计算机系毕业论文(网络安全)

第一篇：计算机系毕业论文(网络安全)

计算机网络信息安全研究

【摘要】近几年来，Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。对网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。这以要求我们与Internet互连所带来的安全性问题予以足够重视。

关键词：计算机 网络 安全

【Abstract】In recent years, Internet technology is becoming more and more mature, have begun to provide and guarantee from the transition of second first generation Internet technology network connectivity to the main target to the data network to provide information services for the characteristics of the generation of Internet technology.The use of the world's largest information network, open the Internet protocol itself greatly facilitates a variety of computer networking, to broaden the sharing of resources.However, as early in the design of network protocols on security issues ignored, and in the management and use of anarchy, gradually making the Internet a serious threat to their security, and its related accidents frequently happen.The network security threats mainly displays in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the network to spread the virus, wiretap etc..Attach great importance to security issues that require us to bring and Internet interconnection.Keywords: computer network security

目录

1引言..................................................................................................................2计算机网络安全的重要性.................................................................................3计算机网络的特点............................................................................................3.1．隐蔽性和潜伏性.....................................................................................3.2．危害性和破坏性..............................................................................................-54不安全因素.......................................................................................................4.1．网络内部..........................................................................................................-54.3．每一种安全机制都有一定的应用范围和应用环境......................................-54.5.程序存在漏洞....................................................................................................-55网络安全应具备的功能....................................................................................6安全防范措施...................................................................................................6.1严格管理，制定完善制度.................................................................................-76.3．对内部网络的保密..........................................................................................-76.5漏洞扫描系统.....................................................................................................-887.3数据传输安全.....................................................................................................-9 8网络安全管理的发展趋势...............................................................................9结语................................................................................................................【参考文献】....................................................................................................1引言

随着计算机网络越来越深入到人们生活中的各个方面，计算机网络的安全性也就变得越来越重要。计算机网络的技术发展相当迅速，攻击手段层出不穷。而计算机网络攻击一旦成功，就会使网络上成千上万的计算机处于瘫痪状态，从而给计算机用户造成巨大的损失。因此，认真研究当今计算机网络存在的安全问题，提高计算机网络安全防范意识是非常紧迫和必要的。

2网络安全的重要性

计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面：物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。它在大大增强信息服务灵活性的同时，也带来了众多安全隐患，黑客和反黑客、破坏和反破坏的斗争愈演愈烈，不仅影响了网络稳定运行和用户的正常使用，造成了重大经济损失，而且可能威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。

3计算机网络安全的特点

3.1隐蔽性和潜伏性

计算机网络攻击正是因为其隐蔽性，并且过程需要的时间较短，让使用者防不胜防。计算机攻击产生效果是需要一段时间的，攻击一般需要潜伏在计算机程序当中，直至满足了攻击效果产生的条件，被攻击对象才会发现问题。3.2危害性和破坏性

一般来讲，网络攻击会对计算机系统造成非常严重的破坏，使得计算机处于一种瘫痪的状态。假如攻击成功，将会给计算机用户带来非常惨重的经济损失，甚至会威胁社会及其国家的安全。3.3扩散性和突发性

计算机网络破坏一般在之前是没有预兆的，并且它的影响扩散非常迅速。不管计算机网络攻击的对象是个体还是群体，都会因网络的互联性形成扩散的连环

虫变种层出不穷，网络的迅速发展也给这类威胁提供了高速繁殖的媒介。4.6.黑客的攻击

黑客的攻击手段虽然种类繁多，但主要利用以下两类漏洞：一类是TCP/IP协议本身的漏洞，因为TCP/IP协议的最初设计基于互相信任的网络，因此缺乏对安全性的考虑;另一类是操作系统的漏洞，很多操作系统在本身结构设计和代码设计时偏重考虑系统使用的方便性，导致了系统在远程访问、权限控制和口令管理及其它方面存在安全漏洞。黑客的攻击手段在不断地更新，几乎每天都有不同的系统安全问题出现。然而安全工具的更新速度太慢，绝大多数情况需要人为地参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。

5网络安全应具备的功能

为了能更好地适应信息技术的发展，计算机网络应用系统必须具备以下功能：

（1）访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。

（2）检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。

（3）攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取响应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。

（4）加密通讯：主动地加密通讯，可使攻击者不能了解、修改敏感信息。（5）认证：良好的认证体系可防止攻击者假冒合法用户。

（6）备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。

（7）多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标（8）设立安全监控中心：为信息系统提供安全体系管理、监控、保护及紧急情况服务。

6.4通过安全隧道构建安全的VPN 该VPN通过IPv6的IPSec隧道实现。在路由器之间建立IPSec的安全隧道以构成安全的VPN是最常用的安全网络组建方式。IPSec网关的路由器实际上是IPSec隧道的终点和起点，为了满足转发性能的要求，该路由器需要专用的加密板卡。

6.5漏洞扫描系统

很多时候，我们必须通过修补操作系统漏洞来彻底消除利用漏洞传播的蠕虫影响。众所周知Microsoft有专门的Update站点来发布最新的漏洞补丁，我们所需要做的是下载补丁，安装并重新启动。如何在蠕虫和黑客还没有渗透到网络之前修补这些漏洞，如何将部署这些补丁对企业的运行影响减小到最低呢?那就是选择一套高效安全的桌面管理软件，来进行完善企业或单位的rr管理。又如何解决网络层安全问题呢?首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网管员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。

7网络系统安全综合解决措施

要想实现网络安全功能，应对网络系统进行全方位防范，从而制定出比较合理的网络安全体系结构。下面就网络系统的安全问题，提出一些防范措施。7.1物理安全

物理安全可以分为两个方面：一是人为对网络的损害；二是网络对使用者的危害。网络对使用者的危害主要是电缆的电击、高频信号的幅射等，这需要对网络的绝缘、接地和屏蔽工作做好。7.2访问控制安全

访问控制识别并验证用户，将用户限制在已授权的活动和资源范围之内。网络的访问控制安全可以从以下几个方面考虑。

①口令。网络安全系统的最外层防线就是网络用户的登录，在注册过程中，系统会检查用户的登录名和口令的合法性，只有合法的用户才可以进入系统。②网络资源属主、属性和访问权限。网络资源主要包括共享文件、共享打印机、网络通信设备等网络用户都有可以使用的资源。资源属主体现了不同用户对资源的从属关系，如建立者、修改者和同组成员等。资源属性表示了资源本身的存取

8网络安全管理的发展趋势

在20世纪90年代中后期，随着互联网的发展以及社会信息化程度的提高，各种安全设备在网络中的应用也越来越多，市场上开始出现了独立的安全管理产品。相对而言，国外计算机网络对安全管理的需求更加多样化，而且起步较早，已经形成了较大规模的市场，有一部分产品在市场上逐渐获得了用户的认可。近年来，国内厂商也开始推出网络安全管理产品，但受技术实力限制，大多是针对自己的安全设备开发的集中管理软件、安全审计系统等。

由于各种网络安全产品的作用体现在网络中的不同方面.统一的网络安全管理平台必然要求对网络中部署的安全设备进行协同管理，这是统一安全管理平台的最高追求目标。但这并非是一个单纯而简单的技术问题，它还涉及到行业标准和联盟。目前，国内外已有一些厂商开始操作一些相关工作。CA公司的eTrust产品对安全策略管理支持比较成功：而IBM的Tivoli套件中的Risk manager软件是目前比较优秀的风险管理软件。另外，联想的Lead—SecManager在安全设备管理、安全策略管理、安全风险控制及集中安全审计方面都做了十分有效的工作。

9结语

对每个企业来说，如何最大限度地发挥网络效益，同时防止企业信息泄露与破坏，是企业管理者、企业网络管理者和企业用户都非常关注的问题。本文从技术上探讨了企业网络安全的问题，提出了一种具有普遍意义的网络安全模型。实际上，企业网络安全建设是一个复杂的系统工程，在强调技术应用的同时，不能忽视网络安全管理的建设工作。在加强对企业用户的安全制度教育的同时，应该考虑建立完善的内网安全防范日志，对内部网络监测过程中出现的重要事件进行记录，便于管理员从中发现网络上的不安全因素、网络上的潜在威胁及网络中的可疑分子，同时也为事故后责任的追查，对案件的侦破都是很好的依据，并且是对有不良动机者也是一个很好的警示。

总之，网络安全是一个系统工程，一个企业或单位的计算机网络安全需要通过在内部网络中的每台T作站上部署防病毒、防火墙、入侵榆测、补丁管理与系统监控等;通过集中收集内部网络中的威胁，分析面对的风险，灵活适当地调整安

0

第二篇：计算机系毕业论文

毕业论文

题 目

丹阳市珥陵中学校园网组建

学生姓名 学 号 系 部 专 业 班 级 指导教师 顾问教师

计算机科学与工程

二〇一〇年十一月

摘要

摘 要

随着学校信息化教育的发展和规模的扩大，信息化校园建设已提上日程。多媒体校园网已成为学校必备的重要信息基础设施，其规模和应用水平已成为了衡量学校教学与科研综合实力的重要标志。

丹阳珥陵中学，校园布局彰显特色，建筑匠心独运，环境幽美，景色宜人，为广大师生营造了一片健康美好的学习和发展空间。在当今信息产业蓬勃发展的今天，信息已经成为一种关键性的战略资源，计算机技术在人们的生活中已经起到了越来越重要的作用。丹阳珥陵中学与时俱进，跟随信息时代的脚步，因此一个完善的校园网络对丹阳珥陵中学的发展具有重要的作用。

校园作为知识基地和人才基地，它理应成为代表信息产业应用最成功的典范。一所成功的学校不仅在学术上、教育上要力争上游，更应在管理上上一个台阶。通过校园信息网，将各处的电脑联成一个数据网，实现各类数据的统一性和规范性；教职员工和学生可共享各种信息，极易进行各种信息的教流、经验的分享、讨论、消息的发布、工作流的自动实现和协同工作等，从而有效地提高学校的现代化管理水平和教学质量，增强学生学习的积极性、主动性，为信息时代培育出高素质的人才。

关键词： 校园网

交换模块

远程访问控制

I

目录

目 录

摘 要------------------------------I 目 录------------------------------II 第一章 概 述---------------------1

1.1 校园网组建的背景--------------1 1.2 校园网组建的需求分析----------2

1.2.1设计理念----------------2 1.2.2设计目标----------------2 1.2.3 设计原则-------------------2 第二章 丹阳珥陵中学网络建设的实施方案----------------------------5

