计算机辅助技术对机械设计制造的影响和促进论文[推荐阅读]

时间:2019-11-17 10:29:06下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《计算机辅助技术对机械设计制造的影响和促进论文》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《计算机辅助技术对机械设计制造的影响和促进论文》。

第一篇:计算机辅助技术对机械设计制造的影响和促进论文

【摘 要】随着我国计算机技术的进步,计算机辅助设计技术广泛应用到机械设计制造过程当中,一方面能够改进机械设计的效率,另一方面还能够提高设计的质量。本文介绍介绍机械设计制造的内容,并探讨计算机辅助设计在机械设计制造中应用的优势及其应用的环节,最后通过实例展开具体的分析。

【关键词】计算机辅助技术;机械设计制造;影响;效率;质量

计算机辅助设计技术(CAD)指的是借助计算机以及图形设备辅助设计人员设计工作的技术,并过多年的发展,已经广泛应用在各个行业领域,并且在机械设计制造当中的应用有显著的优势[1]。随着信息技术的发展,计算机辅助设计日益成熟并且应用在机械设计制造环节,计算机辅助设计以及机械设计制造之间的结合也成为一个热点研究内容。

1机械设计制造的概述

机械设计制造包括机械设计以及机械制造两个环节。机械制造指的是生产制造机械设备,例如机床、测量仪表以及测量仪器等。机械设计指的是在使用机械设备的条件下,对机械设备工作的原理、构造部件以及设备结构加以分析与优化,最后将含有技术的文件加以描述,反应机械制造的整体过程[2]。随着我国经济社会的持续发展,机械设计制造环节也取得长足的发展进步。根据当前机械设计制造的具体情况,正面临着自动化数控的发展趋势,其中最可以体现出机械设计制造环节自动化发展趋势的就是虚拟化发展。所谓虚拟化指的是通过使用计算机技术来模拟机械设计制造整个过程,从而改进机械设计制造的效率[3]。

2计算机辅助设计在机械设计制造中的应用优势

2.1有利于提高机械设计制造的工作效率

在机械设计制造环节使用计算机辅助技术,能够将复杂几何图形转化为简单图形,并且还能够将实现复杂运算的简单化,从而简化设计人员的工作,进而提高机械设计制造的工作效率。通过应用计算机辅助技术,还可以实现机械重组功能,实现新零件开发[4]。除此之外,通过计算机辅助技术有利于修改机械设计。这是因为通过应用该技术,一方面能够在旧环境下实现新的设计,另一方面还能够根据已有零件位置实现新零件设计,显著改善机械设计便利性,也能够为修改错误零件提供便利。

2.2有利于提高机械制造产品的质量

机械设计制造当中使用计算机辅助设计,能够显著改善机械设计制造便利性,还能够及时完善错误零件,从而显著改进机械零件的品质质量,保证机械设计制造产品质量[5]。除此之外,随着我国技术水平的进步,机械设计制造也持续发展。通过运用计算机辅助设计技术,可以进一步实现设计水平的改进。因为机械设计制造水平好坏会直接影响到机械制造产品质量,所以通过运用计算机辅助设计技术有利于确保机械制造产品质量安全。

3计算机辅助设计在机械设计制造中的应用

3.1计算机辅助设计在机械设计制造中的应用

第一,图形符号的设计使用。机械设计人员在设计的过程当中,通常情况下会大量使用各种图形以及符号,这是导致机械设计日益复杂的一个重要原因。如果使用计算机辅助技术,能够让机械设计人员将需要使用的各种图形以及符号编排到一起,然后着手开始设计工作。这样一来就可以显著减少设计所需要的时间,同时也有利于机械设计人员顺利完成设计。除此之外,通过在机械设计制造的过程当中运用计算机辅助技术,还可以避免机械设计人员设计时出现零件不够统一的问题。第二,绘图。绘图对机械设计制造来说有重要的价值。通过运用计算机辅助技术,一方面显著缩短绘图的时间,从而改进工作效率,另一方面也能够改进绘图质量。第三,三维造型。设计人员在设计的过程当中,尤其是使用实体造型方式完成设计的时候,如果能够合理运用计算机辅助技术,就能够为机械设计人员的设计提供便利,并且还可以具体呈现出来。这样一来可以大幅度改进机械设计人员的设计效率。除此之外,机械设计人员如果在设计过程当中遇到问题,也能够借助于计算机辅助技术进行分析与解释。

3.2实例分析

在此以汽车覆盖件模具的设计为例,具体分析计算机辅助技术在机械设计制造领域的应用。在汽车的设计制造环节,汽车覆盖件模具设计有着非常重要的影响。可以说汽车覆盖件模具的设计质量优劣会直接影响到汽车整体的设计与制造。机械设计人员在设计汽车覆盖件模具的时候,容易遇到这个问题,也就是设计得到的实物造型往往同工艺人员具体施工的过程发生违背。一旦发生这方面的问题,不仅容易导致返工从而提高汽车覆盖件模具设计的成本,还会显著延长设计周期,甚至延误产品生产的时间,从而严重削弱生产企业的市场竞争力,甚至影响企业的长期发展。所以汽车覆盖件模具的生产企业要想实现持久稳定的发展,就需要采取针对性的应对措施,从而有效避免出现这方面的问题。在这一过程当中,通过运用计算机辅助技术,可以有效解决这方面的问题。具体的应用步骤方面,汽车覆盖件模具的设计过程主要分成模具设计以及图纸制作这个两大部分。其中对汽车覆盖件模具设计环节,需要在分析市场需求的基础上进行;在图纸制作环节,需要首先分析模具的结构以及热度等问题。在这两个环节通过使用计算机辅助技术,可以对设计当中发生的错误进行及时的修改,从而有效避免后期返工问题,显著改进设计工作的效率。下面以汽车的车门设计为例,具体分析计算机辅助设计在汽车覆盖件模具的设计环节进行应用的常规步骤。首先是设计汽车零部件,并且借助于使用计算机辅助技术当中的相关软件建立同汽车车门的几何模型。其次是使用特定测量方式,对于构建的几何模型做好分析,完成相关数据的采集与处理。最后是借助于计算机辅助技术来实现模型的重建,并且控制模具数控加工,从而几块汽车车门的设计以及加工速度。

4结语

根据上述对计算机辅助技术对机械设计制造影响的分析,能够看出通过应用计算机辅助技术一方面能够改进机械设计制造水平,另一方面还能够提高生产效率,并且保障机械制造产品质量水平。所以在机械设计制造过程当中,应当大力推广应用计算机辅助技术,尤其是我国目前正处于现代化建设的关键时机,提高机械产品设计制造质量与效率有着重要的现实价值。

参考文献:

[1]马军.计算机辅助设计技术在机械设计中的应用探讨[J].煤炭技术,2011,11(5):249-251.[2]潘桂根,敖四江,徐琳.计算机辅助技术在农业机械设计中的应用[J].南方农机,2011,12(6):43-44.[3]傅方波.计算机辅助设计技术在机械设计中的应用解析[J].科技传播,2014,10(6):212-210.[4]刘锐锋.探讨计算机辅助技术与机械设计制造的结合[J].化工管理,2015,7(11):194-195.[5]卢淑群,邓景泉.计算机辅助技术与机械制图融合的教学改革探索与实践[J].中国教育技术装备,2013,33(12):129-130.

第二篇:计算机辅助技术对机械设计制造的影响

计算机辅助技术

对机械设计制造的影响和促进

1.计算机辅助技术的发展

上世纪50年代CAD技术处于被动式的图形处理阶段。60年代计算机图形学、交互技术、分层存储符号的数据结构等新思想被首次提出,从而为计算机辅助技术的发展和应用打下了基础。60年代中后期出现了许多商品化的CAD设备。1970年美国Applicon公司第一个推出完整的CAD系统,出现了面向中小企业的计算机辅助产品商品化系统。到了80年代,计算机辅助技术迅猛发展,从大中企业向小企业扩展;从发达国家向发展中国家扩展;从用于产品设计发展到用于工程设计和工艺设计。90年代,计算机辅助技术进入了开放式、标准化、集成化和智能化的发展时期,图形接口、图形功能日趋标准化。随着科技的发展,计算机辅助技术对机械设计制造水平的提高起到了重要作用。

2.计算机辅助技术对汽车工业的影响和促进

汽车工业最能代表一个国家工业的发展水平,而汽车工业也是计算机辅助技术的大用户。接下来以汽车工业为例,介绍计算机辅助技术对机械设计制造的影响和促进。

美国福特汽车公司在计算机辅助技术方面处于领先地位。早在80年代初,福特公司就着手计算机辅助系统的规划,建成了以工作站为主体的环形网络系统;1985年已经有一半以上的产品设计工作使用图形终端实现;1986年新开发的TAURUS和SABLE轿车,大约70%的外钣金件使用计算机辅助技术;90年代初全面实行产品开发的计算机辅助软件应用率可达100%。福特公司1990年工作站已达2000台,以FGS工作站(约占70%)和CV工作台(约占18%)为主,其应用软件主要为自行开发的PDGS和CAD/CAM。1993年以后,福特汽车公司提出C3P(CAD/CAE/CAM/PDM)概念,并决定今后将采用I-DEAS软件作为其主流核心软件。德国各大汽车公司普遍采用CATIA作为其计算机辅助系统的主导软件。1994年,德国大众集团决定用CATIA和Pro/Engineer作为其将来开发新车型的主导CAD系统。法国雷诺汽车公司应用Euclid软件作为计算机辅助技术的主导软件,目前已有95%的设计工作量用该软件完成,并开发出很多适合汽车工业需求的模块,如用于干涉检查的Megavision,用于钣金成形分析的OPTRIS等。日本三菱汽车公司1960年从冲模的NC数控加工着手,以CAD/CAE/CAM为动力,对从设计到制作的各项工程踏踏实实地进行了改革,至今,已形成了从车型款式设计到车身组装的新车型开发的完整的CAD/CAE/CAM系统。

