【正文】 南昌大學(xué)計(jì)算中心 65 2022/2/5 3．代理服務(wù)器（應(yīng)用級(jí)網(wǎng)關(guān)） ?應(yīng)用級(jí)網(wǎng)關(guān)可以工作在 OSI七層模型的任一層上來(lái)檢查進(jìn)出的數(shù)據(jù)包，通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。另外的兩個(gè)重要的缺陷是需要修改應(yīng)用程序和執(zhí)行程序與電路級(jí)網(wǎng)關(guān)要求終端用戶通過(guò)網(wǎng)關(guān)的認(rèn)證。 ?電路級(jí)網(wǎng)關(guān)的主要優(yōu)點(diǎn)就是提供 NAT，在使用內(nèi)部網(wǎng)絡(luò)地址機(jī)制時(shí)為網(wǎng)絡(luò)管理員實(shí)現(xiàn)安全提供了很大的靈活性。 169。而 WEB代理客戶端則可以得到很快速的響應(yīng)。 169。通過(guò)代理使得網(wǎng)絡(luò)管理員實(shí)現(xiàn)比包過(guò)濾路由器更嚴(yán)格的安全策略。代理是企圖在應(yīng)用層實(shí)現(xiàn)防火墻的功能，代理的主要特點(diǎn)是有狀態(tài)性。 169。 ?包過(guò)濾防火墻只按規(guī)則丟棄數(shù)據(jù)包而不作記錄和報(bào)告，沒(méi)有日志功能，沒(méi)有審計(jì)性。同時(shí)規(guī)則集的復(fù)雜性又沒(méi)有測(cè)試工具來(lái)檢 驗(yàn)其正確性，難免仍會(huì)心現(xiàn)漏洞，給黑客以可乘之機(jī)。 169。 安全策略可以按如下兩個(gè)邏輯來(lái)制訂： ?準(zhǔn)許訪問(wèn)除明確拒絕以外的全部訪問(wèn) —— 所有末被禁讓的都允許訪問(wèn)。 ?安全策略是防火墻的靈魂和基礎(chǔ)。狀態(tài)監(jiān)視服務(wù)的監(jiān)視模塊在不影響網(wǎng)絡(luò)安全正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)視，并作安全決策的依據(jù) 169。代理服務(wù)器只允許有代理的服務(wù)通過(guò)，而其他所商服務(wù)都完全被封鎖住。 ? 2．代理技術(shù) ? 代理服務(wù)器接收客戶請(qǐng)求后會(huì)檢查驗(yàn)證其合法性，如果合法，代理服務(wù)器像一臺(tái)客戶機(jī)一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶。按照預(yù)先設(shè)定的過(guò)濾原則過(guò)濾信息包。 169。這一功能可以克服 IP尋址方式的諸多限制，完善內(nèi)部尋址模式。代理服務(wù)器通常是指一個(gè)應(yīng)用級(jí)的網(wǎng)關(guān)，電路級(jí)網(wǎng)關(guān)也可作為代理服務(wù)器的一種。 ?4．包過(guò)濾 :包過(guò)濾是處理網(wǎng)絡(luò)上基于 packetbypacket流量的設(shè)備。 169。網(wǎng)關(guān)的范圍可以從互聯(lián)網(wǎng)應(yīng)用程序如公共網(wǎng)關(guān)接口（ CGl）到在兩臺(tái)主機(jī)間處理流量的防火墻網(wǎng)關(guān)。 169。 ?記錄 Inter活動(dòng)：防火墻還能夠強(qiáng)制日志記錄，并且提供警報(bào)功能。一個(gè)防火墻策略要實(shí)現(xiàn)四個(gè)目標(biāo)，而每個(gè)目標(biāo)通常都不是通過(guò)一個(gè)單獨(dú)的設(shè)備或軟件來(lái)實(shí)現(xiàn)的。 ?在計(jì)算機(jī)網(wǎng)絡(luò)中，一個(gè)網(wǎng)絡(luò)防火墻扮演著防備潛在的惡意的活動(dòng)的屏障，并可通過(guò)一個(gè) “ 門(mén) ” 來(lái)允許人們?cè)谀愕陌踩W(wǎng)絡(luò)和開(kāi)放的不安全的網(wǎng)絡(luò)之間通信 169。一般地，防火墻里都有一個(gè)重要的門(mén)，允許人們進(jìn)入或離開(kāi)大樓。在樓宇里用來(lái)起分隔作用的墻，用來(lái)隔離不同的房間，盡可能的起防火作用。 ? 第四代防火墻已超出了原來(lái)傳統(tǒng)意義上防火墻的范疇，已經(jīng)演變成一個(gè)全方位的安全技術(shù)集成系統(tǒng)，它可以抵御目前常見(jiàn)的網(wǎng)絡(luò)攻擊手段 169。 ? 第二代防火墻，也稱代理服務(wù)器，它用來(lái)提供網(wǎng)絡(luò)服務(wù)級(jí)的控制，起到外部網(wǎng)絡(luò)向被保護(hù)的內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用，這種方法可以有效地防止對(duì)內(nèi)部網(wǎng)絡(luò)的直接攻擊，安全性較高。南昌大學(xué)計(jì)算中心 54 2022/2/5 ? 自從 1986年美國(guó) Digital公司在 Intemet上安裝了全球第一個(gè)商用防火墻系統(tǒng)后，防火墻技術(shù)得到了飛速的發(fā)展。它還可用于當(dāng)你想讓別人檢查但不能復(fù)制信息的時(shí)候。使用這種方法解密在理論上是不可能的，其思想是通過(guò)比較兩個(gè)實(shí)體的 HASH值是否一樣而不用告之其它信息。