網路安全課程有哪些研究的創新點

Ⅰ 求網路安全方面的研究課題，要有創新點子的~~

要零基礎的人來做一個課題，很難。像人做了若干年的網路也沒法開啟別人的未曾觸及的安全「新」點子（領域）。大家都是踩在別人肩膀上做事，看著別人的說明書來亦步亦趨。真正的「新」是很難的。

所以，將某個網路安全的基本概念當作研究項目並且能夠將它深入原理、操作方法、常見問題系統化、理論化的表達出來，對初學者來說已經是一個艱巨的項目，做出來了是了不起的成果。對於其它人來說，你的成果絕對是「新」成果。

講了這么多，舉個例。網路中的文件共享，是再平常不過的的事情，我想你初學網路的應當會第一時間接觸它吧。如此平常的事情，但你了解它的實質嗎？你能回答下面的問題嗎？

1. 連接是如何驗證、建立的？
2. 它在區域網或廣域網有何不同？
3. 它在集中驗證環境（域環境）與獨立工作組機器有何不同？
4. 用於文件共享的數據包是何種格式？
5. 它在網路中的帶寬佔用及對網路的性能影響？
6. 它在WINDOWS環境及LINUX環境如何實現？混合環境呢？
7. 它與WINDOWS/CISCO或第三方的防火牆的關系是什麼？
8. 它有哪些安全隱患或因素？
9. 哪些病毒利用了它如何利用它以及對策？
10. 對它的安全建議及方案是如何？

這個項目夠你研究吧？我相信BAIDU或GOOGLE上沒有任何一篇文章能回答上面的所有問題。還想要更多嗎？隨便說幾個，都夠你大半輩子研究，不說也罷。
，

Ⅱ 網路信息安全需要科技創新

交通安全順口溜：
（1）交通安全很重要，交通規則要牢記，從小養成好習慣，不在路上玩游戲。
（2）行走應走人行道，沒有行道往右靠，天橋地道橫行道，橫穿馬路離不了。
（3）一慢二看三通過，莫與車輛去搶道。騎車更要守規則，不能心急闖紅燈（4）乘車安全要注意，遵守秩序要排隊；手頭不能伸窗外，扶緊把手莫忘記。

交通安全宣傳警句：
行萬里平安路做百年長樂人
但願人長久千里路暢通
人生美好步步小心
路無規不暢國無法不寧
狹路相逢「讓」者勝
處罰違章不留情 看似無情最深情
愛妻愛子愛家庭 無視交規等於零
亂穿馬路 失道無助
超載超速 危機四伏
酒後駕車 拿命賭博
一秒鍾車禍 一輩子痛苦
遵守交規 儲蓄安全
禮讓禮讓 人車無恙
高速公路 行駛適速
心無交規 路有坎坷
遵守交通法規 關愛生命旅程
實線虛線斑馬線 都是生命安全線
路為國脈 法系民魂
出了車禍速報警 救死扶傷見真情
心頭常亮紅綠燈 安全行駛伴人生
生命只有一次 平安伴君一生
禮讓三先 路暢民安
寧繞百步遠 不搶一步險
千里之行 慎於足下
謹慎駕駛千趟少 大意行車一回多
一人出車全家念 一人平安全家福
人病不上車 車病不上路
同為行車人 相見禮為先
雖為坦途 超速者戒 縱有捷徑 亂穿者止
居安思危危自小 有備無患患可除
違章超載 得不償失
減速慢行勿爭先 關照生命到永遠
國法如山 逃逸必捉
三雙筷子三隻碗 愛妻嬌兒盼團圓
違章觀念強 安全系數大
十次肇事九次快 摩托車族當自愛
醉（罪）在酒中 毀（悔）在杯中
酒後駕車 生命打折
有酒即無舵 早晚要闖禍
大路朝天 請走右邊
道路連著你和他安全系著千萬家
禍起瞬間 防患未然
守交規迎春夏秋冬福保安全納東西南北財
交規學記用 安全你我他
護欄保安全 翻越最危險
安全在你腳下生命在你手中
亂竄馬路 游戲人生
逞一時之勇 得一世之悔
安全與生命一線索幸福和安全兩相連
綳緊安全琴弦奏響生命旋律
走過春夏秋冬安全永駐心中
禮讓三先 天長地寬
步步小心 平安是金
遵守交規 善待生命
交通安全進萬家出入平安你我他
母念妻等嬌兒盼願君平安把家還
頭腦綳緊安全弦行車繫上安全帶
警惕安全在 麻痹事故來
珍惜生命 遵章出行
一絲不苟保安全半分疏忽生禍端
違章鑄成終身悔守規伴你一世安
車輛超載一噸危險增加十分
支線讓干線 搶行起禍端
停讓躲慢要果斷猶豫不決出禍端
大哥大方向盤同時使用最危險
雨雪霧 限車速
快車樂一時 禍起痛一生
夜間會車要謹慎遠光近光有分寸
心靜車行 心亂車停
大意與事故掛鉤小心與平安交友
飛速行車樂一時一朝落馬毀終生
關愛孩子 從起步開始
居安思危 莫忘交規
大意招禍 小心得安
車行高速路 注意限車速
維護交通安全關愛生命久遠
十字路口易闖禍一慢二看三通過
開違章車 流事故淚
找點空閑找點時間交通法規經常看看
賭，敗家的源頭酒，肇事的禍首
遵章路上走 安全伴你行
千里之行始於足下交通安全從我做起
駕車遵章行 愛拼不會贏
安全最佳效應平安共同心聲
生命無返程 切莫逆向行
莫道行車易 違章難平安
心中交規嚴 眼前路自寬
拒酒千里外 安全萬里行
交規腦後 事故眼前
肇事莫逃逸 逃逸違天理
讓道於人 安全於己
醉人駕車 易成罪人
車行萬里路 走好每一步
禮讓平安行 沖撞禍根生
遵守交通法規平安與你同在
相會有緣 相讓有禮
車禍猛如虎 安全勝萬金
紅燈短暫 生命無限
金玉有值 生命無價遵守交規平安一生

