wǎng)絡(luò)話(huà)機(jī)始終不能注冊(cè)成功，模擬電話(huà)與網(wǎng)絡(luò)電話(huà)之間不能互相通信等。通過(guò)小組成員的團(tuán)結(jié)合作，最終找出問(wèn)題并解決。

李永鵬：這次實(shí)驗(yàn)成功的完成了，其中網(wǎng)段設(shè)置錯(cuò)誤，導(dǎo)致實(shí)驗(yàn)不能繼續(xù)進(jìn)行，最終還是解決了這個(gè)問(wèn)題，得知必須要在一個(gè)網(wǎng)段中才行，還有端口的連線(xiàn)必須正確，錯(cuò)一個(gè)也是不能連接成功的。

第四篇：計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

防火墻原是指建筑物大廈用來(lái)防止火災(zāi)蔓延的隔斷墻。從理論上講,Internet防火墻服務(wù)也屬于類(lèi)似的用來(lái)防止外界侵入的。它可以防止 Internet上的各種危險(xiǎn)(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上,防火墻并不像現(xiàn)實(shí)生活中的防火墻,它有點(diǎn)像古代守護(hù)城池用的護(hù)城河,服務(wù)于以下多個(gè)目的:

1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入;

2)限定人們從一個(gè)特定的點(diǎn)離開(kāi);

3)防止侵入者接近你的其他防御設(shè)施;

4)有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

在現(xiàn)實(shí)生活中,Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet。

從上圖不難看出,所有來(lái)自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點(diǎn)同樣可以從圖1中體會(huì)出來(lái)。那么,防火墻究竟是什么呢?實(shí)際上,防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧

防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪(fǎng)問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:●過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);

●管理進(jìn)、出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為;

●封堵某些禁止行為;

●記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);

●對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

為實(shí)現(xiàn)以上功能,在防火墻產(chǎn)品的開(kāi)發(fā)中,人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)?、?jì)算機(jī)操作系統(tǒng)、路由、加密、訪(fǎng)問(wèn)控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段。縱觀防火墻近年來(lái)的發(fā)展,可以將其劃分為如下四個(gè)階段(即四代)。

3.1 基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過(guò)濾功能,故網(wǎng)絡(luò)訪(fǎng)問(wèn)控制可能通過(guò)路控制來(lái)實(shí)現(xiàn),從而使具有分組過(guò)濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是:

1)利用路由器本身對(duì)分組的解析,以訪(fǎng)問(wèn)控制表(Access List)方式實(shí)現(xiàn)對(duì)分組的過(guò)濾;

2)過(guò)濾判斷的依據(jù)可以是:地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征;

3)只有分組過(guò)濾的功能,且防火墻與路由器是一體的。這樣,對(duì)安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法,而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。

●路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如,在使用FTP協(xié)議時(shí),外部服務(wù)器容易從20號(hào)端口上與內(nèi)部網(wǎng)相連,即使在路由器上設(shè)置了過(guò)濾規(guī)則,內(nèi)部網(wǎng)絡(luò)的20號(hào)端口仍可以由外部探尋。

●路由器上分組過(guò)濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過(guò)濾規(guī)則的設(shè)置和配置十分復(fù)雜,它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性,一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)則去限制,這往往會(huì)帶來(lái)很多錯(cuò)誤。

●路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。

●路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪(fǎng)問(wèn)提供動(dòng)態(tài)的、靈活的路由,而防火墻則要對(duì)訪(fǎng)問(wèn)行為實(shí)施靜態(tài)的、固定的控制,這是一對(duì)難以調(diào)和的矛盾,防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。

可以說(shuō)基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施,用這種權(quán)宜之計(jì)去對(duì)付黑客的攻擊是十分危險(xiǎn)的。

3.2 用戶(hù)化的防火墻工具套

為了彌補(bǔ)路由器防火墻的不足,很多大型用戶(hù)紛紛要求以專(zhuān)門(mén)開(kāi)發(fā)的防火墻系統(tǒng)來(lái)保護(hù)自己的網(wǎng)絡(luò),從而推動(dòng)了用戶(hù)防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品,用戶(hù)化的防火墻工具套具有以下特征:

1)將過(guò)濾功能從路由器中獨(dú)立出來(lái),并加上審計(jì)和告警功能;

2)針對(duì)用戶(hù)需求,提供模塊化的軟件包;

3)軟件可以通過(guò)網(wǎng)絡(luò)發(fā)送,用戶(hù)可以自己動(dòng)手構(gòu)造防火墻;

4)與第一代防火墻相比,安全性提高了,價(jià)格也降低了。

由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無(wú)論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求,并帶來(lái)以下問(wèn)題:

配置和維護(hù)過(guò)程復(fù)雜、費(fèi)時(shí);

對(duì)用戶(hù)的技術(shù)要求高;

全軟件實(shí)現(xiàn),使用中出現(xiàn)差錯(cuò)的情況很多。

3.3 建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷(xiāo)售、使用和維護(hù)上的問(wèn)題迫使防火墻開(kāi)發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。近年來(lái)市場(chǎng)上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些特點(diǎn):

1)是批量上市的專(zhuān)用防火墻產(chǎn)品;

2)包括分組過(guò)濾或者借用路由器的分組過(guò)濾功能;

3)裝有專(zhuān)用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令;

4)保護(hù)用戶(hù)編程空間和用戶(hù)可配置內(nèi)核參數(shù)的設(shè)置;

5)安全性和速度大大提高。

第三代防火墻有以純軟件實(shí)現(xiàn)的,也有以硬件方式實(shí)現(xiàn)的,它們已經(jīng)得到了廣大用戶(hù)的認(rèn)同。但隨著安全需求的變化和使用時(shí)間的推延,仍表現(xiàn)出不少問(wèn)題,比如:

1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知,由于源碼的保密,其安全性無(wú)從保證;

2)由于大多數(shù)防火墻廠(chǎng)商并非通用操作系統(tǒng)的廠(chǎng)商,通用操作系統(tǒng)廠(chǎng)商不會(huì)對(duì)操作系統(tǒng)的安全性負(fù)責(zé);

3)從本質(zhì)上看,第三代防火墻既要防止來(lái)自外部網(wǎng)絡(luò)的攻擊,還要防止來(lái)自操作系統(tǒng)廠(chǎng)商的攻擊;

4)在功能上包括了分組過(guò)濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)且具有加密鑒別功能;

5)透明性好,易于使用。

第五篇：計(jì)算機(jī)科學(xué)與技術(shù)畢業(yè)論文

畢業(yè) 設(shè)計(jì)（論文）

課題名稱(chēng) 姓 名 學(xué) 號(hào) 專(zhuān) 業(yè)

在線(xiàn)考試系統(tǒng)的設(shè)計(jì)與研發(fā)

