第一篇：計算機網絡安全之寬帶網絡安全與防護

西北民族大學電氣工程學院《計算機網絡安全》論文

寬帶網絡安全與防護

（電氣工程學院2008級電子信息工程2班郭彩茹）

摘要：隨著網絡技術的發展，以及電腦和互聯網的廣泛應用，網絡規模日漸龐大，網絡結構也日趨復雜，這使得網絡安全問題變得越來越重要。近年來電子商務、電子政務等數據業務的出現和興起，使得對寬帶網絡的安全保障和防護能力提出了更高的要求。因此，寬帶網絡的安全建設與保障已經成為能夠影響寬帶運營的重要因素。對于寬帶運營企業來講，安全問題已經對企業發展產生重要的影響。眾所周知，Internet的開放性和共享性不可避免地導致網絡的安全性將受到嚴重影響，為了使寬帶數據業務如電子商務、電子政務良好的開展，網絡安全已成為寬帶網絡建設的核心問題。而網絡安全建設的關鍵是保證網絡數據業務的安全。所謂網絡安全建設是指數據信息的保密性、完整性、可靠性、可用性、實用性和占有性。

關鍵詞：寬帶網絡；安全問題；防護方法

1引言

互聯網高速發展的今天，越來越多的用戶使用了寬帶接入互聯網的方式。寬帶對應的安全問題日益突出，帳戶被盜、密碼丟失、系統被黑等系列問題又帶來了多級代理、惡意盜號、非法充網絡游戲幣值等更多更嚴重的問題。下面我們來看看寬帶的安全問題以及涉及到的防護方法。

2盜用寬帶帳號及密碼問題

這個問題由來已久，只是大家心照不宣，沒有把這個問題拿到臺面上說。其實這個問題很大程度是由于電信驗證以及寬帶業務的不同種類引起的。

2.1舊病用新藥：寬帶帳號的盜用

帶撥號用戶的認證方式主要有PPPOE和WEB認證兩種。PPPOE采用先認證，后分配IP的方式，需注意，如果是包月制，采用PPPOE方式不能解決對非法用戶的遠程停、開機，這些用戶可盜用他人帳號及密碼上網，采用WEB認證方式也解決不了這個問題。目前國內的寬帶用戶大多是基于PPPOE的DSL用戶，當終端接入INTERNET時需要撥號驗證，而驗證的用戶名及密碼是在用戶辦理寬帶業務時取得，由于電信出于管理原因，這個帳號及密碼有很大規律可循：用戶名很多都以電話號碼為基數，加上其他一些簡易字母，后邊加上諸如@163等的后綴，密碼幾乎都是電話號碼，猜解這個帳號及密碼非常容易。

寬帶用戶對帳號密碼更根本沒有安全意識，甚至某些寬帶安裝人員也對用戶-1-

說，寬帶密碼不存在安全問題，只有你的電話能用。久而久之，這個隱性問題非常普遍，去找到一個寬帶賬號非常容易。我曾經測試編寫專用程序猜解寬帶賬號，判定條件是猜出來的帳號密碼匹配，測試時間是凌晨2點，半小時內找到了100多個帳號可以使用，其結果是驚人的。

2.2 電信的政策

這個問題也還是根源于電信的政策，目前電信的寬帶驗證過程如下：第一，你的電話必須辦理了寬帶業務，物理上線路是可用的。第二，你在撥號時用的用戶名及密碼是匹配的。

我們來看看第二點：用戶名及密碼匹配，就是說只要是一對用戶名和密碼，即使這個用戶名密碼不和你的線路匹配，你一樣可以通過電信的機房設備認證，撥號分得IP連上網。去年的時候筆者在全國的各個城市驗證過，同一時間同一個帳號及密碼可以幾個人一起使用。今年電信作了調整，同一帳號及密碼在同一時間只能有一個用戶使用。遵循先入為主原則，這樣就會引起賬號盜用問題。因為ADSL數據信號與普通電話語音信號走不同的頻段，而且使用ADSL上網的時候并不經過電話交換機，所以沒有辦法根據電話號碼查出來是誰在盜用你的帳號及密碼，這樣的后果其實很嚴重，也就是說使用你的帳號及密碼接入網絡后一切違法后果均由帳號及密碼辦理人承擔，因為最終確立責任是查找電信的寬帶業務記錄。

2.3盜用別人帳號和密碼的原因

前邊我們說了，盜用者必須也辦理寬帶業務，那么可能有人會問，既然已經辦理寬帶業務了，還盜用別人的帳號及密碼?原因有三：第一，為了隱藏身份。這種情況黑客居多或其它有惡意得破壞者居多。第二，一些辦理按流量上網的人可以不受流量限制使用寬帶。一個辦理按流量上網的寬帶用戶可以使用其它的辦理包月的寬帶用戶的帳號及密碼而不受流量限制，其結果是正當包月用戶的權益受損。這樣電信記錄的是包月上網用戶的上網記錄，而不是按流量上網的用戶的記錄。第三，當使用他人帳號及密碼撥號后，可以支付一些游戲的點卡購買的網上交易業務。最后這點引起的問題尤其嚴重，要引起我們的注意。

有城市開通了帳號及密碼捆綁業務，可以去電信營業廳辦理捆綁業務，這樣你的寬帶賬號只能在你申請寬帶的線路上使用(即你的寬帶賬號只能通過你本身的ADSL/LAN線路撥號上網)，無需再擔心賬號被他人盜用而影響你的正常使用。目前，申請了捆綁業務的寬帶用戶不到總用戶的百分之十，一方面是由于寬帶用戶的安全意識不強，另一方面由于這項業務不是所有城市都開通了。目前我們最重要的是形成安全意識，保管好自己的寬帶帳號及密碼，往往帳號及密碼泄露是由于所有者本人造成的。定期修改密碼和設置強口令也是必須做的，當我們都形

