技術(shù)白皮書名目TOC＼o＂1－３＂\h\zHYＰＥRＬIＮＫ應(yīng)急響應(yīng)ＰAGEＲEF_Ｔoc4５5496611\h10ＨYＰＥＲＬIＮK入侵檢測PＡＧＥＲＥＦ＿Ｔoc4554９6６２2\ｈ14HYＰＥRLIＮK\l"＿Ｔoc45549６6２３＂３．２．3．9日志取證系統(tǒng)PＡＧEＲEＦ＿Toc45５4966２３＼ｈ15HYＰＥRLINK\l＂＿Toｃ455496624"3.２.３.１0應(yīng)急響應(yīng)與事故恢復(fù)PAGEREF_Tｏc45549６６24＼ｈ１５ＨYPＥRＬINK\l"_Tｏc45549６6２5"３.2.４各子部分之間的關(guān)系及接口PAGEREF＿Ｔoc455496６2５＼ｈ1５HYPERLIＮK＼ｌ＂＿Toc45５4966２6＂第三部分相關(guān)網(wǎng)絡(luò)平安產(chǎn)品和功能PAGEＲEＦ_Toc4５54９６6２6＼ｈ17ＨＹPＥRLIＮＫ＼l"_Ｔoc4554966２7＂第一章防火墻ＰＡGEＲEF_Toc4５5４9６6２7\h1７HYPＥＲLIＮK\ｌ"_Ｔoc45５4966２８"1.１防火墻的概念及作用PAＧＥＲEＦ_Ｔoc4５5４9662８＼h1７ＨYPERＬINＫ\l＂＿Tｏc４55４96629"1．２防火墻的任務(wù)PAGEＲEF＿Tｏｃ45５496６29＼ｈ１8HＹPERＬINＫ\ｌ"_Toｃ455４９6630"１.3防火墻術(shù)語PＡGEREF_Toc45549６630\h1９ＨYPERＬINＫ\l"＿Ｔｏｃ４５５4９6631＂1.４用戶在選購防火墻的會留意的問題:PＡGEＲEF_Toc４5549６631＼ｈ２1ＨYＰＥＲＬＩＮK\ｌ＂_Toｃ45５49６632"1.5防火墻的一些參數(shù)指標PAGEREF_Ｔｏc4５5４96632＼h23ＨYＰERLIＮK\ｌ＂_Toｃ455496633"1．6防火墻功能指標詳解PAＧEREF＿Ｔｏc４55４9663３＼h2３ＨYPERLIＮK\l＂_Toc4５549６６34"1.7防火墻的局限性ＰAＧEREF_Ｔoc45５496６3４＼h27HYＰEＲＬIＮK\ｌ"_Ｔｏc4５5496635"1.8防火墻技術(shù)進展方向５5496６３５\h27ＨＹPEＲLIＮK＼l＂＿Toc455４96636"其次章防病毒軟件PＡGEREＦ＿Tｏｃ455４９6636＼h３１HYPERLINK\ｌ"＿Toc4５54９6６37＂2．1病毒是什么PAGEREF_Ｔoc45５496637＼h31HYＰＥRLIＮK＼l"_Ｔoc4554９6６３8"2．2病毒的特征PＡＧＥＲＥＦ_Tｏc４55４96６38\h32HYPEＲLINK\ｌ＂＿Toc４5549６６39"2.3病毒術(shù)語PAGEＲEF_Tｏc455496639\h３３ＨＹPＥＲＬINＫ\l"_Toc455４9６6４0"２.4病毒的進展的趨勢PAGＥREF_Ｔoｃ４55496640\h３5HＹPERLINK\l＂＿Toc4５５4９6６４1"2.５病毒入侵渠道PAGEＲEF_Toｃ4554９66４1＼h3６HＹPＥＲLINK\l"_Toc４５５4966４２"２.6防病毒軟件的重要指標PAGＥＲEF_Tｏc４55496642\h37ＨＹPＥRＬINK\ｌ"_Ｔoｃ4５５496643"2.7防病毒軟件的選購ＰAGEREＦ_Toc４5549６64３\h３８HＹＰＥＲLＩＮＫ\l＂_Toｃ4５5４966４４＂第三章入侵檢測系統(tǒng)(IＤS）PAＧEREF_Ｔoc4554966４4\ｈ39HYPEＲＬINＫ＼ｌ"_Ｔoc4554９6６45"3.1入侵檢測含義ＰＡＧEREＦ_Toc４5５496６45\h3９HYPEＲＬＩＮK\l＂＿Tｏｃ4５5４966４６"3.2入侵檢測的處理步驟PAGEREF＿Ｔｏc4554９６6４6＼h４0HYPERLIＮＫ\l＂_Toc４55４96６47"３．３入侵檢測功能PAＧＥＲEF_Ｔoc455４９6６４7\h43HＹＰＥRＬINＫ\l"＿Toc４５5496６4８"3.4入侵檢測系統(tǒng)分類PＡGEREＦ_Ｔｏｃ４55４96648＼ｈ44ＨYPERＬIＮK\l"_Ｔｏc４5５49664９"3.5入侵檢測系統(tǒng)技術(shù)進展經(jīng)受了四個階段ＰAGEREF＿Toｃ4554966４9\h４４HＹＰEＲLINK＼l"＿Toｃ4５5496６５０"3.6入侵檢測系統(tǒng)的缺點和進展方向ＰAＧEREF_Tｏｃ4554９66５0\ｈ4５HYＰＥRLＩNＫ\ｌ"_Ｔoｃ４55４９6６５1"第四章VPN(虛擬專用網(wǎng)）系統(tǒng)PＡGERＥＦ＿Toｃ4５5４96６51\h４5HYＰERＬIＮＫ\l"＿Toc４55４96652"4.１VＰN基本概念PＡGEREF_Ｔｏc455４96652\h45HYＰERLINK\l"＿Ｔoｃ４５54９66５３＂4.2VPN產(chǎn)生的背景ＰAGEREF＿Ｔoc４5549６653\ｈ46HＹPERLIＮK＼l"_Tｏc4554９６65４"4．3VPN的優(yōu)點和缺點PAＧＥREF_Toｃ４5５4966５4\h4６ＨYPERLＩＮK\l"_Toc４554９6６55＂第五章平安審計系統(tǒng)PＡGＥRＥF_Ｔｏc４５５4９６６５5＼h465.1、平安審計的概念ＰＡGEREＦ_Toc455４966５６＼h46HYＰＥRＬIＮK＼ｌ"_Tｏc４5549６6５7"5．2:平安審計的重要性PAGEREF＿Toｃ455496６5７＼h４7HYPEＲLINK\l"＿Toc４5549６65８＂5.3、審計系統(tǒng)的功能特點ＰAGＥＲEF＿Ｔoc45549665８\h47HYＰERLINＫ\ｌ＂＿Toｃ４5549６６59"第六章漏洞掃描系統(tǒng)ＰAGERＥF_Ｔoｃ455496659＼h48ＨYＰＥRＬＩNK\l＂_Toｃ455496６6０"6.1網(wǎng)絡(luò)漏洞掃描評估系統(tǒng)的作用PAGEREＦ_Toｃ455４９６66０\h48ＨYPＥRLＩNK\ｌ＂＿Toc455496661"６．２網(wǎng)絡(luò)漏洞掃描系統(tǒng)選購的留意事項：１、是否通過國家的各種認證目前國家對平安產(chǎn)品進行認證工作的權(quán)威部門包括公安部信息平安產(chǎn)品測評中心、國家信息平安產(chǎn)品測評中心、解放軍平安產(chǎn)品測評中心、國家保密局測評認證中心。２、漏洞數(shù)量和升級速度漏洞數(shù)量是考查漏洞掃描器的重要指標,最新漏洞的數(shù)量、漏洞更新和升級的方法以及升級方法是否能夠被非專業(yè)人員把握,使得漏洞庫升級的頻率顯得更為重要。比如RJ-ｉTｏp網(wǎng)絡(luò)隱患掃描系統(tǒng)每周一次，漏洞數(shù)量達150２之多（截止到20０4年7月9日）。3、產(chǎn)品本身的平安性掃描產(chǎn)品運行的操作系統(tǒng)平臺是否平安以及產(chǎn)品本身的抗攻擊性能如何都是用戶應(yīng)當(dāng)需要考慮的因素。比如RＪ－iTop網(wǎng)絡(luò)隱患掃描系統(tǒng)接受軟硬結(jié)合、特地優(yōu)化的linuｘ系統(tǒng)，關(guān)閉了不必要的端口和服務(wù),并且傳輸?shù)臄?shù)據(jù)加密。4、是否支持ＣＶE國際標準其目的是給全部已知的漏洞和平安泄露供應(yīng)一個標準化的命名。給企業(yè)供應(yīng)更好的掩蓋、更簡潔的協(xié)同和加強的平安。5、是否支持分布式掃描產(chǎn)品具有機敏、攜帶便利、穿透防火墻的特性。由于現(xiàn)在不再有沒有劃分VLAＮ的單一網(wǎng)絡(luò)存在;掃描器發(fā)出的數(shù)據(jù)包有些會被路由器、防火墻過濾，降低掃描的精確性。在網(wǎng)絡(luò)內(nèi)進行防火墻與ＩDＳ的設(shè)置,并不意味著我們的網(wǎng)絡(luò)就確定平安,但是設(shè)置得當(dāng)?shù)姆阑饓停蒁S,至少會使我們的網(wǎng)絡(luò)更為牢固一些，并且能供應(yīng)更多的攻擊信息供我們分析。防火墻、防病毒、入侵檢測、漏洞掃描分別屬于PDR和Ｐ２ＤR模型中的防護和檢測環(huán)節(jié)。這幾種平安技術(shù)圍繞平安策略有序地組織在一起，相互協(xié)同，相互作用,構(gòu)成一個動態(tài)自適應(yīng)的防范體系。PＡＧEＲＥＦ_Tｏc4５5496661\ｈ49ＨYPＥRLＩNＫ\ｌ"＿Toｃ455４966６2"第七章身份認證系統(tǒng)(ＰKＩ系統(tǒng))PAＧEREF＿Toｃ4554９6662＼ｈ４9HＹPＥRＬIＮＫ\l"＿Ｔoc４５5４9６66３"7.１PＫI的體系結(jié)構(gòu)PＡＧEＲEＦ_Ｔoc455４96663\h49第一部分公司簡介其次部分網(wǎng)絡(luò)平安的背景第一章網(wǎng)絡(luò)平安的定義國際標準化組織(ISO）將計算機平安定義為“為數(shù)據(jù)處理系統(tǒng)建立和實行的技術(shù)和管理的平安愛護,愛護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的緣由而遭到破壞、更改和泄露。”我國自己提出的定義是:“計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到愛護,不因偶然的或惡意的緣由而遭到破壞、更改、顯露,系統(tǒng)能連續(xù)正常運行?！币虼?，所謂網(wǎng)絡(luò)平安就是指基于網(wǎng)絡(luò)的互聯(lián)互通和運作而涉及的物理線路和連接的平安,網(wǎng)絡(luò)系統(tǒng)的平安，操作系統(tǒng)的平安,應(yīng)用服務(wù)的平安和人員管理的平安等幾個方面。但總的說來,計算機網(wǎng)絡(luò)的平安性，是由數(shù)據(jù)的平安性、通信的平安性和管理人員的平安意識三部分組成。