常見(jiàn)網(wǎng)絡(luò)入侵技術(shù)及網(wǎng)絡(luò)防護(hù)技術(shù)簡(jiǎn)介

常見(jiàn)網(wǎng)絡(luò)入侵技術(shù)和網(wǎng)絡(luò)防護(hù)技術(shù)簡(jiǎn)述隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)信息已經(jīng)成為社會(huì)發(fā)展的重要組成部分，涉及到國(guó)家的政府、軍事、經(jīng)濟(jì)等諸多領(lǐng)域。由于計(jì)算機(jī)網(wǎng)絡(luò)組成形式的多樣性和網(wǎng)絡(luò)的開(kāi)放性等特點(diǎn)，致使這些網(wǎng)絡(luò)信息容易受到來(lái)自世界各地的各種人為攻擊。據(jù)統(tǒng)計(jì)，全球每20秒就有一起黑客事件發(fā)生，因此網(wǎng)絡(luò)安全成為了全世界范圍內(nèi)一個(gè)無(wú)法回避且急需解決的問(wèn)題。本文簡(jiǎn)單介紹了幾種常見(jiàn)的網(wǎng)絡(luò)入侵手段和網(wǎng)絡(luò)防護(hù)技術(shù)。一、背景上世紀(jì)九十年代開(kāi)始發(fā)展起來(lái)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，給人們?cè)谔幚硇畔⒑唾Y源共享帶來(lái)了極大的方便，深刻影響并改變著我們的生活方式。當(dāng)各種商業(yè)活動(dòng)，金融領(lǐng)域，國(guó)家政府機(jī)構(gòu)，軍事國(guó)防對(duì)網(wǎng)絡(luò)依賴度越來(lái)越高時(shí)，也不得不面對(duì)更多來(lái)自網(wǎng)絡(luò)安全方面的考驗(yàn)。隨之出現(xiàn)的諸如木馬，蠕蟲(chóng)，DoS攻擊等，正在成為網(wǎng)絡(luò)安全最大的威脅。全球知名的個(gè)人電腦安全軟件制造商Symantec專家ⅥncentWeaver在接受新華社記者采訪時(shí)說(shuō)：“中國(guó)排全球互聯(lián)網(wǎng)黑客攻擊的第三號(hào)目標(biāo)?！敝袊?guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)報(bào)告指出，截至2013年底，網(wǎng)民人數(shù)已達(dá)6.18億，手機(jī)網(wǎng)民超過(guò)5億，同樣面臨著嚴(yán)重的安全威脅。其中計(jì)算機(jī)病毒感染率更是長(zhǎng)期處于較高水平。每年因計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬造成的安全事件占全部安全事件的83%。近年來(lái)國(guó)內(nèi)發(fā)生了許多網(wǎng)絡(luò)安全事件，其中部分事件有著重大的社會(huì)和政治影響。我國(guó)重要信息系統(tǒng)受到境內(nèi)、外惡意病毒的攻擊，木馬的侵入、滲透，危害相當(dāng)嚴(yán)重。從整個(gè)國(guó)家和地區(qū)情況看，近年來(lái)世界廣為知曉的“棱鏡門”事件，以及前一個(gè)時(shí)期通過(guò)國(guó)外媒體暴露的有關(guān)國(guó)內(nèi)知名的公司核心服務(wù)器受到侵害的安全問(wèn)題非常突出。國(guó)外媒體報(bào)道的中國(guó)周邊國(guó)家韓國(guó)突發(fā)的網(wǎng)絡(luò)安全和信息癱瘓的事件，都令人深思和警醒。隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全給我們帶來(lái)的挑戰(zhàn)應(yīng)該更加凸顯。