1、本科畢業設計（論文）題目：網絡攻擊與安全防御的分析學生：學號：系（部）：數學與計算機系 專業：計算機科學與技術 入學時間：201年月導師：職稱/學位：導師所在單位：網絡攻擊與安全防御的分析摘 要隨著計算機網絡技術的飛速發展，計算機網絡已涉與到國家、軍事、金融、科技、教育等各個領域成為社會發展的重要保證。因此需要一些新的技術和解決方案來防御網絡安全威脅，具有主動防護功能的網絡攻擊轉移防護系統就是其中的一種。對網絡攻擊轉移防護系統的主動防御功能進行了探討，并論述了將其用于網絡安全防護的優缺點。在全面分析常見的網絡攻擊手段與對策的基礎上，結合可適應網絡安全理論提出了一種有效的攻擊防御系統，網絡攻擊效

2、果評估技術研究等。通過對網絡安全脆弱性的分析，研究了網絡攻擊的方式和過程，分析了網絡安全防御的特點、策略和過程。關鍵詞：網絡攻擊；網絡安全；防御analysis ofnetwork attackand networkdefenseAbstractIn the information age, network has become important and indispensable for social. in network development and its extensive use, the problems ofnetwork security are increasingly

3、 serious,ofwhichnetwork attack becomes a threat to net-work security that can notbe ignored. This paperhas analyzedmethods and characteristics of the network attack and put forward somedefense strategies of strengthening network security.Key words：network security；network attack；defense 目錄前言1第一章網絡攻擊

4、概述11.1網絡攻擊概述11.1.1網絡攻擊11.1.2網絡攻擊的步驟21.2網絡防御技術的概述21.2.1網絡安全的特性21.2.2網絡安全的分析31.2.3網絡安全技術手段4第二章網絡攻擊的主流技術52.1電子欺騙52.2程序攻擊7第三章網絡安全的防御技術分析93.1 網絡安全防御的過程分析93.2數據加密技術93.3防火墻技術103.4入侵檢測11結束語13參考文獻1412 / 15網絡攻擊與安全防御的分析前 言隨著計算機網絡技術的飛速發展，計算機網絡已涉與到國家、軍事、金融、科技、教育等各個領域，成為社會發展的重要保證。但是網絡的開放性和共享性，使網絡受到外來的攻擊，這樣給網絡造成的嚴

5、重攻擊會使正常的數據被竊取，服務器不能正常提供服務等等，人們采取一些有效的措施和手段來防止網絡遭受破壞，例如防火墻和一些網絡技術手段等，傳統的信息安全技術，主要是在阻擋攻擊(防火墻)或與時偵測攻擊。一旦攻擊者繞過防火墻隨意訪問部服務器時，防火墻就無法提供進一步的防護。與時偵測攻擊只有在攻擊開始時才會提供信息，但這卻無法為你爭取足夠的時間以保護所有易被攻擊的系統。無法判斷出新的攻擊是否成功，或被攻系統是否成為跳板。所以一個成功的防御措施，應是既可以拖延攻擊者，又能為防御者提供足夠的信息來了解敵人，避免攻擊造成的損失。靈活的使用網絡攻擊轉移防護技術，就可以達到上述目標。設計好的牢籠系統中，拖延并控

6、制住攻擊者，進而保護真正的服務器并研究黑客為防御者提供攻擊者手法和動機的相關信息。第一章網絡攻擊概述1.1網絡攻擊概述1.1.1網絡攻擊網絡攻擊也稱為網絡入侵，網絡攻擊帶來的危害就像一顆核武器爆炸帶來的傷害，企圖危與到網絡資源的安全性和完整性的行為，破壞系統的安全措施以達到非法訪問信息，改變系統的行為和破壞系統的可用性的目的。網絡攻擊主要是通過信息收集、分析、整理后發現目標系統漏洞與弱點,有針對性地對目標系統(服務器、網絡設備與安全設備)進行資源入侵與破壞,信息竊取、監視與控制的活動。主要有以下幾點：(1)外部滲透是指未被授權使用計算機又未被使用數據或程序資源的透。(2)部滲透是指雖被授權使用

