网络安全问题的探讨及研究毕业论文

大连理工大学城市学院 本科毕业设计（论文）学 院（系）： 专 业： 学 生 ： 指 导 教 师： 完 成 日 期： 大连理工大学城市学院本科生毕业设计（论文）网络安全问题的探讨及研究摘 要在当今社会，计算机网络安全问题已经变得日常严峻。人类的社会已经进入到了互联网时代、计算机安全问题将直接关系到国家及社会的各个领域的安全和稳定。目前互联网安全事件频繁出现，平均每18秒之内全球内就会发生一起网络安全事件。因此当前阶段之内，我们只有增强网络安全意识、增强防范措施、加强安全管理、加强网络道德，才能最终有效解决计算机网络安全问题。从而最终保证国内网络信息产业的持续稳定发展。本文首先讨论了安全信息网络的根本性的内涵，描述了其重要性。进一步阐述了网络拓扑的安全设计，包括网络拓扑分析和网络安全性分析等。然后系统的研究网络安全问题的分类，以及防火墙部署等专业问题。本文系统全面的分析了杀毒软件的主要特点，并一一阐述了防火墙部署的选择标准问题，全面系统的探讨了其安全系统的组成要点。最后对今后网络安全的趋势及发展展开了系统全面的分析。关键词：网络；安全防火墙；RSA算法Abstract Computer network security issues directly related to the security and stability of a countrys political, military, economic and other fields. Currently hackers rampant, once every 18 seconds on the world hacking incident occurred. Therefore, raising awareness of the importance of network security, and enhance awareness of prevention, strengthening preventive measures is to ensure sustained and stable development of the inforation industry an important guarantee and prerequisite of the enhance. This paper first discusses the connotation of a fundamental change in information network security occurred, described the importance of the need for the development of national information security system and to establish a network security system with Chinese characteristics, and network security management. Further elaborated the safety design of the network topology, including network topology analysis and network security analysis. Then elaborate on the classification and its main technical characteristics of the network firewall security technology, firewall deployment principles and elaborated on the selection criteria from the position firewall firewall deployment. While a brief kind of the exchine of the information classification and RSA encryption algorithm, discusses the composition of its security system.Key words: occurred ; characteristics ;firewall;RSA algorithm目 录摘要3Abstract4目录5一、绪论7（一） 概述7（二）论文研究目的、意义7（三）网络安全概况81问题的定义82问题的由来83当前阶段现状概述8（四）问题的本质分析8二、关于网络安全的分析研究9（一）必要性9（二）属于安全管理的需求91 