防火墻技術(shù)論文精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的防火墻技術(shù)論文主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：防火墻技術(shù)論文范文

1網(wǎng)絡(luò)安全與校園網(wǎng)安全

1.1網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全不是目的，只是一種保障。就網(wǎng)絡(luò)安全來說，其造成威脅的因素又可分為內(nèi)因和外因。內(nèi)因主要是計(jì)算機(jī)本身的問題所致，例如自身的系統(tǒng)缺陷、訪問控制中的安全隱患和漏洞、www等域名的服務(wù)漏洞、網(wǎng)絡(luò)操作系統(tǒng)的安全缺陷等。外因主要是指來自外界的威脅和干擾。包括計(jì)算機(jī)病毒、非授權(quán)的冒充使用、物理環(huán)境的安全性差等因素。

1.2校園網(wǎng)安全

校園網(wǎng)相對(duì)來說是一個(gè)比較特殊的環(huán)境，由于面向的群體主要是學(xué)生，因此除了要保證網(wǎng)絡(luò)的正常運(yùn)行外，還必須做好對(duì)內(nèi)容不健康信息的過濾功能以及應(yīng)對(duì)個(gè)別同學(xué)喜歡嘗試各種試圖攻擊和入侵服務(wù)器的行為。通過分析目前校園網(wǎng)中存在的問題，應(yīng)該從以下幾方面進(jìn)行著手維護(hù)：制定和實(shí)施訪問安全，身份認(rèn)證，禁止未授權(quán)的訪問者非法進(jìn)入；對(duì)于電子閱覽室、網(wǎng)絡(luò)實(shí)驗(yàn)室等學(xué)校人員經(jīng)常使用的計(jì)算機(jī)，安裝上防火墻，過濾掉、暴力等不健康的網(wǎng)站；對(duì)重要或敏感的信息和數(shù)據(jù)進(jìn)行加密，保證信息的內(nèi)容的安全性，防止例如學(xué)生成績(jī)信息等重要數(shù)據(jù)被非法篡改；確保網(wǎng)絡(luò)運(yùn)行設(shè)施的可靠性和安全監(jiān)測(cè)手段的有效性，防范非法入侵而使系統(tǒng)功能受到影響情況的出現(xiàn)；學(xué)?？稍O(shè)立網(wǎng)絡(luò)安全管理機(jī)制，負(fù)責(zé)網(wǎng)絡(luò)安全管理和規(guī)劃等工作，加強(qiáng)學(xué)校安全管理教育工作的開展。

2防火墻技術(shù)

防火墻是一種為了保護(hù)內(nèi)部網(wǎng)安全，在計(jì)算機(jī)的硬件和軟件相互搭配組合下，在互聯(lián)網(wǎng)和內(nèi)部網(wǎng)之間形成安全屏障的技術(shù)，是確保網(wǎng)絡(luò)安全的重要手段。作為現(xiàn)代網(wǎng)絡(luò)時(shí)代不可或缺的安全產(chǎn)品，防火墻已經(jīng)成為了校園網(wǎng)絡(luò)必要的存在。就目前來說，防火墻主要通過對(duì)未經(jīng)證實(shí)的主機(jī)的TCP/IP進(jìn)行分組過濾、利用IP地址進(jìn)行偽裝、通過功能，斷絕內(nèi)外部之間的連接等三個(gè)主要手段對(duì)內(nèi)部網(wǎng)進(jìn)行安全保護(hù)。

2.1防火墻的功能

（1）管理進(jìn)出網(wǎng)絡(luò)的訪問行為作為雙向溝通間的控制點(diǎn)，防火墻可以利用自身的阻塞點(diǎn)，對(duì)訪問的信息進(jìn)行管理和控制，并過濾掉不安全的服務(wù)和信息，只允許經(jīng)過選擇的應(yīng)用選擇通過防火墻，這在很大程度上降低了訪問的風(fēng)險(xiǎn)，提高了內(nèi)部網(wǎng)絡(luò)的安全性。（2）記錄通過防火墻的信息內(nèi)容和活動(dòng)防火墻的建立使得所有信息的訪問在經(jīng)過防火墻的時(shí)候都會(huì)留下記錄，防火墻內(nèi)部會(huì)根據(jù)這些數(shù)據(jù)統(tǒng)計(jì)網(wǎng)絡(luò)的使用情況，并作出日志記錄。（3）監(jiān)測(cè)和反饋網(wǎng)絡(luò)攻擊行為在信息監(jiān)測(cè)的過程中，當(dāng)有可疑的情況發(fā)生時(shí)，防火墻會(huì)適當(dāng)?shù)膱?bào)警，并把詳細(xì)信息自動(dòng)生成電子郵件發(fā)送給網(wǎng)絡(luò)維護(hù)者，提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的信息。（4）防止內(nèi)部信息的泄漏在實(shí)施保護(hù)的過程中，可以通過防火墻的內(nèi)部網(wǎng)絡(luò)劃分，將重點(diǎn)網(wǎng)段進(jìn)行隔離，防止了局部重點(diǎn)或敏感段落出現(xiàn)問題對(duì)全局造成影響。

2.2防火墻特性

（1）是雙向網(wǎng)絡(luò)載體通信之間的中間存在點(diǎn)；（2）具有透明性，其存在不影響信息之間的交流和溝通；（3）它只對(duì)符合本地開放安全的信息進(jìn)行授權(quán)，而只有經(jīng)過授權(quán)的信息才可以自由出入網(wǎng)絡(luò)。

3防火墻技術(shù)在大學(xué)校園網(wǎng)中的應(yīng)用

在目前，各種維護(hù)網(wǎng)絡(luò)的軟硬件層出不窮，但大多數(shù)只能解決學(xué)校網(wǎng)絡(luò)安全中的一部分，例如金山、瑞星等軟件解決病毒防范，天網(wǎng)、天融信等軟件解決網(wǎng)絡(luò)攻擊問題，這些軟件的存在都是以解決單一或部分問題為目標(biāo)，并不能對(duì)學(xué)校的網(wǎng)絡(luò)安全形成整體的解決方案。由于學(xué)校的特殊性，學(xué)校對(duì)網(wǎng)絡(luò)的需求也有所不同，因此校園網(wǎng)絡(luò)應(yīng)該根據(jù)學(xué)校的需求特點(diǎn)出發(fā)，以第一評(píng)價(jià)為標(biāo)準(zhǔn)，完善網(wǎng)絡(luò)體系，具體來說，有以下幾個(gè)步驟：

3.1入侵監(jiān)測(cè)系統(tǒng)

入侵檢測(cè)是一種能夠及時(shí)監(jiān)測(cè)和發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中異?，F(xiàn)象的實(shí)時(shí)監(jiān)測(cè)技術(shù)。在監(jiān)測(cè)過程中除了利用審計(jì)記錄，監(jiān)測(cè)出任何不希望有的活動(dòng)以外，它還可以實(shí)時(shí)防護(hù)來自IPSpoofing、PingofDeath以及其它外界的攻擊，以保護(hù)系統(tǒng)的安全。而在監(jiān)測(cè)到攻擊行為時(shí)它還可以自動(dòng)生成電子郵件通知系統(tǒng)管理員，使其可以在第一時(shí)間處理危機(jī)。

3.2建立用戶認(rèn)證

建立和完善網(wǎng)絡(luò)的用戶認(rèn)證機(jī)制，對(duì)于不可信網(wǎng)站的訪問，防火墻可以經(jīng)過內(nèi)建用戶數(shù)據(jù)庫或IP/MAC綁定資料等進(jìn)行認(rèn)證，并決定是否給予訪問的權(quán)限。而防火墻也可以限定授權(quán)用戶通過防火墻進(jìn)行一些有限制的活動(dòng)。

3.3防火墻系統(tǒng)的檢測(cè)和維護(hù)

在合理配置了防火墻后，必須要對(duì)防火墻進(jìn)行經(jīng)常性的檢測(cè)和監(jiān)督，并對(duì)監(jiān)測(cè)到的網(wǎng)絡(luò)流量進(jìn)行分析，時(shí)刻關(guān)注異常流量的情況，做好日志備份等處理工作，以便日后信息的查閱。最后，防火墻的配置也要根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的變化而變化，從而保證其能在保護(hù)校園網(wǎng)中發(fā)揮更好的作用。

3.4漏洞掃描系統(tǒng)

要想解決網(wǎng)絡(luò)中的安全問題，首先要清楚存在了哪些安全隱患。面對(duì)強(qiáng)大的網(wǎng)絡(luò)覆蓋面和不斷變化的網(wǎng)絡(luò)復(fù)雜性，如果僅僅只依靠網(wǎng)絡(luò)技術(shù)管理人員的技術(shù)去查找漏洞是存在著巨大困難的，也是不現(xiàn)實(shí)的。因此唯一的方法就是找出一種可以替代人工查詢漏洞，并做出及時(shí)評(píng)估、提出修改意見的安全掃描工具，它可以在系統(tǒng)優(yōu)化的過程中彌補(bǔ)安全漏洞，消除安全隱患。

3.5利用網(wǎng)絡(luò)監(jiān)聽維護(hù)子網(wǎng)安全

威脅校園網(wǎng)絡(luò)安全有內(nèi)因和外因兩個(gè)部分，對(duì)于外因，我們可以通過安裝防火墻來解決，但是對(duì)于校園內(nèi)部的入侵我們則無能為力，在這種情況下，學(xué)?？梢栽诰W(wǎng)絡(luò)監(jiān)控部門中設(shè)立一個(gè)專門管理和分析網(wǎng)絡(luò)運(yùn)作狀態(tài)的子網(wǎng)監(jiān)聽程序，該監(jiān)聽程序可以包含一定的審計(jì)功能，方便在長(zhǎng)期監(jiān)聽子網(wǎng)的情況中，為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份，并在監(jiān)聽的程序之間建立聯(lián)系，保證相互聯(lián)系的計(jì)算機(jī)，在其它服務(wù)器收不到聯(lián)系的情況下，會(huì)自動(dòng)發(fā)出警報(bào)提示。

4結(jié)語

第2篇：防火墻技術(shù)論文范文

關(guān)鍵詞:網(wǎng)絡(luò)；安全；防火墻

1 緒論

隨著國家的快速發(fā)展，社會(huì)的需求等諸多問題都體現(xiàn)了互聯(lián)網(wǎng)的重要性，各高校也都相繼有了自己的內(nèi)部和外部網(wǎng)絡(luò)。致使學(xué)校網(wǎng)絡(luò)安全問題是我們急需要解決的問題。小到別人的電腦系統(tǒng)癱瘓、帳號(hào)被盜，大到學(xué)校重要的機(jī)密資料，財(cái)政資料，教務(wù)處的數(shù)據(jù)被非法查看修改等等。學(xué)校機(jī)房網(wǎng)絡(luò)安全也是一個(gè)很重要的地方。由于是公共型機(jī)房。對(duì)于公共機(jī)房的網(wǎng)絡(luò)安全問題，提出以下幾個(gè)方法去解決這類的一部分問題。

