【正文】 絡(luò)系統(tǒng)安全機(jī)制及其設(shè)計(jì)進(jìn)行分析研究，為更好的滿足網(wǎng)絡(luò)安全保護(hù)要求，還需要對(duì)以下問(wèn)題作進(jìn)一步的研究和探討。而此時(shí)，作為網(wǎng)絡(luò)防御的第二道防線，入侵檢測(cè)技術(shù)從初出茅廬到大顯身手，也已經(jīng)讓人們無(wú)法忽視它的存在，但是自身防御能力弱的缺點(diǎn)卻始終無(wú)法很好的解決。 2.、允許內(nèi)部上網(wǎng)，需要配置一個(gè) NAT（地址轉(zhuǎn)換） (1)首先定義內(nèi)網(wǎng)對(duì)象如圖 53 所示： 圖 53 定義內(nèi)網(wǎng)對(duì)象 (2)設(shè)置防火墻策略如圖 54 所示： 精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 21 圖 54 配置防火墻策略 這樣內(nèi)網(wǎng)就可以訪問(wèn) Inter 了。 精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 19 5 聯(lián)動(dòng) 技術(shù)在校園網(wǎng)中的實(shí)現(xiàn) 防火墻在 IOS網(wǎng)絡(luò)模型中對(duì) 7層數(shù)據(jù)流量進(jìn)行處 理，不具備深入檢測(cè)的功能， IDS產(chǎn)品只能單純的檢測(cè)不具備防備功能。 1970 年 ， Cook 從理論 上 證明了一維模式匹配問(wèn)題可以在 O(m+n)時(shí)間內(nèi)解決 (m和 n分別為模式和正文的長(zhǎng)度 )， 為模式匹配算法的發(fā)展奠定了堅(jiān)實(shí)的理論基礎(chǔ) ； Knuth、 Pratt 和 Morris 仿照 Cook 的證明設(shè)計(jì)了 KMP 算法 ； Boyer 和 Moore 設(shè)計(jì)了 BM算法 ； Karp 和 Rabin構(gòu)造了 KR 算法和隨機(jī)算法 ； Vishkin 設(shè)計(jì)了決定性抽樣算法 。 這樣就可以大大提高整個(gè)防御系統(tǒng)的性能 。 通過(guò)多級(jí) 、 分布式的網(wǎng)絡(luò)監(jiān)督 、 管理 、 控制機(jī)制 ， 全面體現(xiàn) 了管理層對(duì)校園網(wǎng)關(guān)鍵資源的全局控制 、 把握和調(diào)度能力 。 主要是由于選擇的技術(shù)都是較為成熟 ， 而且技術(shù)實(shí)現(xiàn)難度不大 ， 因?yàn)橄到y(tǒng)越復(fù)雜其自身的安全問(wèn)題就難以解決 ， 這樣在系統(tǒng)的實(shí)際開(kāi)發(fā)過(guò)程中可以降低實(shí)現(xiàn)的復(fù)雜程度 ， 縮短開(kāi)發(fā)時(shí)間 ， 使完成的系統(tǒng)不失其完整性和穩(wěn)定性 。這樣實(shí)際上是把兩個(gè)安全產(chǎn)品合成到一起。入侵檢測(cè)系統(tǒng)和防火墻之間通訊要認(rèn)證、加密。 、協(xié)議、端口號(hào)進(jìn)行檢查；而入侵檢測(cè)系統(tǒng)則是對(duì)數(shù)據(jù)報(bào)的內(nèi)容進(jìn)行檢查。 如果將二者緊密地結(jié)合起來(lái)聯(lián)動(dòng)運(yùn)行 ， 防火墻便可以通過(guò)入侵檢測(cè)系統(tǒng)及時(shí)發(fā)現(xiàn)其策略之外的攻擊行為 ； 同時(shí) ， 入侵檢測(cè)系統(tǒng)也可以通過(guò)防火墻來(lái)阻隔來(lái)自外部網(wǎng)絡(luò)的攻 擊行為。 同時(shí) ， 入侵檢測(cè)系統(tǒng)對(duì)攻擊的抵抗控制力也很弱 ，對(duì)攻擊源一般只有兩種處理方式 ： 一種是發(fā)送 RST 包復(fù)位連接 ； 另一種是發(fā)送回應(yīng)包 “ Host Unreachable” 欺騙攻擊源 ， 這兩種方式都不可避免地增加了網(wǎng)絡(luò)的流 量 、 甚至擁塞網(wǎng)絡(luò) 。