计算机网络安全中的防火墙技术应用研究

第一篇：计算机网络安全中的防火墙技术应用研究

参考文献：

[1] 张俊伟.计算机网络安全问题分析[J].包头职业技术学院学报,2012,(4):25.[2] 王秀翠.防火墙技术在计算机网络安全中的应用[J].软件导刊,2011,(5):28-30.[3] 戴锐.探析防火墙技术在计算机网络安全中的应用[J].信息与电脑,2011,(11):10-12.[4] 肖玉梅.试析当前计算机网络安全中的防火墙技术[J].数字技术与应用,2013,(5):14-16.[5] 姜可.浅谈防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用,2013,(4):33.论文题目：计算机网络安全中的防火墙技术应用研究

摘要：防火墙技术是计算机网络安全维护的主要途径，发挥高效的保护作用。随着计算机的应用与普及，网络安全成为社会比较关注的问题。社会针对计算机网络安全，提出诸多保护措施，其中防火墙技术的应用较为明显，不仅体现高水平的安全保护，同时营造安全、可靠的运行环境。因此，该文通过对计算机网络安全进行研究，分析防火墙技术的应用期刊之家网翟编辑修改发表论文QQ:1452344485。

关键词：计算机；网络安全；防火墙技术

计算机网络安全主要是保障信息传输保密，防止攻击造成的信息泄露。基于网络安全的计算机运行，维护数据安全，保障运行问题，体现网络安全的重要性。计算机网络安全保护技术多种多样，该文主要以防火墙技术为例，分析其在计算机网络安全中的应用。防火墙的保护原理是信息隔离，在信息交互的过程中形成防护屏障，一方面过滤危险信息，另一方面提高计算机网络安全保护的能力，强化计算机网络系统的防御能力。防火墙技术在计算机网络安全中发挥监督、跟踪的作用，明确各项信息访问论文问题咨询腾讯认证QQ800099353。分析计算机网络安全与防火墙技术

计算机网络安全与防火墙技术之间存在密不可分的关系，防火墙技术随着计算机网络的需求发展，在网络安全的推动下，防火墙技术体现安全防护的优势。分析计算机网络安全与防火墙技术，如下：

1.1 计算机网络安全

安全是计算机网络运行的首要原则，随着现代社会的信息化发展，计算机网络的运行得到推进，但是其在运行过程中不断出现安全威胁，影响计算机网络的安全水平，例举计算机网络的安全威胁。

1.1.1 数据威胁

数据是计算机网络的主体，数据运行的过程中存在诸多漏洞，引发计算机网络的安全隐患。例如：计算机网络运行中的节点数据，较容易受到攻击者篡改，破坏数据完整性，攻击者利用数据内容的脆弱部分，窥探内网数据，泄漏数据，攻击者利用计算机网络系统的安全漏洞，植入木马、病毒，导致数据系统瘫痪，无法支持计算机网络的安全运行。

1.1.2 外力破坏

外力破坏是计算机网络安全运行不可忽略的危险点，最主要的是人为破坏，如：病毒、木马攻击等。目前，计算机网络受到此类影响较大，部分攻击者利用网站病毒、邮件病毒等方式，攻击用户计算机，病毒植入时大多是由于用户不正确的操作习惯，导致计算机网络系统出现漏洞。例如：用户长时间浏览外网网站，但是没有定期查杀病毒，攻击者很容易摸清用户的浏览习惯，在特性网站中添加攻击链接，当用户点击该网站时，病毒立即启动，直接攻击用户的计算机。

1.1.3 环境威胁计算机网络处于共享环境内，面临资源开放的威胁。环境是计算机网络运行的基础，用户在访问外网时必须经过网络环境，所以存在明显的环境威胁，网络环境内的攻击非常强烈，攻击者利用网络环境设置攻击环节，主要攻击网络环境内交互的数据包，经由数据包将攻击信息带入内网，破坏内网的防护结构，针对环境威胁，必须发挥防火墙技术的全面特点。

1.2 防火墙技术

防火墙技术主要有：(1)状态检测，以计算机网络为研究整体，主要分析数据流，区别计算机网络中的数据信息，识别数据信息中的不安全因素，此类型防火墙技术效益明显，但是缺乏一定的时效性，容易造成保护延迟；(2)包过滤技术，以网络层为保护对象，严格要求计算机网络的协议，在保障协议安全的基础上才可实现防护处理，体现防护价值；(3)应用型防火墙，利用IP转换的方式，伪装IP或端口，确保内外网络连接的安全性，促使用户在访问外网时，能够处于安全、稳定的空间内。防火墙技术在计算机网络安全中的应用价值

防火墙技术在计算机网络安全中确实得到广泛应用，体现防火墙技术的高效价值。针对防火墙技术的应用价值，做如下分析：

2.1 过滤技术的应用价值

过滤技术体现防火墙选择过滤的应用价值，防火墙根据特定位置，提供过滤服务。例如：过滤技术在计算机网络系统TCP位置，防火墙预先检查TCP位置接收到的数据包，全面检查数据包的安全性，如果发现威胁因素或攻击行为，立即阻断数据包的传输，过滤在外网环境内，过滤技术的应用，体现明显的预防特性，科学控制风险信息的传输，组织风险信息进入内网，以此确保TCP区域的安全运行。防火墙中的过滤技术，不仅应用于计算机网络安全控制，其在路由器方面也存在明显的应用价值。

2.1.1 代理技术的应用价值防火墙中的代理技术，具有一定的特殊性，其可在计算机网络运行的各项模块发挥控制作用，时刻体现强效状态。代理技术的价值体现为：该技术在内外网之间发挥中转作用，计算机网络的内网部分，只接受代理部分发出的请求，而外网请求直接被拒绝，该技术在内网、外网的分割方面，发挥主要作用，杜绝出现内外混淆的现象，所以代理技术在实现应用价值方面，同样面临技术压力。

2.1.2 检测技术的应用价值

检测技术以计算机网络的状态为主，属于新技术领域。检测技术的运行建立在状态机制的基础上，将外网传入的数据包作为整体，准确分析数据包的状态内容，检测技术将分析结果汇总为记录表，分为规则和状态，比对两表后识别数据状态。目前，检测技术应用于各层网络之间，获取网络连接的状态信息，拓宽计算机网络安全保护的范围，由此提高网络信息的运行效率。

2.1.3 协议技术的应用价值协议技术主要是防止Dos攻击，Dos攻击容易导致计算机网络以及服务器陷入瘫痪状态，促使计算机网络无法正常提供运行信息，此类攻击没有限制要求，基本处于无限制攻击状态。防火墙利用协议技术，在此类攻击中发挥主体保护，在协议技术参与下的防火墙技术，保护计算机的内部网络，提供各类网关服务，网关是连接服务器与信息的直接途径，待防火墙回应后，服务器才可运行。防火墙促使服务器处于高度安全的环境中，规避外网攻击，例如：当外网向内网发送请求信息时，防火墙通过SYN设置访问上限，降低服务器承担的攻击压力，同时完成数据包检测。防火墙技术在计算机网络安全中的应用

综合分析计算机网络安全中出现的问题，体现防火墙技术在计算机网络安全中的应用，规划防火墙技术安全保护的方式。

第二篇：防火墙技术在网络安全的应用研究

防火墙技术在网络安全的应用研究

摘要：随着互联网信息技术的高速发展，网络技术已经被广泛运用到各个领域。但是，目前随着个人网络技术水平的提高，有许多非法的组织或者个人，通过破解密码偷窃学校、企业，甚至是国家的隐私性机密文件或者是资金，严重威胁到这些单位的财产和隐私安全。因此，网络在给社会带来巨大便捷性的同时，也隐藏着较大的安全隐患。防火墙技术是抵御“黑客”非法入侵和非法访问的有效手段之一。本文在此基础上重点探讨了如何在网络安全中合理应用防火墙技术，以达到保护网络安全的目的。

关键词：网络安全问题；防火墙技术；应用

引言：网络技术凭借着自身快捷性和准确性等优势，已经被广泛应用到社会各个领域。我国正处在由工业化社会向信息化社会过渡的阶段，人们对网络的依赖性较强，但企业、个人频繁出现信息资源被盗，机密性文件被窃取，网络被黑客制造的病毒攻击导致整个网络系统瘫痪等恶性事件，这些风险极大影响了企业的正常运行以及个人信息的保障。网络安全问题还不仅仅出现在企业运营上以及个人生活中，甚至还出现在国家安全部门或者机关部门中。所以，如何在信息化高速发展的今天，实现防火墙技术在网络安全的有效运用是有关部门需要长期探讨和研究的问题。我们要借鉴防火墙技术在网络安全成功应用的经验，提出创新性的方案和手段，来克服网络安全问题给社会带来的风险。

