淺析計算機網(wǎng)絡安全和防火墻技術

畢業(yè)論文淺析計算機網(wǎng)絡安全和防火墻技術姓名：學號：指導老師：系名：專業(yè)：班級：二OO九年十二月十三日摘要隨著時代的發(fā)展，Internet日益普及，網(wǎng)絡已經(jīng)成為信息資源的海洋，給人們帶來了極大的方便。但由于Internet是一個開放的，無控制機構的網(wǎng)絡，經(jīng)常會受到計算機病毒、黑客的侵襲。它可使計算機和計算機網(wǎng)絡數(shù)據(jù)和文件丟失，系統(tǒng)癱瘓。因此，計算機網(wǎng)絡系統(tǒng)安全問題必須放在首位。作為保護局域子網(wǎng)的一種有效手段，防火墻技術備受睞。本文主要闡述了網(wǎng)絡安全技術所要受到的各方面威脅以及自身存在的一些缺陷，所謂知己知彼，百戰(zhàn)不殆。只有了解了網(wǎng)絡安全存在的內(nèi)憂外患，才能更好的改善網(wǎng)絡安全技術，發(fā)展網(wǎng)絡安全技術。然后主要闡述防火墻在網(wǎng)絡安全中起到的巨大的作用，防火墻的優(yōu)缺點及各種類型防火墻的使用和效果。計算機網(wǎng)絡技術的在飛速發(fā)展中，尤其是互聯(lián)網(wǎng)的應用變得越來越廣泛，在帶來了前所未有的海量信息的同時，網(wǎng)絡的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡信息的安全性變得日益重要，只有熟悉了各種對網(wǎng)絡安全的威脅，熟悉各種保護網(wǎng)路安全的技術，我們才能更好的保護計算機和信息的安全。關鍵字：計算機網(wǎng)絡；網(wǎng)絡安全；防范措施；防火墻技術AbstractWiththedevelopmentofTheTimes,theInternethasbecomeincreasinglypopularandnetworkinformationresourcesofthesea,andbringgreatconvenience。ButbecauseoftheInternetisanopen,withoutcontrolnetwork,computervirus,oftenbyhackers。Itcanmakethecomputerandthecomputernetwork,thesystemfilesanddataloss。Therefore,thecomputernetworksystemsecurityproblemsmustbegivenpriority。Astheprotectionoflocalsubnetaneffectivemeans,firewalltechnology。Thisarticlemainlyelaboratedbynetworksecuritytechnologytoeveryaspectofthethreatanditsexistence,somedefects,so-calledawareness。Theexistenceofthe1930'sandnetworksecurity,canimprovenetworksecuritytechnology,thedevelopmentofnetworksecuritytechnology。Andthenexpoundsmainlyfirewallinnetworksecurityofhugeroleplays,advantagesanddisadvantagesofvarioustypesoffirewalluseandeffectofthefirewall。Thecomputernetworktechnology,especiallyintherapiddevelopmentoftheInternetisbecomingmoreandmorewidelyappliedinbroughtanunprecedentedhugeamountsofinformation,networkofopennessandfreedomintheprivateinformationanddataweredamagedorinfringed,thepossibilityofnetworkinformationsecurityisbecomingincreasinglyimportant,onlyfamiliartoallkindsofnetworksecuritythreats,familiarwithvariousprotectionnetworksecuritytechnology,wecanbetterprotectthecomputerandinformationsecurity。Keywords:Computernetwork,Networksecurity,Thepreventionmeasures,Firewalltechnology目錄TOC\o"1-1"\t"標題2,1,標題3,1,標題4,1,標題5,2,標題6,2,標題7,3,標題8,3,標題9,2,標題10,2,標題11,1,標題12,2,標題13,2,標題14,2,標題15,2,標題16,2,標題17,1,標題18,2,標題19,2,標題20,3,標題21,3,標題22,2,標題23,2,標題24,3,標題25,3,標題26,1,標題27,1,標題28,1"摘要 2Abstract 3引言 6第一章網(wǎng)絡安全概述 71.1 計算機網(wǎng)絡安全的含義 71.2 網(wǎng)絡信息安全的主要威脅 71.2.1 自然威脅 71.2.2 人為威脅—黑客攻擊與計算機病毒 81.3 計算機網(wǎng)絡中的安全缺陷及產(chǎn)生原因 91.4 影響計算機網(wǎng)絡安全的因素 10第二章計算機網(wǎng)絡安全防范策略 