現(xiàn)代網(wǎng)絡(luò)安全及防火墻畢業(yè)論文

1、<p><b>　　摘 要</b></p><p>　　隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來，已被信息社會(huì)的各個(gè)領(lǐng)域所重視。本文對目前計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患進(jìn)行了分析，闡述了我國網(wǎng)絡(luò)安全的現(xiàn)狀及網(wǎng)絡(luò)安全問題產(chǎn)生的原因，對我

2、們網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行了系統(tǒng)的分析,并探討了針對計(jì)算機(jī)安全隱患的防范策略.</p><p>　　正是因?yàn)榘踩{的無處不在，為了解決這個(gè)問題防火墻出現(xiàn)了。防火墻是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù),是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，其核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對安全的子網(wǎng)環(huán)境,防火墻是實(shí)施網(wǎng)絡(luò)安全控制得一種必要技術(shù)。本文討論了防火墻的安全功能、體系結(jié)構(gòu)、實(shí)現(xiàn)防火墻的主要技術(shù)手段及配置等。</p>

3、<p>　　關(guān)鍵詞 網(wǎng)絡(luò)安全/黑客/病毒/防火墻　　</p><p>　　1 我國網(wǎng)絡(luò)安全現(xiàn)狀2</p><p><b>　　1.1研究背景2</b></p><p><b>　　1.2研究意義3</b></p><p>　　1.3 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅4</p>

4、<p>　　2 防火墻的安全功能及安全網(wǎng)絡(luò)方案7</p><p>　　2.1防火墻具備的安全功能7</p><p>　　2.2 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅網(wǎng)絡(luò)安全的解決方案 2.2.1入侵檢測系統(tǒng)部署7</p><p>　　3 計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn) 10</p><p>　　3.1桌面安全系統(tǒng)10</

5、p><p>　　3.2病毒防護(hù)系統(tǒng)10</p><p>　　3.3 動(dòng)態(tài)口令系統(tǒng)11</p><p>　　4 防火墻的配置13</p><p>　　4.1防火墻的初始配置13</p><p>　　4.2 過濾防火墻的訪問配置15</p><p>　　4.3雙宿主機(jī)網(wǎng)關(guān)(Dual Homed

6、 Gateway)19</p><p>　　4.4屏蔽主機(jī)網(wǎng)關(guān)(Screened Host Gateway)19</p><p>　　4.5屏蔽子網(wǎng)(Screened Subnet)20</p><p><b>　　總    結(jié)22</b></p><p><b>　　致

7、   謝23</b></p><p><b>　　參考文獻(xiàn)24</b></p><p>　　1 我國網(wǎng)絡(luò)安全現(xiàn)狀 </p><p><b>　　1.1研究背景</b></p><p>　　據(jù)美國聯(lián)邦調(diào)查局統(tǒng)計(jì)，美國每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美

8、元。據(jù)美國金融時(shí)報(bào)報(bào)道，世界上平均每20分鐘就發(fā)生一次人侵國際互聯(lián)網(wǎng)絡(luò)的計(jì)算機(jī)安全事件，1/3的防火墻被突破。美國聯(lián)邦調(diào)查局計(jì)算機(jī)犯罪組負(fù)責(zé)人吉姆·塞特爾稱：給我精選10名“黑客”，組成小組，90天內(nèi)，我將使美國趴下。一位計(jì)算機(jī)專家毫不夸張地說：如果給我一臺(tái)普通計(jì)算機(jī)、一條電話線和一個(gè)調(diào)制解調(diào)器，就可以令某個(gè)地區(qū)的網(wǎng)絡(luò)運(yùn)行失常。</p><p>　　據(jù)了解，從1997年底至今，我國的政府部門、證券公司、

9、銀行等機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。公安機(jī)關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國的產(chǎn)品和技術(shù)，在電子政務(wù)、電子商務(wù)和各行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用尚處于發(fā)展階段，以上這些領(lǐng)域的大型計(jì)算機(jī)網(wǎng)絡(luò)工程都由國內(nèi)一些較大的系統(tǒng)集成商負(fù)責(zé)。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術(shù)力量，同時(shí)一些負(fù)責(zé)網(wǎng)絡(luò)安全的工程技術(shù)人員對許多潛在風(fēng)險(xiǎn)認(rèn)識(shí)不

