序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇互聯網安全論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

關鍵詞：網絡工程；安全防護技術；思考

一、前言

現代的通信技術發展飛速，網絡的普及改變了我們的生活方式和交流方式，成為我們與人聯系的主要途徑。但因為互聯網往是開放的，所以在網絡工程中還有著很多的安全問題，對我們的網絡環境造成影響。所以，研究網絡工程中的安全防護技術非常重要，下面就針對網絡工程中的安全防護盡心初步的分析。

二、網絡工程中容易出現的問題

1.黑客問題

黑客一詞源于英語中的hacker，是指利用網絡中的漏洞破壞他人的網絡和竊取他人資料的人，在黑客進行攻擊時，主要有兩種方式：破壞性攻擊、非破壞性攻擊。破壞性攻擊是指黑進電腦的系統中，達到自己盜竊信息的目的。非破壞性攻擊一般來說是妨礙電腦的正常運行，以妨礙為主要的破壞目的，但沒有盜竊他人電腦中的重要資料，阻止計算機正常服務和信息轟炸對電腦系統進行破壞。黑客會對我們的電腦安全產生很大的隱患。

2.計算機中病毒

計算機中毒顯現對網絡工程的安全有著很大的影響，而且計算機病毒具有破壞系統，傳染其他電腦的特點，計算機的病毒不是計算機自身產生的，而是病毒的編寫者將指令和程序植入到計算機的系統中，計算機病毒是認為制造的，它會嚴重影響計算機系統的正常工作，給用戶帶來很大的危害。計算機病毒具有破壞力強、傳播速度快而且不容易被發現，尤其是一些木馬病毒、震網、火焰等病毒，通過網絡進行傳播后，一旦被傳播，會對計算機內的資源造成毀壞，所以，計算機中毒是保證網絡安全的重要問題。

3.IP地址被盜IP地址被盜用也是我們網絡工程區安全中的問題之一，如果我們的IP地址被盜用，我們的計算機就無法正常的上網，使用網絡。在區域網絡中常常出現這種情況，用戶被告知IP地址已被占用，使我們無法進行網絡連接。這些IP地址的權限一般來說比較高，盜竊者會用不知名的信息來打擾用戶的使用，使我們的自身權益受到了嚴重的侵害，也對網絡的安全性造成了非常惡劣的影響。

4.垃圾郵件

現在的垃圾郵件讓我們的網絡安全受到了很多負擔，垃圾郵件就是那些不是用戶自愿接受的郵件，卻無法組織收到垃圾郵件。垃圾郵件會嚴重損害我們使用郵件時的效率。對我們的網絡造成不必要的負擔，也讓我們的網絡安全收到了很大的威脅，垃圾郵件會減慢我們系統的使用效率，也浪費了大量的網絡資源，如果垃圾郵件的數量過多還會危害整個網絡工程。

5.系統出錯

計算機系統出錯也會給我們的網絡工程安全帶來很大的影響。在計算機網絡工程中，網絡的管理體制還不是很周全，各個崗位的工作分類還不夠明確，在密碼方面和權限方面的管理還不是很充足，這些因素會讓我們的網絡安全收到來自外界的破壞，而且我們的方位意識還不夠完全，沒有辦法有效率的避免計算機系統出錯，所以計算機系統出現的問題越來越嚴重，導致系統無法正常的工作，最終對計算機網絡安全產生威脅，所以，增加網絡工程中安全防護技術十分重要

三、安全防護技術

1.設置防火墻

預防黑客最簡單的方法就是設置防火墻，設置防火墻來過濾不需要的信息是我們網絡工程中安全防護技術中最簡單有效的方法一。設置防火墻在計算機的外部網絡和局域網之間設置防火墻，網絡防火墻是一個連接計算機和網絡的軟件，基本互聯網安全機能有：防火墻、木馬入侵檢測、殺毒軟體、信息清理、數值加固等等。基本互聯網機能的建設就是互聯網工作一個有力的屏障，能高效防止黑客打擊、木馬打擊、無用消息散播以及機密文件被盜取。著重基本互聯網安全機能的投資，努力推進基本互聯網機能的建設。另外互聯網風險是即時發生和變換的，那些已經建成了基本互聯網機能的計算機，著重安全機能的提升和平時維修時特別重要的方式。

2.防病毒

著重互聯網安全的擴散，安裝防病毒軟件，比如360安全衛士，金山殺毒等，著重私密信息保護。人類是互聯網機能的締造者，并且人類也是互聯網安全中最主要的創造者，使用社會對互聯網安全檢舉，趁早找到互聯網發生的各種風險，另外能及時找到互互聯網中違法資料擴散的位置，及時查處，保護互聯網的純凈。

3.著重基本互聯網安全機能的建設

如果缺少對互諒網隱患的認知和了解，一些公司和部門在互聯網安全方面的重視度十分低，還未建成完整基本互聯網安全機能，這樣為互聯網安全設置了重大風險。我們要在計算機在攻擊前做到有效的識別，防止惡意攻擊的破壞。基本互聯網機能的建設有：防火墻、木馬入侵檢測、殺毒軟體、信息清理、數值加固等等。互聯網工作一個有力的屏障，能高效防止黑客打擊、木馬打擊、無用消息散播以及機密文件被盜取。著重基本互聯網安全機能的投資，努力推進基本互聯網機能的建設。另外互聯網風險是即時發生和變換的，那些已經建成了基本互聯網機能的計算機，著重安全機能的提升和平時維修時特別重要的方式。

4.拒絕接受垃圾郵件

拒絕接收垃圾郵件，就要先保護我們的郵件地址，避免隨便的使用郵箱地址到處登記，還可以用軟件進行管理，過濾垃圾郵件，設置拒接接受垃圾郵件。

5.加強風險防范意識

提升網絡安全的風險防范意識也不容小覷，在互聯網工程隱患預防的路途中，使用數值鎖住技能是特別正確的方式。要透過深化消息私密性管轄來確認計算機運營中的安全。在建設完美的互聯網安全機能的基底上實行互聯網的實名制梳理不僅可以高效提升自己消息的私密性，更可以更廣泛高能的特省互聯網的全面安全。另一方面，加深對私密用戶的的長期管轄和監理工作，能夠有效的控制號碼被盜。

參考文獻：

[1]吳志新.網絡工程中的安全防護技術的思考[J].電子世界,2014,12:325-326.

