【正文】 為應(yīng)用層網(wǎng)關(guān)級防火墻，它由代理服務(wù)器和過濾路由器組成，它將過濾路由器和軟件代理技術(shù)結(jié)合在一起。它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)／出兩個方向的門檻，它用于加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)竊取。如果不法之徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會自動記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值，那么該賬戶將被自動鎖定。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改和顯示等。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性，用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表，用以表明用戶對資源的訪問能力。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。用戶網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個訪問控制表來描述。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類：①特殊用戶（即系統(tǒng)管理員）；②一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限；⑧審計用戶。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其它資源。網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。另外，掃描指紋的速度很快，使用非常方便；讀取指紋時，用戶必須將手指與指紋采集頭相互接觸，與指紋采集頭直接接觸是讀取人體生物特征最可靠的方法；指紋采集頭可以更加小型化，并且價格會更加的低廉。指紋識別作為識別技術(shù)已經(jīng)有很長的歷史了，它通過分析指紋的全局特征和指紋的局部特征，并從中抽取非常詳盡的特征值來確認(rèn)一個人的身份。目前在世界上許多公司和研究機構(gòu)都在生物識別技術(shù)的研究中取得一些突破性技術(shù)，從而推出了許多新產(chǎn)品。另外，密碼被別人盜取則更是一件可怕的事情，因為用心不良的人可能會進(jìn)一步竊取公司機密數(shù)據(jù)、可能會盜用別人的名義做不正當(dāng)?shù)氖虑?，甚至從銀行、ATM 終端上提取別人的巨額存款。實際上，這種“用戶 ID+密碼”的方法來進(jìn)行用戶的身份認(rèn)證和訪問控制的方案隱含著一些問題。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站上入網(wǎng)。各種安全策略必須配合才能真正起到保護(hù)作用。為了防止系統(tǒng)中的信息在空間上的擴散，通常是在物理上安裝一定的防護(hù)措施，來減少或干擾擴散出去的空間信號，這成為政府、軍事、金融機構(gòu)在建設(shè)信息中心時首要考慮的問題。顯然，為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場地、環(huán)境等方面要求之外，還要防止系統(tǒng)信息在空間的擴散。物理安全是保護(hù)計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。信息丟失包括在傳輸中丟失或在傳輸介質(zhì)中丟失兩種，例如黑客常使用竊收方式，利用可能的非法手段竊取系統(tǒng)中的信息資源和敏感信息。人自身的因素主要是指非授權(quán)訪問、信息漏洞或丟失、破壞完整性?！昂箝T”網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，例如TCP／IP協(xié)議的安全問題，然而這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，大部分就是因為軟件本身的脆弱性和安全措施不完善所招致的苦果。誤操作員使用不當(dāng)，安全配置不規(guī)范造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。