網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理

網(wǎng)絡(luò)安全：計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的信息安全。大部分網(wǎng)絡(luò)安全問(wèn)題都與TCP/IP有關(guān)。與網(wǎng)絡(luò)安全有關(guān)的新名詞逐漸為大眾所知，例如黑客（hacker）、破解者（cracker）等。凡此種種，都傳遞出一個(gè)信息——網(wǎng)絡(luò)是不安全的。為網(wǎng)絡(luò)安全擔(dān)憂的人大致可分為兩類，一類是使用網(wǎng)絡(luò)資源的一般用戶，另一類是提供網(wǎng)絡(luò)資源的服務(wù)提供者。

造成網(wǎng)絡(luò)不安全的主要原因：

自身缺陷（TCP/IP）＋開(kāi)放性（網(wǎng)絡(luò)）＋黑客攻擊（外在原因）

7.1網(wǎng)絡(luò)安全隱患當(dāng)前第1頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)1先天性安全漏洞

Internet的前身是ARPANET，而ARPANET最初是為軍事機(jī)構(gòu)服務(wù)的，對(duì)網(wǎng)絡(luò)安全的關(guān)注較少。在進(jìn)行通信時(shí)，Internet用戶的數(shù)據(jù)被拆成一個(gè)個(gè)數(shù)據(jù)包，然后經(jīng)過(guò)若干結(jié)點(diǎn)輾轉(zhuǎn)傳遞到終點(diǎn)。但是TCP/IP在傳遞數(shù)據(jù)包時(shí)，并未對(duì)其加密。換言之，在數(shù)據(jù)包所經(jīng)過(guò)的每個(gè)結(jié)點(diǎn)上，都可直接獲取這些數(shù)據(jù)包，并可分析、存儲(chǔ)之。如果數(shù)據(jù)包內(nèi)含有商業(yè)敏感數(shù)據(jù)或個(gè)人隱私信息，則任何人都可輕易解讀。7.1網(wǎng)絡(luò)安全隱患當(dāng)前第2頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)2計(jì)算機(jī)網(wǎng)絡(luò)犯罪及特點(diǎn)據(jù)倫敦英國(guó)銀行協(xié)會(huì)統(tǒng)計(jì)，全球每年因計(jì)算機(jī)犯罪造成的損失大約為80億美元，而實(shí)際損失金額應(yīng)在100億美元以上。網(wǎng)絡(luò)犯罪的特點(diǎn)是，罪犯不必親臨現(xiàn)場(chǎng)、所遺留的證據(jù)很少且有效性低。并且，與此類犯罪有關(guān)的法律還有待于進(jìn)一步完善。遏制計(jì)算機(jī)犯罪的有效手段是從軟、硬件建設(shè)做起，可購(gòu)置防火墻（firewall）、對(duì)員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)，增強(qiáng)其防范意識(shí)等。7.1網(wǎng)絡(luò)安全隱患當(dāng)前第3頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)3網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊者利用目前網(wǎng)絡(luò)通信協(xié)議（如TCP/IP協(xié)議）自身存在的或因配置不當(dāng)而產(chǎn)生的安全漏洞、用戶使用的操作系統(tǒng)內(nèi)在缺陷或者用戶使用的程序語(yǔ)言本身所具有的安全隱患等，通過(guò)使用網(wǎng)絡(luò)命令、從Internet上下載的專用軟件或者攻擊自己編寫(xiě)的軟件，非法進(jìn)入本地或遠(yuǎn)程用戶主機(jī)系統(tǒng)，非法獲得、修改、刪除用戶系統(tǒng)的信息以及用戶系統(tǒng)上添加垃圾、色情或者有害信息（如特洛伊木馬）等一系列過(guò)程的總稱。

