防火墻等設(shè)備的安全漏洞

網(wǎng)絡(luò)安全第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)網(wǎng)絡(luò)安全的特征（1）保密性：信息不泄露給非授權(quán)的用戶、實(shí)體或過(guò)程，或供其利用的特性。（2）完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性。（3）可用性：可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性，即當(dāng)需要時(shí)應(yīng)能存取所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊。（4）可控性：對(duì)信息的傳播及內(nèi)容具有控制能力。網(wǎng)絡(luò)安全第一節(jié)網(wǎng)絡(luò)安全的特殊性一、網(wǎng)絡(luò)計(jì)算引起的革命和問(wèn)題“網(wǎng)絡(luò)就是計(jì)算機(jī)”，“數(shù)字化地球”，“系統(tǒng)就是網(wǎng)絡(luò)、網(wǎng)絡(luò)就是系統(tǒng)”1.世界網(wǎng)絡(luò)化世界縮小，時(shí)空縮小，高科技社會(huì)中，高科技技術(shù)的應(yīng)用與高技術(shù)犯罪并存.網(wǎng)絡(luò)安全

第一節(jié)網(wǎng)絡(luò)安全的特殊性2.系統(tǒng)開(kāi)放性分散和分布式計(jì)算環(huán)境基于開(kāi)放性技術(shù)，開(kāi)放性與安全性是一對(duì)基本矛盾，系統(tǒng)開(kāi)放與系統(tǒng)保密成為矛盾中的統(tǒng)一。3.信息共享、資源共享共享的概念，不是所有信息都共享信息是有價(jià)值的，有價(jià)信息的擁有權(quán)敏感信息、私有信息與垃圾信息◆開(kāi)放的、分布式協(xié)同計(jì)算環(huán)境中，原有的安全措施很難奏效●結(jié)構(gòu)松散，異地分散，無(wú)法有效管理●用戶透明，資源共享，面臨多種攻擊◆網(wǎng)絡(luò)系統(tǒng)規(guī)模日益龐大，必然導(dǎo)致系統(tǒng)安全性、可靠性降低●設(shè)計(jì)缺陷，給安全帶來(lái)影響無(wú)法消除，如操作系統(tǒng)的管理員權(quán)限，TCP/IP協(xié)議等●軟件的可靠性有限，存在缺陷和后門(mén)，給攻擊者機(jī)會(huì)網(wǎng)絡(luò)安全的面臨挑戰(zhàn)網(wǎng)絡(luò)安全二、網(wǎng)絡(luò)的入侵者*黑客(Hacker)：網(wǎng)絡(luò)入侵者通稱“黑客”。黑客的原意是泛指對(duì)任何計(jì)算機(jī)系統(tǒng)、操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的奧秘都具有強(qiáng)烈興趣的人。第一節(jié)網(wǎng)絡(luò)安全的特殊性惡意黑客（駭客）滲入計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)并獲取其內(nèi)部工作的情況和知識(shí)，非法訪問(wèn)、尋找、竊取資源和信息。惡意黑客會(huì)有目的的篡改系統(tǒng)數(shù)據(jù)和資源，修改系統(tǒng)配置，甚至遠(yuǎn)程控制目標(biāo)系統(tǒng)。網(wǎng)絡(luò)安全*竊客(Phreaker)：即“電信黑客”或“電信竊客”。他們與網(wǎng)絡(luò)黑客不同，主要與電話公司打交道。采用不同的種種“手段”和“詭計(jì)”，如攔截傳輸信號(hào)，從而操縱電話公司，并機(jī)盜打用戶移動(dòng)電話，免費(fèi)撥打區(qū)域和長(zhǎng)途電話等。并從電信網(wǎng)站、電信傳輸和用戶通信中某利，獲取所需敏感信息。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全*怪客(Cracker)：網(wǎng)絡(luò)上的匿名攻擊者，專門(mén)進(jìn)行網(wǎng)絡(luò)入侵攻擊，發(fā)布干擾信息，傳輸網(wǎng)絡(luò)垃圾等,并以此為樂(lè)。第一節(jié)網(wǎng)絡(luò)安全的特殊性黑客概述網(wǎng)絡(luò)安全三、網(wǎng)絡(luò)犯罪特點(diǎn)網(wǎng)絡(luò)犯罪與傳統(tǒng)犯罪有很多不同，網(wǎng)絡(luò)犯罪有如下一些特點(diǎn)：①網(wǎng)絡(luò)犯罪高技術(shù)化、專業(yè)化。犯罪者具有高智商，熟悉并掌握電腦技術(shù)、電信技術(shù)或者網(wǎng)絡(luò)技術(shù)，了解電子數(shù)據(jù)資料結(jié)構(gòu)和數(shù)據(jù)庫(kù)，作案手段復(fù)雜隱蔽，有的情況下使正常操作與犯罪活動(dòng)很難區(qū)分。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全②網(wǎng)絡(luò)犯罪動(dòng)機(jī)復(fù)雜化。它既包含了傳統(tǒng)犯罪中的謀財(cái)害命、發(fā)泄報(bào)復(fù)、恐怖暴力、欺詐拐騙等，還滲入了更深厚的政治、軍事、經(jīng)濟(jì)、宗教色彩。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全③網(wǎng)絡(luò)犯罪的覆蓋面更廣，日趨國(guó)際化。利用網(wǎng)絡(luò)的互聯(lián)，縮短了時(shí)間和空間，犯罪分子在作案、通信、交易、逃匿等方面可以易地進(jìn)行異地作案的可能性極大，使得作案隱蔽性更強(qiáng)，危害更大。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全④網(wǎng)絡(luò)犯罪人員趨于年青化。