網絡安全技術概念和模式

1、 網絡安全技術概念和模式網絡安全第一節(jié) 計算機網絡安全的概念計算機網絡的幾個概念： 多機系統(tǒng) 終端型網絡 計算機局域網絡 計算機廣域網絡 國際互聯(lián)網絡（英特網）Internet網絡安全第一節(jié) 計算機網絡安全的概念開放的、分布式協(xié)同計算環(huán)境中，原有的安全措施很難奏效（ 特別是以后的Computing Grid環(huán)境，問題更多）結構松散，異地分散，無法有效管理用戶透明，資源共享，面臨多種攻擊網絡系統(tǒng)規(guī)模日益龐大，必然導致系統(tǒng)安全性、可靠性降低設計缺陷，給安全帶來影響無法消除，如操作系統(tǒng)的管理員權限，TCP/IP協(xié)議等軟件的可靠性有限，存在缺陷和后門，給攻擊者機會網絡安全的面臨挑戰(zhàn)系統(tǒng)復雜帶來的安全問

2、題系統(tǒng)和網絡的復雜性Internet跨越無數組織和國家，網絡互連設備和通信介質多種多樣連接在Internet上的計算機和操作系統(tǒng)種類繁多很難從根本上解決全部安全問題系統(tǒng)設計帶來的安全問題 系統(tǒng)設計中的缺陷操作系統(tǒng)、網絡協(xié)議和應用系統(tǒng)的設計中都或多或少的存在缺陷早期的系統(tǒng)設計中對安全問題考慮較少、缺乏足夠的安全知識和經驗、沒有形成嚴密的安全體系，隨著網絡的不斷龐大，很難從根本上完全消除這些缺陷 系統(tǒng)實現(xiàn)帶來的安全問題 系統(tǒng)實現(xiàn)中的缺陷即使在系統(tǒng)設計中考慮周全，也可能出現(xiàn)對設計的理解上不一致，使得實現(xiàn)的系統(tǒng)并不是設計時所想象的系統(tǒng)，在實現(xiàn)細節(jié)上考慮不周系統(tǒng)實現(xiàn)中的缺陷還往往出現(xiàn)在程序的錯誤上，由于

3、時間所限，加之測試工具限制，許多系統(tǒng)未經充分測試就投入運行系統(tǒng)管理帶來的安全問題 即使在系統(tǒng)設計和系統(tǒng)實現(xiàn)過程中都較好地避免缺陷存在，但是系統(tǒng)管理員和安全員是否正確地安裝、配置了系統(tǒng)？是否做好有效的安全隔離？是否清楚信任主機的安全狀況？是否定期檢查重要系統(tǒng)文件？其它 著名的例子：蠕蟲病毒 Internet蠕蟲Robert T. Morris編寫的一組C語言程序，它能通過網絡傳輸和繁殖，導致計算機速度減慢并停機1988年10月25日，Morris使用Guesses程序在Cornell和Standford上搜索到336個口令1988年10月29日， Morris已經發(fā)現(xiàn)435個可以用來進入網絡的口

4、令蠕蟲擴散的經過 1988年11月2日下午5點，Worm進入Cornell大學的計算機中，幾小時之內，就傳播到Berkeley，Harvard，MIT，Princeton，Purdue，Standford等大學以及NASA研究中心等幾百個其它研究中心1988年11月2日晚上10點，Lawrence Livermore國家實驗室800臺計算機的網絡感染Worm。Morris試圖通過Internet發(fā)出一個告警信息，但大學的計算機系統(tǒng)已經癱瘓。幾小時之內，全國范圍內的6000多臺機器受到了感染 蠕蟲的技術攻擊特點 漏洞：通過精心設計的郵件給sendmail系統(tǒng)，可以強制sendmail以超級用戶的