7、計算機但未被使用數據或程序資源的滲透。(3)不法使用是指利用授權使用計算機數據和程序資源合法用戶身份的滲透。網絡攻擊策略與攻擊過程:攻擊者的攻擊策略可以概括信息收集、分析系統的安全弱點、模擬攻擊、實施攻擊、改變日志、清除痕跡等，信息收集目的在于獲悉目標系統提供的網絡服務與存在的系統缺陷,攻擊者往往采用網絡掃描、網絡口令攻擊等。在收集到攻擊目標的有關網絡信息之后，攻擊者探測網絡上每臺主機,以尋求該系統安全漏洞。根據獲取信息,建立模擬環境,對其攻擊,并測試可能的反應,然后對目標系統實施攻擊。猜測程序可對截獲用戶賬號和口令進行破譯；破譯程序可對截獲的系統密碼文件進行破譯；對網絡和系統本身漏洞可實施電

8、子引誘(如木馬)等。大多數攻擊利用了系統本身的漏洞，在獲得一定的權限后，以該系統為跳板展開對整個網絡的攻擊。同時攻擊者都試圖毀掉攻擊入侵的痕跡。在目標系統新建安全漏洞或后門，以便在攻擊點被發現之后，繼續控制該系統。1.1.2網絡攻擊的步驟在網絡更新的時代，網絡中的安全漏洞無處不在，網絡攻擊正是利用對安全的漏洞和安全缺陷對系統和資源進行攻擊。主要有以下步驟：（1）隱藏自己的位置普通的攻擊者通常會用他人的電腦隱藏他們真實的IP地址，老練的攻擊者會用的無人轉接服務連接ISP然后盜用他人的賬號上網。（2）尋找目標主機并分析目標主機攻擊者主要利用域名和IP地址可以找到目標主機的位置，但是必須將主機的操作

9、系統類型和提供的服務等資料做了全面的了解。知道系統的哪個版本，有哪些賬戶www，ftp等服務程序是哪個版本，并做好入侵的準備。 （3）獲得賬號和密碼并登陸主機攻擊者如果想要用戶的資料必須要有用戶的賬號和密碼，對用戶的賬號進行破解從中獲得賬號和口令，再尋找合適的機會進入主機。利用某些工具或者系統的登陸主機也是一種方法。 （4）獲得控制權網絡攻擊者登陸并獲得控制權后，清除記錄，刪除拷貝的文件等手段來隱藏自己的蹤跡之后，攻擊者就開始下一步。 （5）竊取網絡資源和特權攻擊者找到攻擊目標后，會繼續下一步，例如下載資源信息，竊取賬號密碼信用卡號等經濟盜竊使網絡癱瘓。網絡攻擊的原理:網絡入侵總是利用系統存在

10、的缺陷，這些缺陷可能是網絡的不合理規劃造成的，也可能是系統的開發所留下的BUD，還有是人為的安全疏忽所造成的系統口令丟失，明文通信信息被監聽等。主要有網絡協議的缺陷如ARP協議、TCP/IP協議、UDP協議、ICMP協議等。系統或者軟件設計中的漏洞，人為的失誤或者疏忽。1.2網絡防御技術的概述在網絡防御中，隨著網絡攻擊技術的不斷發展，以與難度越來越大，網絡防御技術也面臨著同樣的問題，需要不斷提高防御技術。1.2.1網絡安全的特性網絡安全的主要因素有性、完整性、可用性、可控性、可審查性。性是指信息不泄露給非授權用戶、實體和過程或者供其利用的特性。完整性是指數據未經授權不能進行改變的特性。可用性指

11、授權用戶使用并按照需求使用的特性。可控性對信息的傳播和容具有控制能力。可審查性出現的安全問題時提供依據與手段。1.2.2網絡安全的分析1.物理安全分析網絡的物理安全的分析是整個網絡安全的前提。在網絡工程中，網絡工程屬于弱電工程，耐壓值低。在設計過程中必須首先保護人和網絡設備不受電，火災雷電的襲擊，考慮布線的問題還要考慮計算機與其他弱電耐壓設備的防雷。總的來說物理安全風險有地震、火災等環境、電源故障、人為操作失誤或錯誤，高可用性的硬件，雙機多冗余的設計，機房環境與報警系統、安全意識等，要盡量避免網絡物理安全風險。2.網絡結構的安全分析網絡拓撲結構設計也直接影響到網絡系統的安全，在外部和部網絡進行

