【正文】 eb 頁面。例如，可以將防火墻配置成只允許從特定端口進(jìn)入的通信，只可傳到特定服務(wù)器。 一個(gè)狀態(tài) /動(dòng)態(tài)檢測防火墻可截?cái)嗨袀魅氲耐ㄐ?，而允許所有傳出的通信。一個(gè)有狀態(tài)包檢查防火墻跟蹤的不僅是包中包含的信息。當(dāng)包過濾防火墻見到一個(gè)網(wǎng)絡(luò)，包是孤立存在的。要記住，在源路由攻擊中，防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合 傳入的包包含路由信息，它覆蓋了包通過網(wǎng) 絡(luò)應(yīng)采取得正常路由，可能會(huì)繞過已有的安全程序。這條規(guī)則只允許傳入的連接為 Web 連接。建立包過濾防火墻規(guī)則的例子如下： ●對(duì)來自專用網(wǎng)絡(luò)的包，只允許來自內(nèi)部地址的包通過，因?yàn)槠渌徽_的包頭部信息。如果允許 Web 連接，但只針對(duì)特定的服務(wù)器，目的端口和目的地址二者必須與規(guī)則相匹配，才可以讓該包通過。然后，將這些信息與設(shè)立的規(guī)則相比較。 本質(zhì)上，包過濾防火墻是多址的 ，表明它有兩個(gè)或兩個(gè)以上網(wǎng)絡(luò)適配器或接口。這類防火墻由于是專用 OS（操作系統(tǒng)） ,因此防火墻本身的漏洞比較少，不過價(jià)格較高昂 。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于 PC架構(gòu)，就是說，它們和普通的家庭用的 PC 沒有太大區(qū)別。使用這類防火墻，需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。 第一種：軟件防火墻 7 軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具 有較強(qiáng)的抗攻擊能力。從目前來看，防火墻已經(jīng)成為解決網(wǎng)絡(luò)安全 問題的重要手段。 目前的 IDS 作為只能是網(wǎng)絡(luò)安全整體解決方案的一個(gè)重要部分，需要與其他安全設(shè)備之間進(jìn)行緊密的聯(lián)系，共同解決網(wǎng)絡(luò)安全問題。入侵檢測系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，這種活動(dòng)可能來自于網(wǎng)絡(luò) 的 外部和內(nèi)部。該技術(shù)是通過使用單刀雙擲開關(guān)，通過內(nèi)外部網(wǎng)絡(luò)分時(shí)訪問臨時(shí)緩存器來完成數(shù)據(jù)交換的，但存在支持網(wǎng)絡(luò)應(yīng)用少、傳輸速度慢和硬件故障率高等問題，往往成為網(wǎng)絡(luò)的瓶頸。通過硬件卡控制獨(dú)立存儲(chǔ)和分時(shí)共享設(shè)備與線路來實(shí)現(xiàn)對(duì)不同網(wǎng)絡(luò)的訪問，它仍然存在使用不便、可用性差等問題，有的設(shè)計(jì)上還存在較大的安全隱患。 隔離概 念的出現(xiàn)，是為了保護(hù)高安全度網(wǎng)絡(luò)環(huán)境，隔離產(chǎn)品發(fā)展至今共經(jīng)歷了五代。網(wǎng)絡(luò)線路被惡意切斷 或過高電壓導(dǎo)致通信中斷，屬于物理層的威脅；網(wǎng)絡(luò)地址偽裝、 Teardrop 碎片攻擊、 SYNFlood 等則屬于協(xié)議層的威脅；非法 URL 提交、網(wǎng)頁惡意代碼、郵件病毒等均屬于應(yīng)用層的攻擊。用戶類型、傳輸方法，以及由 VPN 使用的服務(wù)的混合性，增加了 VPN 設(shè)計(jì)的復(fù)雜性，同時(shí)也增加了網(wǎng)絡(luò)安全的復(fù)雜性。 （ 4）使用者與設(shè)備身份認(rèn)證技術(shù)（ Authentication） VPN 方案必須能夠驗(yàn)證用戶身份并嚴(yán)格控制只有授權(quán)用戶才能訪問VPN。加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)， VPN可直接利用現(xiàn)有技術(shù)。一旦到達(dá)網(wǎng)絡(luò)終點(diǎn)，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。 目前 VPN 主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（ Tunneling）、加解密技術(shù)（ Encryption amp。許多企業(yè)趨向于利用Inter 來替代它們私有數(shù)據(jù)網(wǎng)絡(luò)。 RSA 算法的描述如下： 公開密鑰： n=pq(p、 q 分別為兩個(gè)互異的大素?cái)?shù)， p、 q 必須保密 ) e 與 （ p1） (q1)互素 私有密鑰： d=e1 {mod(p1)(q1)} 加 密： c=me(mod n),其中 m為明文， c 為密文。非對(duì)稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計(jì)算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。 （ 2）非對(duì)稱加密技術(shù) 在非對(duì)稱加密體系中，密鑰被分解為一對(duì)（即公開密鑰和私有密鑰）。具體如下： （ 1）對(duì)稱加密技術(shù) 在對(duì)稱加密技術(shù)中，對(duì)信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。 防火墻處于 5 層網(wǎng)絡(luò)安全體系中的最底層 ,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展和電子商務(wù)的展開，嚴(yán)防黑客入侵、切實(shí)保障網(wǎng)絡(luò)交易的安全，不僅關(guān)系到個(gè)人的資金安全、商家的貨物安全，還關(guān)系到國家的經(jīng)濟(jì)安全、國家經(jīng)濟(jì)秩序的穩(wěn)定問題，因此各級(jí)組織和部門必須給予高度重視。因此針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全保護(hù)方案以確保計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性是每一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)都要認(rèn)真對(duì)待的一個(gè)重要問題。