【正文】 客犯罪。所以，建立網(wǎng)絡(luò)安全保護(hù)措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。而且信息安全的內(nèi)涵也發(fā)生了根本的變化。因此，安全并不僅僅只是以上所 說的防火墻等安全設(shè)備，更多的因素還是在人，因?yàn)槿耸侵黧w、是管理者。為此，本文著重討論了網(wǎng)絡(luò)安全的問題，主要包括以下兩個(gè)方面：（ 1）確保網(wǎng)絡(luò)上傳輸信息的私有性，不被非法竊取、篡改和 偽造；（ 2）限制用戶在網(wǎng)絡(luò)上（或程序）的訪問權(quán)限，防止非法用戶（或程序）的侵入。 網(wǎng)絡(luò)安全與防火墻技術(shù) 1 摘 要 本文比較詳細(xì)的介紹了網(wǎng)絡(luò)安全的基礎(chǔ)知識(shí)，以及防火墻的基本知識(shí)、實(shí)現(xiàn)方法、基本功能、主要類型、防火墻的應(yīng)用和分析，通過對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、防火墻的一些缺陷以及系統(tǒng)漏洞的分析，運(yùn)用 superscan、 xscan 等工具掃描漏洞，找出可行之方法，達(dá)到繞過防火墻對(duì)系統(tǒng)進(jìn)行攻擊的目的。目前，解決第一個(gè)問題的方法主要是采用信息加密技術(shù)，而解決第二個(gè)問題，普遍采用的是防火墻技術(shù)，所謂防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。因此，在關(guān)注網(wǎng)絡(luò)安全的同時(shí)，我們更應(yīng)該關(guān)注管理員的素質(zhì)和管理水平，一支高素質(zhì)的管理員隊(duì)伍會(huì)使網(wǎng)絡(luò)的安全性倍增。它不僅從一般性的防 衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在 。 網(wǎng)絡(luò)安 全防范的內(nèi)容 一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完整性、保密性和真實(shí)性等特點(diǎn)。 計(jì)算機(jī)病毒是我們大家都比較熟悉的一種危害計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的破壞性程序。它對(duì)兩個(gè)或多個(gè) 網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。另外 還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。如果在交換階段私有密鑰未曾泄露，那么機(jī)密性和報(bào)文完整性就可以得以保證。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對(duì)應(yīng)于生成密鑰的交換方。 RSA 算法是 Rivest、 Shamir 和 Adleman 于 1977 年提出的第一個(gè)完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。 虛擬專用網(wǎng) 虛擬專用網(wǎng) (Virtual Private Network， VPN)是近年來隨著 Inter 的發(fā)展而迅速發(fā)展起來的一種技術(shù)。 虛擬專用網(wǎng)實(shí)際上就是將 Inter 看作一種公有數(shù)據(jù)網(wǎng)，這種公有網(wǎng)和 PSTN 網(wǎng)在數(shù)據(jù)傳輸上沒有本質(zhì)的區(qū)別，從用戶觀點(diǎn)來看，數(shù)據(jù)都被正確傳送到了目的地。 （ 1）隧道技術(shù)（ Tunneling） 隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。 被封裝的 數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。 （ 2）加解密技術(shù)（ Encryption amp?，F(xiàn)行密鑰管理技術(shù)又分為 SKIP 與 ISAKMP/OAKLEY 兩種。身份認(rèn)證技術(shù)最常用 的是使用者名稱與密碼或卡片式認(rèn)證等方式。選擇一個(gè)合適的 VPN 解決方案可以有效地防范網(wǎng)絡(luò)黑客的惡意攻擊。 面對(duì)新型網(wǎng)絡(luò)攻擊手段的不斷出現(xiàn)和高安全網(wǎng)絡(luò)的特殊需求，全新安全防護(hù)理念 安全隔離技術(shù) 應(yīng)運(yùn)而生。采用完全獨(dú)立的設(shè)備、存儲(chǔ)和線路來訪問不同的網(wǎng)絡(luò)，做到了完全的物理隔離，但需要多套網(wǎng)絡(luò)和系統(tǒng)，建設(shè)和維護(hù)成本較高。