【正文】 、圖表要求： 1）文字通順，語言流暢，書寫字跡工整，打印字體及大小符合要求，無錯(cuò)別字，不準(zhǔn)請(qǐng)他人代寫 2）工程設(shè)計(jì)類題目的圖紙，要求部分用尺規(guī)繪制，部分用計(jì)算機(jī)繪制，所有圖紙應(yīng)符合國家技術(shù)標(biāo)準(zhǔn)規(guī)范。 作者簽名： 日期： 年 月 日 導(dǎo)師簽名： 日期： 年 月 日 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 38 注 意 事 項(xiàng) （論文）的內(nèi)容包括： 1）封面（按教務(wù)處制定的標(biāo)準(zhǔn)封面格式制作） 2）原創(chuàng)性聲明 3）中文摘要（ 300 字左右）、關(guān)鍵詞 4）外文摘要、關(guān)鍵詞 5）目次頁（附件不統(tǒng)一編入） 6）論文主體部分：引言（或緒論）、正文、結(jié)論 7）參考文獻(xiàn) 8）致謝 9）附錄（對(duì)論文支持必要時(shí)） ：理工類設(shè)計(jì)（論文）正文字?jǐn)?shù)不少于 1 萬字（不包括圖紙、程序清單等），文科類論文正文字?jǐn)?shù)不少于 萬字。本人授權(quán) 大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。本人完全意識(shí)到本聲明的法律后果由本人承擔(dān)。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫的成果作品。 作 者 簽 名： 日 期： 指導(dǎo)教師簽名： 日 期： 使用授權(quán)說明 本人完全了解 大學(xué)關(guān)于收集、保存、使用畢業(yè)設(shè)計(jì)（論文）的規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版本 ；學(xué)校有權(quán)保存畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務(wù)；學(xué)校可以采用影印、縮印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的前提下，學(xué)?？梢怨颊撐牡牟糠只蛉?jī)?nèi)容。盡我所知，除文中特別加以標(biāo)注和致謝的地方 外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過的材料。 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 35 參考文獻(xiàn) [1] 蔣建春 . 《計(jì)算機(jī)網(wǎng)絡(luò)信息安全理論與實(shí)踐教程》 [M]. 北京 : 北京郵電大學(xué)出版社 , 2021,6770 [2] 袁浩 . 《 Inter 接入 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 34 致 謝 本次畢業(yè)設(shè)計(jì) 我得到了 孫老師 的精心指導(dǎo)，不管是從開始定方向還是在查資料準(zhǔn)備的過程中，一直都耐心地給予我指導(dǎo)和意見，使我在總結(jié)學(xué)業(yè)及撰寫論文方面都有了較大提高；同時(shí)也顯示了老師高度的敬業(yè)精神和責(zé)任感。 系統(tǒng)主要具備以下優(yōu)點(diǎn)： 可行性、可靠性和安全性高，能最大限度的為中小型企業(yè)的網(wǎng)絡(luò)保證好安全問題。掌握整個(gè)網(wǎng)絡(luò)使用流量的平均標(biāo)準(zhǔn)，定位網(wǎng)絡(luò)流量的基線，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。有效防止病毒或黑客程序被攜帶進(jìn)內(nèi)網(wǎng)。 垃圾郵件過濾系統(tǒng) 過濾郵件，阻止垃圾郵件及病毒郵件的入侵。對(duì)防火墻而言，是否防火墻支持對(duì)其他密碼體制的支持，支持提供 API 來調(diào)用第三方的加密算法和密碼， 非常重要。