安全行車十五想：
出車之前想一想，檢查車況要周詳；
馬達一響想一想，集中精力別亂想；
起步之前想一想，觀察清楚再前往；
自行車前想一想，中速行駛莫著忙；
要過道口想一想，莫闖紅燈勤瞭望；
遇到障礙想一想，提前處理別驚慌；
轉彎之前想一想，需防左右有車輛；
會車之前想一想，先慢後停多禮讓；
超車之前想一想，沒有把握別勉強；
倒車之前想一想，注意行人和路障；
夜間行車想一想，儀表車燈亮不亮；
通過城鎮想一想，減速鳴號切莫望；
雨霧天氣想一想，防滑要把車速降；
長途行車想一想，勞逸結合放心上；
停車之前想一想，選擇地點要適當。

Ⅲ 網路故障研究究竟有什麼創新點呢

1.故障現象：網路適配器（網卡）設置與計算機資源有沖突。 分析、排除：通過調整網卡資源中的IRQ和I/O值來避開與計算機其它資源的沖突。有些情況還需要通過設置主板的跳線來調整與其它資源的沖突。 2.故障現象：網吧區域網中其他客戶機在「網上鄰居」上都能互相看見，而只有某一台計算機誰也看不見它，它也看不見別的計算機。（前提：該網吧的區域網是通過HUB或交換機連接成星型網路結構） 分析、排除：檢查這台計算機系統工作是否正常；檢查這台計算機的網路配置；檢查這台計算機的網卡是否正常工作；檢查這台計算機上的網卡設置與其他資源是否有沖突；檢查網線是否斷開；檢查網線接頭接觸是否正常。 3.故障現象：網吧區域網中有兩個網段，其中一個網網段的所有計算機都不能上網際網路。（前提：該網吧的區域網通過兩個HUB或交換機連接著兩個的網段） 分析、排除：兩個網段的干線斷了或干線兩端的接頭接處不良。檢查伺服器中對該網段的設置項。 4.故障現象：網吧區域網中所有的計算機在「網上鄰居」上都能互相看不見。（前提：該網吧的區域網是通過HUB或交換機連接成星型網路結構） 分析、排除：檢查HUB或交換機工作是否正常。 5.故障現象：網吧區域網中某台客戶機在「網上鄰居」上都能看到伺服器，但就是不能上網際網路。（前提：伺服器指代理網吧區域網其他客機上網際網路的那台計算機，以下同） 分析、排除：檢查這台客戶機TCP/IP協議的設置，檢查這台客戶機中IE瀏覽器的設置，檢查伺服器中有關對這台客戶機的設置項。 6.故障現象：網吧整個區域網上的所有的計算機都不能上網際網路。 分析、排除：伺服器系統工作是否正常；伺服器是否掉線了；數據機工作是否正常；局端工作是否正常。 7.故障現象：網吧區域網中除了伺服器能上網其他客戶機都不能上網。 分析、排除：檢查HUB或交換機工作是否正常；檢查伺服器與HUB或交換機連接的網路部分（含：網卡、網線、接頭、網路配置）工作是否正常；檢查伺服器上代理上網的軟體是否正常啟動運行；設置是否正常。 8.故障現象：進行撥號上網操作時，MODEN沒有撥號聲音，始終連接不上網際網路，MODEN上指示燈也不閃。 分析、排除：電話線路是否占線；接MODEN的伺服器的連接（含：連線、接頭）是否正常；電話線路是否正常，有無雜音干擾；撥號網路配置是否正確；MODEN的配置設置是否正確，檢查撥號音的音頻或脈沖方式是否正常。 9.故障現象：系統檢測不到MODEN（若MODEN是正常的）。 分析、排除：重新安裝一遍MODEN，注意通訊埠的正確位置。 10.故障現象：連接網際網路速度過慢。 分析、排除：檢查伺服器系統設置在「撥號網路」中的埠連接速度是否是設置的最大值；線路是否正常；可通過優化MODEN的設置來提高連接的速度；通過修改注冊表也可以提高上網速度；同時上網的客戶機是否很多；若是很多，而使連接速度過慢是正常現象。 11.故障現象：計算機屏幕上出現「錯誤678」或「錯誤650」的提示框。 分析、排除：一般是你所撥叫的伺服器線路較忙、占線，暫時無法接通，你可進一會後繼續重撥。 12.故障現象：計算機屏幕上出現「錯誤680：沒有撥號音。請檢測數據機是否正確連到電話線。」或者「There is no dialtone. Make sure your Modem is connected to the phone line properly.」的提示框。 分析、排除：檢測數據機工作是否正常，是否開啟；檢查電話線路是否正常，是否正確接入數據機，接頭有無松動。 13.故障現象：計算機屏幕上出現「The Modem is being used by another Dial-up Networding connection or another program.Disconnect the other connection or close the program，and then try again」 的提示框。 分析、排除：檢查是否有另一個程序在使用數據機；檢查數據機與埠是否有沖突。 14.故障現象：計算機屏幕上出現「The computer you are dialing into is not answering.Try again later」的提示框。 分析、排除：電話系統故障或線路忙，過一會兒再撥。 15.故障現象：計算機屏幕上出現「Connection to xx.xx.xx. was terminated. Do you want to reconnect？」 的提示框。 分析、排除：電話線路中斷使撥號連接軟體與ISP主機的連接被中斷，過一會重試。 16.故障現象：計算機屏幕上出現「The computer is not receiving a response from the Modem. Check that the Modem is plugged in，and if necessary，turn the Modem off ，and then turn it back on」 的提示框。 分析、排除：檢查數據機的電源是否打開；檢查與數據機連接的線纜是否正確的連接。 17.故障現象：計算機屏幕上出現「Modem is not responding」 的提示框。 分析、排除：表示數據機沒有應答；檢查數據機的電源是否打開；檢查與數據機連接的線纜是否正確連接；數據機是損壞。 18.故障現象：計算機屏幕上出現「NO CARRIER」 的提示信息。 分析、排除：表示無載波信號。這多為非正常關閉數據機應用程序或電話線路故障；檢查與數據機連接的線纜是否正確的連接；檢查數據機的電源是否打開。 19.故障現象：計算機屏幕上出現「No dialtone」 的提示框。 分析、排除：表示無撥號聲音；檢查電話線與數據機是否正確連接。 20.故障現象：計算機屏幕上出現「Disconnected」 的提示時。 分析、排除：表示終止連接；若該提示是在撥號時出現，檢查數據機的電源是否打開；若該提示是使用過程中出現，檢查電話是否在被人使用。

