1、<p><b>　　摘 要</b></p><p>　　隨著計算機網(wǎng)絡技術的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應用變得越來越廣泛，在帶來了前所未有的海量信息的同時，網(wǎng)絡的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡信息的安全性變得日益重要起來，已被信息社會的各個領域所重視。本文對目前計算機網(wǎng)絡存在的安全隱患進行了分析，闡述了我國網(wǎng)絡安全的現(xiàn)狀及網(wǎng)絡安全問題產(chǎn)生的原因，對我

2、們網(wǎng)絡安全現(xiàn)狀進行了系統(tǒng)的分析,并探討了針對計算機安全隱患的防范策略.</p><p>　　正是因為安全威脅的無處不在，為了解決這個問題防火墻出現(xiàn)了。防火墻是網(wǎng)絡安全的關鍵技術,是隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)，其核心思想是在不安全的網(wǎng)絡環(huán)境中構造一個相對安全的子網(wǎng)環(huán)境,防火墻是實施網(wǎng)絡安全控制得一種必要技術。本文討論了防火墻的安全功能、體系結構、實現(xiàn)防火墻的主要技術手段及配置等。</p>

3、<p>　　關鍵詞 網(wǎng)絡安全/黑客/病毒/防火墻　　</p><p>　　1 我國網(wǎng)絡安全現(xiàn)狀2</p><p><b>　　1.1研究背景2</b></p><p><b>　　1.2研究意義3</b></p><p>　　1.3 計算機網(wǎng)絡面臨的威脅4</p>

4、<p>　　2 防火墻的安全功能及安全網(wǎng)絡方案7</p><p>　　2.1防火墻具備的安全功能7</p><p>　　2.2 計算機網(wǎng)絡面臨的威脅網(wǎng)絡安全的解決方案 2.2.1入侵檢測系統(tǒng)部署7</p><p>　　3 計算機網(wǎng)絡安全方案設計并實現(xiàn) 10</p><p>　　3.1桌面安全系統(tǒng)10</

5、p><p>　　3.2病毒防護系統(tǒng)10</p><p>　　3.3 動態(tài)口令系統(tǒng)11</p><p>　　4 防火墻的配置13</p><p>　　4.1防火墻的初始配置13</p><p>　　4.2 過濾防火墻的訪問配置15</p><p>　　4.3雙宿主機網(wǎng)關(Dual Homed

6、 Gateway)19</p><p>　　4.4屏蔽主機網(wǎng)關(Screened Host Gateway)19</p><p>　　4.5屏蔽子網(wǎng)(Screened Subnet)20</p><p><b>　　總    結22</b></p><p><b>　　致

7、   謝23</b></p><p><b>　　參考文獻24</b></p><p>　　1 我國網(wǎng)絡安全現(xiàn)狀 </p><p><b>　　1.1研究背景</b></p><p>　　據(jù)美國聯(lián)邦調(diào)查局統(tǒng)計，美國每年因網(wǎng)絡安全造成的損失高達75億美

8、元。據(jù)美國金融時報報道，世界上平均每20分鐘就發(fā)生一次人侵國際互聯(lián)網(wǎng)絡的計算機安全事件，1/3的防火墻被突破。美國聯(lián)邦調(diào)查局計算機犯罪組負責人吉姆·塞特爾稱：給我精選10名“黑客”，組成小組，90天內(nèi)，我將使美國趴下。一位計算機專家毫不夸張地說：如果給我一臺普通計算機、一條電話線和一個調(diào)制解調(diào)器，就可以令某個地區(qū)的網(wǎng)絡運行失常。</p><p>　　據(jù)了解，從1997年底至今，我國的政府部門、證券公司、

9、銀行等機構的計算機網(wǎng)絡相繼遭到多次攻擊。公安機關受理各類信息網(wǎng)絡違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網(wǎng)絡基礎設施和網(wǎng)絡應用依賴于外國的產(chǎn)品和技術，在電子政務、電子商務和各行業(yè)的計算機網(wǎng)絡應用尚處于發(fā)展階段，以上這些領域的大型計算機網(wǎng)絡工程都由國內(nèi)一些較大的系統(tǒng)集成商負責。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術力量，同時一些負責網(wǎng)絡安全的工程技術人員對許多潛在風險認識不

