常見網(wǎng)絡(luò)入侵技術(shù)及網(wǎng)絡(luò)防護(hù)技術(shù)簡介

常見網(wǎng)絡(luò)入侵技術(shù)和網(wǎng)絡(luò)防護(hù)技術(shù)簡

述

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)信息已經(jīng)成為社會(huì)

發(fā)展的重要組成部分，涉及到國家的政府、軍事、經(jīng)濟(jì)等諸多領(lǐng)

域。由于計(jì)算機(jī)網(wǎng)絡(luò)組成形式的多樣性和網(wǎng)絡(luò)的開放性等特點(diǎn)，

致使這些網(wǎng)絡(luò)信息容易受到來自世界各地的各種人為攻擊。據(jù)統(tǒng)

計(jì)，全球每20秒就有一起黑客事件發(fā)生，因此網(wǎng)絡(luò)安全成為了

全世界范圍內(nèi)一個(gè)無法回避且急需解決的問題。本文簡單介紹了

幾種常見的網(wǎng)絡(luò)入侵手段和網(wǎng)絡(luò)防護(hù)技術(shù)。

一、背景

上世紀(jì)九十年代開始發(fā)展起來的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，給人們?cè)?/p>

處理信息和資源共享帶來了極大的方便，深刻影響并改變著我們

的生活方式。當(dāng)各種商業(yè)活動(dòng)，金融領(lǐng)域，國家政府機(jī)構(gòu)，軍

事國防對(duì)網(wǎng)絡(luò)依賴度越來越高時(shí)，也不得不面對(duì)更多來自網(wǎng)絡(luò)安

全方面的考驗(yàn)。隨之出現(xiàn)的諸如木馬，蠕蟲，DoS攻擊等，正在

成為網(wǎng)絡(luò)安全最大的威脅。

全球知名的個(gè)人電腦安全軟件制造商Symantec專家VI

ncentWeaver在接受新華社記者采訪時(shí)說：“中國排全球互聯(lián)網(wǎng)

黑客攻擊的第三號(hào)目標(biāo)。"中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)報(bào)告指

出，截至2013年底，網(wǎng)民人數(shù)已達(dá)6.18億，手機(jī)網(wǎng)民超過5

億，同樣面臨著嚴(yán)重的安全威脅。其中計(jì)算機(jī)病毒感染率更是長

期處于較高水平。每年因計(jì)算機(jī)病毒、蠕蟲和木馬造成的安全事

件占全部安全事件的83%。近年來國內(nèi)發(fā)生了許多網(wǎng)絡(luò)安全事件,

其中部分事件有著重大的社會(huì)和政治影響。我國重要信息系統(tǒng)受

到境內(nèi)、外惡意病毒的攻擊，木馬的侵入、滲透，危害相當(dāng)嚴(yán)重。

從整個(gè)國家和地區(qū)情況看，近年來世界廣為知曉的“棱鏡門”事

件，以及前一個(gè)時(shí)期通過國外媒體暴露的有關(guān)國內(nèi)知名的公司核

心服務(wù)器受到侵害的安全問題非常突出。國外媒體報(bào)道的中國周

邊國家韓國突發(fā)的網(wǎng)絡(luò)安全和信息癱瘓的事件，都令人深思和警

醒。隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全給我們帶來的挑戰(zhàn)應(yīng)該更加凸

顯。盡管這幾年我國政府在逐步的加大網(wǎng)絡(luò)安全方面的工作力

度、技術(shù)投入和資金保障，但仍然客觀存在著網(wǎng)絡(luò)安全的問題，

有的還比較突出，整個(gè)形勢(shì)不容樂觀。

二、網(wǎng)絡(luò)攻擊新趨勢(shì)

互聯(lián)網(wǎng)上肆意傳播著大量木馬、病毒，除此之外網(wǎng)絡(luò)攻擊技

術(shù)和攻擊工具也有了新的發(fā)展趨勢(shì)，網(wǎng)絡(luò)攻擊呈實(shí)時(shí)化、多樣化、

復(fù)雜化等特點(diǎn)，主要表現(xiàn)在一下幾個(gè)方面：

1.攻擊工具的自動(dòng)化水平越來越高，且攻擊速度越來越快;

