畢業(yè)論文----學校網(wǎng)絡(luò)安全探究

1、<p><b>　　宿舍網(wǎng)絡(luò)安全探究</b></p><p><b>　　摘 要</b></p><p>　　Internet是一個開放的、互操作的通信系統(tǒng)，其基礎(chǔ)協(xié)議是TCP/IP。Internet協(xié)議地址（簡稱IP地址）是TCP/IP網(wǎng)絡(luò)中可尋址設(shè)施的唯一邏輯標識，它是一個32位的二進制無符號數(shù)。對于Internet上的任一主機

2、，它都必須有一個唯一的IP地址。IP地址由InterNIC及其下級授權(quán)機構(gòu)分配，沒有分配到自己的IP地址的主機不能夠直接連接到Internet。</p><p>　　隨著Internet的迅速發(fā)展，IP地址的消耗非?？?，據(jù)權(quán)威機構(gòu)預(yù)測，現(xiàn)行IPv4版本的IP只夠用到2007年?，F(xiàn)在，企業(yè)、機構(gòu)、個人要申請到足夠的IP地址都非常困難，作為一種稀缺資源，IP地址的盜用就成為很常見的問題。特別是在按IP流量計費的CER

3、NET網(wǎng)絡(luò)，由于費用是按IP地址進行統(tǒng)計的，許多用戶為了逃避網(wǎng)絡(luò)計費，用IP地址盜用的辦法，將網(wǎng)絡(luò)流量計費轉(zhuǎn)嫁到他人身上。另外，一些用戶因為一些不可告人的目的，采用IP地址盜用的方式來逃避追蹤，隱藏自己的身份。</p><p>　　IP地址盜用侵害了Internet網(wǎng)絡(luò)的正常用戶的權(quán)利，并且給網(wǎng)絡(luò)計費、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)運行帶來了巨大的負面影響，因此解決IP地址盜用問題成為當前一個迫切的課題。</p>

4、<p>　　IP地址的盜用方法多種多樣，其常用方法有很多種，例如靜態(tài)修改IP地址、成對修改IP-MAC地址等等，針對IP盜用問題，我們將從網(wǎng)卡交換機以及802.1X協(xié)議方面詳細講解防止IP地址的盜用的方法。 </p><p>　　關(guān)鍵詞：通信系統(tǒng) IP地址 盜用</p><p>　　Dormitory network security explored </p>

5、;<p><b>　　Pick to </b></p><p>　　Internet is an open, interoperable communications system, its basic agreement is TCP/IP. Internet protocol address (hereinafter referred to as the IP addres

6、s) is TCP/IP network addressable facilities of the only logical logo, it is a 32-bit binary unsigned number. For the Internet of any one of the host, it must have a unique IP address. IP address and its authorized organi

7、zation by InterNIC at a lower level distribution, not assigned to own the IP address of host can't directly connected to the</p><p>　　With the rapid development of Internet, the consumption of IP address

8、 is very fast, according to authorities forecast, the current IPv4 version of the IP only enough to 2007. Now, enterprises, institutions and individuals who want to apply for to enough IP address is very difficult, as a

9、scarce resource, the IP address for theft will become very common problem. Especially in the IP flow of billing CERNET network, because of cost is according to the IP address of the statistics, many users in ord</p>

10、;<p>　　IP address infringement of Internet network theft of normal user rights, and to the network billing, network security and network operation brings huge negative effects, therefore solve the IP address theft

11、 problem currently become a pressing issue. </p><p>　　The IP address for theft various ways, the commonly used method has a lot of kinds, such as static IP address changes in pairs, modify IP-MAC address and

12、 so on, in view of the IP theft problem, we will from nic switches and 802.1 X agreement explained to prevent the IP address for the method of theft. </p><p>　　Keywords: communication system IP address theft

13、 </p><p><b>　　目 錄</b></p><p><b>　　0.前言1</b></p><p>　　1.宿舍網(wǎng)絡(luò)安全簡介1</p><p><b>　　2.網(wǎng)卡3</b></p><p>　　2.1網(wǎng)卡的基本構(gòu)造3<

14、;/p><p>　　2.2網(wǎng)卡的工作原理4</p><p>　　2.3網(wǎng)卡的工作模式及功能5</p><p>　　2.4 MAC地址的簡介5</p><p>　　2.5 IP與MAC的綁定6</p><p><b>　　3.交換機8</b></p><p>　　3.1

15、 什么是交換機8</p><p>　　3.2 交換機的種類8</p><p>　　3.3 交換機的工作原理8</p><p>　　3.4 可網(wǎng)管交換機VLAN技術(shù)9</p><p>　　3.5 MAC和交換機端口的綁定10</p><p>　　4.802.1x認證技術(shù)簡介12</p><

16、p><b>　　4.1 引言12</b></p><p>　　4.2 802.1x協(xié)議簡介12</p><p>　　4.3 802.1x認證體系12</p><p>　　4.4 802.1x認證特點13</p><p>　　4.5 802.1x認證流程13</p><p>　　4.

17、6 802.1x配置15</p><p>　　5.病毒、木馬、防火墻16</p><p>　　5.1 計算機病毒及特點16</p><p>　　5.2 計算機病毒的傳播16</p><p>　　5.3 防火墻與查殺軟件16</p><p>　　5.4 病毒的清除17</p><p>

18、<b>　　6. 結(jié)束語18</b></p><p>　　6.1論文總結(jié)18</p><p>　　6.2工作展望18</p><p>　　參考文獻、資料索引19</p><p><b>　　致　　謝20</b></p><p><b>　　0.前言<

19、/b></p><p>　　如今，校園宿舍網(wǎng)呈現(xiàn)用戶多且密度大、網(wǎng)絡(luò)節(jié)點多、難以管理的特點。宿舍網(wǎng)的用戶相對其他網(wǎng)絡(luò)的用戶分布要密集很多，而眾多用戶與不同宿舍樓之間的網(wǎng)絡(luò)連接結(jié)構(gòu)相似，但節(jié)點甚至比辦公大樓、實驗室等其他區(qū)域的網(wǎng)絡(luò)節(jié)點還要多，管理起來工作量大。同時，不容忽視的是，學校擁有一大批活躍、求知欲強的學生用戶，因此IP地址盜用等現(xiàn)象頻頻發(fā)生。在傳統(tǒng)的IP和MAC地址綁定、流量計費的運營管理模式下，為了

