計算機(jī)網(wǎng)絡(luò)安全第11章

1、教學(xué)重點(diǎn)和難點(diǎn)：教學(xué)重點(diǎn)和難點(diǎn)：u 網(wǎng)絡(luò)安全的策略；網(wǎng)絡(luò)安全的策略；u 黑客攻擊的常見方法；黑客攻擊的常見方法；u 網(wǎng)絡(luò)安全的解決方案。網(wǎng)絡(luò)安全的解決方案。第第1111章章 計算機(jī)網(wǎng)絡(luò)安全計算機(jī)網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。11.1.1 11.1.1 計算

2、機(jī)網(wǎng)絡(luò)安全的定義計算機(jī)網(wǎng)絡(luò)安全的定義 11.1 11.1 概述概述 計算機(jī)網(wǎng)絡(luò)的安全性問題包括兩方面的內(nèi)容：計算機(jī)網(wǎng)絡(luò)的安全性問題包括兩方面的內(nèi)容：11.1.2 11.1.2 網(wǎng)絡(luò)安全的內(nèi)容網(wǎng)絡(luò)安全的內(nèi)容 11.1 11.1 概述概述 系統(tǒng)安全系統(tǒng)安全 信息安全信息安全11.1 11.1 概述概述 一個安全的計算機(jī)網(wǎng)絡(luò)應(yīng)該具有以下幾個特點(diǎn)：一個安全的計算機(jī)網(wǎng)絡(luò)應(yīng)該具有以下幾個特點(diǎn)： 可靠性可靠性 可用性可用性 保密性保密性 完整性完整性 不可抵賴不可抵賴性性 如機(jī)房的物理條件、物理環(huán)境及設(shè)施的安全標(biāo)準(zhǔn)，計如機(jī)房的物理條件、物理環(huán)境及設(shè)施的安全標(biāo)準(zhǔn)，計算機(jī)硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的的安裝及配

3、置等。算機(jī)硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的的安裝及配置等。 如保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法侵入，系統(tǒng)軟件與應(yīng)用軟件如保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法侵入，系統(tǒng)軟件與應(yīng)用軟件不被非法復(fù)制、篡改，不受病毒的侵害等。不被非法復(fù)制、篡改，不受病毒的侵害等。11.1 11.1 概述概述 如保護(hù)網(wǎng)絡(luò)信息的數(shù)據(jù)安全不被非法存取，保護(hù)其完整如保護(hù)網(wǎng)絡(luò)信息的數(shù)據(jù)安全不被非法存取，保護(hù)其完整一致等。一致等。 如運(yùn)行時突發(fā)事件的安全處理等，包括采取計算機(jī)安全如運(yùn)行時突發(fā)事件的安全處理等，包括采取計算機(jī)安全技術(shù)，建立安全管理制度，開展安全審計，進(jìn)行風(fēng)險分析等。技術(shù)，建立安全管理制度，開展安全審計，進(jìn)行風(fēng)險分析等。11.1 11.1 概述概

4、述 （1 1）截獲：攻擊者從網(wǎng)絡(luò)上竊聽信息。）截獲：攻擊者從網(wǎng)絡(luò)上竊聽信息。（2 2）中斷：攻擊者有意中斷網(wǎng)絡(luò)上的通信。）中斷：攻擊者有意中斷網(wǎng)絡(luò)上的通信。（3 3）篡改：攻擊者有意更改網(wǎng)絡(luò)上的信息。）篡改：攻擊者有意更改網(wǎng)絡(luò)上的信息。（4 4）偽造：攻擊者使假的信息在網(wǎng)絡(luò)上傳輸。）偽造：攻擊者使假的信息在網(wǎng)絡(luò)上傳輸。 11.1.3 11.1.3 計算機(jī)網(wǎng)絡(luò)面臨的威脅計算機(jī)網(wǎng)絡(luò)面臨的威脅 11.1 11.1 概述概述 上述的四種威脅可以分為兩類：即上述的四種威脅可以分為兩類：即被動攻擊被動攻擊和和主動攻擊主動攻擊。 1.1.是來自外部的不安全因素，即網(wǎng)絡(luò)上存在的攻擊。是來自外部的不安全因素，即

