第7章網(wǎng)絡(luò)安全7.1網(wǎng)絡(luò)安全綜述7.2網(wǎng)絡(luò)安全機(jī)制7.3訪問安全7.4傳輸安全7.5系統(tǒng)安全返回7.1網(wǎng)絡(luò)安全綜述７.１.１網(wǎng)絡(luò)安全的理念網(wǎng)絡(luò)安全既然如此重要，我們一定要做好其安全工作。但遺憾的是網(wǎng)絡(luò)安全和網(wǎng)絡(luò)攻擊就像中國傳統(tǒng)經(jīng)典的矛與盾、道和魔。道高一尺魔高一丈，道魔相長，也就是說，網(wǎng)絡(luò)安全是無止境的，絕對的安全是不存在的。因此，在我們的網(wǎng)絡(luò)研究中網(wǎng)絡(luò)安全是一個(gè)重要而又無止境的研究課題，是一個(gè)研究熱點(diǎn)，值得讀者承前繼后。我們之所以在網(wǎng)絡(luò)安全上高投資，是因?yàn)樗匾?、值得投資。但如果投資的價(jià)值高于保護(hù)的價(jià)值，還值得嗎？因此，網(wǎng)絡(luò)安全是相對的，是相對安全。相對的含意是說，沒有絕對的安全；另一方面是說，是否安全不僅取決于安全技術(shù)，還要看被保護(hù)的價(jià)值。正如荒山野地里的茅屋，簡陋的草木門是安全的；銀行金庫層層鋼門鐵網(wǎng)，但它是不安全的。這是現(xiàn)實(shí)網(wǎng)絡(luò)安全應(yīng)用中安全理念的另一個(gè)側(cè)面。下一頁返回7.1網(wǎng)絡(luò)安全綜述網(wǎng)絡(luò)安全是網(wǎng)絡(luò)應(yīng)用的前提，既然如此重要，應(yīng)用中我們?nèi)绾螐目傮w上把握，全面考量，制定整體的安全策略呢？或者說，整體上看網(wǎng)絡(luò)安全分哪些方面？有哪些防御技術(shù)？這是我們首先應(yīng)該考慮的。面對面廣高深、繁多零亂的網(wǎng)絡(luò)安全理論與技術(shù)，學(xué)習(xí)中我們應(yīng)從何開始？縱觀整體、把握主題是必需的。從根本上說，網(wǎng)絡(luò)安全是保護(hù)網(wǎng)絡(luò)實(shí)體的。被保護(hù)的網(wǎng)絡(luò)實(shí)體是多方面的，可以是主機(jī)、內(nèi)部網(wǎng)絡(luò)，也可以是傳輸中的數(shù)據(jù)單元、主機(jī)上的數(shù)據(jù)文件及運(yùn)行的應(yīng)用系統(tǒng)。上一頁下一頁返回7.1網(wǎng)絡(luò)安全綜述這些實(shí)體受到安全威脅的成因有兩個(gè)方面，一些是因?yàn)樵诰W(wǎng)絡(luò)傳輸過程中受到攻擊，如數(shù)據(jù)在傳輸過程中被截獲、篡改，相應(yīng)的應(yīng)該有傳輸安全措施；另一些實(shí)體并沒有在網(wǎng)絡(luò)上傳輸，但因?qū)嶓w處在網(wǎng)絡(luò)環(huán)境中受到攻擊，如網(wǎng)絡(luò)中的主機(jī)、應(yīng)用系統(tǒng)或內(nèi)部網(wǎng)絡(luò)，對這種情況應(yīng)該有系統(tǒng)安全保護(hù)；對于一些開放服務(wù)的系統(tǒng)和資源實(shí)體還要進(jìn)行訪問控制，以防止非法訪問。正如社會(huì)中的實(shí)體，如果家是安全的、出行是安全的、來訪是合法的人等環(huán)節(jié)是安全的，我們就是安全的。與此相似，保護(hù)網(wǎng)絡(luò)安全，就要保護(hù)各個(gè)環(huán)節(jié)上的安全。系統(tǒng)安全、傳輸安全、訪問安全是網(wǎng)絡(luò)安全的重要環(huán)節(jié)。上一頁下一頁返回7.1網(wǎng)絡(luò)安全綜述７.１.２網(wǎng)絡(luò)安全的基本原理計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，即指計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改和泄露，確保系統(tǒng)能連續(xù)可靠、正常地運(yùn)行，使網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)網(wǎng)絡(luò)安全從其本質(zhì)上來講就是系統(tǒng)上的信息安全。計(jì)算機(jī)網(wǎng)絡(luò)安全涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多種學(xué)科。在ＩＳＯ７４９８－２中描述了開放系統(tǒng)互連安全的體系結(jié)構(gòu)，給出了網(wǎng)絡(luò)安全的目標(biāo)；提出設(shè)計(jì)安全的信息系統(tǒng)的基礎(chǔ)架構(gòu)中應(yīng)該包含５種安全服務(wù)（安全功能），規(guī)劃了實(shí)現(xiàn)這５種安全功能的８類安全機(jī)制。其中：上一頁下一頁返回7.1網(wǎng)絡(luò)安全綜述５種安全功能：鑒別服務(wù)、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴性；８類安全機(jī)制：加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)交換、業(yè)務(wù)流填充、路由控制、公證。１.網(wǎng)絡(luò)安全的目標(biāo)與威脅網(wǎng)絡(luò)安全的三個(gè)目標(biāo)是保護(hù)網(wǎng)絡(luò)實(shí)體的機(jī)密性、完整性和可用性。（１）機(jī)密性。只有發(fā)送者和接收者可以理解所傳遞的消息的內(nèi)容。因?yàn)楦`聽者可能截獲，因此消息需要進(jìn)行某種加密（數(shù)據(jù)隱藏），保證被截獲的消息不能夠被解密（數(shù)據(jù)理解）。秘密是安全通信術(shù)語的最直接的特性。當(dāng)然最好是通過保護(hù)防止信息被竊聽。機(jī)密性覆蓋信息的整個(gè)生命周期，在信息產(chǎn)生、傳輸、存儲(chǔ)的全過程中，都必須保證其機(jī)密性。上一頁下一頁返回7.1網(wǎng)絡(luò)安全綜述（２）完整性。完整性要保持通信的內(nèi)容在傳輸過程中沒有被惡意或者無意更改。不能被偶然或蓄意地進(jìn)行刪除、修改、偽造、亂序、重放、插入等操作，防止信息被破壞或丟失。完整性與機(jī)密性不同，機(jī)密性要求信息不被泄露給未授權(quán)的實(shí)體，而完整性則要求信息不致受到各種原因的破壞。影響完整性的因素包括客觀因素和人為因素，前者包括各種設(shè)備故障、通信中的干擾源等，后者包括故意人為攻擊、計(jì)算機(jī)病毒等。（３）可用性。網(wǎng)絡(luò)系統(tǒng)最基本的功能是向用戶提供服務(wù)。可用性要求網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按需求使用，并且當(dāng)網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí)仍能為授權(quán)用戶提供有效服務(wù)?？捎眯灾饕脕砗饬烤W(wǎng)絡(luò)系統(tǒng)面向用戶的安全性能。上一頁下一頁返回7.1網(wǎng)絡(luò)安全綜述最常見的威脅可用性的攻擊方式是拒絕服務(wù)（Ｄｅｎｉａｌｏｆｓｅｒｖｉｃｅ，ＤｏＳ）和分布式拒絕服務(wù)（ｄｉｓｔｒｉｂｕｔｅｄｄｅｎｉａｌｏｆｓｅｒｖｉｃｅ，ＤＤｏＳ）。攻擊者向因特網(wǎng)上的服務(wù)器不停地發(fā)送大量分組，使因特網(wǎng)或服務(wù)器資源耗盡，無法提供正常服務(wù)，這種攻擊被稱為拒絕服務(wù)。若集結(jié)了因特網(wǎng)上成百上千的主機(jī)集中攻擊一個(gè)服務(wù)器，即為分布式拒絕服務(wù)。對網(wǎng)絡(luò)安全目標(biāo)的威脅主要有竊聽、中斷、篡改、偽造，如圖７－１所示。２.安全服務(wù)為實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)，應(yīng)對潛在的安全威脅，在計(jì)算機(jī)網(wǎng)絡(luò)中需要提供以下基本的安全功能，或安全服務(wù)。上一頁下一頁返回7.1網(wǎng)絡(luò)安全綜述（１）機(jī)密性服務(wù)：確保計(jì)算機(jī)系統(tǒng)中的信息或網(wǎng)絡(luò)傳輸?shù)男畔⒉粫?huì)泄露給非授權(quán)用戶。