【文章內(nèi)容簡(jiǎn)介】 登記；提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，有助于緩解 IP 地址資源緊張的問(wèn)題，同時(shí)，可以避免當(dāng)一個(gè)內(nèi)部網(wǎng)更換 ISP 時(shí)需重新編號(hào)的麻煩；防火墻是為客戶提供服務(wù)的理想位置，即在其上可以配置相應(yīng)的 WWW 和 FTP 服務(wù)等。 現(xiàn)有的防火墻主要有：包過(guò)濾型、代理服務(wù)器型、復(fù)合型以及其他類型（雙宿主主機(jī)、主機(jī)過(guò)濾以及加密路由器）防火墻。 包過(guò)濾（ Packet Fliter）通常安裝在路由器上，而且大多數(shù)商用路由器都提供了包過(guò)濾的功能。包過(guò)濾規(guī)則以 IP 包信息為基礎(chǔ)，對(duì) IP 源地址、目標(biāo)地址、協(xié)議類型、端口號(hào)等進(jìn)行篩選。包過(guò)濾在網(wǎng)絡(luò)層進(jìn)行。 代理服務(wù)器型（ Proxy Service）防火墻通常由兩部分構(gòu)成，服務(wù)器端程序和客戶端程序?？蛻舳顺绦蚺c中間節(jié)點(diǎn)連接，中間節(jié)點(diǎn)再與提供服務(wù)的服務(wù)器實(shí)際連接。 復(fù)合型（ Hybfid）防火墻將包過(guò)濾和代理服務(wù)兩種方法結(jié)合起來(lái)，形成新的防火墻，由堡壘主機(jī)提供代理服務(wù)。 各類防火墻路由器和各種主機(jī)按其配置和功能可組成各種類型的防火墻，主要有：雙宿主主機(jī)防火墻，它是由堡壘主機(jī)充當(dāng)網(wǎng)關(guān)，并在其上運(yùn)行防火墻軟件，內(nèi)外網(wǎng)之間的通信必須經(jīng)過(guò)堡壘主機(jī)；主機(jī)過(guò)濾防火墻是指一個(gè)包過(guò)濾路由器與外部網(wǎng)相連，同時(shí)，一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)上，使堡壘主機(jī)成為外部網(wǎng)所能到達(dá) 的惟一節(jié)點(diǎn)，從而確保內(nèi)部網(wǎng)不受外部非授權(quán)用戶的攻擊；加密路由器對(duì)通過(guò)路由器的信息流進(jìn)行加密和壓縮，然后通過(guò)外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M(jìn)行解壓縮和解密。 所謂 “ 防火墻 ” 則是綜合采用適當(dāng)技術(shù)在被保護(hù)網(wǎng)絡(luò)周邊建立的用于分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的系統(tǒng) ?！?防火墻 ” 一方面阻止外界對(duì)內(nèi)部網(wǎng)絡(luò)資源的非法訪問(wèn)，另一方面也可以防止系統(tǒng)內(nèi)部對(duì)外部系統(tǒng)的不安全訪問(wèn) 。 實(shí)現(xiàn)防火墻的主要技術(shù)有：數(shù)據(jù)包過(guò)濾 、 應(yīng)用級(jí)網(wǎng)關(guān) 、 代理服務(wù)和地址轉(zhuǎn)換 。 1． 2． 2 數(shù)據(jù)加密技術(shù) 從密碼體制方面而言，加密技術(shù)可分為對(duì)稱密鑰密碼體制和非對(duì)稱密鑰密碼體制，對(duì)稱密 鑰密碼技術(shù)要求加密 、 解密雙方擁有相同的密鑰，由于加密和解密使用同樣的密鑰，所以加密方和解密方需要進(jìn)行會(huì)話密鑰的密鑰交換 。 會(huì)話密鑰商丘科技職業(yè)學(xué)院 畢業(yè)論文 (設(shè)計(jì) ) 5 的密鑰交換通常采用數(shù)字信封方式，即將會(huì)話密鑰用解密方的公鑰加密傳給解密方，解密方再用自己的私鑰將會(huì)話密鑰還原 。 對(duì)稱密鑰密碼技術(shù)的應(yīng)用在于數(shù)據(jù)加密非對(duì)稱密鑰密碼技術(shù)是加密 、 解密雙方擁有不同的密鑰，在不知道特定信息的情況下，加密密鑰和解密密鑰在計(jì)算機(jī)上是不能相互算出的 。 加密 、 解密雙方各只有一對(duì)私鑰和公鑰 。 非對(duì)稱密鑰密碼技術(shù)的應(yīng)用比較廣泛，可以進(jìn)行數(shù)據(jù)加密 、 身份鑒別 、 訪問(wèn)控制 、 數(shù)字簽名 、 數(shù)據(jù)完整性驗(yàn)證 、 版權(quán)保護(hù)等 。 在傳統(tǒng)上，我們有幾種方法來(lái)加密數(shù)據(jù)流。所有這些方法都可以用軟件很容易的實(shí)現(xiàn)，但是當(dāng)我們只知道密文的時(shí)候，是不容易破譯這些加密算法的（當(dāng)同時(shí)有原文和密文時(shí)，破譯加密算法雖然也不是很容易，但已經(jīng)是可能的了）。