求高手解决关于二级代理的问题

如何设置二级代理

使用Httport设置二级代理简介

软件名称：HTTPort V3SN2 汉化版

软件大小：743KB

软件语言：简体中文

软件类别：汉化补丁/共享版/网络共享

应用平台：Win9x/NT/2000/XP/2003

下载地址：http://wwwskycncom/soft/1944html

如果只是想使用二级代理的话，这个软件比socks2http+SocksCap32要方便得多。至于Httport的其它功用，自己慢慢摸索吧，对于这方面的询问，恕不回复！当然有一个前提，就是你所用的一级代理得要支持SSL,其实在socks2http里设的代理也有这个要求。这也就是为什么有些代理不能用在socks2http里的原因

以2021202536:8080作为一级代理为例，首先在代理页面将2021202536填入主机名或IP地址栏中，别忘了填端口。勾选身份验证，填入用户名和密码（免费代理随便填）。用户代理选IE，用过SSL连接模式，其余不填。二级代理设置在端口映射菜单。"外部HTTP代理"下面的就是你要用的二级代理了，比如2255658:80。即"远程主机"里填上2255658,"远程端口"就是80，至于那个"本地端口"，比如用3128,那么你在IE里设代理localhost:3128 。点击左边那个的"开始"就行了

对于找SSL代理，还是用Proxyhunter(下载地址：http://wwwskycncom/soft/1034html)

(1)先设定proxyhunter里的代理调度端口为8080，在httport里设第一级代理localhost:8080。第二级嘛，就随便找一个快一点的免费代理了，本地端口比如设为3128

(2)把上面验过速度的代理加入调度，一次启用一个，其它的先停用。顺手在hunter里添加代理localhost:3128，然后每启用一个代理，就把这个Localhost:3128验证一下，看是不是free，如果是，则那个启用的代理就是SSL的了。身手熟练的话，一分钟能验证十几个代理的说。

将HTTP代理转为SOCKS5代理

首先向大家推荐两个软件:sockscap和socks2http。sockscap我想就不用多说了吧,如果你有socks代理,用了这个自然就能实现二级代理,不过socks代理倒是不多而socks2http是用http代理模拟socks5代理 比如用20238644:8080做socks代理,在socks2http设置中如是填入后,填入你的帐号和密码再点击 "完成"即可使用时,在你所用的软件中的socks5代理栏处 填入localhost,端口1080 这样你所用的自然就是20238644的socks代理了 或者运行sockscap,在socks代理设置中填localhost,注意只能用socks5,不能做socks4代理 但用http模拟的socks代理限于很少的一些网络软件http浏览没什么问题(注意IE4不支持sockacap),可telnet,ftp就不一定了,好像只有本身支持socks代理的软件才行建议在telnet时使用Sterm10,在ftp时用Absoluteftp(注意需要使用二级代理的软件,一定要在sockscap里运行,你所用的第一级代理才能生效)。

哇塞,用了这个法子,好处可多多哟!特别是使用644的大侠们用它telnet,ftp前面已述当教育网那条路断了时,用644还是可以的说特别是可以不再有什么几条线程的限制了,也没有什么不能下载mp3及rm文件的限制了,不信你试试看!只是有点遗憾不能用这个方法上oicq! 我想有了这个方法后,大家再也不用愁什么二级代理的问题了吧象你如果用644模拟成socks5后,照上述方法,再用一个国内的免费代理,连出国,速度也还不马马虎虎,只是你的钞票会哗啦哗啦往外流得少一点了吧!

