序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇防火墻技術論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

關鍵詞：網絡安全；防火墻

1從軟、硬件形式上分

如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。

（1）軟件防火墻。

軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這臺計算機就是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網管對所工作的操作系統平臺比較熟悉。

（2）硬件防火墻。

這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，他們都基于PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的有老版本的Unix、Linux和FreeBSD系統。值得注意的是，由于此類防火墻采用的依然是別人的內核，因此依然會受到OS（操作系統）本身的安全性影響。

（3）芯片級防火墻。

芯片級防火墻基于專門的硬件平臺，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統），因此防火墻本身的漏洞比較少，不過價格相對比較高昂。

2從防火墻技術分

防火墻技術雖然出現了許多，但總體來講可分為“包過濾型”和“應用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

（1）包過濾（Packetfiltering）型。

包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網絡服務采取特殊的處理方式，適用于所有網絡服務；之所以廉價，是因為大多數路由器都提供數據包過濾功能，所以這類防火墻多數是由路由器集成的；之所以有效，是因為它能很大程度上滿足了絕大多數企業安全要求。

在整個防火墻技術的發展過程中，包過濾技術出現了兩種不同版本，稱為“第一代靜態包過濾”和“第二代動態包過濾”。

包過濾方式的優點是不用改動客戶機和主機上的應用程序，因為它工作在網絡層和傳輸層，與應用層無關。但其弱點也是明顯的：過濾判別的依據只是網絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規則的數目是有限制的，且隨著規則數目的增加，性能會受到很大地影響；由于缺少上下文關聯信息，不能有效地過濾如UDP、RPC（遠程過程調用）一類的協議；另外，大多數過濾器中缺少審計和報警機制，它只能依據包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高，建立安全規則時，必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網關配合使用，共同組成防火墻系統。

（2）應用（ApplicationProxy）型。

應用型防火墻是工作在OSI的最高層，即應用層。其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的程序，實現監視和控制應用層通信流的作用。其典型網絡結構如圖所示。

在型防火墻技術的發展過程中，它也經歷了兩個不同的版本：第一代應用網關型防火和第二代自適應防火墻。

類型防火墻的最突出的優點就是安全。由于它工作于最高層，所以它可以對網絡中任何一層數據通信進行篩選保護，而不是像包過濾那樣，只是對網絡層的數據進行過濾。另外型防火墻采取是一種機制，它可以為每一種應用服務建立一個專門的，所以內外部網絡之間的通信不是直接的，而都需先經過服務器審核，通過后再由服務器代為連接，根本沒有給內、外部網絡計算機任何直接會話的機會，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。

防火墻的最大缺點是速度相對比較慢，當用戶對內外部網絡網關的吞吐量要求比較高時，防火墻就會成為內外部網絡之間的瓶頸。那因為防火墻需要為不同的網絡服務建立專門的服務，在自己的程序為內、外部網絡用戶建立連接時需要時間，所以給系統性能帶來了一些負面影響，但通常不會很明顯。

3從防火墻結構分

從防火墻結構上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機防火墻是最為傳統的防火墻，獨立于其它網絡設備，它位于網絡邊界。

這種防火墻其實與一臺計算機結構差不多（如下圖），同樣包括CPU、內存、硬盤等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與一般計算機最主要的區別就是一般防火墻都集成了兩個以上的以太網卡，因為它需要連接一個以上的內、外部網絡。其中的硬盤就是用來存儲防火墻所用的基本程序，如包過濾程序和服務器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的PC機一樣，因為它的工作性質，決定了它要具備非常高的穩定性、實用性，具備非常高的系統吞吐性能。正因如此，看似與PC機差不多的配置，價格甚遠。

隨著防火墻技術的發展及應用需求的提高，原來作為單一主機的防火墻現在已發生了許多變化。最明顯的變化就是現在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個獨立的硬件實體，而是由多個軟、硬件組成的系統，這種防火墻，俗稱“分布式防火墻”。

原來單一主機的防火墻由于價格非常昂貴，僅有少數大型企業才能承受得起，為了降低企業網絡投資，現在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業就不用再同時購買路由器和防火墻，大大降低了網絡設備購買成本。

分布式防火墻再也不只是位于網絡邊界，而是滲透于網絡的每一臺主機，對整個內部網絡的主機實施保護。在網絡服務器中，通常會安裝一個用于防火墻系統管理軟件，在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡，這樣一塊防火墻卡同時兼有網卡和防火墻的雙重功能。這樣一個防火墻系統就可以徹底保護內部網絡。各主機把任何其它主機發送的通信連接都視為“不可信”的，都需要嚴格過濾。而不是傳統邊界防火墻那樣，僅對外部網絡發出的通信請求“不信任”。

