【文章內(nèi)容簡介】 古代防火磚墻有類似之處，人們把這個屏障就叫做“防火墻”，其邏輯結(jié)構(gòu)如下頁圖所示。 28 防火墻的邏輯結(jié)構(gòu)示意圖 外部網(wǎng)絡 內(nèi)部網(wǎng)絡 防火墻技術(shù) 29 防火墻的基本特性 ① 所有內(nèi)部和外部網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)必須通過防火墻 。 ② 只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許 的數(shù)據(jù)可以通過防火墻。 ③ 防火墻本身不受各種攻擊的影響。 防火墻的基本準則 ⑴ 過濾不安全服務： 防火墻應封鎖所有的信息流 ,然后對希望提供的安全服務逐項開放，把不安全的服務或可能有安全隱患的服務一律扼殺在萌芽之中。 ⑵ 過濾非法用戶和訪問特殊站點： 防火墻允許所有用戶 和站點對內(nèi)部網(wǎng)絡進行訪問，然后網(wǎng)絡管理員按照 IP地址對未授權(quán)的用戶或不信任的站點進行逐項屏蔽。 防火墻技術(shù) 30 防火墻的基本功能 作為網(wǎng)絡安全的屏障 防火墻作為阻塞點、控制點，能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。 可以強化網(wǎng)絡安全策略 通過以防火墻為中心的安全方案配置，能將所有安全軟件（口令、加密、身份認證、審計等）配置在防火墻上。 對網(wǎng)絡存取和訪問進行監(jiān)控審計 所有的外部訪問都經(jīng)過防火墻時，防火墻就能記錄下這些訪問，為網(wǎng)絡使用情況提供統(tǒng)計數(shù)據(jù)。當發(fā)生可疑信息時防火墻能發(fā)出報警，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。 可以防止內(nèi)部信息的外泄 利用防火墻可以實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。 31 防火墻的分類 網(wǎng)絡級防火墻（ Network Gateway） 網(wǎng)絡級防火墻主要用來防止整個網(wǎng)絡出現(xiàn)外來非法的入侵。 包過濾路由器的工作原理示意圖 內(nèi)部網(wǎng)絡 物理層 分組過濾規(guī)則 數(shù)據(jù)鏈跑層 Inter 外部網(wǎng)絡 網(wǎng)絡層 物理層 數(shù)據(jù)鏈跑層 網(wǎng)絡層 包過濾路由器 32 防火墻的分類 應用級防火墻（ Application Gateway） 這種類型的防火墻被網(wǎng)絡安全專家和媒體公認為是最安全的防火墻。它的核心技術(shù)就是代理服務器技術(shù)。在外部網(wǎng)絡向內(nèi)部網(wǎng)絡申請服務時發(fā)揮了中間轉(zhuǎn)接的作用。代理防火墻的最大缺點是速度相對比較慢。應用級代理工作原理圖所示。 應用級代理工作原理示意圖 內(nèi)部網(wǎng)絡 真正服務器 代理服務器 實際的連接 實際的連接 外部網(wǎng)絡 客戶 虛擬的連接 Inter 防火墻 33 防火墻的分類 電路級防火墻（ Gateway） 電路級防火墻也稱電路層網(wǎng)關(guān) ,是一個具有特殊功能的防火墻。電路級網(wǎng)關(guān)只依賴于 TCP連接，并不進行任何附加的包處理或過濾。與應用級防火墻相似 ,電路級防火墻也是代理服務器 ,只是它不需要用戶配備專門的代理客戶應用程序 。 另外 ,電路級防火墻在客戶與服務器間創(chuàng)建了一條電路 ,雙方應用程序都不知道有關(guān)代理服務的信息。 