计算机网络管理系统__毕业论文

1、XXXXXXX学院专科毕业设计题 目 计算机网络管理系统 学生姓名 XXX 专业班级 XXXX 学 号 XXX1020XXX 院 （系） XXXX系 指导教师(职称) XXXXXX 完成时间 20XX年 X 月 X 日 计算机网络管理系统摘 要计算机与通信的结合产生了计算机网络,信息社会对计算机网络的依赖,又使得计算机网络本身运行的可靠性变得至关重要,也向网络的管理运行提出了更高的要求。网络管理的需求是多方面的,网络管理的功能也是随着需求与技术的发展而不断完善的。从技术的角度来说,网络管理系统应该能够实现网络的故障管理与诊断、配置管理、安全管理、网络流量控制、计费管理功能以及网络路由选择策略管

2、理等功能。今天,人们已经清楚地意识到,计算机网络的管理和运行是计算机网络领域中的关键技术之一,特别是大型计算机网络的建设,应该把网络的管理和运行作为十分重要的建设内容。关键词： 网络管理系统/WEB/发展/应用目 录摘 要I1、计算机网络管理系统概述11.1计算机网络管理系统的概念和网络管理原理11.2网络管理系统的构成元素11.2.1管理员11.2.2管理代理11.2.3管理信息库21.2.4代理设备和管理协议21.3网络管理系统的功能21.3.1故障管理21.3.2配置管理31.3.3性能管理31.3.4安全管理31.3.5计费管理31.4网络管理协议42、计算机网络管理系统的应用52.1

3、网络资源状态监视52.2事件管理52.3配置应用52.4拓扑管理62.5性能监视63、计算机网络管理系统的发展方向73.1实现分布式网络管理73.2实现综合化网络管理83.3实现对业务的监控功能83.4实现智能化管理93.5实现基于web的管理9总 结10致 谢11参考文献121、计算机网络管理系统概述1.1计算机网络管理系统的概念和网络管理原理计算机网络管理系统就是管理网络的软件系统。计算机网络管理就是收集网络中各个组成部分的静态、动态地运行信息，并在这些信息的基础上进行分析和做出相应的处理，以保证网络安全、可靠、高效地运行，从而合理分配网络资源、动态配置网络负载，优化网络性能、减少网络维护

4、费用。 网络管理是在计算机网络系统建设达到一定的水平后的必然结果。按照国际标准化组织的定义,网络管理的基本功能是指规划!监督!控制网络资源的使用和网络的各种活动,以使网络的性能达到最优。随着计算机网络对社会生产和生活的影响越来越大,影响网络服务的因素在不断增加,涉及的信息资源也越来越复杂,网络管理目标也在不断提升。 1.2网络管理系统的构成元素 概括地说，一个典型的网络管理系统包括四个要素：管理员、管理代理、管理信息数据库、代理服务设备。 1.2.1管理员实施网络管理的实体，驻留在管理工作站上。它是整个网络系统的核心，完成复杂网络管理的各项功能。网络管理系统要求管理代理定期收集重要的设备信息，

5、收集到的信息将用于确定单个网络设备、部分网络或整个网络运行的状态是否正常。 1.2.2管理代理网络管理代理是驻留在网络设备(这里的设备可以是UNIX工作站、网络打印机，也可以是其它的网络设备)中的软件模块，它可以获得本地设备的运转状态、设备特性、系统配置等相关信息。网络管理代理所起的作用是：充当管理系统与管理代理软件驻留设备之间的中介，通过控制设备的管理信息数据库(MIB)中的信息来管理该设备。 1.2.3管理信息库它存储在被管理对象的存储器中，管理库是一个动态刷新的数据库，它包括网络设备的配置信息，数据通信的统计信息，安全性信息和设备特有信息。这些信息、被动态送往管理器，形成网络管理系统的数