下载: socks2http sockscap

对于一些没有出校IP，只有学校proxy的朋友，得要用三级代理。设置三级代理就得要httport +socks2http+ sockscap一起用了。先搜索校内可用的代理，例如：2021202536（假设），在httport中用第一级2021202536；或申请国内浏览服务器（注意要填上你的帐号和密码）。第二级用支持SSL的免费代理，在httport的"端口映射"--->外部http代理"中设定。然后在socks2http里用代理localhost，端口就是你在上述"外部http代理"中你用的本地端口（2021202536）。下面就是用sockscap,在里面启动IE，那个能下载文献的代理就往IE里设代理的地方填吧．

好代理之我见

现在网上公布免费代理的网站很多，随便找找就能得到很多代理列表，绝大多数人都是用proxyhunter这类软件简单验证一下，找其中时间参数小的，就认为是所谓飞快代理了。我并不是说这样做不对，只是觉得不是很准确，毕竟影响这个时间参数的因素太多了。我觉得一个代理是不是好代理，取决于这个代理服务器在互联网中

的接入带宽。有很多代理都是hunter测试时间参数很小，连上去也很快，但是一个网页传了半天都不出来，我想就是因为这个代理的网络接入带宽太小，但是为什么连接会很快呢，那是因为该代理所处的网段主干带宽很大，也很空闲。

国内现在有几大网络，Chinanet(也就是电信网）, 联通，吉通和网通，网络上一般出现的免费代理绝大多数就是这几大网络的。

(1)一般常见的Chinanet的IP,

6112800---61190255255&＃59;

2029600---202111255255&＃59;

218000---21899255255

(2)一般常见的联通的IP,

2119000---21197255255&＃59;

6124000---61243255255

(3)一般常见的网通的IP

2102100---21022255255

2105100---21053255255

2108200---21083255255

(4)一般常见的吉通的IP

2039300---20393255255

2101200---21015255255

21116300---211163255255

(5)有些不多见的但是都是有独立的线路和出口带宽的

159226的是中科院的

21113600---211143255255是中国移动互联网的

2032071280---203207255255是经济信息网的

21116400---211166255255是长城互联网的

这些大的网络自己的主干线路那都没得说，肯定都是上G的

关键的问题就是这些网络之间的接口带宽有多大！

在我看来，接入带宽>1M的代理服务器，才算是好。换一种说法也就是最高下载速率起码>100k byte/s的代理，我才会去用。现在像宽带网越来越普及，所以这种代理也越来越多，这个样子对我们有好处，也有不好的地方。以前最开始我找免费代理的时候，每四五十个中，或许能找到一两个符合这个速度要求的代理，现在大概每十几个里就至少有一个较快的代理。不好的地方就是网络资源使用得越来越多，使不同网络之间的接口处成了瓶颈。

proxyhunter里的时间参数

影响这个时间参数的我觉得主要有三个因素

1 你的机器所处网络(cernet)的状况。

如果你所处的线路比较烂，经常丢包，则hunter里时间特性的第一个值就很不准确。常常一个绝对很快的代理，有时候连上去是01s,有时候要等>3s才能连上去。还有一般白天使用cernet的人都很多，同一个代理，你在不同的时间段去验证得到的结果也会不一样。

2教育网与Chinanet之间的接口，太拥挤了！经常白天ping新浪，都是>300ms。trace一下，就可以看到就是从2023812310到2029710233之间是一个瓶颈。记得以前从教育网到联通、吉通、网通都是有单独的接口的，那时候从教育网到chinanet慢的一塌糊涂，但是往联通、网通却很快的。不知道从什么时候起，连到联通网通吉通都要经过2029710这个该死的接口了所以白天ping什么免费代理几乎都是>300ms。当然ping的时间值高，比不一定数据传输就很慢，不过大白天的通过cernet往其他网络连能有100k/s的速度就很不错了。ping值小的，也不一定数据传得就快，比如你在凌晨的时候ping那些很烂的代理一样是<100ms，所以你在白天用那些即使本身很快的代理，也会感觉，怎么这么慢。那不是代理的错，错就错在两大网络接口太小，用的人太多！对于通过学校的代理做一级代理的同学，上面这个问题就不存在了。因为从Chinanet除了往教育网连不快，往哪儿连都挺快的。

3你用作验证的网址是什么？

比如你用yahoo作为验证地址验出来的免费代理往日本或是澳大利亚连就会感觉不一样，甚至往美国的其他网站连都会不一样，yahoo只是美国众多ISP之一，各ISP与中国的各网络接口大小也不一样。

