计算机防火墙与应用——网络安全技术.论文

2024-07-31

计算机防火墙与应用——网络安全技术.论文（共11篇）

1.计算机防火墙与应用——网络安全技术.论文篇一

怎样破坏双宿主机防火墙的安全

了解双宿主机防火墙的安全性是如何被破坏的是很有用的，因为这样一来你就可以采取相应的措施来防止发生这种破坏，

对安全最大的危胁是一个攻击者掌握了直接登录到双宿主机的权限。登录到一个双宿主机上总是应该通过双宿主机上的一个应用层代理进行。对从外部不可信任网络进行登录应该进行严格的身份验证

如果外部用户获得了在双宿主机上进行登录的权利，那么内部网络就容易遭到攻击。这种攻击可以通过以下任何一种方式来进行：

1)通过文件系统上宽松的许可权限制

2)通过内部网络上由NFS安装的卷

3)利用已经被破坏了的用户帐号，通过在这类用户的主目录下的主机等价文件，如。rhosts，来访问由Berkeleyr*工具授权的服务

4)利用可能恢复的过分访问权的网络备份程序

5)通过使用没有适当安全防范的用于管理的SHELL脚本

6)通过从没有适当安全防范的过时软件的修订版和发行文档来掌握系统的漏洞

7)通过安装允许IP传递的老版本操作系统内核，或者安装存在安全问题的老版本操作系统内核。

如果一台双宿主机失效了，则内部网络将被置于外部攻击之下，除非这个问题很快被查出并解决。

在前面，我们已经了解到UNIX内核变量ifrorwarding控制着是否允许进行IP路由选择。如果一个攻击者获得了足够的系统权限，则这个攻击者就可以改变这个内核变量的值，从而允许IP转发。在允许IP转发后，防火墙机制就会被旁路掉了。

双宿主机防火墙上的服务

除了禁止IP转发，你还应该从双宿主机防火墙中移走所有的影响到安全的程序、工具和服务，以免落入攻击者的手中。下面是UNIX双宿主机防火墙的一部分有用的检查点：

1)移走程序开发工具：编译器、链接器等。

2)移走你不需要或不了解的具有SUID和SGID权限的程序。如果系统不工作，你可以移回一些必要的基本程序。

3)使用磁盘分区，从而使在一个磁盘分区上发动的填满所有磁盘空间的攻击被限制在那个磁盘分区当中。

4)删去不需要的系统和专门帐号。

5)删去不需要的网络服务，使用netstat-a来检验。编辑/etc/inetd。conf和/etc/services文件，删除不需要的网络服务定义。

2.4代理服务和应用层网关

代理服务(ProxyService)

代理服务使用的的方法与分组过滤器不同，代理(Proxy)使用一个客户程序(或许经过修改)，与特定的中间结点连接，然后中间结点与期望的服务器进行实际连接。与分组过滤器所不同的是，使用这类防火墙时外部网络与内部网络之间不存在直接连接。因此，即使防火墙发生了问题，外部网络也无法与被保护的网络连接。中间结点通常为双宿主机。

代理服务可提供详细的日志记录(log)及审计(audit)功能，这大大提高了网络的安全性，也为改进现有软件的安全性能提供了可能性。代理服务器可运行在双宿主机上，它是基于特定应用程序的。为了通过代理支持一个新的协议，必须修改代理以适应新协议。

在一个称为SOCKS的免费程序库中包括了与许多标准系统调用基本兼容的代理版本，如SOCKS、BIND()、CONNECT()等，

在URL统一资源定位地址ftp：//ftp。inoc。dl。nec。com/pub/security/sock。cstc

代理服务通常由两个部分构成：代理服务器程序和客户程序。相当多的代理服务器要求使用固定的客户程序。例如SOCKS要求适应SICKS的客户程序。如果网络管理员不能改变所有的代理服务器和客户程序，系统就不能正常工作。代理使网络管理员有了更大的能力改善网络的安全特性。然而，它也给软件开发者、网络系统员和最终用户带来了很大的不便，这就是使用代理的代价。也有一些标准的客户程序可以利用代理服务器通过防火墙运行，如mail、FTP和telnet等。即便如此，最终用户也许还需要学习特定的步骤通过防火墙进行通信。

透明性对基于代理服务企的防火墙显然是一个大问题。即使是那些声称是透明性防火墙的代理也期望应用程序使用特定的TCP或UDP端口。假如一个节点在非标准端口上运行一个标准应用程序，代理将不支持这个应用程序。许多防火墙允许系统管理员运行两个代理拷贝，一个在标准端口运行，另一个在非标准端口运行，常用服务的最大数目取决于不同的防火墙产品。

基于代理服务的防火墙厂商正在开始解决这个问题。基于代理的产品开始改进成能够设置常用服务和非标准端口。然而，只要应用程序需要升级，基于代理的用户会发现他们必须发展新的代理。一个明显的例子是许多的Web浏览器中加入了大量的安全措施。防火墙的购买者应留心询问防火墙厂商他们的产品到底能处理哪些应用程序。另外，基于代理服务器的防火墙常常会使网络性能明显下降。相当多的防火墙不能处理高负载的网络通信。

应用层网关

应用层网关可以处理存储转发通信业务，也可以处理交互式通信业务。通过适当的程序设计，应用层网关可以理解在用户应用层(OSI模型第七层)的通信业务。这样便可以在用户层或应用层提供访问控制，并且可以用来对各种应用程序的使用情况维持一个智能性的日志文件。能够记录和控制所有进出通信业务，是采用应用层网关的主要优点。在需要时，在网关本身中还可以增加额外的安全措施。

对于所中转的每种应用，应用层网关需要使用专用的程序代码。由于有这种专用的程序代码，应用层网关可以提供高可靠性的安全机制。每当一个新的需保护的应用加入网络中时，必须为其编制专门的程序代码。正是如此，许多应用层网关只能提供有限的应用和服务功能。

为了使用应用层网关，用户或者在应用层网关上登录请求，或者在本地机器上使用一个为该服务特别编制的程序代码。每个针对特定应用的网关模块都有自己的一套管理工具和命令语言。

采用应用层网关的一个缺陷是必须为每一项应用编制专用程序。但从安全角度上看，这也是一个优点，因为除非明确地提供了应用层网关，就不可能通过防火墙。这也是在实践“未被明确允许的就将被禁止”的原则。

专用应用程序的作用是作为“代理”接收进入的请求，并按照一个访问规则检查表进行核查，检查表中给出所允许的请求类型。在这种情况下，这个代理程序被称为一个应用层服务程序代理。当收到一个请求并证实该请求是允许的之后，代理程序将把该请求转发给所要求的服务程序。因此，代理程序担当着客户机和服务器的双重角色。它作为服务器接收外来请求，而在转发请求时它又担当客户机。一旦会话已经建立起来，应用代理程序便作为中转站在起动该应用的客户机和服务器之间转抄数据。因为在客户机和服务器之间传递的所有数据均由应用层代理程序转发，因此它完全控制着会话过程，并可按照需要进行详细的记录。在许多应用层网关中，代理程序是由一个单一的应用层模块实现的。

2.计算机防火墙与应用——网络安全技术.论文篇二

1 防火墙在计算机网络安全中的应用

防火墙指的是一个由软件和硬件设备组合而成、在内部网络和外部网络之间构造的安全保护屏障, 用以保护内部网络免受外部非法用户的侵入, 有效地控制内外网之间的网络数据流量。在网络安全防御系统中, 防火墙是一个十分重要的组成部分, 也是网络层防御的重要防线之一。

2 计算机网络安全中防火墙技术的分类

为了达到安全防御的目的, 必须使内部网络和外部网络之间的所有数据流都经过防火墙;并且只有符合防火墙规则设置的数据流才能通过防火墙;防火墙本身要有非常强的抗攻击能力和自我免疫能力。这是多年来防火墙发展和更新的结晶。根据防火墙技术的分类, 以下介绍几种常用的防火墙技术类型。

2.1 数据包过滤型

数据包过滤型防火墙技术是在对数据包读取的过程中, 通过其相关信息判定这些数据的可信度及安全性, 以此作为结果判断依据实施数据处理。一旦数据包没有得到防火墙的信息, 那么也就无法进入到计算机操作系统之中。相对来讲, 这种防火墙技术具有较高的实用性, 通常在网路环境中均能够有效地为计算机网络安全提供保护, 同时也能够在实际应用中对其推广应用。但是, 因为这一技术是依照基本信息对其安全性实施判定, 因此也就不能有效地过滤一些应用程序和邮件病毒。另外, 如果一些数据伪造IP地址, 也能够成功骗过防火墙数据包过滤, 之后进入网络系统实施攻击和破坏, 那么也就会对计算机网路安全产生严重影响。

2.2 代理型

这一类型的防火墙技术也就是代理服务器, 其能够回应输入封包, 阻断内部网和外部网之间的信息交流。代理型防火墙技术是在客户和服务器之间, 因此对于客户机来讲, 技术本身也就被认为是一台服务机器, 不仅能够加强外部网络篡改内部网络阻力, 同时就算是误用计算机内部系统, 也不会出现从防火墙之外入侵计算机, 而致计算机出现安全漏洞, 能够显著提升计算机网络的安全性。目前, 这一技术已经在逐渐向应用层面发展, 专门针对入侵计算机应用层病毒实施相应的防护。但是, 这一技术也有缺点, 会提高计算机网络安全防护成本, 并且对计算机管理人员专业水平和综合素质的要求较高。这会进一步增加网络管理压力。

2.3 监测型

这一防火墙技术能够主动完成网络通信数据监测任务, 从而提高计算机网络安全性。起初, 计算机防火墙的设计理念是过滤对计算机网络安全造成影响的信息和数据, 那么这就首先需要成功应用监测型防火墙技术。这一技术在相关信息监测工作中有着十分重要的优势条件, 可以显著提升计算机安全保障能力。但是, 这一技术的管理和成本投入比较高, 因此到目前为止, 这一技术也没有得到普及和应用。在实际网络环境下, 可以依照实际情况选择合适的监测技术, 从而降低在计算机网络安全基础上的投入成本。

3 一种计算机网络的防火墙安全设计

为了确定防火墙设计策略, 进而构建实现策略的防火墙, 应从最安全的防火墙设计策略开始。

3.1 开发环境

计算机操作系统:Windows XP Professional

运行环境:Java语言运行环境JDK1.7

程序编辑:Ultra Edit-32

3.2 设计思路

采用代理的防火墙替代之前用户和互联网之间的连接。代理服务器作为服务器的中转站, 其设计一定要满足以下要求: (1) 确保可以及时接收客户端发送的请求, 并解释; (2) 能够成功创建与服务器的连接; (3) 能够在接收相应服务器发来的信号之后再将其成功发送, 并传输到客户端。依照这些要求, 服务器的工作模型设计则如图1所示。

3.3 防火墙安全控制程序的配置

在防火墙安全设计中, 主要是合理配置防火墙安全控制程序, 在其内部网络中有效连接PC2、Edge和Core, 之后应用超级终端软件合理配置相关设备。其具体步骤为: (1) 在PC2计算机中配置网络地址。相关设计为IP地址设置为10.10.10.15, 子网掩码为255.255.255.0。 (2) 合理配置交换机2626B, 并将其分成多个局域网。这一步骤只需要对Vlan1分配, 其中, 相关设计为IP地址设置为10.1.1.3/24, 终端上的命令则分别是2626B (Vlan-1) #Vlan110tagged?25, 2626B (Vlan-1) #ipaddress10.1.1.3/24及2626B (config) #Vlan1。