10、足。缺乏必要的技術設施和相關處理經(jīng)驗，面對形勢日益嚴峻的現(xiàn)狀，很多時候都顯得有些力不從心。也正是由于受技術條件的限制，很多人對網(wǎng)絡安全的意識僅停留在如何防范病毒階段，對網(wǎng)絡安全缺乏整體意識。</p><p>　　隨著網(wǎng)絡的逐步普及，網(wǎng)絡安全的問題已經(jīng)日益突。如同其它任何社會一樣，互連網(wǎng)也受到某些無聊之人的困擾，某些人喜愛在網(wǎng)上做這類的事,像在現(xiàn)實中向其他人的墻上噴染涂鴉、將他人的郵箱推倒或者坐在大街上按汽車喇叭一

11、樣。網(wǎng)絡安全已成為互連網(wǎng)上事實上的焦點問題。它關系到互連網(wǎng)的進一步發(fā)展和普及，甚至關系著互連網(wǎng)的生存。近年來，無論在發(fā)達國家，還是在發(fā)展中國家，黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴重的危害。目前在互連網(wǎng)上大約有將近80%以上的用戶曾經(jīng)遭受過黑客的困擾。而與此同時，更讓人不安的是，互連網(wǎng)上病毒和黑客的聯(lián)姻、不斷增多的黑客網(wǎng)站，使學習黑客技術、獲得黑客攻擊工具變的輕而易舉。這樣，使原本就十分脆弱的互連網(wǎng)越發(fā)顯得不安全。</

12、p><p><b>　　1.2研究意義 </b></p><p>　　現(xiàn)在網(wǎng)絡的觀念已經(jīng)深入人心，越來越多的人們通過網(wǎng)絡來了解世界，同時他們也可以通過網(wǎng)絡發(fā)布消息，與朋友進行交流和溝通，展示自己，以及開展電子商務等等。人們的日常生活也越來越依靠網(wǎng)絡進行。同時網(wǎng)絡攻擊也愈演愈烈，時刻威脅著用戶上網(wǎng)安全，網(wǎng)絡與信息安全已經(jīng)成為當今社會關注的重要問題之一。黨的十六屆四中全會，

13、把信息安全和政治安全、經(jīng)濟安全、文化安全并列為國家安全的四大范疇之一，信息安全的重要性被提升到一個空前的戰(zhàn)略高度。正是因為安全威脅的無處不在，為了解決這個問題防火墻出現(xiàn)了。防火墻的本義原是指古代人們房屋之間修建的那道為防止火災蔓延而建立的墻，而現(xiàn)在意義上的防火墻是指隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)，是這一類防范措施的總稱。應該說，在互連網(wǎng)上防火墻是一種非常有效的網(wǎng)絡安全模型，通過它可以隔離風險區(qū)域(即Internet或有一定風

14、險的網(wǎng)絡)與安全區(qū)域(局域網(wǎng))的連接，同時不會妨礙人們對風險區(qū)域的訪問。成而有效的控制用戶的上網(wǎng)安全。防火墻是實施網(wǎng)絡安全控制得一種必要技術，它是一個或一組系統(tǒng)組成，它在網(wǎng)絡之間執(zhí)行訪問控制策略。實現(xiàn)它的實際方式各不相同，但是在原則上，防火墻可以被認為是這樣</p><p>　　1.3 計算機網(wǎng)絡面臨的威脅</p><p>　　1.3.1 網(wǎng)絡安全脆弱的原因</p><

15、;p>　　(1)Internet所用底層TCP/IP網(wǎng)絡協(xié)議本身易受到攻擊，該協(xié)議本身的安全問題極大地影響到上層應用的安全。</p><p>　　(2)Internet上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡用戶輕易地獲得了攻擊網(wǎng)絡的方法和手段。</p><p>　　(3)快速的軟件升級周期，會造成問題軟件的出現(xiàn)，經(jīng)常會出現(xiàn)操作系統(tǒng)和應用程序存在新的攻擊漏洞。</p>

