序論：速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)，特別為您篩選了11篇防火墻技術(shù)論文范文。如果您需要更多原創(chuàng)資料，歡迎隨時(shí)與我們的客服老師聯(lián)系，希望您能從中汲取靈感和知識(shí)！

篇1

1．引言

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中，尤以Internet網(wǎng)絡(luò)為最甚。Internet的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個(gè)產(chǎn)業(yè)：1995年，剛剛面市的防火墻技術(shù)產(chǎn)品市場量還不到1萬套；到1996年底，就猛增到10萬套；據(jù)國際權(quán)威商業(yè)調(diào)查機(jī)構(gòu)的預(yù)測，防火墻市場將以173%的復(fù)合增長率增長，今年底將達(dá)到150萬套，市場營業(yè)額將從1995年的1.6億美元上升到今年的9.8億美元。

為了更加全面地了解Internet防火墻及其發(fā)展過程，特別是第四代防火墻的技術(shù)特色，我們非常有必要從產(chǎn)品和技術(shù)角度對(duì)防火墻技術(shù)的發(fā)展演變做一個(gè)詳細(xì)的考察。

2.Internet防火墻技術(shù)簡介

防火墻原是指建筑物大廈用來防止火災(zāi)蔓延的隔斷墻。從理論上講，Internet防火墻服務(wù)也屬于類似的用來防止外界侵入的。它可以防止Internet上的各種危險(xiǎn)(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上，防火墻并不像現(xiàn)實(shí)生活中的防火墻，它有點(diǎn)像古代守護(hù)城池用的護(hù)城河，服務(wù)于以下多個(gè)目的：

1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入；

2)限定人們從一個(gè)特定的點(diǎn)離開；

3)防止侵入者接近你的其他防御設(shè)施；

4)有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

在現(xiàn)實(shí)生活中，Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet，如圖1所示。

圖1防火墻在Internet中的位置

從上圖不難看出，所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣，防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講，防火墻是起分隔、限制、分析的作用，這一點(diǎn)同樣可以從圖1中體會(huì)出來。那么，防火墻究竟是什么呢?實(shí)際上，防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng)，它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧

防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看，防火墻應(yīng)該具有以下五大基本功能：

過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；

管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；

封堵某些禁止行為；

記錄通過防火墻的信息內(nèi)容和活動(dòng)；

對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。

為實(shí)現(xiàn)以上功能，在防火墻產(chǎn)品的開發(fā)中，人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)?、?jì)算機(jī)操作系統(tǒng)、路由、加密、訪問控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段。縱觀防火墻近年來的發(fā)展，可以將其劃分為如下四個(gè)階段(即四代)。

3.1基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過濾功能，故網(wǎng)絡(luò)訪問控制可能通過路控制來實(shí)現(xiàn)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是：

1)利用路由器本身對(duì)分組的解析，以訪問控制表(AccessList)方式實(shí)現(xiàn)對(duì)分組的過濾；

2)過濾判斷的依據(jù)可以是：地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征；

3)只有分組過濾的功能，且防火墻與路由器是一體的。這樣，對(duì)安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法，而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。

第一代防火墻產(chǎn)品的不足之處十分明顯，具體表現(xiàn)為：

路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如，在使用FTP協(xié)議時(shí)，外部服務(wù)器容易從20號(hào)端口上與內(nèi)部網(wǎng)相連，即使在路由器上設(shè)置了過濾規(guī)則，內(nèi)部網(wǎng)絡(luò)的20號(hào)端口仍可以由外部探尋。

路由器上分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往往會(huì)帶來很多錯(cuò)誤。

路由器防火墻的最大隱患是：攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的，黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。

路由器防火墻的本質(zhì)缺陷是：由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動(dòng)態(tài)的、靈活的路由，而防火墻則要對(duì)訪問行為實(shí)施靜態(tài)的、固定的控制，這是一對(duì)難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。

可以說基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施，用這種權(quán)宜之計(jì)去對(duì)付黑客的攻擊是十分危險(xiǎn)的。

3.2用戶化的防火墻工具套

為了彌補(bǔ)路由器防火墻的不足，很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò)，從而推動(dòng)了用戶防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品，用戶化的防火墻工具套具有以下特征：

1)將過濾功能從路由器中獨(dú)立出來，并加上審計(jì)和告警功能；

2)針對(duì)用戶需求，提供模塊化的軟件包；

3)軟件可以通過網(wǎng)絡(luò)發(fā)送，用戶可以自己動(dòng)手構(gòu)造防火墻；

4)與第一代防火墻相比，安全性提高了，價(jià)格也降低了。

由于是純軟件產(chǎn)品，第二代防火墻產(chǎn)品無論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求，并帶來以下問題：

配置和維護(hù)過程復(fù)雜、費(fèi)時(shí)；

對(duì)用戶的技術(shù)要求高；

全軟件實(shí)現(xiàn)，使用中出現(xiàn)差錯(cuò)的情況很多。

3.3建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操

作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場上廣泛使用的就是這一代產(chǎn)品，它們具有如下一些

特點(diǎn)：

1)是批量上市的專用防火墻產(chǎn)品；

2)包括分組過濾或者借用路由器的分組過濾功能；

3)裝有專用的系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；

4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；

5)安全性和速度大大提高。

第三代防火墻有以純軟件實(shí)現(xiàn)的，也有以硬件方式實(shí)現(xiàn)的，它們已經(jīng)得到了廣大用戶的認(rèn)同

。但隨著安全需求的變化和使用時(shí)間的推延，仍表現(xiàn)出不少問題，比如：

1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于源碼的保密，其安全性

無從保證；

2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系統(tǒng)廠商不會(huì)對(duì)操作系統(tǒng)的

安全性負(fù)責(zé)；

3)從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)廠商

的攻擊；

4)在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)且具有加密鑒別功能；

5)透明性好，易于使用。

4.第四代防火墻的主要技術(shù)及功能

第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)功能。

4.1雙端口或三端口的結(jié)構(gòu)

新一代防火墻產(chǎn)品具有兩個(gè)或三個(gè)獨(dú)立的網(wǎng)卡，內(nèi)外兩個(gè)網(wǎng)卡可不做IP轉(zhuǎn)化而串接于內(nèi)部與外部之間，另一個(gè)網(wǎng)卡可專用于對(duì)服務(wù)器的安全保護(hù)。

4.2透明的訪問方式

以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機(jī)的應(yīng)用。第四代防火墻利用了透明的系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。

4.3靈活的系統(tǒng)

系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊，第四代防火墻采用了兩種機(jī)制：一種用于從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接；另一種用于從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來解決，后者采用非保密的用戶定制或保密的系統(tǒng)技術(shù)來解決。

4.4多級(jí)過濾技術(shù)

為保證系統(tǒng)的安全性和防護(hù)水平，第四代防火墻采用了三級(jí)過濾措施，并輔以鑒別手段。在分組過濾一級(jí)，能過濾掉所有的源路由分組和假冒IP地址；在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。

4.5網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

第四代防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換，使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。

4.6Internet網(wǎng)關(guān)技術(shù)

由于是直接串聯(lián)在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù)，同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞，故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對(duì)所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。

在域名服務(wù)方面，第四代防火墻采用兩種獨(dú)立的域名服務(wù)器：一種是內(nèi)部DNS服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息；另一種是外部DNS服務(wù)器，專門用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部分DNS信息。

在匿名FTP方面，服務(wù)器只提供對(duì)有限的受保護(hù)的部分目錄的只讀訪問。在WWW服務(wù)器中，只支持靜態(tài)的網(wǎng)頁，而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行。在Finger服務(wù)器中，對(duì)外部訪問，防火墻只提供可由內(nèi)部用戶配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對(duì)所有進(jìn)、出防火墻的郵件做處理，并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對(duì)用戶連接的識(shí)別做專門處理，網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。

4.7安全服務(wù)器網(wǎng)絡(luò)(SSN)

為了適應(yīng)越來越多的用戶向Internet上提供服務(wù)時(shí)對(duì)服務(wù)器的需要，第四代防火墻采用分別保護(hù)的策略對(duì)用戶上網(wǎng)的對(duì)外服務(wù)器實(shí)施保護(hù)，它利用一張網(wǎng)卡將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理，對(duì)外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離，這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對(duì)SSN上的主機(jī)既可單獨(dú)管理，也可設(shè)置成通過FTP、Tnlnet等方式從內(nèi)部網(wǎng)上管理。

SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多，因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù)，SSN與風(fēng)部網(wǎng)之間也有防火墻的保護(hù)，而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之，一旦SSN受破壞，內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下，而一旦DMZ受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。4.8用戶鑒別與加密

為了減低防火墻產(chǎn)品在Tnlnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn)，鑒別功能必不可少。第四代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段，并實(shí)現(xiàn)了對(duì)郵件的加密。

4.9用戶定制服務(wù)

為了滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時(shí)，還為用戶定制提供支持，這類選項(xiàng)有：通用TCP、出站UDP、FTP、SMTP等，如果某一用戶需要建立一個(gè)數(shù)據(jù)庫的，便可以利用這些支持，方便設(shè)置。

4.10審計(jì)和告警

第四代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站、FTP、出站、郵件服務(wù)器、名服務(wù)器等。告警功能會(huì)守住每一個(gè)TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報(bào)警。

此外，第四代防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。

5．第四代防火墻技術(shù)的實(shí)現(xiàn)方法

在第四代防火墻產(chǎn)品的設(shè)計(jì)與開發(fā)中，安全內(nèi)核、系統(tǒng)、多級(jí)過濾、安全服務(wù)器、鑒別與加密是關(guān)鍵所在。

5.1安全內(nèi)核的實(shí)現(xiàn)

第四代防火墻是建立在安全操作系統(tǒng)之上的，安全操作系統(tǒng)來自對(duì)專用操作系統(tǒng)的安全加固和改造，從現(xiàn)在的諸多產(chǎn)品看，對(duì)安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾個(gè)方面進(jìn)行：

1)取消危險(xiǎn)的系統(tǒng)調(diào)用；

2)限制命令的執(zhí)行權(quán)限；

3)取消IP的轉(zhuǎn)發(fā)功能；

4)檢查每個(gè)分組的接口；

5)采用隨機(jī)連接序號(hào)；

6)駐留分組過濾模塊；

7)取消動(dòng)態(tài)路由功能；

8)采用多個(gè)安全內(nèi)核。

5.2系統(tǒng)的建立

防火墻不允許任何信息直接穿過它，對(duì)所有的內(nèi)外連接均要通過系統(tǒng)來實(shí)現(xiàn)，為保證整個(gè)防火墻的安全，所有的都應(yīng)該采用改變根目錄方式存在一個(gè)相對(duì)獨(dú)立的區(qū)域以安全隔離。

在所有的連接通過防火墻前，所有的要檢查已定義的訪問規(guī)則，這些規(guī)則控制的服務(wù)根據(jù)以下內(nèi)容處理分組：

1)源地址；

2)目的地址；

3)時(shí)間；

4)同類服務(wù)器的最大數(shù)量。

所有外部網(wǎng)絡(luò)到防火墻內(nèi)部或SSN的連接由進(jìn)站處理，進(jìn)站要保證內(nèi)部主機(jī)能夠了解外部主機(jī)的所有信息，而外部主機(jī)只能看到防火墻之外或SSN的地址。

所有從內(nèi)部網(wǎng)絡(luò)SSN通過防火墻與外部網(wǎng)絡(luò)建立的連接由出站處理，出站必須確保完全由它代表內(nèi)部網(wǎng)絡(luò)與外部地址相連，防止內(nèi)部網(wǎng)址與外部網(wǎng)址的直接連接，同時(shí)還要處理內(nèi)部網(wǎng)絡(luò)SSN的連接。

5.3分組過濾器的設(shè)計(jì)

