互联网安全论文精品(七篇)

序论：写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感，挖掘那些隐藏在内心深处的真相，好投稿为您带来了七篇互联网安全论文范文，愿它们成为您写作过程中的灵感催化剂，助力您的创作。

篇(1)

关键词：网络工程；安全防护技术；思考

一、前言

现代的通信技术发展飞速，网络的普及改变了我们的生活方式和交流方式，成为我们与人联系的主要途径。但因为互联网往是开放的，所以在网络工程中还有着很多的安全问题，对我们的网络环境造成影响。所以，研究网络工程中的安全防护技术非常重要，下面就针对网络工程中的安全防护尽心初步的分析。

二、网络工程中容易出现的问题

1.黑客问题

黑客一词源于英语中的hacker，是指利用网络中的漏洞破坏他人的网络和窃取他人资料的人，在黑客进行攻击时，主要有两种方式：破坏性攻击、非破坏性攻击。破坏性攻击是指黑进电脑的系统中，达到自己盗窃信息的目的。非破坏性攻击一般来说是妨碍电脑的正常运行，以妨碍为主要的破坏目的，但没有盗窃他人电脑中的重要资料，阻止计算机正常服务和信息轰炸对电脑系统进行破坏。黑客会对我们的电脑安全产生很大的隐患。

2.计算机中病毒

计算机中毒显现对网络工程的安全有着很大的影响，而且计算机病毒具有破坏系统，传染其他电脑的特点，计算机的病毒不是计算机自身产生的，而是病毒的编写者将指令和程序植入到计算机的系统中，计算机病毒是认为制造的，它会严重影响计算机系统的正常工作，给用户带来很大的危害。计算机病毒具有破坏力强、传播速度快而且不容易被发现，尤其是一些木马病毒、震网、火焰等病毒，通过网络进行传播后，一旦被传播，会对计算机内的资源造成毁坏，所以，计算机中毒是保证网络安全的重要问题。

3.IP地址被盗IP地址被盗用也是我们网络工程区安全中的问题之一，如果我们的IP地址被盗用，我们的计算机就无法正常的上网，使用网络。在区域网络中常常出现这种情况，用户被告知IP地址已被占用，使我们无法进行网络连接。这些IP地址的权限一般来说比较高，盗窃者会用不知名的信息来打扰用户的使用，使我们的自身权益受到了严重的侵害，也对网络的安全性造成了非常恶劣的影响。

4.垃圾邮件

现在的垃圾邮件让我们的网络安全受到了很多负担，垃圾邮件就是那些不是用户自愿接受的邮件，却无法组织收到垃圾邮件。垃圾邮件会严重损害我们使用邮件时的效率。对我们的网络造成不必要的负担，也让我们的网络安全收到了很大的威胁，垃圾邮件会减慢我们系统的使用效率，也浪费了大量的网络资源，如果垃圾邮件的数量过多还会危害整个网络工程。

5.系统出错

计算机系统出错也会给我们的网络工程安全带来很大的影响。在计算机网络工程中，网络的管理体制还不是很周全，各个岗位的工作分类还不够明确，在密码方面和权限方面的管理还不是很充足，这些因素会让我们的网络安全收到来自外界的破坏，而且我们的方位意识还不够完全，没有办法有效率的避免计算机系统出错，所以计算机系统出现的问题越来越严重，导致系统无法正常的工作，最终对计算机网络安全产生威胁，所以，增加网络工程中安全防护技术十分重要

三、安全防护技术

1.设置防火墙

预防黑客最简单的方法就是设置防火墙，设置防火墙来过滤不需要的信息是我们网络工程中安全防护技术中最简单有效的方法一。设置防火墙在计算机的外部网络和局域网之间设置防火墙，网络防火墙是一个连接计算机和网络的软件，基本互联网安全机能有：防火墙、木马入侵检测、杀毒软体、信息清理、数值加固等等。基本互联网机能的建设就是互联网工作一个有力的屏障，能高效防止黑客打击、木马打击、无用消息散播以及机密文件被盗取。着重基本互联网安全机能的投资，努力推进基本互联网机能的建设。另外互联网风险是即时发生和变换的，那些已经建成了基本互联网机能的计算机，着重安全机能的提升和平时维修时特别重要的方式。

2.防病毒

着重互联网安全的扩散，安装防病毒软件，比如360安全卫士，金山杀毒等，着重私密信息保护。人类是互联网机能的缔造者，并且人类也是互联网安全中最主要的创造者，使用社会对互联网安全检举，趁早找到互联网发生的各种风险，另外能及时找到互互联网中违法资料扩散的位置，及时查处，保护互联网的纯净。

3.着重基本互联网安全机能的建设

如果缺少对互谅网隐患的认知和了解，一些公司和部门在互联网安全方面的重视度十分低，还未建成完整基本互联网安全机能，这样为互联网安全设置了重大风险。我们要在计算机在攻击前做到有效的识别，防止恶意攻击的破坏。基本互联网机能的建设有：防火墙、木马入侵检测、杀毒软体、信息清理、数值加固等等。互联网工作一个有力的屏障，能高效防止黑客打击、木马打击、无用消息散播以及机密文件被盗取。着重基本互联网安全机能的投资，努力推进基本互联网机能的建设。另外互联网风险是即时发生和变换的，那些已经建成了基本互联网机能的计算机，着重安全机能的提升和平时维修时特别重要的方式。

4.拒绝接受垃圾邮件

拒绝接收垃圾邮件，就要先保护我们的邮件地址，避免随便的使用邮箱地址到处登记，还可以用软件进行管理，过滤垃圾邮件，设置拒接接受垃圾邮件。

5.加强风险防范意识

提升网络安全的风险防范意识也不容小觑，在互联网工程隐患预防的路途中，使用数值锁住技能是特别正确的方式。要透过深化消息私密性管辖来确认计算机运营中的安全。在建设完美的互联网安全机能的基底上实行互联网的实名制梳理不仅可以高效提升自己消息的私密性，更可以更广泛高能的特省互联网的全面安全。另一方面，加深对私密用户的的长期管辖和监理工作，能够有效的控制号码被盗。

参考文献：

[1]吴志新.网络工程中的安全防护技术的思考[J].电子世界,2014,12:325-326.