一、运用防火墙技术强化网络安全策略

相关单位在运用防火墙技术时，要重视配置以防火墙为中心的安全策略方案，将口令、身份认证、审查、加密等安全信息全部配置到防火墙上，这样相比将网络安全问题分散与各个主机或者是其它部位来讲，都集中在防火墙上更便于管理，安全性强，投入成本少，经济效益高。笔者根据自己长期的研究，总结了一套运用防火墙强化网络安全策略的相关配置方案，其基本步骤如下:第一，在控制面板上实现对防火墙基础信息的设置，这是实现防火墙强化网络安全策略的首要前提和根本保证；第二，实现对静态网络地址转换和动态网络地址转换为主的网络地址转换的设置，动态地址转化和静态地址转换的功能作用各不相同，动态地址转换主要用于内部网络的对外访问用户的出口，而静态地址转换则用来帮

助实现停火区的服务区地址的映射的效果，两者要紧密相连，缺一不可，否则防火墙也达不到其应有的功效；第三，为了最大程度的实现防火墙的防护功能，需要将应用于整个网络系统的安全策略应用添加到防火墙的安全策略列表当中，实现各个安全策略之间良性的运作效果。

二、发挥防火墙网络安全屏障的作用

防火墙是一种位于内部网络与外部网络之间的网络安全系统。实质上是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过，从而保护内部网络免受非法用户的侵入，从而实现网络安全。各个企业或者是单位要积极发挥防火墙网络安全屏障的作用，提高内部网络的安全性，通过过滤外来网络的不安全服务，降低网络安全风险的系数，防火墙只接收外来信息在系统可以准确识别的情况下的相关应用协议。同时，也极大的保护了网路免遭受基于路由的攻击和破坏，防火墙在受到不明信息的攻击和骚扰时，能够自觉运用并且同时将该情况通知防火墙的管理人员。从以上角度分析，说防火墙是网络安全的屏障。为了使防火墙更好的发挥在网络安全的屏障作用，企业等相关部门要采取一定的措施：第一，增强职员防火墙在网络安全中应用的意识；第二，建立其防火墙配置和管理部门，包括对防火墙管理人员的培训和管理；第三，加大对防火墙技术的资金投入，不断升级防火墙技术等。通过以上策略，完善防火墙技术在网络安全中的硬软件基础设施，在防火墙技术的屏障保护下，实现网络系统的健康稳定安全和可持续运行。

三、运用防火墙技术监控网络存取和访问

防火墙能有效地记录Internet上的任何活动，当其它网络用户等访问经过防火墙时，防火墙就会发挥自身技术监控审计的功能，不仅能详细记录这些访问的时间和来源，而且还可以自动生成日志，可供防火墙管理人员的日后参考和追究。当发生不明来源的信息和访问攻击内部网络时，防火墙能根据风险程度自动报警，并能提供网络是否受到外部网络的攻击和监测的详细信息，为有关单位指证不法犯罪团伙利用网络实施违法行为提供了证据。除此之外，时时记录网络的使用情况为日后调整防火墙对内部网络的控制力度也是具有一定的参考价值，分析网络安全风险存在的系数，从而加紧防范，遏制网络风险的生根发芽。有关部门要注重运用防火墙技术监控网络存取和访问这一功能，首先就要确保防火墙技

术的正常运行，保证24小时不分时间和部门进行监测和存取记录，做到防患于未然。

四、发挥防火墙对信息数据库安全维护的补充作用

信息数据库是各个企业必备的存储区域，信息，数据库的建立，不仅为了实现资源的有效整理，还兼顾保证信息，数据的安全。防止内部信息的外泄是防火墙的主要优点之一，我们之所以在某种程度上将防火墙视为一种隔离技术，是因为防火墙技术是一种将内部网和公众访问网（如Internet）分开的方法。利用防火墙我们可以实现对内部网重点网段的隔离，限制和拒绝了一些非法信息的侵入，确保了整个网络系统不受局部敏感的网络安全问题的影响。我们要加大在防墙技术和数据信息库这两者之间实现有效结合的技术研究和开发，使防火墙技术能够确保单位的信息和安全，维护单位和个人的利益。

结语：

网络安全问题的频繁出现，提高了人们对于维护网络安全的意识。通过防火墙技术在网络中的运用，网络安全已经得到了极大的改善。但是，我们不能否认一个防护墙并不能百分之百的保障网络安全，相关部门需要长期不断的探索，在摸索中开发出更先进的防火墙技术，提高网络的安全性。

参考文献：

[1]马利,梁红杰.计算机网络安全中的防火墙技术应用研究[J].电脑知识与技术,2014,16:3743-3745.[2]张琳.防火墙技术在计算机网络安全中的应用研究[J].网友世界,2014,15:15.

第三篇：浅析计算机网络安全和防火墙技术论文

JIU JIANG UNIVERSITY

毕业论文

题目：浅析计算机网络安全和防火墙技术

院系：信息科学与技术学院专业：网络系统管理姓名：

年级：指导老师：

二零一一年十一月二十日

摘要

随着时代的发展，Internet日益普及，网络已经成为信息资源的海洋，给人们带来了极大的方便。但由于Internet是一个开放的，无控制机构的网络，经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失，系统瘫痪。因此，计算机网络系统安全问题必须放在首位。作为保护局域子网的一种有效手段，防火墙技术备受睐。

本文主要阐述了网络安全技术所要受到的各方面威胁以及自身存在的一些缺陷，所谓知己知彼，百战不殆。只有了解了网络安全存在的内忧外患，才能更好的改善网络安全技术，发展网络安全技术。然后主要阐述防火墙在网络安全中起到的巨大的作用，防火墙的优缺点及各种类型防火墙的使用和效果。

计算机网络技术的在飞速发展中，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性，网络信息的安全性变得日益重要，只有熟悉了各种对网络安全的威胁，熟悉各种保护网路安全的技术，我们才能更好的保护计算机和信息的安全。

关键字：计算机网络；网络安全；防范措施；防火墙技术

Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。

This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。

The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。

Key words: Computer network, Network security, The prevention measures, Firewall technology

III

摘要..................................................................II Abstract..............................................................III 引言....................................................................5 第一章网络安全概述.....................................................6 1.1计算机网络安全的含义...........................................................6 1.2网络信息安全的主要威胁.........................................................6 1.2.1自然威胁...................................................................6 1.2.2人为威胁—黑客攻击与计算机病毒.............................................6 1.3计算机网络中的安全缺陷及产生原因...............................................8 1.5影响计算机网络安全的因素.......................................................8 第二章计算机网络安全防范策略..........................................10 2.1防火墙技术....................................................................10 2.2 数据加密与用户授权访问控制技术..............................................12 2.3 入侵检测技术.................................................................13 2.4防病毒技术....................................................................13 2.4.1 对付病毒有以下四种基本方法.................................................14 2.5安全管理队伍的建设............................................................17 第三章防火墙技术........................................................18 3.1防火墙的定义..................................................................18 3.2防火墙的功能..................................................................18 3.2.1防火墙是网络安全的屏障......................................................18 3.2.2防火墙的种类................................................................18 3.3 防火墙的技术原理............................................................18 3.4 防火墙的应用.................................................................19 3.4.1个人防火墙的应用............................................................19 3.4.2防火墙技术在校园网中应用....................................................23 结论...................................................................25 致谢...................................................................26 参考文献...............................................................27 IV

引言

近年来，随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，计算机网络的安全性变得日益重要起来，由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素，致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击【1】。

为确保信息的安全与网络畅通，研究计算机网络的安全与防护措施已迫在眉捷，但网络安全问题至今仍没有能够引起足够的重视，更多的用户认为网络安全问题离自己尚远，这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑，而所有的问题都在向大家证明一个事实，大多数的黑客入侵事件都是由于未能正确安装防火墙而引发，所以防火墙技术应当引起我们的注意和重视。

