计算机网络安全管理论文洪宇涛

1、摘要摘要计算机网络飞速开展的同时，平安问题不容无视。网络平安经过了二十多年的开展，已经开展成为一个跨多门学科的综合性科学，它包括：通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络平安与计算机平安技术等。在理论上，网络平安是建立在密码学以及网络平安协议的根底上的。密码学是网络安全的核心，利用密码技术对信息进展加密传输、加密存储、数据完整性鉴别、用户身份鉴别等，比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法那么，它规定了明文和密文之间的变换方法。由于加密算法的公开化和解密技术的开展，加上发达国家对关键加密算法的出口限制，各个国家正不断致力于开发和设计新的加密算法和加

2、密机制。从技术上，网络平安取决于两个方面：网络设备的硬件和软件。网络平安那么由网络设备的软件和硬件互相配合来实现的。但是，由于网络平安作为网络对其上的信息提供的一种增值效劳，人们往往发现软件的处理速度成为网络的瓶颈，因此，将网络平安的密码算法和平安协议用硬件实现，实现线速的平安处理仍然将是网络平安开展的一个主要方向。在平安技术不断开展的同时，全面加强平安技术的应用也是网络平安开展的一个重要内容。因为即使有了网络平安的理论根底，没有对网络平安的深刻认识、没有广泛地将它应用于网络中，那么谈再多的网络平安也是无用的。同时，网络平安不仅仅是防火墙，也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的

3、简单堆砌，而是包括从系统到应用、从设备到效劳的比拟完整的、体系性的平安系列产品的有机结合。总之，网络在今后的开展过程中不再仅仅是一个工具，也不再是一个遥不可及仅供少数人使用的技术专利，它将成为一种文化、一种生活融入到社会的各个领域。关键词：计算机；网络；平安；防XI摘要IIABSTRACTAtthesametimetherapiddevelopmentofcomputernetworksecurityissuescannotbeignored.NetworkSecurityAftertwentyyearsofdevelopment,hasdevelopedintoanintegratedacr

4、ossmultiplescientificdisciplines,whichinclude:communicationtechnology,networktechnology,computersoftwareandhardwaredesigntechnology,cryptography,networksecurityandcomputersecuritytechnology.Intheory,thenetworksecurityisbasedoncryptographyandnetworksecurityprotocolson.Cryptographyisthecoreofnetworkse

5、curity,theuseofcryptographytoencrypttheinformationtransmitted,encryptedstorage,dataintegrity,identification,userauthentication,etc.,simpleaccessthanthetraditionalsenseofcontrolandauthorizationtechnologyismorereliable.Encryptionalgorithmsaresomeformulasandrules,whichdefinesthetransformationmethodbetw

6、eenplaintextandciphertext.Sincethedevelopmentofpublicencryptionalgorithmanddecryptiontechnology,coupledwithexportrestrictionsonkeyencryptionalgorithmdevelopedcountries,eachcountryisconstantlycommittedtothedevelopmentanddesignofnewencryptionalgorithmsandencryptionmechanisms.Technically,networksecurit

7、ydependsontwoaspects:networkequipmenthardwareandsoftware.Networksecurityfromnetworkequipmenthardwareandsoftwareco-ordinatedtoachieve.However,duetonetworksecurityasavalue-addedservicetoprovideinformationonitsnetwork,peopleoftenfindtheprocessingspeedofthesoftwarebecomethebottleneckofthenetwork,andther

8、efore,thenetworksecurityofcryptographicalgorithmsandsecurityprotocolsimplementedinhardwaretoachievewire-speedsafehandlingwillstillbeamaindirectionofdevelopmentofnetworksecurity.Whileevolvingsecuritytechnologies,strengthenapplicationsecuritytechnologyisanimportantpartofthedevelopmentofnetworksecurity

9、.Becauseevenwiththetheoreticalfoundationofnetworksecurity,thereisnodeepunderstandingofnetworksecurity,thereisnowidelyapplyittothenetwork,thennoamountoftalkaboutnetworksecurityisuseless.Meanwhile,thenetworksecurityisnotjustafirewall,norisitasimpleanti-virus,intrusiondetection,firewall,authentication,

10、encryption,andotherproductspilingup,butincludesfromthesystemtotheapplication,fromequipmenttoservicemorecomplete,systematicsafetycombinefamilyofproducts.Inshort,thenetworkinthefuturedevelopmentprocessisnolongerjustatool,itisnolongeradistantonlyafewpeopleusetechnologypatents,itwillbecomeaculture,awayo