篇(2)

【关键词】互联网+ 入侵监测 安全防御 遗传算法

1 引言

入侵检测是一种网络安全防御技术，其可以部署于网络防火墙、访问控制列表等软件中，可以检测流入到系统中的数据流，并且识别数据流中的网络包内容，判别数据流是否属于木马和病毒等不正常数据。目前，网络安全入侵检测技术已经诞生了多种，比如状态检测技术和深度包过滤技术，有效提高了网络安全识别、处理等防御能力。

2 “互联网+”时代网络安全管理现状

目前，我国已经进入到了“互联网+”时代，互联网已经应用到了金融、民生、工业等多个领域。互联网的繁荣为人们带来了许多的便利，同时互联网安全事故也频频出现，网络病毒、木马和黑客攻击技术也大幅度改进，并且呈现出攻击渠道多样化、威胁智能化、范围广泛化等特点。

2.1 攻击渠道多样化

目前，网络设备、应用接入渠道较多，按照内外网划分为内网接入、外网接入；按照有线、无线可以划分为有线接入、无线接入；按照接入设备可以划分为PC接入、移动智能终端接入等多种类别，接入渠道较多，也为攻击威胁提供了较多的入侵渠道。

2.2 威胁智能化

攻击威胁程序设计技术的提升，使得病毒、木马隐藏的周期更长，行为更加隐蔽，传统的网络木马、病毒防御工具无法查杀。

2.3 破坏范围更广

随着网络及承载的应用软件集成化增强，不同类型的系统管理平台都通过SOA架构、ESB技术接入到网络集群平台上，一旦某个系统受到攻击，病毒可以在很短的时间内传播到其他子系统，破坏范围更广。

3 “互联网+”时代网络安全入侵检测功能设计

入侵检测业务流程包括三个阶段，分别是采集网络数据、分析数据内容和启动防御措施，能够实时预估网络安全防御状况，保证网络安全运行，如图1所示。

网络安全入侵检测过程中，为了提高入侵检测准确度，引入遗传算法和BP神经网络，结合这两种数据挖掘算法的优势，设计了一个遗传神经网络算法，业务流程如下：

（1）采集网络数据，获取数据源。

（2）利用遗传神经网络识别数据内容，对数据进行建模，将获取的网络数据包转换为神经网络能够识别的数学向量。

（3）使用已知的、理想状态的数据对遗传神经网络进行训练。

（4）使用训练好的遗传神经网络对网络数据进行检测。

（5）保存遗传神经网络检测的结果。

（6）网络安全响应。

遗传神经网络在入侵检测过程中包括两个阶段，分别是训练学习阶段和检测分析阶段。

（1）训练学习阶段。遗传神经网络训练学习可以生成一个功能完善的、识别准确的入侵检测模型，系统训练学习流程如下：给定样本库和期望输出参数，将两者作为遗传神经网络输入参数，学习样本中包含非常典型的具有攻击行为特征的样本数据和正常数据，通过训练学习得到的遗传神经网络可以与输入的期望结果进行比较和分析，直到期望输出的误差可以达到人们的期望值。

（2）检测分析阶段。遗传神经网络训练结束之后，使用权值的形式将其保存起来，将其应用到实际网络入侵检测系统，能够识别正常行为或异常行为。

4 结束语

互联网的快速发展和普及为人们的工作、生活和学习带来便利，但同时也潜在着许多威胁，采用先进的网络安全防御技术，以便提升网络的安全运行能力。入侵检测是网络安全主动防御的一个关键技术，入侵检测利用遗传算法和BP神经网络算法优势，可以准确地构建一个入侵检测模型，准确地检测出病毒、木马数据，启动病毒木马查杀软件，清除网络中的威胁，保证网络正常运行。

参考文献

[1]徐振华.基于BP神经网络的分布式入侵检测模型改进算法研究[J].网络安全技术与应用，2016，24（2）：111-112.

[2]刘成.试论入侵检测技术在网络安全中的应用与研究[J].网络安全技术与应用，2016，24（2）：74-75.

[3]周立军，张杰，吕海燕.基于数据挖掘技术的网络入侵检测技术研究[J].现代电子技术，2016，18（6）：121-122.

[4]谢胜军.云计算时代网络安全现状与防御措施探讨[J].网络安全技术与应用，2016，26（2）：41-42.

篇(3)

论文摘要：为实现以教育信息化带动教育现代化的跨越式发展，各高校都在大力进行教育信息化建设，因特网成为高校大学生获取信息的有利工具。培养大学生的信息道德素质已经成为高校信息素质教育的重要内容之一。

当前，为适应数字化、网络化信息时代的发展需求，实现以教育信息化带动教育现代化的跨越式发展，各高校都在大力进行教育信息化建设，高校计算机“五进”—即进教室、宿舍、家庭、实验室、办公室，极大地推动了师生计算机应用水平的提高和计算机教学的开展。因特网作为世界上最大的信息载体，以其丰富的信息资源、便捷的交流通道、以及内容的广泛性、访问的快捷性等使之成为高校大学生获取信息的有利工具。

互联网提供了广阔丰富的信息搜索，网络信息的极端丰富和信息流动的极端自由，一方面改变了人们获取信息的途径和方式，提供了信息共享的广阔空间，促进了信息的交流与传播;另一方面也导致了信息的过度膨胀和泛滥，成了信息污垢滋生繁衍和传播的“场所”。各种合法信息与非法信息、有益信息与有害信息、有用信息与垃圾信息、真实信息与虚假信息混杂在一起，严重防碍了人们对有用信息的吸收利用，导致一些辨别能力差的上网者在价值判断、价值选择上出现了迷惘，而利用高科技手段进行犯罪活动者，更是屡见不鲜。这些给社会带来了许多消极负面的影响，导致了各种决策失误和经济损失，严重危害人类的生产、生活和健康，甚至危害社会的稳定和发展。

据美国匹兹堡大学的一份研究报告表明，全球每1亿网民中就有至少570万人患有不同程度的“网络综合症”。网络文化对高校大学生的思想品德的形成、心理和人格的健康发展，以及社会道德规范的冲击等诸多方面带来了极大的困扰。目前，许多大学生上网是为了聊天、玩游戏，真正上网查找资料用于专业学习的很少;对网络最普遍的应用就是发邮件，看时事新闻;有些大学生因“网络成隐症”而逃课，无节制地花费大量时间和精力在互联网上持续聊天、阅读不文明、不健康的网上信息，以至损害生理和心理的身体健康;还有一些缺乏自律的大学生在作毕业论文时，不作自己的研究思考，不尊重别人的知识产权，直接从中国期刊镜像网站下载文章，经剪贴和技术处理而成来应付老师;更有一些法制观念淡薄的大学生在BBS上发表一些不负责任的言论、冒用别人的IP地址、盗用别人的帐号、甚至因好奇而充当了黑客……

