第一篇：分析網絡安全的技術論文

淺析網絡安全的技術論文

摘要

With the rapid development of society，network security issues will become increasingly prominent, can not simply rely on a single firewall system, and the need to carefully consider the system's security needs, and a variety of security technologies, such as passwords and technology combine Together,to generate an efficient, universal, secure network systems.The new technological revolution caused great changes in the social environment to the traditional accounting system initiated a strong challenge.The same socio-economic environment is not solidified, but constantly in motion, and metabolism, renewal, constantly evolving innovation.Only safe place first, in order to ensure Internet security.隨著社會的飛速發展,網絡安全的問題會日益的突出，不能僅僅依靠防火墻等單個的系統，而需要仔細考慮系統的安全需求，并將各種安全技術，如密碼技術等結合在一起，才能生成一個高效、通用、安全的網絡系統。新技術革命所引起的社會環境的巨大變化向傳統的會計系統發起了強烈的挑戰。社會經濟環境并非凝固不變,而是不斷地運動著的,新陳代謝、吐故納新,不斷地演變革新。只有把安全放到首位，才能保證上網的安全性能。

淺析網絡安全的技術

過去兩個世紀中，工業技術代表了一個國家的軍事實力和經濟實力。飛速發展的今天，對信息技術的掌握是在二十一世紀增強綜合國力的關鍵。

隨著計算機技術的發展，在計算機上處理業務已由基于單機的數學運算、文件處理，基于簡單連結的內部網絡的內部業務處理、辦公自動化等發展到基于企業復雜的內部網、企業外部網?、全球互聯網的企業級計算機處理系統和世界范圍內的信息共享和業務處理。在信息處理能力提高的同時，系統的連結能力也在不斷的提高。但在連結信息能力、流通能力提高的同時，基于網絡連接的安全問題也日益突出。本文主要從以下幾個方面進行探討：

一、網絡在開放的同時存在的安全問題

Internet的開放性以及其他方面因素導致了網絡環境下的計算機系統存在很多安全問題。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。然而，即使在使用了現有的安全工具和機制的情況下，網絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點：

（一）安全機制的局限

每一種安全機制都有一定的應用范圍和應用環境。防火墻是一種有效的安全工具，它可以隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問，防火墻往往是無能為力的。因此，對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為，防火墻是很難發覺和防范的。

（二）安全管理機制的建立

常用的安全管理機制有：口令管理;各種密鑰的生成、分發與管理;全網統一的管理員身份鑒別與授權;建立全系統的安全評估體系;建立安全審計制度;建立系統及數據的備份制度;建立安全事件/安全報警反應機制和處理預案;建立專門的安全問題小組和快速響應體系的運作等。為了增強系統的防災救災能力,還應制定災難性事故的應急計劃,如緊急行動方案,資源(硬件,軟件,數據等)備份及操作計劃,系統恢復和檢測方法等。

（三）安全工具的影響

安全工具的使用效果受到人為因素的影響。一個安全工具能不能實現期望的效果，在很大程度上取決于使用者，包括系統管理者和普通用戶，不正當的使用就會產生不安全因素。例如，NT在進行合理的設置后可以達到C2級的安全性，但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面，可以通過靜態掃描工具來檢測系統是否進行了合理的設置，但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較，針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。

（四）系統在安全方面的問題

系統的后門是傳統安全工具難于考慮到的地方。防火墻很難考慮到這類安全問題，多數情況下，這類入侵行為可以堂而皇之經過防火墻而很難被察覺；比如說，眾所周知的ASP源碼問題，這個問題在IIS服務器4.0以前一直存在，它是IIS服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼，從而可以收集系統信息，進而對系統進行攻擊。對于這類入侵行為，防火墻是無法察覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的Web訪問是相似的，唯一區別是入侵訪問在請求鏈接中多加了一個后綴。

（五）只要有程序，就可能存在BUG

只要有程序，就可能存在BUG。甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來，程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用，而且這種攻擊通常不會產生日志，幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG，而安全工具對于利用這些BUG的攻擊幾乎無法防范。

二、網絡系統的漏洞，導致黑客在網上任意暢行

●根據Warroon?Research的調查，1997年世界排名前一千的公司幾乎都曾被黑客闖入。●據美國FBI統計，美國每年因網絡安全造成的損失高達75億美元?！馝rnst和Young報告，由于信息安全被竊或濫用，幾乎80%的大型企業遭受損失

據不完全統計，目前，我國網站所受到黑客的攻擊，雖然還不能與美國的情況相提并論，但是我國的用戶數目、用戶規模已經達到了突飛猛進的階段，以下事實也不能不讓我們深思： 2月，廣州視聆通被黑客多次入侵，造成4小時的系統失控； 4月，貴州信息港被黑客入侵，主頁被一幅淫穢圖片替換； 5月，大連ChinaNET節點被入侵，用戶口令被盜；

6月，上海熱線被侵入，多臺服務器的管理員口令被盜，數百個用戶和工作人員的賬號和密碼被竊取；

7月，江西169網被黑客攻擊，造成該網3天內中斷網絡運行2次達30個小時，工程驗收推遲20天；同期，上海某證券系統被黑客入侵； 8月，印尼事件激起中國黑客集體入侵印尼網點，造成印尼多個網站癱瘓，但與此同時，中國的部分站點遭到印尼黑客的報復；同期，西安某銀行系統被黑客入侵后，提走80.6萬元現金。

