編碼可以提高網路安全性嗎

Ⅰ 什麼是網路編碼技術

應用網路編碼，可以解決傳統路由、跨層設計等技術無法解決的問題，提高網路性能。網路編碼在無線網路中的應用可以提高網路的吞吐量，尤其是組播吞吐量。可以減少數據包的傳播次數，降低無線發送能耗。當網路部分節點或鏈路失效時採用隨機網路編碼，最終在目的節點仍然能恢復原始數據，增強網路的容錯性和魯棒性。網路編碼對無線網路的性能改善主要體現在提高網路編碼的吞吐量上，網路編碼已經被證明對於提高某些網路的吞吐量有著很大的作用。運用網路編碼可以在很大程度上提高網路吞吐量，但是同時會增加網路的復雜性。不少研究者在研究提高無線網路的組播吞吐量的同時，研究如何降低因採用網路編碼帶來的復雜性。在網路狀況惡劣的條件下，網路編碼和路由之間組播吞吐量的差別不大，網路編碼的優勢體現在降低網路復雜性上;在網路狀況較好的條件下，網路編碼相對於路由方法，在很大程度上，提高了組播吞吐量。這為根據網路狀況動態調整網路編碼演算法提供了可能。

Ⅱ 網路安全和網路通訊對什麼技能要求較高

網路安全和網路通訊對於當然是網路操作，以及安全方面的技術，要求更高了，還有一個就是預判能力。

Ⅲ 如何進行計算機網路的安全防範

做好計算機的安全防範工作包括以下3點：

1.防火牆技術

網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備。它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態。

目前的防火牆產品主要有堡壘主機、包過濾路由器、應用層網關(代理伺服器)以及電路層網關、屏蔽主機防火牆、雙宿主機等類型。

雖然防火牆是目前保護網路免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟體或文件,以及無法防範數據驅動型的攻擊。

2.強化訪問控制,力促計算機網路系統運行正常。

訪問控制是網路安全防範和保護的主要措施,它的任務是保證網路資源不被非法用戶使用和非常訪問,是網路安全最重要的核心策略之一。

第一,建立入網訪問功能模塊。入網訪問控制為網路提供了第一層訪問控制。它允許哪些用戶可以登錄到網路伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。第二建立網路的許可權控制模塊。網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。

3.數據加密技術

數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息、的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所採用的主要手段之一。

數據加密技術按作用不同可分為數據存儲、數據傳輸、數據完整性的鑒別以及密匙管理技術4種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密,常用的有線路加密和埠加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特徵值是否符合預先設定的參數,實現對數據的安全保護。

Ⅳ 網路安全與網路性能能的關系

網路安全倍受關注，網路安全設備的性能也引起用戶廣泛的重視：在許多企業的網路中，防火牆處於內網與外網唯一聯系的「咽喉要道」，很容易成為整個網路的性能瓶頸；VPN的使用變得越來越頻繁，而且，通過VPN傳送的大多為關鍵數據，用戶對於VPN的性能十分在意。 防火牆在實際使用時一般都會工作在多條防火牆規則條件下， 清華紫光比威UF3500的防火牆性能下降比較顯著，64位元組包長的吞吐量下降為原來的1/3左右，延遲也有不同程度的增加。而對於其他大多數參測設備來講，設置的1000條規則對防火牆性能幾乎沒有產生什麼影響，所得結果與一條規則的大致一樣。D-Link DFL-1500的所有結果與一條規則下的都相差不超過1％，是所有產品中1000條規則對其性能影響最小的一款。
對於防火牆來說，最能夠體現其安全性和保護功能的便是它的防攻擊能力。性能優良的防火牆設備能夠阻攔外部的惡意攻擊，同時還能夠使內網正常地與外界通信，對外提供服務。隨著寬頻乙太網建設規模的迅速擴大，網路上原有的認證系統已經不能很好的適應用戶數量急劇增加和寬頻業務多樣性的要求。IEEE802.1x協議具有完備的用戶認證、管理功能，可以很好地支撐寬頻網路的計費、安全、運營和管理要求，對寬頻IP城域網等電信級網路的運營和管理具有極大的優勢。IEEE802.1x協議對認證方式和認證體系結構上進行了優化，解決了傳統PPPOE和WEB/PORTAL認證方式帶來的問題，更加適合在寬頻乙太網中的使用。