這是計(jì)算機(jī)網(wǎng)絡(luò)中最基本的安全服務(wù)。（２）完整性服務(wù)：確保計(jì)算機(jī)系統(tǒng)中的信息或網(wǎng)絡(luò)傳輸?shù)男畔⒉槐环鞘跈?quán)用戶篡改或偽造。后者要求對報(bào)文源進(jìn)行鑒別。（３）實(shí)體鑒別服務(wù)：通信實(shí)體能夠驗(yàn)證對端實(shí)體的真實(shí)身份，確保不會(huì)與冒充者進(jìn)行通信。它提供通信中的對等實(shí)體和數(shù)據(jù)源的鑒別功能，這是授權(quán)訪問的基礎(chǔ)。面對面的人類交流通過視覺識(shí)別很容易地解決了這個(gè)問題。但是當(dāng)通過媒介來進(jìn)行通信時(shí)，由于雙方不能夠看見對方，身份認(rèn)證就變得很重要且不那么簡單了。上一頁下一頁返回7.1網(wǎng)絡(luò)安全綜述（４）不可否認(rèn)性服務(wù)：防止發(fā)送方或接收方否認(rèn)傳輸信息或接收過某信息。這是電子商務(wù)中非常重要的安全服務(wù)。（５）訪問控制服務(wù)：系統(tǒng)提供限制和控制不同實(shí)體對信息資源或其他系統(tǒng)資源進(jìn)行訪問的功能。系統(tǒng)必須在鑒別實(shí)體身份的基礎(chǔ)上對實(shí)體的權(quán)限進(jìn)行控制。（６）可用性服務(wù)：確保授權(quán)用戶能夠正常訪問系統(tǒng)信息或資源。很多攻擊都會(huì)導(dǎo)致系統(tǒng)可用性的損失，但拒絕服務(wù)攻擊是可用性的最直接的威脅。３.安全機(jī)制安全機(jī)制即安全服務(wù)的實(shí)現(xiàn)方法。安全機(jī)制或安全機(jī)制的組合可以提供安全服務(wù)，一種安全機(jī)制也可以被應(yīng)用于一種或多種的安全服務(wù)中。主要的安全機(jī)制有以下幾種。上一頁下一頁返回7.1網(wǎng)絡(luò)安全綜述（１）加密：加密機(jī)制可實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)傳輸?shù)臋C(jī)密性。（２）數(shù)字簽名：可以實(shí)現(xiàn)實(shí)體鑒別、完整性、不可否認(rèn)性。（３）訪問控制：與實(shí)體鑒定配合，可實(shí)現(xiàn)授權(quán)服務(wù)，防止用戶越權(quán)或非授權(quán)用戶訪問資源。（４）完整性鑒別：能夠鑒定數(shù)據(jù)是否被篡改或偽造，實(shí)現(xiàn)數(shù)據(jù)完整性服務(wù)。（５）身份鑒別：身份鑒別機(jī)制是指收發(fā)雙方以交換信息的方式來確認(rèn)實(shí)體身份的機(jī)制。通常用于身份鑒別的技術(shù)有口令技術(shù)和密碼技術(shù)。（６）流量填充：流量填充機(jī)制的實(shí)現(xiàn)方法是在數(shù)據(jù)流中嵌入一些虛假信息，從而阻止攻擊者使用流量分析進(jìn)行攻擊。上一頁下一頁返回7.1網(wǎng)絡(luò)安全綜述（７）路由控制：路由控制機(jī)制給信息的發(fā)送者提供了一種選擇指定路由的功能，以避開攻擊者保證數(shù)據(jù)的安全。（８）公證：公證機(jī)制是指選擇一個(gè)雙方都信任的第三方作仲裁以鑒定實(shí)體誠信。這要求所有需要公證服務(wù)的通信數(shù)據(jù)都必須經(jīng)過公證機(jī)構(gòu)來轉(zhuǎn)送，以確保公證機(jī)構(gòu)能掌握必要的信息，供以后仲裁使用。上一頁返回７.２網(wǎng)絡(luò)安全機(jī)制７.２.１加密機(jī)制加密是網(wǎng)絡(luò)安全的基本機(jī)制，加密是許多其他網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)。１.數(shù)據(jù)加密模型一般的數(shù)據(jù)加密模型如圖７－２所示。用戶Ａ向Ｂ發(fā)送明文Ｘ，但通過加密算法Ｅ運(yùn)算后，就得出密文Ｙ。圖中所示的加密和解密用的密鑰是一串秘密的字符串（或比特串）。明文通過加密算法變成密文的一般表示成Ｙ＝ＥＫＡ（Ｘ）。下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制在傳送過程中可能出現(xiàn)密文的截取者（或攻擊者、入侵者）。接收端利用解密算法Ｄ運(yùn)算和解密密鑰ＫＢ，解出明文Ｘ，Ｘ＝ＤＫ（Ｙ）。解密算法是加密算法的逆運(yùn)算。在進(jìn)行解密運(yùn)算時(shí)如果不使用事先約定好的密鑰就無法解出明文。加密密鑰和解密密鑰可以是一個(gè)，也可以不同。據(jù)此，加密可以分為對稱加密體制和非對稱密鑰加密體制（公鑰加密體制）。２.對稱密鑰密碼所謂對稱密鑰密碼，即加密密鑰與解密密鑰是相同的密碼。ＤＥＳ是對稱密碼中常用的數(shù)據(jù)加密標(biāo)準(zhǔn)。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制數(shù)據(jù)加密標(biāo)準(zhǔn)（ＤＥＳ）是美國國家標(biāo)準(zhǔn)局于１９７７年發(fā)布的對稱密鑰加密標(biāo)準(zhǔn)，１９９３年進(jìn)行了更新，ＩＳＯ曾將ＤＥＳ作為數(shù)據(jù)加密標(biāo)準(zhǔn)。ＤＥＳ用６４位密鑰加密明文數(shù)據(jù)。實(shí)際上，６４位密鑰中的８位是奇校驗(yàn)位（每８個(gè)字節(jié)中有１位校驗(yàn)位），因此ＤＥＳ密鑰有效長度是５６位。ＤＥＳ的目標(biāo)是：完全打亂數(shù)據(jù)和密鑰，以便使得密文的每一位依賴于數(shù)據(jù)的每一位和密鑰的每一位。通過好的算法，密文、原始數(shù)據(jù)和密鑰之間沒有任何相關(guān)性。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制圖７－３描述了ＤＥＳ的基本運(yùn)算。ＤＥＳ算法由兩個(gè)置換運(yùn)算（所有６４位進(jìn)行置換）和１６輪相同的運(yùn)算組成。每一輪運(yùn)算是相同的，用前一輪的輸出作為輸入。在每一輪，輸入的最右３２位移到輸出的最左３２位。在第ｉ輪，整個(gè)６４位輸入和４８位密鑰作為一個(gè)函數(shù)的輸入。該函數(shù)將４比特輸入數(shù)據(jù)塊擴(kuò)展為６比特?cái)?shù)據(jù)塊，同４８位密鑰Ｋｉ的擴(kuò)展的６位數(shù)據(jù)塊進(jìn)行異或操作，然后進(jìn)一步與明文的最左３２位進(jìn)行異或操作和置換操作。函數(shù)運(yùn)算結(jié)果的３２位作為該輪運(yùn)算輸出的最右３２位。如圖７－３所示。解密通過倒置算法運(yùn)算實(shí)現(xiàn)。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制３.公鑰密碼對稱密鑰加密體制最大的問題是如何保障接收方安全地收到密鑰，這需要一個(gè)安全通道，現(xiàn)實(shí)中實(shí)現(xiàn)的難度和代價(jià)都是很大的。為了克服這一缺點(diǎn)，１９７６年，斯坦福大學(xué)的研究人員Ｄｉｆｆｉｅ與Ｈｅｌｌｍａｎ提出了一種全新的方式，開創(chuàng)了公開密鑰密碼系統(tǒng)。公鑰密碼體制使用不同的加密密鑰與解密密鑰。公鑰密碼不僅可以用于加密，也可以用于鑒別和數(shù)字簽名，在網(wǎng)絡(luò)安全領(lǐng)域獲得了廣泛的應(yīng)用。目前最著名的公鑰密碼體制使用了美國三位科學(xué)家Ｒｉｖｅｓｔ，Ｓｈａｎｕｒ和Ａｄｌｅｍａｎ于１９７６年提出并在１９７８年正式發(fā)表的ＲＳＡ算法，它是基于數(shù)論中的大數(shù)分解問題的算法。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制公鑰密碼具有兩個(gè)不同的密鑰，加密密鑰（ｅｎｃｒｙｐｔｉｏｎｋｅｙ，即公鑰）ＰＫ是公開信息，而解密密鑰（ｄｅｃｒｙｐｔｉｏｎｋｅｙ，即私鑰）ＳＫ是需要保密的，因此私鑰也叫作秘密密鑰（ｓｅｃｒｅｔｋｅｙ）。公鑰密碼系統(tǒng)的加密和解密做法是這樣的：密鑰對產(chǎn)生器產(chǎn)生出接收者的一對密鑰，加密密鑰ＰＫ和解密密鑰ＰＫ；接收者將自己的公鑰向公眾公開；發(fā)送者發(fā)送數(shù)據(jù)時(shí)用接收者的公鑰加密，可得到密文并發(fā)送出去；接收者用自己的私鑰解密，可還原出明文。因?yàn)榻饷苊荑€是私密的，即使第三者在傳輸過程中獲得了密文，缺少解密密鑰也不能解密。