1、YCF正版可修改PPT（中職）計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第7章教學(xué)課件模塊7 網(wǎng)絡(luò)安全與管理任務(wù)1 網(wǎng)絡(luò)安全的概述任務(wù)2 計(jì)算機(jī)病毒的防治任務(wù)3 防火墻的概念7.3.1 防火墻的作用7.3.2 防火墻的安全控制管理7.3.3 防火墻的主要技術(shù)7.3.4 常見(jiàn)的防火墻設(shè)計(jì)方案7.3.5 典型的Internet防火墻7.3.6 分布式防火墻下一頁(yè)模塊7 網(wǎng)絡(luò)安全與管理任務(wù)4 數(shù)據(jù)加密任務(wù)5 網(wǎng)絡(luò)安全認(rèn)證技術(shù)上一頁(yè)任務(wù)1 網(wǎng)絡(luò)安全的概述計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用已經(jīng)對(duì)經(jīng)濟(jì)、文化、教育與科學(xué)的發(fā)展產(chǎn)生了重要的影響，同時(shí)也不可避免地帶來(lái)了一些新的社會(huì)、道德、政治與法律問(wèn)題。計(jì)算機(jī)犯罪正在引起社會(huì)的普遍關(guān)注，對(duì)社會(huì)也構(gòu)成了

2、很大的威脅。目前計(jì)算機(jī)犯罪和黑客攻擊事件高速增長(zhǎng)，計(jì)算機(jī)病毒的增長(zhǎng)速度更加迅速，它們都給計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)了很大的威脅。1.網(wǎng)絡(luò)安全的概念與特征網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。下一頁(yè)返回任務(wù)1 網(wǎng)絡(luò)安全的概述網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。從廣義來(lái)說(shuō)，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。一個(gè)安全

3、的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有以下幾個(gè)方面的特征。(1)網(wǎng)絡(luò)系統(tǒng)的可靠性指保證網(wǎng)絡(luò)系統(tǒng)不因各種因素的影響而中斷正常工作。(2)軟件和數(shù)據(jù)的完整性指保護(hù)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)和傳輸?shù)能浖?程序)與數(shù)據(jù)不被非法操作，即保證數(shù)據(jù)不被插入、替換和刪除，數(shù)據(jù)分組不丟失、亂序，數(shù)據(jù)庫(kù)中的數(shù)據(jù)或系統(tǒng)中的程序不被破壞等。(3)軟件和數(shù)據(jù)的可用性指在保證軟件和數(shù)據(jù)完整的同時(shí)，還要能使其被正常利用和操作。下一頁(yè)返回上一頁(yè)任務(wù)1 網(wǎng)絡(luò)安全的概述(4)軟件和數(shù)據(jù)的保密性主要是利用密碼技術(shù)對(duì)軟件和數(shù)據(jù)進(jìn)行加密處理，保證在系統(tǒng)中存儲(chǔ)和網(wǎng)絡(luò)上傳輸?shù)能浖蛿?shù)據(jù)不被無(wú)關(guān)人員識(shí)別。2.威脅網(wǎng)絡(luò)安全的原因網(wǎng)絡(luò)設(shè)備、軟件、協(xié)議等網(wǎng)絡(luò)自身的安全缺陷，網(wǎng)

4、絡(luò)的開(kāi)放性以及黑客惡意的攻擊是威脅網(wǎng)絡(luò)安全的根本原因。而網(wǎng)絡(luò)管理手段、技術(shù)、觀念的相對(duì)滯后也是導(dǎo)致安全隱患的一個(gè)重要因素。1)黑客攻擊黑客(Hacker)是指網(wǎng)絡(luò)的非法入侵者，其起源可追溯到20世紀(jì)60年代，目前已經(jīng)成為一個(gè)人數(shù)眾多的特殊群體。通常黑客是為了獲得非法的經(jīng)濟(jì)利益或達(dá)到某種政治目的對(duì)網(wǎng)絡(luò)進(jìn)行入侵的，也有單純出于個(gè)人興趣對(duì)網(wǎng)絡(luò)進(jìn)行非法入侵，而前者的危害性往往更大。下一頁(yè)返回上一頁(yè)任務(wù)1 網(wǎng)絡(luò)安全的概述近幾年隨著網(wǎng)絡(luò)應(yīng)用的日益普及，全社會(huì)對(duì)網(wǎng)絡(luò)的依賴程度不斷提高，網(wǎng)絡(luò)的入侵者已經(jīng)不僅僅局限于單個(gè)黑客或黑客團(tuán)體，一些政府或軍事集團(tuán)出于信息戰(zhàn)的需要，也開(kāi)始通過(guò)入侵對(duì)手網(wǎng)絡(luò)來(lái)收集信息，甚至通

5、過(guò)入侵對(duì)手網(wǎng)絡(luò)來(lái)直接打擊對(duì)手。2)自然災(zāi)難計(jì)算機(jī)信息系統(tǒng)僅僅是一個(gè)智能的機(jī)器，易受自然災(zāi)難及環(huán)境(溫度、濕度、振動(dòng)、沖擊、污染)的影響。目前，不少計(jì)算機(jī)房并沒(méi)有防震、防火、防水、避雷、防電磁泄漏或干擾等安全防護(hù)措施，接地系統(tǒng)也疏于周到考慮，抵御自然災(zāi)難和意外事故的能力較差。3)人為的無(wú)意失誤如操作員安全配置不當(dāng)造成的安全漏洞、用戶安全意識(shí)不強(qiáng)、用戶口令選擇不慎、用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。下一頁(yè)返回上一頁(yè)任務(wù)1 網(wǎng)絡(luò)安全的概述4)網(wǎng)絡(luò)軟件的漏洞和“后門”網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)的

6、黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，大部分就是因?yàn)榘踩胧┎煌晟扑兄碌?。另外，軟件的“后門”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦“后門”洞開(kāi)，其造成的后果將不堪設(shè)想。5)計(jì)算機(jī)病毒20世紀(jì)90年代，出現(xiàn)了曾引起世界性恐慌的“計(jì)算機(jī)病毒”，其蔓延范圍廣，增長(zhǎng)速度驚人，造成的損失難以估計(jì)。它像灰色的幽靈一樣將自己附在其他程序上，在這些程序運(yùn)行時(shí)進(jìn)入到系統(tǒng)中進(jìn)行擴(kuò)散。計(jì)算機(jī)感染上病毒后，輕則系統(tǒng)工作效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計(jì)算機(jī)主板等部件的損壞。下一頁(yè)返回上一頁(yè)任務(wù)1 網(wǎng)絡(luò)安全的概述3.網(wǎng)絡(luò)安全威脅介類計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅如圖7-