6、据来源。 1.2.4代理设备和管理协议代理设备在标准网络管理软件和不直接支持该标准协议的系统之间起桥梁作用。利用代理设备，不需要升级整个网络就可以实现从旧协议到新版本的过渡。对于网络管理系统来说，重要的是管理员和管理代理之间所使用的网络管理协议，如SNMP，和它们共同遵循的MIB库。网络管理协议用于在管理员与管理代理之间传递操作命令，并负责解释管理员的操作命令。通过管理协议的作用，可以使管理信息库中的数据与具体设备中的实际状态、工作参数保持一致。 1.3网络管理系统的功能 ISO在ISO/IEC 7498-4文档中定义了网络管理的五大功能，即配置管理、故障管理、性能管理、计费管理与安全管理。

7、1.3.1故障管理其主要功能是故障检测、发现、报告、诊断和处理。由于差错可以导致系统瘫痪或不可接受的网络性能下降，所以故障管理也是ISO网络管理元素中，被最广泛实现的一种管理。 1.3.2配置管理其主要功能包括网络的拓扑结构关系、监视和管理网络设备的配置情况，根据事先定义的条件重构网络等，其目标是监视网络和系统的配置信息，以便跟踪和管理对不同的软、硬件单元进行网络操作的结果。 1.3.3性能管理监测网络的各种性能数据，进行阈值检查，并自动地对当前性能数据、历史数据进行分析。其目标是衡量和显示网络各个方面的特性，使人们在一个可以接受的水平上维护网络的性能。 1.3.4安全管理主要是对网络资源访问

8、权限的管理。包括用户认证、权限审批和网络访问控制(防火墙)等功能。其目标是按照本地的安全策略来控制对网络资源的访问，以保证网络不被侵害（有意识的或无意识的），并保证重要的信息不被未授权的用户访问。 1.3.5计费管理主要是根据网络资源使用情况进行计帐。其目标是衡量网络的利用率，以便使一个或一组用户可以按一定规则，利用网络资源，这样的规则可以使网络故障减到最小（因为网络资源可以根据其能力大小而合理地分配），也可以使所有用户对网络的访问更加公平。这五个基本功能之间既相互独立，又存在着千丝万缕的联系。在这些网络管理功能中，故障管理是整个网络管理的核心；配置管理则是各管理功能的基础，其他各管理功能都需

9、要使用配置管理的信息；性能管理、安全管理和计费管理相对来说具有较大的独立性，特别是计费管理，由于不同的应用单位的计费政策有着很大的差别，计费应用的开发环境也千差万别，因此，计费管理应用一般都是依据实际情况专门开发。 1.4网络管理协议 由于网络中广泛存在着多厂家、异构异质和固有的分布性等特点，人们才在网络管理中引入了标准，以规范网络设备的生产和网络管理系统的开发。这种标准就是网络管理协议。 目前最有影响的网络管理协议是SNMP(简单网络管理协议)和CMIS/CMIP(公共管理信息协议)，它们也代表了目前两大网络管理解决方案。CMIP因为太复杂，标准化进度太缓慢，所以没有得到广泛接受；SNMP以

10、其简单实用，因而得到各厂商支持，应用广泛。本文只对SNMP做一简单介绍。 SNMP是建立在TCPIP协议之上，用TCPIP协议的传输层协议UDP(用户据报协议)作为传输协议。SNMP把数据进行管理的操作归纳为两类：取操作和存操作。管理站点通过取操作请求获得被管理的数据项，通过存操作请求修改被管理的数据项或向被管理站点发送控制命令。被管理站点根据来自管理站点的取操作请求，取得该数据项的值，向管理站点发送应答，将该值传送给管理站点。当被管理站点上发生需要报告管理站点的特别事件时，被管理站点向管理站点发送trap报文报告该事件。SNMP能访问和管理的数据变量由管理信息库(MIB)定义，这些变量包括简

11、单变量和表格。变量的标识用层次结构表示，便于扩充和改变。各个厂家不仅可以用标准化的MIB变量存放设备信息，还可以增加自己专用的MIB变量。 SNMP是流传最广、应用最多、获得支持最广泛的一个网络管理协议。它最大的一个优点就是简单性，因而比较容易在大型网络中实现。它代表了网络管理系统实现的一个很重要的原则，即网络管理功能的实现对网络正常功能的影响越小越好。SNMP不需要长时间来建立，也不给网络附加过多的压力。它的简单性还体现在，对一个用户而言，他可以比较容易地通过操作MIB中的若干被管对象来对网络进行监测。SNMP的另一个优点是它已经获得了广泛的使用和支持，目前其MIB的定义已超过千页，由此也可

