第八章網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全

第八章網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全本章要點網(wǎng)絡(luò)管理的功能網(wǎng)絡(luò)管理系統(tǒng)的模型及網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)安全的概念數(shù)據(jù)加密技術(shù)防火墻技術(shù)本章學(xué)習(xí)目標(biāo)掌握網(wǎng)絡(luò)管理的功能；掌握網(wǎng)絡(luò)管理系統(tǒng)的模型及兩種典型的網(wǎng)絡(luò)管理協(xié)議；掌握網(wǎng)絡(luò)安全的概念；掌握兩類基本防火墻技術(shù)（包過濾和代理）理解防火墻的概念，理解常用的防火墻體系結(jié)構(gòu)；了解典型的網(wǎng)絡(luò)管理系統(tǒng)；了解網(wǎng)絡(luò)安全的主要威脅；了解常用的私鑰數(shù)據(jù)加密技術(shù)（DES）和公鑰數(shù)據(jù)加密技術(shù)（RSA）；了解其它一些網(wǎng)絡(luò)安全技術(shù)。目錄8.1網(wǎng)絡(luò)管理基本原理8.2幾種典型的網(wǎng)絡(luò)管理系統(tǒng)8.3網(wǎng)絡(luò)安全概述8.4數(shù)據(jù)加密技術(shù)8.5防火墻技術(shù)8.6其它網(wǎng)絡(luò)安全技術(shù)8.1網(wǎng)絡(luò)管理基本原理8.1.1概述8.1.2網(wǎng)絡(luò)管理模型8.1.3網(wǎng)絡(luò)管理協(xié)議8.1.1概述

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機(jī)網(wǎng)絡(luò)已呈現(xiàn)出以下三大特點：

① 網(wǎng)絡(luò)系統(tǒng)規(guī)模不斷擴(kuò)大（如網(wǎng)絡(luò)系統(tǒng)內(nèi)部節(jié)點數(shù)↑和在地理覆蓋范圍↑）

② 網(wǎng)絡(luò)系統(tǒng)復(fù)雜度增加（網(wǎng)絡(luò)內(nèi)涉及的協(xié)議越來越豐富，組網(wǎng)產(chǎn)品系列↑）

③ 一個網(wǎng)內(nèi)存在多個網(wǎng)管軟件（一個網(wǎng)絡(luò)內(nèi)由于集成了多個計算機(jī)和網(wǎng)絡(luò)廠家的產(chǎn)品而出現(xiàn)在的現(xiàn)象，而各個網(wǎng)管之間不能協(xié)調(diào)互通，網(wǎng)絡(luò)管理及其操作的↑）為了解決這個問題

人們期望有一個網(wǎng)絡(luò)管理系統(tǒng)，不但能夠保證整個網(wǎng)絡(luò)不間斷地正常運行，而且希望能夠“統(tǒng)管”各個廠家的設(shè)備，并且具有一定的智能。由于信息安全的重要性，要保證計算機(jī)網(wǎng)絡(luò)系統(tǒng)的正常運行，必須建立一個強(qiáng)有力的網(wǎng)絡(luò)管理系統(tǒng)。此外，在計算機(jī)網(wǎng)絡(luò)建設(shè)和維護(hù)的過程中，網(wǎng)管系統(tǒng)始終占據(jù)著非常重要的地位，這不僅對網(wǎng)管產(chǎn)品提出了更高的期望，而且對網(wǎng)絡(luò)管理人員也提出了更高的要求。網(wǎng)絡(luò)管理：采用某種技術(shù)和策略以能夠保證整個網(wǎng)絡(luò)正常運行、疏通業(yè)務(wù)和提高網(wǎng)絡(luò)接通率的一個系統(tǒng)。它不僅涉及到各個廠商的網(wǎng)絡(luò)設(shè)備和計算機(jī)設(shè)備，而且涉及到多個國際標(biāo)準(zhǔn)、國內(nèi)標(biāo)準(zhǔn)以及各個廠商的內(nèi)部標(biāo)準(zhǔn)，是一個比較復(fù)雜的大系統(tǒng)。一般地說，具有優(yōu)秀網(wǎng)絡(luò)管理系統(tǒng)的網(wǎng)絡(luò)，都能獲得比較高的運行效率和很高的可靠性，這些對于網(wǎng)絡(luò)運營商和網(wǎng)絡(luò)維護(hù)人員來說是非常重要的。目前，已應(yīng)用的網(wǎng)絡(luò)管理系統(tǒng)有許多，各個廠家一般對自己的設(shè)備都有配套的網(wǎng)管系統(tǒng)。雖然各個廠商的網(wǎng)管在實現(xiàn)上可能不盡相同，但其基本功能是實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)內(nèi)的設(shè)備進(jìn)行集中管理和對用戶進(jìn)行業(yè)務(wù)計費等。按照國際標(biāo)準(zhǔn)，網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具備的幾大功能如下：1故障管理2性能管理3配置管理4安全管理5計費管理（或計帳管理）故障管理主要完成：（1）對所有的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)通道的異常運行情況進(jìn)行實時監(jiān)視（2）完成對告警信號的監(jiān)視、報告、存儲以及故障的診斷、定位和處理等任務(wù)，并給出告警顯示使用戶能在盡可能短的時間內(nèi)做出反應(yīng)和決定，并采取相應(yīng)的措施，對故障進(jìn)行隔離和校正，恢復(fù)由故障而影響的業(yè)務(wù)。故障管理主要包括以下功能模塊：（1）故障檢測：通過執(zhí)行網(wǎng)管監(jiān)控過程和生成故障報告來檢測日前整個網(wǎng)絡(luò)系統(tǒng)存在的問題；（2）故障診斷：通過執(zhí)行診斷測試程序，分析網(wǎng)絡(luò)系統(tǒng)內(nèi)部各個設(shè)備和線路的故障和事件報告，或使相應(yīng)設(shè)備或線路上的故障得到重現(xiàn)，從而判斷故障產(chǎn)生原因，為下一步的故障修復(fù)做準(zhǔn)備；（3）故障修復(fù)：通過網(wǎng)管系統(tǒng)提供的配置管理工具，對產(chǎn)生故障的設(shè)備進(jìn)行修復(fù)，從而在故障出現(xiàn)較短的時間內(nèi)，以系統(tǒng)自動處理和人工干預(yù)相結(jié)合的方式盡快恢復(fù)網(wǎng)絡(luò)的正常運行；（4）故障記錄：即網(wǎng)絡(luò)系統(tǒng)故障以日志的形式記錄告警及診斷和處理結(jié)果信息等。性能管理性能管理（1）負(fù)責(zé)監(jiān)視整個網(wǎng)絡(luò)的性能（2）完成收集網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)通道實際運行數(shù)據(jù)（如：某交換機(jī)/路由器的吞吐量，時延等）為網(wǎng)絡(luò)管理人員提供評價、分析、預(yù)測網(wǎng)絡(luò)性能的依據(jù)，從而提高整個網(wǎng)絡(luò)的運行效率。主要功能：（1）性能數(shù)據(jù)的采集和存儲：主要完成對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)通道性能數(shù)據(jù)的采集，同時將其存儲起來；（2）性能門限的管理是：在特定的時間內(nèi)為網(wǎng)絡(luò)管理者選擇監(jiān)視對象、設(shè)置監(jiān)視時間以及提供設(shè)置和修改性能門限的手段；同時，當(dāng)性能不理想時，通過對各種資源的調(diào)整來改善網(wǎng)絡(luò)性能；（3）性能數(shù)據(jù)的顯示和分析：定期提供多種反映當(dāng)前／歷史／局部／調(diào)整性能的數(shù)據(jù)及各種關(guān)系曲線，并產(chǎn)生數(shù)據(jù)報告。配置管理

完成整個網(wǎng)絡(luò)系統(tǒng)的配置。它涉及網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)的物理連接和物理接口。它不僅負(fù)責(zé)建立、修改、刪除和優(yōu)化網(wǎng)絡(luò)配置參數(shù)，而且可以通過配置處理來提高整個網(wǎng)絡(luò)的性能。配置管理包括：2部分

（1）網(wǎng)絡(luò)實際配置：負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)的配置信息使網(wǎng)絡(luò)管理人員可以生成、查詢和修改硬件/軟件的運行參數(shù)和條件（包括各個網(wǎng)絡(luò)部件的名稱和關(guān)系、網(wǎng)絡(luò)地址、是否可用、備份操作、路由管理等）（2）配置數(shù)據(jù)管理：負(fù)責(zé)定義、收集、監(jiān)視、控制和使用配置數(shù)據(jù)（包括管理域內(nèi)所有資源的任何靜、動態(tài)信息）。

