計算機網絡安全技術研究--論文

1、<p><b>　　XXXXX學院</b></p><p><b>　　成人高等教育</b></p><p>　　畢 業(yè) 論 文</p><p>　　論文題目: 計算機網絡安全技術研究</p><p>　　姓 名 XXXXXX</p><p>　　

2、院（系）： XXXXXX院 </p><p>　　專業(yè)班級 (113474016)計算機科學與技術</p><p>　　學 號 2XXXXXX</p><p>　　指導教師 XXXX</p><p>　　XXXXX院繼續(xù)教育學院制</p><p><b>　　學生承諾書</b&

3、gt;</p><p>　　本人承諾在畢業(yè)論文（設計）活動中遵守學校有關規(guī)定、恪守學術規(guī)范，在本人畢業(yè)論文（設計）內容除特別注明和引用外，均為本人觀點，不存在剽竊、抄襲他人的學術觀點、思想和成果，不存在偽造、篡改實驗數據。如有違規(guī)行為發(fā)生，我愿承擔一切責任，接受學校的處理，并承擔相應的法律責任。</p><p><b>　　承諾人（簽名）：</b></p>

4、<p><b>　　摘 要</b></p><p>　　21世紀的一些重要特征就是數字化，網絡化和信息化，它是一個以網絡為核心的信息時代。隨著計算機互聯(lián)網技術的飛速發(fā)展，網絡信息已經成為社會發(fā)展的重要組成部分。它涉及到政府、經濟、文化、軍事等諸多領域。由于計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯(lián)性等特征，致使網絡信息容易受到來自黑客竊取、計算機系統(tǒng)容易受惡

5、意軟件攻擊，因此，網絡信息資源的安全及管理維護成為當今信息話時代的一個重要話題。 </p><p>　　文中首先論述了信息網絡安全內涵發(fā)生的根本變化,闡述了我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網絡安全體系的必要性,以及網絡面臨的安全性威脅（黑客入侵）及管理維護（防火墻安全技術）。進一步闡述了網絡拓撲結構的安全設計，包括對網絡拓撲結構的分析和對網絡安全的淺析。然后具體講述了網絡防火墻安全技術

6、的分類及其主要技術特征，防火墻部署原則，并從防火墻部署的位置詳細闡述了防火墻的選擇標準。同時就信息交換加密技術的分類及RSA算法做了簡要的分析，論述了其安全體系的構成。</p><p>　　關鍵詞：信息安全 網絡 防火墻 數據加密</p><p><b>　　目 錄</b></p><p>　　摘要....................

7、...............................................3 </p><p>　　目錄...................................................................4 </p><p><b>　　第一章 引言 </b></p&g

8、t;<p>　　1.1 概述..............................................................6 </p><p>　　1.2 網絡安全技術的研究目的 意義和背景................................6 </p><p>　　1.3 

9、計算機網絡安全的含義..............................................7 </p><p>　　第二章 網絡安全初步分析 </p><p>　　2.1 網絡安全的必要性..................................................8 </p>&l

10、t;p>　　2.2 網絡的安全管理....................................................8 </p><p>　　2.2.1安全管理原則 ...................................................8 </p><p>　　2.2.2安全管理的實現...

11、................................................8 </p><p>　　2.3  采用先進的技術和產品 </p><p>　　2.3.1 防火墻技術.....................................................9</p><p&

12、gt;　　2.3.2 數據加密技術...................................................10 </p><p>　　2.3.3 認證技術.......................................................10</p><p>　　2.3.4 計算機病毒的防范.......

13、........................................10 </p><p>　　2.4  常見的網絡攻擊及防范對策.......................................11 </p><p>　　2.4.1 特洛伊木馬.........................................

14、............11</p><p>　　2.4.2 郵件炸彈.......................................................11</p><p>　　2.4.3 過載攻擊........................................................12</p><p>

15、　　2.4.4 淹沒攻擊.......................................................12</p><p>　　第三章  網絡攻擊分析................................................13</p><p>　　第四章  網絡安全技術........

