【正文】 同時，在論文設計 過程中還有同 班 的同學 也 給 了 我不少幫助，這里一并表示感謝。在撰寫論文階段，他幾次審閱我們的論文，提出了許多寶貴意見，沒有他的指導，我們就不能較好的完成課題設計的任務。 他 認真負責的工作態(tài)度，嚴謹?shù)闹螌W精神和深厚的理論水平都使我收益匪淺。 22 參 考 文 獻 [1]雷震甲 . 網(wǎng)絡工程師文獻 北京 清華大學出版社 [2] 黎連業(yè)、張維、向東明 . 路由器及其應用技術 北京 清華大學出版社 [3] Andrew . 計算機網(wǎng)絡 第四版 北京 清華大學出版社 [4] 謝希仁 .計算機網(wǎng)絡 .電子工業(yè)出版社 [5] 李偉 ．網(wǎng)絡安全實用技術標準教程 北京 清華大學出版社 [6] 褚建立、劉彥舫 ．計算機網(wǎng)絡技術 北京 清華大學出版社 23 致 謝 在論文即將完成之際，回顧緊張但又充實的學習和設計過程，本人在此向所有關心 我的及幫助我的老師和同學們致以最真誠的感謝。政府不僅應該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。 21 結(jié)束語 互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人民不可或缺的工具，其發(fā)展速度也快得驚人，以此而來的攻擊破壞可謂層出不窮，為了有效的防止入侵把損失降到最低，我們必須時刻注意安全問題，使用盡量多而可靠的安全工具經(jīng)常維護，讓我們的網(wǎng)絡體系完善可靠，在 INTERNET為我們提供了大量的機會的同時 ,也在安全性方面帶給我們嚴峻的挑戰(zhàn) .我們不能因為害怕挑戰(zhàn)而拒絕它 ,否則會得不償失，信息安全是一個國家發(fā) 展所面臨的一個重要問題。例如 ,它可以過濾掉 FTP連接中的 PUT命令 ,而且通過代理應用 ,應用網(wǎng)關能夠有效地避免內(nèi)部 網(wǎng)絡的信息外泄。 實際上 ,作為當前防火墻產(chǎn)品的主流趨勢 ,大多數(shù)代理服務器 (也稱應用網(wǎng)關 )也集成了包過濾技術 ,這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。 代 理型防火墻的優(yōu)點是安全性較高 ,可以針對應用層進行偵測和掃描 ,對付基于應用層的侵入和病毒都十分有效。當客戶機需要使用服務器上的數(shù)據(jù)時 ,首先將數(shù)據(jù)請求發(fā)給代理服務器 ,代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù) ,然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。從客戶機來看 ,代理服務器相當于一臺真正的服務器 。 代理型 代理型防火墻也可以被稱為代理服務器 ,它的安全性要高于包過濾型產(chǎn)品 ,并已經(jīng)開始向應用層發(fā)展。包過濾技術是一種完全基于網(wǎng)絡層的安全技術 ,只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷 ,無法識別基于應用層的惡意侵入 ,如惡意的 Java小程序以及電子郵件中附帶的病毒。 包過濾技術的優(yōu)點是簡單實用 ,實現(xiàn)成本較低 ,在應用環(huán)境比較簡單的情況下 ,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這 些“包”是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包 ,防火墻便會將這些數(shù)據(jù)拒之門外。 包過濾型 包過濾型產(chǎn)品是防火墻的初級產(chǎn)品 ,其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。但因信息網(wǎng)絡安全領域是一個綜合、交叉的學科領域它綜合了利用數(shù)學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡安全的方案，目前應從安全體系 結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的發(fā)布機制撤消證書或采用在線查詢機制，隨時查詢被撤消的證書。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。 密鑰備份和恢復 為了保證數(shù)據(jù)的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關系到整個 PKI系統(tǒng)強健性、安全性、可用性的重要因素。 RA 不僅要支持面對面的登記，也必須支持遠程登記。此外，靈活也是 CA能否得到市場認同的一個關鍵，它不需支持各種通用的國際標準，能夠很好地和其他廠家的 CA 產(chǎn)品兼容。 CA 也要采取一系列相應的措施來防止電子證書被偽造 或篡改。 注冊與認證管理 認證機構(gòu) CA（ Certification Authorty）就是這樣一個確保信任度的權(quán)威實體，它的主要職責是頒發(fā)證書、驗證用戶身份的真實性。 