12、看出SNMP的受支持程度，几乎所有主要的网络互连硬件制造厂商的产品都支持SNMP。扩展性是SNMP的又一个优点，由于其简单化的设计，用户可以很容易地对其进行修改来满足他们特定的需要，SNMPv2的推出就是SNMP具有良好扩展性的一个体现。SNMP的扩展性还体现在它对MIB的定义上，各厂商可以根据SNMP制订的规则，很容易地定义自己的MIB，并使自己的产品支持SNMP。 2、计算机网络管理系统的应用网络管理系统的基本应用包括网络资源状态监视、阈值监视、事件管理、配置应用、拓扑管理以及性能监视等。 2.1网络资源状态监视 监测资源的目的在于尽可能获得有关资源服务质量和状态的最新信息。监测涉及到访问

13、某些资源的属性,监测总是由管理工作站发起的,管理工作站论询资源并分析论询结果。因此,实现监测功能极大地依赖于对单个资源进行寻址所采用的协议。 2.2事件管理 事件管理负责接收和处理事件"这些事件可以由被管设备产生并发送给管理工作站的外部事件,也可以是由网络管理平台的其它部件,比如阈值监测过程所产生的内部事件。事件对用户的可视化是一种重要的功能。可视化建立在被管资源的状态模型的基础上,这样一种模型描述了资源的状态与导致状态变化的事件之间的关系。 2.3配置应用 配置应用向用户提供了对资源的写访问,配置应用可以分成如下几种形式: 有关当前资源配置的信息。可使用SNMP询问诸如路由表、接口

14、表、地址表和ARP表等。 通过管理协议改变配置。SNMP协议的Set服务用来改变部件中的配置信息。这里的难点之一是,由于SNMP的安全问题,许多厂商并不允许对资源的写访问。通过登录系统进行配置。设备制造商提供允许用户登录系统直接改变系统配置的工具,当使用网络管理平台时,用户可以通过图形用户界面直接登录系统,比如使用Telnet等。 2.4拓扑管理 网络管理平台的另一种重要功能是拓扑发现功能。它是使用管理协议收集尽可能多的有关网络的资源的配置信息,并且保存在网络管理平台的数据库中。 2.5性能监视 性能监视用于定义和执行性能测量,和阈值监视类似,测量由以下参数定义：通过指定系统和被测量的属性来选

15、择测量点； 选择测量间隔,即选择执行测量的采样频率；通过给出起始和终止时间项来指定测量期间。 性能管理的目的就是确保网络不会出现过度拥挤的情况,保障网络的可用性,为用户提供更好的网络通信服务"它主要通过下面的方法来实现其目标: 实时监控网络设备和相应的所有连接,监视设备和线路的使用率和出错率及相应的阈值,并进行阈值报警; 定期的历史数据分析,及时提示管理者和决策者作出设备或线路的升级计划,保证设备和线路的容量不会由于过度使用而出现网络性能急剧下降的情况。 网络管理技术是随着网络技术的发展而不断地发展,目前计算机网络管理技术的发展主要表现为:传统的集中式的网络管理模式在网络规模急剧膨胀

16、的现实面前已显得越来越力不从心,网络管理一个重要趋势就是必须走向分布式管理的道路;公共对象请求代理(CORBA:CommonObjectRequestBrokerArchitecture)技术在分布式计算方面的成功,为分布式的网络管理提供了有益的启示,基于CORBA的分布式网络管理是一条现实可行的、可实现多域交叉管理的方案;Web技术的出现和流行为创建一个平XX立的通用网络管理系统提供了一条新的解决途径,基于Web的网络管理技术的一个先天优势是可以很容易地实现分布式的网络监视和控制;网络管理的另一个趋势是向智能化、综合化的网络管理方向发展。3、计算机网络管理系统的发展方向 现在的计算机网络管理