16、........................................15</p><p>　　4.1 防火墻的定義和選擇...............................................15 </p><p>　　4.2 加密技術..............................................

17、...........16 </p><p>　　4.2.1 對稱加密技術...................................................16 </p><p>　　4.2.2 非對稱加密/公開密鑰加密........................................16</p>&l

18、t;p>　　4.2.3 RSA算法.......................................................16 </p><p>　　4.3注冊與認證管理..................................................17</p><p>　　4.3.1 認證機構.........

19、...........................................17</p><p>　　4.3.2 注冊機構....................................................18 </p><p>　　4.3.3 密鑰備份和恢復....................................

20、..........18</p><p>　　4.3.4 證書管理與撤銷系統(tǒng)................... . .......................18</p><p>　　第五章 安全技術的研究 </p><p>　　5.1 安全技術的研究現狀和方向.................................

21、...19 </p><p>　　5.2 包過濾型....................................................19</p><p>　　5.3 代理型......................................................19</p><p>　　結束語..

22、...........................................................21</p><p><b>　　參 考 文 獻</b></p><p><b>　　第一章 引言</b></p><p><b>　　1.1 概述</b&g

23、t;</p><p>　　我們知道, 21世紀的一些重要特征就是數字化,網絡化和信息化,它是一個以網絡為核心的信息時代。要實現信息化就必須依靠完善的網絡，因為網絡可以非常迅速的傳遞信息。因此網絡現在已成為信息社會的命脈和發(fā)展知識經濟的基礎。</p><p>　　隨著計算機網絡的發(fā)展，網絡中的安全問題也日趨嚴重。當網絡的用戶來自社會各個階層與部門時，大量在網絡中存儲和傳輸的數據就需要保護。當

24、人類步入21世紀這一信息社會、網絡社會的時候，我國將建立起一套完整的網絡安全體系，特別是從政策上和法律上建立起有中國特色的網絡安全體系。</p><p>　　一個國家的安全體系實際上包括國家的法律和政策，以及技術與市場的發(fā)展平臺。我國在構建信息信息防衛(wèi)系統(tǒng)時,應著力發(fā)展自己獨特的安全產品,我國要想真正解決網絡安全問題,最終的辦法就是通過發(fā)展名族的安全產業(yè),帶動我國網絡安全技術的整體提高。</p>&

25、lt;p>　　網絡安全產品有以下幾個特點：第一，網絡安全來源于安全策略與技術的多樣化，如果采用一種統(tǒng)一的技術和策略也就不安全了；第二，網絡的安全機制與技術要不斷的變化；第三，隨著網絡在社會各個方面的延伸，進入網絡的手段也越來越多，因此，網絡安全技術是一個十分復雜的系統(tǒng)工程。為此建立有中國特色的網絡安全體系，需要國家政策和法規(guī)的支持及集團聯(lián)合開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷的向上攀升，所以安全產業(yè)將來也是一個隨著新技術

26、發(fā)展而不斷發(fā)展的產業(yè)。</p><p>　　信息安全是國家發(fā)展所面臨的一個重要問題，對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術上、產業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產業(yè)的一部分，而且應該看到發(fā)展安全產業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應該看到它對我國未來數字化、網絡化、信息化的發(fā)展將起到非常重要的作用。</p><p>　　1.2

27、 網絡安全技術的研究目的、意義和背景</p><p>　　目前計算機網絡面臨著很大的威脅，其構成的因素是多方面的。這種威脅將不斷給社會帶來巨大的損失。網絡安全已被信息社會的各個領域所重視。</p><p>　　隨著計算機絡的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢；給政府機構、企事業(yè)單位帶來了革命性的改革。但由于計算機網絡具有聯(lián)結形式多樣性、終端分布不均勻性和網絡的開放性、互聯(lián)性等特征，

