451.谈谈网络安全技术.doc

《451.谈谈网络安全技术.doc》由会员分享，可在线阅读，更多相关《451.谈谈网络安全技术.doc（21页珍藏版）》请在三一办公上搜索。

1、XXXX学院毕业设计（论文）谈谈网络安全技术学 院: 专 业: 班 级: 学 号: 学生姓名: 指导教师: 2010年5月23日谈谈网络安全技术 21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 一个国家的信息安全体系实际上包括国家的法规和政策，以及技术与市场的发展平台。我国在构建信息防卫系统时，应着力发展自己独特的安全产品，我

2、国要想真正解决网络安全问题，最终的办法就是通过发展民族的安全产业，带动我国网络安全技术的整体提高。随着经济社会的发展，网络应用的范围越来越广泛，社会对网络的依赖程度也越来越大，网络传输、存储和处理的信息量成几何级速度增长，信息涉及社会的各个方面，然而，其中的保密信息或敏感信息受到怀有不良目的的人或组织的攻击和破坏,如泄密、窃取、篡改、伪造等必然会对国家、集体和个人造成无法弥补的重大损失。因此，网络安全已经成为关系国家安全、经济发展和社会稳定的一个重大课题。关键词：网络安全，网络安全技术，网络安全策略目 录第1章 网络安全技术的概述11.1网络安全技术的概述11.2网络面临的安全隐患11.3 网

3、络不安全因素2第2章 网络安全技术32.1网络安全中的信息加密技术32.1.1对称密钥体制特点32.1.2非对称密钥密码体制32.2网络安全中的信息加密技术32.2.1防火墙概述32.2.2 防火墙技术42.2.3防火墙的选择42.2.4.防火墙本身是安全的52.2.5.管理与培训52.2.6可扩充性52.2.7防火墙的安全性62.2.8 防火墙的主要功能62.2.9 防火墙的主要优点62.2.10 防火墙的主要缺陷72.2.11 防火墙的分类72.2.12 防火墙的部署112.3 网络安全扫描技术112.3.1 入侵检测技术122.3.1.1 入侵检测系统的分类122.3.1.2 目前入侵检

4、测系统的缺陷132.3.2 防火墙与入侵检测系统的相互联动13第3章网络安全策略14总 结15致 谢16参考文献17 第1章 网络安全技术的概述1.1网络安全技术的概述随着经济社会的发展，网络应用的范围越来越广泛，社会对网络的依赖程度也越来越大，网络传输、存储和处理的信息量成几何级速度增长，信息涉及社会的各个方面，然而，其中的保密信息或敏感信息受到怀有不良目的的人或组织的攻击和破坏,如泄密、窃取、篡改、伪造等必然会对国家、集体和个人造成无法弥补的重大损失。因此，网络安全已经成为关系国家安全、经济发展和社会稳定的一个重大课题。计算机网络技术不断发展，网络应用逐渐普及。网络已成为一个无处不在、无所

5、不用的工具。越来越多的计算机用户足不出户则可访问到全球网络系统丰富的信息资源，经济、文化、军事和社会活动也强烈依赖于网络，一个网络化的社会已呈现在我们面前。然而，随着网络应用的不断增多，网络安全问题也越来越突出，由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素，致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与畅通，研究计算机网络的安全与防范措施已迫在眉捷。本人结合实际经验，谈一谈网络安全与防范技术。1.2 网络面临的安全隐患网络是信息社会的基础设施，只有安全的网络环境，才能够体现它的经济和社会价值。然而由于互联网是一个开

6、放的系统，对于信息的保护和系统安全性的考虑并不完备，从而使计算机网络存在以下的安全隐患：身份窃取，即非法获取合法用户身份信息。非授权访问，即对网络设备及信息资源进行非正常使用或越权使用等。数据窃取，即通过网络窃听他人传输信息的内容,非法获取数据信息。破坏数据完整性，即利用中断、篡改和伪造等攻击手段，攻击或破坏数据完整性，干扰用户的正常使用。否认，既参与通信的各方事后否认其参与的行为。数据流分析，即通过信息线路中的信息流向、流量、流速、频率和长度等，从而获得有用信息。旁路控制，即攻击者发现系统的缺陷和安全弱点，从而渗入系统,对系统进行攻击。病毒与恶意攻击，即通过网络传播病毒，或者对网络进行恶意攻

