【正文】 ............................................................... 24 結(jié)論 .............................................................................................................................. 25 參考文獻(xiàn) ...................................................................................................................... 26 致謝 .............................................................................................................................. 27 3 大學(xué)畢業(yè)論文 第一章 研究背景 引言 隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是 Inter 的廣泛使用，使計(jì)算機(jī)應(yīng)用更加廣泛與深入。據(jù)美國 FBI統(tǒng)計(jì)，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá) 75億美元，而全求平均每 20秒鐘就發(fā)生一起 Inter計(jì)算機(jī)侵入事件 [1]。人們在利用網(wǎng)絡(luò) 的優(yōu)越性的同時(shí)，對網(wǎng)絡(luò)安全問題也決不能忽視。 研究目的 為了解決互聯(lián)網(wǎng)時(shí)代個(gè)人網(wǎng)絡(luò)安全的問題，近年來新興了防火墻技術(shù) [2]。用戶可以根據(jù)自己的需要，通過設(shè)定一些參數(shù)，從而達(dá)到控制本機(jī)與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對本機(jī)的攻擊，比如 ICMPnood攻擊、聊天室炸彈、木馬信息破譯并修改郵件密碼等等。防火墻可以保護(hù)人們在網(wǎng)上瀏覽時(shí)免受黑客的攻擊，實(shí)時(shí)防范網(wǎng)絡(luò)黑客的侵襲，還可以根據(jù)自己的需要?jiǎng)?chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。信息泄漏攔截保證安全地瀏覽網(wǎng)頁、遏制郵件病毒的蔓延 。 個(gè)人防火墻就是在單機(jī) Windows 系統(tǒng)上，采取一些安全防護(hù)措施，使得本機(jī)的息得到一定的保護(hù) 。目前市場上大多數(shù)的防火墻產(chǎn)品僅僅是網(wǎng)關(guān)的，雖然它們的功能相當(dāng)強(qiáng)大，但由于它們基于下述的假設(shè) :內(nèi)部網(wǎng)是安全可靠的，所有的威脅都來自網(wǎng)外。 個(gè)人上網(wǎng)用戶多使用 Windows操作系統(tǒng)，而 Windows操作系統(tǒng)，特別是 4 大學(xué)畢業(yè)論文 WindowsXP 系統(tǒng)，本身的安全性就不高。一般都是利用操作系統(tǒng)設(shè)計(jì)的安全漏洞和通信協(xié)議的安全漏洞來實(shí)現(xiàn)攻擊。以及藍(lán)屏攻擊等。 所謂的防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件 的組合 [ 1 ] 。在邏輯上 ,防火墻是一個(gè)分離器 ,一個(gè)限制器 ,也是一個(gè)分析器 ,有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter 之間的任何活動(dòng) , 保證了內(nèi)部網(wǎng)絡(luò)的安全。 防火墻的基本功能有 :過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)；管理 進(jìn)出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)； 記錄通過防火墻的信息內(nèi)容和活動(dòng)；對網(wǎng)絡(luò)攻擊進(jìn)行檢測和報(bào)警 論文結(jié)構(gòu) 在論文中接下來的幾章里，將會(huì)有下列安排 : 第二章，分析研究網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全面臨的主要威脅，影響網(wǎng)絡(luò)安全的因素，及保護(hù)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。 第四章，以 H3CH3C的 F100防火墻為例，介紹防火墻配置方法。 5 大學(xué)畢業(yè)論文 第二章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安 全問題 安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。 ” 從技術(shù)講，計(jì)算機(jī)安全分為 3種： 1）實(shí)體的安全。 2）運(yùn)行環(huán)境的安全性。 3）信息的安全性。 隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)的安全問題也延伸到了計(jì)算機(jī)網(wǎng)絡(luò)。 1）計(jì)算機(jī)病毒的侵襲。 2）黑客侵襲。例如通過隱蔽通道進(jìn)行非法活動(dòng)；采用匿名用戶訪問進(jìn)行攻擊；通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。例如 “點(diǎn)在郵件炸彈 ”，它的表現(xiàn)形式是用戶在很短的時(shí)間內(nèi)收到大量無用的電子郵件， 從而影響正常業(yè)務(wù)的運(yùn)行。 具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪問、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶 ??等。 2）網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點(diǎn)的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。一個(gè)完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。三是管理措施，包括技術(shù)與社會(huì)措施。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計(jì)是安全的防線。