網(wǎng)絡(luò)安全方面論文

　　隨著計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)安全所面臨的問題也越來越復(fù)雜,越來越重要。下文是學(xué)習(xí)啦小編為大家搜集整理的關(guān)于網(wǎng)絡(luò)安全方面論文的內(nèi)容，歡迎大家閱讀參考!

　　網(wǎng)絡(luò)安全方面論文篇1

　　試論網(wǎng)絡(luò)信息安全

　　摘 要： 自以來，網(wǎng)絡(luò)信息安全等軟安全占據(jù)著愈來愈重要的地位。本文通過對網(wǎng)絡(luò)信息安全問題的分析，對網(wǎng)絡(luò)信息安全的各種解決辦法進(jìn)行論證，最終證實除了要加強網(wǎng)絡(luò)信息安全技術(shù)及道德教育之外，更重要的是加緊網(wǎng)絡(luò)信息安全立法，以法律的形式來更好、更有效地保障網(wǎng)絡(luò)信息安全。

　　關(guān)鍵詞: 網(wǎng)絡(luò)信息 安全管理 立法

　　1信息安全及網(wǎng)絡(luò)信息安全簡析

　　在人類認(rèn)知的有限范圍內(nèi)，信息被定義為人類社會以及自然界其他生命體中需要傳遞、交換、存儲和提取的抽象內(nèi)容。而隨著信息化的步伐，信息的地位日益上升，信息安全的重要性也愈顯重要，然而什么樣的信息才認(rèn)為是安全的呢?一般認(rèn)為，同時具備完整性，機密性，有效性的信息是安全的。

　　在信息安全中，首要的便是網(wǎng)絡(luò)信息安全――網(wǎng)絡(luò)系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)的安全，網(wǎng)絡(luò)信息的傳輸、存儲、處理和使用都要求處于安全狀態(tài)?？梢?，網(wǎng)絡(luò)安全至少應(yīng)包括靜態(tài)安全和動態(tài)安全兩種。其中靜態(tài)安全是指信息在沒有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性、完整性和真實性;動態(tài)安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。

　　I Research市場咨詢調(diào)查顯示，我國普遍存在瀏覽器配置被修改、數(shù)據(jù)受損或丟失、系統(tǒng)使用受限、密碼被盜、受到病毒非法遠(yuǎn)程控制等問題。調(diào)查表明，我國的網(wǎng)絡(luò)信息安全問題形勢比較嚴(yán)峻，信息安全問題的解決迫在眉睫。

　　由于中國網(wǎng)民數(shù)量在總?cè)丝诘谋戎卦絹碓街兀W(wǎng)民的力量是很強大，會形成巨大的輿論壓力。這股力量如果健康發(fā)展，不受到不良的網(wǎng)絡(luò)信息影響就可以形成健康的社會意識。只有保證網(wǎng)絡(luò)信息安全環(huán)境，才能使得國家的軍事安全、政治信息不被曲解、盜取，才能穩(wěn)定輿論減少網(wǎng)民恐慌。

　　故維護(hù)信息安全極為重要。

　　2現(xiàn)有且常用的的網(wǎng)絡(luò)信息安全技術(shù)

　　針對信息安全問題，通過信息安全技術(shù)在網(wǎng)絡(luò)信息系統(tǒng)中對存儲和傳輸輻射信息的操作和進(jìn)程進(jìn)行控制和管理，即為安全控制。常見的有操作系統(tǒng)的安全控制，網(wǎng)絡(luò)接口模塊的安全控制，網(wǎng)絡(luò)互連設(shè)備的安全控制。而安全服務(wù)是指在應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性和真實性進(jìn)行保護(hù)和鑒別，防止各種安全威脅和攻擊，其可以在一定程度上彌補和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全漏洞。安全服務(wù)主要內(nèi)容包括：安全機制、安全連接、安全協(xié)議、安全策略等。安全控制和安全服務(wù)都是通過信息安全技術(shù)來控制和解決網(wǎng)絡(luò)信息安全問題的。常見的網(wǎng)絡(luò)信息安全技術(shù)有：防火墻技術(shù)，網(wǎng)絡(luò)信息數(shù)據(jù)的加密技術(shù)，數(shù)字簽名。

　　3網(wǎng)絡(luò)信息安全所存在的障礙及后果

　　(1)許多網(wǎng)民缺乏信息安全意識，在目前網(wǎng)絡(luò)發(fā)達(dá)的環(huán)境中，對網(wǎng)絡(luò)通信的對象無法作明確的認(rèn)證，導(dǎo)致一些非法、欺騙的犯罪活動。更為嚴(yán)重的是，要是綁定識別碼的密碼被人截獲、識破或篡改，那對個人或團(tuán)體造成的影響將是致命的。

　　(2)信息安全與隱私及自由。電子郵件是比較廣泛的通信方式，也是對家用計算機的最大威脅之一。

　　(3)信息安全與財產(chǎn)保護(hù)。網(wǎng)絡(luò)黑客入侵的目標(biāo)――計算機用戶，竊取信用卡的號碼、銀行賬號的信息、個人背景資料以及他們所能找到的其他信息。