20、防止IP地址盜用現(xiàn)象，將大量IP和MAC地址綁定，不僅加大了服務(wù)中心工作人員的工作量，甚至造成了超負荷工作，工作人員對此有很大意見；同時，用戶對不能正常使用網(wǎng)絡(luò)的抱怨也時有發(fā)生。各種原因交織在一起最終導(dǎo)致了管理難的問題。因此，我們一直在尋找由難到易的宿舍網(wǎng)運營計費認證管理辦法，需要它營造出一種方便、實用、快捷、易于管理的網(wǎng)絡(luò)環(huán)境。</p><p>　　同時，由于宿舍區(qū)網(wǎng)絡(luò)使用者知識能力等所限，被病毒、木馬等威脅的

21、實例也層出不窮，例如：局域網(wǎng)爆發(fā)ARP病毒，具體表現(xiàn)為局域網(wǎng)內(nèi)一些正在上網(wǎng)的電腦主機頻繁掉線或是斷線。這是因為局域網(wǎng)內(nèi)有電腦運行ARP欺騙程序（比如：傳奇、QQ盜號的軟件等）發(fā)送ARP數(shù)據(jù)包，致使被攻擊的電腦不能上網(wǎng)。為了有效防范宿舍區(qū)內(nèi)病毒等的發(fā)生與蔓延，有必要認真研究解決對策。</p><p>　　1.宿舍網(wǎng)絡(luò)安全簡介</p><p>　　隨著網(wǎng)絡(luò)的快速發(fā)展和上網(wǎng)用戶的急劇增多，網(wǎng)絡(luò)中

22、的不安全因素日益暴露無遺，主要表現(xiàn)在： </p><p>　　1）由于IP和MAC地址的可變性而導(dǎo)致的冒用合法用戶入網(wǎng)問題。非法用戶只要連接網(wǎng)線，對電腦進簡單的網(wǎng)絡(luò)配置就可以上網(wǎng)。由于IP和MAC盜用會導(dǎo)致合法用戶不能上網(wǎng)，甚至非法入網(wǎng)者會以合法用戶的名義從事非法勾當，對網(wǎng)絡(luò)的安全管理造成很大的威脅； </p><p>　　2）操作系統(tǒng)和應(yīng)用軟件存在大量漏洞，這是造成網(wǎng)絡(luò)安全問題的嚴峻的一

23、個主要原因。國際權(quán)威應(yīng)急組織CERT/CC統(tǒng)計，截至2004年以來漏洞公布總數(shù)16726個，并且利用漏洞發(fā)動攻擊的速度也越來越快； </p><p>　　3）校園網(wǎng)用戶安全意識不強及計算機水平有限。大部分學校普遍都存在重技術(shù)、輕安全、輕管理的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉，甚至有些學校直接連接互聯(lián)網(wǎng)，嚴重缺乏防范黑客攻擊的意識。</p><p>　　學生宿舍網(wǎng)作為

24、服務(wù)于教育、科研和行政管理的計算機網(wǎng)絡(luò)，實現(xiàn)了校園內(nèi)連網(wǎng)、信息共享，并與 Internet 互聯(lián)。宿舍網(wǎng)連接的校內(nèi)學生機，存在許多安全隱患，主要表現(xiàn)有： </p><p>　　1)宿舍網(wǎng)與 Internet 相連，面臨著外網(wǎng)攻擊的風險。 </p><p>　　2)來自內(nèi)部的安全威脅。 </p><p>　　3)接入宿舍網(wǎng)的節(jié)點數(shù)日益增多，這些節(jié)點會面臨病毒泛濫、信息

25、丟失、數(shù)據(jù)損壞等安全問題。 </p><p>　　通過對宿舍網(wǎng)的安全設(shè)計，在不改變原有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實現(xiàn)多種信息安全，保障宿舍網(wǎng)絡(luò)安全 ，一個整體一致的內(nèi)網(wǎng)安全體系，應(yīng)該包括身份認證、授權(quán)管理、數(shù)據(jù)保密和監(jiān)控審計四個方面，并且，這四個方面應(yīng)該是緊密結(jié)合、相互聯(lián)動的統(tǒng)一平臺，才能達到構(gòu)建可信、可控和可管理的安全內(nèi)網(wǎng)的效果。 </p><p>　　身份認證是內(nèi)網(wǎng)安全管理的基礎(chǔ)，不確認實體的身

26、份，進一步制定各種安全管理策略也就無從談起。內(nèi)網(wǎng)的身份認證，必須全面考慮所有參與實體的身份確認，包括服務(wù)器、客戶端、用戶和主要設(shè)備等。其中，客戶端和用戶的身份認證尤其要重點關(guān)注，因為他們具有數(shù)量大、環(huán)境不安全和變化頻繁的特點。 </p><p>　　授權(quán)管理是以身份認證為基礎(chǔ)的，其主要對內(nèi)部信息網(wǎng)絡(luò)各種信息資源的使用進行授權(quán)，確定“誰”能夠在那些“計算機終端或者服務(wù)器”使用什么樣的“資源和權(quán)限”。授權(quán)管理的信息資

27、源應(yīng)該盡可能全面，應(yīng)該包括終端使用權(quán)、外設(shè)資源、網(wǎng)絡(luò)資源、文件資源、服務(wù)器資源和存儲設(shè)備資源等。 </p><p>　　數(shù)據(jù)保密是內(nèi)網(wǎng)信息安全的核心，其實質(zhì)是要對內(nèi)網(wǎng)信息流和數(shù)據(jù)流進行全生命周期的有效管理，構(gòu)建信息和數(shù)據(jù)安全可控的使用、存儲和交換環(huán)境，從而實現(xiàn)對內(nèi)網(wǎng)核心數(shù)據(jù)的保密和數(shù)字知識產(chǎn)權(quán)的保護。由于信息和數(shù)據(jù)的應(yīng)用系統(tǒng)和表現(xiàn)方式多種多樣，所以要求數(shù)據(jù)保密技術(shù)必須具有通用性和應(yīng)用無關(guān)性。 </p>

