網(wǎng)絡(luò)安全畢業(yè)論文

興義民族師范學(xué)院計(jì)算機(jī)科學(xué)系 I- 興義民族師范學(xué)院 計(jì)算機(jī)科學(xué)系 （ 畢業(yè)設(shè)計(jì)論文 ） 課題名稱 ： 網(wǎng)絡(luò)安全 專 業(yè) ： 計(jì)科系現(xiàn)代教育技術(shù) 班 級 ： 計(jì)算機(jī)?？瓢?姓 名 ： 陳 進(jìn) 學(xué) 號 ： 201030811011 指導(dǎo)老師 ： 饒 靜 設(shè)計(jì)時(shí)間 ： 2012-2013 學(xué)年第 2 學(xué)期 興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 1 - 網(wǎng)絡(luò)安全 摘要 :計(jì)算機(jī)網(wǎng)絡(luò)安全問題，直接關(guān)系到一個(gè)國家的政治、軍事、經(jīng)濟(jì)等領(lǐng)域的安全和穩(wěn)定。目前黑客猖獗，平均每 18 秒鐘世界上就有一次黑客事件發(fā)生。因此，提高對網(wǎng)絡(luò)安全重要性的認(rèn)識，增強(qiáng)防范意識，強(qiáng)化防范措施，是保證信息產(chǎn)業(yè)持續(xù)穩(wěn)定發(fā)展的重要保證和前提條件。 文中 首先 論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化，闡述 了 我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網(wǎng)絡(luò)安全體系的必要性 ，以及網(wǎng)絡(luò)的安全管理。進(jìn)一步闡述了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全設(shè)計(jì)，包括對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析和對網(wǎng)絡(luò)安全的淺析。然后具體講述了 網(wǎng)絡(luò)防火墻 安全技術(shù)的分類及其主要技術(shù)特征 ， 防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。 同時(shí) 就信息交換加密技術(shù)的分類及 RSA 算法作 了簡要的 分析，論述了其安全體系的構(gòu)成 。最后分析網(wǎng)絡(luò)安全技術(shù)的研究現(xiàn)狀和動(dòng)向。 關(guān)鍵字 ：網(wǎng)絡(luò)信息安全 防范技術(shù) 網(wǎng)絡(luò)管理 興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 2 - 目 錄 網(wǎng)絡(luò)安全 . 1 目 錄 . 2 第一章 引 言 . 3 1.1 概述 . 3 1.2 網(wǎng)絡(luò)安全的研究目的 . 3 1.3 網(wǎng)絡(luò)安全的含義 . 4 第二章 網(wǎng)絡(luò)安全初步分析 . 5 2.1 網(wǎng)絡(luò)安全的必要 . 5 2.2 網(wǎng)絡(luò)的安全管理 . 5 2.2.1 安全管理原則 . 5 2.2.2 安全管理的實(shí)現(xiàn) . 6 2.3 采用先進(jìn)的技術(shù)和產(chǎn)品 . 6 2.3.1 防火墻技術(shù) . 6 2.3.2 加密技術(shù) . 6 2.3.3 認(rèn)證技術(shù) . 7 2.3.4 計(jì)算機(jī)病毒的防范 . 7 2.4 常見的網(wǎng)絡(luò)攻擊及防范對策 . 7 2.4.1 郵件炸彈 . 7 2.4.2 特洛伊木馬 . 8 2.4.3 過載攻擊 . 8 2.4.4 淹沒攻擊 . 8 第三章 網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì) . 10 3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析 . 10 3.2 網(wǎng)絡(luò)攻擊淺析 . 11 第四章 防范技術(shù) . 13 4.1 防火墻的定義與選擇 . 13 4.2 對稱加密技術(shù) . 14 4.3 公開密鑰加密 . 14 4.4 RSA 算法 . 14 4.5 注冊與認(rèn)證管理 . 15 4.5.1 認(rèn)證機(jī)構(gòu) . 15 4.5.2 注冊機(jī)構(gòu) . 15 4.5.3 密鑰備份和恢復(fù) . 15 4.5.4 證書管理與撤消系統(tǒng) . 15 第五章 安全技術(shù)的研究 . 17 5.1 安全技術(shù)的研究現(xiàn)狀和方向 . 17 5.1.1 包過濾型 . 17 5.1.2 代理型 . 17 結(jié)束語 . 19 參 考 文 獻(xiàn) . 20 興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 3 - 第一章 引 言 1.1 概述 21 世紀(jì)全世界的計(jì)算機(jī)都將通過 Internet 聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。 世界各國的競爭已成為已經(jīng)濟(jì)為基礎(chǔ)、以科技（特別是高科技）為先導(dǎo)的綜合國力的競爭。 它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入 21 世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候， 信息化的發(fā)展將起到非常重要的作用 ， 我 國 也 將 要 建立起一套完整的 安全 網(wǎng)絡(luò)安全體系 。 