16、<p>　　(4)現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國針對計算機及網(wǎng)絡信息保護的條款不細致，網(wǎng)上保密的法規(guī)制度可操作性不強，執(zhí)行不力。同時，不少單位沒有從管理制度、人員和技術上建立相應的安全防范機制。缺乏行之有效的安全檢查保護措施，甚至有一些網(wǎng)絡管理員利用職務之便從事網(wǎng)上違法行為。</p><p>　　1.3.1網(wǎng)絡安全面臨的威脅</p><p>　　信息安全是一個非常關鍵而

17、又復雜的問題。計算機信息系統(tǒng)安全指計算機信息系統(tǒng)資產(chǎn)(包括網(wǎng)絡)的安全，即計算機信息系統(tǒng)資源(硬件、軟件和信息)不受自然和人為有害因素的威脅和危害。</p><p>　　計算機信息系統(tǒng)之所以存在著脆弱性，主要是由于技術本身存在著安全弱點、系統(tǒng)的安全性差、缺乏安全性實踐等;計算機信息系統(tǒng)受到的威脅和攻擊除自然災害外，主要來自計算機犯罪、計算機病毒、黑客攻擊、信息戰(zhàn)爭和計算機系統(tǒng)故障等。</p><

18、;p>　　由于計算機信息系統(tǒng)已經(jīng)成為信息社會另一種形式的“金庫”和“保密室”，因而，成為一些人窺視的目標。再者，由于計算機信息系統(tǒng)自身所固有的脆弱性，使計算機信息系統(tǒng)面臨威脅和攻擊的考驗。計算機信息系統(tǒng)的安全威脅主要來自于以下幾個方面：</p><p>　　(1)自然災害。計算機信息系統(tǒng)僅僅是一個智能的機器，易受自然災害及環(huán)境(溫度、濕度、振動、沖擊、污染)的影響。目前，我們不少計算機房并沒有防震、防火、防

19、水、避雷、防電磁泄漏或干擾等措施，接地系統(tǒng)也疏于周到考慮，抵御自然災害和意外事故的能力較差。日常工作中因斷電而設備損壞、數(shù)據(jù)丟失的現(xiàn)象時有發(fā)生。由于噪音和電磁輻射，導致網(wǎng)絡信噪比下降，誤碼率增加，信息的安全性、完整性和可用性受到威脅。</p><p>　　(2)黑客的威脅和攻擊。計算機信息網(wǎng)絡上的黑客攻擊事件越演越烈，已經(jīng)成為具有一定經(jīng)濟條件和技術專長的形形色色攻擊者活動的舞臺。他們具有計算機系統(tǒng)和網(wǎng)絡脆弱性的知

20、識，能使用各種計算機工具。境內(nèi)外黑客攻擊破壞網(wǎng)絡的問題十分嚴重，他們通常采用非法侵人重要信息系統(tǒng)，竊聽、獲取、攻擊侵人網(wǎng)的有關敏感性重要信息，修改和破壞信息網(wǎng)絡的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家造成重大政治影響和經(jīng)濟損失。黑客問題的出現(xiàn)，并非黑客能夠制造入侵的機會，從沒有路的地方走出一條路，只是他們善于發(fā)現(xiàn)漏洞。即信息網(wǎng)絡本身的不完善性和缺陷，成為被攻擊的目標或利用為攻擊的途徑，其信息網(wǎng)絡脆弱性引發(fā)了信息社會脆弱性和安全問題

21、，并構成了自然或人為破壞的威脅。</p><p>　　(3)計算機病毒。90年代，出現(xiàn)了曾引起世界性恐慌的“計算機病毒”，其蔓延范圍廣，增長速度驚人，損失難以估計。它像灰色的幽靈將自己附在其他程序上，在這些程序運行時進人到系統(tǒng)中進行擴散。計算機感染上病毒后，輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計算機主板等部件的損壞。 </p><p>　　(4

22、)垃圾郵件和間諜軟件。一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進行商業(yè)、宗教、政治等活動，把自己的電子郵件強行“推入”別人的電子郵箱，強迫他人接受垃圾郵件。與計算機病毒不同，間諜軟件的主要目的不在于對系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。事實上，間諜軟件日前還是一個具有爭議的概念，一種被普遍接受的觀點認為間諜軟件是指那些在用戶小知情的情況下進行非法安裝發(fā)裝后很難找到其蹤影，并悄悄把截獲的一些機密信息提供給第下者的軟件。間

