【正文】 同時(shí)封掉撥號(hào)上網(wǎng)的電話號(hào)碼，并購(gòu)買檢測(cè)撥號(hào)上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺(tái)防火墻是不夠的。加入防火墻后，給防火墻分配一個(gè)VLAN 4中的空閑IP地址，并把網(wǎng)關(guān)指向路由器；將VLAN 5接入到防火墻的一個(gè)網(wǎng)口上。例1：未制定完整的企業(yè)安全策略 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)網(wǎng)絡(luò)環(huán)境：某中型企業(yè)購(gòu)買了適合自己網(wǎng)絡(luò)特點(diǎn)的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表?yè)P(yáng)了負(fù)責(zé)防火墻安裝實(shí)施的信息部。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。 防火墻技術(shù)防火墻網(wǎng)絡(luò)安全的屏障，配置防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒，這是最難防范的網(wǎng)絡(luò)安全威脅。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來安全隱患。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的最終載體之一，它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時(shí)還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。隨著互聯(lián)網(wǎng)需求的日益增長(zhǎng)，外部服務(wù)請(qǐng)求不可能做到完全隔離，攻擊者利用服務(wù)請(qǐng)求的機(jī)會(huì)很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障，但人們普遍缺乏安全意識(shí)，從而使這些保護(hù)措施形同虛設(shè)。當(dāng)人們用一臺(tái)主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機(jī)器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺(tái)處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)，他就可以劫持用戶的數(shù)據(jù)包。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對(duì)TCP/IP很熟悉，就可以利用它的安全缺陷來實(shí)施網(wǎng)絡(luò)攻擊。更有基于競(jìng)爭(zhēng)需要，利用技術(shù)手段對(duì)目標(biāo)機(jī)信息資源進(jìn)行竊取。l 網(wǎng)絡(luò)資源濫用網(wǎng)絡(luò)有了安全保證和帶寬管理，依然不能防止員工對(duì)網(wǎng)絡(luò)資源的濫用。l 管理的欠缺及資源濫用很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對(duì)于網(wǎng)絡(luò)安全的認(rèn)識(shí)，管理上存在很多漏洞，特別是國(guó)內(nèi)的企業(yè)，只是提供了接入Internet的通道，對(duì)于網(wǎng)絡(luò)上黑客的攻擊缺乏基本的應(yīng)對(duì)措施，同時(shí)企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，這是造成網(wǎng)絡(luò)安全問題的根本原因。Internet最初的設(shè)計(jì)考慮主要是考慮資源共享，基本沒有考慮安全問題，缺乏相應(yīng)的安全監(jiān)督機(jī)制。這些無目的的事件，有時(shí)會(huì)直接威脅網(wǎng)絡(luò)的安全，影響信息的存儲(chǔ)媒體。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。本文主要研究網(wǎng)絡(luò)安全的缺陷原由及網(wǎng)絡(luò)安全技術(shù)的原理和其他技術(shù)，如防火墻技術(shù)對(duì)網(wǎng)絡(luò)安全起到的不可忽視的影響。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。As the protection of local subnet an effective means, firewall technology。關(guān)鍵字：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防范措施；防火墻技術(shù)婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)Abstract With the development of The Times, the Internet has bee increasingly popular and network information resources of the sea, and bring great convenience。