17、系统开始向应用层次渗透。传统的计算机网络管理系统所注意的对象就是处在网络层的各种网络设备，利用SNMP来控制和管理设备，以设备或者说设备集为中心。现在用户在网上的应用增多，应用对网络带宽的要求也越来越高了。其中有一些应用服务要求对时间敏感的数据传输，如实时音频视频的传输等，而有一些数据则对时间敏感度不高。因此，在现有的网络带宽有限的情况下，为了更好的利用带宽资源，必须改变原来不区分服务内容的传输，而是根据服务的内容，给各个应用提供高质量的服务，这也就是QOS(Quality of Services)。网络管理吸收了这样的思想，开始把自己的控制力从网络层渗透到了应用层，R1MON2就在这方面进行

18、了尝试 ：这也是网络管理系统的一个重要的变化。 然而，尽管网络管理技术多种多样、各具特色，但是随着标准化活动的开展及系统互联的需要, 网络管理发展有如下趋势： 3.1实现分布式网络管理 分布式对象的核心是解决对象跨平台连接的和交互的问题，以实现分布式应用系统，象OMG组织提出的CORBA就是较理想的平台。分布式网管就是设立多个域管理进程， 域管理进程负责管理本域的管理对象， 同时进程间进行协调和交互，以完成对全局网的管理。这样，不仅减少中央网管的负荷，而且减少了网管信息传递的时延，使管理更为有效。当前，在分布式技术主要从两个方面进行研究：一个是利用CORBA 技术，另一个是利用移动代理技术。基

19、于CORBA 技术的网络管理，目前处于研究阶段；移动代理技术也仅在各个区域进行研究。何时推向市场和走进网络管理应用还是个未知数。因此，在未来的近期使用中，可采用集中分布式的网络管理模型具体实现管理集中、数据采集分布的管理功能。即一个管理站进行数据呈现和管理，在数据采集这种消耗大量内存和占用大量带宽方面采用分布式方法获得。实现方法为管理站具有分发代码的功能，在网络层发现网关后，同时向该网关发送代码实现该子网的各项数据采集。以此减轻管理站的负担和减少管理端网络拥塞。 3.2实现综合化网络管理 综合化网络管理要求网络管理系统提供多种级制的管理支持。通过一个操作台实现对各个子网的透视；对所管业务的了解

20、以及提供对故障的定位和排除的支持。即实现对互联的多个网络的管理。随着网络管理的重要性越来越突出，各种各样的网络管理系统便应运而生。这些管理系统有管理SDH 网络的，有管理IP 网络的等等。一方面， 这些网络管理系统所管理的网络存在互连或互相依赖的关系；另一方面存在多个网管系统，相互独立，分管网络的不同部分，甚至于会同时存在多个相同内容的网管系统，它们来自多个厂家，分别管理着各自的设备。这就大大增加了网络管理的复杂性。像网络电视，它就需要管理几个方面：数字干线传输、光缆线路、前端及分前端级供电房供电、空调环境的监测维护、数据库及数据交换信息服务、前端节目源及视、音频设备和HFC 综合接入网等。这

21、些被管对象作为一个网管系统的被管对象是不实际的，因为不仅设备的种类不同，而且其特性大不相同，并且它们之间还有一定的关系，针对这种问题，可把它们分割为不同的网管系统， 然后在高层采用一个综合的网管系统，以便于管理。综合网络管理系统的实现有两种方案：一种是针对已经建立起的各个专用子网的管理系统的不同情况，在此基础上建立综合网络管理系统；另一种是直接建立一个综合网络管理系统。而在我国，网络电视还没有成熟，所以宜采用第二种方法，因此，未来的网络管理须重点向综合化发展。3.3实现对业务的监控功能 传统网管都是针对网络设备的管理，并不能直接反应出设备故障对业务的影响。目前有些网管产品已经实现对进程的监控，

