基于tcpip協(xié)議的網(wǎng)絡安全策略畢業(yè)論文

1、<p>　　畢業(yè)設計（論文）任務書</p><p>　　畢業(yè)設計（論文）申報表</p><p>　　基于TCP/IP協(xié)議的網(wǎng)絡安全策略</p><p>　　摘要:本文在分析TCP/IP協(xié)議基本體系結(jié)構(gòu)的基礎上，針對TCP/IP協(xié)議本身存在著一些安全問題及其應用于Internet所帶來的安全隱患，從不同角度討論了各種可能的攻擊策略和相應的防范措施，為應對通常

2、防范措施的缺陷提出了自動化網(wǎng)絡安全策略，有助于基于TCP/IP協(xié)議的網(wǎng)絡安全建設。</p><p>　　關(guān)鍵字：TCP/IP協(xié)議；因特網(wǎng)；安全策略；自動化網(wǎng)絡安全策略</p><p>　　Automation based on TCP/IP network security strategy</p><p>　　Abstract: The basic archite

3、cture of TCP/IP protocol stack is analyzed。Aiming at some problems of TCP/IP itself and the hidden trouble for internet，several at tack tactics and protected measures are discussed in detail from different point of view，

4、in order to compensate the weakness of general measures ,Automation Network Security Measure is put forward, which is very important to the construction of network security.</p><p>　　Key words: TCP/IP proto

5、col，Internet，Network security tactics，Automatic Network Security Tactics</p><p><b>　　目 錄</b></p><p>　　第1章 TCP/IP 概述1</p><p>　　1.1 TCP/IP的組成1</p><p>　　1.

6、2 TCP/IP連接方式3</p><p>　　1.3 TCP/IP的工作原理4</p><p>　　第2章 TCP/IP網(wǎng)絡安全策略5</p><p>　　2.1 TCP/IP存在脆弱性5</p><p>　　2.2網(wǎng)絡嗅探及對策6</p><p>　　2.3 IP源地址欺騙及辨別7</p>

7、<p>　　2.4基于ICMP 的攻擊及對策7</p><p>　　2.5 路由欺騙及防范8</p><p>　　2.6 TCP序列號欺騙9</p><p>　　2.7 DNS欺騙10</p><p>　　2.8安全策略比較10</p><p>　　第3章 自動化概述11</p>

8、<p>　　3.1自動化的定義11</p><p>　　3.2自動化科學技術(shù)的研究內(nèi)容和應用領域11</p><p>　　3.3自動化科學技術(shù)的發(fā)展12</p><p>　　3.3.1工業(yè)生產(chǎn)已進入全球化生產(chǎn)階段12</p><p>　　3.3.2控制理論的進展13</p><p>　　3.3.3

9、CIMS與CIPS14</p><p>　　3.3.4人工智能技術(shù)14</p><p>　　3.4自動化技術(shù)的發(fā)展趨勢15</p><p>　　第4章 自動化網(wǎng)絡安全策略17</p><p>　　4.1擁塞控制17</p><p>　　4.1.1 TCP擁塞控制17</p><p>

10、　　4.1.2 IP擁塞控制19</p><p>　　4.2防火墻技術(shù)19</p><p>　　4.2.1防火墻的概念19</p><p>　　4.2.2防火墻的功能20</p><p>　　4.2.3防火墻的類型22</p><p>　　4.3數(shù)據(jù)加密23</p><p>　　第5

11、章TCP/IP協(xié)議安全不容忽視25</p><p>　　5.1 TCP/IP協(xié)議安全之ARP欺騙26</p><p>　　5.2 ARP欺騙解決方案26</p><p>　　5.3 TCP/IP協(xié)議安全之路由欺騙27</p><p>　　5.4 TCP/IP協(xié)議安全之DNS欺騙27</p><p>　　第6章

12、 不安全的TCP/IP協(xié)議安全性能解決辦法29</p><p>　　6.1網(wǎng)絡入侵方式29</p><p>　　6.1.1偽造IP地址29</p><p>　　6.2 TCP狀態(tài)轉(zhuǎn)移的問題30</p><p>　　6.3 定時器問題31</p><p>　　6.4利用網(wǎng)絡監(jiān)控設備觀測網(wǎng)絡入侵32</p

13、><p>　　6.4.1偽造IP地址32</p><p>　　6.4.2虛假狀態(tài)轉(zhuǎn)移32</p><p>　　6.4.3定時器問題33</p><p><b>　　結(jié) 論34</b></p><p><b>　　致 謝35</b></p><p>

14、;<b>　　參考文獻36</b></p><p>　　第1章 TCP/IP 概述</p><p>　　TCP/IP協(xié)議起源于60年代末美國政府資助的一個分組交換網(wǎng)絡研究項目，到90年代已發(fā)展成為計算機之間最常用的組網(wǎng)形式，它是一個真正的開發(fā)系統(tǒng)，支持不同操作系統(tǒng)的主機以及不同類型網(wǎng)絡的互聯(lián)。</p><p>　　隨著全球計算機網(wǎng)絡的日益擴大

15、，人們的辦事效率越來越高。但是安全問題也日益嚴重，成為人們普遍關(guān)注的問題。網(wǎng)上的信息傳輸量之大，系統(tǒng)之復雜使得對信息流動進行跟蹤記錄幾乎不可能，數(shù)據(jù)的完整性、保密性難以保障，網(wǎng)絡安全已成為據(jù)通信領域研究和發(fā)展的一個重要方向。</p><p>　　在網(wǎng)絡的各種傳輸協(xié)議中，TCP/IP是目前應用最廣的協(xié)議。但是，TCP/IP協(xié)議在制訂之初并沒有把網(wǎng)絡安全考慮充分，存在著很多安全問題，這就需要采用網(wǎng)絡安全技術(shù)來彌補它的

16、缺陷，堵住安全漏洞，增強網(wǎng)絡安全。</p><p>　　為降低網(wǎng)絡安全的成本，解決越來越快的安全技術(shù)更新帶來的實施過程中的難題，當前的網(wǎng)絡安全技術(shù)將表現(xiàn)出越來越多的自動化趨勢，逐步減少對Internet用戶的安全方面的專業(yè)要求和在產(chǎn)品更新方面花費的代價。</p><p>　　TCP/IP（Transmission Control Protocol/Internet Protocol）即運輸

17、控制協(xié)議/互聯(lián)網(wǎng)協(xié)議。它是70年代中期美國國防部為其ARPANET廣域網(wǎng)開發(fā)的網(wǎng)絡體系結(jié)構(gòu)和協(xié)議標準。目前國際上規(guī)模最大的計算機互聯(lián)網(wǎng)Internet便是以TCP/IP協(xié)議集為基礎的。與國際標準ISO/OSI相比，雖然其框架和實現(xiàn)細節(jié)都有些差異,但其基本原理是一致的。事實上，在制定OSI模型時,主要參考了Internet的TCP/IP協(xié)議集。因此,兩者大部分幾乎是一樣的。另外，TCP/IP開發(fā)較早,適用范圍廣(可用于局域網(wǎng)和廣域網(wǎng))。目

18、前已比較成熟,占有市場較大,已成為一種事實上的標準。TCP/IP 定義了電子設備如何連入因特網(wǎng)，以及數(shù)據(jù)如何在它們之間傳輸?shù)臉藴?。協(xié)議采用了4層的層級結(jié)構(gòu)，每一層都呼叫它的下一層所提供的網(wǎng)絡來完成自己的需求。通俗而言：TCP負責發(fā)現(xiàn)傳輸?shù)膯栴}，一有問題就發(fā)出信號，要求重新傳輸，直到所有數(shù)據(jù)安全正確地傳輸?shù)侥康牡?。而IP是給因特網(wǎng)的每一臺電腦規(guī)定一個地址。</p><p>　　1.1 TCP/IP的組成</p

