基本安全性ppt課件

1、根本平安性家庭和小型企業(yè)網(wǎng)路 第八章目標(biāo)認(rèn)識(shí)和描畫(huà)各種網(wǎng)路威脅認(rèn)識(shí)各種攻擊方式描畫(huà)平安規(guī)範(fàn)和應(yīng)用程式描畫(huà)防火牆的特點(diǎn)，以及如何應(yīng)用防火牆防範(fàn)攻擊內(nèi)容索引8.1 網(wǎng)路威脅8.2 攻擊方式8.3 平安政策8.4 運(yùn)用防火牆8.1.1 網(wǎng)路入侵風(fēng)險(xiǎn)電腦網(wǎng)路，不論是有線還是無(wú)線網(wǎng)路，都已成為人們?nèi)粘；顒?dòng)中不可或缺的一部份。個(gè)人與組織都依賴於電腦和網(wǎng)路來(lái)處理電子郵件、財(cái)務(wù)、組織和檔案管理之類的任務(wù)。不速之客的入侵能夠?qū)е麓鷥r(jià)高昂的網(wǎng)路中斷和任務(wù)成果的遺失。針對(duì)網(wǎng)路的攻擊有時(shí)具有相當(dāng)?shù)钠茐男?，能夠呵斥重要資訊或資產(chǎn)的損壞或失竊，導(dǎo)致時(shí)間上和金錢上的損失。入侵者可透過(guò)軟體破綻、硬體攻擊甚至一些不需求高科技的

2、方法例如猜測(cè)某人的運(yùn)用者名稱和密碼來(lái)獲得對(duì)網(wǎng)路的存取權(quán)。透過(guò)修正或利用軟體破綻來(lái)獲取存取權(quán)的入侵者通常被稱為駭客。8.1.1 網(wǎng)路入侵風(fēng)險(xiǎn)一旦駭客獲得網(wǎng)路的存取權(quán)，能夠?yàn)榫W(wǎng)路帶來(lái)以下四種威脅：資訊盜竊、身份盜竊、資料遺失/操縱、服務(wù)中斷8.1.1 網(wǎng)路入侵風(fēng)險(xiǎn)操作練習(xí)8.1.2 網(wǎng)路入侵的來(lái)源網(wǎng)路入侵者呵斥的平安威脅能夠來(lái)自網(wǎng)路內(nèi)部和外部?jī)蓚€(gè)源頭。外部威脅是由組織外部活動(dòng)的個(gè)人引起的。他們沒(méi)有存取組織電腦系統(tǒng)或網(wǎng)路的權(quán)限。外部攻擊者主要透過(guò)網(wǎng)際網(wǎng)路、無(wú)線連結(jié)或撥號(hào)存取伺服器進(jìn)入網(wǎng)路。8.1.2 網(wǎng)路入侵的來(lái)源內(nèi)部威脅是由具備授權(quán)運(yùn)用者帳戶的個(gè)人，或能夠?qū)嶋H接觸網(wǎng)路設(shè)備的人員導(dǎo)致的。內(nèi)部攻擊者瞭

3、解內(nèi)部的政策和人員。他們往往清楚的知道，什麼資訊有價(jià)值而且易受攻擊，以及如何獲得該資訊。然而，並非一切內(nèi)部攻擊都是故意的。在某些情況下，一個(gè)受信任的員工在公司外部任務(wù)時(shí)能夠會(huì)感染上病毒或平安威脅，然後在不知情的情況下將它帶到內(nèi)部網(wǎng)路中，從而呵斥內(nèi)部威脅。許多公司都在防禦外部攻擊上花費(fèi)了大量資源，但大多數(shù)威脅其實(shí)來(lái)自內(nèi)部。據(jù) FBI 調(diào)查顯示，在報(bào)告的平安入侵事件中，約有 70% 都是因內(nèi)部存取和電腦系統(tǒng)帳戶運(yùn)用不當(dāng)呵斥的。8.1.3社交工程和網(wǎng)路釣魚(yú)對(duì)於內(nèi)外兩個(gè)源頭的入侵者而言，要想獲得存取權(quán)，最簡(jiǎn)單的一種方法就是利用人類行為的弱點(diǎn)。利用人類弱點(diǎn)的常見(jiàn)方法之一便是社交工程(Social Eng