在無法保證電路安全、信道安全、網(wǎng)絡(luò)安全、應(yīng)用安全的情況下，或者也不相信其他安全措施的情況下，一種行之有效的辦法就是加密，而加密就是必須考慮加密算法和密碼的問題。 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 31 虛擬專用網(wǎng) VPN EXTRANET 和 VPN 是現(xiàn)代網(wǎng)絡(luò)的新熱點(diǎn)。 網(wǎng)絡(luò)狀態(tài)的監(jiān)控的結(jié) 果，直接就是要求能夠有一種交互式的防火墻來滿足客戶較高的要求。 網(wǎng)絡(luò)狀態(tài)監(jiān)控對(duì)主機(jī)的要求非常高， 128M 的內(nèi)存可能是一個(gè)基本的要求，硬盤的要求也非常大，至少要求 9G，對(duì) SWAP 區(qū)至少也要求 192M 以上。監(jiān)視模塊支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用協(xié)議，可以方便地實(shí)現(xiàn)應(yīng)用和服務(wù)擴(kuò)充。 狀態(tài)監(jiān)控技術(shù) 網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)普遍被認(rèn)為是下一代的網(wǎng)絡(luò)安全技術(shù)。還可以具有嚴(yán)格的用戶認(rèn)證功能。應(yīng)用級(jí)網(wǎng)關(guān)的安全性高，其不足是要為每種應(yīng)用提供專門的代理服務(wù)程序。它只允許有代理的服務(wù)通 過，也就是說只有那些被認(rèn)為“可信賴的”服務(wù)才被允許通過防火墻。 應(yīng)用級(jí)網(wǎng)關(guān)使用軟件來轉(zhuǎn)發(fā)和過濾特定的應(yīng)用服務(wù)，如 TELNET、 FTP 等服務(wù)的連接。只有懂得如何與該電路網(wǎng)關(guān)通信的客戶機(jī)才能到達(dá)防火墻另一邊的服務(wù)器。它監(jiān)視兩主機(jī)建立連接時(shí)的握手信息，如Syn、 Ack 和序列數(shù)據(jù)等是否合乎邏輯，信號(hào)有效后網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進(jìn)行過濾。它在兩主機(jī)收次建立 TCP 連接時(shí)創(chuàng)立一個(gè)電子屏障。 代理服務(wù)器包含兩大類：一類是電路級(jí)代理網(wǎng)關(guān)，另一類是應(yīng)用級(jí)代理網(wǎng)關(guān)。 代理服務(wù)器非常適合那些根本就不希望外部用戶訪問企業(yè)內(nèi)部的網(wǎng)絡(luò)，而也不希望內(nèi)部的用戶無限制的使用或?yàn)E用 INTERNET。它將內(nèi)部系統(tǒng)與外界隔離開來，從外面只能看到代理服務(wù)器而看不到任 何內(nèi)部資源。而代理服務(wù)器則是另外一種方式，能回避就回避，甚至干脆隱藏起來。 包過濾防火墻只按照規(guī)則丟棄數(shù)據(jù)包而不對(duì)其作日志，導(dǎo)致對(duì)過濾的 IP 地址的西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 29 不同用戶，不具備用戶身份認(rèn)證功能，不具備檢測(cè)通過高層協(xié)議（如應(yīng)用層）實(shí)現(xiàn)的安全攻擊的能力。 包過濾防火墻簡(jiǎn)單、透明，而且非常行之有效，能解決大部分的安全問題，但必須了解包過濾防火墻不能做伸麼和有伸麼缺點(diǎn)。黑客期望防火墻只檢查第一個(gè)分段而允許其余的分段通過。如果是防止外部攻擊，針對(duì)典型攻擊的過濾規(guī)則，大體有： 對(duì)付源 IP 地址欺騙式攻擊（ Source IP Address Spoofing Attacks） 對(duì)入侵者假冒內(nèi)部主機(jī)，從外部傳輸一個(gè)源 IP 地址為內(nèi)部網(wǎng)絡(luò) IP 地址的數(shù)據(jù)包的這類攻擊，防火墻只需把來自外部端口的使用內(nèi)部源地址的數(shù)據(jù)包統(tǒng)統(tǒng)丟棄掉。