112.1 防火墻技術 112.2 數(shù)據(jù)加密與用戶授權訪問控制技術 142.3 入侵檢測技術 152.4 防病毒技術 162.5 安全管理隊伍的建設 16第三章防火墻技術 173.1 防火墻的定義 173.2 防火墻的功能 173.2.1 防火墻是網(wǎng)絡安全的屏障 173.2.2 防火墻的種類 183.3 防火墻的技術原理 183.4 防火墻的應用 203.4.1 個人防火墻的應用 203.4.2 防火墻技術在校園網(wǎng)中應用 25結論 27致謝 28參考文獻 29引言近年來，隨著計算機網(wǎng)絡技術的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應用變得越來越廣泛，在帶來了前所未有的海量信息的同時，計算機網(wǎng)絡的安全性變得日益重要起來，由于計算機網(wǎng)絡聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡的開放性和網(wǎng)絡資源的共享性等因素，致使計算機網(wǎng)絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。為確保信息的安全與網(wǎng)絡暢通，研究計算機網(wǎng)絡的安全與防護措施已迫在眉捷，但網(wǎng)絡安全問題至今仍沒有能夠引起足夠的重視，更多的用戶認為網(wǎng)絡安全問題離自己尚遠，這一點從大約有40%以上的用戶特別是企業(yè)級用戶沒有安裝防火墻(Firewall)便可以窺見一斑，而所有的問題都在向大家證明一個事實，大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)，所以防火墻技術應當引起我們的注意和重視。本文主要研究網(wǎng)絡安全的缺陷原由及網(wǎng)絡安全技術的原理和其他技術，如防火墻技術對網(wǎng)絡安全起到的不可忽視的影響。網(wǎng)絡安全概述計算機網(wǎng)絡安全的含義計算機網(wǎng)絡安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡提供商除了關心這些網(wǎng)絡信息安全外，還要考慮如何應付突發(fā)的自然災害、軍事打擊等對網(wǎng)絡硬件的破壞，以及在網(wǎng)絡出現(xiàn)異常時如何恢復網(wǎng)絡通信，保持網(wǎng)絡通信的連續(xù)性。從本質(zhì)上來講，網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件及其在網(wǎng)絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡入侵和攻擊行為使得網(wǎng)絡安全面臨新的挑戰(zhàn)。網(wǎng)絡信息安全的主要威脅網(wǎng)絡安全所面臨的威脅來自很多方面，并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。自然威脅自然威脅可能來自于各種自然災害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡設備的自然老化等。這些無目的的事件，有時會直接威脅網(wǎng)絡的安全，影響信息的存儲媒體。人為威脅—黑客攻擊與計算機病毒人為威脅就是說對網(wǎng)絡的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點【2】，以便達到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟上和政治上不可估量的損失。網(wǎng)絡安全的人為威脅主要分為以下幾種：網(wǎng)絡缺陷Intemet由于它的開放性迅速在全球范圍內(nèi)普及，但也正是因為開放性使其保護信息安全存在先天不足。Internet最初的設計考慮主要是考慮資源共享，基本沒有考慮安全問題，缺乏相應的安全監(jiān)督機制。黑客攻擊自1998年后，網(wǎng)上的黑客越來越多，也越來越猖獗；與此同時黑客技術逐漸被越來越多的人掌握現(xiàn)在還缺乏針對網(wǎng)絡犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強，這是網(wǎng)絡安全的主要威脅之一。各種病毒病毒時時刻刻威脅著整個互聯(lián)網(wǎng)。像Nimda和CodeRed的爆發(fā)更是具有深遠的影響，促使人們不得不在網(wǎng)絡的各個環(huán)節(jié)考慮對于各種病毒的檢測防治，對病毒徹底防御的重要性毋庸置疑。管理的欠缺及資源濫用很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對于網(wǎng)絡安全的認識，管理上存在很多漏洞，特別是國內(nèi)的企業(yè)，只是提供了接入Internet的通道，對于網(wǎng)絡上黑客的攻擊缺乏基本的應對措施，同時企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，這是造成網(wǎng)絡安全問題的根本原因。軟件的漏洞和后門：隨著CPU的頻率越來越高，軟件的規(guī)模越來越大，軟件系統(tǒng)中的漏洞也不可避免的存在，強大如微軟所開發(fā)的Windows也存在。各種各樣的安全漏洞和“后門”，這是網(wǎng)絡安全的主要威脅之一。網(wǎng)絡內(nèi)部用戶的誤操作和惡意行為對于來自網(wǎng)絡內(nèi)部的攻擊，主流的網(wǎng)絡安全產(chǎn)品防火墻基本無能為力，這類攻擊及其誤操作行為需要網(wǎng)絡信息審計、IDS等主要針對內(nèi)部網(wǎng)絡安全的安全產(chǎn)品來抵御。