調(diào)查統(tǒng)計(jì)，電腦犯罪者的平均年齡約在25歲左右。青年人聰明好動(dòng)、虛榮心大、探索意識(shí)強(qiáng)，但也最容易在網(wǎng)絡(luò)上掉入網(wǎng)絡(luò)陷阱，受到邪惡引誘而誤入歧途。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全⑤網(wǎng)絡(luò)犯罪的形式多樣化。它既具有傳統(tǒng)犯罪中的各種形式，還包含了更嚴(yán)重的犯罪教唆、展示、指導(dǎo)、引誘、服務(wù)等等。網(wǎng)絡(luò)色情的泛濫、網(wǎng)絡(luò)邪教的誘惑、沒(méi)落文化和反動(dòng)文化的泛起都威脅到整個(gè)網(wǎng)絡(luò)世界。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全四、網(wǎng)絡(luò)安全的技術(shù)特點(diǎn)1.資源共享與分布這是網(wǎng)絡(luò)的主要目的，也是網(wǎng)絡(luò)的脆弱性，分布的廣域性增大了受攻擊的可能性，單機(jī)系統(tǒng)的安全控制已不足以保證網(wǎng)絡(luò)全局的安全。2.網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性系統(tǒng)互連、控制分散、異構(gòu)結(jié)點(diǎn)。任何一個(gè)結(jié)點(diǎn)的安全漏洞都可能導(dǎo)致整個(gè)系統(tǒng)的不安全，信息爆炸使存儲(chǔ)和傳輸不堪重負(fù)；攻擊的入口增多、破壞面增大、檢測(cè)困難且開(kāi)銷很大。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全3.安全的可信性網(wǎng)絡(luò)的可擴(kuò)展性使網(wǎng)絡(luò)邊界具有不確定性；網(wǎng)絡(luò)安全的可信性隨網(wǎng)絡(luò)擴(kuò)展而下降；不可信結(jié)點(diǎn)、惡意結(jié)點(diǎn)的嚴(yán)重威脅4.安全不確定性網(wǎng)絡(luò)分支廣，存在多條可能的安全漏洞；不安全的路徑存在不確定性；故障定位的不確定性。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全5.信息安全的特殊性信息的真實(shí)性，網(wǎng)絡(luò)通信只保證了無(wú)差錯(cuò)傳輸，無(wú)法保證信息的真實(shí)性、完整性，收發(fā)雙方無(wú)法對(duì)傳輸信息加以控制和監(jiān)視。6.網(wǎng)絡(luò)安全的長(zhǎng)期性矛盾貫穿始終，長(zhǎng)期對(duì)抗。不可能存在一勞永逸、絕對(duì)安全的系統(tǒng)安全策略和安全機(jī)制，安全的目標(biāo)和安全策略，是在一定條件（環(huán)境與技術(shù)）下的合理性。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全五、網(wǎng)絡(luò)安全性范圍1.網(wǎng)絡(luò)類型電信網(wǎng)絡(luò)、電視網(wǎng)絡(luò)、計(jì)算機(jī)網(wǎng)絡(luò)，重點(diǎn)在計(jì)算機(jī)網(wǎng)絡(luò)2.計(jì)算機(jī)網(wǎng)絡(luò)的組成＊計(jì)算機(jī)系統(tǒng)、通信系統(tǒng)、網(wǎng)絡(luò)互連設(shè)備＊系統(tǒng)運(yùn)行平臺(tái)、網(wǎng)絡(luò)管理軟件系統(tǒng)

第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全3.網(wǎng)絡(luò)安全領(lǐng)域⑴計(jì)算機(jī)系統(tǒng)安全系統(tǒng)硬件安全、存儲(chǔ)系統(tǒng)安全、操作系統(tǒng)安全、軟件安全⑵通信系統(tǒng)安全通信系統(tǒng)與部件可靠性、無(wú)線與有線安全、網(wǎng)絡(luò)互連設(shè)備安全。⑶網(wǎng)絡(luò)系統(tǒng)安全網(wǎng)管軟件安全、網(wǎng)絡(luò)協(xié)議安全性網(wǎng)絡(luò)運(yùn)行環(huán)境安全、網(wǎng)絡(luò)開(kāi)發(fā)與應(yīng)用安全第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全⑷計(jì)算機(jī)病毒與惡意程序計(jì)算機(jī)病毒對(duì)抗、攻擊與反攻擊⑸網(wǎng)絡(luò)安全的社會(huì)性網(wǎng)絡(luò)垃圾與信息垃圾、反動(dòng)、色情、頹廢文化。

第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全六、網(wǎng)絡(luò)安全的類別“網(wǎng)絡(luò)就是計(jì)算機(jī)”，因此，計(jì)算機(jī)系統(tǒng)安全的幾乎所有領(lǐng)域都在網(wǎng)絡(luò)安全中得以體現(xiàn)。網(wǎng)絡(luò)系統(tǒng)安全的主要威脅也來(lái)源于各個(gè)方面，有自然的、硬件的、軟件的、也有人為的疏忽、失誤等。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全㈠網(wǎng)絡(luò)可信：保證網(wǎng)絡(luò)可靠運(yùn)行，防止系統(tǒng)崩潰，主要解決硬件故障和軟件故障。㈡網(wǎng)絡(luò)阻塞：主要解決網(wǎng)絡(luò)配置、網(wǎng)絡(luò)調(diào)度不合理，防止網(wǎng)絡(luò)廣播風(fēng)暴和噪聲。㈢網(wǎng)絡(luò)濫用：合法用戶超越權(quán)限使用計(jì)算機(jī)，獲取網(wǎng)絡(luò)資源。