3.4 双防火墙的设计

双防火墙方案的设计如图2所示。为了显著降低公共服务器的安全风险, 在计算机网络防火墙设计中可以设计2个防火墙——第一个防火墙可以在Internet连接处设计, 从而为服务器提供保护, 确保计算机网络的安全运行;第二个防火墙可以设计在公共服务器和内部网络之间, 其主要目的是对内部网络实施保护。在计算机网络安全防护中应用这种保护技术, 同时在其之间设计DMZ网络, 可以显著提高计算机网络的安全性。

4 计算机网络安全的防火墙体系结构

4.1 屏蔽路由器

屏蔽路由器是一种防侵扰安全结构, 能够有效避免内部网络受到外部网络及参数网络侵扰。因为它是实现内部网络和外部网络的唯一通道, 所以也就能够有效地对相关数据实施过滤。但是, 由于是在IP层安装报文过滤软件的, 这一软件本身也就有报文过滤设置选项, 所以也就能够过滤一些简单的报文。但是, 如果其被成功攻陷, 就会出现用户识别问题。

4.2 双穴主机网关

双穴主机网关是采用一台堡垒主机作为防火墙, 并且要在这台主机上安装两块网卡, 这样就能够发挥防火墙的作用。堡垒主机系统软件不仅能够维护系统日志, 同时也能够实施硬件拷贝日志和远程日志功能。这一功能为计算机网络检查和管理工作提供了便利。其缺点是在计算机受到攻击时, 其攻击对象则很难被网管员确认。一旦堡垒主机受到攻击, 那么之前的双穴主机网关也就退化成为最简单的路由器。

4.3 被屏蔽主机网关

在堡垒主机中只设置了1个网卡, 以此连接内部网络和被屏蔽主机网关。在路由器上将过滤规则设立出来, 同时单宿堡垒主机也要被设置成为唯一一个能够访问Internet的主机, 以此控制未授权外部用户攻击内部网络。如果其保护的是一个虚拟扩展的本地网, 并没有设置子网及路由器, 那么堡垒主机及屏蔽路由器的配置也就不会受到内部网络变化的影响。有效限制堡垒主机及屏蔽路由器中的危险带。网关基本控制作用实现的决定因素是安装在其上的软件。如果网络安全的攻击者设法登录上去, 那么也就会对内部网络其余主机的安全造成严重威胁。这一情况与双穴主机网关受到攻击的影响差不多。

5 结束语

总之, 在网络技术不断发展的背景之下, 防火墙安全问题研究具有巨大的社会价值和经济价值。我们要积极探索和完善计算机网络防火墙技术设计, 实现计算机网络防火墙的规范化、标准化和现代化管理, 切实提高计算机安全性。本研究提出的防火墙技术设计具有较高的安全性, 并且操作也非常容易, 具有较高的实用价值, 所以在实际应用中可广泛推广。确保计算机网络信息安全是一项复杂的系统工程, 相关的安全措施有很多, 仅靠其中的某一项或几项是很难解决好网络安全问题的。因此, 在具体工作中, 还需要根据网络的实际情况制订细致而全面的多级安全防范措施, 尽可能提高网络系统的安全性和可靠性, 为社会发展提供基础保证。

摘要：在当前社会不断发展的过程中, 网络安全已成为人们关心的主要问题。阐述了防火墙技术在计算机网络中的安全防御作用, 对不同类型的防火墙技术的工作原理、特点及缺点进行了分析, 并提出了一种防火墙体系结构设计方案, 能够较好地实现对网络的安全保护, 以期为日后的相关工作提供参考, 提高计算机网络环境的安全性。

关键词：计算机,网络安全,防火墙,安全设计

参考文献

[1]包丽丽.关于计算机网络防火墙的安全设计与应用分析[J].科技与创新, 2016 (13) .

[2]袁玉珠.计算机网络防火墙的安全设计与应用研究[J].数字通信世界, 2016 (6) .

3.计算机网络安全与防火墙技术研究篇三

关键词：网络安全；防火墙技术

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 （2011） 13-0000-01

Computer Network Security and Firewall Technology Research

Wang Long

(Information Engineering Institute,Dalian University,Dalian116622,China)

Abstract:With the spread of information technology more widely,people's information technology needs more and more of the Department ah,computer network security has become an important issue of information technology.Play for the network to maximize the benefits to ensure that basic network security,network operators have introduced a firewall system.Firewall is an effective means of protecting computer information one.Firewall to a certain extent,ease the network risk.This article discusses the main content is the firewall and network security,analysis of the significance of the firewall,classification,characteristics and other aspects,technical aspects of the firewall.

Keywords:Network security;Firewall technology

一、防火墙的意义

防火墙是保护计算机信息安全的，计算机内部网与外界网络之间的保护程序。防火墙可以组织危险信息侵入计算机，防止计算机内部信息外泄，阻挡外界网络的病毒流入计算机，同时不断地监测网络安全性，可为计算机使用者提供一个安全的计算机环境。防火墙可以对计算机中的重要信息进行监测，并做好日记记录，加强网络安全性能，为客户提供更好的安全管理服务。

二、防火墙的分类

（一）按软硬件形式分类。根据软硬件形式分类，防火墙可分为软件防火墙与硬件防火墙。最先研发出来的防火墙系统属于硬件系统，如同我们日常见到的交换机。随着信息技术的不断发展，为满足人们日益增长的要求，软件防火墙应运而生。软件防火墙是可以安装在个人主机里的，随时可以保护主机信息安全。如360的防火墙，实时监控网络有无异情。（二）按技术分类。按照目前防火墙技术分类基本可以分为三大类：包过滤型、应用代理型和状态检测型。包过滤型防火墙的工作范围是OSI（开放系统互连）网络参考模型的网络层和传输层。只有达到过滤要求的数据包才被允许通过防火墙，传至计算机目的地，达不到要求的数据包则会被丢弃或毁灭。包过滤型防火墙监管比较全面，可以保证数据传输的安全。应用代理型防火墙位于OSI的顶层。属于高端防护。通过编制的服务程序对通过计算机的信息流、数据包进行实时监测和控制。可完全阻隔不安全信息，达到保护计算机信息的目的。状态检测型防火墙主要是对计算机网络连接进行安全监督。它会把连在一起的数据包当作一个整体来看，若数据连接有危险情况，包含不安全数据，状态检测型防火墙就会阻止该数据通过。它拥有较高的稳定性能、延伸性能、安全性能。但是该类型防火墙在检测数据包同时会记录相关信息，这个步骤大大降低了防火墙的运行速度，影响到网络信息传递速度。（三）按结构分类。防火墙根据结构分类，可分为单一主机防、路由器集成式和分布式防火墙。（四）根据位置分类。防火墙的部署位置分类一般有三种，边界防火墙，个人防火墙和混合防火墙。

三、目前常用网络安全策略

网络安全最常用的安全策略是数据加密，安全性能较好，可以较好地保护计算机信息安全，预防计算机信息被篡改或泄漏。数据加密有链路加密、端端加密、节点加密和混合加密之分。

链路加密是将两个网络连接点进行加密，主要通过设定密码的方式进行数据保护。避免不良危险数据的侵入。链路加密最大的优点是可以防止外界窃听，其缺点是中间节点缺乏加密措施，会暴露网络信息数据，不能实现通信安全。端端加密方式是对信息源头进行加密保护，可运用文件传输节点数据的方式保护目标节点用户的信息安全。可靠性比较高，是比较容易实现安装的防火墙技术。节点加密是保护源头点与目标节点之间的信息传递，也是运用加设密码的方式。但是其密码设定方法与链路加密不一样。混合加密，顾名思义就是将链路加密与端端加密两种方式结合在一起，起到更好的安全保护性能，提高了安全可靠性。

四、防火墙技术分析

（一）防火墙的安全措施。防火墙的安全体系可以分为三个部分：防护、检测、响应。防火墙的检测系统应该在危险数据侵入之前发现危险数据的企图，然后响应相关系统采取处理措施。整个安全系统是一个整体，可有效地实现防御机制。（二）防火墙的弱点。防火墙是一种防御系统，在外网与内网，专用网与公共网之间的界面上形成阻隔，从而达到安全网络的目标。我们需要明白的是，防火墙的本质只是维护网络安全，单一的防御系统无法达到百分百网络安全的目的。防火墙只是保护计算机信息安全的一道防线，它不能解决所有病毒入侵，黑客攻击等问题。随着信息技术的不断发展，防火墙也应该克服自身弱点，不断发展，取得更高的安全可靠性。（三）防火墙技术发展方向。防火墙的防护作用不能仅仅局限在“墙”上，而是进一步发展。增强防火墙检测危险数据的灵敏力，缩短发现不良数据的时间，为处理不良数据保护计算机信息争取更多的时间。提高混合型防火墙的应用范围，从根本上提高网络安全性能。

五、小结

网络运营商为计算机用户提供越来越多的安全技术，防火墙在人们生活工作中应用范围越来越广。防火墙为保护计算机信息安全起到一定的作用。但是单一的防火墙不能完全保证网络的安全性能，同时需要用户学习更多的信息技术。

参考文献：

[1]张汉文,杨春山,徐君超等.计算机网络安全与防范问题初探[J].信息安全与通信保密,2005,10

[2]徐雷鸣,庞博,赵耀.NS与网络模拟[M].北京:人民邮电出版社,2008

[3]王竹林,张胜.网络安全实践[M].西安:电子科技大学出版社,2004

4.防火墙技术在网络安全的应用研究篇四

摘要：随着互联网信息技术的高速发展，网络技术已经被广泛运用到各个领域。但是，目前随着个人网络技术水平的提高，有许多非法的组织或者个人，通过破解密码偷窃学校、企业，甚至是国家的隐私性机密文件或者是资金，严重威胁到这些单位的财产和隐私安全。因此，网络在给社会带来巨大便捷性的同时，也隐藏着较大的安全隐患。防火墙技术是抵御“黑客”非法入侵和非法访问的有效手段之一。本文在此基础上重点探讨了如何在网络安全中合理应用防火墙技术，以达到保护网络安全的目的。

关键词：网络安全问题；防火墙技术；应用

引言：网络技术凭借着自身快捷性和准确性等优势，已经被广泛应用到社会各个领域。我国正处在由工业化社会向信息化社会过渡的阶段，人们对网络的依赖性较强，但企业、个人频繁出现信息资源被盗，机密性文件被窃取，网络被黑客制造的病毒攻击导致整个网络系统瘫痪等恶性事件，这些风险极大影响了企业的正常运行以及个人信息的保障。网络安全问题还不仅仅出现在企业运营上以及个人生活中，甚至还出现在国家安全部门或者机关部门中。所以，如何在信息化高速发展的今天，实现防火墙技术在网络安全的有效运用是有关部门需要长期探讨和研究的问题。我们要借鉴防火墙技术在网络安全成功应用的经验，提出创新性的方案和手段，来克服网络安全问题给社会带来的风险。

一、运用防火墙技术强化网络安全策略

相关单位在运用防火墙技术时，要重视配置以防火墙为中心的安全策略方案，将口令、身份认证、审查、加密等安全信息全部配置到防火墙上，这样相比将网络安全问题分散与各个主机或者是其它部位来讲，都集中在防火墙上更便于管理，安全性强，投入成本少，经济效益高。笔者根据自己长期的研究，总结了一套运用防火墙强化网络安全策略的相关配置方案，其基本步骤如下:第一，在控制面板上实现对防火墙基础信息的设置，这是实现防火墙强化网络安全策略的首要前提和根本保证；第二，实现对静态网络地址转换和动态网络地址转换为主的网络地址转换的设置，动态地址转化和静态地址转换的功能作用各不相同，动态地址转换主要用于内部网络的对外访问用户的出口，而静态地址转换则用来帮

