侵入者倔關ftp_裝一個windows2000服務版做伺服器/安全方面需要怎麼設置還有怎麼關一些沒用的埠

『壹』裝一個windows2000服務版做伺服器/安全方面需要怎麼設置，。還有怎麼關一些沒用的埠

原理篇
我們將從入侵者入侵的各個環節來作出對應措施
一步步的加固windows系統.
加固windows系統.一共歸於幾個方面
1.埠限制
2.設置ACL許可權
3.關閉服務或組件
4.包過濾
5.審計

我們現在開始從入侵者的第一步開始.對應的開始加固已有的windows系統.

1.掃描
這是入侵者在剛開始要做的第一步.比如搜索有漏洞的服務.
對應措施:埠限制
以下所有規則.都需要選擇鏡像,否則會導致無法連接
我們需要作的就是打開服務所需要的埠.而將其他的埠一律屏蔽

2.下載信息
這里主要是通過URL SCAN.來過濾一些非法請求
對應措施:過濾相應包
我們通過安全URL SCAN並且設置urlscan.ini中的DenyExtensions欄位
來阻止特定結尾的文件的執行

3.上傳文件
入侵者通過這步上傳WEBSHELL,提權軟體,運行cmd指令等等.
對應措施:取消相應服務和功能,設置ACL許可權
如果有條件可以不使用FSO的.
通過 regsvr32 /u c:\windows\system32\scrrun.dll來注銷掉相關的DLL.
如果需要使用.
那就為每個站點建立一個user用戶
對每個站點相應的目錄.只給這個用戶讀,寫,執行許可權,給administrators全部許可權
安裝殺毒軟體.實時殺除上傳上來的惡意代碼.
個人推薦MCAFEE或者卡巴斯基
如果使用MCAFEE.對WINDOWS目錄所有添加與修改文件的行為進行阻止.

4.WebShell
入侵者上傳文件後.需要利用WebShell來執行可執行程序.或者利用WebShell進行更加方便的文件操作.
對應措施:取消相應服務和功能
一般WebShell用到以下組件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我們在注冊表中將以上鍵值改名或刪除
同時需要注意按照這些鍵值下的CLSID鍵的內容
從/HKEY_CLASSES_ROOT/CLSID下面對應的鍵值刪除

5.執行SHELL
入侵者獲得shell來執行更多指令
對應措施:設置ACL許可權
windows的命令行控制台位於\WINDOWS\SYSTEM32\CMD.EXE
我們將此文件的ACL修改為
某個特定管理員帳戶(比如administrator)擁有全部許可權.
其他用戶.包括system用戶,administrators組等等.一律無許可權訪問此文件.

6.利用已有用戶或添加用戶
入侵者通過利用修改已有用戶或者添加windows正式用戶.向獲取管理員許可權邁進
對應措施:設置ACL許可權.修改用戶
將除管理員外所有用戶的終端訪問許可權去掉.
限制CMD.EXE的訪問許可權.
限制SQL SERVER內的XP_CMDSHELL

7.登陸圖形終端
入侵者登陸TERMINAL SERVER或者RADMIN等等圖形終端,
獲取許多圖形程序的運行許可權.由於WINDOWS系統下絕大部分應用程序都是GUI的.
所以這步是每個入侵WINDOWS的入侵者都希望獲得的
對應措施:埠限制
入侵者可能利用3389或者其他的木馬之類的獲取對於圖形界面的訪問.
我們在第一步的埠限制中.對所有從內到外的訪問一律屏蔽也就是為了防止反彈木馬.
所以在埠限制中.由本地訪問外部網路的埠越少越好.
如果不是作為MAIL SERVER.可以不用加任何由內向外的埠.
阻斷所有的反彈木馬.

8.擦除腳印
入侵者在獲得了一台機器的完全管理員許可權後
就是擦除腳印來隱藏自身.
對應措施:審計
首先我們要確定在windows日誌中打開足夠的審計項目.
如果審計項目不足.入侵者甚至都無需去刪除windows事件.
其次我們可以用自己的cmd.exe以及net.exe來替換系統自帶的.
將運行的指令保存下來.了解入侵者的行動.
對於windows日誌
我們可以通過將日誌發送到遠程日誌伺服器的方式來保證記錄的完整性.
evtsys工具(https://engineering.pure.e/ECN/Resources/Documents)
提供將windows日誌轉換成syslog格式並且發送到遠程伺服器上的功能.
使用此用具.並且在遠程伺服器上開放syslogd,如果遠程伺服器是windows系統.
推薦使用kiwi syslog deamon.

我們要達到的目的就是
不讓入侵者掃描到主機弱點
即使掃描到了也不能上傳文件
即使上傳文件了不能操作其他目錄的文件
即使操作了其他目錄的文件也不能執行shell
即使執行了shell也不能添加用戶
即使添加用戶了也不能登陸圖形終端
即使登陸了圖形終端.擁有系統控制權.他的所作所為還是會被記錄下來.

額外措施:
我們可以通過增加一些設備和措施來進一步加強系統安全性.
1.代理型防火牆.如ISA2004
代理型防火牆可以對進出的包進行內容過濾.
設置對HTTP REQUEST內的request string或者form內容進行過濾
將SELECT.DROP.DELETE.INSERT等都過濾掉.
因為這些關鍵詞在客戶提交的表單或者內容中是不可能出現的.
過濾了以後可以說從根本杜絕了SQL 注入
2.用SNORT建立IDS
用另一台伺服器建立個SNORT.
對於所有進出伺服器的包都進行分析和記錄
特別是FTP上傳的指令以及HTTP對ASP文件的請求
可以特別關注一下.

本文提到的部分軟體在提供下載的RAR中包含
包括COM命令行執行記錄
URLSCAN 2.5以及配置好的配置文件
IPSEC導出的埠規則
evtsys
一些注冊表加固的注冊表項.

實踐篇

下面我用的例子.將是一台標準的虛擬主機.
系統:windows2003
服務:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:為了演示,綁定了最多的服務.大家可以根據實際情況做篩減

1.WINDOWS本地安全策略埠限制
A.對於我們的例子來說.需要開通以下埠
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些埠
外->本地 25
外->本地 110
外->本地 3389
然後按照具體情況.打開SQL SERVER和MYSQL的埠
外->本地 1433
外->本地 3306
B.接著是開放從內部往外需要開放的埠
按照實際情況,如果無需郵件服務,則不要打開以下兩條規則
本地->外 53 TCP,UDP
本地->外 25
按照具體情況.如果無需在伺服器上訪問網頁.盡量不要開以下埠
本地->外 80
C.除了明確允許的一律阻止.這個是安全規則的關鍵.
外->本地所有協議阻止

2.用戶帳號
a.將administrator改名,例子中改為root
b.取消所有除管理員root外所有用戶屬性中的
遠程式控制制->啟用遠程式控制制以及
終端服務配置文件->允許登陸到終端伺服器
c.將guest改名為administrator並且修改密碼
d.除了管理員root,IUSER以及IWAM以及ASPNET用戶外.禁用其他一切用戶.包括SQL DEBUG以及TERMINAL USER等等

3.目錄許可權
將所有盤符的許可權,全部改為只有
administrators組全部許可權
system 全部許可權
將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有許可權的兩個許可權
然後做如下修改
C:\Program Files\Common Files 開放Everyone 默認的讀取及運行列出文件目錄讀取三個許可權
C:\WINDOWS\ 開放Everyone 默認的讀取及運行列出文件目錄讀取三個許可權
C:\WINDOWS\Temp 開放Everyone 修改,讀取及運行,列出文件目錄,讀取,寫入許可權
現在WebShell就無法在系統目錄內寫入文件了.
當然也可以使用更嚴格的許可權.
在WINDOWS下分別目錄設置許可權.
可是比較復雜.效果也並不明顯.

4.IIS
在IIS 6下.應用程序擴展內的文件類型對應ISAPI的類型已經去掉了IDQ,PRINT等等危險的腳本類型,
在IIS 5下我們需要把除了ASP以及ASA以外所有類型刪除.
安裝URLSCAN
在[DenyExtensions]中
一般加入以下內容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
這樣入侵者就無法下載.mdb資料庫.這種方法比外面一些在文件頭加入特殊字元的方法更加徹底.
因為即便文件頭加入特殊字元.還是可以通過編碼構造出來的

5.WEB目錄許可權
作為虛擬主機.會有許多獨立客戶
比較保險的做法就是為每個客戶,建立一個windows用戶
然後在IIS的響應的站點項內
把IIS執行的匿名用戶.綁定成這個用戶
並且把他指向的目錄
許可權變更為
administrators 全部許可權
system 全部許可權
單獨建立的用戶(或者IUSER) 選擇高級->打開除完全控制,遍歷文件夾/運行程序,取得所有權 3個外的其他許可權.

如果伺服器上站點不多.並且有論壇
我們可以把每個論壇的上傳目錄
去掉此用戶的執行許可權.
只有讀寫許可權
這樣入侵者即便繞過論壇文件類型檢測上傳了webshell
也是無法運行的.

6.MS SQL SERVER2000
使用系統帳戶登陸查詢分析器
運行以下腳本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procere sp_makewebtask
go
刪除所有危險的擴展.

7.修改CMD.EXE以及NET.EXE許可權
將兩個文件的許可權.修改到特定管理員才能訪問,比如本例中.我們如下修改
cmd.exe root用戶所有許可權
net.exe root用戶所有權現
這樣就能防止非法訪問.
還可以使用例子中提供的comlog程序
將com.exe改名_com.exe,然後替換com文件.這樣可以記錄所有執行的命令行指令

8.備份
使用ntbackup軟體.備份系統狀態.
使用reg.exe 備份系統關鍵數據
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
來備份系統的ODBC

9.殺毒
這里介紹MCAFEE 8i 中文企業版
因為這個版本對於國內的許多惡意代碼和木馬都能夠及時的更新.
比如已經能夠檢測到海陽頂端2006
而且能夠殺除IMAIL等SMTP軟體使用的隊列中MIME編碼的病毒文件
而很多人喜歡安裝諾頓企業版.而諾頓企業版,對於WEBSHELL.基本都是沒有反應的.
而且無法對於MIME編碼的文件進行殺毒.
在MCAFEE中.
我們還能夠加入規則.阻止在windows目錄建立和修改EXE.DLL文件等
我們在軟體中加入對WEB目錄的殺毒計劃.
每天執行一次
並且打開實時監控.

10.關閉無用的服務
我們一般關閉如下服務
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
如果伺服器不用作域控,我們也可以禁用
Workstation

11.取消危險組件
如果伺服器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注銷組件
使用regedit
將/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
鍵值改名或刪除
將這些鍵值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值
全部刪除

12.審計
本地安全策略->本地策略->審核策略
打開以下內容
審核策略更改成功,失敗
審核系統事件成功,失敗
審核帳戶登陸事件成功,失敗
審核帳戶管理成功,失敗

其實，在伺服器的安全設置方面，我雖然有一些經驗，但是還談不上有研究，所以我寫這篇文章的時候心裡很不踏實，總害怕說錯了會誤了別人的事。

本文更側重於防止ASP漏洞攻擊，所以伺服器防黑等方面的講解可能略嫌少了點。

基本的伺服器安全設置

安裝補丁

安裝好操作系統之後，最好能在託管之前就完成補丁的安裝，配置好網路後，如果是2000則確定安裝上了SP4，如果是2003，則最好安裝上SP1，然後點擊開始→Windows update，安裝所有的關鍵更新。

安裝殺毒軟體

雖然殺毒軟體有時候不能解決問題，但是殺毒軟體避免了很多問題。

不要指望殺毒軟體殺掉所有的木馬，因為ASP木馬的特徵是可以通過一定手段來避開殺毒軟體的查殺。

設置埠保護和防火牆、刪除默認共享

都是伺服器防黑的措施，即使你的伺服器上沒有IIS，這些安全措施都最好做上。這是阿江的盲區，大概知道屏蔽埠用本地安全策略，不過這方面的東西網上攻略很多，大家可以找出來看看，晚些時候我或者會復制一些到我的網站上。

許可權設置

阿江感覺這是防止ASP漏洞攻擊的關鍵所在，優秀的許可權設置可以將危害減少在一個IIS站點甚至一個虛擬目錄里。我這里講一下原理和設置思路，聰明的朋友應該看完這個就能解決問題了。

許可權設置的原理

WINDOWS用戶，在WINNT系統中大多數時候把許可權按用戶（組）來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統用戶和用戶組。

NTFS許可權設置，請記住分區的時候把所有的硬碟都分為NTFS分區，然後我們可以確定每個分區對每個用戶開放的許可權。【文件（夾）上右鍵→屬性→安全】在這里管理NTFS文件（夾）許可權。

IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設置一個匿名訪問用戶（現在暫且把它叫"IIS匿名用戶"），當用戶訪問你的網站的.ASP文件的時候，這個.ASP文件所具有的許可權，就是這個"IIS匿名用戶"所具有的許可權。

許可權設置的思路

要為每個獨立的要保護的個體（比如一個網站或者一個虛擬目錄）創建一個系統用戶，讓這個站點在系統中具有惟一的可以設置許可權的身份。

在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。
設置所有的分區禁止這個用戶訪問，而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問（要去掉繼承父許可權，並且要加上超管組和SYSTEM組）。

這樣設置了之後，這個站點里的ASP程序就只有當前這個文件夾的許可權了，從探針上看，所有的硬碟都是紅叉叉。

我的設置方法

我是先創建一個用戶組，以後所有的站點的用戶都建在這個組里，然後設置這個組在各個分區沒有許可權或者完全拒絕。然後再設置各個IIS用戶在各在的文件夾里的許可權。

因為比較多，所以我很不想寫，其實知道了上面的原理，大多數人都應該懂了，除非不知道怎麼添加系統用戶和組，不知道怎麼設置文件夾許可權，不知道IIS站點屬性在那裡。真的有那樣的人，你也不要著急，要沉住氣慢慢來，具體的方法其實自己也能摸索出來的，我就是這樣。當然，如果我有空，我會寫我的具體設置方法，很可能還會配上圖片。

改名或卸載不安全組件

不安全組件不驚人

我在阿江探針1.9里加入了不安全組件檢測功能（其實這是參考7i24的代碼寫的，只是把界面改的友好了一點，檢測方法和他是基本一樣的），這個功能讓很多站長吃驚不小，因為他發現他的伺服器支持很多不安全組件。

其實，只要做好了上面的許可權設置，那麼FSO、XML、strem都不再是不安全組件了，因為他們都沒有跨出自己的文件夾或者站點的許可權。那個歡樂時光更不用怕，有殺毒軟體在還怕什麼時光啊。

最危險的組件是WSH和Shell，因為它可以運行你硬碟里的EXE等程序，比如它可以運行提升程序來提升SERV-U許可權甚至用SERVU來運行更高許可權的系統程序。

卸載最不安全的組件

最簡單的辦法是直接卸載後刪除相應的程序文件。將下面的代碼保存為一個.BAT文件，( 以下均以 WIN2000 為例，如果使用2003，則系統文件夾應該是 C:\WINDOWS\ )

Quoted from Unkown:

regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll

然後運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除文件，不用管它，重啟一下伺服器，你會發現這三個都提示"×安全"了。

改名不安全組件

需要注意的是組件的名稱和Clsid都要改，並且要改徹底了。下面以Shell.application為例來介紹方法。

打開注冊表編輯器【開始→運行→regedit回車】，然後【編輯→查找→填寫Shell.application→查找下一個】，用這個方法能找到兩個注冊表項："{13709620-C279-11CE-A49E-444553540000}"和"Shell.application"。為了確保萬無一失，把這兩個注冊表項導出來，保存為 .reg 文件。

比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001
Shell.application 改名為 Shell.application_ajiang

