1、 PAGE13 / NUMPAGES13客戶身份：某經(jīng)濟貿(mào)易學(xué)校講師。選題圍：我是國家級重點中職學(xué)校的計算機老師（計算機教研組組長），平時以上計算機類的專業(yè)課為主，所任課程有：計算機網(wǎng)絡(luò)，網(wǎng)頁設(shè)計，計算機基礎(chǔ)，設(shè)計，計算機組裝與維護，Java編程，VB程序設(shè)計，SQL數(shù)據(jù)庫等等。評計算機類的高級講師（副高），想寫5篇計算機類的專業(yè)論文。字?jǐn)?shù)：4500字左右。復(fù)制比控制在20%以下。價格：400元。先擬題目，題目通過后開寫，一篇一篇的寫。本人真實作者，因為中介不講誠信故公開此文，望有識之士不為寫手中介所騙！基于Internet的區(qū)域服務(wù)安全防御系統(tǒng)的研究與應(yīng)用摘要：Internet作為信息分享平

2、臺越來越受到人們的關(guān)注，并在人們的日常生活中占據(jù)了重要的一席之地，但是隨之而來的安全問題也開始日益嚴(yán)重。如何在實現(xiàn)數(shù)據(jù)共享的同時保證隱私和信息的可靠性開始成為IT行業(yè)研究的對象。本文主要研究了區(qū)域網(wǎng)絡(luò)的安全防御系統(tǒng)，并通過實例證明了安全防御系統(tǒng)的重要性。關(guān)鍵字：網(wǎng)絡(luò)安全，局域網(wǎng)，防火墻，安全防御體系一、前言21世紀(jì)隨著Internet技術(shù)的發(fā)展，網(wǎng)絡(luò)開始成為了人們生活中不可或缺的一部分。從單機的數(shù)學(xué)運算、文件處理，基于簡單連接的部網(wǎng)絡(luò)之間的業(yè)務(wù)處理、HYPERLINK :/baike.baidu /view/38368.htm辦公自動化等發(fā)展到基于復(fù)雜的HYPERLINK :/baike.ba

3、idu /view/21848.htm部網(wǎng)（Intranet）、企業(yè)HYPERLINK :/baike.baidu /view/2454033.htm外部網(wǎng)（Extranet）、全球互聯(lián)網(wǎng)（Internet）的企業(yè)級計算機處理系統(tǒng)和HYPERLINK :/baike.baidu /view/8083.htm世界圍的信息共享和業(yè)務(wù)處理。在這個區(qū)域中，程序、文檔、信息等各種資源都可以被共享；甚至于硬件比如：打印機、 機等也可以通過網(wǎng)絡(luò)共享。網(wǎng)絡(luò)使我們的生活變得經(jīng)濟便捷且豐富多彩，作為基礎(chǔ)設(shè)施的局域網(wǎng)絡(luò)部署也變的越來越廣泛。與此同時，計算機安全問題日益突出，在我們步入信息社會、網(wǎng)絡(luò)社會的同時，信息的

4、私密程度和安全程度也亮起了紅燈。由于網(wǎng)絡(luò)的信息共享與其特有的開放性，在局域網(wǎng)絡(luò)發(fā)展的同時，伴之而來的信息安全威脅在不斷增加，信息安全開始變得普遍化，從原來的專業(yè)應(yīng)用開始進入人們的日常生活。而建立一套完備的網(wǎng)絡(luò)安全體統(tǒng)對于區(qū)域化管理來說，就變得十分必要。在局域網(wǎng)進行數(shù)據(jù)傳輸和信息發(fā)布的過程中，為了確保其安全性，最好采用多種安全策略和技術(shù)，并不斷改變其機制。然而安全與反安全始終是共同發(fā)展的，隨機計算機技術(shù)的提升，兩者之間的矛盾也在不斷的攀升，網(wǎng)絡(luò)安全必將隨著技術(shù)的發(fā)展而不斷的更新，成為區(qū)域乃至國家信息安全保障系統(tǒng)的一個重要方面，對我國未來信息化，電子化的發(fā)展也起著重要的作用。二、網(wǎng)絡(luò)安全（netw

5、ork security）2.1 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)的安全是指通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運行，保護網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件與其中的數(shù)據(jù)，確保網(wǎng)絡(luò)的連續(xù)性、可用性、完整性和性，不受偶然的或者惡意的破壞、更改、泄露。網(wǎng)絡(luò)安全的具體含義與對象有關(guān)。比如：從用戶（個人、企業(yè)等）的角度來說，他們希望涉與 HYPERLINK :/baike.baidu /view/1951710.htm t _blank 個人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時受到性、完整性和真實性的保護。從網(wǎng)絡(luò)運行和管理者角度來說，他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護和控制，避免出現(xiàn)“陷門”、HYPERLINK