篇(2)

【關鍵詞】互聯網+ 入侵監測 安全防御 遺傳算法

1 引言

入侵檢測是一種網絡安全防御技術，其可以部署于網絡防火墻、訪問控制列表等軟件中，可以檢測流入到系統中的數據流，并且識別數據流中的網絡包內容，判別數據流是否屬于木馬和病毒等不正常數據。目前，網絡安全入侵檢測技術已經誕生了多種，比如狀態檢測技術和深度包過濾技術，有效提高了網絡安全識別、處理等防御能力。

2 “互聯網+”時代網絡安全管理現狀

目前，我國已經進入到了“互聯網+”時代，互聯網已經應用到了金融、民生、工業等多個領域。互聯網的繁榮為人們帶來了許多的便利，同時互聯網安全事故也頻頻出現，網絡病毒、木馬和黑客攻擊技術也大幅度改進，并且呈現出攻擊渠道多樣化、威脅智能化、范圍廣泛化等特點。

2.1 攻擊渠道多樣化

目前，網絡設備、應用接入渠道較多，按照內外網劃分為內網接入、外網接入；按照有線、無線可以劃分為有線接入、無線接入；按照接入設備可以劃分為PC接入、移動智能終端接入等多種類別，接入渠道較多，也為攻擊威脅提供了較多的入侵渠道。

2.2 威脅智能化

攻擊威脅程序設計技術的提升，使得病毒、木馬隱藏的周期更長，行為更加隱蔽，傳統的網絡木馬、病毒防御工具無法查殺。

2.3 破壞范圍更廣

隨著網絡及承載的應用軟件集成化增強，不同類型的系統管理平臺都通過SOA架構、ESB技術接入到網絡集群平臺上，一旦某個系統受到攻擊，病毒可以在很短的時間內傳播到其他子系統，破壞范圍更廣。

3 “互聯網+”時代網絡安全入侵檢測功能設計

入侵檢測業務流程包括三個階段，分別是采集網絡數據、分析數據內容和啟動防御措施，能夠實時預估網絡安全防御狀況，保證網絡安全運行，如圖1所示。

網絡安全入侵檢測過程中，為了提高入侵檢測準確度，引入遺傳算法和BP神經網絡，結合這兩種數據挖掘算法的優勢，設計了一個遺傳神經網絡算法，業務流程如下：

（1）采集網絡數據，獲取數據源。

（2）利用遺傳神經網絡識別數據內容，對數據進行建模，將獲取的網絡數據包轉換為神經網絡能夠識別的數學向量。

（3）使用已知的、理想狀態的數據對遺傳神經網絡進行訓練。

（4）使用訓練好的遺傳神經網絡對網絡數據進行檢測。

（5）保存遺傳神經網絡檢測的結果。

（6）網絡安全響應。

遺傳神經網絡在入侵檢測過程中包括兩個階段，分別是訓練學習階段和檢測分析階段。

（1）訓練學習階段。遺傳神經網絡訓練學習可以生成一個功能完善的、識別準確的入侵檢測模型，系統訓練學習流程如下：給定樣本庫和期望輸出參數，將兩者作為遺傳神經網絡輸入參數，學習樣本中包含非常典型的具有攻擊行為特征的樣本數據和正常數據，通過訓練學習得到的遺傳神經網絡可以與輸入的期望結果進行比較和分析，直到期望輸出的誤差可以達到人們的期望值。

（2）檢測分析階段。遺傳神經網絡訓練結束之后，使用權值的形式將其保存起來，將其應用到實際網絡入侵檢測系統，能夠識別正常行為或異常行為。

4 結束語

互聯網的快速發展和普及為人們的工作、生活和學習帶來便利，但同時也潛在著許多威脅，采用先進的網絡安全防御技術，以便提升網絡的安全運行能力。入侵檢測是網絡安全主動防御的一個關鍵技術，入侵檢測利用遺傳算法和BP神經網絡算法優勢，可以準確地構建一個入侵檢測模型，準確地檢測出病毒、木馬數據，啟動病毒木馬查殺軟件，清除網絡中的威脅，保證網絡正常運行。

參考文獻

[1]徐振華.基于BP神經網絡的分布式入侵檢測模型改進算法研究[J].網絡安全技術與應用，2016，24（2）：111-112.

[2]劉成.試論入侵檢測技術在網絡安全中的應用與研究[J].網絡安全技術與應用，2016，24（2）：74-75.

[3]周立軍，張杰，呂海燕.基于數據挖掘技術的網絡入侵檢測技術研究[J].現代電子技術，2016，18（6）：121-122.

[4]謝勝軍.云計算時代網絡安全現狀與防御措施探討[J].網絡安全技術與應用，2016，26（2）：41-42.

篇(3)

論文摘要：為實現以教育信息化帶動教育現代化的跨越式發展，各高校都在大力進行教育信息化建設，因特網成為高校大學生獲取信息的有利工具。培養大學生的信息道德素質已經成為高校信息素質教育的重要內容之一。

當前，為適應數字化、網絡化信息時代的發展需求，實現以教育信息化帶動教育現代化的跨越式發展，各高校都在大力進行教育信息化建設，高校計算機“五進”—即進教室、宿舍、家庭、實驗室、辦公室，極大地推動了師生計算機應用水平的提高和計算機教學的開展。因特網作為世界上最大的信息載體，以其豐富的信息資源、便捷的交流通道、以及內容的廣泛性、訪問的快捷性等使之成為高校大學生獲取信息的有利工具。

互聯網提供了廣闊豐富的信息搜索，網絡信息的極端豐富和信息流動的極端自由，一方面改變了人們獲取信息的途徑和方式，提供了信息共享的廣闊空間，促進了信息的交流與傳播;另一方面也導致了信息的過度膨脹和泛濫，成了信息污垢滋生繁衍和傳播的“場所”。各種合法信息與非法信息、有益信息與有害信息、有用信息與垃圾信息、真實信息與虛假信息混雜在一起，嚴重防礙了人們對有用信息的吸收利用，導致一些辨別能力差的上網者在價值判斷、價值選擇上出現了迷惘，而利用高科技手段進行犯罪活動者，更是屢見不鮮。這些給社會帶來了許多消極負面的影響，導致了各種決策失誤和經濟損失，嚴重危害人類的生產、生活和健康，甚至危害社會的穩定和發展。

據美國匹茲堡大學的一份研究報告表明，全球每1億網民中就有至少570萬人患有不同程度的“網絡綜合癥”。網絡文化對高校大學生的思想品德的形成、心理和人格的健康發展，以及社會道德規范的沖擊等諸多方面帶來了極大的困擾。目前，許多大學生上網是為了聊天、玩游戲，真正上網查找資料用于專業學習的很少;對網絡最普遍的應用就是發郵件，看時事新聞;有些大學生因“網絡成隱癥”而逃課，無節制地花費大量時間和精力在互聯網上持續聊天、閱讀不文明、不健康的網上信息，以至損害生理和心理的身體健康;還有一些缺乏自律的大學生在作畢業論文時，不作自己的研究思考，不尊重別人的知識產權，直接從中國期刊鏡像網站下載文章，經剪貼和技術處理而成來應付老師;更有一些法制觀念淡薄的大學生在BBS上發表一些不負責任的言論、冒用別人的IP地址、盜用別人的帳號、甚至因好奇而充當了黑客……