攻擊工具目前已經(jīng)發(fā)展到了可以通過自動(dòng)升級(jí)，或者更改工具的

其中一部分來迅速改變自身，進(jìn)而發(fā)動(dòng)快速變化的攻擊，且可以

做到在每次攻擊中使用不同種類不同形態(tài)的多種攻擊工具。

2.攻擊程序越來越復(fù)雜和隱蔽;

比如一些攻擊程序會(huì)借鑒計(jì)算機(jī)病毒的技術(shù)發(fā)展，很快編寫

出能夠反查殺的變形木馬等一系列在復(fù)雜惡劣的網(wǎng)絡(luò)環(huán)境下更

加具有生存能力的新型攻擊程序；另外，程序在執(zhí)行時(shí)不會(huì)在系

統(tǒng)中顯示出來，攻擊者也會(huì)利用NTFS流來隱藏木馬程序文件，

使用隱蔽信道等之類的手段更好地對(duì)自身加以隱藏。

3.攻擊者發(fā)現(xiàn)安全漏洞的速度越來越快；

只要使用電腦，操作系統(tǒng)和應(yīng)用軟件都是用戶必備的工具，

然而新發(fā)現(xiàn)的各種系統(tǒng)、軟件與網(wǎng)絡(luò)安全的漏洞都在不斷地增

加，幾乎每一年都會(huì)有安全漏洞的新類型被發(fā)現(xiàn)，網(wǎng)管或用戶需

要在第一時(shí)間用最新的軟件補(bǔ)丁對(duì)這些漏洞進(jìn)行修補(bǔ)。但攻擊者

往往能夠搶這些新安全漏洞被修補(bǔ)前，發(fā)現(xiàn)并加以利用發(fā)起攻

擊。

4.防火墻的被滲透率越來越高；

目前，很多的網(wǎng)絡(luò)攻擊技術(shù)都可以成功繞過防火墻，例如

IPP（網(wǎng)絡(luò)打印協(xié)議）和WebDAV都可以被攻擊者利用來繞過防火

墻。使用http—tunnel的通道技術(shù)也能有效地滲透并通過防火

，回。

5.對(duì)用戶造成的影響越來越大；

由于用戶對(duì)計(jì)算機(jī)的依賴度越來越高，同時(shí)也需要使用網(wǎng)絡(luò)

所提供的各項(xiàng)服務(wù)，嚴(yán)重的攻擊會(huì)導(dǎo)致網(wǎng)絡(luò)大面積長時(shí)間地癱

瘓，嚴(yán)重的干擾到了用戶的各項(xiàng)日常工作和業(yè)務(wù)，甚至可能會(huì)給

國家和個(gè)人造成無可挽回的巨大經(jīng)濟(jì)損失。基于以上種種原因，

網(wǎng)絡(luò)安全已成為了全世界范圍內(nèi)的共識(shí)，加之對(duì)安全領(lǐng)域的探索

和研究日益深入，如何保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全也越來越被人

們所重視。然而，迅猛增加的網(wǎng)民并未能和必須具備的網(wǎng)絡(luò)安全

意識(shí)與知識(shí)同步，信息安全觀念較為淡薄，不能很好的采取相應(yīng)

