【文章內(nèi)容簡(jiǎn)介】 人看不懂它。有兩種主要的加密類型：私匙加密和公匙加密。 2. 2．認(rèn)證 對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問(wèn)，使用認(rèn)證機(jī)制還可以防止合法用戶訪問(wèn)他們無(wú)權(quán)查看的信息。 3. 防火墻技術(shù) 防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)。目前，防火墻采取的技術(shù)，主要是包過(guò)濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足：防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊 等。 4. 檢測(cè)系統(tǒng) 畢業(yè)論文 11 入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。 隨著時(shí)代的發(fā)展，入侵檢測(cè)技術(shù)將朝著三個(gè)方向發(fā)展 :分布式入侵檢測(cè)、智能化入侵檢測(cè)和全面的安全防御方案。 5. 防病毒技術(shù) 隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜和高級(jí)，計(jì)算機(jī)病毒防范不僅僅是一個(gè)產(chǎn)品、一個(gè)策略或一個(gè)制度，它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。 6. 文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個(gè)關(guān)鍵性的概 念，因?yàn)樵L問(wèn)控制實(shí)現(xiàn)在兩個(gè)方面：本地和遠(yuǎn)程。建立文件權(quán)限的時(shí)候，必須在 Windows 2021 中首先實(shí)行新技術(shù)文件系統(tǒng)（ New Technology File System， NTFS）。一旦實(shí)現(xiàn)了 NTFS，你可以使用 Windows 資源管理器在文件和文件夾上設(shè)置用戶級(jí)別的權(quán)限。你需要了解可以分配什么樣的權(quán)限，還有日常活動(dòng)期間一些規(guī)則是處理權(quán)限的。 Windows 2021操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問(wèn)控制。 制定合理的網(wǎng)絡(luò)管理措施 1. 強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識(shí)、職業(yè)道德 和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。 2. 善的安全管理體制和制度，以起到對(duì)管理人員和操作人員鼓勵(lì)和監(jiān)督的作用。 3. 施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。 4. 美國(guó)國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司（ ISS）提出的 P2DR 安全模型：策略（ Policy）、防護(hù)（ Protection）、檢測(cè)（ Detection）和響應(yīng)（ Response）。 如圖所示 : 防護(hù)（ P ） 響應(yīng)（ R ） 檢測(cè)（ D ） 策略（ P ） 畢業(yè)論文 12 圖 P2D安全模型 畢業(yè)論文 13 第三章 防火墻 隨著信息時(shí)代的來(lái)臨， Inter 技術(shù)迅 速發(fā)展，網(wǎng)絡(luò)已涉及各個(gè)領(lǐng)域，并得到廣泛應(yīng)用。計(jì)算機(jī)網(wǎng)絡(luò)中的各種敏感數(shù)據(jù)，重要文檔逐漸增多 。于此同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)病毒及黑客攻擊等諸多不安全因素充斥于網(wǎng)絡(luò)之中，使得網(wǎng)絡(luò)安全問(wèn)題愈加突出。因此，怎樣合理保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，怎樣阻止計(jì)算機(jī)病毒的傳播感染，怎樣排除網(wǎng)絡(luò)諸多不安全因素就顯得尤為重要。