【正文】 個控制 Inter 數(shù)據(jù)流， Intra 和 Inter 均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。目前防火墻的控制技術(shù)可分為：封包過濾型 (P acket F ilter)、封包檢驗型 (S tateful Ins pection Packet F ilter)以及應(yīng)用網(wǎng)關(guān)型 (Application Gateway)三種。但由于封包檢驗的主要檢查對象仍是個別的封包，不同的封包檢驗方式可能會產(chǎn)生極大的差異。 防火墻是為保護(hù)安全性而設(shè)計的，因此，與其一味地要求效能，不如思考如何在不影響效能的情況下提供最大的安全保護(hù)。其實，這是一種片面的錯誤認(rèn)識和十分令人擔(dān)心的危險想法。例如，一種數(shù)據(jù)驅(qū)動式的攻擊，可以導(dǎo)致主機(jī)修改與系統(tǒng)安全有關(guān)的配置文件，從而使入侵者下一次更容易攻擊該系統(tǒng)。 可是，如果防 火墻能結(jié)合接口，地址來匹配，這種攻擊就不能成功了 。 但是木馬攻擊的前提是必須先上傳，運行木馬，對于簡單的包過濾防火墻來說，是容易做的。 原先的包過濾，是拿一個一個單獨的數(shù)據(jù)包來匹配規(guī)則的。說狀態(tài)檢測必須提到動態(tài)規(guī)則技術(shù)。例如，許多簡單地允許 ICMP 回射請求、 ICMP 回射 應(yīng)答和 UDP 分組通過的防火墻就容易受到 ICMP 和 UDP 協(xié)議隧道的攻擊。攻擊者通過這個特性，可以設(shè)法連接受防火墻保護(hù)的服務(wù) 器和服務(wù) 。黑客經(jīng)常利用這些安全漏洞獲得 Wingate 的非授權(quán) Web、 Socks 和 Tel 的訪問，從而偽裝成Wingate 主機(jī)的身份對下一個攻擊目標(biāo)發(fā)動攻擊。 非授權(quán) Socks 訪問 在 Wingate 的缺省配置中， Socks 代理（ 1080 號 Tcp 端口）同樣是存在安全漏洞。 當(dāng) 然，安全并不僅僅只是以上所說的防火墻或是其他的一些安全設(shè)備，更多的因素還是在人，因為人是主體、是管理者。 參考文獻(xiàn) 網(wǎng)絡(luò)安全與防火墻技術(shù) 人民郵電出版社 黑客 X 檔案 2020 第二期 吉 林 科學(xué) 技 術(shù) 出 版 社 黑 客 防 線 2020 精 華 本 （ 攻 冊 ） 人 民 郵 電 出 版 社 計 算 機(jī) 安 全 （ ） 人 民 郵 電 出 版 社 黑 客 防 線 2020 精 華 奉 獻(xiàn) 本 人 民 郵 電 出 版 社 防 火 墻 技 術(shù) 指 南 [M] 機(jī) 械 工 業(yè) 出 版 社 I nt e r n e t 防 火 墻 技 術(shù) 新 發(fā) 展 微 電 腦 世 界 。 按下 Connections Will Be Accepted On The Following Interface Only 按鈕，并指定本 Wingate 服務(wù)器的內(nèi)部接口。 2)、 把瀏覽器的代理服務(wù)器地址指向待測試的 Wingate 主機(jī)。由于運行在應(yīng)用層速度比較慢 ， 攻擊代理的方法很多。如 CHECKPOINT 的 FIREWALL1，在監(jiān)視 FTP服務(wù)器發(fā)送給客戶端的包的過程中，它在每個包 中尋找 227這個字符串。但是，也有不少的攻擊手段對付這種防火墻的。而一些精心 構(gòu) 造的攻擊數(shù)據(jù)包由于沒有在內(nèi)存登記相應(yīng)的狀態(tài)信息，都被丟棄了?？墒呛芏嗍菦]有實現(xiàn)的。 木馬攻擊 對于包過濾防火墻最有效的攻擊就是木馬了，一 旦 你在內(nèi)部網(wǎng)絡(luò)安裝了木馬，防火墻基本上是無能為力的。他根據(jù)數(shù)據(jù)包的源 IP 地址；目的 IP 地址； TCP/UDP 源端口； TCP/UDP 目的端口來過濾！很容易受到如下攻擊： IP 欺騙攻擊 這種攻擊，主要是修改數(shù)據(jù)包的源，目的地址和端口，模仿一些合法的數(shù)據(jù)包來騙過防火墻的檢測。 “三難防”：防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。它不失為一種在內(nèi)部網(wǎng)和外部網(wǎng)之間實施的信息安全防范系統(tǒng)，這種計算機(jī)網(wǎng)絡(luò)互聯(lián)環(huán)境下的訪問控制技術(shù)，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對外屏蔽被保護(hù)網(wǎng)絡(luò)的信息，從而對系統(tǒng)結(jié)構(gòu)及其良性運行等實現(xiàn)安全防護(hù)。這種方式的控制機(jī)制可以從頭到尾有效地控制整個連線的動作，而不會被客戶端或服務(wù)器端欺騙，在管理上也不會像封包過濾型那么復(fù)雜，但可能必須針對每一種應(yīng)用寫一個專屬的代理程序，或用一個一般用途的代理程序來處理大部分連線。 封包檢驗型 : 封包檢驗型通過一個檢驗?zāi)＝M對封包中的各個層次做檢驗。再加上防火墻本身具有較強(qiáng)的抗攻擊能力，能有效地監(jiān)控內(nèi)部網(wǎng)和 Inter 之間的任何活動，從而為內(nèi)部網(wǎng)絡(luò)的安全提供了有力的保證。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。 （ 2） 屏蔽主機(jī)網(wǎng)關(guān)（ Screened Host Gateway） 屏蔽主機(jī)網(wǎng)關(guān)易于實現(xiàn)，安全性好，應(yīng)用廣泛。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)的 DNS 信息，這樣一臺主機(jī)的域名和 IP 地址就不會被外界所了解。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是一項非常重要的工作。防火 墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項中的源路由攻擊和 ICMP 重定向路徑。然后個人防火墻便記住響應(yīng)方式，并應(yīng)用于以后遇到的相同那種網(wǎng)絡(luò)通信。