7.1網(wǎng)絡(luò)安全隱患當(dāng)前第4頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)47.2計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅安全威脅分類：主動(dòng)攻擊被動(dòng)攻擊中斷：在網(wǎng)絡(luò)上的用戶在通信時(shí)，破壞者中斷他們之間的通信，如拒絕服務(wù)攻擊（DenialofService，DoS）。篡改：當(dāng)網(wǎng)絡(luò)用戶甲向乙發(fā)送包文時(shí)，包文在轉(zhuǎn)發(fā)過(guò)程中被破壞者更改。偽造：破壞者非法獲取用戶乙的權(quán)限并乙的名義與甲進(jìn)行通信。如偽造電子郵件。截獲：當(dāng)網(wǎng)絡(luò)用戶甲與乙通信時(shí)，被破壞者偷看到他們之間得到通信內(nèi)容。如木馬截取技術(shù)。當(dāng)前第5頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)57.2計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅響應(yīng)式安全防護(hù)模型：基于特定威脅的特征，目前絕大多數(shù)安全產(chǎn)品均基于這種模型。（通過(guò)名字識(shí)別攻擊；根據(jù)需要進(jìn)行響應(yīng)；減輕損失；事后恢復(fù)。如防火墻）主動(dòng)式安全防護(hù)模型：以識(shí)別和阻擋未知威脅為主導(dǎo)思想。（早期預(yù)警技術(shù)；有效的補(bǔ)丁管理；主動(dòng)識(shí)別和阻擋技術(shù)。）兩種安全防護(hù)模型當(dāng)前第6頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)67.2計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅08年全國(guó)信息網(wǎng)絡(luò)安全狀況調(diào)查分析報(bào)告（公安部、國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心、國(guó)家反計(jì)算機(jī)入侵和防病毒研究中心）網(wǎng)絡(luò)安全事件情況

62.7%的被調(diào)查單位發(fā)生過(guò)網(wǎng)絡(luò)安全事件，32%的單位多次發(fā)生安全事件。感染計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序的情況依然十分突出，占72%，其次是網(wǎng)絡(luò)攻擊和端口掃描(27%)、網(wǎng)頁(yè)篡改(23%)和垃圾郵件(22%)。網(wǎng)絡(luò)安全管理情況采取的安全防范措施主要為存儲(chǔ)備份(64.7%)、口令加密和訪問(wèn)控制(64.4%)；使用的安全服務(wù)主要是系統(tǒng)維護(hù)(70%)、安全檢測(cè)(51.5%)和容災(zāi)備份與恢復(fù)(30%)。防火墻和計(jì)算機(jī)病毒防治產(chǎn)品仍是最普及的網(wǎng)絡(luò)安全產(chǎn)品，占75%，其次是入侵監(jiān)測(cè)和漏洞掃描產(chǎn)品(33%)。當(dāng)前第7頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)77.3盜竊數(shù)據(jù)或侵入網(wǎng)絡(luò)的方法1.竊聽(tīng)(Eavesdropping)

最簡(jiǎn)易的竊聽(tīng)方式是將計(jì)算機(jī)連入網(wǎng)絡(luò)，利用專門(mén)的工具軟件對(duì)在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包進(jìn)行分析。進(jìn)行竊聽(tīng)的最佳位置是網(wǎng)絡(luò)中的路由器，特別是位于關(guān)卡處的路由器,它們是數(shù)據(jù)包的集散地。竊聽(tīng)程序的基本功能是收集、分析數(shù)據(jù)包，高級(jí)的竊聽(tīng)程序還提供生成假數(shù)據(jù)包、解碼等功能，甚至可鎖定某源服務(wù)器（或目標(biāo)服務(wù)器）的特定端口，自動(dòng)處理與這些端口有關(guān)的數(shù)據(jù)包。當(dāng)前第8頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)8假設(shè)數(shù)據(jù)由網(wǎng)絡(luò)λ傳送至網(wǎng)絡(luò)μ，可被竊聽(tīng)的位置至少包括：7.3盜竊數(shù)據(jù)或侵入網(wǎng)絡(luò)的方法網(wǎng)絡(luò)λ中的計(jì)算機(jī)數(shù)據(jù)包在Internet上途經(jīng)的每一路由器。網(wǎng)絡(luò)μ中的計(jì)算機(jī)。當(dāng)前第9頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)92.竊取(Spoofing)這種入侵方式一般出現(xiàn)在使用支持信任機(jī)制網(wǎng)絡(luò)中。在這種機(jī)制下，通常用戶只需擁有合法帳號(hào)即可通過(guò)認(rèn)證，因此入侵者可以利用信任關(guān)系，冒充一方與另一方連網(wǎng)，以竊取信息。假設(shè)某入侵者欲利用主機(jī)A入侵某公司的的內(nèi)部網(wǎng)絡(luò)主機(jī)B，則其步驟大致如下：

