【正文】 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文29地址的信息包會被防火墻過濾掉，以保證網(wǎng)絡(luò)系統(tǒng)的安全。包過濾防火墻是基于訪問控制來實現(xiàn)的。它利用數(shù)據(jù)包的頭信息（源 IP 地址、封裝協(xié)議、端口號等）判定與過濾規(guī)則相匹配與否決定舍取。建立這類防火墻需按如下步驟去做；建立安全策略；寫出所允許的和禁止的任務(wù)；將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達式；用相應(yīng)的句法重寫邏輯表達式并設(shè)置之，包過濾防火墻主要是防止外來攻擊，或是限制內(nèi)部用戶訪問某些外部的資源。如果是防止外部攻擊，針對典型攻擊的過濾規(guī)則，大體有：對付源 IP 地址欺騙式攻擊（Source IP Address Spoofing Attacks）對入侵者假冒內(nèi)部主機，從外部傳輸一個源 IP 地址為內(nèi)部網(wǎng)絡(luò) IP 地址的數(shù)據(jù)包的這類攻擊，防火墻只需把來自外部端口的使用內(nèi)部源地址的數(shù)據(jù)包統(tǒng)統(tǒng)丟棄掉。對付殘片攻擊（Tiny Fragment Attacks）入侵者使用 TCP/IP 數(shù)據(jù)包 分段特性，創(chuàng)建極小的分段并強行將 TCP/IP 頭信息分成多個數(shù)據(jù)包，以繞過用戶防火墻的過濾規(guī)則。黑客期望防火墻只檢查第一個分段而允許其余的分段通過。對付這類攻擊，防火墻只需將 TCP/IP 協(xié)議片斷位移植（Fragment Offset）為 1 的數(shù)據(jù)包全部丟棄即可。包過濾防火墻簡單、透明，而且非常行之有效，能解決大部分的安全問題，但必須了解包過濾防火墻不能做伸麼和有伸麼缺點。對于采用動態(tài)分配端口的服務(wù)，如很多 RPC（遠程過程調(diào)用）服務(wù)相關(guān)聯(lián)的服務(wù)器在系統(tǒng)啟動時隨機分配端口的，就很難進行有效地過濾。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文30包過濾防火墻只按照規(guī)則丟棄數(shù)據(jù)包而不對其作日志，導(dǎo)致對過濾的 IP 地址的不同用戶，不具備用戶身份認證功能，不具備檢測通過高層協(xié)議（如應(yīng)用層）實現(xiàn)的安全攻擊的能力。代理防火墻包過濾防火墻從很大意義上像一場戰(zhàn)爭，黑客想攻擊，防火墻堅決予以拒絕。而代理服務(wù)器則是另外一種方式，能回避就回避，甚至干脆隱藏起來。代理服務(wù)器接收客戶請求后會檢查驗證其合法性，如其合法，代理服務(wù)器象一臺客戶機一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界隔離開來，從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理服務(wù)器只允許有代理的服務(wù)通過，而其他所有服務(wù)都完全被封鎖住。代理服務(wù)器非常適合那些根本就不希望外部用戶訪問企業(yè)內(nèi)部的網(wǎng)絡(luò)，而也不希望內(nèi)部的用戶無限制的使用或濫用 INTERNET。采用代理服務(wù)器，可以把企業(yè)的內(nèi)部網(wǎng)絡(luò)隱藏起來，內(nèi)部的用戶需要驗證和授權(quán)之后才可以去訪問 INTERNET。代理服務(wù)器包含兩大類：一類是電路級代理網(wǎng)關(guān)，另一類是應(yīng)用級代理網(wǎng)關(guān)。電路級網(wǎng)關(guān)又稱線路級網(wǎng)關(guān)，它工作在會話層。它在兩主機收次建立 TCP 連接時創(chuàng)立一個電子屏障。它作為服務(wù)器接收外來請求，轉(zhuǎn)發(fā)請求；與被保護的主機連接時則擔(dān)當(dāng)客戶機角色、起代理服務(wù)的作用。它監(jiān)視兩主機建立連接時的握手信息，如 Syn、Ack 和序列數(shù)據(jù)等是否合乎邏輯，信號有效后網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進行過濾。電路網(wǎng)關(guān)中特殊的客戶程序只在初次連接時進行安全協(xié)商控制，其后就透明了。只有懂得如何與該電路網(wǎng)關(guān)通信的客戶機才能到達防火墻另一邊的服務(wù)器。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文31電路級網(wǎng)關(guān)的防火墻的安全性比較高，但它仍不能檢查應(yīng)用層的數(shù)據(jù)包以消除應(yīng)用層攻擊的威脅。應(yīng)用級網(wǎng)關(guān)使用軟件來轉(zhuǎn)發(fā)和過濾特定的應(yīng)用服務(wù)，如 TELNET、FTP 等服務(wù)的連接。這是一種代理服務(wù)。