那麼，就把剛才導出的.reg文件里的內容按上面的對應關系替換掉，然後把修改好的.reg文件導入到注冊表中（雙擊即可），導入了改名後的注冊表項之後，別忘記了刪除原有的那兩個項目。這里需要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。

下面是我修改後的代碼（兩個文件我合到一起了）：

Quoted from Unkown:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]
@="C:\\WINNT\\system32\\shell32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]
@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]
@="1.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]
@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]
@="Shell.Application_ajiang.1"

你可以把這個保存為一個.reg文件運行試一下，但是可別就此了事，因為萬一黑客也看了我的這篇文章，他會試驗我改出來的這個名字的。

防止列出用戶組和系統進程

我在阿江ASP探針1.9中結合7i24的方法利用getobject("WINNT")獲得了系統用戶和系統進程的列表，這個列表可能會被黑客利用，我們應當隱藏起來，方法是：

【開始→程序→管理工具→服務】，找到Workstation，停止它，禁用它。

防止Serv-U許可權提升

其實，注銷了Shell組件之後，侵入者運行提升工具的可能性就很小了，但是prel等別的腳本語言也有shell能力，為防萬一，還是設置一下為好。

用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長度的其它字元就可以了，ServUAdmin.exe也一樣處理。

另外注意設置Serv-U所在的文件夾的許可權，不要讓IIS匿名用戶有讀取的許可權，否則人家下走你修改過的文件，照樣可以分析出你的管理員名和密碼。

利用ASP漏洞攻擊的常見方法及防範

一般情況下，黑客總是瞄準論壇等程序，因為這些程序都有上傳功能，他們很容易的就可以上傳ASP木馬，即使設置了許可權，木馬也可以控制當前站點的所有文件了。另外，有了木馬就然後用木馬上傳提升工具來獲得更高的許可權，我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。

如果論壇管理員關閉了上傳功能，則黑客會想辦法獲得超管密碼，比如，如果你用動網論壇並且資料庫忘記了改名，人家就可以直接下載你的資料庫了，然後距離找到論壇管理員密碼就不遠了。

作為管理員，我們首先要檢查我們的ASP程序，做好必要的設置，防止網站被黑客進入。另外就是防止攻擊者使用一個被黑的網站來控制整個伺服器，因為如果你的伺服器上還為朋友開了站點，你可能無法確定你的朋友會把他上傳的論壇做好安全設置。這就用到了前面所說的那一大堆東西，做了那些許可權設置和防提升之後，黑客就算是進入了一個站點，也無法破壞這個網站以外的東西。

後記

也許有安全高手或者破壞高手看了我的文章會嘲笑或者竊喜，但我想我的經驗里畢竟還是存在很多正確的地方，有千千萬萬的比我知道的更少的人像我剛開始完全不懂的時候那樣在渴求著這樣一篇文章，所以我必須寫，我不管別人怎麼說我，我也不怕後世會有千千萬萬的人對我唾罵，我一個人承擔下來，我也沒有娘子需要交代的……

因為這其實只是拋磚引玉的做法，從別人的笑聲中，我和我的讀者們都可以學到更多有用的東西。

『貳』關於網路廣告的畢業論文

1 緒論

隨著互聯網的飛速發展，網路安全逐漸成為一個潛在的巨大問題。網路安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。
大多數安全性問題的出現都是由於有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網路安全不僅僅是使它沒有編程錯誤。它包括要防範那些聰明的，通常也是狡猾的、專業的，並且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣於作案的老手來說，收效甚微。
網路安全性可以被粗略地分為4個相互交織的部分：保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問，這是人們提到的網路安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來實現。

2 方案目標

本方案主要從網路層次考慮，將網路系統設計成一個支持各級別用戶或用戶群的安全網路，該網在保證系統內部網路安全的同時，還實現與Internet或國內其它網路的安全互連。本方案在保證網路安全可以滿足各種用戶的需求，比如：可以滿足個人的通話保密性，也可以滿足企業客戶的計算機系統的安全保障，資料庫不被非法訪問和破壞，系統不被病毒侵犯，同時也可以防止諸如反動淫穢等有害信息在網上傳播等。
需要明確的是，安全技術並不能杜絕所有的對網路的侵擾和破壞，它的作用僅在於最大限度地防範，以及在受到侵擾的破壞後將損失盡旦降低。具體地說，網路安全技術主要作用有以下幾點：
1．採用多層防衛手段，將受到侵擾和破壞的概率降到最低；
2．提供迅速檢測非法使用和非法初始進入點的手段，核查跟蹤侵入者的活動；
3．提供恢復被破壞的數據和系統的手段，盡量降低損失；
4．提供查獲侵入者的手段。
網路安全技術是實現安全管理的基礎，近年來，網路安全技術得到了迅猛發展，已經產生了十分豐富的理論和實際內容。

3 安全需求

通過對網路系統的風險分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網路系統的機密性、完整性、可用性、可控性與可審查性。即，
可用性：授權實體有權訪問數據
機密性：信息不暴露給未授權實體或進程
完整性：保證數據不被未授權修改
可控性：控制授權范圍內的信息流向及操作方式
可審查性：對出現的安全問題提供依據與手段
訪問控制：需要由防火牆將內部網路與外部不可信任的網路隔離，對與外部網路交換數據的內部網路及其主機、所交換的數據進行嚴格的訪問控制。同樣，對內部網路，由於不同的應用業務以及不同的安全級別，也需要使用防火牆將不同的LAN或網段進行隔離，並實現相互的訪問控制。
數據加密：數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計：是識別與防止網路攻擊行為、追查網路泄密行為的重要措施之一。具體包括兩方面的內容，一是採用網路監控與入侵防範系統，識別網路各種違規操作與攻擊行為，即時響應（如報警）並進行阻斷；二是對信息內容的審計，可以防止內部機密或敏感信息的非法泄漏

4 風險分析

網路安全是網路正常運行的前提。網路安全不單是單點的安全，而是整個信息網的安全，需要從物理、網路、系統、應用和管理方面進行立體的防護。要知道如何防護，首先需要了解安全風險來自於何處。網路安全系統必須包括技術和管理兩方面，涵蓋物理層、系統層、網路層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網路的中斷。根據國內網路系統的網路結構和應用情況，應當從網路安全、系統安全、應用安全及管理安全等方面進行全面地分析。
風險分析是網路安全技術需要提供的一個重要功能。它要連續不斷地對網路中的消息和事件進行檢測，對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網路中所有有關的成分。

5 解決方案

5.1 設計原則
針對網路系統實際情況，解決網路的安全保密問題是當務之急，考慮技術難度及經費等因素，設計時應遵循如下思想：
1．大幅度地提高系統的安全性和保密性；
2．保持網路原有的性能特點，即對網路的協議和傳輸具有很好的透明性；
3．易於操作、維護，並便於自動化管理，而不增加或少增加附加操作；
4．盡量不影響原網路拓撲結構，同時便於系統及系統功能的擴展；
5．安全保密系統具有較好的性能價格比，一次性投資，可以長期使用；
6．安全與密碼產品具有合法性，及經過國家有關管理部門的認可或認證；
7．分步實施原則：分級管理分步實施。
5.2 安全策略
針對上述分析，我們採取以下安全策略：
1．採用漏洞掃描技術，對重要網路設備進行風險評估，保證信息系統盡量在最優的狀況下運行。
2．採用各種安全技術，構築防禦系統，主要有：
(1) 防火牆技術：在網路的對外介面，採用防火牆技術，在網路層進行訪問控制。
(2) NAT技術：隱藏內部網路信息。
(3) VPN：虛擬專用網(VPN)是企業網在網際網路等公共網路上的延伸,通過一個私有的通道在公共網路上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務夥伴等與公司的企業網連接起來，構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網路的存在，彷彿所有的機器都處於一個網路之中。公共網路似乎只由本網路在獨占使用，而事實上並非如此。
(4）網路加密技術(Ipsec) ：採用網路加密技術，對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它可解決網路在公網的數據傳輸安全性問題，也可解決遠程用戶訪問內網的安全問題。
(5) 認證：提供基於身份的認證，並在各種認證機制中可選擇使用。
(6) 多層次多級別的企業級的防病毒系統：採用多層次多級別的企業級的防病毒系統，對病毒實現全面的防護。
(7）網路的實時監測：採用入侵檢測系統，對主機和網路進行監測和預警，進一步提高網路防禦外來攻擊的能力。
3．實時響應與恢復：制定和完善安全管理制度，提高對網路攻擊等實時響應與恢復能力。
4．建立分層管理和各級安全管理中心。
5.3 防禦系統
我們採用防火牆技術、NAT技術、VPN技術、網路加密技術（Ipsec）、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術，構成網路安全的防禦系統。
5.3.1 物理安全
物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
為保證信息網路系統的物理安全，還要防止系統信息在空間的擴散。通常是在物理上採取一定的防護措施，來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。
為保證網路的正常運行，在物理安全方面應採取如下措施：
1．產品保障方面：主要指產品采購、運輸、安裝等方面的安全措施。
2．運行安全方面：網路中的設備，特別是安全類產品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統，應設置備份系統。
3．防電磁輻射方面：所有重要涉密的設備都需安裝防電磁輻射產品，如輻射干擾機。
4．保安方面：主要是防盜、防火等，還包括網路系統所有網路設備、計算機、安全設備的安全防護。
5.3.2 防火牆技術
防火牆是一種網路安全保障手段,是網路通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網路的許可權,並迫使所有的連接都經過這樣的檢查,防止一個需要保護的網路遭外界因素的干擾和破壞。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監視了內部網路和Internet之間地任何活動，保證了內部網路地安全；在物理實現上，防火牆是位於網路特殊位置地以組硬體設備――路由器、計算機或其他特製地硬體設備。防火牆可以是獨立地系統，也可以在一個進行網路互連地路由器上實現防火牆。用防火牆來實現網路安全必須考慮防火牆的網路拓撲結構：
（1）屏蔽路由器：又稱包過濾防火牆。
（2）雙穴主機：雙穴主機是包過濾網關的一種替代。
（3）主機過濾結構：這種結構實際上是包過濾和代理的結合。
（4）屏蔽子網結構：這種防火牆是雙穴主機和被屏蔽主機的變形。
根據防火牆所採用的技術不同,我們可以將它分為四種基本類型:包過濾型、網路地址轉換—NAT、代理型和監測型。
5.3.2.1 包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以「包」為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些「包」是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。
5.3.2.2 網路地址轉化—NAT
網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、注冊的IP地址標准。它允許具有私有IP地址的內部網路訪問網際網路。它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址。在內部網路通過安全網卡訪問外部網路時，將產生一個映射記錄。系統將外出的源地址和源埠映射為一個偽裝的地址和埠，讓這個偽裝的地址和埠通過非安全網卡與外部網路連接，這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網卡訪問內部網路時，它並不知道內部網路的連接情況，而只是通過一個開放的IP地址和埠來請求訪問。OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火牆認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火牆認為該訪問是不安全的，不能被接受，防火牆將屏蔽外部的連接請求。網路地址轉換的過程對於用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。
5.3.2.3 代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統。代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
5.3.2.4 監測型
監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品,雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆。基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由於這種產品是基於應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄。正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。
相關性：畢業論文,免費畢業論文,大學畢業論文,畢業論文模板
5.3.3 VPN技術
VPN的安全保證主要是通過防火牆技術、路由器配以隧道技術、加密協議和安全密鑰來實現，可以保證企業員工安全地訪問公司網路。
VPN有三種解決方案：
（1）如果企業的內部人員移動或有遠程辦公需要，或者商家要提供B2C的安全訪問服務，就可以考慮使用遠程訪問虛擬網（Access VPN）。
AccessVPN通過一個擁有專用網路相同策略的共享基礎設施，提供對企業內部網或外部網的遠程訪問。AccessVPN能使用戶隨時、隨地以所需的方式訪問企業資源。最適用於公司內部經常有流動人員遠程辦公的情況。出差員工利用當地ISP提供的VPN服務，就可以和公司的VPN網關建立私有的隧道連接。
（2）如果要進行企業內部各分支機構的互連，使用企業內部虛擬網(Intranet VPN)是很好的方式。越來越多的企業需要在全國乃至全世界范圍內建立各種辦事機構、分公司、研究所等，各個分公司之間傳統的網路連接方式一般是租用專線。顯然，在分公司增多、業務范圍越來越廣時，網路結構也趨於復雜，所以花的費用也越來越大。利用VPN特性可以在Internet上組建世界范圍內的Intranet VPN。利用Internet的線路保證網路的互聯性，利用隧道、加密等VPN特性可以保證信息在整個Internet VPN上安全傳輸。
（3）如果提供B2B之間的安全訪問服務，則可以考慮Extranet VPN。
利用VPN技術可以組建安全的Exrranet。既可以向客戶、合作夥伴提供有效的信息服務，又可以保證自身的內部網路安全。Extranet VPN通過一個使用專用連接的共享基礎設施，將客戶，供應商、合作夥伴或興趣群體連接到企業內部網。企業擁有專用網路的相同政策，包括安全、服務質量（QoS）、可管理性和可靠性。
5.3.4 網路加密技術（Ipsec）
IP層是TCP/IP網路中最關鍵的一層，IP作為網路層協議，其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此，IP安全是整個TCP/IP安全的基礎，是網路安全的核心。IPSec提供的安全功能或服務主要包括：
1．訪問控制
2．無連接完整性
3．數據起源認證
4．抗重放攻擊
5．機密性
6．有限的數據流機密性
信息交換加密技術分為兩類：即對稱加密和非對稱加密。
5.3.4.1 對稱加密技術
在對稱加密技術中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密演算法。如果在交換階段私有密鑰未曾泄露，那麼機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足，如果交換一方有N個交換對象，那麼他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密後傳送給對方的。如三重DES是DES（數據加密標准）的一種變形，這種方法使用兩個獨立的56為密鑰對信息進行3次加密，從而使有效密鑰長度達到112位。
5.3.4.2 非對稱加密/公開密鑰加密
在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用於加密，私有密鑰用於解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應於生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用於身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上，是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。
5.3.4.3 RSA演算法
RSA演算法是Rivest、Shamir和Adleman於1977年提出的第一個完善的公鑰密碼體制，其安全性是基於分解大整數的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的演算法來分解兩大素數之積。RSA演算法的描述如下：公開密鑰：n=pq(p、q分別為兩個互異的大素數，p、q必須保密) 與（p-1）(q-1)互素私有密鑰：d=e-1 {mod(p-1)(q-1)} 加密：c=me(mod n),其中m為明文，c為密文。解密：m=cd(mod n) 利用目前已經掌握的知識和理論，分解2048bit的大整數已經超過了64位計算機的運算能力，因此在目前和預見的將來，它是足夠安全的。
5.3.5 身份認證
在一個更為開放的環境中，支持通過網路與其他系統相連，就需要「調用每項服務時需要用戶證明身份，也需要這些伺服器向客戶證明他們自己的身份。」的策略來保護位於伺服器中的用戶信息和資源。
5.3.5.1 認證機構
CA（Certification Authorty）就是這樣一個確保信任度的權威實體，它的主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網路用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA也要採取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的，這不僅與密碼學有關系，而且與整個PKI系統的構架和模型有關。此外，靈活也是CA能否得到市場認同的一個關鍵，它不需支持各種通用的國際標准，能夠很好地和其他廠家的CA產品兼容。
5.3.5.2 注冊機構
RA（Registration Authorty）是用戶和CA的介面，它所獲得的用戶標識的准確性是CA頒發證書的基礎。RA不僅要支持面對面的登記，也必須支持遠程登記。要確保整個PKI系統的安全、靈活，就必須設計和實現網路化、安全的且易於操作的RA系統。
5.3.5.3策略管理
在PKI系統中，制定並實現科學的安全策略管理是非常重要的這些安全策略必須適應不同的需求，並且能通過CA和RA技術融入到CA 和RA的系統實現中。同時，這些策略應該符合密碼學和系統安全的要求，科學地應用密碼學與網路安全的理論，並且具有良好的擴展性和互用性。
5.3.5.4密鑰備份和恢復
為了保證數據的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關繫到整個PKI系統強健性、安全性、可用性的重要因素。
5.3.5.5 證書管理與撤消系統
證書是用來證明證書持有者身份的電子介質，它是用來綁定證書持有者身份和其相應公鑰的。通常，這種綁定在已頒發證書的整個生命周期里是有效的。但是，有時也會出現一個已頒發證書不再有效的情況這就需要進行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用周期性的發布機制撤消證書或採用在線查詢機制，隨時查詢被撤消的證書。
5.3.6多層次多級別的防病毒系統
防病毒產品可以在每個入口點抵禦病毒和惡意小程序的入侵，保護網路中的PC機、伺服器和Internet網關。它有一個功能強大的管理工具，可以自動進行文件更新，使管理和服務作業合理化，並可用來從控制中心管理企業范圍的反病毒安全機制，優化系統性能、解決及預防問題、保護企業免受病毒的攻擊和危害。
防病毒系統設計原則
1．整個系統的實施過程應保持流暢和平穩，做到盡量不影響既有網路系統的正常工作。
2．安裝在原有應用系統上的防毒產品必須保證其穩定性，不影響其它應用的功能。在安裝過程中應盡量減少關閉和重啟整個系統。
3．防病毒系統的管理層次與結構應盡量符合機關自身的管理結構。
4．防病毒系統的升級和部署功能應做到完全自動化，整個系統應具有每日更新的能力。
5．應做到能夠對整個系統進行集中的管理和監控，並能?/cn>

