【正文】 25 結(jié)論 計(jì)算機(jī)網(wǎng)絡(luò)的安全問題越來越受到人們的重視，一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān)，而且和每個(gè)使用者的安全操作等都有關(guān)系。為防止 IP 地址欺騙和盜用需為對網(wǎng)絡(luò)內(nèi)部人員訪問 Inter進(jìn)行一定限制在連接內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)時(shí)進(jìn)行 IP地址和以太網(wǎng)地址檢查 ,盜用 IP 地址的數(shù)據(jù)包將被丟棄 ,并記錄有關(guān)信息 。 二、 校園網(wǎng)防火墻系統(tǒng)的配置 假定校園網(wǎng)通過 Cisco 路由器與 INTERNET 相連。 規(guī)則設(shè)置 配置防火墻的過濾規(guī)則（如圖 3。如圖 3。 7 示 : 圖 功能：停止防火墻的保護(hù)功能，執(zhí)行此功能后，您計(jì)算機(jī)將不再受瑞星防火墻的保護(hù)已處于停止保護(hù)狀態(tài)時(shí)，此按鈕將變?yōu)椤締⒂帽Ｗo(hù)】；點(diǎn)擊將重新啟用防火墻的保護(hù)功能，您也可以通過菜單項(xiàng)【操作】 /【停止保護(hù)】來執(zhí)行此功能；將您的計(jì)算機(jī)完全與網(wǎng)絡(luò)斷開，就如同拔掉網(wǎng)線或是關(guān)掉 Modem 一樣。 方法三：用鼠標(biāo)單擊任務(wù)欄“快速啟動(dòng)”上的【瑞星個(gè)人防火墻】快捷圖標(biāo) 22 即可啟動(dòng)。 3。點(diǎn)擊【確定】按鈕完成設(shè)置 小提示： 1。 2）升級 第一步網(wǎng)絡(luò)配置： ?打開防火墻主程序 ?在菜單中依次選擇【設(shè)置】 /【設(shè)置網(wǎng)絡(luò)】，打開【網(wǎng)絡(luò)設(shè)置】窗口 ,如圖 21 圖 1。 當(dāng)把瑞星個(gè)人防火墻下載版安裝程序保存到您電腦中的指定目錄后，找到該目錄，雙擊運(yùn)行安裝程序，就可以進(jìn)行瑞星個(gè)人防火墻下載版的安裝了。這樣，通過對各層進(jìn)行監(jiān)測，狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。同包過濾技術(shù)一樣，它能夠檢測通過 IP 地址、端口號以及 TCP 標(biāo)記，過濾進(jìn)出的數(shù)據(jù)包。與包過濾技術(shù)相比，代理技術(shù)是一種更安全的技術(shù) 【 9】 。當(dāng)代理服務(wù)器接收到用戶請求后，會(huì)檢查用戶請求合法性。 3）對一些協(xié)議，如UDP 和 RPC 難以有效的過濾。TCP/UDP 目的端口。而那些不符合規(guī)定 的 IP 地址會(huì)被防火墻過濾掉，由此保證網(wǎng)絡(luò)系統(tǒng)的安全。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端 ,其余數(shù)據(jù)包則被從數(shù)據(jù)流中 丟棄。防止內(nèi)部信息的外泄，通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離 ,而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。但是，防火墻系統(tǒng)一旦被攻擊突破或迂回繞過，就不能提供任何保護(hù)了。它是提供信息安全服務(wù) ,實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。網(wǎng)絡(luò)內(nèi)使用的 IP 地址作為一種資源以前一直為 某些管理人員所忽略，為了更好地進(jìn)行安全管理工作，應(yīng)該對本網(wǎng)內(nèi)的 IP 地址資源統(tǒng)一管理、統(tǒng)一分配。特別是當(dāng)連網(wǎng)的機(jī)器很多時(shí)，利用這種方法比為每臺(tái)工作站都安裝防病毒產(chǎn)品要 節(jié)省成本。用戶隨時(shí)將遇到的帶毒文件，經(jīng)過病毒特征分析程序，自動(dòng)將病毒特征加入特征庫，以隨時(shí)增強(qiáng)抗毒能力。 (6)對用戶開放的病毒特征接口 大家知道病毒及其變種層出不窮。 (4)自動(dòng)報(bào)告功能及病毒存檔 當(dāng)網(wǎng)絡(luò)用戶將帶毒文件有意或無意地拷入服務(wù)器中時(shí)，網(wǎng)絡(luò)防病毒系統(tǒng)必須立即通知網(wǎng)絡(luò)管理員，或涉嫌病毒的使用者，同時(shí)自己記入病毒檔案。為了保證病毒監(jiān)測實(shí)時(shí)性，通常采用多線索的設(shè)計(jì)方法，讓檢測程序作為一個(gè)隨時(shí)可以激活的功能模塊，且在 NetWare 運(yùn)行環(huán)境中，不影響其它線索的運(yùn)行。這樣，病毒也就失去了傳播途徑，因而從根本上杜絕了病毒在網(wǎng)上蔓延。 