【正文】 參 考 文 獻(xiàn)[1]雷震甲 . 網(wǎng)絡(luò)工程師文獻(xiàn) 北京 清華大學(xué)出版社[2] 黎連業(yè)、張維、向東明 . 路由器及其應(yīng)用技術(shù) 北京 清華大學(xué)出版社[3] Andrew . 計算機(jī)網(wǎng)絡(luò) 第四版 北京清華大學(xué)出版社[4] 遠(yuǎn)望圖書部 .局域網(wǎng)一點通 人民交通出版社[5] 李偉?。W(wǎng)絡(luò)安全實用技術(shù)標(biāo)準(zhǔn)教程 北京 清華大學(xué)出版社[6] 褚建立、劉彥舫?。?。另外，我還要感謝在這幾年來對我有所教導(dǎo)的老師，他們孜孜不倦的教誨不但讓我學(xué)到了很多知識，而且讓我掌握了學(xué)習(xí)的方法，更教會了我做人處事的道理，在此表示感謝。他無論在理論上還是在實踐中，都給與我很大的幫助，使我得到很大的提高，這對于我以后的工作和學(xué)習(xí)都有一種巨大的幫助，在此感謝他耐心的輔導(dǎo)。身上學(xué)到了很多東西。網(wǎng)絡(luò)安全是一項動態(tài)的、整體的系統(tǒng)工程，我們致力于結(jié)合本國家的網(wǎng)絡(luò)特點,制定妥善的網(wǎng)絡(luò)安全策略,將INTERNET的不安全性降至現(xiàn)有條件下的最低點,讓它為我們的工作和現(xiàn)代化建設(shè)更好的服務(wù).致 謝在論文即將完成之際，回顧緊張但又充實的學(xué)習(xí)和設(shè)計過程，本人在此向所有關(guān)心我的及幫助我的老師和同學(xué)們致以最真誠的感謝。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。正是由于應(yīng)用網(wǎng)關(guān)的這些特點,使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機(jī)。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。但包過濾技術(shù)的缺陷也是明顯的。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。第五章 安全技術(shù)的研究 安全技術(shù)的研究現(xiàn)狀和動向我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。 證書管理與撤消系統(tǒng) 證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應(yīng)公鑰的。要確保整個PKI系統(tǒng)的安全、靈活，就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。 注冊機(jī)構(gòu) RA（Registration Authority）是用戶和CA的接口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。構(gòu)建一個具有較強(qiáng)安全性的CA是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且與整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。 解密：m=cd(mod n) 利用目前已經(jīng)掌握的知識和理論，分解2048bit的大整數(shù)已經(jīng)超過了64位計算機(jī)的運算能力，因此在目前和預(yù)見的將來，它是足夠安全的。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數(shù)之積。最具有代表性是RSA公鑰密碼體制。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。如三重DES是DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的一種變形，這種方法使用兩個獨立的56為密鑰對信息進(jìn)行3次加密，從而使有效密鑰長度達(dá)到112位。如果在交換階段私有密鑰未曾泄露，那么機(jī)密性和報文完整性就可以得以保證。 對稱加密技術(shù)在對稱加密技術(shù)中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這樣不僅能夠保護(hù)用戶的投資,對提供防火墻產(chǎn)品的廠商來說,也擴(kuò)大了產(chǎn)品覆蓋面。如果早期購置的防火墻沒有可擴(kuò)充性,或擴(kuò)充成本極高,這便是對投資的浪費。(2) 可擴(kuò)充性 在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。其二是使用不當(dāng)。 通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設(shè)計是否合理,這類問題一般用戶根本無從入手,只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測試才能確定。 (1) 防火墻本身是安全的 作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機(jī)。當(dāng)然,對于關(guān)鍵部門來說,其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。 防火墻的選擇總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。在這一層上,企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。只要日志出現(xiàn)漏洞或時間出現(xiàn)變更，幾乎可以肯定：相關(guān)的主機(jī)安全受到了威脅。大多數(shù)事件是由于防火墻配置不當(dāng)造成的，使DoS/DDoS攻擊成功率很高，所以定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。這張圖應(yīng)該詳細(xì)標(biāo)明TCP/IP地址、主機(jī)、路由器及其他網(wǎng)絡(luò)設(shè)備，還應(yīng)該包括網(wǎng)絡(luò)邊界、非軍事區(qū)（DMZ）及網(wǎng)絡(luò)的內(nèi)部保密部分。這會使黑客有機(jī)會截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功能無異將陷入癱瘓。SSH不會在網(wǎng)上以明文格式傳送口令，而Telnet和Rlogin則正好相反，黑客能搜尋到這些口令，從而立即訪問網(wǎng)絡(luò)上的重要服務(wù)器。否則，黑客能通過電話線發(fā)現(xiàn)未受保護(hù)的主機(jī)，即刻就能訪問極為機(jī)密的數(shù)據(jù)。 4．確保運行在Unix上的所有服務(wù)都有TCP封裝程序，限制對主機(jī)的訪問權(quán)限。 3．確保從服務(wù)器相應(yīng)的目錄或文件數(shù)據(jù)庫中刪除未使用的服務(wù)如FTP或NFS。 2．