『叄』小妹跪求關於計算機信息管理的論文一篇！！！！

1 緒論

隨著互聯網的飛速發展，網路安全逐漸成為一個潛在的巨大問題。網路安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。
大多數安全性問題的出現都是由於有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網路安全不僅僅是使它沒有編程錯誤。它包括要防範那些聰明的，通常也是狡猾的、專業的，並且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣於作案的老手來說，收效甚微。
網路安全性可以被粗略地分為4個相互交織的部分：保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問，這是人們提到的網路安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來

2 方案目標

本方案主要從網路層次考慮，將網路系統設計成一個支持各級別用戶或用戶群的安全網路，該網在保證系統內部網路安全的同時，還實現與Internet或國內其它網路的安全互連。本方案在保證網路安全可以滿足各種用戶的需求，比如：可以滿足個人的通話保密性，也可以滿足企業客戶的計算機系統的安全保障，資料庫不被非法訪問和破壞，系統不被病毒侵犯，同時也可以防止諸如反動淫穢等有害信息在網上傳播等。
需要明確的是，安全技術並不能杜絕所有的對網路的侵擾和破壞，它的作用僅在於最大限度地防範，以及在受到侵擾的破壞後將損失盡旦降低。具體地說，網路安全技術主要作用有以下幾點：
1．採用多層防衛手段，將受到侵擾和破壞的概率降到最低；
2．提供迅速檢測非法使用和非法初始進入點的手段，核查跟蹤侵入者的活動；
3．提供恢復被破壞的數據和系統的手段，盡量降低損失；
4．提供查獲侵入者的手段。
網路安全技術是實現安全管理的基礎，近年來，網路安全技術得到了迅猛發展，已經產生了十分豐富的理論和實際內容。

3 安全需求

通過對網路系統的風險分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網路系統的機密性、完整性、可用性、可控性與可審查性。即，
可用性：授權實體有權訪問數據
機密性：信息不暴露給未授權實體或進程
完整性：保證數據不被未授權修改
可控性：控制授權范圍內的信息流向及操作方式
可審查性：對出現的安全問題提供依據與手段

訪問控制：需要由防火牆將內部網路與外部不可信任的網路隔離，對與外部網路交換數據的內部網路及其主機、所交換的數據進行嚴格的訪問控制。同樣，對內部網路，由於不同的應用業務以及不同的安全級別，也需要使用防火牆將不同的LAN或網段進行隔離，並實現相互的訪問控制。
數據加密：數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計：是識別與防止網路攻擊行為、追查網路泄密行為的重要措施之一。具體包括兩方面的內容，一是採用網路監控與入侵防範系統，識別網路各種違規操作與攻擊行為，即時響應（如報警）並進行阻斷；二是對信息內容的審計，可以防止內部機密或敏感信息的非法泄漏

4 風險分析

網路安全是網路正常運行的前提。網路安全不單是單點的安全，而是整個信息網的安全，需要從物理、網路、系統、應用和管理方面進行立體的防護。要知道如何防護，首先需要了解安全風險來自於何處。網路安全系統必須包括技術和管理兩方面，涵蓋物理層、系統層、網路層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網路的中斷。根據國內網路系統的網路結構和應用情況，應當從網路安全、系統安全、應用安全及管理安全等方面進行全面地分析。
風險分析是網路安全技術需要提供的一個重要功能。它要連續不斷地對網路中的消息和事件進行檢測，對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網路中所有有關的成分。

5 解決方案

5.1 設計原則
針對網路系統實際情況，解決網路的安全保密問題是當務之急，考慮技術難度及經費等因素，設計時應遵循如下思想：
1．大幅度地提高系統的安全性和保密性；
2．保持網路原有的性能特點，即對網路的協議和傳輸具有很好的透明性；
3．易於操作、維護，並便於自動化管理，而不增加或少增加附加操作；
4．盡量不影響原網路拓撲結構，同時便於系統及系統功能的擴展；
5．安全保密系統具有較好的性能價格比，一次性投資，可以長期使用；
6．安全與密碼產品具有合法性，及經過國家有關管理部門的認可或認證；
7．分步實施原則：分級管理分步實施。
5.2 安全策略
針對上述分析，我們採取以下安全策略：
1．採用漏洞掃描技術，對重要網路設備進行風險評估，保證信息系統盡量在最優的狀況下運行。
2．採用各種安全技術，構築防禦系統，主要有：

(1) 防火牆技術：在網路的對外介面，採用防火牆技術，在網路層進行訪問控制。
(2) NAT技術：隱藏內部網路信息。
(3) VPN：虛擬專用網(VPN)是企業網在網際網路等公共網路上的延伸,通過一個私有的通道在公共網路上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務夥伴等與公司的企業網連接起來，構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網路的存在，彷彿所有的機器都處於一個網路之中。公共網路似乎只由本網路在獨占使用，而事實上並非如此。
(4）網路加密技術(Ipsec) ：採用網路加密技術，對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它可解決網路在公網的數據傳輸安全性問題，也可解決遠程用戶訪問內網的安全問題。
(5) 認證：提供基於身份的認證，並在各種認證機制中可選擇使用。
(6) 多層次多級別的企業級的防病毒系統：採用多層次多級別的企業級的防病毒系統，對病毒實現全面的防護。
(7）網路的實時監測：採用入侵檢測系統，對主機和網路進行監測和預警，進一步提高網路防禦外來攻擊的能力。
3．實時響應與恢復：制定和完善安全管理制度，提高對網路攻擊等實時響應與恢復能力。
4．建立分層管理和各級安全管理中心。
5.3 防禦系統
我們採用防火牆技術、NAT技術、VPN技術、網路加密技術（Ipsec）、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術，構成網路安全的防禦系統。
5.3.1 物理安全
物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
為保證信息網路系統的物理安全，還要防止系統信息在空間的擴散。通常是在物理上採取一定的防護措施，來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。
為保證網路的正常運行，在物理安全方面應採取如下措施：
1．產品保障方面：主要指產品采購、運輸、安裝等方面的安全措施。
2．運行安全方面：網路中的設備，特別是安全類產品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統，應設置備份系統。
3．防電磁輻射方面：所有重要涉密的設備都需安裝防電磁輻射產品，如輻射干擾機。
4．保安方面：主要是防盜、防火等，還包括網路系統所有網路設備、計算機、安全設備的安全防護。
5.3.2 防火牆技術
防火牆是一種網路安全保障手段,是網路通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網路的許可權,並迫使所有的連接都經過這樣的檢查,防止一個需要保護的網路遭外界因素的干擾和破壞。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監視了內部網路和Internet之間地任何活動，保證了內部網路地安全；在物理實現上，防火牆是位於網路特殊位置地以組硬體設備――路由器、計算機或其他特製地硬體設備。防火牆可以是獨立地系統，也可以在一個進行網路互連地路由器上實現防火牆。用防火牆來實現網路安全必須考慮防火牆的網路拓撲結構：

（1）屏蔽路由器：又稱包過濾防火牆。
（2）雙穴主機：雙穴主機是包過濾網關的一種替代。
（3）主機過濾結構：這種結構實際上是包過濾和代理的結合。
（4）屏蔽子網結構：這種防火牆是雙穴主機和被屏蔽主機的變形。
根據防火牆所採用的技術不同,我們可以將它分為四種基本類型:包過濾型、網路地址轉換—NAT、代理型和監測型。
5.3.2.1 包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以「包」為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些「包」是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。
5.3.2.2 網路地址轉化—NAT
網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、注冊的IP地址標准。它允許具有私有IP地址的內部網路訪問網際網路。它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址。在內部網路通過安全網卡訪問外部網路時，將產生一個映射記錄。系統將外出的源地址和源埠映射為一個偽裝的地址和埠，讓這個偽裝的地址和埠通過非安全網卡與外部網路連接，這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網卡訪問內部網路時，它並不知道內部網路的連接情況，而只是通過一個開放的IP地址和埠來請求訪問。OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火牆認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火牆認為該訪問是不安全的，不能被接受，防火牆將屏蔽外部的連接請求。網路地址轉換的過程對於用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。
5.3.2.3 代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統。代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。

5.3.2.4 監測型
監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品,雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆。基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由於這種產品是基於應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄。正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。

相關性：畢業論文,免費畢業論文,大學畢業論文,畢業論文模板
5.3.3 入侵檢測
入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為
是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現：
1．監視、分析用戶及系統活動；
2．系統構造和弱點的審計；
3．識別反映已知進攻的活動模式並向相關人士報警；
4．異常行為模式的統計分析；
5．評估重要系統和數據文件的完整性；

6．操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。
5.4 安全服務
網路是個動態的系統，它的變化包括網路設備的調整，網路配置的變化，各種操作系統、應用程序的變化，管理人員的變化。即使最初制定的安全策略十分可靠，但是隨著網路結構和應用的不斷變化，安全策略可能失效，必須及時進行相應的調整。針對以上問題和網管人員的不足，下面介紹一系列比較重要的網路服務。包括：
1．通信夥伴認證
通信夥伴認證服務的作用是通信夥伴之間相互確庥身份，防止他人插入通信過程。認證一般在通信之前進行。但在必要的時候也可以在通信過程中隨時進行。認證有兩種形式，一種是檢查一方標識的單方認證，一種是通信雙方相互檢查對方標識的相互認證。
通信夥伴認證服務可以通過加密機制，數字簽名機制以及認證機制實現。
2．訪問控制
訪問控制服務的作用是保證只有被授權的用戶才能訪問網路和利用資源。訪問控制的基本原理是檢查用戶標識，口令，根據授予的許可權限制其對資源的利用范圍和程度。例如是否有權利用主機CPU運行程序，是否有權對資料庫進行查詢和修改等等。
訪問控制服務通過訪問控制機制實現。
3．數據保密
數據保密服務的作用是防止數據被無權者閱讀。數據保密既包括存儲中的數據，也包括傳輸中的數據。保密查以對特定文件，通信鏈路，甚至文件中指定的欄位進行。
數據保密服務可以通過加密機制和路由控制機制實現。
4．業務流分析保護
業務流分析保護服務的作用是防止通過分析業務流，來獲取業務量特徵，信息長度以及信息源和目的地等信息。
業務流分析保護服務可以通過加密機制，偽裝業務流機制，路由控制機制實現。

5．數據完整性保護
數據完整性保護服務的作用是保護存儲和傳輸中的數據不被刪除，更改，插入和重復，必要時該服務也可以包含一定的恢復功能。
數據完整性保護服務可以通過加密機制，數字簽名機制以及數據完整性機制實現
6．簽字
簽字服務是用發送簽字的辦法來對信息的接收進行確認，以證明和承認信息是由簽字者發出或接收的。這個服務的作用在於避免通信雙方對信息的來源發生爭議。
簽字服務通過數字簽名機制及公證機制實現。
5.5 安全技術的研究現狀和動向
我國信息網路安全研究歷經了通信保密、數據保護兩個階段，正在進入網路信息安全研究階段，現已開發研製出防火牆、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟體等。但因信息網路安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果，提出系統的、完整的和協同的解決信息網路安全的方案，目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究，各部分相互協同形成有機整體。國際上信息安全研究起步較早，力度大，積累多，應用廣，在70年代美國的網路安全技術基礎理論研究成果「計算機保密模型」（Beu& La pala模型）的基礎上，指定了「
可信計算機系統安全評估准則」（TCSEC），其後又制定了關於網路系統資料庫方面和系列安全解釋，形成了安全信息系統體系結構的准則。

結論

隨著互聯網的飛速發展，網路安全逐漸成為一個潛在的巨大問題。網路安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。
本論文從多方面描述了網路安全的解決方案，目的在於為用戶提供信息的保密，認證和完整性保護機制，使網路中的服務，數據以及系統免受侵擾和破壞。比如防火牆，認證，加密技術等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網路安全問題的解決，可以使讀者有對網路安全技術的更深刻的了解