助实现停火区的服务区地址的映射的效果，两者要紧密相连，缺一不可，否则防火墙也达不到其应有的功效；第三，为了最大程度的实现防火墙的防护功能，需要将应用于整个网络系统的安全策略应用添加到防火墙的安全策略列表当中，实现各个安全策略之间良性的运作效果。

二、发挥防火墙网络安全屏障的作用

防火墙是一种位于内部网络与外部网络之间的网络安全系统。实质上是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过，从而保护内部网络免受非法用户的侵入，从而实现网络安全。各个企业或者是单位要积极发挥防火墙网络安全屏障的作用，提高内部网络的安全性，通过过滤外来网络的不安全服务，降低网络安全风险的系数，防火墙只接收外来信息在系统可以准确识别的情况下的相关应用协议。同时，也极大的保护了网路免遭受基于路由的攻击和破坏，防火墙在受到不明信息的攻击和骚扰时，能够自觉运用并且同时将该情况通知防火墙的管理人员。从以上角度分析，说防火墙是网络安全的屏障。为了使防火墙更好的发挥在网络安全的屏障作用，企业等相关部门要采取一定的措施：第一，增强职员防火墙在网络安全中应用的意识；第二，建立其防火墙配置和管理部门，包括对防火墙管理人员的培训和管理；第三，加大对防火墙技术的资金投入，不断升级防火墙技术等。通过以上策略，完善防火墙技术在网络安全中的硬软件基础设施，在防火墙技术的屏障保护下，实现网络系统的健康稳定安全和可持续运行。

三、运用防火墙技术监控网络存取和访问

防火墙能有效地记录Internet上的任何活动，当其它网络用户等访问经过防火墙时，防火墙就会发挥自身技术监控审计的功能，不仅能详细记录这些访问的时间和来源，而且还可以自动生成日志，可供防火墙管理人员的日后参考和追究。当发生不明来源的信息和访问攻击内部网络时，防火墙能根据风险程度自动报警，并能提供网络是否受到外部网络的攻击和监测的详细信息，为有关单位指证不法犯罪团伙利用网络实施违法行为提供了证据。除此之外，时时记录网络的使用情况为日后调整防火墙对内部网络的控制力度也是具有一定的参考价值，分析网络安全风险存在的系数，从而加紧防范，遏制网络风险的生根发芽。有关部门要注重运用防火墙技术监控网络存取和访问这一功能，首先就要确保防火墙技

术的正常运行，保证24小时不分时间和部门进行监测和存取记录，做到防患于未然。

四、发挥防火墙对信息数据库安全维护的补充作用

信息数据库是各个企业必备的存储区域，信息，数据库的建立，不仅为了实现资源的有效整理，还兼顾保证信息，数据的安全。防止内部信息的外泄是防火墙的主要优点之一，我们之所以在某种程度上将防火墙视为一种隔离技术，是因为防火墙技术是一种将内部网和公众访问网（如Internet）分开的方法。利用防火墙我们可以实现对内部网重点网段的隔离，限制和拒绝了一些非法信息的侵入，确保了整个网络系统不受局部敏感的网络安全问题的影响。我们要加大在防墙技术和数据信息库这两者之间实现有效结合的技术研究和开发，使防火墙技术能够确保单位的信息和安全，维护单位和个人的利益。

结语：

网络安全问题的频繁出现，提高了人们对于维护网络安全的意识。通过防火墙技术在网络中的运用，网络安全已经得到了极大的改善。但是，我们不能否认一个防护墙并不能百分之百的保障网络安全，相关部门需要长期不断的探索，在摸索中开发出更先进的防火墙技术，提高网络的安全性。

参考文献：

5.计算机与网络应用技术原则篇五

市场经济的飞速发展，令计算机及其网络技术广泛普及并应用至人们生产生活较多领域之中，发挥了显著应用价值。

例如在科学计算实践中，计算机及其网络技术可辅助建设工程开展优质规划设计，做好地震灾害预警，并令气象预报更加准确清晰。

另外在计算机与网络应用技术的辅助下也形成了较多新兴学科。

例如计算力学、人工智能、模糊控制、生物控制等。

在过程检测控制领域，则可借助计算机技术对工业生产过程中的各类信号实施自动化检测控制，并将检测获取的各项信息数据储存至计算机之中，依据相关需求对该类数据展开科学的实践处理。

当前，计算机及其网络应用技术涉及较广泛的领域为信息管理，也可叫做数据处理。

其主体应用计算机实现加工、控制、管理，并做好操作数据各项资料信息与账目的清晰计算，开展计算机辅助体系的科学工程设计。

基于计算机及其网络应用技术的.众多优势功能，应用实践阶段中，对于局域网架构的选择、服务接入方式的筛选、学习知识类型的比选，我们应遵循科学的工程技术原则，方能令其核心价值全面发挥。

6.毕业论文(防火墙的技术与应用) 篇六

毕业论文

课题名称：防火墙的技术与应用作者：学号：系别：电子工程系专业：指导教师：

20**年**月**日

中文摘要

防火墙的技术与应用

摘要

计算机网络安全已成为当今信息时代的关键技术。当前网络安全问题存在着计算机病毒，计算机黑客攻击等问题。网络安全问题有其先天的脆弱性，黑客攻击的严重性，网络杀手集团性和破坏手段的多无性，解决网络安全问题重要手段就是防火墙技术。走在中国特色的防火墙技术发展之路,是确保我国网络安全的有效途径。防火墙技术的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文重点介绍防火墙技术的基本概念和系统结构，讨论了实现防火墙的两种主要技术手段：一种是基于分组过滤技术(Packet filtering)，它的代表是在筛选路由器上实现的防火墙功能；一种是基于代理技术(Proxy)，它的代表是在应用层网关上实现的防火墙功能。

关键词：网络安全；防火墙；技术；功能

I 郑州电子信息职业技术学院2011届毕业论文

中文摘要.................................................................I 1 引言..................................................................1 2 网络安全概述..........................................................1 3 协议安全分析..........................................................2 3.1 物理层安全........................................................2 3.2 网络层安全........................................................2 3.3 传输层安全........................................................3 4 网络安全组件..........................................................3 4.1 防火墙............................................................3 4.2 扫描器............................................................3 4.3 防毒软件..........................................................3 4.4 安全审计系统......................................................3 4.5 IDS...............................................................4 5 网络安全的看法........................................................4 5.1 隐藏IP地址有两种方法.............................................5 5.2 更换管理及账户....................................................5 6 防火墙概述............................................................5 6.1 防火墙定义........................................................5 6.2 防火墙的功能......................................................5 6.3 防火墙技术........................................................6 6.4 防火墙系统的优点..................................................7 6.5 防火墙系统的局限性................................................7 7 结论..................................................................8 参考文献.................................................................9 致谢..................................................................10 郑州电子信息职业技术学院2011届毕业论文引言

随着网络技术的普遍推广，电子商务的开展，实施和应用网络安全已经不再仅仅为科学研究人员和少数黑客所涉足，日益庞大的网络用户群同样需要掌握网络安全知识。由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡次发生，一些黑客把先进的计算机网络技术，当成一种犯罪工具，不仅影响了网络的稳定运行和用户的正常使用,造成许多经济损失,而且还会威胁到国家的安全，一些国家的机密被黑客破坏造成网络瘫痪。如何更有效地保护重要信息数据，提高计算机网络的安全性已经成为世界各国共同关注的话题，防火墙可以提供增强网络的安全性，是当今网络系统最基础设施，侧重干网络层安全，对于从事网络建设与管理工作而言，充分发挥防火墙的安全防护功能和网络管理功能至关重要。网络安全概述

网络安全是指网络系统的硬件、软件及其系统中的数据受到了保护，不因偶然的或恶意的原因而遭受到破坏、更改、泄露、系统正常地运行网络服务不中断，网络安全的定义从保护角度来看，是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，从广义上来说，凡是涉及到计算机网络上信息的机密性，完整性、可用性、可控性、可审查性的相关技术和理论都是计算机网络安全的研究领域。

网络安全的具体含义会随着“角度”的变化而变化，比如：从个人的角度来说，凡是涉及到个人隐私的信息在网络上传输时受到机密性完整性和真实性的保护避免其他人利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。

网络安全应具有以下五个方面的特征：机密性：确保信息不暴露给未授权的实体或进程。完整性：只有得到授权的实体才能修改数据，并且能够判别出数据是否已被篡改。可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。可控性：可以控制授权范围内的信息流向及行为方式。可审查性：对出现的网络安全问题提供调查的依据和手段。

从管理者角度说网络信息的访问读写操作受到保护和控制避免病毒侵入，非法存取、非法占用、非法控制等威胁，防止网络黑客的攻击，对安全保密部门来说，对于非郑州电子信息职业技术学院2011届毕业论文

法的有害的或涉及国家机密的信息进行过滤和防止，对社会造成危害，对国家造成巨大损失的机要信息的泄漏进行防止，做到杜绝。

现在全球普遍存在缺乏网络安全的重要性，这导致大多数网络存在着先天性的安全漏洞和安全威胁，使用TCP/IP协议的网络所提供的网络服务都包含许多不安全的因素，存在着一些漏洞网络的普及使信息共享达到了一个新的层次，信息被暴露的机会大大增多，特别是Internet网络就是一个不设防的开放大系统，近年来，计算机犯罪案件也急剧上升，计算机犯罪是商业犯罪中最大的犯罪类型之一，每年计算机犯罪造成的经济损失高达50亿美元，在信息安全的发展过程中企业和政府的的要求有一致的地方，也不有一致的地方，企业注重于信息和网络安全的可靠性，政府注重于信息和网络安全的可管性和可控性，在发展中国家，对信息安全的投入还满足不了信息安全的需求，同时投入也常常被挪用和借用。协议安全分析

3.1 物理层安全

物理层安全威胁主要指网络周边环境和物理特性引起的网络设备和线路的不可用而造成的网络系统的不可用，如：设备老化、设备被盗、意外故障，设备损毁等。由于以太局域网中采用广播方式，因此在某个广播域中利用嗅探器可以在设定的侦听端口侦听到所有的信息包，并且对信息包进分析，那么本广播域的信息传递都会暴露无遗，所以需将两个网络从物理上隔断同时保证在逻辑上两个网络能够连通。3.2 网络层安全

网络层的安全威胁主要有两类：IP欺骗和ICMP攻击。IP欺骗技术的一种实现方法是把源IP地址改成一个错误的IP地址，而接收主机不能判断源IP地址的正确性，由此形成欺骗，另外一种方法是利用源路由IP数据包让它仅仅被用于一个特殊的路径中传输，这种数据包被用于攻击防火墙。

ICMP在IP层检查错误和其他条件。ICMP信息、对于判断网络状况非常有用，例如：当PING一台主机想看它是否运去时，就产生了一条ICMP信息。远程主机将用它自己的ICMP信息对PING请求作出回应，这种过程在网络中普遍存在。然而，ICMP信息能够被用于攻击远程网络或主机，利用ICMP来消耗带宽从而有效地摧毁站点。