23、諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設置，威脅用戶隱私和計算機安全，并可能小同程度的影響系統(tǒng)性能。</p><p>　　(5)信息戰(zhàn)的嚴重威脅。信息戰(zhàn)，即為了國家的軍事戰(zhàn)略而采取行動，取得信息優(yōu)勢，干擾敵方的信息和信息系統(tǒng)，同時保衛(wèi)自己的信息和信息系統(tǒng)。這種對抗形式的目標，不是集中打擊敵方的人員或戰(zhàn)斗技術裝備，而是集中打擊敵方的計算機信息系統(tǒng)，使其神經(jīng)中樞的指揮系統(tǒng)癱瘓。信息技術從根本上改

24、變了進行戰(zhàn)爭的方法，其攻擊的首要目標主要是連接國家政治、軍事、經(jīng)濟和整個社會的計算機網(wǎng)絡系統(tǒng)，信息武器已經(jīng)成為了繼原子武器、生物武器、化學武器之后的第四類戰(zhàn)略武器?？梢哉f，未來國與國之間的對抗首先將是信息技術的較量。網(wǎng)絡信息安全應該成為國家安全的前提。</p><p>　　(6)計算機犯罪。計算機犯罪，通常是利用竊取口令等手段非法侵人計算機信息系統(tǒng)，傳播有害信息，惡意破壞計算機系統(tǒng)，實施貪污、盜竊、詐騙和金融犯罪

25、等活動。</p><p>　　在一個開放的網(wǎng)絡環(huán)境中，大量信息在網(wǎng)上流動，這為不法分子提供了攻擊目標。他們利用不同的攻擊手段，獲得訪問或修改在網(wǎng)中流動的敏感信息，闖入用戶或政府部門的計算機系統(tǒng)，進行窺視、竊取、篡改數(shù)據(jù)。不受時間、地點、條件限制的網(wǎng)絡詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統(tǒng)的犯罪活動日益增多。</p><p>　　2 防火墻的安全功能

26、及安全網(wǎng)絡方案 </p><p>　　2.1防火墻具備的安全功能</p><p>　　防火墻是網(wǎng)絡安全策略的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理。從總體上看，防火墻應該具有以下基本功能： </p><p>　　(1)報警功能，將任何有網(wǎng)絡連接請求的程序通知用戶，用戶自行判斷是否放行也或阻斷其程序連接網(wǎng)絡。<

27、;/p><p>　　(2)黑白名單功能，可以對現(xiàn)在或曾經(jīng)請求連接網(wǎng)絡的程序進行規(guī)則設置。包括以后不準許連接網(wǎng)網(wǎng)等功能。</p><p>　　(3)局域網(wǎng)查詢功能，可以查詢本局域網(wǎng)內(nèi)其用戶，并顯示各用戶主機名。</p><p>　　(4) 流量查看功能，對計算機進出數(shù)據(jù)流量進行查看，直觀的完整的查看實時數(shù)據(jù)量和上傳下載數(shù)據(jù)率。</p><p>　　

28、(5)端口掃描功能，戶自可以掃描本機端口，端口范圍為0-65535端口，掃描完后將顯示已開放的端口。</p><p>　　(6)系統(tǒng)日志功能，日志分為流量日志和安全日志，流量日志是記錄不同時間數(shù)據(jù)包進去計算機的情況，分別記錄目標地址，對方地址，端口號等。安全日志負責記錄請求連接網(wǎng)絡的程序，其中包括記錄下程序的請求連網(wǎng)時間，程序目錄路徑等。</p><p>　　(7)系統(tǒng)服務功能，可以方便的

29、查看所以存在于計算機內(nèi)的服務程序?？梢躁P閉，啟動，暫停計算機內(nèi)的服務程序。</p><p>　　(8)連網(wǎng)/斷網(wǎng)功能，在不使用物理方法下使用戶計算機連接網(wǎng)絡或斷開網(wǎng)絡。</p><p>　　完成以上功能使系統(tǒng)能對程序連接網(wǎng)絡進行管理，大大提高了用戶上網(wǎng)的效率，降低的上網(wǎng)風險。從而用戶上網(wǎng)娛樂的質(zhì)量達到提高，同時也達到網(wǎng)絡安全保護的目的。</p><p>　　2.2

