渝安集團(tuán)網(wǎng)絡(luò)安全問題及對策畢業(yè)論文

摘要隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來，已被信息社會的各個領(lǐng)域所重視。Internet日益普及，網(wǎng)絡(luò)安全問題也日益突出，如何在開放網(wǎng)絡(luò)環(huán)境中保證企業(yè)數(shù)據(jù)和系統(tǒng)的安全性已經(jīng)成為大家關(guān)心的問題，并越來越迫切和重要。雖然目前對安全技術(shù)的研究也越來越深入，但目前的技術(shù)研究重點都放在了某一個單獨的安全技術(shù)上，卻很少考慮如何對各種安全技術(shù)加以整合，構(gòu)建一個完整的網(wǎng)絡(luò)安全防御系統(tǒng)。渝安集團(tuán)網(wǎng)絡(luò)安全防御系統(tǒng)重點論述了構(gòu)建一個網(wǎng)絡(luò)安全防御系統(tǒng)的方案設(shè)計和實現(xiàn)過程。本文對渝安集團(tuán)網(wǎng)絡(luò)存在的安全隱患進(jìn)行了分析，并探討了針對這些網(wǎng)絡(luò)安全問題的防范策略。本文介紹了計算機網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的概念，對渝安集團(tuán)的網(wǎng)絡(luò)安全需求進(jìn)行了深入調(diào)查和分析，對該公司互聯(lián)網(wǎng)的安全問題提出了解決方案，認(rèn)為實現(xiàn)網(wǎng)絡(luò)安全措施的一種重要手段就是防火墻技術(shù)，因而重點介紹了防火墻種類和防火墻技術(shù)的實現(xiàn)。關(guān)鍵詞：網(wǎng)絡(luò)安全；安全策略；防火墻目錄TOC\o"1-4"\h\z\u引言 1第1章企業(yè)網(wǎng)絡(luò)安全需求分析 21.1渝安集團(tuán)簡介 21.2網(wǎng)絡(luò)安全概念 21.3網(wǎng)絡(luò)安全需求 21.4建設(shè)內(nèi)容 3第2章企業(yè)網(wǎng)絡(luò)安全問題分析 42.1渝安集團(tuán)網(wǎng)絡(luò)安全問題 42.2網(wǎng)絡(luò)攻擊分析 52.2.1網(wǎng)絡(luò)監(jiān)聽 52.2.2拒絕服務(wù)攻擊 62.2.3遠(yuǎn)程攻擊 72.2.4系統(tǒng)攻擊 8第3章企業(yè)網(wǎng)絡(luò)安全技術(shù) 93.1密碼學(xué)技術(shù) 93.2訪問控制技術(shù) 93.3安全通信協(xié)議 93.4入侵檢測 103.5網(wǎng)絡(luò)防御體系 10第4章網(wǎng)絡(luò)安全解決方案 194.1方案總體設(shè)計 194.2具體方案實施 194.2.1入侵檢測系統(tǒng) 194.2.2防病毒系統(tǒng) 214.2.3防火墻技術(shù) 24結(jié)束語 28參考文獻(xiàn) 29致謝 30PAGE31引言計算機網(wǎng)絡(luò)安全問題造成的影響將是災(zāi)難性的。計算機網(wǎng)絡(luò)的安全與網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)軟件(尤其是防病毒軟件和網(wǎng)絡(luò)管理軟件)、備份措施,以及相關(guān)的網(wǎng)絡(luò)管理措施等都有關(guān)系。一個完善、安全的網(wǎng)絡(luò)系統(tǒng)應(yīng)該包括以下幾個功能:1.病毒防范,減少病毒造成的危害;2.訪問控制3.監(jiān)控、審計功能；4.安全漏洞檢查。本文主要介紹渝安集團(tuán)網(wǎng)絡(luò)安全問題的分析及其對策，針對常見的網(wǎng)絡(luò)攻擊提出以下解決方案：密碼學(xué)技術(shù)，訪問控制技術(shù)，安全通信協(xié)議，入侵檢測，網(wǎng)絡(luò)防御體系以及防火墻技術(shù)。防火墻是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù),其核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。本文討論了實現(xiàn)防火墻的主要技術(shù)手段,重點闡述了現(xiàn)行防火墻的功能、類型、安全措施以及防火墻技術(shù)的發(fā)展。第1章企業(yè)網(wǎng)絡(luò)安全需求分析1.1渝安集團(tuán)簡介重慶渝安創(chuàng)新科技（集團(tuán)）有限公司地處重慶市沙坪壩區(qū)上橋工業(yè)園，是一家集研發(fā)、生產(chǎn)、銷售摩托車、汽車及發(fā)動機、減震器為一體的高科技大型民營企業(yè)，2004年3月，渝安集團(tuán)被評為“國家級守合同重信用”企業(yè)；集團(tuán)被重慶市經(jīng)委連續(xù)六年確立為重慶市66戶重點增長企業(yè)；被重慶市工商局確定為企業(yè)年檢免檢企業(yè)；連續(xù)四年被重慶市政府評為重慶市民營企業(yè)50強。同時，集團(tuán)還連年被重慶市沙坪壩區(qū)國稅、地稅局聯(lián)合上報為誠信納稅先進(jìn)單位。集團(tuán)董事張興海先后榮獲國家農(nóng)業(yè)部頒發(fā)的第四屆、第五屆“國家鄉(xiāng)鎮(zhèn)企業(yè)企業(yè)家”稱號和獲得重慶市五一創(chuàng)新勞動獎?wù)拢?006年又被市政府評為優(yōu)秀社會主義建設(shè)者。集團(tuán)創(chuàng)始于1986年9月。經(jīng)過19年的發(fā)展,到2005年底，擁有資產(chǎn)6.1億元，生產(chǎn)廠房面積80000余平方米，占地700余畝的渝安科技工業(yè)園（在重慶井口工業(yè)園區(qū)內(nèi)）也已動工建設(shè)，一期工程已全部建成投產(chǎn)。集團(tuán)現(xiàn)有在冊員工4000余人，其中各類專業(yè)技術(shù)管理人員600余人，技術(shù)工人3000余人。集團(tuán)依靠強大的技術(shù)研發(fā)能力和生產(chǎn)能力，實施多元化配套體系發(fā)展戰(zhàn)略，時至今日，已具備年生產(chǎn)摩托車減震器400萬套/臺、汽車減震器30萬套/臺、汽車發(fā)動機5萬臺、摩托車30萬輛的能力。集團(tuán)擁有嘉陵、力帆、宗申、隆鑫、大長江集團(tuán)等固定的減震器客戶和遍及全國主要大中城市的摩托車、微型汽車營銷網(wǎng)點。渝安集團(tuán)進(jìn)出口公司在世界各地設(shè)有辦事處，產(chǎn)品已銷往東南亞、中東、非洲、歐洲、美洲等地區(qū)。1.2網(wǎng)絡(luò)安全概念網(wǎng)絡(luò)安全技術(shù)指致力于解決諸如如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機制策略。1.3網(wǎng)絡(luò)安全需求對于渝安集團(tuán)來講，必須面對或解決存在的網(wǎng)絡(luò)安全和管理問題，根據(jù)網(wǎng)絡(luò)安全調(diào)查分析，目前渝安集團(tuán)的安全需求包括：保護(hù)涉密數(shù)據(jù)，防止泄密；終端用戶應(yīng)用程序管理；終端用戶設(shè)備和資產(chǎn)管理；終端用戶網(wǎng)絡(luò)訪問資源管理；操作系統(tǒng)補丁統(tǒng)一升級；日志審計。1.4建設(shè)內(nèi)容1.網(wǎng)絡(luò)安全系統(tǒng)的架構(gòu)進(jìn)一步完善公司內(nèi)部網(wǎng)絡(luò)系統(tǒng)，實現(xiàn)信息中心與下屬單位及相關(guān)單位的高速互聯(lián)互通，建立完善、安全的內(nèi)部網(wǎng)絡(luò)系統(tǒng)。2.數(shù)據(jù)安全傳送系統(tǒng)渝安集團(tuán)的安全系統(tǒng)將建立在總部的網(wǎng)絡(luò)通訊基礎(chǔ)及網(wǎng)絡(luò)應(yīng)用平臺之上，把總部數(shù)據(jù)安全系統(tǒng)建設(shè)成一個安全、可靠、開放、高效的信息網(wǎng)絡(luò)，為總部以下的全國各地信息終端提供現(xiàn)代化的日常數(shù)據(jù)傳送條件及豐富的綜合信息服務(wù)，提供整個系統(tǒng)范圍內(nèi)的文件、數(shù)據(jù)及通訊服務(wù),實現(xiàn)通用辦公、領(lǐng)導(dǎo)辦公、公用信息、個人信息、信息匯總等處理自動化、安全化，以提高辦公效率和安全管理水平。