郑州电子信息职业技术学院2011届毕业论文

3.3 传输层安全

具体的传输层安全措施要取决于具体的协议，传输层安全协议在TCP的顶部提供了如身份验证，完整性检验以及机密性保证这样的安全服务，传输层安全需要为一个连接维持相应的场景，它是基于可靠的传输协议TCP的。由于安全机制与特定的传输协议有关所以像密钥管理这样的安全服务可为每种传输协议重复使用。现在，应用层安全已被分解成网络层、操作系统、数据库的安全，由于应用系统复杂多样不存在一种安全技术能够完全解决一些特殊应用系统的安全问题。网络安全组件

网络的整体安全是由安全操作系统、应用系统、防火墙、网络监控安全扫描、信息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的，每一个单独的组件只能完成其中部分功能，而不能完成全部功能。4.1 防火墙

防火墙是指在两个网络之间加强访问控制的一整套装置，是软件和硬件的组合体，通常被比喻为网络安全的大门，在内部网和外部网之间构造一个保护层，用来鉴别什么样的数据包可以进出企业内部网。防火墙可以阻止基于IP包头的攻击和非信任地址的访问，但无法阻止基于数据内容的黑客攻击和病毒入侵，同时也无法控制内部网络之间的攻击行为。4.2 扫描器

扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器可以自动发现系统的安全缺陷，扫描器可以分为主机扫描器和网络扫描器，但是扫描器无法发现正在进行的入侵行为，而且它也可以被攻击者加以利用。4.3 防毒软件

防毒软件可以实时检测，清除各种已知病毒，具有一定的对未知病毒的预测能力利用代码分析等手段能够检查出最新病毒。在应用对网络入侵方面，它可以查杀特洛伊木马和蠕虫等病毒程序，但不能有效阻止基于网络的攻击行为。4.4 安全审计系统

安全审计系统对网络行为和主机操作提供全面详实的记录，其目的是测试安全策略是否完善，证实安全策略的一致性，方便用户分析与审查事故原因，协助攻击的分析收郑州电子信息职业技术学院2011届毕业论文

集证据以用于起诉攻击者。4.5 IDS 由于防火墙所暴露出来的不足，引发人们对IDS（入侵检测系统）技术的研究和开发。它被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击，外部攻击和误操作的实时保护。

IDS的主要功能：监控、分析用户和系统的活动。核查系统配置和漏洞。评估关键系统和数据文件的完整性。识别攻击的活动模式，并向网管人员报警。对异常活动的统计分析。操作系统审计跟踪管理，识别违反政策的用户活动。评估重要系统和数据文件的完整性。

IDS可分为主机型和网络型两种：主机型入侵检测系统，主要用于保护运行关键应用的服务器，它通过监视与分析主机的审计记录和日志文件来检测入侵。网络型入侵检测系统主要用于实时监控网络关键路径信息，它通过侦听网络上的所有分组来采集数据、分析可疑现象。网络入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。

由于每个网络安全组件自身的限制，不可能把入侵检测和防护做到一应俱全所以不能指望通过使用某一种网络安全产品实现绝对的安全，只有根据具体的网络环境，有机整合这些网络安全组件才能最大限度地满足用户的安全需求，在这个通信发达的时代，网络安全组件是不可缺少的，用户的安全要得到保障那就使用网络安全组件吧！它能给你带来意想不到的效果。网络安全的看法

随着互联网在家庭中的普及，家庭网络安全越来越受欢迎。家庭网络安全主要表现在两个方面，一是个人电脑中毒，二是被非法用户入侵。个人以为可以从“内”和“外”两个方面来解决。

从内的方面来讲“内”指用户本身，防止由于自己的疏忽而造成的损失。主要包括安装一些必要的软件，主要是防火墙、杀毒、防木马等安全软件。要有一个安全的工作习惯。积极备份。积极防范。打好补丁。这几种方法只是网络安全方面常用的方法，实际上保证安全从“内”的方面来说还包括很多方面，如操作不当造成软硬件损坏等。当然这些就不仅仅是网络安全方面了，实际上只要用户在以上所说的五个方面做得不错的郑州电子信息职业技术学院2011届毕业论文

话，基本上网络安全方面可以放60%以上的心了。只不过许多用户在这些方面一般不太在意结果造成数据的损失。从外的方面来讲“外”指由外界而来的攻击，一般指黑客攻击。要防止黑客的攻击，我介绍几种简单容易上手同时效果也不错的方法供大家参考。5.1 隐藏IP地址有两种方法

代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。二是使用一些隐藏IP的软件，如赛门铁克公司的Norton Internet security,不论黑客使用哪一个IP扫描工具，都会告诉你根本没有这个IP地址，黑客就无法攻击你的计算机了。5.2 更换管理及账户

Administrator账户拥有最高的系统权限，一旦该账户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator账户的密码，所以我们要重新配置Administrator账户首先为Administrator账户设置一个强大复杂的密码，然后我们重命名Administrator账户再创建一个没有管理员权限，也就在一定程度上减少了危险。在WINDOWSXP系统中打开控制面板，单击“用户帐户/更改帐户”，弹出“用户帐户”窗口，再点“禁用来宾账户”即可。防火墙概述

6.1 防火墙定义

在计算机网络中，防火墙是指一种将内部网和公众访问网分开的方法，它实际是一种隔离技术，它允许“可以访问”的人和数据进入网络，同时将“不允许访问”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问网络，如果不通过防火墙，人们就无法访问Internet，也无法和其它人进行通信，它具有较强的抗攻击能力，提供信息安全服务，实现网络和信息安全的基础设施。6.2 防火墙的功能

防火墙的访问控制功能；访问控制功能是防火墙设备的最基本功能，其作用就是对经过防火墙的所有通信进行连通或阻断的安全控制，以实现连接到防火墙上的各个网段郑州电子信息职业技术学院2011届毕业论文的边界安全性，为实施访问控制功能，可以根据网络地址、网络协议以及TCP UDP端口进行过滤；可以实施简单的内容过滤，如电子邮件附件的文件类型等可以将IP与MAC地址绑定以防止盗用IP的现象发生，可以对上网时间段进行控制，不同时段执行不同的安全策略。防火墙的访问控制采用两种基本策略，即“黑名单”策略和“白名单”策略，指除了规则允许的访问，其他都是禁止的。支持一定的安全策略，过滤掉不安全服务和非法用户。利用网络地址转换技术将有限的IP地址动态或静态地址与内部的IP地址对应起来，用来缓解地址空间短缺的问题。可以连接到一个单独的网络上，在物理上与内部网络隔开并部署WWW服务器和FTP服务器，作为向外部外发布内部信息的地点。防火墙支持基于用户身份的网络访问控制，不仅具有内置的用户管理及认证接口，同时也支持用户进行外部身份认证。防火墙可以根据用户认证的情况动态地调整安全策略实现用户对网络的授权访问。6.3 防火墙技术

按照实现技术分类防火墙的基本类型有：包过滤型、代理服务型和状态包过滤型。包过滤技术；包过滤通常安装在路由器上，并且大多数商用路由器都提供了包过滤的功能。包过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。包过滤是一种通用有效的安全手段。它在网络层和传输层起作用。它根据分组包的源宿地址端口号及协议类型，来确定是否允许分组包通过。包过滤的优点是它对于用户来说是透明的，处理速度快且易于维护，通常作为第一道防线。

代理服务技术；代理服务系统一般安装并运行在双宿主机上，使外部网络无法了解内部网络的拓扑，比包过滤防火墙安全，由于安全性比较高，所以是使用较多的防火墙技术。代理服务软件运行在一台主机上构成代理服务器，负责截客户的请求。根据安全规则判断这个请求是否允许，如果允许才能传给真正的防火墙。代理系统是客户机和真实服务器之间的中介，完全控制客户机和真实服务器之间的流量并对流量情况加以记录，它具有灵活性和安全性，但可能影响网络的性能对用户透明，且对每一个服务器都要设计一个代理模块，建立对应的网关层实现起来比较复杂。

代理服务技术的优点：1.提供的安全级别高于包过滤型防火墙。2.代理服务型防火墙可以配置成惟一的可被外部看见的主机，以保护内部主机免受外部攻击。3.可能强制执行用户认证。4.代理工作在客户机和真实服务器之间，完全控制会话，所以能提供较详细的审计日志。郑州电子信息职业技术学院2011届毕业论文

状态检测技术；状态检测防火墙在网络层由一个检测模块截获数据包，并抽取与应用层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝。检测模块维护一个动态的状态信息表，并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化该连接就被中止。这种技术提供了高度安全的解决方案，同时也具有较好的适应性和可扩展性。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性不要求每个被访问的应用都有代理，状态检测模块能够理解各种协议和应用以支持各种最新的应用服务。状态检测模块截获分析并处理所有试图通过防火墙的数据包，保证网络的高度安全和数据完整网络和各种应用的通信状态动态存储更新到动态状态表中，结合预定义好的规则实现安全策略，状态检测不仅仅对网络层检测而对OSI七层模型的所有层进行检测，它与前面两种防火墙技术不同，当用户访问请求到达网关的操作系统前，状态监器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳拒绝，身份认证，报警或给该通信加密等处理动作。状态检测技术的特点：安全性、高效性、可伸缩性和易扩展性。

6.4 防火墙系统的优点

可以对网络安全进行集中控制和管理；防火墙将受信任的专用网与不受信任的公用网隔离开来，将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上在结构上形成了一个控制中心，大大加强了网络安全性，并且简化了网络管理。由于防火墙在结构上的特殊位置，使其方便地提供了监视管理与审计网络的使用及预警。为解决IP的地址危机提供了可行方案。由于Internet的日益发展及其IP地址空间的有限，使用户无法获得足够的注册IP地址，防火墙系统则正处于设置网络地址转换NAT的最佳位置，NAT有助于缓和IP地址空间的不足，并使得一个结构改变Internet服务提供商时而不必重新编址。防火墙系统可以作为Internet信息服务器的安装地点，对外发布信息。

6.5 防火墙系统的局限性

防火墙系统存在着如下局限性：常常需要有特殊的较为封闭的网络拓扑结构来支持，对网络安全功能的加强往往以网络服务的灵活性、多样性和开放性为代价。防火墙系统的防范对象来自外部对内部网络攻击，而不能防范不经由防火墙的攻击。比如通过SLIP或PPP的拨号攻击，绕过了防火墙系统而直接拨号进入内部网络，防火墙对这样的 7 郑州电子信息职业技术学院2011届毕业论文

攻击很难防范。防火墙在技术原理上对来自内部网络系统的安全威胁不具备防范作用。比如不能防范内奸或由用户造成的危害。结论

网络的迅速发展，给我们的工作和生活带来了巨大的改变。在网络日益复杂化，多样化的今天，安全受到人们越来越多的关注。如何保护各类网络和信息的安全，成为人们研究的焦点，其中防火墙是运用非常广泛和效果最好的选择。但是，防火墙技术也有它的不足之处，为了更好的维护网络安全，还需要其他的技术相结合，以及更先进的技术的发现。郑州电子信息职业技术学院2011届毕业论文

参考文献

[1] 邓亚平.计算机网络安全[M].北京:北京人民邮电出版社.2004.50-75.[2] 冯元.计算机网络安全基础[M].北京:科学出版社.2004.120-150.[3] 穆红涛.Internet实用技术[M].北京:大连理工大学出版社.2005.150-198.[4] 张仕斌.网络安全技术[M].北京:清华大学出版社.2001.17-38.[5] 梁亚声.计算机网络安全技术教程[M].北京:机械工业出版社.2004.110-187.郑州电子信息职业技术学院2011届毕业论文