成了這種安全意識，不法者的生存空間也就少了。

3不被注意的角落：路由器的安全

使用路由器，或帶路由功能的貓時，當用戶不使用路由方式上網，MODEM只工作在二層以下，只起到橋接作用，完成對MAC幀的SAR功能和物理層透傳功能，電腦上的撥號軟件完成撥號的過程，公網IP由撥號電腦獲得。

3.1 使用路由功能時的情況

我們看看使用路由功能時的情況，現在相當部分用戶為了上網方便，打開了MODEM的路由功能，把寬帶賬號輸入到MODEM中，讓MODEM完成撥號的過程。在這種方式下公網IP地址分配給MODEM，然后通過路由器作為網關來實現上網。大多數帶路由功能的MODEM都提供了Web和Telnet等配置方式供用戶使用，這些MODEM的端口80、23默認打開。那么他人可以遠程就能訪問到你的MODEM的配置頁面，然后查看存放用戶名、密碼一頁的HTML源代碼，就可以看到明文的用戶名和密碼。

3.2 實例說明

首先我們啟動流光，由于這是大家比較熟悉的軟件，這里不羅嗦使用方法，我這里用的是5.0，在其高級掃描選項選擇一個網段，檢查項目只選擇FTP和Telnet，這樣可以加快速度。選擇好字典，開始掃描可以看到帳號及密碼了吧?密碼是星號，經驗判斷就是帳號內的電話號，查看網頁的源碼，驗證猜想正確——這就是目前網上非常流行的充QQ幣值的方法!

路由暴露的問題是目前普遍存在的，希望可以引起注意。目前主流的寬帶路由器都支持FTP和Telnet訪問，且大多數用戶根本不修改其默認密碼及端口，每個品牌的路由器都有默認密碼，在網上很容易找到，這里也不公布了。使用寬帶路由器時，在設置時一定要更改默認選項，尤其是默認密碼，最好能把默認的FTP，Telnet默認端口也改了，或者不允許使用，因為往往是使用者的不當設置造成了安全隱患。

4操作系統的問題

4.1系統問題

另外系統問題很多，也讓人苦笑不得，比如病毒木馬引起的后門問題，系統本身空密碼或者弱密碼，沒有打上最新的補丁等。回憶近幾年來4星以上的病毒，諸如紅色代碼II，求職信，尼姆達等留有后門的病毒給我們留下的印象很是深刻。路由器問題和系統本身的問題往往又會引起寬帶帳號泄露問題，這樣就會形成一

個惡性循環。這些問題都應該引起我們的注意。

4.2 中國寬帶網絡發展的當務之急

安全看似遙遠，其實就在你我身邊。安全性往往取決要進攻的對象之所花費與為保護數據花費的一種動態平衡，只有建立在深度防御基礎上的整體安全系統，才能有效地保護系統中每一個點的安全;才能有效地防止外界的非法入侵;也才能在發生故障的情況下，迅速找出最佳方法來恢復業務。總之，用戶、運營商和網絡安全商攜起手來盡快采取積極有效的防護措施，已經成為中國寬帶網絡發展的當務之急。

5結束語

隨著計算機技術和通信技術的發展，信息傳輸的手段發生了極大的變化。人們對各種業務的需求，也越來越提高，要求業務的種類越來越多樣化，如語音、數據、圖像等各種業務，使得多媒體業務的需求迅速上升。為了滿足上述業務迅速上升的需求，這就要求網絡建設向寬帶化、智能化、綜合化方向發展。使得寬帶網絡成為適應上述業務需求急待加快建設的一種網絡。目前，全球每天有超過40種新的計算機病毒出現，累計已有8萬種電腦病毒在流行；2002年平均每月有600種至700種新電腦病毒問世，黑客每年給全世界電腦網絡帶來的損失大約高達100多億美元。今年年初，蠕蟲病毒在短短的5天內就肆虐全球、至少造成了12億美元的損失。而情人節前后迅速蔓延的“愛蟲”病毒更是雪上加霜……

綠盟劉聞歡介紹，國內網絡中最為常見的被攻擊形式是服務入侵、拒絕服務和病毒感染，會分別導致頁面信息被篡改，系統資源、網絡資源、磁盤資源被占用，病毒大量復制傳播等危害，使工作無法正常進行。對此，可以采取不同的安全措施，如加強網關的安全性來限制不明身份者的入侵，同時對于有漏洞的地方還要及時做補丁修整，加固防火墻的抗攻擊程度等等，都可以在一定程度上免費防火墻被攻破。企業安裝防火墻還可實現對進出網絡的數據進行管理，安裝反病毒軟件監測電子郵件和Web流量，安裝入侵控測軟件隨時監測來自外部的可能的攻擊。

Cisco相關人員強調，只有建立在深度防御基礎上的整體安全系統，才能有效地保護系統中每一個點的安全；才能有效地防止外界的非法入侵；也才能在發生故障的情況下，迅速找出最佳方法來恢復業務。總之，用戶、運營商和網絡安全商攜起手來盡快采取積極有效的防護措施，已經成為中國寬帶網絡發展的當務之急。

那么我們作為一個獨立的個體，怎么才能保護自己寬帶的網絡安全呢？ 我認為：首先，也是最起碼的，就是為你的administrator賬號設一個密碼（不

能太簡單），因為這個賬號是刪不掉的，你即使不用也不能讓密碼空著。在實驗的過程中我發現有好多用戶平時可能用另外一個賬號，密碼倒是設了，但administrator的密碼卻是空的，那你豈不是白忙一場？

還有些用戶administrator賬號密碼設了，但又開了幾個密碼為空的賬號，這同樣是危險的。記住，所有的可用賬號都要設密碼，而且要定時管理這些賬號，關閉長期不用的賬號，對于administrator賬號最好是能經常更換密碼。

