【信息工程论文报告：计算机网络安全及防火墙技术9100字】

信息工程论文报告：计算机网络安全及防火墙技术目录TOC\o"1-3"\h\u6一、网络的发展及网络安全现状 122598（一）网络安全的含义 118506（二）网络安全的重要性 129811.网络中含有大量的机密与财富 1200522.现代社会严重依赖计算机网络 1192513.网络安全是国家安全的保障 11087（三）计算机网络安全的威胁 237911.非破坏性攻击 2163732.破坏性攻击 292693.操作系统存在安全隐患 245584.恶意程序攻击 2137295.系统软件漏洞和“后门” 34413二、计算机网络安全与防火墙技术 316987（一）防火墙含义 322427（二）防火墙的关键技术 31921.信息包傅送技术 3252342.包过滤技术 375643.代理技术 48897（三）在计算机网络安全中防火墙技术的运用 410858三、计算机网络安全防火墙在部队信息网的应用部署 424710（一）网络安全策略 5240901.部队军用工程信息网 5123092.部队防火墙的默认选项设置 568283.防火墙配置方案 514147（二）主机安全策略 64762（三）数据安全 623214四、防火墙功能在部队应用需求及维护 627605（一）防火墙功能在部队应用需求分析 621804（二）部队防火墙的维护 7307081.日常管理工作 750292.防火墙运行的监测工作 749063.防火墙的更新工作 816577结论 81974参考文献 9信息工程论文报告：计算机网络安全及防火墙技术摘要：随着计算机技术和网络技术的普及和应用，网络安全越来越受到人们的重视。防火墙技术作为一种隔离内部安全网络和外部网络的防御技术，已经成为计算机网络安全体系结构的重要组成部分。在防火墙技术中，防火墙产品的使用，发现仍有对抗网络攻击的防火墙的一些缺陷，然后对于还存在的缺陷本文提出了看法并进行技术改进，以更好地保护内部网络安全的防火墙。关键词：网络安全；防火墙技术；运用一、网络的发展及网络安全现状（一）网络安全的含义网络安全通常指的是指网络系统的硬件、软件和系统的数据信息可以得到保护，而不是由于偶然或恶意的原因而遭受损坏、变化、泄漏，系统能够连续稳定运行，网络服务不中断。网络安全的定义有很多不同的解释。不同角度者会有不同的认为，例如：用户（个人、企业等）的角度来看，专注于网络安全的定义，是个人隐私或商业秘密的信息通过网络传输，完整性和真实性的保护，避免被窃听、欺骗、篡改和其他违规行为，当信息存储在计算机系统的非法用户的非授权访问和损伤。从网络运行和管理的角度来看，局域网通过保护和控制的网络信息访问操作，避免了网络资源非法占用、非法控制、病毒、拒绝服务威胁和有效的防御网络“黑客”攻击的出现，这是网络安全。3.对于安全部门，网络安全应该能够对那些非法、有害或涉及国家秘密和信息的过滤和防堵，避免其通过网络泄漏，避免由此对社会造成的危害和对国民经济的损失[1]。（二）网络安全的重要性计算机信息网络是现代信息社会的基础设施，是人们进行信息交流、开展各种社会活动的基本工具，已经深入到人们工作和生活的每一角落，保障计算机网络的安全是至关重要的。1.网络中含有大量的机密与财富随着社会信息化的进程加快，计算机信息网络的规模越来越大、网上的各类信息系统越来越多，各个计算机信息系统本身也有自己的网络。由于信息存储设备的容量增加很快，传输速度大大提高、这样就为信息的存储与传输带来了更大的方便。2.现代社会严重依赖计算机网络计算机信息网络安全与保密的重要性不仅在于网络中含有许多关系国计民生的重要信息，更重要的是人们越来越依赖信息网络。鉴于计算机信息网络能够带来巨大效益，政府部门、企、事业单位和个人纷纷把自己的各种业务活动利用计算机及其网络进行管理和操作。可想而知，一旦计算机网络出现故障或遭破坏，特别是一个国家的经济系统、金融系统甚至军事指挥系统及其网络遭到敌对势力窃取、干扰或破坏，其后果将是不堪设想的。3.网络安全是国家安全的保障随着社会信息化时代的到来，计算机和计算机网络在各国政治、经济、军事等领域扮演着越来越重要的角色，自然成为敌方攻击的主要目标，这种攻击就形成了当今的计算机战争或网络战争。