盡管這幾年我國(guó)政府在逐步的加大網(wǎng)絡(luò)安全方面的工作力度、技術(shù)投入和資金保障，但仍然客觀存在著網(wǎng)絡(luò)安全的問(wèn)題，有的還比較突出，整個(gè)形勢(shì)不容樂(lè)觀。二、網(wǎng)絡(luò)攻擊新趨勢(shì)互聯(lián)網(wǎng)上肆意傳播著大量木馬、病毒，除此之外網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具也有了新的發(fā)展趨勢(shì)，網(wǎng)絡(luò)攻擊呈實(shí)時(shí)化、多樣化、復(fù)雜化等特點(diǎn)，主要表現(xiàn)在一下幾個(gè)方面：1．攻擊工具的自動(dòng)化水平越來(lái)越高，且攻擊速度越來(lái)越快；攻擊工具目前已經(jīng)發(fā)展到了可以通過(guò)自動(dòng)升級(jí)，或者更改工具的其中一部分來(lái)迅速改變自身，進(jìn)而發(fā)動(dòng)快速變化的攻擊，且可以做到在每次攻擊中使用不同種類不同形態(tài)的多種攻擊工具。2．攻擊程序越來(lái)越復(fù)雜和隱蔽；比如一些攻擊程序會(huì)借鑒計(jì)算機(jī)病毒的技術(shù)發(fā)展，很快編寫出能夠反查殺的變形木馬等一系列在復(fù)雜惡劣的網(wǎng)絡(luò)環(huán)境下更加具有生存能力的新型攻擊程序；另外，程序在執(zhí)行時(shí)不會(huì)在系統(tǒng)中顯示出來(lái)，攻擊者也會(huì)利用NTFS流來(lái)隱藏木馬程序文件，使用隱蔽信道等之類的手段更好地對(duì)自身加以隱藏。3．攻擊者發(fā)現(xiàn)安全漏洞的速度越來(lái)越快；只要使用電腦，操作系統(tǒng)和應(yīng)用軟件都是用戶必備的工具，然而新發(fā)現(xiàn)的各種系統(tǒng)、軟件與網(wǎng)絡(luò)安全的漏洞都在不斷地增加，幾乎每一年都會(huì)有安全漏洞的新類型被發(fā)現(xiàn)，網(wǎng)管或用戶需要在第一時(shí)間用最新的軟件補(bǔ)丁對(duì)這些漏洞進(jìn)行修補(bǔ)。但攻擊者往往能夠搶這些新安全漏洞被修補(bǔ)前，發(fā)現(xiàn)并加以利用發(fā)起攻擊。4．防火墻的被滲透率越來(lái)越高；目前，很多的網(wǎng)絡(luò)攻擊技術(shù)都可以成功繞過(guò)防火墻，例如IPP(網(wǎng)絡(luò)打印協(xié)議)和WebDAV都可以被攻擊者利用來(lái)繞過(guò)防火墻。使用http—tunnel的通道技術(shù)也能有效地滲透并通過(guò)防火墻。5．對(duì)用戶造成的影響越來(lái)越大；由于用戶對(duì)計(jì)算機(jī)的依賴度越來(lái)越高，同時(shí)也需要使用網(wǎng)絡(luò)所提供的各項(xiàng)服務(wù)，嚴(yán)重的攻擊會(huì)導(dǎo)致網(wǎng)絡(luò)大面積長(zhǎng)時(shí)間地癱瘓，嚴(yán)重的干擾到了用戶的各項(xiàng)日常工作和業(yè)務(wù)，甚至可能會(huì)給國(guó)家和個(gè)人造成無(wú)可挽回的巨大經(jīng)濟(jì)損失?；谝陨戏N種原因，網(wǎng)絡(luò)安全已成為了全世界范圍內(nèi)的共識(shí)，加之對(duì)安全領(lǐng)域的探索和研究日益深入，如何保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全也越來(lái)越被人們所重視。然而，迅猛增加的網(wǎng)民并未能和必須具備的網(wǎng)絡(luò)安全意識(shí)與知識(shí)同步，信息安全觀念較為淡薄，不能很好的采取相應(yīng)的安全措施來(lái)保護(hù)自身的網(wǎng)絡(luò)環(huán)境，也直接導(dǎo)致了此類用戶很容易被攻擊者利用成為網(wǎng)絡(luò)攻擊源。