28、<p>　　監(jiān)控審計是宿舍網(wǎng)絡(luò)安全不可缺少的輔助部分，可以實現(xiàn)對宿舍網(wǎng)絡(luò)安全狀態(tài)的實時監(jiān)控，提供宿舍網(wǎng)絡(luò)安全狀態(tài)的評估報告，并在發(fā)生宿舍網(wǎng)絡(luò)安全事件后實現(xiàn)有效的取證。 </p><p>　　宿舍網(wǎng)絡(luò)安全已經(jīng)成為信息安全的新熱點，其技術(shù)和標準也在成熟和演進過程中，我們有理由相信，隨著同學們對宿舍網(wǎng)絡(luò)安全認識的加深，用戶宿舍網(wǎng)絡(luò)安全管理制度的完善，整體一致的宿舍網(wǎng)安全解決方案和體系建設(shè)將成為宿舍網(wǎng)安全的

29、主要發(fā)展趨勢。</p><p>　　宿舍內(nèi)部網(wǎng)絡(luò)安全經(jīng)常會發(fā)生IP盜用現(xiàn)象，惡意修改MAC地址，嚴重危害了正常的上網(wǎng)秩序，下面我們先從網(wǎng)卡開始探討網(wǎng)絡(luò)的安全問題。</p><p><b>　　2.網(wǎng)卡</b></p><p>　　2.1網(wǎng)卡的基本構(gòu)造</p><p>　　網(wǎng)卡包括硬件和固件程式（只讀存儲器中的軟件例程），

30、該固件程式實現(xiàn)邏輯鏈路控制和媒體訪問控制的功能，還記錄唯一的硬件地址即MAC地址。網(wǎng)卡上一般有緩存。網(wǎng)卡須分配中斷IRQ及基本I/O端口地址，同時還須配置基本內(nèi)存地址（base memory address）和收發(fā)器（transceiver），主要由網(wǎng)卡的控制芯片、晶體震蕩器、BOOT插槽、EPROM、內(nèi)接式轉(zhuǎn)換器、RJ-45和BNC接頭、信號指示燈等部分。</p><p>　　網(wǎng)卡的控制芯片是網(wǎng)卡中最重要元件，

31、是網(wǎng)卡的控制中央，有如電腦的CPU控制著整個網(wǎng)卡的工作，負責數(shù)據(jù)的的傳送和連接時的信號偵測。早期的10/100m的雙速網(wǎng)卡會采用兩個控制芯片（單元）分別用來控制兩個不同速率環(huán)境下的運算，而現(xiàn)在較先進的產(chǎn)品通常只有一個芯片控制兩種速度。</p><p>　　內(nèi)接式轉(zhuǎn)換器只要有BNC接頭的網(wǎng)卡都會有這個芯片，并緊鄰在BNC接頭旁，它的功能是在網(wǎng)卡和BNC接頭之間進行數(shù)據(jù)轉(zhuǎn)換，讓網(wǎng)卡能通過它從BNC接頭送出或接收資料。

32、</p><p>　　信號指示燈在網(wǎng)卡后方會有二到三個不等的信號燈，其作用是顯示現(xiàn)在網(wǎng)絡(luò)的連線狀態(tài)，通常具備TX和RX兩個信息。TX代表正在送出資料，RX代表正在接收資料，若看到兩個燈同時亮則代表現(xiàn)在是處于全雙工的運作狀態(tài)，也可由此來辨別全雙工的網(wǎng)卡是否處于全雙工的網(wǎng)絡(luò)環(huán)境中部分。</p><p>　　2.2網(wǎng)卡的工作原理</p><p>　　網(wǎng)卡的主要工作原理是整

33、理計算機上發(fā)往網(wǎng)線上的數(shù)據(jù)，并將數(shù)據(jù)分解為適當大小的數(shù)據(jù)包之后向網(wǎng)絡(luò)上發(fā)送出去。對于網(wǎng)卡而言，每塊網(wǎng)卡都有一個唯一的網(wǎng)絡(luò)節(jié)點地址，它是網(wǎng)卡生產(chǎn)廠家在生產(chǎn)時燒入ROM（只讀存儲芯片）中的，我們把它叫做MAC地址（物理地址），且保證絕對不會重復(fù)。</p><p>　　發(fā)送數(shù)據(jù)時，網(wǎng)卡首先偵聽介質(zhì)上是否有載波（載波由電壓指示），如果有，則認為其他站點正在傳送信息，繼續(xù)偵聽介質(zhì)。一旦通信介質(zhì)在一定時間段內(nèi)（稱為幀間縫隙I

34、FG=9.6微秒）是安靜的，即沒有被其他站點占用，則開始進行幀數(shù)據(jù)發(fā)送，同時繼續(xù)偵聽通信介質(zhì)，以檢測沖突。在發(fā)送數(shù)據(jù)期間,如果檢測到?jīng)_突，則立即停止該次發(fā)送，并向介質(zhì)發(fā)送一個“阻塞”信號，告知其他站點已經(jīng)發(fā)生沖突，從而丟棄那些可能一直在接收的受到損壞的幀數(shù)據(jù)，并等待一段隨機時間（CSMA/CD確定等待時間的算法是二進制指數(shù)退避算法）。在等待一段隨機時間后，再進行新的發(fā)送。接收時，網(wǎng)卡瀏覽介質(zhì)上傳輸?shù)拿總€幀，如果其長度小于64字節(jié)，則認為

35、是沖突碎片。如果接收到的幀不是沖突碎片且目的地址是本地地址，則對幀進行完整性校驗，如果幀長度大于1518字節(jié)（稱為超長幀，可能由錯誤的LAN驅(qū)動程序或干擾造成）或未能通過CRC校驗，則認為該幀發(fā)生了畸變。通過校驗的幀被認為是有效的，網(wǎng)卡將它接收下來進行本地處理。</p><p>　　2.3網(wǎng)卡的工作模式及功能</p><p>　　1.工作模式分為以下四種：</p><p

36、>　　1) 廣播模式（Broad Cast Model）:它的物理地址（MAC）地址是 0Xffffff 的幀為廣播幀，工作在廣播模式的網(wǎng)卡接收廣播幀。 2）多播傳送（MultiCast Model）：多播傳送地址作為目的物理地址的幀可以被組內(nèi)的其它主機同時接收，而組外主機卻接收不到。但是，如果將網(wǎng)卡設(shè)置為多播傳送模式，它可以接收所有的多播傳送幀，而不論它是不是組內(nèi)成員。 3）直接模式（Direct Model

