第一篇：大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全技術(shù)實(shí)踐探索論文

摘要：計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)技術(shù)的進(jìn)步，促成了大數(shù)據(jù)的繁榮發(fā)展。在大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)安全涉及技術(shù)、管理、使用等諸多方面，給人們帶來方便的同時(shí)，也使得網(wǎng)絡(luò)安全面臨著更加嚴(yán)峻的挑戰(zhàn)。本文介紹了大數(shù)據(jù)時(shí)代基本知識(shí)，并結(jié)合基于大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全的主要問題，提出了相應(yīng)的防御手段。

關(guān)鍵詞：大數(shù)據(jù)；網(wǎng)絡(luò)安全；實(shí)踐

0引言

近年來，大數(shù)據(jù)問題毫無疑問地成為了信息技術(shù)學(xué)術(shù)界和產(chǎn)業(yè)界熱論的焦點(diǎn)。在發(fā)展過程中，數(shù)據(jù)信息已經(jīng)蔓延到淘寶、微信、快遞等相關(guān)領(lǐng)域，囊括了大量的個(gè)人隱私，反映著人們生活的各個(gè)細(xì)節(jié)。尤其是互聯(lián)網(wǎng)的飛速發(fā)展，更加速了數(shù)據(jù)的產(chǎn)生速度，使其規(guī)模逐漸加大，運(yùn)用大數(shù)據(jù)手段進(jìn)行分析處理的需求十分迫切。整體來看，大量數(shù)據(jù)的生成和累積帶來了巨大的經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值。但是，事物的產(chǎn)生與發(fā)展都是具有兩面性的。對(duì)于大數(shù)據(jù)的迅猛發(fā)展，雖然推動(dòng)了整個(gè)信息產(chǎn)業(yè)的創(chuàng)新發(fā)展，卻也增大了網(wǎng)絡(luò)安全管理的難度，一旦疏忽或有漏洞被不法分子利用，將造成極大的不良影響和嚴(yán)重后果?；诖?，給大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全技術(shù)帶來了機(jī)遇與挑戰(zhàn)。

1大數(shù)據(jù)時(shí)代基本知識(shí)概述

所謂大數(shù)據(jù)，并不意味著是對(duì)數(shù)據(jù)量大小的定量描述，而是涉及更大規(guī)模的資料量，努力從這些種類繁多、數(shù)量龐大的多樣數(shù)據(jù)中進(jìn)行相關(guān)信息的獲取，其特點(diǎn)是海量、多樣、快速、靈活而復(fù)雜。受大量敏感信息的產(chǎn)生，所涉及的網(wǎng)絡(luò)安全分析也較多。第一，物理安全分析。網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的合理性；機(jī)房環(huán)境防潮防塵、防止電磁干擾等，這些網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。第二，信息內(nèi)容安全分析。信息的泄露與破壞，會(huì)給用戶帶來隱患和困擾，嚴(yán)重的還會(huì)泄露一些重要信息，給經(jīng)濟(jì)、社會(huì)和政治產(chǎn)生很大的影響。第三，信息傳播安全分析。各種網(wǎng)絡(luò)通信協(xié)議并不是專門為實(shí)現(xiàn)數(shù)據(jù)的安全通信而設(shè)計(jì)的，所以大多存在一些安全漏洞，給信息傳播帶來阻力，嚴(yán)重時(shí)將直接導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓。第四，管理安全分析。安全管理制度的不健全，使得網(wǎng)絡(luò)即使出現(xiàn)攻擊行為或違規(guī)操作，也無法尋回丟失的數(shù)據(jù)。總的來看，網(wǎng)絡(luò)沒有100%的安全，在大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)安全建設(shè)是三分靠技術(shù)，七分靠管理。

2大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全面臨的現(xiàn)實(shí)問題

大數(shù)據(jù)有著海量、多樣化、變化速度快以及價(jià)值密度低等特點(diǎn)，涉及采集、傳輸、保存、分析等多方面因素，在安全上有著很高的要求。一旦發(fā)生數(shù)據(jù)泄露，造成的影響將難以估量。具體分析，主要涉及以下幾方面：

2.1用戶自身安全意識(shí)不足

從當(dāng)前的社會(huì)現(xiàn)實(shí)來看，人們普遍對(duì)信息缺乏安全意識(shí)，如辦理超市會(huì)員卡，就會(huì)時(shí)常收到超市舉辦的活動(dòng)信息；在網(wǎng)絡(luò)上購買過化妝品，便會(huì)經(jīng)常彈出關(guān)于化妝品的推薦等。事實(shí)上，很多無意中的行為已經(jīng)將個(gè)人的隱私和信息泄露出去，可能并不是所有的信息泄露都會(huì)帶來危險(xiǎn)，但若這些大數(shù)據(jù)信息被不法分子破壞并利用，極有可能大幅提高了網(wǎng)絡(luò)遭受攻擊的可能性。

2.2訪問權(quán)限混亂

在大數(shù)據(jù)泛濫的情況下，訪問權(quán)限的設(shè)置必須引起重視。所謂訪問權(quán)限，主要以保障每個(gè)用戶的隱私安全，維護(hù)網(wǎng)絡(luò)信息訪問秩序?yàn)槟康?，根?jù)用戶身份的標(biāo)識(shí)來限制某些信息的獲取。但是，隨著網(wǎng)絡(luò)發(fā)展迅猛各種信息被高速傳送，信息訪問權(quán)限在一定程度上存在混亂，而這也給用戶的安全隱私造成了直接的風(fēng)險(xiǎn)。

2.3的增多

在網(wǎng)絡(luò)節(jié)點(diǎn)不斷增加的環(huán)境下，越來越多的看到了所謂大數(shù)據(jù)漏洞中的“商機(jī)”，開始利用傳輸過程中的漏洞來獲取數(shù)據(jù)。給個(gè)人身份信息、社交信息、財(cái)產(chǎn)狀況帶來了泄露風(fēng)險(xiǎn)，甚至于還會(huì)給企業(yè)以及政府的相關(guān)敏感信息增加了附帶風(fēng)險(xiǎn)。

2.4存儲(chǔ)方面的問題

鑒于目前關(guān)系型數(shù)據(jù)庫技術(shù)尚不成熟，在大數(shù)據(jù)中更多呈現(xiàn)的是非結(jié)構(gòu)化數(shù)據(jù)，當(dāng)不同類別的數(shù)據(jù)集中起來，極易造成數(shù)據(jù)存儲(chǔ)方面的混亂。而存儲(chǔ)方面的漏洞與缺陷又直接促生了許多的安全防護(hù)問題，會(huì)出現(xiàn)數(shù)據(jù)被篡改、失竊的現(xiàn)象。

3大數(shù)據(jù)時(shí)代下提高網(wǎng)絡(luò)安全技術(shù)的具體方法

從大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全面臨的現(xiàn)實(shí)問題出發(fā)，進(jìn)行有針對(duì)性的相關(guān)分析，得出幾方面的提高網(wǎng)絡(luò)安全技術(shù)有效措施，對(duì)網(wǎng)絡(luò)安全技術(shù)的提升有著良好的應(yīng)用效果。具體而言，主要包括以下幾方面：