12、通信時，部網絡的機器就會受到安全的威脅，同樣也會影響到其他的系統。通過網絡的傳播還能影響到其它的網絡，我們在做網絡設計時有必要公開服務器和外網與其網絡進行必要的隔離，避免網絡信息的泄漏。同時還要對外部的服務請求加以過濾，只允許正常的數據包到達相應的主機，其它的服務在到達主機之前就應該遭到拒絕。3.系統安全的分析系統安全的分析是指整個網絡操作系統和網絡平臺是否可靠和值得信賴，沒有安全的網絡操作系統，不同的用戶應從不同的方面對其網絡做詳細的分析。選擇安全性比較高的操作系統并對操作系統進行安全配置，必須加強登陸過程的認證，確保用戶的合法性；其次限制操作用戶的登陸權限，將其完成的操作限制在最小的圍。1

13、.2.3網絡安全技術手段 物理措施 保護網絡的關鍵設備，制定完整的網絡安全規章制度。采取防火、防輻射、安裝不間斷電源等措施。 訪問控制 對用戶進行網絡資源的訪問權限進行嚴格的認證和控制。例如進行用戶身份認證、對口令加密更新和鑒別等。 數據加密 加密是數據保護的重要手段，其作用是保障信息被人截獲后不能讀懂含義，防止計算機網絡病毒，安裝防止網絡病毒系統。第二章網絡攻擊的主流技術2.1電子欺騙電子欺騙是通過偽造源于一個可信任地址的數據包以使一臺機器認證另一臺機器的電子攻擊手段。它可分為IP電子欺騙、ARP電子欺騙和DNS電子欺騙三種類型。1.IP電子欺騙攻擊IP電子欺騙是攻擊者攻克工internet

14、防火墻系統最常用的方法，也是許多其他攻擊方法的基礎。IP欺騙技術就是通過偽造某臺主機的IP地址，使得某臺主機能夠偽裝成另外一臺主機，而這臺主機往往具有某種特權或被另外主機所信任。對于來自網絡外部的欺騙來說，只要配置一下防火墻就可以，但對同一網絡的機器實施攻擊則不易防。一些基于遠程過程調用（RPC）的命令都是采用客戶/服務器模式，在一個主機上運行客戶程序，在另一個主機上運行服務器模式。在建立遠程連接時，服務程序根據文件進行安全檢查，并只根據信源IP地址來確認用戶的身份，以確定是否接受用戶的RPC請求。由于RPC連接基于特定端口的TCP連接，而建立TCP連接需要建立三次握手過程，每次建立連接時TC

15、P都要為該連接產生一個初序列號ISN。 如果掌握了TCP初始序列分配方法與隨時間的變化規律，很容易實施IP電子欺騙攻擊。 假設B是A的所信任的主機，信任是指A的/etc/hosts. equiv 和SHOME /. 文件中注冊B的IP地址，如果C企圖攻擊A，那么必須知道A信任B。C采用IP欺騙手段攻擊的過程：（1）假設C知道了A信任B的，首先使B的網絡暫時癱瘓，以免B干擾攻擊。可以通過TCP SYN flood 攻擊將B的網絡功能暫時癱瘓。（2）C設法探測A的當前的ISN，可以向端口號25發送TCP SYN報文請求來實現。端口25是SMTP服務，不做任何檢查并計算C到A的RTT平均值，如果了解

16、了A的ISN基值和增加規律（如果每秒增加128000，連續增加64000）也可計算到C到A的RTT平均值，可以立刻轉入IP欺騙攻擊。（3） C偽裝B向A發送TCP SYN報文請求建立連接，原來的IP為B，TCP的端口為513，A向B回送TCP SYN+ACK進行響應。因為B的網絡功能暫時 處于癱瘓的狀態，無法向A發送TCP SYN+ACK進行響應。（4）C偽裝成B向A發送TCP ACK 報文，該報文中帶有C檢測A的序列號ISN+1。如果序列預測準確，那么這個TCP連接便建立起來了并轉入數據傳送階段。由于這是A和B之間的連接，A向B發送數據時，而不是向C，因此C還需要假冒B向A類似重定向命令來實