　　(4)信息安全與教育。信息安全主要是指防止信息受到惡意攻擊，彌補信息安全系統(tǒng)本身的安全缺陷和軟件漏洞以消除計算機網(wǎng)絡(luò)的結(jié)構(gòu)隱患。而信息安全與教育往往做得很少。

　　因此，如果不能正確的對待和解決網(wǎng)絡(luò)信息安全問題，勢必對對人們的生活、工作和學(xué)習(xí)帶來嚴(yán)重的后果，并且其后果和威脅都是極其嚴(yán)重和多方面的。

　　4網(wǎng)絡(luò)信息安全問題的解決方法

　　除了密碼技術(shù)的應(yīng)用，防火墻技術(shù)以及分層局部內(nèi)部管理等信息安全技術(shù)之外，更重要的是道德規(guī)范宣傳教育，多途徑培養(yǎng)專門網(wǎng)絡(luò)信息安全人才，加緊網(wǎng)絡(luò)信息安全立法工作，特別是網(wǎng)絡(luò)信息安全立法更是解決網(wǎng)絡(luò)信息安全問題的根本中得根本。下面將主要從網(wǎng)絡(luò)安全立法的方面來討論網(wǎng)絡(luò)信息安全。

　　4.1關(guān)于網(wǎng)絡(luò)信息安全立法存在的問題

　　4.1.1網(wǎng)絡(luò)信息安全法律體系凌亂，完整性不足，兼容性差

　　我國規(guī)范網(wǎng)絡(luò)的部門規(guī)章及地方性法規(guī)很多，反映出我國各方力圖促使網(wǎng)絡(luò)健康發(fā)展的決心和積極性，行為舉措是可以給予肯定的。但正我國網(wǎng)絡(luò)法律法規(guī)過于凌亂，數(shù)量多而明確性低。另一方面，由于立法主體眾多，不同的條例、規(guī)范之間存在太大差異，缺乏關(guān)系與支持，甚至出現(xiàn)許多重復(fù)、空白和失誤之處。

　　4.1.2法律法規(guī)缺乏持續(xù)性和一體性

　　法律的可持續(xù)性和一體性是一個完善法律體系的標(biāo)志，所謂一體性，就是法律的完善連貫性。法律在執(zhí)行過程中，要具有連貫性才能發(fā)揮最強的效應(yīng)。由于互聯(lián)網(wǎng)的迅猛發(fā)展，法律早已跟不上計算機技術(shù)的發(fā)展速度，這就導(dǎo)致法律的滯后性。法律的滯后性無疑給那些網(wǎng)絡(luò)違法者制造一個逃脫懲罰的絕好機會。

　　4.1.3現(xiàn)實問題的覆蓋范圍狹窄，存在空白

　　網(wǎng)絡(luò)立法存在失衡問題，偏重于網(wǎng)絡(luò)管理及網(wǎng)絡(luò)信息立法兩大方面，不能覆蓋由網(wǎng)絡(luò)引起的各種法律問題，造成許多重要而實際的網(wǎng)絡(luò)信息問題缺乏法律引導(dǎo)和規(guī)范的局面。操作繁瑣，可實施性不強。

　　綜上可知，網(wǎng)絡(luò)法規(guī)的可實施性受到很大制約，網(wǎng)絡(luò)法規(guī)本來的法律效力也影響了它的實際操作，而網(wǎng)絡(luò)技術(shù)的復(fù)雜性和網(wǎng)絡(luò)本身的虛擬性也增加了法律法�實施的難度。另外，網(wǎng)絡(luò)信息立法各部門的處罰不盡一致，導(dǎo)致實際操作困難。

　　4.2網(wǎng)絡(luò)信息安全立法的必要性

　　伴隨網(wǎng)絡(luò)信息系統(tǒng)的發(fā)展，安全問題日益增多，人們逐漸認(rèn)識到因特網(wǎng)需要引進(jìn)法律規(guī)范。尤其是網(wǎng)絡(luò)信息系統(tǒng)作為一種傳播媒介，不僅不可能自動消除不良信息的危害性，而且因其使用便利、傳播快捷的特點，反而可能在缺乏管理的狀態(tài)下大大增強其危害性。網(wǎng)絡(luò)信息安全極其復(fù)雜多樣，治本之策便是進(jìn)行法律規(guī)范，尤其需要像網(wǎng)絡(luò)結(jié)構(gòu)一樣的一個安全法律法規(guī)體系來有效保障信息、網(wǎng)絡(luò)系統(tǒng)的安全。

　　網(wǎng)絡(luò)信息的安全，關(guān)系到國家的安全、主權(quán)和社會的穩(wěn)定，必須提高安全意識，采取可靠的安全措施，強化防范和管理，保證政府信息網(wǎng)絡(luò)系統(tǒng)的安全。強調(diào)網(wǎng)絡(luò)信息安全的立法迫切性，不僅僅是因為信息網(wǎng)絡(luò)安全在實現(xiàn)信息資源共享方面的重要作用，更因為它是保障國家網(wǎng)絡(luò)信息安全、�濟(jì)安全、政治安全的戰(zhàn)略問題，它和國家主權(quán)緊緊相連。