5、權限執(zhí)行命令；可以確定遠程主機操作系統(tǒng)信息、以及可運行的程序。緩沖溢出：利用finger可以看到系統(tǒng)中的敏感信息；由于系統(tǒng)調用get()時不檢查參數的長度，用戶控制下出現(xiàn)緩沖區(qū)溢出；如果熟悉操作系統(tǒng)，可以在遇到緩沖區(qū)溢出時轉而執(zhí)行另一程序（如Shell，成為root用戶） 網絡安全 一、網絡計算引起的革命和問題 “網絡就是計算機”，“數字化地球”，“系統(tǒng)就是網絡、網絡就是系統(tǒng)” 1.世界網絡化 世界縮小，時空縮小，高科技社會中，高科技技術的應用與高技術犯罪并存. 第一節(jié) 計算機網絡安全的概念網絡安全 2.系統(tǒng)開放性 分散和分布式計算環(huán)境基于開放性技術，但開放不是公開開放性與安全性的矛盾和對抗，

6、系統(tǒng)開放與系統(tǒng)保密成為矛盾中的統(tǒng)一。 3.信息共享、資源共享 共享的概念，不是所有信息都共享 信息是有價值的，有價信息的擁有權 敏感信息、私有信息與垃圾信息第一節(jié) 計算機網絡安全的概念網絡系統(tǒng)設計的原則： 用戶 應用 軟件 硬件 需求 方案 平臺 平臺 * 實用性 * 可靠性 * 先進性 * 高安全性 * 開放性 * 經濟性 * 可擴充性 * 易維護性網絡安全第一節(jié) 計算機網絡安全的概念網絡安全 全球通訊均遭英美操縱的監(jiān)察系統(tǒng)截查英美合作截查全球通訊，截聽長話，利用聲音辨認系統(tǒng)監(jiān)聽目標人物的對話內容。情報處理系統(tǒng)從軍事監(jiān)察擴展至非軍事用途，對政府、商業(yè)及其他機構進行例行及非選擇性的監(jiān)察。 由于

7、大部分互聯(lián)網服務器都分布在美國或必須途經美國分布信息，因此，大部分透過互聯(lián)網發(fā)放的國際通訊或信息都以美國為交匯點，隨時可能受到美國國家安全局截查。第一節(jié) 計算機網絡安全的概念網絡安全 美國每年平均發(fā)生了數十萬起重大的網絡入侵和惡意攻擊事件，其中約十分之一的攻擊成功地侵入了系統(tǒng)（美聯(lián)邦調查局統(tǒng)計），因此每年造成平均上百億美元的經濟損失。 網絡入侵問題是困擾所有網絡專家、信息專家和計算機安全專家們的重要的問題，網絡入侵包含了很多技術問題、管理問題和應用問題，其中，網絡中斷、非法訪問、信息竊取、數據篡改、信息偵察等頻繁發(fā)生在當前網絡應用中，“黑客”技術在不知不覺中被正常地和非正常地使用。 第一節(jié) 計

8、算機網絡安全的概念網絡安全 三、網絡的入侵者 * 黑客(Hacker)： 網絡入侵者通稱“黑客”，公眾對這個字眼帶有強烈的貶意和否定，其實黑客的原意是泛指對任何計算機系統(tǒng)、操作系統(tǒng)、網絡系統(tǒng)的奧秘都具有強烈興趣的人。他們大部分都具有計算機操作系統(tǒng)和編程語言方面的高級知識，了解系統(tǒng)中的漏洞及其原因，他們不斷追求新的、更深的知識和技術，并公開他們的發(fā)現(xiàn)，與其他人分享，他們自己宣稱決不、也從來沒有破壞數據的企圖。第一節(jié) 計算機網絡安全的概念網絡安全 惡意黑客（駭客）滲入計算機系統(tǒng)和網絡系統(tǒng)并獲取其內部工作的情況和知識，非法訪問、尋找、竊取資源和信息。惡意黑客會有目的的篡改系統(tǒng)數據和資源，修改系統(tǒng)配置