5、網(wǎng)絡(luò)上存在的攻擊。2.2.是來自網(wǎng)絡(luò)系統(tǒng)本身的。是來自網(wǎng)絡(luò)系統(tǒng)本身的。3.3.是網(wǎng)絡(luò)應(yīng)用安全管理方面的原因，網(wǎng)絡(luò)管理者缺乏是網(wǎng)絡(luò)應(yīng)用安全管理方面的原因，網(wǎng)絡(luò)管理者缺乏網(wǎng)絡(luò)安全的警惕性，忽視網(wǎng)絡(luò)安全，或?qū)W(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全的警惕性，忽視網(wǎng)絡(luò)安全，或?qū)W(wǎng)絡(luò)安全技術(shù)缺乏了解，沒有制定切實(shí)可行的網(wǎng)絡(luò)安全策略和措施。缺乏了解，沒有制定切實(shí)可行的網(wǎng)絡(luò)安全策略和措施。4.4.是網(wǎng)絡(luò)安全協(xié)議的原因。是網(wǎng)絡(luò)安全協(xié)議的原因。10.1.4 10.1.4 網(wǎng)絡(luò)不安全的原因網(wǎng)絡(luò)不安全的原因 11.1 11.1 概述概述 1. 1. 在安全監(jiān)測和評估方面，包括網(wǎng)絡(luò)、保密性以及在安全監(jiān)測和評估方面，包括網(wǎng)絡(luò)、保密性以及操

6、作系統(tǒng)的檢測與評估。操作系統(tǒng)的檢測與評估。2. 2. 在安全體系結(jié)構(gòu)方面制定的在安全體系結(jié)構(gòu)方面制定的osiosi網(wǎng)絡(luò)安全體系結(jié)構(gòu)，網(wǎng)絡(luò)安全體系結(jié)構(gòu)，包括安全服務(wù)和安全機(jī)制，主要解決網(wǎng)絡(luò)信息系統(tǒng)中的包括安全服務(wù)和安全機(jī)制，主要解決網(wǎng)絡(luò)信息系統(tǒng)中的安全與保密問題。安全與保密問題。11.1.5 11.1.5 網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)安全措施 11.1 11.1 概述概述 對等實(shí)體鑒別服務(wù)對等實(shí)體鑒別服務(wù)訪問控制服務(wù)訪問控制服務(wù)數(shù)據(jù)保密服務(wù)數(shù)據(jù)保密服務(wù)數(shù)據(jù)完整性服務(wù)數(shù)據(jù)完整性服務(wù)數(shù)據(jù)源鑒別服務(wù)數(shù)據(jù)源鑒別服務(wù)禁止否認(rèn)服務(wù)禁止否認(rèn)服務(wù)11.1 11.1 概述概述 11.1 11.1 概述概述 系統(tǒng)安全管理系統(tǒng)安

7、全管理安全服務(wù)管理安全服務(wù)管理安全機(jī)制管理安全機(jī)制管理安全事件處理安全事件處理安全審計管理安全審計管理安全恢復(fù)管理安全恢復(fù)管理密鑰管理密鑰管理重點(diǎn)是設(shè)立安全組織機(jī)構(gòu)、安全人事管理和安全責(zé)重點(diǎn)是設(shè)立安全組織機(jī)構(gòu)、安全人事管理和安全責(zé)任管理與監(jiān)督等。任管理與監(jiān)督等。11.1.6 11.1.6 網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全策略 11.1 11.1 概述概述 用于闡明公司安全政策的總體思想。用于闡明公司安全政策的總體思想。用于說明什么活動是被允許的，什么活動是被禁止的。用于說明什么活動是被允許的，什么活動是被禁止的。（1 1）不把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連，因此一切都被禁止。）不把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連，因此一切

