【文章內(nèi)容簡(jiǎn)介】 行為；封 堵某些禁止的業(yè)務(wù)； 記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè) 和報(bào)警 論文結(jié)構(gòu)在論文中接下來(lái)的幾章里，將會(huì)有下列安排: 第二章，分析研究網(wǎng)絡(luò)安全問(wèn)題，網(wǎng)絡(luò)安全面臨的主要威脅，影響網(wǎng)絡(luò)安 全的因素，及保護(hù)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。第三章，介紹防火墻的相關(guān)技術(shù)，如防火墻的原理、功能、包過(guò)濾技術(shù)等。第四章，以 H3CH3C 的 F100 防火墻為例，介紹防火墻配置方法。第五章，系統(tǒng)闡述防火墻發(fā)展趨勢(shì)。5 計(jì)算機(jī)防火墻技術(shù)論文第二章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全問(wèn)題安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。我國(guó)對(duì)于 計(jì)算機(jī)安全的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的 或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行。” 從技術(shù)講，計(jì)算機(jī)安全分為 3 種： 1）實(shí)體的安全。它保證硬件和軟件本身的安全。2）運(yùn)行環(huán)境的安全性。它保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作。3）信息的安全性。它保障信息不會(huì)被非法閱讀、修改和泄漏。隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)的安全問(wèn)題也延伸到了計(jì)算機(jī)網(wǎng)絡(luò)。 網(wǎng)絡(luò)安全面臨的主要威脅 一般認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來(lái)自計(jì)算機(jī)病毒、黑客的攻擊和 拒絕服務(wù)攻擊三個(gè)方面。1）計(jì)算機(jī)病毒的侵襲。當(dāng)前，活性病毒達(dá) 14000 多種，計(jì)算機(jī)病毒侵入 網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。2）黑客侵襲。即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過(guò)隱蔽通 道進(jìn)行非法活動(dòng)；采用匿名用戶訪問(wèn)進(jìn)行攻擊；通過(guò)網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號(hào) 和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。3）拒絕服務(wù)攻擊。例如“點(diǎn)在郵件炸彈”，它的表現(xiàn)形式是用戶在很短 的時(shí)間內(nèi)收到大量無(wú)用的電子郵件，從而影響正常業(yè)務(wù)的運(yùn)行。嚴(yán)重時(shí)會(huì)使系統(tǒng) 關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪 問(wèn)、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶??等。 影響網(wǎng)絡(luò)安全的因素 1）單機(jī)安全 購(gòu)買單機(jī)時(shí)，型號(hào)的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境（電壓、濕度、防塵條件、強(qiáng)電磁場(chǎng)以及自然災(zāi)害等）；計(jì)算機(jī)的操作??等等，這些都是影響單機(jī)安全性 的因素。2）網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點(diǎn)的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。6 計(jì)算機(jī)防火墻技術(shù)論文 網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)信息安全涉及方方面面的問(wèn)題，是一個(gè)復(fù)雜的系統(tǒng)。一個(gè)完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外 部軟環(huán)境。二是技術(shù)方面，如信息加密存儲(chǔ)傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò) 防毒等。三是管理措施，包括技術(shù)與社會(huì)措施。主要措施有：提供實(shí)時(shí)改變安全 策略的能力、實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等，以防 患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計(jì)是安全的防線。 完善計(jì)算機(jī)安全立法 我國(guó)先后出臺(tái)的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前，在這方面的立 法還遠(yuǎn)不能適應(yīng)形勢(shì)發(fā)展的需要,應(yīng)該在對(duì)控制計(jì)算機(jī)犯罪的國(guó)內(nèi)外立法評(píng)價(jià)的 基礎(chǔ)上，完善我國(guó)計(jì)算機(jī)犯罪立法，以便為確保我國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)健康有序的 發(fā)展提供強(qiáng)有力的保障。 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)(1)數(shù)據(jù)加密 加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的 加密類型：私匙加密和公匙加密。(2)認(rèn)證 對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問(wèn)，使用 認(rèn)證機(jī)制還可以防止合法用戶訪問(wèn)他們無(wú)權(quán)查看的信息。(3)防火墻技術(shù) 防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防 止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)。目前，防火墻采取的技術(shù)，主要是包過(guò)濾、應(yīng) 用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足： 防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件； 防火墻不易防止反彈端口木 馬攻擊等。(4)檢測(cè)系統(tǒng) 入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動(dòng)的安全防護(hù)技 術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之 前攔截相應(yīng)入侵。隨著時(shí)代的發(fā)展，入侵檢測(cè)技術(shù)將朝著三個(gè)方向發(fā)展:分布式入侵檢測(cè)、智 能化入侵檢測(cè)和全面的安全防御方案。