畢業(yè)譯文網(wǎng)絡(luò)安全優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）

畢業(yè)譯文網(wǎng)絡(luò)安全優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）譯文原文題目：thenetworksicurity,thecomputervirusandfirewalls譯文題目：網(wǎng)絡(luò)安全，計(jì)算機(jī)病毒，防火墻學(xué)院：計(jì)算機(jī)科學(xué)學(xué)院專業(yè)班級(jí)：網(wǎng)絡(luò)工程10級(jí)01班學(xué)生姓名：劉小芳學(xué)號(hào)：41009040127網(wǎng)絡(luò)安全1.網(wǎng)絡(luò)安全簡(jiǎn)介網(wǎng)絡(luò)的安全是指通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。網(wǎng)絡(luò)安全的具體含義會(huì)隨著“角度”的變化而變化。比如：從用戶（個(gè)人、企業(yè)等）的角度來說，他們希望涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)。主要特點(diǎn)（1）保密性信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。（2）完整性數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可用性可被授權(quán)實(shí)體訪問并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊；（4）可控性對(duì)信息的傳播及內(nèi)容具有控制能力。（5）可審查性出現(xiàn)安全問題時(shí)提供依據(jù)與手段3.網(wǎng)絡(luò)安全現(xiàn)狀隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。有很多是敏感信息，甚至是國(guó)家機(jī)密。所以難免會(huì)吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等）。同時(shí)，網(wǎng)絡(luò)實(shí)體還要經(jīng)受諸如水災(zāi)、火災(zāi)、地震、電磁輻射等方面的考驗(yàn)。全方位的安全體系包括:（1）訪問控制：通過對(duì)特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。(2)檢查安全漏洞：通過對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。(3)攻擊監(jiān)控：通過對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。(4)加密通訊：主動(dòng)的加密通訊，可使攻擊者不能了解、修改敏感信息。(5)認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶。(6)備份和恢復(fù)：良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。(7)多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。(8)隱藏內(nèi)部信：使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。(9)設(shè)立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控，渠護(hù)及緊急情況服務(wù)。安全技術(shù)手段（1）物理措施例如，保護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機(jī)、大型計(jì)算機(jī)等)，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源（UPS）等措施。（2）訪問控制對(duì)用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如，進(jìn)行用戶身份認(rèn)證，對(duì)口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。（3）數(shù)據(jù)加密加密是保護(hù)數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計(jì)算機(jī)網(wǎng)絡(luò)病毒，安裝網(wǎng)絡(luò)防病毒系統(tǒng)。（4）網(wǎng)絡(luò)隔離網(wǎng)絡(luò)隔離有兩種方式，一種是采用隔離卡來實(shí)現(xiàn)的，一種是采用網(wǎng)絡(luò)安全隔離網(wǎng)閘實(shí)現(xiàn)的。（5）其他措施其他措施包括信息過濾、容錯(cuò)、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計(jì)等。計(jì)算機(jī)病毒1.計(jì)算機(jī)病毒計(jì)算機(jī)病毒是一種侵入其他計(jì)算機(jī)程序中的計(jì)算機(jī)程序，他通過修改其他的程序從而將自身的復(fù)制品嵌入其中。注意一個(gè)程序之所以成為“病毒”，并非一定要起徹底的破壞作用。2.計(jì)算機(jī)的危害計(jì)算機(jī)病毒是一些能破壞或刪除計(jì)算機(jī)中的信息、文件或程序的代碼。正如感染人體的病毒一樣，計(jì)算機(jī)病毒能夠擴(kuò)散。當(dāng)你的計(jì)算機(jī)從互聯(lián)網(wǎng)上下載一個(gè)被感染的文件，或者從磁盤上復(fù)制一個(gè)被感染的文件時(shí)，你的計(jì)算機(jī)就會(huì)染上病毒。而一旦病毒進(jìn)入到你的計(jì)算機(jī)文件中，它就能馬上破壞或摧毀其中的信息，或者等到某個(gè)特殊的日期或事件來臨時(shí)才觸發(fā)其破壞活動(dòng)。3.計(jì)算機(jī)病毒的類型一般來說，主要存在著兩類計(jì)算機(jī)病毒。第一類由文件感染型病毒組成，他們將自身依附在普通的程序文件上。第二類病毒是系統(tǒng)病毒或引導(dǎo)區(qū)記錄感染型病毒，這些感染可執(zhí)行代碼的病毒出現(xiàn)在磁盤的某些系統(tǒng)區(qū)中，而不是普通文件中。另外，有些病毒能感染上述兩種對(duì)象這些病毒常稱為“多成分”病毒，它們的另一個(gè)名字是“引導(dǎo)區(qū)和文件型”病毒。4.宏病毒許多應(yīng)用程序都提供了創(chuàng)建宏的功能。宏是一個(gè)完成特定應(yīng)用任務(wù)的命令序列。設(shè)計(jì)宏的目的是使諸如文本格式化或電子表格計(jì)算這樣的日常工作更為簡(jiǎn)單。5.特洛伊木馬通常與病毒想混淆的一種程序是特洛伊木馬程序.。它不是病毒，僅僅是扮作其他東西的程序。例如，你可能下載了你認(rèn)為是新游戲的東西，但當(dāng)你運(yùn)行它時(shí)，它刪除了你硬盤上的文件?；蛘弋?dāng)你第三次運(yùn)行該游戲時(shí)，該程序把你保存了的密碼發(fā)送給其他人。6.避免病毒感染的一些普通技巧（1）安裝著名公司的防病毒軟件，定期升級(jí)定期使用。新的計(jì)算機(jī)病毒每天都可能到來。幾個(gè)月不升級(jí)的病毒軟件面對(duì)當(dāng)前的病毒不能提供什么保護(hù)。（2）要定期掃描病毒，除此之外安裝“訪問時(shí)”掃描程序（大部分好的防病毒軟件包中都有），并把它們配置為每次開機(jī)時(shí)自動(dòng)啟動(dòng)。