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防 火墻、病毒防護(hù)、入侵檢測(cè)多方位對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估，然后提出可行的全面解決方案。誤用檢測(cè)可以直接識(shí)別攻擊，誤報(bào)率低，缺點(diǎn)是只能檢測(cè)已定義精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 12 的攻擊方法，對(duì)新的攻擊方法無(wú)能為力，必須及時(shí)更新模式庫(kù) [6]。 入侵檢測(cè)系統(tǒng)的 類型 根據(jù)數(shù)據(jù)來(lái)源和系統(tǒng)結(jié)構(gòu)的不同，入侵檢測(cè)系統(tǒng)可以分為基于主機(jī)、基于網(wǎng)絡(luò)和混合性入侵檢測(cè)系統(tǒng)三類： (1) 基于主機(jī)的入侵檢測(cè)（ HID， Hostbased Intrusion Detection） 通常在被重點(diǎn)檢測(cè)的主機(jī)上運(yùn)行一個(gè)代理程序，用于監(jiān)視、檢測(cè)對(duì)于主機(jī)的攻擊行為 (如可疑的網(wǎng)絡(luò)連接、系統(tǒng)日志檢查、非法訪問(wèn)等 )，通知用戶并進(jìn)行響應(yīng)。 入侵檢測(cè)系統(tǒng) IDS（ Intrusion Detection System） [6]主要是通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中潛在的違反安全策略的行為和被攻擊的跡象。 (3)當(dāng)使用端到端的加密時(shí)，防火墻的作用會(huì)受到很大的限制。防火墻先是封鎖所有的信息流，然后對(duì)要求通過(guò)的信息進(jìn)行審查，符合條件的就讓通過(guò)。此外，電路級(jí)網(wǎng)關(guān)還提供“代理服務(wù)器”的安全功能。 包過(guò)濾防火墻邏輯簡(jiǎn)單、速度快、價(jià)格便宜，且網(wǎng)絡(luò)性能和透明性好，但因?yàn)樗粰z查地址和端口，對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無(wú)理解能力，所以無(wú)法攔截具有 IP 欺騙性質(zhì)等的數(shù)據(jù)包，對(duì)網(wǎng)絡(luò)的保護(hù)很有限。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 8 部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。特別是當(dāng)其涉及到特殊的網(wǎng)絡(luò)服務(wù)應(yīng)用，像 HTTP 或 FTP 服務(wù)，攻擊者能夠獲得并保持所有服務(wù)器支持的有用連接，有效的把服務(wù)器或服務(wù)的真正使用者關(guān)在外面。其中主要有： 很多攻擊我們?cè)谌粘６加薪佑|，最為簡(jiǎn)單的，比如早期通過(guò)“ Ping”命令來(lái)執(zhí)行攻擊，方法用了早期的階段，路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)對(duì) TCP/IP 棧的實(shí)現(xiàn)在 ICMP 包上都是規(guī)定 63KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)的情況，利用內(nèi)存分配錯(cuò)誤的漏洞點(diǎn)，來(lái)發(fā)動(dòng)攻擊，不過(guò)這一攻擊方法，顯然現(xiàn)在已很少有人使用，畢竟目前最為簡(jiǎn)單的防火墻軟件，恐怕也都可以對(duì)這類攻擊做出攔截。 由于信息點(diǎn)的增加及分散 ， 使得網(wǎng)絡(luò)監(jiān)管困難重重 。 一些人因?yàn)楹闷?心 、 功利心或者帶有惡意的心理動(dòng)機(jī) ， 便利用網(wǎng)絡(luò)設(shè)備 、 網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的安全漏洞以及管理上的疏漏 ， 使用各種非法手段訪問(wèn)資源 、刪改數(shù)據(jù) 、 破壞系統(tǒng) 。 