所以你在proxyhunter里验证出来的免费代理，快也只能说明这个代理连到你作为验证的网址快一点罢了。

主要就是上面三个因素了，另外还有一些比较小的影响因素，比如该免费代理所处网络的使用状况。

我验证代理的方法

因为代理的速度和hunter里的时间参数受网络使用状况影响太大，所以挑好代理嘛，我的方法很笨。先在proxyhunter里导入一个代理列表，验证地址选国内的网址，先全部验证一把，精简掉要密码、不匹配、无法确定、不符合协议的。然后把连接超时、验证超时的再验证一遍。接着就是用FlashGet在里面贴一个下载大软件的URL。

然后呢，就一个一个代理去尝试下载速度了。Flashget右下角显示的下载速度我觉得还是蛮准的，能保持在>100k/s的代理就留下来，其它的，就扔了。呵呵，最土的办法也就是最有效、最准确的办法。

代理服务器端口介绍

21、2121 FTP Proxy Server 可作文件传输（上传/下载）

23 Telnet Proxy Server 远程登陆 Telnet

53 DNS Proxy Server NDS解析

110 POP3 Proxy Server 邮件代理服务器 邮件接收

808 Remote Control Service 远程控制代理服务器

1090 Real Audio Proxy Server

7000 VDOlive Proxy Server

8010 Log Service

8000 XDMA Proxy Server

80, 81,8080 WWW Proxy Server 可代理网页与下载文件

另外以下端口都有可以

82, 83, 84, 85, 86, 87, 88, 443, 666, 800, 801, 808, 880, 1010, 1080, 1081, 1128, 2000, 2020, 2080, 2128, 3000, 3030, 3080, 3128, 4000, 4040, 4080, 4128, 5000, 5050, 5080, 5128, 6000, 6060, 6080, 6128, 7000, 7070, 7080, 7128, 8000, 8001, 8002, 8023, 8040, 8041, 8070, 8082, 8083, 8084, 8085, 8086, 8088, 8089, 8128, 8181, 8800, 8877, 8888, 8889, 9000, 9003, 9080, 9090, 9128, 9666, 9669, 10080, 10081, 10082, 18080

免费全文下载心得（压箱底的宝贝）

目前较好的数据库多采用IP限制，在大学IP地址范围内，都可无密码登陆。因此找到有用的代理是长期使用的关键，而且有一些数据库，如ScienceDirect和Idealibrary，网上没有可用的密码。其实说白了就是找一个已花钱买了期刊电子版的学校开设的免费代理，然后你用这个代理当然就能下载该期刊的全文了！只不过这种代理不多，而且不太好找，倒不是搜索方法有什么诀窍，而是要肯花很多时间去验证，最土的办法无非就是到网上找一个巨大的proxylist（这类网址很多，推荐http://bbszohunet），然后一个一个去验证能不能下载你所要的文献了。

感觉一个搜索高手的成长过程是：

1新手阶段 不断总结改善检索式，增加搜索技巧。但现在密码越来越难找，而且密码有时间性。

2中级阶段 到网上找一个巨大的proxylist，然后一个一个去验证能不能下载你所要的文献了。

3高手阶段 主动出击。利用平时搜集的信息，主要是大学IP地址信息，用ProxyHunter搜索，得到Free Proxy。

4顶级高手 用ProxyHunter搜索，找到需要密码的代理，破解它，需要专门软件和时间、技巧。推荐使用AccessDiver，http://softwinzhengcom/可找到。