我國(guó)對(duì)全球互聯(lián)網(wǎng)的安全威脅很低，但由于缺乏安全意識(shí)遭受境外的網(wǎng)絡(luò)攻擊卻持續(xù)增多，2011年，有近4.7萬(wàn)個(gè)境外口地址控制了我國(guó)境內(nèi)主機(jī)。三、常見(jiàn)的網(wǎng)絡(luò)入侵類型網(wǎng)絡(luò)入侵技術(shù)通常利用網(wǎng)絡(luò)或系統(tǒng)存在的漏洞和安全缺陷進(jìn)行的攻擊，最終以竊取目標(biāo)主機(jī)的信息或破壞系統(tǒng)為主要目的。因此，當(dāng)某些系統(tǒng)缺陷、安全漏洞被修補(bǔ)之后，這些入侵方式也就很難得逞了。通常情況下，入侵都是以信息搜集為前提，對(duì)目標(biāo)系統(tǒng)的脆弱點(diǎn)采取相應(yīng)攻擊入侵手段，從而達(dá)到入侵目的。網(wǎng)絡(luò)入侵時(shí)時(shí)刻刻都在發(fā)生，其方式也可謂五花八門，具體種類更是無(wú)從列舉，目前常見(jiàn)的入侵類型有：1．描探測(cè)和嗅探掃描探測(cè)攻擊是指攻擊者通過(guò)在得到目標(biāo)IP地址空間后，利用特定的軟件對(duì)其進(jìn)行掃描或嗅探，根據(jù)掃描技術(shù)偵察得知目標(biāo)主機(jī)的掃描端口是否是處于激活狀態(tài)，主機(jī)提供了哪些服務(wù)，提供的服務(wù)中是否含有某些缺陷，及服務(wù)器的操作系統(tǒng)，從而為以后的入侵攻擊打下基礎(chǔ)。掃描探測(cè)是攻擊的第一步，大多數(shù)入侵者都會(huì)在對(duì)系統(tǒng)發(fā)動(dòng)攻擊之前進(jìn)行掃描。常見(jiàn)的探測(cè)攻擊有NMAP、XSc趾、Nessus等，有的探測(cè)工具甚至還具有自動(dòng)攻擊等功能。端口掃描活動(dòng)是針對(duì)TCP和UDP端口的，NULL端口掃描，F(xiàn)IN端口掃描，XMAS端口掃描，這是幾個(gè)比較類似的掃描方式。入侵者發(fā)送一個(gè)TCP包出去，如果收到帶有RST標(biāo)志的包，表示端口是關(guān)閉的，如果什么包也沒(méi)有收到，就有端口打開(kāi)的可能性。漏洞掃描是針對(duì)軟硬件系統(tǒng)平臺(tái)存在某些形式的脆弱性，掃描方式主要有CGI漏洞掃描，POP3漏洞掃描，HTTP漏洞掃描等，這些漏洞掃描都是建立在漏洞庫(kù)基礎(chǔ)之上的，最后再把掃描結(jié)果與漏洞庫(kù)數(shù)據(jù)進(jìn)行匹配得到漏洞信息。為降低被防火墻或IDS檢測(cè)到的風(fēng)險(xiǎn)，攻擊者則會(huì)采用比較隱蔽得掃描方式，如慢掃描或分布式掃描等。掃描技術(shù)正向著高速，隱蔽，智能化的方向發(fā)展。然而掃描作為一種主動(dòng)攻擊行為很容易被發(fā)現(xiàn)，而嗅探則要隱蔽得多。嗅探是指攻擊者對(duì)網(wǎng)絡(luò)上流通的所有數(shù)據(jù)包進(jìn)，從而獲取并篩選出對(duì)自己入侵有用的信息。常用工具如SnifferPro等。除了掃描和嗅探，入侵者還會(huì)利用一些比較實(shí)用的軟件，諸如ping、nslookup、traceeroute、whois等對(duì)目標(biāo)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)等進(jìn)行探測(cè)。2．拒絕服務(wù)(DoS)攻擊Dos是DenialofSeⅣice的簡(jiǎn)稱，即拒絕服務(wù)攻擊，指利用網(wǎng)絡(luò)協(xié)議的缺陷來(lái)耗盡被入侵目標(biāo)的資源，使得被入侵主機(jī)或網(wǎng)絡(luò)不能提供正常的服務(wù)和資源訪問(wèn)為，最終使得目標(biāo)系統(tǒng)停止響應(yīng)甚至崩潰。