網(wǎng)絡(luò)安全設(shè)計(jì)畢業(yè)論文

1、摘要： 隨著Internet、網(wǎng)絡(luò)信息技術(shù)的迅速發(fā)展及各種應(yīng)用的日益普及，各單位計(jì)算機(jī)局域網(wǎng)已成為重要的基礎(chǔ)設(shè)施，但隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也顯得尤為重要，本文章重點(diǎn)介紹了局域網(wǎng)安全控制與病毒防治的一些策略。 關(guān)鍵詞： 局域網(wǎng)安全；VLAN；病毒防治；防火墻Summary：With the Internet, the rapid development of information technology networks and the increasing popularity of various applications, the units have become important c

2、omputer local area network infrastructure, but the attendant problem of network security is very important, this article focuses on local area network security control and virus control some of the strategies.Keywords: local area network security; VLAN; Virus Prevention; Firewall目 錄摘要.1前言.2第一章 局域網(wǎng)安全

3、.31.1 局域網(wǎng)安全現(xiàn)狀.31.2 局域網(wǎng)安全威脅分析.31.3 局域網(wǎng)安全解決方法.4 網(wǎng)絡(luò)分段 .4 以交換式集線(xiàn)器代替共享式集線(xiàn)器.4 VLAN的劃分.4第二章 局域網(wǎng)病毒防治.52.1三大新威脅.5Spyware(間諜軟件) .5dware(廣告軟件) .5hishing(網(wǎng)絡(luò)釣魚(yú)軟件，又稱(chēng)電子黑餌) .52.2害人四大新趨勢(shì).5盜取個(gè)人資料.6“僵尸”入侵.6dware、Spyware偷襲.6垃圾郵件改頭換面.62.3只防病毒不安全.6第三章 防火墻與路由器.73.1防火墻與路由器的區(qū)別.7 兩種設(shè)備產(chǎn)生的根源不同.7 根本目的不同.83.2核心技術(shù)的不同.8 IP/TCP欺騙.8

4、3.3安全策略制定的復(fù)雜程度不同.83.4對(duì)性能的影響不同.93.5審計(jì)功能的強(qiáng)弱差異巨大.93.6防范攻擊的能力不同.10第四章 防火墻的作用.10第五章 網(wǎng)絡(luò)使用人員的安全培訓(xùn).11第六章 結(jié)束語(yǔ).12參考文獻(xiàn).12致謝.13前 言近年來(lái)各種網(wǎng)絡(luò)安全問(wèn)題接踵而至：計(jì)算機(jī)病毒、操作系統(tǒng)漏洞、黑客攻擊等屢見(jiàn)不鮮，如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和病毒的入侵，如何保障數(shù)據(jù)傳輸?shù)陌踩?、可靠性，也是建設(shè)局域網(wǎng)網(wǎng)絡(luò)安全過(guò)程中所必須考慮的重要事情之一。本文依據(jù)自己在信息安全領(lǐng)域的經(jīng)驗(yàn)，從安全角度出發(fā)，并結(jié)合自己知識(shí)向局域網(wǎng)安全控制與病毒防治作出研究。 第一章 局域網(wǎng)安全1.1 局域網(wǎng)安全現(xiàn)狀 廣域

5、網(wǎng)絡(luò)已有了相對(duì)完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界方面的防御，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。相反來(lái)自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶(hù)端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶(hù)就可能通過(guò)到局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動(dòng)進(jìn)入網(wǎng)絡(luò)，形成極大的安全隱患。目前，局域網(wǎng)絡(luò)安全隱患是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn)，而系統(tǒng)在使用和管理過(guò)程的疏漏增加了安全問(wèn)題的嚴(yán)重程度。 1.2局域網(wǎng)安全威脅分析 局域網(wǎng)（LAN）是指在小范圍內(nèi)由服務(wù)器和多臺(tái)電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。由于通過(guò)交換機(jī)和服務(wù)器連接網(wǎng)內(nèi)

