【文章內(nèi)容簡介】 交流，但正如引言中所指出的，網(wǎng)絡的發(fā)展也帶來安全方面的問題，例如網(wǎng)絡中使用的傳輸控制協(xié)議（ＴＣＰ）、互聯(lián)網(wǎng)協(xié)議、ＩＰ、路由器等都會出現(xiàn)安全方面的問題，需要采取鑒別、數(shù)據(jù)加密、數(shù)字簽名、防火墻等必需的安全機制和防護措施。計算機的安全是指計算機信息系統(tǒng)和信息資源不受自然和人為有害因素的威脅和危害。計算機安全的范圍包括實體安全、運行安全、數(shù)據(jù)安全、軟件安全和通信安全等。實體安全主要是指計算機硬件設備和通信線路的安全，其威脅來自自然和人為危害等因素。信息安全包括數(shù)據(jù)安全和軟件安全，其威脅主要來自信息被破壞和信息被泄漏。當前信息安全方面存在的主要問題是計算機病毒、計算機黑客、傳輸線路和設備的電輻射等。二、計算機網(wǎng)絡的安全漏洞網(wǎng)絡的開放性和共享性在方便了人們使用的同時，也使得網(wǎng)絡很容易受到攻擊，而且受到攻擊后的傷害是嚴重的，諸如數(shù)據(jù)被人竊取，服務器不能正常提供服務等等。其所以會受到攻擊，是因為存在著如下漏洞。(1)口令計算機網(wǎng)絡的口令系統(tǒng)非常脆弱，常常會被破譯。破譯者常常通過對信道的監(jiān)測來截取口令或將加密的口令解密，獲得對系統(tǒng)的訪問權。特別是由于與內(nèi)部局域網(wǎng)相連的互聯(lián)網(wǎng)需要進行兩類認證，一是需要用戶進行ＴＣＰ／ＩＰ注冊認證，由用戶輸入ＩＰ地址和口令；二是對業(yè)務往來和電子郵件信息需要進行來源認證。這兩類認證常常會受到攻擊。例如當用戶通過ＴＥＬＮＥＴ或ＦＴＰ與遠程主機聯(lián)系時，由于在互聯(lián)網(wǎng)上傳輸?shù)目诹顩]有加密，因而帶有口令和用戶名的ＩＰ包就有可能被攻擊者截獲，用此口令和用戶名在系統(tǒng)上進行注冊，并根據(jù)被竊取口令所具有的權限獲得對系統(tǒng)相應的訪問控制權，進而竊取用戶的機密信息。(2)協(xié)議互聯(lián)網(wǎng)的某些協(xié)議，如ＴＣＰ／ＩＰ或ＵＤＰ協(xié)議存在著許多安全方面的漏洞，例如只能對主機地址進行認證，而不能對用戶進行認證就是一個漏洞。通過這個漏洞，只授權給某個主機，而不是授權給特定的用戶，這樣攻擊者就可利用被授權的主機與服務器通信，對系統(tǒng)進行攻擊。其在通信前先設置好一臺被信任的主機，與某主機有相同的名字和ＩＰ地址，然后建立聯(lián)系，使服務器認為它是真正的用戶，而從容地進行信息竊取活動。因此，為了使信息在網(wǎng)絡傳輸中不被竊取、替換、修改等，要求采取各種硬件及軟件措施，如網(wǎng)關、傳輸協(xié)議等來保護ＦＴＰ或Ｅ－ｍａｉｌ文件。再如，由于ＩＰ技術過多考慮的是性能，而對安全性就消弱了許多，使得黑客捕獲目標ＩＰ地址不是一件復雜的事情，其實這是很危險的。黑客可利用ＩＰ和客戶軟件的漏洞使遠程用戶瞬間死機。為了保證互聯(lián)網(wǎng)上信息往來的安全，需要采用數(shù)字簽名的措施來保證數(shù)據(jù)發(fā)送和來源的可靠。(3)操作系統(tǒng)和應用軟件網(wǎng)絡操作系統(tǒng)和應用軟件也存在著安全漏洞，特別是在傳統(tǒng)的ＵＮＩＸ操作系統(tǒng)中發(fā)現(xiàn)了不少的漏洞，例如對可執(zhí)行文件的訪問控制不嚴就成為許多黑客攻擊成功的原因之一。另外，許多應用軟件也都有安全漏洞，容易被黑客侵入，瀏覽器中的超級鏈接也很容易被攻擊者利用而進入系統(tǒng)。為此，需要采取安全級別較高的操作系統(tǒng)并增加必要的軟、硬件防護措施。(4)互聯(lián)網(wǎng)互聯(lián)網(wǎng)既龐大又復雜，系統(tǒng)邊界難以確定，用戶難以監(jiān)視，系統(tǒng)受到的威脅來自各方，許多訪問控制措施配置起來十分困難也不易驗證其正確性。為此，為確保安全，內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的連接必須設立網(wǎng)關，以攔截和檢查每一條從互聯(lián)網(wǎng)來或去的信息，防止黑客、病毒之類的攻擊。此外，網(wǎng)關還需根據(jù)ＩＰ地址和端口數(shù)據(jù)對每一包進行濾波，使互聯(lián)網(wǎng)的網(wǎng)關成為防火墻的一部分。三、防火墻技術簡介由于計算機網(wǎng)絡存在著以上漏洞，所以受到了種類繁多的攻擊，歸納起來主要有掃描類攻擊、緩沖區(qū)溢出攻擊、木馬攻擊、ＤｏＳ攻擊、ＤｄｏＳ攻擊和碎片攻擊等等。為了防止計算機網(wǎng)絡受到攻擊，采取的有效手段是防火墻技術。