Ⅳ 學習網路安全對代碼要求高嗎

還可以啊！一般來說對代碼的要求不是很高的，因為有一些命令是需要背的

Ⅵ 如何加強網路安全管理技術

1.計算機網路安全存在的問題
1.1計算機病毒
計算機網路技術給人們提供了一個自由交流的平台，同時也造成了病毒在網路中的易傳播性。因此，病毒往往可能會感染大量的計算機系統，造成嚴重的損失，如近幾年出現的「熊貓燒香病毒」、「沖擊波」等，給我們的正常工作造成了很大的威脅。病毒的傳播方式經常是瀏覽不安全的網頁、打開陌生的電子郵件或者是在安裝軟體時被偷偷的安裝上其他的程序等。
1.2網路軟體的漏洞
所有的軟體都是設計人員按照一定的邏輯進行編碼的，所以其不可能沒有缺陷存在。然而，這些漏洞恰恰是黑客和病毒進行攻擊的首選目標。還有的一些軟體為了便於設計編程人員操作故意設置有「後門」，雖然「後門」的存在一般不為外人所知，但一旦「後門」被不法分子發現，其造成的後果將不堪設想。
1.3人為的失誤
如管理人員在設置安全配置時由於粗心大意造成了安全漏洞，還有就是用戶的安全意識不強，將自己的密碼設置成別人容易猜到的數字，例如生日或電話等。現在的網吧比較多，一些人有時會在裡面的電腦上進行網路交易，沒有意識到網吧的電腦可能存在病毒或者是身邊別有用心的人在窺視，造成了不必要的損失。
1.4網路硬體的配置不協調
在進行網路配置時設計和選型考慮的欠缺，對網路應用的需求發展沒有引起足夠的重視，從而使網路在各部分的協調性不夠理想，造成網速緩慢，影響網路的可靠性、擴充性和升級換代。
1.5管理制度不健全
如對IP地址的使用沒有進行有效的管理，造成網路擁堵。還有的在防火牆配置上無意識地擴大了訪問許可權，忽視了這些許可權可能會被其他人員濫用。甚至是管理人員日常的網路維護中沒有盡到職責，對於失職人員造成的損失沒有一個合理的處罰制度。
2.建立網路安全管理的策略
2.1建立網路規范
建立網路規范，需要我們不斷完善法制建設，基於網路技術的發展方向和人民對網路應用的需求和，結合實際情況，為規范網路的合理化發展建立法律框架。同時要在道德和文化層面宣傳每個網路用戶應盡的義務，讓每個人意識到對其在網路言行承擔道德和法律責任是規范網路秩序的一個重要手段。還有網路秩序的建立也需要在法制基礎上堅決打擊各類網路犯罪，讓那些想通過網路進行犯罪的人清醒的認識到他們所做的行為要受到嚴懲的。
2.2加強入網的訪問控制
入網訪問控制是用戶進入網路的第一道關口，用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的異常檢查。首先通過驗證用戶賬號、口令等來控制用戶的非法訪問。同時要對用戶賬號、口令的設置方式給予規定，例如：口令和賬號不要過於簡單，盡量使用數字和字母組合方式，強烈建議不要生日、身份證號等容易猜到用戶信息的數字作為登陸密碼，盡量復雜化，同時也要要定期更換密碼。目前網銀系統對於這方面的控制主要使用的是USBKEY認證方法，這種方法採用硬體和軟體結合的方式，所謂的「U盾」小巧方便，很容易讓用戶隨身攜帶。在登陸時用戶的密鑰或數字證書無需存於電腦的內存中，也避免了通過網路傳播的可能性，在用戶完成網路交易後可以立即取下USBKEY。這樣，大大增強了用戶信息的安全性。
2.3防火牆技術
防火牆技術作用於本地網路與外界網路之間，相當於一道關卡，是一種常用的保護計算機網路安全的措施。通過它可以對病毒和黑客的攻擊進行阻止，將危險區域與安全區域進行分離，同時也允許用戶對隔離區域的操作。防火牆可以進出網路的通信量進行監控，如果發現危險的數據會進行處理，僅讓已經核準的安全信息通過。當前，防火牆的類型主要有包過濾防火牆、代理防火牆和雙穴主機防火牆。
2.4加密技術
加密技術通常是利用密碼技術來實現對數據的加密的。對信息加密是為了保護用戶機密的數據、文件安全。特別是在遠距離傳送信息的時候，密碼技術是唯一可行的安全技術，能夠有效的保護信息的傳輸安全。網路加密的方法通常有鏈路加密、端點加密和節點加密。
2.5備份系統
備份系統是指在計算機出現故障時，可以全盤恢復運行計算機系統所需的數據。如目前計算機中的一鍵還原系統，它可以在網路發生硬體故障、病毒攻擊或者是人為失誤等的情況下起到對數據的保護作用。我們平時也要養成對重要數據及時備份的習慣，以防止發生意外情況時造成不必要的損失。也要定期對備份系統進行升級和檢測，保障其能夠在緊急時刻可以正常運行。
3.對計算機系統進行定期維護
3.1應用程序和代碼的維護
系統處理各種操作指令的過程是通過運行各種程序而實現的，一旦程序發生了異常，勢必會引起操作系統的出現問題。因此要關注程序的調整和相應代碼的修改，對一些重要的程序要及時更新和升級。
3.2文檔維護
在對原有的系統、代碼以及相應的軟體進行維護後，要及時針對相應的文檔進行記錄修改，保持與更新後的網路系統的一致性。對變動的地方進行記錄，內容主要包括維護工作的內容、情況、時間、執行人員等，為以後的維護工作打好基礎。
3.3硬體維護
硬體維護主要針對的是計算機、伺服器、線纜、通信介面、列印機等設備的日常管理。當然，維護人員不能對設備的性能不了解，要對他們進行定期的培訓和考察。同時也要建立考核制度，對設備進行抽樣檢查，了解保養和查殺病毒工作的完成情況。對每個設備要建立故障登記表和設備檢修登記表，實施責任制，切實提高設備維護工作的質量，保證各設備的性能都處於最佳狀態。
3.4加強設備的安全管理
（1）質量保障方面：主要指設備的采購、運輸和安裝等步驟要按照規定實施。
（2）運行安全方面：網路中的設備，特別是安全類產品在使用過程中，必須和生成廠家或者是供貨單位進行有效的溝通、在出現問題時要迅速的得到技術支持服務。
（3）防電磁干擾方面：所有重要的設備都要進行電磁檢測，防止外界信號對其正常運行的干擾，必要時需安裝防電磁輻射設備。
（4）保安方面：主要加強對網路設備的辦公室進行防盜、防火等防護。