的安全措施來保護(hù)自身的網(wǎng)絡(luò)環(huán)境，也直接導(dǎo)致了此類用戶很容

易被攻擊者利用成為網(wǎng)絡(luò)攻擊源。我國對(duì)全球互聯(lián)網(wǎng)的安全威脅

很低，但由于缺乏安全意識(shí)遭受境外的網(wǎng)絡(luò)攻擊卻持續(xù)增多，

2011年，有近4.7萬個(gè)境外口地址控制了我國境內(nèi)主機(jī)。

三、常見的網(wǎng)絡(luò)入侵類型

網(wǎng)絡(luò)入侵技術(shù)通常利用網(wǎng)絡(luò)或系統(tǒng)存在的漏洞和安全缺陷

進(jìn)行的攻擊，最終以竊取目標(biāo)主機(jī)的信息或破壞系統(tǒng)為主要目

的。因此，當(dāng)某些系統(tǒng)缺陷、安全漏洞被修補(bǔ)之后，這些入侵方

式也就很難得逞了。通常情況下，入侵都是以信息搜集為前提，

對(duì)目標(biāo)系統(tǒng)的脆弱點(diǎn)采取相應(yīng)攻擊入侵手段，從而達(dá)到入侵目

的。網(wǎng)絡(luò)入侵時(shí)時(shí)刻刻都在發(fā)生，其方式也可謂五花八門，具體

種類更是無從列舉，目前常見的入侵類型有：

1.描探測(cè)和嗅探

掃描探測(cè)攻擊是指攻擊者通過在得到目標(biāo)IP地址空間后，

利用特定的軟件對(duì)其進(jìn)行掃描或嗅探，根據(jù)掃描技術(shù)偵察得知目

標(biāo)主機(jī)的掃描端口是否是處于激活狀態(tài)，主機(jī)提供了哪些服務(wù),

提供的服務(wù)中是否含有某些缺陷，及服務(wù)器的操作系統(tǒng)，從而為

以后的入侵攻擊打下基礎(chǔ)。掃描探測(cè)是攻擊的第一步，大多數(shù)入

侵者都會(huì)在對(duì)系統(tǒng)發(fā)動(dòng)攻擊之前進(jìn)行掃描。常見的探測(cè)攻擊有

NMAP、XSc趾、Nessus等，有的探測(cè)工具甚至還具有自動(dòng)攻擊

等功能。端口掃描活動(dòng)是針對(duì)TCP和UDP端口的，NULL端口掃

描，F(xiàn)IN端口掃描，XMAS端口掃描，這是幾個(gè)比較類似的掃描方

式。入侵者發(fā)送一個(gè)TCP包出去，如果收到帶有RST標(biāo)志的包，

表示端口是關(guān)閉的，如果什么包也沒有收到，就有端口打開的可

能性。漏洞掃描是針對(duì)軟硬件系統(tǒng)平臺(tái)存在某些形式的脆弱性，

掃描方式主要有CGI漏洞掃描，POP3漏洞掃描，HTTP漏洞掃描

等，這些漏洞掃描都是建立在漏洞庫基礎(chǔ)之上的，最后再把掃描

結(jié)果與漏洞庫數(shù)據(jù)進(jìn)行匹配得到漏洞信息。為降低被防火墻或

IDS檢測(cè)到的風(fēng)險(xiǎn)，攻擊者則會(huì)采用比較隱蔽得掃描方式，如慢

掃描或分布式掃描等。掃描技術(shù)正向著高速，隱蔽，智能化的方

向發(fā)展。然而掃描作為一種主動(dòng)攻擊行為很容易被發(fā)現(xiàn)，而嗅探

則要隱蔽得多。嗅探是指攻擊者對(duì)網(wǎng)絡(luò)上流通的所有數(shù)據(jù)包進(jìn)，

從而獲取并篩選出對(duì)自己入侵有用的信息。常用工具如

SnifferPro等。除了掃描和嗅探，入侵者還會(huì)利用一些比較實(shí)