1.確定要入侵的主機(jī)B。

2.確定主機(jī)B所信任的主機(jī)A。

7.3盜竊數(shù)據(jù)或侵入網(wǎng)絡(luò)的方法當(dāng)前第10頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)103.利用主機(jī)X在短時(shí)間內(nèi)發(fā)送大量的數(shù)據(jù)包給A，使之窮于應(yīng)付。4.利用主機(jī)X向B發(fā)送源地址為A的數(shù)據(jù)包。7.3盜竊數(shù)據(jù)或侵入網(wǎng)絡(luò)的方法當(dāng)前第11頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)113.會(huì)話竊奪(Spoofing)入侵者首先在網(wǎng)絡(luò)上窺探現(xiàn)有的會(huì)話，發(fā)現(xiàn)有攻擊價(jià)值的會(huì)話后，便將參與會(huì)話的一方截?cái)?，并頂替被截?cái)喾嚼^續(xù)與另一方進(jìn)行連接，以竊取信息。會(huì)話竊奪不像竊取那樣容易防范。對(duì)于由外部網(wǎng)絡(luò)入侵內(nèi)部網(wǎng)絡(luò)的途徑，可用防火墻切斷，但對(duì)于內(nèi)、外部網(wǎng)絡(luò)之間的會(huì)話，除了采用數(shù)據(jù)加密手段外，沒(méi)有其他方法可保絕對(duì)安全。7.3盜竊數(shù)據(jù)或侵入網(wǎng)絡(luò)的方法當(dāng)前第12頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)12例如，當(dāng)主機(jī)A正與主機(jī)B進(jìn)行會(huì)話時(shí)，X切入會(huì)話，并假冒B的名義發(fā)送數(shù)據(jù)包給A，通知其中斷會(huì)話，然后X頂替A繼續(xù)與B進(jìn)行會(huì)話。7.3盜竊數(shù)據(jù)或侵入網(wǎng)絡(luò)的方法當(dāng)前第13頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)134.利用操作系統(tǒng)漏洞操作系統(tǒng)的漏洞大致可分為兩部分：另一部分則是由于使用不得法所致。這種由于系統(tǒng)管理不善所引發(fā)的漏洞主要是系統(tǒng)資源或帳戶權(quán)限設(shè)置不當(dāng)。微軟的操作系統(tǒng)RPC漏洞–沖擊波病毒Outlook的郵件預(yù)覽漏洞-“求職信”病毒一部分是由設(shè)計(jì)或?qū)崿F(xiàn)缺陷造成的。包括協(xié)議方面的、網(wǎng)絡(luò)服務(wù)方面的、共用程序庫(kù)方面的等等。7.3盜竊數(shù)據(jù)或侵入網(wǎng)絡(luò)的方法當(dāng)前第14頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)145.盜用密碼盜用密碼是最簡(jiǎn)單的技巧。通常有下列方式：密碼被盜用，通常是因?yàn)橛脩舨恍⌒谋凰恕鞍l(fā)現(xiàn)”了。而“發(fā)現(xiàn)”的方法一般是“猜測(cè)”。猜密碼的方式有多種，最常見(jiàn)的是在登錄系統(tǒng)時(shí)嘗試不同的密碼，系統(tǒng)允許用戶登錄就意味著密碼被猜中了。-字典攻擊