而就目前形式而言，在網(wǎng)絡(luò)安全技術(shù)中對(duì)于局部網(wǎng)絡(luò)的保護(hù)中，防火墻技術(shù)是一種十分有效的手段，防火墻技術(shù)主要可分為應(yīng)用代理和包過(guò)濾技術(shù)兩類。其中包過(guò)濾技術(shù)是最早發(fā)展起來(lái)的一種防火墻技術(shù)，其應(yīng)用非常廣泛。 防火 墻基本概念 防火墻是指 設(shè)置在不同網(wǎng)絡(luò)（需要被保護(hù)網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)）之間的一道有效屏障，即一種將內(nèi)部網(wǎng)和公眾網(wǎng)（如 Inter）分開(kāi)的方法，它是一系列部件的組合，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能夠根據(jù)企業(yè)的安全政策實(shí)現(xiàn)控制 (拒絕、監(jiān)測(cè)、允許 )出入網(wǎng)絡(luò)的信息流，其本身具有很強(qiáng)的抗攻擊能力。防火墻所提供的信息安全服務(wù)，是保障和實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。從邏輯上講，防火墻是一個(gè)分離器，同時(shí)是一個(gè)限制器，也是一個(gè)分析器。防火墻可有效地監(jiān)控內(nèi)部網(wǎng)絡(luò)與外部互 聯(lián)網(wǎng)之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。 畢業(yè)論文 14 圖 防火墻圖示 防火墻發(fā)展簡(jiǎn)介 從防火墻近年內(nèi)的發(fā)展來(lái)看，可將其發(fā)展分為四個(gè)階段： 第一階段：基于路由器的防火墻 第一代防火墻幾乎與路由器同時(shí)出現(xiàn)，多數(shù)路由器本身包含有分組過(guò)濾的功能，所以網(wǎng)絡(luò)訪問(wèn)控制功能可通過(guò)路由控制來(lái)實(shí)現(xiàn)，而這種采用包過(guò)濾技術(shù)的防火墻為第一代防火墻產(chǎn)品。 第一代防火墻特點(diǎn)為： 1．防火墻和路由器是一體化的。 2．防火墻是利用路由器對(duì)組的解析，使用訪問(wèn)控制表的方式 實(shí)現(xiàn)對(duì)分組的過(guò)濾。 3．進(jìn)行過(guò)濾判決的依據(jù)是：端口號(hào)、地址、 IP 旗標(biāo)和其它網(wǎng)絡(luò)特征。 由于早期認(rèn)識(shí)不足，防火墻其明顯的不足之處： 1．由于路由器協(xié)議的靈活性，以及路由協(xié)議本身的安全漏洞，外部非安全網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)十分容易 2．由于路由器采用的分組過(guò)濾規(guī)則，其設(shè)置和配置存在安全隱患，導(dǎo)致防火墻亦存在安全隱患 3．信息在網(wǎng)絡(luò)上是以明文的方式傳送的，因此攻擊者可以采用偽造的路由信息，通過(guò)“假冒”地址欺騙防火墻。 4．路由器防火墻本質(zhì)性缺陷：路由器的主要功能是為網(wǎng)絡(luò)訪問(wèn)提供靈活、動(dòng)態(tài)的路由，而防火墻則要對(duì)訪問(wèn)行為 實(shí)施固定的、靜態(tài)的控制，這是其難以調(diào)和的矛盾，由此防火墻的設(shè)置將會(huì)會(huì)大大降低路由器的性能。 因此，基于路由器的防火墻只是人們?cè)缙谡J(rèn)識(shí)不足，對(duì)網(wǎng)絡(luò)安全的所采取的一種應(yīng)急措施，用這種權(quán)宜之計(jì)來(lái)對(duì)付黑客的入侵是非常危險(xiǎn)的。 第二階段：用戶化的防火墻工具套 由于路由器防火墻的諸多不足，很多大型用戶紛紛希望用經(jīng)過(guò)專門開(kāi)發(fā)的防火墻來(lái)保護(hù)其的網(wǎng)絡(luò)安全，在這樣的前提下推動(dòng)了用戶化防火墻工具套的出現(xiàn)。 第二代防火墻，即用戶化的防火墻工具套具有以下特征： 畢業(yè)論文 15 1．根據(jù)用戶需求，提供模塊化的軟件包； 2．將路由器中的過(guò)濾功 能獨(dú)立出來(lái)，并添加報(bào)警和審計(jì)功能； 3．比第一代防火墻價(jià)格低，安全性高； 4．為純軟件產(chǎn)品，用戶可以從網(wǎng)上直接下載，可以自己手動(dòng)構(gòu)建防火墻。 