2.1校园网络特点------------------5 2.2丹阳珥陵中学网络的总体设计方案 5

2.2.1 丹阳珥陵中学网络的组成与拓扑结构-----------------------5 2.2.2 VLAN及IP地址规划------6

第三章 交换模块的设计---------------8

3.1 访问层交换服务的实现－配置访问层交换机----------------------8 3.1.1 配置访问层交换机的管理IP、默认网关-------------------9 3.1.2 配置访问层交换机的端口基本参数------------------------10 3.1.3 配置访问层交换机的访问端口---------------------------10 3.1.4 配置访问层交换机AccessSwitch2-----------------------10 3.2 分布层交换服务的实现－配置分布层交换机----------------------11 3.2.1 配置分布层交换机的管理IP、默认网关------------------11 3.2.2 在分布层交换机上定义VLAN----------------------------11 3.2.3 配置分布层交换机的端口基本参数-----------------------12 3.2.4 配置分布层交换机的3层交换功能-----------------------12 3.3 核心层交换服务的实现－配置核心层交换机----------------------14 第四章 广域网接入模块设计---------16 4.1 配置接入路由器InternetRouter的基本参数--------------------16 4.1.1配置接入路由器的各接口参数----------------------------16 4.1.2 配置接入路由器的路由功能-----------------------------17 第五章 远程访问模块和服务器模块设计 20 5.1 远程访问模块设计-----------20 5.2 服务器模块设计--------------20 第六章 总结与展望-----------------22 致 谢-----------------------------23 参考文献----------------------------24

II

概

述

第一章 概 述

江苏省重点中学—丹阳市珥陵高级中学（原丹阳县珥陵初级中学、丹阳县五七中学、丹阳县珥陵中学、丹阳市珥陵中学）创建于1956年，是当时丹阳县创办的第二所公办中学。学校地处江苏省教育现代化示范名镇，坐落在丹西公路与丹金公路交汇处，交通十分快捷，是一所具有鲜明办学特色和优秀办学质量的江苏省三星级学校。学校先后获得江苏省德育先进学校、江苏省青少年科技教育先进学校、江苏省贯彻体卫两个条例先进集体、镇江市文明单位、镇江市模范学校、镇江市青少年法制教育先进集体、镇江市“争创文明学生活动”先进学校、丹阳市精品管理学校、丹阳市军训工作先进集体等荣誉称号。学校环境优雅。

1.1 校园网组建的背景

丹阳珥陵中学拥有这么悠久的历史和深厚的文化，这是得天独厚且十分宝贵的文化遗产和资源，对学校的发展有着重要的现实意义。丹阳珥陵中学一直坚持与时俱进，不断丰富和发展学校的办学理念。树立以人为本的办学理念和科学发展观，以“塑有思想的教师，育有道德的学生，办有灵魂的学校”为根本办学目标，努力发挥每一位师生的发展潜能。

随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。在信息化的建设过程中，它的作用体现在如下几个方面：

1、校园网能促进教师和学生尽快提高应用信息技术的水平；信息技术学科的内容是发展的，它是一门应用型学科，因此，为了让学生学到实用的知识，必须给他们提供一个实践的环境，这个环境离不开校园网。

2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。

3、校园网是学校现代化管理的基础，深入、全面的学习信息管理系统必须建立在校园网上。

4、校园网提供了学习与外界交流的窗口，学习英将校园网与互联网连接，这也是学习信息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学习的形象都是很容易的。

教育即未来，作为国家最重要的斩落工程，如何应用信息技术改造我们传统的教学和管理手段；如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和信息双重文化的一代新人，已成为教育界当前最为紧迫的任务之一。信息技术的应用，势必极大的推进教育手段和教育内容的革命性变革。

淮安信息职业技术学院毕业设计论文

1.2 校园网组建的需求分析

1.2.1设计理念1、2、建设成稳定可靠、具有高安全性、开放性的校园网络系统，整个系网络结构清晰，网络层次合理数据网络需要采用分布式布线。网络统易于扩充、便于管理。

建成后，应该实现各信息点的高速上网、并能为多媒体教学科研提供一个高速承载平台，方便的网络管理、安全的用户认证；3、4、5、运营商级的网络系统安全性、运营安全性；

完善的接入管理解决方案和灵活、安全的认证计费解决方案； 从网络设备的功能、性价比等方面考虑未来5-10年之内的业务应用。

1.2.2设计目标

运用先进的网络技术和通讯技术，建立以丹阳珥陵中学教育信息网站为中心，实现丹阳珥陵中学校园网络内部全方位的数据共享，应用三层交换，提供全面的保障服务，使网络安全可靠，具备高性能、高安全性、高可靠性、可增值特性以及开放性、兼容性、可扩展性。

建成后的网络中心将实现以下功能：

1、网站发布 教育局建立自己的主页，利用互联网向社会宣传丹阳珥陵中学教育，提供各类咨询信息等；同时教育单位可在本网络中心申请空间，建立自已的网页对外发布。

2、资源共享 建立电子图书馆或其它形式的教育资源库，供师生检索、查询、利用。

3、网上教学 通过视频会议系统或VOD视频点播实现实时或非实时方式的远程多媒体教学。

4、电子邮件服务 通过E－mail与同行交往。

5、文件传输FTP服务 利用FTP服务实现县内教育用户上传以及从网上下载资料。

6、办公自动化服务

7、互联网接入

8、后期还要建设成为视频监控、课件点播、网络直播、远程教学、在线考试、视频会议等多媒体服务应用中心。

1.2.3 设计原则 实用性原则

丹阳珥陵中学网络是一个较复杂的网络系统，所以一定要以丹阳珥陵中学现行需求为基础，充分考虑发展的需要为依据来确定系统规模。本方案充分满足校

概

述

园网络特定的应用功能和性能的需求，在保证系统安全可靠的情况下，选用性能高、价格优的产品。

安全性和可靠性原则

对安全级别要求很高，特别是内网。系统应能提供网络层的安全手段防止系统外部成员的非法侵入。网络设计能有效的避免单点失败，在设备的选择和关键设备的互联时，提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。为此在丹阳珥陵中学校园网络设计上考虑以下的技术：

选择的网络设备必需具有良好的可靠性保证，可热插拔的模块，快速的恢复机制等；

冗余及负载均衡的电源系统。据研究，电源故障在实际系统中导致的系统故障比率高达60%；

其它关键设备的冗余，如控制模块、交换结构的冗余；

校园网是一个公众性校园服务网络，它涉及各种不同的用户以及不同的访问方式，加之学生独有的头脑灵活及喜好挑战特点，网络的安全性尤其重要，确保系统的动作正常、用户信息的保密。安全机制包括：

完善的网络管理，基于政策式的控制；

基于网络五元组元素（源IP地址、目标IP地址、源MAC地址、目标MAC地址、端口号）进行用户地址唯一性标识和业务区分；

规范性原则

网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标准，为网络的扩展升级、与其他网络的互联提供良好的基础。

开放性和标准化原则

丹阳珥陵中学正全力向扬州一流、苏中上游、全省知名，具有一流的管理水平和一流的办学特色的四星级高中迈进。因此需要建立一个可靠、高效、灵活的计算机网络系统平台。不仅着重考虑数据信息能够讯速、准确、安全、可靠地交换，还要考虑同层次网络互连，远程分部的互联，以及与相关信息系统网际互联，以充分共享资源。这些需求体现在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。

可扩充和扩展化原则

所有网络设备不但满足当前需要，并在扩充模块后满足可预见将来需求考虑到丹阳珥陵中学将来的发展，必须实现网络拓扑的灵活改变，实现如带宽和设备的扩展，应用的扩展和办公地点的扩展等。并保证建设完成后的网络在向新的技术升级时，能保护现有的投资。

可管理性原则

淮安信息职业技术学院毕业设计论文

随着网络规模的不断扩大，网络的管理越来越重要，管理的事务也越来越复杂。整个网络系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行网络配置，网络在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。如：可以通过友好的图形化界面，对网络进行虚网划分，设置各子网的访问权限，实施网络的动态监测、配置，数据流量的分析等，简化网络的管理。

工程概况

校园网的建设包括4个区域的建设，分别是核心区、图书馆、计算机中心和学生社区。其中核心区包括500个左右的信息点，图书馆区域包括300个左右的信息点，计算机中心区域包括200个左右的信息点，学生社区包括7000个左右的信息点。

核心区：网络中心设在院网络中心大楼的二楼，从网络中心到院行政办楼、系行政办公楼、综合教学楼、教师交流中心、教师宿舍、网络技术与工程中心均采用6芯单模铠装光缆连接相应楼层的二级配线间。

图书馆区域；网络中心设在图书馆二楼，从分中心至网络中心采用12芯单模铠装光缆连接。在该区域的电子阅览室、馆内办公楼、实训中心、实验楼、学术交流中心分别设立三级配线间，从分中心到各三级配线间除到电子阅览室采用6芯单模铠装光缆连接外，其他均采用6芯多模铠装光缆连接。

计算机中心区域：网络分中心设在计算机中心大楼二楼，从分中心至网络中心采用12芯单模铠装光缆连接。在该区域的13个中心机房均采用6芯多模铠装光缆连接。

学生社区区域：网络分中心设在学生宿舍管理办公室，从分中心至网络中心采用24芯单模铠装光缆连接。在该区域的各个中心机房均采用8芯多模铠装光缆连接学生炒股及学生活动中心等三级配线间。该区域主要是针对对学生宿舍的信息化服务，集中了该校校园网络的主要信息流。

丹阳珥陵中学建设的实施方案

第二章 丹阳珥陵中学网络建设的实施方案

2.1校园网络特点

校园网的最终使用主体包括全体学生、教学老师、管理服务群体等，使用主体的多样性也决定了网络承载业务的多样性。当前校园网的主要特点包括：网络吞吐能力高、速度快、系统规模大（多校区）；用户群庞大、多层次（教师、学生等）、接入方式多样（PPPoE、专线接入、WLAN等）；网络环境复杂、多网共存（教学网、科研网、办公网、学生宿舍网、教工家属网等）；数据业务复杂（网上点播、电子教室、财务、政务等）、类型多样（数据、语音、视频等）；用网时间集中、同时在线人数众多、流量巨大且分布时段不均；学生活跃、好奇、敢于尝试、攻击性强；计算机蠕虫、病毒泛滥、盗版资源泛滥、网络行为突发性高。

2.2丹阳珥陵中学网络的总体设计方案

2.2.1 丹阳珥陵中学网络的组成与拓扑结构

为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。

本校园网设计方案主要由以下四大部分构成：交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如图2-1所示。

淮安信息职业技术学院毕业设计论文

图2-1 校园网整体拓扑结构图

2.2.2 VLAN及IP地址规划

整个校园网中VLAN及IP编址方案如下表所示：

表2.1 VLAN及IP编址方案

除了表中的内容外，拨号用户从192.168.200.0/27中动态取得IP地址。

丹阳珥陵中学网络建设的实施方案

为了简化起见，这里我们只规划了8个VLAN，同时为每个VLAN定义了一个由拼音缩写组成的VLAN名称。

淮安信息职业技术学院毕业设计论文

第三章 交换模块的设计

为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的。

园区网数据交换设备可以划分为三个层次：访问层、分布层、核心层。传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。