10、足。缺乏必要的技術(shù)設(shè)施和相關(guān)處理經(jīng)驗(yàn)，面對形勢日益嚴(yán)峻的現(xiàn)狀，很多時(shí)候都顯得有些力不從心。也正是由于受技術(shù)條件的限制，很多人對網(wǎng)絡(luò)安全的意識(shí)僅停留在如何防范病毒階段，對網(wǎng)絡(luò)安全缺乏整體意識(shí)。</p><p>　　隨著網(wǎng)絡(luò)的逐步普及，網(wǎng)絡(luò)安全的問題已經(jīng)日益突。如同其它任何社會(huì)一樣，互連網(wǎng)也受到某些無聊之人的困擾，某些人喜愛在網(wǎng)上做這類的事,像在現(xiàn)實(shí)中向其他人的墻上噴染涂鴉、將他人的郵箱推倒或者坐在大街上按汽車?yán)纫?/p>

11、樣。網(wǎng)絡(luò)安全已成為互連網(wǎng)上事實(shí)上的焦點(diǎn)問題。它關(guān)系到互連網(wǎng)的進(jìn)一步發(fā)展和普及，甚至關(guān)系著互連網(wǎng)的生存。近年來，無論在發(fā)達(dá)國家，還是在發(fā)展中國家，黑客活動(dòng)越來越猖狂，他們無孔不入，對社會(huì)造成了嚴(yán)重的危害。目前在互連網(wǎng)上大約有將近80%以上的用戶曾經(jīng)遭受過黑客的困擾。而與此同時(shí)，更讓人不安的是，互連網(wǎng)上病毒和黑客的聯(lián)姻、不斷增多的黑客網(wǎng)站，使學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變的輕而易舉。這樣，使原本就十分脆弱的互連網(wǎng)越發(fā)顯得不安全。</

12、p><p><b>　　1.2研究意義 </b></p><p>　　現(xiàn)在網(wǎng)絡(luò)的觀念已經(jīng)深入人心，越來越多的人們通過網(wǎng)絡(luò)來了解世界，同時(shí)他們也可以通過網(wǎng)絡(luò)發(fā)布消息，與朋友進(jìn)行交流和溝通，展示自己，以及開展電子商務(wù)等等。人們的日常生活也越來越依靠網(wǎng)絡(luò)進(jìn)行。同時(shí)網(wǎng)絡(luò)攻擊也愈演愈烈，時(shí)刻威脅著用戶上網(wǎng)安全，網(wǎng)絡(luò)與信息安全已經(jīng)成為當(dāng)今社會(huì)關(guān)注的重要問題之一。黨的十六屆四中全會(huì)，

13、把信息安全和政治安全、經(jīng)濟(jì)安全、文化安全并列為國家安全的四大范疇之一，信息安全的重要性被提升到一個(gè)空前的戰(zhàn)略高度。正是因?yàn)榘踩{的無處不在，為了解決這個(gè)問題防火墻出現(xiàn)了。防火墻的本義原是指古代人們房屋之間修建的那道為防止火災(zāi)蔓延而建立的墻，而現(xiàn)在意義上的防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。應(yīng)該說，在互連網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險(xiǎn)區(qū)域(即Internet或有一定風(fēng)

14、險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連接，同時(shí)不會(huì)妨礙人們對風(fēng)險(xiǎn)區(qū)域的訪問。成而有效的控制用戶的上網(wǎng)安全。防火墻是實(shí)施網(wǎng)絡(luò)安全控制得一種必要技術(shù)，它是一個(gè)或一組系統(tǒng)組成，它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實(shí)現(xiàn)它的實(shí)際方式各不相同，但是在原則上，防火墻可以被認(rèn)為是這樣</p><p>　　1.3 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅</p><p>　　1.3.1 網(wǎng)絡(luò)安全脆弱的原因</p><

15、;p>　　(1)Internet所用底層TCP/IP網(wǎng)絡(luò)協(xié)議本身易受到攻擊，該協(xié)議本身的安全問題極大地影響到上層應(yīng)用的安全。</p><p>　　(2)Internet上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡(luò)用戶輕易地獲得了攻擊網(wǎng)絡(luò)的方法和手段。</p><p>　　(3)快速的軟件升級周期，會(huì)造成問題軟件的出現(xiàn)，經(jīng)常會(huì)出現(xiàn)操作系統(tǒng)和應(yīng)用程序存在新的攻擊漏洞。</p>