另一種比較常見(jiàn)的方法是先從服務(wù)器中獲得被加密的密碼表，再利用公開(kāi)的算法進(jìn)行計(jì)算，直到求出密碼為止，這種技巧最常用于Unix系統(tǒng)。

木馬竊取密碼。7.3盜竊數(shù)據(jù)或侵入網(wǎng)絡(luò)的方法當(dāng)前第15頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)15計(jì)算機(jī)技術(shù)中的木馬，是一種與計(jì)算機(jī)病毒類似的指令集合，它寄生在普通程序中，并在暗中進(jìn)行某些破壞性操作或進(jìn)行盜竊數(shù)據(jù)。木馬與計(jì)算機(jī)病毒的區(qū)別是，前者不進(jìn)行自我復(fù)制，即不感染其他程序。完整的木馬程序一般由兩個(gè)部份組成：一個(gè)是服務(wù)器程序，一個(gè)是控制器程序?！爸辛四抉R”：安裝了木馬的服務(wù)器程序，若你的電腦被安裝了服務(wù)器程序，則擁有控制器程序的人就可以通過(guò)網(wǎng)絡(luò)控制你的電腦、為所欲為，這時(shí)你電腦上的各種文件、程序，以及在你電腦上使用的帳號(hào)、密碼就無(wú)安全可言了木馬種類：鍵盤(pán)記錄木馬、程序殺手木馬等。7.3盜竊數(shù)據(jù)或侵入網(wǎng)絡(luò)的方法6.木馬、暗門(mén)、病毒和邏輯炸彈當(dāng)前第16頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)16暗門(mén)（trapdoor）又稱后門(mén)（backdoor）、陷門(mén)，指隱藏在程序中的秘密功能，通常是程序設(shè)計(jì)者為了能在日后隨意進(jìn)入系統(tǒng)而設(shè)置的。最早的后門(mén)是KenThompson在其早期發(fā)展的Unixlogin程序中隱藏「暗門(mén)」，當(dāng)輸入特定名稱時(shí)，可取得超權(quán)限授權(quán)。7.3盜竊數(shù)據(jù)或侵入網(wǎng)絡(luò)的方法病毒是一種寄生在普通程序中、且能夠?qū)⒆陨韽?fù)制到其他程序、并通過(guò)執(zhí)行某些操作，破壞系統(tǒng)或干擾系統(tǒng)運(yùn)行的“壞”程序。病毒程序可從事破壞活動(dòng)，間諜活動(dòng)等，如將服務(wù)器內(nèi)的數(shù)據(jù)傳往某個(gè)主機(jī)等，宏病毒，網(wǎng)絡(luò)病毒Melissa，LoveLetter，HappyTime。免受木馬、病毒和暗門(mén)威脅的最有效的方法是不要運(yùn)行來(lái)歷不明的程序。當(dāng)前第17頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)17數(shù)據(jù)保密（dataconfidentiality）身份認(rèn)證（authentication）數(shù)據(jù)完整（dataintegrity）防抵賴（non-repudiation）訪問(wèn)控制（accesscontrol）7.4安全機(jī)制當(dāng)前第18頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)187.5數(shù)據(jù)加解密

加密指改變數(shù)據(jù)的表現(xiàn)形式。加密的目的是只讓特定的人能解讀密文，對(duì)一般人而言，其即使獲得了密文，也不解其義。加密旨在對(duì)第三者保密，如果信息由源點(diǎn)直達(dá)目的地，在傳遞過(guò)程中不會(huì)被任何人接觸到，則無(wú)需加密。Internet是一個(gè)開(kāi)放的系統(tǒng)，穿梭于其中的數(shù)據(jù)可能被任何人隨意攔截，因此，將數(shù)據(jù)加密后再傳送是進(jìn)行秘密通信的最有效的方法。