用的軟件，諸如ping、nslookup>traceeroute^whois等對(duì)目

標(biāo)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)等進(jìn)行探測(cè)。

2.拒絕服務(wù)(DoS)攻擊

Dos是DenialofSelVice的簡稱,即拒絕服務(wù)攻擊，指利

用網(wǎng)絡(luò)協(xié)議的缺陷來耗盡被入侵目標(biāo)的資源，使得被入侵主機(jī)或

網(wǎng)絡(luò)不能提供正常的服務(wù)和資源訪問為，最終使得目標(biāo)系統(tǒng)停止

響應(yīng)甚至崩潰。是網(wǎng)絡(luò)上攻擊比較頻繁，影響嚴(yán)重的一類攻擊。

攻擊示意圖如下：

分布式拒絕服務(wù)DDoS攻擊的基礎(chǔ)是傳統(tǒng)的DoS攻擊。分布

式拒絕服務(wù)DDoS通過控制大量的計(jì)算機(jī)，并將它們聯(lián)合起來形

成一個(gè)攻擊平臺(tái)，對(duì)目標(biāo)網(wǎng)絡(luò)發(fā)起發(fā)動(dòng)DoS攻擊，從而大大地提

高了拒絕服務(wù)攻擊的破壞力。DDoS攻擊通過感染了特殊惡意軟

件的計(jì)算機(jī)所組成的“僵尸網(wǎng)絡(luò)(Botnet)”來實(shí)現(xiàn)。大量DDoS

攻擊旨在關(guān)閉系統(tǒng)，然后無聲地進(jìn)入網(wǎng)絡(luò)而不被檢測(cè)到。拒絕服

務(wù)攻擊已成為一種嚴(yán)重危害網(wǎng)絡(luò)的惡意攻擊。目前，DoS具有代

表性的攻擊手段包括PingofDeath>TearDrop>UDPflood、

SYNflood、IPSpoofingDoS等。

3.緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊是指利用緩沖區(qū)溢出漏洞所進(jìn)行的攻擊行

為，即將一個(gè)超過緩沖區(qū)規(guī)定長度的字符串放置到緩沖區(qū)所致。

緩沖區(qū)溢出攻擊能干擾并打亂具有某些特權(quán)運(yùn)行的程序的功能，

這樣便能使攻擊者取得程序的控制權(quán)，進(jìn)而實(shí)現(xiàn)對(duì)整個(gè)目標(biāo)主機(jī)

的控制，進(jìn)行各種各樣的非法操作。通常情況下，攻擊者對(duì)rOOt

程序進(jìn)行攻擊，然后運(yùn)行像“exec(sh)”的代碼來獲得最高管理

員權(quán)限的shello

例：voidfunction(char*str){

Charbuffer[16]；

strcpy(buffer,str)：

)

即只要str的長度大于16,就會(huì)造成buffer的溢出。緩沖

區(qū)溢出攻擊占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù)，而一旦遭受到緩沖區(qū)

溢出攻擊，可能導(dǎo)致程序運(yùn)行失敗、死機(jī)、重啟等后果。第一個(gè)

緩沖區(qū)溢出攻擊名為Morris蠕蟲，發(fā)生于1988年，致使接通

Internet的6~8萬臺(tái)計(jì)算機(jī)的10%?20%陷于癱瘓。防范緩沖

區(qū)溢出攻擊比較有效的方法是：關(guān)閉異常端口或服務(wù)，及時(shí)為軟

件打補(bǔ)丁和修復(fù)系統(tǒng)漏洞。

4.欺騙類攻擊

欺騙類攻擊是攻擊者較常使用的攻擊手段之一，常見的有

IP欺騙攻擊、WEB欺騙和ARP欺騙攻擊。

IP地址欺騙是突破防火墻常用的方法，它同時(shí)也是其他一

系列攻擊方法的基礎(chǔ)。之所以使用這個(gè)方法，是因?yàn)镮P自身的

缺點(diǎn)。IP欺騙攻擊指攻擊者通過篡改其發(fā)送的數(shù)據(jù)包的源IP地

址，來騙取目標(biāo)主機(jī)信任的一種網(wǎng)絡(luò)欺騙攻擊方法。其原理是利

用了主機(jī)之間的正常信任關(guān)系，也就是RPC服務(wù)器只依靠數(shù)據(jù)源

IP地址來進(jìn)行安全校驗(yàn)的特性。常用來于攻擊基于Ullix的操

作平臺(tái)，通過IP地址進(jìn)行安全認(rèn)證的如rlogin、rsh遠(yuǎn)程服務(wù)

