【正文】 r 的傳播給上網(wǎng)用戶帶來極大的危害，病毒可以使計算機和計算機網(wǎng)絡系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失。④在計算機上存儲、傳輸和處理的電子信息，還沒有像傳統(tǒng)的郵件通信那樣進行信封3保護和簽字蓋章。⑥可靠性：對信息的來源進行判斷，判斷來自對方的信息是否可信、是否可靠。③真實性：信息不被惡意修改的特性。所以，建立網(wǎng)絡安全保護措施的目的是確保經(jīng)過網(wǎng)絡傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。網(wǎng)絡安全涉及的內容既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。通過限制與網(wǎng)絡或某一特定區(qū)域的通信，以達到防止非法用戶侵犯受保護網(wǎng)絡系統(tǒng)的目的。這些需求促使了防火墻技術的誕生[1]。而且信息安全的內涵也就發(fā)生了根本的變化。同時，介紹了 VPN 技術。其中，涉及到防火墻的體系結構，論述了防火墻的分類及其主要技術特征、優(yōu)缺點。由于 Inter 的開放性和超越組織與國界等特點，使它在安全性上存在一些隱患。政府上網(wǎng)工程的啟動和實施，電子商務(electronic merce)、電子貨幣(eletronic currency)、網(wǎng)上銀行等網(wǎng)絡新業(yè)務的興起和發(fā)展，使得網(wǎng)絡安全問題顯得日益重要和突出。換言之，防火墻是一道門檻，控制進出兩個方向的通信。從廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全所要研究的領域。由此可以將計算機網(wǎng)絡的安全理解為：通過采用技術和管理措施，使網(wǎng)絡系統(tǒng)正常運行，從而確保網(wǎng)絡數(shù)據(jù)的可用性、完整性和保密性。信息完整性是網(wǎng)絡信息安全的基本要求。⑤可控性：對信息的傳播及內容具有控制能力。③Inter 上的通信業(yè)務多數(shù)使用 Unix 操作系統(tǒng)來支持，Unix 操作系統(tǒng)中明顯存在的安全脆弱性問題會直接影響安全服務。使用電子郵件來傳輸重要機密信息會存在著很大的危險。下面我們就分別對這幾個方面進行闡述，并簡單介紹一些當今世界比較流行比較先進的技術或產(chǎn)品，以便加深對各種技術的印象。重要的政府、軍隊、金融機構在建設信息中心時都要考慮電磁信息泄漏問題。一般常用的是鏈路加密和端到端加密這兩種方式。防火墻技術采用防火墻等技術可以將內部網(wǎng)絡與外部網(wǎng)絡分開，對內部網(wǎng)絡進行保護。但是，僅僅利用防火墻還遠遠不夠，因為，入侵者可尋找可能敞開的后門，入侵者可能就在防火墻內。系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，為后續(xù)階段事故提供重要依據(jù)。網(wǎng)絡安全性檢測是對網(wǎng)絡安全性進行評估，通過實踐性掃描分析網(wǎng)絡系統(tǒng)，檢查系統(tǒng)存在的弱點和漏洞，提出補救措施和安全策略建議。②檢測病毒技術：通過對計算機病毒的特征來進行判斷的技術。備份不僅在網(wǎng)絡系統(tǒng)硬件故障或人為失誤時起到保護作用，而且，在入侵者非授權訪問，對數(shù)據(jù)完整性破壞時起到保護作用，同時也是系統(tǒng)災難恢復的前提之一。國際標準化組織 ISO 在網(wǎng)絡安全標準（ISO74982）中定義的五個層次型安全服務中，訪問控制是其中一個重要組成部分。根據(jù)安全策略的要求，訪問控制對每個資源請求做出許可或限制訪問的判斷，可以有效地防止非法用戶訪問系統(tǒng)資源和合法用戶非法使用資源。6自主訪問控制和強制訪問控制，都是由主體和訪問權限直接發(fā)生關系，主要針對用戶個人授予權限。其定義為：在信任網(wǎng)絡與非信任網(wǎng)絡之間，通過預定義的安全策略，對內外網(wǎng)通信強制實施訪問控制的安全應用設備。從傳統(tǒng)意義上來講，防火墻處于網(wǎng)絡安全體系中的最底層，屬于網(wǎng)絡層安全技術范疇。 （二） 、防火墻的體系結構目前，防火墻的體系結構一般有以下幾種：雙宿主主機體系結構、屏蔽主機體系結構和屏蔽子網(wǎng)體系結構。然而雙宿主主機的防火墻體系結構禁止這種發(fā)送。