3.1提高用戶安全意識(shí)，培養(yǎng)網(wǎng)絡(luò)安全人才

提高大數(shù)據(jù)用戶的合法權(quán)益，是確保大數(shù)據(jù)進(jìn)一步發(fā)展的重要前提。只有用戶有意識(shí)地保護(hù)自身的數(shù)據(jù)信息的安全性，提高安全意識(shí)，才能為個(gè)人信息安全打好基礎(chǔ)，促使用戶將數(shù)據(jù)的存儲(chǔ)與使用分開保護(hù)，并根據(jù)實(shí)際情況對(duì)數(shù)據(jù)進(jìn)行加密，全方位確保數(shù)據(jù)的安全。另外，作為維護(hù)網(wǎng)絡(luò)安全的重要部分，網(wǎng)絡(luò)安全管理人員必須掌握更多與網(wǎng)絡(luò)安全相關(guān)的知識(shí)，將其靈活應(yīng)用于自身工作過程中，提高網(wǎng)絡(luò)安全管理效率，使網(wǎng)絡(luò)安全管理工作更加規(guī)范化。

3.2強(qiáng)化網(wǎng)絡(luò)安全技術(shù)手段，維護(hù)系統(tǒng)安全

如前文所述，在大數(shù)據(jù)環(huán)境下，病毒傳播、系統(tǒng)漏洞攻擊等情況不可避免，所以在未來必須進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全技術(shù)手段，讓整個(gè)互聯(lián)網(wǎng)管理更標(biāo)準(zhǔn)，系統(tǒng)更安全。第一，訪問權(quán)限控制。訪問控制通常以用戶身份認(rèn)證為前提，通過對(duì)用戶訪問網(wǎng)絡(luò)資源的權(quán)限的嚴(yán)格認(rèn)證和控制，對(duì)用戶進(jìn)行身份認(rèn)證，設(shè)置用戶訪問目錄和文件的權(quán)限以及網(wǎng)絡(luò)設(shè)備配置的權(quán)限等。這種對(duì)資源訪問者的篩選，能夠有效地將非法用戶阻擋，實(shí)現(xiàn)維護(hù)系統(tǒng)安全的目的。第二，數(shù)據(jù)加密。采用加密算法和加密密鑰將明文的數(shù)據(jù)轉(zhuǎn)變成密文，可以保證信息數(shù)據(jù)存儲(chǔ)和傳輸過程中的安全性。第三，網(wǎng)絡(luò)隔離。防火墻是目前在大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)隔離的主要形式與手段，通過分析、檢測、管理和控制網(wǎng)絡(luò)內(nèi)外部之間的數(shù)據(jù)流量，進(jìn)一步篩選哪些內(nèi)部服務(wù)可以被外界訪問，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部非法用戶的侵入。同時(shí)，入侵檢測作為防火墻技術(shù)的一種補(bǔ)充，其同樣可以通過監(jiān)測網(wǎng)絡(luò)實(shí)現(xiàn)網(wǎng)絡(luò)安全防御措施，實(shí)時(shí)保護(hù)網(wǎng)絡(luò)安全。第四，病毒防治與預(yù)防。目前大數(shù)據(jù)環(huán)境下最理想的防止病毒攻擊的方法是安裝防病毒軟件、定期升級(jí)病毒庫、及時(shí)安裝最新的安全補(bǔ)丁等，如此有效阻止病毒進(jìn)入系統(tǒng)。第五，數(shù)據(jù)備份。重要的數(shù)據(jù)一旦丟失，后果不堪設(shè)想。所以，必須進(jìn)行數(shù)據(jù)容災(zāi)備份。數(shù)據(jù)備份是對(duì)數(shù)據(jù)進(jìn)行保護(hù)的最后一道防線，即使已經(jīng)存在一系列安全設(shè)備，也要對(duì)數(shù)據(jù)進(jìn)行備份，防止數(shù)據(jù)丟失，在最大限度上確保數(shù)據(jù)的安全。

3.3加強(qiáng)網(wǎng)絡(luò)監(jiān)管力度，做好檢驗(yàn)及防范工作

網(wǎng)絡(luò)安全的基礎(chǔ)是網(wǎng)絡(luò)監(jiān)管制度，無論什么時(shí)候，具備完善的監(jiān)管制度，都是進(jìn)行網(wǎng)絡(luò)安全處理的現(xiàn)實(shí)依據(jù)。加快大數(shù)據(jù)平臺(tái)建設(shè)的同時(shí)確保信息的安全，必須嚴(yán)格控制數(shù)據(jù)的收集傳輸和使用，定時(shí)開展安全審查，定期進(jìn)行安全檢測與風(fēng)險(xiǎn)評(píng)估與定位；加強(qiáng)系統(tǒng)的修復(fù)工作，搶在蠕蟲、等各種病毒攻擊前加強(qiáng)防范措施；另外，還要積極建立網(wǎng)絡(luò)安全信息管理平臺(tái)，利用大數(shù)據(jù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行分析，整體提升排查隱患、緊急處置的能力，達(dá)到預(yù)知網(wǎng)絡(luò)漏洞并及時(shí)做出修補(bǔ)的目的。

4結(jié)語

大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全無論是從管理、使用，還是單純的技術(shù)等方面，都面臨著嚴(yán)峻的挑戰(zhàn)?？梢哉f，發(fā)展大數(shù)據(jù)已經(jīng)成為行業(yè)共識(shí)，是必然趨勢。在這一大環(huán)境下，我們只有樹立網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)對(duì)大數(shù)據(jù)的深入分析，對(duì)網(wǎng)絡(luò)安全現(xiàn)狀及其存在的諸多漏洞與現(xiàn)實(shí)問題進(jìn)行梳理，對(duì)病毒的侵襲進(jìn)行有效的監(jiān)管和防范，從提高用戶安全意識(shí)，強(qiáng)化網(wǎng)絡(luò)安全技術(shù)手段，加強(qiáng)網(wǎng)絡(luò)監(jiān)管力度等方面逐一進(jìn)行完善與提升，才能保證客戶信息的安全、穩(wěn)定，才能為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)，推動(dòng)計(jì)算機(jī)管理技術(shù)在大數(shù)據(jù)背景下安全使用，提升各行各業(yè)的經(jīng)濟(jì)效益。

參考文獻(xiàn)：

[1]萬志華.大數(shù)據(jù)環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題研究[J].科技創(chuàng)新與研究，2016.[2]姜茸,馬自飛,李彤.云計(jì)算安全風(fēng)險(xiǎn)因素挖掘及應(yīng)對(duì)策略[J].電子技術(shù)與軟件工程，2015.[3]張傳勇.基于大數(shù)據(jù)時(shí)代下的網(wǎng)絡(luò)安全問題分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.[4]鄧?yán)?基于大數(shù)據(jù)時(shí)代下的網(wǎng)絡(luò)安全問題分析[J].課程教育研究（學(xué)法教法研究），2016.