11、flifeintoallIIareasofsociety.Keywords:ComputerNetworkSecurityGuardIII目录目录第1章绪论.11.1计算机网络开展前景.11.2本章小结.3第2章计算机网络平安概述.22.1计算机网络平安的概念.22.2计算机网络平安现状.22.3本章小结.3第3章网络平安的威胁因素.13.1网络平安的威胁因素.13.2本章小结.1第4章几种常用的网络平安技术.24.1防火墙技术.24.1.1防火墙的主要功能.24.1.2防火墙的主要优点.24.1.3防火墙的主要缺陷.34.1.4防火墙的分类.34.1.5防火墙的部署.44.2数据加密技术.5

12、4.3系统容灾技术.54.4入侵检测技术.64.4.1入侵检测系统的分类.64.4.2目前入侵检测系统的缺陷.7I目录4.4.3防火墙与入侵检测系统的相互联动.74.4.4结语.84.5漏洞扫描技术.84.6物理平安.84.7本章小结.9第5章完毕语与展望.25.1论文总结.25.2工作展望.2致谢.2参考文献.2II第1章绪论1.1计算机网络开展前景未来将是一个网络无处不在的世界，任何东西都可以进展网络互联，我们可以在我们能够到达的任何地方对我们想要了解的任何东西进展搜索和远程控制。这是一个总体的宏伟设想。未来网络通信的带宽将会是我们现在想象不到的，未来上网应该是不受时间、带宽等限制的。我们

13、可以随心所欲，但不能为所欲为，那时候的控制机制应该更合理，更强大。反正就是以我们现在的思维无法想象的到的。举个简单的例子：就像几十年前计算机是一种很昂贵的东西，当时的IBM老总曾预言过未来的世界有几台、十几台计算机就不错了，而开展到现在呢？好多人都有好几台个人计算机，而性能远远超过了那些古董级的计算机。我认为未来网络开展的主要方向应该是向着以下几个方向开展：1.网络无处不在，任何东西都要连入互联网，那时估计也没有太多的网络终端，只需要几种集成的网络终端即可，将各种功能集成到同一台网络终端上面，我们可以随时随地的无缝的接入互联网。2.带宽本钱大大降低，上网将会是非常非常廉价的。但是网速就快的是我

14、们无法想象的。3.平安问题一直是网络的非常值得重视的问题，那时网络的平安性应该是可以做出保证的。4.近期网络的开展应该还是以无线网络为重点，各种可移动终端将会在未来几年，甚至十几年内红极一时。各种更方便，更可靠的效劳也会应运而生。无线上网的带宽会逐渐上去的，今年是第三代网络(3G)开场高速开展的第一年，以后还会有4G、5G.NG。如果未来的某一天IPV6技术成熟了，我们使用的任何接入互联网的终端设备都可以分配到一个IP地址，访问该会是多么方便啊。总之我是对未来网络开展充满了期待，我相信明天的网络会更好，好到以我们现在的思维无法想象的到！计算机网络就是计算机之间通过连接介质(如网络线、光纤等)互

15、联起来，按照网络协议进展数据通信，实现资源共享的一种组织形式。计算机网络是二十世纪60年代起源于美国，原本用于军事通讯，后逐渐进入民用，经过短短40年不断的开展和完善，现已广泛应用于各个领域，并正以高速向前迈进。在不久的将来，我们将看到一个充满虚拟性的新时代。在这个虚拟时代，人们的工作和生活方式都会极大地改变，那时我们将进展虚拟旅行，读虚拟大学，在虚拟办公室里工作，进展虚拟的驾车测试等。对计算机网络开展的前景，我有如下看法：1全球因特网装置之间的通信量将超过人与人之间的通信量。因特网将从一个单纯的大型数据中心开展成为一个更加聪明的高智商网络，将成为人与信息之间的高层调节者。其中的个人复制功能将