㈣網(wǎng)絡(luò)入侵：非法用戶非法進(jìn)入系統(tǒng)和網(wǎng)絡(luò)，獲取控制權(quán)和網(wǎng)絡(luò)資源。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全㈤網(wǎng)絡(luò)干擾：出于某種目的對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)運(yùn)行進(jìn)行干擾，干擾方式多種，使系統(tǒng)不可信、操作員和系統(tǒng)管理員心理壓力增加、心理戰(zhàn)。施放各種假的和期騙信息，擾亂社會(huì)、經(jīng)濟(jì)、金融等。㈥網(wǎng)絡(luò)破壞:系統(tǒng)攻擊、刪除數(shù)據(jù)、毀壞系統(tǒng)。非法竊取、盜用、復(fù)制系統(tǒng)文件、數(shù)據(jù)、資料、信息，造成泄密。第一節(jié)網(wǎng)絡(luò)安全的特殊性威脅網(wǎng)絡(luò)安全的因素物理威脅偷竊：包括設(shè)備偷竊、信息偷竊和服務(wù)偷竊。廢物搜尋：指在被扔掉的打印材料、廢棄軟盤(pán)等廢物中搜尋所需要的信息。身份識(shí)別錯(cuò)誤：非法建立文件或記錄，企圖把它們作為正式生產(chǎn)的文件和記錄。間諜行為：為了獲取有價(jià)值的機(jī)密，采用不道德的手段來(lái)獲取信息的一種行為。威脅網(wǎng)絡(luò)安全的因素漏洞威脅不安全服務(wù)：由于缺陷或錯(cuò)誤使系統(tǒng)本身存在漏洞，這些問(wèn)題可能導(dǎo)致一些服務(wù)程序繞過(guò)安全系統(tǒng)，從而對(duì)信息系統(tǒng)造成不可預(yù)料的損失。配置和初始化錯(cuò)誤：服務(wù)器啟動(dòng)時(shí)系統(tǒng)要初始化，如果安全系統(tǒng)沒(méi)有隨之正確的初始化，就會(huì)留下安全漏洞而被人利用。乘虛而入：例如在FTP服務(wù)中，用戶暫時(shí)停止了與某系統(tǒng)的通信，但由于端口仍處于激活狀態(tài)，那么其他用戶就可乘虛而入，利用這個(gè)端口與這個(gè)系統(tǒng)通信。威脅網(wǎng)絡(luò)安全的因素身份識(shí)別威脅口令圈套：口令圈套是網(wǎng)絡(luò)安全的一種詭計(jì)，與冒名頂替有關(guān)?？诹钇平猓和ㄟ^(guò)某種策略對(duì)口令進(jìn)行分析和猜測(cè)。編輯口令：這需要依靠操作系統(tǒng)漏洞。算法考慮不周：口令驗(yàn)證系統(tǒng)必須在滿足一定條件下才能正常工作，這個(gè)驗(yàn)證過(guò)程需要通過(guò)某種算法來(lái)實(shí)現(xiàn)。若算法考慮不周全，驗(yàn)證過(guò)程和結(jié)果就不可靠。威脅網(wǎng)絡(luò)安全的因素惡意程序威脅病毒：病毒是一種把自己的拷貝附著于其他正常程序上的一段代碼。特洛伊木馬：這是一種遠(yuǎn)程控制工具，一旦被安裝到某臺(tái)主機(jī)上，該主機(jī)便可以被監(jiān)視和控制。代碼炸彈：代碼炸彈是一種具有殺傷力的代碼，當(dāng)預(yù)設(shè)條件滿足時(shí)，代碼炸彈就被猝發(fā)并產(chǎn)生破壞性結(jié)果。威脅網(wǎng)絡(luò)安全的因素網(wǎng)絡(luò)連接威脅竊聽(tīng)：對(duì)通信過(guò)程進(jìn)行竊聽(tīng)可達(dá)到收集信息的目的，通過(guò)檢測(cè)從連線上發(fā)射出來(lái)的電磁輻射就能得到所要的信號(hào)。冒充：通過(guò)使用別人的密碼和帳號(hào)，獲得對(duì)網(wǎng)絡(luò)及其數(shù)據(jù)、程序的使用能力。撥號(hào)進(jìn)入：擁有一個(gè)調(diào)制解調(diào)器和一個(gè)電話號(hào)碼，每個(gè)人都可以試圖通過(guò)遠(yuǎn)程撥號(hào)訪問(wèn)網(wǎng)絡(luò)，這種方法可以使防火墻失去作用。網(wǎng)絡(luò)信息安全技術(shù)主動(dòng)防御技術(shù)數(shù)據(jù)加密CA認(rèn)證訪問(wèn)控制虛擬網(wǎng)絡(luò)技術(shù)入侵檢測(cè)技術(shù)網(wǎng)絡(luò)信息安全技術(shù)被動(dòng)防御技術(shù)防火墻技術(shù)安全掃描密碼檢查器安全審計(jì)路由器過(guò)濾安全管理技術(shù)第二節(jié)網(wǎng)絡(luò)攻擊與入侵1、攻擊的位置一、攻擊的一些基本概念（1）遠(yuǎn)程攻擊：從該子網(wǎng)以外的地方向該子網(wǎng)或者該子網(wǎng)內(nèi)的系統(tǒng)發(fā)動(dòng)攻擊。（2）本地攻擊：通過(guò)所在的局域網(wǎng)，向本單位的其他系統(tǒng)發(fā)動(dòng)攻擊，在本機(jī)上進(jìn)行非法越權(quán)訪問(wèn)也是本地攻擊。（3）偽遠(yuǎn)程攻擊：指內(nèi)部人員為了掩蓋攻擊者的身份，從本地獲取目標(biāo)的一些必要信息后，攻擊過(guò)程從外部遠(yuǎn)程發(fā)起，造成外部入侵的現(xiàn)象。2、攻擊的層次一、攻擊的一些基本概念1）簡(jiǎn)單拒絕服務(wù)（如郵件炸彈攻擊）.2）本地用戶獲得非授權(quán)讀或者寫(xiě)權(quán)限3）遠(yuǎn)程用戶獲得了非授權(quán)的帳號(hào)4）遠(yuǎn)程用戶獲得了特權(quán)文件的讀寫(xiě)權(quán)限5）遠(yuǎn)程用戶擁有了根（root）權(quán)限）3、攻擊的目的一、攻擊的一些基本概念1）進(jìn)程的執(zhí)行2）獲取文件和傳輸中的數(shù)據(jù)3）獲得超級(jí)用戶權(quán)限4）對(duì)系統(tǒng)的非法訪問(wèn)5）進(jìn)行不許可的操作6）拒絕服務(wù)7）涂改信息8）暴露信息9）挑戰(zhàn)10）政治意圖11）經(jīng)濟(jì)利益12）破壞4、攻擊的人員一、攻擊的一些基本概念1）黑客：為了挑戰(zhàn)和獲取訪問(wèn)權(quán)限2）間諜：為了政治情報(bào)信息3）恐怖主義者：為了政治目的而制造恐怖4）公司雇傭者：為了競(jìng)爭(zhēng)經(jīng)濟(jì)利益5）職業(yè)犯罪：為了個(gè)人的經(jīng)濟(jì)利益6）破壞者：為了實(shí)現(xiàn)破壞1、掃描技術(shù)二、掃描器掃描技術(shù)是主要的一種信息收集型攻擊。