計算機網絡安全畢業(yè)論文

1、<p><b>　　計算機科學系</b></p><p><b>　?。ó厴I(yè)設計論文）</b></p><p>　　課題名稱： 網絡安全 </p><p>　　專 業(yè)： 計科系現代教育技術 </p><p>　　班 級： ⒑計算機專科班

2、 </p><p>　　姓 名： </p><p>　　學 號： </p><p>　　指導老師： </p><p>　　設計時間： 2012-2013學年第2學期 </p><p><b&g

3、t;　　網絡安全</b></p><p>　　摘要:計算機網絡安全問題，直接關系到一個國家的政治、軍事、經濟等領域的安全和穩(wěn)定。目前黑客猖獗，平均每18秒鐘世界上就有一次黑客事件發(fā)生。因此，提高對網絡安全重要性的認識，增強防范意識，強化防范措施，是保證信息產業(yè)持續(xù)穩(wěn)定發(fā)展的重要保證和前提條件。</p><p>　　文中首先論述了信息網絡安全內涵發(fā)生的根本變化，闡述了我國發(fā)展民族

4、信息安全體系的重要性及建立有中國特色的網絡安全體系的必要性，以及網絡的安全管理。進一步闡述了網絡拓撲結構的安全設計，包括對網絡拓撲結構的分析和對網絡安全的淺析。然后具體講述了網絡防火墻安全技術的分類及其主要技術特征，防火墻部署原則，并從防火墻部署的位置詳細闡述了防火墻的選擇標準。同時就信息交換加密技術的分類及RSA算法作了簡要的分析，論述了其安全體系的構成。最后分析網絡安全技術的研究現狀和動向。</p><p>

5、　　關鍵字：網絡信息安全 防范技術 網絡管理 </p><p><b>　　目 錄</b></p><p><b>　　網絡安全1</b></p><p><b>　　目 錄1</b></p><p>　　第一章 引 言2</p&

6、gt;<p><b>　　1.1 概述2</b></p><p>　　1.2 網絡安全的研究目的3</p><p>　　1.3網絡安全的含義4</p><p>　　第二章 網絡安全初步分析5</p><p>　　2.1 網絡安全的必要5</p><p>　　2.2 網絡的安

7、全管理5</p><p>　　2.2.1 安全管理原則5</p><p>　　2.2.2 安全管理的實現6</p><p>　　2.3 采用先進的技術和產品6</p><p>　　2.3.1 防火墻技術6</p><p>　　2.3.2加密技術6</p><p>　　2.3.3 認證

8、技術7</p><p>　　2.3.4 計算機病毒的防范7</p><p>　　2.4 常見的網絡攻擊及防范對策7</p><p>　　2.4.1 郵件炸彈7</p><p>　　2.4.2 特洛伊木馬8</p><p>　　2.4.3 過載攻擊8</p><p>　　2.4.4 淹

9、沒攻擊8</p><p>　　第三章 網絡結構的安全設計10</p><p>　　3.1 網絡拓撲結構分析10</p><p>　　3.2 網絡攻擊淺析11</p><p>　　第四章 防范技術13</p><p>　　4.1 防火墻的定義與選擇13</p><p>　　4.2 對稱

10、加密技術14</p><p>　　4.3公開密鑰加密14</p><p>　　4.4 RSA算法14</p><p>　　4.5 注冊與認證管理15</p><p>　　4.5.1 認證機構15</p><p>　　4.5.2 注冊機構15</p><p>　　4.5.3 密鑰備份和

11、恢復15</p><p>　　4.5.4 證書管理與撤消系統(tǒng)15</p><p>　　第五章 安全技術的研究16</p><p>　　5.1 安全技術的研究現狀和方向16</p><p>　　5.1.1 包過濾型16</p><p>　　5.1.2 代理型16</p><p><

12、;b>　　結束語18</b></p><p>　　參 考 文 獻18</p><p><b>　　第一章 引 言</b></p><p><b>　　1.1 概述</b></p><p>　　21世紀全世界的計算機都將通過Internet聯到一起，信息安全的內涵也就發(fā)生了根本