30、計算機網(wǎng)絡面臨的威脅網(wǎng)絡安全的解決方案2.2.1入侵檢測系統(tǒng)部署 </p><p>　　入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，強大完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進行實時檢測，及時發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應的措施。具體來講，就是將入侵檢測引擎接入中心交換機上。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡管理和網(wǎng)絡監(jiān)視功能于一身，能實時捕獲內(nèi)外網(wǎng)之間傳

31、輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡上發(fā)生的入侵行為和異常現(xiàn)象，并在數(shù)據(jù)庫中記錄有關事件，作為網(wǎng)絡管理員事后分析的依據(jù)；如果情況嚴重，系統(tǒng)可以發(fā)出實時報警，使得學校管理員能夠及時采取應對措施。</p><p>　　2.2.2漏洞掃描系統(tǒng) </p><p>　　采用目前最先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查，并根據(jù)檢查結果向系統(tǒng)管

32、理員提供詳細可靠的安全性分析報告，為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)。 </p><p>　　2.2.3網(wǎng)絡版殺毒產(chǎn)品部署 </p><p>　　在該網(wǎng)絡防病毒方案中，我們最終要達到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，為了實現(xiàn)這一點，我們應該在整個網(wǎng)絡內(nèi)可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系，應能實現(xiàn)遠程安裝、

33、智能升級、遠程報警、集中管理、分布查殺等多種功能。</p><p>　　2.2.4 安全服務配置</p><p>　　安全服務隔離區(qū)( DMZ) 把服務器機群和系統(tǒng)管理機群單獨劃分出來, 設置為安全服務隔離區(qū), 它既是內(nèi)部網(wǎng)絡的一部分, 又是一個獨立的局域網(wǎng), </p><p>　　單獨劃分出來是為了更好的保護服務器上數(shù)據(jù)和系統(tǒng)管理的正常運行。建議通過NAT( 網(wǎng)絡

34、地址轉(zhuǎn)換) </p><p>　　技術將受保護的內(nèi)部網(wǎng)絡的全部主機地址映射成防火墻上設置的少數(shù)幾個有效公網(wǎng)IP地址。這不僅可以對外屏蔽內(nèi)部網(wǎng)絡結構和IP地址, 保護內(nèi)部網(wǎng)絡的安全, </p><p>　　也可以大大節(jié)省公網(wǎng)IP地址的使用, 節(jié)省了投資成本。</p><p>　　如果單位原來已有邊界路由器, 則可充分利用原有設備, 利用邊界路由器的包過濾功能, 添加相

35、應的防火墻配置, </p><p>　　這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內(nèi)部網(wǎng)絡連接。對于DMZ區(qū)中的公用服務器, 則可直接與邊界路由器相連, </p><p>　　不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡單防護。在此拓撲結構中, 邊界路由器與防火墻就一起組成了兩道安全防線, 并且在這兩者之間可以設置一個DMZ區(qū), </p><p>　

36、　用來放置那些允許外部用戶訪問的公用服務器設施。</p><p>　　2.2.5 配置訪問策略</p><p>　　訪問策略是防火墻的核心安全策略, 所以要經(jīng)過詳盡的信息統(tǒng)計才可以進行設置。在過程中我們需要了解本單位對內(nèi)對外的應用以及所對應的源地址、目的地址、TCP </p><p>　　或UDP的端口, 并根據(jù)不同應用的執(zhí)行頻繁程度對策略在規(guī)則表中的位置進行排序,

37、 然后才能實施配置。原因是防火墻進行規(guī)則查找時是順序執(zhí)行的, </p><p>　　如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。</p><p>　　2.2.6 日志監(jiān)控</p><p>　　日志監(jiān)控是十分有效的安全管理手段。往往許多管理員認為只要可以做日志的信息就去采集。如: 所有的告警或所有與策略匹配或不匹配的流量等等, </p><

38、p>　　這樣的做法看似日志信息十分完善, 但每天進出防火墻的數(shù)據(jù)有上百萬甚至更多, 所以, 只有采集到最關鍵的日志才是真正有用的日志。一般而言, </p><p>　　系統(tǒng)的告警信息是有必要記錄的, 對于流量信息進行選擇, 把影響網(wǎng)絡安全有關的流量信息保存下來。</p><p>　　3 計算機網(wǎng)絡安全方案設計并實現(xiàn) </p><p><b>