『肆』如何打開或關閉信息中心的調試/日誌/告警等顯示信息

系統日誌源自航海日誌：當人們出海遠行的時候，總是要做好航海日誌，以便為以後的工作做出依據。日誌文件作為微軟Windows系列操作系統中的一個比較特殊的文件，在安全方面具有無可替代的價值。日誌每天為我們忠實的記錄著系統所發生一切，利用系統日誌文件，可以使系統管理員快速對潛在的系統入侵作出記錄和預測，但遺憾的是目前絕大多數的人都忽略了它的存在。反而是因為黑客們光臨才會使我們想起這個重要的系統日誌文件。7.1日誌文件的特殊性要了解日誌文件，首先就要從它的特殊性講起，說它特殊是因為這個文件由系統管理，並加以保護，一般情況下普通用戶不能隨意更改。我們不能用針對普通TXT文件的編輯方法來編輯它。例如WPS系列、Word系列、寫字板、Edit等等，都奈何它不得。我們甚至不能對它進行「重命名」或「刪除」、「移動」操作，否則系統就會很不客氣告訴你:訪問被拒絕。當然，在純DOS的狀態下，可以對它進行一些常規操作(例如Win98狀態下)，但是你很快就會發現，你的修改根本就無濟於事，當重新啟動Windows98時，系統將會自動檢查這個特殊的文本文件，若不存在就會自動產生一個；若存在的話，將向該文本追加日誌記錄。7.1.1黑客為什麼會對日誌文件感興趣黑客們在獲得伺服器的系統管理員許可權之後就可以隨意破壞系統上的文件了，包括日誌文件。但是這一切都將被系統日誌所記錄下來，所以黑客們想要隱藏自己的入侵蹤跡，就必須對日誌進行修改。最簡單的方法就是刪除系統日誌文件，但這樣做一般都是初級黑客所為，真正的高級黑客們總是用修改日誌的方法來防止系統管理員追蹤到自己，網路上有很多專門進行此類功能的程序，例如Zap、Wipe等。7.1.2Windows系列日誌系統簡介1.Windows98的日誌文件因目前絕大多數的用戶還是使用的操作系統是Windows98，所以本節先從Windows98的日誌文件講起。Windows98下的普通用戶無需使用系統日誌，除非有特殊用途，例如，利用Windows98建立個人Web伺服器時，就會需要啟用系統日誌來作為伺服器安全方面的參考，當已利用Windows98建立個人Web伺服器的用戶，可以進行下列操作來啟用日誌功能。(1)在「控制面板」中雙擊「個人Web伺服器」圖標；(必須已經在配置好相關的網路協議，並添加「個人Web伺服器」的情況下)。(2)在「管理」選項卡中單擊「管理」按鈕；(3)在「Internet服務管理員」頁中單擊「WWW管理」；(4)在「WWW管理」頁中單擊「日誌」選項卡；(5)選中「啟用日誌」復選框，並根據需要進行更改。將日誌文件命名為「Inetserver_event.log」。如果「日誌」選項卡中沒有指定日誌文件的目錄，則文件將被保存在Windows文件夾中。普通用戶可以在Windows98的系統文件夾中找到日誌文件schedlog.txt。我們可以通過以下幾種方法找到它。在「開始」/「查找」中查找到它，或是啟動「任務計劃程序」，在「高級」菜單中單擊「查看日誌」來查看到它。Windows98的普通用戶的日誌文件很簡單，只是記錄了一些預先設定的任務運行過程，相對於作為伺服器的NT操作系統，真正的黑客們很少對Windows98發生興趣。所以Windows98下的日誌不為人們所重視。2.WindowsNT下的日誌系統WindowsNT是目前受到攻擊較多的操作系統，在WindowsNT中，日誌文件幾乎對系統中的每一項事務都要做一定程度上的審計。WindowsNT的日誌文件一般分為三類：系統日誌：跟蹤各種各樣的系統事件，記錄由WindowsNT的系統組件產生的事件。例如，在啟動過程載入驅動程序錯誤或其它系統組件的失敗記錄在系統日誌中。應用程序日誌：記錄由應用程序或系統程序產生的事件，比如應用程序產生的裝載dll(動態鏈接庫)失敗的信息將出現在日誌中。安全日誌：記錄登錄上網、下網、改變訪問許可權以及系統啟動和關閉等事件以及與創建、打開或刪除文件等資源使用相關聯的事件。利用系統的「事件管理器」可以指定在安全日誌中記錄需要記錄的事件，安全日誌的默認狀態是關閉的。WindowsNT的日誌系統通常放在下面的位置，根據操作系統的不同略有變化。C:\systemroot\system32\config\sysevent.evtC:\systemroot\system32\config\secevent.evtC:\systemroot\system32\config\appevent.evtWindowsNT使用了一種特殊的格式存放它的日誌文件，這種格式的文件可以被事件查看器讀取，事件查看器可以在「控制面板」中找到，系統管理員可以使用事件查看器選擇要查看的日誌條目，查看條件包括類別、用戶和消息類型。3.Windows2000的日誌系統與WindowsNT一樣，Windows2000中也一樣使用「事件查看器」來管理日誌系統，也同樣需要用系統管理員身份進入系統後方可進行操作，如圖7-1所示。圖7-1在Windows2000中，日誌文件的類型比較多，通常有應用程序日誌，安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌等等，可能會根據伺服器所開啟的服務不同而略有變化。啟動Windows2000時，事件日誌服務會自動啟動，所有用戶都可以查看「應用程序日誌」，但是只有系統管理員才能訪問「安全日誌」和「系統日誌」。系統默認的情況下會關閉「安全日誌」，但我們可以使用「組策略」來啟用「安全日誌」開始記錄。安全日誌一旦開啟，就會無限制的記錄下去，直到裝滿時停止運行。Windows2000日誌文件默認位置：應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置：%systemroot%\system32\config，默認文件大小512KB，但有經驗的系統管理員往往都會改變這個默認大小。安全日誌文件：c:\systemroot\system32\config\SecEvent.EVT系統日誌文件：c:\systemroot\system32\config\SysEvent.EVT應用程序日誌文件：c:\systemroot\system32\config\AppEvent.EVTInternet信息服務FTP日誌默認位置：c:\systemroot\system32\logfiles\msftpsvc1\。Internet信息服務WWW日誌默認位置：c:\systemroot\system32\logfiles\w3svc1\。Scheler伺服器日誌默認位置：c:\systemroot\schedlgu.txt。該日誌記錄了訪問者的IP，訪問的時間及請求訪問的內容。因Windows2000延續了NT的日誌文件，並在其基礎上又增加了FTP和WWW日誌，故本節對FTP日誌和WWW日誌作一個簡單的講述。FTP日誌以文本形式的文件詳細地記錄了以FTP方式上傳文件的文件、來源、文件名等等。不過由於該日誌太明顯，所以高級黑客們根本不會用這種方法來傳文件，取而代之的是使用RCP。FTP日誌文件和WWW日誌文件產生的日誌一般在c:\systemroot\system32\LogFiles\W3SVC1目錄下，默認是每天一個日誌文件，FTP和WWW日誌可以刪除，但是FTP日誌所記錄的一切還是會在系統日誌和安全日誌里記錄下來，如果用戶需要嘗試刪除這些文件，通過一些並不算太復雜的方法，例如首先停止某些服務，然後就可以將該日誌文件刪除。具體方法本節略。Windows2000中提供了一個叫做安全日誌分析器(CyberSafeLogAnalyst，CLA)的工具，有很強的日誌管理功能，它可以使用戶不必在讓人眼花繚亂的日誌中慢慢尋找某條記錄，而是通過分類的方式將各種事件整理好，讓用戶能迅速找到所需要的條目。它的另一個突出特點是能夠對整個網路環境中多個系統的各種活動同時進行分析，避免了一個個單獨去分析的麻煩。4.WindowsXP日誌文件說WindowsXP的日誌文件，就要先說說Internet連接防火牆(ICF)的日誌，ICF的日誌可以分為兩類：一類是ICF審核通過的IP數據包，而一類是ICF拋棄的IP數據包。日誌一般存於Windows目錄之下，文件名是pfirewall.log。其文件格式符合W3C擴展日誌文件格式(W3CExtendedLogFileFormat)，分為兩部分，分別是文件頭(HeadInformation)和文件主體(BodyInformation)。文件頭主要是關於Pfirewall.log這個文件的說明，需要注意的主要是文件主體部分。文件主體部分記錄有每一個成功通過ICF審核或者被ICF所拋棄的IP數據包的信息，包括源地址、目的地址、埠、時間、協議以及其他一些信息。理解這些信息需要較多的TCP/IP協議的知識。ICF生成安全日誌時使用的格式是W3C擴展日誌文件格式，這與在常用日誌分析工具中使用的格式類似。當我們在WindowsXP的「控制面板」中，打開事件查看器，如圖7-2所示。就可以看到WindowsXP中同樣也有著系統日誌、安全日誌和應用日誌三種常見的日誌文件，當你單擊其中任一文件時，就可以看見日誌文件中的一些記錄，如圖7-3所示。圖7-2圖7-3在高級設備中，我們還可以進行一些日誌的文件存放地址、大小限制及一些相關操作，如圖7-4所示。圖7-4若要啟用對不成功的連接嘗試的記錄，請選中「記錄丟棄的數據包」復選框，否則禁用。另外，我們還可以用金山網鏢等工具軟體將「安全日誌」導出和被刪除。5.日誌分析當日誌每天都忠實的為用戶記錄著系統所發生的一切的時候，用戶同樣也需要經常規范管理日誌，但是龐大的日誌記錄卻又令用戶茫然失措，此時，我們就會需要使用工具對日誌進行分析、匯總，日誌分析可以幫助用戶從日誌記錄中獲取有用的信息，以便用戶可以針對不同的情況採取必要的措施。7.2系統日誌的刪除因操作系統的不同，所以日誌的刪除方法也略有變化，本文從Windows98和Windows2000兩種有明顯區別的操作系統來講述日誌的刪除。7.2.1Windows98下的日誌刪除在純DOS下啟動計算機，用一些常用的修改或刪除命令就可以消除Windows98日誌記錄。當重新啟動Windows98後，系統會檢查日誌文件的存在，如果發現日誌文件不存在，系統將自動重建一個，但原有的日誌文件將全部被消除。7.2.2Windows2000的日誌刪除Windows2000的日誌可就比Windows98復雜得多了，我們知道，日誌是由系統來管理、保護的，一般情況下是禁止刪除或修改，而且它還與注冊表密切相關。在Windows2000中刪除日誌首先要取得系統管理員許可權，因為安全日誌和系統日誌必須由系統管理員方可查看，然後才可以刪除它們。我們將針對應用程序日誌，安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌的刪除做一個簡單的講解。要刪除日誌文件，就必須停止系統對日誌文件的保護功能。我們可以使用命令語句來刪除除了安全日誌和系統日誌外的日誌文件，但安全日誌就必須要使用系統中的「事件查看器」來控制它，打開「控制面板」的「管理工具」中的「事件查看器」。在菜單的「操作」項有一個名為「連接到另一台計算機」的菜單，點擊它如圖7-5所示。圖7-5輸入遠程計算機的IP，然後需要等待，選擇遠程計算機的安全性日誌，點擊屬性里的「清除日誌」按鈕即可。7.3發現入侵蹤跡如何當入侵者企圖或已經進行系統的時候，及時有效的發現蹤跡是目前防範入侵的熱門話題之一。發現入侵蹤跡的前題就是應該有一個入侵特徵資料庫，我們一般使用系統日誌、防火牆、檢查IP報頭(IPheader)的來源地址、檢測Email的安全性以及使用入侵檢測系統(IDS)等來判斷是否有入侵跡象。我們先來學習一下如何利用埠的常識來判斷是否有入侵跡象：電腦在安裝以後，如果不加以調整，其默認開放的埠號是139，如果不開放其它埠的話，黑客正常情況下是無法進入系統的。如果平常系統經常進行病毒檢查的話，而突然間電腦上網的時候會感到有反應緩慢、滑鼠不聽使喚、藍屏、系統死機及其它種種不正常的情況，我們就可以判斷有黑客利用電子信件或其它方法在系統中植入的特洛伊木馬。此時，我們就可以採取一些方法來清除它，具體方法在本書的相關章節可以查閱。7.3.1遭受入侵時的跡象入侵總是按照一定的步驟在進行，有經驗的系統管理員完全可以通過觀察到系統是否出現異常現象來判斷入侵的程度。1.掃描跡象當系統收到連續、反復的埠連接請求時，就可能意味著入侵者正在使用埠掃描器對系統進行外部掃描。高級黑客們可能會用秘密掃描工具來躲避檢測，但實際上有經驗的系統管理員還是可以通過多種跡象來判斷一切。2.利用攻擊當入侵者使用各種程序對系統進行入侵時，系統可能報告出一些異常情況，並給出相關文件(IDS常用的處理方法)，當入侵者入侵成功後，系統總會留下或多或少的破壞和非正常訪問跡象，這時就應該發現系統可能已遭遇入侵。3.DoS或DDoS攻擊跡象這是當前入侵者比較常用的攻擊方法，所以當系統性能突然間發生嚴重下降或完全停止工作時，應該立即意識到，有可能系統正在遭受拒絕服務攻擊，一般的跡象是CPU佔用率接近90%以上，網路流量緩慢、系統出現藍屏、頻繁重新啟動等。7.3.2合理使用系統日誌做入侵檢測系統日誌的作用和重要性大家通過上幾節的講述，相信明白了不少，但是雖然系統自帶的日誌完全可以告訴我們系統發生的任何事情，然而，由於日誌記錄增加得太快了，最終使日誌只能成為浪費大量磁碟空間的垃圾，所以日誌並不是可以無限制的使用，合理、規范的進行日誌管理是使用日誌的一個好方法，有經驗的系統管理員就會利用一些日誌審核工具、過濾日誌記錄工具，解決這個問題。要最大程度的將日誌文件利用起來，就必須先制定管理計劃。1.指定日誌做哪些記錄工作？2.制定可以得到這些記錄詳細資料的觸發器。7.3.3一個比較優秀的日誌管理軟體要想迅速的從繁多的日誌文件記錄中查找到入侵信息，就要使用一些專業的日誌管理工具。SurfstatsLogAnalyzer4.6就是這么一款專業的日誌管理工具。網路管理員通過它可以清楚的分析「log」文件，從中看出網站目前的狀況，並可以從該軟體的「報告」中，看出有多少人來過你的網站、從哪裡來、在系統中大量地使用了哪些搜尋字眼，從而幫你准確地了解網站狀況。這個軟體最主要的功能有：1、整合了查閱及輸出功能，並可以定期用屏幕、文件、FTP或E-mail的方式輸出結果；2.可以提供30多種匯總的資料；3.能自動偵測文件格式，並支持多種通用的log文件格式，如MSIIS的W3Extendedlog格式；4.在「密碼保護」的目錄里，增加認證(Authenticated)使用者的分析報告；5.可按每小時、每星期、或每月的模式來分析；6.DNS資料庫會儲存解析(Resolved)的IP地址；7.每個分析的畫面都可以設定不同的背景、字型、顏色。發現入侵蹤跡的方法很多，如入侵檢測系統IDS就可以很好的做到這點。下一節我們將講解詳細的講解入侵檢測系統。7.4做好系統入侵檢測7.4.1什麼是入侵檢測系統在人們越來越多和網路親密接觸的同時，被動的防禦已經不能保證系統的安全，針對日益繁多的網路入侵事件，我們需要在使用防火牆的基礎上選用一種協助防火牆進行防患於未然的工具，這種工具要求能對潛在的入侵行為作出實時判斷和記錄，並能在一定程度上抗擊網路入侵，擴展系統管理員的安全管理能力，保證系統的絕對安全性。使系統的防範功能大大增強，甚至在入侵行為已經被證實的情況下，能自動切斷網路連接，保護主機的絕對安全。在這種情形下，入侵檢測系統IDS(IntrusionDetectionSystem)應運而生了。入侵檢測系統是基於多年對網路安全防範技術和黑客入侵技術的研究而開發的網路安全產品它能夠實時監控網路傳輸，自動檢測可疑行為，分析來自網路外部入侵信號和內部的非法活動，在系統受到危害前發出警告，對攻擊作出實時的響應，並提供補救措施，最大程度地保障系統安全。NestWatch這是一款運行於WindowsNT的日誌管理軟體，它可以從伺服器和防火牆中導入日誌文件，並能以HTML的方式為系統管理員提供報告。7.4.2入侵檢測系統和日誌的差異系統本身自帶的日誌功能可以自動記錄入侵者的入侵行為，但它不能完善地做好入侵跡象分析記錄工作，而且不能准確地將正常的服務請求和惡意的入侵行為區分開。例如，當入侵者對主機進行CGI掃描時，系統安全日誌能提供給系統管理員的分析數據少得可憐，幾乎全無幫助，而且安全日誌文件本身的日益龐大的特性，使系統管理員很難在短時間內利用工具找到一些攻擊後所遺留下的痕跡。入侵檢測系統就充分的將這一點做的很好，利用入侵檢測系統提供的報告數據，系統管理員將十分輕松的知曉入侵者的某些入侵企圖，並能及時做好防範措施。7.4.3入侵檢測系統的分類目前入侵檢測系統根據功能方面，可以分為四類：1.系統完整性校驗系統(SIV)SIV可以自動判斷系統是否有被黑客入侵跡象，並能檢查是否被系統入侵者更改了系統文件，以及是否留有後門(黑客們為了下一次光顧主機留下的)，監視針對系統的活動(用戶的命令、登錄/退出過程，使用的數據等等)，這類軟體一般由系統管理員控制。2.網路入侵檢測系統(NIDS)NIDS可以實時的對網路的數據包進行檢測，及時發現埠是否有黑客掃描的跡象。監視計算機網路上發生的事件，然後對其進行安全分析，以此來判斷入侵企圖；分布式IDS通過分布於各個節點的感測器或者代理對整個網路和主機環境進行監視，中心監視平台收集來自各個節點的信息監視這個網路流動的數據和入侵企圖。3.日誌分析系統(LFM)日誌分析系統對於系統管理員進行系統安全防範來說，非常重要，因為日誌記錄了系統每天發生的各種各樣的事情，用戶可以通過日誌記錄來檢查錯誤發生的原因，或者受到攻擊時攻擊者留下的痕跡。日誌分析系統的主要功能有：審計和監測、追蹤侵入者等。日誌文件也會因大量的記錄而導致系統管理員用一些專業的工具對日誌或者報警文件進行分析。此時，日誌分析系統就可以起作用了，它幫助系統管理員從日誌中獲取有用的信息，使管理員可以針對攻擊威脅採取必要措施。4.欺騙系統(DS)普通的系統管理員日常只會對入侵者的攻擊作出預測和識別，而不能進行反擊。但是欺騙系統(DS)可以幫助系統管理員做好反擊的鋪墊工作，欺騙系統(DS)通過模擬一些系統漏洞來欺騙入侵者，當系統管理員通過一些方法獲得黑客企圖入侵的跡象後，利用欺騙系統可以獲得很好的效果。例如重命名NT上的administrator賬號，然後設立一個沒有許可權的虛假賬號讓黑客來攻擊，在入侵者感覺到上當的時候，管理員也就知曉了入侵者的一舉一動和他的水平高低。7.4.4入侵檢測系統的檢測步驟入侵檢測系統一般使用基於特徵碼的檢測方法和異常檢測方法，在判斷系統是否被入侵前，入侵檢測系統首先需要進行一些信息的收集。信息的收集往往會從各個方面進行。例如對網路或主機上安全漏洞進行掃描，查找非授權使用網路或主機系統的企圖，並從幾個方面來判斷是否有入侵行為發生。檢測系統接著會檢查網路日誌文件，因為黑客非常容易在會在日誌文件中留下蛛絲馬跡，因此網路日誌文件信息是常常作為系統管理員檢測是否有入侵行為的主要方法。取得系統管理權後，黑客們最喜歡做的事，就是破壞或修改系統文件，此時系統完整性校驗系統(SIV)就會迅速檢查系統是否有異常的改動跡象，從而判斷入侵行為的惡劣程度。將系統運行情況與常見的入侵程序造成的後果數據進行比較，從而發現是否被入侵。例如：系統遭受DDoS分布式攻擊後，系統會在短時間內性能嚴重下降，檢測系統此時就可以判斷已經被入侵。入侵檢測系統還可以使用一些系統命令來檢查、搜索系統本身是否被攻擊。當收集到足夠的信息時，入侵檢測系統就會自動與本身資料庫中設定的已知入侵方式和相關參數匹配，檢測准確率相當的高，讓用戶感到不方便的是，需要不斷的升級資料庫。否則，無法跟上網路時代入侵工具的步伐。入侵檢測的實時保護功能很強，作為一種「主動防範」的檢測技術，檢測系統能迅速提供對系統攻擊、網路攻擊和用戶誤操作的實時保護，在預測到入侵企圖時本身進行攔截和提醒管理員預防。7.4.5發現系統被入侵後的步驟1.仔細尋找入侵者是如何進入系統的，設法堵住這個安全漏洞。2.檢查所有的系統目錄和文件是否被篡改過，盡快修復。3.改變系統中的部分密碼，防止再次因密碼被暴力破解而生產的漏洞。7.4.6常用入侵檢測工具介紹1.NetProwler作為世界級的互聯網安全技術廠商，賽門鐵克公司的產品涉及到網路安全的方方面面，特別是在安全漏洞檢測、入侵檢測、互聯網內容/電子郵件過濾、遠程管理技術和安全服務方面，賽門鐵克的先進技術的確讓人驚嘆！NetProwler就是一款賽門鐵克基於網路入侵檢測開發出的工具軟體，NetProwler採用先進的擁有專利權的動態信號狀態檢測(SDSI)技術，使用戶能夠設計獨特的攻擊定義。即使最復雜的攻擊也可以由它直觀的攻擊定義界面產生。(1)NetProwler的體系結構NetProwler具有多層體系結構，由Agent、Console和Manager三部分組成。Agent負責監視所在網段的網路數據包。將檢測到的攻擊及其所有相關數據發送給管理器，安裝時應與企業的網路結構和安全策略相結合。Console負責從代理處收集信息，顯示所受攻擊信息，使你能夠配置和管理隸屬於某個管理器的代理。Manager對配置和攻擊警告信息響應，執行控制台發布的命令，將代理發出的攻擊警告傳遞給控制台。當NetProwler發現攻擊時，立即會把攻擊事件記入日誌並中斷網路連接、創建一個報告，用文件或E-mail通知系統管理員，最後將事件通知主機入侵檢測管理器和控制台。(2)NetProwler的檢測技術NetProwler採用具有專利技術的SDSI(狀態化的動態特徵檢測)入侵檢測技術。在這種設計中，每個攻擊特徵都是一組指令集，這些指令是由SDSI虛處理器通過使用一個高速緩存入口來描述目前用戶狀態和當前從網路上收到數據包的法執行。每一個被監測的網路伺服器都有一個小的相關攻擊特徵集，這些攻擊特徵集都是基於伺服器的操作和伺服器所支持的應用而建立的。Stateful根據監視的網路傳輸內容，進行上下文比較，能夠對復雜事件進行有效的分析和記錄基於SDSI技術的NetProwler工作過程如下：第一步：SDSI虛擬處理器從網路數據中獲取當今的數據包；第二步：把獲取的數據包放入屬於當前用戶或應用會話的狀態緩沖中；第三步：從特別為優化伺服器性能的特徵緩沖中執行攻擊特徵；第四步：當檢測到某種攻擊時，處理器立即觸發響應模塊，以執行相應的響應措施。(3)NetProwler工作模式因為是網路型IDS，所以NetProwler根據不同的網路結構，其數據採集部分(即代理)有多種不同的連接形式：如果網段用匯流排式的集線器相連，則可將其簡單的接在集線器的一個埠上即可。(4)系統安裝要求用戶將NetProwlerAgent安裝在一台專門的WindowsNT工作站上，如果NetProwler和其他應用程序運行在同一台主機上，則兩個程序的性能都將受到嚴重影響。網路入侵檢測系統佔用大量的資源，因此製造商一般推薦使用專門的系統運行驅動引擎，要求它有128MRAM和主頻為400MHz的IntelPentiumII或Pentium私密日誌獨立密碼就是在你寫的私密日誌里又加了一層密碼，即便是主人想打開自己寫的私密日誌也需要密碼，打上密碼就可以打開自己的私密日誌了，如果想要關閉的話，在私密日誌的上方會有，如果你設置了私密日誌密碼，就點「關閉私密日誌獨立密碼」就可以了，以後你再打開私密日誌的話就不需要密碼了。