致谢

首先，我要特别感谢***老师对我的悉心指导，在本文完成期间他帮助我收集文献资料，理清设计思路，指导方法。**老师渊博的知识、严谨的学风、诲人不倦的态度和学术上精益求精的精神使我有了进一步的提高。

7.计算机网络安全与防火墙技术篇七

1 计算机网络存在安全隐患的原因

首先, 认证环节缺乏安全性。计算机网络认证方法主要是口令, 但是无论何种口令, 都具有一定的薄弱性, 非常容易被破解。比如解密口令, 利用信道窃取口令等, 一旦口令被破解, 非法用户就会侵入计算机网络系统中, 盗取信息;其次, 网络系统非常容易被监视。通常情况下, 用户会应用Telnet以及FTP等方式连接远程主机, 这期间虽然会上传口令, 但是口令却没有加密, 非法用户能够利用IP包监视用户, 获取用户的口令以及相应的用户名, 再运用这些口令登录用户使用的网络系统, 盗取信息;最后, 计算机网络系统具有容易欺骗的特征。现实生活中, 非法用户时常会模仿用户系统。比如很多企业会将某一类型的主机当作是局域网服务器, 普通的员工使用自己的电脑与中网络软件来与主机进行连接。员工自己的电脑通常是应用NFS来访问主机中的目录与文件, 待到员工关闭电脑之后, 非法用户只需要几个小时就能够复制员工的系统, 系统的名字与IP地址都与员工个人电脑相同, 非法用户使用自己复制的系统与主机连接, 接收主机的信息, 也可以向主机发送信息。所以即使没有任何权力的用户也可以伪造电子邮件。

2 确保计算机网络安全的对策

2.1 物理安全对策

第一, 相关人员需要对计算机系统等各种硬件设备展开保护, 使其不会受到自然环境的影响, 也不会遭受到人为破坏, 也不会出现搭线攻击;第二, 验证用户身份, 确定每个用户的权限, 以此保证用户都在指定的权限内进行操作;第三, 保证计算机工作环境良好, 硬件系统与软件系统不会受侵害;第四, 制定安全管理条款, 规范管理人员行为, 对非法侵入者展开调查, 给予相应的惩罚。除了上述几点外, 计算机维护人员还可以使用滤波器, 该设备的信号线以及电源线的性能必须非常强, 以便能够降低计算机网络传输过程中产生的阻抗;另外, 还需要展开敷设保护, 比如使用电磁屏蔽以及干扰对策。主要的方法是待到计算机系统运行期间, 相关人员安装屏蔽或干扰装置, 并且发出相关声波, 声波应该与计算机系统电磁辐射十分相似, 这样计算机系统真实的工作频率以及所产生的信息特征就能够被有效的隐藏起来, 从而达到保护计算机网络物理安全的目的。

2.2 访问控制对策

访问能够得到有效的控制, 非法用户就不能随意的进入到系统中, 窃取信息。访问控制所要达到的最终目标就是阻止非法入侵, 保护系统信息资源。相关人员需要依据计算机系统的特点, 进行访问控制, 为不同类型的人设置不同的权限。

2.3 网络安全管理对策

首先, 必须运用先进的技术手段, 之后与先进的管理制度相配合。规章制度中, 必须对各类人员安全防护责任加以落实, 并且明确违法行为的惩罚对策, 一旦出现违法行为, 需要按照制度规定进行处罚。只有技术手段与管理制度都能够落实到位, 计算机网络安全才能够有所保障。

3 防火墙技术

3.1 防火墙的概念

防火墙指的是一类防范计算机网络安全的措施的总称它主要是通过将外部网络与内部网络隔绝起来, 对于网络互访进行限制, 从而达到保护内部网络的目的, 在现有的网络安全模型中, 防火腔是一种行之有效的模型之一在Internet中, 防火墙虽然将安全区域与风险区域进行了隔绝, 然而它并不影响人们访问风险区域防火墙可以通过对进出网络的通信量进行监控, 让一些安全的信息进入到计算机系统的内部, 有效地抵制了危险数据对于网络安全构成的威胁

3.2 防火墙的分类

防火墙的分类可以采用软硬件的形式来进行, 分为软件防火墙与硬件防火墙最早出现的防火墙属于硬件产品, 它和平常的集线器以及交换机是一样的然而随着计算机软件技术的飞速发展以及防火墙应用的普及, 许多的网络安全软件生产商开发出了一种防火墙, 它是基于纯软件的防火墙, 满足了广大用户对于防火墙技术的需求这种防火墙可以称之为个人防火墙, 因为它是在主机上进行安装的, 保护的对象只是一台主机而非整个的网络系统

4 防火墙系统的构建

4.1 创建步骤

对于防火墙的创建, 通常来说需要进行六个步骤, 首先要制定出安全的计划、构建出合理的体系、制定出必要的规章制度、对于规则集进行落实、及时的进行控制更换以及做好必要的审计工作

4.2 应遵循的原则

在进行防火墙的构建过程中, 必须要遵循两个原则首先要遵循的就是没有得到说明许可的就是拒绝防火墙对于流经的所有信息都会进行阻挡, 所有的服务请求的实现都应该是在逐项审查的基础上实现的这种方法非常值得推广, 通过这种方法可以建立起一个十分安全的网络环境然而这种理念还存在一些不足之处, 由于其对于安全过分的强调, 肖」弱了它的可用性其次, 还应该坚持没有进行说明拒绝的行为都是许可的原则防火墙在这一原则下是暗示所有的信息都可以进行流通, 所有的信息都是经过安全审查的然而, 在这种情况下, 就会使得可用性高于安全性, 使得计算机网络安全的保障更加困难

4.3 防火墙的体系构架

就目前而言, 比较成熟的防火墙体系主要有X86构架, 这种构架是通过CPU以及PCI来进行连接的, 在这种情况下, 防火墙就拥有了极大的灵活性以及可扩展性而对于那些对网络安全有特殊要求的计算机系统来说, NP防火墙可以作为一种最佳的选择, 它可以提供一些十分强大的编程能力, 为防火墙的开发提供方便除此之外, ASIC防火墙可以在一些网络攻击复杂的计算机系统中进行应用, 保证计算机系统的网络安全.

5 结论

综上所述, 可知计算机网络安全十分重要, 已经有很多知名学者对其展开了大量的研究, 而防火墙技术作为计算机网络安全最为重要的技术方法, 得到了重点的研究。防火墙技术要想真正的发挥作用, 相关人员必须构建防火墙体系, 保证病毒或者非法用户进入计算机网络中。

摘要：计算机网络安全一直是计算机使用用户非常关心的问题, 随着计算机应用已经十分普及, 安全问题更是引起了人们的注意。防火墙技术是一种预防计算机网络安全的重要的技术, 应用十分广泛。首先对计算机网络存在安全隐患的原因进行了介绍, 其次对网络安全对策进行了分析, 最后对防火墙技术以及系统构建进行了探讨, 仅供参考交流。

关键词：计算机网络安全,防火墙,对策

参考文献

[1]杨文豪.网络安全与恐怖主义威胁[D].上海:上海外国语大学, 2009.

[2]张民.基于网络安全独立元素[D].上海:电子科技大学, 2008.

[3]李静.计算机网络安全实验仿真与考试系统[D].重庆:重庆大学2009.

[4]王鹏.海关系统联动式网络安全集成管理平台的设计与实现[D].呼伦贝尔:内蒙古大学, 2009.

8.计算机防火墙与应用——网络安全技术.论文篇八

关键词：油田企业；网络安全；防火墙技术；应用

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 15-0000-01

Application of Oilfield Enterprise Network Security and Firewall Technology

Hou Haidong

(Qinghai Oilfield Company Huatugou Community managemen Center,Haixi816400,China)

Abstract:With the computer technology in various enterprise wide applications,network security issues have been increasingly valued by everyone.Firewall to ensurenetwork security barrier,is an integral part of the secure network.Of oil companies innetwork security,analysis of some problems which have to focus on coping strategies,to explore oil fields in the enterprise network firewall technology to ensurethe security of oil enterprise network,corporate network security to prevent oil fieldaccident.Discuss specific network security solutions,integrated network securitymeasures,improve enterprise network security field.

Keywords:Oilfield enterprise;Network security;Firewall technology;Application

计算机从出现到发展，短短几十年间，无论从生活、学习，还是工作中都带来了巨大的影响，使我们的生活、学习和工作都起了翻天覆地的变化。在各个企业里面，现代化的建设都是建立在计算机网络技术应用之上的，计算机技术覆盖了企业生产的各个大小环节。保证企业中网络的安全性，使企业生产顺利进行，这是企业中网络运行的基本保障。笔者仔细分析了青海油田企业网络安全现状，针对青海油田企业的网络安全问题，提出相应的解决策略，结合防火墙技术的应用，提高油田企业网络安全性，保证企业生产的顺利进行。

一、青海油田企业网络工作概况

青海油田是一家大型企业，其二级单位网络中目前包含华为、港湾、华为3COM、Cisco等厂商设备，属于多厂商互联网络。青海油田企业的整个网络主体建设于1999年，逐年累建至今。目前网络集中问题有多个方面，网络缺乏管理性；多厂商设备，难以统一管理；大部分设备陈旧，汇聚层性能、带宽不足；冗余可靠性差。由于这些原因，导致汇聚层设备扩展性不够，一些单位层层级连网，影响网络的稳定性和可靠性，使得网络安全问题成为极大的难题。

二、网络安全风险

网络安全风险根据不同的方面，有许多的风险因素，比如网络外部的环境是否安全，包括了电源故障、设备被盗、认为操作失误、线路截获、高可用性的硬件、机房环境、双机多冗余的设计、安全意识、报警系统等。再比如系统完全，包括了整个局域网的网络硬件平台、网络操作系统等。每一个网络操作系统都有其后门，不可能有绝对安全的操作系统。还有网络平台的安全风险，作为企业发布信息的公开平台，要是受到了攻击或者在运行中间出现了问题，对企业的声誉是极大的影响。同时，作为公开的服务器，本身随时都面临着黑客的攻击，安全风险比其他的原本就要高上许多。另外，应用系统安全也是风险因素中的一个，在不断发展和增加过程中，其安全漏洞也在日益增加，并且漏洞隐藏得只会越来越深。此外还有管理的安全，管理混乱、责权不分、安全管理制度不健全等都是管理安全的风险因素。

三、油田企业网络安全管理工作

随着油田企业中网络用户的逐渐增多，网络安全问题也越来越突出、越来越被网络管理工作人员所重视。在实际工作中，通过增强单位用户对网络安全重要性的紧迫性的认识、强化和规范用户防病毒意识等手段，全面采用网络版防病毒系统，部署防病毒服务器和补丁分发服务器。在网络管理过程中，技术人员定期检查、预防、控制和及时更新防病毒系统病毒定义码，按时向总部上报极度防病毒巡检表。网络管理技术人员还积极做好入侵保护系统IPS策略的日常管理和日志审计工作，使有限的网络资源能用于重点保障业务工作的正常进行。