　　其次，網(wǎng)絡(luò)信息安全立法也是做好安全防范的要求之一。網(wǎng)上的數(shù)據(jù)安全問題、保密問題、病毒的傳播等問題，是目前信息網(wǎng)絡(luò)發(fā)展中存在的普遍問題。對有害于信息網(wǎng)絡(luò)使用的行為要與之堅決斗爭。為此，必須制定管理規(guī)則，規(guī)范人們的行為，查處有害行為，組織力量對付‘黑客’，維護(hù)正常的秩序。第三，安全意識薄弱現(xiàn)象的普遍存在，證明信息安全法律責(zé)任的迫切性。安全意識不強，安全技術(shù)落后，是造成安全隱患的主要問題。如果加強立法，明確法律責(zé)任，這些問題將會得到較大程度的改善。信息網(wǎng)絡(luò)既是實現(xiàn)信息、資源共享的平臺，也可能成為威脅國家安全、危害國計民生的通道。網(wǎng)絡(luò)信息安全的法律則是對免疫系統(tǒng)的保護(hù)之一，其迫切性也是不言而喻的。

　　4.3網(wǎng)絡(luò)信息安全立法工作的可行性分析

　　網(wǎng)絡(luò)信息安全問題不僅是個別國家的國內(nèi)安全問題，也不是單憑一個國家或一種技術(shù)就能解決得了的問題，而是必須通過開展長期、廣泛和深入的國際合作，包括各國政府、各種地區(qū)組織等等的充分合作，才有可能解決。隨著網(wǎng)絡(luò)信息安全逐漸被認(rèn)識，許多國家都爭相開始進(jìn)行立法工作，例如美國、俄羅斯、日本以及歐盟各國。隨著網(wǎng)絡(luò)信息安全法律的健全，確保了國家相關(guān)部門切實履行其職能，提高了行政效率，保護(hù)了網(wǎng)絡(luò)信息人的私權(quán)如隱私權(quán)、名譽權(quán)、著作權(quán)等，同時推動了信息產(chǎn)業(yè)發(fā)展，比如推動和保護(hù)電子商務(wù)并且完善了訴訟程序和其他救濟(jì)程序，保障被侵權(quán)人的自救和他救，加大處罰力度，強化侵權(quán)者的責(zé)任，形成法律威懾力。

　　八屆人大五次會議于1997年3月14日通過，同年10月1日正式實施的新修訂的《刑法》增加了三個法律條款：非法侵入計算機系統(tǒng)罪(285條)，破壞計算機信息系統(tǒng)功能、破壞計算機信息系統(tǒng)數(shù)據(jù)或應(yīng)用程序罪，制作、傳播計算機病毒等破壞計算機程序罪(第286條)以及屬于廣義計算機犯罪范疇的利用計算機實施的犯罪(第287條)等。這對預(yù)防和打擊計算機違法犯罪起到了積極的作用，但由于這三個條款只作了較原則性的規(guī)定，且具有較強的專業(yè)性，因此對有關(guān)計算機犯罪的定罪量刑尺度把握較難，故網(wǎng)絡(luò)安全立法必須有更進(jìn)一步的行動，也將會建立更加完善的網(wǎng)絡(luò)環(huán)境，創(chuàng)造更加和諧的綠色網(wǎng)絡(luò)虛擬世界。

　　5總結(jié)

　　隨著我國經(jīng)濟(jì)的高速增長，中國信息化有了顯著的發(fā)展和進(jìn)步，信息在現(xiàn)代化過程中占據(jù)著越來越重要的地位。“十一五”期間，我國電子信息產(chǎn)業(yè)規(guī)模繼續(xù)壯大，然而信息安全的問題也越來越迫在眉睫。本文詳細(xì)分析了我國網(wǎng)絡(luò)信息安全的現(xiàn)狀以及存在的問題，并指出雖然現(xiàn)行網(wǎng)絡(luò)信息安全措施早已出臺，但是網(wǎng)絡(luò)信息安全依然存在許多障礙。本文強調(diào)，網(wǎng)絡(luò)信息安全的有效辦法是道德規(guī)范教育與網(wǎng)路安全規(guī)范立法并行，并從各個方面論證了該方法的可行性以及有效性，對我國網(wǎng)絡(luò)信息安全維護(hù)和控制有一定的指導(dǎo)意義。

　　參考文獻(xiàn)

　　[1] 王世偉.論信息安全，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)空間安全[J].中國圖書館學(xué)報，2015， 41(2)：72-84.

　　[2] 徐明，等.網(wǎng)絡(luò)信息安全[M].西安電子科技大學(xué)出版社，2006.

　　[3] 王紅梅，宗慧娟，王愛民.計算機網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].價值工程， 2015，34(1)：209-210.

