【文章內容簡介】 安全性，并通過過濾不安全的服務而降低風險，只有經過精心選擇的應用協(xié)議才能通過防火墻，所以網絡環(huán)境變得更安全。（2）可以強化網絡安全策略。通過以防火墻為中心的安全方案配置，能將所有的安全軟件配置在防火墻上，體現(xiàn)集中安全管理更經濟。（3）對網絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統(tǒng)計數(shù)據(jù)，當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網絡是否受到監(jiān)測和攻擊的詳細信息。（4）防止內部信息的外泄。通過利用防火墻對內部網絡的劃分，可實現(xiàn)內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。（5）支持具有因特網服務性的企業(yè)內部網絡技術體系VPN。 防火墻的工作原理從防火墻的作用可以看出，防火墻必須具備兩個要求：保障內部網安全和保障內部網和外部網的聯(lián)通。因此在邏輯上防火墻是一個分離器、限制器、分析器。有效地監(jiān)控了內部網和外部網的任何活動，保證了內部網絡的安全，其一般邏輯位置如圖31所示。圖31 防火墻的邏輯示意圖防火墻根據(jù)功能實現(xiàn)在TCP/IP網絡模型中的層次，其實現(xiàn)原理可以分為三類：在網絡層實現(xiàn)防火墻功能為分組過濾技術；在應用層實現(xiàn)防火墻功能為代理服務技術；在網絡層，IP層，應用層三層實現(xiàn)防火墻為狀態(tài)檢測技術。分組過濾技術實際上是基于路由器技術，它通常由分組過濾路由器對IP分組進行分組選擇，允許或拒絕特定的IP數(shù)據(jù)包，工作于IP層。如表33 所示。表33 分組過濾技術工作特點應用層TCP層IP層數(shù)據(jù)鏈路層物理層過濾一般基于一個IP分組的以下各域：第一、源/目的IP地址；第二、TCP/UDP源/目的端口。前者的過濾，即根據(jù)制定的安全規(guī)則，過濾掉具有特定IP地址的數(shù)據(jù)分組，從而保護內部網絡；后者則是為分組過濾提供了更大的靈活性。代理服務技術以一個高層的應用網關作為代理服務器，接受外來的應用連接請求，在代理服務器上進行安全檢查后，再與被保護的應用服務器連接，使外部用戶可以在受控制的前提下使用內部網絡的服務，如圖32所示。圖 32 代理服務器原理示意代理服務技術工作在應用層,代理服務技術工作特點。應用層TCP層IP層數(shù)據(jù)鏈路層物理層由于代理服務作用于應用層，它能解釋應用層上的協(xié)議，能夠作復雜和更細粒度的訪問控制；同時，由于所有進出服務器的客戶請求必須通過代理網關的檢查，可以作出精細的注冊和審計記錄，并且可以與認證、授權等安全手段方便地集成，為客戶和服務提供更高層次的安全保護。（3）狀態(tài)檢測技術此技術工作在IP/TCP/應用層，它結合了分組過濾和代理服務技術的特點，它同分組過濾一樣，在應用層上檢查數(shù)據(jù)包的內容，分析高層的協(xié)議數(shù)據(jù)，查看內容是否符合網絡安全策略。狀態(tài)檢測技術工作情況應用層TCP層IP層數(shù)據(jù)鏈路層物理層 入侵檢測技術僅僅依賴防火墻并不能保證足夠的安全，為了解決非法入侵所造成的各種安全問題，安全廠商提出了建立入侵檢測系統(tǒng)的解決方法。入侵檢測技術是防火墻技術的有效補充，通過對計算機或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網絡中或系統(tǒng)中潛在的違反安全策略的行為和被攻擊的跡象。 入侵檢測系統(tǒng)入侵檢測系統(tǒng)功能構成，包括事件提取、入侵分析、入侵響應和遠程管理四部分如圖33所示。圖33 入侵檢測系統(tǒng)組成入侵檢測所利用的信息一般來自以下四個方面：系統(tǒng)和網絡日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。常用的分析方法有模式匹配、統(tǒng)計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設備等)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統(tǒng)的行為進行比較。當觀察值超出正常值范圍時，就有可能發(fā)生入侵行為。 入侵檢測分類入侵檢測通過對入侵和攻擊行為的檢測，查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。根據(jù)不同的檢測方法，將入侵檢測分為異常入侵檢測和誤用人侵檢測。異常檢測又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?！毙袨樘卣鬏喞?，通過比較當前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測，是一種間接的方法。常用的具體方法有：統(tǒng)計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。采用異常檢測的關鍵問題有如下兩個方面：(1) 特征量的選擇在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時，選取的特征量既要能準確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2) 參考閾值的選定由于異常檢測是以正常的特征輪廓作為比較的參考基準，因此，參考閾值的選定是非常關鍵的。