如圖 1： 圖 1 雙宿主主機體系結構雙宿主主機的缺點是，一旦入侵者侵入堡壘主機并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內部網(wǎng)。屏蔽主機體系結構雙宿主主機體系結構防火墻沒有使用路由器。因此，入侵者在破壞內部網(wǎng)絡的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。因此堡壘主機要保持更高等級的主機安全。③用戶可以針對不同的服務混合使用這些手段。然而，與其他體系結構相比，也存在一些缺點：①如果侵襲者不能侵入堡壘主機，而且在堡壘主機和其余的內部主機之間不存在任何保護網(wǎng)絡安全的措施，此時路由器同樣出現(xiàn)一個單點失效。一個位于周邊網(wǎng)與內部網(wǎng)絡之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡（通常稱為 Inter）之間。如圖 3：9 圖 3 屏蔽子網(wǎng)體系結構（三） 、防火墻的分類根據(jù)防火墻所采用的技術不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡地址轉換NAT、代理型和監(jiān)測型。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。有經(jīng)驗10的黑客很容易偽造 IP 地址,騙過包過濾型防火墻。圖 5NAT 的工作過程是：在內部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。由于外部系統(tǒng)與內部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內部網(wǎng)絡系統(tǒng)。監(jiān)測型防火墻能夠對各層的數(shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監(jiān)測型防火墻技術的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻。NetScreen50 是面向大企業(yè)分支辦事處和遠程辦事處、以及集成安全產(chǎn)品。（一） 、VPN 技術簡介VPN（Virtual Private Network）是指利用密碼技術和訪問控制技術在公共網(wǎng)絡（如Inter）中建立的專用通信網(wǎng)絡。 隧道技術隧道技術的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)(可以是 ISO 七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡層數(shù)據(jù))作為負載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負載。各協(xié)議工作在不同層次，無所謂誰更有優(yōu)勢。①認證技術防止數(shù)據(jù)的偽造和被篡改，它采用一種稱為“摘要”的技術。②IPSec 通過 ISAKMP/IKE/Oakley 協(xié)商確定幾種可選的數(shù)據(jù)加密算法，如 DES 、3DES 等。國內算法不對外公開，被破解的可能性極小。密鑰交換協(xié)議采用軟件方式動態(tài)生成密鑰，適合于復雜網(wǎng)絡的情況且13密鑰可快速更新，可以顯著提高 VPN 的安全性。上圖中的第一步為配置通道類型，第二步為配置端口的 IP 地址（這里所指的是一端口） ，第三步為配置管理 IP，第四步保存，第五步重啟防火墻使用設置生效。F、Other Services：建議選擇 PING，方便測試網(wǎng)絡的連通情況。⑤定義策略（參照圖 12）點擊菜單中 Policies，選擇 From：Trust ，To：Untrust 點擊右邊的 NEW 按鈕，出現(xiàn)上圖所示內容。②定義用戶組（參照圖 14） 點擊菜單中 ObjcctsUser GroupsLocal，點擊右邊的 NEW 按鈕，出現(xiàn)上圖所示內容。 圖 14 ③為用戶組定義用戶（參照圖 15）18 圖 15點擊菜單中 ObjcctsUserLocal，點擊右邊的 NEW 按鈕，出現(xiàn)上圖所示內容。 ④定義網(wǎng)關和預共享密鑰（參照圖 16） 圖 16點擊菜單中 VPNsAutokey AdvancedGateway，點擊右邊的 NEW 按鈕，出現(xiàn)上圖所19示內容。