防火墙技术的研究近几年的论文

防火墙技术的研究近几年的论文

Windows简单防火墙的设计与实现包括论文,设计,论文字数:10976,页数:25 摘 要随着互连网的高速发展，网络给我们带来了极大的方便。人们的学习、工作以及生活越来越依赖于计算机网络，随之也出现了许多网络安全问题，因此当前网络安全产品备受人们的重视。防火墙是保障系统安全的一种有效手段，它可以将个人电脑与不完全的网络隔离开，按照预先设定的规则决定是否允许数据包通过，以此保障了个人电脑的安全。本毕业设计是基于Windows 2000操作系统、DDK for Windows2000工具开发包及Visual C++平台开发的简单防火墙系统。系统主要分为两个模块：过滤钩子驱动模块和用户操作界面模块。过滤钩子驱动模块主要功能是注册过滤钩子回调函数，并按照用户提供的过滤规则进行数据包的过滤；用户操作界面模块的主要功能是实现用户添加、删除过滤规则，同时允许用户以文件的形式保存所添加的过滤规则。关键词：防火墙；包过滤；钩子；回调函数The Design and Realization of Simple Firewall for WindowsAbstractWith the rapid development of Internet, it brings us great convenience. We become more and more dependent on the Internet, but it brought a lot of questions of network security, thereby the products of network security attract much attention. Firewall is an effective means to secure the system. It can separate personal computer from unsafe network, according to the preset rules to decide whether to let the packet through. It guarantees the safety of personal paper is based on Windows 2000, DDK for Windows 2000 and Visual C++ platform to develop simple firewall system. There are two parts in the system, which are hook filter driver module and the module of user interface. The main function of hook filter driver module is to register hook callback function and filter packet according to rules. The main function of user interface module is to add or delete filter rules, and save filter rules as words: firewall; packet-filtering; hook; callback function目 录1 引言 课题背景 国内外研究现状 本课题研究的意义 本课题的研究方法 22 相关理论技术基础 防火墙技术简介 防火墙简介 防火墙分类 防火墙的局限性 Visual C++相关技术简介 33 总体设计方案 设计过程 设计方案 44 过滤钩子驱动的实现 Filter_Hook Driver概述 过滤钩子驱动的实现 创建内核模式驱动 设置和清除过滤钩子 过滤器钩子的I/O控制 过滤函数实现 115 客户端应用程序 界面设计 编码规则 主要的类 核心代码 开始过滤和停止过滤 安装和卸载过滤条件 文件存储 17结 论 18参考文献 18致 谢 19声 明 20以上回答来自:

随着计算机网络的飞速发展，网络安全越来越被人们所认识和重视，在维护网络正常运行方面越来越起到举足轻重之作用，已成为当代信息社会的一个重要特征。在众多安全措施中，防火墙首当其中。以网络安全为中心，考虑网络的各个层面，整体把握网络在应用中的安全性。在构造防火墙的过程中，阐述进行设计防火墙的大部分概念和重要理论依据。介绍TCP／IP(传输控制协议／网际协议)协议以及防火墙常用的IP消息类型TCP(传输控制协议)、UDP(用户数据报协议)、ICMP(网际控制报文协议)及其在网络传输中的作用、介绍数据输出包、数据输入包的概念及其基于防火墙中的思想。 从防火墙设计的逻辑关系来看，文中总体把握包过滤防火墙的思想，深入细致地介绍了网络会话的细节，基于输入包和输出包的过滤思想，如何有选择性地开放Internet公共服务三方面重要的内容，并提供相关实例。文章在介绍相关安全防御的同时对于常见的黑客攻击原理也做了说明，包括TCP SYN湮没攻击、Ping湮没攻击、UDP湮没攻击等。 在防火墙实现上，本文是基于Redhat Linux操作系统，主要用内核中ipchains构造不同网络拓朴结构的防火墙。文中对防火墙工具ipchains及其参数进行了详细的说明与描述，给出了具体的数据包过滤流程。从对防火墙机器的具体设置说起，介绍不同的网络体系结构并利用防火墙设计工具ipchains针对其各自设计，阐述防火墙设计的两种安全策略：默认禁止一切和默认接受一切，并对其进行相互的比较，给出相关的脚本语言。文中针对单系统、堡垒防火墙屏蔽子网、带DMZ(非军事化区)防御带三种不同网络拓扑结构加以说明，阐述NAT(网络地址转换)的原理和DMZ工作原理以及它们的相应网络拓扑结构。同时给出基于DNS服务的相关脚本。 本文主要针对中小型网络而设计基于Linux操作系统的包过滤防火墙，旨在保护其网络安全并节俭网络费用，为此实现NAT共享IP，屏蔽保护子网共享防火墙外网真实IP，达到伪装保护且节俭网络费用之功效，从而减轻网络负担；构造DMZ，将保护子网与网络服务器分离，有效地解决服务器提供网络服务与子网安全保护这一对矛盾，从而规划有效的防火墙设计适应更加复杂的安全策略。 本论文设计的包过滤防火墙体系兼结构简单、针对性强、投入费用少等特点，同时 为中小型企业构建和维护防火墙提供了相关的理论依据和参考。 试问你是大学生不，这是大学生防火墙论文的。我去年用的

