【正文】 網(wǎng)和外部網(wǎng)之間構(gòu)造一個保護(hù)層，用來鑒別什么樣的數(shù)據(jù)包可以進(jìn)出企業(yè)內(nèi)部網(wǎng)。現(xiàn)在，應(yīng)用層安全已被分解成網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫的安全，由于應(yīng)用系統(tǒng)復(fù)雜多樣不存在一種安全技術(shù)能夠完全解決一些特殊應(yīng)用系統(tǒng)的安全問題。鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文 傳輸層安全具體的傳輸層安全措施要取決于具體的協(xié)議，傳輸層安全協(xié)議在TCP的頂部提供了如身份驗證，完整性檢驗以及機密性保證這樣的安全服務(wù)，傳輸層安全需要為一個連接維持相應(yīng)的場景，它是基于可靠的傳輸協(xié)議TCP的。遠(yuǎn)程主機將用它自己的ICMP信息對PING請求作出回應(yīng)，這種過程在網(wǎng)絡(luò)中普遍存在。ICMP在IP層檢查錯誤和其他條件。 網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層的安全威脅主要有兩類：IP欺騙和ICMP攻擊。協(xié)議安全分析 物理層安全物理層安全威脅主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用而造成的網(wǎng)絡(luò)系統(tǒng)的不可用，如：設(shè)備老化、設(shè)備被盜、意外故障，設(shè)備損毀等。從管理者角度說網(wǎng)絡(luò)信息的訪問讀寫操作受到保護(hù)和控制避免病毒侵入，非法存取、非法占用、非法控制等威脅，防止網(wǎng)絡(luò)黑客的攻擊，對安全保密部門來說，對于非 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文法的有害的或涉及國家機密的信息進(jìn)行過濾和防止，對社會造成危害，對國家造成巨大損失的機要信息的泄漏進(jìn)行防止，做到杜絕?？煽匦裕嚎梢钥刂剖跈?quán)范圍內(nèi)的信息流向及行為方式。完整性：只有得到授權(quán)的實體才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。網(wǎng)絡(luò)安全的具體含義會隨著“角度”的變化而變化，比如：從個人的角度來說，凡是涉及到個人隱私的信息在網(wǎng)絡(luò)上傳輸時受到機密性完整性和真實性的保護(hù)避免其他人利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。如何更有效地保護(hù)重要信息數(shù)據(jù)，提高計算機網(wǎng)絡(luò)的安全性已經(jīng)成為世界各國共同關(guān)注的話題，防火墻可以提供增強網(wǎng)絡(luò)的安全性，是當(dāng)今網(wǎng)絡(luò)系統(tǒng)最基礎(chǔ)設(shè)施，側(cè)重干網(wǎng)絡(luò)層安全，對于從事網(wǎng)絡(luò)建設(shè)與管理工作而言，充分發(fā)揮防火墻的安全防護(hù)功能和網(wǎng)絡(luò)管理功能至關(guān)重要。關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；技術(shù)；功能I 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文目 錄中文摘要.................................................................I 1 引言..................................................................1 2 網(wǎng)絡(luò)安全概述..........................................................1 3 協(xié)議安全分析..........................................................2 物理層安全........................................................2 網(wǎng)絡(luò)層安全........................................................2 傳輸層安全........................................................3 4 網(wǎng)絡(luò)安全組件..........................................................3 防火墻............................................................3 掃描器............................................................3 防毒軟件..........................................................3 安全審計系統(tǒng)......................................................3 IDS...............................................................4 5 網(wǎng)絡(luò)安全的看法........................................................4 隱藏IP地址有兩種方法.............................................5 更換管理及賬戶....................................................5 6 防火墻概述............................................................5 防火墻定義........................................................5 