16、不断预期人们的信息需求和喜好，用户将通过复制功能筛选，过滤掉与己无关的信息并将所需信息以最正确格式展现出来。同时，个人及企业将获得大量个性化效劳。这些效劳将会由软件设计人员在一个开放的平台中实现。由软件驱动的智能网技术和无线技术将使网络触角伸向人们所能到达的任何角落，同时允许人们自行选择接收信息的形式。2带宽的本钱将变得非常低廉，甚至可以忽略不计。随着带宽瓶颈的突破，未来网络的收费将来自效劳而不是带宽。交互性的效劳，如节目联网的视频游戏、电子报纸和杂志等效劳将会成为未来网络价值的主体。3在不久的未来，无线网络将更加普及，其中cnet:短距无线网络前景看俏。短距无线通讯标准Zigbee与超宽频U

17、WBUltrawideband即将制订完成，未来将与蓝芽Bluetooth共同建构短距离无线网络环境，包括蓝芽、Zigbee与UWB等相关产品出货量都将大幅成长。随着电子电机工程师协会IEEE推出802.15个人局域网络WPAN标准后，新一代的短距离无线通讯开展趋势逐渐确定，除了蓝芽802.15.1外，Zigbee802.15.4与UWB802.15.3a标准也将于今年或明年初陆续通过，未来Zigbee与UWB将以各自不同特性，如速度、价格等切入短距离无线网络环境。4计算机网络飞速开展的同时，平安问题不容无视。网络平安经过了二十多年的发展，已经开展成为一个跨多门学科的综合性科学，它包括：通信技

18、术、网络技术、计算机软件、硬件设计技术、密码学、网络平安与计算机平安技术等。5在理论上，网络平安是建立在密码学以及网络平安协议的根底上的。密码学是网络平安的核心，利用密码技术对信息进展加密传输、加密存储、数据完整性鉴别、用户身份鉴别等，比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法那么，它规定了明文和密文之间的变换方法。由于加密算法的公开化和解密技术的开展，加上兴旺国家对关键加密算法的出口限制，各个国家正不断致力于开发和设计新的加密算法和加密机制。6从技术上，网络平安取决于两个方面：网络设备的硬件和软件。网络平安那么由网络设备的软件和硬件互相配合来实现的。但是，由于网络平

19、安作为网络对其上的信息提供的一种增值效劳，人们往往发现软件的处理速度成为网络的瓶颈，因此，将网络平安的密码算法和平安协议用硬件实现，实现线速的平安处理仍然将是网络平安开展的一个主要方向。7在平安技术不断开展的同时，全面加强平安技术的应用也是网络平安开展的一个重要内容。因为即使有了网络平安的理论根底，没有对网络平安的深刻认识、没有广泛地将它应用于网络中，那么谈再多的网络平安也是无用的。同时，网络平安不仅仅是防火墙，也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌，而是包括从系统到应用、从设备到效劳的比拟完整的、体系性的平安系列产品的有机结合。总之，网络在今后的开展过程中不再仅仅是一

20、个工具，也不再是一个遥不可及仅供少数人使用的技术专利，它将成为一种文化、一种生活融入到社会的各个领域。1.2本章小结网络平安性问题关系到未来网络应用的深入开展，它涉及平安策略、移动代码、指令保护、密码学、操作系统、软件工程和网络平安管理等内容。一般专用的内部网与公用的互联网的隔离主要使用“防火墙技术。计算机网络经过40多年不断开展和完善，现在正以高速的开展方向迈进。全球的因特网装置之间的通信量将超过人与人之间的通信量，因特网将从一个单纯的大型数据中心开展成为一个高智商网络，将成为人与信息之间的高层调节者。带宽的本钱将会变得非常低，甚至忽略不计。在不久的将来，无线网络将更加普及，尤其短距无线网络

21、的前景更大。在计算机网络飞速开展的同时，网络平安问题也更加突出，因此各国正不断致力于开发和设计新的加密算法加密机制，加强平安技术的应用也是网络开展的一个重要内容。总之，计算机网络在今后的开展中X围更广、潜力更大，将会融入到社会各个领域。第2章计算机网络平安概述2.1计算机网络平安的概念国际标准化组织将“计算机平安定义为：“为数据处理系统建立和采取的技术和管理的平安保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。上述计算机平安的定义包含物理平安和逻辑平安两方面的内容，其逻辑平安的内容可理解为我们常说的信息平安，是指对信息的XX性、完整性和可用性的保护，而网络安全性的含义