6、 :/baike.baidu /view/2584.htm病毒、非法存取、拒絕服務(wù)和HYPERLINK :/baike.baidu /view/21050.htm網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御HYPERLINK :/baike.baidu /view/30580.htm網(wǎng)絡(luò)黑客的攻擊。對安全部門來說，他們希望對非法的、有害的或涉與國家的信息進行過濾和防堵，避免機要信息泄露，避免對社會產(chǎn)生危害，對國家造成巨大損失。從社會教育和意識形態(tài)角度來講，網(wǎng)絡(luò)上不健康的容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進行控制。2.2 網(wǎng)絡(luò)安全的特點1.性：信息不泄露給非授權(quán)用戶、HYPERLI

7、NK :/baike.baidu /view/21996.htm實體或過程，或供其利用的特性。2.完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。3.可用性：可被授權(quán)實體訪問并按HYPERLINK :/baike.baidu /view/195818.htm需求使用的特性。即當(dāng)需要時能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊； 4.可控性：對信息的傳播與容具有控制能力。5. 可審查性：出現(xiàn)的安全問題時提供依據(jù)與手段1。2.3 影響網(wǎng)絡(luò)安全的因素1.物理因素的影響網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安

8、全的前提。在設(shè)計區(qū)域網(wǎng)絡(luò)以與施工當(dāng)中，應(yīng)該盡可能的避免外界意外事故、環(huán)境因素干擾，人為失誤等物理風(fēng)險所造成的影響2.網(wǎng)絡(luò)結(jié)構(gòu)的影響網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計也直接影響到網(wǎng)絡(luò)系統(tǒng)的HYPERLINK :/baike.baidu /view/421194.htm安全性。在區(qū)域網(wǎng)路的設(shè)計過程中，應(yīng)盡可能的避免網(wǎng)絡(luò)結(jié)構(gòu)信息的外泄，并對外網(wǎng)的信息請求加以區(qū)分，將可疑信息達到主機之前排除掉。3.操作系統(tǒng)的影響系統(tǒng)的安全直接關(guān)系到網(wǎng)絡(luò)HYPERLINK :/baike.baidu /view/880.htm操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺的可信度。在選擇可靠操作系統(tǒng)的過程中，應(yīng)盡可能對其進行詳盡分析并進行安全配置，以彌補目前操

9、作系統(tǒng)的漏洞。4.應(yīng)用系統(tǒng)的影響應(yīng)用系統(tǒng)的安全涉與到很多具體應(yīng)用，并且直接涉與到信息數(shù)據(jù)的安全性。應(yīng)盡可能的建立安全的系統(tǒng)平臺，采用多層次的訪問控制與權(quán)限控制手段和加密技術(shù)，對于漏洞與時發(fā)現(xiàn)修補，從而適應(yīng)應(yīng)用系統(tǒng)的安全的動態(tài)變化。5.管理的影響管理是網(wǎng)絡(luò)中安全最最重要的部分。應(yīng)完善安全管理制度，并對網(wǎng)絡(luò)進行實時檢測監(jiān)控、報告與預(yù)警，增強網(wǎng)絡(luò)的可控性和可追查性，與時發(fā)現(xiàn)避免非法入侵行為?？偠灾瑢τ趨^(qū)域網(wǎng)絡(luò)安全的控制，必須將網(wǎng)絡(luò)安全機制的建立與健全的安全管理制度相結(jié)合，以免在網(wǎng)絡(luò)安全出現(xiàn)問題的時候，對整個網(wǎng)絡(luò)造成無法彌補的損失。特別是對于區(qū)域網(wǎng)絡(luò)的維護，網(wǎng)絡(luò)安全更成為發(fā)展的重要一環(huán)。2.4 網(wǎng)

10、絡(luò)安全的主要防措施1. 對區(qū)域網(wǎng)的關(guān)鍵設(shè)備進行全面的安全檢查；2. 對訪問區(qū)域網(wǎng)的用戶資格進行嚴(yán)格的認(rèn)證和控制；3. 安裝區(qū)域網(wǎng)絡(luò)防病毒系統(tǒng)；4.對區(qū)域網(wǎng)傳輸?shù)闹匾畔?shù)據(jù)進行加密；5.采用隔離卡或網(wǎng)閘對區(qū)域網(wǎng)絡(luò)進行隔離；6. 制定網(wǎng)絡(luò)安全的管理措施。 此外，還有HYPERLINK :/baike.baidu /view/506542.htm信息過濾、容錯、數(shù)據(jù)鏡像、HYPERLINK :/baike.baidu /view/600259.htm數(shù)據(jù)備份和審計等其他措施。三、Internat 網(wǎng)絡(luò)安全技術(shù)研究3.1 局域網(wǎng)（LAN）3.1.1 局域網(wǎng)概述局域網(wǎng)(Local Area Netwo