利用轉(zhuǎn)播系統(tǒng)分時(shí)復(fù)制文件的途徑來實(shí)現(xiàn)隔離，切換時(shí)間較長，甚至需要手工完成，不 僅大大降低了訪問速度，更不支持常見的網(wǎng)絡(luò)應(yīng)用，只能完成特定的基于文件的數(shù)據(jù)交換。此技術(shù)通過專用通信硬件和專有交換協(xié)議等安全機(jī)制，來實(shí)現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換，不僅解決了以往隔離技術(shù)存在的問題，并且在網(wǎng)絡(luò)隔離的同時(shí)實(shí)現(xiàn)高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，它透明地支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā) 展方向。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。 6 第二章 防火墻概述 在 20 世紀(jì) 80 年代中期，網(wǎng)絡(luò)衛(wèi)士隨著信息戰(zhàn)爭威脅的萌芽應(yīng)運(yùn)而生了。通過在因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間提供路由功能，防火墻檢查所有在這兩個(gè)網(wǎng)絡(luò)間的通信，根據(jù)這些通信是否匹配，以編好的安全策略規(guī)則來決定通過或斷開通信。 防火墻邏輯位置 : 在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter 之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。之所以加上 所謂 二字是針對(duì)芯片級(jí)防火墻說的了。 值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會(huì)受到 OS（操作系統(tǒng)）本身的安全性影響。專有的 ASIC 芯片促使它們比其他種類的防火墻速度更快，處理 能力更強(qiáng)，性能更高。具體如下： (1) 包過濾防火墻 第一代防火墻和最基本形式防火墻檢查每一個(gè)通過的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。防火墻的任務(wù)，就是作為 “通信警察 ”，指引包和截住那些有危害的包。如果允許傳入 Web 連接，而目的端口為 80，則包就會(huì)被放行。通常，為了安全起見，與傳入規(guī)則不匹配的包就被丟棄了。而且，如果黑客對(duì)專用網(wǎng)絡(luò)內(nèi)部的機(jī)器具有了不知從何得 來的訪問權(quán)，這種過濾方式可以阻止黑客從網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊。 ●丟棄從公共網(wǎng)絡(luò)傳入的包，而這些包都有你的網(wǎng)絡(luò)內(nèi)的源地址，從而減少IP 欺騙性的攻擊。 （ 2） 狀態(tài) /動(dòng)態(tài)檢測防火墻 狀態(tài) /動(dòng)態(tài)檢測防火墻，試圖跟蹤通過防火墻的網(wǎng)絡(luò)連接和包，這樣防火墻就可以使用一組附加的標(biāo)準(zhǔn)，以確定是否允許和拒絕通信。允許和拒絕包的決定完全取決于包自身所包含的信息，如源地址、目的地址、端口號(hào)等。例如，如果傳入的包包含視頻數(shù)據(jù)流，而防火墻可能已經(jīng)記錄了有關(guān)信息，是關(guān)于位于特定 IP 地址的應(yīng)用程序最近向發(fā)出包的源地址請(qǐng)求視頻信號(hào)的信息。只有未被請(qǐng)求的傳入通信被截?cái)唷顟B(tài) /動(dòng)態(tài)檢測防火墻可提供的其他一些額外的服務(wù)有： ●將某些類型的連接重定向到審核服務(wù)中去。當(dāng)建立起一個(gè) TCP 連接時(shí)，通過的第一個(gè)包被標(biāo)有包的 SYN 標(biāo)志。 ●UDP 包。可是，如果防火墻跟蹤包的狀態(tài)，就可以確定。防火墻仔細(xì) 地跟蹤傳出的請(qǐng)求，記錄下所使用的地址、協(xié)議和包的類型，然后對(duì)照保存過的信息核對(duì)傳入的包，以確保這些包是被請(qǐng)求的。另外，如果不為特定的應(yīng)用程序安裝代理程序代碼，這種服務(wù)是不會(huì)被支持的，不能建立任何連接。這種連接和轉(zhuǎn)移對(duì)該用戶來說是透明的，因?yàn)樗耆怯纱矸阑饓ψ詣?dòng)處理的。 （ 4） NAT 討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術(shù)上講它根本不是防火墻。