基于IPSec的VPN网关设计研究

基金项目：空军科研项目（０２００６６）：陕西省自然科学基金项目（２００５．９．１　７）　基于ＩＰＳｅｃ的ＶＰＮ网关设计研究　郝志建孟相如麻海圆　空军工程大学电讯工程学院　７１　００７７　本文研究了ＩＰＳｅｃ橼议的体系姑构厦工作模式，　分析了Ｗｉｎｄｏｗｓ平台下基于ｉｐｓｅｃ的ＶＰＮ网关的　定的流量保密。ＩＰＳｅｃ协议产生的初衷是　解决Ｉｎｔｅｒｎｅｔ上ＩＰ传输的安全性，它包括　从ＲＦＣ２４０１到ＲＦＣ２４１２的一系列ＲＦＣ　不是安全终点。通常情况下，只要ＩＰＳｅｃ　双方有一方是安全　关或路由器，就必　须使用隧道模式。在隧道模式中，ＩＰＳｅｃ　具体实现方法，阐述了ＪＰＳｅｃ　ＶＰＮ网关的相关　技术设计　ＰＳｅ　ｃ；虚拟专用网；网荧　Ｔｈｉｓ　ｐａｐｅｒ　ｓｔｕｄｉｅｓ　ｗｃｈｉｔｅＣｔｕｐｅ　ａｎｄ　ｏｐｅｒａｔｉｏｎ　ｍｏｄｅ　ｏｆ　文档，它定义了一套默认的、强制实施的　算法，以保证不同的实施方案可以互通。　ＩＰＳｅｃ协议是目前基于密码学的安全协议中　最完善、安全性最高、适应范围最广的一　套协议，可以为上层协议提供透明的安全　保证，它既可以保护端系统到端系统的安　全性，还可以保证网关到网关的安全性。　２．１　ＩＰＳｅｃ协议体系结构　ＩＰＳｅｃ协议由安全协议（包括ＡＨ协议　和ＥＳＰ协议），密钥管理协议（如ＩＫＥ）以及　对整个ＩＰ包进行封装保护，并增加一个新　的外部ＩＰ头，同时征外部与内部ＩＰ头之　间插入一个ＩＰＳｅｃ头，图２所示为封装前　后的数据包。所有原始的数据包通过这个　隧道从ＩＰ网的一端传递到另一端，沿途的　路由器只检查最外面的ＩＰ包头１　检查内部　原来的ＩＰ包头。该模式的通信终点由受保　护的内部ＩＰ头指定，而ＩＰＳｅｃ终点则由外部　ＩＰ头指定。如ＩＰＳｅｃ终点为安全网荚，则该　网关会还原出内部ＩＰ包，再转发到最终的目　ＩＰＳｅｃ　ｐｒｏｔｏｃｏｌ，ａｎａｌｙｓｅｓ　ａ　ｍｅｔｈｏｄ　ｔｏ　ｉｍｐｌｅｍｅｎｔ　ＩＰＳｅｃ－ＶＰＮ　ｇ￣ｔｅｗａｙ　Ｉｎ　Ｗｉｎｄｏｗｓ　ｓｙｓｔｅｍ．Ｆｉｎａｌｌｙ，　伽Ｐｅｌｅｖａｎｔ　ｔｅｃｈｎｏｌｏｇｙ　ｏｆ　ＩＰＳｅｃ－ＶＰＮ　ｇａｔｅｗａｙ　ａｐｅ　ｄｅｓｃｆｆｏｅｄ。　１．引言　随着Ｉｎｔｅｒｎｅｔ的快速发展和日益普　及，人们关注的焦点逐渐从网络的可用性、　信息的获取性转移到网络的安全性、应用　的简易性上来。建立在ＩＰ技术基础上的虚　拟专用网（Ｖｉｒｔｕａｌ　Ｐｒｉｖａｔｅ　Ｎｅｔｗｏｒｋ，　认旺和加密算法组成，其体系结构如图１　所示。ＡＩ　Ｉ协议根据整个ＩＰ数据包（或上层　协议数据单元）的内容产生一段让对方认证　的数据，存放在ＩＰ包头中传输。