欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

     校園網(wǎng)防火墻實(shí)用技術(shù)
隨著(zhù)internet的飛速發(fā)展和校園網(wǎng)的日益完善，校園網(wǎng)的安全問(wèn)題已提到日程上來(lái)，采用防火墻技術(shù)能有效抵抗黑客及某些非法訪(fǎng)問(wèn)。

（一）防火墻技術(shù)介紹
   1：防火墻是一個(gè)實(shí)現安全策略的系統或系統組，強制執行對intranet和internet的               訪(fǎng)問(wèn)控制。它能保證只有授權的人可以訪(fǎng)問(wèn)intranet，且保護其中的資源和有價(jià)值的數據不會(huì )流出intranet。簡(jiǎn)單的說(shuō)，防火墻就是介于兩個(gè)網(wǎng)絡(luò )之間的具有某些存取控制功能的軟硬件集合。
   2：防火墻的主要目的是控制數據組，只允許合法流通過(guò)。其特征是在網(wǎng)絡(luò )邊界上建立相應的網(wǎng)絡(luò )通信監控系統（即防火墻）來(lái)達到保障網(wǎng)絡(luò )安全的目的。 防火墻技術(shù)假設被保護網(wǎng)絡(luò )具有明確的邊界和服務(wù)，并且假設網(wǎng)絡(luò )信息的威脅主要來(lái)自外部網(wǎng)絡(luò )而不是內部網(wǎng)絡(luò )，它通過(guò)建立一整套規則和系統策略來(lái)檢測，限制，更改穿越防火墻的數據流，實(shí)現內部網(wǎng)絡(luò )的保護。采用防火墻安全技術(shù)適合于與外部網(wǎng)絡(luò )相對獨立且網(wǎng)絡(luò )服務(wù)類(lèi)型相對有限的網(wǎng)絡(luò )系統，而校園網(wǎng)正屬此型，故要實(shí)現校園網(wǎng)的信息安全應采用防火墻技術(shù)。
   3：防火墻一般主要包括五部分：安全操作系統，過(guò)濾器，網(wǎng)關(guān)，域名服務(wù)和E—mail處理。目前防火墻產(chǎn)品很多，基本上分為兩類(lèi)：一類(lèi)基于包過(guò)濾，另一類(lèi)基于代理服務(wù)器。前者直接轉發(fā)報文，它工作在網(wǎng)絡(luò )的底層—IP層，是在網(wǎng)絡(luò )中適當的位置對數據包實(shí)施有選擇的過(guò)濾 ，它可以提供廉價(jià)，有效，具有一定網(wǎng)絡(luò )安全的環(huán)境，且它對用戶(hù)是全透明的，速度較快。Cisco的防火墻就是這種，它有兩種方法實(shí)現防火墻功能，一種是適用于某些接口上的流控制，用于過(guò)濾IP或指定TCP和UDP端口的IP數據包，另一種是適用于廣播信息，用于過(guò)濾廣播信息；而代理服務(wù)器一般工作在應用層，它可以屏蔽網(wǎng)絡(luò )內部結構，增強網(wǎng)絡(luò )內部的安全性，同時(shí)還可以用于實(shí)施數據流監控，過(guò)濾，記錄，報告等功能。但它對用戶(hù)不透明，工作量大，需要高性能服務(wù)器，通常要經(jīng)代理服務(wù)器進(jìn)行身份驗證和注冊，故速度較慢。
（二）校園網(wǎng)防火墻系統的配置
       這里，假定校園網(wǎng)通過(guò)Cisco路由器與CERNET相連。校園內的IP地址范圍是確定的，且有明確的閉和邊界。它有一個(gè)C類(lèi)的IP地址，有DNS，Email，WWW，FTP等服務(wù)器，可采用以下存取控制策略。
1． 對進(jìn)入CERNET主干網(wǎng)的存取控制
      校園網(wǎng)有自己IP地址，應禁止IP地址從本校路由器訪(fǎng)問(wèn)CERNET?？捎孟率雒钤O置與校園網(wǎng)連接的路由器：
        Interface E0
        Decription campusNet
        Ipadd  162.105.17.1
        access_list group 20 out
        !