22、是信息平安的引申，即网络平安是对网络信息XX性、完整性和可用性的保护。计算机网络平安的具体含义会随着使用者的变化而变化，使用者不同，对网络平安的认识和要求也就不同。从普通使用者的角度来说，可能仅仅希望个人隐私或XX信息在网络上传输时受到保护，防止被窃听、篡改和伪造；而网络提供商除了关心这些网络信息平安外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络平安包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络平安既有技术方面的问题，也有管理方面的问题，两方面

23、相互补充，缺一不可。人为的网络入侵和攻击行为使得网络平安面临新的挑战。2.2计算机网络平安现状计算机网络平安是指网络系统的硬、软件及系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络效劳不中断。计算机和网络技术具有的复杂性和多样性，使得计算机和网络平安成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类，而且许多攻击都是致命的。在Internet网络上，因互联网本身没有时空和地域的限制，每当有一种新的攻击手段产生，就能在一周内传遍全世界，这些攻击手段利用网络和系统漏洞进展攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(Bac

24、k-doors)、Rootkits、DOS(DenialofServices)和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都表达了它们惊人的威力，时至今日，有愈演愈烈之势。这几类攻击手段的新变种，与以前出现的攻击方法相比，更加智能化，攻击目标直指互联网根底协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新，向用户的信息平安防X能力不断发起挑战。系统平安运行系统平安即保证信息处理和传输系统的平安。它侧重于保证系统正常运行。防止因为系统的崩演和损坏而对系统存储、处理和传输的消息造成破坏和损失。防止由于电磁泄翻，产生信息泄露，

25、干扰他人或受他人干扰。网络的平安网络上系统信息的平安。包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，平安审计。平安问题跟踩。计算机病毒防治，数据加密等。信息传播平安网络上信息传播平安，即信息传播后果的平安，包括信息过滤等。它侧重于防止和控制由非法、有害的信息进展传播所产生的后果，防止公用网络上大云自由传翰的信息失控。信息内容平安网络上信息内容的平安。它侧重于保护信息的XX性、真实性和完整性。防止攻击者利用系统的平安漏润进展窃听、冒充、诈编等有损于合法用户的行为。其本质是保护用户的利益和隐私。2.3本章小结本章主要介绍了计算机网络平安的概念及概念所包含的内容，以及各内容的具体含义。

26、计算机网络平安的具体含义会因使用者的不同而变化，不同的使用者，对计算机网络的认识和要求也不同。计算机和网络技术具有的复杂性和多样性，使计算机网络平安成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了病毒的种类，而且许多攻击都是致命的。由于互联网本身的性质没有失控和地域的限制，每种新攻击手段在一周内传遍全世界，这些攻击手段利用网络和系统漏洞进展攻击导致计算机网络及系统瘫痪。变种新出现的攻击方法更具智能化，攻击目标直接指向互联网根底协议和操作系统层次，而且黑客手段不断升级翻新，因此，计算机网络平安面临更大挑战。第3章网络平安的威胁因素3.1网络平安的威胁因素归纳起来，针对网络平安的威胁主

27、要有:软件漏洞、配置不当、平安意识不强、病毒、黑客攻击等。1软件漏洞：每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地，一旦连接入网，将成为众矢之的。2配置不当:平安配置不当造成平安漏洞，例如，防火墙软件的配置不正确，那么它根本不起作用。对特定的网络应用程序，当它启动时，就翻开了一系列的平安缺口，许多与该软件捆绑在一起的应用软件也会被启用。除非用户制止该程序或对其进展正确配置，否那么，平安隐患始终存在。3平安意识不强:用户口令选择不慎，或将自己的XX随意转借他人或与别人共享等都会对网络平安带来威胁。4病毒:目前数据平安的头号大敌是计算机病毒，它是编制者在

28、计算机程序中插入的破坏计算机功能或数据，影响计算机软件、硬件的正常运行并且能够自主复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此，提高对病毒的防X刻不容缓。5黑客攻击:对于计算机数据平安构成威胁的另一个方面是来自电脑黑客(backer)。电脑黑客利用系统中的平安漏洞非法进入他人计算机系统，其危害性非常大。从某种意义上讲，黑客对信息平安的危害甚至比一般的电脑病毒更为严重。6影响归纳自然灾害、意外事故；计算机犯罪；人为行为，比方使用不当，平安意识差等；黑客行为：由于黑客的入侵或侵扰，比方非法访问、拒绝效劳计算机病毒、非法连接等；内部泄密；外部泄密；