13、的變化。世界各國的競爭已成為已經濟為基礎、以科技（特別是高科技）為先導的綜合國力的競爭。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候，信息化的發(fā)展將起到非常重要的作用，我國也將要建立起一套完整的安全網絡安全體系。</p><p>　　當今，信息科學技術是知識高度密集、科學高度綜合、具有科學與技術融合特征的學科。他直接滲透到經濟、

14、文化和社會的各個領域，迅速改變著人們的觀念、生活和社會的結構，是當代發(fā)展知識經濟的支柱之一。信息安全體系實際上包括國家的法規(guī)和政策，以及技術與市場的發(fā)展平臺。我們在構建信息防衛(wèi)系統(tǒng)時，應著力發(fā)展自己獨特的安全產品，要想真正解決網絡安全問題，最終的辦法就是通過發(fā)展民族的安全產業(yè)，帶動我國網絡安全技術的整體提高。</p><p>　　網絡安全產品有以下幾大特點：</p><p>　　①網絡的安

15、全機制與技術要不斷地變化；</p><p>　　②網絡安全來源于安全策略與技術的多樣化，如果采用統(tǒng)一的技術和策略也就不安全了；</p><p>　　③隨著網絡在社會各個方面的提高，進入網絡的手段也越來越多，因此，網絡安全技術也變成復雜的系統(tǒng)工程。</p><p>　　信息安全是國家發(fā)展所面臨的一個重要問題。為此建立有中國特色的網絡安全體系，需要國家政策和法規(guī)的支持及

16、技術人員研究開發(fā)。安全與反安全就像矛盾的兩個方面，相互促進、總是不斷地向上攀升，所以網絡安全將來也會變成一個隨著新技術發(fā)展而不斷發(fā)展的產業(yè)。</p><p>　　1.2 網絡安全的研究目的</p><p>　　目前計算機網絡面臨著很大的威脅，其構成的因素是多方面的。這種威脅將不斷給社會帶來了巨大的損失。網絡安全已被信息社會的各個領域所重視。隨著計算機網</p><p&g

17、t;　　絡的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢；網絡安全技術的發(fā)展給政府機構、企事業(yè)單位帶來了革命性的改革。通過網絡，他們可以從異地取回重要數據，由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性、經濟性等特征，致使網絡易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，因此同時他們也將面對數據安全的威脅。所以網上信息的安全和保密也成為最難最重要的問題。對于軍用的自動化指揮網絡（C3I系統(tǒng)）、銀行和政府等傳輸敏感

18、數據的計算機網絡系統(tǒng)而言，其網上信息的安全和保密尤為重要。</p><p>　　綜上所述：網絡必須有足夠強的安全措施，否則該網絡將是多余的、甚至會危國家安全。無論是在局域網還是在廣域網中，網絡都存在著自然脆弱性和人為等諸多因素的潛在威脅。故此，網絡的安全措施應能全方位地針對各種不同的威脅和網絡的脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究計算機網絡的安全以及防范措施已迫在眉

19、睫。</p><p>　　本文就進行初步探討計算機網絡安全的管理及其技術措施。認真分析網絡面臨的威脅，我認為計算機網絡系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)工程，是一個安全管理和技術防范相結合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計算機網絡應用部門領導的重視，加強工作人員的責任心和防范意識，自覺執(zhí)行各項安全制度，在此基礎上，再采用先進的技術和產品，構造全方位的防御機制，使系統(tǒng)在理想的狀態(tài)下運行。<

20、/p><p>　　1.3網絡安全的含義</p><p>　　信息安全是指網絡系統(tǒng)的部件、程序、數據的安全性，他通過網絡信息的存儲、傳輸和使用過程的體現。所謂的網絡安全行就是保護網絡程序、數據或設備，使其免受非授權使用或訪問。網絡安全本質上就是信息安全，廣而言之，凡是涉及網絡信息的保密性、完整性、可用性、真實性和可控性的相關可理論都是網絡安全的研究領域。</p><p>