7、1所示，主要有截獲、中斷、篡改和偽造4種。(1)截獲從網(wǎng)絡(luò)上竊聽(tīng)他人的通信內(nèi)容。(2)中斷有意中斷他人在網(wǎng)絡(luò)上的通信。(3)篡改故意篡改網(wǎng)絡(luò)上傳送的報(bào)文。(4)偽造偽造信息在網(wǎng)絡(luò)上傳送。上述四種威脅可劃分為兩大類，即主動(dòng)攻擊和被動(dòng)攻擊。截獲信息的攻擊稱為被動(dòng)攻擊，而更改信息和拒絕用戶使用資源的攻擊稱為主動(dòng)攻擊。在被動(dòng)攻擊中，攻擊者只是觀察和分析某一個(gè)協(xié)議數(shù)據(jù)單元PDU ( Protocol Data Unit，協(xié)議數(shù)據(jù)單元)而不干擾信息流。主動(dòng)攻擊是指攻擊者對(duì)某個(gè)連接中通過(guò)的PDU進(jìn)行各種處理。下一頁(yè)返回上一頁(yè)任務(wù)1 網(wǎng)絡(luò)安全的概述對(duì)于主動(dòng)攻擊，可以采取適當(dāng)措施加以檢測(cè)。但是，對(duì)于被動(dòng)攻擊，通

8、常是檢測(cè)不出來(lái)的。對(duì)付被動(dòng)攻擊可以采用各種數(shù)據(jù)加密技術(shù)，而對(duì)付主動(dòng)攻擊，則需將加密技術(shù)與適當(dāng)?shù)蔫b別技術(shù)相結(jié)合。還有一種特殊的主動(dòng)攻擊，即惡意程序的攻擊。惡意程序種類繁多，對(duì)網(wǎng)絡(luò)安全威脅較大的主要有以下4種。(1)計(jì)算機(jī)病毒:一種會(huì)“傳染”其他程序的程序，“傳染”是通過(guò)修改其他程序來(lái)把自身或其變種復(fù)制進(jìn)去完成的。(2)計(jì)算機(jī)蠕蟲(chóng):通過(guò)網(wǎng)絡(luò)的通信功能將自身從一個(gè)節(jié)點(diǎn)發(fā)送到另一個(gè)節(jié)點(diǎn)并啟動(dòng)運(yùn)行的程序。(3)特洛伊木馬:一種程序，它執(zhí)行的功能超出所聲稱的功能。(4)邏輯炸彈:一種當(dāng)運(yùn)行環(huán)境滿足某種特定條件時(shí)執(zhí)行其特殊功能的程序。下一頁(yè)返回上一頁(yè)任務(wù)1 網(wǎng)絡(luò)安全的概述4.計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容從技術(shù)角度看

9、，網(wǎng)絡(luò)安全的內(nèi)容大體包括四個(gè)方面。1)網(wǎng)絡(luò)實(shí)體安全如機(jī)房的物理?xiàng)l件、物理環(huán)境及設(shè)施的安全標(biāo)準(zhǔn)，計(jì)算機(jī)硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的安裝及配置等。2)軟件安全如保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法侵入，系統(tǒng)軟件與應(yīng)用軟件不被非法復(fù)制、篡改，不受病毒的侵害等。3)網(wǎng)絡(luò)數(shù)據(jù)安全如保護(hù)網(wǎng)絡(luò)信息的數(shù)據(jù)安全不被非法存取，保護(hù)其完整一致等。4)網(wǎng)絡(luò)安全管理如運(yùn)行時(shí)突發(fā)事件的安全處理等，包括采取計(jì)算機(jī)安全技術(shù)，建立安全管理制度，開(kāi)展安全審計(jì)，進(jìn)行風(fēng)險(xiǎn)分析等內(nèi)容。返回上一頁(yè)任務(wù)2計(jì)算機(jī)病毒的防治近幾年來(lái)，計(jì)算機(jī)病毒的種類越來(lái)越多，危害越來(lái)越大，因此了解一些關(guān)于計(jì)算機(jī)病毒的知識(shí)，隨時(shí)預(yù)防，查殺計(jì)算機(jī)病毒是十分必要的。1.計(jì)算機(jī)病

10、毒概述1)什么是計(jì)算機(jī)病毒計(jì)算機(jī)病毒是一種程序，并非是醫(yī)學(xué)上所稱的病毒，這里只是借用了“病毒”的名稱，對(duì)人體本身并沒(méi)有任何作用，它們所危害的是計(jì)算機(jī)系統(tǒng)。這些病毒程序往往都不大，并且大部分是有害的，有些破壞性極大。它們的一個(gè)共同特征是可以自行復(fù)制，就像病毒那樣有很強(qiáng)的傳染性，一旦感染會(huì)很快擴(kuò)散，這些特點(diǎn)都很像醫(yī)學(xué)上的病毒，所以把它們稱為計(jì)算機(jī)病毒。計(jì)算機(jī)病毒是人為編寫(xiě)的有害程序，因此它是一種計(jì)算機(jī)犯罪現(xiàn)象。下一頁(yè)返回任務(wù)2計(jì)算機(jī)病毒的防治2)計(jì)算機(jī)病毒的危害計(jì)算機(jī)病毒按照種類不同，對(duì)計(jì)算機(jī)系統(tǒng)的危害也不同。有些病毒只是占用系統(tǒng)的資源，干擾用戶的工作，例如在屏幕上顯示一些莫名其妙的圖案等。有些病