4按防火墻的應用部署位置分

按防火墻的應用部署位置分，可以分為邊界防火墻、個人防火墻和混合防火墻三大類。

邊界防火墻是最為傳統的，它們于內、外部網絡的邊界，所起的作用的對內、外部網絡實施隔離，保護邊界內部網絡。這類防火墻一般都屬于硬件類型，價格較貴，性能較好。

個人防火墻安裝于單臺主機中，防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差。

混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統，由若干個軟、硬件組件組成，分布于內、外部網絡邊界和內部各主機之間，既對內、外部網絡之間通信進行過濾，又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一，性能最好，價格也最貴。

5按防火墻性能分

按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。

因為防火墻通常位于網絡邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應用所產生的延時也越小，對整個網絡通信性能的影響也就越小。

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

參考文獻

［1］孫建華等.網絡系統管理-Linux實訓篇［M］.北京：人民郵電出版社，2003，（10）.

篇(2)

一、計算機網絡的安全與攻擊

計算機的網絡安全攻擊。計算機的網絡安全是數據運行的重要任務，同時也是防火墻的重點內容。計算機的發展在時代的變遷中更加廣泛，但同時運行過程中的威脅也會影響到計算機的使用。例如：數據方面、環境威脅、外力破壞、拒絕服務、程序攻擊、端口破壞等。計算機網絡的主體就是數據，在數據的運行中如果存在漏洞會給網絡安全帶來很大的隱患，比如在節點數據處若是進行攻擊篡改會直接破壞數據的完整性，攻擊者往往會選擇數據內容進行操作、對其進行攻擊泄露，還可植入木馬病毒等，使得網絡安全成為了問題；環境是網絡運行的基礎，用戶在使用訪問時會使用到網絡環境，而環境卻是開放共享的，攻擊者可以對網絡環境內的數據包進行處理，將攻擊帶入內網以破壞內網的防護功能；外力破壞主要就是木馬、病毒的攻擊，攻擊者可以利用網站和郵箱等植入病毒，攻擊使用者的計算機，導致網絡系統故障；拒絕服務是攻擊者利用系統的漏洞給計算機發送數據包，使得主機癱瘓不能使用任何服務，主要是由于計算機無法承擔高負荷的數據存儲因而休眠，無法對用戶的請求作出反應；程序攻擊是指攻擊者應用輔助程序攻入程序內部，進而毀壞文件數據等；端口攻擊卻是攻擊者從硬性的攻擊路徑著手，使得安全系統出現問題。以上的各種網絡安全問題都需要使用防火墻技術，以減少被攻擊的次數和程度，保證用戶的數據及文件等的安全。

二、網絡安全中的防火墻技術

（一）防火墻技術的基本概念

防火墻技術是保護內部網絡安全的一道屏障，它是由多種硬件設備和軟件的組合，是用來保障網絡安全的裝置。主要是根據預設的條件對計算機網絡內的信息和數據進行監控，然后授權以及限制服務，再記錄相關信息進行分析，明確每一次信息的交互以預防攻擊。它具有幾種屬性：所以的信息都必須要經過防火墻、只有在受到網絡安全保護的允許下才能通過它、并且能夠對網絡攻擊的內容和信息進行記錄并檢測、而且它自身能夠免疫各種攻擊。防火墻有各種屬性，能夠對安全防護的策略進行篩選并讓其通過、能夠記錄數據的信息并進行檢測，以便及時預警、還能夠容納計算機的整體的信息并對其進行維護。而防火墻常用技術主要分為：狀態檢測、應用型防火墻和包過濾技術。前者是以網絡為整體進行研究，分析數據流的信息并將其與網絡中的數據進行區分，以查找不穩定的因素，但是時效性差；應用型的是用來保障內外網連接時的安全，使得用戶在訪問外網時能夠更加的安全；包過濾技術就是將網絡層作為保護的對象，按計算機網絡的協議嚴格進行，以此來實現防護效果。

（二）防火墻的常用功能構件

它的常用功能構件主要是認證、訪問控制、完整、審計、訪問執行功能等。認證功能主要是對身份進行確認；訪問控制功能是能夠決定是否讓此次文件傳送經過防火墻到達目的地的功能，能夠防止惡意的代碼等；完整性功能是對傳送文件時的不被注意的修改進行檢測，雖然不能對它進行阻止，但是能進行標記，可以有效的防止基于網絡上的竊聽等；審計功能是能夠連續的記錄重要的系統事件，而重要事件的確定是由有效的安全策略決定的，有效的防火墻系統的所有的構件都需要統一的方式來記錄。訪問執行功能是執行認證和完整性等功能的，在通過這些功能的基礎上就能將信息傳到內網，這種功能能夠減少網絡邊界系統的開銷，使得系統的可靠性和防護能力有所提高。

