【正文】 有其脆弱易受到攻擊的一面 。據(jù)美國 FBI 統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟損失高達 75 億美元，而全求平均每 20秒鐘就發(fā)生一起 Inter 計算機侵入事件。在我國，每年因黑客入侵、計算機病毒的破壞也造成了巨大的經(jīng)濟損失。人們在利用網(wǎng)絡(luò)的優(yōu)越性的同時，對網(wǎng)絡(luò)安全問題也決不能忽視。如何建立比較安全的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。 研究目的 為了解決互聯(lián)網(wǎng)時代個人網(wǎng)絡(luò)安全的問題，近年來新興了防火墻技術(shù) [2]。防火墻具有很強的實用性和針對性，它為個人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解決方案，可以有效地控制個人電腦用戶信息在互 5 聯(lián)網(wǎng) 上的收發(fā)。用戶可以根據(jù)自己的需要，通過設(shè)定一些參數(shù)，從而達到控制本機與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對本機的攻擊，比如 ICMPnood 攻擊、聊天室炸彈、木馬信息破譯并修改郵件密碼等等。而且防火墻能夠?qū)崟r記錄其它系統(tǒng)試圖對本機系統(tǒng)的訪問，使計算機在連接到互聯(lián)網(wǎng)的時候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。防火墻可以保護人們在網(wǎng)上瀏覽時免受黑客的攻擊，實時防范網(wǎng)絡(luò)黑客的侵襲，還可以根據(jù)自己的需要創(chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。防火可以有效地阻截各種惡意攻擊、保護信息的 安全 。信息泄漏攔截保證安全地瀏覽網(wǎng)頁、遏制郵件病毒的蔓延 。郵件內(nèi)容檢測可以實時監(jiān)視郵件系統(tǒng)，阻擋一切針對硬盤的惡意活動。 個人防火墻就是在單機 Windows 系統(tǒng)上，采取一些安全防護措施，使得本機的息得到一定的保護。個人防火墻是面向單機操作系統(tǒng)的一種小型安全防護軟件，按一定的規(guī)則對 TCP， UDP， ICMP 和IGMP 等報文進行過濾，對網(wǎng)絡(luò)的信息流和系統(tǒng)進程進行監(jiān)控，防止一些惡意的攻擊。目前市場上大多數(shù)的防火墻產(chǎn)品僅僅是網(wǎng)關(guān)的，雖然它們的功能相當(dāng)強大，但由于它們基于下述的假設(shè) :內(nèi)部網(wǎng)是安全可靠的，所有的威脅都來自 網(wǎng)外。因此，他們防外不防內(nèi)，難以實現(xiàn)對企業(yè)內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個撥號上網(wǎng)用戶所在主機的安全問題，而多數(shù)個人上網(wǎng)之時，并沒有置身于得到防護的安全網(wǎng)絡(luò)內(nèi)部。 個人上網(wǎng)用戶多使用 Windows 操作系統(tǒng)，而 Windows 操作系統(tǒng)， 6 特別是 WindowsXP 系統(tǒng)，本身的安全性就不高。各種 Windows 漏洞不斷被公布，對主機的攻擊也越來越多。一般都是利用操作系統(tǒng)設(shè)計的安全漏洞和通信協(xié)議的安全漏洞來實現(xiàn)攻擊。如假冒 IP 包對通信雙方進行欺騙 :對主機大量發(fā)送正數(shù)據(jù)包 [3]進行轟炸攻擊，使之際崩潰 。以及藍屏攻擊等。因此，為了保護主機的安全通信，研制有效的個人防火墻技術(shù)很有必要。 7 第二章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全問題 安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機制。我國對于計算機安全的定義是：“計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運行?！? 從技術(shù)講，計算機安全分為 3 種： 1）實體的安全。它保證硬件和軟件本身的安全。 2）運行環(huán)境的安全性。它保證計算機能在良好的環(huán)境里持續(xù)工作。 3）信息的安全性。它 保障信息不會被非法閱讀、修改和泄漏。 隨著網(wǎng)絡(luò)的發(fā)展，計算機的安全問題也延伸到了計算機網(wǎng)絡(luò)。 2.. 網(wǎng)絡(luò)安全面臨的主要威脅 一般認為，計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自計算機病毒、黑客的攻擊和拒絕服務(wù)攻擊三個方面。 1）計算機病毒的侵襲。當(dāng)前，活性病毒達 14000 多種，計算機病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個網(wǎng)絡(luò)的癱瘓。 2）黑客侵襲。即黑客非法進入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過隱蔽通道進行非法活動；采用匿名用戶訪問進行攻擊；通過網(wǎng)絡(luò)監(jiān) 8 聽獲取網(wǎng)上用戶賬號和密碼；非法獲取 網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。 3）拒絕服務(wù)攻擊。例如“點在郵件炸彈”，它的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務(wù)的運行。嚴(yán)重時會使系統(tǒng)關(guān)機，網(wǎng)絡(luò)癱瘓。 具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪問、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶??等。 影響網(wǎng)絡(luò)安全的因素 1）單機安全 購買單機時，型號的選擇；計算機的運行環(huán)境（電壓、濕度、防塵條件、強電磁場以及自然災(zāi)害等）；計算機的操作??等等，這些都是影響單機安全性的因素。 2）網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。 網(wǎng)絡(luò)安全措施 網(wǎng)絡(luò)信息安全涉及方方面面的問題，是一個復(fù)雜的系統(tǒng)。一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。二是技術(shù)方面，如信息加密存儲傳 9 輸、身份認證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。三是管理措施，包括技術(shù)與社會措施。主要措施有：提供實時改變安全策略的能力、實時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等，以防患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全 的保障，管理和審計是安全的防線。 完善計算機安全立法 我國先后出臺的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前，在這方面的立法還遠不能適應(yīng)形勢發(fā)展的需要 ,應(yīng)該在對控制計算機犯罪的國內(nèi)外立法評價的基礎(chǔ)上，完善我國計算機犯罪立法，以便為確保我國計算機信息網(wǎng)絡(luò)健康有序的發(fā)展提供強有力的保障。 