毕业设计（论文）计算机网络安全研究

《毕业设计（论文）计算机网络安全研究》由会员分享，可在线阅读，更多相关《毕业设计（论文）计算机网络安全研究（20页珍藏版）》请在装配图网上搜索。

1、郑州交通职业学院考 试 论 文 （设计）论文（设计）题目：计算机网络安全研究 所属系别：信息工程系专业班级：计算机网络技术1班姓 名：XXX学 号：XXX号撰写日期：2010年5月20日星期四目 录引言- 1 -1、计算机网络安全的含义及特点- 1 -1.1计算机网络安全的含义- 1 -1.2计算机网络攻击的特点- 2 -2、加密技术- 2 -2.1传统加密方法- 3 -2.2 word文件加密及解密方法- 4 -2.3 winRar压缩- 4 -3、TCP三次握手- 5 -4、备份技术概述- 6 -4.1备份的层次与备份方法- 7 -5、防火墙概述- 8 -5.1 防火墙的类型- 8 -5.

2、1.1 网络层防火墙- 8 -5.1.2 应用层防火墙- 9 -5.1.3代理服务- 9 -5.2 防火墙工作原理- 10 -5.2.1 服务器TCP/UDP 端口过滤- 11 -5.2.2 客户机也有TCP/UDP端口- 11 -6、Ethereal使用说明- 12 -6.1 ethereal的抓包过滤器- 12 -6.2 在ethereal使用协议插件- 13 -7、本地安全策略- 15 -7.1用户与用户权限的设置- 15 -7.2 设置密码策略- 17 -7.2.1 用户密码策略- 17 -7.2.2 用户安全策略- 17 -引言现今高速发展的社会已经进入了21世纪，而21世纪的重要特

3、征就是数字化、网络化和信息化,这是一个以网络为核心的信息时代。In-ternet的飞速发展给人类社会的科学与技术带来了巨大的推动与冲击，同时也产生了网络信息与安全的问题。由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的潜在威胁，病毒扩散、黑客攻击、网络犯罪等违法事件的数量迅速增长，网络的安全问题越来越严峻。因此，如何提高计算机网络的防御能力，增强网络的安全措施，已成为当前急需解决的问题。否则网络不仅不能发挥其有利的作用，甚至会危及国家、企业及个人的安全。网络安全产品有以下几大特点:第一,网络安全来源于安

4、全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程.为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发.安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业. 从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网

5、络入侵和攻击行为使得网络安全面临新的挑战。1、计算机网络安全的含义及特点1.1计算机网络安全的含义国际标准化组织将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。从普通使用者的角度来

6、说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。1.2计算机网络攻击的特点影响计算机网络安全的因素很多。归结起来，主要有4个方面： (1)自然因素。主要包括自然灾害的破坏，如地震、雷击、洪水及其他不可抗拒的天灾造成的损害。以及因网络及计算机硬件的老化及自然损坏造成的损失。(2)无意失误。误操作引起文件被删除，磁盘被格式化，或因为网络管理员对网络的设置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎

7、，用户将自己的帐号随意转借他人或与别人共享等，都会给网络安全带来威胁。 (3)黑客攻击。这是计算机网络所面临的最大威胁。此类攻击又可分为两种：一种是网络攻击，就是以各种方式有选择地破坏对方信息的有效性和完整性；另一种是网络侦察，就是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得对方重要的机密信息。 (4)利用网络软件的漏洞和“后门”进行攻击。软件的“后门”都是软件公司的编程设计人员为了自己方便而设置的，一般不为外人所知，一旦“后门”被洞开，所造成的后果不堪设想。2、加密技术加密技术是电子商务采取的主要安全保密措施，是最常用的安全保密手段,利用技术手段把重要的数据变为乱码（加密）传送，

8、到达目的地后再用相同或不同的手段还原（解密）。加密技术包括两个元素：算法和密钥。算法是将普通的文本（或者可以理解的信息）与一窜数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（DES，Data Encryption Standard）算法为典型代表，非对称加密通常以RSA（Rivest Shamir Ad1ema

9、n）算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密2.1传统加密方法传统的加密方法，其密钥是由简单的字符串组成的，它可以选择许多加密形式中的一种。只要有必要，就可以经常改变密钥。因此，这种基本加密模型是稳定的，是人所共知的，它的好处就在于可以秘密而又方便地变换密钥，从而达到保密的目的。传统的加密方法可以分为两大类：替代密码和换位密码。 替代密码是用一组密文字母来代替一组明文字母以隐藏明文，但保持明文字母的位置不变。在替代法加密体制中，使用了密钥字母表。它可以由一个明文字母表构成，也可以由多个明文字母表构成。由一个字母表构成