37、）:工作在直接模式下的網(wǎng)卡只接收目地址是自己 MAC地址的幀。 4）混雜模式（Promiscuous Model）:工作在混雜模式下的網(wǎng)卡接收所有的流過網(wǎng)卡的幀，信包捕獲程序就是在這種模式下運行的。網(wǎng)卡的缺省工作模式包含廣播模式和直接模式，即它只接收廣播幀和發(fā)給自己的幀。如果采用混雜模式，一個站點的網(wǎng)卡將接受同一網(wǎng)絡(luò)內(nèi)所有站點所發(fā)送的數(shù)據(jù)包這樣就可以到達對于網(wǎng)絡(luò)信息監(jiān)視捕獲的目的。</p><p>　　

38、比如，可以實施遠程掃描來確定一塊網(wǎng)卡是否工作在混雜模式。象AntiSniff這樣的程序使用三種主要的方法來檢測網(wǎng)卡是否工作于混雜模式： </p><p>　　1.檢測網(wǎng)卡電子方面的變化來確定網(wǎng)卡的工作模式。 </p><p>　　2.發(fā)送各種包（ARP請求，ICMP包，DNS請求，TCP SYN floods，等等）。如果從某臺主機返回的包等待了一段不正常的時間，而且沒有被主機處理過的跡象

39、，則程序便推斷出該主機的網(wǎng)卡可能出于混雜模式。 </p><p>　　3.將錯誤的ICMP請求包含在無效的以太網(wǎng)地址頭中。所有沒有工作在混雜模式的系統(tǒng)將忽略這些請求，而那些回復(fù)錯誤的ICMP請求的主機將有可能出于混雜模式。 </p><p>　　像AntiSniff這樣的程序通過推論來判斷網(wǎng)卡是否工作在混雜模式。由于這些程序只是根據(jù)有限的數(shù)據(jù)來下結(jié)論，所以容易出現(xiàn)誤報。通常明智的做法是定時

40、進行混雜模式檢測的掃描。例如，L0pht包含其自身的調(diào)度。使用WindwosNT Scheduler或UNIX的cron程序，你可以自動實施所有掃描。L0pht還提供的UNIX版本的AntiSniff。然而你需要編譯它，并且只能運行在FreeBSD和Solaris操作系統(tǒng)下。</p><p>　　2.4 MAC地址的簡介</p><p>　　1.什么是MAC地址 </p>&

41、lt;p>　　網(wǎng)卡的身份證號—MAC地址,也叫物理地址、硬件地址或鏈路地址,由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時寫在硬件內(nèi)部。他是識別網(wǎng)卡身份的標志！MAC地址的長度為48位（6個字節(jié)）,通常表示為12個16進制數(shù),每2個16進制數(shù)之間用冒號隔開,如：08:00:20:0A:8C:6D就是一個MAC地址,其中前6位16進制數(shù)08:00:20代表網(wǎng)絡(luò)硬件制造商的編號,它由IEEE（電氣與電子工程師協(xié)會）分配,而后3位16進制數(shù)0A:8C:6D代表

42、該制造商所制造的某個網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的系列號。只要你不去更改自己的MAC地址,那么你的MAC地址在世界是惟一的。</p><p>　　2.MAC地址的應(yīng)用</p><p>　　MAC地址主要用于與網(wǎng)絡(luò)服務(wù)商提供的IP地址、端口以及用戶提供的信息等綁定，防止其他人盜用.學校里面的校園網(wǎng)就是這樣的！但是MAC是可以改變的！</p><p><b>　　3.查

43、看MAC地址</b></p><p>　　在輸入“cmd”（引號里面部分）進入命令提示符狀態(tài)然后輸入“IPconfig /all” 其中Physical Address就是計算機的MAC地址。</p><p>　　4.更改MAC地址 </p><p>　　一般MAC地址在網(wǎng)卡中是固定的，當然也有網(wǎng)絡(luò)高手會想辦法去修改自己的MAC地址。修改自己的MAC地址

44、有兩種方法，一種是硬件修改，另外一種是軟件修改。硬件的方法就是直接對網(wǎng)卡進行操作，修改保存在網(wǎng)卡的EPROM里面的MAC地址，通過網(wǎng)卡生產(chǎn)廠家提供的修改程序可以更改存儲器里的地址。當然軟件修改的方法就相對來說要簡單得多了，在Windows中，網(wǎng)卡的MAC保存在注冊表中，實際使用也是從注冊表中提取的，所以只要修改注冊表就可以改變MAC?！?lt;/p><p>　　2.5 IP與MAC的綁定</p><

45、;p>　　例如局域網(wǎng)某一用戶的IP地址為：192.168.1.11，MAC地址為：00-11-2F-3F-96-88在命令提示符下輸入“IPconfig /all”顯示如下信息:</p><p>　　圖2-1 查看MAC、IP地址</p><p>　　以上信息就是你現(xiàn)在計算機的IP地址及MAC地址！</p><p>　　在命令行下輸入：arp -s 192.1

46、68.1.11 00-11-2F-3F-96-88回車就綁定了。 </p><p>　　查看是否綁定：在命令行下輸入arp -a 192.168.1.11回車，會得到如下提示： </p><p>　　Internet Address Physical Address Type </p><p>　　192.168.1.30 00-11-2f-3f-96-88 sta

47、tic </p><p><b>　　就是成功完成了。 </b></p><p>　　ARP命令僅對局域網(wǎng)的上網(wǎng)代理服務(wù)器有用，而且是針對靜態(tài)IP地址，如果采用Modem撥號上網(wǎng)或是動態(tài)IP地址就不起作用。 </p><p>　　不過，只是簡單地綁定IP和MAC地址是不能完全的解決IP盜用問題的。設(shè)計一個好的網(wǎng)絡(luò)，我們有責任為用戶解決好這些問題

48、之的后，才交給用戶使用，而不是把安全問題交給用戶來解決。不應(yīng)該讓用戶來承擔一些不必要盜用的損失。所以在網(wǎng)絡(luò)安全方面，最常用也是最有效的解決方法就是在IP、MAC綁定的基礎(chǔ)上，再把端口綁定進去，即IP－MAC－PORT三者綁定在一起，端口（PORT）指的是交換機的端口。下面我們將針對此問題對交換機展開研究。</p><p><b>　　3.交換機 </b></p>&l