shhg202239。部門名稱＿vpn39。 G、點擊 Advanced 按鈕出現(xiàn)以下畫面（圖 22） ，修改劃線部份；H、選取 Logging 和 Counting 打監(jiān)控； I、點擊 Return 返回，點擊 OK 按鈕保存。 ⑤Authentication(Phase 1)(參照圖 28) 圖 28 A、單擊位于“Security Policy”圖標左邊的加號“+”，然后單擊“Authentication”(Phase 1) 左邊的加號“+” ，點擊圖標 Proposal 1； B、Authentication Method：PreShared Key（選擇） ； C、Encrypt Alg：Triple DES（選擇） ； D、Hash Alg： SHA1（選擇） ； E、Key Group：DiffieHellman Group 2（選擇） ； 26⑥連接 VPN 通道 (參照圖 29) 圖 29 A、單擊位于“Security Policy”圖標左邊的加號“+”，然后單擊“Key Exchange”(Phase 2) 左邊的加號“+” ，點擊圖標 Proposal 1； B、Encapsulation Protocol（選擇） ； C、Encrypt Alg：Triple DES（選擇） ； D、Hash Alg： SHA1（選擇） ； E、Encapsulation: Tunnel（選擇） ； VPN 客戶端的使用方法①新建撥號連接，僅以 Windows2022 為例A、右鍵點擊桌面上的網(wǎng)上鄰居圖標，點擊其屬性；B、在出現(xiàn)的頁面中雙擊新建連接，選擇“ 拔號到 Inter”然后單擊下一步； C、選擇“手動設置 Inter 連接或通過局域網(wǎng)（LAN）連接” 然后單擊下一步； D、選擇“通過電話線和調制解調器連接”然后單擊下一步； E、選擇“調制解調器的型號，這取決于你的計算機” 然后單擊下一步； F、鍵入電話號碼 16300，然后單擊下一步； G、鍵入用戶名和密碼，然后單擊下一步； H、鍵入一個連接名稱，然后單擊下一步； I、 選擇“否”然后單擊下一步；J、單擊完成按鈕。進行此操作后你可能無法正常瀏覽公網(wǎng)網(wǎng)頁，但可將上圖中首選 DNS 服務器填寫成：，用戶可以根據(jù)需要進行設置。保存配置文件的用途：當進行固件版本升級時可用該文件恢復配置。優(yōu)良的性能　　新一代防火墻系統(tǒng)不僅應該能更好地保護防火墻后面內部網(wǎng)絡的安全，而且應該具有更為優(yōu)良的整體性能。現(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持 NAT 功能，它可以讓受防火墻保護的一邊的 IP 地址不至于暴露在沒有保護的另一邊，但啟用 NAT 后，勢必會對防火墻系統(tǒng)性能有所影響，目前如何盡量減少這種影響也成為防火墻產(chǎn)品的賣點之一?！　? 、可擴展的結構和功能 　　對于一個好的防火墻系統(tǒng)而言，它的規(guī)模和功能應該能適應內部網(wǎng)絡的規(guī)模和安全策30略的變化?！　∥磥淼姆阑饓ο到y(tǒng)應是一個可隨意伸縮的模塊化解決方案，從最為基本的包過濾器到帶加密功能的 VPN 型包過濾器，直至一個獨立的應用網(wǎng)關，使用戶有充分的余地構建自己所需要的防火墻體系。實踐證明，許多防火墻產(chǎn)品并未起到預期作用的一個不容忽視的原因在于配置和實現(xiàn)上的錯誤。盡管基于 NT 的防火墻通常落后于基于 Unix 的防火墻，但 NT 平臺的簡單性以及它方便的可用性大大推動了基于 NT 的防火墻的銷售。例如，許多防火墻具有內置病毒和內容掃描功能或允許用戶將病毒與內容掃描程序進行集成。在拒絕服務攻擊中，攻擊者試圖使企業(yè)Inter 服務器飽和或使與它連接的系統(tǒng)崩潰，使 Inter 無法供企業(yè)使用。像“SYN 泛濫”這類更復雜的拒絕服務攻擊需要廠商部署31更先進的檢測和避免方案來對付?？偨Y：隨著信息技術越來越融入我們的日常生活，我們的信息交換越來越頻繁。簡要的闡述了網(wǎng)絡技術是如何實現(xiàn)對信息的安全保障的。世界上沒有絕對的安全，但我們想盡可能的把損失降到最低。不過，雖然對象不同，工作原理不同，但它們有一個共同的目的——實現(xiàn)信息的安全。同時，介紹了 VPN 技術。網(wǎng)絡安全技術是一個很廣的范疇，這里只是大概講述了一些網(wǎng)絡安全的知識，在準備論文期間，我收集了很多與論文相關的網(wǎng)上資