　　[4] 王世偉.論大數(shù)據(jù)時代信息安全的新特點與新要求[J].圖書情報工作，2016， 60(6)：5-14.

　　[5] [美]雷蒙德.S.R.庫.網(wǎng)絡(luò)信息法：案例與資料[M].中信出版社，2003.

　　[6] 黃海峰.網(wǎng)絡(luò)信息安全2016年呈現(xiàn)五大發(fā)展趨勢[J].通信世界，2016(1)： 55.

　　[7] 燕金武.網(wǎng)絡(luò)信息政策導(dǎo)論[M].北京圖書館出版社，2006.

　　[8] 劉品新.網(wǎng)絡(luò)法學(xué)[M].中國人民大學(xué)出版社.2009.

　　[9] 高永強，郭世澤.網(wǎng)絡(luò)平安技術(shù)好應(yīng)用大典[M].人民郵電出版社，2009.

　　[10] 劉冰.社交網(wǎng)絡(luò)中用戶信息安全影響因素實證研究[J].情報科學(xué)，2016(5)： 14.

　　[11] 姜勇，王丹淋.移動互聯(lián)網(wǎng)信息安全威脅與漏洞分析[J].信息化建設(shè)， 2016(2)：121-123.

　　[12] 谷俊濤.網(wǎng)絡(luò)信息安全技術(shù)研究[J].信息技術(shù)，2016，40(5)：193-194.

　　網(wǎng)絡(luò)安全方面論文篇2

　　試論校園網(wǎng)絡(luò)安全

　　網(wǎng)絡(luò)安全的概念

　　包括物理安全和邏輯安全

　　物理安全指網(wǎng)絡(luò)系統(tǒng)中各通信 計算 機設(shè)備以及相關(guān)設(shè)備的物理保護(hù)，免予破壞、丟失等; 邏輯安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏給未經(jīng)授權(quán)的人，完整性是指計算機系統(tǒng)能夠防止非法修改和刪除數(shù)據(jù)和程序，可用性是指系統(tǒng)能夠防止非法防止非法獨占計算機資源和數(shù)據(jù)，合法用戶的正常請求能及時、正確、安全的得到服務(wù)或回應(yīng)。

　　網(wǎng)絡(luò)計算機中安全威脅主要有：身份竊取，身份假冒、數(shù)據(jù)竊取、數(shù)據(jù)篡改，操作否認(rèn)、非授權(quán)訪問、病毒等。

　　校園網(wǎng)絡(luò)都是借助主干通信網(wǎng)，將各地的分部門和總部連接，同時與Internet互聯(lián)。這就存在著以下幾方面的網(wǎng)絡(luò)安全問題：

　　●總部局域網(wǎng)和各分、子部門局域網(wǎng)之間，分、子部門與下屬機構(gòu)局域網(wǎng)之間廣域網(wǎng)干線上信息傳輸?shù)陌踩Ｃ軉栴}。

　　●總部局域網(wǎng)及各分、子部門局域網(wǎng)自身的安全，要確保這些局域網(wǎng)不受網(wǎng)內(nèi)用戶非法授權(quán)訪問和破壞。

　　●來自外部的非授權(quán)用戶非法攻擊和破壞，以及內(nèi)部用戶對外部非法站點的訪問。

　　2. 解決方案的分類

　　解決網(wǎng)絡(luò)安全問題涉及的范圍廣泛;不安全因素主要集中在網(wǎng)絡(luò)傳播介質(zhì)及網(wǎng)絡(luò)協(xié)議的缺陷、密碼系統(tǒng)的缺陷、主機操作系統(tǒng)的缺陷上，因此在安全策略方面重點考慮：

　　2.1 基礎(chǔ)結(jié)構(gòu)安全

　　主要包括：操作系統(tǒng)選擇和問題規(guī)避;帳號設(shè)置、口令強度、網(wǎng)絡(luò)參數(shù)、文件監(jiān)測保護(hù)在現(xiàn)實運作中，密碼系統(tǒng)已經(jīng)非常完善，標(biāo)準(zhǔn)的DES、RSA和其他相關(guān)認(rèn)證體系已經(jīng)成為公認(rèn)的具有計算復(fù)雜性安全的密碼標(biāo)準(zhǔn)協(xié)議，這個標(biāo)準(zhǔn)的健壯性也經(jīng)受了成千上萬網(wǎng)絡(luò)主機的考驗,但是在網(wǎng)絡(luò)協(xié)議與操作系統(tǒng)本身上，仍然有很多可被攻擊的入口。很多網(wǎng)絡(luò)安全中的問題集中在操作系統(tǒng)的缺陷上。Unix及類 Unix操作系統(tǒng)是在 Internet中非常普遍的操作系統(tǒng)，主要用于網(wǎng)絡(luò)服務(wù)。它的源代碼是公開的，所以在很多場合下使用者可以定制自己的Unix,操作系統(tǒng)，使它更適合網(wǎng)絡(luò)相關(guān)的服務(wù)要求。