29、信息丧失；电子谍报，比方信息流量分析、信息窃取等；网络协议中的缺陷，例如TCP/IP协议的平安问题等等。网络平安威胁主要包括两类：渗入威胁和植入威胁。渗入威胁主要有：假冒、旁路控制、授权侵犯；植入威胁主要有：特洛伊木马、陷门。陷门：将某一“特征设立于某个系统或系统部件之中，使得在提供特定的输入数据时，允许平安策略被违反。目前我国网络平安存在几大隐患：影响网络平安性的因素主要有以下几个方面。7网络构造因素网络根本拓扑构造有3种：星型、总线型和环型。一个单位在建立自己的内部网之前，各部门可能已建造了自己的局域网，所采用的拓扑构造也可能完全不同。在建造内部网时，为了实现异构网络间信息的通信，往往要牺

30、牲一些平安机制的设置和实现，从而提出更高的网络开放性要求。8网络协议因素在建造内部网时，用户为了节省开支，必然会保护原有的网络根底设施。另外，网络公司为生存的需要，对网络协议的兼容性要求越来越高，使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商带来利益的同时，也带来了平安隐患。如在一种协议下传送的有害程序能很快传遍整个网络。地域因素由于内部网Intranet既可以是LAN也可能是WAN(内部网指的是它不是一个公用网络，而是一个专用网络)，网络往往跨越城际，甚至国际。地理位置复杂，通信线路质量难以保证，这会造成信息在传输过程中的损坏和丧失，也给一些“黑客造成可乘之机。9用户因素企业建造自

31、己的内部网是为了加快信息交流，更好地适应市场需求。建立之后，用户的X围必将从企业员工扩大到客户和想了解企业情况的人。用户的增加，也给网络的平安性带来了威胁，因为这里可能就有商业间谍或“黑客。10主机因素建立内部网时，使原来的各局域网、单机互联，增加了主机的种类，如工作站、效劳器，甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽一样，某个操作系统出现漏洞(如某些系统有一个或几个没有口令的账户)，就可能造成整个网络的大隐患。11单位平安政策实践证明，80%的平安问题是由网络内部引起的，因此，单位对自己内部网的平安性要有高度的重视，必须制订出一套平安管理的规章制度。12人员因素人的因

32、素是平安问题的薄弱环节。要对用户进展必要的平安教育，选择有较高职业道德修养的人做网络管理员，制订出具体措施，提高平安意识。13其他其他因素如自然灾害等，也是影响网络平安的因素3.2本章小结目前，针对网络平安的威胁因素归纳为以下几点：软件漏洞、配置不当、平安意识不强、病毒、黑客攻击、由于用户的操作不当等。软件漏洞是每一个系统或网络软件不可避免的，平安漏洞是由于平安配置不当而造成。用户口令选择不慎或将自己的账号随意转借他人或与他人共享带来网络平安问题，这是由于平安意识不强；病毒已成为数据平安的头号大敌，而且其具有传染性、寄生性、隐蔽性、触发性、破坏性等特点；威胁计算机数据平安的另一方面来自电脑黑客

33、，其危害性非常大，尤其在信息平安方面危害甚至比一般电脑病毒更为严重。第4章几种常用的网络平安技术4.1防火墙技术网络平安所说的防火墙(FireWall)是指内部网和外部网之间的平安防X系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访，用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet外部网的传输信息或从内部网发出的信息都必须穿过防火墙。4.1.1防火墙的主要功能防火墙的主要功能包括：1防火墙可以对流经它的网络通信进展扫描，从而过滤掉一些攻击，以免其在目标计算机上被执行。2防火墙可以关闭不使用的端口，而且它还能制止特定端口的输出信息。3

34、防火墙可以制止来自特殊站点的访问，从而可以防止来自不明入侵者的所有通信，过滤掉不平安的效劳和控制非法用户对网络的访问。4防火墙可以控制网络内部人员对Internet上特殊站点的访问。5防火墙提供了监视Internet平安和预警的方便端点。4.1.2防火墙的主要优点防火墙的主要优点包括:1可作为网络平安策略的焦点防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来，将承当风险的X围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在构造上形成了一个控制中心，极大地加强了网络平安，并简化了网络管理。2可以有效记录网络活动由于防火