28、致使網絡容易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，所以網上信息的安全和保密是一個至關重要的問題。對于軍用的自動化指揮網絡、C3I系統(tǒng)、銀行和政府等傳輸銘感數據的計算機網絡系統(tǒng)而言，其網上信息的安全性和保密性尤為重要。因此，上述的網絡必須要有足夠強的安全措施，否則該網絡將是個無用、甚至會危機國家安全的網絡。 無論是在局域網中還是在廣域網中，都存在著自然和人為等諸多因素的潛在威脅和網絡的脆弱性，故此，網絡的安全措施應是能全方位的

29、針對各種不同的威脅和網絡的脆弱性，這樣才能確保網絡信息的保密性、完整性、和可行。為了確保信息安的安全與暢通，研究計算機網絡的安全以及防范措施已迫在眉睫。本文就進行初步探討計算機網絡安全的管理及技術措施。</p><p>　　認真分析網絡面臨的威脅，我認為計算機網絡系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)工程，是一個安全管理和技術防范相結合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計算機網絡應用部門領導的重視，

30、加強工作人員的責任心和防范意識，自覺執(zhí)行各項安全制度，在此基礎上，再采用現金的技術和產品，構造全防衛(wèi)的防御機制，使系統(tǒng)在理想的狀態(tài)下運行。</p><p>　　1.3 計算機網絡安全的含義</p><p>　　計算機網絡安全的具體含義會隨著使用者的變化而變化，使用者的不同，對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護，避免

31、被竊聽、篡改和偽造；而網絡提供商除了關心這些網絡信息安全外，還要考慮如何應付突發(fā)的災害，軍事打擊等對網絡硬件的破壞，以及在網絡出現異常時如何恢復網絡通信，保持網絡通信的連續(xù)性。</p><p>　　從本質上來講，網絡安全包括組成網絡系統(tǒng)的硬件、軟件極其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網絡安全既有技術方面的，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網絡入侵和攻擊行為使得

32、網絡安全面臨新的挑戰(zhàn)。</p><p>　　第二章 網絡安全初步分析</p><p><b>　　網絡安全的必要性</b></p><p>　　隨著計算機技術的不斷發(fā)展，計算機網絡已經成為信息時代的重要特征。人們稱它為信息高速公路。網絡是計算機技術和通信技術的產物，適應社會對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設自己的信息高速公路。

33、我國近年來計算機網絡發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應用。我相信在不長的時間里，計算機網絡一定會得到極大的發(fā)展，那時將全面進入信息時代。正因為網絡應用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。</p><p>　　2.2 網絡的安全管理</p><p>　　面對網絡安全的脆弱性，除了在網絡設計上增加安全服務功能，完善系統(tǒng)的安全保密措施外，

34、還必須花大力氣加強網絡安全的安全管理，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網絡安全所必須考慮的基本問題。</p><p>　　2.2.1安全管理原則</p><p>　　網絡信息系統(tǒng)的安全管理主要基于3個原則：</p><p><b>　　多人負責原則</b></p><p>　　每一項

35、與安全有關的活動，都必須有兩人或多人在場。這些人應是系統(tǒng)主管領導指派的，他們忠誠可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作以得到保障。與安全有關的活動有：訪問控制使用證件的發(fā)放與回收，信息處理系統(tǒng)使用的媒介發(fā)放與回收，處理保密信息，硬件與軟件的維護，系統(tǒng)軟件的設計、實現和修改，重要數據的刪除和銷毀等。</p><p><b>　　任期有限原則</b></p>

36、<p>　　一般來講，任何人最好不要長期擔任與安全有關的職務，以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則，工作人員應不定期的循環(huán)任職，強制實行休假制度，并規(guī)定對工作人員進行輪流培訓，以使任期有限制度切實可行。</p><p><b>　　職責分離原則</b></p><p>　　除非經系統(tǒng)主管領導批準，在信息處理系統(tǒng)工作的人員不要打聽、了解或