它利用數(shù)據(jù)包的頭信息（源 IP 地址、封裝協(xié)議、端口號(hào)等）判定與過濾規(guī)則相匹配與否決定舍取。那些不符合規(guī)定的 IP 地址西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 28 的信息包會(huì)被防火墻過濾掉，以保證網(wǎng)絡(luò)系統(tǒng)的安全。在 Inter 上，所有信息都是以包的形式傳輸?shù)?，信息包中包含發(fā)送方的 IP 地址和接收方的 IP 地址。 根據(jù)企業(yè)內(nèi)部網(wǎng)安全政策的不同，采取防火墻的技術(shù)手段也有所不同。企業(yè)當(dāng)然沒有辦法去建立兩套網(wǎng)絡(luò)來滿足這種需求。網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)和交互式防火墻具有很強(qiáng)的審計(jì)功能，但成本相對(duì)偏高。網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)，會(huì)自動(dòng)捕捉網(wǎng)絡(luò)上所有的通信包，并對(duì)其進(jìn)行分析和解析，并判斷出用戶的行為和企圖。最后是對(duì)主機(jī)確定非常嚴(yán)格的 訪問限制規(guī)則，除了允許提供商愿意提供的服務(wù)之外，宣紙并拒絕所有未允許的服務(wù)，這是一個(gè)非常嚴(yán)格的措施。然后是仔細(xì)的檢查你所提供的服務(wù)，如果不是你所必須提供的服務(wù)，建議除掉一切你所不需要的進(jìn)程，對(duì)你的服務(wù)而言，它們都是你安全上的隱患。 主機(jī)安全是一個(gè)非常有效的手段。 對(duì)訪問服務(wù)行業(yè)而言，訪問服務(wù)提供者必須把要提供服務(wù)的服務(wù)器主機(jī)放在外部用戶可以訪問的地方，也就是說，主機(jī)安全幾乎是唯一的保證。 INTERNET 和信息發(fā)布服務(wù) 這種情況非常普遍， ISP 或 ICP，企業(yè)的網(wǎng)頁，在 INTERNET 上提供息服務(wù)或提供數(shù)據(jù)庫服務(wù)等。 (6)集中管理 實(shí)施一個(gè)企業(yè)一種安全策略 ,實(shí)現(xiàn)集中 管理、集中監(jiān)控等。 (5)網(wǎng)絡(luò)設(shè)備安全管理 目前一個(gè)企業(yè)網(wǎng)絡(luò)可能會(huì)有多個(gè)連通外界的出口 ,如連接 ISP 的專線、撥號(hào)線等 ,同時(shí) ,在大的企業(yè)網(wǎng)內(nèi)不同部門和分公司之間可能亦會(huì)有由多級(jí)網(wǎng)絡(luò)設(shè)備隔離的小網(wǎng)絡(luò)。 (3)內(nèi)容安全 對(duì)流入企業(yè)內(nèi)部的網(wǎng)絡(luò)信 息流實(shí)施內(nèi)部檢查 ,包括 URL 過濾等等。其關(guān)鍵在于應(yīng)支持目前Inter 中的所有協(xié)議 ,包括傳統(tǒng)的面向連接的協(xié)議、無連接協(xié)議、多媒體、視頻、商業(yè)應(yīng)用協(xié)議以及用戶自定義協(xié)議等。 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 25 整體安全防護(hù)體系 基于以上的規(guī)劃和分析，建議中小企業(yè)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照系統(tǒng)的實(shí)現(xiàn)目的，采用一種整合型高可靠性安全防火墻。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。 隨著針對(duì)應(yīng)用層的攻擊越來越多、威脅越來越大，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來自應(yīng)用層的攻擊了。 可行性是安全方案的根本，它將直接影響到網(wǎng)絡(luò)通信平臺(tái)的暢通，可靠性是安全系統(tǒng)和網(wǎng)絡(luò)通信平臺(tái)正常運(yùn)行的保證，而安全性是設(shè)計(jì)安全系統(tǒng)的最終目的。