第2章企業(yè)網(wǎng)絡(luò)安全問題分析如今已到了商業(yè)時代，隨著金錢利益的驅(qū)動，行行色色的各類人進(jìn)入了互聯(lián)網(wǎng)。而商場如戰(zhàn)場，不同的企業(yè)之間，就可能為了自己的利益，用盡手段，以達(dá)到他們的目的，而網(wǎng)絡(luò)企業(yè)就更出在浪尖上，因為互聯(lián)網(wǎng)，本身就有許多的缺陷，不良企圖的人就有機可乘了。他們被金錢利益驅(qū)動，他們也有著不錯的技術(shù)，卻被金錢物欲所俘獲，將自己的技術(shù)和靈魂出賣給金錢——只要為了經(jīng)濟(jì)利益，可以不擇手段地進(jìn)行破壞。使用著前幾類人所開發(fā)者的工具，對網(wǎng)絡(luò)上的機器——不管是終端用戶還是服務(wù)器進(jìn)行掃描；看到有漏洞的系統(tǒng)就又使用他人的教程、工具嘗試進(jìn)入，并在進(jìn)入之后大肆進(jìn)行破壞，所以要提高企業(yè)網(wǎng)絡(luò)安全保護(hù)。2.1渝安集團(tuán)網(wǎng)絡(luò)安全問題隨著渝安集團(tuán)信息化逐步深化，在此過程中也出現(xiàn)了很多相關(guān)問題，1.現(xiàn)代管理方式的變革及帶來的問題互聯(lián)網(wǎng)時代，世界每天都在發(fā)生變化。對于渝安集團(tuán)來說，渝安集團(tuán)現(xiàn)有的管理體制也在逐漸吸取新的管理方式，采取新的手段來適應(yīng)時代的發(fā)展，現(xiàn)在渝安集團(tuán)有很多個分廠，分廠之間、分廠與總廠之間的溝通與交流越來越密切，除了傳統(tǒng)的電話、傳真、郵件之外，電子郵件也逐漸成為了一種主要的交流工具。但是，在傳統(tǒng)的管理方式中，并沒有一種好的工具來提高管理水平，例如：傳統(tǒng)金字塔式的管理體制使不同部門之間的員工幾乎無法交流，而處于金字塔頂端的公司領(lǐng)導(dǎo)層也很難了解普通員工的行為，特別是隨著渝安集團(tuán)規(guī)模的擴(kuò)大，總經(jīng)理通常只能接收到身邊人的信息,而這些信息又是不盡相同,信息量越來越大，渝安集團(tuán)的領(lǐng)導(dǎo)層如何在這些紛雜的信息中發(fā)掘?qū)ψ约河杏玫膬?nèi)容,是很多領(lǐng)導(dǎo)人頭痛的問題。2.管理的透明化與扁平化階梯式的管理結(jié)構(gòu)是一種傳統(tǒng)的管理模式，這樣處于金字塔頂端的總經(jīng)理通常只能接收到處于中層的部門經(jīng)理的反饋，而無法根據(jù)普通員工的表現(xiàn)對中層干部的工作進(jìn)行評價。而對于處于底層普通員工的接觸就很少，他們很少能夠進(jìn)行越級的信息反饋。并且這也是傳統(tǒng)管理模式中比較忌諱的一種方式。怎樣實現(xiàn)管理的扁平化與透明化3.信息管理的可控性互聯(lián)網(wǎng)給渝安集團(tuán)帶來的好處很多，然而開放的網(wǎng)絡(luò)中充斥著各種與業(yè)務(wù)無關(guān)的信息，色情、暴力、反動等不健康內(nèi)容隨處可見，這些內(nèi)容常常不請自來，通過郵件，BBS等，簡直到了無孔不入的地步。有的員工視單位電腦如免費網(wǎng)吧，瀏覽不相干的網(wǎng)站、下載游戲、QQ聊天、收發(fā)個人EMAIL、看電影，甚至逐漸演變成為打發(fā)上班時間的主要活動。但是，渝安集團(tuán)的工作效率因而大大降低，不少管理者為此憂心忡忡。4.信息的保密隨著現(xiàn)在企業(yè)與人才之間雙向選擇的推廣,在渝安集團(tuán)規(guī)模的不斷擴(kuò)大的過程中,渝安集團(tuán)會經(jīng)歷不只一次大的人事變動,以及數(shù)量頻繁的小的人事流動,而在流動的人員里不可能每個人都很正直，比如:銷售人員帶走客戶資源等。也不可能保證每個員工對集團(tuán)都是忠誠的，過去渝安集團(tuán)的網(wǎng)絡(luò)、渝安集團(tuán)的email發(fā)走本集團(tuán)的機密信息，U盤軟盤copy走本集團(tuán)的秘密資料,用該集團(tuán)的打印機打印敏感的文件,顯而易見這會給集團(tuán)造成什么樣的損失。怎樣才能保證這些在你面前的而又不可知的事情不會發(fā)生。5．信息資源的集中化管理隨著渝安集團(tuán)規(guī)模的不斷擴(kuò)大,人員不斷增加,信息網(wǎng)絡(luò)方面的辦公器材也不斷增多,以往的管理方式是該集團(tuán)的設(shè)備職能部門一個或者幾個人對這些器材進(jìn)行管理、記錄。但是當(dāng)人員和設(shè)備增多的時候,管理人員缺乏,記錄就會出現(xiàn)偏差,那么就需要相應(yīng)的增加人手,這樣又增加了人員成本。這就是一些每年都有大量資產(chǎn)流失的原因之一。怎樣解決又是擺在管理者面前的一個問題。6.管理的可靠性和安全性現(xiàn)今網(wǎng)絡(luò)里的病毒,木馬和各種攻擊,入侵方式多得不計其數(shù),它們對網(wǎng)絡(luò)造成了極大的損失,特別是對我們這些現(xiàn)代化企業(yè)危害更為明顯,只要網(wǎng)絡(luò)被病毒或者攻擊等方式而導(dǎo)致癱瘓,那真可以說集團(tuán)也就癱瘓了?，F(xiàn)在對于安全的考慮大多是事后解決,防火墻只能執(zhí)行事先設(shè)定好的規(guī)則,而ids的誤報率很高,殺病毒也只能是在病毒出現(xiàn)后給出解決,怎么樣找出一個綜合的解決方案。2.2網(wǎng)絡(luò)攻擊分析下面將對渝安集團(tuán)存在的網(wǎng)絡(luò)攻擊歸納分析，對網(wǎng)絡(luò)監(jiān)聽、拒絕服務(wù)攻擊、基于網(wǎng)絡(luò)邊界而言的遠(yuǎn)程攻擊和內(nèi)部未授權(quán)用戶對系統(tǒng)的攻擊進(jìn)行分析。2.2.1網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是主機的一種工作模式，在這種模式下，主機可以接收到本網(wǎng)段在同一條物理信道上傳輸?shù)乃行畔?，而不管信息的發(fā)送方和接受方是誰。所以進(jìn)行通信的信息必須進(jìn)行加密，否則只要使用一些網(wǎng)絡(luò)監(jiān)聽工具就可以截獲包括口令和賬號在內(nèi)的信息資料。大部分的傳輸介質(zhì)如Ethernet、FDDI、Token-ring、模擬電話線、無線接入網(wǎng)上都可實施網(wǎng)絡(luò)監(jiān)聽，其中尤以Ethernet與無線接入網(wǎng)最為容易，因為這兩者都是典型的廣播型網(wǎng)絡(luò)。2.2.2拒絕服務(wù)攻擊一般來說，拒絕服務(wù)攻擊有些是用來消耗帶寬，有些是消耗網(wǎng)絡(luò)設(shè)備的CPU和內(nèi)存。例如對UDP的攻擊，原理就是使用大量的偽造的報文攻擊網(wǎng)絡(luò)端口，造成服務(wù)器的資源耗盡，使系統(tǒng)停止響應(yīng)甚至崩潰。