XXX XXXXXXX 計(jì)算機(jī)科學(xué)與技術(shù)

摘 要

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及相關(guān)技術(shù)的不斷發(fā)展，考試的手段和媒介也在發(fā)生著巨大的變化，傳統(tǒng)的考試方式和手段正面臨著強(qiáng)烈的沖擊。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用于教育領(lǐng)域，經(jīng)歷了從傳統(tǒng)的紙筆考試到計(jì)算機(jī)輔助考試，再到實(shí)現(xiàn)了真正的無(wú)紙化考試。在線(xiàn)式考試不僅可以節(jié)省大量的人力、物力，還可以提高考試的效率和質(zhì)量，降低考試成本，使得網(wǎng)絡(luò)考試不受時(shí)間和空間的限制，并且評(píng)測(cè)結(jié)果更為準(zhǔn)確和客觀。

將“在線(xiàn)考試系統(tǒng)”作為設(shè)計(jì)題目主要是為了把教師從傳統(tǒng)的卷紙考試的工作中解脫出來(lái)，把學(xué)生從傳統(tǒng)的學(xué)習(xí)方式中解脫出來(lái)。

“考試系統(tǒng)”主要由兩個(gè)部分組成，分別是：“前臺(tái)的網(wǎng)頁(yè)設(shè)計(jì)”和“后臺(tái)的題庫(kù)系統(tǒng)服務(wù)”。該系統(tǒng)所能實(shí)現(xiàn)的主要模塊功能，包括學(xué)生信息管理、管理員信息管理、考試科目管理、題庫(kù)管理、自動(dòng)組卷、在線(xiàn)考試、自動(dòng)閱卷、學(xué)生成績(jī)管理等功能。本系統(tǒng)采用ASP語(yǔ)言進(jìn)行開(kāi)發(fā)，集題庫(kù)管理，在線(xiàn)考試，實(shí)時(shí)評(píng)判于一體，本文分析了計(jì)算機(jī)考試系統(tǒng)的關(guān)鍵技術(shù)以及存在的問(wèn)題。提出了實(shí)現(xiàn)該系統(tǒng)的體系結(jié)構(gòu)，軟件功能模塊等，系統(tǒng)通過(guò)提高考試的效率，增強(qiáng)測(cè)試的反饋效果，使教師的教與學(xué)生的學(xué)更有針對(duì)性。

本系統(tǒng)速度快、穩(wěn)定性強(qiáng)，為學(xué)生課程學(xué)習(xí)、個(gè)性化學(xué)習(xí)提供了靈活、方便、科學(xué)的檢測(cè)手段，經(jīng)過(guò)測(cè)試，該系統(tǒng)達(dá)到了預(yù)期的設(shè)計(jì)目標(biāo)，非常適合于學(xué)校的考試工作。

關(guān)鍵詞：在線(xiàn)考試;ASP技術(shù);數(shù)據(jù)庫(kù)開(kāi)發(fā)和應(yīng)用;隨機(jī)生成試卷;

目 錄

摘 要......................................................................................................................................................2 關(guān)鍵詞：................................................................................................................................................2 緒論........................................................................................................................................................4 1 系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)........................................................................................................................4 1.1 ASP技術(shù)..........................................................................................................................................4 1.2數(shù)據(jù)庫(kù)技術(shù)......................................................................................................................................5 1.2.1 數(shù)據(jù)庫(kù)技術(shù)概述..........................................................................................................................5 1.2.2 ADO與數(shù)據(jù)庫(kù)的交互技術(shù)..........................................................................................................7 2 系統(tǒng)分析............................................................................................................................................7 2.1分析..................................................................................................................................................7 2.1.1條件的可行性...............................................................................................................................7 2.1.2 技術(shù)的可行性..............................................................................................................................7 2.1.3經(jīng)濟(jì)上的可行性...........................................................................................................................7 2.1.4考試系統(tǒng)的實(shí)用性.......................................................................................................................7 2.2系統(tǒng)構(gòu)架與開(kāi)發(fā)環(huán)境......................................................................................................................8 2.2.1確定系統(tǒng)的構(gòu)架...........................................................................................................................8 2.2.2選擇開(kāi)發(fā)環(huán)境...............................................................................................................................8 2.3系統(tǒng)需求分析..................................................................................................................................8 3 數(shù)據(jù)庫(kù)分析與設(shè)計(jì)............................................................................................................................9 3.1數(shù)據(jù)流程分析..................................................................................................................................9 3.2數(shù)據(jù)庫(kù)概念設(shè)計(jì)............................................................................................................................10 3.3數(shù)據(jù)庫(kù)邏輯設(shè)計(jì)............................................................................................................................10 4系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)................................................................................................................................11 4.1總體設(shè)計(jì).........................................................................................................................................11 4.2 模塊的詳細(xì)設(shè)計(jì)...........................................................................................................................12 4.2.1管理員子系統(tǒng).............................................................................................................................12 4.2.2學(xué)生管理子系統(tǒng).........................................................................................................................14 5 系統(tǒng)測(cè)試..........................................................................................................................................15 5.1 測(cè)試內(nèi)容.......................................................................................................................................15 5.3測(cè)試總結(jié)........................................................................................................................................16 6 結(jié) 論.................................................................................................................................................16 參考文獻(xiàn)..............................................................................................................................................17 致

謝...................................................................................................................錯(cuò)誤！未定義書(shū)簽。

緒論

隨著計(jì)算機(jī)技術(shù)的迅猛發(fā)展，學(xué)校教學(xué)和管理的信息化發(fā)展也有長(zhǎng)足的進(jìn)步，這就要求各個(gè)環(huán)節(jié)都均衡發(fā)展，其中之一是教師如何通過(guò)網(wǎng)絡(luò)了解學(xué)生的學(xué)習(xí)狀況。為此，配合傳統(tǒng)課堂教學(xué)而建立的在線(xiàn)考試系統(tǒng)就顯得相當(dāng)必要。傳統(tǒng)的考試都是采用紙、筆為介質(zhì)的手工考試方式，即使在目前的高等學(xué)校，這種方式仍然被廣泛使用。隨著考試類(lèi)型的不斷增加和考試要求的不斷提高，教師的工作量將隨之增大。同時(shí)，一次考試的反饋能力弱，試題選擇隨意性大，人為因素明顯，且考試時(shí)間地點(diǎn)必須固定。因此，傳統(tǒng)的考試方式己經(jīng)不能完全適應(yīng)現(xiàn)代考試的需要。

