【正文】 應(yīng)用的角色分配，可以有更好效果。具體說來，在廣域網(wǎng)的訪問中，有些部門的特殊應(yīng)用是應(yīng)該而且必須獲得獨(dú)占性資源的，例如總部的管理層同各分公司主管召開的視頻會(huì)議，而有些部門的非工作相關(guān)服務(wù)則不應(yīng)獲得那么高的帶寬，例如采購(gòu)部門的P2P下載。通過分組流量控制，你可以對(duì)不同用戶組使用的服務(wù)進(jìn)行精細(xì)的帶寬分配，保障重要部門的重要服務(wù)得到足夠帶寬?！　≠?gòu)買這些不同的IT設(shè)備，一方面動(dòng)輒幾十萬甚至上百萬的費(fèi)用投入對(duì)于大部分的用戶來說都是難以接受的，另一方面由于這些設(shè)備分別來自不同廠商，管理界面各異，對(duì)IT維護(hù)和管理也是個(gè)巨大的挑戰(zhàn)和難題。6網(wǎng)絡(luò)安全的現(xiàn)狀與展望 談及網(wǎng)絡(luò)安全技術(shù)，就必須提到網(wǎng)絡(luò)安全技術(shù)的三大主流—防火墻技術(shù)、入侵檢測(cè)技術(shù)以及防病毒技術(shù)。 任何一個(gè)用戶，在剛剛開始面對(duì)安全問題的時(shí)候，考慮的往往就是這“老三樣”?？梢哉f，這三種網(wǎng)絡(luò)安全技術(shù)為整個(gè)網(wǎng)絡(luò)安全建設(shè)起到了功不可沒的作用，但是傳統(tǒng)的安全“老三樣”或者說是以其為主的安全產(chǎn)品正面臨著許多新的問題。 (1) 從用戶角度來看，雖然系統(tǒng)中安裝了防火墻，但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的侵?jǐn)_。 (2) 未經(jīng)大規(guī)模部署的入侵檢測(cè)單個(gè)產(chǎn)品在提前預(yù)警方面存在著先天的不足，且在精確定位和全局管理方面還有很大的空間。 (3) 雖然很多用戶在單機(jī)、終端上都安裝了防病毒產(chǎn)品，但是內(nèi)網(wǎng)的安全并不僅僅是防病毒的問題，還包括安全策略的執(zhí)行、外來非法侵入、補(bǔ)丁管理以及合理管理等方面。 所以說，雖然“老三樣”已經(jīng)立下了赫赫戰(zhàn)功，且仍然發(fā)揮著重要作用，但是用戶已漸漸感覺到其不足之處。其次，從網(wǎng)絡(luò)安全的整體技術(shù)框架來看，網(wǎng)絡(luò)安全技術(shù)同樣面臨著很大的問題，“老三樣”基本上還是針對(duì)數(shù)據(jù)、單個(gè)系統(tǒng)、軟硬件以及程序本身安全的保障。應(yīng)用層面的安全，需要將側(cè)重點(diǎn)集中在信息語義范疇的“內(nèi)容”和網(wǎng)絡(luò)虛擬世界的“行為”上。 防火墻技術(shù)發(fā)展趨勢(shì) 在混合攻擊肆虐的時(shí)代，單一功能的防火墻遠(yuǎn)不能滿足業(yè)務(wù)的需要，而具備多種安全功能，基于應(yīng)用協(xié)議層防御、低誤報(bào)率檢測(cè)、高可靠高性能平臺(tái)和統(tǒng)一的組件化管理技術(shù)。(1) 網(wǎng)絡(luò)安全協(xié)議層防御。防火墻作為簡(jiǎn)單的第二到第四層的防護(hù)，主要針對(duì)像IP、端口等靜態(tài)的信息進(jìn)行防護(hù)和控制，但是真正的安全不能只停留在底層，我們需要構(gòu)建一個(gè)更高、更強(qiáng)、更可靠的墻，除了傳統(tǒng)的訪問控制之外，還需要對(duì)垃圾郵件、拒絕服務(wù)、黑客攻擊等外部威脅起到綜合檢測(cè)和治理的作用，實(shí)現(xiàn)七層協(xié)議的保護(hù)，而不僅限于第二到第四層。(2) 通過分類檢測(cè)技術(shù)降低誤報(bào)率。串聯(lián)接入的網(wǎng)關(guān)設(shè)備一旦誤報(bào)過高，將會(huì)對(duì)用戶帶來災(zāi)難性的后果。