【文章內(nèi)容簡介】 ，對計(jì)算機(jī)網(wǎng)絡(luò)的認(rèn)識和要求也不同。 計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使計(jì)算機(jī)網(wǎng)絡(luò)安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了病毒的種類，而且許多攻擊都是致命的。由于互聯(lián)網(wǎng)本身的性質(zhì)沒有失控和地域的限制，每種新攻擊手段在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行攻擊導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)及系統(tǒng)癱瘓。變種新出現(xiàn)的攻擊方法更具智能化，攻擊目標(biāo)直接指向互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次，而且黑客手段不斷升級翻新，因此，計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大 挑戰(zhàn)。 5 第 3 章 網(wǎng)絡(luò)安全的威脅因素 網(wǎng)絡(luò)安全的威脅因素 歸納起來，針對網(wǎng)絡(luò)安全的威脅主要有 :軟件漏洞、配置不當(dāng)、安全意識不強(qiáng)、病毒、黑客攻擊等。 〔 1〕 軟件漏洞： 每一個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計(jì)算機(jī)處于危險(xiǎn)的境地，一旦連接入網(wǎng)，將成為眾矢之的。 〔 2〕 配置不當(dāng) : 安全配置不當(dāng)造成安全漏洞，例如，防火墻軟件的配置不正確，那么它根本不起作用。對特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動時(shí)，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用 軟件也會被啟用。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則，安全隱患始終存在。 〔 3〕 安全意識不強(qiáng) : 用戶口令選擇不慎，或?qū)⒆约旱膸ぬ栯S意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。 〔 4〕 病毒 : 目前數(shù)據(jù)安全的頭號大敵是計(jì)算機(jī)病毒，它是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點(diǎn)。因此，提高對病毒的防范刻不容緩。 〔 5〕 黑客 攻擊 : 對于計(jì)算機(jī)數(shù)據(jù)安全構(gòu)成威脅的另一個(gè)方面 是來自電腦黑客 (backer)。電腦黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng)，其危害性非常大。從某種意義上講，黑客對信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。 本章小結(jié) 目前，針對網(wǎng)絡(luò)安全的威脅因素歸納為以下幾點(diǎn)：軟件漏洞、配置不當(dāng)、安全意識不強(qiáng)、病毒、黑客攻擊等。軟件漏洞是每一個(gè)系統(tǒng)或網(wǎng)絡(luò)軟件不可避免的，安全漏洞是由于安全配置不當(dāng)而造成。用戶口令選擇不慎或?qū)⒆约旱馁~號隨意轉(zhuǎn)借他人或與他人共享帶來網(wǎng)絡(luò)安全問題，這是由于安全意識不強(qiáng)；病毒已成為數(shù)據(jù)安全的頭號大敵，而且其具有傳 6 染性、寄生性、隱蔽 性、觸發(fā)性、破壞性等特點(diǎn)；威脅計(jì)算機(jī)數(shù)據(jù)安全的另一方面來自電腦黑客，其危害性非常大，尤其在信息安全方面危害甚至比一般電腦病毒更為嚴(yán)重。 7 第 4 章 幾種常用的網(wǎng)絡(luò)安全技術(shù) 防火墻技術(shù) 網(wǎng)絡(luò)安全所說的 防火墻 (Fire Wall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點(diǎn)上。所有來自 Inter（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。 防火墻的主要功 能 防火墻的主要功能包括： 〔 1〕 防火墻可以對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，從而過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。 〔 2〕 防火墻可以關(guān)閉不使用的端口，而且它還能禁止特定端口的輸出信息。 〔 3〕 防火墻可以禁止來自特殊站點(diǎn)的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務(wù)和控制非法用戶對網(wǎng)絡(luò)的訪問。 〔 4〕 防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對 Inter 上特殊站點(diǎn)的訪問。 