高校大学生正处在人生观、世界观和价值观形成和确立的关键时期，因此，大学生要跟上教育信息化的步伐，在网络信息的海洋中自由地航行，就必须具备抵御风浪的能力—即良好的信息道德素质。培养大学生的信息道德素质，高校负有不可推卸的责任，同时也是一个重要的研究课题。信息道德是人们依据信息行为规范从事信息活动的品德，是指人们在应用信息技术时，能施行与信息和信息技术相关的符合伦理道德的行为。它是调节信息生产者、信息加工者、信息传递者和信息使用者之间相互关系的行为规范的总和。其内容包括:信息交流与传递目标应与社会整体目标协调一致;应承担相应的社会责任和义务;遵循法律规范，抵制各种各样的违法、、迷信信息和虚假信息;尊重个人隐私等。

当前，随着全社会对信息道德问题的日益重视，高校信息道德素质教育已经成为高校素质教育的重要内容之一。高校信息道德素质教育的基本目标是使大学生熟悉信息道德法律和规范，引导大学生在学习和工作中成为具有较高信息道德素养的人。通过教育培养，使大学生充分认识网络的各种功能，引导大学生上网的积极性，发挥大学生利用网络信息资源的主观能动性，培养和训练大学生的创新思维和个性品质;同时，明确网络的负面影响，规范大学生的上网行为，提高大学生的信息鉴别能力和自我约束能力，增强对信息污染的免疫力。

高校信息道德素质教育的主要途径为:

1坚持正面灌翰、正确引导的原则，帮助大学生明辨是非、健康发展

在现实生活中，人的行为是否合法、是否犯罪容易判断，而在网络社会里，人们的身份、行为方式等都被隐匿，人们的交往具有虚拟化、超时空和数字化的特征。这使得人们摆脱了现实社会的道德伦理的束缚，有了自我表达意见的机会，从而使现实的道德伦理和行为规范失去了原有的约束力。这容易使人们忘记了社会角色，淡化了社会责任。为此，各高校应建立一种信息道德教育机制，组建一种可操作性的教育力量或整合原有的教育力量，实现统一协调的、有目的、有层次的高校信息道德教育服务。可以积极利用网络快捷、生动、便利、开放等优势条件进行正面灌输，通过构建学生理论学习网站、网上书记校长接待室、网上党校，或在主页中开设相应栏目等形式，开展网络文明、网络道德的宣传教育。针对重大热点、难点问题，进行有计划、有目的的网上网下引导。做好《公民道德建设实施纲要》的认真贯彻实施，对大学生的信息行为进行规范引导。还可以通过积极健康的校园科技文化活动，引导学生戒除对不良网络生存方式的沉迷，建立积极有益的正常学习生活交流方式，展示和发展健康的个性。

2大力推广和普及有关网络方面的法律法规，规范大学生的网上行为

自1986年4月开始，我国相继制定并颁布了《中华人民共和国计算机信息系统安全保护条例》、《计算机系统安全规范》、《计算机病毒控制规定》、《互联网安全条例》、(计算机信息网络国际互联网安全保护管理办法》、《中华人民共和国电信条例》等一系列规定和法规，并在刑法、刑事诉讼法、民法、民事诉讼法等相关法律条文中写人了有关计算机信息安全方面的条文。近年来，为适应信息产业和信息犯罪增加的形势，我国加快了信息立法的步伐。2000年9月29日国务院第31次常委会议通过公布实施了《互联网信息服务管理办法》，这是我国为尽快融人世贸组织规则而制定的有效管理信息产业、应对国际竞争和处理信息安全问题的基本框架性政策。对于以上政策法律法规，高校应通过灵活多样的教育方式大力普及、推广，且做到教育内容与最新的信息道德规范同步。

篇(4)

关键词:僵尸网络;源端检测;防御模型

中图分类号:TP311文献标识码:A文章编号:1009-3044(2010)18-4876-02

Research of Botnet Defense Model Based on Source-end Detection

WANG Wei

(Anhui Technical College of Water Resources anf Hydroelectric Power, Hefei 231603, China)

Abstract: This paper introduces the composition and its harm of Botnet, analyses attacks and detection technology of Botnet, focus on the defense strategy of Botnet, this paper puts forward a model of defense, then analyses its performance.

Key words: botnet; source-end detection; defense model

僵尸网络(Botnet),是20世纪90年代末兴起的危害互联网的产物,近年来已经成为影响互联网安全的重大威胁之一,是目前互联网上黑客最青睐的攻击平台。

1僵尸网络概述

僵尸网络是指由黑客直接或通过控制服务器间接集中控制的僵尸程序感染计算机群,是由攻击者远程控制的被攻陷主机所组成的网络,如图1所示。

僵尸主机(Zombie)指被植入了僵尸程序(Bot)的计算机,控制者(Botmaster)是出于恶意目的,通过传播Bot控制大量Zombie,并进行网络攻击的网络黑客。命令控制服务器(Command & Control Server,简称C&C S)是大量Zombie连接的服务器, Botmaster通过该服务器或由自身控制Zombie。通常,根据Bot程序的种类、Botnet基于的控制协议和有无命令控制服务器三种情况对僵尸网络进行分类。

2 僵尸网络攻击及其检测

僵尸网络是一个分布式、可控制的网络,是随着Bot程序的不断恶意传播而形成的,其形成过程大致经历了Bot的传播、感染计算机、Zombie加入僵尸网络和Botmaster控制僵尸网络四个过程。

在确定网络攻击目标后,僵尸网络的攻击过程大致可分为三个步骤:即①控制者向其控制的命令控制服务器或直接向僵尸主机发出攻击指令;②命令控制服务器向僵尸主机发出攻击指令;③僵尸主机向受害者发起直接攻击,如图1所示。

僵尸网络可以一对多地执行相同的恶意行为,利用僵尸网络可以地发起的攻击行为有:分布式拒绝服务攻击、垃圾邮件、蠕虫释放、窃取信息、滥用资源影响网络的性能等。

僵尸网络攻击常用的技术有:①hypervisor技术;②Fast Flux domains技术;③P2P技术等。

为了应对僵尸网络的安全威胁,实现对僵尸网络的防御,首先要求对可能存在的僵尸网络发现与跟踪;其次,要求能够对互联网络环境下有无僵尸网络进行检测;最后,还要在现实网络环境中进行防御体系架设,防止僵尸网络的形成。

僵尸网络跟踪的基本过程是:首先通过各种途径获取网络中实际存在的僵尸网络及其控制信道等相关信息,然后模拟成受控的僵尸程序加入僵尸网络中,从而对僵尸网络的内部活动进行观察和跟踪。