7、击，破坏网络资源，使其不能正常工作，甚至导致瘫痪。1.3 网络不安全因素 网络的安全因素主要有： 1.网络资源的共享性。资源共享是计算机网络应用的主要目的，但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着联网需求的日益增长，外部服务请求不可能做到完全隔离，攻击者利用服务请求的机会很容易获取网络数据包。 2.网络的开放性。网上的任何一个用户很方便访问互联网上的信息资源，从而很容易获取到一个企业、单位以及个人的敏感性信息。 3.网络操作系统的漏洞。网络操作系统是网络协议和网络服务得以实现的最终载体之一，它不仅负责网络硬件设备的接口封装，同时还提供网络通信所需要的各种协议和服务的程序实现

8、。由于网络协议实现的复杂性，决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。 4.网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下，还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。 5.恶意攻击。就是人们常见的黑客攻击及网络病毒是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也是越来越多，影响越来越大。2 网络中的安全技术第2章 网络安全技术针对以上的安全隐患需要采用信息加密技术、防火墙技术、安全扫描技术、病毒检测技术等方式和手段来构成网络安全体系。2.1

9、网络安全中的信息加密技术信息加密技术是网络安全的基础，因为在网络环境中很难做到对敏感数据和重要数据的隔离，所以通常采用的方法就是采用信息加密技术对网络中要传输的数据加密，使攻击者即便获得了数据，也无法理解其中的含义，达到保密的目的。更重要的是信息加密技术是实现网络安全的机密性、完整性、真实性和不可抵赖等安全要素的核心技术。 现在，一些专用密钥加密（如3DES、IDEA、RC4和RC5）和公钥加密（如RSA、SEEK、PGP和EU）可以实现我们以上的要求。2.1.1 对称密钥体制特点对称密钥密码体制也称单密钥密码体制，其特点是加密和解密用的是相同的密钥。它是在传统的密码体制基础上，将算法和密钥进

10、行了合理分离，加大了算法的设计的复杂性，并使用较长的密钥，使得攻击者很难破译。一般情况下对称密钥密码体制的算法是公开的，但是密钥是保密的。因此，系统的保密性完全依赖于密钥的安全性。如何管理密钥以及安全地传递密钥是对称密钥密码体制必须解决的重要问题。2.1.2 非对称密钥密码体制非对称密钥密码体制，也叫公开密钥密码体制，用两个数学相关的密钥对信息进行编码。在此系统中有一对密码，其中一个是加密密钥,用于加密信息,它是公开的密钥。另一个密钥是解密密钥,用于解密信息,现在简单介绍一下公开密钥密码体制中最常用的RSA算法如下：选择两个大素数，p 和q；计算： n = p * q；随机选择加密密钥e，要求

11、 e 和 ( p - 1 ) * ( q - 1 ) 互质；利用Euclid 算法计算解密密钥d, 满足 ：e * d = 1 ( mod ( p - 1 ) * ( q - 1 ) ) 其中n和d也要互质；数e和n是公钥，d是私钥。2.2网络安全中的防火墙技术2.2.1防火墙概述防火墙是基于网络访问控制技术的一种网络安全技术。防火墙是由软件或硬件组合而成的保护网络安全的系统，防火墙通常被置于内部网络与外部网络之间，是内网和外网之间的一道安全屏障。因此，通常将防火墙内的网络称为“可信赖的网络”，而其外的网络称为“不可信赖的网络”。防火墙本身是一种被动的安全防范技术，它是按照事先确定的技术访问策