11、毒卻破壞系統(tǒng)的資源，造成用戶文件的損壞或丟失，甚至使計(jì)算機(jī)系統(tǒng)癱瘓，這類病毒稱為惡性病毒。近幾年來(lái)，惡性病毒的種類越來(lái)越多，通過(guò)互聯(lián)網(wǎng)、電子郵件等方式進(jìn)行廣泛傳播，危害也越來(lái)越大。例如1998年開(kāi)始出現(xiàn)的CIH病毒，可以摧毀主板BIOS程序。CIH病毒曾使全球眾多的計(jì)算機(jī)系統(tǒng)發(fā)生癱瘓。我國(guó)的許多計(jì)算機(jī)也曾遭受過(guò)重大的損失。3)計(jì)算機(jī)病毒的特點(diǎn)一般說(shuō)來(lái)，計(jì)算機(jī)病毒具有以下特點(diǎn)。(1)破壞性:這是計(jì)算機(jī)病毒的主要特點(diǎn)，也是計(jì)算機(jī)病毒的目的。如上所述，輕則干擾用戶的工作，重則破壞計(jì)算機(jī)系統(tǒng)。下一頁(yè)返回上一頁(yè)任務(wù)2計(jì)算機(jī)病毒的防治(2)傳染性:計(jì)算機(jī)病毒都具有自我復(fù)制能力，它能夠在計(jì)算機(jī)系統(tǒng)中進(jìn)行傳播

12、和擴(kuò)散。運(yùn)行被計(jì)算機(jī)病毒感染的程序以后，可以很快地感染計(jì)算機(jī)中的其他程序，繼而擴(kuò)散到整個(gè)計(jì)算機(jī)系統(tǒng)。特別是在計(jì)算機(jī)網(wǎng)絡(luò)中，傳染的速度更快，危害的程度也更大。(3)潛伏性:有些計(jì)算機(jī)病毒在侵入計(jì)算機(jī)系統(tǒng)后，立即發(fā)作，但有許多計(jì)算機(jī)病毒潛伏在正常的程序之中，不是立即發(fā)作，而是等待一定的激發(fā)條件，如日期、時(shí)間、文件運(yùn)行的次數(shù)等。這些激發(fā)條件是病毒設(shè)計(jì)者預(yù)先設(shè)定的，它們病毒就像定時(shí)炸彈一樣，一旦激發(fā)條件出現(xiàn)，便立即發(fā)作危害計(jì)算機(jī)系統(tǒng)。例如前面提到的CIH病毒，發(fā)作時(shí)間是4月26日，還有一種CIH病毒的變種，發(fā)作日期是每月的26日。(4)隱蔽性:這是計(jì)算機(jī)病毒的又一特點(diǎn)。病毒程序在發(fā)作以前不容易被用戶發(fā)

13、現(xiàn)，它們有的隱藏在計(jì)算機(jī)操作系統(tǒng)的引導(dǎo)扇區(qū)中，有的隱藏在硬盤(pán)分區(qū)表中，有的隱藏在可執(zhí)行文件或用戶的數(shù)據(jù)文件中以及其他介質(zhì)之中。下一頁(yè)返回上一頁(yè)任務(wù)2計(jì)算機(jī)病毒的防治2.計(jì)算機(jī)病毒的檢側(cè)如何知道計(jì)算機(jī)是否感染了病毒呢?當(dāng)發(fā)生了下列現(xiàn)象時(shí)，應(yīng)該想到計(jì)算機(jī)有可能感染了病毒。(1)顯示器上出現(xiàn)了莫名其妙的數(shù)據(jù)或圖案。(2)數(shù)據(jù)或文件發(fā)生丟失。(3)程序的長(zhǎng)度發(fā)生了改變。(4)程序運(yùn)行發(fā)生異常。(5)磁盤(pán)的空間發(fā)生了改變，明顯縮小。(6)系統(tǒng)運(yùn)行速度明顯減慢。(7)經(jīng)常發(fā)生死機(jī)現(xiàn)象。(8)訪問(wèn)外設(shè)時(shí)發(fā)生異常，例如不能正確打印等。如果發(fā)現(xiàn)有計(jì)算機(jī)病毒感染的跡象，應(yīng)及時(shí)用反病毒軟件進(jìn)行檢測(cè)，及時(shí)清除病毒。下

14、一頁(yè)返回上一頁(yè)任務(wù)2計(jì)算機(jī)病毒的防治3.計(jì)算機(jī)病毒的預(yù)防采取以下措施，可以有效地預(yù)防計(jì)算機(jī)感染病毒。(1)應(yīng)準(zhǔn)備一種或幾種反病毒軟件，經(jīng)?；蚨ㄆ跈z測(cè)計(jì)算機(jī)，以便病毒感染后能及時(shí)發(fā)現(xiàn)，及時(shí)清除。(2)安裝具有實(shí)時(shí)監(jiān)測(cè)功能的反病毒軟件或防病毒卡，防止計(jì)算機(jī)病毒的侵襲。(3)一定要及時(shí)對(duì)硬盤(pán)的分區(qū)表及重要的文件做備份，一旦系統(tǒng)遭到破壞，可以及時(shí)恢復(fù)。分區(qū)表是用來(lái)管理、記憶文件在磁盤(pán)空間存儲(chǔ)位置的，有些反病毒軟件具有備份分區(qū)表的功能。(4)不要使用盜版軟件及來(lái)路不明的軟盤(pán)或光盤(pán)。(5)需要使用外來(lái)的軟盤(pán)或光盤(pán)時(shí)，應(yīng)先進(jìn)行檢查，確保沒(méi)有病毒時(shí)再使用。(6)對(duì)不需寫(xiě)入數(shù)據(jù)的磁盤(pán)進(jìn)行寫(xiě)保護(hù)處理。下一頁(yè)返回上

15、一頁(yè)任務(wù)2計(jì)算機(jī)病毒的防治(7)定期對(duì)文件做備份，培養(yǎng)隨時(shí)進(jìn)行備份的良好習(xí)慣。(8)有些計(jì)算機(jī)病毒有特定的發(fā)作日期，例如CIH病毒是每月26日發(fā)作。當(dāng)某種病毒流行的時(shí)候，應(yīng)盡量避免在病毒發(fā)作的日期開(kāi)機(jī)，或事先調(diào)整系統(tǒng)日期，避開(kāi)病毒發(fā)作的日期。4.病毒的消除一旦發(fā)現(xiàn)病毒，用戶就應(yīng)該立即著手進(jìn)行消除，但并不只是對(duì)發(fā)現(xiàn)病毒的文件進(jìn)行病毒消除，還要對(duì)那些可疑的或者無(wú)法確認(rèn)安全的內(nèi)容進(jìn)行檢測(cè)。如果發(fā)現(xiàn)機(jī)器感染了病毒，假若連接在網(wǎng)上，則應(yīng)立即使機(jī)器脫離網(wǎng)絡(luò)，以防擴(kuò)大傳染范圍，對(duì)已經(jīng)感染的軟件應(yīng)進(jìn)行隔離，在消除病毒之前不要使用。發(fā)現(xiàn)病毒后，應(yīng)使用未被感染過(guò)的備份軟件重新啟動(dòng)機(jī)器，如果感染特別嚴(yán)重，可以考慮將