防火墻的功能......................................................5 防火墻技術(shù)........................................................6 防火墻系統(tǒng)的優(yōu)點..................................................7 防火墻系統(tǒng)的局限性................................................7 7 結(jié)論..................................................................8 參考文獻(xiàn).................................................................9 致 謝..................................................................10 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文 引言隨著網(wǎng)絡(luò)技術(shù)的普遍推廣，電子商務(wù)的開展，實施和應(yīng)用網(wǎng)絡(luò)安全已經(jīng)不再僅僅為科學(xué)研究人員和少數(shù)黑客所涉足，日益龐大的網(wǎng)絡(luò)用戶群同樣需要掌握網(wǎng)絡(luò)安全知識。防火墻技術(shù)的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。網(wǎng)絡(luò)安全問題有其先天的脆弱性，黑客攻擊的嚴(yán)重性，網(wǎng)絡(luò)殺手集團(tuán)性和破壞手段的多無性，解決網(wǎng)絡(luò)安全問題重要手段就是防火墻技術(shù)。第一篇：畢業(yè)論文(防火墻的技術(shù)與應(yīng)用)* * * * 學(xué)院畢業(yè)論文課題名稱： 防火墻的技術(shù)與應(yīng)用 作 者： 學(xué) 號： 系 別： 電子工程系 專 業(yè)： 指導(dǎo)教師：20**年**月**日中文摘要防火墻的技術(shù)與應(yīng)用摘要計算機網(wǎng)絡(luò)安全已成為當(dāng)今信息時代的關(guān)鍵技術(shù)。當(dāng)前網(wǎng)絡(luò)安全問題存在著計算機病毒，計算機黑客攻擊等問題。走在中國特色的防火墻技術(shù)發(fā)展之路,是確保我國網(wǎng)絡(luò)安全的有效途徑。本文重點介紹防火墻技術(shù)的基本概念和系統(tǒng)結(jié)構(gòu)，討論了實現(xiàn)防火墻的兩種主要技術(shù)手段：一種是基于分組過濾技術(shù)(Packet filtering)，它的代表是在篩選路由器上實現(xiàn)的防火墻功能；一種是基于代理技術(shù)(Proxy)，它的代表是在應(yīng)用層網(wǎng)關(guān)上實現(xiàn)的防火墻功能。由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢次發(fā)生，一些黑客把先進(jìn)的計算機網(wǎng)絡(luò)技術(shù)，當(dāng)成一種犯罪工具，不僅影響了網(wǎng)絡(luò)的穩(wěn)定運行和用戶的正常使用,造成許多經(jīng)濟損失,而且還會威脅到國家的安全，一些國家的機密被黑客破壞造成網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到了保護(hù)，不因偶然的或惡意的原因而遭受到破壞、更改、泄露、系統(tǒng)正常地運行網(wǎng)絡(luò)服務(wù)不中斷，網(wǎng)絡(luò)安全的定義從保護(hù)角度來看，是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，從廣義上來說，凡是涉及到計算機網(wǎng)絡(luò)上信息的機密性，完整性、可用性、可控性、可審查性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全應(yīng)具有以下五個方面的特征：機密性：確保信息不暴露給未授權(quán)的實體或進(jìn)程?？捎眯裕旱玫绞跈?quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作?？蓪彶樾裕簩Τ霈F(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段?，F(xiàn)在全球普遍存在缺乏網(wǎng)絡(luò)安全的重要性，這導(dǎo)致大多數(shù)網(wǎng)絡(luò)存在著先天性的安全漏洞和安全威脅，使用TCP/IP協(xié)議的網(wǎng)絡(luò)所提供的網(wǎng)絡(luò)服務(wù)都包含許多不安全的因素，存在著一些漏洞網(wǎng)絡(luò)的普及使信息共享達(dá)到了一個新的層次，信息被暴露的機會大大增多，特別是Internet網(wǎng)絡(luò)就是一個不設(shè)防的開放大系統(tǒng)，近年來，計算機犯罪案件也急劇上升，計算機犯罪是商業(yè)犯罪中最大的犯罪類型之一，每年計算機犯罪造成的經(jīng)濟損失高達(dá)50億美元，在信息安全的發(fā)展過程中企業(yè)和政府的的要求有一致的地方，也不有一致的地方，企業(yè)注重于信息和網(wǎng)絡(luò)安全的可靠性，政府注重于信息和網(wǎng)絡(luò)安全的可管性和可控性，在發(fā)展中國家，對信息安全的投入還滿足不了信息安全的需求，同時投入也常常被挪用和借用。由于以太局域網(wǎng)中采用廣播方式，因此在某個廣播域中利用嗅探器可以在設(shè)定的偵聽端口偵聽到所有的信息包，并且對信息包進(jìn)分析，那么本廣播域的信息傳遞都會暴露無遺，所以需將兩個網(wǎng)絡(luò)從物理上隔斷同時保證在邏輯上兩個網(wǎng)絡(luò)能夠連通。IP欺騙技術(shù)的一種實現(xiàn)方法是把源IP地址改成一個錯誤的IP地址，而接收主機不能判斷源IP地址的正確性，由此形成欺騙，另外一種方法是利用源路由IP數(shù)據(jù)包讓它僅僅被用于一個特殊的路徑中傳輸，這種數(shù)據(jù)包被用于攻擊防火墻。