随着internet的迅猛发展，安全性已经成为网络互联技术中最关键的问题。本文——计算机与信息技术论文Internet防火墙技术综述，全面介绍了internet防火墙技术与产品的发展历程；详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力；同时简要描述了internet防火墙技术的发展趋势。 关键词：internet 网路安全 防火墙 过滤 地址转换 1． 引言 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互连环境之中，尤以internet网络为最甚。internet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业：1995年，刚刚面市的防火墙技术产品市场量还不到1万套；到1996年底，就猛增到10万套；据国际权威商业调查机构的预测，防火墙市场将以173%的复合增长率增长，今年底将达到150万套，市场营业额将从1995年的��亿美元上升到今年的亿美元。� 为了更加全面地了解internet防火墙及其发展过程，特别是第四代防火墙的技术特色，我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。� 2. internet防火墙技术简介� 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲，internet防火墙服务也属于类似的用来防止外界侵入的。它可以防 止internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上，防火墙并不像现实生活中的防火墙，它有点像古代守护城池用的护城河，服务于以下多个目的：� 1)限定人们从一个特定的控制点进入；� 2)限定人们从一个特定的点离开；� 3)防止侵入者接近你的其他防御设施；� 4)有效地阻止破坏者对你的计算机系统进行破坏。� 在现实生活中，internet防火墙常常被安装在受保护的内部网络上并接入internet。 所有来自internet的传输信息或你发出的信息都必须经过防火墙。这样，防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲，防火墙是起分隔、限制、分析的作用，这一点同样可以从图1中体会出来。那么，防火墙究竟是什么呢?实际上，防火墙是加强internet(内部网)之间安全防御的一个或一组系统，它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾� 防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应该具有以下五大基本功能：� ●过滤进、出网络的数据；� ●管理进、出网络的访问行为；� ●封堵某些禁止行为；� ●记录通过防火墙的信息内容和活动；� ●对网络攻击进行检测和告警。� 为实现以上功能，在防火墙产品的开发中，人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展，可以将其划分为如下四个阶段(即四代)。� 基于路由器的防火墙� 由于多数路由器本身就包含有分组过滤功能，故网络访问控制可能通过路控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是：� 1)利用路由器本身对分组的解析，以访问控制表(access list)方式实现对分组的过滤；� 2)过滤判断的依据可以是：地址、端口号、ip旗标及其他网络特征；� 3)只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。� 第一代防火墙产品的不足之处十分明显，具体表现为：� ●路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如，在使用Ftp协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20号端口仍可以由外部探寻。� ●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。� ●路由器防火墙的最大隐患是：攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的，黑客(hacker)可以在网络上伪造假的路由信息欺防火墙。� ●路由器防火墙的本质缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固态的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。 � 可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。 用户化的防火墙工具套� 为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。� 作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：� 1)将过滤功能从路由器中独立出来，并加上审计和告警功能；� 2)针对用户需求，提供模块化的软件包；� 3)软件可以通过网络发送，用户可以自己动手构造防火墙；� 4)与第一代防火墙相比，安全性提高了，价格也降低了。� 由于是纯软件产品，第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题：� 配置和维护过程复杂、费时；� 对用户的技术要求高；� 全软件实现，使用中出现差错的情况很多。� 建立在通用操作系统上的防火墙� 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品，它们具有如下一些特点：� 1)是批量上市的专用防火墙产品；� 2)包括分组过滤或者借用路由器的分组过滤功能；� 3)装有专用的代理系统，监控所有协议的数据和指令；� 4)保护用户编程空间和用户可配置内核参数的设置； 5)安全性和速度大大提高。� 第三代防火墙有以纯软件实现的，也有以硬件方式实现的，它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题，比如：� 1)作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性无从保证；� 2)由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；� 3)从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击；� 4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能；� 5)透明性好，易于使用。� 4. 第四代防火墙的主要技术及功能� 第四代防火墙产品将网关与安全系统合二为一，具有以下技术功能。� 双端口或三端口的结构� 新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不做ip转化而串接于内部与外部之间，另一个网卡可专用于对服务器的安全保护。 � 透明的访问方式� 以前的防火墙在访问方式上要么要求用户做系统登录，要么需通过socks等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。� 灵活的代理系统� 代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块，第四代防火墙采用了两种代理机制：一种用于代理从内部网络到外部网络的连接；另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(nit)技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。� 多级过滤技术� 为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒ip地址；在应用级网关一级，能利用Ftp、smtp等各种网关，控制和监测internet提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。� 网络地址转换技术� 第四代防火墙利用nat技术能透明地对所有内部地址做转换，使得外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的ip源地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。� internet网关技术� 由于是直接串联在网络之中，第四代防火墙必须支持用户在internet互联的所有服务，同时还要防止与internet服务有关的安全漏洞，故它要能够以多种安全的应用服务器(包括ftp、finger、mail、ident、news、www等)来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。� 在域名服务方面，第四代防火墙采用两种独立的域名服务器：一种是内部dns服务器，主要处理内部网络和dns信息；另一种是外部dns服务器，专门用于处理机构内部向internet提供的部分dns信息。在匿名ftp方面，服务器只提供对有限的受保护的部分目录的只读访问。在www服务器中，只支持静态的网页，而不允许图形或cgi代码等在防火墙内运行。在finger服务器中，对外部访问，防火墙只提可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。smtp与pop邮件服务器要对所有进、出防火墙的邮件做处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境。ident服务器对用户连接的识别做专门处理，网络新闻服务则为接收来自isp的新闻开设了专门的磁盘空间。 安全服务器网络(ssn)� 为了适应越来越多的用户向internet上提供服务时对服务器的需要，第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网络的一部分，又与内部网关完全隔离，这就是安全服务器网络(ssn)技术。而对ssn上的主机既可单独管理，也可设置成通过Ftp、tnlnet等方式从内部网上管理。� ssn方法提供的安全性要比传统的“隔离区(dmz)”方法好得多，因为ssn与外部网之间有防火墙保护，ssn与风部网之间也有防火墙的保护，而dmz只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦ssn受破坏，内部网络仍会处于防火墙的保护之下，而一旦dmz受到破坏，内部网络便暴露于攻击之下。� 用户鉴别与加密� 为了减低防火墙产品在tnlnet、ftp等服务和远程管理上的安全风险，鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段，并实现了对邮件的加密。� 用户定制服务� 为了满足特定用户的特定需求，第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用tcp、出站udp、ftp、smtp等，如果某一用户需要建立一个数据库的代理，便可以利用这些支持，方便设置。� 审计和告警� 第四代防火墙产品采用的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、ftp代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个tcp或udp探寻，并能以发出邮件、声响等多种方式报警。� 此外，第四代防火墙还在网络诊断、数据备份保全等方面具有特色。� 5． 第四代防火墙技术的实现方法 在第四代防火墙产品的设计与开发中，安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。� 安全内核的实现� 第四代防火墙是建立在安全操作系统之上的，安全操作系统来自对专用操作系统的安全加固和改造，从现在的诸多产品看，对安全操作系统内核的固化与改造主要从以下几个方面进行：� 1)取消危险的系统调用；� 2)限制命令的执行权限；� 3)取消ip的转发功能；� 4)检查每个分组的接口；� 5)采用随机连接序号；� 6)驻留分组过滤模块；� 7)取消动态路由功能；� 8)采用多个安全内核。� 代理系统的建立� 防火墙不允许任何信息直接穿过它，对所有的内外连接均要通过代理系统来实现，为保证整个防火墙的安全，所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。� 在所有的连接通过防火墙前，所有的代理要检查已定义的访问规则，这些规则控制代理的服务根据以下内容处理分组：� 1)源地址；� 2)目的地址；� 3)时间；� 4)同类服务器的最大数量。� 所有外部网络到防火墙内部或ssn的连接由进站代理处理，进站代理要保证内部主机能够了解外部主机的所有信息，而外部主机只能看到防火墙之外或ssn的地址。� 所有从内部网络ssn通过防火墙与外部网络建立的连接由出站代理处理，出站代理必须确保完全由它代表内部网络与外部地址相连，防止内部网址与外部网址的直接连接，同时还要处理内部网络ssn的连接。� 分组过滤器的设计� 作为防火墙的核心部件之一，过滤器的设计要尽量做到减少对防火墙的访问，过滤器在调用时将被下载到内核中执行，服务终止时，过滤规则会从内核中消除，所有的分组过滤功能都在内核中ip堆栈的深层运行，极为安全。分组过滤器包括以下参数。� 1)进站接口；� 2)出站接口；� 3)允许的连接；� 4)源端口范围；� 5)源地址；� 6)目的端口的范围等。� 对每一种参数的处理都充分体现设计原则和安全政策。� 安全服务器的设计� 安全服务器的设计有两个要点：第一，所有ssn的流量都要隔离处理，即从内部网和外部网而来的路由信息流在机制上是分离的；第二，ssn的作用类似于两个网络，它看上去像是内部网，因为它对外透明，同时又像是外部网络，因为它从内部网络对外访问的方式十分有限。� ssn上的每一个服务器都隐蔽于internet，ssn提供的服务对外部网络而言好像防火墙功能，由于地址已经是透明的，对各种网络应用没有限制。实现ssn的关键在于：� 1)解决分组过滤器与ssn的连接；� 2)支持通过防火对ssn的访问; 3)支持代理服务。 鉴别与加密的考虑 鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段，鉴别机制除了提供安全保护之外，还有安全管理功能，目前国外防火墙产品中广泛使用令牌鉴别方式，具体方法有两种：一种是加密卡（cryptocard）;另一种是secure id,这两种都是一次姓口令的生成工具。 对信息内容的加密与鉴别测涉及加密算法和数字签名技术，除pem、pgp和kerberos外，目前国外防火墙产品中尚没有更好的机制出现，由于加密算法涉及国家安全和主权，各国有不同的要求。 6. 第四代防火墙的抗攻击能力 作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。在internet环境中针对防火墙的攻击很多，下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。 抗ip假冒攻击 ip假冒是指一个非法的主机假冒内部的主机地址，取服务器的“信任”，从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来，外部用户很难知道内部的ip地址，因而难以攻击。 抗特洛伊木马攻击 特洛伊木马能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序之中，尤其是热门程序或游戏，一些用户下载病执行这一程序，其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的，其内核中不能执行下载的程序，故而可以防止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并并不表明其保护的某个主机也能防止这类攻击。事实上，内部用户可以通过防火墙下载程序，并执行下载的程序。 抗口令字探寻攻击 在网络中探寻口令的方法很多，最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信，截获用户转给服务器的口令字，记录下来，以便使用；解密是指采用强力攻击、猜测或截获含有加密口令的文件，并设法解密。此外，攻击者还常常利用一些常用口令直接登录。 第四代防火墙采用了一次性口令字和禁此直接登录防火墙措施，能够有效防止对口令字的攻击。 抗网络安全性分析 网络安全性分析工具是提供管理人员分析网络安全性之用，一旦这类工具用作攻击网络的手段，则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前，sata软件可以从网上免费获得，internet scanner可以从市面上购买，这些分析工具给网路安全构成了直接的威胁。第四代防火墙采用了地主转换技术，将内部网络隐蔽起来，使网路安全分析工具无法从外部对内部网络做分析。 抗邮件攻击 邮件也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式对它攻击，同样值得一提的是，防火墙不接收邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户要防邮件，最终的解决办法是对邮件加密。 7. 防火墙技术展望 伴随着internet的飞速发展，防火墙技术产品的更新步伐必然会加强，而要全面展望防火墙技术的发展几乎是不可能的。但是，从产品及功能上，却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择： 1）防火墙将从目前对子网或内部网管理的方式向远程上网集中管理是方式发展。 2）过滤深度会不断加强，从目前的地址、服务过滤，发展到url（页面）过滤、关键字过滤和对activex、java等的过滤，并逐渐有病毒扫描功能。 3）利用防火墙建立专用网是较长一段时间用户使用的主流，ip的加密需求越来越强，安全协议的开发是一大热点。� 4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。� 5)对网络攻击的检测和各种告警将成为防火墙的重要功能。 6)安全管理工具不断完善，特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。� 另外值得一提的是，伴随着防火墙技术的不断发展，人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、vpn的功能与ca的功能、接口的数量、成本等几个方面。