16、其低級(jí)格式化，再做分區(qū)和高級(jí)格式化，以徹底清除病毒，下一頁(yè)返回上一頁(yè)任務(wù)2計(jì)算機(jī)病毒的防治然后運(yùn)行DOS中的SYS命令，重新寫(xiě)入BOOT區(qū)。如果CMOS內(nèi)存區(qū)被感染，則應(yīng)該將主板上的電池取下，以清除此區(qū)域中的病毒。目前最方便、最理想的方法是利用市場(chǎng)上數(shù)量眾多的查殺病毒軟件進(jìn)行殺毒。如KV3000、瑞星殺毒軟件、金山毒霸等。返回上一頁(yè)任務(wù)3防火墻的概念目前保護(hù)網(wǎng)絡(luò)安全最主要的手段之一是構(gòu)筑防火墻，防火墻(Firewall)是一種特殊編程的路由器，實(shí)施訪問(wèn)控制策略來(lái)保護(hù)內(nèi)部的網(wǎng)絡(luò)不受來(lái)自外界的侵害，是近年來(lái)日趨成熟的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的重要措施。防火墻是一種隔離控制技術(shù)，它的作用是在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)

17、和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問(wèn)，防火墻也可以被用來(lái)阻止保密信息從企業(yè)的網(wǎng)絡(luò)上被非法傳出。7.3.1防火墻的作用防火墻主要用于實(shí)現(xiàn)網(wǎng)絡(luò)路由的安全性。網(wǎng)絡(luò)路由的安全性包括兩個(gè)方面。(1)限制外部網(wǎng)對(duì)內(nèi)部網(wǎng)的訪問(wèn)，從而保護(hù)內(nèi)部網(wǎng)特定資源免受非法侵犯。下一頁(yè)返回任務(wù)3防火墻的概念(2)限制內(nèi)部網(wǎng)對(duì)外部網(wǎng)的訪問(wèn)，主要是針對(duì)一些不健康信息及敏感信息的訪問(wèn)。防火墻在內(nèi)部網(wǎng)與外部網(wǎng)之間的界面上構(gòu)造了一個(gè)保護(hù)層，并強(qiáng)制所有的連接都必須經(jīng)過(guò)此保護(hù)層，在此進(jìn)行檢查和連接。只有被授權(quán)的通信才能通過(guò)此保護(hù)層，從而保護(hù)內(nèi)部網(wǎng)及外部網(wǎng)的訪問(wèn)。防火墻技術(shù)已成為實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的最有

18、效的工具之一，并被廣泛地應(yīng)用到網(wǎng)絡(luò)安全管理上。7.3.2防火墻的安全控制管理為網(wǎng)絡(luò)建立防火墻，首先需要決定它將采取何種安全控制模型。通常有兩種模型可供選擇。(1)沒(méi)有被列為允許訪問(wèn)的服務(wù)都是被禁止的。(2)沒(méi)有被列為禁止訪問(wèn)的服務(wù)都是被允許的。如果防火墻采取第一種安全控制模型，那么需要確定所有可以被提供的服務(wù)以及它下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念們的安全特性，然后開(kāi)放這些服務(wù)，并將所有其他未被列入的服務(wù)排除在外，禁止訪問(wèn)。如果防火墻采取第二種模型，則正好相反，需要確定哪些被認(rèn)為是不安全的服務(wù)，禁止其訪問(wèn);而其他服務(wù)則被認(rèn)為是安全的，允許訪問(wèn)。從安全性角度考慮，第一種模型更可靠一些。因?yàn)楹茈y找

19、出網(wǎng)絡(luò)所有的漏洞，從而也就很難排除所有的非法服務(wù)。而從靈活性和使用方便性的角度考慮則第二種模型更合適。7.3.3防火墻的主要技術(shù)1.包過(guò)濾包過(guò)濾(Packet Filtering)在網(wǎng)絡(luò)層依據(jù)系統(tǒng)的過(guò)濾規(guī)則，對(duì)數(shù)據(jù)包進(jìn)行選擇和過(guò)濾，這種規(guī)則又稱為訪問(wèn)控制表(ACL)。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念該技術(shù)通過(guò)檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包的源地址、目標(biāo)地址、源端口、目的端口及協(xié)議狀態(tài)或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。這種防火墻通常安裝在路由器上。一般而言，包過(guò)濾包括兩種基本類型:無(wú)狀態(tài)檢查的包過(guò)濾和有狀態(tài)檢查的包過(guò)濾，其區(qū)別在于后者通過(guò)記住防火墻的所有通信狀態(tài)，并根據(jù)狀態(tài)信息來(lái)過(guò)濾整個(gè)通信流

20、，而不僅僅是包。另外，兩者均被配置為只過(guò)濾最有用的數(shù)據(jù)域，包括協(xié)議類型,IP地址、TCP/UDP端口、分段口和源路由信息，但還是有許多方法可繞過(guò)包過(guò)濾器進(jìn)入Internet,這是因?yàn)?(1)TCP只能在第0個(gè)分段中被過(guò)濾。(2)特洛伊木馬可以使用NAT使包過(guò)濾器失效。(3)許多包過(guò)濾器允許1024以上的端口通過(guò)。因此，“純”包過(guò)濾器的防火墻不能完全保證內(nèi)部網(wǎng)的安全，必須與代理服務(wù)器和網(wǎng)絡(luò)地址翻譯結(jié)合起來(lái)才能解決問(wèn)題。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念2.代理型代理服務(wù)技術(shù)(應(yīng)用層網(wǎng)關(guān)防火墻)是防火墻技術(shù)中使用得較多的技術(shù)，也是一種安全性能較高的技術(shù)，它的安全性要高于包過(guò)濾技術(shù)，并已經(jīng)開(kāi)始向應(yīng)用