19、><p>　　TCP/IP 協(xié)議并不完全符合開放式系統(tǒng)互連(OSI) 參考模型。OSI 參考模型是一種具有7 層通信協(xié)議的抽象參考模型，其中每一層執(zhí)行某一特定的任務。而TCP/IP 通訊協(xié)議采用了4 層的層次結(jié)構(gòu)。即應用層、傳輸層、網(wǎng)絡層和網(wǎng)絡接口層。每一層通過呼叫它下一層所提供的網(wǎng)絡服務來完成自己的需求。對照ISO/OSI七層模型，TCP/IP協(xié)議組的體系結(jié)構(gòu)如表1-1TCP/IP 模型和協(xié)議族所示。</p&

20、gt;<p>　　表1-1 TCP/IP 模型和協(xié)議族</p><p>　　表1-2 TCP/IP結(jié)構(gòu)對應OSI</p><p>　　注意tcp本身不具有數(shù)據(jù)傳輸中噪音導致的錯誤檢測功能,但是實現(xiàn)超時的錯誤重傳功能;</p><p>　　TCP對應傳輸層，它保證信息的可靠傳輸。IP提供網(wǎng)絡層服務，完成結(jié)點的編址、尋址和信息的分拆和打包。其中：</

21、p><p>　　網(wǎng)絡層的主要功能：負責相鄰結(jié)點之間的通信。主要有IP協(xié)議、ICMP（網(wǎng)際控制報文協(xié)議）、IGMP(Internet組管理協(xié)議)、ARP（地址解析協(xié)議）、RARP(反向地址轉(zhuǎn)換協(xié)議）等。</p><p>　　IP----網(wǎng)間協(xié)議，負責主機間數(shù)據(jù)傳輸?shù)穆酚杉熬W(wǎng)絡數(shù)據(jù)的存儲，同時為ICMP、TCP、UDP提供分組發(fā)送服務。</p><p>　　ARP----地

22、址解析協(xié)議，將網(wǎng)絡地址（IP地址）映射到物理地址（網(wǎng)卡地址）。</p><p>　　RARP----逆地址解析協(xié)議，網(wǎng)卡地址映射到IP地址。</p><p>　　ICMP----網(wǎng)間報文控制協(xié)議，用于網(wǎng)關(guān)和主機間的差錯和傳輸控制。</p><p>　　傳輸層的主要功能：負責起點到終點的通信。該層有兩個廣為使用的協(xié)議： </p><p>　　T

23、CP(傳輸控制協(xié)議)和UDP（用戶數(shù)據(jù)報協(xié)議）。TCP是一個面向連接的協(xié)議,它允許從一臺主機發(fā)出的報文無差錯地發(fā)往互聯(lián)網(wǎng)上的其他機器。UDP 是一個不可靠的、無連接協(xié)議，用于不需要TCP 排序和流量控制而是自己完成這些功能的應用程序。它也被廣泛地應用于只有一次的客戶－服務器模式的請求－應答查詢，以及快速遞交更重要的應用程序。如傳輸語音或影像。</p><p>　　高層應用層的主要功能：該層包含F(xiàn)TP(文件傳輸協(xié)議

24、)、HTTP(超文本傳輸協(xié)議）、TELNET(虛擬終端協(xié)議）、SMTP(簡單郵件傳送協(xié)議）、DNS（域名服務協(xié)議）等許多著名協(xié)議，提供諸如文件傳輸、網(wǎng)頁瀏覽、遠程登錄、電子郵件、域名解析等應用程序。</p><p>　　TCP、UDP和IP協(xié)議是網(wǎng)絡操作系統(tǒng)的內(nèi)核，對用戶應用程序是透明的，用戶通過TCP/IP的編程界面調(diào)用這些內(nèi)核程序，從而開發(fā)應用程序。編程界面有兩種形式，一種是由網(wǎng)絡操作系統(tǒng)內(nèi)核為用戶應用程序提

25、供系統(tǒng)功能調(diào)用；另一種就是所謂的套接字（Socket）。套接字本質(zhì)上就是一種函數(shù)調(diào)用（函數(shù)庫），用戶通過這些函數(shù)編寫TCP/IP應用程序。Windows提供的編程界面就是WinSock。</p><p>　　1.2 TCP/IP連接方式 </p><p>　　使用TCP/IP協(xié)議可以實現(xiàn)異構(gòu)計算機的互連，也可以實現(xiàn)異構(gòu)局域網(wǎng)的互連。網(wǎng)絡通過網(wǎng)關(guān)發(fā)送數(shù)據(jù)，該網(wǎng)關(guān)實現(xiàn)將異構(gòu)網(wǎng)絡協(xié)議轉(zhuǎn)換為TCP

26、/IP環(huán)境，實現(xiàn)互通互連，TCP/IP成為事實上的網(wǎng)絡互連標準。現(xiàn)在，各種網(wǎng)絡操作系統(tǒng)均嵌入了TCP/IP協(xié)議，使異構(gòu)網(wǎng)絡互相通信。它們之間的連接如圖1-2TCP/IP 連接方式所示。</p><p>　　圖1-2 TCP/IP 連接方式</p><p>　　1.3 TCP/IP的工作原理</p><p>　　為了向應用層提供可靠的數(shù)據(jù)傳輸，TCP/IP采取了一系列

27、復雜的措施，包括三次握手、基于滑動窗口的確認和重傳機制、流量控制等，其中主要通過三次握手實現(xiàn)TCP連接。這里規(guī)定：主動提出連接請求的一方叫客戶端；被動接受連接的另一方叫服務器。三次握手：當收到客戶機A向服務器B發(fā)送syn請求報文時,B將發(fā)送一個(ack，syn)應答報文，同時創(chuàng)建一個控制結(jié)構(gòu)，將其加入到一個隊列中，等待A的ack報文；接收到A的ack 報文后，雙方都進入連接狀態(tài)，就可以發(fā)送數(shù)據(jù)；如果B在一段時間內(nèi)沒有收到應答信息，則控制

28、塊將被釋放。</p><p>　　第2章 TCP/IP網(wǎng)絡安全策略</p><p>　　所謂網(wǎng)絡安全策略是指一個網(wǎng)絡中關(guān)于安全問題采取的對策，以保證網(wǎng)絡的安全運行。安全策略有兩個原則，一個是沒有明確表述為允許的都被認為是禁止的；另一個是一切沒有明確表述為禁止的都被認為是允許的，通常人們都采用第一種策略.</p><p>　　影響網(wǎng)絡安全的因素很多，從客觀上說有人為的

29、和非人為的；從主觀上說分為有意的和無意的；從人員上說分為內(nèi)部的和外部的。無論哪種情況都可歸納為： (1) 外部人員的非法入侵。(2) 內(nèi)部人員的非法占用。(3) 計算機病毒的侵蝕。對以上3 類問題，我們分別采用防火墻、數(shù)據(jù)加密和解毒軟件來保證網(wǎng)絡的可用性和完整性.下面介紹TCP/IP網(wǎng)絡安全策略。</p><p>　　2.1 TCP/IP存在脆弱性</p><p>　　IP層的主要曲線是缺

