【正文】 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文29地址的信息包會(huì)被防火墻過(guò)濾掉，以保證網(wǎng)絡(luò)系統(tǒng)的安全。包過(guò)濾防火墻是基于訪問(wèn)控制來(lái)實(shí)現(xiàn)的。它利用數(shù)據(jù)包的頭信息（源 IP 地址、封裝協(xié)議、端口號(hào)等）判定與過(guò)濾規(guī)則相匹配與否決定舍取。建立這類防火墻需按如下步驟去做；建立安全策略；寫(xiě)出所允許的和禁止的任務(wù)；將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式；用相應(yīng)的句法重寫(xiě)邏輯表達(dá)式并設(shè)置之，包過(guò)濾防火墻主要是防止外來(lái)攻擊，或是限制內(nèi)部用戶訪問(wèn)某些外部的資源。如果是防止外部攻擊，針對(duì)典型攻擊的過(guò)濾規(guī)則，大體有：對(duì)付源 IP 地址欺騙式攻擊（Source IP Address Spoofing Attacks）對(duì)入侵者假冒內(nèi)部主機(jī)，從外部傳輸一個(gè)源 IP 地址為內(nèi)部網(wǎng)絡(luò) IP 地址的數(shù)據(jù)包的這類攻擊，防火墻只需把來(lái)自外部端口的使用內(nèi)部源地址的數(shù)據(jù)包統(tǒng)統(tǒng)丟棄掉。對(duì)付殘片攻擊（Tiny Fragment Attacks）入侵者使用 TCP/IP 數(shù)據(jù)包 分段特性，創(chuàng)建極小的分段并強(qiáng)行將 TCP/IP 頭信息分成多個(gè)數(shù)據(jù)包，以繞過(guò)用戶防火墻的過(guò)濾規(guī)則。黑客期望防火墻只檢查第一個(gè)分段而允許其余的分段通過(guò)。對(duì)付這類攻擊，防火墻只需將 TCP/IP 協(xié)議片斷位移植（Fragment Offset）為 1 的數(shù)據(jù)包全部丟棄即可。包過(guò)濾防火墻簡(jiǎn)單、透明，而且非常行之有效，能解決大部分的安全問(wèn)題，但必須了解包過(guò)濾防火墻不能做伸麼和有伸麼缺點(diǎn)。對(duì)于采用動(dòng)態(tài)分配端口的服務(wù)，如很多 RPC（遠(yuǎn)程過(guò)程調(diào)用）服務(wù)相關(guān)聯(lián)的服務(wù)器在系統(tǒng)啟動(dòng)時(shí)隨機(jī)分配端口的，就很難進(jìn)行有效地過(guò)濾。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文30包過(guò)濾防火墻只按照規(guī)則丟棄數(shù)據(jù)包而不對(duì)其作日志，導(dǎo)致對(duì)過(guò)濾的 IP 地址的不同用戶，不具備用戶身份認(rèn)證功能，不具備檢測(cè)通過(guò)高層協(xié)議（如應(yīng)用層）實(shí)現(xiàn)的安全攻擊的能力。代理防火墻包過(guò)濾防火墻從很大意義上像一場(chǎng)戰(zhàn)爭(zhēng)，黑客想攻擊，防火墻堅(jiān)決予以拒絕。而代理服務(wù)器則是另外一種方式，能回避就回避，甚至干脆隱藏起來(lái)。代理服務(wù)器接收客戶請(qǐng)求后會(huì)檢查驗(yàn)證其合法性，如其合法，代理服務(wù)器象一臺(tái)客戶機(jī)一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界隔離開(kāi)來(lái)，從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理服務(wù)器只允許有代理的服務(wù)通過(guò)，而其他所有服務(wù)都完全被封鎖住。代理服務(wù)器非常適合那些根本就不希望外部用戶訪問(wèn)企業(yè)內(nèi)部的網(wǎng)絡(luò)，而也不希望內(nèi)部的用戶無(wú)限制的使用或?yàn)E用 INTERNET。采用代理服務(wù)器，可以把企業(yè)的內(nèi)部網(wǎng)絡(luò)隱藏起來(lái)，內(nèi)部的用戶需要驗(yàn)證和授權(quán)之后才可以去訪問(wèn) INTERNET。代理服務(wù)器包含兩大類：一類是電路級(jí)代理網(wǎng)關(guān)，另一類是應(yīng)用級(jí)代理網(wǎng)關(guān)。