21、層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看，代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。1)代理服務(wù)技術(shù)的優(yōu)點(diǎn)安全性較高。能有效對(duì)付基于應(yīng)用層的侵入和病毒?？蓪?nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)屏蔽起來(lái)。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念能針對(duì)協(xié)議實(shí)現(xiàn)其特有的安全特性。具有數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄、報(bào)警等

22、功能。2)代理服務(wù)技術(shù)的缺點(diǎn)必須為每一個(gè)網(wǎng)絡(luò)應(yīng)用服務(wù)都專門開(kāi)發(fā)相應(yīng)的應(yīng)用代理服務(wù)軟件。系統(tǒng)管理復(fù)雜。需要專用的服務(wù)器來(lái)承擔(dān)。3.監(jiān)測(cè)型監(jiān)測(cè)型(狀態(tài)檢測(cè)防火墻)防火墻是新一代產(chǎn)品，監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念同時(shí)，這種監(jiān)測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中，有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部。因此，監(jiān)測(cè)型

23、防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品。各類防火墻的對(duì)比如表7-1所示。7.3.4常見(jiàn)的防火墻設(shè)計(jì)方案最簡(jiǎn)單的防火墻配置，就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包過(guò)濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全，有時(shí)還要將幾種防火墻技術(shù)組合起來(lái)構(gòu)建防火墻系統(tǒng)。目前，比較流行的有以下三種防火墻配置方案。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念1.雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器;它能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而，實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)

24、構(gòu)禁止這種發(fā)送功能。因而，IP數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)(例如，因特網(wǎng))并不是直接發(fā)送到其他網(wǎng)絡(luò)(例如，內(nèi)部的被保護(hù)的網(wǎng)絡(luò))。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機(jī)通信，但是這些系統(tǒng)不能直接互相通信，它們之間的IP通信被完全阻止。雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)是相當(dāng)簡(jiǎn)單的:雙重宿主主機(jī)位于兩者之間，并且被連接到因特網(wǎng)和內(nèi)部的網(wǎng)絡(luò)，這種體系結(jié)構(gòu)如圖7-2所示。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念2.屏蔽主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)提供來(lái)自與多個(gè)網(wǎng)絡(luò)相連的主機(jī)的服務(wù)(但是路由關(guān)閉)，而被屏蔽主機(jī)體系結(jié)構(gòu)使用一個(gè)單獨(dú)的路由器提供來(lái)自僅僅與內(nèi)部的網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包負(fù)責(zé)，其結(jié)構(gòu)如

25、圖7-3所示。在圖7-3中堡壘主機(jī)位于內(nèi)部的網(wǎng)絡(luò)上。從圖中可以看出，在屏蔽的路由器上的數(shù)據(jù)包過(guò)濾是按這樣一種方法設(shè)置的:即堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的橋梁(例如，傳送進(jìn)來(lái)的電子郵件)。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問(wèn)內(nèi)部的系統(tǒng)或者服務(wù)將必須連接到這臺(tái)堡壘主機(jī)上。因此，堡壘主機(jī)需要擁有高等級(jí)的安全。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念數(shù)據(jù)包過(guò)濾也允許堡壘主機(jī)開(kāi)放可允許的連接(“可允許”由用戶站點(diǎn)的安全策略決定)到外部世界。屏蔽的路由器數(shù)據(jù)包過(guò)濾配置可以按如下執(zhí)行。(1)允許其他的內(nèi)部主機(jī)為了某些服務(wù)與因特網(wǎng)上的主機(jī)連接(即允許那些已經(jīng)由數(shù)據(jù)包過(guò)

26、濾的服務(wù))。(2)不允許來(lái)自內(nèi)部主機(jī)的所有連接(強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù))。用戶可以針對(duì)不同的服務(wù)混合使用這些手段;某些服務(wù)可以被允許直接經(jīng)由數(shù)據(jù)包過(guò)濾，而其他服務(wù)可以被允許僅僅間接地經(jīng)過(guò)代理，這完全取決于用戶實(shí)行的安全策略。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念3.屏蔽子網(wǎng)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)隔離開(kāi)。堡壘主機(jī)是用戶網(wǎng)絡(luò)上最容易受侵襲的計(jì)算機(jī)。任憑用戶盡最大的力氣去保護(hù)它，它仍是最有可能被侵襲的計(jì)算機(jī)，因?yàn)樗举|(zhì)上是能夠被侵襲的計(jì)算機(jī)。如果在屏蔽主機(jī)體系結(jié)構(gòu)中，用戶的內(nèi)部網(wǎng)絡(luò)對(duì)來(lái)自用戶的堡壘主機(jī)的侵

27、襲門戶洞開(kāi)，那么用戶的堡壘主機(jī)是非常誘人的攻擊目標(biāo)。在它與用戶的其他內(nèi)部計(jì)算機(jī)之間沒(méi)有其他的防御手段時(shí)(除了它們可能有的主機(jī)安全之外，這通常是非常少的)，如果有人成功地侵入屏蔽主機(jī)體系結(jié)構(gòu)中的堡壘主機(jī)，那就可以毫無(wú)阻擋地進(jìn)入內(nèi)部系統(tǒng)了。通過(guò)在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)上侵入的影響?？梢哉f(shuō)，它只給入侵者一些訪問(wèn)的機(jī)會(huì)，但不是全部。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)，一個(gè)位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間(通常為因特網(wǎng))，其結(jié)構(gòu)如圖7-4所示。為了侵入用這種類型的體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者

28、必須要通過(guò)兩個(gè)路由器。即使侵襲者設(shè)法侵入堡壘主機(jī)，他仍然必須通過(guò)內(nèi)部路由器，在此情況下，整個(gè)系統(tǒng)中不存在損害內(nèi)部網(wǎng)絡(luò)的單一的易受侵襲點(diǎn)。作為入侵者，只是進(jìn)行了一次訪問(wèn)。7.3.5典型的Internet防火墻現(xiàn)在已經(jīng)了解了防火墻的基本概念，通常情況下，包過(guò)濾防火墻與應(yīng)用網(wǎng)關(guān)常常一起配合使用，這樣既為內(nèi)部的主機(jī)訪問(wèn)外部信息提供了一個(gè)安全的數(shù)據(jù)通道，同時(shí)又能有效地防止外部主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)的非法訪問(wèn)。圖7-5是一個(gè)典型的防火墻的示意圖。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念如圖7-5所示，包過(guò)濾防火墻不僅實(shí)現(xiàn)了對(duì)外的屏障，而且實(shí)現(xiàn)了對(duì)內(nèi)部主機(jī)的屏障，將公司內(nèi)部的主機(jī)與外部網(wǎng)絡(luò)隔離起來(lái)。它阻攔所有的數(shù)據(jù)報(bào)，除