9、，甚至遠程控制目標系統(tǒng)。第一節(jié) 計算機網絡安全的概念網絡安全 * 竊客(Phreaker)： 即“電信黑客”或“電信竊客”。他們與網絡黑客不同，主要與 公司打交道。采用不同的種種“手段”和“詭計”，如攔截傳輸信號，從而操縱 公司，并機盜打用戶移動 ，免費撥打區(qū)域和長途 等。并從電信網站、電信傳輸和用戶通信中某利，獲取所需敏感信息。第一節(jié) 計算機網絡安全的概念網絡安全* 怪客(Cracker)： 網絡上的匿名攻擊者，專門進行網絡入侵攻擊，發(fā)布干擾信息， 傳輸網絡垃圾等,并以此為樂。第一節(jié) 計算機網絡安全的概念網絡安全 “黑客”與“黑客技術”目前帶有貶意，實際上在計算機安全的領域內，國外對計算機和

10、網絡“黑客”的看法，也有兩種觀點。 1）“黑客”是非法使用計算機系統(tǒng)和網絡系統(tǒng)的人，會給網絡安全帶來極大影響。 2）“黑客”是一群計算機迷，他們以查找網絡和系統(tǒng)缺陷為榮，有利于網絡安全的。 我們認為，基于信息對抗、計算機對抗的基礎，我們必須既要防御非法“黑客”的攻擊，也要研究和利用“黑客”技術來維護網絡安全，不斷地發(fā)現(xiàn)網絡的漏洞，不斷地改進安全系統(tǒng)。第一節(jié) 計算機網絡安全的概念網絡安全四、網絡犯罪特點 網絡犯罪與傳統(tǒng)犯罪有很多不同，網絡犯罪有如下一些特點： 網絡犯罪高技術化、專業(yè)化。 犯罪者具有高智商，熟悉并掌握電腦技術、電信技術或者網絡技術，了解電子數據資料結構和數據庫，作案手段復雜隱蔽，有

11、的情況下使正常操作與犯罪活動很難區(qū)分。第一節(jié) 計算機網絡安全的概念網絡安全 網絡犯罪動機復雜化。 它既包含了傳統(tǒng)犯罪中的謀財害命、發(fā)泄報復、恐怖暴力、欺詐拐騙等，還滲入了更深厚的政治、軍事、經濟、宗教色彩。第一節(jié) 計算機網絡安全的概念網絡安全 網絡犯罪的覆蓋面更廣，日趨國際化。 利用網絡的互聯(lián)，縮短了時間和空間，犯罪分子在作案、通信、交易、逃匿等方面可以易地進行 異地作案的可能性極大，使得作案隱蔽性更強，危害更大。第一節(jié) 計算機網絡安全的概念網絡安全 網絡犯罪人員趨于年青化。 調查統(tǒng)計，電腦犯罪者的平均年齡約在25歲左右。青年人聰明好動、虛榮心大、探索意識強，但也最容易在網絡上掉入網絡陷阱，受

12、到邪惡引誘而誤入歧途。第一節(jié) 計算機網絡安全的概念網絡安全 網絡犯罪的形式多樣化。 它既具有傳統(tǒng)犯罪中的各種形式，還包含了更嚴重的犯罪教唆、展示、指導、引誘、服務等等。網絡色情的泛濫、網絡邪教的誘惑、沒落文化和反動文化的泛起都威脅到整個網絡世界。第一節(jié) 計算機網絡安全的概念網絡安全 五、網絡安全的技術特點 1.資源共享與分布 是網絡的主要目的，也是網絡的脆弱性， 分布的廣域性增大了受攻擊的可能性，單機系統(tǒng)的安全控制已不足以保證網絡全局的安全。 2.網絡系統(tǒng)的復雜性 系統(tǒng)互連、控制分散、異構結點。任何一個結點的安全漏洞都可能導致整個系統(tǒng)的不安全，信息爆炸使存儲和傳輸不堪重負；攻擊的入口增多、破壞