高校大學生正處在人生觀、世界觀和價值觀形成和確立的關鍵時期，因此，大學生要跟上教育信息化的步伐，在網絡信息的海洋中自由地航行，就必須具備抵御風浪的能力—即良好的信息道德素質。培養大學生的信息道德素質，高校負有不可推卸的責任，同時也是一個重要的研究課題。信息道德是人們依據信息行為規范從事信息活動的品德，是指人們在應用信息技術時，能施行與信息和信息技術相關的符合倫理道德的行為。它是調節信息生產者、信息加工者、信息傳遞者和信息使用者之間相互關系的行為規范的總和。其內容包括:信息交流與傳遞目標應與社會整體目標協調一致;應承擔相應的社會責任和義務;遵循法律規范，抵制各種各樣的違法、、迷信信息和虛假信息;尊重個人隱私等。

當前，隨著全社會對信息道德問題的日益重視，高校信息道德素質教育已經成為高校素質教育的重要內容之一。高校信息道德素質教育的基本目標是使大學生熟悉信息道德法律和規范，引導大學生在學習和工作中成為具有較高信息道德素養的人。通過教育培養，使大學生充分認識網絡的各種功能，引導大學生上網的積極性，發揮大學生利用網絡信息資源的主觀能動性，培養和訓練大學生的創新思維和個性品質;同時，明確網絡的負面影響，規范大學生的上網行為，提高大學生的信息鑒別能力和自我約束能力，增強對信息污染的免疫力。

高校信息道德素質教育的主要途徑為:

1堅持正面灌翰、正確引導的原則，幫助大學生明辨是非、健康發展

在現實生活中，人的行為是否合法、是否犯罪容易判斷，而在網絡社會里，人們的身份、行為方式等都被隱匿，人們的交往具有虛擬化、超時空和數字化的特征。這使得人們擺脫了現實社會的道德倫理的束縛，有了自我表達意見的機會，從而使現實的道德倫理和行為規范失去了原有的約束力。這容易使人們忘記了社會角色，淡化了社會責任。為此，各高校應建立一種信息道德教育機制，組建一種可操作性的教育力量或整合原有的教育力量，實現統一協調的、有目的、有層次的高校信息道德教育服務。可以積極利用網絡快捷、生動、便利、開放等優勢條件進行正面灌輸，通過構建學生理論學習網站、網上書記校長接待室、網上黨校，或在主頁中開設相應欄目等形式，開展網絡文明、網絡道德的宣傳教育。針對重大熱點、難點問題，進行有計劃、有目的的網上網下引導。做好《公民道德建設實施綱要》的認真貫徹實施，對大學生的信息行為進行規范引導。還可以通過積極健康的校園科技文化活動，引導學生戒除對不良網絡生存方式的沉迷，建立積極有益的正常學習生活交流方式，展示和發展健康的個性。

2大力推廣和普及有關網絡方面的法律法規，規范大學生的網上行為

自1986年4月開始，我國相繼制定并頒布了《中華人民共和國計算機信息系統安全保護條例》、《計算機系統安全規范》、《計算機病毒控制規定》、《互聯網安全條例》、(計算機信息網絡國際互聯網安全保護管理辦法》、《中華人民共和國電信條例》等一系列規定和法規，并在刑法、刑事訴訟法、民法、民事訴訟法等相關法律條文中寫人了有關計算機信息安全方面的條文。近年來，為適應信息產業和信息犯罪增加的形勢，我國加快了信息立法的步伐。2000年9月29日國務院第31次常委會議通過公布實施了《互聯網信息服務管理辦法》，這是我國為盡快融人世貿組織規則而制定的有效管理信息產業、應對國際競爭和處理信息安全問題的基本框架性政策。對于以上政策法律法規，高校應通過靈活多樣的教育方式大力普及、推廣，且做到教育內容與最新的信息道德規范同步。

篇(4)

關鍵詞:僵尸網絡;源端檢測;防御模型

中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2010)18-4876-02

Research of Botnet Defense Model Based on Source-end Detection

WANG Wei

(Anhui Technical College of Water Resources anf Hydroelectric Power, Hefei 231603, China)

Abstract: This paper introduces the composition and its harm of Botnet, analyses attacks and detection technology of Botnet, focus on the defense strategy of Botnet, this paper puts forward a model of defense, then analyses its performance.

Key words: botnet; source-end detection; defense model

僵尸網絡(Botnet),是20世紀90年代末興起的危害互聯網的產物,近年來已經成為影響互聯網安全的重大威脅之一,是目前互聯網上黑客最青睞的攻擊平臺。

1僵尸網絡概述

僵尸網絡是指由黑客直接或通過控制服務器間接集中控制的僵尸程序感染計算機群,是由攻擊者遠程控制的被攻陷主機所組成的網絡,如圖1所示。

僵尸主機(Zombie)指被植入了僵尸程序(Bot)的計算機,控制者(Botmaster)是出于惡意目的,通過傳播Bot控制大量Zombie,并進行網絡攻擊的網絡黑客。命令控制服務器(Command & Control Server,簡稱C&C S)是大量Zombie連接的服務器, Botmaster通過該服務器或由自身控制Zombie。通常,根據Bot程序的種類、Botnet基于的控制協議和有無命令控制服務器三種情況對僵尸網絡進行分類。

2 僵尸網絡攻擊及其檢測

僵尸網絡是一個分布式、可控制的網絡,是隨著Bot程序的不斷惡意傳播而形成的,其形成過程大致經歷了Bot的傳播、感染計算機、Zombie加入僵尸網絡和Botmaster控制僵尸網絡四個過程。

在確定網絡攻擊目標后,僵尸網絡的攻擊過程大致可分為三個步驟:即①控制者向其控制的命令控制服務器或直接向僵尸主機發出攻擊指令;②命令控制服務器向僵尸主機發出攻擊指令;③僵尸主機向受害者發起直接攻擊,如圖1所示。

僵尸網絡可以一對多地執行相同的惡意行為,利用僵尸網絡可以地發起的攻擊行為有:分布式拒絕服務攻擊、垃圾郵件、蠕蟲釋放、竊取信息、濫用資源影響網絡的性能等。

僵尸網絡攻擊常用的技術有:①hypervisor技術;②Fast Flux domains技術;③P2P技術等。

為了應對僵尸網絡的安全威脅,實現對僵尸網絡的防御,首先要求對可能存在的僵尸網絡發現與跟蹤;其次,要求能夠對互聯網絡環境下有無僵尸網絡進行檢測;最后,還要在現實網絡環境中進行防御體系架設,防止僵尸網絡的形成。

僵尸網絡跟蹤的基本過程是:首先通過各種途徑獲取網絡中實際存在的僵尸網絡及其控制信道等相關信息,然后模擬成受控的僵尸程序加入僵尸網絡中,從而對僵尸網絡的內部活動進行觀察和跟蹤。