11、rk)是在一個較小的地理圍(如一個學(xué)校、工廠或公司)，通過電纜將服務(wù)器、外部設(shè)備和數(shù)據(jù)庫等聯(lián)接起來的數(shù)據(jù)網(wǎng)絡(luò)。它通常封閉于一個比較集中的地域，通過專用的數(shù)據(jù)網(wǎng)絡(luò)，與其他局域網(wǎng)、數(shù)據(jù)庫或處理中心相連接，從而構(gòu)成一個更大的數(shù)據(jù)網(wǎng)絡(luò)處理體系2。可在兩臺或多臺局域網(wǎng)的計算機實現(xiàn)文件共享、軟件共享、服務(wù)共享甚至外部設(shè)備共享等。其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一共有三種，如下圖所示：圖1 LAN的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)3.1.2 局域網(wǎng)安全技術(shù)目前局域網(wǎng)基本上都采用以太網(wǎng)，很容易被黑客接入，竊取信息。對此的的解決辦法主要有以下幾種：1. 對網(wǎng)絡(luò)進行分段，將非法用戶與區(qū)域網(wǎng)絡(luò)資源相互隔離，可防止非法偵聽。網(wǎng)絡(luò)分段可分為物理分段和邏輯分

12、段兩種方式，經(jīng)常被綜合運用。比如在海關(guān)系統(tǒng)中普遍使用的DECMultiSwitch900的入侵檢測功能。2. 用交換式集線器代替共享式集線器，使兩臺機器之間的數(shù)據(jù)包僅在兩個節(jié)點之間傳輸，從而防止非法偵聽。3. 運用 HYPERLINK :/baike.baidu /view/21837.htm t _blank 虛擬局域網(wǎng)技術(shù)，將以太網(wǎng)通信變?yōu)辄c到點通信，不但可以防止大部分的網(wǎng)絡(luò)偵聽，還可以改進管理效率；保護網(wǎng)絡(luò)不受由廣播流量所造成的影響，靈活控制廣播域。3.1.3 無線局域網(wǎng)（WLAN）WLAN是利用電磁波發(fā)送和接受數(shù)據(jù)，不需要線纜介質(zhì)，是在有線互聯(lián)網(wǎng)的基礎(chǔ)上發(fā)展起來的一種網(wǎng)絡(luò)。其可移動性可

13、以快速方便的解決有線網(wǎng)絡(luò)鎖不能解決的問題。目前WLAN的數(shù)據(jù)傳輸速率已經(jīng)能夠達到最高450 HYPERLINK :/baike.baidu /view/496716.htm t _blank Mbps，傳輸距離可遠至20HYPERLINK :/baike.baidu /view/149564.htm t _blank km以上。相比有線網(wǎng)絡(luò)來說，無線局域網(wǎng)只需要一個或多個接入點(AccessPoint)設(shè)備就可建立覆蓋整個區(qū)域的網(wǎng)絡(luò)，安裝更加便捷；網(wǎng)絡(luò)設(shè)備的安放位置不再受網(wǎng)絡(luò)信息點位置的限制，使用更加靈活；不需要進行網(wǎng)絡(luò)改造，更加經(jīng)濟實惠；WLAN有多種配置方式，可以根據(jù)實際需要靈活選擇，更易

14、擴展。綜上所述，無線局域網(wǎng)的應(yīng)用越加廣泛，而無線局域網(wǎng)的安全問題也愈加重要。圖2 無線局域網(wǎng)示意圖3.1.4 無線局域網(wǎng)安全技術(shù)無線局域網(wǎng)技術(shù)最早出現(xiàn)在第二次世界大戰(zhàn)期間的軍事應(yīng)用。目前，無線局域網(wǎng)絡(luò)產(chǎn)品主要采用的是IEEE(美國電氣和電子工程師協(xié)會)802.11b國際標(biāo)準(zhǔn)和DSSS（DirectSequenceSpreadSpectrum，直接序列擴頻）通信技術(shù)3。1. 802.11標(biāo)準(zhǔn)是一種增強性的網(wǎng)絡(luò)安全解決方案。主要包括三項安全技術(shù)來保障無線局域網(wǎng)數(shù)據(jù)傳輸。第一項為SSID（ServiceSetIdentifier）技術(shù)。將一個網(wǎng)絡(luò)劃分為多個子網(wǎng)絡(luò)，登陸每個子網(wǎng)絡(luò)時都需要獨立的身份認(rèn)證