安裝一兩個防火墻是好方法，但記住一定要對防火墻進行設置，因為一般預設里面對局域網主機是沒有嚴密防范的，而你看到這里應該知道我們最需要防范的恰好是這些“局域網”主機。同時，防火墻本身也可能是有漏洞的，所以我用的是天網+Norton，這樣交叉防范還是比較令我放心的。

還要提醒你的就是，作了這樣防范之后，如果你的網絡結構采用的是第一種方案，那么你的幾臺主機之間也不能共享了，因為這幾臺主機和本網段的其他主機是處在平等地位。所以你如果要建設自己的網絡，考慮到安全性，建議你采用第二種方案，如果能用硬件路由器代替軟路由那就更佳了。

參考文獻

[1] 朗為民,雷承達.北京大學出版社.網絡安全與防護基礎教程.2005.07:15-105.[2] 閆宏生,王雪莉,楊軍.電子工業.計算機網絡安全與防護.2011.11:51-52.[3] 謝希仁.計算機網絡.電子工業出版社.2010.07:32-33.[4] 袁津生,齊建東.人民郵電出版社.計算機網絡安全基礎.2008.03:49-52.[5] 張曉明.清華大學出版社.計算機網絡教程.2010.09:65-67.

第二篇：計算機網絡安全與防護

《計算機網絡安全與防護》

計算機網絡安全與防護

作者：某某君 日期：2010年6月

摘要：由于網絡的開放性等特征而使其容易遭受黑客攻擊、病毒侵犯，針對網絡安全面臨的問題，總結提出一些解決的對策。

關 鍵 詞：網絡安全；黑客；病毒；防火墻；訪問權限

計算機網絡具有連接形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征，致使網絡易受黑客、惡意軟件和其它不軌的攻擊，例如，現在的病毒以破壞正常的網絡通訊、偷竊數據為目的的越來越多，它們和木馬相配合，可以控制被感染的工作站，并將數據自動傳給發送病毒者，或者破壞工作站軟、硬件，其危害相當惡劣，因此加強計算機網絡的安全建設已刻不容緩，只有足夠強的安全措施，才能確保網絡系統的安全性，網絡信息的保密性、完整性和可用性。

1網絡安全面臨的主要問題

計算機網絡所面臨的威脅大體可分為兩類：一是對竊取或破壞網絡中信息資源；二是對網絡中計算機系統的攻擊。影響計算機網絡的因素很多，歸納起來，針對網絡安全的威脅主要來自于如下四個方面：

1.1網絡黑客：指的是熟悉特定的電腦操作系統，并且具有較強的技術能力，惡意非法進入他人計算機系統，黑客利用系統中的安全漏洞非法進入他人計算機系統，可以利用個人技術查詢或惡意破壞重要數據、修改系統文件導致計算機系統癱瘓，黑客的攻擊程序危害性非常大，從某種意義上講，黑客對計算機網絡安全的危害甚至比一般的電腦病毒更為嚴重。

1.2配置不當：安全配置不當造成了安全漏洞，例如，對網絡服務器的訪問權限設置不當，非法用戶對網絡服務器信息進行非法調用和竊取。對防火墻軟件的配置不合理，例如只是對外設置防火墻保護，那么對內幾乎不起什么作用，然而不幸的是，一般情況下有70％的攻擊是來自局域網的內部用戶，所以怎樣防止來自內部的攻擊是當前局域網建設中的一個非常重要的方面。

1.3計算機病毒：目前網絡安全的頭號大敵是計算機病毒，它是編制或者在計算機程序中插入的破壞計算機功能或數據，影響計算機軟件、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性幾大特點，病毒的種類也不斷變化，破壞范圍也有軟件

擴大到硬件。新型病毒正向著更具破壞性、更加隱蔽、傳染率更高、傳播速度更快、適應平臺更廣的方向發展。

1.4安全意識不強：用戶口令設置過于簡單，或用戶的訪問權限設置不當，或將管理員的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。將一些處理過的機密文件隨意存放在工作站的共享文件夾內，或在硬盤上留有備份，這就有可能使得某些重要文件在局域網上隨意地流傳，為網絡系統留下了安全隱患。主服務器上的數據庫存放著所有重要數據，不能及時進行數據備份，如果這個數據庫遭到破壞，將會遭到無法挽回的損失。

2網絡安全性的解決方法

2.1有效防護黑客攻擊：WEB、FTP、DNS這些服務器較容易引起黑客的注意，并遭受攻擊。從服務器自身安全來講，只開放其基本的服務端口，關閉所有無關的服務端口。如DNS服務器只開放TCP／UDP42端口，WEB服務器只開放TCP80端口。FTP服務器只開放TCP21端口；在每一臺服務器上都安裝系統監控軟件和反黑客軟件，提供安全防護作用并識別惡意攻擊一旦發現攻擊，會通過中斷用戶進程和掛起用戶帳號來阻止非法攻擊；有效利用服務器自動升級功能定期對服務器進行安全漏洞掃描，管理員對及時網絡系統進行打補丁；對于關鍵的服務器，如計費服務器、中心數據庫服務器等，可用專門的防火墻保護，或放在受保護的網管網段內。

為了從物理上保證網絡的安全性，特別是防止外部黑客入侵，可以將內部網絡中所分配的IP地址與電腦網卡上的MAC地址綁定起來，使網絡安全系統在偵別內部信息節點時具有物理上的唯一性。

2.2制定有效配置方案：應通過合理正確的授權來限制用戶的權限，這是在辦公用戶中特別容易被疏忽的，如局域網中的共享授權，經常會被用戶設置成對任何人開放且完全控制，這非常不安全也是很危險的。正確的方法是針對不同的用戶設置相應的只讀、可讀寫、可完全控制等權限，只有指定用戶才會有相應權限，既保護了數據，又建立了合理的共享。

