【文章內(nèi)容簡介】 古代防火磚墻有類似之處，人們把這個(gè)屏障就叫做“防火墻”，其邏輯結(jié)構(gòu)如下頁圖所示。 28 防火墻的邏輯結(jié)構(gòu)示意圖 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 防火墻技術(shù) 29 防火墻的基本特性 ① 所有內(nèi)部和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻 。 ② 只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許 的數(shù)據(jù)可以通過防火墻。 ③ 防火墻本身不受各種攻擊的影響。 防火墻的基本準(zhǔn)則 ⑴ 過濾不安全服務(wù)： 防火墻應(yīng)封鎖所有的信息流 ,然后對希望提供的安全服務(wù)逐項(xiàng)開放，把不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。 ⑵ 過濾非法用戶和訪問特殊站點(diǎn)： 防火墻允許所有用戶 和站點(diǎn)對內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問，然后網(wǎng)絡(luò)管理員按照 IP地址對未授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。 防火墻技術(shù) 30 防火墻的基本功能 作為網(wǎng)絡(luò)安全的屏障 防火墻作為阻塞點(diǎn)、控制點(diǎn)，能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。 可以強(qiáng)化網(wǎng)絡(luò)安全策略 通過以防火墻為中心的安全方案配置，能將所有安全軟件（口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。 對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì) 所有的外部訪問都經(jīng)過防火墻時(shí)，防火墻就能記錄下這些訪問，為網(wǎng)絡(luò)使用情況提供統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑信息時(shí)防火墻能發(fā)出報(bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。 可以防止內(nèi)部信息的外泄 利用防火墻可以實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。 31 防火墻的分類 網(wǎng)絡(luò)級防火墻（ Network Gateway） 網(wǎng)絡(luò)級防火墻主要用來防止整個(gè)網(wǎng)絡(luò)出現(xiàn)外來非法的入侵。 包過濾路由器的工作原理示意圖 內(nèi)部網(wǎng)絡(luò) 物理層 分組過濾規(guī)則 數(shù)據(jù)鏈跑層 Inter 外部網(wǎng)絡(luò) 網(wǎng)絡(luò)層 物理層 數(shù)據(jù)鏈跑層 網(wǎng)絡(luò)層 包過濾路由器 32 防火墻的分類 應(yīng)用級防火墻（ Application Gateway） 這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接的作用。代理防火墻的最大缺點(diǎn)是速度相對比較慢。應(yīng)用級代理工作原理圖所示。 應(yīng)用級代理工作原理示意圖 內(nèi)部網(wǎng)絡(luò) 真正服務(wù)器 代理服務(wù)器 實(shí)際的連接 實(shí)際的連接 外部網(wǎng)絡(luò) 客戶 虛擬的連接 Inter 防火墻 33 防火墻的分類 電路級防火墻（ Gateway） 電路級防火墻也稱電路層網(wǎng)關(guān) ,是一個(gè)具有特殊功能的防火墻。電路級網(wǎng)關(guān)只依賴于 TCP連接，并不進(jìn)行任何附加的包處理或過濾。與應(yīng)用級防火墻相似 ,電路級防火墻也是代理服務(wù)器 ,只是它不需要用戶配備專門的代理客戶應(yīng)用程序 。 另外 ,電路級防火墻在客戶與服務(wù)器間創(chuàng)建了一條電路 ,雙方應(yīng)用程序都不知道有關(guān)代理服務(wù)的信息。 