第一篇：《網絡安全與防護》說課稿

《網絡安全與防護》說課稿

一、計算機網絡技術專業崗位-能力-課程結構圖

計算機網絡技術專業的培養目標：培養擁護黨的基本路線，德、智、體、美等方面全面發展，具有良好的科學素養，掌握計算機網絡基本技能，具備網絡工程組織與施工技能，具備網絡管理與維護技能，成為具有計算機網絡組網與設備調試、網絡系統集成與維護以及網頁設計與網站維護能力，適應崗位能力要求的高素質技能型人才。

對應的崗位：網絡設計與施工技術員、網絡管理與維護技術員。能力目標：網絡工程能力、網絡基礎能力、網絡管理能力。專業課程：《網絡安全與防護》、《網絡系統管理》、《綜合布線與工程》、《網絡設備安裝與配置》、《網絡工程制圖（Visio或AutoCAD）》、《網頁設計》、《網絡技術通識》、《計算機組裝與維修》

二、課程在人才培養方案中的地位、作用、性質

1、專業建設是為人才培養目標服務，課程建設是為專業課程體系服務。網絡專業從“網絡工程能力”、“網絡基礎能力”、“網絡管理能力”三個不同角度分別設置相應的課程，如果用一棵樹形容網絡專業的課程，《網絡安全與防護》課程相當于樹干，起到承上啟下的作用，無論“建網”中的設備管理，還是“用網”中的網絡維護，都需要“網絡管理能力”中的《網絡安全與防護》課程的技能和知識作支撐。

2、《網絡安全與防護》也對專業學習領域中的其它課程有有更好的促進作用，把《網絡安全與防護》應用這些后續課程中，“建安全的網”為用戶提供“安全的網絡應用”，所以《網絡安全與防護》課程在網絡技術專業整體課程中也是起著“核心”的作用，是專業學習領域中的必修課。

3、《網絡安全與防護》是計算機網絡技術專業人才培養方案中專業學習領域中的必修課,屬于B類課程。

三、課程教學目標（1）能力目標

能夠解決不同的網絡應用環境中遇到的信息安全問題，成為具備基本安全知識和技能的應用型人才，能夠正確配置個人主機安全，能夠規劃不同應用網絡環境中的安全方案，并能運用包括產品安全設置、系統安全策略制定、安全工具使用在內的安全防護技術。

（2）知識目標

掌握網絡安全技術的概念與相關知識，了解網絡安全相關標準，對于各類網絡環境所使用的各類技術有正確的認識。

（3）態度目標

遵守國家關于信息安全的相關法律法規，不利用所掌握的技術進行入侵攻擊方面的活動，有安全需求溝通的能力。

（4）總體目標

培養掌握較全面的網絡安全防護技能，同時具備較高的安全素養，能夠從事企事業單位的網絡安全與管理的合格從業人員。

四、課程內容

本課程以個人主機、服務器、局域網三個學習情景為背景，以任務驅動：威脅分析—策略—防護措施為主線，主要講解了以下十五個典型任務：網絡攻擊與防范；賬號安全設置；文件系統安全設置；刪除默認共享、刪除IPC$空連接；關閉危險端口和不用服務；軟件防火墻的使用；防病毒軟件的安裝、設置和使用；入侵檢測系統的安裝與使用；加密軟件的安裝與使用；組策略配置；通信安全設置；應用服務的安全設置；網絡監聽與防護；防火墻配置等。

五、教學方法

根據每個任務的內容特點，結合計算機網絡技術專業學生的特點和工學結合的要求，以真實案例進行引導，綜合運用基于工作過程的任務驅動法、案例分析法、分組討論法、角色扮演法等教學方法開展教學。

1、案例分析法：以真實發生的安全事件為背景，引導學生分析事件中存在的安全風險及造成的影響，制定安全防護計劃，選擇安全技術。

2、師生互動討論法、分組實驗法：對于難度較大的任務，為了降低教學難度，先由師生互動對任務進行討論，以引導學生正確認識安全風險及相關的安全防護技術，之后采用分組實施法開展協作學習，學生強弱搭配，幾個人一組，一人操作，其他人在旁邊給出參考意見，完成后交換角色，最后教師總結歸納。以此提高學生的學習積極性和參與意識，降低學習的難度，培養學生的合作精神和團隊意識。