作為防火墻的核心部件之一，過濾器的設(shè)計(jì)要盡量做到減少對(duì)防火墻的訪問，過濾器在調(diào)用時(shí)將被下載到內(nèi)核中執(zhí)行，服務(wù)終止時(shí)，過濾規(guī)則會(huì)從內(nèi)核中消除，所有的分組過濾功能都在內(nèi)核中IP堆棧的深層運(yùn)行，極為安全。分組過濾器包括以下參數(shù)。

1)進(jìn)站接口；

2)出站接口；

3)允許的連接；

4)源端口范圍；

5)源地址；

6)目的端口的范圍等。

對(duì)每一種參數(shù)的處理都充分體現(xiàn)設(shè)計(jì)原則和安全政策。

5.4安全服務(wù)器的設(shè)計(jì)

安全服務(wù)器的設(shè)計(jì)有兩個(gè)要點(diǎn)：第一，所有SSN的流量都要隔離處理，即從內(nèi)部網(wǎng)和外部網(wǎng)而來的路由信息流在機(jī)制上是分離的；第二，SSN的作用類似于兩個(gè)網(wǎng)絡(luò)，它看上去像是內(nèi)部網(wǎng)，因?yàn)樗鼘?duì)外透明，同時(shí)又像是外部網(wǎng)絡(luò)，因?yàn)樗鼜膬?nèi)部網(wǎng)絡(luò)對(duì)外訪問的方式十分有限。

SSN上的每一個(gè)服務(wù)器都隱蔽于Internet，SSN提供的服務(wù)對(duì)外部網(wǎng)絡(luò)而言好像防火墻功能，由于地址已經(jīng)是透明的，對(duì)各種網(wǎng)絡(luò)應(yīng)用沒有限制。實(shí)現(xiàn)SSN的關(guān)鍵在于：

1)解決分組過濾器與SSN的連接；

2)支持通過防火墻對(duì)SSN的訪問；

3)支持服務(wù)。

5.5鑒別與加密的考慮

鑒別與加密是防火墻識(shí)別用戶、驗(yàn)證訪問和保護(hù)信息的有效手段，鑒別機(jī)制除了提供安全保護(hù)之外，還有安全管理功能，目前國外防火墻產(chǎn)品中廣泛使用令牌鑒別方式，具體方法有兩種一種是加密卡(CryptoCard)；另一種是SecureID，這兩種都是一次性口令的生成工具。



對(duì)信息內(nèi)容的加密與鑒別則涉及加密算法和數(shù)字簽名技術(shù)，除PEM、PGP和Kerberos外，目前國外防火墻產(chǎn)品中尚沒有更好的機(jī)制出現(xiàn)，由于加密算法涉及國家信息安全和，各國有不同的要求。

6．第四代防火墻的抗攻擊能力

作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo)，故抗攻擊能力也是防火墻的必備功能。在Internet環(huán)境中針對(duì)防火墻的攻擊很多，下面從幾種主要的攻擊方法來評(píng)估第四代防火墻的抗攻擊能力。

6.1抗IP假冒攻擊

IP假冒是指一個(gè)非法的主機(jī)假冒內(nèi)部的主機(jī)地址，騙取服務(wù)器的“信任”，從而達(dá)到對(duì)網(wǎng)絡(luò)的攻擊目的。由于第四代防火墻已經(jīng)將網(wǎng)內(nèi)的實(shí)際地址隱蔽起來，外部用戶很難知道內(nèi)部的IP地址，因而難以攻擊。

6.2抗特洛伊木馬攻擊

特洛伊木馬能將病毒或破壞性程序傳入計(jì)算機(jī)網(wǎng)絡(luò)，且通常是將這些惡意程序隱蔽在正常的程序之中，尤其是熱門程序或游戲，一些用戶下載并執(zhí)行這一程序，其中的病毒便會(huì)發(fā)作。第四代防火墻是建立在安全的操作系統(tǒng)之上的，其內(nèi)核中不能執(zhí)行下載的程序，故而可以防止特洛伊木馬的發(fā)生。必須指出的是，防火墻能抗特洛伊木馬的攻擊并不表明其保護(hù)的某個(gè)主機(jī)也能防止這類攻擊。事實(shí)上，內(nèi)部用戶可以通過防火墻下載程序，并執(zhí)行下載的程序。



6.3抗口令字探尋攻擊

在網(wǎng)絡(luò)中探尋口令的方法很多，最常見的是口令嗅探和口令解密。嗅探是通過監(jiān)測網(wǎng)絡(luò)通信，截獲用戶傳給服務(wù)器的口令字，記錄下來，以便使用；解密是指采用強(qiáng)力攻擊、猜測或截獲含有加密口令的文件，并設(shè)法解密。此外，攻擊者還常常利用一些常用口令字直接登錄。

第四代防火墻采用了一次性口令字和禁止直接登錄防火墻措施，能夠有效防止對(duì)口令字的攻擊。

6.4抗網(wǎng)絡(luò)安全性分析

網(wǎng)絡(luò)安全性分析工具是提供管理人員分析網(wǎng)絡(luò)安全性之用的，一旦這類工具用作攻擊網(wǎng)絡(luò)的手段，則能夠比較方便地探測到內(nèi)部網(wǎng)絡(luò)的安全缺陷和弱點(diǎn)所在。目前，SATA軟件可以從網(wǎng)上免費(fèi)獲得，InternetScanner可以從市面上購買，這些分析工具給網(wǎng)絡(luò)安全構(gòu)成了直接的威脅。第四代防火墻采用了地址轉(zhuǎn)換技術(shù)，將內(nèi)部網(wǎng)絡(luò)隱蔽起來，使網(wǎng)絡(luò)安全分析工具無法從外部對(duì)內(nèi)部網(wǎng)絡(luò)做分析。

6.5抗郵件詐騙攻擊

郵件詐騙也是越來越突出的攻擊方式，第四代防火墻不接收任何郵件，故難以采用這種方式對(duì)它攻擊，同樣值得一提的是，防火墻不接收郵件，并不表示它不讓郵件通過，實(shí)際上用戶仍可收發(fā)郵件，內(nèi)部用戶要防郵件詐騙，最終的解決辦法是對(duì)郵件加密。

7．防火墻技術(shù)展望

伴隨著Internet的飛速發(fā)展，防火墻技術(shù)與產(chǎn)品的更新步伐必然會(huì)加強(qiáng)，而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上，卻又可以看出一些動(dòng)向和趨勢。下面諸點(diǎn)可能是下一步的走向和選擇：

1)防火墻將從目前對(duì)子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展。

2)過濾深度會(huì)不斷加強(qiáng)，從目前的地址、服務(wù)過濾，發(fā)展到URL(頁面)過濾、關(guān)鍵字過濾和對(duì)ActiveX、Java等的過濾，并逐漸有病毒掃描功能。

3)利用防火墻建立專用網(wǎng)是較長一段時(shí)間用戶使用的主流，IP的加密需求越來越強(qiáng)，安全協(xié)議的開發(fā)是一大熱點(diǎn)。

4)單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。

篇2

元數(shù)據(jù)是指與數(shù)據(jù)相關(guān)的數(shù)據(jù)，也就是數(shù)據(jù)特性的數(shù)據(jù)信息。元數(shù)據(jù)可以對(duì)數(shù)據(jù)進(jìn)行標(biāo)記等操作，進(jìn)而幫助數(shù)據(jù)生產(chǎn)者或者使用者更加高效的對(duì)數(shù)據(jù)進(jìn)行管理和維護(hù)。對(duì)元數(shù)據(jù)進(jìn)行處理如查詢和檢索等可以幫助用戶更好的了解數(shù)據(jù)，確定獲得的數(shù)據(jù)是否與需求相符，是否需要對(duì)現(xiàn)有數(shù)據(jù)進(jìn)行交換或傳輸?shù)取?/p>

（二）數(shù)據(jù)倉庫技術(shù)

信息技術(shù)的發(fā)展使得信息網(wǎng)絡(luò)中傳輸和存儲(chǔ)的信息量越來越大、越來越復(fù)雜，如何對(duì)海量的數(shù)據(jù)信息進(jìn)行科學(xué)高效管理，降低有用信息的獲取難度是數(shù)據(jù)倉庫技術(shù)的出發(fā)點(diǎn)之一。應(yīng)用數(shù)據(jù)倉庫相關(guān)技術(shù)如關(guān)系數(shù)據(jù)庫、分布式數(shù)據(jù)處理、并行式數(shù)據(jù)處理等可以將海量的數(shù)據(jù)轉(zhuǎn)換和集成為條理清晰的、準(zhǔn)確可靠的信息資料，供用戶進(jìn)行信息查詢、數(shù)據(jù)統(tǒng)計(jì)等。此外，數(shù)據(jù)倉庫技術(shù)還可為數(shù)據(jù)管理人員在不了解數(shù)據(jù)庫結(jié)構(gòu)和不同數(shù)據(jù)間相互關(guān)系的情況下進(jìn)行數(shù)據(jù)挖掘提供了可能。

（三）數(shù)據(jù)挖掘技術(shù)

目前的數(shù)據(jù)庫系統(tǒng)雖可對(duì)信息進(jìn)行錄入、查詢或統(tǒng)計(jì)，但在處理和發(fā)掘不同數(shù)據(jù)之間的關(guān)系，分析未來發(fā)展趨勢等方面存在諸多不足。這就要求對(duì)龐大的數(shù)據(jù)信息進(jìn)行挖掘。

（四）人工智能網(wǎng)絡(luò)信息檢索技術(shù)

隨著信息網(wǎng)絡(luò)規(guī)模的擴(kuò)大和信息數(shù)據(jù)量的增長，如果僅僅依靠人工篩選很難達(dá)到預(yù)期效果，人工智能網(wǎng)絡(luò)信息技術(shù)可以對(duì)人工特性進(jìn)行模擬，但是又不失計(jì)算機(jī)技術(shù)的高效性和快速性，可以根據(jù)待解決的復(fù)雜問題進(jìn)行信息檢索和數(shù)據(jù)分析，進(jìn)而向用戶提供相應(yīng)的，較為準(zhǔn)確的檢索分析結(jié)果。

二計(jì)算機(jī)信息網(wǎng)絡(luò)中的安全防護(hù)類關(guān)鍵技術(shù)分析

完整的計(jì)算機(jī)信息網(wǎng)絡(luò)分為7個(gè)層次，對(duì)應(yīng)的網(wǎng)絡(luò)安全防護(hù)需要對(duì)每一層進(jìn)行部署，但是實(shí)際應(yīng)用中可根據(jù)TCP/IP協(xié)議，將安全防護(hù)簡化為四個(gè)主要的層次，分別為物理層、鏈路層、網(wǎng)絡(luò)層以及應(yīng)用層。對(duì)信息網(wǎng)絡(luò)的安全防護(hù)應(yīng)該實(shí)現(xiàn)以下幾方面內(nèi)容。首先是對(duì)網(wǎng)絡(luò)訪問用戶和訪問數(shù)據(jù)的控制與審查。即根據(jù)用戶權(quán)限和數(shù)據(jù)權(quán)限確定對(duì)應(yīng)關(guān)系，建立訪問控制體系，只有符合要求的用戶才能夠?qū)W(wǎng)絡(luò)信息進(jìn)行訪問或修改，這樣可以增大惡意攻擊發(fā)生的難度。其次是建立多層防御體系。一方面要對(duì)通信數(shù)據(jù)進(jìn)行加密和認(rèn)證，防止數(shù)據(jù)信息傳輸過程中受到竊取或修改；另一方面做好信息監(jiān)控管理，設(shè)立一套完整的信息安全監(jiān)控體系，建立數(shù)據(jù)備份和恢復(fù)機(jī)制，確保網(wǎng)絡(luò)受到攻擊時(shí)還能夠最大程度保存數(shù)據(jù)的可恢復(fù)性。

（一）防火墻技術(shù)