4、ineering) 。社交工程中最常用的三種技術(shù)有：冒名申請(qǐng)、網(wǎng)路釣魚(yú)和語(yǔ)音網(wǎng)路釣魚(yú)。8.1.3社交工程和網(wǎng)路釣魚(yú)冒名申請(qǐng) (Pretexting) 是一種社交工程方式，攻擊者會(huì)對(duì)受害人編造虛假情景冒名申請(qǐng)，以使受害人洩漏資訊或執(zhí)行某種操作。通常是透過(guò)電話聯(lián)絡(luò)攻擊目標(biāo)。要使冒名申請(qǐng)起作用，攻擊者必須能夠與目標(biāo)人員或受害人建立合理聯(lián)絡(luò)。為此，攻擊者普通需求預(yù)先進(jìn)行一些瞭解或研討。例如，假設(shè)攻擊者知道攻擊目標(biāo)的社會(huì)保險(xiǎn)號(hào)碼，他們就會(huì)運(yùn)用該資訊來(lái)獲取攻擊目標(biāo)的信任。那麼攻擊目標(biāo)便很有能夠進(jìn)一步?jīng)┵Y訊。8.1.3社交工程和網(wǎng)路釣魚(yú)網(wǎng)路釣魚(yú)是一種社交工程方式，網(wǎng)路釣魚(yú)者將本人偽裝成外部機(jī)構(gòu)的合法人員。

5、他們通常透過(guò)電子郵件聯(lián)絡(luò)攻擊目標(biāo)個(gè)人網(wǎng)路釣魚(yú)受害者。網(wǎng)路釣魚(yú)者能夠會(huì)聲稱，為了防止某些糟糕的後果，要求攻擊目標(biāo)提供確認(rèn)資訊例如密碼或運(yùn)用者名稱 。8.1.3社交工程和網(wǎng)路釣魚(yú)語(yǔ)音網(wǎng)路釣魚(yú)/電話網(wǎng)路釣魚(yú)一種運(yùn)用 IP 語(yǔ)音 (VoIP) 的新式社交工程被稱為語(yǔ)音網(wǎng)路釣魚(yú)(vishing)。在語(yǔ)音網(wǎng)路釣魚(yú)攻擊中，運(yùn)用者會(huì)收到一封語(yǔ)音郵件，郵件中指示他們撥打一個(gè)看上去像是正規(guī)電話銀行服務(wù)的電話號(hào)碼。隨後，沒(méi)有設(shè)防的運(yùn)用者撥打該號(hào)碼時(shí)，通話會(huì)被竊賊截聽(tīng)。為了進(jìn)行確認(rèn)而透過(guò)電話輸入的銀行帳戶號(hào)碼或密碼便會(huì)被攻擊者竊取。8.2.1 病毒、蠕蟲(chóng)和特洛伊木馬其他類型的攻擊，這些攻擊借助電腦軟體的破綻來(lái)執(zhí)行。此

6、類攻擊技術(shù)包括：病毒、蠕蟲(chóng)和特洛伊木馬。一切這些都是侵入主機(jī)的惡意軟體。它們會(huì)損壞系統(tǒng)、破壞資料以及拒絕對(duì)網(wǎng)路、系統(tǒng)或服務(wù)的存取。它們還可將資料和個(gè)人詳細(xì)資訊從沒(méi)有設(shè)防的 PC 運(yùn)用者轉(zhuǎn)送到犯罪者手中。在許多情況下，它們會(huì)本身複製，然後傳播至連接到該網(wǎng)路的其他主機(jī)。8.2.1病毒、蠕蟲(chóng)和特洛伊木馬病毒是透過(guò)修正其他程式或檔案來(lái)執(zhí)行和傳播的一種程式。病毒無(wú)法自行啟動(dòng)，而需求被啟動(dòng)。有的病毒一旦啟動(dòng)，便會(huì)迅速自我複製並四處傳播，但不會(huì)執(zhí)行其他操作。這類病毒雖然很簡(jiǎn)單，但依然非常危險(xiǎn)，因?yàn)樗鼈儠?huì)迅速佔(zhàn)用一切可用記憶體，導(dǎo)致系統(tǒng)停機(jī)。編寫(xiě)的更為惡毒的病毒能夠會(huì)在傳播前刪除或破壞特定的檔案。病毒可透過(guò)電