30、乏有效的安全認證和保密機制，其中最主要的因素就是IP地址問題。TCP/IP協(xié)議用IP地址來作為網(wǎng)絡節(jié)點的惟一標識，許多TCP/IP服務，包括Berkeley中的R命令、NFS、X Window等都是基于IP地址對用戶進行認證和授權(quán)。當前TCP/IP網(wǎng)絡的安全機制主要是基于IP地址的包過濾（Packet Filtering）和認證(Authentication)技術(shù)，它的有效性體現(xiàn)在可以根據(jù)IP包中的源IP地址判斷數(shù)據(jù)的真實性和安全性。然

31、而IP地址存在許多問題，協(xié)議的最大缺點就是缺乏對IP地址的保護，缺乏對IP包中源IP地址真實性的認證機制與保密措施。這也就是引起整個TCP/IP協(xié)議不安全的根本所在。</p><p>　　由于UDP是基于IP協(xié)議之上的，TCP分段和UDP協(xié)議數(shù)據(jù)包是封裝在IP包中在網(wǎng)絡上傳輸?shù)模虼送瑯用媾RIP層所遇到的安全威脅?，F(xiàn)在人們一直在想辦法解決，卻仍然無法避免的就是根據(jù)TCP連接建立時“三次握手”機制的攻擊。這些攻擊總

32、結(jié)起來包括：</p><p>　　源地址欺騙（Source Address Spoofing）或IP欺騙（IP Spoofing）；</p><p>　　源路由選擇欺騙（Source Routing Spoofing）；</p><p>　　路由選擇信息協(xié)議攻擊（RIP Attacks）；</p><p>　　鑒別攻擊（Authenticat

33、ion Attacks）；</p><p>　　TCP序列號欺騙（TCP Sequence number spoofing）；</p><p>　　TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸；</p><p>　　TCP序列號轟炸攻擊（TCP SYN Flooding Attack），簡稱SYN攻擊；</p><p>　　易欺騙性（Ease of s

34、poofing）。</p><p>　　比如網(wǎng)管員都熟悉的因特網(wǎng)控制信息協(xié)議（ICMP），它是TCP/IP協(xié)議組的一個基本網(wǎng)絡管理工具，在幫助網(wǎng)絡管理人員排除網(wǎng)絡故障中立下了汗馬功勞，同時ICMP攻擊卻十分猖狂。最明顯的是ICMP重定向報文，它被網(wǎng)關(guān)用來為主機提供好的路由，卻不能被用來給主機的路由表進行主動的變化。如果入侵者已經(jīng)攻破一個對目標主機來說可利用的次要網(wǎng)關(guān)，而不是基本網(wǎng)關(guān)，入侵者就可以通過有危險的次要網(wǎng)

35、關(guān)給信任主機設置一個錯誤的路由。多數(shù)的服務主機在TCP重定向報文上不實行有效檢查，這種攻擊的影響和基于RIP的攻擊相似。</p><p>　　另外，ICMP也可以被用來進行拒絕服務攻擊。個別的報文如目標不可達或者超時，就可以用來重置目前的連接，如果入侵者知道TCP 連接的本地及遠端的端口號，將生成該連接的ICMP 報文。有時這樣的信息可以通過NETSTAT服務來實現(xiàn)。一個更普遍的拒絕服務攻擊是發(fā)送偽造的子網(wǎng)掩碼回

36、應報文。無論主機是否查詢，它們都將接受該報文，一個錯誤的報文就可能阻塞目標主機的所有連接。</p><p>　　2.2網(wǎng)絡嗅探及對策</p><p>　　網(wǎng)絡嗅探是利用網(wǎng)絡上的接口接收不屬于本主機的數(shù)據(jù)。計算機網(wǎng)絡通常建立在共享信道上，而在每一對主機之間都建立專門的連接線路代價太高,也沒有必要，這就為網(wǎng)絡嗅探提供了必要的條件。在網(wǎng)絡上進行數(shù)據(jù)通信時，信息以數(shù)據(jù)報的形式進行傳送，其中報頭包含

37、目的主機的硬件地址，并且只有硬件地址匹配的機器才會接收該數(shù)據(jù)報。然而也存在一些能接收所有數(shù)據(jù)報的機器(或接口)，稱之為雜錯節(jié)點。再者用戶賬號和口令等信息一般都是以明文的形式在網(wǎng)絡上傳輸，所以一旦被黑客在雜錯節(jié)點上嗅探到，用戶就可能會遭到攻擊。針對這一類攻擊，可以采取以下措施予以防范：(1) 網(wǎng)絡分段： 一個網(wǎng)絡段包括一組共享底層設備和線路的機器，通過網(wǎng)絡分段可以對數(shù)據(jù)流進行限制，從而達到防止嗅探的目的。(2) 一次性口令技術(shù)： 口令并不

38、在網(wǎng)絡上傳輸,而是在網(wǎng)絡兩端進行字符串的匹配?？蛻舳死脧姆掌魃系玫降目诹?Challenge) 和自身的口令計算出或從列表中選擇一個新的字符串并返回給服務器。然后服務器利用相應的比較算法進行匹配，若不匹配則不允許建立連接，并且所有的Challenge 和字符串僅使用一次，這樣就從一定程度上限制了網(wǎng)絡嗅探。(3) 禁用</p><p>　　2.3 IP源地址欺騙及辨別</p><p>　

39、　IP欺騙是網(wǎng)絡黑客攻擊系統(tǒng)最常用的手段之一，它常常是其它攻擊方法的基礎。TCP/IP協(xié)議用IP地址來作為網(wǎng)絡節(jié)點的唯一標識，但節(jié)點的IP地址又是不固定的。因此攻擊者可冒充某個可信任節(jié)點的IP地址，對主機進行攻擊。IP源地址欺騙分為2 種： 外部源地址欺騙和內(nèi)部源地址欺騙。外部源地址欺騙中，一種是外部用戶冒充內(nèi)部用戶進行攻擊。這很好區(qū)分，因為它進入內(nèi)部網(wǎng)絡的唯一通道是路由器，而在廣域網(wǎng)接口上不可能有內(nèi)部源地址數(shù)據(jù)包進入。另一種是攻擊者冒

40、充你信任的網(wǎng)絡進行連接，可采用基于地址信任的策略來防止這一攻擊。內(nèi)部的IP源地址欺騙即內(nèi)部網(wǎng)絡用戶互相冒充，這種情況需要通過用戶認證才能辨別。</p><p>　　每一個連接局域網(wǎng)的網(wǎng)關(guān)或路由器在決定是否允許外部的IP數(shù)據(jù)包進入局域網(wǎng)之前，先對來自外部的IP數(shù)據(jù)包進行檢驗。如果該IP包的IP源地址是其要進入的局域網(wǎng)內(nèi)的IP地址，該IP包就被網(wǎng)關(guān)或路由器拒絕，不允許進入該局域網(wǎng)。</p><p&

41、gt;　　另外一種防御這種攻擊的較為理想的方法是當IP數(shù)據(jù)包出局域網(wǎng)時檢驗其IP源地址。即每一個連接局域網(wǎng)的網(wǎng)關(guān)或路由器在決定是否允許本局域網(wǎng)內(nèi)部的IP數(shù)據(jù)包發(fā)出局域網(wǎng)之前，先對來自該IP數(shù)據(jù)包的IP源地址進行檢驗。如果該IP包的IP源地址不是其所在局域網(wǎng)內(nèi)部的IP地址，該IP包就被網(wǎng)關(guān)或路由器拒絕，不允許該包離開局域網(wǎng)。這樣一來，攻擊者至少需要使用其所在局域網(wǎng)內(nèi)的IP地址才能通過連接該局域網(wǎng)的網(wǎng)關(guān)或路由器。如果攻擊者要進行攻擊，根據(jù)其