防火墻技術(shù)是在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立一個(gè)信息安全策略，根據(jù)該策略確定內(nèi)外網(wǎng)絡(luò)之間的通信是否被允許。當(dāng)前安全級(jí)別最高的防火墻技術(shù)是隱蔽智能網(wǎng)關(guān)技術(shù)，該技術(shù)可以防止針對(duì)防火墻的惡意攻擊還能夠向用戶提供最大限度的網(wǎng)絡(luò)訪問，對(duì)未授權(quán)的訪問、未經(jīng)過認(rèn)證的用戶、以及不符合安全策略的信息數(shù)據(jù)進(jìn)行阻止或拒絕。

篇3

1.1計(jì)算機(jī)防火墻技術(shù)

防火墻對(duì)計(jì)算機(jī)網(wǎng)絡(luò)保護(hù)作用的實(shí)現(xiàn)是通過將內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)分開來實(shí)現(xiàn)的，具有相當(dāng)強(qiáng)的隔離性。在防火墻的使用上，通常都是依靠包的源地址和數(shù)據(jù)包協(xié)議等進(jìn)行設(shè)置的。此外，防火墻的實(shí)現(xiàn)途徑還有服務(wù)器的軟件這種形式，不過使用頻率相對(duì)少一些。防火墻在過去比較長的時(shí)間里，它的主要目的除了限制主機(jī)之外，再就是規(guī)范網(wǎng)絡(luò)訪問控制，功能相對(duì)單一和簡單，不過，隨著近些年網(wǎng)絡(luò)技術(shù)的不斷更新和完善，防火墻的功能越來越豐富了，集成了信息的解密、加密等多種功能，另外還具有壓縮機(jī)解壓這種新的功能，計(jì)算機(jī)網(wǎng)絡(luò)的安全性因此得到了非常大的提高。

1.2防火墻的主要功能

防火墻的功能是比較多的，最主要的是以下幾個(gè)方面:首先，對(duì)本機(jī)的數(shù)據(jù)進(jìn)行篩選和過濾，這樣可以有效避免非法信息及各種網(wǎng)絡(luò)病毒的攻擊和侵入，另外防火墻還可以對(duì)網(wǎng)絡(luò)中部分特殊站點(diǎn)進(jìn)行嚴(yán)格規(guī)范，這樣可以有效避免因相關(guān)人員的無意操作所帶來的網(wǎng)絡(luò)風(fēng)險(xiǎn)。其次，防火墻能夠比較徹底地?cái)r截不安全訪問，外部人員如果想進(jìn)入內(nèi)部網(wǎng)，必須先經(jīng)過防火墻的審查，只有審查合格了才能夠進(jìn)入，在這一個(gè)環(huán)節(jié)中，那些不安全的訪問用戶就會(huì)被過濾掉，大大降低了網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。再次，防火墻能夠很好地保存網(wǎng)絡(luò)運(yùn)行中產(chǎn)生的各種信息數(shù)據(jù)，當(dāng)它發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)威脅網(wǎng)絡(luò)安全的非法活動(dòng)時(shí)，能夠在第一時(shí)間發(fā)出警報(bào)，并采取針對(duì)性的措施[3]。

篇4

計(jì)算機(jī)的網(wǎng)絡(luò)安全攻擊。計(jì)算機(jī)的網(wǎng)絡(luò)安全是數(shù)據(jù)運(yùn)行的重要任務(wù)，同時(shí)也是防火墻的重點(diǎn)內(nèi)容。計(jì)算機(jī)的發(fā)展在時(shí)代的變遷中更加廣泛，但同時(shí)運(yùn)行過程中的威脅也會(huì)影響到計(jì)算機(jī)的使用。例如：數(shù)據(jù)方面、環(huán)境威脅、外力破壞、拒絕服務(wù)、程序攻擊、端口破壞等。計(jì)算機(jī)網(wǎng)絡(luò)的主體就是數(shù)據(jù)，在數(shù)據(jù)的運(yùn)行中如果存在漏洞會(huì)給網(wǎng)絡(luò)安全帶來很大的隱患，比如在節(jié)點(diǎn)數(shù)據(jù)處若是進(jìn)行攻擊篡改會(huì)直接破壞數(shù)據(jù)的完整性，攻擊者往往會(huì)選擇數(shù)據(jù)內(nèi)容進(jìn)行操作、對(duì)其進(jìn)行攻擊泄露，還可植入木馬病毒等，使得網(wǎng)絡(luò)安全成為了問題；環(huán)境是網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)，用戶在使用訪問時(shí)會(huì)使用到網(wǎng)絡(luò)環(huán)境，而環(huán)境卻是開放共享的，攻擊者可以對(duì)網(wǎng)絡(luò)環(huán)境內(nèi)的數(shù)據(jù)包進(jìn)行處理，將攻擊帶入內(nèi)網(wǎng)以破壞內(nèi)網(wǎng)的防護(hù)功能；外力破壞主要就是木馬、病毒的攻擊，攻擊者可以利用網(wǎng)站和郵箱等植入病毒，攻擊使用者的計(jì)算機(jī)，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)故障；拒絕服務(wù)是攻擊者利用系統(tǒng)的漏洞給計(jì)算機(jī)發(fā)送數(shù)據(jù)包，使得主機(jī)癱瘓不能使用任何服務(wù)，主要是由于計(jì)算機(jī)無法承擔(dān)高負(fù)荷的數(shù)據(jù)存儲(chǔ)因而休眠，無法對(duì)用戶的請(qǐng)求作出反應(yīng)；程序攻擊是指攻擊者應(yīng)用輔助程序攻入程序內(nèi)部，進(jìn)而毀壞文件數(shù)據(jù)等；端口攻擊卻是攻擊者從硬性的攻擊路徑著手，使得安全系統(tǒng)出現(xiàn)問題。以上的各種網(wǎng)絡(luò)安全問題都需要使用防火墻技術(shù)，以減少被攻擊的次數(shù)和程度，保證用戶的數(shù)據(jù)及文件等的安全。

二、網(wǎng)絡(luò)安全中的防火墻技術(shù)

（一）防火墻技術(shù)的基本概念

防火墻技術(shù)是保護(hù)內(nèi)部網(wǎng)絡(luò)安全的一道屏障，它是由多種硬件設(shè)備和軟件的組合，是用來保障網(wǎng)絡(luò)安全的裝置。主要是根據(jù)預(yù)設(shè)的條件對(duì)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)的信息和數(shù)據(jù)進(jìn)行監(jiān)控，然后授權(quán)以及限制服務(wù)，再記錄相關(guān)信息進(jìn)行分析，明確每一次信息的交互以預(yù)防攻擊。它具有幾種屬性：所以的信息都必須要經(jīng)過防火墻、只有在受到網(wǎng)絡(luò)安全保護(hù)的允許下才能通過它、并且能夠?qū)W(wǎng)絡(luò)攻擊的內(nèi)容和信息進(jìn)行記錄并檢測、而且它自身能夠免疫各種攻擊。防火墻有各種屬性，能夠?qū)Π踩雷o(hù)的策略進(jìn)行篩選并讓其通過、能夠記錄數(shù)據(jù)的信息并進(jìn)行檢測，以便及時(shí)預(yù)警、還能夠容納計(jì)算機(jī)的整體的信息并對(duì)其進(jìn)行維護(hù)。而防火墻常用技術(shù)主要分為：狀態(tài)檢測、應(yīng)用型防火墻和包過濾技術(shù)。前者是以網(wǎng)絡(luò)為整體進(jìn)行研究，分析數(shù)據(jù)流的信息并將其與網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行區(qū)分，以查找不穩(wěn)定的因素，但是時(shí)效性差；應(yīng)用型的是用來保障內(nèi)外網(wǎng)連接時(shí)的安全，使得用戶在訪問外網(wǎng)時(shí)能夠更加的安全；包過濾技術(shù)就是將網(wǎng)絡(luò)層作為保護(hù)的對(duì)象，按計(jì)算機(jī)網(wǎng)絡(luò)的協(xié)議嚴(yán)格進(jìn)行，以此來實(shí)現(xiàn)防護(hù)效果。

（二）防火墻的常用功能構(gòu)件

它的常用功能構(gòu)件主要是認(rèn)證、訪問控制、完整、審計(jì)、訪問執(zhí)行功能等。認(rèn)證功能主要是對(duì)身份進(jìn)行確認(rèn)；訪問控制功能是能夠決定是否讓此次文件傳送經(jīng)過防火墻到達(dá)目的地的功能，能夠防止惡意的代碼等；完整性功能是對(duì)傳送文件時(shí)的不被注意的修改進(jìn)行檢測，雖然不能對(duì)它進(jìn)行阻止，但是能進(jìn)行標(biāo)記，可以有效的防止基于網(wǎng)絡(luò)上的竊聽等；審計(jì)功能是能夠連續(xù)的記錄重要的系統(tǒng)事件，而重要事件的確定是由有效的安全策略決定的，有效的防火墻系統(tǒng)的所有的構(gòu)件都需要統(tǒng)一的方式來記錄。訪問執(zhí)行功能是執(zhí)行認(rèn)證和完整性等功能的，在通過這些功能的基礎(chǔ)上就能將信息傳到內(nèi)網(wǎng)，這種功能能夠減少網(wǎng)絡(luò)邊界系統(tǒng)的開銷，使得系統(tǒng)的可靠性和防護(hù)能力有所提高。

三、防火墻的應(yīng)用價(jià)值

防火墻在計(jì)算機(jī)網(wǎng)絡(luò)安全中的廣泛應(yīng)用，充分的展現(xiàn)了它自身的價(jià)值。以下談?wù)搸c(diǎn)：

（一）技術(shù)的價(jià)值

技術(shù)是防火墻技術(shù)中的一種，能夠?yàn)榫W(wǎng)絡(luò)系統(tǒng)提供服務(wù)，以便實(shí)現(xiàn)信息的交互功能。它是比較特殊的，能夠在網(wǎng)絡(luò)運(yùn)行的各個(gè)項(xiàng)目中都發(fā)揮控制作用，分成高效。主要是在內(nèi)外網(wǎng)信息交互中進(jìn)行控制，只接受內(nèi)網(wǎng)的請(qǐng)求而拒絕外網(wǎng)的訪問，將內(nèi)外網(wǎng)進(jìn)行分割，拒絕混亂的信息，但是它的構(gòu)建十分復(fù)雜，使得應(yīng)用不易。雖然防護(hù)能力強(qiáng)，在賬號(hào)管理和進(jìn)行信息驗(yàn)證上十分有效，但是因使用復(fù)雜而無法廣泛推廣。

（二）過濾技術(shù)的價(jià)值

過濾技術(shù)是防火墻的選擇過濾，能夠?qū)?shù)據(jù)進(jìn)行全面的檢測，發(fā)現(xiàn)攻擊行為或者危險(xiǎn)的因素時(shí)及時(shí)的斷開傳送，因而能夠進(jìn)行預(yù)防并且有效控制風(fēng)險(xiǎn)信息的傳送，以確保網(wǎng)絡(luò)安全，這項(xiàng)技術(shù)不僅應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全，而且在路由器使用上也有重要的價(jià)值。

（三）檢測技術(shù)的價(jià)值

檢測技術(shù)主要應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)的狀態(tài)方面，它在狀態(tài)機(jī)制的基礎(chǔ)上運(yùn)行，能夠?qū)⑼饩W(wǎng)的數(shù)據(jù)作為整體進(jìn)行準(zhǔn)確的分析并將結(jié)果匯總記錄成表，進(jìn)而進(jìn)行對(duì)比。如今檢測技術(shù)廣泛應(yīng)用于各層次網(wǎng)絡(luò)間獲取網(wǎng)絡(luò)連接狀態(tài)的信息，拓展了網(wǎng)絡(luò)安全的保護(hù)范圍，使得網(wǎng)絡(luò)環(huán)境能夠更加的安全。

四、總結(jié)