安全管理主要負(fù)責(zé)對訪問網(wǎng)絡(luò)系統(tǒng)的操作人員進(jìn)行安全檢查，避免未授權(quán)的操作人員對網(wǎng)絡(luò)資源和網(wǎng)絡(luò)管理功能的訪問。安全管理與所有的網(wǎng)管系統(tǒng)的管理功能有關(guān)主要模塊有：5部分（1）操作者級別和訪問控制權(quán)限的管理：主要完成網(wǎng)管人員的增、刪以及相應(yīng)的權(quán)限設(shè)置（包括操作時間、操作范圍和操作權(quán)限等）；（2）數(shù)據(jù)的安全管理：主要完成安全措施的設(shè)置以實現(xiàn)網(wǎng)管人員對網(wǎng)管數(shù)據(jù)的不同處理權(quán)限，從而提高不同類型的網(wǎng)絡(luò)安全性；（3）操作日志管理：主要完成對管理員所有操作（含時間、登錄用戶、具體操作等）的詳細(xì)記錄，以便將來出現(xiàn)故障時能跟蹤發(fā)現(xiàn)故障產(chǎn)生原因以及追查相應(yīng)的責(zé)任；（4）審計和跟蹤：主要完成網(wǎng)管上配置數(shù)據(jù)和網(wǎng)元（即構(gòu)成網(wǎng)絡(luò)的基本元素，如：通道、進(jìn)程、服務(wù)器、路由器、交換機(jī)端口等。）配置數(shù)據(jù)的統(tǒng)一；（5）災(zāi)難恢復(fù)措施：主要提供重大故障后網(wǎng)絡(luò)的恢復(fù)手段。計費管理（或計帳管理）負(fù)責(zé)記錄用戶對網(wǎng)絡(luò)業(yè)務(wù)的使用情況，以及確定使用這些業(yè)務(wù)的費用。通過本項功能可以收集計費記錄和建立各種服務(wù)的記賬參數(shù)。任何一個網(wǎng)絡(luò)管理系統(tǒng)應(yīng)能夠提供計費支持功能，從網(wǎng)絡(luò)設(shè)備的相關(guān)端口收集用戶的資費數(shù)據(jù)，對網(wǎng)絡(luò)業(yè)務(wù)的使用情況進(jìn)行監(jiān)視和記錄，并能提供與計費有關(guān)的基礎(chǔ)信息（端口名稱，業(yè)務(wù)的建立時間、拆除時間、持續(xù)時間；網(wǎng)絡(luò)系統(tǒng)影響業(yè)務(wù)質(zhì)量的損傷時間；誤碼突破門限告警記錄等）。返回8.1.2網(wǎng)絡(luò)管理模型圖8-1ISO網(wǎng)絡(luò)管理模型管理協(xié)議管理進(jìn)程代理進(jìn)程被管對象MIB管理系統(tǒng)被管系統(tǒng)網(wǎng)管模型：網(wǎng)管系統(tǒng)的組成結(jié)構(gòu)模型，管理進(jìn)程和代理進(jìn)程等管理實體在網(wǎng)絡(luò)元素中如何分布的問題。網(wǎng)管模型決定了網(wǎng)管系統(tǒng)的結(jié)構(gòu)。當(dāng)前，2個有代表性網(wǎng)管模型是ISO模型和Internet模型。網(wǎng)絡(luò)管理進(jìn)程（網(wǎng)絡(luò)控制中心）管理代理被管對象被管對象管理代理網(wǎng)管協(xié)議網(wǎng)管協(xié)議圖8-2Internet網(wǎng)絡(luò)管理模型被管對象

管理代理

管理代理

被管對象

返回

Internet網(wǎng)絡(luò)管理模型

8.1.3網(wǎng)絡(luò)管理協(xié)議比較流行的是簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)和公共管理信息協(xié)議(CMIP)。

SNMP(SimpleNetworkManagementProtocol，簡單網(wǎng)絡(luò)管理協(xié)議)Internet組織用來管理因特網(wǎng)和以太網(wǎng)的網(wǎng)管協(xié)議，它通過輪詢、設(shè)置關(guān)鍵字和監(jiān)視網(wǎng)絡(luò)事件來管理整個網(wǎng)絡(luò)。目前已經(jīng)遠(yuǎn)遠(yuǎn)超出了Internet的使用范圍，成為一個事實上的工業(yè)標(biāo)準(zhǔn)被廣泛應(yīng)用在國際的網(wǎng)絡(luò)管理領(lǐng)域。由于SNMP是為因特網(wǎng)絡(luò)而設(shè)計的，而且為了提高網(wǎng)管系統(tǒng)的效率，網(wǎng)管系統(tǒng)在傳輸層采用了用戶數(shù)據(jù)報（UDP）協(xié)議，針對Internet飛速發(fā)展,協(xié)議將不斷擴(kuò)充和完善。SNMP被設(shè)計成具有如下特點：（1）盡可能地降低管理代理的軟件成本和資源要求；（2）提供較強(qiáng)的遠(yuǎn)程管理功能，以適應(yīng)對Internet網(wǎng)絡(luò)資源的管理；（3）體系結(jié)構(gòu)具備可擴(kuò)充性，以適應(yīng)網(wǎng)絡(luò)系統(tǒng)的發(fā)展；（4）管理協(xié)議本身具有較強(qiáng)的獨立性，不依賴于任何廠商任何型號和品牌的計算機(jī)、網(wǎng)絡(luò)和網(wǎng)絡(luò)傳輸協(xié)議。

CMIP(CommonManagementInformationProtocol,公共管理信息協(xié)議)

另一個應(yīng)用較廣,功能較為完善的網(wǎng)絡(luò)管理協(xié)議它采用非輪詢的消息傳送機(jī)制，提供面向?qū)ο蟮目煽康膫鬏敺?wù)，即在網(wǎng)絡(luò)管理過程中，CMIP不是通過輪詢而是通過事件報告進(jìn)行工作，由網(wǎng)絡(luò)中的各個設(shè)備監(jiān)測設(shè)施在發(fā)現(xiàn)被檢測設(shè)備的狀態(tài)和參數(shù)發(fā)生變化后及時向管理進(jìn)程進(jìn)行事件報告。在CMIP的管理進(jìn)程中，一般都對事件進(jìn)行分類，并根據(jù)事件發(fā)生時對網(wǎng)絡(luò)服務(wù)影響的大小來劃分事件的嚴(yán)重等級。因此，網(wǎng)絡(luò)管理進(jìn)程很快就會收到事件報告，以使網(wǎng)管人員可以根據(jù)事件等級、位置和事件等信息來判斷故障原因以及及時恢復(fù)故障。CMIP的缺點在于需要OSI協(xié)議棧的支持，協(xié)議的開銷非常大，協(xié)議占用的資源也較多。此外，由于CMIP的協(xié)議十分繁雜，使其執(zhí)行速度也受到了一定的影響。

從上表可以看出，面向Internet管理的SNMP簡單而實用，并且具備了足夠的功能，已經(jīng)得到廣泛應(yīng)用。而ISO的CMIP則比較復(fù)雜，但其功能更為強(qiáng)大，可適應(yīng)國際上眾多網(wǎng)絡(luò)管理表7-1SNMP和CMIP的特點比較比較項目SNMPCMIP國際標(biāo)準(zhǔn)一個為Internet設(shè)計的工業(yè)標(biāo)準(zhǔn)ISO指定的公共管理信息協(xié)議傳輸要求無連接服務(wù)面向連接的傳輸優(yōu)點簡單，系統(tǒng)開銷小，技術(shù)成熟，易于實現(xiàn)管理者和代理之間的傳輸可靠缺點無端到端的錯誤確定復(fù)雜，系統(tǒng)開銷大運行機(jī)制輪詢機(jī)制報告機(jī)制返回8.2幾種典型的網(wǎng)絡(luò)管理系統(tǒng)

在網(wǎng)絡(luò)管理系統(tǒng)的體系結(jié)構(gòu)中，包括了管理者和管理代理兩個部分，相應(yīng)的網(wǎng)絡(luò)管理產(chǎn)品也分成兩大類：管理者網(wǎng)管平臺和管理代理的網(wǎng)管工具。比較流行的管理者網(wǎng)管平臺包括：HP公司的OpenView,CA公司的UnicenterTNG,IBM公司的TivoliTME10和SUN公司的NetManager等；管理代理的網(wǎng)管工具包括：Cisco公司的Works2000,3COM公司的Transcend和BAY公司的NetworkOptivity等。8.3網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)的安全1、網(wǎng)絡(luò)系統(tǒng)的安全。2、網(wǎng)絡(luò)信息的安全，而保護(hù)網(wǎng)絡(luò)信息的安全是最終的目的。就網(wǎng)絡(luò)信息安全來說，首先是信息的保密性，其次是信息的完整性。Internet的發(fā)展雖然促進(jìn)了技術(shù)的進(jìn)步，但其本身的跨國界、無主管、不設(shè)防、開放、自由、缺少法律約束等特性在帶來機(jī)遇的同時也帶來了巨大的風(fēng)險，網(wǎng)絡(luò)安全自然成為影響網(wǎng)絡(luò)效能的重要問題。從內(nèi)容上看：網(wǎng)絡(luò)安全大致包括四個方面：網(wǎng)絡(luò)實體安全軟件安全網(wǎng)絡(luò)中數(shù)據(jù)的安全網(wǎng)絡(luò)安全管理。