22、但是有些服务，虽然服务已经终止，但是进程仍然存在，并不能明确显示对服务监控。对于客户来说，他们注重于所得到的服务，像节目的多少、节目的质量等，因此，对服务、业务的监控将是网管进一步的管理目标。 3.4实现智能化管理 支持策略管理和网络管理系统本身的自诊断、自调整。采用人工智能技术进行维护、诊断、排除故障及维护网络运行在最佳状态成为必然趋势。当网络管理和用户需求不直接联系时；当网络性能下降等网络运行性能变化时，必须用智能化方法对涉及性能下降所相关的网络资源进行监控，执行必要的操作。 3.5实现基于web的管理 通过使用web浏览器在网络的任何节点上去监测、控制网络及各子网的管理功能。基于web的

23、管理以其统一、友好的界面风格，地理和系统上的可移动性以及系统平台的独立性吸引着越来越多的用户和开发商。 目前的计算机网络管理功能仅是实现了该网络管理系统功能开发和应用的一部分，离整个计算机网络管理功能的实现还有一定差距，今后可在这方面作进一步研究和开发，以完善其管理。 总 结4月份我开始了我的毕业论文工作，时至今日，论文基本完成。从最初的茫然，到慢慢的进入状态，再到对思路逐渐的清晰，整个写作过程难以用语言来表达。历经了几个月的奋战，紧张而又充实的毕业设计终于落下了帷幕。回想这段日子的经历和感受，我感慨万千，在这次毕业设计的过程中，我拥有了难忘的回忆和收获。脚踏实地，认真严谨，实事求是的学习态度

24、，不怕困难、坚持不懈、吃苦耐劳的精神是我在这次设计中最大的收益。我想这是一次意志的磨练，是对我实际能力的一次提升，也会对我未来的学习和工作有很大的帮助。 在这次毕业设计中也使我们的同学关系更进一步了，同学之间互相帮助，有什么不懂的大家在一起商量，听听不同的看法对我们更好的理解知识，所以在这里非常感谢帮助我的同学。致 谢走的最快的总是时间，来不及感叹，大学生活已近尾声，三年的努力与付出，随着本次论文的完成，将要划下完美的句号。 本论文设计在徐媛媛老师的悉心指导和严格要求下也已完成，从课题选择到具体的写作过程，论文初稿与定稿无不凝聚着X老师的心血和汗水，在我的论文写作期间，徐老师为我提供了种种专业

25、知识上的指导和一些富于创造性的建议徐老师一丝不苟的作风，严谨求实的态度使我深受感动，没有这样的帮助和关怀和熏陶，我不会这么顺利的完成毕业设计。在此向徐老师表示深深的感谢和崇高的敬意！ 在临近毕业之际，我还要借此机会向在这三年中给予我诸多教诲和帮助的各位老师表示由衷的谢意，感谢他们三年来的辛勤栽培。不积跬步何以至千里，各位任课老师认真负责，在他们的悉心帮助和支持下，我能够很好的掌握和运用专业知识，并在设计中得以体现，顺利完成毕业论文。 同时，在论文写作过程中，我还参考了有关的书籍和论文，在这里一并向有关的作者表示谢意。 我还要感谢同组的各位同学以及我的各位室友，在毕业设计的这段时间里，你们给了我

26、很多的启发，提出了很多宝贵的意见，对于你们帮助和支持，在此我表示深深地感谢！参考文献1尚晓航.计算机网络技术基础 高等教育出版社，2004年1月第二版2 吴娜，鲁东明网络管理技术的研究与发展中国铁道出版社，2000年4月3白英彩计算机网络管理系统设计与应用清华大学出版社，1998年6月4 周湘贞计算机网络与互联网 电子工业出版社，2004年8月5李增智，王广荣计算机网络管理系统的若干重要问题电子工业出版社，2000年7月计算机网络信息安全及对策摘要：众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种联网的计算机，拓宽了共享资源。但是，由于在早期网络协议设计

27、上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。对网络信息安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。本文主要介绍了有关网络信息安全的基础知识：网络信息安全的脆弱性体现、网络信息安全的关键技术、常见攻击方法及对策、安全网络的建设。并提出和具体阐述自己针对这些问题的对策。随着网络技术的不断发展，网络信息安全问题终究会得到解决。关键词：网络信息安全 防火墙 数据加密 内部网随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。信息网络涉及到国家

