【正文】 計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 11 擊行為能及時(shí)報(bào)警或采取相應(yīng)的防護(hù)手段。 (4)當(dāng)內(nèi)部網(wǎng)中存在后門(mén)時(shí)，將會(huì)使防火墻形同虛設(shè)。這是一種安全性高于一切的策略，其代價(jià)是網(wǎng)絡(luò)的方便性受到限制，網(wǎng)絡(luò)的應(yīng)用范圍和效率會(huì)降低在這個(gè)策略下，會(huì)有很多安全的信息和用戶被拒之門(mén)外。但是，由于該網(wǎng)關(guān)是工作在會(huì)話層的，故無(wú)法檢查應(yīng)用層級(jí)的數(shù)據(jù)包。 應(yīng)用級(jí)網(wǎng)關(guān)防火墻主要工作在應(yīng)用層，應(yīng)用 代理服務(wù)技術(shù)能將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段，使得網(wǎng)絡(luò)內(nèi)部的客戶不直接與外部的服務(wù)器通信。 (2)只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻 防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。拒絕訪問(wèn)攻擊也能用普通的Inter 協(xié)議實(shí) 現(xiàn)，像 TCP 和 ICMP 漏洞等，通過(guò)系統(tǒng)的缺陷發(fā)起攻擊。 “ IP 欺騙”發(fā)起攻擊 IP 欺騙攻擊發(fā)生在這樣一種情況下。 由于一些學(xué)生對(duì)網(wǎng)絡(luò)知識(shí)很感興趣 ， 并且具有相當(dāng)高的專(zhuān)業(yè)知識(shí)水平 ， 為了表現(xiàn)他們的才華 ， 實(shí)踐自己所學(xué)知識(shí) ， 充當(dāng)黑客入侵 ，通常利用端口監(jiān)聽(tīng) 、 端口掃描 、 口令入侵 、 JAVA 炸彈等手法 ， 對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 6 行非授權(quán)訪問(wèn) ， 對(duì)校園網(wǎng)實(shí)施攻擊 。 對(duì)這些行為如不及時(shí)加以控制 ， 就有可能造成主機(jī)系統(tǒng)的癱瘓或者崩潰 ， 給教學(xué)和管理工作帶來(lái)不良后果及損失 。 具體來(lái)說(shuō) ， 危害校園網(wǎng)絡(luò)安全的主要威脅有 [16]： 目前 ， 廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要有 UNIX、 WINDOWS 和 Linux 等 ， 這些操作系統(tǒng)都存在各種各樣的安全問(wèn)題 ， 許多計(jì)算機(jī)病毒和黑客便是利用操作系統(tǒng)的這些安全隱患和漏洞 ， 通過(guò)減慢系統(tǒng)的響應(yīng)時(shí)間等手段干擾系統(tǒng)正常運(yùn)行 ，對(duì)校園網(wǎng)進(jìn)行攻擊 。 校園網(wǎng)拓?fù)鋱D如 21 示： 精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 4 圖 21 校園網(wǎng)拓?fù)鋱D 校園網(wǎng)絡(luò) 存在的問(wèn)題 校園在 建設(shè)中面臨的問(wèn)題有如下幾個(gè)方面 [8]： 網(wǎng)絡(luò)管理維護(hù)的困難 。這樣就可以在 不必大幅增加運(yùn)行成本的基礎(chǔ)上大大提高校園網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)水平和網(wǎng)絡(luò)管理水平。 入侵檢測(cè)位于防火墻的后端，先由防火墻做基本的過(guò)濾 ,，再由入侵檢測(cè)系統(tǒng)做細(xì)致的檢測(cè)。 所以說(shuō)作為開(kāi)放網(wǎng)絡(luò)的組成部分，校園網(wǎng)的安全問(wèn)題是不容忽視的。 具體到教學(xué)范疇 ，隨著校園網(wǎng)的建設(shè)和普及，教與學(xué)不可避免的與 Inter產(chǎn)生越發(fā)密切的聯(lián)系，師生通過(guò)網(wǎng)絡(luò)進(jìn)行網(wǎng)上教學(xué)、網(wǎng)上交流、網(wǎng)上專(zhuān)題討論、網(wǎng)絡(luò)檢索所需信息以及收發(fā)電子郵件等活動(dòng)。 如同事物發(fā)展的必然規(guī)律， Inter的普及應(yīng)用在給人類(lèi)帶來(lái)無(wú)窮便利和無(wú)限可能的同時(shí)，同樣也會(huì)產(chǎn)生各種各樣的問(wèn)題和矛盾。 