21、　　第二章 網絡安全初步分析</p><p>　　2.1 網絡安全的必要</p><p>　　隨著計算機技術的不斷發(fā)展，計算機網絡已經成為信息時代的重要特征，人們稱它為信息高速公路。網絡是計算機技術和通信技術的產物，是社會對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設自己的信息高速公路。我國近年來計算機網絡發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應用。我相信在不長的時

22、間里，計算機網絡一定會得到極大的發(fā)展，那時將全面進入信息時代。正因為網絡應用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。</p><p>　　2.2 網絡的安全管理</p><p>　　網絡管理是指對網絡運行狀態(tài)進行檢測和控制，使其能夠有效、可靠、安全、經濟地提供服服務。面對網絡安全的脆弱性，除了在網絡設計上增加安全服務功能，完善系統(tǒng)的安全保密設施外，還必須花大力氣加

23、強網絡的安全管理，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網絡安全所必須考慮的基本問題。</p><p>　　2.2.1 安全管理原則</p><p>　　網絡信息系統(tǒng)的安全管理主要基于3個原則：</p><p>　　①　多人負責原則：每一項與安全有關的活動，都必須有兩人或多人在場。這些人應是系統(tǒng)主管領導指派的，他們忠誠可靠，能勝任此項

24、工作；他們應該簽署工作情況記錄以證明安全工作以得到保障。與安全有關的活動有：訪問控制使用證件的發(fā)放與回收；信息處理系統(tǒng)使用的媒介發(fā)放與回收；處理保密信息；硬件和軟件的維護；系統(tǒng)軟件的設計、實現和修改；重要程序和數據的刪除和銷毀等。</p><p>　?、凇∪纹谟邢拊瓌t：一般來講，任何人最好不要長期擔任與安全有關的職務，以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則，工作人員應不定期地循環(huán)任職，強制實行

25、休假制度，并規(guī)定對工作人員進行輪流培訓，以使任期有限制度切實可行。</p><p>　　③　職責分離原則：除非經系統(tǒng)主管領導批準，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情。出與對安全的考慮，下面每組內的兩項信息處理工作應當分開：計算機操作與計算機編程；機密資料的接收與傳送；安全管理和系統(tǒng)管理；應用程序和系統(tǒng)程序的編制；訪問證件的管理與其他工作；計算機操作與信息處理系統(tǒng)使用媒介的保

26、管等。</p><p>　　2.2.2 安全管理的實現</p><p>　　信息安全實現是指為保證提供一定的安全保證所必需遵守的規(guī)則。具體工作如下：</p><p>　?、佟∮脩魧ψ陨砻媾R的威脅進行風險評估，確定該系統(tǒng)的安全等級。</p><p>　　②　根據確定的安全等級，確定安全管理范圍。</p><p>　?、邸?/p>

27、制訂相應管理制度，對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關的區(qū)域。出入管理可采用證件識別或安裝自動識別系統(tǒng)，采用磁卡、身份卡等手段，對人員進行識別、登記管理。</p><p>　　2.3 采用先進的技術和產品</p><p>　　要保證計算機網絡系統(tǒng)的安全性，還要采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。</p><p

28、>　　2.3.1 防火墻技術</p><p>　　為保證網絡安全，防止外部網對內部網的非法入侵，在被保護的網絡和外部公共網絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng)，該系統(tǒng)可以設定哪些內部服務可已被外界訪問，外界的哪些人可以訪問內部的哪些服務，以及哪些外部服務可以被內部人員訪問。它可監(jiān)測、限制、更改跨越防火墻的數據流，確認其來源及去處，檢查數據的格式及內容，并依照用戶的規(guī)則傳送或阻止數據。其主要有