2 PC機(jī)

2.1 PC終端機(jī)。對(duì)于終端機(jī)來說，我們應(yīng)該把一切的系統(tǒng)漏洞全部打上補(bǔ)丁。像360安全衛(wèi)士（省略/）是一款不錯(cuò)的實(shí)用、功能強(qiáng)大的安全軟件。里面有“修復(fù)系統(tǒng)漏洞”選項(xiàng)，我們只要點(diǎn)擊掃描，把掃描到的系統(tǒng)漏洞，點(diǎn)擊下載安裝，并且都是自動(dòng)安裝，安裝完就可以了。

2.2 安裝殺毒軟件。比如說中國著名的瑞星2008殺毒軟件，從瑞星官方網(wǎng)站（省略/）下載，下載完，安裝簡(jiǎn)體版就可以了。安裝完之后，就進(jìn)行全盤查毒。做到客戶機(jī)沒有病毒。讓電腦處于無毒環(huán)境中。也可以在【開始-運(yùn)行】中輸入【sigverif】命令，檢查系統(tǒng)的文件有沒有簽名，沒有簽名的文件就有可能是被病毒感染了。可以上網(wǎng)查詢之后，進(jìn)行刪除。

2.3 防火墻。打好系統(tǒng)漏洞補(bǔ)丁，安裝好殺毒軟件之后，就是安裝防火墻像瑞星防火墻，天網(wǎng)防火墻以及風(fēng)云防火墻等。風(fēng)云防火墻是一款功能強(qiáng)大的防火墻軟件，它不僅僅能防病毒，還能防現(xiàn)在很是厲害的ARP病毒。

2.4 用戶設(shè)置。把Administrator超級(jí)用戶設(shè)置密碼，對(duì)不同的用戶進(jìn)行用戶權(quán)限設(shè)置。

3 解決方案

3.1 防火墻技術(shù)。防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實(shí)現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系統(tǒng)，也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。用防火墻來實(shí)現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：

①屏蔽路由器：又稱包過濾防火墻。

②雙穴主機(jī)：雙穴主機(jī)是包過濾網(wǎng)關(guān)的一種替代。

③主機(jī)過濾結(jié)構(gòu)：這種結(jié)構(gòu)實(shí)際上是包過濾和的結(jié)合。

④屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。

3.2 VPN技術(shù)。VPN的安全保證主要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來實(shí)現(xiàn)，可以保證企業(yè)員工安全地訪問公司網(wǎng)絡(luò)。

3.3 網(wǎng)絡(luò)加密技術(shù)（Ipsec）。IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層，IP作為網(wǎng)絡(luò)層協(xié)議，其安全機(jī)制可對(duì)其上層的各種應(yīng)用服務(wù)提供透明的覆蓋式安全保護(hù)。因此，IP安全是整個(gè)TCP/IP安全的基礎(chǔ)，是網(wǎng)絡(luò)安全的核心。IPSec提供的安全功能或服務(wù)主要包括：

①訪問控制；②無連接完整性；③數(shù)據(jù)起源認(rèn)證；④抗重放攻擊；⑤機(jī)密性；⑥有限的數(shù)據(jù)流機(jī)密性。

3.4 身份認(rèn)證。在一個(gè)更為開放的環(huán)境中，支持通過網(wǎng)絡(luò)與其他系統(tǒng)相連，就需要“調(diào)用每項(xiàng)服務(wù)時(shí)需要用戶證明身份，也需要這些服務(wù)器向客戶證明他們自己的身份。”的策略來保護(hù)位于服務(wù)器中的用戶信息和資源。像數(shù)字簽名。

4會(huì)話控制與帶寬管理策略

4.1 會(huì)話數(shù)控制。 使用校園網(wǎng)出口防火墻，通過單用戶會(huì)話和流量控制功能進(jìn)行相關(guān)管理。通過應(yīng)用防火墻設(shè)置新建連接閥值，可以對(duì)網(wǎng)絡(luò)中每個(gè)用戶會(huì)話連接數(shù)進(jìn)行控制，當(dāng)閥值被觸動(dòng)后，動(dòng)態(tài)地將非法用戶添加到黑名單，直接將非法用戶連接阻斷，并且可以靈活的設(shè)置控制黑名單的有效時(shí)間。通過單用戶會(huì)話數(shù)限制，可以做到：當(dāng)校園網(wǎng)內(nèi)機(jī)器病毒爆發(fā)時(shí)，阻止大量數(shù)據(jù)包對(duì)外建立連接，耗費(fèi)網(wǎng)絡(luò)資源；阻止黑客對(duì)網(wǎng)絡(luò)的掃描；阻止黑客進(jìn)行DDOS攻擊。

5 結(jié)論

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。本論文從多方面描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問題的解決，可以使讀者有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

參考文獻(xiàn)

［1］ 雷震甲.網(wǎng)絡(luò)工程師教程.［M］.北京：清華大學(xué)出版社，2004.

第3篇：防火墻技術(shù)論文范文

關(guān)鍵詞：指紋系統(tǒng)，安全防范，防御機(jī)制

 

一、概述

指紋信息系統(tǒng)作為一種公安工作的局域網(wǎng)，有其特定含義和應(yīng)用范疇，它積累信息為偵察破案提供線索，概括起來有四個(gè)方面的典型應(yīng)用：第一，指紋系統(tǒng)是為公安工作服務(wù)的，是一種刑事偵察的工具，它是各地、市之間指紋交流工具，也是指紋信息資源的提供者。第二，指紋系統(tǒng)是為偵察破案提供線索，為案件進(jìn)展提供便利服務(wù)的。第三，指紋系統(tǒng)積累犯罪嫌疑人信息，如嫌疑人的指紋管理、前科管理、基本信息管理等，為串、并案件提供可靠依據(jù)。第四，指紋系統(tǒng)是溝通與其他公安工作的窗口，利用它既可以獲取各種信息，也可以向其他公安工作相關(guān)信息。

二、指紋信息系統(tǒng)安全的主要問題

隨著網(wǎng)絡(luò)在公安工作各個(gè)方面的延伸，進(jìn)入指紋系統(tǒng)的手段也越來越多，因此，指紋信息安全是目前指紋工作中面臨的一個(gè)重要問題。

1、物理安全問題

指紋信息系統(tǒng)安全首先要保障系統(tǒng)上指紋數(shù)據(jù)的物理安全。物理安全是指在物理介質(zhì)層次上對(duì)存貯和傳輸?shù)闹讣y數(shù)據(jù)安全保護(hù)。目前常見的不安全因素（安全威脅或安全風(fēng)險(xiǎn)）包括兩大類：第一類是自然災(zāi)害（如雷電、地震、火災(zāi)、水災(zāi)等），物理損壞（如硬盤損壞、設(shè)備使用壽命到期、外力破損等），設(shè)備故障（如停電、斷電、電磁干擾等），意外事故。第二類是操作失誤（如刪除文件、格式化硬盤、線路拆除等），意外疏漏（如系統(tǒng)掉電、“死機(jī)”等）。

2、指紋操作系統(tǒng)及應(yīng)用服務(wù)的安全問題

現(xiàn)在應(yīng)用的主流操作系統(tǒng)為Windows 操作系統(tǒng)，該系統(tǒng)存在很多安全隱患。操作系統(tǒng)不安全也是系統(tǒng)不安全的重要原因。

3、非法用戶的攻擊

幾乎每天都可能聽到在公安網(wǎng)上眾多的非法攻擊事件，這些事件一再提醒我們，必須高度重視系統(tǒng)的安全問題。非法用戶攻擊的主要方法有：口令攻擊、網(wǎng)絡(luò)監(jiān)聽、緩沖區(qū)溢出、郵件攻擊和其他攻擊方法。

4、計(jì)算機(jī)病毒威脅

計(jì)算機(jī)病毒將導(dǎo)致指紋系統(tǒng)癱瘓，系統(tǒng)程序和指紋數(shù)據(jù)嚴(yán)重破壞，使系統(tǒng)的效率和作用大大降低，系統(tǒng)的許多功能無法使用或不敢使用。雖然，至今還沒過出現(xiàn)災(zāi)難性的后果，但層出不窮的各種各樣的計(jì)算機(jī)病毒活躍在公安網(wǎng)的各個(gè)角落，令人堪憂。計(jì)算機(jī)病毒是指人為制造的干擾和破壞計(jì)算機(jī)系統(tǒng)的程序,它具有傳染性、隱蔽性、潛伏性、破壞性等特點(diǎn)。通常,我們將計(jì)算機(jī)的病毒分為“良性”和“惡性”兩類。所謂良性病毒是指不對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞,但會(huì)造成計(jì)算機(jī)工作異常、變慢等。 惡性病毒往往沒有直觀表現(xiàn),但會(huì)對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞,有的甚至?xí)茐挠?jì)算機(jī)的硬件,造成整個(gè)計(jì)算機(jī)癱瘓。前段時(shí)間流行的沖擊波、震蕩波、狙擊波病毒，它們根據(jù) Windows漏洞進(jìn)行攻擊，電腦中毒后1分鐘重起。在重新啟動(dòng)之前，沖擊波和震蕩波允許用戶操作，而狙擊波不允許用戶操作。病毒是十分狡猾的敵人,它隨時(shí)隨地在尋找入侵電腦的機(jī)會(huì),因此,預(yù)防和清除計(jì)算機(jī)病毒是非常重要的，我們應(yīng)提高對(duì)計(jì)算機(jī)病毒的防范意識(shí),不給病毒以可乘之機(jī)。

三、指紋系統(tǒng)的安全防范措施

指紋信息系統(tǒng)是一個(gè)人機(jī)系統(tǒng)，需要多人參與工作，而系統(tǒng)操作人員是系統(tǒng)安全的責(zé)任主體，因此，要重視對(duì)各級(jí)系統(tǒng)操作人員進(jìn)行系統(tǒng)安全的教育，做到專機(jī)專用，嚴(yán)禁操作人員進(jìn)行工作以外的操作；下面就本人在實(shí)際工作中總結(jié)的一些經(jīng)驗(yàn),談一 談對(duì)指紋信息系統(tǒng)的維護(hù)與病毒的預(yù)防。

1、 對(duì)指紋系統(tǒng)硬件設(shè)備和系統(tǒng)設(shè)施進(jìn)行安全防護(hù)

（1）系統(tǒng)服務(wù)器安全：服務(wù)器是指紋系統(tǒng)的大腦和神經(jīng)中樞，一旦服務(wù)器或硬盤有故障，輕者將導(dǎo)致系統(tǒng)的中斷，重者可能導(dǎo)致系統(tǒng)癱瘓或指紋數(shù)據(jù)丟失，因此在服務(wù)器端，可以采用雙機(jī)熱備份＋異機(jī)備份方案。論文大全。在主服務(wù)器發(fā)生故障的情況下，備份服務(wù)器自動(dòng)在 30 秒 內(nèi)將所有服務(wù)接管過來，從而保證整個(gè)指紋系統(tǒng)不會(huì)因?yàn)榉?wù)器發(fā)生故障而影響到系統(tǒng)的正常運(yùn)行，確保系統(tǒng) 24小時(shí)不間斷運(yùn)行。在磁盤陣列柜，我們可安裝多塊服務(wù)器硬盤， 用其中一塊硬盤做備份，這樣可保證在其它硬盤發(fā)生故障時(shí)，直接用備份硬盤進(jìn)行替換。

