【正文】 絡(luò)監(jiān) 8 聽獲取網(wǎng)上用戶賬號和密碼；非法獲取 網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。有兩種主要的加密類型：私匙加密和公匙加密。 (6) 文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個關(guān)鍵性的概念，因為訪問控制實現(xiàn)在兩個方面：本地和遠程。 12 第三章 防火墻概述 隨著 Inter 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多 。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 1994 年，以色列的 CheckPoint 公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。二是傳統(tǒng)防火墻的訪問控制機制是一個簡單的過濾機制。 15 防火墻的功能 防火墻的主要功能 1．包過濾。 3．認證和應(yīng)用代理。 入侵檢測功能 入侵檢測技術(shù) [7]就是一種主動保護自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)，包括以下內(nèi)容 : 。而分布式的拒絕服務(wù)攻擊 (DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式，分布式的拒絕服務(wù)攻擊 (DDoS)。是 World Wide Web 主機和 CGI 程序間傳輸資訊的定義。防火墻設(shè)備可檢測試圖穿透防火墻系統(tǒng)的木馬控制端和客戶端程序 。一般防火墻設(shè)備可以提供三種日志審計功能 :系統(tǒng)管理日志、流量日志和入侵日志。如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包 。同時，包過濾防火墻一般無法提供完善的日志。同時升級一種應(yīng)用時，相應(yīng)的代理程序也必須同時升級。 21 復(fù)合型防火墻 由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。就目前而言，對于局部網(wǎng)絡(luò)的保護，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過 濾和應(yīng)用代理兩類。其中每一層對接收到的數(shù)據(jù)都要增加一些首部信息。 理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否的依據(jù)，但是在實際情況中 ，包過濾技術(shù)上的問題主要是選取哪些字段信息，以及如何有效地利用這些字段信息并結(jié)合訪問控制列表來執(zhí)行包過濾操作，并盡可能提高安全控制力度。 綜合上述問題，傳統(tǒng)包過濾技術(shù)的缺陷在于 :(l)缺乏狀態(tài)檢測能力 。深入檢測數(shù)據(jù)包有效載荷，識別并阻止病毒代碼和基于高層協(xié)議的攻擊，以此來提高應(yīng)用防御能力。 動態(tài)包過濾通過在內(nèi)存中動態(tài)地建立和維護一個狀態(tài)表，數(shù)據(jù)包到達時，對該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進行。 應(yīng)用防御的技術(shù)問題主要包括 :(l)需要對有效載荷知道得更清楚 。一個深度包檢測的流程框圖如圖 所示。如果內(nèi)容過濾啟動，數(shù)據(jù)流將根據(jù)過濾的設(shè)置進行匹配，通過或拒絕數(shù)據(jù)。如在對 SMTP 協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實現(xiàn)完全的對郵件的存儲轉(zhuǎn)發(fā)，并實現(xiàn)豐富的對 SMTP 協(xié)議的各種攻擊的防范功能一流過濾的示意圖如圖 所示。 31 雙宿主主機可以用于把一個內(nèi)部網(wǎng)絡(luò)從一個不可信的外部網(wǎng)絡(luò)分離出來。換句話說就是防火墻不直接連接外網(wǎng)，這樣的形式提供一種非常有效的并且容易維護的防火墻體系。 通常，堡壘主機是網(wǎng)絡(luò)上最容易受攻擊的機器。 在構(gòu)造防火墻體系時，一般很少使用單一的技術(shù)，通常都是多種解決方案的組合。 防火墻的特色配置 從外觀上看防火墻和傳統(tǒng)的路由器交換機沒有太大的差別，一部分防火墻具備 CONSOLE 接口通過超級終端的方式初始化配置，而另外一 部分則直接通過默認的 LAN 接口和管理地址訪問進行配置。選擇接口四連接外網(wǎng)，接口一連接內(nèi)網(wǎng)。該 40 功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。有些防火墻集成了防病毒功能，通常被稱之為“病毒防 火墻”，當然目前主要還是在個 41 人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。 與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。防火墻技術(shù)只有不斷向主動型和智能型等方向發(fā)展，才能更好的滿足人們對防火墻技術(shù)日益增長的需求。祝恩師們身體健康，家庭幸福！感謝論文中引文的原作者，他們都是 計算機 界的名師大家，大師風范，高山仰止。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向 安徽水利水電職業(yè)技術(shù)學院 ， 電子信息工程 系計算機網(wǎng)絡(luò)系統(tǒng) 的全體老師表示由衷的謝意。但是純硬件的 ASIC 防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。擁有病毒防護功能的防火墻可以大大減少公司的損失。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡(luò)通信 帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。 第一步：通過 CONSOLE 接口以及本機的超級終端連接 F100 防火墻，執(zhí)行 system 命令進入配置模式。默認情況下防火墻會自動建立 trust 信任區(qū)， untrust 非信任區(qū)， DMZ 堡壘主機區(qū)以及LOCAL 本地區(qū)域。還要看投資經(jīng)費、投資大小、技術(shù)人員的水平和時間等問題。 34 子網(wǎng)屏蔽防火墻 在主機屏蔽體系中，用戶的內(nèi)部網(wǎng)絡(luò)對堡壘主機沒有任何防御措施，如果黑客成功入侵到主機屏蔽體系結(jié)構(gòu)中的堡壘主機，那就毫無阻擋的進入了內(nèi)部網(wǎng)絡(luò)。 主機屏蔽防火墻 實際上，我們常常把屏蔽路由器作為保護網(wǎng)絡(luò)的第一道防線。然后防火墻運行代理軟件控制數(shù)據(jù)包從一個網(wǎng)絡(luò)流向另一個網(wǎng)絡(luò)，這樣內(nèi)部網(wǎng)絡(luò)中的計算機就可以訪問外部網(wǎng)絡(luò)。 雙宿主主機防火墻 30 多宿主主機這個詞是用來描述配有多個 網(wǎng)卡 的主機，每個網(wǎng)卡都和網(wǎng) 絡(luò)相連接。 