南昌大學(xué)計(jì)算中心 53 2022/2/5 HASH加密 ?HASH加密把一些不同長(zhǎng)度的信息轉(zhuǎn)化成雜亂的 128位編碼，稱為 HASH值。如果一個(gè)用戶需要使用非對(duì)稱加密，那么即使比較少量的信息可以也要花上小時(shí)的時(shí)間。 ?在這對(duì)密鑰中一個(gè)密鑰用來(lái)公用，另一個(gè)作為私有的密鑰：用來(lái)向外公布的叫做公鑰，另一個(gè)需要安全保護(hù)的是私鑰。 — 對(duì)密鑰中一個(gè)用于加密，另一個(gè)用來(lái)解密。 169。這種特點(diǎn)允許你加密大量的信息而只需要幾秒鐘。要達(dá)到這種信任的級(jí)別比較困難，如果雙方試圖建立信任關(guān)系時(shí)，安全破壞已經(jīng)發(fā)生了，則密鑰的傳輸就是 — 個(gè)重要問(wèn)題，如果它被截取，那么這個(gè)密鑰以及相關(guān)的重要信息的安全性就喪失了。南昌大學(xué)計(jì)算中心 50 2022/2/5 對(duì)稱加密 ?在對(duì)稱加密或單密鑰加密中，只有一個(gè)密鑰用來(lái)加密和解密信息。 ?自動(dòng)： SSL和 IPSec可以通過(guò)一系列的握手可以安全地交換信息（包括私鑰）。一旦已經(jīng)產(chǎn)生了一對(duì)密鑰，就可以把公鑰發(fā)布給任何人。這種任務(wù)是用公鑰加密來(lái)完成的。南昌大學(xué)計(jì)算中心 49 2022/2/5 建立信任關(guān)系 ?應(yīng)用加密技術(shù)目的是在主機(jī)之間建立一種信任關(guān)系。強(qiáng)加密一般是使用超過(guò) 128位長(zhǎng)度的密鑰來(lái)實(shí)施。什么構(gòu)成了加密的強(qiáng)度 ?哪種級(jí)別的加密是被不同的安全需要所要求的？如何確定加密的有效強(qiáng)度？ ?加密強(qiáng)度取決于二個(gè)主要因素： ?首先是算法的強(qiáng)度 ,其次是密鑰的保密性 ,最后是密鑰長(zhǎng)度 ?一般的，決定需要密鑰的長(zhǎng)度的 — 個(gè)重要因素是被保護(hù)信息的價(jià)值。 169。 ? 不可否定性：數(shù)字簽名允許用戶證明一條信息交換確實(shí)發(fā)生過(guò)。 一種叫 HASH的運(yùn)算方法能確定數(shù)據(jù)是否被修改過(guò)。 ? 數(shù)據(jù)完整性：對(duì)需要更安全來(lái)說(shuō)數(shù)據(jù)保密是不夠的。 利用信息加密技術(shù)可以獲得以下安全上的好處： ? 數(shù)據(jù)保密性：這是使用加密的通常的原因。 大學(xué)計(jì)算機(jī)基礎(chǔ)與應(yīng)用 信息加密技術(shù) 169。當(dāng)口令與身份特征共同使用時(shí) , 智能卡的保密性能比較有效。所謂智能卡就是密鑰的一種媒體 , 一般就像信用卡一樣 , 由授權(quán)用戶所持有并由該用戶賦予它一個(gè)口令或密碼字。 169。南昌大學(xué)計(jì)算中心 44 2022/2/5 ?3．?dāng)?shù)據(jù)完整性鑒別技術(shù) :目的是對(duì)介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證 , 達(dá)到保密的要求 , 一般包括口令、密鑰、身份 、數(shù)據(jù)等項(xiàng)的鑒別 , 系統(tǒng)通過(guò)對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù) , 實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。 ?2．?dāng)?shù)據(jù)存儲(chǔ)加密技術(shù) :這種加密技術(shù)的目的是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密 , 可分為密文存儲(chǔ)和存取控制兩種。按作用不同 , 文件加密和數(shù)字簽名技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。 169。軟件防火墻是通過(guò)純軟件的方式來(lái)達(dá)到，價(jià)格很便宜，但這類防火墻只能通過(guò)一定的規(guī)則來(lái)達(dá)到限制一些非法用戶訪問(wèn)內(nèi)部網(wǎng)的目的。南昌大學(xué)計(jì)算中心 42 2022/2/5 防火墻技術(shù) ? 防火墻是一種由計(jì)算機(jī)硬件和軟件的組合 , 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān) , 從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，也就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開(kāi)的屏障?？上驳氖请S著殺毒軟件技術(shù)的不斷發(fā)展，現(xiàn)在的主流殺毒軟件同時(shí)對(duì)預(yù)防木馬及其它的一些黑客程序的入侵。南昌大學(xué)計(jì)算中心 41 2022/2/5 殺毒軟件技術(shù) ?殺毒軟件是最為普遍的，也是應(yīng)用得最為廣泛的安全技術(shù)方案，因?yàn)檫@種技術(shù)實(shí)現(xiàn)起來(lái)最為簡(jiǎn)單，但是殺毒軟件的主要功能就是殺毒，功能十分有限，不能完全滿足網(wǎng)絡(luò)安全的需要。 169。 ? 使用電子郵件的方