现代交换网络还引入了虚拟局域网（Virtual LAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。

3.1 访问层交换服务的实现－配置访问层交换机

访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是Cisco Catalyst 2950 24口交换机（WS-C2950-24）。交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是Cisco的IOS操作系统。我们以图1-1中的访问层交换机AccessSwitch1为例进行介绍。如图3-1所示，图3-1 访问层交换机AccessSwitch1

a.配置访问层交换机AccessSwitch1的基本参数

1）设置交换机名称

设置交换机名称，也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。

如图3-2所示，为访问层交换机AccessSwitch1命名。

交换模块设计

图3-2 为访问层交换机AccessSwitch1命名

2）设置交换机的加密使能口令

当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。

如图3-3所示，将交换机的加密使能口令设置为secretpasswd。

图3-3 为交换机设置加密使能口令

3.1.1 配置访问层交换机的管理IP、默认网关

访问层交换机是OSI参考模型的第2层设备，即数据链路层的设备。因此，给访问层交换机的每个端口设置IP地址是没意义的。但是，为了使网络管理人员可以从远程登录到访问层交换机上进行管理，必要给访问层交换机设置一个管理用IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。

给交换机设置管理用IP地址只能在VLAN1，即本征VLAN中进行。按照表2.1，管理VLAN所在的子网是：192.168.0.0/24，这里将访问层交换机AccessSwitch1的管理IP地址设为：192.168.0.5/24

如图2-5所示，显示了为访问层交换机AccessSwitch1设置管理IP并激活本征VLAN。

图3-4 设置访问层交换机AccessSwitch1的管理IP

为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址192.168.0.254。如图所示。

图3-5 设置访问层交换机AccessSwitch1的默认网关地址

淮安信息职业技术学院毕业设计论文

3.1.2 配置访问层交换机的端口基本参数

1）端口双工配置

可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下，建议手动设置端口双工模式。

如图所示，设置访问层交换机AccessSwitch1的所有端口均工作在全双工模式。

图3-6 设置访问层交换机AccessSwitch1的端口工作模式

2）端口速度

可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度10Mpbs或100Mbps。在了解对端设备速度的情况下，建议手动设置端口速度。

如图所示，设置访问层交换机AccessSwitch1的所有端口的速度均为100Mbps。

图3-7 设置访问层交换机AccessSwitch1的端口速度

3.1.3 配置访问层交换机的访问端口

访问层交换机AccessSwitch1为终端用户提供接入服务。在图中，访问层交换机AccessSwitch1为VLAN10、VLAN20提供接入服务。

3.1.4 配置访问层交换机AccessSwitch2

访问层交换机AccessSwitch2为VLAN 30和VLAN 40的用户提供接入服务。同时，分别通过自己的FastEthernet 0/23、FastEthernet 0/24上连到分布层交换机DistributeSwitch1、DistributeSwitch2的端口FastEthernet 0/24。

对访问层交换机AccessSwitch2的配置步骤、命令和对访问层交换机AccessSwitch1的配置类似。

交换模块设计

3.2 分布层交换服务的实现－配置分布层交换机

分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能。

这里的分布层交换机采用的是Cisco Catalyst 3550交换机。作为3层交换机，Cisco Catalyst 3550交换机拥有24个10/100Mbps自适应快速以太网端口。

3.2.1 配置分布层交换机的管理IP、默认网关

如图所示，显示了为分布层交换机DistributeSwitch1设置管理IP并激活本征VLAN。同时，还设置了默认网关的地址。

图3-8 分布层交换机DistributeSwitch1配置

3.2.2 在分布层交换机上定义VLAN 在本校园网实现实例中，除了默认的本征VLAN外，又定义了8个VLAN，如表1-1所示。

如图所示，定义了8个VLAN，同时为每个VLAN命名。

淮安信息职业技术学院毕业设计论文

图3-9 定义VLAN

3.2.3 配置分布层交换机的端口基本参数

分布层交换机DistributeSwitch1的端口FastEthernet 0/1～FastEthernet 0/10为服务器群提供接入服务，而端口FastEthernet 0/

23、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/23以及访问层交换机AccessSwitch2的端口FastEthernet 0/23。

此外，分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/1。

3.2.4配置分布层交换机的3层交换功能

分布层交换机DistributeSwitch1需要为网络中的各个VLAN提供路由功能。这需要首先启用分布层交换机的路由功能。如图所示。

交换模块设计

图3-10 启用路由功能

接下来，需要为每个VLAN定义自己的默认网关地址，如图所示。

图3-11 定义各VLAN的默认网关地址

此外，还需要定义通往Internet的路由。这里使用了一条缺省路由命令，如图所示。其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。

淮安信息职业技术学院毕业设计论文

图3-12 定义到Internet的缺省路由

3.3 核心层交换服务的实现－配置核心层交换机

核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。对核心层交换机CoreSwitch1的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置类似。

配置核心层交换机CoreSwitch1的端口参数

核心层交换机CoreSwitch1通过自己的端口FastEthernet 4/3同广域网接入模块（Internet路由器）相连。同时，核心层交换机CoreSwitch1的端口GigabitEthernet 3/1～GigabitEthernet 3/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。

如图所示，给出了对上述端口的配置命令。

交换模块设计

图3-13 设置核心层交换机CoreSwitch1的各端口参数

淮安信息职业技术学院毕业设计论文

第四章 广域网接入模块设计

在本设计中，广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。采用的是Cisco的3640路由器。它通过自己的串行接口serial 0/0使用DDN（128K）技术接入Internet。它的作用主要是在Internet和校园网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表（Access Control List，ACL），广域网接入路由器InternetRouter还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。

图4-1广域网模块

4.1 配置接入路由器InternetRouter的基本参数

对接入路由器InternetRouter的基本参数的配置步骤与对AccessSwitch1的基本参数的配置类似。

图4-2 配置接入路由器InternetRouter的基本参数

4.1.1配置接入路由器的各接口参数

广域网接入模块设计

对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet 0/0以及接口Serial 0/0的IP地址、子网掩码的配置。

如图4-3所示，显示了为接入路由器InternetRouter的各接口设置IP地址、子网掩码。

图4-3 接入路由器InternetRouter的管理IP、默认网关

4.1.2 配置接入路由器的路由功能

在接入路由器InternetRouter上需要定义两个方向上的路由：到校园网内部的静态路由以及到Internet上的缺省路由。

到Internet上的路由需要定义一条缺省路由，如图所示。其中，下一跳指定从本路由器的接口serial 0/0送出。

图4-4 定义到Internet的缺省路由

到校园网内部的路由条目可以经过路由汇总后形成两条路由条目。如图所示。

图4-5 定义到校园网内部的路由

4.1.3 配置接入路由器上的ACL 路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（Access Control List，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。

淮安信息职业技术学院毕业设计论文

由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。

这里，在本实例中，我们将针对服务器以及内网工作站的安全给出广域网接入路由器InternetRouter上ACL的配置方案。

在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计：（1）对外屏蔽简单网管协议，即SNMP。

利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型：SNMP和SNMPTRAP。

如图所示，显示了如何设置对外屏蔽简单网管协议SNMP。

图4-6 对外屏蔽简单网管协议SNMP

（2）对外屏蔽远程登录协议telnet

首先，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。这是极其危险的，因此必须加以屏蔽。

如图所示，显示了如何对外屏蔽远程登录协议telnet

图4-7 对外屏蔽远程登录协议telnet

（3）对外屏蔽其它不安全的协议或服务

这样的协议主要有SUN OS的文件共享协议端口2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。可以将针对以上协议综合进行设计，如图所示。

广域网接入模块设计

图4-8对外屏蔽其它不安全的协议或服务

淮安信息职业技术学院毕业设计论文

第五章 远程访问模块和服务器模块设计

5.1 远程访问模块设计

远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。

图5-1 远程访问服务

远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。在本设计中，由于面对的用户群规模、业务量较小，所以采用了异步拨号连接作为远程访问的技术手段。

异步拨号连接属于电路交换类型的广域网连接，它是在传统公共交换电话网（Public Switched Telephone Network，PSTN）上提供服务的。传统PSTN提供的服务也被称为简易老式电话业务（Plan Old Telephone System，POTS）。因为目前存在着大量安装好的电话线，所以这样的环境是最容易满足的。因此，异步拨号连接也就成为最为方便和普遍的远程访问类型。

广域网连接可以采用不同类型的封装协议，如HDLC、PPP等。其中，PPP除了提供身份认证功能外，还可以提供其他很多可选项配置，包括链路压缩、多链路捆绑、回叫等，因此更具优势。也是本设计所采用的异步连接封装协议。

5.2 服务器模块设计

服务器模块用来对校园网的接入用户提供各种服务。在本设计方案中，所有的服务器被集中到VLAN 100构成服务器群并通过分别层交换机DistributeSwitch1的端口fastethernet 1～20接入校园网。如图所示。

远程访问模块和服务器模块设计

图5-2 服务器群

校园网提供的常见的服务（服务器）包括：

WEB服务器：提供WEB网站服务。

DNS、目录服务器：提供域名解析以及目录服务。

FTP、文件服务器：提供文件传输、共享服务。

邮件服务器：提供邮件收发服务。

数据库服务器：提供各种数据库服务。

打印服务器：提供打印机共享服务。

实时通信服务器：提供实时通信服务。

流媒体服务器：提供各种流媒体播放、点播服务。

网管服务器：对校园网网络设备进行综合管理。

淮安信息职业技术学院毕业设计论文

第六章 总结与展望

到目前为止，我的论文基本完成。从刚开始挑选题目到搜集材料，及后来的论文的正文的编写，整个过程可谓是历经辛苦。不过有苦也有甜，好在现在论文终于结束了，回想曾经论文设计过程中，有无数的回忆，也学到了很多的知识。

从开始的没有头绪，到后来的慢慢的确定目标，决定以组建一个校园网来作为我大学生涯中唯一的一次论文设计题材。这一过程，使我不但对曾经在学校里所学到的专业知识有了很好的综合性运用，使得我对以前很多抽象、枯燥的理论知识加深了理解。

一个完备的校园网，应在教师备课教学、学生学习、教务管理、行政管理、图书资料管理、资源信息、对外交流等方面发挥辅助、支持功能，它是一项庞大而又复杂的工程。所以，在组建校园网时要有明确的目标，确定校园网的需求分析。然后要设计好整个校园网规划的拓扑图，根据拓扑图来做各个部分的网络设置的配置，最后对各部分的配置进行调试，做到各部分组成一个整体网络，实现网络上的相通。其次，一个网络存在着安全隐患，所以在实现网络的相通的同时还要做好安全设施，使得该网络高速，安全的运转。

在整个过程中，我学到了新知识，增长了见识。在今后的日子里，我仍然要不断地充实自己，脚踏实地，认真严谨，努力做出更好的成绩。

致 谢

致 谢

感谢支立勋老师，是您的悉心指导，才使我得以顺利完成毕业论文。感谢您让我懂得了无论做什么事都要保持脚踏实地勤勉务实的作风，这才是获得成功的基础。在论文的选题、开题、撰写的每一个环节，都无不得到您的悉心指导和帮助。特别是在撰写部分，在您的精心指导从不厌烦的情况下，我才取得了今天的成绩。

同时，我也要感谢计算机系授课的各位老师，正是由于他们的传道、授业、解惑，让我学到了专业知识，而且让我掌握了学习的方法，更教会了我做人处事的道理，在此表示感谢。虽然我的论文并不是太好，但是，在以后的生活中我会更加的努力。感谢我的母校淮安信息职业技术学院，是她提供了一个良好的学习环境和生活环境，让我的大学生活多姿多彩。

参考文献

参考文献

[1] 冯登国.《计算机通信网络安全》[M].北京：清华大学出版社.[2] 单国栋，戴英侠，王航编著《计算机工程》[M].[3] 锐捷网络编著的《网络互连与实现》[M]，北京希望电子出版社.[4] 谢希仁.《计算机网络教程》[M].人民邮电出版社.第四版.[5] 徐爱萍.《计算机组成原理与指导》[M].清华大学出版社.[6] 《TCP/IP协议》[M]第三版.清华大学出版社.[7] 钟鸣编著《局域网组网大全》[M]邮电出版社.[8] 《网络安全指南》[M]美Peter Norton Mike Stockkman编著.人民邮电出版社2000年11月.[9] 《现代计算机网络教程》[M]张基温编著.人民邮电出版社2001年7月.[10] 《计算机工程与设计—网络端口扫描及其防御技术研究》[M]唐小明编著.

