【正文】 169。南昌大學(xué)計(jì)算中心 64 2022/2/5 2．電路級(jí)網(wǎng)關(guān) ?電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的 TCP握手信息，這樣來(lái)決定該會(huì)話是否合法。南昌大學(xué)計(jì)算中心 63 2022/2/5 1． WEB代理 ?WEB代理服務(wù)的最大好處就是能提高訪問(wèn)Inter的速度：一旦 — 個(gè) WEB代理服務(wù)器配置了足夠的緩存，它就可以從這些緩存里對(duì)請(qǐng)求提供服務(wù)。代理能提供部分與傳輸方面的信息，代理也能處理管理信息。 同時(shí)它不能識(shí)別相同 IP地址的不同用戶，不具備用戶身份認(rèn)證等功能。南昌大學(xué)計(jì)算中心 61 2022/2/5 ?包過(guò)濾防火墻的優(yōu)點(diǎn)是簡(jiǎn)單、透明，其缺點(diǎn)是： ?該防火墻需從建立交全策略和過(guò)濾規(guī)則集入于，需要花費(fèi)大量的時(shí)間和人力，還要 不斷根據(jù)新情況不斷更新過(guò)濾規(guī)則集。在建立防火墻之前要在安全現(xiàn)狀、風(fēng)險(xiǎn)評(píng)估和商業(yè)需求的基礎(chǔ)上提出一個(gè)完備的總體安全策略，這是配制防火墻的關(guān)鍵。 ?3．狀態(tài)監(jiān)視技術(shù) ? 這是第三代網(wǎng)絡(luò)安全技術(shù)。那些不符合規(guī)定的 IP地址的信息包會(huì)被防火墻過(guò)濾掉，以保證網(wǎng)絡(luò)系統(tǒng)的安全。 ?7．堡壘主機(jī) :堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，被暴露于因特網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)的安全的目的。 ?5．代理服務(wù)器 :代理服務(wù)器代表內(nèi)部客戶端與外部的服務(wù)器通信。 ?2．電路級(jí)網(wǎng)關(guān) :電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息，決定該會(huì)話是否合法，電路級(jí)網(wǎng)關(guān)是在 OSI模型中會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包，這樣比包過(guò)濾防火墻要高兩層。 ?限制網(wǎng)絡(luò)暴露：防火墻在內(nèi)部網(wǎng)絡(luò)周?chē)鷦?chuàng)建了一個(gè)保護(hù)的邊界。南昌大學(xué)計(jì)算中心 56 2022/2/5 防火墻的任務(wù) ?防火墻在實(shí)施安全的過(guò)程中是至關(guān)重要的。一旦某個(gè)單元起火這種方法保護(hù)了其它的居住者。 ? 第三代防火墻有效地提高了防火墻的安全性，稱(chēng)為狀態(tài)監(jiān)控功能防火墻，它可以對(duì)每一層的數(shù)據(jù)包進(jìn)行檢測(cè)和監(jiān)控。 169。 HASH加密用于不想對(duì)信息解密或讀取。非對(duì)稱(chēng)加密的一個(gè)缺點(diǎn)就是加密的速度非常慢，因?yàn)樾枰獜?qiáng)烈的數(shù)學(xué)運(yùn)算程序。南昌大學(xué)計(jì)算中心 51 2022/2/5 非對(duì)稱(chēng)加密 ?非對(duì)稱(chēng)加密在加密的過(guò)程中使用一對(duì)密鑰，而不像對(duì)稱(chēng)加密只使用 — 個(gè)單獨(dú)的密鑰。 ?對(duì)稱(chēng)加密的好處就是快速并且強(qiáng)壯。 169。這種類(lèi)別的加密要求建立一個(gè)私鑰和一個(gè)公鑰。 169。南昌大學(xué)計(jì)算中心 48 2022/2/5 加密強(qiáng)度 ?在加密信息的過(guò)程中， — 個(gè)常被討論但又經(jīng)常被誤解的方面是加密強(qiáng)度。 ? 認(rèn)證：數(shù)字簽名提供認(rèn)證服務(wù)。通過(guò)小心使用數(shù)學(xué)方程式，可以保證只讓有權(quán)接收的人才能查看它。該技術(shù)是目前使用得最廣泛的，如常用的 IC卡、銀行取款卡、智能門(mén)鎖卡等等 ?但應(yīng)當(dāng)了解的是： “ 安全 ” 都是相對(duì)，不可能寄希望有了安全措施之后就能保證信息萬(wàn)無(wú)一失，任何網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的防范措施是有一定的限度。南昌大學(xué)計(jì)算中心 45 2022/2/5 加密技術(shù)在智能卡上的應(yīng)用 ?與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項(xiàng)技術(shù)則是智能卡技術(shù)。 169。南昌大學(xué)計(jì)算中心 43 2022/2/5 文件加密和數(shù)字簽名技術(shù) ?與防火墻配合使用的安全技術(shù)還有文件加密與數(shù)字簽名技術(shù)，它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性 , 防止秘密數(shù)據(jù)被外部竊取、偵聽(tīng)或破壞所采用的主要技術(shù)手段之一。 ? 