49、t;p>　　3.1 什么是交換機</p><p>　　交換機是一種基于MAC（網(wǎng)卡的硬件地址）識別，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備。交換機可以“學習”MAC地址，并把其存放在內(nèi)部地址表中，通過在數(shù)據(jù)幀的始發(fā)者和目標接收者之間建立臨時的交換路徑，使數(shù)據(jù)幀直接由源地址到達目的地址。</p><p>　　3.2 交換機的種類</p><p>　　按照不同的分類方

50、法，交換機有很多種分類。如按工作方式可分為二層交換機，三層交換機，多層交換機；從廣義上來看，交換機分為兩種：廣域網(wǎng)交換機和局域網(wǎng)交換機。廣域網(wǎng)交換機主要應(yīng)用于電信領(lǐng)域，提供通信用的基礎(chǔ)平臺。而局域網(wǎng)交換機則應(yīng)用于局域網(wǎng)絡(luò)，用于連接終端設(shè)備，如PC機及網(wǎng)絡(luò)打印機等。</p><p>　　3.3 交換機的工作原理</p><p>　　1、“共享”與“交換”數(shù)據(jù)傳輸技術(shù)</p>&

51、lt;p>　　要明白交換機的優(yōu)點我們首先就必須明白交換機的基本工作原理，而交換機的工作原理其實最根本的是要理解“共享”（Share）和“交換”（Switch）這兩個概念。集線器是采用共享方式進行數(shù)據(jù)傳輸?shù)模覀冊谶@里要講的交換機工作原理則是采用“交換”方式進行數(shù)據(jù)傳輸?shù)?。在交換機技術(shù)上把這種“獨享”道寬（網(wǎng)絡(luò)上稱之為“帶寬”）情況稱之為“交換”，這種網(wǎng)絡(luò)環(huán)境稱為“交換式網(wǎng)絡(luò)”，交換式網(wǎng)絡(luò)必須采用交換機（Switch）來實現(xiàn)。交換

52、式網(wǎng)絡(luò)可以是“全雙工”（Full Duplex）狀態(tài)，即可以同時接收和發(fā)送數(shù)據(jù)，數(shù)據(jù)流是雙向的。而集線器的“共享”方式的網(wǎng)絡(luò)就稱之為“共享式網(wǎng)絡(luò)”，共享式網(wǎng)絡(luò)采用集線器（集線器）作為網(wǎng)絡(luò)連接設(shè)備。顯然，共享網(wǎng)絡(luò)的效率非常低，在任一時刻只能有一個方向的數(shù)據(jù)流，即處于“半雙工”（Half Duplex）模式，也稱為“單工”模式。</p><p><b>　　2、數(shù)據(jù)傳遞的方式</b></p

53、><p>　　對于交換機而言，它能夠“認識”連接到自己身上的每一臺電腦，憑什么認識呢？就是憑每塊網(wǎng)卡物理地址，俗稱“MAC地址”。交換機還具有MAC地址學習功能，它會把連接到自己身上的MAC地址記住，形成一個節(jié)點與MAC地址對應(yīng)表。憑這樣一張表，它就不必再進行廣播了，從一個端口發(fā)過來的數(shù)據(jù)，其中會含有目的地的MAC地址，交換機在保存在自己緩存中的MAC地址表里尋找與這個數(shù)據(jù)包中包含的目的MAC地址對應(yīng)的節(jié)點，找到以后

54、，便在這兩個節(jié)點間架起了一條臨時性的專用數(shù)據(jù)傳輸通道，這兩個節(jié)點便可以不受干擾地進行通信了。</p><p>　　3、交換機的數(shù)據(jù)傳遞工作原理</p><p>　　可以簡單地這樣來說明：當交換機從某一節(jié)點收到一個以太網(wǎng)幀后，將立即在其內(nèi)存中的地址表（端口號－MAC地址）進行查找，以確認該目的MAC的網(wǎng)卡連接在哪一個節(jié)點上，然后將該幀轉(zhuǎn)發(fā)至該節(jié)點。如果在地址表中沒有找到該MAC地址，也就是說

55、，該目的MAC地址是首次出現(xiàn)，交換機就將數(shù)據(jù)包廣播到所有節(jié)點。擁有該MAC地址的網(wǎng)卡在接收到該廣播幀后，將立即做出應(yīng)答，從而使交換機將其節(jié)點的“MAC地址”添加到MAC地址表中。換言之，當交換機從某一節(jié)點收到一個幀時（廣播幀除外），將對地址表執(zhí)行兩個動作，一是檢查該幀的源MAC地址是否已在地址表中，如果沒有，則將該MAC地址加到地址表中，這樣以后就知道該MAC地址在哪一個節(jié)點；二是檢查該幀的目的MAC地址是否已在地址表中，如果該MAC地

56、址已在地址表中，則將該幀發(fā)送到對應(yīng)的節(jié)點即可，而不必像集線器那樣將該幀發(fā)送到所有節(jié)點，只須將該幀發(fā)送到對應(yīng)的節(jié)點，從而使那些既非源節(jié)點又非目的節(jié)點的節(jié)點間仍然可以進行相互間的通信，從而提供了比集線器更高的傳輸速率。如果該MAC地址不在地址表中，則將該幀發(fā)送到所有其它節(jié)點（源節(jié)點除外），相當于該幀是一個廣播幀。</p><p>　　交換機根據(jù)以太網(wǎng)幀中的源MAC地址來更新地址表。當一臺計算機打開電源后，安裝在該系統(tǒng)

57、中的網(wǎng)卡會定期發(fā)出空閑包或信號，交換機即可據(jù)此得知它的存在以及其MAC地址。由于交換機能夠自動根據(jù)收到的以太網(wǎng)幀中的源MAC地址更新地址表的內(nèi)容，所以交換機使用的時間越長，學到的MAC地址就越多，未知的MAC地址就越少，因而廣播的包就越少，速度就越快。由于交換機中的內(nèi)存畢竟有限，能夠記憶的MAC地址數(shù)量也是有限的。既然不能無休止地記憶所有的MAC地址，那么就必須賦予其相應(yīng)的忘卻機制。事實上，為交換機設(shè)定了一個自動老化時間（Auto－ag