與其它網(wǎng)絡(luò)一樣 ， 校園網(wǎng)面臨的安全問(wèn)題主要可分為對(duì)網(wǎng)絡(luò)中數(shù)據(jù)信息的危害和對(duì)網(wǎng)絡(luò)設(shè) 備的危害 。 防火墻主要采用銳捷 WALL60， VPN 設(shè)備接口為固化 7 個(gè) 10/100BaseT 端口，包 括 4 個(gè)交換機(jī)端口，協(xié)議支持 L2TP VPN,GRE VPN,IPSec VPN， NAT，支持多種NAT ALG，包括 DNS， FTP， ， ILS,MSN,NBP， PPTP,SIP，其他功能包括擴(kuò)展的狀態(tài)檢測(cè)功能，防范入侵及其它（如 URL 過(guò)濾、 HTTP 透明代理、 SMTP 代理、分離 DNS、 NAT 功能和審計(jì) /報(bào)告等附加功能）。結(jié)合校園網(wǎng)的建設(shè)和管理，提出在校園網(wǎng)中將防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)起來(lái)相互運(yùn)行的理念，將入侵檢測(cè)作為防火墻的一個(gè)有益的補(bǔ)充，防火墻便可以通過(guò)入侵檢測(cè)及時(shí)發(fā)現(xiàn)所遺漏的攻擊行為，入侵檢測(cè)也可以通過(guò)防火墻對(duì)來(lái)自網(wǎng)絡(luò)外部的攻擊行為進(jìn)行阻斷。 作為主動(dòng)防御措施的有效補(bǔ)充 ——入侵監(jiān)測(cè)系統(tǒng)是一種主動(dòng)防御手段，能夠主動(dòng)檢測(cè)網(wǎng)絡(luò)的易受攻擊點(diǎn)和安全漏洞，并且通常能夠先于人工探測(cè)到危險(xiǎn)行為，能夠?qū)崟r(shí)分析內(nèi)部網(wǎng)絡(luò)的通信信息，檢測(cè)出入侵行為或入侵企圖，在網(wǎng)絡(luò)系統(tǒng)受到危害前以各種方式發(fā)出報(bào)警，并且及時(shí)地對(duì)網(wǎng)絡(luò)入侵行為采取相應(yīng)的措施，最大限度的保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。 防護(hù)能力的薄弱會(huì)導(dǎo)致入侵成功率的增大，而任何成功的入侵 都有可能給校園網(wǎng)帶來(lái)不可預(yù)測(cè)的后果，輕則破壞、惡意修改主頁(yè)，重則清除數(shù)據(jù)庫(kù)，刪除重要文件，竊取科研和考試機(jī)密，甚至?xí)拐麄€(gè)校園網(wǎng)絡(luò)癱瘓，給學(xué)校的公眾形象、正常教學(xué)和行政工作造成不必要的麻煩和嚴(yán)重的后果。特別是近年來(lái)，通過(guò)計(jì)算機(jī)實(shí)施犯罪的案件數(shù)量急劇上升，如果對(duì)網(wǎng)絡(luò)安全問(wèn)題掉以輕心，互聯(lián)網(wǎng)絡(luò)就可能會(huì)讓用戶的正當(dāng)利益受到嚴(yán)重侵害，還可能帶來(lái)重大的經(jīng)濟(jì)損失，甚至對(duì)國(guó)家安全產(chǎn)生負(fù)面影響。 Inter的普及應(yīng)用，如同工業(yè)革命的到來(lái)一樣，又一次導(dǎo)致了人類社會(huì)發(fā)展方式的革 命，信息化時(shí)代已全面到來(lái)。 因此，如何綜合利用這兩種安全技術(shù)，構(gòu)建一個(gè)安全防護(hù)系統(tǒng)，己成為計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中的重要研究課題。目前防火墻和入侵檢測(cè)是最常用的兩種網(wǎng)絡(luò)安全技術(shù)，但在單獨(dú)使用時(shí)他們都存在者不足。 University work。隨著 Inter的發(fā)展，網(wǎng)絡(luò)與信息安全問(wèn)題日益突出。對(duì)于學(xué)生這個(gè)群體來(lái)說(shuō)，有著其顯著的生理特征和心理特點(diǎn)：年輕、好動(dòng)、極富想象力、充滿熱情并積極投入實(shí)踐，但同時(shí)精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 2 心智與是非觀念尚不成熟，人生觀和價(jià)值觀還沒(méi)有完全成形。 