四、油田企业网络安全防范举措与防火墙技术应用

在油田企业网络运行过程中，安全威胁主要有非授权访问、信息泄露或丢失、拒绝服务攻击、破坏数据完整性、利用网络传播病毒等方面。要防范油田企业网络安全，主要的防御体系是由漏洞扫描、入侵检测和防火墙组成的。油田企业的局域网主要又外部网络、内部职工网络、内部单位办公网络和公开服务器区域组成。在每一个出口通过安装硬件防火墙设备，用防火墙来实现内部网络、外部网络以及公开服务器网的区分。防火墙对外部的安全威胁起到了抵御的作用，但是从内部发动的安全攻击却无能为力。这个时候就需要动态监测网络内部活动以及及时做出响应，将网络入侵监测系统接入到防火墙和交换机上的IDS端口，一旦发现入侵或者可疑行为之后，立即报告防火墙动态调整安全策略，采取相应的防御措施。另外，网络安全还需要被动的防御体系，它是由VPN路由和防火墙组成，被动防御体系主要实现了外网的安全接入。外网在于企业网络之间实现数据传输的时候，经过防火墙高强度的加密认证，保证外网接入的安全性。在油田企业网络安全与防火墙技术应用中，还需要加对病毒的防范、数据安全的保护和数据备份与恢复的建设。在服务器上安装服务器端杀毒软件，在每一台网络用户电脑上安装客户端杀毒软件，通过及时更新病毒代码，防范病毒的入侵。采用自动化备份、安装磁带机等外部存贮设备等方法，保证数据的安全。

五、总结

油田企业网络安全不仅关系着企业的整体发展，还关系着油田企业中广大职工的网络使用安全，积极采取防火墙技术应用到网络安全防范之中，以提高青海油田企业网络的安全性，保证企业的正常工作、企业职工的正常生活。

参考文献：

[1]何黎明,方风波,王波涛.油田網络安全风险评估与策略研究[J].石油天然气学报,2008,3:279-280

[2]陈岗.大型企业信息网络安全问题解决方案[J].岳阳师范学院学报(自然科学版),2006,2:168-169

[3]王龙,李健.计算机网络安全的防范策略——防火墙技术的研究[J].网络财富,2009,12:257-259

9.计算机防火墙与应用——网络安全技术.论文篇九

一、防火墙是什么

防火墙是一种非常有效的网络安全模型。主要用来保护安全网络免受来自不安全网络的入侵，比如安全网络可能是企业的内部网络，不安全网络是因特网。但防火墙不只是用于因特网，也用于Intranet中的部门网络之间。在逻辑上，防火墙是过滤器限制器和分析器；在物理上，防火墙的实现有多种方式。通常，防火墙是一组硬件设备－路由器，主计算机，或者是路由器，计算机和配有的软件的网络的组合。不同的防火墙配置的方法也不同，这取决于安全策略，预算以及全面规划等。

二、防火墙的分类

从防火墙的防范方式和侧重点的不同来看，防火墙可以分为很多类型，但是根据防火墙对内外来往数据处理方法，大致可将防火墙分为两大体系：包过滤防火墙和代理防火墙。静态包过滤防火墙：

静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号，端口号及其它的包头信息，并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配，其中：如果信息包中存在一点与过滤规则不符合，那么这个信息包里所有的信息都会被防火墙屏蔽掉，这个信息包就不会通过防火墙。相反的，如果每条规都和过滤规则相匹配，那么信息包就允许通过。静态包的过滤原理就是：将信息分成若干个小数据片（数据包），确认符合防火墙的包过滤规则后，把这些个小数据片按顺序发送，接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙，对用户是透明的，它不需要用户的用户名和密码就可以登录，它的速度快，也易于维护。但由于用户的使用记录没有记载，如果有不怀好意的人进行攻击的话，我们即不能从访问记录中得到它的攻击记录，也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的，对于恶意的攻击者来说是攻破它是非常容易的。动态包过滤防火墙：

静态包过滤防火墙的缺点，动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目，在这点上静态防火墙是比不上它的，它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于，它的内外网之间不存在直接的连接，一般由两部分组成：服务器端程序和客户端程序，其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。

代理（应用层网关）防火墙：

这种防火墙被网络安全专家认为是最安全的防火墙，主要是因为从内部发出的数据包经过这样的防火墙处理后，就像是源于防火墙外部网卡一样，可以达到隐藏内部网结构的作用。由于内外网的计算机对话机会根本没有，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。

自适应代理防火墙：

自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点，即保证了安全性又保持了高速度，同时它的性能也在代理防火墙的十倍以上，在一般的情况下，用户更倾向于这种防火墙。

三、防火墙功能

防火墙是一个保护装置，它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机，它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间，同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制，它主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分，它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测，控管规则过滤，实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙的主体功能归纳为以下几点：

(1)根据应用程序访问规则可对应用程序联网动作进行过滤。(2)对应用程序访问规则具有自学习功能。(3)可实时监控，监视网络活动。

(4)具有日志，以记录网络访问动作的详细信息。(5)被拦阻时能通过声音或闪烁图标给用户报警提示。

四、防火墙的不足

防火墙对网络的威胁进行极好的防范，但是，它们不是安全解决方按的全部。某些威胁是防火墙力所不及的。

防火墙不能防止内部的攻击，因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权，从而导致事故。防火墙也不能防止像社会工程攻击——种很常用的入侵手段，就是靠欺骗获得一些可以破坏安全的信息，如网络的口令。另外，一些用来传送数据的电话线很有可能被用来入侵内部网络。

另一个防止的是怀有恶意的代码：病毒和特洛伊木马。虽然现在有些防火墙可以检查病毒和特洛伊木马，但这些防火墙只能阻挡已知的恶意程序，这就可能让新的病毒和木马溜进来。而且，这些恶意程序不仅仅来自网络，也可能来自软盘。

五、常见攻击方式以及应对策略（1）常见攻击方式病毒

尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能，但仍然很难将所有的病毒（或特洛伊木马程序）阻止在网络外面，很容易欺骗用户下载一个程序从而让恶意代码进入内部网。策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程序；或者通过常用的基于主机的安全方法来保护网络。口令字

对口令字的攻击方式有两种：穷举和嗅探。穷举针对来自外部网络的攻击，来猜测防火墙管理的口令字。探针对内部网络的攻击，通过监测网络获取主机给防火墙的口令字。

策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）、采用一次性口令或禁止直接登录防火墙。邮件

来自于邮件的攻击方式越来越突出，在这种攻击中，垃圾邮件制造者将一条消息复制成成千上万份，并按一个巨大的电子邮件地址清单发送这条信息，当不经意打开邮件时，恶意代码即可进入。策略：打开防火墙上的过滤功能，在主机上采取相应阻止措施。IP地址

黑客利用一个类似于内部网络的IP地址，以“逃过”服务器检测，从而进入内部网络达到攻击的目的。

策略：通过打开内核功能，丢弃所有来自网络外部却有内部地址的数据包；同时将特定IP地址与MAC绑定，只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。（2）应对策略方案选择

市场上的防火墙大致有软件防火墙和硬件防火墙两大类。软件防火墙需运行在一台标准的主机设备上，依托网络在操作系统上实现防火墙的各种功能，因此也称“个人”防火墙，其功能有限，基本上能满足单个用户。硬件防火墙是一个把硬件和软件都单独设计，并集成在一起，运行于自己专用的系统平台。由于硬件防火墙集合了软件方面，从功能上更为强大，目前已普遍使用。结构透明

防火墙的透明性是指防火墙对于用户是透明的。以网桥的方式将防火墙接入网络，网络和用户无需做任何设置和改动，也根本意识不到防火墙的存在。然后根据自己企业的网络规模，以及安全策略来选择合适的防火墙的构造结构（可参照本文第3点分析），如果经济实力雄厚的可采用屏蔽子网的拓扑结构。实施措施

好的防火墙产品应向使用者提供完整的安全检查功能，应有完善及时的售后服务。但一个安全的网络仍必须靠使用者的观察与改进，企业要达到真正的安全仍需内部的网络管理者不断记录、追踪、改进，定期对防火墙和相应操作系统用补丁程序进行升级。

七、防火墙的发展历程（1）基于路由器的防火墙

由于多数路由器本身就包含有分组过滤功能，网络访问控制可能通过路由器控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。

第一代防火墙产品的特点：

1)利用路由器本身对分组的解析，以访问控制表(Access List)方式实现对分组的过滤；

2)过滤判断的依据可以是：地址、端口号及其他网络特征； 3)只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。（2）第一代防火墙产品的不足之处具体表现为：

1)路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。

2)路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性。作用端口的有效性和规则的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。

3)路由器防火墙的最大隐患是：攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的，黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。

路由器防火墙的本质缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。

可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。（4）用户化的防火墙工具套

为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。 作为第二代防火墙产品，用户化的防火墙工具具有以下特征： 1)将过滤功能从路由器中独立出来，并加上审计和告警功能； 2)针对用户需求，提供模块化的软件包；

3)软件可以通过网络发送，用户可以自己动手构造防火墙； 4)与第一代防火墙相比，安全性提高了，价格也降低了。第二代防火墙产品的缺点

1)无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求，2)配置和维护过程复杂、费时； 3)对用户的技术要求高；

4)全软件实现，使用中出现差错的情况很多。（5）建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。系统上的防火墙的特点： 1)是批量上市的专用防火墙产品；

2)包括分组过滤或者借用路由器的分组过滤功能； 3)装有专用的代理系统，监控所有协议的数据和指令； 4)保护用户编程空间和用户可配置内核参数的设置； 5)安全性和速度大大提高。

第三代防火墙有以纯软件实现的，也有以硬件方式实现的，它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题。（6）操作系统上的防火墙的缺点

1)作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性无从保证；

2)由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；

3)从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击；

4)透明性好，易于使用。

10.计算机防火墙与应用——网络安全技术.论文篇十

一、填空题

1．计算机网络的资源共享包括（硬件）共享和（软件）共享。

2．按照网络覆盖的地理范围大小，计算机网络可分为（局域网）、（城域网）和（广域网）。

3．按照结点之间的关系，可将计算机网络分为（客户/服务器型）网络和（对等）网络。

4．对等型网络与客户/服务器型网络的最大区别就是（对等型网络没有专设服务器）。

5．网络安全具有（完整性）、（可用性）和（机密性）。6．网络安全机密性的主要防范措施是（密码技术）。7．网络安全完整性的主要防范措施是（校验与认证技术）。8．网络安全可用性的主要防范措施是（确保信息与信息系统处于一个可靠的运行状态之下）。

9．网络安全机制包括（技术机制）和（管理机制）。10．国际标准化组织ISO提出的“开放系统互连参考模型(OSI)” 有（7）层。

11．OSI参考模型从低到高第3层是（网络）层。

12．入侵监测系统通常分为基于（主机）和基于（网络）两类。

13．数据加密的基本过程就是将可读信息译成（密文）的代码形

式。

14．访问控制主要有两种类型：（网络）访问控制和（系统）访问控制。

15．网络访问控制通常由（防火墙）实现。

16．密码按密钥方式划分，可分为（对称）式密码和（非对称）式密码。

17．DES加密算法主要采用（替换）和（移位）的方法加密。18．非对称密码技术也称为（公钥）密码技术。

19．DES算法的密钥为（64）位，实际加密时仅用到其中的（56）位。

20．数字签名技术实现的基础是（密码）技术。

21．数字水印技术主要包括（数字水印嵌入技术）、（数字水印提取）和（数字水印监测技术）。

22．数字水印技术的特点是（不可知觉性）、（安全性）和（稳健性）。

23．入侵监测系统一般包括（事件提取）、（入侵分析）、（入侵响应）和（远程管理）四部分功能。

24．按照数据来源的不同，入侵监测系统可以分为（基于主机）、（基于网络）和（基于混合）入侵监测系统三类。25．按照数据监测方法的不同，入侵监测系统可以分为（异常）监测模型和（误用）监测模型两类。26．广域网简称为（WAN）。