當(dāng)前第19頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)19下圖示意了加密、解密的過(guò)程。其中，“Thisisabook”稱為明文（plaintext或cleartext）；“!@#$~%^~&~*()-”稱為密文（ciphertext）。將明文轉(zhuǎn)換成密文的過(guò)程稱為加密（encryption），相反的過(guò)程則稱為解密（decryption）。7.5數(shù)據(jù)加解密當(dāng)前第20頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)20當(dāng)代加密技術(shù)趨向于使用一套公開(kāi)算法及秘密鍵值（key，又稱鑰匙）完成對(duì)明文的加密。公開(kāi)算法的前提是，如果沒(méi)有用于解密的鍵值，即使知道算法的所有細(xì)節(jié)也不能破解密文。由于需要使用鍵值解密，故遍歷所有可能的鍵值便成為最直接的破解方法。鍵值的長(zhǎng)度決定了破解密文的難易程度，顯然鍵值越長(zhǎng)，越復(fù)雜，破解就越困難。目前加密數(shù)據(jù)涉及到的算法有秘密鑰匙（secretkey）和公用鑰匙（publickey）加密算法，上述算法再加上Hash函數(shù)，構(gòu)成了現(xiàn)代加密技術(shù)的基礎(chǔ)。7.5數(shù)據(jù)加解密當(dāng)前第21頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)211.秘密鑰匙加密秘密鑰匙加密法又稱為對(duì)稱式加密法或傳統(tǒng)加密法。其特點(diǎn)是加密明文和解讀密文時(shí)使用的是同一把鑰匙。缺點(diǎn)：由于至少有兩個(gè)人持有鑰匙，所以任何一方都不能完全確定對(duì)方手中的鑰匙是否已經(jīng)透露給第三者。7.5數(shù)據(jù)加解密當(dāng)前第22頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)222.公用鑰匙加密公用鑰匙加密法又稱非對(duì)稱式（asymmetric）加密，是近代密碼學(xué)新興的一個(gè)領(lǐng)域。公用鑰匙加密法的特色是完成一次加、解密操作時(shí)，需要使用一對(duì)鑰匙。假定這兩個(gè)鑰匙分別為A和B，則用A加密明文后形成的密文，必須用B方可解回明文，反之，用B加密后形成的密文必須用A解密。通常，將其中的一個(gè)鑰匙稱為私有鑰匙（privatekey），由個(gè)人妥善收藏，不外泄于人，與之成對(duì)的另一把鑰匙稱為公用鑰匙，公用鑰匙可以像電話號(hào)碼一樣被公之于眾。7.5數(shù)據(jù)加解密當(dāng)前第23頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)23假如X需要傳送數(shù)據(jù)給A，X可將數(shù)據(jù)用A的公用鑰匙加密后再傳給A，A收到后再用私有鑰匙解密。如圖所示。缺點(diǎn)：利用公用鑰匙加密雖然可避免鑰匙共享而帶來(lái)的問(wèn)題，但其使用時(shí)，需要的計(jì)算量較大。7.5數(shù)據(jù)加解密當(dāng)前第24頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)24數(shù)字簽名技術(shù)單向散列函數(shù)：MD5、SHA1、。。。加解密：RSA、ECC、。。。7.5數(shù)據(jù)加解密當(dāng)前第25頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)25身份認(rèn)證（authentication）ABB成功認(rèn)證ABB認(rèn)證A失敗7.5數(shù)據(jù)加解密當(dāng)前第26頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)26防火墻是指用來(lái)連接兩個(gè)網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)）并控制兩個(gè)網(wǎng)絡(luò)之間相互訪問(wèn)的系統(tǒng)，即在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間實(shí)現(xiàn)控制策略的系統(tǒng)，它是一類防范措施的總稱，防火墻可以是簡(jiǎn)單的路由器、主機(jī)、子網(wǎng)或應(yīng)用軟件等。從而防止有害信息進(jìn)入受保護(hù)網(wǎng)，為網(wǎng)絡(luò)提供安全保障?？梢栽贗P層設(shè)置屏障，對(duì)進(jìn)出的所有數(shù)據(jù)進(jìn)行分析。也可以用應(yīng)用層軟件來(lái)阻止外來(lái)攻擊，對(duì)用戶進(jìn)行認(rèn)證。7.6.1防火墻技術(shù)概述當(dāng)前第27頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)27防火墻的主要功能：過(guò)濾不安全服務(wù)和非法用戶，禁止未授權(quán)的用戶訪問(wèn)受保護(hù)網(wǎng)絡(luò)。控制對(duì)特殊站點(diǎn)的訪問(wèn)，如受保護(hù)的Email、FTP、WWW服務(wù)器等可允許被外網(wǎng)訪問(wèn)，而其他訪問(wèn)則被主機(jī)禁止。提供監(jiān)視Internet安全和預(yù)警的端點(diǎn)。7.6.1防火墻技術(shù)概述當(dāng)前第28頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)28防火墻并非萬(wàn)能，影響網(wǎng)絡(luò)安全的因素很多，對(duì)于以下情況它無(wú)能為力：（1）不能防范繞過(guò)防火墻的攻擊。（2）一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸。（3）不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。（4）難以避免來(lái)自內(nèi)部的攻擊。7.6.1防火墻技術(shù)概述當(dāng)前第29頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)29包過(guò)濾防火墻也稱網(wǎng)絡(luò)級(jí)防火墻，通常由一部路由器或一部充當(dāng)路由器的計(jì)算機(jī)組成。Internet/Intranet上的所有信息都是以IP數(shù)據(jù)包的形式傳輸?shù)?，兩個(gè)網(wǎng)絡(luò)之間的數(shù)據(jù)傳送都要經(jīng)過(guò)防火墻。包過(guò)濾路由器對(duì)所接收的每個(gè)數(shù)據(jù)包進(jìn)行審查，以便確定其是否與某一條包過(guò)濾規(guī)則匹配。包過(guò)濾防火墻是一種基于網(wǎng)絡(luò)層的安全技術(shù)，對(duì)于應(yīng)用層上的黑客行為無(wú)能為力。這一類的防火墻產(chǎn)品主要有防火墻路由器、在充當(dāng)路由器的計(jì)算機(jī)上運(yùn)行的防火墻軟件等。

