基于tcpip協(xié)議的網(wǎng)絡(luò)安全策略畢業(yè)論文

1、<p>　　畢業(yè)設(shè)計(jì)（論文）任務(wù)書(shū)</p><p>　　畢業(yè)設(shè)計(jì)（論文）申報(bào)表</p><p>　　基于TCP/IP協(xié)議的網(wǎng)絡(luò)安全策略</p><p>　　摘要:本文在分析TCP/IP協(xié)議基本體系結(jié)構(gòu)的基礎(chǔ)上，針對(duì)TCP/IP協(xié)議本身存在著一些安全問(wèn)題及其應(yīng)用于Internet所帶來(lái)的安全隱患，從不同角度討論了各種可能的攻擊策略和相應(yīng)的防范措施，為應(yīng)對(duì)通常

2、防范措施的缺陷提出了自動(dòng)化網(wǎng)絡(luò)安全策略，有助于基于TCP/IP協(xié)議的網(wǎng)絡(luò)安全建設(shè)。</p><p>　　關(guān)鍵字：TCP/IP協(xié)議；因特網(wǎng)；安全策略；自動(dòng)化網(wǎng)絡(luò)安全策略</p><p>　　Automation based on TCP/IP network security strategy</p><p>　　Abstract: The basic archite

3、cture of TCP/IP protocol stack is analyzed。Aiming at some problems of TCP/IP itself and the hidden trouble for internet，several at tack tactics and protected measures are discussed in detail from different point of view，

4、in order to compensate the weakness of general measures ,Automation Network Security Measure is put forward, which is very important to the construction of network security.</p><p>　　Key words: TCP/IP proto

5、col，Internet，Network security tactics，Automatic Network Security Tactics</p><p><b>　　目 錄</b></p><p>　　第1章 TCP/IP 概述1</p><p>　　1.1 TCP/IP的組成1</p><p>　　1.

6、2 TCP/IP連接方式3</p><p>　　1.3 TCP/IP的工作原理4</p><p>　　第2章 TCP/IP網(wǎng)絡(luò)安全策略5</p><p>　　2.1 TCP/IP存在脆弱性5</p><p>　　2.2網(wǎng)絡(luò)嗅探及對(duì)策6</p><p>　　2.3 IP源地址欺騙及辨別7</p>

7、<p>　　2.4基于ICMP 的攻擊及對(duì)策7</p><p>　　2.5 路由欺騙及防范8</p><p>　　2.6 TCP序列號(hào)欺騙9</p><p>　　2.7 DNS欺騙10</p><p>　　2.8安全策略比較10</p><p>　　第3章 自動(dòng)化概述11</p>

8、<p>　　3.1自動(dòng)化的定義11</p><p>　　3.2自動(dòng)化科學(xué)技術(shù)的研究?jī)?nèi)容和應(yīng)用領(lǐng)域11</p><p>　　3.3自動(dòng)化科學(xué)技術(shù)的發(fā)展12</p><p>　　3.3.1工業(yè)生產(chǎn)已進(jìn)入全球化生產(chǎn)階段12</p><p>　　3.3.2控制理論的進(jìn)展13</p><p>　　3.3.3

9、CIMS與CIPS14</p><p>　　3.3.4人工智能技術(shù)14</p><p>　　3.4自動(dòng)化技術(shù)的發(fā)展趨勢(shì)15</p><p>　　第4章 自動(dòng)化網(wǎng)絡(luò)安全策略17</p><p>　　4.1擁塞控制17</p><p>　　4.1.1 TCP擁塞控制17</p><p>

10、　　4.1.2 IP擁塞控制19</p><p>　　4.2防火墻技術(shù)19</p><p>　　4.2.1防火墻的概念19</p><p>　　4.2.2防火墻的功能20</p><p>　　4.2.3防火墻的類(lèi)型22</p><p>　　4.3數(shù)據(jù)加密23</p><p>　　第5

11、章TCP/IP協(xié)議安全不容忽視25</p><p>　　5.1 TCP/IP協(xié)議安全之ARP欺騙26</p><p>　　5.2 ARP欺騙解決方案26</p><p>　　5.3 TCP/IP協(xié)議安全之路由欺騙27</p><p>　　5.4 TCP/IP協(xié)議安全之DNS欺騙27</p><p>　　第6章

12、 不安全的TCP/IP協(xié)議安全性能解決辦法29</p><p>　　6.1網(wǎng)絡(luò)入侵方式29</p><p>　　6.1.1偽造IP地址29</p><p>　　6.2 TCP狀態(tài)轉(zhuǎn)移的問(wèn)題30</p><p>　　6.3 定時(shí)器問(wèn)題31</p><p>　　6.4利用網(wǎng)絡(luò)監(jiān)控設(shè)備觀測(cè)網(wǎng)絡(luò)入侵32</p

13、><p>　　6.4.1偽造IP地址32</p><p>　　6.4.2虛假狀態(tài)轉(zhuǎn)移32</p><p>　　6.4.3定時(shí)器問(wèn)題33</p><p><b>　　結(jié) 論34</b></p><p><b>　　致 謝35</b></p><p>

14、;<b>　　參考文獻(xiàn)36</b></p><p>　　第1章 TCP/IP 概述</p><p>　　TCP/IP協(xié)議起源于60年代末美國(guó)政府資助的一個(gè)分組交換網(wǎng)絡(luò)研究項(xiàng)目，到90年代已發(fā)展成為計(jì)算機(jī)之間最常用的組網(wǎng)形式，它是一個(gè)真正的開(kāi)發(fā)系統(tǒng)，支持不同操作系統(tǒng)的主機(jī)以及不同類(lèi)型網(wǎng)絡(luò)的互聯(lián)。</p><p>　　隨著全球計(jì)算機(jī)網(wǎng)絡(luò)的日益擴(kuò)大

15、，人們的辦事效率越來(lái)越高。但是安全問(wèn)題也日益嚴(yán)重，成為人們普遍關(guān)注的問(wèn)題。網(wǎng)上的信息傳輸量之大，系統(tǒng)之復(fù)雜使得對(duì)信息流動(dòng)進(jìn)行跟蹤記錄幾乎不可能，數(shù)據(jù)的完整性、保密性難以保障，網(wǎng)絡(luò)安全已成為據(jù)通信領(lǐng)域研究和發(fā)展的一個(gè)重要方向。</p><p>　　在網(wǎng)絡(luò)的各種傳輸協(xié)議中，TCP/IP是目前應(yīng)用最廣的協(xié)議。但是，TCP/IP協(xié)議在制訂之初并沒(méi)有把網(wǎng)絡(luò)安全考慮充分，存在著很多安全問(wèn)題，這就需要采用網(wǎng)絡(luò)安全技術(shù)來(lái)彌補(bǔ)它的

16、缺陷，堵住安全漏洞，增強(qiáng)網(wǎng)絡(luò)安全。</p><p>　　為降低網(wǎng)絡(luò)安全的成本，解決越來(lái)越快的安全技術(shù)更新帶來(lái)的實(shí)施過(guò)程中的難題，當(dāng)前的網(wǎng)絡(luò)安全技術(shù)將表現(xiàn)出越來(lái)越多的自動(dòng)化趨勢(shì)，逐步減少對(duì)Internet用戶(hù)的安全方面的專(zhuān)業(yè)要求和在產(chǎn)品更新方面花費(fèi)的代價(jià)。</p><p>　　TCP/IP（Transmission Control Protocol/Internet Protocol）即運(yùn)輸

17、控制協(xié)議/互聯(lián)網(wǎng)協(xié)議。它是70年代中期美國(guó)國(guó)防部為其ARPANET廣域網(wǎng)開(kāi)發(fā)的網(wǎng)絡(luò)體系結(jié)構(gòu)和協(xié)議標(biāo)準(zhǔn)。目前國(guó)際上規(guī)模最大的計(jì)算機(jī)互聯(lián)網(wǎng)Internet便是以TCP/IP協(xié)議集為基礎(chǔ)的。與國(guó)際標(biāo)準(zhǔn)ISO/OSI相比，雖然其框架和實(shí)現(xiàn)細(xì)節(jié)都有些差異,但其基本原理是一致的。事實(shí)上，在制定OSI模型時(shí),主要參考了Internet的TCP/IP協(xié)議集。因此,兩者大部分幾乎是一樣的。另外，TCP/IP開(kāi)發(fā)較早,適用范圍廣(可用于局域網(wǎng)和廣域網(wǎng))。目

18、前已比較成熟,占有市場(chǎng)較大,已成為一種事實(shí)上的標(biāo)準(zhǔn)。TCP/IP 定義了電子設(shè)備如何連入因特網(wǎng)，以及數(shù)據(jù)如何在它們之間傳輸?shù)臉?biāo)準(zhǔn)。協(xié)議采用了4層的層級(jí)結(jié)構(gòu)，每一層都呼叫它的下一層所提供的網(wǎng)絡(luò)來(lái)完成自己的需求。通俗而言：TCP負(fù)責(zé)發(fā)現(xiàn)傳輸?shù)膯?wèn)題，一有問(wèn)題就發(fā)出信號(hào)，要求重新傳輸，直到所有數(shù)據(jù)安全正確地傳輸?shù)侥康牡亍６鳬P是給因特網(wǎng)的每一臺(tái)電腦規(guī)定一個(gè)地址。</p><p>　　1.1 TCP/IP的組成</p