等。使用加密方法或進(jìn)行包過濾可以防范IP欺騙。

WEB欺騙是一種建立在互聯(lián)網(wǎng)上基礎(chǔ)之上，十分危險(xiǎn)卻又不

易察覺的非法欺詐行為。攻擊者切斷用戶與Web目標(biāo)服務(wù)器之間

的正常連接，制造一系列假象如虛假連接，圖表，單表等掩蓋體,

欺騙用戶做出錯(cuò)誤的次策，從而建立一條從用戶到攻擊者主機(jī)，

再到Web目標(biāo)服務(wù)器的連接，最終控制著從Web目標(biāo)服務(wù)器到用

戶的返回?cái)?shù)據(jù)。這種攻擊方式常被稱之為“來自中間的攻擊工

Web欺騙的發(fā)生可能導(dǎo)致重要的賬號(hào)密碼的泄露，嚴(yán)重者當(dāng)用戶

進(jìn)行網(wǎng)購或登陸網(wǎng)銀時(shí)被欺騙則會(huì)造成巨大的經(jīng)濟(jì)損失。防御的

方法有：查看HTML是否可疑或觀察所點(diǎn)擊的URL鏈接是否正確,

禁止瀏覽器中的JavaScript功能等。

ARP欺騙攻擊是一種利用ARP協(xié)議漏洞，通過偽造TP地址

和MAC地址實(shí)現(xiàn)鼬心欺騙的攻擊技術(shù)。攻擊者常利用它進(jìn)行中間

人攻擊和拒絕服務(wù)類攻擊等。由于攻擊者通常都使用比較專業(yè)的

欺騙攻擊如arpspoof等，使得這種攻擊具有較高的普及率和成

功率。ARP欺騙又可分為兩種：對(duì)路由器ARP表的欺騙和對(duì)內(nèi)網(wǎng)

PC的網(wǎng)關(guān)欺騙。當(dāng)欺騙攻擊發(fā)生時(shí)，可導(dǎo)致所有的路由器數(shù)據(jù)

只能發(fā)送給錯(cuò)誤的MAc地址，從而使得正常主機(jī)無法收到信息，

大多數(shù)情況下甚至?xí)斐纱竺娣e掉線。認(rèn)證技術(shù)和中間件技術(shù)增

加了攻擊者ARP欺騙的難度，使攻擊行為不易達(dá)成。

5.SQL注入式攻擊

SQL注入式攻擊，簡稱隱碼攻擊。SQL注入漏洞是盛行已久

的攻擊者對(duì)數(shù)據(jù)庫進(jìn)行攻擊的常用手段，攻擊者通過網(wǎng)站程序源

碼中的漏洞進(jìn)行SQL注入攻擊，滲透獲得想得知的數(shù)據(jù)，獲得

數(shù)據(jù)庫的訪問權(quán)限等，其中獲得賬號(hào)及密碼是其中最基礎(chǔ)的目

的。甚至數(shù)據(jù)庫服務(wù)器被攻擊，系統(tǒng)管理員帳戶被竄改等后果。

CSDN泄密事件就是由SQL注入漏洞所引發(fā)的。由于SQL注入手

法非常靈活，語句構(gòu)造也很巧妙，且是從正常的WWW端口進(jìn)入訪

問，看起來和普通的Web頁面很相似，所以目前的防火墻一般對(duì)

SQL的注入都不會(huì)發(fā)出警告，加上用戶平時(shí)如果對(duì)IIS日志不太

注意，極有可能被長時(shí)間的入侵都毫無知覺。使用SQL通用防注

入系統(tǒng)的程序，或用其他更安全的方式連接SQL數(shù)據(jù)庫等可以有

效防止SQL注入式攻擊。

6.利用黑客軟件攻擊

利用已有的黑客軟件攻擊，因?yàn)楣粽攉@得攻擊軟件比較方

便，操作簡單，所以也是現(xiàn)在互連網(wǎng)上比較常見的一種攻擊手

法。例如Back法if例如000、SubSeven,冰河等都是比較著名

的特洛伊木馬，他們能非法地取得計(jì)算機(jī)的最高級(jí)權(quán)限，達(dá)到對(duì)

其完全控制的目的，除了能進(jìn)行文件的讀寫操作之外，也能實(shí)現(xiàn)