13、面增大、檢測困難且開銷很大。第一節(jié) 計算機網絡安全的概念網絡安全 3.安全的可信性 網絡的可擴展性使網絡邊界具有不確定性；網絡安全的可信性隨網絡擴展而下降；不可信結點、惡意結點的嚴重威脅 4. 安全不確定性 網絡分支廣，存在多條可能的安全漏洞；不安全的路徑存在不確定性；故障定位的不確定性。第一節(jié) 計算機網絡安全的概念網絡安全 5. 信息安全的特殊性 信息的真實性，網絡通信只保證了無差錯傳輸，無法保證信息的真實性、完整性，收發(fā)雙方無法對傳輸信息加以控制和監(jiān)視。 6.網絡安全的長期性 矛盾貫穿始終，長期對抗。不可能存在一勞永逸、絕對安全的系統(tǒng)安全策略和安全機制，安全的目標和安全策略，是在一定條件（

14、環(huán)境與技術）下的合理性。第一節(jié) 計算機網絡安全的概念網絡安全 六、網絡安全性范圍 1. 網絡類型 電信網絡、電視網絡、計算機網絡，重點在計算機網絡 2. 計算機網絡的組成 計算機系統(tǒng)、通信系統(tǒng)、網絡互連設備 系統(tǒng)運行平臺、網絡管理軟件系統(tǒng) 第一節(jié) 計算機網絡安全的概念網絡安全 3. 網絡安全領域 計算機系統(tǒng)安全 系統(tǒng)硬件安全、存儲系統(tǒng)安全、操作系統(tǒng)安全、軟件安全 通信系統(tǒng)安全 通信系統(tǒng)與部件可靠性、無線與有線安全、網絡互連設備安全。 網絡系統(tǒng)安全 網管軟件安全、網絡協(xié)議安全性 網絡運行環(huán)境安全、網絡開發(fā)與應用安全第一節(jié) 計算機網絡安全的概念網絡安全 計算機病毒與惡意程序 計算機病毒對抗、攻擊與

15、反攻擊 網絡安全的社會性 網絡垃圾與信息垃圾、反動、色情、頹廢文化。 信息安全與信息戰(zhàn)第一節(jié) 計算機網絡安全的概念網絡安全 七、網絡安全的類別 “網絡就是計算機”，因此，計算機系統(tǒng)安全的幾乎所有領域都在網絡安全中得以體現(xiàn)。網絡系統(tǒng)安全的主要威脅也來源于各個方面，有自然的、硬件的、軟件的、也有人為的疏忽、失誤等。一個沒有設防的系統(tǒng)或者防御性不好的系統(tǒng)，對合法用戶與非法用戶實際上提供了同樣的計算和通信能力，兩者都直接面對系統(tǒng)信息資源。這樣，合法用戶將難以信賴系統(tǒng)的安全價值，產生了系統(tǒng)的可信度(trust) 問題。第一節(jié) 計算機網絡安全的概念網絡安全 網絡可信：保證網絡可靠運行，防止系統(tǒng)崩潰，主要解

16、決硬件故障和軟件故障。 網絡阻塞：主要解決網絡配置、網絡調度不合理，防止網絡廣播風暴和噪聲。 網絡濫用：合法用戶超越權限使用計算機，獲取網絡資源。 網絡入侵：非法用戶非法進入系統(tǒng)和網絡，獲取控制權和網絡資源。第一節(jié) 計算機網絡安全的概念網絡安全 網絡干擾：出于某種目的對計算機和網絡系統(tǒng)運行進行干擾，干擾方式多種，使系統(tǒng)不可信、操作員和系統(tǒng)管理員心理壓力增加、心理戰(zhàn)。施放各種假的和期騙信息，擾亂社會、經濟、金融等。 網絡破壞: 系統(tǒng)攻擊、刪除數據、毀壞系統(tǒng)。非法竊取、盜用、復制系統(tǒng)文件、數據、資料、信息，造成泄密。第一節(jié) 計算機網絡安全的概念網絡安全第二節(jié) 計算機網絡實體安全網絡安全 組成計算機