隨著計(jì)算機(jī)網(wǎng)絡(luò)的使用愈加廣泛，網(wǎng)絡(luò)安全問題也需要重視。而防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保障手段，科學(xué)的利用防火墻技術(shù)的原理，能夠更加合理的阻止各種信息或數(shù)據(jù)的泄露問題，避免計(jì)算機(jī)遭到外部的攻擊，確保網(wǎng)絡(luò)環(huán)境的安全。將防火墻技術(shù)應(yīng)用于計(jì)算機(jī)的網(wǎng)絡(luò)安全方面能夠更加有效的根據(jù)實(shí)際的情況對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行保護(hù)，發(fā)揮其自身的作用以實(shí)現(xiàn)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的目的。

計(jì)算機(jī)碩士論文參考文獻(xiàn)

篇5

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-4311（2012）18-0178-02

0 引言

一般來說，防火墻包括幾個(gè)不同的組成部分：過濾器(有時(shí)也稱屏蔽)用于阻斷一定類型的通信傳輸。網(wǎng)關(guān)是一臺(tái)或一組機(jī)器，它提供中繼服務(wù)，以補(bǔ)償過濾器的影響。駐有網(wǎng)關(guān)的網(wǎng)絡(luò)常被叫做非軍事區(qū)（DeMilitarized Zone，DMZ）。DMZ中的網(wǎng)關(guān)有時(shí)還由一個(gè)內(nèi)部網(wǎng)關(guān)（internal gateway）協(xié)助工作。一般情況下，兩個(gè)網(wǎng)關(guān)通過內(nèi)部過濾器到內(nèi)部的連接比外部網(wǎng)關(guān)到其他內(nèi)部主機(jī)的連接更為開放。就網(wǎng)絡(luò)通信而言，兩個(gè)過濾器或網(wǎng)關(guān)本身，都是可以省去的，詳細(xì)情況隨防火墻的變化而變化。一般說來，外部過濾器可用來保護(hù)網(wǎng)關(guān)免受攻擊，而內(nèi)部過濾器用來應(yīng)付一個(gè)網(wǎng)關(guān)遭到破壞后所帶來的后果，兩個(gè)過濾器均可保護(hù)內(nèi)部網(wǎng)絡(luò)，使之免受攻擊。一個(gè)暴露的網(wǎng)關(guān)機(jī)器通常被叫做堡壘機(jī)。

防火墻可分成兩種主要類別：數(shù)據(jù)包過濾（packet filtering）和應(yīng)用網(wǎng)關(guān)（application gateway）。

數(shù)據(jù)包過濾防火墻的工作方法是通過基于數(shù)據(jù)包的源地址、目的地址或端口來進(jìn)行過濾的。一般說來，不保持前后連接信息，過濾決定也是根據(jù)當(dāng)前數(shù)據(jù)包的內(nèi)容來做的。管理員可以設(shè)計(jì)一個(gè)可接受機(jī)器和服務(wù)的列表，以及一個(gè)不可接受機(jī)器和服務(wù)的列表。在主機(jī)和網(wǎng)絡(luò)一級(jí)，利用數(shù)據(jù)包過濾器很容易實(shí)現(xiàn)允許或禁止訪問。例如，允許主機(jī)A和B之間的任何IP訪問，或禁止除A以外的任何機(jī)器訪問B。

大多數(shù)安全策略需要更為精細(xì)的控制：對(duì)根本不被信任的主機(jī)，需要定義容許它們?cè)L問的服務(wù)。例如，可以希望允許任何主機(jī)與機(jī)器A連接，但僅限于發(fā)送或接收郵件。其他服務(wù)可以或不可以被允許。數(shù)據(jù)包過濾器允許在這一級(jí)別上進(jìn)行某些控制，為了正確地做到這一點(diǎn)，要求精通許多操作系統(tǒng)上TCP和UDP端口的使用知識(shí)。包過濾防火墻的優(yōu)點(diǎn)是速度快，缺點(diǎn)是不能對(duì)數(shù)據(jù)內(nèi)容進(jìn)行控制。

應(yīng)用網(wǎng)關(guān)防火墻則是另一種方式，它不使用通用目標(biāo)機(jī)制來允許各種不同種類的通信，而是針對(duì)每個(gè)應(yīng)用使用專用目的代碼。雖然這樣做看來有些浪費(fèi)，但卻比任何其他方法安全得多。一是不必?fù)?dān)心不同過濾規(guī)則集之間的交互影響，二是不必?fù)?dān)憂對(duì)外部提供安全服務(wù)的主機(jī)中的漏洞。只需仔細(xì)檢查選擇的數(shù)個(gè)程序。應(yīng)用網(wǎng)關(guān)還有另一個(gè)優(yōu)點(diǎn)：它易于記錄并控制所有的進(jìn)/出通信，并對(duì)Internet的訪問做到內(nèi)容級(jí)的過濾，所以是很安全的。應(yīng)用級(jí)網(wǎng)關(guān)的最大缺點(diǎn)就是速度慢。

1 網(wǎng)絡(luò)的系統(tǒng)規(guī)劃與設(shè)計(jì)

根據(jù)用戶具體情況，規(guī)劃內(nèi)網(wǎng)的環(huán)境，必要時(shí)使用多個(gè)網(wǎng)段。確定是否需要向外部Internet提供服務(wù)以及何種服務(wù)，由此確定是否需要DMZ網(wǎng)段以及DMZ網(wǎng)段的具體結(jié)構(gòu)。根據(jù)內(nèi)網(wǎng)、DMZ網(wǎng)的結(jié)構(gòu)確定NetST■防火墻的具體連接方式，防火墻位置一般放在路由器之后，內(nèi)網(wǎng)、DMZ網(wǎng)之前。設(shè)計(jì)系統(tǒng)的訪問控制規(guī)則，使防火墻起作用。

2 防火墻配置步驟建議

配置網(wǎng)絡(luò)結(jié)構(gòu)，安裝NetST■防火墻硬件，使防火墻各網(wǎng)卡正確連接內(nèi)網(wǎng)，外網(wǎng)和DMZ網(wǎng)。配置NetST■防火墻網(wǎng)絡(luò)參數(shù)使網(wǎng)絡(luò)連接正常，必要時(shí)需重啟NetST■防火墻。設(shè)計(jì)網(wǎng)絡(luò)安全策略，根據(jù)用戶具體情況設(shè)置安全選項(xiàng)、NAT規(guī)則、訪問控制的過濾規(guī)則、內(nèi)容過濾規(guī)則等。啟動(dòng)防火墻引擎，使規(guī)則起作用。

3 防火墻規(guī)則定義的一般步驟

NetST防火墻一般按下列步驟定義規(guī)則：

一般情況下，我們建議用戶按上面步驟進(jìn)行規(guī)則配置，用戶也可以根據(jù)情況進(jìn)行一定的調(diào)整和修改。

4 狀態(tài)檢測防火墻引擎

NetST防火墻引擎采用國際先進(jìn)的狀態(tài)檢測包過濾技術(shù)，實(shí)時(shí)在線監(jiān)測當(dāng)前內(nèi)外網(wǎng)絡(luò)的TCP連接狀態(tài)，根據(jù)連接狀態(tài)動(dòng)態(tài)配置規(guī)則，對(duì)異常的連接狀態(tài)進(jìn)行阻斷，實(shí)現(xiàn)入侵檢測并及時(shí)報(bào)警。NetST■防火墻支持對(duì)目前國際上主要的網(wǎng)絡(luò)攻擊方法的判別，并且進(jìn)行有效阻斷。作為包過濾型防火墻， NetST防火墻為用戶提供強(qiáng)大的包過濾功能。NetST防火墻支持各種主流網(wǎng)絡(luò)協(xié)議，不僅可以根據(jù)網(wǎng)絡(luò)流量的類型、網(wǎng)絡(luò)地址、應(yīng)用服務(wù)等條件進(jìn)行過濾，并且可以對(duì)多種網(wǎng)絡(luò)入侵進(jìn)行辨別和有效阻斷，同時(shí)實(shí)時(shí)進(jìn)行記錄和報(bào)警；另外，NetST■防火墻與內(nèi)置多種網(wǎng)絡(luò)對(duì)象的Java管理控制臺(tái)配合使用，可以更加充分發(fā)揮NetST■防火墻引擎的強(qiáng)大的包過濾功能。

4.1 全面安全防護(hù) NetST防火墻具備抵御多種外來惡意攻擊的能力：

4.1.1 DoS（Deny of Service，拒絕服務(wù)）攻擊：此類型的攻擊方式包括SYN Flooding、LAND攻擊、Ping Flooding、Ping of Death、Teardrop/New Tear、IP碎片攻擊等，攻擊者對(duì)服務(wù)器不斷發(fā)各種類型的數(shù)據(jù)包使服務(wù)器的處理能力達(dá)到飽和，從而不能再接受正常的訪問。NetST■防火墻利用地址檢測、流量限制、碎片重組等方法進(jìn)行防御；

4.1.2 IP欺騙：攻擊機(jī)器 C模擬被攻擊機(jī)器A信任的機(jī)器B與A通信，通常先通過DoS攻擊使B的網(wǎng)絡(luò)陷于癱瘓，然后再冒充B與A通信以執(zhí)行對(duì)A造成危害的操作。防止IP欺騙的方法一是服務(wù)器不開危險(xiǎn)服務(wù)，二是服務(wù)器的TCP連接的起始序列號(hào)要隨機(jī)選取，防止被猜，三是加強(qiáng)對(duì)DoS攻擊的防御。NetST■防火墻的防御方法是一是禁止外網(wǎng)到內(nèi)網(wǎng)的連接請(qǐng)求，或只將允許的開放端口請(qǐng)求轉(zhuǎn)到DMZ區(qū)的服務(wù)器，同時(shí)DMZ區(qū)服務(wù)器盡量只開單一服務(wù)，并注意對(duì)系統(tǒng)軟件進(jìn)行升級(jí)或打補(bǔ)丁；

4.1.3 端口掃描：通過端口掃描，攻擊者可知道被攻擊的服務(wù)器上運(yùn)行那些服務(wù)，從而對(duì)服務(wù)進(jìn)行攻擊或利用某些服務(wù)的缺陷攻擊主機(jī)。NetST■防火墻利用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能、TCP狀態(tài)檢測等方法進(jìn)行防御；

4.1.4 IP盜用：在內(nèi)網(wǎng)中的一臺(tái)機(jī)器通過修改IP地址模擬另一臺(tái)機(jī)器，從而NetST■防火墻使用基于用戶的認(rèn)證使IP地址與用戶動(dòng)態(tài)綁定以及IP地址與MAC地址綁定來進(jìn)行預(yù)防。

4.2 全面內(nèi)容過濾 NetST防火墻支持對(duì)最常用的應(yīng)用層協(xié)議進(jìn)行內(nèi)容過濾，使用戶可以根據(jù)網(wǎng)絡(luò)傳輸?shù)膬?nèi)容進(jìn)行管理和控制，從而使企業(yè)網(wǎng)絡(luò)運(yùn)行更加快速有效。NetST防火墻支持HTTP協(xié)議的URL過濾和HTML內(nèi)容過濾。NetST■防火墻支持與WebCM■3000系列產(chǎn)品無縫集成，由NetST■防火墻提取出URL，然后與UFP服務(wù)器連接以確定是否允許此請(qǐng)求通過；同時(shí)，可過濾HTML頁面中的各種腳本和Java小程序；可拒絕各種媒體類型的數(shù)據(jù)，如圖像、聲頻、視頻等，以免浪費(fèi)帶寬，降低工作效率；NetST防火墻支持FTP協(xié)議內(nèi)容過濾，用戶可自行設(shè)定拒絕上載和下載的文件類型表，對(duì)此文件類型范圍內(nèi)的文件傳送請(qǐng)求將被拒絕；

NetST防火墻支持主要郵件協(xié)議的內(nèi)容過濾。對(duì)于SMTP協(xié)議，用戶可自行設(shè)定拒絕發(fā)的附件文件類型表，對(duì)此文件類型范圍內(nèi)的附件發(fā)送請(qǐng)求將被拒絕；對(duì)于POP3協(xié)議，可自行設(shè)定危險(xiǎn)的附件文件類型表，對(duì)此文件類型范圍內(nèi)的附件收取將修改文件的后綴名以使其暫時(shí)失效，從而防止諸如“ILOVEYOU”等郵件病毒的攻擊。

在當(dāng)前信息技術(shù)高速發(fā)展的情況下，好的反火槍技術(shù)不斷發(fā)展更新，設(shè)計(jì)該系統(tǒng)的過程中，我們也是在不斷的發(fā)現(xiàn)問題，解決問題。也發(fā)現(xiàn)了不少?zèng)]有能解決的新問題，比如延時(shí)的控制以及系統(tǒng)運(yùn)行時(shí)的安全保障等新的問題。這需要在今后的工作中不斷的去努力，不斷地去研究逐漸解決。

參考文獻(xiàn)：

[1]張迅.基于SIP的IP視頻電話的設(shè)計(jì)與實(shí)現(xiàn).華中科技大學(xué)碩士學(xué)位論文，2006：14-19.