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) (1) 數(shù)據(jù)加密 加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的加密類型：私匙加密和公匙加密。 (2)認證 對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使 用認證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。 (3) 防火墻技術(shù) 防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。目前，防火墻采取的技術(shù)，主要是包過濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護方面也存在一些不足：防火墻不能防止內(nèi)部攻擊防火墻不 10 能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊等。 (4)檢測系統(tǒng) 入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點，是一種積極主動的安全防護技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前 攔截相應(yīng)入侵。 隨著時代的發(fā)展，入侵檢測技術(shù)將朝著三個方向發(fā)展 :分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。 (5)防病毒技術(shù) 隨著計算機技術(shù)的發(fā)展，計算機病毒變得越來越復(fù)雜和高級，計算機病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。 (6) 文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個關(guān)鍵性的概念，因為訪問控制實現(xiàn)在兩個方面：本地和遠程。建立文件權(quán)限的時候，必須在Windows 20xx 中首先實行新技術(shù)文件系統(tǒng)（ New Technology File System， NTFS）。一旦實現(xiàn)了 NTFS，你可以使用 Windows 資源管理器在文件和文件夾上設(shè)置用戶級別的權(quán)限。你需要了解可以分配什么樣的權(quán)限，還有日?；顒悠陂g一些規(guī)則是處理權(quán)限的。 Windows 20xx 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。 11 制定合理的網(wǎng)絡(luò)管理措施 （ 1）加強網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。 （ 2）建立完善的安全管理體制和制度，以起到對管理人員和操作人員鼓勵和監(jiān)督的作用。 （ 3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。 12 第三章 防火墻概述 隨著 Inter 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多 。同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。因此，保護網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。就目前而言，對于局部網(wǎng)絡(luò)的保護，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中包過濾作為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。 防火墻的概念 防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。 [4]防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制 (允許、拒絕、監(jiān)測 )出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了 內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。 13 傳統(tǒng)防火墻介紹 目前的防火墻技術(shù)無論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個發(fā)展歷程。 圖 1 表示了防火墻技術(shù)的簡單發(fā)展歷史。 圖 1 第一代防火墻 第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾（ Packet filter）技術(shù)。 第 二代、第三代 防火墻 1989 年，貝爾實驗室的 Dave Presotto 和 Howard Trickey 推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻 ——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。 第 四代防火墻 1992 年， USC信息科學(xué)院的 BobBraden 開發(fā)出了基于動態(tài)包過濾（ Dynamic packet filter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（ Stateful inspection）技術(shù)。 1994 年，以色列的 CheckPoint 公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。 第五代防火墻 1998 年， NAI 公司推出了一種自適應(yīng)代理（ Adaptive proxy）技術(shù)，并在其產(chǎn)品 Gauntlet Firewall for NT 中得以實現(xiàn)，給代理 14 類型的防火墻賦予了全新的意義， 可以稱之為第五代防火墻。 [5] 但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡(luò)中主要的安全問題。目前網(wǎng)絡(luò)安全的三大主要問題是 :以拒絕訪問 (DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲 (Worm)為主要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。這三大安全問題占據(jù)網(wǎng)絡(luò)安全問題九成以上。而這三大問題，傳統(tǒng)防火墻都無能為力。主要有以下三個原因 : 一是傳統(tǒng)防火墻的計算能力的限制。傳統(tǒng)的防火墻是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。二是傳統(tǒng)防火墻的訪問控制機制是一個簡單的過濾機制。它是一個簡單的條件過濾器 ，不具有智能功能，無法檢測復(fù)雜的攻擊。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為。該特征決定了傳統(tǒng)的防火墻無法解決惡意的攻擊行為。 現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解決上面的問題。 智能防火墻簡介 智能防火墻 [6]是相對傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利用統(tǒng)計、記憶、概率和決策的智能方法來對數(shù)據(jù)進行識別，并達到訪問控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進行訪問控制。由于這些方法多是人工智能學(xué)科采用的方法 ，因此，又稱為智能防火墻。 15 防火墻的功能 防火墻的主要功能