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制７.２.２鑒別機(jī)制加密解決的是私密性問題，只是網(wǎng)絡(luò)安全的內(nèi)容之一，網(wǎng)絡(luò)安全還包括其他方面的安全。有的時(shí)候并不需要私密，但要保證完整性，比如說通知、廣告，這就需要進(jìn)行完整性鑒別。報(bào)文鑒別就是對報(bào)文完整性的鑒定。其實(shí)，比通信內(nèi)容私密性和完整性更重要的問題是確認(rèn)在與誰通信，這是通信的前提。也就是說，要認(rèn)證對方的真實(shí)性、進(jìn)行身份鑒別，即身份認(rèn)證；在另外一些時(shí)候，不但要保證完整性，保證對方通信主體的真實(shí)性，還需要綁定通信內(nèi)容和通信主體，能鑒定某報(bào)文就是某實(shí)體發(fā)送的，以防止抵賴，即抵賴鑒別，比如我們寫下的借條或收據(jù)。數(shù)字簽名正是由此而生，它能讓報(bào)文的接收者鑒別報(bào)文的真?zhèn)?。上一頁下一頁返回?２網(wǎng)絡(luò)安全機(jī)制１.報(bào)文鑒別報(bào)文的完整性是報(bào)文可用性的前提，為了讓接收者能認(rèn)定收到的報(bào)文是否被篡改、偽造以及報(bào)文是否真正源自發(fā)送方，報(bào)文的完整性鑒別是必要的。報(bào)文鑒別由此而生。前面學(xué)習(xí)的加密技術(shù)通常也能達(dá)到報(bào)文鑒別的目的，因?yàn)榧用芎蟊淮鄹幕騻卧斓膱?bào)文解密后通常無法得到可理解的內(nèi)容，但對整個(gè)報(bào)文加密的開銷往往很大。另外像通知、廣告之類的信息，不需要私密，但要保證數(shù)據(jù)不被修改、破壞，顯然用加密的辦法保證完整性不適合。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制通常用報(bào)文摘要ＭＤ（ＭｅｓｓａｇｅＤｉｇｅｓｔ）進(jìn)行報(bào)文鑒別更簡單、有效。通過一定的算法，從長長的報(bào)文中摘取固定長度的子集，該子集我們稱之為報(bào)文摘要。如果報(bào)文摘要與報(bào)文一一對應(yīng)，該報(bào)文摘要就可認(rèn)定為是報(bào)文的指紋，體現(xiàn)著報(bào)文的特征。生成報(bào)文摘要的算法可以由散列函數(shù)（ｈａｓｈｆｕｎｃｔｉｏｎ，哈希函數(shù)）實(shí)現(xiàn)。使用報(bào)文摘要進(jìn)行報(bào)文鑒定的原理過程如圖７－４所示。（１）發(fā)送方把長報(bào)文ｍ經(jīng)過報(bào)文摘要算法運(yùn)算后得出短的固定長度的報(bào)文摘要Ｈ（ｍ）。（２）發(fā)送方對Ｈ進(jìn)行加密，得到ＥＫ（Ｈ（ｍ）），并將其附加在報(bào)文ｍ后面發(fā)送出去。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制（３）接收方把收到的ＥＫ（Ｈ（ｍ））解密還原出Ｈ（ｍ）。再用收到的報(bào)文與發(fā)送方進(jìn)行同樣的摘要運(yùn)算，看結(jié)果是否與收到的Ｈ（ｍ）相同，從而判斷報(bào)文在傳輸過程中是否被篡改?？梢娪眉用軋?bào)文摘要要比加密報(bào)文簡單，但效果是一樣的。報(bào)文摘要是用多對一的散列函數(shù)實(shí)現(xiàn)的，要抵御攻擊者的惡意篡改，報(bào)文摘要算法必須滿足以下條件：（１）任意給定一個(gè)報(bào)文摘要值ｘ，若想找到一個(gè)報(bào)文ｙ使得Ｈ（ｙ）＝ｘ，則在計(jì)算上是不可行的；（２）若想找到任意兩個(gè)報(bào)文ｘ和ｙ，使得Ｈ（ｙ）＝Ｈ（ｘ），則在計(jì)算上是不可行的。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制也就是說，若（ｘ，Ｈ（ｘ）））是發(fā)送方產(chǎn)生的報(bào)文和報(bào)文摘要對，則攻擊者不可能偽造出另一個(gè)報(bào)文ｙ，使得ｙ與ｘ具有同樣的報(bào)文摘要。滿足以上條件的散列函數(shù)稱為密碼散列函數(shù)或安全散列函數(shù)，因?yàn)闊o法把報(bào)文摘要還原為原文，可以把密碼散列函數(shù)運(yùn)算看成是沒有密鑰的加密運(yùn)算。目前廣泛應(yīng)用的報(bào)文摘要算法有ＭＤ５［ＲＦＣ１３２１］和安全散列算法Ⅰ（ＳｅｃｕｒｅＨａｓｈＡｌ?ｇｏｒｉｔｈｍ，ＳＨＡ－Ⅰ）。ＭＤ５輸出１２８位的摘要，ＳＨＡ－Ｉ輸出１６０位的摘要。ＳＨＡ－Ｉ比ＭＤ５更安全些，但計(jì)算起來比ＭＤ５要慢。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制２.身份認(rèn)證實(shí)體鑒別即實(shí)體認(rèn)證就是通信一方驗(yàn)證另一方身份的技術(shù)。實(shí)體可以是人、進(jìn)程等。這里僅討論如何鑒別通信對端實(shí)體的身份，即驗(yàn)證正在通信的對方確實(shí)是所認(rèn)為的通信實(shí)體，而不是其他的假冒者。進(jìn)行通信實(shí)體鑒別需要使用鑒別協(xié)議。鑒別協(xié)議通常在兩個(gè)通信實(shí)體之間傳輸實(shí)際數(shù)據(jù)或者進(jìn)行訪問控制之前運(yùn)行，是很多安全協(xié)議的重要組成部分或前奏。一種最簡單的實(shí)體鑒別方法就是利用用戶名／口令。但直接在網(wǎng)絡(luò)中傳輸用戶名／口令是不安全的，因?yàn)楣粽呖梢栽诰W(wǎng)絡(luò)上截獲該用戶名／口令，因此在實(shí)體鑒別過程中需要使用加密技術(shù)。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制如圖７－５（ａ）所示，參與者Ａ向Ｂ發(fā)送有自己身份信息（例如，用戶名和口令）的報(bào)文，并且使用雙方共享的對稱密鑰ＫＡＢ進(jìn)行加密。Ｂ收到此報(bào)文后，用ＫＡＢ解密即可驗(yàn)證Ａ的身份。但不幸的是，這種簡單的鑒別方法具有明顯的漏洞。因?yàn)楣粽撸脧木W(wǎng)絡(luò)上截獲該報(bào)文后，完全不用破譯該報(bào)文而僅僅直接將該報(bào)文發(fā)送給Ｂ，就可以使Ｂ誤認(rèn)為Ｃ就是Ａ。這就是重放攻擊（ｒｅｐｌａｙａｔｔａｃｋ）。為了對付重放攻擊，可以使用不重?cái)?shù)（ｎｏｎｃｅ），即一個(gè)不重復(fù)使用的大隨機(jī)數(shù)，也稱為“一次一數(shù)”。圖７－５（ｂ）給出了使用不重?cái)?shù)進(jìn)行鑒別的過程。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制圖７－５（ｂ）中，Ａ首先用明文發(fā)送其身份和一個(gè)不重?cái)?shù)ＲＡ給Ｂ。接著Ｂ在響應(yīng)Ａ的報(bào)文中用共享的密鑰ＫＡＢ加密ＲＡ，并同時(shí)也給出了自己的不重?cái)?shù)ＲＢ。最后，Ａ再用加密的ＲＢ響應(yīng)Ｂ。Ａ和Ｂ分別通過驗(yàn)證對方返回的加密的不重?cái)?shù)實(shí)現(xiàn)雙向的身份鑒別。由于不重?cái)?shù)不能重復(fù)使用，攻擊者Ｃ無法利用重放攻擊來冒用Ａ或Ｂ的身份。當(dāng)然，使用公鑰加密算法也能實(shí)現(xiàn)身份認(rèn)證。為了防止重放攻擊，通信雙方可以利用自己的私鑰對不重?cái)?shù)加密進(jìn)行簽名，接收方用對方的公鑰來鑒別簽名的不重?cái)?shù)。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制３.數(shù)字簽名想一下吧，為什么借款人寫一個(gè)借條、簽上字，就能讓放款人放心？簽字能證明什么？達(dá)到什么效力？上述簽字能證明貸款人是誰；簽字還能防止放款人篡改或偽造；當(dāng)然，它還是讓借款人不能抵賴的證明。書信或文件是根據(jù)親筆簽名或印章來證明其真實(shí)性。但網(wǎng)絡(luò)中傳送的數(shù)字文檔如何簽名呢？如何才能實(shí)現(xiàn)生活中簽名的效果？這就要使用數(shù)字簽名。數(shù)字簽名必須保證能夠?qū)崿F(xiàn)以下三點(diǎn)功能：（１）接收者能夠核實(shí)發(fā)送者身份、鑒定發(fā)送實(shí)體，確信該報(bào)文的確是發(fā)送者發(fā)送的；上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制（２）接收者確信所收到的數(shù)據(jù)和發(fā)送者發(fā)送的完全一樣而沒有被篡改過；（３）發(fā)送者事后不能抵賴所發(fā)送的報(bào)文，對內(nèi)容負(fù)責(zé)，不可否認(rèn)，實(shí)現(xiàn)抵賴鑒定。