　　由于網(wǎng)絡(luò)協(xié)議是獨立與操作系統(tǒng)的，它的體系結(jié)構(gòu)與操作系統(tǒng)端是無關(guān)的，網(wǎng)絡(luò)協(xié)議所存在的安全隱患也是獨立于操作系統(tǒng)來修正的。

　　2.2　管理安全

　　安全管理是網(wǎng)絡(luò)必須考慮的，主要包括：權(quán)限管理，單點登錄，安全管理中心等。

　　管理的技術(shù)手段很多，通過采用加強身份確認(rèn)的 方法 獲得網(wǎng)上資源控制權(quán)如智能IC身份卡，提供安全的遠(yuǎn)程接入手段;采用虛擬專網(wǎng)技術(shù)如網(wǎng)絡(luò)保密機解決數(shù)據(jù)在公網(wǎng)傳輸?shù)陌踩?安全郵件和安全Web服務(wù)器也是一類重要的安全產(chǎn)品。然而，對一個具體的網(wǎng)絡(luò)系統(tǒng)，我們在安全風(fēng)險評估確定合適的安全需求后，從技術(shù)上講可以架構(gòu)一個滿足基本要求的安全設(shè)備平臺。但是發(fā)生最頻繁的安全威脅實際上是非技術(shù)因素，安全管理漏洞和疏忽才是最大的安全隱患。只有把安全管理制度與安全管理技術(shù)手段結(jié)合起來，這個網(wǎng)絡(luò)信息系統(tǒng)的安全性才有保障。因此，采用集中統(tǒng)一的管理策略，以技術(shù)手段實現(xiàn)非技術(shù)的安全管理，主要由安全管理中心實現(xiàn)。

　　2.3 邊界安全

　　校園網(wǎng)絡(luò)與外界的邊界劃分是否 科學(xué) ?IT系統(tǒng)與外界、內(nèi)部關(guān)鍵部門之間是否安全隔離?這都屬于邊界安全范圍?？梢栽陉P(guān)心的實體之間安裝防火墻產(chǎn)品和攻擊檢測軟件，來加強邊界安全，實施攻擊防御方案。關(guān)于防火墻技術(shù)的使用成功與否對網(wǎng)絡(luò)的安全有決定性作用，對此我們進(jìn)行主要討論

　　2.3.1防火墻的概念

　　當(dāng)一個網(wǎng)絡(luò)，接入Internet以后，而系統(tǒng)的安全性除了考慮病毒、系統(tǒng)的健壯性之外，更主要的防止非法用戶的入侵。而 目前 防制措施主要是靠防火墻技術(shù)完成。

　　防火墻是指由一個軟件和硬件設(shè)備組合而成，處于網(wǎng)絡(luò)群體計算機與外界通道之間，限制外界用戶對于內(nèi)部網(wǎng)絡(luò)訪問以及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。

　　實際上防火墻作為一種網(wǎng)絡(luò)監(jiān)視和過濾器，它監(jiān)視每一個通過的數(shù)據(jù)報文和請求。一方面對可信賴的報文和 應(yīng)用 請求允許通過，另一方面對有害的或可疑的報文禁止其通過。防火墻具有使用簡便，高速、邏輯漏洞少等特點。

　　2.3.2防火墻在網(wǎng)絡(luò)中的位置

　　為了達(dá)到對網(wǎng)絡(luò)數(shù)據(jù)傳輸進(jìn)行監(jiān)視的目的，防火墻一般位于局域網(wǎng)和廣域網(wǎng)之間或局域網(wǎng)與局域網(wǎng)之間。

　　防火墻位于局域網(wǎng)和廣域網(wǎng)之間。

　　Intranet<---> F<---->Interant ;

　　在這種情況之下，防火墻的主要作用是允許局域網(wǎng)內(nèi)的用戶訪問Internet，如瀏覽WWW網(wǎng)站，收發(fā)E-mail，并且禁止來自于Internet上的未知用戶闖入局網(wǎng)進(jìn)行破壞或竊取機密信息。

　　防火墻在局網(wǎng)與局域網(wǎng)之間，如圖：

　　Intranet<---> F<---->Intranet

　　在這種情況下，防火墻的作用是允許公用信息在兩個網(wǎng)絡(luò)中傳輸，保證每個網(wǎng)段的私有信息不被對方訪問。

　　可以看出無論哪一種形式，防火墻都是數(shù)據(jù)報文進(jìn)出網(wǎng)絡(luò)的必經(jīng)之路，這樣才能保證防火墻對網(wǎng)絡(luò)的監(jiān)視保護(hù)作用。

　　2.3.3防火墻的分類

　　2.3.3.1按防火墻在網(wǎng)絡(luò)中所起的作用，防火墻可以分成兩種，一種是與路由設(shè)備合二為一，通常為過濾路由器或是網(wǎng)關(guān)主機防火墻，另一種叫做堡壘主機式防火墻，它不具有路由功能。

　　過濾路由器、網(wǎng)關(guān)主機防火墻是在路由器和網(wǎng)關(guān)主機上加上包過濾的功能，是網(wǎng)絡(luò)中的第一道防線。因為它具有路由的功能，所以它的安全性較差。