8、都被禁止。（2 2）除那些被明確允許之外，一切都被禁止。）除那些被明確允許之外，一切都被禁止。（3 3）除那些被明確禁止之外，一切都被允許。）除那些被明確禁止之外，一切都被允許。（4 4）一切都被允許，當(dāng)然也包括那些本來被禁止的。）一切都被允許，當(dāng)然也包括那些本來被禁止的。11.1 11.1 概述概述 網(wǎng)絡(luò)安全策略可分為網(wǎng)絡(luò)安全策略可分為4 4個等級個等級（1 1）網(wǎng)絡(luò)用戶的安全責(zé)任）網(wǎng)絡(luò)用戶的安全責(zé)任（2 2）系統(tǒng)管理員的安全責(zé)任）系統(tǒng)管理員的安全責(zé)任（3 3）正確利用網(wǎng)絡(luò)資源）正確利用網(wǎng)絡(luò)資源（4 4）檢測到網(wǎng)絡(luò)安全問題時的對策）檢測到網(wǎng)絡(luò)安全問題時的對策11.1 11.1 概述概述 一個

9、好的網(wǎng)絡(luò)安全性策略應(yīng)包括如下內(nèi)容：一個好的網(wǎng)絡(luò)安全性策略應(yīng)包括如下內(nèi)容： 網(wǎng)絡(luò)安全管理主要是配合行政手段，從技術(shù)上實(shí)現(xiàn)安網(wǎng)絡(luò)安全管理主要是配合行政手段，從技術(shù)上實(shí)現(xiàn)安全管理，從范疇上講，涉及四個方面：全管理，從范疇上講，涉及四個方面：11.1 11.1 概述概述 (1) (1) 物理安全策略物理安全策略(2) (2) 訪問控制策略訪問控制策略(3) (3) 信息加密策略信息加密策略(4) (4) 網(wǎng)絡(luò)安全管理策略網(wǎng)絡(luò)安全管理策略物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和打印機(jī)等硬件實(shí)體和通信

10、鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；搭線攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機(jī)系統(tǒng)有一個良好的電磁兼容工作環(huán)境；確保計算機(jī)系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計算機(jī)控制室建立完備的安全管理制度，防止非法進(jìn)入計算機(jī)控制室和各種偷竊、破壞活動的發(fā)生；和各種偷竊、破壞活動的發(fā)生；抑制和防止電磁泄漏抑制和防止電磁泄漏是物理安全策略的一個主要問題。是物理安全策略的一個主要問題。11.1 11.1 概述概述 （1 1） 物理安全策略物理安全策略 入網(wǎng)訪問控制入網(wǎng)訪問控制 網(wǎng)絡(luò)的權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制 目錄

11、級安全限制目錄級安全限制 屬性級安全控制屬性級安全控制11.1 11.1 概述概述 網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)服務(wù)器安全控制 網(wǎng)絡(luò)監(jiān)測和鎖定控制網(wǎng)絡(luò)監(jiān)測和鎖定控制 網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制 防火墻控制防火墻控制（2 2） 訪問控制策略訪問控制策略11.1 11.1 概述概述 （3 3） 信息加密策略信息加密策略是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)上傳輸?shù)臄?shù)據(jù)。信息加密的目的信息加密的目的11.1 11.1 概述概述 鏈路加密鏈路加密端點(diǎn)加密端點(diǎn)加密節(jié)點(diǎn)加密節(jié)點(diǎn)加密 （3 3） 信息加密策略信息加密策略網(wǎng)絡(luò)

