【正文】 1) 對進(jìn)入 CERNET 主干網(wǎng)的存取控制 2) 對網(wǎng)絡(luò)中心資源主機(jī)的訪問控制 ,網(wǎng)絡(luò)中心的 DNS、 Email、 FTP、 WWW 等服 務(wù) 器 是 重 要 的 資 源 , 要 特 別 的 保 護(hù) , 可 對 網(wǎng) 絡(luò) 中 心 所 在 子 網(wǎng) 禁止 ,DNS,Email,WWW,FTP 以外的一切服務(wù)。如圖 示 : 圖 操作按鈕： 位于主界面右側(cè)，包括【啟動 /停止保護(hù)】、【連接 /斷開網(wǎng)絡(luò)】、【智能升級】、【查看日志】。 啟動個人防火墻，當(dāng)出現(xiàn)如圖 下所示的窗口后，在相應(yīng)位置輸入您購買獲得的產(chǎn)品序列號和用戶 ID，點擊“確定”，通過驗證后則會提示“您的瑞星個人防火墻現(xiàn)在可以正常使用”。代理服務(wù)器是針對某種應(yīng)用服務(wù)而寫的，工作在應(yīng)用層。 防火墻的技術(shù)原理 目前，防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同，大致可分為三種： （ 1）包過濾技術(shù) 包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。只有共同努力，才能使計算機(jī)網(wǎng)絡(luò)的安全可靠得到保障，從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。 (5)工作站掃描 基于服務(wù)器的防病毒軟件不能保護(hù)本地工作站的硬盤，有效的方法是在服務(wù)器上安裝防毒軟件，同時 在上網(wǎng)的工作站內(nèi)存中調(diào)入一個常駐掃毒程序，實時檢測在工作站中運行的程序。由于 Station Lock 是在啟動系統(tǒng)開始之前，就接管了工作站上的硬件和軟件，所以病毒攻擊 Station Lock 是很困難的。工作站是網(wǎng)絡(luò)的門戶，只要將這扇門戶關(guān)好，就能有效地防止病毒的入侵。 三 、清除病毒技術(shù) 計算機(jī)病毒的清除技術(shù)是計算機(jī)病毒檢測技術(shù)發(fā)展的必然結(jié)果，是計算機(jī)病毒傳染程序的一種逆過程。以及可能造成危害的寫命令，并且判斷 磁盤當(dāng)前所處的狀態(tài)：哪一個磁盤將要進(jìn)行寫操作，是否正在進(jìn)行寫操作，磁盤是否處于寫保護(hù)等，來確定病毒是否將要發(fā)作。數(shù)據(jù)加密實質(zhì)上是對以符號為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和 置換的變換算法，這種變換是對稱密鑰算法”。 例 3：未經(jīng)常維護(hù)升級防火墻 問題描述：某政府機(jī)構(gòu)購置防火墻后已安全運行一年多，由于該機(jī)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定，沒有什么變化，各種應(yīng)用也運行穩(wěn)定，因此管理員逐漸放松了對防火墻的管理，只要網(wǎng)絡(luò)一直保持 暢通即可，不再關(guān)心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級。在沒有加入防火墻之前，各個 VLAN 中的 PC 機(jī)能夠通過交換機(jī)和路由器不受限制地訪問 Inter。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制 尺度 ，它能允許 你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的 黑客 來訪問你的網(wǎng)絡(luò)。 影響計算機(jī)網(wǎng)絡(luò)安全的因素 ①網(wǎng)絡(luò)資源的共享性 資源共享是計算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會。在眾多人為威脅中來自用戶和惡意軟件即計算機(jī)病毒的非法侵入嚴(yán)重，計算機(jī)病毒是利用 程序干擾破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴(yán)重的威脅和巨大的損失。 人為威脅 — 黑客攻擊與計算機(jī)病毒 人為威脅就是說對網(wǎng)絡(luò)的人為攻擊。 And then expounds mainly firewall in work security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。但由于 Inter 是一個開放的，無控制機(jī)構(gòu)的網(wǎng)絡(luò)，經(jīng)常會受到計算機(jī)病毒、黑客的侵襲。 This article mainly elaborated by work security technology to every aspect of the threat and its existence, some defects, socalled awareness。