3、角色扮演法：網絡安全教學任務的實施多是需要不同的角色，多方共同參與的，以體驗防護技術的實施效果，比如使用sniffer抓包。

4、虛擬訓練：如利用實訓室設備模擬一個網絡環境。

5、現場演示：如部分安全設置可在多媒體教室完成。

6、以賽促學：如分組比賽、知識競賽等。

六、教學手段

1、多媒體教學

2、FLASH動畫演示

3、網絡實訓室實訓

4、網絡資源

5、頂崗實習

6、課外閱讀專業雜志

七、課程考核

本課程實施綜合考評，不僅理論與技能結合，并且注重學習態度和最終成績的平衡，注重過程考核，以全面綜合地評定學生的能力。

考核辦法：

1、過程考核：能力訓練任務的學習過程中，對學生進行任務的安排，根據每個任務的完成情況、出勤情況與表現，作為學生的過程考核成績，本部分占總成績的60%。

2、期末考試：主要考察學生對理論知的掌握程度，本部分成績占總成績的40%。

八、教學條件

校內實訓室：網絡實訓室現有36臺學生用電腦、1臺教師機、1臺天融信防火墻、1臺阿姆瑞特網關、1臺路由器、多臺交換機等網絡設備，這些設備通過雙絞線連接形成一個小型局域網，并且與校園網連接，可訪問Internet網，完全可滿足本門課程中涉及的實訓項目的要求。

九、怎么教

1、任務分析

2、技能目標

3、知識鏈接

4、操作步驟

5、課堂討論

6、拓展

十、“教學做一體化”案例

十一、教學團隊

十二、教材加工的特點

主要以《網絡安全基礎與實訓》為主，參考了《網絡安全技術與實訓》、《網絡安全與管理》、《網絡安全》等教材，按照項目導向、任務驅動的教學方法，圍繞三個教學情境：個人主機、服務器、局域網，選擇了15個任務，按照15個任務的內容要求，結合教學做一體化、重在培養能力對教材內進行了加工。

加工后的特點：

1、符合教改要求---基于工作過程的教學模式

2、摒棄了填鴨式的理論教學模式，著重培養學生的能力---實現“能力本位”

3、學習的內容是工作內容---工學結合

4、以任務為載體實現“教學做”一體化

5、學即能用，激發了學生學習興趣

6、實訓以實用為目的，理論以夠用為標準

第二篇：·網絡安全與防護

摘要： 隨著互聯網技術以及信息技術的飛速發展，網絡安全技術已經影響到社會的政治、經濟、文化和軍事等各個領域。網絡技術的成熟使得網絡連接更加容易，人們在享受網絡帶來便利的同時，網絡的安全也日益受到威脅。安全性是互聯網技術中很關鍵的也是很容易被忽略的問題。曾經，許多的組織因為在使用網絡的過程中未曾意識到網絡安全性的問題，直到受到了資料安全的威脅，才開始重視和采取相應的措施。可以舉例我們身邊的例子，如網上銀行。用戶可能沒有意識到網絡存在木馬程序的現象，未經檢查軟件的安全性就放心使用，其結果自然是損失慘重了。故此，在網絡廣泛使用的今天，我們更應該了解網絡安全，做好防范措施，做好網絡信息的保密性、完整性和可用性。

關鍵詞：網絡；安全；防范

引言

現今這個高速信息化的時代里，網絡作為計算機技術發

展到一定階段的必然產物，在生產生活中越來越發揮出主導和支配性作用。網絡的開放性和共享性在方便人們交換信息的同時，多節點的結構使網絡也越來越容易受到攻擊。因此，網絡和信息安全技術也越來越受到人們的重視。

如何才能解決網絡安全問題，避免網絡環境遭到攻擊，使網絡得到良性發展，我們就要了解目前網絡安全可能存在的各種安全風險、網絡安全防范的定義和范圍以及在網絡環境下如何應對這些不可控的風險。

1網絡安全的含義及特征

1.1 含義網絡安全是指：為保護網絡免受侵害而采取的措施的總和。當正確的采用網絡安全措施時，能使網絡得到保護，正常運行。

網絡安全的內容遠不只是防范黑客和病毒，它包括著廣泛的規則和慣例。網絡的安全內容由數據的安全性和通信的安全性內容組成。數據的安全性具體內容包括阻止對數據的非授權的訪問、轉移、修改和破壞。通信的安全性要求在通信中采用保密安全性、傳輸安全性、輻射安全性等措施，并且要求對通信安全性信息采用物理安全性措施。