發現僵尸網絡的方法主要有三類,即:通過部署蜜罐對僵尸程序進行樣本捕獲;利用網絡行為監測法;利用網絡IDS發現僵尸網絡。

3基于源端檢測的僵尸網絡防御模型

傳統的僵尸網絡防御方法主要有兩種:一種是通過加強主機的安全防御等級防止被僵尸程序感染,及時清除主機中的僵尸程序;另一種是通過摧毀或無效化僵尸網絡命令及其控制機制。

由圖1所示的僵尸網絡攻擊體系及其攻擊過程可知,對于僵尸網絡攻擊的防御可以定位于三個位置,即:發起攻擊的源端、僵尸主機端和受害者端。其中,控制者端是僵尸網絡發起攻擊的源端,在此位置發現并防御僵尸網絡攻擊是效率最高、效果最好的方法。本文提出一種基于源端檢測的僵尸網絡防御模型。

1)基本思想

僵尸網絡的控制者發動攻擊時,會向其控制的僵尸主機發出相同的含有攻擊指令的IP數據包,當該IP包到達控制者端的邊界路由器時,部署在路由器上的檢測算法以檢測數據表為基礎,依據該IP包的分析結果決定是否允許IP包進入網絡,從而實現對攻擊的防御。

2)檢測數據表結構

表1 檢測數據表結構

其中,各字段含義如下:

R_IP:表示發出數據包需通過邊界路由器轉發的主機IP地址;

Available:表示R_IP是否可以通過邊界路由器轉發數據包,若其值為”Y”表示可以轉發,若為”N”則表示不能轉發,該包要丟棄;

same_num:表示數據表中保存的與當前R_IP發出的數據包相同的次數,其初值為0,根據網絡用戶操作的特點,可設其上限值(閾值)如為10;

Timing:為了相同度檢測數據表無限長大,同時,根據網絡攻擊的特點,即在較短時間發出大量攻擊數據包。因此,可設定相同度檢測數據表中記錄的存在時間,如60s,當表記錄生成時該字段激活,開始計時;

Content:某一R_IP發出的經過邊界路由器轉發的數據包的內容。

3)檢測防御算法

① 當IP數據包進入邊界路由器后,取該IP包的源IP地址,在檢測數據表查找有無R_IP字段與之相同的記錄,若無,則在檢測數據表中新增一條記錄,并將該IP的源IP地址填入R_IP字段、將Available字段置為”Y”, 將same_num字段值置為1,激活Timing字段,開始計時,同時,將IP包的內容填入Content字段中,然后轉發該IP包,本次檢測結束;若有,則轉②。

② 檢測數據表中所有R_IP與IP包源地址相同該記錄的Available字段,若所有記錄的Available字段值均為”Y”,則轉③;否則,則說明該IP包是攻擊數據包或者發包方是網絡攻擊者,邊界路由器將其丟棄,檢測結束。

③ 取IP包的數據部分與所有R_IP與IP包源地址相同記錄的Content字段進行比較,若有相同,則轉④;否則,在檢測數據表中新增一條記錄,并將該IP的源IP地址填入R_IP字段、將Available字段置為”Y”, 將same_num字段值置為1,并激活Timing字段,開始計時,同時,將IP包的內容填入Content字段中,然后轉發該IP包,本次檢測結束。

④ 將該記錄的same_num字段值自加,若自加后same_num字段值小于設定的閾值,則將該IP轉發,檢測結束;若自加后字段same_num值達到設定的閾值,則說明該IP包是攻擊數據包,邊界路由器將此IP包丟棄,并將檢測數據表中R_IP的與該IP包源IP地址值相同的記錄的Available字段置為”N”,檢測結束。檢測算法流程圖如圖2所示。

4)性能分析

應用上述防御模型能夠比較有效地在僵尸網絡發動攻擊時進行檢測進而實現防御。但是,也應該看出,該模型還有不太完善的地方,主要有以下兩個方面:

①由于是通過設置相同IP包閾值來確定相同數據包即網絡攻擊IP包,在具有相同內容的數據包通過邊界路由器而未達到該上限值前,還是可能存在網絡攻擊行為的;

②在攻擊端發動網絡攻擊并被邊界路由器檢測防御后,在一定的時間內攻擊端的正常網絡訪問行為也是被屏蔽的。

4結束語

隨著互聯網的快速發展與廣泛應用,僵尸網絡的危害愈演愈烈,如何防御僵尸網絡可能帶來的危害具有現實意義。通過對僵尸網絡防御策略的研究,可以為廣大網絡用戶提供最大限度的安全保護,達到保障網絡用戶權益的目標。

參考文獻:

[1] 張兆信,趙永葆,趙爾丹.計算機網絡安全與應用[M].北京:機械工業出版社,2008.

[2] 諸葛建偉,韓心慧,周勇林,等.僵尸網絡研究[J].軟件學報,2008(3),703―704.

篇(5)

2006年超級女聲總決賽中，主辦方宣布除了以往的手機短信、聲訊電話外，粉絲還可以用Q幣投票。

Q幣是一種在騰訊網站統一支付的虛擬貨幣（1Q幣=1人民幣），通過購買Q幣卡，電話充值，銀行卡充值等方式獲得。Q幣可購買騰訊一系列相關服務，比如購買靚號、QQ會員服務、QQ寵物等，還可以購買QQ游戲中的道具。

其實，Q幣投票本是超女主辦方的噱頭，卻意外帶來了許多“麻煩”：粉絲們為了支持心愛的歌手，紛紛購買虛擬貨幣Q幣，僅淘寶網一天的Q幣交易就超過50萬元。一位25歲的小伙子已成為淘寶網上的Q幣大賣家，一個月僅靠賣Q幣就能賺近4000元，而他的Q幣是通過騰訊游戲倒賣裝備或者贏取得到的，還可低價收購一些Q幣。一位網絡工作人員稱，當時中小型論壇給版主的工資就是Q幣，然后兌成人民幣。

為了更自由更便捷地交易，人們不斷創造著能替換真實貨幣的東西，二十多年前游戲機的游戲幣紅遍大街小巷。與Q幣同時走紅的是新浪U幣、盛大元寶、網易POPO幣等，“虛擬貨幣”已經在互聯網這個虛擬世界里扮演上了“貨幣”的角色。

學者楊濤在2006年第7期的《法制與新聞》上發表文章稱，根據《人民幣管理條例》，人民幣是我國法定貨幣，人民幣在現實中是有數量限制的，而Q幣等虛擬貨幣商家可無限發行，虛擬貨幣代替人民幣成為網上交易的一般等價物，必會沖擊我國的金融秩序，“泛濫后果不堪設想”。

實際上，虛擬貨幣并不是一個陌生的概念，而是一個誕生于10年前，逐漸壯大的貨幣家族。從其發展進程和屬性來看，主要可以分為兩種類型：一是在特定平臺，特別是網絡游戲平臺、虛擬社區、電子商務網站封閉運行的貨幣。按其發行方或監管方規定，只能用于在所屬平臺買賣虛擬物品；二是已經具有更多傳統貨幣屬性，更接近傳統貨幣的虛擬貨幣，如比特幣、瑞波幣等。此類虛擬貨幣借助互聯網技術、電子商務的推動，已經延伸到傳統貨幣體系以及實體經濟領域。