防火墻配置方案如下：將網絡劃分為三個部分，Internet(外網)、DMZ區(非軍事區)、內網。Internet(外網)和DMA區通過外部路由器隔離；DMZ區和內部網絡通過內部路由器隔離。代理服務器、E-mail服務器、各種服務器(包括Web服務器、Ftp服務器等)、以及其它需要進行訪問控制的系統都放在DMZ中。外部網絡非法入侵者要攻破此防火墻系統偵聽到內部網上的數據，必須突破外部路由器和內部路由器才能侵襲內部網絡，這樣大大提高了內部網絡的安全級別。配置防火墻的流量控制相關參數，實現不同時段、不同子網的不同帶寬流量設置，有效防止內部用戶在網絡使用高峰時期大量占用帶寬而導致網絡癱瘓。

為了保證網絡內部安全還應該利用Vlan技術將內部網絡分成幾個子網，網絡分段通常被認為是控制網絡廣播風暴的一種手段，但其實也是保護網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽，網絡分段用來實現對局域網的安全控制，也防止了內部網用戶對網絡服務器的攻擊。

2.3建立病毒防護體系：對于一個網絡系統而言，絕不能簡單的使用單機版的病毒防治軟件，必須有針對性地選擇性能優秀的專業級網絡殺毒軟件，以建立實時的、全網段的病毒防護體系，是網絡系統免遭病毒侵擾的重要保證，用戶可以根據本網絡的拓撲結構來選擇合適的產品，及時升級殺毒軟件的病毒庫，并在相關的病毒防治網站上及時下載特定的防殺病毒工具查殺頑固性病毒，這樣才能有較好病毒防范能力。

2.4加強網絡安全意識：加強網絡中用戶名及密碼的安全：必須為系統建立用戶名和相應的密碼，絕不能使用默認用戶或不加密碼；密碼的位數不要短于6位，最好使用大、小寫字母、標點和數字的混合集合，并定期更改密碼；不要所有的地方都用一個密碼，不要把自己的密碼寫在別人可以看到的地方，最好是強記在腦子里，不要在輸入密碼的時候讓別人看到，更不能把自己的密碼告訴別人；重要崗位人員調離時，應進行注銷，并更換系統的用戶名和密碼，移交全部技術資料。對重要數據信息進行必要的加密和認證技術，以保證萬一數據信息泄漏也能防止信息內容泄露。

對于網絡中的硬件設備、軟件、數據等都有冗余備份，并具有在較短時間內恢復系統運行的能力。對于存放重要數據庫的服務器，應選用性能穩定的專用服務器，并且配備UPS等相關的硬件應急保障設備，硬盤最好作Raid備份，并定時對數據作光盤備份。

總之，要想建立一個高效、穩定、安全的計算機網絡系統，不能僅僅依靠防火墻、殺毒軟件等單個的系統，需要仔細考慮系統的安全需求，將系統配置、認證技術、加密技術等各個方面工作結合在一起才能夠實現。當然，絕對安全可靠的網絡系統是不存在的。我們采用以上措施來保護網絡安全，只不過是為了讓我們的網絡數據在面臨威脅的時候能將所遭受到的損失降到最低。

參考文獻：

[1]孫學軍,喻梅.《計算機網絡》.電子工業出版社，2003

[2]鄭再欣.“淺談計算機網絡安全及防范”.《廣東公安科技》,2004

[3]徐翼超.“計算機網絡安全問題初探”.《交通企業管理》，2004

第三篇：計算機網絡安全及防護

摘要：

隨著信息系統的不斷發展，計算機網絡系統已經擴散到了各個領域，且在其中扮演著重要角色，同時也對人們的日常生產帶來了很大影響。但在計算機網絡系統迅速發展的同時，也帶來了安全隱患，嚴重威脅到了人們的經濟財產安全，所以確保計算機網絡系統正常運行，做好相應的防護工作至關重要。本文就計算機網絡的安全及防護進行簡要分析，希望對計算機網絡系統的進一步發展有良好的促進作用。

關鍵字：安全防護；網絡病毒；計算機系統

0引言

隨著計算機技術的廣泛傳播，人類開始進入了信息化時代。社會各界也逐步提高了對網絡技術的重視，依賴性越來越大。但由于計算機網絡技術自身的局限性，致使網絡信息平臺安全性越來越低，從而給不法分子提供了機會。所以增強計算機網絡系統的安全性，已經逐步成為了社會各界重點關注的話題。

1.威脅計算機網絡安全的因素

1.1黑客攻擊

網絡攻擊與網絡監聽是兩種常見的黑客攻擊方式，其攻擊的手段很難讓人察覺，不僅僅局限于衛星、微波、無線等幾種通訊方式。網絡攻擊就是黑客利用系統漏洞、互聯網協議、緩沖區溢出等各種攻擊手段，占用網絡系統的可用資源，最終造成系統崩潰、網絡崩盤的局面，致使網絡無法正常使用。而網絡監聽則是通過冰河、灰鴿子等病毒軟件，在對方不注意的情況下，通過互聯網進入對方電腦，待入侵成功后便輕松截取對方信息，可以說，一旦目標電腦被入侵便沒有了秘密可言[1]。

1.2木馬程序的威脅

木馬程序與普通的計算機軟件不同，它是通過遠程操作控制目標主機。它可為攻擊者提供入侵目標主機的捷徑，可以在對方沒有察覺的情況下，肆意獲取目標主機的機密文件，甚至可以遠程操作目標主機，給使用者帶來嚴重的威脅。通常這種惡意程序是通過與其他程序捆綁、偽裝或利用網站掛馬的方式吸引目標下載執行，其隱蔽性及強，很難讓人一眼看出。在當今網絡開放的時代，木馬程序極度泛濫，嚴重威脅網絡用戶的人身安全[2]。