7、子郵件附件、下載的檔案、即時(shí)訊息或磁片、CD 或 USB 裝置傳送。觀看動(dòng)畫(huà)8.2.1病毒、蠕蟲(chóng)和特洛伊木馬蠕蟲(chóng)類似於病毒，與病毒不同的是它無(wú)需將本身附加到現(xiàn)有的程式中。蠕蟲(chóng)運(yùn)用網(wǎng)路將本人的副本傳送到所連接的一切主機(jī)中。蠕蟲(chóng)可獨(dú)立執(zhí)行並迅速傳播，它並不一定需求啟動(dòng)或人為干預(yù)才會(huì)發(fā)作。自我傳播的網(wǎng)路蠕蟲(chóng)所呵斥的影響能夠比單個(gè)病毒更為嚴(yán)重，而且可迅速呵斥網(wǎng)際網(wǎng)路大面積感染。特洛伊木馬是一種非自我複製型程式，它以合法程式的容顏出現(xiàn)，但實(shí)質(zhì)上卻是一種攻擊工具。特洛伊木馬依賴於其合法的外表來(lái)欺騙受害人啟動(dòng)該程式。它的危害性能夠相對(duì)較低，但也能夠包含可損壞電腦硬碟內(nèi)容的程式碼。特洛伊木馬還可為系統(tǒng)建立後門

8、，從而使駭客獲得存取權(quán)。8.2.1 阻斷服務(wù)和暴力攻擊阻斷服務(wù) (DoS)DoS 攻擊是針對(duì)單個(gè)電腦或一組電腦執(zhí)行的一種侵略性攻擊，目的是拒絕為特定運(yùn)用者提供服務(wù)。DoS 攻擊可針對(duì)運(yùn)用者系統(tǒng)、伺服器、路由器和網(wǎng)路連結(jié)發(fā)起。兩種常見(jiàn)的 DoS 攻擊為：SYN併發(fā)氾濫攻擊 向伺服器傳送大量請(qǐng)求用戶端連接的封包。這些封包中包含無(wú)效的來(lái)源 IP 位址。伺服器會(huì)因?yàn)樵噲D回應(yīng)這些虛假請(qǐng)求而變得極為忙錄，導(dǎo)致無(wú)法回應(yīng)合法請(qǐng)求。死亡之 ping：向裝置傳送超過(guò) IP 所允許的最大值65,535 位元組的封包。這可導(dǎo)致接納系統(tǒng)異常。8.2.1 阻斷服務(wù)和暴力攻擊8.2.1 阻斷服務(wù)和暴力攻擊分散式阻斷服務(wù)(D

9、DoS)DDoS 是一種更為狡猾且更具破壞性的 DoS 攻擊方式，其目的是運(yùn)用無(wú)用的資料淹沒(méi)網(wǎng)路連結(jié)。DDoS 的執(zhí)行規(guī)模遠(yuǎn)比 DoS 攻擊更大，通常會(huì)有成百上千個(gè)攻擊點(diǎn)試圖同時(shí)淹沒(méi)攻擊目標(biāo)。攻擊點(diǎn)能夠是之前沒(méi)有設(shè)防而感染了 DDoS 程式碼的電腦。感染 DDoS 程式碼的系統(tǒng)會(huì)在被呼叫時(shí)攻擊目標(biāo)站臺(tái)。暴力攻擊在暴力攻擊中，攻擊者運(yùn)用執(zhí)行速度很快的電腦來(lái)嘗試猜測(cè)密碼或破解加密金鑰。攻擊者會(huì)在短時(shí)間內(nèi)嘗試大量能夠的密碼來(lái)獲取存取權(quán)或破解金鑰。暴力攻擊可引起針對(duì)特定資源的流量過(guò)大或運(yùn)用者帳戶鎖定，從而導(dǎo)致阻斷服務(wù)。8.2.3 間諜軟體、追蹤C(jī)ookie、廣告軟體和快顯許多威脅的目的是搜集運(yùn)用者的相