(1) 網(wǎng)絡(luò)實體安全如計算機(jī)機(jī)房的物理條件、物理環(huán)境及設(shè)施的安全標(biāo)準(zhǔn)，計算機(jī)硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的安裝及配置等。(2) 軟件安全如保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法侵入，系統(tǒng)軟件與應(yīng)用軟件不被非法復(fù)制、篡改、不受病毒的侵害等。(3) 網(wǎng)絡(luò)中數(shù)據(jù)的安全如保護(hù)網(wǎng)絡(luò)信息的數(shù)據(jù)安全，不被非法存取，保護(hù)其完整、一致等。(4) 網(wǎng)絡(luò)安全管理如運行時突發(fā)事件的安全處理等，包括采取計算機(jī)安全技術(shù)，建立安全管理制度，開展安全審計，進(jìn)行風(fēng)險分析等內(nèi)容。從特征上看：安全包括五個基本要素：

機(jī)密性；完整性；可用性；可控性和可審查性。(1)機(jī)密性確保信息不暴露給未授權(quán)的實體或過程。(2)

完整性得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被修改。(3)

可用性得到授權(quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。(4)

可控性可以控制授權(quán)范圍內(nèi)的信息流向及行為方式?？蓪彶樾詫Τ霈F(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。8.3.2網(wǎng)絡(luò)安全一般，網(wǎng)絡(luò)安全所面臨的威脅主要可分為兩類：一是對網(wǎng)絡(luò)中信息的威脅；二是對網(wǎng)絡(luò)中設(shè)備的威脅。網(wǎng)絡(luò)上存在的安全性威脅主要有以下幾類：病毒和惡意代碼；內(nèi)部威脅和無意破壞；系統(tǒng)漏洞和“后門”；非法訪問和破壞；拒絕服務(wù)攻擊等。病毒和惡意代碼病毒與計算機(jī)相伴而生，一直是計算機(jī)系統(tǒng)及網(wǎng)絡(luò)最直接的安全威脅，Internet更是病毒滋生和傳播的溫床。如眾所周知的CIH病毒、求職信病毒、ILOVEYOU病毒都具有極大的破壞性。通過網(wǎng)絡(luò)傳播的病毒無論在傳播速度、破壞性及傳播范圍等方面都遠(yuǎn)遠(yuǎn)超過單機(jī)病毒。內(nèi)部威脅和無意破壞事實上，大多數(shù)威脅來自網(wǎng)絡(luò)內(nèi)部，來自內(nèi)部不滿或好奇的所有能進(jìn)入系統(tǒng)的員工。這類威脅給系統(tǒng)安全出了很大的難題并造成致命威脅，因為這些人員一般是取得信任的內(nèi)部人員，他在執(zhí)行破壞前是極難檢測到的。此外，無意的行為，如丟失口令、疏忽大意、非法操作等都可以造成極大的破壞。系統(tǒng)漏洞和“后門”操作系統(tǒng)和網(wǎng)絡(luò)軟件不可能100%的無缺陷和漏洞，這些漏洞和缺陷恰是黑客進(jìn)行攻擊的首選目標(biāo)?！昂箝T”就是系統(tǒng)中未公開的通道，在用戶未授權(quán)的情況下，系統(tǒng)設(shè)計者或其他人可以通過這些通道出入系統(tǒng)而不被用戶發(fā)覺。非法訪問和破壞在未經(jīng)他人許可的情況下，篡改他人網(wǎng)頁，動機(jī)多半是因為政治目的或僅僅為了炫耀自己的技術(shù)。

拒絕服務(wù)攻擊拒絕服務(wù)是指一個未經(jīng)授權(quán)的用戶不需要任何特權(quán)就可以使服務(wù)器無法對外提供服務(wù)，從而影響合法用戶使用的攻擊手段。網(wǎng)絡(luò)安全的根本威脅是計算機(jī)網(wǎng)絡(luò)基本技術(shù)自身存在種種缺陷的結(jié)果。以Internet為例，從其發(fā)展歷史來看，安全并未得到充分的考慮，它最主要的設(shè)計目標(biāo)是加快速度；從網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)設(shè)計中看，如今使用最廣泛的網(wǎng)絡(luò)協(xié)議是TCP／IP協(xié)議，它是在資源及網(wǎng)絡(luò)技術(shù)均不成熟的情況下設(shè)計的，該協(xié)議中有許多安全漏洞和隱患；對于軟件技術(shù)而言，由于軟件設(shè)計本身的水平所限，設(shè)計人員無法考慮到安全的各個方面，從而出現(xiàn)了一些重要的軟件公司頻頻發(fā)布隱患的補(bǔ)丁以應(yīng)急堵漏洞的現(xiàn)象。8.3.3網(wǎng)絡(luò)安全的策略安全策略模型包括建立安全環(huán)境的三個重要組成部分：威嚴(yán)的法律；先進(jìn)的技術(shù)；嚴(yán)格的管理。

（1）威嚴(yán)的法律：安全的基石是社會法律、法規(guī)與手段，這部分用于建立一套安全管理標(biāo)準(zhǔn)和方法，即通過建立與信息安全相關(guān)的法律、法規(guī)，使非法分子懾于法律，不敢輕舉妄動。（2）先進(jìn)的技術(shù)：先進(jìn)的安全技術(shù)是信息安全的根本保障，用戶對自身面臨的威脅進(jìn)行風(fēng)險評估，決定其需要的安全服務(wù)種類，選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)。（3）嚴(yán)格的管理：各網(wǎng)絡(luò)使用機(jī)構(gòu)、企業(yè)和單位應(yīng)建立適宜的信息安全管理辦法，加強(qiáng)內(nèi)部管理，建立審計和跟蹤體系，提高整體信息安全意識。網(wǎng)絡(luò)安全是一個動態(tài)的概念。首先，根據(jù)網(wǎng)絡(luò)的具體應(yīng)用環(huán)境有不同的安全要求；其次，即使對于同一網(wǎng)絡(luò)，在不同的時期，對安全的要求也會發(fā)生變化。因此，每個內(nèi)部網(wǎng)絡(luò)要根據(jù)具體情況制定自己的安全策略，防止出現(xiàn)盲目的趕時髦，追求大而全，將安全策略的制定建立在感覺基礎(chǔ)上，而不是在理論的指導(dǎo)下的實事求是的基礎(chǔ)上。網(wǎng)絡(luò)安全是一個綜合課題，涉及立法、技術(shù)、管理、使用等方面，包括信息系統(tǒng)本身的安全問題以及數(shù)據(jù)信息的安全問題。使用一種物理或邏輯技術(shù)措施，只能解決一方面的問題。固守一種或?qū)捇驀?yán)的安全觀念，無法有效的發(fā)揮網(wǎng)絡(luò)的真正效益。安全策略的制定實際上是一種綜合度的權(quán)衡。下面將討論網(wǎng)絡(luò)安全相關(guān)的主要技術(shù)。返回8.4數(shù)據(jù)加密技術(shù)加密技術(shù)是一個過程，它使有意義的信息表現(xiàn)出沒有意義。一個加密算法就是一系列規(guī)則或者過程，用于將“明文”（原始信息）混亂或加密成“密文”（混亂的信息），算法對明文使用密鑰，盡管算法相同，不同的密鑰將產(chǎn)生不同的密文。沒有加密算法的密鑰，密文保持在混亂狀態(tài)，不能轉(zhuǎn)換回明文。數(shù)據(jù)的加密、解密過程如圖8-3所示。加密算法通信通道加密算法明文密文密文明文加密密鑰解密密鑰圖8-3數(shù)據(jù)的加密、解密原理

在加密技術(shù)的實施中，對于算法和密鑰，人們重點放在保證秘密的是密鑰。想要長期保護(hù)加密算法的秘密是很難，因為，硬件加密設(shè)備可以被進(jìn)行反向設(shè)計，軟件加密代碼可以被反匯編，此外，開發(fā)有效的加密算法也是困難的。實際上，人們總是假設(shè)加密算法是公開的，只有密鑰是必須要保密的。8.4.1私用密鑰加密技術(shù)私用密鑰加密又稱對稱密鑰加密或單鑰加密。這種加密技術(shù)的主要特點是加密解密密鑰相同，發(fā)送方用密鑰對明文進(jìn)行加密，接收方在收到密文后，使用同一個密鑰解密，實現(xiàn)容易，速度快。密文可以在不安全的信道上傳輸，但密鑰必須通過安全信道傳輸。圖8-4示意了私用密鑰加、解密的過程。圖8-4私用密鑰的加密、解密原理加密算法不安全通道加密算法明文密文密文明文加密密鑰解密密鑰安全通道發(fā)送方接收方密鑰圖8-4私用密鑰的加密、解密原理