網(wǎng)絡資源濫用網(wǎng)絡有了安全保證和帶寬管理，依然不能防止員工對網(wǎng)絡資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯(lián)網(wǎng)，盡量避免網(wǎng)絡對工作帶來負面影響。信息泄漏惡意、過失的不合理信息上傳和發(fā)布，可能會造成敏感信息泄漏、有害信息擴散，危及社會、國家、體和個人利益。更有基于競爭需要，利用技術手段對目標機信息資源進行竊取。在眾多人為威脅中來自用戶和惡意軟件即計算機病毒的非法侵入嚴重，計算機病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴重的威脅和巨大的損失。計算機網(wǎng)絡中的安全缺陷及產(chǎn)生原因網(wǎng)絡安全缺陷產(chǎn)生的原因主要有：第一TCP/IP的脆弱性。因特網(wǎng)的基石是TCP/IP協(xié)議【3】，不幸的是該協(xié)議對于網(wǎng)絡的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡攻擊。第二，網(wǎng)絡結構的不安全性。因特網(wǎng)是一種網(wǎng)間網(wǎng)技術。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡。當人們用一臺主機和另一局域網(wǎng)的主機進行通信時，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機，他就可以劫持用戶的數(shù)據(jù)包。第三，易被竊聽。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行竊聽。第四，缺乏安全意識。雖然網(wǎng)絡中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設。如人們?yōu)榱吮荛_防火墻代理服務器的額外認證，進行直接的PPP連接從而避開了防火墻的保護。影響計算機網(wǎng)絡安全的因素①網(wǎng)絡資源的共享性。資源共享是計算機網(wǎng)絡應用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯(lián)網(wǎng)需求的日益增長，外部服務請求不可能做到完全隔離，攻擊者利用服務請求的機會很容易獲取網(wǎng)絡數(shù)據(jù)包。②網(wǎng)絡的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。③網(wǎng)絡操作系統(tǒng)的漏洞。網(wǎng)絡操作系統(tǒng)是網(wǎng)絡協(xié)議和網(wǎng)絡服務得以實現(xiàn)的最終載體之一，它不僅負責網(wǎng)絡硬件設備的接口封裝，同時還提供網(wǎng)絡通信所需要的各種協(xié)議和服務的程序?qū)崿F(xiàn)。由于網(wǎng)絡協(xié)議實現(xiàn)的復雜性，決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。④網(wǎng)絡系統(tǒng)設計的缺陷。網(wǎng)絡設計是指拓撲結構的設計和各種網(wǎng)絡設備的選擇等。網(wǎng)絡設備、網(wǎng)絡協(xié)議、網(wǎng)絡操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡設計在節(jié)約資源的情況下，還可以提供較好的安全性。不合理的網(wǎng)絡設計則會成為網(wǎng)絡的安全威脅。⑤惡意攻擊。就是人們常見的黑客攻擊及網(wǎng)絡病毒，這是最難防范的網(wǎng)絡安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。計算機網(wǎng)絡安全防范策略計算機網(wǎng)絡安全從技術上來說，主要由防病毒、防火墻、入侵檢測等多個安全組件組成，任何一個單獨的組件都無法確保網(wǎng)絡信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡安全技術主要有：防火墻技術、數(shù)據(jù)加密技術、入侵檢測技術、防病毒技術等，以下就此幾項技術分別進行分析。防火墻技術防火墻網(wǎng)絡安全的屏障，配置防火墻是實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設備組合而成，處于企業(yè)或網(wǎng)絡群體計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡的權限。當一個網(wǎng)絡接上Internet之后，系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。防火墻可以強化網(wǎng)絡安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。其次對網(wǎng)絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離【4】，從而降低了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。為了讓大家更好地使用防火墻，我們從反面列舉4個有代表性的失敗案例。