【正文】 防火墻，防火墻也就不能對(duì)主機(jī)進(jìn)行保護(hù)了。一個(gè)簡(jiǎn)單的入侵檢測(cè)系統(tǒng)，如圖32所示。圖32 簡(jiǎn)單IDS系統(tǒng) 入侵監(jiān)測(cè)的功能通過執(zhí)行以下任務(wù)來實(shí)現(xiàn):監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。防火墻與入侵檢測(cè)這兩種技術(shù)具有較強(qiáng)的互補(bǔ)性。目前，實(shí)現(xiàn)入侵檢測(cè)和防火墻之間的聯(lián)動(dòng)有兩種方式可以實(shí)現(xiàn)，一種是實(shí)現(xiàn)緊密結(jié)合，即把入侵檢測(cè)系統(tǒng)嵌入到防火墻中。所有通過的數(shù)據(jù)包不僅要接受防火墻檢測(cè)規(guī)則的驗(yàn)證，還需要經(jīng)過入侵檢測(cè)，判斷是否具有攻擊性，以達(dá)到真正的實(shí)時(shí)阻斷。但是目前還沒有廠商做到這一步，仍處于理論研究階段。但是不容否認(rèn)，各個(gè)安全產(chǎn)品的緊密結(jié)合是一種趨勢(shì)。第二種方式是通過開放接口來實(shí)現(xiàn)聯(lián)動(dòng)，即防火墻或者入侵檢測(cè)系統(tǒng)開放一個(gè)接口供對(duì)方調(diào)用，按照一定的協(xié)議進(jìn)行通訊、警報(bào)和傳輸。這種方式比較靈活，不影響防火墻和入侵檢測(cè)系統(tǒng)的性能。 計(jì)算機(jī)病毒防范計(jì)算機(jī)病毒（Computer Virus）是編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。具有破壞性，復(fù)制性和傳染性。隨著因特網(wǎng)技術(shù)的發(fā)展，計(jì)算機(jī)病毒的定義也在進(jìn)一步擴(kuò)大化，一些帶有惡意性質(zhì)的特洛伊木馬程序，黑客程序和蠕蟲程序等從廣義角度也被歸入計(jì)算機(jī)病毒的范疇。從發(fā)展的角度來看，計(jì)算機(jī)病毒屬于惡意代碼的一種，惡意代碼是一種程序，它可以表述為人為編制的，干擾計(jì)算機(jī)正常運(yùn)行并造成計(jì)算機(jī)軟硬件故障，甚至破壞數(shù)據(jù)的計(jì)算機(jī)程序或指令集合。惡意代碼通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達(dá)到破壞被感染電腦數(shù)據(jù)、程序。惡意軟件的傳染結(jié)果包括浪費(fèi)資源、破壞系統(tǒng)、破壞一致性、數(shù)據(jù)丟失和被竊并能讓客戶端的用戶失去信心。按傳播方式分類，惡意代碼分成幾類:病毒、木馬、蠕蟲、間諜軟件及移動(dòng)代碼等。多種復(fù)合攻擊技術(shù)的使用已經(jīng)使安全防護(hù)不僅是針對(duì)互聯(lián)網(wǎng)早期某種病毒防護(hù)那么簡(jiǎn)單，而計(jì)算機(jī)病毒的防御是一個(gè)系統(tǒng)工程，內(nèi)容涉及防病毒軟件、補(bǔ)丁升級(jí)、以及合理的安全管理規(guī)范等方面。 漏洞掃描計(jì)算機(jī)漏洞是系統(tǒng)的一組特性，惡意的主體(攻擊者或者攻擊程序)能夠利用這組特性，通過已授權(quán)的手段和方式獲取對(duì)資源的未授權(quán)訪問，或者對(duì)系統(tǒng)造成損害。漏洞掃描的基本原理是采用模擬黑客攻擊的方式對(duì)目標(biāo)可能存在的己知漏洞進(jìn)行逐項(xiàng)檢測(cè)，以便對(duì)工作站、服務(wù)器等各種對(duì)象進(jìn)行安全漏洞檢測(cè)。網(wǎng)絡(luò)漏洞掃描在保障網(wǎng)絡(luò)安全方面起到越來越重要的作用。借助網(wǎng)絡(luò)漏洞掃描，安全管理人員可以發(fā)現(xiàn)網(wǎng)絡(luò)和主機(jī)存在的對(duì)外開放的端口、提供的服務(wù)某些系統(tǒng)信息、錯(cuò)誤的配置、已知的安全漏洞等。面對(duì)互聯(lián)網(wǎng)入侵，應(yīng)根據(jù)具體的應(yīng)用環(huán)境，盡可能早地用網(wǎng)絡(luò)掃描來發(fā)現(xiàn)安全漏洞，采取適當(dāng)?shù)奶幚泶胧?，有效地阻止入侵事件的發(fā)生。 