這將通過每次訪問可執(zhí)行文件就自動(dòng)檢查病毒來保護(hù)你的系統(tǒng)。（3）在打開或執(zhí)行一個(gè)新程序或其他包含可執(zhí)行代碼的文件之前，先進(jìn)行病毒掃描，無論它們來自哪里。也有出售的軟盤和CD-ROM光盤傳播病毒的情況。（4）防病毒程序不能很好地檢查特洛伊木馬程序，所以當(dāng)打開來自不知道的或“不確定的”源的二進(jìn)制文件和Word/Excel文檔是要特別小心。這包括：二進(jìn)制新聞組的郵件、來自不著名或良好聲譽(yù)的Web/ftp網(wǎng)站的下載、收到意外的作為電子郵件附件的可執(zhí)行文件。（5）在聯(lián)網(wǎng)聊天時(shí)接收到的程序其他文件要特別小心：這似乎是人們感染計(jì)算機(jī)病毒或惹上特洛伊木馬麻煩的更普遍的途徑之一。如果任何一個(gè)家庭成員（特別是年輕人）使用了計(jì)算機(jī)，一定要讓他們知道聊天時(shí)不能接收任何文件。定期備份。某些病毒或特洛伊木馬程序會(huì)刪除和破壞硬盤上的文件，而最近的備份也許是恢復(fù)數(shù)據(jù)的唯一途徑。防火墻1.防火墻簡(jiǎn)介現(xiàn)在，網(wǎng)絡(luò)安全已成為一個(gè)我們必須考慮和解決的重要問題。越來越多的專業(yè)，企業(yè)和個(gè)人上網(wǎng)的不同程度的安全問題。他們正在尋找更可靠的安全解決方案。在防御系統(tǒng)所采用的網(wǎng)絡(luò)安全的現(xiàn)狀，防火墻占據(jù)了非常重要的地位。作為維護(hù)網(wǎng)絡(luò)安全的關(guān)鍵設(shè)施，防火墻技術(shù)是通過對(duì)網(wǎng)絡(luò)的隔離和限制訪問等方法來控制網(wǎng)絡(luò)的訪問權(quán)限。防火墻采取建立一個(gè)障礙在信任和不信任的網(wǎng)絡(luò)之間，并實(shí)施相應(yīng)的安全策略。所有的防火墻具有過濾IP地址的功能。這項(xiàng)任務(wù)是檢查IP數(shù)據(jù)包，根據(jù)源地址和目的IP地址決定是否釋放或放棄這個(gè)數(shù)據(jù)包。在下圖所示，在兩個(gè)網(wǎng)段中間有一個(gè)防火墻，一側(cè)是UNIX計(jì)算機(jī)，另一側(cè)是PC客戶端。當(dāng)PC客戶端向UNIX計(jì)算機(jī)發(fā)送遠(yuǎn)程登陸請(qǐng)求時(shí)，PC里的遠(yuǎn)程登陸客戶端程序產(chǎn)生一個(gè)TCP數(shù)據(jù)包并把此包傳遞給本地協(xié)議棧準(zhǔn)備發(fā)送。協(xié)議棧把它填充在一個(gè)IP數(shù)據(jù)包內(nèi)，然后通過PC的TCP/IP協(xié)議棧中定義的路徑發(fā)送到UNIX計(jì)算機(jī)。在它通過PC和UNIX計(jì)算機(jī)之間的防火墻之前，這個(gè)IP包不能送達(dá)UNIX計(jì)算機(jī)。圖IP地址過濾在互聯(lián)網(wǎng)上防火墻是網(wǎng)絡(luò)安全的非常有效的手段，它安裝在信任和不可靠的網(wǎng)絡(luò)之間，可以隔離安全區(qū)域和風(fēng)險(xiǎn)區(qū)域的連接，在同一時(shí)間并不妨礙人們進(jìn)入風(fēng)險(xiǎn)區(qū)域。它可以隔離風(fēng)險(xiǎn)區(qū)域之間的連接（即有可能是在互聯(lián)網(wǎng)上一定的風(fēng)險(xiǎn)）和安全區(qū)（局域網(wǎng)）上，也不妨礙人們?cè)谕粫r(shí)間進(jìn)入危險(xiǎn)領(lǐng)域。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量,從網(wǎng)絡(luò)來完成這項(xiàng)任務(wù)看似不可能的,它只允許安全和通過檢查的信息進(jìn)入,同時(shí)阻止那些可能給企業(yè)帶來威脅的數(shù)據(jù)信息。由于故障和安全問題的缺陷變得越來越普遍,入侵網(wǎng)絡(luò)不僅來自高超的攻擊手段,也可能是來自配置上的低級(jí)錯(cuò)誤或不合適的密碼選擇。因此，這個(gè)防火墻的功能是防止不被希望和未經(jīng)許可的通訊進(jìn)出網(wǎng)絡(luò)保護(hù)。。迫使公司加強(qiáng)自己的網(wǎng)絡(luò)安全策略。一般防火墻可以達(dá)到以下目的：第一，制止他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾不安全服務(wù)和非法用戶；第二，防止關(guān)閉安裝到你的防御侵略者；第三，限制用戶訪問特殊站點(diǎn)；第四，提供便利的網(wǎng)絡(luò)安全監(jiān)控。2.防火墻技術(shù)的分類和實(shí)施一個(gè)集成的防火墻系統(tǒng)通常包括篩選路由器和代理服務(wù)器。該篩選路由器是一個(gè)多端口的IP路由器，它根據(jù)定期的小組來檢查每個(gè)IP數(shù)據(jù)包，以判斷是否將其發(fā)送。篩選路由器得到分組信息，例如協(xié)議號(hào)、IP地址、端口號(hào)、甚至IP選擇中的標(biāo)志和聯(lián)系。代理服務(wù)器是防火墻的過程服務(wù)器。它可以代替網(wǎng)絡(luò)用戶還結(jié)束一個(gè)特殊的TCP/IP協(xié)議。代理服務(wù)器是應(yīng)用層的入口，也是兩個(gè)網(wǎng)關(guān)連接的特定應(yīng)用程序。用戶通過TCP/IP協(xié)議，例如遠(yuǎn)程登錄和FIP協(xié)議與代理服務(wù)器建立聯(lián)系。服務(wù)器要求用戶先聲明想要登錄的遠(yuǎn)程主機(jī)名。用戶輸入認(rèn)證的用戶名及密碼后，服務(wù)器即可為用戶和遠(yuǎn)程主機(jī)建立聯(lián)系，作為兩者信息傳遞的平臺(tái)，這整個(gè)過程對(duì)于用戶是完全透明的。主要有三種類型的防火墻：包過濾，應(yīng)用網(wǎng)關(guān)和狀態(tài)檢測(cè)。包過濾防火墻是工作在網(wǎng)絡(luò)層的，它可以過濾TCP/IP數(shù)據(jù)包的源地址，目標(biāo)地址、源端口、目標(biāo)端口。它具有效率高，對(duì)用戶透明度高等優(yōu)勢(shì)。除非用戶是以非法身份登錄被拒絕，否則不會(huì)感覺到分組過濾防火墻的存在。它的劣勢(shì)在于不能保證大部分網(wǎng)絡(luò)服務(wù)和協(xié)議的安全性，不能有效的區(qū)分使用相同IP地址的不同用戶，它是很難被設(shè)定、監(jiān)控和管理的。也不能提供足夠的日?qǐng)?bào)記錄和警告。應(yīng)用網(wǎng)關(guān)防火墻工作在應(yīng)用層，它通過特定的客戶端程序與防火墻中的幾個(gè)節(jié)點(diǎn)相連接，然后這些節(jié)點(diǎn)再與服務(wù)器連接。與包過濾防火墻不同的是，當(dāng)使用這種類型的防火墻時(shí)，用戶不會(huì)與外部網(wǎng)絡(luò)建立直接的聯(lián)系。因此，即使有事件發(fā)生，外部網(wǎng)絡(luò)也不會(huì)對(duì)內(nèi)部被保護(hù)的網(wǎng)絡(luò)產(chǎn)生影響。這個(gè)應(yīng)用程序提供了詳細(xì)的防火墻日常記錄和審計(jì)功能，很大的提高了網(wǎng)絡(luò)安全性，同時(shí)提供了可以現(xiàn)有的安控軟件。它解決了基于特定應(yīng)用程序的安全問題?；诖矸?wù)器的產(chǎn)品也將有可能提高標(biāo)準(zhǔn)和非標(biāo)準(zhǔn)端口的配置與服務(wù)。