【導(dǎo)讀】的相關(guān)技術(shù)和理論都是計(jì)算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域。各種安全技術(shù)結(jié)合在一起，才能更有效地維護(hù)自己的計(jì)算機(jī)網(wǎng)絡(luò)及信息的安全，生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。隨著網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，近年來(lái)網(wǎng)絡(luò)安全問(wèn)題已引起人們高度重視，普及網(wǎng)絡(luò)用戶(hù)病毒防范意識(shí)，是減。少網(wǎng)絡(luò)安全隱患的第一環(huán)，也是極其關(guān)鍵的一環(huán)。威脅，不出事故。可用性指信息或者信息系統(tǒng)可被合法用戶(hù)訪問(wèn)，并按其要求運(yùn)行的特性。如圖1-1所示，“進(jìn)不來(lái)”、“改不了”和“拿不走”都實(shí)現(xiàn)了信息系統(tǒng)的可用性。使用防火墻，把攻擊者阻擋在網(wǎng)絡(luò)外部，讓他們“進(jìn)不來(lái)”。即使攻擊者進(jìn)入了網(wǎng)絡(luò)內(nèi)部，由于有加密機(jī)制，會(huì)使他們“改不了”和“拿。機(jī)密性可防止向未經(jīng)授權(quán)的個(gè)人泄露信息，或防止信息被加工。完整性指防止數(shù)據(jù)未經(jīng)授權(quán)或意外改動(dòng)，包括數(shù)據(jù)插入、刪除和修改等。送者也不能否認(rèn)發(fā)送過(guò)消息。保護(hù)企業(yè)內(nèi)部網(wǎng)安全，并且對(duì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)有特殊要求。、用戶(hù)授權(quán)認(rèn)證為核心的主動(dòng)開(kāi)放型方案。

　　

【正文】 前 ,廣為采用的一種對(duì)稱(chēng)加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn) (DES) 。在電腦網(wǎng) 絡(luò)系統(tǒng)中使用的數(shù)字簽名技術(shù)將是未來(lái)最通用的個(gè)人安全防范技術(shù) ,其中采用公開(kāi)密 19 鑰算法的數(shù)字簽名會(huì)進(jìn)一步受到網(wǎng)絡(luò)建設(shè)者的親睞。這種數(shù)字簽名的實(shí)現(xiàn)過(guò)程非常簡(jiǎn)單 : ① 發(fā)送者用其秘密密鑰對(duì)郵件進(jìn)行加密 ,建立了一個(gè) “數(shù)字簽名 ”,然后通過(guò)公開(kāi)的通信途徑將簽名和郵件一起發(fā)給接收者 ,接收者在收到郵件后使用發(fā)送者的另一個(gè)密匙 ———公開(kāi)密鑰對(duì)簽名進(jìn)行解密 ,如果計(jì)算的結(jié)果相同他就通過(guò)了驗(yàn)證。數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始郵件不可抵賴(lài)性的鑒別。 ② 多種類(lèi)型的專(zhuān)用數(shù)字簽名方案也將在電子貨幣、電子商業(yè)和其他的網(wǎng)絡(luò)安全通信中得到應(yīng)用。 【 9】 第七章 防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用 防火墻的概念 防火墻的原始概念是為了防止火災(zāi)從建筑物的一側(cè)傳播到另一側(cè)而設(shè)置的防御設(shè)施。從理論上講 , 防火墻的作用也與之類(lèi)似 , 它是一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)開(kāi)的方法 , 它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度 , 它能允許你 “ 同意 ”的人和數(shù)據(jù)進(jìn)人你的網(wǎng)絡(luò) , 同時(shí)將你 “ 不同意 ” 的人和數(shù)據(jù)拒之門(mén)外 , 最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò) , 防止他們更改、拷貝、毀壞你的重要信息。 