（2）異機(jī)數(shù)據(jù)備份：為防止單點(diǎn)故障（如磁盤陣列柜故障）的出現(xiàn)，可以另設(shè)一個(gè)備份服務(wù)器為，并給它的服務(wù)設(shè)置一個(gè)定時(shí)任務(wù)，在定置任務(wù)時(shí)，設(shè)定保存兩天的備份數(shù)據(jù)，這樣可保證當(dāng)某天指紋數(shù)據(jù)備份過程中出現(xiàn)故障時(shí)也能進(jìn)行指紋數(shù)據(jù)的安全恢復(fù)。通過異機(jī)備份，即使出現(xiàn)不可抗拒、意外事件或人為破壞等毀滅性災(zāi)難時(shí)，也不會(huì)導(dǎo)致指紋信息的丟失，并可保證在1小時(shí)內(nèi)將指紋數(shù)據(jù)恢復(fù)到最近狀態(tài)下，使損失降到最低。

（3）電路供應(yīng)：中心機(jī)房電源盡量做到專線專供，同時(shí)采用UPS（不間斷電源），部分非窗口計(jì)算機(jī)采用300 W 延時(shí)20分鐘的 UPS進(jìn)行備用，這樣可保證主服務(wù)器和各服務(wù)窗口工作站不會(huì)因電源故障而造成指紋信息的丟失或系統(tǒng)的癱瘓。

（4）避雷系統(tǒng)：由于通信設(shè)備尤其是裸露于墻體外的線路，易受雷擊等強(qiáng)電磁波影響而導(dǎo)致接口燒壞，為對(duì)整個(gè)系統(tǒng)進(jìn)行防雷保護(hù)，分別對(duì)中心機(jī)房、主交換機(jī)、各分交換機(jī)和各工作站進(jìn)行了分層次的防護(hù)。

（5）主機(jī)房的防盜、防火、防塵：主機(jī)房是系統(tǒng)中心，一旦遭到破壞將帶來不可估量的損失，可以安裝防盜門，或安排工作人員24小時(shí)值班。同時(shí)，由于服務(wù)器、交換機(jī)均屬于高精密儀器，對(duì)防塵要求很高，所以對(duì)主機(jī)房進(jìn)行裝修時(shí)應(yīng)鋪上防靜電地板，準(zhǔn)備好（電火）滅火器，安裝上空調(diào)， 以保證機(jī)房的恒溫，并派專人對(duì)主機(jī)房的衛(wèi)生、防塵等具體負(fù)責(zé)。論文大全。

（6）對(duì)移動(dòng)存儲(chǔ)器，借出時(shí)要寫保護(hù)，借入時(shí)要先殺毒；

（7）不使用盜版或來歷不明的軟件，做到專機(jī)專用，在公安內(nèi)網(wǎng)的機(jī)器不準(zhǔn)聯(lián)到互聯(lián)網(wǎng)上使用；

2 、 全方位的系統(tǒng)防御機(jī)制

我們常說“病從口入”所以要做到防患于未然,必須切斷計(jì)算機(jī)病毒的傳播途徑,具體的預(yù)防措施如下:

（1）利用防病毒技術(shù)來阻止病毒的傳播與發(fā)作。

為了使系統(tǒng)免受病毒所造成的損失，采用多層的病毒防衛(wèi)體系。在每臺(tái)PC機(jī)上安裝單機(jī)版反病毒軟件，在服務(wù)器上安裝基于服務(wù)器的反病毒軟件，并在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件。因?yàn)榉乐共《镜墓羰敲總€(gè)工作人員的責(zé)任，人人都要做到自己使用的臺(tái)式機(jī)上不受病毒的感染，從而保證整個(gè)指紋系統(tǒng)不受病毒的感染。

（2）應(yīng)用防火墻技術(shù)來控制訪問權(quán)限。

作為指紋系統(tǒng)內(nèi)部網(wǎng)絡(luò)與外部公安網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著公安網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和公安工作中網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。 在系統(tǒng)出口處安裝防火墻后，系統(tǒng)內(nèi)部與外部網(wǎng)絡(luò)進(jìn)行了有效的隔離，所有來自外部的訪問請(qǐng)求都要通過防火墻的檢查，這樣系統(tǒng)的安全有了很大的提高。論文大全。防火墻可以通過源地址過濾，拒絕非法IP 地址，有效避免公安網(wǎng)上與指紋工作無關(guān)的主機(jī)的越權(quán)訪問；防火墻可以只保留有用的服務(wù)，將其他不需要的服務(wù)關(guān)閉，這樣做可以將系統(tǒng)受攻擊的可能性降低到最小限度，使非法用戶無機(jī)可乘；防火墻可以制定訪問策略，只有被授權(quán)的外部主機(jī)才可以訪問系統(tǒng)的有限IP地址，保證其它用戶只能訪問系統(tǒng)的必要資源，與指紋工作無關(guān)的操作將被拒絕；由于所有訪問都要經(jīng)過防火墻，所以防火墻可以全面監(jiān)視對(duì)系統(tǒng)的訪問活動(dòng)，并進(jìn)行詳細(xì)的記錄，通過分析可以發(fā)現(xiàn)可疑的攻擊行為；防火墻可以進(jìn)行地址轉(zhuǎn)換工作，使外部用戶不能看到系統(tǒng)內(nèi)部的結(jié)構(gòu)，使攻擊失去目標(biāo)。

（3）應(yīng)用入侵檢測(cè)技術(shù)及時(shí)發(fā)現(xiàn)攻擊苗頭。

入侵檢測(cè)系統(tǒng)是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實(shí)時(shí)入侵檢測(cè)能力之所以重要是因?yàn)樗軌驅(qū)Ω秮碜韵到y(tǒng)內(nèi)外的攻擊，縮短入侵的時(shí)間。

（4）應(yīng)用安全掃描技術(shù)主動(dòng)探測(cè)系統(tǒng)安全漏洞，進(jìn)行系統(tǒng)安全評(píng)估與安全加固。安全掃描技術(shù)與防火墻、入侵檢測(cè)系統(tǒng)互相配合，能夠有效提高指紋系統(tǒng)的安全性。通過對(duì)系統(tǒng)的掃描，系統(tǒng)管理員可以了解系統(tǒng)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估系統(tǒng)風(fēng)險(xiǎn)等級(jí)。系統(tǒng)管理員也可以根據(jù)掃描的結(jié)果及時(shí)消除系統(tǒng)安全漏洞和更正系統(tǒng)中的錯(cuò)誤配置，在非法用戶攻擊前進(jìn)行防范。

（5）應(yīng)用系統(tǒng)安全緊急響應(yīng)體系，防范安全突發(fā)事件。

指紋系統(tǒng)安全作為一項(xiàng)動(dòng)態(tài)工程，意味著它的安全程度會(huì)隨著時(shí)間的變化而發(fā)生改變。 在信息技術(shù)日新月異的今天，即使昔日固若金湯的系統(tǒng)安全策略，也難免會(huì)隨著時(shí)間和環(huán)境的變化，變得不堪一擊。因此，我們需要隨時(shí)間和系統(tǒng)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略，并及時(shí)組建系統(tǒng)安全緊急響應(yīng)體系，專人負(fù)責(zé)，防范安全突發(fā)事件。

參考文獻(xiàn)：

[1]　JonathanPBowen,Kirill Bogdanov,et al.FORTEST: formal methods andtesting.In:26thInternational Computer Software and Applications Conference(COMPSAC 2002).Prolonging Software Life: Development and Redevelopment,England:Oxford,August 2002.91~104

[2]　J Dick, AFaivre.Automating the generation and sequencing of test cases frommodel-basedspecifications.In:Proceedings of FME’93, Industrial-StrengthFormal Methods,Odense Denmark, Springer-Verlag.Lecture Notes in ComputerScience,1993,670:268~284

[3]　張　敏,徐　震,馮登國.基于安全策略模型的安全功能測(cè)試用例生成方法,軟件學(xué)報(bào)(已投稿),2006

[4]　何永忠.DBMS安全策略模型的研究:[博士學(xué)位論文],北京市石景山區(qū)玉泉路19號(hào)(甲):中國科學(xué)院研究生院,2005

[5] National Computer Security Center,A guide to understanding security models intrusted Systems,NCSC-TG-010,1992

[6]蔣平．計(jì)算機(jī)犯罪問題研究［M］．北京：電子工業(yè)出版社，2002．

[7]高銘喧．新編中國刑法學(xué)［M］．北京：中國科學(xué)技術(shù)出版社，2000．

[8]朱廣艷． 信息技術(shù)與課程整合的發(fā)展與實(shí)踐［J］． 中國電化教育，2003（194）：8－ 10．

[9]黃叔武 劉建新 計(jì)算機(jī)網(wǎng)絡(luò)教程 清華大學(xué)出版社 2004年11 月

[10]戴紅 王海泉 黃堅(jiān) 計(jì)算機(jī)網(wǎng)絡(luò)安全 電子工業(yè)出版社2004.9.8

[11]丁志芳, 徐夢(mèng)春. 評(píng)說防火墻和入侵檢測(cè)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2004,(4):37- 41.

[12]周國民. 黑客蘇南與用戶防御[J].計(jì)算機(jī)安全, 2005,(7):72-74.

[13]周筱連. 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)[J].電腦知識(shí)與技術(shù)( 學(xué)術(shù)交流) ,2007,(1).

[14]阿星. 網(wǎng)絡(luò)安全不容忽視[J]. 電腦采購周刊, 2002,(32).

[15]網(wǎng)絡(luò)安全新概念[J].計(jì)算機(jī)與網(wǎng)絡(luò), 2004,(7).

[16]王銳. 影響網(wǎng)絡(luò)安全的因素及需要考慮的問題[J]. 計(jì)算機(jī)教育, 2005,(1).