论文防火墙技术的研究

防火墙开题报告------课题研究中的主要难点以及解决的方法没问题的撒

随着计算机网络的发展，上网的人数不断地增大，网上的资源也不断地增加，网络的开放性、共享性、互连程度也随着扩大。网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品，也受到用户和研发机构的青睐。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。防火墙实际上是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。换言之，防火墙是一道门槛, 控制进出两个方向的通信。通过限制与网络或某一特定区域的通信, 以达到防止非法用户侵犯受保护网络的目的。防火墙不是一个单独的计算机程序或设备。在理论上，防火墙是由软件和硬件两部分组成，用来阻止所有网络间不受欢迎的信息交换，而允许那些可接受的通信。 随着Internet/Intranet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果使用得当，可以在很大程度上提高网络安全。 [正文] 1 引言 网络已经成为了人类所构建的最丰富多彩的虚拟世界，网络的迅速发展，给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息，共享资源。如今， Internet遍布世界任何一个角落，并且欢迎任何一个人加入其中，相互沟通，相互交流。随着网络的延伸，安全问题受到人们越来越多的关注。在网络日益复杂化，多样化的今天，如何保护各类网络和应用的安全，如何保护信息安全，将作为本次论文设计的的重点。 几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人，他们利用各种网络和系统的漏洞，非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源，可以任意使用和共享。不需要去了解那些攻击程序是如何运行的，只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与，非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长，给网络安全带来越来越多的安全隐患。有人曾提出过如果把每个单独的系统配置好，其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是Windows系统，我们不得不承认在Windows 2003以前的时代， Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。因此，如何保护企业内部网络中的资源及信息不受外部攻击者肆意破坏或盗窃，是企业网络安全需要解决的重要问题。 防火墙就是保护网络安全最主要的手段之一，它是设置在被保护网络与外部网络之间的一道屏障，以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况，以此来实现内部网络的安全保护。 ......