優(yōu)缺點(diǎn)：1.包過(guò)濾防火墻7.6.2防火墻的類型結(jié)構(gòu)簡(jiǎn)單，便于管理，造價(jià)低在單機(jī)上實(shí)現(xiàn)，是網(wǎng)絡(luò)中的“單失效點(diǎn)”。不支持有效的用戶認(rèn)證，不提供有用的日志，安全性低。當(dāng)前第30頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)307.6.2防火墻的類型當(dāng)前第31頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)31包過(guò)濾規(guī)則路由器按照系統(tǒng)內(nèi)部設(shè)置的分組過(guò)濾規(guī)則（即訪問(wèn)控制表），檢查每個(gè)分組的源IP地址、目的IP地址，決定該分組是否應(yīng)該轉(zhuǎn)發(fā)；包過(guò)濾規(guī)則一般是基于部分或全部報(bào)頭的內(nèi)容。例如，對(duì)于TCP報(bào)頭信息可以是：源IP地址；目的IP地址；協(xié)議類型；IP選項(xiàng)內(nèi)容；源TCP端口號(hào)；目的TCP端口號(hào)；TCPACK標(biāo)識(shí)。7.6.2防火墻的類型當(dāng)前第32頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)32包過(guò)濾的工作流程7.6.2防火墻的類型當(dāng)前第33頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)33實(shí)例假設(shè)網(wǎng)絡(luò)安全策略規(guī)定：7.6.2防火墻的類型內(nèi)部網(wǎng)絡(luò)的E-mail服務(wù)器（IP地址為，TCP端口號(hào)為25）可以接收來(lái)自外部網(wǎng)絡(luò)用戶的所有電子郵件；允許內(nèi)部網(wǎng)絡(luò)用戶傳送到與外部電子郵件服務(wù)器的電子郵件；拒絕所有與外部網(wǎng)絡(luò)中名字為T(mén)ESTHOST主機(jī)的連接。規(guī)則過(guò)濾號(hào)方向動(dòng)作源主機(jī)地址TESTHOST源端口號(hào)目的主機(jī)地址目的端口號(hào)協(xié)議描述阻塞來(lái)自TESTHOST的所有數(shù)據(jù)包阻塞所有到TESTHOST的數(shù)據(jù)包允許外部用戶傳送到內(nèi)部網(wǎng)絡(luò)電子郵件服務(wù)器的數(shù)據(jù)包允許內(nèi)部郵件服務(wù)器傳送到外部網(wǎng)絡(luò)的電子郵件數(shù)據(jù)包**TCPTCP**25>1023*TESTHOST***>102325**阻塞阻塞允許允許進(jìn)入進(jìn)入輸出輸出1234當(dāng)前第34頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)34