第4篇：防火墻技術(shù)論文范文

【關(guān)鍵詞】防火墻 網(wǎng)絡(luò)安全 控制程序 測(cè)試方案

隨著網(wǎng)絡(luò)安全市場(chǎng)的打開，越來越多的公司加入到網(wǎng)絡(luò)安全軟件、硬件開發(fā)行列中，市場(chǎng)上就開始出現(xiàn)各類防火墻，其基本原理也就是通過源地址、目標(biāo)地址互聯(lián)安全控制來達(dá)到目的主機(jī)的安全。是否到達(dá)這個(gè)終極目標(biāo)、以及防火墻在強(qiáng)力攻擊之下能否還能穩(wěn)定運(yùn)行，規(guī)則判斷能否準(zhǔn)確而無誤執(zhí)行等，這些是需要經(jīng)過嚴(yán)密的測(cè)試與檢驗(yàn)才可以得出結(jié)論。只用通過嚴(yán)格檢驗(yàn)，才能保證核心系統(tǒng)與主機(jī)的安全，所以測(cè)試對(duì)于產(chǎn)品檢驗(yàn)來說是致關(guān)重要。

1 防火墻功簡(jiǎn)介

1.1 防火墻信息安全與屬性

防火墻作為企業(yè)內(nèi)外網(wǎng)中間安全監(jiān)測(cè)點(diǎn)，為了實(shí)現(xiàn)數(shù)據(jù)通信安全審查與訪問的隔離，防火墻就必須具備如下幾個(gè)功能：

（1）通過地址訪問控制，執(zhí)行本地網(wǎng)絡(luò)安全策略。

（2）防火墻自身的安全性保障，該功能是防火墻本身需要具備的重要一個(gè)原則。

（3）對(duì)網(wǎng)絡(luò)中的各種行為提供日志和統(tǒng)計(jì)功能。

（4）防火墻的效率和可用性，其執(zhí)行效率直接影響內(nèi)外網(wǎng)的通信效率和。

（5）能提供統(tǒng)一、集中的網(wǎng)絡(luò)安全和管理。

1.2 防火墻核心參數(shù)與測(cè)試方法

吞吐量：吞吐量主要體現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)能力，測(cè)試防火墻吞吐量主要通過試儀端口數(shù)量進(jìn)行體現(xiàn)，測(cè)試中涉及的配置情況包括：透明模式，路由模式，配置NAT，配置policy，配置AV掃描，配置QoS等。一般情況下設(shè)備在配置大量policy的情況下的吞吐量不會(huì)有太大變化。在配置雙向或者單向NAT后吞吐量大約是路由模式的98%左右。透明模式的吞吐量大約是路由模式吞吐量的80%左右。

時(shí)延：時(shí)延所測(cè)試的是系統(tǒng)處理數(shù)據(jù)包所需要的時(shí)間。防火墻的時(shí)延測(cè)試的是其存儲(chǔ)轉(zhuǎn)發(fā)（Store and Forward）的性能（另一種是Cut and Through）。時(shí)延的測(cè)試通常會(huì)選用測(cè)試儀所對(duì)應(yīng)的RFC測(cè)試套件進(jìn)行測(cè)試。

丟包率：丟包率是測(cè)試系統(tǒng)在一定負(fù)載的情況下丟包數(shù)量多少的測(cè)試。測(cè)試的意義在于通過過載的流量來考查對(duì)設(shè)備正常轉(zhuǎn)發(fā)性能的影響。包率的測(cè)試通常會(huì)選用測(cè)試儀所對(duì)應(yīng)的RFC測(cè)試套件進(jìn)行測(cè)試。

系統(tǒng)恢復(fù)時(shí)間：系統(tǒng)恢復(fù)時(shí)間的測(cè)試包括：系統(tǒng)重起的時(shí)間測(cè)試，系統(tǒng)斷電重起的時(shí)間測(cè)試，HA倒換時(shí)間測(cè)試，HA恢復(fù)時(shí)間測(cè)試，系統(tǒng)過載恢復(fù)測(cè)試（這個(gè)一般很少見），在HA倒換時(shí)間測(cè)試中測(cè)試包括主->備切換時(shí)間測(cè)試，備->主恢復(fù)時(shí)間測(cè)試。通用的測(cè)試方法為：使用測(cè)試儀發(fā)送恒定速率的流量穿過DUT，DUT進(jìn)行reset，或者斷電操作，直到流量恢復(fù)正常。恢復(fù)時(shí)間=丟包數(shù)量/發(fā)包速率。另外一種測(cè)試方法是通過ping包丟棄的數(shù)量來衡量倒換的時(shí)間

2 防火墻強(qiáng)測(cè)試方案設(shè)計(jì)

2.1 防火墻性能測(cè)試架構(gòu)

性能測(cè)試部分主要利用SmartBits6000B專業(yè)測(cè)試儀，依照RFC2544定義的規(guī)范，對(duì)防火墻的吞吐量、延遲和丟包率三項(xiàng)重要指標(biāo)進(jìn)行驗(yàn)證。在性能測(cè)試中，需要綜合驗(yàn)證防火墻橋接模式的性能表現(xiàn)，其拓?fù)鋱D采用圖1所示方案。

吞吐量測(cè)試是測(cè)試防火墻在正常工作時(shí)的數(shù)據(jù)傳輸處理能力的重要指標(biāo)，更高的吞吐量使得防火墻更能適用于網(wǎng)絡(luò)核心層對(duì)流量要求很高的網(wǎng)絡(luò)環(huán)境，使防火墻不會(huì)成為網(wǎng)絡(luò)的性能瓶頸，不會(huì)影響正常的業(yè)務(wù)通訊。單條規(guī)則，2GE，1G雙向流量測(cè)試 無小包加速結(jié)果。（吞吐量測(cè)試結(jié)果）幀長(zhǎng)（字節(jié)）分別為64，128，256，512，1024，1280，1518。分別得到橋接模式雙向零丟包率吞吐率（%） 為14.48，25.87，45.10，87.50，100，100，100。

2.2 防火墻壓力仿真測(cè)試

考慮到防火墻在實(shí)際應(yīng)用中的復(fù)雜性，在本次的測(cè)試方案中，我們需要進(jìn)行壓力仿真測(cè)試，模擬實(shí)際應(yīng)用的復(fù)雜度?？紤]到測(cè)試時(shí)間及測(cè)試環(huán)境的限制，壓力測(cè)試選取以下最為重要的幾點(diǎn)進(jìn)行，本次測(cè)試進(jìn)行防火墻橋接模式的驗(yàn)證，拓?fù)鋱D采取以下方案。本次測(cè)試以100條控制規(guī)則壓力為前提進(jìn)行，性能考慮吞吐量和延遲和丟包率。單機(jī)吞吐率（100條規(guī)則，2個(gè)GE口，1Gbps雙向流量測(cè)試 無小包加速結(jié)果）。（單機(jī)吞吐量）幀長(zhǎng)（字節(jié)）為64，128，256，512，1024，1280，1518；分別得到橋接模式雙向零丟包率，壓力吞吐率（%）為14.48，25.87，45.10，79.17，100，100，100。

3 結(jié)束語

防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全體系的重要設(shè)備，其目的是要在內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制，系統(tǒng)測(cè)試從穩(wěn)定性、可靠性、安全性及性能表現(xiàn)等多方面綜合驗(yàn)證防火墻的技術(shù)指標(biāo)。

參考文獻(xiàn)

[1]沈偉峰，陳維均.基于防火墻的構(gòu)建[J].微型電腦應(yīng)用，2012，17（1）：23-25.

[2]黃力，謝翠蘭.多線程防火墻過濾模塊的設(shè)計(jì)與實(shí)現(xiàn)[J].廣西民族大學(xué)學(xué)報(bào)：自然科學(xué)版，2011（1）：70-74.

[3]王永強(qiáng)，劉世棟，戴浩.入侵檢測(cè)系統(tǒng)測(cè)試方法的缺陷與建議[J].信息網(wǎng)絡(luò)安全，2013（12）：24-26.

作者簡(jiǎn)介

朱軍紅，男，甘肅省平?jīng)鍪腥恕，F(xiàn)為中國石油東方公司研究院長(zhǎng)慶分院工程師，從事計(jì)算機(jī)系統(tǒng)維護(hù)工作。

第5篇：防火墻技術(shù)論文范文

論文摘要:隨著網(wǎng)絡(luò)在社會(huì)生活中不斷普及,網(wǎng)絡(luò)安全問題越來越顯得重要。當(dāng)因特網(wǎng)以變革的方式提供信息檢索與能力的同時(shí),也以變革的方式帶來信息污染與破壞的危險(xiǎn)。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)模式與安全保護(hù)策略進(jìn)行探討。

計(jì)算機(jī)網(wǎng)絡(luò)最重要的資源是它所提供的服務(wù)及所擁有的信息,計(jì)算機(jī)網(wǎng)絡(luò)的安全性可以定義為保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性。為了有效保護(hù)網(wǎng)絡(luò)安全,應(yīng)選擇合適的保護(hù)模式。

1 安全保護(hù)模式

為盡量減少和避免各種外來侵襲的安全模式有以下幾種類型:

1.1 無安全保護(hù)。最簡(jiǎn)單的安全保護(hù)模式是完全不實(shí)施任何安全機(jī)制,按銷售商所提供的最小限度安全運(yùn)行。這是最消極的一種安全保護(hù)模式。

1.2 模糊安全保護(hù)。另一種安全保護(hù)模式通常稱之為“模糊安全保護(hù)”,采用這種模式的系統(tǒng)總認(rèn)為沒有人會(huì)知道它的存在、目錄、安全措施等,因而它的站點(diǎn)是安全的。但是實(shí)際上對(duì)這樣的一個(gè)站點(diǎn),可以有很多方法查找到它的存在。站點(diǎn)的防衛(wèi)信息是很容易被人知道的。在主機(jī)登錄信息中了解到系統(tǒng)的硬件和軟件以及使用的操作系統(tǒng)等信息后,一個(gè)入侵者就能由此試一試安全漏洞的重要線索。入侵者一般有足夠多的時(shí)間和方法來收集各種信息,因此這種模式也是不可取的。

1.3 主機(jī)安全保護(hù)。主機(jī)安全模式可能是最普通的種安全模式而被普遍采用,主機(jī)安全的目的是加強(qiáng)對(duì)每一臺(tái)主機(jī)的安全保護(hù),在最大程度上避免或者減少已經(jīng)存在的可能影響特定主機(jī)安全的問題。

在現(xiàn)代的計(jì)算機(jī)環(huán)境中,主機(jī)安全的主要障礙就是環(huán)境復(fù)雜多變性。不同品牌的計(jì)算機(jī)有不同的商,同一版本操作系統(tǒng)的機(jī)器,也會(huì)有不同的配置、不同的服務(wù)以及不同的子系統(tǒng)。這就得要作大量的前期工作和后期保障上作,以維護(hù)所有機(jī)器的安全保護(hù),而且機(jī)器越多安全問題也就越復(fù)雜。即使所有工作都正確地執(zhí)行了,主機(jī)保護(hù)還會(huì)由于軟件缺陷或缺乏合適功能和安全的軟件而受到影響。

1.4 網(wǎng)絡(luò)安全保護(hù)。由于環(huán)境變得大而復(fù)雜,主機(jī)安全模式的實(shí)施也變得愈來愈困難。有更多的站點(diǎn)開始采用網(wǎng)絡(luò)安全保護(hù)模式。用這種安全保護(hù)模式解決如何控制主機(jī)的網(wǎng)絡(luò)通道和它們所提供的服務(wù)比對(duì)逐個(gè)主機(jī)進(jìn)行保護(hù)更有效?，F(xiàn)在一般采用的網(wǎng)絡(luò)安全手段包括:構(gòu)建防火墻保護(hù)內(nèi)部系統(tǒng)與網(wǎng)絡(luò),運(yùn)用可靠的認(rèn)證方法(如一次性口令),使用加密來保護(hù)敏感數(shù)據(jù)在網(wǎng)絡(luò)上運(yùn)行等。

在用防火墻解決網(wǎng)絡(luò)安全保護(hù)的同時(shí),也決不應(yīng)忽視主機(jī)自身的安全保護(hù)。應(yīng)該采用盡可能強(qiáng)的主機(jī)安全措施保護(hù)大部分重要的機(jī)器,尤其是互聯(lián)網(wǎng)直接連接的機(jī)器,防止不是來自因特網(wǎng)侵襲的安全問題在內(nèi)部機(jī)器上發(fā)生。上面討論了各種安全保護(hù)模式,但沒有一種模式可以解決所有的問題,也不存在一種安全模式可以解決好網(wǎng)絡(luò)的管理問題。安全保護(hù)不能防止每一個(gè)單個(gè)事故的出現(xiàn),它卻可以減少或避免事故的嚴(yán)重?fù)p失,甚至工作的停頓或終止。

