【正文】 ? ？簡述防火墻的優(yōu)缺點(diǎn)及構(gòu)成。 ? ? ? 。防火墻是在 Inter和 Intra之間構(gòu)筑的一道屏障 ,用以保護(hù) Intra中的信息、資源等不受來自 Inter中非法用戶的侵犯。黑客(入侵者 )常常利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò) ,他們往往會通過計(jì)算機(jī)系統(tǒng)漏洞來入侵。本章介紹的信息系統(tǒng)安全防范技術(shù)特別是訪問控制技術(shù) ,能有效防范非法入侵。該網(wǎng)站上的另一個(gè)中等程度的漏洞是 finger服務(wù) ,該服務(wù)暴露了這臺機(jī)器的用戶名。 防火墻產(chǎn)品 Firewall1防火墻 系列防火墻 Firewall Inter Devices 系列防火墻 北京天融信公司網(wǎng)絡(luò)衛(wèi)士防火墻 Gauntlet防火墻 防火墻的安全業(yè)務(wù) 導(dǎo)入案例中提到 ,攻擊程序通過緩沖區(qū)溢出錯(cuò)誤使入侵者可以在網(wǎng)站服務(wù)器上用任何身份執(zhí)行任何指令。它的特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段 ,外部計(jì)算 機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器上 ,因此實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離 ,其安全點(diǎn)也設(shè)置于 OSI模型的應(yīng)用層。 代理服務(wù)器防火墻 代理服務(wù)器技術(shù)是防火墻技術(shù)中最受推崇的一種 ,它的優(yōu)點(diǎn)在于可以將被保護(hù)的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)屏蔽起來 ,增強(qiáng)網(wǎng)絡(luò)的安全性能 ,同時(shí)可實(shí)施數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等增強(qiáng)功能。 包過濾防火墻 包過濾防火墻是最簡單的防火墻 ,通常只對源地址和目的地址及端口進(jìn)行檢查。 (4)對網(wǎng)絡(luò)訪問進(jìn)行記錄和統(tǒng)計(jì)。 (2)控制對特殊站點(diǎn)的訪問。安裝防火墻就是保護(hù)企業(yè)內(nèi)部網(wǎng)中信息安全的一項(xiàng)重要措施。一旦企業(yè)內(nèi)部網(wǎng)連入 Inter,就意味著 Inter上的每個(gè)用戶都有可能訪問企業(yè)內(nèi)部網(wǎng)。 我們知道 ,企業(yè)的電子商務(wù)系統(tǒng)是基于Inter上的 ,這方便了企業(yè)內(nèi)部之間以及企業(yè)與外部的信息交流 ,提高了工作效率。邏輯炸彈和時(shí)間炸彈會在滿足某個(gè)條件時(shí)或到預(yù)定的時(shí)間時(shí)發(fā)作 ,破壞計(jì)算機(jī)系統(tǒng)。 其他攻擊方式 其他的攻擊方法主要是指利用一些程序進(jìn)行攻擊 ,比如陷門、后門、程序中的邏輯炸彈和時(shí)間炸彈、病毒、特洛伊木馬程序等。 (2)拒絕服務(wù)。 電子郵件攻擊 電子郵件系統(tǒng)面臨著巨大的安全風(fēng)險(xiǎn) ,它不但要遭受前面所述的許多攻擊 ,而且容易成為某些專門面向郵件的攻擊的目標(biāo)。二是利用這種漏洞可以執(zhí)行任意指令 ,甚至可以取得系統(tǒng)特權(quán)。產(chǎn)生緩沖區(qū)溢出的根本原因在于 ,將一個(gè)超過緩沖區(qū)長度的字串被拷貝到緩沖區(qū)。對付監(jiān)聽的最有效的辦法是采取加密手段傳輸數(shù)據(jù)。當(dāng)前 ,網(wǎng)上的數(shù)據(jù)絕大多數(shù)都是以明文的形式傳輸 ,而且口令通常都很短 ,容易辨認(rèn)。網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個(gè)位置進(jìn)行 ,如局域網(wǎng)中的一臺主機(jī)、網(wǎng)關(guān)上 ,路由設(shè)備或交換設(shè)備上 ,或遠(yuǎn)程網(wǎng)的調(diào)制解調(diào)器之間等。 網(wǎng)絡(luò)監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽工具是黑客們常用的一類工具。管理員還可以使用網(wǎng)絡(luò)監(jiān)視工具來發(fā)現(xiàn)這種類型的攻擊 ,甚至發(fā)現(xiàn)攻擊的來源。 