58、ing），若某MAC地址在一定時間內(nèi)（默認為300秒）不再出現(xiàn)，那么，交換機將自動把該MAC地址從地址表中清除。當下一次該MAC地址重新出現(xiàn)時，將會被當作新地址處理。</p><p>　　3.4 可網(wǎng)管交換機VLAN技術(shù)</p><p>　　VLAN即虛擬局域網(wǎng)（Virtual Local Area Network的縮寫），是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實

59、現(xiàn)虛擬工作組技術(shù)。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。</p><p>　　先來了解一下交換機是如何使用VLAN分割廣播域的首先，在一臺未設(shè)置任何VLAN的二層交換機上，任何廣播幀都會被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口（Flooding）。例如，計算機A發(fā)送廣

60、播信息后，會被轉(zhuǎn)發(fā)給端口2、3、4。 交換機收到廣播幀后，轉(zhuǎn)發(fā)到除接收端口外的其他所有端口。這時，如果在交換機上生成紅、藍兩個VLAN；同時設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍色VLAN。再從A發(fā)出廣播幀的話，交換機就只會把它轉(zhuǎn)發(fā)給同屬于一個VLAN的其他端口——也就是同屬于紅色VLAN的端口2，不會再轉(zhuǎn)發(fā)給屬于藍色VLAN的端口。同樣，C發(fā)送廣播信息時，只會被轉(zhuǎn)發(fā)給其他屬于藍色VLAN的端口，不會被轉(zhuǎn)發(fā)給屬于紅色V

61、LAN的端口(如左圖)。</p><p>　　圖3-2 VLAN劃分示意圖</p><p>　　如果要更為直觀地描述VLAN的話，我們可以把它理解為將一臺交換機在邏輯上分割成了數(shù)臺交換機。在一臺交換機上生成紅、藍兩個VLAN，也可以看作是將一臺交換機換做一紅一藍兩臺虛擬的交換機(如上圖)。</p><p>　　3.5 MAC和交換機端口的綁定</p>

62、<p>　　在了解了交換機的基本知識之后，我們來在交換機上尋求一種防止盜號上網(wǎng)的方法——將網(wǎng)卡的MAC地址與交換機的端口綁定，從在交換機上遏制盜號上網(wǎng)的現(xiàn)象。</p><p>　　我們以思科的交換機為例。</p><p>　　switch#config t </p><p>　　//進入到全局配置模式　　switch（config）#int f0/1

63、</p><p>　　//進入到0/1號端口　　 switch（config-if）#switchport mode access 　　 //設(shè)置交換機的端口模式為access模式，注意缺省是dynamic 　　 //dynamic模式下是不能使用Port-security功能 　　 switch（config-if）#switchport port-security 　　 //打開port-secur

64、ity功能 　　 switch（config-if）#switchport port-security MAC-address xxxx.xxxx.xxxx 　　 //xxxx.xxxx.xxxx就是你要關(guān)聯(lián)的MAC地址。</p><p>　　隨著移動辦公及駐地網(wǎng)運營等應(yīng)用的大規(guī)模發(fā)展，服務(wù)提供者需要對用戶的接入進行控制和配置。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開展，有必要對端口加以控制以實現(xiàn)用

65、戶級的接入控制，802.lx就是IEEE為了解決基于端口的接入控制(Port-Based Network Access Contro1)而定義的一個標準。</p><p>　　4.802.1x認證技術(shù)簡介</p><p><b>　　4.1 引言</b></p><p>　　802.1x協(xié)議起源于802.11協(xié)議，后者是IEEE的無線局域網(wǎng)協(xié)議

66、，制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認證，只要用戶能接入局域網(wǎng)控制設(shè)備(如LANS witch)，就可以訪問局域網(wǎng)中的設(shè)備或資源。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患。</p><p>　　4.2 802.1x協(xié)議簡介</p><p>　　802.1x協(xié)議是基于Client/Server的訪

67、問控制和認證協(xié)議?？梢韵拗莆唇?jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/WLAN。在獲得交換機或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交換機端口上的用戶/設(shè)備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。它具有完備的用戶認證、管理功能，可以很好地支撐寬帶網(wǎng)絡(luò)的計費、安全、運營和管理要求，對寬帶IP城域網(wǎng)等電信級網(wǎng)絡(luò)的

68、運營和管理具有優(yōu)勢。IEEE802.1x協(xié)議對認證方式和認證體系結(jié)構(gòu)上進行了優(yōu)化，解決了傳統(tǒng)PPPOE和WEB/PORTAL認證方式帶來的問題，更加適合在寬帶以太網(wǎng)中的使用。 網(wǎng)絡(luò)訪問技術(shù)的核心部分是PAE（端口訪問實體）。在訪問控制流程中，端口訪問實體包含3部分：認證者--對接入的用戶/設(shè)備進行認證的端口；請求者--被認證的用戶/設(shè)備；認證服務(wù)器--根據(jù)認證者的信息，對請求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進行實際認證功能的設(shè)備。<

69、;/p><p>　　4.3 802.1x認證體系</p><p>　　802.1x是一種基于端口的認證協(xié)議，是一種對用戶進行認證的方法和策略。端口可以是一個物理端口，也可以是一個邏輯端口(如VLAN)。對于無線局域網(wǎng)來說，一個端口就是一個信道。802.1x認證的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功那么就“打開”這個端口，允許所有的報文通過；如果認證不成功就使這個端口?！?/p>

70、關(guān)閉”，即只允許802.1x的認證協(xié)議報文通過。802.1x認證體系分為請求者系統(tǒng)、認證系統(tǒng)和認證服務(wù)器系統(tǒng)三部分：</p><p><b>　　(1)請求者系統(tǒng)</b></p><p>　　請求者是位于局域網(wǎng)鏈路一端的實體，由連接到該鏈路另一端的認證系統(tǒng)對其進行認證。請求者通常是支持802.1x認證的用戶終端設(shè)備，用戶通過啟動客戶端軟件發(fā)起802.lx認證，后文的

71、認證請求者和客戶端二者表達相同含義。</p><p><b>　　(2)認證系統(tǒng)</b></p><p>　　認證系統(tǒng)對連接到鏈路對端的認證請求者進行認證。認證系統(tǒng)通常為支持802.lx協(xié)議的網(wǎng)絡(luò)設(shè)備，它為請求者提供服務(wù)端口，該端口可以是物理端口也可以是邏輯端口，一般在用戶接入設(shè)備(如LAN Switch和AP)上實現(xiàn)802.1x認證。后文的認證系統(tǒng)、認證點和接入設(shè)備