16、<p>　　(4)現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國針對計(jì)算機(jī)及網(wǎng)絡(luò)信息保護(hù)的條款不細(xì)致，網(wǎng)上保密的法規(guī)制度可操作性不強(qiáng)，執(zhí)行不力。同時(shí)，不少單位沒有從管理制度、人員和技術(shù)上建立相應(yīng)的安全防范機(jī)制。缺乏行之有效的安全檢查保護(hù)措施，甚至有一些網(wǎng)絡(luò)管理員利用職務(wù)之便從事網(wǎng)上違法行為。</p><p>　　1.3.1網(wǎng)絡(luò)安全面臨的威脅</p><p>　　信息安全是一個(gè)非常關(guān)鍵而

17、又復(fù)雜的問題。計(jì)算機(jī)信息系統(tǒng)安全指計(jì)算機(jī)信息系統(tǒng)資產(chǎn)(包括網(wǎng)絡(luò))的安全，即計(jì)算機(jī)信息系統(tǒng)資源(硬件、軟件和信息)不受自然和人為有害因素的威脅和危害。</p><p>　　計(jì)算機(jī)信息系統(tǒng)之所以存在著脆弱性，主要是由于技術(shù)本身存在著安全弱點(diǎn)、系統(tǒng)的安全性差、缺乏安全性實(shí)踐等;計(jì)算機(jī)信息系統(tǒng)受到的威脅和攻擊除自然災(zāi)害外，主要來自計(jì)算機(jī)犯罪、計(jì)算機(jī)病毒、黑客攻擊、信息戰(zhàn)爭和計(jì)算機(jī)系統(tǒng)故障等。</p><

18、;p>　　由于計(jì)算機(jī)信息系統(tǒng)已經(jīng)成為信息社會(huì)另一種形式的“金庫”和“保密室”，因而，成為一些人窺視的目標(biāo)。再者，由于計(jì)算機(jī)信息系統(tǒng)自身所固有的脆弱性，使計(jì)算機(jī)信息系統(tǒng)面臨威脅和攻擊的考驗(yàn)。計(jì)算機(jī)信息系統(tǒng)的安全威脅主要來自于以下幾個(gè)方面：</p><p>　　(1)自然災(zāi)害。計(jì)算機(jī)信息系統(tǒng)僅僅是一個(gè)智能的機(jī)器，易受自然災(zāi)害及環(huán)境(溫度、濕度、振動(dòng)、沖擊、污染)的影響。目前，我們不少計(jì)算機(jī)房并沒有防震、防火、防

19、水、避雷、防電磁泄漏或干擾等措施，接地系統(tǒng)也疏于周到考慮，抵御自然災(zāi)害和意外事故的能力較差。日常工作中因斷電而設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象時(shí)有發(fā)生。由于噪音和電磁輻射，導(dǎo)致網(wǎng)絡(luò)信噪比下降，誤碼率增加，信息的安全性、完整性和可用性受到威脅。</p><p>　　(2)黑客的威脅和攻擊。計(jì)算機(jī)信息網(wǎng)絡(luò)上的黑客攻擊事件越演越烈，已經(jīng)成為具有一定經(jīng)濟(jì)條件和技術(shù)專長的形形色色攻擊者活動(dòng)的舞臺(tái)。他們具有計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)脆弱性的知

20、識(shí)，能使用各種計(jì)算機(jī)工具。境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問題十分嚴(yán)重，他們通常采用非法侵人重要信息系統(tǒng)，竊聽、獲取、攻擊侵人網(wǎng)的有關(guān)敏感性重要信息，修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家造成重大政治影響和經(jīng)濟(jì)損失。黑客問題的出現(xiàn)，并非黑客能夠制造入侵的機(jī)會(huì)，從沒有路的地方走出一條路，只是他們善于發(fā)現(xiàn)漏洞。即信息網(wǎng)絡(luò)本身的不完善性和缺陷，成為被攻擊的目標(biāo)或利用為攻擊的途徑，其信息網(wǎng)絡(luò)脆弱性引發(fā)了信息社會(huì)脆弱性和安全問題

21、，并構(gòu)成了自然或人為破壞的威脅。</p><p>　　(3)計(jì)算機(jī)病毒。90年代，出現(xiàn)了曾引起世界性恐慌的“計(jì)算機(jī)病毒”，其蔓延范圍廣，增長速度驚人，損失難以估計(jì)。它像灰色的幽靈將自己附在其他程序上，在這些程序運(yùn)行時(shí)進(jìn)人到系統(tǒng)中進(jìn)行擴(kuò)散。計(jì)算機(jī)感染上病毒后，輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計(jì)算機(jī)主板等部件的損壞。 </p><p>　　(4