　　堡壘主機式防火墻是網(wǎng)絡(luò)中最為重要的安全設(shè)備，通常以橋接的方式安裝在路由器和網(wǎng)絡(luò)之間，它的唯一作用是保證網(wǎng)絡(luò)的安全使用，這種防火墻在網(wǎng)絡(luò)中的具體位置如圖。

　　Intranet< ------>F< ------ > 邊界路由器< ------ > internet

　　2.3.3.2按照ISO所定義的網(wǎng)絡(luò)層次，防火墻可分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻。

　　包過濾型防火墻是網(wǎng)絡(luò)層防火墻，它以用戶定義的過濾規(guī)則對每一個通過它的數(shù)據(jù)報文進(jìn)行過濾，一般是檢查一個IP報文的五個基本元素：源地址、目的地址、協(xié)議、源端口號、目的端口號。如果規(guī)則允許報文通過，報文就可以通過防火墻，反之則不能。包過濾不檢查連接請求的會話狀態(tài)，也不會對傳輸數(shù)據(jù)進(jìn)行檢查。

　　代理型防火墻，屬于應(yīng)用層防火墻，代理的功能是對來自局域網(wǎng)內(nèi)用戶的會話求進(jìn)行會話請求轉(zhuǎn)發(fā)。在轉(zhuǎn)發(fā)過程中對會話進(jìn)行過濾。因為代理在應(yīng)用層，它可以對會話的狀態(tài)和傳輸?shù)臄?shù)據(jù)進(jìn)行檢查和過濾。從安全上講，代理的安全性要比包過濾功能更強，因為一個IP報文到了代理層，它的壽命就已經(jīng)截止了，也就是說代理真正地阻斷了網(wǎng)絡(luò)的傳輸。

　　目前應(yīng)用于網(wǎng)絡(luò)安全的防火墻系統(tǒng)基本上屬于上面所講到的兩種防火墻系統(tǒng)。但在實際應(yīng)用中的防火墻經(jīng)常是這兩種方法的合體，即包過濾加代理行防火墻。

　　同時，為了防范黑客的各種各樣攻擊行為，通常的防火墻產(chǎn)品還要加上其他許多功能。

　　2.3.4.防火墻集中的主要功能

　　2.3.4.1.支持透明連接

　　透明性是指對客戶的透明和對網(wǎng)絡(luò)設(shè)備的透明。無論安裝防火墻還是卸載防火墻，第一不必改變網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，不需要修改網(wǎng)絡(luò)設(shè)備的參數(shù)與設(shè)置。第二在用戶端亦不必作任何修改和設(shè)置就可以實現(xiàn)基于IP協(xié)議的各種信息的傳輸。

　　2.3.4.2.帶有DMZ區(qū)的連接

　　DMZ原意為?；饏^(qū)，在防火墻的應(yīng)用中是指防火墻將邏輯上同一網(wǎng)段分成物理上的兩個網(wǎng)段，其中一個物理網(wǎng)段為正常的受保護(hù)網(wǎng)段，另一個物理網(wǎng)段為DMZ，用來連接要對外開放的主機，防火墻對DMZ區(qū)只作少量的保護(hù)或不做保護(hù)。

　　2.3.4.3.包過濾功能

　　包過濾功能防火墻最主要的功能之一，是防火墻必備的功能模塊。

　　包過濾指的是對IP數(shù)據(jù)包的過濾。對防火墻需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，包括IP層所承載的上層協(xié)議的協(xié)議號，數(shù)據(jù)包的源地址、目的地址、源端口、目的端口等，然后和設(shè)定規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。大多數(shù)數(shù)據(jù)包過濾系統(tǒng)在數(shù)據(jù)本身上不作任何事，不作關(guān)于 內(nèi)容 的決定。有了數(shù)據(jù)過濾包，可以不讓任何人從外界使用Telent 登錄，或者讓每個人經(jīng)SMTP向我們發(fā)送 電子 郵件，或者是某個機器經(jīng)由NNTP把新聞發(fā)給我，而其他機器不能這樣做。但是你不能控制這個用戶能從外部遠(yuǎn)程登錄而他用戶不能這樣做，因為“用戶”不是數(shù)據(jù)過濾包系統(tǒng)所能辨認(rèn)的。同時你也不能做到發(fā)送這些文件而不是那些文件，因為“文件”也不是數(shù)據(jù)包過濾系統(tǒng)所能辨認(rèn)的。

　　防火墻包過濾功能應(yīng)具有的特點：支持對進(jìn)入報文、轉(zhuǎn)發(fā)報文和出去的報文的分別過濾。支持非操作符;支持端口范圍的控制;支持ICMP報文類型的控制。