狀態(tài)監(jiān)測防火墻（ Statefu inspection Gateway） 狀態(tài)檢測是比包過濾更為有效的安全控制方法 。 對新建的應(yīng)用連接 ,狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則 ,允許符合規(guī)則的連接通過 ,并在內(nèi)存中記錄下該連接的相關(guān)信息 ,生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包 ,只要符合狀態(tài)表就可以通過。 34 防火墻的基本結(jié)構(gòu) 雙宿主機(jī)網(wǎng)關(guān)（ Dual Homed Gateway） 雙宿主機(jī)網(wǎng)關(guān)是用一臺裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻 ,其中一個(gè)是網(wǎng)卡 ,與內(nèi)網(wǎng)相連；另一個(gè)可以是網(wǎng)卡、調(diào)制解調(diào)器或 ISDN卡。雙宿主機(jī)網(wǎng)關(guān)的弱點(diǎn)是一旦入侵者攻入堡壘主機(jī)并使其具有路由功能，則外網(wǎng)用戶均可自由訪問內(nèi)網(wǎng)。雙宿主機(jī)網(wǎng)關(guān)工作原理圖如下圖所示。 雙宿堡壘主機(jī) Inter 雙宿堡壘主機(jī) 內(nèi)網(wǎng) 35 防火墻的基本結(jié)構(gòu) 屏蔽主機(jī)網(wǎng)關(guān)（ Screened Host Gateway） ⑴ 單宿堡壘主機(jī)： 是屏蔽主機(jī)網(wǎng)關(guān)的一種簡單形式 ,單宿堡壘主機(jī)只有一個(gè)網(wǎng)卡，并與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為可以從 Inter上訪問的唯一主機(jī)。而 Intra內(nèi)部的客戶機(jī)，可以受控地通過屏蔽主機(jī)和路由器訪問 Inter,其工作原理圖如下圖所示 。 屏蔽主機(jī)網(wǎng)關(guān)單宿堡壘主機(jī) Inter 雙宿堡壘主機(jī) 內(nèi)網(wǎng) 36 防火墻的基本結(jié)構(gòu) ⑵ 雙宿堡壘主機(jī)： 是屏蔽主機(jī)網(wǎng)關(guān)的另一種形式 , 與單宿堡壘主機(jī)相比，雙宿堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接路由器。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)比單宿堡壘主機(jī)更加安全。屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī)工作原理圖如下圖所示。 屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī) Inter 雙宿堡壘主機(jī) 內(nèi)網(wǎng) 37 防火墻的基本結(jié)構(gòu) 屏蔽子網(wǎng)（ Screened Sub Gateway） 屏蔽子網(wǎng)是在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立一個(gè)起隔離作用的子網(wǎng)。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，它們不能直接通信，但可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的互訪提供代理服務(wù)。屏蔽子網(wǎng)工作原理圖如下圖所示。 屏蔽子網(wǎng)防火墻 內(nèi)網(wǎng) 屏蔽子網(wǎng) Inter 38 訪問控制技術(shù) 訪問控制是指可以限制對關(guān)鍵資源的訪問，防止非法用戶進(jìn)入系統(tǒng)及合法用戶對系統(tǒng)資源的非法使用。它是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，也是安全機(jī)制的核心內(nèi)容。 訪問控制是保證對所有的直接存取活動(dòng)進(jìn)行授權(quán)的重要手段，控制著讀出、寫入、修改、刪除、執(zhí)行等操作，可以防止非法用戶進(jìn)人計(jì)算機(jī)系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用。