我国汽车制造业的计算机辅助技术研发工作始于70年代,发展迅速,已取得了良好的经经济效益。少数大型企业,如一汽、二汽等,已建立起比较完整的计算机辅助系统,其应用水平也接近国际先进水平。

3.计算机辅助技术在我国的应用

我国开展计算机辅助技术应用工作在上世界70年代,并不算晚;通过引进,不少企业的软、硬件条件与国外相比也相差不大。但是,国内的计算机辅助技术应用与国外先进水平相比存在较大的差距。由于采用计算机辅助技术投资大,有较大风险,效益回报有一定的滞后期,所以在原有经济体制下难以推广。在过去,由于条块分割,重复引进,企业相互之间缺乏必要的交流和协作,影响了计算机辅助技术效益的发挥。另外,人才培养的不足也影响了在我国的发展,福特等企业之所以计算机辅助技术应用得好,是因为得益于几十年来一直大力开展计算机辅助技术应用而积淀下来的宝贵经验以及培养出了一支高水平的技术队伍。现在国内既懂计算机软、硬件,又有丰富专业知识的人才奇缺,而这恰是企业最为宝贵的财富。

上世纪80年代,国家七五期间,国家支持对24个重点机械产品进行了计算机辅助技术的开发研制工作,为我国计算机辅助技术的发展奠定了一定的基础。1986年,国家科委实施的863计划,促进了计算机辅助技术的研究和发展。到了“九五”期间,国家科委又颁发了《1995~2000年我国CAD/CAM应用工程发展纲要》,将推广、应用计算机辅助技术作为改造传统企业的重要战略措施。特别是机械行业,自1995年以来,相继开展了“CAD应用1215工程”和“CAD应用1550工程”,前者是树立12家“甩图板”的CAD应用典型企业,后者是培育50~100家计算机辅助技术应用的示范企业,扶持500家,继而带动5000家企业的计划。通过国家这些重大举措,我国计算机辅助技术的研发与应用取得了较大进步,但由于一些企业经济实力不足,技术人才短缺,计算机辅助技术不能够完全应用到生产实践中去。

CAD方面,应用主要是二维绘图、三维造型、装配造型、有限元分析和优化设计等,其中二维绘图技术在企业应用情况较好,这一方面得益于国家的大力推广,另一方面是由于二维绘图技术解决的是所有企业的共性问题。三维造型软件由于早期没有推出微机版本,需要在工作站环境中工作,投资较大,所以采用的企业相对少一些,应用情况好的也相对少一些;尽管目前早已推出比较成熟稳定的微机版本,但大多数企业并未认识到其优势所在,仍然固守于二维绘图;基于三维

造型技术的装配造型也因此很少应用。有限元分析和优化设计则普及率更低,原因是这些系统都进行了一定的理论假设,所以其结果的可靠性稍低,应用难度也较大,只用于某些必须的场合。CAM方面,企业普遍应用的只是数控程序编制,华中数控系统、南京SKY系统、日本FUNUC系统、德国SIEMENS系统在国内企业中应用已经非常广泛,而广义的CAM只有少数大型企业采用,在中小企业中极少应用。中小企业采用的多是单一功能的计算机辅助软件,难以达到计算机辅助的功能集成。尽管有些企业配备了高水平的集成软件,也花巨资引进了配套设备,但由于缺少高素质的技术人员,配备的软件和设备没有得到有效利用,只利用了极少一部分功能。

3.结论

计算机辅助技术给机械行业带来了巨大变革,使传统的机械设计与制造发生了质的飞跃,在全球范围内受到普遍关注和重视,在这一时代背景下,我国机械行业要想跟上时代的步伐,必须把握好计算机辅助技术的正确发展方向,更加深入的应用计算机辅助技术。在国家举措的推动下,我国机械制造企业要重视计算机辅助技术的推广应用,把计算机辅助技术视作企业发展的关键,不惜代价投入资金、引进人才。科研单位要紧跟世界潮流,跟踪国际动态,并结合我国国情及规范,面向国内生产单位,开发出具有我国特色的计算机辅助产品。不断加大科技创新力度,使我国的计算机辅助产品更加方便实用,成为世界先进产品。

第三篇:钣金加工计算机辅助工艺系统_先进制造技术_钣金设计_1933

钣金加工计算机辅助工艺系统_先进制造技术_钣金设计

钣金CAPP 研究的目的及意义

钣金零件多为设备或部件的面板,所以钣金零件的加工质量将直接关系到产品设备的外观和质量,为了保证钣金零件的质量就必须采用高质量、高效率的加工工艺、方法和加工设备。随着信息工业的迅速发展,钣金零件的设计、加工也在进行深刻变革。目前,国内钣金加工设备己大量使用数控冲床、数控剪床及数控折弯等先进设备。

但作为连接钣金零件设计与制造的钣金工艺设计在很大程度上还要依靠工艺设计人员手工完成。如钣金车间工艺人员在进行钣金件工艺规划时主要的工作是计算钣金件的展开件外型尺寸根据展开尺寸确定下料尺寸。而运用Solidworks 软件的展开命令可精确得到展开的外型尺寸无需计算。由于个人经验的局限性,手工劳动的多样性和低效率,很难实现钣金工艺过程的优化和标准化,很难满足新产品更新换代周期日益缩短的要求。这无疑会导致设计工作量大、重复劳动多、加工周期长、成本高、工艺设计一致性难以保证等问题,不能适应现代先进制造技术发展的需求。同时,再加上人们对于钣金零件塑性变形的机理尚未完全掌握,工艺设计人员在进行钣金工艺设计时,往往只能根据自身的经验或一些公认经验公式进行,因此钣金工艺设计对于工艺设计人员的经验具有较强的依赖性。而这些知识经验的积累则是一个漫长的过程,这些因素导致钣金工艺设计水平却远远落后于其设计和制造水平,成为制约钣金生产效率提高的“瓶颈”。

如何实现钣金工艺设计的智能化、标准化和实用化,成为我们要解决的迫切任务。

钣金件计算机辅助工艺解决的问题

(1)钣金件模型的建立及信息描述。钣金件模型的建立及信息描述是后续工作的前提和基础。

(2)钣金件模型信息的提取。当打开某一钣金模型时能从模型中得到工艺过程所需的信息,如:零件名称、材料规格、材料代号、零件图号等。

(3)钣金工艺知识库的建立。涉及到加工工艺流程信息、加工设备信息、量夹具信息、加工操作人员信息等等。

(4)各系统模块的数据交换问题。

(5)工艺结果的输出。自动生成既能面向普通设备又能面向数控设备的钣金件工艺卡片。

钣金件计算机辅助工艺研究内容(1)应用Solidworks软件对钣金件进行几何造型。Solidworks软件具有针对钣金设计的模块,包括钣金要素生成、折弯、EXCEL 表修改、折弯和非折弯特征选择、钣金零件二维展开等功能。

(2)利用Microsoft Office 中的Access 软件建立钣金工艺数据库。

(3)利用VB 软件进行软件开发。设计钣金CAPP 软件各模块,在VB 环境下创建、读取、修改数据库。

(4)VB 编程实现信息提取。

(5)工艺结果的输出。工艺结果输出部分的设计主要是工艺流程的生成及工艺卡片文档的形成输出两部分。根据钣金加工的特点将钣金零件的一般加工工艺流程进行整理并建成工艺数据库,同时建立一个包含所有零件信息和工艺信息的Word 模板。再用VB 建立模块把提取的零件信息和库里的工艺信息进行汇总组合形成一个完整的钣金件加工工艺规程并再次存入数据库。VB 编程把生成好的工艺流程及零件信息输出到Word 模板中形成工艺卡片的电子文档。钣金件计算机辅助工艺总体设计

(1)利用Solidworks 软件对钣金件进行建模。

(2)利用VB 编程完成对Solidworks 钣金模型的信息提取。

(3)利用Access 建立钣金零件信息库和钣金加工工艺信息库。

(4)利用VB 初建钣金CAPP 系统软件各界面并完成和数据库的连接。

(5)利用Microsoft Office Word 2003 建立钣金件加工工序模板。

(6)VB 编程完成数据库、提取的Solidworks 钣金模型信息、钣金件加工工艺Word 模板的集成输出钣金加工工艺工序卡片,如图1所示。

图1 钣金CAPP 总体设计流程图

原型系统的开发流程

5.1 钣金加工工艺的生成模块设计

5.1.1 工艺窗口主界面的设计

此界面是整个钣金CAPP 系统各模块的集成主界面,包括:钣金模型打开模块、钣金零件信息提取模块、钣金工艺生成模块、钣金工艺输出模块以及钣金信息数据库维护模块。窗口界面有:菜单控制部分、工艺流程显示部分、工序图显示部分、各命令控制部分。

5.1.2 生成钣金工艺窗口的设计

此窗口包括钣金零件信息填写部分、工序信息填写部分、数据库连接部分、工艺过程的显示与编辑部分。

信息的填写一部分由钣金信息提取过程传递而来(如:零件名称、材料代号、材料规格、课题代号、零件图号),一部分由从根据车间实际情况建好的钣金数据库调用而来(如:工作令号、工艺员、审查员、定额员、计划员、调度员、检验员及工序、工艺流程、工艺装备、操作人等),还有一部分由键盘填写而成(如数量、定额工时、实用工时等)。为了实现工艺编制过程的可编辑性,在生成工艺窗口添加控件(如:ListView 控件、Commend 控件)以显示工艺流程、修改和删除编辑错误的工艺流程。

5.2 工序卡片的输出模块设计 本课题的研究中要求自动生成钣金零件加工工艺过程工序卡,工序卡包括:零件信息、加工工艺信息、工序图三部分。基于VB6.0 可以通过调用Word 模板实现工序卡的生成和输出。以Microsoft Word 的形式输出电子文档。

5.2.1 建立工艺卡片Word 模板

工艺卡片Word 模板包括零件信息部分、工序信息部分、工序图部分。绘制表格并填写需替代的项,如工作令号、课题代号、零件图号、材料代号、材料规格等,并为工艺过程和工序图留出表格单元。