7 計(jì)算機(jī)防火墻技術(shù)論文(5)防病毒技術(shù) 隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜和高級(jí)，計(jì)算機(jī)病毒 防范不僅僅是一個(gè)產(chǎn)品、一個(gè)策略或一個(gè)制度，它是一個(gè)匯集了硬件、軟件、網(wǎng) 絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。(6)文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個(gè)關(guān)鍵性的概念，因?yàn)樵L問(wèn)控制實(shí)現(xiàn)在兩個(gè) 方面：本地和遠(yuǎn)程。建立文件權(quán)限的時(shí)候，必須在 Windows 2000 中首先實(shí)行新 技術(shù)文件系統(tǒng)（New Technology File System，NTFS）。一旦實(shí)現(xiàn)了 NTFS，你 可以使用 Windows 資源管理器在文件和文件夾上設(shè)置用戶級(jí)別的權(quán)限。你需要了 解可以分配什么樣的權(quán)限，還有日常活動(dòng)期間一些規(guī)則是處理權(quán)限的。Windows 2000 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問(wèn)控制。 制定合理的網(wǎng)絡(luò)管理措施（1）加強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識(shí)、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。（2）建立完善的安全管理體制和制度，以起到對(duì)管理人員和操作人員鼓勵(lì) 和監(jiān)督的作用。（3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。8 計(jì)算機(jī)防火墻技術(shù)論文第三章防火墻概述隨著 Internet 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類 重要的、敏感的數(shù)據(jù)逐漸增多。同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng) 絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，阻止病毒的傳播 感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種 有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類。其中包過(guò)濾作為最早 發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。 防火墻的概念防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可 預(yù)測(cè)的、潛在破壞性的侵入。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部 網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或 網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服 務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實(shí)現(xiàn)網(wǎng)絡(luò)和 信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè) 分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的 安全。 傳統(tǒng)防火墻介紹 目前的防火墻技術(shù)無(wú)論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個(gè)發(fā) 展歷程。圖 1 表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。圖1 第一代防火墻 第 一 代 防 火 墻 技 術(shù) 幾 乎 與 路 由 器 同 時(shí) 出 現(xiàn)，采 用 了 包 過(guò) 濾（Packet filter）技術(shù)。二代、第三代防火墻 第二代、第三代防火墻 1989 年，貝爾實(shí)驗(yàn)室的 Dave Presotto 和 Howard Trickey 推 9 計(jì)算機(jī)防火墻技術(shù)論文出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻—— 應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻 1992 年，USC 信息科學(xué)院的 BobBraden 開發(fā)出了基于動(dòng)態(tài)包過(guò)濾（Dynamic packet filter）技 術(shù) 的 第 四 代 防 火 墻，后 來(lái) 演 變 為 目 前 所 說(shuō) 的 狀 態(tài) 監(jiān) 視（Stateful inspection）技術(shù)。1994 年，以色列的 CheckPoint 公司開發(fā)出了 第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻 1998 年，NAI 公司推出了一種自適應(yīng)代理（Adaptive proxy）技術(shù)，并在 其產(chǎn)品 Gauntlet Firewall for NT 中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全 新的意義，可以稱之為第五代防火墻。[5] [5] 但傳統(tǒng)的防火墻并沒(méi)有解決目前網(wǎng)絡(luò)中主要的安全問(wèn)題。目前網(wǎng)絡(luò)安全的 三大主要問(wèn)題是:以拒絕訪問(wèn)(DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(Worm)為主 要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。這三大安全問(wèn)題 占據(jù)網(wǎng)絡(luò)安全問(wèn)題九成以上。而這三大問(wèn)題，傳統(tǒng)防火墻都無(wú)能為力。主要有以 下三個(gè)原因: 一是傳統(tǒng)防火墻的計(jì)算能力的限制。傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代 價(jià)，檢查的強(qiáng)度越高，計(jì)算的代價(jià)越大。二是傳統(tǒng)防火墻的訪問(wèn)控制機(jī)制是一個(gè) 簡(jiǎn)單的過(guò)濾機(jī)制。它是一個(gè)簡(jiǎn)單的條件過(guò)濾器，不具有智能功能，無(wú)法檢測(cè)復(fù)雜 的攻擊。三是傳統(tǒng)的防火墻無(wú)法區(qū)分識(shí)別善意和惡意的行為。該特征決定了傳統(tǒng) 的防火墻無(wú)法解決惡意的攻擊行為?，F(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解 決上面的問(wèn)題。 智能防火墻簡(jiǎn)介 智能防火墻[6]是相對(duì)傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利 用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目 的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特 征值，直接進(jìn)行訪問(wèn)控制。