相关管理原则92 具体实现策略10（三）网络安全技术10三、网络安全软件概述10（一）杀毒软件概述111强大的病毒扫描，防病毒能力112升级服务11（二）常见的网络攻击及对策111隐形木马112邮箱炸弹113过载攻击114 Flood攻击12（三）反病毒软件的工作原理121 CPU 反病毒技术122 实时反病毒技术133活动内核技术134 虚拟机技术14 5 沙盘模拟146 网络钓鱼157 防御零日攻击的利器15（四）相关的病毒软件151卡巴斯基杀毒软件152 瑞星15四、网络安全防火墙技术15（一）防火墙概述15（二）关于防火墙的选择问题161本身是安全的162防火墙的可扩充性17（三）加密技术概述171 对称加密技术172 非对称加密/公开密钥加密173 RSA算法17（四） 注册与认证管理181 相关认证机构182 相关注册机构183 关于密钥备份和恢复184 证书管理和撤消系统18五、有关网络安全问题的具体建议18（一）安全技术的研究现状和动向181 数据包过滤器192 代理19（二）今后的的具体办法及措施191更新网络安全技术192加强网络安全管理193保障网络安全体系204宣传网络道德20六、结论20致谢21参考文献22一、绪论21世纪里，世界各地的计算机通过互联网变为一个整体系统，信息安全的内涵已经发生了根本性的变化。它不仅从一般的防守变得非常大众化，而且也从一个专业领域变得无处不在。当人类社会进入互联网时代之后，信息及网络已经覆盖了当今社会的方方面面，让我们的工作及生活变得更加方便。但与此同时，网络安全问题也变得更加严峻。当前形势下，中国只有建立起系统及全面的网络安全管理体系，从法律和道德方面双管齐下，才能最终保证我国网络安全系统的有效运行。网络安全问题不仅包括相关法律政策，同时还包括正在开发的平台技术和市场监管。我们只有大力发展专有的网络安全方面的技术，才能最终真正解决这个严峻的问题，最后通过其行业的整体水平的提高，网络安全问题最终才能得到有效解决。（一）概述网络安全产品具有以下特点：首先，从网络的多样化和技术安全政策的保障，如果一个统一的技术和战术不安全，那么这个系统内的局部势必将不安全。第二，网络技术的及时更新性，因为网络是动态及不断更新及发展的，所以网络技术也必须要保持及时的更新，从而保证与以不断变化的网络相适应。第三，在社会上，扩展了网络的各个方面，进入网络手段越来越多。因此，网络安全技术是一个非常复杂的系统工程。所以，这是一个需要建立具有中国特色的，安全系统和国家政策法规的网络，以支持联合开发团队。预防冲突持续安全，发展和新技术产业，工业安全发展的上升。信息安全是国家发展的一个重要问题。对于这个问题，我们不能从系统规划研究，但技术相关政策，看它的产业的角度发展的有效结合。政府不应该只看到信息安全的发展是我们的高科技产业的一部分，但我们应该看到，政策，安全产业是信息安全保障体系，是我们在今后的国家的一个重要组成部分，我们应该期待它的电子，信息技术将发挥非常重要的作用。（二）学习目的，意义和语境计算机网络是一个严重的威胁，它是受很多因素影响。我们将继续威胁到社会，巨大的损失。所有的注意力都集中在网络安全的信息社会。随着计算机网络的发展，全球信息网络技术已经成为人类发展的一大趋势;政府机关，企事业单位带来了革命性的变化。然而，由于计算机网络和网络的开放性分布不均终端和连接的多样性，使得网络容易受到黑客，病毒，恶意软件和其他不当行为的攻击，网络信息安全是一个关键问题。军队指挥自动化网络，机密信息的C3I系统，敏感数据和计算机网络系统，银行和政府转移支付就显得尤为重要。由于这个原因，网络安全措施必须足够强，否则该网络是无用或甚至有害的网络，国家安全。无论是在LAN或WAN，以及天然和人为因素，如网络漏洞，许多其他的潜在威胁的影响。因此，网络的安全措施应是在网络威胁和漏洞的每个方向不同，以确保网络信息的保密性，完整性和可用性。为了确保安全，信息化，网络和计算机安全畅通迫在眉睫。在本文中，计算机网络安全技术研究和管理措施。网络威胁，仔细分析，我认为，计算机网络安全系统是一个非常复杂的系统工程，是安全管理和工程的结合。根据现行的法律法规不健全，计算机网络，人部门的重要性，强化责任意识，认真落实安全制度，在此基础上，采用先进的技术和产品，建立防御机制在理想状态，该系统的操作。（三）网络安全态势1定义网络安全国际标准化组织（ISO）将“计算机安全”的定义是：技术和管理的“计算机安全的定义，建立数据处理系统和计算机硬件，安全软件保护，数据不因偶然和恶意的破坏和泄漏的变化“包括物理安全和逻辑安全的内容，我们常说，信息安全，安全逻辑是指信息的安全性，可用性和网络安全保密完整性扩展到信息和网络安全是信息，隐私保护网络的完整性和可用性。