每一種虛擬貨幣都有自己的運行機制，通過各方參與者形成一個龐大的生態系統。以比特幣為例，其發行、支付，匯兌、交易，乃至衍生品等功能和業務，已經形成一個獨特的、同時又與傳統貨幣體系存在一定相似性的運行機制，走在了虛擬貨幣的最前沿。我們甚至還能看到虛擬貨幣身上已經有著傳統貨幣的影子：價值尺度、流通手段、支付手段、貯藏手段、世界貨幣。

比特幣的顛覆與重生，是人們對紙幣失望的另類表現

2009年，比特幣挾帶著一場支付革命橫空出世。根據比特幣發明者中本聰的比特幣“創世”論文《比特幣：一種點對點的電子現金系統》，可以在一定程度上透視發明者的初衷：即通過建立一種全新的數字化貨幣體系，克服傳統金融體系特別是鑄幣廠發行貨幣模式下的各種弊端，為人們帶來更便捷、效率更高的交易和流通。

比特幣生逢其時。隨著信息科技的發展，紙幣的使用受到局限。此外，在次貸危機和債務危機爆發的背景下，全球貨幣政策在2008年至2013年經歷了三輪全局性寬松浪潮，貨幣的普遍、連續超發，也引發了世人對紙幣清償性的擔憂。

在紙幣的貨幣三性受到沖擊的背景下，比特幣的出現讓人振奮。比特幣最大的特征是“虛擬”，它不與任何現實有天然的關聯，這使其具有屏蔽諸多現實煩惱的優勢。它不與任何國家關聯，因此具有超性，這讓人們看到了完全規避紙幣匯率無謂波動的希望；它不與任何發行方關聯，且具有2100萬單位的天然發行上限，增量發行也有成本遞增的特點，這讓人們看到了完全規避紙幣超發風險的希望；它不與任何監管權威關聯，這讓一些人對其蘊藏的貨幣自由充滿了向往。

很快，比特幣從小范圍的流通擴展到更具體的應用環境，你可以購買商鋪和服務，可匯兌，進行跨境匯款，還能進行比特幣本身的交易。此外，我們還能夠看到，比特幣生態系統在進化過程中有意無意地促進了多領域的創新，例如：采礦機制造商發揚創客精神，通過對運算能力的極致要求帶動硬件創新；比特幣交易平臺在應對黑客一次次的攻擊后，不斷改善安全手段，無意中促進了互聯網安全領域的發展；各種機構提供基于比特幣的信用卡、ATM機、對沖基金等服務，不斷推進比特幣生態系統的壯大；在上述創新之上，最根本的創新在于：從金融體系的底層實現了與互聯網的鏈接……

從2013年年初的80元人民幣到巔峰時期的7395元人民幣，僅僅用了9個月。之后，它的價格從7395元跌到2752元，也僅僅用了19天。2014年，經歷了黑客攻擊等負面事件后，各國政府對比特幣的監管也開始從嚴，比特幣就此沉寂。不過今年9月，比特幣交易開始重新活躍。

繼比特幣被炒熱之后，各種互聯網“山寨幣”出現的速度之快令人目不暇接，被大家所熟知的互聯網貨幣就包括萊特幣、萬事達幣、質數幣、比奧幣、瑞波幣、新星幣等數十種。這些互聯網貨幣幾乎都有著一套復雜的規則，夾雜著特有的計算機語言，如果不是計算機專業出身，或者深入研究過它們的鼻祖――比特幣的話，很難在短時間內理解和接受這些所謂的“山寨幣”。

比特幣和山寨幣的發明或許是一個偶然，但可以確定的是：虛擬貨幣的繁榮卻是一個必然趨勢。不管是中本聰還是其他發明者，他們研究出的特殊代碼成為網上購物、外匯匯兌、貨幣交易的有效媒介。在流通與交易過程中，這種媒介自然而然地具有了傳統貨幣的若干特征，甚至是某種意義上的“世界貨幣”。可以說，即使沒有比特幣，也會有其他類似虛擬貨幣吸引我們如此多的關注或使用。

黑客、政客、金融家：誰是未來貨幣系統的統治者？

如今，當你需要一本好書，可以登錄亞馬遜網站用Amazon Coins購買；當你看中了一件ZARA的裙子，上可以支持比特幣支付；當你需要匯款給遠在國外的陌生人，你可以通過Ripple而非傳統的銀行匯款來實現。虛擬貨幣現在已經滲透到了世界的每個角落。從《暗黑破壞神3》里的金幣、Facebook積分到飛行常客里程數，都是虛擬貨幣的多種形式。

目前，虛擬貨幣中衍生出一類社交貨幣。比如Ripple，它是一個開源的虛擬貨幣支付系統，它的目標是構建一個去中心化的、準許任何人創建自家貨幣的虛擬貨幣系統，唯一需要的就是要有人愿意用流通貨幣換你的虛擬貨幣。

通俗點說，迄今任何形式的支付系統都需要記賬單位。比如全球最大的支付平臺PayPal用美元，而中國支付寶用人民幣。你能想像支付寶和Paypal互相支付這樣的情景嗎？Ripple可以做到這一點。

人們普遍相信，互聯網會顛覆金融，就像它顛覆新聞、音樂和零售那樣。但是從目前來看，互聯網技術本身只會使交易過程變得高效、便捷，比如金融垂直搜索、移動支付、P2P借貸等，并沒有真正革了金融的命。

然而，作為金融權力結構中最核心的一塊，貨幣發行是否會遭遇互聯網貨幣的撼動呢？在如今“洶涌來襲”的互聯網貨幣中，誰將獨領？隨著互聯網金融監管的趨嚴，互聯網貨幣的命運又將如何？

或許眼下我們沒有明確的答案，但可以預見的是，在互聯網的技術和思想的有力支撐下，層出不窮的互聯網貨幣形態已經在影響著人們的生活、交流，以及支付方式。人們開始猜測未來是否存在這樣一種可能：虛擬貨幣最終取代由政府發行的美元、歐元等實際貨幣。

身為虛擬經濟領域的前瞻者，英國經濟學家愛德華?卡斯特羅諾瓦認為虛擬貨幣為經濟、社交和商業活動提供了簡便的解決方案，并創造性地提出下一代支付系統將是數字價值轉移系統。他清楚解釋：貨幣未來的發展仰賴虛擬世界與電玩，而非傳統的金融機構與政府。

如今再反觀“掌握了美元，就掌握了世界”的說法，它既彰顯著全球儲備貨幣（不論是美元還是英鎊、歐元）的巨大威力，同時也向我們展現出貨幣發行者、金融家這些站在背后的強大力量。不管是曾經的羅斯柴爾德家族，還是后來的摩根家族、洛克菲勒家族，我們從他們身上能夠看到金融家與政客的如影隨形，以及他們對世界經濟與政治的無形掌控。