三、防火墻的應用價值

防火墻在計算機網絡安全中的廣泛應用，充分的展現了它自身的價值。以下談論幾點：

（一）技術的價值

技術是防火墻技術中的一種，能夠為網絡系統提供服務，以便實現信息的交互功能。它是比較特殊的，能夠在網絡運行的各個項目中都發揮控制作用，分成高效。主要是在內外網信息交互中進行控制，只接受內網的請求而拒絕外網的訪問，將內外網進行分割，拒絕混亂的信息，但是它的構建十分復雜，使得應用不易。雖然防護能力強，在賬號管理和進行信息驗證上十分有效，但是因使用復雜而無法廣泛推廣。

（二）過濾技術的價值

過濾技術是防火墻的選擇過濾，能夠對數據進行全面的檢測，發現攻擊行為或者危險的因素時及時的斷開傳送，因而能夠進行預防并且有效控制風險信息的傳送，以確保網絡安全，這項技術不僅應用于計算機網絡安全，而且在路由器使用上也有重要的價值。

（三）檢測技術的價值

檢測技術主要應用于計算機網絡的狀態方面，它在狀態機制的基礎上運行，能夠將外網的數據作為整體進行準確的分析并將結果匯總記錄成表，進而進行對比。如今檢測技術廣泛應用于各層次網絡間獲取網絡連接狀態的信息，拓展了網絡安全的保護范圍，使得網絡環境能夠更加的安全。

四、總結

隨著計算機網絡的使用愈加廣泛，網絡安全問題也需要重視。而防火墻技術是計算機網絡安全的重要保障手段，科學的利用防火墻技術的原理，能夠更加合理的阻止各種信息或數據的泄露問題，避免計算機遭到外部的攻擊，確保網絡環境的安全。將防火墻技術應用于計算機的網絡安全方面能夠更加有效的根據實際的情況對網絡環境進行保護，發揮其自身的作用以實現保護計算機網絡安全的目的。

計算機碩士論文參考文獻

[1]馬利.計算機網絡安全中的防火墻技術應用研究[J].信息與電腦,2017,13(35):35.

篇(3)

 

關鍵詞：入侵檢測異常檢測誤用檢測

 

在網絡技術日新月異的今天，基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet，全社會信息共享已逐步成為現實。然而，近年來，網上黑客的攻擊活動正以每年10倍的速度增長。因此，保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。

1 防火墻

目前防范網絡攻擊最常用的方法是構建防火墻。

防火墻作為一種邊界安全的手段，在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問，通過監視、限制、更改通過網絡的數據流，一方面盡可能屏蔽內部網的拓撲結構，另一方面對內屏蔽外部危險站點，以防范外對內的非法訪問。然而，防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內部的襲擊。調查發現，50％的攻擊都將來自于網絡內部。

(3)由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。畢業論文 而這一點，對于層出不窮的網絡攻擊技術來說是至關重要的。

因此，在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要，網絡的防衛必須采用一種縱深的、多樣化的手段。

由于傳統防火墻存在缺陷，引發了入侵檢測IDS(Intrusion Detection System)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補充，在不影響網絡性能的情況下，通過對網絡的監測，幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高信息安全基礎結構的完整性，提供對內部攻擊、外部攻擊和誤操作的實時保護?，F在，入侵檢測已經成為網絡安全中一個重要的研究方向，在各種不同的網絡環境中發揮重要作用。

2 入侵檢測

2．1 入侵檢測

入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析，從中發現違反安全策略的行為和遭到攻擊的跡象，并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵，在可能造成系統損壞或數據丟失之前，識別并驅除入侵者，使系統迅速恢復正常工作，并且阻止入侵者進一步的行動。同時，收集有關入侵的技術資料，用于改進和增強系統抵抗入侵的能力。

入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今，英語論文 已經開發出一些入侵檢測的產品，其中比較有代表性的產品有ISS(Intemet Security System)公司的Realsecure，NAI(Network Associates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2 檢測技術

入侵檢測為網絡安全提供實時檢測及攻擊行為檢測，并采取相應的防護手段。例如，實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制；攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者，進一步加強信息系統的安全力度。入侵檢測的步驟如下：

收集系統、網絡、數據及用戶活動的狀態和行為的信息

入侵檢測一般采用分布式結構，在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息，一方面擴大檢測范圍，另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。

入侵檢測所利用的信息一般來自以下4個方面：系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。

(2)根據收集到的信息進行分析

常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。

統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述，統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時，就有可能發生入侵行為。該方法的難點是閾值的選擇，閾值太小可能產生錯誤的入侵報告，閾值太大可能漏報一些入侵事件。

完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3 分類及存在的問題

入侵檢測通過對入侵和攻擊行為的檢測，查出系統的入侵者或合法用戶對系統資源的濫用和誤用。工作總結 根據不同的檢測方法，將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。

