【正文】 VPN 可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連 第 31 頁(yè) 接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。 VPN 隧道原理圖如圖 65 所示。對(duì)等路由器解密數(shù)據(jù)并轉(zhuǎn)發(fā)給自己局域網(wǎng)上的相應(yīng)主機(jī)。 虛擬專用網(wǎng)（ VPN） VPN 即 虛擬專用網(wǎng) ，是通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。 6) 系統(tǒng)易于管理和維護(hù)。 4) 多數(shù)產(chǎn)品存在誤報(bào)和漏報(bào)，要注意產(chǎn)品的誤報(bào)和漏報(bào)率。 2) 最大可處理流量是多少，是否能滿足網(wǎng)絡(luò)的需要，注意不要產(chǎn)生網(wǎng)絡(luò)瓶頸。 第 30 頁(yè) 入侵檢測(cè) 產(chǎn)品的選購(gòu)原則 目前 ，入侵監(jiān)測(cè)產(chǎn)品很多，在選購(gòu)過(guò)程中要注意一下基本原則。往往用一臺(tái)計(jì)算機(jī)監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包進(jìn)行判斷。主機(jī)入侵監(jiān)測(cè)系統(tǒng)保護(hù)的是一般主機(jī)所在的系統(tǒng)。 入侵監(jiān)測(cè)系統(tǒng)一般可分為主機(jī)型和網(wǎng)絡(luò)型。 6) 操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)。 4) 識(shí)別已知的攻擊行為。 2) 檢查系統(tǒng)配置和漏洞。入侵檢測(cè)系統(tǒng)可以在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，可以提供對(duì)內(nèi)部攻擊、外部攻擊的實(shí)時(shí)保護(hù)，是一種主動(dòng)的網(wǎng)絡(luò)訪問(wèn)監(jiān)控手段。 入侵檢測(cè)系統(tǒng)的功能及分類 入侵檢測(cè) 系統(tǒng)已成為抵御網(wǎng)絡(luò)攻擊的一種有效方式。更好的防御措施是通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的信息進(jìn)行收集并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。不能把“安全保護(hù)” 完全依賴于防火墻。 6) 根據(jù)網(wǎng)絡(luò)變化及時(shí)調(diào)整安全策略。 4) 保證整個(gè)系統(tǒng)處于優(yōu)質(zhì)服務(wù)狀態(tài)，必須全天候地對(duì)主機(jī)系統(tǒng)進(jìn)行監(jiān)控、管理和維護(hù)，達(dá)到萬(wàn)無(wú)一失。 2) 實(shí)施定期的掃描和檢查，發(fā)現(xiàn)系統(tǒng)結(jié)構(gòu)出了問(wèn)題，能及時(shí)排除和恢復(fù)。為此，網(wǎng)絡(luò)管理維護(hù)人員應(yīng)做好以下工作。 防火墻的維護(hù) 防火墻的 管理和維護(hù)使一項(xiàng)長(zhǎng)期、細(xì)致的工作。雖然存在多種認(rèn)證技術(shù)，它們均使用增強(qiáng)的認(rèn)證機(jī)制產(chǎn)生難被攻擊者重用的口令和密鑰。即使用戶使用復(fù)雜的難于猜測(cè)和破譯的口令，攻擊者仍然可以在 Inter 上監(jiān)視傳輸?shù)目诹蠲魑?，使傳統(tǒng)的口令機(jī)制形同虛設(shè)。而多數(shù)防火墻都是在兩者之間采取折衷。通常有兩種基本設(shè)計(jì)策略，即禁止任何服務(wù)除非被明確允許和允許任何服務(wù)除非被明確禁止。典型的服務(wù)訪問(wèn)策略有允許通過(guò)增強(qiáng)認(rèn) 第 28 頁(yè) 證的用戶在必要的情況下從 Inter 訪問(wèn)某些內(nèi)部主機(jī)與服務(wù)和允許內(nèi)部用戶訪問(wèn)指定的 Inter 主機(jī)與服務(wù)。