9月，揚州某銀行被黑客攻擊，利用虛存帳號提走26萬元現金。10月，福建省圖書館主頁被黑客替換。

2007年6月18歲少年黑客攻擊兩千家網站，只為炫耀水平。2008年5月陜西省地震局網站遭黑客短時攻擊，并在網站首頁惡意發布“網站出現重大安全漏洞”的虛假信息。

2008年9月北大網站遭黑客攻擊，假冒校長抨擊大學教育。

三、網絡安全體系的探討

現階段為保證網絡正常工作常用的方法如下：

（一）網絡病毒的防范

在網絡環境下，病毒傳播擴散快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于局域網的全方位防病毒產品。校園網絡是內部局域網，就需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。所以最好使用全方位的防病毒產品，針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統的配置，通過定期或不定期的自動升級，使網絡免受病毒的侵襲。

（二）運用防火墻

利用防火墻，在網絡通訊時執行一種訪問控制尺度，允許防火墻同意訪問的人與數據進入自己的內部網絡，同時將不允許的用戶與數據拒之門外，最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制，防止Internet上的不安全因素蔓延到局域網內部，所以，防火墻是網絡安全的重要一環。

（三）采用入侵檢測系統

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未?授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全。在校園網絡中采用入侵檢測技術，最好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統，則會構架成一套完整立體的主動防御體系。

（四）漏洞掃描系統

解決網絡層安全問題，首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況，僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估，顯然是不現實的。解決的方案是，尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具，利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網絡模擬攻擊從而暴露出網絡的漏洞。

（五）IP盜用問題的解決，在路由器上捆綁IP和MAC地址

當某個IP通過路由器訪問Internet時，路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發出這個IP廣播包的工作站返回一個警告信息。

總之，網絡安全是一個系統的工程，不能僅僅依靠防火墻等單個的系統，而需要仔細考慮系統的安全需求，并將各種安全技術，如密碼技術等結合在?一起，才能生成一個高效、通用、安全的網絡系統。我國信息網絡安全技術的研究和產品開發仍處于起步階段，仍有大量的工作需要我們去研究、開發和探索，以走出有中國特色的產學研聯合發展之路，趕上或超過發達國家的水平，以此保證我國信息網絡的安全，推動我國國民經濟的高速發展。

參 考 文 獻：

[1]盧開澄：《計算機密碼學—計算機網絡中的數據預安全》（清華大學出版社?2004.1）

[2]余建斌：《黑客的攻擊手段及用戶對策》（北京人民郵電出版社??2004.6）

[3]蔡立軍：《計算機網絡安全技術》（中國水利水電出版社??2005.9）[4]鄧文淵、陳惠貞、陳俊榮：《ASP與網絡數據庫技術》（中國鐵道出版社??2007.4）

[5]劉遠生：《計算進網絡安全》（清華大學出版社2006.8）[6]袁德明：《計算機網絡安全》（電子工業出版社2007.6）

第二篇：《網絡安全技術》論文

常見防火墻技術分析

摘要:

計算機網絡是一把雙刃劍，它的開放性和便利性的同時，也增加了私有信息和數據被破壞或侵犯的可能性。

本文首先會簡單地講述目前計算機網絡存在的安全隱患，我國網絡安全的現狀及網絡安全問題產生的原因。

其次，由于網絡安全威脅的存在，防火墻應運而生。防火墻是網絡安全的關鍵技術, 其本質是一種隔離技術，其核心思想是在不安全的網絡環境中構造一個相對安全的子網環境。本文將重點從安全功能、體系結構、實現防火墻的主要技術手段及配置等方面分析防火墻。關鍵詞:網絡安全，防火墻，防火墻類型

1.我國網絡安全的現狀

1.1研究背景

“計算機網絡安全”定義：國際標準化組織（ISO）將“計算機網絡安全”定義為：“為數據處理系統建立和采取的技術和管理的安全保護，保護網絡系統的硬件、軟件及其系統中的數據不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠、正常地運行，網絡服務不中斷。其具有以下五個方面的特征：保密性、完整性、可用性、可控性和可審查性。

當前，計算機已經被廣泛地用于社會生產和生活的各個領域。特別是隨著信息化和技術化的不斷推進，計算機也在更加深刻地影響著社會的方方面面。

計算機網絡安全問題主要有：信息在傳輸的過程中，數據被篡改和復制，以及攔截和查看，甚至遭受惡意的病毒攻擊等。這些安全問題嚴重影響著計算機網絡的正常運行，出現系統癱瘓或重要數據的泄漏，造成不可挽回的嚴重后果。

網絡安全的主要威脅有：竊聽、網絡嗅探、拒絕服務、假冒、授權侵犯、計算機病毒。

1.2研究意義

為了有效解決網絡安全問題和威脅，構建安全可靠的網絡安全環境，我國有必要從技術方面對防火墻進行完善?；诰W絡內部和外部環境的特殊性，防火墻技術是目前保護網絡安全最為有效地技術，不僅能夠對網絡傳輸的數據進行檢查，還能對整個網絡進行監控。

2.防火墻技術的概述

2.1防火墻技術的定義

防火墻是設置在被保護網絡和外部網絡之間的一道屏障，主要用來保護安全網絡免受來自不安全網絡的入侵，實際上是一種隔離技術。簡單地說就是，防火墻是在兩個網絡間進行訪問控制,它能允許你“同意”的人和數據進入你的網絡, 同時將你“不同意”的人和數據拒之門外, 最大限度地阻止網絡中的黑客來訪問你的網絡,防止他們更改、拷貝、毀壞你的重要