3．1 異常檢測

又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統或用戶的“正?！毙袨樘卣鬏喞?，通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測，是一種間接的方法。

常用的具體方法有：統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。

采用異常檢測的關鍵問題有如下兩個方面：

(1)特征量的選擇

在建立系統或用戶的行為特征輪廓的正常模型時，選取的特征量既要能準確地體現系統或用戶的行為特征，又能使模型最優化，即以最少的特征量就能涵蓋系統或用戶的行為特征。(2)參考閾值的選定

由于異常檢測是以正常的特征輪廓作為比較的參考基準，因此，參考閾值的選定是非常關鍵的。

閾值設定得過大，那漏警率會很高；閾值設定的過小，則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。

由此可見，異常檢測技術難點是“正?！毙袨樘卣鬏喞拇_定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實時地建立和更新系統或用戶的特征輪廓，這樣所需的計算量很大，對系統的處理性能要求很高。

篇(4)

關鍵詞：局域網網絡安全

 

一、引言

信息科技的迅速發展，Internet已成為全球重要的信息傳播工具?？萍颊撐?。據不完全統計，Internet現在遍及186個國家，容納近60萬個網絡，提供了包括600個大型聯網圖書館，400個聯網的學術文獻庫，2000種網上雜志，900種網上新聞報紙，50多萬個Web網站在內的多種服務，總共近100萬個信息源為世界各地的網民提供大量信息資源交流和共享的空間。信息的應用也從原來的軍事、科技、文化和商業滲透到當今社會的各個領域，在社會生產、生活中的作用日益顯著。傳播、共享和自增殖是信息的固有屬性，與此同時，又要求信息的傳播是可控的，共享是授權的，增殖是確認的。因此在任何情況下，信息的安全和可靠必須是保證的。

二、局域網的安全現狀

目前的局域網基本上都采用以廣播為技術基礎的以太網，任何兩個節點之間的通信數據包，不僅為這兩個節點的網卡所接收，也同時為處在同一以太網上的任何一個節點的網卡所截取?？萍颊撐摹Ｒ虼耍诳椭灰尤胍蕴W上的任一節點進行偵聽，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息，這就是以太網所固有的安全隱患。事實上，Internet上許多免費的黑客工具，如SATAN、ISS、NETCAT等等，都把以太網偵聽作為其最基本的手段。

三、局域網安全技術

1、采用防火墻技術。防火墻是建立在被保護網絡與不可信網絡之間的一道安全屏障，用于保護內部網絡和資源。它在內部和外部兩個網絡之間建立一個安全控制點，對進、出內部網絡的服務和訪問進行控制和審計。防火墻產品主要分為兩大類：

包過濾防火墻（也稱為網絡層防火墻）在網絡層提供較低級別的安全防護和控制。

應用級防火墻（也稱為應用防火墻）在最高的應用層提供高級別的安全防護和控制。

2、網絡分段。網絡分段通常被認為是控制網絡廣播風暴的一種基本手段，但其實也是保證網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽，網絡分段可分為物理分段和邏輯分段兩種方式。

目前，海關的局域網大多采用以交換機為中心、路由器為邊界的網絡格局，應重點挖掘中心交換機的訪問控制功能和三層交換功能，綜合應用物理分段與邏輯分段兩種方法，來實現對局域網的安全控制。例如：在海關系統中普遍使用的DECMultiSwitch900的入侵檢測功能，其實就是一種基于MAC地址的訪問控制，也就是上述的基于數據鏈路層的物理分段。

3、以交換式集線器代替共享式集線器。對局域網的中心交換機進行網絡分段后，以太網偵聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據通信時，兩臺機器之間的數據包（稱為單播包UnicastPacket）還是會被同一臺集線器上的其他用戶所偵聽。用戶TELNET到一臺主機上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符（包括用戶名、密碼等重要信息），都將被明文發送，這就給黑客提供了機會。因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法偵聽。

4、VLAN的劃分。運用VLAN（虛擬局域網）技術，將以太網通信變為點到點通信，防止大部分基于網絡偵聽的入侵。目前的VLAN技術主要有三種：基于交換機端口的VLAN、基于節點MAC地址的VLAN和基于應用協議的VLAN。基于端口的VLAN雖然稍欠靈活，但卻比較成熟，在實際應用中效果顯著，廣受歡迎?；贛AC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協議的VLAN，理論上非常理想，但實際應用卻尚不成熟。

在集中式網絡環境下，我們通常將中心的所有主機系統集中到一個VLAN里，在這個VLAN里不允許有任何用戶節點，從而較好地保護敏感的主機資源。在分布式網絡環境下，我們可以按機構或部門的設置來劃分VLAN。各部門內部的所有服務器和用戶節點都在各自的VLAN內，互不侵擾。VLAN內部的連接采用交換實現，而VLAN與VLAN之間的連接則采用路由實現。