IPS理念在20世紀(jì)90年代就已經(jīng)被提出，但是目前全世界對(duì)IPS的部署非常有限，影響其部署的一個(gè)重要問題就是誤報(bào)率。分類檢測(cè)技術(shù)可以大幅度降低誤報(bào)率，針對(duì)不同的攻擊，采取不同的檢測(cè)技術(shù)，比如防拒絕服務(wù)攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規(guī)短信攻擊等，從而顯著降低誤報(bào)率。(3) 有高可靠性、高性能的硬件平臺(tái)支撐。(4) 一體化的統(tǒng)一管理。由于UTM設(shè)備集多種功能于一身，因此，它必須具有能夠統(tǒng)一控制和管理的平臺(tái)，使用戶能夠有效地管理。這樣，設(shè)備平臺(tái)可以實(shí)現(xiàn)標(biāo)準(zhǔn)化并具有可擴(kuò)展性，用戶可在統(tǒng)一的平臺(tái)上進(jìn)行組件管理，同時(shí)，一體化管理也能消除信息產(chǎn)品之間由于無法溝通而帶來的信息孤島，從而在應(yīng)對(duì)各種各樣攻擊威脅的時(shí)候，能夠更好地保障用戶的網(wǎng)絡(luò)安全。 入侵檢測(cè)技術(shù)發(fā)展趨勢(shì) 入侵檢測(cè)技術(shù)將從簡(jiǎn)單的事件報(bào)警逐步向趨勢(shì)預(yù)測(cè)和深入的行為分析方向過渡。IMS（IntrusionManagementSystem，入侵管理系統(tǒng)）具有大規(guī)模部署、入侵預(yù)警、精確定位以及監(jiān)管結(jié)合四大典型特征，將逐步成為安全檢測(cè)技術(shù)的發(fā)展方向。IMS體系的一個(gè)核心技術(shù)就是對(duì)漏洞生命周期和機(jī)理的研究，這將是決定IMS能否實(shí)現(xiàn)大規(guī)模應(yīng)用的一個(gè)前提條件。從理論上說，在配合安全域良好劃分和規(guī)模化部署的條件下，IMS將可以實(shí)現(xiàn)快速的入侵檢測(cè)和預(yù)警，進(jìn)行精確定位和快速響應(yīng)，從而建立起完整的安全監(jiān)管體系，實(shí)現(xiàn)更快、更準(zhǔn)、更全面的安全檢測(cè)和事件預(yù)防。 防病毒技術(shù)發(fā)展趨勢(shì) 內(nèi)網(wǎng)安全未來的趨勢(shì)是SCM（SecurityComplianceManagement，安全合規(guī)性管理）。從被動(dòng)響應(yīng)到主動(dòng)合規(guī)、從日志協(xié)議到業(yè)務(wù)行為審計(jì)、從單一系統(tǒng)到異構(gòu)平臺(tái)、從各自為政到整體運(yùn)維是SCM的四大特點(diǎn)，精細(xì)化的內(nèi)網(wǎng)管理可以使現(xiàn)有的內(nèi)網(wǎng)安全達(dá)到真正的“可信”。 目前，內(nèi)網(wǎng)安全的需求有兩大趨勢(shì)：一是終端的合規(guī)性管理，即終端安全策略、文件策略和系統(tǒng)補(bǔ)丁的統(tǒng)一管理；二是內(nèi)網(wǎng)的業(yè)務(wù)行為審計(jì)，即從傳統(tǒng)的安全審計(jì)或網(wǎng)絡(luò)審計(jì)，向?qū)I(yè)務(wù)行為審計(jì)的發(fā)展，這兩個(gè)方面都非常重要。(1) 從被動(dòng)響應(yīng)到主動(dòng)合規(guī)。通過規(guī)范終端行為，避免未知行為造成的損害，使IT管理部門將精力放在策略的制定和維護(hù)上，避免被動(dòng)響應(yīng)造成人力、物力的浪費(fèi)和服務(wù)質(zhì)量的下降。(2) 從日志協(xié)議審計(jì)到業(yè)務(wù)行為審計(jì)。