35、墙处于内网与外网之间，即所有传输的信息都会穿过防火墙。所以，防火墙很适合收集和记录关于系统和网络使用的多种信息，提供监视、管理与审计网络的使用和预警功能。3为解决IP地址危机提供了可行方案由于Internet的日益开展及IP地址空间有限，使得用户无法获得足够的注册IP地址。防火墙那么处于设置网络地址转换NAT的最正确位置。NAT有助于缓和IP地址空间的不足。4.1.3防火墙的主要缺陷由于互联网的开放性，防火墙也有一些弱点，使它不能完全保护网络不受攻击。防火墙的主要缺陷有：1防火墙对绕过它的攻击行为无能为力。2防火墙无法防X病毒，不能防止感染了病毒的软件或文件的传输，对于病毒只能安装反病毒软件。

36、3防火墙需要有特殊的较为封闭的网络拓扑构造来支持。网络平安性的提高往往是以牺牲网络效劳的灵活性、多样性和开放性为代价。4.1.4防火墙的分类防火墙的实现从层次上大体可分为三类：包过滤防火墙，代理防火墙和复合型防火墙。1包过滤防火墙包过滤防火墙是在IP层实现，它可以只用路由器来实现。包过滤防火墙根据报文的源IP地址，目的IP地址、源端口、目的端口和报文传递方向等报头信息来判断是否允许有报文通过。包过滤路由器的最大优点是：对用户来说是透明的，即不需要用户名和密码来登陆。包过滤路由器的弊端是明显的，由于它通常没有用户的使用记录，我们不能从访问中发现黑客的攻击记录。它还有一个致命的弱点，就是不能在用户

37、级别上进展过滤，即不能识别用户与防止IP地址的盗用。如果攻击者将自己的主机设置为一个合法主机的IP地址，那么很容易地通过包过滤防火墙。2代理防火墙代理防火墙也叫应用层网关防火墙，包过滤防火墙可以按照IP地址来制止未授权者的访问。但它不适合单位用来控制内部人员访问外部网络，对于这样的企业，应用代理防火墙是更好的选择。代理效劳是设置在Internet防火墙网关上的应用，是在网管员允许下或拒绝的特定的应用程序或者特定效劳，一般情况下可应用于特定的互联网效劳，如超文本传输、远程文件传输等。同时还可应用于实施较强的数据流监控、过滤、记录和报告等功能。应用层网关包括应用代理效劳器、回路级代理效劳器、代管效

38、劳器、IP通道、网络地址转换器、隔离域名效劳器和技术等。3复合型防火墙复合型防火墙是将数据包过滤和代理效劳结合在一起使用，从而实现了网络平安性、性能和透明度的优势互补。随着技术的开展，防火墙产品还在不断完善、开展。目前出现的新技术类型主要有以下几种：状态监视技术、平安操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理效劳技术和一些新技术是未来防火墙的趋势。4.1.5防火墙的部署防火墙是网络平安的关口设备，只有在关键网络流量通过防火墙的时候，防火墙才能对此实行检查，防护功能。1防火墙的位置一般是内网与外网的接合处，用来阻止来自外部网络的入侵。2如果内部网络规模较大，并且设

39、置虚拟局域网VLAN，那么应该在各个VLAN之间设置防火墙。3通过公网连接的总部与各分支机构之间应该设置防火墙。4主干交换机至效劳器区域工作组交换机的骨干链路上。5远程拨号效劳器与骨干交换机或路由器之间。总之，在网络拓扑上，防火墙应当处在网络的出口与不同平安等级区域的结合处。安装防火墙的原那么是：只要有恶意侵入的可能，无论是内部网还是外部网的连接处都应安装防火墙。防火墙技术是指网络之间通过预定义的平安策略，对内外网通信强制实施访问控制的平安应用措施。它对两个或多个网络之间传输的数据包按照一定的平安策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。由于它简单实用且透明度高，可以

40、在不修改原有网络应用系统的情况下，到达一定的平安要求，所以被广泛使用。据预测近5年世界防火墙需求的年增长率将到达174%。目前，市场上防火墙产品很多，一些厂商还把防火墙技术并入其硬件产品中，即在其硬件产品中采取功能更加先进的平安防X机制。可以预见防火墙技术作为一种简单实用的网络信息平安技术将得到进一步开展。然而，防火墙也并非人们想象的那样不可渗透。在过去的统计中曾遭受过黑客入侵的网络用户有三分之一是有防火墙保护的，也就是说要保证网络信息的平安还必须有其他一系列措施，例如对数据进展加密处理。需要说明的是防火墙只能抵御来自外部网络的侵扰，而对企业内部网络的平安却无能为力。要保证企业内部网的平安，还

