【正文】 5. 將 IIS 的安裝目錄和數(shù)據(jù)與系統(tǒng)磁 盤分開 6. 設(shè)置 WWW 目錄的訪問(wèn)權(quán)限 SQL Server 的安全 1. 安裝 SQL Server 的最新補(bǔ)丁程序 2. 使用安全的帳號(hào)策略 3. 選擇正確的身份驗(yàn)證模式 4. 加強(qiáng)數(shù)據(jù)庫(kù)日志記錄 5. 除去不需要的網(wǎng)絡(luò)協(xié)議 計(jì)算機(jī)病毒防治 ? 全面部署防病毒系統(tǒng) ? 及時(shí)更新病毒庫(kù)和產(chǎn)品 ? 預(yù)防為主 ? 加強(qiáng)培訓(xùn)、提高防毒意識(shí) 部署防火墻 防火墻的概念 現(xiàn)在通常所說(shuō)的網(wǎng)絡(luò)防火墻是借鑒了古代真正用于防火的防火墻的喻義，它是指隔離在內(nèi)部（本地）網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。 通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域（如 Inter 或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（如局域網(wǎng)，也就是內(nèi)部網(wǎng)絡(luò)）的連接，同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。 它是一種設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。一般由計(jì)算機(jī)硬件和軟件組成的一個(gè)或一組系統(tǒng)，用于增強(qiáng)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)之間的訪問(wèn)控制。 防火墻的主要功能 1．防火墻是網(wǎng)絡(luò)安全的屏障 2．防火墻能控制對(duì)特殊站點(diǎn)的訪問(wèn) 3．對(duì)網(wǎng)絡(luò)存取訪問(wèn)進(jìn)行 記錄和統(tǒng)計(jì) 路由器 Inter 防火墻 交換機(jī) 用戶 內(nèi)部網(wǎng) 外部網(wǎng) 網(wǎng)絡(luò)管理平臺(tái) 內(nèi)網(wǎng)服務(wù)器群 外網(wǎng)服務(wù)器群 4．防止內(nèi)部網(wǎng)絡(luò)信息的外泄 5．地址轉(zhuǎn)換 (NAT) 防火墻技術(shù) 目前在實(shí)際應(yīng)用中所使用的防火墻產(chǎn)品有很多 ,但從其采用的技術(shù)來(lái)看主要包括兩類 :包過(guò)濾技術(shù)和應(yīng)用代理技術(shù) ,實(shí)際的防火墻產(chǎn)品往往由這兩種技術(shù)的演變擴(kuò)充或復(fù)合而形成的。 具體來(lái)說(shuō)主要包括：簡(jiǎn)單包過(guò)濾防火墻、狀態(tài)檢測(cè)包過(guò)濾防火墻、應(yīng)用代理防火墻和復(fù)合型防火墻。 1．簡(jiǎn)單包過(guò)濾防火墻 包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，對(duì)數(shù)據(jù)包的源及目的 IP 具有識(shí)別和控制作用，對(duì)于傳輸層，只能識(shí)別數(shù)據(jù)包是 TCP 還是 UDP 及所用的端口信息。它對(duì)所收到的 IP 數(shù)據(jù)包的源地址、目的地址、 TCP數(shù)據(jù)分組或 UDP報(bào)文的源端口號(hào)、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)，與網(wǎng)絡(luò)管理員預(yù)先設(shè)置的訪問(wèn)控制表進(jìn)行比較，確定是否符合預(yù)定義的安全策略，并決定數(shù)據(jù)包的通過(guò)或丟棄。 單純簡(jiǎn)單包過(guò)濾的產(chǎn)品由于其保護(hù)的不完善，在 1999年以前國(guó)外的網(wǎng)絡(luò)防火墻市場(chǎng)上就已經(jīng)不存在了。 2．應(yīng)用代理防火墻 應(yīng)用代理防火墻，也叫應(yīng)用代理網(wǎng)關(guān)防火墻。 所謂網(wǎng)關(guān)是指在兩個(gè)設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。 這種防火墻能 徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪問(wèn)變成防火墻對(duì)外網(wǎng)的訪問(wèn)，外網(wǎng)的訪問(wèn)應(yīng)答先由防火墻處理，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問(wèn)者任何時(shí)候都不能與服務(wù)器建立直接的 TCP 連接，應(yīng)用層的協(xié)議會(huì)話過(guò)程必須符合代理的安全策略要求。 