服務(wù)訪問(wèn)策略必須是可行的和合理的。 設(shè)置防火墻的策略 影響 Firewall 系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級(jí)，高級(jí)的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級(jí)的網(wǎng)絡(luò)策略描述 Firewall 如何限制和過(guò)濾在高級(jí)策略中定義的服務(wù)。 防火墻的策略與維護(hù) 防火墻要實(shí)現(xiàn)其應(yīng)有的功能，關(guān)鍵在于正確的 配置，許多有防火墻的站點(diǎn)被篡改，往往不是防火墻本身的缺陷造成的，而是由于防火墻管理員配置不正確造成的。采用哪種技術(shù)主要取決于經(jīng)費(fèi)，投資的大小或技術(shù)人員的技術(shù)、時(shí)間等因素。 工 作 站服 務(wù) 器堡 壘主 機(jī)工 作 站局域網(wǎng)內(nèi) 部路 由 器外 部路 由 器服 務(wù) 器工 作 站防 火 墻內(nèi) 部 網(wǎng) 絡(luò) 圖 64 屏蔽子網(wǎng)示意圖 在實(shí)際應(yīng)用中建造防火墻時(shí)，一般很少采用單一的技術(shù)，通常采用多種解決不同問(wèn)題的技術(shù)的組合。這種配置使得危險(xiǎn)帶僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)得路由器。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問(wèn)被屏蔽子網(wǎng)，但禁止它們穿過(guò)被屏蔽子網(wǎng)通信，像 WWW 和 FTP 服務(wù)器可放在DMZ 中。 工 作 站服 務(wù) 器堡 壘主 機(jī)工 作 站屏 蔽 路 由 器防 火 墻工 作 站內(nèi) 部 網(wǎng) 絡(luò) 圖 63 屏蔽主機(jī)示意圖 屏蔽子網(wǎng)體系結(jié)構(gòu) 這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過(guò)濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。 第 26 頁(yè) 雙 穴主 機(jī)防 火 墻工 作 站服 務(wù) 器服 務(wù) 器工 作 站工 作 站內(nèi) 部 網(wǎng) 絡(luò) 圖 62 雙穴主機(jī)示意圖 屏蔽主機(jī)體系結(jié)構(gòu) 屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也很安全，因此應(yīng)用廣泛。雙穴主機(jī)的缺點(diǎn)是一旦入侵者侵入堡壘主機(jī)并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問(wèn)內(nèi)部網(wǎng)絡(luò)。 堡壘主機(jī)的系統(tǒng)軟件可以用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外網(wǎng)連接，每塊網(wǎng)卡都有獨(dú)立的 IP 地址。 防火墻的體系結(jié)構(gòu) 防火墻的體系結(jié)構(gòu)一般有 : 雙穴 主機(jī)體系結(jié) 構(gòu)；屏蔽主機(jī)體系結(jié)構(gòu)；屏蔽子網(wǎng)體系結(jié)構(gòu)。 IDS 系統(tǒng)作為必要附加手段，已經(jīng)為大多數(shù)企業(yè)的安全構(gòu)架所接受。 由于防火墻的局限性，因此僅在內(nèi)部網(wǎng)絡(luò)入 口設(shè)置防火墻系統(tǒng)不能有效地保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全。防火墻保護(hù)別人有時(shí)卻無(wú)法保護(hù)自己，目前還沒(méi)有廠商絕對(duì)保證防火墻不會(huì)存在安全漏洞。防火墻內(nèi)部的一個(gè)合法用戶主動(dòng)泄密，防火墻是無(wú)能為力的。 5) 防火墻不能防止利用服務(wù)器系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞所進(jìn)行的攻擊。 