12、加密常用的方法網(wǎng)絡(luò)加密常用的方法確定安全管理等級和安全管理范圍；確定安全管理等級和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度，制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。制度，制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。 11.1 11.1 概述概述 （4 4） 網(wǎng)絡(luò)安全管理策略網(wǎng)絡(luò)安全管理策略網(wǎng)絡(luò)安全管理策略包括：網(wǎng)絡(luò)安全管理策略包括： 黑客是英文黑客是英文hackerhacker的譯音，原意為熱衷于電腦程序的的譯音，原意為熱衷于電腦程序的設(shè)計者，指對于任何計算機(jī)操作系統(tǒng)的奧秘都有強(qiáng)烈興趣設(shè)計者，指對于任何計算機(jī)操作系統(tǒng)的奧秘都有強(qiáng)烈興趣的人。的人

13、。 入侵者（攻擊者）指懷著不良的企圖，闖入遠(yuǎn)程計算入侵者（攻擊者）指懷著不良的企圖，闖入遠(yuǎn)程計算機(jī)系統(tǒng)甚至破壞遠(yuǎn)程計算機(jī)系統(tǒng)完整性的人。機(jī)系統(tǒng)甚至破壞遠(yuǎn)程計算機(jī)系統(tǒng)完整性的人。 黑客指利用通信軟件通過網(wǎng)絡(luò)非法進(jìn)入他人系統(tǒng)，截黑客指利用通信軟件通過網(wǎng)絡(luò)非法進(jìn)入他人系統(tǒng)，截獲或篡改計算機(jī)數(shù)據(jù)，危害信息安全的電腦入侵者。獲或篡改計算機(jī)數(shù)據(jù)，危害信息安全的電腦入侵者。11.2.1 11.2.1 黑客黑客 11.2 11.2 網(wǎng)絡(luò)黑客攻擊網(wǎng)絡(luò)黑客攻擊 1 1收集目標(biāo)計算機(jī)的信息。收集目標(biāo)計算機(jī)的信息。2 2尋求目標(biāo)計算機(jī)的漏洞和選擇合適的入侵方法。尋求目標(biāo)計算機(jī)的漏洞和選擇合適的入侵方法。3. 3. 留

14、下留下“后門后門”。 4. 4. 清除入侵記錄。清除入侵記錄。 11.2 11.2 網(wǎng)絡(luò)黑客攻擊網(wǎng)絡(luò)黑客攻擊 黑客攻擊的步驟黑客攻擊的步驟 掃描是網(wǎng)絡(luò)攻擊的第一步，通過掃描可以直接截獲數(shù)據(jù)掃描是網(wǎng)絡(luò)攻擊的第一步，通過掃描可以直接截獲數(shù)據(jù)包進(jìn)行信息分析、密碼分析或流量分析等。通過掃描查找包進(jìn)行信息分析、密碼分析或流量分析等。通過掃描查找漏洞如開放端口、注冊用戶及口令、系統(tǒng)漏洞等。漏洞如開放端口、注冊用戶及口令、系統(tǒng)漏洞等。11.2.2 11.2.2 掃描掃描11.2 11.2 網(wǎng)絡(luò)黑客攻擊網(wǎng)絡(luò)黑客攻擊 11.2 11.2 網(wǎng)絡(luò)黑客攻擊網(wǎng)絡(luò)黑客攻擊 掃描有手工掃描和利用端口掃描軟件。手工掃描是掃描

15、有手工掃描和利用端口掃描軟件。手工掃描是利用各種命令，如利用各種命令，如pingping、tracerttracert、hosthost等。使用端口掃等。使用端口掃描軟件是利用掃描器進(jìn)行掃描。描軟件是利用掃描器進(jìn)行掃描。常用的掃描器軟件有常用的掃描器軟件有1. porscan 1. porscan porscanporscan2 2satansatan3 3網(wǎng)絡(luò)安全掃描器網(wǎng)絡(luò)安全掃描器nssnss 4 4strobestrobe 在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽聽”到到通過的流量，但對不屬于自己的數(shù)據(jù)包則不予響應(yīng)（換通過的流量，但對不屬于自己的數(shù)據(jù)包