『伍』網際網路防火牆技術，不少於一千字，論文

隨著internet的迅猛發展，安全性已經成為網路互聯技術中最關鍵的問題。本文——計算機與信息技術論文Internet防火牆技術綜述，全面介紹了internet防火牆技術與產品的發展歷程；詳細剖析了第四代防火牆的功能特色、關鍵技術、實現方法及抗攻擊能力；同時簡要描述了internet防火牆技術的發展趨勢。

關鍵詞：internet 網路安全防火牆過濾地址轉換

1．引言

防火牆技術是建立在現代通信網路技術和信息安全技術基礎上的應用性安全技術，越來越多地應用於專用網路與公用網路的互連環境之中，尤以internet網路為最甚。internet的迅猛發展，使得防火牆產品在短短的幾年內異軍突起，很快形成了一個產業：1995年，剛剛面市的防火牆技術產品市場量還不到1萬套；到1996年底，就猛增到10萬套；據國際權威商業調查機構的預測，防火牆市場將以173%的復合增長率增長，今年底將達到150萬套，市場營業額將從1995年的�1.6�億美元上升到今年的9.8億美元。�

為了更加全面地了解internet防火牆及其發展過程，特別是第四代防火牆的技術特色，我們非常有必要從產品和技術角度對防火牆技術的發展演變做一個詳細的考察。�

2. internet防火牆技術簡介�

防火牆原是指建築物大廈用來防止火災蔓延的隔斷牆。從理論上講，internet防火牆服務也屬於類似的用來防止外界侵入的。它可以防
止internet上的各種危險(病毒、資源盜用等)傳播到你的網路內部。而事實上，防火牆並不像現實生活中的防火牆，它有點像古代守護城池用的護城河，服務於以下多個目的：�
1)限定人們從一個特定的控制點進入；�
2)限定人們從一個特定的點離開；�
3)防止侵入者接近你的其他防禦設施；�
4)有效地阻止破壞者對你的計算機系統進行破壞。�
在現實生活中，internet防火牆常常被安裝在受保護的內部網路上並接入internet。

所有來自internet的傳輸信息或你發出的信息都必須經過防火牆。這樣，防火牆就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。從邏輯上講，防火牆是起分隔、限制、分析的作用，這一點同樣可以從圖1中體會出來。那麼，防火牆究竟是什麼呢?實際上，防火牆是加強internet(內部網)之間安全防禦的一個或一組系統，它由一組硬體設備(包括路由器、伺服器)及相應軟體構成。3. 防火牆技術與產品發展的回顧�

防火牆是網路安全策略的有機組成部分，它通過控制和監測網路之間的信息交換和訪問行為來實現對網路安全的有效管理。從總體上看，防火牆應該具有以下五大基本功能：�
●過濾進、出網路的數據；�
●管理進、出網路的訪問行為；�
●封堵某些禁止行為；�
●記錄通過防火牆的信息內容和活動；�
●對網路攻擊進行檢測和告警。�

為實現以上功能，在防火牆產品的開發中，人們廣泛地應用了網路拓撲、計算機操作系統、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段。縱觀防火牆近年來的發展，可以將其劃分為如下四個階段(即四代)。�

3.1 基於路由器的防火牆�

由於多數路由器本身就包含有分組過濾功能，故網路訪問控制可能通過路控制來實現，從而使具有分組過濾功能的路由器成為第一代防火牆產品。第一代防火牆產品的特點是：�
1)利用路由器本身對分組的解析，以訪問控製表(access list)方式實現對分組的過濾；�
2)過濾判斷的依據可以是：地址、埠號、ip旗標及其他網路特徵；�
3)只有分組過濾的功能，且防火牆與路由器是一體的。這樣，對安全要求低的網路可以採用路由器附帶防火牆功能的方法，而對安全性要求高的網路則需要單獨利用一台路由器作為防火牆。�

第一代防火牆產品的不足之處十分明顯，具體表現為：�

●路由協議十分靈活，本身具有安全漏洞，外部網路要探尋內部網路十分容易。例如，在使用Ftp協議時，外部伺服器容易從20號埠上與內部網相連，即使在路由器上設置了過濾規則，內部網路的20號埠仍可以由外部探尋。�
●路由器上分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分復雜，它涉及到規則的邏輯一致性。作用埠的有效性和規則集的正確性，一般的網路系統管理員難於勝任，加之一旦出現新的協議，管理員就得加上更多的規則去限制，這往往會帶來很多錯誤。�
●路由器防火牆的最大隱患是：攻擊者可以「假冒」地址。由於信息在網路上是以明文方式傳送的，黑客(hacker)可以在網路上偽造假的路由信息欺騙防火牆。�
●路由器防火牆的本質缺陷是：由於路由器的主要功能是為網路訪問提供動態的、靈活的路由，而防火牆則要對訪問行為實施靜態的、固態的控制，這是一對難以調和的矛盾，防火牆的規則設置會大大降低路由器的性能。
�
可以說基於路由器的防火牆技術只是網路安全的一種應急措施，用這種權宜之計去對付黑客的攻擊是十分危險的。

3.2 用戶化的防火牆工具套�

為了彌補路由器防火牆的不足，很多大型用戶紛紛要求以專門開發的防火牆系統來保護自己的網路，從而推動了用戶防火牆工具套的出現。�
作為第二代防火牆產品，用戶化的防火牆工具套具有以下特徵：�
1)將過濾功能從路由器中獨立出來，並加上審計和告警功能；�
2)針對用戶需求，提供模塊化的軟體包；�
3)軟體可以通過網路發送，用戶可以自己動手構造防火牆；�
4)與第一代防火牆相比，安全性提高了，價格也降低了。�

由於是純軟體產品，第二代防火牆產品無論在實現上還是在維護上都對系統管理員提出了相當復雜的要求，並帶來以下問題：�
配置和維護過程復雜、費時；�
對用戶的技術要求高；�
全軟體實現，使用中出現差錯的情況很多。�

3.3 建立在通用操作系統上的防火牆�

基於軟體的防火牆在銷售、使用和維護上的問題迫使防火牆開發商很快推出了建立在通用操作系統上的商用防火牆產品。近年來市場上廣泛使用的就是這一代產品，它們具有如下一些特點：�
1)是批量上市的專用防火牆產品；�
2)包括分組過濾或者借用路由器的分組過濾功能；�
3)裝有專用的代理系統，監控所有協議的數據和指令；�
4)保護用戶編程空間和用戶可配置內核參數的設置；
5)安全性和速度大大提高。�

第三代防火牆有以純軟體實現的，也有以硬體方式實現的，它們已經得到了廣大用戶的認同。但隨著安全需求的變化和使用時間的推延，仍表現出不少問題，比如：�
1)作為基礎的操作系統及其內核往往不為防火牆管理者所知，由於源碼的保密，其安全性無從保證；�
2)由於大多數防火牆廠商並非通用操作系統的廠商，通用操作系統廠商不會對操作系統的安全性負責；�
3)從本質上看，第三代防火牆既要防止來自外部網路的攻擊，還要防止來自操作系統廠商的攻擊；�
4)在功能上包括了分組過濾、應用網關、電路級網關且具有加密鑒別功能；�
5)透明性好，易於使用。�

4. 第四代防火牆的主要技術及功能�

第四代防火牆產品將網關與安全系統合二為一，具有以下技術功能。�

4.1 雙埠或三埠的結構�

新一代防火牆產品具有兩個或三個獨立的網卡，內外兩個網卡可不做ip轉化而串接於內部與外部之間，另一個網卡可專用於對伺服器的安全保護。
�

4.2 透明的訪問方式�

以前的防火牆在訪問方式上要麼要求用戶做系統登錄，要麼需通過socks等庫路徑修改客戶機的應用。第四代防火牆利用了透明的代理系統技術，從而降低了系統登錄固有的安全風險和出錯概率。�

4.3 靈活的代理系統�

代理系統是一種將信息從防火牆的一側傳送到另一側的軟體模塊，第四代防火牆採用了兩種代理機制：一種用於代理從內部網路到外部網路的連接；另一種用於代理從外部網路到內部網路的連接。前者採用網路地址轉接(nit)技術來解決，後者採用非保密的用戶定製代理或保密的代理系統技術來解決。�

4.4 多級過濾技術�

為保證系統的安全性和防護水平，第四代防火牆採用了三級過濾措施，並輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒ip地址；在應用級網關一級，能利用Ftp、smtp等各種網關，控制和監測internet提供的所有通用服務；在電路網關一級，實現內部主機與外部站點的透明連接，並對服務的通行實行嚴格控制。�

4.5 網路地址轉換技術�

第四代防火牆利用nat技術能透明地對所有內部地址做轉換，使得外部網路無法了解內部網路的內部結構，同時允許內部網路使用自己編的ip源地址和專用網路，防火牆能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。�

4.6 internet網關技術�

由於是直接串聯在網路之中，第四代防火牆必須支持用戶在internet互聯的所有服務，同時還要防止與internet服務有關的安全漏洞，故它要能夠以多種安全的應用伺服器(包括ftp、finger、mail、ident、news、www等)來實現網關功能。為確保伺服器的安全性，對所有的文件和命令均要利用「改變根系統調用(chroot)」做物理上的隔離。�

在域名服務方面，第四代防火牆採用兩種獨立的域名伺服器：一種是內部dns伺服器，主要處理內部網路和dns信息；另一種是外部dns伺服器，專門用於處理機構內部向internet提供的部分dns信息。在匿名ftp方面，伺服器只提供對有限的受保護的部分目錄的只讀訪問。在www伺服器中，只支持靜態的網頁，而不允許圖形或cgi代碼等在防火牆內運行。在finger伺服器中，對外部訪問，防火牆只提可由內部用戶配置的基本的文本信息，而不提供任何與攻擊有關的系統信息。smtp與pop郵件伺服器要對所有進、出防火牆的郵件做處理，並利用郵件映射與標頭剝除的方法隱除內部的郵件環境。ident伺服器對用戶連接的識別做專門處理，網路新聞服務則為接收來自isp的新聞開設了專門的磁碟空間。

4.7 安全伺服器網路(ssn)�

為了適應越來越多的用戶向internet上提供服務時對伺服器的需要，第四代防火牆採用分別保護的策略對用戶上網的對外伺服器實施保護，它利用一張網卡將對外伺服器作為一個獨立網路處理，對外伺服器既是內部網路的一部分，又與內部網關完全隔離，這就是安全伺服器網路(ssn)技術。而對ssn上的主機既可單獨管理，也可設置成通過Ftp、tnlnet等方式從內部網上管理。�

ssn方法提供的安全性要比傳統的「隔離區(dmz)」方法好得多，因為ssn與外部網之間有防火牆保護，ssn與風部網之間也有防火牆的保護，而dmz只是一種在內、外部網路網關之間存在的一種防火牆方式。換言之，一旦ssn受破壞，內部網路仍會處於防火牆的保護之下，而一旦dmz受到破壞，內部網路便暴露於攻擊之下。�

4.8 用戶鑒別與加密�

為了減低防火牆產品在tnlnet、ftp等服務和遠程管理上的安全風險，鑒別功能必不可少。第四代防火牆採用一次性使用的口令系統來作為用戶的鑒別手段，並實現了對郵件的加密。�

4.9 用戶定製服務�

為了滿足特定用戶的特定需求，第四代防火牆在提供眾多服務的同時，還為用戶定製提供支持，這類選項有：通用tcp、出站udp、ftp、smtp等，如果某一用戶需要建立一個資料庫的代理，便可以利用這些支持，方便設置。�

4.10 審計和告警�

第四代防火牆產品採用的審計和告警功能十分健全，日誌文件包括：一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日誌、進站代理、ftp代理、出站代理、郵件伺服器、名伺服器等。告警功能會守住每一個tcp或udp探尋，並能以發出郵件、聲響等多種方式報警。�

此外，第四代防火牆還在網路診斷、數據備份保全等方面具有特色。�

5．第四代防火牆技術的實現方法

在第四代防火牆產品的設計與開發中，安全內核、代理系統、多級過濾、安全伺服器、鑒別與加密是關鍵所在。�

5.1 安全內核的實現�

第四代防火牆是建立在安全操作系統之上的，安全操作系統來自對專用操作系統的安全加固和改造，從現在的諸多產品看，對安全操作系統內核的固化與改造主要從以下幾個方面進行：�
1)取消危險的系統調用；�
2)限制命令的執行許可權；�
3)取消ip的轉發功能；�
4)檢查每個分組的介面；�
5)採用隨機連接序號；�
6)駐留分組過濾模塊；�
7)取消動態路由功能；�
8)採用多個安全內核。�
5.2 代理系統的建立�

防火牆不允許任何信息直接穿過它，對所有的內外連接均要通過代理系統來實現，為保證整個防火牆的安全，所有的代理都應該採用改變根目錄方式存在一個相對獨立的區域以安全隔離。�

在所有的連接通過防火牆前，所有的代理要檢查已定義的訪問規則，這些規則控制代理的服務根據以下內容處理分組：�
1)源地址；�
2)目的地址；�
3)時間；�
4)同類伺服器的最大數量。�

所有外部網路到防火牆內部或ssn的連接由進站代理處理，進站代理要保證內部主機能夠了解外部主機的所有信息，而外部主機只能看到防火牆之外或ssn的地址。�

所有從內部網路ssn通過防火牆與外部網路建立的連接由出站代理處理，出站代理必須確保完全由它代表內部網路與外部地址相連，防止內部網址與外部網址的直接連接，同時還要處理內部網路ssn的連接。�

5.3 分組過濾器的設計�

作為防火牆的核心部件之一，過濾器的設計要盡量做到減少對防火牆的訪問，過濾器在調用時將被下載到內核中執行，服務終止時，過濾規則會從內核中消除，所有的分組過濾功能都在內核中ip堆棧的深層運行，極為安全。分組過濾器包括以下參數。�
1)進站介面；�
2)出站介面；�
3)允許的連接；�
4)源埠范圍；�
5)源地址；�
6)目的埠的范圍等。�

對每一種參數的處理都充分體現設計原則和安全政策。�

5.4 安全伺服器的設計�

安全伺服器的設計有兩個要點：第一，所有ssn的流量都要隔離處理，即從內部網和外部網而來的路由信息流在機制上是分離的；第二，ssn的作用類似於兩個網路，它看上去像是內部網，因為它對外透明，同時又像是外部網路，因為它從內部網路對外訪問的方式十分有限。�

ssn上的每一個伺服器都隱蔽於internet，ssn提供的服務對外部網路而言好像防火牆功能，由於地址已經是透明的，對各種網路應用沒有限制。實現ssn的關鍵在於：�
1)解決分組過濾器與ssn的連接；�
2)支持通過防火對ssn的訪問;
3)支持代理服務。

5.5鑒別與加密的考慮

鑒別與加密是防火牆識別用戶、驗證訪問和保護信息的有效手段，鑒別機制除了提供安全保護之外，還有安全管理功能，目前國外防火牆產品中廣泛使用令牌鑒別方式，具體方法有兩種：一種是加密卡（cryptocard）;另一種是secure id,這兩種都是一次姓口令的生成工具。

對信息內容的加密與鑒別測涉及加密演算法和數字簽名技術，除pem、pgp和kerberos外，目前國外防火牆產品中尚沒有更好的機制出現，由於加密演算法涉及國家安全和主權，各國有不同的要求。

6. 第四代防火牆的抗攻擊能力

作為一種安全防護設備，防火牆在網路中自然是眾多攻擊者的目標，故抗攻擊能力也是防火牆的必備功能。在internet環境中針對防火牆的攻擊很多，下面從幾種主要的攻擊方法來評估第四代防火牆的抗攻擊能力。

6.1 抗ip假冒攻擊

ip假冒是指一個非法的主機假冒內部的主機地址，騙取伺服器的「信任」，從而達到對網路的攻擊目的。由於第四代防火牆已經將網內的實際地址隱蔽起來，外部用戶很難知道內部的ip地址，因而難以攻擊。

6.2 抗特洛伊木馬攻擊

特洛伊木馬能將病毒或破壞性程序傳入計算機網路，且通常是將這些惡意程序隱蔽在正常的程序之中，尤其是熱門程序或游戲，一些用戶下載病執行這一程序，其中的病毒便會發作。第四代防火牆是建立在安全的操作系統之上的，其內核中不能執行下載的程序，故而可以防止特洛伊木馬的發生。必須指出的是，防火牆能抗特洛伊木馬的攻擊並並不表明其保護的某個主機也能防止這類攻擊。事實上，內部用戶可以通過防火牆下載程序，並執行下載的程序。

6.3 抗口令字探尋攻擊

在網路中探尋口令的方法很多，最常見的是口令嗅探和口令解密。嗅探是通過監測網路通信，截獲用戶轉給伺服器的口令字，記錄下來，以便使用；解密是指採用強力攻擊、猜測或截獲含有加密口令的文件，並設法解密。此外，攻擊者還常常利用一些常用口令直接登錄。

第四代防火牆採用了一次性口令字和禁此直接登錄防火牆措施，能夠有效防止對口令字的攻擊。

6.4 抗網路安全性分析

網路安全性分析工具是提供管理人員分析網路安全性之用，一旦這類工具用作攻擊網路的手段，則能夠比較方便地探測到內部網路的安全缺陷和弱點所在。目前，sata軟體可以從網上免費獲得，internet scanner可以從市面上購買，這些分析工具給網路安全構成了直接的威脅。第四代防火牆採用了地主轉換技術，將內部網路隱蔽起來，使網路安全分析工具無法從外部對內部網路做分析。

6.5 抗郵件詐騙攻擊

郵件詐騙也是越來越突出的攻擊方式，第四代防火牆不接收任何郵件，故難以採用這種方式對它攻擊，同樣值得一提的是，防火牆不接收郵件，並不表示它不讓郵件通過，實際上用戶仍可收發郵件，內部用戶要防郵件詐騙，最終的解決辦法是對郵件加密。

7. 防火牆技術展望

伴隨著internet的飛速發展，防火牆技術產品的更新步伐必然會加強，而要全面展望防火牆技術的發展幾乎是不可能的。但是，從產品及功能上，卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇：
1）防火牆將從目前對子網或內部網管理的方式向遠程上網集中管理是方式發展。
2）過濾深度會不斷加強，從目前的地址、服務過濾，發展到url（頁面）過濾、關鍵字過濾和對activex、java等的過濾，並逐漸有病毒掃描功能。
3）利用防火牆建立專用網是較長一段時間用戶使用的主流，ip的加密需求越來越強，安全協議的開發是一大熱點。�
4)單向防火牆(又叫做網路二極體)將作為一種產品門類而出現。�
5)對網路攻擊的檢測和各種告警將成為防火牆的重要功能。
6)安全管理工具不斷完善，特別是可以活動的日誌分析工具等將成為防火牆產品中的一部分。�

另外值得一提的是，伴隨著防火牆技術的不斷發展，人們選擇防火牆的標准將主要集中在易於管理、應用透明性、鑒別與加密功能、操作環境和硬體要求、vpn的功能與ca的功能、介面的數量、成本等幾個方面。

『陸』小魚網日誌應用已關閉是啥意思

系統日誌源自航海日誌：當人們出海遠行的時候，總是要做好航海日誌，以便為以後的工作做出依據。日誌文件作為微軟Windows系列操作系統中的一個比較特殊的文件，在安全方面具有無可替代的價值。日誌每天為我們忠實的記錄著系統所發生一切，利用系統日誌文件，可以使系統管理員快速對潛在的系統入侵作出記錄和預測，但遺憾的是目前絕大多數的人都忽略了它的存在。反而是因為黑客們光臨才會使我們想起這個重要的系統日誌文件。

7.1 日誌文件的特殊性

要了解日誌文件，首先就要從它的特殊性講起，說它特殊是因為這個文件由系統管理，並加以保護，一般情況下普通用戶不能隨意更改。我們不能用針對普通TXT文件的編輯方法來編輯它。例如WPS系列、Word系列、寫字板、Edit等等，都奈何它不得。我們甚至不能對它進行「重命名」或「刪除」、「移動」操作，否則系統就會很不客氣告訴你:訪問被拒絕。當然，在純DOS的狀態下，可以對它進行一些常規操作(例如Win98狀態下)，但是你很快就會發現，你的修改根本就無濟於事，當重新啟動Windows 98時，系統將會自動檢查這個特殊的文本文件，若不存在就會自動產生一個；若存在的話，將向該文本追加日誌記錄。

7.1.1 黑客為什麼會對日誌文件感興趣

黑客們在獲得伺服器的系統管理員許可權之後就可以隨意破壞系統上的文件了，包括日誌文件。但是這一切都將被系統日誌所記錄下來，所以黑客們想要隱藏自己的入侵蹤跡，就必須對日誌進行修改。最簡單的方法就是刪除系統日誌文件，但這樣做一般都是初級黑客所為，真正的高級黑客們總是用修改日誌的方法來防止系統管理員追蹤到自己，網路上有很多專門進行此類功能的程序，例如Zap、Wipe等。

7.1.2 Windows系列日誌系統簡介

1.Windows 98的日誌文件

因目前絕大多數的用戶還是使用的操作系統是Windows 98，所以本節先從Windows 98的日誌文件講起。Windows 98下的普通用戶無需使用系統日誌，除非有特殊用途，例如，利用Windows 98建立個人Web伺服器時，就會需要啟用系統日誌來作為伺服器安全方面的參考，當已利用Windows 98建立個人Web伺服器的用戶，可以進行下列操作來啟用日誌功能。

(1)在「控制面板」中雙擊「個人Web伺服器」圖標；(必須已經在配置好相關的網路協議，並添加「個人Web伺服器」的情況下)。

(2)在「管理」選項卡中單擊「管理」按鈕；

(3)在「Internet服務管理員」頁中單擊「WWW管理」；

(4)在「WWW管理」頁中單擊「日誌」選項卡；

(5)選中「啟用日誌」復選框，並根據需要進行更改。將日誌文件命名為「Inetserver_event.log」。如果「日誌」選項卡中沒有指定日誌文件的目錄，則文件將被保存在Windows文件夾中。

普通用戶可以在Windows 98的系統文件夾中找到日誌文件schedlog.txt。我們可以通過以下幾種方法找到它。在「開始」/「查找」中查找到它，或是啟動「任務計劃程序」，在「高級」菜單中單擊「查看日誌」來查看到它。Windows 98的普通用戶的日誌文件很簡單，只是記錄了一些預先設定的任務運行過程，相對於作為伺服器的NT操作系統，真正的黑客們很少對Windows 98發生興趣。所以Windows 98下的日誌不為人們所重視。

2.Windows NT下的日誌系統

Windows NT是目前受到攻擊較多的操作系統，在Windows NT中，日誌文件幾乎對系統中的每一項事務都要做一定程度上的審計。Windows NT的日誌文件一般分為三類：

系統日誌：跟蹤各種各樣的系統事件，記錄由 Windows NT 的系統組件產生的事件。例如，在啟動過程載入驅動程序錯誤或其它系統組件的失敗記錄在系統日誌中。

應用程序日誌：記錄由應用程序或系統程序產生的事件，比如應用程序產生的裝載dll(動態鏈接庫)失敗的信息將出現在日誌中。

安全日誌：記錄登錄上網、下網、改變訪問許可權以及系統啟動和關閉等事件以及與創建、打開或刪除文件等資源使用相關聯的事件。利用系統的「事件管理器」可以指定在安全日誌中記錄需要記錄的事件，安全日誌的默認狀態是關閉的。

Windows NT的日誌系統通常放在下面的位置，根據操作系統的不同略有變化。

C:\systemroot\system32\config\sysevent.evt

C:\systemroot\system32\config\secevent.evt

C:\systemroot\system32\config\appevent.evt

Windows NT使用了一種特殊的格式存放它的日誌文件，這種格式的文件可以被事件查看器讀取，事件查看器可以在「控制面板」中找到，系統管理員可以使用事件查看器選擇要查看的日誌條目，查看條件包括類別、用戶和消息類型。

3.Windows 2000的日誌系統

與Windows NT一樣，Windows 2000中也一樣使用「事件查看器」來管理日誌系統，也同樣需要用系統管理員身份進入系統後方可進行操作，如圖7-1所示。

圖7-1

在Windows 2000中，日誌文件的類型比較多，通常有應用程序日誌，安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌等等，可能會根據伺服器所開啟的服務不同而略有變化。啟動Windows 2000時，事件日誌服務會自動啟動，所有用戶都可以查看「應用程序日誌」，但是只有系統管理員才能訪問「安全日誌」和「系統日誌」。系統默認的情況下會關閉「安全日誌」，但我們可以使用「組策略」來啟用「安全日誌」開始記錄。安全日誌一旦開啟，就會無限制的記錄下去，直到裝滿時停止運行。