本文主要研究网络安全的缺陷原由及网络安全技术的原理和其他技术，如防火墙技术对网络安全起到的不可忽视的影响。

第一章网络安全概述

1.1计算机网络安全的含义

计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。

从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

1.2网络信息安全的主要威胁

网络安全所面临的威胁来自很多方面，并且随着时问的变化而变化。这些威胁可以宏观地分为自然威胁和人为威胁。

1.2.1自然威胁

自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。这些无目的的事件，有时会直接威胁网络的安全，影响信息的存储媒体。威胁分别有：

1.自然灾害（如雷电、地震、火灾、水灾等），物理损坏（如硬盘损坏、设备使用寿命到期、外力破损等），设备故障（如停电断电、电磁干扰等），意外事故。

2.电磁泄漏（如侦听微机操作过程）。

3.操作失误（如删除文件，格式化硬盘，线路拆除等），意外疏漏（如系统掉电、死机等系统崩溃）

4.计算机系统机房环境的安全。

1.2.2人为威胁—黑客攻击与计算机病毒

人为威胁就是说对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点【2】，以便达到破坏、欺骗、窃取数据等目的，造成经济上和政治上不可估量的损失。网络安全的人为威胁主要分为以下几种：  网络缺陷

Intemet由于它的开放性迅速在全球范围内普及，但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要是考虑资源共享，基本没有考虑安全问题，缺乏相应的安全监督机制。

 黑客攻击

自1998年后，网上的黑客越来越多，也越来越猖獗；与此同时黑客技术逐渐被越来越多的人掌握现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，这是网络安全的主要威胁之一。 各种病毒

病毒时时刻刻威胁着整个互联网。像Nimda和CodeRed的爆发更是具有深远的影响，促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治，对病毒彻底防御的重要性毋庸置疑。 管理的欠缺及资源滥用

很多上了互联网的企业缺乏对于网络安全的认识，管理上存在很多漏洞，特别是国内的企业，只是提供了接入Internet的通道，对于网络上黑客的攻击缺乏基本的应对措施，同时企业内部普遍存在资源滥用现象，这是造成网络安全问题的根本原因。软件的漏洞和后门：随着CPU的频率越来越高，软件的规模越来越大，软件系统中的漏洞也不可避免的存在，强大如微软所开发的Windows也存在。各种各样的安全漏洞和“后门”，这是网络安全的主要威胁之一。 网络内部用户的误操作和恶意行为

对于来自网络内部的攻击，主流的网络安全产品防火墙基本无能为力，这类攻击及其误操作行为需要网络信息审计、IDS等主要针对内部网络安全的安全产品来抵御。

 网络资源滥用

网络有了安全保证和带宽管理，依然不能防止员工对网络资源的滥用。等行为极大地降低了员工的工作效率。管理层希望员工更加有效地使用互联网，尽量避免网络对工作带来负面影响。 信息泄漏

恶意、过失的不合理信息上传和发布，可能会造成敏感信息泄漏、有害信息扩散，危及社会、国家、体和个人利益。更有基于竞争需要，利用技术手段对目标机信息资源进行窃取。在众多人为威胁中来自用户和恶意软件即计算机病毒的非法侵入严重，计算机病毒是利用程序干扰破坏系统正常工作的一种手段，它的产生和蔓延给信息系统的可靠性和安全性带来严重的威胁和巨大的损失。 操作系统存在的安全问题

操作系统是作为一个支撑软件，使得你的程序或别的应用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性，系统开发设计的不周而留下的破绽，都给网络安全留下隐患。

 数据库存储的内容存在的安全问题

数据库管理系统大量的信息存储在各种各样的数据库里面，包括我们上网看到的所有信息，数据库主要考虑的是信息方便存储、利用和管理，但在安全方面考虑的比较少。例如：授权用户超出了访问权限进行数据的更改活动；非法用户绕过安全内核，窃取信息。对于数据库的安全而言，就是要保证数据的安全可靠和正确有效，即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取；数据库的完整性是防止数据库中存在不符合语义的数据。

1.3计算机网络中的安全缺陷及产生原因

①网络安全天生脆弱

计算机网络安全系统的脆弱性是伴随计算机网络一同产生的，换句话说，安全系统脆弱是计算机网络与生俱来的致命弱点。在网络建设中，网络特性决定了不可能无条件、无限制的提高其安全性能。要使网络更方便快捷，又要保证网络安全，这是一个非常棘手的“两难选择”，而网络安全只能在“两难选择”所允许的范围中寻找支撑点。可以说世界上任何一个计算机网络都不是绝对安全的

②黑客攻击后果严重

近几年，黑客猖狂肆虐，四面出击，使交通通讯网络中断，军事指挥系统失灵，电力供水系统瘫痪，银行金融系统混乱„„危及国家的政治、军事、经济的安全与稳定，在世界各国造成了难以估量的损失。

③网络杀手集团化

目前，网络杀手除了一般的黑客外，还有一批具有高精尖技术的“专业杀手”，更令人担忧的是出现了具有集团性质的“网络恐怖分子”甚至政府出面组织的“网络战”、“黑客战”，其规模化、专业性和破坏程度都使其他黑客望尘莫及。可以说，由政府组织的“网络战”、“黑客战”是当前网络安全的最大隐患。目前，美国正开展用无线电方式、卫星辐射式注入方式、网络方式把病毒植入敌方计算机主机或各类传感器、网桥中的研究以伺机破坏敌方的武器系统、指挥控制系统、通信系统等高敏感的网络系统。另外，为达到预定目的，对出售给潜在敌手的计算机芯片进行暗中修改，在CPU中设置“芯片陷阱”，可使美国通过因特网发布指令让敌方电脑停止工作，以起到“定时炸弹”的作用。

1.5影响计算机网络安全的因素

①网络资源的共享性

资源共享是计算机网络应用的主要目的，但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日益增长，外部服务请求不可能做到完全隔离，攻击者利用服务请求的机会很容易获取网络数据包。

②网络的开放性

网上的任何一个用户很方便访问互联网上的信息资源，从而很容易获取到一个企业、单位以及个人的敏感性信息。

③网络操作系统的漏洞

网络操作系统是网络协议和网络服务得以实现的最终载体之一，它不仅

负责网络硬件设备的接口封装，同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性，决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。

④网络系统设计的缺陷

网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下，还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。

⑤恶意攻击

就是人们常见的黑客攻击及网络病毒，这是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也是越来越多，影响越来越大。

第二章计算机网络安全防范策略

计算机网络安全从技术上来说，主要由防病毒、防火墙、入侵检测等多个安全组件组成，任何一个单独的组件都无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有：防火墙技术、数据加密技术、入侵检测技术、防病毒技术等，以下就此几项技术分别进行分析。2.1防火墙技术

防火墙

防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦着火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。在电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙（FireWall）成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件，FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户，则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说，就要不仅分析IP层的信息，而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。

为了让大家更好地使用防火墙，我们从反面列举4个有代表性的失败案例。例1：未制定完整的企业安全策略

网络环境：某中型企业购买了适合自己网络特点的防火墙，刚投入使用后，发现以前局域网中肆虐横行的蠕虫病毒不见了，企业网站遭受拒绝服务攻击的次数也大大减少了，为此，公司领导特意表扬了负责防火墙安装实施的信息部。

该企业网络环境如图2.1所示：

图2.1 该企业内部网络的核心交换机是带路由模块的三层交换机，出口通过路由器和ISP连接。内部网划分为5个VLAN，VLAN

1、VLAN 2和VLAN 3分配给不同的部门使用，不同的VLAN之间根据部门级别设置访问权限；VLAN 4分配给交换机出口地址和路由器使用；VLAN 5分配给公共服务器使用。在没有加入防火墙之前，各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后，给防火墙分配一个VLAN 4中的空闲IP地址，并把网关指向路由器；将VLAN 5接入到防火墙的一个网口上。这样，防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网，三者之间的通信受到防火墙安全规则的限制。

问题描述：防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用QQ聊天软件，于是没过多久就有员工自己拨号上网，导致感染了特洛依木马和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪。

问题分析：我们知道，防火墙作为一种保护网络安全的设备，必须部署在受保护网络的边界处，只有这样防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一，有很多出入口，那么只部署一台防火墙是不够的。在本案例中，防火墙投入使用后，没有禁止私自拨号上网行为，使得许多PC机通过电话线和Internet相连，导致网络边界不惟一，入侵者可以通过攻击这些PC机然后进一步攻击内部网络，从而成功地避开了防火墙。