29、非數(shù)據(jù)報(bào)來(lái)自代理主機(jī)。當(dāng)然，整個(gè)防火墻系統(tǒng)的安全性取決于代理主機(jī)的安全。如果一個(gè)入侵者能夠訪問(wèn)代理主機(jī)，他也可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)上的其他主機(jī)?？梢哉f(shuō)，防火墻與家里的防盜門很相似，它們對(duì)普通人來(lái)說(shuō)是一層安全防護(hù)，但是沒(méi)有任何一種防火墻能提供絕對(duì)的保護(hù)。這就是為什么許多公司建立多層防火墻的原因，當(dāng)黑客闖過(guò)一層防火墻后他只能獲取一部分?jǐn)?shù)據(jù)，其他的數(shù)據(jù)仍然被安全地保護(hù)在內(nèi)部防火墻之后。總之，防火墻是增加計(jì)算機(jī)網(wǎng)絡(luò)安全的手段之一，只要網(wǎng)絡(luò)應(yīng)用存在，防火墻就有其存在的價(jià)值。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念7.3.6分布式防火墻傳統(tǒng)的防火墻如包過(guò)濾型和代理型，它們都有各自的缺點(diǎn)與局限性。隨著計(jì)算機(jī)安全技術(shù)的發(fā)

30、展和用戶對(duì)防火墻功能要求的提高，目前出現(xiàn)了一種新型防火墻，那就是“分布式防火墻”，英文名為Distributed Firewalls，它是在傳統(tǒng)的邊界式防火墻基礎(chǔ)上開(kāi)發(fā)的。由于其優(yōu)越的安全防護(hù)體系符合未來(lái)的發(fā)展趨勢(shì)，所以這一技術(shù)一出現(xiàn)便得到許多用戶的認(rèn)可和接受。下面重點(diǎn)介紹這種新型的防火墻技術(shù)。1.分布式防火墻的產(chǎn)生因?yàn)閭鹘y(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，處于內(nèi)、外部計(jì)算機(jī)網(wǎng)絡(luò)之間，所以也稱為“邊界防火墻”。隨著人們對(duì)網(wǎng)絡(luò)安全防護(hù)要求的提高，邊界防火墻明顯已不能滿足需求，因?yàn)榻o網(wǎng)絡(luò)帶來(lái)安全威脅的不僅是外部網(wǎng)絡(luò)，更多的是內(nèi)部網(wǎng)絡(luò)。但邊界防火墻無(wú)法對(duì)內(nèi)下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念部網(wǎng)絡(luò)實(shí)現(xiàn)有效的保護(hù)

31、，除非對(duì)每一臺(tái)主機(jī)都安裝防火墻，這是不可能的?；谶@種需求，一種新型的防火墻技術(shù)即分布式防火墻技術(shù)產(chǎn)生了。它可以很好地解決邊界防火墻的不足，不用為每臺(tái)主機(jī)安裝防火墻而能夠把防火墻的安全防護(hù)系統(tǒng)延伸到網(wǎng)絡(luò)中的各臺(tái)主機(jī)。一方面有效地保證了用戶的投資不會(huì)很高，另一方面給網(wǎng)絡(luò)帶來(lái)了非常全面的安全防護(hù)。分布式防火墻負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)，所以“分布式防火墻”是一個(gè)完整的系統(tǒng)，而不是單一的產(chǎn)品。根據(jù)其所需完成的功能，新的防火墻體系結(jié)構(gòu)包含如下部分。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念(1）網(wǎng)絡(luò)防火墻(Network Firewall)。網(wǎng)絡(luò)防火墻是用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)

32、部網(wǎng)各子網(wǎng)之間的防護(hù)產(chǎn)品。與傳統(tǒng)邊界防火墻相比，它多了一種用于對(duì)內(nèi)部子網(wǎng)之間的安全防護(hù)層，這樣整個(gè)網(wǎng)絡(luò)間的安全防護(hù)體系就顯得更加安全可靠。(2)主機(jī)防火墻(Host Firewall)。主機(jī)防火墻駐留在主機(jī)中，負(fù)責(zé)策略的實(shí)施。它對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)，這些主機(jī)的物理位置可能在內(nèi)部網(wǎng)中，也可能在內(nèi)部網(wǎng)外。這樣防火墻的作用不僅是用于內(nèi)部與外部網(wǎng)之間的防護(hù)，還可應(yīng)用于內(nèi)部網(wǎng)各子網(wǎng)之間、同一子網(wǎng)內(nèi)部工作站與服務(wù)器之間。可以說(shuō)達(dá)到了應(yīng)用層的安全防護(hù)，比起網(wǎng)絡(luò)層更加徹底。(3)中心管理(Central Managerment)。中心管理服務(wù)器負(fù)責(zé)安全策略的制定、管理、分發(fā)及日志的匯總，中心策略是

33、分布式防火墻系統(tǒng)的核心和重要特征之一。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念這是一個(gè)防火墻服務(wù)器管理軟件，負(fù)責(zé)總體安全策略的策劃、管理、分發(fā)及日志的匯總。這是以前傳統(tǒng)邊界防火墻所不具有的新的防火墻的管理功能。這樣防火墻就可進(jìn)行智能管理，提高了防火墻的安全防護(hù)靈活性，使其具備可管理性。2.分布式防火墻的主要特點(diǎn)綜合起來(lái)這種新的防火墻技術(shù)具有以下幾個(gè)主要特點(diǎn)。(1)保護(hù)全面性。分布式防火墻把互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)均視為“不友好的”，它們對(duì)個(gè)人計(jì)算機(jī)進(jìn)行保護(hù)的方式如同邊界防火墻對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行保護(hù)一樣。對(duì)于Web服務(wù)器來(lái)說(shuō)，分布式防火墻進(jìn)行配置后能夠阻止一些非必要的協(xié)議，如HTTP和HTTPS之外的協(xié)議通過(guò)，從