Windows 2000日誌文件默認位置：

應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置：%systemroot%\sys tem32\config，默認文件大小512KB，但有經驗的系統管理員往往都會改變這個默認大小。

安全日誌文件：c:\sys temroot\sys tem32\config\SecEvent.EVT

系統日誌文件：c:\sys temroot\sys tem32\config\SysEvent.EVT

應用程序日誌文件：c:\sys temroot\sys tem32\config\AppEvent.EVT

Internet信息服務FTP日誌默認位置：c:\systemroot\sys tem32\logfiles\msftpsvc1\。

Internet信息服務WWW日誌默認位置：c:\systemroot\sys tem32\logfiles\w3svc1\。

Scheler伺服器日誌默認位置：c:\systemroot\schedlgu.txt 。該日誌記錄了訪問者的IP，訪問的時間及請求訪問的內容。

因Windows2000延續了NT的日誌文件，並在其基礎上又增加了FTP和WWW日誌，故本節對FTP日誌和WWW日誌作一個簡單的講述。FTP日誌以文本形式的文件詳細地記錄了以FTP方式上傳文件的文件、來源、文件名等等。不過由於該日誌太明顯，所以高級黑客們根本不會用這種方法來傳文件，取而代之的是使用RCP。FTP日誌文件和WWW日誌文件產生的日誌一般在c:\sys temroot\system32\LogFiles\W3SVC1目錄下，默認是每天一個日誌文件，

FTP和WWW日誌可以刪除，但是FTP日誌所記錄的一切還是會在系統日誌和安全日誌里記錄下來，如果用戶需要嘗試刪除這些文件，通過一些並不算太復雜的方法，例如首先停止某些服務，然後就可以將該日誌文件刪除。具體方法本節略。

Windows 2000中提供了一個叫做安全日誌分析器(CyberSafe Log Analyst，CLA)的工具，有很強的日誌管理功能，它可以使用戶不必在讓人眼花繚亂的日誌中慢慢尋找某條記錄，而是通過分類的方式將各種事件整理好，讓用戶能迅速找到所需要的條目。它的另一個突出特點是能夠對整個網路環境中多個系統的各種活動同時進行分析，避免了一個個單獨去分析的麻煩。

4.Windows XP日誌文件

說Windows XP的日誌文件，就要先說說Internet連接防火牆(ICF)的日誌，ICF的日誌可以分為兩類：一類是ICF審核通過的IP數據包，而一類是ICF拋棄的IP數據包。日誌一般存於Windows目錄之下，文件名是pfirewall.log。其文件格式符合W3C擴展日誌文件格式(W3C Extended Log File Format)，分為兩部分，分別是文件頭(Head Information)和文件主體(Body Information)。文件頭主要是關於Pfirewall.log這個文件的說明，需要注意的主要是文件主體部分。文件主體部分記錄有每一個成功通過ICF審核或者被ICF所拋棄的IP數據包的信息，包括源地址、目的地址、埠、時間、協議以及其他一些信息。理解這些信息需要較多的TCP/IP協議的知識。ICF生成安全日誌時使用的格式是W3C擴展日誌文件格式，這與在常用日誌分析工具中使用的格式類似。當我們在WindowsXP的「控制面板」中，打開事件查看器，如圖7-2所示。

就可以看到WindowsXP中同樣也有著系統日誌、安全日誌和應用日誌三種常見的日誌文件，當你單擊其中任一文件時，就可以看見日誌文件中的一些記錄，如圖7-3所示。

圖7-2 圖7-3

在高級設備中，我們還可以進行一些日誌的文件存放地址、大小限制及一些相關操作，如圖7-4所示。

圖7-4

若要啟用對不成功的連接嘗試的記錄，請選中「記錄丟棄的數據包」復選框，否則禁用。另外，我們還可以用金山網鏢等工具軟體將「安全日誌」導出和被刪除。

5.日誌分析

當日誌每天都忠實的為用戶記錄著系統所發生的一切的時候，用戶同樣也需要經常規范管理日誌，但是龐大的日誌記錄卻又令用戶茫然失措，此時，我們就會需要使用工具對日誌進行分析、匯總，日誌分析可以幫助用戶從日誌記錄中獲取有用的信息，以便用戶可以針對不同的情況採取必要的措施。

7.2 系統日誌的刪除

因操作系統的不同，所以日誌的刪除方法也略有變化，本文從Windows 98和Windows 2000兩種有明顯區別的操作系統來講述日誌的刪除。

7.2.1 Windows 98下的日誌刪除

在純DOS下啟動計算機，用一些常用的修改或刪除命令就可以消除Windows 98日誌記錄。當重新啟動Windows98後，系統會檢查日誌文件的存在，如果發現日誌文件不存在，系統將自動重建一個，但原有的日誌文件將全部被消除。

7.2.2 Windows 2000的日誌刪除

Windows 2000的日誌可就比Windows 98復雜得多了，我們知道，日誌是由系統來管理、保護的，一般情況下是禁止刪除或修改，而且它還與注冊表密切相關。在Windows 2000中刪除日誌首先要取得系統管理員許可權，因為安全日誌和系統日誌必須由系統管理員方可查看，然後才可以刪除它們。

我們將針對應用程序日誌，安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌的刪除做一個簡單的講解。要刪除日誌文件，就必須停止系統對日誌文件的保護功能。我們可以使用命令語句來刪除除了安全日誌和系統日誌外的日誌文件，但安全日誌就必須要使用系統中的「事件查看器」來控制它，打開「控制面板」的「管理工具」中的「事件查看器」。在菜單的「操作」項有一個名為「連接到另一台計算機」的菜單，點擊它如圖7-5所示。

圖7-5

輸入遠程計算機的IP，然後需要等待，選擇遠程計算機的安全性日誌，點擊屬性里的「清除日誌」按鈕即可。

7.3 發現入侵蹤跡

如何當入侵者企圖或已經進行系統的時候，及時有效的發現蹤跡是目前防範入侵的熱門話題之一。發現入侵蹤跡的前題就是應該有一個入侵特徵資料庫，我們一般使用系統日誌、防火牆、檢查IP報頭(IP header)的來源地址、檢測Email的安全性以及使用入侵檢測系統(IDS)等來判斷是否有入侵跡象。

我們先來學習一下如何利用埠的常識來判斷是否有入侵跡象：

電腦在安裝以後，如果不加以調整，其默認開放的埠號是139，如果不開放其它埠的話，黑客正常情況下是無法進入系統的。如果平常系統經常進行病毒檢查的話，而突然間電腦上網的時候會感到有反應緩慢、滑鼠不聽使喚、藍屏、系統死機及其它種種不正常的情況，我們就可以判斷有黑客利用電子信件或其它方法在系統中植入的特洛伊木馬。此時，我們就可以採取一些方法來清除它，具體方法在本書的相關章節可以查閱。

7.3.1 遭受入侵時的跡象

入侵總是按照一定的步驟在進行，有經驗的系統管理員完全可以通過觀察到系統是否出現異常現象來判斷入侵的程度。

1.掃描跡象

當系統收到連續、反復的埠連接請求時，就可能意味著入侵者正在使用埠掃描器對系統進行外部掃描。高級黑客們可能會用秘密掃描工具來躲避檢測，但實際上有經驗的系統管理員還是可以通過多種跡象來判斷一切。

2.利用攻擊

當入侵者使用各種程序對系統進行入侵時，系統可能報告出一些異常情況，並給出相關文件(IDS常用的處理方法)，當入侵者入侵成功後，系統總會留下或多或少的破壞和非正常訪問跡象，這時就應該發現系統可能已遭遇入侵。

3.DoS或DDoS攻擊跡象

這是當前入侵者比較常用的攻擊方法，所以當系統性能突然間發生嚴重下降或完全停止工作時，應該立即意識到，有可能系統正在遭受拒絕服務攻擊，一般的跡象是CPU佔用率接近90%以上，網路流量緩慢、系統出現藍屏、頻繁重新啟動等。

7.3.2 合理使用系統日誌做入侵檢測

系統日誌的作用和重要性大家通過上幾節的講述，相信明白了不少，但是雖然系統自帶的日誌完全可以告訴我們系統發生的任何事情，然而，由於日誌記錄增加得太快了，最終使日誌只能成為浪費大量磁碟空間的垃圾，所以日誌並不是可以無限制的使用，合理、規范的進行日誌管理是使用日誌的一個好方法，有經驗的系統管理員就會利用一些日誌審核工具、過濾日誌記錄工具，解決這個問題。

要最大程度的將日誌文件利用起來，就必須先制定管理計劃。

1.指定日誌做哪些記錄工作？

2.制定可以得到這些記錄詳細資料的觸發器。

7.3.3 一個比較優秀的日誌管理軟體

要想迅速的從繁多的日誌文件記錄中查找到入侵信息，就要使用一些專業的日誌管理工具。Surfstats Log Analyzer4.6就是這么一款專業的日誌管理工具。網路管理員通過它可以清楚的分析「log」文件，從中看出網站目前的狀況，並可以從該軟體的「報告」中，看出有多少人來過你的網站、從哪裡來、在系統中大量地使用了哪些搜尋字眼，從而幫你准確地了解網站狀況。

這個軟體最主要的功能有：

1、整合了查閱及輸出功能，並可以定期用屏幕、文件、FTP或E-mail的方式輸出結果；

2.可以提供30多種匯總的資料；

3.能自動偵測文件格式，並支持多種通用的log文件格式，如MS IIS的W3 Extended log格式；

4.在「密碼保護」的目錄里，增加認證(Authenticated)使用者的分析報告；

5.可按每小時、每星期、或每月的模式來分析；

6.DNS資料庫會儲存解析(Resolved)的IP地址；

7.每個分析的畫面都可以設定不同的背景、字型、顏色。

發現入侵蹤跡的方法很多，如入侵檢測系統IDS就可以很好的做到這點。下一節我們將講解詳細的講解入侵檢測系統。

7.4 做好系統入侵檢測

7.4.1 什麼是入侵檢測系統

在人們越來越多和網路親密接觸的同時，被動的防禦已經不能保證系統的安全，針對日益繁多的網路入侵事件，我們需要在使用防火牆的基礎上選用一種協助防火牆進行防患於未然的工具，這種工具要求能對潛在的入侵行為作出實時判斷和記錄，並能在一定程度上抗擊網路入侵，擴展系統管理員的安全管理能力，保證系統的絕對安全性。使系統的防範功能大大增強，甚至在入侵行為已經被證實的情況下，能自動切斷網路連接，保護主機的絕對安全。在這種情形下，入侵檢測系統IDS(Intrusion Detection System)應運而生了。入侵檢測系統是基於多年對網路安全防範技術和黑客入侵技術的研究而開發的網路安全產品

它能夠實時監控網路傳輸，自動檢測可疑行為，分析來自網路外部入侵信號和內部的非法活動，在系統受到危害前發出警告，對攻擊作出實時的響應，並提供補救措施，最大程度地保障系統安全。

NestWatch

這是一款運行於Windows NT的日誌管理軟體，它可以從伺服器和防火牆中導入日誌文件，並能以HTML的方式為系統管理員提供報告。

7.4.2 入侵檢測系統和日誌的差異

系統本身自帶的日誌功能可以自動記錄入侵者的入侵行為，但它不能完善地做好入侵跡象分析記錄工作，而且不能准確地將正常的服務請求和惡意的入侵行為區分開。例如，當入侵者對主機進行CGI掃描時，系統安全日誌能提供給系統管理員的分析數據少得可憐，幾乎全無幫助，而且安全日誌文件本身的日益龐大的特性，使系統管理員很難在短時間內利用工具找到一些攻擊後所遺留下的痕跡。入侵檢測系統就充分的將這一點做的很好，利用入侵檢測系統提供的報告數據，系統管理員將十分輕松的知曉入侵者的某些入侵企圖，並能及時做好防範措施。

7.4.3 入侵檢測系統的分類

目前入侵檢測系統根據功能方面，可以分為四類：

1.系統完整性校驗系統(SIV)

SIV可以自動判斷系統是否有被黑客入侵跡象，並能檢查是否被系統入侵者更改了系統文件，以及是否留有後門(黑客們為了下一次光顧主機留下的)，監視針對系統的活動(用戶的命令、登錄/退出過程，使用的數據等等)，這類軟體一般由系統管理員控制。

2.網路入侵檢測系統(NIDS)

NIDS可以實時的對網路的數據包進行檢測，及時發現埠是否有黑客掃描的跡象。監視計算機網路上發生的事件，然後對其進行安全分析，以此來判斷入侵企圖；分布式IDS通過分布於各個節點的感測器或者代理對整個網路和主機環境進行監視，中心監視平台收集來自各個節點的信息監視這個網路流動的數據和入侵企圖。

3.日誌分析系統(LFM)

日誌分析系統對於系統管理員進行系統安全防範來說，非常重要，因為日誌記錄了系統每天發生的各種各樣的事情，用戶可以通過日誌記錄來檢查錯誤發生的原因，或者受到攻擊時攻擊者留下的痕跡。日誌分析系統的主要功能有：審計和監測、追蹤侵入者等。日誌文件也會因大量的記錄而導致系統管理員用一些專業的工具對日誌或者報警文件進行分析。此時，日誌分析系統就可以起作用了，它幫助系統管理員從日誌中獲取有用的信息，使管理員可以針對攻擊威脅採取必要措施。

4.欺騙系統(DS)

普通的系統管理員日常只會對入侵者的攻擊作出預測和識別，而不能進行反擊。但是欺騙系統(DS)可以幫助系統管理員做好反擊的鋪墊工作，欺騙系統(DS)通過模擬一些系統漏洞來欺騙入侵者，當系統管理員通過一些方法獲得黑客企圖入侵的跡象後，利用欺騙系統可以獲得很好的效果。例如重命名NT上的administrator賬號，然後設立一個沒有許可權的虛假賬號讓黑客來攻擊，在入侵者感覺到上當的時候，管理員也就知曉了入侵者的一舉一動和他的水平高低。

7.4.4 入侵檢測系統的檢測步驟

入侵檢測系統一般使用基於特徵碼的檢測方法和異常檢測方法，在判斷系統是否被入侵前，入侵檢測系統首先需要進行一些信息的收集。信息的收集往往會從各個方面進行。例如對網路或主機上安全漏洞進行掃描，查找非授權使用網路或主機系統的企圖，並從幾個方面來判斷是否有入侵行為發生。

檢測系統接著會檢查網路日誌文件，因為黑客非常容易在會在日誌文件中留下蛛絲馬跡，因此網路日誌文件信息是常常作為系統管理員檢測是否有入侵行為的主要方法。取得系統管理權後，黑客們最喜歡做的事，就是破壞或修改系統文件，此時系統完整性校驗系統(SIV)就會迅速檢查系統是否有異常的改動跡象，從而判斷入侵行為的惡劣程度。將系統運行情況與常見的入侵程序造成的後果數據進行比較，從而發現是否被入侵。例如：系統遭受DDoS分布式攻擊後，系統會在短時間內性能嚴重下降，檢測系統此時就可以判斷已經被入侵。

入侵檢測系統還可以使用一些系統命令來檢查、搜索系統本身是否被攻擊。當收集到足夠的信息時，入侵檢測系統就會自動與本身資料庫中設定的已知入侵方式和相關參數匹配，檢測准確率相當的高，讓用戶感到不方便的是，需要不斷的升級資料庫。否則，無法跟上網路時代入侵工具的步伐。入侵檢測的實時保護功能很強，作為一種「主動防範」的檢測技術，檢測系統能迅速提供對系統攻擊、網路攻擊和用戶誤操作的實時保護，在預測到入侵企圖時本身進行攔截和提醒管理員預防。