現(xiàn)在已有多種實(shí)現(xiàn)數(shù)字簽名的方法。但采用公鑰算法要比采用對稱密鑰算法更容易實(shí)現(xiàn)，如圖７－６所示。下面就來介紹這種數(shù)字簽名。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制７.２.３公證機(jī)制１.密鑰分發(fā)對稱密鑰密碼學(xué)的一個(gè)缺點(diǎn)就是需要通信雙方共享一個(gè)秘密密鑰，雙方事先對密鑰達(dá)成一致。這時(shí)要解決兩個(gè)問題，一是如何認(rèn)證對方的真實(shí)性，二是如何將密鑰傳送給對方。這需要一個(gè)具有公信力的機(jī)構(gòu)來完成?？尚琶浇楸环Q為密鑰分發(fā)中心（ＫｅｙＤｉｓｔｒｉｂｕｔｉｏｎ－Ｃｅｎｔｅｒ，ＫＤＣ），它是一個(gè)獨(dú)立的可信網(wǎng)絡(luò)實(shí)體。假設(shè)Ａ與Ｂ應(yīng)用對稱密鑰密碼進(jìn)行通信。他們從未見面，這樣他們就不能夠提前商定共享秘密密鑰。那么如果他們只能夠通過網(wǎng)絡(luò)彼此通信，他們?nèi)绾螀f(xié)商秘密密鑰？現(xiàn)實(shí)中采用的解決方案是使用彼此都信任的密鑰分發(fā)中心。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制ＫＤＣ是一個(gè)服務(wù)器，它同每個(gè)注冊用戶共享不同的秘密對稱密鑰。這個(gè)密鑰可能是在用戶第一次注冊時(shí)在服務(wù)器手工設(shè)定的。ＫＤＣ知道每個(gè)用戶的秘密對稱密鑰，每個(gè)用戶可以通過這個(gè)秘密密鑰同ＫＤＣ進(jìn)行安全通信。下面我們看一下共信ＫＤＣ的兩個(gè)用戶如何在ＫＤＣ的協(xié)調(diào)下實(shí)現(xiàn)對稱加密的安全通信。如圖７－７所示，假設(shè)Ａ和Ｂ是ＫＤＣ的注冊用戶。他們注冊了與ＫＤＣ共享的密鑰ＡＫＤＣ和Ｂ－ＫＤＣ，以便同ＫＤＣ進(jìn)行安全通信。Ａ先進(jìn)行第一步，密鑰分發(fā)的過程如圖７－７所示。①用戶Ａ向ＫＤＣ發(fā)送消息，說明她想同Ｂ進(jìn)行通信。Ａ用密鑰Ａ－ＫＤＣ加密此消息，將得到密文ＥＡ－ＫＤＣ（Ａ，Ｂ）發(fā)送給ＫＤＣ服務(wù)器。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制②ＫＤＣ用隨機(jī)數(shù)產(chǎn)生一個(gè)“一次一密”密鑰Ｒ１供Ａ和Ｂ這次的通信使用，然后向Ａ發(fā)送應(yīng)答報(bào)文。這個(gè)回答報(bào)文用Ａ的密鑰Ａ－ＫＤＣ加密，報(bào)文中有密鑰Ｒ１和請Ａ轉(zhuǎn)發(fā)給Ｂ的報(bào)文ＥＢ－ＫＤＣ（Ａ，Ｒ１），但報(bào)文ＥＢ－ＫＤＣ（Ａ，Ｒ１）是用Ｂ的私有主密鑰Ｂ－ＫＤＣ加密的，因此Ａ無法知道報(bào)文ＥＢ－ＫＤＣ（Ａ，Ｒ１）的內(nèi)容（Ａ沒有Ｂ的密鑰Ｂ－ＫＤＣ，也不需要知道此報(bào)文的內(nèi)容）。③當(dāng)Ｂ收到Ａ轉(zhuǎn)發(fā)的報(bào)文ＥＢ－ＫＤＣ（Ａ，Ｒ１），并使用自己的密鑰Ｂ－ＫＤＣ解密后，就知道Ａ要和他通信，同時(shí)也知道了與Ａ通信所使用的密鑰為Ｒ１?？梢姡荑€Ｒ１及用戶Ａ真實(shí)性是ＫＤＣ告訴用戶Ｂ的，因?yàn)橛脩簦滦湃危耍模弥行?，所以也就相信Ａ是真?shí)的了。此后，用戶Ａ與Ｂ就可以使用密鑰Ｒ１進(jìn)行本次通信會(huì)話了。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制２.公鑰認(rèn)證公鑰密碼體制一個(gè)非常重要的特性就是，通信的兩個(gè)實(shí)體可以不用共享密鑰。發(fā)送方給接收方發(fā)送消息，只需要用接收者的公鑰就可以加密消息，然后發(fā)送。而接收者公鑰是可以公告給大眾的，因此，這個(gè)過程不存在保密的問題，也就容易實(shí)現(xiàn)。但你想過嗎？接收者聲稱他的公鑰是ＰＫ，你就能相信嗎？比如，生活中有人號(hào)稱是警察，要借名執(zhí)法扣你的財(cái)物，你就給他嗎？不給可能違法，給了可能就上當(dāng)了。所以我們的第一質(zhì)疑是“他真的是警察嗎”，核實(shí)他的警察證。之所以相信警察證書是因?yàn)樽C書是公信機(jī)構(gòu)頒發(fā)的，經(jīng)過了公信機(jī)構(gòu)的簽名（蓋章），就綁定了用戶的身份和屬性。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制如何驗(yàn)證所發(fā)布的公鑰就是某實(shí)體真正的公鑰仍然是一個(gè)問題。正像警察不是自稱的，加密體制中的公鑰也不能由自己聲明。安全獲得和證明某人正確的公共密鑰的問題也需要一個(gè)有公信力的機(jī)構(gòu)來幫助。實(shí)例的公鑰必須由公信機(jī)構(gòu)頒發(fā)，才會(huì)獲得公眾認(rèn)可、避免欺詐。這個(gè)可信機(jī)構(gòu)被稱為認(rèn)證中心（ｃｅｒｔｉｆｉｃａｔｉｏｎａｕｔｈｏｒｉｔｙ，ＣＡ）。由政府出資建立。認(rèn)證中心ＣＡ負(fù)責(zé)將公鑰和特定實(shí)體進(jìn)行綁定，它的工作是證明身份的真實(shí)性和發(fā)放證書。對于一個(gè)已認(rèn)證的公鑰，如果用戶信任ＣＡ，那么他也就相信了實(shí)體的真實(shí)性及其所擁有的公鑰。具體地說，ＣＡ具有以下作用。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制（１）ＣＡ驗(yàn)證實(shí)體（個(gè)人、路由器等）的身份。如何進(jìn)行認(rèn)證沒有固定的過程。當(dāng)同ＣＡ打交道時(shí)，一個(gè)人必須相信ＣＡ能夠進(jìn)行合適而嚴(yán)格的身份驗(yàn)證。（２）一旦ＣＡ驗(yàn)證了實(shí)體的身份，ＣＡ就可以產(chǎn)生一個(gè)證書，將這個(gè)公鑰與身份進(jìn)行綁定。證書中包括公鑰和關(guān)于公鑰擁有者的全球唯一的標(biāo)識(shí)信息（例如，人的名字或ＩＰ地址）。（３）這個(gè)證書由認(rèn)證中心進(jìn)行簽名。用認(rèn)證中心的私鑰對證書加密，實(shí)現(xiàn)數(shù)字簽名（即公章），認(rèn)證中心的公鑰是眾所周知的，所以任何用戶都可以驗(yàn)證證書的真?zhèn)巍Ｒ粋€(gè)公共密鑰被認(rèn)證了，其證書就可以從任何地方分發(fā)出去，包括一個(gè)公共密鑰服務(wù)器、一個(gè)網(wǎng)頁、郵件或者一張磁盤上。用戶獲得ＣＡ證書的流程如圖７－８所示。上一頁下一頁返回７.２網(wǎng)絡(luò)安全機(jī)制為了使ＣＡ具有統(tǒng)一的格式，ＩＴＵ－Ｔ制定了Ｘ.５０９協(xié)議標(biāo)準(zhǔn)，用來描述證書的結(jié)構(gòu)。在Ｘ.５０９中規(guī)定要使用ＡＳＮ.１。ＩＥＴＦ在小修訂的基礎(chǔ)上引用了Ｘ.５０９，并在ＲＦＣ３２８０中給出了因特網(wǎng)Ｘ.５０９公鑰基礎(chǔ)結(jié)構(gòu)ＰＫＩ（ＰｕｂｌｉｃＫｅｙＩｎｆｒａｓｔｒｕｃｔｕｒｅ）。上一頁返回７.３訪問安全訪問安全是網(wǎng)絡(luò)安全的重要環(huán)節(jié)之一。訪問控制是網(wǎng)絡(luò)用戶區(qū)別使用、有度使用主機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全機(jī)制。７.３.１訪問控制的概念及原理１.訪問控制的概念訪問控制（ＡｃｃｅｓｓＣｏｎｔｒｏｌ）是按用戶身份及其所歸屬的某項(xiàng)定義組來限制用戶對某些信息項(xiàng)的訪問，或限制對某些控制功能的使用的一種技術(shù)。防止對任何資源進(jìn)行未授權(quán)的訪問，從而使計(jì)算機(jī)系統(tǒng)在合法的范圍內(nèi)使用。訪問控制是系統(tǒng)保密性、完整性、可用性和合法使用性的重要基礎(chǔ)，是網(wǎng)絡(luò)安全防范和資源保護(hù)的關(guān)鍵策略之一。下一頁返回７.３訪問安全訪問控制包括主體、客體和控制策略三個(gè)要素。（１）主體（Ｓｕｂｊｅｃｔ）指訪問活動(dòng)的發(fā)起者?？