【正文】 傳輸?shù)陌踩浴７?wù)器建立 SSL 鏈接之前必須安裝證書。證書可以使用 Microsoft Certificate Server 生成。新密鑰的創(chuàng)建通過(guò) IIS 密鑰管理器完成，它會(huì)根據(jù)向?qū)ё詣?dòng)請(qǐng)求服務(wù)器上安裝的Certificate Server 生成證書。在密鑰建成后需要通過(guò) IIS 的控制臺(tái)配置 SSL，可以配置的選項(xiàng)包括密鑰設(shè)置、是否要求客戶端證書以及客戶端證書映射等。在這些設(shè)置完成后就可以實(shí)現(xiàn)信息傳輸?shù)陌踩浴? 三、 個(gè)人計(jì)算機(jī)網(wǎng)絡(luò)安全防線 Windows 提供了許許多多的服務(wù)，其實(shí)有許多我們是根本也用不上的?；蛟S你還不知道，有些服務(wù)正為居心叵測(cè)的人開(kāi)啟后門。 Tel 就是一個(gè)非常典型的例子！讓我們先看看在 Windows2021 的服務(wù)中是怎么解釋的： “允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序。 ”你說(shuō)，這樣的服務(wù)，你需要嗎？我個(gè)人建議禁止該服務(wù)。 還有一個(gè)值得一提的就是 NetBIOS。對(duì)于他的功能，本文就不做過(guò)多地介紹了。從前，我從沒(méi)有注意到該服務(wù)，直到我在學(xué)習(xí)網(wǎng)絡(luò)監(jiān)聽(tīng)和隱藏時(shí)才發(fā)現(xiàn)該項(xiàng)服務(wù)存在極大的 安全隱患！因此，我個(gè)人建議禁止該服務(wù)。 Windows 還有許多服務(wù)，在此不做過(guò)多地介紹。大家可以根據(jù)自己實(shí)際情況禁止某些服務(wù)（ Windows 9x 的用戶，可以用新版的優(yōu)化大師禁用服務(wù)）。 網(wǎng)絡(luò)安全第二線：打補(bǔ)丁 Microsofe 公司時(shí)不時(shí)就會(huì)在網(wǎng)上免費(fèi)提供一些補(bǔ)丁，有時(shí)間可以去打打補(bǔ)丁。除了可以增強(qiáng)兼容性外，更重要的是堵上已發(fā)現(xiàn)的安全漏洞。 本人不贊成將所有補(bǔ)丁都打上。因?yàn)椋@樣無(wú)形中就增加了 Windows 的負(fù)擔(dān)。特別是用戶根本不用的服務(wù)的相關(guān)補(bǔ)丁，根本沒(méi)有打的必要！因此，我建議有能力的朋友可 以根據(jù)自己的實(shí)際情況根據(jù)情況打適合自己補(bǔ)丁。 網(wǎng)絡(luò)安全第三線：反病毒監(jiān)控 我有深刻的體會(huì)：我的反病毒監(jiān)控一個(gè)月至少能在我上網(wǎng)時(shí)截獲 3 個(gè)或更多的病毒?？梢?jiàn)，網(wǎng)上病毒實(shí)在太多了。一不小心，就會(huì)被感染。 我認(rèn)為最好還是選擇國(guó)產(chǎn)反病毒軟件。有的人喜歡追求國(guó)際權(quán)威，當(dāng)然我不是否認(rèn)國(guó)際權(quán)威反病毒軟件的防毒能力。但是，不知道大家有沒(méi)有聽(tīng)過(guò) “遠(yuǎn)水不能救近火 ”這句話呢？當(dāng)然，國(guó)際權(quán)威對(duì)付國(guó)際上流行的病毒是絕對(duì)沒(méi)問(wèn)題的，但是對(duì)付本國(guó)土生土長(zhǎng)的病毒呢？恐怕就不一定行了。