也可以使用大量的IP地址向網(wǎng)絡(luò)發(fā)出大量真實的連接，來搶占帶寬，造成網(wǎng)絡(luò)服務(wù)的終止。拒絕服務(wù)一般分兩種：一是試圖破壞資源，使目標(biāo)無人可以使用此資源。如破壞或摧毀信息：刪除文件、格式化磁盤、切斷電源等。二是過載一些系統(tǒng)服務(wù)或者消耗一些資源，通過這樣的方式可以造成其它用戶不能使用這個服務(wù)。這兩種情況大半是因用戶錯誤或程序錯誤造成的，并非針對性的攻擊。針對網(wǎng)絡(luò)的拒絕服務(wù)攻擊主要包括服務(wù)過載攻擊、消息流攻擊、Paste式攻擊、SYNFlooding攻擊、過載攻擊、Mailbomb攻擊。圖2-1SYNFlooding攻擊SYNFlooding攻擊主要是在一個主機接收到大量不完全連接請求而超出其所能處理的范圍時，就會發(fā)生SYNflooding攻擊。在通常情況下，希望通過TCP連接來交換數(shù)據(jù)的主機必須使用3次握手進(jìn)行任務(wù)初始化。SYNFlooding攻擊就是基于阻止3次握手的完成來實現(xiàn)的。SYNFlooding的攻擊原理是：首先，攻擊者向目標(biāo)主機發(fā)送大量的SYN請求，用被掛起的連接占滿連接請求隊列。一旦目標(biāo)主機接收到這種請求，就會向它所認(rèn)為的SYN報文的源主機發(fā)送SYN/ACK報文作出應(yīng)答。一旦存儲隊列滿了，接下來的請求就會被TCP端忽略，直至最初的請求超時并被重置(通常為75s)，每次超時過后，服務(wù)器端就向未達(dá)的客戶端發(fā)送一個RST報文，此時攻擊者必須重復(fù)以上步驟來維持拒絕服務(wù)的攻擊。SYNFlooding攻擊的重點就在于不斷發(fā)送大量的SYN報文，其攻擊在空間性上表現(xiàn)得極為明顯。如圖2-1，從源到匯，攻擊者可從不同路徑向被攻擊主機持續(xù)發(fā)送連接請求，也可將數(shù)據(jù)包拆分為幾個傳輸再在目的地會合，以隱藏被攻擊主機。檢測這種攻擊的困難就在于目標(biāo)主機接收到的數(shù)據(jù)好像來自整個Internet。分布式拒絕服務(wù)(DDoS)攻擊通過探測掃描大量主機，從而找到可以入侵的目標(biāo)主機，通過一些遠(yuǎn)程溢出漏洞攻擊程序，入侵有安全漏洞的目標(biāo)主機并獲取系統(tǒng)的控制權(quán)，在被入侵的主機上安裝并運行DDoS分布端的攻擊守護(hù)進(jìn)程，然后利用多臺已被攻擊者控制的機器對另一臺單機進(jìn)行掃描和攻擊，在大小懸殊的帶寬之比下被攻擊的主機很快失去反應(yīng)能力。整個過程都是自動化的，攻擊者可以在幾秒鐘內(nèi)入侵一臺主機并安裝攻擊工具，這樣，在一個小時之內(nèi)就可以入侵?jǐn)?shù)千臺主機。2.2.3遠(yuǎn)程攻擊遠(yuǎn)程攻擊指在目標(biāo)主機上沒有帳戶的攻擊者獲得該機器的當(dāng)?shù)卦L問權(quán)限，從機器中過濾出數(shù)據(jù)、修改數(shù)據(jù)等的攻擊方式。遠(yuǎn)程攻擊的一般過程：①收集被攻擊方的有關(guān)信息，分析被攻擊方可能存在的漏洞；②建立模擬環(huán)境，進(jìn)行模擬攻擊，測試對方可能的反應(yīng)；③利用適當(dāng)?shù)墓ぞ哌M(jìn)行掃描；④實施攻擊。IPSpoofing是一種典型的遠(yuǎn)程攻擊，它通過向主機發(fā)送IP包來實現(xiàn)攻擊，主要目的是掩蓋攻擊者的真實身份，使攻擊者看起來像正常的用戶或者嫁禍于其他用戶。IPSpoofing攻擊過程見圖2，具體描述如下：①假設(shè)I企圖攻擊A，而A信任B。②假設(shè)I已經(jīng)知道了被信任的B，使B的網(wǎng)絡(luò)功能暫時癱瘓，以免對攻擊造成干擾。因此，在實施IPSpoofing攻擊之前常常對B進(jìn)行SYNFlooding攻擊。③必須確定A當(dāng)前的ISN。④I向A發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請求連接，只是信源IP改成了B。A向B回送SYN+ACK數(shù)據(jù)段，B已經(jīng)無法響應(yīng)，B的TCP層只是簡單地丟棄A的回送數(shù)據(jù)段。⑤I暫停，讓A有足夠時間發(fā)送SYN+ACK，然后I再次偽裝成B向A發(fā)送ACK，此時發(fā)送的數(shù)據(jù)段帶有I預(yù)測的A的ISN+1。如果預(yù)測準(zhǔn)確，連接建立，數(shù)據(jù)傳送開始。如果預(yù)測不準(zhǔn)確，A將發(fā)送一個帶有RST標(biāo)志的數(shù)據(jù)段異常終止連接，I重新開始。IPSpoofing攻擊利用了RPC服務(wù)器僅僅依賴于信源IP地址進(jìn)行安全校驗的特性，攻擊最困難的地方在于預(yù)測A的ISN。圖2-2Spoofing攻擊2.2.4系統(tǒng)攻擊系統(tǒng)攻擊指一臺機器上的本地用戶獲取Unix高級用戶權(quán)限或WindowsNT管理員權(quán)限的攻擊方法。緩沖區(qū)溢出就是典型系統(tǒng)攻擊。它通過向程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)去執(zhí)行其它的指令，如果這些指令是放在有Root權(quán)限的內(nèi)存里，那么，一旦這些指令得到了運行，入侵者就以Root的權(quán)限控制了系統(tǒng)。造成緩沖區(qū)溢出的原因大多是程序沒有仔細(xì)檢查用戶輸入的參數(shù)。緩沖區(qū)溢出攻擊占所有系統(tǒng)攻擊的80％以上。入侵者要達(dá)到目的通常要完成兩個任務(wù)：一是在程序的地址空間里安排適當(dāng)?shù)拇a；二是通過適當(dāng)?shù)某跏蓟拇嫫骱痛鎯ζ鳎尦绦蛱D(zhuǎn)到安排好的地址空間執(zhí)行?？梢愿鶕?jù)這兩個任務(wù)對緩沖區(qū)溢出攻擊進(jìn)行分類：1）在程序的地址空間里安排適當(dāng)?shù)拇a的方法。2）將控制程序轉(zhuǎn)移到攻擊代碼的方法。3）植入綜合代碼和流程控制技術(shù)。通常可以采用下列方法防止緩沖區(qū)溢出：①正確地編寫代碼；②設(shè)定非執(zhí)行的緩沖區(qū)；③檢查數(shù)組邊界，使之不溢出；④檢查程序指針的完整性。除了上述4種攻擊外，其它還有對系統(tǒng)配置弱點的攻擊，對軟件設(shè)計弱點的攻擊，惡意程序(特洛伊木馬、病毒)攻擊，物理(偷竊加密機、盜取用戶身份標(biāo)識、搶劫數(shù)據(jù)中心或公鑰存儲中心)攻擊等。