信息。不同的防火墻，配置的方法也不同，這取決于安全策略，預算以及全面規劃等。

它是不同網絡或網絡安全域之間信息的唯一出入口，有效地加強網絡之間訪問控制。它是提供信息安全服務，實現網絡和信息安全的基礎設施，是一種非常有效的網絡安全模型。

如圖1：

2.2防火墻技術的發展史及分類

縱觀防火墻近年來的發展,可以將其劃分為如下四個階段(即四代)及相應的分類。

2.2.1 第一代防火墻：基于路由器的防火墻

第一代防火墻技術幾乎與路由器同時出現，采用了包過濾（Packetfilter）技術，從而使具有分組過濾功能的路由器成為第一代防火墻產品。簡單地說，第一代防火墻產品一般是基于源地址和目的地址、應用或協議以及每個IP包的端口來作為出通過與否的判斷。一個路由器便是一個“傳統”的網絡級防火墻,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包自哪里，即將去哪里。

特點:

（1）網絡級防火墻簡潔、速度快、費用低,并且對用戶透明；

（2)可利用路由器實現對分組的過濾;

（3)把地址、端口號、IP旗標及其他網絡特征作為判斷依據

不足：

（1）本身具有安全漏洞，外部網絡要探尋內部網絡十分容易。

（2）分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分復雜，它涉及到規則的邏輯一致性、作用端口的有效性和規則集的正確性，一般的網絡系統管理員難于勝任，加之一旦出現新的協議，管理員就得加上更多的規則去限制，這往往會帶來很多錯誤。

（3）路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網絡上是以明文方式傳送的,黑客(Hacker)可以在網絡上偽造假的路由信息欺騙防火墻。

（4）路由器防火墻的本質缺陷是:由于路由器的主要功能是為網絡訪問提供動態的、靈活的路由,而防火墻則要對訪問行為實施靜態的、固定的控制,這是一對難以調和的矛盾,防火墻的規則設置會大大降低路由器的性能。

2.2.2第二代防火墻：用戶防火墻工具套

1989年，貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻，即電路層防火墻。為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發的防火墻系統來保護自己的網絡,從而推動了用戶防火墻工具套的出現。

他能夠檢查進出的數據包,通過網關復制傳遞數據,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。他并且能夠理解應用層上的協議,能夠做復雜一些的訪問控制,并做精細的注冊和稽核。

特點：

（1)將過濾功能從路由器中獨立出來,并加上審計和告警功能;

（2)針對用戶需求,提供模塊化的軟件包;

（3)軟件可以通過網絡發送,用戶可以自己動手構造防火墻;

（4)與第一代防火墻相比,安全性提高了,價格也降低了。

不足：

（1）無論在實現上還是在維護上都對系統管理員提出了相當復雜的要求；

（2）對用戶的技術要求高;

（3）全軟件實現,安全性和處理速度均有局限，使用中出現差錯的情況很多。

2.2.3 第三代防火墻：建立在通用操作系統上的防火墻

基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發商很快推出了建立在通用操作系統上的商用防火墻產品。近年來市場上廣泛使用的就是這一代產品

特點:

（1)是批量上市的專用防火墻產品;

（2)包括分組過濾或者借用路由器的分組過濾功能;

（3)裝有專用的代理系統,監控所有協議的數據和指令;

（4)保護用戶編程空間和用戶可配置內核參數的設置;

（5)安全性和速度大大提高。

不足：

（1)缺乏安全保障，因為作為基礎的操作系統及其內核往往不為防火墻管理者所知；

（2)由于大多數防火墻廠商并非通用操作系統的廠商,通用操作系統廠商不會對操作系統的 安全性負責;

（3)從本質上看,第三代防火墻既要防止來自外部網絡的攻擊,還要防止來自操作系統廠商的攻擊。

2.2.4第四代防火墻：具有安全操作系統的防火墻

1992年，USC信息科學院的BobBraden開發出了基于動態包過濾（Dynamicpacketfilter）技術的第四代防火墻，后來演變為目前所說的狀態監視（Statefulinspection）技術。1994年，以色列的CheckPoint公司開發出了第一個基于這種技術的商業化的產品。

特點：

（1）防火墻廠商具有操作系統的源代碼，并可實現安全內核。

（2）對安全內核實現加固處理：即去掉不必要的系統特性，加上內核特性，強化安全保護。

（3）對每個服務器、子系統都作了安全處理，一旦黑客攻破了一個服務器，它將會被隔離在此服務器內，不會對網絡的其他部分構成威脅。

（4）在功能上包括了分組過濾、應用網關、電路級網關，且具有加密與鑒別功能。

（5）透明性好，易于使用。

2.3 防火墻技術的功能

（1）訪問控制功能。是一種簡單、有效的安全控制技術，也是防火墻最基本也是最重要的功能，通過禁止或允許特定用戶訪問特定的資源，保護網絡的內部資源和數據。需要禁止非授權的訪問，防火墻需要識別哪個用戶可以訪問何種資源。

（2）防止內部信息外泄。根據數據內存進行控制，如防火墻可以從電子郵件中過濾掉垃圾郵件，可以過濾掉內部用戶訪問外部服務的圖片信息，也可以限制外部訪問，使它們只能訪問本地Web服務器中一部分信息。

（3）集中管理功能。防火墻是一個安全設備，針對不同的網絡情況和安全需要，需要制定不同的安全策略，然后在防火墻上實施，使用中還需要根據情況改變安全策略，因此防火墻應具備集中管理功能。

（4）阻擋外部攻擊。如果用戶發送的信息是防火墻設置所不允許的，防火墻會立即將其阻斷，避免其進入防火墻之后的網絡中。

（5）自身的安全和可用性。防火墻要保證自身的安全不被非法侵入，保證正常的運作。如果防火墻被侵入，防火墻的安全策略被修改，這樣內網就變得不安全。

（6）數據包的透明轉發。由于防火墻一般部署在提供某些服務或應用的服務器前。用戶對服務器的訪問的請求與服務器反饋給用戶的信息，都需要經過防火墻的轉發。因此，防火墻具備網關功能，方便數據包的轉發。