6、每一臺(tái)電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高，同時(shí)局域網(wǎng)采用的技術(shù)比較簡(jiǎn)單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類(lèi)：（1）欺騙性的軟件使數(shù)據(jù)安全性降低；（2）計(jì)算機(jī)病毒及惡意代碼的威脅；（3）服務(wù)器區(qū)域沒(méi)有進(jìn)行獨(dú)立防護(hù)；（4）IP地址沖突；（5）局域網(wǎng)用戶(hù)安全意識(shí)不強(qiáng)；正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨(dú)特的特點(diǎn)，造成局域網(wǎng)內(nèi)的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失。 1.3 局域網(wǎng)安全解決辦法 當(dāng)前，保證局域網(wǎng)安全的解決辦法有以下幾種： 1.3.1網(wǎng)絡(luò)分段 網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一

7、種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施。其目的就是將非法用戶(hù)與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽(tīng)，網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。 目前，一般的局域網(wǎng)大多采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局，應(yīng)重點(diǎn)挖掘中心交換機(jī)的訪(fǎng)問(wèn)控制功能和三層交換功能，綜合應(yīng)用物理分段與邏輯分段兩種方法，來(lái)實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制。例如：普遍使用的DEC MultiSwitch 900的入侵檢測(cè)功能，其實(shí)就是一種基于MAC地址的訪(fǎng)問(wèn)控制，也就是上述的基于數(shù)據(jù)鏈路層的物理分段。 1.3.2以交換式集線(xiàn)器代替共享式集線(xiàn)器 對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽(tīng)的危險(xiǎn)仍然存在。這是因

8、為網(wǎng)絡(luò)最終用戶(hù)的接入往往是通過(guò)分支集線(xiàn)器而不是中心交換機(jī)，而使用最廣泛的分支集線(xiàn)器通常是共享式集線(xiàn)器。這樣，當(dāng)用戶(hù)與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺(tái)機(jī)器之間的數(shù)據(jù)包（稱(chēng)為單播包Unicast Packet）還是會(huì)被同一臺(tái)集線(xiàn)器上的其他用戶(hù)所偵聽(tīng)。一種很危險(xiǎn)的情況是：用戶(hù)TELNET到一臺(tái)主機(jī)上，由于TELNET程序本身缺乏加密功能，用戶(hù)所鍵入的每一個(gè)字符（包括用戶(hù)名、密碼等重要信息），都將被明文發(fā)送，這就給黑客提供了機(jī)會(huì)。 因此，應(yīng)該以交換式集線(xiàn)器代替共享式集線(xiàn)器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法偵聽(tīng)。當(dāng)然，交換式集線(xiàn)器只能控制單播包而無(wú)法控制廣播包（Broadcast Packet）和多播

9、包（Multicast Packet）。所幸的是，廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。 1.3.3VLAN的劃分 為了克服以太網(wǎng)的廣播問(wèn)題，除了上述方法外，還可以運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽(tīng)的入侵。 目前的VLAN技術(shù)主要有三種：基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN?；诙丝诘腣LAN雖然稍欠靈活，但卻比較成熟，在實(shí)際應(yīng)用中效果顯著，廣受歡迎?；贛AC地址的VLAN為移動(dòng)計(jì)算提供了可能性，但同時(shí)也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實(shí)際應(yīng)用卻尚不成熟。

10、 在集中式網(wǎng)絡(luò)環(huán)境下，我們通常將中心的所有主機(jī)系統(tǒng)集中到一個(gè)VLAN里，在這個(gè)VLAN里不允許有任何用戶(hù)節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，我們可以按機(jī)構(gòu)或部門(mén)的設(shè)置來(lái)劃分VLAN。各部門(mén)內(nèi)部的所有服務(wù)器和用戶(hù)節(jié)點(diǎn)都在各自的VLAN內(nèi)，互不侵?jǐn)_。 VLAN內(nèi)部的連接采用交換實(shí)現(xiàn)，而VLAN與VLAN之間的連接則采用路由實(shí)現(xiàn)。目前，大多數(shù)的交換機(jī)（包括普遍采用的DEC MultiSwitch 900）都支持RIP和OSPF這兩種國(guó)際標(biāo)準(zhǔn)的路由協(xié)議。如果有特殊需要，必須使用其他路由協(xié)議（如CISCO公司的EIGRP或支持DECnet的ISIS），也可以用外接的多以太網(wǎng)口路由器來(lái)