我 们，能给您的。

具体步骤是./,防火墙开题报告------课题研究中的主要难点以及解决的方法,我就有，已经写好了。。。要的话

arp防火墙技术的研究论文

ARP，即地址解析协议，实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。另有电子防翻滚系统也称为ARP。我使用的是360安全卫士的木马防火墙中的ARP防火墙，效果还是不错的，你可以尝试下，装上360安全卫士后，ARP防火墙默认是关闭的，你自行开启下就行了

楼上说的都有道理，当然这些攻击的问题，根源都是在于以太网协议的先天漏洞导致的：从技术原理上，彻底解决ARP欺和攻击，要有三个技术要点。1、终端对网关的绑定要坚实可靠，这个绑定能够抵制被病毒捣毁。2、接入路由器或网关要对下面终端IP-MAC的识别始终保证唯一准确。3、网络内要有一个最可依赖的机构，提供对网关IP-MAC最强大的保护。它既能够分发正确的网关信息，又能够对出现的假网关信息立即封杀。要解决这个问题，只能从终端网卡面去拦截病毒攻击，目前可以做到的就只有欣向的免疫网络了，楼主可以去看看，相信对你有帮助的！！

模拟器实现的，要将配置文件发给师肯定知道更多了解的

有关防火墙技术的研究的论文

上安全焦点看上几篇关于防火墙的文章就会找到灵感了

自己写才是王道

随着计算机网络的发展，上网的人数不断地增大，网上的资源也不断地增加，网络的开放性、共享性、互连程度也随着扩大。网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品，也受到用户和研发机构的青睐。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。防火墙实际上是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。换言之，防火墙是一道门槛, 控制进出两个方向的通信。通过限制与网络或某一特定区域的通信, 以达到防止非法用户侵犯受保护网络的目的。防火墙不是一个单独的计算机程序或设备。在理论上，防火墙是由软件和硬件两部分组成，用来阻止所有网络间不受欢迎的信息交换，而允许那些可接受的通信。 随着Internet/Intranet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果使用得当，可以在很大程度上提高网络安全。 [正文] 1 引言 网络已经成为了人类所构建的最丰富多彩的虚拟世界，网络的迅速发展，给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息，共享资源。如今， Internet遍布世界任何一个角落，并且欢迎任何一个人加入其中，相互沟通，相互交流。随着网络的延伸，安全问题受到人们越来越多的关注。在网络日益复杂化，多样化的今天，如何保护各类网络和应用的安全，如何保护信息安全，将作为本次论文设计的的重点。 几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人，他们利用各种网络和系统的漏洞，非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源，可以任意使用和共享。不需要去了解那些攻击程序是如何运行的，只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与，非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长，给网络安全带来越来越多的安全隐患。有人曾提出过如果把每个单独的系统配置好，其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是Windows系统，我们不得不承认在Windows 2003以前的时代， Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。因此，如何保护企业内部网络中的资源及信息不受外部攻击者肆意破坏或盗窃，是企业网络安全需要解决的重要问题。 防火墙就是保护网络安全最主要的手段之一，它是设置在被保护网络与外部网络之间的一道屏障，以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况，以此来实现内部网络的安全保护。 ......

防火墙的应用研究:随着计算机网络的不断发展，网络安全问题越来越受到关注。防火墙是其中一种应用非常广泛的用于保护网络安全的技术。本文论述了防火墙的研究与应用。包括防火墙的概念、功能、防火墙的应用，最后对防火墙的未来发展做出了展望

防火墙技术的研究论文格式

论文模板能提高编辑工作质量和效率并指导作者规范写作。下面是由我整理的1500字论文格式模板，谢谢你的阅读。

计算机网络综述

摘要： 从计算机网络软件硬件进行阐述，使人们对计算机网络的构造以及设备有一个整体了解，以使在以后的工作和学习中，面对网络问题不再束手无策，从而提高工作和学习的效率。

关键词： 计算机网络;网络组成;网络功能;网络设备

中图分类号：TP315文献标识码：A文章编号：1671-7597(2012)0110183-01

1 计算机网络的定义

计算机网络就是利用通讯设备和通信线路将地理位置不同的、具有独立功能的多台计算机系统遵循约定的通信协议互连成一个规模大、功能强的网络系统，用功能完善的网络软件(即网络通信协议、信息交换方式和网络操作系统等)来实现交互通信、资源共享、信息交换、综合信息服务、协同工作以及在线处理等功能的系统。

2 计算机网络的分类

1)计算机网络按照地理范围划分为：局域网、城域网、广域网和互联网四种;2)按拓扑结构划分为：总线型、星型、环型、树型和网状网;3)按交换方式划分为：线路交换网、存储转发交换网和混合交换网;4)按传输带宽方式进行划分为：基带网和宽带网;5)按网络中使用的操作系统分为：NetWare网、Windows NT网和Unix网等;6)按传输技术分为：广播网、非广播多路访问网、点到点网。

3 计算机网络系统的构成

计算机网络系统通常由资源子网、通信子网和通信协议三个部分组成。资源子网在计算机网络中直接面向用户;通信子网在计算机网络中负责数据通信、全网络面向应用的数据处理工作。而通信双方必须共同遵守的规则和约定就称为通信协议，它的存在与否是计算机网络与一般计算机互连系统的根本区别。

4 计算机网络的主要功能

资源共享：计算机网络的主要目的是共享资源。共享的资源有：硬件资源、软件资源、数据资源。其中共享数据资源是计算机网络最重要的目的。

数据通信：数据通信是指利用计算机网络实现不同地理位置的计算机之间的数据传送，运用技术手段实现网络间的信息传递。这是计算机网络的最基本的功能，也是实现其他功能的基础。如电子邮件、传真、远程数据交换等。

分布处理：是指当计算机网络中的某个计算机系统负荷过重时，可以将其处理的任务传送到网络中的其它计算机系统中，以提高整个系统的利用率。对于大型的综合性的科学计算和信息处理，通过适当的算法，将任务分散到网络中不同的计算机系统上进行分布式的处理。促进分布式数据处理和分布式数据库的发展。利用网络实现分布处理，建立性能优良、可靠性高的分布式数据库系统。

综合信息服务：在当今的信息化社会中，各行各业每时每刻都要产生大量的信息需要及时的处理，而计算机网络在其中起着十分重要的作用。

5 计算机网络的常用设备

网卡(NIC)：插在计算机主板插槽中，负责将用户要传递的数据转换为网络上其它设备能够识别的格式，通过网络介质传输。

集线器(Hub)：是单一总线共享式设备，提供很多网络接口，负责将网络中多个计算机连在一起。所谓共享是指集线器所有端口共用一条数据总线，因此平均每用户(端口)传递的数据量、速率等受活动用户(端口)总数量的限制。

交换机(Switch)：也称交换式集线器。它同样具备许多接口，提供多个网络节点互连。但它的性能却较共享集线器大为提高：相当于拥有多条总线，使各端口设备能独立地作数据传递而不受其它设备影响，表现在用户面前即是各端口有独立、固定的带宽。此外，交换机还具备集线器欠缺的功能，如数据过滤、网络分段、广播控制等。