1.2 特征網絡安全根據其本質的界定，應具有以下基本特征：①機密性：是指信息不泄露給非授權的個人、實體和過程，或供其使用的特性。在網絡系統的每一個層次都存在著不同的機密性，因此也需要有相應的網絡安全防范措施。在物理層，要保護系統實體的信息外露，在運行層面，保證能夠為授權使用者正常的使用，并對非授權的人禁止使用，并有防范黑客，病毒等的惡行攻擊能力。②完整性：是指信息未經授權不能被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性。③可用性：是指授權的用戶能夠正常的按照順序使用的特征，也就是能夠保證授權使用者在需要的時候可以訪問并查詢資料。在物理層，要提高系統在惡劣環境下的工作能力。在運行層面，要保證系統時刻能為授權人提供服務，保證系統的可用性，使得發布者無法否認所發布的信息內容。接受者無法否認所接收的信息內容，對數據抵賴采取數字簽名。

2網絡安全現狀分析

網絡目前的發展已經與當初設計網絡的初衷大相徑庭，安全問題已經擺在了非常重要的位置上，安全問題如果不能解決，會嚴重地影響到網絡的應用。網絡信息具有很多不利于網絡安全的特性，例如網絡的互聯性，共享性，開放性等，現在越來越多的惡性攻擊事件的發生說明目前網絡安全形勢嚴峻，不法分子的手段越來越先進，系統的安全漏洞往往給他們可趁之機，因此網絡安全的防范措施要能夠應付不同的威脅，保障網絡信息的保密性、完整

性和可用性。目前我國的網絡系統和協議還存在很多問題，還不夠健全不夠完善不夠安全。計算機和網絡技術具有的復雜性和多樣性，使得計算機和網絡安全成為一個需要持續更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的。3網絡安全解決方案

要解決網絡安全，首先要明確實現目標：①身份真實性：對通信實體身份的真實性進行識別。②信息機密性：保證機密信息不會泄露給非授權的人或實體。③信息完整性：保證數據的一致性，防止非授權用戶或實體對數據進行任何破壞。④服務可用性：防止合法擁護對信息和資源的使用被不當的拒絕。⑤不可否認性：建立有效的責任機智，防止實體否認其行為。⑥系統可控性：能夠控制使用資源的人或實體的使用方式。⑦系統易用性：在滿足安全要求的條件下，系統應該操作簡單、維護方便。⑧可審查性：對出現問題的網絡安全問題提供調查的依據和手段。

4網絡安全是一項動態、整體的系統工程。

網絡安全有安全的操作系統、應用系統、防病毒、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成，一個單獨的組件是無法確保信息網絡的安全性。從實際操作的角度出發網絡安全應關注以下技術：

①防病毒技術。病毒因網絡而猖獗，對計算機系統安全威脅也最大，做好防護至關重要。應采取全方位的企業防毒產品，實施層層設防、集中控制、以防為主、防殺結合的策略。②防火墻技術。通常是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合（包括硬件和軟件）。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。③入侵檢測技術。入侵檢測幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力，提高信息安全基礎結構的完整性。它在不影響網絡性能的情況下對網絡進行監控，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。具體的任務是監視、分析用戶及系統活動；系統構造和弱點審計；識別反映已進攻的活動規模并報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。④安全掃描技術。這是又一類重要的網絡安全技術。安全掃描技術與防火墻、入侵檢測系統三者相互配合，對網絡安全的提高非常有效。通過對系統以及網絡的掃描，能夠對自身系統和網絡環境有一個整體的評價，并得出網絡安全風險級別，還能夠及時的發現系統內的安全漏洞，并自動修補。如果說防火墻和網絡監控系統是被動的防御手段，那么安全掃描就是一種主動的防范措施，做到防患于未然。⑤網絡安全緊急響應體系。網絡安全作為一項動態工程，意味著它的安全程度會隨著時間的變化而發生變化。隨著時間和網絡環境的變化或技術的發展而不斷調整自身的安全策略，并及時組建網絡安全緊急響應體系，專人負責，防范安全突發事件。⑥安全加密技術。加密技術的出現為全球電子商務提供了保證，從而使基于Internet上的電子交易系統成為了可能，因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規的以口令為基礎的技術，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。⑦網絡主機的操作系統安全和物理安全措施。防火墻作為網絡的第一道防線并不能完全保護內部網絡，必須結合其他措施才能提高系統的安全水平。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施。按照級別從低到高，分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全;同時主機安全檢查和漏洞修補以及系統備份安全