例1：未制定完整的企業(yè)安全策略網(wǎng)絡環(huán)境：某中型企業(yè)購買了適合自己網(wǎng)絡特點的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務攻擊的次數(shù)也大大減少了，為此，公司領導特意表揚了負責防火墻安裝實施的信息部。該企業(yè)網(wǎng)絡環(huán)境如圖2.1所示：圖2.1該企業(yè)內(nèi)部網(wǎng)絡的核心交換機是帶路由模塊的三層交換機，出口通過路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個VLAN，VLAN1、VLAN2和VLAN3分配給不同的部門使用，不同的VLAN之間根據(jù)部門級別設置訪問權限；VLAN4分配給交換機出口地址和路由器使用；VLAN5分配給公共服務器使用。在沒有加入防火墻之前，各個VLAN中的PC機能夠通過交換機和路由器不受限制地訪問Internet。加入防火墻后，給防火墻分配一個VLAN4中的空閑IP地址，并把網(wǎng)關指向路由器；將VLAN5接入到防火墻的一個網(wǎng)口上。這樣，防火墻就把整個網(wǎng)絡分為3個區(qū)域:內(nèi)部網(wǎng)、公共服務器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。問題描述：防火墻投入運行后，實施了一套較為嚴格的安全規(guī)則，導致公司員工無法使用QQ聊天軟件，于是沒過多久就有員工自己撥號上網(wǎng)，導致感染了特洛依木馬和蠕蟲等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。問題分析：我們知道，防火墻作為一種保護網(wǎng)絡安全的設備，必須部署在受保護網(wǎng)絡的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡的數(shù)據(jù)通信，達到將入侵者拒之門外的目的。如果被保護網(wǎng)絡的邊界不惟一，有很多出入口，那么只部署一臺防火墻是不夠的。在本案例中，防火墻投入使用后，沒有禁止私自撥號上網(wǎng)行為，使得許多PC機通過電話線和Internet相連，導致網(wǎng)絡邊界不惟一，入侵者可以通過攻擊這些PC機然后進一步攻擊內(nèi)部網(wǎng)絡，從而成功地避開了防火墻。解決辦法：根據(jù)自己企業(yè)網(wǎng)的特點，制定一整套安全策略，并徹底地貫徹實施。比如說，制定一套安全管理規(guī)章制度，嚴禁員工私自撥號上網(wǎng);同時封掉撥號上網(wǎng)的電話號碼，并購買檢測撥號上網(wǎng)的軟件，這樣從管理和技術上杜絕出現(xiàn)網(wǎng)絡邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時間段生效的安全規(guī)則，在非工作時間打開QQ使用的TCP/UDP端口，使得企業(yè)員工可以在工余時間使用QQ聊天軟件。例2：未考慮與其他安全產(chǎn)品的配合使用問題描述：某公司購買了防火墻后，緊接著又購買了漏洞掃描和IDS（入侵檢測系統(tǒng)）產(chǎn)品。當系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后，必須每次都要手工調(diào)整防火墻安全策略，使管理員工作量劇增，而且經(jīng)常調(diào)整安全策略，也給整個網(wǎng)絡帶來不良影響。問題分析：選購防火墻時未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動功能，導致不能最大程度地發(fā)揮安全系統(tǒng)的作用。解決辦法：購買防火墻前應查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號，然后確定所要購買的防火墻是否有聯(lián)動功能（即是否支持其他安全產(chǎn)品，尤其是IDS產(chǎn)品），支持的是哪些品牌和型號的產(chǎn)品，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動的防火墻。這樣，當IDS發(fā)現(xiàn)入侵行為后，在通知管理員的同時發(fā)送消息給防火墻，由防火墻自動添加相關規(guī)則，把入侵者拒之門外。例3：未經(jīng)常維護升級防火墻問題描述：某政府機構購置防火墻后已安全運行一年多，由于該機構網(wǎng)絡結構一直很穩(wěn)定，沒有什么變化，各種應用也運行穩(wěn)定，因此管理員逐漸放松了對防火墻的管理，只要網(wǎng)絡一直保持暢通即可，不再關心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級。而且由于該機構處于政府專網(wǎng)內(nèi)，與Internet物理隔離，防火墻無法實現(xiàn)在線升級。因此該機構的防火墻軟件版本一直還是購買時的舊版本，雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級包，但從未手工升級過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中，政府專網(wǎng)也受到蠕蟲病毒的感染，該機構防火墻因為沒有及時升級，無法抵御這種蠕蟲病毒的攻擊，造成整個機構的內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡陷于癱瘓之中。問題分析：安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具，必須不斷地升級與更新才能應付不斷發(fā)展的入侵手段，過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說，應當時刻留心廠家發(fā)布的升級包，及時給防火墻打上最新的補丁。