3) 由于防火墻性能上的限制，因此它通常不具備時(shí)實(shí)監(jiān)控入侵的能力。沒(méi)有經(jīng)過(guò)防火 墻的數(shù)據(jù)，防火墻無(wú)法檢查。 防火墻的局限性 通常，人們認(rèn)為防火墻可以保護(hù)處于它身后的內(nèi)部網(wǎng)絡(luò)不受外界的侵襲和干擾，但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，傳統(tǒng)防火墻在使用的過(guò)程中暴露出以下不足和弱點(diǎn)。 5) 對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和報(bào)警。 3) 封堵某些禁止的業(yè)務(wù)。 1) 過(guò)濾 進(jìn)、出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)。 防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，通過(guò)控制和檢測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理，防止外部網(wǎng)絡(luò)不安全的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)重要信息流到外部網(wǎng)絡(luò)。 6) 為監(jiān)視網(wǎng)絡(luò)安全提供方便。 4) 只有按本地的安全策略被授權(quán)的信息才允許通過(guò)。 2) 確保內(nèi)部網(wǎng)向外部網(wǎng)的全功能互聯(lián)。應(yīng)用防 Internet 內(nèi)部網(wǎng) 防火墻 路由器 第 24 頁(yè) 火墻可以達(dá)到以下目的。 計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中的防火墻指位于不同網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組合，作為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，并根據(jù)用戶的有關(guān)安 全策略控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出不同網(wǎng)絡(luò)安全域的訪問(wèn)，如圖 61所示。然而，多數(shù)防火墻里都有一個(gè)重要的門，允許人們進(jìn)入或離開房屋。但是客觀地講，防火墻并不能完全解決網(wǎng)絡(luò)安全問(wèn)題，而只是網(wǎng)絡(luò)安全政策中的一個(gè)組成部分。目前出現(xiàn)的很多網(wǎng)絡(luò)安全問(wèn)題都證明大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)的。在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過(guò)程中，防火墻作為第一道安全防線，受到越來(lái)越多用戶的關(guān)注。 4) 目前預(yù)防 病毒最好的辦法就是在計(jì)算機(jī)中安裝具有實(shí)時(shí)監(jiān)控功能的防病毒軟件，并及時(shí)升級(jí)。 3) 建立健全的網(wǎng)絡(luò)系統(tǒng)安全管理制度，嚴(yán)格操作規(guī)程和規(guī)章制度，定期做文件備份和病毒檢測(cè)。因此，必須設(shè)置復(fù)雜的密碼，才能有效地防止病毒入侵。為工作站上用戶賬號(hào)設(shè)置復(fù)雜 的密碼。 1) 在計(jì)算機(jī)網(wǎng)路中，要保證系統(tǒng)管理員有最高的訪問(wèn)權(quán)限，避免過(guò)多地出現(xiàn)超級(jí)用戶。 6) 在內(nèi)部網(wǎng)絡(luò)出口進(jìn)行訪問(wèn)控制 網(wǎng)絡(luò)病毒一般都使用某些特定的端口收發(fā)數(shù)據(jù)包以進(jìn)行網(wǎng)絡(luò)傳播，在網(wǎng)絡(luò)出口的防火墻或路由器上禁止這端口訪問(wèn)內(nèi)網(wǎng)絡(luò)，可以有效地防止內(nèi)部網(wǎng)絡(luò)中計(jì)算機(jī)感染網(wǎng)絡(luò)病毒。