19、><p>　　TCP/IP 協(xié)議并不完全符合開(kāi)放式系統(tǒng)互連(OSI) 參考模型。OSI 參考模型是一種具有7 層通信協(xié)議的抽象參考模型，其中每一層執(zhí)行某一特定的任務(wù)。而TCP/IP 通訊協(xié)議采用了4 層的層次結(jié)構(gòu)。即應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層。每一層通過(guò)呼叫它下一層所提供的網(wǎng)絡(luò)服務(wù)來(lái)完成自己的需求。對(duì)照ISO/OSI七層模型，TCP/IP協(xié)議組的體系結(jié)構(gòu)如表1-1TCP/IP 模型和協(xié)議族所示。</p&

20、gt;<p>　　表1-1 TCP/IP 模型和協(xié)議族</p><p>　　表1-2 TCP/IP結(jié)構(gòu)對(duì)應(yīng)OSI</p><p>　　注意tcp本身不具有數(shù)據(jù)傳輸中噪音導(dǎo)致的錯(cuò)誤檢測(cè)功能,但是實(shí)現(xiàn)超時(shí)的錯(cuò)誤重傳功能;</p><p>　　TCP對(duì)應(yīng)傳輸層，它保證信息的可靠傳輸。IP提供網(wǎng)絡(luò)層服務(wù)，完成結(jié)點(diǎn)的編址、尋址和信息的分拆和打包。其中：</

21、p><p>　　網(wǎng)絡(luò)層的主要功能：負(fù)責(zé)相鄰結(jié)點(diǎn)之間的通信。主要有IP協(xié)議、ICMP（網(wǎng)際控制報(bào)文協(xié)議）、IGMP(Internet組管理協(xié)議)、ARP（地址解析協(xié)議）、RARP(反向地址轉(zhuǎn)換協(xié)議）等。</p><p>　　IP----網(wǎng)間協(xié)議，負(fù)責(zé)主機(jī)間數(shù)據(jù)傳輸?shù)穆酚杉熬W(wǎng)絡(luò)數(shù)據(jù)的存儲(chǔ)，同時(shí)為ICMP、TCP、UDP提供分組發(fā)送服務(wù)。</p><p>　　ARP----地

22、址解析協(xié)議，將網(wǎng)絡(luò)地址（IP地址）映射到物理地址（網(wǎng)卡地址）。</p><p>　　RARP----逆地址解析協(xié)議，網(wǎng)卡地址映射到IP地址。</p><p>　　ICMP----網(wǎng)間報(bào)文控制協(xié)議，用于網(wǎng)關(guān)和主機(jī)間的差錯(cuò)和傳輸控制。</p><p>　　傳輸層的主要功能：負(fù)責(zé)起點(diǎn)到終點(diǎn)的通信。該層有兩個(gè)廣為使用的協(xié)議： </p><p>　　T

23、CP(傳輸控制協(xié)議)和UDP（用戶(hù)數(shù)據(jù)報(bào)協(xié)議）。TCP是一個(gè)面向連接的協(xié)議,它允許從一臺(tái)主機(jī)發(fā)出的報(bào)文無(wú)差錯(cuò)地發(fā)往互聯(lián)網(wǎng)上的其他機(jī)器。UDP 是一個(gè)不可靠的、無(wú)連接協(xié)議，用于不需要TCP 排序和流量控制而是自己完成這些功能的應(yīng)用程序。它也被廣泛地應(yīng)用于只有一次的客戶(hù)－服務(wù)器模式的請(qǐng)求－應(yīng)答查詢(xún)，以及快速遞交更重要的應(yīng)用程序。如傳輸語(yǔ)音或影像。</p><p>　　高層應(yīng)用層的主要功能：該層包含F(xiàn)TP(文件傳輸協(xié)議

24、)、HTTP(超文本傳輸協(xié)議）、TELNET(虛擬終端協(xié)議）、SMTP(簡(jiǎn)單郵件傳送協(xié)議）、DNS（域名服務(wù)協(xié)議）等許多著名協(xié)議，提供諸如文件傳輸、網(wǎng)頁(yè)瀏覽、遠(yuǎn)程登錄、電子郵件、域名解析等應(yīng)用程序。</p><p>　　TCP、UDP和IP協(xié)議是網(wǎng)絡(luò)操作系統(tǒng)的內(nèi)核，對(duì)用戶(hù)應(yīng)用程序是透明的，用戶(hù)通過(guò)TCP/IP的編程界面調(diào)用這些內(nèi)核程序，從而開(kāi)發(fā)應(yīng)用程序。編程界面有兩種形式，一種是由網(wǎng)絡(luò)操作系統(tǒng)內(nèi)核為用戶(hù)應(yīng)用程序提

25、供系統(tǒng)功能調(diào)用；另一種就是所謂的套接字（Socket）。套接字本質(zhì)上就是一種函數(shù)調(diào)用（函數(shù)庫(kù)），用戶(hù)通過(guò)這些函數(shù)編寫(xiě)TCP/IP應(yīng)用程序。Windows提供的編程界面就是WinSock。</p><p>　　1.2 TCP/IP連接方式 </p><p>　　使用TCP/IP協(xié)議可以實(shí)現(xiàn)異構(gòu)計(jì)算機(jī)的互連，也可以實(shí)現(xiàn)異構(gòu)局域網(wǎng)的互連。網(wǎng)絡(luò)通過(guò)網(wǎng)關(guān)發(fā)送數(shù)據(jù)，該網(wǎng)關(guān)實(shí)現(xiàn)將異構(gòu)網(wǎng)絡(luò)協(xié)議轉(zhuǎn)換為T(mén)CP

26、/IP環(huán)境，實(shí)現(xiàn)互通互連，TCP/IP成為事實(shí)上的網(wǎng)絡(luò)互連標(biāo)準(zhǔn)。現(xiàn)在，各種網(wǎng)絡(luò)操作系統(tǒng)均嵌入了TCP/IP協(xié)議，使異構(gòu)網(wǎng)絡(luò)互相通信。它們之間的連接如圖1-2TCP/IP 連接方式所示。</p><p>　　圖1-2 TCP/IP 連接方式</p><p>　　1.3 TCP/IP的工作原理</p><p>　　為了向應(yīng)用層提供可靠的數(shù)據(jù)傳輸，TCP/IP采取了一系列

27、復(fù)雜的措施，包括三次握手、基于滑動(dòng)窗口的確認(rèn)和重傳機(jī)制、流量控制等，其中主要通過(guò)三次握手實(shí)現(xiàn)TCP連接。這里規(guī)定：主動(dòng)提出連接請(qǐng)求的一方叫客戶(hù)端；被動(dòng)接受連接的另一方叫服務(wù)器。三次握手：當(dāng)收到客戶(hù)機(jī)A向服務(wù)器B發(fā)送syn請(qǐng)求報(bào)文時(shí),B將發(fā)送一個(gè)(ack，syn)應(yīng)答報(bào)文，同時(shí)創(chuàng)建一個(gè)控制結(jié)構(gòu)，將其加入到一個(gè)隊(duì)列中，等待A的ack報(bào)文；接收到A的ack 報(bào)文后，雙方都進(jìn)入連接狀態(tài)，就可以發(fā)送數(shù)據(jù)；如果B在一段時(shí)間內(nèi)沒(méi)有收到應(yīng)答信息，則控制

28、塊將被釋放。</p><p>　　第2章 TCP/IP網(wǎng)絡(luò)安全策略</p><p>　　所謂網(wǎng)絡(luò)安全策略是指一個(gè)網(wǎng)絡(luò)中關(guān)于安全問(wèn)題采取的對(duì)策，以保證網(wǎng)絡(luò)的安全運(yùn)行。安全策略有兩個(gè)原則，一個(gè)是沒(méi)有明確表述為允許的都被認(rèn)為是禁止的；另一個(gè)是一切沒(méi)有明確表述為禁止的都被認(rèn)為是允許的，通常人們都采用第一種策略.</p><p>　　影響網(wǎng)絡(luò)安全的因素很多，從客觀上說(shuō)有人為的

29、和非人為的；從主觀上說(shuō)分為有意的和無(wú)意的；從人員上說(shuō)分為內(nèi)部的和外部的。無(wú)論哪種情況都可歸納為： (1) 外部人員的非法入侵。(2) 內(nèi)部人員的非法占用。(3) 計(jì)算機(jī)病毒的侵蝕。對(duì)以上3 類(lèi)問(wèn)題，我們分別采用防火墻、數(shù)據(jù)加密和解毒軟件來(lái)保證網(wǎng)絡(luò)的可用性和完整性.下面介紹TCP/IP網(wǎng)絡(luò)安全策略。</p><p>　　2.1 TCP/IP存在脆弱性</p><p>　　IP層的主要曲線(xiàn)是缺

30、乏有效的安全認(rèn)證和保密機(jī)制，其中最主要的因素就是IP地址問(wèn)題。TCP/IP協(xié)議用IP地址來(lái)作為網(wǎng)絡(luò)節(jié)點(diǎn)的惟一標(biāo)識(shí)，許多TCP/IP服務(wù)，包括Berkeley中的R命令、NFS、X Window等都是基于IP地址對(duì)用戶(hù)進(jìn)行認(rèn)證和授權(quán)。當(dāng)前TCP/IP網(wǎng)絡(luò)的安全機(jī)制主要是基于IP地址的包過(guò)濾（Packet Filtering）和認(rèn)證(Authentication)技術(shù)，它的有效性體現(xiàn)在可以根據(jù)IP包中的源IP地址判斷數(shù)據(jù)的真實(shí)性和安全性。然

