毕业设计论文刘宁.docx

毕业设计论文刘宁.docx

《毕业设计论文刘宁.docx》由会员分享，可在线阅读，更多相关《毕业设计论文刘宁.docx（19页珍藏版）》请在冰点文库上搜索。

毕业设计论文刘宁

毕业设计论文

计算机网络安全

学生姓名：

刘宁学号：

G130101060

系部：

电子信息工程系

专业：

计算机网络技术

指导教师：

任靖

二零一五年九月

摘要

网络信息的飞速发展给人类社会带来巨大的推动与冲击,同时也产生了网络系统安全问题。

计算机网络的安全问题越来越受到人们的重视，本文简要的分析了计算机网络存在的安全隐患，探讨了计算机网络的几种安全防范措施。

总的来说，网络安全不仅仅是技术问题，同时也是一个安全管理问题。

关键字：

网络安全；防火墙。

Abstract

Therapiddevelopmentofnetworkinformationtomakeahugeimpact,andpromotehumansocietyalsoproducedthenetworksystemsecurity.Computernetworksecurityproblemmoreandmoregetpeople'sattention,thispaperanalysesthehiddentroubleinsecurityofcomputernetwork,thispaperdiscussesthecomputernetworkofseveralsafetyprecautions.Ingeneral,thenetworksecurityisnotonlyatechnicalproblem,isalsoaquestion

ofsafetymanagement

Keywords:

Networksecurity;firewall.

目录

摘要I

AbstractII

1引言1

1.1概述1

1.2网络安全技术的研究目的、意义和背景1

1.3计算机网络安全的含义2

2网络安全初步分析2

2.1网络安全的必要性3

2.2网络的安全管理3

2.2.1安全管理原则3

2.2.2安全管理的实现4

2.3采用先进的技术和产品4

2.3.1防火墙技术4

2.3.2数据加密技术4

2.3.3认证技术5

2.3.4计算机病毒的防范5

2.4常见的网络攻击和防范对策5

2.4.1特洛伊木马5

2.4.2邮件炸弹6

2.4.3过载攻击6

2.4.4淹没攻击6

3网络攻击分析7

4网络安全技术8

4.1防火墙的定义和选择8

4.1.1防火墙的定义8

4.1.2防火墙目前采取的安全措施9

4.1.3防火墙的选择10

4.2加密技术11

4.2.1对称加密技术11

4.2.2非对称加密技术11

4.2.3RSA算法11

4.3注册与认证管理12

4.3.1认证机构12

4.3.2注册机构12

4.3.3密钥备份和恢复12

4.3.4证书管理与撤销系统12

5安全技术的研究13

5.1安全技术的研究现状和方向13

5.2包过滤型13

5.3代理型14

结束语15

参考文献16

致谢17

1引言

1.1概述

我们知道,21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。

要实现信息化就必须依靠完善的网络，因为网络可以非常迅速的传递信息。

因此网络现在已成为信息社会的命脉和发展知识经济的基础。

随着计算机网络的发展，网络中的安全问题也日趋严重。

当网络的用户来自社会各个阶层与部门时，大量在网络中存储和传输的数据就需要保护。

当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国特色的网络安全体系。

一个国家的安全体系实际上包括国家的法律和政策，以及技术与市场的发展平台。

我国在构建信息信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展名族的安全产业,带动我国网络安全技术的整体提高。

网络安全产品有以下几个特点：

第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断的变化；第三，随着网络在社会各个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。

为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合开发。

安全与反安全就像矛盾的两个方面，总是不断的向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。

信息安全是国家发展所面临的一个重要问题，对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。

政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来数字化、网络化、信息化的发展将起到非常重要的作用。

1.2网络安全技术的研究目的、意义和背景

目前计算机网络面临着很大的威胁，其构成的因素是多方面的。

这种威胁将不断给社会带来巨大的损失。

网络安全已被信息社会的各个领域所重视。

随着计算机络的不断发展，全球信息化已成为人类发展的大趋势；给政府机构、企事业单位带来了革命性的改革。

但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络容易受黑客、病毒、恶意软件和其他不轨行为的攻击，所以网上信息的安全和保密是一个至关重要的问题。

对于军用的自动化指挥网络、C3I系统、银行和政府等传输铭感数据的计算机网络系统而言，其网上信息的安全性和保密性尤为重要。

因此，上述的网络必须要有足够强的安全措施，否则该网络将是个无用、甚至会危机国家安全的网络。

无论是在局域网中还是在广域网中，都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性，故此，网络的安全措施应是能全方位的针对各种不同的威胁和网络的脆弱性，这样才能确保网络信息的保密性、完整性、和可行。

为了确保信息安的安全与畅通，研究计算机网络的安全以及防范措施已迫在眉睫。

本文就进行初步探讨计算机网络安全的管理及技术措施。

认真分析网络面临的威胁，我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程，是一个安全管理和技术防范相结合的工程。