對(duì)主機(jī)的密碼獲取等操作。這類黑客軟件一般由服務(wù)器端和客戶

端組成，當(dāng)攻擊者進(jìn)行攻擊時(shí)，使用客戶端程序連接到己安裝好

服務(wù)器端程序的遠(yuǎn)程計(jì)算機(jī)，這些服務(wù)器端程序都很小，通常都

會(huì)捆綁于某些應(yīng)用軟件上，因而很難被發(fā)現(xiàn)。例如當(dāng)用戶運(yùn)行一

個(gè)下載的實(shí)用軟件并時(shí)，黑客軟件的服務(wù)器端就同時(shí)自動(dòng)安裝完

成了，而且大部分黑客軟件的重生能力比較強(qiáng)，用戶不太容易

對(duì)其進(jìn)行檢測(cè)和徹底清除。特別是最近出現(xiàn)了一種TXT文件欺騙

手法，表面看上去是個(gè)TXT文本文件，但實(shí)際上卻是個(gè)附帶黑客

程序的可執(zhí)行程式，另外有些程序也會(huì)偽裝成成見的圖片和其他

格式的文件。

四、網(wǎng)絡(luò)安全技術(shù)

為了保障計(jì)算機(jī)信息和網(wǎng)絡(luò)安全，我們采用了多種網(wǎng)絡(luò)安全

技術(shù)手段，常用的主要有：防火墻、身份認(rèn)證、訪問控制、加密、

安全路由等。常見網(wǎng)絡(luò)安全技術(shù)各有側(cè)重，比如傳統(tǒng)的防火墻方

式雖然能夠通過過濾和方間控制，制止多數(shù)對(duì)系統(tǒng)的非法訪問，

但卻不能抵御某些方式的入侵攻擊，例如防火墻對(duì)數(shù)據(jù)驅(qū)動(dòng)式攻

擊就沒有抵抗能力。特別是在防火墻系統(tǒng)存在一些配置上的錯(cuò)

誤，未定義或者沒有對(duì)系統(tǒng)安全進(jìn)行明確定義時(shí)，都可能會(huì)危及

到整個(gè)系統(tǒng)的安全。除此之外，由于防火墻大部分都設(shè)置在網(wǎng)絡(luò)

數(shù)據(jù)流的關(guān)鍵路徑上，通過訪問控制的方式來將系統(tǒng)內(nèi)部與外部

隔離開，但對(duì)于惡意的代碼(如木馬、病毒、緩沖區(qū)溢出)攻擊以

及其它來自內(nèi)部的攻擊等，防火墻將束手無策。下面對(duì)這幾種安

全技術(shù)進(jìn)行詳細(xì)介紹。

1.防火墻技術(shù)

在各類網(wǎng)絡(luò)安全技術(shù)中，防火墻技術(shù)是一種實(shí)用且成熟的技

術(shù)。簡單的防火墻可以由Router,3LayerSwitch的ACL(access

controllist)來充當(dāng)，也可以用一臺(tái)主機(jī)，甚至是一個(gè)子網(wǎng)來

實(shí)現(xiàn)。而廣義的防火墻則是由軟件和硬件共同組合而成，是設(shè)置

在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)和公共網(wǎng)之間的界面上的一道重

要安全保護(hù)屏障。

防火墻技術(shù)實(shí)質(zhì)也是一種隔離控制技術(shù)，具備分離、限制和

分析等功能。也可以把防火墻形象地比喻為一堵帶小孔的墻，這

些小孔就是用來進(jìn)行的過濾控制的通道。最簡單的一類防火墻稱

為包過濾防火墻。入侵者在攻擊目標(biāo)主機(jī)之前，必須首先經(jīng)過防

火墻的安全防線，接受防火墻對(duì)流經(jīng)的數(shù)據(jù)進(jìn)行掃描，判斷是否

符合安全規(guī)則，防護(hù)墻將非法的訪問拒之墻外，對(duì)合法的行為和

數(shù)據(jù)放行，這樣能夠過濾掉一些攻擊，從而阻止攻擊者對(duì)被保護(hù)