但是，只要應(yīng)用程序需要升級(jí)，基于代理器的用戶將會(huì)發(fā)現(xiàn)他們必須購(gòu)買新的代理服務(wù)器。作為一種網(wǎng)絡(luò)安全技術(shù)，與代理服務(wù)相聯(lián)系的防火墻應(yīng)該具有簡(jiǎn)單實(shí)用這個(gè)特點(diǎn)，可以在不修改原有的網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下，滿足特定的安全要求。如果防火墻遭到破壞，將不在對(duì)內(nèi)部網(wǎng)絡(luò)具有保護(hù)功能。它不能滿足企業(yè)希望在網(wǎng)與廣大客戶進(jìn)行溝通的需要。此外,基于代理服務(wù)防火墻通常使對(duì)網(wǎng)絡(luò)性能明顯下降。第三代防火墻以狀態(tài)監(jiān)測(cè)為核心，結(jié)合了分組過濾防火墻和應(yīng)用網(wǎng)關(guān)防火墻。狀態(tài)檢測(cè)防火墻通過模塊的狀態(tài)檢測(cè)履行存取和分析通信層數(shù)據(jù)的職能。狀態(tài)監(jiān)測(cè)作為防火墻技術(shù)有很好的安全性，它采用安全軟件引擎。執(zhí)行策略的網(wǎng)絡(luò)安全的入口，稱為檢測(cè)模塊。在不影響網(wǎng)絡(luò)正常工作的情況下，監(jiān)測(cè)模塊提取了通信層的數(shù)據(jù)進(jìn)行相關(guān)網(wǎng)絡(luò)監(jiān)控，這些數(shù)據(jù)中包括狀態(tài)信息和涉及網(wǎng)絡(luò)安全的動(dòng)態(tài)信息。檢測(cè)組件支持多種協(xié)議和應(yīng)用程序,可以方便得增加應(yīng)用程序及服務(wù)。在用戶進(jìn)入網(wǎng)關(guān)的操作系統(tǒng)之前，各種安全模式會(huì)收集相關(guān)的數(shù)據(jù)進(jìn)行分析，再結(jié)合的網(wǎng)絡(luò)配置和安全規(guī)定作出接受、拒絕、待鑒定或者加密通信等決定。一旦某個(gè)進(jìn)程違反了安全協(xié)議，安全報(bào)警器會(huì)拒絕進(jìn)行并匯報(bào)給系統(tǒng)管理設(shè)備。這種技術(shù)也有一些缺陷，例如配置的狀態(tài)監(jiān)測(cè)是非常復(fù)雜的,并會(huì)減慢網(wǎng)絡(luò)進(jìn)程。3.新一代的防火墻技術(shù)根據(jù)目前的防火墻市場(chǎng)、國(guó)內(nèi)外廠商的防火墻都能支持防火墻的基本功能，包括訪問控制、網(wǎng)絡(luò)地址轉(zhuǎn)換、代理服務(wù)器、身份驗(yàn)證、每日檢查等。但是正如前文所述，隨著網(wǎng)絡(luò)攻擊次數(shù)的增加，和用戶對(duì)網(wǎng)絡(luò)安全要求的日益增加，防火墻技術(shù)也隨之發(fā)展。結(jié)合現(xiàn)有技術(shù)及成果，一些相關(guān)研究表明隨著應(yīng)用技術(shù)的發(fā)展，如何增強(qiáng)防火墻安全性，提高防火墻性，增加防火墻功能成為許多廠家必須面對(duì)的問題。新一代防火墻主要是想要結(jié)合包過濾防火墻和代理服務(wù)技術(shù)，克服兩者在安全性上的缺陷，能夠發(fā)揮從數(shù)據(jù)鏈路層到應(yīng)用層的全方位控制，實(shí)行TCP/IP微內(nèi)核協(xié)議去執(zhí)行所有TCP/IP協(xié)議層的安全控制；在微內(nèi)核的基礎(chǔ)上，使之速度超越傳統(tǒng)的包過濾防火墻，提供代理服務(wù)器的透明模式。閃電配置工作程序；提供數(shù)據(jù)加密和解碼，支持虛擬專用網(wǎng)絡(luò)，隱藏內(nèi)部信息。這將成為一種新的防火墻理論。這種新的防火墻技術(shù)不僅可以提供傳統(tǒng)的包過濾技術(shù)提供的全部功能，而且對(duì)于防止各種網(wǎng)絡(luò)襲擊有明顯優(yōu)勢(shì)，加強(qiáng)代理服務(wù)、包過濾技術(shù)與智能過濾技術(shù)相結(jié)合，可以使安全防火墻的上升到另一個(gè)高度。4.結(jié)論現(xiàn)在該防火墻已被廣泛應(yīng)用于互聯(lián)網(wǎng)，由于它不受TCP/IP協(xié)議限制的特點(diǎn)，使它在英特網(wǎng)之外也有更多的活力。防火墻不是解決網(wǎng)絡(luò)安全的主觀方法，只是網(wǎng)絡(luò)安全策略的一個(gè)組成部分。我們要在實(shí)際應(yīng)用中學(xué)習(xí)和了解防火墻技術(shù)，相信每一個(gè)朋友都可以在新世紀(jì)的網(wǎng)絡(luò)生活中獲益良多。Thenetworksecurity=1\*ROMANI.ThebreiflyintroduceofThenetworksecurityNetworksecurityismakethenormaloperationofthenetworksystembyadoptingvarioustechnicalandmanagementmeasures,toensurethenetworkdataisavailable,integritedandprivacied.Themeaningofnetworksecuritywillchangeasthechangeof"Angle".Forexample:fromtheperspectiveoftheuser(individual,enterprise,etc.),theywanttheinformationofprivacyorcommercialinterestsinthenetworkisprotectedbytheconfidentiality,integrityandauthenticity.=2\*ROMANII.Themainlycharacteristics=1\*romani.PrivacyInformationisnotleakedtounauthorizedusers,entityorprocess,orfortheirusefeatures=2\*romanii.IntergrityThecharacteristicsofdatawithoutauthorizationcannotbechange.Theinformationintheprocessofstorageortransportkeepnotbemodified,notdamagedandmissingfeatures.=3\*romaniii.AvailabilityEntitiescanbeauthorizedtoaccessfeaturesandusedaccordingtodemand.Thatcanaccesstheinformationtheyneedwhenyouneedit.Suchasthedenialofserviceunderthenetworkenvironment,destroythenormaloperationofthenetworkandtherelevantsystemandsoonallbelongstotheattackonavailability;=4\*romaniv.ControllabilityForthetransmissionofinformationandcontenthasthecontrolability.