10、關(guān)資訊以用於廣告、行銷和研討目的。儘管它們能夠不會(huì)損壞電腦，但仍會(huì)進(jìn)犯隱私，而且非常招人反感。間諜軟體是一種程式，用於在未得到運(yùn)用者認(rèn)可或運(yùn)用者不知情的情況下從電腦中搜集個(gè)人資訊。然後，這些個(gè)人資訊會(huì)傳送至網(wǎng)際網(wǎng)路上的廣告商或第三方，其中能夠包含密碼和帳戶號(hào)碼。間諜軟體通常是在下載檔案、安裝其他程式或按一下快顯時(shí)暗中安裝。它會(huì)降低電腦速度，變更內(nèi)部設(shè)定，導(dǎo)致更多的破綻暴露給其他威脅。此外，間諜軟體也難以刪除。追蹤C(jī)ookie： Cookie 是間諜軟體的一種方式，但也有一些 Cookie 起到積極的作用。Cookie 用於在網(wǎng)際網(wǎng)路運(yùn)用者存取網(wǎng)站時(shí)記錄運(yùn)用者的資訊。由於它允許個(gè)性化定制以及其他

11、一些節(jié)省時(shí)間的方法，所以能夠相當(dāng)有用並受人歡迎。許多網(wǎng)站都要求運(yùn)用者啟用 cookie 後才干進(jìn)行連接。8.2.3 間諜軟體、追蹤C(jī)ookie、廣告軟體和快顯廣告軟體是另一種方式的間諜軟體，它透過(guò)運(yùn)用者存取的網(wǎng)站搜集運(yùn)用者資訊。這些資訊之後會(huì)被利用進(jìn)行針對(duì)性的廣告宣傳。快顯和背顯式廣告是運(yùn)用者在瀏覽網(wǎng)站時(shí)顯示的附加廣告宣傳視窗。與廣告軟體不同，快顯和背顯式廣告並不搜集關(guān)於運(yùn)用者的資訊，而且通常只與所存取的網(wǎng)站關(guān)聯(lián)?？祜@：在目前瀏覽器視窗的前端開(kāi)啟。背顯式廣告：在目前瀏覽器視窗的後端開(kāi)啟。8.2.3 間諜軟體、追蹤C(jī)ookie、廣告軟體和快顯8.2.4 渣滓郵件渣滓郵件是非常嚴(yán)重的網(wǎng)路威脅，可導(dǎo)

12、致 ISP、電子郵件伺服器和運(yùn)用者系統(tǒng)不堪重負(fù)。傳送渣滓郵件的個(gè)人或組織稱為渣滓郵件傳送者。渣滓郵件傳送者通常利用未受平安保護(hù)的電子郵件伺服器來(lái)轉(zhuǎn)送電子郵件。渣滓郵件傳送者能夠運(yùn)用駭客技術(shù)例如病毒、蠕蟲(chóng)和特洛伊木馬來(lái)控制家用電腦。受控的這些電腦就會(huì)被用來(lái)在主人毫不知情的情況下傳送渣滓郵件。渣滓郵件可透過(guò)電子郵件傳送，如今它們還可透過(guò)即時(shí)訊息軟體傳送。據(jù)估計(jì)，網(wǎng)際網(wǎng)路上的每個(gè)運(yùn)用者每年收到的渣滓電子郵件超過(guò) 3,000 封。渣滓郵件耗費(fèi)了大量的網(wǎng)際網(wǎng)路頻寬，此問(wèn)題的嚴(yán)重性已引起了許多國(guó)家的重視，各國(guó)紛紛出臺(tái)法律控制渣滓郵件的運(yùn)用。觀看動(dòng)畫(huà)8.3.1 常用平安措施平安風(fēng)險(xiǎn)無(wú)法徹底消除或預(yù)防。但是，

