【正文】 網(wǎng)絡(luò)安全是動態(tài)的，新的 Inter 黑客站點、病毒與安全技術(shù)每日劇增，世界上不。首先應(yīng)在路由器和校園網(wǎng)的以太口預(yù)設(shè)控制組 102,然后過濾掉來自非法地址的所有 IP 包。再連接 Inter 端接收數(shù)據(jù)時 ,如從外部網(wǎng)絡(luò)收到一段假冒內(nèi)部 IP 地址發(fā)出的報文 ,也應(yīng)丟棄 ,并記錄有關(guān)信息。 3) 對校外非法網(wǎng)址的訪問 ,一般情況 ,一些傳播非法信息的站點主要在校外 ,而這些站點的域名可能是已知的。校園內(nèi)的 IP 地址范圍是確 24 定的 ,且有明確的閉和邊界 ,它有一個 C 類的 IP 地址 ,有 DNS、 Email、 WWW、 FTP等服務(wù)器 ,可采用以下存取控制策略。由于防火墻是一種按某種規(guī)則對專網(wǎng)和互聯(lián)網(wǎng) ,或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進行有條件的控制 (包括隔離 ),從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)部署防火墻技術(shù) [10],構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障 ,可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來 ,保護校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。 9），包括： 黑名單：在黑名單中的計算機禁止與本機通訊 白名單：在白 名單中的計算機對本地具有完全的訪問權(quán)限 端口開關(guān)：允許或禁止端口中的通訊，可簡單開關(guān)本機與遠程的端口 可信區(qū)：通過可信區(qū)的設(shè)置，可以把局域網(wǎng)和互聯(lián)網(wǎng)區(qū)分對待 IP 規(guī)則：在 IP 層過濾的規(guī)則 訪 問 規(guī) 則 ： 本 機 中 訪 問 網(wǎng) 絡(luò) 的 程 序 的 過 濾 規(guī) 則 圖 3。 當前版本及更新日期： 位于主界面右上角，顯示防火墻當前版本及更新日期。 8 示 : 圖 3。 標簽頁： 位于主界面上部，分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護】、【安全資訊】、【漏洞掃描】、【啟動選項】六個標簽。其他人都不能訪問您的計算機，但是您也不能再訪問網(wǎng)絡(luò)。如圖 3。 成功啟動程序后的界面如下圖 所示 : 圖 主要界面元素 菜單欄： 用于進行菜單操作的窗口，包括【操作】、【設(shè)置】、【幫助】三個菜單。 方法二：用鼠標雙擊桌面上的【瑞星個人防火墻】快捷圖標即可啟動。請確保此步設(shè)置正確，否則可能無法完 成智能升級。如果您不使用撥號方式上網(wǎng)，將不會看到界面中【使用撥號網(wǎng)絡(luò)連接】的選項以及相關(guān)設(shè)置。如果您已經(jīng)可以瀏覽網(wǎng)頁，說明網(wǎng)絡(luò)設(shè)置已經(jīng)配置好了，這里直接使用默認設(shè)置即可。您可以選中【使用安全升級模式】，確保升級期間阻止新的網(wǎng)絡(luò)連接 3。設(shè)定網(wǎng)絡(luò)連接方式，如果設(shè)定“通過代理服務(wù)器訪問網(wǎng)絡(luò)”，還需要輸入代理服務(wù)器 IP、端口、身份驗證信息。 圖 常見問題：不輸入產(chǎn)品序列號和用戶 ID，產(chǎn)品將無法升級，防火墻保護功能將全部失效，您的計算機將無法抵御黑客攻擊。 第二步完成安裝后，如圖 ： 20 圖 第三步輸入產(chǎn)品序列號和用戶 ID。 防火墻的應(yīng)用 個人防火墻的應(yīng)用 瑞星個人防火墻的應(yīng)用 1）安裝 第一步啟動安裝程序。目前，多使用狀態(tài)監(jiān)測防火墻，它對用戶透明，在 OSI 最高層上加密數(shù)據(jù)，而無需修改客戶端程序，也無需對每個需在防火墻上運行的服務(wù)額外增加一個代理。此外 ，它還可監(jiān)測 RPC 和 UDP 端口信息，而包過濾和代理都不支持此類端口。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識別進出的應(yīng)用層數(shù)據(jù)，這些算法通過己知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。能對網(wǎng)絡(luò)通信的各層實行檢測。 缺 點：在應(yīng)用支持方面存在不足，執(zhí)行速度較慢。 優(yōu)點：它將內(nèi)部用戶和外界隔離開來，使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。