傳統(tǒng)的審計(jì)概念主要用于事后分析，而沒有辦法對(duì)業(yè)務(wù)行為的內(nèi)容進(jìn)行控制，SCM審計(jì)要求在合規(guī)行為下實(shí)現(xiàn)對(duì)業(yè)務(wù)內(nèi)容的控制，實(shí)現(xiàn)對(duì)業(yè)務(wù)行為的認(rèn)證、控制和審計(jì)。(3) 對(duì)于內(nèi)網(wǎng)來說，盡管Windows一統(tǒng)天下，但是隨著業(yè)務(wù)的發(fā)展，Unix、Linux等平臺(tái)也越來越多地出現(xiàn)在企業(yè)的信息化解決方案中，這就要求內(nèi)網(wǎng)安全管理實(shí)現(xiàn)從單一系統(tǒng)到異構(gòu)平臺(tái)的過渡，從而避免了由異構(gòu)平臺(tái)的不可管理引起的安全盲點(diǎn)的出現(xiàn)。最后，安全技術(shù)和安全管理不可分割，它們必須同步推進(jìn)。因?yàn)榧幢阌辛撕玫陌踩O(shè)備和系統(tǒng)，如果沒有好的安全管理方法并貫徹實(shí)施，那么安全也是空談。防火墻技術(shù)作為目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全的一種手段，主要是用來拒絕未經(jīng)授權(quán)的用戶訪問，阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源，如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全性能，但是并不能百分之百解決網(wǎng)絡(luò)上的信息安全問題，比如防火墻雖然能對(duì)外部網(wǎng)絡(luò)的功擊進(jìn)行有效的防護(hù)，但對(duì)來自內(nèi)部網(wǎng)絡(luò)的功擊卻無能為力，事實(shí)上據(jù)統(tǒng)計(jì)60％以上的網(wǎng)絡(luò)安全問題來自內(nèi)部網(wǎng)絡(luò)，而且網(wǎng)絡(luò)程序和網(wǎng)絡(luò)管理系統(tǒng)中也可能存在缺陷。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要考慮其它技術(shù)和非技術(shù)的因素，如信息加密技術(shù)、制訂法規(guī)、提高網(wǎng)絡(luò)管理使用人員的安全意識(shí)等。現(xiàn)在網(wǎng)絡(luò)防火墻技術(shù)在不斷地發(fā)展，值得研究的課題很多，如：如何對(duì)一個(gè)防火墻產(chǎn)品進(jìn)行危險(xiǎn)評(píng)估，如何對(duì)網(wǎng)絡(luò)中傳輸?shù)拿舾袛?shù)據(jù)進(jìn)行加密，數(shù)據(jù)應(yīng)在網(wǎng)絡(luò)哪一層加密，采用傳統(tǒng)密碼體制還是公鑰密碼體制，如何在網(wǎng)絡(luò)協(xié)議中增加鑒別機(jī)制對(duì)通信雙方的身份進(jìn)行鑒別，防火墻算法設(shè)計(jì)，知識(shí)工程和專家系統(tǒng)在防火墻安全策略研究中的應(yīng)用，如何減少對(duì)網(wǎng)絡(luò)性能的影響，設(shè)計(jì)開放的與硬件平臺(tái)和軟件平臺(tái)無關(guān)的防火墻產(chǎn)品等等。結(jié)論網(wǎng)絡(luò)安全問題越來越引起世界各國(guó)的嚴(yán)密關(guān)注，隨著計(jì)算機(jī)網(wǎng)絡(luò)在人類生活各個(gè)領(lǐng)域的廣泛應(yīng)用，不斷出現(xiàn)網(wǎng)絡(luò)被非法入侵，重要資料被竊取，網(wǎng)絡(luò)系統(tǒng)癱瘓等嚴(yán)重問題，網(wǎng)絡(luò)、應(yīng)用程序的安全漏洞越來越多；各種病毒泛濫成災(zāi)。這一切，已給各個(gè)國(guó)家以及眾多商業(yè)公司造成巨大的經(jīng)濟(jì)損失，甚至危害到國(guó)家安全，加強(qiáng)網(wǎng)絡(luò)安全管理已刻不容緩。