[2]武海寧基于SIP/RTP的實(shí)用VOIP系統(tǒng)研究.北京郵電大學(xué)碩士學(xué)位論文，2007：17-23.

篇6

引言

21世紀(jì)全世界的計(jì)算機(jī)都將通過Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。

一個(gè)國家的信息安全體系實(shí)際上包括國家的法規(guī)和政策，以及技術(shù)與市場的發(fā)展平臺(tái)。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí)，應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品，我國要想真正解決網(wǎng)絡(luò)安全問題，最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè)，帶動(dòng)我國網(wǎng)絡(luò)安全技術(shù)的整體提高。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn)：第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化；第三，隨著網(wǎng)絡(luò)在社會(huì)各方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

信息安全是國家發(fā)展所面臨的一個(gè)重要問題。對(duì)于這個(gè)問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分，甚至應(yīng)該看到它對(duì)我國未來電子化、信息化的發(fā)展將起到非常重要的作用。

1.防火墻概述：

1.1什么是防火墻

防火墻是建立在兩個(gè)網(wǎng)絡(luò)邊界上的實(shí)現(xiàn)安全策略和網(wǎng)絡(luò)通信監(jiān)控的系統(tǒng)或系統(tǒng)集，它強(qiáng)制執(zhí)行對(duì)內(nèi)部網(wǎng)絡(luò)(如校園網(wǎng))和外部網(wǎng)絡(luò)(如Internet)的訪問控制。

......

目錄

引言:

1.防火墻概述

1.1什么是防火墻

1.2防火墻的四大功能

2.防火墻的分類

2.1從防火墻的軟、硬件形式劃分

2.2按照防火墻防御方式劃分

2.3按防火墻結(jié)構(gòu)劃分

3.防火墻的選擇

3.1總擁有成本

3.2防火墻本身是安全的

3.3管理與培訓(xùn)

3.4可擴(kuò)充性

3.5防火墻的安全性

4.防火墻的發(fā)展前景

4.1在包過濾中引入鑒別授權(quán)機(jī)制

4.2復(fù)變包過濾技術(shù)

4.3虛擬專用防火墻（VPF）

4.4多級(jí)防火墻

結(jié)尾語

參考資料

參考文獻(xiàn):

(1)張炯明.安全電子商務(wù)使用技術(shù).北京.清華大學(xué)出版社.2002.4

(2)吳應(yīng)良.電子商務(wù)概論.廣州.華南理工大學(xué)出版社.2003.8

(3)游夢良,李冬華.企業(yè)電子商務(wù)模式.廣州.廣東人民大學(xué)出版社.2001.10

(4)祁明.電子商務(wù)安全與保密［M］.北京.高等教育出版社.2001.10

篇7

關(guān)鍵詞：入侵檢測異常檢測誤用檢測

 

在網(wǎng)絡(luò)技術(shù)日新月異的今天，基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet，全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。然而，近年來，網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長。因此，保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

1 防火墻

目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。

防火墻作為一種邊界安全的手段，在網(wǎng)絡(luò)安全保護(hù)中起著重要作用。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問，通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，以防范外對(duì)內(nèi)的非法訪問。然而，防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時(shí)無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn)，50％的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部。

(3)由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測能力。畢業(yè)論文 而這一點(diǎn)，對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。

因此，在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對(duì)安全高度敏感部門的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。

由于傳統(tǒng)防火墻存在缺陷，引發(fā)了入侵檢測IDS(Intrusion Detection System)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門，是對(duì)防火墻的合理補(bǔ)充，在不影響網(wǎng)絡(luò)性能的情況下，通過對(duì)網(wǎng)絡(luò)的監(jiān)測，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)?，F(xiàn)在，入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向，在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。

2 入侵檢測

2．1 入侵檢測

入侵檢測是通過從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出自動(dòng)的響應(yīng)。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估、已知的攻擊行為模式的識(shí)別、異常行為模式的統(tǒng)計(jì)分析、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別。入侵檢測通過迅速地檢測入侵，在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前，識(shí)別并驅(qū)除入侵者，使系統(tǒng)迅速恢復(fù)正常工作，并且阻止入侵者進(jìn)一步的行動(dòng)。同時(shí)，收集有關(guān)入侵的技術(shù)資料，用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。

入侵檢測可分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀(jì)90年代至今，英語論文 已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品，其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure，NAI(Network Associates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2 檢測技術(shù)

入侵檢測為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測及攻擊行為檢測，并采取相應(yīng)的防護(hù)手段。例如，實(shí)時(shí)檢測通過記錄證據(jù)來進(jìn)行跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制；攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者，進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測的步驟如下：

收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息

入侵檢測一般采用分布式結(jié)構(gòu)，在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息，一方面擴(kuò)大檢測范圍，另一方面通過多個(gè)采集點(diǎn)的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。

入侵檢測所利用的信息一般來自以下4個(gè)方面：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。

(2)根據(jù)收集到的信息進(jìn)行分析

常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。

統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。當(dāng)觀察值超出正常值范圍時(shí)，就有可能發(fā)生入侵行為。該方法的難點(diǎn)是閾值的選擇，閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告，閾值太大可能漏報(bào)一些入侵事件。

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3 分類及存在的問題

入侵檢測通過對(duì)入侵和攻擊行為的檢測，查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用。工作總結(jié) 根據(jù)不同的檢測方法，將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。

3．1 異常檢測

又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓，通過比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進(jìn)行檢測，是一種間接的方法。

常用的具體方法有：統(tǒng)計(jì)異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法、基于機(jī)器學(xué)習(xí)異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。

采用異常檢測的關(guān)鍵問題有如下兩個(gè)方面：

(1)特征量的選擇

在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí)，選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2)參考閾值的選定

由于異常檢測是以正常的特征輪廓作為比較的參考基準(zhǔn)，因此，參考閾值的選定是非常關(guān)鍵的。

閾值設(shè)定得過大，那漏警率會(huì)很高；閾值設(shè)定的過小，則虛警率就會(huì)提高。合適的參考閾值的選定是決定這一檢測方法準(zhǔn)確率的至關(guān)重要的因素。

篇8

中圖分類號(hào)： TU198 文獻(xiàn)標(biāo)識(shí)碼： A

一．引言

隨著社會(huì)經(jīng)濟(jì)的發(fā)展，建筑工程建設(shè)得到了前所未有的發(fā)展，建筑工程項(xiàng)目的數(shù)量日益增多，同時(shí)出現(xiàn)的各種建筑工程事故也在增加。建筑工程的結(jié)構(gòu)設(shè)計(jì)是保證工程質(zhì)量的關(guān)鍵，防火防爆設(shè)計(jì)直接影響著工程項(xiàng)目的實(shí)用性，甚至關(guān)系著人民的生命財(cái)產(chǎn)安全。因此，為了提高建筑工程的質(zhì)量，保障人民的生命財(cái)產(chǎn)安全，降低國家的經(jīng)濟(jì)損失，我們必須要加強(qiáng)對(duì)建筑工程防火防爆設(shè)計(jì)的研究，提高設(shè)計(jì)的安全性。

二.對(duì)工業(yè)建筑進(jìn)行防火防爆設(shè)計(jì)需考慮的問題。

建筑消防設(shè)計(jì)是建筑設(shè)計(jì)中一個(gè)重要組成部分，關(guān)系到人民生命財(cái)產(chǎn)安全，應(yīng)該引起大家的足夠重視。文章從防火分區(qū)、安全疏散以及防爆泄壓三方面來討論：

（1）. 建筑的防火分區(qū)問題。

《建規(guī)》中規(guī)定了廠房及倉庫的的防火分區(qū)，其中有一點(diǎn)需要注意，廠房及倉庫的防火分區(qū)首先受該建筑物生產(chǎn)類別影響，其次還和建筑物的耐火等級(jí)有關(guān)。雖然《建規(guī)》中規(guī)定封閉樓梯間的門為雙向彈簧門就可以了，但做為劃分防火分區(qū)用的封閉樓梯間門至少應(yīng)設(shè)乙級(jí)防火門。否則樓梯間也是火災(zāi)縱向蔓延的途徑之一，也應(yīng)按上下連通層作為一個(gè)防火分區(qū)計(jì)算面積。

（2）. 安全疏散設(shè)計(jì)問題。

很多大型工業(yè)建筑在消防安全疏散設(shè)計(jì)中存在的問題，諸如首層疏散樓梯無法直通室外，設(shè)備及管道布置錯(cuò)綜復(fù)雜致使人員逃生路線迂回曲折，疏散距離超過規(guī)范要求等。在設(shè)計(jì)中應(yīng)合理設(shè)置安全疏散通道，并使疏散通道兩側(cè)的隔墻耐火極限≥lh(非燃材料)，房間內(nèi)最遠(yuǎn)工作點(diǎn)的疏散距離應(yīng)考慮設(shè)備及管道布置的影響等等。

（3）防爆泄壓應(yīng)注意的問題

首先，不同用途的廠房有不同的廠房爆炸危險(xiǎn)等級(jí)，進(jìn)而根據(jù)規(guī)范采取相應(yīng)級(jí)別的泄壓比。第二，要避免建筑物內(nèi)有爆炸危險(xiǎn)的部位形成長細(xì)比過大的空間，以防止爆炸時(shí)產(chǎn)生較大超壓，保證所設(shè)計(jì)的泄壓面積能有效。第三，泄壓方向要避開人員疏散通道及重要設(shè)施。

三．工業(yè)廠房防火防爆設(shè)計(jì)要點(diǎn)。

有爆炸危險(xiǎn)的廠房，一旦發(fā)生爆炸，不但會(huì)造成房倒人亡，設(shè)備摧毀，生產(chǎn)停頓，甚至引起相鄰廠房或設(shè)施連鎖爆炸、次生火災(zāi)。因此，從廠房設(shè)計(jì)起，就應(yīng)考慮防爆抗爆措施。消防部門也應(yīng)加強(qiáng)對(duì)此類廠房的審核，嚴(yán)格把關(guān)，將隱患消滅在源頭。因此在設(shè)計(jì)爆炸危險(xiǎn)廠房時(shí)應(yīng)注意把握以下幾個(gè)方面：

1.平面布局設(shè)計(jì)。

規(guī)模較大的工廠和倉庫，應(yīng)根據(jù)實(shí)際需要，合理劃分生產(chǎn)區(qū)、儲(chǔ)存區(qū)、生產(chǎn)輔助設(shè)施區(qū)和行政辦公、生活福利區(qū)等。同一生產(chǎn)企業(yè)內(nèi)，宜盡量將火災(zāi)危險(xiǎn)性相同或相近的建筑集中布置，以便分別采取防火防爆設(shè)施，便于安全管理。在選址時(shí)，應(yīng)注意周圍環(huán)境，充分考慮建廠地區(qū)的企業(yè)和居民安全。注意地勢條件，應(yīng)根據(jù)產(chǎn)品的性質(zhì)，優(yōu)先選取有利地形，減少危險(xiǎn)性，減少對(duì)周圍環(huán)境的火災(zāi)威脅。注意風(fēng)向，散發(fā)可燃?xì)怏w、可燃蒸汽和可燃粉塵的車間、裝置，應(yīng)布置在廠區(qū)的全年主導(dǎo)風(fēng)向的下風(fēng)向。