隨著信息技術(shù)的進展與應(yīng)用,信息平安的內(nèi)涵在不斷的延長,從最初的信息保密性進展到信息的完整性、可用性、可控性和不行否認性,進而又進展為“攻（攻擊）、防(防范）、測（檢測)、控(把握)、管(管理)、評(評估)”等多方面的基礎(chǔ)理論和實施技術(shù)。傳統(tǒng)的信息平安技術(shù)都集中在系統(tǒng)本身的加固和防護上,如接受平安級別高的操作系統(tǒng)與數(shù)據(jù)庫,在網(wǎng)絡(luò)的出口處配置防火墻,在信息傳輸和存儲方面接受加密技術(shù)，使用集中的身份認證產(chǎn)品等。傳統(tǒng)的信息系統(tǒng)平安模型是針對單機系統(tǒng)環(huán)境而制定的,對網(wǎng)絡(luò)環(huán)境平安并不能很好描述,并且對動態(tài)的平安威逼、系統(tǒng)的脆弱性沒有應(yīng)對措施，傳統(tǒng)的平安模型是靜態(tài)平安模型。但隨著網(wǎng)絡(luò)的深化進展,它已無法完全反應(yīng)動態(tài)變化的互聯(lián)網(wǎng)平安問題。其次章產(chǎn)生網(wǎng)絡(luò)平安問題的幾個方面2.1信息平安特性概述2.２信息網(wǎng)絡(luò)平安技術(shù)的進展滯后于信息網(wǎng)絡(luò)技術(shù)。網(wǎng)絡(luò)技術(shù)的進展可以說是日新月異，新技術(shù)、新產(chǎn)品層出不窮，世界各國及一些大的跨國公司都在這方面投入了不少心力,可對產(chǎn)品本身的平安性來說,進展不大,有的還在連續(xù)第一代產(chǎn)品的平安技術(shù),以Ｃｉｓco公司為例，其低端路由產(chǎn)品從ｃisco25０0系列到７500系列，其密碼加密算法基本全都。而其他功能，特殊是數(shù)據(jù)吞吐力量及數(shù)據(jù)交換速率提高之大,令人瞠目。在我國，很多大的應(yīng)用系統(tǒng)也是建立在國外大型操作系統(tǒng)的基礎(chǔ)之上。假如我們的網(wǎng)絡(luò)平安產(chǎn)品也從國外引進,會使我們的計算機信息系統(tǒng)完全暴露在外。后果堪憂。其次,網(wǎng)絡(luò)應(yīng)用的設(shè)計往往在應(yīng)用方面考慮的比較多,這就是應(yīng)用永久高于平安，由于一個系統(tǒng)的設(shè)計最終的目的是為了應(yīng)用、其次才是平安?；ヂ?lián)網(wǎng)的進展也一樣,互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)的進展速度和規(guī)模遠遠大于平安系統(tǒng)的進展速度和規(guī)模。２．3TCP/IP協(xié)議未考慮平安性在TCP/ＩP協(xié)議設(shè)計之處,主要考慮的是互聯(lián)和應(yīng)用便利，所以ＴCP/IＰ協(xié)議是一個開放的互聯(lián)網(wǎng)協(xié)議，它從一開頭就是一種松散的、無連接的、不行靠的方式，這一特點造成在網(wǎng)上傳送的信息很簡潔被攔截、偷窺和篡改。TＣＰ/IＰ協(xié)議的兩個創(chuàng)始人ViｎtｏnGCerf和RobertE.Kaｈn沒有為這個協(xié)議的創(chuàng)造去申請專利,而是公開了源代碼,這為互聯(lián)網(wǎng)的飛速進展奠定了基礎(chǔ),也為網(wǎng)絡(luò)平安留下了很多的隱患。我們的網(wǎng)絡(luò)哨兵其實也是這個平安漏洞的產(chǎn)物,我們的抓包程序能獵取到HUB或交換機中的數(shù)據(jù)包、然后進行分析處理，這本身就是TCＰ/ＩP協(xié)議的漏洞之一。TCP/IP協(xié)議中的數(shù)據(jù)是以明文形式發(fā)送的，這為平安留下了隱患。２.4操作系統(tǒng)本身的平安性目前流行的很多操作系統(tǒng)均存在網(wǎng)絡(luò)平安漏洞，如UNIX,Windｏｗｓ、甚至包括一些平安系統(tǒng)的操作系統(tǒng)也存在平安漏洞。黑客往往就是利用這些操作系統(tǒng)本身所存在的平安漏洞侵入系統(tǒng)。2.５未能對來自Iｎtｅrnet的郵件夾帶的病毒及Ｗeｂ掃瞄可能存在的惡意Jaｖa/ＡctiveX控件進行有效把握２.6忽視了來自內(nèi)部網(wǎng)用戶的平安威逼來自內(nèi)部用戶的平安威逼遠大于外部網(wǎng)用戶的平安威逼,特殊是一些安裝了防火墻的網(wǎng)絡(luò)系統(tǒng)，對內(nèi)部網(wǎng)用戶來說一點作用也不起。2.7缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的平安性完整精確的平安評估是黑客入侵防范體系的基礎(chǔ)。它對現(xiàn)有或?qū)⒁獦?gòu)建的整個網(wǎng)絡(luò)的平安防護性能作出科學(xué)、精確的分析評估，并保障將要實施的平安策略技術(shù)上的可實現(xiàn)性、經(jīng)濟上的可行性和組織上的可執(zhí)行性。網(wǎng)絡(luò)平安評估分析就是對網(wǎng)絡(luò)進行檢查,查找其中是否有可被黑客利用的漏洞,對系統(tǒng)平安狀況進行評估、分析，并對發(fā)覺的問題提出建議從而提高網(wǎng)絡(luò)系統(tǒng)平安性能的過程。評估分析技術(shù)是一種格外行之有效的平安技術(shù)。2.8使用者缺乏平安意識,很多應(yīng)用服務(wù)系統(tǒng)在訪問把握及平安通信方面考慮較少,并且,假如系統(tǒng)設(shè)置錯誤,很簡潔造成損失在一個平安設(shè)計充分的網(wǎng)絡(luò)中,人為因素造成的平安漏洞無疑是整個網(wǎng)絡(luò)平安性的最大隱患。網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶都擁有相應(yīng)的權(quán)限，利用這些權(quán)限破壞網(wǎng)絡(luò)平安的隱患也是存在的。如操作口令的泄漏,磁盤上的機密文件被人利用,臨時文件未準時刪除而被竊取,內(nèi)部人員有意無意的泄漏給黑客帶來可乘之機等,都可能使網(wǎng)絡(luò)平安機制形同虛設(shè)。第三章網(wǎng)絡(luò)與信息平安防范體系模型以及對平安的應(yīng)對措施如何才能使我們的網(wǎng)絡(luò)百分之百的平安呢?對這個問題的最簡潔的回答是：不行能。由于迄今還沒有一種技術(shù)可完全消退網(wǎng)絡(luò)平安漏洞。網(wǎng)絡(luò)的平安實際上是抱負中的平安策略和實際的執(zhí)行之間的一個平衡。從廣泛的網(wǎng)絡(luò)平安意義范圍來看，網(wǎng)絡(luò)平安不僅是技術(shù)問題,更是一個管理問題，它包含管理機構(gòu)、法律、技術(shù)、經(jīng)濟各方面。平安解決方案不是簡潔產(chǎn)品的堆砌，而是從風(fēng)險分析、需求分析、平安策略到平安意識教育與技術(shù)培訓(xùn)的系統(tǒng)工程。3.1信息與網(wǎng)絡(luò)系統(tǒng)的平安管理模型3.2網(wǎng)絡(luò)與信息平安防范體系設(shè)計３.2．１網(wǎng)絡(luò)與信息平安防范體系是一個動態(tài)的、基于時間變化的概念,為確保網(wǎng)絡(luò)與信息系統(tǒng)的抗攻擊性能，保證信息的完整性、可用性、可控性和不行否認性，本平安體系供應(yīng)這樣一種思路:結(jié)合不同的平安愛護因素,例如防病毒軟件、防火墻和平安漏洞檢測工具,來創(chuàng)建一個比單一防護有效得的多的綜合的愛護屏障。多層、平安互動的平安防護成倍地增加了黑客攻擊的成本和難度,從而大大削減了他們對網(wǎng)絡(luò)系統(tǒng)的攻擊。圖1:網(wǎng)絡(luò)與信息平安防范模型網(wǎng)絡(luò)與信息平安防范模型如圖1所示,它是一個可擴展的結(jié)構(gòu)。3.2．1一個成功的平安防范體系開頭于一個全面的平安政策,它是全部平安技術(shù)和措施的基礎(chǔ),也是整個體系的核心。3.２.1．２預(yù)警是實施平安防范體系的依據(jù),對整個網(wǎng)絡(luò)平安防護性能給出科學(xué)、精確的分析評估，有針對性的給出防范體系的建設(shè)方案才是可行的。3.２.１．3攻擊防范攻擊防范是用于提高平安性能,抵制入侵的主動防備手段,通過建立一種機制來檢查、再檢查系統(tǒng)的平安設(shè)置,評估整個網(wǎng)絡(luò)的風(fēng)險和弱點，確保每層是相互協(xié)作而不是相互抵觸地工作,檢測與政策相違反的狀況，確保與整體平安政策保持全都。使用掃描工具準時發(fā)覺問題并進行修補，使用防火墻、ＶＰＮ、PKI等技術(shù)和措施來提高網(wǎng)絡(luò)抵制黑客入侵的力量。攻擊檢測攻擊檢測是保證準時發(fā)覺攻擊行為,為準時響應(yīng)供應(yīng)可能的關(guān)鍵環(huán)節(jié)，使用基于網(wǎng)絡(luò)和基于主機的IＤS,并對檢測系統(tǒng)實施隱蔽技術(shù)，以防止黑客發(fā)覺防護手段進而破壞監(jiān)測系統(tǒng),以準時發(fā)覺攻擊行為，為響應(yīng)贏得時間。接受與防火墻互聯(lián)互動、互動互防的技術(shù)手段，形成一個整體策略,而不是單一的部分。設(shè)立平安監(jiān)控中心,把握整個網(wǎng)絡(luò)的平安運行狀態(tài),是防止入侵的關(guān)鍵環(huán)節(jié)。３.2.１．５應(yīng)急響應(yīng)在發(fā)覺入侵行為后,為準時切斷入侵、抵制攻擊者的進一步破壞行動,作出準時精確的響應(yīng)是必需的。使用實時響應(yīng)阻斷系統(tǒng)、攻擊源跟蹤系統(tǒng)、取證系統(tǒng)和必要的反擊系統(tǒng)來確保響應(yīng)的精確、有效和準時，預(yù)防同類大事的再發(fā)生并為捕獲攻擊者供應(yīng)可能,為抵制黑客入侵供應(yīng)有效的保障。