基于服務(wù)器的防毒技術(shù) 服務(wù)器是網(wǎng)絡(luò)的核心，一旦服務(wù)器被病毒感染，就會(huì)使服務(wù)器無法啟動(dòng)，整個(gè)網(wǎng)絡(luò)陷于癱瘓，造成災(zāi)難性后果。 Station Lock 也能處理一些基本的網(wǎng)絡(luò)安全性問題，例如存取控制、預(yù)放未授權(quán)拷貝以及在一個(gè)點(diǎn)對點(diǎn)網(wǎng)絡(luò)環(huán)境下限制工作站資源相互存取等。引 導(dǎo)型病毒必須使用系統(tǒng)的 BIOS 功能調(diào)用，文件型病毒必須將自己所有的程序代碼拷貝到另一個(gè)系統(tǒng)執(zhí)行文件時(shí)才能復(fù)制感染。但目前，Chipway 對防止網(wǎng)絡(luò)上廣為傳播的文件型病毒能力還十分有限。 Trend Micro Devices 公司解決的辦法是基于網(wǎng)絡(luò)上每個(gè)工作站都要求安裝網(wǎng)絡(luò)接口卡網(wǎng)絡(luò)接口卡 上有一個(gè) Boot Rom 芯片，因?yàn)槎鄶?shù)網(wǎng)卡的 Boot Rom 并沒有充分利用，都會(huì)剩余一些使用空間，所以如果安全程序夠小的話，就可以把它安裝在網(wǎng)絡(luò)的Boot Rom 的剩余空間內(nèi)，而不必另插一塊芯片?，F(xiàn)在市場上還沒有一種能夠 完全抵御計(jì)算機(jī)病毒侵染的網(wǎng)絡(luò)操作系統(tǒng)，從網(wǎng)絡(luò)安全性措施角度來看，在網(wǎng)絡(luò)上也是無法防止帶毒文件的入侵。這樣，病毒就無法對系統(tǒng)程序?qū)嵤└腥竞图纳?，其它用戶也就不?huì)感染病毒。屬性有：需歸檔、拷貝禁止、刪除禁止、僅執(zhí)行、隱含、索引、清洗、讀審記、寫審記、只讀、讀寫、改名禁止、可共享、系統(tǒng)和交易。這類軟件技術(shù)發(fā)展往往是被動(dòng)的，帶有滯后性。另一種是不針對具體病毒程序的自身校驗(yàn)技術(shù)。計(jì)算機(jī)病毒的預(yù)防應(yīng)用包括對 已知病毒的預(yù)防和對未知病毒的預(yù)防兩個(gè)部分。具體來說，計(jì)算機(jī)病毒的預(yù)防是通過阻止計(jì)算機(jī)病毒進(jìn)入系統(tǒng)內(nèi)存或阻止計(jì)算機(jī)病毒對磁盤的操作，尤其是寫操作。目前，對已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動(dòng)態(tài)判定技術(shù)。 預(yù)防病毒技術(shù)包括：磁盤引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。 入侵檢測技術(shù)同樣 存在問題 , 導(dǎo)致誤報(bào)率和漏報(bào)率 題 , 即期間的信息交換 ,共同協(xié)作發(fā)現(xiàn)攻擊并阻擊攻擊 3. 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)對加密的數(shù)據(jù)流及交換網(wǎng)絡(luò)下的數(shù)據(jù)流不能進(jìn)行檢測 , 并且其本身構(gòu)建易受攻擊 4. 入侵檢測系統(tǒng)體系結(jié)構(gòu)問題 防病毒技術(shù) 計(jì)算機(jī)病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止 計(jì)算機(jī)病毒對系統(tǒng)的傳染和 14 破壞。 入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。對動(dòng)態(tài)數(shù)據(jù)的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。而保護(hù)網(wǎng)絡(luò)安全是動(dòng)態(tài)的過程，防火墻需要積極地維護(hù)和升級。作為安全管理員來說，應(yīng)當(dāng)時(shí)刻留心廠家發(fā)布的升級包，及時(shí)給防火墻打上最新的補(bǔ)丁。因此該機(jī)構(gòu)的防火墻軟件版本一直還是購買時(shí)的舊版本，雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級包，但從未手工升級過。 解決辦法：購買防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或 IDS 等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號，然后 確定所要購買的防火墻是否有聯(lián)動(dòng)功能（即是否支持其他安全產(chǎn)品，尤其是 IDS 產(chǎn)品），支持的是哪些品牌和型號的產(chǎn)品，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時(shí)間段生效的安全規(guī)則，在非工作時(shí)間打開 使用的 TCP/UDP 端口，使得企業(yè)員工可以在 工余時(shí)間使用 聊天軟件。