【正文】 就會(huì)越復(fù)雜；在大型應(yīng)用環(huán)境中，防火墻的規(guī)則庫至少有上萬條記錄，而隨著過濾的應(yīng)用種類的提高，規(guī)則數(shù)往往會(huì)以趨進(jìn)幾何級(jí)數(shù)的程度上升，這是對(duì)防火墻的負(fù)荷是很大的考驗(yàn)，使用不同的處理器完成不同的功能可能是解決辦法之一，例如利用集成專有算法的協(xié)處理器來專門處理規(guī)則判斷，在防火墻的某方面性能出現(xiàn)較大瓶頸時(shí)，我們可以單純地升級(jí)某個(gè)部分 的硬件來解決，這種設(shè)計(jì)有些已經(jīng)應(yīng)用到現(xiàn)有的產(chǎn)品中了，也許未來的防火墻產(chǎn)品會(huì)呈現(xiàn)出非常復(fù)雜的結(jié)構(gòu)，當(dāng)然，從某種角度來說，我們祈禱這種狀況最好還是不要發(fā)生。相信這一方面的功能在未來會(huì)有很大幅度的增強(qiáng)，同時(shí)這也是眾多安全系統(tǒng)中一個(gè)需要共同面對(duì)的問題。 模式轉(zhuǎn)變 傳統(tǒng)的防火墻通常都設(shè)置在網(wǎng)絡(luò)的邊界位置，不論是內(nèi)網(wǎng)與外網(wǎng)的邊界，還是內(nèi)網(wǎng)中的不同子網(wǎng)的邊界，以數(shù)據(jù)流進(jìn)行分隔，形成安全管理區(qū)域。 網(wǎng)絡(luò)安全第五線：數(shù)據(jù)備份 數(shù)據(jù)備份我就不想多說了，不過我建議用 Ghost 進(jìn)行備份。每一位聽說過它的黑客都想攻破它。這樣才能發(fā)揮其最大的威力。有的人喜歡追求國際權(quán)威，當(dāng)然我不是否認(rèn)國際權(quán)威反病毒軟件的防毒能力。 網(wǎng)絡(luò)安全第三線：反病毒監(jiān)控 我有深刻的體會(huì)：我的反病毒監(jiān)控一個(gè)月至少能在我上網(wǎng)時(shí)截獲 3 個(gè)或更多的病毒。除了可以增強(qiáng)兼容性外，更重要的是堵上已發(fā)現(xiàn)的安全漏洞。從前，我從沒有注意到該服務(wù)，直到我在學(xué)習(xí)網(wǎng)絡(luò)監(jiān)聽和隱藏時(shí)才發(fā)現(xiàn)該項(xiàng)服務(wù)存在極大的 安全隱患！因此，我個(gè)人建議禁止該服務(wù)。 Tel 就是一個(gè)非常典型的例子！讓我們先看看在 Windows2021 的服務(wù)中是怎么解釋的： “允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序。在密鑰建成后需要通過 IIS 的控制臺(tái)配置 SSL，可以配置的選項(xiàng)包括密鑰設(shè)置、是否要求客戶端證書以及客戶端證書映射等。 在 IIS 中可以方便的通過 SSL 建立數(shù)據(jù)傳輸?shù)陌踩?。詢問信息提供了建立安全渠道的重要信息。在連接階段，建立安全連接，一旦算法達(dá)成協(xié)議，就交換密鑰，接著驗(yàn)證身份，然后開始數(shù)據(jù)傳輸。 SSL 實(shí)現(xiàn)信息傳輸安全 在 Inter 傳輸?shù)乃袛?shù)據(jù)都暴露于任何網(wǎng)絡(luò)客戶面前，任何對(duì)通信進(jìn)行監(jiān)測的人都可以對(duì)通信的數(shù)據(jù)進(jìn)行截取和修改。在實(shí)現(xiàn)時(shí)可以通過一段緩存解決這個(gè)問題，具體方法是過濾器裝載時(shí)在內(nèi)存中開辟一段空間，用以保存近來訪問服務(wù)器的客戶的密碼和用戶名以及對(duì)應(yīng)的系統(tǒng)密碼和用戶名。 IIS 以 HTTP 的挑戰(zhàn) /響應(yīng)機(jī)制結(jié)合 Windows NT（包括Windows ,Windows 2021 Server 系列 ,windows Server2021）的用戶數(shù)據(jù)庫驗(yàn)證客戶的身份，而 Windows NT（包括 Windows ,Windows 2021 Server系列 ,windows Server2021）的用戶數(shù)目是有限的， 并且直接以 NT 用戶訪問存在著不安全的因素，所以在過濾器中引入專用的用戶訪問數(shù)據(jù)庫 客戶匿名訪問時(shí)，過濾器直接返回，保證客戶可以訪問非保密的資源。 ISAPI 過濾器實(shí)現(xiàn)信息存儲(chǔ)安全 通過 ISAPI 過濾器可以對(duì)客戶的身份進(jìn)行驗(yàn)證，控制訪問的客戶，從而實(shí)現(xiàn)系統(tǒng)存儲(chǔ)的信息安全。 ISAPI 過濾器的作用機(jī)制如圖 1 所示。例如 ,它可以過濾掉FTP連接中的 PUT命令 ,而且通過代理應(yīng)用 ,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄?；趯?duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮 ,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測 ,在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上 ,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道 ,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間 ,完全阻擋了二者間的數(shù)據(jù)交流。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。 在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。有經(jīng)驗(yàn)的黑客很容易偽造 IP 地址 ,騙過包過濾型防火墻。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。 根據(jù)防火墻所采用的技術(shù)不同 ,我們可以將它分為四種基本類型 :包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換 —NAT、代理型和監(jiān)測型。在這一層上 ,企業(yè)對(duì)安全系 統(tǒng)提出的問題是 :所有的 IP 是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng) ?如果答案是 “是 ”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。 ?? 目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān) (代理服務(wù)器 )以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型 雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。對(duì)于這個(gè)問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。 網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn)：第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化；第三，隨著 網(wǎng)絡(luò)在社會(huì)個(gè)方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入 21 世紀(jì)這一信息社會(huì)、網(wǎng) 絡(luò)社會(huì)的時(shí)候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng) 的一個(gè)重要組成部分，甚至應(yīng)該看到它對(duì)我國未來電子化、信息化的發(fā)展將起到非常重要的作用。 自從 1986 年美國 Digital 公司在 Inter 上安裝了全球第一個(gè)商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到了飛速的發(fā)展。 作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障 ,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。 包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品 ,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。 包過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用 ,實(shí)現(xiàn)成本較低 ,在應(yīng)用環(huán)境比較簡單的情況下 ,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。 —NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把 IP 地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的 IP 地址標(biāo)準(zhǔn)。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。從客戶機(jī)來看 ,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器 。 代理型防火墻的優(yōu)點(diǎn)是安全性較高 ,可以針對(duì)應(yīng)用層進(jìn)行偵測和掃描 ,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。