5必杀高手 在大学范围内，找到肉鸡，开后门和端口

1、如何找到proxylist，去诸多代理网站，推http://wwwzohunet

2、验证，我通常采用Idealibrary与ScienceDirect来验证。为何选用这两个，其一对绝大多数中级来说，这两个数据库是难以攻克的；其二一般单位不同时定购这两个数据库，如ScienceDirect就有ScienceDirect和ScienceDirect Onsite两个版本，若该单位定购了SDOS，则用ScienceDirect得不出结果。若你要保险，不漏过一个可用的Proxy，建议加用Willy。特别是Idealibrary。选用My Profile菜单，会显示定购信息，其中不仅有定购的期刊目录还有学校名称。嘿嘿，知道了把。google搜一下，你的数据库就不止Idealibrary与ScienceDirect了。这一步没有什么技巧，就是挂上代理，然后一个一个去验证能不能下载你所要的文献了。当然一个一个通过IE工具设置，太繁。若你没有耐心，别试了，等待好心人把。提醒你的是，在这一步前，proxylist需要先用ProxyHunter验证，方法，参/Announce/AnnounceaspBoardID=19&ID=596。同时最好参见一下IP地址范围，

参看/Announce/AnnounceaspBoardID=19&ID=763

若不是学校IP范围，就删除把。实验是一定要注意登http://wwwsciencedirectcom/后，在右上角会出现Athens Login菜单。若没有出现Athens Login，恭喜你，你成功了。别忘了将代理告诉我哈。

给高手。使用ProxyHunter，还是有小技巧的。注意参数设置的验证数据设置，你应自己建立验证资源，对Idealibrary与ScienceDirect，似乎无法用关键字串直接辨别代理可用否。我主要用匹配文件选项。你试试选用可用的代理登陆ScienceDirect，在右上角不会出现Athens Login菜单。也就是说，存在差异的。但我现在还没有得到阳性结果，也就是说，我只得到非登陆的匹配文件。我选用非登陆的匹配文件后，验证，Free的则删除，然后一一验证。

至于破解密码和种植肉鸡，太专业了，小心成了黑客，我就不介绍了。

下面在谈谈下载技巧：

以下是几个出版社在全文下载时所设的身份验证方式,有助于大家更快的下载全文：

ACS:对每一个期刊，只验证一次，也就是说当你用代理成功下载全文后，就可以把IE里的代理改成免费代理直接下载了，真爽。

AIP,APS,IDEAL，Springer,RSC：这几个出版社的期刊，是每次下载都要进行身份验证的，当然啦，你可以先用免费代理快速连接到有Full text连接的那个页面，在下载时再换用二级代理。这样能减少代理使用，要知道大部分代理有流量记录，减少使用会延长代理生存时间，谢谢了。

Wiley：对身份验证最严格！从开始一直到那个有Full text连接的页面都需要用二级代理；等到出现Full text联机页面，这时就可以换一个免费代理来爽爽的下载了；但是如果你时机未把握好，发现不能下全文，你就必须得关掉所有的浏览器窗口，换上可下全文的代理再重新连结，才能生效！

有朋友提出，搜得代理后，一个一个数据库去试，看都可用于其它那几个数据库。我的经验是首先用Idealibrary数据库的My Profile菜单，打开View the licensed institutions list链接，会出现Subscription list，注意此时会有机构名称。嘿嘿，用google大法。找到机构网址，查图书馆，一切搞定。另外ingenta与Femald数据库也会在主页右上角提示登陆机构名称。试试就知道了。不用一个一个盲目去试。

用代理主要有几点：

1、上某些敏感性站点；

2、隐藏真是身份，即IP；

3、免费看Fulltext；

4、黑客····。如果你嫌宽带慢，就不要用代理了，一般代理不会比宽带快的。

关于Proxyhunter的特征字串问题，我的体会是：

ScinenceDirect的特征字串以及匹配文件，找到并不困难。但Idealibrary的特征字串以及匹配文件，我用Proxyhunter根本接受不到，也传不过来，看来只能寻找其它软件了。

本文来自: 编程入门网 http://wwwbiancengcn/Servers/proxy/200707/3303htm

HTTP代理就是介于浏览器和web服务器之间的一台服务器，连接代理后，浏览器不再直接向web服务器取回网页，而是向代理服务器发出request信号，代理服务器再想web服务器发出请求，收到web服务器返回的数据后再反馈给浏览器。

HTTP协议即超文本传输协议，是Internet上进行信息传输时使用最为广泛的一种非常简单的通信协议。部分局域网对协议进行了限制，只允许用户通过HTTP协议访问外部网站。