2.建筑耐火等級(jí)。

建筑物耐火等級(jí)。劃分建筑物耐火等級(jí)是建筑設(shè)計(jì)防火規(guī)范中規(guī)定的防火技術(shù)措施中最基本的措施。它要求建筑物在火災(zāi)高溫的持續(xù)作用下,墻、柱、梁、樓板、屋蓋、吊頂?shù)然窘ㄖ?gòu)件,能在一定的時(shí)間內(nèi)不破壞,不傳播火災(zāi),從而起到延緩和阻止火災(zāi)蔓延的作用,并為人員疏散、搶救物資和撲滅火災(zāi)以及為火災(zāi)后結(jié)構(gòu)修復(fù)創(chuàng)造條件。

3.防火墻和防火門及防火間距。

根據(jù)在建筑物中的位置和構(gòu)造形式，有與屋脊方向垂直的橫向防火墻、與屋脊方向平行的縱向防火墻、內(nèi)墻防火墻、外墻防火墻和獨(dú)立防火墻等。內(nèi)防火墻是把廠房或庫房劃分成防火單元，可以阻止火勢在建筑物內(nèi)的蔓延擴(kuò)展；外防火墻是鄰近兩幢建筑物的防火間距不足而設(shè)置的無門窗洞的外墻，或兩幢建筑物之間的室外獨(dú)立防火墻。已采取防火分割的相鄰區(qū)域如需要互相通行時(shí)，可在中間設(shè)置防火門。按燃燒性能不同有非燃燒體防火門和難燃燒體防火門；按開啟方式不同有平開門和卷簾門等。

火災(zāi)發(fā)生時(shí)，由于強(qiáng)烈的熱輻射、熱對(duì)流以及燃燒物質(zhì)的爆炸飛濺、拋向空中形成飛火，能使鄰近甚至遠(yuǎn)處建筑物形成新的起火點(diǎn)。為阻止火勢向相鄰建筑物蔓延擴(kuò)散，應(yīng)保證建筑物之間的防火間距。

4.工業(yè)建筑防爆。

在一些工業(yè)建筑中,使用和產(chǎn)生的可燃?xì)怏w、可燃蒸氣、可燃粉塵等物質(zhì)能夠與空氣形成爆炸危險(xiǎn)性的混合物,遇到火源就能引起爆炸。這種爆炸能夠在瞬間以機(jī)械功的形式釋放出巨大的能量,使建筑物、生產(chǎn)設(shè)備遭到毀壞,造成人員傷亡。對(duì)于上述有爆炸危險(xiǎn)的工業(yè)建筑,為了防止爆炸事故的發(fā)生,減少爆炸事故造成的損失,要從建筑平面與空間布置、建筑構(gòu)造和建筑設(shè)施方面采取防火防爆措施。首先，此類建筑以獨(dú)立設(shè)置，并宜采用敞開或半敞開式，承重結(jié)構(gòu)多采用鋼筋混凝土或鋼框架、排架結(jié)構(gòu)。第二，要加強(qiáng)與其貼臨建造建筑物的保護(hù)，根據(jù)需要將兩者之間的隔墻設(shè)置為防火墻或防爆墻。第三，有爆炸危險(xiǎn)的甲、乙類廠房（倉庫）應(yīng)設(shè)置足夠有效的泄壓設(shè)施,以減少爆炸帶來的損失。當(dāng)建筑物長細(xì)比大于3時(shí)，宜將該建筑劃分為長細(xì)比小于等于3的多個(gè)計(jì)算段來計(jì)算所需泄壓面積，且各計(jì)算段中的公共截面不得作為泄壓面積。另外，位于寒冷及嚴(yán)寒地區(qū)的有爆炸危險(xiǎn)的建筑物屋頂上所設(shè)的泄壓設(shè)施還應(yīng)考慮采取有效防止冰雪積聚的措施。

5. 設(shè)置防爆門斗

設(shè)置防爆門斗是解決交通和防爆的有力措施，第一道門宜采用防爆門，才能達(dá)到防爆的效果。但防爆門均采用特殊鋼材制作，其連接轉(zhuǎn)動(dòng)部件和防止門與門框碰撞產(chǎn)生火花，門鉸鏈應(yīng)采用青銅軸和墊圈或其他摩擦碰撞不發(fā)火材料制作，門扇周邊貼橡膠板，防止碰撞產(chǎn)生火花。防爆門斗內(nèi)要有一定的容積，保證當(dāng)門打開時(shí)瞬時(shí)進(jìn)入門斗的可燃?xì)怏w濃度降低，兩門布置應(yīng)在不同方位上，間距200以上。防爆門斗也是爆炸危險(xiǎn)部位的安全出口，其位置應(yīng)滿足安全疏散距離的要求。

四．結(jié)束語

隨著人們生活水平的提高，對(duì)生命財(cái)產(chǎn)的安全性要求也在不斷提高。建筑安全保障問題在人們心中的地位越來越高，經(jīng)濟(jì)性建立在安全性的基礎(chǔ)之上，只有保證了建筑結(jié)構(gòu)的安全性，才能夠考慮建筑工程施工的經(jīng)濟(jì)性和適用性。在正常的情況下，建筑工程首先要具備良好的工作性能，進(jìn)而為社會(huì)創(chuàng)造出良好的經(jīng)濟(jì)效益。進(jìn)而有效提高建筑結(jié)構(gòu)的安全性能，促進(jìn)建筑工程建設(shè)的發(fā)展，促進(jìn)建筑業(yè)的發(fā)展。

參考文獻(xiàn)：

[1] 李海 防爆防火設(shè)計(jì)在工業(yè)建筑中的應(yīng)用 [期刊論文] 《黑龍江科技信息》 -2012年2期

篇9

防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，以保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許。

從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。盡管如此，事情沒有我們想象的完美，攻擊我們的是人，不是機(jī)器，聰明的黑客們總會(huì)想到一些辦法來突破防火墻。

一、包過濾型防火墻的攻擊

包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)Packet的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識(shí)別基于應(yīng)用層的惡意入侵。

包過濾防火墻是在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)Packet，根據(jù)防火墻的規(guī)則表，來檢測攻擊行為。根據(jù)Packet的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口來過濾。所以它很容易受到如下攻擊。

（一）ip欺騙

如果修改Packet的源，目的地址和端口，模仿一些合法的Packet就可以騙過防火墻的檢測。如：我將Packet中的源地址改為內(nèi)部網(wǎng)絡(luò)地址，防火墻看到是合法地址就會(huì)放行。

這種攻擊應(yīng)該怎么防范呢？

如果防火墻能結(jié)合接口，地址來匹配，這種攻擊就不能成功了。

eth1連接外部網(wǎng)絡(luò)，eth2連接內(nèi)部網(wǎng)絡(luò)，所有源地址為內(nèi)網(wǎng)地址的Packet一定是先到達(dá)eth2，我們配置eth1只接受來自eth2的源地址為內(nèi)網(wǎng)地址的Packet，那么這種直接到達(dá)eth1的偽造包就會(huì)被丟棄。

（二）分片偽造

分片是在網(wǎng)絡(luò)上傳輸IP報(bào)文時(shí)采用的一種技術(shù)手段，但是其中存在一些安全隱患。Ping of Death， teardrop等攻擊可能導(dǎo)致某些系統(tǒng)在重組分片的過程中宕機(jī)或者重新啟動(dòng)。這里我們只談?wù)勅绾卫@過防火墻的檢測。

在IP的分片包中，所有的分片包用一個(gè)分片偏移字段標(biāo)志分片包的順序，但是，只有第一個(gè)分片包含有TCP端口號(hào)的信息。當(dāng)IP分片包通過分組過濾防火墻時(shí)，防火墻只根據(jù)第一個(gè)分片包的Tcp信息判斷是否允許通過，而其他后續(xù)的分片不作防火墻檢測，直接讓它們通過。

工作原理弄清楚了，我們來分析：從上面可以看出，我們?nèi)绻氪┻^防火墻只需要第一個(gè)分片，也就是端口號(hào)的信息符合就可以了。

那我們先發(fā)送第一個(gè)合法的IP分片，將真正的端口號(hào)封裝在第二個(gè)分片中，那樣后續(xù)分片包就可以直接穿透防火墻，直接到達(dá)內(nèi)部網(wǎng)絡(luò)主機(jī)，通過我的實(shí)驗(yàn)，觀察攻擊過程中交換的數(shù)據(jù)報(bào)片斷，發(fā)現(xiàn)攻擊數(shù)據(jù)包都是只含一個(gè)字節(jié)數(shù)據(jù)的報(bào)文，而且發(fā)送的次序已經(jīng)亂得不可辨別，但對(duì)于服務(wù)器TCP/IP堆棧來說，它還是能夠正確重組的。

二、NAT防火墻的攻擊

這里其實(shí)談不上什么攻擊，只能說是穿過這種防火墻的技術(shù)，而且需要新的協(xié)議支持，因?yàn)檫@種方法的是為了讓兩個(gè)不同NAT后面的p2p軟件用戶可以不通過端口映射直接進(jìn)行連接，我們稱為UDP打洞技術(shù)。

UDP打洞技術(shù)允許在有限的范圍內(nèi)建立連接。STUN（The Simple Traversal of User Datagram Protocol through Network Address Translators）協(xié)議實(shí)現(xiàn)了一種打洞技術(shù)可以在有限的情況下允許對(duì)NAT行為進(jìn)行自動(dòng)檢測然后建立UDP連接。在UDP打洞技術(shù)中，NAT分配的外部端口被發(fā)送給協(xié)助直接連接的第三方。在NAT后面的雙方都向?qū)Ψ降耐獠慷丝诎l(fā)送一個(gè)UDP包，這樣就在NAT上面創(chuàng)建了端口映射，雙方就此可以建立連接。一旦連接建立，就可以進(jìn)行直接的UDP通信了。

但是UDP連接不能夠持久連接。UDP是無連接的并且沒有對(duì)誰明確的通信。一般地，NAT見了的端口映射，如果一段時(shí)間不活動(dòng)后就是過期。為了保持UDP端口映射，必須每隔一段時(shí)間就發(fā)送UDP包，就算沒有數(shù)據(jù)的時(shí)候，只有這樣才能保持UDP通信正常。另外很多防火墻都拒絕任何的外來UDP連接。

由于各方面原因，這次沒有對(duì)建立TCP的連接做研究，估計(jì)是能連接的。

三、防火墻的攻擊

防火墻運(yùn)行在應(yīng)用層，攻擊的方法很多。這里就以WinGate為例。 WinGate是以前應(yīng)用非常廣泛的一種Windows95/NT防火墻軟件，內(nèi)部用戶可以通過一臺(tái)安裝有WinGate的主機(jī)訪問外部網(wǎng)絡(luò)，但是它也存在著幾個(gè)安全脆弱點(diǎn)。

黑客經(jīng)常利用這些安全漏洞獲得WinGate的非授權(quán)Web、Socks和Telnet的訪問，從而偽裝成WinGate主機(jī)的身份對(duì)下一個(gè)攻擊目標(biāo)發(fā)動(dòng)攻擊。因此，這種攻擊非常難于被跟蹤和記錄。

導(dǎo)致WinGate安全漏洞的原因大多數(shù)是管理員沒有根據(jù)網(wǎng)絡(luò)的實(shí)際情況對(duì)WinGate防火墻軟件進(jìn)行合理的設(shè)置，只是簡單地從缺省設(shè)置安裝完畢后就讓軟件運(yùn)行，這就讓攻擊者可從以下幾個(gè)方面攻擊：