16、則不予響應(yīng)（換句話說，工作站句話說，工作站a a不會捕獲屬于工作站不會捕獲屬于工作站b b的數(shù)據(jù)，而是簡的數(shù)據(jù)，而是簡單地忽略這些數(shù)據(jù)）。單地忽略這些數(shù)據(jù)）。11.2.3 sniffer11.2.3 sniffer 11.2 11.2 網(wǎng)絡(luò)黑客攻擊網(wǎng)絡(luò)黑客攻擊 sniffersniffer，中文可以翻譯為嗅探器，是一，中文可以翻譯為嗅探器，是一種威脅性極大的被動攻擊工具。種威脅性極大的被動攻擊工具。 sniffor sniffor程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡（nicnic，一般為以太同卡）置為雜亂（，一般為以太同卡）置為雜亂（promiscuou

17、spromiscuous）模）模式狀態(tài)的工具，一旦網(wǎng)卡設(shè)置為這種模式，它就能接收式狀態(tài)的工具，一旦網(wǎng)卡設(shè)置為這種模式，它就能接收傳輸在網(wǎng)絡(luò)上的每一個信息包。傳輸在網(wǎng)絡(luò)上的每一個信息包。 11.2 11.2 網(wǎng)絡(luò)黑客攻擊網(wǎng)絡(luò)黑客攻擊 11.2 11.2 網(wǎng)絡(luò)黑客攻擊網(wǎng)絡(luò)黑客攻擊 軟件軟件硬件硬件netxraynetxray、packetboypacketboy、net monitornet monitor。硬件的硬件的sniffersniffer通常稱為協(xié)議分析儀，通常稱為協(xié)議分析儀，一般都是商業(yè)性的，價格也比較貴。一般都是商業(yè)性的，價格也比較貴?！疤芈逡聊抉R特洛伊木馬”（trojan hors

18、etrojan horse）簡稱）簡稱“木馬木馬”，是，是一種計算機(jī)程序，它駐留在目標(biāo)計算機(jī)里。在目標(biāo)計算機(jī)一種計算機(jī)程序，它駐留在目標(biāo)計算機(jī)里。在目標(biāo)計算機(jī)系統(tǒng)啟動的時候，自然啟動，在某一端口進(jìn)行偵聽。系統(tǒng)啟動的時候，自然啟動，在某一端口進(jìn)行偵聽。11.2.4 11.2.4 特洛伊木馬特洛伊木馬 11.2 11.2 網(wǎng)絡(luò)黑客攻擊網(wǎng)絡(luò)黑客攻擊 服務(wù)器程序服務(wù)器程序控制器程序控制器程序 完整的木馬程序一般由兩個組成：完整的木馬程序一般由兩個組成：1. 1. 口令攻擊口令攻擊2. 2. 拒絕服務(wù)的攻擊拒絕服務(wù)的攻擊3. 3. 網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽4. 4. 緩沖區(qū)溢出緩沖區(qū)溢出5. 5. 電子郵件攻擊

19、電子郵件攻擊6. 6. 其它攻擊方法其它攻擊方法11.2.5 11.2.5 常見的黑客攻擊方法常見的黑客攻擊方法 11.2 11.2 網(wǎng)絡(luò)黑客攻擊網(wǎng)絡(luò)黑客攻擊 物理層安全防護(hù)；物理層安全防護(hù)； 鏈路層安全保護(hù)；鏈路層安全保護(hù)； 網(wǎng)絡(luò)層安全防護(hù)；網(wǎng)絡(luò)層安全防護(hù)； 傳輸層安全防護(hù)；傳輸層安全防護(hù)； 應(yīng)用層安全防護(hù)。應(yīng)用層安全防護(hù)。11.3 11.3 網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案 以以windows 2000 serverwindows 2000 server為例，正確地使用操作系統(tǒng)。為例，正確地使用操作系統(tǒng)。在使用某種操作系統(tǒng)時，應(yīng)經(jīng)常進(jìn)行安全檢測及查找漏在使用某種操作系統(tǒng)時，應(yīng)經(jīng)常進(jìn)行安全檢