赡苁怯脩艋虼碛脩魣?zhí)行操作的進(jìn)程、服務(wù)和設(shè)備等。（２）客體（Ｏｂｊｅｃｔ）是指被訪問資源的實(shí)體。所有可以被操作的信息、資源、對象都可以是客體。（３）控制策略（Ａｔｔｒｉｂｕｔｉｏｎ）是主體對客體的相關(guān)訪問規(guī)則集合，即屬性集合。訪問策略體現(xiàn)了一種授權(quán)行為，也是客體對主體某些操作行為的默認(rèn)。２.訪問控制的功能訪問控制的功能有：防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源；允許合法用戶訪問受保護(hù)的網(wǎng)絡(luò)資源；防止合法的用戶對受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。上一頁下一頁返回７.３訪問安全３.訪問控制的原理訪問控制首先需要對用戶身份的合法性進(jìn)行驗(yàn)證，同時(shí)利用控制策略進(jìn)行選用和管理工作。當(dāng)用戶身份和訪問權(quán)限驗(yàn)證之后，還需要對越權(quán)操作進(jìn)行監(jiān)控。因此，訪問控制的內(nèi)容包括認(rèn)證、控制策略實(shí)現(xiàn)和安全審計(jì)。７.３.２訪問控制的類型主要的訪問控制類型有３種模式：自主訪問控制（ＤＡＣ）、強(qiáng)制訪問控制（ＭＡＣ）和基于角色訪問控制（ＲＢＡＣ）。自主訪問控制，是指用戶有權(quán)對自身所創(chuàng)建的訪問對象（文件、數(shù)據(jù)表等）進(jìn)行訪問，并可將這些對象的訪問權(quán)授予其他用戶和從授予權(quán)限的用戶收回其訪問權(quán)限。上一頁下一頁返回７.３訪問安全強(qiáng)制訪問控制，是指由系統(tǒng)（通過專門設(shè)置的系統(tǒng)安全員）對用戶所創(chuàng)建的對象進(jìn)行統(tǒng)一的強(qiáng)制性控制，按照規(guī)定的規(guī)則決定哪些用戶可以對哪些對象進(jìn)行什么樣的操作系統(tǒng)類型的訪問。即使是創(chuàng)建者用戶，在創(chuàng)建一個(gè)對象后，也可能無權(quán)訪問該對象。每個(gè)用戶及文件都被賦予一定的安全級(jí)別，只有系統(tǒng)管理員才可確定用戶和組的訪問權(quán)限，用戶不能改變自身或任何客體的安全級(jí)別。系統(tǒng)通過比較用戶和訪問文件的安全級(jí)別，決定用戶是否可以訪問該文件?；诮巧脑L問控制，使權(quán)限與角色相關(guān)聯(lián)，用戶通過成為適當(dāng)角色的成員而得到其角色的權(quán)限。可極大地簡化權(quán)限管理。角色（Ｒｏｌｅ）是一定數(shù)量的權(quán)限的集合，指完成一項(xiàng)任務(wù)必須訪問的資源及相應(yīng)操作權(quán)限的集合。角色作為一個(gè)用戶與權(quán)限的代理層，表示為權(quán)限和用戶的關(guān)系，所有的授權(quán)應(yīng)該給予角色而不是直接給用戶或用戶組。上一頁下一頁返回７.３訪問安全７.３.３訪問控制的安全策略訪問控制的安全策略是指在某個(gè)自治區(qū)域內(nèi)，用于所有與安全相關(guān)活動(dòng)的一套訪問控制規(guī)則。訪問控制的安全策略有三種類型：基于身份的安全策略、基于規(guī)則的安全策略和綜合訪問控制策略。１.安全策略實(shí)施原則（１）最小特權(quán)原則。在主體執(zhí)行操作時(shí)，按照主體所需權(quán)利的最小化原則分配給主體權(quán)力。（２）最小泄露原則。主體執(zhí)行任務(wù)時(shí)，按其所需最小信息分配權(quán)限，以防泄密。上一頁下一頁返回７.３訪問安全（３）多級(jí)安全策略。主體和客體之間的數(shù)據(jù)流向和權(quán)限控制，按照安全級(jí)別的絕密（ＴＳ）、秘密（Ｓ）、機(jī)密（Ｃ）、限制（ＲＳ）和無級(jí)別（Ｕ）５級(jí)來劃分。其優(yōu)點(diǎn)是避免敏感信息擴(kuò)散。具有安全級(jí)別的信息資源，只有高于安全級(jí)別的主體才可訪問。在訪問控制實(shí)現(xiàn)方面，實(shí)現(xiàn)的安全策略包括８個(gè)方面：入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限限制、目錄級(jí)安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和結(jié)點(diǎn)的安全控制及防火墻控制。２.基于身份的安全策略基于身份的安全策略，主要是過濾主體對數(shù)據(jù)或資源的訪問。只有通過認(rèn)證的主體才可以正常使用客體的資源。這種安全策略包括基于個(gè)人的安全策略和基于組的安全策略。上一頁下一頁返回７.３訪問安全（１）基于個(gè)人的安全策略：是以用戶個(gè)人為中心建立的策略，主要由一些控制列表組成。這些列表針對特定的客體，限定了不同用戶所能實(shí)現(xiàn)的不同安全策略的操作行為。（２）基于組的安全策略：是基于個(gè)人策略的發(fā)展與擴(kuò)充，主要指系統(tǒng)對一些用戶使用同樣的訪問控制規(guī)則，訪問同樣的客體。３.基于規(guī)則的安全策略在基于規(guī)則的安全策略系統(tǒng)中，所有數(shù)據(jù)和資源都標(biāo)注了安全標(biāo)記，用戶的活動(dòng)進(jìn)程與其原發(fā)者具有相同的安全標(biāo)記。系統(tǒng)通過比較用戶的安全級(jí)別和客體資源的安全級(jí)別，判斷是否允許用戶進(jìn)行訪問。這種安全策略一般具有依賴性與敏感性。上一頁下一頁返回７.３訪問安全４.綜合訪問控制策略綜合訪問控制策略（ＨＡＣ）繼承和吸取了多種主流訪問控制技術(shù)的優(yōu)點(diǎn)，有效地解決了信息安全領(lǐng)域的訪問控制問題，保護(hù)了數(shù)據(jù)的保密性和完整性，保證授權(quán)主體能訪問客體和拒絕非授權(quán)訪問。ＨＡＣ具有良好的靈活性、可維護(hù)性、可管理性、更細(xì)粒度的訪問控制性和更高的安全性，為信息系統(tǒng)設(shè)計(jì)人員和開發(fā)人員提供了訪問控制安全功能的解決方案。上一頁下一頁返回７.３訪問安全綜合訪問控制策略主要包括以下幾個(gè)方面。（１）入網(wǎng)訪問控制。入網(wǎng)訪問控制是網(wǎng)絡(luò)訪問的第一層訪問控制。對用戶可規(guī)定所能登入到的服務(wù)器及獲取的網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和登入入網(wǎng)的工作站點(diǎn)。用戶的入網(wǎng)訪問控制分為用戶名和口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的默認(rèn)限制檢查。該用戶若有任何一個(gè)環(huán)節(jié)檢查未通過，就無法登入網(wǎng)絡(luò)進(jìn)行訪問。（２）網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)的權(quán)限控制是防止網(wǎng)絡(luò)非法操作而采取的一種安全保護(hù)措施。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限通常用一個(gè)訪問控制列表來描述。通常有三類用戶：系統(tǒng)管理用戶、一般用戶、審計(jì)用戶。上一頁下一頁返回７.３訪問安全（３）目錄級(jí)安全控制。目錄級(jí)安全控制主要是為了控制用戶對目錄、文件和設(shè)備的訪問，或指定對目錄下的子目錄和文件的使用權(quán)限。用戶在目錄一級(jí)制定的權(quán)限對所有目錄下的文件仍然有效，還可進(jìn)一步指定子目錄的權(quán)限。一個(gè)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)為用戶分配適當(dāng)?shù)脑L問權(quán)限，以控制用戶對服務(wù)器資源的訪問，進(jìn)一步強(qiáng)化網(wǎng)絡(luò)和服務(wù)器的安全。（４）屬性安全控制。屬性安全控制可將特定的屬性與網(wǎng)絡(luò)服務(wù)器的文件及目錄網(wǎng)絡(luò)設(shè)備相關(guān)聯(lián)。在權(quán)限安全的基礎(chǔ)上，對屬性安全提供更進(jìn)一步的安全控制。