防火墻是可在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間，或者內(nèi)部網(wǎng)的各部分之間實施安全防護的系統(tǒng)，通過防火墻可以在內(nèi)部、外部兩個網(wǎng)絡之間建立起安全的控制點，來實施對進、出內(nèi)部網(wǎng)絡的服務和訪問信息的審計和控制，以允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流的方式，防止不希望、未授權的數(shù)據(jù)流進出被保護的內(nèi)部網(wǎng)絡。因此，防火墻是實現(xiàn)網(wǎng)絡安全策略的重要組成部分。(1)防火墻要解決的安全問題防火墻要解決的安全問題分為兩大類：被保護系統(tǒng)的安全問題在訪問控制安全方面，防火墻應能保護內(nèi)部網(wǎng)絡的資源不被非授權使用。在通信安全方面，防火墻應能提供數(shù)據(jù)保密性、完整性的認證，以及各種通信端不可否認的服務。自身的安全問題在訪問控制安全方面，防火墻應能保護防火墻自身與安全有關的數(shù)據(jù)不被非授權使用。在通信安全方面，在對防火墻進行管理時，包括遠程管理，應能夠提供數(shù)據(jù)保密性、完整性的認證，以及各種通信端不可否認的服務。（2）防火墻的關鍵技術目前，防火墻有兩個關鍵技術，一是包過濾技術，二是代理服務技術。包過濾技術包過濾技術主要是基于路由的技術，即依據(jù)靜態(tài)或動態(tài)的過濾邏輯，在對數(shù)據(jù)包進行轉發(fā)前根據(jù)數(shù)據(jù)包的目的地址、源地址及端口號對數(shù)據(jù)包進行過濾。包過濾不能對數(shù)據(jù)包中的用戶信息和文件信息進行識別，只能對整個網(wǎng)絡提供保護。一般說來，包過濾必須使用兩塊網(wǎng)卡，即一塊網(wǎng)卡連到公網(wǎng)，一塊網(wǎng)卡連到內(nèi)網(wǎng)，以實現(xiàn)對網(wǎng)上通信進行實時和雙向的控制。包過濾技術具有運行速度快和基本不依賴于應用的優(yōu)點，但包過濾只能依據(jù)現(xiàn)有數(shù)據(jù)包過濾的安全規(guī)則進行操作，而無法對用戶在某些協(xié)議上進行各種不同要求服務的內(nèi)容分別處理，即只是機械地允許或拒絕某種類型的服務，而不能對服務中的某個具體操作進行控制。因此，對于有些來自不安全的服務器的服務，僅依靠包過濾就不能起到保護內(nèi)部網(wǎng)的作用了。代理服務技術代理服務又稱為應用級防火墻、代理防火墻或應用網(wǎng)關，一般針對某一特定的應用來使用特定的代理模塊。代理服務由用戶端的代理客戶和防火墻端的代理服務器兩部分組成，其不僅能理解數(shù)據(jù)包頭的信息，還能理解應用信息本身的內(nèi)容。當一個遠程用戶連接到某個運行代理服務的網(wǎng)絡時，防火墻端的代理服務器即進行連接，ＩＰ報文即不再向前轉發(fā)而進入內(nèi)網(wǎng)。代理服務通常被認為是最安全的防火墻技術，因為代理服務有能力支持可靠的用戶認證并提供詳細的注冊信息。代理服務的代理工作在客戶機和服務器之間，具有完全控制會話和提供詳細日志、安全審計的功能，而且代理服務器的配置可以隱藏內(nèi)網(wǎng)的ＩＰ地址，保護內(nèi)部主機免受外部的攻擊。此外，代理服務還可以過濾協(xié)議，如過濾ＦＴＰ連接，拒絕使用ＰＵＴ命令等，以保證用戶不將文件寫到匿名的服務器上去。代理服務在轉發(fā)網(wǎng)絡數(shù)據(jù)包的方式與包過濾防火墻也不同，包過濾防火墻是在網(wǎng)絡層轉發(fā)網(wǎng)絡數(shù)據(jù)包，而代理服務則在應用層轉發(fā)網(wǎng)絡訪問。以上介紹了兩種防火墻技術。由于此項技術在網(wǎng)絡安全中具有不可替代的作用，因而在最近十多年里得到了較大的發(fā)展，已有四類防火墻在流行，即包過濾防火墻、代理防火墻、狀態(tài)檢測防火墻和第四代防火墻。第四篇：淺析計算機網(wǎng)絡安全防護措施淺析計算機網(wǎng)絡安全防護措施摘要：計算機網(wǎng)絡由于其特有的性質使其容易受到黑客的攻擊，這也給網(wǎng)絡安全防護提出了新的要求。本文從計算機網(wǎng)絡安全的現(xiàn)狀入手，探討了其目前存在的問題，并提出了相應的安全技術措施以抵御黑客的攻擊，文章還針對幾個常見的網(wǎng)絡攻擊，提出了防護措施及合理化建議，希望能對加強計算機網(wǎng)絡安全起到一定的作用。關鍵詞：計算機；網(wǎng)絡安全；防護措施；木馬；病毒；攻擊；安全概論計算機網(wǎng)絡的快速迅猛發(fā)展，給人們的日常生活帶來了深遠的影響。隨著人們對計算機網(wǎng)絡