22、)垃圾郵件和間諜軟件。一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進(jìn)行商業(yè)、宗教、政治等活動(dòng)，把自己的電子郵件強(qiáng)行“推入”別人的電子郵箱，強(qiáng)迫他人接受垃圾郵件。與計(jì)算機(jī)病毒不同，間諜軟件的主要目的不在于對系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。事實(shí)上，間諜軟件日前還是一個(gè)具有爭議的概念，一種被普遍接受的觀點(diǎn)認(rèn)為間諜軟件是指那些在用戶小知情的情況下進(jìn)行非法安裝發(fā)裝后很難找到其蹤影，并悄悄把截獲的一些機(jī)密信息提供給第下者的軟件。間

23、諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用戶隱私和計(jì)算機(jī)安全，并可能小同程度的影響系統(tǒng)性能。</p><p>　　(5)信息戰(zhàn)的嚴(yán)重威脅。信息戰(zhàn)，即為了國家的軍事戰(zhàn)略而采取行動(dòng)，取得信息優(yōu)勢，干擾敵方的信息和信息系統(tǒng)，同時(shí)保衛(wèi)自己的信息和信息系統(tǒng)。這種對抗形式的目標(biāo)，不是集中打擊敵方的人員或戰(zhàn)斗技術(shù)裝備，而是集中打擊敵方的計(jì)算機(jī)信息系統(tǒng)，使其神經(jīng)中樞的指揮系統(tǒng)癱瘓。信息技術(shù)從根本上改

24、變了進(jìn)行戰(zhàn)爭的方法，其攻擊的首要目標(biāo)主要是連接國家政治、軍事、經(jīng)濟(jì)和整個(gè)社會(huì)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，信息武器已經(jīng)成為了繼原子武器、生物武器、化學(xué)武器之后的第四類戰(zhàn)略武器?？梢哉f，未來國與國之間的對抗首先將是信息技術(shù)的較量。網(wǎng)絡(luò)信息安全應(yīng)該成為國家安全的前提。</p><p>　　(6)計(jì)算機(jī)犯罪。計(jì)算機(jī)犯罪，通常是利用竊取口令等手段非法侵人計(jì)算機(jī)信息系統(tǒng)，傳播有害信息，惡意破壞計(jì)算機(jī)系統(tǒng)，實(shí)施貪污、盜竊、詐騙和金融犯罪

25、等活動(dòng)。</p><p>　　在一個(gè)開放的網(wǎng)絡(luò)環(huán)境中，大量信息在網(wǎng)上流動(dòng)，這為不法分子提供了攻擊目標(biāo)。他們利用不同的攻擊手段，獲得訪問或修改在網(wǎng)中流動(dòng)的敏感信息，闖入用戶或政府部門的計(jì)算機(jī)系統(tǒng)，進(jìn)行窺視、竊取、篡改數(shù)據(jù)。不受時(shí)間、地點(diǎn)、條件限制的網(wǎng)絡(luò)詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計(jì)算機(jī)信息系統(tǒng)的犯罪活動(dòng)日益增多。</p><p>　　2 防火墻的安全功能

26、及安全網(wǎng)絡(luò)方案 </p><p>　　2.1防火墻具備的安全功能</p><p>　　防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看，防火墻應(yīng)該具有以下基本功能： </p><p>　　(1)報(bào)警功能，將任何有網(wǎng)絡(luò)連接請求的程序通知用戶，用戶自行判斷是否放行也或阻斷其程序連接網(wǎng)絡(luò)。<

27、;/p><p>　　(2)黑白名單功能，可以對現(xiàn)在或曾經(jīng)請求連接網(wǎng)絡(luò)的程序進(jìn)行規(guī)則設(shè)置。包括以后不準(zhǔn)許連接網(wǎng)網(wǎng)等功能。</p><p>　　(3)局域網(wǎng)查詢功能，可以查詢本局域網(wǎng)內(nèi)其用戶，并顯示各用戶主機(jī)名。</p><p>　　(4) 流量查看功能，對計(jì)算機(jī)進(jìn)出數(shù)據(jù)流量進(jìn)行查看，直觀的完整的查看實(shí)時(shí)數(shù)據(jù)量和上傳下載數(shù)據(jù)率。</p><p>　　