发现僵尸网络的方法主要有三类,即:通过部署蜜罐对僵尸程序进行样本捕获;利用网络行为监测法;利用网络IDS发现僵尸网络。

3基于源端检测的僵尸网络防御模型

传统的僵尸网络防御方法主要有两种:一种是通过加强主机的安全防御等级防止被僵尸程序感染,及时清除主机中的僵尸程序;另一种是通过摧毁或无效化僵尸网络命令及其控制机制。

由图1所示的僵尸网络攻击体系及其攻击过程可知,对于僵尸网络攻击的防御可以定位于三个位置,即:发起攻击的源端、僵尸主机端和受害者端。其中,控制者端是僵尸网络发起攻击的源端,在此位置发现并防御僵尸网络攻击是效率最高、效果最好的方法。本文提出一种基于源端检测的僵尸网络防御模型。

1)基本思想

僵尸网络的控制者发动攻击时,会向其控制的僵尸主机发出相同的含有攻击指令的IP数据包,当该IP包到达控制者端的边界路由器时,部署在路由器上的检测算法以检测数据表为基础,依据该IP包的分析结果决定是否允许IP包进入网络,从而实现对攻击的防御。

2)检测数据表结构

表1 检测数据表结构

其中,各字段含义如下:

R_IP:表示发出数据包需通过边界路由器转发的主机IP地址;

Available:表示R_IP是否可以通过边界路由器转发数据包,若其值为”Y”表示可以转发,若为”N”则表示不能转发,该包要丢弃;

same_num:表示数据表中保存的与当前R_IP发出的数据包相同的次数,其初值为0,根据网络用户操作的特点,可设其上限值(阈值)如为10;

Timing:为了相同度检测数据表无限长大,同时,根据网络攻击的特点,即在较短时间发出大量攻击数据包。因此,可设定相同度检测数据表中记录的存在时间,如60s,当表记录生成时该字段激活,开始计时;

Content:某一R_IP发出的经过边界路由器转发的数据包的内容。

3)检测防御算法

① 当IP数据包进入边界路由器后,取该IP包的源IP地址,在检测数据表查找有无R_IP字段与之相同的记录,若无,则在检测数据表中新增一条记录,并将该IP的源IP地址填入R_IP字段、将Available字段置为”Y”, 将same_num字段值置为1,激活Timing字段,开始计时,同时,将IP包的内容填入Content字段中,然后转发该IP包,本次检测结束;若有,则转②。

② 检测数据表中所有R_IP与IP包源地址相同该记录的Available字段,若所有记录的Available字段值均为”Y”,则转③;否则,则说明该IP包是攻击数据包或者发包方是网络攻击者,边界路由器将其丢弃,检测结束。

③ 取IP包的数据部分与所有R_IP与IP包源地址相同记录的Content字段进行比较,若有相同,则转④;否则,在检测数据表中新增一条记录,并将该IP的源IP地址填入R_IP字段、将Available字段置为”Y”, 将same_num字段值置为1,并激活Timing字段,开始计时,同时,将IP包的内容填入Content字段中,然后转发该IP包,本次检测结束。

④ 将该记录的same_num字段值自加,若自加后same_num字段值小于设定的阈值,则将该IP转发,检测结束;若自加后字段same_num值达到设定的阈值,则说明该IP包是攻击数据包,边界路由器将此IP包丢弃,并将检测数据表中R_IP的与该IP包源IP地址值相同的记录的Available字段置为”N”,检测结束。检测算法流程图如图2所示。

4)性能分析

应用上述防御模型能够比较有效地在僵尸网络发动攻击时进行检测进而实现防御。但是,也应该看出,该模型还有不太完善的地方,主要有以下两个方面:

①由于是通过设置相同IP包阈值来确定相同数据包即网络攻击IP包,在具有相同内容的数据包通过边界路由器而未达到该上限值前,还是可能存在网络攻击行为的;

②在攻击端发动网络攻击并被边界路由器检测防御后,在一定的时间内攻击端的正常网络访问行为也是被屏蔽的。

4结束语

随着互联网的快速发展与广泛应用,僵尸网络的危害愈演愈烈,如何防御僵尸网络可能带来的危害具有现实意义。通过对僵尸网络防御策略的研究,可以为广大网络用户提供最大限度的安全保护,达到保障网络用户权益的目标。

参考文献:

[1] 张兆信,赵永葆,赵尔丹.计算机网络安全与应用[M].北京:机械工业出版社,2008.

[2] 诸葛建伟,韩心慧,周勇林,等.僵尸网络研究[J].软件学报,2008(3),703―704.

篇(5)

2006年超级女声总决赛中，主办方宣布除了以往的手机短信、声讯电话外，粉丝还可以用Q币投票。

Q币是一种在腾讯网站统一支付的虚拟货币（1Q币=1人民币），通过购买Q币卡，电话充值，银行卡充值等方式获得。Q币可购买腾讯一系列相关服务，比如购买靓号、QQ会员服务、QQ宠物等，还可以购买QQ游戏中的道具。

其实，Q币投票本是超女主办方的噱头，却意外带来了许多“麻烦”：粉丝们为了支持心爱的歌手，纷纷购买虚拟货币Q币，仅淘宝网一天的Q币交易就超过50万元。一位25岁的小伙子已成为淘宝网上的Q币大卖家，一个月仅靠卖Q币就能赚近4000元，而他的Q币是通过腾讯游戏倒卖装备或者赢取得到的，还可低价收购一些Q币。一位网络工作人员称，当时中小型论坛给版主的工资就是Q币，然后兑成人民币。

为了更自由更便捷地交易，人们不断创造着能替换真实货币的东西，二十多年前游戏机的游戏币红遍大街小巷。与Q币同时走红的是新浪U币、盛大元宝、网易POPO币等，“虚拟货币”已经在互联网这个虚拟世界里扮演上了“货币”的角色。

学者杨涛在2006年第7期的《法制与新闻》上发表文章称，根据《人民币管理条例》，人民币是我国法定货币，人民币在现实中是有数量限制的，而Q币等虚拟货币商家可无限发行，虚拟货币代替人民币成为网上交易的一般等价物，必会冲击我国的金融秩序，“泛滥后果不堪设想”。

实际上，虚拟货币并不是一个陌生的概念，而是一个诞生于10年前，逐渐壮大的货币家族。从其发展进程和属性来看，主要可以分为两种类型：一是在特定平台，特别是网络游戏平台、虚拟社区、电子商务网站封闭运行的货币。按其发行方或监管方规定，只能用于在所属平台买卖虚拟物品；二是已经具有更多传统货币属性，更接近传统货币的虚拟货币，如比特币、瑞波币等。此类虚拟货币借助互联网技术、电子商务的推动，已经延伸到传统货币体系以及实体经济领域。

