【正文】 IP頭 TCP頭 應(yīng)用級頭 數(shù)據(jù) 源 /目的 IP地址 源 /目的 端口 應(yīng)用狀態(tài)和數(shù)據(jù)流 凈荷 包過濾器 靜態(tài)包過濾器所過濾的內(nèi)容 應(yīng)用層 表示層 會話層 網(wǎng)絡(luò)層 鏈路層 物理層 傳輸層 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 動態(tài)包過濾防火墻工作于傳輸層 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口 會話層 物理層 表示層 鏈路層 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 網(wǎng)絡(luò)層 傳輸層 應(yīng)用層 電路級網(wǎng)關(guān)工作于會話層 IP頭 TCP頭 應(yīng)用級頭 數(shù)據(jù) 源 /目的 IP地址 源 /目的 端口 應(yīng)用狀態(tài)和數(shù)據(jù)流 凈荷 電路級網(wǎng)關(guān) 電路級網(wǎng)關(guān)所過濾的內(nèi)容 表示層 會話層 鏈路層 物理層 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 傳輸層 網(wǎng)絡(luò)層 應(yīng)用層 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口 應(yīng)用代理工作于應(yīng)用層 防火墻的主要功能 防 火 墻 的 功能 過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù) 管理進(jìn)出網(wǎng)絡(luò)的訪問行為 封堵某些禁止的業(yè)務(wù) 記錄進(jìn)出網(wǎng)絡(luò)的信息和活動 對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警 防火墻的局限性 防 火 墻 的 局限 性 不能防范惡意知情者泄密 不能控制不經(jīng)過它的連接 不能防備完全新的威脅 不能防止病毒和特洛伊木馬 不能防止內(nèi)部用戶的破壞 防火墻技術(shù)的發(fā)展趨勢 從目前對專網(wǎng)管理的方式，向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展； 過濾深度不斷加強(qiáng)，從目前的地址過濾、服務(wù)過濾，發(fā)展到頁面過濾、關(guān)鍵字過濾及對 Active X/Java等的過濾； 用防火墻建立 VPN， IP加密越來越強(qiáng)； 單向防火墻（網(wǎng)絡(luò)二極管）將出現(xiàn)； 對攻擊的檢測和告警將成為重要功能； 附加安全管理工具（如日志分析）； 安全協(xié)議的開發(fā)將成為一大熱點(diǎn)。 （二）安全身份認(rèn)證系統(tǒng) ?基于生物特征的身份認(rèn)證： 如 DNA，視網(wǎng)膜，虹膜、指紋等； ?基于 IC卡的身份認(rèn)證： 如磁存儲卡、邏輯加密卡， CPU卡等； ?基于零知識證明的身份認(rèn)證； ?基于“用戶名 +口令”的身份認(rèn)證； ?基于電子鑰匙的身份認(rèn)證系統(tǒng)。 具有文件加密和文件夾隱藏功能 支持熱插拔（ hot plug） 外型小巧、靈活方便、安全可靠 支持網(wǎng)絡(luò)登錄與身份認(rèn)證 占用單獨(dú)的 USB口、節(jié)省系統(tǒng)資源 支持公鑰證書（ CA） 具有屏幕鎖定功能 基于電子鑰匙的身份認(rèn)證 海信 NetKey身份認(rèn)證界面 局域網(wǎng)終端 遠(yuǎn)程撥號終端 NT服務(wù)器 身份認(rèn)證的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) （三）數(shù)據(jù)加密設(shè)備 ? 通常將單鑰、雙鑰密碼結(jié)合在一起使用 ： ? 單鑰算法用來對數(shù)據(jù)進(jìn)行加密； ? 雙鑰算法用來進(jìn)行密鑰交換。 ? 數(shù)據(jù)加密可在通信的三個層次來實(shí)現(xiàn)： ? 鏈路加密； ? 節(jié)點(diǎn)加密； ? 端到端加密。 鏈路加密設(shè)備的特點(diǎn) ? 每個節(jié)點(diǎn)對收到的信息先解密，后加密； ? 它 掩蓋了被傳輸消息的源點(diǎn)與終點(diǎn)； ?消息的報頭和路由信息以密文方式傳輸。 加密機(jī) 密文 加密機(jī) 加密機(jī) 密文 明文 明文 明文 加密機(jī) 源點(diǎn) 終點(diǎn) 節(jié)點(diǎn)加密設(shè)備的特點(diǎn) ?在節(jié)點(diǎn)先對消息進(jìn)行解密，后進(jìn)行加密； ?不允許消息在節(jié)點(diǎn)以明文方式存在； ? 消息的報頭和路由信息以明文方式傳輸。 明文 加密機(jī) 密文 密文 密文 明文 加密機(jī) 源點(diǎn) 終點(diǎn) 端到端加密設(shè)備的特點(diǎn) ? 數(shù)據(jù)從源點(diǎn)到終點(diǎn)始終以密文形式存在； ? 數(shù)據(jù)從源點(diǎn)加密后到終點(diǎn)才被解密； ? 