【正文】 UDP、網(wǎng)際控制報(bào)文協(xié)議ICMP）、 接口 （收、發(fā)） 2022/2/8 第三章 EC的安全技術(shù) 56 2 ）應(yīng)用代理（ Application Proxy） ? 也叫 應(yīng)用網(wǎng)關(guān) （ Application Gateway） ,它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。 它一般是限制 TELNET及 FTP， HTTP等應(yīng)用的訪問，應(yīng)用網(wǎng)關(guān)對(duì)內(nèi)外訪問進(jìn)行仲載，通過分類、登錄、事后分析，保證網(wǎng)絡(luò)的相對(duì)安全 ? 實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。 2022/2/8 第三章 EC的安全技術(shù) 57 3）屏蔽主機(jī)防火墻 ? 屏蔽主機(jī)防火墻（ scteened host fitewall）：采用一個(gè)過濾路由器與外部網(wǎng)連接，用一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)上，起著代理服務(wù)器的作用，是外部網(wǎng)所能到達(dá)的唯一節(jié)點(diǎn)，以此來確保內(nèi)部網(wǎng)不受外部未授權(quán)用戶的攻擊，達(dá)到內(nèi)部網(wǎng)安全保密的目的。 2022/2/8 第三章 EC的安全技術(shù) 58 圖 屏蔽主機(jī)體系結(jié)構(gòu)示意圖 2022/2/8 第三章 EC的安全技術(shù) 59 4）網(wǎng)絡(luò)地址轉(zhuǎn)換器 ? 基本原理就像電話網(wǎng)絡(luò)中的總機(jī)，網(wǎng)絡(luò)地址轉(zhuǎn)換器是一個(gè)“總機(jī)”，內(nèi)部網(wǎng)絡(luò)的用戶類似“分機(jī)”，數(shù)據(jù)的出與進(jìn)都要經(jīng)過總機(jī)的轉(zhuǎn)接。 ? 內(nèi)部網(wǎng)絡(luò)對(duì)外是不透明的，是安全的，也能夠解決 IP地址與外部地址發(fā)生沖突的難題。 2022/2/8 第三章 EC的安全技術(shù) 60 垃圾郵件洶涌而至 神秘黑客攻擊美五大網(wǎng)站 ? 2月 8日到 10日，一伙神通廣大的神秘黑客在三天的時(shí)間里接連襲擊了互聯(lián)網(wǎng)上包括雅虎、美國有線新聞等在內(nèi)的五個(gè)最熱門的網(wǎng)站，并且造成這些網(wǎng)站癱瘓長(zhǎng)達(dá)數(shù)個(gè)小時(shí)。接二連三的大規(guī)模網(wǎng)絡(luò)襲擊行動(dòng)現(xiàn)在已經(jīng)引起世界各大網(wǎng)絡(luò)公司和網(wǎng)站主持者的高度警覺，就連美國司法部、美國聯(lián)邦調(diào)查局也被驚動(dòng) 2022/2/8 第三章 EC的安全技術(shù) 61 ? 2月 7日上午 9時(shí) 15分 (北京時(shí)間 2月 8日 )，全世界各地成千上萬的國際互聯(lián)網(wǎng)用戶跟平常一樣打開電腦，準(zhǔn)備登錄雅虎網(wǎng)站。雅虎網(wǎng)站是繼美國在線之后排名第二的大網(wǎng)站，現(xiàn)有注冊(cè)用戶 1億個(gè)，平均每天傳送的資料多達(dá) ，每月吸引的訪問者多達(dá) 4200萬人。 ? 技術(shù)人員很快發(fā)現(xiàn)，黑客使用了一種名為“拒絕服務(wù)”的入侵方式，在不同的計(jì)算機(jī)上同時(shí)用連續(xù)不斷的服務(wù)器電子請(qǐng)求來轟炸雅虎網(wǎng)站。說白了，這種方式類似于某人通過不停撥打某個(gè)公司的電話來阻止其它電話打進(jìn)，從而導(dǎo)致公司通信癱瘓。在襲擊進(jìn)行最高峰的時(shí)候，網(wǎng)站平均每秒鐘要遭受一千兆字節(jié)數(shù)據(jù)的猛烈攻擊，這一數(shù)據(jù)量相當(dāng)于普通網(wǎng)站一年的數(shù)據(jù)量！面對(duì)如此猛烈的攻擊，雅虎的技術(shù)人員卻束手無策，只能眼睜睜地看著泛濫成災(zāi)的電子郵件垃圾死死地堵住了雅虎用戶們上網(wǎng)所需的路由器。 ? 