對拒絕服務(wù)攻擊 ,目前還沒有好的解決辦法。 拒絕服務(wù)攻擊會降低資源的可用性 ,這些資源可以是處理器、磁盤空間、 CPU使用的時(shí)間、打印機(jī)、調(diào)制解調(diào)器 ,甚至是系統(tǒng)管理員的時(shí)間。這就是拒絕服務(wù)攻擊 (DoS, Denial of Service)。對付口令攻擊的有效手段是加強(qiáng)口令管理 ,選取特殊的不容易猜測的口令 ,口令長度不要少于 8個(gè)字符。 口令攻擊 當(dāng)前 ,無論是計(jì)算機(jī)賬戶 ,還是一個(gè)銀行賬戶 ,都是由口令來維護(hù)它的安全 ,通過口令來驗(yàn)證用戶的身份。許多掃描軟件都有分析數(shù)據(jù)的功能。進(jìn)行掃描的方法很多，可以手工進(jìn)行掃描，也可以用端口掃描軟件進(jìn)行掃描。 攻擊的方式 端口掃描 一個(gè)端口就是一個(gè)潛在的通信通道，也就是一個(gè)入侵通道。把這個(gè)程序用在掃描程序中 ,可以得出網(wǎng)絡(luò)上每個(gè)可能的主機(jī)地址 ,從而可以構(gòu)造出實(shí)際駐留在網(wǎng)絡(luò)上的主機(jī)的清單。 (5)Finger協(xié)議能夠提供特定主機(jī)上用戶們的詳細(xì)信息 (如注冊名、電話號碼、最后一次注冊的時(shí)間等 )。 (3)Whois協(xié)議是一種信息服務(wù) ,能夠提供有關(guān)所有 DNS域和負(fù)責(zé)各個(gè)域的系統(tǒng)管理員數(shù)據(jù)。 常見的黑客攻擊方式 攻擊的準(zhǔn)備 信息收集是突破網(wǎng)絡(luò)系統(tǒng)的第一步 ,黑客常使用下面幾種工具來收集相關(guān)信息 : (1)SNMP協(xié)議可用來查閱非安全路由器的路由表 ,從而了解目標(biāo)機(jī)構(gòu)網(wǎng)絡(luò)拓?fù)涞膬?nèi)部細(xì)節(jié)。但是現(xiàn)在常常將黑客和入侵者混為一談 ,人們通常將入侵計(jì)算機(jī)系統(tǒng)的人統(tǒng)稱為黑客。他們也具備廣泛的電腦知識 ,但與黑客不同的是他們以破壞為目的 ,往往 會通過計(jì)算機(jī)系統(tǒng)漏洞來入侵。正是因?yàn)楹诳偷拇嬖?,人們才會不斷了解計(jì)算機(jī)系統(tǒng)中存在的安全問題。 黑客的定義 黑客 (Hacker)是指那些檢查 (網(wǎng)絡(luò) )系統(tǒng)完整性和安全性的人 ,他們通常非常精通計(jì)算機(jī)硬件和軟件知識 ,并有能力以創(chuàng)新的方法剖析系統(tǒng)。 （ 6）安裝專業(yè)的防病毒軟件進(jìn)行全面監(jiān)控。 （ 4）使用復(fù)雜的密碼。 （ 2）關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)。 (7)建立嚴(yán)格的規(guī)章制度和操作規(guī)范 ,定期檢查各防范點(diǎn)的工作狀態(tài)。 (5)在每個(gè)內(nèi)網(wǎng)參照小型局域網(wǎng)的防范要點(diǎn)布防。 (3)如果外網(wǎng)的服務(wù)器是基于 Windows NT操作系統(tǒng)的 ,那么需要在外網(wǎng)的各個(gè)服務(wù)器上安裝相應(yīng)的計(jì)算機(jī)病毒防護(hù)軟件。防范病毒主要可以采用以下一些手段 : (1)在因特網(wǎng)接入口處安裝防火墻式防殺計(jì)算機(jī)病毒產(chǎn)品。 對于這種網(wǎng)絡(luò)的計(jì)算機(jī)病毒防護(hù) ,除了要對各個(gè)內(nèi)網(wǎng)嚴(yán)加防范 ,還要建立多層次的網(wǎng)絡(luò)防范架構(gòu) ,并同網(wǎng)管結(jié)合起來。外網(wǎng)一般安裝有Web服務(wù)器、 FTP服務(wù)器、 Mail服務(wù)器、域名服務(wù)器 ,以及其他一些服務(wù)器等。內(nèi)網(wǎng)大多采用 Windows NT網(wǎng)絡(luò)組建 ,分配虛擬地址 ,并安裝有內(nèi)部辦公自動化信息系統(tǒng) ,如 Lotus Domino或 Microsoft Exchange Server等 。 大型網(wǎng)絡(luò)計(jì)算機(jī)病毒的防范技術(shù) 大型復(fù)雜企業(yè)網(wǎng)絡(luò)的特點(diǎn) 目前比較流行的企業(yè)組網(wǎng)方式是將整個(gè)網(wǎng)絡(luò)分為內(nèi)網(wǎng) (Intra)和外網(wǎng)(Extra)。對這種網(wǎng)絡(luò)的計(jì)算機(jī)病毒防護(hù) ,主要還是基于工作站的單機(jī)防護(hù)。大多數(shù)的Unix/Linux網(wǎng)絡(luò)主要是由