第三篇：计算机系毕业论文

目录

内容摘要.......................................................1 关键词.........................................................1 引言...........................................................1 一.FLASH游戏技术..............................................1

（一）概述..................................................1

（二）特点..................................................1

（三）优势..................................................2

二、设计构思...................................................2

（一）选材..................................................3

（二）素材准备..............................................3

三、详细设计...................................................4

（一）创建文件..............................................4

（二）制作元件..............................................4

（三）界面设计制作..........................................7

四、关键代码...................................................9 结论..........................................................13 参考文献......................................................14

“坦克2011”FLASH游戏制作

[内容摘要] Flash是由macromedia公司推出的交互式矢量图和 Web 动画的标准，由Adobe公司收购。Flash是一种创作工具，设计人员和开发人员可使用它来创建演示文稿、应用程序和其它允许用户交互的内容。Flash 可以包含简单的动画、视频内容、复杂演示文稿和应用程序以及介于它们之间的任何内容。它不仅能够制作出许多眩目多彩的效果，只要你肯赋予它一定的情景，它也会模拟出现实生活中的场景。通过flash生成的动画，游戏比较小，可以很好的用在网页设计及更多的领域。

[关键词] Flash游戏 ActionScript语言

引言

flash游戏是一种新兴起的游戏形式，以游戏简单，操作方便，绿色，无需安装，文件体积小等优点现在渐渐被广大网友喜爱。flash游戏又叫flash 小游戏，因为flash游戏主要应用于一些趣味化的、小型的游戏之上，以完全发

[1]挥它基于矢量图的优势。flash游戏因为flash cs3的原因，在近年发展迅速，许多年青人投身其中，并在整个flash行业中发挥重要作用。flash player占据了90%互联网用户的浏览器，所以发的发展空间还十分巨大，前途不可估量。

一.FLASH游戏技术

（一）概述

Flash游戏在游戏形式上的表现与传统游戏基本无异，但主要生存于网络之上，因为它的体积小、传播快、画面美观，所以大有取代传统web网游的趋势，现在国内外用Flash制作无端网游已经成为一种趋势，只要浏览器安装了ADOBE的Flash player，就可以玩所有的flash游戏了，这比传统的web网游进步许多。但是Flash游戏也有自身的缺点，比如安全性差，不能承担大型任务等。但是使用者应该尽量发挥它的长处，回避它的短处。

（二）特点

与之前的网页游戏相比，Flash网页游戏基于Flash的图像处理技术，让游戏画面等的表现力都大大提高。2008年以来，Flash网页游戏技术在游戏开发领域得到了迅速的拓展和研究，是今后网页游戏，尤其是休闲网页游戏的一个重要发展方向。Flash网页游戏和传统网络游戏最大的区别就是它的游戏资源的组织和加载方式。它通过二进制流的形式加载游戏中所需要的图像数据。例如游戏中地图的呈现，它采用渐进式加载，在进入地图和图片加载的同时，首先呈现的是一幅交错的不清晰的图片，随着地图数据的逐渐加载，游戏中清楚呈现的地图像素也逐渐增多，地图图片慢慢从开始的不清晰变得清晰。[2]

（三）优势

随着flash技术的不断进步，flash游戏的丰富性、趣味性与大型网络游戏有了分庭抗礼、一争高低的竞争资本。而Flash游戏最大的优势在于方便性，不需要下载数据包、不需安装客户端、不需要安装光盘，玩家只需打开网页就可以玩。这种方便快速的特性是网络游戏所不具备的。

据有关部门统计，目前中国1.72亿的网民之中，网游玩家占30%，剩余的70%人群中，白领人群占到其中的40%以上，即5100多万。白领人群的特点是工作压力大，时间和精力有限，而flash游戏不用下载庞大的客户端，只要打开IE浏览器，几秒钟即可进入游戏，关闭或者切换游戏页面极其方便。[3]在办公室工作累了，随时可以打开游戏休闲放松几分钟。凭借这种一特点，flash游戏能够很快吸引了上班一族，成为写字楼里不少白领们休闲娱乐、放松神经的首选。

二、设计构思

在本设计中，利用了Adobe Flash CS3 Pro的动画技术制作坦克游戏，使游戏画面，游戏音效，可玩性合为一体。该制作分为：素材的准备、元件制作、音效的设置和导入、动画编辑4个部分。

游戏的整体思路是很重要的，有了完整的思路，后面的工作就可以顺利多了。这款坦克游戏有三个场景，游戏开始界面，操作说明界面，游戏主界面。游戏开始界面和操作说明界面通过背景图，几个按钮和修饰动画来构成，游戏主界面是最庞大的工程。

再就是开始把每个素材按构思好的思路链接在一起，首先就是要将素材导入库内，在导入之前先在库内建立多个文件夹，并取好与内容相符的名字，然后把图片，音乐素材按内容导入到相应的文件夹中，这样把素材连起来的时候就可以很容易找到所需要素材了。

（一）选材

坦克大战游戏一直都是小游戏中的经典，网络上的坦克大战游戏不计其数，要想做出与众不同的坦克大战游戏，选材就尤为重要。纵观网络上的坦克大战小游戏，基本上与FC版的坦克大战相差不大，多数都是通过方向键控制坦克，一个键发射炮弹，然后守住基地，消灭敌人的模式。我的这款极品坦克2010大致的游戏方式是通过鼠标控制坦克的移动，鼠标左键发射炮弹，在规定时间内保护好自己，消灭更多敌人，得到更多分数来达到游戏的目的。

（二）素材准备

这是工程比较庞大的一块,当靠flash是不够的,还需要用到photoshop等软件。不同的场景需要不同的背景，不同的动作需要不同的音效。背景素材通过photoshop来完成，音乐素材从网上下载资源，元件素材在flash中完成。考虑在flash里手绘,对每个动作的绘制都要很仔细才行,不然会有很多不协调与搭配。

下一步就是开始整个作品最重要的内容了，就是作出整个FLASH了。

三、详细设计

（一）创建文件

1）.打开flash文档，新建flash文件（AS2）

2）将图片，声音素材导入到库

（二）制作元件

首先确定要制作的元件有哪些，2011四个图形元件，2011影片剪辑，开始游戏，操作说明，退出游戏，开始，继续，重来，返回7个按钮元件，主坦克，敌坦克元件，主坦克，敌坦克炮弹元件，游戏显示窗口元件，生命条和时间条元

件，感应区元件。为各个元件命名，元件制作过程中用AS2来编写其中需要的代码，为后面整个游戏的实现做铺垫。

这些元件都是用flash工具来画，用帧完成动画，导入相应的音效，然后填写代码。

主坦克：

敌坦克：

显示面板：

生命树，生命条及时间条：

（三）界面设计制作

1）开始界面

游戏开始界面命名为场景1，将PS好的背景图1拖入文档中，使其和文档相符，将做好的2011影片剪辑置于极品坦克四个字后面，突出游戏名字。然后将游戏开始，操作说明，退出游戏三个按钮元件整齐的放在界面上，排列工整，美观。为三个按钮添加代码，实现场景的跳转。

2）操作说明界面

新建场景，命名为场景2，将PS好的背景图2拖入文档中，使其和文档相符，写上操作说明的文字，加点滤镜，使其更美观。然后将“返回”按钮元件拖入场景右下角，为按钮添加代码，实现场景的跳转。

3）制作游戏主界面

新建场景，命名为场景3，将PS好的背景图3拖入文档中，使其和文档相符。将显示窗口，生命数，坦克元件放到合适的位置。

四、关键编码

（一）主坦克代码

for(linpd1=0;linpd1<_root.direnSHU;linpd1++){ _root[“diren1”+linpd1].gotoAndPlay(“baozha”);} //引爆屏幕上的所有敌人 _root.SM.nextFrame();//减少生命数

_root.tk.shengming = _root.tkSM;//设置新生命的生命值 this._x = 260;this._y = 190;

//设置初始位置

（二）敌坦克代码

_root.ddC =(_root.ddC-100)%20+100;_root.attachMovie(“dd”, “dd”+_root.ddC, _root.ddC);_root[“dd”+_root.ddC]._x = this._x;_root[“dd”+_root.ddC]._y = this._y;_root[“dd”+_root.ddC]._rotation = this._rotation;_root[“dd”+_root.ddC].xspeed = Math.sin(_rotation*0.0175)*_root.speeddd;_root[“dd”+_root.ddC].yspeed =-Math.cos(_rotation*0.0175)*_root.speeddd;_root.ddC++;//载入敌人炮弹并且设置炮弹的行走方向 gotoAndStop(“kaipao”);//回到初始位置准备再次开炮

_root.FenShu++;//总分数加1 _root.chudiren(i);//产生新的敌人

（三）显示窗口代码

if(xuan == 1){ gotoAndStop(“kaishi1”);} if(xuan == 2){ gotoAndStop(“shengli1”);} if(xuan == 3){ gotoAndStop(“shibai1”);}

（四）游戏运行主代码 FenShu = 0;//设置分数初始值

paodanC = 200;//设置炮弹所在层的初始值 ddC = 100;//设置敌人炮弹所在层的初始值 ddWL = 5;//设置敌人炮弹威力 direnC = 0;//设置敌人所在层的初始值 direnSHU = 15;//设置敌人的个数 speedtk = 2;//设置坦克速度 speedpd = 10;//设置炮弹速度 speeddd = 4;//设置敌人炮弹速度 speeddr = 1;//设置敌人速度 tkSM = 30;//设置坦克生命值 dshengming = 2;//设置敌人生命值

_root.attachMovie(“pointer”, “pointer”, 150);_root.attachMovie(“SMxianshi”, “SM”, 300);SM._x = 206;SM._y = 568;//加载准星和生命板 stop();function chudiren(lin){ if(lin == _root.direnSHU){ _root.attachMovie(“diren1”, “diren1”+_root.direnC, _root.direnC);