網(wǎng)絡(luò)上的資源都應(yīng)先標(biāo)示其安全屬性，將用戶對應(yīng)網(wǎng)絡(luò)資源的訪問權(quán)限存入訪問控制列表中，記錄用戶對網(wǎng)絡(luò)資源的訪問能力，以便進(jìn)行訪問控制。上一頁下一頁返回７.３訪問安全屬性配置的權(quán)限包括：向某個(gè)文件寫數(shù)據(jù)、復(fù)制一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。安全屬性可以保護(hù)重要的目錄和文件，防止用戶越權(quán)對目錄和文件的查看、刪除和修改等。（５）網(wǎng)絡(luò)服務(wù)器安全控制。網(wǎng)絡(luò)服務(wù)器安全控制允許通過服務(wù)器控制臺(tái)執(zhí)行的安全控制操作，包括：用戶利用控制臺(tái)裝載和卸載操作模塊、安裝和刪除軟件等。操作網(wǎng)絡(luò)服務(wù)器的安全控制還包括設(shè)置口令鎖定服務(wù)器控制臺(tái)，主要防止非法用戶修改、刪除重要信息。另外，系統(tǒng)管理員還可通過設(shè)定服務(wù)器的登入時(shí)間限制、非法訪問者檢測以及關(guān)閉的時(shí)間間隔等措施，對網(wǎng)絡(luò)服務(wù)器進(jìn)行多方位地安全控制。上一頁下一頁返回７.３訪問安全（６）網(wǎng)絡(luò)監(jiān)控和鎖定控制。在網(wǎng)絡(luò)系統(tǒng)中，通常服務(wù)器自動(dòng)記錄用戶對網(wǎng)絡(luò)資源的訪問，如有非法的網(wǎng)絡(luò)訪問，服務(wù)器將以圖形、文字或聲音等形式向網(wǎng)絡(luò)管理員報(bào)警，以便引起警覺進(jìn)行審查。對試圖登入網(wǎng)絡(luò)者，網(wǎng)絡(luò)服務(wù)器將自動(dòng)記錄企圖登入網(wǎng)絡(luò)的次數(shù)，當(dāng)非法訪問的次數(shù)達(dá)到設(shè)定值時(shí)，就會(huì)將該用戶的賬戶自動(dòng)鎖定并進(jìn)行記載。（７）網(wǎng)絡(luò)端口和結(jié)點(diǎn)的安全控制。網(wǎng)絡(luò)中服務(wù)器的端口常用自動(dòng)回復(fù)器、靜默調(diào)制解調(diào)器等安全設(shè)施進(jìn)行保護(hù)，并以加密的形式來識(shí)別結(jié)點(diǎn)的身份。自動(dòng)回復(fù)器主要用于防范假冒合法用戶，靜默調(diào)制解調(diào)器用于防范黑客利用自動(dòng)撥號(hào)程序進(jìn)行網(wǎng)絡(luò)攻擊。還應(yīng)經(jīng)常對服務(wù)器端和用戶端進(jìn)行安全控制，如通過驗(yàn)證器檢測用戶真實(shí)身份，然后用戶端和服務(wù)器再進(jìn)行相互驗(yàn)證。上一頁返回７.４傳輸安全７.４.１因特網(wǎng)的安全協(xié)議前面幾節(jié)所討論的網(wǎng)絡(luò)安全原理都可用在因特網(wǎng)中，目前在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層都有相應(yīng)的網(wǎng)絡(luò)安全協(xié)議。下面分別介紹這些協(xié)議的要點(diǎn)。１.網(wǎng)絡(luò)層安全協(xié)議ＩＰＳｅｃＩＰＳｅｃ是為因特網(wǎng)網(wǎng)絡(luò)層提供安全服務(wù)的一組協(xié)議，其標(biāo)準(zhǔn)是ＲＦＣ２４０１－２４１１。這個(gè)協(xié)議相當(dāng)復(fù)雜，在此僅介紹其最基本的原理。ＩＰＳｅｃ可以以兩種不同的方式運(yùn)行：傳輸方式和隧道方式，如圖７－９所示。下一頁返回７.４傳輸安全在傳輸方式下，ＩＰＳｅｃ保護(hù)傳輸層交給網(wǎng)絡(luò)層傳遞的內(nèi)容，即只保護(hù)ＩＰ數(shù)據(jù)報(bào)的有效載荷，而不保護(hù)ＩＰ數(shù)據(jù)報(bào)的首部。傳輸方式通常用于主機(jī)到主機(jī)的數(shù)據(jù)保護(hù)。發(fā)送主機(jī)使用ＩＰＳｅｃ加密來自傳輸層的有效載荷，并封裝成ＩＰ數(shù)據(jù)報(bào)進(jìn)行傳輸。接收主機(jī)使用ＩＰＳｅｃ解密ＩＰ數(shù)據(jù)報(bào)，并將它傳遞給傳輸層。使用ＩＰＳｅｃ時(shí)還可以增加鑒別功能，或僅僅進(jìn)行鑒別而不加密。在隧道方式下，ＩＰＳｅｃ保護(hù)包括ＩＰ首部在內(nèi)的整個(gè)ＩＰ數(shù)據(jù)報(bào)。為了對整個(gè)ＩＰ數(shù)據(jù)報(bào)進(jìn)行鑒別或加密，要為該ＩＰ數(shù)據(jù)報(bào)增加一個(gè)新的ＩＰ首部，而將原ＩＰ數(shù)據(jù)報(bào)作為有效載荷進(jìn)行保護(hù)。隧道方式通常用于兩個(gè)路由器之間，或一個(gè)主機(jī)與一個(gè)路由器之間。ＩＰＳｅｃ的隧道式常用來實(shí)現(xiàn)虛擬專用網(wǎng)ＶＰＮ。上一頁下一頁返回７.４傳輸安全在ＩＰＳｅｃ協(xié)議簇中有兩個(gè)主要的協(xié)議：鑒別首部協(xié)議（ＡｕｔｈｅｎｔｉｃａｔｉｏｎＨｅａｄｅｒｐｒｏｔｏｃｏｌ，ＡＨ）和封裝安全載荷協(xié)議（ＥｎｃａｐｓｕｌａｔｉｏｎＳｅｃｕｒｉｔｙＰａｙｌｏａｄｐｒｏｔｏｃｏｌ，ＥＳＰ）。ＡＨ協(xié)議提供源鑒別和數(shù)據(jù)完整性服務(wù)，但不提供機(jī)密性服務(wù)。ＥＳＰ協(xié)議同時(shí)提供了鑒別、數(shù)據(jù)完整性和機(jī)密性服務(wù)。在兩個(gè)結(jié)點(diǎn)之間用ＡＨ或ＥＳＰ進(jìn)行通信之前，首先要在這兩個(gè)結(jié)點(diǎn)之間建一條網(wǎng)絡(luò)層的邏輯連接，稱為安全關(guān)聯(lián)（ＳｅｃｕｒｉｔｙＡｓｓｏｃｉａｔｉｏｎ，ＳＡ）。通過安全關(guān)聯(lián)，雙方確定將采用的加密或鑒別算法以及各種安全參數(shù)，并在ＳＡ建立時(shí)產(chǎn)生一個(gè)３２位的安全參數(shù)索引（ＳｅｃｕｒｉｔｙＰａｒａｍｅｔｅｒＩｎｄｅｘ，ＳＰＩ）。目的結(jié)點(diǎn)根據(jù)ＩＰＳｅｃ報(bào)文中攜帶的ＳＰＩ將其與特定ＳＡ使用的加密算法和密鑰等相關(guān)聯(lián)。上一頁下一頁返回７.４傳輸安全（１）鑒別首部協(xié)議ＡＨ。在使用鑒別首部協(xié)議ＡＨ時(shí)，源結(jié)點(diǎn)把ＡＨ首部插入到ＩＰ數(shù)據(jù)報(bào)首部和被保護(hù)的數(shù)據(jù)之間，同時(shí)將ＩＰ首部中的外議字段置為５１，指明該報(bào)文數(shù)據(jù)中包含一個(gè)ＡＨ首部。如圖７－１０所示。在傳輸過程中，中間路由器并不查看ＡＨ首部，當(dāng)ＩＰ數(shù)據(jù)報(bào)到達(dá)終點(diǎn)時(shí)，目的主機(jī)或終點(diǎn)路由器才處理ＡＨ字段，以鑒別源和報(bào)文數(shù)據(jù)的完整性。ＡＨ首部中的一些主要字段如下。①下一個(gè)首部：標(biāo)志緊接ＡＨ首部的下一個(gè)首部的類型（如ＴＣＰ，ＵＤＰ，ＩＰ等）。②安全參數(shù)索引ＳＰＩ：標(biāo)志一個(gè)安全關(guān)聯(lián)ＳＡ。上一頁下一頁返回７.４傳輸安全③序號(hào)：該ＳＡ中每個(gè)數(shù)據(jù)報(bào)的序號(hào)，當(dāng)建立ＳＡ?xí)r起始序號(hào)為０。ＡＨ協(xié)議用該序號(hào)防止重放攻擊。④鑒別數(shù)據(jù)：一個(gè)可變長字段，包含一個(gè)經(jīng)過加密或簽名的報(bào)文摘要。該報(bào)文摘要對整個(gè)ＩＰ數(shù)據(jù)報(bào)進(jìn)行鑒別，但不包括在傳輸中會(huì)發(fā)生改變的那些ＩＰ首部字段，如生存時(shí)間ＴＴＬ等。（２）封裝安全載荷協(xié)議ＥＳＰ。在使用ＥＳＰ時(shí)，ＩＰ數(shù)據(jù)報(bào)首部的協(xié)議字段置為５０，指明其后緊接著的是一個(gè)ＥＳＰ首部（見圖７－１１）。在ＥＳＰ首部中，包含一個(gè)安全關(guān)聯(lián)參數(shù)索引ＳＰＩ字段和一個(gè)序號(hào)字段。在ＥＳＰ尾部中包含下一個(gè)首部字段和填充數(shù)據(jù)。鑒別數(shù)據(jù)和ＡＨ中的鑒別數(shù)據(jù)的作用一樣，但不對ＩＰ首部進(jìn)行鑒別。ＥＳＰ對有效載荷和ＥＳＰ尾部進(jìn)行了加密，因此ＥＳＰ既提供鑒別數(shù)據(jù)完整性服務(wù)，又提供機(jī)密性服務(wù)。