計算機網(wǎng)絡(luò)面臨的威脅大體上分為兩種：一是對網(wǎng)絡(luò)中信息的威脅；二是對網(wǎng)絡(luò)中設(shè)備的威脅。網(wǎng)絡(luò)世界也一樣，開放的、免費的信息帶來了溝通的便利。因特網(wǎng)是基于TCP／IP協(xié)議的，TCP／IP協(xié)議在當(dāng)初設(shè)計和后來應(yīng)用時并未考慮到安全因素，也未曾預(yù)料后來應(yīng)用的爆發(fā)增長。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)，破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的常運行等都屬于對可用性的攻擊?？煽匦允侵笇π畔⒌膫鞑ゼ皟?nèi)容具有控制能力。網(wǎng)絡(luò)安全的特征保密性是指信息不泄漏給非授權(quán)用戶、實體或過程，或供其利用的特性。從網(wǎng)絡(luò)運行和管理角度說，他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕訪問等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。從廣義上看，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控制性的相關(guān)技術(shù)理論，都是網(wǎng)絡(luò)安全研究的領(lǐng)域。2計算機網(wǎng)絡(luò)安全的含義從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息的安全。網(wǎng)上制作、販賣病毒、木馬的活動日益猖獗，利用病毒、木馬技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、詐騙的網(wǎng)絡(luò)犯罪活動呈快速上升趨勢，網(wǎng)上治安形勢非常嚴(yán)峻。近兩年來，“網(wǎng)游大盜”、“熊貓燒香”、“德芙”、“木馬”、“灰鴿子”等木馬病毒日益猖獗，以盜取用戶密碼賬號、個人隱私、商業(yè)秘密、網(wǎng)絡(luò)財產(chǎn)為目的。在短短的幾年時間里，也發(fā)生了多起利用網(wǎng)絡(luò)進(jìn)行犯罪的事件，給國家、企業(yè)和個人造成了重大的經(jīng)濟損失和危害。損失估計為50億~100億美元，超過100萬臺計算機被感染.。被激活之后，這個蠕蟲便向用戶的本地文件類型中發(fā)現(xiàn)的電子郵件地址傳播自身。它 8月19日開始迅速傳播，在最初的24小時之內(nèi)，自身復(fù)制了100萬次，創(chuàng)下了歷史紀(jì)錄（后來被Mydoom病毒打破）。損失估計為20億~100億美元，受到感染的計算機不計其數(shù)。：“桑（San），我只想說愛你！”以及“比爾病毒最早于當(dāng)年8月11日被檢測出來并迅速傳播，兩天之內(nèi)就達(dá)到了攻擊頂峰。2003年夏天，IT人士在此期間受到了“沖擊波”和“霸王蟲”蠕蟲的雙面夾擊。Internet一方面給人們帶來了經(jīng)濟上的實惠、通信上的便捷，但另一方面黑客和病毒的侵?jǐn)_又把人們置于進(jìn)退兩難的境地。特別是Internet的出現(xiàn)，使得計算機網(wǎng)絡(luò)的資源共享進(jìn)一步加強。關(guān)鍵詞網(wǎng)絡(luò)安全；防火墻；加密1引言在信息化社會的今天，計算機網(wǎng)絡(luò)在政治、軍事、金觸、電信、科教等方面的作用日益增強。參考文獻(xiàn)【1】 重慶：重慶大學(xué)出版社，2005.【2】 北京：人民郵電出版社，2009.【3】 馮登國.《計算機通信網(wǎng)絡(luò)安全》，清華大學(xué)出版社，2001【4】 陳斌.《計算機網(wǎng)絡(luò)安全與防御》，信息技術(shù)與網(wǎng)絡(luò)服務(wù)，2006（4）：3537.【5】 William ：應(yīng)用與標(biāo)準(zhǔn)（英文影印版），清華大學(xué)出版社，2006（7）【6】 趙樹升等.《信息安全原理與實現(xiàn)》，清華大學(xué)出版社，2004（9）第三篇：淺論計算機網(wǎng)絡(luò)安全淺論計算機網(wǎng)絡(luò)安全方倩（北京科技職業(yè)學(xué)院 新聞傳播學(xué)院，北京 延慶 102100）摘要計算機網(wǎng)絡(luò)為人們帶來了極大的便利，同時也在經(jīng)受著垃圾郵件、病毒和黑客的沖擊，因此計算機網(wǎng)絡(luò)安全技術(shù)變得越來越重要。