2 安全保護(hù)策略

所謂網(wǎng)絡(luò)安全保護(hù)策略是指一個(gè)網(wǎng)絡(luò)中關(guān)于安全問題采取的原則、對(duì)安全使用的要求以及如何保護(hù)網(wǎng)絡(luò)的安全運(yùn)行。以下是加強(qiáng)因特網(wǎng)安全保護(hù)措施所采取的幾種基本策略。

2.1 最小特權(quán)。這是最基本的安全原則。最小特權(quán)原則意味著系統(tǒng)的任一對(duì)象(無論是用戶、管理員還是程序、系統(tǒng)等),應(yīng)該僅具有它需要履行某些特定任務(wù)的那些特權(quán)。最小特權(quán)原則是盡量限制系統(tǒng)對(duì)侵入者的暴露并減少因受特定攻擊所造成的破壞。

在因特網(wǎng)環(huán)境下,最小特權(quán)原則被大量運(yùn)用。在保護(hù)站點(diǎn)而采取的一些解決方法中也使用了最小將權(quán)原理,如數(shù)據(jù)包過濾被設(shè)計(jì)成只允許需要的服務(wù)進(jìn)入。在試圖執(zhí)行最小特權(quán)時(shí)要注意兩個(gè)問題:一是要確認(rèn)已經(jīng)成功地裝備了最小特權(quán),二是不能因?yàn)樽钚√貦?quán)影響了用戶的正常工作。

2.2 縱深防御?？v深防御是指應(yīng)該建立多種機(jī)制而不要只依靠一種安全機(jī)制進(jìn)行有效保護(hù),這也是一種基本的安全原則。防火墻是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全的有效機(jī)制,但防火墻并不是因特網(wǎng)安全問題的完全解決辦法。任何安全的防火墻,都存在會(huì)遇到攻擊破壞的風(fēng)險(xiǎn)。但可以采用多種機(jī)制互相支持,提供有效冗余的辦法,這包括安全防御(建立防火墻)、主機(jī)安全(采用堡壘主機(jī))以及加強(qiáng)安全教育和系統(tǒng)安全管理等。防火墻也可以采用多層結(jié)構(gòu)。如使用有多個(gè)數(shù)據(jù)包過濾器的結(jié)構(gòu),各層的數(shù)據(jù)包過濾系統(tǒng)可以做不同的事情,過濾不同的數(shù)據(jù)包等。在開銷不大的情況下,要盡可能采用多種防御手段。

2.3 阻塞點(diǎn)。所謂阻塞點(diǎn)就是可以對(duì)攻擊者進(jìn)行監(jiān)視和控制的一個(gè)窄小通道。在網(wǎng)絡(luò)中,個(gè)站點(diǎn)與因特網(wǎng)之間的防火墻(假定它是站點(diǎn)與因特網(wǎng)之間的唯一連接)就是一個(gè)這樣的阻塞點(diǎn)。任何想從因特網(wǎng)上攻擊這個(gè)站點(diǎn)的侵襲者必須經(jīng)過這個(gè)通道。用戶就可以在阻塞點(diǎn)上仔細(xì)觀察各種侵襲并及時(shí)做出反應(yīng)。但是如果攻擊者采用其他合法的方法通過阻塞點(diǎn),這時(shí)阻塞點(diǎn)則失去了作用。在網(wǎng)絡(luò)上,防火墻并不能阻止攻擊者通過很多線路的攻擊。

2.4 防御多樣化。在使用相同安全保護(hù)系統(tǒng)的網(wǎng)絡(luò)中,知道如何侵入一個(gè)系統(tǒng)也就知道了如何侵入整個(gè)系統(tǒng)。防御多樣化是指使用大量不同類型的安全系統(tǒng),可以減少因一個(gè)普通小錯(cuò)誤或配置錯(cuò)誤而危及整個(gè)系統(tǒng)的可能,從而得到額外的安全保護(hù)。但這也會(huì)由于不同系統(tǒng)的復(fù)雜性不同而花費(fèi)額外的時(shí)間與精力。

3 防火墻

防火墻原是建筑物大廈設(shè)計(jì)中用來防止火勢(shì)從建筑物的一部分蔓延到另一部分的設(shè)施。與之類似,作為一種有效的網(wǎng)絡(luò)安全機(jī)制,網(wǎng)絡(luò)防火墻的作用是防止互聯(lián)網(wǎng)的危險(xiǎn)波及到內(nèi)部網(wǎng)絡(luò),它是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范,控制外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間服務(wù)訪問的系統(tǒng)。但必須指出的是防火墻并不能防止站點(diǎn)內(nèi)部發(fā)生的問題。防火墻的作用是:限制人們從一個(gè)嚴(yán)格控制的點(diǎn)進(jìn)入;防止進(jìn)攻者接近其他的防御設(shè)備;限制人們從一個(gè)嚴(yán)格控制的點(diǎn)離開。防火墻的優(yōu)點(diǎn):1)強(qiáng)化安全策略:在眾多的因特網(wǎng)服務(wù)中,防火墻可以根據(jù)其安全策略僅僅容許“認(rèn)可的”和符合規(guī)則的服務(wù)通過,并可以控制用戶及其權(quán)力。2)記錄網(wǎng)絡(luò)活動(dòng):作為訪問的唯一站點(diǎn),防火墻能收集記錄在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)年P(guān)于系統(tǒng)和網(wǎng)絡(luò)使用或誤用的信息。3)限制用戶暴露:防火墻能夠用來隔開網(wǎng)絡(luò)中的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段,防止影響局部網(wǎng)絡(luò)安全的問題可能會(huì)對(duì)全局網(wǎng)絡(luò)造成影響。4)集中安全策略:作為信息進(jìn)出網(wǎng)絡(luò)的檢查點(diǎn),防火墻將網(wǎng)絡(luò)安全防范策略集中于一身,為網(wǎng)絡(luò)安全起了把關(guān)作用。

參考文獻(xiàn):

[1]靳攀,互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全管理與防護(hù)策略分析[J].北京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào),2008,(03).

[2]趙薇娜,網(wǎng)絡(luò)安全技術(shù)與管理措施的探討[J].才智,2008,(10).

第6篇：防火墻技術(shù)論文范文

隨著信息技術(shù)在貿(mào)易和商業(yè)領(lǐng)域的廣泛應(yīng)用，利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)和因特網(wǎng)實(shí)現(xiàn)商務(wù)活動(dòng)的國際化、信息化和無紙化，已成為各國商務(wù)發(fā)展的一大趨勢(shì)。電子商務(wù)正是為了適應(yīng)這種以全球?yàn)槭袌?chǎng)的的變化而出現(xiàn)的和發(fā)展起來的，它是當(dāng)今社會(huì)發(fā)展最快的領(lǐng)域之一，同時(shí)也為全球的經(jīng)濟(jì)發(fā)展帶來新的增長(zhǎng)點(diǎn)。電子商務(wù)正在改變著人們的生活以及整個(gè)社會(huì)的發(fā)展進(jìn)程，貿(mào)易網(wǎng)絡(luò)將引起人們對(duì)管理模式、工作和生活方式，乃至經(jīng)營管理思維方式等等的綜合革新。對(duì)貿(mào)易和商業(yè)領(lǐng)域來說，電子商務(wù)的發(fā)展正在改變著傳統(tǒng)的貿(mào)易方式，縮減交易程序，提高辦事效率。現(xiàn)在，許多網(wǎng)站都提供有“商城”，供網(wǎng)民在網(wǎng)上購物?？梢哉f，電子商務(wù)應(yīng)用將越來越普及。然而，隨著Internet逐漸發(fā)展成為電子商務(wù)的最佳載體，互聯(lián)網(wǎng)具有充分開放，不設(shè)防護(hù)的特點(diǎn)使加強(qiáng)電子商務(wù)的安全問題日益緊迫，只有在全球范圍建立一套人們能充分信任的安全保障制度，確保信息的真實(shí)性、可靠性和保密性，才能夠打消人們的顧慮，放心的參與電子商務(wù)。否則，電子商務(wù)的發(fā)展將失去其支撐點(diǎn)。

要加強(qiáng)電子商務(wù)的安全，需要企業(yè)本身采取更為嚴(yán)格的管理措施，需要國家建立健全法律制度，更需要有科學(xué)的先進(jìn)的安全技術(shù)。

在電子商務(wù)的交易中，經(jīng)濟(jì)信息、資金都要通過網(wǎng)絡(luò)傳輸，交易雙方的身份也需要認(rèn)證，因此，電子商務(wù)的安全性主要是網(wǎng)絡(luò)平臺(tái)的安全和交易信息的安全。而網(wǎng)絡(luò)平臺(tái)的安全是指網(wǎng)絡(luò)操作系統(tǒng)對(duì)抗網(wǎng)絡(luò)攻擊、病毒，使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運(yùn)行。常用的保護(hù)措施有防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)防毒技術(shù)。交易信息的安全是指保護(hù)交易雙方的不被破壞、不泄密，和交易雙方身份的確認(rèn)?？梢杂脭?shù)據(jù)加密、數(shù)字簽名、數(shù)字證書、ssl、set安全協(xié)議等技術(shù)來保護(hù)。

在這里我想重點(diǎn)談?wù)劮阑饓夹g(shù)和數(shù)據(jù)加密技術(shù)。

一、防火墻技術(shù)。

防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實(shí)際上,防火墻是加強(qiáng)Intranet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:(1)過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);(2)管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內(nèi)容和活動(dòng);(5)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

新一代的防火墻產(chǎn)品一般運(yùn)用了以下技術(shù)：

(1)透明的訪問方式。

以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄,要么需要通過SOCKS等庫路徑修改客戶機(jī)的應(yīng)用。而現(xiàn)在的防火墻利用了透明的系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。

(2)靈活的系統(tǒng)。

系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。采用兩種機(jī)制:一種用于從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接;另一種用于從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來解決,后者采用非保密的用戶定制或保密的系統(tǒng)技術(shù)來解決。

(3)多級(jí)過濾技術(shù)。

為保證系統(tǒng)的安全性和防護(hù)水平,防火墻采用了三級(jí)過濾措施,并輔以鑒別手段。在分組過濾一級(jí),能過濾掉所有的源路由分組和假冒IP地址;在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí),能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測(cè)Internet提供的所有通用服務(wù);在電路網(wǎng)關(guān)一級(jí),實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透膽連接,并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。

(4)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。

防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個(gè)主機(jī)的通信,確保每個(gè)分組送往正確的地址。

(5)Internet網(wǎng)關(guān)技術(shù)。

由于是直接串聯(lián)在網(wǎng)絡(luò)之中,防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù),同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞,故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性,對(duì)所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。在域名服務(wù)方面,新一代防火墻采用兩種獨(dú)立的域名服務(wù)器:一種是內(nèi)部DNS服務(wù)器,主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息;另一種是外部DNS服務(wù)器,專門用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部分DNS信息。在匿名FTP方面,服務(wù)器只提供對(duì)有限的受保護(hù)的部分目錄的只讀訪問。在WWW服務(wù)器中,只支持靜態(tài)的網(wǎng)頁,而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行。在Finger服務(wù)器中,對(duì)外部訪問,防火墻只提供可由內(nèi)部用戶配置的基本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對(duì)所有進(jìn)、出防火墻的郵件做處理,并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對(duì)用戶連接的識(shí)別做專門處理,網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。