若合法，則把請求轉(zhuǎn)發(fā)到真實的服務(wù)器上，并將答復(fù)再轉(zhuǎn)發(fā)給用戶。這個“中間檢查站”就是代理服務(wù)器，它運行在兩個網(wǎng)絡(luò)之間，對網(wǎng)絡(luò)之間的每一個請求進行檢查。 （ 2）代理技術(shù) 代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。 2）包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息，訪問信息有限，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。包過濾技術(shù)實際上是一種基于路由器的技術(shù)，其最大優(yōu)點就是價格便宜，實現(xiàn)邏輯簡單便于安裝和使用。TCP/UDP 源端口 。該技術(shù)通?？梢赃^濾基于某些或所有下列信息組的 IP 包：源 IP 地址 。根據(jù)設(shè) 置好的過濾規(guī)則，通 19 過檢查 IP 數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。 應(yīng)用代理 (ApplicationProxy):也叫應(yīng)用網(wǎng)關(guān) (ApplicationGateway), 它作用在應(yīng)用層 ,其特點是完全 阻隔 了網(wǎng)絡(luò)通信流通過對每種應(yīng)用服務(wù)編制專門的代理程序 ,實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用 ,實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn) 【 8】 。作用在網(wǎng)絡(luò)層和傳輸層 ,它根據(jù)分組包頭源地址 ,目的地址和端口號 ,協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。 防火墻的種類 防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同 ,總體來講可分為二大類 :分組過濾 ,應(yīng)用代理。 防火墻可以強化網(wǎng)絡(luò)安全策略 ,通過以防火墻為中心的安全方案配置 ,能將所有安全軟件 (如口令加密身份認證審計等 )配置在防火墻上，對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計 :所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù) ,當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?,并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。 防火墻 的功能 防火墻是網(wǎng)絡(luò)安全的屏障 防火墻 (作為阻塞點 ,控制點 )能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性 ,并通過過濾不安全的服務(wù)而降低風(fēng)險。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。 Inter 防火墻 是一個或一組系統(tǒng)，它能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，用于加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取，防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的服務(wù)，以及哪些外部服務(wù)何時可以被內(nèi)部人員訪問。 18 第三章 防火墻技術(shù) 防火墻的定義 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口 ,能根據(jù)網(wǎng)絡(luò)的安全政策控制 (允許拒絕監(jiān)測 )出入網(wǎng)絡(luò)的信息流 ,且本身具有較強的抗攻擊能力。對于盜用 IP 資源的用戶必須依據(jù)管理制度嚴肅處理。同時，要不斷地加強計算機信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強安全技術(shù)建設(shè)，強化使用人員和管理人員的安全防范意識。其代表性的產(chǎn)品有LANdesk、 LANClear for NetWare 等 。 基于服務(wù)器的防治病毒方法，表現(xiàn)在可以集中式掃毒，能實現(xiàn)實時掃描功能，軟件升級方便。當然這一工作難度極大，需要不懈的努力。其典型的做法是開放病毒特征數(shù)據(jù) 庫。