解决办法：根据自己企业网的特点，制定一整套安全策略，并彻底地贯彻实施。比如说，制定一套安全管理规章制度，严禁员工私自拨号上网;同时封掉拨号上网的电话号码，并购买检测拨号上网的软件，这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外，考虑到企业员工的需求，可以在防火墙上添加按照时间段生效的安全规则，在非工作时间打开QQ使用的TCP/UDP端口，使得企业员工可以在工余时间使用QQ聊天软件。

例2：未考虑与其他安全产品的配合使用

问题描述：某公司购买了防火墙后，紧接着又购买了漏洞扫描和IDS（入侵检测系统）产品。当系统管理员利用IDS发现入侵行为后，必须每次都要手工调

整防火墙安全策略，使管理员工作量剧增，而且经常调整安全策略，也给整个网络带来不良影响。

问题分析：选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能，导致不能最大程度地发挥安全系统的作用。

解决办法：购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品，以及具体产品名称和型号，然后确定所要购买的防火墙是否有联动功能（即是否支持其他安全产品，尤其是IDS产品），支持的是哪些品牌和型号的产品，是否与已有的安全产品名称相符，如果不符，最好不要选用，而选择能同已有安全产品联动的防火墙。这样，当IDS发现入侵行为后，在通知管理员的同时发送消息给防火墙，由防火墙自动添加相关规则，把入侵者拒之门外。

例3：未经常维护升级防火墙问题描述：某政府机构购置防火墙后已安全运行一年多，由于该机构网络结构一直很稳定，没有什么变化，各种应用也运行稳定，因此管理员逐渐放松了对防火墙的管理，只要网络一直保持畅通即可，不再关心防火墙的规则是否需要调整，软件是否需要升级。而且由于该机构处于政府专网内，与Internet物理隔离，防火墙无法实现在线升级。因此该机构的防火墙软件版本一直还是购买时的旧版本，虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包，但从未手工升级过。在一次全球范围的蠕虫病毒迅速蔓延事件中，政府专网也受到蠕虫病毒的感染，该机构防火墙因为没有及时升级，无法抵御这种蠕虫病毒的攻击，造成整个机构的内部网大面积受感染，网络陷于瘫痪之中。

问题分析：安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具，必须不断地升级与更新才能应付不断发展的入侵手段，过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说，应当时刻留心厂家发布的升级包，及时给防火墙打上最新的补丁。

解决办法：及时维护防火墙，当本机构发生人员变动、网络调整和应用变化时，要及时调整防火墙的安全规则，及时升级防火墙。

从以上三个案例我们可以得出一些结论：防火墙只是保证安全的一种技术手段，要想真正实现安全，安全策略是核心问题。保护网络安全不仅仅是防火墙一种产品，只有将多种安全产品无缝地结合起来，充分利用它们各自的优点，才能最大限度地保证网络安全。而保护网络安全是动态的过程，防火墙需要积极地维护和升级。

2.2 数据加密与用户授权访问控制技术

与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击，虽无法避免，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以避免，实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换是对称密钥算法”。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信急，也可以用该密钥解密信息，DES是对称加密算法中最具代表性的算法。在公钥加密算法中，公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者。私钥是保密的，用于解密其接收的公钥加密过的信息【5】。典型的公钥加密算法~nRSA是目前使用比较广泛的加密算法

2.3 入侵检测技术

入侵检测系统(IntrusionDetectionSystem，IDS)是从多种计算机系统及网络系统中收集信息，再通过此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击：在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵【6】。

入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术的功能主要体现在以下方面： 1)分析用户及系统活动，查找非法用户和合法用户的越权操作； 2)检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞； 3)识别反映已知进攻的活动模式并向相关人上报警； 4)对异常行为模式的统计分析；

5)能够实时地对检测到的入侵行为进行反应； 6)评估重要系统和数据文件的完整性； 7)可以发现新的攻击模式；入侵检测方法

方法有很多，如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现

1.监视、分析用户及系统活动；

2.系统构造和弱点的审计；

3.识别反映已知进攻的活动模式并向相关人士报警；

4.异常行为模式的统计分析；

5.评估重要系统和数据文件的完整性；

6.操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

入侵检测技术同样存在问题

1.现有的入侵检测系统检测速度远小于网络传输速度, 导致误报率和漏报率

2.入侵检测产品和其它网络安全产品结合问题, 即期间的信息交换,共同协作发现攻击并阻击攻击

3.基于网络的入侵检测系统对加密的数据流及交换网络下的数据流不能进行检测, 并且其本身构建易受攻击

4.入侵检测系统体系结构问题

2.4 防病毒技术

计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和

破坏。实际上这是一种动态判定技术，即一种行为规则判定技术。也就是说，计算机病毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作，尤其是写操作。

预防病毒技术包括：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如，大家所熟悉的防病毒卡，其主要功能是对磁盘提供写保护，监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令，并且判断磁盘当前所处的状态：哪一个磁盘将要进行写操作，是否正在进行写操作，磁盘是否处于写保护等，来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前，对已知病毒的预防可以采用特征判定技术或静态判定技术，而对未知病毒的预防则是一种行为规则的判定技术，即动态判定技术。

一、计算机病毒的预防技术

计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术，即一种行为规则判定技术。也就是说，计算机病毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作，尤其是写操作。

二、检测病毒技术

计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种：一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地以保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段完整性已遭到破坏，感染上了病毒，从而检测到病毒的存在。

三、清除病毒技术

计算机病毒的清除技术是计算机病毒检测技术发展的必然结果，是计算机病毒传染程序的一种逆过程。目前，清除病毒大都是在某种病毒出现后，通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的，带有滞后性。而且由于计算机软件所要求的精确性，解毒软件有其局限性，对有些变种病毒的清除无能为力。目前市场上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV，及我国的LANClear和Kill89等产品均采用上述三种防病毒技术

2.4.1 对付病毒有以下四种基本方法

1、基于网络目录和文件安全性方法

以NetWare为例，在NetWare中，提供了目录和文件访问权限与属性两种安全性措施。“访问权限有：防问控制权、建立权、删除权、文件扫描权、修改权、读权、写权和管理权。属性有：需归档、拷贝禁止、删除禁止、仅执行、隐含、索引、清洗、读审记、写审记、只读、读写、改名禁止、可共享、系统和交易。属性优先于访问权限。根据用户对目录和文件的操作能力，分配不同的访问权限和属性。例如，对于公用目录中的系统文件和工具软件，应该只设置只读属性，系统程序所在的目录不要授予修改权和管理权。这样，病毒就无法对系统程序实施感染和寄生，其它用户也就不会感染病毒。

由此可见，网络上公用目录或共享目录的安全性措施，对于防止病毒在网上传播起到积极作用。至于网络用户的私人目录，由于其限于个别使用，病毒很难传播给其它用户。采用基于网络目录和文件安全性的方法对防止病毒起到了一定作用，但是这种方法毕竟是基于网络操作系统的安全性的设计，存在着局限性。现在市场上还没有一种能够完全抵御计算机病毒侵染的网络操作系统，从网络安全性措施角度来看，在网络上也是无法防止带毒文件的入侵。

2、采用工作站防病毒芯片

这种方法是将防病毒功能集成在一个芯片上，安装在网络工作站上，以便经常性地保护工作站及其通往服务器的路径。工作站是网络的门户，只要将这扇门户关好，就能有效地防止病毒的入侵。将工作站存取控制与病毒保护能力合二为一插在网卡的EPROM槽内，用户也可以免除许多繁琐的管理工作。

Trend Micro Devices公司解决的办法是基于网络上每个工作站都要求安装网络接口卡网络接口卡上有一个Boot Rom芯片，因为多数网卡的Boot Rom并没有充分利用，都会剩余一些使用空间，所以如果安全程序够小的话，就可以把它安装在网络的Boot Rom的剩余空间内，而不必另插一块芯片。

市场上Chipway防病毒芯片就是采用了这种网络防病毒技术。在工作站DOS引导过程中，ROMBIOS，Extended BIOS装入后，Partition Table装入之前，Chipway获得控制权，这样可以防止引导型病毒。Chipway的特点是：①不占主板插槽，避免了冲突；②遵循网络上国际标准，兼容性好；③具有他工作站防毒产品的优点。但目前，Chipway对防止网络上广为传播的文件型病毒能力还十分有限。