威脅分別有： （如雷電、地震、火災(zāi)、水災(zāi)等），物理損壞（如硬盤損壞、設(shè)備使用壽命到期、外力破損等），設(shè)備故障（如停電斷電、電磁干擾等），意外事故。管理層希望員工更加有效地使用互聯(lián)網(wǎng)，盡量避免網(wǎng)絡(luò)對工作帶來負(fù)面影響?？梢哉f，由政府組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”是當(dāng)前網(wǎng)絡(luò)安全的 最大隱患。 防火墻技術(shù) 防火墻 防火墻是 汽車 中一個部件的名稱。 例 1：未制定完整的企業(yè)安全策略 網(wǎng)絡(luò)環(huán)境：某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表揚(yáng)了負(fù)責(zé)防火墻安裝實施的信息部。 問題分析：選購防火墻時未充分考慮到與其他安全產(chǎn)品如 IDS 的聯(lián)動功能，導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。數(shù)據(jù)加密主要用于對動態(tài)信息的保護(hù)。具體來說，計算機(jī)病毒的預(yù)防是通過阻止計算機(jī)病毒進(jìn)入系統(tǒng)內(nèi)存或阻止計算機(jī)病毒對磁盤的操作，尤其是寫操作。它有兩種：一種是根據(jù)計算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù)。采用基于網(wǎng)絡(luò)目錄和文件安全性的方法對防止病毒起到了一定作用，但是這種方法畢竟是基于網(wǎng)絡(luò)操作系統(tǒng)的安全性的設(shè)計，存在著局限性。其作用對象包括多型體病毒和未來型病毒。 (3)掃描選擇 該功 能允許網(wǎng)絡(luò)管理員定期檢查服務(wù)器中是否帶毒，例如可按每月、每星期、每天集中掃描一下網(wǎng)絡(luò)服務(wù)器，這樣就使網(wǎng)絡(luò)用戶擁有極大的操作選擇余地。同時，要不斷地加強(qiáng)計算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強(qiáng)安全技術(shù)建設(shè)，強(qiáng)化使用人員和管理人員的安全防范意識。作用在網(wǎng)絡(luò)層和傳輸層 ,它根據(jù)分組包頭源地址 ,目的地址和端口號 ,協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。這個“中間檢查站”就是代理服務(wù)器，它運行在兩個網(wǎng)絡(luò)之間，對網(wǎng)絡(luò)之間的每一個請求進(jìn)行檢查。 防火墻的應(yīng)用 個人防火墻的應(yīng)用 瑞星個人防火墻的應(yīng)用 1）安裝 第一步啟動安裝程序。 方法二：用鼠標(biāo)雙擊桌面上的【瑞星個人防火墻】快捷圖標(biāo)即可啟動。由于防火墻是一種按某種規(guī)則對專網(wǎng)和互聯(lián)網(wǎng) ,或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進(jìn)行有條件的控制 (包括隔離 ),從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)部署防火墻技術(shù) [10],構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障 ,可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來 ,保護(hù)校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。再連接 Inter 端接收數(shù)據(jù)時 ,如從外部網(wǎng)絡(luò)收到一段假冒內(nèi)部 IP 地址發(fā)出的報文 ,也應(yīng)丟棄 ,并記錄有關(guān)信息。其他人都不能訪問您的計算機(jī)，但是您也不能再訪問網(wǎng)絡(luò)。設(shè)定網(wǎng)絡(luò)連接方式，如果設(shè)定“通過代理服務(wù)器訪問網(wǎng)絡(luò)”，還需要輸入代理服務(wù)器 IP、端口、身份驗證信息。 缺 點：在應(yīng)用支持方面存在不足，執(zhí)行速度較慢。該技術(shù)通?？梢赃^濾基于某些或所有下列信息組的 IP 包：源 IP 地址 。 Inter 防火墻 是一個或一組系統(tǒng)，它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取，防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的服務(wù)，以及哪些外部服務(wù)何時可以被內(nèi)部人員訪問。