它可以保　证数据来自正确的发送者、保证数据的完　蛰陛等。ＥＳＰ协议是对整个ＩＰ数据包（或一　部分）进行加密，加密后的信息存放在原先　的ＩＰ头部之后作为信息部分传输。除了加　密以外，ＥＳＰ还具有认证功能。密钥管理　协议负责完成密钥的安全交换、安全关联　的建立等工作，在整个ＩＰ层的安全结构中　起到了重要的作用。　２．２　ＩＰＳｅｃ协议的运行模式　ＩＰＳｅｃ支持传输模式和隧道模式，ＡＨ　￣ｌ：ｌＥＳＰ都支持这两种模式。ＩＰＳｅｃ头的位置　依赖于协议所使用的运行模式。　（１）ＩＰＳｅｃ隧道模式　的地。隧道模式通常用在至少一端是安全　网关的时候。使用隧道模式后，　关后面的　主机可以使用内部地址进行通信，而且　需　要实现ＩＰＳｅｃ。　匝＝］＝　劐　ｉ匝亚　匝圈图２隧道模式封装格式　（２）ＩＰＳｅＣ传输模式　　传输模式下，ＩＰＳｅｃ主要对上层协议　ＩｔＩＨＰ包的载荷进行封装保护，通常情况下，　传输模式只用于两台丰机之间的安全通信。　在传输模式中，原ＩＰ头保持／ｆ　变，ＩＰ头与　上层协议之间需要插入一个特殊的ＩＰＳｅｃ　头，如图３所示封装前后的数据包。传输模　式为上层协议（如ＴＣＰ、ＵＤＰ和ＩＣＭＰ）提　供端到端的安全保护，它所保护的数据包的　ＶＰＮ）正快速成为新一代网络服务的基　础，许多服务供应商推出了基于ＶＰＮ传输　ｐａ】的各类增值服务，提供集成的高速　Ｉｎｔｅｒｎｅｔ访问业务、企业ＩＰ电话业务、为　企业客户提供电视会议、信息公告等服务。　ＩＰ安全协议ＲＮＰＳｅｃ协议是Ｉｎｔｅｒｎｅｔ工程任　务组织ＩＥＴＦ制订的一组开放协议的总称，　是目前唯一一种能为任何形式的Ｉｎｔｅｒｎｅｔ　通信提供安全保障的协议，采用ＩＰＳｅｃ协议　ＰＳｅｃ终点。当数据包从传输层　这种模式的特点是数据包最终目的地　通信终点是Ｉ传递给刚络层时，ＡＨ或ＥｓＰ会进行“拦截”，　在ＩＰ头与上层协议头之间插入一个ＩＰＳｅｃ　头（ＡＨ头或ＥＳＰ头）。　实现ＶＰＮ安全保障功能是目前的最佳选　择。　２．１　ＰＳｅｃ协议简介　ＩＰＳｅｃ协议是ＩＥＴＦ安全工作组制定的　一套可以用于ＩＰｖ４和ＩＰｖ６卜的，具有互　臣　［巫］　Ｈ　：匝　丑二　二］　图３传输模式封装格式　操作性的，基于密码学的安全协议。它　可以提供（无连接的）完整性、数据源　头的认证、防重发功能、数据保密和一　３．基于ｌＰＳｅｃ的ＶＰＮ网关设计　图１　ＩＰＳｅｃ体系结构　按照数据包的输出处理（本机要发送数　１０３　维普资讯 http://www.cqvip.com