本論文提出一種將入侵檢測(cè)與防火墻結(jié)合起來(lái)互動(dòng)運(yùn)行在校園網(wǎng)站中的理念，將入侵檢測(cè)作為防火墻的一個(gè)有益的補(bǔ)充，防火墻便可通過(guò)入侵檢測(cè)及時(shí)發(fā)現(xiàn)其策略之外的攻擊行為， IDS 也可以通過(guò)防火墻對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊行為進(jìn)行阻斷。 精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 I 摘 要 隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)的安全問(wèn)題變得日趨重要，對(duì)網(wǎng)絡(luò)安全理論和防護(hù)技術(shù)的研究也需不斷創(chuàng)新與提高。 intrusion detection systems。 具體來(lái)說(shuō)，由于網(wǎng)絡(luò)協(xié)議本身 在設(shè)計(jì)和實(shí)現(xiàn)上的一些不完善因素，隨之而來(lái)的 Inter入侵事件也就層出不窮。 研究意義 校園網(wǎng)的主要服務(wù)對(duì)象是學(xué)生。 而目前學(xué)校里更多應(yīng)用的安全設(shè)備都屬于被動(dòng)防御措施。如果能使入侵檢測(cè)系統(tǒng)檢測(cè)出的新入侵，生成臨時(shí)的檢測(cè)過(guò)濾規(guī)則并通過(guò)某種渠道，使入侵檢測(cè)系統(tǒng)能夠?qū)⑿律傻倪^(guò)濾規(guī)則精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 3 通知防火墻，便可以達(dá)到讓防火墻及時(shí)攔截入侵信息的效果。學(xué)院建有校園網(wǎng)、無(wú)線廣播系統(tǒng)、閉路電視系統(tǒng)、電視演播室、廣播站、實(shí)習(xí)工廠、多媒體教室、語(yǔ)音室。 網(wǎng)絡(luò)業(yè)務(wù)容量及資源調(diào)配的困難 如何有效合理對(duì)教育網(wǎng)絡(luò)帶寬的調(diào)度和分配 ， 滿足教育網(wǎng)絡(luò)多媒體教學(xué)和遠(yuǎn)程教學(xué) 、 圖書(shū)館訪問(wèn)系統(tǒng) 、 視頻會(huì)議 、 ePhone等等應(yīng)用 。 是一種人為制造的 ， 寄生于計(jì)算機(jī)應(yīng)用程序或操作系統(tǒng)中的可執(zhí)行部分 。 隨著網(wǎng)絡(luò)范圍的不斷擴(kuò)大 ， 應(yīng)用水平的不斷加深 ， 師生都可以通過(guò)校園網(wǎng)絡(luò)使用自己的電腦上聯(lián)入 Inter,越來(lái)越多的人進(jìn)入到了 Inter 這個(gè)大家庭 ， 目前 ， Inter 上各種信息 良莠 不齊 ， 有關(guān)色情 、 暴力 、 邪教內(nèi)容的網(wǎng)站泛濫 ， 其中有些不良信息違反人類(lèi)的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī) ， 對(duì)于正處在個(gè)體人生觀和世界觀形成期的大學(xué)生來(lái)說(shuō)具有極大的潛在危害 。 除此之外 ， Inter 上的非法內(nèi)容也形成了對(duì)網(wǎng)絡(luò)的另一大威脅 。 3.“破解密碼”來(lái)實(shí)施攻擊 破解密碼，如何破解電報(bào)信息一樣，并不容易但是有技巧，比如早年，一些精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 7 所謂的“密碼詞典”等程序，他們就通過(guò)這一方法，利用最為原始，看似又更為有效的破解方式，來(lái)試圖強(qiáng)行計(jì)算原創(chuàng)計(jì)算機(jī)登錄密碼，特別是當(dāng)反復(fù)試探，甚至上千、上萬(wàn)次試驗(yàn)后，真的出現(xiàn)破解到密碼的情況，那么便會(huì)在用戶尚未察覺(jué)，防火墻又無(wú)法發(fā)揮效果的情況下，立即登錄計(jì)算機(jī)， 并創(chuàng)建管理員賬戶，同時(shí)快速植入后門(mén)程序等，而即使用戶發(fā)現(xiàn)了這一情況，程序已然植入到系統(tǒng)當(dāng)中，竊密禍根便從此種下。而盡管現(xiàn)在包括微軟等對(duì)軟件程序、硬件驅(qū)動(dòng)程序都進(jìn)行了認(rèn)證處理，但由于目前技術(shù)方面仍然存在弱點(diǎn)，導(dǎo)致仍會(huì)有大量黑客通過(guò)此方法對(duì)系統(tǒng)進(jìn)行攻擊，而且大多會(huì)取得成功。 