41、需通过对内部网络的有效控制和管理来实现。4.2数据加密技术数据加密技术就是对信息进展重新编码，从而隐藏信息内容，使非法用户无法获取信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的平安性和XX性，防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的，可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密，常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进展验证，到达

42、XX的要求，系统通过比照验证对象输入的特征值是否符合预先设定的参数，实现对数据的平安保护。数据加密在许多场合集中表现为密匙的应用，密匙管理技术事实上是为了数据使用方便。密匙的管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的XX措施。数据加密技术主要是通过对网络数据的加密来保障网络的平安可靠性，能够有效地防止XX信息的泄漏。另外，它也广泛地被应用于信息鉴别、数字签名等技术中，用来防止电子欺骗，这对信息处理系统的平安起到极其重要的作用。4.3系统容灾技术一个完整的网络平安体系，只有防X和检测措施是不够的，还必须具有灾难容忍和系统恢复能力。因为任何一种网络平安设施都不可能做到万无一失，一旦发

43、生漏防漏检事件，其后果将是灾难性的。此外，天灾人祸、不可抗力等所导致的事故也会对信息系统造成消灭性的破坏。这就要求即使发生系统灾难，也能快速地恢复系统和数据，才能完整地保护网络信息系统的平安。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障，不允许有任何闪失。但离线介质不能保证平安。数据容灾通过IP容灾技术来保证数据的平安。数据容灾使用两个存储器，在两者之间建立复制关系，一个放在本地，另一个放在异地。本地存储器供本地备份系统使用，异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连，构成完整的数据容灾系统，也能提供数据库容灾功能。集群技术是一种

44、系统级的系统容错技术，通过对系统的整体冗余和容错来解决系统任何部件失效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集群网络和异地集群网络等多种形式实现，分别提供不同的系统可用性和容灾性。其中异地集群网络的容灾性是最好的。存储、备份和容灾技术的充分结合，构成的数据存储系统，是数据技术开展的重要阶段。随着存储网络化时代的开展，传统的功能单一的存储器，将越来越让位于一体化的多功能网络存储器。4.4入侵检测技术入侵检测技术是从各种各样的系统和网络资源中采集信息系统运行状态、网络流经的信息等，并对这些信息进展分析和判断。通过检测网络系统中发生的攻击行为或异常行为，入侵检测系统可以及时发

45、现攻击或异常行为并进展阻断、记录、报警等响应，从而将攻击行为带来的破坏和影响降至最低。同时，入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为通过异常检测和模式匹配等技术、对攻击行为或异常行为进展响应、审计和跟踪等。典型的IDS系统模型包括4个功能部件：1事件产生器，提供事件记录流的信息源。2事件分析器，这是发现入侵迹象的分析引擎。3响应单元，这是基于分析引擎的分析结果产生反响的响应部件。4事件数据库，这是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。4.4.1入侵检测系统的分类入侵检测系统根据数据来源不同，可分为基于网

46、络的入侵检测系统和基于主机的入侵检测系统。网络型入侵检测系统的实现方式是将某台主机的网卡设置成混杂模式，监听本网段内的所有数据包并进展判断或直接在路由设备上放置入侵检测模块。一般来说，网络型入侵检测系统担负着保护整个网络的任务。主机型入侵检测系统是以系统日志、应用程序日志等作为数据源，当然也可以通过其它手段如检测系统调用从所有的主机上收集信息进展分析。入侵检测系统根据检测的方法不同可分为两大类：异常和误用。异常入侵检测根据用户的异常行为或对资源的异常存放来判断是否发生了入侵事件。误用入侵检测通过检查对照已有的攻击特征、定义攻击模式、比拟用户的活动来了解入侵。例如，著名的Internet蠕虫事件

47、是利用fingerd(FreeBSD)上的守护进程，允许用户远程读取文件系统，因而存在可以查看文件内容的漏洞和Sendmail(Linux上的守护进程，利用其漏洞可取得root权限)的漏洞进展攻击。对这种攻击可以使用这种检测方法。4.4.2目前入侵检测系统的缺陷入侵检测系统作为网络平安防护的重要手段，目前的IDS还存在很多问题，有待于我们进一步完善。1高误报率误报率主要存在于两个方面：一方面是指正常请求误认为入侵行为；另一方面是指对IDS用户不关心事件的报警。导致IDS产品高误报率的原因是IDS检测精度过低和用户对误报概念的不确定。2缺乏主动防御功能入侵检测技术作为一种被动且功能有限的平安防御