线缆：网络的距离扩展需要通过线缆来实现，不同的网络有不同连接线缆，如光纤、双绞线、同轴电缆等。

公共电话网：即PSTN(Public Swithed Telephone Network)，速度9600bps～，经压缩后最高可达，传输介质是普通电话线。

综合业务数字网：即ISDN(Integrated Service Digital Network)，是一种拨号连接方式。低速接口为128kbps(高速可达2M)，它使用ISDN线路或通过电信局在普通电话线上加装ISDN业务。ISDN为数字传输方式，具有连接迅速、传输可靠等特点，并支持对方号码识别。

专线：即Leased Line，在中国称为DDN，是一种点到点的连接方式，速度一般选择64kbps～。专线的好处是数据传递有较好的保障，带宽恒定。

网：是一种出现较早且依然应用广泛的广域网方式，速度为9600bps～64kbps;有冗余纠错功能，可 靠性高，但由此带来的副效应是速度慢，延迟大。

异步传输模式：即ATM(Asynchronous Transfer Mode)，是一种信元交换网络，最大特点是速率高、延迟小、传输质量有保障。ATM大多采用光纤作为连接介质，速率可高达上千(109bps)。

调制解调器(Modem)：作为末端系统和通信系统之间信号转换的设备，是广域网中必不可少的设备之一。分为同步和异步两种，分别用来与路由器的同步和异步串口相连接，同步可用于专线、帧中继、等，异步用于PSTN的连接在计算机网络时代。

6 结语

人们对计算机和互联网的利用必将会渗透到社会生产和生活的各个方面，通过计算机和网络的功能，将会给企业的生产和经营活动的开展以及老百姓的工作和生活带来极大的便利。在互联网的联系和沟通下，各种信息传播的速度将加快，企业和个人对网络信息的依赖程度也将不断加深，信息需求程度相对较大的部门将成为未来社会中创造高附加值的行业。并通过他们带动相关知识产业的进步和发展，甚至带动全社会的经济结构的优化调整，推动社会经济的全面进步。

计算机网络取得今天的发展成就，是人类文明进入到更高阶段的标志，它推动着人类社会向更现代化的方向发展，同时推动了知识经济时代的到来，人们通过计算机网络的连接，打破了原先在时间和空间上的阻隔，在无形中拉近了人与人之间的距离，也在一定程度上扩大了我们生存的空间，网络给我们提供了超乎寻常的方便和成功。但是，网络也给社会带来了更多的挑战，它要求我们要以更高的层次去面对新的生活和环境，同时不断地改变我们的思想和行为，我们要抓住网络时代带给我们机遇，不断努力推动人类社会向更的高阶段发展。

此论文为湖南省十二五课题规划论文。课题批准号：XJK011CZJ010

参考文献：

[1]谢希仁，《计算机网络(第4版)》.

计算机网络安全

【摘 要】如何在一个开放式的计算机网络物理环境中构造一个封闭的逻辑环境来满足于国家、群体和个人实际需要，已成为必须考虑的实际问题。计算机网络的安全就是为了克服这些安全问题，使计算机网络的使用更有保障而诞生和发展起来的。

【关键词】加密技术;防火墙技术;网络安全策略

0.概述

网络系统安全涉及通信安全、计算机系统安全、存储安全、物理安全、人员安全等诸多要素，是与人、网络、环境有关的技术安全、结构安全和管理安全的总和。

1.计算网络面临的威胁

网络安全缺陷产生的原因主要有：TCP/IP的脆弱性、网络结构的不安全性 、易被窃听、缺乏安全意识。

2.计算机网络安全策略

物理安全策略

抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。

访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。

入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。

目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。对目录和文件的访问权限一般有八种：系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。

属性安全控制

当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。

网络服务器安全控制

网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

监测和锁定控制

网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。

网络端口和节点的安全控制

网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。

3.信息加密策略

数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为"密文"，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取，阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。

加密技术通常分为三大类："对称式"，"非对称式"和"单项式"。

对称式加密就是加密和解密使用同一个密钥，通常称之为"Session Key"这种加密技术目前被广泛采用。

非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为"公钥"和"私钥"，它们两个必需配对使用，否则不能打开加密文件。

单项加密也叫做哈希加密，这种加密使用hash算法把一些不同长度的信息转化成杂乱的确128位的编码里，叫做hash值。

4.防火墙技术

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。

防火墙的分类

根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型，网络地址转换―NAT，代理型和监测型。

包过滤型

包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。

网络地址转化―NAT

网络地址转换是一种用于把IP地址转换成临时的，外部的，注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。

代理型

代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展，代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。

监测型

监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的，实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。

5.计算机网络安全的防范措施

网络系统结构设计合理与否是网络安全运行的关键

由于局域网采用的是以广播为技术基础的以太网，任何两个节点之间的通信数据包，也被处在同一以太网上的任何一个节点的网卡所截取。网络分段技术的应用将从源头上杜绝网络的安全隐患问题，以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。

强化计算机管理是网络系统安全的保证

(1)加强设施管理，确保计算机网络系统实体安全。建立健全安全管理制度，防止非法用户进入计算机控制室和各种非法行为的发生;(2)强化访问控制，力促计算机网络系统运行正常。(3)建立网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。(4)建立属性安全服务模块。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。(5)建立网络服务器安全设置模块。(6)建立档案信息加密制度。(7)建立网络智能型日志系统。(8)建立完善的备份及恢复机制。

随着计算机技术和通信技术的发展，计算机网络将日益成为工业，农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域.因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要，相信在未来十年中，网络安全技术一定会取得更为长足的进展。

【参考文献】

[1]朱雁辉.防火墙与网络封包[M].电子工业出版社.

[2]信息管理系列编委会.网络安全管理[M].中国人民大学出版社.

[3]张红旗.信息网络安全[M].清华大学出版社.

[4]张千里，陈光英.网络安全新技术.人民邮电出版社.

[5]汤子瀛等.计算机网络.西安电子科技大学出版社.

[6]彭民德.计算机网络教程.清华大学出版社，67～88.

[7]张伟.网络安全.机械工业出版社，99.

[8]何炎祥.计算机网络安全学习指导与习题解答.清华大学出版社，101～112.

[9]袁津生，吴砚农.计算机网络安全基础(第二版).人民邮电出版社，2003：78～92.

[10]殷伟.计算机安全与病毒防治 安徽科学技术出版社，2003：372～382.