一旦建立了連接，在內(nèi)部計(jì)算機(jī)和 Web 站點(diǎn)之間來回流動(dòng)的通信就都是透明的了。 （ 5） 個(gè)人防火墻 現(xiàn)在網(wǎng)絡(luò)上流傳著很多的個(gè)人防火墻軟件，它是應(yīng)用程序級(jí)的。然后個(gè)人防火墻便記住響應(yīng)方式，并應(yīng)用于以后遇到的相同那種網(wǎng)絡(luò)通信。不再是計(jì)算機(jī)的操作系統(tǒng)直接通過網(wǎng)卡進(jìn)行通信，而是以操作系統(tǒng)通過和個(gè)人防火墻對(duì)話，仔細(xì)檢查網(wǎng)絡(luò)通信，然后再通過網(wǎng)卡通信。防火 墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項(xiàng)中的源路由攻擊和 ICMP 重定向路徑。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是一項(xiàng)非常重要的工作。使用防火墻就可以隱藏那些透露內(nèi)部細(xì)節(jié)的服務(wù)，如 Finger、 DNS 等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)的 DNS 信息，這樣一臺(tái)主機(jī)的域名和 IP 地址就不會(huì)被外界所了解。 (1) 雙宿主機(jī)網(wǎng)關(guān)（ Dual Homed Gateway） 這種配置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。 （ 2） 屏蔽主機(jī)網(wǎng)關(guān)（ Screened Host Gateway） 屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。對(duì)于向 Inter 公開的服務(wù)器，像 WWW、 FTP、 Mail 等 Inter 服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。再加上防火墻本身具有較強(qiáng)的抗攻擊能力，能有效地監(jiān)控內(nèi)部網(wǎng)和 Inter 之間的任何活動(dòng)，從而為內(nèi)部網(wǎng)絡(luò)的安全提供了有力的保證。不過一般人往往只注意防火墻的效能而忽略了安全性與效率之間的矛盾。 封包檢驗(yàn)型 : 封包檢驗(yàn)型通過一個(gè)檢驗(yàn)?zāi)＝M對(duì)封包中的各個(gè)層次做檢驗(yàn)。封包檢驗(yàn)型防火墻在檢查不完全的情況下，某些經(jīng)過精心設(shè)計(jì)、切割過的、原來并不允許通過的封包，在到達(dá)目的 15 地時(shí)，可因重組而被轉(zhuǎn)變成可通過的連線要求。這種方式的控制機(jī)制可以從頭到尾有效地控制整個(gè)連線的動(dòng)作，而不會(huì)被客戶端或服務(wù)器端欺騙，在管理上也不會(huì)像封包過濾型那么復(fù)雜，但可能必須針對(duì)每一種應(yīng)用寫一個(gè)專屬的代理程序，或用一個(gè)一般用途的代理程序來處理大部分連線。事實(shí)上，對(duì)大部分使用 T1 或 xDS L 連線的寬帶網(wǎng)而言，即便是使用應(yīng)用網(wǎng)關(guān)型也不會(huì)真正影響網(wǎng)絡(luò)的使用效能。它不失為一種在內(nèi)部網(wǎng)和外部網(wǎng)之間實(shí)施的信息安全防范系統(tǒng)，這種計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)環(huán)境下的訪問控制技術(shù)，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對(duì)外屏蔽被保護(hù)網(wǎng)絡(luò)的信息，從而對(duì)系統(tǒng)結(jié)構(gòu)及其良性運(yùn)行等實(shí)現(xiàn)安全防護(hù)。 “一難防”：防火墻不能防范不經(jīng)由防火墻的攻擊。 “三難防”：防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。對(duì)密碼技術(shù)、電磁輻射防泄露技術(shù)、系統(tǒng)入侵防范技術(shù)、病毒防治技術(shù)等加以綜合運(yùn)用，不斷進(jìn)行革新創(chuàng)新，提高網(wǎng)絡(luò)的安全防范能力，提高對(duì)抗網(wǎng)上“黑客”或被非法攻擊以及病毒襲擾的能力，鑄起我們堅(jiān)實(shí)的信息盾牌。他根據(jù)數(shù)據(jù)包的源 IP 地址；目的 IP 地址； TCP/UDP 源端口； TCP/UDP 目的端口來過濾！很容易受到如下攻擊： IP 欺騙攻擊