狀態(tài)監(jiān)測防火墻（ Statefu inspection Gateway） 狀態(tài)檢測是比包過濾更為有效的安全控制方法 。 對新建的應用連接 ,狀態(tài)檢測檢查預先設(shè)置的安全規(guī)則 ,允許符合規(guī)則的連接通過 ,并在內(nèi)存中記錄下該連接的相關(guān)信息 ,生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包 ,只要符合狀態(tài)表就可以通過。 34 防火墻的基本結(jié)構(gòu) 雙宿主機網(wǎng)關(guān)（ Dual Homed Gateway） 雙宿主機網(wǎng)關(guān)是用一臺裝有兩個網(wǎng)絡適配器的雙宿主機做防火墻 ,其中一個是網(wǎng)卡 ,與內(nèi)網(wǎng)相連；另一個可以是網(wǎng)卡、調(diào)制解調(diào)器或 ISDN卡。雙宿主機網(wǎng)關(guān)的弱點是一旦入侵者攻入堡壘主機并使其具有路由功能，則外網(wǎng)用戶均可自由訪問內(nèi)網(wǎng)。雙宿主機網(wǎng)關(guān)工作原理圖如下圖所示。 雙宿堡壘主機 Inter 雙宿堡壘主機 內(nèi)網(wǎng) 35 防火墻的基本結(jié)構(gòu) 屏蔽主機網(wǎng)關(guān)（ Screened Host Gateway） ⑴ 單宿堡壘主機： 是屏蔽主機網(wǎng)關(guān)的一種簡單形式 ,單宿堡壘主機只有一個網(wǎng)卡，并與內(nèi)部網(wǎng)絡連接。通常在路由器上設(shè)立過濾規(guī)則，并使這個單宿堡壘主機成為可以從 Inter上訪問的唯一主機。而 Intra內(nèi)部的客戶機，可以受控地通過屏蔽主機和路由器訪問 Inter,其工作原理圖如下圖所示 。 屏蔽主機網(wǎng)關(guān)單宿堡壘主機 Inter 雙宿堡壘主機 內(nèi)網(wǎng) 36 防火墻的基本結(jié)構(gòu) ⑵ 雙宿堡壘主機： 是屏蔽主機網(wǎng)關(guān)的另一種形式 , 與單宿堡壘主機相比，雙宿堡壘主機有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡，一塊連接路由器。雙宿堡壘主機在應用層提供代理服務比單宿堡壘主機更加安全。屏蔽主機網(wǎng)關(guān)雙宿堡壘主機工作原理圖如下圖所示。 屏蔽主機網(wǎng)關(guān)雙宿堡壘主機 Inter 雙宿堡壘主機 內(nèi)網(wǎng) 37 防火墻的基本結(jié)構(gòu) 屏蔽子網(wǎng)（ Screened Sub Gateway） 屏蔽子網(wǎng)是在內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間建立一個起隔離作用的子網(wǎng)。內(nèi)部網(wǎng)絡和外部網(wǎng)絡均可訪問屏蔽子網(wǎng)，它們不能直接通信，但可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機，為內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的互訪提供代理服務。屏蔽子網(wǎng)工作原理圖如下圖所示。 屏蔽子網(wǎng)防火墻 內(nèi)網(wǎng) 屏蔽子網(wǎng) Inter 38 訪問控制技術(shù) 訪問控制是指可以限制對關(guān)鍵資源的訪問，防止非法用戶進入系統(tǒng)及合法用戶對系統(tǒng)資源的非法使用。它是網(wǎng)絡安全防范和保護的主要策略，也是安全機制的核心內(nèi)容。 