12、略进行控制。基本的网络安全策略主要有两种。 1. 凡是没有明确表示允许的都是禁止的，也就是说该策略在制定时明确指出只允许做什么，而其余的行为都是要禁止的。按照该策略防火墙将检查所有的信息流，只允许符合规则规定的信息流进出。 2.凡是没有明确表明禁止的都是允许的，也就是说该策略只明确指出禁止做什么，而其余的行为都是允许的。按照该策略，防火墙只禁止符合规则规定的信息流进出，而其他信息流可以自由进出。防火墙通常位于一个网络的网关服务器的位置,它可以保护一个企业的私有网络资源免受外部网络的影响。防火墙在IT安全中扮演着一个中心的角色,它面向外部世界对企业网络起着重要的保护作用。网络安全所说的防火墙是指

13、内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访，用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet（外部网）的传输信息或从内部网发出的信息都必须穿过防火墙。2.2.2 防火墙技术网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术，就其产品的主流趋势而言，大多数代理服务器（也称应用网关）也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以

14、阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。 2.2.3防火墙的选择 安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的

15、总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。 2.2.4.防火墙本身是安全的 作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。 通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家

16、权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。 2.2.5.管理与培训 管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。 2.2.6可扩充性 在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网

17、络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。 2.2.7防火墙的安全性 防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在

18、实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。2.2.8 防火墙的主要功能防火墙的主要功能包括： 1.防火墙可以对流经它的网络通信进行扫描，从而过滤掉一些攻击，以免其在目标计算机上被执行。 2.防火墙可以关闭不使用的端口，而且它还能禁止特定端口的输出信息。 3.防火墙可以禁止来自特殊站点的访问，从而可以防止来自不明入侵者的所有通信，过滤掉不安全的服务和控制非法用户对网络的访问。 4.防火墙可以控制网络内部人员对Internet上特殊站点的访问。 5.防火墙提供了监视Internet安全和预警的方便端点。2

19、.2.9 防火墙的主要优点 防火墙的主要优点包括： 1.可作为网络安全策略的焦点 防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来，将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心，极大地加强了网络安全，并简化了网络管理。 2.可以有效记录网络活动 由于防火墙处于内网与外网之间，即所有传输的信息都会穿过防火墙。所以，防火墙很适合收集和记录关于系统和网络使用的多种信息，提供监视、管理与审计网络的使用和预警功能。 3.为解决IP地址危机提供了可行方案 由于Internet的日益发展

20、及IP地址空间有限，使得用户无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓和IP地址空间的不足。2.2.10防火墙的主要缺陷 由于互联网的开放性，防火墙也有一些弱点，使它不能完全保护网络不受攻击。防火墙的主要缺陷有： 1.防火墙对绕过它的攻击行为无能为力。 2.防火墙无法防范病毒，不能防止感染了病毒的软件或文件的传输，对于病毒只能安装反病毒软件。 3.防火墙需要有特殊的较为封闭的网络拓扑结构来支持。网络安全性的提高往往是以牺牲网络服务的灵活性、多样性和开放性为代价。2.2.11 防火墙的分类 从其形式上来看，有两大种类，一是硬件防火墙，二是软件防火墙。

21、硬件防火墙是一个拥有多个端口的金属盒子，它是一套预装有安全软件的专用安全设备，一般采用专用的操作系统。而软件防火墙通常可以安装在通用的网络操作系统（如Windows和Linux）上。 根据数据通信发生的位置，可将防火墙分为几种类型，一是网络层防火墙,它也被称为数据包过滤器，它运行在TCP/IP堆栈结构的第三层，在数据包与所建立的规则相匹配时才准许其通过。这意味着防火墙根据预先定义的规则接受或拒绝IP数据包。 通过数据过滤，这种防火墙仔细检查每个数据包的协议和地址信息，却不考虑其内容和上下文数据。数据包过滤防火墙的主要优点是其相对而言的简单性、低成本、易于部署等特性。Windows某些版本中的防

22、火墙就属于此类型。 1.应用层防火墙：它运行在TCP/IP堆栈结构的最高层，它可以截获一个应用程序的所有数据包。大体上，应用层防火墙可以阻止所有外部的恶意通信达到受保护的机器。通过这种方法，防火墙实际上代表了一个应用程序代理，它支持与远程系统的所有数据交换。其主要观念是要使防火墙后的服务对远程系统不可见。 应用层防火墙根据特定的规则集接受或拒绝数据通信。例如，防火墙准许某些命令进入服务器而禁用其它命令。这种技术还可以被用于限制特定文件类型的访问，并可以对获得授权和未获得授权的用户提供不同的访问级别。那些要求详细的数据监视和登录信息的用户喜欢应用层防火墙，因为它不会影响性能。IT管理员可以设置应