31、而IP地址存在許多問(wèn)題，協(xié)議的最大缺點(diǎn)就是缺乏對(duì)IP地址的保護(hù)，缺乏對(duì)IP包中源IP地址真實(shí)性的認(rèn)證機(jī)制與保密措施。這也就是引起整個(gè)TCP/IP協(xié)議不安全的根本所在。</p><p>　　由于UDP是基于IP協(xié)議之上的，TCP分段和UDP協(xié)議數(shù)據(jù)包是封裝在IP包中在網(wǎng)絡(luò)上傳輸?shù)?，因此同樣面臨IP層所遇到的安全威脅?，F(xiàn)在人們一直在想辦法解決，卻仍然無(wú)法避免的就是根據(jù)TCP連接建立時(shí)“三次握手”機(jī)制的攻擊。這些攻擊總

32、結(jié)起來(lái)包括：</p><p>　　源地址欺騙（Source Address Spoofing）或IP欺騙（IP Spoofing）；</p><p>　　源路由選擇欺騙（Source Routing Spoofing）；</p><p>　　路由選擇信息協(xié)議攻擊（RIP Attacks）；</p><p>　　鑒別攻擊（Authenticat

33、ion Attacks）；</p><p>　　TCP序列號(hào)欺騙（TCP Sequence number spoofing）；</p><p>　　TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸；</p><p>　　TCP序列號(hào)轟炸攻擊（TCP SYN Flooding Attack），簡(jiǎn)稱(chēng)SYN攻擊；</p><p>　　易欺騙性（Ease of s

34、poofing）。</p><p>　　比如網(wǎng)管員都熟悉的因特網(wǎng)控制信息協(xié)議（ICMP），它是TCP/IP協(xié)議組的一個(gè)基本網(wǎng)絡(luò)管理工具，在幫助網(wǎng)絡(luò)管理人員排除網(wǎng)絡(luò)故障中立下了汗馬功勞，同時(shí)ICMP攻擊卻十分猖狂。最明顯的是ICMP重定向報(bào)文，它被網(wǎng)關(guān)用來(lái)為主機(jī)提供好的路由，卻不能被用來(lái)給主機(jī)的路由表進(jìn)行主動(dòng)的變化。如果入侵者已經(jīng)攻破一個(gè)對(duì)目標(biāo)主機(jī)來(lái)說(shuō)可利用的次要網(wǎng)關(guān)，而不是基本網(wǎng)關(guān)，入侵者就可以通過(guò)有危險(xiǎn)的次要網(wǎng)

35、關(guān)給信任主機(jī)設(shè)置一個(gè)錯(cuò)誤的路由。多數(shù)的服務(wù)主機(jī)在TCP重定向報(bào)文上不實(shí)行有效檢查，這種攻擊的影響和基于RIP的攻擊相似。</p><p>　　另外，ICMP也可以被用來(lái)進(jìn)行拒絕服務(wù)攻擊。個(gè)別的報(bào)文如目標(biāo)不可達(dá)或者超時(shí)，就可以用來(lái)重置目前的連接，如果入侵者知道TCP 連接的本地及遠(yuǎn)端的端口號(hào)，將生成該連接的ICMP 報(bào)文。有時(shí)這樣的信息可以通過(guò)NETSTAT服務(wù)來(lái)實(shí)現(xiàn)。一個(gè)更普遍的拒絕服務(wù)攻擊是發(fā)送偽造的子網(wǎng)掩碼回

36、應(yīng)報(bào)文。無(wú)論主機(jī)是否查詢(xún)，它們都將接受該報(bào)文，一個(gè)錯(cuò)誤的報(bào)文就可能阻塞目標(biāo)主機(jī)的所有連接。</p><p>　　2.2網(wǎng)絡(luò)嗅探及對(duì)策</p><p>　　網(wǎng)絡(luò)嗅探是利用網(wǎng)絡(luò)上的接口接收不屬于本主機(jī)的數(shù)據(jù)。計(jì)算機(jī)網(wǎng)絡(luò)通常建立在共享信道上，而在每一對(duì)主機(jī)之間都建立專(zhuān)門(mén)的連接線(xiàn)路代價(jià)太高,也沒(méi)有必要，這就為網(wǎng)絡(luò)嗅探提供了必要的條件。在網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)通信時(shí)，信息以數(shù)據(jù)報(bào)的形式進(jìn)行傳送，其中報(bào)頭包含

37、目的主機(jī)的硬件地址，并且只有硬件地址匹配的機(jī)器才會(huì)接收該數(shù)據(jù)報(bào)。然而也存在一些能接收所有數(shù)據(jù)報(bào)的機(jī)器(或接口)，稱(chēng)之為雜錯(cuò)節(jié)點(diǎn)。再者用戶(hù)賬號(hào)和口令等信息一般都是以明文的形式在網(wǎng)絡(luò)上傳輸，所以一旦被黑客在雜錯(cuò)節(jié)點(diǎn)上嗅探到，用戶(hù)就可能會(huì)遭到攻擊。針對(duì)這一類(lèi)攻擊，可以采取以下措施予以防范：(1) 網(wǎng)絡(luò)分段： 一個(gè)網(wǎng)絡(luò)段包括一組共享底層設(shè)備和線(xiàn)路的機(jī)器，通過(guò)網(wǎng)絡(luò)分段可以對(duì)數(shù)據(jù)流進(jìn)行限制，從而達(dá)到防止嗅探的目的。(2) 一次性口令技術(shù)： 口令并不

38、在網(wǎng)絡(luò)上傳輸,而是在網(wǎng)絡(luò)兩端進(jìn)行字符串的匹配。客戶(hù)端利用從服務(wù)器上得到的口令(Challenge) 和自身的口令計(jì)算出或從列表中選擇一個(gè)新的字符串并返回給服務(wù)器。然后服務(wù)器利用相應(yīng)的比較算法進(jìn)行匹配，若不匹配則不允許建立連接，并且所有的Challenge 和字符串僅使用一次，這樣就從一定程度上限制了網(wǎng)絡(luò)嗅探。(3) 禁用</p><p>　　2.3 IP源地址欺騙及辨別</p><p>　

39、　IP欺騙是網(wǎng)絡(luò)黑客攻擊系統(tǒng)最常用的手段之一，它常常是其它攻擊方法的基礎(chǔ)。TCP/IP協(xié)議用IP地址來(lái)作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí)，但節(jié)點(diǎn)的IP地址又是不固定的。因此攻擊者可冒充某個(gè)可信任節(jié)點(diǎn)的IP地址，對(duì)主機(jī)進(jìn)行攻擊。IP源地址欺騙分為2 種： 外部源地址欺騙和內(nèi)部源地址欺騙。外部源地址欺騙中，一種是外部用戶(hù)冒充內(nèi)部用戶(hù)進(jìn)行攻擊。這很好區(qū)分，因?yàn)樗M(jìn)入內(nèi)部網(wǎng)絡(luò)的唯一通道是路由器，而在廣域網(wǎng)接口上不可能有內(nèi)部源地址數(shù)據(jù)包進(jìn)入。另一種是攻擊者冒

40、充你信任的網(wǎng)絡(luò)進(jìn)行連接，可采用基于地址信任的策略來(lái)防止這一攻擊。內(nèi)部的IP源地址欺騙即內(nèi)部網(wǎng)絡(luò)用戶(hù)互相冒充，這種情況需要通過(guò)用戶(hù)認(rèn)證才能辨別。</p><p>　　每一個(gè)連接局域網(wǎng)的網(wǎng)關(guān)或路由器在決定是否允許外部的IP數(shù)據(jù)包進(jìn)入局域網(wǎng)之前，先對(duì)來(lái)自外部的IP數(shù)據(jù)包進(jìn)行檢驗(yàn)。如果該IP包的IP源地址是其要進(jìn)入的局域網(wǎng)內(nèi)的IP地址，該IP包就被網(wǎng)關(guān)或路由器拒絕，不允許進(jìn)入該局域網(wǎng)。</p><p&

41、gt;　　另外一種防御這種攻擊的較為理想的方法是當(dāng)IP數(shù)據(jù)包出局域網(wǎng)時(shí)檢驗(yàn)其IP源地址。即每一個(gè)連接局域網(wǎng)的網(wǎng)關(guān)或路由器在決定是否允許本局域網(wǎng)內(nèi)部的IP數(shù)據(jù)包發(fā)出局域網(wǎng)之前，先對(duì)來(lái)自該IP數(shù)據(jù)包的IP源地址進(jìn)行檢驗(yàn)。如果該IP包的IP源地址不是其所在局域網(wǎng)內(nèi)部的IP地址，該IP包就被網(wǎng)關(guān)或路由器拒絕，不允許該包離開(kāi)局域網(wǎng)。這樣一來(lái)，攻擊者至少需要使用其所在局域網(wǎng)內(nèi)的IP地址才能通過(guò)連接該局域網(wǎng)的網(wǎng)關(guān)或路由器。如果攻擊者要進(jìn)行攻擊，根據(jù)其

42、發(fā)出的IP數(shù)據(jù)包的IP源地址就會(huì)很容易找到誰(shuí)實(shí)施了攻擊。</p><p>　　因此建議每一個(gè)ISP或局域網(wǎng)的網(wǎng)關(guān)路由器都對(duì)出去的IP數(shù)據(jù)包進(jìn)行IP源地址的檢驗(yàn)和過(guò)濾。如果每一個(gè)網(wǎng)關(guān)路由器都做到了這一點(diǎn)，IP源地址欺騙將基本上無(wú)法奏效。在當(dāng)前并不是每一網(wǎng)關(guān)及路由器都能做到這一點(diǎn)的情況下，網(wǎng)絡(luò)系統(tǒng)員只能將自己管理的網(wǎng)絡(luò)至于盡可能?chē)?yán)密的監(jiān)視之下，以防備可能到來(lái)的攻擊。</p><p>　　2.4