2安全问题的由来网络设计只考虑开始促进信息和开放性的交流，并为规划和信息安全方面都非常有限，因此，随着计算机和通信技术，网络攻防技术上升周期的快速发展，的固有优势原有网络的开放性和连通到便捷的桥梁信息的安全隐患。网络安全已经成为越来越棘手的问题，只要能上网的主机都可能受到攻击或侵入，遭遇的安全问题。目前使用的TCP / IP协议中的致忽略一些自身特性的网络的安全问题的设计，和所有的应用程序都设置在通过TCP / IP，TCP / IP协议本身的安全性问题，大大影响了安全协议上层应用的安全性。普及网络和应用是近10年的事，以及产生和应用的操作系统比这早得多，因此不完善操作系统，软件系统也存在安全漏洞;在安全架构的设计和实施方面，即使再完美的架构，编程可能是一个小缺陷，一个巨大的安全隐患;并且，安全系统各组成部分之间缺乏密切的沟通与合作，极易引起整个系统各个击破。3当前阶段的现状目前造成计算机病毒的欧洲国家的小企业每年造成的经济损失高达22十亿欧元，这病毒的传播主要通过e-mail。据反病毒厂商趋势科技表示，网络像巨无霸，Slammer的和其他的网络病毒和蠕虫造成了大堵车，去年给了$ 55十亿的企业造成的损失。其他风险包括身份盗窃的损失间谍活动，其中包括它是很难量化的网络安全问题损失的原因造成明显。（四）网络安全问题的本质计算机网络的安全性，用户可以更改特定的含义，不同的用户，网络安全的认识和要求是不同的。例如，从一个普通用户的角度来看，它可能只需要保护通过网络发送私人或机密信息，以防止窃听，篡改和伪造；除了网络信息提供商的网络安全问题，还要考虑如何应对突如其来的灾难，军事罢工等网络硬件，以及如何恢复，当网络异常流量的网络，保持网络通信的连续性。在本质上，网络安全，包括网络硬件，软件和网络上的信息安全传输，也不是偶然的或故意的攻击破坏，网络安全不仅是技术问题，更是一种管理，两者相辅相成，缺一不可。网络入侵和攻击人的行为，网络安全面临新的挑战。其次，网络安全分析（一）必要随着计算机技术的不断发展，计算机网络已经成为信息时代的重要特征，人们称它为信息高速公路。计算机网络是计算机技术和通信技术，信息共享和信息传播对社会的发展，各国都在自己的信息高速公路的建设。很快，近几年来，计算机网络防御的中国电信，银行，广播和其他广泛使用的快速发展。我相信，在很短的时间内，计算机网络将有很多时间的发展已经进入了信息时代。由于互联网的广泛应用，这是生活的一个很重要的部分，因此，其安全性不容忽视。（二）安全管理要求在网络安全漏洞的脸，除了改善服务网络设计的安全性和提高设施的外部安全和保密制度，我们必须加强网络安全管理，这是因为不安全的因素反映在组织，管理和招聘，这是计算机网络的安全，我们必须考虑的一个基本问题。1安全管理的原则信息网络安全管理系统，主要是基于以下三个原则：坚持以人为本每一个与安全有关的活动，必须有两个或更多的人。这些人应该由主管分配系统。他们忠诚可靠，能胜任工作；他们应在记录上签字以证明其安全性。文件的访问安全活动：缓释及恢复使用、媒体信息处理系统；机密信息处理；复苏；删除重要应用程序和数据；与系统的软件设计，实施和修改；了硬件和软件维护、破坏。有限任期一般而言，最好不要长期任期，他认为这种工作是私人或永。以符合办公室任期有限原则，工作人员应，周期不规则强制休假制度，培训员工，有一个期限。职责分离除非系统通过审核和主管领导批准，人事信息系统不能解决的理解或参与任何其他与安全相关的任务。为安全起见下列信息是，计算机操作与计算机编程等发送和接受保密信息；安全性系统应用软件程序；和系统管理文档存取经营；经营的电脑信息处理及存储介质系统。2实现策略信息系统安全管理应该是基于保密性和数据，制定相应的管理制度和规范管理的原则，适当的应用。具体的任务：根据工作，确定该系统的安全水平的重要性。根据安全等级，确定安全管理的范围。经适房系统和更高层次的系统分区控制，安全要求的实施，限制访问。访问控制可以用来识别文件或安装和使用的磁条卡，ID卡和个人身份证件，登记等，以提高网络的安全自动识别系统。（三）网络安全的相关技术为了保证计算机网络系统的安全性，而且还利用先进的技术和产品。以下使用的相关技术和产品。1防火墙技术为了确保网络安全，防止黑客入侵内部网络和外部网络，一个受保护的网络和外部公共网络之间的一道屏障的建立被称为防火墙。它是一个或一个以上的外部访问，外界谁可以访问哪些服务可以访问服务的一套内部和外部服务系统通过内部人员。它可以监控和限制，通过防火墙的数据流的变化，来确定源和目的，形式和测试数据，并为用户或数据块传输规则。包括：应用层网关，数据包过滤，代理服务器的几种类型。2数据加密使用防火墙和数据加密技术，提高信息系统的主要技术数据，防止机密数据被用于外部中断的机密性和安全性分析。