通过计算机战争，或者辅以少量的军事行动，就可以达到军事目的。1990年爆发的海湾战争，就是计算机武器的第一个试验物，美国和伊拉克都向对方施放了计算机病毒，而且对战争的进程发挥了直接影响。因此，为保卫国家安全，必须首先确保各种重要的计算机信息和网络的安全[2]。（三）计算机网络安全的威胁1.非破坏性攻击攻击者只是观察某一网络的协议数据单元PDU。不干扰信息流。他理解的协议，通过观察PDU协议的计算机的地址和身份。PDU的长度和传输频率进行了研究，以了解所交换的数据的性质，也被称为被动攻击[3]。2.破坏性攻击攻击者通过连接通过一个PDU，如选择修改或删除，数据包延迟，甚至合成或伪造的PDU发送一个连接。这种攻击也被称为主动攻击。毁灭攻击分为三种类型：（1）拒绝服务攻击或删除消息：通过连接所有PDU，或者双方所有PDU被延误；（2），更多的攻击流：包括连接PDU的真实性、完整性和有序的攻击；（3）伪造连接初始化：攻击者回放先前记录的方法连接初始化序列或伪造身份并试图建立一个连接。3.操作系统存在安全隐患操作系统作为一个支持软件，使您的程序或其他应用系统在上述正常运行的环境中。操作系统提供了大量的管理功能，主要是软件资源和硬件资源的管理系统。操作系统软件本身不是安全的，系统的开发和设计又留下了漏洞，网络安全留下了隐患。1、操作系统结构的缺陷。操作系统本身有一个内存管理，管理的中央处理器，外围管理，每个管理都涉及到一些模块或程序，如果在这些程序中有一个问题，如内存管理，外部网络的一个连接的问题，只是连接一个有缺陷的模块，是可能的，计算机系统将因此崩溃。所以，一些黑客倾向于攻击操作系统不完善，使计算机系统，尤其是服务器系统立即瘫痪。2、操作系统支持在网络上发送文件，加载或安装程序，包括可执行文件，也可以带来不安全的因素。网络是非常重要的一个特点是文件传输功能，如FTP，这些安装程序经常带来一些可执行文件，这些可执行文件都是人写的程序，如果有泄漏，那么系统可能会导致崩溃。3、操作系统的安全性是其中的原因之一在于它可以创建进程，支持远程进程的创建和激活，支持在继承创建的过程中创建正确的，这些机制提供的“间谍”软件安装在远程服务器上。如果间谍软件修补一个“打”在一个合法的用户，尤其是一个“打”的特权用户，黑客/间谍软件可以使系统的过程和操作的监控程序来监视它的存在是不[4]。4.恶意程序攻击恶意程序通常被称为一个程序，意图攻击。这些威胁可以分为两类：主机程序的威胁和彼此的威胁。前者基本上不能独立于一个实际的应用程序、实用程序或系统程序片段；后者可以是操作系统的调度和运行的自包含程序。这样的攻击主要有以下几点：（1）计算机病毒：一个将“传染”程序和其他程序，“感染”是由其他程序的变化或其变种被复制到完成；（2）特洛伊木马：一个性能超越程序外定义的程序。（3）计算机蠕虫：一个通过网络通信功能将自己从一个节点到另一个节点并启动程序；（4）逻辑炸弹：一个当操作环境满足一定条件时执行其他特殊功能的程序。5.系统软件漏洞和“后门”几乎所有的网络系统存在的漏洞，这些漏洞是制度本身，如UNIX、Windows等操作系统有一定数量的漏洞。此外，用户对局域网使用盗版软件和网络管理的监督也有可能造成网络漏洞。网络攻击的破坏，影响大，难以确定，是网络质量安全的头号杀手。由于TCP/IP协议的缺陷，UDP协议是不可靠的，计算机程序错误，导致许多网络中的漏洞，但这并不是说，面对这些我们没有办法。采用严格完善的管理制度，科学有效的技术方法，可以尽可能地降低风险，做到扼杀在萌芽状态。一个管理不严，没有网络安全措施无异于居心叵测的人打开门，如果网络有问题不能完全抵抗能力。现在使用的网络软件或多或少都有一些漏洞和漏洞，而黑客可以利用这些漏洞和缺陷来攻击。此外，该软件的“后门”软件编程人员为方便自己和设置，一般不为外人所知，但一旦“后门”泄露，攻击者将很容易使用“后门”进入电脑[5]。二、计算机网络安全与防火墙技术（一）防火墙含义Internrt防火墙是一个用来控制经过其上的网络应用服务和数据信息的系统。它结合了硬件和软件来防御未经受权的出入访问，目的是保护我们的网络和系统不受侵犯。它的物理载体可以简单地表现为一个路由器、主机或任何一个可提供网络安全的设备，更可以是它们的组合。