安全性高，系統(tǒng)維護(hù)方便。 加密機(jī) 明文 明文 加密機(jī) 源點(diǎn) 終點(diǎn) 密文 密文 加密機(jī)的應(yīng)用圖例 網(wǎng)絡(luò)中心 安全路由器 密碼管理中心 因特網(wǎng) 加密機(jī) 加密機(jī) 加密機(jī) （四）安全日志與審計系統(tǒng) ? 數(shù)據(jù)采集、還原處理及備份功能 ： ?提供豐富的采樣條件設(shè)臵； ? 對電子郵件與傳輸文件的壓縮部分自動解壓； ? 自動英漢翻譯，提供全文本高速翻譯系統(tǒng)。 ? 自動中標(biāo)檢查 ，即關(guān)鍵詞檢查； ? 日志管理與審計： ? 發(fā)件瀏覽審查，提供多種審查方式； ? 發(fā)件統(tǒng)計分析，包括指定日期或時間段的發(fā)件數(shù)、 中標(biāo)數(shù)、中標(biāo)率、涉密數(shù)等； ? 報表生成和打?。ò?/月 /日報表）； ? 發(fā)件人、收件人檔案記錄。 ? Http、 Ftp、 Email、入侵、 DNS請求等行為分析 。 ? Web頁面非法篡改檢測。 安全日志與審計系統(tǒng)運(yùn)行環(huán)境 服務(wù)器（中標(biāo)） 外部網(wǎng) 內(nèi)部網(wǎng) 路由器 集線器 數(shù)據(jù)采集器 數(shù)據(jù)庫網(wǎng)關(guān) 自動解壓 自動翻譯 綜合管理 打印機(jī) （五）入侵檢測系統(tǒng) — IDS 在戰(zhàn)場上，你希望在要保護(hù)的地帶布臵哨兵；在網(wǎng)絡(luò)中，你需要在要保護(hù)的關(guān)鍵部位布臵入侵檢測系統(tǒng)（ IDS— Intrusion Detection System）。許多企業(yè)或機(jī)構(gòu)的網(wǎng)絡(luò)負(fù)責(zé)人都聲稱，他們的網(wǎng)絡(luò)是安全的，因?yàn)樗麄円呀?jīng)安裝了最新版的防火墻和 IDS。其實(shí)，網(wǎng)絡(luò)安全是一個系統(tǒng)工程，僅靠安裝防火墻和 IDS，只能解決部分安全問題，而離全面解決安全問題還差得太遠(yuǎn)。 IDS對于進(jìn)出網(wǎng)絡(luò)的全部活動進(jìn)行檢查。 IDS可以識別出能夠引發(fā)網(wǎng)絡(luò)或系統(tǒng)攻擊的可疑數(shù)據(jù)。一旦發(fā)現(xiàn)了不正常的數(shù)據(jù)模式，就意味著有人企圖突入或損害系統(tǒng)。 IDS可以是硬件系統(tǒng)，也可以是軟件系統(tǒng)。它能監(jiān)視和分析系統(tǒng)事件，以發(fā)現(xiàn)那些未經(jīng)授權(quán)就企圖訪問系統(tǒng)資源的網(wǎng)絡(luò)活動，并提供實(shí)時的或接近實(shí)時的事件告警。 濫用檢測（ Abuse Detection） 在濫用檢測方式下， IDS對它收集到的信息進(jìn)行分析，并與攻擊簽名數(shù)據(jù)庫進(jìn)行比較。為了做到更有效，這種類型的 IDS依賴于那些已經(jīng)被記錄在案的攻擊，它將收集到的可疑數(shù)據(jù)包與攻擊簽名數(shù)據(jù)庫中的樣本進(jìn)行比較。象許多病毒檢測系統(tǒng)一樣，濫用檢測軟件的好壞直接取決于攻擊簽名數(shù)據(jù)庫的好壞。 異常檢測（ Abnormal Detection） 在異常檢測中，首先要為系統(tǒng)設(shè)立一個正?；顒拥牡拙€（ Baseline）。它包括這樣一些內(nèi)容：網(wǎng)絡(luò)業(yè)務(wù)流負(fù)荷的狀態(tài)、故障死機(jī)、通信協(xié)議，及典型的數(shù)據(jù)包長度。在采用異常檢測時，探測器監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)段并將當(dāng)前狀態(tài)與正常底線狀態(tài)相比較，以識別異常狀況。 入侵檢測系統(tǒng)的分類 入侵檢測系統(tǒng)的分類 基于網(wǎng)絡(luò)的系統(tǒng)（ Networkbased IDS） 基于網(wǎng)絡(luò)的系統(tǒng)也稱為 NIDS。 NIDS對流過網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行逐個檢查和評估，以確定該數(shù)據(jù)包是否是由黑客特意設(shè)計的數(shù)據(jù)包。這些數(shù)據(jù)包能夠逃過許多防火墻的簡單過濾規(guī)則的過濾，進(jìn)入到內(nèi)部網(wǎng)絡(luò)。 基于主機(jī)的系統(tǒng)（ Hostbased IDS） 在基于主機(jī)的系統(tǒng)中， IDS對單臺計算機(jī)或主機(jī)上的網(wǎng)絡(luò)活動進(jìn)行檢查。進(jìn)行評估的項(xiàng)目包括：對重要系統(tǒng)文件的修改、異常的或過度的 CPU活動、 root或管理權(quán)限的濫用等。 入侵檢測系統(tǒng)的分類 被動系統(tǒng)（ Passive IDS） 在被動系統(tǒng)中， IDS僅檢測潛在的安全缺陷，記錄可疑信息，并發(fā)出提示信息或報警，而系統(tǒng)并不采取任何直接的行動。 反動系統(tǒng)（ Reactive IDS） 在反