第二代防火墻作為純軟件產(chǎn)品，其在維護(hù)和管理上都變得十分復(fù)雜，因此它也有不足之處： 1．對(duì)用戶的技術(shù)要求很高； 2．配置和維護(hù)過(guò)程費(fèi)時(shí)、復(fù)雜； 3．本身的實(shí)現(xiàn)、處理速度、安全性均有局限； 4．在使用是容易出現(xiàn)差錯(cuò)。 第三階段：建立于通用操作系統(tǒng)上的防火墻 基于軟件的防火墻對(duì)技術(shù)的要求，配置維護(hù)時(shí)的復(fù)雜，以及其易出差錯(cuò)的不足促使了防火墻開(kāi)發(fā)商很快推出了新一代建立在通用操作系統(tǒng)上的防火墻產(chǎn)品，這種商業(yè)防火墻產(chǎn)品，廣泛用于近些年的市場(chǎng)，它具有以下特點(diǎn)： 1．實(shí)現(xiàn)了前兩代防火墻的功能； 2．批量上市的專用防火墻產(chǎn)品； 3．安裝了專用的代理系統(tǒng)，可監(jiān)控所有協(xié)議的數(shù)據(jù)及指令； 4．安全性和速度明顯提高； 5．保護(hù)用戶可配置內(nèi)核參數(shù)的設(shè)置，保護(hù)用戶的編程空間。 第三代防火墻所具有的特點(diǎn)保證了其穩(wěn)定快速的運(yùn)行，已得到廣大用戶認(rèn)同。但是隨著使用時(shí)間的推延，安全問(wèn)題的改變，網(wǎng)絡(luò) 發(fā)展日益不斷的變化，次代防火墻亦表現(xiàn)出不少問(wèn)題，例如： 1．防火墻管理者一般并不了解操作系統(tǒng)及其內(nèi)核，由于源代碼的保密性，這些成為安全無(wú)法保證的因素； 2．操作系統(tǒng)和防火墻系統(tǒng)的廠商并不一定是同一廠商，因此通用操作系統(tǒng)廠商不會(huì)對(duì)操作系統(tǒng)的安全性負(fù)責(zé)； 3．由于防火墻只能防止外部網(wǎng)絡(luò)的攻擊，而不能方式操作系統(tǒng)廠商的攻擊，這成為其致命缺陷； 4．用戶要保障個(gè)人計(jì)算機(jī)安全就必須同時(shí)依靠防火墻廠商和操作系統(tǒng)廠商畢業(yè)論文 16 兩個(gè)方面的安全支持。 第四階段：具有安全操作系統(tǒng)的防火墻 防火墻技術(shù)在不斷的改進(jìn)中，隨著網(wǎng)絡(luò)攻擊與防護(hù) 技術(shù)的不斷發(fā)展，產(chǎn)生了具有安全操作系統(tǒng)的防火墻產(chǎn)品，這使得使防火墻產(chǎn)品從此步入了第四個(gè)發(fā)展階段。 具有安全操作系統(tǒng)的防火墻解決了第三代防火墻的致命缺陷，由于其本身就是一款操作系統(tǒng)，因而得到了操作系統(tǒng)和防火墻廠商的共同支持，其本身具有如下特點(diǎn)： 1．防火墻廠商擁有該操作系統(tǒng)的源代碼，可實(shí)現(xiàn)安全內(nèi)核； 2．對(duì)各個(gè)服務(wù)器、子系統(tǒng)作安全處理，一旦遭到黑客攻擊，它將會(huì)被隔離在當(dāng)前服務(wù)器內(nèi)，不會(huì)對(duì)網(wǎng)絡(luò)中其他服務(wù)器、子系統(tǒng)造成威脅； 3．功能上除了實(shí)現(xiàn)前三代的固有功能之外還加上了應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)、而且具有加密與鑒 別功能； 防火墻的功能 無(wú)論是何種類型防火墻，從總體上來(lái)看，都應(yīng)具備以下五大基本功能：過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)訪問(wèn)行為；封堵某些禁止的業(yè)務(wù)；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和報(bào)警。 防火墻的主要功能就是控制對(duì)受保護(hù)網(wǎng)絡(luò)的非法訪問(wèn)，它通過(guò)監(jiān)視、限制、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，用以防范外對(duì)內(nèi)、內(nèi)對(duì)外的非法訪問(wèn)。 防火墻是由個(gè)人計(jì)算機(jī)為保護(hù)自己的網(wǎng)絡(luò)免遭外部非授權(quán)訪問(wèn)，但又允許與Inter 連接而發(fā)展起來(lái)的。從 網(wǎng)際角度，防火墻可以看成是安裝在兩個(gè)網(wǎng)絡(luò)之間的一道柵欄，根據(jù)安全計(jì)劃和安全策略中的定義來(lái)保護(hù)其后面的網(wǎng)絡(luò)。 