況且，國(guó)際權(quán)威往往還會(huì)存在這樣的兩個(gè)問(wèn)題：第一， 全世界的黑客都以攻破國(guó)際權(quán)威反病毒軟件的防線為榮；第二，國(guó)際權(quán)威防病毒軟件會(huì)不會(huì)為未來(lái)戰(zhàn)爭(zhēng)留下后門呢？ 反病毒軟件不是拿來(lái)聽(tīng)的，也不是拿來(lái)看的！用反病毒軟件的根本目的是防病毒！所以，上述所講的內(nèi)容請(qǐng)大家三思。另外，安裝反病毒軟件后必須對(duì)其進(jìn)行必要的設(shè)置和時(shí)刻開(kāi)啟反病毒監(jiān)控。這樣才能發(fā)揮其最大的威力。 網(wǎng)絡(luò)安全第四線：網(wǎng)絡(luò)防火墻 對(duì)于怎樣選擇網(wǎng)絡(luò)防火墻方面，我個(gè)人認(rèn)為除了上面講的選擇國(guó)產(chǎn)品牌外，我還補(bǔ)充一點(diǎn)：選擇功能強(qiáng)大而不起眼的產(chǎn)品。為什么要這樣呢？主要原因還是為了安全。正所謂樹(shù)大好招風(fēng)，那些被所有 人都認(rèn)可產(chǎn)品固然功能強(qiáng)大，但是卻樹(shù)敵太多。每一位聽(tīng)說(shuō)過(guò)它的黑客都想攻破它。你說(shuō)，這樣的安全性還能高嗎？ 因此，我建議選擇功能強(qiáng)大而不起眼的產(chǎn)品。 或許，你會(huì)問(wèn)，為什么我在介紹選擇反病毒軟件時(shí)沒(méi)提到選擇功能強(qiáng)大而不起眼的產(chǎn)品呢？ 其實(shí)，原因很簡(jiǎn)單，制作好的反病毒軟件技術(shù)要比制作好的網(wǎng)絡(luò)防火墻要難得多！大家可以想想，現(xiàn)在讓人放心的反病毒軟件所有品牌都是經(jīng)過(guò)千錘百煉出來(lái)的。國(guó)際上有 Norton、 PCcillin 等，國(guó)內(nèi)有瑞星、殺毒王，他們這品牌創(chuàng)立的多久？經(jīng)歷了多少風(fēng)風(fēng)雨雨？反病毒技術(shù)不是說(shuō)一朝一夕就能 成熟的，因此我在介紹選擇反病毒軟件時(shí)沒(méi)提到選擇功能強(qiáng)大而不起眼的產(chǎn)品。 網(wǎng)絡(luò)安全第五線：數(shù)據(jù)備份 數(shù)據(jù)備份我就不想多說(shuō)了，不過(guò)我建議用 Ghost 進(jìn)行備份。有條件的朋友可以將備份刻錄到光盤中。這樣就可以在必要時(shí)毫不費(fèi)力的恢復(fù)自己的數(shù)據(jù)。 三、防火墻技術(shù)發(fā)展的三個(gè)發(fā)展趨勢(shì) 防火墻可說(shuō)是信息安全領(lǐng)域最成熟的產(chǎn)品之一，但是成熟并不意味著發(fā)展的停滯，恰恰相反，日益提高的安全需求對(duì)信息安全產(chǎn)品提出了越來(lái)越高的要求，防火墻也不例外，下面我們就防火墻一些基本層面的問(wèn)題來(lái)談?wù)劮阑饓Ξa(chǎn)品的主要發(fā)展趨勢(shì) 。 模式轉(zhuǎn)變 傳統(tǒng)的防火墻通常都設(shè)置在網(wǎng)絡(luò)的邊界位置，不論是內(nèi)網(wǎng)與外網(wǎng)的邊界，還是內(nèi)網(wǎng)中的不同子網(wǎng)的邊界，以數(shù)據(jù)流進(jìn)行分隔，形成安全管理區(qū)域。