它只允許有代理的服務(wù)通過，也就是說只有那些被認為“可信賴的”服務(wù)才被允許通過防火墻。另外代理服務(wù)還可以過濾協(xié)議，如過濾FTP 連接、拒絕使用 FTP 放置命令等。應(yīng)用級網(wǎng)關(guān)的安全性高，其不足是要為每種應(yīng)用提供專門的代理服務(wù)程序。兩種代理技術(shù)都具有登記、日記、統(tǒng)計和報告功能，有很好的審計功能。還可以具有嚴格的用戶認證功能。先進的認證措施，如驗證授權(quán) RADIUS、智能卡、認證令牌、生物統(tǒng)計學(xué)和基于軟件的工具已被用來克服傳統(tǒng)口令的弱點。狀態(tài)監(jiān)控技術(shù)網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)普遍被認為是下一代的網(wǎng)絡(luò)安全技術(shù)。傳統(tǒng)的網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)對網(wǎng)絡(luò)安全正常的工作完全沒有影響的前提下，采用捕捉網(wǎng)絡(luò)數(shù)據(jù)包的方法對網(wǎng)絡(luò)通信的各個層次實行監(jiān)測，并作安全決策的依據(jù)。監(jiān)視模塊支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用協(xié)議，可以方便地實現(xiàn)應(yīng)用和服務(wù)擴充。狀態(tài)監(jiān)視服務(wù)可以監(jiān)視 RPC（遠程過程調(diào)用）和 UDP（用戶數(shù)據(jù)包）端口信息，而包過濾和代理服務(wù)則都無法做到。網(wǎng)絡(luò)狀態(tài)監(jiān)控對主機的要求非常高，128M 的內(nèi)存可能是一個基本的要求，硬盤的要求也非常大，至少要求 9G，對 SWAP 區(qū)至少也要求 192M 以上。一個好的網(wǎng)絡(luò)狀態(tài)監(jiān)控系統(tǒng)，處理的量可能高達每秒 45M 左右（一條 T3 的線路） 。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文32網(wǎng)絡(luò)狀態(tài)的監(jiān)控的結(jié)果，直接就是要求能夠有一種交互式的防火墻來滿足客戶較高的要求。中網(wǎng)的 IP 防火墻就是這樣一種產(chǎn)品。虛擬專用網(wǎng) VPNEXTRANET 和 VPN 是現(xiàn)代網(wǎng)絡(luò)的新熱點。虛擬專用網(wǎng)的本質(zhì)實際上涉及到密碼的問題。在無法保證電路安全、信道安全、網(wǎng)絡(luò)安全、應(yīng)用安全的情況下，或者也不相信其他安全措施的情況下，一種行之有效的辦法就是加密，而加密就是必須考慮加密算法和密碼的問題。考慮到我國對密碼管理的體制情況，密碼是一個單獨的領(lǐng)域。對防火墻而言，是否防火墻支持對其他密碼體制的支持，支持提供 API 來調(diào)用第三方的加密算法和密碼，非常重要。病毒防護系統(tǒng)強化病毒防護系統(tǒng)的應(yīng)用策略和管理策略，增強病毒防護有效性。 垃圾郵件過濾系統(tǒng)過濾郵件，阻止垃圾郵件及病毒郵件的入侵。 移動用戶管理系統(tǒng)對內(nèi)部筆記本電腦在外出后，接入內(nèi)部網(wǎng)進行安全控制，確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進內(nèi)網(wǎng)。 帶寬控制系統(tǒng)使網(wǎng)管人員對網(wǎng)絡(luò)中的實時數(shù)據(jù)流量情況能夠清晰了解。掌握整個網(wǎng)絡(luò)使用流量的平均標準，定位網(wǎng)絡(luò)流量的基線，及時發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文33總體安全結(jié)構(gòu)圖：西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文34結(jié) 論本次畢業(yè)設(shè)計中，主要任務(wù)是對中小企業(yè)的網(wǎng)絡(luò)安全進行合理化系統(tǒng)化的規(guī)劃與設(shè)計。 系統(tǒng)主要具備以下優(yōu)點：可行性、可靠性和安全性高，能最大限度的為中小型企業(yè)的網(wǎng)絡(luò)保證好安全問題。另外，本系統(tǒng)尚存在一些缺陷，主要表現(xiàn)如下：前期對設(shè)備的經(jīng)濟投入有點高，且此次設(shè)計只適合對網(wǎng)絡(luò)安全要求比較高的中小型企業(yè)網(wǎng)絡(luò)。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文35致 謝本次畢業(yè)設(shè)計我得到了孫老師的精心指導(dǎo)，不管是從開始定方向還是在查資料準備的過程中，一直都耐心地給予我指導(dǎo)和意見，使我在總結(jié)學(xué)業(yè)及撰寫論文方面都有了較大提高；同時也顯示了老師高度的敬業(yè)精神和責(zé)任感。