系統(tǒng)的非法入侵。防火墻對(duì)數(shù)據(jù)包檢查控制示意圖如下：

防火墻系統(tǒng)應(yīng)該具備的幾點(diǎn)特性：

?內(nèi)外網(wǎng)之間的數(shù)據(jù)傳輸都必須經(jīng)過防火墻；

?只有被授權(quán)的合法數(shù)據(jù)，才能通過防火墻，未被授權(quán)的將

被防火墻阻攔；

?防火墻本身具有對(duì)攻擊良好的免疫性；

?采用最新的信息安全技術(shù)；

防火墻歷經(jīng)多年的發(fā)展升級(jí)，已經(jīng)到了現(xiàn)在的第五代防火

墻。目前最為先進(jìn)和廣泛使用的是SPI防火墻，SPI（全狀態(tài)數(shù)據(jù)

包檢查）防火墻提供了最高級(jí)別的安全性。它是通過對(duì)每個(gè)連接

信息（如協(xié)議類型、TCP協(xié)議連接狀態(tài)和超時(shí)時(shí)間等）進(jìn)行檢測(cè),

從而判斷是否過濾數(shù)據(jù)包的防火墻。其安全性還體現(xiàn)在：除了能

夠完成簡單防火墻的包過濾工作外，還在自己的內(nèi)存中建立并維

護(hù)一個(gè)連接表，這個(gè)連接表中通常保存了比較詳細(xì)的源和目的地

址、源和目的端口號(hào)以及TCP序列號(hào)等一系列跟蹤狀態(tài)的連接信

息，因此具有比包過濾防火墻更大的安全性。防火墻不但可以反

欺騙，而且當(dāng)關(guān)閉不使用的端口時(shí)，還能禁止特定端口的

通信，從而防止特洛伊木馬。

2.身份認(rèn)證和訪問控制技術(shù)

身份認(rèn)證是網(wǎng)絡(luò)中用于確認(rèn)操作者身份的一項(xiàng)技術(shù)，認(rèn)證可

以基于如下一個(gè)或幾個(gè)因因素：信息因素的如口令，密碼；身份

因素的如智能卡；生物因素如指紋虹膜等。信息因素和身份因素

認(rèn)證雖然簡單易用，但都屬于不安全的身份認(rèn)證方式，因?yàn)槠浯?/p>

在潛在的泄漏和丟失風(fēng)險(xiǎn)。

目前最為安全地身份認(rèn)證方式是動(dòng)態(tài)密碼。用戶使用唯一的

終端獲取動(dòng)態(tài)口令，且動(dòng)態(tài)密碼每60秒變換一次，密碼一次有

效，它產(chǎn)生6位或8位動(dòng)態(tài)數(shù)字進(jìn)行一次一密的方式認(rèn)證。這種

技術(shù)目前被廣泛運(yùn)用于網(wǎng)上銀行，VPN和電子商務(wù)領(lǐng)域。為了增

強(qiáng)安全性通常使用不同認(rèn)證方法相結(jié)合的方式進(jìn)行身份認(rèn)證。

訪問控制技術(shù)是一種用于控制用戶能否進(jìn)入系統(tǒng)，以及進(jìn)入

系統(tǒng)的用戶能夠讀寫的數(shù)據(jù)集的網(wǎng)絡(luò)安全技術(shù)，其目標(biāo)是防止對(duì)

任保護(hù)資源進(jìn)行非授權(quán)的訪問，其核心思想是：將訪問權(quán)限與

對(duì)應(yīng)的角色相聯(lián)系，通過給用戶分配合適的角色，讓用戶與訪

問權(quán)限相關(guān)聯(lián)，從而達(dá)到規(guī)避入侵風(fēng)險(xiǎn)的作用。

訪問控制技術(shù)可分為自主訪問控制和強(qiáng)制訪問控制兩種。目

前的主流操作系統(tǒng)，如Linux和Windows等操作系統(tǒng)都提供自主

訪問控制功能。但自主訪問控制的權(quán)限很大，極易造成信息泄露,

而且不能防范特洛伊木馬的攻擊。強(qiáng)制訪問控制雖然能夠防范特

洛伊木馬和限制用戶濫用權(quán)限，且具有更高的安全性，但其實(shí)現(xiàn)

的代價(jià)也更大，一般只用在對(duì)安全級(jí)別要求比較高的軍事上。

3.密碼技術(shù)