防火墻從實(shí)現(xiàn)方式上來(lái)分，又分為硬件防火墻和軟件防火墻兩類(lèi)，通常意義上講的硬防火墻為硬件防火墻，它是通過(guò)硬件和軟件的結(jié)合來(lái)達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的，價(jià)格較貴，但效果較好，一般小型企業(yè)和個(gè)人很難實(shí)現(xiàn)。這種方式對(duì)于個(gè)人用戶或小企業(yè)或許還能滿足需要，但如果個(gè)人或企業(yè)有電子商務(wù)方面的需求，就不能完全滿足了?，F(xiàn)在還有一些木馬采用的是通過(guò)發(fā)送 UDP或者ICMP數(shù)據(jù)包的方式通知攻擊者。如果攻擊者有辦法把木馬執(zhí)行文件上載到攻擊主機(jī)的一個(gè)可執(zhí)行 WWW目錄夾里面，他可以通過(guò)編制 Cgi程序在攻擊主機(jī)上執(zhí)行木馬目錄 . ?木馬還可以利用系統(tǒng)的一些漏洞進(jìn)行植入，如微軟著名的 IIS服務(wù)器溢出漏洞，通過(guò)一個(gè) IISHACK攻擊程序即在把 IIS服務(wù)器崩潰，并且同時(shí)在攻擊服務(wù)器執(zhí)行遠(yuǎn)程木馬執(zhí)行文件 169。攻擊者要通過(guò)木馬攻擊你的系統(tǒng)，他所做的第一步是要把木馬的服務(wù)器端程序植入到你的電腦里面。南昌大學(xué)計(jì)算中心 35 2022/2/5 木馬的基本知識(shí) ?木馬，也稱(chēng)特伊洛木馬，名稱(chēng)源于古希臘的特伊洛馬神話 ?通過(guò)對(duì)以往網(wǎng)絡(luò)安全事件的分析統(tǒng)計(jì)發(fā)現(xiàn)，有相當(dāng)部分的網(wǎng)絡(luò)入侵是通過(guò)木馬來(lái)進(jìn)行的，包括著名的微軟被黑一案，據(jù)稱(chēng)該黑客是通過(guò)一種普通的蠕蟲(chóng)木馬侵入微軟的系統(tǒng)的，并且竊取了微軟部分產(chǎn)品的源碼。明確安全對(duì)象，設(shè)置強(qiáng)有力的安全保障體系。南昌大學(xué)計(jì)算中心 31 2022/2/5 9．端口掃描攻擊 ?所謂端口掃描，就是利用 Socket編程與目標(biāo)主機(jī)的某些端口建立 TCP連接、進(jìn)行傳輸協(xié)議的驗(yàn)證等，從而偵知目標(biāo)主機(jī)的掃描端口是否是處于激活狀態(tài)、主機(jī)提供了哪些服務(wù)、提供的服務(wù)中是否含有某些缺陷等等。若攻擊者特別配置一串準(zhǔn)備用作攻擊的字符，他甚至可以訪問(wèn)根目錄，從而擁有對(duì)整個(gè)網(wǎng)絡(luò)的絕對(duì)控制權(quán)。南昌大學(xué)計(jì)算中心 30 2022/2/5 8．安全漏洞攻擊 ?許多系統(tǒng)都有這樣那樣的安全漏洞（ Bugs）。南昌大學(xué)計(jì)算中心 29 2022/2/5 7．利用黑客軟件攻擊 ?利用黑客軟件攻擊是互聯(lián)網(wǎng)上比較多的一種攻擊手法。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時(shí)，用戶輸入的密碼需要從用戶端傳送到服務(wù)器端，而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽(tīng)。南昌大學(xué)計(jì)算中心 27 2022/2/5 5．通過(guò)一個(gè)節(jié)點(diǎn)來(lái)攻擊其他節(jié)點(diǎn) ?攻擊者在突破一臺(tái)主機(jī)后，往往以此主機(jī)作為根據(jù)地，攻擊其他主機(jī)（以隱蔽其入侵路徑，避免留下蛛絲馬跡）。相對(duì)于其它的攻擊手段來(lái)說(shuō)，這種攻擊方法具有簡(jiǎn)單、見(jiàn)效快等優(yōu)點(diǎn) 169。 169。攻擊者在收到這些信息后，再利用這個(gè)潛伏在其中的程序，就可以任意地修改該用戶的計(jì)算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視其整個(gè)硬盤(pán)中的內(nèi)容等，從而達(dá)到控制該計(jì)算機(jī)的目的。同時(shí)由于為數(shù)不少的操作系統(tǒng)都存在許多安全漏洞、 Bug或一些其他設(shè)計(jì)缺陷，這些缺陷一旦被找出，入侵者就可以長(zhǎng)驅(qū)直入。 ? （ 2）在知道用戶的賬號(hào)后（如電子郵件 前面的部分）利用一些專(zhuān)門(mén)軟件強(qiáng)行破解用戶口令，這種方法不受網(wǎng)段限制，但攻擊者要有足夠的耐心和時(shí)間。這種方法的前提是必須先得到該主機(jī)上的某個(gè)合法用戶的帳號(hào)，然后再進(jìn)行合法用戶口令的破譯。南昌大學(xué)計(jì)算中心 20 2022/2/5 網(wǎng)絡(luò)攻擊的步驟 ?第一步：隱藏自已的位置 ?第二步：尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī) ?第三步：獲取帳號(hào)和密碼，登錄主機(jī) ?第四步：獲得控制權(quán) ?第五步：竊取網(wǎng)絡(luò)資源和特權(quán) ?攻擊者進(jìn)入攻擊目標(biāo)后，會(huì)繼續(xù)下一步的攻擊。其實(shí)，單從技術(shù)上說(shuō)，黑客入侵的動(dòng)機(jī)是成為目標(biāo)主機(jī)的主人。南昌大學(xué)計(jì)算中心