【正文】 這樣大大提高了組網(wǎng)的靈活性，也可以更加充分的使用網(wǎng)絡(luò)設(shè)備資源，減少了用戶的投資。另外，在使用動態(tài) VPN 的接口上可以啟用 IPSec 進行加密，保證用戶在公網(wǎng)上傳輸?shù)臄?shù)據(jù)的安全可靠。但是由于是在公網(wǎng)上傳輸數(shù)據(jù)，那么安全特性就顯得尤為重要了，沒有一定的安全機制，企業(yè)內(nèi)部的數(shù)據(jù)在公網(wǎng)上就會被其他人所截取，企業(yè)內(nèi)部的機器也將受到網(wǎng)絡(luò)上其他設(shè)備的攻擊，這樣給企業(yè)將帶來災(zāi)難性后果。 當人為操作會給整個通訊網(wǎng)絡(luò)帶來一定的風險的時候本文作者們就需要一種自動方式來維護網(wǎng)絡(luò)的正常運行。如果這時有公司內(nèi)部人員出差需要訪問公司網(wǎng)絡(luò)資源，那么只需要該用戶撥號上網(wǎng)，到公司 Server 上注冊，然后就可以訪問任何用戶（包括固定 IP地址用戶和其他動態(tài) IP地址用戶設(shè)備）。 動態(tài) VPN在同一個 VPN內(nèi)部構(gòu)建隧道不需要知道其他 Client網(wǎng)關(guān)的任何信息，只需要配置自己的信息并指定相應(yīng)的 Server 就完成了。傳統(tǒng)的 GRE方式建立隧道，由于 GRE Tunnel 是基于三層 IP建立隧道，所以不支持 PAT 端口方式的一對多的地址轉(zhuǎn)換，就需要大量的公網(wǎng) IP地址。 動態(tài) VPN 采用了隧道技術(shù)，即在每對互相通訊的網(wǎng)關(guān)上都自動打通一條隧道，所有的數(shù)據(jù)都在隧道中傳輸，當該隧道沒有數(shù)據(jù)流量的時候又會自動切斷該隧道以節(jié)約資源或成本。通過這種方 案進行 VPN的組網(wǎng)不盡降低了維護成本，而且使得網(wǎng)絡(luò)應(yīng)用更加靈活，加上動態(tài) VPN 提供的認證和加密特性完全保證了用戶的網(wǎng)絡(luò)安全。由于要建立一對一的連接，所以當有 N 個網(wǎng)絡(luò)設(shè)備進行互聯(lián)時，網(wǎng)絡(luò)的就必須建立 N (N－ 1) / 2 個連接，這樣不僅造成了組網(wǎng)和配置的復(fù)雜，而且配置時必須知道對端設(shè)備的基本信息，試想如果其中有一個節(jié)點的設(shè)備修改了配置，那么其他所有節(jié)點都必須針對這臺設(shè)備修改本地配置，這給維護增加了很大的成本。目前 VPN 主要采用了如下四項技術(shù)來保障安全：隧道技術(shù)（ Tunneling）、加 /解密技術(shù)（ Encryptionamp。訪問控制是保護服務(wù)器的基本機制，必須在服務(wù)器上限制哪些用戶可以訪問服務(wù)或守護進程。 訪問控制技術(shù) 每個系統(tǒng)都要確保訪問用戶是有訪問權(quán)限的，這樣才允許他們訪問，這種機制叫做訪問控制。 五、 報告，掃描器應(yīng)該能夠給出清楚的安全漏洞報告。 三、 能夠發(fā)現(xiàn)的漏洞數(shù)量。網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面： 一、 速度。 基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如 password 文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。隨著時代的發(fā)展，入侵檢測技術(shù)將朝著三個方向發(fā)展：分布式入侵檢測。這種方式對于個人用戶或小企業(yè)或許還能滿足需要，但如果個人或企業(yè)有電子商務(wù)方面的需求，就不能完全滿足了。 四、數(shù)字簽名 數(shù)字簽名是一種使用加密認證電子信息的方法，是以電子形式存儲 的一種消息，可以在通信網(wǎng)絡(luò)中傳輸。常用的認證技術(shù)如下 : 一、身份認證 當系統(tǒng)的用戶要訪問系統(tǒng)資源時要求確認是否是合法的用戶，這就是身份認證。 防火 墻枝術(shù) 防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)，它不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器，而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。在公用密鑰體制中，信息接受者可以把他的 放到 INTERNET 的任意地方，或者用非密鑰的郵件發(fā)給信息的發(fā)送者，信息的發(fā)送者用他的公鑰加密信息后發(fā)給信息接收者，信息接收者則用他自己的私鑰解密信息。拿體制而言，目前的加密體制可分為：單密鑰加密體制和公用密鑰體制。加密就是通過一種方式使信息變得混亂，從而使未被授權(quán)的人看不懂它。由于它是針對特定應(yīng)用的，缺乏通用性 ，且需修改應(yīng)用程序。 在 傳輸層可以實現(xiàn)進程的安全通信，如現(xiàn)在流行的安全套接字層 SSL 技術(shù)，是在兩個通信結(jié)點間建立安全的 TCP 連接。在互聯(lián)網(wǎng)和 Intra 環(huán)境中，地域分布很廣，物理層的安全難以保證，鏈路層的加密技術(shù)也不完全適用。因此每個層次提供不同的安全機制和安全服務(wù)，為各系統(tǒng)單元提供不同的安全特性。不同 的網(wǎng)絡(luò)層次之間的功能雖然有一定的交叉，但是基本上是不同的。 （八）路由控制機制 路由控制機制使得可以指定網(wǎng)絡(luò)發(fā)送數(shù)據(jù)的路徑。 （七）流量填充機制 流量填充機制提供針對流量分析的保護，外部攻擊者有時能夠根據(jù)數(shù)據(jù)交換的出現(xiàn)、消失、數(shù)量或頻率而提取出有用信息。