3防火墻技術在計算機網絡安全中的運用

從整體上來說，計算機網絡安全是通過網絡的管理控制，以及技術的解決辦法，確保在網絡的環境中，保護數據進行使用和保密，及完整性。計算機網絡安全主要有物理和邏輯安全。但是根據使用者的不一樣，對網絡安全的理解也就會不一樣。如：一般的使用者認為，計算機網絡安全就是在網絡上傳自己的隱私或者是重要的信息時，能夠保護信息不能被竊聽和篡改，以及偽造。而網絡的供應商們則認為，除了保證網絡信息的安全，還要考慮各種對網絡硬件破壞因素的保護，以及在出現異常時恢復網絡通信的保護。

(1）加密技術。即信息的發送方先對信息做加密處理，密碼由和接收方掌握，接收方接收到經過加密處理的信息后，用解密密鑰對信息進行解密，從而完成一次安全的信息傳輸。加密措施利用密鑰來保障信息傳輸的安全性。

(2）身份驗證。通過對網絡用戶的使用授權，在信息的發送方和接收方之間通過身份認證，建立起相對安全的信息通道，這樣可以有效防止未經授權的非法用戶的介入。

(3）防病毒技術。主要涉及對病毒的預防、檢測以及清除三方面。

其一，在網絡建設中，安裝防火墻對互聯網之間的交換信息按照某種規則進行控制，構

成一道安全屏障來保護內網與外網間的信息和數據傳輸，確保網絡不被其他未經授權的第三方侵入。

其二，網絡的連接如果是由路由器和互聯網相連，服務器有www.tmdps.cnmon firewall technology

Deluxe Zhang

Abstract:

It’s well known that computer network is a double-edged sword.It can not only provide us with great openness and convenience, but also increase the possibility of damaged or violated private information and data.To begin with，this article will relate the current risks of network security and explain main reasons of the network security problems.Then, the firewall emerged due to the threats of network security, what’s more, it’s the key technology to network security.In essence, firewall the isolation technique, while its main idea is creating a relative safety sub-network environment in an unsafety network environment.This article analyses several important aspects of firewall from thebasic security functions, architecture and the main means of achieving the firewall with configuration.Key words：Network security，Firewall，The type of firewall

第三篇：網絡安全技術論文

從360和騰訊事件看網絡信息安全

李婭楠

（中國民航大學 理學院 090243116）

摘要：闡述了網絡信息安全的內涵，網絡安全的組成，威脅網絡安全的因素及相應應對措施。在此基礎上論文指出對于網絡安全教育和管理的加強是十分必要的，因此應加強信息安全學科建設和人才培養，確保我國的信息安全。

關鍵詞：網絡信息安全威脅因素 網絡安全技術

最近，360殺毒軟件和QQ聊天軟件的爭斗在網絡上掀起了滔天巨浪。為此，有關QQ涉嫌窺探個人電腦隱私、奇虎360、金山等安全軟件公司紛紛發布電腦隱私保護器軟件，旨在應對或保護個人電腦隱私，一場由信息安全、個人隱私引發的“企業恩怨”正在上演。在這次事件中，360認為騰訊掃描用戶硬盤，查看用戶隱私；騰訊則認為360影響其程序運行，為此引發兩者一系列爭斗，并且斗爭愈演愈烈，最終殃及用戶。作為第三方，我并不關心這兩家公司誰輸誰贏，重要的是，透過這個現象，讓我意識到，這場利益爭奪戰帶來的影響，已經遠遠超出了這兩家公司業務的范疇。我們應該跳出360與騰訊的恩怨，清醒意識并正確認識到網絡信息安全的重要性。

計算機網絡安全(Network Security)是一門涉及計算機科學，網絡技術，通信技術，密碼技術，信息安全技術，應用數學，數論，信息論等多種學科的綜合性科學。國際標準化組織（ISO）將“計算機網絡安全”定義為：“為數據處理系統建立和采取的技術和管理的安全保護，保護網絡系統的硬件、軟件及其系統中的數據不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠、正常地運行，網絡服務不中斷?！鄙鲜鲇嬎銠C安全的定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容可理解為我們常說的網絡上的信息安全，是指對信息的保密性、完整性和可用性的保護，而網絡安全性的含義是信息安全的引申，即網絡安全是對網絡信息保密性、完整性和可用性的保護。從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。當然，網絡安全的具體含義會隨著“角度”的變化而變化。比如：從用戶（個人、企業等）角度，他們希望涉及個人隱私或商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護，避免其他人利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。從網絡運行和管理者角度說，他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制，避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法占用和非法控制等威脅，制止和防御網絡黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失。從社會教育和意識形態角度來講，網絡上不健康的內容，會對社會的穩定和人類的發展造成阻礙，必須對其進行控制。

計算機網絡安全從技術上來說，主要由防病毒、防火墻、入侵檢測等多個安全組件組成，一個單

獨的組件無法確保網絡信息的安全性。早期的網絡防護技術的出發點是首先劃分出明確的網絡邊界，然后通過在網絡邊界處對流經的信息利用各種控制方法進行檢查，只有符合規定的信息才可以通過網絡邊界，從而達到阻止對網絡攻擊、入侵的目的。計算機和網絡技術具有的復雜性和多樣性，使得計算機和網絡安全成為一個需要持續更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的。