對稱密鑰加密技術(shù)的弊端有兩點：一是密鑰必須通過安全通道送達(dá)的代價大；二是當(dāng)通信人數(shù)增加、密鑰增多時，密鑰的管理和分發(fā)變得十分因難。當(dāng)n個人之間要進(jìn)行兩兩通信時，共需要n(n-1)/2把密鑰，在密鑰的管理或傳送人員中，如果有人把密鑰泄露出去，就會失去保密的意義。對稱密鑰加密技術(shù)中，比較典型的加密算法是數(shù)據(jù)加密標(biāo)準(zhǔn)DES（DataEncryptionStandard）算法。它是美國國家標(biāo)準(zhǔn)局于1977公布的由IBM公司研制的加密算法，后來曾被國際準(zhǔn)化組織采納為國際標(biāo)準(zhǔn)。DES的基本思想是將二進(jìn)制序列的明文分成64位的分組，使用64位的密鑰進(jìn)行變換，每個64位的明文數(shù)據(jù)分組經(jīng)過初始置換、16次迭代和逆置換三個主要階段，得到64位的密文。最后將各組密文串聯(lián)得到整個密文。一個64位的分組的加密過程如圖8-5所示。圖8-5DES加密過程64比特的明文初始置換迭代1迭代2迭代1632比特交換逆置換64比特的密文56比特的密鑰DES算法的初始置換過程為：輸入64位明文，按初始置換規(guī)則將64位數(shù)據(jù)按位重組，并把輸出分為左右兩部分，每部分各為32位。在迭代前，先要對64位的密鑰進(jìn)行變換，密鑰經(jīng)過去掉其第8、16、24、…、64位減至56位，去掉的8位被視為奇偶校驗位，所以實現(xiàn)密鑰長度為56位。DES算法的迭代過程為：密鑰與初始置換后的右半部分結(jié)合，然后與左半部分相結(jié)合，其結(jié)果作為新的右半部分。結(jié)合前的右半部分作為新的左半部分，如圖8-6所示。這種過程要重復(fù)16次。在最后一次迭代過程之后，所得的左右兩部分不再交換，這樣可能性使加密和解密使用同一算法。圖8-6DES算法中的迭代過程左半部分右半部分新左半部分新右半部分f+移位置換后的密鑰8.4.2公開密鑰加密技術(shù)公開密鑰加密技術(shù)，又稱非對稱密鑰加密技術(shù)，是和傳統(tǒng)的對稱密鑰加密技術(shù)相對應(yīng)的。公開通道明文密文密文明文公開的加密密鑰PKB秘密的解密密鑰SKB加密算法加密算法圖8-7公開密鑰加密、解密原理8.4.3加密技術(shù)的典型應(yīng)用—數(shù)字簽名

數(shù)字簽名（DigitalSignature）是指信息發(fā)送者使用公開密鑰算法的主要技術(shù)，產(chǎn)生別人無法偽造的一段數(shù)字串。發(fā)送者用自己的私有密鑰加密數(shù)據(jù)后，傳給接收者。接收者用發(fā)送者的公鑰解開數(shù)據(jù)后，就可確定數(shù)據(jù)來自于誰。同時，這也是對對發(fā)送得發(fā)送的信息真實性的一個證明，發(fā)送者對所發(fā)送的信息是不能抵賴的。數(shù)字簽名用來保證信息傳輸過程中信息的完整和提供信息發(fā)送者的身份認(rèn)證。一個數(shù)字簽名算法主要由兩個算法組成，即簽名算法和驗證算法。其過程可描述為：甲首先使用他的秘密密鑰對消息進(jìn)行簽名得到加密的文件，然后將文件發(fā)給乙，最后，乙用甲的公鑰驗證甲的簽名的合法性。這樣的簽名方法符合以下可靠性原則：

① 簽名是可以被確認(rèn)的；② 簽名是無法偽造的；③ 簽名是無法重復(fù)使用的；④ 文件被簽名后是無法被篡改的；⑤ 簽名具有無可否認(rèn)性。數(shù)字簽名可使用對稱算法實現(xiàn)，也可用非對稱算法實現(xiàn)，還可以使用報文摘要算法來實現(xiàn)。

使用對稱密鑰加密技術(shù)實現(xiàn)的數(shù)字簽名使用對稱密鑰加密算法進(jìn)行數(shù)字簽名的加密標(biāo)準(zhǔn)有：DES，RC2，RC4等。

使用非對稱密鑰加密技術(shù)實現(xiàn)的數(shù)字簽名使用公鑰密碼進(jìn)行數(shù)字簽名的加密標(biāo)準(zhǔn)有：RSA，DSA，Diffe-Hellman等。報文摘要算法報文摘要算法是最主要的數(shù)字簽名方法，也稱為數(shù)字摘要法或數(shù)字指紋法。該數(shù)字簽名方法是將數(shù)字簽名與要發(fā)送的信息緊密聯(lián)系在一起，它更適合于電子商務(wù)活動。將一個報文內(nèi)容與簽名結(jié)合在一起，比內(nèi)容與簽名分開傳遞，有著更強(qiáng)的安全性和可信性。使用報文摘要算法進(jìn)行數(shù)字簽名的通用加密標(biāo)準(zhǔn)有：MD5，SHA-1等。下面以MD5為例來說明。MD5是一種HASH（哈希）函數(shù)，其定義為：算法以一個任意長信息作為輸入，產(chǎn)生一個128位的“指紋”或“摘要信息”。MD5算法是對需要進(jìn)行摘要處理的報文信息塊按512位進(jìn)行處理的，首先它對報文信息的長度進(jìn)行填充，使其長度等于512的倍數(shù)。填充的方法是在需要進(jìn)行摘要處理的報文信息塊后填充64字節(jié)長的信息長度，然后再用首位為1，后面全為0的信息進(jìn)行填充。然后對信息報文進(jìn)行處理，每次處理512位，每次進(jìn)行4輪(每輪16步，共64步)的信息變換處理，每次輸出結(jié)果為128位。然后把前一次的輸出作為下一次信息變換的輸入初始值，這樣最后輸出128位的HASH摘要結(jié)果。MD5提供了一種單向的HASH函數(shù)，是一種校驗工具。它將一個任意長的字串作為輸入，產(chǎn)生一個128位的“報文摘要”，附在住處信息報文的后面，以防報文被篡改。MD5被認(rèn)為對兩個不同的報文產(chǎn)生相同的報文摘要是不可計算的，并且對一個給定的報文摘要，對另一個報文產(chǎn)生同樣的報文摘要也是不可計算的。目前，MD5被認(rèn)為是最安全的HASH算法之一，已經(jīng)在很多應(yīng)用中被當(dāng)作標(biāo)準(zhǔn)來使用。8.4.4加密軟件實例—PGPPGP(PrettyGoodPrivacy)是一個基于RSA公鑰加密體系的郵件加密軟件。它的創(chuàng)始人是美國的Philzimmermann，他的創(chuàng)造性在于把RSA公鑰體系的方便和傳統(tǒng)單鑰加密體系的高速度結(jié)合起來，并且在數(shù)字簽名和密鑰認(rèn)證管理機(jī)制上有巧妙的設(shè)計。使用PGP軟件，用戶可以方便地加密電子郵件，以防止非法授權(quán)者者閱讀；也可以對電子郵件加上數(shù)字簽名從而使收信人確信電子郵件的合法來源。總之，PGP可以讓用戶安全地與從未見過的人們通訊，事先并不需要任何保密的渠道用來傳遞密鑰。加上PGP可以用來加密各種文件，功能強(qiáng)大并有很快的速度，因此PGP成為幾乎最流行的公鑰加密軟件包。PGP軟件目前有多種不同的版本，可以運行在不同的操作系統(tǒng)上，如MS-DOS、Uunix、Windows等，主要版本有5種：MITPGP2.6.2、ViacryptPGP、PGP2.6.2ui、PGP2.6.3i和PGPFreeware6.5.1，其中MITPGP2.6.2是最為權(quán)威的版本，PGP2.6.3i是使用比較廣泛的版本。8.4.4加密軟件實例—PGP2PGP的工作流程如圖8-8所示。PGP首先對明文使用進(jìn)行數(shù)字簽名，即進(jìn)行MD5散列，再對散列結(jié)果用發(fā)送方私鑰進(jìn)行RSA加密，然后將加密結(jié)果與明文連接起來，隨后對連接后的結(jié)果進(jìn)行ZIP壓縮。壓縮的目的一方面使網(wǎng)絡(luò)的傳輸信息量變小，另一方面實際上又進(jìn)行了一次變換，接著進(jìn)行信息加密，采用的加密算法是IDEA和RSA，其中IDEA的作用是加密壓縮信息，RSA用來加密IDEA所用的密鑰Km。最后把兩個加密結(jié)果連接在一起，轉(zhuǎn)換為Base64(一種對二進(jìn)制數(shù)據(jù)的編碼方法)格式，發(fā)送到網(wǎng)絡(luò)中。接受方收到加密信息后，先用RSA解密出隨機(jī)密鑰，然后用IDEA解密信件本身。這樣既保證了加密速度（IDEA），又保證了保密性能（RSA）。除了加密算法外，PGP的密鑰管理也非常重要。PGP密鑰管理的特點是：每個用戶都要管理兩個密鑰環(huán)，即私人密鑰環(huán)和公共密鑰環(huán)。在PGP中，用戶須保存對方的公鑰標(biāo)識符和用戶標(biāo)識符，這兩個標(biāo)識符都是惟一的。這樣，收方接收到消息后，只需要驗證密鑰標(biāo)識符，即可取相應(yīng)密鑰以解開加密的信息，由于密鑰及密鑰標(biāo)識符的重要性，人們通常把它們放要一起，合稱為密鑰環(huán)。PGP是免費軟件，用戶可從互聯(lián)網(wǎng)上下載，安裝后，即可在Outlook中直接對郵件進(jìn)行加密。圖8-8PGP發(fā)送流程MD5RSAzipIDEABase64RSA發(fā)方私鑰Da密鑰Km收方密鑰Eb連接明文連接ASCII內(nèi)聯(lián)網(wǎng)防火墻Internet圖8-9防火墻示意圖8.5.1什么是防火墻(Firewall)“防火墻”(Firewall)原是指為了防止火災(zāi)把土木結(jié)構(gòu)的房屋燒毀，在房子周圍砌起作為隔離帶的一道石墻。防火墻是一種概念。可以從三個層次上來理解