5、隱患掃描。一個計算機網絡安全漏洞有它多方面的屬性，主要可以用以下幾個方面來概括：漏洞可能造成的直接威脅、漏洞的成因、漏洞的嚴重性和漏洞被利用的方式。漏洞檢測和入侵檢測系統是網絡安全系統的一個重要組成部分，它不但可以實現復雜煩瑣的信息系統安全管理，而且還可以從目標信息系統和網絡資源中采集信息，分析來自網絡外部和內部的入侵信號和網絡系統中的漏洞,有時還能實時地對攻擊做出反應。漏洞檢測就是對重要計算機信息系統進行檢查，發現其中可被黑客利用的漏洞。這種技術通常采用兩種策略，即被動式策略和主動式策略。被動式策略是基于主機的檢測，對系統中不合適的設置、脆弱的口令以及其他同安全規則相抵觸的對象進行檢查；而主動式策略是基于網絡的檢測，通過執行一些腳本文件對系統進行攻擊，并記錄它的反應，從而發現其中的漏洞。漏洞檢測的結果實際上就是系統安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。入侵檢測和漏洞檢測系統是防火墻的重要補充，并能有效地結合其他網絡安全產品的性能，對網絡安全進行全方位的保護?？萍颊撐摹?/p>

四、網絡安全制度

1、組織工作人員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》，提高工作人員的維護網絡安全的警惕性和自覺性。

2、負責對本網絡用戶進行安全教育和培訓，使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》，使他們具備基本的網絡安全知識。

3、實時監控網絡用戶的行為，保障網絡設備自身和網上信息的安全。

4、對已經發生的網絡破壞行為在最短的時間內做出響應，使損失減少到最低限度。

五、結束語

網絡的開放性決定了局域網安全的脆弱性，而網絡技術的不斷飛速發展，又給局域網的安全管理增加了技術上的不確定性，目前有效的安全技術可能很快就會過時，在黑客和病毒面前不堪一擊。因此，局域網的安全管理不僅要有切實有效的技術手段，嚴格的管理制度，更要有知識面廣，具有學習精神的管理人員。

參考文獻

[1]石志國,薛為民,尹浩.《計算機網絡安全教程》[M].北京:北方交通大學出版社,2007.

篇(5)

關鍵詞：VPN，多出口，校園網，遠程訪問，ISP

 

1.校園網問題分析及其解決方案的提出

虛擬專用網（VPN），是對企業內部網的擴展。它通過“隧道”技術、加密技術、認證技術和訪問控制等手段提供一種通過公用網絡（通常是因特網）安全地對單位內部專用網絡進行遠程訪問的連接方式。

近年來，隨著高校信息化建設工作的深入開展，校園網用戶對校園網的要求也越來越高，傳統的單一公網接入模式已經很難滿足日趨復雜的應用需求。大多數的教師習慣于利用家里的計算機上網查資料、寫論文。如果要去學校圖書館網站，或者是教育網內查資料，一般情況下是無法查找并下載的，因為學校圖書館的電子資源都做了訪問限制，普通Internet用戶也是不能訪問教育網的。在每年期末考試后，老師在線提交成績時，都要登錄學校內部“教務處”的網站在線提交，這時也只能到學校提交。

為此，校園網的建設可采用多ISP連接的網絡訪問模式：在原有的教育網出口的基礎上增加一個當地ISP（移動、聯通或電信寬帶ISP）出口，形成多ISP連接的校園網絡結構，并且需學校的網絡中心在學校組建VPN服務器，供教職工在校外使用校內資源。在組建VPN服務器時，使用當地ISP出口，為校外的教職工提供VPN接入服務，因為校外教職工大多使用當地ISP提供的ADSL寬帶業務。當校外職工使用VPN接入學校的VPN服務器后，就可以訪問校園網與教育網上的資源，這將為教職工提供很大的便利。

2.VPN關鍵技術研究

⑴隧道技術：隧道是指在公用網建立一條數據通道，讓數據包通過這條隧道傳輸。隧道技術可分別以第2層或第3層隧道協議為基礎。第2層隧道協議對應于OSI模型的數據鏈路層，使用幀作為數據交換單位。PPTP（點對點隧道協議）、L2TP（第二層隧道協議）和L2F（第2層轉發協議）都屬于第2層隧道協議，是將用戶數據封裝在點對點協議（PPP）幀中通過互聯網發送。第3層隧道協議對應于OSI模型的網絡層，使用包作為數據交換單位。MPLS、SSL以及IPSec隧道模式屬于第3層隧道協議，是將IP包封裝在附加的IP包頭中，通過IP網絡傳送。無論哪種隧道協議都是由傳輸的載體、不同的封裝格式以及用戶數據包組成的。它們的本質區別在于，用戶的數據包是被封裝在哪種數據包中在隧道中傳輸。