近年來隨著Internet的飛速發展，計算機網絡的資源共享進一步加強，隨之而來的信息安全問題日益突出。據美國FBI統計，美國每年網絡安全問題所造成的經濟損失高達75億美元。而全球平均每20秒鐘就發生一起Internet計算機侵入事件。在Internet/Intranet的大量應用中，Internet/Intranet安全面臨著重大的挑戰，事實上，資源共享和安全歷來是一對矛盾。在一個開放的網絡環境中，大量信息在網上流動，這為不法分子提供了攻擊目標。而且計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯性等特征更為他們提供便利。他們利用不同的攻擊手段，獲得訪問或修改在網中流動的敏感信息，闖入用戶或政府部門的計算機系統，進行窺視、竊取、篡改數據。不受時間、地點、條件限制的網絡詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統的犯罪活動日益增多。

計算機的安全體系是一個層次對的體系，從高到低的層次關系如下圖所示：

其中網絡安全是最高級的安全，它是指保護網絡系統的硬件，軟件及其數據不受惡意或偶然的導致破壞，更改或泄漏，使系統連續可靠正常運行，使網絡服務不中斷。

而從人為（黑客）角度來看，常見的計算機網絡安全威脅主要有：信息泄露、完整性破壞、拒絕服務、網絡濫用。

信息泄露：信息泄露破壞了系統的保密性，他是指信息被透漏給非授權的實體。常見的，能夠導致信息泄露的威脅有：網絡監聽、業務流分析、電磁、射頻截獲、人員的有意或無意、媒體清理、漏洞利用、授權侵犯、物理侵入、病毒、木馬、后門、流氓軟件、網絡釣魚。

完整性破壞：可以通過漏洞利用、物理侵犯、授權侵犯、病毒，木馬，漏洞來等方式實現。拒絕服務攻擊：對信息或資源可以合法的訪問卻被非法的拒絕或者推遲與時間密切相關的操作。

網絡濫用：合法的用戶濫用網絡，引入不必要的安全威脅，包括非法外聯、非法內聯、移動風險、設備濫用、業務濫用。

常見的計算機網絡安全威脅的表現形式主要有：竊聽、重傳、偽造、篡改、拒絕服務攻擊、行為否認、電子欺騙、非授權訪問、傳播病毒。

竊聽：攻擊者通過監視網絡數據的手段獲得重要的信息，從而導致網絡信息的泄密。重傳：攻擊者事先獲得部分或全部信息，以后將此信息發送給接收者。

篡改：攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入，再將偽造的信息發送給接收者，這就是純粹的信息破壞，這樣的網絡侵犯者被稱為積極侵犯者。積極侵犯者的破壞作用最大。拒絕服務攻擊：攻擊者通過某種方法使系統響應減慢甚至癱瘓，阻止合法用戶獲得服務。行為否認：通訊實體否認已經發生的行為。

電子欺騙：通過假冒合法用戶的身份來進行網絡攻擊，從而達到掩蓋攻擊者真實身份，嫁禍他人的目的.非授權訪問：沒有預先經過同意，就使用網絡或計算機資源被看作非授權訪問。

傳播病毒：通過網絡傳播計算機病毒，其破壞性非常高，而且用戶很難防范。

當然，除了人為因素，網絡安全還在很大部分上由網絡內部的原因或者安全機制或者安全工具本身的局限性所決定，他們主要表現在：每一種安全機制都有一定的應用范圍和應用環境、安全工具的使用受到人為因素的影響、系統的后門是傳統安全工具難于考慮到的地方、只要是程序，就可能存在BUG。而這一系列的缺陷，更加給想要進行攻擊的人以方便。所以，網絡安全問題可以說是由人所引起的。因此，對于網絡安全教育和管理的加強是十分必要的，與此相關的加強計算機網絡安全的對策措施有：1.對工作人員結合機房、硬件、軟件、數據和網絡等各個方面安全問題，進行安全教育，提高工作人員的安全觀念和責任心；加強業務、技術的培訓，提高操作技能；教育工作人員嚴格遵守操作規程和各項保密規定，防止人為事故的發生。同時，要保護傳輸線路安全。對于傳輸線路，應有露天保護措施或埋于地下，并要求遠離各種輻射源，以減少各種輻__射引起的數據錯誤；線纜鋪設應當盡可能使用光纖，以減少各種輻射引起的電磁泄漏和對發送線路的干擾。要定期檢查連接情況，以檢測是否有搭線竊聽、非法外連或破壞行為。

2.運用網絡加密技術：網絡信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。加密數據傳輸主要有三種：①鏈接加密。在網絡節點間加密，在節點間傳輸加密的信息，傳送到節點后解密，不同節點間用不同的密碼。②節點加密。與鏈接加密類似，不同的只是當數據在節點間傳送時，不用明碼格式傳送，而是用特殊的加密硬件進行解密和重加密，這種專用硬件通常放置在安全保險箱中。③首尾加密。對進入網絡的數據加密，然后待數據從網絡傳送出后再進行解密。網絡的加密技術很多，在實際應用中，人們通常根據各種加密算法結合在一起使用，這樣可以更加有效地加強網絡的完全性。網絡加密技術也是網絡安全最有效的技術之一。既可以對付惡意軟件攻

擊，又可以防止非授權用戶的訪問。

3.加強計算機網絡訪問控制：訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非正常訪問，也是維護網絡系統安全、保護網絡資源的重要手段。訪問控制技術主要包括入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監測和鎖定控制、網絡端口和節點的安全控制。根據網絡安全的等級、網絡空間的環境不同，可靈活地設置訪問控制的種類和數量。