第3章企業(yè)網(wǎng)絡(luò)安全技術(shù)企業(yè)網(wǎng)絡(luò)安全保護(hù)技術(shù)分為理論防護(hù)和技術(shù)防護(hù)，其中密碼學(xué)技術(shù)屬于理論防護(hù)，但其算法的實現(xiàn)和使用依賴于技術(shù)防護(hù)，訪問控制技術(shù)、安全通信協(xié)議、入侵檢測和防火墻則更多地屬于技術(shù)防護(hù)。3.1密碼學(xué)技術(shù)Internet安全技術(shù)的核心無疑是現(xiàn)代密碼學(xué)，密碼學(xué)主要研究各類密碼原語，包括加解密算法，認(rèn)證理論與技術(shù)以及理論性的密碼協(xié)議，屬于面向單一網(wǎng)絡(luò)的安全技術(shù)?，F(xiàn)在，在分組密碼(單鑰體制)方面已有TRIPLE-DES、IDEA，而且密鑰長至少為128比特的AES也已出臺，公鑰密碼(雙鑰體制)方面，RSA體制、橢圓曲線密碼體制等基于大數(shù)分解和離散對數(shù)的加密方案已經(jīng)較為成熟，密碼學(xué)意義上的密碼協(xié)議也有很多，如密鑰交換協(xié)議、秘密共享協(xié)議、比特承諾協(xié)議、數(shù)字貨幣協(xié)議等。3.2訪問控制技術(shù)訪問控制的實現(xiàn)可分為自主訪問控制(DAC)和強制訪問控制(MAC)，最近又出現(xiàn)了基于角色的訪問控制（RBAC），也稱為非自主訪問控制，大大簡化了權(quán)限管理工作。最常見的Internet訪問控制應(yīng)用無疑是防火墻，它屬于面向網(wǎng)絡(luò)邊界的一種安全技術(shù)，是設(shè)置在專用網(wǎng)和Internet之間的安全系統(tǒng)，干預(yù)兩網(wǎng)間的任何消息傳遞。防火墻在體系結(jié)構(gòu)上有不同的類型：雙重宿主主機體系結(jié)構(gòu)、主機過濾體系結(jié)構(gòu)、子網(wǎng)過濾體系結(jié)構(gòu)。不同的體系結(jié)構(gòu)防火墻有不同的組成部分，如雙網(wǎng)口，非軍事區(qū)域，參數(shù)網(wǎng)絡(luò)、堡壘主機等等。當(dāng)前訪問控制的另一類趨勢是在網(wǎng)絡(luò)更低層實現(xiàn)，如屏蔽路由技術(shù)，在第三層的路由器上而非防火墻上決定各數(shù)據(jù)包的流向。3.3安全通信協(xié)議安全通信協(xié)議是公鑰基礎(chǔ)設(shè)施PKI的重要組成部，實現(xiàn)PKI各構(gòu)件之間的在線交互、身份認(rèn)證、消息完整性及保密性.，用于Internet的安全通信協(xié)議目前已發(fā)展了很多種，有的是新協(xié)議，如ATM論壇的SecuritySpecification1.0、SSL，有的是在原有協(xié)議基礎(chǔ)上拓展安全性，如IPsee、s/MIME。下面分層介紹各類安全協(xié)議：1）Internet層以下有PPTP協(xié)議，其可以完成數(shù)據(jù)安全封裝，利用隧道協(xié)議有可能構(gòu)造起較為安全的虛擬專用網(wǎng)VPN。2）Internet層的主要安全協(xié)議有IPsecv2、Oakley(OakleyKeyDeterminationProtocol)、SKIP(SimpleKeyManagementProtocol)及ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)。此外，基于IPv6的更安全的鄰機發(fā)現(xiàn)協(xié)議將淘汰ARP協(xié)議，具有認(rèn)證功能且與算法無關(guān)的RIPv2、OSPFv2，IDRP(Inter-DomainRoutingProtocol)會取代現(xiàn)有的RIP、OSPF、BGP路由協(xié)議。3）傳輸層主要有SSLv3和TLS(TransportLayerSecurity)協(xié)議。SSL協(xié)議已能支持DES、IDEA、RC-4、MD5算法、TLS協(xié)議在大多數(shù)特性上是和SSL相似的。4）應(yīng)用層安全協(xié)議數(shù)量最多，有Kerberosv5、PEM、S-HTTP等。3.4入侵檢測入侵檢測屬于面向網(wǎng)絡(luò)邊界的一種安全技術(shù)，其目的在于監(jiān)控資源的使用，檢測系統(tǒng)配置的正確性和安全漏洞，檢測系統(tǒng)程序和數(shù)據(jù)的完整性，并提供報警。以檢測時機分為實時檢測和事后追蹤；以入侵檢測的信息來源分為基于主機、基于網(wǎng)絡(luò)和混合性的入侵檢測。入侵檢測工具通常和審計工具及日志工具相配合，共同完成攻擊前的告知、攻擊后的分析任務(wù)，它還可結(jié)合蜜罐策略，引誘攻擊者攻擊一假目標(biāo)，與此同時記錄下詳盡的審計信息以判定攻擊者身份。入侵檢測可以采取數(shù)據(jù)挖掘技術(shù)，指紋技術(shù)、分布式計算技術(shù)、移動代理技術(shù)等提高檢測率。3.5網(wǎng)絡(luò)防御體系作用不同的網(wǎng)絡(luò)，他們的防御系統(tǒng)體系是不同的，本文提出了一種一般性的防御系統(tǒng)，其表示可見圖3-1。該圖列出了各種防御應(yīng)用到任何網(wǎng)絡(luò)時的分層情況。圖3-1網(wǎng)絡(luò)防御體系（1）“正在保護(hù)的網(wǎng)絡(luò)”這一層的網(wǎng)絡(luò)安全性能最為重要，在設(shè)計網(wǎng)絡(luò)時，要做好安全措施。（2）“網(wǎng)絡(luò)周圍的防御系統(tǒng)”層會保護(hù)“正在保護(hù)的網(wǎng)絡(luò)”與外部網(wǎng)絡(luò)的每個連接，是對已知攻擊做出反應(yīng)的防御系統(tǒng)。它是內(nèi)部網(wǎng)絡(luò)的城墻。（3）“人為的防御”層介入了人的干涉。在防御中，人可以對攻擊者采取行動。（4）“被動的監(jiān)視”系統(tǒng)屬于基礎(chǔ)設(shè)施部分，它會記錄下已經(jīng)發(fā)生的事件，接收日志信息，并對它進(jìn)行解釋，根據(jù)記錄的信息來判斷網(wǎng)絡(luò)是否受到攻擊。（5）“主動的監(jiān)視”本質(zhì)上是迫使防御系統(tǒng)回答一系列難題。例如，可以詢問防御系統(tǒng)，某種保護(hù)是否仍在工作，通過請求觀察防御系統(tǒng)是否記錄了適當(dāng)?shù)男畔?。基于上述的網(wǎng)絡(luò)防御體系，網(wǎng)絡(luò)防御技術(shù)主要分為以下幾類：1、）物理隔離；2）、邏輯隔離——防火墻；3）、防御來自網(wǎng)絡(luò)的攻擊——抗攻擊網(wǎng)關(guān)；5）、防止來自網(wǎng)絡(luò)上的病毒——防病毒網(wǎng)關(guān)；6）、身份認(rèn)證——網(wǎng)絡(luò)的鑒別、授權(quán)和管理系統(tǒng)。第4章網(wǎng)絡(luò)安全解決方案4.1方案總體設(shè)計1.整個網(wǎng)絡(luò)邊界有兩條鏈路,一條為企業(yè)網(wǎng)100M鏈路,一條為中國電信的10MADSL.在每條鏈路之前放置獨立的防火墻設(shè)備.對入站和出站進(jìn)行訪問控制.2.兩條鏈路匯聚到中心路由器上.通過NAT地址轉(zhuǎn)換,進(jìn)入公司內(nèi)部網(wǎng)的中心交換機,在其間部署一套入侵檢測系統(tǒng)IDS的檢測探點.對進(jìn)入內(nèi)部網(wǎng)絡(luò)的流量與內(nèi)容進(jìn)行入侵檢測與判斷.3.中心交換機分出三條主干內(nèi)部鏈路,一條直接接入公司內(nèi)部網(wǎng)的服務(wù)器群,包括郵件服務(wù)器,Web服務(wù)器,防病毒中央服務(wù)器等.其中防病毒服務(wù)器將通過該鏈路,監(jiān)控與管理內(nèi)部網(wǎng)絡(luò)的所有防病毒客戶端節(jié)點.并且分發(fā)病毒定義碼和客戶端防病毒防御策略,收集客戶端的病毒信息,集中處理與匯總病毒備份文件,病毒樣本放置于服務(wù)器的中央隔離區(qū).在中心交換機與服務(wù)器區(qū)之間放置一個入侵檢測系統(tǒng)IDS的檢測探點,從而保證關(guān)鍵應(yīng)用的安全性與可靠性.并且在郵件服務(wù)器網(wǎng)段中部署反垃圾郵件防火墻設(shè)備.4.從中心交換機到二層會聚的包括生產(chǎn)區(qū).管理區(qū)等區(qū)域.在二層匯聚中心部署一個入侵檢測系統(tǒng)IDS檢測探點.用于檢測區(qū)域內(nèi)的入侵檢測行為.5.最后一條鏈路部署入侵檢測系統(tǒng)IDS檢測探點,保證其他應(yīng)用服務(wù)器的網(wǎng)絡(luò)安全.4.2具體方案實施4.2.1入侵檢測系統(tǒng)基于渝安集團(tuán)實際情況，本方案采用了SymantecSNS7120入侵檢測系統(tǒng)。