篇(6)

論文關鍵詞：信息安全；保護

信息安全包括以下內容：真實性，保證信息的來源真實可靠；機密性，信息即使被截獲也無法理解其內容；完整性，信息的內容不會被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對信息的傳播及內容具有控制能力；不可抵賴性，用戶對其行為不能進行否認；可審查性，對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比，基于網絡的信息安全有一些新的特點：信息安全威脅主要來源于自然災害、意外事故；計算機犯罪；人為錯誤，比如使用不當，安全意識差等；“黑客”行為；內部泄密；外部泄密；信息丟失；電子諜報，比如信息流量分析、信息竊取等；信息戰；網絡協議自身缺陷，等等。

1我國信息安全的現狀

近年來，隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素，我國在信息安全管理上的進展是迅速的。但是，由于我國的信息化建設起步較晚，相關體系不完善，法律法規不健全等諸多因素，我國的信息化仍然存在不安全問題。

①網絡安全的防護能力較弱。我國的信息化建設發展迅速，各個企業紛紛設立自己的網站，特別是“政府上網工程”全面啟動后，各級政府已陸續設立了自己的網站，但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備，整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱，在網絡黑客攻擊的國家中，中國是最大的受害國。

②對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制，很多單位和部門直接引進國外的信息設備，并不對其進行必要的監測和改造，從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。

③我國基礎信息產業薄弱，核心技術嚴重依賴國外，缺乏自主創新產品，尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外，這使我國的網絡安全性能大大減弱，被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術，我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中，網絡安全處于極脆弱的狀態。

除此之外，我國目前信息技術領域的不安全局面，也與西方發達國家對我國的技術輸出進行控制有關。

2我國信息安全保護的策略

針對我國信息安全存在的問題，要實現信息安全不但要靠先進的技術，還要有嚴格的法律法規和信息安全教育。

①加強全民信息安全教育，提高警惕性。從小做起，從己做起，有效利用各種信息安全防護設備，保證個人的信息安全，提高整個系統的安全防護能力，從而促進整個系統的信息安全。

②發展有自主知識產權的信息安全產業，加大信息產業投入。增強自主創新意識，加大核心技術的研發，尤其是信息安全產品，減小對國外產品的依賴程度。

③創造良好的信息化安全支撐環境。完善我國信息安全的法規體系，制定相關的法律法規，例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等，加大對網絡犯罪和信息犯罪的打擊力度，對其進行嚴厲的懲處。

篇(7)

關鍵詞:防火墻;雙機;狀態檢測;VRRP

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10454-03

隨著互聯網以及現代通訊技術的發展,以及用戶對服務品質的需求,高可用性網絡已經越來越成為Internet組網設計的目標。因網絡中斷給用戶帶來的損失以及潛在損失已經十分巨大,有研究表明,網絡停運帶來的損失已經高達幾百萬美元/每小時,而由此帶來的隱性損失則更是難以估量。

在防火墻的可靠性試驗之前,先了解目前防火墻的技術以及該技術特點對防火墻可靠性的影響,目前各類型的防火墻從其實現原理上來說基于以下三大類:

1) 基于逐包轉發過濾的包過濾;

2) 通過檢測會話狀態基于會話流的狀態;

3) 基于應用方式的全。

這三種防火墻技術的優缺點不作詳細討論,對于第一種逐包轉發過濾的包過濾防火墻因為其不能很好的區分和保護不同的區域,在運行內部網絡訪問外部網絡的同時也提供了外部網絡訪問內部網絡的安全漏洞,因此這種防火墻技術在近年來屬于逐步被淘汰的技術,但是就可靠性而言,因為該技術采用逐包轉發過濾,對會話流的來回路徑不敏感,因此在不做Nat的時候,其冗余設備的備份可以做到平滑過渡,不過在啟動了Nat功能的情況下,由于不同的設備很難做到對同一會話進行相同的地址轉換,導致包過濾防火墻在Nat的應用中也出現問題。

對于基于應用方式的全防火墻,由于其隔離了與外部網絡和內部網絡的連接,它能給內部網絡提供很好的保護,但是他的優點同時也是最大的缺點,由于采用的是應用的方式,對于應用程序而言就不透明了,需要應用程序為這種連接進行適配;并且由于采用了全方式,其處理的性能要明顯低于其它兩種類型的防火墻。就可靠性而言,要做到雙機熱備的話,不僅要求會話的來回路徑一致,而且因為它是全,這要求每一個報文都需要適時地備份到備機上去,這種特性使得全方式的防火墻的雙機熱備實現起來很困難,在實際應用中也很少見這種防火墻的備份方案。

下面我們將通過兩組實驗討論基于會話流的狀態防火墻的可靠性問題,所謂狀態防火墻是指用戶通過防火墻訪問外部網絡時,會在防火墻上創建一個會話表項(該會話表項通常情況下會包含該會話的五元組信息――源/目的IP地址、源/目的端口、協議類型),這樣從外面回應的報文如果能匹配該五元組就能順利通過防火墻到達用戶,而從外面主動發起的會話請求因為不能匹配任何會話表項,而被ACL規則過濾掉。這樣就可以提供給用戶不同級別的保護,從而有效地保護用戶的內部網絡。目前大部分防火墻產品都是屬于這種技術的防火墻。由于這種基于會話流的防火墻要求每個會話的來回路徑一致,因此在做雙機熱備的時候對組網有特殊的要求,以下將通過實驗了解防火墻可靠性技術,以及實驗過程中出現的問題并提出的解決方案。

1 防火墻雙機試驗組網及配置

單組防火墻雙機可靠性實驗中采用設備有TOPsec NGFW4000 、JUNIPER SSG 520、 H3C Secblade III、H3C 9500系列及華為Quidway 6500系列交換機, sinfor互聯網安全控制產品。根據可靠性要求將網絡安全設備和交換設備進行如下組網設計和部署,通過實驗測試防火墻HA情況下不同安全區域的數據過濾及交換情況以及在該種模式和網絡結構中存在的故障現象。

首先我們做單組防火墻雙機的實驗,其網絡結構如圖1所示。

該結構使用H3C系列高端網絡及安全設備組網,適用于大中型企業核心網絡安全控制區域的網絡拓撲結構。通過這種網絡結構的部署可以有效的防御外部網絡及企業內部網絡對重要服務器的安全攻擊、漏洞掃描、木馬入侵等等,進而有效地對企業的研發、生產、商業、財務等機密數據進行保護和可控授權訪問。本實驗中將主要針對這種結構下所使用設備部署完成后出現的故障進行分析和討論。