17、網絡的硬件設備有計算機系統(tǒng)、通信交換設備（交換機、程控機）、網絡互連設備（如收發(fā)器、中繼器、集線器、網橋、路由器、網關等）、存儲設備等，在網絡系統(tǒng)集成中，它們的可靠性和安全性必須自始至終考慮。網絡安全 一、網絡互連設備安全 必須注意互連設備及其工作層次物理層：中繼器repeater，集線器hub數鏈層：網橋bridge，橋路器brouter 交換機switcher網絡層：路由器router，路橋器roudger傳輸層：網關gateway，防火墻firewall網絡安全1. 中繼器及物理層的安全性 中繼器作為一個雙向放大器用于驅動長距離通信，只能用于連接具有相同物理層協(xié)議的局域網，主要用于擴充L

18、AN電纜段(segment)的距離限制。它不具有安全功能，不具備任何過濾功能，不能隔離網段間不必要的網絡流量和網絡信息。網絡安全2. 網橋及鏈路層的安全性 網橋通過數據鏈路層的邏輯鏈路子層(LLC)來選擇子網路徑，接收完全的鏈路層數據幀，并對幀作校驗，同時，在源地址表中查找介質存取控制子層(MAC)的源和目的地址，以決定該幀是否轉發(fā)或者丟棄。網橋通過存儲轉發(fā)功能實現(xiàn)信息幀交換，通過自學習功能建立源MAC地址表，從而在邏輯上分開網絡段，減輕各個邏輯網段上的流量。網絡安全 網橋通過MAC地址判斷選徑，實現(xiàn)數據鏈路層上的數據分流，隔離功能較弱。安全性弱點在于可能導致廣播風暴(broadcast st

19、orm)，如果一個幀的源地址是網橋未學習過的MAC地址，它會將該幀轉發(fā)到它所連接的所有局域網上，從而產生大量的擴散幀。而且，它無法解決同一介質網絡段上可能出現(xiàn)的具有不同IP子網號的主機之間的互訪問題。網絡安全3. 路由器及網絡層的安全性 路由器完成網內地址選徑，防止網內“廣播風暴”的產生，也能實現(xiàn)不同或者相同局域網段上不同IP網號或者子網號主機間的互訪，并提供遠程互連。由于它涉及物理、數鏈、網絡三個層次數據處理，處理時間長(延遲約100-500ms)，且價格昂貴。路由器的隔離功能強于網橋，通過自學習和人工設置方式對數據進行嚴格過濾。網絡安全 給網橋加上類似于路由器的隔離功能，使其能夠阻攔網間不

20、必要的信息交換，就可以防止廣播風暴。將路由器的某些思想、實現(xiàn)方法用于網橋，就形成了所謂橋路器(brouter)，而將路由器內部對IP地址的操作改為對MAC地址的操作，就形成了所謂過濾網橋，也稱路橋器。它通過信息過濾(避免無用信息廣播傳送)和權限設定(防止無權用戶訪問主網和其他網絡資源)來增強安全性。 網絡安全4. 交換機及鏈路層的安全性 由于路由器的配置技術和管理技術較復雜，成本昂貴，數據處理時間延遲較大，在一定程度上降低了網絡性能。此外，在局域網中使用路由器的局限性促進了交換式以太網技術的發(fā)展，導致了交換機對路由器的替換。交換機工作在數據鏈路層，可看作是網橋的硬件延伸，該層中數據交換在硬件中

21、完成，因而可以實現(xiàn)比較高的交換速度。網絡安全5. 網關及網絡高層的安全性 網關并沒有確定的實際產品，目前，安全重點研究的防火墻，實際就是一種帶有不同過濾器的網關。（防火墻的問題見后）計算機網絡二、互連中的接線方式 在通過網絡線連接計算機和網絡設備（HUB、交換機、路由器等）過程中，必須了解RJ45接口雙絞線的連接方式和連接要求，否則，網絡將不會連通。計算機網絡1. 網卡直連方式 兩臺計算機聯(lián)網最簡單最經濟的做法是通過二塊網卡用雙絞線直接連接。二塊網卡不用HUB，用雙絞線直接連接，兩塊網卡需要有RJ45接口，然后制作一條特殊的雙絞線，直接把這條線插到兩臺機器的網卡上即可。計算機網絡 特殊雙絞線的