隨著人們對(duì)網(wǎng)絡(luò)的科學(xué)性和廣泛性的理解與加深，人們?cè)絹?lái)越重視考試系統(tǒng)的重要性、題庫(kù)的擴(kuò)展性、通用性及組卷部分的應(yīng)用性等方面的發(fā)展。還有網(wǎng)絡(luò)的普及，使得“在線(xiàn)考試系統(tǒng)”有了更加廣闊的應(yīng)用范圍。從傳統(tǒng)的紙筆考試到計(jì)算機(jī)輔助考試，再到最新的計(jì)算機(jī)在線(xiàn)考試，人們不斷地將高新技術(shù)服務(wù)運(yùn)用于考試。教師和學(xué)生都盼望有一個(gè)功能完善、操作簡(jiǎn)便、適用性強(qiáng)的網(wǎng)絡(luò)考試系統(tǒng)，在減輕教師的工作負(fù)擔(dān)、提高工作效率的同時(shí)，最大限度的排除了人為的因素，保證考試的客觀性?？荚嚥捎媒y(tǒng)一標(biāo)準(zhǔn)的計(jì)算機(jī)改卷方式，具有最佳的客觀性、安全性、可靠性，為準(zhǔn)確地評(píng)估學(xué)生的知識(shí)和能力水平提供有效的手段。系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)

該在線(xiàn)考試系統(tǒng)的設(shè)計(jì)遵循軟件工程的基本原則，經(jīng)過(guò)可行性分析、需求分析、數(shù)據(jù)庫(kù)分析與設(shè)計(jì)、系統(tǒng)實(shí)現(xiàn)、系統(tǒng)測(cè)試等幾個(gè)階段.系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)包括ASP技術(shù)、數(shù)據(jù)庫(kù)技術(shù)、Web技術(shù)等。下面對(duì)涉及的技術(shù)和相關(guān)理論作一個(gè)概述。

1.1 ASP技術(shù)

ASP(ActiveX Server Pages，動(dòng)態(tài)服務(wù)器主頁(yè))是微軟開(kāi)發(fā)的基于WindowsNT Server和IIS(Internet Information server)服務(wù)器端腳本運(yùn)行環(huán)境，利用它可以產(chǎn)生和運(yùn)行動(dòng)態(tài)的、交互的、高性能的Web服務(wù)應(yīng)用程序。其主要功能是為生成動(dòng)態(tài)的交互式的Web服務(wù)器應(yīng)用程序提供一種功能強(qiáng)大的方法或技術(shù)。ASP的主要特性是能夠把HTML、VBscript、Javascript、ActiveX組件等有機(jī)地組合在一起，形成一個(gè)能夠在服務(wù)器上運(yùn)行的應(yīng)用程序，并把按用戶(hù)要求專(zhuān)門(mén)制作的標(biāo)準(zhǔn)HTML 頁(yè)面送給客戶(hù)端瀏覽器。

ASP提供了一個(gè)服務(wù)器端的Scripting環(huán)境，使你能夠利用它建立和運(yùn)行動(dòng)態(tài)的，交互的，高效的網(wǎng)絡(luò)服務(wù)器的應(yīng)用程序。你只要運(yùn)行普通的瀏覽器，不必?fù)?dān)心你的瀏覽器能否運(yùn)行設(shè)計(jì)出來(lái)的ASP 程序，網(wǎng)絡(luò)服務(wù)器會(huì)自動(dòng)將ASP程序解釋成標(biāo)準(zhǔn)的HTML格動(dòng)態(tài)網(wǎng)絡(luò)考試系統(tǒng)式的網(wǎng)頁(yè)內(nèi)容，再送到用戶(hù)的瀏覽器端顯示出來(lái)。這樣瀏覽器只要能運(yùn)行一般的HTML代碼就可以瀏覽ASP所設(shè)計(jì)的網(wǎng)頁(yè)了。ASP內(nèi)含于IIS 中，它提

供一個(gè)服務(wù)器(ServerSide)的script環(huán)境，可以產(chǎn)生和執(zhí)行動(dòng)態(tài)的，交互式的，高效率的站點(diǎn)服務(wù)器(WebServer)的應(yīng)用程序。

ASP 并非一個(gè)Script語(yǔ)言，而是提供一個(gè)可以集成Script語(yǔ)言到HTML主頁(yè)的環(huán)境，ASP文件實(shí)際上就是帶有.ASP擴(kuò)展名的文本文件，開(kāi)發(fā)人員甚至可以用任何一個(gè)文本編輯器就可以進(jìn)行編輯。ASP支持共享文件數(shù)據(jù)庫(kù)(如Microsoft Access、FoxPro等)作為有效的數(shù)據(jù)源，此類(lèi)數(shù)據(jù)庫(kù)引擎適合于開(kāi)發(fā)小型的應(yīng)用程序系統(tǒng)。

綜上，ASP技術(shù)有如下特點(diǎn)與優(yōu)勢(shì)：(1)使用Asp可以組合HTML頁(yè)、腳本命令和ActiveX組件以創(chuàng)建交互的Web頁(yè)和基于Web的功能強(qiáng)大的應(yīng)用程序。(2)使用VBScript、JavaScript等簡(jiǎn)單易懂的腳本語(yǔ)言，結(jié)合HTML標(biāo)記，即可快速完成網(wǎng)站的應(yīng)用程序。無(wú)須編譯，容易編寫(xiě)。(3)使用普通的文本編輯器，如Windows的記事本，Word等都可以進(jìn)行ASP程序的編輯設(shè)計(jì)工作。(4)ASP程序與瀏覽器無(wú)關(guān)，用戶(hù)端只要使用可執(zhí)行HTML碼的瀏覽器，即可瀏覽Asp所設(shè)計(jì)的網(wǎng)頁(yè)內(nèi)容。(5)提高了程序的安全性，ASP的源程序不會(huì)傳到用戶(hù)的瀏覽器上，因而可以避免所寫(xiě)的源程序被他人剽竊。

1.2數(shù)據(jù)庫(kù)技術(shù)

數(shù)據(jù)庫(kù)技術(shù)主要研究如何存儲(chǔ)、使用和管理數(shù)據(jù)，是計(jì)算機(jī)數(shù)據(jù)管理技術(shù)發(fā)展的新階段，也是計(jì)算機(jī)技術(shù)中發(fā)展最快、應(yīng)用最廣的技術(shù)之一。當(dāng)前，數(shù)據(jù)庫(kù)技術(shù)已成為現(xiàn)代計(jì)算機(jī)信息系統(tǒng)和應(yīng)用系統(tǒng)開(kāi)發(fā)的核心技術(shù)，數(shù)據(jù)庫(kù)已成為計(jì)算機(jī)信息系統(tǒng)和應(yīng)用系統(tǒng)的組成核心。