HTTP代理的作用

一是可以通过IP代理可以访问一些平常不能访问的网站，我们在上网的时候经常会遇到浏览器空等的现象，这个时候http代理就派上用场了。

二是提升网络浏览速度。喜欢上国外或者香港台湾地区网站的朋友经常会遇到网络奇慢的问题，此时如果你使用了合适的代理服务器，不但网速获得提升，且效果还是很明显的。

三是连接内网。在很多地方都有一些大型的局域网，这些局域网在通代理服务器访问外网的时候都映射成一个IP，因此外界不能直接访问内部网，这时我们就可以通过第三方的代理服务器来进行互联，从而取得自己想要的文献和资料。

摘要：文中就信息网络安全内涵发生的根本变化，阐述我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性。论述了网络防火墙安全技术的分类及其主要技术特征。

关键词：网络安全 防火墙 技术特征

1概述

21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。

一个国家的信息安全体系实际上包括国家的法规和政策，以及技术与市场的发展平台。我国在构建信息防卫系统时，应着力发展自己独特的安全产品，我国要想真正解决网络安全问题，最终的办法就是通过发展民族的安全产业，带动我国网络安全技术的整体提高。

网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。

信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。

2防火墙

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。

防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。

作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。

21包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点

,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

22网络地址转化—NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

NAT的工作过程如图1所示：

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

23代理型

代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

24监测型

监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。

实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

--- 刘大大大大

猫(3): 浅析网络安全技术

摘要：文中论述了防火墙部署原则，并从防火墙部署的位置详细阐述了防火墙的选择标准。并就信息交换加密技术的分类及RSA算法作以分析，针对PKI技术这一信息安全核心技术，论述了其安全体系的构成。

关键词：网络安全 防火墙 PKI技术

1概述

网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术，就其产品的主流趋势而言，大多数代理服务器（也称应用网关）也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(***)。

安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。

2防火墙的选择

选择防火墙的标准有很多,但最重要的是以下几条:

21总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。

22防火墙本身是安全的

作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。

通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。

23管理与培训

管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

24可扩充性

在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。

25防火墙的安全性

防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

3加密技术

信息交换加密技术分为两类：即对称加密和非对称加密。

31对称加密技术

在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES（数据加密标准）的一种变形，这种方法使用两个独立的56为密钥对信息进行3次加密，从而使有效密钥长度达到112位。

32非对称加密/公开密钥加密

在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。

33RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制，其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实：到目前为止，无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下：

公开密钥：n=pq(p、q分别为两个互异的大素数，p、q必须保密)

e与（p-1）(q-1)互素

私有密钥：d=e-1 {mod(p-1)(q-1)}

加密：c=me(mod n),其中m为明文，c为密文。

解密：m=cd(mod n)

利用目前已经掌握的知识和理论，分解2048bit的大整数已经超过了64位计算机的运算能力，因此在目前和预见的将来，它是足够安全的。

4PKI技术

PKI（Publie Key Infrastucture）技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构（CA）、注册机构（RA）、策略管理、密钥（Key）与证书（Certificate）管理、密钥备份与恢复、撤消系统等功能模块的有机结合。

41认证机构

CA（Certification Authorty）就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码学有关系，而且与整个PKI系统的构架和模型有关。此外，灵活也是CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准，能够很好地和其他厂家的CA产品兼容。

42注册机构

RA（Registration Authorty）是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。

43策略管理

在PKI系统中，制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求，并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时，这些策略应该符合密码学和系统安全的要求，科学地应用密码学与网络安全的理论，并且具有良好的扩展性和互用性。

44密钥备份和恢复

为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

45证书管理与撤消系统

证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消，证书撤消的理由是各种各样的，可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制，随时查询被撤消的证书。

5安全技术的研究现状和动向

我国信息网络安全研究历经了通信保密、数据保护两个阶段，正在进入网络信息安全研究阶段，现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果，提出系统的、完整的和协同的解决信息网络安全的方案，目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究，各部分相互协同形成有机整体。