22、具體制作方法：將 RJ45一頭的第一根線與第三根線調換，第二根線與第六根線調換，其它不變。第一個接頭： 橙,橙白,綠,藍白,藍,綠白,棕,棕白第二個接頭： 綠,綠白,橙,藍白,藍,橙白,棕,棕白即：1 - 3 2 - 6 3 - 1 4 - 4 5 - 5 6 - 2 7 - 78 - 8 計算機網絡2. 網線與設備連接方式 計算機聯(lián)網首先必須決定網絡連接結構，根據不同方式決定網絡線的連接和是否交叉。雙絞線有兩種接法：EIA/TIA 568B標準和EIA/TIA 568A標準。具體接法如下：T568A線序 1 2 3 4 5 6 7 8 綠白 綠 橙白 藍 藍白 橙 棕白 棕 T568B線序

23、1 2 3 4 5 6 7 8 橙白 橙 綠白 藍 藍白 綠 棕白 棕 直通線：兩頭都按T568B線序標準連接。 交叉線：一頭按T568A線序連接，一頭按T568B線序連接。 網絡安全常用的連接方式（一）網絡進線服務器集線器工作站工作站工作站工作站從網絡進線到服務器一個網卡，從另一個網卡輸出連接到Hub，連接線均為直接連接（正常接線）網絡安全常用的連接方式（二）網絡進線集線器服務器工作站工作站工作站工作站從網絡進線到集線器入口，集線器到工作站，到服務器，連接線也均為直接連接（正常接線）網絡安全常用的連接方式（三）網絡進線交換機集線器工作站工作站工作站工作站從網絡進線到服務器一個網卡連接線均為直

24、接連接（正常接線），從交換機到集線器，網絡連接連接線交叉網絡安全第三節(jié) 計算機網絡安全技術網絡安全 網絡信息安全的關鍵技術 目前，網絡信息安全的關鍵技術有： 1）常規(guī)安全技術 2）防火墻技術 3）數據加密技術 4）漏洞掃描技術 5）入侵檢測技術網絡安全 一、常規(guī)安全技術 在通用計算機安全技術中所涉及到的幾乎所有安全技術，都可以應用和集成到網絡系統(tǒng)中，并根據網絡的運行特點，尤其是網絡的安全接入，改進和發(fā)展這些安全技術。 1)用戶認證(authentication) 2)訪問控制(authorization) 3)數據保密與完整性 4)管理審計(accounting) 網絡安全二、防火墻技術 1、

25、防火墻的概念 英特網防火墻是這樣的（一組）系統(tǒng)，它能增強機構內部網絡的安全性。用于加強網絡間的訪問控制，防止外部用戶非法使用內部網的資源，保護內部網絡的設備不被破壞，防止內部網絡的敏感數據被竊取。 防火墻只是保護網絡安全與保密的一種概念，并無嚴格的定義 一、防火墻概述 什么是防火墻(Firewall) ？防火墻：在兩個信任程度不同的網絡之間設置的、用于加強訪問控制的軟硬件保護設施。網絡安全防火墻應用在以下位置：保證對主機和應用安全訪問；保證多種客戶機和服務器的安全性；保護關鍵部門不受到來自內部的攻擊、外部的攻擊、為通過Internet與遠程訪問的雇員、客戶、供應商提供安全通道。防火墻的用途1）