但這種設(shè)計(jì)的最大問(wèn)題是，惡意攻擊的發(fā)起不僅僅來(lái)自于外網(wǎng)，內(nèi)網(wǎng)環(huán)境同樣存在著很多安全隱患，而對(duì)于這種問(wèn)題，邊界式防火墻處理起來(lái)是比較困難的，所以現(xiàn)在越來(lái)越多的防火墻產(chǎn)品也開(kāi)始體現(xiàn)出一種分布式結(jié)構(gòu)，以分布式為體系進(jìn)行設(shè)計(jì)的防火墻產(chǎn)品以網(wǎng)絡(luò)節(jié)點(diǎn)為保護(hù)對(duì)象，可以最大限度地覆蓋需要保護(hù)的對(duì)象，大大提升安全防護(hù)強(qiáng)度，這不僅僅是單純的產(chǎn)品形式的變化，而是象征著防火墻產(chǎn)品防御理念 的升華。 防火墻的幾種基本類型可以說(shuō)各有優(yōu)點(diǎn)，所以很多廠商將這些方式結(jié)合起來(lái)，以彌補(bǔ)單純一種方式帶來(lái)的漏洞和不足，例如比較簡(jiǎn)單的方式就是既針對(duì)傳輸層面的數(shù)據(jù)包特性進(jìn)行過(guò)濾，同時(shí)也針對(duì)應(yīng)用層的規(guī)則進(jìn)行過(guò)濾，這種綜合性的過(guò)濾設(shè)計(jì)可以充分挖掘防火墻核心功能的能力，可以說(shuō)是在自身基礎(chǔ)之上進(jìn)行再發(fā)展的最有效途徑之一，目前較為先進(jìn)的一種過(guò)濾方式是帶有狀態(tài)檢測(cè)功能的數(shù)據(jù)包過(guò)濾，其實(shí)這已經(jīng)成為現(xiàn)有防火墻產(chǎn)品的一種主流檢測(cè)模式了，可以預(yù)見(jiàn)，未來(lái)的防火墻檢測(cè)模式將繼續(xù)整合進(jìn)更多的范疇，而這些范疇的配合也同時(shí)獲得大幅的提高。 就 目前的現(xiàn)狀來(lái)看，防火墻的信息記錄功能日益完善，通過(guò)防火墻的日志系統(tǒng)，可以方便地追蹤過(guò)去網(wǎng)絡(luò)中發(fā)生的事件，還可以完成與審計(jì)系統(tǒng)的聯(lián)動(dòng)，具備足夠的驗(yàn)證能力，以保證在調(diào)查取證過(guò)程中采集的證據(jù)符合法律要求。相信這一方面的功能在未來(lái)會(huì)有很大幅度的增強(qiáng)，同時(shí)這也是眾多安全系統(tǒng)中一個(gè)需要共同面對(duì)的問(wèn)題。 功能擴(kuò)展 現(xiàn)在的防火墻產(chǎn)品已經(jīng)呈現(xiàn)出一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括 VPN、 AAA、PKI 、 IPSec 等附加功能，甚至防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時(shí)候我們已經(jīng)無(wú)法分辨這樣的產(chǎn)品到底是以 防火墻為主，還是以某個(gè)功能為主了，即其已經(jīng)逐漸向我們普遍稱之為 IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。 有些防火墻集成了防病毒功能，這樣的設(shè)計(jì)會(huì)對(duì)管理性能帶來(lái)不少提升，但同時(shí)也對(duì)防火墻產(chǎn)品的另外兩個(gè)重要因素產(chǎn)生了影響，即性能和自身的安全問(wèn)題，所以我們的意見(jiàn)是應(yīng)該根據(jù)具體的應(yīng)用環(huán)境來(lái)做綜合的權(quán)衡，畢竟這個(gè)世界暫時(shí)還不存在什么完美的解決方案。 