（1）“防火墻”是一種安全策略，它是一類防范措施的總稱。即能保護(hù)網(wǎng)絡(luò)不受外部侵犯而采取的應(yīng)對措施。（2）防火墻是一種訪問控制技術(shù)，用于加強(qiáng)兩個網(wǎng)絡(luò)或多個網(wǎng)絡(luò)之間的訪問控制。防火墻監(jiān)測并過濾所有從外部網(wǎng)絡(luò)傳來的信息和通向外部網(wǎng)絡(luò)的信息，保護(hù)網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)不被偷竊和破壞。防火墻一方面“阻止”信息的流通，另一方面又允許信息流通。這是一對矛盾，也正是防火墻的本質(zhì)。一種好的防火墻技術(shù)應(yīng)當(dāng)是在確保防火墻安全或比較安全的前提下，跨越防火墻的訪問效率盡可能地高，屏蔽的信息都是應(yīng)該屏蔽的信息，準(zhǔn)入的信息都是應(yīng)該準(zhǔn)人的信息。防火墻技術(shù)是保護(hù)網(wǎng)絡(luò)安全最主要的技術(shù)之一，它是一種被動技術(shù)，因為它假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此，對內(nèi)部的非法訪問難以有效地控制。因此，防火墻適合于相對獨立的網(wǎng)絡(luò)，例如Intranet等種類相對集中的網(wǎng)絡(luò)。（3）防火墻是由一組能夠提供網(wǎng)絡(luò)安全保障的硬件、軟件構(gòu)成的系統(tǒng)。一個防火墻系統(tǒng)可以是一個路由器、一臺主機(jī)或主機(jī)群或者軟硬并用，放置在兩個網(wǎng)絡(luò)的邊界上，也可能是一套純軟件產(chǎn)品，安裝在主機(jī)或網(wǎng)關(guān)中。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪同；外界的哪些人可以訪問內(nèi)部的哪些可以訪問的服務(wù)，以及哪些外部訪問可以被內(nèi)部人員訪問。要使一個防火墻系統(tǒng)有效，所有來自和去往外部網(wǎng)的信息都必須經(jīng)過防火墻,接受防火墻的檢查.

防火墻也存在局限性，主要表現(xiàn)在：不能防范惡意的知情者。防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息，如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。內(nèi)部用戶可能竊取數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于知情者的威脅只能要求加強(qiáng)內(nèi)部管理，如主機(jī)的安全和用戶教育等；不能防范不通過它的連接。防火墻能夠有效地防止通過它進(jìn)行進(jìn)行信息傳輸，然而不能防止不通過它而進(jìn)行傳輸?shù)男畔?。例如，如果站點允許對防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號訪問，那么防火墻絕對沒有辦法阻止人侵者進(jìn)行撥號人侵；不能防備全部的威脅。防火墻被用來防備已知的威脅，如果是一個很好的防火墻設(shè)計方案可以防備新的威脅，但沒有一個防火墻能自動防御所有的新的威脅；防火墻不能防范病毒。防火墻不能消除網(wǎng)絡(luò)上的PC機(jī)的病毒。當(dāng)然，要想建立一個真正安全的計算機(jī)網(wǎng)絡(luò)，僅使用防火墻是不夠的，在實際的工程實踐中，防火墻常常與其他安全措施，比如加密技術(shù)、防病毒技術(shù)等綜合使用。8.5.2防火墻的分類

按照防火墻對內(nèi)外來往數(shù)據(jù)的處理方法，大致可以將防火墻分為兩大體系：包過濾防火墻（即IP級防火墻）（以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表）。IP級防火墻一般通過包過濾路由器來實現(xiàn)，可以將不合法的IP過濾掉，實現(xiàn)簡單。但它的關(guān)鍵弱點是不能在用戶級別上進(jìn)行過濾，即不能識別不同的用戶和防止IP地址的盜用。（如防火墻工作：某ip地址濾除，不能訪問本機(jī)）代理防火墻（應(yīng)用級防火墻或應(yīng)用層網(wǎng)關(guān)防火墻）。（以美國NAI公司的Gauntlet防火墻為代表。）應(yīng)用級防火墻是在應(yīng)用層實現(xiàn)防火墻，可以根據(jù)不同的應(yīng)用來設(shè)置控制策略，優(yōu)點是面向應(yīng)用，缺點是實現(xiàn)比較復(fù)雜。（如防火墻工作：某程序是否可以使用）注：現(xiàn)在有人提出第3大體系：狀態(tài)檢測防火墻包過濾防火墻包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)，根據(jù)過濾規(guī)則，通過檢查IP數(shù)據(jù)包來確定是否允許數(shù)據(jù)包通過。若過濾原則事先定義好，則稱為靜態(tài)包過濾防火墻，若過濾原則動態(tài)設(shè)置，則稱為動態(tài)包過濾防火墻。靜態(tài)包過濾防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進(jìn)行制訂。報頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”，即明確允許那些管理員希望通過的數(shù)包，禁止其他的數(shù)據(jù)包。動態(tài)包過濾防火墻采用動態(tài)設(shè)置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為所謂包狀態(tài)監(jiān)測（StatefulInspection）技術(shù)。采用這種技術(shù)的防火墻對通過其建立的每一個連接都進(jìn)行跟蹤，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。代理防火墻代理防火墻也叫應(yīng)用層網(wǎng)關(guān)（ApplicationGateway）防火墻。這種防火墻通過一種代理（Proxy）技術(shù)參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。所謂代理服務(wù)器，是指代表客戶處理在服務(wù)器連接請求的程序。當(dāng)代理服務(wù)器得到一個客戶的連接意圖時，它們將核實客戶請求，并經(jīng)過特定的安全化的Proxy應(yīng)用程序處理連接請求，將處理后的請求傳遞到真實的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進(jìn)一步處理后，將答復(fù)交給發(fā)出請求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時發(fā)揮了中間轉(zhuǎn)接的作用，如圖8-10所示。

圖8-10代理防火墻工作原理答復(fù)轉(zhuǎn)發(fā)客戶代理訪問控制代理服務(wù)代理代理服務(wù)器服務(wù)器客戶請求請求轉(zhuǎn)發(fā)答復(fù)代理類型防火墻的最突出的優(yōu)點就是安全。由于每一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過Proxy的介入和轉(zhuǎn)換，通過專門為特定的服務(wù)如Http編寫的安全化的應(yīng)用程序進(jìn)行處理，然后由防火墻本身提交請求和應(yīng)答，沒有給內(nèi)外網(wǎng)絡(luò)的計算機(jī)以任何直接會話的機(jī)會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。包過濾類型的防火墻是很難徹底避免這一漏洞的。就像你要向一個陌生的重要人物遞交一份聲明一樣，如果你先將這份聲明交給你的律師，然后律師就會審查你的聲明，確認(rèn)沒有什么負(fù)面的影響后才由他交給那個陌生人。在此期間，陌生人對你的存在一無所知，如果要對你進(jìn)行侵犯，他面對的將是你的律師，而你的律師當(dāng)然比你更加清楚該如何對付這種人。