及時(shí)對(duì)反病毒軟件進(jìn)行升級(jí)，能有效地防止病毒的入侵和擴(kuò)散。 5) 建立嚴(yán)密的病毒監(jiān)視體系 后臺(tái)實(shí)時(shí)掃描病毒的應(yīng)用程序也可有效地預(yù)防病毒的侵襲。對(duì)付病毒破壞最有效的辦法就是制作備份。即使病毒在可執(zhí)行文件加密前傳染了該文件，該文件解碼后，病毒也不能向其他可執(zhí)行文件傳播，從而杜絕了病毒的復(fù)制。軟件加密就是將系統(tǒng)中可執(zhí)行文件加密。對(duì)于進(jìn)入系統(tǒng)內(nèi)的病毒，一般采用專家系統(tǒng)對(duì)系統(tǒng)參數(shù)進(jìn)行分析，以識(shí)別系統(tǒng)的不正常處和未經(jīng)授權(quán)的改變。開發(fā)并完善高安全的操作系統(tǒng)并向之遷移，例如，從 DOS 平臺(tái)移至安全性較高的 UNIX或 Windows 2020平臺(tái)，并且跟隨版本和操作系統(tǒng)補(bǔ)丁的升級(jí)而全面升級(jí)，是有效防止病毒的入侵和蔓延的一種根本手段。應(yīng)采用縱深防御的方法，采用多種阻塞渠道和多種安全機(jī)制對(duì)病毒進(jìn)行隔離，這是保護(hù)計(jì)算機(jī)系統(tǒng)免遭病毒危害的有效方法。 2) 加強(qiáng)教育和宣傳，打擊盜版。形成一套完整的安全機(jī)制，使病毒無(wú)法逾越計(jì)算機(jī)安全保護(hù)的屏障，病毒便無(wú)法廣泛傳播。所以，我們就必須使用各種方法來(lái)防范計(jì)算機(jī)病毒，既而，反病毒技術(shù)也得到了迅速的發(fā)展。 8) 占用 CPU 運(yùn)行時(shí)間，使主機(jī)運(yùn)行效率降低。 6) 對(duì)整個(gè)磁盤或磁盤的特定扇區(qū)進(jìn)行格式化，使磁盤中的全部或部分信息丟失使受損的數(shù)據(jù)難以恢復(fù)。 4) 產(chǎn)生垃圾文件，占據(jù)磁盤及內(nèi)存空間，使磁盤空間逐漸減少。 2) 刪除軟盤 或硬盤上的可執(zhí)行文件或數(shù)據(jù)文件，使文件丟失。 計(jì)算機(jī)病毒的可觸發(fā)性是指病毒因某個(gè)事件或某個(gè)數(shù)值的出現(xiàn)，誘發(fā)病毒發(fā)作。 計(jì)算機(jī)病毒的潛伏性是指病毒具有依附其他媒體而寄生的能力。 計(jì)算機(jī)病毒的特征 計(jì)算機(jī)病毒是一種特殊的程序，所以它除了具有與其他正常程序一樣的特性外，還具有與眾不同的基本特征。 3) 混合型病毒是指?jìng)魅究蓤?zhí)行文件又傳染引導(dǎo)程序的計(jì)算機(jī)病毒。 1) 引導(dǎo)型病毒是指?jìng)魅居?jì)算機(jī)系統(tǒng)磁盤引導(dǎo)程序的計(jì)算機(jī)病毒。現(xiàn)在比較準(zhǔn)確的定義是：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用，并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。因此，對(duì)于任何使用計(jì)算機(jī)的個(gè)人和單位，都必須學(xué)會(huì)如何來(lái)防范計(jì)算機(jī)病毒。 第 19 頁(yè) 第 5 章 網(wǎng)絡(luò)病毒防范 計(jì)算機(jī)病毒概述 計(jì)算機(jī)以及網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，給人們的生活帶來(lái)了極大的方便，然而計(jì)算機(jī)在給我們帶來(lái)便捷的同時(shí)，也給我們帶來(lái)了不利的因素，那就是計(jì)算機(jī)病毒。 5) 對(duì)保密性要求較高的郵件使用數(shù)字標(biāo)識(shí)對(duì)郵件進(jìn)行加密。 4) 使用并時(shí)常升級(jí)防毒軟件，定期對(duì)計(jì)算機(jī)進(jìn)行病毒檢查。對(duì)于重要的郵件要通過(guò)數(shù)字簽名來(lái)證明用戶郵件的身份，使用數(shù)字簽名可使收件 第 18 頁(yè) 人相信郵件是由發(fā)送方的機(jī)器發(fā)送的，并且未被偽造或篡改。 