當(dāng)今，信息科學(xué)技術(shù)是知識高度密集、科學(xué)高度綜合、具有科學(xué)與技術(shù)融合特征的學(xué)科。他直接滲透到經(jīng)濟(jì)、文化和社會(huì)的各個(gè)領(lǐng)域，迅速改變著人們的觀念、生活和社會(huì)的結(jié)構(gòu)，是 當(dāng)代發(fā)展知識經(jīng)濟(jì)的支柱之一。 信息安 全體系實(shí)際上包括國家的法規(guī)和政策，以及技術(shù)與市場的發(fā)展平臺。我 們 在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí)，應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品，要想真正解決網(wǎng)絡(luò)安全問題，最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè)，帶動(dòng)我國網(wǎng)絡(luò)安全技術(shù)的整體提高。 網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn)： 網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化； 網(wǎng)絡(luò)安全來源于安全策 略與技術(shù)的多樣化，如果采用統(tǒng)一的技術(shù)和策略也就不安全了； 隨著網(wǎng)絡(luò)在社會(huì)各個(gè)方面的 提高 ，進(jìn)入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù) 也變成 復(fù)雜的系統(tǒng)工程。 信息安全是國家發(fā) 展所面臨的一個(gè)重要問題。 為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及 技術(shù)人員 研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面， 相互促進(jìn)、 總是不斷地向上攀升，所以 網(wǎng)絡(luò) 安全將來也 會(huì) 變成 一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。 1.2 網(wǎng)絡(luò)安全 的研究目的 興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 4 - 目前計(jì)算機(jī)網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多方面的。這種威脅將不斷給社會(huì)帶來了巨大的損失。網(wǎng)絡(luò)安全已被信息社會(huì)的各個(gè)領(lǐng)域所重視。隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢； 網(wǎng)絡(luò)安全 技術(shù)的發(fā)展 給政府機(jī)構(gòu)、企事業(yè)單位帶來了革命性的改革。 通過 網(wǎng)絡(luò)，他們可以從異地取回重要數(shù)據(jù)， 由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性 、經(jīng)濟(jì) 性 等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌 行為 的攻擊， 因此同時(shí)他們也將面對數(shù)據(jù)安全的威脅。 所以網(wǎng)上信息的安全和保密 也成為最難最 重要的問題。對于軍用的自動(dòng)化指揮網(wǎng)絡(luò) （ C3I 系統(tǒng) ） 、銀行和政府等傳輸敏感數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。 綜 上 所 述 ： 網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是 多余的 、甚至?xí)野踩?。無論是在局域網(wǎng)還是在廣域網(wǎng)中， 網(wǎng)絡(luò) 都存在著自然 脆弱性和 人為等諸多因素的潛在威脅 。故此，網(wǎng)絡(luò)的安全措施應(yīng) 能全方位地針對各種不同的威脅和 網(wǎng)絡(luò)的 脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究計(jì)算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。 本文就進(jìn)行初步探討計(jì)算機(jī)網(wǎng)絡(luò)安全的管理及其技術(shù)措施。 認(rèn)真分析網(wǎng)絡(luò)面臨的威脅，我認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個(gè)極為復(fù)雜的系統(tǒng)工程，是一個(gè)安全管理和技術(shù)防范相結(jié)合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強(qiáng)工作人員的責(zé)任心和防范意識，自覺執(zhí)行各項(xiàng)安全制度，在此 基礎(chǔ)上，再采用先進(jìn)的技術(shù)和產(chǎn)品，構(gòu)造全方位的防御機(jī)制，使系統(tǒng)在理想的狀態(tài)下運(yùn)行。 1.3 網(wǎng)絡(luò) 安 全的含義 信息 安全是 指 網(wǎng)絡(luò)系統(tǒng)的部件、 程序、數(shù)據(jù)的安全性，他通過網(wǎng)絡(luò)信息的存儲、傳輸和使用過程的體現(xiàn)。所謂的網(wǎng)絡(luò)安全行就是保護(hù)網(wǎng)絡(luò)程序、數(shù)據(jù)或設(shè)備，使其免受非授權(quán)使用或訪問。 