11、代替交換機(jī)，實(shí)現(xiàn)VLAN之間的路由功能。當(dāng)然，這種情況下，路由轉(zhuǎn)發(fā)的效率會(huì)有所下降。 無(wú)論是交換式集線(xiàn)器還是VLAN交換機(jī)，都是以交換技術(shù)為核心，它們?cè)诳刂茝V播、防止黑客上相當(dāng)有效，但同時(shí)也給一些基于廣播原理的入侵監(jiān)控技術(shù)和協(xié)議分析技術(shù)帶來(lái)了麻煩。因此，如果局域網(wǎng)內(nèi)存在這樣的入侵監(jiān)控設(shè)備或協(xié)議分析設(shè)備，就必須選用特殊的帶有SPAN（SwitchPort Analyzer）功能的交換機(jī)。這種交換機(jī)允許系統(tǒng)管理員將全部或某些交換端口的數(shù)據(jù)包映射到指定的端口上，提供給接在這一端口上的入侵監(jiān)控設(shè)備或協(xié)議分析設(shè)備。第二章 局域網(wǎng)病毒防治上網(wǎng)的人中，很少有誰(shuí)沒(méi)被病毒侵害過(guò)。但在大多數(shù)人將注意力放在對(duì)付病毒

12、上時(shí)，要想保證上網(wǎng)安全，必須對(duì)以下這三種威脅同時(shí)設(shè)防。第一是以傳統(tǒng)宏病毒、蠕蟲(chóng)等為代表的入侵性病毒；第二是以間諜軟件、廣告軟件、網(wǎng)絡(luò)釣魚(yú)軟件、木馬程序?yàn)榇淼臄U(kuò)展類(lèi)威脅；第三是以黑客為首的有目標(biāo)的專(zhuān)門(mén)攻擊或無(wú)目標(biāo)的隨意攻擊為代表的網(wǎng)絡(luò)侵害。 2.1三大新威脅 Spyware(間諜軟件)：主要是用作偷取用戶(hù)個(gè)人資料的惡意程序，如用戶(hù)使用網(wǎng)上銀行、網(wǎng)上購(gòu)物等電子商務(wù)應(yīng)用時(shí)，如果沒(méi)有相關(guān)的防御措施與意識(shí)，那么用戶(hù)的網(wǎng)銀賬號(hào)和密碼就很容易被竊取。 dware(廣告軟件)：是一種軟件，一般表現(xiàn)為用戶(hù)點(diǎn)擊網(wǎng)站后就一連出現(xiàn)好多疊加著的網(wǎng)頁(yè)，非常不好關(guān)。它通常都跟某些工具軟件綁在一起，當(dāng)你安裝這些軟件后，也就

13、跟著進(jìn)入你的電腦了。它不但占用系統(tǒng)資源，還常常連著一些色情網(wǎng)站。除強(qiáng)行向用戶(hù)做廣告外，更會(huì)刺探用戶(hù)的個(gè)人隱私資料，例如姓名、郵箱、銀行資料、電話(huà)、地址等，因此隱藏著不小的危害性，需要盡快清除。 2.1.3Phishing(網(wǎng)絡(luò)釣魚(yú)軟件，又稱(chēng)電子黑餌)：是fishing和phone的縮寫(xiě)。是指盜取他人個(gè)人資料、銀行及財(cái)務(wù)賬戶(hù)資料的網(wǎng)絡(luò)相關(guān)誘騙行為，可分為誘騙式及技術(shù)式兩種。誘騙式是利用特制的電郵，引導(dǎo)收件人連接到特制的網(wǎng)頁(yè)，這些網(wǎng)頁(yè)通常會(huì)偽裝成真正的銀行或理財(cái)網(wǎng)頁(yè)，令登錄者信以為真，輸入信用卡或銀行卡號(hào)碼、賬戶(hù)名稱(chēng)及密碼等；技術(shù)性的Phishing則是將程序安裝到受害者的電腦中，直接盜取個(gè)人資料