29、：應用層網關、數據包過濾、代理服務器等幾大類型。</p><p><b>　　2.3.2加密技術</b></p><p>　　與防火墻配合使用的安全技術還有數據加密技術，是為提高信息系統(tǒng)及數據的安全性和保密性，防止秘密數據被外部破析所采用的主要技術手段之一。原始的消息稱為明文，而加密后的消息稱為密文。從明文到密文的變換過程稱加密，從密文到明文的變換過程稱解密。隨著信息

30、技術的發(fā)展，網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外，從技術上分別在軟件和硬件兩方面采取措施，推動著數據加密技術和物理防范技術的不斷發(fā)展。按作用不同, 數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。</p><p>　　2.3.3 認證技術</p><p>　　認證技術是防止主動攻擊的重要手段，指驗證一個最終用戶

31、或設備的身份過程，即認證建立信息的發(fā)送者或接收者的身份。認證的主要目的有兩個：第一，驗證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗證信息的完整性，保證信息在傳送過程中未被竄改或延遲等。目前使用的認證技術主要有：消息認證、身份認證、數字簽名。它對于開放環(huán)境中的各種信息的安全有重作用。</p><p>　　2.3.4 計算機病毒的防范</p><p>　　首先要加強工作人員

32、防病毒的意識，其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件：</p><p>　　①、較強的查毒、殺毒能力。在當前全球計算機網絡上流行的計算機病毒有４萬多種，在各種操作系統(tǒng)中包括Windows、 UNIX都有大量能夠造成危害的計算機病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查毒、殺毒范圍廣、能力強的特點。</p><p>　　②、完善的升級服務。與其它軟件

33、相比，防病毒軟件更需要不斷地更新升級，以查殺層出不窮的計算機病毒。</p><p>　　2.4 常見的網絡攻擊及防范對策</p><p>　　2.4.1 郵件炸彈</p><p>　　郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網絡的帶寬，占據郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接

34、收，防礙計算機的正常工作。此種攻擊經常出現在網絡黑客通過計算機網絡對某一目標的報復活動中。</p><p>　　防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息，也可使自己的SMTP連接只能達成指定的服務器，從而免受外界郵件的侵襲。</p><p>　　2.4.2 特洛伊木馬</p><p>　

35、　特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊</p><p>　　木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬程序包括兩個部分，即實現攻擊者目的的指令和在網絡中傳播的指令。特洛伊木馬具有很強的生命力，在網絡中當人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的程序中，從而使它

36、們受到感染。此類攻擊對計算機的危害極大，通過特洛伊木馬，網絡攻擊者可以讀寫未經授權的文件，甚至可以獲得對被攻擊的計算機的控制權。 </p><p>　　防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進行數字簽名，而在運行文件時通過對數字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網絡掃描軟件定期監(jiān)視內部主機上的監(jiān)聽TCP服務。</p

37、><p>　　2.4.3 過載攻擊</p><p>　　過載攻擊是攻擊者通過服務器長時間發(fā)出大量無用的請求，使被攻擊的服務器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進程攻擊，它是通過大量地進行人為地增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。</p><p>　　防止過載攻擊的方法有：限制單個用戶

38、所擁有的最大進程數；殺死一些耗時的進程。</p><p>　　2.4.4 淹沒攻擊</p><p>　　正常情況下，TCP連接建立要經歷3次握手的過程，即客戶機向主機發(fā)送SYN請求信號；目標主機收到請求信號后向客戶機發(fā)送SYN/ACK消息；客戶機收到SYN/ACK消息后再向主機發(fā)送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網絡的機會。攻擊者可以使用一個不存在或當時沒有被使

39、用的主機的IP地址，向被攻擊主機發(fā)出SYN請求信號，當被攻擊主機收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機發(fā)出SYN/消息。由于此時主機的IP不存在或當時沒有被使用所以無法向主機發(fā)送RST，因此，造成被攻擊的主機一直處于等待狀態(tài)，直至超時。如果攻擊者不斷地向被攻擊的主機發(fā)送SYN請求，被攻擊主機就會一直處于等待狀態(tài)，從而無法響應其他用戶的請求。</p><p>　　對付淹沒攻擊的最好方法是實時監(jiān)控系統(tǒng)