　　使用包過濾模塊會對 網(wǎng)絡(luò) 傳輸速率有 影響 ，但速率的降低不能超過25%

　　2.3.4.4. 應(yīng)用 層過濾

　　應(yīng)用層的過濾是一種細(xì)粒度的過濾，實際上是對報文數(shù)據(jù)內(nèi)容的過濾。在應(yīng)用層可以實現(xiàn)對URL的過濾以及其它網(wǎng)絡(luò)應(yīng)用層協(xié)議(如FTP)的協(xié)議命令的過濾和報文內(nèi)容的過濾。通過應(yīng)用層過濾，可以禁止非法站點的連接(這些站點通常是含有反動、黃色信息)達(dá)到對非法信息的過濾。

　　2.3.4.5.透明代理與控制功能

　　代理的功能是對來自局域網(wǎng)內(nèi)的用戶的會話請求進(jìn)行會話規(guī)劃請求轉(zhuǎn)發(fā)。從安全角度講，這樣做有以下幾個用處：

　　●完全阻斷了網(wǎng)絡(luò)的傳輸通道。

　　●可以進(jìn)行訪問控制。

　　●隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，因為最終請求是由防火墻發(fā)出的，外面的主機并不知道與哪個用戶通信。

　　●解決IP地址緊缺的 問題 。使用代理服務(wù)器只需防火墻有一個公網(wǎng)的IP地址。

　　代理服務(wù)器優(yōu)點在于：支持多種TCP上層協(xié)議，完全的透明性，對防火墻以外任何設(shè)備以及主機無需作任何修改。代理服務(wù)器不僅僅是為了接通網(wǎng)絡(luò)，更重要的一點是為了保證網(wǎng)絡(luò)的安全。代理層訪問控制模塊使代理服務(wù)器模塊具有完整的安全手段。

　　2.3.4.6防止IP 地址欺騙。

　　黑客的一種慣用手段是修改報文，使報文的源地址成為他要攻擊的主機的同網(wǎng)段的地址。利用這種辦法欺騙目標(biāo)主機并取得目標(biāo)主機的信任，達(dá)到為所欲為的目的。防火墻應(yīng)能智能地判斷數(shù)據(jù)報文的真正來源，對假冒報文予以，使黑客無法進(jìn)入內(nèi)部網(wǎng)絡(luò)，做到防止外部用戶盜用內(nèi)部網(wǎng)段空閑的IP 地址。

　　2.3.4.6.地址綁定功能

　　地址綁定即固定主機IP地址和網(wǎng)絡(luò)適配器的MAC地址的一一對應(yīng)關(guān)系。地址綁定的主要作用是防止非法用戶盜用合法用戶的IP地址，由于每塊網(wǎng)卡的MAC地址都是固定的，經(jīng)過地址綁定后，地址就與 計算 機或用戶(若每臺計算機的用戶固定)的對應(yīng)關(guān)系就固定了。也就是說，只有特定的主機才能使特定的IP地址，這就可以保證IP地址不盜用。

　　地址綁定加快了網(wǎng)絡(luò)的速度，因為綁定之后，防火墻就不用定時地動態(tài)查詢局域網(wǎng)內(nèi)部主機的MAC地址，這就減少了網(wǎng)絡(luò)資源的浪費，加快了網(wǎng)絡(luò)的速度。

　　2.3.4.7.地址轉(zhuǎn)換功能

　　防火墻通過地址轉(zhuǎn)換技術(shù)，將所有從內(nèi)部發(fā)出的通過防火墻報文的源地址修改成為防火墻本身的IP地址，使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)使用地址轉(zhuǎn)換技術(shù)，要求所有的網(wǎng)絡(luò)連接只能從內(nèi)部發(fā)起，這樣更是極大的提高了網(wǎng)絡(luò)安全性。另外除了安全性，地址轉(zhuǎn)換,還有一個好處，解決IP地址缺乏的問題，如果一個園區(qū)只有少數(shù)的公網(wǎng)地址，利用地址轉(zhuǎn)換技術(shù)，可以使所有連接到防火墻上的主機都可以與Internet相連。局域網(wǎng)的用戶認(rèn)為在與Internet之間通信，而Internet上的主機以為是與防火墻通信。這樣就因隱藏了網(wǎng)段的網(wǎng)絡(luò)結(jié)構(gòu)，因為只能見到防火墻的一個地址。

　　2.3.4.8. 功能

　　是指虛擬專用網(wǎng)絡(luò)。實際上是在公共網(wǎng)上建立內(nèi)部網(wǎng)絡(luò)。其重點就是保證在公眾網(wǎng)上傳播的內(nèi)部信息不被外人獲取。一般有專用的網(wǎng)絡(luò)保密機與防火墻在此功能上有交叉　。

　　2.3.4.9.規(guī)則設(shè)施功能

　　網(wǎng)絡(luò)安全管理人員想知道一個確定的包進(jìn)入入防火墻后會發(fā)生什么事情，這時可以利用規(guī)則測試的功能。安全管理員可以設(shè)計一些虛擬的報文，利用規(guī)則測試功能來驗證設(shè)計的規(guī)則是否正確，是否符合設(shè)計的目標(biāo)。這樣可以增加工作效率并保證規(guī)則設(shè)置的正確性。