解決辦法：及時維護防火墻，當本機構發(fā)生人員變動、網(wǎng)絡調(diào)整和應用變化時，要及時調(diào)整防火墻的安全規(guī)則，及時升級防火墻。從以上三個案例我們可以得出一些結論：防火墻只是保證安全的一種技術手段，要想真正實現(xiàn)安全，安全策略是核心問題。保護網(wǎng)絡安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無縫地結合起來，充分利用它們各自的優(yōu)點，才能最大限度地保證網(wǎng)絡安全。而保護網(wǎng)絡安全是動態(tài)的過程，防火墻需要積極地維護和升級。數(shù)據(jù)加密與用戶授權訪問控制技術與防火墻相比，數(shù)據(jù)加密與用戶授權訪問控制技術比較靈活，更加適用于開放的網(wǎng)絡。用戶授權訪問控制主要用于對靜態(tài)信息的保護，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊，雖無法避免，但卻可以有效地檢測；而對于被動攻擊，雖無法檢測，但卻可以避免，實現(xiàn)這一切的基礎就是數(shù)據(jù)加密。數(shù)據(jù)加密實質(zhì)上是對以符號為基礎的數(shù)據(jù)進行移位和置換的變換算法，這種變換是對稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權用戶所知，授權用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對稱加密算法中最具代表性的算法。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法。入侵檢測技術入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息，再通過此信息分析入侵特征的網(wǎng)絡安全系統(tǒng)。IDS被認為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊：在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統(tǒng)的知識，添加入策略集中，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵【6】。入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。入侵檢測技術的功能主要體現(xiàn)在以下方面：分析用戶及系統(tǒng)活動，查找非法用戶和合法用戶的越權操作；檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞；識別反映已知進攻的活動模式并向相關人上報警；對異常行為模式的統(tǒng)計分析；能夠?qū)崟r地對檢測到的入侵行為進行反應；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；可以發(fā)現(xiàn)新的攻擊模式；防病毒技術隨著計算機技術的不斷發(fā)展，計算機病毒變得越來越復雜和高級，對計算機信息系統(tǒng)構成極大的威脅。在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺Pc上，即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網(wǎng)絡防病毒軟件則主要注重網(wǎng)絡防病毒，一旦病毒入侵網(wǎng)絡或者從網(wǎng)絡向其它資源傳染，網(wǎng)絡防病毒軟件會立刻檢測到并加以刪除【7】。安全管理隊伍的建設在計算機網(wǎng)絡系統(tǒng)中，絕對的安全是不存在的，制定健全的安全管理體制是計算機網(wǎng)絡安全的重要保證，只有通過網(wǎng)絡管理人員與使用人員的共同努力，運用一切可以使用的工具和技術，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。同時，要不斷地加強計算機信息網(wǎng)絡的安全規(guī)范化管理力度，大力加強安全技術建設，強化使用人員和管理人員的安全防范意識。網(wǎng)絡內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進行安全管理工作，應該對本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴肅處理。只有共同努力，才能使計算機網(wǎng)絡的安全可靠得到保障，從而使廣大網(wǎng)絡用戶的利益得到保障。防火墻技術防火墻的定義防火墻是指設置在不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡的安全政策控制(允許拒絕監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎設施。Internet防火墻是一個或一組系統(tǒng)，它能增強機構內(nèi)部網(wǎng)絡的安全性，用于加強網(wǎng)絡間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護內(nèi)部網(wǎng)絡的設備不被破壞，防止內(nèi)部網(wǎng)絡的敏感數(shù)據(jù)被竊取，防火墻系統(tǒng)還決定了哪些內(nèi)部服務可以被外界訪問，外界的哪些人可以訪問內(nèi)部的服務，以及哪些外部服務何時可以被內(nèi)部人員訪問。