Ⅶ 電子商務的安全技術

密碼技術

密碼學（在西歐語文中之源於希臘語kryptós，「隱藏的」，和gráphein，「書寫」）是研究如何隱密地傳遞信息的學科。在現代特別指對信息以及其傳輸的數學性研究，常被認為是數學和計算機科學的分支，和資訊理論也密切相關。著名的密碼學者Ron Rivest解釋道：「密碼學是關於如何在敵人存在的環境中通訊」，自工程學的角度，這相當於密碼學與純數學的異同。密碼學是 信息安全等相關議題，如認證、訪問控制的核心。密碼學的首要目是隱藏信息的涵義，並不是將隱藏信息的存在。密碼學也促進了計算機科學，特別是在於電腦與網路安全所使用的技術，如訪問控制與信息的機密性。密碼學已被應用在日常生活：包括自動櫃員機的晶元卡、電腦使用者存取密碼、電子商務等等。

術語
[編輯本段]
直到現代以前，密碼學幾乎專指加密演算法：將普通信息（明文）轉換成難以理解的資料（密文）的過程；解密演算法則是其相反的過程：由密文轉換回明文；密碼機（cipher或cypher）包含了這兩種演算法，一般加密即同時指稱加密與解密的技術。 密碼機的具體運作由兩部分決定：一個是演算法，另一個是鑰匙。鑰匙是一個用於密碼機演算法的秘密參數，通常只有通訊者擁有。歷史上，鑰匙通常未經認證或完整性測試而被直接使用在密碼機上。