虛擬專用網(wǎng)(VPN)虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路。而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。VPN分為三種類型:遠(yuǎn)程訪問虛擬網(wǎng)、企業(yè)內(nèi)部虛擬網(wǎng)和企業(yè)擴(kuò)展虛擬網(wǎng)，這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對(duì)應(yīng)。 其他網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全技術(shù)是解決校園網(wǎng)安全問題的基礎(chǔ)，我們?cè)趯?duì)校園網(wǎng)安全分析時(shí)綜合采用了防火墻、入侵檢測(cè)、內(nèi)容過濾和安全評(píng)價(jià)等技術(shù)，提出了一些安全解決方案，以增強(qiáng)校園網(wǎng)絡(luò)的安全覆蓋范圍和程度。以下是一些可能被攻擊的端口，一般情況下，應(yīng)該要把這些端口屏蔽掉。（1）23端口。若這個(gè)端口開著非常的危險(xiǎn)，這個(gè)端口主要用做TELNET登錄。Telnet服務(wù)給我們的最直接的感受就是它可以使得我們忘掉電腦與電腦之間的距離。利用23端口的Telnet我們可以象訪問本機(jī)那樣訪問遠(yuǎn)程的計(jì)算機(jī)。Telnet協(xié)議的初衷是用來幫助我們對(duì)于計(jì)算機(jī)實(shí)現(xiàn)遠(yuǎn)程管理與維護(hù)，以提高我們的工作效率。但在一定情況下反而成為了一個(gè)黑客攻擊最常利用的一個(gè)端口。若不懷好意的人利用Telnet服務(wù)登陸到23端口，就可以任意在對(duì)方電腦上上傳與下載數(shù)據(jù)，包括上傳木馬與病毒等等。 （2）21端口。這個(gè)端口主要用來運(yùn)行FTP服務(wù)。糟糕的是，這個(gè)端口，若管理不善的話，是可以用戶進(jìn)行匿名登陸的。并能夠利用這個(gè)端口遠(yuǎn)程登陸并運(yùn)行遠(yuǎn)程命令，這也就是說，可以在遠(yuǎn)程上傳木馬等工具并在遠(yuǎn)程控制其運(yùn)行。同時(shí)，還可以利用FTP服務(wù)了解到攻擊所需要的基本信息，如用的是什么操作系統(tǒng)等等；甚至能夠獲知可用的帳號(hào)，等等。一般情況下，沒有必要開啟21號(hào)端口。 （3）135端口。通過135端口入侵實(shí)際上就是在利用操作系統(tǒng)的RPC漏洞。一般情況下，135端口主要用來實(shí)現(xiàn)遠(yuǎn)程過程調(diào)用。通過RPC可以保證在一臺(tái)計(jì)算機(jī)上運(yùn)行的程序可以順利地執(zhí)行遠(yuǎn)程計(jì)算機(jī)上的代碼。利用這個(gè)漏洞，可以通過這個(gè)端口得到電腦上的“主機(jī)”文件。得到這個(gè)文件后，再利用一定的工具便可以知道該電腦上可用的計(jì)算機(jī)用戶名與密碼，甚至是管理員的用戶名與密碼。得到這個(gè)用戶名之后，如可以上傳木馬工具，隨意的查看重要的文件，并對(duì)進(jìn)行破壞和竊取。 鞏固安全策略(1)利用防火墻將內(nèi)部網(wǎng)絡(luò)、對(duì)外服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信； (2)利用防火墻建立網(wǎng)絡(luò)各主機(jī)和對(duì)外服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全； (3)利用防火墻對(duì)網(wǎng)上服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕；利用防火墻加強(qiáng)合法用戶的訪問認(rèn)證，同時(shí)在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)； (4)利用防火墻全面監(jiān)視對(duì)公開服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和阻止非法操作； (5)利用防火墻及各服務(wù)器上的審計(jì)記錄，形成一個(gè)完善的審計(jì)體系，在策略之后建立第二條防