43、基于ICMP 的攻擊及對(duì)策</p><p>　　ICMP(Internet Control Message Protocol，網(wǎng)際控制報(bào)文協(xié)議)是IP層的一部分，它是不同機(jī)器的IP軟件之間傳送差錯(cuò)和控制信息的元連接協(xié)議。ICMP報(bào)頭有3個(gè)共同的域： 類(lèi)型(1個(gè)字節(jié))、代碼(1個(gè)字節(jié)) 及校驗(yàn)和(2個(gè)字節(jié))。ICMP 報(bào)文格式見(jiàn)表2-1ICMP報(bào)文格式所示。</p><p>　　表2-1　I

44、CMP報(bào)文格式</p><p>　　0 1 2 4 n</p><p>　　PING 命令在發(fā)送一個(gè)ICMP Echo 請(qǐng)求報(bào)文時(shí)，任何收到此報(bào)文的機(jī)器必須給源主機(jī)返回一個(gè)ICMP Echo 回答報(bào)文，所以此命令可用來(lái)檢測(cè)一個(gè)目的主機(jī)是否可達(dá)。PIN G 命令普遍存在于TCP/IP網(wǎng)絡(luò)及其子網(wǎng)中

45、，防火墻和網(wǎng)絡(luò)都允許PING通過(guò)而忽略了它的危險(xiǎn)性： 被用來(lái)進(jìn)行拒絕服務(wù)攻擊。同時(shí)，利用PTNG可以在得到允許的網(wǎng)絡(luò)中建立秘密通道，就有工具利用這一點(diǎn)在系統(tǒng)中開(kāi)一后門(mén)，搜集目標(biāo)機(jī)器上的信息，并進(jìn)行秘密通信。</p><p>　　如果ICMP回應(yīng)被允許的話(huà)，數(shù)據(jù)包過(guò)濾將無(wú)法檢測(cè)到是否有秘密通道的存在。對(duì)ICMP這樣一個(gè)無(wú)連接的協(xié)議，偽裝的主機(jī)(利用偽造的IP地址)仍然可以將含有秘密數(shù)據(jù)的回應(yīng)請(qǐng)求發(fā)到目標(biāo)主機(jī)，引起該

46、主機(jī)的回應(yīng)，所以限制ICMP回應(yīng)到信任主機(jī)是沒(méi)有用的。目前雖然通過(guò)數(shù)據(jù)包過(guò)濾器可以檢測(cè)數(shù)據(jù)域的內(nèi)容是否合法，但這種應(yīng)用還不是很廣泛，并且不能完全防止欺騙。所以最好的辦法就是拒絕網(wǎng)絡(luò)上所有的ICMP回應(yīng)。</p><p>　　2.5 路由欺騙及防范</p><p>　　每一個(gè)TP 數(shù)據(jù)報(bào)或物理幀都會(huì)在主機(jī)的網(wǎng)絡(luò)層被檢查，以決定是轉(zhuǎn)發(fā)給同一子網(wǎng)中的主機(jī)還是下一個(gè)驛站。所以所有的路由欺騙方法都是

47、通過(guò)偽造路由表，錯(cuò)誤引導(dǎo)非本地的數(shù)據(jù)報(bào)實(shí)現(xiàn)。</p><p>　　TCP/TP網(wǎng)絡(luò)中，IP數(shù)據(jù)包的傳輸路徑完全由路由表決定。若攻擊者通過(guò)各種手段改變路由表，使目標(biāo)主機(jī)發(fā)送的IP包到達(dá)攻擊者能控制的主機(jī)或路由器，就可以完成嗅探監(jiān)聽(tīng)，篡改等攻擊方式。1.RIP路由欺騙 RIP協(xié)議用于自治系統(tǒng)內(nèi)傳播路由信息。路由器在收到RIP數(shù)據(jù)報(bào)時(shí)一般不作檢查。攻擊者可以聲稱(chēng)他所控制的路由器A可以最快的到達(dá)某一站點(diǎn)B，從而誘使發(fā)往

48、B的數(shù)據(jù)包由A中轉(zhuǎn)。由于A受攻擊者控制，攻擊者可偵聽(tīng)、篡改數(shù)據(jù)。RIP路由欺騙的防范措施主要有：1.路由器在接受新路由前應(yīng)先驗(yàn)證其是否可達(dá)。2.對(duì)RIP包進(jìn)行身份認(rèn)證,杜絕假冒路由器。 2.IP源路由欺騙。IP報(bào)文首部的可選項(xiàng)中有“源站選路”，可以指定到達(dá)目的站點(diǎn)的路由。正常情況下，目的主機(jī)如果有應(yīng)答或其他信息返回源站，就可以直接將該路由反向運(yùn)用作為應(yīng)答的回復(fù)路徑。 </p><p>　　主機(jī)A（假設(shè)IP地址是1

49、92.168.100.11）是主機(jī)B（假設(shè)IP地址為192.168.100.1）的被信任主機(jī)，主機(jī)X想冒充主機(jī)A從主機(jī)B獲得某些服務(wù)。首先，攻擊者修改距離X最近的路由器G2，使用到達(dá)此路由器且包含目的地址192.168.100.1的數(shù)據(jù)包以主機(jī)X所在的網(wǎng)絡(luò)為目的地；然后，攻擊者X利用IP欺騙（把數(shù)據(jù)包的源地址改為192.168.100.11）向主機(jī)B發(fā)送帶有源路由選項(xiàng)（指定最近的G2）的數(shù)據(jù)包。當(dāng)B回送數(shù)據(jù)包時(shí)，按收到數(shù)據(jù)包的源路由選項(xiàng)

50、反轉(zhuǎn)使用源路由，傳送到被更改過(guò)的路由器G2。由于G2路由表已被修改，收到B的數(shù)據(jù)包時(shí)，G2根據(jù)路由表把數(shù)據(jù)包發(fā)送到X所在的網(wǎng)絡(luò)，X可在其局域網(wǎng)內(nèi)較方便地進(jìn)行偵聽(tīng)，收取此數(shù)據(jù)包。</p><p>　　TCP/IP協(xié)議中，IP數(shù)據(jù)報(bào)為進(jìn)行測(cè)試設(shè)置了一個(gè)選項(xiàng)： IP Source Routing，該選項(xiàng)可以直接指明到達(dá)節(jié)點(diǎn)的路由，攻擊者可以利用這個(gè)選項(xiàng)進(jìn)行欺騙和非法連接。其原理是攻擊者冒充某個(gè)可信節(jié)點(diǎn)的IP地址，構(gòu)造一

51、個(gè)通往某個(gè)服務(wù)器的直接路徑和往返路徑，利用可信任用戶(hù)作為通往服務(wù)器的路由中的最后一站，就可以向服務(wù)器發(fā)請(qǐng)求，對(duì)其進(jìn)行攻擊。在TCP/IP協(xié)議的兩個(gè)傳輸層協(xié)議TCP和UDP中，由于UDP是面向非連接的，沒(méi)有初始化的連接建立過(guò)程。所以UDP更容易被欺騙。防止源路由欺騙的方法有兩種：一種是通過(guò)設(shè)置主機(jī)忽略重定向信息來(lái)防止路由欺騙；另一種是通過(guò)檢測(cè)本機(jī)的常駐數(shù)據(jù)，查看此信息是否來(lái)自合法的路由器，以達(dá)到防止源路由欺騙的目的。</p>

52、<p>　　2.6 TCP序列號(hào)欺騙</p><p>　　TCP序列號(hào)欺騙是基于每次建立連接的3步交接順序基礎(chǔ)之上的，其信號(hào)交換順序正常運(yùn)行過(guò)程為：</p><p>　　時(shí)刻l　Z (A) ——SYN ——→B</p><p>　　時(shí)刻2　A←——SYN/ACK——→B</p><p>　　時(shí)刻3　Z(A) —— ACK——→B&

53、lt;/p><p>　　時(shí)刻4　Z(A) ——→ B</p><p>　　侵襲者偽裝成被信任主機(jī)A(該主機(jī)處于停頓狀態(tài)) 的IP地址。然后向目標(biāo)主機(jī)B 發(fā)送連接請(qǐng)求(時(shí)刻1 所示)。在時(shí)刻2，目標(biāo)主機(jī)B 對(duì)連接請(qǐng)求做出反應(yīng)，發(fā)送SYN/ACK 數(shù)據(jù)包給被信任主機(jī)A，由于被信任主機(jī)已喪失處理能力而拋棄該SYN/ACK 數(shù)據(jù)包。然后在時(shí)刻3，侵襲者再次偽裝成A向目標(biāo)主機(jī)發(fā)送ACK (侵襲者所預(yù)測(cè)目

54、標(biāo)系統(tǒng)的數(shù)據(jù)序列號(hào)) 數(shù)據(jù)包，如果序列號(hào)正確，目標(biāo)主機(jī)將會(huì)接收該ACK，從而建立正式的相互連接。在時(shí)刻4,目標(biāo)系統(tǒng)會(huì)認(rèn)為這是內(nèi)部系統(tǒng)的安全連接，開(kāi)始進(jìn)行數(shù)據(jù)傳輸。這樣，侵襲者假扮成目標(biāo)系統(tǒng)B 的被信任主機(jī)A，便可對(duì)目標(biāo)系統(tǒng)進(jìn)行隨心所欲的攻擊。這就是TCP序列號(hào)襲擊與欺騙。對(duì)外界觀察而言，初始序號(hào)像是隨機(jī)選擇的，事實(shí)上它是通過(guò)一種簡(jiǎn)單的算法產(chǎn)生的。Internet標(biāo)準(zhǔn)(RFC) 指出，32 位計(jì)數(shù)器每4ms 使最低的有效位加1，不過(guò)在Be