⑵安全技術：VPN安全技術主要包括加解密技術、密鑰管理技術、使用者與設備身份認證技術。加解密技術是數據通信中一項較成熟的技術，VPN可直接利用現有技術；密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取；使用者與設備身份認證技術最常用的是使用者名稱與密碼認證等方式。

3.基于VPN技術的多出口校園網的設計

3.1 網絡結構規劃

為了滿足可擴展性和適應性目標，網絡結構采用典型的層次化拓撲，即核心層、分布層、訪問層。核心層路由器用于優化網絡可用性和性能，主要承擔校園網的高速數據交換任務，同時要為各分布層節點提供最佳數據傳輸路徑；分布層交換機用于執行策略，分別連接圖書館、辦公樓、實驗樓以及各院系；接入層通過低端交換機和無線訪問節點連接用戶。畢業論文。網絡拓撲圖如圖1所示。

圖1 網絡拓撲圖

3.2 網絡工作原理

在該組網方案中，學校通過核心層路由器分別接入教育網與Internet，然后通過一硬件防火墻與分布層交換機連接，分布層交換機負責連接圖書館、辦公樓、實驗樓以及各院系的接入層設備，校園網內的終端計算機直接與接入層設備相連。終端計算機可直接使用教育網分配的IP地址。校園網內有一臺安裝了ISAServer2006的VPN服務器，給其分配一個教育網IP地址（假設Ip：202.102.134.100，網關地址202.102.134.68），在防火墻中將一個公網地址（假設為222.206.176.12）映射到該地址。VPN服務器可通過“防火墻”與“核心層路由器”訪問Internet與教育網，Internet上的用戶，可以通過“Internet上的VPN客戶端—>Internet網絡—>核心層路由器—>防火墻—>分布層交換機—>ISA Server2006VPN服務器”的路線連接到VPN服務器，之后，ISAServer2006 VPN服務器通過防火墻和核心層路由器訪問教育網，并且ISA Server2006 VPN服務器通過分布層交換機提供了到學校內網的訪問。

3.3 技術要點

⑴防火墻內網地址問題。如果防火墻是透明模式接入，各個網口是不需要地址的。若防火墻是假透明，就需要給防火墻的每個網口配置同一個網段的IP。如果是路由模式，需要給防火墻的每個網口配置不同網段的IP，就象路由器一樣?，F在有一些防火墻已經有所謂的混合模式，也就是透明和路由同時工作，這屬于路由模式的擴展。畢業論文。

⑵VPN服務器的注意事項。ISA Server2006VPN服務器要求至少有“兩塊網卡”才能做VPN服務器，若服務器上只有一塊網卡，需為其安裝一塊“虛擬網卡”。另外，VPN服務器不一定要直接連接在分布層交換機上，也可以是圖書館、辦公樓、實驗樓以及各院系的一臺服務器，只要映射一個公網地址即可。

⑶設定ISA Server2006接受VPN呼叫。VPN 可通過默認設置的動態主機配置協議（Dynamic Host Configuration Protocol，DHCP）或者通過使用路由選擇和遠程訪問控制臺分配的一組地址來分配地址。如果選擇了DHCP，VPN客戶端永遠不會同DHCP服務器進行直接通信，運行ISA Server2006的VPN服務器將分配從DHCP服務器所獲得的地址；它將基于運行ISA Server2006的VPN 服務器的內部接口配置來分配名稱服務器地址。如果擁有多個內部接口，運行ISA Server的VPN 服務器將選擇其中之一。

⑷VPN客戶端地址的分配。在給VPN客戶端分配IP地址時，在為VPN客戶端分配IP地址的時候，要保證所分配的地址不能與VPN服務器本身以及VPN服務器所屬內網、公網的地址沖突，否則VPN客戶端在訪問內網時，會造成尋址問題而不能訪問。畢業論文。為了避免出現問題，直接分配私網的IP地址即可，比如192.168.14.0/24網段。另外，校園網外的教職工，在撥叫VPN服務器時，應是防火墻映射的地址，本文中即222.206.176.12。

4.結束語

多出口是目前許多高校組建校園網時所采取的方式，多出口解決了教育網與Internet之間的出口速度很慢的問題，將VPN技術應用到具有多出口的高校校園網，可以讓校外Internet用戶更容易、更方便的獲得對教育網、校園網數字資源的使用權。

參考文獻

[1]曹利峰,杜學繪,陳性元.一種新的IPsecVPN的實現方式研究[J].計算機應用與軟件,2008,07

[2]賈毅峰.雙出口校園網中策略路由的應用[J].銅仁學院學報,2009,11

[3]吳建國,王鐵,許興華.校園網雙(多)出口的基本解決策略和方法[J].云南師范大學學報,2010.01

[4]何勝輝.多出口校園網體系結構分析設計.網絡通訊及安全,2008.02

篇(6)