上一頁下一頁返回７.４傳輸安全２.傳輸層協(xié)議ＳＳＬ／ＴＬＳ當(dāng)萬維網(wǎng)能夠提供網(wǎng)上購物時(shí)，安全問題就馬上被提到桌面上來了。當(dāng)一位顧客在網(wǎng)上在線購物時(shí)，他會(huì)要求得到下列安全服務(wù)。（１）顧客需要確保服務(wù)器屬于真正的銷售商，而不是屬于一個(gè)冒充者（例如一個(gè)釣魚網(wǎng)站），因?yàn)轭櫩筒幌Ｍ麑⑺男庞每ㄙ~號(hào)交給一位冒充者。同樣，銷售商也可能需要對顧客進(jìn)行鑒別。（２）顧客與銷售商需要確保報(bào)文的內(nèi)容（例如賬單）在傳輸過程中沒有被篡改。（３）顧客與銷售商需要確保諸如信用卡賬號(hào)之類的敏感信息不被冒充者竊聽。上一頁下一頁返回７.４傳輸安全像上述這些安全服務(wù)，需要使用傳輸層的安全協(xié)議?，F(xiàn)在廣泛使用的有兩個(gè)協(xié)議：（１）ＳＳＬ（ＳｅｃｕｒｅＳｏｃｋｅｔＬａｙｅｒ），譯為安全套接字層。（２）ＴＬＳ（ＴｒａｎｓｐｏｒｔＬａｙｅｒＳｅｃｕｒｉｔｙ），譯為傳輸層安全。上一頁下一頁返回７.４傳輸安全圖７－１２表示ＳＳＬ／ＴＬＳ處在應(yīng)用層和傳輸層之間。在應(yīng)用層中使用ＳＳＬ／ＴＬＳ最多的就是ＨＴＴＰ，但并不局限于ＨＴＴＰ。當(dāng)用瀏覽器查看普通網(wǎng)站的網(wǎng)頁時(shí)，ＨＴＴＰ就直接使用ＴＣＰ連接，這時(shí)ＳＳＬ／ＴＬＳ不起作用，但當(dāng)用信用卡進(jìn)行支付而鍵入信用卡密碼時(shí)，支持ＳＳＬ／ＴＬＳ的Ｗｅｂ服務(wù)器會(huì)提供一個(gè)使用ＳＳＬ／ＴＬＳ的安全網(wǎng)頁，瀏覽器訪問該網(wǎng)頁時(shí)就需要運(yùn)行ＳＳＬ／ＴＬＳ協(xié)議。這時(shí)，ＨＴＴＰ會(huì)調(diào)用ＳＳＬ／ＴＬＳ對整個(gè)網(wǎng)頁進(jìn)行加密。這時(shí)網(wǎng)頁上會(huì)提示用戶，在網(wǎng)址欄原來顯示ｈｔｔｐ的地方，現(xiàn)在變成ｈｔｔｐｓ。在協(xié)議名ｈｔｔｐ后面加上ｓ代表ｓｅｃｕｒｉｔｙ，表明現(xiàn)在使用的是提供安全服務(wù)的ＨＴＴＰ協(xié)議。上一頁下一頁返回７.４傳輸安全ＳＳＬ提供以下三種安全服務(wù)。（１）ＳＳＬ服務(wù)器鑒別，允許用戶證實(shí)服務(wù)器的身份。支持ＳＳＬ的客戶機(jī)通過檢驗(yàn)征求某一服務(wù)器的證書來鑒別服務(wù)器的真實(shí)身份并獲得服務(wù)器的公鑰。（２）ＳＳＬ客戶鑒別，ＳＳＬ的可選安全服務(wù)，允許服務(wù)器證實(shí)客戶的身份。（３）加密的ＳＳＬ會(huì)話，對客戶和服務(wù)器間發(fā)送的所有報(bào)文進(jìn)行加密，并檢測報(bào)文是否被篡改。下面以萬維網(wǎng)應(yīng)用為例來說明ＳＳＬ／ＴＬＳ操作過程。上一頁下一頁返回７.４傳輸安全銷售商Ｂ的萬維網(wǎng)服務(wù)器使用ＳＳＬ為顧客提供安全的在線購物。為此，萬維網(wǎng)服務(wù)器使用ＳＳＬ的默認(rèn)服務(wù)端口４４３來取代普通萬維網(wǎng)服務(wù)的８０端口，并且該安全網(wǎng)頁ＵＲＬ中的協(xié)議標(biāo)識(shí)用ｈｔｔｐｓ替代ｈｔｔｐ。當(dāng)顧客單擊該網(wǎng)站鏈接建立ＴＣＰ連接后，先進(jìn)行瀏覽器和服務(wù)器之間的握手協(xié)議，完成加密算法的協(xié)商和會(huì)話密鑰的傳遞，然后進(jìn)行安全數(shù)據(jù)傳輸。其簡要過程如圖７－１３所示（實(shí)際步驟要復(fù)雜得多）。（１）協(xié)商加密算法。瀏覽器Ａ向服務(wù)器Ｂ提供一些可選的加密算法，Ｂ從中選定一個(gè)自己所支持的算法，并告知Ａ。（２）服務(wù)器鑒別。服務(wù)器Ｂ向?yàn)g覽器Ａ發(fā)送一個(gè)包含其公鑰的數(shù)字證書，Ａ使用該證書的認(rèn)證機(jī)構(gòu)ＣＡ公開發(fā)布的公鑰對該證書進(jìn)行驗(yàn)證。上一頁下一頁返回７.４傳輸安全（３）會(huì)話密鑰計(jì)算。由瀏覽器Ａ隨機(jī)產(chǎn)生一個(gè)秘密數(shù)，用服務(wù)器Ｂ的公鑰進(jìn)行加密后發(fā)送給Ｂ，雙方根據(jù)協(xié)商的算法產(chǎn)生一個(gè)共享的對稱會(huì)話密鑰。（４）安全數(shù)據(jù)傳輸。雙方用會(huì)話密鑰加密和解密它們之間傳送的數(shù)據(jù)，并驗(yàn)證其完整性?，F(xiàn)在ＳＳＬ和ＴＬＳ已廣泛用在各種瀏覽器中。例如，當(dāng)我們單擊ＩＥ瀏覽器菜單的“工具”并選擇“選項(xiàng)”時(shí)，再單擊彈出的對話框中的“高級(jí)”選項(xiàng)，就可看到屏幕顯示的默認(rèn)選項(xiàng)是使用ＳＳＬ３.０和ＴＬＳｌ.０。上一頁下一頁返回７.４傳輸安全７.４.２虛擬安全通道安全通道的構(gòu)建是保證傳輸安全的重要措施，但由于現(xiàn)實(shí)條件的限制，構(gòu)筑專用的物理安全通道一般很難普遍使用。利用加密技術(shù)構(gòu)筑邏輯上的虛擬安全通道是可行的，比如因特網(wǎng)上的隧道就是典型的虛擬安全通道。鏈路加密是在兩個(gè)轉(zhuǎn)發(fā)結(jié)點(diǎn)間構(gòu)建的安全通道，端到端的加密是在兩個(gè)通信端構(gòu)建的安全通道。上一頁下一頁返回７.４傳輸安全１.鏈路加密在采用鏈路加密的網(wǎng)絡(luò)中，每條通信鏈路上的加密是獨(dú)立實(shí)現(xiàn)的。通常對每條鏈路使用不同的加密密鑰。當(dāng)某條鏈路受到破壞時(shí)不會(huì)導(dǎo)致其他鏈路上傳送的信息被析出。由于協(xié)議數(shù)據(jù)單元ＰＤＵ中的協(xié)議控制信息和數(shù)據(jù)都被加密，這就掩蓋了源點(diǎn)和終點(diǎn)的地址。若在結(jié)點(diǎn)間保持連續(xù)的密文序列，則ＰＤＵ的頻度和長度也能得到掩蓋。這樣就能防止各種形式的流量分析。由于不需要傳送額外的數(shù)據(jù)，采用這種技術(shù)不會(huì)減少網(wǎng)絡(luò)的有效帶寬。由于只要求相鄰結(jié)點(diǎn)之間具有相同的密鑰，因而密鑰管理易于實(shí)現(xiàn)。鏈路加密對用戶來說是透明的。上一頁下一頁返回７.４傳輸安全鏈路加密時(shí)，由于報(bào)文是以明文形式在各結(jié)點(diǎn)內(nèi)加密的，所以結(jié)點(diǎn)本身必須是安全的。一般認(rèn)為網(wǎng)絡(luò)的源點(diǎn)和終點(diǎn)在物理上都是安全的，但所有的中間結(jié)點(diǎn)（包括可能經(jīng)過的路由器）則未必都是安全的，因此必須采取有效措施。對于采用動(dòng)態(tài)自適應(yīng)路由的網(wǎng)絡(luò)，一個(gè)被攻擊者掌握的結(jié)點(diǎn)可以設(shè)法更改路由使有意義的ＰＤＵ經(jīng)過此結(jié)點(diǎn)，這樣將導(dǎo)致大量信息的泄露，因而對整個(gè)網(wǎng)絡(luò)的安全造成威脅。鏈路加密的最大缺點(diǎn)是在中間結(jié)點(diǎn)暴露了信息的內(nèi)容。在網(wǎng)絡(luò)互連的情況下，僅采用鏈路加密是不能實(shí)現(xiàn)通信安全的。此外，鏈路加密也不適用于廣播網(wǎng)絡(luò)，因?yàn)樗耐ㄐ抛泳W(wǎng)沒有明確的鏈路存在。若將整個(gè)ＰＤＵ加密將造成無法確定接收者和發(fā)送者。由于上述原因，除非采取其他措施，否則在網(wǎng)絡(luò)環(huán)境中鏈路加密將受到很大的限制，可能只適用于局部數(shù)據(jù)的保護(hù)。上一頁下一頁返回７.４傳輸安全２.端到端加密端到端加密是在源點(diǎn)和終點(diǎn)中對傳送的ＰＤＵ進(jìn)行加密和解密，可以看出，報(bào)文的安全性不會(huì)因中間結(jié)點(diǎn)的不可靠而受到影響。端到端加密應(yīng)在傳輸層或其以上各層來實(shí)現(xiàn)。若選擇在傳輸層進(jìn)行加密，可以使安全措施對用戶來說是透明的。這樣可不必為每一個(gè)用戶提供單獨(dú)的安全保護(hù)，但容易遭受傳輸層以上的攻擊。當(dāng)選擇在應(yīng)用層實(shí)現(xiàn)加密時(shí)，用戶可根據(jù)自己的特殊要求來選擇不同的加密算法，而不會(huì)影響其他用戶。這樣，端到端加密更容易適合不同用戶的要求。