（一）非授權(quán)Web訪問

某些WinGate版本（如運(yùn)行在NT系統(tǒng)下的2.1d版本）在誤配置情況下，允許外部主機(jī)完全匿名地訪問因特網(wǎng)。因此，外部攻擊者就可以利用WinGate主機(jī)來對(duì)Web服務(wù)器發(fā)動(dòng)各種Web攻擊（ 如CGI的漏洞攻擊等），同時(shí)由于Web攻擊的所有報(bào)文都是從80號(hào)Tcp端口穿過的，因此，很難追蹤到攻擊者的來源。

檢測WinGate主機(jī)是否有這種安全漏洞的方法如下：

（1）以一個(gè)不會(huì)被過濾掉的連接（譬如說撥號(hào)連接）連接到因特網(wǎng)上。

（2）把瀏覽器的服務(wù)器地址指向待測試的WinGate主機(jī)。

如果瀏覽器能訪問到因特網(wǎng)，則WinGate主機(jī)存在著非授權(quán)Web訪問漏洞。

（二）非授權(quán)Socks訪問

在WinGate的缺省配置中，Socks（1080號(hào)Tcp端口）同樣是存在安全漏洞。與打開的Web（80號(hào)Tcp端口）一樣，外部攻擊者可以利用Socks訪問因特網(wǎng)。

轉(zhuǎn)貼于

（三）非授權(quán)Telnet訪問

它是WinGate最具威脅的安全漏洞。通過連接到一個(gè)誤配置的WinGate服務(wù)器的Telnet服務(wù)，攻擊者可以使用別人的主機(jī)隱藏自己的蹤跡，隨意地發(fā)動(dòng)攻擊。

檢測WinGate主機(jī)是否有這種安全漏洞的方法如下：

1)使用telnet嘗試連接到一臺(tái)WinGate服務(wù)器。

[root@happy/tmp]#telnet172.29.11.191

Trying172.29.11.191….

Connectedto172.29.11.191.

Escapecharacteris'^]'.

Wingate>10.50.21.5

2)如果接受到如上的響應(yīng)文本，那就輸入待連接到的網(wǎng)站。

3)如果看到了該新系統(tǒng)的登錄提示符，那么該服務(wù)器是脆弱的。

Connectedtohost10.50.21.5…Connected

SunOS5.6

Login:

其實(shí)只要我們?cè)赪inGate中簡單地限制特定服務(wù)的捆綁就可以解決這個(gè)問題。

四、監(jiān)測型防火墻的攻擊

一般來說，完全實(shí)現(xiàn)了狀態(tài)檢測技術(shù)防火墻，智能性都比較高，普通的掃描攻擊還能自動(dòng)的反應(yīng)。但是這樣智能的防火墻也會(huì)受到攻擊！

（一）協(xié)議隧道攻擊

協(xié)議隧道的攻擊思想類似與VPN的實(shí)現(xiàn)原理，攻擊者將一些惡意的攻擊Packet隱藏在一些協(xié)議分組的頭部，從而穿透防火墻系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊。

比如說，許多簡單地允許ICMP回射請(qǐng)求、ICMP回射應(yīng)答和UDP分組通過的防火墻就容易受到ICMP和UDP協(xié)議隧道的攻擊。Loki和lokid（攻擊的客戶端和服務(wù)端）是實(shí)施這種攻擊的有效的工具。在實(shí)際攻擊中，攻擊者首先必須設(shè)法在內(nèi)部網(wǎng)絡(luò)的一個(gè)系統(tǒng)上安裝上lokid服務(wù)端，而后攻擊者就可以通過loki客戶端將希望遠(yuǎn)程執(zhí)行的攻擊命令（對(duì)應(yīng)IP分組）嵌入在ICMP或UDP包頭部，再發(fā)送給內(nèi)部網(wǎng)絡(luò)服務(wù)端lokid，由它執(zhí)行其中的命令，并以同樣的方式返回結(jié)果。

由于許多防火墻允許ICMP和UDP分組自由出入，因此攻擊者的惡意數(shù)據(jù)就能附帶在正常的分組，繞過防火墻的認(rèn)證，順利地到達(dá)攻擊目標(biāo)主機(jī)。

（二）利用FTP-pasv繞過防火墻認(rèn)證的攻擊

FTP-pasv攻擊是針對(duì)防火墻實(shí)施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如CheckPoint的Firewall-1，在監(jiān)視FTP服務(wù)器發(fā)送給客戶端的包的過程中，它在每個(gè)包中尋找“227”這個(gè)字符串。如果發(fā)現(xiàn)這種包，將從中提取目標(biāo)地址和端口，并對(duì)目標(biāo)地址加以驗(yàn)證，通過后，將允許建立到該地址的TCP連接。

攻擊者通過這個(gè)特性，可以設(shè)法連接受防火墻保護(hù)的服務(wù)器和服務(wù)。

五、通用的攻擊方法

（一）木馬攻擊

反彈木馬是對(duì)付防火墻的最有效的方法。攻擊者在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時(shí)地連接外部攻擊者控制的主機(jī)，由于連接是從內(nèi)部發(fā)起的，防火墻（任何的防火墻）都認(rèn)為是一個(gè)合法的連接，因此基本上防火墻的盲區(qū)就是這里了。防火墻不能區(qū)分木馬的連接和合法的連接。

說一個(gè)典型的反彈木馬，目前變種最多有“毒王”之稱的“灰鴿子”，該木馬由客戶端主動(dòng)連接服務(wù)器，服務(wù)器直接操控。非常方便。

(二)d.o.s拒絕服務(wù)攻擊

簡單的防火墻不能跟蹤 tcp的狀態(tài)，很容易受到拒絕服務(wù)攻擊，一旦防火墻受到d.o.s攻擊，它可能會(huì)忙于處理，而忘記了自己的過濾功能。簡單的說明兩個(gè)例子。

Land（Land Attack）攻擊：在Land攻擊中，黑客利用一個(gè)特別打造的SYN包，它的源地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址進(jìn)行攻擊。此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)，在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢。

IP欺騙DOS攻擊：這種攻擊利用TCP協(xié)議棧的RST位來實(shí)現(xiàn)，使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。假設(shè)現(xiàn)在有一個(gè)合法用戶(a.a.a.a)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為a.a.a.a，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從a.a.a.a發(fā)送的連接有錯(cuò)誤，就會(huì)清空緩沖區(qū)中已建立好的連接。這時(shí)，合法用戶a.a.a.a再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，該用戶就被拒絕服務(wù)而只能重新開始建立新的連接。

六、結(jié)論

我們必須承認(rèn)以現(xiàn)在的防火墻技術(shù)，無法給我們一個(gè)相當(dāng)安全的網(wǎng)絡(luò)。網(wǎng)絡(luò)中是沒有百分之百安全的，由于我們面對(duì)的黑客都屬于聰明的高技術(shù)性計(jì)算機(jī)專家，攻擊時(shí)的變數(shù)太大，所以網(wǎng)絡(luò)安全不可能單靠防火墻來實(shí)現(xiàn)，只可能通過不斷完善策略、協(xié)議等根本因素才行。

在防火墻目前還不算長的生命周期中，雖然問題不斷，但是，它也在科學(xué)家的苦心經(jīng)營下不斷自我完善，從單純地?cái)r截一次來自黑客的惡意進(jìn)攻，逐步走向安全事件管理及安全信息管理的大路，并將最終匯入網(wǎng)絡(luò)安全管理系統(tǒng)的大海，這應(yīng)該是一種歷史的必然。一旦防火墻把網(wǎng)絡(luò)安全管理當(dāng)作自我完善的終極目的，就等同于將發(fā)展的方向定位在了網(wǎng)絡(luò)安全技術(shù)的制高點(diǎn)，如果成功，防火墻將成為未來網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分。

參考文獻(xiàn)

[1]W．Richard As.TCP/IP詳解 卷一：協(xié)議[M].機(jī)械工業(yè)出版社，2000.

[2]黎連業(yè)，張維.防火墻及其應(yīng)用技術(shù)[M].北京：清華大學(xué)，2004.

篇10

 

一、引言

信息科技的迅速發(fā)展，Internet已成為全球重要的信息傳播工具?？萍颊撐?。據(jù)不完全統(tǒng)計(jì)，Internet現(xiàn)在遍及186個(gè)國家，容納近60萬個(gè)網(wǎng)絡(luò)，提供了包括600個(gè)大型聯(lián)網(wǎng)圖書館，400個(gè)聯(lián)網(wǎng)的學(xué)術(shù)文獻(xiàn)庫，2000種網(wǎng)上雜志，900種網(wǎng)上新聞報(bào)紙，50多萬個(gè)Web網(wǎng)站在內(nèi)的多種服務(wù)，總共近100萬個(gè)信息源為世界各地的網(wǎng)民提供大量信息資源交流和共享的空間。信息的應(yīng)用也從原來的軍事、科技、文化和商業(yè)滲透到當(dāng)今社會(huì)的各個(gè)領(lǐng)域，在社會(huì)生產(chǎn)、生活中的作用日益顯著。傳播、共享和自增殖是信息的固有屬性，與此同時(shí)，又要求信息的傳播是可控的，共享是授權(quán)的，增殖是確認(rèn)的。因此在任何情況下，信息的安全和可靠必須是保證的。

二、局域網(wǎng)的安全現(xiàn)狀

目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收，也同時(shí)為處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。科技論文。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽，就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對(duì)其進(jìn)行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患。事實(shí)上，Internet上許多免費(fèi)的黑客工具，如SATAN、ISS、NETCAT等等，都把以太網(wǎng)偵聽作為其最基本的手段。

三、局域網(wǎng)安全技術(shù)

1、采用防火墻技術(shù)。防火墻是建立在被保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障，用于保護(hù)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部兩個(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進(jìn)行控制和審計(jì)。防火墻產(chǎn)品主要分為兩大類：

包過濾防火墻（也稱為網(wǎng)絡(luò)層防火墻）在網(wǎng)絡(luò)層提供較低級(jí)別的安全防護(hù)和控制。

應(yīng)用級(jí)防火墻（也稱為應(yīng)用防火墻）在最高的應(yīng)用層提供高級(jí)別的安全防護(hù)和控制。

2、網(wǎng)絡(luò)分段。網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。

目前，海關(guān)的局域網(wǎng)大多采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局，應(yīng)重點(diǎn)挖掘中心交換機(jī)的訪問控制功能和三層交換功能，綜合應(yīng)用物理分段與邏輯分段兩種方法，來實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制。例如：在海關(guān)系統(tǒng)中普遍使用的DECMultiSwitch900的入侵檢測功能，其實(shí)就是一種基于MAC地址的訪問控制，也就是上述的基于數(shù)據(jù)鏈路層的物理分段。

3、以交換式集線器代替共享式集線器。對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺(tái)機(jī)器之間的數(shù)據(jù)包（稱為單播包UnicastPacket）還是會(huì)被同一臺(tái)集線器上的其他用戶所偵聽。用戶TELNET到一臺(tái)主機(jī)上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個(gè)字符（包括用戶名、密碼等重要信息），都將被明文發(fā)送，這就給黑客提供了機(jī)會(huì)。因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法偵聽。

4、VLAN的劃分。運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。目前的VLAN技術(shù)主要有三種：基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN。基于端口的VLAN雖然稍欠靈活，但卻比較成熟，在實(shí)際應(yīng)用中效果顯著，廣受歡迎?；贛AC地址的VLAN為移動(dòng)計(jì)算提供了可能性，但同時(shí)也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實(shí)際應(yīng)用卻尚不成熟。

在集中式網(wǎng)絡(luò)環(huán)境下，我們通常將中心的所有主機(jī)系統(tǒng)集中到一個(gè)VLAN里，在這個(gè)VLAN里不允許有任何用戶節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，我們可以按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN。各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)，互不侵?jǐn)_。VLAN內(nèi)部的連接采用交換實(shí)現(xiàn)，而VLAN與VLAN之間的連接則采用路由實(shí)現(xiàn)。