34、而阻止了非法入侵的發(fā)生，同時(shí)還具有入侵檢測(cè)及防護(hù)功能。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念(2)適用于服務(wù)器托管。不同的托管用戶有不同數(shù)量的服務(wù)器在數(shù)據(jù)中心托管，服務(wù)器上也有不同的應(yīng)用。對(duì)于安裝了中心管理系統(tǒng)的管理終端，數(shù)據(jù)中心安全服務(wù)部門的技術(shù)人員可以對(duì)所有在數(shù)據(jù)中心委托安全服務(wù)的服務(wù)器的安全狀況進(jìn)行監(jiān)控，并提供有關(guān)的安全日志記錄。對(duì)于這類用戶，他們通常所采用的防火墻方案是采用虛擬防火墻方案，但這種配置相當(dāng)復(fù)雜，非一般網(wǎng)管人員能勝任。而針對(duì)服務(wù)器的主機(jī)防火墻解決方案則是其一個(gè)典型應(yīng)用。對(duì)于純軟件式的分布式防火墻，用戶只需在該服務(wù)器上安裝上主機(jī)防火墻軟件，并根據(jù)該服務(wù)器的應(yīng)用設(shè)置安全策略即可，還

35、可以利用中心管理軟件對(duì)該服務(wù)器進(jìn)行遠(yuǎn)程監(jiān)控，不需租用額外的空間放置邊界防火墻。對(duì)于硬件式的分布式防火墻因其通常采用PCI卡式的，通常兼顧網(wǎng)卡作用，所以可以直接插在服務(wù)器機(jī)箱下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念里面，也就無(wú)需單獨(dú)的空間托管費(fèi)了，對(duì)于企業(yè)來(lái)說(shuō)更加實(shí)惠。在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新一代防火墻技術(shù)的潮流，它可以在計(jì)算機(jī)網(wǎng)絡(luò)的任何交界和節(jié)點(diǎn)處設(shè)置屏障，從而形成了一個(gè)多層次、多協(xié)議、內(nèi)外皆防的全方位安全體系，在增強(qiáng)系統(tǒng)安全性、提高系統(tǒng)性能、系統(tǒng)擴(kuò)展性等方面都有著很好的優(yōu)勢(shì)。因?yàn)榉植际椒阑饓Σ捎昧塑浖问?有的采用了軟件+硬件形式)，所以功能配置更加靈活，具備充分的智能管理能力，總

36、的來(lái)說(shuō)可以體現(xiàn)在以下6個(gè)方面。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念(1) Internet訪問(wèn)控制:依據(jù)工作站名稱、設(shè)備指紋等屬性，使用“Internet訪問(wèn)規(guī)則”，控制該工作站或工作站組在指定的時(shí)間段內(nèi)是否允許/禁止訪問(wèn)模板或網(wǎng)址列表中所規(guī)定的Internet Web服務(wù)器，某個(gè)用戶可否基于某工作站訪問(wèn)WWW服務(wù)器，同時(shí)當(dāng)某個(gè)工作站/用戶達(dá)到規(guī)定流量后是否斷網(wǎng)。(2)應(yīng)用訪問(wèn)控制:通過(guò)對(duì)網(wǎng)絡(luò)通信從鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層基于源地址、目標(biāo)地址、端口、協(xié)議的逐層包過(guò)濾與入侵監(jiān)測(cè)，控制來(lái)自局域網(wǎng)/Internet的應(yīng)用服務(wù)請(qǐng)求，如SQL數(shù)據(jù)庫(kù)訪問(wèn)、IPX協(xié)議訪問(wèn)等。(3)網(wǎng)絡(luò)狀態(tài)監(jiān)控:實(shí)時(shí)動(dòng)態(tài)

37、報(bào)告當(dāng)前網(wǎng)絡(luò)中所有的用戶登錄、Internet訪問(wèn)、內(nèi)部網(wǎng)訪問(wèn)、網(wǎng)絡(luò)入侵事件等信息。(4)黑客攻擊的防御:抵御包括Smurf拒絕服務(wù)攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等的近百種來(lái)自網(wǎng)絡(luò)內(nèi)部以及來(lái)自Internet的黑客攻擊手段。下一頁(yè)返回上一頁(yè)任務(wù)3防火墻的概念(5)日志管理:管理對(duì)工作站協(xié)議規(guī)則日志、用戶登錄事件日志、用戶Internet訪問(wèn)日志、指紋驗(yàn)證規(guī)則日志、入侵檢測(cè)規(guī)則日志的記錄與查詢分析。(6)系統(tǒng)工具:包括系統(tǒng)層參數(shù)的設(shè)定、規(guī)則等配置信息的備份與恢復(fù)、流量統(tǒng)計(jì)、模板設(shè)置、工作站管理等。返回上一頁(yè)任務(wù)4數(shù)據(jù)加密安全立法對(duì)保護(hù)網(wǎng)絡(luò)系統(tǒng)有不可替代的重要作用，但依

38、靠法律也阻止不了攻擊者對(duì)網(wǎng)絡(luò)數(shù)據(jù)的各種威脅。加強(qiáng)行政管理、人事管理、采取物理保護(hù)措施等都是保護(hù)系統(tǒng)安全所不可缺少的有效措施，但有時(shí)也會(huì)受到各種環(huán)境、費(fèi)用、技術(shù)以及系統(tǒng)工作人員素質(zhì)等條件的限制。采用訪問(wèn)控制、系統(tǒng)軟硬件保護(hù)等方法保護(hù)網(wǎng)絡(luò)系統(tǒng)資源，簡(jiǎn)單易行，但也存在諸如系統(tǒng)內(nèi)部某些職員可以輕松越過(guò)這些障礙，而進(jìn)行計(jì)算機(jī)犯罪等不易解決的問(wèn)題。采用密碼技術(shù)保護(hù)網(wǎng)絡(luò)中存儲(chǔ)和傳輸中的數(shù)據(jù)，是一種非常實(shí)用、經(jīng)濟(jì)、有效的方法。對(duì)信息進(jìn)行加密保護(hù)可以防止攻擊者竊取網(wǎng)絡(luò)機(jī)密信息，也可以檢測(cè)出他們對(duì)數(shù)據(jù)的插入、刪除、修改及濫用有效數(shù)據(jù)的各種行為。下一頁(yè)返回任務(wù)4數(shù)據(jù)加密對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密要用到加密學(xué)方面的知識(shí)。加密