13、有效的風(fēng)險(xiǎn)管理和評(píng)估可顯著減少現(xiàn)有的平安風(fēng)險(xiǎn)。要將風(fēng)險(xiǎn)降至最低，人們必須認(rèn)識(shí)到一點(diǎn)：沒(méi)有任何一件產(chǎn)品可為組織提供絕對(duì)的平安保護(hù)。要獲得真正的網(wǎng)路平安，需求結(jié)合採(cǎi)用多種產(chǎn)品和服務(wù)、制定全面的平安政策並嚴(yán)格實(shí)作該政策。8.3.1 常用平安措施平安政策透過(guò)平安程序來(lái)實(shí)施。這些程序定義了主機(jī)和網(wǎng)路裝置的設(shè)定、登入、稽核和維護(hù)過(guò)程。其中包括運(yùn)用預(yù)防性措施來(lái)降低風(fēng)險(xiǎn)，以及採(cǎi)用主動(dòng)措施來(lái)處理知平安威脅。可保護(hù)網(wǎng)路平安的一些平安工具和應(yīng)用程式有：軟體修補(bǔ)程式和更新病毒防護(hù)間諜軟體防護(hù)渣滓郵件攔截器快顯封鎖程式防火牆觀看動(dòng)畫(huà)8.3.2 更新和修補(bǔ)程式駭客用來(lái)獲取主機(jī)和或網(wǎng)路存取權(quán)的最常見(jiàn)方法之一便是利用軟體破綻

14、，因此及時(shí)對(duì)軟體應(yīng)用程式應(yīng)用最新平安性修正程式和更新以阻止威脅極為重要。修補(bǔ)程式是修復(fù)特定問(wèn)題的一小段程式碼。更新則能夠包含要新增到套裝軟體中的附加功能以及針對(duì)特定問(wèn)題的修補(bǔ)程式。作業(yè)系統(tǒng)例如 Linux、Windows 等和應(yīng)用程式廠商會(huì)不斷提供更新和平安性修補(bǔ)程式，以更正軟體中知的破綻。此外，廠商通常還會(huì)發(fā)佈修補(bǔ)程式和更新的集合，稱為服務(wù)套件。值得慶倖的是，許多作業(yè)系統(tǒng)都具有自動(dòng)更新功能，可在主機(jī)上自動(dòng)下載和安裝作業(yè)系統(tǒng)與應(yīng)用程式更新。8.3.3 防病毒軟體檢測(cè)病毒即使作業(yè)系統(tǒng)和應(yīng)用程式安裝了一切最新的修補(bǔ)程式和更新，依然容易遭到攻擊。任何連接到網(wǎng)路的裝置都能夠會(huì)感染上病毒、蠕蟲(chóng)和特洛伊木

15、馬。這些攻擊可損壞作業(yè)系統(tǒng)程式碼、影響電腦效能、變更應(yīng)用程式和毀壞資料。感染病毒、蠕蟲(chóng)或特洛伊木馬後，能夠出現(xiàn)的癥狀有：電腦行為開(kāi)始變得不正常。程式不回應(yīng)滑鼠和按鍵程式自行啟動(dòng)或關(guān)閉電子郵件程式開(kāi)始外發(fā)大量電子郵件。CPU 運(yùn)用率非常高。有不認(rèn)識(shí)的或大量的程序執(zhí)行電腦速度顯著下降或崩潰。8.3.3 防病毒軟體防病毒軟體可用作預(yù)防工具和反應(yīng)工具。它可預(yù)防感染，並能偵測(cè)和刪除病毒、蠕蟲(chóng)和特洛伊木馬。連接到網(wǎng)路的一切電腦都應(yīng)安裝防病毒軟體。市面上存在許多防病毒程式。防病毒程式可具有以下功能：電子郵件檢查 掃描傳入和傳出電子郵件，辨識(shí)可疑的附件。常駐動(dòng)態(tài)掃描 在存取可執(zhí)行檔和文件時(shí)對(duì)它們進(jìn)行檢查。計(jì)畫(huà)