39、;　　3.1桌面安全系統(tǒng)</b></p><p>　　用戶的重要信息都是以文件的形式存儲在磁盤上，使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率，但同時也造成用戶的信息易受到攻擊，造成泄密。特別是對于移動辦公的情況更是如此。因此，需要對移動用戶的文件及文件夾進行本地安全管理，防止文件泄密等安全隱患。 　　本設計方案采用清華紫光公司出品的紫光S鎖產(chǎn)品，“紫光S鎖”是清華紫光“桌面計

40、算機信息安全保護系統(tǒng)”的商品名稱。紫光S鎖的內(nèi)部集成了包括中央處理器（CPU）、加密運算協(xié)處理器（CAU）、只讀存儲器（ROM），隨機存儲器（RAM）、電可擦除可編程只讀存儲器（E2PROM）等，以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS（Chip Operating System）、硬件ID號、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認證的SmartCOS，其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，防止

41、非法軟件對S鎖進行操作。 </p><p><b>　　3.2病毒防護系統(tǒng)</b></p><p>　　基于單位目前網(wǎng)絡的現(xiàn)狀，在網(wǎng)絡中添加一臺服務器，用于安裝IMSS。  （1)郵件防毒。采用趨勢科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服務器無縫相結合并內(nèi)嵌到Notes的數(shù)據(jù)庫中，可防止病毒

42、入侵到LotueNotes的數(shù)據(jù)庫及電子郵件，實時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒?？赏ㄟ^任何Notes工作站或Web界面遠程控管防毒管理工作，并提供實時監(jiān)控病毒流量的活動記錄報告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。 ?。?)服務器防毒。采用趨勢科技的ServerProtect。該產(chǎn)品的最大特點是內(nèi)含集中管理的概念，防毒模塊和管理模塊可分開安裝。一方面

43、減少了整個防毒系統(tǒng)對原系統(tǒng)的影響，另一方面使所有服務器的防毒系統(tǒng)可以從單點進行部署，管理和更新。 ?。?)客戶端防毒。采用趨勢科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡版的客戶端防毒系統(tǒng)，使管理者通過單點控制所有客戶機上的防毒模塊，并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有靈活的產(chǎn)品集中部署方式，不受Windows域管理模式的約束，除支持SMS</p><p>　　3.3 動態(tài)口令系統(tǒng)

44、</p><p>　　動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎上，結合生成動態(tài)口令的特點，加以精心修改，通過十次以上的非線性迭代運算，完成時間參數(shù)與密鑰充分的混合擴散。在此基礎上，采用先進的身份認證及加解密流程、先進的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。 　 單位安全網(wǎng)由多個具有不同安全信任度的網(wǎng)絡部分構成，在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構成了對網(wǎng)絡安全的

45、重要隱患。本設計方案選用四臺網(wǎng)御防火墻，分別配置在高性能服務器和三個重要部門的局域網(wǎng)出入口，實現(xiàn)這些重要部門的訪問控制。 　　通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻，通過防火墻將網(wǎng)絡內(nèi)部不同部門的網(wǎng)絡或關鍵服務器劃分為不同的網(wǎng)段，彼此隔離。這樣不僅保護了單位網(wǎng)絡服務器，使其不受來自內(nèi)部的攻擊，也保護了各部門網(wǎng)絡和數(shù)據(jù)服務器不受來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡的攻擊。如果有人闖進您的一個部門，或者

46、如果病毒開始蔓延，網(wǎng)段能夠限制造成的損壞進一步擴大。 　 為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個子網(wǎng)之間建立起獨立的安全通道，通過嚴格的加密和認證措施來保證通道中傳送的數(shù)據(jù)的完</p><p><b>　　4 防火墻的配置</b></p><p>　　4.1防火墻的初始配置</p><p>　　像路由器一樣，在使用之前，防火

47、墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以Cisco PIX防火墻為例進行介紹。 　　防火墻的初始配置也是通過控制端口（Console）與PC機（通常是便于移動的筆記本電腦）的串口連接，再通過Windows系統(tǒng)自帶的超級終端（HyperTerminal）程序進行選項配置。防火墻的初始配置物理連接與前面介紹的交換機初始配置連接方法一樣，參見圖1所示。 　　　　 </p><p>