17、現通信。并且執行A的shell，獲得root 權限。如果序列號預測不準確，則本次攻擊宣告失敗。IP欺騙攻擊主要采用了RPC服務器的安全檢查依賴于信源IP地址的弱點，但是一旦預測了A的ISN，攻擊成功率很大。過程如圖所示：圖1：IP欺騙攻擊原理圖1)使B癱瘓 2)ISN和RTT3)假冒B建立連接4)重定向獲取數據 獲得shell和root權限2.ARP電子欺騙ARP電子欺騙是一種更改ARP Cache的技術。Cache中含有IP與物理地址的映射信息，如果攻擊者更改了A即Cache中IP物理地址聯編，來自目標的數據包就能發送到攻擊的物理地址，因為依據映射信息，目標機己經信任攻擊者的機器了。防止A即

18、欺騙:把網絡安全信任關系建立在IP基礎上，而不僅是兩者之一；設置靜態IP對應表，讓主機刷新你設定好的轉換表;使用代理IP的傳輸。3.DNS電子欺騙當攻擊者危害DNS服務器并明確地更改主機名IP地址映射表時，DNS欺騙就會發生。這些改變被寫入DNS服務器上的轉換表。因而當一個客戶機請求查詢時，用戶只能得到這個偽造的地址，該地址是一個完全處于攻擊者控制下的機器的地址。因為網絡上的主機都信任DNS服務器，所以一個被破壞的DNS服務器可以將客戶引導到非法的服務器，也可以欺騙服務器相信一個IP地址確實屬于一個被信任客戶。防方法是用轉化得到的IP地址或域名再次作反向轉換驗證。4.炸彈電子炸彈是最古老的匿名

19、攻擊之一,通過設置一臺機器不斷地大量的向同一地址發送電子,攻擊者能夠耗盡接收者網絡的帶寬,占據空間,使用戶儲存空間消耗殆盡,從而阻止用戶對正常的接收,妨礙計算機的正常工作。防止炸彈的方法主要有通過配置路由器,有選擇的接受電子,對地址進行配置,自動刪除來自同一主機的過量或重復的消息,也可使自己的SMTP連接只能達到指定的服務器,從而免受外界的侵襲。安全漏洞包括操作系統漏、網絡協議漏洞、數據庫系統漏洞、應用程序漏洞、硬件漏洞等。任何的軟件都不可能是完美，總是存在一些漏洞，這也是軟件不斷升級和打補丁的原因之一。漏洞可能造成計算機資料的丟失或計算機不能正常使用。由于計算機各種漏洞太多，因此，有人用“野

20、火燒不盡，春風吹又生”來形容安全漏洞。操作人員疏忽例如操作人員的安全意識不強，配置不當，沒采取必要的安全防護措施，疏忽大意導致的失誤，誤操作等。黑客攻擊是計算機網絡所面臨的最大的威脅。黑客是一群熟練掌握網絡技術，專門對計算機網絡搞破壞或入侵的人。黑客沒有國家地域的限制，只要遇到他們感興趣的東西，他們就會利用各種方法和手段將其黑到手。2.2程序攻擊程序攻擊就是通過編寫一些程序代碼，讓計算機來執行一系列指令，進而破壞系統的正常運行。病毒是一些程序，常常修改同一計算機中的另一些程序，將自己復制進其他程序代碼中。一般的復制方法有覆蓋型與附著型兩種。當病毒發作時，會使系統產生不正常的動作。特洛伊木馬程序

21、是駐留在目標計算機中的一個程序，在程序中提供了一些符合正常意愿使用的功能，但在其中卻隱藏了用戶不知道的其他程序代碼，當目標計算機啟動時，木馬程序也啟動，然后在某一特定端口監聽。一旦條件成熟，這些非法代碼就會被激活而執行一些操作，如傳送或刪除文件，竊取口令，重新啟動機器等，使系統不能正常工作。特洛伊木馬程序技術是黑客常用的攻擊手段。它通過在你的電腦系統隱藏一個會在windows啟動時運行的程序,采用服務器/客戶機的運行方式,從而達到在上網是控制你的電腦目的。特洛伊木馬是夾帶在執行正常功能的程序中的一段額外操作代碼。特洛伊木馬程序包括兩個部分,即實現攻擊者目的的指令和在網絡中轉播的指令。特洛伊木馬