同時(shí) ,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器 ,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中 ,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊 ,同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求 ,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn) ,使得應(yīng)用過程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。過濾器在 IIS 進(jìn)程啟動(dòng)時(shí)裝載，并運(yùn)行GetFilterVison 函數(shù)， GetFilterVison 函數(shù)的目的是設(shè)置過濾器的優(yōu)先級(jí)并將事件通知的 關(guān)注點(diǎn)注冊(cè)到過濾器。在 ISAPI 過濾器中，驗(yàn)證客戶身份需要注冊(cè)的事件關(guān)注點(diǎn)是SF_AUTHENTICATION 事件，相應(yīng)的事件處理函數(shù)是 OnAuthentication。當(dāng)客戶非匿名訪問時(shí)，過濾器查找用戶數(shù)據(jù)庫，找到對(duì)應(yīng)的系統(tǒng)密碼和用戶名，并替代客戶的密碼和用戶名，然后在 IIS 中用替換的系統(tǒng)密碼和用戶名對(duì)客戶的身份進(jìn)行驗(yàn)證。在客戶訪問時(shí)，過濾器先查找緩存中有無客戶的密碼和用戶名，若沒有再查找數(shù)據(jù)庫，并將查找到的內(nèi)容寫入緩存中，由于查找緩存的時(shí)間及占用的資源遠(yuǎn)遠(yuǎn)小于對(duì)數(shù)據(jù)庫的查找，所以可以大 大提高過濾器的執(zhí)行效率。保證數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾院桶踩缘年P(guān)鍵在于防止網(wǎng)絡(luò)的監(jiān)聽和篡改。在數(shù)據(jù)傳輸階段，信息傳輸?shù)?SSL 時(shí)通過加密或解密后向下或向上傳輸。服務(wù)器端通過證書確定客戶的身份，然后發(fā)出確認(rèn)和結(jié)束信息結(jié)束握手階段，開始正常的數(shù)據(jù)傳輸。服務(wù)器建立 SSL 鏈接之前必須安裝證書。在這些設(shè)置完成后就可以實(shí)現(xiàn)信息傳輸?shù)陌踩浴?”你說，這樣的服務(wù)，你需要嗎？我個(gè)人建議禁止該服務(wù)。 Windows 還有許多服務(wù)，在此不做過多地介紹。 本人不贊成將所有補(bǔ)丁都打上?？梢?，網(wǎng)上病毒實(shí)在太多了。但是，不知道大家有沒有聽過 “遠(yuǎn)水不能救近火 ”這句話呢？當(dāng)然，國際權(quán)威對(duì)付國際上流行的病毒是絕對(duì)沒問題的，但是對(duì)付本國土生土長的病毒呢？恐怕就不一定行了。 網(wǎng)絡(luò)安全第四線：網(wǎng)絡(luò)防火墻 對(duì)于怎樣選擇網(wǎng)絡(luò)防火墻方面，我個(gè)人認(rèn)為除了上面講的選擇國產(chǎn)品牌外，我還補(bǔ)充一點(diǎn)：選擇功能強(qiáng)大而不起眼的產(chǎn)品。你說，這樣的安全性還能高嗎？ 因此，我建議選擇功能強(qiáng)大而不起眼的產(chǎn)品。有條件的朋友可以將備份刻錄到光盤中。但這種設(shè)計(jì)的最大問題是，惡意攻擊的發(fā)起不僅僅來自于外網(wǎng)，內(nèi)網(wǎng)環(huán)境同樣存在著很多安全隱患，而對(duì)于這種問題，邊界式防火墻處理起來是比較困難的，所以現(xiàn)在越來越多的防火墻產(chǎn)品也開始體現(xiàn)出一種分布式結(jié)構(gòu)，以分布式為體系進(jìn)行設(shè)計(jì)的防火墻產(chǎn)品以網(wǎng)絡(luò)節(jié)點(diǎn)為保護(hù)對(duì)象，可以最大限度地覆蓋需要保護(hù)的對(duì)象，大大提升安全防護(hù)強(qiáng)度，這不僅僅是單純的產(chǎn)品形式的變化，而是象征著防火墻產(chǎn)品防御理念 的升華。 功能擴(kuò)展 現(xiàn)在的防火墻產(chǎn)品已經(jīng)呈現(xiàn)出一種集成多種功能的設(shè)計(jì)趨勢，包括 VPN、 AAA、PKI 、 IPSec 等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時(shí)候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以 防火墻為主，還是以某個(gè)功能為主了，即其已經(jīng)逐漸向我們普遍稱之為 IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。 