2.應(yīng)用網(wǎng)關(guān)或稱應(yīng)用級(jí)防火墻，通常指運(yùn)行代理（Proxy）服務(wù)器軟件的一部計(jì)算機(jī)主機(jī)。采用應(yīng)用級(jí)防火墻時(shí)，Intranet與Internet間是通過(guò)代理服務(wù)器連接的，二者不存在直接的物理連接，代理服務(wù)器的工作就是把一個(gè)獨(dú)立的報(bào)文拷貝從一個(gè)網(wǎng)絡(luò)傳輸?shù)搅硪粋€(gè)網(wǎng)絡(luò)。這種方式的防火墻把Intranet與Internet物理隔開(kāi)，能夠滿足高安全性的要求。但由于該軟件必須分析網(wǎng)絡(luò)數(shù)據(jù)包并作出訪問(wèn)控制決定，從而影響網(wǎng)絡(luò)的性能。優(yōu)缺點(diǎn)：7.6.2防火墻的類型系統(tǒng)軟件可用于身份認(rèn)證和維護(hù)系統(tǒng)日志。仍是網(wǎng)絡(luò)的“單失效點(diǎn)”，使訪問(wèn)速度變慢。隔離了一切內(nèi)部與Internet的直接連接，不靈活。當(dāng)前第35頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)35當(dāng)前第36頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)367.7網(wǎng)絡(luò)病毒及防殺Internet/Intranet的迅速發(fā)展和廣泛應(yīng)用給病毒增加了新的傳播途徑，網(wǎng)絡(luò)將正逐漸成為病毒的第一傳播途徑。Internet/Intranet帶來(lái)了兩種不同的安全威脅：來(lái)自文件下載，這些被瀏覽的或是通過(guò)FTP下載的文件中可能存在病毒；電子郵件。當(dāng)前第37頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)377.7.1網(wǎng)絡(luò)病毒的特點(diǎn)