第二篇：《網(wǎng)絡(luò)安全技術(shù)》論文

常見防火墻技術(shù)分析

摘要:

計(jì)算機(jī)網(wǎng)絡(luò)是一把雙刃劍，它的開放性和便利性的同時(shí)，也增加了私有信息和數(shù)據(jù)被破壞或侵犯的可能性。

本文首先會(huì)簡單地講述目前計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患，我國網(wǎng)絡(luò)安全的現(xiàn)狀及網(wǎng)絡(luò)安全問題產(chǎn)生的原因。

其次，由于網(wǎng)絡(luò)安全威脅的存在，防火墻應(yīng)運(yùn)而生。防火墻是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù), 其本質(zhì)是一種隔離技術(shù)，其核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。本文將重點(diǎn)從安全功能、體系結(jié)構(gòu)、實(shí)現(xiàn)防火墻的主要技術(shù)手段及配置等方面分析防火墻。關(guān)鍵詞:網(wǎng)絡(luò)安全，防火墻，防火墻類型

1.我國網(wǎng)絡(luò)安全的現(xiàn)狀

1.1研究背景

“計(jì)算機(jī)網(wǎng)絡(luò)安全”定義：國際標(biāo)準(zhǔn)化組織（ISO）將“計(jì)算機(jī)網(wǎng)絡(luò)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。其具有以下五個(gè)方面的特征：保密性、完整性、可用性、可控性和可審查性。

當(dāng)前，計(jì)算機(jī)已經(jīng)被廣泛地用于社會(huì)生產(chǎn)和生活的各個(gè)領(lǐng)域。特別是隨著信息化和技術(shù)化的不斷推進(jìn)，計(jì)算機(jī)也在更加深刻地影響著社會(huì)的方方面面。

計(jì)算機(jī)網(wǎng)絡(luò)安全問題主要有：信息在傳輸?shù)倪^程中，數(shù)據(jù)被篡改和復(fù)制，以及攔截和查看，甚至遭受惡意的病毒攻擊等。這些安全問題嚴(yán)重影響著計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行，出現(xiàn)系統(tǒng)癱瘓或重要數(shù)據(jù)的泄漏，造成不可挽回的嚴(yán)重后果。

網(wǎng)絡(luò)安全的主要威脅有：竊聽、網(wǎng)絡(luò)嗅探、拒絕服務(wù)、假冒、授權(quán)侵犯、計(jì)算機(jī)病毒。

1.2研究意義

為了有效解決網(wǎng)絡(luò)安全問題和威脅，構(gòu)建安全可靠的網(wǎng)絡(luò)安全環(huán)境，我國有必要從技術(shù)方面對(duì)防火墻進(jìn)行完善?；诰W(wǎng)絡(luò)內(nèi)部和外部環(huán)境的特殊性，防火墻技術(shù)是目前保護(hù)網(wǎng)絡(luò)安全最為有效地技術(shù)，不僅能夠?qū)W(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行檢查，還能對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控。

2.防火墻技術(shù)的概述

2.1防火墻技術(shù)的定義

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，主要用來保護(hù)安全網(wǎng)絡(luò)免受來自不安全網(wǎng)絡(luò)的入侵，實(shí)際上是一種隔離技術(shù)。簡單地說就是，防火墻是在兩個(gè)網(wǎng)絡(luò)間進(jìn)行訪問控制,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò), 同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外, 最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞你的重要

信息。不同的防火墻，配置的方法也不同，這取決于安全策略，預(yù)算以及全面規(guī)劃等。

它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，有效地加強(qiáng)網(wǎng)絡(luò)之間訪問控制。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，是一種非常有效的網(wǎng)絡(luò)安全模型。

如圖1：

2.2防火墻技術(shù)的發(fā)展史及分類

縱觀防火墻近年來的發(fā)展,可以將其劃分為如下四個(gè)階段(即四代)及相應(yīng)的分類。

2.2.1 第一代防火墻：基于路由器的防火墻

第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾（Packetfilter）技術(shù)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。簡單地說，第一代防火墻產(chǎn)品一般是基于源地址和目的地址、應(yīng)用或協(xié)議以及每個(gè)IP包的端口來作為出通過與否的判斷。一個(gè)路由器便是一個(gè)“傳統(tǒng)”的網(wǎng)絡(luò)級(jí)防火墻,大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā),但它不能判斷出一個(gè)IP包自哪里，即將去哪里。

特點(diǎn):

（1）網(wǎng)絡(luò)級(jí)防火墻簡潔、速度快、費(fèi)用低,并且對(duì)用戶透明；

（2)可利用路由器實(shí)現(xiàn)對(duì)分組的過濾;

（3)把地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征作為判斷依據(jù)

不足：

（1）本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。

（2）分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則的邏輯一致性、作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往往會(huì)帶來很多錯(cuò)誤。

（3）路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。

（4）路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動(dòng)態(tài)的、靈活的路由,而防火墻則要對(duì)訪問行為實(shí)施靜態(tài)的、固定的控制,這是一對(duì)難以調(diào)和的矛盾,防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。

2.2.2第二代防火墻：用戶防火墻工具套

1989年，貝爾實(shí)驗(yàn)室的DavePresotto和HowardTrickey推出了第二代防火墻，即電路層防火墻。為了彌補(bǔ)路由器防火墻的不足,很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò),從而推動(dòng)了用戶防火墻工具套的出現(xiàn)。

他能夠檢查進(jìn)出的數(shù)據(jù)包,通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。他并且能夠理解應(yīng)用層上的協(xié)議,能夠做復(fù)雜一些的訪問控制,并做精細(xì)的注冊和稽核。

特點(diǎn)：

（1)將過濾功能從路由器中獨(dú)立出來,并加上審計(jì)和告警功能;

（2)針對(duì)用戶需求,提供模塊化的軟件包;

（3)軟件可以通過網(wǎng)絡(luò)發(fā)送,用戶可以自己動(dòng)手構(gòu)造防火墻;

（4)與第一代防火墻相比,安全性提高了,價(jià)格也降低了。

不足：

（1）無論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求；

（2）對(duì)用戶的技術(shù)要求高;

（3）全軟件實(shí)現(xiàn),安全性和處理速度均有局限，使用中出現(xiàn)差錯(cuò)的情況很多。

2.2.3 第三代防火墻：建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場上廣泛使用的就是這一代產(chǎn)品

特點(diǎn):

（1)是批量上市的專用防火墻產(chǎn)品;

（2)包括分組過濾或者借用路由器的分組過濾功能;

（3)裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令;

（4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置;

（5)安全性和速度大大提高。

不足：

（1)缺乏安全保障，因?yàn)樽鳛榛A(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知；

（2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商,通用操作系統(tǒng)廠商不會(huì)對(duì)操作系統(tǒng)的 安全性負(fù)責(zé);

（3)從本質(zhì)上看,第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊,還要防止來自操作系統(tǒng)廠商的攻擊。

2.2.4第四代防火墻：具有安全操作系統(tǒng)的防火墻

1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動(dòng)態(tài)包過濾（Dynamicpacketfilter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Statefulinspection）技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個(gè)基于這種技術(shù)的商業(yè)化的產(chǎn)品。

特點(diǎn)：

（1）防火墻廠商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安全內(nèi)核。

（2）對(duì)安全內(nèi)核實(shí)現(xiàn)加固處理：即去掉不必要的系統(tǒng)特性，加上內(nèi)核特性，強(qiáng)化安全保護(hù)。

（3）對(duì)每個(gè)服務(wù)器、子系統(tǒng)都作了安全處理，一旦黑客攻破了一個(gè)服務(wù)器，它將會(huì)被隔離在此服務(wù)器內(nèi)，不會(huì)對(duì)網(wǎng)絡(luò)的其他部分構(gòu)成威脅。