作為輔助安全措施。這些構成整個網絡系統的第二道安全防線，主要防范部分突破防火墻以及從內部發起的攻擊。系統備份是網絡系統的最后防線，用來遭受攻擊之后進行系統恢復。在防火墻和主機安全措施之后，是全局性的由系統安全審計、入侵檢測和應急處理機構成的整體安全檢查和反應措施。它從網絡系統中的防火墻、網絡主機甚至直接從網絡鏈路層上提取網絡狀態信息，作為輸人提供給入侵檢測子系統。入侵檢測子系統根據一定的規則判斷是否有入侵事件發生，如果有入侵發生，則啟動應急處理措施，并產生警告信息。而且，系統的安全審計還可以作為以后對攻擊行為和后果進行處理、對系統安全策略進行改進的信息來源。

5結語

總之，網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。隨著計算機技術和網絡技術已深入到社會各個領域，人類社會各種活動對計算機網絡的依賴程度已經越來越大。增強社會安全意識教育，普及計算機網絡安全教育，提高計算機網絡安全技術水平，改善其安全現狀，成為當務之急。參考文獻：

[1]黃怡強等.淺談軟件開發需求分析階段的主要任務.中山大學學報論叢,2002(01).[2]胡道元.計算機局域網[M].北京:清華大學出版社,2001.[3]朱理森，張守連.計算機網絡應用技術[M].北京:專利文獻出版社，2001.[4]張世永．網絡安全原理與應用[M]．出版社．

[5]李明之．網絡安全與數據完整性指南[M]．機械出版社．

第三篇：網絡安全與防護

網絡安全與防護：

實踐環節考核大綱及考核內容：

1.使用X-Scan 3.3掃描器掃描系統存在的漏洞

a.使用X-Scan掃描本機或者其他機器上存在的安全漏洞。

b.學會簡單解釋掃描報告的含義

c.懂得設置掃描參數，設置指定IP范圍、掃描模塊

d.學會使用并解釋里面的traceroute工具、物理地址查詢工具、Ping工具

2.使用江民防火墻設置防火墻規則

a.學會安裝江民防火墻，了解保護策略中的防御策略、工作模式是什么

b.了解保護狀態下各選項的含義

c.學會使用網絡活動功能，懂得用該功能查看本機聯網程序的信息，為制定防火

墻的規則提供參考依據。

d.了解流量與活動報告

e.學會設置防火墻設置中的IP規則(如禁止對某網站數據報的進出等)、程序規則、惡意網址、信任程序。學會使用里面的網絡包捕獲工具、進程查看器

3.使用木馬克星或者360安全衛士對本地內存、硬盤進行查殺木馬

4.使用與設置常見的殺毒軟件360殺毒

5.使用TrueCrypt

a.了解正常安裝與便攜式安裝的區別

b.創建、加載、卸載，加密卷、加密分區、隱藏加密卷、文件型加密卷

c.學會使用密碼，使用和生成密鑰文件

d.學會設置TrueCrypt、學會更改為中文界面

6.使用md5checker工具檢查文件的完整性

7.學會使用Windows自帶的任務管理查看或中止異常進程

8.學會使用Syncback軟件對指定文件進行同步或者備份，學會使用計劃任務調用備份或者同步任務。

第四篇：計算機網絡安全與防護

《計算機網絡安全與防護》

計算機網絡安全與防護

作者：某某君 日期：2010年6月

摘要：由于網絡的開放性等特征而使其容易遭受黑客攻擊、病毒侵犯，針對網絡安全面臨的問題，總結提出一些解決的對策。

關 鍵 詞：網絡安全；黑客；病毒；防火墻；訪問權限

計算機網絡具有連接形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征，致使網絡易受黑客、惡意軟件和其它不軌的攻擊，例如，現在的病毒以破壞正常的網絡通訊、偷竊數據為目的的越來越多，它們和木馬相配合，可以控制被感染的工作站，并將數據自動傳給發送病毒者，或者破壞工作站軟、硬件，其危害相當惡劣，因此加強計算機網絡的安全建設已刻不容緩，只有足夠強的安全措施，才能確保網絡系統的安全性，網絡信息的保密性、完整性和可用性。