作為被動(dòng)防御措施的代表 ——防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間的軟件與硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過(guò)強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止外部非法用戶對(duì)重要信息資源的非法存取和訪問(wèn)，以達(dá)到保護(hù)系統(tǒng)安全的目的。 所以，如果讓防火墻與入侵檢測(cè)系統(tǒng)結(jié)合起來(lái)互動(dòng)運(yùn)行，入侵檢測(cè)系統(tǒng)就可以及時(shí)發(fā)現(xiàn)防火墻策略之外的入侵行為，防火墻則根據(jù)入侵檢測(cè)系統(tǒng)反饋的入侵信息來(lái)進(jìn)一步調(diào)整安全策略， 從而進(jìn)一步從源頭上阻隔入侵行為。 網(wǎng)絡(luò)設(shè)備產(chǎn)品類型包括路由器、防火墻、核心交換機(jī)、工作組交換機(jī)，以太網(wǎng)卡等，服務(wù)器主要為 turbolinux，工作站系統(tǒng)平臺(tái)有： WindowsXP/unix 等，可提供 DNS、 EMAIL、 WWW、和 FTP 等因特網(wǎng)服務(wù)。 網(wǎng)絡(luò)安全 、 統(tǒng)計(jì)等運(yùn)營(yíng)問(wèn)題 。 通過(guò)網(wǎng)絡(luò)傳播的病毒在傳播速度 、 破壞性和傳播范圍等方面都遠(yuǎn)遠(yuǎn)超過(guò)單機(jī)病毒 。 如果不采取相應(yīng)的防范措施 ，必然會(huì)對(duì)當(dāng)代大學(xué)生的身心健康成長(zhǎng)產(chǎn)生極為惡劣的影響 。 對(duì)校園網(wǎng)來(lái)說(shuō) ， 面對(duì)形形色色 、 良莠不分 的網(wǎng)絡(luò)資源 ， 如不具有識(shí)別和過(guò)濾作用 ， 不但會(huì)造成大量非法內(nèi)容或郵件出入 ， 占用大量流量資源 ， 造成流量堵塞 、 上網(wǎng)速度慢等問(wèn)題 ， 而且某些網(wǎng)站如娛樂(lè) 、 游戲 、 暴力 、 色情 、 反動(dòng)消息等不良網(wǎng)絡(luò)內(nèi)容 ，將極大地危害學(xué)生的身心健康 ， 導(dǎo)致無(wú)法想象的后果 。 4.“拒絕服務(wù)”欺騙式攻擊 和其他的攻擊方式不同，拒絕服務(wù)器是因?yàn)樗麄儾皇且垣@得網(wǎng)絡(luò)或網(wǎng)絡(luò)上信息的訪問(wèn)權(quán)為目的。 防火墻理論知識(shí) 防火墻的概 念 防火墻是目前最為流行也是使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)，在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過(guò)程中，防火墻作為第一道安全防線，受到越來(lái)越多用戶的關(guān)注。 在防火墻內(nèi)設(shè)置有過(guò)濾規(guī)則表，其中定義了多種規(guī)則來(lái)決定 是否允許數(shù)據(jù)包通過(guò)。 應(yīng)用級(jí)網(wǎng)關(guān)防火墻有較好的訪問(wèn)控制，是目前最安全的防火墻技術(shù)，其缺點(diǎn)精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 9 是執(zhí)行速度慢，操作系統(tǒng)容易受到攻擊，而且有的防火墻需要在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所使用的應(yīng)用程序，而一些應(yīng)用程序可能根本不支持代理連接。 防火墻的安全策略 安全策略是防火墻的重要組成部分，它決定了受保護(hù)網(wǎng)絡(luò)的安全性和易用性，一個(gè)合理可行的安全策略能夠在網(wǎng)絡(luò)安全需求及用戶易用性之間實(shí)現(xiàn)良好的平衡。 