地址掃描：運(yùn)用ping這樣的程序探測(cè)目標(biāo)地址端口掃描：向大范圍的主機(jī)連接一系列的TCP端口，掃描軟件報(bào)告它成功的建立了連接的主機(jī)所開(kāi)的端口。反響映射：黑客向主機(jī)發(fā)送虛假消息，然后根據(jù)返回"hostunreachable"這一消息特征判斷出哪些主機(jī)是存在的。慢速掃描：由于一般掃描偵測(cè)器的實(shí)現(xiàn)是通過(guò)監(jiān)視某個(gè)時(shí)間里一臺(tái)特定主機(jī)發(fā)起的連接的數(shù)目（例如每秒10次）來(lái)決定是否在被掃描，這樣黑客可以通過(guò)使用掃描速度慢一些的掃描軟件進(jìn)行掃描。2、什么是掃描器二、掃描器掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。通過(guò)使用掃描器可不留痕跡的發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的分配、提供的服務(wù)、使用的軟件版本！這就能間接的或直觀的了解到遠(yuǎn)程主機(jī)所存在的安全問(wèn)題。網(wǎng)絡(luò)安全掃描技術(shù)在網(wǎng)絡(luò)安全行業(yè)中扮演的角色（1）掃描軟件是入侵者分析將被入侵系統(tǒng)的必備工具（2）掃描軟件是系統(tǒng)管理員掌握系統(tǒng)安全狀況的必備工具（3）掃描軟件是網(wǎng)絡(luò)安全工程師修復(fù)系統(tǒng)漏洞的主要工具（4）掃描軟件在網(wǎng)絡(luò)安全的家族中可以說(shuō)是扮演著醫(yī)生的角色1.合法使用：檢測(cè)自己服務(wù)器端口，以便給自己提供更好的服務(wù)；2.非法使用：查找服務(wù)器的端口，選取最快的攻擊端口安全掃描系統(tǒng)要素（1）速度（2）對(duì)系統(tǒng)的負(fù)面影響（3）能夠發(fā)現(xiàn)的漏洞數(shù)量（4）清晰性和解決方案的可行性（5）更新周期（6）所需軟硬件環(huán)境要求（7）界面的直觀性和易用性（8）覆蓋范圍二、掃描器安全掃描工具分類基于服務(wù)器和基于網(wǎng)絡(luò)的掃描器。基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)?；诰W(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、交換機(jī)、訪問(wèn)服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測(cè)試系統(tǒng)的防御能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數(shù))。掃描器分類端口掃描器(如：NMAP，PORTSCAN)掃描目標(biāo)機(jī)開(kāi)放的服務(wù)端口及其有關(guān)信息漏洞掃描器(如：ISS、NESSUS、SATAN等)對(duì)于重視安全的網(wǎng)站進(jìn)行漏洞掃描，可能一無(wú)所獲，因?yàn)榱餍械穆┒丛缫汛蜓a(bǔ)丁了。因此端口掃描器對(duì)黑客或許更有用。3、掃描器的工作原理二、掃描器掃描器通過(guò)選用遠(yuǎn)程TCP/IP不同的端口的服務(wù)，并記錄目標(biāo)給予的回答，通過(guò)這種方法，可以搜集到很多關(guān)于目標(biāo)主機(jī)的各種有用的信息掃描器能夠發(fā)現(xiàn)目標(biāo)主機(jī)某些內(nèi)在的弱點(diǎn)，這些弱點(diǎn)可能是破壞目標(biāo)主機(jī)安全性的關(guān)鍵性因素。但是，要做到這一點(diǎn)，必須了解如何識(shí)別漏洞。掃描器對(duì)于Internet安全性之所以重要，是因?yàn)樗鼈兡馨l(fā)現(xiàn)網(wǎng)絡(luò)的弱點(diǎn)。4、掃描器的功能二、掃描器掃描器并不是一個(gè)直接的攻擊網(wǎng)絡(luò)漏洞的程序，它僅僅能幫助我們發(fā)現(xiàn)目標(biāo)機(jī)的某些內(nèi)在的弱點(diǎn)。一個(gè)好的掃描器能對(duì)它得到的數(shù)據(jù)進(jìn)行分析，幫助我們查找目標(biāo)主機(jī)的漏洞。但它不會(huì)提供進(jìn)入一個(gè)系統(tǒng)的詳細(xì)步驟。掃描器應(yīng)該有三項(xiàng)功能：1）發(fā)現(xiàn)一個(gè)主機(jī)或網(wǎng)絡(luò)的能力；2）一旦發(fā)現(xiàn)一臺(tái)主機(jī)，有發(fā)現(xiàn)什么服務(wù)正運(yùn)行在這臺(tái)主機(jī)上的能力；3）通過(guò)測(cè)試這些服務(wù)，發(fā)現(xiàn)漏洞的能力。5、常用的端口掃描技術(shù)二、掃描器TCPconnect()掃描這是最基本的TCP掃描。操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用，用來(lái)與目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接。如果端口處于偵聽(tīng)狀態(tài)，那么connect()就能成功。否則，這個(gè)端口是不能用的，即沒(méi)有提供服務(wù)。不需要任何權(quán)限。系統(tǒng)中的任何用戶都有權(quán)利使用這個(gè)調(diào)用。另一個(gè)好處就是速度。