【正文】 。 1. 高速的性能 2. 良好的可擴展性 3. 與其他網(wǎng)絡安全產(chǎn)品的協(xié)同互動 4. 簡化的安裝與管理 總之， 未來的防火墻技術(shù)會全面考慮網(wǎng)絡的安全、操作系統(tǒng)的安全、應用程序的安全和用戶數(shù)據(jù)的安全。網(wǎng)絡安全受到許多因素的影響， 只有正確地認識防火墻，合理使用，才是最安全的。 5 ．防火墻配置的方便性 在網(wǎng)絡入口和出口處安裝新的網(wǎng)絡設備是比較復雜的，這意味著必須修改幾乎所有現(xiàn)有設備的配置，因此， 應選用方便配置的、支持透明通信的防火墻 。如果由于使用防火墻而帶來了網(wǎng)絡性能較大幅度的下降，就意味著安全代價過高，用戶是無法接受的。提高可靠性的措施一般是提高本身部件的強健性、增大設計閥值和增加冗余部件。 防火墻的穩(wěn)定性情況可以從以下一些渠道獲得 ，如 國家權(quán)威的測評認證機構(gòu) 、對產(chǎn)品的咨詢、調(diào)查及試用、廠商開發(fā)研制的歷史及實力等方面。因此， 防火墻自身仍應有相當高的安全保護 。防火墻的選用原則主要有： 1 ．防火墻自身的安全性 大多數(shù)人在選擇防火墻時都將注意力放在防火墻 如何控制連接以及防火墻支持多少種服務上 ，但 往往忽略一點 ， 防火墻也是網(wǎng)絡上的主機設備 ，也 可能存在安全問題 。 第 8章 網(wǎng)絡安全與維護 防火墻產(chǎn)品的選購策略和選用原則 1. 防火墻自身的安全性 2. 應考慮的特殊需求 3. 防火墻系統(tǒng)的穩(wěn)定性和可靠性 4．防火墻的性能 5. 防火墻配置的方便性 防火墻產(chǎn)品選購策略和選用 選用防火墻 首先 要明確哪些數(shù)據(jù)是必須保護的 ，這些數(shù)據(jù)被侵入會導致什么樣的后果及 網(wǎng)絡不同區(qū)域需要什么等級的安全級別 ，因此，首先 要根據(jù)信息系統(tǒng)安全級別而定 。 網(wǎng)絡服務由 雙空主機上的服務代理 來提供。 一臺雙穴主機配有多個網(wǎng)卡 ， 分別連接不同的網(wǎng)絡 。代理服務器起到 外部網(wǎng)絡申請訪問內(nèi)部網(wǎng)絡的中間轉(zhuǎn)接作用 ，其功能類似一個數(shù)據(jù)轉(zhuǎn)發(fā)器，它主要控制哪些用戶能訪問哪些服務類型。 2. 代理防火墻 代理防火墻又稱 應用層網(wǎng)關(guān)級防火墻 ，它由代理服務器和過濾路由器組成，是目前較流行的一種防火墻。首先應建立一定數(shù)量的信息過濾表， 信息過濾表 是以 其收到的數(shù)據(jù)包頭信息為基礎而建成的 。 總之，防火墻在因特網(wǎng)中是分離器、限制器、分析器。 2） 防止 侵入者侵入。 I n t ern et 防火墻 內(nèi) 部 網(wǎng) ? 服務器 工作站 工作站 工作站 第 8章 網(wǎng)絡安全與維護 2. 防火墻的功能及作用 防火墻實際上是一種保護裝置，防止非法入侵，以保護網(wǎng)絡數(shù)據(jù)。這種中介系統(tǒng)也叫做 “ 防火墻 ” 或 “ 防火墻系統(tǒng) ” 。 第 8章 網(wǎng)絡安全與維護 Inter 防火墻技術(shù) 防火墻的概念與功能 1．防火墻的概念 為安全起見，在網(wǎng)絡和因特網(wǎng)之間插入一個中介系統(tǒng)，豎起一道 安全屏障 。這種中介系統(tǒng)也叫做“防火墻”或“防火墻系統(tǒng)”。 為安全起見 ，可以在該網(wǎng)絡和互聯(lián)網(wǎng)之間插入一個 中介系統(tǒng) ． 豎起一道安全屏障 。如圖 81 所示， 現(xiàn)在， 如果一個網(wǎng)絡接到了互聯(lián)網(wǎng)上面，它的用戶就可以訪問外部世界并與之通信。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。