恢復(fù)W恢復(fù)是防范體系的又一個環(huán)節(jié)，無論防范多嚴密，都很難確保萬無一失,使用完善的備份機制確保內(nèi)容的可恢復(fù),借助自動恢復(fù)系統(tǒng)、快速恢復(fù)系統(tǒng)來把握和修復(fù)破壞,將損失降至最低。6個環(huán)節(jié)互為補充,構(gòu)成一個有機整體,形成較完善的網(wǎng)絡(luò)與信息平安體系。3.2.2網(wǎng)絡(luò)與信息平安防范體系模型流程網(wǎng)絡(luò)與信息平安防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。平安管理貫穿全流程。圖２:網(wǎng)絡(luò)與信息平安防范體系工作流程網(wǎng)絡(luò)與信息平安防范體系的工作流程為:攻擊前的防范部分負責(zé)對日常的防備工作及對實時的消息進行防備:防火墻作為第一道關(guān)口,負責(zé)把握進入網(wǎng)絡(luò)的訪問把握,即進行了日常的防備工作，也對事實的消息進行了防備；系統(tǒng)漏洞檢測系統(tǒng)、平安評估軟件一個從內(nèi)一個從外,格外具體地掃描平安漏洞并將系統(tǒng)漏洞一一列表，給出最佳解決方法。郵件過濾系統(tǒng)、ＰKI、ＶPN等都是進行日常的防備工作。攻擊過程中的防范部分負責(zé)對實時的攻擊做出反應(yīng)。預(yù)警系統(tǒng)、入侵檢測系統(tǒng)檢測通過防火墻的數(shù)據(jù)流進行進一步檢查,綜合分析各種信息，動態(tài)分析出那些時黑客對系統(tǒng)做出的進攻,并馬上做出反應(yīng)。通過分析系統(tǒng)審計日志中大量的跟蹤用戶活動的細節(jié)記錄來發(fā)覺入侵，分別在網(wǎng)絡(luò)級和系統(tǒng)級共同探測黑客的攻擊并準時做出反擊,防止黑客進行更深一步的破壞。攻擊過程后的應(yīng)對部分主要是造成肯定損害時，則由應(yīng)急響應(yīng)與災(zāi)難恢復(fù)子系統(tǒng)進行處理。３.2．３網(wǎng)絡(luò)與信息平安防范體系模型各子部分介紹網(wǎng)絡(luò)與信息平安防備體系是一個動態(tài)的、基于時間變化的概念,是一種互聯(lián)互動、多層次的黑客入侵防備體系:以預(yù)警、攻擊防范、攻擊檢測、應(yīng)急響應(yīng)、恢復(fù)和平安管理為子部分構(gòu)成一個整體。３.2.３.1平安服務(wù)器作為一種重要的基礎(chǔ)網(wǎng)絡(luò)設(shè)備,平安服務(wù)器產(chǎn)品廣泛應(yīng)用于電子商務(wù)和電子信息服務(wù)等關(guān)鍵領(lǐng)域。目前國內(nèi)服務(wù)器產(chǎn)品大都為國外設(shè)備,在信息平安構(gòu)建過程中必定存在著潛在的危急,因而進展民族服務(wù)器產(chǎn)業(yè),構(gòu)建民族信息長城是國家亟待解決的重大問題。所謂的平安服務(wù)器，即是指運行平安程序的計算機。眾所周知,Ｉｎｔｅrnet是伴隨著TCP/IＰ設(shè)計的網(wǎng)絡(luò)，不管是訪問把握層還是數(shù)據(jù)鏈路層，平安問題基本沒有被考慮。TCP/IP是以明文方式傳輸數(shù)據(jù)的，這在開放的Ｉｎtｅrnet環(huán)境里很簡潔被竊聽。平安服務(wù)器即是:通過對傳輸中的數(shù)據(jù)流進行加密,保證數(shù)據(jù)即使被竊聽也不能被解密;通過電子證書和密鑰算法進行身份確認,防止了身份欺詐;通過對數(shù)據(jù)流的校驗，保證數(shù)據(jù)在傳輸過程中不被篡改,使得非法進入網(wǎng)上隱秘程序無機可乘。其主要涉及的技術(shù)有：容量大，穩(wěn)定性高的磁盤陣列;大內(nèi)存，以提高系統(tǒng)的處理與運算力量；系統(tǒng)的容錯力量；故障的在線修復(fù)技術(shù)；服務(wù)器集群技術(shù);對稱多處理技術(shù)；平安ＳSL技術(shù);平安服務(wù)器網(wǎng)絡(luò)技術(shù)(ＳSＮ)等。3.２.3.2預(yù)警預(yù)警子系統(tǒng)的目的就是接受多檢測點數(shù)據(jù)收集和智能化的數(shù)據(jù)分析方法檢測是否存在某種惡意的攻擊行為，并評測攻擊的威逼程度、攻擊的本質(zhì)、范圍和起源,同時猜測敵方可能的行動。預(yù)警過程是基于收集和分析從開放信息資源收集而獲得,提取重要的信息來指導(dǎo)方案、訓(xùn)練和提前做預(yù)備。3．２.3.３網(wǎng)絡(luò)防火墻防火墻是愛護網(wǎng)絡(luò)平安最主要的手段之一，它是設(shè)置在被愛護網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障,以防止不行猜測的、潛在破壞的非法入侵。它通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流,盡可能地對外屏蔽網(wǎng)絡(luò)內(nèi)部地結(jié)構(gòu)、信息和運行狀況，以此來實現(xiàn)內(nèi)部網(wǎng)絡(luò)地平安愛護。防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的唯一出入口,能依據(jù)相應(yīng)的平安策略把握(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊力量。它是供應(yīng)信息平安服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息平安的基礎(chǔ)設(shè)施。在規(guī)律上,防火墻是一個分別器,一個限制器，也是一個分析器，可有效地監(jiān)控內(nèi)部網(wǎng)和外部網(wǎng)之間地活動,保證了內(nèi)部網(wǎng)絡(luò)地平安。研制與開發(fā)防火墻子系統(tǒng)地關(guān)鍵技術(shù)主要是實現(xiàn)防火墻地平安、高性能與可擴展。防火墻一般具有以下幾種功能：允許網(wǎng)絡(luò)管理員定義一個中心點來防止非法用戶進入內(nèi)部網(wǎng)絡(luò)?？梢院鼙憷乇O(jiān)視網(wǎng)絡(luò)的平安性，并報警?？梢宰鳛椴渴餘ＡT（NetwoｒkＡddresｓTraｎslatｉon,網(wǎng)絡(luò)地址變換)的地點,利用NAT技術(shù),將有限的IＰ地址動態(tài)或靜態(tài)地與內(nèi)部的IＰ地址對應(yīng)起來,用來緩解地址空間短缺的問題。是審計和記錄Iｎternet使用費用的一個最佳地點。網(wǎng)絡(luò)管理員可以在此向管理部門供應(yīng)Ｉｎterneｔ連接的費用狀況，查出潛在的帶寬瓶頸位置,并能夠依據(jù)本機構(gòu)的核算模式供應(yīng)部門級的計費?？梢赃B接到一個單獨的網(wǎng)段上,從物理上和內(nèi)部網(wǎng)段隔開,并在此部署WWW服務(wù)器和FTP服務(wù)器,將其作為向外部發(fā)布內(nèi)部信息的地點。從技術(shù)角度來講，就是所謂的?；饏^(qū)（DMＺ）。3．２.３.４系統(tǒng)漏洞檢測與平安評估軟件系統(tǒng)漏洞檢測可以探測網(wǎng)絡(luò)上每臺主機乃至路由器的各種漏洞；平安評估軟件從系統(tǒng)內(nèi)部掃描平安漏洞和隱患。平安評估軟件還主要涉及到網(wǎng)絡(luò)平安檢測,其主要是系統(tǒng)供應(yīng)的網(wǎng)絡(luò)應(yīng)用和服務(wù)及相關(guān)的協(xié)議分析和檢測。系統(tǒng)漏洞檢測與平安評估軟件完成的功能主要有：對網(wǎng)絡(luò)的拓撲結(jié)構(gòu)和環(huán)境的變化必需進行定期的分析，并且準時調(diào)整平安策略；定期分析有關(guān)網(wǎng)絡(luò)設(shè)備的平安性,檢查配置文件和日志文件；定期分析操作系統(tǒng)和應(yīng)用軟件,一旦發(fā)覺平安漏洞,應(yīng)當(dāng)準時修補;檢測的方法主要接受平安掃描工具，測試網(wǎng)絡(luò)系統(tǒng)是否具有平安漏洞和是否可以抗擊有關(guān)攻擊,從而判定系統(tǒng)的平安風(fēng)險。病毒防范病毒防范子系統(tǒng)主要包括計算機病毒預(yù)警技術(shù)、已知與未知病毒識別技術(shù)、病毒動態(tài)濾殺技術(shù)等。能同時從網(wǎng)絡(luò)體系的平安性、網(wǎng)絡(luò)協(xié)議的平安性、操作系統(tǒng)的平安性等多個方面爭辯病毒免疫機理。加強對計算機病毒的識別、預(yù)警以及防治力量，形成基于網(wǎng)絡(luò)的病毒防治體系。網(wǎng)絡(luò)病毒發(fā)覺及惡意代碼過濾技術(shù)主要是爭辯已知與未知病毒識別技術(shù)、網(wǎng)上惡意代碼發(fā)覺與過濾技術(shù)。主要的功能為開發(fā)網(wǎng)絡(luò)病毒疫情實時監(jiān)控系統(tǒng)、主動網(wǎng)絡(luò)病毒探查工具。能對疫情狀況進行統(tǒng)計分析,能主動對INＴＥＲＮEＴ中的網(wǎng)站進行病毒和病毒源代碼檢測；可利用靜態(tài)的特征代碼技術(shù)和動態(tài)行為特征綜合判定未知病毒。3．2.３.６VPNＶPN是集合了數(shù)字加密驗證和授權(quán)來愛護經(jīng)過INＴERＮＥＴ的信息的技術(shù)。它可以在遠程用戶和本信息系統(tǒng)網(wǎng)絡(luò)之間建立一個平安管道。主要的技術(shù)包括隧道技術(shù)、隧道交換技術(shù)與公鑰基礎(chǔ)設(shè)施(PKI)的緊密集成技術(shù)以及質(zhì)量保證技術(shù)等。隧道技術(shù)主要爭辯合適的封裝協(xié)議、加解密算法、密鑰交換協(xié)議以及認證協(xié)議等。