14、或使用木馬程序、按鍵記錄程序等。2.2害人四大新趨勢(shì) 總體來(lái)說(shuō)，以前的黑客攻擊和犯罪的目的性不很明確，他們大多出于好奇、出風(fēng)頭的目的。而現(xiàn)在多是有組織、有目的的經(jīng)濟(jì)犯罪。據(jù)我們分析，黑客的攻擊大致有如下四大趨勢(shì)： 2.2.1盜取個(gè)人資料 近年來(lái)利用Phishing攻擊的犯罪增長(zhǎng)非?？?，主要出現(xiàn)在電子商務(wù)應(yīng)用中。黑客假借銀行之名給銀行用戶(hù)發(fā)電子郵件，提示銀行系統(tǒng)升級(jí)要求用戶(hù)重新注冊(cè)，用戶(hù)一旦輕信進(jìn)行注冊(cè)，銀行賬號(hào)即落入黑客掌中，與此伴隨的將是你的銀行存款不翼而飛。 “僵尸”入侵 從全球來(lái)看，僵尸即機(jī)器人(BOT)程序在中國(guó)的增長(zhǎng)最快，而整個(gè)亞太區(qū)也居于全球前十名。BOT類(lèi)似于木馬程序，它執(zhí)行的是

15、預(yù)先沒(méi)有設(shè)置好的程序，通過(guò)所有被程序控制的“僵尸”電腦一同對(duì)某一目標(biāo)發(fā)起攻擊。這種攻擊的危險(xiǎn)性最大，因?yàn)樗幌癫《究梢蕴崆氨O(jiān)控。 2.2.3Adware、Spyware偷襲 Symantec的技術(shù)中心曾在用戶(hù)送修的筆記本電腦中發(fā)現(xiàn)，其已經(jīng)被植入了多達(dá)近百種的Adware或Spyware軟件。它們一般通過(guò)小的用戶(hù)在下載Flash和小游戲時(shí)安裝，由于它們不像病毒和蠕蟲(chóng)那么敏感，于是得以在不知不覺(jué)中入侵你的電腦?，F(xiàn)在一些正規(guī)的軟件廠商也在應(yīng)用這些軟件來(lái)搜集用戶(hù)的資料。盡管目前這類(lèi)軟件不見(jiàn)得都有害，但它們搜集的畢竟是你的個(gè)人隱私信息。這也將成為未來(lái)防范的重點(diǎn)。 2.2.4垃圾郵件改頭換面 從當(dāng)前來(lái)看，

16、垃圾郵件的總量雖然呈下降態(tài)勢(shì)，但其逃避技術(shù)卻越來(lái)越強(qiáng)。這類(lèi)郵件中攜帶著大量的病毒、Phishing、蠕蟲(chóng)、木馬及額外的風(fēng)險(xiǎn)。 2.3只防病毒不安全 目前眾多網(wǎng)民已不再是簡(jiǎn)單地上網(wǎng)瀏覽網(wǎng)頁(yè)及收發(fā)電郵，隨著網(wǎng)上銀行、網(wǎng)上購(gòu)物等電子商務(wù)應(yīng)用的出現(xiàn)，來(lái)自網(wǎng)上的威脅不僅僅是傳統(tǒng)的病毒了。 中國(guó)目前已經(jīng)成黑客首選的攻擊目標(biāo)，每天有3萬(wàn)臺(tái)PC機(jī)處于隨時(shí)可能被攻擊的失控狀態(tài)。業(yè)內(nèi)人士指出，未來(lái)對(duì)電腦及電腦用戶(hù)造成最大威脅的并不是我們慣常認(rèn)為的電腦病毒(Virus)，而是一些Spyware(間諜軟件)、Adware(廣告軟件)、Phishing(網(wǎng)絡(luò)釣魚(yú)軟件)、Trojan(木馬程序)、Worms(蠕蟲(chóng))。原因