閾值設定得過大，那漏警率會很高；閾值設定的過小，則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。由此可見，異常檢測技術難點是“正?！毙袨樘卣鬏喞拇_定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓，這樣所需的計算量很大，對系統(tǒng)的處理性能要求很高。（二）誤用檢測 又稱為基于知識的檢測。其基本前提是：假定所有可能的入侵行為都能被識別和表示。首先，對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據(jù)已經定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為，是一種直接的方法。常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析、誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。誤用檢測是根據(jù)攻擊簽名來判斷入侵的，根據(jù)對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種，同時又不會把非入侵行為包含進來。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和 應用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關系，就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發(fā)生的入侵行為有幫助，而且對即將發(fā)生的入侵也有預警作用。誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較，從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關的數(shù)據(jù)，這樣系統(tǒng)的負擔明顯減少。該方法類似于病毒檢測系統(tǒng)，其檢測的準確率和效率都比較高。入侵檢測就是通過對系統(tǒng)數(shù)據(jù)的分析、發(fā)現(xiàn)非授權的網絡訪問和攻擊行為，然后采取報警、切斷入侵線路等對抗措施。為此目的而設計的系統(tǒng)稱為入侵檢測系統(tǒng)。一個簡單的入侵檢測系統(tǒng)。入侵檢測系統(tǒng)的基本任務：通過實時檢測網絡系統(tǒng)狀態(tài)，判斷入侵行為發(fā)生，并產生報警。從功能實現(xiàn)的角度可以把這個系統(tǒng)劃分為三大模塊：信息收集模塊、信息處理與通訊模塊、入侵判斷與反應模塊。其中信息收集模塊與特定的環(huán)境，監(jiān)視的對象有比較密切的關系:信息處理與通訊模塊，是對所收集到的數(shù)據(jù)進行預處理和分類，然后把處理的結果按照一定的格式傳輸給檢測判斷模塊。最后由檢測判斷模塊根據(jù)一定的安全策略判斷入侵行為的發(fā)生并采取相應的反擊。隨著網絡系統(tǒng)結構的復雜化和大型化，系統(tǒng)的弱點或漏洞將趨向于分布式。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵的特點。入侵檢測系統(tǒng)要求可適應性、可訓練性、高效性、容錯性、可擴展性等要求。不同的IDS之間也需要共享信息，協(xié)同檢測。(Agent)技術 代理(Ageni)是指能在特定的環(huán)境下無須人工干預和監(jiān)督完成某項工作的實體。它具有自適應性、智能性和協(xié)作性。代理既能獨立地完成自己的工作，又能與其它代理協(xié)作共同完成某項任務，且代理能夠接受控制并能感知環(huán)境的變化而影響環(huán)境。代理分布于系統(tǒng)中的關鍵點及關鍵服務器，包括防火墻、對外提供各項服務的服務器、內部網關和服務器，完成絕大多數(shù)的入侵檢測和響應任務。代理可以針對特定的應用環(huán)境進行配置和編程，使得代理占用負載最小。同時，代理可以與其它代理和中心服務器進行有限的交互，交換數(shù)據(jù)和控制信息。由于代理是獨立的功能實體，在一個多代理系統(tǒng)中，單個的功能代理能夠增加到系統(tǒng)中去或從系統(tǒng)中刪除，并且能夠對某個代理進行重配置，而不會影響到系統(tǒng)的其它部分?？梢钥吹剑谝粋€由多代理組成的入侵檢測系統(tǒng)中，單個代理的失效只會影響到該代理和與之協(xié)作的部分代理，系統(tǒng)的其它部分仍能正常工作。如果能將入侵檢測系統(tǒng)的功能合理地分配給各個代理，就能大大減少系統(tǒng)失效的風險。多代理系統(tǒng)所具有的這些優(yōu)點使之能較好地解決常規(guī)入侵檢測系統(tǒng)的缺陷。 入侵檢測與防火墻實現(xiàn)聯(lián)動防火墻與入侵檢測這兩種技術具有較強的互補性。目前，實現(xiàn)入侵檢測和防火墻之間的聯(lián)動有兩種方式可以實現(xiàn)，一種是實現(xiàn)緊密結合，即把入侵檢測系統(tǒng)嵌入到防火墻中，即入侵檢測系統(tǒng)的數(shù)據(jù)來源不再來源于抓包，而是流經防火墻的數(shù)據(jù)流。