55、rkeley TCP實(shí)施方案中，每1秒鐘增加一次，一次連接過(guò)程增加128，有新呼叫時(shí)再增加。這就使侵襲者十分有把握預(yù)測(cè)到系統(tǒng)下次呼叫時(shí)所用的序列號(hào)，這也正是利用TCP序列號(hào)攻擊和欺騙的基礎(chǔ)所在。如果不使用基于IP地址的身份確認(rèn)，并修改TC</p><p><b>　　2.7 DNS欺騙</b></p><p>　　當(dāng)主機(jī)需要將一個(gè)域名轉(zhuǎn)化為IP地址時(shí)，它會(huì)向DNS服務(wù)

56、器發(fā)送一個(gè)查詢(xún)請(qǐng)求；同樣，把IP地址轉(zhuǎn)化為域名時(shí)會(huì)發(fā)送一個(gè)反查詢(xún)請(qǐng)求。這樣一旦DNS服務(wù)器中數(shù)據(jù)被破壞，DNS欺騙就會(huì)產(chǎn)生。DNS服務(wù)器可以將客戶(hù)引導(dǎo)到非法服務(wù)器，也可欺騙服務(wù)器相信某個(gè)IP地址是被信任客戶(hù)。DNS欺騙可通過(guò)在本機(jī)上保留一個(gè)包含域名和相應(yīng)IP地址的數(shù)據(jù)庫(kù)來(lái)防止。每一個(gè)服務(wù)器至少要保存信任主機(jī)的信息。此外，一個(gè)冒充被信任客戶(hù)的攻擊者往往要進(jìn)入負(fù)責(zé)保留攻擊者IP地址的DNS服務(wù)器，修改反向查詢(xún)表，這時(shí)就必須使用正向和反向查詢(xún)

57、表進(jìn)行交叉查詢(xún)來(lái)防范。除此之外，還存在兩種可能的攻擊：一種是基于嗅探和IP欺騙的攻擊方法；這種攻擊只能通過(guò)利用基于加密的終端協(xié)議來(lái)降低攔截的威脅；一種是服務(wù)拒絕攻擊，這時(shí)，可以通過(guò)禁用Finger 服務(wù)、關(guān)掉可能產(chǎn)生無(wú)限序列的服務(wù)和增加等待連接的隊(duì)列長(zhǎng)度并減少半連接的保存時(shí)間來(lái)進(jìn)行防止。</p><p><b>　　2.8安全策略比較</b></p><p>　　以上

58、幾種針對(duì)TCP/IP欺騙的防范措施，可以較為有效的保證了基于TCP/IP的網(wǎng)絡(luò)安全，但是它們又有不可忽視的缺點(diǎn)：即人過(guò)多的參與了安全防范措施，如為防止TCP序列號(hào)攻擊，需修改TCP模塊，耗費(fèi)了人的很多精力。針對(duì)這種缺點(diǎn)，提出了自動(dòng)化的網(wǎng)絡(luò)安全策略。</p><p><b>　　第3章 自動(dòng)化概述</b></p><p><b>　　3.1自動(dòng)化的定義<

59、/b></p><p>　　一般認(rèn)為，自動(dòng)化研究的是如何通過(guò)使用各種技術(shù)工具和系統(tǒng)（包括計(jì)算機(jī)）延伸人的信息獲取、處理和決策控制的功能，提高生產(chǎn)能力、生產(chǎn)水平和勞動(dòng)生產(chǎn)率，并不斷提高人和機(jī)器交互作用的水平，把人從繁重的、可程序化的工作中解放出來(lái)，以從事更多創(chuàng)造性的勞動(dòng)。自動(dòng)化是只機(jī)器設(shè)備（動(dòng)力）或者生產(chǎn)過(guò)程、管理過(guò)程，在沒(méi)有人直接參與下，經(jīng)過(guò)自動(dòng)檢測(cè)、信息處理、分析判斷、操縱控制、實(shí)現(xiàn)預(yù)期的目標(biāo)、目的或完成

60、某種過(guò)程。</p><p>　　自動(dòng)化是自動(dòng)化技術(shù)和自動(dòng)化過(guò)程的簡(jiǎn)稱(chēng)。自動(dòng)化技術(shù)主要有兩個(gè)方面：第一，用自動(dòng)化機(jī)械代替人工的動(dòng)力方面的自動(dòng)化技術(shù)；第二，在生產(chǎn)過(guò)程和業(yè)務(wù)處理過(guò)程中，進(jìn)行測(cè)量、計(jì)算、控制等。</p><p>　　3.2自動(dòng)化科學(xué)技術(shù)的研究?jī)?nèi)容和應(yīng)用領(lǐng)域</p><p>　　計(jì)算機(jī)科學(xué)與技術(shù)的高度發(fā)展及普及應(yīng)用,為自動(dòng)控制理論、應(yīng)用技術(shù)的發(fā)展提供了愈來(lái)愈

61、完善的軟硬件工具和實(shí)施條件,相應(yīng)地也促進(jìn)了控制科學(xué)的理論研究與技術(shù)開(kāi)發(fā)。正是由于控制和計(jì)算機(jī)科學(xué),技術(shù)相結(jié)合,因此它將在下列領(lǐng)域發(fā)揮作用。</p><p>　　(1)制造與儀表領(lǐng)域：如制造系統(tǒng)(FMS)、計(jì)算機(jī)集成制造系統(tǒng)(CIMS),納米工程等。制造建模和管理,機(jī)器人學(xué),元及儀表,如虛擬儀器等。</p><p>　　(2)設(shè)計(jì)方法領(lǐng)域：控制設(shè)計(jì)、線(xiàn)性系統(tǒng)、非線(xiàn)性系統(tǒng)、最優(yōu)控制,棒控制。&

62、lt;/p><p>　　(3)系統(tǒng)與信息領(lǐng)域：建模、辨識(shí)及信號(hào)處理、自適應(yīng)控制與調(diào)整、離散事件動(dòng)態(tài)系統(tǒng)、隨機(jī)系統(tǒng),模糊及神經(jīng)元系統(tǒng)。</p><p>　　(4)生命支持系統(tǒng)領(lǐng)域：農(nóng)業(yè)系統(tǒng)的建模與智能控制,如自動(dòng)化蔬菜工廠(chǎng)、生物技術(shù)、生物醫(yī)藥系統(tǒng)的建模與控制,生態(tài)系統(tǒng)的建模與控制。</p><p>　　(5)系統(tǒng)工程與管理領(lǐng)域：大系統(tǒng)、人機(jī)系統(tǒng)、計(jì)算機(jī)輔助控制系統(tǒng)設(shè)計(jì)、經(jīng)

63、營(yíng)管理技術(shù),金融及工程系統(tǒng)中的計(jì)算。</p><p>　　(6)全球化自動(dòng)化教育領(lǐng)域：控制教育、自動(dòng)化的社會(huì)影響,發(fā)展中國(guó)家的自動(dòng)化教育。</p><p>　　(7)工業(yè)應(yīng)用領(lǐng)域：化工、采礦、冶煉過(guò)程控制電廠(chǎng)及電力系統(tǒng)生產(chǎn)過(guò)程的故障診斷、監(jiān)控及安全生產(chǎn)。</p><p>　　(8)運(yùn)載體領(lǐng)域：航空、艦船、汽車(chē)控制,空中交通控制自動(dòng)化,智能自動(dòng)運(yùn)載體和自動(dòng)定位系統(tǒng)(G

64、PS)。</p><p>　　(9)計(jì)算機(jī)控制領(lǐng)域：分布計(jì)算機(jī)控制系統(tǒng)、實(shí)時(shí)軟件過(guò)程、實(shí)時(shí)控制的算法、結(jié)構(gòu)與人工智能,計(jì)算機(jī)控制系統(tǒng)的安全性。</p><p>　　(10)國(guó)防、安全部門(mén)：高度自動(dòng)化,高命中的武器與防衛(wèi)系統(tǒng)。</p><p>　　3.3自動(dòng)化科學(xué)技術(shù)的發(fā)展</p><p>　　3.3.1工業(yè)生產(chǎn)已進(jìn)入全球化生產(chǎn)階段</p

65、><p>　　國(guó)際投資與國(guó)際貿(mào)易一樣，都是促進(jìn)各國(guó)經(jīng)濟(jì)增長(zhǎng)的重要因素。國(guó)際投資，包括國(guó)際直接和國(guó)際間接投資，對(duì)促進(jìn)世界經(jīng)濟(jì)增長(zhǎng)的新作用正在被人們逐漸認(rèn)識(shí)。在一體化國(guó)際生產(chǎn)的環(huán)境下，跨國(guó)公司通過(guò)國(guó)內(nèi)生產(chǎn)、海外銷(xiāo)售；海外生產(chǎn)、當(dāng)?shù)劁N(xiāo)售；海外生產(chǎn)、海外銷(xiāo)售等經(jīng)營(yíng)方法更加自由地選擇國(guó)際市場(chǎng)。在國(guó)際激烈競(jìng)爭(zhēng)的壓力下，跨國(guó)公司，特別是技術(shù)先進(jìn)的公司，尋找新的機(jī)會(huì)，采用國(guó)際直接投資的方法進(jìn)入世界一切或已進(jìn)入的市場(chǎng)。分布在全世界的跨