防火墻的管理功能一直在迅猛發(fā)展，并且不斷地提供一些方便好用的功能給管理員，這種趨勢(shì)仍將繼續(xù)，更多新穎實(shí)效的管理功能會(huì)不斷地涌現(xiàn)出來(lái)，例如短信功能，至少在大型環(huán)境里會(huì)成為標(biāo)準(zhǔn)配 置，當(dāng)防火墻的規(guī)則被變更或類似的被預(yù)先定義的管理事件發(fā)生之后，報(bào)警行為會(huì)以多種途徑被發(fā)送至管理員處，包括即時(shí)的短信或移動(dòng)電話撥叫功能，以確保安全響應(yīng)行為在第一時(shí)間被啟動(dòng)，而且在將來(lái)，通過(guò)類似手機(jī)、 PDA 這類移動(dòng)處理設(shè)備也可以方便地對(duì)防火墻進(jìn)行管理，當(dāng)然，這些管理方式的擴(kuò)展需要首先面對(duì)的問(wèn)題還是如何保障防火墻系統(tǒng)自身的安全性不被破壞。 性能提高 未來(lái)的防火墻產(chǎn)品由于在功能性上的擴(kuò)展，以及應(yīng)用日益豐富、流量日益復(fù)雜所提出的更多性能要求，會(huì)呈現(xiàn)出更強(qiáng)的處理性能要求，而寄希望于硬件性能的水漲船高肯定會(huì)出現(xiàn)瓶頸， 所以諸如并行處理技術(shù)等經(jīng)濟(jì)實(shí)用并且經(jīng)過(guò)足夠驗(yàn)證的性能提升手段將越來(lái)越多的應(yīng)用在防火墻產(chǎn)品平臺(tái)上；相對(duì)來(lái)說(shuō)，單純的流量過(guò)濾性能是比較容易處理的問(wèn)題，而與應(yīng)用層涉及越密，性能提高所需要面對(duì)的情況就會(huì)越復(fù)雜；在大型應(yīng)用環(huán)境中，防火墻的規(guī)則庫(kù)至少有上萬(wàn)條記錄，而隨著過(guò)濾的應(yīng)用種類的提高，規(guī)則數(shù)往往會(huì)以趨進(jìn)幾何級(jí)數(shù)的程度上升，這是對(duì)防火墻的負(fù)荷是很大的考驗(yàn)，使用不同的處理器完成不同的功能可能是解決辦法之一，例如利用集成專有算法的協(xié)處理器來(lái)專門處理規(guī)則判斷，在防火墻的某方面性能出現(xiàn)較大瓶頸時(shí)，我們可以單純地升級(jí)某個(gè)部分 的硬件來(lái)解決，這種設(shè)計(jì)有些已經(jīng)應(yīng)用到現(xiàn)有的產(chǎn)品中了，也許未來(lái)的防火墻產(chǎn)品會(huì)呈現(xiàn)出非常復(fù)雜的結(jié)構(gòu)，當(dāng)然，從某種角度來(lái)說(shuō)，我們祈禱這種狀況最好還是不要發(fā)生。 另外根據(jù)經(jīng)驗(yàn)，除了硬件因素之外，規(guī)則處理的方式及算法也會(huì)對(duì)防火墻性能造成很明顯的影響，所以在防火墻的軟件部分也應(yīng)該會(huì)融入更多先進(jìn)的設(shè)計(jì)技術(shù)，并衍生出更多的專用平臺(tái)技術(shù)，以期緩解防火墻的性能要求。 綜上所述，不論從功能還是從性能來(lái)講，防火墻產(chǎn)品的演進(jìn)并不會(huì)放慢速度，反而產(chǎn)品的豐富程度和推出速度會(huì)不斷的加快，這也反映了安全需求不斷上升的一種趨勢(shì)，而相對(duì) 于產(chǎn)品本身某個(gè)方面的演進(jìn)，更值得我們關(guān)注的還是平臺(tái)體系結(jié)構(gòu)的發(fā)展以及安全產(chǎn)品標(biāo)準(zhǔn)的發(fā)布，這些變化不僅僅關(guān)系到某個(gè)環(huán)境的某個(gè)產(chǎn)品的應(yīng)用情況，更關(guān)系到信息安全領(lǐng)域的未來(lái)。 