行开展了对防火墙的研究，使得更快网络方面的信息，防火墙能保护网络安全，但并不是绝对安全的。防火墙还处于发展阶段，仍须许多问题解决。从正式开始搞毕业设计通过书本，网络，讨论等多方面的学习收集整理而成的这份方案。通过本次设计我们比较系统掌握了年所学的网络知识，并能有效分析解决实际问题，提出相对应的网络管理病毒防范措施。但是由于时间有限，在时间的过程中还有很多不足的地方，在以后的工作学习中继续努力改进。经过这几个月的设计，我深刻体会到要做好个完整的事情，需要有系统的思维方式和方法，对待个新的问题，要耐心要善于运用已有的资源来充实自己。致谢大学三年生活即将结束，在这里我非常感谢所有教导我的老师，他不但教会我们知识，在指导我的论文上非常尽心，不厌其烦的帮助指导，帮助我在三年的大学生活画上完美的句号。感谢我的父母。没有他们支持我就没有机会接受教育，也没有机会认识这么多良师益友，感谢我的指导老师贺松，在我设计的日子里督促指导我完成论文，感谢所有帮助我的人，谢谢你们。参考文献陈斌等译，网络设计，电子工业出版社，年月朱雁辉著，防火墙与网络技术，电子工业出版社，年月常红等著，网络安全技术与反黑客，冶金工业出版社，年月袁家政著，计算机网络安全与应用技术，清华大学出版社，年月胡道元著，计算机网络，清华大学出版社，年月刑钧著，网络安全与防火墙技术，电子科技大学出版社，年月谢希仁著，计算机网络工程基础，电子工业出版社，年月石彥杰著，计算机网络系统集成技术，高等教育出版社，年月过共享的文件或者软件，在给人们带来方便和快乐的同时，有些病毒和木马正附载于这些文件之中。当你下载时也就把病毒木马并下载进入了计算机。所以我们应选择信誉较好的下载网站，最好将下载的软件及程序等集中放在非引导分区的个目录，在使用前再用杀毒软件查杀病毒，确保病毒不感染我们的系统。或者可以安装个实时监控病毒的软件，实时监控网上传递的文件和信息等。尽量不打开来历不明的电子邮件及其附件，以免遭受病毒邮件的侵害。在互联网上有许多种病毒流行，有些病毒就是通过电子邮件来传播的如熊猫烧香梅丽莎爱虫等，这些病毒邮件通常都会以特别的标题来吸引你去打开其附件，从而使你电脑中毒。第六警惕网络钓鱼。网上些黑客利用网络钓鱼手法进行诈骗活动，如建立假冒网站或发送含有欺诈伪造信息的电子邮件，盗取网上银行网上购物或者其他电子商务用户的账户密码，从而窃取用户资金的违法犯罪活动不断增多。公安机关和银行证券等有关部门提醒网上银行网上证券和电子商务用户对此提高警惕，防止上当受骗。目前网络钓鱼的主要手法有下种方式发送，以虚假欺诈信息引诱用户上当受骗建立假冒网上银行网上证券和网上购物网站，骗取用户帐号密码实施盗窃活动利用虚假的电子商务进行诈骗。第七避免使用共享文件夹功能。有些人以为在内部网络上共享的文件都是安全的，其实在共享文件的同时就会有软件漏洞呈现在互联网的用户利用和攻击。因此共享文件应该设置好密码，非到必要是不共享文件夹。如果确实需要共享文件夹，定要将文件夹的属性设置为只读。通常共享设定访问类型不要选择完全选项，因为这选项将导致只要能访问这共享文件夹的人员都可以将所有内容进行修改或者删除。的共享默认是只读的，其他机器不能写入而的共享默认是可写的，其他机器可以删除和写入文件，对用户安全构成威胁。另外也不要将整个硬盘设定为共享，如果个访问者将系统文件删除，可能会导致计算机系统全面崩溃，之后无法启动计算机。第八不随意浏览黑客网站色情网站。很多病毒木马程序恶意插件和间谍软件都来自于黑客网络和色情网站，如果你浏览了这些网站，而你的个人计算机恰巧又没有缜密的防范措施，那么电脑遭到病毒木马的入侵可能性就极大，之后便可能出现严重的后果。第九定期备份重要数据，对系统进行补丁升级。数据备份非常重要，无论你的计算机防范措施做得多么严密，也无法完全防止病毒和木马程序入侵的情况出现。如果遭到致命的攻击，操作系统和应用软件可以重装，但是很多重要的数据只能靠你日常的备份。所以，无论你采取了多么严密的防范措施，也不要忘了随时备份你的重要数据，做到有备无患。初次之外，要经常对系统进行补丁升级，很多时候由于没有及时进行补丁的升级都会让病毒木马程序有机可乘，致使计算机系统处理速度严重变慢，更可能使系统崩溃。第六章防火墙的发展历程及趋势基于路由器的防火墙由于多数路由器本身就包含有分组过滤功能，故网络访问控制可能通过路控制来实现，从而使具有分组过滤功能的路由器成为第代防火墙产品。第代防火墙产品的特点利用路由器本身对分组的解析，以访问控制表方式实现对分组的过滤过滤判断的依据可以是地址端口号旗标及其他网络特征只有分组过滤的功能，且防火墙与路由器是体的。这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独利用台路由器作为防火墙。第代防火墙产品的不足之处具体表现为路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如，在使用协议时，外部服务器容易从号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的号端口仍可以由外部探寻。路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑致性。