4.使用防火墻技術：采用防火墻技術是解決網絡安全問題的主要手段。防火墻技術是建立在現代通信網絡技術和信息技術基礎上的應用性安全技術，越來越多地應用于專用網絡與公用網絡的互聯環境之中。防火墻是在網絡之間執行訪問控制策略的系統，通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機制，并且本身具有較強的抗攻擊能力。在邏輯上，防火墻可以有效地監控內部網和Internet 之間的任何活動，保證內部網絡的安全。防火墻的應用可最大限度地保障網絡的正常運行，它可以起著提高內部網絡的安全性、強化網絡安全策略、防止內部信息泄漏、網絡防毒、信息加密、存儲通信、授權、認證等重要作用。

對于此次360騰訊事件，且不論騰訊是否窺探了我們的隱私，透過此次騰訊與360之間的爭奪戰，我們應該正確認識到信息安全與隱私保護的必要性?，F今計算機及網絡已成為我們不可或缺的工具，然而計算機及網絡在給我們帶來極大方便的同時，也隱藏著巨大的危機和漏洞。即使對于計算機專業人士來講，如果不是頂層設計人員，都很難搞清屏幕之下，到底有多少代碼在悄悄地窺視。這次兩個國產軟件商的紛爭，可以說把神秘的網絡風險揭開了一角。在計算機網絡系統中，絕對安全是不存在的，而計算機網絡信息安全的工作貫穿于計算機網絡建設、發展的始終，這就需要我們時刻重視，不斷學習，才能確保計算機網絡的安全、可靠地運行。總之，網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。為此建立有中國特色的網絡安全體系，需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產業將來也是一個隨著 新技術發展而不斷發展的產業。

參考文獻：

[1]朱理森,張守連.計算機網絡應用技術[M].北京:專利文獻出版社，2001.[2]謝希仁.計算機網絡(第4版)[M].北京:電子工業出版社,2003

[3]張民,徐躍進.網絡安全實驗教程，清華大學出版社，2007，6.

第四篇：網絡安全技術論文

當前網絡常見安全問題分析

指導老師：

摘要：信息時代，人們對計算機和網絡的應用和依賴程度愈來愈高，信息安全問題日益突顯，海量的信息存儲在網絡上，隨時可能遭到非法入侵，存在著嚴重的安全隱患本文針對根據幾火突出的網絡安全問題，歸納并提出了一些網絡信息安全防抄的方法和策略計算機網絡的廣泛應用給計算機的安全提出了更高的要求，也使網絡安全問題日漸突出。如果不很好地解決這個問題，必將阻礙計算機網絡化發展的進程。關鍵詞：網絡安全

黑客入侵

網絡詐騙

1、網絡安全的基本內涵

網絡安全從本質上來講就是網絡上的信息安全，網絡安全從其本質上來講就是網絡上的信息安全，具體指的是網絡系統的硬件、軟件及其系統中的數據受到保護，不會因為偶然的或者惡意的攻擊而遭到破壞、更改、泄漏，系統能夠連續可靠、正常地運行，網絡服務不中斷網絡安全包括數據安全和系統安全兩方面，它具有保密性、完整性、可用性可控性、不可否認性五大特征

從廣義上來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論，都是網絡安全所要研究的領域。計算機網絡安全不僅包括組網的硬件、管理控制網絡的軟件，也包括共享的資源，快捷的網絡服務，所以定義網絡安全應考慮涵蓋計算機網絡所涉及的全部內容。參照ISO給出的計算機安全定義，認為計算機網絡安全是指：“保護計算機網絡系統中的硬件，軟件和數據資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網絡系統連續可靠性地正常運行，網絡服務正常有序?！?/p>

2、常見的網絡安全問題

互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間，網絡技術的迅速發展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯網的上述特性，產生了許多安全問題：（1）信息泄漏、信息污染、信息不易受控。例如，資源未授權侵用、未授權信息流出現、系統拒絕信息流和系統否認等，這些都是信息安全的技術難點。（2）在網絡環境中，一些組織或個人出于某種特殊目的，進行信息泄密、信息破壞、信息侵權和意識形態的信息滲透，甚至通過網絡進行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權益受到威脅。（3）網絡運用的趨勢是全社會廣泛參與，隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧，使信息資源的保護和管理出現脫節和真空，從而使信息安全問題變得廣泛而復雜。（4）隨著社會重要基礎設施的高度信息化，社會的“命脈”和核心控制系統有可能面臨惡意攻擊而導致損壞和癱瘓，包括國防通信設施、動力控制網、金融系統和政府網站等。

2.1遭受黑客攻擊

自 1994 年國際互聯網進入我國以來，我國的網民人數急劇增長，隨著網絡的逐漸普及，黑客隊伍也相應產生并逐漸壯大，其作案范圍日益擴大，作案手段日益高明，對網絡安全造成了危害。

黑客主要是使用一些現有的工具對操作系統的弱口令或安全漏洞加以利用攻擊，獲得一般用戶甚至管理員用戶權限，進而達到實施破壞的目的。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統的運行，并不盜竊系統資料，通常采用拒絕服務攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統、盜竊系統保密信息、破壞目標系統的數據為目的

電腦黑客活動已形成重要威脅。網絡信息系統具有致命的脆弱性、易受攻擊性和開放性，從國內情況來看，目前我國95%與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入，其中銀行、金融和證券機構是黑客攻擊的重點。

2.2計算機病毒

病毒實際上是一種特殊的程序或普通程序中的一段特殊代碼，它的功能是破壞計算機的正常運行或竊取用戶計算機上的隱私。計算機感染上病毒后，輕則使系統效率下降，重則造成系統死機或毀壞，使部分文件或全部數據丟失，甚至造成計算機主板等部件的損壞。有了互聯網后，病毒的傳播速度更快，涉及范圍更廣，危害性更大。計算機系統遭受病毒感染和破壞的情況相當嚴重。據國家計算機病毒應急處理中心副主任張健介紹，從國家計算機病毒應急處理中心日常監測結果看來，計算機病毒呈現出異常活躍的態勢。