網(wǎng)絡(luò)安全本質(zhì)上就是信息安全 ，廣而言之，凡是涉及網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)可理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。興義民族師范學(xué)院計(jì)算機(jī)科學(xué)系 5- 第二章 網(wǎng)絡(luò)安全初步分析 2.1 網(wǎng)絡(luò)安全的必要 隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為信息時(shí)代的重要特征 ，人們稱它為信息高速公路。網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)的產(chǎn)物，是 社會(huì)對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設(shè)自己的信息高速公路。我國近年來計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應(yīng)用。我相信在不長的時(shí)間里，計(jì)算機(jī)網(wǎng)絡(luò)一定會(huì)得到極大的發(fā)展，那時(shí)將全面進(jìn)入信息時(shí) 代。 正因?yàn)榫W(wǎng)絡(luò)應(yīng)用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的 。 2.2 網(wǎng)絡(luò)的安全管理 網(wǎng)絡(luò)管理是指對網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行檢測和控制， 使其能夠有效、可靠、安全、經(jīng)濟(jì)地提供服服務(wù)。 面對網(wǎng)絡(luò)安全 的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密設(shè)施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理，因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問題。 2.2.1 安全管理原則 網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于 3 個(gè)原則 ： 多人負(fù)責(zé)原則 ： 每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作以得到保障。與安全有關(guān)的活動(dòng)有：訪問控制使用證件的發(fā)放與回收；信息處理系統(tǒng) 使用的媒介發(fā)放與回收；處理保密信息；硬件和軟件的維護(hù)；系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改；重要程序和數(shù)據(jù)的刪除和銷毀等。 任期有限原則 ： 一般來講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假制度，并規(guī)定對工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。 職責(zé)分離原則 ： 除非經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 6 - 打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情。出與對安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng) 當(dāng)分開：計(jì)算機(jī)操作與計(jì)算機(jī)編程；機(jī)密資料的接收與傳送；安全管理和系統(tǒng)管理；應(yīng)用程序和系統(tǒng)程序的編制；訪問證件的管理與其他工作；計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。 2.2.2 安全管理的實(shí)現(xiàn) 信息 安全實(shí)現(xiàn)是指為保證提供一定的安全保證所必需遵守的規(guī)則 。具體工作 如下 ： 用戶對自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評估 ，確定該系統(tǒng)的安全等級。 根據(jù)確定的安全等級，確定安全管理范圍。 制訂相應(yīng)管理制度，對于安全等級要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識別或安裝自動(dòng)識別 系統(tǒng)，采用磁卡、身份卡等手段，對人員進(jìn)行識別 、登記管理。 2.3 采用先進(jìn)的技術(shù)和產(chǎn)品 要保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性，還要采用一些先進(jìn)的技術(shù)和產(chǎn)品。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。 2.3.1 防火墻技術(shù) 為保證網(wǎng)絡(luò)安全，防止外部網(wǎng)對內(nèi)部網(wǎng)的非法入侵，在被保護(hù)的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱為防火墻。它是一個(gè)或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可已被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。