37、參與職責以外的任何與安全有關的事情。出于對安全的考慮，下面每組內的兩項信息處理工作應當分開：計算機操作與計算機編程、機密資料的接收與傳送、安全管理與系統(tǒng)管理、應用程序和系統(tǒng)程序的編制、訪問證件的管理與其他工作、計算機操作與信息處理系統(tǒng)使用媒介的保管等。</p><p>　　2.2.2 安全管理的實現</p><p>　　信息系統(tǒng)的安全管理部門應根據管理原則和該系統(tǒng)處理數據的保密性，制定相應

38、的管理制度或采用相應的規(guī)范。具體工作是:</p><p>　　根據工作的重要程度，確定該系統(tǒng)的安全等級。</p><p>　　根據確定的安全等級，確定安全管理范圍。</p><p>　　制定相應的機房出入管理制度，對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關的區(qū)域。出入管理可采用證件識別或安裝自動識別系統(tǒng)，采用此卡、身份卡等手段，對人員進行識

39、別， 登記管理。</p><p>　　2.3 采用先進的技術和產品</p><p>　　要保證計算機網絡安全的安全性，還要采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。</p><p>　　2.3.1 防火墻技術</p><p>　　為保證網絡安全，防止外部網對內部網的非法入侵，在被保護的網絡和外部公共網絡之間設置一道屏障

40、這就稱為防火墻。它是一個或一組系統(tǒng)，該系統(tǒng)可以設定哪些內部服務可以被外界訪問，外界的哪些人可以訪問內部的哪些服務，以及哪些外部服務可以被內部人員訪問。它可以監(jiān)測、限制、更改跨越防火墻的數據流，確認其來源及去處，檢查數據的格式及內容，并依照用戶的規(guī)則傳送或阻止數據。其主要有：應用層網關、數據包過濾、代理服務器等幾大類型。</p><p>　　2.3.2 數據加密技術</p><p>　　與防

41、火墻配合使用的安全技術還有數據加密技術，是為了提高信息系統(tǒng)及數據的安全性和保密性，防止秘密數據被外部破析所采用的主要技術手段之一。隨著信息技術的發(fā)展，網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外，從技術上分別在軟件和硬件兩方面采取措施，推動著數據加密技術和物理防范技術的不斷發(fā)展。按作用的不同，數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。</p>&

42、lt;p>　　2.3.3 認證技術</p><p>　　認證技術是防止主動攻擊的重要手段，它對于開放環(huán)境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程，即認證建立信息的發(fā)送者或接受者的身份。認證的主要目的有兩個：第一，驗證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗證信息的完整性，保證信息在傳送過程中未被篡改或延遲等。目前使用的認證技術主要有：消息認證、身份認證、數

43、字簽名。</p><p>　　2.3.4 計算機病毒的防范</p><p>　　首先要加強工作人員防病毒的意識，其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件：</p><p>　　① 較強的查毒、殺毒能力。在當前全球計算機網絡上流行的計算機病毒有4萬多種，在各種操作系統(tǒng)中包括Windows 、 UNIX 和 Netware 系統(tǒng)都有大量能夠造成危害的計

44、算機病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查殺、殺毒范圍廣、能力強的特點。</p><p>　?、?完善的升級服務。與其他軟件相比，防病毒軟件更需要不斷的更新升級，以查殺層出不窮的計算機病毒。</p><p>　　2.4 常見的網絡攻擊和防范對策</p><p>　　2.4.1 特洛伊木馬</p><p>　　

45、特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬的程序包括兩部分，即實現攻擊者目的的指令和在網絡中傳播的指令。特洛伊木馬具有很強的生命力，在網絡中當人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的過程中，從而使它們受到感染。此類攻擊對計算機的危害極大，通過特洛