本文主要闡述了網(wǎng)絡(luò)安全技術(shù)所要受到的各方面威脅以及自身存在的一些缺陷，所謂知己知彼，百戰(zhàn)不殆。但由于Internet是一個(gè)開放的，無控制機(jī)構(gòu)的網(wǎng)絡(luò)，經(jīng)常會(huì)受到計(jì)算機(jī)病毒、黑客的侵襲。寫論文的這段時(shí)間，老師淵博的學(xué)識(shí)，嚴(yán)謹(jǐn)?shù)闹螌W(xué)太多和細(xì)心指導(dǎo)，以及他給我的支持和鼓勵(lì)使我終身難忘，我所取得的每一點(diǎn)成就都與導(dǎo)師的熱心關(guān)懷和精心指導(dǎo)是分不開的，值此論文完成之際，特別向?qū)熤乱灾孕牡母兄x各崇高的敬意。結(jié)論計(jì)算機(jī)網(wǎng)絡(luò)的安全問題越來越受到人們的重視，一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識(shí)有關(guān)，而且和每個(gè)使用者的安全操作等都有關(guān)系。為防止IP地址欺騙和盜用需為對(duì)網(wǎng)絡(luò)內(nèi)部人員訪問Internet進(jìn)行一定限制在連接內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)時(shí)進(jìn)行IP地址和以太網(wǎng)地址檢查,盜用IP地址的數(shù)據(jù)包將被丟棄,并記錄有關(guān)信息。二、校園網(wǎng)防火墻系統(tǒng)的配置假定校園網(wǎng)通過Cisco路由器與INTERNET相連。規(guī)則設(shè)置配置防火墻的過濾規(guī)則（如圖3。如圖3。7示: 功能：停止防火墻的保護(hù)功能，執(zhí)行此功能后，您計(jì)算機(jī)將不再受瑞星防火墻的保護(hù)已處于停止保護(hù)狀態(tài)時(shí)，此按鈕將變?yōu)椤締⒂帽Ｗo(hù)】；點(diǎn)擊將重新啟用防火墻的保護(hù)功能，您也可以通過菜單項(xiàng)【操作】/【停止保護(hù)】來執(zhí)行此功能；將您的計(jì)算機(jī)完全與網(wǎng)絡(luò)斷開，就如同拔掉網(wǎng)線或是關(guān)掉Modem一樣。方法三：用鼠標(biāo)單擊任務(wù)欄“快速啟動(dòng)”上的【瑞星個(gè)人防火墻】快捷圖標(biāo)即可啟動(dòng)。3。點(diǎn)擊【確定】按鈕完成設(shè)置小提示：1。2）升級(jí)第一步網(wǎng)絡(luò)配置：?打開防火墻主程序?在菜單中依次選擇【設(shè)置】/【設(shè)置網(wǎng)絡(luò)】，打開【網(wǎng)絡(luò)設(shè)置】窗口, 1。當(dāng)把瑞星個(gè)人防火墻下載版安裝程序保存到您電腦中的指定目錄后，找到該目錄，雙擊運(yùn)行安裝程序，就可以進(jìn)行瑞星個(gè)人防火墻下載版的安裝了。這樣，通過對(duì)各層進(jìn)行監(jiān)測(cè)，狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。同包過濾技術(shù)一樣，它能夠檢測(cè)通過IP地址、端口號(hào)以及TCP標(biāo)記，過濾進(jìn)出的數(shù)據(jù)包。與包過濾技術(shù)相比，代理技術(shù)是一種更安全的技術(shù)【9】。當(dāng)代理服務(wù)器接收到用戶請(qǐng)求后，會(huì)檢查用戶請(qǐng)求合法性。3）對(duì)一些協(xié)議，如UDP和RPC難以有效的過濾。TCP/UDP目的端口。而那些不符合規(guī)定的IP地址會(huì)被防火墻過濾掉，由此保證網(wǎng)絡(luò)系統(tǒng)的安全。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。防止內(nèi)部信息的外泄，通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。但是，防火墻系統(tǒng)一旦被攻擊突破或迂回繞過，就不能提供任何保護(hù)了。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進(jìn)行安全管理工作，應(yīng)該對(duì)本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。特別是當(dāng)連網(wǎng)的機(jī)器很多時(shí)，利用這種方法比為每臺(tái)工作站都安裝防病毒產(chǎn)品要節(jié)省成本。用戶隨時(shí)將遇到的帶毒文件，經(jīng)過病毒特征分析程序，自動(dòng)將病毒特征加入特征庫(kù)，以隨時(shí)增強(qiáng)抗毒能力。(6)對(duì)用戶開放的病毒特征接口大家知道病毒及其變種層出不窮。(4)自動(dòng)報(bào)告功能及病毒存檔當(dāng)網(wǎng)絡(luò)用戶將帶毒文件有意或無意地拷入服務(wù)器中時(shí)，網(wǎng)絡(luò)防病毒系統(tǒng)必須立即通知網(wǎng)絡(luò)管理員，或涉嫌病毒的使用者，同時(shí)自己記入病毒檔案。