它可監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，確認(rèn)其來源及去處， 檢查數(shù)據(jù)的格式及內(nèi)容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有：應(yīng)用層網(wǎng)關(guān)、數(shù)據(jù)包過濾、代理服務(wù)器等幾大類型。 2.3.2 加密技術(shù) 與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)，是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。 原始的消息稱興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 7 - 為明文，而加密 后的消息稱為密文。從明文到密文的變換過程稱加密，從密文到明文的變換過程稱解密。 隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外，從技術(shù)上分別在軟件和硬件兩方面采取措 施，推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作用不同 , 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。 2.3.3 認(rèn)證技術(shù) 認(rèn)證技術(shù)是防止主動(dòng)攻擊的重要手段，指驗(yàn)證一個(gè)最終用戶或設(shè)備的身份過程，即認(rèn)證建立信息的發(fā)送者或接收者的身份。認(rèn)證的主要目的有兩個(gè)：第一，驗(yàn)證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗(yàn)證信息的完整性，保證信息在傳送過程中未被竄改或延遲等。目前使用的認(rèn)證技術(shù)主要有：消息認(rèn)證、身份認(rèn)證、數(shù)字簽名。 它對于開放環(huán)境中的各種信息的安全有重 作用。 2.3.4 計(jì)算機(jī)病毒的防范 首先要加強(qiáng)工作人員防病毒的意識，其次是安裝好的殺毒軟件。合格的防病毒軟件應(yīng)該具備以下條件： 、較強(qiáng)的查毒、殺毒能力。在當(dāng)前全球計(jì)算機(jī)網(wǎng)絡(luò)上流行的計(jì)算機(jī)病毒有萬多種，在各種操作系統(tǒng)中包括 Windows、 UNIX 都有大量能夠造成危害的計(jì)算機(jī)病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查毒、殺毒范圍廣、能力強(qiáng)的特點(diǎn)。 、完善的升級服務(wù)。與其它軟件相比，防病毒軟件更需要不斷地更新升級，以查殺層出不窮的計(jì)算機(jī)病毒。 2.4 常見的網(wǎng)絡(luò)攻擊及防范對策 2.4.1 郵件炸彈 郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺機(jī)器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，防礙計(jì)算機(jī)的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過計(jì)算機(jī)網(wǎng)絡(luò)對某一目標(biāo)的報(bào)復(fù)活動(dòng)中。 興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 8 - 防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進(jìn)行配置，自動(dòng)刪除來自同一主機(jī)的過量或重復(fù)的消息，也可使自己的 SMTP 連接只能達(dá)成指定的服務(wù)器，從而免受外界郵件的侵襲。 2.4.2 特洛伊 木馬 特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因?yàn)樵谔芈逡聊抉R中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時(shí)，表面上是執(zhí)行正常的程序，而實(shí)際上是在執(zhí)行用戶不希望的程序。特洛伊木馬程序包括兩個(gè)部分，即實(shí)現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。特洛伊木馬具有很強(qiáng)的生命力，在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個(gè)含有特洛伊木馬的程序時(shí)，它能把自己插入一些未被感染的程序中，從而使它們受到感染。此類攻擊對計(jì)算 機(jī)的危害極大，通過特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可以獲得對被攻擊的計(jì)算機(jī)的控制權(quán)。 防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時(shí)，對每一個(gè)文件進(jìn)行數(shù)字簽名，而在運(yùn)行文件時(shí)通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽 TCP 服務(wù)。 2.4.3 過載攻擊 過載攻擊是攻擊者通過服務(wù)器長時(shí)間發(fā)出大量無用的請求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻 擊者用得最多的一種方法是進(jìn)程攻擊，它是通過大量地進(jìn)行人為地增大 CPU 的工作量，耗費(fèi) CPU 的工作時(shí)間，使其它的用戶一直處于等待狀態(tài)。 防止過載攻擊的方法有：限制單個(gè)用戶所擁有的最大進(jìn)程數(shù)；殺死一些耗時(shí)的進(jìn)程。 