国际上信息安全研究起步较早，力度大，积累多，应用广，在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”（Beu& La padula模型）的基础上，指定了“可信计算机系统安全评估准则”（TCSEC），其后又制定了关于网络系统数据库方面和系列安全解释，形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容，其形式化方法分析始于80年代初，目前有基于状态机、模态逻辑和代数工具的三种分析方法，但仍有局限性和漏洞，处于发展的提高阶段。作为信息安全关键技术密码学，近年来空前活跃，美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制，克服了网络信息系统密钥管理的困难，同时解决了数字签名问题，它是当前研究的热点。而电子商务的安全性已是当前人们普遍关注的焦点，目前正处于研究和发展阶段，它带动了论证理论、密钥管理等研究，由于计算机运算速度的不断提高，各种密码算法面临着新的密码体制，如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。因此网络安全技术在21世纪将成为信息网络发展的关键技术，21世纪人类步入信息社会后，信息这一社会发展的重要战略资源需要网络安全技术的有力保障，才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段，仍有大量的工作需要我们去研究、开发和探索，以走出有中国特色的产学研联合发展之路，赶上或超过发达国家的水平，以此保证我国信息网络的安全，推动我国国民经济的高速发展。

慢慢看吧。。。。

告诉楼主一个搞cnki维普万方账号的地方，就是在师生联盟论坛里找。我就经常去师生联盟里面找最新的CNKI、维普、万方账号屡试不爽，希望能帮助到你。

百度搜索一下“师生联盟”，第一个链接就是。

师生联盟论坛成立2年了，里面有大量免费的有效CNKI、维普、万方账号、文献代理等资源，都是免费放送。

另外，也可以去师生联盟求助文献，基本上5分钟之内就有人帮你下载到了。求助文献完全免费，速度快，不扣币。

中文的CNKI、维普、万方文献，学位论文，超星、读秀图书，外文的sciencedirect，wiley，ACS，springer，blackwell，ieee，nature，science等各种中外数据库，都可以轻松搞定。

　　[摘 要]随着的迅速发展,网络安全性已成为迫切需要解决的问题。随着计算机网络的发展越来越深入,计算机系统的安全性就日益突出和复杂。首先从网络安全内涵开始,对其面临的威胁及主要影响因素进行分析,重点介绍几种普遍的安全技术及其防护技术的发展趋势。

[关键词]网络安全威胁防护技术趋势

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1210104-02

一、计算机网络安全概述

(一)网络安全的定义

国际标准化组织(ISO)将计算机安全定义为“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”我国自己提出的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,系统能连续正常运行。”因此,所谓网络安全就是指基于网络的互联互通和运作而涉及的物理线路和连接的安全,网络系统的安全,操作系统的安全,应用服务的安全和人员管理的安全等几个方面。总的说来,计算机网络的安全性,是由数据的安全性、通信的安全性和管理人员的安全意识三部分组成。①

(二)影响计算机网络安全的主要因素

计算机网络安全受到的安全威胁是来自各个方面的,一般来说,影响计算机网络安全的因素主要有以下几个方面:

1计算机网络使信息的收集方便而且快速,信息的价值剧增,吸引了许多网上黑客前来攻击。

2现有的计算机系统皆有安全漏洞,使网络入侵成为可能。一般操作系统的体系结构其本身是不安全的,这也是计算机系统不安全的根本原因之一,操作系统的程序是可以动态连接的,包括FO的驱动程序与系统服务,都可以用打“补丁”的方式进行动态连接,为黑客的侵入和病毒的产生提供了一个好环境。

3网络系统中数据的安全问题。网络中的信息数据是存放在计算机数据库中的,通常也指存放在服务器中的信息集,供不同的用户来共享,数据库存在不安全性和危险性,因为在数据库系统中存放着大量重要的信息资源,在用户共享资源时可能会出现以下现象:授权用户超出了他们的访问权限进行更改活动,非法用户绕过安全内核,窃取信息资源等。