一旦建立了連接，在內(nèi)部計算機(jī)和 Web 站點之間來回流動的通信就都是透明的了。這種連接和轉(zhuǎn)移對該用戶來說是透明的，因為它完全是由代理防火墻自動處理的。防火墻仔細(xì) 地跟蹤傳出的請求，記錄下所使用的地址、協(xié)議和包的類型，然后對照保存過的信息核對傳入的包，以確保這些包是被請求的。 ●UDP 包。狀態(tài) /動態(tài)檢測防火墻可提供的其他一些額外的服務(wù)有： ●將某些類型的連接重定向到審核服務(wù)中去。例如，如果傳入的包包含視頻數(shù)據(jù)流，而防火墻可能已經(jīng)記錄了有關(guān)信息，是關(guān)于位于特定 IP 地址的應(yīng)用程序最近向發(fā)出包的源地址請求視頻信號的信息。 （ 2） 狀態(tài) /動態(tài)檢測防火墻 狀態(tài) /動態(tài)檢測防火墻，試圖跟蹤通過防火墻的網(wǎng)絡(luò)連接和包，這樣防火墻就可以使用一組附加的標(biāo)準(zhǔn)，以確定是否允許和拒絕通信。而且，如果黑客對專用網(wǎng)絡(luò)內(nèi)部的機(jī)器具有了不知從何得 來的訪問權(quán)，這種過濾方式可以阻止黑客從網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊。如果允許傳入 Web 連接，而目的端口為 80，則包就會被放行。具體如下： (1) 包過濾防火墻 第一代防火墻和最基本形式防火墻檢查每一個通過的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。 值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會受到 OS（操作系統(tǒng)）本身的安全性影響。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機(jī)上安裝并做好配置才可以使用。通過在因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間提供路由功能，防火墻檢查所有在這兩個網(wǎng)絡(luò)間的通信，根據(jù)這些通信是否匹配，以編好的安全策略規(guī)則來決定通過或斷開通信。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。利用轉(zhuǎn)播系統(tǒng)分時復(fù)制文件的途徑來實現(xiàn)隔離，切換時間較長，甚至需要手工完成，不 僅大大降低了訪問速度，更不支持常見的網(wǎng)絡(luò)應(yīng)用，只能完成特定的基于文件的數(shù)據(jù)交換。 面對新型網(wǎng)絡(luò)攻擊手段的不斷出現(xiàn)和高安全網(wǎng)絡(luò)的特殊需求，全新安全防護(hù)理念 安全隔離技術(shù) 應(yīng)運而生。身份認(rèn)證技術(shù)最常用 的是使用者名稱與密碼或卡片式認(rèn)證等方式。 （ 2）加解密技術(shù)（ Encryption amp。 （ 1）隧道技術(shù)（ Tunneling） 隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。 虛擬專用網(wǎng) 虛擬專用網(wǎng) (Virtual Private Network， VPN)是近年來隨著 Inter 的發(fā)展而迅速發(fā)展起來的一種技術(shù)。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應(yīng)于生成密鑰的交換方。另外 還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。 計算機(jī)病毒是我們大家都比較熟悉的一種危害計算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的破壞性程序。它不僅從一般性的防 衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在 。目前，解決第一個問題的方法主要是采用信息加密技術(shù)，而解決第二個問題，普遍采用的是防火墻技術(shù)，所謂防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。為此，本文著重討論了網(wǎng)絡(luò)安全的問題，主要包括以下兩個方面：（ 1）確保網(wǎng)絡(luò)上傳輸信息的私有性，不被非法竊取、篡改和 偽造；（ 2）限制用戶在網(wǎng)絡(luò)上（或程序）的訪問權(quán)限，防止非法用戶（或程序）的侵入。而且信息安全的內(nèi)涵也發(fā)生了根本的變化。網(wǎng)絡(luò)安全防范的重點主要有兩個方面：一是計算機(jī)病毒，二是黑客犯罪。負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸 ,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化 ,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次 ,不僅要完成傳統(tǒng)防火墻的過濾任務(wù) ,同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。 解 密： m=cd(mod n) 利用目前已經(jīng)掌握的知識和理論，分解 2048bit 的大整數(shù)已經(jīng)超過了 64位計算機(jī)的運算能力，因此在目前和預(yù)見的將來，它是足夠安全的。 Decryption）、密鑰管理技術(shù)（ Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（ Authentication）。注意隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程。另外，方案還必須能夠提供審計和記費功能，顯示何人在何時訪問了何種信息。從安全風(fēng)險來看，基于物理層的攻擊較少，基于網(wǎng)絡(luò)層的攻擊較多，而基于應(yīng)用層的攻擊最多，并且復(fù)雜多樣，難以防范。 第三代隔離技術(shù)，數(shù)據(jù)轉(zhuǎn)播隔離。入侵檢測系統(tǒng)的應(yīng)用，能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。