要使一個防火墻有效，所有來自和去往Internet的信息都必須經(jīng)過防火墻并接受檢查。防火墻必須只允許授權的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。但是，防火墻系統(tǒng)一旦被攻擊突破或迂回繞過，就不能提供任何保護了。防火墻的功能防火墻是網(wǎng)絡安全的屏障防火墻(作為阻塞點,控制點)能極大地提高一個內(nèi)部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻,所以網(wǎng)絡環(huán)境變得更安全。防火墻可以強化網(wǎng)絡安全策略,通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認證審計等)配置在防火墻上，對網(wǎng)絡存取和訪問進行監(jiān)控審計:所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù),當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。防止內(nèi)部信息的外泄，通過利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。防火墻的種類防火墻技術可根據(jù)防范的方式和側重點的不同,總體來講可分為二大類:分組過濾,應用代理。分組過濾(Packetfiltering);作用在網(wǎng)絡層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號,協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。應用代理(ApplicationProxy):也叫應用網(wǎng)關(ApplicationGateway),它作用在應用層,其特點是完全"阻隔"了網(wǎng)絡通信流通過對每種應用服務編制專門的代理程序,實現(xiàn)監(jiān)視和控制應用層通信流的作用,實際中的應用網(wǎng)關通常由專用工作站實現(xiàn)【8】。防火墻的技術原理目前，防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術不同，大致可分為三種：（1）包過濾技術包過濾技術是一種基于網(wǎng)絡層的防火墻技術。根據(jù)設置好的過濾規(guī)則，通過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會被防火墻過濾掉，由此保證網(wǎng)絡系統(tǒng)的安全。該技術通?？梢赃^濾基于某些或所有下列信息組的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術實際上是一種基于路由器的技術，其最大優(yōu)點就是價格便宜，實現(xiàn)邏輯簡單便于安裝和使用。缺點：1）過濾規(guī)則難以配置和測試。2）包過濾只訪問網(wǎng)絡層和傳輸層的信息，訪問信息有限，對網(wǎng)絡更高協(xié)議層的信息無理解能力。3）對一些協(xié)議，如UDP和RPC難以有效的過濾。（2）代理技術代理技術是與包過濾技術完全不同的另一種防火墻技術。其主要思想就是在兩個網(wǎng)絡之間設置一個“中間檢查站”，兩邊的網(wǎng)絡應用可以通過這個檢查站相互通信，但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務器，它運行在兩個網(wǎng)絡之間，對網(wǎng)絡之間的每一個請求進行檢查。當代理服務器接收到用戶請求后，會檢查用戶請求合法性。若合法，則把請求轉(zhuǎn)發(fā)到真實的服務器上，并將答復再轉(zhuǎn)發(fā)給用戶。代理服務器是針對某種應用服務而寫的，工作在應用層。優(yōu)點：它將內(nèi)部用戶和外界隔離開來，使得從外面只能看到代理服務器而看不到任何內(nèi)部資源。與包過濾技術相比，代理技術是一種更安全的技術【9】。缺點：在應用支持方面存在不足，執(zhí)行速度較慢。（3）狀態(tài)監(jiān)視技術這是第三代防火墻技術，集成了前兩者的優(yōu)點。能對網(wǎng)絡通信的各層實行檢測。同包過濾技術一樣，它能夠檢測通過IP地址、端口號以及TCP標記，過濾進出的數(shù)據(jù)包。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數(shù)據(jù)，這些算法通過己知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效。狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應用程序，可方便地實現(xiàn)應用和服務的擴充。此外，它還可監(jiān)測RPC和UDP端口信息，而包過濾和代理都不支持此類端口。這樣，通過對各層進行監(jiān)測，狀態(tài)監(jiān)視器實現(xiàn)網(wǎng)絡安全的目的。目前，多使用狀態(tài)監(jiān)測防火墻，它對用戶透明，在OSI最高層上加密數(shù)據(jù)，而無需修改客戶端程序，也無需對每個需在防火墻上運行的服務額外增加一個代理。要想建立一個真正行之有效的安全的計算機網(wǎng)絡，僅使用防火墻還是不夠，在實際的應用中，防火墻常與其它安全措施，比如加密技術、防病毒技術等綜合應用，才起到防御的最大化的效果。防火墻的應用個人防火墻的應用瑞星個人防火墻的應用1）安裝