（4）在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)，且具有加密與鑒別功能。

（5）透明性好，易于使用。

2.3 防火墻技術(shù)的功能

（1）訪問控制功能。是一種簡單、有效的安全控制技術(shù)，也是防火墻最基本也是最重要的功能，通過禁止或允許特定用戶訪問特定的資源，保護(hù)網(wǎng)絡(luò)的內(nèi)部資源和數(shù)據(jù)。需要禁止非授權(quán)的訪問，防火墻需要識(shí)別哪個(gè)用戶可以訪問何種資源。

（2）防止內(nèi)部信息外泄。根據(jù)數(shù)據(jù)內(nèi)存進(jìn)行控制，如防火墻可以從電子郵件中過濾掉垃圾郵件，可以過濾掉內(nèi)部用戶訪問外部服務(wù)的圖片信息，也可以限制外部訪問，使它們只能訪問本地Web服務(wù)器中一部分信息。

（3）集中管理功能。防火墻是一個(gè)安全設(shè)備，針對(duì)不同的網(wǎng)絡(luò)情況和安全需要，需要制定不同的安全策略，然后在防火墻上實(shí)施，使用中還需要根據(jù)情況改變安全策略，因此防火墻應(yīng)具備集中管理功能。

（4）阻擋外部攻擊。如果用戶發(fā)送的信息是防火墻設(shè)置所不允許的，防火墻會(huì)立即將其阻斷，避免其進(jìn)入防火墻之后的網(wǎng)絡(luò)中。

（5）自身的安全和可用性。防火墻要保證自身的安全不被非法侵入，保證正常的運(yùn)作。如果防火墻被侵入，防火墻的安全策略被修改，這樣內(nèi)網(wǎng)就變得不安全。

（6）數(shù)據(jù)包的透明轉(zhuǎn)發(fā)。由于防火墻一般部署在提供某些服務(wù)或應(yīng)用的服務(wù)器前。用戶對(duì)服務(wù)器的訪問的請(qǐng)求與服務(wù)器反饋給用戶的信息，都需要經(jīng)過防火墻的轉(zhuǎn)發(fā)。因此，防火墻具備網(wǎng)關(guān)功能，方便數(shù)據(jù)包的轉(zhuǎn)發(fā)。

3防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的運(yùn)用

從整體上來說，計(jì)算機(jī)網(wǎng)絡(luò)安全是通過網(wǎng)絡(luò)的管理控制，以及技術(shù)的解決辦法，確保在網(wǎng)絡(luò)的環(huán)境中，保護(hù)數(shù)據(jù)進(jìn)行使用和保密，及完整性。計(jì)算機(jī)網(wǎng)絡(luò)安全主要有物理和邏輯安全。但是根據(jù)使用者的不一樣，對(duì)網(wǎng)絡(luò)安全的理解也就會(huì)不一樣。如：一般的使用者認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)安全就是在網(wǎng)絡(luò)上傳自己的隱私或者是重要的信息時(shí)，能夠保護(hù)信息不能被竊聽和篡改，以及偽造。而網(wǎng)絡(luò)的供應(yīng)商們則認(rèn)為，除了保證網(wǎng)絡(luò)信息的安全，還要考慮各種對(duì)網(wǎng)絡(luò)硬件破壞因素的保護(hù)，以及在出現(xiàn)異常時(shí)恢復(fù)網(wǎng)絡(luò)通信的保護(hù)。

(1）加密技術(shù)。即信息的發(fā)送方先對(duì)信息做加密處理，密碼由和接收方掌握，接收方接收到經(jīng)過加密處理的信息后，用解密密鑰對(duì)信息進(jìn)行解密，從而完成一次安全的信息傳輸。加密措施利用密鑰來保障信息傳輸?shù)陌踩浴?/p>

(2）身份驗(yàn)證。通過對(duì)網(wǎng)絡(luò)用戶的使用授權(quán)，在信息的發(fā)送方和接收方之間通過身份認(rèn)證，建立起相對(duì)安全的信息通道，這樣可以有效防止未經(jīng)授權(quán)的非法用戶的介入。

(3）防病毒技術(shù)。主要涉及對(duì)病毒的預(yù)防、檢測以及清除三方面。

其一，在網(wǎng)絡(luò)建設(shè)中，安裝防火墻對(duì)互聯(lián)網(wǎng)之間的交換信息按照某種規(guī)則進(jìn)行控制，構(gòu)

成一道安全屏障來保護(hù)內(nèi)網(wǎng)與外網(wǎng)間的信息和數(shù)據(jù)傳輸，確保網(wǎng)絡(luò)不被其他未經(jīng)授權(quán)的第三方侵入。

其二，網(wǎng)絡(luò)的連接如果是由路由器和互聯(lián)網(wǎng)相連，服務(wù)器有004km.cnmon firewall technology

Deluxe Zhang

Abstract:

It’s well known that computer network is a double-edged sword.It can not only provide us with great openness and convenience, but also increase the possibility of damaged or violated private information and data.To begin with，this article will relate the current risks of network security and explain main reasons of the network security problems.Then, the firewall emerged due to the threats of network security, what’s more, it’s the key technology to network security.In essence, firewall the isolation technique, while its main idea is creating a relative safety sub-network environment in an unsafety network environment.This article analyses several important aspects of firewall from thebasic security functions, architecture and the main means of achieving the firewall with configuration.Key words：Network security，F(xiàn)irewall，The type of firewall

第三篇：網(wǎng)絡(luò)安全技術(shù)論文

從360和騰訊事件看網(wǎng)絡(luò)信息安全

李婭楠

（中國民航大學(xué) 理學(xué)院 090243116）

摘要：闡述了網(wǎng)絡(luò)信息安全的內(nèi)涵，網(wǎng)絡(luò)安全的組成，威脅網(wǎng)絡(luò)安全的因素及相應(yīng)應(yīng)對(duì)措施。在此基礎(chǔ)上論文指出對(duì)于網(wǎng)絡(luò)安全教育和管理的加強(qiáng)是十分必要的，因此應(yīng)加強(qiáng)信息安全學(xué)科建設(shè)和人才培養(yǎng)，確保我國的信息安全。

關(guān)鍵詞：網(wǎng)絡(luò)信息安全威脅因素 網(wǎng)絡(luò)安全技術(shù)

最近，360殺毒軟件和QQ聊天軟件的爭斗在網(wǎng)絡(luò)上掀起了滔天巨浪。為此，有關(guān)QQ涉嫌窺探個(gè)人電腦隱私、奇虎360、金山等安全軟件公司紛紛發(fā)布電腦隱私保護(hù)器軟件，旨在應(yīng)對(duì)或保護(hù)個(gè)人電腦隱私，一場由信息安全、個(gè)人隱私引發(fā)的“企業(yè)恩怨”正在上演。在這次事件中，360認(rèn)為騰訊掃描用戶硬盤，查看用戶隱私；騰訊則認(rèn)為360影響其程序運(yùn)行，為此引發(fā)兩者一系列爭斗，并且斗爭愈演愈烈，最終殃及用戶。作為第三方，我并不關(guān)心這兩家公司誰輸誰贏，重要的是，透過這個(gè)現(xiàn)象，讓我意識(shí)到，這場利益爭奪戰(zhàn)帶來的影響，已經(jīng)遠(yuǎn)遠(yuǎn)超出了這兩家公司業(yè)務(wù)的范疇。我們應(yīng)該跳出360與騰訊的恩怨，清醒意識(shí)并正確認(rèn)識(shí)到網(wǎng)絡(luò)信息安全的重要性。