        access_list 20 permit ip 162.105.17.0 0.0.225
2: 對網(wǎng)絡(luò )中心資源主機的訪(fǎng)問(wèn)控制
      網(wǎng)絡(luò )中心的DNS，Email，FTP，WWW等服務(wù)器是重要的資源，要特別的保護，可對網(wǎng)絡(luò )中心所在子網(wǎng)禁止DNS，Email，WWW，FTP以外的一切服務(wù)。
3：對校外非法網(wǎng)址的訪(fǎng)問(wèn)
      一般情況，一些傳播非法信息的站點(diǎn)主要在校外，而這些站點(diǎn)的域名可能是已知的，這時(shí)可通過(guò)計費系統獲得最新的IP訪(fǎng)問(wèn)信息，利用域名查詢(xún)或字符匹配等方法確定來(lái)自某個(gè)IP的訪(fǎng)問(wèn)是非法的。
（三）防止IP地址欺騙和盜用
        為對網(wǎng)絡(luò )內部人員訪(fǎng)問(wèn)Internet進(jìn)行一定限制，在連接內部網(wǎng)絡(luò )的端口接收數據時(shí)進(jìn)行IP地址和以太網(wǎng)地址檢查，盜用IP地址的數據包將被丟棄，并記錄有關(guān)信息；再連接Internet端接收數據時(shí)，如從外部網(wǎng)絡(luò )收到一段假冒內部IP地址發(fā)出的報文，也應丟棄，并記錄有關(guān)信息。
        防止IP地址被盜用的徹底解決辦法是，網(wǎng)絡(luò )上全部采用交換式集線(xiàn)器提供用戶(hù)接入，設定每個(gè)端口的以太網(wǎng)地址和IP地址，但由于各種原因這種方法目前不可行。建議用下述方法解決：
     1：代理服務(wù)器防火墻
          用戶(hù)的對外通信通過(guò)代理服務(wù)器進(jìn)行。對用戶(hù)的收費根據用戶(hù)請求的數據量計算，和IP地址沒(méi)很大關(guān)系，因此可以在一定程度上減少I(mǎi)P地址盜用給用戶(hù)帶來(lái)的經(jīng)濟損失。但它要求一定采用代理服務(wù)器方式的防火墻，因而限制了它的推廣。
     2：捆綁IP地址和以太網(wǎng)地址
          首先登記每個(gè)合法IP地址和對應的以太網(wǎng)地址，形成一個(gè)對應表。運行時(shí)通過(guò)定期掃描校園網(wǎng)內各個(gè)路由器中的ARP表，獲得當前IP和MAC的對應關(guān)系，和事先合法的IP和MAC地址進(jìn)行比較，如不一致，則為非法訪(fǎng)問(wèn)。這種方法的出發(fā)點(diǎn)是每個(gè)網(wǎng)卡的以太網(wǎng)地址是固定不變而且是唯一的。但事實(shí)上用戶(hù)可以讓網(wǎng)卡使用任意的以太網(wǎng)地址。因此，這種方法的效果不是很好?？蓪ζ溥M(jìn)行改進(jìn)，由用戶(hù)自己動(dòng)態(tài)地控制IP地址的訪(fǎng)問(wèn)權限，當用戶(hù)不需要對外通信時(shí)，可以關(guān)掉自己的IP地址對外的權限，這時(shí)即使有人盜用IP地址也不會(huì )對用戶(hù)造成直接的經(jīng)濟損失。
（四）對非法訪(fǎng)問(wèn)的動(dòng)態(tài)禁止
        一旦獲得某個(gè)IP地址的訪(fǎng)問(wèn)是非法的，可立即更改路由器中的存取控制表，從而禁止其對外的非法訪(fǎng)問(wèn)，首先應在路由器和校園網(wǎng)的以太口預設控制組102，然后過(guò)濾掉來(lái)自非法地址的所有IP包，插入以下命令：
                access_list 1.2 deny 0.0.0.0 255.255.255.255 A.B.C.D 0.0.0.0
該命令的插入實(shí)際上是對路由器進(jìn)行動(dòng)態(tài)配置?？梢酝ㄟ^(guò)Telnet Socket，編制針對Cisco的 telnet仿真程序，仿真所有的人工命令過(guò)程，從而實(shí)現對 Cisco的動(dòng)態(tài)配置。由于存取控制表不能隨意插入控制項，因此仿真程序需要維持一個(gè)完整的和Cisco內控制表項一致的配置文件，即先將更改的控制項插入到配置文件中，然后將配置文件作為一個(gè)整體，傳入路由器中，從而保證存取控制的完整性。
（五）透明通道式防火墻
        傳統防火墻的IP地址會(huì )給黑客提供攻擊的線(xiàn)索，而透明通道式防火墻上的網(wǎng)絡(luò )接口沒(méi)有IP地址，可視為一透明設備。外部人員無(wú)法知道防火墻的存在，而內部人員也無(wú)法訪(fǎng)問(wèn)防火墻，從而增強了網(wǎng)絡(luò )的安全性。此外，透明通道式防火墻在防止IP欺騙和盜用上也很靈活。它根據MAC地址選擇路由（類(lèi)似透明網(wǎng)橋功能），可自學(xué)或靜態(tài)設置MAC地址和IP地址對應的網(wǎng)絡(luò )端口。根據配置，它維持一張IP地址，MAC地址和網(wǎng)絡(luò )端口的對應表，該表可動(dòng)態(tài)生成或由系統管理員手工配置?？紤]到MAC地址的數值比較分散，接口表采用hash表將MAC排序，保證查詢(xún)時(shí)有較高的效率，不會(huì )因接口表查詢(xún)成為網(wǎng)絡(luò )的瓶頸。
       以上只是我在看書(shū)學(xué)習時(shí)的一點(diǎn)體會(huì )，防火墻技術(shù)還有更廣闊的領(lǐng)域需要學(xué)習研究，再今后的學(xué)習中我回進(jìn)一步的探索。