隧道交換技術(shù)爭辯將隧道如何延長到防火墻內(nèi),并可以在任意位置終止的技術(shù)。２．3.7PKI公鑰技術(shù)設(shè)施集成技術(shù):提出與國際接軌的ＰＫＩ和密鑰KMI技術(shù)標準，供應(yīng)基于PＫI和KMI技術(shù)的平安服務(wù)平臺和公共平安接口，開發(fā)ＰKＩ技術(shù)產(chǎn)品和應(yīng)用系統(tǒng)。其中ＰKI的平安核心部件包括不同規(guī)模的CA系統(tǒng)、ＲＡ系統(tǒng)和KＭ系統(tǒng)。入侵檢測入侵檢測子系統(tǒng)是防火墻的合理補充,掛念系統(tǒng)應(yīng)付網(wǎng)絡(luò)攻擊,擴展了系統(tǒng)管理員的平安管理力量（包括平安審計、監(jiān)視、進攻識別和響應(yīng)),提高了信息平安基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反平安策略的行為和遭到攻擊的跡象。入侵檢測子系統(tǒng)被認為是防火墻之后的其次道平安閘門，在不影響網(wǎng)絡(luò)性能的狀況下能對網(wǎng)絡(luò)進行監(jiān)測,從而供應(yīng)對內(nèi)部攻擊、外部攻擊和誤操作的實時愛護。具有以下的功能:監(jiān)視、分析用戶及系統(tǒng)活動;系統(tǒng)構(gòu)造和弱點的審計；識別反映已知進攻的活動模式并向相關(guān)人士報警；特別行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計跟蹤管理,并識別用戶違反平安策略的行為。3．2.３．9日志取證系統(tǒng)通過對網(wǎng)絡(luò)上發(fā)生的各種訪問過程進行記錄和產(chǎn)生日志,并對日志進行統(tǒng)計分析,從而對資源使用狀況進行分析，對特別現(xiàn)象進行追蹤監(jiān)視。3．2．３.１0應(yīng)急響應(yīng)與事故恢復(fù)本子系統(tǒng)主要的目標是在開放的互聯(lián)網(wǎng)環(huán)境下構(gòu)造基于生存性的多樣化動態(tài)漂移網(wǎng)絡(luò)，當(dāng)信息系統(tǒng)患病攻擊時，快速反應(yīng)和對遭到的系統(tǒng)、文件和數(shù)據(jù)進行快速恢復(fù)。為建立信息平安應(yīng)急反應(yīng)服務(wù)體系供應(yīng)方法。并且能供應(yīng)自我診斷與自我恢復(fù)相結(jié)合的功能。主要涉及的技術(shù)有：故障分析診斷技術(shù)。將入侵檢測、病毒防治和平安管理等系統(tǒng)相協(xié)作,爭辯攻擊和破壞大事自動報警和愛護技術(shù)、攻擊大事信息記錄和破壞現(xiàn)場愛護技術(shù)、黑客追蹤和病毒源分析技術(shù)。攻擊避開與故障隔離技術(shù)。爭辯信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的仿真、誘騙和隱蔽技術(shù);爭辯具有抗攻擊和破壞力量的網(wǎng)絡(luò)與系統(tǒng)的體系結(jié)構(gòu)和技術(shù),如隔離技術(shù)等。3．2．4各子部分之間的關(guān)系及接口各子部分的關(guān)系如圖：圖３:各子部分之間關(guān)系圖各子部分之間的接口規(guī)范如下:1．內(nèi)容平安使用CＶP（ContｅntVeｃｔoringＰｒｏtocoｌ）內(nèi)容平安允許用戶掃描經(jīng)過網(wǎng)絡(luò)的全部數(shù)據(jù)包內(nèi)容。例如:病毒、惡意Jａvａ或AｃｉｔveX程序等。本體系可供應(yīng)的CVＰAPI定義了異步接口將數(shù)據(jù)包轉(zhuǎn)發(fā)到服務(wù)器應(yīng)用程序去執(zhí)行內(nèi)容驗證。用戶可以依據(jù)多種標準來驗證內(nèi)容的平安。2、Ｗeｂ資源管理使用UFP（URLFｉｌteｒｉngPｒｏtocｏl)UFP定義了Clｉｅｎｔ／Seｒver異步接口來分類和把握基于特定ＵＲＬ地址的通信。防火墻上的ＵFP客戶端將URＬ傳送到ＵFP服務(wù)器上,UFＰ服務(wù)器使用動態(tài)分類技術(shù)將URL進行分類，防火墻則依據(jù)平安規(guī)章的定義對分類進行處理。對客戶來說,通過中心的平安策略管理即可實現(xiàn)高效的Wｅb資源管理。3、入侵檢測接受ＳAMＰ(SuspiｃiousAcｔivｉtyMoniｔoｒｎgPｒotｏｃｏl）ＳAMPAPI定義了入侵檢測應(yīng)用同VPN和網(wǎng)絡(luò)防火墻通信的接口。入侵檢測引擎使用SＡＭＰ來識別網(wǎng)絡(luò)中的可疑行為，并通知防火墻處理。另外SＡMＰ應(yīng)用可以發(fā)送日志、告警和狀態(tài)信息到平安管理子系統(tǒng)。4、大事集成可供應(yīng)兩個AＰI:LＥA（ＬogEｘportAＰI）和EＬA(ＥventLoｇgｉnｇＡPI）允許第三方來訪問日志數(shù)據(jù)。報表和大事分析接受ＬEAAPI，而平安與大事整合接受ELAAＰI。5、管理和分析接受ＯMI(OPSECMaｎaｇementIｎtｅrfacｅ)ＯMI供應(yīng)到平安管理子系統(tǒng)的中心策略數(shù)據(jù)庫的接口,允許第三方應(yīng)用平安地訪問存儲在管理服務(wù)器上的平安策略。OMI能夠訪問以下資源：●存儲在管理服務(wù)器上的平安策略●管理服務(wù)器上定義的網(wǎng)絡(luò)、服務(wù)、資源和服務(wù)器對象●用戶、摸板和用戶組●允許登錄到管理服務(wù)器的管理員列表6、認證接受OPSEＣPKI集成本體系供應(yīng)了一個開放式集成環(huán)境,第三方的ＰubｌicKeyInｆｒastｒuctｕｒｅ(PKI)能緊密的與總體系集成在一起(VPＮGａt(yī)ｅｗaｙ、VＰＮＳeｃｕreClient、防火墻Ｃ/S之間的通信等)。VPNＧateway能同時多個不同的ＣＡ。開放的PKI使得管理員能夠選擇最大限度滿足要求的PKI解決方案。第三部分相關(guān)網(wǎng)絡(luò)平安產(chǎn)品和功能防火墻1.１防火墻的概念及作用防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時候集中到別的房屋。而這里所說的防火墻當(dāng)然不是指物理上的防火墻,而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防備系統(tǒng)，是這一類防范措施的總稱。應(yīng)當(dāng)說，在互聯(lián)網(wǎng)上防火墻是一種格外有效的網(wǎng)絡(luò)平安模型，通過它可以隔離風(fēng)險區(qū)域(即Intｅrnｅt或有肯定風(fēng)險的網(wǎng)絡(luò)）與平安區(qū)域(局域網(wǎng))的連接，同時不會阻礙人們對風(fēng)險區(qū)域的訪問。防火墻可以監(jiān)控進出網(wǎng)絡(luò)的通信量，從而完成看似不行能的任務(wù)；僅讓平安、核準了的信息進入,同時又抵制對企業(yè)構(gòu)成威逼的數(shù)據(jù)。隨著平安性問題上的失誤和缺陷越來越普遍,對網(wǎng)絡(luò)的入侵不僅來自超群的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。因此,防火墻的作用是防止不期望的、未授權(quán)的通信進出被愛護的網(wǎng)絡(luò)，迫使單位強化自己的網(wǎng)絡(luò)平安政策。一般的防火墻都可以達到以下目的：一是可以限制他人進入內(nèi)部網(wǎng)絡(luò)，過濾掉擔(dān)憂全服務(wù)和非法用戶;二是防止入侵者接近你的防備設(shè)施;三是限定用戶訪問特殊站點;四是為監(jiān)視Internｅｔ平安供應(yīng)便利。由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù),因此更適合于相對獨立的網(wǎng)絡(luò),例如Inｔｒaｎeｔ等種類相對集中的網(wǎng)絡(luò)。防火墻正在成為把握對網(wǎng)絡(luò)系統(tǒng)訪問的格外流行的方法。事實上,在Ｉnternｅｔ上的Weｂ網(wǎng)站中,超過三分之一的Ｗeb網(wǎng)站都是由某種形式的防火墻加以愛護，這是對黑客防范最嚴，平安性較強的一種方式,任何關(guān)鍵性的服務(wù)器,都建議放在防火墻之后。１.2防火墻的任務(wù)防火墻在實施平安的過程中是至關(guān)重要的。一個防火墻策略要符合四個目標,而每個目標通常都不是通過一個單獨的設(shè)備或軟件來實現(xiàn)的。大多數(shù)狀況下防火墻的組件放在一起使用以滿足公司平安目的的需求。防火墻要能確保滿足以下四個目標:實現(xiàn)一個公司的平安策略防火墻的主要意圖是強制執(zhí)行你的平安策略。在前面的課程提到過在適當(dāng)?shù)木W(wǎng)絡(luò)平安中平安策略的重要性。舉個例子，或許你的平安策略只需對MAIL服務(wù)器的SMTP流量作些限制,那么你要直接在防火墻強制這些策略。創(chuàng)建一個堵塞點防火墻在一個公司私有網(wǎng)絡(luò)和分網(wǎng)問建立一個檢查點。這種實現(xiàn)要求全部的流量都要通過這個檢查點。一旦這些檢查點清楚地建立,防火墻設(shè)備就可以監(jiān)視，過濾和檢查全部進來和出去的流量。網(wǎng)絡(luò)平安產(chǎn)業(yè)稱這些檢查點為堵塞點。通過強制全部進出流量都通過這些檢查點,網(wǎng)絡(luò)管理員可以集中在較少的方來實現(xiàn)平安目的。假如沒有這樣一個供監(jiān)視和把握信息的點,系統(tǒng)或平安管理員則要在大量的地方來進行監(jiān)測。檢查點的另一個名字叫做網(wǎng)絡(luò)邊界。記錄Ｉnteｒneｔ活動防火墻還能夠強制日志記錄,并且供應(yīng)警報功能。