每一种虚拟货币都有自己的运行机制，通过各方参与者形成一个庞大的生态系统。以比特币为例，其发行、支付，汇兑、交易，乃至衍生品等功能和业务，已经形成一个独特的、同时又与传统货币体系存在一定相似性的运行机制，走在了虚拟货币的最前沿。我们甚至还能看到虚拟货币身上已经有着传统货币的影子：价值尺度、流通手段、支付手段、贮藏手段、世界货币。

比特币的颠覆与重生，是人们对纸币失望的另类表现

2009年，比特币挟带着一场支付革命横空出世。根据比特币发明者中本聪的比特币“创世”论文《比特币：一种点对点的电子现金系统》，可以在一定程度上透视发明者的初衷：即通过建立一种全新的数字化货币体系，克服传统金融体系特别是铸币厂发行货币模式下的各种弊端，为人们带来更便捷、效率更高的交易和流通。

比特币生逢其时。随着信息科技的发展，纸币的使用受到局限。此外，在次贷危机和债务危机爆发的背景下，全球货币政策在2008年至2013年经历了三轮全局性宽松浪潮，货币的普遍、连续超发，也引发了世人对纸币清偿性的担忧。

在纸币的货币三性受到冲击的背景下，比特币的出现让人振奋。比特币最大的特征是“虚拟”，它不与任何现实有天然的关联，这使其具有屏蔽诸多现实烦恼的优势。它不与任何国家关联，因此具有超性，这让人们看到了完全规避纸币汇率无谓波动的希望；它不与任何发行方关联，且具有2100万单位的天然发行上限，增量发行也有成本递增的特点，这让人们看到了完全规避纸币超发风险的希望；它不与任何监管权威关联，这让一些人对其蕴藏的货币自由充满了向往。

很快，比特币从小范围的流通扩展到更具体的应用环境，你可以购买商铺和服务，可汇兑，进行跨境汇款，还能进行比特币本身的交易。此外，我们还能够看到，比特币生态系统在进化过程中有意无意地促进了多领域的创新，例如：采矿机制造商发扬创客精神，通过对运算能力的极致要求带动硬件创新；比特币交易平台在应对黑客一次次的攻击后，不断改善安全手段，无意中促进了互联网安全领域的发展；各种机构提供基于比特币的信用卡、ATM机、对冲基金等服务，不断推进比特币生态系统的壮大；在上述创新之上，最根本的创新在于：从金融体系的底层实现了与互联网的链接……

从2013年年初的80元人民币到巅峰时期的7395元人民币，仅仅用了9个月。之后，它的价格从7395元跌到2752元，也仅仅用了19天。2014年，经历了黑客攻击等负面事件后，各国政府对比特币的监管也开始从严，比特币就此沉寂。不过今年9月，比特币交易开始重新活跃。

继比特币被炒热之后，各种互联网“山寨币”出现的速度之快令人目不暇接，被大家所熟知的互联网货币就包括莱特币、万事达币、质数币、比奥币、瑞波币、新星币等数十种。这些互联网货币几乎都有着一套复杂的规则，夹杂着特有的计算机语言，如果不是计算机专业出身，或者深入研究过它们的鼻祖――比特币的话，很难在短时间内理解和接受这些所谓的“山寨币”。

比特币和山寨币的发明或许是一个偶然，但可以确定的是：虚拟货币的繁荣却是一个必然趋势。不管是中本聪还是其他发明者，他们研究出的特殊代码成为网上购物、外汇汇兑、货币交易的有效媒介。在流通与交易过程中，这种媒介自然而然地具有了传统货币的若干特征，甚至是某种意义上的“世界货币”。可以说，即使没有比特币，也会有其他类似虚拟货币吸引我们如此多的关注或使用。

黑客、政客、金融家：谁是未来货币系统的统治者？

如今，当你需要一本好书，可以登录亚马逊网站用Amazon Coins购买；当你看中了一件ZARA的裙子，上可以支持比特币支付；当你需要汇款给远在国外的陌生人，你可以通过Ripple而非传统的银行汇款来实现。虚拟货币现在已经渗透到了世界的每个角落。从《暗黑破坏神3》里的金币、Facebook积分到飞行常客里程数，都是虚拟货币的多种形式。

目前，虚拟货币中衍生出一类社交货币。比如Ripple，它是一个开源的虚拟货币支付系统，它的目标是构建一个去中心化的、准许任何人创建自家货币的虚拟货币系统，唯一需要的就是要有人愿意用流通货币换你的虚拟货币。

通俗点说，迄今任何形式的支付系统都需要记账单位。比如全球最大的支付平台PayPal用美元，而中国支付宝用人民币。你能想像支付宝和Paypal互相支付这样的情景吗？Ripple可以做到这一点。

人们普遍相信，互联网会颠覆金融，就像它颠覆新闻、音乐和零售那样。但是从目前来看，互联网技术本身只会使交易过程变得高效、便捷，比如金融垂直搜索、移动支付、P2P借贷等，并没有真正革了金融的命。

然而，作为金融权力结构中最核心的一块，货币发行是否会遭遇互联网货币的撼动呢？在如今“汹涌来袭”的互联网货币中，谁将独领？随着互联网金融监管的趋严，互联网货币的命运又将如何？

或许眼下我们没有明确的答案，但可以预见的是，在互联网的技术和思想的有力支撑下，层出不穷的互联网货币形态已经在影响着人们的生活、交流，以及支付方式。人们开始猜测未来是否存在这样一种可能：虚拟货币最终取代由政府发行的美元、欧元等实际货币。

身为虚拟经济领域的前瞻者，英国经济学家爱德华・卡斯特罗诺瓦认为虚拟货币为经济、社交和商业活动提供了简便的解决方案，并创造性地提出下一代支付系统将是数字价值转移系统。他清楚解释：货币未来的发展仰赖虚拟世界与电玩，而非传统的金融机构与政府。

如今再反观“掌握了美元，就掌握了世界”的说法，它既彰显着全球储备货币（不论是美元还是英镑、欧元）的巨大威力，同时也向我们展现出货币发行者、金融家这些站在背后的强大力量。不管是曾经的罗斯柴尔德家族，还是后来的摩根家族、洛克菲勒家族，我们从他们身上能够看到金融家与政客的如影随形，以及他们对世界经济与政治的无形掌控。