訪問控制是保證對所有的直接存取活動進行授權(quán)的重要手段，控制著讀出、寫入、修改、刪除、執(zhí)行等操作，可以防止非法用戶進人計算機系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用。實施訪問控制是維護系統(tǒng)運行安全，保護系統(tǒng)資源的一項重要技術(shù)。 目前的主流訪問控制技術(shù)有：自主訪問控制（ DAC）、強制訪問控制（ MAC）、基于角色的訪問控制（ RBAC）。 39 167。 網(wǎng)絡安全的攻擊與防衛(wèi) 特洛伊木馬 “特洛伊木馬”（ trojan horse）簡稱“木馬”，據(jù)說這個名稱來源于希臘神話 《 木馬屠城記 》 。如今黑客程序借用其名，有“一經(jīng)潛入，后患無窮”之意。 完整的木馬程序一般由兩個部份組成：一個是服務器程序，一個是控制器程序。“中了木馬”就是指安裝了木馬的服務器程序，如果計算機被安裝了服務器程序，則擁有控制器程序的人就可以通過網(wǎng)絡控制這臺計算機，這時計算機上的各種文件、程序，以及在這臺計算機上使用的帳號、密碼就無安全可言了。 現(xiàn)在市面上有很多新版殺毒軟件都可以自動清除木馬，但它們并不能防范新出現(xiàn)的木馬程序。如果發(fā)現(xiàn)有木馬存在，首先就是馬上將計算機與網(wǎng)絡斷開，防止黑客通過網(wǎng)絡進行攻擊。 40 郵件炸彈 郵件炸彈 (Email Bomb)是使得攻擊目標主機收到超量的電子郵件 ,使得主機無法承受導致郵件系統(tǒng)崩潰，是黑客常用的一種攻擊手段?，F(xiàn)在網(wǎng)上的郵件炸彈程序很多，雖然它們的安全性不盡相同，但基本上都能保證攻擊者的不被發(fā)現(xiàn)。 收到郵件炸彈的攻擊后，可以在不影響郵箱內(nèi)的正常郵件的情況下，把這些大量的垃圾郵件刪除掉。此外，還有一些專門的郵件炸彈刪除軟件，它可以幫助我們迅速刪除炸彈郵件。另外，各免費郵箱提供商也通過使用郵件過濾器等措施加強了這方面的防護，通過使用系統(tǒng)提供的郵件過濾器系統(tǒng)來拒絕接收此類郵件。但是，目前對于解決郵件炸彈的困擾還沒有特別好的方法，還是應該以預防為主。 41 信息竊取 隨著網(wǎng)絡技術(shù)的發(fā)展，利用網(wǎng)絡來竊取信息的顯現(xiàn)也越來頻繁。竊取手段越來越多，但歸結(jié)起來本質(zhì)一樣：都是通過程序，尋找或記錄種植（程序）者需要的信息，并將其發(fā)送到他們手中。信息竊取可以分為兩種：一種是所謂偷取智能財產(chǎn)；而另一種則是所謂產(chǎn)業(yè)諜報活動。 安裝非法入侵的檢測系統(tǒng)，可以補足防火墻的功能，使兩者達到監(jiān)控網(wǎng)絡、執(zhí)行立即的攔截動作以及分析過濾封包和內(nèi)容的動作，當竊取者入侵時便可以立刻有效終止。這些相關(guān)防護措施的應用可以完全做到在面臨攻擊、或者是信息遭濫用時立即做出多樣性適當?shù)膱缶? 一般最普通基本的安全管理服務可包括有防火墻、入侵偵測及報警系統(tǒng)、遠程訪問保全、在網(wǎng)絡上將使用資料加密等。 42 病毒 網(wǎng)絡病毒 的特點 1. 感染方式多 2. 感染速度快 3. 清除難度大 4. 破壞性強 5. 激發(fā)形式多樣 6. 潛在性 特點： 計算機網(wǎng)絡的主要特點是資源共享。那么，一旦共享資源染上病毒，網(wǎng)絡各結(jié)點間信息的頻繁傳輸將把病毒感染到共享的所有機器上，從而形成多種共享資源的交叉感染。在網(wǎng)絡環(huán)境中的病毒具有以下 6個方面的特點： 43 類型： GPI（ Get Password I）病毒 GPI病毒是由歐美地區(qū)興起的專攻網(wǎng)絡的一類病毒，該病毒的威力在于“自上而下”，可以“逆流而上”的傳播。 2