22、具有很強的生命力,在網絡中當人們執行一個含有特洛伊木馬的程序時,它能把自己插入一些未被感染的程序中，從而使它們受到感染。防止在正常程序中隱藏特洛伊木馬的主要方法是人們在生成文件時，對每一個文件進行數字簽名,而在運行文件時通過對數字簽名的檢查來判斷文件是否被修改,從而確定文件中是否含有特洛伊木馬。蠕蟲是一種可以在網上不同主機間傳播，而不須修改目標主機上其他程序的一類程序。它不一定會破壞任何軟件和硬件，蠕蟲不斷通過計算機網絡將自己傳送到各處，最后由于不斷的擴使得系統不勝負荷。它還不斷地收集包含密碼或文件在的信息，蠕蟲嚴重地消耗系統的資源和帶寬。近幾年出現了綜合各種網絡攻擊手段的網絡欺騙攻擊、分布式

23、拒絕服務攻擊和分布式網絡病毒攻擊。下面是各類網絡攻擊技術的分類與其新近的發展:漏洞類攻擊:針對掃描器發現的網絡系統的各種漏洞實施的相應攻擊，跟隨新發現的漏洞，攻擊手段不斷地翻新，防不勝防。由于這些攻擊的新穎性，一般而言即使安裝了實時人侵檢測系統，也很難發現這一類攻擊；阻塞類攻擊:阻塞類攻擊企圖通過強制占有信道資源、網絡連接資源、存儲空間資源，使服務器崩潰或資源耗盡無法對外繼續提供服務。DOS是典型的阻塞類攻擊，常見的方法有:淚滴攻擊、UDP/TCP洪泛攻擊、Land攻擊、電子炸彈等多種方式。為了針對寬帶網絡技術的發展,目前DOS已發展為更為猛烈的分布式集群攻擊；病毒類攻擊計算機病毒已經由單機病

24、毒發展到網絡病毒，由DOS病毒發展到WINIOWS98/NT/2000/XP系統的病毒，現在已經發現UNIX系列的病毒。電子與蠕蟲技術是網上傳播病毒的主要方法，最近在紅色代碼n中病毒技術與后門技術結合是網絡攻擊手法的新動向；探測類攻擊:信息探測型攻擊主要是收集目標系統的各種與網絡安全有關的信息，為下一步入侵提供幫助。特洛伊木馬也可以用于這一類目的。這類攻擊主要包括:掃描技術、體系結構刺探、系統信息服務收集等。目前正在發展更先進的網絡無蹤跡信息探測技術；欺騙類攻擊:欺騙類攻擊包括IP欺騙和假消息攻擊，前一種通過冒充合法網絡主機騙取敏感信息，后一種攻擊主要是通過配置或設置一些假信息來實施欺騙攻擊，

25、主要包括:ARP緩存虛構、DNS高速緩存污染、偽造電子等；控制類攻擊:控制型攻擊是一類試圖獲得對你的機器控制權的攻擊，最常見的有3種口令攻擊、特洛伊木馬攻擊和緩沖區溢出攻擊。口令截獲與破解，仍然是最有效的口令攻擊手段，進一步的發展應該是研制功能更強的口令破解程序；木馬技術目前著重研究更新的隱藏技術和秘密信道技術緩沖區溢出是一種常用的攻擊技術，早期利用系統軟件自身存在的緩沖區溢出的缺陷進行攻擊，現在研究制造緩沖區溢出。第三章網絡安全的防御技術分析3.1 網絡安全防御的過程分析一般來講計算機網絡安全防御技術可以分類以下幾種:(1)物理安全技術包括通信保障設備和計算機設備兩部分,目的是保護硬件實體和

26、通信線路免受攻擊。(2)運行安全技術主要指基礎協議的實現和應用系統兩層的安全,包含網絡和系統的可用性和資源使用合法性方面的保障，保障運行安全的主要技術和機制有:防火墻與身份認證技術、網絡安全檢測與監控等。(3)信息保護技術主要實現信息和數據在產生、存儲、處理、傳輸的過程中的性、完整性和有效性。保障信息安全識別涉與到加密技術、訪問控制與認證技術、數學簽名、數據完整性技術等。其中加密技術是核心。1網絡安全防御是一個動態過程為適應外部環境的飛速發展，網絡系統的安全防御必須不斷地相應的變化調整才能有效地保證安全防御系統的有效性。網絡安全防御的過程如下:(1)進行態勢分析以評估當前和預計的針對網絡的安全