是網(wǎng)絡(luò)上攻擊比較頻繁，影響嚴(yán)重的一類攻擊。攻擊示意圖如下：分布式拒絕服務(wù)DDoS攻擊的基礎(chǔ)是傳統(tǒng)的DoS攻擊。分布式拒絕服務(wù)DDoS通過(guò)控制大量的計(jì)算機(jī)，并將它們聯(lián)合起來(lái)形成一個(gè)攻擊平臺(tái)，對(duì)目標(biāo)網(wǎng)絡(luò)發(fā)起發(fā)動(dòng)DoS攻擊，從而大大地提高了拒絕服務(wù)攻擊的破壞力。DDoS攻擊通過(guò)感染了特殊惡意軟件的計(jì)算機(jī)所組成的“僵尸網(wǎng)絡(luò)(Botnet)”來(lái)實(shí)現(xiàn)。大量DDoS攻擊旨在關(guān)閉系統(tǒng)，然后無(wú)聲地進(jìn)入網(wǎng)絡(luò)而不被檢測(cè)到。拒絕服務(wù)攻擊已成為一種嚴(yán)重危害網(wǎng)絡(luò)的惡意攻擊。目前，DoS具有代表性的攻擊手段包括PingofDeath、TearDrop、UDPflood、SYNflood、IPSpoofingDoS等。3．緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊是指利用緩沖區(qū)溢出漏洞所進(jìn)行的攻擊行為，即將一個(gè)超過(guò)緩沖區(qū)規(guī)定長(zhǎng)度的字符串放置到緩沖區(qū)所致。緩沖區(qū)溢出攻擊能干擾并打亂具有某些特權(quán)運(yùn)行的程序的功能，這樣便能使攻擊者取得程序的控制權(quán)，進(jìn)而實(shí)現(xiàn)對(duì)整個(gè)目標(biāo)主機(jī)的控制，進(jìn)行各種各樣的非法操作。通常情況下，攻擊者對(duì)r00t程序進(jìn)行攻擊，然后運(yùn)行像“exec(sh)”的代碼來(lái)獲得最高管理員權(quán)限的shell。例：voidfunction(char*str){Charbuffer[16]；strcpy(buffer,str)：)即只要str的長(zhǎng)度大于16，就會(huì)造成buffer的溢出。緩沖區(qū)溢出攻擊占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù)，而一旦遭受到緩沖區(qū)溢出攻擊，可能導(dǎo)致程序運(yùn)行失敗、死機(jī)、重啟等后果。第一個(gè)緩沖區(qū)溢出攻擊名為Morris蠕蟲(chóng)，發(fā)生于1988年，致使接通Internet的6～8萬(wàn)臺(tái)計(jì)算機(jī)的10％～20％陷于癱瘓。防范緩沖區(qū)溢出攻擊比較有效的方法是：關(guān)閉異常端口或服務(wù)，及時(shí)為軟件打補(bǔ)丁和修復(fù)系統(tǒng)漏洞。4．欺騙類攻擊欺騙類攻擊是攻擊者較常使用的攻擊手段之一，常見(jiàn)的有IP欺騙攻擊、WEB欺騙和ARP欺騙攻擊。IP地址欺騙是突破防火墻常用的方法，它同時(shí)也是其他一系列攻擊方法的基礎(chǔ)。之所以使用這個(gè)方法，是因?yàn)镮P自身的缺點(diǎn)。IP欺騙攻擊指攻擊者通過(guò)篡改其發(fā)送的數(shù)據(jù)包的源IP地址，來(lái)騙取目標(biāo)主機(jī)信任的一種網(wǎng)絡(luò)欺騙攻擊方法。其原理是利用了主機(jī)之間的正常信任關(guān)系，也就是RPC服務(wù)器只依靠數(shù)據(jù)源IP地址來(lái)進(jìn)行安全校驗(yàn)的特性。常用來(lái)于攻擊基于UIlix的操作平臺(tái)，通過(guò)IP地址進(jìn)行安全認(rèn)證的如rlogin、rsh遠(yuǎn)程服務(wù)等。使用加密方法或進(jìn)行包過(guò)濾可以防范IP欺騙。