RSA算法的描述如下： 公開密鑰： n=pq(p、 q分別為兩個互異的大素數(shù)， p、 q必須保密 ) e與（ p1） (q1)互素 18 私有密鑰： d=e1 {mod(p1)(q1)} 加密： c=me(mod n),其中 m為明文 ， c為密文。 RSA算法 RSA算法是 Rivest、 Shamir和 Adleman于 1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。非對稱加密體系一般是建立在某些已知的數(shù)學難題之上，是計算機復雜性理論發(fā)展的 必然結(jié)果。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應于生成密鑰的交換方。 非對稱加密 /公開密鑰加密 在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。對稱加密技術也存在一些不足，如果交換一方有 N個交換對象，那么他就要維護 N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。 17 加密技術 信息交換加密技術分為兩類：即對稱加密和非對稱加密。好的產(chǎn)品應該留給用戶足夠的彈性空間 ,在安全水平要求不高的情況下 ,可以只選購基本系統(tǒng) ,而隨著要求的提高 ,用戶仍然有進一步增加選件的余地。但隨著網(wǎng)絡的擴容和網(wǎng) 絡應用的增加 ,網(wǎng)絡的風險成本也會急劇上升 ,此時便需要增加具有更高安全性的防火墻產(chǎn)品。一般來說 ,防火墻的許多配置需要系統(tǒng)管理員手工修改 ,如果系統(tǒng)管理員對防火墻不十分熟悉 ,就有可能在配置過程中遺留大量的安全漏洞。所以對用戶來說 ,保守的方法是選擇一個通過多家權(quán)威認證機構(gòu)測試的產(chǎn)品。如果像馬其諾防線一樣 ,正面雖然牢不可破 ,但進攻者能夠輕易地繞過防線進入系統(tǒng)內(nèi)部 ,網(wǎng)絡系統(tǒng)也就沒有任何安全性可言了 。如果僅做粗略估算 ,非關鍵部門的防火墻購置成本不應該超過網(wǎng)絡系統(tǒng)的建設總成本 ,關鍵部門則應另當別論選擇防火墻的標準有很多 ,但最重要的是以下兩條 :。以一個非關鍵部門的網(wǎng)絡系統(tǒng)為例 ,假如其系統(tǒng)中的所有 信息及所支持應用的總價值為 10萬元 ,則該部門所配備防火墻的總成本也不應該超過 10萬元。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證、防止病毒與黑客侵入等方向發(fā)展。 作為內(nèi)部網(wǎng)絡與外部公共網(wǎng)絡之間的第一道屏障 ,防火墻是最先受到人們重視的網(wǎng)絡安全產(chǎn)品之一。 防火墻處于 5層網(wǎng)絡安全體系中的最底層 ,屬于網(wǎng)絡層安全技術范疇。 自從 1986年美國 Digital公司在 Inter上安裝了全球第一個商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術得到了飛速的發(fā)展。 15 4. 防火墻技術 防火墻的定義和由來 網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源 ，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。 10．檢查所有網(wǎng)絡設備和主機 /服務器系統(tǒng)的日志。 9．在防火墻上運行端口映射程序或端口掃描程序。 8．確保手頭有一張最新的網(wǎng)絡拓撲圖。此外，在 Unix 上應該將 .rhost 和 文件刪除，因為不用猜口令，這些文件就會提供登錄訪問！ 7．限制在防火墻外與網(wǎng)絡文件共享。 6．禁止使用網(wǎng)絡訪問程序如 Tel、 Ftp、 Rsh、 Rlogin 和 Rcp，以基于 PKI 的訪問程序如 SSH取代。 5．禁止內(nèi)部網(wǎng)通過 Modem連接至 PSTN系統(tǒng)。 WuFtpd等守護程序存在一些已知的漏洞，黑客通過根攻擊就能獲得訪問特權(quán)系統(tǒng)的權(quán)限，并能訪問其他系統(tǒng) ——甚至是受防火墻保護的系統(tǒng)。這是為了確保管理員知道每個主機系統(tǒng)在 運行什么？誰在使用主機？哪些人可以訪問主機 ？不然，即使黑客侵犯了系統(tǒng)，也很難查明。計算機緊急響應協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個受到 DDoS攻擊的系統(tǒng)都沒有及時打上補丁。利用客戶 /服務器技術，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。通常，攻擊者使用一個偷竊帳號將 DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在Inter 上的許多計算機上。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。最常見的 Do