1.2.1 數(shù)據(jù)庫(kù)技術(shù)概述

數(shù)據(jù)庫(kù)技術(shù)涉及到以下幾個(gè)最重要的概念: ① 數(shù)據(jù)庫(kù)(DataBase)是長(zhǎng)期儲(chǔ)存于計(jì)算機(jī)內(nèi)、有組織的、可共享的數(shù)據(jù)集合。數(shù)據(jù)庫(kù)中的數(shù)據(jù)按一定的數(shù)據(jù)模型組織、描述和儲(chǔ)存，具有較小的冗余度、較高的數(shù)據(jù)獨(dú)立性和易擴(kuò)展性，并可為一定范圍內(nèi)的各種用戶(hù)共享。

② 數(shù)據(jù)模型是數(shù)據(jù)特征的抽象，描述的是數(shù)據(jù)的共性。數(shù)據(jù)模型應(yīng)滿(mǎn)足三個(gè)方面的要求: 于在計(jì)算機(jī)上實(shí)現(xiàn)。

③ 數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS)是操縱和管理數(shù)據(jù)庫(kù)的軟件系統(tǒng)，它由一組計(jì)算機(jī)程序構(gòu)成，管理并控制數(shù)據(jù)資源的使用。它是數(shù)據(jù)庫(kù)系統(tǒng)的核心，主要是實(shí)現(xiàn)對(duì)共享數(shù)據(jù)有效的組織、管理和存取，它的基本功能包括以下幾個(gè)方面:（1）數(shù)據(jù)定義(DD)（2）數(shù)據(jù)操縱(DM)功能（3）數(shù)據(jù)庫(kù)的運(yùn)行管理

（4）數(shù)據(jù)組織、存儲(chǔ)和管理功能（5）數(shù)據(jù)庫(kù)的建立和維護(hù)功能

（6）其他功能

當(dāng)前流行的數(shù)據(jù)庫(kù)管理系統(tǒng)絕大多數(shù)是關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)，本系統(tǒng)采用以微型機(jī)系統(tǒng)為運(yùn)行環(huán)境的數(shù)據(jù)庫(kù)管理系統(tǒng)Access。

Access主要特點(diǎn)如下：

① 存儲(chǔ)方式單一

Access管理的對(duì)象有表、查詢(xún)、窗體、報(bào)表、頁(yè)、宏和模塊，以上對(duì)象都存放在后綴為（.mdb）的數(shù)據(jù)庫(kù)文件種，便于用戶(hù)的操作和管理。

② 面向?qū)ο?/p>

Access是一個(gè)面向?qū)ο蟮拈_(kāi)發(fā)工具，利用面向?qū)ο蟮姆绞綄?shù)據(jù)庫(kù)系統(tǒng)中的各種功能對(duì)象化，將數(shù)據(jù)庫(kù)管理的各種功能封裝在各類(lèi)對(duì)象中。它將一個(gè)應(yīng)用系統(tǒng)當(dāng)作是由一系列對(duì)象組成的，對(duì)每個(gè)對(duì)象它都定義一組方法和屬性，以定義該對(duì)象的行為和外國(guó)，用戶(hù)還可以按需要給對(duì)象擴(kuò)展方法和屬性。通過(guò)對(duì)象的方法、屬性完成數(shù)據(jù)庫(kù)的操作和管理，極大地簡(jiǎn)化了用戶(hù)的開(kāi)發(fā)工作。同時(shí)，這種基于面向?qū)ο蟮拈_(kāi)發(fā)方式，使得開(kāi)發(fā)應(yīng)用程序更為簡(jiǎn)便。

③ 界面友好、易操作

Access是一個(gè)可視化工具，風(fēng)格與Windows完全一樣，用戶(hù)想要生成對(duì)象并應(yīng)用，只要使用鼠標(biāo)進(jìn)行拖放即可，非常直觀方便。系統(tǒng)還提供了表生成器、查詢(xún)生成器、報(bào)表設(shè)計(jì)器以及數(shù)據(jù)庫(kù)向?qū)А⒈硐驅(qū)?、查?xún)向?qū)?、窗體向?qū)?、?bào)表向?qū)У裙ぞ?，使得操作?jiǎn)便，容易使用和掌握。

④ 集成環(huán)境、處理多種數(shù)據(jù)信息

Access是基于Windows操作系統(tǒng)下的集成開(kāi)發(fā)環(huán)境，該環(huán)境集成了各種向?qū)Ш蜕善鞴ぞ撸瑯O大地提高了開(kāi)發(fā)人員的工作效率，使得建立數(shù)據(jù)庫(kù)、創(chuàng)建表、設(shè)計(jì)用戶(hù)界面、設(shè)計(jì)數(shù)據(jù)查詢(xún)、報(bào)表打印等可以方便有序地進(jìn)行。

⑤ Access支持ODBC（開(kāi)發(fā)數(shù)據(jù)庫(kù)互連，Open Data Base Connectivity），利用Access強(qiáng)大的DDE（動(dòng)態(tài)數(shù)據(jù)交換）和OLE（對(duì)象的聯(lián)接和嵌入）特性，可以在一個(gè)數(shù)據(jù)表中嵌入位圖、聲音、Excel表格、Word文檔，還可以建立動(dòng)態(tài)的數(shù)據(jù)庫(kù)報(bào)表和窗體等。Access還可以將程序應(yīng)用于網(wǎng)絡(luò)，并與網(wǎng)絡(luò)上的動(dòng)態(tài)數(shù)據(jù)相聯(lián)接。利用數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)頁(yè)對(duì)象生成HTML文件，輕松構(gòu)建Internet/Intranet的應(yīng)用。

相聯(lián)接。利用數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)頁(yè)對(duì)象生成HTML文件，輕松構(gòu)建Internet/Intranet的應(yīng)用。

基于以上優(yōu)點(diǎn)，本系統(tǒng)使用Access數(shù)據(jù)庫(kù)技術(shù)。

當(dāng)前數(shù)據(jù)庫(kù)技術(shù)的發(fā)展呈現(xiàn)出與多種學(xué)科知識(shí)相結(jié)合的趨勢(shì)，凡是有數(shù)據(jù)產(chǎn)生的領(lǐng)域就可能需要數(shù)據(jù)庫(kù)技術(shù)的支持，它們相結(jié)合后就會(huì)出現(xiàn)一種新的數(shù)據(jù)庫(kù)成員而壯大數(shù)據(jù)庫(kù)家族。例如數(shù)據(jù)倉(cāng)庫(kù)技術(shù)、數(shù)據(jù)挖掘技術(shù)、Web數(shù)據(jù)庫(kù)技術(shù)等。

1.2.2 ADO與數(shù)據(jù)庫(kù)的交互技術(shù)

當(dāng)用戶(hù)需要瀏覽器與服務(wù)器交互的時(shí)候，通常需要訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)。因?yàn)橹挥袛?shù)據(jù)庫(kù)技術(shù)才能夠大量、快速地處理信息。