23、用层防火墙，在预先定义的条件发生后，它可以激发警告。应用层网关一般部署在一个独立的与网络连接的计算机上，通常它称为一个代理服务器。代理服务器属于一种特殊的应用层防火墙，它使得从外部网络破坏内部资源更加困难，使得对一个内部系统的滥用或误用不会被防火墙外部的攻击者造成安全损害。 2.电路级防火墙：这种防火墙并不是简单地接受或拒绝数据包，它还可以根据一套可配置的规则来决定一个连接是否合法。如果通过检查，防火墙就打开一个会话，并准许与经过认证的源进行数据通信。防火墙也可以限制这种通信的时间长短。此外，防火墙还可以执行源IP地址和端口、目标IP地址和端口、使用的协议、用户ID、口令等的验证。它也可以执行

24、数据包过滤。 电路防火墙的缺点是其运行在传输层上，因此它可能需要对传输功能设计的重大修改，这就会影响网络性能。此外，这种防火墙要求一些专业性强的安装和维护技术。 3.状态检查多级防火墙：有人称之为最好的防火墙，这种防火墙的目的是为了将多种防火墙的最好特性结合起来。状态检查多级防火墙可以执行网络层的数据包过滤，同时又可以识别和处理应用层的数据。这种防火墙可以提供更高级的网络保护，不过其价格也相对较高。 企业一般根据其需要和喜好来选择防火墙。通常情况下，购买防火墙会考虑：防火墙的体系结构、所需要的并发防火墙会话的数量、所需要的外部访问的范围和类型、所需要的VPN协议的类型和数量、需要保护的并发VP

25、N的数量、管理用户接口的种类（属于命令行接口、图形用户接口还是Web界面），以及对高可用性特性的需要。防火墙的实现从层次上大体可分为四类：包过滤防火墙，代理防火墙和复合型防火墙以及监测型防火墙。 1.包过滤防火墙包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根

26、据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。 包过滤防火墙是在IP层实现，它可以只用路由器来实现。包过滤防火墙根据报文的源IP地址，目的IP地址、源端口、目的端口和报文传递方向等报头信息来判断是否允许有报文通过。 包过滤路由器的最大优点是：对用

27、户来说是透明的，即不需要用户名和密码来登陆。 包过滤路由器的弊端是明显的，由于它通常没有用户的使用记录，我们不能从访问中发现黑客的攻击记录。它还有一个致命的弱点，就是不能在用户级别上进行过滤，即不能识别用户与防止IP地址的盗用。如果攻击者将自己的主机设置为一个合法主机的IP地址，则很容易地通过包过滤防火墙。2.代理防火墙代理防火墙也叫应用层网关防火墙，包过滤防火墙可以按照IP地址来禁止未授权者的访问。但它不适合单位用来控制内部人员访问外部网络，对于这样的企业，应用代理防火墙是更好的选择。 代理服务是设置在Internet防火墙网关上的应用，是在网管员允许下或拒绝的特定的应用程序或者特定服务，一

28、般情况下可应用于特定的互联网服务，如超文本传输、远程文件传输等。同时还可应用于实施较强的数据流监控、过滤、记录和报告等功能。 应用层网关包括应用代理服务器、回路级代理服务器、代管服务器、IP通道、网络地址转换器、隔离域名服务器和邮件技术等。代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再

29、由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。 3.复合型防火墙 复合型防火墙是将数据包过滤和代理服务结合在一起使用，从而实现了网络安全性、性能和透明度的优势互补。 随着技术的发展，防火墙产品还在不断完善、发展。目前出现的新技术类型主要有以下几种：状态监视技术、安全操作系统、自适应代理技

30、术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和一些新技术是未来防火墙的趋势。4.监测型监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安

31、全性上也超越了前两代产品 虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。 实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉

32、FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。2.2.12 防火墙的部署 防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，防火墙才能对此实行检查，防护功能。 1.防火墙的位置一般是内网与外网的接合处，用来阻止来自外部网络的入侵。 2.如果内部网络规模较大，并且设置虚拟局域网（VLAN），则应该在各个VLAN之间设置防火墙。 3.通过公网连接的总部与各分支机构之间应该设置防火墙。 4.主干交换机至服务器区域工作组交换机的骨干链路上

33、。 5.远程拨号服务器与骨干交换机或路由器之间。 总之，在网络拓扑上，防火墙应当处在网络的出口与不同安全等级区域的结合处。安装防火墙的原则是：只要有恶意侵入的可能，无论是内部网还是外部网的连接处都应安装防火墙。2.3 网络安全扫描技术网络安全扫描技术就是通过各种技术手段和方法找出网络系统中存在的安全隐患，以便及时进行修复，防范攻击。利用网络安全扫描技术，网络管理员可以了解网络的配置，各种应用及服务的运行情况，及时发现安全漏洞，客观评估网络风险等级，在黑客攻击时及时进行防范。其基本分为三个阶段：发现目标主机和网络。进行目标信息搜集，包括目标的操作系统类型、CPU的型号、运行的服务、服务软件的版本

34、、网络的拓扑结构、路由设备等信息。根据搜集到的信息进行分析判断，或者是进行进一步测试，以便找出安全漏洞。2.3.1 入侵检测技术 入侵检测技术是从各种各样的系统和网络资源中采集信息（系统运行状态、网络流经的信息等），并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为，入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应，从而将攻击行为带来的破坏和影响降至最低。同时，入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为（通过异常检测和模式匹配等技术）、对攻击行为或异常行为进行响应、审计和跟踪等。 典型的IDS系统模型包括4个功

35、能部件： 1.事件产生器，提供事件记录流的信息源。 2.事件分析器，这是发现入侵迹象的分析引擎。 3.响应单元，这是基于分析引擎的分析结果产生反应的响应部件 4.事件数据库，这是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。2.3.1.1入侵检测系统的分类 入侵检测系统根据数据来源不同，可分为基于网络的入侵检测系统和基于主机的入侵检测系统。网络型入侵检测系统的实现方式是将某台主机的网卡设置成混杂模式，监听本网段内的所有数据包并进行判断或直接在路由设备上放置入侵检测模块。一般来说，网络型入侵检测系统担负着保护整个网络的任务。 主机型入侵检测系统是以系统日志、应

36、用程序日志等作为数据源，当然也可以通过其它手段（如检测系统调用）从所有的主机上收集信息进行分析。 入侵检测系统根据检测的方法不同可分为两大类：异常和误用。 异常入侵检测根据用户的异常行为或对资源的异常存放来判断是否发生了入侵事件。 误用入侵检测通过检查对照已有的攻击特征、定义攻击模式、比较用户的活动来了解入侵。例如，著名的Internet蠕虫事件是利用fingerd(FreeBSD)上的守护进程，允许用户远程读取文件系统，因而存在可以查看文件内容的漏洞和Sendmail(Linux上的守护进程，利用其漏洞可取得root权限)的漏洞进行攻击。对这种攻击可以使用这种检测方法。2.3.1.2目前入侵

37、检测系统的缺陷 入侵检测系统作为网络安全防护的重要手段，目前的IDS还存在很多问题，有待于我们进一步完善。 1.高误报率 误报率主要存在于两个方面：一方面是指正常请求误认为入侵行为；另一方面是指对IDS用户不关心事件的报警。导致IDS产品高误报率的原因是IDS检测精度过低和用户对误报概念的不确定。 2.缺乏主动防御功能 入侵检测技术作为一种被动且功能有限的安全防御技术，缺乏主动防御功能。因此，需要在一代IDS产品中加入主动防御功能，才能变被动为主动。2.3.2 防火墙与入侵检测系统的相互联动 综合所述：防火墙是一个跨接多个物理网段的网络安全关口设备。它可以对所有流经它的流量进行各种各样最直接的