15、，以防止未授權(quán)用戶進入；第二項為MAC（MediaAccessControl）技術(shù)。在無線局域網(wǎng)的每一個接入點（AccessPoint）下設(shè)置一個授權(quán)用戶的MAC地址清單，拒絕MAC地址不在清單中的用戶；第三項為WEP（WiredEquivalentPrivacy） HYPERLINK :/baike.baidu /view/40927.htm t _blank 加密技術(shù)。來源于RC4的RSA數(shù)據(jù)加密技術(shù)，防止電波傳輸數(shù)據(jù)過程中數(shù)據(jù)被偵聽，或即使數(shù)據(jù)被截取也無法被破譯。2. DSSS通過利用高速率的擴頻序列在發(fā)射端擴展信號的頻譜，而在接收端用一樣的擴頻碼序列進行解擴，把展開的擴頻信號還原成原來

16、的信號。DSSS由于采用全頻帶傳送資料，速度較快，而且適用于固定環(huán)境或?qū)鬏斮|(zhì)量要求較高的應(yīng)用，比如無線廠房、無線醫(yī)院、網(wǎng)絡(luò)社區(qū)、分校連網(wǎng)等大部分都采用DSSS無線技術(shù)。3.2 廣域網(wǎng)3.2.1 廣域網(wǎng)概述廣域網(wǎng)（WAN，Wide Area Network）也稱遠程網(wǎng)，是在電信網(wǎng)絡(luò)的基礎(chǔ)發(fā)展起來的覆蓋較理位置的局域網(wǎng)之間的集合。它將分布在不同地區(qū)的局域網(wǎng)或 HYPERLINK :/baike.baidu /view/1130583.htm t _blank 計算機系統(tǒng)聯(lián)系起來，實現(xiàn)資源共享。WAN更能滿足大容量或突發(fā)性通信；滿足綜合服務(wù)的業(yè)務(wù)需求；并且具備更規(guī)的協(xié)議很晚上的服務(wù)管理。廣域網(wǎng)的拓

17、撲結(jié)構(gòu)是點到點連接構(gòu)成的網(wǎng)狀結(jié)構(gòu)，如下圖所示：圖3 廣域網(wǎng)的拓?fù)浣Y(jié)構(gòu)3.2.2 廣域網(wǎng)接入技術(shù)1.DDN(Digital Data Network)即數(shù)字?jǐn)?shù)據(jù)網(wǎng)，它是利用數(shù)字信道傳輸數(shù)據(jù)信號的數(shù)字網(wǎng)絡(luò)，可向用戶提供半永久性連接電路，不但用于計算機之間的通信，也可用于點對點的專線、一點對多點的連接、同點對多點的圖像通信和數(shù)字化信號等。2. ISDN(Integrated Services Digital Network)綜合業(yè)務(wù)數(shù)字 HYPERLINK :/ t _blank 網(wǎng)絡(luò)，它是一種可以在線路上同時提供音頻、視頻和數(shù)據(jù)服務(wù)的數(shù)字網(wǎng)絡(luò)，能夠通過一根普通的線進行多種業(yè)務(wù)通信、雙向進行數(shù)據(jù)傳輸

18、等，幾乎綜合了目前各單項業(yè)務(wù)網(wǎng)絡(luò)的功能，又被稱為“一線通”。 3. ADSL（Asymmetric Digital Subscriber Line）非對稱數(shù)字用戶環(huán)路，是我國目前應(yīng)用最廣的寬帶接入技術(shù)，它由用戶端設(shè)備和局端設(shè)備組成，提供速率不一的上行和下行通道，不但簡化了設(shè)備設(shè)計，而且使數(shù)據(jù)和語音同時傳世互不干擾。4. 幀中繼：另一種廣域網(wǎng)窄帶接入技術(shù)，它提供了高速、高效率、低時延的服務(wù)，并利用永久性虛電路（PVC）建立可靠的端到端回路，比較適合局域網(wǎng)之間連接或者業(yè)務(wù)量突然增大的狀況4。3.3 局域網(wǎng)安全技術(shù)策略為了保證局域網(wǎng)安全，目前主要采用掃描器設(shè)備來對網(wǎng)絡(luò)進行掃描，發(fā)現(xiàn)主機的缺陷和弱點，