66、國(guó)公司子公司可以在其全球市場(chǎng)體系內(nèi)進(jìn)行新產(chǎn)品開(kāi)發(fā)、生產(chǎn)和出口，無(wú)需這些活動(dòng)一定在母公司完成?？鐕?guó)公司有更大的區(qū)位選擇和國(guó)際化經(jīng)營(yíng)方式進(jìn)行國(guó)際投資和國(guó)際貿(mào)易，并且在國(guó)際投資的過(guò)程中完成國(guó)際貿(mào)易。 在新的國(guó)際生產(chǎn)一體化體系中，跨國(guó)公司內(nèi)部各個(gè)公司，包括母公司與子公司、子公司與子公司之間的企業(yè)內(nèi)國(guó)際貿(mào)易日益增加。通過(guò)全球不同區(qū)位間的縱向一體化和橫向一體化，跨國(guó)公司在更大的空間范圍內(nèi)實(shí)現(xiàn)了企業(yè)內(nèi)國(guó)際分工，從而擴(kuò)大了企業(yè)內(nèi)國(guó)際投資和國(guó)際貿(mào)易的流量

67、和存量。國(guó)際生產(chǎn)一體化體系中的國(guó)際貿(mào)易與全球化縱向一體化和橫向一體化的生產(chǎn)活動(dòng)密切有關(guān)，與企業(yè)內(nèi)國(guó)際直接投資相聯(lián)系的國(guó)際貿(mào)易結(jié)構(gòu)更體現(xiàn)了中間產(chǎn)品和服務(wù)以及</p><p>　　國(guó)際生產(chǎn)一體化網(wǎng)絡(luò)的體系正在逐步形成。傳統(tǒng)的國(guó)際貿(mào)易為主體的國(guó)際分工正演變成世界性的國(guó)際生產(chǎn)為主體的國(guó)際分工，使得國(guó)際分工從內(nèi)容、形式、機(jī)制都發(fā)生了本質(zhì)的根本變化。</p><p>　　隨著電話(huà)、傳真、衛(wèi)星傳播、全球

68、定位系統(tǒng)（Global Positioning System----GPS）和因特網(wǎng)（Internet）等通信、網(wǎng)絡(luò)技術(shù)的發(fā)達(dá)，工廠(chǎng)全球化、開(kāi)放化已經(jīng)成為自動(dòng)化技術(shù)的新領(lǐng)域。系統(tǒng)、控制、計(jì)算機(jī)、網(wǎng)絡(luò)是工廠(chǎng)全球化的基礎(chǔ)技術(shù)。虛擬工廠(chǎng)、實(shí)時(shí)控制、自律分布系統(tǒng)、制造業(yè)中的幾個(gè)重要方面。</p><p>　　3.3.2控制理論的進(jìn)展</p><p>　　1948年美國(guó)科學(xué)家維納的專(zhuān)著《控制論》（C

69、ybernetics）的出版，標(biāo)志著控制論作為一門(mén)獨(dú)立學(xué)科的正式誕生。</p><p>　　經(jīng)典控制理論即古典控制理論，也稱(chēng)為自動(dòng)控制理論。</p><p>　　20世紀(jì)初研制成裝在飛機(jī)上的電動(dòng)陀螺穩(wěn)定裝置，并發(fā)展成自動(dòng)駕駛儀，但這僅僅是人們?cè)趯?shí)踐中直觀摸索的結(jié)果，尚無(wú)理論上的指導(dǎo)。當(dāng)時(shí)的自動(dòng)駕駛儀在結(jié)構(gòu)上比較簡(jiǎn)陋，對(duì)飛機(jī)的穩(wěn)定和控制也極為簡(jiǎn)單，控制質(zhì)量不高。30年代末至40年代初形成經(jīng)典

70、控制理論。在這種理論指導(dǎo)下飛機(jī)上自動(dòng)駕駛儀的性能得到提高，并在40年代為研制V-1、V-2導(dǎo)彈提供了基礎(chǔ)。經(jīng)典控制理論適用于單輸入、單輸出的線(xiàn)性定常（參數(shù)不隨時(shí)間而變）系統(tǒng)，所以在分析設(shè)計(jì)V-1、V-2導(dǎo)彈控制系統(tǒng)時(shí)，將導(dǎo)彈的運(yùn)動(dòng)分解成單輸入、單輸出的運(yùn)動(dòng)。V-2導(dǎo)彈從地面飛出大氣層，其特性參數(shù)變化很大，是一個(gè)時(shí)變對(duì)象，但為了應(yīng)用經(jīng)典控制理論而采用系數(shù)凍結(jié)法將時(shí)變對(duì)象簡(jiǎn)化為定常的對(duì)象。這樣，V-1和V-2導(dǎo)彈雖都投入使用，但命中精度不高

71、。經(jīng)典控制理論中的非線(xiàn)性理論在40～50年代得到發(fā)展，經(jīng)典的分析方法有描述函數(shù)法、相平面法等。這些分析方法在分析戰(zhàn)術(shù)導(dǎo)彈制導(dǎo)系統(tǒng)（較多采用典型非線(xiàn)性的繼電控制方式）時(shí)較為有效，成為50年代戰(zhàn)術(shù)導(dǎo)彈得到較大發(fā)展的因素之一。</p><p>　　隨著導(dǎo)彈和航天活動(dòng)的進(jìn)展，對(duì)飛行器控制的精度要求大大提高，飛行器完成的任務(wù)更趨復(fù)雜，加上飛行器飛行時(shí)環(huán)境的急劇變化，對(duì)飛行器控制系統(tǒng)提出了更高的要求。為了滿(mǎn)足這些要求，必須尋

72、求新的理論來(lái)指導(dǎo)控制系統(tǒng)的設(shè)計(jì)。</p><p>　　20世紀(jì)40年代，為解決火炮射擊精度等問(wèn)題；誕生了自動(dòng)控制理論，并創(chuàng)造出了許多自動(dòng)控制裝置(或系統(tǒng))，為自動(dòng)化技術(shù)的形成奠定了基礎(chǔ)。研究自動(dòng)控制系統(tǒng)的構(gòu)造、性能、設(shè)計(jì)方法以及應(yīng)用的理論，就是控制理論。40—50年代，單機(jī)自動(dòng)化和單個(gè)過(guò)程自動(dòng)化得到了廣泛的應(yīng)用?！　?0年代以后，自動(dòng)控制理論得到了飛速的發(fā)展，形成了所謂的現(xiàn)代控制理論，其中有保證系統(tǒng)某種(某些)

73、性能指標(biāo)為最佳的設(shè)計(jì)方法(最優(yōu)控制)；在系統(tǒng)和環(huán)境的信息不齊備的情況下，如何改變自身性能，保證系統(tǒng)具有良好工作品質(zhì)的控制方法—(自適應(yīng)控制)；分析和設(shè)計(jì)大系統(tǒng)的方法(大系統(tǒng)理論)?！　?0年代以后，由于控制技術(shù)的發(fā)展，電子計(jì)算機(jī)的倔起，工業(yè)機(jī)器人的問(wèn)世，以及柔性制造系統(tǒng)的出現(xiàn)，綜合自動(dòng)化得到了極大的發(fā)展。</p><p>　　3.3.3 CIMS與CIPS</p><p>　　CIMS(

74、Computer Integrated Manufacturing System)叫做計(jì)算機(jī)集成制造系統(tǒng)。它是基于傳統(tǒng)制造技術(shù)、信息技術(shù)、管理技術(shù)、自動(dòng)化技術(shù)、系統(tǒng)工程技術(shù)的一門(mén)發(fā)展中的綜合性技術(shù)。它的最大的特點(diǎn)是多種技術(shù)的綜合與全企業(yè)信息的集成。CIMS的集成，從宏觀上看主要是以下5個(gè)方面：</p><p>　　(1)系統(tǒng)運(yùn)行環(huán)境的集成</p><p><b>　　(2)信息的

75、集成</b></p><p>　　(3)應(yīng)用功能的集成</p><p><b>　　(4)技術(shù)的集成</b></p><p>　　(5)人和組織的集成它是信息時(shí)代企業(yè)自動(dòng)化發(fā)展的總方向。</p><p>　　CIMS的現(xiàn)代化特征是數(shù)字化、信息化、智能化、集成化和綠色化。</p><p>

76、;　　CIPS（Computer Integrated Processing System）叫做計(jì)算機(jī)集成工程系統(tǒng)，它是過(guò)程工業(yè)中的CIMS技術(shù)。其關(guān)鍵技術(shù)包括：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、數(shù)據(jù)庫(kù)管理系統(tǒng)、各種接口技術(shù)、過(guò)程操作優(yōu)化技術(shù)、先進(jìn)控制技術(shù)、軟測(cè)量技術(shù)、生產(chǎn)過(guò)程的安全保護(hù)技術(shù)等。目前，CIPS已經(jīng)在過(guò)內(nèi)外的一些煉油與石油化工廠(chǎng)進(jìn)行了實(shí)驗(yàn)。</p><p>　　3.3.4人工智能技術(shù)</p><p

77、>　　自動(dòng)化學(xué)科中的人工智能研究注重于以更靈活的方式，在更加復(fù)雜和不確定的環(huán)境中執(zhí)行人類(lèi)更高層次的職能。</p><p>　　人工智能（AI）學(xué)科，自1956年誕生至今以有50年歷史了，就研究解釋和模擬人類(lèi)智能、智能行為及其規(guī)律這一大目標(biāo)已經(jīng)邁出了可喜的一步，某些方面取得了相當(dāng)?shù)倪M(jìn)展。20世紀(jì)70年代前后，人工智能在許多取得較大的進(jìn)展，受到廣泛的重視；但在20世紀(jì)80年代，美國(guó)、日本和歐洲正執(zhí)行AI的研究計(jì)