5、隱患掃描。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞有它多方面的屬性，主要可以用以下幾個(gè)方面來概括：漏洞可能造成的直接威脅、漏洞的成因、漏洞的嚴(yán)重性和漏洞被利用的方式。漏洞檢測和入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全系統(tǒng)的一個(gè)重要組成部分，它不但可以實(shí)現(xiàn)復(fù)雜煩瑣的信息系統(tǒng)安全管理，而且還可以從目標(biāo)信息系統(tǒng)和網(wǎng)絡(luò)資源中采集信息，分析來自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號(hào)和網(wǎng)絡(luò)系統(tǒng)中的漏洞,有時(shí)還能實(shí)時(shí)地對(duì)攻擊做出反應(yīng)。漏洞檢測就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。這種技術(shù)通常采用兩種策略，即被動(dòng)式策略和主動(dòng)式策略。被動(dòng)式策略是基于主機(jī)的檢測，對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則相抵觸的對(duì)象進(jìn)行檢查；而主動(dòng)式策略是基于網(wǎng)絡(luò)的檢測，通過執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個(gè)評(píng)估，它指出了哪些攻擊是可能的，因此成為安全方案的一個(gè)重要組成部分。入侵檢測和漏洞檢測系統(tǒng)是防火墻的重要補(bǔ)充，并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能，對(duì)網(wǎng)絡(luò)安全進(jìn)行全方位的保護(hù)。科技論文。

四、網(wǎng)絡(luò)安全制度

1、組織工作人員認(rèn)真學(xué)習(xí)《計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》，提高工作人員的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺性。

2、負(fù)責(zé)對(duì)本網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn)，使用戶自覺遵守和維護(hù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》，使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。

3、實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)用戶的行為，保障網(wǎng)絡(luò)設(shè)備自身和網(wǎng)上信息的安全。

4、對(duì)已經(jīng)發(fā)生的網(wǎng)絡(luò)破壞行為在最短的時(shí)間內(nèi)做出響應(yīng)，使損失減少到最低限度。

五、結(jié)束語

網(wǎng)絡(luò)的開放性決定了局域網(wǎng)安全的脆弱性，而網(wǎng)絡(luò)技術(shù)的不斷飛速發(fā)展，又給局域網(wǎng)的安全管理增加了技術(shù)上的不確定性，目前有效的安全技術(shù)可能很快就會(huì)過時(shí)，在黑客和病毒面前不堪一擊。因此，局域網(wǎng)的安全管理不僅要有切實(shí)有效的技術(shù)手段，嚴(yán)格的管理制度，更要有知識(shí)面廣，具有學(xué)習(xí)精神的管理人員。

參考文獻(xiàn)

篇11

Abstracts: In recent years, computer network access to the rapid development of network security issues will become a focus of attention. This paper analyzes the main factors affecting network security, focuses on several commonly used network information security technology. 中圖分類號(hào)：TN711文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全包括兩個(gè)方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。 隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、互連性等特征，加上安全機(jī)制的缺乏和防護(hù)意識(shí)不強(qiáng)，致使網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌行為的攻擊，所以網(wǎng)絡(luò)信息的安全和保密是一個(gè)至關(guān)重要的問題。 一、威脅網(wǎng)絡(luò)安全的主要因素 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素有很多，威脅網(wǎng)絡(luò)安全則主要來自人為的無意失誤、人為的惡意功擊和網(wǎng)絡(luò)軟件系統(tǒng)的漏洞以及“后門”三個(gè)方面的因素，歸納起來如下： 1．應(yīng)用系統(tǒng)和軟件安全漏洞。WEB服務(wù)器和瀏覽器難以保障安全，最初人們引入CGI程序目的是讓主頁活起來，然而很多人在編CGI程序時(shí)對(duì)軟件包并不十分了解，多數(shù)人不是新編程序，而是對(duì)程序加以適當(dāng)?shù)男薷?，這樣一來，很多CGI程序就難免具有相同安全漏洞。且每個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是完美無缺，因此始終處于一個(gè)危險(xiǎn)的境地，一旦連接入網(wǎng)，就有可能成為功擊對(duì)象。 2．安全策略。安全配置不當(dāng)造成安全漏洞，例如：防火墻軟件的配置不正確，那么它根本不起作用。許多站點(diǎn)在防火墻配置上無意識(shí)地?cái)U(kuò)大了訪問權(quán)限，忽視了這些權(quán)限可能會(huì)被其他人員濫用。網(wǎng)絡(luò)入侵的目的主要是取得使用系統(tǒng)的存儲(chǔ)權(quán)限、寫權(quán)限以及訪問其他存儲(chǔ)內(nèi)容的權(quán)限，或者是作為進(jìn)一步進(jìn)入其他系統(tǒng)的跳板，或者惡意破壞這個(gè)系統(tǒng)，使其毀壞而喪失服務(wù)能力。對(duì)特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動(dòng)時(shí)，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會(huì)被啟用。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則，安全隱患始終存在。 3．后門和木馬程序。在計(jì)算機(jī)系統(tǒng)中，后門是指軟、硬件制作者為了進(jìn)行非授權(quán)訪問而在程序中故意設(shè)置的訪問口令，但也由于后門的存大，對(duì)處于網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)構(gòu)成潛在的嚴(yán)重威脅。木馬是一類特殊的后門程序，是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)；如果一臺(tái)電腦被安裝了木馬服務(wù)器程序，那么黑客就可以使用木馬控制器程序進(jìn)入這臺(tái)電腦，通過命令服務(wù)器程序達(dá)到控制電腦目的。 4．病毒。目前數(shù)據(jù)安全的頭號(hào)大敵是計(jì)算機(jī)病毒，它是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響硬件的正常運(yùn)行并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。它具有病毒的一些共性，如：傳播性、隱蔽性、破壞性和潛伏性等等，同時(shí)具有自己的一些特征，如：不利用文件寄生（有的只存在于內(nèi)存中），對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)以及和黑客技術(shù)相結(jié)合等。 5．黑客。黑客通常是程序設(shè)計(jì)人員，他們掌握著有關(guān)操作系統(tǒng)和編程語言的高級(jí)知識(shí)，并利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng)，其危害性非常大。從某種意義上講，黑客對(duì)信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。 二、常用的網(wǎng)絡(luò)安全技術(shù) 1．殺毒軟件技術(shù)。殺毒軟件是我們計(jì)算機(jī)中最為常見的軟件，也是用得最為普通的安全技術(shù)方案，因?yàn)檫@種技術(shù)實(shí)現(xiàn)起來最為簡單，但我們都知道殺毒軟件的主要功能就是殺毒，功能比較有限，不能完全滿足網(wǎng)絡(luò)安全的需要。這種方式對(duì)于個(gè)人用戶或小企業(yè)基本能滿足需要，但如果個(gè)人或企業(yè)有電子商務(wù)方面的需求，就不能完全滿足了，值得欣慰的是隨著殺毒軟件技術(shù)的不斷發(fā)展，現(xiàn)在的主流殺毒軟件同時(shí)對(duì)預(yù)防木馬及其它的一些黑客程序的入侵有不錯(cuò)的效果。還有的殺毒軟件開發(fā)商同時(shí)提供了軟件防火墻，具有了一定防火墻功能，在一定程度上能起到硬件防火墻的功效，如：360、金山防火墻和Norton防火墻等。

2．防火墻技術(shù)。防火墻技術(shù)是指網(wǎng)絡(luò)之間通過預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制的安全應(yīng)用措施。防火墻如果從實(shí)現(xiàn)方式上來分，又分為硬件防火墻和軟件防火墻兩類，我們通常意義上講的硬防火墻為硬件防火墻，它是通過硬件和軟件的結(jié)合來達(dá)到隔離內(nèi)外部網(wǎng)絡(luò)的目的，價(jià)格較貴，但效果較好，一般小型企業(yè)和個(gè)人很難實(shí)現(xiàn)；軟件防火墻它是通過純軟件的方式來達(dá)到，價(jià)格很便宜，但這類防火墻只能通過一定的規(guī)則來達(dá)到限制一些非法用戶訪問內(nèi)部網(wǎng)的目的。然而，防火墻也并非人們想象的那樣不可滲透。在過去的統(tǒng)計(jì)中曾遭受過黑客入侵的網(wǎng)絡(luò)用戶有三分之一是有防火墻保護(hù)的，也就是說要保證網(wǎng)絡(luò)信息的安全還必須有其他一系列措施，例如：對(duì)數(shù)據(jù)進(jìn)行加密處理。需要說明的是防火墻只能抵御來自外部網(wǎng)絡(luò)的侵?jǐn)_，而對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全卻無能為力，要保證企業(yè)內(nèi)部網(wǎng)的安全，還需通過對(duì)內(nèi)部網(wǎng)絡(luò)的有效控制和來實(shí)現(xiàn)。 3．?dāng)?shù)據(jù)加密技術(shù)。與防火墻配合使用的安全技術(shù)還有文件加密與數(shù)字簽名技術(shù)，它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部竊取，偵聽或破壞所采用的主要技術(shù)手段之一。按作用不同，文件加密和數(shù)字簽名技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。數(shù)據(jù)存儲(chǔ)加密技術(shù)是以防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲(chǔ)和存取控制兩種；數(shù)據(jù)傳輸加密技術(shù)的目的是對(duì)傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法；數(shù)據(jù)完整性鑒別技術(shù)的目的是對(duì)介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證，達(dá)到保密的要求，系統(tǒng)通過對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應(yīng)用，密匙管理技術(shù)事實(shí)上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。 數(shù)據(jù)加密技術(shù)主要是通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性，能夠有效地防止機(jī)密信息的泄漏。另外，它也廣泛地被應(yīng)用于信息鑒別、數(shù)字簽名等技術(shù)中，用來防止欺騙，這對(duì)信息處理系統(tǒng)的安全起到極其重要的作用。 4．入侵檢測技術(shù)。網(wǎng)絡(luò)入侵檢測技術(shù)也叫網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控技術(shù)，它通過硬件或軟件對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)流進(jìn)行實(shí)時(shí)檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫等比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動(dòng)作做出反應(yīng)，如切斷網(wǎng)絡(luò)連接，或通知防火墻系統(tǒng)對(duì)訪問控制策略進(jìn)行調(diào)整，將入侵的數(shù)據(jù)包過濾掉等。因此入侵檢測是對(duì)防火墻有益的補(bǔ)充?？稍诓挥绊懢W(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，大大提高了網(wǎng)絡(luò)的安全性。 5．網(wǎng)絡(luò)安全掃描技術(shù)。網(wǎng)絡(luò)安全掃描技術(shù)是檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的一種安全技術(shù)，通過對(duì)網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。利用安全掃描技術(shù)，可以對(duì)局域網(wǎng)絡(luò)、Web站點(diǎn)、主機(jī)操作系統(tǒng)、系統(tǒng)服務(wù)以及防火墻系統(tǒng)的安全漏洞進(jìn)行服務(wù)，檢測在操作系統(tǒng)上存在的可能導(dǎo)致遭受緩沖區(qū)溢出攻擊或者拒絕服務(wù)攻擊的安全漏洞，還可以檢測主機(jī)系統(tǒng)中是否被安裝了竊聽程序、防火墻系統(tǒng)是否存在安全漏洞和配置錯(cuò)誤。 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)的發(fā)展戚戚相關(guān)，關(guān)系著IN-TERNET的進(jìn)一步發(fā)展和普及。網(wǎng)絡(luò)安全不能僅依靠殺毒軟件、防火墻和漏洞檢測等硬件設(shè)備的防護(hù)，還應(yīng)注重樹立人的計(jì)算機(jī)安全意識(shí)，才可能更好地進(jìn)行防護(hù)，才能真正享受到網(wǎng)絡(luò)帶來的巨大便利。

[參考文獻(xiàn)] [1]顧巧論．計(jì)算機(jī)網(wǎng)絡(luò)安全[M]．北京：清華大學(xué)出版社，2008．