27．局域网简称为（LAN）。

28．在TCP/IP参考模型中，应用层协议的（电子邮件协议SMTP）用来实现互联网中电子邮件传送功能。

29．电子商务的体系结构可以分为网络基础平台、安全结构、（支付体系）、业务系统4个层次。

30．电子邮件服务采用（客户机/服务器）工作模式。

31．在因特网的域名体系中，商业组织的顶级域名是（.com）。

二、选择题：

1．关于IP提供的服务，下列哪种说法是正确的？（C）A、IP提供不可靠的数据投递服务，因此数据报投递不能受到保障 B、IP提供不可靠的数据投递服务，因此它可以随意丢弃报文 C、IP提供可靠的数据投递服务，因此数据报投递可以受到保障 D、IP提供可靠的数据投递服务，因此它不能随意丢弃报文 2．10.68.89.1是（A）类地址。A、A B、B C、C D、D 3．NET是（C）机构组织的域名。

A、商业 B、国际 C、网络 D、非盈利性 4． TCP、UDP处于TCP/IP协议分层结构的哪一层？（C）A、数据链路层 B、网络层 C、传输层 D、应用层

5．计算机网络通信时，利用那个协议获得对方的MAC地址？（C）A、UDP B、TCP C、ARP D、RARP 6．Smtp协议使用的端口号是（D）。

A、20 B、21 C、23 D、25 7．下面那个命令可以显示本机的路由信息。（C）A、Ping B、Ipconfig C、Tracert D、Netstat 8．计算机病毒是指：（C）。

A、带细菌的磁盘 B、已损坏的磁盘 C、具有破坏性的特制程序 D、被破坏了的程序 9.IP地址由（C）位二进制数值组成。A、16位 B、8位 C、32位 D、64位 10．计算机连网的主要目的是（A）。

A、资源共享 B、共用一个硬盘 C、节省经费 D、提高可靠性

11．1976年，提出公开密码系统的美国学者是（B）。A、Bauer 和 HIll B、Diffie和 Hellman C、Diffie和 Bauer D、Hill和 Hellman 12．属于域名服务系统DNS中所维护的信息的是（D）。A、域名与IP地址的对应关系 B、CPU类型

C、域名与MAC地址的对应关系 D、IP地址与MAc地址的对应关系

13．下列对于网络哪一种陈述是真实的？（A）A、对应于系统上的每一个网络接口都有一个IP地址 B、IP地址中有16位描述网络

C、位于美国的NIC提供具唯一性的32位IP 地址

D、以上陈述都正确

14．Telnet指的是（D）。

A、万维网 B、电子邮件 C、文件传输 D、远程登录 15．以下不属于水印攻击方法的是（D）。

A、IBM攻击 B、跳跃攻击 C、鲁棒性攻击 D、同步攻击 16．以下不属于入侵监测系统的是（C）。

A、AAFID系统 B、SNORT系统 C、IETF系统 D、NETEYE系统 17．以下不属于数据库备份种类的是（C）。

A、冷备 B、热备 C、混合备 D、完全热备 18．下列哪一个描述是Internet比较恰当的定义？（B）A、一个协议 B、一个由许多个网络组成的网络 C、OSI模型的下三层 D、一种内部网络结构

19.对于IP地址为 202.93.120.6的主机来说，其网络号为（C）。A、202.93.120 B、202.93.120.6 C、202.93.120.0 D、6 20.对明文字母重新排列，并不隐藏他们的加密方法属于（C）。A、置换密码 B、分组密码 C、易位密码 D、序列密码

21.下面（A）不属于从通信网络的传输方面对加密技术分类的方式。

A、节点到端 B、节点到节点

C、端到端 D、链路加密

22.公钥加密体制中，没有公开的是（A）。A、明文 B、密文 C、公钥 D、算法 23.下面叙述不正确的是（A）。A、电子商务以因特网为基础平台 B、电子商务主要以专用网络进行商务活动

C、电子商务以计算机与通信网络为基础平台，利用电子工具实现的在线商业交换和行政作业活动的全过程。

D、通过电子商务可以提高服务质量，及时获得顾客的反馈信息 24.计算机网络与分布式系统之间的区别主要是在（B）。A、系统物理结构成 B、系统高层软件 C、传输介质 D、服务器类型 25.下列不属于网络技术发展趋势的是（B）。A、速度越来越高

B、从资源共享网到面向中断的网发展 C、各种通信控制规程逐渐符合国际标准

D、从单一的数据通信网向综合业务数字通信网发展 26.电子商务的安全要求包含（D）。Ⅰ 数据传输的安全性 Ⅱ 网络的安全性 Ⅲ 身份认证 Ⅳ 数据的完整性

Ⅴ 交易的不可抵赖 A、Ⅰ、Ⅱ、Ⅲ、Ⅳ、Ⅴ B、Ⅰ、Ⅱ、Ⅴ C、Ⅰ、Ⅱ、Ⅳ、Ⅴ D、Ⅰ、Ⅲ、Ⅳ、Ⅴ

27.下列不属于SET要达到的主要目标的选项是（C）。A、信息在公共以特网上传输，保证网上的信息不被黑客窃取 B、订单信息和个人帐号信息隔离

C、持卡和商家不认识进行交易，以保证交易的广泛性

D、要求软件遵循相同协议和消息格式，使不同厂家开发的软件具有兼容性和互操作性，并且可以运行在不同的硬件和操作系统平台上。28.在下列那个网络拓扑结构中，中心结点的故障可能造成全网瘫痪的是（A）。

A、星型拓扑结构 B、环形拓扑结构 C、树型拓扑结构 D、网状拓扑结构

29.下列描述属于网络管理目标的是（D）。Ⅰ减少停机时间、改进响应时间，提高设备利用率 Ⅱ 减少运行费用，提高设备效率 Ⅲ 减少或消除瓶颈 Ⅳ 适应新技术 Ⅴ 使网络更容易使用 A、Ⅱ、Ⅲ、Ⅳ、Ⅴ

B、Ⅰ、Ⅱ、Ⅲ、Ⅴ C、Ⅰ、Ⅱ

D、Ⅰ、Ⅱ、Ⅲ、Ⅳ、Ⅴ

30.在计算机网络中，当信息从信源向信宿流动时，可能会遇到安全攻击，在下列选项中，属于信息可能受到安全攻击的是（D）。Ⅰ 中断 Ⅱ 修改 Ⅲ 截取 Ⅳ 捏造 Ⅴ 陷门 A、Ⅰ、Ⅱ、Ⅲ、Ⅴ B、Ⅰ、Ⅱ、Ⅳ、Ⅴ C、Ⅰ、Ⅲ、Ⅳ、Ⅴ D、Ⅰ、Ⅱ、Ⅲ、Ⅳ

三、判断题

（T）1．Ip地址提供统一的地址格式，由32位二进制数组成。（T）2．Ip地址可以唯一地标识主机所在的网络和网络位置。（T）3．在internet中，网关是一种连接内部网与internet上其他网络的中间设备，也称“路由器”。

（T）4．Ping命令主要用来监测路由是否能够到达某站点。（F）5．计算机安全分为两部分，一个是主机安全，一个是网络安全，二者合称为主机网络安全。

（T）6．主机网络安全所采用的技术手段通常在被保护的主机内实现，并且一般为软件形式。

（T）7．虚网的终端系统可以分布在网络中不同的地理位置，但都属于统一逻辑广播域。

（F）8．基于网络的入侵监测能审查加密数据流的内容，对高速网络特别有效。

（F）9．目前学术界研究的数字水印大多数是明文水印。（F）10．鲁棒性水印对信号的改动很敏感，主要用于完整性保护。（F）11．防火墙构架于内部网与外部网之间，是一套独立的硬件系统。

（F）12．第四代防火墙即应用层防火墙是目前最先进的防火墙。（T）13．芯片级防火墙基于专门的硬件平台，没有操作系统。（F）14．防火墙能够有效解决来自内部网络的攻击和安全问题。（T）15．电子邮件是一种“终端到终端”的服务，是被称为“存储转发式”服务。

（T）16．计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。

（T）17．木马不是病毒。

（T）18．复合型防火墙防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用，同时也常结合过滤器的功能。（F）19.非法访问一旦突破数据包过滤型防火墙，即可对主机上的软件和配置漏洞进行攻击。

（T）20．安全管理从范畴上讲，涉及物理安全策略、访问控制策略、信息加密策略和网络安全管理策略。

（F）21．为了防御网络监听，最常用的方法是采用物理传输。（F）22．计算机网络与分布式系统之间的区别主要是在传输介质。

（T）23．SSL协议主要用于加密机制。

（F）24．蜜罐技术通常用于网络上监听别人口令。（F）25．计算机联网的主要目的是提高可靠性。

四、简答及综合应用题

1.什么是计算机网络？其主要功能是什么？ 2．计算机网络的拓扑结构有哪些？ 3．简述TCP/IP协议各层的功能。4．简述网络安全的含义。5．网络安全技术机制主要有哪些？ 6．什么是可信计算基（TCB）？ 7．什么是客体重用？

8．请画图说明主机网络安全体系结构。9．什么是虚网？ 10．什么是认证？

11．请画图说明捕获和控制系统调用过程。12．简述网络访问控制的策略。13．什么是链路加密？ 14．什么是数字水印技术？

15．简述数字指纹与数字水印的区别。16．图示信息隐藏技术模型。17．简述信息隐藏技术的特性。18.简述数据库管理系统的主要功能。

19.简述网络管理的五大基本功能。20.简述VLAN的特性。21.简述电子商务的交易过程。

22.常用的安全电子交易有哪些方法和手段？ 23.画图说明SSL协议体系结构。24.简述SSL协议的工作流程。25.简述电子邮件的工作原理。

综合练习题答案

一、填空题

1．（硬件资源）、（软件资源）。2．（局域网）、（广域网）（城域网）3．（客户/服务器型）（对等型）4．（对等型网络没有专设服务器）5．（机密性）、（完整性）（可用性）6．（密码技术）7．（校验与认证技术）

8．（确保信息与信息系统处于一个可靠的运行状态之下）9．（技术机制）（管理机制）10．（7）11．（网络）12．（主机）（网络）

13．（密文）14．（网络）（系统）15．（防火墙）16．（对称）（非对称）17．（替换）（移位）18．（公钥）19．（64）（56）20．（密码）

21．（数字水印嵌入技术）（数字水印提取）（数字水印监测技术）22．（不可知觉性）（安全性）（稳健性）

23．（事件提取）（入侵分析）（入侵响应）（远程管理）24．（基于主机）（基于网络）（混合型）25．（异常）（误用）26．（WAN）27．（LAN）

28．（电子邮件协议SMTP）29．（支付体系）30．（客户机/服务器）31．（COM）

二、选择题： 1-10．CACCC DCCCA 11-20 BDADD CCBCC

21-30 AAABB DCADD Ⅰ 中断 Ⅱ 修改 Ⅲ 截取 Ⅳ 捏造 Ⅴ 陷门 A、Ⅰ、Ⅱ、Ⅲ、Ⅴ B、Ⅰ、Ⅱ、Ⅳ、Ⅴ C、Ⅰ、Ⅲ、Ⅳ、Ⅴ D、Ⅰ、Ⅱ、Ⅲ、Ⅳ