經(jīng)過這段時(shí)間對(duì)畢業(yè)論文的設(shè)計(jì)，讓我了解到了網(wǎng)絡(luò)安全的重要性，防火墻在網(wǎng)絡(luò)安全的重要性，從對(duì)防火墻的研究，認(rèn)識(shí)到了它在網(wǎng)絡(luò)中何其的重要，以前的對(duì)防火墻不甚了解，通過在讀書館，網(wǎng)上查資料等各種途徑去了解它，去認(rèn)識(shí)它。使得我頭腦里本來對(duì)它模模糊糊的印象逐漸變得清晰。在做畢業(yè)設(shè)計(jì)的時(shí)候才發(fā)現(xiàn)，認(rèn)真的，專心的去做著一件事，去學(xué)習(xí)這其中的知識(shí)，去感受這中間的過程原來是這么輕松，愉快的一件事，雖然我這個(gè)畢業(yè)設(shè)計(jì)做的并不完美，但這是我用心努力的成果。我相信我會(huì)永遠(yuǎn)記得這段時(shí)光，讓我以后做每件事都記起這次的經(jīng)歷，激勵(lì)我不斷向前。致謝三年的大學(xué)生活就快走入尾聲，我們的校園生活就要?jiǎng)澤暇涮?hào)，心中是無盡的難舍與眷戀。從這里走出，對(duì)我的人生來說，將是踏上一個(gè)新的征程，要把所學(xué)的知識(shí)應(yīng)用到實(shí)際工作中去?；厥兹?，取得了些許成績(jī)，生活中有快樂也有艱辛。感謝老師三年來對(duì)我孜孜不倦的教誨，對(duì)我成長(zhǎng)的關(guān)心和愛護(hù)。學(xué)友情深，情同兄妹。三年的風(fēng)風(fēng)雨雨，我們一同走過，充滿著關(guān)愛，給我留下了值得珍藏的最美好的記憶。不積跬步何以至千里，本設(shè)計(jì)能夠順利的完成，也歸功于各位任課老師的認(rèn)真負(fù)責(zé)，使我能夠很好的掌握和運(yùn)用專業(yè)知識(shí)，并在設(shè)計(jì)中得以體現(xiàn)。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向湖南科技職業(yè)學(xué)院，電子信息工程與技術(shù)系的全體老師表示由衷的謝意！在此要特別感謝張教授在我畢業(yè)的最后關(guān)頭給了我巨大的幫助與鼓勵(lì),使我能夠順利完成畢業(yè)設(shè)計(jì)，在此表示衷心的感激！參考文獻(xiàn)[1]《信息網(wǎng)絡(luò)安全概論》，周良洪 編著，群眾出版社，2005 年 3 月[2]《計(jì)算機(jī)安全技術(shù)及應(yīng)用》，邵波編著，電子工業(yè)出版社，2005 年 11 月[3]《信息安全管理教程》，主編：龐南，中國(guó)人民公安大學(xué)出版社，2007 年[4]《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)》，蔡立軍 編著，國(guó)水利水電出版社, 2002 年[5]《企業(yè)網(wǎng)絡(luò)安全》，蕭文龍編著，中國(guó)鐵道出版社，2001年[6]《黑客的攻擊手段及用戶對(duì)策》，余建斌 編著，北京人民郵電出版社, 2005年[7]《網(wǎng)絡(luò)安全與防火墻技術(shù)應(yīng)用大全》，王睿 林海波等, 清華大學(xué)出版社，2000年[8]《防火墻技術(shù)大全》，[美]Keith Richard Gary Rollie，機(jī)械工業(yè)出版社，2003年3月[9]《There is no loophole Information Security Implementation Guide》[美] Mark Egan, Tim Mather 著，電子工業(yè)出版社，2006 年 1 月畢業(yè)設(shè)計(jì)得分： 答辯得分： 綜合評(píng)定： 指導(dǎo)老師評(píng)語： 指 導(dǎo) 教 師（簽字）： 年 月 日答辯委員會(huì)（小組）評(píng)語： 答辯委員會(huì)（小組）負(fù)責(zé)人（簽字