7.4.5 發現系統被入侵後的步驟

1.仔細尋找入侵者是如何進入系統的，設法堵住這個安全漏洞。

2.檢查所有的系統目錄和文件是否被篡改過，盡快修復。

3.改變系統中的部分密碼，防止再次因密碼被暴力破解而生產的漏洞。

7.4.6 常用入侵檢測工具介紹

1.NetProwler

作為世界級的互聯網安全技術廠商，賽門鐵克公司的產品涉及到網路安全的方方面面，特別是在安全漏洞檢測、入侵檢測、互聯網內容/電子郵件過濾、遠程管理技術和安全服務方面，賽門鐵克的先進技術的確讓人驚嘆！NetProwler就是一款賽門鐵克基於網路入侵檢測開發出的工具軟體，NetProwler採用先進的擁有專利權的動態信號狀態檢測(SDSI)技術，使用戶能夠設計獨特的攻擊定義。即使最復雜的攻擊也可以由它直觀的攻擊定義界面產生。

(1)NetProwler的體系結構

NetProwler具有多層體系結構，由Agent、Console和Manager三部分組成。Agent負責監視所在網段的網路數據包。將檢測到的攻擊及其所有相關數據發送給管理器，安裝時應與企業的網路結構和安全策略相結合。Console負責從代理處收集信息，顯示所受攻擊信息，使你能夠配置和管理隸屬於某個管理器的代理。Manager對配置和攻擊警告信息響應，執行控制台發布的命令，將代理發出的攻擊警告傳遞給控制台。

當NetProwler發現攻擊時，立即會把攻擊事件記入日誌並中斷網路連接、創建一個報告，用文件或E-mail通知系統管理員，最後將事件通知主機入侵檢測管理器和控制台。

(2)NetProwler的檢測技術

NetProwler採用具有專利技術的SDSI(Stateful Dynamic Signature Inspection狀態化的動態特徵檢測)入侵檢測技術。在這種設計中，每個攻擊特徵都是一組指令集，這些指令是由SDSI虛處理器通過使用一個高速緩存入口來描述目前用戶狀態和當前從網路上收到數據包的辦法執行。每一個被監測的網路伺服器都有一個小的相關攻擊特徵集，這些攻擊特徵集都是基於伺服器的操作和伺服器所支持的應用而建立的。Stateful根據監視的網路傳輸內容，進行上下文比較，能夠對復雜事件進行有效的分析和記錄

基於SDSI技術的NetProwler工作過程如下：

第一步：SDSI虛擬處理器從網路數據中獲取當今的數據包；

第二步：把獲取的數據包放入屬於當前用戶或應用會話的狀態緩沖中；

第三步：從特別為優化伺服器性能的特徵緩沖中執行攻擊特徵；

第四步：當檢測到某種攻擊時，處理器立即觸發響應模塊，以執行相應的響應措施。

(3)NetProwler工作模式

因為是網路型IDS，所以NetProwler根據不同的網路結構，其數據採集部分(即代理)有多種不同的連接形式：如果網段用匯流排式的集線器相連，則可將其簡單的接在集線器的一個埠上即可。

(4)系統安裝要求

用戶將NetProwler Agent安裝在一台專門的Windows NT工作站上，如果NetProwler和其他應用程序運行在同一台主機上，則兩個程序的性能都將受到嚴重影響。網路入侵檢測系統佔用大量的資源，因此製造商一般推薦使用專門的系統運行驅動引擎，要求它有128M RAM和主頻為400MHz的Intel Pentium II或Pentium
私密日誌獨立密碼就是在你寫的私密日誌里又加了一層密碼，即便是主人想打開自己寫的私密日誌也需要密碼，打上密碼就可以打開自己的私密日誌了，如果想要關閉的話，在私密日誌的上方會有，如果你設置了私密日誌密碼，就點「關閉私密日誌獨立密碼」就可以了，以後你再打開私密日誌的話就不需要密碼了。

『柒』求一片關於軟體安全的論文

網路安全計算機網路安全論文

1 緒論

隨著互聯網的飛速發展，網路安全逐漸成為一個潛在的巨大問題。網路安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。
大多數安全性問題的出現都是由於有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網路安全不僅僅是使它沒有編程錯誤。它包括要防範那些聰明的，通常也是狡猾的、專業的，並且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣於作案的老手來說，收效甚微。
網路安全性可以被粗略地分為4個相互交織的部分：保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問，這是人們提到的網路安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來

2 方案目標

本方案主要從網路層次考慮，將網路系統設計成一個支持各級別用戶或用戶群的安全網路，該網在保證系統內部網路安全的同時，還實現與Internet或國內其它網路的安全互連。本方案在保證網路安全可以滿足各種用戶的需求，比如：可以滿足個人的通話保密性，也可以滿足企業客戶的計算機系統的安全保障，資料庫不被非法訪問和破壞，系統不被病毒侵犯，同時也可以防止諸如反動淫穢等有害信息在網上傳播等。
需要明確的是，安全技術並不能杜絕所有的對網路的侵擾和破壞，它的作用僅在於最大限度地防範，以及在受到侵擾的破壞後將損失盡旦降低。具體地說，網路安全技術主要作用有以下幾點：
1．採用多層防衛手段，將受到侵擾和破壞的概率降到最低；
2．提供迅速檢測非法使用和非法初始進入點的手段，核查跟蹤侵入者的活動；
3．提供恢復被破壞的數據和系統的手段，盡量降低損失；
4．提供查獲侵入者的手段。
網路安全技術是實現安全管理的基礎，近年來，網路安全技術得到了迅猛發展，已經產生了十分豐富的理論和實際內容。

3 安全需求

通過對網路系統的風險分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網路系統的機密性、完整性、可用性、可控性與可審查性。即，
可用性：授權實體有權訪問數據
機密性：信息不暴露給未授權實體或進程
完整性：保證數據不被未授權修改
可控性：控制授權范圍內的信息流向及操作方式
可審查性：對出現的安全問題提供依據與手段

訪問控制：需要由防火牆將內部網路與外部不可信任的網路隔離，對與外部網路交換數據的內部網路及其主機、所交換的數據進行嚴格的訪問控制。同樣，對內部網路，由於不同的應用業務以及不同的安全級別，也需要使用防火牆將不同的LAN或網段進行隔離，並實現相互的訪問控制。
數據加密：數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計：是識別與防止網路攻擊行為、追查網路泄密行為的重要措施之一。具體包括兩方面的內容，一是採用網路監控與入侵防範系統，識別網路各種違規操作與攻擊行為，即時響應（如報警）並進行阻斷；二是對信息內容的審計，可以防止內部機密或敏感信息的非法泄漏

4 風險分析

網路安全是網路正常運行的前提。網路安全不單是單點的安全，而是整個信息網的安全，需要從物理、網路、系統、應用和管理方面進行立體的防護。要知道如何防護，首先需要了解安全風險來自於何處。網路安全系統必須包括技術和管理兩方面，涵蓋物理層、系統層、網路層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網路的中斷。根據國內網路系統的網路結構和應用情況，應當從網路安全、系統安全、應用安全及管理安全等方面進行全面地分析。
風險分析是網路安全技術需要提供的一個重要功能。它要連續不斷地對網路中的消息和事件進行檢測，對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網路中所有有關的成分。

5 解決方案

5.1 設計原則
針對網路系統實際情況，解決網路的安全保密問題是當務之急，考慮技術難度及經費等因素，設計時應遵循如下思想：
1．大幅度地提高系統的安全性和保密性；
2．保持網路原有的性能特點，即對網路的協議和傳輸具有很好的透明性；
3．易於操作、維護，並便於自動化管理，而不增加或少增加附加操作；
4．盡量不影響原網路拓撲結構，同時便於系統及系統功能的擴展；
5．安全保密系統具有較好的性能價格比，一次性投資，可以長期使用；
6．安全與密碼產品具有合法性，及經過國家有關管理部門的認可或認證；
7．分步實施原則：分級管理分步實施。
5.2 安全策略
針對上述分析，我們採取以下安全策略：
1．採用漏洞掃描技術，對重要網路設備進行風險評估，保證信息系統盡量在最優的狀況下運行。
2．採用各種安全技術，構築防禦系統，主要有：

(1) 防火牆技術：在網路的對外介面，採用防火牆技術，在網路層進行訪問控制。
(2) NAT技術：隱藏內部網路信息。
(3) VPN：虛擬專用網(VPN)是企業網在網際網路等公共網路上的延伸,通過一個私有的通道在公共網路上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務夥伴等與公司的企業網連接起來，構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網路的存在，彷彿所有的機器都處於一個網路之中。公共網路似乎只由本網路在獨占使用，而事實上並非如此。
(4）網路加密技術(Ipsec) ：採用網路加密技術，對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它可解決網路在公網的數據傳輸安全性問題，也可解決遠程用戶訪問內網的安全問題。
(5) 認證：提供基於身份的認證，並在各種認證機制中可選擇使用。
(6) 多層次多級別的企業級的防病毒系統：採用多層次多級別的企業級的防病毒系統，對病毒實現全面的防護。
(7）網路的實時監測：採用入侵檢測系統，對主機和網路進行監測和預警，進一步提高網路防禦外來攻擊的能力。
3．實時響應與恢復：制定和完善安全管理制度，提高對網路攻擊等實時響應與恢復能力。
4．建立分層管理和各級安全管理中心。
5.3 防禦系統
我們採用防火牆技術、NAT技術、VPN技術、網路加密技術（Ipsec）、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術，構成網路安全的防禦系統。
5.3.1 物理安全
物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
為保證信息網路系統的物理安全，還要防止系統信息在空間的擴散。通常是在物理上採取一定的防護措施，來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。
為保證網路的正常運行，在物理安全方面應採取如下措施：
1．產品保障方面：主要指產品采購、運輸、安裝等方面的安全措施。
2．運行安全方面：網路中的設備，特別是安全類產品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統，應設置備份系統。
3．防電磁輻射方面：所有重要涉密的設備都需安裝防電磁輻射產品，如輻射干擾機。
4．保安方面：主要是防盜、防火等，還包括網路系統所有網路設備、計算機、安全設備的安全防護。
5.3.2 防火牆技術
防火牆是一種網路安全保障手段,是網路通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網路的許可權,並迫使所有的連接都經過這樣的檢查,防止一個需要保護的網路遭外界因素的干擾和破壞。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監視了內部網路和Internet之間地任何活動，保證了內部網路地安全；在物理實現上，防火牆是位於網路特殊位置地以組硬體設備――路由器、計算機或其他特製地硬體設備。防火牆可以是獨立地系統，也可以在一個進行網路互連地路由器上實現防火牆。用防火牆來實現網路安全必須考慮防火牆的網路拓撲結構：

（1）屏蔽路由器：又稱包過濾防火牆。
（2）雙穴主機：雙穴主機是包過濾網關的一種替代。
（3）主機過濾結構：這種結構實際上是包過濾和代理的結合。
（4）屏蔽子網結構：這種防火牆是雙穴主機和被屏蔽主機的變形。
根據防火牆所採用的技術不同,我們可以將它分為四種基本類型:包過濾型、網路地址轉換—NAT、代理型和監測型。
5.3.2.1 包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以「包」為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些「包」是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。
5.3.2.2 網路地址轉化—NAT
網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、注冊的IP地址標准。它允許具有私有IP地址的內部網路訪問網際網路。它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址。在內部網路通過安全網卡訪問外部網路時，將產生一個映射記錄。系統將外出的源地址和源埠映射為一個偽裝的地址和埠，讓這個偽裝的地址和埠通過非安全網卡與外部網路連接，這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網卡訪問內部網路時，它並不知道內部網路的連接情況，而只是通過一個開放的IP地址和埠來請求訪問。OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火牆認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火牆認為該訪問是不安全的，不能被接受，防火牆將屏蔽外部的連接請求。網路地址轉換的過程對於用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。
5.3.2.3 代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統。代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。

5.3.2.4 監測型
監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品,雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆。基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由於這種產品是基於應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄。正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。

相關性：畢業論文,免費畢業論文,大學畢業論文,畢業論文模板
5.3.3 入侵檢測
入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為
是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現：
1．監視、分析用戶及系統活動；
2．系統構造和弱點的審計；
3．識別反映已知進攻的活動模式並向相關人士報警；
4．異常行為模式的統計分析；
5．評估重要系統和數據文件的完整性；

6．操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。
5.4 安全服務
網路是個動態的系統，它的變化包括網路設備的調整，網路配置的變化，各種操作系統、應用程序的變化，管理人員的變化。即使最初制定的安全策略十分可靠，但是隨著網路結構和應用的不斷變化，安全策略可能失效，必須及時進行相應的調整。針對以上問題和網管人員的不足，下面介紹一系列比較重要的網路服務。包括：
1．通信夥伴認證
通信夥伴認證服務的作用是通信夥伴之間相互確庥身份，防止他人插入通信過程。認證一般在通信之前進行。但在必要的時候也可以在通信過程中隨時進行。認證有兩種形式，一種是檢查一方標識的單方認證，一種是通信雙方相互檢查對方標識的相互認證。
通信夥伴認證服務可以通過加密機制，數字簽名機制以及認證機制實現。
2．訪問控制
訪問控制服務的作用是保證只有被授權的用戶才能訪問網路和利用資源。訪問控制的基本原理是檢查用戶標識，口令，根據授予的許可權限制其對資源的利用范圍和程度。例如是否有權利用主機CPU運行程序，是否有權對資料庫進行查詢和修改等等。
訪問控制服務通過訪問控制機制實現。
3．數據保密
數據保密服務的作用是防止數據被無權者閱讀。數據保密既包括存儲中的數據，也包括傳輸中的數據。保密查以對特定文件，通信鏈路，甚至文件中指定的欄位進行。
數據保密服務可以通過加密機制和路由控制機制實現。
4．業務流分析保護
業務流分析保護服務的作用是防止通過分析業務流，來獲取業務量特徵，信息長度以及信息源和目的地等信息。
業務流分析保護服務可以通過加密機制，偽裝業務流機制，路由控制機制實現。

5．數據完整性保護
數據完整性保護服務的作用是保護存儲和傳輸中的數據不被刪除，更改，插入和重復，必要時該服務也可以包含一定的恢復功能。
數據完整性保護服務可以通過加密機制，數字簽名機制以及數據完整性機制實現
6．簽字
簽字服務是用發送簽字的辦法來對信息的接收進行確認，以證明和承認信息是由簽字者發出或接收的。這個服務的作用在於避免通信雙方對信息的來源發生爭議。
簽字服務通過數字簽名機制及公證機制實現。
5.5 安全技術的研究現狀和動向
我國信息網路安全研究歷經了通信保密、數據保護兩個階段，正在進入網路信息安全研究階段，現已開發研製出防火牆、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟體等。但因信息網路安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果，提出系統的、完整的和協同的解決信息網路安全的方案，目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究，各部分相互協同形成有機整體。國際上信息安全研究起步較早，力度大，積累多，應用廣，在70年代美國的網路安全技術基礎理論研究成果「計算機保密模型」（Beu& La pala模型）的基礎上，指定了「
可信計算機系統安全評估准則」（TCSEC），其後又制定了關於網路系統資料庫方面和系列安全解釋，形成了安全信息系統體系結構的准則。

結論

隨著互聯網的飛速發展，網路安全逐漸成為一個潛在的巨大問題。網路安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。
本論文從多方面描述了網路安全的解決方案，目的在於為用戶提供信息的保密，認證和完整性保護機制，使網路中的服務，數據以及系統免受侵擾和破壞。比如防火牆，認證，加密技術等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網路安全問題的解決，可以使讀者有對網路安全技術的更深刻的了解。

本文章共7330字

『捌』求：關於「高校計算機網路安全方案的應用與研究」方面的書籍

侵入者倔關ftp

與侵入者倔關ftp相關的內容