随着信息化的发展，网络安全和信息安全越来越注意力。除增强国家安全法规的管理，从目前资料看，硬件和软件技术对数据进行加密和物理的安全，开发。分为四的数据传输技术，数据加密和密钥管理的完整性，识别不同的数据存储功能的数据。3认证技术认证是防止主动攻击的重要手段的缘故，它是安全的开放环境中的各种信息中起着重要的作用。认证过程，认证是指认证机构或终端用户设备的发件人和收件人的信息。有两个主要目标：第一，验证验证信息的发送者是真正的，而不是这个被称为信号源识别；其次，对信息的核实，确保信息的完整性没有被篡改或延迟期。认证技术：信息认证，身份认证，数字签名。三、网络安全软件概述（一）防病毒软件概述首先，我们必须加强反病毒人员的意识，其次是安装防病毒软件。合格的防病毒软件应符合以下条件：一个强大的病毒扫描，防病毒能力在当前全球计算机网络流行的计算机病毒有4万多种，包括Windows，UNIX和Netware系统可造成大量伤害到各种操作系统，计算机病毒，你需要安装防病毒软件的病毒查杀各种系统环境中的病毒扫描，防病毒功能广泛的能力。2完整的升级服务与其他软件，杀毒软件相比，但我们也需要不断更新升级，以查杀新出现的计算机病毒。（二）常见的网络攻击及对策1隐形木马运行过程中周期的正常功能夹带额外的执行木马代码。因为在特洛伊这些用户不知道其他木马运行的代码，该程序包含一个木马程序执行，表面上是为了履行正常程序，如果你不希望用户程序的实际执行。木马程序分为两部分，即实现网上教学和教学传播者。在网络木马的强大的生命力，当人们在一个木马程序，它可以插入一些未感染的程序，因此他们被传染。这种攻击的危害很大，木马通过计算机网络攻击，可以读取和写入文件，未经授权，甚至网络攻击被控制。在生成的文件，以防止主藏木马病毒是正常的，每个文件的数字签名，通过判断来确定文件是否包含木马检查数字签名来运行一个文件已被修改。避免下载可疑，拒绝执行程序，网络扫描软件定期监视内部主机监控服务为TCP。2邮件炸弹邮件炸弹是最古老的大量匿名的不断攻击通过发送电子邮件到同一个地址提供机器，网络带宽攻击者可以通过邮件的收件人存储空间运行，因此用户空间消耗是没用的，阻止用户正常接收邮件，影响计算机的正常操作。通常是通过计算机网络，例如攻击到互联黑客报复目标。配置接收电子邮件地址将阻止邮件炸弹的路由方法，它可以被配置为自动删除同一主机或重复的消息，你甚至到达指定的SMTP服务器，从外部入侵的消息。3过载攻击当服务器过载攻击，大量无用请求长时间，从而使服务器忙攻击，其他用户无法满足要求。攻击者超载攻击的攻击，这是人为地增加CPU的负荷，CPU密集型的工作时间，以便其他用户一直在等待的状态，最常用的方法。为了防止过载攻击：限制单个用户杀死一些费时的过程，最大进程数。不幸的是，它是，也有一些负面影响的两种方法。有对各个用户的限制和删除耗时的过程的最大数目，这将给不能在该系统中，响应类似于正常现象拒绝服务的用户的请求。在正常情况下，管理员可以使用网络监控工具来发现这种攻击，通过列出他们的主机和网络地址列表，你也可以登录防火墙或路由器上，我们从网络或内部网络攻击外发现两者。或者，您可以让系统自动检查是否过载或者重新启动系统。4flood攻击收到客户端的SYN / ACK消息;典型地，在连接被建立后的TCP的三次握手，客户端发送一个请求信号给主机SYN SYN / ACK;消息发送到目标主机客户端接收的请求信号，然后，主机发送RST信号断开。 TCP三次握手，这提供了一个机会来攻击网络的人。攻击者可以使用主机不存在或不使用IP地址，主机攻击的SYN请求信号，主机接收到SYN攻击的信号，发送到不存在的IP地址伪装的主机的SYN包后。由于IP主机不存在或不具备的，所以我无法发送RST主机，从而导致受害主机一直处于等待状态，直到超时。如果攻击者不断发送SYN请求，从主机到攻击者，攻击主机一直处于观望状态，所以用户并没有其他的要求作出回应。对付攻击的最好的方法是实时监控系统连接到顺式接收状态数，当连接的数目超过给定值，实际闭合这些连接。（三）防病毒软件工作原理杀毒软件有：防病毒扫描 - 嵌入病毒扫描病毒库，该信息将被单独匹配到的文件;内存扫描仪 - 扫描仪存储器的基本原理是利用同样的病毒扫描程序的工作，它的工作记忆是寻找内存驻留文件扫描和引导记录病毒;完整性检查 - 在正常计算机操作，大多数程序文件和引导记录的不改变。因此，该计算机没有感染状态，获取指纹的每个可执行文件和引导记录的信息，该信息被存储在硬盘的数据库;监视行为 - 被称为行为监测和控制程序，这是内存驻留程序留在背景本计划默默地，等待病毒破坏或其他恶意行为。如果监控程序的行为检测到这样的活动中，它会通知用户，并让用户决定是否继续这种类型的活动。