電路級(jí)網(wǎng)關(guān)又稱線路級(jí)網(wǎng)關(guān)，它工作在會(huì)話層。它在兩主機(jī)收次建立 TCP 連接時(shí)創(chuàng)立一個(gè)電子屏障。它作為服務(wù)器接收外來(lái)請(qǐng)求，轉(zhuǎn)發(fā)請(qǐng)求；與被保護(hù)的主機(jī)連接時(shí)則擔(dān)當(dāng)客戶機(jī)角色、起代理服務(wù)的作用。它監(jiān)視兩主機(jī)建立連接時(shí)的握手信息，如 Syn、Ack 和序列數(shù)據(jù)等是否合乎邏輯，信號(hào)有效后網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進(jìn)行過(guò)濾。電路網(wǎng)關(guān)中特殊的客戶程序只在初次連接時(shí)進(jìn)行安全協(xié)商控制，其后就透明了。只有懂得如何與該電路網(wǎng)關(guān)通信的客戶機(jī)才能到達(dá)防火墻另一邊的服務(wù)器。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文31電路級(jí)網(wǎng)關(guān)的防火墻的安全性比較高，但它仍不能檢查應(yīng)用層的數(shù)據(jù)包以消除應(yīng)用層攻擊的威脅。應(yīng)用級(jí)網(wǎng)關(guān)使用軟件來(lái)轉(zhuǎn)發(fā)和過(guò)濾特定的應(yīng)用服務(wù)，如 TELNET、FTP 等服務(wù)的連接。這是一種代理服務(wù)。它只允許有代理的服務(wù)通過(guò)，也就是說(shuō)只有那些被認(rèn)為“可信賴的”服務(wù)才被允許通過(guò)防火墻。另外代理服務(wù)還可以過(guò)濾協(xié)議，如過(guò)濾FTP 連接、拒絕使用 FTP 放置命令等。應(yīng)用級(jí)網(wǎng)關(guān)的安全性高，其不足是要為每種應(yīng)用提供專門(mén)的代理服務(wù)程序。兩種代理技術(shù)都具有登記、日記、統(tǒng)計(jì)和報(bào)告功能，有很好的審計(jì)功能。還可以具有嚴(yán)格的用戶認(rèn)證功能。先進(jìn)的認(rèn)證措施，如驗(yàn)證授權(quán) RADIUS、智能卡、認(rèn)證令牌、生物統(tǒng)計(jì)學(xué)和基于軟件的工具已被用來(lái)克服傳統(tǒng)口令的弱點(diǎn)。狀態(tài)監(jiān)控技術(shù)網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)普遍被認(rèn)為是下一代的網(wǎng)絡(luò)安全技術(shù)。傳統(tǒng)的網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)對(duì)網(wǎng)絡(luò)安全正常的工作完全沒(méi)有影響的前提下，采用捕捉網(wǎng)絡(luò)數(shù)據(jù)包的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)測(cè)，并作安全決策的依據(jù)。監(jiān)視模塊支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用協(xié)議，可以方便地實(shí)現(xiàn)應(yīng)用和服務(wù)擴(kuò)充。狀態(tài)監(jiān)視服務(wù)可以監(jiān)視 RPC（遠(yuǎn)程過(guò)程調(diào)用）和 UDP（用戶數(shù)據(jù)包）端口信息，而包過(guò)濾和代理服務(wù)則都無(wú)法做到。網(wǎng)絡(luò)狀態(tài)監(jiān)控對(duì)主機(jī)的要求非常高，128M 的內(nèi)存可能是一個(gè)基本的要求，硬盤(pán)的要求也非常大，至少要求 9G，對(duì) SWAP 區(qū)至少也要求 192M 以上。一個(gè)好的網(wǎng)絡(luò)狀態(tài)監(jiān)控系統(tǒng)，處理的量可能高達(dá)每秒 45M 左右（一條 T3 的線路） 。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文32網(wǎng)絡(luò)狀態(tài)的監(jiān)控的結(jié)果，直接就是要求能夠有一種交互式的防火墻來(lái)滿足客戶較高的要求。