WEB欺騙是一種建立在互聯(lián)網(wǎng)上基礎(chǔ)之上，十分危險(xiǎn)卻又不易察覺(jué)的非法欺詐行為。攻擊者切斷用戶與Web目標(biāo)服務(wù)器之間的正常連接，制造一系列假象如虛假連接，圖表，單表等掩蓋體，欺騙用戶做出錯(cuò)誤的決策，從而建立一條從用戶到攻擊者主機(jī)，再到Web目標(biāo)服務(wù)器的連接，最終控制著從Web目標(biāo)服務(wù)器到用戶的返回?cái)?shù)據(jù)。這種攻擊方式常被稱之為“來(lái)自中間的攻擊”。Web欺騙的發(fā)生可能導(dǎo)致重要的賬號(hào)密碼的泄露，嚴(yán)重者當(dāng)用戶進(jìn)行網(wǎng)購(gòu)或登陸網(wǎng)銀時(shí)被欺騙則會(huì)造成巨大的經(jīng)濟(jì)損失。防御的方法有：查看HTML是否可疑或觀察所點(diǎn)擊的URL鏈接是否正確，禁止瀏覽器中的JaVaScript功能等。ARP欺騙攻擊是一種利用ARP協(xié)議漏洞，通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)舢心欺騙的攻擊技術(shù)。攻擊者常利用它進(jìn)行中間人攻擊和拒絕服務(wù)類攻擊等。由于攻擊者通常都使用比較專業(yè)的欺騙攻擊如arpspoof等，使得這種攻擊具有較高的普及率和成功率。ARP欺騙又可分為兩種：對(duì)路由器ARP表的欺騙和對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。當(dāng)欺騙攻擊發(fā)生時(shí)，可導(dǎo)致所有的路由器數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAc地址，從而使得正常主機(jī)無(wú)法收到信息，大多數(shù)情況下甚至?xí)斐纱竺娣e掉線。認(rèn)證技術(shù)和中間件技術(shù)增加了攻擊者ARP欺騙的難度，使攻擊行為不易達(dá)成。5．SQL注入式攻擊SQL注入式攻擊，簡(jiǎn)稱隱碼攻擊。SQL注入漏洞是盛行已久的攻擊者對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊的常用手段，攻擊者通過(guò)網(wǎng)站程序源碼中的漏洞進(jìn)行SQL注入攻擊，滲透獲得想得知的數(shù)據(jù)，獲得數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限等，其中獲得賬號(hào)及密碼是其中最基礎(chǔ)的目的。甚至數(shù)據(jù)庫(kù)服務(wù)器被攻擊，系統(tǒng)管理員帳戶被竄改等后果。CSDN泄密事件就是由SQL注入漏洞所引發(fā)的。由于SQL注入手法非常靈活，語(yǔ)句構(gòu)造也很巧妙，且是從正常的WWW端口進(jìn)入訪問(wèn)，看起來(lái)和普通的Web頁(yè)面很相似，所以目前的防火墻一般對(duì)SQL的注入都不會(huì)發(fā)出警告，加上用戶平時(shí)如果對(duì)IIS日志不太注意，極有可能被長(zhǎng)時(shí)間的入侵都毫無(wú)知覺(jué)。使用SQL通用防注入系統(tǒng)的程序，或用其他更安全的方式連接SQL數(shù)據(jù)庫(kù)等可以有效防止SQL注入式攻擊。6．利用黑客軟件攻擊利用已有的黑客軟件攻擊，因?yàn)楣粽攉@得攻擊軟件比較方便，操作簡(jiǎn)單，所以也是現(xiàn)在互連網(wǎng)上比較常見(jiàn)的一種攻擊手法。例如BackOrifice2000、SubSeven、冰河等都是比較著名的特洛伊木馬，他們能非法地取得計(jì)算機(jī)的最高級(jí)權(quán)限，達(dá)到對(duì)其完全控制的目的，除了能進(jìn)行文件的讀寫操作之外，也能實(shí)現(xiàn)對(duì)主機(jī)的密碼獲取等操作。