最好的加密算法對(duì)系統(tǒng)性能幾乎沒(méi)有影響，并且還可以帶來(lái)其他內(nèi)在的優(yōu)點(diǎn)。例如，大家都知道的 pkzip，它既壓縮數(shù)據(jù)又加密數(shù)據(jù)。又如， dbms的一些軟件包總是包含一些加密方法以使復(fù)制文件這一功能對(duì)一些敏感數(shù)據(jù)是無(wú)效的，或者需要用戶的密碼。所有這些加密算法都要有高效的加密和解密能力 。 幸運(yùn)的是，在所有的加密算法中最簡(jiǎn)單的一種就是 “ 置換表 ” 算法，這種算法也能很好達(dá)到加密的需要。每一個(gè)數(shù)據(jù)段（總是一個(gè)字節(jié)）對(duì)應(yīng)著 “ 置換表 ”中的一個(gè)偏移量，偏移量所對(duì)應(yīng)的值就輸出成為加密后的文件。加密程序和解密程序都需要一個(gè)這樣的 “ 置換表 ” 。事實(shí)上， 80x86 cpu系列就有一個(gè)指令‘xlat’ 在硬件級(jí)來(lái)完成這樣的工作。這種加密算法比較簡(jiǎn)單，加密解密速度都很快，但是一旦這個(gè) “ 置換表 ” 被對(duì)方獲得，那這個(gè)加密方案就完全被識(shí)破了。更進(jìn)一步講，這種加密算法對(duì)于黑客破譯來(lái)講是相當(dāng)直接的，只要找到一個(gè) “ 置換表 ” 就可以了。這 種方法在計(jì)算機(jī)出現(xiàn)之前就已經(jīng)被廣泛的使用。 在一些情況下，我們想能夠知道數(shù)據(jù)是否已經(jīng)被篡改了或被破壞了，這時(shí)就需要產(chǎn)生一些校驗(yàn)碼，并且把這些校驗(yàn)碼插入到數(shù)據(jù)流中。這樣做對(duì)數(shù)據(jù)的防偽與程序本身都是有好處的。但是感染計(jì)算機(jī)程序的病毒才不會(huì)在意這些數(shù)據(jù)或程序是否加過(guò)密，是否有數(shù)字簽名。所以，加密程序在每次 load到內(nèi)存要開(kāi)始執(zhí)行時(shí)，都要檢查一下本身是否被病毒感染，對(duì)與需要加、解密的文件都要做這種檢查！很自然，這樣一種方法體制應(yīng)該保密的，因?yàn)椴《境绦虻木帉?xiě)者將會(huì)利用這些來(lái)破壞別人的程序或數(shù)據(jù)。因此，在一些反病毒或殺 病毒軟件中一定要使用加密技術(shù)。 1． 2． 3 入侵檢測(cè)技術(shù) 入侵檢測(cè)系統(tǒng)可以分為兩類，分別基于網(wǎng)絡(luò)和基于主機(jī) 。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要采用被動(dòng)方法收集網(wǎng)絡(luò)上的數(shù)據(jù) 。 目前，在實(shí)際環(huán)境中應(yīng)用較多的是基于主機(jī)的入侵檢測(cè)系統(tǒng)，它把監(jiān)測(cè)器以軟件模塊的形式直接安插在了受管服務(wù)器的內(nèi)部，它除了繼續(xù)保持基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的功能和優(yōu)點(diǎn)外，可以不受網(wǎng)絡(luò)協(xié)議 、 速率和加密的影響，直接針對(duì)主機(jī)和內(nèi)部的信息系統(tǒng)，同時(shí)還具有基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)所不具備的檢查特洛伊木馬 、 監(jiān)視特定用戶 、 監(jiān)視與誤操作相關(guān)的行為變化等功能 。 1． 2． 4 防病毒技術(shù) 隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜和高級(jí)，其擴(kuò)散速度也越來(lái)越快，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)構(gòu)成極大的威脅 。 在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類 。 單機(jī)防病毒軟件一般安裝在單臺(tái) PC 上，它們主要注重于所謂的 “ 單機(jī)防病毒 ” ，即對(duì)淺論計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 6 本地和本工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測(cè) 、 清除病毒 。 網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源感染，網(wǎng)絡(luò)防病毒軟件會(huì)立刻檢測(cè)到并加以刪除 。 