Ⅳ 信息安全技術的創新點

隨著互聯網應用的快速發展，信息安全已深入到諸多領域，越來越多的企業用戶和個人用戶開始沉下心來，認真思考著一個問題：當各種各樣針對應用的安全威脅來臨之時，如何在日益增長並更為復雜的各種應用中有效地進行自我保護，如何將思路創新、技術創新的破冰之計與信息安全更好地融合在一起，守好自己的那一方陣地？
要有效保證信息安全，其中之一就是要做好數據搶救措施，如加入數據恢復、數據備份、數據銷毀等信息安全防禦措施。常用的數據恢復技術包括效率源Data Compass數據指南針、HD Doctor、DCK硬碟復制機等。
其實，從較為完整的經典網路安全防護模型--APPDRR中，可以看到網路安全需要的基本要素是：分析、安全策略、保護、檢測、響應和恢復，針對這六個基本要素，需要重點關注安全測試評估、安全存儲、主動實施防護模型與技術、網路安全事件監控、惡意代碼防範與應急響應、數據備份與可生存性六項技術，及衍生而來的可信計算平台技術和網路安全管理與UTM技術的創新點。
4月12日，在2007中國電子信息創新技術年會上，中國工程院院士、信息產業部互聯網應急處理協調辦公室主任方濱興，暢談了自己對這八項重點技術創新點的看法。
（一） 安全測試評估技術
安全是網路正常運行的前提。網路安全不單是單點的安全，而是整個信息網的安全，需要從多角度進行立體防護。要知道如何防護，就要清楚安全風險來源於何處，這就需要對網路安全進行風險分析。方濱興認為網路安全的風險分析，重點應該放在安全測試評估技術方面。它的戰略目標是：掌握網路與信息系統安全測試及風險評估技術，建立完整的面向等級保護的測評流程及風險評估體系。他談到，這一點和過去不一樣，過去進行測評沒有強調等級保護，就是按照以往測評的模式進行。而《國家信息化中長期科學與技術發展戰略規劃綱要》已經明確提出，網路安全測試要按照等級保護的原則進行，所以測評也需要服務於這一點。
那麼安全測評的主要創新點又是什麼？方院士認為：
首先，要建立適應等級保護和分級測評機制的通用信息系統與信息技術產品測評模型、方法和流程，要適應不同的級別就要有不同的測評方法，這里的分級要符合等級保護機制，重點放在通用產品方面，所謂通用產品就是要建成一個標準的流程，不能完全是一事一議，如此一來互相之間也才會有所比較；要建立統一的測評信息庫和知識庫，即測評要有統一的背景；制定相關的國家技術標准。
其次，要建立面向大規模網路與復雜信息系統安全風險分析的模型和方法；建立基於管理和技術的風險評估流程；制定定性和定量的測度指標體系。如果沒有這個指標體系，只能抽象地表述，對指導意見來講並沒有太多的實際意義。
（二）安全存儲系統技術
在安全策略方面，方院士認為重點需要放在安全存儲系統技術上。其戰略目標有兩點：一是要掌握海量數據的加密存儲和檢索技術，保障存儲數據的機密性和安全訪問能力。二是要掌握高可靠海量存儲技術，保障海量存儲系統中數據的可靠性。
關於安全存儲，方院士強調：
首先，採用海量（TB級）分布式數據存儲設備的高性能加密與存儲訪問方法，並建立數據自毀機理。他談到為海量信息進行高性能加密，雖然有加密解密的過程，但對訪問影響並不明顯。這其中不能忽視的是此舉對演算法的效率提出了很高的要求，應該加以注意。而且一旦數據出現被非授權訪問，應該產生數據自毀。
其次，採用海量（TB級）存儲器的高性能密文數據檢索手段。需要指出的是，加密的基本思路就是要把它無規則化，讓它根本看不到規則，這才是加密。而檢索就是要有規律，所以這里就要提出一個折中的方法，如何加密對檢索能夠盡可能的支持，同時又具備一定的安全強度。這就對密碼演算法和檢索都提出來了挑戰。
再次，構建基於冗餘的高可靠存儲系統的故障監測、透明切換與處理、數據一致性保護等方面的模型與實現手段。這里高可靠的關鍵的還是要依賴冗餘，一旦系統崩潰，還有冗餘信息。
最後，制定安全的數據組織方法；採用基於主動防禦的存儲安全技術。
（三）主動實時防護模型與技術
在現有的網路環境下，安全大戰愈演愈烈，防火牆、殺毒、入侵檢測老三樣等片面的安全防護應對方式已經越來越顯得力不從心，方院士認為這需要的不僅僅是片面的被動防護，而更要在防護的過程中強調主動實時防護模型與技術。
他認為主動防護的戰略目標應該是：掌握通過態勢感知，風險評估、安全檢測等手段對當前網路安全態勢進行判斷，並依據判斷結果實施網路主動防禦的主動安全防護體系的實現方法與技術。傳統的防護一般都是入侵檢測，發現問題後有所響應，但是越來越多的人更加關注主動防護，通過態勢判斷，進行系統的及時調整，提高自身的安全強度。通過感知，主動地做出決策，而不是事後亡羊補牢，事後做決策。
方院士在談到主動防護時說：一是建立網路與信息系統安全主動防護的新模型、新技術和新方法；建立基於態勢感知模型、風險模型的主動實時協同防護機制和方法。
二是建立網路與信息系統的安全運行特徵和惡意行為特徵的自動分析與提取方法；採用可組合與可變安全等級的安全防護技術。方院士進一步強調，不同的系統會有不同的需求，應該具備一定的提取能力，進而監控其特徵，通過監控判斷所出現的各種情況。另外，如果通過檢測發現惡意行為，應該對其特徵進行提取，提取的目的就是為了進一步監測，或在其他區域進行監測，檢查同樣的情況是否存在，如果存在，就要對這個態勢進行明確的分析，而這些都需要有自動的特徵提取。
（四）網路安全事件監控技術
監測是實現網路安全中不可或缺的重要一環，這其中要重點強調的是實施，即網路安全事件監控技術。
方院士認為實時監控的戰略目標是：掌握保障基礎信息網路與重要信息系統安全運行的能力，支持多網融合下的大規模安全事件的監控與分析技術，提高網路安全危機處置的能力。需要強調的是三網融合勢在必行，不同網的狀態下，要實現融合，這就對進行監測就提出了一定的要求，監測水平需要有所提升。