防火墻的常見(jiàn)類(lèi)型 根據(jù)防范的方式和側(cè)重點(diǎn)的不同，防火墻可以分為以下幾種類(lèi)型： 1. 包過(guò)濾型防火 墻 包過(guò)濾型防火墻又稱(chēng)網(wǎng)絡(luò)級(jí)防火墻，它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，根據(jù)源地址和目的地址、應(yīng)用或協(xié)議以及每個(gè) IP 包的端口來(lái)做出通過(guò)與否的判斷。 常用的應(yīng)用級(jí)防火墻已有了相應(yīng)的代理服務(wù)器，如 HTTP、 FTP、 Tel、XWindows 等，但對(duì)于新開(kāi)發(fā)的應(yīng)用，尚沒(méi)有相應(yīng)的代理服務(wù)器，他們只有通過(guò)網(wǎng)絡(luò)級(jí)防火墻和一般 的代理服務(wù)（如 sock 代理）。 目前市場(chǎng)上流行的防火墻大多屬于規(guī)則檢查防火墻，如 OnTechnology 公司生產(chǎn)的 OnGuard 和 CheckPoint 公司生產(chǎn)的 FireWall1 防火墻，該種防火墻的優(yōu)點(diǎn)在于對(duì)用戶透明，在 OSI 最高層上加密數(shù)據(jù)，不需要用戶去修改客戶端的程序，也不需對(duì)每個(gè)在防火墻上運(yùn)行的服務(wù)器額外增加一個(gè)代理 [5]。在此策略下，網(wǎng)絡(luò)的靈活性得到完整地保留，但是有可能漏過(guò)的信息太多，使安全風(fēng)險(xiǎn)加大，并且網(wǎng)絡(luò)管理者往往疲于奔命，工作量增大。 (7)防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊。 一個(gè)成功的入侵檢測(cè)系統(tǒng)，不僅可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)，還能給網(wǎng)絡(luò)安全策略的制訂提供依據(jù)。 （ 3）混合型 是基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的結(jié)合，它為前兩種方案提供了互補(bǔ)，還提供了入侵檢測(cè)的集中管理，采用這種技術(shù)能實(shí)現(xiàn)對(duì)入侵行為的全方位檢測(cè)。今后將使用更加智能化的方法與手段來(lái)進(jìn)行入侵 檢測(cè)，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法主要用于入侵特征的辨識(shí)與泛化。 防火墻不識(shí)別網(wǎng)絡(luò)流量 ， 只要是經(jīng)過(guò)合法通道的網(wǎng)絡(luò)攻擊 ， 防火墻就束手無(wú)策了 。 沒(méi)有入侵檢測(cè)系統(tǒng) ， 一些攻擊會(huì)利用防火墻的合法通道進(jìn)入網(wǎng)絡(luò) 。這樣入侵檢測(cè)系統(tǒng)就可以對(duì)數(shù)據(jù)報(bào)的協(xié)議、內(nèi)容作出詳細(xì)的分析。解決辦法是， 可以在入侵檢測(cè)系統(tǒng)或防火墻任何一方加入可信任主機(jī)列表，對(duì)于可信任主機(jī)不發(fā)送或者不阻斷其發(fā)出的包。 隨著人們對(duì)安全性的要求越來(lái)越高 ,立體防護(hù)、動(dòng)態(tài)防護(hù)己經(jīng)成為一種必然的趨勢(shì)。這種方式比較靈活，不影響防火墻和入侵檢測(cè)系統(tǒng)的性能。 防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間 (即校園內(nèi)部網(wǎng)絡(luò)和 Inter 之間 )的軟件或硬件設(shè)備的組合 ， 它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制 ， 通過(guò)強(qiáng)制實(shí)施統(tǒng)一的安全策略 ， 防止對(duì)重要信息資源的非法存取和訪問(wèn)以達(dá)到保護(hù)系統(tǒng)安全的目的 。 這正是入侵檢測(cè)系統(tǒng)的功能 ， 是我們應(yīng)付破壞企圖的一種方式 。 其優(yōu)點(diǎn)在于只需采集與攻擊行為相關(guān)的數(shù)據(jù)集 ， 使得系統(tǒng)負(fù)荷顯著減輕 ， 并且技術(shù)上 已 經(jīng)非常成熟 。 