46、伊木馬，網絡攻擊者可以讀寫未經授權的文件，甚至可以獲得對被攻擊的計算機的控制權。</p><p>　　防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進行數字簽名，而在運行文件時通過對數字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網絡掃描軟件定期監(jiān)視內部主機上的監(jiān)聽TCP服務。</p><p>　　2.4.2 郵件

47、炸彈</p><p>　　郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同以地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網絡的帶寬，占據郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，妨礙計算機的正常工作。此種攻擊經常出現在網絡黑客通過計算機網絡對某一目標的報復活動中。</p><p>　　防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地

48、址進行配置，自動刪除來自同一主機的過量或重復消息，也可以使自己的SMTP連接只能達成指定的服務器，從而免受外界郵件的侵襲。</p><p>　　2.4.3 過載攻擊</p><p>　　過載攻擊是攻擊者通過服務器長時間發(fā)出大量無用的請求，使被攻擊的服務器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用的最多的一種方法是進程攻擊，它是通過大量地進行人為的增大CPU的工作

49、量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。</p><p>　　防止過載攻擊的方法有：限制單個用戶所擁有的最大進程數；殺死一些耗時的進程。然而，不幸的是這兩種方法都存在著一定的負面效應。通過對單個用戶所擁有的最大進程數的限制和耗時進程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應，從而出現類似拒絕服務的現象。通常，管理員可以使用網絡監(jiān)視工具來發(fā)現這種攻擊，通過主機列表和網絡地址列表來的所在，也可以登

50、錄防火墻或路由器來發(fā)現攻擊究竟是來自于網絡內部還是網絡外部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。</p><p>　　2.4.4 淹沒攻擊</p><p>　　正常情況下，TCP連接建立要經過3次握手的過程，即客戶機向客戶機發(fā)送SYN請求信號；目標主機收到請求信號后向客戶機發(fā)送SYN/ACK消息；客戶機收到SYN/ACK消息后再向主機發(fā)送RST信號并斷開連接。TCP的這三次

51、握手過程為人們提供了攻擊網絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址，向被攻擊主機發(fā)出SYN請求信號，當被攻擊主機收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機發(fā)出SYN/消息。由于此時的主機IP不存在或當時沒有被使用所以無法向主機發(fā)送RST，因此，造成被攻擊的主機一直處于等待狀態(tài)，直至超時。如果攻擊者不斷的向被攻擊的主機發(fā)送SYN請求，被攻擊主機就一直處于等待狀態(tài)，從而無法響應其他用戶請求。</p

52、><p>　　對付淹沒攻擊的最好方法就是實時監(jiān)控系統(tǒng)處于SYN-RECEIVED狀態(tài)的連接數，當連接數超過某一給定的數值時，實時關閉這些連接。</p><p>　　第三章 網絡攻擊分析</p><p>　　攻擊是指非授權行為。攻擊的范圍從簡單的使服務器無法提供正常的服務到安全破壞、控制服務器。在網絡上成功實施的攻擊級別以來于擁護采取的安全措施。</p>

53、<p>　　在此先分析下比較流行的攻擊Dodos分布式拒絕服務攻擊：Does是Denial of Service的簡稱，即拒絕服務，造成Does的攻擊行為被稱為Does攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的Does攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。連通性攻擊是指用大量的連接請求沖擊計算機，使得所有可用的操

54、作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。而分布式拒絕服務（DDoS:Distributed Denial of Service）攻擊是借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在 Internet 上的許多計

55、算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。 而且現在沒有有限的方法來避免這</p><p>　　因為此攻擊基于TCP/IP 協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？</p><p>　　1. 確保所有服務器采用最新系統(tǒng)，并打上安全補丁。計算機緊急響應協(xié)調中心發(fā)現，幾乎每個受到DDoS攻擊