5.2.2 VB6.0 中OLE的设置

在VB6.0 中设置OLE,工序卡的生成过程通过Application和ADO共同实现。首先确保与Word 的对象链接,不然将会链接不到Word 对象而不能实现对Word 模板的调用。

5.2.3 模板中信息的添加

用VB 编程实现零件信息、工艺信息在Word 模板中查找、替换,用相应零件信息、工艺信息如:日期、工作令号、零件图号、材料代号、课题代号、零件名称、材料规格、数量、工作人员等替换模板中相应位置的初始值,此部分的VB 程序代码可以由对Microsoft Word进行宏录制得到。

综述

钣金件计算机辅助工艺系统是以产品(零件)工艺数据为中心,集工艺设计与信息管理为一体的人机交互式应用框架系统。钣金件计算机辅助工艺系统有助于钣金工艺设计的智能化、标准化和实用化的实现。

第四篇:浅析计算机网络安全和防火墙技术 论文

JIU JIANG UNIVERSITY

毕 业 论 文

题 目: 浅析计算机网络安全和防火墙技术

院 系: 信息科学与技术学院 专 业: 网络系统管理 姓 名:

年 级: 指导老师 :

二零一一年十一月二十日

摘 要

随着时代的发展,Internet日益普及,网络已经成为信息资源的海洋,给人们带来了极大的方便。但由于Internet是一个开放的,无控制机构的网络,经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失,系统瘫痪。因此,计算机网络系统安全问题必须放在首位。作为保护局域子网的一种有效手段,防火墙技术备受睐。

本文主要阐述了网络安全技术所要受到的各方面威胁以及自身存在的一些缺陷,所谓知己知彼,百战不殆。只有了解了网络安全存在的内忧外患,才能更好的改善网络安全技术,发展网络安全技术。然后主要阐述防火墙在网络安全中起到的巨大的作用,防火墙的优缺点及各种类型防火墙的使用和效果。

计算机网络技术的在飞速发展中,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要,只有熟悉了各种对网络安全的威胁,熟悉各种保护网路安全的技术,我们才能更好的保护计算机和信息的安全。

关键字:计算机网络;网络安全;防范措施;防火墙技术

II

Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。

This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。

The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。

Key words: Computer network, Network security, The prevention measures, Firewall technology

III

目录

摘 要..................................................................II Abstract..............................................................III 引言....................................................................5 第一章 网络安全概述.....................................................6 1.1计算机网络安全的含义...........................................................6 1.2网络信息安全的主要威胁.........................................................6 1.2.1自然威胁...................................................................6 1.2.2人为威胁—黑客攻击与计算机病毒.............................................6 1.3计算机网络中的安全缺陷及产生原因...............................................8 1.5影响计算机网络安全的因素.......................................................8 第二章 计算机网络安全防范策略..........................................10 2.1防火墙技术....................................................................10 2.2 数据加密与用户授权访问控制技术..............................................12 2.3 入侵检测技术.................................................................13 2.4防病毒技术....................................................................13 2.4.1 对付病毒有以下四种基本方法.................................................14 2.5安全管理队伍的建设............................................................17 第三章防火墙技术........................................................18 3.1防火墙的定义..................................................................18 3.2防火墙的功能..................................................................18 3.2.1防火墙是网络安全的屏障......................................................18 3.2.2防火墙的种类................................................................18 3.3 防火墙的技术原理............................................................18 3.4 防火墙的应用.................................................................19 3.4.1个人防火墙的应用............................................................19 3.4.2防火墙技术在校园网中应用....................................................23 结论...................................................................25 致谢...................................................................26 参考文献...............................................................27 IV

引言

近年来,随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,计算机网络的安全性变得日益重要起来,由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击【1】。

为确保信息的安全与网络畅通,研究计算机网络的安全与防护措施已迫在眉捷,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑,而所有的问题都在向大家证明一个事实,大多数的黑客入侵事件都是由于未能正确安装防火墙而引发,所以防火墙技术应当引起我们的注意和重视。

本文主要研究网络安全的缺陷原由及网络安全技术的原理和其他技术,如防火墙技术对网络安全起到的不可忽视的影响。

第一章 网络安全概述

1.1计算机网络安全的含义

计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。

从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

1.2网络信息安全的主要威胁

网络安全所面临的威胁来自很多方面,并且随着时问的变化而变化。这些威胁可以宏观地分为自然威胁和人为威胁。

1.2.1自然威胁

自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。这些无目的的事件,有时会直接威胁网络的安全,影响信息的存储媒体。威胁分别有:

1.自然灾害(如雷电、地震、火灾、水灾等),物理损坏(如硬盘损坏、设备使用寿命到期、外力破损等),设备故障(如停电断电、电磁干扰等),意外事故。

2.电磁泄漏(如侦听微机操作过程)。

3.操作失误(如删除文件,格式化硬盘,线路拆除等),意外疏漏(如系统掉电、死机等系统崩溃)

4.计算机系统机房环境的安全。

1.2.2人为威胁—黑客攻击与计算机病毒

人为威胁就是说对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点【2】,以便达到破坏、欺骗、窃取数据等目的,造成经济上和政治上不可估量的损失。网络安全的人为威胁主要分为以下几种:  网络缺陷

Intemet由于它的开放性迅速在全球范围内普及,但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要是考虑资源共享,基本没有考虑安全问题,缺乏相应的安全监督机制。

 黑客攻击

自1998年后,网上的黑客越来越多,也越来越猖獗;与此同时黑客技术逐渐被越来越多的人掌握现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,这是网络安全的主要威胁之一。 各种病毒

病毒时时刻刻威胁着整个互联网。像Nimda和CodeRed的爆发更是具有深远的影响,促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治,对病毒彻底防御的重要性毋庸置疑。 管理的欠缺及资源滥用

很多上了互联网的企业缺乏对于网络安全的认识,管理上存在很多漏洞,特别是国内的企业,只是提供了接入Internet的通道,对于网络上黑客的攻击缺乏基本的应对措施,同时企业内部普遍存在资源滥用现象,这是造成网络安全问题的根本原因。软件的漏洞和后门:随着CPU的频率越来越高,软件的规模越来越大,软件系统中的漏洞也不可避免的存在,强大如微软所开发的Windows也存在。各种各样的安全漏洞和“后门”,这是网络安全的主要威胁之一。 网络内部用户的误操作和恶意行为

对于来自网络内部的攻击,主流的网络安全产品防火墙基本无能为力,这类攻击及其误操作行为需要网络信息审计、IDS等主要针对内部网络安全的安全产品来抵御。

 网络资源滥用

网络有了安全保证和带宽管理,依然不能防止员工对网络资源的滥用。等行为极大地降低了员工的工作效率。管理层希望员工更加有效地使用互联网,尽量避免网络对工作带来负面影响。 信息泄漏

恶意、过失的不合理信息上传和发布,可能会造成敏感信息泄漏、有害信息扩散,危及社会、国家、体和个人利益。更有基于竞争需要,利用技术手段对目标机信息资源进行窃取。在众多人为威胁中来自用户和恶意软件即计算机病毒的非法侵入严重,计算机病毒是利用程序干扰破坏系统正常工作的一种手段,它的产生和蔓延给信息系统的可靠性和安全性带来严重的威胁和巨大的损失。 操作系统存在的安全问题

操作系统是作为一个支撑软件,使得你的程序或别的应用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。

 数据库存储的内容存在的安全问题

数据库管理系统大量的信息存储在各种各样的数据库里面,包括我们上网看到的所有信息,数据库主要考虑的是信息方便存储、利用和管理,但在安全方面考虑的比较少。例如:授权用户超出了访问权限进行数据的更改活动;非法用户绕过安全内核,窃取信息。对于数据库的安全而言,就是要保证数据的安全可靠和正确有效,即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取;数据库的完整性是防止数据库中存在不符合语义的数据。

1.3计算机网络中的安全缺陷及产生原因

①网络安全天生脆弱

计算机网络安全系统的脆弱性是伴随计算机网络一同产生的,换句话说,安全系统脆弱是计算机网络与生俱来的致命弱点。在网络建设中,网络特性决定了不可能无条件、无限制的提高其安全性能。要使网络更方便快捷,又要保证网络安全,这是一个非常棘手的“两难选择”,而网络安全只能在“两难选择”所允许的范围中寻找支撑点。可以说世界上任何一个计算机网络都不是绝对安全的

②黑客攻击后果严重

近几年,黑客猖狂肆虐,四面出击,使交通通讯网络中断,军事指挥系统失灵,电力供水系统瘫痪,银行金融系统混乱„„危及国家的政治、军事、经济的安全与稳定,在世界各国造成了难以估量的损失。

③网络杀手集团化

目前,网络杀手除了一般的黑客外,还有一批具有高精尖技术的“专业杀手”,更令人担忧的是出现了具有集团性质的“网络恐怖分子”甚至政府出面组织的“网络战”、“黑客战”,其规模化、专业性和破坏程度都使其他黑客望尘莫及。可以说,由政府组织的“网络战”、“黑客战”是当前网络安全的最大隐患。目前,美国正开展用无线电方式、卫星辐射式注入方式、网络方式把病毒植入敌方计算机主机或各类传感器、网桥中的研究以伺机破坏敌方的武器系统、指挥控制系统、通信系统等高敏感的网络系统。另外,为达到预定目的,对出售给潜在敌手的计算机芯片进行暗中修改,在CPU中设置“芯片陷阱”,可使美国通过因特网发布指令让敌方电脑停止工作,以起到“定时炸弹”的作用。

1.5影响计算机网络安全的因素

①网络资源的共享性

资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日益增长,外部服务请求不可能做到完全隔离,攻击者利用服务请求的机会很容易获取网络数据包。

②网络的开放性

网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的敏感性信息。

③网络操作系统的漏洞

网络操作系统是网络协议和网络服务得以实现的最终载体之一,它不仅

负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。

④网络系统设计的缺陷

网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。

⑤恶意攻击

就是人们常见的黑客攻击及网络病毒,这是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也是越来越多,影响越来越大。