28、(5)端口掃描功能，戶自可以掃描本機(jī)端口，端口范圍為0-65535端口，掃描完后將顯示已開放的端口。</p><p>　　(6)系統(tǒng)日志功能，日志分為流量日志和安全日志，流量日志是記錄不同時(shí)間數(shù)據(jù)包進(jìn)去計(jì)算機(jī)的情況，分別記錄目標(biāo)地址，對方地址，端口號(hào)等。安全日志負(fù)責(zé)記錄請求連接網(wǎng)絡(luò)的程序，其中包括記錄下程序的請求連網(wǎng)時(shí)間，程序目錄路徑等。</p><p>　　(7)系統(tǒng)服務(wù)功能，可以方便的

29、查看所以存在于計(jì)算機(jī)內(nèi)的服務(wù)程序?？梢躁P(guān)閉，啟動(dòng)，暫停計(jì)算機(jī)內(nèi)的服務(wù)程序。</p><p>　　(8)連網(wǎng)/斷網(wǎng)功能，在不使用物理方法下使用戶計(jì)算機(jī)連接網(wǎng)絡(luò)或斷開網(wǎng)絡(luò)。</p><p>　　完成以上功能使系統(tǒng)能對程序連接網(wǎng)絡(luò)進(jìn)行管理，大大提高了用戶上網(wǎng)的效率，降低的上網(wǎng)風(fēng)險(xiǎn)。從而用戶上網(wǎng)娛樂的質(zhì)量達(dá)到提高，同時(shí)也達(dá)到網(wǎng)絡(luò)安全保護(hù)的目的。</p><p>　　2.2

30、計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅網(wǎng)絡(luò)安全的解決方案2.2.1入侵檢測系統(tǒng)部署 </p><p>　　入侵檢測能力是衡量一個(gè)防御體系是否完整有效的重要因素，強(qiáng)大完整的入侵檢測體系可以彌補(bǔ)防火墻相對靜態(tài)防御的不足。對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測，及時(shí)發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應(yīng)的措施。具體來講，就是將入侵檢測引擎接入中心交換機(jī)上。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳

31、輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)；如果情況嚴(yán)重，系統(tǒng)可以發(fā)出實(shí)時(shí)報(bào)警，使得學(xué)校管理員能夠及時(shí)采取應(yīng)對措施。</p><p>　　2.2.2漏洞掃描系統(tǒng) </p><p>　　采用目前最先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管

32、理員提供詳細(xì)可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。 </p><p>　　2.2.3網(wǎng)絡(luò)版殺毒產(chǎn)品部署 </p><p>　　在該網(wǎng)絡(luò)防病毒方案中，我們最終要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，為了實(shí)現(xiàn)這一點(diǎn)，我們應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、

33、智能升級、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能。</p><p>　　2.2.4 安全服務(wù)配置</p><p>　　安全服務(wù)隔離區(qū)( DMZ) 把服務(wù)器機(jī)群和系統(tǒng)管理機(jī)群單獨(dú)劃分出來, 設(shè)置為安全服務(wù)隔離區(qū), 它既是內(nèi)部網(wǎng)絡(luò)的一部分, 又是一個(gè)獨(dú)立的局域網(wǎng), </p><p>　　單獨(dú)劃分出來是為了更好的保護(hù)服務(wù)器上數(shù)據(jù)和系統(tǒng)管理的正常運(yùn)行。建議通過NAT( 網(wǎng)絡(luò)

34、地址轉(zhuǎn)換) </p><p>　　技術(shù)將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng)IP地址。這不僅可以對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和IP地址, 保護(hù)內(nèi)部網(wǎng)絡(luò)的安全, </p><p>　　也可以大大節(jié)省公網(wǎng)IP地址的使用, 節(jié)省了投資成本。</p><p>　　如果單位原來已有邊界路由器, 則可充分利用原有設(shè)備, 利用邊界路由器的包過濾功能, 添加相

35、應(yīng)的防火墻配置, </p><p>　　這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。對于DMZ區(qū)中的公用服務(wù)器, 則可直接與邊界路由器相連, </p><p>　　不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡單防護(hù)。在此拓?fù)浣Y(jié)構(gòu)中, 邊界路由器與防火墻就一起組成了兩道安全防線, 并且在這兩者之間可以設(shè)置一個(gè)DMZ區(qū), </p><p>　