ADO是獨(dú)立于開(kāi)發(fā)工具和開(kāi)發(fā)語(yǔ)言的數(shù)據(jù)訪(fǎng)問(wèn)接口，它提供了程序開(kāi)發(fā)人員、應(yīng)用程序?qū)崟r(shí)存取各類(lèi)數(shù)據(jù)庫(kù)的能力，可以輕松地完成對(duì)各類(lèi)數(shù)據(jù)庫(kù)的查詢(xún)，存取等操作。又被稱(chēng)為通用數(shù)據(jù)訪(fǎng)問(wèn)(UDA)，其數(shù)據(jù)源包括數(shù)據(jù)庫(kù)，電子郵件，文件，文本，圖形等。使用ADO不僅可以讀取Access和SQL Server數(shù)據(jù)庫(kù)，也可以讀取其他與ODBC兼容的數(shù)據(jù)庫(kù)。ADO最主要優(yōu)點(diǎn)是:易于使用、速度快、支出內(nèi)存小。對(duì)數(shù)據(jù)庫(kù)的操作步驟為: ① 創(chuàng)建數(shù)據(jù)源名(DSN)② 創(chuàng)建數(shù)據(jù)庫(kù)連接(Connection)③ 創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象;④ 操作數(shù)據(jù)庫(kù);⑤ 關(guān)閉數(shù)據(jù)庫(kù)對(duì)象和連接。系統(tǒng)分析

2.1分析

2.1.1條件的可行性

目前各高校都開(kāi)通了校園網(wǎng)絡(luò)，而且教育主管部門(mén)也提出了對(duì)教學(xué)觀念、手段的改革，這些為在線(xiàn)考試系統(tǒng)的開(kāi)發(fā)應(yīng)用，提供了基礎(chǔ)條件和管理支持。

同時(shí)各高校都擁有數(shù)量眾多的計(jì)算機(jī)設(shè)備，學(xué)生也普遍具備了熟練操作計(jì)算機(jī)的基本技能，這些都說(shuō)明使用計(jì)算機(jī)進(jìn)行測(cè)試或考試是完全可行的。2.1.2 技術(shù)的可行性

本小組同學(xué)掌握了一定的開(kāi)發(fā)在線(xiàn)考試系統(tǒng)所必須的技術(shù)，并且當(dāng)前的軟、硬件技術(shù)能夠滿(mǎn)足設(shè)計(jì)考試系統(tǒng)的要求。

本系統(tǒng)采用ASP語(yǔ)言進(jìn)行系統(tǒng)開(kāi)發(fā)，ASP提供了強(qiáng)大的WEB應(yīng)用程序開(kāi)發(fā)能力，能夠滿(mǎn)足開(kāi)發(fā)需求并實(shí)現(xiàn)所需功能。由于Access具有強(qiáng)大的數(shù)據(jù)管理與處理能力，符合考試系統(tǒng)的需求，因此選擇Access作為后臺(tái)數(shù)據(jù)庫(kù)。在技術(shù)上具有可行性。2.1.3經(jīng)濟(jì)上的可行性

在線(xiàn)考試系統(tǒng)的廣泛應(yīng)用，可以節(jié)約大量的人力、物力和財(cái)力。它節(jié)省了紙張，減輕了教師的工作強(qiáng)度，從而節(jié)省了考試開(kāi)支，投資少，見(jiàn)效快。因此，使用網(wǎng)絡(luò)考試有顯著的經(jīng)濟(jì)和社會(huì)效益，也將成為今后考試的發(fā)展趨勢(shì)。2.1.4考試系統(tǒng)的實(shí)用性

本系統(tǒng)能夠處理單選題、多選題、填空題、簡(jiǎn)答題、論述題等題型，這些題型涵蓋了大部分學(xué)科的考試題型。對(duì)于單選題、多選題、判斷題等客觀題型采用計(jì)算機(jī)自動(dòng)評(píng)

分，對(duì)于填空題、簡(jiǎn)答題、論述題等主觀題型，則由教師人工閱卷作為補(bǔ)充。因此，在線(xiàn)考試系統(tǒng)具有一定的實(shí)用性。

綜上所述，實(shí)現(xiàn)在線(xiàn)考試系統(tǒng)無(wú)論從條件、技術(shù)，還是經(jīng)濟(jì)性、實(shí)用性都具備可行性。

2.2系統(tǒng)構(gòu)架與開(kāi)發(fā)環(huán)境

2.2.1確定系統(tǒng)的構(gòu)架

目前，基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的考試系統(tǒng)大都建立在網(wǎng)絡(luò)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)技術(shù)上，其工作模式多為C/S模式和B/S模式。

① C/S 模式需要開(kāi)發(fā)客戶(hù)和服務(wù)器軟件，且由于相當(dāng)部分功能集成在客戶(hù)機(jī)上，使客戶(hù)機(jī)的功能日趨復(fù)雜，被人們戲稱(chēng)為“胖客戶(hù)機(jī)”。其開(kāi)發(fā)、發(fā)布、移植的工作量非常大，也非常繁瑣，維護(hù)和管理的開(kāi)銷(xiāo)也不少，更不利于考試系統(tǒng)的安全。

有的 C/ S模式的考試系統(tǒng)甚至將功能全部集成在服務(wù)器端，使考試系統(tǒng)的界面、數(shù)據(jù)訪(fǎng)問(wèn)、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)管理等都由服務(wù)器端程序完成，從而使服務(wù)器成為網(wǎng)絡(luò)數(shù)據(jù)訪(fǎng)問(wèn)的瓶頸。當(dāng)考試期間大量考生訪(fǎng)問(wèn)服務(wù)器時(shí)，導(dǎo)致服務(wù)器響應(yīng)緩慢，甚至出現(xiàn)服務(wù)器塞機(jī)現(xiàn)象。C/S結(jié)構(gòu)還存在靈活性差、升級(jí)困難和系統(tǒng)安全性差等缺陷，已較難適應(yīng)當(dāng)前信息技術(shù)與網(wǎng)絡(luò)技術(shù)發(fā)展的需要。

② B/ S 模式的數(shù)據(jù)庫(kù)體系，客戶(hù)端軟件僅需安裝瀏覽器，用戶(hù)的應(yīng)用程序界面比較單一，客戶(hù)端硬件配置要求較低，易于管理和維護(hù)，而且開(kāi)發(fā)效率高、周期短、見(jiàn)效快，與具體平臺(tái)無(wú)關(guān)，具有極強(qiáng)的伸縮性，可以選擇不同廠(chǎng)家的設(shè)備和服務(wù)，采用公開(kāi)的標(biāo)準(zhǔn)和協(xié)議，系統(tǒng)資源的冗余度小，可擴(kuò)充性良好，是目前的主流技術(shù)。