第二章 计算机网络安全防范策略

计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,任何一个单独的组件都无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等,以下就此几项技术分别进行分析。2.1防火墙技术

防火墙

防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可 以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。

防火墙(FireWall)成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件,FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全,在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器 上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。

为了让大家更好地使用防火墙,我们从反面列举4个有代表性的失败案例。例1:未制定完整的企业安全策略

网络环境:某中型企业购买了适合自己网络特点的防火墙,刚投入使用后,发现以前局域网中肆虐横行的蠕虫病毒不见了,企业网站遭受拒绝服务攻击的次数也大大减少了,为此,公司领导特意表扬了负责防火墙安装实施的信息部。

该企业网络环境如图2.1所示:

图2.1 该企业内部网络的核心交换机是带路由模块的三层交换机,出口通过路由器和ISP连接。内部网划分为5个VLAN,VLAN

1、VLAN 2和VLAN 3分配给不同的部门使用,不同的VLAN之间根据部门级别设置访问权限;VLAN 4分配给交换机出口地址和路由器使用;VLAN 5分配给公共服务器使用。在没有加入防火墙之前,各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后,给防火墙分配一个VLAN 4中的空闲IP地址,并把网关指向路由器;将VLAN 5接入到防火墙的一个网口上。这样,防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网,三者之间的通信受到防火墙安全规则的限制。

问题描述:防火墙投入运行后,实施了一套较为严格的安全规则,导致公司员工无法使用QQ聊天软件,于是没过多久就有员工自己拨号上网,导致感染了特洛依木马和蠕虫等病毒,并立刻在公司内部局域网中传播开来,造成内部网大面积瘫痪。

问题分析:我们知道,防火墙作为一种保护网络安全的设备,必须部署在受保护网络的边界处,只有这样防火墙才能控制所有出入网络的数据通信,达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一,有很多出入口,那么只部署一台防火墙是不够的。在本案例中,防火墙投入使用后,没有禁止私自拨号上网行为,使得许多PC机通过电话线和Internet相连,导致网络边界不惟一,入侵者可以通过攻击这些PC机然后进一步攻击内部网络,从而成功地避开了防火墙。

解决办法:根据自己企业网的特点,制定一整套安全策略,并彻底地贯彻实施。比如说,制定一套安全管理规章制度,严禁员工私自拨号上网;同时封掉拨号上网的电话号码,并购买检测拨号上网的软件,这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外,考虑到企业员工的需求,可以在防火墙上添加按照时间段生效的安全规则,在非工作时间打开QQ使用的TCP/UDP端口,使得企业员工可以在工余时间使用QQ聊天软件。

例2:未考虑与其他安全产品的配合使用

问题描述:某公司购买了防火墙后,紧接着又购买了漏洞扫描和IDS(入侵检测系统)产品。当系统管理员利用IDS发现入侵行为后,必须每次都要手工调

整防火墙安全策略,使管理员工作量剧增,而且经常调整安全策略,也给整个网络带来不良影响。

问题分析:选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能,导致不能最大程度地发挥安全系统的作用。

解决办法:购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品,以及具体产品名称和型号,然后确定所要购买的防火墙是否有联动功能(即是否支持其他安全产品,尤其是IDS产品),支持的是哪些品牌和型号的产品,是否与已有的安全产品名称相符,如果不符,最好不要选用,而选择能同已有安全产品联动的防火墙。这样,当IDS发现入侵行为后,在通知管理员的同时发送消息给防火墙,由防火墙自动添加相关规则,把入侵者拒之门外。

例3:未经常维护升级防火墙 问题描述:某政府机构购置防火墙后已安全运行一年多,由于该机构网络结构一直很稳定,没有什么变化,各种应用也运行稳定,因此管理员逐渐放松了对防火墙的管理,只要网络一直保持畅通即可,不再关心防火墙的规则是否需要调整,软件是否需要升级。而且由于该机构处于政府专网内,与Internet物理隔离,防火墙无法实现在线升级。因此该机构的防火墙软件版本一直还是购买时的旧版本,虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包,但从未手工升级过。在一次全球范围的蠕虫病毒迅速蔓延事件中,政府专网也受到蠕虫病毒的感染,该机构防火墙因为没有及时升级,无法抵御这种蠕虫病毒的攻击,造成整个机构的内部网大面积受感染,网络陷于瘫痪之中。

问题分析:安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具,必须不断地升级与更新才能应付不断发展的入侵手段,过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说,应当时刻留心厂家发布的升级包,及时给防火墙打上最新的补丁。

解决办法:及时维护防火墙,当本机构发生人员变动、网络调整和应用变化时,要及时调整防火墙的安全规则,及时升级防火墙。

从以上三个案例我们可以得出一些结论:防火墙只是保证安全的一种技术手段,要想真正实现安全,安全策略是核心问题。保护网络安全不仅仅是防火墙一种产品,只有将多种安全产品无缝地结合起来,充分利用它们各自的优点,才能最大限度地保证网络安全。而保护网络安全是动态的过程,防火墙需要积极地维护和升级。

2.2 数据加密与用户授权访问控制技术

与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息【5】。典型的公钥加密算法~nRSA是目前使用比较广泛的加密算法

2.3 入侵检测技术

入侵检测系统(IntrusionDetectionSystem,IDS)是从多种计算机系统及网络系统中收集信息,再通过此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击:在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵【6】。

入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术的功能主要体现在以下方面: 1)分析用户及系统活动,查找非法用户和合法用户的越权操作; 2)检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞; 3)识别反映已知进攻的活动模式并向相关人上报警; 4)对异常行为模式的统计分析;

5)能够实时地对检测到的入侵行为进行反应; 6)评估重要系统和数据文件的完整性; 7)可以发现新的攻击模式; 入侵检测方法

方法有很多,如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现

1.监视、分析用户及系统活动;

2.系统构造和弱点的审计;

3.识别反映已知进攻的活动模式并向相关人士报警;

4.异常行为模式的统计分析;

5.评估重要系统和数据文件的完整性;

6.操作系统的审计跟踪管理,并识别用户违反安全策略的行为。

入侵检测技术同样存在问题

1.现有的入侵检测系统检测速度远小于网络传输速度, 导致误报率和漏报率

2.入侵检测产品和其它网络安全产品结合问题, 即期间的信息交换,共同协作发现攻击并阻击攻击

3.基于网络的入侵检测系统对加密的数据流及交换网络下的数据流不能进行检测, 并且其本身构建易受攻击

4.入侵检测系统体系结构问题

2.4 防病毒技术

计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和

破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。

预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。

一、计算机病毒的预防技术

计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。

预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。

二、检测病毒技术

计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种:一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段完整性已遭到破坏,感染上了病毒,从而检测到病毒的存在。

三、清除病毒技术

计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的,带有滞后性。而且由于计算机软件所要求的精确性,解毒软件有其局限性,对有些变种病毒的清除无能为力。目前市场上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV,及我国的LANClear和Kill89等产品均采用上述三种防病毒技术

2.4.1 对付病毒有以下四种基本方法

1、基于网络目录和文件安全性方法

以NetWare为例,在NetWare中,提供了目录和文件访问权限与属性两种安全性措施。“访问权限有:防问控制权、建立权、删除权、文件扫描权、修改权、读权、写权和管理权。属性有:需归档、拷贝禁止、删除禁止、仅执行、隐含、索引、清洗、读审记、写审记、只读、读写、改名禁止、可共享、系统和交易。属性优先于访问权限。根据用户对目录和文件的操作能力,分配不同的访问权限和属性。例如,对于公用目录中的系统文件和工具软件,应该只设置只读属性,系统程序所在的目录不要授予修改权和管理权。这样,病毒就无法对系统程序实施感染和寄生,其它用户也就不会感染病毒。

由此可见,网络上公用目录或共享目录的安全性措施,对于防止病毒在网上传播起到积极作用。至于网络用户的私人目录,由于其限于个别使用,病毒很难传播给其它用户。采用基于网络目录和文件安全性的方法对防止病毒起到了一定作用,但是这种方法毕竟是基于网络操作系统的安全性的设计,存在着局限性。现在市场上还没有一种能够完全抵御计算机病毒侵染的网络操作系统,从网络安全性措施角度来看,在网络上也是无法防止带毒文件的入侵。

2、采用工作站防病毒芯片

这种方法是将防病毒功能集成在一个芯片上,安装在网络工作站上,以便经常性地保护工作站及其通往服务器的路径。工作站是网络的门户,只要将这扇门户关好,就能有效地防止病毒的入侵。将工作站存取控制与病毒保护能力合二为一插在网卡的EPROM槽内,用户也可以免除许多繁琐的管理工作。

Trend Micro Devices公司解决的办法是基于网络上每个工作站都要求安装网络接口卡网络接口卡上有一个Boot Rom芯片,因为多数网卡的Boot Rom并没有充分利用,都会剩余一些使用空间,所以如果安全程序够小的话,就可以把它安装在网络的Boot Rom的剩余空间内,而不必另插一块芯片。

市场上Chipway防病毒芯片就是采用了这种网络防病毒技术。在工作站DOS引导过程中,ROMBIOS,Extended BIOS装入后,Partition Table装入之前,Chipway获得控制权,这样可以防止引导型病毒。Chipway的特点是:①不占主板插槽,避免了冲突;②遵循网络上国际标准,兼容性好;③具有他工作站防毒产品的优点。但目前,Chipway对防止网络上广为传播的文件型病毒能力还十分有限。

3、采用Station Lock网络防毒方法

Station Lock是著名防病毒产品开发商Trend Micro Devices公司的新一代网络防病毒产品。其防毒概念是建立在”病毒必须执行有限数量的程序之后,才会产生感染效力“的基础之上。例如,病毒是一个不具自我辨别能力的小程序,在病毒传染过程中至少必须拦截一个DOS中断请求,而且必须试图改变程序指针,以便让系统优先执行病毒程序从而获得系统控制权。引导型病毒必须使用系统的BIOS功能调用,文件型病毒必须将自己所有的程序代码拷贝到另一个系统执行文件时才能复制感染。混合型病毒和多形体病毒在实施感染之前也必须获取系统控制权,才能运行病毒体程序而实施感染。Station Lock就是通过这些特点,用间接方法观察,精确地预测病毒的攻击行为。其作用对象包括多型体病毒和未来型病毒。