16、掃描 可根據(jù)計(jì)畫(huà)按固定的間隔執(zhí)行病毒掃描以及檢查特定的磁碟機(jī)或整個(gè)電腦。自動(dòng)更新 檢查和下載知的病毒特徵碼和樣式，並可設(shè)為定期檢查更新。8.3.4反渣滓郵件渣滓郵件不僅惹人討厭，還能夠呵斥電子郵件伺服器超載，有時(shí)還攜帶有病毒和其他平安威脅。渣滓郵件傳送者還可以透過(guò)在主機(jī)上植入病毒或特洛伊木馬程式碼來(lái)控制主機(jī)。讓受控主機(jī)在運(yùn)用者毫不知情的情況下傳送渣滓郵件。遭到這種方式感染的電腦稱為渣滓郵件製造廠反渣滓郵件軟體可鑑別渣滓郵件並執(zhí)行相應(yīng)操作例如將其放置到渣滓郵件資料夾或刪除，從而為主機(jī)提供保護(hù)。此類軟體可在機(jī)器本地載入，也可在電子郵件伺服器上載入。此外，許多 ISP 也提供渣滓郵件過(guò)濾器。反渣滓郵

17、件軟體無(wú)法辨識(shí)一切的渣滓郵件，因此開(kāi)啟電子郵件時(shí)仍須非常謹(jǐn)慎。有時(shí)候，有用的電子郵件也會(huì)被錯(cuò)誤地當(dāng)作渣滓郵件處理了。觀看動(dòng)畫(huà)除了運(yùn)用渣滓郵件攔截器以外，還可運(yùn)用其他預(yù)防措施來(lái)防止渣滓郵件傳播，這些措施包括：及時(shí)安裝現(xiàn)有的作業(yè)系統(tǒng)和應(yīng)用程式更新。定期執(zhí)行防病毒程式，並始終堅(jiān)持最新版本。不要轉(zhuǎn)送可疑的電子郵件。不要開(kāi)啟電子郵件附件，尤其是來(lái)自陌生人的郵件附件。設(shè)定電子郵件規(guī)則，刪除繞過(guò)反渣滓郵件軟體的渣滓郵件。鑑別渣滓郵件來(lái)源，並將其報(bào)告給網(wǎng)路管理者以便阻隔該來(lái)源。將事件報(bào)告給處理渣滓郵件濫用的政府機(jī)構(gòu)。8.3.4反渣滓郵件8.3.5反間諜軟體反間諜軟體和廣告軟體間諜軟體和廣告軟體也會(huì)導(dǎo)致類似病毒

18、的癥狀。除了搜集未經(jīng)授權(quán)的資訊外，它們還會(huì)佔(zhàn)用重要的電腦資源並影響效能。反間諜軟體可偵測(cè)和刪除間諜軟體應(yīng)用程式，並防止這些程式將來(lái)再度安裝。許多反間諜軟體應(yīng)用程式還包括 cookie 及廣告軟體的偵測(cè)和刪除功能。某些防病毒套裝軟體具有反間諜軟體功能?？祜@封鎖程式可安裝快顯封鎖程式軟體來(lái)阻止快顯和背顯式廣告。許多 Web 瀏覽器預(yù)設(shè)包含快顯封鎖程式的功能。請(qǐng)留意，某些程式和網(wǎng)頁(yè)會(huì)產(chǎn)生必要和有用的快顯視窗。因此，大多數(shù)快顯封鎖程式都具有略過(guò)功能即允許某些快顯視窗。8.4.1 什麼是防火牆防火牆是保護(hù)內(nèi)部網(wǎng)路運(yùn)用者遠(yuǎn)離外部威脅的最為有效的平安工具之一。防火牆位於兩個(gè)或多個(gè)網(wǎng)路之間，控制其間的流量並幫