第一步啟動安裝程序。

當把瑞星個人防火墻下載版安裝程序保存到您電腦中的指定目錄后，找到該目錄，雙擊運行安裝程序，就可以進行瑞星個人防火墻下載版的安裝了。

第二步完成安裝后，如圖3.1：圖3.1第三步輸入產(chǎn)品序列號和用戶ID。

啟動個人防火墻，當出現(xiàn)如圖3.2下所示的窗口后，在相應位置輸入您購買獲得的產(chǎn)品序列號和用戶ID，點擊“確定”，通過驗證后則會提示“您的瑞星個人防火墻現(xiàn)在可以正常使用”。圖3.2常見問題：不輸入產(chǎn)品序列號和用戶ID，產(chǎn)品將無法升級，防火墻保護功能將全部失效，您的計算機將無法抵御黑客攻擊。2）升級

第一步網(wǎng)絡配置：?打開防火墻主程序?在菜單中依次選擇【設置】/【設置網(wǎng)絡】，打開【網(wǎng)絡設置】窗口,如圖3.3圖3.31。設定網(wǎng)絡連接方式，如果設定“通過代理服務器訪問網(wǎng)絡”，還需要輸入代理服務器IP、端口、身份驗證信息。2。您可以選中【使用安全升級模式】，確保升級期間阻止新的網(wǎng)絡連接3。點擊【確定】按鈕完成設置小提示：

1。如果您已經(jīng)可以瀏覽網(wǎng)頁，說明網(wǎng)絡設置已經(jīng)配置好了，這里直接使用默認設置即可。

2。如果您不使用撥號方式上網(wǎng)，將不會看到界面中【使用撥號網(wǎng)絡連接】的選項以及相關設置。

3。請確保此步設置正確，否則可能無法完成智能升級。

第二步：智能升級

完成網(wǎng)絡配置后，進行智能升級的操作方法：

方法一：點擊主界面右側的【智能升級】按鈕，圖3.4示:

圖3.4方法二：在菜單中依次選擇【操作】/【智能升級】方法三：右鍵點擊防火墻托盤圖標，在彈出菜單中選擇【啟動智能升級】3)啟動瑞星個人防火墻下載版程序啟動瑞星個人防火墻軟件主程序有三種方法：方法一：進入【開始】/【所有程序】/【瑞星個人防火墻】，選擇【瑞星個人防火墻】即可啟動。方法二：用鼠標雙擊桌面上的【瑞星個人防火墻】快捷圖標即可啟動。方法三：用鼠標單擊任務欄“快速啟動”上的【瑞星個人防火墻】快捷圖標即可啟動。