1CPU防病毒技术究其原因病毒和黑客可以轻易攻击的计算机，因为网络互联，交换信息的过程中，计算机网络将设了很多渠道，但设计师并没有对这个问题给予过多考虑，只要所有这可被视为“释放”，所以这是一个很大的风险计算机安全信息通道。经过多年的努力，计算机微处理器系统鲍里斯俄罗斯科学院？巴巴扬通信院士研制出新的微处理器（CPU），反病毒社区，成功实现了反病毒的CPU，CPU可以识别病毒程序，包括给定为“性”病毒程序的信息，而这些程序它包含病毒的监禁，“它可以给病毒程序执行一些数据，以避免伤害空转和电脑，这样一来基本上是孤立的病毒，该病毒失去传播的机会。2实时反病毒技术实时反病毒技术的反病毒行业一直看好，被认为是更彻底的防病毒解决方案。多年来为什么它的发展受到限制，部分原因是它需要占用一部分系统资源，降低系统性能，让用户难以忍受的原因;另一方面，因为与其他软件（尤其是操作系统）它兼容性问题尚未得到很好的解决。实时反病毒概念最大的好处就是解决了用户对病毒“性质不明”，或“不确定性”的问题。未经病毒检测工具的辅助下，普通用户只能摸着体系存在的病毒进行判断。事实上，直到用户感觉系统确实有一个病毒在做怪的时候，系统已经到了崩溃的边缘。实时反病毒技术可以提醒用户及时，督促用户采取有效措施，疫情爆发的病毒之前。实时监控以前在自然界中，而不是滞后。在调用任何程序是最先被再次过滤。病毒的入侵，它会报警并自动病毒，该病毒拒之门外，做到防患于未然。相对病毒甚至会破坏后采取措施挽救安全实时监控的做法较高。这种技术是在系统中运行，以检测在NTFS数据流的变化的弱区，以便检查是否有病毒或恶意程序。该技术最大的反病毒厂商一直在使用。3核心技术的活动随着当代病毒病毒技术可以紧密地嵌入到深，甚至操作系统的内核，这是我们都深深地扎根在清除病毒带来很大困难。我们没有方法，来保证操作系统的本身不杀而受损的病毒病毒是一个例子CIH。病毒技术将自动实时无系统的用户干预可能病毒，以积极应对已知病毒技术尚未达成的，核心技术的封锁。从事操作系统网络反病毒内核防病毒成为底层，体制本身，而不是应用软件的外系统的模块，防病毒技术一直目标。作为世界上第二大软件公司推出独特的冠群金辰，内核（activek主动）科技。之前在任何单据的核心模块抗药主动体系会，运用多种手段，记录第一次检测过程activek集锦技术。但安全的系统或系统漏洞检查和维修点，病毒的作用可以对计算机系统的硬件和软件的断裂发生在一瞬间。这一行动不到一个计算机系统的破坏，另一方面，另一方面又试图闯入系统拦截并完全杀死病毒，除了功能。activek Unicenter TNG无缝连接基于CA技术确保反毒品从底层内核模块和各种操作系统，网络，硬件，应用环境，密切合作，确保在activek病毒攻击响应的情况下，不会对操作系统内核的伤害，同时确保病毒入侵的杀戮。activek无缝连接技术是最基本的安全核心技术。对activek网络管理系统最突出的特点。在每一个计算机网络的移动核心网安装自动检测，是否升级到最新版本，无需电脑，内核可以安装或升级计算机，使整个网络甚至如果用户是一个巨大的全球远程异构网络的缺陷，activek可以很容易地实现它。activek被动防御向主动消费水平，积极控制，突破了传统的反病毒技术的发展。这是从根本上解决病毒，由活跃的核心用户，保护未知属性的用户的计算机系统，任何病毒的入侵将内核中的断层活化反应，预防措施，用户通常感觉不到使用计算机反病毒活跃时存在的核心，用户是完全透明的。可通过多种途径，尤其是互联网络）通信，智能分析过滤所有用户内存activek都从根本上解决部分病毒，任何网络存储，和其他计算机资源的充分有效的病毒和精度和实时定位。4虚拟机技术这种方法就是首先掌握VMWare和微软等一大批，世界首脑会议的研究和发展。由于病毒的传播。然后，在领先的反病毒软件可以支持病毒，判断和行为。因此，改变国外杀毒厂商第一的杀毒软件，虚拟机技术。这个功能在当前系统所使用的技术，简单的虚拟，但虚拟系统可以运行的程序，所以有些病毒外壳会增加，那么杀毒软件，病毒库和其他技术判断去除。但缺点也逐渐显现，资源消耗高，有时假死的杀毒软件和系统的现象。因此，虚拟机杀毒厂商的地位开始削弱，并逐步得到新的虚拟化技术。新的虚拟化技术，有效地使用，如NOD32，如McAfee。该技术已成为第一黑客的第二十一世纪的对象之一，但和黑客技术的不断发展，该技术已逐渐被摧毁，但技术需要大量的系统资源，导致系统不能正常运行。因此，使用新的虚拟机的虚拟化技术，使虚拟机不是原始功能的充分发挥，只有用病毒来弥补不足。杀毒软件的滞后，技术比较好：NOD32，McAfee，等。5沙盘模拟这项技术是一个伟大的系统还原软件专利，如影子系统或nortongoback安全模型使。该技术是在原有的系统留有一定的空间，允许用户操作，重启后，原来的数据被完全去除。