端到端加密不僅適用于互聯(lián)網(wǎng)環(huán)境，而且同樣也適用于廣播網(wǎng)。上一頁下一頁返回７.４傳輸安全在端到端加密的情況下，ＰＤＵ的控制信息部分（如源點(diǎn)地址、終點(diǎn)地址、路由信息等）不能被加密，否則中間結(jié)點(diǎn)就不能正確選擇路由。這就使得這種方法易于受到流量分析的攻擊。雖然也可以通過發(fā)送一些假的ＰＤＵ來掩蓋有意義的報(bào)文流動(dòng)（這稱為報(bào)文填充），但這要以降低網(wǎng)絡(luò)性能為代價(jià)。若各結(jié)點(diǎn)都使用對稱密鑰體制，則各結(jié)點(diǎn)必須持有與其他結(jié)點(diǎn)相同的密鑰，這就需要在全網(wǎng)范圍內(nèi)進(jìn)行密鑰管理和分配。為了獲得更好的安全性，可將鏈路加密與端到端加密結(jié)合在一起使用。鏈路加密用來對ＰＤＵ的目的地址進(jìn)行加密，而端到端加密則提供了對端到端的數(shù)據(jù)的保護(hù)。上一頁返回７.５系統(tǒng)安全７.５.１防火墻網(wǎng)絡(luò)邊界是指采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的連接、內(nèi)部網(wǎng)絡(luò)和其他業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、內(nèi)部網(wǎng)內(nèi)不同部門之間的連接等。隨著越來越多企業(yè)或組織的內(nèi)部網(wǎng)絡(luò)連接到Ｉｎｔｅｒｎｅｔ上，以及越來越多的企業(yè)組建Ｉｎｔｒａｎｅｔ和Ｅｘｔｒａｎｅｔ，網(wǎng)絡(luò)的邊界安全變得日趨重要。網(wǎng)絡(luò)邊界安全關(guān)注如何對進(jìn)出網(wǎng)絡(luò)邊界的數(shù)據(jù)流進(jìn)行有效的控制與監(jiān)視，相應(yīng)的控制措施包括防火墻、物理隔離、遠(yuǎn)程訪問控制、病毒／惡意代碼防御和入侵檢測等。作為保護(hù)網(wǎng)絡(luò)邊界的安全產(chǎn)品，防火墻技術(shù)已經(jīng)逐步趨于成熟，并為廣大用戶所認(rèn)可。下一頁返回７.５系統(tǒng)安全防火墻位于因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間。因特網(wǎng)這邊是防火墻的外面，而內(nèi)部網(wǎng)絡(luò)這邊是防火墻的里面。一般都把防火墻里面的網(wǎng)絡(luò)稱為“可信的網(wǎng)絡(luò)”（ｔｒｕｓｔｅｄｎｅｔｗｏｒｋ），而把防火墻外面的網(wǎng)絡(luò)稱為“不可信的網(wǎng)絡(luò)”（ｕｎｔｒｕｓｔｅｄｎｅｔｗｏｒｋ）。防火墻是一種裝置，它是由軟件或硬件設(shè)備組合而成。作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問控制設(shè)備，常常被安裝在內(nèi)部網(wǎng)和外部網(wǎng)交流的點(diǎn)上，用來限制Ｉｎｔｅｒｎｅｔ用戶對內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用戶訪問外界的權(quán)限。防火墻的基本模型如圖７－１４所示。上一頁下一頁返回７.５系統(tǒng)安全防火墻的目的是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。在沒有防火墻的環(huán)境中，內(nèi)部網(wǎng)的安全性要由其中每個(gè)結(jié)點(diǎn)的堅(jiān)固程度來決定，并且安全性取決于其中最弱的結(jié)點(diǎn)，從而內(nèi)部網(wǎng)規(guī)模越大，把所有主機(jī)保持在相同安全水平上的可管理能力就越小。引入防火墻后，內(nèi)部網(wǎng)的安全性在防火墻上得到了統(tǒng)一的加固，主要體現(xiàn)在以下幾個(gè)方面。（１）強(qiáng)化了安全訪問策略。防火墻可以提供實(shí)施和執(zhí)行網(wǎng)絡(luò)訪問策略的工具，實(shí)現(xiàn)對用戶和服務(wù)的訪問控制。上一頁下一頁返回７.５系統(tǒng)安全（２）記錄與Ｉｎｔｅｒｎｅｔ之間的通信活動(dòng)。作為內(nèi)外網(wǎng)之間唯一的訪問通道，防火墻能夠記錄內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間發(fā)生的所有事件。（３）實(shí)現(xiàn)了網(wǎng)段之間的隔離或控制。防火墻的隔離作用，可防止一個(gè)網(wǎng)段中的問題在整個(gè)網(wǎng)絡(luò)中傳播。（４）提供一個(gè)安全策略的檢查站。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過防火墻，這樣防火墻便成為一個(gè)安全檢查點(diǎn)，把所有可疑的訪問拒之門外。上一頁下一頁返回７.５系統(tǒng)安全通常，防火墻可具有下面三種功能。（１）數(shù)據(jù)包過濾。數(shù)據(jù)包過濾是一種在內(nèi)部網(wǎng)絡(luò)與外部主機(jī)之間進(jìn)行有選擇的數(shù)據(jù)包轉(zhuǎn)發(fā)的機(jī)制。它按照一種被稱為訪問控制列表（ＡｃｃｅｓｓＣｏｎｔｒｏｌＬｉｓｔ，ＡＣＬ）的安全策略來決定是允許還是阻止某些類型的數(shù)據(jù)包通過。ＡＣＬ可以被配置為根據(jù)數(shù)據(jù)包報(bào)頭的任何部分進(jìn)行接收或拒絕數(shù)據(jù)包，目前，這種過濾主要是針對數(shù)據(jù)包的協(xié)議地址（包括源地址和目的地址）、協(xié)議類型和ＴＣＰ／ＩＰ端口（包括源端口和目的商品）來進(jìn)行的。因此，數(shù)據(jù)包過濾服務(wù)被認(rèn)為是工作在網(wǎng)絡(luò)層與傳輸層的邊界安全機(jī)制。上一頁下一頁返回７.５系統(tǒng)安全（２）網(wǎng)絡(luò)地址轉(zhuǎn)換。網(wǎng)絡(luò)地址轉(zhuǎn)換（ｎｅｔｗｏｒｋａｄｄｒｅｓｓｔｒａｎｓｌａｔｉｏｎ，ＮＡＴ）是一種用來讓使用私有地址的主機(jī)訪問Ｉｎｔｅｒｎｅｔ的技術(shù)。提供ＮＡＴ功能的設(shè)備，一般運(yùn)行在末節(jié)（ｓｔｕｂ）區(qū)域的邊界上，于是位于網(wǎng)絡(luò)邊界的防火墻設(shè)備就成了一種理想的ＮＡＴ設(shè)備。提供了ＮＡＴ功能的防火墻設(shè)備不僅可以將私有地址轉(zhuǎn)換為可在公網(wǎng)上被路由的公有ＩＰ地址，也通過隱藏內(nèi)部網(wǎng)絡(luò)的地址結(jié)構(gòu)而增強(qiáng)了網(wǎng)絡(luò)的安全性。因?yàn)樯婕暗刂芳岸丝谥g的轉(zhuǎn)換，網(wǎng)絡(luò)地址翻譯也是一種工作在網(wǎng)絡(luò)層與傳輸層的邊界安全機(jī)制。上一頁下一頁返回７.５系統(tǒng)安全（３）代理服務(wù)。代理（Ｐｒｏｘｙ）服務(wù)是運(yùn)行在防火墻主機(jī)上的專門應(yīng)用程序。防火墻主機(jī)可以是一個(gè)同時(shí)擁有內(nèi)部網(wǎng)絡(luò)接口和外部網(wǎng)絡(luò)接口的雙重宿主主機(jī)，也可以是一些內(nèi)部網(wǎng)絡(luò)中唯一可以與Ｉｎｔｅｒｎｅｔ通信的堡壘主機(jī)。代理服務(wù)程序接受內(nèi)部網(wǎng)用戶對Ｉｎｔｅｒｎｅｔ服務(wù)的請求，按照相應(yīng)的安全策略轉(zhuǎn)發(fā)它們的請求，并返回Ｉｎｔｅｒｎｅｔ網(wǎng)上主機(jī)的響應(yīng)。實(shí)際上，代理就是一個(gè)在應(yīng)用層提供替代連接并充當(dāng)服務(wù)的網(wǎng)關(guān)。由于這個(gè)原因，代理也被稱為應(yīng)用級(jí)網(wǎng)關(guān)。代理具有應(yīng)用相關(guān)性，即要按照應(yīng)用服務(wù)類型的不同，選擇相應(yīng)的代理服務(wù)。上一頁下一頁返回７.５系統(tǒng)安全應(yīng)該指出，盡管防火墻能夠提供諸多的安全保證，但防火墻還是有它不可避免的缺陷，主要表現(xiàn)在以下幾個(gè)方面。（１）防火墻不能防范惡意的知情者。防火墻可以禁止系統(tǒng)用戶通過網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。（２）防火墻不能防范不通過它