2) 警惕欺騙性的電子郵件。特別是來(lái)歷不明又包含附件的郵件，即使附件看來(lái)好像是 .jpg(圖形文件 )文件，也不要輕易打開它，因?yàn)?Windows 允許用戶在文件命名時(shí)使用多個(gè)后綴，而許多電子郵件程序只顯示第一個(gè)后綴。郵件客戶端的安全防范主要有一下幾點(diǎn)。 郵件客戶端的安全 Email 是目前網(wǎng)絡(luò)上傳播病毒與黑客程序的主要途徑之一。 5) 在郵件服務(wù)器上使用防病毒軟件，監(jiān)控收、發(fā)的郵件中是否有病毒，并自動(dòng)采取清除病毒的措施。同時(shí)使用網(wǎng)絡(luò)防火墻對(duì)進(jìn)入郵件服務(wù)器 Email 的地址和風(fēng)險(xiǎn)的關(guān)鍵字進(jìn)行控制、過(guò)濾以屏蔽不良的 Email。 3) 防止來(lái)自外部網(wǎng)絡(luò)的攻擊，包括拒絕來(lái)自指定地址和域名的郵件服務(wù)器連接請(qǐng)求，拒絕收信人數(shù)量大于預(yù)定上限的郵件，限制單個(gè) IP 地址的連接數(shù)量，暫時(shí)擱置可疑的信息等。 2) 對(duì)于網(wǎng)絡(luò)入侵的防范，在服務(wù)器端要考慮郵件信息的過(guò)濾、病毒的檢測(cè)等措施，控制不良郵件和帶病毒 的郵件的入侵。 郵件服務(wù)器的安全與可靠性 1) 建立一個(gè)安全的電子郵件系統(tǒng)，采用合適的安全標(biāo)準(zhǔn)非常重要。 如果系統(tǒng)突然變得遲鈍，或人們開始抱怨 Email 速度大幅減慢，或不能收、發(fā)Email，這時(shí) Email 服務(wù)器可能正忙于處理極大數(shù)量的信息。 Email 轟炸主要的風(fēng)險(xiǎn)來(lái)自 Email 服務(wù)器。一條信息被傳給成千上萬(wàn)的不斷擴(kuò)大的用戶。用戶應(yīng)了解，一般網(wǎng)絡(luò)管理人員都不會(huì)用 Email 發(fā)出這樣的要求。當(dāng)用戶收到的電子郵件中涉及敏感信息時(shí)，用戶要適當(dāng)分析，認(rèn)真核對(duì)郵件的發(fā)送者，郵件信息表頭中的信息等。 Email 欺騙 Email 欺騙行為表現(xiàn)形式可能各異，但原理相同，通常是欺騙用戶進(jìn)行一個(gè)毀壞性的操作或暴露敏感信息（比如密碼）。這個(gè)腳本在信息中作為一個(gè)小圖標(biāo)，用戶點(diǎn)擊這個(gè)圖像，就會(huì)打開一個(gè)小程序，甚至?xí)卩]件打開時(shí)自動(dòng)運(yùn)行。與標(biāo)準(zhǔn)的基于文本的 Inter 郵件不同，郵件客戶端軟件和網(wǎng)頁(yè)瀏覽器可以執(zhí)行腳本。郵件的信息可能攜帶會(huì)損害服務(wù)器或客戶機(jī)的指令。 Email 系統(tǒng)之所以是一種最脆弱的服務(wù)，是因?yàn)樗梢越邮軄?lái)自 Inter 上任何主機(jī)的任何數(shù)據(jù)。 為保證安全的服務(wù)，要 認(rèn)證用戶而不是認(rèn)證主機(jī)名和 IP 地址。但生存期過(guò)長(zhǎng)對(duì)數(shù)據(jù)庫(kù)的更改也不利。從而干擾了正常的 DNS 通信，導(dǎo)致應(yīng)用服務(wù)器無(wú)法給外界提供服務(wù)，網(wǎng)站發(fā)生癱瘓。 增強(qiáng) DNS 服務(wù)的安全性 DNS 服務(wù)器 將 DNS 服務(wù)器分布在不同的網(wǎng)絡(luò)中，以防御拒絕服務(wù)的攻擊。 名字欺騙技術(shù) 當(dāng)允許用戶執(zhí)行遠(yuǎn)程系統(tǒng)命令時(shí)，系統(tǒng)管理員往往在某些主機(jī)之間建立相互信任的關(guān)系，當(dāng)主機(jī)間的信任是借助名字并通過(guò) DNS 來(lái)認(rèn)證時(shí)，就會(huì)導(dǎo)致名字欺騙的出現(xiàn)。 利用被控制的 DNS 服務(wù)器入侵整個(gè)網(wǎng)絡(luò) 當(dāng)一個(gè)入侵者控制了 DNS 服務(wù)器后，他就可以隨意篡改 DNS 的記錄信息，甚至使用這些被篡改的記錄信息來(lái)達(dá)到進(jìn)一步入侵整個(gè)網(wǎng)絡(luò)的目的。 DNS 的