據(jù)有關(guān)資料報道，截止 1994 年 2 月 25 日，全世界流傳的 MSDOS 病毒達(dá) 2700 多種。目前基于服務(wù)器的防治病毒方法大都采用了NLM(NetWare Load Module)技術(shù)以 NLM 模塊方式進(jìn)行程序設(shè)計，以服務(wù)器為基礎(chǔ)，提供實 時掃描病毒能力。 市場上 Chipway 防病毒芯片就是采用了這種網(wǎng)絡(luò)防病毒技術(shù)。而且由于計算機(jī)軟件所要求的精確性，解毒軟件有其局限性，對有些變種病毒的清除無能為力。 一 、計算機(jī)病毒的預(yù)防技術(shù) 計算機(jī)病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計算機(jī)病毒對系統(tǒng)的傳染和破壞。私鑰是保密的，用于解密其接收的公鑰加密過 13 的信息 【 5】 。在一次全球范圍的蠕蟲病毒迅速蔓延事件中，政府專網(wǎng)也受到蠕蟲病毒的感染，該機(jī)構(gòu)防火墻因為沒有及時升級，無法抵御這種蠕蟲病毒的攻擊，造成整個機(jī)構(gòu)的內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡(luò)陷于癱瘓之中。 問題描述：防火墻投入運行后，實施了一套較為嚴(yán)格的安全規(guī)則，導(dǎo)致公司員工無法使用 聊天軟件，于是沒過多久就有員工自己撥號上網(wǎng)，導(dǎo)致感染了特洛依木馬和蠕蟲等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。它是一種隔離控制技術(shù)，在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如 Inter）之間設(shè)置 屏障 ，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。 ③網(wǎng)絡(luò)操作系統(tǒng)的漏洞 網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實現(xiàn)的最終載體之一，它不僅 9 負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開發(fā)設(shè)計的不周而留下的破綻，都給網(wǎng)絡(luò)安全留下隱患。 Inter 最 初的設(shè)計考慮主要是考慮資源共享，基本沒有考慮安全問題，缺乏相應(yīng)的安全監(jiān)督機(jī)制。 為確保信息的安全與網(wǎng)絡(luò)暢通，研究計算機(jī)網(wǎng)絡(luò)的安全與防護(hù)措施已迫在眉捷，但網(wǎng)絡(luò)安全問題至今仍沒有能夠引起足夠的重視，更多的用戶認(rèn)為網(wǎng)絡(luò)安全問題離自己尚遠(yuǎn)，這一點從大約有 40%以上的 用戶特別是企業(yè)級用戶沒有安裝防火墻 (Firewall)便可以窺見一斑，而所有的問題都在向大家證明一個事實，大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)，所以防火墻技術(shù)應(yīng)當(dāng)引起我們的注意和重視。作為保護(hù)局域子網(wǎng)的一種有效手段，防火墻技術(shù)備受睞。 It can make the puter and the puter work, the system files and data loss。這些威脅可以宏觀地分為自然威脅和人為威脅。 ? 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為 對于來自網(wǎng)絡(luò)內(nèi)部的攻擊，主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無能為力，這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息審計、 IDS 等主要針對內(nèi)部網(wǎng)絡(luò)安全的安全產(chǎn)品來抵御。要使網(wǎng)絡(luò)更方便快捷，又要保證網(wǎng)絡(luò)安全，這是一個非常棘手的“兩難選擇”，而網(wǎng)絡(luò)安全只能在“兩難選擇”所允許的范圍中尋找支撐點。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。這對于 路由器 來說，就要不僅分析 IP 層的信息，而且還要進(jìn)一步了解 TCP 傳輸層甚至應(yīng)用層的信息以進(jìn)行取舍。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時間段生效的安全規(guī)則，在非工作時間打開 使用的 TCP/UDP 端口，使得企業(yè)員工可以在 工余時間使用 聊天軟件。而保護(hù)網(wǎng)絡(luò)安全是動態(tài)的過程，防火墻需要積極地維護(hù)和升級。 入侵檢測技術(shù)同樣 存在問題 , 導(dǎo)致誤報率和漏報率 題