單組防火墻雙機實驗采用H3C9512高端交換作為企業的核心交換,H3C9508作為企業應用服務器區域的核心交換。在4臺9500系列的交換上分別配置萬兆光纖交換單板,在9508上加H3C的SecBlade III防火墻業務單板,防火墻單板通過9508內置的萬兆接口與9508互連。兩臺9500系列交換通過萬兆光纖接口卡進行交叉互連,設備互連接口地址均使用30位掩碼。9508交換作為二層交換使用,服務器區域的三層網關地址全部配置在SecBlade防火墻與9508互連的萬兆接口的邏輯子接口上,并且這些VLAN都配置為VRRP模式,可根據需要將其中一臺防火墻或者其中一部分VLAN配置為master vlan,另外一臺或者另外一部分VLAN配置為slaver vlan。在防火墻和9512上都啟用ospf協議,將互連及三層VLAN地址段到ospf中。因該防火墻可將不同的VLAN劃分在不同的安全區域內,所以我們在防火墻上配置3個不同的安全域,并將配置好的邏輯子接口劃分到不同的安全域中,這樣就形成了不同的安全區域,安全區域的默認訪問規則為單向,也就是高優先級區域默認可訪問低優先級區域。然后在9508上增加與防火墻三層接口相同的VLAN,在將千兆物理接口添加到不同安全區域級別的VLAN中。最后啟用防火墻的雙機熱備功能,并選擇防火墻業務板上的一個接口作為心跳接口,服務器(unix系統,需要雙網卡)通過EtherChannel IEEE802.3ad配置成網卡冷備的模式,為了能模擬出各種情況,我們特意將server1的主網卡放在9508-A上,將server2的主網卡放在9508-B上。為避免因靜態路由帶來的不能檢測設備故障的情況,該組網采用了動態路由協議,在防火墻和交換上都啟用ospf協議。

串聯多組防火墻雙機試驗設備采用了Juniper及Topsec防火墻、H3c9512交換機、深信服行為控制設備、Radware的LinkProof鏈路負載均衡及2條不同ISP互聯網線路。這些設備都是我們選用的支持雙機的網絡及安全設備進行串聯,進行Intranet和internet互訪、Intranet與DMZ、Internet與DMZ區域之間數據通訊測試。由于實驗1已經介紹了單組防火墻雙機的實驗情形,故這里只介紹軍事化區域至互聯網區域數據通訊的實驗情況,該實驗的網絡拓撲結構如圖2所示。

該網絡結構使用雙重防火墻及上網行為控制設備對企業軍事化區域和互聯網區域進行了嚴格的數據過濾和行為控制,是企業軍事化區域、半軍事化區域及互聯網區域之間數據互訪受控的一種常用網絡結構,適用于大中型企業對內外部數據交換須進行嚴格控制、審計、授權訪問等操作,或網絡運營服務商對外部用戶提供高可靠和安全性互聯網服務在互聯網出口部分至企業核心交換層的網絡部署。通過本網絡可以有效對內外部上至應用層下至物理層數據的交換有效的控制、阻斷、審計。

同樣先簡單介紹該組網拓撲結構及設備配置的基本信息。我們同樣使用9512作為核心交換,雙機之間通過TRUNK接口互聯,上行與SSG520防火墻相連的接口配置VRRP與其互聯。SSG通過廠商的NSRP協議配置HA,并將其配置為橋接路由模式。SINFOR設備通過串口心跳配置好HA,并將其配置為透明橋接模式。Topsec防火墻通過CISCO 的HSRP和浮動靜態路由技術來配置冗余備份雙機結構,并將其配置為NAT模式。負載設備LinkProof采用標準VRRP配置為冗余雙機(由于本次實驗設備限制,只做單機)。為防止動態路由的動蕩引起鏈路路由切換,兩組防火墻的路由都采用靜態路由的方式進行配置。

2 防火墻雙機試驗故障現象

對于實驗1我們做如下的數據訪問測試:在9512A上和9512B上分別做一個用戶VLAN并接入兩臺pc,兩臺服務器(可使用普通pc代替)分別接入到9508上的,使用同一個網段的地址。我們通過pc使用ICMP包對pc至server端的鏈路進行檢測,從pc1和pc2分別發至server1和server2的檢測包結果顯示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包則出現丟包或者不通的現象。查看路由得知pc至server 都有三條下一跳路由,跟蹤路由發現pc1跟蹤server2的路由到SecBlade-A后出現中斷,pc2至server1的路由到SecBladeB出現中斷。之后我們將交叉鏈路去除后再次做上面同樣的測試發現故障依舊,根據路由情況得知基于會話狀態的防火墻在特殊的網絡結構中存在來回路徑不一致而導致的中斷現象發生。

對于實驗2做了如下數據訪問測試:首先現在沒有任何設備、接口、線路故障的情況下,三組雙機設備都是主機在工作的,此時PC至互聯網server的訪問數據會通過所有雙機的主設備;我們手動的將SSG520主機的外網接口shutdown后會自動切換到備機工作,sinfor發現與其lan口相連的接口down了也會自動的切換到備機, topsec主機發現與其互聯的sinfor主機故障切換了,topsec主機也會切換到備機工作,這種情況并未發生中斷現象。但當我們將剛才shutdown的接口還原時,我們發現此時出現的故障情況為PC至server的數據會出現中斷現象。將SSG520手動down的接口還原后的情況發現三組冗余雙機設備開始在不斷的進行主備的切換,無法達到一致狀態。這時情況是三組雙機因為切換的時間和檢測的故障的。根據各種設備切故障檢測和切換機制分析得知:目前大部分的冗余雙機故障檢測基本上為互聯接口物理up/down和IP跟蹤兩種檢測方式,由于各不同廠商設備主備切換的時間存在差異,導致其他兩組設備切換卻得不到一致和同步切換的效果,而在故障檢測中增加IP跟蹤的檢測機制只能對存在接口地址的雙機設備有效,而在設備互連接口不存在IP地址作為透明模式使用時依然無法進行更有效的補充,這種情況下三組設備很難達到同步切換的狀態,因此導致故障現象的發生。

3 試驗故障分析及解決方案

針對以上三組實驗的故障情況我們分別作了簡單的分析并給出了不同的解決方案。對于實驗1中防火墻可靠性實驗中,出現的故障情況后對PC至server的路由分別進行了跟蹤和分析。本次的整個網絡結構中全部使用ospf協議,并將路由都在AREA0區中。根據我國有關部門的提出的規范在默認不改變各條路由開銷(cost)值的情況下,所有設備直連的路由開銷值都相同,在兩臺防火墻上都了10.10.10.0/24的路由信息,因而在9512A和9512B上到這兩個網段的路由是通過ospf分別從SecBladeA和SecBladeB上的路由表中學到的,這樣從pc1至server2的路由就會從secblade-A走,而server2至pc1的路由則會從secblade-B走,這是就出現了來回的路徑不一致,同理pc2與server1的互訪路徑也會出項這種情況。針對實驗中因會話來回路由不一致所遇到的問題,就此故障現象,我們可將9512與防火墻之間的交叉鏈路去除,并更改各條鏈路的cost值,保證其來回的路徑在一條路由上。這種情況下當其中一臺交換或者防火墻出現故障后可通過VRRP保證master和slaver vlan之間切換,從而使PC至server的數據不會出現中斷現象,這種改造的弊端在于不能做到雙機負載也就是雙A狀態的運行模式。因此另一種解決方案將SecBlade 防火墻的會話通過心跳進行同步,保證主防火墻和備防火墻實時的去同步授權允許的會話列表,這樣一來,既解決了會話流來回路徑不一致的現象,同時也將該組網結構中的兩臺防火墻形成了雙A狀態,分擔了負載。特別說明該實驗中根據設備的特性使用心跳線來代替實驗1中的防火墻的三層互聯即可。