【關鍵詞】計算機網絡；信息安全；防火墻；安全技術

隨著計算機互聯網技術的飛速發展，網絡信息化在給人們帶來種種物質和文化享受的同時，我們也正受到日益嚴重的來自網絡的安全威脅。盡管我們已經廣泛地使用各種復雜的安全技術，但是，仍然有很多黑客的非法入侵，對社會造成了嚴重的危害。針對各種來自網絡的安全威脅，怎樣才能確保網絡信息的安全性。本文通過對網絡安全存在的威脅進行分析，總結出威脅網絡安全的幾種典型表現形式，進而歸納出常用的網絡安全的防范措施。

一、計算機網絡安全存在的隱患

眾所周知，Internet是開放的，即使在使用了現有的安全工具和機制的情況下，網絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點：

1.每一種安全機制都有一定的應用范圍和應用

防火墻是一種有效的安全工具，它可以隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問，防火墻往往是無能為力的。因此，對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為，防火墻是很難發覺和防范的。

2.安全工具的使用往往受到人為因素的影響

一個安全工具能不能實現效果，在很大程度上取決于使用者，包括系統管理者和普通用戶，不正當的設置就會產生不安全因素。比如操作員安全配置不當造成系統存在安全漏洞，用戶安全意識不強，口令選擇不慎，將自己的帳號隨意轉借他人或與別人共享等都會給網絡安全帶來威脅。

3.系統的后門和木馬程序

從最早計算機被入侵開始，黑客們就已經發展了“后門”技術，利用后門技術，他們可以再次進入系統。后門的功能主要有：使管理員無法阻止；種植者再次進入系統；使種植者在系統中不易被發現；使種植者進入系統花費最少的時間。木馬，又稱特洛伊木馬，是一類特殊的后門程序，它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點。

4.只要有程序，就可能存在BUG

任何一款軟件都或多或少存在漏洞，甚至連安全工具本身也可能存在安全的漏洞。這些缺陷和漏洞恰恰就是黑客進行攻擊的首選目標。幾乎每天都有新的BUG被發現和公布出來，程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。

二、計算機網絡安全的防護策略

盡管計算機網絡信息安全受到威脅，但是采取恰當的防護措施也能有效的保護網絡信息的安全。本文總結了以下幾種方法并加以說明以確保在策略上保護網絡信息的安全：

1.防火墻技術

防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全策略控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。

2.數據加密

采用網絡加密技術，對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題，也可解決遠程用戶訪問內網的安全問題。主要存在兩種主要的加密類型：私匙加密和公匙加密。

3.虛擬專用網（VPN）技術

虛擬專用網（VPN）技術利用現有的不安全的公共網絡建立安全方便的企業專業通信網絡，使數據通過安全的“加密管道”在公共網絡中，是目前解決信息安全問題的一個最新、最成功的技術課題之一。在公共網絡上構建VPN有兩種主流的機制，這兩種機制為路由過濾技術和隧道技術。VPN有幾種分類方法，如按接入方式分成專線VPN和撥號VPN；按隧道協議可分為第二層和第三層的；按發起方式可分成客戶發起的和服務器發起的。由于VPN技術可擴展性強，建立方便，具有高度的安全性，簡化了網絡技術和管理，使費用降到最低，因而，逐漸成為通用的技術。

4.入侵檢測系統

入侵檢測技術是為保證系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測中違反安全策略行為的技術。它是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。入侵檢測從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。

隨著計算機技術和網絡技術已深入到社會各個領域，人類社會各種活動對計算機網絡的依賴程度已經越來越大。因此只有嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才才能完好、實時地保證信息的完整性和確證性，為網絡提供強大的安全服務。本論文從多方面描述了網絡安全的防護策略，比如防火墻，認證，加密技術等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網絡安全問題的解決，可以使讀者有對網絡安全技術的更深刻的了解。

參考文獻：

[1]楊義先.網絡安全理論與技術[M].北京：人民郵電出版社，2003

篇(7)

關鍵詞：Internet 防火墻系統 設計

一、引言

隨著Internet的不斷發展和廣泛普及，計算機網絡的共享性、開放性和互聯程度也正在得到不斷的擴大，一系列的網絡新業務也正在逐漸出現，主要包括數字貨幣、電子政務、電子商務、網上購物、網上銀行等等，網絡安全問題也變得愈加值得重視。處理網絡安全問題的一個非常關鍵的途徑就是在內部網和外部網之間進行防火墻的設置，所以，研究防火墻技術顯得尤為重要。