中国科技信息２０Ｏ７年第　期　ｕｃＨＩＮＡ　ＳＣＩＥＮＣＥ　ＡＮＤ　ＴＥＣＨＮＯＬＯＧＹ　ｌＮＦＯＲＭＡＴＩＯＮ　Ｊ舯．２００７　据）和输入处理（接收外来数据）给出了基于　Ｇ　Ｅ　ＴＬ　Ｅ　Ｎ　Ｇ　Ｔ　Ｈ　Ｉ　Ｐ—Ｈ　Ｅ　Ａ　Ｄ　Ｅ　Ｒ数完成发送。　ＩＰＳｅｃ的ＶＰＮ网关设计的总体过程。　（ｐＩｐＨｅａｄｅｒ＞ＶｅｒｓｉｏｎＡｎｄＨｅａｄｅｒＬｅｎｇｔｈ）；　３．２接收方的解密认证设计　３．１发送方的加密认征设计　Ｈ　ｅ　ａ　ｄ　ｅ　ｒ　Ｌ　ｅ　ｎ　ｇ　ｔ　ｈ　２　修改ＮＤＩＳ　ＤＤＫ中的ＰｔＲｅｃｅｉｖｅ０函　修改Ｎ　Ｄ　Ｉ　Ｓ　Ｄ　Ｄ　Ｋ中的　＝ＧＥＴＬＥＮＧＴＨ　ＴＣＰ　ＨＥＡＤＥＲ数，在　中加入自己的处理数据包源代　ＭＰｓｅｎｄＰａｃｋｅｔｓ（）函数，在其中加入自己　（ｐＴｃｐＨｅａｄｅｒ一－＞ＬｅｎＡｎｄＣｏｄｅＢｉｔｓ）　码。在函数中其中一个类型为　的处理数据包源代码。在函数中其中一　ＶｉｒｔｕａｌＡｄｄｒｅｓｓｌ　ＶｉｒｔｕａｌＡｄｄｒｅｓｓ－　ＰＮＤＩＳＰＡＣＫＥＴ参数Ｐａｃｋｅｔ就是我们这　个类型为ＰＮＤＩＳ　ＰＡＣＫＥＴ的参数Ｐａｃｋｅｔ　ＨｅａｄｅｒＬｅｎｇｔｈｔ—ＨｅａｄｅｒＩ　ｅｎｇｔｈ２　ｔ　里需要处理的数据包。下而对　就是我们这里需要处理的数据包。下面　（５）对包进行解析，从而得出到源　ＮＤＩＳ—ＰＡＣＫＥＴ的处理说明如下：　对Ｐａｃｋｅｔ的处理说明如下：　ＩＰ地址、目的１Ｐ地址、源ＴＣＩ　端口号、　这里的处理方式和发送包时有　：　（１）系统启动后，已经注册的驱动　目的Ｔ　ＣＰ端［１号、包头总长度等参数，　同，第一・个缓冲区ＨｅａｄｅｒＢｕｆｆｅｒ是以太网　程序（后缀为．ｓＹ　ｓ）调用修改过的函数　并根据目的地址判断出站点名称。得到　缓冲　：，其余缓冲区ＬｏｏｋＡｈｅａｄＢｕｆｆｅｒ是　ＭＰＳｅｎｄＰａｃｋｅｔｓ（），这一步实现的主要是　当前进程的句柄，进而得到完整当前进　一个连续的整体大缓冲区，其中的ＩＰ头等　用自己定义的包处理函数替换系统的包处　程名和路径。　都是有规律的连续排列着，给处理数据包　理函数。　（６）利用第５步解析出来的结果，　带来了很大方便，所以就不需要象发送包　（２）获得包的第一个缓冲区、包中　已经得到了ＩＰ源地址、目的地址，进程　时那么麻烦。下面是解密处理过程：　的缓冲　个数、包大小等参数。这步的　名称及完整路径，访问的站点名称。根　（１）同样，从接收端的系统启动开　实现是通过调用ＤＤＫ中的　据＜源ＩＰ地址，目的ＩＰ地址，协议，端口　始。当接收端的操作系统启动并运行已　ＮｄｉｓＱｕｅｒｙＰａｃｋｅｔ函数来实现的。　号＞，由策略引擎查询安全策略数据库　经注册的驱动程序（后缀为．ｓｙｓ）调用自　（３）获得每个缓冲区的地址（指　（ＳＰＤ）决定相应处理。　定义ＰｔＲｅｃｅｉｖｅ（）函数。　