56、的系統(tǒng)都沒有及時打上補丁。</p><p>　　2. 確保管理員對所有主機進行檢查，而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統(tǒng)在 運行什么？ 誰在使用主機？ 哪些人可以訪問主機？ 不然，即使黑客侵犯了系統(tǒng)，也很難查明。</p><p>　　3. 確保從服務器相應的目錄或文件數據庫中刪除未使用的服務如FTP或NFS.等守護程序存在一些已知的漏洞，黑客通過根攻擊就能獲得訪問特權系統(tǒng)

57、的權限，并能訪問其他系統(tǒng)—甚至是受防火墻保護的系統(tǒng)。</p><p>　　4. 確保運行在 Unix上的所有服務都有TCP封裝程序，限制對主機的訪問權。</p><p>　　5. 禁止內部網通過Modem連接至PSTN 系統(tǒng)。否則，黑客能通過電話線發(fā)現未受保護的主機，即刻就能訪問極為機密的數據。</p><p>　　6. 禁止使用網絡訪問程序如 Telnet、 Ft

58、p、 Rsh 、Rlogin 和Rcp，以基于PKI的訪問程序如SSH取代。SSH不會在網上以明文格式傳遞口令，而Telnet和 Rlogin 則正好相反，黑客能搜尋到這些口令，從而立即訪問網絡上的重要服務器。此外，在Unix上應該將. rhost 和 hosts.equiv 文件刪除,因為不用猜口令,這些文件就會提供登錄訪問!</p><p>　　7. 限制在防火墻外與網絡文件共享。這會使黑客有機會截

59、獲系統(tǒng)文件，并以特洛伊木馬替換他，文件傳輸功能無異將陷入癱瘓。</p><p>　　8. 確保手頭上有一張最新的網絡拓撲圖。這張圖應該詳細標明TCP/IP地址、主機、路由器及其他網絡設備，還應該包括網絡邊界、非軍事區(qū)（DMZ）及網絡的內部保密部分。</p><p>　　9. 在防火墻上運行端口映射程序或端口掃描程序。大多數時間是由于防火墻配置不當造成的，使DoS/ DDoS攻擊成功率很高，

60、所以一定要認真檢查特權端口和非特權端口。</p><p>　　10. 檢查所有網絡設備和主機/服務器系統(tǒng)的日志。只要日志出現紕漏或時間出現變更，幾乎可以坑定：相關的主機安全收到了威脅。</p><p>　　第四章 網絡安全技術</p><p>　　4.1 防火墻的定義和選擇</p><p>　　4.1.1防火墻的定義</p>

61、<p>　　網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環(huán)境的特殊網絡互聯(lián)設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監(jiān)視網絡運行狀態(tài)。</p><p>　　目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關（代理服務器）以及電路層網關、屏

62、蔽主機防火墻、雙宿主機等類型。</p><p>　　作為內部網絡與外部公共網絡之間的第一道屏障，防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看，防火墻處于網絡安全的最底層，負責網絡間的安全認證與傳輸。但隨著網絡安全技術的整體發(fā)展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著

63、數據安全與用戶認證、防止病毒與黑客入侵等方向發(fā)展。</p><p>　　4.1.2 防火墻的選擇</p><p>　　總擁有成本防火墻產品作為網絡系統(tǒng)的安全屏障，其總擁有成本（TCO）不應該超過受保護網絡系統(tǒng)可能遭受最大損失的成本。以一個非關鍵部門的網絡系統(tǒng)為例，假如其系統(tǒng)中的所有信息及所支持應用的總價值為10萬元，則該部門所配備防火墻的總成本也不應該超過10萬元。當然，對于關鍵部門來說，

64、其所造成的負面影響和連帶損失也不應該考慮在內。如果僅作粗略估算，非關鍵部門的防火墻購置成本不應該超過網絡系統(tǒng)的建設總成本，關鍵部門則應另當別論選擇防火墻的標準有很多，但最重要的是以下兩條：</p><p>　?。?）防火墻本身是安全的</p><p>　　作為信息系統(tǒng)安全產品，防火墻本身也應該保證安全，不給外部侵入者以可乘之機。如果像瑪奇諾防線一樣，正面雖然牢不可破，但進攻者能夠輕易地繞過