_root[“diren1”+_root.direnC].i = _root.direnC;linY = random(2000)-600;linX = linY;if(linY<-25){ if(linY>800){

linX =-25;linX = 800;

} } _root[“diren1”+_root.direnC]._x = linX;_root[“diren1”+_root.direnC]._y = direnZB(linY);_root.direnC++;_root.direnC = _root.direnC%_root.direnSHU;} else {

} } //调用敌人并设置敌人初始位置函数 function direnZB(a){ if(a<-25 || a>800){

} if(a>=-25 && a<=800){

lin = random(2);if(lin == 0){ b =-25;b = random(375);linY = random(2000)-600;linX = linY;if(linY<-25){ if(linY>800){

linX =-25;linX = 800;

} } _root[“diren1”+lin]._x = linX;_root[“diren1”+lin]._y = direnZB(linY);} else {

} return(b);} for(linSHU=0;linSHU

（五）关键函数的调用

代码的填写是实现游戏的关键，当然，前期的制作也是必不可少。AS2是flash开发应用程序所使用的语言，也是这个游戏所用到的语言。本游戏中，坦克的移动，主要通过“Key.siDown()”语句来实现；判断是否击中敌人目标，主要通过“hitTest()”语句来实现；炮弹的发射，主要通过“attachMovie()”语句加载炮弹，再控制炮弹的速度来实现的。} b = 600;

结论

这次的毕业设计使我对FLASH游戏制作技术有了一个整体的认识和把握。在作品中对于视觉效果的把握可能不是很到位,但我都是非常认真的去完成。在此期间,我同时也体会到了flash制作小游戏的难度及妙处。在设计过程中遇到问题会查阅大量资料或向指导老师请教。虽然这次的毕业设计并不是什么经典之作,里面还有很多欠缺的地方。但它代表的却是我对flash的一个崭新的态度。总之,对我来说，这次毕业设计对于我来说是在flash游戏制作方面的一个提高。

参考文献

[1]付达杰 Flash动画设计的再思考——技术与艺术的共进[J].科教文汇(上旬刊).2008 [2]王洁 Flash无客户端网络游戏的设计与实现[D].厦门大学.2008 [6]王倩 基于Flash网页游戏的研究与设计[D].北京交通大学.2010

第四篇：计算机系毕业论文(设计)教学大纲(初稿)

课程编号：11034402

毕业设计教学大纲

（Graduate Design）

适用专业：计算机科学与技术专业 总学时：xxx 课程设计周数：10 学分：10 毕业设计（论文）是实现专业培养目标的重要阶段，是对学生学习、研究与实践成果的全面总结；是对学生综合素质与工程实践能力培养效果的全面检验；是学生毕业资格认证的一个重要依据；是衡量高等院校教育质量和办学效益的重要评价内容之一。因此，为加强我系计算机科学与技术专业学生毕业设计撰写工作的科学化、规范化管理，保证学生毕业设计的质量，特制定本大纲。

一、毕业设计（论文）教学目的与要求.(一)教学目的.通过毕业设计，培养学生的开发和设计能力，提高综合运用所学知识和技能去分析、解决实际问题的能力，检验学生的学习效果等。通过毕业设计，旨在使学生对所学过的基础理论和专业知识进行一次全面、系统地回顾和总结，通过对具体题目的分析，使理论与实践相结合，巩固和发展所学理论知识，掌握正确的思维方法和基本技能，提高学生独立思考能力和团结协作的工作作风，提高学生利用计算机解决实际问题的能力及计算机实际操作水平，促进学生建立严谨的科学态度和工作作风。

（二）教学要求.1、时间要求

毕业设计环节原则上集中在第8学期进行，提倡“覆盖一年，提前进入毕业设计环节”，学生集中用于毕业设计撰写的时间不得少于专业培养计划规定的周数即10周。

2、任务要求

学生应在指导教师指导下独立完成一项给定的设计任务，并编写符合要求的设计说明书，独立撰写一份毕业论文。

3、知识要求

学生在毕业设计（论文）工作中，应综合运用专业知识与综合技能，分析与解决工程问题。通过学习、研究与实践，使得理论认识深化、知识领域扩展、专业技能延伸。

4、能力培养要求

学生应学会依据技术课题任务，进行资料的调研、收集、加工与整理和正确使用工具书；培养学生掌握有关工程设计的程序、方法与技术规范，提高工程设计计算、编写技术文件的能力；培养学生掌握实验、测试等科学研究的基本方法；锻炼学生分析与解决工程实际问题的能力。

5、综合素质要求

通过毕业设计（论文），学生应能树立正确的设计思想；培养学生严肃认真的科学态度和严谨求实的工作作风；在工程设计中，应能树立正确的工程意识与经济意识，树立正确的生产观点、经济观点与全局观点。

6、指导教师教学规范要求

（1）毕业设计指导教师原则上应由具有讲师及以上专业技术职务的教师担任，也可以指派具有3年以上高校教学经验、工作能力、科研能力突出且具有硕士及以上学位的教师担任。

（2）指导教师指导毕业设计的学生人数，中级职称教师≤6人，高级职称教师≤10人。鼓励科研能力强，有课题的教师多指导毕业设计。

（3）指导教师的教学职责

①教书育人，严格要求学生，加强学生的思想教育，培养学生勤奋学习的精神，严谨的科学态度和求实创新的作风；

②提出选题，拟定任务书，制定指导计划和工作程序，做好准备工作。

③向学生下达任务书，并提出写作要求，指定主要参考资料、社会调查内容，规定应完成的资料查阅、文献综述（开题报告）毕业设计撰写等。

④负责指导和审定学生毕业设计进度计划、总体方案，开题报告、论文格式； ⑤加强毕业设计的过程管理，采取多种方式考核、督促学生的工作进度和质量，及 时解答和处理学生提出的有关问题；

⑥指导教师应指定时间和地点，每周与学生见面两次；

⑦认真填写毕业设计指导教师工作手册，科学指导计划，如实记录毕业设计指导情况；

⑧指导教师必须在学生答辩前对毕业设计进行审查、认真填写毕业设计《审查意见》、如实评定学生毕业设计成绩、指导学生答辩。

二、毕业设计（论文）的选题

1、课题必须符合本专业的培养目标及教学基本要求，体现本专业基本训练内容，使学生受到比较全面的锻炼。

2、课题应尽可能结合生产、科研和实验的建设任务，强化工程基本训练，掌握专业的基本功。在保证对学生综合训练的基础上，多做些来源于生产、科研中的实际课题，有利于增强学生责任感、紧迫感和经济观念。

3、课题的类型可以多种多样，应贯彻因材施教的原则，使学生的创造性得以充分发挥。课题要保证有明确的任务或研究对象，既能达到对学生培养训练的目的，又留有发挥学生创造性的余地。课题类型的多样化，能使学生针对各自的情况来选择课题，这样有利于发挥学生的积极性，有利于课题的高质量完成。

4、课题的工作量和难易程度应把握在能使大多数学生经过努力在给定时间内完成规定的任务的程度，以保证教学任务的完成。对于结合生产和科研实际的较为复杂的课题，要求取得阶段性成果。

三、毕业设计（论文）内容与安排.（一）毕业设计（论文）内容.课题类型可以多样化，鼓励学生参加教师的科研课题，内容应符合本专业的培养目标，份量应适当，使学生能在规定时间内在教师指导下独立完成规定任务，得出成果。对于由若干学生共同完成的课题，每个学生应有单独工作的部分。

1、工程设计类型的课题

尽量选择与生产相结合的现实题目，也可以做教师自拟的题目

2、计算机应用系统的设计

主要内容为：管理系统需求分析，系统方案比较与选择，管理软件系统的设计与实现，数据库系统的设计与实现，计算机多层分布式系统的设计与实现，计算机网络的组建与设计等。

3、科研、设计类型的课题

难度和份量应适当，应有文献综述，一定的理论分析计算，实验及实验结果分析，或仿真计算分析，能得出一定成果。

4、其它与自动化相关的课题

（二）毕业设计（论文）安排.在8学期安排10周时间，毕业设计题目由教师拟订，学生自愿选择，不能满足志愿的同学由系指定课题。经指导教师同意，学生可在实习单位从事与专业相关的毕业设计题目，实习单位必须有另一指导老师，而且必须参加学校的统一答辩。毕业设计与毕业设计均需由学生独立完成，指导教师每周安排时间进行指导。

四、毕业设计（论文）材料要求 1 毕业设计（论文）任务书

2、毕业设计（论文）开题报告

3、毕业设计（论文）成绩评定表（包括指导教师审查意见、评阅教师评语）

4、毕业设计（论文）答辩记录表

5、毕业设计（论文）印刷本和电子版（包括封面、目录、中外文摘要、文献综述、毕业设计正文主体、结束语、参考文献、致谢、外文参考资料原文与译文）

五、毕业设计（论文）答辩.（一）答辩委员会

（二）．答辩资格审查

1、毕业设计质量审查

（1）指导教师审查。答辩前一周，学生应将毕业设计按规范整理装订成册交指导教师审查。指导教师应认真检查学生的毕业设计，并综合学生的学习态度、专业水平及设计质量，写出审查意见，评分后交系毕业设计指导小组。如该项工作未完成，学生不得进入格式审查。

（2）格式审查。由系毕业设计指导小组对照“吕梁学院本科毕业设计格式规范要求”，组织进行毕业设计的格式审查。凡格式审查不合格者，应限期修改，直到合乎规范要求。

（3）评阅教师评阅。毕业设计通过格式审查后，由系毕业设计指导小组指定教师评阅，评阅教师须根据学生设计质量、水平等、客观公正地给出评语和成绩。并向答辩委员会提出是否同意其答辩的意见。

2、答辩资格审查

凡属下列情况之一者，取消答辩资格：

（1）文章中的观点、思路有原则性错误，经指导教师或评阅教师指出未改正者；（2）未完成规定任务最低要求者；（3）弄虚作假，抄袭他人内容者；（4）缺勤时间超过规定者；

（5）毕业设计或相关文献资料中有违背四项基本原则，或宣扬腐朽道德观念等重大问题者。

学生按要求完成毕业设计任务，通过设计质量审查和答辩资格审查，方可参加答辩。指导教师和评阅教师对学生的毕业设计答辩资格有一票否决权。

（三）答辩

1、学生毕业设计审查合格后，由答辩小组以公开方式组织答辩。答辩小组一般由5人及以上人员组成，其成员由专业水平高、责任心强的教师组成；

2、答辩小组成员应在答辩前2－3天内认真审阅答辩学生的设计，了解设计的质量和水平，并准备答辩时提出的问题1－2个，为答辩做好准备工作。

3、答辩程序如下：

(1)学生自述文章主题、基本构思，核心内容，突破重难点，主要学术创新观点，时间约10分钟。

(2)答辩小组审阅、提问、学生应答，时间应控制在10分钟。(3)答辩小组评议、评分、时间5分钟。

4、对一次答辩成绩不及格或有异议的毕业设计，可酌情组织第二次答辩，以确定其成绩。

六、毕业设计（论文）成绩评定细则

1、毕业设计成绩由三部分构成，其中指导教师评定成绩占总成绩的40%，评阅教师的评定成绩占总成绩的30%，答辩评定成绩占总成绩的30%。

2、毕业设计(论文)成绩的评定，采用百分制，综合成绩按优秀（90－100）、良好（80－89）、中等（70－79）、及格（60－69）、不及格（59分以下）五级制计分。获得“优秀”成绩的学生人数，一般应控制在20%以内，“及格”和“不及格”成绩学生累计不少于7%。