42、發(fā)出的IP數(shù)據(jù)包的IP源地址就會很容易找到誰實施了攻擊。</p><p>　　因此建議每一個ISP或局域網(wǎng)的網(wǎng)關(guān)路由器都對出去的IP數(shù)據(jù)包進行IP源地址的檢驗和過濾。如果每一個網(wǎng)關(guān)路由器都做到了這一點，IP源地址欺騙將基本上無法奏效。在當前并不是每一網(wǎng)關(guān)及路由器都能做到這一點的情況下，網(wǎng)絡系統(tǒng)員只能將自己管理的網(wǎng)絡至于盡可能嚴密的監(jiān)視之下，以防備可能到來的攻擊。</p><p>　　2.4

43、基于ICMP 的攻擊及對策</p><p>　　ICMP(Internet Control Message Protocol，網(wǎng)際控制報文協(xié)議)是IP層的一部分，它是不同機器的IP軟件之間傳送差錯和控制信息的元連接協(xié)議。ICMP報頭有3個共同的域： 類型(1個字節(jié))、代碼(1個字節(jié)) 及校驗和(2個字節(jié))。ICMP 報文格式見表2-1ICMP報文格式所示。</p><p>　　表2-1　I

44、CMP報文格式</p><p>　　0 1 2 4 n</p><p>　　PING 命令在發(fā)送一個ICMP Echo 請求報文時，任何收到此報文的機器必須給源主機返回一個ICMP Echo 回答報文，所以此命令可用來檢測一個目的主機是否可達。PIN G 命令普遍存在于TCP/IP網(wǎng)絡及其子網(wǎng)中

45、，防火墻和網(wǎng)絡都允許PING通過而忽略了它的危險性： 被用來進行拒絕服務攻擊。同時，利用PTNG可以在得到允許的網(wǎng)絡中建立秘密通道，就有工具利用這一點在系統(tǒng)中開一后門，搜集目標機器上的信息，并進行秘密通信。</p><p>　　如果ICMP回應被允許的話，數(shù)據(jù)包過濾將無法檢測到是否有秘密通道的存在。對ICMP這樣一個無連接的協(xié)議，偽裝的主機(利用偽造的IP地址)仍然可以將含有秘密數(shù)據(jù)的回應請求發(fā)到目標主機，引起該

46、主機的回應，所以限制ICMP回應到信任主機是沒有用的。目前雖然通過數(shù)據(jù)包過濾器可以檢測數(shù)據(jù)域的內(nèi)容是否合法，但這種應用還不是很廣泛，并且不能完全防止欺騙。所以最好的辦法就是拒絕網(wǎng)絡上所有的ICMP回應。</p><p>　　2.5 路由欺騙及防范</p><p>　　每一個TP 數(shù)據(jù)報或物理幀都會在主機的網(wǎng)絡層被檢查，以決定是轉(zhuǎn)發(fā)給同一子網(wǎng)中的主機還是下一個驛站。所以所有的路由欺騙方法都是

47、通過偽造路由表，錯誤引導非本地的數(shù)據(jù)報實現(xiàn)。</p><p>　　TCP/TP網(wǎng)絡中，IP數(shù)據(jù)包的傳輸路徑完全由路由表決定。若攻擊者通過各種手段改變路由表，使目標主機發(fā)送的IP包到達攻擊者能控制的主機或路由器，就可以完成嗅探監(jiān)聽，篡改等攻擊方式。1.RIP路由欺騙 RIP協(xié)議用于自治系統(tǒng)內(nèi)傳播路由信息。路由器在收到RIP數(shù)據(jù)報時一般不作檢查。攻擊者可以聲稱他所控制的路由器A可以最快的到達某一站點B，從而誘使發(fā)往

48、B的數(shù)據(jù)包由A中轉(zhuǎn)。由于A受攻擊者控制，攻擊者可偵聽、篡改數(shù)據(jù)。RIP路由欺騙的防范措施主要有：1.路由器在接受新路由前應先驗證其是否可達。2.對RIP包進行身份認證,杜絕假冒路由器。 2.IP源路由欺騙。IP報文首部的可選項中有“源站選路”，可以指定到達目的站點的路由。正常情況下，目的主機如果有應答或其他信息返回源站，就可以直接將該路由反向運用作為應答的回復路徑。 </p><p>　　主機A（假設IP地址是1

49、92.168.100.11）是主機B（假設IP地址為192.168.100.1）的被信任主機，主機X想冒充主機A從主機B獲得某些服務。首先，攻擊者修改距離X最近的路由器G2，使用到達此路由器且包含目的地址192.168.100.1的數(shù)據(jù)包以主機X所在的網(wǎng)絡為目的地；然后，攻擊者X利用IP欺騙（把數(shù)據(jù)包的源地址改為192.168.100.11）向主機B發(fā)送帶有源路由選項（指定最近的G2）的數(shù)據(jù)包。當B回送數(shù)據(jù)包時，按收到數(shù)據(jù)包的源路由選項

50、反轉(zhuǎn)使用源路由，傳送到被更改過的路由器G2。由于G2路由表已被修改，收到B的數(shù)據(jù)包時，G2根據(jù)路由表把數(shù)據(jù)包發(fā)送到X所在的網(wǎng)絡，X可在其局域網(wǎng)內(nèi)較方便地進行偵聽，收取此數(shù)據(jù)包。</p><p>　　TCP/IP協(xié)議中，IP數(shù)據(jù)報為進行測試設置了一個選項： IP Source Routing，該選項可以直接指明到達節(jié)點的路由，攻擊者可以利用這個選項進行欺騙和非法連接。其原理是攻擊者冒充某個可信節(jié)點的IP地址，構(gòu)造一

51、個通往某個服務器的直接路徑和往返路徑，利用可信任用戶作為通往服務器的路由中的最后一站，就可以向服務器發(fā)請求，對其進行攻擊。在TCP/IP協(xié)議的兩個傳輸層協(xié)議TCP和UDP中，由于UDP是面向非連接的，沒有初始化的連接建立過程。所以UDP更容易被欺騙。防止源路由欺騙的方法有兩種：一種是通過設置主機忽略重定向信息來防止路由欺騙；另一種是通過檢測本機的常駐數(shù)據(jù)，查看此信息是否來自合法的路由器，以達到防止源路由欺騙的目的。</p>

52、<p>　　2.6 TCP序列號欺騙</p><p>　　TCP序列號欺騙是基于每次建立連接的3步交接順序基礎之上的，其信號交換順序正常運行過程為：</p><p>　　時刻l　Z (A) ——SYN ——→B</p><p>　　時刻2　A←——SYN/ACK——→B</p><p>　　時刻3　Z(A) —— ACK——→B&

53、lt;/p><p>　　時刻4　Z(A) ——→ B</p><p>　　侵襲者偽裝成被信任主機A(該主機處于停頓狀態(tài)) 的IP地址。然后向目標主機B 發(fā)送連接請求(時刻1 所示)。在時刻2，目標主機B 對連接請求做出反應，發(fā)送SYN/ACK 數(shù)據(jù)包給被信任主機A，由于被信任主機已喪失處理能力而拋棄該SYN/ACK 數(shù)據(jù)包。然后在時刻3，侵襲者再次偽裝成A向目標主機發(fā)送ACK (侵襲者所預測目