3、采用Station Lock网络防毒方法

Station Lock是著名防病毒产品开发商Trend Micro Devices公司的新一代网络防病毒产品。其防毒概念是建立在”病毒必须执行有限数量的程序之后，才会产生感染效力“的基础之上。例如，病毒是一个不具自我辨别能力的小程序，在病毒传染过程中至少必须拦截一个DOS中断请求，而且必须试图改变程序指针，以便让系统优先执行病毒程序从而获得系统控制权。引导型病毒必须使用系统的BIOS功能调用，文件型病毒必须将自己所有的程序代码拷贝到另一个系统执行文件时才能复制感染。混合型病毒和多形体病毒在实施感染之前也必须获取系统控制权，才能运行病毒体程序而实施感染。Station Lock就是通过这些特点，用间接方法观察，精确地预测病毒的攻击行为。其作用对象包括多型体病毒和未来型病毒。

Station Lock也能处理一些基本的网络安全性问题，例如存取控制、预放未授权拷贝以及在一个点对点网络环境下限制工作站资源相互存取等。Station Lock能根据病毒活动辩别可能的病毒攻击意图，并在它造成任

何破坏之前予以拦截。由于Station Lock是在启动系统开始之前，就接管了工作站上的硬件和软件，所以病毒攻击Station Lock是很困难的。Station Lock是目前网络环境下防治病毒比较有效的方法。

4、基于服务器的防毒技术

服务器是网络的核心，一旦服务器被病毒感染，就会使服务器无法启动，整个网络陷于瘫痪，造成灾难性后果。目前基于服务器的防治病毒方法大都采用了NLM(NetWare Load Module)技术以NLM模块方式进行程序设计，以服务器为基础，提供实时扫描病毒能力。市场上的产品如Central Point公司的AntiVirus for Networks，Intel公司的LANdesk Virus Protect以及南京威尔德电脑公司的Lanclear for NetWare等都是采用了以服务器为基础的防病毒技术。这些产品的目的都是保护服务器，使服务器不被感染。这样，病毒也就失去了传播途径，因而从根本上杜绝了病毒在网上蔓延。

(1)对服务器中所有文件扫描

这一方法是对服务器的所有文件进行集中检查看其是否带毒，若有带毒文件，则提供给网络管理员几种处理方法。允许用户清除病毒，或删除带毒文件，或更改带毒文件名成为不可执行文件名并隔离到一个特定的病毒文件目录中。

(2)实时在线扫描

网络防病毒技术必须保持全天24小时监控网络是否有带毒文件进入服务器。为了保证病毒监测实时性，通常采用多线索的设计方法，让检测程序作为一个随时可以激活的功能模块，且在NetWare运行环境中，不影响其它线索的运行。这往往是设计一个NLM最重要的部分，即多线索的调度。实时在线扫描能非常及时地追踪病毒的活动，及时告之网络管理员和工作站用户。

(3)扫描选择

该功能允许网络管理员定期检查服务器中是否带毒，例如可按每月、每星期、每天集中扫描一下网络服务器，这样就使网络用户拥有极大的操作选择余地。

(4)自动报告功能及病毒存档

当网络用户将带毒文件有意或无意地拷入服务器中时，网络防病毒系统必须立即通知网络管理员，或涉嫌病毒的使用者，同时自己记入病毒档案。病毒档案一般包括：病毒类型、病毒名称、带毒文件所存的目录及工作站标识等，另外，记录对病毒文件处理方法。

(5)工作站扫描

基于服务器的防病毒软件不能保护本地工作站的硬盘，有效的方法是在服务器上安装防毒软件，同时在上网的工作站内存中调入一个常驻扫毒程序，实时检测在工作站中运行的程序。如LANdesk Virus Protect采用Lpscan，而LANClear for NetWare采用world程序等。

(6)对用户开放的病毒特征接口

大家知道病毒及其变种层出不穷。据有关资料报道，截止1994年2月25日，全世界流传的MSDOS病毒达2700多种。如何使防病毒系统能对付不断出现的新病毒？这要求开发商能够使自己的产品具有自动升级功能，也就是真正交给网络

用户防治病毒的一把金钥匙。其典型的做法是开放病毒特征数据库。用户随时将遇到的带毒文件，经过病毒特征分析程序，自动将病毒特征加入特征库，以随时增强抗毒能力。当然这一工作难度极大，需要不懈的努力。在上述四种网络防毒技术中，Station Lock是一种针对病毒行为的防治方法，StationLock目前已能提供Intel以太网络接口卡支持，而且未来还将支持各种普及型的以太令牌环(Token-Ring)网络接口卡。基于服务器的防治病毒方法，表现在可以集中式扫毒，能实现实时扫描功能，软件升级方便。特别是当连网的机器很多时，利用这种方法比为每台工作站都安装防病毒产品要节省成本。其代表性的产品有LANdesk、LANClear for NetWare等。

2.5 安全管理队伍的建设

在计算机网络系统中，绝对的安全是不存在的，制定健全的安全管理体制是计算机网络安全的重要保证，只有通过网络管理人员与使用人员的共同努力，运用一切可以使用的工具和技术，尽一切可能去控制、减小一切非法的行为，尽可能地把不安全的因素降到最低。同时，要不断地加强计算机信息网络的安全规范化管理力度，大力加强安全技术建设，强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略，为了更好地进行安全管理工作，应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力，才能使计算机网络的安全可靠得到保障，从而使广大网络用户的利益得到保障。

第三章防火墙技术

3.1 防火墙的定义

防火墙是指设置在不同网络或网络安全域之间信息的唯一出入口,能根据网络的安全政策控制(允许拒绝监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。

Internet防火墙是一个或一组系统，它能增强机构内部网络的安全性，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取，防火墙系统还决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的服务，以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但是，防火墙系统一旦被攻击突破或迂回绕过，就不能提供任何保护了。3.2防火墙的功能

3.2.1 防火墙是网络安全的屏障

防火墙(作为阻塞点,控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。

防火墙可以强化网络安全策略,通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令加密身份认证审计等)配置在防火墙上，对网络存取和访问进行监控审计:所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据,当发生可疑动作时，防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。防止内部信息的外泄，通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离,而限制了局部重点或敏感网络安全问题对全局网络造成的影响。3.2.2防火墙的种类

防火墙技术可根据防范的方式和侧重点的不同,总体来讲可分为二大类:分组过滤,应用代理。

分组过滤(Packetfiltering);作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号,协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。

应用代理(ApplicationProxy):也叫应用网关(ApplicationGateway), 它作用在应用层,其特点是完全 “ 阻隔 ” 了网络通信流通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,实际中的应用网关通常由专用工作站实现【8】。

3.3 防火墙的技术原理

目前，防火墙系统的工作原理因实现技术不同，大致可分为三种：（1）包过滤技术

包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则，通

过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉，由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术，其最大优点就是价格便宜，实现逻辑简单便于安装和使用。

缺点：1）过滤规则难以配置和测试。2）包过滤只访问网络层和传输层的信息，访问信息有限，对网络更高协议层的信息无理解能力。3）对一些协议，如UDP和RPC难以有效的过滤。

（2）代理技术

代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”，两边的网络应用可以通过这个检查站相互通信，但是它们之间不能越过它直接通信。这个“中间检查站”就是代理服务器，它运行在两个网络之间，对网络之间的每一个请求进行检查。当代理服务器接收到用户请求后，会检查用户请求合法性。若合法，则把请求转发到真实的服务器上，并将答复再转发给用户。代理服务器是针对某种应用服务而写的，工作在应用层。

优点：它将内部用户和外界隔离开来，使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比，代理技术是一种更安全的技术【9】。

缺点：在应用支持方面存在不足，执行速度较慢。（3）状态监视技术这是第三代防火墙技术，集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接，不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过己知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。

状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。此外，它还可监测RPC和UDP端口信息，而包过滤和代理都不支持此类端口。这样，通过对各层进行监测，状态监视器实现网络安全的目的。目前，多使用状态监测防火墙，它对用户透明，在OSI最高层上加密数据，而无需修改客户端程序，也无需对每个需在防火墙上运行的服务额外增加一个代理。