如果對(duì)每個(gè)目標(biāo)端口以線性的方式，使用單獨(dú)的connect()調(diào)用，那么將會(huì)花費(fèi)相當(dāng)長(zhǎng)的時(shí)間，你可以通過(guò)同時(shí)打開(kāi)多個(gè)套接字，從而加速掃描。這種方法的缺點(diǎn)是容易被發(fā)覺(jué)，并且被過(guò)濾掉。目標(biāo)計(jì)算機(jī)的logs文件會(huì)顯示一連串的連接和連接是出錯(cuò)的服務(wù)消息，并且能很快的使它關(guān)閉。5、常用的端口掃描技術(shù)二、掃描器TCPSYN掃描“半開(kāi)放”掃描，這是因?yàn)閽呙璩绦虿槐匾蜷_(kāi)一個(gè)完全的TCP連接。掃描程序發(fā)送的是一個(gè)SYN數(shù)據(jù)包，好象準(zhǔn)備打開(kāi)一個(gè)實(shí)際的連接并等待反應(yīng)一樣（參考TCP的三次握手建立一個(gè)TCP連接的過(guò)程）。一個(gè)SYN|ACK的返回信息表示端口處于偵聽(tīng)狀態(tài)。一個(gè)RST返回，表示端口沒(méi)有處于偵聽(tīng)?wèi)B(tài)。如果收到一個(gè)SYN|ACK，則掃描程序必須再發(fā)送一個(gè)RST信號(hào)，來(lái)關(guān)閉這個(gè)連接過(guò)程。這種掃描技術(shù)的優(yōu)點(diǎn)在于一般不會(huì)在目標(biāo)計(jì)算機(jī)上留下記錄。5、常用的端口掃描技術(shù)一、掃描器TCPFIN掃描按照RFC793標(biāo)準(zhǔn)，關(guān)閉的端口應(yīng)返回RST來(lái)回復(fù)FIN數(shù)據(jù)包。另一方面，打開(kāi)的端口會(huì)忽略對(duì)FIN數(shù)據(jù)包的回復(fù)。這種方法和系統(tǒng)的實(shí)現(xiàn)有一定的關(guān)系。有的系統(tǒng)不管端口是否打開(kāi)，都回復(fù)RST，如NT.這樣，這種掃描方法就不適用了。用這種方法區(qū)分Unix和NT，是十分有用的。5、常用的端口掃描技術(shù)一、掃描器UDPICMP掃描使用UDP協(xié)議。由于這個(gè)協(xié)議很簡(jiǎn)單，所以掃描變得相對(duì)比較困難。這是由于打開(kāi)的端口對(duì)掃描探測(cè)并不發(fā)送一個(gè)確認(rèn)，關(guān)閉的端口也并不需要發(fā)送一個(gè)錯(cuò)誤數(shù)據(jù)包。如端口關(guān)閉，應(yīng)返回一個(gè)ICMP_PORT_UNREACH錯(cuò)誤。UDP和ICMP錯(cuò)誤都不保證能到達(dá)。這種掃描方法是很慢的，因?yàn)镽FC對(duì)ICMP錯(cuò)誤消息的產(chǎn)生速率做了規(guī)定。6、網(wǎng)絡(luò)掃描的防范關(guān)閉所有限制的和有潛在威脅的端口。通過(guò)防火墻或其他安全系統(tǒng)檢查各端口，如果有端口掃描癥狀時(shí)就立即屏蔽該端口。利用特殊軟件在一些端口上欺騙黑客，讓其掃描和攻擊“陷阱”端口。網(wǎng)絡(luò)監(jiān)聽(tīng)網(wǎng)絡(luò)監(jiān)聽(tīng)也稱為網(wǎng)絡(luò)嗅探（Sniffer）。它工作在網(wǎng)絡(luò)的底層，能夠把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來(lái)，黑客一般都是利用這種技術(shù)來(lái)截取用戶口令。特點(diǎn)：隱蔽性強(qiáng)手段靈活三、網(wǎng)絡(luò)監(jiān)聽(tīng)Sniffer原理Sniffer，中文可以翻譯為嗅探器,也就是我們所說(shuō)的數(shù)據(jù)包捕獲器。采用這種技術(shù)，我們可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌鹊取Ｈ?、網(wǎng)絡(luò)監(jiān)聽(tīng)網(wǎng)卡的工作模式普通方式：只有本地地址的數(shù)據(jù)包火廣播才會(huì)被網(wǎng)卡提交給系統(tǒng)中心，否則這些數(shù)據(jù)包就直接被網(wǎng)卡拋棄。混雜模式（promiscuous）：夠接收到一切通過(guò)它的數(shù)據(jù)。三、網(wǎng)絡(luò)監(jiān)聽(tīng)Username:herma009<cr>Password:hiHKK234<cr>以太網(wǎng)（HUB）FTPLoginMail普通用戶A服務(wù)器C嗅探者B網(wǎng)絡(luò)監(jiān)聽(tīng)原理Username:herma009<cr>Password:hiHKK234<cr>三、網(wǎng)絡(luò)監(jiān)聽(tīng)網(wǎng)絡(luò)監(jiān)聽(tīng)原理一個(gè)sniffer需要作的：把網(wǎng)卡置于混雜模式。捕獲數(shù)據(jù)包。分析數(shù)據(jù)包三、網(wǎng)絡(luò)監(jiān)聽(tīng)網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)與防范1．簡(jiǎn)單的檢測(cè)方法（1）方法一對(duì)于懷疑運(yùn)行監(jiān)聽(tīng)程序的機(jī)器，用正確的IP地址和錯(cuò)誤的物理地址去ping，運(yùn)行監(jiān)聽(tīng)程序的機(jī)器會(huì)有響應(yīng)。這是因?yàn)檎５臋C(jī)器不接收錯(cuò)誤的物理地址，處于監(jiān)聽(tīng)狀態(tài)的機(jī)器能接收。（2）方法二往網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽(tīng)程序?qū)⑻幚磉@些包，會(huì)導(dǎo)致性能下降。通過(guò)比較前后該機(jī)器性能（icmpechodelay等方法）加以判斷。三、網(wǎng)絡(luò)監(jiān)聽(tīng)2.