1網絡安全面臨的主要問題

計算機網絡所面臨的威脅大體可分為兩類：一是對竊取或破壞網絡中信息資源；二是對網絡中計算機系統的攻擊。影響計算機網絡的因素很多，歸納起來，針對網絡安全的威脅主要來自于如下四個方面：

1.1網絡黑客：指的是熟悉特定的電腦操作系統，并且具有較強的技術能力，惡意非法進入他人計算機系統，黑客利用系統中的安全漏洞非法進入他人計算機系統，可以利用個人技術查詢或惡意破壞重要數據、修改系統文件導致計算機系統癱瘓，黑客的攻擊程序危害性非常大，從某種意義上講，黑客對計算機網絡安全的危害甚至比一般的電腦病毒更為嚴重。

1.2配置不當：安全配置不當造成了安全漏洞，例如，對網絡服務器的訪問權限設置不當，非法用戶對網絡服務器信息進行非法調用和竊取。對防火墻軟件的配置不合理，例如只是對外設置防火墻保護，那么對內幾乎不起什么作用，然而不幸的是，一般情況下有70％的攻擊是來自局域網的內部用戶，所以怎樣防止來自內部的攻擊是當前局域網建設中的一個非常重要的方面。

1.3計算機病毒：目前網絡安全的頭號大敵是計算機病毒，它是編制或者在計算機程序中插入的破壞計算機功能或數據，影響計算機軟件、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性幾大特點，病毒的種類也不斷變化，破壞范圍也有軟件

擴大到硬件。新型病毒正向著更具破壞性、更加隱蔽、傳染率更高、傳播速度更快、適應平臺更廣的方向發展。

1.4安全意識不強：用戶口令設置過于簡單，或用戶的訪問權限設置不當，或將管理員的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。將一些處理過的機密文件隨意存放在工作站的共享文件夾內，或在硬盤上留有備份，這就有可能使得某些重要文件在局域網上隨意地流傳，為網絡系統留下了安全隱患。主服務器上的數據庫存放著所有重要數據，不能及時進行數據備份，如果這個數據庫遭到破壞，將會遭到無法挽回的損失。

2網絡安全性的解決方法

2.1有效防護黑客攻擊：WEB、FTP、DNS這些服務器較容易引起黑客的注意，并遭受攻擊。從服務器自身安全來講，只開放其基本的服務端口，關閉所有無關的服務端口。如DNS服務器只開放TCP／UDP42端口，WEB服務器只開放TCP80端口。FTP服務器只開放TCP21端口；在每一臺服務器上都安裝系統監控軟件和反黑客軟件，提供安全防護作用并識別惡意攻擊一旦發現攻擊，會通過中斷用戶進程和掛起用戶帳號來阻止非法攻擊；有效利用服務器自動升級功能定期對服務器進行安全漏洞掃描，管理員對及時網絡系統進行打補丁；對于關鍵的服務器，如計費服務器、中心數據庫服務器等，可用專門的防火墻保護，或放在受保護的網管網段內。

為了從物理上保證網絡的安全性，特別是防止外部黑客入侵，可以將內部網絡中所分配的IP地址與電腦網卡上的MAC地址綁定起來，使網絡安全系統在偵別內部信息節點時具有物理上的唯一性。

2.2制定有效配置方案：應通過合理正確的授權來限制用戶的權限，這是在辦公用戶中特別容易被疏忽的，如局域網中的共享授權，經常會被用戶設置成對任何人開放且完全控制，這非常不安全也是很危險的。正確的方法是針對不同的用戶設置相應的只讀、可讀寫、可完全控制等權限，只有指定用戶才會有相應權限，既保護了數據，又建立了合理的共享。