(6)安全服務(wù)器網(wǎng)絡(luò)(SSN)。

為了適應(yīng)越來越多的用戶向Internet上提供服務(wù)時(shí)對(duì)服務(wù)器的需要,新一代防火墻采用分別保護(hù)的策略對(duì)用戶上網(wǎng)的對(duì)外服務(wù)器實(shí)施保護(hù),它利用一張網(wǎng)卡將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理,對(duì)外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分,又與內(nèi)部網(wǎng)關(guān)完全隔離,這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對(duì)SSN上的主機(jī)既可單獨(dú)管理,也可設(shè)置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多,因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù),SSN與內(nèi)部網(wǎng)之間也有防火墻的保護(hù),而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下,而一旦DMZ受到破壞,內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。

(7)用戶鑒別與加密。

為了降低防火墻產(chǎn)品在Ielnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn),鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段,并實(shí)現(xiàn)了對(duì)郵件的加密。

(8)用戶定制服務(wù)。

為了滿足特定用戶的特定需求,新一代防火墻在提供眾多服務(wù)的同時(shí),還為用戶定制提供支持,這類選項(xiàng)有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個(gè)數(shù)據(jù)庫的,便可以利用這些支持,方便設(shè)置。

(9)審計(jì)和告警。

新一代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全,日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站、FTP、出站、郵件服務(wù)器、域名服務(wù)器等。告警功能會(huì)守住每一個(gè)TCP或UDP探尋,并能以發(fā)出郵件、聲響等多種方式報(bào)警。此外,防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。

目前的防火墻主要有兩種類型。其一是包過濾型防火墻。它一般由路由器實(shí)現(xiàn)，故也被稱為包過濾路由器。它在網(wǎng)絡(luò)層對(duì)進(jìn)入和出去內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，一般檢查數(shù)據(jù)包的IP源地址、IP目標(biāo)地址、TCP端口號(hào)、ICMP消息類型，并按照信息過濾規(guī)則進(jìn)行篩選，若符合規(guī)則，則允許該數(shù)據(jù)包通過防火墻進(jìn)入內(nèi)部網(wǎng)，否則進(jìn)行報(bào)警或通知管理員，并且丟棄該包。這樣一來，路由器能根據(jù)特定的劌則允許或拒絕流動(dòng)的數(shù)據(jù)，如：Telnet服務(wù)器在TCP的23號(hào)端口監(jiān)聽遠(yuǎn)程連接，若管理員想阻塞所有進(jìn)入的Telnet連接，過濾規(guī)則只需設(shè)為丟棄所有的TCP端口號(hào)為23的數(shù)據(jù)包。采用這種技術(shù)的防火墻速度快，實(shí)現(xiàn)方便，但由于它是通過IP地址來判斷數(shù)據(jù)包是否允許通過，沒有基于用戶的認(rèn)證，而IP地址可以偽造成可信任的外部主機(jī)地址，另外它不能提供日志，這樣一來就無法發(fā)現(xiàn)黑客的攻擊紀(jì)錄。

其二是應(yīng)用級(jí)防火墻。大多數(shù)的應(yīng)用級(jí)防火墻產(chǎn)品使用的是應(yīng)用機(jī)制，內(nèi)置了應(yīng)用程序，可用服務(wù)器作內(nèi)部網(wǎng)和Internet之間的的轉(zhuǎn)換。若外部網(wǎng)的用戶要訪問內(nèi)部網(wǎng)，它只能到達(dá)服務(wù)器，若符合條件，服務(wù)器會(huì)到內(nèi)部網(wǎng)取出所需的信息，轉(zhuǎn)發(fā)出去。同樣道理，內(nèi)部網(wǎng)要訪問Internet,也要通過服務(wù)器的轉(zhuǎn)接，這樣能監(jiān)控內(nèi)部用戶訪問Internet.這類防火墻能詳細(xì)記錄所有的訪問紀(jì)錄，但它不允許內(nèi)部用戶直接訪問外部，會(huì)使速度變慢。且需要對(duì)每一個(gè)特定的Internet服務(wù)安裝相應(yīng)的服務(wù)器軟件，用戶無法使用未被服務(wù)器支持的服務(wù)。

防火墻技術(shù)從其功能上來分，還可以分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等等。通常幾種防火墻技術(shù)被一起使用，以彌補(bǔ)各自的缺陷和增加系統(tǒng)的安全性能。

防火墻雖然能對(duì)外部網(wǎng)絡(luò)的功擊實(shí)施有效的防護(hù)，但對(duì)來自內(nèi)部網(wǎng)絡(luò)的功擊卻無能為力。網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需考慮其它技術(shù)和非技術(shù)的因素，如信息加密技術(shù)、制訂法規(guī)、提高網(wǎng)絡(luò)管理使用人員的安全意識(shí)等。就防火墻本身來看，包過濾技術(shù)和訪問模式等都有一定的局限性，因此人們正在尋找更有效的防火墻，如加密路由器、“身份證”、安全內(nèi)核等。但實(shí)踐證明，防火墻仍然是網(wǎng)絡(luò)安全中最成熟的一種技術(shù)。

二、數(shù)據(jù)加密技術(shù)

在電子商務(wù)中，信息加密技術(shù)是其它安全技術(shù)的基礎(chǔ)，加密技術(shù)是指通過使用代碼或密碼將某些重要信息和數(shù)據(jù)從一個(gè)可以理解的明文形式變換成一種復(fù)雜錯(cuò)亂的、不可理解的密文形式（即加密），在線路上傳送或在數(shù)據(jù)庫中存儲(chǔ)，其他用戶再將密文還原成明文（即解密），從而保障信息數(shù)據(jù)的安全性。

數(shù)據(jù)加密的方法很多，常用的有兩大類。一種是對(duì)稱加密。一種是非對(duì)稱密鑰加密。對(duì)稱加密也叫秘密密鑰加密。發(fā)送方用密鑰加密明文，傳送給接收方，接收方用同一密鑰解密。其特點(diǎn)是加密和解密使用的是同一個(gè)密鑰。典型的代表是美國國家安全局的DES。它是IBM于1971年開始研制，1977年美國標(biāo)準(zhǔn)局正式頒布其為加密標(biāo)準(zhǔn)，這種方法使用簡(jiǎn)單，加密解密速度快，適合于大量信息的加密。但存在幾個(gè)問題：第一，不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏，黑客可用它解密信息，也可假冒一方做壞事。第二，假設(shè)每對(duì)交易方用不同的密鑰，N對(duì)交易方需要N*(N-1)/2個(gè)密鑰，難于管理。第三，不能鑒別數(shù)據(jù)的完整性。

非對(duì)稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對(duì)數(shù)據(jù)加解密時(shí)，使用不同的密鑰，在通信雙方各具有兩把密鑰，一把公鑰和一把密鑰。公鑰對(duì)外界公開，私鑰自己保管，用公鑰加密的信息，只能用對(duì)應(yīng)的私鑰解密，同樣地，用私鑰解密的數(shù)據(jù)只能用對(duì)應(yīng)的公鑰解密。具體加密傳輸過程如下：

（1）發(fā)送方甲用接收方乙的公鑰加密自己的私鑰。

（2）發(fā)送方家用自己的私鑰加密文件，然后將加密后的私鑰和文件傳輸給接收方。

（3）接收方乙用自己的私鑰解密，得到甲的私鑰。

（4）接收方乙用甲的公鑰解密，得到明文。

這個(gè)過程包含了兩個(gè)加密解密過程：密鑰的加解密和文件本身的加解密。在密鑰的加密過程中，由于發(fā)送方甲用乙的公鑰加密了自己的私鑰，如果文件被竊取，由于只有乙保管自己的私鑰，黑客無法解密。這就保證了信息的機(jī)密性。另外，發(fā)送方甲用自己的私鑰加密信息，因?yàn)樾畔⑹怯眉椎乃借€加密，只有甲保管它，可以認(rèn)定信息是甲發(fā)出的，而且沒有甲的私鑰不能修改數(shù)據(jù)?？梢员ＷC信息的不可抵賴性。

第7篇：防火墻技術(shù)論文范文

［論文摘 要］電子商務(wù)是新興商務(wù)形式,信息安全的保障是電子商務(wù)實(shí)施的前提。本文針對(duì)電子商務(wù)活動(dòng)中存在的信息安全隱患問題,實(shí)施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)、身份驗(yàn)證技術(shù)、防火墻技術(shù)等技術(shù)性措施,完善電子商務(wù)發(fā)展的內(nèi)外部環(huán)境,促進(jìn)我國電子商務(wù)可持續(xù)發(fā)展。

隨著網(wǎng)絡(luò)的發(fā)展，電子商務(wù)的迅速崛起，使網(wǎng)絡(luò)成為國際競(jìng)爭(zhēng)的新戰(zhàn)場(chǎng)。然而,由于網(wǎng)絡(luò)技術(shù)本身的缺陷,使得網(wǎng)絡(luò)社會(huì)的脆性大大增加，一旦計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊不能正常運(yùn)作時(shí),整個(gè)社會(huì)就會(huì)陷入危機(jī)。所以,構(gòu)筑安全的電子商務(wù)信息環(huán)境,愈來愈受到國際社會(huì)的高度關(guān)注。

一、電子商務(wù)中的信息安全技術(shù)

電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,包括密碼、鑒別、訪問控制、信息流控制、數(shù)據(jù)保護(hù)、軟件保護(hù)、病毒檢測(cè)及清除、內(nèi)容分類識(shí)別和過濾、網(wǎng)絡(luò)隱患掃描、系統(tǒng)安全監(jiān)測(cè)報(bào)警與審計(jì)等技術(shù)。

1.防火墻技術(shù)。防火墻主要是加強(qiáng)網(wǎng)絡(luò)之間的訪問控制, 防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)。

2.加密技術(shù)。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識(shí)別的密文數(shù)據(jù),當(dāng)需要時(shí)可使用不同的密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)。

3.數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。

4.數(shù)字時(shí)間戳技術(shù)。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，包括需加時(shí)間戳的文件的摘要、dts 收到文件的日期與時(shí)間和dis 數(shù)字簽名，用戶首先將需要加時(shí)間的文件用hash編碼加密形成摘要，然后將該摘要發(fā)送到dts，dts 在加入了收到文件摘要的日期和時(shí)間信息后再對(duì)該文件加密,然后送回用戶。

二、電子商務(wù)安全防范措施

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。網(wǎng)絡(luò)安全防范技術(shù)可以從數(shù)據(jù)的加密(解密)算法、安全的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)防火墻、完善的安全管理制度、硬件的加密和物理保護(hù)、安全監(jiān)聽系統(tǒng)和防病毒軟件等領(lǐng)域來進(jìn)行考慮和完善。

1.防火墻技術(shù)

用過internet,企業(yè)可以從異地取回重要數(shù)據(jù),同時(shí)又要面對(duì) internet 帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn):即客戶、推銷商、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問;以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此,企業(yè)必須加筑安全的“壕溝”,而這個(gè)“壕溝”就是防火墻.防火墻系統(tǒng)決定了哪些內(nèi)容服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，而且防火墻本身必須能夠免于滲透。

2. vpn技術(shù)