〔 5〕 防火墻提供了監(jiān)視 Inter 安全和預(yù)警的方便端點(diǎn)。 防火墻的主要 優(yōu)點(diǎn) 防火墻的主要優(yōu)點(diǎn)包括 : 〔 1〕 可 作為網(wǎng)絡(luò)安全策略的焦點(diǎn) 防火墻可作為網(wǎng)絡(luò)通信的阻塞點(diǎn)。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來，將承擔(dān)風(fēng)險(xiǎn)的范圍從整個(gè)內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺或幾臺主機(jī)上。從而在結(jié)構(gòu)上形成了一個(gè)控制中心，極大地加強(qiáng)了網(wǎng)絡(luò)安全，并簡化了網(wǎng)絡(luò)管理。 〔 2〕 可以有效記錄網(wǎng)絡(luò)活動 由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間，即所有傳輸?shù)男畔⒍紩┻^防火墻。所以，防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，提供監(jiān)視、管理與審計(jì)網(wǎng)絡(luò)的使用和預(yù)警功能。 〔 3〕 為解決 IP 地址危機(jī)提供了可行方 案 8 由于 Inter 的日益發(fā)展及 IP 地址空間有限，使得用戶無法獲得足夠的注冊 IP 地址。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 的最佳位置。 NAT 有助于緩和 IP 地址空間的不足。 防火墻的主要缺陷 由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點(diǎn)，使它不能完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有： 〔 1〕 防火墻對繞過它的攻擊行為無能為力。 〔 2〕 防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件。 〔 3〕 防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來支持。網(wǎng)絡(luò)安全性的提高往往是 以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價(jià)。 防火墻的分類 防火墻的實(shí)現(xiàn)從層次上大體可分為三類：包過濾防火墻，代理防火墻和復(fù)合型防火墻。 〔 1〕 包過濾防火墻 包過濾防火墻是在 IP 層實(shí)現(xiàn)，它可以只用路由器來實(shí)現(xiàn)。包過濾防火墻根據(jù)報(bào)文的源 IP 地址，目的 IP 地址、源端口、目的端口和報(bào)文傳遞方向等報(bào)頭信息來判斷是否允許有報(bào)文通過。 包過濾路由器的最大優(yōu)點(diǎn)是：對用戶來說是透明的，即不需要用戶名和密碼來登陸。 包過濾路由器的弊端是明顯的，由于它通常沒有用戶的使用記錄，我們不能從訪問中發(fā)現(xiàn)黑 客的攻擊記錄。它還有一個(gè)致命的弱點(diǎn)，就是不能在用戶級別上進(jìn)行過濾，即不能識別用戶與防止 IP地址的盜用。如果攻擊者將自己的主機(jī)設(shè)置為一個(gè)合法主機(jī)的 IP地址，則很容易地通過包過濾防火墻。 〔 2〕 代理防火墻 代理防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻，包過濾防火墻可以按照 IP 地址來禁止未授權(quán)者的訪問。但它不適合單位用來控制內(nèi)部人員訪問外部網(wǎng)絡(luò)，對于這樣的企業(yè)，應(yīng)用代理防火墻是更好的選擇。 代理服務(wù)是設(shè)置在 Inter 防火墻網(wǎng)關(guān)上的應(yīng)用，是在網(wǎng)管員允許下或拒絕的特定 9 的應(yīng)用程序或者特定服務(wù)，一般情況下可應(yīng)用于特定的互聯(lián)網(wǎng)服 務(wù)，如超文本傳輸、遠(yuǎn)程文件傳輸?shù)取Ｍ瑫r(shí)還可應(yīng)用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。 應(yīng)用層網(wǎng)關(guān)包括應(yīng)用代理服務(wù)器、回路級代理服務(wù)器、代管服務(wù)器、 IP 通道、網(wǎng)絡(luò)地址轉(zhuǎn)換器、隔離域名服務(wù)器和郵件技術(shù)等。 〔 3〕 復(fù)合型防火墻 復(fù)合型防火墻是將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用，從而實(shí)現(xiàn)了網(wǎng)絡(luò)安全性、性能和透明度的優(yōu)勢互補(bǔ)。 隨著技術(shù)的發(fā)展，防火墻產(chǎn)品還在不斷完善、發(fā)展。目前出現(xiàn)的新技術(shù)類型主要有以下幾種：狀態(tài)監(jiān)視技術(shù)、安全操作系統(tǒng)、自適應(yīng)代理技術(shù)、