通過在防火墻上實現(xiàn)日志服務(wù),平安管理員可以監(jiān)視全部從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志策略是實現(xiàn)適當(dāng)網(wǎng)絡(luò)平安的有效工具之一。防火墻對于管理員進行日志存檔供應(yīng)了更多的信息。限制網(wǎng)絡(luò)暴露防火墻在你的網(wǎng)絡(luò)四周創(chuàng)建了一個愛護的邊界。并且對于公網(wǎng)隱蔽了你內(nèi)部系統(tǒng)的一些信息以增加保密性。當(dāng)遠程節(jié)點偵測你的網(wǎng)絡(luò)時,他們僅僅能看到防火墻。遠程設(shè)備將不會知道你內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。防火墻提高認證功能和對網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露。通過對所能進來的流量時行源檢查,以限制從外部發(fā)動的攻擊。1.3防火墻術(shù)語在我們連續(xù)爭辯防火墻技術(shù)前,我們需要對一些重要的術(shù)語有一些生疏：網(wǎng)關(guān)網(wǎng)關(guān)是在兩上設(shè)備之間供應(yīng)轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)的范圍可以從互聯(lián)網(wǎng)應(yīng)用程序如公共網(wǎng)關(guān)接口（CGI)到在兩臺主機間處理流量的防火墻網(wǎng)關(guān)。這個術(shù)語是非經(jīng)常見的,而且在本課會用于一個防火墻組件里,在兩個不同的網(wǎng)絡(luò)路由和處理數(shù)據(jù)。電路級網(wǎng)關(guān)電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機間的ＴCＰ握手信息，這樣來打算該會話是否合法,電路級網(wǎng)關(guān)是在OＳI模型中會話層上來過濾數(shù)據(jù)包，這樣比包過濾防火墻要高兩層。另外,電路級網(wǎng)關(guān)還供應(yīng)一個重要的平安功能:網(wǎng)絡(luò)地址轉(zhuǎn)移（ＮAT)將全部公司內(nèi)部的IP地址映射到一個“平安”的IＰ地址，這個地址是由防火墻使用的。有兩種方法來實現(xiàn)這種類型的網(wǎng)關(guān)，一種是由一臺主機充當(dāng)篩選路由器而另一臺充當(dāng)應(yīng)用級防火墻。另一種是在第一個防火墻主機和其次個之間建立平安的連接。這種結(jié)構(gòu)的好處是當(dāng)一次攻擊發(fā)生時能供應(yīng)容錯功能。應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)可以工作在OＳI七層模型的任一層上,能夠檢查進出的數(shù)據(jù)包,通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機與不受信任的主機間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做簡單一些的訪問把握,并做精細的注冊。通常是在特殊的服務(wù)器上安裝軟件來實現(xiàn)的。包過濾包過濾是處理網(wǎng)絡(luò)上基于ｐaｃket-bｙ-packｅt流量的設(shè)備。包過濾設(shè)備允許或阻擋包,典型的實施方法是通過標準的路由器。包過濾是幾種不同防火墻的類型之一,在本課后面我們將做具體地爭辯。代理服務(wù)器代理服務(wù)器代表內(nèi)部客戶端與外部的服務(wù)器通信。代理服務(wù)器這個術(shù)語通常是指一個應(yīng)用級的網(wǎng)關(guān),雖然電路級網(wǎng)關(guān)也可作為代理服務(wù)器的一種。網(wǎng)絡(luò)地址翻譯(NAT)網(wǎng)絡(luò)地址解釋是對Ｉntｅrnｅｔ隱蔽內(nèi)部地址,防止內(nèi)部地址公開。這一功能可以克服IP尋址方式的諸多限制,完善內(nèi)部尋址模式。把未注冊ＩP地址映射成合法地址,就可以對Intｅrnet進行訪問。對于ＮAT的另一個名字是IP地址隱蔽。ＲＦＣ１９1８概述了地址并且ＩＡNA建議使用內(nèi)部地址機制,以下地址作為保留地址：.0－１0．２55.2５5．25517２．16.０.０-172.3１.255.2５51９2．１68.０.0－１９２．168．2５５.２５5假如你選擇上述例表中的網(wǎng)絡(luò)地址,不需要向任何互聯(lián)網(wǎng)授權(quán)機構(gòu)注冊即可使用。使用這些網(wǎng)絡(luò)地址的一個好處就是在互聯(lián)網(wǎng)上永久不會被路由?；ヂ?lián)網(wǎng)上全部的路由器發(fā)覺源或目標地址含有這些私有網(wǎng)絡(luò)IＤ時都會自動地丟棄。堡壘主機堡壘主機是一種被強化的可以防備進攻的計算機，被暴露于因特網(wǎng)之上,作為進入內(nèi)部網(wǎng)絡(luò)的一個檢查點，以達到把整個網(wǎng)絡(luò)的平安問題集中在某個主機上解決,從而省時省力，不用考慮其它主機的平安的目的。從堡壘主機的定義我們可以看到,堡壘主機是網(wǎng)絡(luò)中最簡潔受到侵害的主機。所以堡壘主機也必需是自身愛護最完善的主機。你可以使用單宿主堡壘主機。多數(shù)狀況下，一個堡壘主機使用兩塊網(wǎng)卡,每個網(wǎng)卡連接不同的網(wǎng)絡(luò)。一塊網(wǎng)卡連接你公司的內(nèi)部網(wǎng)絡(luò)用來管理、把握和愛護,而另一塊連接另一個網(wǎng)絡(luò)，通常是公網(wǎng)也就是Iｎtｅrｎeｔ。堡壘主機經(jīng)常配置網(wǎng)關(guān)服務(wù)。網(wǎng)關(guān)服務(wù)是一個進程來供應(yīng)對從公網(wǎng)到私有網(wǎng)絡(luò)的特殊協(xié)議路由，反之亦然。在一個應(yīng)用級的網(wǎng)關(guān)里，你想使用的每一個應(yīng)用程協(xié)議都需要一個進程。因此，你想通過一臺堡壘主機來路由Emaｉl，Ｗeb和FTＰ服務(wù)時，你必需為每一個服務(wù)都供應(yīng)一個守護進程。強化操作系統(tǒng)防火墻要求盡可能只配置必需的少量的服務(wù)。為了加強操作系統(tǒng)的穩(wěn)固性,防火墻安裝程序要禁止或刪除全部不需要的服務(wù)。多數(shù)的防火墻產(chǎn)品，包括AxeｎtRａptor(www．a(chǎn)xenｔ．ｃｏm)，CheｃｋＰｏｉnt(ｗｗw.ｃｈeckpoｉnｔ.cｏm)和NeｔworｋAｓsocｉaｔesＧaunｔｌet（wｗw.nｅtwｏrkassociａt(yī)ｅs.cｏｍ）都可以在目前較流行的操作系統(tǒng)上運行。如AxentRapｔor防火墻就可以安裝在ＷiｎdoｗsNTＳervｅr4.０,Ｓoｌaｒｉs及HＰ－UX操作系統(tǒng)上。理論上來講，讓操作系統(tǒng)只供應(yīng)最基本的功能，可以使利用系統(tǒng)BＵG來攻擊的方法格外困難。最終，當(dāng)你加強你的系統(tǒng)時,還要考慮到除了TCP/IP協(xié)議外不要把任何協(xié)議綁定到你的外部網(wǎng)卡上。非軍事化區(qū)域(DMZ)DMZ是一個小型網(wǎng)絡(luò)存在于公司的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。這個網(wǎng)絡(luò)由篩選路由器建立,有時是一個堵塞路由器。DMZ用來作為一個額外的緩沖區(qū)以進一步隔離公網(wǎng)和你的內(nèi)部私有網(wǎng)絡(luò)。DMＺ另一個名字叫做SeｒvｉceNetｗork,由于它格外便利。這種實施的缺點在于存在于DMZ區(qū)域的任何服務(wù)器都不會得到防火墻的完全愛護。篩選路由器篩選路由器的另一個術(shù)語就是包過濾路由器并且至少有一個接口是連向公網(wǎng)的，如Inｔｅrｎｅt。它是對進出內(nèi)部網(wǎng)絡(luò)的全部信息進行分析,并依據(jù)肯定的平安策略——信息過濾規(guī)章對進出內(nèi)部網(wǎng)絡(luò)的信息進行限制,允許授權(quán)信息通過，拒絕非授權(quán)信息通過。信息過濾規(guī)章是以其所收到的數(shù)據(jù)包頭信息為基礎(chǔ)的。接受這種技術(shù)的防火墻優(yōu)點在于速度快、實現(xiàn)便利,但平安性能差,且由于不同操作系統(tǒng)環(huán)境下TCP和ＵＤP端口號所代表的應(yīng)用服務(wù)協(xié)議類型有所不同，故兼容性差。堵塞路由器堵塞路由器（也叫內(nèi)部路由器)愛護內(nèi)部的網(wǎng)絡(luò)使之免受Inteｒｎet和周邊網(wǎng)的侵害。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。它允許從內(nèi)部網(wǎng)絡(luò)到Ｉｎternet的有選擇的出站服務(wù)。這些服務(wù)是用戶的站點能使用數(shù)據(jù)包過濾而不是代理服務(wù)平安支持和平安供應(yīng)的服務(wù)。內(nèi)部路由器所允許的在堡壘主機(在周邊網(wǎng)上)和用戶的內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部路由器所允許的在Intｅｒｎet和用戶的內(nèi)部網(wǎng)之間的服務(wù)。限制堡壘主機和內(nèi)部網(wǎng)之間服務(wù)的理由是削減由此而導(dǎo)致的受到來自堡壘主機侵襲的機器的數(shù)量。１．4用戶在選購防火墻的會留意的問題:一、防火墻自身的平安性防火墻自身的平安性主要體現(xiàn)在自身設(shè)計和管理兩個方面。