密碼協議（cryptographic protocol）是使用密碼技術的通信協議（communication protocol）。近代密碼學者多認為除了傳統上的加解密演算法，密碼協議也一樣重要，兩者為密碼學研究的兩大課題。在英文中，cryptography和cryptology都可代表密碼學，前者又稱密碼術。但更嚴謹地說，前者（cryptography）指密碼技術的使用，而後者（cryptology）指研究密碼的學科，包含密碼術與密碼分析。密碼分析 （cryptanalysis）是研究如何破解密碼學的學科。但在實際使用中，通常都稱密碼學（英文通常稱cryptography），而不具體區分其含義。

口語上，編碼（code）常意指加密或隱藏信息的各種方法。然而，在密碼學中，編碼有更特定的意義：它意指以碼字（code word）取代特定的明文。例如，以『蘋果派』（apple pie）替換『拂曉攻擊』（attack at dawn）。編碼已經不再被使用在嚴謹的密碼學，它在資訊理論或通訊原理上有更明確的意義。
在漢語口語中，電腦系統或網路使用的個人帳戶口令 （password）也常被以密碼代稱，雖然口令亦屬密碼學研究的范圍，但學術上口令與密碼學中所稱的鑰匙（key）並不相同，即使兩者間常有密切的關連。

現代密碼學
[編輯本段]

現代密碼學大致可被區分為數個領域。 對稱鑰匙密碼學指的是傳送方與接收方都擁有相同的鑰匙。直到1976年這都還是唯一的公開加密法。
現代的研究主要在分組密碼（Block Cipher）與流密碼（Stream Cipher）及其應用。分組密碼在某種意義上是阿伯提的多字元加密法的現代化。分組密碼取用明文的一個區塊和鑰匙，輸出相同大小的密文區塊。由於信息通常比單一區塊還長，因此有了各種方式將連續的區塊編織在一起。 DES和AES是美國聯邦政府核定的分組密碼標准（AES將取代DES）。盡管將從標准上廢除，DES依然很流行（triple-DES變形仍然相當安全），被使用在非常多的應用上，從自動交易機、電子郵件到遠端存取。也有許多其他的區塊加密被發明、釋出，品質與應用上各有不同，其中不乏被破解者。
流密碼，相對於區塊加密，製造一段任意長的鑰匙原料，與明文依位元或字元結合，有點類似一次墊（one-time pad）。輸出的串流根據加密時的內部狀態而定。在一些流密碼上由鑰匙控制狀態的變化。RC4是相當有名的流密碼。
密碼雜湊函數（有時稱作消息摘要函數，雜湊函數又稱散列函數或哈希函數）不一定使用到鑰匙，但和許多重要的密碼演算法相關。它將輸入資料（通常是一整份文件）輸出成較短的固定長度雜湊值，這個過程是單向的，逆向操作難以完成，而且碰撞（兩個不同的輸入產生相同的雜湊值）發生的機率非常小。
信息認證碼或押碼（Message authentication codes, MACs）很類似密碼雜湊函數，除了接收方額外使用秘密鑰匙來認證雜湊值。

公開密鑰密碼體系（Public Key Infranstructures, PKI）
公開密鑰密碼體系，簡稱公鑰密碼體系，又稱非對稱密鑰密碼體系，相對於對稱密鑰密碼體系，最大的特點在於加密和解密使用不同的密鑰。
在對稱密鑰密碼體系中，加密和解密使用相同的密鑰，也許對不同的信息使用不同的密鑰，但都面臨密鑰管理的難題。由於每對通訊方都必須使用異於他組的密鑰，當網路成員的數量增加時，密鑰數量成二次方增加。更尷尬的難題是：當安全的通道不存在於雙方時，如何建立一個共有的密鑰以利安全的通訊？如果有通道可以安全地建立密鑰，何不使用現有的通道。這個『雞生蛋、蛋生雞』的矛盾是長年以來密碼學無法在真實世界應用的阻礙。

1976年， 美國學者Whitfield Diffie與Martin Hellman發表開創性的論文，提出公開密鑰密碼體系的概念：一對不同值但數學相關的密鑰，公開鑰匙（或公鑰, public key）與私密鑰匙（私鑰,private key or secret key）。在公鑰系統中，由公開密鑰推算出配對的私密密鑰於計算上是不可行的。歷史學者David Kahn這樣描述公開密鑰密碼學；「從文藝復興的多字元取代法後最革命性的概念。」在公鑰系統中，公鑰可以隨意流傳，但私鑰只有該人擁有。典型的用法是，其他人用公鑰來加密給該接受者，接受者使用自己的私鑰解密。Diffie與Hellman也展示了如何利用公開鑰匙密碼學來達成Diffie-Hellman鑰匙交換協定。