流過濾技術(shù) [17]的關(guān)鍵在于其架構(gòu)中的專用 TCP/IP 協(xié)議棧 :這個協(xié)議棧是一個標準的 TCP 協(xié)議的實現(xiàn)，依據(jù) TCP 協(xié)議的定義對出入防火墻的數(shù)據(jù)包進行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過濾邏輯進行過濾，從而可以有效地識別并攔截應(yīng)用層的攻擊企圖。定向到 TCP/IP 堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。 簡單的數(shù)據(jù)包內(nèi)容過濾對當前正在通過的單一數(shù)據(jù)包的有效載荷進行掃描檢測，但是對于應(yīng)用防御的要求而言，這是遠遠不夠的。而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通 1024 號以上的端口，使安全性得到進 一步地提高。實際上，在深度包檢測技術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢。 (3)只對當前正在通過的單一數(shù)據(jù)包進行檢測，而沒有考慮前后數(shù)據(jù)包之間的聯(lián)系 。這種技術(shù)實現(xiàn)簡單，處理速度快，對應(yīng)用透明，但是它存在的問題也很多，主要表現(xiàn)有 : 。IP 傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作 IP 數(shù)據(jù)報(IP Datagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀 (Frame)。 所謂包過濾，就是對流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個檢查，并 22 依據(jù)所制定的安全策略來決定數(shù)據(jù)包是通過還是不通過。屏蔽主機防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Inter 相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機成為 Inter上其他節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。它是針對數(shù)據(jù)包過濾 [10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實現(xiàn)防火墻功能。包過濾防火墻是速度最快的防火墻，這是因為它處于網(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實現(xiàn)， 對用戶來說都是透明的。內(nèi)置特殊站點數(shù)據(jù)庫，用戶可選擇是否封禁色情、反動和暴力等特殊站點。 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。防火墻設(shè)備可檢測包括針對 Unicode、 ASP 源碼泄漏、 PHF、 NPH、 等已知上百種的有安全隱患的CGI/IIS 進行的探測和攻擊方式?，F(xiàn)在的防火墻設(shè)備通常都可檢測 Synflod、Land、 Ping of Death、 TearDrop、 ICMP flood 和 UDPflod 等多種 17 DOS/DDOS 攻擊。是否支持 FTP、 Web 服務(wù) 。代理指防火墻內(nèi)置用戶認證數(shù)據(jù)庫 ?？筛鶕?jù)地址簿進行設(shè)置規(guī)則。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為。 [5] 但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡(luò)中主要的安全問題。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了 內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。因此，保護網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。一旦實現(xiàn)了 NTFS，你可以使用 Windows 資源管理器在文件和文件夾上設(shè)置用戶級別的權(quán)限。 (3) 防火墻技術(shù) 防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。三是管理措施，包括技術(shù)與社會措施。例如“點在郵件炸彈”，它的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務(wù)的運行。 隨著網(wǎng)絡(luò)的發(fā)展，計算機的安全問題也延伸到了計算機網(wǎng)絡(luò)。 7 第二章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全問題 安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機制。目前市場上大多數(shù)的防火墻產(chǎn)品僅僅是網(wǎng)關(guān)的，雖然它們的功能相當強大，但由于它們基于下述的假設(shè) :內(nèi)部網(wǎng)是安全可靠的，所有的威脅都來自 網(wǎng)外。用戶可以根據(jù)自己的需要，通過設(shè)定一些參數(shù)，從而達到控制本機與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對本機的攻擊，比如 ICMPnood 攻擊、聊天室炸彈、木馬信息破譯并修改郵件密碼等等。s security level, To enhance the security of the system to provide a scientific basis. Keywords： Network Security， firewall， prevention Strategy，development tendency 1 目錄 中文摘要 ....................................................... ……………… ..Ⅱ 英文摘要 .............................................................................. Ⅲ 目錄 ..........................................................................................1 第一章緒論 ............................................................................4 研究背景 ..........................................................................4 研究目的 ..........................................................................4 第二章 網(wǎng)絡(luò)安全 ................................................................7 網(wǎng)絡(luò)安全問題 ...........................