19、從而加強系統(tǒng)的安全性。除此之外，還需要強化網(wǎng)絡(luò)安全意思，建立完備的網(wǎng)絡(luò)安全。3.3.1 采用防火墻技術(shù)1.防火墻的概念防火墻：是網(wǎng)絡(luò)安全的有機組成部分，可以區(qū)分可信與不可信網(wǎng)絡(luò)，它通過控制和監(jiān)測網(wǎng)絡(luò)，來判斷來往于網(wǎng)絡(luò)之間的信息是否安全。防火墻本身必須建立在安全操作系統(tǒng)的基礎(chǔ)上，將硬件和軟件有機結(jié)合。2.防火墻的主要功能防火墻主要用于過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息容和活動以與對網(wǎng)絡(luò)攻擊進行檢測和報警等。比如：對部工作子網(wǎng)與外網(wǎng)的訪問控制、DMZ區(qū)域與外網(wǎng)的訪問控制、部子網(wǎng)與DMZ區(qū)的訪問控制、撥號用戶對部網(wǎng)的訪問控制、下屬機構(gòu)對總部的訪問

20、控制、基于時間的訪問控制、用戶級權(quán)限控制、高層協(xié)議控制、IP與MAC綁定、流量控制以與端口映射等5。3.防火墻類型包過濾防火墻過濾器可以檢測通信數(shù)據(jù)，觀察其源地址和目的地址，從而禁止特定的地址或地址圍傳出或進入，也可以禁止令人懷疑的地址模式。圖4 包過濾路由器示意圖包過濾防火墻樂意在網(wǎng)絡(luò)層上進行監(jiān)測，簡單透明、使用效率高，但是由于不能引入認(rèn)證機制，一般不能防御使用UDP協(xié)議的攻擊，對于低層攻擊無能為力。應(yīng)用層網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)又被稱為代理服務(wù)器，在應(yīng)用層上實現(xiàn)，可以監(jiān)視容并提供日志功能，但是新的服務(wù)在代理過程中存在延遲性和專業(yè)性，且代理服務(wù)收到協(xié)議本身缺陷的限制。電路層網(wǎng)關(guān)圖5 電路層網(wǎng)關(guān)示意圖3

21、.3.2 限制VPN訪問VPN：通過國際互聯(lián)網(wǎng)建立虛擬專用網(wǎng)，它可以接收被保護的主機信息，對此加密，然后通過路由器發(fā)送至互聯(lián)網(wǎng)，再通過另一個局域網(wǎng)中的VPN設(shè)備解密。包括撥號VPN與專線VPN。 虛擬專用網(wǎng)（VPN）用戶有訪問網(wǎng)的權(quán)限，對網(wǎng)的安全造成了巨大的威脅。因此需要利用登陸權(quán)限控制列表來限制每一位VPN用戶訪問網(wǎng)的全部權(quán)限，僅僅賦予他們所需的訪問權(quán)限即可。 3.3.3采用IDSIDS（Intrusion Detection System）入侵檢測系統(tǒng)，它通過對網(wǎng)絡(luò)上的所有報文進行分析處理，報告異常，使網(wǎng)絡(luò)安全管理員與時采取行動阻止可能的破壞。 IDS可以實時地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報文，對系統(tǒng)記錄的網(wǎng)絡(luò)事件進行統(tǒng)計分析，主動切斷連接或與防火墻聯(lián)動。3.3.4 建立完善的網(wǎng)絡(luò)安全決策除了手動安全策略，還可以采用自動執(zhí)行實時跟蹤的安全策略，實時跟蹤網(wǎng)絡(luò)事件并記錄數(shù)據(jù)文件。 同時培訓(xùn)區(qū)域網(wǎng)用戶自動響應(yīng)網(wǎng)絡(luò)安全策略。建立完善的網(wǎng)絡(luò)管理機構(gòu)，制定嚴(yán)格的設(shè)備管理制度和軟件數(shù)據(jù)管理制度等。對于網(wǎng)絡(luò)安全鎖棉鈴的問題以與日益更新的病毒和入侵方式，我們應(yīng)該快速發(fā)展多層次、全方位、跨平臺的技術(shù)與具有強大功能的防護系統(tǒng)；實現(xiàn)自動化的服務(wù)以與安全設(shè)計的合理規(guī)劃，同時還應(yīng)使網(wǎng)絡(luò)安裝進一步簡易化，保證