由于代理型防火墻利用操作系統(tǒng)本身的 socket接口傳遞數(shù)據(jù)，從而導(dǎo)致性能比較差，不能支持大規(guī)模的并發(fā)連接；并且要求防火墻核心預(yù)先內(nèi)置一些已知應(yīng)用程序的代理后防火墻才能正常工作，這樣的后果是一些新出現(xiàn)的應(yīng)用在代理型防火墻上往往不能使用 ，出現(xiàn)了防火墻不支持很多新型應(yīng)用的局面。在 IT 領(lǐng)域中，新的應(yīng)用和新的技術(shù)不斷出現(xiàn)，甚至每一天都有新的應(yīng)用方式和新的協(xié)議出現(xiàn)，代理型防火墻很難適應(yīng)這種局面，使得在一些重要的領(lǐng)域和行業(yè)的核心業(yè)務(wù)應(yīng)用中，代理型防火墻被漸漸地被拋棄 3．狀態(tài)檢測(cè)包過(guò)濾防火墻 狀態(tài)檢測(cè)包過(guò)濾防火墻是在簡(jiǎn)單包過(guò)濾上的功能擴(kuò)展，最早是 Check Point公司提出的，現(xiàn)在已經(jīng)成為防火墻的主流技術(shù)。 狀態(tài)檢測(cè)的包過(guò)濾利用狀態(tài)表跟蹤每一個(gè)網(wǎng)絡(luò)會(huì)話的狀態(tài)，對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì) 話所處的狀態(tài)。因而提供了更完整的對(duì)傳輸層的控制能力。同時(shí)由于一系列優(yōu)化技術(shù)的采用，狀態(tài)檢測(cè)包過(guò)濾的性能也明顯優(yōu)于簡(jiǎn)單包過(guò)濾產(chǎn)品，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。 前面介紹的簡(jiǎn)單包過(guò)濾只是一種靜態(tài)包過(guò)濾，靜態(tài)包過(guò)濾將每個(gè)數(shù)據(jù)包單獨(dú)分析，固定根據(jù)其包頭信息（如源地址、目的地址、端口號(hào)等）進(jìn)行匹配，這種方法在遇到利用動(dòng)態(tài)端口應(yīng)用協(xié)議時(shí)會(huì)發(fā)生困難。 可以這樣說(shuō)，狀態(tài)檢測(cè)包過(guò)濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。 目前業(yè)界很多優(yōu)秀的防火墻 產(chǎn)品采用了狀態(tài)檢測(cè)型的體系結(jié)構(gòu)，比如 Check Point 的 Firewall1， Cisco的 PIX防火墻， NetScreen防火墻等等。 4．復(fù)合型防火墻 復(fù)合型防火墻是指綜合了狀態(tài)檢測(cè)與透明代理的新一代防火墻，它基于專用集成電路（ ASIC， Application Specific Integrated Circuit）架構(gòu)，把防病毒、內(nèi)容過(guò)濾整合到防火墻里，其中還包括 VPN、 IDS功能，多單元融為一體，是一種新突破。 常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊。復(fù)合型防火墻在網(wǎng)絡(luò)邊界實(shí) 施 OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣部署病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施，體現(xiàn)出網(wǎng)絡(luò)與信息安全的新思路。 防火墻的選購(gòu) 目前國(guó)內(nèi)外防火墻產(chǎn)品品種繁多、特點(diǎn)各異，有硬件的防火墻，也有軟件防火墻。硬件防火墻采用專用的硬件設(shè)備，然后集成生產(chǎn)廠商的專用防火墻軟件。從功能上看，硬件防火墻內(nèi)建安全軟件，使用專屬或強(qiáng)化的操作系統(tǒng)，管理方便，更換容易，軟硬件搭配較固定。硬件防火墻效率高，解決了防火墻效率、性能之間的矛盾，基本上可以達(dá)到線性。而軟件防火墻一般是基于某個(gè)操作系統(tǒng)平臺(tái)開發(fā)的，直接在計(jì)算機(jī)上進(jìn) 行軟件的安裝和配置。由于用戶平臺(tái)的多樣性，使得軟件防火墻需支持多操作系統(tǒng)，如： Unix、 Linux、 SCOUnix、 Windows等，代碼龐大、安裝維護(hù)成本高、效率低，同時(shí)還受到操作系統(tǒng)平臺(tái)穩(wěn)定性的影響。顯然，硬件防火墻總體性能上來(lái)說(shuō)是優(yōu)于軟件防火墻的，但其價(jià)格也要高些。 防火墻的選購(gòu) 需注意的問(wèn)題 下面從幾個(gè)方面探討選購(gòu)防火墻時(shí)應(yīng)該注意的問(wèn)題。 （ 1）防火墻自身是否安全 （ 2）系統(tǒng)是否穩(wěn)定 （ 3）是否高效 （ 4）是否可靠 （ 5）功能是否靈活 （ 6）配置是否方便 （ 7）管理是否簡(jiǎn)便 （ 8）是否可以抵抗拒絕服 務(wù)攻擊 （ 9）是否可以針對(duì)用戶身份進(jìn)行過(guò)濾 （ 10）是否具有可擴(kuò)展、可升級(jí)性 部署 IDS IDS的概念 ? 對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視 ? 發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果 ? 保證系統(tǒng)資源的機(jī)密性、完整性和可用性 ? 是防火墻的合理補(bǔ)充 ? 第二道安全閘門 入侵檢測(cè)系統(tǒng)： Intrusion Detection System, 簡(jiǎn)稱 IDS。 入侵檢測(cè)是指： “ 通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖 ” 。 入侵檢測(cè)系統(tǒng)是一個(gè)典型的 “ 窺探設(shè)備 ” 。 入侵監(jiān)測(cè)系統(tǒng)處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)。許多情況下，可以與防火墻聯(lián)動(dòng)，可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵監(jiān)測(cè)系統(tǒng)是防火墻的延續(xù)。它們可以和防火墻和路由器配合工作。 入侵檢測(cè)系統(tǒng)技術(shù) 入侵檢測(cè)技術(shù)通過(guò)對(duì)入侵行為的過(guò)程與特征的研究，使安全系統(tǒng)對(duì)入侵事件和入侵過(guò)程能做出實(shí)時(shí)響應(yīng)。 入侵檢測(cè)系統(tǒng)從分析方式上主要可分為兩種： （ 1）模式發(fā)現(xiàn)技術(shù)（模式匹配） （ 2）異常發(fā)現(xiàn)技術(shù)（異常檢測(cè)） 模式發(fā)現(xiàn)技術(shù) 的核心是維護(hù)一個(gè)知識(shí)庫(kù)。對(duì)于已知的攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告出攻擊類型，而且知識(shí)庫(kù)必須不斷更新。對(duì)所有已知入侵行為和手段（及其變種）都能夠表達(dá)為一種模式或特征，所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)，把真正的入侵與正常行為區(qū)分開來(lái)。模式發(fā)現(xiàn)的優(yōu)點(diǎn)是誤報(bào)少，局限是它只能發(fā)現(xiàn)已知的攻擊，對(duì)未知的攻擊無(wú)能為力。 異常發(fā)現(xiàn)技術(shù) 先定義一組系統(tǒng) “ 正常 ” 情況的數(shù)值，如 CPU 利用率、內(nèi)存利用率、文件校驗(yàn)和等（這類數(shù)據(jù)可以人為定義，也可以通過(guò)觀察系統(tǒng)、并用統(tǒng)計(jì)的辦法得出），然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的 “ 正常 ” 情況比較，得出是否有被攻擊的跡象。這種檢測(cè)方式的核心在 于如何定義所謂的 “ 正常 ” 情況。 異常發(fā)現(xiàn)技術(shù)的局限是并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的 “ 正常 ” 標(biāo)準(zhǔn)難于計(jì)算和更新，并無(wú)法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺(jué)的攻擊。 目前，國(guó)際頂尖的入侵檢測(cè)系統(tǒng) IDS 主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)。 IDS一般從實(shí)現(xiàn)方式上分為兩種： （ 1）基于主機(jī)的 IDS （ 2）基于網(wǎng)絡(luò)的 IDS 基于網(wǎng)絡(luò)的 IDS 使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源，一般利用網(wǎng)絡(luò)適配器（探測(cè)器） 來(lái)實(shí)時(shí)監(jiān)視和分析所有通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ?。一旦檢測(cè)到攻擊， IDS 應(yīng)答模塊通過(guò)通知、報(bào)警以及中斷連接等方式來(lái)對(duì)攻擊做出反應(yīng)。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)有： （ 1）成本低。 （ 2）攻擊者消除證據(jù)很困難。 （ 3）實(shí)時(shí)檢測(cè)和應(yīng)答一旦發(fā)生惡意訪問(wèn)或攻擊，基于網(wǎng)絡(luò)的 IDS 檢測(cè)可以隨時(shí)發(fā)現(xiàn)它們，因此能夠更快地做出反應(yīng)。