四、網(wǎng)絡(luò)協(xié)議 TCP/IP、 IPX/SPX、 NETBEUI 詳細(xì)介紹 網(wǎng)絡(luò)協(xié)議 TCP/IP、 IPX/SPX、 NETBEUI 網(wǎng)絡(luò)中不同的工作站，服務(wù)器之間能傳輸數(shù)據(jù)，源于協(xié)議的存在。隨著網(wǎng)絡(luò)的發(fā)展，不同的開(kāi)發(fā)商開(kāi)發(fā)了不同的通信方式。為了使通信成功可靠，網(wǎng)絡(luò)中的所有主機(jī)都必須使用同一語(yǔ)言，不能帶有方言。因而必須開(kāi)發(fā)嚴(yán)格的標(biāo)準(zhǔn)定 義主機(jī)之間的每個(gè)包中每個(gè)字中的每一位。這些標(biāo)準(zhǔn)來(lái)自于多個(gè)組織的努力，約定好通用的通信方式，即協(xié)議。這些都使通信更容易。 已經(jīng)開(kāi)發(fā)了許多協(xié)議，但是只有少數(shù)被保留了下來(lái)。那些協(xié)議的淘汰有多中原因 設(shè)計(jì)不好、實(shí)現(xiàn)不好或缺乏支持。而那些保留下來(lái)的協(xié)議經(jīng)歷了時(shí)間的考驗(yàn)并成為有效的通信方法。當(dāng)今局域網(wǎng)中最常見(jiàn)的三個(gè)協(xié)議是 MICROSOFT 的NETBEUI、 NOVELL 的 IPX/SPX 和交叉平臺(tái) TCP/IP。 NETBEUI NETBEUI 是為 IBM 開(kāi)發(fā)的非路由協(xié)議，用于攜帶 NETBIOS 通信。 NETBEUI 缺乏 路由和網(wǎng)絡(luò)層尋址功能，既是其最大的優(yōu)點(diǎn)，也是其最大的缺點(diǎn)。因?yàn)樗恍枰郊拥木W(wǎng)絡(luò)地址和網(wǎng)絡(luò)層頭尾，所以很快并很有效且適用于只有單個(gè)網(wǎng)絡(luò)或整個(gè)環(huán)境都橋接起來(lái)的小工作組環(huán)境。 因?yàn)椴恢С致酚桑?NETBEUI 永遠(yuǎn)不會(huì)成為企業(yè)網(wǎng)絡(luò)的主要協(xié)議。 NETBEUI幀中唯一的地址是數(shù)據(jù)鏈路層媒體訪問(wèn)控制（ MAC）地址，該地址標(biāo)識(shí)了網(wǎng)卡但沒(méi)有標(biāo)識(shí)網(wǎng)絡(luò)。路由器靠網(wǎng)絡(luò)地址將幀轉(zhuǎn)發(fā)到最終目的地，而 NETBEUI 幀完全缺乏該信息。 網(wǎng)橋負(fù)責(zé)按照數(shù)據(jù)鏈路層地址在網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)通信，但是有很多缺點(diǎn)。因?yàn)樗械膹V播通信都必須轉(zhuǎn)發(fā)到 每個(gè)網(wǎng)絡(luò)中，所以網(wǎng)橋的擴(kuò)展性不好。 NETBEUI 特別包括了廣播通信的記數(shù)并依賴它解決命名沖突。一般而言，橋接 NETBEUI 網(wǎng)絡(luò)很少超過(guò) 100 臺(tái)主機(jī)。 近年來(lái)依賴于第二層交換器的網(wǎng)絡(luò)變得更為普遍。完全的轉(zhuǎn)換環(huán)境降低了網(wǎng)絡(luò)的利用率，盡管廣播仍然轉(zhuǎn)發(fā)到網(wǎng)絡(luò)中的每臺(tái)主機(jī)。事實(shí)上，聯(lián)合使用100BASET Ether,允許轉(zhuǎn)換 NetBIOS 網(wǎng)絡(luò)擴(kuò)展到 350 臺(tái)主機(jī)，才能避免廣播通信成為嚴(yán)重的問(wèn)題。 