2.4.4 淹沒攻擊 正常情況下， TCP 連接建立要經(jīng)歷 3 次握手的過程，即客戶機(jī)向主機(jī)發(fā)送 SYN 請求信號；目標(biāo)主機(jī)收到請求信號后向客戶機(jī)發(fā)送 SYN/ACK 消息；客戶機(jī)收到 SYN/ACK興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 9 - 消息后再向主機(jī)發(fā)送 RST 信號并斷開連接。 TCP 的這三次握手過程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會(huì)。攻擊者可以使用一個(gè)不存在或當(dāng)時(shí)沒 有被使用的主機(jī)的 IP 地址，向被攻擊主機(jī)發(fā)出 SYN 請求信號，當(dāng)被攻擊主機(jī)收到 SYN 請求信號后，它向這臺不存在 IP地址的偽裝主機(jī)發(fā)出 SYN/消息。由于此時(shí)主機(jī)的 IP 不存在或當(dāng)時(shí)沒有被使用所以無法向主機(jī)發(fā)送 RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時(shí)。如果攻擊者不斷地向被攻擊的主機(jī)發(fā)送 SYN 請求，被攻擊主機(jī)就會(huì)一直處于等待狀態(tài)，從而無法響應(yīng)其他用戶的請求。 對付淹沒攻擊的最好方法是實(shí)時(shí)監(jiān)控系統(tǒng)處于 SYN-RECEIVED 狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過某一給定的數(shù)值時(shí)，實(shí)時(shí)關(guān)閉這些連接。 興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 10 - 第三章 網(wǎng)絡(luò)結(jié)構(gòu) 的安全設(shè)計(jì) 3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析 網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)首先應(yīng)因地制宜，根據(jù)組網(wǎng)單位的實(shí)際情況按照單位的各部門安全性要求劃分，盡量使同一安全級別的上網(wǎng)計(jì)算機(jī)處于同一網(wǎng)段的安全控制域中。局域網(wǎng)中的拓?fù)浣Y(jié)構(gòu)主要有總線型，星型，環(huán)形等，而目前大多數(shù)都采用載波偵聽多路訪問 / 沖 突 檢 測 （ Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）也就是發(fā)展到現(xiàn)在的 IEEE802.3 規(guī)范 ,利用這一方法建成 的網(wǎng)絡(luò) ,我們稱之為以太網(wǎng) ,在以太網(wǎng)的通信方式中 ,每一個(gè)工作站都可以讀取電纜上傳輸?shù)乃袛?shù)據(jù) ,將以太網(wǎng)卡 (支持 IEEE802.3規(guī)范的網(wǎng)卡 )設(shè)置為混雜模式 ,網(wǎng)卡便會(huì)將電纜上傳輸?shù)乃械臄?shù)據(jù)讀入緩沖區(qū) ,以供系統(tǒng)和程序調(diào)用 .但是入侵者還是可能通過割開網(wǎng)線 ,非法接入等手段來偵聽網(wǎng)絡(luò) ,截獲數(shù)據(jù) ,根據(jù)線路中的數(shù)據(jù)流量找到網(wǎng)絡(luò)的信息中心 ,因此布線要杜絕經(jīng)過不可靠的區(qū)域 ,以防止非法接入 ,在各網(wǎng)段的控制器上設(shè)置網(wǎng)段內(nèi)所有主機(jī)的介質(zhì)訪問控制器 (MAC)地址 ,該地址為 6 個(gè)字節(jié) ,是用來區(qū)分網(wǎng)絡(luò)設(shè)備的唯一標(biāo)志 .此外 ,對于每一個(gè)接入網(wǎng) 絡(luò)中的計(jì)算機(jī)都必須先登記后連線接入 ,網(wǎng)段監(jiān)控程序一旦發(fā)現(xiàn)有陌生的 MAC地址便發(fā)出警告 ,網(wǎng)管人員立即查找該設(shè)備 ,因此在局域網(wǎng)中應(yīng)該采用以下三種組網(wǎng)方式來加強(qiáng)安全防范 . 網(wǎng)絡(luò)分段 網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段 ,實(shí)際上也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施 .其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離 ,從而防上可能的非法偵聽 . 以交換式集線器代替共享式集線器 對局域網(wǎng)的中心計(jì)算機(jī)進(jìn)行分段后 ,以太網(wǎng)的偵聽的危險(xiǎn)仍然存在 .這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī) ,而使用最廣泛的分 支集線器通常是共享式集線器 .這樣 ,當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí) ,兩臺機(jī)器之間的數(shù)據(jù)包 (稱為單播包 Nicest Packet)還是會(huì)被同一臺集線器上的其他用戶所偵聽 .因此應(yīng)該以交換式集線器代替共享式集線器 ,使單播包公在兩個(gè)節(jié)點(diǎn)之間傳送 ,從而防止非法偵聽。 