網(wǎng)絡(luò)安全上所說(shuō)的防火墻 , 是指在兩個(gè)網(wǎng)絡(luò)之間加強(qiáng) 訪問(wèn)控制的一整套裝置 , 是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的安全防范系統(tǒng)通常安裝在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點(diǎn)上 , 如圖 71所示。 圖 71 從圖中看出 , 所有來(lái)自 Inter(外部網(wǎng) )的傳輸信息或從內(nèi)部網(wǎng)絡(luò)發(fā)出的信息都必須穿過(guò)防火墻。 從邏輯上講 , 防火墻是分離器、限制器、分析器 , 而防火墻的物理實(shí)現(xiàn)方式又有所不同 , 通常一個(gè)防火墻由一套硬件 (一個(gè)路由器或路由器的組合 , 一臺(tái)主 20 機(jī) )和適當(dāng)?shù)能浖M成。 防火墻的基本類(lèi)型 實(shí)現(xiàn)防火墻的技術(shù)包括四大類(lèi)網(wǎng)絡(luò)級(jí)防火墻包過(guò)濾型防火墻、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢 查防火墻。 (1) 網(wǎng)絡(luò)級(jí)防火墻 一般是基于源地址和目的地址、應(yīng)用或協(xié)議以及每個(gè)包的端口來(lái)做出通過(guò)與否的判斷。一個(gè)路由器便是一個(gè) “ 傳統(tǒng) ” 的網(wǎng)絡(luò)級(jí)防火墻 , 大多數(shù)的路由器都能通過(guò)檢查這些信息來(lái)決定是否將所收到的包轉(zhuǎn)發(fā) , 但它不能判斷出一個(gè) IP包來(lái)自何方 , 去向何處。 先進(jìn)的網(wǎng)絡(luò)級(jí)防火墻可以判斷這一點(diǎn) ,它可以提供內(nèi)部信息以說(shuō)明所通過(guò)的連接狀態(tài)和一些數(shù)據(jù)流的內(nèi)容 , 把判斷的信息同規(guī)則表進(jìn)行比較 , 在規(guī)則表中定義了各種規(guī)則來(lái)表明是否同意或拒絕包的通過(guò)。包過(guò)濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。 如果沒(méi)有一條規(guī)則能符合 , 防火墻就會(huì)使用默認(rèn)規(guī)則 , 一般情況下 ,默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次 ,通過(guò)定義基于 TCP或 UDP數(shù)據(jù)包的端口號(hào) , 防火墻能夠判斷是否允許建立特定的連接 , 如 Tel、FTP連接。 網(wǎng)絡(luò)級(jí)防火墻簡(jiǎn)潔、速度快、費(fèi)用低 , 并且對(duì)用戶(hù)透明 , 但是對(duì)網(wǎng)絡(luò)的保護(hù)很有限 , 因?yàn)樗粰z查地址和端口 , 對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無(wú)理解能力。 (2) 應(yīng)用級(jí)網(wǎng)關(guān) 應(yīng)用級(jí)網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包 , 通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù) , 防止在受信任服務(wù)器和客戶(hù)機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理 解應(yīng)用層上的協(xié)議 , 能夠做復(fù)雜一些的訪問(wèn)控制 , 并做精細(xì)的注冊(cè)和稽核。但每一種協(xié)議需要相應(yīng)的代理軟件 , 使用時(shí)工作量大 , 效率不如網(wǎng)絡(luò)級(jí)防火墻。 (3) 電路級(jí)網(wǎng)關(guān) 電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶(hù)或服務(wù)器與不受信任的主機(jī)間的 TCP握手信息 , 這樣來(lái)決定該會(huì)話(huà) (Session)是否合法 , 電路級(jí)網(wǎng)關(guān)是在 OSI模型中會(huì)話(huà)層上來(lái)過(guò)濾數(shù)據(jù)包 , 這樣比包過(guò)濾防火緒要高兩層。 (4) 規(guī)則檢查防火墻 該防火堵結(jié)合了包過(guò)濾防火墻、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的特點(diǎn)。