在目前法律法规尚不完善的情况下，首先是各计算机网络应用部门领导的重视，加强工作人员的责任心和防范意识，自觉执行各项安全制度，在此基础上，再采用现金的技术和产品，构造全防卫的防御机制，使系统在理想的状态下运行。

1.3计算机网络安全的含义

计算机网络安全的具体含义会随着使用者的变化而变化，使用者的不同，对网络安全的认识和要求也就不同。

例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的灾害，军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。

从本质上来讲，网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的，也有管理方面的问题，两方面相互补充，缺一不可。

人为的网络入侵和攻击行为使得网络安全面临新的挑战。

2网络安全初步分析

2.1网络安全的必要性

随着计算机技术的不断发展，计算机网络已经成为信息时代的重要特征。

人们称它为信息高速公路。

网络是计算机技术和通信技术的产物，适应社会对信息共享和信息传递的要求发展起来的，各国都在建设自己的信息高速公路。

我国近年来计算机网络发展的速度也很快，在国防、电信、银行、广播等方面都有广泛的应用。

我相信在不长的时间里，计算机网络一定会得到极大的发展，那时将全面进入信息时代。

正因为网络应用的如此广泛，又在生活中扮演很重要的角色，所以其安全性是不容忽视的。

2.2网络的安全管理

面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络安全的安全管理，因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题。

2.2.1安全管理原则

网络信息系统的安全管理主要基于3个原则：

（1）多人负责原则

每一项与安全有关的活动，都必须有两人或多人在场。

这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作以得到保障。

与安全有关的活动有：

访问控制使用证件的发放与回收，信息处理系统使用的媒介发放与回收，处理保密信息，硬件与软件的维护，系统软件的设计、实现和修改，重要数据的删除和销毁等。

（2）任期有限原则

一般来讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。

为遵循任期有限原则，工作人员应不定期的循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。

（3）职责分离原则

除非经系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情。

出于对安全的考虑，下面每组内的两项信息处理工作应当分开：

计算机操作与计算机编程、机密资料的接收与传送、安全管理与系统管理、应用程序和系统程序的编制、访问证件的管理与其他工作、计算机操作与信息处理系统使用媒介的保管等。

2.2.2安全管理的实现

信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制定相应的管理制度或采用相应的规范。

具体工作是:

（1）根据工作的重要程度，确定该系统的安全等级。

（2）根据确定的安全等级，确定安全管理范围。

（3）制定相应的机房出入管理制度，对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。

出入管理可采用证件识别或安装自动识别系统，采用此卡、身份卡等手段，对人员进行识别，登记管理。

2.3采用先进的技术和产品

要保证计算机网络安全的安全性，还要采用一些先进的技术和产品。

目前主要采用的相关技术和产品有以下几种。

2.3.1防火墙技术

为保证网络安全，防止外部网对内部网的非法入侵，在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。

它是一个或一组系统，该系统可以设定哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。

它可以监测、限制、更改跨越防火墙的数据流，确认其来源及去处，检查数据的格式及内容，并依照用户的规则传送或阻止数据。

其主要有：

应用层网关、数据包过滤、代理服务器等几大类型。

2.3.2数据加密技术

与防火墙配合使用的安全技术还有数据加密技术，是为了提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一。

随着信息技术的发展，网络安全与信息保密日益引起人们的关注。

目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术和物理防范技术的不断发展。

按作用的不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。

2.3.3认证技术

认证技术是防止主动攻击的重要手段，它对于开放环境中的各种信息的安全有重要作用。

认证是指验证一个最终用户或设备的身份过程，即认证建立信息的发送者或接受者的身份。

认证的主要目的有两个：

第一，验证信息的发送者是真正的，而不是冒充的，这称为信号源识别；第二，验证信息的完整性，保证信息在传送过程中未被篡改或延迟等。

目前使用的认证技术主要有：

消息认证、身份认证、数字签名。

2.3.4计算机病毒的防范

首先要加强工作人员防病毒的意识，其次是安装好的杀毒软件。

合格的防病毒软件应该具备以下条件：

（1）较强的查毒、杀毒能力。

在当前全球计算机网络上流行的计算机病毒有4万多种，在各种操作系统中包括Windows、UNIX和Netware系统都有大量能够造成危害的计算机病毒，这就要求安装的防病毒软件能够查杀多种系统环境下的病毒，具有查杀、杀毒范围广、能力强的特点。