建議考慮到各種安全措施的使用，使用一個(gè)具有相當(dāng)高度、可擴(kuò)展性強(qiáng)的安全解決方案及產(chǎn)品。 全局綜合性設(shè)計(jì)原則 。 體系化設(shè)計(jì)原則 。 網(wǎng)絡(luò)安全原則 網(wǎng)絡(luò)安全體系的核心目標(biāo)是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過程的有效控制和管理。 安全體系的建立和維護(hù)需 要有良好的管理制度和很高的安全意識(shí)來保障。其中底層是上層保障的基礎(chǔ) ,如果缺少下面各層次的安全保障 ,上一層的安全措施則無從說起。系統(tǒng)一旦出了問題 ,這部分可以提供問題的再現(xiàn)、責(zé)任追查、重要數(shù)據(jù)復(fù)原等保障。 。 。在實(shí)際的網(wǎng)絡(luò)與信息安全建設(shè)中 ,利用加密技術(shù)至少應(yīng)能解決以下問題 : ,包括數(shù)據(jù)加密鑰匙、私人證書、私密等的保證分發(fā)措施 。 —— 使信息接收者無法否認(rèn)曾經(jīng)收到的信息。 致性 —— 保證數(shù)據(jù)不被非法篡改 。在上述的安全體系結(jié)構(gòu)中 ,加密主要滿足以下幾個(gè)需求。隔離不是管理的最西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 22 終目的 ,管理的最終目的是要加強(qiáng)信息有效、安全的使用 ,同時(shí)對(duì)不同用戶實(shí)施不同訪問許可。 第二部分是授權(quán) ,這主要為特許用戶提供合適的訪問權(quán)限 ,并監(jiān)控用戶的活動(dòng) ,使其不越權(quán)使用。 有的特征 ,如指紋、聲音、視網(wǎng)膜掃描等等。 ,如大門鑰匙、門卡等等 。用戶認(rèn)證的主要目的是提供訪問控制和不可抵賴的作用。 要確保計(jì)算機(jī)網(wǎng) 絡(luò)應(yīng)用的安全，主要從以下幾個(gè)方面作好安全防范工作：一要配西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 21 備防病毒系統(tǒng)，防止病毒入侵主機(jī)并擴(kuò)散到全網(wǎng)，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)；二作好數(shù)據(jù)備份工作，最安全的，最保險(xiǎn)的方法是對(duì)重要數(shù)據(jù)信息進(jìn)行安全備份，如果遇到系統(tǒng)受損時(shí)，可以利用災(zāi)難恢復(fù)系統(tǒng)進(jìn)行快速恢復(fù)；三是對(duì)數(shù)據(jù)進(jìn)行加密傳輸，保護(hù)數(shù)據(jù)在傳輸過程中不被泄露，保證用戶數(shù)據(jù)的機(jī)密性，數(shù)據(jù)加密的方法有從鏈路層加密，網(wǎng)絡(luò)層加密及應(yīng)用層加密；四是進(jìn)行信息鑒別，為了保證數(shù)據(jù)的完整性，就必須采用信息鑒別技術(shù)， VPN 設(shè)備便能實(shí)現(xiàn)這樣的功能，數(shù)據(jù)源身份認(rèn)證也是信息鑒別的一種手段， 它可以確認(rèn)信息的來源的可靠性，結(jié)合傳輸加密技術(shù)，我們可以選擇 VPN設(shè)備，實(shí)現(xiàn)保護(hù)數(shù)據(jù)的機(jī)密性，完整性，真實(shí)性，可靠性。二是作好安全檢測(cè)工作：在局域網(wǎng)絡(luò)的共享網(wǎng)絡(luò)設(shè)備上配備入侵檢測(cè)系統(tǒng)，實(shí)時(shí)分析進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)流，對(duì)網(wǎng)絡(luò)違規(guī)事件跟蹤，實(shí)時(shí)報(bào)警，阻斷連接并做日志。另一類是對(duì)輻射的防護(hù)，這類防護(hù)措施又可分為以下兩種： 一是采用各種電磁屏蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)機(jī)房的