1.3計算機病毒

所謂計算機病毒就是入侵者往計算機程序中插入了一段可以影響計算機使用，且能夠自我復制的程序代碼或者計算機指令，這種病毒具有潛伏性、傳染性、寄生性和傳染性的特點。因此這類病毒通常在數據傳輸、復制以及運行程序中傳播，在日常使用中，光盤、硬盤、U盤等都是傳播計算機病毒的主要途徑。一些計算機病毒破壞性很大，比如熊貓燒香病毒等，它給網絡運行帶來了極大危害，嚴重影響了計算機網絡的正常運行。

1.4系統漏洞的威脅

網絡軟件并不是百毒不侵的，其中存在著很多的缺陷與不足，各類軟件與操作系統都是通過反復調試與編寫才投入使用，即使這樣其自身的結構與設計都會出現問題，不可能任何漏洞都沒有，而這些漏洞就給計算機病毒與惡意程序提供了機會，使得計算機處于一種非常危險的境地，一旦聯網，就有被入侵的可能[3]。

1.5內部的威脅

內部威脅主要來自于企業員工或離職人員，通常內部威脅要遠遠超過外部威脅。主要是因為企業員工是重要數據直接管理者，因為他們的安全意識淡薄，在網絡平臺上，缺少適當的安全防范措施，給非法分子提供了可乘之機，致使企業機密泄露，進而給企業帶來嚴重的經濟損失，同時也嚴重威脅到了個人信息安全。近幾年企業內部威脅事故時有發生，已成為了企業安全管理的重要內容。

2.增強網絡防護的有效措施

2.1防火墻技術

防火墻技術是當前應用最為廣泛的一種網絡安全防護技術，該技術的作用是控制網絡訪問，阻止非法進入內網，從而對內網資源進行保護。防火墻會對傳輸的數據包以及數據包中的信息進行逐一檢測，確保其中的數據滿足計算機系統的訪問控制規則（目標端口、源端口、源地址等），如果滿足，則允許通過，若不滿足則會將數據包丟棄。當前已有的防火墻技術主要有三種包過濾防火墻、狀態監測防火墻和應用代理防火墻三種。包過濾防火墻是通過對數據包中的信息進行匹配，實現對內網資源的保護；狀態監測防火墻除了具有包過濾防火墻的功能外，還會對監測表的狀態進行檢測；而應用代理防火墻則是通過代理服務器先對即將訪問的客戶端進行檢測，完成數據包信息的匹配，然后再根據數據信息的匹配結果決定是否可以訪問服務器。防火墻技術的缺陷在于無法阻止內部網絡用戶造成的威脅，也無法有效地阻止傳送攜帶病毒的文件和程序。
2.2入侵檢測技術

入侵檢測技術屬于一種新興的計算機安全防護技術，該技術是對數據加密和防火墻等傳統技術的補充。入侵檢測技術作用的發揮通常需要信息收集、分析和結果處理三個步驟。首先是對計算機網絡、運行系統等數據信息進行收集，包括正在運行的程序、文檔、網絡系統的日志文件等。其次，對所收集到的信息進行分析處理，檢測出這些信息是否存在異常情況，同時將檢測的報告傳送給控制臺。最后，根據告警信息，控制臺將采取相應的防護措施，比如改變文件屬性、切斷內網與外網間的聯系、終止進程以及重新設置路由器和防火墻。

2.3防病毒技術

就是監測計算機系統是否存在異常請求與非法操作的一項安全技術，一旦發現系統有安全隱患或病毒特征碼的資源，就會立即報警，然后通過清除或隔離的方式，來降低病毒對計算機系統的干擾。不管是單機型系統或網絡型防病毒軟件，都具有自動更新病毒數據庫、檢測并清除病毒等功能。安裝防病毒軟件后，可以實現定時查殺病毒軟件、定時更新病毒庫、實時監測并保護計算機系統，從而有效降低病毒軟件的影響。

2.4漏洞掃描技術

漏洞掃描技術是通過檢測并收集目標主機請求，然后將收集的信息與數據庫逐一匹配，從而找出目標主機脆弱性的檢測技術。通過漏洞掃描技術能夠實現定位、分析目標系統的漏洞與安全隱患，以便網絡管理者進行修復，同時還能定期進行安全評估，有效避免病毒入侵，實現防護、修復功能，形成多層安全保護體系，有效降低了系統被攻擊的危險，提高了網絡系統的穩定性。

2.5采用數據加密技術

通過加密技術來避免計算機數據丟失。數據加密技術主要確保計算機系統內的口令、文件以及數據等的安全。數據加密的對象主要是網絡傳輸中的數據流。一般采用的方法有：端對端與線路加密兩種。其中端對端加密就是設置用戶權限、區分用戶資格，避免用戶非法存取數據，這一技術通常用于網絡操作系統以及NT技術中，在系統中可以設置用戶權限，以達到保護計算機數據，避免信息泄露的目的。線路加密則是通過加密模塊或加密法轉換等方法實現，側重的是對線路的加密，不考慮信源和信終，是對傳輸信息通過加密密匙來實現安全保護。此外還有數據存儲加密，這種加密技術側重的是存儲過程的保護，避免數據信息在存儲環節上失密，其中又分為存取控制和密文存取。

結語：

總之，計算機網絡系統安全問題是一項綜合性的課題，需要綜合考慮用戶實際需求以及網絡安全需求，結合實際情況合理選用網絡防護技術，管理者也要積極配合，進而形成一套完善的安全防護系統，有效避免了外來病毒的侵害，從而更好的服務于社會各個行業。

參考文獻：

[1]姚相振.2015年RSA大會網絡安全熱點議題[J].信息技術與標準化,2015(06):11-13.[2]王紅梅,宗慧娟,王愛民.計算機網絡信息安全及防護策略研究[J].價值工程,2015(01):209-210.[3]張建華.關于計算機網絡安全防護技術的探討[J].計算機光盤軟件與應用，2014,12(26):5628-5629.