主動(dòng)防御網(wǎng)絡(luò)嗅探采取安全的拓?fù)浣Y(jié)構(gòu)：將網(wǎng)絡(luò)分段工作進(jìn)行得越細(xì)，嗅探器能夠收集到的信息就越少。通信會(huì)話加密：可采用SSH把所有傳輸?shù)臄?shù)據(jù)加密。采用靜態(tài)的ARP或IP-MAC對(duì)應(yīng)表。三、網(wǎng)絡(luò)監(jiān)聽(tīng)1、口令攻擊弱口令帶來(lái)安全隱患可被敵手暴力破解安全口令的設(shè)置保證足夠的口令長(zhǎng)度保證口令的復(fù)雜性四、網(wǎng)絡(luò)欺騙2、惡意代碼木馬程序、郵件病毒、網(wǎng)頁(yè)病毒等木馬和病毒的主要區(qū)別：木馬并不像病毒那樣復(fù)制自身。木馬包含能夠在觸發(fā)時(shí)導(dǎo)致數(shù)據(jù)丟失甚至被竊的惡意代碼。要使木馬傳播，必須在計(jì)算機(jī)上有效地啟用這些程序。四、網(wǎng)絡(luò)欺騙什么是木馬？特洛伊木馬的名稱取自于希臘神話中的特洛伊木馬。在希臘神話當(dāng)中，特洛伊木馬表面上是“禮物”，但實(shí)際上卻藏匿了大量襲擊特洛伊城的希臘士兵。木馬程序也一樣，它是具有欺騙性的文件，即表面是良性的，但實(shí)際上是惡意的。木馬的傳播途徑：電子郵件：一旦用戶打開(kāi)了自認(rèn)為安全的電子郵件附件，木馬就會(huì)趁機(jī)傳播。文件下載：木馬很有可能包含在免費(fèi)下載軟件中，所以用戶下載了軟件后，在安裝之前一定要進(jìn)行安全檢查。四、網(wǎng)絡(luò)欺騙木馬的特征木馬程序一般包括客戶端和服務(wù)器端?？蛻舳耸侵腹粽哂糜谶M(jìn)行攻擊的本地計(jì)算機(jī)，客戶端是控制者。服務(wù)器端則是指被植入木馬的遠(yuǎn)程計(jì)算機(jī)，服務(wù)器端是被控制者。木馬通常采取以下方式實(shí)施攻擊：配置木馬（偽裝木馬）→傳播木馬→運(yùn)行木馬→信息泄露→建立連接→遠(yuǎn)程控制。四、網(wǎng)絡(luò)欺騙3、Web欺騙概念：Web欺騙是指攻擊者建立一個(gè)使人相信的Web站點(diǎn)“拷貝”，這個(gè)Web站點(diǎn)“拷貝”就像真的一樣，它具有原頁(yè)面幾乎所有的頁(yè)面元素。攻擊者控制了這個(gè)Web站點(diǎn)的“拷貝”，被攻擊對(duì)象和真的Web站點(diǎn)之間的所有信息流動(dòng)都被攻擊者所控制。四、網(wǎng)絡(luò)欺騙Web欺騙的原理其原理是打斷從被攻擊者主機(jī)到目標(biāo)服務(wù)器之間的正常連接，并建立一條從被攻擊者主機(jī)到攻擊主機(jī)再到目標(biāo)服務(wù)器的連接。四、網(wǎng)絡(luò)欺騙改寫(xiě)URL：即將頁(yè)面上的所有URL都加上攻擊者的URL。瀏覽者請(qǐng)求一個(gè)Web頁(yè)面，發(fā)生了下面這些事情：瀏覽者請(qǐng)求來(lái)自于攻擊者服務(wù)器的頁(yè)面攻擊者服務(wù)器請(qǐng)求真正的服務(wù)器的相應(yīng)頁(yè)面攻擊者服務(wù)器重寫(xiě)頁(yè)面攻擊者服務(wù)器向?yàn)g覽者提供一個(gè)經(jīng)過(guò)改寫(xiě)后的頁(yè)面四、網(wǎng)絡(luò)欺騙開(kāi)始攻擊：為了開(kāi)始攻擊，攻擊者必須誘惑被攻擊對(duì)象連到攻擊者的假的Web頁(yè)上。攻擊者把一個(gè)假的Web鏈接到一個(gè)流行的Web頁(yè)面上去攻擊者向被攻擊對(duì)象發(fā)送電子郵件四、網(wǎng)絡(luò)欺騙制造假象偽裝狀態(tài)行?？赏ㄟ^(guò)JavaScript程序來(lái)消除狀態(tài)行里的痕跡。偽裝地址行。偽裝源文件。偽裝文檔信息。用戶可查看頁(yè)面信息，因此也需要偽裝不讓被攻擊者發(fā)現(xiàn)。四、網(wǎng)絡(luò)欺騙Web欺騙的防范解決辦法：上網(wǎng)瀏覽時(shí)，最好關(guān)掉瀏覽器的JavaScript，只有訪問(wèn)熟悉的網(wǎng)站是才打開(kāi)它，目的是讓攻擊者不能隱藏攻擊的跡象。不從自己不熟悉的網(wǎng)站上鏈接到其它網(wǎng)站，特別是鏈接那些需要輸入個(gè)人賬戶名和密碼的有關(guān)電子商務(wù)的網(wǎng)站。要養(yǎng)成從地址欄中直接輸入網(wǎng)址來(lái)實(shí)現(xiàn)瀏覽網(wǎng)站的好習(xí)慣。四、網(wǎng)絡(luò)欺騙4、IP地址欺騙IP地址的盜用IP地址盜用指得是一臺(tái)主機(jī)有目的地使用他人合法的IP地址，而不用自己的IP地址的行為。同一個(gè)子網(wǎng)內(nèi)盜用可綁定IP和物理地址來(lái)防止IP盜用。四、網(wǎng)絡(luò)欺騙IP地址欺騙就是偽造某臺(tái)主機(jī)IP地址的技術(shù)通常通過(guò)編程實(shí)現(xiàn)其實(shí)質(zhì)是偽裝成另一臺(tái)機(jī)器來(lái)獲得被偽裝的機(jī)器的某種特權(quán)或做一些破壞性行為來(lái)達(dá)到自己的目的四、網(wǎng)絡(luò)欺騙5、ARP欺騙ARP（AddreResolutionProtocol，地址解析協(xié)議）是一個(gè)位于TCP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對(duì)應(yīng)的，如下表所示。主機(jī)IP地址MAC地址Aaa-aa-aa-aa-aa-aaBbb-bb-bb-bb-bb-bbCcc-cc-cc-cc-cc-ccDdd-dd-dd-dd-dd-dd四、網(wǎng)絡(luò)欺騙ARP欺騙從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看，ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無(wú)法收到信息。四、網(wǎng)絡(luò)欺騙第二種ARP欺騙的原理是偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過(guò)正常的路由器途徑上網(wǎng)。