=5\*romanv.ReviewofavailableProvidesthebasisandmeansforsecurityissues=3\*ROMANIII.NetworksecuritystatusquoWiththerapiddevelopmentofcomputertechnology,informationnetworkhasbecomeanimportantguaranteeofsocialdevelopment.Therearealotofsensitiveinformation,andevenstatesecrets.Itisnotavoidedthatareattractedbypeoplecomefromallovertheworld,(suchasinformationleakage,datamanipulation,computervirus,etc.).Atthesametime,thenetworkentitiescouldbeensufferedsuchasflood,fire,earthquake,andradiation,etc.=4\*ROMANIV.Afullrangeofsecuritysysteminclude:=1\*romani.accesscontrol:bysetinguptheaccesscontrolsystemandserviceforaparticularnetworksegment,preventthevastmajorityofattacksbeforereachingthetarget.=2\*romanii.checkthesecurityvulnerability:throughperiodicchecktothesecurityvulnerrability,eveniftheattackcouldreachtarget,alsocanmakethemostoftheattackisinvalid.=3\*romaniii.Monitoringattack:byestablishingmonitoringtheattacksystemonaparticularsegmentandtheservice,candetectmostoftheattacksintime,andtakeappropriateaction(e.g.,disconnectthenetworkconnection,recordattackprocess,trackattacksource,etc.).=4\*romaniv.encryptinformation:forwardlyencryptcommunicatedinformation,canmaketheattackercan'tunderstandandmodifysensitiveinformation.=5\*romanv.certification:goodcertificationsystemcanpreventtheattackercounterfeitinglegitimateusers.=6\*romanvi.thebackupandrecovery:agoodbackupandrecoverymechanismcouldrestoredataandsystemservicesassoonaspossiblewhenwasattacked.=7\*romanvii.multilayerdefense:delayorblocktheattackerreachthetargetwhenthethefirstlineofdefensewasbroken.=8\*romanviii.Hiddentheinsideinformation:maketheattackercan'tlearnthebasicinformationofthesystem.=9\*romanix.setupthesafetymonitoringcenter:providemanagement,monitoringchannelprotectionandemergencyservicesforinformationsecuritysystem,5.Safetytechnology=1\*romani.physicalmeasuresProtectionnetwork,forexample,protectthekeyequipment(suchasswitches,largecomputers,etc.),makestrictrulesandregulations,formulatenetworksecuritytoradiationprotection,fireprotection,andinstallationofuninterruptiblepowersupply(UPS),andothermeasures.=2\*romanii.accesscontrolmakestrictcertificationandcontrolforuserstoaccessnetworkresources.Forexample,userauthentication,thepasswordencryption,update,andidentify,controlusers’accesstothedirectoryandfile,controlnetworkequipmentconfiguration,andsoon.=3\*romaniii.dataencryptionEncryptionisanimportantmeanstoprotectthesafetyofdata.Thefounctionofencryptionisguaranteeinterceptedinformationcannotunderstand.Preventcomputernetworkvirus,andinstallnetworkanti-virussystem.=4\*workisolationNetworkisolationhastwoways,onewayisimplementedusingisolationcard,theotheristousenetworksecurityViGap.=5\*romanv.othermeasuresOthermeasuresincludeinformationfiltering,faulttoleranceanddatamirroring,databackupandaudit,etc.Thecomputervirus=1\*ROMANI.whatarecomputervirus?Thecomputervirusisacomputerprogramthatcaninfectothercomputerprogramsbymodifyingtheminsuchawayastoincludeacopyofitself.Notethataprogramdoesnothavetoperformdamageorcorruptinginordertobecalleda“virus”.=2\*ROMANII.ThedamageofComputervirusesComputervirusesarebitsofcodethatdamageoreraseinformation,files,orsoftwareprogramsinyourcomputer,muchlikevirusesthatinfecthumans,computervirusescanspread,andyourcomputercancatchaviruswhenyoudownloadaninfectedfilefromtheInternetorcopyaninfectedfilefromadiskette.Oncethevirusesisembeddedintoyourcomputer’sfiles,itcanimmediatelystarttodamageordestroyinformation,oritcanwaitforaparticulardateoreventtotriggeritsactivity.=3\*ROMANIII.Whatarethemaintypesofviruses?