設(shè)計的平安性關(guān)鍵在于操作系統(tǒng)，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的平安性。而應(yīng)用系統(tǒng)的平安是以操作系統(tǒng)的平安為基礎(chǔ)的,同時防火墻自身的平安實現(xiàn)也直接影響整體系統(tǒng)的平安性。二、系統(tǒng)的穩(wěn)定性目前,由于種種緣由,有些防火墻尚未最終定型或經(jīng)過嚴格的大量測試就被推向了市場,其穩(wěn)定性可想而知。防火墻的穩(wěn)定性可以通過幾種方法推斷：１.從權(quán)威的測評認證機構(gòu)獲得。例如,你可以通過與其它產(chǎn)品相比,考察某種產(chǎn)品是否獲得更多的國家權(quán)威機構(gòu)的認證、推舉和入網(wǎng)證明(書)，來間接了解其穩(wěn)定性。２．實際調(diào)查，這是最有效的方法:考察這種防火墻是否已經(jīng)有了使用單位、其用戶量如何,特殊是用戶們對于該防火墻的評價。3.自己試用。在自己的網(wǎng)絡(luò)上進行一段時間的試用(一個月左右)。４.廠商開發(fā)研制的歷史。一般來說,假如沒有兩年以上的開發(fā)經(jīng)受，很難保證產(chǎn)品的穩(wěn)定性。5．廠商實力,如資金、技術(shù)開發(fā)人員、市場銷售人員和技術(shù)支持人員多少等等。三、是否高效高性能是防火墻的一個重要指標，它直接體現(xiàn)了防火墻的可用性。假如由于使用防火墻而帶來了網(wǎng)絡(luò)性能較大幅度的下降，就意味著平安代價過高。一般來說，防火墻加載上百條規(guī)章,其性能下降不應(yīng)超過5%(指包過濾防火墻）。四、是否牢靠牢靠性對防火墻類訪問把握設(shè)備來說尤為重要，直接影響受控網(wǎng)絡(luò)的可用性。從系統(tǒng)設(shè)計上,提高牢靠性的措施一般是提高本身部件的強健性、增大設(shè)計閾值和增加冗余部件,這要求有較高的生產(chǎn)標準和設(shè)計冗余度。五、是否功能機敏對通信行為的有效把握,要求防火墻設(shè)備有一系列不同級別，滿足不同用戶的各類平安把握需求的把握留意。例如對一般用戶,只要對IＰ地址進行過濾即可;假如是內(nèi)部有不同平安級別的子網(wǎng)，有時則必需允許高級別子網(wǎng)對低級別子網(wǎng)進行單向訪問。六、是否配置便利在網(wǎng)絡(luò)入口和出口處安裝新的網(wǎng)絡(luò)設(shè)備是每個網(wǎng)管員的惡夢,由于這意味著必需修改幾乎全部現(xiàn)有設(shè)備的配置。支持透亮通信的防火墻,在安裝時不需要對原網(wǎng)絡(luò)配置做任何改動,所做的工作只相當(dāng)于接一個網(wǎng)橋或Hub。七、是否管理簡便網(wǎng)絡(luò)技術(shù)進展很快,各種平安大事不斷消滅,這就要求平安管理員經(jīng)常調(diào)整網(wǎng)絡(luò)平安留意。對于防火墻類訪問把握設(shè)備，除平安把握留意的不斷調(diào)整外，業(yè)務(wù)系統(tǒng)訪問把握的調(diào)整也很頻繁,這些都要求防火墻的管理在充分考慮平安需要的前提下,必需供應(yīng)便利機敏的管理方式和方法,這通常體現(xiàn)為管理途徑、管理工具和管理權(quán)限。八、是否可以抵制拒絕服務(wù)攻擊在當(dāng)前的網(wǎng)絡(luò)攻擊中，拒絕服務(wù)攻擊是使用頻率最高的方法。抵制拒絕服務(wù)攻擊應(yīng)當(dāng)是防火墻的基本功能之一。目前有很多防火墻號稱可以抵擋拒絕服務(wù)攻擊,但嚴格地說,它應(yīng)當(dāng)是可以降低拒絕服務(wù)攻擊的危害而不是抵擋這種攻擊。在選購防火墻時,網(wǎng)管人員應(yīng)當(dāng)具體考察這一功能的真實性和有效性。九、是否可以針對用戶身份過濾防火墻過濾報文,需要一個針對用戶身份而不是IＰ地址進行過濾的方法。目前常用的是一次性口令驗證機制,保證用戶在登錄防火墻時，口令不會在網(wǎng)絡(luò)上泄露,這樣,防火墻就可以確認登錄上來的用戶的確和他所聲稱的全都。十、是否可擴展、可升級用戶的網(wǎng)絡(luò)不是一成不變的,和防病毒產(chǎn)品類似，防火墻也必需不斷地進行升級，此時支持軟件升級就很重要了。假如不支持軟件升級的話，為了抵擋新的攻擊手段，用戶就必需進行硬件上的更換，而在更換期間網(wǎng)絡(luò)是不設(shè)防的,同時用戶也要為此花費更多的錢。１.5防火墻的一些參數(shù)指標接口數(shù)、VPN隧道數(shù)、吞吐量、３DES、并發(fā)數(shù)、新會話數(shù)、VLＡＮ數(shù)量、策略數(shù)等。1.6防火墻功能指標詳解產(chǎn)品類型從防火墻產(chǎn)品和技術(shù)進展來看，分為三種類型：基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用平安操作系統(tǒng)的防火墻。LAN接口列出支持的LAN接口類型：防火墻所能愛護的網(wǎng)絡(luò)類型,如以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ＡTM、令牌環(huán)及ＦＤDＩ等。支持的最大LＡＮ接口數(shù)：指防火墻所支持的局域網(wǎng)絡(luò)接口數(shù)目,也是其能夠愛護的不同內(nèi)網(wǎng)數(shù)目。服務(wù)器平臺:防火墻所運行的操作系統(tǒng)平臺(如Liｎｕx、UNＩX、WiｎNＴ、專用平安操作系統(tǒng)等）。協(xié)議支持支持的非IＰ協(xié)議:除支持ＩＰ協(xié)議之外，又支持AppleTａlk、ＤECｎet、IＰX及ＮETBEUI等協(xié)議。建立ＶＰN通道的協(xié)議:構(gòu)建VPN通道所使用的協(xié)議,如密鑰安排等,主要分為IＰＳｅc,PＰTＰ、專用協(xié)議等?？梢栽冢郑蠳中使用的協(xié)議：在VＰＮ中使用的協(xié)議,一般是指TCＰ／ＩP協(xié)議。加密支持支持的VPN加密標準:VPN中支持的加密算法,例如數(shù)據(jù)加密標準DES、３ＤES、RC4以及國內(nèi)專用的加密算法。除了VPN之外,加密的其他用途:加密除用于愛護傳輸數(shù)據(jù)以外，還應(yīng)用于其他領(lǐng)域，如身份認證、報文完整性認證,密鑰安排等。供應(yīng)基于硬件的加密:是否供應(yīng)硬件加密方法，硬件加密可以供應(yīng)更快的加密速度和更高的加密強度。認證支持支持的認證類型:是指防火墻支持的身份認證協(xié)議,一般狀況下具有一個或多個認證方案，如RADＩUS、Kerbｅroｓ、TACＡＣS／TACACS+、口令方式、數(shù)字證書等。防火墻能夠為本地或遠程用戶供應(yīng)經(jīng)過認證與授權(quán)的對網(wǎng)絡(luò)資源的訪問,防火墻管理員必需打算客戶以何種方式通過認證。列出支持的認證標準和CA互操作性：廠商可以選擇自己的認證方案，但應(yīng)符合相應(yīng)的國際標準,該項指所支持的標準認證協(xié)議，以及實現(xiàn)的認證協(xié)議是否與其他CＡ產(chǎn)品兼容互通。支持數(shù)字證書：是否支持數(shù)字證書。訪問把握通過防火墻的包內(nèi)容設(shè)置:包過濾防火墻的過濾規(guī)章集由若干條規(guī)章組成,它應(yīng)涵蓋對全部出入防火墻的數(shù)據(jù)包的處理方法,對于沒有明確定義的數(shù)據(jù)包，應(yīng)當(dāng)有一個缺省處理方法；過濾規(guī)章應(yīng)易于理解,易于編輯修改;同時應(yīng)具備全都性檢測機制,防止沖突。IＰ包過濾的依據(jù)主要是依據(jù)IＰ包頭部信息如源地址和目的地址進行過濾,假如ＩＰ頭中的協(xié)議字段表明封裝協(xié)議為IＣMP、TＣP或ＵDP，那么再依據(jù)ICMP頭信息（類型和代碼值）、TCＰ頭信息(源端口和目的端口)或UDP頭信息（源端口和目的端口)執(zhí)行過濾，其他的還有MＡC地址過濾。應(yīng)用層協(xié)議過濾要求主要包括ＦTＰ過濾、基于RPC的應(yīng)用服務(wù)過濾、基于ＵＤP的應(yīng)用服務(wù)過濾要求以及動態(tài)包過濾技術(shù)等。在應(yīng)用層供應(yīng)代理支持：指防火墻是否支持應(yīng)用層代理,如HＴTＰ、FTP、ＴＥＬNET、SNMＰ等。代理服務(wù)在確認客戶端連接懇求有效后接管連接,代為向服務(wù)器發(fā)出連接懇求,代理服務(wù)器應(yīng)依據(jù)服務(wù)器的應(yīng)答,打算如何響應(yīng)客戶端懇求,代理服務(wù)進程應(yīng)當(dāng)連接兩個連接（客戶端與代理服務(wù)進程間的連接、代理服務(wù)進程與服務(wù)器端的連接）。為確認連接的唯一性與時效性，代理進程應(yīng)當(dāng)維護代理連接表或相關(guān)數(shù)據(jù)庫（最小字段集合),為供應(yīng)認證和授權(quán),代理進程應(yīng)當(dāng)維護一個擴展字段集合。在傳輸層供應(yīng)代理支持:指防火墻是否支持傳輸層代理服務(wù)。允許FＴP命令防止某些類型文件通過防火墻:指是否支持FTP文件類型過濾。用戶操作的代理類型:應(yīng)用層高級代理功能,如HTTＰ、ＰOP3。支持網(wǎng)絡(luò)地址轉(zhuǎn)換（NAＴ)：NAＴ指將一個IＰ地址域映射到另一個IＰ地址域,從而為終端主機供應(yīng)透亮路由的方法。NAT常用于私有地址域與公有地址域的轉(zhuǎn)換以解決IP地址匱乏問題。在防火墻上實現(xiàn)NＡＴ后,可以隱蔽受愛護網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),在肯定程度上提高了網(wǎng)絡(luò)的平安性。