6网络钓鱼这是一个钓鱼攻击的一些网络，银行等场所常用。黑客首先要像正常镜像网页，并通过细微变化的网站地址的网站，以获取用户的点击。但本网站不具备正常的网站，只是有一些非正常的法律功能记录账号，这样的威胁，一些知名的反病毒软件已经能够正确防范，例如诺顿，卡巴斯基，微软，等等！7防御利器诺顿第一次使用这种技术，这种技术旨在保护IE浏览器和其他遭受网络攻击。这种攻击可以控制用户的计算机，窃取数据等行为，并已被喻为最糟糕的防病毒的一个厂商的进攻，因为这种攻击是使用一个系统补丁就是区别，攻击计算机，所以非常高的危害，所以诺顿开发针对此风险nortonantibot，为预防此类攻击。当然，使用这种技术，有很多安全厂商。（四）有关病毒软件1卡巴斯基反病毒软件它拥有所有最先进的防病毒技术 - 卡巴斯基反病毒软件业务套装为当今所有最先进的防病毒和防黑客技术：病毒扫描程序可以随时扫描所有的存储数据;所有活动的文件病毒扫描的实时监控;和完整性检查器检查所有计算机数据的完整性;独特的脚本病毒检查在后台运行;和100拦截宏病毒行为分析。上述技术的组合，以最大程度地排除病毒，所以安全和可靠的计算环境。2上升病毒扫描是一个准确的判断病毒，目前最先进的方法。但是，缺点是不能查杀未知病毒特征码和防止恶意程序。虽然检测器可以在未知病毒的行为被发现，但检测器本身的行为是一个模糊判断，必须有特殊的情况下在若干误报行为。所以，现在大多数的杀毒软件使用病毒扫描程序。行为检测技术的兴起早期的研究。如注册表监控，瑞星杀毒软件瑞星卡卡上网安全助手的行为探测器原型。例如，通过分析2008年版瑞星病毒主动防御的经验，一系列的动作组合规则的定义，并结合动作的判断，可大大降低误报的发生。同时，通过白名单机制，加入了一些流行软件的白名单，你可以减少误报。四、网络安全和防火墙技术（一）防火墙定义和起源网络防火墙技术用于访问网络的设备之间的外部网络访问经由内部网络和外部网络未授权的用户，以提高资源的控制，访问内部网，内网环保专用网络设备的操作。例如，数据分组的传输，根据安全策略来实现两个或更多个网络测试，以决定是否允许网络流量和监视网络链。的主要产品有堡垒主机防火墙，包过滤路由器，应用层网关（代理）和电路级网关，主机防火墙屏蔽和双主机。的虽然防火墙是为了防止黑客攻击网络的有效方法，但也有明显的缺点：没有外部防火墙阻止通过其他方式攻击，无法阻止内部威胁和叛徒粗心的用户，并没有完全停止传输软件或病毒感染的文件，并且没有保护，防止数据驱动的攻击。自1986年以来，美国数字公司在互联网上被安装了世界上第一个商用防火墙系统，提出了一个防火墙，防火墙技术得到了迅猛的发展理念。防火墙产品推出许多公司在国内外具有不同的功能。防火墙是在底部5的网络安全层，包括一个网络层的安全技术。在这个层面上，问题是企业安全系统：？所有IP访问内部网络，如果答案是“是”，没有采取适当的预防措施，在网络中，这些措施的网络层。内部和外部公共网络之间的第一道屏障，防火墙是人类第一焦点是网络安全产品。虽然从理论上讲，在最低级的网络防火墙安全，负责安全认证和网络传输，但与应用，网络安全技术和现代防火墙技术网络的整体发展具有其它网络层安全水平逐步提升，不仅要完成传统防火墙的过滤任务，以及各种网络应用提供安全服务。有多种防火墙用户认证和针对病毒和黑客和其他方向的数据安全性。（二）关于防火墙的具体选择所有网络防火墙的安全屏障的总成本，总成本（TCO），不得超过保护的成本可能遭受网络系统最大程度。非关键部门的总成本，网络系统，例如，如果1美元的应用系统00000的所有支持信息的总价值，并与防火墙的部门不应超过10万元。当然，在关键领域的负面影响，造成的损害也应考虑。如果你只是一个粗略的估计，非要害部门的防火墙价格不应该超过网络建设成本，防火墙的重点行业应该是一个不同的故事，也有很多选择，但最重要的是以下两个：1防火墙本身是安全的随着信息系统安全产品，防火墙本身应该确保安全，不给使用外部入侵的机会。如果你喜欢的马其诺防线是积极的，虽然牢不可破的，但可以很容易绕过防御内部系统和网络系统的攻击者是不安全的。在正常情况下，从两个方面安全问题：防火墙本身，设计合理，普通用户不能启动，只能通过全面的测试和认证机构确定。因此对于用户来说，保守的方法是通过多项权威认证，选择测试。二是使用不当。在一般情况下，许多防火墙配置要求管理员手动更改系统管理员如果防火墙。2可扩展性在早期的网络建设中，由于内部信息系统的体积小，攻击造成的损失小，所以不要过于复杂和昂贵，购买防火墙产品。但随着网络技术和网络应用的扩展，出现大幅上涨的网络成本的风险，所以他们需要更多的安全改进的防火墙产品。如果防火墙是正确的？它可以是高度可扩展性和早期购置成本，这是一种浪费的投资。