计算机应用技术专业-网络安全技术研究

南开大学成人高等教育 高起专毕业报告网络安全技术研究学 号：姓 名：学 院：现代远程教育学院学习中心：教学站：专 业：计算机应用技术完成日期：高起专毕业报告要求毕业报告写作是专科教学计划的重要组成部分，是培养学生理论联系实际和锻炼学生独立分析问题、解决问题能力的有效手段。通过毕业报告写作的形式，可以使学生在综合能力、创新能力等方面得到锻炼，使之进一步理解所学习的专业知识，扩大知识面，提高专业理论素质，同时也是对学生掌握和运用所学基础理论、基本知识、基本技能以及独立工作能力的综合考核。因此，要求全体学生必须严肃对待、认真按要求独立完成，严禁抄袭、弄虚作假。毕业报告被评定为抄袭的，写作无效，成绩一律按不及格记录。一、请同学们在下列题目中任选一题，写成毕业报告1.多媒体课件设计与制作技术研究2.动画设计与制作技术研究3.网络安全技术研究4.视频剪辑与合成技术研究5.电子杂志设计与制作技术研究6.中小型局域网搭建研究7.信息检索方法研究8.讲稿设计与制作技术研究9.数据管理与数据分析技术研究10.文档排版技术研究11.文献管理技术研究12.财务管理技术研究13.数据库应用系统开发技术研究14.软件测试技术研究15.图像编辑技术研究16.网页制作技术研究17.手机APP开发技术研究18.微信公众号服务平台开发技术研究19.游戏开发技术研究20.3D建模技术研究二、毕业报告写作要求毕业报告题目应为专业教师指定题目，正文最少分三段撰写，要求内容充实，主题明确，层次清晰，论据充分可靠，论证有力，有独立的观点和见解，文字准确流畅。 毕业报告写作要理论联系实际，同学们应结合所学专业讲授内容，广泛收集与论文有关资料，含有一定案例，参考一定文献资料。三、毕业报告写作格式要求1.要求学生必须按学院统一格式的编辑模板进行排版，毕业报告封面的字体和字号编辑模板已经设好，学习中心、专业和学号要求填写全称，且要求准确无误。2.毕业报告正文字体要求统一使用宋体，小4号字；页边距采取默认形式（上下2.54cm，左右3.17cm，页眉1.5cm，页脚1.75cm），行间距取多倍行距（设置值为1.5）；字符间距为默认值（缩放100%，间距：标准）；页码打印在页脚的中间。 3.论文字数要控制在40005000字；4.论文标题书写顺序依次为一、 （一） 1. （1） 。正文（填写内容后删除）摘要:随着计算机网络技术和互联网的飞速发展,网络攻击和入侵事件与日俱增,安全性已经成为网络安全技术中最关键的问题。本文主要介绍常见防火墙技术的分类及其主要特征。关键词: 防火墙技术特征网络安全1 引言随着计算机网络技术的迅猛发展和网络系统的深入应用，信息网络的社会化和国际化使人类社会的生活方式发生了重大变化。网络化、数字化应用业务大量涌现，电子商务(EC)、电子政务(EG)、远程教育(DE)、网络银行(NB)、网络媒体(NM)、数字图书馆(DL)等走进了我们的生活中。电子网络已经成为今天的各项社会生活赖以存在的基础设施。在当今社会中，不能想象，没有信息系统支持的邮电、金融、民航、商务等行业如何为客户提供服务。同样不可想象的是，没有信息安全保障的信息系统，将会发生什么样的后果。因此，网络与信息系统越发展到高级阶段，人类社会对它的依赖性就越强。从某种意义上说，“网络社会”越发达，它遭受攻击的危险性也越大。特别是信息成为社会发展的重要战略资源之后，国际上围绕信息的获取、使用和控制的斗争也愈演愈烈。简单地说，网络信息安全最终牵涉到的就是国家安全。信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变得无处不在。计算机网络的普及和网络技术的发展深刻地改变了传统的生产、经营、管理和生活方式,在构建信息防卫系统时,应着力发展自己独特的安全产品,要想真正解决网络安全问题,要从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。通过运用多种网络安全技术,如数据加密技术、访问控制、认证授权、防火墙、入侵检测和防病毒等来实现信息安全。计算机网络的高速发展带给了人类巨大利益的同时,也带来了许多负面的影响,在网络安全体系中,为了弥补TCP/IP协议等各种安全漏洞,防火墙技术是很常用、很有效的防御系统,是网络安全防护的重要组成部分。2 防火墙防火墙是设置在不同网络或者不同网络安全域之间的一系列控制装置的组合。防火墙产品主要有堡垒主机、包过滤路由器、应用层网关以及电路层网关、屏蔽主机防火墙、双宿主机等类型。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了所要保护的内部网和外部公共网络之间的任何活动。从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。对网络之间传输的数据包依照一定的安全策略进行检查,用于确定网络哪些内部服务允许外部访问,以及内部网络主机访问哪些外部服务等,从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同,防火墙实际上代表了一个网络的访问控制原则。2.1 防火墙的种类从技术上看,防火墙有包过滤型、代理服务器型等几种基本类型。它们之间各有所长,具体使用哪一种或是否混合使用,要根据具体需求确定。2.1.1 包过滤型包过滤型防火墙是建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型产品是防火墙的初级产品,网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好,对网络性能影响不大,可以用于禁止外部不合法用户对企业内部网的访问,也可以用来禁止访问某些服务类型,但是不能识别内容有危险的信息包,无法实施对应用级协议的安全处理。发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。包过滤技术的优点是简单实用,实现成本相对较低,能够以较小的代价在一定程度上保证系统的安全。包过滤技术的缺陷也是明显的。包过滤在网络层上拦截所有的信息流,不保存与传输和应用相关的状态信息。体现出一种无状态性。在包过滤技术里只要符合过滤规则的数据包就可以穿过防火墙,在内网和外网间建立连接,这样使得外部网可以访问内部网,无形中增加了内部网的危险性。2.1.2 代理服务器型代理服务器型防火墙是在计算机或服务器上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用层网关级防火墙。安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务防火墙在内部网中设置了一个代理服务器,并将外部网和内部网之间的连接分为两段,一段是从外部网上的客户端主机请求引到代理服务器,另一段由代理服务器连到内部网的某个主机服务器上。代理服务器型防火墙的核心,是运行于防火墙主机上的代理服务器进程,实质上是为特定网络应用连接企业内部网与Internet的网关。代理服务器型防火墙的缺点是可能影响网络的性能,对用户不透明,且对每一种TCP/IP服务都要设计一个代理模块,建立对应的网关,实现起来比较复杂。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。2.1.3 网络地址转化NAT网络地址转换是一种将私有地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT不仅解决了IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。2.1.4 监测型监测型防火墙技术超越了最初的防火墙的网络层定义以及只位于内部网络与外部网络间接口的位置定义。监测型防火墙产品带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。2.15加密技术信息交换加密技术分为两类：即对称加密和非对称加密。在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有N个咬换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形，这种方法使用两个独立的56为密钥对信息进行3次加密，从而使有效密钥长度达到112位。在非对称加密体系中，密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开，而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制，其安全性是基于分解大整数的困难性。在 RSA体制中使用了这样一个基本事实：到目前为止，无法找到一个有效的算法来分解两大素数之积。利用目前已经掌握的知识和理论，分解 2048bit的大整数已经超过了64位计算机的运算能力，因此在目前和预见的将来，它是足够安全的。PKI(Publie Key lnfrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和