ICMP信息、對于判斷網(wǎng)絡(luò)狀況非常有用，例如：當(dāng)PING一臺主機想看它是否運去時，就產(chǎn)生了一條ICMP信息。然而，ICMP信息能夠被用于攻擊遠(yuǎn)程網(wǎng)絡(luò)或主機，利用ICMP來消耗帶寬從而有效地摧毀站點。由于安全機制與特定的傳輸協(xié)議有關(guān)所以像密鑰管理這樣的安全服務(wù)可為每種傳輸協(xié)議重復(fù)使用。網(wǎng)絡(luò)安全組件網(wǎng)絡(luò)的整體安全是由安全操作系統(tǒng)、應(yīng)用系統(tǒng)、防火墻、網(wǎng)絡(luò)監(jiān)控安全掃描、信息審計、通信加密、災(zāi)難恢復(fù)、網(wǎng)絡(luò)反病毒等多個安全組件共同組成的，每一個單獨的組件只能完成其中部分功能，而不能完成全部功能。防火墻可以阻止基于IP包頭的攻擊和非信任地址的訪問，但無法阻止基于數(shù)據(jù)內(nèi)容的黑客攻擊和病毒入侵，同時也無法控制內(nèi)部網(wǎng)絡(luò)之間的攻擊行為。 防毒軟件防毒軟件可以實時檢測，清除各種已知病毒，具有一定的對未知病毒的預(yù)測能力利用代碼分析等手段能夠檢查出最新病毒。 安全審計系統(tǒng)安全審計系統(tǒng)對網(wǎng)絡(luò)行為和主機操作提供全面詳實的記錄，其目的是測試安全策略是否完善，證實安全策略的一致性，方便用戶分析與審查事故原因，協(xié)助攻擊的分析收 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文集證據(jù)以用于起訴攻擊者。它被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊，外部攻擊和誤操作的實時保護(hù)。核查系統(tǒng)配置和漏洞。識別攻擊的活動模式，并向網(wǎng)管人員報警。操作系統(tǒng)審計跟蹤管理，識別違反政策的用戶活動。IDS可分為主機型和網(wǎng)絡(luò)型兩種：主機型入侵檢測系統(tǒng)，主要用于保護(hù)運行關(guān)鍵應(yīng)用的服務(wù)器，它通過監(jiān)視與分析主機的審計記錄和日志文件來檢測入侵。網(wǎng)絡(luò)入侵檢測系統(tǒng)通常利用一個運行在混雜模式下的網(wǎng)絡(luò)適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。網(wǎng)絡(luò)安全的看法隨著互聯(lián)網(wǎng)在家庭中的普及，家庭網(wǎng)絡(luò)安全越來越受歡迎。個人以為可以從“內(nèi)”和“外”兩個方面來解決。主要包括安裝一些必要的軟件，主要是防火墻、殺毒、防木馬等安全軟件。積極備份。打好補丁。當(dāng)然這些就不僅僅是網(wǎng)絡(luò)安全方面了，實際上只要用戶在以上所說的五個方面做得不錯的 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文話，基本上網(wǎng)絡(luò)安全方面可以放60%以上的心了。從外的方面來講“外”指由外界而來的攻擊，一般指黑客攻擊。 隱藏IP地址有兩種方法代理服務(wù)器的原理是在客戶機和遠(yuǎn)程服務(wù)器之間架設(shè)一個“中轉(zhuǎn)站”，當(dāng)客戶機向遠(yuǎn)程服務(wù)器提出服務(wù)要求后，代理服務(wù)器首先截取用戶的請求，然后代理服務(wù)器將服務(wù)請求轉(zhuǎn)交遠(yuǎn)程服務(wù)器，從而實現(xiàn)客戶機和遠(yuǎn)程服務(wù)器之間的聯(lián)系。二是使用一些隱藏IP的軟件，如賽門鐵克公司的Norton Internet security,不論黑客使用哪一個IP掃描工具，都會告訴你根本沒有這個IP地址，黑客就無法攻擊你的計算機了。黑客入侵的常用手段之一就是試圖獲得Administrator賬戶的密碼，所以我們要重新配置Administrator賬戶首先為Administrator賬戶設(shè)置一個強大復(fù)雜的密碼，然后我們重命名Administrator賬戶再創(chuàng)建一個沒有管理員權(quán)限，也就在一定程度上減少了危險。防火墻概述 防火墻定義在計算機網(wǎng)絡(luò)中，防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法，它實際是一種隔離技術(shù)，它允許“可以訪問”的人和數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，同時將“不允許訪問”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問網(wǎng)絡(luò)，如果不通過防火墻，人們就無法訪問Internet，也無法和其它人進(jìn)行通信，它具有較強的抗攻擊能力，提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻的訪問控制采用兩種基本策略，即“黑名單”策略和“白名單”策略，指除了規(guī)則允許的訪問，其他都是禁止的。利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)將有限的IP地址動態(tài)或靜態(tài)地址與內(nèi)部的IP地址對應(yīng)起來，用來緩解地址空間短缺的問題。防火墻支持基于用戶身份的網(wǎng)絡(luò)訪問控制，不僅具有內(nèi)置的用戶管理及認(rèn)證接口，同時也支持用戶進(jìn)行外部身份認(rèn)證。 防火墻技術(shù)按照實現(xiàn)技術(shù)分類防火墻的基本類型有：包過濾型、代理服務(wù)型和狀態(tài)包過濾型。包過濾是一種安全篩選機制，它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)所拒絕。它在網(wǎng)絡(luò)層和傳輸層起作用。包過濾的優(yōu)點是它對于用戶來說是透明的，處理速度快且易于維護(hù)，通常作為第一道防線。代理服務(wù)軟件運行在一臺主機上構(gòu)成代理服務(wù)器，負(fù)責(zé)截客戶的請求。代理系統(tǒng)是客戶機和真實服務(wù)器之間的中介，完全控制客戶機和真實服務(wù)器之間的流量并對流量情況加以記錄，它具有靈活性和安全性，但可能影響網(wǎng)絡(luò)的性能對用戶透明，且對每一個服務(wù)器都要設(shè)計一個代理模塊，建立對