在此，我對孫老師表示誠摯的感謝以及真心的祝福。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文36參考文獻[1] 蔣建春. 《 計算機網(wǎng)絡(luò)信息安全理論與實踐教程》[M]. 北京: 北京郵電大學(xué)出版社, 2022,6770[2] 袁浩. 《Inter 接入網(wǎng)絡(luò)安全》[M]. 北京:電子工業(yè)出版社,2022,[3] 劉化君. 《 網(wǎng)絡(luò)完全技術(shù)》[M]. 上海:機械工業(yè)出版社,2022,西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文37畢業(yè)設(shè)計（論文）原創(chuàng)性聲明和使用授權(quán)說明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設(shè)計（論文） ，是我個人在指導(dǎo)教師的指導(dǎo)下進行的研究工作及取得的成果。盡我所知，除文中特別加以標注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機構(gòu)的學(xué)位或?qū)W歷而使用過的材料。對本研究提供過幫助和做出過貢獻的個人或集體，均已在文中作了明確的說明并表示了謝意。作 者 簽 名：　　 　 　　 日　 期：　　 　 　　 指導(dǎo)教師簽名：　　 　 　　 日 　　期：　　 　 　　 使用授權(quán)說明本人完全了解 大學(xué)關(guān)于收集、保存、使用畢業(yè)設(shè)計（論文）的規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計（論文）的印刷本和電子版本；學(xué)校有權(quán)保存畢業(yè)設(shè)計（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務(wù)；學(xué)?？梢圆捎糜坝　⒖s印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的前提下，學(xué)?？梢怨颊撐牡牟糠只蛉績?nèi)容。作者簽名：　　 　 　　 日　 期：　　 　 　　 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文38學(xué)位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨立進行研究所取得的研究成果。除了文中特別加以標注引用的內(nèi)容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。對本文的研究做出重要貢獻的個人和集體，均已在文中以明確方式標明。本人完全意識到本聲明的法律后果由本人承擔(dān)。作者簽名： 日期： 年 月 日學(xué)位論文版權(quán)使用授權(quán)書本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國家有關(guān)部門或機構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。本人授權(quán)　　 　 　大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。涉密論文按學(xué)校規(guī)定處理。作者簽名： 日期： 年 月 日導(dǎo)師簽名： 日期： 年 月 日西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文39注 意 事 項（論文）的內(nèi)容包括：1）封面（按教務(wù)處制定的標準封面格式制作）2）原創(chuàng)性聲明3）中文摘要（300 字左右） 、關(guān)鍵詞4）外文摘要、關(guān)鍵詞 5）目次頁（附件不統(tǒng)一編入）6）論文主體部分：引言（或緒論） 、正文、結(jié)論7）參考文獻8）致謝9）附錄（對論文支持必要時）：理工類設(shè)計（論文）正文字數(shù)不少于 1 萬字（不包括圖紙、程序清單等） ，文科類論文正文字數(shù)不少于 萬字。：任務(wù)書、開題報告、外文譯文、譯文原文（復(fù)印件） 。、圖表要求：1）文字通順，語言流暢，書寫字跡工整，打印字體及大小符合要求，無錯別字，不準請他人代寫2）工程設(shè)計類題目的圖紙，要求部分用尺規(guī)繪制，部分用計算機繪制，所有圖紙應(yīng)符合國家技術(shù)標準規(guī)范。圖表整潔，布局合理，文字注釋必須使用工程字書寫，不準用徒手畫西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文403）畢業(yè)論文須用 A4 單面打印，論文 50 頁以上的雙面打印4）圖表應(yīng)繪制于無格子的頁面上5）軟件工程類課題應(yīng)有程序清單，并提供電子文檔1）設(shè)計（論文）2）附件：按照任務(wù)書、開題報告、外文譯文、譯文原文（復(fù)印件）次序裝訂3）其它