虛擬專用網(wǎng)簡(jiǎn)稱vpn,指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接而形成邏輯上的虛擬“私”網(wǎng),依靠ips或 nsp在安全隧道、用戶認(rèn)證和訪問控制等相關(guān)技術(shù)的控制下達(dá)到與專用網(wǎng)絡(luò)類同的安全性能,從而實(shí)現(xiàn)基于 internet 安全傳輸重要信息的效應(yīng)。目前vpn 主要采用四項(xiàng)技術(shù)來保證安全, 這四項(xiàng)技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。

3.數(shù)字簽名技術(shù)

為了保證數(shù)據(jù)和交易的安全、防止欺騙,確認(rèn)交易雙方的真實(shí)身份,電子商務(wù)必須采用加密技術(shù)。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來確定用戶是否是真實(shí)的。數(shù)字簽名就是通過一個(gè)單向哈希函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理而得到的用以認(rèn)證報(bào)文是否發(fā)生改變的一個(gè)字母數(shù)字串。發(fā)送者用自己的私鑰把數(shù)據(jù)加密后傳送給接收者,接收者用發(fā)送者的公鑰解開數(shù)據(jù)后,就可確認(rèn)消息來自于誰,同時(shí)也是對(duì)發(fā)送者發(fā)送的信息真實(shí)性的一個(gè)證明,發(fā)送者對(duì)所發(fā)信息不可抵賴,從而實(shí)現(xiàn)信息的有效性和不可否認(rèn)性。

三、電子商務(wù)的安全認(rèn)證體系

隨著計(jì)算機(jī)的發(fā)展和社會(huì)的進(jìn)步,通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)活動(dòng)當(dāng)今社會(huì)越來越頻繁,身份認(rèn)證是一個(gè)不得不解決的重要問題,它將直接關(guān)系到電子商務(wù)活動(dòng)能否高效而有序地進(jìn)行。認(rèn)證體系在電子商務(wù)中至關(guān)重要,它是用戶獲得訪問權(quán)限的關(guān)鍵步驟。現(xiàn)代密碼的兩個(gè)最重要的分支就是加密和認(rèn)證。加密目的就是防止敵方獲得機(jī)密信息。認(rèn)證則是為了防止敵方的主動(dòng)攻擊,包括驗(yàn)證信息真?zhèn)渭胺乐剐畔⒃谕ㄐ胚^程被篡改刪除、插入、偽造及重放等。認(rèn)證主要包括三個(gè)方面:消息認(rèn)證、身份認(rèn)證和數(shù)字簽名。

身份認(rèn)證一般是通過對(duì)被認(rèn)證對(duì)象(人或事)的一個(gè)或多個(gè)參數(shù)進(jìn)行驗(yàn)證。從而確定被認(rèn)證對(duì)象是否名實(shí)相符或有效。這要求要驗(yàn)證的參數(shù)與被認(rèn)證對(duì)象之間應(yīng)存在嚴(yán)格的對(duì)應(yīng)關(guān)系,最好是惟一對(duì)應(yīng)的。身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡。

數(shù)字證書是在互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)。提供了一種 internet 上驗(yàn)證用戶身份的方式,其作用類似于司機(jī)的駕駛執(zhí)照或身份證。它是由一個(gè)權(quán)威機(jī)構(gòu)ca機(jī)構(gòu),又稱為證書授權(quán)(certificate authority)中心發(fā)行的,人們可以在網(wǎng)上用它識(shí)別彼此的身份。

四、結(jié)束語

安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證100%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。因此,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問題,使電子商務(wù)系統(tǒng)相對(duì)更安全。電子商務(wù)的安全運(yùn)行必須從多方面入手,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問題,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn)：

[1] 勞幗齡.電子商務(wù)的安全技術(shù)[m].北京:中國水利水電出版社,2005.

[2] 趙泉.網(wǎng)絡(luò)安全與電子商務(wù)[m].北京:清華大學(xué)出版社,2005.

第8篇：防火墻技術(shù)論文范文

【論文摘要】國民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展，進(jìn)一步帶動(dòng)了工業(yè)化發(fā)展．在電子信息系統(tǒng)建設(shè)的過程中，如何保障系統(tǒng)能提供安全可靠的服務(wù)是整個(gè)企業(yè)電子信息系統(tǒng)建設(shè)必須要考慮的問題。本文分析了電子辦公系統(tǒng)的信息安全技術(shù)中的安全需求，針對(duì)需求提出了相應(yīng)的解決辦法。

1.企業(yè)電子辦公系統(tǒng)中的安全需求

電子辦公系統(tǒng)建設(shè)在系統(tǒng)安全性方面的總需求是安全保密、可信可靠，具體表現(xiàn)在以下幾個(gè)方面：信息的安全保密性，滿足信息在存儲(chǔ)、傳輸過程中的安全保密性需求；系統(tǒng)的安全可靠性，確保整個(gè)電子政務(wù)系統(tǒng)的安全可靠；行為的不可抵賴性，保證在所有業(yè)務(wù)處理過程中，辦公人員行為和系統(tǒng)行為的不可抵賴，以便審計(jì)和監(jiān)督；實(shí)體的可鑒別性，是實(shí)現(xiàn)監(jiān)管及其他方面需求的必要條件；對(duì)象的可授權(quán)性，針對(duì)政務(wù)工作的特點(diǎn)，要求具有對(duì)對(duì)象靈活授權(quán)的功能，包括用戶對(duì)用戶的授權(quán)、系統(tǒng)對(duì)用戶的授權(quán)、系統(tǒng)對(duì)系統(tǒng)的授權(quán)等；信息的完整性，保證信息存儲(chǔ)和傳輸過程中不被篡改和破壞。

2.企業(yè)電子辦公系統(tǒng)安全保障防火墻技術(shù)

針對(duì)安全需求，在電子信息系統(tǒng)中需要采取一系列的安全保障技術(shù)，包括安全技術(shù)和密碼技術(shù)，對(duì)涉及到核心業(yè)務(wù)的涉密網(wǎng)，還要采用物理隔離技術(shù)進(jìn)行保護(hù)。這些技術(shù)作用在網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層，對(duì)信息系統(tǒng)起著不同的安全保護(hù)作用。在網(wǎng)絡(luò)層主要應(yīng)用的技術(shù)有防火墻、VPN、SSL、線路加密、安全網(wǎng)關(guān)和網(wǎng)絡(luò)安全監(jiān)測(cè)；系統(tǒng)層則包括操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全以及安全的傳輸協(xié)議；應(yīng)用層安全技術(shù)主要涉及認(rèn)證與訪問控制、數(shù)據(jù)或文件加密和PKI技術(shù)。

從網(wǎng)絡(luò)安全角度上講，它們屬于不同的網(wǎng)絡(luò)安全域，因此，在各級(jí)網(wǎng)絡(luò)邊界以及企業(yè)網(wǎng)和Internet邊界都應(yīng)安裝防火墻，并實(shí)施相應(yīng)的安全策略。防火墻可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過，同時(shí)將安全策略不允許的用戶和數(shù)據(jù)包隔斷，達(dá)到保護(hù)高安全等級(jí)的子網(wǎng)、阻止外部攻擊、限制入侵蔓延等目的。防火墻的弱點(diǎn)主要是無法防止來自防火墻內(nèi)部的攻擊。

3.內(nèi)網(wǎng)和外網(wǎng)隔離技術(shù)

企業(yè)電子辦公網(wǎng)絡(luò)是由政務(wù)核心網(wǎng)(涉密網(wǎng))。隨著各類機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)(也稱內(nèi)網(wǎng))和公眾互聯(lián)網(wǎng)(也稱外網(wǎng))的不斷發(fā)展，許多業(yè)務(wù)系統(tǒng)正在逐步向互聯(lián)網(wǎng)轉(zhuǎn)移，使得內(nèi)外網(wǎng)的數(shù)據(jù)交換和互聯(lián)成為必然的趨勢(shì)。互聯(lián)網(wǎng)潛在的不安全因素，造成人們對(duì)內(nèi)外網(wǎng)互聯(lián)的擔(dān)憂，所以出現(xiàn)了多種方法來解決內(nèi)外網(wǎng)的數(shù)據(jù)交換問題而又不影響內(nèi)網(wǎng)的安全性，如采用內(nèi)外網(wǎng)的物理隔離方法，將核心網(wǎng)與其他網(wǎng)絡(luò)之間斷開，將專用網(wǎng)和政府公眾信息網(wǎng)之間邏輯隔離。隔離技術(shù)的發(fā)展至今共經(jīng)歷了五代。

3.1隔離技術(shù)，雙網(wǎng)機(jī)系統(tǒng)。

3.2隔離技術(shù)，基于雙網(wǎng)線的安全隔離卡技術(shù)。

3.3隔離技術(shù)，數(shù)據(jù)轉(zhuǎn)播隔離技術(shù)。

3.4隔離技術(shù)，隔離服務(wù)器系統(tǒng)。該技術(shù)是通過使用開關(guān)，使內(nèi)外部網(wǎng)絡(luò)分時(shí)訪問臨時(shí)緩存器來完成數(shù)據(jù)交換的，但存在支持網(wǎng)絡(luò)應(yīng)用少、傳輸速度慢和硬件故障率高等問題，往往成為網(wǎng)絡(luò)的瓶頸。

3.5隔離技術(shù)，安全通道隔離。此技術(shù)通過專用通信硬件和專有交換協(xié)議等安全機(jī)制，來實(shí)現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換，不僅解決了以往隔離技術(shù)存在的問題，并且在網(wǎng)絡(luò)隔離的同時(shí)實(shí)現(xiàn)高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，它透明地支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。

4.密碼技術(shù)

密碼技術(shù)是信息交換安全的基礎(chǔ)，通過數(shù)據(jù)加密、消息摘要、數(shù)字簽名及密鑰交換等技術(shù)實(shí)現(xiàn)了數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、不可否認(rèn)性和用戶身份真實(shí)性等安全機(jī)制，從而保證了網(wǎng)絡(luò)環(huán)境中信息傳輸和交換的安全。

加密技術(shù)的原理可用下面的公式表示。

轉(zhuǎn)貼于

加密：E k1(M)一C

解密：D k2(C)一M

其中E為加密函數(shù)；M為明文；K為密鑰；D為解密函數(shù)；C為密文。按照密鑰的不同形式，密碼技術(shù)可以分為三類：對(duì)稱密碼算法、非對(duì)稱密碼算法和單向散列函數(shù)。

在對(duì)稱密碼算法中，使用單一密鑰來加密和解密數(shù)據(jù)。典型的對(duì)稱密碼算法是DES、IDEA和RC算法。這類算法的特點(diǎn)是計(jì)算量小、加密效率高。但加解密雙方必須對(duì)所用的密鑰保守秘密，為保障較高的安全性，需要經(jīng)常更換密鑰。因此，密鑰的分發(fā)與管理是其最薄弱且風(fēng)險(xiǎn)最大的環(huán)節(jié)。