篇(6)

论文关键词：信息安全；保护

信息安全包括以下内容：真实性，保证信息的来源真实可靠；机密性，信息即使被截获也无法理解其内容；完整性，信息的内容不会被篡改或破坏；可用性，能够按照用户需要提供可用信息；可控性，对信息的传播及内容具有控制能力；不可抵赖性，用户对其行为不能进行否认；可审查性，对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比，基于网络的信息安全有一些新的特点：信息安全威胁主要来源于自然灾害、意外事故；计算机犯罪；人为错误，比如使用不当，安全意识差等；“黑客”行为；内部泄密；外部泄密；信息丢失；电子谍报，比如信息流量分析、信息窃取等；信息战；网络协议自身缺陷，等等。

1我国信息安全的现状

近年来，随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素，我国在信息安全管理上的进展是迅速的。但是，由于我国的信息化建设起步较晚，相关体系不完善，法律法规不健全等诸多因素，我国的信息化仍然存在不安全问题。

①网络安全的防护能力较弱。我国的信息化建设发展迅速，各个企业纷纷设立自己的网站，特别是“政府上网工程”全面启动后，各级政府已陆续设立了自己的网站，但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备，整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称，在网络黑客攻击的国家中，中国是最大的受害国。

②对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制，很多单位和部门直接引进国外的信息设备，并不对其进行必要的监测和改造，从而给他人入侵系统或监听信息等非法操作提供了可乘之机。

③我国基础信息产业薄弱，核心技术严重依赖国外，缺乏自主创新产品，尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外，这使我国的网络安全性能大大减弱，被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术，我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极脆弱的状态。

除此之外，我国目前信息技术领域的不安全局面，也与西方发达国家对我国的技术输出进行控制有关。

2我国信息安全保护的策略

针对我国信息安全存在的问题，要实现信息安全不但要靠先进的技术，还要有严格的法律法规和信息安全教育。

①加强全民信息安全教育，提高警惕性。从小做起，从己做起，有效利用各种信息安全防护设备，保证个人的信息安全，提高整个系统的安全防护能力，从而促进整个系统的信息安全。

②发展有自主知识产权的信息安全产业，加大信息产业投入。增强自主创新意识，加大核心技术的研发，尤其是信息安全产品，减小对国外产品的依赖程度。

③创造良好的信息化安全支撑环境。完善我国信息安全的法规体系，制定相关的法律法规，例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等，加大对网络犯罪和信息犯罪的打击力度，对其进行严厉的惩处。

篇(7)

关键词:防火墙;双机;状态检测;VRRP

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10454-03

随着互联网以及现代通讯技术的发展,以及用户对服务品质的需求,高可用性网络已经越来越成为Internet组网设计的目标。因网络中断给用户带来的损失以及潜在损失已经十分巨大,有研究表明,网络停运带来的损失已经高达几百万美元/每小时,而由此带来的隐性损失则更是难以估量。

在防火墙的可靠性试验之前,先了解目前防火墙的技术以及该技术特点对防火墙可靠性的影响,目前各类型的防火墙从其实现原理上来说基于以下三大类:

1) 基于逐包转发过滤的包过滤;

2) 通过检测会话状态基于会话流的状态;

3) 基于应用方式的全。

这三种防火墙技术的优缺点不作详细讨论,对于第一种逐包转发过滤的包过滤防火墙因为其不能很好的区分和保护不同的区域,在运行内部网络访问外部网络的同时也提供了外部网络访问内部网络的安全漏洞,因此这种防火墙技术在近年来属于逐步被淘汰的技术,但是就可靠性而言,因为该技术采用逐包转发过滤,对会话流的来回路径不敏感,因此在不做Nat的时候,其冗余设备的备份可以做到平滑过渡,不过在启动了Nat功能的情况下,由于不同的设备很难做到对同一会话进行相同的地址转换,导致包过滤防火墙在Nat的应用中也出现问题。

对于基于应用方式的全防火墙,由于其隔离了与外部网络和内部网络的连接,它能给内部网络提供很好的保护,但是他的优点同时也是最大的缺点,由于采用的是应用的方式,对于应用程序而言就不透明了,需要应用程序为这种连接进行适配;并且由于采用了全方式,其处理的性能要明显低于其它两种类型的防火墙。就可靠性而言,要做到双机热备的话,不仅要求会话的来回路径一致,而且因为它是全,这要求每一个报文都需要适时地备份到备机上去,这种特性使得全方式的防火墙的双机热备实现起来很困难,在实际应用中也很少见这种防火墙的备份方案。

下面我们将通过两组实验讨论基于会话流的状态防火墙的可靠性问题,所谓状态防火墙是指用户通过防火墙访问外部网络时,会在防火墙上创建一个会话表项(该会话表项通常情况下会包含该会话的五元组信息――源/目的IP地址、源/目的端口、协议类型),这样从外面回应的报文如果能匹配该五元组就能顺利通过防火墙到达用户,而从外面主动发起的会话请求因为不能匹配任何会话表项,而被ACL规则过滤掉。这样就可以提供给用户不同级别的保护,从而有效地保护用户的内部网络。目前大部分防火墙产品都是属于这种技术的防火墙。由于这种基于会话流的防火墙要求每个会话的来回路径一致,因此在做双机热备的时候对组网有特殊的要求,以下将通过实验了解防火墙可靠性技术,以及实验过程中出现的问题并提出的解决方案。

1 防火墙双机试验组网及配置

单组防火墙双机可靠性实验中采用设备有TOPsec NGFW4000 、JUNIPER SSG 520、 H3C Secblade III、H3C 9500系列及华为Quidway 6500系列交换机, sinfor互联网安全控制产品。根据可靠性要求将网络安全设备和交换设备进行如下组网设计和部署,通过实验测试防火墙HA情况下不同安全区域的数据过滤及交换情况以及在该种模式和网络结构中存在的故障现象。

首先我们做单组防火墙双机的实验,其网络结构如图1所示。

该结构使用H3C系列高端网络及安全设备组网,适用于大中型企业核心网络安全控制区域的网络拓扑结构。通过这种网络结构的部署可以有效的防御外部网络及企业内部网络对重要服务器的安全攻击、漏洞扫描、木马入侵等等,进而有效地对企业的研发、生产、商业、财务等机密数据进行保护和可控授权访问。本实验中将主要针对这种结构下所使用设备部署完成后出现的故障进行分析和讨论。