1、產(chǎn)品簡介A.SymantecNetworkSecurity系列設(shè)備提供了實時主動的網(wǎng)絡(luò)入侵防御，可以保護(hù)關(guān)鍵的企業(yè)資產(chǎn)。富于創(chuàng)新的入侵防范統(tǒng)一網(wǎng)絡(luò)引擎(IMUNE)是協(xié)議異常、特征、統(tǒng)計和漏洞攻擊攔截技術(shù)的完美結(jié)合，它可以精確地識別并禁止已知、未知（或零日）攻擊和病毒在網(wǎng)絡(luò)中傳播。B.LiveUpdate技術(shù)可以自動更新防護(hù)策略技術(shù)，以幫助企業(yè)及早應(yīng)對各種不斷變化的威脅。將賽門鐵克安全響應(yīng)中心和賽門鐵克DeepSight?預(yù)警服務(wù)的專業(yè)知識，與易于理解的安全指導(dǎo)原則結(jié)合在一起，從而可更快速的響應(yīng)安全事件。借助全面的策略管理功能，企業(yè)可以輕松地構(gòu)建、評估并報告最佳企業(yè)實踐。C.只需簡單的鼠標(biāo)單擊即可將設(shè)備從檢測狀態(tài)轉(zhuǎn)換到防御狀態(tài)，使企業(yè)可以輕松地切換部署模式。靈活的入侵防御部署選項，包括支持多串聯(lián)對或在同一設(shè)備上監(jiān)視被動和串聯(lián)部分，使不斷發(fā)展的網(wǎng)絡(luò)適應(yīng)各種安全策略。D.SymantecNetworkSecurity系列是通過SymantecNetworkSecurityManagementConsole集中管理的，SymantecNetworkSecurityManagementConsole是一個可伸縮的安全管理系統(tǒng)，支持大型分布式企業(yè)部署，并提供全面的配置和策略管理、實時威脅分析、企業(yè)報告和靈活的顯示。E.該系列提供了三種型號，可以很好的滿足企業(yè)的各種部署需求，無論在分支機構(gòu)、分布式站點還是網(wǎng)絡(luò)核心或主體上部署網(wǎng)絡(luò)安全。這種高度可伸縮的一流設(shè)備支持從50Mbps到2Gbps的總網(wǎng)絡(luò)帶寬，最多可涉及八個網(wǎng)段。2、主要特性:A.增強現(xiàn)有網(wǎng)關(guān)和服務(wù)器安全部署，阻止威脅在網(wǎng)絡(luò)中傳播B.在IMUNE?架構(gòu)中綜合了多種檢測技術(shù)，包括協(xié)議異常檢測和漏洞攻擊攔截，可準(zhǔn)確地識別和禁止已知/未知（或“零日”）攻擊與蠕蟲C.幫助企業(yè)構(gòu)建、權(quán)衡和報告企業(yè)最佳實踐和法規(guī)一致性計劃D.集成了賽門鐵克安全響應(yīng)中心和賽門鐵克DeepSight預(yù)警服務(wù)的專業(yè)知識，提供有關(guān)威脅的早期知識，以實現(xiàn)主動安全E.在網(wǎng)絡(luò)中不可見，因此不需要重新配置網(wǎng)絡(luò)，簡化了部署過程F.這些設(shè)備最多可支持八個接口，允許企業(yè)監(jiān)視更多的網(wǎng)段G.三種型號支持從50Mbps到2Gbps的總網(wǎng)絡(luò)帶寬，可滿足分支機構(gòu)、分布式站點和網(wǎng)絡(luò)核心的不同部署需求H.使用LiveUpdate技術(shù)更新防護(hù)策略以實現(xiàn)自動防護(hù)，幫助企業(yè)及早應(yīng)對各種不斷變化的威脅I.單擊防御－只需簡單的鼠標(biāo)單擊即可從檢測狀態(tài)轉(zhuǎn)換到防御狀態(tài)3、技術(shù)亮點:SymantecNetworkSecurity系列是新一代的網(wǎng)絡(luò)安全產(chǎn)品，SNS同時具備IPS（入侵防御）和IDS（入侵檢測）兩項功能。作為成熟的IPS產(chǎn)品，他具有很多傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品所缺乏的功能.A.主動防御，而非被動報警目前網(wǎng)絡(luò)安全事件發(fā)生的頻率越來越高，給用戶帶來的損失也越來越大。傳統(tǒng)的安全產(chǎn)品，需要用戶花費大量時間和精力，實時跟蹤當(dāng)前的計算機安全漏洞。然后修改網(wǎng)絡(luò)中各種安全產(chǎn)品的安全策略，實現(xiàn)對網(wǎng)絡(luò)攻擊的有效防御。但是隨著網(wǎng)絡(luò)邊界模糊，用戶系統(tǒng)的多樣化，這樣的努力無法達(dá)到用戶的期望效果。SNS是可以實現(xiàn)自動防御的網(wǎng)絡(luò)安全產(chǎn)品，他無需人工干預(yù)，自動檢測，屏蔽網(wǎng)絡(luò)入侵行為，減少用戶用于日常維護(hù)的人力成本。SNS可以以透明（inline）方式部署在用戶網(wǎng)絡(luò)中，不用修改用戶網(wǎng)絡(luò)結(jié)構(gòu)，也不用修改交換機配置。配合產(chǎn)品自帶的安全策略，真正實現(xiàn)即插即用。B.安全策略自動維護(hù)傳統(tǒng)IDS產(chǎn)品被用戶所排斥的主要原因就是需要用戶人工設(shè)定檢測策略，并需要定期維護(hù)更新。SNS改變了這種傳統(tǒng)的更新模式，他可以自動更新、加載、生效最新的安全策略，大大降低了產(chǎn)品對操作人員的依賴。通過這種策略自動更新的工作方式，幫助用戶爭取了在出現(xiàn)可能對系統(tǒng)和網(wǎng)絡(luò)造成嚴(yán)重影響的重大安全隱患的緊急狀況下的響應(yīng)時間（如：沖擊波），在主機還沒有來得及完成補丁分發(fā)的情況下，SNS通過自動化的策略更新，就已經(jīng)實現(xiàn)了能整個網(wǎng)絡(luò)的安全防護(hù)。C.兩級管理模式SNS為主控臺和SNS設(shè)備兩級管理模式，無需額外的日志服務(wù)器，通過主控臺，可以最多同時對120個SNS設(shè)備設(shè)定統(tǒng)一的安全策略。多個SNS的報警事件，也可以在一個主控臺窗口內(nèi)，實現(xiàn)事件關(guān)聯(lián)，幫助用戶更加準(zhǔn)確、快速的定位問題主機，或是入侵者的目的及入侵途徑。D.通過帶寬許可方式購買，節(jié)約用戶購買成本。SNS通過帶寬許可的方式進(jìn)行購買，用戶只需按照所保護(hù)網(wǎng)絡(luò)的帶寬流量支付費用，不必為自己沒有用到的服務(wù)付費。這樣的方式，也可以適應(yīng)用戶不斷變化的網(wǎng)絡(luò)結(jié)構(gòu)和不斷接入網(wǎng)絡(luò)的新的業(yè)務(wù)系統(tǒng)的要求。帶寬許可可以累加購買，保護(hù)用戶已有的投資不會浪費。4.2.2防病毒系統(tǒng)基于渝安集團(tuán)實際網(wǎng)絡(luò)防病毒需求，本方案采用了企業(yè)防病毒系統(tǒng):SymantecClientSecurity2.01、產(chǎn)品簡介:SymantecClientSecurity提供客戶端提供集成的防病毒、防火墻以及入侵檢測功能.SCS已將網(wǎng)絡(luò)和遠(yuǎn)程客戶端的安全功能集成在一個解決方案中。它不存在互操作性問題，通過集成賽門鐵克久負(fù)盛譽的防病毒、防火墻和入侵檢測等技術(shù)為客戶提供更強的攻擊防護(hù)能力，包括那些混合威脅在內(nèi)。來自一個廠商的多種集成化技術(shù)使得協(xié)作管理和響應(yīng)成為可能，從而增加了防護(hù)能力，降低了管理和支持成本，削減了整體購買成本。2、主要特性:1)全面防護(hù)，高效管理SymantecTMClientSecurity已將網(wǎng)絡(luò)和遠(yuǎn)程客戶端的安全功能集成在一個解決方案中。