在非對(duì)稱密碼算法中，使用兩個(gè)密鑰(公鑰和私鑰)來加密和解密數(shù)據(jù)。當(dāng)兩個(gè)用戶進(jìn)行加密通信時(shí)，發(fā)送方使用接收方的公鑰加密所發(fā)送的數(shù)據(jù)；接收方則使用自己的私鑰來解密所接收的數(shù)據(jù)。由于私鑰不在網(wǎng)上傳送，比較容易解決密鑰管理問題，消除了在網(wǎng)上交換密鑰所帶來的安全隱患，所以特別適合在分布式系統(tǒng)中應(yīng)用。典型的非對(duì)稱密碼算法是RSA算法。非對(duì)稱密碼算法的缺點(diǎn)是計(jì)算量大、速度慢，不適合加密長(zhǎng)數(shù)據(jù)。

非對(duì)稱密碼算法還可以用于數(shù)字簽名。數(shù)字簽名主要提供信息交換時(shí)的不可抵賴性，公鑰和私鑰的使用方式與數(shù)據(jù)加密恰好相反。

單向散列函數(shù)的特點(diǎn)是加密數(shù)據(jù)時(shí)不需要密鑰，并且經(jīng)過加密的數(shù)據(jù)無法解密還原，只有使用同樣的單向加密算法對(duì)同樣的數(shù)據(jù)進(jìn)行加密，才能得到相同的結(jié)果。單向散列函數(shù)主要用于提供信息交換時(shí)的完整性，以驗(yàn)證數(shù)據(jù)在傳輸過程中是否被篡改。

5.公共密鑰基礎(chǔ)設(shè)施(PK 1)

PKI技術(shù)是電子政務(wù)安全系統(tǒng)的核心。它通過數(shù)字證書的頒發(fā)和管理，為上層應(yīng)用提供了完善的密鑰和證書管理機(jī)制，具有用戶管理、密鑰管理、證書管理等功能，可保證各種基于公開密鑰密碼體制的安全機(jī)制在系統(tǒng)中的實(shí)現(xiàn)。

PKI提供的證書服務(wù)主要有兩個(gè)功能，即證實(shí)用戶身份的功能及保證信息機(jī)密性和完整性的功能。它最主要的組件就是認(rèn)證中心(CA)。CA頒發(fā)的證書可以作為驗(yàn)證用戶身份的標(biāo)識(shí)，可以有效解決網(wǎng)絡(luò)中的信任問題。它是電子政務(wù)網(wǎng)中信任篚基礎(chǔ)。

在CA頒發(fā)的證書基礎(chǔ)上，可以實(shí)現(xiàn)數(shù)字信封，數(shù)字簽名、抗否認(rèn)等功能，提供數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性等電子政務(wù)系統(tǒng)中所必需的安全服務(wù)。

6.入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)(IDS)可以做到對(duì)網(wǎng)絡(luò)邊界點(diǎn)雕數(shù)據(jù)進(jìn)行檢測(cè)，對(duì)服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測(cè)，入侵著的蓄意破壞和篡改，監(jiān)視內(nèi)部吊戶和系統(tǒng)管運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作，又用戶的非正?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)人侵行為自規(guī)律，實(shí)時(shí)對(duì)檢測(cè)到的人侵行為進(jìn)行報(bào)警、阻斷，關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計(jì)跟焉管理。

IDS是對(duì)防火墻的非常有必要的附加，而不僅是簡(jiǎn)單的補(bǔ)充。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)還可以與防一墻進(jìn)行聯(lián)動(dòng)，一旦發(fā)現(xiàn)由外部發(fā)起的攻擊行為，將一防火墻發(fā)送通知報(bào)文，由防火墻來阻斷連接，實(shí)現(xiàn)秀態(tài)的安全防護(hù)體系。

企業(yè)電子辦公的安全保障是系統(tǒng)能夠真正發(fā)揮作用的前提，各種安全保障設(shè)施必須和系統(tǒng)建設(shè)同步實(shí)施，同時(shí)要加強(qiáng)各種安全管理制度，增強(qiáng)系統(tǒng)使用和系統(tǒng)管理者的安全意識(shí)，才能從根本上保證系安全可靠的運(yùn)行。

【參考文獻(xiàn)】

［1］朱少民．現(xiàn)代辦公自動(dòng)化系統(tǒng)的架框研究，辦公自動(dòng)化技術(shù)．

第9篇：防火墻技術(shù)論文范文

英國方面， 5月12日英國國家醫(yī)療服務(wù)體系遭遇了大規(guī)模網(wǎng)絡(luò)攻擊，多家公立醫(yī)院的電腦系統(tǒng)幾乎同時(shí)癱瘓，電話線路也被切斷，導(dǎo)致很多急診病人被迫轉(zhuǎn)移?！睹咳锗]報(bào)》稱，至少19家位于英格蘭和蘇格蘭的NHS所屬醫(yī)療機(jī)構(gòu)遭到網(wǎng)絡(luò)攻擊，這些機(jī)構(gòu)包括醫(yī)院和全科醫(yī)生診所。

黑客武器搭載的勒索病毒感染界面，需要支付等額的300美金比特幣才能解鎖。具體從硅谷著名的移動(dòng)安全廠商 Trustlook 提供的數(shù)據(jù)看，本次病毒爆發(fā)涉及到全球，幾乎沒有任何的遺漏，下面是檢測(cè)到的爆發(fā)點(diǎn)：

由于國內(nèi)曾多次出現(xiàn)利用445端口傳播的"蠕蟲病毒"，部分運(yùn)營商對(duì)個(gè)人用戶封掉了445端口。但是教育網(wǎng)并無此限制，存在大量暴露著445端口的機(jī)器，因此成為不法分子使用NSA黑客武器攻擊的重災(zāi)區(qū)。正值高校畢業(yè)季，勒索病毒已造成一些應(yīng)屆畢業(yè)生的論文被加密篡改，直接影響到畢業(yè)答辯。

病毒發(fā)行者利用了去年被盜的美國國家安全局(NSA)自主設(shè)計(jì)的Windows系統(tǒng)黑客工具Eternal Blue“永恒之藍(lán)”，將2017年2月的一款病毒升級(jí)。被感染的Windows用戶必須在7天內(nèi)交納比特幣作為贖金，否則電腦數(shù)據(jù)將被全部刪除且無法修復(fù)。病毒要求用戶在被感染后的三天內(nèi)交納相當(dāng)于300美元的比特幣，三天后“贖金”將翻倍。

“永恒之藍(lán)”可遠(yuǎn)程攻擊Windows的445端口(文件共享)，如果系統(tǒng)沒有安裝今年3月的微軟補(bǔ)丁(MS17-010)，無需用戶任何操作，只要開機(jī)上網(wǎng)，就能在電腦里執(zhí)行任意代碼，植入勒索病毒等惡意程序。這是一個(gè)利用永恒之藍(lán)漏洞的勒索蠕蟲，挺會(huì)PR的，外媒取了個(gè)名字叫 wannacry(想哭蠕蟲)，估計(jì)很多中病毒的人都想哭吧。

windows用戶請(qǐng)務(wù)必安裝微軟MS17-010安全補(bǔ)丁信息：

technet.microsoft.com/zh-cn/library/security/MS17-010

針對(duì)NSA黑客武器利用的Windows系統(tǒng)漏洞，微軟在今年3月已補(bǔ)丁修復(fù)。此前360安全中心也已推出“NSA武器庫免疫工具”( dl.360safe.com/nsa/nsatool.exe )，能夠一鍵檢測(cè)修復(fù)NSA黑客武器攻擊的漏洞；對(duì)XP、2003等已經(jīng)停止更新的系統(tǒng)，免疫工具可以關(guān)閉漏洞利用的端口，防止電腦被NSA黑客武器植入勒索病毒等惡意程序。

如何防范病毒？

如您使用的是服務(wù)器,可用這段代碼進(jìn)行技術(shù)檢測(cè)：

alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray"; flow:to_server,established; content:"|ff|SMB|33 00 00 00 00 18 07 c0 00 00 00 00 00 00 00 00 00 00 00 00 00|"; offset:4; depth:25; content:"|08 ff fe 00 08 41 00 09 00 00 00 10|"; within:12; fast_pattern; content:"|00 00 00 00 00 00 00 10|"; within:8; content:"|00 00 00 10|"; distance:4; within:4; pcre:"/^[a-zA-Z0-9+/]{1000,}/R"; threshold: type threshold, track by_src, count 12, seconds 1; classtype:trojan-activity; sid:2024217; rev:1;)

alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)"; flow:to_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)

alert smb $HOME_NET any -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:1;)

如您使用的是Windows,請(qǐng)使用下面步驟進(jìn)行檢測(cè)：

1. 查看445端口是否開放并決定是否關(guān)停server服務(wù)

點(diǎn)擊“開始”->“運(yùn)行”->輸入“cmd”->輸入“netstat -an ”->回車->查看445端口狀態(tài)

如果處于“listening”->暫時(shí)關(guān)停server服務(wù)：

點(diǎn)擊“開始”->搜索框輸入“cmd”->右鍵菜單選擇“以管理員身份運(yùn)營”->執(zhí)行“net stop server”命令

2. 個(gè)人用戶臨時(shí)解決方案

開啟系統(tǒng)防火墻->利用系統(tǒng)防火墻高級(jí)設(shè)置阻止向445端口進(jìn)行連接->安裝相應(yīng)系統(tǒng)安全更新

win7/win8/win10：

控制面板->系統(tǒng)與安全->啟用Windows防火墻->點(diǎn)擊"高級(jí)設(shè)置"->點(diǎn)擊“入站規(guī)則”->選擇"新建規(guī)則"->規(guī)則類型選擇“端口”->應(yīng)用于“TCP”協(xié)議 特定本地端口并輸入“445”->“操作”選擇“阻止連接”->“配置文件”中“規(guī)則應(yīng)用”全部勾選->罪責(zé)名稱任意輸入并點(diǎn)擊完成

winxp：

控制面板->安全中心->啟用“Windows防火墻”->點(diǎn)擊“開始”->“運(yùn)行”->輸入“cmd”->依次執(zhí)行“net stop rdr”、“net stop srv”和“net stop netbt”三條命令->升級(jí)操作系統(tǒng)版本并進(jìn)行安全更新

三、騰訊云用戶修復(fù)建議：

當(dāng)前已受影響的用戶，建議對(duì)未被加密的重要數(shù)據(jù)進(jìn)行備份，并開展重裝工作；

四、對(duì)于采用非騰訊云官方 Windows 鏡像的用戶，建議采取如下措施進(jìn)行緩解：

1>在安全組策略中，檢查您名下所有 Windows 云主機(jī)是否已關(guān)閉 137、 139、 445 服務(wù)端口的對(duì)外訪問，建議禁止外部訪問此類高危端口，詳細(xì)修復(fù)可參考如下鏈接：

【安全預(yù)警】關(guān)于方程式組織黑客工具包再曝光通知-騰訊云官方論壇；

2>目前微軟官網(wǎng)的補(bǔ)丁已經(jīng)修復(fù)了可導(dǎo)致該蠕蟲病毒被傳染的漏洞，建議用戶及時(shí)安裝 Windows 最新版本補(bǔ)?。ò舜问苡绊懙?MS07-010 補(bǔ)?。?，避免成為勒索蠕蟲的受害者；

3> 目前騰訊云官網(wǎng)提供的 Windows 鏡像已經(jīng)在4月20日全網(wǎng)更新完成，默認(rèn)已安裝最新補(bǔ)丁，并不受此次“比特幣勒索蠕蟲病毒”影響，請(qǐng)您放心使用。

五、普通電腦用戶修復(fù)建議：