中網(wǎng)的 IP 防火墻就是這樣一種產(chǎn)品。虛擬專用網(wǎng) VPNEXTRANET 和 VPN 是現(xiàn)代網(wǎng)絡(luò)的新熱點(diǎn)。虛擬專用網(wǎng)的本質(zhì)實(shí)際上涉及到密碼的問(wèn)題。在無(wú)法保證電路安全、信道安全、網(wǎng)絡(luò)安全、應(yīng)用安全的情況下，或者也不相信其他安全措施的情況下，一種行之有效的辦法就是加密，而加密就是必須考慮加密算法和密碼的問(wèn)題?？紤]到我國(guó)對(duì)密碼管理的體制情況，密碼是一個(gè)單獨(dú)的領(lǐng)域。對(duì)防火墻而言，是否防火墻支持對(duì)其他密碼體制的支持，支持提供 API 來(lái)調(diào)用第三方的加密算法和密碼，非常重要。病毒防護(hù)系統(tǒng)強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略，增強(qiáng)病毒防護(hù)有效性。 垃圾郵件過(guò)濾系統(tǒng)過(guò)濾郵件，阻止垃圾郵件及病毒郵件的入侵。 移動(dòng)用戶管理系統(tǒng)對(duì)內(nèi)部筆記本電腦在外出后，接入內(nèi)部網(wǎng)進(jìn)行安全控制，確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進(jìn)內(nèi)網(wǎng)。 帶寬控制系統(tǒng)使網(wǎng)管人員對(duì)網(wǎng)絡(luò)中的實(shí)時(shí)數(shù)據(jù)流量情況能夠清晰了解。掌握整個(gè)網(wǎng)絡(luò)使用流量的平均標(biāo)準(zhǔn)，定位網(wǎng)絡(luò)流量的基線，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文33總體安全結(jié)構(gòu)圖：西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文34結(jié) 論本次畢業(yè)設(shè)計(jì)中，主要任務(wù)是對(duì)中小企業(yè)的網(wǎng)絡(luò)安全進(jìn)行合理化系統(tǒng)化的規(guī)劃與設(shè)計(jì)。 系統(tǒng)主要具備以下優(yōu)點(diǎn)：可行性、可靠性和安全性高，能最大限度的為中小型企業(yè)的網(wǎng)絡(luò)保證好安全問(wèn)題。另外，本系統(tǒng)尚存在一些缺陷，主要表現(xiàn)如下：前期對(duì)設(shè)備的經(jīng)濟(jì)投入有點(diǎn)高，且此次設(shè)計(jì)只適合對(duì)網(wǎng)絡(luò)安全要求比較高的中小型企業(yè)網(wǎng)絡(luò)。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文35致 謝本次畢業(yè)設(shè)計(jì)我得到了孫老師的精心指導(dǎo)，不管是從開(kāi)始定方向還是在查資料準(zhǔn)備的過(guò)程中，一直都耐心地給予我指導(dǎo)和意見(jiàn)，使我在總結(jié)學(xué)業(yè)及撰寫(xiě)論文方面都有了較大提高；同時(shí)也顯示了老師高度的敬業(yè)精神和責(zé)任感。在此，我對(duì)孫老師表示誠(chéng)摯的感謝以及真心的祝福。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文36參考文獻(xiàn)[1] 蔣建春. 《 計(jì)算機(jī)網(wǎng)絡(luò)信息安全理論與實(shí)踐教程》[M]. 北京: 北京郵電大學(xué)出版社, 2022,6770[2] 袁浩. 《Inter 接入網(wǎng)絡(luò)安全》[M]. 北京:電子工業(yè)出版社,2022,[3] 劉化君. 《 網(wǎng)絡(luò)完全技術(shù)》[M]. 上海:機(jī)械工業(yè)出版社,2022,西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文37畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說(shuō)明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文） ，是我個(gè)人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過(guò)的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過(guò)的材料。