但目前，在這方面的立法還遠(yuǎn)不能適應(yīng)形勢發(fā)展的需要 ,應(yīng)該在對控制計(jì)算機(jī)犯罪的國內(nèi)外立法評價(jià)的基礎(chǔ)上，完善我國計(jì)算機(jī)犯罪立法，以便為確保我國計(jì)算機(jī)信息網(wǎng)絡(luò)健康有序的發(fā)展提供強(qiáng)有力的保障。有兩種主要的加密類型：私匙加密和公匙加密。 (3) 防火墻 技術(shù) 防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足：防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊等。 隨著時(shí)代的發(fā)展，入侵檢測技術(shù)將朝著三個(gè)方向發(fā) 展 :分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。 (6) 文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個(gè)關(guān)鍵性的概念，因?yàn)樵L問控制實(shí)現(xiàn)在兩個(gè)方面：本地和遠(yuǎn)程。一旦實(shí)現(xiàn)了 NTFS，你可以使用 Windows資源管理器在文件和文件夾上設(shè)置用戶級別的權(quán)限。 Windows 2020 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。 （ 2）建立完善的安全管理體制和制度，以起到對管理人員和操作人員鼓勵(lì)和監(jiān)督的作用。 8 大學(xué)畢業(yè)論文 第三章 防火墻概述 隨著 Inter 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多 。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。其中包過濾作為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。 [4]防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間 的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。圖 1表示了防火墻技術(shù)的簡單發(fā)展歷史。 第二代、第三代防火墻 1989年，貝爾實(shí)驗(yàn)室的 Dave Presotto和 Howard Trickey推 9 大學(xué)畢業(yè)論文 出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻 ——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。 1994年，以色列的 CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。 [5] 但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡(luò)中主要的安全問題。這三大安全問題占據(jù)網(wǎng)絡(luò)安全問題九成以上。主要有以下三個(gè)原因 : 一是傳統(tǒng)防火墻的計(jì)算能力的限制。二是傳統(tǒng)防火墻的訪 問控制機(jī)制是一個(gè)簡單的過濾機(jī)制。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為。 現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解決上面的問題。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特 征值，直接進(jìn)行訪問控制。 10 大學(xué)畢業(yè)論文 防火墻的功能 防火墻的主要功能 1．包過濾。可根據(jù)地址簿進(jìn)行設(shè)置規(guī)則。 網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT)。并將有限的 IP 地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部 IP 地址對應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。 3．認(rèn)證和應(yīng)用代理。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫 。同時(shí)支持 URL過濾功能。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問，同時(shí)阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問 。 入侵檢測功能 入侵檢測技術(shù) [7]就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)，包括以下內(nèi)容 : 。是否支持 FTP、 Web 服務(wù) 。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有 :關(guān)閉閑置和有潛在危險(xiǎn)的端口 。 。 11 大學(xué)畢業(yè)論文 而分布式的拒絕服務(wù)攻擊 (DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上 產(chǎn)生的一類攻擊方式，分布式的拒絕服務(wù)攻擊 (DDoS)?，F(xiàn)在的防火墻設(shè)備通常都可檢測 Synflod、 Land、 Ping of Death、 TearDrop、 ICMP flood和 UDPflod等多種 DOS/DDOS攻擊。緩沖區(qū)溢出 (Buffer Overflow)攻擊指利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。 CGI/IIS服務(wù)器入侵。是 World Wide Web主機(jī)和 CGI程序間傳輸資訊的定義。防火墻設(shè)備可檢測包括針對 Unicode、 ASP 源碼泄漏、 PHF、NPH、 CGI/IIS進(jìn)行的探測和攻擊方式。后門程序是指采用 某種方法定義出一個(gè)特殊的端口并依靠某種程序在機(jī)器啟動(dòng)之前自動(dòng)加載到內(nèi)存，強(qiáng)行控制機(jī)器打開那個(gè)特殊的端口的程序。網(wǎng)絡(luò)蠕蟲病毒分為 2類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對整個(gè)互聯(lián)網(wǎng)造成癱瘓性的后果，以 “紅色代碼 ”， “尼姆達(dá) ”，以及最新的 “sql蠕