在本案例中，防火墻投入使用后，沒有禁止私自撥號上網(wǎng)行為，使得許 多 PC 機(jī)通過電話線和 Inter 相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過攻擊這些 PC 機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開了防火墻。這樣，防火墻就把整個(gè)網(wǎng)絡(luò)分為 3個(gè)區(qū)域 : 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。 該企業(yè)網(wǎng)絡(luò)環(huán)境如圖 所示： 11 圖 該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī)，出口通過路由器和 ISP 連接。這對于 路由器 來說，就要不僅分析 IP 層的信息，而且還要進(jìn)一步了解 TCP 傳輸層甚至應(yīng)用層的信息以進(jìn)行取舍。 企業(yè)信息系統(tǒng) 對于來自 Inter 的訪問，采取有選擇的接 收方式。 防火墻（ FireWall）成為近年來新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全 技術(shù) 性措施。在汽車中，利用防火墻把乘客和 引擎 隔開，以便汽車引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時(shí)還能讓 司機(jī) 繼續(xù)控制引擎。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來安全隱患。 ②網(wǎng)絡(luò)的開放性 網(wǎng)上的任何一個(gè)用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的敏感性信息。目前，美國正開展用無線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡(luò)方式把病毒植入敵方計(jì)算機(jī)主機(jī)或各類傳感器、網(wǎng)橋中的研究以伺機(jī)破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡(luò)系統(tǒng)。要使網(wǎng)絡(luò)更方便快捷，又要保證網(wǎng)絡(luò)安全，這是一個(gè)非常棘手的“兩難選擇”，而網(wǎng)絡(luò)安全只能在“兩難選擇”所允許的范圍中尋找支撐點(diǎn)。對于數(shù)據(jù)庫的安全而言，就是要保證數(shù)據(jù)的安全可靠和正確有效，即確保數(shù)據(jù)的安全性、完 整性。操作系統(tǒng)提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。 ? 信息泄漏 惡意、過失的不合理信息上傳和發(fā)布，可能會(huì)造成敏感信息泄漏、有害信息擴(kuò)散，危及社會(huì)、國家、體和個(gè)人利益。 ? 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為 對于來自網(wǎng)絡(luò)內(nèi)部的攻擊，主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無能為力，這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息審計(jì)、 IDS 等主要針對內(nèi)部網(wǎng)絡(luò)安全的安全產(chǎn)品來抵御。像 Nimda 和 CodeRed 的爆發(fā)更是具有深遠(yuǎn)的影響，促使人們不得不在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)考慮對于各種病毒的檢測防治，對病毒徹底防御的重要性毋庸置疑。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種： ? 網(wǎng)絡(luò)缺陷 Intemet 由于它的開放性迅速在全球范圍內(nèi)普及，但也正是因?yàn)殚_放性使其保護(hù)信息安全存在先天不足。 （如偵聽微機(jī)操作過 程）。這些威脅可以宏觀地分為自然威脅和人為威脅。例如從普 通使用者的角度來說，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。 Key words: Computer work, Network security, The prevention measures, Firewall technology IV 目錄 摘 要 ............................................................ II Abstract ........................................................ III 引言 ...................................................