對(duì)本研究提供過(guò)幫助和做出過(guò)貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說(shuō)明并表示了謝意。作 者 簽 名：　　 　 　　 日　 期：　　 　 　　 指導(dǎo)教師簽名：　　 　 　　 日 　　期：　　 　 　　 使用授權(quán)說(shuō)明本人完全了解 大學(xué)關(guān)于收集、保存、使用畢業(yè)設(shè)計(jì)（論文）的規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版本；學(xué)校有權(quán)保存畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務(wù)；學(xué)?？梢圆捎糜坝?、縮印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的前提下，學(xué)?？梢怨颊撐牡牟糠只蛉?jī)?nèi)容。作者簽名：　　 　 　　 日　 期：　　 　 　　 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文38學(xué)位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫(xiě)的成果作品。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。本人完全意識(shí)到本聲明的法律后果由本人承擔(dān)。作者簽名： 日期： 年 月 日學(xué)位論文版權(quán)使用授權(quán)書(shū)本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國(guó)家有關(guān)部門(mén)或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。本人授權(quán)　　 　 　大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。涉密論文按學(xué)校規(guī)定處理。作者簽名： 日期： 年 月 日導(dǎo)師簽名： 日期： 年 月 日西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文39注 意 事 項(xiàng)（論文）的內(nèi)容包括：1）封面（按教務(wù)處制定的標(biāo)準(zhǔn)封面格式制作）2）原創(chuàng)性聲明3）中文摘要（300 字左右） 、關(guān)鍵詞4）外文摘要、關(guān)鍵詞 5）目次頁(yè)（附件不統(tǒng)一編入）6）論文主體部分：引言（或緒論） 、正文、結(jié)論7）參考文獻(xiàn)8）致謝9）附錄（對(duì)論文支持必要時(shí)）：理工類設(shè)計(jì)（論文）正文字?jǐn)?shù)不少于 1 萬(wàn)字（不包括圖紙、程序清單等） ，文科類論文正文字?jǐn)?shù)不少于 萬(wàn)字。：任務(wù)書(shū)、開(kāi)題報(bào)告、外文譯文、譯文原文（復(fù)印件） 。、圖表要求：1）文字通順，語(yǔ)言流暢，書(shū)寫(xiě)字跡工整，打印字體及大小符合要求，無(wú)錯(cuò)別字，不準(zhǔn)請(qǐng)他人代寫(xiě)2）工程設(shè)計(jì)類題目的圖紙，要求部分用尺規(guī)繪制，部分用計(jì)算機(jī)繪制，所有圖紙應(yīng)符合國(guó)家技術(shù)標(biāo)準(zhǔn)規(guī)范。圖表整潔，布局合理，文字注釋必須使用工程字書(shū)寫(xiě)，不準(zhǔn)用徒手畫(huà)西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文403）畢業(yè)論文須用 A4 單面打印，論文 50 頁(yè)以上的雙面打印4）圖表應(yīng)繪制于無(wú)格子的頁(yè)面上5）軟件工程類課題應(yīng)有程序清單，并提供電子文檔1）設(shè)計(jì)（論文）2）附件：按照任務(wù)書(shū)、開(kāi)題報(bào)告、外文譯文、譯文原文（復(fù)印件）次序裝訂3）其它