良好的产品应该给用户灵活地留下足够的空间，该安全水平要求不高，只能买基本系统，但随着用户需求，仍有余地的选择进一步增加。这不仅是为了保护用户的投资，为客户提供防火墙产品的制造商，产品覆盖面扩大。（三）加密技术概述信息加密技术交流分为两类：对称加密和非对称加密。1对称加密技术在使用相同的密钥来加密和解密消息的对称加密技术中，打开锁键。这种加密方法简化了加密过程中，加密算法并不需要学习和分享他们的专有信息交换。如果私钥不透露交换阶段，和的完整性和保密性的信息可以得到保证。技术也有对称加密一些不足之处，如果有对象交换，那么他将私钥。另一个问题是对称加密，双方共享一个秘密交换的两侧，它被发送给加密密钥之间的信息。诸如DES（数据加密标准），该方法使用两个单独的56-键三次，对加密信息的变型中，密钥长度是有效的112。2非对称加密密钥在非对称加密系统，密钥被分解成一对（即公共和私有密钥）。键可与任何公开密钥加密密钥使用）由非机密的方式开放给他人，而另一个作为私人密钥（密钥）。加密公钥和私钥被用于生成公共密钥可以解密广泛宣传占据的交换，但只有约密钥交换侧。在交换无法提前通知可以建立安全通信的非对称加密的密钥交换信息，广泛应用于身份认证，数字签名等领域。非对称加密系统通常基于一些已知的数学问题，它是复杂性理论计算机的必然结果。这是RSA公钥密码体制是最具代表性的。3 RSA算法RSA算法是维斯特，夏米尔和Adleman 1977年提出了一个全面的公钥密码体制。它的安全性是基于大数分解的难度。在RSA系统是这样一个基本事实：到目前为止，一些高效的算法，你解决不了的两个主要产品。 RSA算法描述如下：关键词：PQ = N（P，Q是两个大素数，不同的P，Q必须保密）E（P-1）和（Q-1）互质1答案：一（对-1- 模型（Q-1），其加密：C =（NM），明文，密文C.解密：M = CD（MOD N）现在，随着知识和理论，2048整数分解64更多的计算能力，所以现在和可预见的未来，这是足够安全的。（4）注册和认证管理1 CB的CA（认证机构）是一个实体，以确保信任，其主要任务是，以验证用户的身份认证的真实性。就证明了电子身份CA互联网用户，即根据CA，可信第三方的原则，也被认为是发行人通过用户认证持有。 CA还采取了一系列措施，以防止假冒电子证书或变更。 CA强大的安全结构是很重要的，而不是仅与加密，但PKI体系和相关模型的整体结构。此外，柔性钙的可用性是一个重要的市场，它不需要支持各种常见的国际标准，和其他厂商的产品能很好地相容的CA.2注册机构（准确的鉴定机构登记）RA和基于证书的用户界面，用户，支持不仅钙岭签发的一切事物登记证明，我们也必须支持远程应用程序。为了确保灵活，PKI系统安全，网络安全实施和设计是必要的便利和RA系统。3备份和恢复为了确保定期4证书吊销体系和管理系统数据的安全性该证书用于证明电子媒体的身份，并结合证书持有者和相应证书的身份。在正常情况下，这种组合具有有效的证书一个完整的生命周期。但是，有时候，不再需要一个证书吊销颁发的证书，证书撤销的原因有很多，包括工作，在一系列关键的原因，有效的改变疑似病例。证书撤销系统是使用定期发布机制或撤销证书，网上查询机制，采用定期检查和证书吊销的。五对网络安全问题的具体建议（一）技术和安全发展通过研究，中国的信息网络安全通信数据的安全性，两阶段的网络信息安全研究的阶段，开发了防火墙，安全路由器，安全网关，入侵检测系统，漏洞扫描软件。但是，由于信息网络安全是一个综合的，跨学科领域，结合数学，物理，化学和生物信息技术和计算机技术提出了许多新的学科，不完全信息和合作的发展来解决网络安全解决方案的长期积累，安全协议的安全架构，目前，现代密码学，信息分析和监控，以及信息安全系统的五个方面，各部分之间的协同作用，形成一个有机的整体。对于不同的防火墙技术，我们可以分为四种基本类型，包过滤，网络地址转换（NAT）,代理服务器的监视器。1包过滤包过滤防火墙产品，初级产品，其技术是基于网络传输技术。网络上的数据是“包”传输装置，所述数据被划分成数据分组的一定大小，每个数据包包含的具体信息，例如源地址，目的地址，TCP / UDP源和目的地端口。它是通过读取地址信息“打包”防火墙包确定是安全的，从受信任的站点，一旦发现数据包的危险部位，防火墙将被拒绝。这些数据。实际系统管理员还可以判定规则和灵活性。包过滤技术是简单的事实，为了降低成本，使用环境的，比较简单，成本低，在一定范围内，以确保系统的安全性。不过，包过滤明显的缺陷。包过滤技术是基于网络层的安全技术，以确定目的端口和基于信息基于应用层，如恶意的Java小程序上的数据包在网络上的唯一来源，不承认恶意电子邮件病毒。2代理也被称为代理防火墙这是多代理服务器，数据包过滤，心灵的产品更加和平，我们已经开始开发一个应用层。