Ⅳ 網路安全專業學什麼 主要課程有哪些

網路安全專業學PKI技術、安全認證技術、安全掃描技術、防火牆原理與技術、入侵檢測技術、數據備份與災難恢復、資料庫安全、演算法設計與分析。

網路安全專業主要學什麼

第一部分，基礎篇，包括安全導論、安全法律法規、web安全與風險、攻防環境搭建、核心防禦機制、HTML&JS、PHP編程等。

第二部分，滲透測試，包括滲透測試概述、信息收集與社工技巧、滲透測試工具使用、協議滲透、web滲透、系統滲透、中間件滲透、內網滲透、滲透測試報告編寫、源碼審計工具使用、PHP代碼審計、web安全防禦等。

第三部分，等級保護，包括定級備案、差距評估、規劃設計、安全整改、等保測評等。

第四部分，風險評估，包括項目准備與氣動、資產識別、脆弱性識別、安全措施識別、資產分析、脆弱性分析、綜合風險分析、措施規劃、報告輸出、項目驗收等。

第五部分，安全巡檢，包括漏洞掃描、策略檢查、日誌審計、監控分析、行業巡檢、巡檢總體匯總報告等。

第六部分，應急響應，應急響應流程、實戰網路應急處理、實戰Windows應急處理、實戰Linux應急處理、實戰、Web站點應急處理、數據防泄露、實戰行業應急處理、應急響應報告等。

網路安全專業就業前景

網路空間安全是一個比較新的專業，是2015年開設的一級學科，但是由於部分高校在網路空間安全領域有較為系統的積累，所以對應專業的碩士研究生和博士研究生教育也從2017年開始陸續開設。從該專業的學科設置上來看，網路空間安全專業具有非常重要的地位，隨著社會信息化程度的不斷加深，未來網路空間安全專業的發展前景將非常廣闊。

網路空間安全畢業生能夠從事網路空間安全領域的科學研究、技術開發與運維、安全管理等方面的工作。其就業方向有政府部分的安全規范和安全管理，包括法律的制定；安全企業的安全產品的研發；一般企業的安全管理和安全防護；國與國之間的空間安全的協調。

Ⅵ 網路安全的研究范疇和涉及的主要側重點有哪些

網路安全的研究范疇
網路安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。

網路安全是網路系統的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。
網路安全從其本質上來講就是網路上的信息安全。從廣義來說，凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。
網路安全的具體含義會隨著「角度」的變化而變化。比如：從用戶（個人、企業等）的角度來說，他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護，避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱患。
網路安全由於不同的環境和應用而產生了不同的類型。主要有以下幾個主要側重點：
1、系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻，產生信息泄露，干擾他人或受他人干擾。
2、網路的安全
網路上系統信息的安全。包括用戶口令鑒別，用戶存取許可權控制，數據存取許可權、方式控制，安全審計。安全問題跟踩。計算機病毒防治，數據加密等。
3、信息傳播安全
網路上信息傳播安全，即信息傳播後果的安全，包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果，避免公用網路上大雲自由傳翰的信息失控。
4、信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏潤進行竊聽、冒充、詐編等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。