計(jì)算機(jī)網(wǎng)絡(luò)安全(Network Security)是一門涉及計(jì)算機(jī)科學(xué)，網(wǎng)絡(luò)技術(shù)，通信技術(shù)，密碼技術(shù)，信息安全技術(shù)，應(yīng)用數(shù)學(xué)，數(shù)論，信息論等多種學(xué)科的綜合性科學(xué)。國際標(biāo)準(zhǔn)化組織（ISO）將“計(jì)算機(jī)網(wǎng)絡(luò)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷?！鄙鲜鲇?jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的網(wǎng)絡(luò)上的信息安全，是指對(duì)信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。當(dāng)然，網(wǎng)絡(luò)安全的具體含義會(huì)隨著“角度”的變化而變化。比如：從用戶（個(gè)人、企業(yè)等）角度，他們希望涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)，避免其他人利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。從網(wǎng)絡(luò)運(yùn)行和管理者角度說，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。對(duì)安全保密部門來說，他們希望對(duì)非法的、有害的或涉及國家機(jī)密的信息進(jìn)行過濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國家造成巨大損失。從社會(huì)教育和意識(shí)形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。

計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來說，主要由防病毒、防火墻、入侵檢測等多個(gè)安全組件組成，一個(gè)單

獨(dú)的組件無法確保網(wǎng)絡(luò)信息的安全性。早期的網(wǎng)絡(luò)防護(hù)技術(shù)的出發(fā)點(diǎn)是首先劃分出明確的網(wǎng)絡(luò)邊界，然后通過在網(wǎng)絡(luò)邊界處對(duì)流經(jīng)的信息利用各種控制方法進(jìn)行檢查，只有符合規(guī)定的信息才可以通過網(wǎng)絡(luò)邊界，從而達(dá)到阻止對(duì)網(wǎng)絡(luò)攻擊、入侵的目的。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計(jì)算機(jī)和網(wǎng)絡(luò)安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計(jì)算機(jī)病毒的種類，而且許多攻擊都是致命的。

近年來隨著Internet的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的資源共享進(jìn)一步加強(qiáng)，隨之而來的信息安全問題日益突出。據(jù)美國FBI統(tǒng)計(jì)，美國每年網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元。而全球平均每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)侵入事件。在Internet/Intranet的大量應(yīng)用中，Internet/Intranet安全面臨著重大的挑戰(zhàn)，事實(shí)上，資源共享和安全歷來是一對(duì)矛盾。在一個(gè)開放的網(wǎng)絡(luò)環(huán)境中，大量信息在網(wǎng)上流動(dòng)，這為不法分子提供了攻擊目標(biāo)。而且計(jì)算機(jī)網(wǎng)絡(luò)組成形式多樣性、終端分布廣和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征更為他們提供便利。他們利用不同的攻擊手段，獲得訪問或修改在網(wǎng)中流動(dòng)的敏感信息，闖入用戶或政府部門的計(jì)算機(jī)系統(tǒng)，進(jìn)行窺視、竊取、篡改數(shù)據(jù)。不受時(shí)間、地點(diǎn)、條件限制的網(wǎng)絡(luò)詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對(duì)計(jì)算機(jī)信息系統(tǒng)的犯罪活動(dòng)日益增多。

計(jì)算機(jī)的安全體系是一個(gè)層次對(duì)的體系，從高到低的層次關(guān)系如下圖所示：

其中網(wǎng)絡(luò)安全是最高級(jí)的安全，它是指保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件，軟件及其數(shù)據(jù)不受惡意或偶然的導(dǎo)致破壞，更改或泄漏，使系統(tǒng)連續(xù)可靠正常運(yùn)行，使網(wǎng)絡(luò)服務(wù)不中斷。

而從人為（黑客）角度來看，常見的計(jì)算機(jī)網(wǎng)絡(luò)安全威脅主要有：信息泄露、完整性破壞、拒絕服務(wù)、網(wǎng)絡(luò)濫用。

信息泄露：信息泄露破壞了系統(tǒng)的保密性，他是指信息被透漏給非授權(quán)的實(shí)體。常見的，能夠?qū)е滦畔⑿孤兜耐{有：網(wǎng)絡(luò)監(jiān)聽、業(yè)務(wù)流分析、電磁、射頻截獲、人員的有意或無意、媒體清理、漏洞利用、授權(quán)侵犯、物理侵入、病毒、木馬、后門、流氓軟件、網(wǎng)絡(luò)釣魚。

完整性破壞：可以通過漏洞利用、物理侵犯、授權(quán)侵犯、病毒，木馬，漏洞來等方式實(shí)現(xiàn)。拒絕服務(wù)攻擊：對(duì)信息或資源可以合法的訪問卻被非法的拒絕或者推遲與時(shí)間密切相關(guān)的操作。

網(wǎng)絡(luò)濫用：合法的用戶濫用網(wǎng)絡(luò)，引入不必要的安全威脅，包括非法外聯(lián)、非法內(nèi)聯(lián)、移動(dòng)風(fēng)險(xiǎn)、設(shè)備濫用、業(yè)務(wù)濫用。

常見的計(jì)算機(jī)網(wǎng)絡(luò)安全威脅的表現(xiàn)形式主要有：竊聽、重傳、偽造、篡改、拒絕服務(wù)攻擊、行為否認(rèn)、電子欺騙、非授權(quán)訪問、傳播病毒。

竊聽：攻擊者通過監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)的手段獲得重要的信息，從而導(dǎo)致網(wǎng)絡(luò)信息的泄密。重傳：攻擊者事先獲得部分或全部信息，以后將此信息發(fā)送給接收者。

篡改：攻擊者對(duì)合法用戶之間的通訊信息進(jìn)行修改、刪除、插入，再將偽造的信息發(fā)送給接收者，這就是純粹的信息破壞，這樣的網(wǎng)絡(luò)侵犯者被稱為積極侵犯者。積極侵犯者的破壞作用最大。拒絕服務(wù)攻擊：攻擊者通過某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓，阻止合法用戶獲得服務(wù)。行為否認(rèn)：通訊實(shí)體否認(rèn)已經(jīng)發(fā)生的行為。

電子欺騙：通過假冒合法用戶的身份來進(jìn)行網(wǎng)絡(luò)攻擊，從而達(dá)到掩蓋攻擊者真實(shí)身份，嫁禍他人的目的.非授權(quán)訪問：沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問。

傳播病毒：通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性非常高，而且用戶很難防范。

當(dāng)然，除了人為因素，網(wǎng)絡(luò)安全還在很大部分上由網(wǎng)絡(luò)內(nèi)部的原因或者安全機(jī)制或者安全工具本身的局限性所決定，他們主要表現(xiàn)在：每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境、安全工具的使用受到人為因素的影響、系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方、只要是程序，就可能存在BUG。而這一系列的缺陷，更加給想要進(jìn)行攻擊的人以方便。所以，網(wǎng)絡(luò)安全問題可以說是由人所引起的。因此，對(duì)于網(wǎng)絡(luò)安全教育和管理的加強(qiáng)是十分必要的，與此相關(guān)的加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的對(duì)策措施有：1.對(duì)工作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個(gè)方面安全問題，進(jìn)行安全教育，提高工作人員的安全觀念和責(zé)任心；加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操作技能；教育工作人員嚴(yán)格遵守操作規(guī)程和各項(xiàng)保密規(guī)定，防止人為事故的發(fā)生。同時(shí)，要保護(hù)傳輸線路安全。對(duì)于傳輸線路，應(yīng)有露天保護(hù)措施或埋于地下，并要求遠(yuǎn)離各種輻射源，以減少各種輻__射引起的數(shù)據(jù)錯(cuò)誤；線纜鋪設(shè)應(yīng)當(dāng)盡可能使用光纖，以減少各種輻射引起的電磁泄漏和對(duì)發(fā)送線路的干擾。要定期檢查連接情況，以檢測是否有搭線竊聽、非法外連或破壞行為。