36、　用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。</p><p>　　2.2.5 配置訪問策略</p><p>　　訪問策略是防火墻的核心安全策略, 所以要經(jīng)過詳盡的信息統(tǒng)計(jì)才可以進(jìn)行設(shè)置。在過程中我們需要了解本單位對內(nèi)對外的應(yīng)用以及所對應(yīng)的源地址、目的地址、TCP </p><p>　　或UDP的端口, 并根據(jù)不同應(yīng)用的執(zhí)行頻繁程度對策略在規(guī)則表中的位置進(jìn)行排序,

37、 然后才能實(shí)施配置。原因是防火墻進(jìn)行規(guī)則查找時(shí)是順序執(zhí)行的, </p><p>　　如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。</p><p>　　2.2.6 日志監(jiān)控</p><p>　　日志監(jiān)控是十分有效的安全管理手段。往往許多管理員認(rèn)為只要可以做日志的信息就去采集。如: 所有的告警或所有與策略匹配或不匹配的流量等等, </p><

38、p>　　這樣的做法看似日志信息十分完善, 但每天進(jìn)出防火墻的數(shù)據(jù)有上百萬甚至更多, 所以, 只有采集到最關(guān)鍵的日志才是真正有用的日志。一般而言, </p><p>　　系統(tǒng)的告警信息是有必要記錄的, 對于流量信息進(jìn)行選擇, 把影響網(wǎng)絡(luò)安全有關(guān)的流量信息保存下來。</p><p>　　3 計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn) </p><p><b>

39、;　　3.1桌面安全系統(tǒng)</b></p><p>　　用戶的重要信息都是以文件的形式存儲(chǔ)在磁盤上，使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率，但同時(shí)也造成用戶的信息易受到攻擊，造成泄密。特別是對于移動(dòng)辦公的情況更是如此。因此，需要對移動(dòng)用戶的文件及文件夾進(jìn)行本地安全管理，防止文件泄密等安全隱患。 　　本設(shè)計(jì)方案采用清華紫光公司出品的紫光S鎖產(chǎn)品，“紫光S鎖”是清華紫光“桌面計(jì)

40、算機(jī)信息安全保護(hù)系統(tǒng)”的商品名稱。紫光S鎖的內(nèi)部集成了包括中央處理器（CPU）、加密運(yùn)算協(xié)處理器（CAU）、只讀存儲(chǔ)器（ROM），隨機(jī)存儲(chǔ)器（RAM）、電可擦除可編程只讀存儲(chǔ)器（E2PROM）等，以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS（Chip Operating System）、硬件ID號(hào)、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認(rèn)證的SmartCOS，其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，防止

41、非法軟件對S鎖進(jìn)行操作。 </p><p><b>　　3.2病毒防護(hù)系統(tǒng)</b></p><p>　　基于單位目前網(wǎng)絡(luò)的現(xiàn)狀，在網(wǎng)絡(luò)中添加一臺(tái)服務(wù)器，用于安裝IMSS。  （1)郵件防毒。采用趨勢科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服務(wù)器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫中，可防止病毒

42、入侵到LotueNotes的數(shù)據(jù)庫及電子郵件，實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作，并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。 　（2)服務(wù)器防毒。采用趨勢科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念，防毒模塊和管理模塊可分開安裝。一方面

43、減少了整個(gè)防毒系統(tǒng)對原系統(tǒng)的影響，另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署，管理和更新。 　（3)客戶端防毒。采用趨勢科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，使管理者通過單點(diǎn)控制所有客戶機(jī)上的防毒模塊，并可以自動(dòng)對所有客戶端的防毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式，不受Windows域管理模式的約束，除支持SMS</p><p>　　3.3 動(dòng)態(tài)口令系統(tǒng)

44、</p><p>　　動(dòng)態(tài)口令系統(tǒng)在國際公開的密碼算法基礎(chǔ)上，結(jié)合生成動(dòng)態(tài)口令的特點(diǎn)，加以精心修改，通過十次以上的非線性迭代運(yùn)算，完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散。在此基礎(chǔ)上，采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。 　 單位安全網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成，在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對網(wǎng)絡(luò)安全的

45、重要隱患。本設(shè)計(jì)方案選用四臺(tái)網(wǎng)御防火墻，分別配置在高性能服務(wù)器和三個(gè)重要部門的局域網(wǎng)出入口，實(shí)現(xiàn)這些重要部門的訪問控制。 　　通過在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門之間部署防火墻，通過防火墻將網(wǎng)絡(luò)內(nèi)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段，彼此隔離。這樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器，使其不受來自內(nèi)部的攻擊，也保護(hù)了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)您的一個(gè)部門，或者

