【正文】 通信也必須先經過堡壘主機的認證和代理，然后將其數(shù)據轉發(fā)給防火墻，通過防火墻的審查后發(fā)送至外網。包過濾路由 器位于內外網的連接處，堡壘主機只有一塊網卡，位于內部網內。該主機運行應用代理程 序，充當內、 外網的轉發(fā)器，但其關閉了正常的 IP路由功能，即數(shù)據包不能從一個網絡直接發(fā)送到另一個網絡，而是要通過運行在雙宿主主機上的代理服務程序來完成。 防火墻的實現(xiàn)方式 前面我們對防火墻的兩種基本技術一包過濾和代理服務進行了詳細的討論。同時 ,代理服務器所具有的網絡地址轉換 (NAT)功能可以屏蔽內網的 IP地址，使 Intra的網絡拓撲結構對外界 Inter來講是不可見的。 在連接建立起來后，對客戶端來說，與代理服務器交談就像與真實的服務器交談一樣，此時，代理服務扮演服務器的角色 。具有訪問 Inter功能的主機充當沒有該功能的主機的代理人來完成這些機器想做的事。他們的優(yōu)點是堡壘主機可以被設置成混合網關，對于內連接支持應用層網關 (即代理服務 ).而對外連接支持電路層功能。電路層網關對 TCP連接實行中繼。但正因為其沒有日志和審計功能，因此有很多信息不能提供，使得管理員不易對事件進行跟蹤檢查，有可能受到欺騙性攻擊。 .IP殘片攻擊 。防止這類攻擊，在過濾規(guī)則中應檢查特定 IP選項、檢驗特殊片段偏移，下面是對幾種攻擊的對策 : .源 IP地址欺騙 :這類攻擊的形式是入侵者從偽裝成內部主機的外部節(jié)點 傳送信息分組 。 通過以上三個定義我們不難看出，過濾規(guī)則的設計主要依賴于數(shù)據包所提供的包頭信息。 過濾規(guī)則設計 為完成數(shù)據 包過濾，需設計一套過濾規(guī)則以規(guī)定什么類型的數(shù)據包被轉發(fā)或被丟棄。包的進入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據包，那么該數(shù)據包就會按照路由表中的信息被轉發(fā)。 3)封裝的協(xié)議類型 (TCP、 UDP、 ICMP等 ) 4) TCP或 UDP源端口 。 數(shù)據包過濾技術是以數(shù)據包頭為基礎，按照路由器配置中的一組規(guī) 則講數(shù)據包分類，然后在網絡層對數(shù)據包進行選擇，選擇的依據是系統(tǒng)內設置的過濾邏輯 (被稱為訪問控制列表 )。 。防火墻對企業(yè)內部網實現(xiàn)集中的安全管理，在防火墻定義 的安全規(guī)則可以運用于整個內部網絡系統(tǒng)，而無需在內部網每臺機器上分別設 立安 全策略。 。防火墻是站在內網與外網交界處的“交通警察” ,它執(zhí)行站點的安全策略 ,僅僅允許認可的和符合規(guī)則的請求通過。現(xiàn)在多數(shù)防火墻都在這兩種之間采取折中措施。 防火墻一方面限制數(shù)據流通 ,一方面又允許數(shù)據流通，由于不同網 絡的安全要求和管理機制有差別，這對矛盾也有不同的表現(xiàn)形式。 防火墻是近年來發(fā)展起來的重要安全技術，其特征是通過在網絡邊界上建立相應的網絡通訊監(jiān)控系統(tǒng)來達到保障網絡安全的目的?；诰W絡的入侵檢測系統(tǒng)用于實時監(jiān)控網絡關鍵路徑的信息。 基于網絡通過連接網絡捕獲網絡包 ,并分析其是否具有已知的攻擊模式 ,以此來判別是否為入侵者。它提供對企業(yè)網絡通訊活動的監(jiān)控，捕獲和分析整個網段傳輸?shù)臄?shù)據包，檢測和識別可疑的網絡通信活動，并在這種非授權訪問發(fā)生時進行實時響應，阻止對企業(yè)數(shù)據和資源的非法存 13 取。 掃描系統(tǒng)的弱點和漏洞的分類：簡單郵件傳輸協(xié)議，強力攻擊，系統(tǒng)守護進程，遠程過程調用，網絡文件系統(tǒng)，拒絕服務， NetBIOS， NT用戶， NT注冊表， NT審計，代理服務和域名服務， WEB站點，防火墻和路由器， IP欺騙，文件傳輸協(xié)議。 VPN的使用還牽涉到加密后送出資料，及在另一端收到后解密還原資料等問題，而更高層次的安全包括進一步加密收發(fā)兩端的網絡位置。上述兩種方法可以結合使用，從而生成數(shù)字簽名。它們分別稱為公開密鑰 (Public key)和私有密鑰(Private key)。同時，這一點也使密碼更新的 12 周期加長，給其他人破譯密碼 提供了機會。 目前廣泛應用的加密技術主要分為兩類： (1)對稱算法加密 其主要特點是加解密雙方在加解密過程中要使用完全相同的密碼，對稱算法中 最常用的是 DES算法。 防火墻的局限性 : 防火墻不能防止通向站點的后門。 