2.運(yùn)用網(wǎng)絡(luò)加密技術(shù)：網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種：①鏈接加密。在網(wǎng)絡(luò)節(jié)點(diǎn)間加密，在節(jié)點(diǎn)間傳輸加密的信息，傳送到節(jié)點(diǎn)后解密，不同節(jié)點(diǎn)間用不同的密碼。②節(jié)點(diǎn)加密。與鏈接加密類似，不同的只是當(dāng)數(shù)據(jù)在節(jié)點(diǎn)間傳送時(shí)，不用明碼格式傳送，而是用特殊的加密硬件進(jìn)行解密和重加密，這種專用硬件通常放置在安全保險(xiǎn)箱中。③首尾加密。對(duì)進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)加密，然后待數(shù)據(jù)從網(wǎng)絡(luò)傳送出后再進(jìn)行解密。網(wǎng)絡(luò)的加密技術(shù)很多，在實(shí)際應(yīng)用中，人們通常根據(jù)各種加密算法結(jié)合在一起使用，這樣可以更加有效地加強(qiáng)網(wǎng)絡(luò)的完全性。網(wǎng)絡(luò)加密技術(shù)也是網(wǎng)絡(luò)安全最有效的技術(shù)之一。既可以對(duì)付惡意軟件攻

擊，又可以防止非授權(quán)用戶的訪問。

3.加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)訪問控制：訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問，也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級(jí)安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。根據(jù)網(wǎng)絡(luò)安全的等級(jí)、網(wǎng)絡(luò)空間的環(huán)境不同，可靈活地設(shè)置訪問控制的種類和數(shù)量。

4.使用防火墻技術(shù)：采用防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的主要手段。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。防火墻是在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng)，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機(jī)制，并且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻可以有效地監(jiān)控內(nèi)部網(wǎng)和Internet 之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻的應(yīng)用可最大限度地保障網(wǎng)絡(luò)的正常運(yùn)行，它可以起著提高內(nèi)部網(wǎng)絡(luò)的安全性、強(qiáng)化網(wǎng)絡(luò)安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡(luò)防毒、信息加密、存儲(chǔ)通信、授權(quán)、認(rèn)證等重要作用。

對(duì)于此次360騰訊事件，且不論騰訊是否窺探了我們的隱私，透過此次騰訊與360之間的爭奪戰(zhàn)，我們應(yīng)該正確認(rèn)識(shí)到信息安全與隱私保護(hù)的必要性?，F(xiàn)今計(jì)算機(jī)及網(wǎng)絡(luò)已成為我們不可或缺的工具，然而計(jì)算機(jī)及網(wǎng)絡(luò)在給我們帶來極大方便的同時(shí)，也隱藏著巨大的危機(jī)和漏洞。即使對(duì)于計(jì)算機(jī)專業(yè)人士來講，如果不是頂層設(shè)計(jì)人員，都很難搞清屏幕之下，到底有多少代碼在悄悄地窺視。這次兩個(gè)國產(chǎn)軟件商的紛爭，可以說把神秘的網(wǎng)絡(luò)風(fēng)險(xiǎn)揭開了一角。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，絕對(duì)安全是不存在的，而計(jì)算機(jī)網(wǎng)絡(luò)信息安全的工作貫穿于計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)、發(fā)展的始終，這就需要我們時(shí)刻重視，不斷學(xué)習(xí)，才能確保計(jì)算機(jī)網(wǎng)絡(luò)的安全、可靠地運(yùn)行?？傊?，網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個(gè)隨著 新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

參考文獻(xiàn)：

[1]朱理森,張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻(xiàn)出版社，2001.[2]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第4版)[M].北京:電子工業(yè)出版社,2003

[3]張民,徐躍進(jìn).網(wǎng)絡(luò)安全實(shí)驗(yàn)教程，清華大學(xué)出版社，2007，6.

第四篇：網(wǎng)絡(luò)安全技術(shù)論文

當(dāng)前網(wǎng)絡(luò)常見安全問題分析

指導(dǎo)老師：

摘要：信息時(shí)代，人們對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的應(yīng)用和依賴程度愈來愈高，信息安全問題日益突顯，海量的信息存儲(chǔ)在網(wǎng)絡(luò)上，隨時(shí)可能遭到非法入侵，存在著嚴(yán)重的安全隱患本文針對(duì)根據(jù)幾火突出的網(wǎng)絡(luò)安全問題，歸納并提出了一些網(wǎng)絡(luò)信息安全防抄的方法和策略計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用給計(jì)算機(jī)的安全提出了更高的要求，也使網(wǎng)絡(luò)安全問題日漸突出。如果不很好地解決這個(gè)問題，必將阻礙計(jì)算機(jī)網(wǎng)絡(luò)化發(fā)展的進(jìn)程。關(guān)鍵詞：網(wǎng)絡(luò)安全

黑客入侵

網(wǎng)絡(luò)詐騙

1、網(wǎng)絡(luò)安全的基本內(nèi)涵

網(wǎng)絡(luò)安全從本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，具體指的是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會(huì)因?yàn)榕既坏幕蛘邜阂獾墓舳獾狡茐?、更改、泄漏，系統(tǒng)能夠連續(xù)可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷網(wǎng)絡(luò)安全包括數(shù)據(jù)安全和系統(tǒng)安全兩方面，它具有保密性、完整性、可用性可控性、不可否認(rèn)性五大特征

從廣義上來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。計(jì)算機(jī)網(wǎng)絡(luò)安全不僅包括組網(wǎng)的硬件、管理控制網(wǎng)絡(luò)的軟件，也包括共享的資源，快捷的網(wǎng)絡(luò)服務(wù)，所以定義網(wǎng)絡(luò)安全應(yīng)考慮涵蓋計(jì)算機(jī)網(wǎng)絡(luò)所涉及的全部內(nèi)容。參照ISO給出的計(jì)算機(jī)安全定義，認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)安全是指：“保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件，軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠性地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)正常有序?！?/p>

2、常見的網(wǎng)絡(luò)安全問題

互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，為人類社會(huì)的進(jìn)步提供了巨大推動(dòng)力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題：（1）信息泄漏、信息污染、信息不易受控。例如，資源未授權(quán)侵用、未授權(quán)信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認(rèn)等，這些都是信息安全的技術(shù)難點(diǎn)。（2）在網(wǎng)絡(luò)環(huán)境中，一些組織或個(gè)人出于某種特殊目的，進(jìn)行信息泄密、信息破壞、信息侵權(quán)和意識(shí)形態(tài)的信息滲透，甚至通過網(wǎng)絡(luò)進(jìn)行政治顛覆等活動(dòng)，使國家利益、社會(huì)公共利益和各類主體的合法權(quán)益受到威脅。（3）網(wǎng)絡(luò)運(yùn)用的趨勢是全社會(huì)廣泛參與，隨之而來的是控制權(quán)分散的管理問題。由于人們利益、目標(biāo)、價(jià)值的分歧，使信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問題變得廣泛而復(fù)雜。（4）隨著社會(huì)重要基礎(chǔ)設(shè)施的高度信息化，社會(huì)的“命脈”和核心控制系統(tǒng)有可能面臨惡意攻擊而導(dǎo)致?lián)p壞和癱瘓，包括國防通信設(shè)施、動(dòng)力控制網(wǎng)、金融系統(tǒng)和政府網(wǎng)站等。