46、如果病毒開始蔓延，網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。 　 為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個(gè)子網(wǎng)之間建立起獨(dú)立的安全通道，通過嚴(yán)格的加密和認(rèn)證措施來保證通道中傳送的數(shù)據(jù)的完</p><p><b>　　4 防火墻的配置</b></p><p>　　4.1防火墻的初始配置</p><p>　　像路由器一樣，在使用之前，防火

47、墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以Cisco PIX防火墻為例進(jìn)行介紹。 　　防火墻的初始配置也是通過控制端口（Console）與PC機(jī)（通常是便于移動(dòng)的筆記本電腦）的串口連接，再通過Windows系統(tǒng)自帶的超級終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣，參見圖1所示。 　　　　 </p><p>

48、　　防火墻除了以上所說的通過控制端口（Console）進(jìn)行初始配置外，也可以通過telnet和Tffp配置方式進(jìn)行高級配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務(wù)器軟件，但配置界面比較友好。 　　防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（Unprivileged mode）、特權(quán)模式（Privileged Mode）、配置模式（Configuration Mode）和端口

49、模式（Interface Mode），進(jìn)入這四種用戶模式的命令也與路由器一樣： 　　普通用戶模式無需特別命令，啟動(dòng)后即進(jìn)入； 　　進(jìn)入特權(quán)用戶模式的命令為"enable"；進(jìn)入配置模式的命令為"config terminal"；而進(jìn)入端口模式的命令為"interface ethernet（）"。不過因?yàn)榉阑饓Φ亩丝跊]有路由器那么復(fù)雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為&

50、quot;全局配置模式"。 　　　　防火墻的具體配置步驟如下： 　　1. 將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上，參見圖1。 　　2. 打開</p><p>　　4.2 過濾防火墻的訪問配置</p><p>　　除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對訪問控制列表（ACL）進(jìn)行配有關(guān)置。下面介紹一些用于此方面

51、配置的基本命令。 　　1. access-list：用于創(chuàng)建訪問規(guī)則 　　這一訪問規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個(gè)序號(hào)的規(guī)則可以看作一類規(guī)則，同一個(gè)序號(hào)之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過 show access-list 命令看到。在這個(gè)命令中，又有幾種命令格式，分別執(zhí)行不同的命令。 　?。?）創(chuàng)建標(biāo)準(zhǔn)訪問列表 　　命令格式：access-list [ normal 　 special ]

52、 listnumber1 { permit 　 deny } source-addr [ source-mask ] 　?。?）創(chuàng)建擴(kuò)展訪問列表 　　命令格式：access-list [ normal 　 special ] listnumber2 { permit 　 deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr des

53、t-</p><p>　　最簡單的防火墻配置，就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包過濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全，有時(shí)還要將幾種防火墻技術(shù)組合起來構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。</p><p>　　4.3雙宿主機(jī)網(wǎng)關(guān)(Dual Homed Gateway)</p><p>　　這種配置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防

54、火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件(通常是代理服務(wù)器)，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護(hù)的內(nèi)部網(wǎng)絡(luò)(如圖1)。</p><p>　　三種流行防火墻配置方案分析(圖一)</p><p>　　4.4屏蔽主機(jī)網(wǎng)關(guān)(Screened H

55、ost Gateway)</p><p>　　屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來看單宿堡壘主機(jī)類型。一個(gè)包過濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接(如圖2)。通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從 Internet惟一可以訪問的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intra

56、net內(nèi)部的客戶機(jī)，可以受控制地通過屏蔽主機(jī)和路由器訪問Internet.</p><p>　　三種流行防火墻配置方案分析(圖二)</p><p>　　雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過濾路由器(如圖3)。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。</p><p>　　三種流行防火墻配置方案分析(

57、圖三)</p><p>　　4.5屏蔽子網(wǎng)(Screened Subnet)</p><p>　　這種方法是在Intranet和Internet之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過濾路由器將這一子網(wǎng)分別與Intranet和 Internet 分開。兩個(gè)包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”(如圖4)，兩個(gè)路由器一個(gè)控制Intranet 數(shù)據(jù)流，另一個(gè)控制Internet數(shù)

58、據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個(gè)包過濾路由器的檢查。對于向Internet公開的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。這種結(jié)構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價(jià)

59、高。</p><p>　　三種流行防火墻配置方案分析(圖四)</p><p>　　當(dāng)然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸;難以避免來自內(nèi)部的攻擊等等?？傊?，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問、本地和遠(yuǎn)程用戶認(rèn)證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防