在查阅的文献中，一个比较值得提及的关于防火墙的定义是：防火墙是一种将局域网和广域网分开的方法，它能限制被保护的内网与外网之间的信息存取和交换操作。防火墙可以作为不同网络或网络安全域之间交换信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身就有较强的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地控制了内部网和外部网之间的活动，保证了内部网络的安全。（二）防火墙的关键技术1.信息包傅送技术在互联网信息包交换网络上，所有信息都被分割成一定长度的信息包，包头信息中包括IP源地址、IP目标地址、内装协议、TCP/UDP目标端口、ICMP消息类型、包的进出接口。当这些包被送上互联网时，包过滤防火墙会读取接收者的PI并选择一条物理上的线路发送出去，信息包可能从不同的线路抵达目的地，当所有的包抵达后会在目的地重新组装还原[6]。2.包过滤技术包过滤技术是防火墙中的一项主要安全技术，它通过防火墙对进出网络的数据流进行控制与操作。系统管理员可以设定一系列规则，允许指定哪些类型的数据包可以流入或流出内部网络；哪些类型的数据包传输应该被拦截。现在的一些包过滤防火墙不仅根据PI数据包的地址、方向、协议、服务、端口、访问时间等信息来进行访问控制，同时还对任何网络连接和当前的会话状态进行分析和监控。所需载体及其控制作用：包过滤防火墙可以安装在一个路由器上（或是一个双端口网关上，也可以安装在一台服务器上）。3.代理技术代理技术的含义：代理技术指的是应用代理或代理服务器技术，可具体为一个代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达外部服务器，同时将外部服务器的响应再回送给用户。代理服务：现在的一些包过滤防火墙中对FTP，TELNET，HTTP，SMTP，POP3和DNS等应用实现了代理服务。这些代理服务对用户是透明的，即用户意识不到防火墙的存在，便可完成内外网络的通讯。当内部用户需要使用透明代理访问外部资源时，用户不需要进行设置，代理服务器会建立透明的通道，让用户直接与外界通信，这样极大地方便用户的使用，避免使用中的错误，降低使用防火墙时固有的安全风险和出错概率[7]。（三）在计算机网络安全中防火墙技术的运用总的来说，计算机网络安全是通过网络管理控制，以及技术解决方案，以确保在网络环境下，保护数据的使用和保密性和完整性。计算机网络安全主要是物理和逻辑安全。但是，根据用户不一样，对网络安全的理解也不会相同。如：一般用户认为，计算机网络安全是在网络上上传自己的隐私或重要信息，保护信息不能被窃听和篡改，以及伪造。而网络厂商认为，除了保证网络信息安全外，还要考虑各种因素对网络硬件的保护，以及在存在异常的情况下恢复网络通信。1、加密技术。信息发送方信息通过密码进行加密，主接收方接收加密信息，利用解密密钥解密信息，从而完成安全信息传输。加密措施利用密钥保证信息传输安全。2、身份验证。通过使用网络用户授权，通过发送方和接收方之间的认证信息，建立信息通道相对安全的，可以有效地防止非法授权的干预。3、防病毒技术，主要涉及病毒的预防、检测和清除三个方面。首先，在网络建设中，防火墙的信息交流的网络控制之间按照一定的规则安装，构成一道安全屏障，以保护内部网络与外部网络之间的信息和数据传输，确保网络没有其他未经授权的第三方入侵。其次，如果网络连接通过路由器与互联网连接，服务器的WWW和DNS，FIP和Emai和IP地址是确定的，与网络有一个C类IP地址。那么网络首先必须访问骨干网的骨干资源来访问控制，访问服务器以外的服务。然后，为了防止非法访问窃取，在连接端口接收数据的同时，有必要检查IP地址和以太网，丢弃IP地址的数据包，并记录相关信息。实际操作的过程是：102个预置控制，当防火墙和IP和以太网地址访问一个地址属于非法访问，那么防火墙将自动接入路由器控制表变化，过滤非法IP地址，以防止外来未经授权的访问。三、计算机网络安全防火墙在部队信息网的应用部署（一）网络安全策略1.部队军用工程信息网部队军用工程信息网三部分的安全级别如表3-1所示：表3-1部队军营安全区域NO安全区域安全级别访问级别1外用网络低级不提供安全措施，进负责网络连接2DMZ区中级外部可访问符号安全策略的网络资源，内部会及时更新和维护3内部网高级外部可访问符号安全策略的网络资源，对外不可见2.