傳染方式多。病毒入侵網(wǎng)絡(luò)的主要途徑是通過(guò)工作站傳播到服務(wù)器硬盤(pán)，再由服務(wù)器的共享目錄傳播到其他工作站。傳染速度快。在單機(jī)上，病毒只能通過(guò)磁盤(pán)、光盤(pán)等從一臺(tái)計(jì)算機(jī)傳播到另一臺(tái)計(jì)算機(jī)，而在網(wǎng)絡(luò)中病毒則可通過(guò)網(wǎng)絡(luò)通信機(jī)制迅速擴(kuò)散。清除難度大。尤其在網(wǎng)絡(luò)中，只要一臺(tái)工作站未消滅病毒就可能使整個(gè)網(wǎng)絡(luò)全部被病毒重新感染。在網(wǎng)絡(luò)環(huán)境中，計(jì)算機(jī)病毒具有如下特點(diǎn)：當(dāng)前第38頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)38破壞性強(qiáng)。網(wǎng)絡(luò)上的病毒將直接影響網(wǎng)絡(luò)的工作狀況，輕則降低速度，影響工作效率，重則造成網(wǎng)絡(luò)癱瘓，破壞服務(wù)系統(tǒng)的資源，使多年工作成果毀于一旦。激發(fā)形式多樣。可用于激發(fā)網(wǎng)絡(luò)病毒的條件較多，可以是內(nèi)部時(shí)鐘，系統(tǒng)的日期和用戶名，也可以是網(wǎng)絡(luò)的一次通信等。一個(gè)病毒程序可以按照設(shè)計(jì)者的要求，在某個(gè)工作站上激活并發(fā)出攻擊。潛在性。網(wǎng)絡(luò)一旦感染了病毒，即使病毒已被清除，其潛在的危險(xiǎn)也是巨大的。有研究表明，在病毒被消除后，85%的網(wǎng)絡(luò)在30天內(nèi)會(huì)被再次感染。7.7.1網(wǎng)絡(luò)病毒的特點(diǎn)當(dāng)前第39頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)397.7.2常見(jiàn)的網(wǎng)絡(luò)病毒電子郵件病毒。有毒的通常不是郵件本身，而是其附件。Java程序病毒。Java是目前網(wǎng)頁(yè)上最流行的程序設(shè)計(jì)語(yǔ)言，由于它可以跨平臺(tái)執(zhí)行，因此不論是Windows9X/NT還是Unix工作站，甚至是CRAY超級(jí)電腦，都可被Java病毒感染。ActiveX病毒。當(dāng)使用者瀏覽含有病毒的網(wǎng)頁(yè)時(shí)，就可能通過(guò)ActiveX控件將病毒下載至本地計(jì)算機(jī)上。網(wǎng)頁(yè)病毒。上面介紹過(guò)Java及ActiveX病毒，它們大部分都保存在網(wǎng)頁(yè)中，所以網(wǎng)頁(yè)當(dāng)然也能傳染病毒。當(dāng)前第40頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)407.7.3網(wǎng)絡(luò)防病毒軟件實(shí)時(shí)掃描：連續(xù)不斷地掃描從文件服務(wù)器讀/寫(xiě)的文件是否帶毒。

預(yù)置掃描：可以預(yù)先的日期和時(shí)間掃描服務(wù)器。

人工掃描：可以在任何時(shí)候要求掃描指定的卷、目錄和文件。

對(duì)文件服務(wù)器和工作站進(jìn)行查毒掃描、檢查、隔離、報(bào)警，當(dāng)發(fā)現(xiàn)病毒時(shí)，由網(wǎng)絡(luò)管理員負(fù)責(zé)清除病毒。網(wǎng)絡(luò)防病毒軟件一般允許用戶設(shè)置三種掃描方式：當(dāng)前第41頁(yè)\共有49頁(yè)\編于星期二\13點(diǎn)417.8.1網(wǎng)絡(luò)管理網(wǎng)絡(luò)服務(wù)提供是指向用戶提供新的服務(wù)類型、增加網(wǎng)絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能；網(wǎng)絡(luò)維護(hù)是指網(wǎng)絡(luò)性能監(jiān)控、故障報(bào)警、故障診斷、故障隔離與恢復(fù)；網(wǎng)絡(luò)處理是指網(wǎng)絡(luò)線路、設(shè)備利用率數(shù)據(jù)的采集、分析，以及提高網(wǎng)絡(luò)利用率的各種控制。