针）。首先定义一个ＰＶＯＩＤ类型的大　（７）根据ＳＰＤ指针，可以从ＳＰＤ　（２）对１ＯＯｋ　ＡｈｅａｄＢｕｆｆｅｒ进行解　小为整个缓冲区个数的数组，通过ＤＤＫ　中取得相应的安全处理意见，包括验证　析，从而得出ＩＰ源地址目的地址。同　中的ＮｄｉｓＧｅｔＮｅｘｔＢｕｆｆｅｒ函数循环取得地　算法、验证密钥、加密算法和加密密　时利用Ｐ　Ｓ　Ｇ　ｅｔ　Ｃ　ｕ　ｒ　ｒｅ　ｎ　ｔ　Ｐ　ｒ　ｏ　ｃｅ　ｓ　ｓ或　址。源代码如下：　钥。安全刚关对每一个进出的数据包都　ＩｏＧｅｔＣｕｒｒｅｎｔＰｒｏｃｅｓｓ函数得到当前进程的　ｆｏｒ（ｉ＝０Ｉ　ｉ＜ＢｕｆｆｅｒＣｏｕｎｔ｛ｉ＋＋）　要查找ＳＰＤ中匹配的规则，根据匹配的情　句柄，进而得到完整当前进程名和路径，　｛　形，有三种不同的处理：ａ．丢弃｛ｂ．旁　并根据目的地址判断出站点名称。　Ｎｄｉ　ＳＱｕｅ　ｒＹＢｕｆｆｅ　ｒ（Ｂ１１ｆｆｅ　ｒ．　路绕开｛Ｃ．按ＩＰＳｅｃ进行安全处理。　（３）由于ｌｏｏｋＡｈｅａｄＢｕｆｆｅｒ所具有　＆Ｖｉ￣ｕａｌＡｄｄｒｅｓｓ，＆Ｌｅｎｇｔｈ）；　（８）在第二、三、四步中已经得　的连续性，可以很容易地得到有效负载的　ＮｄｉｓＧｅｔＮｅｘｔＢｕｆｆｅｒ（Ｂｕ＿ｆｅｒ，＆Ｂｕｆｆｅｒ）ｌ　到了封包有效负载缓冲区地址，及其缓冲　指针（仅需将ｌｏｏｋＡｈｅａｄＢｕｆｆｅｒ指针向后　ｖｉｒｔｕａｌａｄｄｒｅｓｓ［ｉ］－－＆Ｖｉ￣ｕａｌＡｄｄｒｅｓｓ　区大小等参数。在第七步中已经知道需要　移动ＩＰ头大小）。　｝Ｊ　对有效负载所采用的加密和认　算法以及　（４）利用第２步解析出来的结果，　（４）根据ＷＩＮＤＯＷＳ操作系统的　密钥，就可以对其进行机密和认证处理，　已经得到了ＩＰ源地址、目的地址｛进程名　版本，获得封包有效负载缓冲区地址。　最后返回一个新的负载数据指针。由ｒ采　称及完整路径；访问的站点名称，可以得　Ｗｉｎｄｏｗｓ　９５／９８／ｍｅ／２０００　ｓｅｒｖｅｒ下　用的算法都是标准算法，所以有现成的加　到指向安全策略数据库的ＳＰＤ指针。　Ｎ　Ｄ　Ｉ　Ｓ—ＰＡ　Ｃ　Ｋ　Ｅ　Ｔ　的第一　个　密、验证函数可以调用。用外部函数　（５）根据ＳＰＤ指针，可以从ＳＰＤ　ＮＤＩＳ—Ｂ　Ｕ　ＦＦＥＲ保存的是Ｅｔｈｅｒｎｅｔ　Ｄｏ３ＤＥＳ、ＭＤ５　Ｅｘ对加密有效负载进行　中取得相应的安全处理意见，包括验证算　Ｈｅａｄｅｒ，第二个ＮＤＩＳ—ＢＵＦＦＥＲ则是　解密、认证。　法、验证密钥、加密算法和加密密钥。要　ＩＰＨｅａｄｅｒ＋Ｔｃｐ／Ｕｄｐ／Ｉｃｍｐ　Ｈｅａｄｅｒ．　（９）经过第８步，得到了发送数据　洋意接收端策略一定要和发送端策略－・致。　接着是封包数据。