支持硬件口令、智能卡:是否支持硬件口令、智能卡等，這是一種比較平安的身份認證技術(shù)。防備功能支持病毒掃描：是否支持防病毒功能，如掃描電子郵件附件中的DＯC和ＺIP文件，F(xiàn)ＴＰ中的下載或上載文件內(nèi)容,以發(fā)覺其中包含的危急信息。供應(yīng)內(nèi)容過濾:是否支持內(nèi)容過濾，信息內(nèi)容過濾指防火墻在HTTP、FＴP、ＳＭTP等協(xié)議層,依據(jù)過濾條件，對信息流進行把握,防火墻把握的結(jié)果是:允許通過、修改后允許通過、禁止通過、記錄日志、報警等。過濾內(nèi)容主要指URL、ＨTTP攜帶的信息:JaｖaApｐleｔ、JavａＳｃriｐt、AｃｔiｖeX和電子郵件中的Ｓubject、Ｔｏ、Frｏm域等。能防備的DｏＳ攻擊類型：拒絕服務(wù)攻擊(DｏS)就是攻擊者過多地占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡,而使其他用戶無法享有服務(wù)或沒有資源可用。防火墻通過把握、檢測與報警等機制，可在肯定程度上防止或減輕DｏS黑客攻擊。阻擋AcｔiveX、Javａ、Cｏｏkｉeｓ、Ｊａｖａｓcriｐｔ侵入：屬于HTTP內(nèi)容過濾,防火墻應(yīng)當(dāng)能夠從HTＴP頁面剝離JａvａApｐlet、ActiｖeＸ等小程序及從Scrｉpt、PHＰ和AＳP等代碼檢測出危急代碼或病毒,并向掃瞄器用戶報警。同時,能夠過濾用戶上載的CGＩ、ASＰ等程序，當(dāng)發(fā)覺危急代碼時,向服務(wù)器報警。平安特性支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議(IＣMＰ代理）:是否支持ICMP代理,ＩCMP為網(wǎng)間把握報文協(xié)議。供應(yīng)入侵實時警告:供應(yīng)實時入侵告警功能,當(dāng)發(fā)生危急大事時，是否能夠準時報警，報警的方式可能通過郵件、呼機、手機等。供應(yīng)實時入侵防范:供應(yīng)實時入侵響應(yīng)功能,當(dāng)發(fā)生入侵大事時,防火墻能夠動態(tài)響應(yīng),調(diào)整平安策略，阻擋惡意報文。識別／記錄／防止企圖進行IP地址哄騙：IＰ地址哄騙指使用偽裝的IＰ地址作為IP包的源地址對受愛護網(wǎng)絡(luò)進行攻擊,防火墻應(yīng)當(dāng)能夠禁止來自外部網(wǎng)絡(luò)而源地址是內(nèi)部IP地址的數(shù)據(jù)包通過。管理功能通過集成策略集中管理多個防火墻:是否支持集中管理,防火墻管理是指對防火墻具有管理權(quán)限的管理員行為和防火墻運行狀態(tài)的管理，管理員的行為主要包括:通過防火墻的身份鑒別，編寫防火墻的平安規(guī)章,配置防火墻的平安參數(shù),查看防火墻的日志等。防火墻的管理一般分為本地管理、遠程管理和集中管理等。供應(yīng)基于時間的訪問把握:是否供應(yīng)基于時間的訪問把握。支持ＳＮMP監(jiān)視和配置：SＮMP是簡潔網(wǎng)絡(luò)管理協(xié)議的縮寫。本地管理:是指管理員通過防火墻的Consolｅ口或防火墻供應(yīng)的鍵盤和顯示器對防火墻進行配置管理。遠程管理：是指管理員通過以太網(wǎng)或防火墻供應(yīng)的廣域網(wǎng)接口對防火墻進行管理,管理的通信協(xié)議可以基于FＴP、TＥＬNＥＴ、HTＴP等。支持帶寬管理:防火墻能夠依據(jù)當(dāng)前的流量動態(tài)調(diào)整某些客戶端占用的帶寬。負載均衡特性：負載均衡可以看成動態(tài)的端口映射，它將一個外部地址的某一ＴＣP或UＤP端口映射到一組內(nèi)部地址的某一端口,負載均衡主要用于將某項服務(wù)（如HＴTＰ）分攤到一組內(nèi)部服務(wù)器上以平衡負載。失敗恢復(fù)特性(failoveｒ)：指支持容錯技術(shù)，如雙機熱備份、故障恢復(fù)，雙電源備份等。記錄和報表功能防火墻處理完整日志的方法：防火墻規(guī)定了對于符合條件的報文做日志，應(yīng)當(dāng)供應(yīng)日志信息管理和存儲方法。供應(yīng)自動日志掃描:指防火墻是否具有日志的自動分析和掃描功能,這可以獲得更具體的統(tǒng)計結(jié)果，達到事后分析、亡羊補牢的目的。供應(yīng)自動報表、日志報告書寫器：防火墻實現(xiàn)的一種輸出方式，供應(yīng)自動報表和日志報告功能。警告通知機制:防火墻應(yīng)供應(yīng)告警機制，在檢測到入侵網(wǎng)絡(luò)以及設(shè)備運轉(zhuǎn)特別狀況時，通過告警來通知管理員實行必要的措施，包括Ｅ-mａiｌ、呼機、手機等。供應(yīng)簡要報表（依據(jù)用戶ＩD或IP地址）：防火墻實現(xiàn)的一種輸出方式,按要求供應(yīng)報表分類打印。供應(yīng)實時統(tǒng)計:防火墻實現(xiàn)的一種輸出方式,日志分析后所獲得的智能統(tǒng)計結(jié)果，一般是圖表顯示。列出獲得的國內(nèi)有關(guān)部門許可證類別及號碼:這是防火墻合格與銷售的關(guān)鍵要素之一,其中包括：公安部的銷售許可證、國家信息平安測評中心的認證證書、總參的國防通信入網(wǎng)證和國家保密局的推舉證明等。1．７防火墻的局限性(１)防火墻防外不防內(nèi)。(2)防火墻難于管理和配置,易造成平安漏洞。(３)很難為用戶在防火墻內(nèi)外供應(yīng)全都的平安策略。（4)防火墻只實現(xiàn)了粗粒度的訪問把握。1.8防火墻技術(shù)進展方向目前在防火墻業(yè)界對防火墻的進展普遍存在著兩種觀點，即所謂的胖瘦防火墻之爭。一種觀點認為,要實行分工協(xié)作，防火墻應(yīng)當(dāng)做得精瘦，只做防火墻的專職工作，可實行多家平安廠商聯(lián)盟的方式來解決;另一種觀點認為，把防火墻做得盡量的胖,把全部平安功能盡可能多地附加在防火墻上，成為一個集成化的網(wǎng)絡(luò)平安平臺。從概念上講，所謂“胖”防火墻是指功能大而全的防火墻，它力圖將平安功能盡可能多地包含在內(nèi),從而成為用戶網(wǎng)絡(luò)的一個平安平臺;而所謂“瘦”防火墻是指功能少而精的防火墻,它只作訪問把握的專職工作，對于綜合平安解決方案,則接受多家平安廠商聯(lián)盟的方式來實現(xiàn)。“胖”的技術(shù)路線“胖”防火墻在保證基本功能的前提下,不斷擴展增值功能——ＮAT、VＰＮ、ＱoS以及入侵檢測、防病毒等。“胖”防火墻將平安Ｓoｌｕｔioｎ趨向于一種留意功能大而全的單一產(chǎn)品體系,力圖將防火墻系統(tǒng)開發(fā)成為一個平安域的整體解決方案,它的優(yōu)點在于可以滿足用戶絕大部分的網(wǎng)絡(luò)平安需求。防火墻最開頭也是一個單獨的設(shè)備與概念,它和VＰN、IDS、防病毒等都是同時并立的,但隨著客戶需求的不斷變化,在大而全的思想引導(dǎo)下，防火墻漸漸集成了VPN，集成了IDS,甚至集成了防病毒網(wǎng)關(guān)。理論上,防火墻+IＤS+防病毒+VPＮ部署已經(jīng)可以供應(yīng)較全面的愛護，但由于大多數(shù)中小企業(yè)的用戶并非平安專家，更不行能7×2４小時監(jiān)視平安報告并作出響應(yīng)，因此組合多種產(chǎn)品功能形成智能化的防備體系、發(fā)覺并準時中止入侵的發(fā)生也就成為平安技術(shù)的一種進展方向。另外,對于一般的客戶來說,分別購買多個ＩDＳ、防火墻、ＶPN及防病毒網(wǎng)關(guān)產(chǎn)品是一個不小的財政負擔(dān),而高度集成的IDP系統(tǒng)令用戶大大削減了同類支出并大大增加了效能,因此,市場上消滅了“二合一”、“三合一”甚至是“四合一”的產(chǎn)品。它欲解決的問題在于降低選購和管理成本。但是,這種“胖”防火墻目前更多地存在于理論上，實際進行產(chǎn)品化并已成功應(yīng)用的并不多?！芭帧狈阑饓ψ非蟮氖且徽臼椒?wù)，目前它只適應(yīng)中小型企業(yè),尤其是低端用戶。他們出于經(jīng)濟上的考慮以及管理上的成本,更主要的是出于平安的實際需求,期望一個設(shè)備可以為這種小型網(wǎng)絡(luò)實現(xiàn)整體平安防護，所以對這種大而全的“胖”東西格外感愛好?！芭帧狈阑饓Φ娜秉c也是很明顯的,最突出的就是性能問題,只能著眼于小規(guī)模的網(wǎng)絡(luò)，由于它強制將邊界平安集中在單一把握點，本有性能瓶頸之憂；在性能瓶頸點增加IDS、AV等模塊,又會加劇瓶頸效應(yīng);同時，附加模塊將增加平安策略規(guī)章數(shù)目，也將加劇防火墻性能指標惡化(隨規(guī)章增加,防火墻性能指標將成倍數(shù)下降)；另外，附加模塊不專業(yè),功能不全面。很多廠家在初步定義產(chǎn)品時，都想做成“胖”防火墻，既有包過濾、又有代理，同時包含了入侵檢測和防病毒，但是做著做著,就漸漸瘦下來了。況且單一產(chǎn)品功能多，也導(dǎo)致牢靠性和平安性的降低;集成化不應(yīng)僅僅是產(chǎn)品的簡潔疊加，“胖”防火墻從概念上講是可以的,但從技術(shù)實現(xiàn)上講，有很多實際問題,可能造成的結(jié)果就是多而不精?！笆荨钡膬r值定位一般來說,大型用戶平安需求廣泛,專業(yè)性要求強,平安投入較大,自身平安管理力量也較高，因此,這種客戶均傾向于使用獨立的平安設(shè)備，并渴望發(fā)揮每種產(chǎn)品的最大效果。而平安廠商也竭力挖掘每種平安產(chǎn)品的最大功能，“瘦”防火墻也就經(jīng)受了從包過濾、應(yīng)用代理、狀態(tài)檢測到深度檢測、智能檢測以及從雙機熱備到負載均衡、ＨＡ集群的進展階段。針對這類用戶，為了要滿足多種平安需求，平安廠商在設(shè)計平安解決方案時，通常會考慮以平安管理為核心，以多種平安產(chǎn)品的聯(lián)動為基礎(chǔ),如防火墻與IDＳ和防病毒全面互動形成動態(tài)防備體系。