28、的政府、军事、文教等诸多领域，存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息，甚至是国家机密，所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。通常利用计算机犯罪很难留下犯罪证据，这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加，使各国的计算机系统特别是网络系统面临着很大的威胁，并成为严重的社会问题之一。网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快越来越重要。网络信

29、息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。本文从网络信息安全的脆弱性、网络安全的主要技术、常见网络攻击方法及对策、网络安全建设等方面剖析了当前网络信息安全存在的主要问题，并对常见网络攻击从技术层面提出了解决方案，希望通过网络安全建设逐步消除网络信息安全的隐患。一、网络信息安全的脆弱性因特网已遍及世界180多个国家，为亿万用户提供了多样化的网络与信息服务。在因特网上，除了原来的电

30、子邮件、新闻论坛等文本信息的交流与传播之外，网络电话、网络传真、静态及视频等通信技术都在不断地发展与完善。在信息化社会中，网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强。各种各样完备的网络信息系统，使得秘密信息和财富高度集中于计算机中。另一方面，这些网络信息系统都依靠计算机网络接收和处理信息，实现相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。网络正在逐步改变人们的工作方式和生活方式，成为当今社会发展的一个主题。然而，伴随着信息产业发展而产生的互联网和网络信息的安全问题，也已成

31、为各国政府有关部门、各大行业和企事业领导人关注的热点问题。目前，全世界每年由于信息系统的脆弱性而导致的经济损失逐年上升，安全问题日益严重。面对这种现实，各国政府有关部门和企业不得不重视网络安全的问题。互联网安全问题为什么这么严重？这些安全问题是怎么产生的呢？综合技术和管理等多方面因素，我们可以归纳为四个方面：互联网的开放性、自身的脆弱性、攻击的普遍性、管理的困难性。（一）互联网是一个开放的网络，TCP/IP是通用的协议各种硬件和软件平台的计算机系统可以通过各种媒体接入进来，如果不加限制，世界各地均可以访问。于是各种安全威胁可以不受地理限制、不受平台约束，迅速通过互联网影响到世界的每一个角落。（

32、二）互联网的自身的安全缺陷是导致互联网脆弱性的根本原因互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段，由于最初的互联网只是用于少数可信的用户群体，因此设计时没有充分考虑安全威胁，互联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。一般认为，软件中的错误数量和软件的规模成正比，由于网络和相关软件越来越复杂，其中所包含的安全漏洞也越来越多。互联网和软件系统维护阶段的安全漏洞也是安全攻击的重要目标。尽管系统提供了某些安全机制，但是由于管理员或者用户的技术水平限制、维护管理工作量大等因素，这些安全机制并没有发挥有效作用。比如，系统的缺省安装和弱口令是大量攻击成功的原因之一。（三）互联

33、网威胁的普遍性是安全问题的另一个方面随着互联网的发展，攻击互联网的手段也越来越简单、越来越普遍。目前攻击工具的功能却越来越强，而对攻击者的知识水平要求却越来越低，因此攻击者也更为普遍。（四）管理方面的困难性也是互联网安全问题的重要原因具体到一个企业内部的安全管理，受业务发展迅速、人员流动频繁、技术更新快等因素的影响，安全管理也非常复杂，经常出现人力投入不足、安全政策不明等现象。扩大到不同国家之间，虽然安全事件通常是不分国界的，但是安全管理却受国家、地理、政治、文化、语言等多种因素的限制。跨国界的安全事件的追踪就非常困难。二、网络安全的主要技术（一）防火墙技术“防火墙”是一种形象的说法，其实它是

34、一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关（security gateway），从而保护内部网免受非法用户的侵入，它其实就是一个把互联网与内部网（通常指局域网或城域网）隔开的屏障。1防火墙的技术实现防火墙的技术实现通常是基于所谓“包过滤”技术，而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中，包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有：包的源地址、包的目的地址、连接请求的方向（连入或连出）、数据包协议（如TCP/IP等）以及服务请求的类型（如ftp、www等）等。防火墙还可以利用代理服务器软件实现。早期的防火墙