這類黑客軟件一般由服務(wù)器端和客戶端組成，當(dāng)攻擊者進(jìn)行攻擊時(shí)，使用客戶端程序連接到已安裝好服務(wù)器端程序的遠(yuǎn)程計(jì)算機(jī)，這些服務(wù)器端程序都很小，通常都會(huì)捆綁于某些應(yīng)用軟件上，因而很難被發(fā)現(xiàn)。例如當(dāng)用戶運(yùn)行一個(gè)下載的實(shí)用軟件并時(shí)，黑客軟件的服務(wù)器端就同時(shí)自動(dòng)安裝完成了，而且大部分黑客軟件的重生能力比較強(qiáng)，用戶不太容易對(duì)其進(jìn)行檢測(cè)和徹底清除。特別是最近出現(xiàn)了一種TXT文件欺騙手法，表面看上去是個(gè)TXT文本文件，但實(shí)際上卻是個(gè)附帶黑客程序的可執(zhí)行程式，另外有些程序也會(huì)偽裝成成見(jiàn)的圖片和其他格式的文件。四、網(wǎng)絡(luò)安全技術(shù)為了保障計(jì)算機(jī)信息和網(wǎng)絡(luò)安全，我們采用了多種網(wǎng)絡(luò)安全技術(shù)手段，常用的主要有：防火墻、身份認(rèn)證、訪問(wèn)控制、加密、安全路由等。常見(jiàn)網(wǎng)絡(luò)安全技術(shù)各有側(cè)重，比如傳統(tǒng)的防火墻方式雖然能夠通過(guò)過(guò)濾和訪問(wèn)控制，制止多數(shù)對(duì)系統(tǒng)的非法訪問(wèn)，但卻不能抵御某些方式的入侵攻擊，例如防火墻對(duì)數(shù)據(jù)驅(qū)動(dòng)式攻擊就沒(méi)有抵抗能力。特別是在防火墻系統(tǒng)存在一些配置上的錯(cuò)誤，未定義或者沒(méi)有對(duì)系統(tǒng)安全進(jìn)行明確定義時(shí)，都可能會(huì)危及到整個(gè)系統(tǒng)的安全。除此之外，由于防火墻大部分都設(shè)置在網(wǎng)絡(luò)數(shù)據(jù)流的關(guān)鍵路徑上，通過(guò)訪問(wèn)控制的方式來(lái)將系統(tǒng)內(nèi)部與外部隔離開(kāi)，但對(duì)于惡意的代碼(如木馬、病毒、緩沖區(qū)溢出)攻擊以及其它來(lái)自內(nèi)部的攻擊等，防火墻將束手無(wú)策。下面對(duì)這幾種安全技術(shù)進(jìn)行詳細(xì)介紹。1．防火墻技術(shù)在各類網(wǎng)絡(luò)安全技術(shù)中，防火墻技術(shù)是一種實(shí)用且成熟的技術(shù)。簡(jiǎn)單的防火墻可以由Router，3LayerSwitch的ACL(accesscontrollist)來(lái)充當(dāng)，也可以用一臺(tái)主機(jī)，甚至是一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)。而廣義的防火墻則是由軟件和硬件共同組合而成，是設(shè)置在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)和公共網(wǎng)之間的界面上的一道重要安全保護(hù)屏障。防火墻技術(shù)實(shí)質(zhì)也是一種隔離控制技術(shù)，具備分離、限制和分析等功能。也可以把防火墻形象地比喻為一堵帶小孔的墻，這些小孔就是用來(lái)進(jìn)行的過(guò)濾控制的通道。最簡(jiǎn)單的一類防火墻稱為包過(guò)濾防火墻。入侵者在攻擊目標(biāo)主機(jī)之前，必須首先經(jīng)過(guò)防火墻的安全防線，接受防火墻對(duì)流經(jīng)的數(shù)據(jù)進(jìn)行掃描，判斷是否符合安全規(guī)則，防護(hù)墻將非法的訪問(wèn)拒之墻外，對(duì)合法的行為和數(shù)據(jù)放行，這樣能夠過(guò)濾掉一些攻擊，從而阻止攻擊者對(duì)被保護(hù)系統(tǒng)的非法入侵。