40、處于SYN-RECEIVED狀態(tài)的連接數，當連接數超過某一給定的數值時，實時關閉這些連接。</p><p>　　第三章 網絡結構的安全設計</p><p>　　3.1 網絡拓撲結構分析</p><p>　　網絡的拓撲結構首先應因地制宜，根據組網單位的實際情況按照單位的各部門安全性要求劃分，盡量使同一安全級別的上網計算機處于同一網段的安全控制域中。局域網中的拓撲結構主

41、要有總線型，星型，環(huán)形等，而目前大多數都采用載波偵聽多路訪問/沖突檢測（Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）也就是發(fā)展到現在的IEEE802.3規(guī)范,利用這一方法建成的網絡,我們稱之為以太網,在以太網的通信方式中,每一個工作站都可以讀取電纜上傳輸的所有數據,將以太網卡(支持IEEE802.3規(guī)范的網卡)設置為混雜模式,網卡便會將電纜上傳輸的所有的

42、數據讀入緩沖區(qū),以供系統(tǒng)和程序調用.但是入侵者還是可能通過割開網線,非法接入等手段來偵聽網絡,截獲數據,根據線路中的數據流量找到網絡的信息中心,因此布線要杜絕經過不可靠的區(qū)域,以防止非法接入,在各網段的控制器上設置網段內所有主機的介質訪問控制器(MAC)地址,該地址為6個字節(jié),是用來區(qū)分網絡設備的唯一標志.此外,對于每一個接入網絡中的計算機都必須先登記后連線接入,網段監(jiān)控程序一旦發(fā)現有陌生的MA</p><p>

43、　　網絡分段 網絡分段通常被認為是控制網絡廣播風暴的一種基本手段,實際上也是保證網絡安全的一項重要措施.其目的是將非法用戶與敏感的網絡資源相互隔離,從而防上可能的非法偵聽.</p><p>　　以交換式集線器代替共享式集線器 對局域網的中心計算機進行分段后,以太網的偵聽的危險仍然存在.這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器.這樣,當用戶與主機

44、進行數據通信時,兩臺機器之間的數據包(稱為單播包Nicest Packet)還是會被同一臺集線器上的其他用戶所偵聽.因此應該以交換式集線器代替共享式集線器,使單播包公在兩個節(jié)點之間傳送,從而防止非法偵聽。</p><p>　　VLAN(虛擬局域網)的劃分 為了克服以太網的廣播問題,除上述方法外,還可以運用VLAN技術,將以太網通信變?yōu)辄c到點通信,以防止大部分基于網絡偵聽的入侵。</p><p

45、>　　基于以上拓撲結構的連接方式,用電纜和集線器連接而成的網絡始終是同一網段,在網上傳播的數據可以被所有的連接設備接收,為了防止網絡的入侵嗅探,可以把網絡分段,隔離網絡通信合用橋接器,交換器,路由器,應用網關都可以實現各網段的通信隔離,同時將多個局域網進行互聯,拓展網絡形成廣域網,還可將本地局域網與因特網連接從而成為全球最大的廣域網．但對于網絡拓撲結構的安全技術是加強對外界的攻擊的防范和應策.</p><p&g

46、t;　　3.2 網絡攻擊淺析</p><p>　　攻擊是指非授權行為，任何危害系統(tǒng)信息安全的活動都是安全攻擊。攻擊的范圍從簡單的使服務器無法提供正常的服務到安全破壞、控制服務器。在網絡上成功實施的攻擊級別以來于擁護采取的安全措施。</p><p>　　在此先分析眼下比較流行的攻擊Dodos分布式拒絕服務攻擊：Does是Denial of Service的簡稱，即拒絕服務，造成Does的攻擊

47、行為被稱為Does攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的Does攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。而分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊是借助于客

48、戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在Internet上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。（見圖一）而且現在沒有有限的方法來避</p>