54、標系統(tǒng)的數(shù)據(jù)序列號) 數(shù)據(jù)包，如果序列號正確，目標主機將會接收該ACK，從而建立正式的相互連接。在時刻4,目標系統(tǒng)會認為這是內(nèi)部系統(tǒng)的安全連接，開始進行數(shù)據(jù)傳輸。這樣，侵襲者假扮成目標系統(tǒng)B 的被信任主機A，便可對目標系統(tǒng)進行隨心所欲的攻擊。這就是TCP序列號襲擊與欺騙。對外界觀察而言，初始序號像是隨機選擇的，事實上它是通過一種簡單的算法產(chǎn)生的。Internet標準(RFC) 指出，32 位計數(shù)器每4ms 使最低的有效位加1，不過在Be

55、rkeley TCP實施方案中，每1秒鐘增加一次，一次連接過程增加128，有新呼叫時再增加。這就使侵襲者十分有把握預測到系統(tǒng)下次呼叫時所用的序列號，這也正是利用TCP序列號攻擊和欺騙的基礎所在。如果不使用基于IP地址的身份確認，并修改TC</p><p><b>　　2.7 DNS欺騙</b></p><p>　　當主機需要將一個域名轉(zhuǎn)化為IP地址時，它會向DNS服務

56、器發(fā)送一個查詢請求；同樣，把IP地址轉(zhuǎn)化為域名時會發(fā)送一個反查詢請求。這樣一旦DNS服務器中數(shù)據(jù)被破壞，DNS欺騙就會產(chǎn)生。DNS服務器可以將客戶引導到非法服務器，也可欺騙服務器相信某個IP地址是被信任客戶。DNS欺騙可通過在本機上保留一個包含域名和相應IP地址的數(shù)據(jù)庫來防止。每一個服務器至少要保存信任主機的信息。此外，一個冒充被信任客戶的攻擊者往往要進入負責保留攻擊者IP地址的DNS服務器，修改反向查詢表，這時就必須使用正向和反向查詢

57、表進行交叉查詢來防范。除此之外，還存在兩種可能的攻擊：一種是基于嗅探和IP欺騙的攻擊方法；這種攻擊只能通過利用基于加密的終端協(xié)議來降低攔截的威脅；一種是服務拒絕攻擊，這時，可以通過禁用Finger 服務、關(guān)掉可能產(chǎn)生無限序列的服務和增加等待連接的隊列長度并減少半連接的保存時間來進行防止。</p><p><b>　　2.8安全策略比較</b></p><p>　　以上

58、幾種針對TCP/IP欺騙的防范措施，可以較為有效的保證了基于TCP/IP的網(wǎng)絡安全，但是它們又有不可忽視的缺點：即人過多的參與了安全防范措施，如為防止TCP序列號攻擊，需修改TCP模塊，耗費了人的很多精力。針對這種缺點，提出了自動化的網(wǎng)絡安全策略。</p><p><b>　　第3章 自動化概述</b></p><p><b>　　3.1自動化的定義<

59、/b></p><p>　　一般認為，自動化研究的是如何通過使用各種技術(shù)工具和系統(tǒng)（包括計算機）延伸人的信息獲取、處理和決策控制的功能，提高生產(chǎn)能力、生產(chǎn)水平和勞動生產(chǎn)率，并不斷提高人和機器交互作用的水平，把人從繁重的、可程序化的工作中解放出來，以從事更多創(chuàng)造性的勞動。自動化是只機器設備（動力）或者生產(chǎn)過程、管理過程，在沒有人直接參與下，經(jīng)過自動檢測、信息處理、分析判斷、操縱控制、實現(xiàn)預期的目標、目的或完成

60、某種過程。</p><p>　　自動化是自動化技術(shù)和自動化過程的簡稱。自動化技術(shù)主要有兩個方面：第一，用自動化機械代替人工的動力方面的自動化技術(shù)；第二，在生產(chǎn)過程和業(yè)務處理過程中，進行測量、計算、控制等。</p><p>　　3.2自動化科學技術(shù)的研究內(nèi)容和應用領域</p><p>　　計算機科學與技術(shù)的高度發(fā)展及普及應用,為自動控制理論、應用技術(shù)的發(fā)展提供了愈來愈

61、完善的軟硬件工具和實施條件,相應地也促進了控制科學的理論研究與技術(shù)開發(fā)。正是由于控制和計算機科學,技術(shù)相結(jié)合,因此它將在下列領域發(fā)揮作用。</p><p>　　(1)制造與儀表領域：如制造系統(tǒng)(FMS)、計算機集成制造系統(tǒng)(CIMS),納米工程等。制造建模和管理,機器人學,元及儀表,如虛擬儀器等。</p><p>　　(2)設計方法領域：控制設計、線性系統(tǒng)、非線性系統(tǒng)、最優(yōu)控制,棒控制。&

62、lt;/p><p>　　(3)系統(tǒng)與信息領域：建模、辨識及信號處理、自適應控制與調(diào)整、離散事件動態(tài)系統(tǒng)、隨機系統(tǒng),模糊及神經(jīng)元系統(tǒng)。</p><p>　　(4)生命支持系統(tǒng)領域：農(nóng)業(yè)系統(tǒng)的建模與智能控制,如自動化蔬菜工廠、生物技術(shù)、生物醫(yī)藥系統(tǒng)的建模與控制,生態(tài)系統(tǒng)的建模與控制。</p><p>　　(5)系統(tǒng)工程與管理領域：大系統(tǒng)、人機系統(tǒng)、計算機輔助控制系統(tǒng)設計、經(jīng)

63、營管理技術(shù),金融及工程系統(tǒng)中的計算。</p><p>　　(6)全球化自動化教育領域：控制教育、自動化的社會影響,發(fā)展中國家的自動化教育。</p><p>　　(7)工業(yè)應用領域：化工、采礦、冶煉過程控制電廠及電力系統(tǒng)生產(chǎn)過程的故障診斷、監(jiān)控及安全生產(chǎn)。</p><p>　　(8)運載體領域：航空、艦船、汽車控制,空中交通控制自動化,智能自動運載體和自動定位系統(tǒng)(G

64、PS)。</p><p>　　(9)計算機控制領域：分布計算機控制系統(tǒng)、實時軟件過程、實時控制的算法、結(jié)構(gòu)與人工智能,計算機控制系統(tǒng)的安全性。</p><p>　　(10)國防、安全部門：高度自動化,高命中的武器與防衛(wèi)系統(tǒng)。</p><p>　　3.3自動化科學技術(shù)的發(fā)展</p><p>　　3.3.1工業(yè)生產(chǎn)已進入全球化生產(chǎn)階段</p

65、><p>　　國際投資與國際貿(mào)易一樣，都是促進各國經(jīng)濟增長的重要因素。國際投資，包括國際直接和國際間接投資，對促進世界經(jīng)濟增長的新作用正在被人們逐漸認識。在一體化國際生產(chǎn)的環(huán)境下，跨國公司通過國內(nèi)生產(chǎn)、海外銷售；海外生產(chǎn)、當?shù)劁N售；海外生產(chǎn)、海外銷售等經(jīng)營方法更加自由地選擇國際市場。在國際激烈競爭的壓力下，跨國公司，特別是技術(shù)先進的公司，尋找新的機會，采用國際直接投資的方法進入世界一切或已進入的市場。分布在全世界的跨