實(shí)施訪問控制是維護(hù)系統(tǒng)運(yùn)行安全，保護(hù)系統(tǒng)資源的一項(xiàng)重要技術(shù)。 目前的主流訪問控制技術(shù)有：自主訪問控制（ DAC）、強(qiáng)制訪問控制（ MAC）、基于角色的訪問控制（ RBAC）。 39 167。 網(wǎng)絡(luò)安全的攻擊與防衛(wèi) 特洛伊木馬 “特洛伊木馬”（ trojan horse）簡稱“木馬”，據(jù)說這個(gè)名稱來源于希臘神話 《 木馬屠城記 》 。如今黑客程序借用其名，有“一經(jīng)潛入，后患無窮”之意。 完整的木馬程序一般由兩個(gè)部份組成：一個(gè)是服務(wù)器程序，一個(gè)是控制器程序?！爸辛四抉R”就是指安裝了木馬的服務(wù)器程序，如果計(jì)算機(jī)被安裝了服務(wù)器程序，則擁有控制器程序的人就可以通過網(wǎng)絡(luò)控制這臺計(jì)算機(jī)，這時(shí)計(jì)算機(jī)上的各種文件、程序，以及在這臺計(jì)算機(jī)上使用的帳號、密碼就無安全可言了。 現(xiàn)在市面上有很多新版殺毒軟件都可以自動(dòng)清除木馬，但它們并不能防范新出現(xiàn)的木馬程序。如果發(fā)現(xiàn)有木馬存在，首先就是馬上將計(jì)算機(jī)與網(wǎng)絡(luò)斷開，防止黑客通過網(wǎng)絡(luò)進(jìn)行攻擊。 40 郵件炸彈 郵件炸彈 (Email Bomb)是使得攻擊目標(biāo)主機(jī)收到超量的電子郵件 ,使得主機(jī)無法承受導(dǎo)致郵件系統(tǒng)崩潰，是黑客常用的一種攻擊手段?，F(xiàn)在網(wǎng)上的郵件炸彈程序很多，雖然它們的安全性不盡相同，但基本上都能保證攻擊者的不被發(fā)現(xiàn)。 收到郵件炸彈的攻擊后，可以在不影響郵箱內(nèi)的正常郵件的情況下，把這些大量的垃圾郵件刪除掉。此外，還有一些專門的郵件炸彈刪除軟件，它可以幫助我們迅速刪除炸彈郵件。另外，各免費(fèi)郵箱提供商也通過使用郵件過濾器等措施加強(qiáng)了這方面的防護(hù)，通過使用系統(tǒng)提供的郵件過濾器系統(tǒng)來拒絕接收此類郵件。但是，目前對于解決郵件炸彈的困擾還沒有特別好的方法，還是應(yīng)該以預(yù)防為主。 41 信息竊取 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，利用網(wǎng)絡(luò)來竊取信息的顯現(xiàn)也越來頻繁。竊取手段越來越多，但歸結(jié)起來本質(zhì)一樣：都是通過程序，尋找或記錄種植（程序）者需要的信息，并將其發(fā)送到他們手中。信息竊取可以分為兩種：一種是所謂偷取智能財(cái)產(chǎn)；而另一種則是所謂產(chǎn)業(yè)諜報(bào)活動(dòng)。 安裝非法入侵的檢測系統(tǒng)，可以補(bǔ)足防火墻的功能，使兩者達(dá)到監(jiān)控網(wǎng)絡(luò)、執(zhí)行立即的攔截動(dòng)作以及分析過濾封包和內(nèi)容的動(dòng)作，當(dāng)竊取者入侵時(shí)便可以立刻有效終止。這些相關(guān)防護(hù)措施的應(yīng)用可以完全做到在面臨攻擊、或者是信息遭濫用時(shí)立即做出多樣性適當(dāng)?shù)膱?bào)警。 一般最普通基本的安全管理服務(wù)可包括有防火墻、入侵偵測及報(bào)警系統(tǒng)、遠(yuǎn)程訪問保全、在網(wǎng)絡(luò)上將使用資料加密等。 42 病毒 網(wǎng)絡(luò)病毒 的特點(diǎn) 1. 感染方式多 2. 感染速度快 3. 清除難度大 4. 破壞性強(qiáng) 5. 激發(fā)形式多樣 6. 潛在性 特點(diǎn)： 計(jì)算機(jī)網(wǎng)絡(luò)的主要特點(diǎn)是資源共享。那么，一旦共享資源染上病毒，網(wǎng)絡(luò)各結(jié)點(diǎn)間信息的頻繁傳輸將把病毒感染到共享的所有機(jī)器上，從而形成多種共享資源的交叉感染。在網(wǎng)絡(luò)環(huán)境中的病毒具有以下 6個(gè)方面的特點(diǎn)： 43 類型： GPI（ Get Password I）病毒 GPI病毒是由歐美地區(qū)興起的專攻網(wǎng)絡(luò)的一類病毒，該病毒的威力在于“自上而下”，可以“逆流而上”的傳播。 2