Station Lock也能处理一些基本的网络安全性问题,例如存取控制、预放未授权拷贝以及在一个点对点网络环境下限制工作站资源相互存取等。Station Lock能根据病毒活动辩别可能的病毒攻击意图,并在它造成任

何破坏之前予以拦截。由于Station Lock是在启动系统开始之前,就接管了工作站上的硬件和软件,所以病毒攻击Station Lock是很困难的。Station Lock是目前网络环境下防治病毒比较有效的方法。

4、基于服务器的防毒技术

服务器是网络的核心,一旦服务器被病毒感染,就会使服务器无法启动,整个网络陷于瘫痪,造成灾难性后果。目前基于服务器的防治病毒方法大都采用了NLM(NetWare Load Module)技术以NLM模块方式进行程序设计,以服务器为基础,提供实时扫描病毒能力。市场上的产品如Central Point公司的AntiVirus for Networks,Intel公司的LANdesk Virus Protect以及南京威尔德电脑公司的Lanclear for NetWare等都是采用了以服务器为基础的防病毒技术。这些产品的目的都是保护服务器,使服务器不被感染。这样,病毒也就失去了传播途径,因而从根本上杜绝了病毒在网上蔓延。

(1)对服务器中所有文件扫描

这一方法是对服务器的所有文件进行集中检查看其是否带毒,若有带毒文件,则提供给网络管理员几种处理方法。允许用户清除病毒,或删除带毒文件,或更改带毒文件名成为不可执行文件名并隔离到一个特定的病毒文件目录中。

(2)实时在线扫描

网络防病毒技术必须保持全天24小时监控网络是否有带毒文件进入服务器。为了保证病毒监测实时性,通常采用多线索的设计方法,让检测程序作为一个随时可以激活的功能模块,且在NetWare运行环境中,不影响其它线索的运行。这往往是设计一个NLM最重要的部分,即多线索的调度。实时在线扫描能非常及时地追踪病毒的活动,及时告之网络管理员和工作站用户。

(3)扫描选择

该功能允许网络管理员定期检查服务器中是否带毒,例如可按每月、每星期、每天集中扫描一下网络服务器,这样就使网络用户拥有极大的操作选择余地。

(4)自动报告功能及病毒存档

当网络用户将带毒文件有意或无意地拷入服务器中时,网络防病毒系统必须立即通知网络管理员,或涉嫌病毒的使用者,同时自己记入病毒档案。病毒档案一般包括:病毒类型、病毒名称、带毒文件所存的目录及工作站标识等,另外,记录对病毒文件处理方法。

(5)工作站扫描

基于服务器的防病毒软件不能保护本地工作站的硬盘,有效的方法是在服务器上安装防毒软件,同时在上网的工作站内存中调入一个常驻扫毒程序,实时检测在工作站中运行的程序。如LANdesk Virus Protect采用Lpscan,而LANClear for NetWare采用world程序等。

(6)对用户开放的病毒特征接口

大家知道病毒及其变种层出不穷。据有关资料报道,截止1994年2月25日,全世界流传的MSDOS病毒达2700多种。如何使防病毒系统能对付不断出现的新病毒?这要求开发商能够使自己的产品具有自动升级功能,也就是真正交给网络

用户防治病毒的一把金钥匙。其典型的做法是开放病毒特征数据库。用户随时将遇到的带毒文件,经过病毒特征分析程序,自动将病毒特征加入特征库,以随时增强抗毒能力。当然这一工作难度极大,需要不懈的努力。在上述四种网络防毒技术中,Station Lock是一种针对病毒行为的防治方法,StationLock目前已能提供Intel以太网络接口卡支持,而且未来还将支持各种普及型的以太令牌环(Token-Ring)网络接口卡。基于服务器的防治病毒方法,表现在可以集中式扫毒,能实现实时扫描功能,软件升级方便。特别是当连网的机器很多时,利用这种方法比为每台工作站都安装防病毒产品要节省成本。其代表性的产品有LANdesk、LANClear for NetWare等。

2.5 安全管理队伍的建设

在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。

第三章 防火墙技术

3.1 防火墙的定义

防火墙是指设置在不同网络或网络安全域之间信息的唯一出入口,能根据网络的安全政策控制(允许拒绝监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。

Internet防火墙是一个或一组系统,它能增强机构内部网络的安全性,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取,防火墙系统还决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的服务,以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但是,防火墙系统一旦被攻击突破或迂回绕过,就不能提供任何保护了。3.2防火墙的功能

3.2.1 防火墙是网络安全的屏障

防火墙(作为阻塞点,控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。

防火墙可以强化网络安全策略,通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令加密身份认证审计等)配置在防火墙上,对网络存取和访问进行监控审计:所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。防止内部信息的外泄,通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,而限制了局部重点或敏感网络安全问题对全局网络造成的影响。3.2.2防火墙的种类

防火墙技术可根据防范的方式和侧重点的不同,总体来讲可分为二大类:分组过滤,应用代理。

分组过滤(Packetfiltering);作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号,协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。

应用代理(ApplicationProxy):也叫应用网关(ApplicationGateway), 它作用在应用层,其特点是完全 “ 阻隔 ” 了网络通信流通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,实际中的应用网关通常由专用工作站实现【8】。

3.3 防火墙的技术原理

目前,防火墙系统的工作原理因实现技术不同,大致可分为三种:(1)包过滤技术

包过滤技术是一种基于网络层的防火墙技术。根据设 置好的过滤规则,通

过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉,由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术,其最大优点就是价格便宜,实现逻辑简单便于安装和使用。

缺点:1)过滤规则难以配置和测试。2)包过滤只访问网络层和传输层的信息,访问信息有限,对网络更高协议层的信息无理解能力。3)对一些协议,如UDP和RPC难以有效的过滤。

(2)代理技术

代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们之间不能越过它直接通信。这个“中间检查站”就是代理服务器,它运行在两个网络之间,对网络之间的每一个请求进行检查。当代理服务器接收到用户请求后,会检查用户请求合法性。若合法,则把请求转发到真实的服务器上,并将答复再转发给用户。代理服务器是针对某种应用服务而写的,工作在应用层。

优点:它将内部用户和外界隔离开来,使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比,代理技术是一种更安全的技术【9】。

缺点:在应用支持方面存在不足,执行速度较慢。(3)状态监视技术 这是第三代防火墙技术,集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记,过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接,不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过己知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。

状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测RPC和UDP端口信息,而包过滤和代理都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。目前,多使用状态监测防火墙,它对用户透明,在OSI最高层上加密数据,而无需修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个代理。

要想建立一个真正行之有效的安全的计算机网络,仅使用防火墙还是不够,在实际的应用中,防火墙常与其它安全措施,比如加密技术、防病毒技术等综合应用,才起到防御的最大化的效果。3.4 防火墙的应用

3.4.1 个人防火墙的应用 瑞星个人防火墙的应用 1)安装

第一步启动安装程序。

当把瑞星个人防火墙下载版安装程序保存到您电脑中的指定目录后,找到该目录,双击运行安装程序,就可以进行瑞星个人防火墙下载版的安装了。

第二步完成安装后,如图3.1:

图3.1 第三步输入产品序列号和用户ID。

启动个人防火墙,当出现如图3.2下所示的窗口后,在相应位置输入您购买获得的产品序列号和用户ID,点击“确定”,通过验证后则会提示“您的瑞星个人防火墙现在可以正常使用”。

图3.2 常见问题:不输入产品序列号和用户ID,产品将无法升级,防火墙保护功能将全部失效,您的计算机将无法抵御黑客攻击。

2)升级

第一步网络配置:

•打开防火墙主程序

•在菜单中依次选择【设置】/【设置网络】,打开【网络设置】窗口,如图3.3

图3.3 1。设定网络连接方式,如果设定“通过代理服务器访问网络”,还需要输入代理服务器IP、端口、身份验证信息。

2。您可以选中【使用安全升级模式】,确保升级期间阻止新的网络连接 3。点击【确定】按钮完成设置

小提示:

1。如果您已经可以浏览网页,说明网络设置已经配置好了,这里直接使用默认设置即可。

2。如果您不使用拨号方式上网,将不会看到界面中【使用拨号网络连接】的选项以及相关设置。

3。请确保此步设置正确,否则可能无法完成智能升级。

第二步:智能升级

完成网络配置后,进行智能升级的操作方法:

方法一:点击主界面右侧的【智能升级】按钮,图3.4示:

图3.4 方法二:在菜单中依次选择【操作】/【智能升级】

方法三:右键点击防火墙托盘图标,在弹出菜单中选择【启动智能升级】 3)启动瑞星个人防火墙下载版程序

启动瑞星个人防火墙软件主程序有三种方法:

方法一:进入【开始】/【所有程序】/【瑞星个人防火墙】,选择【瑞星个人防火墙】即可启动。

方法二:用鼠标双击桌面上的【瑞星个人防火墙】快捷图标即可启动。方法三:用鼠标单击任务栏“快速启动”上的【瑞星个人防火墙】快捷图标

即可启动。

成功启动程序后的界面如下图3.5所示:

图3.5 主要界面元素

1、菜单栏:

用于进行菜单操作的窗口,包括【操作】、【设置】、【帮助】三个菜单。如图3.6示:

图3.6

2、操作按钮:

位于主界面右侧,包括【启动/停止保护】、【连接/断开网络】、【智能升级】、【查看日志】。如图3。7示:

图3.7 功能:停止防火墙的保护功能,执行此功能后,您计算机将不再受瑞星防火墙的保护已处于停止保护状态时,此按钮将变为【启用保护】;点击将重新启用防火墙的保护功能,您也可以通过菜单项【操作】/【停止保护】来执行此功能;将您的计算机完全与网络断开,就如同拔掉网线或是关掉Modem一样。其他人都不能访问您的计算机,但是您也不能再访问网络。这是在遇到频繁攻击时最为有效的应对方法;已经断开网络后,此项将变为【连接网络】,点击将恢复网络连接;您也可以通过菜单项【操作】/【断开网络】来执行此功能;启动智能升级程序对防火墙进行升级更新;您也可以通过菜单项【操作】/【智能升级】来执行此功能;启动日志显示程序;您也可能通过【操作】/【显示日志】来执行此

功能。

3、标签页:

位于主界面上部,分【工作状态】、【系统状态】、【游戏保护】、【安全资讯】、【漏洞扫描】、【启动选项】六个标签。如图3。8示:

图3。8

4、安全级别:

位于主界面右下角,拖动滑块到对应的安全级别,修改立即生效。

5、当前版本及更新日期:

位于主界面右上角,显示防火墙当前版本及更新日期。

6、规则设置

配置防火墙的过滤规则(如图3。9),包括: 黑名单:在黑名单中的计算机禁止与本机通讯

白名单:在白名单中的计算机对本地具有完全的访问权限

端口开关:允许或禁止端口中的通讯,可简单开关本机与远程的端口 可信区:通过可信区的设置,可以把局域网和互联网区分对待 IP规则:在IP层过滤的规则

访问规则:本机中访问网络的程序的过滤规则

图3。9 3.4.2 防火墙技术在校园网中应用

一、安装防火墙

防火墙技术在校园网安全建设中得到广泛的应用。由于防火墙是一种按某种规则对专网和互联网,或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离),从而阻断不希望发生的网络间通信的系统部署防火墙技术[10],构筑内外网之间的安全屏障,可以有效地将内部网与外部网隔离开来,保护校园网络不受未经授权的第三方侵入。

二、校园网防火墙系统的配置

假定校园网通过Cisco路由器与INTERNET相连。校园内的IP地址范围是确

定的,且有明确的闭和边界,它有一个C类的IP地址,有DNS、Email、WWW、FTP等服务器,可采用以下存取控制策略。

1)对进入CERNET主干网的存取控制

2)对网络中心资源主机的访问控制,网络中心的DNS、Email、FTP、WWW等服务器是重要的资源,要特别的保护,可对网络中心所在子网禁止,DNS,Email,WWW,FTP以外的一切服务。

3)对校外非法网址的访问,一般情况,一些传播非法信息的站点主要在校外,而这些站点的域名可能是已知的。为防止IP地址欺骗和盗用需为对网络内部人员访问Internet进行一定限制在连接内部网络的端口接收数据时进行IP地址和以太网地址检查,盗用IP地址的数据包将被丢弃,并记录有关信息;再连接 Internet 端接收数据时,如从外部网络收到一段假冒内部IP地址发出的报文,也应丢弃,并记录有关信息。防止IP地址被盗用的彻底解决办法是:代理服务器防火墙和捆绑IP地址和以太网地址,对非法访问的动态禁止一旦获得某个IP地址的访问是非法的,可立即更改路由器中的存取控制表,从而禁止其对外的非法访问。首先应在路由器和校园网的以太口预设控制组102,然后过滤掉来自非法地址的所有IP包。

结论

计算机网络的安全问题越来越受到人们的重视,一个安全的计算机网络系统的保护不仅和系统管理员的系统安全知识有关,而且和每个使用者的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。

防火墙不能完全解决网络安全的全部问题,如不能防范内部攻击等,因此还需要考虑其他技术的和非技术的因素,如身份鉴别,信息加密术,提高网络管理人员的安全意识等,总之,防火墙是网络安全的第一道重要的安全屏障,如何提高防火墙的防护能力并保证系统的高速高效运行,不断提高网络安全水平,这将是一个随着网络技术的发展而不断研究的课题。

致谢

本文是在指导老师胡楠老师的悉心教导下完成的。写论文的这段时间,老师渊博的学识,严谨的治学太多和细心指导,以及他给我的支持和鼓励使我终身难忘,我所取得的每一点成就都与导师的热心关怀和精心指导是分不开的,值此论文完成之际,特别向导师致以衷心的感谢各崇高的敬意。

本课题的完成过程中,本人还得到了同学们及其他各方面的支持和帮助,特别感谢致谢在一起愉快的度过大学生活的各位室友,正是由于你们的帮助和支持,我才能克服一个一个的困难和疑惑,直至本文的顺利完成。

在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚的谢意!我还要感谢培养我长大含辛茹苦的父母,谢谢你们!最后,我要向百忙之中抽时间对本文进行审阅,评议和参与本人论文答辩的各位老师表示感谢。

参考文献

[1]张斌,黑客与反黑客,北京邮电大学出版社,Pag56-75 [2]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag267-283 [3]肖新峰,宋强,王立新等,TCP/IP协议与网络管理,北京清华大学出版社,Pag83-99 [4]李军,防火墙上台阶,信息网络安全2004年07期,Pag28—29 [5]陈爱民,计算机的安全与保密,北京电子工业出版社,pag35-42 [6]蒋建春,马恒太,任党恩等,网络安全入侵检测研究综述软件学报

[7]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag70-104 [8]老聃,安全网关—网络边界防护的利器,信息安全与通信保密,2004年08期75 [9]陈平,何庆等主编,电脑2003合订本,西南师范大学出版社,2004年1月 [10] 张颖,刘军,王磊,计算机网络安全的现状及解决方法[N]电脑商情报 ,2007年1月

第五篇:浅析计算机网络安全和防火墙技术论文

娄底职业技术学院计算机网络专业

摘 要

随着时代的发展,Internet日益普及,网络已经成为信息资源的海洋,给人们带来了极大的方便。但由于Internet是一个开放的,无控制机构的网络,经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失,系统瘫痪。因此,计算机网络系统安全问题必须放在首位。作为保护局域子网的一种有效手段,防火墙技术备受睐。

本文主要阐述了网络安全技术所要受到的各方面威胁以及自身存在的一些缺陷,所谓知己知彼,百战不殆。只有了解了网络安全存在的内忧外患,才能更好的改善网络安全技术,发展网络安全技术。然后主要阐述防火墙在网络安全中起到的巨大的作用,防火墙的优缺点及各种类型防火墙的使用和效果。

计算机网络技术的在飞速发展中,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要,只有熟悉了各种对网络安全的威胁,熟悉各种保护网路安全的技术,我们才能更好的保护计算机和信息的安全。

关键字:计算机网络;网络安全;防范措施;防火墙技术

娄底职业技术学院计算机网络专业

Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。

This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。

The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。

Key words: Computer network, Network security, The prevention measures, Firewall technology

II 浅析计算机网络安全和防火墙技术

目录

摘 要................................................I Abstract.............................................II 引言.................................................1 第一章 网络安全概述.................................2 1.1 计算机网络安全的含义..........................2 1.2 网络信息安全的主要威胁........................2 1.2.1 自然威胁..................................2 1.2.2 人为威胁—黑客攻击与计算机病毒............3 1.3 计算机网络中的安全缺陷及产生原因..............4 1.4 影响计算机网络安全的因素......................5 第二章 计算机网络安全防范策略.......................6 2.1 防火墙技术....................................6 2.2 数据加密与用户授权访问控制技术................9 2.3 入侵检测技术.................................10 2.4 防病毒技术...................................11 2.5 安全管理队伍的建设...........................11 第三章 防火墙技术..................................12 3.1 防火墙的定义.................................12 3.2 防火墙的功能.................................12 3.2.1 防火墙是网络安全的屏障...................12 3.2.2 防火墙的种类.............................13 3.3 防火墙的技术原理.............................13 3.4 防火墙的应用.................................15 3.4.1 个人防火墙的应用.........................15 3.4.2 防火墙技术在校园网中应用.................20 结论................................................22

III 娄底职业技术学院计算机网络专业

致谢................................................23 参考文献.............................................24 IV 浅析计算机网络安全和防火墙技术

引言

近年来,随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,计算机网络的安全性变得日益重要起来,由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击【1】。

为确保信息的安全与网络畅通,研究计算机网络的安全与防护措施已迫在眉捷,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑,而所有的问题都在向大家证明一个事实,大多数的黑客入侵事件都是由于未能正确安装防火墙而引发,所以防火墙技术应当引起我们的注意和重视。

本文主要研究网络安全的缺陷原由及网络安全技术的原理和其他技术,如防火墙技术对网络安全起到的不可忽视的影响。

娄底职业技术学院计算机网络专业

第一章网络安全概述

1.1 计算机网络安全的含义

计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。

从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

1.2 网络信息安全的主要威胁

网络安全所面临的威胁来自很多方面,并且随着时问的变化而变化。这些威胁可以宏观地分为自然威胁和人为威胁。

1.2.1 自然威胁

自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。这些无目的的事件,有时会直接威胁网络的安全,影响信息的存储媒体。

浅析计算机网络安全和防火墙技术

1.2.2 人为威胁—黑客攻击与计算机病毒

人为威胁就是说对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点【2】,以便达到破坏、欺骗、窃取数据等目的,造成经济上和政治上不可估量的损失。网络安全的人为威胁主要分为以下几种:

 网络缺陷

Intemet由于它的开放性迅速在全球范围内普及,但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要是考虑资源共享,基本没有考虑安全问题,缺乏相应的安全监督机制。 黑客攻击

自1998年后,网上的黑客越来越多,也越来越猖獗;与此同时黑客技术逐渐被越来越多的人掌握现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,这是网络安全的主要威胁之一。

 各种病毒

病毒时时刻刻威胁着整个互联网。像Nimda和CodeRed的爆发更是具有深远的影响,促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治,对病毒彻底防御的重要性毋庸置疑。

 管理的欠缺及资源滥用

很多上了互联网的企业缺乏对于网络安全的认识,管理上存在很多漏洞,特别是国内的企业,只是提供了接入Internet的通道,对于网络上黑客的攻击缺乏基本的应对措施,同时企业内部普遍存在资源滥用现象,这是造成网络安全问题的根本原因。软件的漏洞和后门:随着CPU的频率越来越高,软件的规模越来越大,软件系统中的漏洞也不可避免的存在,强大如微软所开发的Windows也存在。各种各样的安全漏洞和“后门”,这是网络安全的主要威胁之一。