写大学论文时，有一个论文格式，那写论文就像填文字那样简单。这是我为大家整理的，仅供参考! 篇一 企业网Intranet的构建方案 【摘要】本文分析了企业Intranet的功能和技术特点，并阐述了构建Intranet的实施方案及其关键技术。 【关键词】Internet Intranet 区域网 Internet在全球的发展和普及，企业网路技术的发展，以及企业生存和发展的需要促成了企业网的形成。Intranet是传统企业网与Internet相结合的新型企业网路，是一个采用Internet技术建立的机构内联网路。它以TCP/IP协议作为基础，以Web为核心应用，构成统一和便利的资讯交换平台。它通过简单的浏览介面，方便地提供诸如E-mail、档案传输***FTP***、电子公告和新闻、资料查询等服务，并且可与Internet连线，实现企业内部网上使用者对Internet的浏览、查询，同时对外提供资讯服务，释出本企业资讯。 Intranet 的主要特征 企业建立Intranet的目的主要是为了满足其在管理、资讯获取和释出、资源共享及提高效率等方面的要求，是基于企业内部的需求。因此虽然Intranet是在Internet技术上发展起来的，但它和Internet有着一定的差别。并且Intranet也不同于传统的企业内部的区域网。企业网Intranet 的主要特征表现在以下几个方面： ***1***Intranet 除了可实现Internet的资讯查询、资讯释出、资源共享等功能外，更主要的是其可作为企业全方位的管理资讯系统，实现企业的生产管理、进销存管理和财务管理等功能。这种基于网路的管理资讯系统相比传统的管理资讯系统能更加方便有效地进行管理、维护，可方便快捷地释出、更新企业的各种资讯。 ***2***在Internet上资讯主要以静态页面为主，使用者对资讯的访问以查询为主，其资讯由制作公司制作后放在Web伺服器上。而Intranet 则不同，其资讯主要为企业内部使用，并且大部分业务都和资料库有关，因此要求Intranet 的页面是动态的，能够实时反应资料库的内容，使用者除了查询资料库外，还可以增加、修改和删除资料库的内容。 ***3***Intranet 的管理侧重于机构内部的管理，其安全防范措施要求非常严格，对网上使用者有严格的许可权控制，以确定使用者是否可访问某部门的资料。并且通过防火墙等安全机制，控制外部使用者对企业内部资料的获取。 ***4***Intranet 与传统的企业网相比，虽然还是企业内部的区域网络***或多个区域网相连的广域网***，但它在技术上则以Internet的TCP/IP协议和Web技术规范为基础，可实现任意的点对点的通讯，而且通过Web伺服器和Internet的其他伺服器，完成以往无法实现的功能。 Intranet 的构建要点 企业建立Intranet 的目的是为满足企业自身发展的需要，因此应根据企业的实际情况和要求来确立所建立的Intranet 所应具有那些具体功能以及如何去实现这样一个Intranet 。所以不同的企业构建Intranet 可能会有不同的方法。但是Intranet 的实现有其共同的、基本的构建要点。这主要有以下几个方面： 网路拓扑结构的规划 在规划Intranet 的网路拓扑结构时，应根据企业规模的大小、分布、对多媒体的需求等实际情况加以确定。一般可按以下原则来确立： ***1***费用低 一般地在选择网路拓扑结构的同时便大致确立了所要选取的传输介质、专用装置、安装方式等。例如选择汇流排网路拓扑结构时一般选用同轴电缆作为传输介质，选择星形拓扑结构时需要选用集线器产品，因此每一种网路拓扑结构对应的所需初期投资、以后的安装维护费用都是不等的，在满足其它要求的同时，应尽量选择投资费用较低的网路拓扑结构。 ***2***良好的灵活性和可扩充性 在选择网路拓扑结构时应考虑企业将来的发展，并且网路中的装置不是一成不变的，对一些装置的更新换代或装置位置的变动，所选取的网路拓扑结构应该能够方便容易地进行配置以满足新的要求。 ***3***稳定性高 稳定性对于一个网路拓扑结构是至关重要的。在网路中会经常发生节点故障或传输介质故障，一个稳定性高的网路拓扑结构应具有良好的故障诊断和故障隔离能力，以使这些故障对整个网路的影响减至最小。 ***4***因地制宜 选择网路拓扑结构应根据网路中各节点的分布状况，因地制宜地选择不同的网路拓扑结构。例如对于节点比较集中的场合多选用星形拓扑结构，而节点比较分散时则可以选用汇流排型拓扑结构。另外，若单一的网路拓扑结构不能满足要求，则可选择混合的拓扑结构。例如，假设一个网路中节点主要分布在两个不同的地方，则可以在该两个节点密集的场所选用星型拓扑结构，然后使用汇流排拓扑结构将这两个地方连线起来。 目前常用的区域网技术有乙太网、快速乙太网、FDDI、ATM等多种。其中交换式快速乙太网以其技术成熟、组网灵活方便、装置支援厂家多、工程造价低、效能优良等特点，在区域网中被广泛采用。对于网路传输效能要求特别高的网路可考虑采用ATM技术，但其网路造价相当高，技术也较复杂。 为获取Internet上的各种资源及Internet所提供的各种服务，规划Intranet时还应考虑接入Internet。目前，接入Internet方式主要有：通过公共分组网接入、通过帧中继接入、通过ISDN接入或通过数字租用线路接入，及目前较新的远端连线技术ASDL。在选择以何种方式接入Internet时应根据Intranet的规模、对资料传输速率的要求及企业的经济实力来确定。数字租用线路方式可提供较高的频宽和较高的资料传输质量，但是费用昂贵。公共分组网方式资料传输质量较高，费用也较低，但资料传输量较小。ISDN可提供较高的频宽，可同时传输资料和声音，并且费用相对较低，是中小规模Intranet接入Internet的较佳方式。 Intranet 的硬体配置 在选择组成Intranet 的硬体时，着重应考虑伺服器的选择。由于伺服器在网路中执行网路作业系统、进行网路管理或是提供网路上可用共享资源，因此对伺服器的选择显然不同于一般的普通客户机，同时应该按照伺服器的不同型别，如WWW伺服器、资料库伺服器、列印伺服器等而应该有所侧重。一般要求所选用的伺服器具有大的储存容量，数吉***G***或数十吉***G***，以及具有足够的记忆体和较高的执行速度，记忆体128M或以上，CPU主频在500MHz或以上，而且可为多个CPU处理器，并且具有良好和可扩充套件性，以满足将来更新换代的需要，保证当前的投资不至于在短时间内便被消耗掉。 其余的硬体装置有路由器、交换机、集线器、网络卡和传输介质等。所选择的这些装置应具有良好的效能，能使网路稳定地执行。