成功啟動程序后的界面如下圖3.5所示:圖3.5主要界面元素1、菜單欄：用于進行菜單操作的窗口，包括【操作】、【設置】、【幫助】三個菜單。如圖3.6示:圖3.62、操作按鈕：位于主界面右側，包括【啟動/停止保護】、【連接/斷開網(wǎng)絡】、【智能升級】、【查看日志】。如圖3。7示:

圖3.7功能：停止防火墻的保護功能，執(zhí)行此功能后，您計算機將不再受瑞星防火墻的保護已處于停止保護狀態(tài)時，此按鈕將變?yōu)椤締⒂帽Ｗo】；點擊將重新啟用防火墻的保護功能，您也可以通過菜單項【操作】/【停止保護】來執(zhí)行此功能；將您的計算機完全與網(wǎng)絡斷開，就如同拔掉網(wǎng)線或是關掉Modem一樣。其他人都不能訪問您的計算機，但是您也不能再訪問網(wǎng)絡。這是在遇到頻繁攻擊時最為有效的應對方法；已經(jīng)斷開網(wǎng)絡后，此項將變?yōu)椤具B接網(wǎng)絡】，點擊將恢復網(wǎng)絡連接；您也可以通過菜單項【操作】/【斷開網(wǎng)絡】來執(zhí)行此功能；啟動智能升級程序?qū)Ψ阑饓M行升級更新；您也可以通過菜單項【操作】/【智能升級】來執(zhí)行此功能；啟動日志顯示程序；您也可能通過【操作】/【顯示日志】來執(zhí)行此功能。3、標簽頁：位于主界面上部，分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護】、【安全資訊】、【漏洞掃描】、【啟動選項】六個標簽。如圖3。8示:

圖3。84、安全級別：位于主界面右下角，拖動滑塊到對應的安全級別，修改立即生效。5、當前版本及更新日期：位于主界面右上角，顯示防火墻當前版本及更新日期。6、規(guī)則設置配置防火墻的過濾規(guī)則（如圖3。9），包括：黑名單：在黑名單中的計算機禁止與本機通訊白名單：在白名單中的計算機對本地具有完全的訪問權限端口開關：允許或禁止端口中的通訊，可簡單開關本機與遠程的端口可信區(qū)：通過可信區(qū)的設置，可以把局域網(wǎng)和互聯(lián)網(wǎng)區(qū)分對待IP規(guī)則：在IP層過濾的規(guī)則訪問規(guī)則：本機中訪問網(wǎng)絡的程序的過濾規(guī)則圖3。9防火墻技術在校園網(wǎng)中應用安裝防火墻防火墻技術在校園網(wǎng)安全建設中得到廣泛的應用。由于防火墻是一種按某種規(guī)則對專網(wǎng)和互聯(lián)網(wǎng),或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進行有條件的控制(包括隔離),從而阻斷不希望發(fā)生的網(wǎng)絡間通信的系統(tǒng)部署防火墻技術[10],構筑內(nèi)外網(wǎng)之間的安全屏障,可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來,保護校園網(wǎng)絡不受未經(jīng)授權的第三方侵入。校園網(wǎng)防火墻系統(tǒng)的配置假定校園網(wǎng)通過Cisco路由器與INTERNET相連。校園內(nèi)的IP地址范圍是確定的,且有明確的閉和邊界,它有一個C類的IP地址,有DNS、Email、WWW、FTP等服務器,可采用以下存取控制策略。1)對進入CERNET主干網(wǎng)的存取控制2)對網(wǎng)絡中心資源主機的訪問控制,網(wǎng)絡中心的DNS、Email、FTP、WWW等服務器是重要的資源,要特別的保護,可對網(wǎng)絡中心所在子