10、的替代密码，称为单表密码，其替代过程就是在明文和密码字符之间进行一对一的映射。如果是由多个字母表构成的替代密码，称为多表密码，其替代过程与前者不同之处在于明文的同一字符可在密码文中表现为多种字符。因此，在明码文与密码文的字符之间的映射是一对多的。单表替代密码。凯撒密码是最古老的替代密码，以英文26个字母为例，它用D表示a，用E表示b，用F表示c，用C表示z，密文字母相对明文字母循环左移了3位，因此，又称为循环移位密码。这种映射关系表示为如下函数：F（a）=（a十k）mod n其中：a表示明文字母，n为字符集中字母个数，k为密钥。 2.2 word文件加密及解密方法要给Word文件加密，先打开需

11、加密的文件，点击“工具”菜单“选项”，弹出“选项”对话框，选择“保存”标签。在“打开权限密码”和“修改权限密码”输入框中键入密码。需要说明一下的是前者密码是用来打开文件的，如果没有这个密码，文件是打不开的。后者是在前者基础上设置是否打开者有权利修改文件，如果没有则只能阅读，而不能修改内容。(如下图)2.3 winRar压缩RAR 格式不只允许数据，而且其它的可感知的压缩文件区域：文件名、大小、属性、注释和其它块都可加密。如果你希望这样做，你需要在密码对话框中设置“加密文件名” 选项，或在命令行模式使用 -p密码 的开关 -hp密码。以这种方式加密的文件，如果没有密码甚至不可能查看文件列表。当不

12、再需要的时候，别忘了将输入的密码删除。不然你或许又加密了别的压缩文件，但却不希望使用同一组密码。要删除密码时，只需要输入空字符串来替换原先的密码，或者先关闭 WinRAR 并重新启动一次。当有密码存在时，钥匙的图标是红色的，否则它是黄色的。而且，当你使用密码开始压缩操作时，标题栏 压缩文件名和参数对话框 也会闪烁两次。3、TCP三次握手SYN攻击在三次握手过程中，服务器发送SYN-ACK之后，收到客户端的ACK之前的TCP连接称为半连接(half-open connect).此时服务器处于Syn_RECV状态.当收到ACK后，服务器转入ESTABLISHED状态.Syn攻击就是 攻击客户端 在

13、短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直 至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。Syn攻击是一个典型的DDOS攻击。检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击.在Linux下可以如下命令检测是否被Syn攻击netstat -n -p TCP | grep SYN_RECV一般较新的TCP/IP协议栈都对这一过程进行修正来防范Syn

14、攻击，修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等。4、备份技术概述利用GHOST工具，实现对系统的备份与还原。4.1备份的层次与备份方法定期磁带备份数据, 远程磁带库、光盘库备份, 远程关键数据磁带备份, 远程数据库备份网络数据镜像, 远程镜像磁盘在备份技术中备份可分为三个层次：硬件级、软件级和人工级5、防火墙概述所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与I

15、ntranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成， 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件 (其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。 防火墙 英语为firewall 英汉证券投资词典的解释为：金融机构内部将银行业务与证券业务严格区分开来的法律屏障，旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。5.1 防火墙的类型一个个人防火墙, 通常软件应用

16、过滤信息进入或留下。一台电脑和一个传统防火墙通常跑在一台专用的网络设备或电脑被安置在两个或更多网络或DMZs (解除军事管制区域) 界限。 这样防火墙过滤所有信息进入或留下被连接的网络。 后者定义对应于防火墙 的常规意思在网络, 和下面会谈谈这类型防火墙。 以下是两个主要类防火墙: 网络层防火墙和 应用层防火墙。 这两类型防火墙也许重叠; 的确, 单一系统会两个一起实施。 5.1.1 网络层防火墙 网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，

17、不过某些防火墙设备可能只能套用内置的规则。 我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。 较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段.等属性来进行过滤。 5.1.2 应用层防火墙 应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，

18、并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。 防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。 XML 防火墙是一种新型态的应用层防火墙。 5.1.3代理服务 代理服务设备(可能是一台专属的硬件，或只是普通机器上的一套软件)也能像应用程序一样回应输入封包(例如连接要求)，同时封锁其他的封包，达到类似于防火墙的效果。 代理由外在网络使窜改一个内部系统更加困难, 并且一个内部系统误用不一定会导致一