49、<p>　　因為此攻擊基于TCP/IP協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？</p><p>　　1.確保所有服務器采用最新系統(tǒng)，并打上安全補丁。計算機緊急響應協(xié)調中心發(fā)現，幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補丁。 </p><p>　　2．確保管理員對所有主機進行檢查，而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統(tǒng)在運

50、行什么？誰在使用主機？哪些人可以訪問主機？不然，即使黑客侵犯了系統(tǒng)，也很難查明。 </p><p>　　3．確保運行在Unix上的所有服務都有TCP封裝程序，限制對主機的訪問權限。 </p><p>　　4．禁止內部網通過Modem連接至PSTN系統(tǒng)。否則，黑客能通過電話線發(fā)現未受保護的主機，即刻就能訪問極為機密的數據。 </p><p>　　6．限制在防火墻外與網

51、絡文件共享。這會使黑客有機會截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功能無異將陷入癱瘓。 </p><p>　　8．在防火墻上運行端口映射程序或端口掃描程序。大多數事件是由于防火墻配置不當造成的，使DoS/DDoS攻擊成功率很高，所以定要認真檢查特權端口和非特權端口。 </p><p>　　9．檢查所有網絡設備和主機/服務器系統(tǒng)的日志。只要日志出現漏洞或時間出現變更，幾乎可以肯定：相關

52、的主機安全受到了威脅。</p><p><b>　　第四章 防范技術</b></p><p>　　4.1 防火墻的定義與選擇</p><p>　　網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環(huán)境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式

53、按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監(jiān)視網絡運行狀態(tài)。防火墻可以是一臺計算機系統(tǒng)，也可以是兩臺或更多的系統(tǒng)協(xié)同工作起到防火墻的作用。</p><p>　　目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。</p><p>　　雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無

54、法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節(jié)者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。</p><p>　　防火墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇。作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安

55、全技術的整體發(fā)展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發(fā)展。</p><p>　　防火墻的選擇：①防火墻作為網絡系統(tǒng)的安全屏障, 防火墻本身是安全的 作為信息系統(tǒng)安全產品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。如果像馬其

56、諾防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統(tǒng)內部,網絡系統(tǒng)也就沒有任何安全性可言了。 </p><p>　　通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,這類問題一般用戶根本無從入手,只有通過權威認證機構的全面測試才能確定。所以對用戶來說,保守的方法是選擇一個通過多家權威認證機構測試的產品。其二是使用不當。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員

57、對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。②在網絡系統(tǒng)建設的初期,由于內部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復雜和昂貴的防火墻產品。但隨著網絡的擴容和網絡應用的增加,網絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產品。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統(tǒng),

58、而隨著要求的提高,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產品的廠商來說,也擴大了產品覆蓋面。 </p><p>　　4.2 對稱加密技術</p><p>　　在對稱加密技術中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性

59、和報文完整性就可以得以保證。對稱加密技術也存在一些不足，如果交換一方有N個交換對象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES（數據加密標準）的一種變形，這種方法使用兩個獨立的56為密鑰對信息進行3次加密，從而使有效密鑰長度達到112位。 </p><p>　　4.3公開密鑰加密 </p>&

60、lt;p>　　公鑰密碼的發(fā)展是整個密碼學發(fā)展史上最偉大的一次革命。它是基于數學函數的算法而不再是基于置換和代替技術。更重要的是，公鑰密碼是非對稱的，公鑰算法依賴于一個與之相關但不相同的解密密鑰。他使用兩個獨立的密鑰。公鑰密碼在保密性、密鑰分配和認證領域有重要的意義。</p><p>　　4.4 RSA算法 </p><p>　　RSA算法是Rivest、Shamir和Adleman于

61、1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數的困難性。它是第一個既能用于數據加密也能用于數字簽名的算法。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數之積。利用目前已經掌握的知識和理論，分解2048bit的大整數已經超過了64位計算機的運算能力，因此在目前和預見的將來，它是足夠安全的。</p><p>　　4.5 注冊與認證管理</p>

62、<p>　　4.5.1 認證機構</p><p>　　CA（Certification Authorty）就是這樣一個確保信任度的權威實體，它的主要職責是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網絡用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的，這不僅與密碼