它不存在互操作性問題，通過集成賽門鐵克久負(fù)盛譽的防病毒、防火墻和入侵檢測等技術(shù)為客戶提供更強的攻擊防護(hù)能力，包括那些混合威脅在內(nèi)。來自一個廠商的多種集成化技術(shù)使得協(xié)作管理和響應(yīng)成為可能，從而增加了防護(hù)能力，降低了管理和支持成本，削減了整體購買成本。2)集成安全管理通過賽門鐵克久經(jīng)考驗的架構(gòu)——賽門鐵克系統(tǒng)中心來實現(xiàn)集成安全管理，可以提供全面的防病毒、防火墻和入侵檢測功能。這就可以提供先進(jìn)的安全管理，并且簡化了針對企業(yè)網(wǎng)絡(luò)內(nèi)每個客戶端（包括遠(yuǎn)程用戶）復(fù)雜威脅的安全管理過程。通過這種方法可以優(yōu)化管理員資源，因為安裝、報告和更新都可以從一個控制臺上來完成。管理功能包括：A.集成化管理——使用賽門鐵克系統(tǒng)中心，管理員從單個控制臺就可以完全配置、安裝、管理和更新客戶端病毒、防火墻以及入侵檢測功能。管理員還可以使用賽門鐵克系統(tǒng)中心控制臺來配置、部署和執(zhí)行企業(yè)網(wǎng)絡(luò)策略。B.邏輯組管理——SymantecClientSecurity能夠創(chuàng)建和管理服務(wù)器組中的按邏輯劃分的客戶端和服務(wù)器組。這對于需要用同一種方法管理相同功能實體的組織來說尤為適用，可減少管理不同客戶端組所需要的父服務(wù)器數(shù)目。C.易于安裝——SymantecPackagerTM能夠預(yù)先配置防病毒、防火墻和入侵檢測的安裝程序包，從而最大化部署靈活性，將部署成本降至最低。有三種預(yù)先配置的部署選項可用：全面管理、簡單管理和瘦客戶端。3)集成化響應(yīng)SymantecClientSecurity可以為防病毒、防火墻以及入侵檢測提供通用的部署和更新功能，有助于減少更新的開銷、風(fēng)險和管理。此外，集成化響應(yīng)功能還能夠使企業(yè)對于違背安全策略和病毒發(fā)作更快做出響應(yīng)，從而提高網(wǎng)絡(luò)的整體安全狀態(tài)。這種集成化更新和響應(yīng)功能是由賽門鐵克安全性響應(yīng)中心這個世界領(lǐng)先的互聯(lián)網(wǎng)安全性研究和支持組織完成的。使用賽門鐵克久負(fù)盛譽的自動更新技術(shù)，SymantecClientSecurity可以在可自動安裝（如果管理員愿意，也可手動安裝）的單個集成化的數(shù)據(jù)包中發(fā)送病毒定義碼、防火墻規(guī)則以及入侵特征庫。在病毒發(fā)作時，賽門鐵克通過各種集成化技術(shù)來測試和檢驗其解決方案。由于定義碼更新文件很小，SymantecClientSecurity可以確保帶寬預(yù)留和快速實施，從而對網(wǎng)絡(luò)性能產(chǎn)生的影響最小。賽門鐵克安全響應(yīng)中心提供了一系列功能強大的安全資源，包括世界一流的產(chǎn)品支持以及業(yè)界領(lǐng)先的賽門鐵克全球研究和技術(shù)支持中心提供的無間斷的報警服務(wù)。賽門鐵克的防入侵專家、安全工程師、防病毒防護(hù)專家協(xié)同工作，每天24小時持續(xù)不斷地研究病毒、惡意代碼、不斷發(fā)展的漏洞以及最新的入侵技術(shù)。此外，賽門鐵克安全響應(yīng)中心始終致力于開發(fā)自動緊急事件響應(yīng)系統(tǒng)，用于檢測安全問題、向客戶發(fā)出告警客戶并為SymantecTMEnterpriseSecurity客戶提供安全的解決方案。4)有效的保護(hù)ymantecClientSecurity融合了集成化防護(hù)、久負(fù)盛譽的技術(shù)以及全面的安全特性來使管理員安心：A.客戶安全策略實施——根據(jù)防火墻規(guī)則掃描傳入和傳出流量。SymantecClientSecurity內(nèi)的防火墻技術(shù)可以同防病毒技術(shù)無縫協(xié)作，保護(hù)客戶端不受病毒影響。即使在管理員或用戶將實時病毒防護(hù)停用也可以實現(xiàn)上述防護(hù)。通過客戶端防火墻和入侵檢測技術(shù)的結(jié)合，它掃描并將所有傳入和傳出的流量同已知的特征組相比較，如果檢測到入侵企圖，可以將一個入侵IP地址阻塞超過30分鐘。B.融合領(lǐng)先的技術(shù)——SymantecClientSecurity構(gòu)筑在久負(fù)盛譽的業(yè)界領(lǐng)先防病毒、防火墻和入侵檢測技術(shù)基礎(chǔ)之上。數(shù)字免疫系統(tǒng)可以自動提交潛在威脅，并且將應(yīng)對方案自動發(fā)送到有問題的機器或者整個企業(yè)。在包括硬件資源、架構(gòu)設(shè)計、最新掃描引擎以及Webcrawlers在內(nèi)的精密完善的基礎(chǔ)設(shè)施支持下，數(shù)字免疫系統(tǒng)可以確保最高的服務(wù)可用性。C.可擴(kuò)展性——SymantecClientSecurity可以提供快速響應(yīng)和更高的擴(kuò)展性，利用賽門鐵克技術(shù)采用的很小的定義碼文件、病毒定義碼傳輸方法以及病毒定義碼的多線程服務(wù)器部署、防火墻規(guī)則以及入侵特征庫等特性，可以保護(hù)客戶端層免受新型威脅的侵害。多點產(chǎn)品并不提供全面檢測所需要的部件。SymantecClientSecurity是唯一一種這樣的單廠商解決方案，可以真正集成多種技術(shù)，提高客戶機對當(dāng)前復(fù)雜的互聯(lián)網(wǎng)威脅的防御能力。3、技術(shù)亮點:A.為客戶端提供更強的防護(hù)，通過集成管理和響應(yīng)功能來防御互聯(lián)網(wǎng)威脅。B.采用集中化安裝、部署、管理和更新的方法來確保安全策略的實施。C.優(yōu)化資源，有助于降低網(wǎng)絡(luò)安全客戶端防護(hù)的管理和支持成本。D.隱私控制功能，可以防止用戶定義的機密信息在沒得到用戶認(rèn)可的情況下被發(fā)送。E.通過快速更新客戶端的防病毒定義碼、防火墻規(guī)則以及入侵檢測特征來保留網(wǎng)絡(luò)帶寬。F.通過提供預(yù)先配置防病毒、防火墻和入侵檢測安裝程序包來最大化實施靈活性。G.由賽門鐵克安全響應(yīng)中心——全球領(lǐng)先的互聯(lián)網(wǎng)安全研究及響應(yīng)機構(gòu)提供支持。H.此外，還提供SymantecClientSecurity小企業(yè)版，這是轉(zhuǎn)為小型企業(yè)設(shè)計的完備、購買時就包括許可證的解決方案。4.2.3防火墻技術(shù)1、防火墻簡介網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到了飛速的發(fā)展。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上,企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。2、防火墻的選擇企業(yè)一方面訪問INTERNET，得到INTERNET所帶來的好處，另一方面，卻不希望外部用戶去訪問企業(yè)的內(nèi)部數(shù)據(jù)庫和網(wǎng)絡(luò)。企業(yè)當(dāng)然沒有辦法去建立兩套網(wǎng)絡(luò)來滿足這種需求。防火墻的基本思想不是對每臺主機系統(tǒng)進(jìn)行保護(hù)，而是讓所有對系統(tǒng)的訪問通過某一點，并且保護(hù)這一點，并盡可能地對受保護(hù)的內(nèi)部網(wǎng)和不可信任的外界網(wǎng)絡(luò)之間建立一道屏障，它可以實施比較慣犯的安全政策來控制信息流，防止不可預(yù)料的潛在的入侵破壞。根據(jù)企業(yè)內(nèi)部網(wǎng)安全政策的不同，采取防火墻的技術(shù)手段也有所不同。1.