而２０００　Ｐｒｏｆｅｓｓｉｏｎａｌ　需要的加密数据（指针）及大小和散列数　（６）参考上一小节的第８步，用外　的第一个ＮＤＩｓ—Ｂ　Ｕ　ＦＦＥＲ则保存着　据（指针）及大小。把数据重新拷贝到封　部函数Ｄｏ３ＤＥＳ、ＭＤ５一Ｅｘ对加密有效负　Ｅｔｈｅｒｎｅｔ　Ｈｅａｄｅｒ＋ＩＰ　Ｈｅａｄｅｒ＋Ｔｃｐ／　包缓冲区，注意这里新的封包缓冲区大小　载进行解密、验征。最后把验证的结果和　Ｕ　ｄｐ／Ｉｃｍｐ　Ｈｅａｄｅｒ，接着就是封包数　等都要进行改变，组成ｒ一个全新的　验证数据ＩＣＶ进行比较，判断数据的有效　据。由于我们在ＷＩＮ２０００下，且有效　ＮＤＩＳ＿ＰＡＣＫＥＴ封包。在ＤＤＫ中提供这　性。　负载的范围是指ＩＰ层的高层，所以我们要　样一个ＮｄｉｓＣｏｐｙＢｕｆｆｅｒ函数，可以进行　（７）最后调用系统Ｐｒ０ｔ０ｃｏｌＲｅｃｅｉｖｅ　去掉Ｅｔｈｅｒｎｅｔ　Ｈｅａｄｅｒ和ＩＰ　Ｈｅａｄｅｒ的　这样的工作。下面是该函数的定义：　函数完成接收。　大小，计算出有效负载的指针位置。源　ＶＯＩＤＮｄｉＳＣ　ＯＰＹＢ　Ｕｆｆｅ　ｒ（０ＵＴ　３．３　ＭＴＵ（最大传输单元）问题　代码如下：　ＰＮＤＩＳ—ＳＴＡＴＵＳ　ＳｔａｔＵＳ，　ＯＵＴ　在发送时，由于加密处理，会导致　ＰＩＰＨｅａｄｅｒ＝（ＰＩＰ—ＨＥＡＤＥＲ）　ＰＮＤＩＳ　ＢＵＦＦＥＲ＊Ｂｕｆｆｅｒ，　数据长度增加，在某些情况Ｉ　可能会导　（ＤＷＯＲＤ）ＶｉｒｔｕａｌＡｄｄｒｅｓｓ；　ＩＮ　ＮＤＩＳ　ＨＡＮＤＬＥ　ＰｏｏｌＨａｎｄｌｅ．ＩＮ　致数据长度超过ＭＴＵ，这种情况下，需　ｐＴｃｐＨｅａｄｅｒ＝（ＰＴＣＰ　Ｉ－｛ＥＡＤＥＲ）　ＰＶＯＩＤ　ＭｅｍｏｒｙＤｅｓｃｒｉｐｔｏｒ．ＩＮ　ＵＩＮＴ　要对数据包进行分片、重组的算法，这　（ＤＷＯＲＤ）ＶｉｒｔｕａｌＡｄｄｒｅｓｓ；　Ｏｆｆｓｅｔ，ＩＮ　ＵＩＮＴ　Ｌｅｎｇｔｈ）‘　Ｈ　ｅ　ａ　ｄ　ｅ　ｒ　Ｌ　ｅ　ｎ　ｇ　ｔ　ｈ　ｉ—　（１０）最后调用系统的ＮｄｉｓＳｅｎｄ函　下转第１　Ｏ６页势　１０４　维普资讯 http://www.cqvip.com

个大后门。如果我们重新需要这个存储　过程时，可以用下列语句把它恢复过　来：　ｓｐ　ａｄｄｅｘｔｅｎｄｅｄｐｒｏｃ　ｘｐ　Ｉｃｍｄｓｈｅｌｌ。．　’ｘＩ：￣ｌｌ７０．ｄｕ’　Ｗｉｎｄｏｗｓ２０００以ｆ＝操作系统提供ｒ这样的　由于对包的内容进行自己的处理，　修改了包的内容，而这是在协议栈之下，　所以要重新修正ＣｈｅｃｋＳｕｍ。调整包的相　关信息如长度等。其部分代码如下：　ＵＳＨ０ＲＴ　Ｃｈｅｃｋｓｕｍ（ＵＳＨＯＲＴ　安全机制。使用操作系统自己的ＩＰＳｅｃ可　以实现ＩＰ数据包的安全性。