【正文】 2004:1.[ 3 ]李成大，[M].北京：人民郵電出版社，2004.。沒有他的指導(dǎo)和幫助，我是不可能順利圓滿地完成論文的工作參考文獻(xiàn)[ 1 ]高傳善，[M].北京：高等教育出版社,2001.[ 2 ]張亞平.通過這一階段的學(xué)習(xí)和研究，該項(xiàng)目終于完成，雖然耗費(fèi)了許多精力和時(shí)間，但是它也驗(yàn)證了我的知識(shí)和能力，讓我有了不斷提高自身素質(zhì)的意識(shí)。使我學(xué)會(huì)了如何利用所學(xué)的知識(shí),把理論結(jié)合于實(shí)踐中,進(jìn)一步掌握了局域網(wǎng)安全問題及對(duì)策,從而對(duì)本專業(yè)有了更深刻的認(rèn)識(shí)。不僅是我學(xué)到了許多社會(huì)經(jīng)驗(yàn)，更重要的是讓我開拓了眼界，是我意識(shí)到現(xiàn)代化科學(xué)技術(shù)的發(fā)展，以及它的優(yōu)越性。只要我們正視網(wǎng)絡(luò)的脆弱性和潛在威脅，不斷健全網(wǎng)絡(luò)的相關(guān)法規(guī)，提高網(wǎng)絡(luò)安全防范的技術(shù)是否被授權(quán)，從而阻止對(duì)信息資源的非法用戶使用網(wǎng)絡(luò)系統(tǒng)時(shí)所進(jìn)行的所有活動(dòng)的水平，才能有力地保障網(wǎng)絡(luò)安全。 總結(jié)網(wǎng)絡(luò)安全技術(shù)和病毒防護(hù)是一個(gè)涉及多方面的系統(tǒng)工程，在實(shí)際工作中既需要綜合運(yùn)用以上方法，還要將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，又需要規(guī)范和創(chuàng)建必要的安全管理模式、規(guī)章制度來約束人們的行為。通過IP/MAC綁定后，再實(shí)施流量過濾就顯得有效多了。要實(shí)施基于IP或MAC地址過濾的訪問控制，就必須進(jìn)行IP/MAC地址的綁定，禁止用戶對(duì)IP或MAC的修改。綁定Packet）。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包（Broadcast一種很危險(xiǎn)的情況是:用戶TELNET到一臺(tái)主機(jī)上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個(gè)字符（包括用戶名、密碼等重要信息），都將被明文發(fā)送，這就給黑客提供了機(jī)會(huì)。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺(tái)機(jī)器之間的數(shù)據(jù)包（稱為單播包Unicast以交換式集線器代替共享式集線器對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險(xiǎn)仍然存在。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。網(wǎng)絡(luò)分段局域網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng)，任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收，也同時(shí)為處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取?；贛AC地址的VLAN為移動(dòng)計(jì)算提供了可能性，但同時(shí)也潛藏著遭受MAC欺詐攻擊的隱患。目前的VLAN技術(shù)主要有三種：基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN。防止網(wǎng)絡(luò)偵聽經(jīng)過綜合調(diào)試后，一個(gè)基本的IDS就構(gòu)建完成了，但是此時(shí)還不能放松警惕，因?yàn)樵谝院蟮膽?yīng)用中要不斷地對(duì)它進(jìn)行維護(hù)，特別是其檢測(cè)能力的提高；同時(shí)還要注意與防火墻等其它系統(tǒng)安全方面的軟件相配合，以期從整體性能上提高局域網(wǎng)的安全能力。但要使這個(gè)IDS順利地運(yùn)轉(zhuǎn)起來，還需要保持各個(gè)部分之間安全、順暢地通信和交互，這就是綜合調(diào)試工作所要解決的問題，主要包括要實(shí)現(xiàn)數(shù)據(jù)采集分析中心和控制管理中心之間的雙向通信及保證通信的安全性，最好對(duì)通信數(shù)據(jù)流進(jìn)行加密操作，以防止被竊聽或篡改。第五，完成綜合調(diào)試。數(shù)據(jù)庫管理子系統(tǒng)的前端程序通常與控制臺(tái)子系統(tǒng)集成在一起，用Access或其他數(shù)據(jù)庫存儲(chǔ)警報(bào)信息和其他數(shù)據(jù)。第四，需要構(gòu)建數(shù)據(jù)庫管理子系統(tǒng)?？刂婆_(tái)子系統(tǒng)的主要任務(wù)有：管理數(shù)據(jù)采集分析中心，以友好、便于查詢的方式顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報(bào)消息；根據(jù)安全策略進(jìn)行一系列的響應(yīng)動(dòng)作，以阻止非法行為，確保網(wǎng)絡(luò)的安全。第三，需要構(gòu)建控制臺(tái)子系統(tǒng)。應(yīng)優(yōu)化檢測(cè)模型和算法的設(shè)計(jì)，確保系統(tǒng)的執(zhí)行效率；安全規(guī)則的制訂要充分考慮包容性和可擴(kuò)展性，以提高系統(tǒng)的伸縮性；報(bào)警消息要遵循特定的標(biāo)準(zhǔn)格式，增強(qiáng)其共享與互操作能力，切忌隨意制訂消息格式的不規(guī)范做法。設(shè)計(jì)數(shù)據(jù)分析模塊的工作量浩大，需要不斷地更新、升級(jí)、完善。其次，應(yīng)建立數(shù)據(jù)分析模塊。然后，需要構(gòu)建并配置探測(cè)器，實(shí)現(xiàn)數(shù)據(jù)采集功能。 首先，數(shù)據(jù)采集機(jī)制是實(shí)現(xiàn)IDS的基礎(chǔ)，數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層，其主要目的是從網(wǎng)絡(luò)環(huán)境中獲取事件，并向其他部分提供事件。構(gòu)建一個(gè)基本的IDS,具體需考慮以下幾個(gè)方面的內(nèi)容。