當(dāng)然 B/ S模式的網(wǎng)上考試系統(tǒng)也有一定的局限性，例如，在數(shù)據(jù)查詢(xún)等響應(yīng)速度上，要遠(yuǎn)遠(yuǎn)地低于C/S體系結(jié)構(gòu)。

由上可知，C/S與B/S結(jié)構(gòu)各有所長(zhǎng)?；趯?shí)際情況，綜合利弊，本考試系統(tǒng)選擇B/S模式的體系結(jié)構(gòu)，并注意在設(shè)計(jì)時(shí)對(duì)不足之處加以改進(jìn)和完善，使所設(shè)計(jì)的在線(xiàn)考試系統(tǒng)的功能更加完善，更好地為考試服務(wù)。2.2.2選擇開(kāi)發(fā)環(huán)境

開(kāi)發(fā)平臺(tái)或工具的選擇，是軟件開(kāi)發(fā)成功的要素之一。開(kāi)發(fā)工具的選擇主要決定于兩個(gè)因素:所開(kāi)發(fā)系統(tǒng)的最終用戶(hù)和開(kāi)發(fā)人員。

ASP提供了強(qiáng)大的WEB應(yīng)用程序開(kāi)發(fā)能力，同時(shí)ASP可以通過(guò)ADO組件提供的接口訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)，便于開(kāi)發(fā)出功能強(qiáng)大的Web數(shù)據(jù)應(yīng)用程序。因此選擇ASP作為前臺(tái)開(kāi)發(fā)工具。本考試系統(tǒng)的調(diào)試環(huán)境為Windows XP，IIS 5.1，IE 6.0。由于Access具有強(qiáng)大的數(shù)據(jù)管理與處理能力，符合考試系統(tǒng)的需求，因此選擇Access作為后臺(tái)數(shù)據(jù)庫(kù)。

2.3系統(tǒng)需求分析

一個(gè)在線(xiàn)式網(wǎng)上考試系統(tǒng)的基本功能是使用計(jì)算機(jī)來(lái)代替人工完成考試中需要完

成的一系列任務(wù)，為了保證系統(tǒng)能夠長(zhǎng)期、安全、穩(wěn)定、高效的運(yùn)行，系統(tǒng)應(yīng)該滿(mǎn)足以下的性能需求: 首先，應(yīng)在考試之前建立有關(guān)學(xué)科的試題庫(kù)，并設(shè)置考試參數(shù)和信息。其次。考生進(jìn)考試系統(tǒng)后，應(yīng)該能根據(jù)自己的需要選擇考試科目，所以該系統(tǒng)應(yīng)具有考試科目選擇的功能。鑒于在線(xiàn)考試環(huán)境一般為機(jī)房，為了在線(xiàn)考試的規(guī)范性，對(duì)于每個(gè)應(yīng)試者來(lái)說(shuō)，試卷的題型和題量都應(yīng)是相同的，但試題并不相同。在線(xiàn)考試基于網(wǎng)絡(luò)環(huán)境，試卷應(yīng)該從服務(wù)器的試題庫(kù)隨機(jī)抽取試題后動(dòng)態(tài)生成的。另外，系統(tǒng)還應(yīng)該對(duì)考試時(shí)間進(jìn)行控制，時(shí)間到了會(huì)要求考試者交卷。考試者選擇提交后，應(yīng)該由計(jì)算機(jī)自動(dòng)判卷顯示成績(jī)。此外，應(yīng)該能夠方便、快捷的對(duì)在線(xiàn)考試系統(tǒng)進(jìn)行管理。

本系統(tǒng)應(yīng)具有以下功能或目標(biāo)： ① 用戶(hù)登錄。

② 用戶(hù)管理:管理員對(duì)用戶(hù)增加、刪除。

③ 試題庫(kù)管理:對(duì)各題型的管理，試題的錄入、增加、編輯、刪除等。④ 試題參數(shù)設(shè)置:知識(shí)范圍、題型、數(shù)量、分值等。

⑤ 試卷生成:可以指定試卷的各題型的數(shù)量，從試題庫(kù)里隨機(jī)抽取試題生成一份考卷。

⑥ 在線(xiàn)考試:系統(tǒng)嚴(yán)格控制整個(gè)考試過(guò)程，考生需要在限定的考試時(shí)間內(nèi)交卷。⑦ 計(jì)算機(jī)自動(dòng)閱卷:能夠自動(dòng)評(píng)分，最后計(jì)算機(jī)生成每個(gè)考生的成績(jī)，并將結(jié)果保存于考生成績(jī)數(shù)據(jù)庫(kù)。

⑧ 綜合查閱:不同的用戶(hù)，根據(jù)不同的權(quán)限，可以對(duì)考生試卷、成績(jī)等信息進(jìn)行查詢(xún)，并能夠刪除指定紀(jì)錄。

⑨ 在線(xiàn)考試系統(tǒng)應(yīng)該具備友好4．?dāng)?shù)據(jù)庫(kù)分析與設(shè)計(jì)

數(shù)據(jù)庫(kù)技術(shù)對(duì)數(shù)據(jù)處理量大、數(shù)據(jù)類(lèi)型復(fù)雜，以及對(duì)數(shù)據(jù)的存儲(chǔ)、維護(hù)、檢索、分類(lèi)、統(tǒng)計(jì)等諸多方面具有強(qiáng)大的功能。數(shù)據(jù)庫(kù)獨(dú)立于程序而存在，具有較好的安全性，本考試系統(tǒng)使用Microsoft Access作為后臺(tái)數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)分析與設(shè)計(jì)

3.1數(shù)據(jù)流程分析

通過(guò)對(duì)系統(tǒng)功能需求，以及功能模塊的劃分情況的深入研究分析，可以得到如圖4.1所示的在線(xiàn)考試系統(tǒng)的數(shù)據(jù)流程圖。

簡(jiǎn)潔的操作界面，安全性要高，穩(wěn)定性要強(qiáng)，能夠滿(mǎn)足多人以上同時(shí)及進(jìn)行在線(xiàn)考試。

圖4.1 系統(tǒng)數(shù)據(jù)流圖

3.2數(shù)據(jù)庫(kù)概念設(shè)計(jì)

在線(xiàn)考試的主要實(shí)體為:管理員、教師、考題、學(xué)生，并簡(jiǎn)要地設(shè)計(jì)出如圖4.2所示E-R關(guān)系圖，為數(shù)據(jù)庫(kù)的邏輯結(jié)構(gòu)設(shè)計(jì)奠定基礎(chǔ)。

圖4.2 E-R簡(jiǎn)圖

3.3數(shù)據(jù)庫(kù)邏輯設(shè)計(jì)