防火墻對(duì)數(shù)據(jù)包檢查控制示意圖如下：防火墻系統(tǒng)應(yīng)該具備的幾點(diǎn)特性：·內(nèi)外網(wǎng)之間的數(shù)據(jù)傳輸都必須經(jīng)過(guò)防火墻；·只有被授權(quán)的合法數(shù)據(jù)，才能通過(guò)防火墻，未被授權(quán)的將被防火墻阻攔；·防火墻本身具有對(duì)攻擊良好的免疫性；·采用最新的信息安全技術(shù)；防火墻歷經(jīng)多年的發(fā)展升級(jí)，已經(jīng)到了現(xiàn)在的第五代防火墻。目前最為先進(jìn)和廣泛使用的是SPI防火墻，SPI(全狀態(tài)數(shù)據(jù)包檢查)防火墻提供了最高級(jí)別的安全性。它是通過(guò)對(duì)每個(gè)連接信息(如協(xié)議類型、TCP協(xié)議連接狀態(tài)和超時(shí)時(shí)間等)進(jìn)行檢測(cè)，從而判斷是否過(guò)濾數(shù)據(jù)包的防火墻。其安全性還體現(xiàn)在：除了能夠完成簡(jiǎn)單防火墻的包過(guò)濾工作外，還在自己的內(nèi)存中建立并維護(hù)一個(gè)連接表，這個(gè)連接表中通常保存了比較詳細(xì)的源和目的地址、源和目的端口號(hào)以及TCP序列號(hào)等一系列跟蹤狀態(tài)的連接信息，因此具有比包過(guò)濾防火墻更大的安全性。防火墻不但可以反欺騙，而且當(dāng)關(guān)閉不使用的端口時(shí)，還能禁止特定端口的通信，從而防止特洛伊木馬。2．身份認(rèn)證和訪問(wèn)控制技術(shù)身份認(rèn)證是網(wǎng)絡(luò)中用于確認(rèn)操作者身份的一項(xiàng)技術(shù)，認(rèn)證可以基于如下一個(gè)或幾個(gè)因因素：信息因素的如口令，密碼；身份因素的如智能卡；生物因素如指紋虹膜等。信息因素和身份因素認(rèn)證雖然簡(jiǎn)單易用，但都屬于不安全的身份認(rèn)證方式，因?yàn)槠浯嬖跐撛诘男孤┖蛠G失風(fēng)險(xiǎn)。目前最為安全地身份認(rèn)證方式是動(dòng)態(tài)密碼。用戶使用唯一的終端獲取動(dòng)態(tài)口令，且動(dòng)態(tài)密碼每60秒變換一次，密碼一次有效，它產(chǎn)生6位或8位動(dòng)態(tài)數(shù)字進(jìn)行一次一密的方式認(rèn)證。這種技術(shù)目前被廣泛運(yùn)用于網(wǎng)上銀行，VPN和電子商務(wù)領(lǐng)域。為了增強(qiáng)安全性通常使用不同認(rèn)證方法相結(jié)合的方式進(jìn)行身份認(rèn)證。訪問(wèn)控制技術(shù)是一種用于控制用戶能否進(jìn)入系統(tǒng)，以及進(jìn)入系統(tǒng)的用戶能夠讀寫的數(shù)據(jù)集的網(wǎng)絡(luò)安全技術(shù)，其目標(biāo)是防止對(duì)任保護(hù)資源進(jìn)行非授權(quán)的訪問(wèn)，其核心思想是：將訪問(wèn)權(quán)限與對(duì)應(yīng)的角色相聯(lián)系，通過(guò)給用戶分配合適的角色，讓用戶與訪問(wèn)權(quán)限相關(guān)聯(lián)，從而達(dá)到規(guī)避入侵風(fēng)險(xiǎn)的作用。訪問(wèn)控制技術(shù)可分為自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制兩種。目前的主流操作系統(tǒng)，如Linux和Windows等操作系統(tǒng)都提供自主訪問(wèn)控制功能。但自主訪問(wèn)控制的權(quán)限很大，極易造成信息泄露，而且不能防范特洛伊木馬的攻擊。強(qiáng)制訪問(wèn)控制雖然能夠防范特洛伊木馬和限制用戶濫用權(quán)限，且具有更高的安全性，但其實(shí)現(xiàn)的代價(jià)也更大，一般只用在對(duì)安全級(jí)別要求比較高的軍事上。