72、三者表達相同含義。</p><p>　　(3)認證服務(wù)器系統(tǒng)</p><p>　　認證服務(wù)器是為認證系統(tǒng)提供認證服務(wù)的實體，建議使用RADIUS服務(wù)器來實現(xiàn)認證服務(wù)器的認證和授權(quán)功能。請求者和認證系統(tǒng)之間運行802.1x定義的EAPO (Extensible Authentication Protocolover LAN)協(xié)議。當認證系統(tǒng)工作于中繼方式時，認證系統(tǒng)與認證服務(wù)器之間也運行EA

73、P協(xié)議，EAP幀中封裝認證數(shù)據(jù)，將該協(xié)議承載在其它高層次協(xié)議中(如RADIUS)，以便穿越復(fù)雜的網(wǎng)絡(luò)到達認證服務(wù)器；當認證系統(tǒng)工作于終結(jié)方式時，認證系統(tǒng)終結(jié)EAPoL消息，并轉(zhuǎn)換為其它認證協(xié)議(如RADIUS)，傳遞用戶認證信息給認證服務(wù)器系統(tǒng)。認證系統(tǒng)每個物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoL協(xié)議幀，可隨時保證接收認證請求者發(fā)出的EAPoL認證報文；受控端口只有在認證通過的狀態(tài)

74、下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。</p><p>　　4.4 802.1x認證特點</p><p>　　基于以太網(wǎng)端口認證的802.1x協(xié)議有如下特點：IEEE802.1x協(xié)議為二層協(xié)議，不需要到達三層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在RAS系統(tǒng)中常用的EAP（擴展認證協(xié)議），可以提供良好的擴展性和適應(yīng)性，實現(xiàn)對傳統(tǒng)PPP認證架構(gòu)的兼容；802.1x的認證體系結(jié)構(gòu)

75、中采用了"可控端口"和"不可控端口"的邏輯功能，從而可以實現(xiàn)業(yè)務(wù)與認證的分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業(yè)務(wù)報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有的后臺認證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；可以映射不同的用戶認證等級到不同的VLAN；可以使交換端口和無線LAN具有安全的認證接入功能

76、。</p><p>　　4.5 802.1x認證流程</p><p>　　基于802.1x的認證系統(tǒng)在客戶端和認證系統(tǒng)之間使用EAPOL格式封裝EAP協(xié)議傳送認證信息，認證系統(tǒng)與認證服務(wù)器之間通過RADIUS協(xié)議傳送認證信息。由于EAP協(xié)議的可擴展性，基于EAP協(xié)議的認證系統(tǒng)可以使用多種不同的認證算法，如EAP-MD5，EAP-TLS，EAP-SIM，EAP-TTLS以及EAP-AKA等認

77、證方法。 以EAP-MD5為例，描述802.1x的認證流程。EAP-MD5是一種單向認證機制，可以完成網(wǎng)絡(luò)對用戶的認證，但認證過程不支持加密密鑰的生成。基于EAP-MD5的802.1x認證系統(tǒng)功能實體協(xié)議棧如圖2所示。基于EAP-MD5的802.1x認證流程如圖3所示，認證流程包括以下步驟：</p><p>　　圖4-1　基于EAP-MD5的802.1x認證系統(tǒng)功能實體協(xié)議棧 </p>

78、<p>　　(1)  客戶端向接入設(shè)備發(fā)送一個EAPoL-Start報文，開始802.1x認證接入；(2)  接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報文，要求客戶端將用戶名送上來；(3)  客戶端回應(yīng)一個EAP-Response/Identity給接入設(shè)備的請求，其中包括用戶名；(4)  接入設(shè)備將EAP-Respon

79、se/Identity報文封裝到RADIUS Access-Request報文中，發(fā)送給認證服務(wù)器；(5)  認證服務(wù)器產(chǎn)生一個Challenge，通過接入設(shè)備將RADIUS Access-Challenge報文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge；(6)  接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進行認證；

80、(7)  客戶端收到EAP-Request/MD5-Challenge報文后，將密碼和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備；(8)  接入設(shè)備將Chall</p><p>　　4.6 802.1x配置</p><p>　　先配置switch到

81、radius server的通訊</p><p>　　全局啟用802.1x身份驗證功能</p><p>　　Switch# configure terminal</p><p>　　Switch(config)# aaa new-model</p><p>　　Switch(config)# aaa authentication dot1x

82、{default} method1[method2...]</p><p>　　指定radius服務(wù)器和密鑰</p><p>　　switch(config)#radius-server host IP_add key string</p><p>　　2、在port上起用802.1x</p><p>　　Switch# configure

83、terminal</p><p>　　Switch(config)# interface fastethernet0/1</p><p>　　Switch(config-if)# switchport mode access</p><p>　　Switch(config-if)# dot1x port-control auto</p><p&g

84、t;　　Switch(config-if)# end</p><p>　　配置關(guān)鍵點：1、要保證在交換機上設(shè)置的認證和計費端口號和RADIUS服務(wù)器一致；2、要保證在交換機上設(shè)置的認證和計費加密密碼與RADIUS服務(wù)器一致；3、要是RADIUS服務(wù)器非直連，那么要保證RADIUS服務(wù)器與交換機是路由可達的。</p><p>　　有些時候，即使我們做了一系列的防范工作，還會有一些病毒和

85、木馬對我們的網(wǎng)絡(luò)安全工作帶來威脅。這就需要我們了解病毒等的基本知識，運用一些防火墻或殺毒軟件阻止和消滅它們。</p><p>　　5.病毒、木馬、防火墻</p><p>　　5.1 計算機病毒及特點</p><p>　　計算機病毒是一種人為編寫的程序。是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用并能自我復(fù)制的一組計算機指令或者程序代碼。

86、其過程可分為：程序設(shè)計--傳播--潛伏--觸發(fā)、運行--實行攻擊。計算機病毒的特點有傳染性、隱蔽性、潛伏性、破壞性。</p><p>　　5.2 計算機病毒的傳播</p><p>　　計算機病毒的傳播途徑主要有： 通過文件系統(tǒng)傳播；通過電子郵件傳播；通過局域網(wǎng)傳播；通過互聯(lián)網(wǎng)上即時通訊軟件和點對點軟件等常用工具傳播；利用系統(tǒng)、應(yīng)用軟件的漏洞進行傳利用系統(tǒng)配置缺陷傳播，如弱口令、完全