數(shù)據(jù)庫(kù)的邏輯設(shè)計(jì)是將數(shù)據(jù)的概念結(jié)構(gòu)轉(zhuǎn)化為Access數(shù)據(jù)庫(kù)系統(tǒng)的實(shí)際模型，從而得到數(shù)據(jù)庫(kù)的邏輯結(jié)構(gòu)，以便在數(shù)據(jù)庫(kù)中建立表結(jié)構(gòu)。

本考試系統(tǒng)主要包括5個(gè)數(shù)據(jù)庫(kù)表，1.question表用于計(jì)算機(jī)基礎(chǔ)題庫(kù)的建立，將題目通過(guò)試題編輯系統(tǒng)輸入其中，為考題來(lái)源。2.subject 表用于題庫(kù)類(lèi)別的建立3.student表用于學(xué)生信息的寫(xiě)入。4.score表用于系統(tǒng)自動(dòng)評(píng)分以后，成績(jī)的寫(xiě)入。5.admin表。各表的結(jié)構(gòu)如表4.1-4.5所示。

表4.1 question 表

表4.2 s ubject 表

4系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

4.1總體設(shè)計(jì)

在線(xiàn)考試系統(tǒng)使用B/S模式，運(yùn)行于Windows平臺(tái)，使用1E瀏覽器，完成考試管理、在線(xiàn)考試、成績(jī)查詢(xún)等一系列考試任務(wù)。

根據(jù)前面的系統(tǒng)分析，以及對(duì)在線(xiàn)考試系統(tǒng)的深入研究和分析，本系統(tǒng)總體上可以分為三個(gè)部分:管理員子系統(tǒng)、教師子系統(tǒng)、學(xué)生子系統(tǒng)，分別面向管理員、教師、學(xué)生，其系統(tǒng)總體結(jié)構(gòu)如圖5.1所示。

圖5.1 在線(xiàn)考試系統(tǒng)總體結(jié)構(gòu)圖

要實(shí)現(xiàn)上述各項(xiàng)功能，本系統(tǒng)基于ASP+ Microsoft Access進(jìn)行設(shè)計(jì)開(kāi)發(fā)，最終以WEB方式運(yùn)行于服務(wù)器端。

4.2 模塊的詳細(xì)設(shè)計(jì)

4.2.1管理員子系統(tǒng)

4.2.1.1管理員子系統(tǒng)功能概述

管理員子系統(tǒng)是管理員專(zhuān)用的。本模塊主要功能有： ① 教師信息管理

(1)增加教師的用戶(hù)名、姓名、密碼、操作權(quán)限等信息。

(2)修改教師信息，可以修改的數(shù)據(jù)包括用戶(hù)名、姓名、密碼、操作權(quán)限等信息等。(3)刪除教師信息。② 學(xué)生信息管理

(1)增加考生信息，包括考號(hào)、姓名、登錄密碼等。(2)修改考生信息，包括考號(hào)、姓名、登錄密碼等。(3)刪除考生信息。③ 成績(jī)查詢(xún)統(tǒng)計(jì)

(1)查詢(xún)考生成績(jī)，可按照考生編號(hào)、試卷編號(hào)、所得的總分?jǐn)?shù)來(lái)進(jìn)行查詢(xún)。

(2)將查詢(xún)或統(tǒng)計(jì)的結(jié)果進(jìn)行打印。

4.2.1.2管理員子系統(tǒng)數(shù)據(jù)流程圖

圖5.2 管理員子系統(tǒng)數(shù)據(jù)流程圖

4.2.1.3 用戶(hù)登錄界面

當(dāng)在IE中運(yùn)行本系統(tǒng)時(shí)，用戶(hù)可分別以教師、學(xué)生的身份登錄，管理員以admin為用戶(hù)名登錄，但操作的權(quán)限不同。用戶(hù)登錄界面如下：

4.2.1.3 管理界面

、圖5.4 管理界面

4.2.1.4 編輯學(xué)生信息界面

圖5.5 編輯學(xué)生信息界面

4.2.2學(xué)生管理子系統(tǒng)

4.2.2.1學(xué)生管理子系統(tǒng)功能概述

學(xué)生子系統(tǒng)主要為參加考試的學(xué)生提供在線(xiàn)考試、查詢(xún)考試成績(jī)等功能服務(wù)。本模塊完成的主要功能有：

① 登錄考試系統(tǒng)

要求對(duì)以學(xué)生名義登錄的用戶(hù)進(jìn)身份驗(yàn)證，避免無(wú)關(guān)的垃圾數(shù)據(jù)進(jìn)行考試 系統(tǒng)，影響成績(jī)統(tǒng)計(jì)和分析工作。

②在線(xiàn)考試

此功能是網(wǎng)上考試系統(tǒng)的主要功能。

(1)只有通過(guò)驗(yàn)證的考生，方可進(jìn)入考試界面。

(2)考生登錄后，選擇考試科目。如果沒(méi)有所需要科目，則不能進(jìn)行考試。(3)選擇試卷?？忌蓮囊呀?jīng)組卷的各套試卷中，任意選擇一套。系統(tǒng)自動(dòng)生成考生的答卷。

(4)系統(tǒng)自動(dòng)計(jì)時(shí)。進(jìn)入考試頁(yè)面后，自動(dòng)計(jì)時(shí)器自動(dòng)開(kāi)始工作，根據(jù)設(shè)置的考試時(shí)間計(jì)時(shí)。當(dāng)考試時(shí)間到，自動(dòng)結(jié)束考試并保存考卷。

③ 考試成績(jī)查詢(xún)。在考試結(jié)束后，考生可以立即查看考試成績(jī)。5.2.2.2 學(xué)生子系統(tǒng)流程圖

圖5.6 學(xué)生子系統(tǒng)流程圖

5.2.2.3 在線(xiàn)考試界面

圖5.7 在線(xiàn)考試界面 系統(tǒng)測(cè)試

應(yīng)用軟件制作完成后，要保證它整體的質(zhì)量，即要保證程序能從頭至尾地?zé)o差錯(cuò)的執(zhí)行就要進(jìn)行測(cè)試，系統(tǒng)測(cè)試主要是要看這個(gè)應(yīng)用產(chǎn)品是否滿(mǎn)足用戶(hù)的需求和系統(tǒng)整體的嚴(yán)密性要求，較好的質(zhì)量是要依賴(lài)于精心的分析、設(shè)計(jì)和完整細(xì)心的測(cè)試。這就要我們?cè)谧龊妹恳徊匠绦虻耐瑫r(shí)，要時(shí)時(shí)監(jiān)督并改善軟件的開(kāi)發(fā)過(guò)程，通過(guò)針對(duì)性的測(cè)試，提早的發(fā)現(xiàn)潛在的問(wèn)題，以便能讓程序設(shè)計(jì)者能盡快的對(duì)系統(tǒng)的錯(cuò)誤進(jìn)行修改、補(bǔ)充，盡量使測(cè)試細(xì)化，能覆蓋到整個(gè)系統(tǒng)。對(duì)于一個(gè)完整的軟件系統(tǒng)，通?？梢詮钠渫獠刻匦?、內(nèi)部特性等幾個(gè)方面來(lái)評(píng)價(jià)質(zhì)量。