要想建立一个真正行之有效的安全的计算机网络，仅使用防火墙还是不够，在实际的应用中，防火墙常与其它安全措施，比如加密技术、防病毒技术等综合应用，才起到防御的最大化的效果。3.4 防火墙的应用

3.4.1 个人防火墙的应用瑞星个人防火墙的应用 1）安装

第一步启动安装程序。

当把瑞星个人防火墙下载版安装程序保存到您电脑中的指定目录后，找到该目录，双击运行安装程序，就可以进行瑞星个人防火墙下载版的安装了。

第二步完成安装后，如图3.1：

图3.1 第三步输入产品序列号和用户ID。

启动个人防火墙，当出现如图3.2下所示的窗口后，在相应位置输入您购买获得的产品序列号和用户ID，点击“确定”，通过验证后则会提示“您的瑞星个人防火墙现在可以正常使用”。

图3.2 常见问题：不输入产品序列号和用户ID，产品将无法升级，防火墙保护功能将全部失效，您的计算机将无法抵御黑客攻击。

2）升级

第一步网络配置：

•打开防火墙主程序

•在菜单中依次选择【设置】/【设置网络】，打开【网络设置】窗口,如图3.3

图3.3 1。设定网络连接方式，如果设定“通过代理服务器访问网络”，还需要输入代理服务器IP、端口、身份验证信息。

2。您可以选中【使用安全升级模式】，确保升级期间阻止新的网络连接 3。点击【确定】按钮完成设置

小提示：

1。如果您已经可以浏览网页，说明网络设置已经配置好了，这里直接使用默认设置即可。

2。如果您不使用拨号方式上网，将不会看到界面中【使用拨号网络连接】的选项以及相关设置。

3。请确保此步设置正确，否则可能无法完成智能升级。

第二步：智能升级

完成网络配置后，进行智能升级的操作方法：

方法一：点击主界面右侧的【智能升级】按钮，图3.4示:

图3.4 方法二：在菜单中依次选择【操作】/【智能升级】

方法三：右键点击防火墙托盘图标，在弹出菜单中选择【启动智能升级】 3)启动瑞星个人防火墙下载版程序

启动瑞星个人防火墙软件主程序有三种方法：

方法一：进入【开始】/【所有程序】/【瑞星个人防火墙】，选择【瑞星个人防火墙】即可启动。

方法二：用鼠标双击桌面上的【瑞星个人防火墙】快捷图标即可启动。方法三：用鼠标单击任务栏“快速启动”上的【瑞星个人防火墙】快捷图标

即可启动。

成功启动程序后的界面如下图3.5所示:

图3.5 主要界面元素

1、菜单栏：

用于进行菜单操作的窗口，包括【操作】、【设置】、【帮助】三个菜单。如图3.6示:

图3.6

2、操作按钮：

位于主界面右侧，包括【启动/停止保护】、【连接/断开网络】、【智能升级】、【查看日志】。如图3。7示:

图3.7 功能：停止防火墙的保护功能，执行此功能后，您计算机将不再受瑞星防火墙的保护已处于停止保护状态时，此按钮将变为【启用保护】；点击将重新启用防火墙的保护功能，您也可以通过菜单项【操作】/【停止保护】来执行此功能；将您的计算机完全与网络断开，就如同拔掉网线或是关掉Modem一样。其他人都不能访问您的计算机，但是您也不能再访问网络。这是在遇到频繁攻击时最为有效的应对方法；已经断开网络后，此项将变为【连接网络】，点击将恢复网络连接；您也可以通过菜单项【操作】/【断开网络】来执行此功能；启动智能升级程序对防火墙进行升级更新；您也可以通过菜单项【操作】/【智能升级】来执行此功能；启动日志显示程序；您也可能通过【操作】/【显示日志】来执行此

功能。

3、标签页：

位于主界面上部，分【工作状态】、【系统状态】、【游戏保护】、【安全资讯】、【漏洞扫描】、【启动选项】六个标签。如图3。8示:

图3。8

4、安全级别：

位于主界面右下角，拖动滑块到对应的安全级别，修改立即生效。

5、当前版本及更新日期：

位于主界面右上角，显示防火墙当前版本及更新日期。

6、规则设置

配置防火墙的过滤规则（如图3。9），包括：黑名单：在黑名单中的计算机禁止与本机通讯

白名单：在白名单中的计算机对本地具有完全的访问权限

端口开关：允许或禁止端口中的通讯，可简单开关本机与远程的端口可信区：通过可信区的设置，可以把局域网和互联网区分对待 IP规则：在IP层过滤的规则

访问规则：本机中访问网络的程序的过滤规则

图3。9 3.4.2 防火墙技术在校园网中应用

一、安装防火墙

防火墙技术在校园网安全建设中得到广泛的应用。由于防火墙是一种按某种规则对专网和互联网,或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离),从而阻断不希望发生的网络间通信的系统部署防火墙技术[10],构筑内外网之间的安全屏障,可以有效地将内部网与外部网隔离开来,保护校园网络不受未经授权的第三方侵入。

二、校园网防火墙系统的配置

假定校园网通过Cisco路由器与INTERNET相连。校园内的IP地址范围是确

定的,且有明确的闭和边界,它有一个C类的IP地址,有DNS、Email、WWW、FTP等服务器,可采用以下存取控制策略。

1)对进入CERNET主干网的存取控制

2)对网络中心资源主机的访问控制,网络中心的DNS、Email、FTP、WWW等服务器是重要的资源,要特别的保护,可对网络中心所在子网禁止,DNS,Email,WWW,FTP以外的一切服务。

3)对校外非法网址的访问,一般情况,一些传播非法信息的站点主要在校外,而这些站点的域名可能是已知的。为防止IP地址欺骗和盗用需为对网络内部人员访问Internet进行一定限制在连接内部网络的端口接收数据时进行IP地址和以太网地址检查,盗用IP地址的数据包将被丢弃,并记录有关信息;再连接 Internet 端接收数据时,如从外部网络收到一段假冒内部IP地址发出的报文,也应丢弃,并记录有关信息。防止IP地址被盗用的彻底解决办法是:代理服务器防火墙和捆绑IP地址和以太网地址,对非法访问的动态禁止一旦获得某个IP地址的访问是非法的,可立即更改路由器中的存取控制表,从而禁止其对外的非法访问。首先应在路由器和校园网的以太口预设控制组102,然后过滤掉来自非法地址的所有IP包。

结论

计算机网络的安全问题越来越受到人们的重视，一个安全的计算机网络系统的保护不仅和系统管理员的系统安全知识有关，而且和每个使用者的安全操作等都有关系。网络安全是动态的，新的Internet黑客站点、病毒与安全技术每日剧增，世界上不存在绝对安全的网络系统，随着计算机网络技术的进一步发展，网络安全防护技术也必然随着网络应用的发展而不断发展。

防火墙不能完全解决网络安全的全部问题，如不能防范内部攻击等，因此还需要考虑其他技术的和非技术的因素，如身份鉴别，信息加密术，提高网络管理人员的安全意识等，总之，防火墙是网络安全的第一道重要的安全屏障，如何提高防火墙的防护能力并保证系统的高速高效运行，不断提高网络安全水平，这将是一个随着网络技术的发展而不断研究的课题。

致谢

本文是在指导老师胡楠老师的悉心教导下完成的。写论文的这段时间，老师渊博的学识，严谨的治学太多和细心指导，以及他给我的支持和鼓励使我终身难忘，我所取得的每一点成就都与导师的热心关怀和精心指导是分不开的，值此论文完成之际，特别向导师致以衷心的感谢各崇高的敬意。

本课题的完成过程中，本人还得到了同学们及其他各方面的支持和帮助，特别感谢致谢在一起愉快的度过大学生活的各位室友，正是由于你们的帮助和支持，我才能克服一个一个的困难和疑惑，直至本文的顺利完成。

在论文即将完成之际，我的心情无法平静，从开始进入课题到论文的顺利完成，有多少可敬的师长、同学、朋友给了我无言的帮助，在这里请接受我诚挚的谢意!我还要感谢培养我长大含辛茹苦的父母，谢谢你们!最后，我要向百忙之中抽时间对本文进行审阅，评议和参与本人论文答辩的各位老师表示感谢。