防火墻配置方案如下：將網絡劃分為三個部分，Internet(外網)、DMZ區(非軍事區)、內網。Internet(外網)和DMA區通過外部路由器隔離；DMZ區和內部網絡通過內部路由器隔離。代理服務器、E-mail服務器、各種服務器(包括Web服務器、Ftp服務器等)、以及其它需要進行訪問控制的系統都放在DMZ中。外部網絡非法入侵者要攻破此防火墻系統偵聽到內部網上的數據，必須突破外部路由器和內部路由器才能侵襲內部網絡，這樣大大提高了內部網絡的安全級別。配置防火墻的流量控制相關參數，實現不同時段、不同子網的不同帶寬流量設置，有效防止內部用戶在網絡使用高峰時期大量占用帶寬而導致網絡癱瘓。

為了保證網絡內部安全還應該利用Vlan技術將內部網絡分成幾個子網，網絡分段通常被認為是控制網絡廣播風暴的一種手段，但其實也是保護網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽，網絡分段用來實現對局域網的安全控制，也防止了內部網用戶對網絡服務器的攻擊。

2.3建立病毒防護體系：對于一個網絡系統而言，絕不能簡單的使用單機版的病毒防治軟件，必須有針對性地選擇性能優秀的專業級網絡殺毒軟件，以建立實時的、全網段的病毒防護體系，是網絡系統免遭病毒侵擾的重要保證，用戶可以根據本網絡的拓撲結構來選擇合適的產品，及時升級殺毒軟件的病毒庫，并在相關的病毒防治網站上及時下載特定的防殺病毒工具查殺頑固性病毒，這樣才能有較好病毒防范能力。

2.4加強網絡安全意識：加強網絡中用戶名及密碼的安全：必須為系統建立用戶名和相應的密碼，絕不能使用默認用戶或不加密碼；密碼的位數不要短于6位，最好使用大、小寫字母、標點和數字的混合集合，并定期更改密碼；不要所有的地方都用一個密碼，不要把自己的密碼寫在別人可以看到的地方，最好是強記在腦子里，不要在輸入密碼的時候讓別人看到，更不能把自己的密碼告訴別人；重要崗位人員調離時，應進行注銷，并更換系統的用戶名和密碼，移交全部技術資料。對重要數據信息進行必要的加密和認證技術，以保證萬一數據信息泄漏也能防止信息內容泄露。

對于網絡中的硬件設備、軟件、數據等都有冗余備份，并具有在較短時間內恢復系統運行的能力。對于存放重要數據庫的服務器，應選用性能穩定的專用服務器，并且配備UPS等相關的硬件應急保障設備，硬盤最好作Raid備份，并定時對數據作光盤備份。

總之，要想建立一個高效、穩定、安全的計算機網絡系統，不能僅僅依靠防火墻、殺毒軟件等單個的系統，需要仔細考慮系統的安全需求，將系統配置、認證技術、加密技術等各個方面工作結合在一起才能夠實現。當然，絕對安全可靠的網絡系統是不存在的。我們采用以上措施來保護網絡安全，只不過是為了讓我們的網絡數據在面臨威脅的時候能將所遭受到的損失降到最低。

參考文獻：

[1]孫學軍,喻梅.《計算機網絡》.電子工業出版社，2003

[2]鄭再欣.“淺談計算機網絡安全及防范”.《廣東公安科技》,2004

[3]徐翼超.“計算機網絡安全問題初探”.《交通企業管理》，2004

第五篇：計算機網絡安全與防護

計算機網絡安全與防護

在當今網絡化的世界中，網絡的開放性和共享性在方便了人們使用的同時，也使得網絡很容易受到攻擊，計算機信息和資源也很容易受到黑客的攻擊,甚至是后果十分嚴重的攻擊，諸如數據被人竊取，服務器不能提供服務等等。因此，網絡和信息安全技術也越來越受到人們的重視，由此推動了防火墻、入侵檢測、虛擬專用網、訪問控制、面向對象系統的安全等各種網絡、信息安全技術的蓬勃發展。防火墻技術作為網絡安全的重要組成部分，格外受到關注。本文就網絡安

全、防火墻的種類以及防火墻技術在現實中的應用等進行簡要的介紹。

一、計算機網絡和計算機網絡安全的概念

計算機網絡是計算機科學發展到一定階段的產物，是由計算機系統和終端設備，通過線路連接形成的，實現了用戶遠程通信和資源的共享，而且有較高的可靠性和擴展性。計算機網絡化是信息社會的主要標志之一。

