【正文】 防火墻，防火墻也就不能對主機進行保護了。一個簡單的入侵檢測系統(tǒng)，如圖32所示。圖32 簡單IDS系統(tǒng) 入侵監(jiān)測的功能通過執(zhí)行以下任務來實現(xiàn):監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計；識別反映已知進攻的活動模式并向相關(guān)人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。防火墻與入侵檢測這兩種技術(shù)具有較強的互補性。目前，實現(xiàn)入侵檢測和防火墻之間的聯(lián)動有兩種方式可以實現(xiàn)，一種是實現(xiàn)緊密結(jié)合，即把入侵檢測系統(tǒng)嵌入到防火墻中。所有通過的數(shù)據(jù)包不僅要接受防火墻檢測規(guī)則的驗證，還需要經(jīng)過入侵檢測，判斷是否具有攻擊性，以達到真正的實時阻斷。但是目前還沒有廠商做到這一步，仍處于理論研究階段。但是不容否認，各個安全產(chǎn)品的緊密結(jié)合是一種趨勢。第二種方式是通過開放接口來實現(xiàn)聯(lián)動，即防火墻或者入侵檢測系統(tǒng)開放一個接口供對方調(diào)用，按照一定的協(xié)議進行通訊、警報和傳輸。這種方式比較靈活，不影響防火墻和入侵檢測系統(tǒng)的性能。 計算機病毒防范計算機病毒（Computer Virus）是編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。具有破壞性，復制性和傳染性。隨著因特網(wǎng)技術(shù)的發(fā)展，計算機病毒的定義也在進一步擴大化，一些帶有惡意性質(zhì)的特洛伊木馬程序，黑客程序和蠕蟲程序等從廣義角度也被歸入計算機病毒的范疇。從發(fā)展的角度來看，計算機病毒屬于惡意代碼的一種，惡意代碼是一種程序，它可以表述為人為編制的，干擾計算機正常運行并造成計算機軟硬件故障，甚至破壞數(shù)據(jù)的計算機程序或指令集合。惡意代碼通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數(shù)據(jù)、程序。惡意軟件的傳染結(jié)果包括浪費資源、破壞系統(tǒng)、破壞一致性、數(shù)據(jù)丟失和被竊并能讓客戶端的用戶失去信心。按傳播方式分類，惡意代碼分成幾類:病毒、木馬、蠕蟲、間諜軟件及移動代碼等。多種復合攻擊技術(shù)的使用已經(jīng)使安全防護不僅是針對互聯(lián)網(wǎng)早期某種病毒防護那么簡單，而計算機病毒的防御是一個系統(tǒng)工程，內(nèi)容涉及防病毒軟件、補丁升級、以及合理的安全管理規(guī)范等方面。 漏洞掃描計算機漏洞是系統(tǒng)的一組特性，惡意的主體(攻擊者或者攻擊程序)能夠利用這組特性，通過已授權(quán)的手段和方式獲取對資源的未授權(quán)訪問，或者對系統(tǒng)造成損害。漏洞掃描的基本原理是采用模擬黑客攻擊的方式對目標可能存在的己知漏洞進行逐項檢測，以便對工作站、服務器等各種對象進行安全漏洞檢測。網(wǎng)絡(luò)漏洞掃描在保障網(wǎng)絡(luò)安全方面起到越來越重要的作用。借助網(wǎng)絡(luò)漏洞掃描，安全管理人員可以發(fā)現(xiàn)網(wǎng)絡(luò)和主機存在的對外開放的端口、提供的服務某些系統(tǒng)信息、錯誤的配置、已知的安全漏洞等。面對互聯(lián)網(wǎng)入侵，應根據(jù)具體的應用環(huán)境，盡可能早地用網(wǎng)絡(luò)掃描來發(fā)現(xiàn)安全漏洞，采取適當?shù)奶幚泶胧?，有效地阻止入侵事件的發(fā)生。 虛擬專用網(wǎng)(VPN)虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠ISP(Internet服務提供商)和其它NSP(網(wǎng)絡(luò)服務提供商)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路。而是利用某種公眾網(wǎng)的資源動態(tài)組成的。VPN分為三種類型:遠程訪問虛擬網(wǎng)、企業(yè)內(nèi)部虛擬網(wǎng)和企業(yè)擴展虛擬網(wǎng)，這三種類型的VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應。 其他網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全技術(shù)是解決校園網(wǎng)安全問題的基礎(chǔ)，我們在對校園網(wǎng)安全分析時綜合采用了防火墻、入侵檢測、內(nèi)容過濾和安全評價等技術(shù)，提出了一些安全解決方案，以增強校園網(wǎng)絡(luò)的安全覆蓋范圍和程度。以下是一些可能被攻擊的端口，一般情況下，應該要把這些端口屏蔽掉。（1）23端口。若這個端口開著非常的危險，這個端口主要用做TELNET登錄。Telnet服務給我們的最直接的感受就是它可以使得我們忘掉電腦與電腦之間的距離。利用23端口的Telnet我們可以象訪問本機那樣訪問遠程的計算機。Telnet協(xié)議的初衷是用來幫助我們對于計算機實現(xiàn)遠程管理與維護，以提高我們的工作效率。