2.1遭受黑客攻擊

自 1994 年國際互聯(lián)網(wǎng)進(jìn)入我國以來，我國的網(wǎng)民人數(shù)急劇增長，隨著網(wǎng)絡(luò)的逐漸普及，黑客隊(duì)伍也相應(yīng)產(chǎn)生并逐漸壯大，其作案范圍日益擴(kuò)大，作案手段日益高明，對(duì)網(wǎng)絡(luò)安全造成了危害。

黑客主要是使用一些現(xiàn)有的工具對(duì)操作系統(tǒng)的弱口令或安全漏洞加以利用攻擊，獲得一般用戶甚至管理員用戶權(quán)限，進(jìn)而達(dá)到實(shí)施破壞的目的。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的

電腦黑客活動(dòng)已形成重要威脅。網(wǎng)絡(luò)信息系統(tǒng)具有致命的脆弱性、易受攻擊性和開放性，從國內(nèi)情況來看，目前我國95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。

2.2計(jì)算機(jī)病毒

病毒實(shí)際上是一種特殊的程序或普通程序中的一段特殊代碼，它的功能是破壞計(jì)算機(jī)的正常運(yùn)行或竊取用戶計(jì)算機(jī)上的隱私。計(jì)算機(jī)感染上病毒后，輕則使系統(tǒng)效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計(jì)算機(jī)主板等部件的損壞。有了互聯(lián)網(wǎng)后，病毒的傳播速度更快，涉及范圍更廣，危害性更大。計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重。據(jù)國家計(jì)算機(jī)病毒應(yīng)急處理中心副主任張健介紹，從國家計(jì)算機(jī)病毒應(yīng)急處理中心日常監(jiān)測結(jié)果看來，計(jì)算機(jī)病毒呈現(xiàn)出異?；钴S的態(tài)勢。

2.3 垃圾郵件和間諜軟件

一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進(jìn)行商業(yè)、宗教、政治等活動(dòng)，把自己的電子郵件強(qiáng)行“推入”別人的電子郵箱，強(qiáng)迫他人接受垃圾郵件。與計(jì)算機(jī)病毒不同，間諜軟件的主要目的不在于對(duì)系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用戶隱私和計(jì)算機(jī)安全，并可能不同程度地影響系統(tǒng)性能。

2.4 計(jì)算機(jī)犯罪

計(jì)算機(jī)犯罪，通常是利用竊取口令等手段非法侵人計(jì)算機(jī)信息系統(tǒng)，傳播有害信息，惡意破壞計(jì)算機(jī)系統(tǒng)，實(shí)施貪污盜竊、詐騙和金融犯罪等活動(dòng)。網(wǎng)絡(luò)安全的防范措施

3.1 安裝殺毒軟件

計(jì)算機(jī)病毒有以下五種特征：寄生性、傳染性、破壞性、可觸發(fā)性、可潛伏性。根據(jù)計(jì)算機(jī)病毒的特征，人們摸索出了許多檢測計(jì)算機(jī)病毒和殺毒的軟件。國內(nèi)的有瑞星、KV3000、金山毒霸、360殺毒軟件等，國外的有諾頓、卡巴斯基等。但是，沒有哪種殺毒軟件是萬能的，所以當(dāng)本機(jī)的殺毒軟件無法找到病毒時(shí)，用戶可以到網(wǎng)上下載一些專殺工具，如木馬專殺工具、蠕蟲專殺工具或宏病毒專殺工具等。值得注意的是，安裝了殺毒軟件后，我們還必須每周至少更新一次殺毒軟件病毒庫，因?yàn)榉啦《拒浖挥凶钚虏攀亲钣行У?。每周還要對(duì)電腦硬盤進(jìn)行一次全面的掃描、殺毒，以便及時(shí)發(fā)現(xiàn)并清除隱藏在系統(tǒng)中的病毒。當(dāng)不慎感染上病毒時(shí)，應(yīng)立即將殺毒軟件升級(jí)到最新版本，然后對(duì)整個(gè)硬盤進(jìn)行掃描，清除一切可以查殺的病毒。當(dāng)受到網(wǎng)絡(luò)攻擊時(shí)，我們的第一反應(yīng)就是拔掉網(wǎng)絡(luò)連接端口以斷開網(wǎng)絡(luò)。3.2 安裝網(wǎng)絡(luò)防火墻

所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，所以，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。常見的個(gè)人網(wǎng)絡(luò)防火墻有天網(wǎng)防火墻、瑞星防火墻和360安全衛(wèi)士等。.安裝防病毒網(wǎng)關(guān)軟件 防病毒網(wǎng)關(guān)放置在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接處。當(dāng)在內(nèi)部網(wǎng)絡(luò)發(fā)現(xiàn)病毒時(shí)，可能已經(jīng)感染了很多計(jì)算機(jī)，防病毒網(wǎng)關(guān)可以將大部分病毒隔離在外部，它同時(shí)具有反垃圾郵件和反間諜軟件的能力。當(dāng)出現(xiàn)新的病毒時(shí)，管理員只要將防病毒網(wǎng)關(guān)升級(jí)就可以抵御新病毒的攻擊。

3.3 數(shù)據(jù)加密

數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)是所有通信安全的基石。數(shù)據(jù)加密過程是由形形色色的加密算法來具體實(shí)施的，它以很小的代價(jià)來提供很大的安全保護(hù)。在多數(shù)情況下，數(shù)據(jù)加密是保證信息機(jī)密性的惟一方法。一般把受保護(hù)的原始信息稱為明文，編碼后的稱為密文。數(shù)據(jù)加密的基本過程包括對(duì)明文進(jìn)行翻譯，譯成密文或密碼的代碼形式。該過程的逆過程為解密，即將該加密的編碼信息轉(zhuǎn)化為原來的形式的過程。機(jī)密資料被加密后，無論是被人通過復(fù)制數(shù)據(jù)、還是采用網(wǎng)絡(luò)傳送的方式竊取過去，只要對(duì)方不知道你的加密算法，該機(jī)密資料就成了毫無意義的亂碼一堆。常見的加密軟件有SecWall、明朝萬達(dá)、完美數(shù)據(jù)加密大師等。

3.4 警惕“網(wǎng)絡(luò)釣魚”

“網(wǎng)絡(luò)釣魚”（phishing）是通過大量發(fā)送聲稱來自于銀行或其他知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息的一種攻擊方式。黑客就是利用這種欺騙性的電子郵件和偽造的web站點(diǎn)來進(jìn)行網(wǎng)絡(luò)詐騙活動(dòng)，受騙者往往會(huì)泄露自己的私人資料，如信用卡號(hào)、銀行卡賬戶、身份證號(hào)等內(nèi)容。黑客通常會(huì)將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。對(duì)此，用戶應(yīng)該提高警惕，可安裝一款有反垃圾郵件功能的良好殺毒軟件。大多數(shù)安全產(chǎn)品都能將這種郵件識(shí)別為垃圾郵件，使你對(duì)它們的花言巧語提高警惕。不登錄不熟悉的網(wǎng)站，鍵入網(wǎng)站地址時(shí)要認(rèn)真校對(duì)。多用常識(shí)思考，因?yàn)檫@是你 抵御詐騙的最有效方式。沒有人會(huì)無條件地給予你什么，而網(wǎng)上一見鐘情的概率也是微乎其微。因此，你從一開始就要對(duì)這種聯(lián)絡(luò)抱有高度懷疑，以防誤入圈套。結(jié)語