66、國公司子公司可以在其全球市場體系內(nèi)進行新產(chǎn)品開發(fā)、生產(chǎn)和出口，無需這些活動一定在母公司完成?？鐕居懈蟮膮^(qū)位選擇和國際化經(jīng)營方式進行國際投資和國際貿(mào)易，并且在國際投資的過程中完成國際貿(mào)易。 在新的國際生產(chǎn)一體化體系中，跨國公司內(nèi)部各個公司，包括母公司與子公司、子公司與子公司之間的企業(yè)內(nèi)國際貿(mào)易日益增加。通過全球不同區(qū)位間的縱向一體化和橫向一體化，跨國公司在更大的空間范圍內(nèi)實現(xiàn)了企業(yè)內(nèi)國際分工，從而擴大了企業(yè)內(nèi)國際投資和國際貿(mào)易的流量

67、和存量。國際生產(chǎn)一體化體系中的國際貿(mào)易與全球化縱向一體化和橫向一體化的生產(chǎn)活動密切有關(guān)，與企業(yè)內(nèi)國際直接投資相聯(lián)系的國際貿(mào)易結(jié)構(gòu)更體現(xiàn)了中間產(chǎn)品和服務以及</p><p>　　國際生產(chǎn)一體化網(wǎng)絡的體系正在逐步形成。傳統(tǒng)的國際貿(mào)易為主體的國際分工正演變成世界性的國際生產(chǎn)為主體的國際分工，使得國際分工從內(nèi)容、形式、機制都發(fā)生了本質(zhì)的根本變化。</p><p>　　隨著電話、傳真、衛(wèi)星傳播、全球

68、定位系統(tǒng)（Global Positioning System----GPS）和因特網(wǎng)（Internet）等通信、網(wǎng)絡技術(shù)的發(fā)達，工廠全球化、開放化已經(jīng)成為自動化技術(shù)的新領域。系統(tǒng)、控制、計算機、網(wǎng)絡是工廠全球化的基礎技術(shù)。虛擬工廠、實時控制、自律分布系統(tǒng)、制造業(yè)中的幾個重要方面。</p><p>　　3.3.2控制理論的進展</p><p>　　1948年美國科學家維納的專著《控制論》（C

69、ybernetics）的出版，標志著控制論作為一門獨立學科的正式誕生。</p><p>　　經(jīng)典控制理論即古典控制理論，也稱為自動控制理論。</p><p>　　20世紀初研制成裝在飛機上的電動陀螺穩(wěn)定裝置，并發(fā)展成自動駕駛儀，但這僅僅是人們在實踐中直觀摸索的結(jié)果，尚無理論上的指導。當時的自動駕駛儀在結(jié)構(gòu)上比較簡陋，對飛機的穩(wěn)定和控制也極為簡單，控制質(zhì)量不高。30年代末至40年代初形成經(jīng)典

70、控制理論。在這種理論指導下飛機上自動駕駛儀的性能得到提高，并在40年代為研制V-1、V-2導彈提供了基礎。經(jīng)典控制理論適用于單輸入、單輸出的線性定常（參數(shù)不隨時間而變）系統(tǒng)，所以在分析設計V-1、V-2導彈控制系統(tǒng)時，將導彈的運動分解成單輸入、單輸出的運動。V-2導彈從地面飛出大氣層，其特性參數(shù)變化很大，是一個時變對象，但為了應用經(jīng)典控制理論而采用系數(shù)凍結(jié)法將時變對象簡化為定常的對象。這樣，V-1和V-2導彈雖都投入使用，但命中精度不高

71、。經(jīng)典控制理論中的非線性理論在40～50年代得到發(fā)展，經(jīng)典的分析方法有描述函數(shù)法、相平面法等。這些分析方法在分析戰(zhàn)術(shù)導彈制導系統(tǒng)（較多采用典型非線性的繼電控制方式）時較為有效，成為50年代戰(zhàn)術(shù)導彈得到較大發(fā)展的因素之一。</p><p>　　隨著導彈和航天活動的進展，對飛行器控制的精度要求大大提高，飛行器完成的任務更趨復雜，加上飛行器飛行時環(huán)境的急劇變化，對飛行器控制系統(tǒng)提出了更高的要求。為了滿足這些要求，必須尋

72、求新的理論來指導控制系統(tǒng)的設計。</p><p>　　20世紀40年代，為解決火炮射擊精度等問題；誕生了自動控制理論，并創(chuàng)造出了許多自動控制裝置(或系統(tǒng))，為自動化技術(shù)的形成奠定了基礎。研究自動控制系統(tǒng)的構(gòu)造、性能、設計方法以及應用的理論，就是控制理論。40—50年代，單機自動化和單個過程自動化得到了廣泛的應用?！　?0年代以后，自動控制理論得到了飛速的發(fā)展，形成了所謂的現(xiàn)代控制理論，其中有保證系統(tǒng)某種(某些)

73、性能指標為最佳的設計方法(最優(yōu)控制)；在系統(tǒng)和環(huán)境的信息不齊備的情況下，如何改變自身性能，保證系統(tǒng)具有良好工作品質(zhì)的控制方法—(自適應控制)；分析和設計大系統(tǒng)的方法(大系統(tǒng)理論)。　　60年代以后，由于控制技術(shù)的發(fā)展，電子計算機的倔起，工業(yè)機器人的問世，以及柔性制造系統(tǒng)的出現(xiàn)，綜合自動化得到了極大的發(fā)展。</p><p>　　3.3.3 CIMS與CIPS</p><p>　　CIMS(

74、Computer Integrated Manufacturing System)叫做計算機集成制造系統(tǒng)。它是基于傳統(tǒng)制造技術(shù)、信息技術(shù)、管理技術(shù)、自動化技術(shù)、系統(tǒng)工程技術(shù)的一門發(fā)展中的綜合性技術(shù)。它的最大的特點是多種技術(shù)的綜合與全企業(yè)信息的集成。CIMS的集成，從宏觀上看主要是以下5個方面：</p><p>　　(1)系統(tǒng)運行環(huán)境的集成</p><p><b>　　(2)信息的

75、集成</b></p><p>　　(3)應用功能的集成</p><p><b>　　(4)技術(shù)的集成</b></p><p>　　(5)人和組織的集成它是信息時代企業(yè)自動化發(fā)展的總方向。</p><p>　　CIMS的現(xiàn)代化特征是數(shù)字化、信息化、智能化、集成化和綠色化。</p><p>

76、;　　CIPS（Computer Integrated Processing System）叫做計算機集成工程系統(tǒng)，它是過程工業(yè)中的CIMS技術(shù)。其關(guān)鍵技術(shù)包括：計算機網(wǎng)絡技術(shù)、數(shù)據(jù)庫管理系統(tǒng)、各種接口技術(shù)、過程操作優(yōu)化技術(shù)、先進控制技術(shù)、軟測量技術(shù)、生產(chǎn)過程的安全保護技術(shù)等。目前，CIPS已經(jīng)在過內(nèi)外的一些煉油與石油化工廠進行了實驗。</p><p>　　3.3.4人工智能技術(shù)</p><p

77、>　　自動化學科中的人工智能研究注重于以更靈活的方式，在更加復雜和不確定的環(huán)境中執(zhí)行人類更高層次的職能。</p><p>　　人工智能（AI）學科，自1956年誕生至今以有50年歷史了，就研究解釋和模擬人類智能、智能行為及其規(guī)律這一大目標已經(jīng)邁出了可喜的一步，某些方面取得了相當?shù)倪M展。20世紀70年代前后，人工智能在許多取得較大的進展，受到廣泛的重視；但在20世紀80年代，美國、日本和歐洲正執(zhí)行AI的研究計