對于在第二個實驗中出現的故障現象,由于現網中使用的各廠商設備的故障檢測機制的不一致性,如要統一算法需要將研究制定統一的故障檢測方法和切換機制。因此分析了實際情況后,我們可根據故障現象和原因對網絡結構進行整改和優化后解決做實驗2中一組冗余雙機出現主備切換時導致網絡中斷的問題。我們可在該網絡結構中增加一組交換,在該組交換上分別配置兩個Vlan,我們這里配置Vlan100和Vlan200,然后將Sinfor的wan口和Topsec的Intratnat接口直接接在新增交換機的兩個接口上,并把這兩個接口配置到Vlan200中,同樣將Sinfor的lan口和SSG520的Internet接口也接入到與這臺交換機上的兩個接口上,并將這兩個接口配置到Vlan100中。另外一組設備以同樣的連接和配置方式與另外一臺交換機互聯。兩臺交換機通過TRUNK口互聯并允許Vlan 100和Vlan 200 通過。其實這里新增加的兩臺交換是用作半軍事化區域的核心交換使用的,這樣內網與外網同時可以接入到這兩臺交換上,可以節省硬件資源。我們在進行同樣的實驗,將三組冗余設備在任何一組設備中任何一個模擬故障現象都不會導致其它兩組設備的主備切換,即使我們設備的故障檢測是包含Track IP的方式也不會導致另外三組冗余設備的因存在故障切換時間的差異而造成網絡中斷的現象發生。即各種故障或者切換都不會導致PC至server鏈路的中斷。具體的網絡整改拓撲圖如圖3所示。

從實驗3的網絡拓撲中可以清楚的看到,無論三組設備的故障切換是否能夠同步進行,PC至server的鏈路都會有一條通暢的路存在。這是本實驗中解決故障問題的較實用的方案。對于該實驗中存在的故障原因還存在另外一種解決方案,但有待于研究討論及權威機構的統一和制定,研究和制定出一套通用的雙機故障檢測及切換算法或者制定一種新的雙機故障同步切換通訊協議類型。使該算法或協議能夠支持端口檢測、會話同步、IP跟蹤等多種故障檢測機制和統一的切換算法,使雙機設備都能通過該算法或協議在各種不同的故障情形下進行快速有效統一地故障同步切換也是解決該問題的重要方法,也是統一網絡設備冗余雙機故障檢測及切換機制的研究方向。目前huawei研究的VGMP和HRP協議已經將huawei的防火墻進行了較好的狀態一致檢測和會話同步的管理。

4 總結

在整個網絡結構設計和實施過程中詳細分析和說明了三組雙機實驗的網絡結構在企業不同安全區域部署的目的、作用和效果,同時對在部署過程中出現的問題進行了分析和研究,在網絡結構的基礎上給出問題解決方案,并對其進行網絡改造和優化,用來滿足用戶信息安全的需求和目的。第一組實驗部署在企業的核心數據受控區域,為嚴格控制各應用服務器之間以及用戶與服務器之間的數據訪問,采用可自定義多區域的防火墻能夠很好的實現企業對不同敏感數據的安全控制需求。但在基于會話狀態的理想全冗余交叉的網絡連接中存在的來回路徑不一致的故障情形,因此解決方案為將主備防火墻置于雙A的工作狀態,并將全部的會話狀態進行較好的同步,這樣不僅解決了路由不一致的問題,也使主備設備都得到了充分的利用,減輕和降低了單設備的負載和單點故障引起切換帶來的業務中斷。第二組實驗部署在企業互聯網出口的網絡結構中,將軍事化、半軍事化及非軍事化控制區域的數據進行了嚴格的區域控劃分和數據控制,并通過行為控制審計設備嚴格地對軍事化區域數據交換進行控制、審計及記錄。安全與性能本來存在對立的一面,因此實驗二雖然在給企業的信息安全帶來高可靠的保障和受控手段,但同時這種高安全的網絡結構勢必會對企業網絡性能造成一定的負面影響,企業可根據實際情況選擇網絡安全的程度。實驗二中針對該實驗中由于故障引起的雙機設備主備切換不一致導致鏈路中斷的現象進行了網絡結構改造后形成了實驗三的網絡拓撲結構,實驗三的網絡結構不僅解決了實驗二切換的故障問題,同時也將多組雙機網絡結構的故障率降為最低,設備切換帶來的業務中斷時間降為最少。實驗三的網絡拓撲方案適用于目前多數企業的互聯網出口結構。本文為企業網絡架構的設計及安全部署,網絡故障處理提供了一定的實踐依據和說明。

本文通過三組實驗的網絡拓撲結構的設計實現、故障測試分析及解決,對幾款目前國內較流行的狀態防火墻和安全設備的雙機基本配置、工作模式、安全防范、故障檢測切換機制都有了基本的了解和認識,并給企業用戶在企業安全區域網絡拓撲結構的設計方面提供了較好的理論應用和實踐基礎。在故障測試過程中通過對故障分析和處理,提出的解決方案和處理思想對企業安全網絡的合理設計提供的實踐證明,也為功能全面防火墻的設計和實現提供了重要的研究方向和思想依據。

參考文獻:

[1] 蔡立軍.計算機網絡安全技術[M].北京:中國水利水電出版社,2002.

[2] 胡道元,閡京華.網絡安全[M].北京:清華大學出版社,2004:22-26

[3] 柯宏力.Intranet信息網絡技術與企業信息化[M].北京:北京郵電學院出版社,2000,24-32,71-82,150-176.

[4] 林曉東,楊義先.網絡防火墻技術[J].電信科學,1997,13(3):41-43.

[5] 雷震甲,馬建峰.Internet安全和防火墻技術安全體系結構[J].通信保密,1998(2).

[6] 劉曉輝.網管從業寶典――交換機路?由器?防火墻.重慶:重慶大學出版社, 2008-5-9,81-86, 117-185,270-275,371-400.

[7] 吳昕,李之棠.并行防火墻研究[J].計算機工程與科學,2000,22(2):54-57.

[8] 林曉東,楊義先.網絡防火墻技術[J].電信科學,1997,13(3):41-43.

[9] 張云鵬.網絡安全與防護技術的研究及應用[D].中國優秀博碩士學位論文全文數據庫,2006(6).