17、是大部分用戶(hù)及商業(yè)機(jī)構(gòu)對(duì)一般的電腦病毒已有一定的防范，譬如安裝防毒程序等，再新的病毒也能在短時(shí)間內(nèi)被解決，可是對(duì)于Spyware、Trojan及Worms絕大多數(shù)網(wǎng)民防范意識(shí)較為薄弱。雖然一般的電腦上也安裝了防毒程序，但實(shí)際上單一的防毒程序并不能阻擋來(lái)自網(wǎng)上的侵襲。 現(xiàn)在的網(wǎng)絡(luò)安全威脅主要來(lái)自病毒攻擊、木馬攻擊、黑客攻擊以及間諜軟件等攻擊。殺毒軟件發(fā)展了十幾年，依然是停留在被動(dòng)殺毒的層面，而國(guó)外的調(diào)查表明，當(dāng)今全球殺毒軟件對(duì)80%的病毒無(wú)法起到識(shí)別作用，也就是說(shuō)，殺毒軟件之所以能殺毒，純粹是根據(jù)病毒樣本的代碼特征來(lái)識(shí)別他是否是病毒，就如警察抓住一個(gè)小偷，這個(gè)小偷留著大胡子，于是警察就天天在街上

18、盯著大胡子的人。這樣的殺毒效果可想而知。同樣的道理，殺毒軟件對(duì)于木馬、間諜軟件的防范也是基于這種方式?，F(xiàn)在病毒、木馬的更新很快，從全球范圍內(nèi)來(lái)看，能造成較大損失的病毒木馬，大部分都是新出現(xiàn)的，或者是各類(lèi)變種，由于這些病毒木馬的特征并沒(méi)有被殺毒軟件掌握，因此殺毒軟件對(duì)它們是既不能報(bào)警，也無(wú)法剿殺。難道我們就任病毒木馬宰割了嗎？當(dāng)然不！高手豈能向幾個(gè)病毒木馬低頭！雖然殺毒軟件只能干瞪眼，可是我們還有嚴(yán)守大門(mén)的防火墻呢！ 第三章 防火墻與路由器3.1防火墻與路由器的區(qū)別防火墻為什么就能擋住病毒木馬甚至是最新的病毒木馬變種呢？但有很多用戶(hù)，認(rèn)為網(wǎng)絡(luò)中已經(jīng)有了路由器，可以實(shí)現(xiàn)一些簡(jiǎn)單的包過(guò)濾功能，所以，

19、為什么還要用防火墻呢? 以下我們針對(duì)NetEye防火墻與業(yè)界應(yīng)用最多、最具代表性的Cisco路由器在安全方面的對(duì)比，來(lái)闡述為什么用戶(hù)網(wǎng)絡(luò)中有了路由器還需要防火墻。 兩種設(shè)備產(chǎn)生的根源不同路由器的產(chǎn)生是基于對(duì)網(wǎng)絡(luò)數(shù)據(jù)包路由而產(chǎn)生的。路由器需要完成的是將不同網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行有效的路由，至于為什么路由、是否應(yīng)該路由、路由過(guò)后是否有問(wèn)題等根本不關(guān)心，所關(guān)心的是：能否將不同的網(wǎng)段的數(shù)據(jù)包進(jìn)行路由從而進(jìn)行通。 防火墻是產(chǎn)生于人們對(duì)于安全性的需求。數(shù)據(jù)包是否可以正確的到達(dá)、到達(dá)的時(shí)間、方向等不是防火墻關(guān)心的重點(diǎn)，重點(diǎn)是這個(gè)數(shù)據(jù)包是否應(yīng)該通過(guò)、通過(guò)后是否會(huì)對(duì)網(wǎng)絡(luò)造成危害。 根本目的不同 路由器的根本目的是：保

20、持網(wǎng)絡(luò)和數(shù)據(jù)的通。 防火墻根本的的目的是：保證任何非允許的數(shù)據(jù)包不通。 3.2核心技術(shù)的不同 Cisco路由器核心的ACL列表是基于簡(jiǎn)單的包過(guò)濾，從防火墻技術(shù)實(shí)現(xiàn)的角度來(lái)說(shuō)，NetEye防火墻是基于狀態(tài)包過(guò)濾的應(yīng)用級(jí)信息流過(guò)濾。 下圖是一個(gè)最為簡(jiǎn)單的應(yīng)用：企業(yè)內(nèi)網(wǎng)的一臺(tái)主機(jī)，通過(guò)路由器對(duì)內(nèi)網(wǎng)提供服務(wù)。為了保證安全性，在路由器上需要配置成：外-內(nèi) 只允許client server的tcp 1455端口，其他拒絕。 針對(duì)現(xiàn)在的配置，存在的安全脆弱性 3.2.1 IP/TCP欺騙 存在上述隱患的原因是，路由器不能監(jiān)測(cè)TCP的狀態(tài)。如果在內(nèi)網(wǎng)的client和路由器之間放上NetEye防火墻，由于Net