78、劃時(shí)，多遇到了重重困難，沒(méi)有達(dá)到預(yù)想的目標(biāo)；20世紀(jì)90年代以來(lái)，人工智能取得了新的進(jìn)展，又出現(xiàn)了下面幾個(gè)熱點(diǎn)：知識(shí)發(fā)現(xiàn)（KDD）、系統(tǒng)分析法（MAS）、多智能題（Multiagent）、基于事例的推理（CBR）、遺傳算法（GA）。盡管人工智能的發(fā)展是一個(gè)曲折的歷程，但它在自動(dòng)推理、認(rèn)知建模、機(jī)器學(xué)習(xí)、神經(jīng)元網(wǎng)絡(luò)、自然語(yǔ)言處理、專(zhuān)家系統(tǒng)、智能機(jī)器人等方面都取得了稱(chēng)得上具有智能的成就。人工智能是研究使計(jì)算機(jī)來(lái)模擬人的某些思維過(guò)程和智能行為

79、（如學(xué)習(xí)、推理、思考、規(guī)劃等）的學(xué)科，主要包括計(jì)算機(jī)實(shí)現(xiàn)智能的原理、制造類(lèi)似于人腦智能的計(jì)算機(jī)，使計(jì)算機(jī)能實(shí)現(xiàn)更高層次的應(yīng)用。人工智能將涉及到計(jì)算機(jī)科學(xué)、心理學(xué)、哲學(xué)和語(yǔ)言學(xué)等學(xué)科。可以說(shuō)幾乎是自然科學(xué)和社會(huì)科學(xué)的所有學(xué)科，其范圍已遠(yuǎn)遠(yuǎn)超出了計(jì)算機(jī)科學(xué)的范疇，人工智能與思維科</p><p>　　3.4自動(dòng)化技術(shù)的發(fā)展趨勢(shì)</p><p>　　從1956年正式提出人工智能學(xué)科算起，50多年

80、來(lái)，取得長(zhǎng)足的發(fā)展，成為一門(mén)廣泛的交叉和前沿科學(xué)?？偟恼f(shuō)來(lái)，人工智能的目的就是讓計(jì)算機(jī)這臺(tái)機(jī)器能夠象人一樣思考。如果希望做出一臺(tái)能夠思考的機(jī)器，那就必須知道什么是思考，更進(jìn)一步講就是什么是智慧。什么樣的機(jī)器才是智慧的呢？科學(xué)家已經(jīng)作出了汽車(chē)，火車(chē)，飛機(jī)，收音機(jī)等等，它們模仿我們身體器官的功能，但是能不能模仿人類(lèi)大腦的功能呢？到目前為止，我們也僅僅知道這個(gè)裝在我們天靈蓋里面的東西是由數(shù)十億個(gè)神經(jīng)細(xì)胞組成的器官，我們對(duì)這個(gè)東西知之甚少，模仿

81、它或許是天下最困難的事情了。</p><p>　　在20世紀(jì)自動(dòng)控制領(lǐng)域的成果與應(yīng)用成就的基礎(chǔ)上,面向21世紀(jì)自動(dòng)化科學(xué)的發(fā)展趨勢(shì)為：</p><p>　　(1)復(fù)雜系統(tǒng)建模與發(fā)展：為了滿(mǎn)足當(dāng)前高新技術(shù)發(fā)展的需要,研究大規(guī)模復(fù)雜系統(tǒng)的建模與仿真工作已很迫切。這將涉及多層面、多分辨率的建模以及在聚合/解聚作用下不同分辨率模型間的平滑一致性轉(zhuǎn)換、各種分析模型與知識(shí)模型之間的集成,以及在控制與決

82、策過(guò)程中的優(yōu)化調(diào)度與靈活運(yùn)用。</p><p>　　(2)新型控制系統(tǒng)結(jié)構(gòu)、方法與算法的研究：有關(guān)分布式分層遞階控制,非完全控制,可組態(tài)控制進(jìn)化控制計(jì)算法,自組織自學(xué)習(xí)控制,綜合集成優(yōu)化方法,智能化控制等。</p><p>　　(3)混雜控制系統(tǒng)理論與應(yīng)用：該理論是近年來(lái)發(fā)展很快和倍受重視的研究領(lǐng)域,其特征是將離散系統(tǒng)和連續(xù)過(guò)程系統(tǒng)集成在一個(gè)框架結(jié)構(gòu)內(nèi)進(jìn)行分析、綜合與優(yōu)化設(shè)計(jì)。反饋與優(yōu)化仍

83、是其核心主題開(kāi)展該系統(tǒng)的研究將涉及微分、代數(shù)、數(shù)學(xué)邏輯與時(shí)序邏輯、基于Agent的分布式人工智能、Petri網(wǎng)等多種學(xué)科?？梢哉J(rèn)為,混雜控制系統(tǒng)理論及應(yīng)用是新世紀(jì)控制學(xué)界開(kāi)辟的一個(gè)具有里程碑意義的研究領(lǐng)域。</p><p>　　(4)非線(xiàn)性控制系統(tǒng)理論及應(yīng)用：它仍然是控制科學(xué)中倍受重視的領(lǐng)域,近10a來(lái)發(fā)展很快,已在構(gòu)造性遞歸設(shè)計(jì)等方面取得重要進(jìn)展。該系統(tǒng)未來(lái)的成功,將有賴(lài)于獲取能提供清晰的簡(jiǎn)單模型,這對(duì)防止出現(xiàn)

84、過(guò)于復(fù)雜的非線(xiàn)性控制器是十分必要的。</p><p>　　(6)智能機(jī)器人系統(tǒng)：機(jī)器人----新時(shí)代人類(lèi)的寵兒！近幾年來(lái)已取得極大地發(fā)展,智能機(jī)器人是開(kāi)創(chuàng)未來(lái)的工作,它包含感知、思維和動(dòng)作功能,此人機(jī)交互技術(shù),遙控自主、虛擬現(xiàn)實(shí)技術(shù),仿生和微機(jī)器人是極有發(fā)展前途的領(lǐng)域。</p><p>　　(7)CIMS與智能制造系統(tǒng)：它在21世紀(jì)必將會(huì)有更大地發(fā)展,將硬件動(dòng)態(tài)系統(tǒng)和混雜控制系統(tǒng)的理論及技

85、術(shù)成果融為一體。</p><p>　　(8)大規(guī)模復(fù)雜工業(yè)過(guò)程智能化控制與決策。這種控制和決策一直受到控制學(xué)科和工業(yè)界的極度重視,包括動(dòng)力、冶煉和大型化工生產(chǎn)過(guò)程等。對(duì)這類(lèi)系統(tǒng)的優(yōu)化控制應(yīng)特別注意正在高速發(fā)展的計(jì)算機(jī)網(wǎng)絡(luò)(如Internet等),環(huán)境資源和基于Agent的分布式人工智能、計(jì)算機(jī)智能技術(shù)。</p><p>　　第4章 自動(dòng)化網(wǎng)絡(luò)安全策略</p><p>

86、;　　所謂自動(dòng)化網(wǎng)絡(luò)安全策略，就是指在人不參與的情況下，由計(jì)算機(jī)自己來(lái)管理計(jì)算機(jī)網(wǎng)絡(luò)，自己保護(hù)自己，以達(dá)到防范網(wǎng)絡(luò)入侵的目的。</p><p>　　常用的自動(dòng)化網(wǎng)絡(luò)安全策略有擁塞控制、防火墻技術(shù)、數(shù)據(jù)加密等。</p><p><b>　　4.1擁塞控制</b></p><p>　　擁塞現(xiàn)象是指到達(dá)通信子網(wǎng)中某一部分的分組數(shù)量過(guò)多，使得該部分網(wǎng)絡(luò)

87、來(lái)不及處理，以致引起這部分乃至整個(gè)網(wǎng)絡(luò)性能下降的現(xiàn)象，嚴(yán)重時(shí)甚至?xí)?dǎo)致網(wǎng)絡(luò)通信業(yè)務(wù)陷入停頓，即出現(xiàn)死鎖現(xiàn)象。這種現(xiàn)象跟公路網(wǎng)中經(jīng)常所見(jiàn)的交通擁擠一樣，當(dāng)節(jié)假日公路網(wǎng)中車(chē)輛大量增加時(shí)，各種走向的車(chē)流相互干擾，使每輛車(chē)到達(dá)目的地的時(shí)間都相對(duì)增加（即延遲增加）,甚至有時(shí)在某段公路上車(chē)輛因堵塞而無(wú)法開(kāi)動(dòng)(即發(fā)生局部死鎖)。</p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)在過(guò)去的幾十年中經(jīng)歷了爆炸式的增長(zhǎng)，隨之而來(lái)的是越來(lái)越嚴(yán)重的擁塞問(wèn)題

88、。例如本地緩存溢出，Internet上95%的數(shù)據(jù)流使用的是TCP/IP。Internet 主要互連協(xié)議的TCP/IP的擁塞控制（congestion control）機(jī)制對(duì)控制擁塞具有特別重要的意義。</p><p>　　擁塞產(chǎn)生的直接原因有以下三點(diǎn)：</p><p>　　（1）存儲(chǔ)空間不足；</p><p>　?。?）帶寬容量不足；</p><

89、;p>　?。?）處理器處理能力弱、速度慢。</p><p>　　4.1.1 TCP擁塞控制</p><p>　　擁塞控制的方法有兩種：開(kāi)環(huán)控制和閉環(huán)控制。前者是在事先設(shè)計(jì)一個(gè)“好的”網(wǎng)絡(luò)，確保它不發(fā)生擁塞，而網(wǎng)絡(luò)一旦運(yùn)行起來(lái)，就不再采取措施。顯然，對(duì)不斷變化的復(fù)雜網(wǎng)絡(luò)系統(tǒng)，開(kāi)環(huán)控制并不是理想的選擇。TCP擁塞控制采取的是基于窗口的端到端的閉環(huán)控制方式，可分為四個(gè)階段：</p&g