26、作為“扼制點”，限制信息的進入或離開；2）防止侵入者接近并破壞你的內部設施；3）監(jiān)視、記錄、審查重要的業(yè)務流；4）實施網絡地址轉換，緩解地址短缺矛盾。防火墻只允許已授權的業(yè)務流通過，而且本身也應抵抗?jié)B透攻擊。建立防火墻必須全面考慮安全策略，否則形同虛設。防火墻的局限性1）防火墻防外不防內防火墻可以禁止系統(tǒng)用戶經過網絡連接發(fā)送專有的信息，但用戶可以將數據復制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經在防火墻內部，防火墻是無能為力的。內部用戶偷竊數據，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅只能要求加強內部管理，如主機安全和用戶教育、管理、制度等。2）不能防范

27、繞過防火墻的攻擊防火墻能夠有效地防止通過它進行傳輸信息，然而不能防止不通過它而傳輸的信息。例如，如果站點允許對防火墻后面的內部系統(tǒng)進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。3）防火墻配置復雜，容易出現(xiàn)安全漏洞4）防火墻往往只認機器（IP地址）不認人（用戶身份），并且控制粒度較粗。5）防火墻不能防范病毒防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺主機上裝反病毒軟件。6）防火墻不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到內部網主機上并被執(zhí)行而發(fā)起攻擊時，就會發(fā)生數據驅動攻擊。特別是隨著Java、JavaScript、ActiveX的應用，這一問題更加

28、突出。允許拒絕防火墻設計政策 防火墻一般實施兩個基本設計方針之一:1. “沒有明確允許的都是被禁止的”，即拒絕一切未予特許的東西。2. “沒有明確禁止的都是被允許的”；也即是允許一切未被特別拒絕的東西 允許拒絕網絡安全一般防火墻具備的特點(4點)： 廣泛的服務支持，通過將動態(tài)的、應用層的過濾能力和認證相結合，可實現(xiàn)WWW瀏覽器、HTTP服務器、FTP等。 對私有數據的加密支持，保證通過Internet進行虛擬私人網絡和商務活動不受損壞。 客戶端認證只允許指定的用戶訪問內部網絡或選擇服務，是企業(yè)本地網與分支機構、商業(yè)伙伴和移動用戶間安全通信的附加部分。網絡安全一般防火墻具備的特點: 反欺騙，欺騙

29、是從外部獲取網絡訪問權的常用手段，它使數據包好似來自網絡內部。Firewall-1能監(jiān)視這樣的數據包并能扔掉它們；C/S 模式和跨平臺支持，能使運行在一平臺的管理模塊控制運行在另一平臺的監(jiān)視模塊。防火墻應具有以下五大基本功能：過濾進出網絡的數據包；管理進出網絡的訪問行為；封堵某些禁止的訪問行為；記錄通過防火墻的信息內容和活動；對網絡攻擊進行檢測和告警。2、防火墻的體系結構雙宿/多宿主機模式 (dual-homed/multi-homed) 屏蔽主機模式 屏蔽子網模式雙宿/多宿主機模式它是一種擁有兩個或多個連接到不同網絡上的網絡接口的防火墻，通常用一臺裝有兩塊或多塊網卡的堡壘主機做防火墻，兩塊或

30、多塊網卡各自與受保護網和外部網相連Internet堡壘主機內部網最小特權最少服務Internet堡壘主機內部網2多宿主機模式內部網1Internet堡壘主機內部網屏蔽路由器屏蔽主機模式屏蔽主機防火墻由包過濾路由器和堡壘主機組成屏蔽主機模式特點 在這種方式的防火墻中，堡壘主機安裝在內部網絡上，通常在路由器上設立過濾規(guī)則，并使這個堡壘主機成為從外部網絡唯一可直接到達的主機，這確保了內部網絡不受未被授權的外部用戶的攻擊。屏蔽主機防火墻實現(xiàn)了網絡層和應用層的安全，因而比單獨的包過濾或應用網關代理更安全。在這一方式下，過濾路由器是否配置正確是這種防火墻安全與否的關鍵，如果路由表遭到破壞，堡壘主機就可能被