27、威脅以與網絡自身各方面存在的脆弱性,預測和評估安全威脅產生的致命性后果帶來的影響與損失。對網絡的安全態勢有一個清晰、客觀和全面的了解。(2)建立基于安全政策的網絡安全目標。這些目標針對要實現的安全(防御和威脅)程度以與實現的日期定量和定性的表述。(3)基于安全漏洞的普遍性和威脅的不確定性，制定滿足安全目標的可供選擇方法。(4)對各種可供選擇的防御方法加以分析評估，根據其效能、可行性、效費和風險等指標進行決策,選擇安全防御計劃的組成要素(風險分析、保護、指示和預警、響應、災難恢復)。將計劃要素綜合成一個一致的安全計劃。(5)同時為貫徹防御計劃制定一個度量和控制風險的方法，對風險發生的概率以與結果

28、進行量化。針對每個風險領域制定其消除防計劃。(6)對所貫徹行動的效果和性能進行全過程監控，并根據出現的偏差進行改進調整。安全技術策略網絡系統本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性,尤其是多用戶網絡系統自身的復雜性、資源共享性使得多種技術組合應用變得非常必要。攻擊者使用的是“最易滲透原則”，必然在最有利的時間地點，從系統最薄弱的地方進行攻擊。因此,全面地對系統的安全漏洞和安全威脅進行分析、評估和檢測(包括模擬攻擊)，從網絡的各個層次進行技術防是設計網絡安全防2御系統的必要條件。目前采取的技術主要有：加密、認證、訪問控制、防火墻技術、入侵檢測、安全協議、漏洞掃描病毒防治、數據

29、備份和硬件冗余等。3.2數據加密技術數據加密是技術把數據的原始形式明文(通過加密算法和加密密鑰變成另一種無意義的數據密文)過程，這個過程是可逆的。加密算法可以分為對稱和不對稱加密算法兩種，對稱加密算法是收發雙方所持有的密鑰一樣,一把密鑰既用來加密也用來解密,此種加密技術的優點是數據加解密速度較快,但是密鑰自身的秘密分發比較困難，密鑰管理復雜，不便于開放的網絡環境中應用。不對稱加密算法是收發雙方持有不同的密鑰，一把用來加密,另一把用來解密,這樣就克服了密鑰分發的安全問題,能夠適應網絡的開放性要求，但其缺點是算法復雜，加解密數據速度和效率較低，著名的算法有RSA算法。在實際應用中，考慮到這兩種算法

30、的優缺點，通常用DES或IDEA算法來加密要傳輸的數據正文，而用RSA算法來加密對稱加密算法的密鑰，以保證密鑰分發的安全。3數據加密技術在網絡安全的應用數據加密是一種主動安全防御策略。它可實現用很小的代價為信息提供相當大的安全防護。在OSI七層結構中，除會話層以外其它各層均可進行一定的加密,但習慣是在高層上進行。因為在應用層采用軟件加密方式其優點是，現在有標準的安全API(即信息安全應用程序模塊)產品,比如IBM的CAPI(Cryptographic Application Programming Inter-face)、X/Open的GCS-API(Generic Cryptographic

31、 Ser-vice API)、Netscape的SSL(Secure Sockets Layer)等,實現方便,兼容性好。根據加密技術應用的邏輯位置不同可以將加密分為如下幾種:(1)鏈路加密。通常將網絡層以下的加密稱為鏈路加密。它可以有效的保護通信鏈路上節點間的數據不被非法竊取，加密過程由置于節點間的加密設備完成。其缺點是信息在網絡交換節點處以明文的形式出現，這是鏈路加密傳輸過程中的一個重要的不安全因素。鏈路加密由網絡自動完成，不需用戶干預，整個加密和解密過程對用戶透明。4(2)節點加密。節點加密是在鏈路加密的基礎上進行優化改進，它在協議傳輸層上進行加密，克服了鏈路加密在網絡交換節點處信息易遭

32、非法竊取的缺點。(3)端到端加密。端到端加密是在源節點和目的節點中對傳送的PUD進行加密和解密，報文的安全性不會因為中間節點的不可靠而受到影響。3.3防火墻技術所謂防火墻是指由一個軟件和硬件設備組合而成，它實際上是一種隔離技術，處于網絡群體計算機與外界通道之間，限制外界用戶對于部網絡訪問以與管理部用戶訪問外界網絡的權限。防火墻作為一種網絡監視和過濾器，它監視每一個通過的數據報文和請求。一方面對可信賴的報文和應用請求允許通過，另一方面對有害的或可疑的報文禁止通過。同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。防火墻是網絡安全中一種很重要的技術。為了達到對網絡數據