1978年，MIT的Ron Rivest、Adi Shamir和Len Adleman發明另一個公開密鑰系統，RSA。
直到1997年的公開文件中大眾才知道，早在1970年代早期，英國情報機構GCHQ的數學家James H. Ellis便已發明非對稱密鑰密碼學，而且Diffie-Hellman與RSA都曾被Malcolm J. Williamson與Clifford Cocks分別發明於前。 這兩個最早的公鑰系統提供優良的加密法基礎，因而被大量使用。其他公鑰系統還有Cramer-Shoup、Elgamal、以及橢圓曲線密碼學等等。

除了加密外，公開密鑰密碼學最顯著的成就是實現了數字簽名。數字簽名名符其實是普通簽章的數位化，他們的特性都是某人可以輕易製造簽章，但他人卻難以仿冒。數字簽名可以永久地與被簽署信息結合，無法自信息上移除。數字簽名大致包含兩個演算法：一個是簽署，使用私密密鑰處理信息或信息的雜湊值而產生簽章；另一個是驗證，使用公開鑰匙驗證簽章的真實性。RSA和DSA是兩種最流行的數字簽名機制。數字簽名是公開密鑰
基礎建設（public key infranstructures, PKI）以及許多網路安全機制（SSL/TLS, VPNs等）的基礎。

公開密鑰的演算法大多基於計算復雜度上的難題，通常來自於數論。例如，RSA源於整數因子分解問題；DSA源於離散對數問題。近年發展快速的橢圓曲線密碼學則基於和橢圓曲線相關的數學難題，與離散對數相當。由於這些底層的問題多涉及模數乘法或指數運算，相對於分組密碼需要更多計算資源。因此，公開密鑰系統通常是復合式的，內含一個高效率的對稱密鑰演算法，用以加密信息，再以公開密鑰加密對稱鑰匙系統所使用的鑰匙，以增進效率。

基於身份認證密碼體系( Identity-Based Cryptograph, IBC)
在1984年以色列科學家Shamir提出了基於標識的密碼系統的概念（IBC）。在基於標識的系統中，每個實體具有一個標識。該標識可以是任何有意義的字元串。但和傳統公鑰系統最大的不同是，在基於標識的系統中，實體的標識本身就是實體的公開密鑰。由於標識本身就是實體的公鑰，這類系統就不再依賴證書和證書管理系統如PKI，從而極大地簡化了管理密碼系統的復雜性。在提出IBC概念的同時，Shamir提出了一個採用RSA演算法的基於標識的簽名演算法(IBS)。但是基於標識的加密演算法（IBC）長時期未能找到有效解決方法。

在2000年，三位日本密碼學家R. Sakai, K. Ohgishi 和 M. Kasahara提出了使用橢圓曲線上的pairing設計基於標識的密碼系統的思路。在該論文中他們提出了一種無交互的基於標識的密鑰生成協議. 在該系統中，他們設計了一種可用於基於標識的密碼系統中的系統初始化方法和密碼生成演算法。

在2001年，D. Boneh和M. Franklin , R. Sakai, K. Ohgishi 和 M. Kasahara 以及C. Cocks 分別提出了三個基於標識的加密演算法。前兩個都是採用橢圓曲線上pairing的演算法。第三種演算法利用平方剩餘難問題。前兩種演算法都採用了與中相同的思路初試化系統並生成用戶的私鑰。由於D. Boneh和M. Franklin提出的IBC (BF-IBC)的安全性可以證明並且有較好的效率，所以引起了極大的反響。

基於標識的密碼技術在過去幾年中得到快速發展。研究人員設計了大量的新密碼系統。隨著應用的逐漸廣泛，相應演算法的標准化工作也在逐步展開。IEEE P1363.3的基於標識的密碼技術工作組正在進行相關演算法的標准化工作 。ISO/IEC已經標准化了兩個基於標識的簽名演算法。