31、越過，使內部網完全暴露。屏蔽子網模式 采用了兩個包過濾路由器和一個堡壘主機，在內外網絡之間建立了一個被隔離的子網，定義為“非軍事區(qū)（de-militarized zone）”網絡，有時也稱作周邊網(perimeter network)周邊網絡屏蔽子網模式Internet堡壘主機內部網外部路由器內部路由器屏蔽子網模式特點 網絡管理員將堡壘主機，WEB服務器、Mail服務器等公用服務器放在非軍事區(qū)網絡中。內部網絡和外部網絡均可訪問屏蔽子網，但禁止它們穿過屏蔽子網通信。在這一配置中，即使堡壘主機被入侵者控制，內部網仍受到內部包過濾路由器的保護。 堡壘主機運行各種代理服務周邊網絡的作用對于周邊網絡，如

32、果某人侵入周邊網上的堡壘主機，他僅能探聽到周邊網上的通信。因為所有周邊網上的通信來自或者通往堡壘主機或Internet。因為沒有嚴格的內部通信(即在兩臺內部主機之間的通信，這通常是敏感的或者專有的)能越過周邊網。所以，如果堡壘主機被損害，內部的通信仍將是安全的。堡壘主機接受來自外界連接的主要入口：1對于進來的電子郵件（SMTP）會話，傳送電子郵件到站點；2對于進來的FTP連接，轉接到站點的匿名FTP服務器；3對于進來的域名服務（DNS）站點查詢等。網絡安全2、 防火墻技術： 鏈路層技術、網絡層技術、應用層技術； 產品實施中技術具有雙重或者多重性 包過濾(packet filter) 應用代理(

33、app-proxy) 狀態(tài)檢測技術 包過濾技術的原理包過濾技術在路由器上加入IP Filtering 功能，這樣的路由器就成為Screening Router 。Router逐一審查每個數據包以判定它是否與其它包過濾規(guī)則相匹配(只檢查包頭，不理會包內的正文信息)。 如果找到一個匹配，且規(guī)則允許這包，這個包則根據路由表中的信息前行；如果找到一個匹配，且規(guī)則允許拒絕此包，這一包則被舍棄；如果無匹配規(guī)則，一個用戶配置的缺省參數將決定此包是前行還是被舍棄。 代理服務技術 代理服務該技術它能夠將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統(tǒng)間應用層的連接，由兩個代理服務器之間的連接來實現(xiàn)，外

34、部計算機的網絡鏈路只能到達代理服務器，從而起到隔離防火墻內外計算機系統(tǒng)的作用。此外，代理服務器也對過往的數據包進行分析、記錄、形成報告，當發(fā)現(xiàn)攻擊跡象時會向網絡管理員發(fā)出警告，并保留攻擊痕跡。狀態(tài)檢測技術 在防火墻的核心部分建立狀態(tài)連接表，并將進出網絡的數據當成一個個的會話，利用狀態(tài)表跟蹤每一個會話狀態(tài)。狀態(tài)監(jiān)測對每一個包的檢查不僅根據規(guī)則表，更考慮了數據包是否符合會話所處的狀態(tài)，因此提供了完整的對傳輸層的控制能力。 用戶眼中的代理免費代理出現(xiàn)原因：系統(tǒng)漏洞；管理員設置的代理；ISP提高影響，在一段時間內開發(fā)的代理。代理服務器的設置IE中：工具Internet選項連接局域網設置網絡安全3、防火墻的功能要求 管理界面良好，配置容易、方便、安全，易于配置管理和監(jiān)控 病毒自動掃描，堵截非法URL和Java過濾 進行用戶驗證，防止網絡攻擊 具有多協(xié)議適應性 防止基于協(xié)議的攻擊 測試方便 網絡安全 2）防火墻選擇 具有標準的防火墻特性 實際的用戶安全需求（如安全級別、用戶數、代理權、過濾和容錯、價格等） 可信的系統(tǒng)集成商 與單機操作系統(tǒng)無縫連接，克服弱點 必要的防火墻產品測試 綜合安全手段與整體安全性能（如員工素質、專網連接、關鍵密碼等）網絡安全 3）防火墻產品