包過濾防火墻包過濾防火墻的安全性是基于對包的IP地址的校驗。在Internet上，所有信息都是以包的形式傳輸?shù)?，信息包中包含發(fā)送方的IP地址和接收方的IP地址。包過濾防火墻將所有通過的信息包中發(fā)送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態(tài)等信息讀出，并按照預(yù)先設(shè)定過濾原則過濾信息包。那些不符合規(guī)定的IP地址的信息包會被防火墻過濾掉，以保證網(wǎng)絡(luò)系統(tǒng)的安全。包過濾防火墻是基于訪問控制來實現(xiàn)的。它利用數(shù)據(jù)包的頭信息（源IP地址、封裝協(xié)議、端口號等）判定與過濾規(guī)則相匹配與否決定舍取。建立這類防火墻需按如下步驟去做；建立安全策略；寫出所允許的和禁止的任務(wù)；將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式；用相應(yīng)的句法重寫邏輯表達(dá)式并設(shè)置之，包過濾防火墻主要是防止外來攻擊，或是限制內(nèi)部用戶訪問某些外部的資源。對入侵者假冒內(nèi)部主機，從外部傳輸一個源IP地址為內(nèi)部網(wǎng)絡(luò)IP地址的數(shù)據(jù)包的這類攻擊，防火墻只需把來自外部端口的使用內(nèi)部源地址的數(shù)據(jù)包統(tǒng)統(tǒng)丟棄掉。包過濾防火墻簡單、透明，而且非常行之有效，能解決大部分的安全問題，但必須了解包過濾防火墻不能做什么和有什么缺點。包過濾防火墻只按照規(guī)則丟棄數(shù)據(jù)包而不對其作日志，導(dǎo)致對過濾的IP地址的不同用戶，不具備用戶身份認(rèn)證功能，不具備檢測通過高層協(xié)議（如應(yīng)用層）實現(xiàn)的安全攻擊的能力。2、代理防火墻包過濾防火墻從很大意義上像一場戰(zhàn)爭，黑客想攻擊，防火墻堅決予以拒絕。而代理服務(wù)器則是另外一種方式，能回避就回避，甚至干脆隱藏起來。代理服務(wù)器接收客戶請求后會檢查驗證其合法性，如其合法，代理服務(wù)器象一臺客戶機一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界隔離開來，從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理服務(wù)器只允許有代理的服務(wù)通過，而其他所有服務(wù)都完全被封鎖住。代理服務(wù)器非常適合那些根本就不希望外部用戶訪問企業(yè)內(nèi)部的網(wǎng)絡(luò)，而也不希望內(nèi)部的用戶無限制的使用或濫用INTERNET。采用代理服務(wù)器，可以把企業(yè)的內(nèi)部網(wǎng)絡(luò)隱藏起來，內(nèi)部的用戶需要驗證和授權(quán)之后才可以去訪問INTERNET。代理服務(wù)器包含兩大類：一類是電路級代理網(wǎng)關(guān)，另一類是應(yīng)用級代理網(wǎng)關(guān)。電路級網(wǎng)關(guān)又稱線路級網(wǎng)關(guān)，它工作在會話層。它在兩主機收次建立TCP連接時創(chuàng)立一個電子屏障。它作為服務(wù)器接收外來請求，轉(zhuǎn)發(fā)請求；與被保護(hù)的主機連接時則擔(dān)當(dāng)客戶機角色、起代理服務(wù)的作用。它監(jiān)視兩主機建立連接時的握手信息，如Syn、Ack和序列數(shù)據(jù)等是否合乎邏輯，信號有效后網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進(jìn)行過濾。電路網(wǎng)關(guān)中特殊的客戶程序只在初次連接時進(jìn)行安全協(xié)商控制，其后就透明了。只有懂得如何與該電路網(wǎng)關(guān)通信的客戶機才能到達(dá)防火墻另一邊的服務(wù)器。電路級網(wǎng)關(guān)的防火墻的安全性比較高，但它仍不能檢查應(yīng)用層的數(shù)據(jù)包以消除應(yīng)用層攻擊的威脅。應(yīng)用級網(wǎng)關(guān)使用軟件來轉(zhuǎn)發(fā)和過濾特定的應(yīng)用服務(wù)，如TELNET、FTP等服務(wù)的連接。這是一種代理服務(wù)。它只允許有代理的服務(wù)通過，也就是說只有那些被認(rèn)為“可信賴的”服務(wù)才被允許通過防火墻。另外代理服務(wù)還可以過濾協(xié)議，如過濾FTP連接、拒絕使用FTP放置命令等。應(yīng)用級網(wǎng)關(guān)的安全性高，其不足是要為每種應(yīng)用提供專門的代理服務(wù)程序。兩種代理技術(shù)都具有登記、日記、統(tǒng)計和報告功能，有很好的審計功能。還可以具有嚴(yán)格的用戶認(rèn)證功能。先進(jìn)的認(rèn)證措施，如驗證授權(quán)RADIUS、智能卡、認(rèn)證令牌、生物統(tǒng)計學(xué)和基于軟件的工具已被用來克服傳統(tǒng)口令的弱點。3、狀態(tài)監(jiān)控技術(shù)網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)普遍被認(rèn)為是下一代的網(wǎng)絡(luò)安全技術(shù)。傳統(tǒng)的網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)對網(wǎng)絡(luò)安全正常的工作完全沒有影響的前提下，采用捕捉網(wǎng)絡(luò)數(shù)據(jù)包的方法對膃肭蜾蠃通信的各個層次實行監(jiān)測，并作安全決策的依據(jù)。監(jiān)視模塊支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用協(xié)議，可以方便地實現(xiàn)應(yīng)用和服務(wù)擴(kuò)充。狀態(tài)監(jiān)視服務(wù)可以監(jiān)視RPC（遠(yuǎn)程過程調(diào)用）和UDP（用戶數(shù)據(jù)包）端口信息，而包過濾和代理服務(wù)則都無法做到。網(wǎng)絡(luò)狀態(tài)的監(jiān)控的結(jié)果，直接就是要求能夠有一種交互式的防火墻來滿足客戶較高的要求。中網(wǎng)的IP防火墻就是這樣一種產(chǎn)品。4、虛擬專用網(wǎng)EXTRANET和VPN是現(xiàn)代網(wǎng)絡(luò)的新熱點。虛擬專用網(wǎng)的本質(zhì)實際上涉及到密碼的問題。在無法保證電路安全、信道安全、網(wǎng)絡(luò)安全、應(yīng)用安全的情況下，或者也不相信其他安全措施的情況下，一種行之有效的辦法就是加密，而加密就是必須考慮加密算法和密碼的問題。考慮到我國對密碼管理的體制情況，密碼是一個單獨的領(lǐng)域。對防火墻而言，是否防火墻支持對其他密碼體制的支持，支持提供API來調(diào)用第三方的加密算法和密碼，非常重要。5、復(fù)合型防火墻體系防火墻體系的采納是一個非常專業(yè)化的過程，不是一個簡單的是和非。當(dāng)然可以根據(jù)具體的情況，作出一定的安全政策，并采用某種上述特定的防火墻。但絕大多數(shù)情況是，根據(jù)具體的安全需求，通過某種體系構(gòu)架，來實現(xiàn)更高強度的安全體系?；谝陨戏治鲆约坝灏布瘓F(tuán)的實際情況，本方案采用基于動態(tài)包過濾的思科PIX515防火墻。