参考文献

[1]张斌,黑客与反黑客,北京邮电大学出版社,Pag56-75 [2]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag267-283 [3]肖新峰,宋强,王立新等,TCP/IP协议与网络管理,北京清华大学出版社,Pag83-99 [4]李军,防火墙上台阶,信息网络安全2004年07期,Pag28—29 [5]陈爱民,计算机的安全与保密,北京电子工业出版社,pag35-42 [6]蒋建春,马恒太,任党恩等,网络安全入侵检测研究综述软件学报

[7]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag70-104 [8]老聃,安全网关—网络边界防护的利器,信息安全与通信保密,2004年08期75 [9]陈平,何庆等主编,电脑2003合订本，西南师范大学出版社,2004年1月 [10] 张颖,刘军,王磊,计算机网络安全的现状及解决方法[N]电脑商情报 ,2007年1月

第四篇：浅析计算机网络安全和防火墙技术论文

娄底职业技术学院计算机网络专业

摘要

关键字：计算机网络；网络安全；防范措施；防火墙技术

娄底职业技术学院计算机网络专业

Key words: Computer network, Network security, The prevention measures, Firewall technology

II 浅析计算机网络安全和防火墙技术

摘要................................................I Abstract.............................................II 引言.................................................1 第一章网络安全概述.................................2 1.1 计算机网络安全的含义..........................2 1.2 网络信息安全的主要威胁........................2 1.2.1 自然威胁..................................2 1.2.2 人为威胁—黑客攻击与计算机病毒............3 1.3 计算机网络中的安全缺陷及产生原因..............4 1.4 影响计算机网络安全的因素......................5 第二章计算机网络安全防范策略.......................6 2.1 防火墙技术....................................6 2.2 数据加密与用户授权访问控制技术................9 2.3 入侵检测技术.................................10 2.4 防病毒技术...................................11 2.5 安全管理队伍的建设...........................11 第三章防火墙技术..................................12 3.1 防火墙的定义.................................12 3.2 防火墙的功能.................................12 3.2.1 防火墙是网络安全的屏障...................12 3.2.2 防火墙的种类.............................13 3.3 防火墙的技术原理.............................13 3.4 防火墙的应用.................................15 3.4.1 个人防火墙的应用.........................15 3.4.2 防火墙技术在校园网中应用.................20 结论................................................22

III 娄底职业技术学院计算机网络专业

致谢................................................23 参考文献.............................................24 IV 浅析计算机网络安全和防火墙技术

引言

本文主要研究网络安全的缺陷原由及网络安全技术的原理和其他技术，如防火墙技术对网络安全起到的不可忽视的影响。

娄底职业技术学院计算机网络专业

第一章网络安全概述

1.1 计算机网络安全的含义

1.2 网络信息安全的主要威胁

网络安全所面临的威胁来自很多方面，并且随着时问的变化而变化。这些威胁可以宏观地分为自然威胁和人为威胁。

1.2.1 自然威胁

自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。这些无目的的事件，有时会直接威胁网络的安全，影响信息的存储媒体。

浅析计算机网络安全和防火墙技术

1.2.2 人为威胁—黑客攻击与计算机病毒

人为威胁就是说对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点【2】，以便达到破坏、欺骗、窃取数据等目的，造成经济上和政治上不可估量的损失。网络安全的人为威胁主要分为以下几种：

 网络缺陷

Intemet由于它的开放性迅速在全球范围内普及，但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要是考虑资源共享，基本没有考虑安全问题，缺乏相应的安全监督机制。 黑客攻击

自1998年后，网上的黑客越来越多，也越来越猖獗；与此同时黑客技术逐渐被越来越多的人掌握现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，这是网络安全的主要威胁之一。

 各种病毒

病毒时时刻刻威胁着整个互联网。像Nimda和CodeRed的爆发更是具有深远的影响，促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治，对病毒彻底防御的重要性毋庸置疑。

 管理的欠缺及资源滥用

 网络内部用户的误操作和恶意行为

对于来自网络内部的攻击，主流的网络安全产品防火墙基本无能为力，这类攻击及其误操作行为需要网络信息 3 娄底职业技术学院计算机网络专业

审计、IDS等主要针对内部网络安全的安全产品来抵御。 网络资源滥用

1.3 计算机网络中的安全缺陷及产生原因

网络安全缺陷产生的原因主要有：

第一TCP/IP的脆弱性。因特网的基石是TCP/IP协议【3】，不幸的是该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。

第二，网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。

第三，易被窃听。由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。

第四，缺乏安全意识。虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。浅析计算机网络安全和防火墙技术

1.4 影响计算机网络安全的因素

①网络资源的共享性。资源共享是计算机网络应用的主要目的，但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日益增长，外部服务请求不可能做到完全隔离，攻击者利用服务请求的机会很容易获取网络数据包。

②网络的开放性。网上的任何一个用户很方便访问互联网上的信息资源，从而很容易获取到一个企业、单位以及个人的敏感性信息。

③网络操作系统的漏洞。网络操作系统是网络协议和网络服务得以实现的最终载体之一，它不仅负责网络硬件设备的接口封装，同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性，决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。

④网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下，还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。

⑤恶意攻击。就是人们常见的黑客攻击及网络病毒，这是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也是越来越多，影响越来越大。娄底职业技术学院计算机网络专业

第二章计算机网络安全防范策略

计算机网络安全从技术上来说，主要由防病毒、防火墙、入侵检测等多个安全组件组成，任何一个单独的组件都无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有：防火墙技术、数据加密技术、入侵检测技术、防病毒技术等，以下就此几项技术分别进行分析。

2.1 防火墙技术

防火墙网络安全的屏障，配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后，系统的安全除了考虑计算机病毒、系统的健壮性之外，更主要的是防止非法用户的入侵，而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分，可实现内部网重点网段的隔离【4】，从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。

为了让大家更好地使用防火墙，我们从反面列举4个有代表性的失败案例。

例1：未制定完整的企业安全策略浅析计算机网络安全和防火墙技术

该企业网络环境如图2.1所示：

图2.1 该企业内部网络的核心交换机是带路由模块的三层交换机，出口通过路由器和ISP连接。内部网划分为5个VLAN，VLAN

问题描述：防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用QQ聊天软件，于是没过多久就有员工自己拨号上网，导致感染了特洛依木马娄底职业技术学院计算机网络专业

和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪。

例2：未考虑与其他安全产品的配合使用问题描述：某公司购买了防火墙后，紧接着又购买了漏洞扫描和IDS（入侵检测系统）产品。当系统管理员利用IDS发现入侵行为后，必须每次都要手工调整防火墙安全策略，使管理员工作量剧增，而且经常调整安全策略，也给整个网络带来不良影响。

问题分析：选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能，导致不能最大程度地发挥安全系统的作用。

时发送消息给防火墙，由防火墙自动添加相关规则，把入侵者拒之门外。

解决办法：及时维护防火墙，当本机构发生人员变动、网络调整和应用变化时，要及时调整防火墙的安全规则，及时升级防火墙。

2.2

数据加密与用户授权访问控制技术

与防火墙相比，数据加密与用户授权访问控制技术比娄底职业技术学院计算机网络专业

较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击，虽无法避免，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以避免，实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换是对称密钥算法”。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信急，也可以用该密钥解密信息，DES是对称加密算法中最具代表性的算法。在公钥加密算法中，公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者。私钥是保密的，用于解密其接收的公钥加密过的信息【5】。典型的公钥加密算法~nRSA是目前使用比较广泛的加密算法。

2.3 入侵检测技术

入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术的功能主要体现在以下方面：

1)分析用户及系统活动，查找非法用户和合法用户的越权操作；

2)检测系统配置的正确性和安全漏洞，并提示管理员修浅析计算机网络安全和防火墙技术

3)4)5)6)7)补漏洞；

识别反映已知进攻的活动模式并向相关人上报警；对异常行为模式的统计分析；

能够实时地对检测到的入侵行为进行反应；评估重要系统和数据文件的完整性；可以发现新的攻击模式；

2.4 防病毒技术

随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台Pc上，即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源传染，网络防病毒软件会立刻检测到并加以删除【7】。

2.5 安全管理队伍的建设

第三章防火墙技术

3.1 防火墙的定义

3.2 防火墙的功能

3.2.1 防火墙是网络安全的屏障

部信息的外泄，通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离,而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