19、个安全漏洞可开采从防火墙外面(只要应用代理剩下的原封和适当地被配置) 。 相反地, 入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的; 代理人然后伪装作为那个系统对其它内部机器。 当对内部地址空间的用途加强安全, 破坏狂也许仍然使用方法譬如IP 欺骗试图通过小包对目标网络。 防火墙经常有网络地址转换(NAT) 的功能, 并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”, 依照被定义在RFC 1918 。 管理员经常设置了这样情节在努力(无定论的有效率) 假装内部地址或网络。 防火墙的适当的配置要求技巧和智能。 它要求管理员对网络协议和电脑安全有深入的了解。 因小差错

20、可使防火墙不能作为安全工具。5.2 防火墙工作原理防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。 天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的 一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SM

21、TP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。 所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。 当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并 把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过P

22、C机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。 现在我们“命令”（用专业术语来说就是配制）防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。 还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地

23、址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。5.2.1 服务器TCP/UDP 端口过滤 仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用 telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧？所以说，在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。 比如，默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机（在这时我们当它是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具

24、有23目标端口号的包过滤就行了。这样，我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。 5.2.2 客户机也有TCP/UDP端口 TCP/IP是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机 的IP栈怎么知道某个数据包是属于哪个应用程序的呢？ 由于历史的原因，几乎所有的

25、TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。 这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤。反过来，打开所有高于1023的端口就可行了吗？也不尽然。由于很多服务使用的端口都大于1023，比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP

26、产品等（NetWare/IP）就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？连这些客户程序都不敢说自己是足够安全的。 OK，咱们换个思路。我们给防火墙这样下命令：已知服务的数据包可以进来，其他的全部挡在防火墙之外。比如，如果你知道用户要访问web服务器，那就只让具有源端口号80的数据包进入网络： 不过新问题又出现了。首先，你怎么知道你要访问的服务器具有哪些正在运行的端口号呢？ 象HTTP这样的服务器本来就是可以任意配置的，所采用的端口也可以随意配置。如果你这样设置防火墙，你就没法访问哪些没采用标准端口号的的网络站点了！反过来，你也没法保证进入网络的数据包中具

27、有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口！ 6、Ethereal使用说明启动ethereal以后，选择菜单Capature-Start，就OK了。当你不想抓的时候，按一下stop，抓的包就会显示在面板中，并且已经分析好了nterface:指定在哪个接口（网卡）上抓包。一般情况下都是单网卡，所以使用缺省的就可以了Limiteachpacket:限制每个包的大小，缺省情况不限制Capturepacketsinpromiscuousmode:是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应

28、该关闭这个选项。Filter：过滤器。只抓取满足过滤规则的包（可暂时略过）File：如果需要将抓到的包写到文件中，在这里输入文件名称。useringbuffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。注意，循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷6.1 ethereal的抓包过滤器抓包过滤器用来抓取感兴趣的包，用在抓包过程中。抓包过滤器使用的是libcap过滤器语言，在tcpdump的手册中有详细的解释，基本结是：notprimitiveand|ornotprimitive.6.2 在ethereal使用协议插件ethereal能够支

29、持许多协议，但有些协议需要安装插件以后才能解，比如H.323，以H.323协议为例，首先下载ethereal的H.323插件，下载完了以后将文件(h323.dll)解压到ethereal安装目录的plugin0.9.x目录下面，比如我的是0.9.11，然后，需要进行一下设置1)启动ethereal2)菜单Edit-Preference3)单击Protocols前面的+号，展开Protocols4)找到Q931，并单击5)确保Desegment.TCPsegments是选中的（即方框被按下去）6)单击TCP7)确保Allow.TCPstreams是选中的8)确保没有选中Check.TCPchec

30、ksum和Use.sequencenumbers9)单击TPKT10)确保Desegment.TCPsegments是选中的11)点击Save，然后点击Apply，然后点击OK你也完全可以不断地重新安装新版本winpcap和ethreal，这样就可以不需在旧的ethreal的版本中安装新的插件来支持新的协议插件。7、本地安全策略7.1用户与用户权限的设置7.2 设置密码策略7.2.1 用户密码策略 密码策略用于window 2003网络用户身份模块中用户账户。它确定用户账户密码设置，例如：密码复杂度、密码历史等设置。 7.2.2 用户安全策略 用户安全策略用于windows 2003操作系统的权限设置。它确定用户身份权限设置，例如：能访问服务器的那个磁盘，此用户身份能运行那个业务程序等设置。打开组策略控制台窗口，选择计算机配置Windows设置安全设置账户策略账户锁定策略选项，如图下图所示。第 - 18 - 页 共 20 页