代理防火墻的最大缺點就是速度相對比較慢，當(dāng)用戶對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，（比如要求達(dá)到75-100Mbps時）代理防火墻就會成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。所幸的是，目前用戶接入Internet的速度一般都遠(yuǎn)低于這個數(shù)字。在現(xiàn)實環(huán)境中，要考慮使用包過濾類型防火墻來滿足速度要求的情況，大部分是高速網(wǎng)（ATM或千兆位以太網(wǎng)等）之間的防火墻。自適應(yīng)代理技術(shù)（Adaptiveproxy）是最近在商業(yè)應(yīng)用防火墻中實現(xiàn)的一種革命性的技術(shù)。它可以結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個：自適應(yīng)代理服務(wù)器（AdaptiveProxyServer）與動態(tài)包過濾器（DynamicPacketfilter）。在自適應(yīng)代理與動態(tài)包過濾器之間存在一個控制通道。在對防火墻進(jìn)行配置時，用戶僅僅將所需要的服務(wù)類型、安全級別等信息通過相應(yīng)Proxy的管理界面進(jìn)行設(shè)置就可以了。然后，自適應(yīng)代理就可以根據(jù)用戶的配置信息，決定是使用代理服務(wù)從應(yīng)用層代理請求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對速度和安全性的雙重要求。類型包過濾防火墻代理防火墻優(yōu)點性能開銷小，處理速度快，價格較低內(nèi)置了專門為提高安全性而編制的Proxy應(yīng)用程序，能夠透徹地理解相關(guān)服務(wù)的命令；對來住的數(shù)據(jù)包進(jìn)行安全化處理；不允許數(shù)據(jù)包通過防火墻，避免了數(shù)據(jù)驅(qū)動式攻擊的發(fā)生缺點定義復(fù)雜，容易出現(xiàn)因配置不當(dāng)帶來的問題；允許數(shù)據(jù)包直接通過，容易造成數(shù)據(jù)驅(qū)動式的攻擊；不能理解特定上下的環(huán)境，相應(yīng)控制只能在高層由代理服務(wù)和應(yīng)用層網(wǎng)關(guān)來完成速度較慢，不太適合于高速網(wǎng)絡(luò)之間的應(yīng)用表8-2包過濾防火墻與代理防火墻比較

包過濾防火墻和代理防火墻各有優(yōu)缺點，總結(jié)如表8-2。因此在實際應(yīng)用中，構(gòu)筑防火墻的解決方案很少采用單一的技術(shù)，大多數(shù)防火墻是將數(shù)據(jù)包過濾和代理服務(wù)器結(jié)合起來使用的。8.5.3防火墻的體系結(jié)構(gòu)包過濾技術(shù)和代理技術(shù)在實現(xiàn)上各自有各自的缺點。

包過濾技術(shù)的缺點是審計功能差，過濾規(guī)則的設(shè)計存在矛盾關(guān)系，若過濾規(guī)則簡單，安全性就差，若過濾規(guī)則復(fù)雜，管理就困難。

代理技術(shù)的缺點是對于每一種應(yīng)用服務(wù)都必須為其設(shè)置一個代理軟件模塊來進(jìn)行安全控制，而每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問題各不相同，分析和實現(xiàn)比較困難。出于對更高安全性的要求，通常的防火墻系統(tǒng)是多種解決不同問題的技術(shù)的有機(jī)組合。例如，把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，就形成了復(fù)合型防火墻產(chǎn)品。目前常見的配置有以下幾種：

屏蔽路由器（ScreeningRouter)屏蔽路由器是防火墻最基本的構(gòu)件，是最簡單也是最常見的防火墻，屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。路由器上可以安裝基于IP層的報文過濾軟件，實現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項，但一般比較簡單。這種配置的優(yōu)點是：容易實現(xiàn)、費用少，并且對用戶的要求較低，使用方便。其缺點是日志記錄能力不強(qiáng)，規(guī)則表龐大、復(fù)雜，整個系統(tǒng)依靠單一的部件來進(jìn)行保護(hù)，一旦被攻擊，系統(tǒng)管理員很難確定系統(tǒng)是否正在被入侵或已經(jīng)被入侵了。雙宿主主機(jī)網(wǎng)關(guān)（DualHomedGateway)

雙宿主主機(jī)是一臺安裝有兩塊網(wǎng)卡的計算機(jī)，每塊網(wǎng)卡有各自的IP地址，并分別與受保護(hù)網(wǎng)和外部網(wǎng)相連。如果外部網(wǎng)絡(luò)上的計算機(jī)想與內(nèi)部網(wǎng)絡(luò)上的計算機(jī)進(jìn)行通信，它就必須與雙宿主主機(jī)上與外部網(wǎng)絡(luò)相連的IP地址聯(lián)系，代理服務(wù)器軟件再通過另一塊網(wǎng)卡與內(nèi)部網(wǎng)絡(luò)相連接。也就是說，外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙宿主主機(jī)的過濾和控制。如圖8-11所示。內(nèi)聯(lián)網(wǎng)Internet雙宿主主機(jī)網(wǎng)卡網(wǎng)卡圖8-11雙宿主主機(jī)網(wǎng)關(guān)這種配置是用雙宿主主機(jī)做防火墻，兩塊網(wǎng)卡各自在主機(jī)上運行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序、提供服務(wù)等。應(yīng)該指出的是，在建立雙宿主主機(jī)時，應(yīng)該關(guān)閉操作系統(tǒng)的路由能力，否則從一塊網(wǎng)卡到另一塊網(wǎng)卡的通信會繞過代理服務(wù)器軟件，而使雙宿主主機(jī)網(wǎng)關(guān)失去“防火”的作用。這種配置的優(yōu)點在于：網(wǎng)關(guān)可將受保護(hù)網(wǎng)絡(luò)與外界完全隔離：代理服務(wù)器可提供日志，有助于網(wǎng)絡(luò)管理員確認(rèn)哪些主機(jī)可能已被入侵：同時，由于它本身是一臺主機(jī)，所以可用于諸如身份驗證服務(wù)器及代理服務(wù)器，使其具有多種功能。它的缺點是：雙宿主主機(jī)的每項服務(wù)必須使用專門設(shè)計的代理服務(wù)器，即使較新的代理服務(wù)器能處理幾種服務(wù)，也不能同時進(jìn)行：另外，一旦雙宿主主機(jī)受到攻擊，并使其只具有路由功能，那么任何網(wǎng)上用戶都可以隨便訪問內(nèi)部網(wǎng)絡(luò)了，這將嚴(yán)重?fù)p害網(wǎng)絡(luò)的安全性。屏蔽主機(jī)網(wǎng)關(guān)(ScreenedHostGateway)屏蔽主機(jī)網(wǎng)關(guān)由屏蔽路由器和應(yīng)用網(wǎng)關(guān)組成，屏蔽路由器的作用是包過濾，應(yīng)用網(wǎng)關(guān)的作用是代理服務(wù)。這樣，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立了兩道安全屏障，既實現(xiàn)了網(wǎng)絡(luò)層安全，又實現(xiàn)了應(yīng)用層安全。來自外部網(wǎng)絡(luò)的所有通信都會連接到屏蔽路由器，它根據(jù)所設(shè)置的規(guī)則過濾這些通信在多數(shù)情況下，與應(yīng)用網(wǎng)關(guān)之外的機(jī)器的通信都會被拒絕。網(wǎng)關(guān)的代理服務(wù)器軟件用自己的規(guī)則，將被允許的通信傳送到受保護(hù)的網(wǎng)絡(luò)上。在這種情況下，應(yīng)用網(wǎng)關(guān)只有一塊網(wǎng)卡，因此它不是雙宿主主機(jī)網(wǎng)關(guān)。如圖8-12所屏蔽主機(jī)網(wǎng)關(guān)比雙宿主主機(jī)網(wǎng)關(guān)設(shè)置更加靈活，它可以設(shè)置成使屏蔽路由器將某些通信直接傳到內(nèi)部網(wǎng)絡(luò)的站點，而不是傳到應(yīng)用層網(wǎng)關(guān)。另外，屏蔽主機(jī)網(wǎng)關(guān)具有雙重保護(hù)，安全性更高。它的缺點主要是，由于要求對兩個部件配置，使它們能協(xié)同工作，所以屏蔽主機(jī)網(wǎng)關(guān)的配置工作較復(fù)雜。另外，如果攻擊者成功入侵了應(yīng)用網(wǎng)關(guān)或屏蔽路由器，則內(nèi)部網(wǎng)絡(luò)的主機(jī)將失去任何的安全保護(hù)，整個網(wǎng)絡(luò)將對攻擊者敞開。屏蔽子網(wǎng)(ScreenedSubnet)屏蔽子網(wǎng)系統(tǒng)結(jié)構(gòu)是在屏蔽主機(jī)網(wǎng)關(guān)的基礎(chǔ)上再添加一個屏蔽路由器，兩個路由器放在子網(wǎng)的兩端，三者形成了一個被稱為“非軍事區(qū)”的子網(wǎng)，如圖8-13所示。Internet內(nèi)部屏蔽路由器外部屏蔽路由器應(yīng)用網(wǎng)關(guān)內(nèi)聯(lián)網(wǎng)屏蔽子網(wǎng)圖8-13屏蔽子網(wǎng)網(wǎng)關(guān)這種方法在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立了一個被隔離的子網(wǎng)。用兩臺屏蔽路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)通信。外部屏蔽路由器和應(yīng)用網(wǎng)關(guān)與在屏蔽主機(jī)網(wǎng)關(guān)中的功能相同，內(nèi)部屏蔽路由器在應(yīng)用網(wǎng)關(guān)和受保護(hù)網(wǎng)絡(luò)之間提供附加保護(hù)。為了入侵用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，攻擊者必須通過兩個路由器。即使攻擊者成功侵入了應(yīng)用網(wǎng)關(guān)，他仍將面對內(nèi)部路由器，這就消除了內(nèi)部網(wǎng)絡(luò)的單一入侵點。在屏蔽子網(wǎng)防火墻系統(tǒng)結(jié)構(gòu)中，應(yīng)用網(wǎng)關(guān)和屏蔽路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。屏蔽子網(wǎng)防火墻系統(tǒng)結(jié)構(gòu)的不足是，它要求的設(shè)備和軟件模塊是上述幾種防火墻系統(tǒng)結(jié)構(gòu)中最多的，其配置也相當(dāng)復(fù)雜和昂貴。8.5.4防火墻的選購防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備，它貫穿于受控網(wǎng)絡(luò)通信主干線，對通過受控干線的任何通信行為進(jìn)行安全處理，如控制、審計、報警、反應(yīng)等，同時也承擔(dān)著繁重的通信任務(wù)。由于其自身處于網(wǎng)絡(luò)系統(tǒng)中的敏感位置，自身還要面對各種安全威脅，因此，選用一個安全、穩(wěn)定和可靠的防火墻產(chǎn)品，其重要性不言而喻。防火墻自身是否安全防火墻自身的安全性主要體現(xiàn)在自身設(shè)計和管理兩個方面。設(shè)計的安全性關(guān)鍵在于操作系統(tǒng)，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。而應(yīng)用系統(tǒng)的安全是以操作系統(tǒng)的安全為基礎(chǔ)的，同時防火墻自身的安全實現(xiàn)也直接影響整體系統(tǒng)的安全性。防火墻安全指標(biāo)最終可歸結(jié)為以下兩個問題：①防火墻是否基于安全（甚至是專用）的操作系統(tǒng)；②防火墻是否采用專用的硬件平臺。只有基于安全（甚至是專用）的操作系統(tǒng)并采用專用硬件平臺的防火墻才可能保證防火墻自身的安全。