計(jì)算機(jī)網(wǎng)絡(luò)病毒的防治，單純依靠技術(shù)手段是不 可能十分有效地杜絕和防止其蔓延的，只有把技術(shù)手段和治理機(jī)制緊密結(jié)合起來(lái)，提高人們的防范意識(shí)，才 有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。目前在網(wǎng)絡(luò)病毒防治技術(shù)方面，基本處于被動(dòng)防御的地位，但治理上應(yīng)該積極主 動(dòng)。應(yīng)從硬件設(shè)備及軟件系統(tǒng)的使用、維護(hù)、治理、服務(wù)等各個(gè)環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度、對(duì)網(wǎng)絡(luò)系統(tǒng)的治理員及用戶加強(qiáng)法制教育和職業(yè)道德教育，規(guī)范工作程序和操作規(guī)程，嚴(yán)懲從事非法活動(dòng)的集體和個(gè)人。盡可能采用行之有效的新技術(shù)、新手段，建立 ” 防殺結(jié)合、以防為主、以殺為輔、軟硬互補(bǔ)、標(biāo)本兼治 ” 的最佳網(wǎng)絡(luò)病毒安全模式。必須采取有效的治理措施和技術(shù)手段，防止病毒的感染和破壞，力爭(zhēng)將損失降到最小 。 計(jì)算機(jī)病毒在形式上越來(lái)越難以辨別，造成的危害也日益嚴(yán)重，這就要求網(wǎng)絡(luò)防毒產(chǎn)品在技術(shù)上更先進(jìn)，功能上更全面。從目前病毒的演化趨勢(shì)來(lái)看 ，網(wǎng)絡(luò)防病毒產(chǎn)品的發(fā)展趨勢(shì)主要體現(xiàn)在以下幾個(gè)方面：一是反黑與殺毒相結(jié)合；二是從入口攔截病毒；三是提供全面解決方案；四是客戶化定制模式；五是防病毒產(chǎn)品技術(shù)由區(qū)域化向國(guó)際化轉(zhuǎn)變。 隨著計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)字技術(shù)及互聯(lián)網(wǎng)技術(shù)的發(fā)展，計(jì)算機(jī)病毒的危害更是與日俱增。因此，加強(qiáng)計(jì)算機(jī)病毒的防治、確保計(jì)算機(jī)信息安全是當(dāng)前計(jì)算機(jī)應(yīng)用過(guò)程中的一項(xiàng)重要、迫切的研究課題。我們一方面要把握對(duì)現(xiàn)在的計(jì)算機(jī)病毒的防范措施，切實(shí)抓好病毒防治工作；另一方面要加強(qiáng)對(duì)未來(lái)病毒發(fā)展趨勢(shì)的研究，探討新時(shí)期科學(xué)防治計(jì)算機(jī)病毒的新策略，真正做到防患于未然。 防病毒技術(shù)示意圖 1． 3 建議采取的幾種安全對(duì)策 商丘科技職業(yè)學(xué)院 畢業(yè)論文 (設(shè)計(jì) ) 7 1． 3． 1 網(wǎng)絡(luò)分段 網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施 。 其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽(tīng) 。 1． 3． 2 以交換式集線器 代替共享式集線器對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽(tīng)的危險(xiǎn)仍然存在 。 這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過(guò)分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器 。 這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺(tái)機(jī)器之間的數(shù)據(jù)包還是 會(huì)被同一臺(tái)集線器上的其他用戶所偵聽(tīng)，所以應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法偵聽(tīng) 。 1． 3． 3 VLAN的劃分 為了克服以太網(wǎng)的廣播問(wèn)題，除了上述方法外，還可以運(yùn)用 VLAN技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽(tīng)的入侵 。 在集中式網(wǎng)絡(luò)環(huán)境下，通常將中心的所有主機(jī)系統(tǒng)集中到一個(gè) VLAN里，在這個(gè) VLAN 里不允許有任何用戶節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源 。 在分布式網(wǎng)絡(luò)環(huán)