5.1 測(cè)試內(nèi)容

對(duì)開(kāi)發(fā)完成的系統(tǒng)要進(jìn)行針對(duì)性的測(cè)試，測(cè)試的內(nèi)容包括以下幾點(diǎn)： ① 代碼中測(cè)試系統(tǒng)對(duì)輸入的非法數(shù)據(jù)的反應(yīng)

在系統(tǒng)啟動(dòng)登錄時(shí)，輸入錯(cuò)誤口令，系統(tǒng)將提示“用戶(hù)名或密碼輸入有誤’、用戶(hù)將繼續(xù)輸入口令，如果輸入的次數(shù)超過(guò)3次，則退出程序。

② 測(cè)試錄入的數(shù)據(jù)是否正確存儲(chǔ)

當(dāng)錄入完某個(gè)試題數(shù)據(jù)后，選擇保存，系統(tǒng)將返回上一畫(huà)面并且同時(shí)顯示剛錄入的記錄，這就說(shuō)明數(shù)據(jù)已經(jīng)正確存儲(chǔ)。

③ 測(cè)試當(dāng)選擇某些條件時(shí)是否能正常顯示要查詢(xún)的記錄

當(dāng)選擇完某些條件時(shí)，按查詢(xún)，如果能夠顯示所要查詢(xún)的記錄，這就說(shuō)明數(shù)據(jù)的查詢(xún)功能是正常的。

④ 測(cè)試系統(tǒng)是否能正常的生成試卷 ⑤ 測(cè)試系統(tǒng)是否能正常的進(jìn)入考試系統(tǒng) ⑥ 測(cè)試試卷內(nèi)容和分?jǐn)?shù)是否正確。⑦ 數(shù)據(jù)之間的連接是否正確 6.2測(cè)試手段

① 自己對(duì)于源代碼的編寫(xiě)，一邊編寫(xiě)，一邊測(cè)試。② 可通過(guò)自帶的強(qiáng)大調(diào)試工具進(jìn)行調(diào)試。

③ 讓其他教師和學(xué)生作系統(tǒng)的用戶(hù)來(lái)使用本系統(tǒng)，找出系統(tǒng)中存在的問(wèn)題。

5.3測(cè)試總結(jié)

本系統(tǒng)經(jīng)過(guò)一系列的針對(duì)性的測(cè)試，對(duì)于各個(gè)非法數(shù)據(jù)的輸入，系統(tǒng)都給出了錯(cuò)誤的窗口警告，提示用戶(hù)使用正確的數(shù)據(jù)，使用戶(hù)的要求能夠得到滿(mǎn)足，整個(gè)系統(tǒng)的邏輯功能正常，添加和刪除、修改的合法數(shù)據(jù)能夠做到真正的實(shí)現(xiàn)，查詢(xún)結(jié)果能正確的顯示出來(lái)，試卷內(nèi)容和試卷分?jǐn)?shù)(試卷輸出分?jǐn)?shù)和人工計(jì)算結(jié)果一致)。雖然目前所進(jìn)行的一切測(cè)試，其測(cè)試結(jié)果都是正確的，但這并不能說(shuō)明本系統(tǒng)就是完美無(wú)缺的，只能證明程序功能是正確的，并不能證明程序的動(dòng)態(tài)性是符合要求的，只有用戶(hù)長(zhǎng)期的使用才能得到真正的驗(yàn)證。所以，系統(tǒng)要進(jìn)行長(zhǎng)期地、不斷地測(cè)試，發(fā)現(xiàn)一個(gè)新問(wèn)題，就要修正一個(gè)問(wèn)題，更好、更快、更完善的維護(hù)系統(tǒng)的性能。結(jié) 論

畢業(yè)設(shè)計(jì)的主要任務(wù)是設(shè)計(jì)和開(kāi)發(fā)一個(gè)在線(xiàn)考試系統(tǒng)，替代傳統(tǒng)的考試方式。本人參與該開(kāi)發(fā)工作以來(lái)，閱讀大量參考文獻(xiàn)，研究了同類(lèi)系統(tǒng)的功能和流程，完成了在線(xiàn)考試系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)工作。從該系統(tǒng)的測(cè)試結(jié)果來(lái)看，基本達(dá)到了預(yù)期的目標(biāo)，具有較強(qiáng)的實(shí)用性，取得了明顯的效果。網(wǎng)絡(luò)考試系統(tǒng)的研制與設(shè)計(jì)，不僅對(duì)于改變傳統(tǒng)的考試方式有著深遠(yuǎn)的意義，而且對(duì)于遠(yuǎn)程教育也具有重要的應(yīng)用價(jià)值。

通過(guò)這次畢業(yè)設(shè)計(jì)，我充分鍛煉了自己的思考和動(dòng)手能力，學(xué)習(xí)了ASP、Access的相關(guān)知識(shí)，并對(duì)其有了比較深入的了解。從學(xué)習(xí)相關(guān)參考資料開(kāi)始，到自己動(dòng)手編寫(xiě)程序，至調(diào)試程序，完成畢業(yè)設(shè)計(jì)任務(wù)。在這個(gè)過(guò)程中，我不但熟練掌握ASP，更重要的是鍛煉了從多方面思考問(wèn)題、解決問(wèn)題的能力。此次畢設(shè)我真的是受益匪淺。

參考文獻(xiàn)

[1]楊春明.Web方式下通用考試系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).計(jì)算機(jī)與現(xiàn)代化.2008.5 [2]侯鴻林，朱向峰基于WEB的考試系統(tǒng)的實(shí)現(xiàn).教育信息化.2005.7 [3]譚浩強(qiáng).網(wǎng)頁(yè)編程技術(shù).北京：清華大學(xué)出版社.2002.6 [4]明仲，戚杰基于Web的網(wǎng)上考試系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).中國(guó)電化教育.2004.5 [5]殷大發(fā)無(wú)紙化考試系統(tǒng)的研究和開(kāi)發(fā)團(tuán).計(jì)算機(jī)與現(xiàn)代化.2006.1 [6]魏希三.B/S模式的網(wǎng)上考試系統(tǒng)中關(guān)鍵模塊的設(shè)計(jì)及實(shí)現(xiàn).福建電腦.200.8 [7]李新葉.基于ASP的網(wǎng)上題庫(kù)與在線(xiàn)考試系統(tǒng).微機(jī)發(fā)展.2004 [8]注永明.基于B/S模式的在線(xiàn)考試系統(tǒng).微機(jī)發(fā)展.2005.7