35、主要起屏蔽主机和加强访问控制的作用，现在的防火墙则逐渐集成了信息安全技术中的最新研究成果，一般都具有加密、解密和压缩、解压等功能，这些技术增加了信息在互联网上的安全性。现在，防火墙技术的研究已经成为网络信息安全技术的主导研究方向。2防火墙的特性从物理上说，防火墙就是放在两个网络之间的各种系统的集合，这些组建具有以下特性：（1）所有从内到外和从外到内的数据包都要经过防火墙；（2）只有安全策略允许的数据包才能通过防火墙；（3）防火墙本身应具有预防侵入的功能，防火墙主要用来保护安全网络免受来自不安全的侵入。3防火墙的使用网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的，对防火墙的设置也不

36、例外。防火墙的隔断作用一方面加强了内部网络的安全，一方面却使内部网络与外部网络的信息系统交流受到阻碍，因此必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流，这样不仅增大了网络管理开销，而且减慢了信息传递速率。针对这个问题，近期，美国网屏（NetScreen）技术公司推出了第三代防火墙，其内置的专用ASIC处理器用于提供硬件的防火墙访问策略和数据加密算法的处理，使防火墙的性能大大提高。需要说明的是，并不是所有网络用户都需要安装防火墙。一般而言，只有对个体网络安全有特别要求，而又需要和Internet联网的企业网、公司网，才建议使用防火墙。另外，防火墙只能阻截来自外部网络的侵

37、扰，而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。（二）数据加密技术1数据加密技术的含义所谓数据加密技术就是使用数字方法来重新组织数据，使得除了合法受者外，任何其他人想要恢复原先的“消息”是非常困难的。这种技术的目的是对传输中的数据流加密，常用的方式有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件，采用某种加密技术对所发送文件进行加密，把明文（也即原文）加密成密文（加密后的文件，这些文件内容是一些看不懂的代码），然后进入TCP/IP数据包封装穿过互联网，当这些信息一旦

38、到达目的地，将由收件人运用相应的密钥进行解密，使密文恢复成为可读数据明文。2常用的数据加密技术目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密，非对称加密技术就是加密和解密所用的密钥不一样，它有一对密钥，分别称为“公钥”和“私钥”，这两个密钥必须配对使用，也就是说用公钥加密的文件必须用相应人的私钥才能解密，反之亦然。3数据加密技术的发展现状在网络传输中，加密技术是一种效率高而又灵活的安全手段，值得在企业网络中加以推广。目前，加密算法有多种，大多源于美国，但是会受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国的数据加密标准DES。

39、近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。（三）访问控制1身份验证身份验证是一致性验证的一种，验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术，现在也仍在广泛应用，它是互联网信息安全的第一道屏障。2存取控制存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面，主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一，它一般与身份验证技术一起使用，赋予不同身份的用户以不同的操作权限，以实现不同安全级别的信息分级管理。三、常见网络攻击方法及

40、对策网络中的安全漏洞无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。（一）网络攻击的步骤1隐藏自己的位置普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。老练的攻击者还会利用800电话的无人转接服务联接ISP，然后再盗用他人的帐号上网。2寻找目标主机并分析目标主机攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址，域名是为了便于记忆主机的IP地址而另起的名字，只要利用域名和IP地址就可以顺利地找到目标主机。此时，攻击者们会使用一些扫描器工具，轻松获取目标主机运行的是哪种操作系统的哪个

41、版本，系统有哪些帐户，WWW、FTP、Telnet、SMTP等服务器程序是何种版本等资料，为入侵作好充分的准备。3获取帐号和密码，登录主机攻击者要想入侵一台主机，首先要有该主机的一个帐号和密码，否则连登录都无法进行。这样常迫使他们先设法盗窃帐户文件，进行破解，从中获取某用户的帐户和口令，再寻觅合适时机以此身份进入主机。当然，利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。4获得控制权攻击者们用FTP、Telnet等工具利用系统漏洞进入目标主机系统获得控制权之后，就会做两件事：清除记录和留下后门。他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序，以便日后可以不被觉察地再