60、護(hù)等有關(guān)的安全</p><p><b>　　總    結(jié)</b></p><p>　　經(jīng)過兩個(gè)月艱苦卓絕的努力,總于完成了本畢業(yè)設(shè)計(jì).從當(dāng)初領(lǐng)到題目到最后一個(gè)功能模塊的完成,經(jīng)歷了無數(shù)次的錯(cuò)誤->修改代碼->重啟服務(wù)器->運(yùn)行的過程,感覺到平時(shí)學(xué)的知識(shí)是多么的淺薄,書到用時(shí)方恨少,現(xiàn)在是體驗(yàn)的真真切切.也充分反應(yīng)了我平時(shí)

61、的基本功不扎實(shí),給我以后的工作敲響了警鐘,有了努力的方向.</p><p>　　但通過本次畢業(yè)設(shè)計(jì),我也感受到了開源的方便,遇到什么問題,上網(wǎng)一查,就知道該怎么弄了,以前做個(gè)課程設(shè)計(jì)都是怕別人和我的一樣,不愿意給別人看,現(xiàn)在知道了程序弄不出來是多么的著急,學(xué)習(xí)都是相互的,互相研究才能共同進(jìn)步的.以后要多多注意這方面的事情,</p><p>　　本次畢業(yè)設(shè)計(jì)是我工作前一次很好的演練和實(shí)踐的機(jī)

62、會(huì),是培養(yǎng)獨(dú)立考問題和自學(xué)能力的鍛煉,使我意識(shí)到必須努力學(xué)習(xí)才能才工作中體現(xiàn)自己的價(jià)值,適應(yīng)社會(huì)的需要.</p><p><b>　　致    謝</b></p><p>　　經(jīng)過了三個(gè)月的努力,我完成了題目為:計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)。</p><p>　　本次設(shè)計(jì)能夠順利完成,我首先要感謝一些發(fā)表書籍的老師們

63、。其次,我要感謝我的指導(dǎo)老師,她自始自終都給予了我莫大的幫助,對的設(shè)計(jì)中每一個(gè)計(jì)劃,每一項(xiàng)安排都提出了至關(guān)重要的建議,使我少走了許多彎路,節(jié)省了大量的時(shí)間,并且能不厭其煩地指導(dǎo)我技術(shù)上的問題,使我的系統(tǒng)更加完善和符合企業(yè)網(wǎng)站的要求. 可以說,我的畢業(yè)設(shè)計(jì)的順利完成凝聚著導(dǎo)師的大量心血.</p><p>　　另外,我還要感謝那些網(wǎng)上的朋友,他們毫不吝嗇的將自己所掌握的知識(shí)拿出來資源共享,才使我部分功能模塊得以實(shí)現(xiàn),

64、謝謝他們.</p><p>　　通過這次畢業(yè)設(shè)計(jì),我體會(huì)很多,學(xué)會(huì)是一回事,會(huì)用則就是另一回事了.以前感到自己專業(yè)技能還可以,但真正到用的時(shí)候就發(fā)現(xiàn)了很多缺陷,發(fā)現(xiàn)自己其實(shí)差距很大,還不能適應(yīng)工作.為我今后指明了努力方向.</p><p>　　再一次，我向多方面支持和幫助過我的人表示由衷的感謝！</p><p><b>　　參考文獻(xiàn)</b>&l

65、t;/p><p>　　[1]張寶劍.計(jì)算機(jī)安全與防護(hù)技術(shù)[M].機(jī)械工業(yè)出版社,2003.</p><p>　　[2]林海波,網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京清華大學(xué)出版社,2000.</p><p>　　[3]凌雨欣,常紅.網(wǎng)絡(luò)安全技術(shù)與反網(wǎng)絡(luò)入侵者[M].冶金工業(yè)出版社,2001.</p><p>　　[4]王蓉,林海波.網(wǎng)絡(luò)安全與防火墻技術(shù)

66、[M].清華大學(xué)出版社,2000.</p><p>　　[5]余建斌.黑客的攻擊手段及用戶對策［M］.北京人民郵電出版社,2005.</p><p>　　[6](美)布萊克赫茲.Microsoft，UNIX及0racle主機(jī)和網(wǎng)絡(luò)安全［M］.電子工業(yè)出版社,2004. </p><p>　　[7] 馬程.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用［J］.甘肅科技,2008</p