90、t;<p>　　1、慢啟動(dòng)階段 TCP啟動(dòng)一個(gè)連接時(shí)會(huì)向網(wǎng)絡(luò)中發(fā)送許多數(shù)據(jù)包，由于一些路由器必須對(duì)數(shù)據(jù)包排隊(duì)，所以這樣就有可能耗盡存儲(chǔ)空間，從而導(dǎo)致TCP連接的吞吐量急劇下降。避免這種情況發(fā)生的算法就是慢啟動(dòng)。源端按cwnd的大小發(fā)送數(shù)據(jù)，每收到一個(gè)ACK（確認(rèn)），cwnd就增加一個(gè)數(shù)據(jù)包發(fā)送量。顯然，cwnd是按1，2，4，8……的方式增長(zhǎng)。</p><p>　　2、擁塞避免階段 當(dāng)發(fā)現(xiàn)超時(shí)或

91、收到三個(gè)相同的ACK幀時(shí)，網(wǎng)絡(luò)即發(fā)生擁塞，此時(shí)進(jìn)入擁塞避免階段。Ssthresh被設(shè)為當(dāng)前cwnd 的一半，如果超時(shí)，cwnd 還要置1。如果此時(shí)cwnd<ssthresh, TCP就重新進(jìn)入慢啟動(dòng)過(guò)程，否則，TCP就要執(zhí)行擁塞避免算法。</p><p>　　3、快速重傳和恢復(fù)階段 當(dāng)數(shù)據(jù)包超時(shí)時(shí)，cwnd要被置為1，重新進(jìn)入慢啟動(dòng)，這會(huì)導(dǎo)致過(guò)大地見(jiàn)效發(fā)送窗口尺寸，降低TCP連接的吞吐量。所以快速重傳

92、和恢復(fù)是在源端收到三個(gè)或三個(gè)以上ACK時(shí)，就斷定數(shù)據(jù)包已經(jīng)丟失重傳數(shù)據(jù)包，同時(shí)將ssthresh置為當(dāng)前cwnd的一半，而不必等到RTO（計(jì)數(shù)器）超時(shí)。</p><p>　　以下是TCP/IP擁塞控制的算法：</p><p><b>　　初始化：</b></p><p>　　win=min(cwnd, awin) //

93、cwnd 擁塞窗口：它描述源端在擁塞</p><p>　　//情況下一次最多能發(fā)送數(shù)據(jù)包的數(shù)量</p><p><b>　　cwnd=1;</b></p><p>　　ssthresh=65535bytes(默認(rèn)值)；</p><p>　　If(ACK的數(shù)目=3)</p><p>　　Ssthre

94、sh=cwnd/2;</p><p>　　If(cwnd<sstjresh) //當(dāng)新確認(rèn)包到達(dá)時(shí)</p><p>　　cwnd= cwnd+1; //慢啟動(dòng) </p><p><b>　　Else</b></p><p>　　cwnd= cwnd+1/c

95、wnd; //擁塞避免 </p><p><b>　　超時(shí)：</b></p><p>　　ssthresh=max(2,min(cwnd/2,awin));</p><p><b>　　cwnd=1;</b></p><p><b>　　cwnd</b>&l

96、t;/p><p>　　//擁塞避免 快速重傳和恢復(fù) </p><p><b>　　ssthresh=</b></p><p><b>　　cwnd/2</b></p><p>　　4.1.2 IP擁塞控制</p><p>　　TCP

97、基于窗口的端到端的擁塞控制對(duì)于Internet的魯棒性起到了關(guān)鍵性的作用。然而，隨著Internet本身的迅速發(fā)展，網(wǎng)絡(luò)規(guī)模越來(lái)越龐大。僅僅依靠端到端的擁塞控制是不夠的，還要用到IP擁塞控制，即在路由器中采用排隊(duì)算法和數(shù)據(jù)包丟棄策略。目前，IP處理?yè)砣姆椒ㄓ袀鹘y(tǒng)的先進(jìn)先出算法（FIFO）、隨機(jī)早期檢測(cè)算法(Random Early Detection----RED)、公平排隊(duì)算法（Fair Queuing----FQ）、加權(quán)公平算法(

98、Weighted Fair Queuing----WFQ)。下面主要介紹傳統(tǒng)的先進(jìn)先出算法和公平排隊(duì)算法：傳統(tǒng)的先進(jìn)先出算法（FIFO）：最大優(yōu)點(diǎn)是實(shí)施起來(lái)簡(jiǎn)單。FIFO又叫先到先服務(wù)（FCFS），即第一個(gè)到達(dá)路由器的數(shù)據(jù)包首先被傳輸。由于每個(gè)路由器的緩存總是有限的，如果包到達(dá)時(shí)緩存已滿(mǎn)，那么路由器就不得不丟棄該包。FIFO排隊(duì)的一種改進(jìn)是優(yōu)先級(jí)排隊(duì)。基本思路是將每個(gè)數(shù)據(jù)包分配一個(gè)優(yōu)先級(jí)標(biāo)志。這個(gè)標(biāo)志可以放在IP數(shù)據(jù)包內(nèi)。路由器總是優(yōu)先

99、傳輸非空的最高優(yōu)先級(jí)隊(duì)列。在同一優(yōu)先級(jí)隊(duì)列中，數(shù)據(jù)包仍按FIFO方式管理。</p><p>　　公平排隊(duì)算法（Fair Queuing----FQ）：FIFO排隊(duì)的主要問(wèn)題是無(wú)法區(qū)分不同的數(shù)據(jù)流。由于整個(gè)TCP的擁塞控制是在源端進(jìn)行，而FIFO排隊(duì)不提供約束所有數(shù)據(jù)源遵守?fù)砣刂频臋C(jī)制，這就有可能讓行為不良的數(shù)據(jù)流強(qiáng)占大量帶寬。在Internet 環(huán)境中，某個(gè)應(yīng)用不使用TCP是完全可能的。結(jié)果，它可以繞過(guò)端到端的

100、擁塞控制機(jī)制，向路由器任意發(fā)送自己的數(shù)據(jù)包，從而引起其他應(yīng)用的包被丟棄。公平排隊(duì)算法（FQ）則解決了這個(gè)問(wèn)題。在FQ算法中，路由器對(duì)每個(gè)輸出線(xiàn)路有一個(gè)排隊(duì)隊(duì)列，路由器按輪詢(xún)方式處理包。當(dāng)一條線(xiàn)路閑時(shí)，路由器就來(lái)回掃描所有隊(duì)列，依次將被對(duì)一個(gè)包發(fā)出。當(dāng)某個(gè)流的數(shù)據(jù)包到達(dá)時(shí)，其隊(duì)列就很快占滿(mǎn)，屬于這個(gè)流的新到的包就會(huì)被丟棄。采用這個(gè)方式，每個(gè)數(shù)據(jù)流就不可能犧牲其他數(shù)據(jù)流而多占資源。</p><p><b>

101、　　4.2防火墻技術(shù)</b></p><p>　　4.2.1防火墻的概念</p><p>　　防火墻是目前最為流行也是使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)，它是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡(luò)（如Internet）分開(kāi)的隔離技術(shù)，是在兩個(gè)網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪(fǎng)問(wèn)控制手段。它允許用戶(hù)“同意”的人和數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，同時(shí)將用戶(hù)“不同意”的人和數(shù)據(jù)拒之門(mén)外。最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪(fǎng)問(wèn)自己的網(wǎng)絡(luò)，

102、防止他們更改、復(fù)制和毀壞內(nèi)部網(wǎng)絡(luò)的重要信息。防火墻本是汽車(chē)中一個(gè)部件的名稱(chēng)。在汽車(chē)中，利用防火墻把乘客和引擎隔開(kāi)，以便汽車(chē)引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時(shí)還能讓司機(jī)繼續(xù)控制引擎。但在電腦術(shù)語(yǔ)（也就是我們即將探討了解的）中，當(dāng)然就不是這個(gè)意思了，我們可以類(lèi)比來(lái)理解，在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪(fǎng)問(wèn)網(wǎng)(如Internet)分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪(fǎng)問(wèn)控制尺度，它

103、能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪(fǎng)問(wèn)你的網(wǎng)絡(luò)。換句話(huà)說(shuō)，如果不通過(guò)防火墻，公司內(nèi)部的人就無(wú)法訪(fǎng)問(wèn)Internet，Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。 防火墻就是一個(gè)位于計(jì)算機(jī)和它所</p><p>　　4.2.2防火墻的功能</p><p><b>　　1、主要功能</b>&

104、lt;/p><p>　　防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線(xiàn)，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等。</p><p>　　防火墻最基本的功能就是控制在計(jì)算機(jī)網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似

105、。它有控制信息基本的任務(wù)在不同信任的區(qū)域。 典型信任的區(qū)域包括互聯(lián)網(wǎng)(一個(gè)沒(méi)有信任的區(qū)域) 和一個(gè)內(nèi)部網(wǎng)絡(luò)(一個(gè)高信任的區(qū)域) 。 最終目標(biāo)是提供受控連通性在不同水平的信任區(qū)域通過(guò)安全政策的運(yùn)行和連通性模型之間根據(jù)最少特權(quán)原則。</p><p>　　防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。

106、最后，它可以禁止來(lái)自特殊站點(diǎn)的訪(fǎng)問(wèn)，從而防止來(lái)自不明入侵者的所有通信。</p><p><b>　　2、網(wǎng)絡(luò)安全的屏障</b></p><p>　　一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出