線； (6)在本校區(qū)和各校區(qū)，利用入侵檢測(cè)系統(tǒng)，監(jiān)測(cè)對(duì)內(nèi)，對(duì)外服務(wù)器的訪問；(7)在本校區(qū)和各校區(qū)，利用入侵檢測(cè)系統(tǒng)，對(duì)服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被阻斷； (8)在Internet出口處，使用NetHawk網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)進(jìn)行網(wǎng)絡(luò)活動(dòng)實(shí)時(shí)監(jiān)控和內(nèi)容過濾； (9)在校區(qū)部署RJiTop網(wǎng)絡(luò)隱患掃描系統(tǒng)，定期對(duì)整個(gè)網(wǎng)絡(luò)的安全狀況進(jìn)行評(píng)估，及時(shí)彌補(bǔ)出現(xiàn)的漏洞； (10)使用安全加固手段對(duì)現(xiàn)有服務(wù)器進(jìn)行安全配置，保障服務(wù)器本身的安全性； (11)加強(qiáng)網(wǎng)絡(luò)安全管理，提高校園網(wǎng)系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)。 結(jié)語通過對(duì)這次論文編寫，把平時(shí)學(xué)習(xí)中學(xué)到的知識(shí)運(yùn)用了到其中。同時(shí)也加深了我對(duì)平時(shí)學(xué)習(xí)中所沒有接觸過的知識(shí)的一個(gè)了解。從而提升了自己各方面的能力使我收益非淺，雖然我開始時(shí)遇到了很大困難，但是通過平時(shí)的學(xué)習(xí)和老師，同學(xué)的幫忙，最終都能夠解決。通過這次的畢業(yè)設(shè)計(jì)讓我明白了自己很多的不足，但是也學(xué)會(huì)了很多。如利用各種方法去解決問題，而且去尋找問題的癥結(jié)才能對(duì)癥下藥。在那個(gè)的來說這次實(shí)踐讓我學(xué)會(huì)了很多要組建一個(gè)完善的校園網(wǎng)絡(luò)我還應(yīng)該考慮更多，去學(xué)習(xí)更多如校園的先進(jìn)性、可靠性、經(jīng)濟(jì)性、可管理性、可擴(kuò)展性和安全性等需要更深一步去了解。但是我對(duì)于各種網(wǎng)絡(luò)設(shè)備的了解更進(jìn)一步，以及各種設(shè)備的命令的操作更加熟練。由于自身水平的原因以及時(shí)間的關(guān)系，對(duì)校園網(wǎng)技術(shù)的研究還有不盡完善的地方，以后的工作中將對(duì)存在的問題及有待完善的地方進(jìn)行更深入的研究和分析，本文盡管對(duì)校園網(wǎng)絡(luò)安全進(jìn)行了較深入的研究，也提出了校園網(wǎng)絡(luò)安全的解決辦法，但是，計(jì)算機(jī)網(wǎng)絡(luò)安全的問題是一個(gè)永久的課題，它將隨著計(jì)算機(jī)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展而一直存在、一直發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)的威脅與計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)的關(guān)系就像是“矛”和“盾”的關(guān)系一樣，沒有無堅(jiān)不摧的矛、也沒有無法攻破的盾。致謝語 感謝老師給予的指導(dǎo)，在老師的精心指導(dǎo)下我一定會(huì)順利的完成畢業(yè)論文。非常謝謝??！參考文獻(xiàn)[1] 校園網(wǎng)設(shè)計(jì)方案. 杭州應(yīng)用工程技術(shù)學(xué)院2001年[2] ，10期[3] 王峰．如何制定網(wǎng)絡(luò)安全策略．網(wǎng)絡(luò)通訊與安全，2006年第9期[4] ．北京:電子工業(yè)出版社，2002年[5] 王睿、林海波編著.《網(wǎng)絡(luò)安全與防火墻技術(shù)》.清華大學(xué)出版社，2000年[6] [J].福州:福建電腦,2007(2) [7] [J].北京:網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009(11)