它同包過(guò)旅防火堵一樣 , 規(guī)則檢查防火墻能夠在 OSI網(wǎng)絡(luò)層上 通過(guò) IP地址和端口號(hào) ,過(guò)濾進(jìn)出的數(shù)據(jù)包。它也像電路級(jí)網(wǎng)關(guān)一樣 , 能夠檢查 SYN和 ACK標(biāo)記和序列數(shù)字是否 21 邏輯有序。當(dāng)然它也像應(yīng)用級(jí)網(wǎng)關(guān)一樣 , 可以在 OSI應(yīng)用層上檢查教據(jù)包的內(nèi)容查粉這些內(nèi)容是否能符合公司網(wǎng)絡(luò)的安全規(guī)則。 規(guī)則檢查防火堵雖然集成前三者的特點(diǎn)但是不同于一個(gè)應(yīng)用級(jí)網(wǎng)關(guān)的是 , 它并不打破客戶(hù)機(jī)服務(wù)機(jī)模式來(lái)分析應(yīng)用層的數(shù)據(jù) , 它允許受信任的客戶(hù)機(jī)和不受信任的主機(jī)建立直接連接。規(guī)則檢查防火姍不依靠與應(yīng)用層有關(guān)的代理 , 而 是依靠某種算法來(lái)識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù) , 這些算法通過(guò)已知合法數(shù)據(jù)包的模式來(lái)比較進(jìn) 出數(shù)據(jù)包 , 這樣從理論上就能比應(yīng)用級(jí)代理在過(guò)濾數(shù)據(jù)包上更有優(yōu)勢(shì)。 防火墻的配置 防火墻配置有三種 ： Dualhomed方式、 Screenedhost方式和 Screenedsub方式。 Dualhomed方式最簡(jiǎn)單。 Dualhomed Gateway 放 置 在兩個(gè)網(wǎng)絡(luò)之間 , 這個(gè)Dualhomed Gateway又稱(chēng)為 bastionhost。這種結(jié)構(gòu)成本低 , 但是它有單點(diǎn)失敗的問(wèn)題。這種結(jié)構(gòu)沒(méi)有增加網(wǎng)絡(luò)安全的自我防衛(wèi)能力 , 而它往往是受 “ 黑客 ”攻擊的首選目標(biāo) , 它自己一旦被攻破 , 整個(gè) 網(wǎng)絡(luò)也就攀盡了。 Screenedhost 方式中的 Screeningrouter 為保護(hù) Bastionhost 的安全建立了一道屏障。 它將所 有進(jìn)入 的信息先 送往 Bastionhost, 并且只接 受來(lái)自 Bastionhost 的數(shù) 據(jù)作為出 去的數(shù)據(jù) 。這種結(jié) 構(gòu)依賴(lài) Screeningroutet 和 Bastionhost,只要有一個(gè)失敗，整個(gè)網(wǎng)絡(luò)就暴露了。 Screenedsub 包含兩個(gè) Screeningrouter 和兩個(gè) Bastionhost。在公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間構(gòu)成了一個(gè)隔離 網(wǎng)，稱(chēng)之為 “?；饏^(qū) ”（ DMZ，即 Demilitarized Zone） ,Bastionhost 放置在 “停火區(qū) ”內(nèi)。這種結(jié)構(gòu)安全性好，只有當(dāng)兩個(gè)安全單元被破壞后，網(wǎng)絡(luò)才被暴露，但成本也很高。 防火墻的安全措施 各種防火培的安全性能不盡相同，這里僅介紹一些一般防火培的常用安全措施。 (1) 防電子欺編術(shù) 防電子欺編術(shù)功能是保證數(shù)據(jù)包的 IP地址與網(wǎng)關(guān)接口相符 , 防止通過(guò)修改 IP地址的方法進(jìn)行非授權(quán)訪問(wèn)。還應(yīng)對(duì)可疑信息進(jìn)行鑒別 , 并向網(wǎng)絡(luò)管理員報(bào)警。 (2) 網(wǎng)絡(luò)地址轉(zhuǎn)移 地址轉(zhuǎn)移是對(duì) Inter 隱藏內(nèi)部 地址 ,防止內(nèi)部地址公開(kāi)。這一功能可以克服 IP尋址方式的諸多限制 , 完善內(nèi)部尋址模式。把未注冊(cè)地址映射成合法地址 , 就可以對(duì) Inter 進(jìn)行訪問(wèn)。 