65、防線進入系統(tǒng)內部，網絡系統(tǒng)也就沒有任何安全性可言了。</p><p>　　通常，防火墻的安全性問題來自兩個方面：其一是防火墻本身的設計是否合理，其二是使用不當。一般來說，防火墻的許多配置需要系統(tǒng)管理員手工修改，如果系統(tǒng)管理員對防火墻十分不熟悉，就有可能在配置過程中遺留大量的安全漏洞。</p><p><b>　?。?）可擴充性</b></p><p

66、>　　在網絡系統(tǒng)建設的初期，由于內部信息系統(tǒng)的規(guī)模較小，遭受攻擊造成的損失也較小，因此沒有必要購置過于復雜和昂貴的防火墻產品。但隨著網絡的擴容和網絡應用的增加，網絡的風險成本也會急劇上升，此時便需要增加具有更高安全性的防火墻產品。如果早期購置的防火墻沒有可擴充性，或擴充成本極高，這便是對投資的浪費。好的產品應該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統(tǒng)，而隨著要求的提供，用戶仍然有進一步增加選擇的余地。

67、這樣不僅能夠保護用戶的投資，對提供防火墻產品的廠商來說，也擴大產品的覆蓋面。</p><p><b>　　4.2 加密技術</b></p><p>　　信息交換加密技術分為兩類:即對稱加密和非對稱加密.</p><p>　　4.2.1 對稱加密技術</p><p>　　在對稱加密技術中,對信息的加密和解密都使用相同的鑰,

68、也就是說一把鑰匙開一把鎖.這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄漏，那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足，如果交換一方有N個交換對象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方。如三重DES是DES（數據加密標準）的一種變形，這種方法使用兩個獨立的56位密鑰

69、對信息進行3次加密，從而使有效密鑰長度達到112位。</p><p>　　4.2.2 非對稱加密技術</p><p>　　在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛分布，

70、但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上，是計算機復雜性理論發(fā)展的必然結果。最具有代表性是RSA公鑰密碼體制。</p><p>　　4.2.3 RSA算法</p><p>　　RSA算法是Rivest、 Shamir和Adleman于1977年提

71、出的第一個完善的公鑰密碼體制。其安全性是基于分散大整數的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分散兩大素數之積。RSA算法的描述如下：</p><p>　　公開密鑰： n=pq(p、q 分別為兩個互異的大素數，p、q 必須保密)</p><p>　　e與 (p-1)(q-1)互素</p><p>　　私有密鑰：d=e-1

72、{mod(p-1)(q-1)}</p><p>　　加密：c=me(mod n)，其中 m 為明文， c為密文。</p><p>　　解密：m=cd(mod n)</p><p>　　利用目前已經掌握的只是和理論，分解2048bit的大整數已經超過了64位計算機的運算能力，因此在目前和預見的將來，它是足夠安全的。</p><p>　　4.3

73、 注冊與認證管理</p><p>　　4.3.1 認證機構</p><p>　　CA（Certification Authorty）就是這樣一個確保信任度的權威實體，它的主要職責是頻發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網絡用戶電子身份證明一證書，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較

74、強安全性的CA是至關重要的，這不僅與密碼學有關系，而且還與整個PKI系統(tǒng)的構架和模型有關。</p><p>　　4.3.2 注冊機構</p><p>　　RA(Registration Authority)是用戶和CA的借口，它所獲得的用戶標識的準確性是CA發(fā)給證書的基礎。RA不僅要支持面對面的登記，也必須支持遠程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設計和實現網絡化、安全的且易于

75、操作的RA系統(tǒng)。</p><p>　　4.3.3 密鑰備份和恢復</p><p>　　為了保證數據的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。</p><p>　　4.3.4 證書管理與撤銷系統(tǒng)</p><p>