19、助阻止未授權(quán)的存取。防火牆產(chǎn)品運(yùn)用多種技術(shù)來(lái)區(qū)分應(yīng)制止和應(yīng)允許的網(wǎng)路存取。封包過(guò)濾 根據(jù) IP 或 MAC 位址阻止或允許存取。應(yīng)用程式/網(wǎng)站過(guò)濾 根據(jù)應(yīng)用程式來(lái)阻止或允許存取。網(wǎng)站攔截則透過(guò)指定網(wǎng)站 URL 位址或關(guān)鍵字來(lái)實(shí)現(xiàn)。狀態(tài)封包偵測(cè) (SPI) 傳入封包必須是對(duì)內(nèi)部主機(jī)所發(fā)出請(qǐng)求的合法回應(yīng)。除非得到特別允許，否則未經(jīng)請(qǐng)求的封包會(huì)被攔截。狀態(tài)封包偵測(cè)還可具有辨識(shí)和過(guò)濾特定類型攻擊例如 DoS的才干。8.4.1 什麼是防火牆防火牆可援助一個(gè)或多個(gè)此類過(guò)濾功能。此外，防火牆通常會(huì)執(zhí)行網(wǎng)路位址轉(zhuǎn)換 (NAT)。網(wǎng)路位址轉(zhuǎn)換將一個(gè)內(nèi)部位址或一組位址轉(zhuǎn)換為一個(gè)公開(kāi)的外部位址，該位址會(huì)透過(guò)網(wǎng)路傳送

20、。從而實(shí)現(xiàn)了對(duì)外部運(yùn)用者隱藏內(nèi)部 IP 位址的目的。8.4.1 什麼是防火牆防火牆產(chǎn)品具有各種方式：基於裝置的防火牆 此類防火牆內(nèi)建在專用的硬體裝置稱為平安裝置中。基於伺服器的防火牆 此類防火牆是在網(wǎng)路作業(yè)系統(tǒng)NOS，例如 UNIX、Windows 或 Novell上執(zhí)行的防火牆應(yīng)用程式。整合防火牆 此類防火牆透過(guò)對(duì)現(xiàn)有裝置例如路由器新增防火牆功能來(lái)實(shí)現(xiàn)。個(gè)人防火牆 此類防火牆位於主機(jī)電腦中，不是被設(shè)計(jì)用於 (保護(hù)) LAN 實(shí)作。它可以由作業(yè)系統(tǒng)預(yù)設(shè)提供，也可以由外部廠商提供安裝。8.4.2 運(yùn)用防火牆透過(guò)在內(nèi)部網(wǎng)路內(nèi)部網(wǎng)路和網(wǎng)際網(wǎng)路之間設(shè)定防火牆作為邊界裝置，一切往來(lái)網(wǎng)際網(wǎng)路的流量都會(huì)被監(jiān)

21、視和控制。如此一來(lái)，便在內(nèi)部和外部網(wǎng)路之間劃分了一條明晰的防禦界線。然而，能夠會(huì)有一些外部客戶需求存取內(nèi)部資源。為此，可設(shè)定一個(gè)非軍事區(qū) (DMZ) 。術(shù)語(yǔ)非軍事區(qū)借用自軍事用語(yǔ)，它代表兩股勢(shì)力之間的一個(gè)指定區(qū)域，在該區(qū)域內(nèi)不允許執(zhí)行任何軍事活動(dòng)。在電腦網(wǎng)路中，非軍事區(qū)代表內(nèi)部和外部運(yùn)用者都可存取的網(wǎng)路區(qū)域。其平安性高於外部網(wǎng)路，低於內(nèi)部網(wǎng)路。它是由一個(gè)或多個(gè)防火牆建立的，這些防火牆起到分隔內(nèi)部、非軍事區(qū)和外部網(wǎng)路的作用。用於公開(kāi)存取的 Web 伺服器通常位於非軍事區(qū)中。觀看動(dòng)畫(huà)8.4.2 運(yùn)用防火牆單防火牆設(shè)定單個(gè)防火牆包含三個(gè)區(qū)域，分別用於外部網(wǎng)路、內(nèi)部網(wǎng)路和非軍事區(qū)。來(lái)自外部網(wǎng)路的一切流量都被傳送到防火牆。然後防火牆會(huì)監(jiān)控流量，決定哪些流量應(yīng)傳送到非軍事區(qū)，哪些應(yīng)傳送到內(nèi)部