2007年，中國國家密碼局組織了國家標識密碼體系IBC標准規范( Identity-Based Cryptograph, IBC)的編寫和評審工作。由五位院士和來自黨政軍、科研院所的密碼專家組成了評審組，對該標准規范在安全性、可靠性、實用性和創新性等方面進行了多次嚴格審查， 2007年12月16日國家IBC標准正式通過了評審。專家們一致認定，該標准擁有獨立知識產權，屬於國內首創，達到了國際領先水平，並已逐步開始應用在智能密鑰、加密郵件、網路安全設備等產品中中。

有關的法律禁令
[編輯本段]

密碼技術長期以來都是情報或司法機構的興趣。由於這些單位的隱密性以及禁令後個人隱私的減少，密碼技術也是人權支持者關心的焦點。環繞密碼技術的法律議題已有很長的歷史，特別是在可以執行高品質密碼的廉價計算機問世後。

在某些國家甚至本國的密碼技術應用也受到了限制：
直到1999年，法國仍然限制國內密碼技術的使用。
在中國，使用密碼技術需要申請執照。
許多國家有更嚴格的限制，例如白俄羅斯、哈薩克、蒙古、巴基斯坦、俄羅斯、新加坡、突尼西亞、委內瑞拉和越南。
在美國，國內密碼技術的使用是合法的，但仍然有許多法律沖突。

一個特別重要的議題是密碼軟體與硬體的出口管制。由於密碼分析在二戰時期扮演的重要腳色，也期待密碼學可以持續在國家安全上效力，許多西方國家政府嚴格規范密碼學的出口。二戰之後，在美國散布加密科技到國外曾是違法的。事實上，加密技術曾被視為軍需品，就像坦克與核武。直到個人電腦和網際網路問世後情況才改變。好的密碼學與壞的密碼學對絕大部分使用者來說是沒有差別的，其實多數情況下，大部分現行密碼技術普遍緩慢而且易出錯。然而當網際網路與個人電腦日益成長，優良的加密技術逐漸廣為人知。可見出口管制將成為商務與研究上的阻礙。

密碼技術在中國的發展狀況
[編輯本段]

我國信息網路安全研究歷經了通信保密、數據保護兩個階段，正在進入網路信息安全研究階段，現已開發研製出防火牆、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟體等。但因信息網路安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果，提出系統的、完整的和協同的解決信息網路安全的方案，目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究，各部分相互協同形成有機整體。

防火牆技術
防火牆技術，最初是針對 Internet 網路不安全因素所採取的一種保護措施。顧名思義，防火牆就是用來阻擋外部不安全因素影響的內部網路屏障，其目的就是防止外部網路用戶未經授權的訪問。目前，防火牆採取的技術，主要是包過濾、應用網關、子網屏蔽等。

防火牆的定義
[編輯本段]

所謂防火牆指的是一個有軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，
防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。

防火牆的功能
[編輯本段]

防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

為什麼使用防火牆?
[編輯本段]

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

防火牆的類型
[編輯本段]

防火牆有不同類型。一個防火牆可以是硬體自身的一部分，你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行，該機器作為它背後網路中所有計算機的代理和防火牆。最後，直接連在網際網路的機器可以使用個人防火牆。

防火牆的概念
[編輯本段]

當然，既然打算由淺入深的來了解，就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。再電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

防火牆的功能
[編輯本段]

防火牆是網路安全的屏障：

一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

防火牆可以強化網路安全策略：

通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

對網路存取和訪問進行監控審計：

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄：

通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所了解。

除了安全作用，防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN（虛擬專用網）。

防火牆的英文名為「FireWall」，它是目前一種最重要的網路防護設備。從專業角度講，防火牆是位於兩個(或多個)網路間，實施網路之間訪問控制的一組組件集合。

防火牆在網路中經常是以下圖所示的兩種圖標出現的。左邊那個圖標非常形象，真正像一堵牆一樣。而右邊那個圖標則是從防火牆的過濾機制來形象化的，在圖標中有一個二極體圖標。而二極體我們知道，它具有單向導電性，這樣也就形象地說明了防火牆具有單向導通性。這看起來與現在防火牆過濾機制有些矛盾，不過它卻完全體現了防火牆初期的設計思想，同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的，而對外部網路卻總是不信任的，所以最初的防火牆是只對外部進來的通信進行過濾，而對內部網路用戶發出的通信不作限制。當然目前的防火牆在過濾機制上有所改變，不僅對外部網路發出的通信連接要進行過濾，對內部網路用戶發出的部分連接請求和數據包同樣需要過濾，但防火牆仍只對符合安全策略的通信通過，也可以說具有「單向導通」性。