4远程访问控制使得每个主机甚至可以被国外的黑客攻击。网络黑客是计算机网络发展的产物,黑客攻击,早在10多年前的主机终端时代就已出现,随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击,利用网络窃取重要的情报,毁坏数据和信息。

5目前的计算机病毒不但可以破坏计算机硬件,而且可以破坏网络安全系统并通过网络破坏更多的计算机。

二、计算机网络所面临的威胁及攻击

(一)管理的欠缺

网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示,美国90%的IT企业对黑客攻击准备不足。目前,美国75～85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃,其中25%的企业损失在25万美元以上。此外,管理的缺陷还可能出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄漏,从而为一些不法分子制造了可乘之机。②

(二)网络的缺陷及软件的漏洞

因特网的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议,缺乏相应的安全机制,而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外,随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在,比如我们常用的操作系统,无论是Windows还是UNIX都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。

(三)计算机病毒

病毒是计算机中最让人头痛,也是最普遍的安全威胁,几乎每一个用过电脑的人都受到过病毒或多或少的威胁。大到系统崩溃,数据丢失,小到影响系统性能,甚至有的病毒只是开个玩笑。

(四)黑客的攻击

黑客是影响网络安全的最主要因素之一。“黑客”是英文“Hacker”的译音,原意是用来形容独立思考,然而却奉公守法的计算机迷,热衷于设计和编制计算机程序的程序设计者和编程人员。然而,随着社会发展和技术的进步“Hacker”的定义有了新的演绎,出现了一类专门利用计算机犯罪的人,即那些凭借自己所掌握的计算机技术,专门破坏计算机系统和网络系统,窃取政治、军事、商业秘密,或者转移资金账户,窃取金钱,以及不露声色地捉弄他人,秘密进行计算机犯罪的人。

三、计算机网络的安全技术

通过对网络系统各个层次的分析可以给数据链路层网络层系统层数据库层和应用层提供全面的保护。

(一)加密技术

加密技术是网络安全的核心,现代密码技术发展至今二十余年,其技术已由传统的只注重保密性转移到保密性、真实性、完整性和可控性的完美结合。加密技术是解决网络上信息传输安全的主要方法,其核心是加密算法的设计。③

1非对称密钥加密

在非对称机密体系中,密钥被分解为一对(即公开密钥和私有密钥),而且加密密钥与解密密钥不同,是一种利用公开加密密钥加密,利用不公开解密密钥解密的密码体制。

2对称加密技术

在对称加密技术中,对信息的加密和解密都使用相同的钥匙,这种加密方法可简化加密处理过程。信息交换双方都不必彼此研究交换专用的加密算法。若在交换阶段私有密钥未曾泄漏,那么机密性和报文完整性就可以得以保证。

(二)网络防病毒技术

由于网络计算机病毒是网络系统最大的攻击者,具有强大的传染性和破坏力,网络防病毒技术已成为计算机网络安全的又一重要课题。防病毒技术可分为三种:病毒预防技术,病毒检测技术和病毒消除技术。④

1病毒预防技术

计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统的破坏。计算机病毒的预防应包括对已知病毒的预防和对未知病毒的预防。预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。

2病毒检测技术

计算机病毒的检测技术是指通过一定的技术判定出计算机病毒的一种技术。计算机病毒的检测技术有两种:一种是判断计算机病毒特征的监测技术。病毒特征包括病毒关键字、特征程序段内容、传染方式、文件长度的变化等。另一种是文件自身检测技术,这是一种不针对具体病毒程序的特征进行判断,而只是通过对文件自身特征的检验技术。

3病毒消除技术

计算机病毒的消除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。但由于杀毒软件的更新是在病毒出现后才能研制,有很大的被动性和滞后性,而且由于计算机软件所要求的精确性,致使某些变种病毒无法消除,因而应经常升级杀毒软件。

4入侵检测技术和网络监控技术

入侵检测(IDSIntrusion Detection System)是近年来发展起来的一种防范技术,综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。根据采用的分析技术可分为签名分析法和统计分析法。