防火墻系統(tǒng)的穩(wěn)定性就一個成熟的產(chǎn)品來說，系統(tǒng)的穩(wěn)定性是最基本的要求。目前，由于種種原因，國內(nèi)有些防火墻尚未最后定型或沒有經(jīng)過嚴(yán)格的、大量的測試就被推向了市場，這樣一來其穩(wěn)定性就可想而知了。防火墻的穩(wěn)定性情況從廠家的宣傳材料中是看不出來的，但可以從以下一些渠道獲得，如國家權(quán)威的側(cè)評認(rèn)證機(jī)構(gòu)、對產(chǎn)品的咨詢、調(diào)查及試用、廠商開發(fā)研制的歷史及實力等方面。防火墻的性能高性能是防火墻的一個重要指標(biāo)，它直接體現(xiàn)了防火墻的可用性，也體現(xiàn)了用戶使用防火墻所需付出的安全代價。如果由于使用防火墻而帶來了網(wǎng)絡(luò)性能較大幅度地下降的話，就意味著安全代價過高，用戶是無法接受的。一般來說，防火墻加載上百條規(guī)則，其性能下降不應(yīng)超過5%。防火墻的可靠性可靠性對防火墻設(shè)備來說尤為重要，其直接影響受控網(wǎng)絡(luò)的可用性。提高可靠性的措施一般是提高本身部件的強(qiáng)健性、增大設(shè)計閡值和增加冗余部件，這要求有較高的生產(chǎn)標(biāo)準(zhǔn)和設(shè)計冗余度，如使用工業(yè)標(biāo)準(zhǔn)、電源熱備份、系統(tǒng)熱備份等。防火墻的靈活性對通信行為的有效控制，要求防火墻設(shè)備有一系列不同級別，以滿足不同用戶的各類安全控制需求。防火墻控制的有效性、多樣性、級別目標(biāo)的清晰性、制定的難易性和經(jīng)濟(jì)性等，體現(xiàn)著防火墻的高效和質(zhì)量。例如對普通用戶，只要對8地址進(jìn)行過濾即可：如果是內(nèi)部有不同安全級別的子網(wǎng)，有時則必須允許高級別子網(wǎng)對低級別子網(wǎng)進(jìn)行單向訪問；如果還有移動用戶的話，還要求能根據(jù)用戶身份進(jìn)行過濾。

防火墻配置的方便性在網(wǎng)絡(luò)入口和出口處安裝新的網(wǎng)絡(luò)設(shè)備是比較復(fù)雜的，這意味著必須修改幾乎全部現(xiàn)有設(shè)備的配置，因此，應(yīng)選用方便配置的、支持透明通信的防火墻。它在安裝時不需要對原網(wǎng)絡(luò)配置做任何改動，所做的工作只相當(dāng)于連接一個網(wǎng)橋或Hub.需要時，兩端一連線就可以工作，不需要時，將網(wǎng)線恢復(fù)原狀即可。防火墻管理的簡便性防火墻的管理在充分考慮安全需要的前提下，必須提供方便靈活的管理方式和方法。通常體現(xiàn)為管理途徑、管理工具和管理權(quán)限。防火墻設(shè)備首先是一個網(wǎng)絡(luò)通信設(shè)備，管理途徑的提供要兼顧通常網(wǎng)絡(luò)設(shè)備的管理方式。管理工具主要為GUI類管理器，用它管理很直觀，這對于設(shè)備的初期管理和不太熟悉的管理人員來說是一種有效的管理方式。權(quán)限管理是管理本身的基礎(chǔ)，但是應(yīng)防止嚴(yán)格的權(quán)限認(rèn)證可能帶來的管理方便性的降低。防火墻抵抗拒絕服務(wù)攻擊的能力在當(dāng)前的網(wǎng)絡(luò)攻擊中，拒絕服務(wù)攻擊是使用頻率較高的方法。拒絕服務(wù)攻擊可以分為兩類，一類是由于操作系統(tǒng)或應(yīng)用軟件本身設(shè)計或編程上的缺陷而造成的，由此帶來的攻擊種類很多，只有通過打補(bǔ)丁的辦法來解決：另一類是由于TCP/IP協(xié)議本身的缺陷造成的，數(shù)量不多，但危害性非常大。防火墻能做的是對付第二類攻擊，這一點應(yīng)該是防火墻的基本功能之一。目前有很多防火墻號稱可以抵御拒絕服務(wù)攻擊，實際上嚴(yán)格地說，它應(yīng)該是可以降低拒絕服務(wù)攻擊的危害而不是抵御這種攻擊。因此在采購防火墻時，網(wǎng)管人員應(yīng)該詳細(xì)考察這一功能的真實性和有效性。防火墻對用戶身份的過濾能力防火墻過濾報文時，最基礎(chǔ)的是針對IP地址進(jìn)行過濾。而IP地址是非常容易修改的，只要打聽到內(nèi)部網(wǎng)里誰可以穿過防火墻，那么將自己的IP地址改成和他的一樣就可以了。這就需要一個針對用戶身份而不是IP地址進(jìn)行過濾的辦法。目前防火墻上常用的是一次性口令驗證機(jī)制，通過特殊的算法，保證用戶在登錄防火墻時，口令不會在網(wǎng)絡(luò)上泄露，這樣防火墻就可以確認(rèn)登錄上來的用戶確實和他所聲稱的一致。0防火墻的可擴(kuò)展性、可升級性用戶的網(wǎng)絡(luò)不是一成不變的，防火墻現(xiàn)在可能主要是在內(nèi)部網(wǎng)和外部網(wǎng)之間做過濾，隨著網(wǎng)絡(luò)的發(fā)展，內(nèi)部網(wǎng)絡(luò)可能出現(xiàn)具有不同安全級別的子網(wǎng)，這時就需要在子網(wǎng)之間做過濾因此，在購買防火墻時必須清楚，是否可以增加網(wǎng)絡(luò)接口，是否具有擴(kuò)展性。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和黑客攻擊手段的不斷變化，防火墻也必須不斷地進(jìn)行升級，此時支持軟件升級就很重要了。如果不支持軟件升級的話，為了抵御新的攻擊手段，用戶就必須進(jìn)行硬件上的更換，而在更換期間您的網(wǎng)絡(luò)是不設(shè)防的，同時您也要為此花費更多的錢。以上就是選購防火墻時需要注意的一些問題，同時要明白，沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題。網(wǎng)絡(luò)安全會受到許多因素的影響，諸如安全策略、職員的技術(shù)背景、費用以及估計可能受到的攻擊等。只有能正確認(rèn)識防火墻，才是最安全的?？傊?，防火墻作為目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，可以在很大程度上提高網(wǎng)絡(luò)安全。但網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要有其他技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識等。8.6其它網(wǎng)絡(luò)安全技術(shù)8.6.1網(wǎng)絡(luò)安全掃描技術(shù)8.6.2網(wǎng)絡(luò)入侵檢測技術(shù)

8.6.3黑客誘騙技術(shù)

8.6.4網(wǎng)絡(luò)防病毒技術(shù)

返回8.6.1網(wǎng)絡(luò)安全掃描技術(shù)