為了保證病毒監(jiān)測(cè)實(shí)時(shí)性，通常采用多線索的設(shè)計(jì)方法，讓檢測(cè)程序作為一個(gè)隨時(shí)可以激活的功能模塊，且在NetWare運(yùn)行環(huán)境中，不影響其它線索的運(yùn)行。這樣，病毒也就失去了傳播途徑，因而從根本上杜絕了病毒在網(wǎng)上蔓延?；诜?wù)器的防毒技術(shù)服務(wù)器是網(wǎng)絡(luò)的核心，一旦服務(wù)器被病毒感染，就會(huì)使服務(wù)器無法啟動(dòng)，整個(gè)網(wǎng)絡(luò)陷于癱瘓，造成災(zāi)難性后果。Station Lock也能處理一些基本的網(wǎng)絡(luò)安全性問題，例如存取控制、預(yù)放未授權(quán)拷貝以及在一個(gè)點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)環(huán)境下限制工作站資源相互存取等。引導(dǎo)型病毒必須使用系統(tǒng)的BIOS功能調(diào)用，文件型病毒必須將自己所有的程序代碼拷貝到另一個(gè)系統(tǒng)執(zhí)行文件時(shí)才能復(fù)制感染。但目前，Chipway對(duì)防止網(wǎng)絡(luò)上廣為傳播的文件型病毒能力還十分有限。Trend Micro Devices公司解決的辦法是基于網(wǎng)絡(luò)上每個(gè)工作站都要求安裝網(wǎng)絡(luò)接口卡網(wǎng)絡(luò)接口卡上有一個(gè)Boot Rom芯片，因?yàn)槎鄶?shù)網(wǎng)卡的Boot Rom并沒有充分利用，都會(huì)剩余一些使用空間，所以如果安全程序夠小的話，就可以把它安裝在網(wǎng)絡(luò)的Boot Rom的剩余空間內(nèi)，而不必另插一塊芯片?，F(xiàn)在市場(chǎng)上還沒有一種能夠完全抵御計(jì)算機(jī)病毒侵染的網(wǎng)絡(luò)操作系統(tǒng)，從網(wǎng)絡(luò)安全性措施角度來看，在網(wǎng)絡(luò)上也是無法防止帶毒文件的入侵。這樣，病毒就無法對(duì)系統(tǒng)程序?qū)嵤└腥竞图纳?，其它用戶也就不?huì)感染病毒。屬性有：需歸檔、拷貝禁止、刪除禁止、僅執(zhí)行、隱含、索引、清洗、讀審記、寫審記、只讀、讀寫、改名禁止、可共享、系統(tǒng)和交易。這類軟件技術(shù)發(fā)展往往是被動(dòng)的，帶有滯后性。另一種是不針對(duì)具體病毒程序的自身校驗(yàn)技術(shù)。計(jì)算機(jī)病毒的預(yù)防應(yīng)用包括對(duì)已知病毒的預(yù)防和對(duì)未知病毒的預(yù)防兩個(gè)部分。具體來說，計(jì)算機(jī)病毒的預(yù)防是通過阻止計(jì)算機(jī)病毒進(jìn)入系統(tǒng)內(nèi)存或阻止計(jì)算機(jī)病毒對(duì)磁盤的操作，尤其是寫操作。目前，對(duì)已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對(duì)未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動(dòng)態(tài)判定技術(shù)。預(yù)防病毒技術(shù)包括：磁盤引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。入侵檢測(cè)技術(shù)同樣存在問題, 導(dǎo)致誤報(bào)率和漏報(bào)率, 即期間的信息交換,共同協(xié)作發(fā)現(xiàn)攻擊并阻擊攻擊, 并且其本身構(gòu)建易受攻擊 防病毒技術(shù)計(jì)算機(jī)病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)的傳染和破壞。入侵檢測(cè)的作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。對(duì)動(dòng)態(tài)數(shù)據(jù)的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。而保護(hù)網(wǎng)絡(luò)安全是動(dòng)態(tài)的過程，防火墻需要積極地維護(hù)和升級(jí)。作為安全管理員來說，應(yīng)當(dāng)時(shí)刻留心廠家發(fā)布的升級(jí)包，及時(shí)給防火墻打上最新的補(bǔ)丁。因此該機(jī)構(gòu)的防火墻軟件版本一直還是購(gòu)買時(shí)的舊版本，雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級(jí)包，但從未手工升級(jí)過。解決辦法：購(gòu)買防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號(hào)，然后確定所要購(gòu)買的防火墻是否有聯(lián)動(dòng)功能（即是否支持其他安全產(chǎn)品，尤其是IDS產(chǎn)品），支持的是哪些品牌和型號(hào)的產(chǎn)品，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時(shí)間段生效的安全規(guī)則，在非工作時(shí)間打開使用的TCP/UDP端口，使得企業(yè)員工可以在工余時(shí)間使用聊天軟件。