本文簡要地分析了計(jì)算機(jī)網(wǎng)絡(luò)存在的幾種安全隱患，并探討了計(jì)算機(jī)網(wǎng)絡(luò)的幾種安全防范措施。總的來說，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時(shí)也是一個(gè)安全管理問題。目前解決網(wǎng)絡(luò)安全問題的大部分技術(shù)是存在的，但是隨著社會(huì)的發(fā)展，人們對(duì)網(wǎng)絡(luò)功能的要求愈加苛刻，這就決定了通信網(wǎng)絡(luò)安全維護(hù)是一個(gè)長遠(yuǎn)持久的課題。我們必須適應(yīng)社會(huì)，不斷提高技術(shù)水平，以保證網(wǎng)絡(luò)安全維護(hù)的順利進(jìn)行。

參考文獻(xiàn)

1、尹建璋《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用實(shí)例》西安電子科技大學(xué)出版社，2、劉遠(yuǎn)生、辛一主編《計(jì)算機(jī)網(wǎng)絡(luò)安全》北京:清華大學(xué)出版社.2009.6

3、張千里，陳光英《網(wǎng)絡(luò)安全新技術(shù)》北京：人民郵電出版社,2003.1

4、徐茂智《信息安全概論》人民郵電出版社2007.8

5、劉永華、解圣慶《局域網(wǎng)組建、管理與維護(hù)》清華大學(xué)出版社2006.6

5、呂江。網(wǎng)絡(luò)安全現(xiàn)狀分析及應(yīng)對(duì)措施[J]．中國新技術(shù)新產(chǎn)品，2009，23：44～45．

The current network common security analysis

Abstract: information age, people to the computer and network applications and dependence on more and more high, the information security problem has become very prominent, the magnitude of the information stored in the network, may at any time by the illegal invasion, there are serious security hidden danger in this paper according to a few fire outstanding network security problem, inductive and puts forward some prevention network information security copy method and strategy of the wide application of computer network to computer security put forward higher request, also make the problem of network security becomes more and more serious if not solve this problem well, will hinder the process of the development of computer network.Keywords: network security ,hackers ,network fraud

第五篇：網(wǎng)絡(luò)安全技術(shù)論文

網(wǎng)絡(luò)安全技術(shù) 論文

題 目 網(wǎng)絡(luò)安全之防火墻技術(shù) 學(xué)生姓名 ＿＿ *** ＿＿＿ ＿＿ 學(xué) 號(hào) ＿ ***＿ ＿＿＿＿ 專業(yè)班級(jí) ＿＿＿*** ＿

指導(dǎo)老師 ＿ ***＿ ＿＿ ＿

2011年 12 月12日

摘要：

文中首先論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化，闡述了我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網(wǎng)絡(luò)安全體系的必要性，然后具體講述了網(wǎng)絡(luò)防火墻安全技術(shù)的分類及其主要技術(shù)特征，防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。同時(shí)就信息交換加密技術(shù)的分類及RSA算法作了簡要的分析，論述了其安全體系的構(gòu)成。關(guān)鍵詞：網(wǎng)絡(luò)安全 防火墻

一、防火墻的定義和由來

所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。

自從1986年美國Digital公司在Internet上安裝了全球第一個(gè)商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到了飛速的發(fā)展。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上,企業(yè)對(duì)安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。

二、防火墻的功能

防火墻服務(wù)于以下多個(gè)目的： 1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入； 2)限定人們從一個(gè)特定的點(diǎn)離開； 3)防止侵入者接近你的其他防御設(shè)施；

4)有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

1）防火墻是網(wǎng)絡(luò)安全的屏障：

一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略：

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。

3）對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)：

如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）。

三、防火墻技術(shù)與產(chǎn)品發(fā)展的回顧

從總體上看,防火墻應(yīng)該具有以下五大基本功能：

●過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)； ●管理進(jìn)、出網(wǎng)絡(luò)的訪問行為； ●封堵某些禁止行為；

●記錄通過防火墻的信息內(nèi)容和活動(dòng)； ●對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。

為實(shí)現(xiàn)以上功能,在防火墻產(chǎn)品的開發(fā)中,人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)洹⒂?jì)算機(jī)操作系統(tǒng)、路由、加密、訪問控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段?？v觀防火墻近年

來的發(fā)展,可以將其劃分為如下四個(gè)階段(即四代)。

1）基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過濾功能,故網(wǎng)絡(luò)訪問控制可能通過路控制來實(shí)現(xiàn),從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是：

1)利用路由器本身對(duì)分組的解析,以訪問控制表(Access List)方式實(shí)現(xiàn)對(duì)分組的過濾； 2)過濾判斷的依據(jù)可以是:地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征；

3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對(duì)安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法,而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。2）用戶化的防火墻工具套

為了彌補(bǔ)路由器防火墻的不足,很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò),從而推動(dòng)了用戶防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下特征： 1)將過濾功能從路由器中獨(dú)立出來,并加上審計(jì)和告警功能;； 2)針對(duì)用戶需求,提供模塊化的軟件包；

3)軟件可以通過網(wǎng)絡(luò)發(fā)送,用戶可以自己動(dòng)手構(gòu)造防火墻；

4)與第一代防火墻相比,安全性提高了,價(jià)格也降低了。3）建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些特點(diǎn):：

1)是批量上市的專用防火墻產(chǎn)品；

2)包括分組過濾或者借用路由器的分組過濾功能；

3)裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；

4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置； 5)安全性和速度大大提高。

四、防火墻的選擇

選擇防火墻的標(biāo)準(zhǔn)有很多,但最重要的是以下幾條:

1.總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。

以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬元,則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然,對(duì)于關(guān)鍵部門來說,其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算,非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本,關(guān)鍵部門則應(yīng)另當(dāng)別論。

2.防火墻本身是安全的

通常,防火墻的安全性問題來自兩個(gè)方面:其一是防火墻本身的設(shè)計(jì)是否合理,這類問題一般用戶根本無從入手,只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測試才能確定。其二是使用不當(dāng)。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對(duì)防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。3.可擴(kuò)充性

隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升,此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統(tǒng),而隨著要求的提高,用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資,對(duì)提供防火墻產(chǎn)品的廠商來說,也擴(kuò)大了產(chǎn)品覆蓋面。

五、結(jié)論

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。針對(duì)這些缺陷，應(yīng)該設(shè)計(jì)更為有效的防火墻，為網(wǎng)絡(luò)安全提供更全面的保障。

參考文獻(xiàn)

[1] 莫向陽.Filter-Hook Driver詳解[M].北京：機(jī)械工業(yè)出版社，2008。[2] W.Richard Stevens.TCP/IP詳解卷一[M].北京：機(jī)械工業(yè)出版社，2004。[3] 辛長安.Viusal C++編程技術(shù)與難點(diǎn)剖析[M].北京：清華大學(xué)出版社，2002。