基本思路 在進(jìn)行模式匹配嘗試時(shí)， BM 算法采用從后向前匹配的方式，對(duì)模式的后綴進(jìn)行匹配，在完成一次嘗試后，利用兩個(gè)根據(jù)模式預(yù)處理好的移動(dòng)表壞字符移動(dòng)和好后綴移動(dòng)來(lái)嘗試未知后移，具體分析如下： 對(duì)于在位置 i 的嘗試，若前 mj1 次匹配均已完成，且 yi+j+lyi+j+2… yi+ml 與xj+lxj+2… xm1 相同，但在第 mj次比較時(shí)，模式中的字符 xj=b 與文本中的字符 yi+j=a不同，則有 yi+j+1yi+j+2… yi+m1 = xj+lxj+2… xm1=u 及 yi+j≠ xj， BM 算法按照下列方式進(jìn)行移動(dòng)。 配 置 之前 要導(dǎo) 入 數(shù) 字證 書(shū)。步驟如下： 1) 配置策略： 選擇“ ping of death”簽名事件，并將策略并下發(fā)到引擎，如圖 55所示： 精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 22 圖 55 RGIDS策略 編輯 2) 第二步 超大字節(jié) ICMP報(bào)文攻擊測(cè)試： ? 攻擊機(jī) ICMP報(bào)文，報(bào)文發(fā)送成功，如圖 56所示： 圖 56 ICMP報(bào)文發(fā)送成功顯示 ? 通過(guò) RGIDS控制臺(tái)“安全事件”組件，查看 IDS檢測(cè)的安全事件信息，“ ping of death”事件上報(bào)數(shù)量大概為 200多條，如圖 57所示： 精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 23 圖 57 RGIDS事件顯示 3) RGIDS聯(lián)動(dòng)文件修改 將 原有文件，如圖 58所示： 圖 58 文件拷貝路徑 4) 配置相應(yīng)參數(shù) ： 在 RGIDS控制臺(tái) “策略 ”配置界面，選擇 “響應(yīng)參數(shù)配置 —glohal settings”，在用戶指定響應(yīng)程序名稱(chēng)欄中添入 “ruijie”，如圖 59所示 ： 精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 24 圖 59響應(yīng)參數(shù)配置 5) 配置聯(lián)動(dòng)簽名的響應(yīng)方式： ? 進(jìn)入策略配置界面，選擇需要聯(lián)動(dòng)的簽名“ pingofdeath”，并在右側(cè)響應(yīng)方式中選擇“ DISPLAY”、“ LOGDB”、“ USER”三種響應(yīng)方式，如圖 510所示： 圖 510 響應(yīng)方式配置 ? 為攻擊簽名選擇響應(yīng)方式 ? 點(diǎn)擊“保存策略”按鈕，保存修改 ? 通過(guò)重啟 RGIDS應(yīng)用服務(wù)器管理器重啟“事件收集服務(wù)、安全事件響應(yīng)服務(wù) 、 IDS數(shù)據(jù)管理服務(wù)”，如圖 511所示： 精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 25 圖 511 重啟服務(wù) 6) 建立防火墻 SSH連接 ： ? 在 IDS控制臺(tái) PC上，使用 securecrt工具，建立名為 ruijie的 SSH連接，通過(guò)該連接可以 SSH登陸到 RGWALL防火墻，如圖 512所示： 圖 512 securecet連接配置 ? 通過(guò) “ ruijie” SSH連接登陸防火墻一次，登錄過(guò)程中要選擇保存證書(shū)、用戶名和密碼等信息，登陸成功后退出 securecrt程序 7) 發(fā)送 ICMP攻擊報(bào)文： 攻擊機(jī) ICMP報(bào)文失敗，如圖 513所示 ： 精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 26 圖 513 ICMP報(bào)文發(fā)送失敗 8) 查看防火墻狀態(tài) ： 查看防火墻規(guī)則表，防火墻寫(xiě)入規(guī)則阻斷了攻擊機(jī) 標(biāo)機(jī) ，如圖 514所示： 圖 514 防火墻阻斷規(guī)則表 驗(yàn)證實(shí)驗(yàn) 用攻擊機(jī) tel連接被攻擊機(jī) ，返回信息連接失敗，如圖 515所示： 精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 27 圖 515 tel連接失敗 證明攻擊機(jī) ， RGIDS與RGWALL防火墻聯(lián)動(dòng)成功 。 2) 研究了網(wǎng)絡(luò)攻擊的幾種類(lèi)型 ，以及防火墻與 IDS 的類(lèi)型和不足 。 ，防火墻與入侵檢測(cè)系統(tǒng)之間的交互更加智能。文中對(duì)防火墻與入侵檢測(cè)系統(tǒng)之間的協(xié)同聯(lián)動(dòng)保護(hù)網(wǎng)