3、凡毕业设计(论文)成绩不及格者，作结业处理，半年后可申请随下届毕业生重修一次，并按学分缴纳毕业设计重修费。学生重修论文由原所在专业安排，一般应在校内进行，食宿及费用自理，重修前，学生应与系毕业设计指导小组联系，由指导小组指定专门的毕业设计指导教师将重修的毕业设计题目及具体安排通知学生，重修论文及答辩通过后，按规定发给毕业证书。

4．成绩评定标准.（1）指导教师和评阅教师成绩评定标准（2）答辩成绩评定标准

七、大纲使用说明

第五篇：计算机网络安全毕业论文

计算机网络安全毕业论文

课题名称：计算机网络安全 姓名：吕金亮 班级：1031网络 专业：计算机应用 指导教师： 完成日期：

摘要:

21世纪的一些重要特征就是数字化，网络化和信息化，它是一个以网络为核心的信息时代。随着计算机互联网技术的飞速发展，网络信息已经成为社会发展的重要组成部分。它涉及到政府、经济、文化、军事等诸多领域。由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征，致使网络信息容易受到来自黑客窃取、计算机系统容易受恶意软件攻击，因此，网络信息资源的安全及管理维护成为当今信息话时代的一个重要话题。

文中首先论述了信息网络安全内涵发生的根本变化,阐述了我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性,以及网络面临的安全性威胁（黑客入侵）及管理维护（防火墙安全技术）。进一步阐述了网络拓扑结构的安全设计，包括对网络拓扑结构的分析和对网络安全的浅析。然后具体讲述了网络防火墙安全技术的分类及其主要技术特征，防火墙部署原则，并从防火墙部署的位置详细阐述了防火墙的选择标准。同时就信息交换加密技术的分类及RSA算法做了简要的分析，论述了其安全体系的构成。

关键词：信息安全 网络 防火墙 数据加密

目录

首页........................................................................1 目录........................................................................3 第一章 引言 1.1 概述.................................................................4 1.2 1.3 网络安全技术的研究目的 意义和背景....................................4 计算机网络安全的含义.................................................5 第二章 网络安全初步分析 2.1 网络安全的必要性.....................................................6 2.2 网络的安全管理.......................................................6 2.2.1安全管理原则.................................................6 2.2.2安全管理的实现.................................................7 2.3 采用先进的技术和产品

2.3.1 防火墙技术....................................................7 2.3.2 数据加密技术..................................................7 2.3.3 认证技术......................................................7 2.3.4 计算机病毒的防范..............................................7 2.4 常见的网络攻击及防范对策...............................................8 2.4.1 特洛伊木马....................................................8 2.4.4 淹没攻击......................................................8 第三章 网络攻击分析及特点........................................................9 第四章 网络安全面临的威胁 3.1自然灾害 3.2网络软件漏洞 3.3黑客的威胁和攻击 3.4计算机病毒

3.5垃圾邮件和间谍软件 3.6计算机犯罪

第4章 计算机网络安全防范策略

4.1 防火墙技术

4.1.1 防火墙的主要功能 4.1.2 防火墙的主要优点 4.1.3 防火墙的主要缺陷 4.1.4 防火墙的分类 4.1.5 防火墙的部署 4.2 数据加密技术 4.3 系统容灾技术 4.4 入侵检测技术

4.4.1 入侵检测系统的分类 4.4.2 目前入侵检测系统的缺陷

4.4.3 防火墙与入侵检测系统的相互联动 4.4.4 结语 4.5 漏洞扫描技术

4.6 物理安全

第四章 网络安全技术

4.1 防火墙的定义和选择......................................................12 4.2 加密技术................................................................12 4.2.1 对称加密技术.....................................................12 4.2.2 非对称加密/公开密钥加密..........................................12.4.2.3 RSA算法.........................................................12 4.3注册与认证管理...........................................................13 4.3.1 认证机构...........................................................13 4.3.2 注册机构..........................................................13 4.3.3 密钥备份和恢复....................................................13 第五章 安全技术的研究

5.1 安全技术的研究现状和方向................................................14 5.1.1 包过滤型..........................................................14 5.1.2 代理型............................................................14

结束语.....................................................................15 参 考 文 献

第一章 引言

1.1 概述

我们知道, 21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。要实现信息化就必须依靠完善的网络，因为网络可以非常迅速的传递信息。因此网络现在已成为信息社会的命脉和发展知识经济的基础。

随着计算机网络的发展，网络中的安全问题也日趋严重。当网络的用户来自社会各个阶层与部门时，大量在网络中存储和传输的数据就需要保护。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国特色的网络安全体系。

一个国家的安全体系实际上包括国家的法律和政策，以及技术与市场的发展平台。我国在构建信息信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展名族的安全产业,带动我国网络安全技术的整体提高。

网络安全产品有以下几个特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断的变化；第三，随着网络在社会各个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合开发。安全与反安全就像矛盾的两个方面，总是不断的向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。

信息安全是国家发展所面临的一个重要问题，对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来数字化、网络化、信息化的发展将起到非常重要的作用。

1.2 网络安全技术的研究目的、意义和背景

目前计算机网络面临着很大的威胁，其构成的因素是多方面的。这种威胁将不断给社会带来巨大的损失。网络安全已被信息社会的各个领域所重视。

随着计算机络的不断发展，全球信息化已成为人类发展的大趋势；给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络容易受黑客、病毒、恶意软件和其他不轨行为的攻击，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统、银行和政府等传输铭感数据的计算机网络系统而言，其网上信息的安全性和保密性尤为重要。因此，上述的网络必须要有足够强的安全措施，否则该网络将是个无用、甚至会危机国家安全的网络。无论是在局域网中还是在广域网中，都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性，故此，网络的安全措施应是能全方位的针对各种不同的威胁和网络的脆弱性，这样才能确保网络信息的保密性、完整性、和可行。为了确保信息安的安全与畅通，研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网络安全的管理及技术措施。

认真分析网络面临的威胁，我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程，是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下，首先是各计算机网络应用部门领导的重视，加强工作人员的责任心和防范意识，自觉执行各项安全制度，在此基础上，再采用现金的技术和产品，构造全防卫的防御机制，使系统在理想的状态下运行。

1.3 计算机网络安全的含义

计算机网络安全的具体含义会随着使用者的变化而变化，使用者的不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的灾害，军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。

从本质上来讲，网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

第二章 网络安全初步分析

2.1 网络安全的必要性

随着计算机技术的不断发展，计算机网络已经成为信息时代的重要特征。人们称它为信息高速公路。网络是计算机技术和通信技术的产物，适应社会对信息共享和信息传递的要求发展起来的，各国都在建设自己的信息高速公路。我国近年来计算机网络发展的速度也很快，在国防、电信、银行、广播等方面都有广泛的应用。我相信在不长的时间里，计算机网络一定会得到极大的发展，那时将全面进入信息时代。正因为网络应用的如此广泛，又在生活中扮演很重要的角色，所以其安全性是不容忽视的。

2.2 网络的安全管理

面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络安全的安全管理，因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题。

2.2.1安全管理原则

网络信息系统的安全管理主要基于3个原则： ① 多人负责原则

每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作以得到保障。与安全有关的活动有：访问控制使用证件的发放与回收，信息处理系统使用的媒介发放与回收，处理保密信息，硬件与软件的维护，系统软件的设计、实现和修改，重要数据的删除和销毁等。

② 任期有限原则

一般来讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期的循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。③ 职责分离原则

除非经系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情。出于对安全的考虑，下面每组内的两项信息处理工作应当分开：计算机操作与计算机编程、机密资料的接收与传送、安全管理与系统管理、应用程序和系统程序的编制、访问证件的管理与其他工作、计算机操作与信息处理系统使用媒介的保管等。

2.2.2 安全管理的实现

信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制定相应的管理制度或采用相应的规范。具体工作是:

①

根据工作的重要程度，确定该系统的安全等级。

②

根据确定的安全等级，确定安全管理范围。

③

制定相应的机房出入管理制度，对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别系统，采用此卡、身份卡等手段，对人员进行识别，登记管理。

2.3 采用先进的技术和产品

要保证计算机网络安全的安全性，还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。

2.3.1 防火墙技术

为保证网络安全，防止外部网对内部网的非法入侵，在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统，该系统可以设定哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。它可以监测、限制、更改跨越防火墙的数据流，确认其来源及去处，检查数据的格式及内容，并依照用户的规则传送或阻止数据。其主要有：应用层网关、数据包过滤、代理服务器等几大类型。

2.3.2 数据加密技术

与防火墙配合使用的安全技术还有数据加密技术，是为了提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展，网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术和物理防范技术的不断发展。按作用的不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。

2.3.3 认证技术

认证技术是防止主动攻击的重要手段，它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程，即认证建立信息的发送者或接受者的身份。认证的主要目的有两个：第一，验证信息的发送者是真正的，而不是冒充的，这称为信号源识别；第二，验证信息的完整性，保证信息在传送过程中未被篡改或延迟等。目前使用的认证技术主要有：消息认证、身份认证、数字签名。

2.3.4 计算机病毒的防范

首先要加强工作人员防病毒的意识，其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件：

① 较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种，在各种操作系统中包括Windows、UNIX 和 Netware 系统都有大量能够造成危害的计算机病毒，这就要求安装的防病毒软件能够查杀多种系统环境下的病毒，具有查杀、杀毒范围广、能力强的特点。

② 完善的升级服务。与其他软件相比，防病毒软件更需要不断的更新升级，以查杀层出不穷的计算机病毒。

2.4 常见的网络攻击和防范对策

2.4.1 特洛伊木马

特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码，因此含有特洛伊木马的程序在执行时，表面上是执行正常的程序，而实际上是在执行用户不希望的程序。特洛伊木马的程序包括两部分，即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力，在网络中当人们执行一个含有特洛伊木马的程序时，它能把自己插入一些未被感染的过程中，从而使它们受到感染。此类攻击对计算机的危害极大，通过特洛伊木马，网络攻击者可以读写未经授权的文件，甚至可以获得对被攻击的计算机的控制权。

防止在正常程序中隐藏特洛伊木马的主要是人们在生成文件时，对每一个文件进行数字签名，而在运行文件时通过对数字签名的检查来判断文件是否被修改，从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。2.4.2 邮件炸弹

邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同以地址发送电子邮件，攻击者能够耗尽接受者网络的带宽，占据邮箱的空间，使用户的存储空间消耗殆尽，从而阻止用户对正常邮件的接收，妨碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。