　　2.3.4.10.支持遠(yuǎn)程在線狀態(tài)管理、配置管理、審記管理

　　通過安全管理中心和其他管理軟件可以對防火墻進(jìn)行遠(yuǎn)程在線管理。既可以在遠(yuǎn)程非常直觀的觀察到防火墻的運行情況，也可以遠(yuǎn)程啟動關(guān)閉防火墻和重新啟動防火墻。

　　防火墻系統(tǒng)中運行的代理守護(hù)進(jìn)程，通過守護(hù)進(jìn)程管理程序，可以在遠(yuǎn)端對防火設(shè)備的各個功能模塊進(jìn)行設(shè)置和維護(hù)，以便于安全管理人員對防火墻的管理。

　　日志能記錄完整的網(wǎng)絡(luò)信息，包括建立的連接時間，雙方地址，以及傳輸信息量。

　　支持遠(yuǎn)程審記日志是保障安全的重要手段，由于網(wǎng)絡(luò)設(shè)備的審記信息通常大得驚人，觀察 分析 審記日志是讓管理人員非常頭痛的是工作。好的防火墻應(yīng)支持遠(yuǎn)程審記管理，使得管理人員能夠在遠(yuǎn)端的GUI界面下輕松地觀察和分析審記信息，使得審記的分析更加直觀。從安全的角度講，日志主要是起到抗抵賴的作用的，即防火墻記錄了用戶的網(wǎng)絡(luò)使用情況，如果有人對網(wǎng)絡(luò)進(jìn)行了攻擊或是有竊密的行為，事后使我們有據(jù)可查，對這樣的人進(jìn)行 法律 上的制裁或者防止他下一次的攻擊。

　　2.3.1.11.支持安全管理中心集中統(tǒng)一管理

　　防火墻的管理代理守護(hù)進(jìn)程為安全管理中心留有接口程序，能夠?qū)崿F(xiàn)安全管理中心對防火墻的安全管理。使用安全管理中心，好處在于它的安全性和集中統(tǒng)一管理能力。

　　其一、安全管理中心通過安全通道與網(wǎng)絡(luò)安全設(shè)備通信來保證對防火墻設(shè)備設(shè)置和維護(hù)管理信息的安全。

　　其二、安全管理中心能夠做到遠(yuǎn)程的統(tǒng)一管理，一臺安全管理中心機可以管理多臺防火墻以及其它網(wǎng)絡(luò)安全設(shè)備。

　　3.安全方案實施的生命周期

　　安全管理的方案的實施需要正確的 方法 和次序，全面的網(wǎng)絡(luò)信息安全方案需要在正確的 企業(yè) 安全策略的指導(dǎo)下按部就班地進(jìn)行實施。網(wǎng)絡(luò)安全方案實施生命周期如下所示

　　風(fēng)險評估――>方案設(shè)計―――>方案實施―――>人員培訓(xùn)―――>安全監(jiān)控―――>信息反饋――>重新評估

　　安全管理方案的核心是制定的安全策略。任何安全產(chǎn)品和方案都必須服從此安全策略。應(yīng)由安全管理專家與領(lǐng)導(dǎo)者一同制定系統(tǒng)的安全管理策略。

　　在安全方案實施的第一步，是實施方案的風(fēng)險評估。即對 目前 網(wǎng)絡(luò)環(huán)境進(jìn)行綜合考察， 發(fā)現(xiàn)安全隱患，分析可能面臨的不安全因素，從而為將來的安全方案提供總體策略。 從信息安全的角度來為校園IT環(huán)境進(jìn)行進(jìn)行合理劃分，找出邊界因素，對癥下藥，并對指定的安全策略進(jìn)行方案設(shè)計和具體實施。 在實施的過程中或?qū)嵤┲螅仨氈匾暼说囊蛩亍Ｒ獙τ脩艉拖嚓P(guān)人員進(jìn)行有效的培訓(xùn)。為網(wǎng)絡(luò)信息安全培養(yǎng)安全管理人員是安全方案中非常重要的一個方面。 實施企業(yè)安全方案，對安全性進(jìn)行總體監(jiān)控是網(wǎng)絡(luò)安全生命周期中的執(zhí)行階段，如果發(fā)生不安全事件，檢查是否能夠?qū)嵤┢髽I(yè)安全策略，能否進(jìn)行正確的反應(yīng)：安全防范的強度是否足夠;是否有未能防止的入侵事件。定時或隨時進(jìn)行園區(qū)網(wǎng)絡(luò)安全策略的檢查，及時反饋安全信息，針對漏洞重新進(jìn)行安全評估，網(wǎng)絡(luò)安全方案周期重新開始。

　　參考文獻(xiàn)：

　　1.《通信網(wǎng)的安全---- 理論 與技術(shù)》 王育民 劉建偉 西安電子 科技 大學(xué)出版社

　　2. Andrew S.Tanenbaum Albert S.Woodhull ”Operating Design and implementation”

　　3.《網(wǎng)絡(luò)與信息安全》