二、Internet和網絡安全問題概述

Internet在剛開始出現的時候是由大學和科研機構應用的，后來逐漸進入到社會的各個行業之中。在當今的信息化時代，Internet已經和人們的日常生活緊密的聯系起來，同時，海量的機密信息也正在通過Internet進行傳送，在這一大背景下，也出現了許多和Internet相關的網絡安全問題。主要包括以下幾個方面：

第一，企業不具備較強的網絡安全意識。目前企業局域網內部利用的計算機操作系統仍然具備許多不安全的因素，許多高風險的網絡服務對外開放，但是并未采取相對完善的網絡安全防范方法，從而導致企業的大部分主機面臨著潛在的網絡安全威脅，為不法侵害人員提供了方便的入口。

第二，網絡黑客越來越多。在Internet得到廣泛使用的背景下，網絡黑客也隨之出現，網絡黑客已經在國際范圍內廣泛分布，他們的入侵方式也正在變得更加高明。黑客能夠使用在Internet上的眾多攻擊網絡和系統安全漏洞的小程序實現對于網絡的攻擊，也能夠通過眾多的專門的黑客站點實現對于網絡的攻擊。

第三，內部攻擊值得關注。在網絡安全問題中，內部攻擊問題占據著非常巨大的比例，內部攻擊者對于網絡系統的有用信息比外部攻擊者更加掌握，能夠更加方便地進行攻擊，從而會帶來更加嚴重的攻擊后果。然而，網絡管理人員通常會忽視這些內部攻擊。

三、Internet防火墻系統的總體結構

Internet防火墻系統的總體結構包括兩個包過濾路由器和一個堡壘主機，由于這種系統支持應用層和網絡層的安全功能，因此，這是一種非常安全的防火墻系統。Internet防火墻系統的堡壘主機中包括WWW、Email、FTP服務器、日志系統、身份認證系統、加密系統。同時，堡壘主機位于外部網和內部網之間。具體來說，Internet防火墻系統的總體結構如下所述。

第一，Internet防火墻系統的第一道防線就是包過濾路由器，這一路由器預先檢查進入內部網的通信。同時，包過濾路由器利用包過濾規則來實現數據包的轉發或丟棄。包過濾路由器的包過濾規則為：內部網絡上的主機對于外部網絡可以實現直接訪問，而外部網絡上的主機只能夠限制性的訪問內部網絡的主機，同時，必須對于源路由選項的數據包和假冒緩沖區內主機地址的數據包進行阻塞設置。

第二，緩沖區（DMZ），這是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內。

第三，堡壘主機，這是在內部網和緩沖區之間所設置的網關，內部網和緩沖區之間的所有通信都一定要通過堡壘主機。保證堡壘主機的安全運轉可以為Internet和內部網之間的信息交換打下堅實的基礎。

第四，堡壘主機連接緩沖區的網卡，為這塊網卡配置的IP地址必須和緩沖區內主機的IP地址存在著一致的子網掩碼，也就是說，必須保證它們位于相同的子網之中。

第五，堡壘主機連接內部網的網卡，為這塊網卡配置的IP地址必須和內部網主機的IP地址存在著一致的子網掩碼，也就是說，必須保證它們位于相同的子網之中。

四、Internet防火墻系統的特點

Internet防火墻系統有利于解決網絡安全問題，它的特點如下所述。

第一，非法入侵者為了能入侵內部網一定要突破三個不同的設備，也就是外部路由器、堡壘主機、內部路由器。

第二，因為外部路由器僅僅將堡壘主機的存在通告給外部網，所以，能夠確保內部網對外是“不可見”的，與此同時，必須是緩沖區網絡上選定的系統才可以向外部網開放。

第三，因為堡壘主機的存在，內部網用戶為了實現和外界之間的通信，必須借助于堡壘主機上的系統。

五、結束語

綜上所述，本文進行了關于Internet防火墻系統的設計的研究。但是，僅僅依靠防火墻技術來保障網絡安全是遠遠不夠的，還必須通過一些其它技術和非技術的因素來進行網絡安全的保障，例如，還必須進一步應用信息加密技術、設定適當的網絡安全法律法規、增強網絡管理使用人員的安全意識等等。希望通過本文的研究，能夠為Internet時代的網絡安全問題的解決提供一定的借鑒。

參考文獻：

[1] 林曉東，楊義先，馬嚴，王仲文. Internet防火墻系統的設計與實現[J]. 通信學報，1998，(01) .

[2] 陳關勝. 防火墻技術現狀與發展趨勢研究[A]. 信息化、工業化融合與服務創新――第十三屆計算機模擬與信息技術學術會議論文集[C]，2011

[3] 賈志高，周以琳. 基于防火墻和網絡入侵檢測技術的網絡安全研究與設計[J]. 甘肅科技，2009，(18)

[4] 余志高，周國祥. 入侵檢測與防火墻協同應用模型的研究與設計[J]. 網絡安全技術與應用，2010，(03) .