具體實(shí)現(xiàn)起來，一般都將數(shù)據(jù)采集子系統(tǒng)和數(shù)據(jù)分析子系統(tǒng)在Linux或Unix平臺(tái)上實(shí)現(xiàn)，稱之為數(shù)據(jù)采集分析中心；將控制臺(tái)子系統(tǒng)在Windows 根據(jù)CIDF規(guī)范，從功能上將IDS第二步是信息分析，收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，被送到檢測(cè)引擎，檢測(cè)引擎駐留在傳感器中，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。攻擊者進(jìn)行攻擊的時(shí)候會(huì)留下痕跡，這些痕跡和系統(tǒng)正常運(yùn)行的時(shí)候產(chǎn)生的數(shù)據(jù)混在一起。 入侵檢測(cè)跟其他檢測(cè)技術(shù)有同樣的原理。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng) 入侵檢測(cè)是指通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。入侵檢測(cè)系統(tǒng)監(jiān)測(cè)引擎采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)督測(cè)，抽取狀態(tài)信息，并動(dòng)態(tài)地保存起來，作為以后執(zhí)行安全策略的參考。全狀態(tài)檢測(cè)防火墻在包過濾的同時(shí)，檢測(cè)數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動(dòng)態(tài)變化的狀態(tài)碼。而在整個(gè)服務(wù)過程中,應(yīng)用代理一直監(jiān)控著用戶的操作,一旦用戶進(jìn)行非法操作,就可以進(jìn)行干涉,并對(duì)每一個(gè)操作進(jìn)行記錄。 另一種情況是,外部網(wǎng)通過代理訪問內(nèi)部網(wǎng),當(dāng)外部網(wǎng)絡(luò)節(jié)點(diǎn)提出服務(wù)請(qǐng)求時(shí),代理服務(wù)器首先對(duì)該用戶身份進(jìn)行驗(yàn)證。當(dāng)決定轉(zhuǎn)發(fā)時(shí),代理服務(wù)器上的客戶進(jìn)程向真正的服務(wù)器發(fā)出請(qǐng)求,服務(wù)器返回代理服務(wù)器轉(zhuǎn)發(fā)客戶機(jī)的數(shù)據(jù)。 代理技術(shù)是在應(yīng)用層實(shí)現(xiàn)防火墻功能,代理服務(wù)器執(zhí)行內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)時(shí)的中轉(zhuǎn)連接作用。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全和接受與否。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問7在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪7對(duì)于一個(gè)危險(xiǎn)的網(wǎng)絡(luò)，用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò)，也可限制內(nèi)部人員對(duì)一些站點(diǎn)的訪問。 ,只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口，而其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。 即使侵襲者侵入堡壘主機(jī)，他將仍然必須通過內(nèi)部路由器。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)“隔離帶”。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為，兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)。(2)不允許來自內(nèi)部主機(jī)的所有連接（強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù)）。因此堡壘主機(jī)要保持更高等級(jí)的主機(jī)安全。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，如圖4所示。被屏蔽主機(jī)體系結(jié)構(gòu)外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。防火墻是一種用來增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全性的系統(tǒng)，它將網(wǎng)絡(luò)隔離為內(nèi)部網(wǎng)和外部網(wǎng)，從某種程度上來說，防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站，它一般由一臺(tái)和多臺(tái)計(jì)算機(jī)構(gòu)成，它對(duì)內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進(jìn)行分析、檢測(cè)、管理和控制，通過對(duì)數(shù)據(jù)的篩選和過濾，來防止未授權(quán)的訪問進(jìn)出內(nèi)部計(jì)算機(jī)網(wǎng)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)資源和信息的目的。 （3）用干凈的系統(tǒng)盤啟動(dòng)文件服務(wù)器，系統(tǒng)管理員登錄后，使用disable（2）用干凈的系統(tǒng)盤啟動(dòng)系統(tǒng)管理員工作站，并立即清除本機(jī)工作站中含有的病毒。 （1）立即停止使用受感染的電腦，并停止電腦與網(wǎng)絡(luò)的聯(lián)接,因?yàn)椴《緯?huì)隨時(shí)發(fā)作，繼續(xù)使用受感染的電腦，只會(huì)加速該病毒的擴(kuò)散,用broadcast命令通知包括系統(tǒng)管理員在內(nèi)的所有用戶退網(wǎng),關(guān)閉文件服務(wù)器。清除網(wǎng)絡(luò)病毒匯報(bào)出現(xiàn)的新問題、新情況，做到