Ⅶ 網路安全的關鍵技術有哪些

一.虛擬網技術

虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換）。交換技術將傳統的基於廣播的區域網技術發展為面向連接的技術。因此，網管系統有能力限制區域網通訊的范圍而無需通過開銷很大的路由器。
由以上運行機制帶來的網路安全的好處是顯而易見的：信息態咐塵只到達應該到達的地點。因此、防止了大部分基於網路監聽的入侵手段。通過虛擬網設置的訪問控制，使在虛擬網外的網路節點不能直接訪問虛擬網內節點。但是，虛擬網技術也帶來了新的安全問題：
執行虛擬網交換的設備越來越復雜，從而成為被攻擊的對象。
基於網路廣播原理的入侵監控技術在高速交換網路內需要特殊的設置。
基於MAC的VLAN不能防止MAC欺騙攻擊。
乙太網從本質上基於廣播機制，但應用了交換器和VLAN技術後，實際上轉變為點到點通訊，除非設置了監聽口，信息交換也不會存在監聽和插入（改變）問題。
但是，採用基於MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基於交換機埠。但這要求整個網路桌面使用交換埠或每個交換埠所在的網段機器均屬於相同的VLAN。
網路層通訊可以跨越路由器，因此攻擊可以從遠方發起。IP協議族各廠家實現的不完善，因此，在網路層發現的安全漏洞相對更多，如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。

二.防火牆枝術

網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路帆禪進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.
防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理伺服器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.
雖然防火牆是保護網路免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟體或文件,以及無法防範數據驅動型的攻擊.
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火牆系統,提出了防火牆概念後,防火牆技術得到了飛速的發展.國內外已有數十家公司推出了功能各不相同的防火牆產品系列.
防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統如果答案是"是",則說明企業內部網還沒有在網路層採取相應的防範措施.
作為內部網路與外部公共網路之間的第一道屏障,防火牆是最先受到人們重視的網路安全產品之一.雖然從理論上看,防火牆處於網路安全的最底層,負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務.另外還有多種防火牆產品正朝著數據安全與用戶認證,防止病毒與黑客簡殲侵入等方向發展.
1、使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務，Firewall可以極大地提高網路安全和減少子網中主機的風險。
例如，Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運用於整個內部網路系統，而無須在內部網每台機器上分別設立安全策略。如在Firewall可以定義不同的認證方法，而不需在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過—次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Finger和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時，網路安全取決於每台主機的用戶。
2、 設置Firewall的要素
網路策略
影響Firewall系統設計、安裝和使用的網路策略可分為兩級，高級的網路策略定義允許和禁止的服務以及如何使用服務，低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網路訪問（如撥入策略、SLIP/PPP連接等）。
服務訪問策略必須是可行的和合理的。可行的策略必須在阻止己知的網路風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務；允許內部用戶訪問指定的Internet主機和服務。
Firewall設計策略
Firewall設計策略基於特定的firewall，定義完成服務訪問策略的規則。通常有兩種基本的設計策略：
允許任何服務除非被明確禁止；
禁止任何服務除非被明確允許。
通常採用第二種類型的設計策略。
3、 Firewall的基本分類
包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術.網路上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源埠和目標埠等.防火牆通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外.系統管理員也可以根據實際情況靈活制訂判斷規則.
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全.
但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源,目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆.
網路地址轉換(NAT)
是一種用於把IP地址轉換成臨時的,外部的,注冊的IP地址標准.它允許具有私有IP地址的內部網路訪問網際網路.它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址.