VLAN(虛擬局域網(wǎng) )的劃分 為了克服以太網(wǎng)的廣播問題 ,除上述方法外 ,還可以運(yùn)用 VLAN 技術(shù) ,將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信 ,以防止大部分基于網(wǎng)絡(luò)偵聽的入侵。 興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 11 - 基于以上拓?fù)浣Y(jié)構(gòu)的連接方式 ,用電纜和集線器連接而成的網(wǎng)絡(luò)始終是同一網(wǎng)段 ,在網(wǎng)上傳播的數(shù)據(jù)可以被所有的連 接設(shè)備接收 ,為了防止網(wǎng)絡(luò)的入侵嗅探 ,可以把網(wǎng)絡(luò)分段 ,隔離網(wǎng)絡(luò)通信合用橋接器 ,交換器 ,路由器 ,應(yīng)用網(wǎng)關(guān)都可以實(shí)現(xiàn)各網(wǎng)段的通信隔離 ,同時(shí)將多個(gè)局域網(wǎng)進(jìn)行互聯(lián) ,拓展網(wǎng)絡(luò)形成廣域網(wǎng) ,還可將本地局域網(wǎng)與因特網(wǎng)連接從而成為全球最大的廣域網(wǎng)但對于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全技術(shù)是加強(qiáng)對外界的攻擊的防范和應(yīng)策 . 3.2 網(wǎng)絡(luò)攻擊淺析 攻擊是指非授權(quán)行為，任何危害系統(tǒng)信息安全的活動(dòng)都是安全攻擊。 攻擊的范圍從簡單的使服務(wù)器無法提供正常的服務(wù)到安全破壞、控制服務(wù)器。在網(wǎng)絡(luò)上成功實(shí)施的攻擊級別以來于擁護(hù)采取的安全措施。 在此先分析眼下比較 流行的攻擊 Dodos 分布式拒絕服務(wù)攻擊： Does 是 Denial of Service 的簡稱，即拒絕服務(wù)，造成 Does 的攻擊行為被稱為 Does 攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的 Does 攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請求。而分布式拒絕服務(wù) (DDoS:Distributed Denial of Service)攻擊是借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺，對一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng) DoS 攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號將 DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在 Internet 上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶 /服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。（見圖一）而且現(xiàn)在沒有有限的方法來避免這樣的攻擊 因?yàn)榇斯艋?TCP/IP 協(xié) 議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？ 1.確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁。計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個(gè)受到 DDoS 攻擊的系統(tǒng)都沒有及時(shí)打上補(bǔ)丁。 2確保管理員對所有主機(jī)進(jìn)行檢查，而不僅針對關(guān)鍵主機(jī)。這是為了確保管理員知道每個(gè)主機(jī)系統(tǒng)在運(yùn)行什么？誰在使用主機(jī)？哪些人可以訪問主機(jī)？不然，即使黑客興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 12 - 侵犯了系統(tǒng)，也很難查明。 3確保運(yùn)行在 Unix 上的所有服務(wù)都有 TCP 封裝程序，限制對主機(jī)的訪問權(quán)限。 4禁止內(nèi)部網(wǎng)通過 Modem 連接至 PSTN 系統(tǒng)。否 則，黑客能通過電話線發(fā)現(xiàn)未受保護(hù)的主機(jī)，即刻就能訪問極為機(jī)密的數(shù)據(jù)。 6限制在防火墻外與網(wǎng)絡(luò)文件共享。這會(huì)使黑客有機(jī)會(huì)截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功能無異將陷入癱瘓。 8在防火墻上運(yùn)行端口映射程序或端口掃描程序。大多數(shù)事件是由于防火墻配置不當(dāng)造成的，使 DoS/DDoS 攻擊成功率很高，所以定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。 9檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī) /服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或時(shí)間出現(xiàn)變更，幾乎可以肯定：相關(guān)的主機(jī)安全受到了威脅。 興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 13 - 第四章 防范 技術(shù) 4.1 防火墻的定義 與 選擇 網(wǎng)絡(luò) 防火墻 技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。 防火墻 可以是一臺計(jì)算機(jī)系統(tǒng)，也可以是兩臺或更多的系統(tǒng)協(xié)同工作起到防火墻的作用。 