单组防火墙双机实验采用H3C9512高端交换作为企业的核心交换,H3C9508作为企业应用服务器区域的核心交换。在4台9500系列的交换上分别配置万兆光纤交换单板,在9508上加H3C的SecBlade III防火墙业务单板,防火墙单板通过9508内置的万兆接口与9508互连。两台9500系列交换通过万兆光纤接口卡进行交叉互连,设备互连接口地址均使用30位掩码。9508交换作为二层交换使用,服务器区域的三层网关地址全部配置在SecBlade防火墙与9508互连的万兆接口的逻辑子接口上,并且这些VLAN都配置为VRRP模式,可根据需要将其中一台防火墙或者其中一部分VLAN配置为master vlan,另外一台或者另外一部分VLAN配置为slaver vlan。在防火墙和9512上都启用ospf协议,将互连及三层VLAN地址段到ospf中。因该防火墙可将不同的VLAN划分在不同的安全区域内,所以我们在防火墙上配置3个不同的安全域,并将配置好的逻辑子接口划分到不同的安全域中,这样就形成了不同的安全区域,安全区域的默认访问规则为单向,也就是高优先级区域默认可访问低优先级区域。然后在9508上增加与防火墙三层接口相同的VLAN,在将千兆物理接口添加到不同安全区域级别的VLAN中。最后启用防火墙的双机热备功能,并选择防火墙业务板上的一个接口作为心跳接口,服务器(unix系统,需要双网卡)通过EtherChannel IEEE802.3ad配置成网卡冷备的模式,为了能模拟出各种情况,我们特意将server1的主网卡放在9508-A上,将server2的主网卡放在9508-B上。为避免因静态路由带来的不能检测设备故障的情况,该组网采用了动态路由协议,在防火墙和交换上都启用ospf协议。

串联多组防火墙双机试验设备采用了Juniper及Topsec防火墙、H3c9512交换机、深信服行为控制设备、Radware的LinkProof链路负载均衡及2条不同ISP互联网线路。这些设备都是我们选用的支持双机的网络及安全设备进行串联,进行Intranet和internet互访、Intranet与DMZ、Internet与DMZ区域之间数据通讯测试。由于实验1已经介绍了单组防火墙双机的实验情形,故这里只介绍军事化区域至互联网区域数据通讯的实验情况,该实验的网络拓扑结构如图2所示。

该网络结构使用双重防火墙及上网行为控制设备对企业军事化区域和互联网区域进行了严格的数据过滤和行为控制,是企业军事化区域、半军事化区域及互联网区域之间数据互访受控的一种常用网络结构,适用于大中型企业对内外部数据交换须进行严格控制、审计、授权访问等操作,或网络运营服务商对外部用户提供高可靠和安全性互联网服务在互联网出口部分至企业核心交换层的网络部署。通过本网络可以有效对内外部上至应用层下至物理层数据的交换有效的控制、阻断、审计。

同样先简单介绍该组网拓扑结构及设备配置的基本信息。我们同样使用9512作为核心交换,双机之间通过TRUNK接口互联,上行与SSG520防火墙相连的接口配置VRRP与其互联。SSG通过厂商的NSRP协议配置HA,并将其配置为桥接路由模式。SINFOR设备通过串口心跳配置好HA,并将其配置为透明桥接模式。Topsec防火墙通过CISCO 的HSRP和浮动静态路由技术来配置冗余备份双机结构,并将其配置为NAT模式。负载设备LinkProof采用标准VRRP配置为冗余双机(由于本次实验设备限制,只做单机)。为防止动态路由的动荡引起链路路由切换,两组防火墙的路由都采用静态路由的方式进行配置。

2 防火墙双机试验故障现象

对于实验1我们做如下的数据访问测试:在9512A上和9512B上分别做一个用户VLAN并接入两台pc,两台服务器(可使用普通pc代替)分别接入到9508上的,使用同一个网段的地址。我们通过pc使用ICMP包对pc至server端的链路进行检测,从pc1和pc2分别发至server1和server2的检测包结果显示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包则出现丢包或者不通的现象。查看路由得知pc至server 都有三条下一跳路由,跟踪路由发现pc1跟踪server2的路由到SecBlade-A后出现中断,pc2至server1的路由到SecBladeB出现中断。之后我们将交叉链路去除后再次做上面同样的测试发现故障依旧,根据路由情况得知基于会话状态的防火墙在特殊的网络结构中存在来回路径不一致而导致的中断现象发生。

对于实验2做了如下数据访问测试:首先现在没有任何设备、接口、线路故障的情况下,三组双机设备都是主机在工作的,此时PC至互联网server的访问数据会通过所有双机的主设备;我们手动的将SSG520主机的外网接口shutdown后会自动切换到备机工作,sinfor发现与其lan口相连的接口down了也会自动的切换到备机, topsec主机发现与其互联的sinfor主机故障切换了,topsec主机也会切换到备机工作,这种情况并未发生中断现象。但当我们将刚才shutdown的接口还原时,我们发现此时出现的故障情况为PC至server的数据会出现中断现象。将SSG520手动down的接口还原后的情况发现三组冗余双机设备开始在不断的进行主备的切换,无法达到一致状态。这时情况是三组双机因为切换的时间和检测的故障的。根据各种设备切故障检测和切换机制分析得知:目前大部分的冗余双机故障检测基本上为互联接口物理up/down和IP跟踪两种检测方式,由于各不同厂商设备主备切换的时间存在差异,导致其他两组设备切换却得不到一致和同步切换的效果,而在故障检测中增加IP跟踪的检测机制只能对存在接口地址的双机设备有效,而在设备互连接口不存在IP地址作为透明模式使用时依然无法进行更有效的补充,这种情况下三组设备很难达到同步切换的状态,因此导致故障现象的发生。

3 试验故障分析及解决方案

针对以上三组实验的故障情况我们分别作了简单的分析并给出了不同的解决方案。对于实验1中防火墙可靠性实验中,出现的故障情况后对PC至server的路由分别进行了跟踪和分析。本次的整个网络结构中全部使用ospf协议,并将路由都在AREA0区中。根据我国有关部门的提出的规范在默认不改变各条路由开销(cost)值的情况下,所有设备直连的路由开销值都相同,在两台防火墙上都了10.10.10.0/24的路由信息,因而在9512A和9512B上到这两个网段的路由是通过ospf分别从SecBladeA和SecBladeB上的路由表中学到的,这样从pc1至server2的路由就会从secblade-A走,而server2至pc1的路由则会从secblade-B走,这是就出现了来回的路径不一致,同理pc2与server1的互访路径也会出项这种情况。针对实验中因会话来回路由不一致所遇到的问题,就此故障现象,我们可将9512与防火墙之间的交叉链路去除,并更改各条链路的cost值,保证其来回的路径在一条路由上。这种情况下当其中一台交换或者防火墙出现故障后可通过VRRP保证master和slaver vlan之间切换,从而使PC至server的数据不会出现中断现象,这种改造的弊端在于不能做到双机负载也就是双A状态的运行模式。因此另一种解决方案将SecBlade 防火墙的会话通过心跳进行同步,保证主防火墙和备防火墙实时的去同步授权允许的会话列表,这样一来,既解决了会话流来回路径不一致的现象,同时也将该组网结构中的两台防火墙形成了双A状态,分担了负载。特别说明该实验中根据设备的特性使用心跳线来代替实验1中的防火墙的三层互联即可。