作用端口的有效性和规则集的正确性，般的网络系统管理员难于胜任，加之旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多。路由器防火墙的最大隐患是攻击者可以假冒地址。由于信息在网络上是以明文方式传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。路由器防火墙的本质缺陷是由于路由器的主要功能是为网络访问提供动态的灵活的路由，而防火墙则要对访问行为实施静态的固定的控制，这是对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。可以说基于路由器的防火墙技术只是网络安全的种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。用户化的防火墙工具套为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。作为第二代防火墙产品，用户化的防火墙工具套具有以下特征将过滤功能从路由器中独立出来，并加上审计和告警功能针对用户需求，提供模块化的软件包软件可以通过网络发送，用户可以自己动手构造防火墙与第代防火墙相比，安全性提高了，价格也降低了。第二代防火墙产品的缺点无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求，配置和维护过程复杂费时对用户的技术要求高全软件实现，使用中出现差错的情况很多。建立在通用操作系统上的防火墙基于软件的防器等。告警功能会守住每个或探寻，并能以发出邮件声响等多种方式报警。此外，第四代防火墙还在网络诊断数据备份保全等方面具有特色。第四代防火墙的抗攻击能力作为种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。在环境中针对防火墙的攻击很多，下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。抗假冒攻击假冒是指个非法的主机假冒内部的主机地址，骗取服务器的信任，从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来，外部用户很难知道内部的地址，因而难以攻击。抗特洛伊木马攻击特洛伊木马能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序之中，尤其是热门程序或游戏，些用户下载并执行这程序，其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的，其内核中不能执行下载的程序，故而可以防止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并不表明其保护的个主机也能防止这类攻击。事实上，内部用户可以通过防火墙下载程序，并执行下载的程序。抗口令字探寻攻击在网络中探寻口令的方法很多，最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信，截获用户传给服务器的口令字，记录下来，以便使用解密是指采用强力攻击猜测或截获含有加密口令的文件，并设法解密。此外，攻击者还常常利用些常用口令字直接登录。第四代防火墙采用了次性口令字和禁止直接登录防火墙措施，能够有效防止对口令字的攻击。抗网络安全性分析网络安全性分析工具是提供管理人员分析网络安全性之用的，旦这类工具用作攻击网络的手段，则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前，软件可以从网上免费获得，可以从市面上购买，这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术，将内部网络隐蔽起来，使网络安全分析工具无法从外部对内部网络做分析。抗邮件诈骗攻击邮件诈骗也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式对它攻击，同样值得提的是，防火墙不接收邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户要防邮件诈骗，最终的解决办法是对邮件加密。防火墙的发展趋势优良的性能新代的防火墙系统不仅应该能够更好地保护防火墙后面内部网络的安全，而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护，但是同时它也成为限制网络带宽的瓶颈，这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数，由于不同防火墙的不同功能具有不同的工作量和系统资源要求，因此数据在通过防火墙时会产生延时。自然，数据通过率越高，防火墙性能越好。现在大多数的防火墙产品都支持功能，它可以让防火墙受保护的边的地址不至于暴露在没有保护的另边，但是启用后势必会对防火墙系统的性能有所影响。目前如何尽量减少这种影响也成为防火墙产品的卖点之。另外防火墙系统中集成的解决方案必须是真