此外，在此前提下，还应遵循经济性的原则。 Intranet 的软体配置 软体是Intranet的灵魂，它决定了整个Intranet的执行方式、使用者对资讯的浏览方式、Web伺服器与资料库伺服器之间的通讯、网路安全及网路管理方式等，是网路建设中极为重要的一环。 Intranet的软体可分为伺服器端软体和客户端软体。客户端软体主要为浏览器，目前常用的浏览器软体有Netscape Navigator、Microsoft Internet Explore等。伺服器端软体较为复杂，主要有网路作业系统、Web伺服器软体、资料库系统软体、安全防火墙软体和网路管理软体等。选择网路作业系统时，应考虑其是否是一个高效能的网路作业系统，是否支援多种网路协议，是否支援多种不同的计算机硬体平台，是否具有容错技术和网路管理功能等多方面因素。目前市场上主流的网路作业系统有UNIX、Novell Netware和Windows NT等。如果企业网Intranet中大多数是于PC机为主体，建议选用Novell Netware和Windows NT。 3.企业网Intranet构建的关键技术 防火墙技术 由于Intranet一般都与Internet互连，因此易受到非法使用者的入侵。为确保企业资讯和机密的安全，需要在Intranet与Internet之间设定防火墙。防火墙可看作是一个过滤器，用于监视和检查流动资讯的合法性。目前防火墙技术有以下几种，即包过滤技术***Packet filter***、电路级闸道器***Circuit gateway***、应用级闸道器***Application***、规则检查防火墙***Stalaful Inspection***。 在实际应用中，并非单纯采用某一种，而是几种的结合。 资料加密技术 资料加密技术是资料保护的最主要和最基本的手段。通过资料加密技术，把资料变成不可读的格式，防止企业的资料资讯在传输过程中被篡改、删除和替换。 目前，资料加密技术大致可分为专用密匙加密***对称密匙加密***和公用密匙加密***不对称密匙加密***两大类。在密码通讯中，这两种加密方法都是常用的。专用密匙加密时需使用者双方共同享有密匙，如DES方法，由于采用对称编码技术，使得专用密匙加密具有加密和解密非常快的最大优点，能有硬体实现，使用于交换大量资料。但其最大问题是把密匙分发到使用该密码的使用者手中。这样做是很危险的，很可能在密匙传送过程中发生失密现象***密匙被偷或被修改***。公用密匙加密采用与专用密匙加密不同的数学演算法。有一把公用的加密密匙，如RSA方法。其优点是非法使用者无法通过公用密匙推汇出解密密匙，因此保密性好，但执行效率低，不适于大量资料。所以在实际应用中常将两者结合使用，如通过公用密匙在通讯开始时进行授权确认，并确定一个公用的临时专用密匙，然后再用专用密匙资料加密方式进行通讯。 系统容错技术 网路中心是整个企业网路和资讯的枢纽，为了确保其能不间断地执行，需采取一定的系统容错技术： ***1***网路装置和链路冗余备份。网路装置易发生故障的介面卡都保留适当的冗余，保证网路的关键部分无单点故障。 ***2***伺服器冷备份。采用双伺服器，它们都安装资料库管理系统和Web伺服器软体，但两台伺服器同时执行不同的任务，一台执行资料库系统，一台执行Web伺服器软体，它们共享外部磁碟陈列，万一一台伺服器出现故障，可以通过键入预先编好的命令，把任务切换到另一台伺服器上，确保系统在最短时间内恢复正常执行。 ***3***资料的实时备份。对资料进行实时备份，以保证资料的完整性和安全性，确保系统安全而稳定低执行。如通过ARC Srever对资料提供双镜象冗余备份，或由SNA Server提供安全快捷的资料热备份。 结束语： 企业网Intranet的构建是一个大的系统工程，需要有较大的人力和物力的投入。企业应根据自身实际情况和发展需要，有的放矢地建立适合自己的Intranet，只有这样才能充分有效地利用Intranet，真正达到促进企业进一步发展的目的。 参考文献： 张孟顺，向Intranet的迁移[J]，计算机系统应用，1998***4***:22~24 张金隆，现代管理资讯科技[M]，华东理工大学出版社，1995 韩建民，基于B/S模式的生产管理图查询系统的实现[J]，计算机应用，1995***5***:15~28 蔡建，网路安全技术与安全管理机制[J]，贵州工业大学学报，1999,28***1***:32~34 篇二 多资料库系统互联机制的设计与实现 摘要： 随着企业规模的不断扩大，各部门所需资讯既相互交错，又相对独立。这就要求各部门所用的资料库既能高度自治地 工作，又能进行资讯共享。本文主要介绍多DM3资料库系统间的资讯共享机制。 不同DM3资料库系统间的资讯共享通过协调器实现。所有这些被协调器连线在一起的资料库系统组成了一个联邦资料库。这样既能较好地满足企业的需要，也能在保证效率的前提下，提高资料的可用性。 关键词： DBMS 复制 联邦资料库 1.引言 随着经济的发展，企业的规模越来越大，其积累的资讯也越来越多。存在着各部门所处理的资讯多数只对本部门有效，仅有少数资讯需给其它某些部门共享的问题。这种资讯的分布性和独立性要求对所处理的资料进行分类，使各部门既能独立地处理本部门大多数资料，也使部门间能协调处理跨部门的事务。在这种情况下，对整个企业建立一个完全的紧密耦合的分散式资料库是很困难的，也是没必要的，特别是大型企业，这样的资料库的效率往往是很低的。 为解决这个问题，我们采用以下策略：每个部门使用一套紧密耦合的资料库系统，而在存在跨部门事务处理的资料库系统间用一个协调器联起来。这样就组成了一个横跨整个企业，各部门高度自治的联邦资料库系统。 DM2是由华中理工大学资料库多媒体技术研究所研制的资料库管理系统。它采用客户/伺服器模型，客户机与伺服器，伺服器与伺服器均通过网路互连，通过讯息相互通讯，组成一个紧密耦合的分散式资料库系统。它的工作流程如下：客户机登入到一台伺服器上，这台伺服器便成为它的代理伺服器;它接收来自客户机的讯息，然后根据全域性资料字典决定是自己独立完成该操作，还是与其它伺服器协作处理这条讯息，处理完成之后，再由代理伺服器将处理结果返回给客户机。 而资料字典，作为记录资料库所有元资料的系统表，它向以上过程中提供各类有用的资讯，引导它们向正确的方向执行，起著“指南针”的作用。它分为区域性资料字典和全域性资料字典。其中，区域性资料字典用于记录一个伺服器站点中资料库的控制资讯，如表的模式，检视的模式及各个资料区的的档名等资讯。全域性资料字典用于记录分散式资料库系统中各个伺服器站点上有关全域性资料的控制资讯，如伺服器站点资讯，各伺服器站点的全域性表名及表内码记录，各伺服器站点上的全域性资料检视名及检视内码记录，使用者名称及口令记录，使用者许可权记录等资讯。