由于這些方法多是人工智能學(xué)科采用的方法，因此，又稱為智能防火墻。10 計(jì)算機(jī)防火墻技術(shù)論文 防火墻的功能 防火墻的主要功能 1．包過(guò)濾。包過(guò)濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護(hù)機(jī)制，它可用來(lái)控制流出和流入網(wǎng)絡(luò)的數(shù) 據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端 口、目的地址、目的端口、協(xié)議和時(shí)間?？筛鶕?jù)地址簿進(jìn)行設(shè)置規(guī)則。2．地址轉(zhuǎn)換。網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT)。SNAT 用于對(duì)內(nèi)部網(wǎng) 絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來(lái)自外部其他網(wǎng) 絡(luò)的非授權(quán)訪問(wèn)或惡意攻擊。并將有限的 IP 地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部 IP 地址對(duì) 應(yīng)起來(lái)，用來(lái)緩解地址空間的短缺問(wèn)題，節(jié)省資源，降低成本。DNAT 主要用于 外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)。3．認(rèn)證和應(yīng)用代理。認(rèn)證指防火墻對(duì)訪問(wèn)網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認(rèn)證數(shù) 據(jù)庫(kù)。提供 HTTP、FTP 和 SMTP 代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪問(wèn)控制。同時(shí) 支持 URL 過(guò)濾功能。4．透明和路由 指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提 供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問(wèn)，同時(shí)阻止了外部未授權(quán)訪問(wèn)者對(duì)專用網(wǎng) 絡(luò)的非法訪問(wèn)。防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng) 之間的安全訪問(wèn)。 入侵檢測(cè)功能 入侵檢測(cè)技術(shù)[7]就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技 術(shù)，包括以下內(nèi)容: 。端口掃描就是指黑客通過(guò)遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主 機(jī)的哪些非常用端口是打開的。是否支持 FTP、服務(wù)。且 FTP 服務(wù)是否支持 Web “匿 名”，以及 IIS 版本，是否有可以被成功攻破的 IIS 漏洞，進(jìn)而對(duì)內(nèi)部網(wǎng)絡(luò)的主 機(jī)進(jìn)行攻擊。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有: 關(guān)閉閑置和有潛在危險(xiǎn)的端口。檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該 端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。拒絕服務(wù)(DoS)攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用 過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)，其攻擊方式有很多種。11 計(jì)算機(jī)防火墻技術(shù)論文而分布式的拒絕服務(wù)攻擊(DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生 的一類攻擊方式，分布式的拒絕服務(wù)攻擊(DDoS)。其原理很簡(jiǎn)單，就是利用更多 的受控主機(jī)同時(shí)發(fā)起進(jìn)攻，以比 DoS 更大的規(guī)模(或者說(shuō)以更高于受攻主機(jī)處理 能力的進(jìn)攻能力)來(lái)進(jìn)攻受害者?，F(xiàn)在的防火墻設(shè)備通常都可檢測(cè) Synflod、Land、Ping of Death、TearDrop、ICMP flood 和 UDPflod 等多種 DOS/DDOS 攻 擊。 測(cè) 多 種 緩 沖 區(qū) 溢 出 攻 擊(Buffer Overflow)。緩 沖 區(qū) 溢 出(Buffer Overflow)攻擊指利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，造成緩沖區(qū)的 溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。更 為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各 種非法操作，防火墻設(shè)備可檢測(cè)對(duì) FTP、Telnet、SSH、RPC 和 SMTP 等服務(wù)的遠(yuǎn) 程堆棧溢出入侵。 CGI/IIS 服務(wù)器入侵。CGI 就是 Common Gateway Inter——face 的 簡(jiǎn)稱。是 World Wide Web 主機(jī)和 CGI 程序間傳輸資訊的定義。IIS 就是 Internet Information server 的簡(jiǎn)稱，也就是微軟的 Internet 信息服務(wù)器。防火墻設(shè)備 可檢測(cè)包括針對(duì) Unicode、ASP 源碼泄漏、PHF、NPH、 等已知上 百種的有安全隱患的 CGI/IIS 進(jìn)行的探測(cè)和攻擊方式。、木馬及其網(wǎng)絡(luò)蠕蟲。后門程序是指采用某種方法定義出一個(gè) 特殊的端口并依靠某種程序在機(jī)器啟動(dòng)之前自動(dòng)加載到內(nèi)存，強(qiáng)行控制機(jī)器打開 那個(gè)特殊的端口的程序。木馬程序的全稱是 “特洛依木馬” 它們是指尋找后門、竊取計(jì)算機(jī)的密碼的一類程序。網(wǎng)絡(luò)蠕蟲病毒分為 2 類，一種是面向企業(yè)用戶和 局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)造成 癱瘓性的后果，以“紅色代碼”，“尼姆達(dá)”，以及最新的“sql 蠕蟲王”為代 表。另外一種是針對(duì)個(gè)人用戶的，通過(guò)網(wǎng)絡(luò)(主要是電子郵件，惡意網(wǎng)頁(yè)形式)迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例。防火墻設(shè)備可檢測(cè)試圖穿 透防火墻系統(tǒng)的木馬控制端和客戶端程序。檢測(cè)試圖穿透防火墻系統(tǒng)的蠕蟲程 序。 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的“加密通道”在公共網(wǎng)絡(luò) 中傳播。VPN 的基本原理是通過(guò) IP 包的封裝及加密、認(rèn)證等手段，從而達(dá)到安 全的目的。 其他功能 地址/MAC 地址綁定?？芍С秩我痪W(wǎng)絡(luò)接口的 IP 地址和 MAC 地址的綁 12 計(jì)算機(jī)防火墻技術(shù)論文定，從而禁止用戶隨意修改 IP 地址。要求對(duì)使用身份標(biāo)識(shí)和認(rèn)證的機(jī)制，文件的創(chuàng)建，修改，系統(tǒng)管