【正文】 癱瘓狀態(tài)，造成的損失是災(zāi)難性的。計(jì)算機(jī)局域網(wǎng)病毒的防治，單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來(lái)，才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。二、加強(qiáng)各級(jí)網(wǎng)絡(luò)管理人員的專(zhuān)業(yè)技能學(xué)習(xí)，提高工作能力，并能及時(shí)檢查網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)病毒的癥狀。 一旦在局域網(wǎng)上發(fā)現(xiàn)病毒，應(yīng)盡快加以清除，以防網(wǎng)絡(luò)病毒的擴(kuò)散給整個(gè)系統(tǒng)造成更大的損失，具體過(guò)程為:longin禁止其他用戶登錄。 （4）用防病毒軟件掃描服務(wù)器上所有卷的文件，恢復(fù)或刪除被感染的文件，重新安裝被刪除的文件。 （5）若沒(méi)有最新的備份文件，可嘗試使用殺毒軟件把病毒清除，對(duì)在已染毒網(wǎng)絡(luò)上存取過(guò)的軟盤(pán)進(jìn)行消毒。 （6）確信網(wǎng)絡(luò)病毒已全部徹底清除后，重新啟動(dòng)網(wǎng)絡(luò)及各工作站。 防火墻系統(tǒng)它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。因此IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一個(gè)網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過(guò)雙重宿主主機(jī)的過(guò)濾和控制。 雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒(méi)有使用路由器。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過(guò)濾提供（例如，數(shù)據(jù)包過(guò)濾用于防止人們繞過(guò)代理服務(wù)器直接相連）。這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。任何外部的系統(tǒng)要訪問(wèn)內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺(tái)主機(jī)。數(shù)據(jù)包過(guò)濾容許堡壘主機(jī)開(kāi)放可允許的連接（什么是可允許連接將由你的站點(diǎn)的特殊的安全策略決定）到外部世界。在屏蔽的路由器中數(shù)據(jù)包過(guò)濾配置可以按下列方案之一執(zhí)行：(1)允許其它的內(nèi)部主機(jī)為了某些服務(wù)開(kāi)放到Internet上的主機(jī)連接（允許那些經(jīng)由數(shù)據(jù)包過(guò)濾的服務(wù)）； 被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開(kāi)。一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過(guò)兩個(gè)路由器。 數(shù)據(jù)包過(guò)濾技術(shù)是防火墻中最常用的技術(shù)。包過(guò)濾型防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址,端口號(hào)和協(xié)議類(lèi)型等標(biāo)志確定是否允許通過(guò),只有滿足過(guò)濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地,其余數(shù)據(jù)包則被數(shù)據(jù)流中阻擋丟棄。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的外部的、注冊(cè)的IP的地址標(biāo)準(zhǔn),用戶必須要為網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址[]問(wèn)外部網(wǎng)絡(luò)時(shí),系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口與外部連接,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。]網(wǎng)絡(luò)地址轉(zhuǎn)換過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。 代理偵聽(tīng)網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請(qǐng)求,當(dāng)一個(gè)連接到來(lái)時(shí),首先進(jìn)行身份驗(yàn)證,并根據(jù)安全策略決定是否中轉(zhuǎn)連接。若為合法用戶,則把該請(qǐng)求轉(zhuǎn)發(fā)給真正的某個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)。若為不合法用語(yǔ),則拒絕訪問(wèn)。 它有一個(gè)檢測(cè)引擎，在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略。當(dāng)用戶訪問(wèn)請(qǐng)求到達(dá)網(wǎng)關(guān)是操作系統(tǒng)前，狀態(tài)監(jiān)測(cè)器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密處理動(dòng)作。 入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。從一組數(shù)據(jù)中，檢測(cè)出符合某一特點(diǎn)的數(shù)據(jù)。入侵檢測(cè)系統(tǒng)的任務(wù)是從這些混合的數(shù)據(jù)中找出是否有入侵的痕跡，并給出相關(guān)的提示和警告。 入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。當(dāng)檢測(cè)到某種誤用模式時(shí)，產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。 第三步是結(jié)果處理，控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡(jiǎn)單的告警。