42、次进入系统。大多数后门程序是预先编译好的，只需要想办法修改时间和权限就可以使用了，甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件，以便不留下FTB记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后，攻击者就开始下一步的行动。5窃取网络资源和特权攻击者找到攻击目标后，会继续下一步的攻击。如：下载敏感信息；实施窃取帐号密码、信用卡号等经济偷窃；使网络瘫痪。（二）网络攻击的常见方法1口令入侵所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。2放置特洛伊木马

43、程序特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知攻击者，来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。3WWW的欺骗技术在网上

44、用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。4电子邮件攻击电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映

45、缓慢，甚至瘫痪。相对于其它的攻击手段来说，这种攻击方法具有简单、见效快等优点。5网络监听网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具（如NetXRay for Windows9598NT、Sniffit for Linux、Solaries等）就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但

46、监听者往往能够获得其所在网段的所有用户帐号及口令。6安全漏洞攻击许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符，他甚至可以访问根目录，从而拥有对整个网络的绝对控制权。（三）网络攻击应对策略在对网络攻击进行上述分析与识别的基础上，我们应当认真制定有针对性的策略。明确安全对象，设置强有力的安全保障体系。有的放矢，在网

47、络中层层设防，发挥网络的每层作用，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使。还必须做到未雨绸缪，预防为主，将重要的数据备份并时刻注意系统运行状况。1提高安全意识不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程序；尽量避免从Internet下载不知名的软件、游戏程序；密码设置尽可能使用字母数字混排，单纯的英文或者数字很容易穷举；及时下载安装系统补丁程序；不随便运行黑客程序，不少这类程序运行时会发出你的个人信息。2使用防毒、防黑等防火墙软件防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相

48、应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。3设置代理服务器，隐藏自己的IP地址保护自己的IP地址是很重要的。事实上，即便你的机器上被安装了木马程序，若没有你的IP地址，攻击者也是没有办法的，而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。4将防毒、防黑当成日

49、常例性工作定时更新防毒组件，将防毒软件保持在常驻状态，以彻底防毒。5提高警惕由于黑客经常会针对特定的日期发动攻击，计算机用户在此期间应特别提高警戒。6备份资料对于重要的个人资料做好严密的保护，并养成资料备份的习惯。四、网络安全建设在信息化的潮流中，在信息化与否之间没有第二种选择，只有选择如何更好地让信息化为提高单位工作效率，为增强企业竞争力服务。如何让信息化建设真正有效地为单位或企业服务，是个颇费心思的问题；这也是一个不断尝试，不断改进和完善的过程。在单位或企业的业务平台真正实现完全向信息系统转移，运作非常依赖信息资产前，企业管理层安全意识薄弱的问题是有一定的客观原因的；随着企业信息化水平的不

50、断加深，管理层网络安全意识应该会逐步得到增强，并逐步会主动去思考如何更好地构筑信息平台的安全保障体系。这一点，从电信、金融、电力等极度依赖信息系统的领域可以看出来。（一）国外面对网络威胁采取的主要对策鉴于当前世界网络面临如此多的安全隐患，世界各国均十分重视，纷纷采取对策。1美国的网络安全建设1998年5月22日，美国政府颁发了保护美国关键基础设施总统令（PDD-63），围绕“信息保障”成立了多个组织，其中包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应能动组等10多个全国性机构。1998年美国国家安全局（NSA）又制定了信息保障技术框架（I

51、ATF），提出了“深度防御策略”，确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御战略目标2000年1月，美国又发布了保卫美国的计算机空间保护信息系统的国家计划。该计划分析了美国关键基础设施所面临的威胁，确定了计划的目标和范围，制定出联邦政府关键基础设施保护计划（其中包括民用机构的基础设施保护方案和国防部基础设施保护计划）以及私营部门、州和地方政府的关键基础设施保障框架。2俄罗斯的网络安全建设1995年颁布了联邦信息、信息化和信息保护法，1997年出台的俄罗斯国家安全构想，2000年普京总统批准了国家信息安全学说，为提供高效益、高质量的信息保障创造条件，明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任；明确提出：“