互聯網是通過ＴＣＰ／ＩＰ協議將各個不同地區及不同結構的計算機連接在一起組成的網絡形式。隨著互聯網用戶的不斷發展促進了信息交流，但正如引言中所指出的，網絡的發展也帶來安全方面的問題，例如網絡中使用的傳輸控制協議（ＴＣＰ）、互聯網協議、ＩＰ、路由器等都會出現安全方面的問題，需要采取鑒別、數據加密、數字簽名、防火墻等必需的安全機制和防護措施。計算機的安全是指計算機信息系統和信息資源不受自然和人為有害因素的威脅和危害。計算機安全的范圍包括實體安全、運行安全、數據安全、軟件安全和通信安全等。實體安全主要是指計算機硬件設備和通信線路的安全，其威脅來自自然和人為危害等因素。信息安全包括數據安全和軟件安全，其威脅主要來自信息被破壞和信息被泄漏。當前信息安全方面存在的主要問題是計算機病毒、計算機黑客、傳輸線路和設備的電輻射等。

二、計算機網絡的安全漏洞

網絡的開放性和共享性在方便了人們使用的同時，也使得網絡很容易受到攻擊，而且受到攻擊后的傷害是嚴重的，諸如數據被人竊取，服務器不能正常提供服務等等。其所以會受到攻擊，是因為存在著如下漏洞。

(1)口令

計算機網絡的口令系統非常脆弱，常常會被破譯。破譯者常常通過對信道的監測來截取口令或將加密的口令解密，獲得對系統的訪問權。特別是由于與內部局域網相連的互聯網需要進行兩類認證，一是需要用戶進行ＴＣＰ／ＩＰ注冊認證，由用戶輸入ＩＰ地址和口令；二是對業務往來和電子郵件信息需要進行來源認證。這兩類認證常常會受到攻擊。例如當用戶通過ＴＥＬＮＥＴ或ＦＴＰ與遠程主機聯系時，由于在互聯網上傳輸的口令沒有加密，因而帶有口令和用戶名的ＩＰ包就有可能被攻擊者截獲，用此口令和用戶名在系統上進行注冊，并根據被竊取口令所具有的權限獲得對系統相應的訪問控制權，進而竊取用戶的機密信息。

(2)協議

互聯網的某些協議，如ＴＣＰ／ＩＰ或ＵＤＰ協議存在著許多安全方面的漏洞，例如只能對主機地址進行認證，而不能對用戶進行認證就是一個漏洞。通過這個漏洞，只授權給某個主機，而不是授權給特定的用戶，這樣攻擊者就可利用被授權的主機與服務器通信，對系統進行攻擊。其在通信前先設置好一臺被信任的主機，與某主機有相同的名字和ＩＰ地址，然后建立聯系，使服務器認為它是真正的用戶，而從容地進行信息竊取活動。因此，為了使信息在網絡傳輸中不被竊取、替換、修改等，要求采取各種硬件及軟件措施，如網關、傳輸協議等來保護ＦＴＰ或Ｅ－ｍａｉｌ文件。

再如，由于ＩＰ技術過多考慮的是性能，而對安全性就消弱了許多，使得黑客捕獲目標ＩＰ地址不是一件復雜的事情，其實這是很危險的。黑客可利用ＩＰ和客戶軟件的漏洞使遠程用戶瞬間死機。為了保證互聯網上信息往來的安全，需要采用數字簽名的措施來保證數據發送和來源的可靠。

(3)操作系統和應用軟件

網絡操作系統和應用軟件也存在著安全漏洞，特別是在傳統的ＵＮＩＸ操作系統中發現了不少的漏洞，例如對可執行文件的訪問控制不嚴就成為許多黑客攻擊成功的原因之一。另外，許多應用軟件也都有安全漏洞，容易被黑客侵入，瀏覽器中的超級鏈接也很容易被攻擊者利用而進入系統。為此，需要采取安全級別較高的操作系統并增加必要的軟、硬件防護措施。