網(wǎng)絡(luò)是動(dòng)態(tài)發(fā)展的，制定的安全目標(biāo)也應(yīng)是動(dòng)態(tài)的，隨著網(wǎng)絡(luò)結(jié)構(gòu)或網(wǎng)絡(luò)應(yīng)用范圍的調(diào)整，防火墻的安全策略也應(yīng)隨之調(diào)整或改變。安全需求的發(fā)展 要求新的防火墻能夠綜合使用包過(guò)濾、代理等技術(shù)，加強(qiáng)綜合安全能力；也需要防火墻向網(wǎng)絡(luò)協(xié)議的上層發(fā)展，能從數(shù)據(jù)鏈路層一直到應(yīng)用層施加全方位的控制。它應(yīng)該管理配置簡(jiǎn)單，使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。 根據(jù)入侵檢測(cè)所采用的技術(shù)，可以分為異常檢測(cè)和誤用檢測(cè)兩類： (1)異常檢測(cè)（ Abnormal Detection） 指能夠根據(jù)異常行為和使用計(jì)算機(jī)資源的情況檢測(cè)出來(lái)的入侵。具有自學(xué)習(xí)能力的專家系統(tǒng)，實(shí)現(xiàn)了知識(shí)庫(kù)的不斷更新與擴(kuò)展，可使得設(shè)計(jì)的入侵檢測(cè)系統(tǒng)的防范能力不斷增強(qiáng)。 例如很多來(lái)自于 ActiveX 和 Java Applet 的惡意代碼 ， 通過(guò)合法的 web 訪問(wèn)通 道 ， 對(duì)計(jì)算機(jī)系統(tǒng)形成威脅 。 因此 ， 在防火墻和入侵檢測(cè)系統(tǒng)之間建立緊密的聯(lián)動(dòng)關(guān)系 ，以將兩者的能力充分發(fā)揮出來(lái) ， 相互彌補(bǔ)不足 、 互相提供保護(hù) 。 ，減少進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流量，從而減輕入侵檢測(cè)系統(tǒng)的數(shù)據(jù)報(bào)分析任務(wù)。 。入侵檢測(cè)系統(tǒng)隨著其技術(shù)的越來(lái)越成熟，也走入主流安全產(chǎn)品的行列，就像日常生活中隨處可見(jiàn)的監(jiān)視儀一樣，為捕獲、分析、取證各種危害行為提供有力的幫助。 當(dāng)防火墻和入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)時(shí) ， 所有的數(shù)據(jù)通信是通過(guò)認(rèn)證和加密來(lái)確保傳輸信息的可靠性和保密性 。 但我們也必須看到 ， 作為一種周邊安全機(jī)制 ， 防火墻無(wú)法控制內(nèi)部網(wǎng)絡(luò)中的行為 ， 也只能在應(yīng)用層或網(wǎng)絡(luò)層進(jìn)行訪問(wèn)控制 ， 無(wú)法對(duì)通信的內(nèi)容數(shù)據(jù)進(jìn)行監(jiān)控 ， 有些安全威 脅是防火墻無(wú)法防范的 ， 比如很容易通過(guò)協(xié)議隧道繞過(guò)防火墻 ，而且 ， 防火墻只是一種基于策略的被動(dòng)防御措施 ， 是一種粗顆粒的防御手段 ， 無(wú)法自動(dòng)調(diào)整策略設(shè)置來(lái)阻斷正在進(jìn)行的攻擊 ， 也無(wú)法防范基于協(xié)議的攻擊 。 入 侵檢測(cè)技術(shù)對(duì)于保證信息系統(tǒng)安全的作用是不言而喻的 。 采用模式匹配技術(shù)檢測(cè)已知網(wǎng)絡(luò)攻擊行為的準(zhǔn)確率和執(zhí)行效率非常高 ， 但其弱點(diǎn)在于需要不斷地升級(jí)規(guī)則庫(kù) ， 以檢測(cè)不斷出現(xiàn)的新的網(wǎng)絡(luò)攻擊方法 。 (1) 壞字符移動(dòng) 在 x0xlx2… xm2 中從后往前查找字符 yi+j 的第一個(gè)出現(xiàn)，如圖 42 所示： 精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 18 圖 42 壞字符移動(dòng)， x 包含 a 若 x 中不存在 yi+j，則顯然 x 只可能在 yi+j+lyi+j+