在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄.系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址.在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連接情況,而只是通過一個開放的IP地址和埠來請求訪問.OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求.網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可.
代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展.代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流.從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機.當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機.由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統.
代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
監測型監測型
防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義.監測型防火牆能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用.據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部.因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品
雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆.基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本.
實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由於這種產品是基於應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄.正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。
4、 建設Firewall的原則
分析安全和服務需求
以下問題有助於分析安全和服務需求：
√ 計劃使用哪些Internet服務(如http，ftp，gopher)，從何處使用Internet服務(本地網，撥號，遠程辦公室)。
√ 增加的需要，如加密或拔號接入支持。
√ 提供以上服務和訪問的風險。
√ 提供網路安全控制的同時，對系統應用服務犧牲的代價。
策略的靈活性
Internet相關的網路安全策略總的來說，應該保持一定的靈活性，主要有以下原因：
√ Internet自身發展非常快，機構可能需要不斷使用Internet提供的新服務開展業務。新的協議和服務大量涌現帶來新的安全問題，安全策略必須能反應和處理這些問題。
√ 機構面臨的風險並非是靜態的，機構職能轉變、網路設置改變都有可能改變風險。
遠程用戶認證策略
√ 遠程用戶不能通過放置於Firewall後的未經認證的Modem訪問系統。
√ PPP/SLIP連接必須通過Firewall認證。
√ 對遠程用戶進行認證方法培訓。
撥入/撥出策略
√ 撥入/撥出能力必須在設計Firewall時進行考慮和集成。
√ 外部撥入用戶必須通過Firewall的認證。
Information Server策略
√ 公共信息伺服器的安全必須集成到Firewall中。
√ 必須對公共信息伺服器進行嚴格的安全控制，否則將成為系統安全的缺口。
√ 為Information server定義折中的安全策略允許提供公共服務。
√ 對公共信息服務和商業信息(如email)講行安全策略區分。
Firewall系統的基本特徵
√ Firewall必須支持．「禁止任何服務除非被明確允許」的設計策略。
√ Firewall必須支持實際的安全政策，而非改變安全策略適應Firewall。
√ Firewall必須是靈活的，以適應新的服務和機構智能改變帶來的安全策略的改變。
√ Firewall必須支持增強的認證機制。
√ Firewall應該使用過濾技術以允許或拒絕對特定主機的訪問。
√ IP過濾描述語言應該靈活，界面友好，並支持源IP和目的IP，協議類型，源和目的TCP/UDP口，以及到達和離開界面。
√ Firewall應該為FTP、TELNET提供代理服務，以提供增強和集中的認證管理機制。如果提供其它的服務(如NNTP，http等)也必須通過代理伺服器。
√ Firewall應該支持集中的SMTP處理，減少內部網和遠程系統的直接連接。
√ Firewall應該支持對公共Information server的訪問，支持對公共Information server的保護，並且將Information server同內部網隔離。
√ Firewall可支持對撥號接入的集中管理和過濾。
√ Firewall應支持對交通、可疑活動的日誌記錄。
√ 如果Firewall需要通用的操作系統，必須保證使用的操作系統安裝了所有己知的安全漏洞Patch。
√ Firewall的設計應該是可理解和管理的。
√ Firewall依賴的操作系統應及時地升級以彌補安全漏洞。
5、選擇防火牆的要點
(1) 安全性：即是否通過了嚴格的入侵測試。
(2) 抗攻擊能力：對典型攻擊的防禦能力
(3) 性能：是否能夠提供足夠的網路吞吐能力
(4) 自我完備能力：自身的安全性，Fail-close
(5) 可管理能力：是否支持SNMP網管
(6) VPN支持
(7) 認證和加密特性
(8) 服務的類型和原理
(9)網路地址轉換能力