33、傳輸進行監視的目的，防火墻一般位于局域網和廣域網之間或局域網與局域網之間。5通常防火墻的配置策略是:為查找病毒，掃描所有進入的電子與附件。防火墻改變這些信息的發送方向，使之在進入部服務器之前，首先進入到網絡防病毒服務器中。防病毒服務器檢查所有改變方向后的和附件中的病毒。假如發現一個被感染的信息，則或者清除病毒，或者將一起刪除,并通知管理員。采用這種方案時防火墻實際并不參與查找病毒，它在將的方向改變后,其使命就完成了，而部服務器只是被動地接受給定的輸入。但此時假設服務器上出現問題，則管理員必須手工干預，并可能要重新配置多種設備，以采取進一步的補救措施。防火墻的作用 防火墻具有良好的保護作用。入侵

34、者必須首先穿越防火墻的安全防線，才能接觸目標計算機。可以將防火墻配置成許多不同保護級別。高級的保護可能禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。防火墻的工作原理所有的防火墻都具有IP地址過濾功能，這項任務要檢查IP，根據IP源地址和目標地址放行 /丟棄決定，兩個網段之間隔離了一個防火墻，防火墻的一端有一臺計算機，另一邊有臺PC客戶機。當客戶機向計算機發起TELENT請求時，PC的客戶程序就會產生一個TCP包傳給本地的協議準備發送。接下來協議這個TCP包塞到一個IP包里，然后通過PC的TCP /IP協議的路徑并把它發送給計算機。 3.4入侵檢測入侵檢測是一種主動的網絡安全防御措施，它

35、不僅可以通過監測網絡實現對部攻擊、外部攻擊和誤操作的實時保護，有效地彌補防火墻的不足，而且還能結合其他網絡安全產品，對網絡安全進行全方位的保護，具有主動性和實時性的特點，是防火墻重要的和有益的補充。它幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。實時響應與恢復建立安全實時響應和應急恢復的整體防御。當網絡在被攻擊和破壞時，能夠與時發現與時反應減少損失盡快地恢復網絡服務。網絡安全系統應該包括:安全防護機制、安全監測機制、安全反應機制、安全恢復機制。安全防護機制是指根據系統具體存在的各種安全漏洞和安全威脅采取相應的防護措施

36、避免非法攻擊的進行；安全監測機制監測系統的運行情況，與時發現對系統進行的各種攻擊；安全反應機制能對攻擊與時的反應，能有效制止攻擊的進行，防止損失擴大；安全恢復機制能在安全防護機制失效的情況下進行應急處理和盡量與時地恢復信息，降低被攻擊的破壞程度。6入侵檢測通過收集操作系統、系統程序、應用程序、網絡包等信息,發現系統中違背安全策略或危與系統安全的行為。具有入侵檢測功能的系統稱為入侵檢測系統，簡稱IDS最早入侵檢測模型。1.入侵檢測系統的作用在八十年代早期使用了“威脅”這一概念術語，其定義與人侵含義一樣。他將人侵企圖或威脅定義為未經授權蓄意嘗試訪問信息、竄改信息，使系統不可靠。人侵檢測系統(IDS

37、)一般來講不是采取預防措施以防止人侵檢測的發生，人侵檢測系統作為安全技術其作用在于:(l)監視用戶和系統的運行狀況，查找非法用戶和合法用戶的越權操作。(2)檢測系統配置的正確性和安全漏洞，并提示管理員修補漏洞。(3)對用戶的非正常活動進行統計分析，發現人侵檢測的規律。(4)檢查系統程序和數據的一致性與正確性。如計算和比較文件系統的校驗和能夠實時對檢測到的人侵檢測進行反應。2.入侵檢測方法：基于主機的入侵檢測系統和基于網絡的入侵檢測系統人侵檢測系統按照數據來源劃分，可以分為兩類:基于主機的入侵檢測系統和基于網絡的入侵檢測系統。7基于主機的入侵檢測系統(HIDS)通常從主機的審計記錄和日志文件中獲得所需的主要數據源，并輔以主機上的其他信息，例如文件系統屬性、進程狀態等信息來查找已知的和值得懷疑的攻擊模式。它的系統原型有SRI的IDES和MDES、Haystack系統等。其中IDES系統是具備劃時代意義的原型系統，它實現了最初的