87、共享等；利用欺騙等社會工程的方法傳播。</p><p>　　5.3 防火墻與查殺軟件</p><p>　　防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁

88、止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。</p><p>　　防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護選擇。</p><p>　　防火墻有不同類型。一個防火墻可以是硬件自身的一部分，你可以將因特網(wǎng)連接和計算機都插入其中。防火墻也可

89、以在一個獨立的機器上運行，該機器作為它背后網(wǎng)絡(luò)中所有計算機的代理和防火墻。最后，直接連在因特網(wǎng)的機器可以使用個人防火墻</p><p>　　殺毒軟件是用于消除電腦病毒、特洛伊木馬和惡意軟件的一類軟件。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除和自動升級等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能。 后兩者同時具有黑客入侵，網(wǎng)絡(luò)流量控制等功能。國內(nèi)常用的殺毒軟件有瑞星、金山、江民、趨勢、東方微點和費爾斯特。</p&

90、gt;<p><b>　　5.4 病毒的清除</b></p><p>　　1. 如果所使用的操作系統(tǒng)的文件已經(jīng)感染病毒，那么每次啟動系統(tǒng)時，病毒也會隨之運行。系統(tǒng)啟動完成后，病毒也被激活，駐留在內(nèi)存中，監(jiān)視系統(tǒng)的運行，并伺機進一步感染或者發(fā)作破壞。此時，不能在這種帶毒系統(tǒng)下進行病毒清除工作，必須使用磁盤版的殺毒軟件啟動計算機系統(tǒng)，或者使用無毒的系統(tǒng)軟盤啟動機器，然后運行殺毒軟件

91、進行病毒清除工作。</p><p>　　2. 蠕蟲／黑客程序侵入系統(tǒng)時，一般要修改注冊表，并將自身拷貝在硬盤中，或者用自身的程序替換操作系統(tǒng)中的一些核心文件。這樣，每次系統(tǒng)啟動，蠕蟲／黑客程序也將被激活運行，伺機進行破壞。要清除這些有害程序，必須用DOS啟動系統(tǒng)，這樣可以保證蠕蟲／黑客程序處于靜態(tài)，然后使用殺毒軟件進行清除，也可采用手工方法，刪除系統(tǒng)的蠕蟲／黑客程序，恢復(fù)被修改的注冊表。但是，對于采用替換操作系統(tǒng)

92、文件方式侵入系統(tǒng)的蠕蟲／黑客程序，只有用同樣的系統(tǒng)文件將蠕蟲／黑客程序覆蓋即可。</p><p>　　3. 若系統(tǒng)感染了宏病毒，可在當前系統(tǒng)下直接運行殺毒軟件進行檢測、清除。</p><p><b>　　6. 結(jié)束語</b></p><p><b>　　6.1論文總結(jié)</b></p><p>　　在

93、這次設(shè)計中我們有喜悅也有辛酸，高興的是我們能夠在老師的指導(dǎo)與期望中完成本次設(shè)計，并從中學到了不少知識，在設(shè)計過程中我們雖然跌倒過無數(shù)次，但是我們還是努力的爬起，勇敢的與困難做斗爭，最終將困難一個個攻破，最終感受到了成功的喜悅！在這次設(shè)計中使我深深感受到“只要努力什么都有可能”，在以后的工作和學習生活中我們一定要努力發(fā)揚這種精神，對每一件事都抱著認真負責的態(tài)度努力去完成，俗話說的好“失敗乃成功之母”，在這次設(shè)計中我們通過自己的努力對每次的

94、失敗都做了認真的總結(jié)，將自己的不足之處彌補了起來，在這個過程中也使我們慢慢成長起來，相信以我們現(xiàn)在的這種熱情與負責一定會在以后的生活中立于不敗之地，我們相信只要努力了就一定能夠得到回報，同時我們也深信我們的未來不是夢，在以后的生活中我們也一定會像本次設(shè)計一樣最終嘗到成功的喜悅！展望未來我們知道我們還有很長的一段路要走，一定會有很多挫折和困難等著我們但是我們不會因為困難就停止不前，因為通過本次設(shè)計就可以看出我們是生活的主宰者我們一定會為自

95、己的明天努力打拼的。</p><p><b>　　6.2工作展望</b></p><p>　　本次設(shè)計使我意識到社會對人才的需求變得日益強烈起來，能否在以后的社會發(fā)展當中立于不敗之地，怎樣在激勵的競爭當中獲得一席之地似乎已經(jīng)成為了一個值得我們深思的問題！我們都知道要想在當今日趨激烈的社會競爭中贏得成功，擁有強大的知識做后盾是必不可少的，但光這些是不夠的我們還要不斷的在

96、各方面努力提高自己的各項技能，努力學好書本上的知識并運用所學的知識為社會貢獻自己的力量，因此我們必須從現(xiàn)在開始努力掌握各項技能，并將其熟練掌握，才不會被社會所淘汰。</p><p>　　作為一名即將踏入社會的計算機專業(yè)的大學生，我所擁有的是年輕和知識，使我不畏困難，善于思考，但年輕也意味著閱歷淺，更需要虛心好學。同時，我也深知，畢業(yè)只是求學的一小步，社會才是一所真正的大學。我今天的求知也正是希望得到一個更好的學習

97、機會，從而能以更好的工作成績?yōu)閲液蛦挝回暙I力量，同時去實現(xiàn)人生價值。</p><p><b>　　參考文獻、資料索引</b></p><p><b>　　致　　謝</b></p><p>　　首先衷心地感謝我的導(dǎo)師xx老師。本文從選題到完成，從理論上的探討到實際問題的解決，無處不飽含著王老師的心血。王老師的悉心指導(dǎo)和建議

98、給了我極大的幫助和支持，使我受益匪淺，在此論文完成之際，謹向xx老師致以深深的謝意和崇高的敬意。</p><p>　　從開始寫論文到論文的完成，王老師給了我很多的幫助和意見，使我受益匪淺。當然，我的伙伴們也給了我精神和實際上的幫助、支持和鼓勵，我很感謝大家，沒有你們我的論文也不會這么順利的完成，謝謝大家。</p><p>　　向王老師及合作的伙伴們致以深深的謝意和崇高的敬意，向王老師說一聲