21、Eye防火墻能夠檢測(cè)TCP的狀態(tài)，并且可以重新隨機(jī)生成TCP的序列號(hào)，則可以徹底消除這樣的脆弱性。同時(shí)，NetEye 防火墻的一次性口令認(rèn)證客戶(hù)端功能，能夠?qū)崿F(xiàn)在對(duì)應(yīng)用完全透明的情況下，實(shí)現(xiàn)對(duì)用戶(hù)的控制，其認(rèn)證支持標(biāo)準(zhǔn)的Radius協(xié)議和本地認(rèn)證數(shù)據(jù)庫(kù)，可以完全與第三方的認(rèn)證服務(wù)器進(jìn)行互操作，并能夠?qū)崿F(xiàn)角色的劃分。 雖然，路由器的Lock-and-Key功能能夠通過(guò)動(dòng)態(tài)控制列表的方式，實(shí)現(xiàn)對(duì)用戶(hù)的認(rèn)證，但該特性需要路由器提供Telnet服務(wù)，用戶(hù)在使用使也需要先Telnet到路由器上，使用起來(lái)不很方便，同時(shí)也不夠安全。 3.3安全策略制定的復(fù)雜程度不同 路由器的默認(rèn)配置對(duì)安全性的考慮不夠，需要

22、一些高級(jí)配置才能達(dá)到一些防范攻擊的作用，安全策略的制定絕大多數(shù)都是基于命令行的，其針對(duì)安全性的規(guī)則的制定相對(duì)比較復(fù)雜，配置出錯(cuò)的概率較高。 NetEye 防火墻的默認(rèn)配置既可以防止各種攻擊，達(dá)到既用既安全，安全策略的制定是基于全中文的GUI的管理工具，其安全策略的制定人性化，配置簡(jiǎn)單、出錯(cuò)率低。 3.4對(duì)性能的影響不同 路由器是被設(shè)計(jì)用來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包的，而不是專(zhuān)門(mén)設(shè)計(jì)作為全特性防火墻的，所以用于進(jìn)行包過(guò)濾時(shí)，需要進(jìn)行的運(yùn)算非常大，對(duì)路由器的CPU和內(nèi)存的需要都非常大，而路由器由于其硬件成本比較高，其高性能配置時(shí)硬件的成本都比較大。 NetEye防火墻的硬件配置非常高，其軟件也為數(shù)據(jù)包的過(guò)濾進(jìn)行了

23、專(zhuān)門(mén)的優(yōu)化，其主要模塊運(yùn)行在操作系統(tǒng)的內(nèi)核模式下，設(shè)計(jì)之時(shí)特別考慮了安全問(wèn)題，其進(jìn)行數(shù)據(jù)包過(guò)濾的性能非常高。中 華 考 試 網(wǎng) 由于路由器是簡(jiǎn)單的包過(guò)濾，包過(guò)濾的規(guī)則條數(shù)的增加，NAT規(guī)則的條數(shù)的增加，對(duì)路由器性能的影響都相應(yīng)的增加，而NetEye防火墻采用的是狀態(tài)包過(guò)濾，規(guī)則條數(shù)，NAT的規(guī)則數(shù)對(duì)性能的影響接近于零。 3.5審計(jì)功能的強(qiáng)弱差異巨大 路由器本身沒(méi)有日志、事件的存儲(chǔ)介質(zhì)，只能通過(guò)采用外部的日志服務(wù)器等來(lái)完成對(duì)日志、事件的存儲(chǔ);路由器本身沒(méi)有審計(jì)分析工具，對(duì)日志、事件的描述采用的是不太容易理解的語(yǔ)言;路由器對(duì)攻擊等安全事件的相應(yīng)不完整，對(duì)于很多的攻擊、掃描等操作