 网络内部用户的误操作和恶意行为

对于来自网络内部的攻击,主流的网络安全产品防火墙基本无能为力,这类攻击及其误操作行为需要网络信息 3 娄底职业技术学院计算机网络专业

审计、IDS等主要针对内部网络安全的安全产品来抵御。 网络资源滥用

网络有了安全保证和带宽管理,依然不能防止员工对网络资源的滥用。等行为极大地降低了员工的工作效率。管理层希望员工更加有效地使用互联网,尽量避免网络对工作带来负面影响。 信息泄漏

恶意、过失的不合理信息上传和发布,可能会造成敏感信息泄漏、有害信息扩散,危及社会、国家、体和个人利益。更有基于竞争需要,利用技术手段对目标机信息资源进行窃取。在众多人为威胁中来自用户和恶意软件即计算机病毒的非法侵入严重,计算机病毒是利用程序干扰破坏系统正常工作的一种手段,它的产生和蔓延给信息系统的可靠性和安全性带来严重的威胁和巨大的损失。

1.3 计算机网络中的安全缺陷及产生原因

网络安全缺陷产生的原因主要有:

第一TCP/IP的脆弱性。因特网的基石是TCP/IP协议【3】,不幸的是该协议对于网络的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。

第二,网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。

第三,易被窃听。由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。

第四,缺乏安全意识。虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。浅析计算机网络安全和防火墙技术

1.4 影响计算机网络安全的因素

①网络资源的共享性。资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日益增长,外部服务请求不可能做到完全隔离,攻击者利用服务请求的机会很容易获取网络数据包。

②网络的开放性。网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的敏感性信息。

③网络操作系统的漏洞。网络操作系统是网络协议和网络服务得以实现的最终载体之一,它不仅负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。

④网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。

⑤恶意攻击。就是人们常见的黑客攻击及网络病毒,这是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也是越来越多,影响越来越大。娄底职业技术学院计算机网络专业

第二章计算机网络安全防范策略

计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,任何一个单独的组件都无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等,以下就此几项技术分别进行分析。

2.1 防火墙技术

防火墙网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。

防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离【4】,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。

为了让大家更好地使用防火墙,我们从反面列举4个有代表性的失败案例。

例1:未制定完整的企业安全策略 浅析计算机网络安全和防火墙技术

网络环境:某中型企业购买了适合自己网络特点的防火墙,刚投入使用后,发现以前局域网中肆虐横行的蠕虫病毒不见了,企业网站遭受拒绝服务攻击的次数也大大减少了,为此,公司领导特意表扬了负责防火墙安装实施的信息部。

该企业网络环境如图2.1所示:

图2.1 该企业内部网络的核心交换机是带路由模块的三层交换机,出口通过路由器和ISP连接。内部网划分为5个VLAN,VLAN

1、VLAN 2和VLAN 3分配给不同的部门使用,不同的VLAN之间根据部门级别设置访问权限;VLAN 4分配给交换机出口地址和路由器使用;VLAN 5分配给公共服务器使用。在没有加入防火墙之前,各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后,给防火墙分配一个VLAN 4中的空闲IP地址,并把网关指向路由器;将VLAN 5接入到防火墙的一个网口上。这样,防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网,三者之间的通信受到防火墙安全规则的限制。

问题描述:防火墙投入运行后,实施了一套较为严格的安全规则,导致公司员工无法使用QQ聊天软件,于是没过多久就有员工自己拨号上网,导致感染了特洛依木马 娄底职业技术学院计算机网络专业

和蠕虫等病毒,并立刻在公司内部局域网中传播开来,造成内部网大面积瘫痪。

问题分析:我们知道,防火墙作为一种保护网络安全的设备,必须部署在受保护网络的边界处,只有这样防火墙才能控制所有出入网络的数据通信,达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一,有很多出入口,那么只部署一台防火墙是不够的。在本案例中,防火墙投入使用后,没有禁止私自拨号上网行为,使得许多PC机通过电话线和Internet相连,导致网络边界不惟一,入侵者可以通过攻击这些PC机然后进一步攻击内部网络,从而成功地避开了防火墙。

解决办法:根据自己企业网的特点,制定一整套安全策略,并彻底地贯彻实施。比如说,制定一套安全管理规章制度,严禁员工私自拨号上网;同时封掉拨号上网的电话号码,并购买检测拨号上网的软件,这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外,考虑到企业员工的需求,可以在防火墙上添加按照时间段生效的安全规则,在非工作时间打开QQ使用的TCP/UDP端口,使得企业员工可以在工余时间使用QQ聊天软件。

例2:未考虑与其他安全产品的配合使用 问题描述:某公司购买了防火墙后,紧接着又购买了漏洞扫描和IDS(入侵检测系统)产品。当系统管理员利用IDS发现入侵行为后,必须每次都要手工调整防火墙安全策略,使管理员工作量剧增,而且经常调整安全策略,也给整个网络带来不良影响。

问题分析:选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能,导致不能最大程度地发挥安全系统的作用。

解决办法:购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品,以及具体产品名称和型号,然后确定所要购买的防火墙是否有联动功能(即是否支持其他安全产品,尤其是IDS产品),支持的是哪些品牌和型号的产品,是否与已有的安全产品名称相符,如果不符,最好不要选用,而选择能同已有安全产品联动的防火墙。这样,当IDS发现入侵行为后,在通知管理员的同 浅析计算机网络安全和防火墙技术

时发送消息给防火墙,由防火墙自动添加相关规则,把入侵者拒之门外。

例3:未经常维护升级防火墙 问题描述:某政府机构购置防火墙后已安全运行一年多,由于该机构网络结构一直很稳定,没有什么变化,各种应用也运行稳定,因此管理员逐渐放松了对防火墙的管理,只要网络一直保持畅通即可,不再关心防火墙的规则是否需要调整,软件是否需要升级。而且由于该机构处于政府专网内,与Internet物理隔离,防火墙无法实现在线升级。因此该机构的防火墙软件版本一直还是购买时的旧版本,虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包,但从未手工升级过。在一次全球范围的蠕虫病毒迅速蔓延事件中,政府专网也受到蠕虫病毒的感染,该机构防火墙因为没有及时升级,无法抵御这种蠕虫病毒的攻击,造成整个机构的内部网大面积受感染,网络陷于瘫痪之中。

问题分析:安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具,必须不断地升级与更新才能应付不断发展的入侵手段,过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说,应当时刻留心厂家发布的升级包,及时给防火墙打上最新的补丁。

解决办法:及时维护防火墙,当本机构发生人员变动、网络调整和应用变化时,要及时调整防火墙的安全规则,及时升级防火墙。

从以上三个案例我们可以得出一些结论:防火墙只是保证安全的一种技术手段,要想真正实现安全,安全策略是核心问题。保护网络安全不仅仅是防火墙一种产品,只有将多种安全产品无缝地结合起来,充分利用它们各自的优点,才能最大限度地保证网络安全。而保护网络安全是动态的过程,防火墙需要积极地维护和升级。

2.2

数据加密与用户授权访问控制技术

与防火墙相比,数据加密与用户授权访问控制技术比 娄底职业技术学院计算机网络专业

较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息【5】。典型的公钥加密算法~nRSA是目前使用比较广泛的加密算法。

2.3 入侵检测技术

入侵检测系统(IntrusionDetectionSystem,IDS)是从多种计算机系统及网络系统中收集信息,再通过此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击:在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵【6】。

入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术的功能主要体现在以下方面:

1)分析用户及系统活动,查找非法用户和合法用户的越权操作;

2)检测系统配置的正确性和安全漏洞,并提示管理员修 浅析计算机网络安全和防火墙技术

3)4)5)6)7)补漏洞;

识别反映已知进攻的活动模式并向相关人上报警; 对异常行为模式的统计分析;

能够实时地对检测到的入侵行为进行反应; 评估重要系统和数据文件的完整性; 可以发现新的攻击模式;

2.4 防病毒技术

随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台Pc上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除【7】。

2.5 安全管理队伍的建设

在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。娄底职业技术学院计算机网络专业

第三章防火墙技术

3.1 防火墙的定义

防火墙是指设置在不同网络或网络安全域之间信息的唯一出入口,能根据网络的安全政策控制(允许拒绝监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。

Internet防火墙是一个或一组系统,它能增强机构内部网络的安全性,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取,防火墙系统还决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的服务,以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但是,防火墙系统一旦被攻击突破或迂回绕过,就不能提供任何保护了。

3.2 防火墙的功能

3.2.1 防火墙是网络安全的屏障

防火墙(作为阻塞点,控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。

防火墙可以强化网络安全策略,通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令加密身份认证审计等)配置在防火墙上,对网络存取和访问进行监控审计:所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。防止内 浅析计算机网络安全和防火墙技术

部信息的外泄,通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

3.2.2 防火墙的种类

防火墙技术可根据防范的方式和侧重点的不同,总体来讲可分为二大类:分组过滤,应用代理。

分组过滤(Packetfiltering);作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号,协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。

应用代理(ApplicationProxy):也叫应用网关(ApplicationGateway), 它作用在应用层,其特点是完全 “ 阻隔 ” 了网络通信流通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,实际中的应用网关通常由专用工作站实现【8】。

3.3 防火墙的技术原理

目前,防火墙系统的工作原理因实现技术不同,大致可分为三种:

(1)包过滤技术

包过滤技术是一种基于网络层的防火墙技术。根据设 置好的过滤规则,通过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉,由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术,其最大优点就是价格便宜,实现逻辑简单便于安装和使用。

缺点:1)过滤规则难以配置和测试。2)包过滤只访问网络层和传输层的信息,访问信息有限,对网络更高协议层的信息无理解能力。3)对一些协议,如UDP和RPC难以有效的过滤。娄底职业技术学院计算机网络专业