同時，網(wǎng)絡(luò)的有些故障和缺陷也可能導(dǎo)致信息的丟失或延誤。 （五）交換鑒別機制 交換鑒別機制是通過互相交換信息的方式來確定彼此的身份人。 數(shù)字簽名機制具有可證實性、不可否認性。數(shù)據(jù)字段的完整性是指的數(shù)據(jù)分割為按字段號編排的許 多單元，在接收時還能按原來的字段把數(shù)據(jù)串聯(lián)起來，而不會發(fā)生數(shù)據(jù)單元的丟失、重復(fù)、亂序、假冒等情況。高層：對用戶口令、用戶權(quán)限、資源屬性的檢查和 對比來實現(xiàn)的（權(quán)限的順序從高到低是資源屬性、用戶權(quán)限）；低層：對通信協(xié)議中的某些特征信息的識別、判斷，來禁止或允許用戶訪問的措施。加密能單獨作為一種機制運行，也能成為后面其他機制的一部分，起到補充的作用。一個安全策略和安全服務(wù)可能單個使用，也可以組合起來使用。 （五）抗抵賴性服務(wù) 防止發(fā)送方在發(fā)送數(shù)據(jù)后否認自己發(fā)送過此數(shù)據(jù)，接收方在收到數(shù)據(jù)后否認自己收到過此數(shù)據(jù)或偽造接收數(shù)據(jù)。 統(tǒng)一性，對所有信息資源進行集中管理，安全政策統(tǒng)一貫徹。比較著名的有 Kerberos,PGP 等方法。必須做到準確無二義地將對方辯空城計出來，同時還應(yīng)該提供雙向的認證，即互相證明自己的身份。安全服務(wù)與功能層；約束為 ：安全政策。 應(yīng)用的安全涉及方面很多，應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的。因此，本文作者可以得出如下河北工程大學(xué)畢業(yè)設(shè)計論文 10 結(jié)論：沒有完全安全的操作系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會影響到連上 Inter/Intrant 的其他的網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。因此，在網(wǎng)絡(luò)工程的設(shè)計和施工中，必須優(yōu)先考慮保護人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計算機及其他弱電耐壓設(shè)備的防雷。甚至不會想到你自己也會成為目標的時候，威脅就已經(jīng)出現(xiàn)了，一旦發(fā)生，常常措手不及，造成極大的損失。 網(wǎng)絡(luò)安全分析 隨著計算機技術(shù)的迅速發(fā)展，在計算機上處理的業(yè)務(wù)也由基于單機的數(shù)學(xué)運算、文件處理，基于簡單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動化等發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)（ Intra）、企業(yè)外部網(wǎng)（ Extra）、全球互連網(wǎng)（ Inter）的企業(yè)級計算機處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。它通過路由器和安全交換機的聯(lián)動協(xié)作，共同構(gòu)成一套完整的企業(yè)網(wǎng)絡(luò)安全體系。 圖 11 傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)面 臨的挑戰(zhàn)和困難圖 如圖 11所示具有如下特點： 網(wǎng)關(guān)常常被欺騙信息“迷惑” 各類應(yīng)用搶占帶寬資源 惡意信息和網(wǎng)絡(luò)攻擊肆虐 關(guān)鍵業(yè)務(wù)無法得到保障 內(nèi)網(wǎng)充斥著海量的垃圾信息 設(shè)備性能和網(wǎng)絡(luò)資源被惡意訪問消耗殆盡?? 整個網(wǎng)絡(luò)就像一個雜亂無章的車站，三教九流充斥其中，無秩序無管理，造成整個網(wǎng)絡(luò)的穩(wěn)定性大打折扣。 隨著網(wǎng)絡(luò)經(jīng)濟的迅猛發(fā)展，企業(yè)網(wǎng)絡(luò)安全正遭受嚴峻的挑戰(zhàn)：病毒泛濫、黑客入侵、木馬蠕蟲、拒絕服務(wù)攻擊、內(nèi)部的誤操作和資源濫用，以及各種災(zāi)難事故的發(fā)生，這些都時刻威脅著網(wǎng)絡(luò)的業(yè)務(wù)運轉(zhuǎn)和信息安全。因此，可以說，在信息化社會里，沒有信息安全的保障，國家就沒有安全的屏障。 網(wǎng)絡(luò)環(huán)境 的復(fù)雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。許多網(wǎng)絡(luò)犯罪行為（尤其是非法操作）都是因為內(nèi)部聯(lián)網(wǎng)電腦和系統(tǒng)管理制度疏于管理而得逞的。實際上，一次性使用一種方案并不能保證系統(tǒng)一勞永逸和高枕無憂，網(wǎng)絡(luò)安全問題遠遠不是防毒軟河北工程大學(xué)畢業(yè)設(shè)計論文 6 件和防火墻能夠解決的，也不是大量標準安全產(chǎn)品簡單碓砌就能解決的。然而，網(wǎng)絡(luò)用戶對此缺乏認識，未進入安全就緒狀態(tài)就急于操作，結(jié)果導(dǎo)致敏 感數(shù)據(jù)暴露，使系統(tǒng)遭受風險。 （一 ）網(wǎng)絡(luò)安全管理方面人才匱乏：由于互聯(lián)網(wǎng)通信成本極低，分布式客戶服務(wù)器和不同種類配置不斷出新和發(fā)展?？