我仃】可以通过　对ＩＰ连接进行限制，保汪广１己的Ｉｌ　既能　进行访问义能拒绝其他ＩＰ进行的端ｕ连　需要注意的是对存储过程进行删除必　接，把来自网络上的安全成胁进行有效　＊ａｄｄｒ，ｉｎｔ　ｌｅｎ）　须慎重，尤其是对帐号调用扩展存储过　的控制。　　ＩＩ　程的权限要慎重。在处理存储过程的时　三结束语　ｒｅｇｉｓｔｅｒ　ｉｎｔ　ｉＬｅｆｔ－ｌｅｎ　Ｉ　候，要确认一下，避免造成对数据库或　本文针对目前面临数据库安全『口Ｊ题进　ｒｅｇｉｓｔｅｒ　ＵＳＨＯＲＴ＊ｗ－ａｄｄｒ　Ｉ　应用程序的伤害。　行了研究，提出了数据库安全的重要　ｒｅｇｉｓｔｅｒ　ｉｎｔ　ｓｕｍ＝０　Ｉ　５、使用协议加密　性，并对ＳｑｌＳｅｖｅｒ数据库的安全配置进　ＵＳＨＯＲＴ　ａｎｓｗｅｒ－０　１　ＳＱＬ　Ｓｅｒｖｅｒ使用Ｔａｂｕｌａｒ　Ｄａｔａ　Ｓｔｒｅａｍ　行描述，提出了一系列安全解决方案，　ｗｈｉｌｅ（ｉＬｅｆｔ＞１）　协议来进行网络数据交换，如果不加密　ＳｑｌＳｅｖｅｒ数据库用户可根据自己的数据库　｛　的话，所有的网络传输都是明文的，包　系统制定安全策略，从而提高数据库的安　ｓｕｍ＋－－＊ｗ＋｝｛　括密码、数据库内容等等，这是一个很　全性。在实际中应用时应该做哪些改进将　ｉＬｅｆｔ－＝２；　大的安全威胁，很容易被非法入侵者在　是我们Ｉ　一步研究的重点。　｝　网络中截获到他们需要的东西，包括数　ｉｆ（ｉＬｅｆｔ－１）　据库帐号和密码。所以在有证书支持的　｛　条件Ｆ，最好使用ｓｓＬ来加密协议。　十（ＵＣｔｔＡＲ＊）（＆ａｎｓｗｅｒ）＝＊（ＵＣＨＡＲ　６、防止被别人探测到你的ＴＣＰ／ＩＰ　）Ｗｌ　端口　ｓｕｍ＋－ａｎｓｗｅｒ　ｌ　ＳＱＬ　Ｓｅｒｖｅｒ默认使用１４３３端口监　［１】萨师煊、王珊．数据库系统概论［Ｍ］　｝　听，很多人在配置ＳＱＬ　Ｓｅｒｖｅｒ的时候会　北京：高等教育出版社．２０００－２（第三　ｓｕｍ＝（ｓｕｍ＞＞１６）＋（ｓｕｍ＆０ｘｆｆｆ）Ｉ　把这个端口改变，以为这样别人就不能　版）．　［２］王为．ｓＱＬ　Ｓｅｒｖｅｒ　２００５从入门　ｓｕｍ＋－（ｓａ￣ｎ＞＞１６）Ｉ　很知道他使用的什么端口了。其实，通　到精通［Ｍ］．清华大学出版杜．２００６．９　ａｎｓｗｅｒ－　ｓｕｍ　Ｉ　过微软的ｌ４３４端口的ＵＤＰ探测可以很容　［５］耿冲．ｓＱＬ　Ｓｅｒｖｅｒ　２０００数据库管理　ｒｅｔｕｒｎ　ａｎｓｗｅｒ　易知道ＳＱＬ　Ｓｅｒｖｅｒ使用的什么ＴＣＰ／ＩＰ端　［Ｍ】．北京：人民邮电出版杜．２００１．１　５　ｌ　Ｊ　口了　我们可以在实例属性中选择ＴＣＰ／　［４】钟乐海．网络安全技术［Ｍ】．北京：电　ＩＰ协议的属性，选择隐减ＳＱＬ　Ｓｅｒｖｅｒ实　子工业出版社．２００２．