各个区域性资料字典可以各不相同，但为了保证在各个伺服器上所看到的全域性资料库是一致的，因此，全域性资料字典必须一致。我们所关心的是全域性资料字典中的基表控制块TV_CTRL_BLOCK，它的内容主要包括：全域性基表总数，每个全域性基表名和其对应的表内码，该基表所在的伺服器站点的编号等资讯。它的功能是将各个伺服器站点号与储存在其上的表名及表内码联络起来。这样，代理伺服器从客户讯息中找到被处理的表名，然后通过查询基表控制块TV_CTRL_BLOCK,就能知道该表存在哪个伺服器上，以便将相关讯息发给该伺服器。 由于DM2上各个伺服器站点的全域性字典完全相同，任何全域性表的资讯都会记入全域性字典。若用它来构建一个企业的资料库系统，则大量只对企业某部门有用的资讯将会充斥在各部门所有伺服器的全域性字典中，增加了冗余。而且，当对全域性表进行DDL操作时，为了确保全域性字典的一致性，须对所有伺服器的全域性字典进行加锁。DM2对全域性字典的封锁方式是采用令牌环方式，即令牌绕虚环***非实环***传输，某个伺服器想对全域性字典进行操作，必须等令牌到达该伺服器才可以执行。每个部门建立的全域性表绝大多数只对本部门有用，当对这些表进行DDL操作时，却要对所有伺服器的全域性字典进行封锁，通过令牌来实现对全域性字典的互斥访问。假如，两个部门都要分别对本部门的内部表进行DDL操作，这应该是可以并行处理的操作，现在却只能序列执行。而且，当伺服器数目庞大时，每个伺服器等待令牌的时间将会很长。这严重损害了资料库的效率。 为弥补以上不足，在DM2的改进版本DM3中增加了协调器，用以联接各个独立的DM3资料库子系统，并协调各子系统间的各种关系，使各子系统既能高度自治地工作，又能进行有效的资讯共享。 2.体系结构 本系统可看作多个数据库子系统被协调器联起来的，高度自治的一个联邦资料库系统。其中，每个子系统独立处理本系统内部的事务，而子系统间的资讯共享由复制技术提供，副本间的一致性由协调器协调处理，处理所需的资讯在初始化时写入协调器的组间资料字典中。当对某子系统中的一份资料副本进行修改时，该子系统会将修改通知协调器，由协调器对该资料的其它副本进行修改，从而保证了所有副本的一致性。 由以上可知，子系统彼此并不直接接触，而是各自都与协调器直接相联，由协调器统一管理子系统间的通讯。这样，当子系统对副本进行修改时，不必关心相应的子系统处于何种状态，也不必等待回应讯息，以及异常处理，所有这些都由协调器进行管理。因此，既提高了系统执行的效率，也保证了子系统的独立性。其体系结构如下图所示。 协调器主要有三大功能，首先，它对协调器和伺服器进行初始化，并将有关资讯存入组间字典;其次，它管理不同子系统间的通讯，维护副本的一致性;最后，它在子系统出现崩溃时，进行异常管理及恢复工作。 图1 DM3多资料库系统体系结构 3.主要策略 多个DM3系统间的资讯共享是通过副本实现的，副本的一致性是由协调器来维持的，是一种弱一致性。通常，多资料库系统间的一致性是通过协调器周期性地访问伺服器的日志来完成的。由于副本的更新带有随机性，因此，若采用这种方法，可能资料被修改多次，但其相对应的副本仍未被修改，这样就损害了资料的一致性;也可能资料并未被修改，但协调器已多次访问了伺服器的日志了，这样就降低了系统的效率。 所以，本系统采用的方法是当资料被修改时，由伺服器通知协调器有关资讯，再由协调器通知相关系统，修改相关资料。这样，资料的修改及时***仍然是弱一致性***，而协调器也不会在资料未被修改的情况下访问伺服器，提高了准确性。 为了使协调器正常工作，我们对底层资料库管理系统DM2进行了修改。在基表控制块TV_CTRL_BLOCK中增加一项IsReplication。建表时，该项初始化为false;当为该表建立一个副本时，该项赋值为true。具体演算法如下。 初始化演算法。 协调器： 从使用者或应用程式接收待连线的两个系统中的伺服器名，需复制的表名; 分别登入到两个系统的伺服器上; 向存有待复制表的伺服器发预复制讯息; 等待伺服器讯息; 若失败，发一条失败的讯息给伺服器和使用者或应用程式，转11***; 若成功，从讯息中取出待复制表的有关资讯，根据这些资讯，发一条建表讯息给另一个系统的伺服器; 等待伺服器讯息; 若失败，发一条失败的讯息给伺服器和使用者或应用程式，转11***; 若成功，调资料转移程式，进行资料复制; 将有关资讯写入组间字典。 退出。 伺服器： 当伺服器收到预复制讯息后，将基表控制块TV_CTRL_BLOCK中的IsReplication赋为true。同时，取出待复制表的有关资讯，组成应答讯息发给协调器。 当伺服器收到失败的讯息后，将基表控制块TV_CTRL_BLOCK中的IsReplication赋为false。 维护演算法。 协调器： 从组间字典读出相关资讯，根据这些资讯，登入到相应系统上; 等待讯息; 从某系统的伺服器上收到一条修改讯息后，通过查询组间字典，确定该讯息的目的地，然后将它转发过去; 若失败，定时重发; 转2***; 伺服器： 1***等待讯息; 2***当收到某客户或应用程式的讯息后，检查它是否是修改资料的操作***如delete，update或insert等***; 若不是，转7***; 若是，检查基表控制块TV_CTRL_BLOCK中的IsReplication是否为true; 若不是，转7***; 若是，向协调器发修改讯息; 继续执行伺服器程式的其它部分。 恢复演算法。 若协调器所联接的系统中有一个跨掉了，则对副本的修改无法及时地反映到跨掉的系统中来。这时，需要恢复演算法来进行处理。 协调器： 当协调器发现有一个系统已经崩溃后，采取以下步骤。 将与该系统相关的变数open赋值为false; 开启记时器; 等待讯息; 若收到的讯息是其它系统发出的修改崩溃了的系统上的副本的命令，则依次将这些讯息储存起来，转3***; 若收到的讯息是记时器发出的时间到的讯息，则向崩溃的系统发登入命令; 若登入成功，将open的值改为true; 将储存的讯息依次传送过去，转9***; 若登入失败，转3***; 退出。 4.结论 我们曾在三个DM3资料库系统上，用两个协调器进行联接。结果，执行情况良好，各副本最终都能保证一致，且各副本间存在差异的时间间隔很短。另外，在出现异常的情况下，协调器也能正常工作。 主要参考文献： 1.周龙骧等，分散式资料库管理系统实现技术，科学出版社，1998。 2.郑振楣，于戈，郭敏，分散式资料库，科学出版社，1998。 3.王珊等，资料仓库技术与联机分析处理，科学出版社，1998。