39、學(xué)有著悠久的歷史，在計(jì)算機(jī)發(fā)明之前，很早就有人在利用加密的方法傳遞信息，像軍事人員、外交使者和情侶們等都曾利用加密方法來(lái)傳遞機(jī)密的、隱私的信息。其中軍事人員對(duì)密碼學(xué)的發(fā)展的貢獻(xiàn)最大，而且還擴(kuò)展了該領(lǐng)域。數(shù)據(jù)加密的目的是，確保通信雙方相互交換的數(shù)據(jù)是保密的，即使這些數(shù)據(jù)在半路被第三方截獲，也會(huì)由于不知道密碼而無(wú)法了解該信息的真實(shí)含義。如果一個(gè)加密算法或加密機(jī)制能夠滿足這種條件，則可以認(rèn)為該算法是安全的，這是衡量一個(gè)加密算法好壞的主要依據(jù)。傳統(tǒng)的數(shù)據(jù)加密模型如圖7-6所示。下一頁(yè)返回上一頁(yè)任務(wù)4數(shù)據(jù)加密密碼技術(shù)是對(duì)存儲(chǔ)或者傳輸?shù)男畔⒉扇∶孛芙粨Q以防止第三者對(duì)信息竊取的技術(shù)。密碼技術(shù)涉及以下術(shù)語(yǔ)。(

40、1)明文:待加密的報(bào)文或數(shù)據(jù)。(2)密文:加密后的報(bào)文或數(shù)據(jù)。(3)密鑰:用于加密和解密的鑰匙，通常是一個(gè)字符串。(4)加密算法:加密所采用的變換方法。(5)加密:把明文轉(zhuǎn)換成密文的過(guò)程。(6)解密:對(duì)密文實(shí)施與加密相逆的變換，從而獲得一個(gè)字符串。返回上一頁(yè)任務(wù)5網(wǎng)絡(luò)安全認(rèn)證技術(shù)1.網(wǎng)絡(luò)安全認(rèn)證技術(shù)的概況網(wǎng)絡(luò)安全認(rèn)證技術(shù)是網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一。認(rèn)證指的是證實(shí)被認(rèn)證對(duì)象是否屬實(shí)和是否有效的一個(gè)過(guò)程，其基本思想是通過(guò)驗(yàn)證被認(rèn)證對(duì)象的屬性，來(lái)達(dá)到確認(rèn)被認(rèn)證對(duì)象是否真實(shí)有效的目的。被認(rèn)證對(duì)象的屬性可以是口令、數(shù)字簽名或指紋、聲音、視網(wǎng)膜這樣的生理特征。認(rèn)證常常用于通信雙方相互確認(rèn)身份，以保證

41、通信的安全。認(rèn)證一般可以分為下列兩種。(1)身份認(rèn)證:用于鑒別用戶身份。(2)消息認(rèn)證:用于保證信息的完整性和抗否認(rèn)性;在很多情況下，用戶要確認(rèn)網(wǎng)上信息的真假，信息是否被第三方修改或偽造，這就需要消息認(rèn)證。下一頁(yè)返回任務(wù)5網(wǎng)絡(luò)安全認(rèn)證技術(shù)2.身份認(rèn)證技術(shù)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，如何辨識(shí)網(wǎng)絡(luò)另一端的用戶身份成為一個(gè)很迫切的問(wèn)題。在許多情況下都有對(duì)身份識(shí)別認(rèn)證的要求，例如使用6位密碼在自動(dòng)柜員機(jī)(ATM)上取錢;通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)登錄遠(yuǎn)程計(jì)算機(jī)，必須給出用戶名和口令;保密通信雙方交換密鑰時(shí)需要確保對(duì)方的身份等。身份認(rèn)證(Identification and Authentication)可以定義為:為了使

42、某些授予許可權(quán)限的權(quán)威機(jī)構(gòu)、組織和個(gè)人滿意，而提供所要求的證明自己身份的過(guò)程。3.消息認(rèn)證技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中，用戶A將消息送給用戶B，用戶B需要確定收到的消息是否來(lái)自A，而且還要確定來(lái)自A的消息有沒(méi)有被別人修改過(guò)，有時(shí)用戶A也要知道發(fā)送出去的消息是否正確的到達(dá)了目的地。消息認(rèn)證就是使消息的接收者能夠檢驗(yàn)收到的消息是否真實(shí)的方法。下一頁(yè)返回上一頁(yè)任務(wù)5網(wǎng)絡(luò)安全認(rèn)證技術(shù)消息認(rèn)證實(shí)際上是對(duì)消息本身產(chǎn)生一個(gè)冗余的信息MAC(消息認(rèn)證碼)，消息認(rèn)證碼是利用密鑰對(duì)要認(rèn)證的消息產(chǎn)生新的數(shù)據(jù)塊并對(duì)數(shù)據(jù)塊加密生成的。它對(duì)于要保護(hù)的信息來(lái)說(shuō)是唯一的，因此可以有效地保護(hù)消息的完整性，以及實(shí)現(xiàn)發(fā)送方消息的不可抵賴和不能偽造。消息認(rèn)證技術(shù)可以防止數(shù)據(jù)的偽造和被篡改，以及證實(shí)消息來(lái)源的有效性，已廣泛應(yīng)用于信息網(wǎng)絡(luò)。隨著密碼技術(shù)與計(jì)算機(jī)計(jì)算能力的提高，消息認(rèn)證碼的實(shí)現(xiàn)方法也在不斷地改進(jìn)和更新，多種實(shí)現(xiàn)方式會(huì)為更安全的消息認(rèn)證碼提供保障。4.數(shù)字證書(shū)數(shù)字證書(shū)是網(wǎng)絡(luò)環(huán)境中的一種身份證，用于證明某一用戶的身份以及其公開(kāi)密鑰的合法性。在公開(kāi)密鑰體制環(huán)境中，必須有一個(gè)來(lái)自第三方的可信機(jī)構(gòu)，對(duì)任何一個(gè)公開(kāi)用戶的公開(kāi)密鑰進(jìn)行公證，證明用戶的身份以及他與公開(kāi)密