3．密碼技術(shù)密碼是一項(xiàng)很早就已經(jīng)使用的防止信息泄漏或篡改的重要技術(shù)。起初主要用于軍事和外交，現(xiàn)在已經(jīng)被廣泛運(yùn)用于金融，通信和信息安全等領(lǐng)域。密碼技術(shù)的基本思想就是把信息偽裝以隱藏其真實(shí)內(nèi)容，即對(duì)信息做一定的數(shù)學(xué)變化，防止未授權(quán)者對(duì)信息的攻擊。密碼技術(shù)包括加密和解密兩方面。原有信息稱為明文(P)，變換后的信息形式稱為密文(C)，明文變成密文的過(guò)程叫做加密(E)，密文還原成明文的過(guò)程叫做解密(D)。其中加密技術(shù)包括兩個(gè)元素：即算法和密鑰。根據(jù)密鑰類型的不同可以把密碼技術(shù)分為兩類：一類是對(duì)稱加密(即秘密鑰匙加密)，即加密密鑰和解密密鑰相同，或一個(gè)可由另一個(gè)導(dǎo)出。另一類是非對(duì)稱加密(即公開(kāi)密鑰加密)，即加密密鑰公開(kāi)，解密密鑰不公開(kāi)，從一個(gè)不能推導(dǎo)出另一個(gè)。常用的加密算法有：DES算法：DES的算法是對(duì)稱的，既能用做加密又可用做解密。DES算法具有安全性極高，至今，除了用窮舉法對(duì)DES算法進(jìn)行攻擊外，還沒(méi)有發(fā)現(xiàn)其它更為有效的攻擊方法。但隨著計(jì)算機(jī)運(yùn)算速度越來(lái)越快，對(duì)密碼的強(qiáng)度的需求也越來(lái)越高，可以通過(guò)增加DES的密鑰長(zhǎng)度來(lái)達(dá)到更高的抗攻擊性，如3DES。RSA算法：RSA是Rivest、Shamir和Adleman提出來(lái)的基于數(shù)論的公鑰加密算法，它能夠抵抗到目前為止已知的所有密碼攻擊，已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)，其加密基礎(chǔ)是大數(shù)分解和素?cái)?shù)檢測(cè)。AES算法：高級(jí)加密標(biāo)準(zhǔn)，即下一代的加密算法標(biāo)準(zhǔn)，特點(diǎn)是結(jié)構(gòu)簡(jiǎn)單速度快，安全性高，目前AES標(biāo)準(zhǔn)的一個(gè)實(shí)現(xiàn)是Rijndael算法；MD5算法：MD5是計(jì)算機(jī)安全領(lǐng)域廣泛使用的一種散列函數(shù)，用來(lái)為消息的完整性提供保護(hù)，還廣泛運(yùn)用于操作系統(tǒng)的登陸認(rèn)證上，如Unix登錄密碼、數(shù)字簽名等方面。加密技術(shù)被信息安全領(lǐng)域應(yīng)用在很多方面，但最廣泛的運(yùn)用是電子商務(wù)和VPN上。4．IPS技術(shù)IPS(IntrusionPreventionSystem)即入侵防御系統(tǒng)，它可以深度檢測(cè)流經(jīng)的數(shù)據(jù)流量，第一時(shí)間對(duì)惡意數(shù)據(jù)進(jìn)行攔截以阻斷攻擊，對(duì)濫用數(shù)據(jù)進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源，是一種積極主動(dòng)的、積極的入侵檢測(cè)和防御系統(tǒng)，簡(jiǎn)單地說(shuō)，可認(rèn)為IPS就是防火墻技術(shù)加上入侵檢測(cè)系統(tǒng)，在IDS監(jiān)測(cè)的功能上又增加了主動(dòng)響應(yīng)的功能。IPS的產(chǎn)生就是因?yàn)镮DS只能發(fā)現(xiàn)入侵，但不能主動(dòng)抵御入侵。IPS既可以做到及時(shí)發(fā)現(xiàn)入侵，又能主動(dòng)抵御入侵。IPS的部署位置介于防