（2）完善的升级服务。

与其他软件相比，防病毒软件更需要不断的更新升级，以查杀层出不穷的计算机病毒。

2.4常见的网络攻击和防范对策

2.4.1特洛伊木马

特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。

因为在特洛伊木马中存在这些用户不知道的额外操作代码，因此含有特洛伊木马的程序在执行时，表面上是执行正常的程序，而实际上是在执行用户不希望的程序。

特洛伊木马的程序包括两部分，即实现攻击者目的的指令和在网络中传播的指令。

特洛伊木马具有很强的生命力，在网络中当人们执行一个含有特洛伊木马的程序时，它能把自己插入一些未被感染的过程中，从而使它们受到感染。

此类攻击对计算机的危害极大，通过特洛伊木马，网络攻击者可以读写XX的文件，甚至可以获得对被攻击的计算机的控制权。

防止在正常程序中隐藏特洛伊木马的主要是人们在生成文件时，对每一个文件进行数字签名，而在运行文件时通过对数字签名的检查来判断文件是否被修改，从而确定文件中是否含有特洛伊木马。

避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。

2.4.2邮件炸弹

邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同以地址发送电子邮件，攻击者能够耗尽接受者网络的带宽，占据邮箱的空间，使用户的存储空间消耗殆尽，从而阻止用户对正常邮件的接收，妨碍计算机的正常工作。

此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。

防止邮件炸弹的方法主要有通过配置路由器，有选择地接收电子邮件，对邮件地址进行配置，自动删除来自同一主机的过量或重复消息，也可以使自己的SMTP连接只能达成指定的服务器，从而免受外界邮件的侵袭。

2.4.3过载攻击

过载攻击是攻击者通过服务器长时间发出大量无用的请求，使被攻击的服务器一直处于繁忙的状态，从而无法满足其他用户的请求。

过载攻击中被攻击者用的最多的一种方法是进程攻击，它是通过大量地进行人为的增大CPU的工作量，耗费CPU的工作时间，使其它的用户一直处于等待状态。

防止过载攻击的方法有：

限制单个用户所拥有的最大进程数；杀死一些耗时的进程。

然而，不幸的是这两种方法都存在着一定的负面效应。

通过对单个用户所拥有的最大进程数的限制和耗时进程的删除，会使用户某些正常的请求得不到系统的响应，从而出现类似拒绝服务的现象。

通常，管理员可以使用网络监视工具来发现这种攻击，通过主机列表和网络地址列表来的所在，也可以登录防火墙或路由器来发现攻击究竟是来自于网络内部还是网络外部。

另外，还可以让系统自动检查是否过载或者重新启动系统。

2.4.4淹没攻击

正常情况下，TCP连接建立要经过3次握手的过程，即客户机向客户机发送SYN请求信号；目标主机收到请求信号后向客户机发送SYN/ACK消息；客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。

TCP的这三次握手过程为人们提供了攻击网络的机会。

攻击者可以使用一个不存在或当时没有被使用的主机的IP地址，向被攻击主机发出SYN请求信号，当被攻击主机收到SYN请求信号后，它向这台不存在IP地址的伪装主机发出SYN/消息。

由于此时的主机IP不存在或当时没有被使用所以无法向主机发送RST，因此，造成被攻击的主机一直处于等待状态，直至超时。

如果攻击者不断的向被攻击的主机发送SYN请求，被攻击主机就一直处于等待状态，从而无法响应其他用户请求。

对付淹没攻击的最好方法就是实时监控系统处于SYN-RECEIVED状态的连接数，当连接数超过某一给定的数值时，实时关闭这些连接

3网络攻击分析

攻击是指非授权行为。

攻击的范围从简单的使服务器无法提供正常的服务到安全破坏、控制服务器。

在网络上成功实施的攻击级别以来于拥护采取的安全措施。

在此先分析下比较流行的攻击Dodos分布式拒绝服务攻击：

Does是DenialofService的简称，即拒绝服务，造成Does的攻击行为被称为Does攻击，其目的是使计算机或网络无法提供正常的服务。

最常见的Does攻击有计算机网络带宽攻击和连通性攻击。

带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。

连通性攻击是指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

而分布式拒绝服务（DDoS:

DistributedDenialofService）攻击是借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。

通常，攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。

代理程序收到指令时就发动攻击。

利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

而且现在没有有限的方法来避免这样的攻击。

因为此攻击基于TCP/IP协议的漏洞，要想避免除非不使用此协议，显然这是很难做到的那我们要如何放置呢？

（1）确保所有服务器采用最新系统，并打上安全补丁。

计算机紧急响应协调中心发现，几乎每个受到DDoS攻击的系统都没有及时打上补丁。

（2）确保管理员对所有主机进行检查，而不仅针对关键主机。

这是为了确保管理员知道每个主机系统在运行什么？

谁在使用主机？

哪些人可以访问主机？

不然，即使黑客侵犯了系统，也很难查明。

（3）确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS.等守护程序存在一些已知的漏洞，黑客通过根攻击就能获得访问特权系统的权限，并能访问其他系统—甚至是受防火墙保护的系统。

（4）确保运行在Unix上的所有服务都有TCP封装程序，限制对主机的访问权。

（5）禁止内部网通过Modem连接至PSTN系统。

否则，黑客能通过电话线发现未受保护的主机，即刻就能访问极为机密的数据。

（6）禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp，以基于PKI的访问程序如SSH取代。

SSH不会在网上以明文格式传递口令，而Telnet和Rlogin则正好相反，黑客能搜寻到这些口令，从而立即访问网络上的重要服务器。

此外，在Unix上应该将.rhost和hosts.equiv文件删除,因为不用猜口令,这些文件就会提供登录访问!