網(wǎng)絡(luò)安全掃描技術(shù)是為使系統(tǒng)管理員能夠及時了解系統(tǒng)中存在的安全漏洞，并采取相應(yīng)防范措施，從而降低系統(tǒng)的安全風(fēng)險而發(fā)展起來的一種安全技術(shù)。利用安全掃描技術(shù)，可以對局域網(wǎng)絡(luò)、Web站點、主機(jī)操作系統(tǒng)、系統(tǒng)服務(wù)以及防火墻系統(tǒng)的安全漏洞進(jìn)行掃描，系統(tǒng)管理員可以了解在運行的網(wǎng)絡(luò)系統(tǒng)中存在的不安全的網(wǎng)絡(luò)服務(wù)，在操作系統(tǒng)上存在的可能導(dǎo)致遭受緩沖區(qū)溢出攻擊或者拒絕服務(wù)攻擊的安全漏洞，還可以檢測主機(jī)系統(tǒng)中是否被安裝了竊聽程序，防火墻系統(tǒng)是否存在安全漏洞和配置錯誤。防火墻系統(tǒng)都是運行于特定的操作系統(tǒng)之卜，操作系統(tǒng)潛在的安全漏洞也可能給內(nèi)部網(wǎng)絡(luò)的安全造成威脅。為解決上述問題，防火墻安全掃描軟件提供了對防火墻系統(tǒng)配置及其運行操作系統(tǒng)的安全檢測，通常通過源端口、源路由、SOCKS和TCP端口猜測攻擊等潛在的防火墻安全漏洞，進(jìn)行模擬測試來檢查其配置的正確性，并通過模擬強(qiáng)力攻擊、拒絕服務(wù)攻擊等來測試操作系統(tǒng)的安全性。

Web網(wǎng)站掃描Web站點上運行的CGI程序的安全性是網(wǎng)絡(luò)安全的重要保障之一，此外W已七服務(wù)器上運行的其他一些應(yīng)用程序、Web月民務(wù)器配置的錯誤、服務(wù)器上運行的一些相關(guān)服務(wù)以及操作系統(tǒng)存在的漏洞都可能是Web站點存在的安全風(fēng)險。Web站點安全掃描軟件就是通過檢測操作系統(tǒng)、Web服務(wù)器的相關(guān)服務(wù)、CGI等應(yīng)用程序以及Web服務(wù)器的配置，報告Web站點中的安全漏洞并給出修補(bǔ)措施。Web站點管理員可以根據(jù)這些報告對站點的安全漏洞進(jìn)行修補(bǔ)從而提高Web站點的安全。系統(tǒng)安全掃描系統(tǒng)安全掃描技術(shù)通過刊目標(biāo)主機(jī)的操作系統(tǒng)的配置進(jìn)行檢測，報告其安全漏洞并給出一些建議或修補(bǔ)措施。與遠(yuǎn)程網(wǎng)絡(luò)安全軟件從外部付目標(biāo)主機(jī)的各個端口進(jìn)行安全掃描不同，系統(tǒng)安全掃描軟件從主機(jī)系統(tǒng)內(nèi)部對操作系統(tǒng)各個方面進(jìn)行檢測，因而很多系統(tǒng)掃描軟件都需要其運行者具有超級用戶的權(quán)限。系統(tǒng)安全掃描軟件通常能夠檢查潛在的操作系統(tǒng)漏洞、不正確的文件屬性和權(quán)限設(shè)置、脆弱的用戶口令、網(wǎng)絡(luò)服務(wù)配置錯誤、操作系統(tǒng)底層非授權(quán)的更改以及攻擊者攻破系統(tǒng)的跡象等。返回8.6.2網(wǎng)絡(luò)入侵檢測技術(shù)

也叫網(wǎng)絡(luò)實時監(jiān)控技術(shù).它通過硬件或軟件對網(wǎng)絡(luò)上的數(shù)據(jù)流進(jìn)行實時檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫進(jìn)行比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動作做出反應(yīng)，如切斷網(wǎng)絡(luò)連接，或通知防火墻系統(tǒng)對訪問控制策略進(jìn)行調(diào)整，將入侵的數(shù)據(jù)包過濾掉等。

網(wǎng)絡(luò)入侵檢測技術(shù)的特點是利用網(wǎng)絡(luò)監(jiān)控軟件或者硬件對網(wǎng)絡(luò)流量進(jìn)行監(jiān)控并分析，及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的跡象并做出反應(yīng)。入侵檢測部件可以直接部署于受監(jiān)控網(wǎng)絡(luò)的廣播網(wǎng)段，或者直接接收受監(jiān)控網(wǎng)絡(luò)旁路過來的數(shù)據(jù)流。為了更有效地發(fā)現(xiàn)網(wǎng)絡(luò)受攻擊的跡象，網(wǎng)絡(luò)入侵檢測部件應(yīng)能夠分析網(wǎng)絡(luò)上使用的各種網(wǎng)絡(luò)協(xié)議，識別各種網(wǎng)絡(luò)攻擊行為。網(wǎng)絡(luò)入侵檢測部科對網(wǎng)絡(luò)攻擊行為的識別通常是通過網(wǎng)絡(luò)入侵特征庫實現(xiàn)的，這種方法有利于在出現(xiàn)了新的網(wǎng)絡(luò)攻擊手段時方便地對入侵特征庫加以更新，提高入侵檢測部件對網(wǎng)絡(luò)攻擊行為的識別能力。利用網(wǎng)絡(luò)入侵檢測技術(shù)可以實現(xiàn)網(wǎng)絡(luò)安全檢測和實時攻擊識別，但它只能作為網(wǎng)絡(luò)安全的一個重要的安全組件，網(wǎng)絡(luò)系統(tǒng)的實際安全實現(xiàn)應(yīng)該結(jié)合使用防火墻等技術(shù)來組成一個完整的網(wǎng)絡(luò)安全解決方案，其原因在于網(wǎng)絡(luò)入侵檢測技術(shù)雖然也能對網(wǎng)絡(luò)攻擊進(jìn)行識別并做出反應(yīng)，但其側(cè)重點還是在于發(fā)現(xiàn)，而不能代替防火墻系統(tǒng)執(zhí)行整個網(wǎng)絡(luò)的訪問控制策略。防火墻系統(tǒng)能夠?qū)⒁恍╊A(yù)期的網(wǎng)絡(luò)攻擊阻擋于網(wǎng)絡(luò)外面，而網(wǎng)絡(luò)入侵檢測技術(shù)除了減小網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險之外，還能對一些非預(yù)期的攻擊進(jìn)行識別并做出反應(yīng)，切斷攻擊連接或通知防火墻系統(tǒng)修改控制準(zhǔn)則，將下一次的類似攻擊阻擋于網(wǎng)絡(luò)外部。因此通過網(wǎng)絡(luò)安全檢測技術(shù)和防火墻系統(tǒng)結(jié)合?？梢詫崿F(xiàn)一個完整的網(wǎng)絡(luò)安全解決方案。返回8.6.3黑客誘騙技術(shù)

通過一個由網(wǎng)絡(luò)安全專家精心設(shè)置的特殊系統(tǒng)來引誘黑客，并對黑客進(jìn)行跟蹤和記錄這種黑客誘騙系統(tǒng)通常也稱為蜜罐(Honeypot)系統(tǒng)，其最重要的功能是特殊設(shè)置的對于系統(tǒng)中所有操作的監(jiān)視和記錄，網(wǎng)絡(luò)安全專家通過精心的偽裝使得黑客在進(jìn)入到目標(biāo)系統(tǒng)后，仍不知曉自己所有的行為已處于系統(tǒng)的監(jiān)視之中。

為了吸引黑客，網(wǎng)絡(luò)安全專家通常還在蜜罐系統(tǒng)上故意留下一些安全后門來吸引黑客上鉤，或者放置一些網(wǎng)絡(luò)攻擊者希望得到的敏感信息，當(dāng)然這些信息都是虛假信息。這樣，當(dāng)黑客正在為攻入目標(biāo)系統(tǒng)而沾沾自喜的時候．他在目標(biāo)系統(tǒng)中的所有行為，包括輸入的字符、執(zhí)行的操作等，都已經(jīng)被蜜罐系統(tǒng)所記錄。蜜罐系統(tǒng)管理人員通過研究和分析這些記錄，可以知道黑客采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平，通過分析黑客的網(wǎng)上聊天內(nèi)容還可以獲得黑客的活動范圍以及下一步的攻擊目標(biāo)，根據(jù)這些信息，管理人員可以提前對系統(tǒng)進(jìn)行保護(hù)。同時在蜜罐系統(tǒng)中記錄下的信息還可以作為對黑客進(jìn)行起訴的證據(jù)返回8.6.4網(wǎng)絡(luò)防病毒技術(shù)網(wǎng)絡(luò)防病毒技術(shù)包括預(yù)防病毒、檢測病毒和消除病毒三方面。(1)預(yù)防病毒技術(shù)：它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計算機(jī)病毒進(jìn)人計算機(jī)系統(tǒng)和對系統(tǒng)進(jìn)行破壞。技術(shù)手段包括：加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)