三、判断题 1-10 TTTTF TTFFF 11-20 FFTFT TTTFT 21-25 FFTFF

四、简答及综合应用题

8．请画图说明主机网络安全体系结构。P33 9．什么是虚网？P35 10．什么是认证？P36 11．请画图说明捕获和控制系统调用过程。P42

12．简述网络访问控制的策略。P42 13．什么是链路加密？P69 14．什么是数字水印技术？P81 15．简述数字指纹与数字水印的区别。P94 16．图示信息隐藏技术模型。P98 17．简述信息隐藏技术的特性。P98 18.简述数据库管理系统的主要功能。P191 19.简述网络管理的五大基本功能。P212 20.简述VLAN的特性。P218 21.简述电子商务的交易过程。P241 22.常用的安全电子交易有哪些方法和手段？P245 23.画图说明SSL协议体系结构。P247 24.简述SSL协议的工作流程。P259 25.简述电子邮件的工作原理。P263 《计算机网络安全技术及应用》综合练习题答案

一、填空题

1．（硬件资源）、（软件资源）。2．（局域网）、（广域网）（城域网）3．（客户/服务器型）（对等型）4．（对等型网络没有专设服务器）5．（机密性）、（完整性）（可用性）6．（密码技术）

7．（校验与认证技术）

8．（确保信息与信息系统处于一个可靠的运行状态之下）9．（技术机制）（管理机制）10．（7）11．（网络）12．（主机）（网络）13．（密文）14．（网络）（系统）15．（防火墙）16．（对称）（非对称）17．（替换）（移位）18．（公钥）19．（64）（56）20．（密码）

21．（数字水印嵌入技术）（数字水印提取）（数字水印监测技术）22．（不可知觉性）（安全性）（稳健性）

23．（事件提取）（入侵分析）（入侵响应）（远程管理）24．（基于主机）（基于网络）（混合型）25．（异常）（误用）26．（WAN）27．（LAN）

28．（电子邮件协议SMTP）

29．（支付体系）30．（客户机/服务器）31．（COM）

二、选择题： 1-10．CACCC DCCCA 11-20 BDADD CCBCC 21-30 AAABB DCADD Ⅰ 中断 Ⅱ 修改 Ⅲ 截取 Ⅳ 捏造 Ⅴ 陷门 A、Ⅰ、Ⅱ、Ⅲ、Ⅴ B、Ⅰ、Ⅱ、Ⅳ、Ⅴ C、Ⅰ、Ⅲ、Ⅳ、Ⅴ D、Ⅰ、Ⅱ、Ⅲ、Ⅳ

三、判断题 1-10 TTTTF TTFFF 11-20 FFTFT TTTFT 21-25 FFTFF

四、简答及综合应用题

1.什么是计算机网络？其主要功能是什么？P1、P3 2．计算机网络的拓扑结构有哪些？P3 3．简述TCP/IP协议各层的功能。P6 4．简述网络安全的含义。P17 5．网络安全技术机制主要有哪些？P20

6．什么是可信计算基（TCB、？P21 7．什么是客体重用？P21 8．计算机信息系统的安全保护能力共分为系统自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级，这五个级别的安全强度从低到高排列，且高一级包括低一级的安全能力。9．请画图说明主机网络安全体系结构。P33 10．什么是虚网？P35 11．什么是认证？P36 12．请画图说明捕获和控制系统调用过程。P42 13．简述网络访问控制的策略。P42 14．什么是链路加密？P69 15．什么是数字水印技术？P81 16．简述数字指纹与数字水印的区别。P94 17．图示信息隐藏技术模型。P98 18．简述信息隐藏技术的特性。P98 19.简述数据库管理系统的主要功能。P191 20.简述网络管理的五大基本功能。P212 21.简述VLAN的特性。P218 22.简述电子商务的交易过程。P241 23.常用的安全电子交易有哪些方法和手段？P245 24.画图说明SSL协议体系结构。P247 25.简述SSL协议的工作流程。P259

11.防火墙的设立与计算机网络安全篇十一

【关键词】计算机；网络安全；防火墙设立；分析

根据调查数据来看，计算机网络中所主要存在的问题有以下几个方面：信息在进行传输的过程中，遭受到病毒或者黑客的篡改和窃取，并且对数据进行复制、拦截等，严重情况下还会使得计算机直接遭受病毒攻击而崩溃，致使计算机无法正常运行。这些情况都是使得计算机网络无法正常有效的运行，从而出现数据泄露或者系统瘫痪的现象，造成了无法挽回的数据损失。计算机网络防火墙由于能够对网络中传输的数据进行检查，还能够对互联网环境进行监控，因此，防火墙技术成为了现目前保护计算机网络安全最为有效的技术。

1.计算机网络安全及防火墙技术的含义

计算机网络安全的定义就是保护计算机用户在进行数据、信息传输过程中，其信息不被任何外界因素篡改、窃听、复制。同时还要防止由于某些自然因素的演变而导致的损害，以此来保证整个网络通信的连续性。

防火墙技术主要是属于一种具有隔离性质的技术，这是计算机与网络这两者互相之间所存在的一道安全保护层，同时，这也是保证计算机信息安全的极为基本的手段。设立防火墙之后，不仅能够对网络的信息流进输出都进行控制，还能够极大的增强计算机用户自身与整个网络进行访问的控制性和可靠性。有效的抵御黑客攻击，避免计算机数据被窃取、串改。此外，设立防火墙之后，除能够避免数据被复制、篡改，保护硬件不被损坏外，还能够对任何访问计算机的用户、时间等进行记录。

2.计算机网络安全及防火墙技术分析

2.1 计算机网络安全分析

（1）对计算机网络安全造成的威胁。在计算机网络安全中，造成的威胁主要是自然和人为两种。前者主要是自然灾害和设备的老化、电磁辐射和干扰，以及恶劣环境等造成的威胁；后者是病毒和黑客攻击、网络缺陷和管理的漏洞，以及恶意的操作等造成的威胁。除此之外，TCP/IP协议和网络结构的缺陷，以及网络安全意识的缺乏都将对计算机网络安全造成威胁。

（2）利用数据加密和网络存取控制的方式确保对网络安全的保护。前者主要是通过链路和端端加密，以及节点和混合加密来阻止数据被恶意的篡改和破坏，以及泄漏等；后者主要是通过身份的识别和数字签名，以及存取权限的控制和备份恢复等来阻止非法访问造成数据的丢失和泄密，以及破坏等。

2.2 防火墙设立技术分析

在设立防火墙的过程中，必须要根据网络的实际需求来选择适合的防火墙技术，使得防火墙技术能够在相应的环境下最大化的发挥出自身的性能，避免由于错误选择防火墙，而造成防火墙防护效率低，无法完全有效的保证计算机网络安全。

（1）设立包过滤性的防火墙。

这一防火墙的设立方式主要是在OSI参考模型之中的网络以及传输层之中，通过设立一个具有过滤性质的路由器来实现对整个网络进行保护的目的，只要数据的源头、抵达地址、协议类型、端口号都完全符合对过滤所设立的各项条件相符，那么该数据便可以被防火墙所允许而进行转发，与之相反的情况下，数据包便会丢失。包过滤性防火墙的透明度高，其工作效率处在领先，处理的速度也较为迅速。但该防火墙也存在着一定的缺陷，无法完全支持应用层协议，也无法有效的防御来自新型病毒威胁以及黑客的直接攻击。

（2）设立NAT和应用型的防火墙。

前者是将IP地址转换成临时注册的IP地址，当内部网络对外部网络进行访问时，如果是通过安全网卡，防火墙就会自动将源地址与端口伪装，然后与外部相连。相反，如果是通过非安全网卡，那么访问是经过一个开放的IP与端口。防火墙对访问安全的判断是依照已经预设好的映射规则进行；而后者是运行在OSI的应用层。它不仅阻止网络的通信流，还能够实时监控，其安全性非常高。但是该防火墙影响系统的性能，使管理更加复杂。

（3）设立状态检测型的防火墙。

该防火墙与其他防火墙相比较的话，不仅高安全和高效性，还具有很好的可扩展和伸缩性。该防火墙将相同连接的包看成整体数据流，并对连接状态表中的状态因素进行辨别和区分。虽然这种防火墙性能很好，但是容易造成网络连接的延缓滞留。

3.在计算机网络安全中防火墙技术的运用

设立计算机网络防火墙的主要目的，就是为了通过该技术来对网络进行管理控制，以此来保证网络在实际运行过程中，能够保护用户的数据具有保密性、完整性。计算机网络的防火墙设立方式有物理方式和逻辑方式，这主要是根据使用者的要求不同来进行选择，对网络安全的需求程度也不相同，例如：普通计算机用户仅仅只需要自身数据在网络中进行传输时，能够保证自身的安全性、隐私性，不被其他因素所篡改、窃听、伪造即可；而大型的网络供应商则要求，除了保证网络具有安全性，还必须要对某些能够破坏网络硬件的因素进行控制，并且保护网络通信能够连续性的正常运作。

（1）加密技术。即信息的发送方先对信息做加密处理，密码由和接收方掌握，接收方接收到经过加密处理的信息后，用解密密钥对信息进行解密，从而完成一次安全的信息传输。加密措施利用密钥来保障信息传输的安全性。

（2）身份验证。通过对网络用户的使用授权，在信息的发送方和接收方之间通过身份认证，建立起相对安全的信息通道，这样可以有效防止未经授权的非法用户的介入。

（3）防病毒技术，主要涉及对病毒的预防、检测以及清除三方面。

①在网络建设中，安装防火墙对互联网之间的交换信息按照某种规则进行控制，构成一道安全屏障来保护内网与外网间的信息和数据传输，确保网络不被其他未经授权的第三方侵入。

②网络的连接如果是由路由器和互联网相连，服务器有WWW和DNS、FIP和Email等，且IP地址确定，同时该网络拥有一个C类IP地址。那么该网络首先要进入主干网，对主干网的中心资源采取访问控制，禁止服务器以外的服务访问。然后，为了防御外来非法访问盗用，在连接端口接收数据的同时，就要检查IP和以太网的地址，丢弃盗用IP地址数据包，并将有关的信息进行记录。实际的操作过程是：预设控制位102，当防火墙与IP、以太网地址访问到某个地址属于非法访问，那么防火墙就会自动将路由器中的存取控制表进行更改，过滤非法的IP地址包，以阻止外来的非法访问。

4.结束语

综上所述，随着我国计算机技术的广泛应用以及深入化的发展，网络在为人们生活和工作过程中提供便利的同时，期间所产生的安全威胁也不得不进行防治。只有通过设立安全有效的防火墙，才能够为计算机与互联网连接过程中的安全性，避免计算机用户数据出现丢失，或者被病毒破坏以及黑客篡改等，让计算机能够真正处在安全的运行环境中。此外，计算机防火墙由于多方面性，其中还存在着一定的缺陷，必须要不断加强计算机防火墙技术，为计算机网络提供更好的安全服务。

【参考文献】

[1]张威，潘小凤.防火墙与入侵检测技术探讨[J].南京工业职业技术学院学报，2008（2）.

[2]程卫骥.浅析网络安全的威胁因素及防范措施[C].2011.

[3]陈关胜.防火墙技术现状与发展趋势研究[C].2011.

【计算机防火墙与应用——网络安全技术.论文】推荐阅读：

计算机应用与技术08-18

计算机应用技术专业建设与教学改革08-24

计算机科学与技术毕业论文范文08-02

[信息技术论文]普通学校计算机网络建设探索09-12

初中信息技术教案《计算机安全与防护》教学设计08-03

计算机软件应用技术专业求职简历06-14

计算机应用技术专业人才需求调研分析06-28