防火墻 （防火墻技術將在后面的章節(jié)詳細介紹） “防火墻”是一種形象的說法 ,它實際上是計算機硬件和軟件的組合 ,在網絡網關服務器上運作，在內部網與公共網絡之間建立起一個安 全網關 (security gateway),保護私有網絡資源免遭其他網絡使用者的擅用或侵入。一般而言，操作系統(tǒng)堪稱是任何應用的基礎，最常見的 WindowsNT或 Unix即使通過防火墻與安全傳輸協(xié)議也難以保證 100％的安全。 網絡服務器安全策略 網絡服務器的設立與狀態(tài)的設定相當復雜，而一臺配置錯誤的服務器將對網絡安全造成極大的威脅。 安全的信息傳輸 網絡本身就不是一種安全的信息傳輸通道。 網絡的權限控制 網絡權限控制是針對網絡非法操作提出的一種安全保護措施。加密的方法很多，其中最常見的方法有：基于單向函數(shù)的口令加密、基于測試模式的口令加密、基于公鑰加密方案的口令加密、基于平方剩余的口令加密、基于多項式共享的口令加密以及基于數(shù)字簽名方 案的口令加密等。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。下面我們分述各種訪問控制策略。 系統(tǒng)中的物理安全保密 是指系統(tǒng)的環(huán)境、計算機房、數(shù)據工作區(qū)、處理區(qū)、數(shù) 據存貯區(qū)、介質存放的安全保密措施，以確保系統(tǒng)在對信息的收集、存貯、傳遞、物理和使用過程中，秘密不至泄露。 主要防護低密級的信息。不具備上述條件的，可將計算機輻射信號的區(qū)域控制起來，不許外部人員接近。這是防止計算機輻射泄密的根本措施，這些設備 在設計和生產時，已對可能產生信息輻射的元器件、集成電路、連接線和CRT 等采取了防輻射措施，把設備的信息輻射抑制到最低限度。 9 第三 章 現(xiàn)行的一些安全技術與策略 物理措施 物理安全策略目的是保護計算機系統(tǒng)、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限，防止用戶越權操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。篡改信息是攻擊者有選擇地修改、刪除、延誤、重排序以及復制真正的 消息或插入虛假的消息。由于攻擊者并不修改傳輸?shù)膬热?，被動攻擊是很難發(fā)現(xiàn)的，但是可以通過加密技術 （如 :鏈路加密、端對斷加密等 )來防止該類的攻擊，所以對于被動攻擊應是以防范為主。 偽造 (Fabrication):未授權的攻擊方利用偽造的信息誘騙系統(tǒng)。通常，信息服務要通過信息傳輸實現(xiàn)，故存在以一文件或存儲器作為源端，以另一文件或用戶為目的端的信息流。為了實現(xiàn)上述各種服務，安全體系結構建議采用加密、數(shù)字簽名、鑒別、數(shù)據完整性、公 證等幾種安全機制。 . 信息流保密 :即對有可能從觀察信息流就能推導出的信息提供保密。 .選擇字段的數(shù)據連接完整性 :該服務提供在連接上傳送的選擇字段的完整性 ，并能確定所選字段是否已被修改、插入、刪除或重放。 訪問控制 :計算機網絡訪問控制服務可以防治沒有被授權的用戶非法使用計算機系統(tǒng)資源。 數(shù)據源鑒別 :這是計算機網絡傳輸協(xié)議中第 N層向第 N+1層提供的服務 。 安全服務與安全機制 針對計算機網絡系統(tǒng)受到威脅， OSI安全體系結構提出了六類安全服務。3怎樣保護 。 安全不僅是技術問題更重要的是管理問題。 機密性 (Confidentiality)定義哪些信息不能被窺探、哪些網絡資源不能被未授權者訪問 。審計管理負責收集并處理用戶使用網絡資源的有關數(shù)據 。國際標準化組織 ISO把 網絡管理劃分為五個領域，包括故障、性能、配置、審計和安全管理。我們必須充分認識到問題的嚴重性、迫切性，進行網絡安全的研究，發(fā)展自主的網絡安全系統(tǒng)、網絡安全工具。 信息共享和信息安全是一對矛盾。 網絡安全事件己從神秘走到現(xiàn)實中來，他們已不是人們想象中的孩子的惡作劇，他們從早期的破壞數(shù)據、竊取信息，發(fā)展到威脅國家的經濟發(fā)展，國家主權的安危?，F(xiàn)代的計算機網絡中包含了各種局域網、計算機、數(shù)據庫、工作站等等。到了 1988年， Inter成了通信的一種基本工具，由于各行各業(yè)人員的加入， Inter原由的潛在的問題 (原先欠考慮 )暴露出來。 從應用的角度看 ， Inter提供了許多應用服務，如 :EMAIL、 WWW、 FTP、TELNET、 NEWS、 網上聊天等等，尤其是 WWW技 術的發(fā)展，又進一步促進了 Inter的廣泛使用。 