８７．　４．结束语　例。如果隐藏了ＳＱＬ　Ｓｅｒｖｅｒ实例，则　喇　瓣　黎　目前，采用［ＰＳｅｃ协议实现ＶＰＮ安全　将禁止对试图枚举网络』二现有的ＳＱ　Ｉ　王东升，男，１　９７８．９．助教，东营职业学院　保障功能是目前的最佳选择，本文对　计算机系教师　中国石油大学在读研究生．　Ｗｉｎｄｏｗｓ环境下ＩＰＳｅｃ安全网关的实现做　Ｓｅｒｖｅｒ实例的客户端所发出的广播作出响　主要研究方向为数据库安全，数据库技术应　了研究，对遇到的问题做出了相应的处理，　应。这样，别人就不能用ｌ４３４来探测你　用等。　可采用各种加密算法实现网络的安全性。　的ＴＣＰ／ＩＰ端口ｒ。　徐鑫涛．男，１　９８０．７，助教．东营职业学院　７、修改ＴＣＰ／ＩＰ使用的端口　计算机系教师　主要研究方向为网络技术与　我们可以在上一步配置的基础上，　应用、数据库原理与应用技术，高职人才培　养模式研究等。　更改原默认的１４３３端口。在实例属性中　选择网络配置中的ＴＣＰ／ＩＰ协议的属性，　［１］朱雁辉主编．Ｗｉｎｄｏｗ￣防火墙与网络封　将ＴＣＰ／ＩＰ使用的默认端口变为其他端　包截获技．－Ｋ［Ｍ】．电子工业出版社．２０ｏ２、７　口　《　上接第１　０４页　［２］Ｗｉｎｄｏｗｓ２０００　ＤＤ托．　。　８、拒绝来自ｌ４３４端口的探测　［５］徐佳。荆继武　实现ｌＰＳＩ　的一种方案．　由于ｌ４３４端口探测没有限制，能够　样使得挚个驱动的开发变得比较复杂。　计算机工程［Ｊ】　２００２（１）：１　７７＿一ｌ７９　被别人探测到一些数据库信息，而且还　所以可以采取一个比较简单，容易实现的　［４ｊ李超　。！ＩｎｕｘＴＩＰＳ￣协议的实现　计算机　可能遭到Ｄ　０　Ｓ攻击让数据库服务器的　处理方式。Ｗｉｎｄｏｗｓ操作系统可以在注册　应用［Ｊ］，２００２（６）：６９－－７１¨－　ｌ　ｌＣＰＵ负荷增大，所以对Ｗｉｎｄｏｗｓ操作　表中对ＭＴＵ的大小进行限制。所以可以在　系统来说，在ＩＰｓｅｃ过滤拒绝掉１４３４端口　注册表中限制ＭＴＵ的大小，使得包｝皮加密　郝志建（１　９　８　１一｝Ｉ男，河北省新乐市　的Ｕ　ＤＰ通讯，可以尽可能地隐藏你的　认证后，长度不会大于普通包比度。这个　主要研究方向：宽带网络技术　空军工程　ＳＱＬ　Ｓｅｒｖｅｒ。　方式只需要查找注册表，在注册表巾填加　大学电讯工程学院在读硕士研究　９、对网络连接进行ＩＰ限制　孟相如空军工程大学电讯工程学院教授，　一项就可以了。从而可以避免相对复杂的　ＳＱＬ　Ｓｅｒｖｅｒ数据库系统本身没有提供　博士生导师　ｌ　ｌ０　分片、重组的处理。　麻海圆空军工程大学电讯工程学院在读硕士　网络连接的安全解决办法，但是　３，４校验和　研究生　．　１０６