2.3 垃圾郵件和間諜軟件

一些人利用電子郵件地址的“公開性”和系統的“可廣播性”進行商業、宗教、政治等活動，把自己的電子郵件強行“推入”別人的電子郵箱，強迫他人接受垃圾郵件。與計算機病毒不同，間諜軟件的主要目的不在于對系統造成破壞，而是竊取系統或是用戶信息。間諜軟件的功能繁多，它可以監視用戶行為，或是發布廣告，修改系統設置，威脅用戶隱私和計算機安全，并可能不同程度地影響系統性能。

2.4 計算機犯罪

計算機犯罪，通常是利用竊取口令等手段非法侵人計算機信息系統，傳播有害信息，惡意破壞計算機系統，實施貪污盜竊、詐騙和金融犯罪等活動。網絡安全的防范措施

3.1 安裝殺毒軟件

計算機病毒有以下五種特征：寄生性、傳染性、破壞性、可觸發性、可潛伏性。根據計算機病毒的特征，人們摸索出了許多檢測計算機病毒和殺毒的軟件。國內的有瑞星、KV3000、金山毒霸、360殺毒軟件等，國外的有諾頓、卡巴斯基等。但是，沒有哪種殺毒軟件是萬能的，所以當本機的殺毒軟件無法找到病毒時，用戶可以到網上下載一些專殺工具，如木馬專殺工具、蠕蟲專殺工具或宏病毒專殺工具等。值得注意的是，安裝了殺毒軟件后，我們還必須每周至少更新一次殺毒軟件病毒庫，因為防病毒軟件只有最新才是最有效的。每周還要對電腦硬盤進行一次全面的掃描、殺毒，以便及時發現并清除隱藏在系統中的病毒。當不慎感染上病毒時，應立即將殺毒軟件升級到最新版本，然后對整個硬盤進行掃描，清除一切可以查殺的病毒。當受到網絡攻擊時，我們的第一反應就是拔掉網絡連接端口以斷開網絡。3.2 安裝網絡防火墻

所謂“防火墻”，是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制，防止Internet上的不安全因素蔓延到局域網內部，所以，防火墻是網絡安全的重要一環。常見的個人網絡防火墻有天網防火墻、瑞星防火墻和360安全衛士等。.安裝防病毒網關軟件 防病毒網關放置在內部網絡和互聯網連接處。當在內部網絡發現病毒時，可能已經感染了很多計算機，防病毒網關可以將大部分病毒隔離在外部，它同時具有反垃圾郵件和反間諜軟件的能力。當出現新的病毒時，管理員只要將防病毒網關升級就可以抵御新病毒的攻擊。

3.3 數據加密

數據加密作為一項基本技術是所有通信安全的基石。數據加密過程是由形形色色的加密算法來具體實施的，它以很小的代價來提供很大的安全保護。在多數情況下，數據加密是保證信息機密性的惟一方法。一般把受保護的原始信息稱為明文，編碼后的稱為密文。數據加密的基本過程包括對明文進行翻譯，譯成密文或密碼的代碼形式。該過程的逆過程為解密，即將該加密的編碼信息轉化為原來的形式的過程。機密資料被加密后，無論是被人通過復制數據、還是采用網絡傳送的方式竊取過去，只要對方不知道你的加密算法，該機密資料就成了毫無意義的亂碼一堆。常見的加密軟件有SecWall、明朝萬達、完美數據加密大師等。

3.4 警惕“網絡釣魚”

“網絡釣魚”（phishing）是通過大量發送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息的一種攻擊方式。黑客就是利用這種欺騙性的電子郵件和偽造的web站點來進行網絡詐騙活動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。黑客通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。對此，用戶應該提高警惕，可安裝一款有反垃圾郵件功能的良好殺毒軟件。大多數安全產品都能將這種郵件識別為垃圾郵件，使你對它們的花言巧語提高警惕。不登錄不熟悉的網站，鍵入網站地址時要認真校對。多用常識思考，因為這是你 抵御詐騙的最有效方式。沒有人會無條件地給予你什么，而網上一見鐘情的概率也是微乎其微。因此，你從一開始就要對這種聯絡抱有高度懷疑，以防誤入圈套。結語

本文簡要地分析了計算機網絡存在的幾種安全隱患，并探討了計算機網絡的幾種安全防范措施。總的來說，網絡安全不僅僅是技術問題，同時也是一個安全管理問題。目前解決網絡安全問題的大部分技術是存在的，但是隨著社會的發展，人們對網絡功能的要求愈加苛刻，這就決定了通信網絡安全維護是一個長遠持久的課題。我們必須適應社會，不斷提高技術水平，以保證網絡安全維護的順利進行。

參考文獻

1、尹建璋《計算機網絡技術及應用實例》西安電子科技大學出版社，2、劉遠生、辛一主編《計算機網絡安全》北京:清華大學出版社.2009.6

3、張千里，陳光英《網絡安全新技術》北京：人民郵電出版社,2003.1

4、徐茂智《信息安全概論》人民郵電出版社2007.8

5、劉永華、解圣慶《局域網組建、管理與維護》清華大學出版社2006.6

5、呂江。網絡安全現狀分析及應對措施[J]．中國新技術新產品，2009，23：44～45．

The current network common security analysis

Abstract: information age, people to the computer and network applications and dependence on more and more high, the information security problem has become very prominent, the magnitude of the information stored in the network, may at any time by the illegal invasion, there are serious security hidden danger in this paper according to a few fire outstanding network security problem, inductive and puts forward some prevention network information security copy method and strategy of the wide application of computer network to computer security put forward higher request, also make the problem of network security becomes more and more serious if not solve this problem well, will hinder the process of the development of computer network.Keywords: network security ,hackers ,network fraud