24、不能夠產(chǎn)生準(zhǔn)確及時(shí)的事件。審計(jì)功能的弱化，使管理員不能夠?qū)Π踩录M(jìn)行及時(shí)、準(zhǔn)確的響應(yīng)。 NetEye防火墻的日志存儲(chǔ)介質(zhì)有兩種，包括本身的硬盤(pán)存儲(chǔ)，和單獨(dú)的日志服務(wù)器;針對(duì)這兩種存儲(chǔ)，NetEye 防火墻都提供了強(qiáng)大的審計(jì)分析工具，使管理員可以非常容易分析出各種安全隱患;NetEye 防火墻對(duì)安全事件的響應(yīng)的及時(shí)性，還體現(xiàn)在他的多種報(bào)警方式上，包括蜂鳴、trap、郵件、日志;NetEye 防火墻還具有實(shí)時(shí)監(jiān)控功能，可以在線(xiàn)監(jiān)控通過(guò)防火墻的連接，同時(shí)還可以捕捉數(shù)據(jù)包進(jìn)行分析，非分析網(wǎng)絡(luò)運(yùn)行情況，排除網(wǎng)絡(luò)故障提供了方便。 3.6防范攻擊的能力不同 對(duì)于像Cisco這樣的路由器，其普通版本不具有應(yīng)

25、用層的防范功能，不具有入侵實(shí)時(shí)檢測(cè)等功能，如果需要具有這樣的功能，就需要生級(jí)升級(jí)IOS為防火墻特性集，此時(shí)不單要承擔(dān)軟件的升級(jí)費(fèi)用，同時(shí)由于這些功能都需要進(jìn)行大量的運(yùn)算，還需要進(jìn)行硬件配置的升級(jí)，進(jìn)一步增加了成本，而且很多廠家的路由器不具有這樣的高級(jí)安全功能。第四章 防火墻的作用這就要從防火墻的防御機(jī)制說(shuō)起了。防火墻是根據(jù)連接網(wǎng)絡(luò)的數(shù)據(jù)包來(lái)進(jìn)行監(jiān)控的，也就是說(shuō)，防火墻就相當(dāng)于一個(gè)嚴(yán)格的門(mén)衛(wèi)，掌管系統(tǒng)的各扇門(mén)（端口），它負(fù)責(zé)對(duì)進(jìn)出的人進(jìn)行身份核實(shí)，每個(gè)人都需要得到最高長(zhǎng)官的許可才可以出入，而這個(gè)最高長(zhǎng)官，就是你自己了。每當(dāng)有不明的程序想要進(jìn)入系統(tǒng)，或者連出網(wǎng)絡(luò)，防火墻都會(huì)在第一時(shí)間攔截，并檢查身

26、份，如果是經(jīng)過(guò)你許可放行的（比如在應(yīng)用規(guī)則設(shè)置中你允許了某一個(gè)程序連接網(wǎng)絡(luò)），則防火墻會(huì)放行該程序所發(fā)出的所有數(shù)據(jù)包，如果檢測(cè)到這個(gè)程序并沒(méi)有被許可放行，則自動(dòng)報(bào)警，并發(fā)出提示是否允許這個(gè)程序放行，這時(shí)候就需要你這個(gè)“最高統(tǒng)帥”做出判斷了。一般來(lái)說(shuō)，自己沒(méi)有運(yùn)行或者不太了解的程序，我們一律阻攔，并通過(guò)搜索引擎或者防火墻的提示確認(rèn)該軟件的性質(zhì)。 寫(xiě)到這里，大家估計(jì)對(duì)殺毒軟件和防火墻的區(qū)別有一定了解了，舉個(gè)直觀的例子：你的系統(tǒng)就好比一座城堡，你是這個(gè)城堡的最高統(tǒng)帥，殺毒軟件和防火墻是負(fù)責(zé)安全的警衛(wèi)，各有分工。殺毒軟件負(fù)責(zé)對(duì)進(jìn)入城堡的人進(jìn)行鑒別，如果發(fā)現(xiàn)可疑的人物就抓起來(lái)（當(dāng)然，抓錯(cuò)的幾率很大，不然