密碼是一項(xiàng)很早就已經(jīng)使用的防止信息泄漏或篡改的重要

技術(shù)。起初主要用于軍事和外交，現(xiàn)在已經(jīng)被廣泛運(yùn)用于金融，

通信和信息安全等領(lǐng)域。密碼技術(shù)的基本思想就是把信息偽裝以

隱藏其真實(shí)內(nèi)容，即對(duì)信息做一定的數(shù)學(xué)變化，防止未授權(quán)者對(duì)

信息的攻擊。密碼技術(shù)包括加密和解密兩方面。原有信息稱為明

文(P),變換后的信息形式稱為密文(C),明文變成密文的過程叫

做加密(E),密文還原成明文的過程叫做解密(D)。其中加密技術(shù)

包括兩個(gè)元素：即算法和密鑰。

根據(jù)密鑰類型的不同可以把密碼技術(shù)分為兩類：一類是對(duì)稱

加密(即秘密鑰匙加密)，即加密密鑰和解密密鑰相同，或一個(gè)可

由另一個(gè)導(dǎo)出。另一類是非對(duì)稱加密(即公開密鑰加密)，即加密

密鑰公開，解密密鑰不公開，從一個(gè)不能推導(dǎo)出另一個(gè)。

常用的加密算法有：

DES算法：DES的算法是對(duì)稱的，既能用做加密又可用做解

密。DES算法具有安全性極高，至今，除了用窮舉法對(duì)DES算法

進(jìn)行攻擊外，還沒有發(fā)現(xiàn)其它更為有效的攻擊方法。但隨著計(jì)算

機(jī)運(yùn)算速度越來越快，對(duì)密碼的強(qiáng)度的需求也越來越高，可以通

過增加DES的密鑰長度來達(dá)到更高的抗攻擊性，如3DESo

RSA算法:RSA是Rivest、Shamir和Adleman提出來的基于

數(shù)論的公鑰加密算法，它能夠抵抗到目前為止已知的所有密碼攻

擊，已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)，其加密基礎(chǔ)是大數(shù)分解

和素?cái)?shù)檢測(cè)。

AES算法：高級(jí)加密標(biāo)準(zhǔn)，即下一代的加密算法標(biāo)準(zhǔn)，特點(diǎn)

是結(jié)構(gòu)簡單速度快，安全性高，目前AES標(biāo)準(zhǔn)的一個(gè)實(shí)現(xiàn)是

Rijndael算法；

MD5算法：MD5是計(jì)算機(jī)安全領(lǐng)域廣泛使用的一種散列函數(shù),

用來為消息的完整性提供保護(hù)，還廣泛運(yùn)用于操作系統(tǒng)的登陸認(rèn)

證上，如Unix登錄密碼、數(shù)字簽名等方面。

加密技術(shù)被信息安全領(lǐng)域應(yīng)用在很多方面，但最廣泛的運(yùn)用

是電子商務(wù)和VPN上。

4.IPS技術(shù)

IPS(IntrusionPreventionSystem)即入侵防御系統(tǒng)，它可

以深度檢測(cè)流經(jīng)的數(shù)據(jù)流量，第一時(shí)間對(duì)惡意數(shù)據(jù)進(jìn)行攔截以阻

斷攻擊，對(duì)濫用數(shù)據(jù)進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源，是一種積極

主動(dòng)的、積極的入侵檢測(cè)和防御系統(tǒng)，簡單地說，可認(rèn)為IPS就

是防火墻技術(shù)加上入侵檢測(cè)系統(tǒng)，在IDS監(jiān)測(cè)的功能上又增加了

主動(dòng)響應(yīng)的功能。

IPS的產(chǎn)生就是因?yàn)镮DS只能發(fā)現(xiàn)入侵，但不能主動(dòng)抵御入

侵。IPS既可以做到及時(shí)發(fā)現(xiàn)入侵，又能主動(dòng)抵御入侵。IPS的

部署位置介于防火墻和網(wǎng)絡(luò)的設(shè)備之間。因此，如果檢測(cè)到攻擊,

IPS會(huì)在攻擊