劃分為四個(gè)基本部分：數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺(tái)子系統(tǒng)、數(shù)據(jù)庫(kù)管理子系統(tǒng)。NT或2000上實(shí)現(xiàn)，數(shù)據(jù)庫(kù)管理子系統(tǒng)基于Access或其他功能更強(qiáng)大的數(shù)據(jù)庫(kù)如SQL等，多跟控制臺(tái)子系統(tǒng)結(jié)合在一起，稱(chēng)之為控制管理中心。這就需要使用網(wǎng)絡(luò)監(jiān)聽(tīng)來(lái)實(shí)現(xiàn)審計(jì)數(shù)據(jù)的獲取，可以通過(guò)對(duì)網(wǎng)卡工作模式的設(shè)置為“混雜”模式實(shí)現(xiàn)對(duì)某一段網(wǎng)絡(luò)上所有數(shù)據(jù)包的捕獲。應(yīng)根據(jù)自己網(wǎng)絡(luò)的具體情況，選用合適的軟件及硬件設(shè)備，如果網(wǎng)絡(luò)數(shù)據(jù)流量很小，用一般的PC機(jī)安裝Linux即可，如果所監(jiān)控的網(wǎng)絡(luò)流量非常大，則需要用一臺(tái)性能較高的機(jī)器；在服務(wù)器上開(kāi)出一個(gè)日志分區(qū)，用于采集數(shù)據(jù)的存儲(chǔ)；接著應(yīng)進(jìn)行有關(guān)軟件的安裝與配置，至此系統(tǒng)已經(jīng)能夠收集到網(wǎng)絡(luò)數(shù)據(jù)流了。數(shù)據(jù)分析模塊相當(dāng)于IDS的大腦，它必須具備高度的“智慧”和“判斷能力”,所以，在設(shè)計(jì)此模塊之前，需要對(duì)各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個(gè)很清晰、深入地研究，然后制訂相應(yīng)的安全規(guī)則庫(kù)和安全策略，再分別建立濫用檢測(cè)模型和異常檢測(cè)模型，讓機(jī)器模擬自己的分析過(guò)程，識(shí)別確知特征的攻擊和異常行為，最后將分析結(jié)果形成報(bào)警消息，發(fā)送給控制管理中心。在這里需要特別注意3個(gè)問(wèn)題?？刂婆_(tái)子系統(tǒng)負(fù)責(zé)向網(wǎng)絡(luò)管理員匯報(bào)各種網(wǎng)絡(luò)違規(guī)行為，并由管理員對(duì)一些惡意行為采取行動(dòng)（如阻斷、跟蹤等）?？刂婆_(tái)子系統(tǒng)的設(shè)計(jì)重點(diǎn)是：警報(bào)信息查詢(xún)、探測(cè)器管理、規(guī)則管理及用戶管理。一個(gè)好的入侵檢測(cè)系統(tǒng)不僅僅應(yīng)當(dāng)為管理員提供實(shí)時(shí)、豐富的警報(bào)信息，還應(yīng)詳細(xì)地記錄現(xiàn)場(chǎng)數(shù)據(jù)，以便于日后需要取證時(shí)重建某些網(wǎng)絡(luò)事件。以上幾步完成之后，一個(gè)IDS的最基本框架已被實(shí)現(xiàn)。同時(shí)，控制管理中心的控制臺(tái)子系統(tǒng)和數(shù)據(jù)庫(kù)子系統(tǒng)之間也有大量的交互操作，如警報(bào)信息查詢(xún)、網(wǎng)絡(luò)事件重建等?！　∫粋€(gè)網(wǎng)絡(luò)的防病毒體系是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的，應(yīng)該根據(jù)每個(gè)局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對(duì)性的防病毒策略。劃分VLAN運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽(tīng)的入侵。基于端口的VLAN雖然稍欠靈活，但卻比較成熟，在實(shí)際應(yīng)用中效果顯著，廣受歡迎。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽(tīng)，就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對(duì)其進(jìn)行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患。所以網(wǎng)絡(luò)分段是保證局域網(wǎng)安全的一項(xiàng)重要措施。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過(guò)分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。Packet）還是會(huì)被同一臺(tái)集線器上的其他用戶所偵聽(tīng)。因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法偵聽(tīng)。Packet）和多播包（Multicast所幸的是，廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。實(shí)施IP/MAC很多網(wǎng)關(guān)軟件實(shí)施流量過(guò)濾時(shí)都是基于IP或MAC地址，對(duì)控制普通用戶起到了很好的效果，但對(duì)于高級(jí)用戶就顯得無(wú)能為力了，因?yàn)椴还苁荌P或是MAC地址都可以隨意修改。首先通過(guò)交換機(jī)實(shí)施用戶與交換機(jī)端口的MAC綁定，再通過(guò)服務(wù)器網(wǎng)絡(luò)管理實(shí)施IP/MAC綁定，這樣用戶既不能改網(wǎng)卡的MAC地址，也不能改IP地址。因此，局域網(wǎng)安全不是一個(gè)單純的技術(shù)問(wèn)題，它涉及整個(gè)網(wǎng)絡(luò)安全系統(tǒng)，包括防范技術(shù)、規(guī)范管理等多方面因素。致　謝本篇論文是在老師的精心指導(dǎo)下完成的，從選題到論文內(nèi)容都給予了我精心的指導(dǎo)和嚴(yán)格的教誨，無(wú)論從學(xué)術(shù)水平還是學(xué)術(shù)造詣上都使我受益非淺,。在這次畢業(yè)論文設(shè)計(jì)中，我第一次親身嘗試到了作為一個(gè)缺乏社會(huì)實(shí)踐經(jīng)驗(yàn)的學(xué)生所面臨的困難。此后,我會(huì)加倍努力的去研究,在熟練的基礎(chǔ)上掌握更多的新型技術(shù),來(lái)提高自己的開(kāi)發(fā)水平。在這里我衷心的感謝我的指導(dǎo)老師sssssss對(duì)我的指導(dǎo)和啟發(fā)。計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：人民郵電出版社,160