对于在第二个实验中出现的故障现象,由于现网中使用的各厂商设备的故障检测机制的不一致性,如要统一算法需要将研究制定统一的故障检测方法和切换机制。因此分析了实际情况后,我们可根据故障现象和原因对网络结构进行整改和优化后解决做实验2中一组冗余双机出现主备切换时导致网络中断的问题。我们可在该网络结构中增加一组交换,在该组交换上分别配置两个Vlan,我们这里配置Vlan100和Vlan200,然后将Sinfor的wan口和Topsec的Intratnat接口直接接在新增交换机的两个接口上,并把这两个接口配置到Vlan200中,同样将Sinfor的lan口和SSG520的Internet接口也接入到与这台交换机上的两个接口上,并将这两个接口配置到Vlan100中。另外一组设备以同样的连接和配置方式与另外一台交换机互联。两台交换机通过TRUNK口互联并允许Vlan 100和Vlan 200 通过。其实这里新增加的两台交换是用作半军事化区域的核心交换使用的,这样内网与外网同时可以接入到这两台交换上,可以节省硬件资源。我们在进行同样的实验,将三组冗余设备在任何一组设备中任何一个模拟故障现象都不会导致其它两组设备的主备切换,即使我们设备的故障检测是包含Track IP的方式也不会导致另外三组冗余设备的因存在故障切换时间的差异而造成网络中断的现象发生。即各种故障或者切换都不会导致PC至server链路的中断。具体的网络整改拓扑图如图3所示。

从实验3的网络拓扑中可以清楚的看到,无论三组设备的故障切换是否能够同步进行,PC至server的链路都会有一条通畅的路存在。这是本实验中解决故障问题的较实用的方案。对于该实验中存在的故障原因还存在另外一种解决方案,但有待于研究讨论及权威机构的统一和制定,研究和制定出一套通用的双机故障检测及切换算法或者制定一种新的双机故障同步切换通讯协议类型。使该算法或协议能够支持端口检测、会话同步、IP跟踪等多种故障检测机制和统一的切换算法,使双机设备都能通过该算法或协议在各种不同的故障情形下进行快速有效统一地故障同步切换也是解决该问题的重要方法,也是统一网络设备冗余双机故障检测及切换机制的研究方向。目前huawei研究的VGMP和HRP协议已经将huawei的防火墙进行了较好的状态一致检测和会话同步的管理。

4 总结

在整个网络结构设计和实施过程中详细分析和说明了三组双机实验的网络结构在企业不同安全区域部署的目的、作用和效果,同时对在部署过程中出现的问题进行了分析和研究,在网络结构的基础上给出问题解决方案,并对其进行网络改造和优化,用来满足用户信息安全的需求和目的。第一组实验部署在企业的核心数据受控区域,为严格控制各应用服务器之间以及用户与服务器之间的数据访问,采用可自定义多区域的防火墙能够很好的实现企业对不同敏感数据的安全控制需求。但在基于会话状态的理想全冗余交叉的网络连接中存在的来回路径不一致的故障情形,因此解决方案为将主备防火墙置于双A的工作状态,并将全部的会话状态进行较好的同步,这样不仅解决了路由不一致的问题,也使主备设备都得到了充分的利用,减轻和降低了单设备的负载和单点故障引起切换带来的业务中断。第二组实验部署在企业互联网出口的网络结构中,将军事化、半军事化及非军事化控制区域的数据进行了严格的区域控划分和数据控制,并通过行为控制审计设备严格地对军事化区域数据交换进行控制、审计及记录。安全与性能本来存在对立的一面,因此实验二虽然在给企业的信息安全带来高可靠的保障和受控手段,但同时这种高安全的网络结构势必会对企业网络性能造成一定的负面影响,企业可根据实际情况选择网络安全的程度。实验二中针对该实验中由于故障引起的双机设备主备切换不一致导致链路中断的现象进行了网络结构改造后形成了实验三的网络拓扑结构,实验三的网络结构不仅解决了实验二切换的故障问题,同时也将多组双机网络结构的故障率降为最低,设备切换带来的业务中断时间降为最少。实验三的网络拓扑方案适用于目前多数企业的互联网出口结构。本文为企业网络架构的设计及安全部署,网络故障处理提供了一定的实践依据和说明。

本文通过三组实验的网络拓扑结构的设计实现、故障测试分析及解决,对几款目前国内较流行的状态防火墙和安全设备的双机基本配置、工作模式、安全防范、故障检测切换机制都有了基本的了解和认识,并给企业用户在企业安全区域网络拓扑结构的设计方面提供了较好的理论应用和实践基础。在故障测试过程中通过对故障分析和处理,提出的解决方案和处理思想对企业安全网络的合理设计提供的实践证明,也为功能全面防火墙的设计和实现提供了重要的研究方向和思想依据。

参考文献:

[1] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.

[2] 胡道元,阂京华.网络安全[M].北京:清华大学出版社,2004:22-26

[3] 柯宏力.Intranet信息网络技术与企业信息化[M].北京:北京邮电学院出版社,2000,24-32,71-82,150-176.

[4] 林晓东,杨义先.网络防火墙技术[J].电信科学,1997,13(3):41-43.

[5] 雷震甲,马建峰.Internet安全和防火墙技术安全体系结构[J].通信保密,1998(2).

[6] 刘晓辉.网管从业宝典――交换机路・由器・防火墙.重庆:重庆大学出版社, 2008-5-9,81-86, 117-185,270-275,371-400.

[7] 吴昕,李之棠.并行防火墙研究[J].计算机工程与科学,2000,22(2):54-57.

[8] 林晓东,杨义先.网络防火墙技术[J].电信科学,1997,13(3):41-43.

[9] 张云鹏.网络安全与防护技术的研究及应用[D].中国优秀博硕士学位论文全文数据库,2006(6).