三.病毒防護技術

病毒歷來是信息系統安全的主要問題之一。由於網路的廣泛互聯，病毒的傳播途徑和速度大大加快。
我們將病毒的途徑分為：
(1 ) 通過FTP，電子郵件傳播。
(2) 通過軟盤、光碟、磁帶傳播。
(3) 通過Web游覽傳播，主要是惡意的Java控制項網站。
(4) 通過群件系統傳播。
病毒防護的主要技術如下：
(1) 阻止病毒的傳播。
在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。
(2) 檢查和清除病毒。
使用防病毒軟體檢查和清除病毒。
(3) 病毒資料庫的升級。
病毒資料庫應不斷更新，並下發到桌面系統。
(4) 在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體，禁止未經許可的控制項下載和安裝。

四.入侵檢測技術

利用防火牆技術，經過仔細的配置，通常能夠在內外網之間提供安全的網路保護，降低了網路安全風險。但是，僅僅使用防火牆、網路安全還遠遠不夠：
(1) 入侵者可尋找防火牆背後可能敞開的後門。
(2) 入侵者可能就在防火牆內。
(3) 由於性能的限制，防火焰通常不能提供實時的入侵檢測能力。
入侵檢測系統是近年出現的新型網路安全技術，目的是提供實時的入侵檢測及採取相應的防護手段，如記錄證據用於跟蹤和恢復、斷開網路連接等。
實時入侵檢測能力之所以重要首先它能夠對付來自內部網路的攻擊，其次它能夠縮短hacker入侵的時間。
入侵檢測系統可分為兩類：
√ 基於主機
√ 基於網路
基於主機的入侵檢測系統用於保護關鍵應用的伺服器，實時監視可疑的連接、系統日誌檢查，非法訪問的闖入等，並且提供對典型應用的監視如Web伺服器應用。
基於網路的入侵檢測系統用於實時監控網路關鍵路徑的信息，其基本模型如右圖示：
上述模型由四個部分組成：
(1) Passive protocol Analyzer網路數據包的協議分析器、將結果送給模式匹配部分並根據需要保存。
(2) Pattern-Matching Signature Analysis根據協議分析器的結果匹配入侵特徵，結果傳送給Countermeasure部分。
(3) countermeasure執行規定的動作。
(4) Storage保存分析結果及相關數據。
基於主機的安全監控系統具備如下特點：
(1) 精確，可以精確地判斷入侵事件。
(2) 高級，可以判斷應用層的入侵事件。
(3) 對入侵時間立即進行反應。
(4) 針對不同操作系統特點。
(5) 佔用主機寶貴資源。
基於網路的安全監控系統具備如下特點：
(1) 能夠監視經過本網段的任何活動。
(2) 實時網路監視。
(3) 監視粒度更細致。
(4) 精確度較差。
(5) 防入侵欺騙的能力較差。
(6) 交換網路環境難於配置。
基於主機及網路的入侵監控系統通常均可配置為分布式模式：
(1) 在需要監視的伺服器上安裝監視模塊(agent)，分別向管理伺服器報告及上傳證據，提供跨平台的入侵監視解決方案。
(2) 在需要監視的網路路徑上，放置監視模塊(sensor),分別向管理伺服器報告及上傳證據，提供跨網路的入侵監視解決方案。
選擇入侵監視系統的要點是：
(1) 協議分析及檢測能力。
(2) 解碼效率(速度)。
(3) 自身安全的完備性。
(4) 精確度及完整度，防欺騙能力。
(5) 模式更新速度。