76、;　　證書是用來證明證書持有者身份的電子介質，它是用來綁定證書持有者身份和其相應公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現一個已頒發(fā)證書不再有效的情況這就需要進行證書撤銷，證書撤銷的理由是各種各樣的?？赡馨üぷ髯儎拥綄γ荑€懷疑等一系列原因。證書撤銷系統(tǒng)實現是利用周期性的發(fā)布機制撤銷證書或采用在線查詢機制，隨時查詢被撤銷的證書。</p><p>　　第五章 安全技術的研究&l

77、t;/p><p>　　5.1 安全技術的研究現狀和方向</p><p>　　我國信息網絡安全研究歷經了通信保密、數據保護兩個階段，正在進入網絡信息安全研究階段，現已開發(fā)研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的

78、解決信息網絡安全的方案，目前應從安全體系結構、安全協(xié)議、現代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。根據防火墻所采用的技術不同，將它分為4個基本類型：包過濾型、網絡地址轉換-NAT、代理型和監(jiān)測型。</p><p><b>　　5.2 包過濾型</b></p><p>　　包過濾型產品是防火墻的初級產品，其技術依據是網絡中

79、的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會含一些特定信息，防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一單發(fā)現來自危險站點的數據包，防火墻便會將這些數據拒之門外。系統(tǒng)管理員也可以根據實際情況靈活制定判斷規(guī)則。</p><p>　　包過濾技術的優(yōu)點是簡單實用，實現成本較低，在應用環(huán)境比較簡單的情況下，能夠以較小的代價在一

80、定程度上保證系統(tǒng)的安全。</p><p>　　但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵入。</p><p><b>　　5.3 代理型</b></p><p>　　代理型的安全性能要高過包過濾型，并已經開始向應用層發(fā)展。代理服務器位于客

81、戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理服務器相當于一臺真正的服務器；從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時，首先將數據請求發(fā)給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。由于外部系統(tǒng)與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業(yè)內部網絡系統(tǒng)。</p><p>　　代理型防火墻的優(yōu)

82、點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統(tǒng)管理的復雜性。</p><p>　　實際上，作為當前防火墻產品的主流趨勢，大多數代理服務器（也稱應用網關）也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產品是基于應用的，應用網關能提供

83、對協(xié)議的過濾。正是由于應用網關的這些特點，使得應用過程中的矛盾主要集中在對多種網絡應用協(xié)議的有效支持和對網絡整體性能的影響上。</p><p><b>　　結束語</b></p><p>　　互聯(lián)網現在已經成為了人們不可缺少的通信工具，其發(fā)展速度也快的驚人，以此而來的攻擊破壞層出不窮，為了有效的防止入侵把損失降到最低，我們必須適合注意安全問題，使用盡量多而可靠的安全工

84、具經常維護，讓我們的網絡體系完善可靠。在英特網為我們提供了大量的機會和便利的同時，也在安全性方面給我們帶來了巨大的挑戰(zhàn)，我們不能因為害怕挑戰(zhàn)而拒絕它，否則就會得不償失，信心安全是當今社會乃至整個國家發(fā)展所面臨的一個只管重要的問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術上、產業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產業(yè)的一部分，而且應該看到，發(fā)展安全產業(yè)的政策是信息安全保障系統(tǒng)的一個重要的組成部分，

85、甚至應該看到它對我國未來電子化、信息化的發(fā)展講起到非常重要的作用。網絡安全是一項動態(tài)的、整體的系統(tǒng)工程，我們應該結合現在網絡發(fā)展的特點，制定妥善的網絡安全策略，將英特網的不安全性降至到現有條件下的最低點，讓它為我們的工作和現代化建設做出更好的服務。</p><p><b>　　參 考 文 獻</b></p><p>　　[1] 謝希仁 . 計算機網絡 電子工