由此可以將計(jì)算機(jī)網(wǎng)絡(luò)的安全理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。由于 Inter 的開放性和超越組織與國界等特點(diǎn)，使它在安全性上存在一些隱患。雖然防火墻是一種行之有效的網(wǎng)絡(luò)安全機(jī)制，可以通過在因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間提供路由功能，保證網(wǎng)絡(luò)信息的安全，但是防火墻也有不足之處，也存在著被黑客攻擊繞過的安全漏洞，從而失去防護(hù)的作用。 關(guān)鍵字 ： 網(wǎng)絡(luò)安全 計(jì)算機(jī)網(wǎng)絡(luò) 防火墻 漏洞 Abstract This text introduced the foundation knowledge of the work safety more and detailedly, and the basic knowledge of the fire wall, carry out the application of method, basic function, main type, fire wall and analyze, pass the analysis to some blemishs and the system loophole of work structure, fire wall, make use of the superscan, xscan etc. tool to scan the loophole, find out the method that can go, attain to round the purpose that carries on the attack to the system over the fire wall. In the text to take once succeed of rounded fire wall invade as an example, carried on the simple elucidation to this, and give some outlooks of the developments trends of the suggestions and the new generation fire walls that strengthen the safe measure. Key word: Network safety Calculator work Fire wall Loophole 引 言 2 因特網(wǎng)的發(fā)展給人們的通信帶來了革命性的變革，但在獲得便利的同時(shí)，也要面對(duì)因特網(wǎng)在數(shù)據(jù)安全方面所帶來的挑戰(zhàn)。文中以一次成功的繞過防火墻的入侵為例，對(duì)此進(jìn)行了簡單的說明，并給出了一些加強(qiáng)安全措施的建議以及對(duì)新一代防火墻的 發(fā)展趨勢 的 展望 。但是，凡事都有它的兩面性。 1 第一章 網(wǎng)絡(luò)安全概述 21 世紀(jì)全世界的計(jì)算機(jī)都將通過 Inter 聯(lián)到一起，隨著 Inter的發(fā)展，豐富的網(wǎng)絡(luò)信息資源給用戶帶來了極大的方便，但同時(shí)也給上網(wǎng)用戶帶來了安全問題。 網(wǎng)絡(luò)安全的概念 國際標(biāo)準(zhǔn)化組織（ ISO）對(duì)計(jì)算機(jī)系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。計(jì)算機(jī)網(wǎng)絡(luò)不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，還要保護(hù)數(shù)據(jù)安全等。黑客犯罪是指個(gè)別人利用計(jì)算機(jī)高科技手段，盜取密碼侵入他人計(jì)算機(jī)網(wǎng)絡(luò) ，非法獲得信息、盜用特權(quán)等，如非法轉(zhuǎn)移銀行資金、盜用他人銀行帳號(hào)購物等。 目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān) (代理服務(wù)器 )以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。 加密技術(shù) 信息加密技術(shù)分為兩類：即對(duì)稱加密和非對(duì)稱加密。對(duì)稱加密技術(shù)也存在一些不足，如果交換一方有 N 個(gè)交換對(duì)象，那么他就要維護(hù) N 個(gè)私有 密鑰，對(duì)稱加密存在的另一個(gè)問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對(duì)方的。非對(duì)稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣 泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等 3 信息交換領(lǐng)域。在 RSA 體制中使用了這樣一個(gè)基本事實(shí)：到目前為止，無法找到一個(gè)有效的算法來分解兩大素?cái)?shù)之積?，F(xiàn)代企業(yè)越來 越多地利用 Inter 資源來進(jìn)行促銷、銷售、售后服務(wù)，乃至培訓(xùn)、合作等活動(dòng)。相對(duì)地，企業(yè)在這種公共數(shù)據(jù)網(wǎng)上建立的用以傳輸企業(yè)內(nèi)部信息的網(wǎng)絡(luò)被稱為私有網(wǎng)。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過的邏輯路徑稱為隧道。 Decryption） 4 對(duì)通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，確保網(wǎng)絡(luò)其他未授權(quán)的用戶無法讀取該信息。 SKIP主要是利用 DiffieHellman 的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在 ISAKMP 中，雙方都有兩把密鑰，分別用于公用、私用。 VPN 整合了范圍廣泛的用戶，從家庭的撥號(hào)上網(wǎng)用戶到辦公室連網(wǎng)的工作站，直到 ISP 的 Web 服務(wù)器。 安全隔離 網(wǎng)絡(luò)的安全威脅和風(fēng)險(xiǎn)主要存在于三個(gè)方面