第四篇：計算機網絡安全與防護

計算機網絡安全與防護

在當今網絡化的世界中，網絡的開放性和共享性在方便了人們使用的同時，也使得網絡很容易受到攻擊，計算機信息和資源也很容易受到黑客的攻擊,甚至是后果十分嚴重的攻擊，諸如數據被人竊取，服務器不能提供服務等等。因此，網絡和信息安全技術也越來越受到人們的重視，由此推動了防火墻、入侵檢測、虛擬專用網、訪問控制、面向對象系統的安全等各種網絡、信息安全技術的蓬勃發展。防火墻技術作為網絡安全的重要組成部分，格外受到關注。本文就網絡安

全、防火墻的種類以及防火墻技術在現實中的應用等進行簡要的介紹。

一、計算機網絡和計算機網絡安全的概念

計算機網絡是計算機科學發展到一定階段的產物，是由計算機系統和終端設備，通過線路連接形成的，實現了用戶遠程通信和資源的共享，而且有較高的可靠性和擴展性。計算機網絡化是信息社會的主要標志之一。

互聯網是通過ＴＣＰ／ＩＰ協議將各個不同地區及不同結構的計算機連接在一起組成的網絡形式。隨著互聯網用戶的不斷發展促進了信息交流，但正如引言中所指出的，網絡的發展也帶來安全方面的問題，例如網絡中使用的傳輸控制協議（ＴＣＰ）、互聯網協議、ＩＰ、路由器等都會出現安全方面的問題，需要采取鑒別、數據加密、數字簽名、防火墻等必需的安全機制和防護措施。計算機的安全是指計算機信息系統和信息資源不受自然和人為有害因素的威脅和危害。計算機安全的范圍包括實體安全、運行安全、數據安全、軟件安全和通信安全等。實體安全主要是指計算機硬件設備和通信線路的安全，其威脅來自自然和人為危害等因素。信息安全包括數據安全和軟件安全，其威脅主要來自信息被破壞和信息被泄漏。當前信息安全方面存在的主要問題是計算機病毒、計算機黑客、傳輸線路和設備的電輻射等。

二、計算機網絡的安全漏洞

網絡的開放性和共享性在方便了人們使用的同時，也使得網絡很容易受到攻擊，而且受到攻擊后的傷害是嚴重的，諸如數據被人竊取，服務器不能正常提供服務等等。其所以會受到攻擊，是因為存在著如下漏洞。

(1)口令

計算機網絡的口令系統非常脆弱，常常會被破譯。破譯者常常通過對信道的監測來截取口令或將加密的口令解密，獲得對系統的訪問權。特別是由于與內部局域網相連的互聯網需要進行兩類認證，一是需要用戶進行ＴＣＰ／ＩＰ注冊認證，由用戶輸入ＩＰ地址和口令；二是對業務往來和電子郵件信息需要進行來源認證。這兩類認證常常會受到攻擊。例如當用戶通過ＴＥＬＮＥＴ或ＦＴＰ與遠程主機聯系時，由于在互聯網上傳輸的口令沒有加密，因而帶有口令和用戶名的ＩＰ包就有可能被攻擊者截獲，用此口令和用戶名在系統上進行注冊，并根據被竊取口令所具有的權限獲得對系統相應的訪問控制權，進而竊取用戶的機密信息。

(2)協議

互聯網的某些協議，如ＴＣＰ／ＩＰ或ＵＤＰ協議存在著許多安全方面的漏洞，例如只能對主機地址進行認證，而不能對用戶進行認證就是一個漏洞。通過這個漏洞，只授權給某個主機，而不是授權給特定的用戶，這樣攻擊者就可利用被授權的主機與服務器通信，對系統進行攻擊。其在通信前先設置好一臺被信任的主機，與某主機有相同的名字和ＩＰ地址，然后建立聯系，使服務器認為它是真正的用戶，而從容地進行信息竊取活動。因此，為了使信息在網絡傳輸中不被竊取、替換、修改等，要求采取各種硬件及軟件措施，如網關、傳輸協議等來保護ＦＴＰ或Ｅ－ｍａｉｌ文件。

再如，由于ＩＰ技術過多考慮的是性能，而對安全性就消弱了許多，使得黑客捕獲目標ＩＰ地址不是一件復雜的事情，其實這是很危險的。黑客可利用ＩＰ和客戶軟件的漏洞使遠程用戶瞬間死機。為了保證互聯網上信息往來的安全，需要采用數字簽名的措施來保證數據發送和來源的可靠。

(3)操作系統和應用軟件

網絡操作系統和應用軟件也存在著安全漏洞，特別是在傳統的ＵＮＩＸ操作系統中發現了不少的漏洞，例如對可執行文件的訪問控制不嚴就成為許多黑客攻擊成功的原因之一。另外，許多應用軟件也都有安全漏洞，容易被黑客侵入，瀏覽器中的超級鏈接也很容易被攻擊者利用而進入系統。為此，需要采取安全級別較高的操作系統并增加必要的軟、硬件防護措施。

(4)互聯網

互聯網既龐大又復雜，系統邊界難以確定，用戶難以監視，系統受到的威脅來自各方，許多訪問控制措施配置起來十分困難也不易驗證其正確性。為此，為確保安全，內部網與互聯網的連接必須設立網關，以攔截和檢查每一條從互聯網來或去的信息，防止黑客、病毒之類的攻擊。此外，網關還需根據ＩＰ地址和端口數據對每一包進行濾波，使互聯網的網關成為防火墻的一部分。

三、防火墻技術簡介

由于計算機網絡存在著以上漏洞，所以受到了種類繁多的攻擊，歸納起來主要有掃描類攻擊、緩沖區溢出攻擊、木馬攻擊、ＤｏＳ攻擊、ＤｄｏＳ攻擊和碎片攻擊等等。為了防止計算機網絡受到攻擊，采取的有效手段是防火墻技術。防火墻是可在內部網和互聯網之間，或者內部網的各部分之間實施安全防護的系統，通過防火墻可以在內部、外部兩個網絡之間建立起安全的控制點，來實施對進、出內部網絡的服務和訪問信息的審計和控制，以允許、拒絕或重新定向經過防火墻的數據流的方式，防止不希望、未授權的數據流進出被保護的內部網絡。因此，防火墻是實現網絡安全策略的重要組成部分。