部队防火墙的默认选项设置将防火墙的默认选项设置为：凡未明确允许的，禁止转发"即先关闭所有服务的端口，然后根据需要开放相应服务和端口"现在需要进行审核和过滤的应用和服务类型如表3-2所示：表3-2防火墙需要审核和过滤的应用和服务类型表服务类型端口范围/协议说明DNS53，TCP/UDP域名服务WWW80，TCPWEB服务SMTP/POP325/110，TCP电子邮件TELNET23，TCP远程登录FTP21/20文件传输服务在部队内部网络资源严禁外网访问，且提供向外部特定的访问服务。为了便于对部队内网计算机进行管理和维护，所以对内网计算机实施MAC地址与IP地址的绑定。另外，NAT方式隐藏内部网络结构。防火墙提供的网络地址转换功能不仅可以隐藏内部网络地址信息，使外界无法直接访问内部网络设备。同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Iniemet地址和私有IP地址的使用。通过NAT功能，防火墙系统可以帮助采用私有地址的内部网用户顺利的访问Iniemet的信息资源，不但不会造成任何网络应用的阻碍，同时还大量节省网络地址资源。3.防火墙配置方案根据网络安全解决方案中的用户需求，网络拓扑以及制定的安全策略，自动安全策略：它是组织抽象安全策略的子集和细化，指能够由计算机、路由器等设备自动实施的安全措施的规则和约束，不能由计算机实施的安全策略由安全管理制度等物理环境安全等其他手段实施。（二）主机安全策略部队军用工程信息中心在系统安全的设定上，除了在防火墙上进行网络安全设置外，为增加其整个系统的安全性，还应对主机进行安全升级，策略如下：在服务器上安装杀毒软件，并随时更新病毒库，以免遭受病毒袭击；服务器应及时安装操作系统的最新补丁，以便堵住被发现的漏洞；服务器根据需要开放相应的服务和端口，决不开放不必要的服务端口；服务器严格设置用户访问权限，除系统管理和维护人员外，其余用户如无特殊要求，则只给予读取和运行的权限；各服务器操作系统安装完毕后，应马上对系统盘进行备份，如加装或更新应用软件，也应及时对系统盘做备份，并作相应的记录；提供一至两台服务器做备份服务器，如某台服务器发生故障，则启动该服务器上相应的备份继续对外提供服务；改变管理员帐户，并使用强壮密码；审核一切事件，追踪系统发生过的所有事件；设置日志空间为500M一ZG，覆盖方式为覆盖60天前的日志，禁止非系统管理员用户查看或更改日志；设定帐号失败登陆的次数为3，锁定后重新起用的时间间隔为24小时；禁止系统信息暴露，当有人远程登陆时，禁止显示系统欢迎信息[8]。（三）数据安全在数据安全方面主要采用两种方式：使用备份机备份“将数据备份到备份服务器的表中包括数据库和目录网站设置，保持与原服务器”主要在服务器故障的时间开始，到现场再也没能避免中断很长一段时间，网站，而且要修复很长一段时间“使用介质备份”光盘和磁带备份单元主机的数据使用网站，信息和数据包括其及以上操作系统，使用在主机功能的恢复。四、防火墙功能在部队应用需求及维护（一）防火墙功能在部队应用需求分析根据部队的实际需求，建立相应的风险级别，形成一个需要监测!允许!禁止的清单，再根据清单的内容设置防火墙的各项功能。一般来说，部队根据需要选用的防火墙，应具备以下的基本功能：（1）支持/除非明确允许，否则就禁止的设计策略，即使这种策略不是最初使用的策略；（2）能够忠实地支持自己的安全策略，并能灵活地容纳新的服务和机构，能根据新的需求改变所需的安全策略；（3）具有透明的访问方式；（4）具有灵活的代理系统功能；（5）具备多级的过滤技术；（6）具备网络地址转换功能，能方便快捷地转换内外网地址，解决公网地址不足的问题；（7）具有用户鉴别与加密功能，防止非法用户的侵入，保护数据传输过程中的安全；（8）具备用户定制服务的功能；（9）具备审计和告警功能；（10）具备构建VPN虚拟网的功能；（11）选用的防火墙的强度和正确性应该可被验证。防火墙的设计应该简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且定期进行。