(2)代理技术

代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们之间不能越过它直接通信。这个“中间检查站”就是代理服务器,它运行在两个网络之间,对网络之间的每一个请求进行检查。当代理服务器接收到用户请求后,会检查用户请求合法性。若合法,则把请求转发到真实的服务器上,并将答复再转发给用户。代理服务器是针对某种应用服务而写的,工作在应用层。

优点:它将内部用户和外界隔离开来,使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比,代理技术是一种更安全的技术【9】。

缺点:在应用支持方面存在不足,执行速度较慢。(3)状态监视技术 这是第三代防火墙技术,集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记,过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接,不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过己知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。

状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测RPC和UDP端口信息,而包过滤和代理都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。目前,多使用状态监测防火墙,它对用户透明,在OSI最高层上加密数据,而无需修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个代理。

要想建立一个真正行之有效的安全的计算机网络,仅使用防火墙还是不够,在实际的应用中,防火墙常与其它安全措施,比如加密技术、防病毒技术等综合应用,才起到防御的最大化的效果。浅析计算机网络安全和防火墙技术

3.4 防火墙的应用

3.4.1 个人防火墙的应用

瑞星个人防火墙的应用 1)安装

第一步启动安装程序。

当把瑞星个人防火墙下载版安装程序保存到您电脑中的指定目录后,找到该目录,双击运行安装程序,就可以进行瑞星个人防火墙下载版的安装了。

第二步完成安装后,如图3.1:

图3.1 第三步输入产品序列号和用户ID。

启动个人防火墙,当出现如图3.2下所示的窗口后,在相应位置输入您购买获得的产品序列号和用户ID,点击“确定”,通过验证后则会提示“您的瑞星个人防火墙现在可以正常使用”。

娄底职业技术学院计算机网络专业

图3.2 常见问题:不输入产品序列号和用户ID,产品将无法升级,防火墙保护功能将全部失效,您的计算机将无法抵御黑客攻击。

2)升级

第一步网络配置:

•打开防火墙主程序 •在菜单中依次选择【设置】/【设置网络】,打开【网络设置】窗口,如图3.3 图3.3 1。设定网络连接方式,如果设定“通过代理服务器访问网络”,还需要输入代理服务器IP、端口、身份验证信息。

2。您可以选中【使用安全升级模式】,确保升级期间阻止新的网络连接 浅析计算机网络安全和防火墙技术

3。点击【确定】按钮完成设置

小提示:

1。如果您已经可以浏览网页,说明网络设置已经配置好了,这里直接使用默认设置即可。

2。如果您不使用拨号方式上网,将不会看到界面中【使用拨号网络连接】的选项以及相关设置。

3。请确保此步设置正确,否则可能无法完成智能升级。

第二步:智能升级

完成网络配置后,进行智能升级的操作方法:

方法一:点击主界面右侧的【智能升级】按钮,图3.4示:

图3.4 方法二:在菜单中依次选择【操作】/【智能升级】 方法三:右键点击防火墙托盘图标,在弹出菜单中选择【启动智能升级】

3)启动瑞星个人防火墙下载版程序

启动瑞星个人防火墙软件主程序有三种方法:

方法一:进入【开始】/【所有程序】/【瑞星个人防火墙】,选择【瑞星个人防火墙】即可启动。

方法二:用鼠标双击桌面上的【瑞星个人防火墙】快捷图标即可启动。

方法三:用鼠标单击任务栏“快速启动”上的【瑞星 娄底职业技术学院计算机网络专业

个人防火墙】快捷图标即可启动。

成功启动程序后的界面如下图3.5所示:

图3.5 主要界面元素

1、菜单栏:

用于进行菜单操作的窗口,包括【操作】、【设置】、【帮助】三个菜单。如图3.6示:

图3.6

2、操作按钮:

位于主界面右侧,包括【启动/停止保护】、【连接/断开网络】、【智能升级】、【查看日志】。如图3。7示:

图3.7 功能:停止防火墙的保护功能,执行此功能后,您计 浅析计算机网络安全和防火墙技术

算机将不再受瑞星防火墙的保护已处于停止保护状态时,此按钮将变为【启用保护】;点击将重新启用防火墙的保护功能,您也可以通过菜单项【操作】/【停止保护】来执行此功能;将您的计算机完全与网络断开,就如同拔掉网线或是关掉Modem一样。其他人都不能访问您的计算机,但是您也不能再访问网络。这是在遇到频繁攻击时最为有效的应对方法;已经断开网络后,此项将变为【连接网络】,点击将恢复网络连接;您也可以通过菜单项【操作】/【断开网络】来执行此功能;启动智能升级程序对防火墙进行升级更新;您也可以通过菜单项【操作】/【智能升级】来执行此功能;启动日志显示程序;您也可能通过【操作】/【显示日志】来执行此功能。

3、标签页:

位于主界面上部,分【工作状态】、【系统状态】、【游戏保护】、【安全资讯】、【漏洞扫描】、【启动选项】六个标签。如图3。8示:

图3。8

4、安全级别: 位于主界面右下角,拖动滑块到对应的安全级别,修改立即生效。

5、当前版本及更新日期:

位于主界面右上角,显示防火墙当前版本及更新日期。

6、规则设置

配置防火墙的过滤规则(如图3。9),包括: 黑名单:在黑名单中的计算机禁止与本机通讯 白名单:在白名单中的计算机对本地具有完全的访问权限

端口开关:允许或禁止端口中的通讯,可简单开关本机与远程的端口 娄底职业技术学院计算机网络专业

可信区:通过可信区的设置,可以把局域网和互联网区分对待

IP规则:在IP层过滤的规则

访问规则:本机中访问网络的程序的过滤规则

图3。9 3.4.2 防火墙技术在校园网中应用

一、安装防火墙

防火墙技术在校园网安全建设中得到广泛的应用。由于防火墙是一种按某种规则对专网和互联网,或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离),从而阻断不希望发生的网络间通信的系统部署防火墙技术[10],构筑内外网之间的安全屏障,可以有效地将内部网与外部网隔离开来,保护校园网络不受未经授权的第三方侵入。

二、校园网防火墙系统的配置

假定校园网通过Cisco路由器与INTERNET相连。校园内的IP地址范围是确定的,且有明确的闭和边界,它有一个C类的IP地址,有DNS、Email、WWW、FTP等服务器,可采用以下存取控制策略。

1)对进入CERNET主干网的存取控制

2)对网络中心资源主机的访问控制,网络中心的DNS、Email、FTP、WWW等服务器是重要的资源,要特别的保护,可对网络中心所在子网禁止,DNS,Email,WWW,FTP 浅析计算机网络安全和防火墙技术

以外的一切服务。

3)对校外非法网址的访问,一般情况,一些传播非法信息的站点主要在校外,而这些站点的域名可能是已知的。为防止IP地址欺骗和盗用需为对网络内部人员访问Internet进行一定限制在连接内部网络的端口接收数据时进行IP地址和以太网地址检查,盗用IP地址的数据包将被丢弃,并记录有关信息;再连接 Internet 端接收数据时,如从外部网络收到一段假冒内部IP地址发出的报文,也应丢弃,并记录有关信息。防止IP地址被盗用的彻底解决办法是:代理服务器防火墙和捆绑IP地址和以太网地址,对非法访问的动态禁止一旦获得某个IP地址的访问是非法的,可立即更改路由器中的存取控制表,从而禁止其对外的非法访问。首先应在路由器和校园网的以太口预设控制组102,然后过滤掉来自非法地址的所有IP包。娄底职业技术学院计算机网络专业

结论

计算机网络的安全问题越来越受到人们的重视,一个安全的计算机网络系统的保护不仅和系统管理员的系统安全知识有关,而且和每个使用者的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。

防火墙不能完全解决网络安全的全部问题,如不能防范内部攻击等,因此还需要考虑其他技术的和非技术的因素,如身份鉴别,信息加密术,提高网络管理人员的安全意识等,总之,防火墙是网络安全的第一道重要的安全屏障,如何提高防火墙的防护能力并保证系统的高速高效运行,不断提高网络安全水平,这将是一个随着网络技术的发展而不断研究的课题。浅析计算机网络安全和防火墙技术

致谢

本文是在指导老师胡楠老师的悉心教导下完成的。写论文的这段时间,老师渊博的学识,严谨的治学太多和细心指导,以及他给我的支持和鼓励使我终身难忘,我所取得的每一点成就都与导师的热心关怀和精心指导是分不开的,值此论文完成之际,特别向导师致以衷心的感谢各崇高的敬意。

本课题的完成过程中,本人还得到了同学们及其他各方面的支持和帮助,特别感谢致谢在一起愉快的度过大学生活的各位室友,正是由于你们的帮助和支持,我才能克服一个一个的困难和疑惑,直至本文的顺利完成。

在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚的谢意!我还要感谢培养我长大含辛茹苦的父母,谢谢你们!最后,我要向百忙之中抽时间对本文进行审阅,评议和参与本人论文答辩的各位老师表示感谢。

娄底职业技术学院计算机网络专业

参考文献

[1]张斌,黑客与反黑客,北京邮电大学出版社,Pag56-75 [2]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag267-283 [3]肖新峰,宋强,王立新等,TCP/IP协议与网络管理,北京清华大学出版社,Pag83-99 [4]李军,防火墙上台阶,信息网络安全2004年07期,Pag28—29 [5]陈爱民,计算机的安全与保密,北京电子工业出版社,pag35-42 [6]蒋建春,马恒太,任党恩等,网络安全入侵检测研究综述软件学报 [7]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag70-104 [8]老聃,安全网关—网络边界防护的利器,信息安全与通信保密,2004年08期75

[9]陈平,何庆等主编,电脑2003合订本,西南师范大学出版社,2004年1月

[10] 张颖,刘军,王磊,计算机网络安全的现状及解决方法[N]电脑商情报 ,2007年1月

下载计算机辅助技术对机械设计制造的影响和促进论文[推荐阅读]word格式文档
下载计算机辅助技术对机械设计制造的影响和促进论文[推荐阅读].doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