(1)防火墻要解決的安全問題

防火墻要解決的安全問題分為兩大類：

1、被保護系統的安全問題

在訪問控制安全方面，防火墻應能保護內部網絡的資源不被非授權使用。

在通信安全方面，防火墻應能提供數據保密性、完整性的認證，以及各種通信端不可否認的服務。

2、自身的安全問題

在訪問控制安全方面，防火墻應能保護防火墻自身與安全有關的數據不被非授權使用。在通信安全方面，在對防火墻進行管理時，包括遠程管理，應能夠提供數據保密性、完整性的認證，以及各種通信端不可否認的服務。

（2）防火墻的關鍵技術

目前，防火墻有兩個關鍵技術，一是包過濾技術，二是代理服務技術。

1、包過濾技術

包過濾技術主要是基于路由的技術，即依據靜態或動態的過濾邏輯，在對數據包進行轉發前根據數據包的目的地址、源地址及端口號對數據包進行過濾。包過濾不能對數據包中的用戶信息和文件信息進行識別，只能對整個網絡提供保護。一般說來，包過濾必須使用兩塊網卡，即一塊網卡連到公網，一塊網卡連到內網，以實現對網上通信進行實時和雙向的控制。

包過濾技術具有運行速度快和基本不依賴于應用的優點，但包過濾只能依據現有數據包過濾的安全規則進行操作，而無法對用戶在某些協議上進行各種不同要求服務的內容分別處理，即只是機械地允許或拒絕某種類型的服務，而不能對服務中的某個具體操作進行控制。因此，對于有些來自不安全的服務器的服務，僅依靠包過濾就不能起到保護內部網的作用了。

2、代理服務技術

代理服務又稱為應用級防火墻、代理防火墻或應用網關，一般針對某一特定的應用來使用特定的代理模塊。代理服務由用戶端的代理客戶和防火墻端的代理服務器兩部分組成，其不僅能理解數據包頭的信息，還能理解應用信息本身的內容。當一個遠程用戶連接到某個運行代理服務的網絡時，防火墻端的代理服務器即進行連接，ＩＰ報文即不再向前轉發而進入內網。

代理服務通常被認為是最安全的防火墻技術，因為代理服務有能力支持可靠的用戶認證并提供詳細的注冊信息。

代理服務的代理工作在客戶機和服務器之間，具有完全控制會話和提供詳細日志、安全審計的功能，而且代理服務器的配置可以隱藏內網的ＩＰ地址，保護內部主機免受外部的攻擊。此外，代理服務還可以過濾協議，如過濾ＦＴＰ連接，拒絕使用ＰＵＴ命令等，以保證用戶不將文件寫到匿名的服務器上去。

代理服務在轉發網絡數據包的方式與包過濾防火墻也不同，包過濾防火墻是在網絡層轉發網絡數據包，而代理服務則在應用層轉發網絡訪問。

以上介紹了兩種防火墻技術。由于此項技術在網絡安全中具有不可替代的作用，因而在最近十多年里得到了較大的發展，已有四類防火墻在流行，即包過濾防火墻、代理防火墻、狀態檢測防火墻和第四代防火墻。

第五篇：淺析計算機網絡安全防護措施

淺析計算機網絡安全防護措施

摘要：計算機網絡由于其特有的性質使其容易受到黑客的攻擊，這也給網絡安全防護提出了新的要求。本文從計算機網絡安全的現狀入手，探討了其目前存在的問題，并提出了相應的安全技術措施以抵御黑客的攻擊，文章還針對幾個常見的網絡攻擊，提出了防護措施及合理化建議，希望能對加強計算機網絡安全起到一定的作用。

關鍵詞：計算機；網絡安全；防護措施；木馬；病毒；攻擊；安全概論

計算機網絡的快速迅猛發展，給人們的日常生活帶來了深遠的影響。隨著人們對計算機網絡的不斷使用。網絡的安全性已經變得越來越重要。各種電腦病毒造成的大規模網絡安全攻擊事件給全球的互聯網和軍事情報網、商業帶來了重大沖擊，網絡病毒傳播速度之快及其破壞力之大和影響范圍之廣都遠遠超過以往沒有計算機網絡的時代。計算機網絡技術的發展，打破了傳統意義上的信息傳遞概念，是一種跨時代的飛躍。相對的，計算機網絡的安全性也至關重要，所以，各種保密手段和防黑客技術也在新的世紀得到突飛猛進的進展。掌握一定的網絡安全防護技術已經變得相當重要。網絡安全定義

網絡安全牽扯到多種學科的多個方面，采用各種技術手段，使網絡系統中的軟硬件和信息數據等受到全面監護，從而不會被盜取，維持網絡數據的完整性。計算機網絡安全現狀

3.1 惡意代碼。如今惡意代碼問題主要體現在政治、經濟和軍事上，已經成為網絡安全面臨的當務之急。通過系統漏洞、電子郵件等多種手段惡意代碼在主機間大量相互傳播，給國家和社會造成巨大的經濟損失、安全危機和利益損害。

3.2 安全漏洞。操作系統和各種應用程序的漏洞花樣繁多并且層出不窮，使得黑客攻擊得得心應手，任何系統都有漏洞，攻擊者們可以方便地從新聞組獲取程序漏洞進行攻擊。

3.3 黑客利用合法管理工具。用來改進系統管理及服務質量的電腦上存在的一些工具軟件。本意是用來改進系統管理狀態，但也會被黑客們用來收集非法信息及加強攻擊力度。4 網絡安全相關技術