(4)互聯網

互聯網既龐大又復雜，系統邊界難以確定，用戶難以監視，系統受到的威脅來自各方，許多訪問控制措施配置起來十分困難也不易驗證其正確性。為此，為確保安全，內部網與互聯網的連接必須設立網關，以攔截和檢查每一條從互聯網來或去的信息，防止黑客、病毒之類的攻擊。此外，網關還需根據ＩＰ地址和端口數據對每一包進行濾波，使互聯網的網關成為防火墻的一部分。

三、防火墻技術簡介

由于計算機網絡存在著以上漏洞，所以受到了種類繁多的攻擊，歸納起來主要有掃描類攻擊、緩沖區溢出攻擊、木馬攻擊、ＤｏＳ攻擊、ＤｄｏＳ攻擊和碎片攻擊等等。為了防止計算機網絡受到攻擊，采取的有效手段是防火墻技術。防火墻是可在內部網和互聯網之間，或者內部網的各部分之間實施安全防護的系統，通過防火墻可以在內部、外部兩個網絡之間建立起安全的控制點，來實施對進、出內部網絡的服務和訪問信息的審計和控制，以允許、拒絕或重新定向經過防火墻的數據流的方式，防止不希望、未授權的數據流進出被保護的內部網絡。因此，防火墻是實現網絡安全策略的重要組成部分。

(1)防火墻要解決的安全問題

防火墻要解決的安全問題分為兩大類：

1、被保護系統的安全問題

在訪問控制安全方面，防火墻應能保護內部網絡的資源不被非授權使用。

在通信安全方面，防火墻應能提供數據保密性、完整性的認證，以及各種通信端不可否認的服務。

2、自身的安全問題

在訪問控制安全方面，防火墻應能保護防火墻自身與安全有關的數據不被非授權使用。在通信安全方面，在對防火墻進行管理時，包括遠程管理，應能夠提供數據保密性、完整性的認證，以及各種通信端不可否認的服務。

（2）防火墻的關鍵技術

目前，防火墻有兩個關鍵技術，一是包過濾技術，二是代理服務技術。

1、包過濾技術

包過濾技術主要是基于路由的技術，即依據靜態或動態的過濾邏輯，在對數據包進行轉發前根據數據包的目的地址、源地址及端口號對數據包進行過濾。包過濾不能對數據包中的用戶信息和文件信息進行識別，只能對整個網絡提供保護。一般說來，包過濾必須使用兩塊網卡，即一塊網卡連到公網，一塊網卡連到內網，以實現對網上通信進行實時和雙向的控制。

包過濾技術具有運行速度快和基本不依賴于應用的優點，但包過濾只能依據現有數據包過濾的安全規則進行操作，而無法對用戶在某些協議上進行各種不同要求服務的內容分別處理，即只是機械地允許或拒絕某種類型的服務，而不能對服務中的某個具體操作進行控制。因此，對于有些來自不安全的服務器的服務，僅依靠包過濾就不能起到保護內部網的作用了。

2、代理服務技術

代理服務又稱為應用級防火墻、代理防火墻或應用網關，一般針對某一特定的應用來使用特定的代理模塊。代理服務由用戶端的代理客戶和防火墻端的代理服務器兩部分組成，其不僅能理解數據包頭的信息，還能理解應用信息本身的內容。當一個遠程用戶連接到某個運行代理服務的網絡時，防火墻端的代理服務器即進行連接，ＩＰ報文即不再向前轉發而進入內網。

代理服務通常被認為是最安全的防火墻技術，因為代理服務有能力支持可靠的用戶認證并提供詳細的注冊信息。

代理服務的代理工作在客戶機和服務器之間，具有完全控制會話和提供詳細日志、安全審計的功能，而且代理服務器的配置可以隱藏內網的ＩＰ地址，保護內部主機免受外部的攻擊。此外，代理服務還可以過濾協議，如過濾ＦＴＰ連接，拒絕使用ＰＵＴ命令等，以保證用戶不將文件寫到匿名的服務器上去。

代理服務在轉發網絡數據包的方式與包過濾防火墻也不同，包過濾防火墻是在網絡層轉發網絡數據包，而代理服務則在應用層轉發網絡訪問。

以上介紹了兩種防火墻技術。由于此項技術在網絡安全中具有不可替代的作用，因而在最近十多年里得到了較大的發展，已有四類防火墻在流行，即包過濾防火墻、代理防火墻、狀態檢測防火墻和第四代防火墻。