由于部队军用工程信息网需要通过互联网和下属单位相连，而互联网每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此选用防火墙的适应性是很重要的。（二）部队防火墙的维护部队在建设好防火墙系统后，千万不能认为从此可以一劳永逸，高枕无忧了。我们必须意识到，在防火墙系统安装配置完成后，使它正常运转还需要做大量的管理维护工作，并且这是一项长期、细致的工作。只有有效地维护一个防火墙，才能使它有效地工作。一个维护不当的防火墙可能会给人一种安全的假象，而实际上却存在着很多安全漏洞。由于部队目前网络安全专业人才缺乏，部队官兵网络安全意识淡薄，加之部队施工任务繁重，人手紧张，导致网络管理员经常不能专职专用，部分人员一身兼多职，导致防火墙系统的管理和维护经常流于形式，网管人员常常不能及时发现防火墙系统中出现的漏洞，从而给部队军用工程信息网造成一定的安全隐患。这就要求部队的管理上应给予防火墙维护足够的支持，如专职的网络管理人员、资金和其它必要的资源。一般来说，防火墙的维护工作主要包括以下三部分组成[9]：1.日常管理工作这部分工作主要是备份防火墙、防火墙的帐户管理与磁盘空间管理。在日常维护工作中，必须对防火墙的所有部分都做备份。因为如果防火墙一旦崩溃，假使有完整的备份，就可以迅速地恢复防火墙。当然备份工作最好由专门的计算机来自动进行，而帐户管理包括开设新帐户、注销旧帐户、口令的时限管理。这部分工作在防火墙初建时就必须全面地完成，如果系统支持口令的时限管理，那就要尽量将这种功能使用起来。并且最好迫使用户使用较难被猜的口令以杜绝在这方面给入侵者留有空子。而对于磁盘空间的管理工作，首先是防止日志系统使用的空间饱和，要使日志系统可循环地使用磁盘空间。第二，在使用磁盘时总会在磁盘上留有废弃的文件，特别是系统管理员可在磁盘上的任意地方写入信息，目前还没有能自动消除废弃文件的软件，因此可选用一些类似于Tripwrite的软件，使新生的文件被限定在某个固定的磁盘区域。当然，经常检查磁盘，以免发生磁盘溢出是必不可少的。2.防火墙运行的监测工作这部分工作可以发现防火墙运行是否正常、是否有入侵者试图攻击系统、防火墙提供的服务是否符合用户的需要。在系统的监测工作中，可选用以下的方法进行，例如在参数网络上设置监测点或者使用一台配有侦测软件的通用计算机，甚至可选用一台配有网络窃听功能的专用计算机。当然，必须要绝对防止入侵者利用这些设备(只要使这些设备工作于单工状态，只有侦听功能而没有响应信号的功能)。在监测工作中，可将监测到的信息写入磁盘，但对以下几种情况要特别加以注意：第一，被系统拒绝的申请或被系统阻断的连接：第二，在最近一段时间内成功地连到系统的用户名或协议;第三，防火墙系统、代理服务和路由器上的出错信息。只有对系统的正常运行状态有全面的了解，在系统一旦出了问题时，才会立即感到异样。此外，经常检查日志文件也是极好的监测手段。3.防火墙的更新工作这部分工作是整个防火墙维护工作中最为艰苦的工作，部队必须使自己的防火墙跟得上永不停止的计算机业界各种技术的发展，一般每隔一段时间就会发现系统软件或某些应用软件有效的漏洞或缺陷，部队网管人员必须及时修补以保证系统的安全性。同时，注意防火墙系统的升级完善，要经常和选用的防火墙系统的厂家联系，以获取最新的升级资料和权限，不断把防火墙系统保持在最新的工作状态。另外，也可上网查找有关防火墙资源的有关信息来获取一些有用的帮助，并适当关注一些网络上的新闻组、杂志和其他一些诸如IEEE、ACM的专业刊物上有关防火墙维护的内容，用这些媒介上介绍的新知识、新技术来充实和完善防火墙。结论计算机网络安全不仅是个技术问题，还是个复杂的社会问题，随着计算机网络安全问题的日益严峻，只有借助于各种网络安全策略及防火墙技术等，方可为计算机网络的安全提供保障。虽然，计算机网络安全面临的挑战十分巨大，但挑战本身也是机遇，相信未来我国网络安全技术必将得到长足的发展。随着计算机技术的迅猛发展。全国乃至全球范围的计算机互联网络不断地高速发展并日益深人到国民经济的各个部门和社会生活的各个方面，信息以成为社会发展的重要战略，而网络安全技术是其不可不可或缺的保证。但是，网络安全不仅仅是技术问题，更多的是社会问题，应该加强网络安全方面的宣传和教育。我们需要研究和掌握更多保障网络安全的技术，而防火墙技术