78、劃時，多遇到了重重困難，沒有達到預想的目標；20世紀90年代以來，人工智能取得了新的進展，又出現(xiàn)了下面幾個熱點：知識發(fā)現(xiàn)（KDD）、系統(tǒng)分析法（MAS）、多智能題（Multiagent）、基于事例的推理（CBR）、遺傳算法（GA）。盡管人工智能的發(fā)展是一個曲折的歷程，但它在自動推理、認知建模、機器學習、神經(jīng)元網(wǎng)絡、自然語言處理、專家系統(tǒng)、智能機器人等方面都取得了稱得上具有智能的成就。人工智能是研究使計算機來模擬人的某些思維過程和智能行為

79、（如學習、推理、思考、規(guī)劃等）的學科，主要包括計算機實現(xiàn)智能的原理、制造類似于人腦智能的計算機，使計算機能實現(xiàn)更高層次的應用。人工智能將涉及到計算機科學、心理學、哲學和語言學等學科?？梢哉f幾乎是自然科學和社會科學的所有學科，其范圍已遠遠超出了計算機科學的范疇，人工智能與思維科</p><p>　　3.4自動化技術(shù)的發(fā)展趨勢</p><p>　　從1956年正式提出人工智能學科算起，50多年

80、來，取得長足的發(fā)展，成為一門廣泛的交叉和前沿科學。總的說來，人工智能的目的就是讓計算機這臺機器能夠象人一樣思考。如果希望做出一臺能夠思考的機器，那就必須知道什么是思考，更進一步講就是什么是智慧。什么樣的機器才是智慧的呢？科學家已經(jīng)作出了汽車，火車，飛機，收音機等等，它們模仿我們身體器官的功能，但是能不能模仿人類大腦的功能呢？到目前為止，我們也僅僅知道這個裝在我們天靈蓋里面的東西是由數(shù)十億個神經(jīng)細胞組成的器官，我們對這個東西知之甚少，模仿

81、它或許是天下最困難的事情了。</p><p>　　在20世紀自動控制領域的成果與應用成就的基礎上,面向21世紀自動化科學的發(fā)展趨勢為：</p><p>　　(1)復雜系統(tǒng)建模與發(fā)展：為了滿足當前高新技術(shù)發(fā)展的需要,研究大規(guī)模復雜系統(tǒng)的建模與仿真工作已很迫切。這將涉及多層面、多分辨率的建模以及在聚合/解聚作用下不同分辨率模型間的平滑一致性轉(zhuǎn)換、各種分析模型與知識模型之間的集成,以及在控制與決

82、策過程中的優(yōu)化調(diào)度與靈活運用。</p><p>　　(2)新型控制系統(tǒng)結(jié)構(gòu)、方法與算法的研究：有關(guān)分布式分層遞階控制,非完全控制,可組態(tài)控制進化控制計算法,自組織自學習控制,綜合集成優(yōu)化方法,智能化控制等。</p><p>　　(3)混雜控制系統(tǒng)理論與應用：該理論是近年來發(fā)展很快和倍受重視的研究領域,其特征是將離散系統(tǒng)和連續(xù)過程系統(tǒng)集成在一個框架結(jié)構(gòu)內(nèi)進行分析、綜合與優(yōu)化設計。反饋與優(yōu)化仍

83、是其核心主題開展該系統(tǒng)的研究將涉及微分、代數(shù)、數(shù)學邏輯與時序邏輯、基于Agent的分布式人工智能、Petri網(wǎng)等多種學科。可以認為,混雜控制系統(tǒng)理論及應用是新世紀控制學界開辟的一個具有里程碑意義的研究領域。</p><p>　　(4)非線性控制系統(tǒng)理論及應用：它仍然是控制科學中倍受重視的領域,近10a來發(fā)展很快,已在構(gòu)造性遞歸設計等方面取得重要進展。該系統(tǒng)未來的成功,將有賴于獲取能提供清晰的簡單模型,這對防止出現(xiàn)

84、過于復雜的非線性控制器是十分必要的。</p><p>　　(6)智能機器人系統(tǒng)：機器人----新時代人類的寵兒！近幾年來已取得極大地發(fā)展,智能機器人是開創(chuàng)未來的工作,它包含感知、思維和動作功能,此人機交互技術(shù),遙控自主、虛擬現(xiàn)實技術(shù),仿生和微機器人是極有發(fā)展前途的領域。</p><p>　　(7)CIMS與智能制造系統(tǒng)：它在21世紀必將會有更大地發(fā)展,將硬件動態(tài)系統(tǒng)和混雜控制系統(tǒng)的理論及技

85、術(shù)成果融為一體。</p><p>　　(8)大規(guī)模復雜工業(yè)過程智能化控制與決策。這種控制和決策一直受到控制學科和工業(yè)界的極度重視,包括動力、冶煉和大型化工生產(chǎn)過程等。對這類系統(tǒng)的優(yōu)化控制應特別注意正在高速發(fā)展的計算機網(wǎng)絡(如Internet等),環(huán)境資源和基于Agent的分布式人工智能、計算機智能技術(shù)。</p><p>　　第4章 自動化網(wǎng)絡安全策略</p><p>

86、;　　所謂自動化網(wǎng)絡安全策略，就是指在人不參與的情況下，由計算機自己來管理計算機網(wǎng)絡，自己保護自己，以達到防范網(wǎng)絡入侵的目的。</p><p>　　常用的自動化網(wǎng)絡安全策略有擁塞控制、防火墻技術(shù)、數(shù)據(jù)加密等。</p><p><b>　　4.1擁塞控制</b></p><p>　　擁塞現(xiàn)象是指到達通信子網(wǎng)中某一部分的分組數(shù)量過多，使得該部分網(wǎng)絡

87、來不及處理，以致引起這部分乃至整個網(wǎng)絡性能下降的現(xiàn)象，嚴重時甚至會導致網(wǎng)絡通信業(yè)務陷入停頓，即出現(xiàn)死鎖現(xiàn)象。這種現(xiàn)象跟公路網(wǎng)中經(jīng)常所見的交通擁擠一樣，當節(jié)假日公路網(wǎng)中車輛大量增加時，各種走向的車流相互干擾，使每輛車到達目的地的時間都相對增加（即延遲增加）,甚至有時在某段公路上車輛因堵塞而無法開動(即發(fā)生局部死鎖)。</p><p>　　計算機網(wǎng)絡在過去的幾十年中經(jīng)歷了爆炸式的增長，隨之而來的是越來越嚴重的擁塞問題

88、。例如本地緩存溢出，Internet上95%的數(shù)據(jù)流使用的是TCP/IP。Internet 主要互連協(xié)議的TCP/IP的擁塞控制（congestion control）機制對控制擁塞具有特別重要的意義。</p><p>　　擁塞產(chǎn)生的直接原因有以下三點：</p><p>　　（1）存儲空間不足；</p><p>　　（2）帶寬容量不足；</p><