IPX/SPX IPX 是 NOVELL 用于 NETWARE 客戶端 /服務(wù)器的協(xié)議群組，避免了 NETBEUI 的弱 點(diǎn)。但是，帶來(lái)了新的不同弱點(diǎn)。 IPX 具有完全的路由能力，可用于大型企業(yè)網(wǎng)。它包括 32 位網(wǎng)絡(luò)地址，在單個(gè)環(huán)境中允許有許多路由網(wǎng)絡(luò)。 IPX 的可擴(kuò)展性受到其高層廣播通信和高開(kāi)銷的限制。服務(wù)廣告協(xié)議（ Service Advertising Protocol,SAP)將路由網(wǎng)絡(luò)中的主機(jī)數(shù)限制為幾千。盡管 SAP 的局限性已經(jīng)被智能路由器和服務(wù)器配置所克服，但是，大規(guī)模 IPX 網(wǎng)絡(luò)的管理員仍是非常困難的工作。 TCP/IP 每種網(wǎng)絡(luò)協(xié)議都有自己的優(yōu)點(diǎn)，但是只有 TCP/IP 允許與 Inter 完全的連接。 TCP/IP 是在 60 年代由麻省理工學(xué)院和一些商業(yè)組織為美國(guó)國(guó)防部開(kāi)發(fā)的，即便遭到核攻擊而破壞了大部分網(wǎng)絡(luò)， TCP/IP 仍然能夠維持有效的通信。ARPANET 就是由基于協(xié)議開(kāi)發(fā)的，并發(fā)展成為作為科學(xué)家和工程師交流媒體的Inter。 TCP/IP 同時(shí)具備了可擴(kuò)展性和可靠性的需求。不幸的是犧牲了速度和效率（可是： TCP/IP 的開(kāi)發(fā)受到了政府的資助）。 Inter 公用化以后，人們開(kāi)始發(fā)現(xiàn)全球網(wǎng)的強(qiáng)大功能。 Inter 的普遍性是 TCP/IP 至今仍然使用的原因。常常在沒(méi)有意識(shí)到的情況下，用戶就在自己的 PC 上安裝了 TCP/IP 棧，從而使該網(wǎng)絡(luò)協(xié)議在全球應(yīng)用最廣。 TCP/IP 的 32 位尋址功能方案不足以支持即將加入 Inter 的主機(jī)和網(wǎng)絡(luò)數(shù)。因而可能代替當(dāng)前實(shí)現(xiàn)的標(biāo)準(zhǔn)是 IPv6。 最后介紹一些關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全方面的知識(shí) 第 1 章 設(shè)計(jì)語(yǔ)音應(yīng)用程序包含了通過(guò)電話提交的數(shù)據(jù)表達(dá)、呼叫流程的建立以及提示和語(yǔ)法的實(shí)施。 VoiceXML 提供一個(gè)公共的規(guī)則集，作為靈活性的基礎(chǔ)，但是建立恰當(dāng)?shù)恼Z(yǔ)音系統(tǒng)的流程和個(gè)性取決于設(shè)計(jì)者。 正如 HTML 的內(nèi)容由瀏覽器解釋并在 Web 網(wǎng)站上用可視的方式表達(dá)出來(lái)一樣，VoiceXML 也必須能由語(yǔ)音或聲音瀏覽器理解或解釋，以通過(guò)電話表達(dá)。語(yǔ)音瀏覽器起到了在呼叫和因特網(wǎng)連接之間的網(wǎng)關(guān)的作用。它解釋 VoiceXML 的代碼和管理呼叫者與某個(gè)網(wǎng)站上 VoiceXML 內(nèi)容之間的對(duì)話。 語(yǔ)音瀏覽器軟件也維護(hù)呼叫，表達(dá)相當(dāng)于 URL 的語(yǔ)音提示和為音頻交互下載網(wǎng)頁(yè)。 利用語(yǔ)音瀏覽器，基于 VoiceXML 的應(yīng)用