由軟件和硬件組成的防火墻應(yīng)該具有以下功能： 1．所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過(guò)防火墻； 2．所有穿過(guò)防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)； 3．理論上說(shuō)，防火墻是穿不透的。 利用防火墻能保護(hù)站點(diǎn)不被任意聯(lián)接，甚至能建立跟蹤工具，幫助總結(jié)并記畢業(yè)論文 17 錄有關(guān)正在進(jìn)行的聯(lián)接資源、服務(wù)器提供的通信量以及試圖闖入者的任何企圖。 總之，防火墻是阻止外面的人對(duì)你的網(wǎng)絡(luò)進(jìn)行訪問(wèn)的任何設(shè)備，此設(shè)備通常是軟件和硬件的 組合體，它通常根據(jù)一些規(guī)則來(lái)挑選想要或不想要的地址。 防火墻的主要功能 1．包過(guò)濾 包過(guò)濾是一種網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)機(jī)制，包過(guò)濾可以控制流入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息，它是由定義的各條數(shù)據(jù)安全規(guī)則所組成的，防火墻設(shè)置可基于源端口、源地址、目的端口、目的地址、時(shí)間和協(xié)議 ?？梢愿鶕?jù)地址簿進(jìn)行設(shè)置規(guī)則。 2．認(rèn)證和應(yīng)用代理 認(rèn)證指防火墻對(duì)訪問(wèn)者合法身份的確認(rèn)。代理是指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫(kù)，提供 FTP、 SMTP 和 HTTP 代理功能，并可以對(duì)這三種協(xié)議進(jìn)行訪問(wèn)控制，并且支持 URL 過(guò)濾功能。 3．地址轉(zhuǎn)換 網(wǎng)絡(luò)地址 變換是將外部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)的 IP 地址進(jìn)行轉(zhuǎn)換，可分為源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換。源地址轉(zhuǎn)換是用于對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，而對(duì)外部網(wǎng)絡(luò)則隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，以避免受到來(lái)自外部的其他網(wǎng)絡(luò)非授權(quán)訪問(wèn)或惡意攻擊、入侵等行為。同時(shí)將有限的 IP 地址采用動(dòng)態(tài)或靜態(tài)的方式的與內(nèi)部 IP 地址相對(duì)應(yīng)起來(lái)，以此緩解地址空間短缺問(wèn)題，節(jié)省資源，降低成本。目的地址轉(zhuǎn)換主要用于外部網(wǎng)絡(luò)主機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)主機(jī)。 4．透明和路由 防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后，從而使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行透明的訪問(wèn)，并阻止外部未授 權(quán)訪問(wèn)者對(duì)專用網(wǎng)絡(luò)的非法訪問(wèn) 。防火墻還提供靜態(tài)路由功能，支持路由方式，支持內(nèi)部網(wǎng)絡(luò)多個(gè)子網(wǎng)之間的安全訪問(wèn)。 防火墻技術(shù)原理及分類 防火墻可分成三大類，分別為 :包過(guò)濾防火墻，應(yīng)用級(jí)代理服務(wù)器和狀態(tài)包檢測(cè)防火墻。 畢業(yè)論文 18 包過(guò)濾防火墻 數(shù)據(jù)包過(guò)濾技術(shù)是防火墻對(duì)流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包進(jìn)行逐個(gè)檢查，并且依據(jù)所制定的安全策略決定來(lái)數(shù)據(jù)包是否通過(guò)的為系統(tǒng)提供安全