防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為「防火牆」。其實與防火牆一起起作用的就是「門」。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這里所講的防火牆的「安全策略」，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的「單向導通性」。

Ⅷ 網路安全

網路安全知識包括黑客知識。
是指網路系統的硬體、軟體及系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統可以連續可靠正常地運行，網路服務不被中斷。
什麼是計算機病毒？
計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼。
什麼是木馬？
木馬是一種帶有惡意性質的遠程式控制制軟體。木馬一般分為客戶端和伺服器端。客戶端就是本地使用的各種命令的控制台，伺服器端則是要給別人運行，只有運行過伺服器端的計算機才能夠完全受控。木馬不會象病毒那樣去感染文件。
什麼是防火牆？它是如何確保網路安全的？
使用功能防火牆是一種確保網路安全的方法。防火牆是指設置在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的惟一出入口，能根據企業的安全策略控制（允許、拒絕、監測）出入網路的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務、實現網路和信息安全的基礎設施。
什麼是後門？為什麼會存在後門？
後門是指一種繞過安全性控制而獲取對程序或系統訪問權的方法。在軟體的開發階段，程序員常會在軟體內創建後門以便可以修改程序中的缺陷。如果後門被其他人知道，或者在發布軟體之前沒有刪除，那麼它就成了安全隱患。
什麼叫入侵檢測？
入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，檢查網路中是否有違反安全策略的行為和遭到襲擊的跡象。
什麼叫數據包監測？它有什麼作用？
數據包監測可以被認為是一根竊聽電話線在計算機網路中的等價物。當某人在「監聽」網路時，他們實際上是在閱讀和解釋網路上傳送的數據包。如果你需要在互聯網上通過計算機發送一封電子郵件或請求一個網頁，這些傳輸信息時經過的計算機都能夠看到你發送的數據，而數據包監測工具就允許某人截獲數據並且查看它。
什麼是NIDS？
NIDS是網路入侵檢測系統的縮寫，主要用於檢測HACKER和CRACKER通過網路進行的入侵行為。NIDS的運行方式有兩種，一種是在目標主機上運行以監測其本身的通信信息，另一種是在一台單獨的機器上運行以監測所有網路設備的通信信息，比如HUB、路由器。
什麼叫SYN包？
TCP連接的第一個包，非常小的一種數據包。SYN攻擊包括大量此類的包，由於這些包看上去來自實際不存在的站點，因此無法有效進行處理。
加密技術是指什麼？
加密技術是最常用的安全保密手段，利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地後再用相同或不同的手段還原（解密）。
加密技術包括兩個元素：演算法和密鑰。演算法是將普通的信息或者可以理解的信息與一串數字（密鑰）結合，產生不可理解的密文的步驟，密鑰是用來對數據進行編碼和解密的一種演算法。在安全保密中，可通過適當的密鑰加密技術和管理機制來保證網路的信息通信安全。
什麼叫蠕蟲病毒？
蠕蟲病毒源自一種在網路上傳播的病毒。1988年，22歲的康奈爾大學研究生羅伯特.莫里斯通過網路發送了一種專為攻擊UNIX系統缺陷、名為「蠕蟲」的病毒，蠕蟲造成了6000個系統癱瘓，估計損失為200萬到6000萬美圓。由於這只蠕蟲的誕生，在網上還專門成立了計算機應急小組。現在蠕蟲病毒家族已經壯大到成千上萬種，並且這千萬種蠕蟲病毒大都出自黑客之手。
什麼是操作系統病毒？
這種病毒會用它自己的程序加入操作系統進行工作，具有很強的破壞力，會導致整個系統癱瘓。並且由於感染了操作系統，這種病毒在運行時，會用自己的程序片段取代操作系統的合法程序模塊。根據病毒自身的特點和被替代的操作系統中合法程序模塊在操作系統中運行的地位與作用，以及病毒取代操作系統的取代方式等，對操作系統進行破壞。同時，這種病毒對系統中文件的感染性也很強。
莫里斯蠕蟲是指什麼？
它的編寫者是美國康奈爾大學一年級研究生羅伯特.莫里斯。這個程序只有99行，利用UNIX系統的缺點，用finger命令查聯機用戶名單，然後破譯用戶口令，用MAIL系統復制、傳播本身的源程序，再編譯生成代碼。
最初的網路蠕蟲設計目的是當網路空閑時，程序就在計算機間「游盪」而不帶來任何損害。當有機器負荷過重時，該程序可以從空閑計算機「借取資源」而達到網路的負載平衡。而莫里斯蠕蟲不是「借取資源」，而是「耗盡所有資源」。
什麼是DDoS？
DDoS也就是分布式拒絕服務攻擊。它使用與普通的拒絕服務攻擊同樣的方法，但是發起攻擊的源是多個。通常攻擊者使用下載的工具滲透無保護的主機，當獲取該主機的適當的訪問許可權後，攻擊者在主機中安裝軟體的服務或進程（以下簡稱代理）。這些代理保持睡眠狀態，直到從它們的主控端得到指令，對指定的目標發起拒絕服務攻擊。隨著危害力極強的黑客工具的廣泛傳播使用，分布式拒絕服務攻擊可以同時對一個目標發起幾千個攻擊。單個的拒絕服務攻擊的威力也許對帶寬較寬的站點沒有影響，而分布於全球的幾千個攻擊將會產生致命的後果。
區域網內部的ARP攻擊是指什麼？
ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。基於ARP協議的這一工作特性，黑客向對方計算機不斷發送有欺詐性質的ARP數據包，數據包內包含有與當前設備重復的MAC地址，使對方在回應報文時，由於簡單的地址重復錯誤而導致不能進行正常的網路通信。一般情況下，受到ARP攻擊的計算機會出現兩種現象：1、不斷彈出「本機的XXX段硬體地址與網路中的XXX段地址沖突」的對話框。2、計算機不能正常上網，出現網路中斷的症狀。
因為這種攻擊是利用ARP請求報文進行「欺騙」的，所以防火牆會誤以為是正常的請求數據包，不予攔截。因此普通防火牆很難抵擋這種攻擊。
什麼叫欺騙攻擊？
網路欺騙的技術主要有：HONEYPOT和分布式HONEYPOT、欺騙空間技術等。主要方式有：IP欺騙、ARP欺騙、DNS欺騙、WEB欺騙、電子郵件欺騙、源路由欺騙（通過指定路由，以假冒身份與其他主機進行合法通信或發送假報文，使受攻擊主機出現錯誤動作）、地址欺騙（包括偽造源地址和偽造中間站點）等。