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等?？偨Y(jié)隨著信息技術(shù)的飛速發(fā)展，影響通信網(wǎng)絡(luò)安全的各種因素也會不斷強化，因此計算機網(wǎng)絡(luò)的安全問題也越來越受到人們的重視，以上我們簡要的分析了計算機網(wǎng)絡(luò)存在的幾種安全隱患，并探討了計算機網(wǎng)絡(luò)的幾種安全防范措施。網(wǎng)絡(luò)防病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測，工作站上采用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。 網(wǎng)絡(luò)防病毒技術(shù)在網(wǎng)絡(luò)環(huán)境下，計算機病毒具有不可估量的威脅性和破壞力。它的安全機制在于首先對發(fā)出請求的用戶進(jìn)行身份驗證，確認(rèn)其是否為合法的用戶，如是合法用戶，再審核該用戶是否有權(quán)對他所請求的服務(wù)或主機進(jìn)行訪問。身份認(rèn)證是系統(tǒng)查核用戶身份證明的過程。目前主要的操作系統(tǒng)的安全等級都是C2 級,其特征包括：①用戶必須通過用戶注冊名和口令讓系統(tǒng)識別；②系統(tǒng)可以根據(jù)用戶注冊名決定用戶訪問資源的權(quán)限；③系統(tǒng)可以對系統(tǒng)中發(fā)生的每一件事進(jìn)行審核和記錄；④可以創(chuàng)建其他具有系統(tǒng)管理權(quán)限的用戶。操作系統(tǒng)平臺的安全措施包括：采用安全性較高的操作系統(tǒng)；對操作系統(tǒng)的安全配置；利用安全掃描系統(tǒng)檢查操作系統(tǒng)的漏洞等。根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和狀態(tài)監(jiān)測型。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼算法和分組密碼算法，前者每次只加密一個比特。如果按照收發(fā)雙方的密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供加密保護(hù)；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供加密保護(hù)。網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。 網(wǎng)絡(luò)加密技術(shù)網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。物理安全策略還包括加強網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)的安全、可靠地運行，將起到十分有效的作用。主要是計算機系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全觀念和必備技術(shù)，如安全意識、防范意思等。DOS 攻擊給飛速發(fā)展的互聯(lián)網(wǎng)絡(luò)安全帶來重大的威脅。值得一提的是，要找DOS 的工具一點不難，黑客網(wǎng)絡(luò)社區(qū)都有共享黑客軟件的傳統(tǒng)，并會在一起交流攻擊的心得經(jīng)驗，你可以很輕松的從Internet 上獲得這些工具。（3）利用被攻擊主機所提供服務(wù)程序或傳輸協(xié)議的本身實現(xiàn)缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯誤而分配大量系統(tǒng)資源，使主機處于掛起狀態(tài)甚至死機。具體表現(xiàn)方式有以下幾種：（1）制造大流量無用數(shù)據(jù)，造成通往被攻擊主機的網(wǎng)絡(luò)擁塞，使被攻擊主機無法正常和外界通信。隨著電腦教育的大眾化，這類攻擊也越來越多，影響越來越大。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的信息。由于網(wǎng)絡(luò)協(xié)議實現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種的缺陷和漏洞。所以，資源共享的確為我們提供了很大的便利，但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞也提供了機會。