89、;p>　?。?）處理器處理能力弱、速度慢。</p><p>　　4.1.1 TCP擁塞控制</p><p>　　擁塞控制的方法有兩種：開環(huán)控制和閉環(huán)控制。前者是在事先設計一個“好的”網(wǎng)絡，確保它不發(fā)生擁塞，而網(wǎng)絡一旦運行起來，就不再采取措施。顯然，對不斷變化的復雜網(wǎng)絡系統(tǒng)，開環(huán)控制并不是理想的選擇。TCP擁塞控制采取的是基于窗口的端到端的閉環(huán)控制方式，可分為四個階段：</p&g

90、t;<p>　　1、慢啟動階段 TCP啟動一個連接時會向網(wǎng)絡中發(fā)送許多數(shù)據(jù)包，由于一些路由器必須對數(shù)據(jù)包排隊，所以這樣就有可能耗盡存儲空間，從而導致TCP連接的吞吐量急劇下降。避免這種情況發(fā)生的算法就是慢啟動。源端按cwnd的大小發(fā)送數(shù)據(jù)，每收到一個ACK（確認），cwnd就增加一個數(shù)據(jù)包發(fā)送量。顯然，cwnd是按1，2，4，8……的方式增長。</p><p>　　2、擁塞避免階段 當發(fā)現(xiàn)超時或

91、收到三個相同的ACK幀時，網(wǎng)絡即發(fā)生擁塞，此時進入擁塞避免階段。Ssthresh被設為當前cwnd 的一半，如果超時，cwnd 還要置1。如果此時cwnd<ssthresh, TCP就重新進入慢啟動過程，否則，TCP就要執(zhí)行擁塞避免算法。</p><p>　　3、快速重傳和恢復階段 當數(shù)據(jù)包超時時，cwnd要被置為1，重新進入慢啟動，這會導致過大地見效發(fā)送窗口尺寸，降低TCP連接的吞吐量。所以快速重傳

92、和恢復是在源端收到三個或三個以上ACK時，就斷定數(shù)據(jù)包已經(jīng)丟失重傳數(shù)據(jù)包，同時將ssthresh置為當前cwnd的一半，而不必等到RTO（計數(shù)器）超時。</p><p>　　以下是TCP/IP擁塞控制的算法：</p><p><b>　　初始化：</b></p><p>　　win=min(cwnd, awin) //

93、cwnd 擁塞窗口：它描述源端在擁塞</p><p>　　//情況下一次最多能發(fā)送數(shù)據(jù)包的數(shù)量</p><p><b>　　cwnd=1;</b></p><p>　　ssthresh=65535bytes(默認值)；</p><p>　　If(ACK的數(shù)目=3)</p><p>　　Ssthre

94、sh=cwnd/2;</p><p>　　If(cwnd<sstjresh) //當新確認包到達時</p><p>　　cwnd= cwnd+1; //慢啟動 </p><p><b>　　Else</b></p><p>　　cwnd= cwnd+1/c

95、wnd; //擁塞避免 </p><p><b>　　超時：</b></p><p>　　ssthresh=max(2,min(cwnd/2,awin));</p><p><b>　　cwnd=1;</b></p><p><b>　　cwnd</b>&l

96、t;/p><p>　　//擁塞避免 快速重傳和恢復 </p><p><b>　　ssthresh=</b></p><p><b>　　cwnd/2</b></p><p>　　4.1.2 IP擁塞控制</p><p>　　TCP

97、基于窗口的端到端的擁塞控制對于Internet的魯棒性起到了關(guān)鍵性的作用。然而，隨著Internet本身的迅速發(fā)展，網(wǎng)絡規(guī)模越來越龐大。僅僅依靠端到端的擁塞控制是不夠的，還要用到IP擁塞控制，即在路由器中采用排隊算法和數(shù)據(jù)包丟棄策略。目前，IP處理擁塞的方法有傳統(tǒng)的先進先出算法（FIFO）、隨機早期檢測算法(Random Early Detection----RED)、公平排隊算法（Fair Queuing----FQ）、加權(quán)公平算法(

98、Weighted Fair Queuing----WFQ)。下面主要介紹傳統(tǒng)的先進先出算法和公平排隊算法：傳統(tǒng)的先進先出算法（FIFO）：最大優(yōu)點是實施起來簡單。FIFO又叫先到先服務（FCFS），即第一個到達路由器的數(shù)據(jù)包首先被傳輸。由于每個路由器的緩存總是有限的，如果包到達時緩存已滿，那么路由器就不得不丟棄該包。FIFO排隊的一種改進是優(yōu)先級排隊?；舅悸肥菍⒚總€數(shù)據(jù)包分配一個優(yōu)先級標志。這個標志可以放在IP數(shù)據(jù)包內(nèi)。路由器總是優(yōu)先

99、傳輸非空的最高優(yōu)先級隊列。在同一優(yōu)先級隊列中，數(shù)據(jù)包仍按FIFO方式管理。</p><p>　　公平排隊算法（Fair Queuing----FQ）：FIFO排隊的主要問題是無法區(qū)分不同的數(shù)據(jù)流。由于整個TCP的擁塞控制是在源端進行，而FIFO排隊不提供約束所有數(shù)據(jù)源遵守擁塞控制的機制，這就有可能讓行為不良的數(shù)據(jù)流強占大量帶寬。在Internet 環(huán)境中，某個應用不使用TCP是完全可能的。結(jié)果，它可以繞過端到端的

100、擁塞控制機制，向路由器任意發(fā)送自己的數(shù)據(jù)包，從而引起其他應用的包被丟棄。公平排隊算法（FQ）則解決了這個問題。在FQ算法中，路由器對每個輸出線路有一個排隊隊列，路由器按輪詢方式處理包。當一條線路閑時，路由器就來回掃描所有隊列，依次將被對一個包發(fā)出。當某個流的數(shù)據(jù)包到達時，其隊列就很快占滿，屬于這個流的新到的包就會被丟棄。采用這個方式，每個數(shù)據(jù)流就不可能犧牲其他數(shù)據(jù)流而多占資源。</p><p><b>

101、　　4.2防火墻技術(shù)</b></p><p>　　4.2.1防火墻的概念</p><p>　　防火墻是目前最為流行也是使用最為廣泛的一種網(wǎng)絡安全技術(shù)，它是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡（如Internet）分開的隔離技術(shù)，是在兩個網(wǎng)絡通信時執(zhí)行的一種訪問控制手段。它允許用戶“同意”的人和數(shù)據(jù)進入網(wǎng)絡，同時將用戶“不同意”的人和數(shù)據(jù)拒之門外。最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡，

102、防止他們更改、復制和毀壞內(nèi)部網(wǎng)絡的重要信息。防火墻本是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續(xù)控制引擎。但在電腦術(shù)語（也就是我們即將探討了解的）中，當然就不是這個意思了，我們可以類比來理解，在網(wǎng)絡中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它

103、能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。 防火墻就是一個位于計算機和它所</p><p>　　4.2.2防火墻的功能</p><p><b>　　1、主要功能</b>&

104、lt;/p><p>　　防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等。</p><p>　　防火墻最基本的功能就是控制在計算機網(wǎng)絡中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似

105、。它有控制信息基本的任務在不同信任的區(qū)域。 典型信任的區(qū)域包括互聯(lián)網(wǎng)(一個沒有信任的區(qū)域) 和一個內(nèi)部網(wǎng)絡(一個高信任的區(qū)域) 。 最終目標是提供受控連通性在不同水平的信任區(qū)域通過安全政策的運行和連通性模型之間根據(jù)最少特權(quán)原則。</p><p>　　防火墻對流經(jīng)它的網(wǎng)絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。

106、最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。</p><p><b>　　2、網(wǎng)絡安全的屏障</b></p><p>　　一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出