客户端和服务器的代理服务器的位置之间，完全阻断两者之间的数据交换。从客户端的角度来看，代理服务器作为一个真正的服务器;和从服务器，代理服务器是一个真正的客户端。当客户端需要在服务器上使用的数据，第一数据请求到代理服务器，代理服务器，则服务器响应的数据的请求，则代理服务器将数据发送给客户端。由于没有直接的数据通道系统外部和内部服务器。它可以作为企业破坏的外部网络是困难的。优势代理服务防火墙是安全的，检测和扫描应用层，应用层的病毒是非常有效的。其缺点是对系统性能有很大的总体影响，并且代理服务器必须为所有类型的客户端应用程序成为可能，从而大大增加了管理系统的复杂性来设置。事实上，作为一个大趋势的防火墙产品，大多数代理服务器（也称为应用网关）混合集成包过滤技术，应用这两种技术比用一个较大的优势显著更好。由于该产品是根据该应用程序，该应用程序网关提供协议过滤。例如，它可以过滤掉FTP连接于该命令，并通过代理应用，应用网关，可以有效地防止内部网络的信息泄漏。这是因为应用网关的特点，主要表现在对各种网络协议和应用程序在应用过程中的总体实施中的矛盾。（二）今后的的具体办法及措施网络安全是一个系统工程，是一个社会工程，网络安全的措施可以从以下四个方面入手。1更新网络安全技术首先，我们必须树立正确的心理准备。网络安全功能决定，这是快速更新的变化领域，此外，还有在信息安全技术领域，这意味着技术上的“持久战”，也意味着人们在该领域与发达国家有很大的差距网络安全是投资的长期行为。其次，建立高素质的人才队伍。目前在中国，突出的网络信息安全存在的问题是人才，人才流失，特别是拔尖人才的稀缺，而投资在网络安全人才的培养有很大的缺陷。最后，在完成网络安全的具体需要，根据实际情况，结合各种要求（例如成本等），各种技术的一个逻辑组合。2加强网络安全管理检查是否内部网络的安全性，不仅要看它的技术，但更重要的是看所采取的网络综合方法，预防的因素不仅是体力值，而且要重视人才等“软”的质量的因素，主要是管理的重点是“向管理要安全发出，向管理要安全。”再好的技术，设备，并没有高素质的管理，它只是一堆废铁。3保障网络安全组织体系要尽快建立健全网络安全组织体系，各级明确责任。建立认证认可组织管理体系，组织体系技术体系，和各级认证认可结构科学，信息技术，信息安全工程，信息安全产品，企业的信息安全管理体系的安全性。4构建网络道德最后，要加强立法和执法网络，尽快，同时不断完善文明人民的道德标准，为健康“网络伦理”的倡导者，以提高每个网络用户的安全意识，只有从根本上解决网络安全问题的方式。六、结论在当今快节奏的信息社会，网络已经成为不可或缺的工具，工作和生活。的增长速度是惊人的，但积极的，消极的，和其他的问题也出现在无尽的攻击。停止攻击，损失减少到最小的网络安全问题，必须注意安全，并尽可能的，作为一个更安全可靠的工具的日常维护。我们的网络，提高网络的可靠性，提供了很多的机会，但也给我们的挑战。然而，我们不怕挑战，否则将被浪费。信息安全是国家发展的一个重要问题。对于这个问题，我们必须把它从系统规划，技术，产业，政策，共同发展。政府不应该只看到有利于高新技术产业发展方面的信信息安全发展，要注意，和面临的严峻形势的重要的安全问题。互联网是我们的国家，甚至在未来电子信息技术发展将起到非常重要的作用的一个重要组成部分。网络安全是一个动态的、综合的系统工程重点在网络结合的功能，对相应的网络安全策略的发展，在当前的条件下，互联网的风险降到最低，让他对我们的工作和生活提供更好的服务。参 考 文 献1邢晓，关于网络安全问题的相关思考金融参考2012.102雷立，网络环境下、黑客攻击问题，武汉大学出版社2010.8 3赖淑珠、杜霞，城市投资银行的美国经验21世纪经济报道2009.06.20 4林毅夫、李永军，网络的发展、促进中小企业的发展中的作用、2014.06.105程惠霞，网络安全发展战略网络研究2013.10.86盛松成，关于网络安全的若干问题的思考研究2014.107翟建宏、高明华，网络安全相关软件的理论和实践2011（3）。 8局域网的发展问题研究.西安日报2012（10）。9钱水士、李国文.软件开发及网络安全的理论和实践2006（2）。 10翟建宏,高明华.网络安全问题的理论与实践2012（3).11我国网络安全软件的培育与发展问题究.中国互联网周刊，2013（10). 12 黎连业、张维、向东明 . 路由器及其应用技术 北京 清华大学出版社13 Andrew S.Tanenbaum . 计算机网络 第四版 北京清华大学出版社14 远望图书部 .局域网一点通 人民交通出版社15 李伟网络安全实用技术标准教程 北京 清华大学出版社16 褚建立、刘彦舫计算机网络技术北京清华大学出版社21