另外根據(jù)經(jīng)驗(yàn)，除了硬件因素之外，規(guī)則處理的方式及算法也會(huì)對(duì)防火墻性能造成很明顯的影響，所以在防火墻的軟件部分也應(yīng)該會(huì)融入更多先進(jìn)的設(shè)計(jì)技術(shù)，并衍生出更多的專用平臺(tái)技術(shù)，以期緩解防火墻的性能要求。為了使通信成功可靠，網(wǎng)絡(luò)中的所有主機(jī)都必須使用同一語言，不能帶有方言。 已經(jīng)開發(fā)了許多協(xié)議，但是只有少數(shù)被保留了下來。 NETBEUI NETBEUI 是為 IBM 開發(fā)的非路由協(xié)議，用于攜帶 NETBIOS 通信。 NETBEUI幀中唯一的地址是數(shù)據(jù)鏈路層媒體訪問控制（ MAC）地址，該地址標(biāo)識(shí)了網(wǎng)卡但沒有標(biāo)識(shí)網(wǎng)絡(luò)。 NETBEUI 特別包括了廣播通信的記數(shù)并依賴它解決命名沖突。事實(shí)上，聯(lián)合使用100BASET Ether,允許轉(zhuǎn)換 NetBIOS 網(wǎng)絡(luò)擴(kuò)展到 350 臺(tái)主機(jī)，才能避免廣播通信成為嚴(yán)重的問題。它包括 32 位網(wǎng)絡(luò)地址，在單個(gè)環(huán)境中允許有許多路由網(wǎng)絡(luò)。 TCP/IP 每種網(wǎng)絡(luò)協(xié)議都有自己的優(yōu)點(diǎn)，但是只有 TCP/IP 允許與 Inter 完全的連接。不幸的是犧牲了速度和效率（可是： TCP/IP 的開發(fā)受到了政府的資助）。 TCP/IP 的 32 位尋址功能方案不足以支持即將加入 Inter 的主機(jī)和網(wǎng)絡(luò)數(shù)。 正如 HTML 的內(nèi)容由瀏覽器解釋并在 Web 網(wǎng)站上用可視的方式表達(dá)出來一樣，VoiceXML 也必須能由語音或聲音瀏覽器理解或解釋，以通過電話表達(dá)。 利用語音瀏覽器，基于 VoiceXML 的應(yīng)用程序提供了靈活性，有利于呼叫者和內(nèi)容提供商雙方。 今天，不少公司正在將業(yè)務(wù)建立在基于語音的網(wǎng)站內(nèi)容上，提供電話訪問和提供以交互的音頻格式的數(shù)據(jù)表達(dá)。其他一些因素，如最近文本向語音轉(zhuǎn)換的質(zhì)量提高，意味著信息能 馬上以音頻格式表達(dá)，沒有了錄音的開銷和時(shí)間。它是超文本標(biāo)記語言（ HTML）和擴(kuò)展標(biāo)記語言（ XML）的始祖， HTML 成就了互聯(lián)網(wǎng)，而 XML 是在文檔、格式和數(shù)據(jù)庫等多方面定義、儲(chǔ)存和格式化數(shù)據(jù)的基本手段。例如， “(p)”表示段落， “(h1)”表示標(biāo)題，而 “(b)”后跟 “(/b)”表示括起來的文本要大寫。 例如， “(table)”可以指在 HTML 頁面上像 矩陣那樣安排內(nèi)容，或者強(qiáng)調(diào)它只是一片空白。現(xiàn)在，萬維網(wǎng)聯(lián)盟（ W3C）在 2021 年推薦的標(biāo)準(zhǔn)——可擴(kuò)展版式語言將這些機(jī)制擴(kuò)展進(jìn)來或替代了。 XSL 能給輸出文件增加成分或者去掉或忽略已有的成分。在大多數(shù)應(yīng)用中數(shù)據(jù)存儲(chǔ)成某種格式，關(guān)系數(shù)據(jù)庫是最常見的一個(gè)。 第 4 章 面向服務(wù)架構(gòu) 定義： SOA（面向服務(wù)架構(gòu)）是一種計(jì)算結(jié)構(gòu)，在此結(jié)構(gòu)中，應(yīng)用軟件只包含與其任務(wù)直接相關(guān)的程序邏輯，并使用網(wǎng)絡(luò)上的一套服務(wù)來完成更一般化的任務(wù)。 IT 機(jī)構(gòu)早在 XML 和 Web Services 出現(xiàn)之前就成功地編制和部署了 SOA 應(yīng)用程序。它是構(gòu)成應(yīng)用程序、組織 IT 基礎(chǔ)設(shè)施和業(yè)務(wù)功能標(biāo)準(zhǔn)化的一種方法。 SOA 鼓勵(lì)開發(fā)人員使用其他可選擇的技術(shù)和方法，如消息，以及通過鏈接服務(wù)來編制應(yīng)用程序，而不是編寫新的程序代碼。內(nèi)核管理存儲(chǔ)器和文件，把應(yīng)用程序與輸入／輸出設(shè)備相連以及劃分 處理器時(shí)間等。 應(yīng)用程序通過應(yīng)用程序編程接口 (API)使用內(nèi)核的功能， API 是一組由程序使用的標(biāo)準(zhǔn)例行程