目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān) (代理服務(wù)器 )以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。 雖然防火墻是目前保 護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。 防火墻處于 5 層網(wǎng)絡(luò)安全體系中的最底層 ,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障 ,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看 ,防火墻處于網(wǎng)絡(luò)安全的最底層 ,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸 ,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化 ,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò) 層之外的其他安全層次 ,不僅要完成傳統(tǒng)防火墻的過濾任務(wù) ,同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。 防火墻的選擇 ： 防火墻作為網(wǎng)絡(luò)系統(tǒng)的安全屏障 , 防火墻本身是安全的 作為信息系統(tǒng)安全產(chǎn)品 ,防火墻本身也應(yīng)該保證安全 ,不給外部侵入者以可乘之機(jī)。如果像 馬其諾 防線一樣 ,正面雖然牢不可破 ,但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部 ,網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。 通常 ,防火墻的安全性問題來自兩個(gè)方面 :其一是防火墻本身的設(shè)計(jì)是否合理 ,這類問 題一般用戶根本無從入手 ,只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測試才能確定。所以對用戶來說 ,保守的方法是選擇一個(gè)通過多家權(quán)威認(rèn)證機(jī)構(gòu)測試的產(chǎn)品。其二是使用興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 14 - 不當(dāng)。一般來說 ,防火墻的許多配置需要系統(tǒng)管理員手工修改 ,如果系統(tǒng)管理員對防火墻不十分熟悉 ,就有可能在配置過程中遺留大量的安全漏洞。 在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期 ,由于內(nèi)部信息系統(tǒng)的規(guī)模較小 ,遭受攻擊造成的損失也較小 ,因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加 ,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升 ,此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴(kuò)充性 ,或擴(kuò)充成本極高 ,這便是對投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間 ,在安全水平要求不高的情況下 ,可以只選購基本系統(tǒng) ,而隨著要求的提高 ,用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資 ,對提供防火墻產(chǎn)品的廠商來說 ,也擴(kuò)大了產(chǎn)品覆蓋面。 4.2 對稱加密技術(shù) 在對稱加密技術(shù)中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖 。 這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機(jī)密性和報(bào)文完整性就可以得 以保證。對稱加密技術(shù)也存在一些不足，如果交換一方有 N 個(gè)交換對象，那么他就要維護(hù) N 個(gè)私有密鑰，對稱加密存在的另一個(gè)問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重 DES 是 DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的一種變形，這種方法使用兩個(gè)獨(dú)立的 56 為密鑰對信息進(jìn)行 3 次加密，從而使有效密鑰長度達(dá)到 112 位。 4.3 公開密鑰加密 公 鑰 密碼的發(fā)展是整個(gè)密碼學(xué)發(fā)展史上最偉大的一次革命。它是基于數(shù)學(xué)函數(shù)的算法而不再是基于置換和代替技術(shù)。更重要的是，公鑰 密碼是非對稱的，公鑰算法依賴于一個(gè)與之相關(guān) 但不相同的解密密鑰。他使用兩個(gè)獨(dú)立的密鑰。公鑰密碼在保密性、密鑰分配和認(rèn)證領(lǐng)域有重要的意義。 4.4 RSA 算法 RSA 算法是 Rivest、 Shamir 和 Adleman 于 1977 年提出的第一個(gè)完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。 它是第一個(gè)既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。 在 RSA 體制中使用了這樣一個(gè)基本事實(shí)：到目前為止，無法找興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 15 - 到一個(gè)有效的算法來分解兩大素?cái)?shù)之積。