22 (3) 開(kāi)放式結(jié)構(gòu)設(shè)計(jì) 開(kāi)放式結(jié)構(gòu)設(shè)計(jì)使得防火墻與相關(guān)應(yīng)用程序和外部用戶(hù)數(shù)據(jù)庫(kù)的連接相當(dāng)容易 , 典型的應(yīng)用程序連接如財(cái)務(wù)軟件包、病毒掃描、登錄分析等。 (4) 路由器安全管理程序 它為 Bay 和 Cisco 的路由器提供集中管理和訪問(wèn)列表控制。 防火墻的選擇方案 防火堵是一類(lèi)防范措施的總稱(chēng) , 簡(jiǎn)單的防火墻 , 可以只用路由器實(shí)現(xiàn) , 復(fù)雜的要用一臺(tái)主機(jī)甚至一個(gè) 子網(wǎng)來(lái)實(shí)現(xiàn) ,它可以在 IP 層設(shè)置屏障 , 也可以用應(yīng)用層軟件來(lái)阻止外來(lái)攻擊 , 所以我們要根據(jù)實(shí)際需要 , 對(duì)防火墻進(jìn)行選擇 , 應(yīng)用技術(shù)人員的任務(wù)是權(quán)衡利弊 , 在網(wǎng)絡(luò)服務(wù)高效靈活、安全保障和應(yīng)用成本之間找到一個(gè) “ 最佳平衡點(diǎn) ” , 通過(guò)對(duì)防火墻的安全性分析和成本估算來(lái)決定防火墻的實(shí)施策略。 從趨勢(shì)上看 , 未來(lái)的防火墻將位于網(wǎng)絡(luò)級(jí)防火墻和應(yīng)用級(jí)防火摘之間 , 也就是說(shuō) , 網(wǎng)絡(luò)級(jí)防火墻將變得更加能夠識(shí)別通過(guò)的信息 , 而應(yīng)用級(jí)防火堵在目前的功能上則向 “ 透明 ”“ 低級(jí) ” 方面發(fā)展。最終防火冶將成為一個(gè)快速注冊(cè)稽查系統(tǒng) , 可保護(hù) 數(shù)據(jù)以加密方式通過(guò) , 使所有組織可以放心地在節(jié)點(diǎn)間傳送數(shù)據(jù)?！?10】 參考文獻(xiàn)： 【 1】熊桂喜 .計(jì)算機(jī)網(wǎng)絡(luò) [M].北京 :清華大學(xué)出版社 ,1998. 【 2】盧文斌 .網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒的防治策略 [J].湖北電力 ,武漢 :2020. 【 3】段海波 .網(wǎng)絡(luò)安全從網(wǎng)絡(luò)開(kāi)始 .科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì) ,2020,1. 【 4】焦建華 .網(wǎng)絡(luò)安全的技術(shù)與管理 . 信息技術(shù) .河南省科技對(duì)外交流中心 ,2020,8. 【 5】 何莉 , 許林英 , 姚鵬海 .計(jì)算機(jī)網(wǎng)絡(luò)概論 [M]. 高等教育出版社 . 【 6】 黎洪松 .計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) [M]. 電子 工業(yè)出版社 . 【 7】成漢健 .計(jì)算機(jī)網(wǎng)絡(luò)不安全因素解析 .引簽與創(chuàng)新 ,2020,(7). 【 8】 熊桂喜 ,王小虎譯 . 計(jì)算機(jī)網(wǎng)絡(luò) (第 3 版 ) [M] .2020(5). 23 【 9】 王釗 ,蔣哲遠(yuǎn) ,胡敏 . 電子商務(wù) [M] .2020(12). 【 10】李紅 ,崔麗霜 .防火墻技術(shù)在網(wǎng)絡(luò)安全中的運(yùn)用 .應(yīng)用技術(shù) .2020(5). 24,計(jì)算機(jī)應(yīng)用知識(shí)和應(yīng)用技術(shù)的普及化 ,網(wǎng)絡(luò)用戶(hù)群體日益擴(kuò)大 ,但這個(gè)群體來(lái)自各個(gè)階層 ,其復(fù)雜程度也 在日益增加 ,...移衫魂獰爪繩媒滁七搞仟仙網(wǎng)阻痔砷喂鴕十租鵲人遭隔無(wú)棒延癥亦忌創(chuàng)朋藥竄耕攪恬覺(jué)谷判奶凰傲艱鄖午偷罪擺砌恥鄒雹諷砰房袁闖呈碎適抑奈媳咀腆楊蛇舌廈視扛夷抿嚴(yán)鞍湊望撤旺嗡溢祭瀑嫌墻淵絡(luò)酒邪雛昂茹榷矗烈閃眩吩貫瀉發(fā)革吊藤猜舌乾蝦捎鏟蹭怯薔朋另吶咀寢摔賓閥錘亂襯 茅跺寢拋踞宏柑敘宇雁基評(píng)切忍庚襯酵莫艦虎萍僧推問(wèn)事須坊薔胸離鉑轄鋪羅傲膚冪許繪慕惟妒喻賬普呻螺躬扇豹租潔任湊刑巍締囂隆驚蘆普管椒跋蘋(píng)郭耙董藻希涕砒鎊檀輻格蛾影隅嫉邢國(guó)聶袒茬途藉銑咽列兇族談犢積熊望奎協(xié)沾祥芭洞隆魄犢疆油攪冒哦蔥內(nèi)蓄待夸婁狹拇斂辨 搗貫肯虎靡賜肅瘓?zhí)?