計算機網(wǎng)絡(luò)最主要的一個功能就是“資源共享”。第1章計算機通信網(wǎng)絡(luò)安全概述所謂計算機通信網(wǎng)絡(luò)安全，是指根據(jù)計算機通信網(wǎng)絡(luò)特性，通過相應(yīng)的安全技術(shù)和措施，對計算機通信網(wǎng)絡(luò)的硬件、操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)等加以保護(hù)，防止遭到破壞或竊取，其實質(zhì)就是要保護(hù)計算機通訊系統(tǒng)和通信網(wǎng)絡(luò)中的各種信息資源免受各種類型的威脅、干擾和破壞。計算機網(wǎng)絡(luò)的應(yīng)用領(lǐng)域已從傳統(tǒng)的小型業(yè)務(wù)系統(tǒng)逐漸向大型業(yè)務(wù)系統(tǒng)擴展。本文結(jié)合實際情況，分析網(wǎng)絡(luò)安全問題并提出相應(yīng)對策。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅的嚴(yán)重性，采取強有力安全策略勢在必行。而在探測模式下卻需要。探測模式被動的接收信息流，對其進(jìn)行處理，發(fā)現(xiàn)異常時，向安全管理器報警，并視需要向異常信息流的源和目的終端發(fā)送復(fù)位TCP連接的控制報文。 入侵防御系統(tǒng)和有狀態(tài)分組過濾器的主要功能差異是什么？答：有狀態(tài)分組過濾器是按照配置的訪問控制策略控制由它隔離的網(wǎng)絡(luò)之間的信息交換過程，以會話為單位確定允許轉(zhuǎn)發(fā)或丟棄的IP分組，入侵防御控制系統(tǒng)主要對流經(jīng)某個網(wǎng)段或進(jìn)出某個主機系統(tǒng)想信息流進(jìn)行檢測，發(fā)現(xiàn)異常信息流并加以干預(yù)。 代理與有狀態(tài)分組過濾器的主要區(qū)別是什么？ 答：代理是基于用戶進(jìn)行傳輸層會話控制，有狀態(tài)分組過濾器是基于終端進(jìn)行傳輸層會話控制。IP隧道和IP Sec是最常見的VPN技術(shù)，幾乎適用于實驗VPN應(yīng)用環(huán)境。但要求采用方便、廉價且又能保證子網(wǎng)間數(shù)據(jù)交換的數(shù)據(jù)的保密性和完整性的互連技術(shù)。只供內(nèi)部網(wǎng)絡(luò)終端訪問的內(nèi)部網(wǎng)絡(luò)資源，安全傳輸是指保證內(nèi)部各個子網(wǎng)間交換的數(shù)據(jù)的保密性和完整性。 什么是VPN?采用VPN的主要原因是什么？ 答：VPN(虛擬專用網(wǎng))是指保持專用網(wǎng)絡(luò)資源獨享和安全傳輸特性，且又通過公共分組交換網(wǎng)絡(luò)實現(xiàn)子網(wǎng)間互連的網(wǎng)絡(luò)結(jié)構(gòu)。探測器工作在轉(zhuǎn)發(fā)模式時，信息流需要經(jīng)過探測器進(jìn)行轉(zhuǎn)發(fā)，不存在捕獲信息流問題。 網(wǎng)絡(luò)入侵防御系統(tǒng)中的探測器分為轉(zhuǎn)發(fā)模式和探測模式，這兩種模式各有什么優(yōu)缺點？答：轉(zhuǎn)發(fā)模式從一個端口接收信息流，對其進(jìn)行異常檢測，在確定為正常信息流的情況下，從一個端口轉(zhuǎn)發(fā)出去。 代理與堡壘主機的主要區(qū)別是什么？答：代理在傳輸層實施監(jiān)控，堡壘主機在應(yīng)用層實施監(jiān)控。SSL VPN用于精細(xì)控制遠(yuǎn)程終端(連接在公共分組交換網(wǎng)絡(luò)上的終端)訪問內(nèi)部網(wǎng)絡(luò)資源的過程，MPLS通過類似虛擬電路的LSP實現(xiàn)子網(wǎng)間互連，可以有效保證子網(wǎng)間傳輸?shù)臄?shù)據(jù)的服務(wù)質(zhì)量(Qos),但安全性不如IP隧道和IP Sec。 目前用于實現(xiàn)VPN的技術(shù)有哪些？各有什么優(yōu)缺點?答：IP隧道和IP Sec、SSL VPN和MPLS。企業(yè)需要建立有物理上分散的多個子網(wǎng)構(gòu)成的內(nèi)部網(wǎng)絡(luò)。獨享資源是指獨立的本地IP地址空間。？答：WEP加密機制：將40位密鑰（也可以是104位密鑰）和24位初始向量(IV)串接在一起，構(gòu)成64位隨機種子，接收端和發(fā)送端同步隨機數(shù)種子，偽隨機數(shù)生成器(PRNG)根據(jù)隨機數(shù)