據(jù)有關(guān)資料報道，截止 1994 年 2 月 25 日，全世界流傳的 MSDOS 病毒達 2700 多種。如 LANdesk Virus Protect 采用 Lpscan，而 LANClear for NetWare 采用 world 程序等。病毒檔案一般包括：病毒類型、病毒名稱、帶毒文件所存的目錄及工作站標識等，另外，記錄對病毒文件處理方法。 (3)掃描選擇 該功 能允許網(wǎng)絡(luò)管理員定期檢查服務(wù)器中是否帶毒，例如可按每月、每星期、每天集中掃描一下網(wǎng)絡(luò)服務(wù)器，這樣就使網(wǎng)絡(luò)用戶擁有極大的操作選擇余地。這往往是設(shè)計一個 NLM 最重要的部分，即多線索的調(diào)度。 (2)實時在線掃描 網(wǎng)絡(luò)防病毒技術(shù)必須保持全天 24小時監(jiān)控網(wǎng)絡(luò)是否有帶毒文件進入服務(wù)器。 (1)對服務(wù)器中所有文件掃描 這一方法是對服務(wù)器的所有文件進行集中檢查看其是否帶毒，若有帶毒文件，則提供給網(wǎng)絡(luò)管理員幾種處 理方法。這些產(chǎn)品的目的都是保護服務(wù)器，使服務(wù)器不被感染。目前基于服務(wù)器的防治病毒方法大都采用了NLM(NetWare Load Module)技術(shù)以 NLM 模塊方式進行程序設(shè)計，以服務(wù)器為基礎(chǔ)，提供實 時掃描病毒能力。 Station Lock是目前網(wǎng)絡(luò)環(huán)境下防治病毒比較有效的方法。 Station Lock 能根據(jù)病毒活動辯別可 能的病毒攻擊意圖，并在它造成任 16 何破壞之前予以攔截。其作用對象包括多型體病毒和未來型病毒?；旌闲筒《竞投嘈误w病毒在實施感染之前也必須獲取系統(tǒng)控制權(quán)，才能運行病毒體程序而實施感染。例如，病毒是一個不具自我辨別能力的小程序，在病毒傳染過程中至少必須攔截一個 DOS 中斷請求，而且必須試圖改變程序指針，以便讓系統(tǒng)優(yōu)先執(zhí)行病毒程序從而獲得系統(tǒng)控制權(quán)。 采用 Station Lock 網(wǎng)絡(luò)防毒方法 Station Lock 是著名防病毒產(chǎn)品開發(fā)商 Trend Micro Devices 公司的新一代網(wǎng)絡(luò)防病毒產(chǎn)品。 Chipway 的特點是：①不占主板插槽，避免了沖突；②遵循網(wǎng)絡(luò)上國際標準，兼容性好； ③具有他工作站防毒產(chǎn)品的優(yōu)點。 市場上 Chipway 防病毒芯片就是采用了這種網(wǎng)絡(luò)防病毒技術(shù)。將工作站存取控制與病毒保護能力合二為一插在網(wǎng)卡的 EPROM 槽內(nèi)，用戶也可以免除許多繁瑣的管理工作。 采用工作站防病毒芯片 這種方法是將防病毒功能集成在一個芯片上，安裝在網(wǎng)絡(luò)工作站上，以便經(jīng)常性地保護工作站及其通往服務(wù)器的路徑。采用基于網(wǎng)絡(luò)目錄和文件安全性的方法對防止病毒起到了一定作用，但是這種方法畢竟是基于網(wǎng)絡(luò)操作系統(tǒng)的安全性的設(shè)計，存在著局限性。 由此可見，網(wǎng)絡(luò)上公用目錄或共享目錄的安全性措施，對于防止病毒在網(wǎng)上傳播起到積極作用。例如，對于公用目錄中的系統(tǒng)文件和工具軟件，應(yīng)該只設(shè)置只讀屬性，系統(tǒng)程序所在的目錄不要授予修改權(quán)和管理權(quán)。屬性優(yōu)先于訪問權(quán)限?！霸L問權(quán)限有：防問控制權(quán)、建立權(quán)、刪除權(quán)、文件掃描權(quán)、修改權(quán)、讀權(quán)、寫權(quán)和管理權(quán)。而且由于計算機軟件所要求的精確性，解毒軟件有其局限性，對有些變種病毒的清除無能為力。目前，清除病毒大都是在某種病毒出現(xiàn)后，通過對其進行分析研究而研制出來的具有相應(yīng)解毒功能的軟件。即對某個文件或數(shù)據(jù)段進行檢驗和計算并保存其結(jié)果，以后定期或不定期地以保存的結(jié)果對該文 件或數(shù)據(jù)段進行檢驗，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段完整性已遭到破壞，感染上了病毒，從而檢測到病毒的存在。它有兩種：一種是根據(jù)計算機病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù)。目前，對已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動態(tài)判定技術(shù)。以及可能造成危害的寫命令，并且判斷磁盤當前所處的狀態(tài)：哪一個磁盤將要進行寫操作，是否正在進行寫操作，磁盤是否處于寫保護等，來確定病毒是否將要發(fā)作。 預(yù)防病毒技術(shù)包括：磁盤引導(dǎo)