(三)防火墙技术

网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络资源,保护内部网络的特殊网络互联设备。

1防火墙技术的定义

在网络中,防火墙是内部网络与外界网络之间的一道防御系统,通过它使得内部网络与Internet或者其他外部网络之间相互隔离,并通过限制网络互访来保护内部网络,但这些对数据的处理操作并不会妨碍人们对风险区域的访问。

2防火墙的关键技术

根据防火墙所采用的技术不同,我们可以将它分为4种基本类型:包过滤型、网络地址转换型,代理型和监测型。⑤

(1)包过滤型。包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。

(2)网络地址转换型。网络地址转换是一种用于把IP地址转换成临时的、外部的IP地址标准。它允许具有私有IP地址的内网访问因特网。

(3)代理型。代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后由代理服务器将数据传输给客户机。

(4)监测型。监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。

四、网络安全防护的发展趋势

(一)加强病毒监控

随着病毒技术的发展,病毒的宿主也越来越多,在宿主增多的同时,传播途径也越来越广,目前较受关注的一项病毒注入技术是利用电磁波注入病毒。这种技术的基本设想是把计算机病毒调制在电磁信号并向计算机网络系统所在方向辐射,电磁信号通过网络中某些适当的节点进入网络,然后计算机病毒就在网络中传播,产生破坏作用。所以加强病毒监控成为网络安全防护的一项重要内容。

(二)建立安全可靠的虚拟专用网

虚拟专用网(***)系统采用复杂的算法来加密传输的信息,使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。其工作流程大致如下:1要保护的主机发送不加密信息到连接公共网络的虚拟专网设备;2虚拟专网设备根据网络管理员设置的规则,确认是否需要对数据进行加密或让数据直接通过;3对需要加密的数据,虚拟专网设备对整个数据包(包括要传送的数据、发送端和接收端的IP地址)进行加密和附上数字签名;4虚拟专网设备加上新的数据包头,其中包括目的地虚拟专网设备需要的安全信息和一些初始化参数;5虚拟专网设备对加密后数据、鉴别包以及源IP地址、目标虚拟专网设IP地址进行重新封装,重新封装后数据包通过虚拟通道在公网上传输;6当数据包到达目标虚拟专网设备时,数字签名被核对无误后数据包被解密。

(三)强化管理

网络安全不只是一个单纯的技术问题,而且也是一个十分重要的管理问题。采取各种措施对计算机网络实施有效管理是计算机网络防护的主要内容之一。一般,计算机网络管理包括安全审计、行政管理、人事管理等几个方面的内容。安全审计是对计算机系统的安全事件进行收集、记录、分析、判断,并采取相应的安全措施进行处理的过程。

注释:

①李静,计算机网络安全与防范措施,湖南省政法管理部学院学报,2002,18(1):8

②张宝剑,计算机安全与防护技术[M]机械工业,2003,1

③王德秀,网络安全技术及应用,有线电视技术,2003,1

④梅筱琴、蒲韵、廖凯生,计算机病毒防治与网络安全手册,海洋出版社,2004:9～2

⑤余伟建、王凌,黑客攻击手段分析与防范,人民邮电出版社,2003:10～13

参考文献:

[1]李静,计算机网络安全与防范措施,湖南省政法管理部学院学报,2002,18(1):8

[2]王春、林海波,网络安全与防火墙技术,北京:清华大学出版社,2000:10～30

[3]秦超、李素科、满成圆,网络与系统安全实用指南,北京航空航天大学出版社,2002

[4]刘东华等著,网络与通信安全技术,人民邮电出版社,2002

作者简介:

张尚理,男,硕士研究生,高级工程师,研究方向:网络安全。

打开手机设置菜单，选择“无线和网络”选项，然后进入WLAN设置界面；

点击无线网络名称，进入网络设置界面，输入无线网络密码；

点击显示高级选项，在代理设置栏中选择手动，输入代理服务器主机名及代理服务器端口号；

对于不使用代理服务器的内网地址，需在“对以下网址不适用代理”栏中填写。