63、學有關系，而且與整個PKI系統(tǒng)的構架和模型有關。此外，靈活也是CA能否得到市場認同的一個關鍵，它不需支持各種通用的國際標準，能夠很好地和其他廠家的CA產品兼容。 </p><p>　　4.5.2 注冊機構 </p><p>　　RA（Registration Authority）是用戶和CA的接口，它所獲得的用戶標識的準確性是CA頒發(fā)證書的基礎。RA不僅要支持面對面的登記，也必須支持遠程登

64、記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設計和實現網絡化、安全的且易于操作的RA系統(tǒng)。 </p><p>　　4.5.3 密鑰備份和恢復 </p><p>　　為了保證數據的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。 </p><p

65、>　　4.5.4 證書管理與撤消系統(tǒng) </p><p>　　證書是用來證明證書持有者身份的電子介質，它是用來綁定證書持有者身份和其相應公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現一個已頒發(fā)證書不再有效的情況這就需要進行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現是利用周期性的發(fā)布機制撤消證書或采用在線查詢機制，隨時查詢被

66、撤消的證書。</p><p>　　第五章 安全技術的研究</p><p>　　5.1 安全技術的研究現狀和方向</p><p>　　我國信息網絡安全研究歷經了通信保密、數據保護兩個階段，正在進入網絡信息安全研究階段，現已開發(fā)研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生

67、化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網絡安全的方案，目前應從安全體系結構、安全協(xié)議、現代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換、代理型和監(jiān)測型。 </p><p>　　5.1.1 包過濾型</p><p>　

68、　包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統(tǒng)管理員也可以根據實際情況靈活制訂判斷規(guī)則。</p>

69、<p>　　包過濾技術的優(yōu)點是簡單實用,實現成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。</p><p>　　但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。&

70、lt;/p><p><b>　　5.1.2 代理型</b></p><p>　　代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請

71、求發(fā)給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后再由代理服務器將數據傳輸給客戶機。由于外部系統(tǒng)與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業(yè)內部網絡系統(tǒng)。</p><p>　　代理型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,

72、大大增加了系統(tǒng)管理的復雜性。 </p><p>　　實際上,作為當前防火墻產品的主流趨勢,大多數代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產品是基于應用的,應用網關能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網

73、絡應用協(xié)議的有效支持和對網絡整體性能的影響上。</p><p><b>　　結束語</b></p><p>　　互聯網現在已經成為了人民不可或缺的工具，其發(fā)展速度也快得驚人，以此而來的攻擊破壞可謂層出不窮，為了有效的防止入侵把損失降到最低，我們必須時刻注意安全問題，使用盡量多而可靠的安全工具經常維護，讓我們的網絡體系完善可靠，在INTERNET為我們提供了大量的便捷的

74、同時,也在安全性方面帶給我們嚴峻的挑戰(zhàn).我們不能因為害怕挑戰(zhàn)而拒絕它,否則會得不償失.信息安全是一個國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術上、產業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產業(yè)的一部分，而且應該看到，發(fā)展安全產業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。網絡安全是一項動態(tài)的、整體的系統(tǒng)工程

75、，我們致力于結合本國家的網絡特點,制定妥善的網絡安全策略,將INTERNET的不安全性降至現有條件下的最低點,讓它為我們的工作和現代化建設更好的服務.</p><p><b>　　參 考 文 獻</b></p><p>　　[1] 教育部考試中心編 2011版 網絡技術 北京 高等教育出版社</p><p>　　[2] Andrew S.Ta

76、nenbaum 計算機網絡 第四版 北京清華大學出版社</p><p>　　[3] 遠望圖書部 局域網一點通 人民交通出版社</p><p>　　[4] 李偉　 網絡安全實用技術標準教程 北京 清華大學出版社</p><p>　　[5] 褚建立、劉彥舫 　計算機網絡技術　北京　清華大學出版社</p><p>　　[6] 黎連