第五篇：網絡安全技術論文

網絡安全技術 論文

題 目 網絡安全之防火墻技術 學生姓名 ＿＿ *** ＿＿＿ ＿＿ 學 號 ＿ ***＿ ＿＿＿＿ 專業班級 ＿＿＿*** ＿

指導老師 ＿ ***＿ ＿＿ ＿

2011年 12 月12日

摘要：

文中首先論述了信息網絡安全內涵發生的根本變化，闡述了我國發展民族信息安全體系的重要性及建立有中國特色的網絡安全體系的必要性，然后具體講述了網絡防火墻安全技術的分類及其主要技術特征，防火墻部署原則，并從防火墻部署的位置詳細闡述了防火墻的選擇標準。同時就信息交換加密技術的分類及RSA算法作了簡要的分析，論述了其安全體系的構成。關鍵詞：網絡安全 防火墻

一、防火墻的定義和由來

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入。

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統，提出了防火墻概念后，防火墻技術得到了飛速的發展。國內外已有數十家公司推出了功能各不相同的防火墻產品系列。目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。防火墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇。在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網絡系統?如果答案是“是”,則說明企業內部網還沒有在網絡層采取相應的防范措施。

二、防火墻的功能

防火墻服務于以下多個目的： 1)限定人們從一個特定的控制點進入； 2)限定人們從一個特定的點離開； 3)防止侵入者接近你的其他防御設施；

4)有效地阻止破壞者對你的計算機系統進行破壞。

1）防火墻是網絡安全的屏障：

一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

2）防火墻可以強化網絡安全策略：

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火墻一身上。

3）對網絡存取和訪問進行監控審計：

如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。

除了安全作用，防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN（虛擬專用網）。

三、防火墻技術與產品發展的回顧

從總體上看,防火墻應該具有以下五大基本功能：

●過濾進、出網絡的數據； ●管理進、出網絡的訪問行為； ●封堵某些禁止行為；

●記錄通過防火墻的信息內容和活動； ●對網絡攻擊進行檢測和告警。

為實現以上功能,在防火墻產品的開發中,人們廣泛地應用了網絡拓撲、計算機操作系統、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段。縱觀防火墻近年

來的發展,可以將其劃分為如下四個階段(即四代)。

1）基于路由器的防火墻

由于多數路由器本身就包含有分組過濾功能,故網絡訪問控制可能通過路控制來實現,從而使具有分組過濾功能的路由器成為第一代防火墻產品。第一代防火墻產品的特點是：

1)利用路由器本身對分組的解析,以訪問控制表(Access List)方式實現對分組的過濾； 2)過濾判斷的依據可以是:地址、端口號、IP旗標及其他網絡特征；

3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對安全要求低的網絡可以采用路由器附帶防火墻功能的方法,而對安全性要求高的網絡則需要單獨利用一臺路由器作為防火墻。2）用戶化的防火墻工具套

為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發的防火墻系統來保護自己的網絡,從而推動了用戶防火墻工具套的出現。

作為第二代防火墻產品,用戶化的防火墻工具套具有以下特征： 1)將過濾功能從路由器中獨立出來,并加上審計和告警功能;； 2)針對用戶需求,提供模塊化的軟件包；

3)軟件可以通過網絡發送,用戶可以自己動手構造防火墻；

4)與第一代防火墻相比,安全性提高了,價格也降低了。3）建立在通用操作系統上的防火墻

基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發商很快推出了建立在通用操作系統上的商用防火墻產品。近年來市場上廣泛使用的就是這一代產品,它們具有如下一些特點:：

1)是批量上市的專用防火墻產品；

2)包括分組過濾或者借用路由器的分組過濾功能；

3)裝有專用的代理系統,監控所有協議的數據和指令；

4)保護用戶編程空間和用戶可配置內核參數的設置； 5)安全性和速度大大提高。

四、防火墻的選擇

選擇防火墻的標準有很多,但最重要的是以下幾條:

1.總擁有成本防火墻產品作為網絡系統的安全屏障,其總擁有成本(TCO)不應該超過受保護網絡系統可能遭受最大損失的成本。

以一個非關鍵部門的網絡系統為例,假如其系統中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于關鍵部門來說,其所造成的負面影響和連帶損失也應考慮在內。如果僅做粗略估算,非關鍵部門的防火墻購置成本不應該超過網絡系統的建設總成本,關鍵部門則應另當別論。

2.防火墻本身是安全的

通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,這類問題一般用戶根本無從入手,只有通過權威認證機構的全面測試才能確定。其二是使用不當。一般來說,防火墻的許多配置需要系統管理員手工修改,如果系統管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。3.可擴充性

隨著網絡的擴容和網絡應用的增加,網絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產品。好的產品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統,而隨著要求的提高,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產品的廠商來說,也擴大了產品覆蓋面。

五、結論

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。針對這些缺陷，應該設計更為有效的防火墻，為網絡安全提供更全面的保障。

參考文獻

[1] 莫向陽.Filter-Hook Driver詳解[M].北京：機械工業出版社，2008。[2] W.Richard Stevens.TCP/IP詳解卷一[M].北京：機械工業出版社，2004。[3] 辛長安.Viusal C++編程技術與難點剖析[M].北京：清華大學出版社，2002。