防止邮件炸弹的方法主要有通过配置路由器，有选择地接收电子邮件，对邮件地址进行配置，自动删除来自同一主机的过量或重复消息，也可以使自己的SMTP连接只能达成指定的服务器，从而免受外界邮件的侵袭。

2.4.3 过载攻击

过载攻击是攻击者通过服务器长时间发出大量无用的请求，使被攻击的服务器一直处于繁忙的状态，从而无法满足其他用户的请求。过载攻击中被攻击者用的最多的一种方法是进程攻击，它是通过大量地进行人为的增大CPU的工作量，耗费CPU的工作时间，使其它的用户一直处于等待状态。

防止过载攻击的方法有：限制单个用户所拥有的最大进程数；杀死一些耗时的进程。然而，不幸的是这两种方法都存在着一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除，会使用户某些正常的请求得不到系统的响应，从而出现类似拒绝服务的现象。通常，管理员可以使用网络监视工具来发现这种攻击，通过主机列表和网络地址列表来的所在，也可以登录防火墙或路由器来发现攻击究竟是来自于网络内部还是网络外部。另外，还可以让系统自动检查是否过载或者重新启动系统。2.4.4 淹没攻击

正常情况下，TCP连接建立要经过3次握手的过程，即客户机向客户机发送SYN请求信号；目标主机收到请求信号后向客户机发送SYN/ACK消息；客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址，向被攻击主机发出SYN请求信号，当被攻击主机收到SYN请求信号后，它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时的主机IP不存在或当时没有被使用所以无法向主机发送RST，因此，造成被攻击的主机一直处于等待状态，直至超时。如果攻击者不断的向被攻击的主机发送SYN请求，被攻击主机就一直处于等待状态，从而无法响应其他用户请求。

对付淹没攻击的最好方法就是实时监控系统处于SYN-RECEIVED状态的连接数，当连接数超过某一给定的数值时，实时关闭这些连接。

第三章 网络攻击分析及特点

攻击是指非授权行为。攻击的范围从简单的使服务器无法提供正常的服务到安全破坏、控制服务器。在网络上成功实施的攻击级别以来于拥护采取的安全措施。

在此先分析下比较流行的攻击Dodos分布式拒绝服务攻击：Does是Denial of Service的简称，即拒绝服务，造成Does的攻击行为被称为Does攻击，其目的是使计算机或网络无法提供正常的服务。最常见的Does攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击是指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。而分布式拒绝服务（DDoS:Distributed Denial of Service）攻击是借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在 Internet 上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。而且现在没有有限的方法来避免这样的攻击。

因为此攻击基于TCP/IP 协议的漏洞，要想避免除非不使用此协议，显然这是很难做到的那我们要如何放置呢？

1.确保所有服务器采用最新系统，并打上安全补丁。计算机紧急响应协调中心发现，几乎每个受到DDoS攻击的系统都没有及时打上补丁。

2.确保管理员对所有主机进行检查，而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么？ 谁在使用主机？ 哪些人可以访问主机？ 不然，即使黑客侵犯了系统，也很难查明。

3.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS.等守护程序存在一些已知的漏洞，黑客通过根攻击就能获得访问特权系统的权限，并能访问其他系统—甚至是受防火墙保护的系统。

4.确保运行在 Unix上的所有服务都有TCP封装程序，限制对主机的访问权。5.禁止内部网通过Modem连接至PSTN 系统。否则，黑客能通过电话线发现未受保护的主机，即刻就能访问极为机密的数据。

6.禁止使用网络访问程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp，以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传递口令，而Telnet和 Rlogin 则正好相反，黑客能搜寻到这些口令，从而立即访问网络上的重要服务器。此外，在Unix上应该将.rhost 和 hosts.equiv 文件删除,因为不用猜口令,这些文件就会提供登录访问!7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件，并以特洛伊木马替换他，文件传输功能无异将陷入瘫痪。

8.确保手头上有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备，还应该包括网络边界、非军事区（DMZ）及网络的内部保密部分。

9.在防火墙上运行端口映射程序或端口扫描程序。大多数时间是由于防火墙配置不当造成的，使DoS/ DDoS攻击成功率很高，所以一定要认真检查特权端口和非特权端口。

10.检查所有网络设备和主机/服务器系统的日志。只要日志出现纰漏或时间出现变更，几乎可以坑定：相关的主机安全收到了威胁。

计算机网络的攻击特

1．损失巨大

由于攻击和入侵的对象是网络上的计算机,因此攻击一旦成功,就会使网络中的计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均每起计算机犯罪案件所成的经济损失是一般案件的几十到几百倍。

2．威胁社会和国家安全

一些计算机网络攻击者出于各种目的经常把政府部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。

3．手段多样与手法隐蔽

计算机攻击的手段可以说五花八门:网络攻击者既可以通过监视网上数据来获取别人的保密信息,又可以通过截取别人的帐号和口令进入别人的计算机系统,还可以通过一些特殊的方法绕过人们精心设计的防火墙,等等。这些过程都可以在很短的时间内通过计算机完成,因而犯罪不留痕迹,隐蔽性很强。

4．以软件攻击为主

几乎所有的网络入侵都是通过对软件的截取和攻击进而破坏整个计算机系统的。因此,计算机犯罪具有隐蔽性,这要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。

第3章 计算机网络安全面临的威胁

3.1自然灾害

计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄露或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。

3.2网络软件漏洞

网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦“后门”洞开,其造成的后果将不堪设想。

3.3黑客的威胁和攻击

这是计算机网络所面临的最大威胁。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。黑客们常用的攻击手段有获取口令、电子邮件攻击、特洛伊木马攻击、www的欺骗技术和寻找系统漏洞等。

3.4计算机病毒

20世纪90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进入到系统中进行扩散。计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。

3.6计算机犯罪

计算机犯罪,通常是利用窃取口令等手段非法侵入计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息。

4.1 防火墙技术

网络安全所说的防火墙(Fire Wall)是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访，用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet（外部网）的传输信息或从内部网发出的信息都必须穿过防火墙。

4.1.1 防火墙的主要功能 防火墙的主要功能包括：

1、防火墙可以对流经它的网络通信进行扫描，从而过滤掉一些攻击，以免其在目标计算机上被执行。

2、防火墙可以关闭不使用的端口，而且它还能禁止特定端口的输出信息。

3、防火墙可以禁止来自特殊站点的访问，从而可以防止来自不明入侵者的所有通信，过滤掉不安全的服务和控制非法用户对网络的访问。

4、防火墙可以控制网络内部人员对Internet上特殊站点的访问。

5、防火墙提供了监视Internet安全和预警的方便端点

4.1.2 防火墙的主要优点

防火墙的主要优点包括:

1、可作为网络安全策略的焦点

防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来，将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心，极大地加强了网络安全，并简化了网络管理。

2、可以有效记录网络活动

由于防火墙处于内网与外网之间，即所有传输的信息都会穿过防火墙。所以，防火墙很适合收集和记录关于系统和网络使用的多种信息，提供监视、管理与审计网络的使用和预警功能。

3、为解决IP地址危机提供了可行方案 由于Internet的日益发展及IP地址空间有限，使得用户无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓和IP地址空间的不足。

4、防火墙能够强化安全策略

因为网络上每天都有上百万人在收集信息、交换信息，不可避免地会出现个别品德不良，或违反规则的人，防火墙就是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过.5、防火墙能有效地记录网络上的活动

因为所有进出信息都必须通过防火墙，所以防火墙非常适用于收集关于系统和网络使用和误用的信息.作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录.6、防火墙限制暴露用户点

防火墙能够用来隔开网络中的两个网段，这样就能够防止影响一个网段的信息通过整个网络进行传播.7、防火墙是一个安全策略的检查站

所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外.4.1.3 防火墙的主要缺陷

由于互联网的开放性，防火墙也有一些弱点，使它不能完全保护网络不受攻击。防火墙的主要缺陷有：

1、防火墙对绕过它的攻击行为无能为力。

2、防火墙无法防范病毒，不能防止感染了病毒的软件或文件的传输，对于病毒只能安装反病毒软件。

3、防火墙需要有特殊的较为封闭的网络拓扑结构来支持。网络安全性的提高往往是以牺牲网络服务的灵活性、多样性和开放性为代价。

4、不能防范恶意的知情者

防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去.如果入侵者已经在防火墙内部，防火墙是无能为力的.内部用户可以偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙.对于来自知情者的威胁，只能要求加强内部管理，如主机安全和用户教育等.5、不能防范不通过它的连接

防火墙能够有效地防止通过它的传输信息，然而它却不能防止不通过它而传输的信息.例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵.6、不能防备全部的威胁

防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，就可以防备新的威胁，但没有一扇防火墙能自动防御所有新的威胁.7、防火墙不能防范病毒

防火墙一般不能消除网络上的病毒.4.1.4 防火墙的分类 防火墙的实现从层次上大体可分为三类：包过滤防火墙，代理防火墙和复合型防火墙。

1、包过滤防火墙

包过滤防火墙是在IP层实现，它可以只用路由器来实现。包过滤防火墙根据报文的源IP地址，目的IP地址、源端口、目的端口和报文传递方向等报头信息来判断是否允许有报文通过。

2、代理防火墙

代理防火墙也叫应用层网关防火墙，包过滤防火墙可以按照IP地址来禁止未授权者的访问。但它不适合单位用来控制内部人员访问外部网络，对于这样的企业，应用代理防火墙是更好的选择。

3、复合型防火墙

复合型防火墙是将数据包过滤和代理服务结合在一起使用，从而实现了网络安全性、性能和透明度的优势互补。

4.1.5 防火墙的部署

防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，防火墙才能对此实行检查，防护功能。

1、防火墙的位置一般是内网与外网的接合处，用来阻止来自外部网络的入侵。

2、如果内部网络规模较大，并且设置虚拟局域网（VLAN），则应该在各个VLAN之间设置防火墙。

3、通过公网连接的总部与各分支机构之间应该设置防火墙。

4、主干交换机至服务器区域工作组交换机的骨干链路上。

5、远程拨号服务器与骨干交换机或路由器之间。

总之，在网络拓扑上，防火墙应当处在网络的出口与不同安全等级区域的结合处。安装防火墙的原则是：只要有恶意侵入的可能，无论是内部网还是外部网的连接处都应安装防火墙。

4.2 数据加密技术

数据加密技术就是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要手段之一。

数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的，可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密，常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证，达到保密的要求，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。数据加密在许多场合集中表现为密匙的应用，密匙管理技术事实上是为了数据使用方便。密匙的管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的保密措施。

4.3 系统容灾技术

一个完整的网络安全体系，只有防范和检测措施是不够的，还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失，一旦发生漏防漏检事件，其后果将是灾难性的。此外，天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难，也能快速地恢复系统和数据，才能完整地保护网络信息系统的安全。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障，不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器，在两者之间建立复制关系，一个放在本地，另一个放在异地。本地存储器供本地备份系统使用，异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连，构成完整的数据容灾系统，也能提供数据库容灾功能。