10時(shí) 15分，洶涌而來的垃圾郵件堵死了雅虎網(wǎng)站除電子郵件服務(wù)等三個(gè)站點(diǎn)所有的路由器，雅虎公司大部分網(wǎng)絡(luò)服務(wù)均陷入癱瘓，公司不得不將網(wǎng)站入口關(guān)閉。此時(shí)，美國的雅虎用戶根本無法登錄雅虎的任何站點(diǎn)，而世界各地其它的用戶也只能登錄雅虎 59%的站點(diǎn)。 ? 13時(shí) 25分，雅虎公司的技術(shù)人員終于設(shè)法識(shí)別出了電子請(qǐng)求的數(shù)據(jù)類型，并且加上新的郵件過濾器將其濾去，這才部分恢復(fù)了正常的服務(wù)，有 70%的網(wǎng)站重新為用戶提供服務(wù)。 ? 美國東部時(shí)間 2月 8日，也就是雅虎網(wǎng)站遭襲后第二天，盡管世界各著名網(wǎng)站已經(jīng)高度警惕，但還是再次遭到這些神秘黑客的襲擊。世界最著名的網(wǎng)絡(luò)拍賣行 eBay因神秘客襲擊而癱瘓了整整 3個(gè)小時(shí)零 10分鐘，跟“雅虎”的癱瘓時(shí)間一模一樣。 赫赫有名的美國有線新聞網(wǎng) CNN隨后也因遭神秘客的襲擊而癱瘓近兩個(gè)小時(shí)；風(fēng)頭最勁的購物網(wǎng)站 小時(shí)！ ? 神秘的襲擊者以每秒鐘 800兆字節(jié)的數(shù)據(jù)猛攻網(wǎng)站，這一數(shù)據(jù)量相當(dāng)于正常數(shù)據(jù)量的 24倍，不堪重負(fù)的網(wǎng)站終于在美國東部時(shí)間下午 5時(shí) 45分徹底癱瘓。 ? 美國卡內(nèi)基 梅農(nóng)大學(xué)的“計(jì)算機(jī)緊急反應(yīng)小組”則對(duì)這幾次網(wǎng)絡(luò)襲擊進(jìn)行了更深入的分析。該小組在一份緊急報(bào)告中認(rèn)為：“早在 1999年底，計(jì)算機(jī)安全專家就對(duì)一種名為‘分發(fā)系統(tǒng)入侵工具’的軟件感到不安，因?yàn)檫@種軟件能讓黑客輕而易舉地‘遙控’致癱一個(gè)網(wǎng)站。最近幾個(gè)月來，黑客們借助‘分發(fā)嗅探器’、‘掃描器’和 ‘拒絕服務(wù)器’等軟件頻頻對(duì)世界各地的網(wǎng)站發(fā)起襲擊。最可怕的是，多名黑客可以借助同樣的軟件在不同的地點(diǎn)‘集中火力 ’對(duì)一個(gè)或者多個(gè)網(wǎng)站發(fā)起攻擊，黑客們還可以把這些軟件神不知鬼不覺地通過互聯(lián)網(wǎng)安到別人的電腦上，然后在電腦主人根本不知道的情況下借別人的電腦為平臺(tái)對(duì)網(wǎng)站發(fā)起攻擊！” ? 黑客襲擊網(wǎng)站給美國造成１２億美元損失 2022/2/8 第三章 EC的安全技術(shù) 65 防火墻的功能 ? 1 ）防火墻是網(wǎng)絡(luò)安全的屏障 ? 2 ）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略 ? 3 ）對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)，防止內(nèi)部網(wǎng)對(duì)外部網(wǎng)的暴露程度及網(wǎng)絡(luò)安全對(duì)內(nèi)網(wǎng)的傳播。 ? 4） 防止內(nèi)部信息的外泄 ? 5）支持 VPN體系，也是設(shè)置網(wǎng)絡(luò)翻譯器的最佳位置。 2022/2/8 第三章 EC的安全技術(shù) 66 防火墻局限性： ? 不能防止不經(jīng)防火墻的攻擊 ? 經(jīng)不起人為因素的攻擊。 由于防火墻對(duì)網(wǎng)絡(luò)安全進(jìn)行單點(diǎn)控制，所以可能受到黑客們的攻擊。像企業(yè)內(nèi)聯(lián)網(wǎng)由于管理原因造成的人為破壞，防火墻是無能為力的。 ? 不能保證數(shù)據(jù)的秘密性、數(shù)據(jù)鑒別，及抗病毒攻擊。 任何防火墻不可能對(duì)通過的數(shù)據(jù)流中每一個(gè)文件進(jìn)行掃描檢查病毒。 2022/2/8 第三章 EC的安全技術(shù) 67 傳統(tǒng)防火墻存在的五大不足之處 ? 無法檢測(cè)加密的 Web流量 ? 普通應(yīng)用程序加密后，也能輕易躲過防火墻的檢測(cè) ? 對(duì)于 Web應(yīng)用程序，防范能力不足 ? 應(yīng)用防護(hù)特性，只適用于簡(jiǎn)單情況 ? 無法擴(kuò)展帶深度檢測(cè)功能