48、　　防火墻除了以上所說的通過控制端口（Console）進行初始配置外，也可以通過telnet和Tffp配置方式進行高級配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務器軟件，但配置界面比較友好。 　　防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（Unprivileged mode）、特權模式（Privileged Mode）、配置模式（Configuration Mode）和端口

49、模式（Interface Mode），進入這四種用戶模式的命令也與路由器一樣： 　　普通用戶模式無需特別命令，啟動后即進入； 　　進入特權用戶模式的命令為"enable"；進入配置模式的命令為"config terminal"；而進入端口模式的命令為"interface ethernet（）"。不過因為防火墻的端口沒有路由器那么復雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為&

50、quot;全局配置模式"。 　　　　防火墻的具體配置步驟如下： 　　1. 將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個空余串口上，參見圖1。 　　2. 打開</p><p>　　4.2 過濾防火墻的訪問配置</p><p>　　除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對訪問控制列表（ACL）進行配有關置。下面介紹一些用于此方面

51、配置的基本命令。 　　1. access-list：用于創(chuàng)建訪問規(guī)則 　　這一訪問規(guī)則配置命令要在防火墻的全局配置模式中進行。同一個序號的規(guī)則可以看作一類規(guī)則，同一個序號之間的規(guī)則按照一定的原則進行排列和選擇，這個順序可以通過 show access-list 命令看到。在這個命令中，又有幾種命令格式，分別執(zhí)行不同的命令。 　　（1）創(chuàng)建標準訪問列表 　　命令格式：access-list [ normal 　 special ]

52、 listnumber1 { permit 　 deny } source-addr [ source-mask ] 　?。?）創(chuàng)建擴展訪問列表 　　命令格式：access-list [ normal 　 special ] listnumber2 { permit 　 deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr des

53、t-</p><p>　　最簡單的防火墻配置，就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個包過濾路由器或者應用網(wǎng)關。為更好地實現(xiàn)網(wǎng)絡安全，有時還要將幾種防火墻技術組合起來構建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。</p><p>　　4.3雙宿主機網(wǎng)關(Dual Homed Gateway)</p><p>　　這種配置是用一臺裝有兩個網(wǎng)絡適配器的雙宿主機做防

54、火墻。雙宿主機用兩個網(wǎng)絡適配器分別連接兩個網(wǎng)絡，又稱堡壘主機。堡壘主機上運行著防火墻軟件(通常是代理服務器)，可以轉(zhuǎn)發(fā)應用程序，提供服務等。雙宿主機網(wǎng)關有一個致命弱點，一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護的內(nèi)部網(wǎng)絡(如圖1)。</p><p>　　三種流行防火墻配置方案分析(圖一)</p><p>　　4.4屏蔽主機網(wǎng)關(Screened H

55、ost Gateway)</p><p>　　屏蔽主機網(wǎng)關易于實現(xiàn)，安全性好，應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網(wǎng)絡，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡上。堡壘主機只有一個網(wǎng)卡，與內(nèi)部網(wǎng)絡連接(如圖2)。通常在路由器上設立過濾規(guī)則，并使這個單宿堡壘主機成為從 Internet惟一可以訪問的主機，確保了內(nèi)部網(wǎng)絡不受未被授權的外部用戶的攻擊。而Intra

56、net內(nèi)部的客戶機，可以受控制地通過屏蔽主機和路由器訪問Internet.</p><p>　　三種流行防火墻配置方案分析(圖二)</p><p>　　雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是，堡壘主機有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡，一塊連接包過濾路由器(如圖3)。雙宿堡壘主機在應用層提供代理服務，與單宿型相比更加安全。</p><p>　　三種流行防火墻配置方案分析(

57、圖三)</p><p>　　4.5屏蔽子網(wǎng)(Screened Subnet)</p><p>　　這種方法是在Intranet和Internet之間建立一個被隔離的子網(wǎng)，用兩個包過濾路由器將這一子網(wǎng)分別與Intranet和 Internet 分開。兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構成一個“緩沖地帶”(如圖4)，兩個路由器一個控制Intranet 數(shù)據(jù)流，另一個控制Internet數(shù)