在PC看來(lái)，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。四、網(wǎng)絡(luò)欺騙拒絕服務(wù)攻擊(DoS)DoS--DenialofServiceDoS攻擊的事件：2000年2月份的Yahoo、亞馬遜、CNN被DoS攻擊2002年10月全世界13臺(tái)DNS服務(wù)器同時(shí)受到了DDoS（分布式拒絕服務(wù)）攻擊。2003年1月25日的“2003蠕蟲(chóng)王”病毒2004年8月，共同社報(bào)道：日本近期共有上百網(wǎng)站遭到黑客襲擊。五、拒絕服務(wù)攻擊者目標(biāo)主機(jī)SYNSYN/ACKSYN/ACK等待應(yīng)答SYN：同步SYN/ACK:同步/確認(rèn)(DoS):

五、拒絕服務(wù)拒絕服務(wù)攻擊(DoS)(控制)....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標(biāo)主機(jī)SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待應(yīng)答SYN/ACK.........五、拒絕服務(wù)死亡之ping：利用ICMP協(xié)議上限IP碎片攻擊：淚珠（Teardrop）攻擊SYNFloodUDP洪水攻擊Land攻擊郵件炸彈Smurf攻擊行行色色的DOS攻擊五、拒絕服務(wù)1)攻擊者攻擊諸客戶主機(jī)以求分析他們的安全水平和脆弱性。攻擊者各種客戶主機(jī)目標(biāo)系統(tǒng)2)攻擊者進(jìn)入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機(jī)之內(nèi)(“肉機(jī)”)，并且秘密地安置一個(gè)其可遠(yuǎn)程控制的代理程序(端口監(jiān)督程序demon)。攻擊準(zhǔn)備：安置代理代理程序DDoS攻擊時(shí)序(分布式拒絕服務(wù))五、拒絕服務(wù)3)攻擊者使他的全部代理程序同時(shí)發(fā)送由殘缺的數(shù)字包構(gòu)成的連接請(qǐng)求送至目標(biāo)系統(tǒng)。攻擊者目標(biāo)系統(tǒng)發(fā)起攻擊：指令攻擊的代理程序4)包括虛假的連接請(qǐng)求在內(nèi)的大量殘缺的數(shù)字包攻擊目標(biāo)系統(tǒng)，最終將導(dǎo)致它因通信淤塞而崩潰。虛假的連接請(qǐng)求DDoS攻擊時(shí)序(分布式拒絕服務(wù))五、拒絕服務(wù)數(shù)據(jù)驅(qū)動(dòng)攻擊數(shù)據(jù)驅(qū)動(dòng)攻擊指的是通過(guò)向某個(gè)程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，通常給攻擊者訪問(wèn)目標(biāo)的權(quán)限。六、數(shù)據(jù)驅(qū)動(dòng)攻擊緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊的原理是向程序緩沖區(qū)寫(xiě)入超出其邊界的內(nèi)容，造成緩沖區(qū)的溢出，使得程序轉(zhuǎn)而執(zhí)行其他攻擊者指定的代碼，通常是為攻擊者打開(kāi)遠(yuǎn)程連接的ShellCode，以達(dá)到攻擊目標(biāo)。近年來(lái)著名的蠕蟲(chóng)如Code-Red、SQL.Slammer、Blaster和Sasser等，都是通過(guò)緩沖區(qū)溢出攻擊獲得系統(tǒng)權(quán)限后進(jìn)行傳播。六、數(shù)據(jù)驅(qū)動(dòng)攻擊voidfunction(char*szPara1){ charbuff[16]; strcpy(buffer,szPara1);}六、數(shù)據(jù)驅(qū)動(dòng)攻擊格式化字符串攻擊利用由于格式化函數(shù)的代碼編寫(xiě)錯(cuò)誤造成的安全漏洞，通過(guò)傳遞精心編制的含有格式化指令的文本字符串，以使目標(biāo)程序執(zhí)行任意命令。六、數(shù)據(jù)驅(qū)動(dòng)攻擊輸入驗(yàn)證攻擊針對(duì)程序未能對(duì)輸入進(jìn)行有效驗(yàn)證的安全漏洞，使得攻擊者能夠讓程序執(zhí)行制定的命令。六、數(shù)據(jù)驅(qū)動(dòng)攻擊同步漏洞攻擊這種方法主要是利用程序在處理同步操作時(shí)的缺陷，如競(jìng)爭(zhēng)狀態(tài)、信號(hào)處理等問(wèn)題，以獲取更高權(quán)限的訪問(wèn)。六、數(shù)據(jù)驅(qū)動(dòng)攻擊第三節(jié)網(wǎng)絡(luò)安全技術(shù)1、常規(guī)安全技術(shù)用戶認(rèn)證訪問(wèn)控制數(shù)據(jù)保密與完整性管理審計(jì)2、防火墻技術(shù)防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋，如圖所示。這里防火墻指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻的定義在互聯(lián)網(wǎng)上，防火墻是一種非常有效的網(wǎng)絡(luò)安全系統(tǒng)，通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域（Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時(shí)不會(huì)妨礙安全區(qū)域?qū)︼L(fēng)險(xiǎn)區(qū)域的訪問(wèn)，網(wǎng)絡(luò)防火墻結(jié)構(gòu)如圖所示。防火墻的功能根據(jù)不同的需要，防火墻的功能有比較大差異，但是一般都包含以下三種基本功能?？梢韵拗莆词跈?quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全的服務(wù)和非法用戶防止入侵者接近網(wǎng)絡(luò)防御設(shè)施限制內(nèi)部用戶訪問(wèn)特殊站點(diǎn)防火墻的發(fā)展簡(jiǎn)史第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過(guò)濾（Packetfilter）技術(shù)。第二、三代防火墻1989年，貝爾實(shí)驗(yàn)室的DavePresotto和HowardTrickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻

1992年，USC信息科學(xué)院的BobBraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾（Dynamicpacketfilter）技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視（Statefulinspection）技術(shù)。1994年，以色列的CheckPoint公司開(kāi)發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻

1998年，NAI公司推出了一種自適應(yīng)代理（Adaptiveproxy）技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。包過(guò)濾（PacketFiltering）：作用在協(xié)議組的網(wǎng)絡(luò)層和傳輸層，根據(jù)分組包頭源地址、目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)，只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地的出口端，其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。應(yīng)用代理（ApplicationProxy）：也叫應(yīng)用網(wǎng)關(guān)（ApplicationGateway），它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門(mén)的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。狀態(tài)檢測(cè)（StatusDetection）：直接對(duì)數(shù)據(jù)包里的數(shù)據(jù)進(jìn)行處理，并且結(jié)合前后數(shù)據(jù)包里的數(shù)據(jù)進(jìn)行綜合判斷，然后決定是否允許該數(shù)據(jù)包通過(guò)。自適應(yīng)代理（AdaptiveProxy）：結(jié)合了代理防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)，在不損失安全性的基礎(chǔ)上將代理防火墻的性能提高了10倍。包過(guò)濾防火墻（Packetfiltering）（1）數(shù)據(jù)包過(guò)濾技術(shù)的發(fā)展：靜態(tài)包過(guò)濾、動(dòng)態(tài)包過(guò)濾。（2）包過(guò)濾的優(yōu)點(diǎn)：不用改動(dòng)應(yīng)用程序、一個(gè)過(guò)濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)、數(shù)據(jù)包過(guò)濾對(duì)用戶透明、過(guò)濾路由器速度快、效率高。簡(jiǎn)單包過(guò)濾防火墻的工作原理包過(guò)濾防火墻的工作流程過(guò)濾規(guī)則-ACL包過(guò)濾規(guī)則一般基于部分的或全部的包頭信息：1．IP協(xié)議類型2．IP源地址3．IP目標(biāo)地址4．TCP（UDP）源端口號(hào)5．TCP（UDP）目標(biāo)端口號(hào)6．TCPACK標(biāo)識(shí)，指出這個(gè)包是否是聯(lián)接中的第一個(gè)包，是否是對(duì)另一個(gè)包的響應(yīng)。優(yōu)點(diǎn)：保護(hù)整個(gè)網(wǎng)絡(luò)；對(duì)用戶透明；可用路由器，不需要其他設(shè)備。缺點(diǎn)：1.包過(guò)濾的一個(gè)重要的局限是它不能分辨好的和壞的用戶，只能區(qū)分好的包和壞的包。2.包過(guò)濾規(guī)則難配置。3.新的協(xié)議的威脅。4.IP欺騙5.不提供授權(quán)和認(rèn)證包過(guò)濾防火墻的特點(diǎn)默認(rèn)安全策略沒(méi)有明確禁止的行為都是允許的舉例：華為的ACL沒(méi)有明確允許的行為都是禁止的舉例：思科的ACL動(dòng)態(tài)包過(guò)濾這種類型的防火墻采用動(dòng)態(tài)設(shè)置包過(guò)濾規(guī)則的方法，避免了靜態(tài)包過(guò)濾所具有的問(wèn)題。這種技術(shù)后來(lái)發(fā)展成為所謂包狀態(tài)監(jiān)測(cè)（StatefulInspection）技術(shù)。采用這種技術(shù)的防火墻對(duì)通過(guò)其建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據(jù)需要可動(dòng)態(tài)地在過(guò)濾規(guī)則中增加或更新條目。代理防火墻（應(yīng)用層網(wǎng)關(guān)型防火墻）應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全"阻隔"了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門(mén)的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。代理防火墻的原理

Proxy