傮w上看，網(wǎng)絡(luò)信息安全處于被動的封堵漏洞狀態(tài)，從上到下普遍存在僥幸心理，沒有形成主動防范、積極應(yīng)對的全民意識，更無法從根本上提高網(wǎng)絡(luò)監(jiān)測、防護、響應(yīng)、恢復(fù)和抗擊能力。由于缺乏自主技術(shù)，我國的網(wǎng)絡(luò)處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中，網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。計算機安全存在三大黑洞： CPU 芯片、河北工程大學(xué)畢業(yè)設(shè)計論文 5 操作系統(tǒng)和數(shù)據(jù)庫、網(wǎng)關(guān)軟件大多依賴進口。尤其是一些非法組織有計劃地通過網(wǎng)絡(luò)渠道，宣傳異教邪說，妄圖擾亂人心，擾亂社會秩序。面 對信息安全的嚴峻形勢，我國的網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)。其中，感染 3次以上的用戶高達 59%，而且病毒的破壞性較大，被病毒破壞全部數(shù)據(jù)的占 14%，破壞部分數(shù)據(jù)的占 57%。具體表現(xiàn)為：計算機系統(tǒng)受病毒感染和破壞的情況相當嚴重；電腦黑客活動已形成重要威脅；信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)；信息系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)；網(wǎng)絡(luò)政治顛覆活動頻繁。 在各領(lǐng)域的計算機犯罪和網(wǎng)絡(luò)侵權(quán)方面，無論是數(shù)量、手段，還是性質(zhì)、規(guī)模，已經(jīng)到了令人咋舌的地步。 (2)在網(wǎng)絡(luò)環(huán)境中，一些組織或個人出于某種特殊目的，進行信息泄密、信息破壞、信息侵權(quán)和意識形態(tài)的信息滲透，甚至通過網(wǎng)絡(luò)進行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權(quán)益受到威脅。 互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。 describes the status of our work security and work security challenges, and vulnerabilities are presented. Chapter Five talked about the need for vulnerability scanning system, only to find loopholes in better maintenance of enterprise work security order. Sixth chapter is the practical application of the solution, introduced the actual wireless work security, with practical solutions to illustrate the theme. Keywords: Network Security vulnerabilities Solutions河北工程大學(xué)畢業(yè)設(shè)計論文 1 摘要 .............................................................................................................................................. I ABSTRACT.................................................................................................................................. II 1 緒 論 ........................................................................................................................................3 2 網(wǎng)絡(luò)安全概述 ............................................................................................................................4 我國網(wǎng)絡(luò)安全的現(xiàn)狀與挑戰(zhàn) ...............................................................................................4 我國網(wǎng)絡(luò)安全問題日益突出 .....................................................................................4 制約提高我國網(wǎng)絡(luò)安全防范能力的因素 ...................................................................4 對解決我國網(wǎng)絡(luò)安全問題的幾點建議 .......................................................................6 網(wǎng)絡(luò)安全面臨的挑戰(zhàn) ........................................................