4.4 入侵检测技术

入侵检测技术是从各种各样的系统和网络资源中采集信息（系统运行状态、网络流经的信息等），并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为，入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应，从而将攻击行为带来的破坏和影响降至最低。同时，入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为（通过异常检测和模式匹配等技术）、对攻击行为或异常行为进行响应、审计和跟踪等。

典型的IDS系统模型包括4个功能部件：

1、事件产生器，提供事件记录流的信息源。

2、事件分析器，这是发现入侵迹象的分析引擎。

3、响应单元，这是基于分析引擎的分析结果产生反应的响应部件。

4、事件数据库，这是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

4.4.1 入侵检测系统的分类

入侵检测系统根据数据来源不同，可分为基于网络的入侵检测系统和基于主机的入侵检测系统。网络型入侵检测系统的实现方式是将某台主机的网卡设置成混杂模式，监听本网段内的所有数据包并进行判断或直接在路由设备上放置入侵检测模块。一般来说，网络型入侵检测系统担负着保护整个网络的任务。

主机型入侵检测系统是以系统日志、应用程序日志等作为数据源，当然也可以通过其它手段（如检测系统调用）从所有的主机上收集信息进行分析。

入侵检测系统根据检测的方法不同可分为两大类：异常和误用。

异常入侵检测根据用户的异常行为或对资源的异常存放来判断是否发生了入侵事件。

4.4.2 目前入侵检测系统的缺陷

入侵检测系统作为网络安全防护的重要手段，目前的IDS还存在很多问题，有待于我们进一步完善。

1、高误报率

误报率主要存在于两个方面：一方面是指正常请求误认为入侵行为；另一方面是指对IDS用户不关心事件的报警。导致IDS产品高误报率的原因是IDS检测精度过低和用户对误报概念的不确定。

2、缺乏主动防御功能

入侵检测技术作为一种被动且功能有限的安全防御技术，缺乏主动防御功能。因此，需要在一代IDS产品中加入主动防御功能，才能变被动为主动。

4.4.3 防火墙与入侵检测系统的相互联动

防火墙是一个跨接多个物理网段的网络安全关口设备。它可以对所有流经它的流量进行各种各样最直接的操作处理，如无通告拒绝、ICMP拒绝、转发通过（可转发至任何端口）、各以报头检查修改、各层报文内容检查修改、链路带宽资源管理、流量统计、访问日志、协议转换等。当我们实现防火墙与入侵检测系统的相互联动后，IDS就不必为它所连接的链路转发业务流量。因此，IDS可以将大部分的系统资源用于对采集报文的分析，而这正是IDS最眩目的亮点。IDS可以有足够的时间和资源做些有效的防御工作，如入侵活动报警、不同业务类别的网络流量统计、网络多种流量协议恢复（实时监控功能）等。IDS高智能的数据分析技术、详尽的入侵知识描述库可以提供比防火墙更为准确、更严格、更全面的访问行为审查功能。

综上所述，防火墙与IDS在功能上可以形成互补关系。这样的组合较以前单一的动态技术或静态技术都有了较大的提高。使网络的防御安全能力大大提高。防火墙与IDS的相互联动可以很好地发挥两者的优点，淡化各自的缺陷，使防御系统成为一个更加坚固的围墙。在未来的网络安全领域中，动态技术与静态技术的联动将有很大的发展市场和空间。4.4.4 结语

网络安全是一个很大的系统工程，除了防火墙和入侵检测系统之外，还包括反病毒技术和加密技术。反病毒技术是查找和清除计算机病毒技术。其原理就是在杀毒扫描程序中嵌入病毒特征码引擎。然后根据病毒特征码数据库来进行对比式查杀。加密技术主要是隐藏信息、防止对信息篡改或防止非法使用信息而转换数据的功能或方法。它是将数据信息转换为一种不易解读的模式来保护信息，除非有解密密钥才能阅读信息。加密技术包括算法和密钥。算法是将普通的文本（或是可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤。密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。

4.5 漏洞扫描技术

漏洞扫描是自动检测远端或本地主机安全的技术，它查询TCP/IP各种服务的端口，并记录目标主机的响应，收集关于某些特定项目的有用信息。这项技术的具体实现就是安全扫描程序。扫描程序可以在很短的时间内查出现存的安全脆弱点。扫描程序开发者利用可得到的攻击方法，并把它们集成到整个扫描中，扫描后以统计的格式输出，便于参考和分析。

4.6 物理安全

为保证信息网络系统的物理安全，还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。为保证网络的正常运行，在物理安全方面应采取如下措施:

1、产品保障方面:主要指产品采购、运输、安装等方面的安全措施。

2、运行安全方面:网络中的设备，特别是安全类产品在使用过程中，必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统，应设置备份系统。

3、防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品，如辐射干扰机。

4、保安方面:主要是防盗、防火等，还包括网络系统所有网络设备、计算机、安全设备的安全防护。

计算机网络安全是个综合性和复杂性的问题。面对网络安全行业的飞速发展以及整个社会越来越快的信息化进程，各种新技术将会不断出现和应用。??? 网络安全孕育着无限的机遇和挑战，作为一个热门的研究领域和其拥有的重要战略意义，相信未来网络安全技术将会取得更加长足的发展。

第四章 网络安全技术

4.1 防火墙的定义和选择

4.1.1防火墙的定义

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关（代理服务器）以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输。但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客入侵等方向发展。

4.1.2 防火墙的选择

总拥有成本防火墙产品作为网络系统的安全屏障，其总拥有成本（TCO）不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例，假如其系统中的所有信息及所支持应用的总价值为10万元，则该部门所配备防火墙的总成本也不应该超过10万元。当然，对于关键部门来说，其所造成的负面影响和连带损失也不应该考虑在内。如果仅作粗略估算，非关键部门的防火墙购置成本不应该超过网络系统的建设总成本，关键部门则应另当别论选择防火墙的标准有很多，但最重要的是以下两条：

（1）防火墙本身是安全的

作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。如果像玛奇诺防线一样，正面虽然牢不可破，但进攻者能够轻易地绕过防线进入系统内部，网络系统也就没有任何安全性可言了。

通常，防火墙的安全性问题来自两个方面：其一是防火墙本身的设计是否合理，其二是使用不当。一般来说，防火墙的许多配置需要系统管理员手工修改，如果系统管理员对防火墙十分不熟悉，就有可能在配置过程中遗留大量的安全漏洞。

（2）可扩充性

在网络系统建设的初期，由于内部信息系统的规模较小，遭受攻击造成的损失也较小，因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加，网络的风险成本也会急剧上升，此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性，或扩充成本极高，这便是对投资的浪费。好的产品应该留给用户足够的弹性空间，在安全水平要求不高的情况下，可以只选购基本系统，而随着要求的提供，用户仍然有进一步增加选择的余地。这样不仅能够保护用户的投资，对提供防火墙产品的厂商来说，也扩大产品的覆盖面。

4.2 加密技术

信息交换加密技术分为两类:即对称加密和非对称加密.4.2.1 对称加密技术

在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁.这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄漏，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方。如三重DES是DES（数据加密标准）的一种变形，这种方法使用两个独立的56位密钥对信息进行3次加密，从而使有效密钥长度达到112位。

4.2.2 非对称加密技术

在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛分布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。

4.2.3 RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制。其安全性是基于分散大整数的困难性。在RSA体制中使用了这样一个基本事实：到目前为止，无法找到一个有效的算法来分散两大素数之积。RSA算法的描述如下：

公开密钥： n=pq(p、q 分别为两个互异的大素数，p、q 必须保密)e与(p-1)(q-1)互素

私有密钥：d=e-1 {mod(p-1)(q-1)} 加密：c=me(mod n)，其中 m 为明文，c为密文。

解密：m=cd(mod n)利用目前已经掌握的只是和理论，分解2048bit的大整数已经超过了64位计算机的运算能力，因此在目前和预见的将来，它是足够安全的。

4.3 注册与认证管理

4.3.1 认证机构

CA（Certification Authorty）就是这样一个确保信任度的权威实体，它的主要职责是频发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明一证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码学有关系，而且还与整个PKI系统的构架和模型有关。

4.3.2 注册机构

RA(Registration Authority)是用户和CA的借口，它所获得的用户标识的准确性是CA发给证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。

4.3.3 密钥备份和恢复

为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

4.3.4 证书管理与撤销系统

证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤销，证书撤销的理由是各种各样的。可能包括工作变动到对密钥怀疑等一系列原因。证书撤销系统实现是利用周期性的发布机制撤销证书或采用在线查询机制，随时查询被撤销的证书。

第五章 安全技术的研究

5.1 安全技术的研究现状和方向

我国信息网络安全研究历经了通信保密、数据保护两个阶段，正在进入网络信息安全研究阶段，现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果，提出系统的、完整的和协同的解决信息网络安全的方案，目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究，各部分相互协同形成有机整体。根据防火墙所采用的技术不同，将它分为4个基本类型：包过滤型、网络地址转换-NAT、代理型和监测型。

5.2 包过滤型

包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会含一些特定信息，防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一单发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。

包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入。

5.3 代理型

代理型的安全性能要高过包过滤型，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

实际上，作为当前防火墙产品的主流趋势，大多数代理服务器（也称应用网关）也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

结束语

互联网现在已经成为了人们不可缺少的通信工具，其发展速度也快的惊人，以此而来的攻击破坏层出不穷，为了有效的防止入侵把损失降到最低，我们必须适合注意安全问题，使用尽量多而可靠的安全工具经常维护，让我们的网络体系完善可靠。在英特网为我们提供了大量的机会和便利的同时，也在安全性方面给我们带来了巨大的挑战，我们不能因为害怕挑战而拒绝它，否则就会得不偿失，信心安全是当今社会乃至整个国家发展所面临的一个只管重要的问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要的组成部分，甚至应该看到它对我国未来电子化、信息化的发展讲起到非常重要的作用。网络安全是一项动态的、整体的系统工程，我们应该结合现在网络发展的特点，制定妥善的网络安全策略，将英特网的不安全性降至到现有条件下的最低点，让它为我们的工作和现代化建设做出更好的服务。

参考文献

[1] 谢希仁.计算机网络 电子工业出版社

[2]汤小丹、梁红兵.计算机操作系统 西安电子科技大学出版社 [3] 李伟.网络安全实用技术标准教程 清华大学出版社 [4] Andrew S.Tanenbaum.计算机网络 清华大学出版社

[1]李军义.计算机网络技术与应用[M].北京：北方交通大学出版社，2006.7． [2]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2005.[3]嘉宁.网络防火墙技术浅析[J].通信工程.2004(3).[4]郑成兴.网络入侵防范的理论与实践[M].北京：机械工业出版社，2006.9.[5][美] Merike Kaeo 著.网络安全性设计[M].北京：人民邮电出版社，2005.9.[6]黄怡强,等.浅谈软件开发需求分析阶段的主要任务[M].中山大学学报论丛，2002(01).[7]胡道元.计算机局域网[M].北京:清华大学出版社.2001.[8]朱理森，张守连.计算机网络应用技术[M].北京:专利文献出版社，2001.[9]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社.