3.2.2 防火墙的种类

防火墙技术可根据防范的方式和侧重点的不同,总体来讲可分为二大类:分组过滤,应用代理。

3.3 防火墙的技术原理

目前，防火墙系统的工作原理因实现技术不同，大致可分为三种：

（1）包过滤技术

包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则，通过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉，由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术，其最大优点就是价格便宜，实现逻辑简单便于安装和使用。

缺点：1）过滤规则难以配置和测试。2）包过滤只访问网络层和传输层的信息，访问信息有限，对网络更高协议层的信息无理解能力。3）对一些协议，如UDP和RPC难以有效的过滤。娄底职业技术学院计算机网络专业

（2）代理技术

要想建立一个真正行之有效的安全的计算机网络，仅使用防火墙还是不够，在实际的应用中，防火墙常与其它安全措施，比如加密技术、防病毒技术等综合应用，才起到防御的最大化的效果。浅析计算机网络安全和防火墙技术

3.4 防火墙的应用

3.4.1 个人防火墙的应用

瑞星个人防火墙的应用 1）安装

第一步启动安装程序。

当把瑞星个人防火墙下载版安装程序保存到您电脑中的指定目录后，找到该目录，双击运行安装程序，就可以进行瑞星个人防火墙下载版的安装了。

第二步完成安装后，如图3.1：

图3.1 第三步输入产品序列号和用户ID。

娄底职业技术学院计算机网络专业

图3.2 常见问题：不输入产品序列号和用户ID，产品将无法升级，防火墙保护功能将全部失效，您的计算机将无法抵御黑客攻击。

2）升级

第一步网络配置：

•打开防火墙主程序 •在菜单中依次选择【设置】/【设置网络】，打开【网络设置】窗口,如图3.3 图3.3 1。设定网络连接方式，如果设定“通过代理服务器访问网络”，还需要输入代理服务器IP、端口、身份验证信息。

2。您可以选中【使用安全升级模式】，确保升级期间阻止新的网络连接浅析计算机网络安全和防火墙技术

3。点击【确定】按钮完成设置

小提示：

1。如果您已经可以浏览网页，说明网络设置已经配置好了，这里直接使用默认设置即可。

2。如果您不使用拨号方式上网，将不会看到界面中【使用拨号网络连接】的选项以及相关设置。

3。请确保此步设置正确，否则可能无法完成智能升级。

第二步：智能升级

完成网络配置后，进行智能升级的操作方法：

方法一：点击主界面右侧的【智能升级】按钮，图3.4示:

图3.4 方法二：在菜单中依次选择【操作】/【智能升级】方法三：右键点击防火墙托盘图标，在弹出菜单中选择【启动智能升级】

3)启动瑞星个人防火墙下载版程序

启动瑞星个人防火墙软件主程序有三种方法：

方法一：进入【开始】/【所有程序】/【瑞星个人防火墙】，选择【瑞星个人防火墙】即可启动。

方法二：用鼠标双击桌面上的【瑞星个人防火墙】快捷图标即可启动。

方法三：用鼠标单击任务栏“快速启动”上的【瑞星娄底职业技术学院计算机网络专业

个人防火墙】快捷图标即可启动。

成功启动程序后的界面如下图3.5所示:

图3.5 主要界面元素

1、菜单栏：

用于进行菜单操作的窗口，包括【操作】、【设置】、【帮助】三个菜单。如图3.6示:

图3.6

2、操作按钮：

位于主界面右侧，包括【启动/停止保护】、【连接/断开网络】、【智能升级】、【查看日志】。如图3。7示:

图3.7 功能：停止防火墙的保护功能，执行此功能后，您计浅析计算机网络安全和防火墙技术

算机将不再受瑞星防火墙的保护已处于停止保护状态时，此按钮将变为【启用保护】；点击将重新启用防火墙的保护功能，您也可以通过菜单项【操作】/【停止保护】来执行此功能；将您的计算机完全与网络断开，就如同拔掉网线或是关掉Modem一样。其他人都不能访问您的计算机，但是您也不能再访问网络。这是在遇到频繁攻击时最为有效的应对方法；已经断开网络后，此项将变为【连接网络】，点击将恢复网络连接；您也可以通过菜单项【操作】/【断开网络】来执行此功能；启动智能升级程序对防火墙进行升级更新；您也可以通过菜单项【操作】/【智能升级】来执行此功能；启动日志显示程序；您也可能通过【操作】/【显示日志】来执行此功能。

3、标签页：

位于主界面上部，分【工作状态】、【系统状态】、【游戏保护】、【安全资讯】、【漏洞扫描】、【启动选项】六个标签。如图3。8示:

图3。8

4、安全级别：位于主界面右下角，拖动滑块到对应的安全级别，修改立即生效。

5、当前版本及更新日期：

位于主界面右上角，显示防火墙当前版本及更新日期。

6、规则设置

配置防火墙的过滤规则（如图3。9），包括：黑名单：在黑名单中的计算机禁止与本机通讯白名单：在白名单中的计算机对本地具有完全的访问权限

端口开关：允许或禁止端口中的通讯，可简单开关本机与远程的端口娄底职业技术学院计算机网络专业

可信区：通过可信区的设置，可以把局域网和互联网区分对待

IP规则：在IP层过滤的规则

访问规则：本机中访问网络的程序的过滤规则

图3。9 3.4.2 防火墙技术在校园网中应用

一、安装防火墙

二、校园网防火墙系统的配置

假定校园网通过Cisco路由器与INTERNET相连。校园内的IP地址范围是确定的,且有明确的闭和边界,它有一个C类的IP地址,有DNS、Email、WWW、FTP等服务器,可采用以下存取控制策略。

1)对进入CERNET主干网的存取控制

2)对网络中心资源主机的访问控制,网络中心的DNS、Email、FTP、WWW等服务器是重要的资源,要特别的保护,可对网络中心所在子网禁止,DNS,Email,WWW,FTP 浅析计算机网络安全和防火墙技术

以外的一切服务。

结论

致谢

娄底职业技术学院计算机网络专业

参考文献

[9]陈平,何庆等主编,电脑2003合订本，西南师范大学出版社,2004年1月

[10] 张颖,刘军,王磊,计算机网络安全的现状及解决方法[N]电脑商情报 ,2007年1月

第五篇：计算机网络安全防火墙技术毕业论文

计算机网络安全防火墙技术毕业论文

防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止 Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:

1)限定人们从一个特定的控制点进入;

2)限定人们从一个特定的点离开;

3)防止侵入者接近你的其他防御设施;

4)有效地阻止破坏者对你的计算机系统进行破坏。

在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet。

从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3.防火墙技术与产品发展的回顾

防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:●过滤进、出网络的数据;

●管理进、出网络的访问行为;

●封堵某些禁止行为;

●记录通过防火墙的信息内容和活动;

●对网络攻击进行检测和告警。

为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。

3.1 基于路由器的防火墙

由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:

1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤;

2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;

3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。

●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。

●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。

●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。

●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。

可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。

3.2 用户化的防火墙工具套

为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。

作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:

1)将过滤功能从路由器中独立出来,并加上审计和告警功能;

2)针对用户需求,提供模块化的软件包;

3)软件可以通过网络发送,用户可以自己动手构造防火墙;

4)与第一代防火墙相比,安全性提高了,价格也降低了。

由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:

配置和维护过程复杂、费时;

对用户的技术要求高;

全软件实现,使用中出现差错的情况很多。

3.3 建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:

1)是批量上市的专用防火墙产品;

2)包括分组过滤或者借用路由器的分组过滤功能;

3)装有专用的代理系统,监控所有协议的数据和指令;

4)保护用户编程空间和用户可配置内核参数的设置;

5)安全性和速度大大提高。

第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:

1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;

2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;

3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;

4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;

5)透明性好,易于使用。

计算机网络安全中的防火墙技术应用研究

第一篇：计算机网络安全中的防火墙技术应用研究

第二篇：防火墙技术在网络安全的应用研究

第三篇：浅析计算机网络安全和防火墙技术论文

第四篇：浅析计算机网络安全和防火墙技术论文

第五篇：计算机网络安全防火墙技术毕业论文

相关范文推荐

aj-dphba计算机网络安全防火墙技术毕业论文

防火墙技术在计算机网络安全中的运用分析

计算机防火墙与应用——网络安全技术.论文（精选合集）

计算机防火墙技术毕业论文

防火墙在网络安全中作用

浅谈计算机网络安全防范技术

浅谈计算机网络安全防范技术

警专防火墙技术在网络安全中的应用