五.安全掃描技術

網路安全技術中，另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。
安全掃描工具源於Hacker在入侵網路系統時採用的工具。商品化的安全掃描工具為網路安全漏洞的發現提供了強大的支持。
安全掃描工具通常也分為基於伺服器和基於網路的掃描器。
基於伺服器的掃描器主要掃描伺服器相關的安全漏洞，如password文件，目錄和文件許可權，共享文件系統，敏感服務，軟體，系統漏洞等，並給出相應的解決辦法建議。通常與相應的伺服器操作系統緊密相關。
基於網路的安全掃描主要掃描設定網路內的伺服器、路由器、網橋、變換機、訪問伺服器、防火牆等設備的安全漏洞，並可設定模擬攻擊，以測試系統的防禦能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數)。網路安全掃描的主要性能應該考慮以下方面：
(1) 速度。在網路內進行安全掃描非常耗時。
(2) 網路拓撲。通過GUI的圖形界面，可迭擇一步或某些區域的設備。
(3) 能夠發現的漏洞數量。
(4) 是否支持可定製的攻擊方法。通常提供強大的工具構造特定的攻擊方法。因為網路內伺服器及其它設備對相同協議的實現存在差別，所以預制的掃描方法肯定不能滿足客戶的需求。
(5) 報告，掃描器應該能夠給出清楚的安全漏洞報告。
(6) 更新周期。提供該項產品的廠商應盡快給出新發現的安生漏洞掃描特性升級，並給出相應的改進建議。
安全掃描器不能實時監視網路上的入侵，但是能夠測試和評價系統的安全性，並及時發現安全漏洞。

六. 認證和數宇簽名技術

認證技術主要解決網路通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用於通信過程中的不可抵賴要求的實現。
認證技術將應用到企業網路中的以下方面：
(1) 路由器認證，路由器和交換機之間的認證。
(2) 操作系統認證。操作系統對用戶的認證。
(3) 網管系統對網管設備之間的認證。
(4) VPN網關設備之間的認證。
(5) 撥號訪問伺服器與客戶間的認證。
(6) 應用伺服器(如Web Server)與客戶的認證。
(7) 電子郵件通訊雙方的認證。
數字簽名技術主要用於：
(1) 基於PKI認證體系的認證過程。
(2) 基於PKI的電子郵件及交易(通過Web進行的交易)的不可抵賴記錄。
認證過程通常涉及到加密和密鑰交換。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。
UserName/Password認證
該種認證方式是最常用的一種認證方式，用於操作系統登錄、telnet、rlogin等，但由於此種認證方式過程不加密，即password容易被監聽和解密。
使用摘要演算法的認證
Radius(撥號認證協議)、路由協議(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要演算法(MD5)進行認證，由於摘要演算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，敏感信息不在網路上傳輸。市場上主要採用的摘要演算法有MD5和SHA-1。
基於PKI的認證
使用公開密鑰體系進行認證和加密。該種方法安全程度較高，綜合採用了摘要演算法、不對稱加密、對稱加密、數字簽名等技術，很好地將安全性和高效率結合起來。後面描述了基於PKI認證的基本原理。這種認證方法目前應用在電子郵件、應用伺服器訪問、客戶認證、防火牆驗證等領域。
該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。