58、據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機，為內(nèi)部網(wǎng)絡和外部網(wǎng)絡的互相訪問提供代理服務，但是來自兩網(wǎng)絡的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務器，像WWW、FTP、Mail等Internet服務器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。這種結構的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設備多，造價

59、高。</p><p>　　三種流行防火墻配置方案分析(圖四)</p><p>　　當然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸;難以避免來自內(nèi)部的攻擊等等?？傊阑饓χ皇且环N整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準則，即網(wǎng)絡訪問、本地和遠程用戶認證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防

60、護等有關的安全</p><p><b>　　總    結</b></p><p>　　經(jīng)過兩個月艱苦卓絕的努力,總于完成了本畢業(yè)設計.從當初領到題目到最后一個功能模塊的完成,經(jīng)歷了無數(shù)次的錯誤->修改代碼->重啟服務器->運行的過程,感覺到平時學的知識是多么的淺薄,書到用時方恨少,現(xiàn)在是體驗的真真切切.也充分反應了我平時

61、的基本功不扎實,給我以后的工作敲響了警鐘,有了努力的方向.</p><p>　　但通過本次畢業(yè)設計,我也感受到了開源的方便,遇到什么問題,上網(wǎng)一查,就知道該怎么弄了,以前做個課程設計都是怕別人和我的一樣,不愿意給別人看,現(xiàn)在知道了程序弄不出來是多么的著急,學習都是相互的,互相研究才能共同進步的.以后要多多注意這方面的事情,</p><p>　　本次畢業(yè)設計是我工作前一次很好的演練和實踐的機

62、會,是培養(yǎng)獨立考問題和自學能力的鍛煉,使我意識到必須努力學習才能才工作中體現(xiàn)自己的價值,適應社會的需要.</p><p><b>　　致    謝</b></p><p>　　經(jīng)過了三個月的努力,我完成了題目為:計算機網(wǎng)絡安全及防火墻技術。</p><p>　　本次設計能夠順利完成,我首先要感謝一些發(fā)表書籍的老師們

63、。其次,我要感謝我的指導老師,她自始自終都給予了我莫大的幫助,對的設計中每一個計劃,每一項安排都提出了至關重要的建議,使我少走了許多彎路,節(jié)省了大量的時間,并且能不厭其煩地指導我技術上的問題,使我的系統(tǒng)更加完善和符合企業(yè)網(wǎng)站的要求. 可以說,我的畢業(yè)設計的順利完成凝聚著導師的大量心血.</p><p>　　另外,我還要感謝那些網(wǎng)上的朋友,他們毫不吝嗇的將自己所掌握的知識拿出來資源共享,才使我部分功能模塊得以實現(xiàn),

64、謝謝他們.</p><p>　　通過這次畢業(yè)設計,我體會很多,學會是一回事,會用則就是另一回事了.以前感到自己專業(yè)技能還可以,但真正到用的時候就發(fā)現(xiàn)了很多缺陷,發(fā)現(xiàn)自己其實差距很大,還不能適應工作.為我今后指明了努力方向.</p><p>　　再一次，我向多方面支持和幫助過我的人表示由衷的感謝！</p><p><b>　　參考文獻</b>&l

65、t;/p><p>　　[1]張寶劍.計算機安全與防護技術[M].機械工業(yè)出版社,2003.</p><p>　　[2]林海波,網(wǎng)絡安全與防火墻技術[M].北京清華大學出版社,2000.</p><p>　　[3]凌雨欣,常紅.網(wǎng)絡安全技術與反網(wǎng)絡入侵者[M].冶金工業(yè)出版社,2001.</p><p>　　[4]王蓉,林海波.網(wǎng)絡安全與防火墻技術

66、[M].清華大學出版社,2000.</p><p>　　[5]余建斌.黑客的攻擊手段及用戶對策［M］.北京人民郵電出版社,2005.</p><p>　　[6](美)布萊克赫茲.Microsoft，UNIX及0racle主機和網(wǎng)絡安全［M］.電子工業(yè)出版社,2004. </p><p>　　[7] 馬程.防火墻在網(wǎng)絡安全中的應用［J］.甘肅科技,2008</p