結(jié)束語通過此次畢業(yè)設(shè)計，對網(wǎng)絡(luò)安全方面的知識有一進(jìn)一步的了解,對一些網(wǎng)絡(luò)上下經(jīng)常出現(xiàn)的問題及解決方法有了一定的掌握。同時最重要的是摸索出了一套分析問題和解決問題的方法，這對于我將來走上工作崗位受益匪淺?；ヂ?lián)網(wǎng)現(xiàn)在已經(jīng)成為了人民不可或缺的工具，其發(fā)展速度也快得驚人，以此而來的攻擊破壞可謂層出不窮，為了有效的防止入侵把企業(yè)損失降到最低，我們必須時刻注意網(wǎng)絡(luò)安全問題，使用盡量多而可靠的安全工具經(jīng)常維護(hù)，讓我們的企業(yè)網(wǎng)絡(luò)體系完善可靠。此次設(shè)計過程中可能還存在一定的缺陷和漏洞，請?zhí)岢鰧氋F意見，我會在以后的學(xué)習(xí)中不斷完善這方面的知識，努力做到更好。

參考文獻(xiàn)[1].張小斌、嚴(yán)望佳.《黑客分析與防范技術(shù)》.北京：清華大學(xué)出版社.2000.5第66-100頁[2].郝文化.《網(wǎng)絡(luò)綜合布線設(shè)計與案例》.北京：電子工業(yè)出版社.2003.8第33-56頁[3].胡道元.《計算機網(wǎng)絡(luò)》.北京：清華大學(xué)出版社.2001.12第56-88頁[4].方勇.《信息系統(tǒng)安全導(dǎo)論》.北京：電子工業(yè)出版社.2007.1[5]李海宗.《計算機網(wǎng)絡(luò)安全與加密技術(shù)》.北京:科學(xué)出版社.2001.5[6].胡道元編著，《計算機網(wǎng)絡(luò)高級》，清華大學(xué)出版社,2003年2月.第119頁[7]祁明.《網(wǎng)絡(luò)安全與保密》.北京:高等教育出版社,2006,第29頁[8]劉瑞挺.《網(wǎng)絡(luò)技術(shù)》高等教育出版社,2003,第69頁[9]祁明.《網(wǎng)絡(luò)安全與保密》北京高等教育出版社,2002,第99頁[9]S.Gabaldon、S.Lopez.《IntegralRecyclingofCeramicWastesbyDevelopmentofCeramicTiles》.2004.【ISBN】:0-87849-946-6.p.2517-2520[10]StevenM.Frank.《AGINGBEHAVIOROFASODALITEBASEDCERAMICWASTEF》.2004.【ISBN】:1-57498-209-5.p9

致謝本論文是在我的指導(dǎo)老師雷天花老師的悉心指導(dǎo)下完成的。她嚴(yán)肅的科學(xué)態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神，精益求精的工作作風(fēng)，深深的感染和鼓勵著我。從畢業(yè)論文的選題到論文的最終完成，老師都始終給予我細(xì)心的指導(dǎo)和支持，在此謹(jǐn)向老師致以誠摯的謝意和崇高的敬意！在畢業(yè)設(shè)計過程中，我也得到了許多老師的關(guān)心和支持，還有同學(xué)們的大力幫助。正是由于他們的幫助和支持，論文才得以及時完成。在此，我要對所有關(guān)心過我的老師及同學(xué)們表示衷心的感謝！基于C8051F單片機直流電動機反饋控制系統(tǒng)的設(shè)計與研究基于單片機的嵌入式Web服務(wù)器的研究MOTOROLA單片機MC68HC（8）05PV8/A內(nèi)嵌EEPROM的工藝和制程方法及對良率的影響研究基于模糊控制的電阻釬焊單片機溫度控制系統(tǒng)的研制基于MCS-51系列單片機的通用控制模塊的研究基于單片機實現(xiàn)的供暖系統(tǒng)最佳啟停自校正（STR）調(diào)節(jié)器單片機控制的二級倒立擺系統(tǒng)的研究基于增強型51系列單片機的TCP/IP協(xié)議棧的實現(xiàn)基于單片機的蓄電池自動監(jiān)測系統(tǒng)基于32位嵌入式單片機系統(tǒng)的圖像采集與處理技術(shù)的研究基于單片機的作物營養(yǎng)診斷專家系統(tǒng)的研究基于單片機的交流伺服電機運動控制系統(tǒng)研究與開發(fā)基于單片機的泵管內(nèi)壁硬度測試儀的研制基于單片機的自動找平控制系統(tǒng)研究基于C8051F040單片機的嵌入式系統(tǒng)開發(fā)基于單片機的液壓動力系統(tǒng)狀態(tài)監(jiān)測儀開發(fā)模糊Smith智能控制方法的研究及其單片機實現(xiàn)一種基于單片機的軸快流CO〈,2〉激光器的手持控制面板的研制基于雙單片機沖床數(shù)控系統(tǒng)的研究基于CYGNAL單片機的在線間歇式濁度儀的研制基于單片機的噴油泵試驗臺控制器的研制基于單片機的軟起動器的研究和設(shè)計基于單片機控制的高速快走絲電火花線切割機床短循環(huán)走絲方式研究基于單片機的機電產(chǎn)品控制系統(tǒng)開發(fā)基于PIC單片機的智能手機充電器基于單片機的實時內(nèi)核設(shè)計及其應(yīng)用研究基于單片機的遠(yuǎn)程抄表系統(tǒng)的設(shè)計與研究基于單片機的煙氣二氧化硫濃度檢測儀的研制基于微型光譜儀的單片機系統(tǒng)單片機系統(tǒng)軟件構(gòu)件開發(fā)的技術(shù)研究基于單片機的液體點滴速度自動檢測儀的研制基于單片機系統(tǒng)的多功能溫度測量儀的研制基于PIC單片機的電能采集終端的設(shè)計和應(yīng)用基于單片機的光纖光柵解調(diào)儀的研制氣壓式線性摩擦焊機單片機控制系統(tǒng)的研制基于單片機的數(shù)字磁通門傳感器基于單片機的旋轉(zhuǎn)變壓器-數(shù)字轉(zhuǎn)換器的研究基于單片機的光纖Bragg光柵解調(diào)系統(tǒng)的研究單片機控制的便攜式多功能乳腺治療儀的研制基于C8051F020單片機的多生理信號檢測儀基于單片機的電機運動控制系統(tǒng)設(shè)計Pico專用單片機核的可測性設(shè)計研究基于MCS-51單片機的熱量計基于雙單片機的智能遙測微型氣象站MCS-51單片機構(gòu)建機器人的實踐研究基于單片機的輪軌力檢測基于單片機的GPS定位儀的研究與實現(xiàn)基于單片機的電液伺服控制系統(tǒng)用于單片機系統(tǒng)的MMC卡文件系統(tǒng)研制基于單片機的時控和計數(shù)系統(tǒng)性能優(yōu)化的研究基于單片機和CPLD的粗光柵位移測量系統(tǒng)研究單片機控制的后備式方波UPS提升高職學(xué)生單片機應(yīng)用能力的探究基于單片機控制的自動低頻減載裝置研究基于單片機控制的水下焊接電源的研究基于單片機的多通道數(shù)據(jù)采集系統(tǒng)基于uPSD3234單片機的氚表面污染測量儀的研制基于單片機的紅外測油儀的研究96系列單片機仿真器研究與設(shè)計基于單片機的單晶金剛石刀具刃磨設(shè)備的數(shù)控改造基于單片機的溫度智能控制系統(tǒng)的設(shè)計與實現(xiàn)基于MSP430單片機的電梯門機控制器的研制基于單片機的氣體測漏儀的研究基于三菱M16C/6N系列單片機的CAN/USB協(xié)議轉(zhuǎn)換器基于單片機和DSP的變壓器油色譜在線監(jiān)測技術(shù)研究基于單片機的膛壁溫度報警系統(tǒng)設(shè)計基于AVR單片機的低壓無功補償控制器的設(shè)計基于單片機船舶電力推進(jìn)電機監(jiān)測系統(tǒng)基于單片機網(wǎng)絡(luò)的振動信號的采集系統(tǒng)基于單片機的大容量數(shù)據(jù)存儲技術(shù)的應(yīng)用研究基于單片機的疊圖機研究與教學(xué)方法實踐基于單片機嵌入式Web服務(wù)器技術(shù)的研究及實現(xiàn)基于AT89S52單片機的通用數(shù)據(jù)采集系統(tǒng)基于單片機的多道脈沖幅度分析儀研究機器人旋轉(zhuǎn)電弧傳感角焊縫跟蹤單片機控制系統(tǒng)基于單片機的控制系統(tǒng)在PLC虛擬教學(xué)實驗中的應(yīng)用研究基于單片機系統(tǒng)的網(wǎng)絡(luò)通信研究與應(yīng)用HY