=1\*romaniGenerally,therearetwomainclassesofviruses.ThefirstclassconsistsofthefileInfectorswhichattachthemselvestoordinaryprogramfiles.Thesecondclassissystemorboot-recordinfectors:thoseviruses,whichinfectexecutablecode,foundincertainsystemareasonadiskthatarenotordinaryfiles.Finally,afewvirusesareabletoinfectboth(theTequilavirusisoneexample).Thereareoftencalled“multipartite”viruses,anothernameis“boot-and-file”virus.=4\*ROMANIV.Whataremacroviruses?Manyapplicationsprovidethefunctionalitytocreatemacros.Amacroisaseriesofcommandstoperformsomeapplication-specifictask.Macrosaredesignedtomakelifeeasier,forexample,toperformsomeeverydaytasksliketext-formattingorspreadsheetcalculations.=5\*ROMANV.WhatisaTrojanhorseprogram?Atypeofprogramthatisoftenconfusedwithvirusesisa‘Trojanhorse’program.Thisisnotavirus,butsimplyaprogramthatpretendstobesomethingelse.Forexample,youmightdownloadwhatyouthinkisanewgame;butwhenyourunit,itdeletesfilesonyourharddrive.Orthethirdtimeyoustartthegame,theprogramE-mailyoursavedpasswordstoanotherperson.=6\*ROMANVI.SomeGeneralTipsonAvoidingVirusInfectionsInstallanti-virussoftwarefromawell-known,reputablecompany.UPDATEitregularly,andUSEitregularly.=1\*romani.Newvirusescomeouteverysingleday;ana-vprogramthathasn’tbeenupdatedforseveralmonthswillnotprovidemuchprotectionagainstcurrentviruses.=2\*romanii.Inadditiontoscanningforvirusesonaregularbasis,installan‘onaccess’scanner(includedinmostgooda-vsoftwarepackages)andconfigureittostartautomaticallyeachtimeyoubootyoursystem.Thiswillprotectyoursystembycheckingforviruseseachtimeyourcomputeraccessesanexecutablefile.Virusscansanynewprogramsorotherfilesthatmaycontainexecutablecodebeforeyourunoropenthem,nomatterwheretheycomefrom.TherehavebeencasesofcommerciallydistributedfloppydisksandCD-ROMsspreadingvirusinfections.=3\*romaniii.Anti-virusprogramsaren’tverygoodatdetectingTrojanhorseprograms,sobeextremelycarefulaboutopeningbinaryfilesandWord/Exceldocumentsfromunknownor‘dubious’sources.Thisincludespostsinbinarynewsgroups,downloadsfromweb/ftpsitesthataren’twell-knownordon’thaveagoodreputation,andexecutablefilesunexpectedlyreceivedasattachmentstoE-mail.=4\*romaniv.Beextremelycarefulaboutacceptingprogramsorotherfliesduringon-linechatsessions:thisseemstobeoneofthemorecommonmeansthatpeoplewindupwithvirusorTrojanhorseproblems.Andifanyotherfamilymembers(especiallyyoungerones)usethecomputer,makesuretheyknownottoacceptanyfileswhileusingchat.=5\*romanv.Doregularbackups.SomevirusesandTrojanhorseprogramswilleraseorcorruptfilesonyourharddriveandarecentbackupmaybetheonlywaytorecoveryourdata.TheFirewalls=1\*ROMANI.IntroductiontotheFirewallsNowwiththecomputernetworkande-commerceusedwidely,networksecurityhasbecomeanimportantproblemthatwemustconsiderandresolve.Moreandmoreprofessions.enterprisesandindividualssurferfromthesecurityproblemindifferentdegree.theyarelookingforthemorereliablesafetysolution.Inthedefensesystemadoptedbynetworksecurityatpresent,thefirewallsstandtheveryimportantposition.Asthekeyfacilitythatmaintainsthenetworksecurity.firewallstakethepurposeofestablishinganobstaclebetweentrustandtrustlessnetwork,andputcorrespondingsafetystrategyintopractice.AllthefirewallshavethefunctiontofiltertheIPaddress.ThistaskcheckstheIPpacket,makesthedecisionwhethertoreleaseortoabandonitaccordingtothesourceaddressanddestinationaddressoftheIP.Asthefollowpicturethereisafirewallbetweentwonetworksections,anUNIXcomputerisononesideofthefirewall,andtheothersideisaPCclient.WhilethePCclientasksatelnetrequestfortheUNIXcomputer,theclientprocedureoftelnetinthePCproducesaTCPpacketandpassesthepackettothelocalprotocolstacktopreparetosend.TheprotocolstackfillsitinoneIPpacket.then,sendsittoUNIXcomputerthroughthepathdefinedbytheTCP/IPstackofPC.TheIPpacketcan'treachtheUNIXcomputeruntilitpassesthefirewallbetweenthePCandtheUNIXcomputer.TheapplicationfirewallisaveryefficientmeansofnetworksecurityonInternet,itisinstalledbetweenthetrustandtrustlessnetwork,canisolatetheconnectionbetweenthetrustandtrustlessnetwork,anddoesn'thamperpeople'saccesstothetrustlessnetworkatthesametime.Itcanisolatetheconnectionbetweentheriskarea(namelytheremaybeacertainriskonInternet)andthesafearea(LAN),anddoesn'thamperpeople'saccesstotheriskareaatthesametime.Firewallcanmonitorthetrafficflowinginandoutfromthenetworktofinishthetaskseeminglyimpossible;itonlyallowsthesafeandcheckedinformationtoenterinto,andmeanwhileresistsonthedatathatmaybringaboutthethreattoenterprise.Asthefaultanddefectofthesecurityproblembecomemoreandmoregeneral,theinvasiontothenetworknotonlycomesfromthesuperattackmeans,butalsomaybefromthelower-levelmistakesorimproperpasswordselectionsontheconfiguration.So,thefunctionofthefirewallsispreventingthecommunicationthatnothopedandauthorizedpassesinandoutofthenetworkprotected.forcingthecompaniestostrengthentheirownnetworksecuritypolicy.Thegeneralfirewallscanachievethefollowingpurposes:First,restrainingothersfromenteringtheinsidenetwork,filteringtheunsafeserviceandillegaluser;Second,preventingtheinvadersfromclosingtoyourdefenseinstallation;Third,limitingtheusertoaccessthespecialsite;Fourth,providingconvenienceformonitoringtheInternetsecurity.=2\*ROMANII.TheclassificationandimplementtechnologyoffirewallsAnintegratedfirewallssystemusuallyconsistsofscreeningrouterandproxyserver.Thescreeningrouterisamulti-portIProuter.itchecktheeachcomingIPpacketaccordingtothegroupregulartojudgewhethertotransmitit.Thescreeningroutergetsinformationfromthepacket.fotexampletheprotocolnumber.theIPaddressandportnumberthatreceivingandsendingmassages.theflagoflinkevensomeotherIPselections.filteringIPpacket.Theproxyserverareserverprocessinthefirewall.itcanreplacethenetworkusertofinishthespecificTCP/IPfunction.Aproxyserverisnaturallyagatewayofapplicationlayer.agatewayoftwonetworksjoinedspecificnetworkapplication.UserscontactwithproxyserverbyoneoftheTCP/IPapplicationsuchasTelnetorFTP.theproxyserverasktheusersforthenameoftheremotehost.whichuserswanttoaccess.Aftertheusershaveansweredandofferedthecorrectusers'identitiesandauthenticationinformation,theproxyservercommunicatestheremotehost,actastherelaybetweentwocommunicationsites.Thewholecoursecanbetotallytransparenttousers.Therearemainlythreetypesinthefirewalls:packetfiltering.applicationgatewaysandstatedetection.Packetfilteringfirewallworksonthenetworklayer.itcanfilterthesourceaddress.destinationaddress.sourceportanddestinationportofTCP/IPdatapacket.Ithasadvantagessuchasthehigherefficiency.transparenttouser.andusersmightnotfeeltheexistenceofthepackerfilteringfirewall,unlessheistheillegaluserandhasbeenrefused.Theshortcomingsarethatitcan'tensurethesecuritytomostservicesandprotocols,unabletodistinguishthedifferentusersofthesameIPaddresseffectively,anditisdifficulttobeconfigured,monitoredandmanaged.can'tofferenoughdailyrecordsandwarning.Theapplicationgatewaysfirewallperformsitsfunctionontheapplicationlayer,itconnectswithspecificmiddle-joint(firewall)byaclientprocedure,andthenthemiddle-jointconnectswiththeserveractually.Unlikethepacketfilteringfirewall.whenusingthefirewallofthiskind.thereisnodirectconnectionbetweentheoutsidenetworks.soevenifthematterhashappenedinthefirewall.theoutsidenetworkscan'tconnectwithnetworksprotected.Theapplicationgatewayfirewalloffersthedetaileddailyrecordsandauditingfunction,itimprovedthesecurityofthenetworkgreatly.andprovidesthepossibilitytoimprovethesecurityperformanceoftheexistingsoftwaretoo.Theapplicationgatewaysfirewallsolvesthesafetyproblembasedonthespecificapplicationprogram.theproductsbasedonProxywillbeimprovedtoconfiguretheserviceincommonuseandnon-standardport.However.solongastheapplicationprogramneedsupgrading.theusersbasedonProxywillfindthattheymustbuynewProxyserver.Asatechniqueofnetworksafety.Firewallcombinedwithproxyserverhassimpleandpracticalcharacteristics,canreachacertainsecurityrequestincaseofnotrevisingtheoriginalnetworkapplicationsystem.However.ifthefirewallsystemisbrokenthrough.thenetworkprotectedisinhavingnostateofprotecting.AndifanenterprisehopestolaunchthebusinessactivityonInternetandcarryoncommunicationwithnumerouscustomers.itcan'tmeetthedemands.Inaddition,thefirewallbasedonProxyServicewilloftenmakestheperformanceofthenetworkobviouslydrop.Thethirdgenerationoffirewalltakesthedetectiontechniqueofstateasthecore,combinesthepacketfilteringfirewallandapplicationgatewaysfirewall.Thestatedetectionfirewallaccessesandanalyzesthedataachievedfromthecommunicationlayerthroughthemoduleofstatedetectiontoperformitsfunction.Thestatemonitoractasfirewalltechnique.itisbestinsecurityperfonnance,itadoptsasoftwareengine.whichexecutesthetacticsofnetworksecurityonthegateways,calledthedetectionmodule.Onthepremiseofnotinfluencingthenetworktoworknormally,detectionmodulecollectstherelevantdatatomonitoreachofthenetworkcommunicationlayers,collectsapartofdata,namelystatusinformation,andstoresthedataupdynamicallyforthereferenceinmakingsecuritydecisionafterward.Detectionmodulesupportsmanykindsofprotocolsandapplicationprogram,andcanimplementtheexpansionofapplicationandserviceveryeasily.Differentfromothersafetyschemes,beforetheuser'saccessreachestheoperatingsystemofnetworkgateways,thestatemonitorshouldcollecttherelevantdatatoanalyze,combinenetworkconfigurationandsafetyregulationtomakethedecisionsofacceptance,refutation,appraisalorencryptingtothecommunicationetcOnceacertainaccessviolatesthesecurityregulation,thesafetyalarmwillrefuseitandwritedowntoreportthestateofthenetworktothesystemmanagementdevice.Thistechnologyhasdefectstoo,namelytheconfigurationofthestatemonitorisverycomplicated,andwilldeceleratethenetwork.=3\*ROMANIII.NewgenerationtechniqueoffirewallsAccordingtothepresentfirewallsmarket,thedomesticandinternationalmanufacturersoffirewallcanallsupportthebasicfunctionofthefirewallwell,includingaccesscontrol,thenetworkaddresstransform,proxy,authentication,dailyrecordsauditetc.However,asstatedbefore,withtheattacktothenetworkincreasing,anduser'srequisitionfornetworksecurityimprovingdaybyday,thefirewallmustgetfurtherdevelopment.Combinethepresentexperienceofresearchanddevelopmentandtheachievement,somerelevantstudiespointout,accordingtothedevelopmenttrendofapplicationandtechnology,howtostrengthenthesecurityoffirewall,improvetheperformanceoffirewall,enrichthefunctionoffirewall,willbecometheproblemthatthemanufactureroffirewallsmustfaceandsolvenext.Thepurposeofthenewgenerationfirewallismainlycombiningthepacketfilteringandproxytechnology,overcomingthedefectsinthesafetyrespectoftwo;beingabletoexerttheomnidirectionalcontrolfromthelayerofdatachaintotheapplicationlayer;implementingthemicro-kernelofTCP/IPprotocoltoperformallthesecuritycontrolonthelayerofTCP/IPprotocol;basedonthemicro-kernelabove,makingthespeedtoexceedthetraditionalpacketfilteringfirewall;Offeringthetransparentmodeofproxy.lighteningtheconfigurationworkontheclient;Supportingthedataencryptionanddecryption(DESandRSA),offeringthestrongsupporttotheVirtualPrivateNetworkVPN;hidingtheInsideinformationtotally;producinganewfirewalltheory.Thenewtechniqeoffirewallshasnotonlycoveredallthefunctionsoftraditionalpacketfilteringfirewalls,butalsohasremarkableadvantagesinopposingoveralltheattackmeansofIPdeception,SYNFlood,ICMP.ARP,etc.strengtheningproxyservice,mergingitwithpacketfiltering,thenaddingtheintelligencefilteringtechnologytomakethesecurityofthefirewallrisingtoanotherheight.=4\*ROMANIV.ConclusionNowthefirewallhasalreadybeenwidelyusedonInternet,andbecauseofitscharacteristicofnotlimitedtotheTCP/IPprotocol,ithasmorevitalityoutsideInternetprogressivelytoo.Tobesubjective,thefirewallisnottheomnipotentprescriptionofsolvingtheproblemofnetworksecurity,butonlyacomponentofthenetworksecuritypolicyandtactics.However,understandingthetechnologyoffirewallandlearningtouseitinactualoperation,believingthateverynetfriendmaybebenefitedalotfromthenetworklifeinthenewcentury.一、填空題（補(bǔ)充）1、按數(shù)據(jù)備份時(shí)備份的數(shù)據(jù)不同，可有完全、增量、差別和按需備份等備份方式.2、數(shù)據(jù)恢復(fù)操作通?？煞譃?類：全盤恢復(fù)、個(gè)別文件恢復(fù)和重定向恢復(fù)。3、一個(gè)網(wǎng)絡(luò)備份系統(tǒng)是由目標(biāo)、工具、存儲(chǔ)設(shè)備和通道四個(gè)部分組成.工具是指被備份或恢復(fù)的系統(tǒng).4、一般情況下，安全郵件的發(fā)送必須經(jīng)過郵件簽名和郵件加密兩個(gè)過程,而在接收端,接收安全的電子郵件則要經(jīng)過相應(yīng)的郵件解密和郵件驗(yàn)證的過程。5、VPN的核心就是利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。6、預(yù)先在防火墻內(nèi)設(shè)定的黑客判別規(guī)則稱為防火墻策略。7、對(duì)稱加密機(jī)制的安全性取決于密鑰的保密性。8、包過濾防火墻依據(jù)規(guī)則對(duì)收到的IP包進(jìn)行處理,決定是__轉(zhuǎn)發(fā)___還是丟棄。9、在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，Web服務(wù)器應(yīng)放在___DMZ____位置。10、CIDF提出了一個(gè)通用模型，將入侵檢測(cè)系統(tǒng)分為四個(gè)基本組件：_事件發(fā)生器__、_事件分析器____、__事件數(shù)據(jù)庫(kù)____和__響應(yīng)單元___。11、_基于誤用的入侵檢測(cè)___的含義是:通過某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)的運(yùn)行，并找出符合預(yù)先定義規(guī)則的入侵行為。12、面對(duì)當(dāng)今用戶呼吁采取主動(dòng)防御，早先的IDS體現(xiàn)了自身的缺陷,于是出現(xiàn)了__IPS_____,提供了主動(dòng)性的防護(hù)。13、實(shí)際無害的事件卻被IDS檢測(cè)為攻擊事件稱為__誤報(bào)_____。14、VPN是實(shí)現(xiàn)在__公用_____網(wǎng)絡(luò)上構(gòu)建的虛擬專用網(wǎng)。15、__隧道技術(shù)_____指的是利用一種網(wǎng)絡(luò)協(xié)議傳輸另一種網(wǎng)絡(luò)協(xié)議，也就是對(duì)原始網(wǎng)絡(luò)信息進(jìn)行再次封裝,并在兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由，從而保證網(wǎng)絡(luò)信息傳輸?shù)陌踩浴?6、Web站點(diǎn)的默認(rèn)端口號(hào)是___80____，F(xiàn)TP站點(diǎn)的默認(rèn)端口號(hào)是___21____，SMTP服務(wù)的默認(rèn)端口號(hào)是___25____。17、在無線網(wǎng)絡(luò)中，除了WLAN外,其他的還有___家庭網(wǎng)絡(luò)技術(shù)____和___藍(lán)牙技術(shù)____等幾種無線網(wǎng)絡(luò)技術(shù)。1、密碼學(xué)包括密碼編碼學(xué)和【密碼分析學(xué)】?jī)刹糠?后者是研究密碼變化的規(guī)律并用于分析密碼以獲取信息情報(bào)的科學(xué)，即研究如何【分析和破譯密碼】一個(gè)密碼系統(tǒng)，恢復(fù)被隱藏信息的本來面目。2、把明文變換成密文的過程叫【加密】；解密過程是利用解密密鑰，對(duì)【密文】按照解密算法規(guī)則變換，得到【明文】的過程。3、網(wǎng)絡(luò)數(shù)據(jù)加密有【鏈路加密、節(jié)點(diǎn)加密】和端——--端加密三種方式。4、密鑰管理包括密鑰的產(chǎn)生、【存儲(chǔ)和保護(hù)】、更新、【分發(fā)和傳輸】、驗(yàn)證和銷毀等.5、數(shù)字證書有【保證信息的保密性、保證信息的完整性】、保證交易實(shí)體身份的真實(shí)性和【保證不可否認(rèn)性】四大功能。6、PGP使用混合加密算法，它是由一個(gè)對(duì)稱加密算法【IDEA】和一個(gè)非對(duì)稱加密算法【RSA】實(shí)現(xiàn)數(shù)據(jù)的加密。7、鑒別包括報(bào)文鑒別和身份證驗(yàn)證，常用的身份驗(yàn)證的方法有【口令驗(yàn)證、個(gè)人持證和個(gè)人特征】等。1、入侵檢測(cè)系統(tǒng)IDS是一種【被動(dòng)】的安全防護(hù)措施.2、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)漏洞的主要表現(xiàn)為【系統(tǒng)硬件的缺陷】和【系統(tǒng)軟件的安全漏洞】。3、IPS技術(shù)包括基于【主機(jī)】的IPS和基于網(wǎng)絡(luò)的IPS兩大類。4、sniffer具有專家分析、【實(shí)時(shí)的監(jiān)控統(tǒng)計(jì)和報(bào)警及報(bào)表生成】等基本功能外，還具有【預(yù)防問題】、【優(yōu)化性能】和故障定位及排除等增強(qiáng)功能。5、中國(guó)計(jì)算機(jī)緊急響應(yīng)小組簡(jiǎn)稱為【CNCERT】