但在一定情況下反而成為了一個黑客攻擊最常利用的一個端口。若不懷好意的人利用Telnet服務登陸到23端口，就可以任意在對方電腦上上傳與下載數(shù)據(jù)，包括上傳木馬與病毒等等。 （2）21端口。這個端口主要用來運行FTP服務。糟糕的是，這個端口，若管理不善的話，是可以用戶進行匿名登陸的。并能夠利用這個端口遠程登陸并運行遠程命令，這也就是說，可以在遠程上傳木馬等工具并在遠程控制其運行。同時，還可以利用FTP服務了解到攻擊所需要的基本信息，如用的是什么操作系統(tǒng)等等；甚至能夠獲知可用的帳號，等等。一般情況下，沒有必要開啟21號端口。 （3）135端口。通過135端口入侵實際上就是在利用操作系統(tǒng)的RPC漏洞。一般情況下，135端口主要用來實現(xiàn)遠程過程調(diào)用。通過RPC可以保證在一臺計算機上運行的程序可以順利地執(zhí)行遠程計算機上的代碼。利用這個漏洞，可以通過這個端口得到電腦上的“主機”文件。得到這個文件后，再利用一定的工具便可以知道該電腦上可用的計算機用戶名與密碼，甚至是管理員的用戶名與密碼。得到這個用戶名之后，如可以上傳木馬工具，隨意的查看重要的文件，并對進行破壞和竊取。 鞏固安全策略(1)利用防火墻將內(nèi)部網(wǎng)絡(luò)、對外服務器網(wǎng)絡(luò)和外網(wǎng)進行有效隔離，避免與外部網(wǎng)絡(luò)直接通信； (2)利用防火墻建立網(wǎng)絡(luò)各主機和對外服務器的安全保護措施，保證系統(tǒng)安全； (3)利用防火墻對網(wǎng)上服務請求內(nèi)容進行控制，使非法訪問在到達主機前被拒絕；利用防火墻加強合法用戶的訪問認證，同時在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)； (4)利用防火墻全面監(jiān)視對公開服務器的訪問，及時發(fā)現(xiàn)和阻止非法操作； (5)利用防火墻及各服務器上的審計記錄，形成一個完善的審計體系，在策略之后建立第二條防線； (6)在本校區(qū)和各校區(qū)，利用入侵檢測系統(tǒng)，監(jiān)測對內(nèi)，對外服務器的訪問；(7)在本校區(qū)和各校區(qū)，利用入侵檢測系統(tǒng)，對服務請求內(nèi)容進行控制，使非法訪問在到達主機前被阻斷； (8)在Internet出口處，使用NetHawk網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)進行網(wǎng)絡(luò)活動實時監(jiān)控和內(nèi)容過濾； (9)在校區(qū)部署RJiTop網(wǎng)絡(luò)隱患掃描系統(tǒng)，定期對整個網(wǎng)絡(luò)的安全狀況進行評估，及時彌補出現(xiàn)的漏洞； (10)使用安全加固手段對現(xiàn)有服務器進行安全配置，保障服務器本身的安全性； (11)加強網(wǎng)絡(luò)安全管理，提高校園網(wǎng)系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)。 結(jié)語通過對這次論文編寫，把平時學習中學到的知識運用了到其中。同時也加深了我對平時學習中所沒有接觸過的知識的一個了解。從而提升了自己各方面的能力使我收益非淺，雖然我開始時遇到了很大困難，但是通過平時的學習和老師，同學的幫忙，最終都能夠解決。通過這次的畢業(yè)設(shè)計讓我明白了自己很多的不足，但是也學會了很多。如利用各種方法去解決問題，而且去尋找問題的癥結(jié)才能對癥下藥。在那個的來說這次實踐讓我學會了很多要組建一個完善的校園網(wǎng)絡(luò)我還應該考慮更多，去學習更多如校園的先進性、可靠性、經(jīng)濟性、可管理性、可擴展性和安全性等需要更深一步去了解。但是我對于各種網(wǎng)絡(luò)設(shè)備的了解更進一步，以及各種設(shè)備的命令的操作更加熟練。由于自身水平的原因以及時間的關(guān)系，對校園網(wǎng)技術(shù)的研究還有不盡完善的地方，以后的工作中將對存在的問題及有待完善的地方進行更深入的研究和分析，本文盡管對校園網(wǎng)絡(luò)安全進行了較深入的研究，也提出了校園網(wǎng)絡(luò)安全的解決辦法，但是，計算機網(wǎng)絡(luò)安全的問題是一個永久的課題，它將隨著計算機技術(shù)、計算機網(wǎng)絡(luò)的發(fā)展而一直存在、一直發(fā)展。計算機網(wǎng)絡(luò)的威脅與計算機網(wǎng)絡(luò)的安全防護的關(guān)系就像是“矛”和“盾”的關(guān)系一樣，沒有無堅不摧的矛、也沒有無法攻破的盾。致謝語 感謝老師給予的指導，在老師的精心指導下我一定會順利的完成畢業(yè)論文。非常謝謝??！參考文獻[1] 校園網(wǎng)設(shè)計方案. 杭州應用工程技術(shù)學院2001年[2] ，10期[3] 王峰．如何制定網(wǎng)絡(luò)安全策略．網(wǎng)絡(luò)通訊與安全，2006年第9期[4] ．北京:電子工業(yè)出版社，2002年[5] 王睿、林海波編著.《網(wǎng)絡(luò)安全與防火墻技術(shù)》.清華大學出版社，2000年[6] [J].福州:福建電腦,2007(2) [7] [J].北京:網(wǎng)絡(luò)安全技術(shù)與應用,2009(11)