利用目前已經(jīng)掌握的知識和理論，分解2048bit 的大整數(shù)已經(jīng)超過了 64 位計(jì)算機(jī)的運(yùn)算能力，因此在目前和預(yù)見的將來，它是足夠 安全的。 4.5 注冊與認(rèn)證管理 4.5.1 認(rèn)證機(jī)構(gòu) CA（ Certification Authorty）就是這樣一個(gè)確保信任度的權(quán)威實(shí)體，它的主要職責(zé)是頒發(fā)證書、驗(yàn)證用戶身份的真實(shí)性。由 CA 簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明 證書，任何相信該 CA 的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。CA 也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個(gè)具有較強(qiáng)安全性的 CA 是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且與整個(gè) PKI 系統(tǒng)的構(gòu)架和模型有關(guān)。此外，靈活也是 CA 能否得到市場認(rèn)同的一個(gè)關(guān)鍵，它不需支持 各種通用的國際標(biāo)準(zhǔn)，能夠很好地和其他廠家的 CA 產(chǎn)品兼容。 4.5.2 注冊機(jī)構(gòu) RA（ Registration Authority）是用戶和 CA 的接口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是 CA 頒發(fā)證書的基礎(chǔ)。 RA 不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記。要確保整個(gè) PKI 系統(tǒng)的安全、靈活，就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA 系統(tǒng)。 4.5.3 密鑰備份和恢復(fù) 為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計(jì)和實(shí)現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān) 系到整個(gè) PKI 系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。 4.5.4 證書管理與撤消系統(tǒng) 證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個(gè)生命周期里是有效的。但是，有時(shí)也會(huì)出現(xiàn)一個(gè)已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消，證書撤消的興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 16 - 理由是各種各樣的，可能包括工作變動(dòng)到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實(shí)現(xiàn)是利用周期性的發(fā)布機(jī)制撤消證書或采用在線查詢機(jī)制，隨時(shí)查詢被撤消的證書。 興義民族師范 學(xué)院計(jì)算機(jī)科學(xué)系 - 17 - 第五章 安全技術(shù)的研究 5.1 安全技術(shù)的研究現(xiàn)狀和 方向 我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開展研究，各部分相互協(xié)同形成有機(jī)整體 。 根據(jù)防火墻所采用的技術(shù)不同 ,我們可以將它分為 四種基本類型 :包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換、代理型和監(jiān)測型。 5.1.1 包過濾型 包過濾型產(chǎn)品是防火墻的初級產(chǎn)品 ,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以 “ 包 ” 為單位進(jìn)行傳輸?shù)?,數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包 ,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息 ,如數(shù)據(jù)的源地址、目標(biāo)地址、 TCP/UDP 源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些 “ 包 ” 是否來自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包 ,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。 包過濾技術(shù)的優(yōu) 點(diǎn)是簡單實(shí)用 ,實(shí)現(xiàn)成本較低 ,在應(yīng)用環(huán)境比較簡單的情況下 ,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。 但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù) ,只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷 ,無法識別基于應(yīng)用層的惡意侵入 ,如惡意的 Java 小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容