ARPA基于分組交換的概念，在網絡建設和應用發(fā)展的過程中，逐步產生了 TCP八 P這一廣泛應用的網絡標準。內部網絡的安 全問題是每個建網單位面臨的最大問題 ,可以認為防火墻技術是解決網絡安全的一個主要手段 ,該文研究了防火墻的原理及其實現(xiàn)手段 。 作為一個面向大眾的開放系統(tǒng) ,計算機網絡面臨著來自各方面的威脅和攻擊 .因此 ,網絡安全系統(tǒng)的構建是一個非常重要的問題 ,它涉及到從系統(tǒng)硬件到軟件 ,從單機到網絡的各個方面 .該文系統(tǒng)地介紹了網絡安全的概念、 OSI 及 Inter的安全體系結構 ,并討論了計算機網絡面臨的各種安全威脅 。數(shù)據加密技術是網絡安全核心技術之一 ,該文從數(shù)據加密算法 這個方面介紹目前常用的算法種類，并且做出一個加密 /解密器 關鍵字： 網絡安全；威脅與攻擊； 防火墻； 入侵檢測； 安全策略； 數(shù)據加密 VPN 4 Computer work system security technology Abstract The openness of the Inter, international and Rhodesia, and TCP/IP agreement in the formulation, itself a mistake, the issue of work security has bee increasingly the extensive application of puter work technology, security problem could not be ignored. Computer work, as an open system, has to face up to various threats and attacks. So the establishment of a work security system is crucial and it involves aspects from the hard ware to the soft ware of the system. In this paper, the concept of work security and security structures of OSI and Inter is introduced, and various threats confronting the puter work are also discussed. Several kinds of work information security technologies, including firewall technology, virtual private work, intrusion detection system, data encryption technology, identity authentication and security protocol etc. are also examined. The security of internal work is the biggest problem in the construction of each work. The solution to this problem lies in setting up a firewall. The theory of a firewall and the approach to its actualization is studied. Intrusion detection system (IDS), an important part of the puter work security system, has gained extensive attention. IDS monitors the puter and work traffic for intrusion and suspicious activities. It not only detects the intrusion from the extra hacker, but also the intra users. The emergence of virtual private work paves the way for realizing secure connection of LAN quickly and at a relatively low cost The concept, function,