所有通過的包不僅要接受防火墻檢測規(guī)則的驗證，還需要經過入侵檢測，判斷是否具有攻擊性，以達到真正的實時阻斷，這實際上是把兩個產品合成一體。但是，由于入侵檢測系統(tǒng)本身也是一個很龐大的系統(tǒng)，所以無論從實施難度、合成后的性能等方面都會因此受到很大影響。所以，目前還沒有廠商做到這一步，仍處于理論研究階段。但是不容否認，各個安全產品的緊密結合是一種趨勢。第二種方式是通過開放接口來實現(xiàn)聯(lián)動，即防火墻或者入侵檢測系統(tǒng)開放一個接口供對方調用，按照一定的協(xié)議進行通訊、警報和傳輸。目前開放協(xié)議的常見形式有:安全廠家提供IDS的開放接口，供各個防火墻廠商使用，以實現(xiàn)互動。這種方式比較靈活，不影響防火墻和入侵檢測系統(tǒng)的性能。 數(shù)據(jù)加密技術數(shù)據(jù)加密技術是網絡中最基本的安全技術，主要是通過對網絡中傳輸?shù)男畔⑦M行數(shù)據(jù)加密來保障其安全性，這是一種主動安全防御策略，用很小的代價即可為信息提供相當大的安全保護。 數(shù)據(jù)加密原理數(shù)據(jù)加密是通過某種函數(shù)進行變換，把正常數(shù)據(jù)包文（稱為明文或明碼）轉換為密文（密碼）。解密是指把密文還原成明文的過程。密碼體制是指一個系統(tǒng)所采用基本工作方式以及它的兩個基本構成要素，即加密/解密算法和密鑰。密鑰是一個數(shù)值，它和加密算法一起生成特別的密文。傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，稱為對稱密碼體制。如果加密密鑰和解密密鑰不相同，則稱為非對稱密碼體制，密鑰可以看作是密碼算法中的可變參數(shù)。從數(shù)學的角度來看，改變了密鑰，實際上也就改變了明文與密文之間等價的數(shù)學函數(shù)關系。密碼算法是相對穩(wěn)定的，在這種意義上，可以把密碼算法視為常量，而密鑰則是一個變量。在設計加密系統(tǒng)中，加密算法是可以公開的，真正需要保密的是密鑰，密鑰本質是非常大的數(shù)，密鑰大小用位表示。在公開密鑰加密方法中，密鑰越大密文就越安全。利用密碼技術，在信源和通信信道之間對報文進行加密，經過信道傳輸，到信宿接收時進行解密，以實現(xiàn)網絡通信保密。通常加密算法為：C=Ek(M)。其中，K為密鑰，M為明文，C為密文；E為加密算法，密文C是明文M使用密鑰K經過加密算法計算后的結果。加密算法可以公開，而密鑰只能由通信雙方來掌握。 對稱密鑰體系在對稱型密鑰體系中，加密和解密采用同一密鑰，故將這種體系稱為秘密密鑰密碼體制或私鑰密碼體制。 在對稱密碼體系中，最為著名的是DES分組算法，DES將二進制序列明文分為每64位一組，使用64位的密鑰，對64位二進制數(shù)進行分組加密，每輪產生一個48位的“每輪”密鑰值，并參與下一輪的加密過程，經過16輪的迭代、乘積變換、壓縮等處理后產生64位密文數(shù)據(jù)。另一個成功的分組加密算法，它的核心是一個乘法/加法非線性構件，通過8輪迭代，能使明碼數(shù)據(jù)更好地擴散和混淆[16]。 非對稱密鑰體系非對稱加密技術將加密和解密分開并采用一對不同的密鑰進行。RSA算法的原理是數(shù)論的歐拉原理：尋求兩個大的素數(shù)容易，將它們的乘積分解開及其困難，具體做法是：選擇兩個100位的十進制大素數(shù)p和q，計算出它們的積N=pq,將N公開；再計算出N的歐拉函數(shù)，Φ（N）=(p1)*(q1),定義Φ（N）為小于等于N且與N互素的數(shù)個數(shù)；然后，用戶從[0, Φ（N）1] 中任選一個與Φ（N）互素的數(shù)e，同時根據(jù)下式計算出另一個數(shù)d: ed=1 modΦ（N）這樣就產生了一對密鑰：pk=（e,N）,sk=(d,N).若用整數(shù)X表示明文，Y表示密文，則有，加密：Y= Xe modN；解密：X=Ye modN。數(shù)字信封中采用了單鑰密碼體制和公鑰密碼體制。信息發(fā)送者首先利用隨機產生的對稱密碼加密信息，再利用接收方的公鑰加密對稱密碼，被公鑰加密后的對稱密碼稱之為數(shù)字信封。信息接收方要解密信息時，必須先用自己的私鑰解密數(shù)字信封，得到對稱密碼，再利用對稱密碼解密所得到的信息，這樣就保證了數(shù)據(jù)傳輸?shù)恼鎸嵭院屯暾浴?反病毒技術 計算機病毒的介紹計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質里，當達到某種條件時，即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。隨著計算機技術的發(fā)展尤其是網絡技術的普及，計算機病毒進入了一個新的階段網絡蠕蟲病毒暴發(fā)階段，2001至今，網絡蠕蟲已經成為網絡病毒的主流。 計算機病毒的組成與分類經對目前出現(xiàn)的計算機病毒的分析發(fā)現(xiàn)，所有計算機病毒都是由三部分組成的，即病毒引導模塊、病毒傳染模塊和病毒表現(xiàn)模塊。（1）引導模塊：負責將病毒引導到內存，并向系統(tǒng)中請求一定的存儲空間，對相應的存儲空間實施保護，以防止其他程序覆蓋，并且修改系統(tǒng)的一些功能入口，在這些入口處引導病毒傳染模塊和病毒實現(xiàn)模塊。（2）傳染模塊：它是整個病毒程序的核心，傳染模塊又分為兩