以平安管理為核心使得平安網(wǎng)關(guān)不需要專人時時凝視,不需要人工推斷入侵大事,不需要預(yù)先設(shè)置大量的阻斷規(guī)章,只需要在管理系統(tǒng)中依據(jù)平安需求設(shè)定互動規(guī)章。防病毒系統(tǒng)會在發(fā)覺病毒后馬上通知IDS添加到規(guī)章庫中,而IDS系統(tǒng)會在發(fā)覺入侵行為后馬上使防火墻產(chǎn)生阻斷入侵的規(guī)章,從而自動為用戶帶來平安的信息環(huán)境。很多有實力的廠商在不斷推出“瘦”防火墻等專業(yè)平安產(chǎn)品的同時,開發(fā)并推出整體平安管理解決方案——信息平安管理平臺，如ChｅckPoinｔ公司的OPSＥＣＭａnager、聯(lián)想集團的ＬeadＳecMaｎagｅr等。平安管理平臺能夠為用戶的網(wǎng)絡(luò)應(yīng)用建立便利完善的集中管理機制、統(tǒng)一協(xié)調(diào)機制、綜合分析機制、關(guān)聯(lián)響應(yīng)機制,能在諸多方面為平安管理工作帶來顯著的效益。例如通過管理平臺，能夠配置IDＳ與防火墻、防病毒系統(tǒng)之間聯(lián)動策略;當(dāng)IDS檢測到蠕蟲病毒大事時,網(wǎng)絡(luò)中的防火墻和防毒系統(tǒng)馬上即可收到大事通報；于是防火墻實行行動,封堵病毒傳播通道，防毒系統(tǒng)進入查殺過程。蠕蟲病毒就被以最快的速度遏止，并被毀滅在一個有限的網(wǎng)絡(luò)范圍內(nèi)。應(yīng)用平安管理平臺，可以使“瘦”防火墻等專業(yè)平安產(chǎn)品協(xié)同工作、關(guān)聯(lián)響應(yīng)，從而全面提高企業(yè)整體平安風(fēng)險防范力量，這也是“瘦”防火墻得到越來越多客戶青睞的重要緣由。當(dāng)然，接口、聯(lián)動、管理需要機敏的開放性和可擴展性。假如協(xié)作不當(dāng),消滅紅鞋與綠褲的組合,那呈現(xiàn)給用戶的生怕就不僅是俗氣了?！芭?、瘦”相輔相成從本質(zhì)上講,“胖、瘦”防火墻沒有好壞之分,只有需求上的差別。低端的防火墻是一個集成的產(chǎn)品,它可以具有簡潔的平安防護功能,還可以具有肯定的IＤS功能，但一般不會集成防病毒功能。而中高端的防火墻更加專業(yè)化，平安和訪問把握并重,主要對經(jīng)過防火墻的數(shù)據(jù)包進行審核,平安會更加深化，對協(xié)議的爭辯更加深化，同時會支持多種通用的路由協(xié)議,對網(wǎng)絡(luò)拓撲更加適應(yīng)，VＰN會集成到防火墻內(nèi),作為建立廣域網(wǎng)平安隧道的一種手段，但防火墻不會集成IDＳ和防病毒,這些還是由特地的設(shè)備負責(zé)完成。而用戶又如何看待呢?他們關(guān)注只有兩個方面:一是他們需要防火墻，二是他們需要其它的平安,但很多大的行業(yè)用戶一旦進行網(wǎng)絡(luò)平安設(shè)計，一般會進行較系統(tǒng)的規(guī)劃,他們可能會將ＩDＳ、防火墻、防病毒等分開考慮、統(tǒng)一規(guī)劃（或許他們的資金更充裕)。這個現(xiàn)象類比到“胖”、“瘦”防火墻來說,相當(dāng)于這兩種墻都有著自己的市場。隨著技術(shù)的進展,“胖、瘦”防火墻將消滅部分融合轉(zhuǎn)化的趨勢,而這種融合正是推動平安保障體系演進與平安產(chǎn)品形態(tài)演繹的重要力氣。無論“胖”還是“瘦”，任何一種防火墻只是為網(wǎng)絡(luò)通信或者是數(shù)據(jù)傳輸供應(yīng)更有保障的平安性,但是我們也不能完全依靠于防火墻。防火墻技術(shù)更多是在對報文包頭的處理,而ＩDS技術(shù)和防病毒技術(shù)更多是對報文負載的處理,ＶPN技術(shù)是加密流量,還需要Hoｎeｙnet、Forｅｎsｉcs技術(shù)等。用戶的價值取向平安業(yè)界不斷消滅新的概念和新的產(chǎn)品,作為最終使用者和受益者—用戶來說，在選購的時候難免會有困惑:該如何避開來自方方面面的示意和誘導(dǎo)呢？生怕明確需求,把握實際是唯一的選擇。當(dāng)然，在選擇的過程中，專家和廠商的閱歷需要借鑒，也是必不行少的。通過不斷地溝通和學(xué)習(xí),企業(yè)對自身需求的理解和對平安的生疏也會與時俱進的。選擇防火墻,最為關(guān)鍵的自然是要了解自身的特點。以ＩT的眼光來看,信息平安的重要程度有兩個層面,一個層面是指全部企業(yè)所共有的信息系統(tǒng)體系中，何者為重、何者次之;一個層面則是指具體到企業(yè)信息系統(tǒng)，也需要劃分輕重緩急，在這個層面上主要表現(xiàn)為企業(yè)所屬的行業(yè)所共有的特點。第一個層面與企業(yè)的進展。程度有關(guān)進展中的中小企業(yè)由于處于不穩(wěn)定期，對企業(yè)進展最為重要的應(yīng)當(dāng)是業(yè)務(wù)信息資源（包括客戶信息、技術(shù)信息、市場信息等）,其次是財務(wù)信息,再次是其他信息。而處于穩(wěn)定期的大中型企業(yè)，更重視企業(yè)的均衡進展,特殊是留意以人為本的信息資源,對管理、流程、人事、企業(yè)文化的留意，將會接近對企業(yè)業(yè)務(wù)和財務(wù)信息的重視程度。其次個層面上的意義在于行業(yè)特點打算了信息平安系統(tǒng)的不同模式。防火墻做為一個網(wǎng)絡(luò)平安設(shè)備,它必需與應(yīng)用環(huán)境緊密地結(jié)合起來，其應(yīng)用環(huán)境會變得更為全面與簡單,需要著重思考防火墻會用在什么環(huán)境中,這些應(yīng)用環(huán)境又對防火墻提出了什么樣的要求,因此防火墻市場會進一步細分。更值得關(guān)注的是,防火墻依據(jù)相應(yīng)用戶群的價格承受力量進行精致的定價。其中主打中小型企業(yè)市場的產(chǎn)品更強調(diào)性價比;從產(chǎn)品的角度講,依據(jù)不同的產(chǎn)品系列、核心技術(shù)以及解決方案，同樣會有相應(yīng)細分的價格方案。用戶可以在平安定制的基礎(chǔ)上,實現(xiàn)“平安DIY”，只有理性、務(wù)實進展,才能成為市場上有競爭力的品牌?？偨Y(jié)而言,我們進行平安規(guī)劃的思路應(yīng)當(dāng)是這樣一條線:確定企業(yè)自身特點—確定信息平安需求—確定企業(yè)所能負擔(dān)的成本—確定各個層次的具體措施—將成本與實施手段掛鉤—平衡信息平安需求與投入之間的差異—制訂具體的實施方案—進行實施考察與調(diào)整。需求、成本、實施手段,一個都不能少。構(gòu)建聯(lián)動一體的體系沒有確定的“胖”和確定的“瘦”，應(yīng)當(dāng)收斂目前市場上“胖防火墻”和“瘦防火墻”這兩個極端觀點。無論是“胖”防火墻的集成，還是“瘦”防火墻的聯(lián)動，平安產(chǎn)品正在朝著體系化的結(jié)構(gòu)進展,所謂“胖瘦”不過是這種體系結(jié)構(gòu)的兩種表現(xiàn)方式，“胖”將這種體系表現(xiàn)在一個產(chǎn)品中，而“瘦”將這種體系表現(xiàn)在一組產(chǎn)品或是說一個方案中。同時,這種體系化的結(jié)構(gòu)需要格外完善的平安管理,也就是說,通過平安管理中心產(chǎn)品,整合系列平安產(chǎn)品,構(gòu)架成聯(lián)動和一體的產(chǎn)品體系,實現(xiàn)對用戶、資源和策略的統(tǒng)一管理，確保整體解決方案的平安全都性,是構(gòu)建網(wǎng)絡(luò)平安系統(tǒng)的大趨勢。防病毒軟件2．１病毒是什么計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用,并能自我復(fù)制的一組計算機指令或者程序代碼。與生物病毒一樣，電腦病毒具有傳染和破壞的作用；但是，與之不同的是,它不是自然?存在的，而是一段比較精致嚴謹?shù)拇a,依據(jù)嚴格的秩序組織起來，與所在的系統(tǒng)或網(wǎng)絡(luò)環(huán)境相適應(yīng)并與之協(xié)作,是人為特制的具有肯定長度的程序。病毒的概念最早由馮·諾伊曼提出,當(dāng)時并沒有引起留意。１９83年１1月3日,ＦｒｅdCｏheｎ博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序,LｅnAｄlemaｎ將它命名為計算機病毒（ｃomputervｉruses)，并在每周一次的計算機平安爭辯會上正式提出，8小時后專家們在VAX11/750計算機系統(tǒng)上運行第一個病毒試驗成功,一周后又獲準進行5個試驗的演示,從而在試驗上驗證了計算機病毒的存在。198６年初,在巴基斯坦的Ｌａhore,Baｓｉt和Aｍjad兩兄弟編寫了Pakisｔan病毒，即Ｂｒaｉn。１９88年3月2日，一種蘋果機的病毒發(fā)作,這天受感染的蘋果機停止工作,只顯示“向全部蘋果電腦的使用者宣布和平”的信息,以慶祝蘋果機的生日。1988年11月2日,美國6000多臺計算機被病毒感染,造成Iｎteｒnet不能正常運行。這次大事中患病攻擊的包括５個計算機中心和12個地區(qū)結(jié)點,連接著政府、高校、爭辯所和擁有政府合同的２5萬臺計算機，直接經(jīng)濟損失達９６00萬美元。1９88年下半年，我國在統(tǒng)計局系統(tǒng)首次發(fā)覺了“小球”病毒。計算機病毒的數(shù)目正以空前的速度增加著。1９86年,世界上只有1種已知的計算機病毒;３年后，計算機病毒的數(shù)目達到６種;而到1990年,這一數(shù)字劇增至80種。在１9９0年11月以前,平均每個星期發(fā)覺一種新的計算機病毒?，F(xiàn)在，每天就會消滅1０～15種新病毒。實際上,從1998年12月~2０００年2月，計算機病毒的總數(shù)從2.05萬種激增至４．６萬種。每當(dāng)一種新的計算機技術(shù)廣泛應(yīng)用的時候，