48、技术，缺乏主动防御功能。因此，需要在一代IDS产品中参加主动防御功能，才能变被动为主动。4.4.3防火墙与入侵检测系统的相互联动防火墙是一个跨接多个物理网段的网络平安关口设备。它可以对所有流经它的流量进行各种各样最直接的操作处理，如无通告拒绝、ICMP拒绝、转发通过可转发至任何端口、各以报头检查修改、各层报文内容检查修改、链路带宽资源管理、流量统计、访问日志、协议转换等。当我们实现防火墙与入侵检测系统的相互联动后，IDS就不必为它所连接的链路转发业务流量。因此，IDS可以将大局部的系统资源用于对采集报文的分析，而这正是IDS最眩目的亮点。IDS可以有足够的时间和资源做些有效的防御工作，如入侵活

49、动报警、不同业务类别的网络流量统计、网络多种流量协议恢复实时监控功能等。IDS高智能的数据分析技术、详尽的入侵知识描述库可以提供比防火墙更为准确、更严格、更全面的访问行为审查功能。综上所述，防火墙与IDS在功能上可以形成互补关系。这样的组合较以前单一的动态技术或静态技术都有了较大的提高。使网络的防御平安能力大大提高。防火墙与IDS的相互联动可以很好地发挥两者的优点，淡化各自的缺陷，使防御系统成为一个更加巩固的围墙。在未来的网络平安领域中，动态技术与静态技术的联动将有很大的开展市场和空间。4.4.4结语网络平安是一个很大的系统工程，除了防火墙和入侵检测系统之外，还包括反病毒技术和加密技术。反病毒

50、技术是查找和去除计算机病毒技术。其原理就是在杀毒扫描程序中嵌入病毒特征码引擎。然后根据病毒特征码数据库来进展比照式查杀。加密技术主要是隐藏信息、防止对信息篡改或防止非法使用信息而转换数据的功能或方法。它是将数据信息转换为一种不易解读的模式来保护信息，除非有解密密钥才能阅读信息。加密技术包括算法和密钥。算法是将普通的文本或是可以理解的信息与一串数字密钥的结合，产生不可理解的密文的步骤。密钥是用来对数据进展编码和解码的一种算法。在平安XX中，可通过适当的密钥加密技术和管理机制来保证网络的信息通信平安。4.5漏洞扫描技术漏洞扫描是自动检测远端或本地主机平安的技术，它查询TCP/IP各种效劳的端口，并

51、记录目标主机的响应，收集关于某些特定工程的有用信息。这项技术的具体实现就是安全扫描程序。扫描程序可以在很短的时间内查出现存的平安脆弱点。扫描程序开发者利用可得到的攻击方法，并把它们集成到整个扫描中，扫描后以统计的格式输出，便于参考和分析。4.6物理平安为保证信息网络系统的物理平安，还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。为保证网络的正常运行，在物理平安方面应采取如下措施:1产品保障方面:主要指产品采购、运输、安装等方面的平安措施。2运行平安方面:网络中的设备，特别是平安类产品在使用过程中，必须能够从生成厂家或供货单位得到迅速的技术支持效劳

52、。对一些关键设备和系统，应设置备份系统。3防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品，如辐射干扰机。4保安方面:主要是防盗、防火等，还包括网络系统所有网络设备、计算机、平安设备的平安防护。计算机网络平安是个综合性和复杂性的问题。面对网络平安行业的飞速开展以及整个社会越来越快的信息化进程，各种新技术将会不断出现和应用。网络平安孕育着无限的机遇和挑战，作为一个热门的研究领域和其拥有的重要战略意义，相信未来网络平安技术将会取得更加长足的开展。4.7本章小结本章主要介绍了常用的几种网络平安防X技术，有防火墙技术，数据加密技术，系统容灾，入侵检测技术，漏洞扫描技术，物理平安。防火墙是指内部网和外部网之间的平安防X系统，防火墙这一节主要讲述了防火墙的分类，主要功能和优缺点以及防火墙的部署，数据加密技术是信息重新编码从而隐藏信息内