Ⅸ 網路編碼的安全問題

研究人員承認，竊聽方式與xor位流概念的混合可能會引發對安全性的擔憂。
但是麻省理工學院的Medard卻認為，網路編碼在執行過程中偽裝了數據，並且能有效地承載數據，所以實際上增強了信息的安全性，要比在網路上傳輸不可破譯的演算法流的傳統加密技術更安全。
「在你做這種數據包的混合時，其本身就具備了數據隱藏的性能。」Medard說。「比如有兩個位組A和B，對兩個位組執行xor操作，從得出的結果中哪個位組的數據你都看不到。你可能知道其中的某些位的值，但你卻不可能還原出A位組的數據，除非你完全知道B位組的數據。」
她說，網路編碼技術還能在P2P傳輸中檢測惡意「污染」攻擊，並糾正錯誤。
當然，還需要做大量的工作，以便確定網路編碼對於安全的影響。至於網路編碼能否在互聯網這種共享基礎設施中最終取代路由器，也同樣還需要解決很多問題才行。比如說，客戶必須知道，當信息在共享網路中不能夠進行混合的時候該如何實施網路編碼；他們還需要注意網路編碼在有線和無線基礎設施中的細微差別；而業界必須能夠找出某種辦法，當運營商把不同客戶的不同流量相互混合時，客戶到底應該如何付費。
Medard說，她和其他研究人員一起正在考慮解決這些問題的辦法，繼續探索改進網路的各種途徑，以便讓網路成為人類社會不可或缺的組成部分。