4.1 防火墻技術。防火墻網絡安全的重要保護依靠，是21世紀新興的網絡安全保護措施，為保證安全上網及信息不外泄，人們普遍采用為計算機配置防火墻的辦法來保證網絡安全。通過軟件、硬件相補充，防火墻能在內外網之間搭建起一個“保護膜”，與電腦進行交互的各種通信都必須在此保護膜進行檢查過濾，木馬、病毒及可疑信息被屏蔽掉，可信信息可通過保護膜進行通信。

防火墻的作用主要有以下四點：（1）對通過它與電腦進行交互的網絡信息進行檢查并過濾掃描，將病毒、木馬攻擊過濾掉；（2）關閉不使用的端口，禁止特定端口的輸出信息；（3）禁止來自特殊站點的訪問，過濾掉不安全的服務和控制非法用戶對網絡的訪問：（4）控制網絡內部人員對網絡特殊站點的訪問。

4.2 計算機病毒防治技術。（1）殺毒軟件：是用于消除病毒、伊木馬和惡意軟件的一類

軟件。具有監控識別、病毒掃描清除和自動升級等功能，是計算機防御系統的重要組成部分。網絡版殺毒軟件可以對局域網內所有計算機進行病毒查殺，保證局域網系統安全。（2）防毒墻：傳統防火墻不能滿足企業安全防護的需要，而防毒墻作為一類高端殺毒設備，適合于大型網絡，在網關處進行查毒作業。目前比較知名的防毒墻有卡巴斯基、瑞星、驅逐艦、cp防毒墻。

4.3 入侵檢測技術。入侵檢測是指通過從計算機網絡或主機系統中的若干關鍵點收集信息并對其進行分析，通過對網絡傳輸的監控，檢測網絡或系統中是否有違反安全策略的行為和遭受襲擊的跡象，并對此進行日志記錄和采取相應措施，使病毒無法進入個人用戶計算機，避免信息丟失的一種安全技術。

作為一種積極主動的安全防護技術，入侵檢測技術提供了對內外攻擊和誤操作的實時保護，極大地方便了網絡管理，盡管目前在技術上仍有許多為克服的問題，但隨著科學技術的發展，入侵檢測技術也會不斷成熟更新。

4.4 漏洞掃描技術。所謂漏洞掃描技術，是利用系統自動檢測本地計算機或者遠程主機安全缺口的技術。它主要是通過安全掃描程序具體實現的，可以迅速且準確得在較大范圍內發現系統的薄弱環節，在黑客攻擊之前發現并修補漏洞。

4.5 密碼技術。密碼技術是基于密碼學的原理上發展起來的，其中密碼體制是密碼技術中最為核心的一個概念。一個密碼體制被定義為一對數據變換。對稱密碼體制的特征是用于加密和解密的密鑰是一樣的或相互容易推出。常見的網絡攻擊及其防范對策

5.1 特洛伊木馬。特洛伊木馬程序在個人電腦中隱藏一個會在系統啟動時自動運行的程序，用戶在上網時，木馬便可以控制你的電腦。該程序是一段額外的惡意操作編碼，附加在正常程序中。含有木馬的程序在執行時，實際上暗地執行了用戶不希望的程序。該木馬生命力非常頑強，它能夠不斷復制并插入到未被感染的程序中，逐漸使電腦癱瘓，黑客通過特洛伊木馬讀寫沒有授權的文件，并可以獲得計算機的掌控權。

避免在程序中隱藏特洛伊木馬的主要方法是，對新生成的文件進行數字簽名，然后通過對運行文件的數字簽名的檢查來判斷文件是否被植入木馬。對發現的木馬通過編輯win.ini文件更改木馬文件，檢查注冊表，并在注冊表中將木馬程序刪除；若下載到可疑程序后應該立即拒絕執行，運用殺毒軟件查殺完以后再運行。另外，用戶不要隨便從網站上下載軟件，經常檢查自己的系統文件、注冊表，提高自己的網絡安全意識。

5.2 郵件炸彈。電子郵件炸彈是發信人通過匿名的電子郵件地址，不斷重復性的將電子郵件郵寄給同一個郵箱地址，就像是戰爭時期用某個戰爭工具對同一地方進行瘋狂攻擊，因此被稱作郵件炸彈。通過電郵炸彈，黑客將被攻擊者的電子郵箱全部用垃圾郵件占滿，造成郵件服務器拒絕響應請求或執行任務服務，造成網絡連接丟失、系統崩潰。

避免郵件炸彈的一個簡單實現就是，在以太網中安置一個嗅探器（Sniffer），借助嗅探器管理人員可以診斷出大量單個主機需不斷不可見的問題；通過路由器的配置，選擇性獲取電子郵件。

5.3 過載攻擊。過載攻擊是黑客攻擊者通過服務器發出大量無用請求，在過載攻擊中，一個共享的資源或者服務由于需要處理大量的請求，以至于無法滿足從其他用戶到來的請求。

防止過載攻擊的措施主要有：手動殺死一些耗時的進程；限制單一用戶所使用的進程的最大數量。但是都存在負面作用，兩種方法都會使用戶的正常的請求得不到電腦系統的正常響應。電腦系統管理人員可以使用網絡地址列表和監視工具來發現過載攻擊，也可以通過路由器或前面介紹的防火墻來發現攻擊來源；在公共資源中，劃分計算機中的資源，限制單個用戶的使用量。結語

隨著計算機在人類生活中的廣泛應用，越來越多的計算機病毒傳播、計算機網絡非法入侵事件、計算機信息數據丟失問題造成巨大的國民經濟損失，甚至危害國家的安全。因此網絡安全問題已經受到人們的普遍重視，由此帶來的工種問題必須給予及時的解決。網絡安全不能僅僅依靠殺毒防毒技術發展。在研究技術的同時，電腦使用者也要加強網絡安全防范措施，增加網絡安全教育，提高安全意識。避免因為自己的失誤，造成一些不必要的損失。