（7）限制在防火墙外与网络文件共享。

这会使黑客有机会截获系统文件，并以特洛伊木马替换他，文件传输功能无异将陷入瘫痪。

（8）确保手头上有一张最新的网络拓扑图。

这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备，还应该包括网络边界、非军事区（DMZ）及网络的内部保密部分。

（9）在防火墙上运行端口映射程序或端口扫描程序。

大多数时间是由于防火墙配置不当造成的，使DoS/DDoS攻击成功率很高，所以一定要认真检查特权端口和非特权端口。

（10）检查所有网络设备和主机/服务器系统的日志。

只要日志出现纰漏或时间出现变更，几乎可以坑定：

相关的主机安全收到了威胁。

4网络安全技术

4.1防火墙的定义和选择

4.1.1防火墙的定义

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。

它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关（代理服务器）以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。

虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输。

但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。

另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客入侵等方向发展。

4.1.2防火墙目前采取的安全措施

（1）使用地址映射NAT技术

内网访问外网通过防火墙NAT转换，NAT转换将图书馆局域网内的私有IP地址映射到一个公共的合法IP地址上,不但节省了IP资源，而且每个内部网络的真实IP地址得以隐藏。

只要防火墙的地址转换表不被窃取，黑客就不可能知道内网IP及其所对应的全局IP和他们的转换规则，因此无法向内网发送攻击数据包，他们要想对内网进行攻击的企图难以实现，有效地降低了黑客入侵的成功率。

（2）设置访问策略

制定限制网络访问的策略，不同级别的人允许访问不同的资源，服务器只提供有限的、有用的服务，关闭其他所有服务。

策略的设置包括允许与禁止。

在防火墙上设置的策略有：

允许外网访问某网站，该网站只开放80（HTTP）端口，关闭其它所有端口，允许网管对某服务器进行下载、远程登录等维护，相应开放该服务器的21（FTP）、23（TELNET）等端口，禁止外网访问内网等。

（3）关闭病毒常用端口

防火墙虽然不是专业的防病毒系统，但通过关闭病毒习惯攻击的端口的方法可以有效地阻止某些病毒的攻击。

在防火墙上常关闭的端口有：

137,138,139（共享信息窃取端口），445，5554（蠕虫病毒,震荡波病毒常攻击端口），5589（肉鸡病毒常攻击端口。

（4）使用登陆认证

指定仅有一个IP地址作为专用的网络管理计算机，对管理员进行用户身份检验和权限设定，确保只有合法的用户在合法的管理机上才能登陆网络，而且只有拥有相应权限的用户才能查看和修改交换机配置，同时每个用户登录交换机后所做的操作都有日志记载。

这样就可以保护对交换机的本地和远程访问，减少出现攻击的可能。

（5）使用流量控制技术

为了防止馆内用户，特别是电子阅览室用户对网络资源的滥用，进行视频、软件等资源下载，占用大量网络带宽,还可使用防火墙或者交换机的网络流量控制技术，定期查看和分析网络带宽资源的使用情况，将流经端口的异常流量限制在一定的范围内。

核心交换机将不同的安全域通过划分VLAN进行逻辑隔离，隔离广播风暴，防止ARP攻击。

将非法用户与敏感的网络资源相互隔离，从而防止大部分基于网络侦听的入侵。

4.1.3防火墙的选择

总拥有成本防火墙产品作为网络系统的安全屏障，其总拥有成本（TCO）不应该超过受保护网络系统可能遭受最大损失的成本。

以一个非关键部门的网络系统为例，假如其系统中的所有信息及所支持应用的总价值为10万元，则该部门所配备防火墙的总成本也不应该超过10万元。

当然，对于关键部门来说，其所造成的负面影响和连带损失也不应该考虑在内。

如果仅作粗略估算，非关键部门的防火墙购置成本不应该超过网络系统的建设总成本，关键部门则应另当别论选择防火墙的标准有很多，但最重要的是以下两条：

（1）防火墙本身是安全的

作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。

如果像玛奇诺防线一样，正面虽然牢不可破，但进攻者能够轻易地绕过防线进入系统内部，网络系统也就没有任何安全性可言了。

通常，防火墙的安全性问题来自两个方面：

其一是防火墙本身的设计是否合理，其二是使用不当。

一般来说，防火墙的