從而將入侵活動(dòng)對(duì)系統(tǒng)的破壞減到最低。 （ 4）能夠檢測(cè)未成功的攻擊企圖。 （ 5）操作系統(tǒng)獨(dú)立?；诰W(wǎng)絡(luò)的 IDS 并不依賴主機(jī)的操作系統(tǒng)作為檢測(cè)資源，而基于主機(jī)的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用。 基 于主機(jī)的 IDS 一般監(jiān)視 Windows NT 上的系統(tǒng)、事件、安全日志以及 UNIX 環(huán)境中的 syslog 文件。一旦發(fā)現(xiàn)這些文件發(fā)生任何變化， IDS將比較新的日志記錄與攻擊簽名以發(fā)現(xiàn)它們是否匹配。如果匹配的話，檢測(cè)系統(tǒng)就向管理員發(fā)出入侵報(bào)警并且發(fā)出采取相應(yīng)的行動(dòng)。 基于主機(jī)的 IDS 的主要優(yōu)勢(shì)有： （ 1）非常適用于加密和交換環(huán)境。 （ 2）近實(shí)時(shí)的檢測(cè)和應(yīng)答。 （ 3）不需要額外的硬件。 （ 4）確定攻擊是否成功。 （ 5）監(jiān)測(cè)特定主機(jī)系統(tǒng)活動(dòng)。 以上兩種實(shí)現(xiàn)方式的集成化是 IDS 的發(fā)展趨勢(shì)?；诰W(wǎng)絡(luò)和基于主機(jī)的 IDS 都 有各自的優(yōu)勢(shì)，兩者可以相互補(bǔ)充。這兩種方式都能發(fā)現(xiàn)對(duì)方無(wú)法檢測(cè)到的一些入侵行為。 基于網(wǎng)絡(luò)的 IDS 可以研究負(fù)載的內(nèi)容，查找特定攻擊中使用的命令或語(yǔ)法，這類攻擊可以被實(shí)時(shí)檢查包序列的 IDS 迅速識(shí)別。 而基于主機(jī)的 IDS 無(wú)法看到負(fù)載，因此也無(wú)法識(shí)別嵌入式的負(fù)載攻擊。聯(lián)合使用基于主機(jī)和基于網(wǎng)絡(luò)這兩種方式能夠達(dá)到更好的檢測(cè)效果。 入侵檢測(cè)系統(tǒng)的工作流程 1．信息收集 2．信號(hào)分析 3．實(shí)時(shí)記錄、報(bào)警或有限度反擊 PKI 與證書服務(wù)應(yīng)用 PKI的概述 Public Key Infrastructure，公鑰基礎(chǔ)結(jié)構(gòu) PKI 由 公鑰加密技術(shù) 、 數(shù)字證書 、 證書頒發(fā)機(jī)構(gòu)（ CA） ， 注冊(cè)機(jī)構(gòu)（ RA）等共同組成 數(shù)字證書用于用戶的身份驗(yàn)證 CA 是一個(gè)可信任的實(shí)體，負(fù)責(zé)發(fā)布、更新和吊銷證書 RA 接受用戶的請(qǐng)求等功能 PKI 體系能夠?qū)崿F(xiàn)的功能有 身份認(rèn)證 數(shù)據(jù)完整性 數(shù)據(jù)機(jī)密性 操作的不可否認(rèn)性 公鑰加密技術(shù) 公鑰（ Public Key）和私鑰（ Private Key） 1. 密鑰是成對(duì)生成的，這兩個(gè)密鑰互不相同，兩個(gè)密鑰可以互相加密和解密 2. 不能根據(jù)一個(gè)密鑰來(lái)推算得出另一個(gè)密鑰 3. 公鑰對(duì) 外公開；私鑰只有私鑰的持有人才知道 4. 私鑰應(yīng)該由密鑰的持有人妥善保管 數(shù)據(jù)加密 1. 發(fā)送方使用接收方的 公鑰 加密數(shù)據(jù) 2. 當(dāng)接收方使用自己的 私鑰 解密這些數(shù)據(jù) 數(shù)據(jù)加密能保證所發(fā)送數(shù)據(jù)的機(jī)密性 數(shù)字簽名 ? 發(fā)送方使用自己的 私鑰 加密 ? 接收方使用發(fā)送方的 公鑰 解密 數(shù)字簽名保證 身份驗(yàn)證、數(shù)據(jù)的完整性 、操作的不可否認(rèn)性 證書 1. PKI 系統(tǒng)中的數(shù)字證書簡(jiǎn)稱證書 2. 它把公鑰和擁有對(duì)應(yīng)私鑰的主體的標(biāo)識(shí)信息（如名稱、電子郵件、身份證號(hào)等）捆綁在一起 3. 證書的主體可以是用戶、計(jì)算機(jī)、服務(wù)等 4. 證書可以用于很多方面 5. Web 用戶身份 驗(yàn)證 6. Web 服務(wù)器身份驗(yàn)證 7. 安全電子郵件 8. Inter 協(xié)議安全 （ IPSec） 數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)即 CA簽發(fā)的 證書包含以下信息 1. 使用者的公鑰值 2. 使用者標(biāo)識(shí)信息（如名稱和電子郵件地址） 3. 有效期（證書的有效時(shí)間） 4. 頒發(fā)者標(biāo)識(shí)信息 5. 頒發(fā)者的數(shù)字簽名 CA的作用 1. CA 的核心功能就是頒發(fā)和管理數(shù)字證