在本案例中，防火墻投入使用后，沒有禁止私自撥號(hào)上網(wǎng)行為，使得許多PC機(jī)通過電話線和Internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過攻擊這些PC機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開了防火墻。這樣，防火墻就把整個(gè)網(wǎng)絡(luò)分為3個(gè)區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。： 該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī)，出口通過路由器和ISP連接。這對(duì)于路由器來說，就要不僅分析IP層的信息，而且還要進(jìn)一步了解TCP傳輸層甚至應(yīng)用層的信息以進(jìn)行取舍。企業(yè)信息系統(tǒng)對(duì)于來自Internet的訪問，采取有選擇的接收方式。防火墻（FireWall）成為近年來新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時(shí)還能讓司機(jī)繼續(xù)控制引擎。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來安全隱患。②網(wǎng)絡(luò)的開放性網(wǎng)上的任何一個(gè)用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的敏感性信息。目前，美國(guó)正開展用無線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡(luò)方式把病毒植入敵方計(jì)算機(jī)主機(jī)或各類傳感器、網(wǎng)橋中的研究以伺機(jī)破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡(luò)系統(tǒng)。要使網(wǎng)絡(luò)更方便快捷，又要保證網(wǎng)絡(luò)安全，這是一個(gè)非常棘手的“兩難選擇”，而網(wǎng)絡(luò)安全只能在“兩難選擇”所允許的范圍中尋找支撐點(diǎn)。對(duì)于數(shù)據(jù)庫(kù)的安全而言，就是要保證數(shù)據(jù)的安全可靠和正確有效，即確保數(shù)據(jù)的安全性、完整性。操作系統(tǒng)提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。l 信息泄漏惡意、過失的不合理信息上傳和發(fā)布，可能會(huì)造成敏感信息泄漏、有害信息擴(kuò)散，危及社會(huì)、國(guó)家、體和個(gè)人利益。l 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為對(duì)于來自網(wǎng)絡(luò)內(nèi)部的攻擊，主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無能為力，這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息審計(jì)、IDS等主要針對(duì)內(nèi)部網(wǎng)絡(luò)安全的安全產(chǎn)品來抵御。像Nimda和CodeRed的爆發(fā)更是具有深遠(yuǎn)的影響，促使人們不得不在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)考慮對(duì)于各種病毒的檢測(cè)防治，對(duì)病毒徹底防御的重要性毋庸置疑。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種： l 網(wǎng)絡(luò)缺陷Intemet由于它的開放性迅速在全球范圍內(nèi)普及，但也正是因?yàn)殚_放性使其保護(hù)信息安全存在先天不足。（如偵聽微機(jī)操作過程）。這些威脅可以宏觀地分為自然威脅和人為威脅。例如從普通使用者的角度來說，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。Key words: Computer network, Network security, The prevention measures, Firewall technologyIII目錄摘 要..................................................................II Abstract..............................................................III 引言....................................................................5 第一章 網(wǎng)絡(luò)安全概述..........................................