27、就沒(méi)有這么多誤殺誤報(bào)事件了）；而防火墻則是門(mén)衛(wèi)，對(duì)每一個(gè)進(jìn)出城堡的人都進(jìn)行檢查，一旦發(fā)現(xiàn)沒(méi)有出入證的人就向最高統(tǒng)帥確認(rèn)。因此，任何木馬或者間諜軟件，或許可能在殺毒軟件的眼皮底下偷偷記錄你的帳號(hào)密碼，可是由于防火墻把城門(mén)看得死死的，再多的信息也傳不出去，從而保護(hù)了你的系統(tǒng)安全。 另外，對(duì)于黑客攻擊，殺毒軟件是沒(méi)有任何辦法的，因?yàn)楹诳偷牟僮鞑痪哂腥魏翁卣鞔a，殺毒軟件自然無(wú)法識(shí)別，而防火墻則可以把你系統(tǒng)的每個(gè)端口都隱藏起來(lái)，讓黑客找不到入口，自然也就保證了系統(tǒng)的安全。 目前全球范圍內(nèi)防火墻種類(lèi)繁多，不過(guò)從個(gè)人經(jīng)驗(yàn)來(lái)說(shuō)，推薦NETEYE防火墻給大家。NETEYE防火墻可以有效的防止黑客、木馬或者其他惡

28、意程序盜取您的隱私包括：網(wǎng)上銀行、網(wǎng)絡(luò)游戲、QQ等的帳號(hào)和密碼。 第五章 網(wǎng)絡(luò)使用人員的安全培訓(xùn)培養(yǎng)九個(gè)好習(xí)慣 從技術(shù)的角度看網(wǎng)絡(luò)是沒(méi)有絕對(duì)安全的，一個(gè)防護(hù)體系光有產(chǎn)品是不夠的，日常工作學(xué)習(xí)中養(yǎng)成好的使用習(xí)慣也是不可或缺的。用戶(hù)應(yīng)該養(yǎng)成如下9個(gè)好習(xí)慣。 一、是應(yīng)該定期升級(jí)所安裝的殺毒軟件(如果安裝的是網(wǎng)絡(luò)版，可在安裝時(shí)可先將其設(shè)定為自動(dòng)升級(jí))，給操作系統(tǒng)打補(bǔ)丁、升級(jí)引擎和病毒定義碼。 二、是一定不要打開(kāi)不認(rèn)識(shí)的郵件，不要隨意下載軟件，要下載就一定要到正規(guī)的網(wǎng)站去下載。同時(shí)，網(wǎng)上下載的程序或者文件在運(yùn)行或打開(kāi)前要對(duì)其進(jìn)行病毒掃描。如果遇到病毒及時(shí)清除，遇到清除不了的病毒，及時(shí)提交給反病

29、毒廠商。 三、是不要隨意瀏覽黑客網(wǎng)站(包括正規(guī)的黑客網(wǎng)站)、色情網(wǎng)站。 四、是盡量去備份。其實(shí)備份是最安全的，尤其是重要的數(shù)據(jù)和文章，很多時(shí)候，其重要性比安裝防御產(chǎn)品更甚。 五、是用戶(hù)每個(gè)星期都應(yīng)該對(duì)電腦進(jìn)行一次全面地殺毒、掃描工作，以便發(fā)現(xiàn)并清除隱藏在系統(tǒng)中的病毒。 六、是應(yīng)該注意盡量不要所有的地方都使用同一個(gè)密碼，這樣一旦被黑客猜測(cè)出來(lái)，一切個(gè)人資料都將被泄漏。 七、是上網(wǎng)時(shí)不要輕易聽(tīng)信他人通過(guò)電子郵件或者P2P軟件發(fā)來(lái)的消息。 八、是對(duì)于經(jīng)常使用P2P類(lèi)下載軟件(如BT)的用戶(hù)，推薦每個(gè)月整理一下磁盤(pán)碎片，只要不是頻繁地整理碎片是不會(huì)對(duì)硬盤(pán)造成傷害的，另外，注意不要經(jīng)常使用低級(jí)格式化。 九、是當(dāng)用戶(hù)不慎感染上病毒時(shí)，應(yīng)該立即將殺毒軟件升級(jí)到最新版本，然后對(duì)整個(gè)硬盤(pán)進(jìn)行掃描操作。清除一切可