20、測及查找漏洞，關(guān)注系統(tǒng)漏洞的發(fā)布以及補(bǔ)丁程序的發(fā)布，并及時下洞，關(guān)注系統(tǒng)漏洞的發(fā)布以及補(bǔ)丁程序的發(fā)布，并及時下載、安裝在系統(tǒng)中。載、安裝在系統(tǒng)中。11.3.1 11.3.1 操作系統(tǒng)安全使用操作系統(tǒng)安全使用 11.3 11.3 網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案 11.3.1 操作系統(tǒng)安全使用操作系統(tǒng)安全使用 11.3 11.3 網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案 進(jìn)入安全策略設(shè)置界面進(jìn)行安全策略設(shè)置，包括：進(jìn)入安全策略設(shè)置界面進(jìn)行安全策略設(shè)置，包括： 賬戶密碼策略賬戶密碼策略 賬戶鎖定策略賬戶鎖定策略 審核策略審核策略 用戶權(quán)力指派用戶權(quán)力指派 安全選項安全選項防火墻是一個或一組在兩個網(wǎng)絡(luò)之間執(zhí)

21、行訪問控制策防火墻是一個或一組在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被可疑略的系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被可疑人侵?jǐn)_。本質(zhì)上，它遵從的是一種允許或阻止業(yè)務(wù)來往人侵?jǐn)_。本質(zhì)上，它遵從的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機(jī)制，也就是提供可控的過濾網(wǎng)絡(luò)通信，的網(wǎng)絡(luò)通信安全機(jī)制，也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。只允許授權(quán)的通信。通常，防火墻就是位于內(nèi)部網(wǎng)或通常，防火墻就是位于內(nèi)部網(wǎng)或webweb站點(diǎn)與站點(diǎn)與internetinternet之間的一個路由器或一臺計算機(jī)，又稱為堡壘主機(jī)。之間的一個路由器或一臺計算機(jī)，又稱為堡壘主機(jī)。 11.3

22、.2 11.3.2 防火墻防火墻 11.3 11.3 網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案 11.3 11.3 網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案 (1) (1) 所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻；所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻；(2) (2) 所有穿過防火墻的通信流都必須有安全策略和計所有穿過防火墻的通信流都必須有安全策略和計劃的確認(rèn)和授權(quán)；劃的確認(rèn)和授權(quán)；(3) (3) 理論上說，防火墻是穿不透的。理論上說，防火墻是穿不透的。11.3 11.3 網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案 11.3 11.3 網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案 （1 1）包過濾路由器）包過濾路由器（2 2）應(yīng)用型防火墻）應(yīng)用型防火墻（3 3）主機(jī)屏蔽防火墻）主機(jī)屏蔽防火墻（4 4）子網(wǎng)屏蔽防火墻）子網(wǎng)屏蔽防火墻(1) (1) 系統(tǒng)要盡量與公網(wǎng)隔離，要有相應(yīng)的安全連接措施。系統(tǒng)要盡量與公網(wǎng)隔離，要有相應(yīng)的安全連接措施。(2) (2) 不同的工作范圍的網(wǎng)絡(luò)既要采用防火墻、安全路由器、不同的工作范圍的網(wǎng)絡(luò)既要采用防火墻、安全路由器、保密網(wǎng)關(guān)等相互隔離，又要在政策循序時保證互通。保密網(wǎng)關(guān)等相互隔離，又要在政策循序時保證互通。(3) (3) 為了提供網(wǎng)絡(luò)安全服務(wù)，各相應(yīng)的環(huán)節(jié)應(yīng)根據(jù)需要配置為了提供網(wǎng)絡(luò)安全服務(wù)，各相應(yīng)的環(huán)節(jié)應(yīng)根據(jù)需要配置可單獨(dú)