38、操作处理，如无通告拒绝、ICMP拒绝、转发通过（可转发至任何端口）、各以报头检查修改、各层报文内容检查修改、链路带宽资源管理、流量统计、访问日志、协议转换等。 当我们实现防火墙与入侵检测系统的相互联动后，IDS就不必为它所连接的链路转发业务流量。因此，IDS可以将大部分的系统资源用于对采集报文的分析，而这正是IDS最眩目的亮点。IDS可以有足够的时间和资源做些有效的防御工作，如入侵活动报警、不同业务类别的网络流量统计、网络多种流量协议恢复（实时监控功能）等。IDS高智能的数据分析技术、详尽的入侵知识描述库可以提供比防火墙更为准确、更严格、更全面的访问行为审查功能。第3章网络安全策略3.1 安全

39、技术策略安全策略是一组与安全活动相关的规则的集合，是安全系统设计、系统实施、系统管理及系统评估的重要依据。网络安全策略需要针对网络情况和安全需求来确定资源的保护范围、保护方式、保护措施、保护任务的执行者及保护的代价等主要内容。网络安全策略主要包括安全技术策略和安全管理策略两部分内容。安全技术策略主要针对网络系统、操作系统及数据库等提出具体的安全技术措施，是网络安全的基础保障。绝对安全的网络是不存在的，也是不可能达到的。因此，在制定安全技术策略时，不能将安全技术进行简单的堆砌，而是需要根据网络的实际情况，在满足网络安全要求的前提下，对需要实施安全技术进行有机组合。3.2 安全管理策略安全管理策略

40、是网络安全策略不可或缺的重要组成部分。因为任何安全措施都需要人来执行，就是最好的最值得信赖的安全系统，也不能完全由计算机系统来承担全部的安全保证任务，所以网络安全策略除了需要有安全技术支持外，还需要有严格的组织与管理制度来配合。加强网络安全管理，建立健全各种规章制度，对于确保网络安全可靠地运行将起到至关重要的作用。安全管理策略的制定应遵循三个基本原则，即多人负责原则、任期有限原则和职责分离原则。总 结 网络安全是一个很大的系统工程，除了防火墙和入侵检测系统之外，还包括反病毒技术和加密技术。反病毒技术是查找和清除计算机病毒技术。其原理就是在杀毒扫描程序中嵌入病毒特征码引擎。然后根据病毒特征码数据

41、库来进行对比式查杀。加密技术主要是隐藏信息、防止对信息篡改或防止非法使用信息而转换数据的功能或方法。它是将数据信息转换为一种不易解读的模式来保护信息，除非有解密密钥才能阅读信息。加密技术包括算法和密钥。算法是将普通的文本（或是可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤。密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。致 谢感谢我的指导老师 老师。他在我的课题研究和论文完成过程中，给予了我许多理论和实践上的指导。感谢我的导员 给我的指导和关怀。他们在生活上和工作中都给予了我热情的关心和帮助。感谢我的授课老

42、师在我的学习和生活中给予的帮助和教悔表示诚挚的谢意。同时还要感谢计算机学院的领导多年来对我的培养和支持，是他们为我提供了良好的学习环境和机会。感谢各位专家和评委耐心审阅我的论文，他们提出了许多宝贵的意见和建议。感谢所有曾经给我理解、关心与帮助的朋友们。感谢与我共同学习、生活的同学，在毕业设计的过程中你们不止一次的对我进行了帮助，因为你们对我的帮助使我可以不断的克服一个又一个的难题。感谢所有曾经给我帮助的同学和老师。参考文献1 郑成兴著. 网络入侵防范的理论与实践. 机械工业出版社2 美 Merike Kaeo 著.网络安全性设计. 人民邮电出版社3 Greg Holden.网络防御与安全对策.北京：清华大学出版社. 2004.4 高永强，郭世泽等.网络安全技术与应用大典.北京：人民邮电出版社，2003.5 贾伟.网络与电子商务安全.北京：国防工业出版社. 2006.6 李成大.张京，龚茗茗.计算机信息安全.北京：人民邮电出版社. 2004.7 王睿.林海波等.网络安全与防火墙技术.北京：清华大学出版社. 2000.