入侵者 必須首先穿越防火墻 的安全防線，才能接觸目標計算機。最后，它可以 禁止來自特殊站點的訪問 ，從而 防止來自不明入侵者的所有通信 。防火墻還可以關(guān)閉不使用的端口。 該計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻。 防火墻技術(shù)是建立在 現(xiàn)代通信網(wǎng)絡技術(shù) 和 信息安全技術(shù)基礎 上的應用性安全技術(shù) ，越來越多地應用于 專用網(wǎng)絡 與 公用網(wǎng)絡 的 互聯(lián)環(huán)境之中 ，特別是 接入 Inter 網(wǎng)絡 。 防范黑客的措施 Inter 防火墻技術(shù) 隨著 Inter 在全世界的迅速發(fā)展和普及， Inter 中出現(xiàn)的 信息泄密、數(shù)據(jù)篡改及服務拒絕等網(wǎng)絡安全問題 也變得越來越嚴重。 總之，我們應當認真制定有針對性的策略，明確安全對象，設置強有力的安全保障體系。 防范黑客的措施 5 ．要安裝殺毒軟件 要將防毒、防黑當成日常例行工作 ，定時更新防毒組件，及時升級病毒庫，將防毒軟件保持在常駐狀態(tài)，以徹底防毒。代理服務器就好象一個大的 Cache，這樣就能顯著提高瀏覽速度和效率。代理服務器英文全稱是（ Proxy Server），其功能就是 代理網(wǎng)絡用戶去取得網(wǎng)絡信息 。 防范黑客的措施 4 ．盡量不暴露自己的 IP 保護自己的 IP 地址是很重要的 。 3 ．使用反黑客軟件 盡可能經(jīng)常性地使用多種最新的、 能夠查解黑客的殺毒軟件 或可靠的反黑客軟件來檢查系統(tǒng)。 2 ．要使用防火墻 防火墻是抵御黑客入侵的非常有效的手段 。 要及時下載并安裝系統(tǒng)補丁程序 。密碼設置盡可能使用字母數(shù)字混排， 單純的英文或者數(shù)字很容易被暴力破解 。盡量避免從 Iner 下載不知名的軟件、游戲程序。 防范黑客的措施 各種黑客的攻擊程序雖然功能強大 , 但并不可怕 . 只要我們作好相應的防范工作 , 就可以大大降低被黑客攻擊的可能性。這樣，當黑客入侵一個帶有緩沖區(qū)溢出缺陷且具有 Suidroot 屬性的程序時，就會獲得一個具有 Root 權(quán)限的 Shell ，在這個 Shell 中黑客可以干任何事。 當過程返回時，程序就轉(zhuǎn)而開始執(zhí)行這段黑客自編的代碼了。溢出帶來了兩種后果， 一是 過長的字符串覆蓋了相鄰的存儲單元，引起程序運行失敗，嚴重的可引起死機、系統(tǒng)重新啟動等后果； 二是 利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)特權(quán)。 緩沖區(qū)溢出是一個非常普遍、非常危險的漏洞，在各種操作系統(tǒng)、應用軟件中廣泛存在。 Socket 編程就是 網(wǎng)絡編程 ，是實現(xiàn) 服務器與客戶端 ， 客戶端與客戶端通信 的一種 方式 7 ．緩沖區(qū)溢出 緩沖區(qū)溢出攻擊占了遠程網(wǎng)絡攻擊的絕大多數(shù) ，這種攻擊可以使得一個匿名的 Inter用戶有機會獲得一臺主機的部分或全部的控制權(quán)。 在 TCP/IP 協(xié)議中規(guī)定，計算機可以有 256 256 個端口 ，通過這些端口進行數(shù)據(jù)的傳輸。雖然網(wǎng)絡監(jiān)聽獲得的用戶賬號和口令具有一定的局限性，但黑客往往能夠獲得其所在網(wǎng)段的所有用戶賬號及口令。因為 系統(tǒng)在進行密碼校驗時， 用戶輸入的密碼 需要從用戶端傳送到服務器端 ，這時，黑客就能在 兩端之間進行數(shù)據(jù)監(jiān)聽 。 常見的黑客攻擊方法 5 ．網(wǎng)絡監(jiān)聽 網(wǎng)絡監(jiān)聽是主機的一種工作模式 ， 在這種模式下，主機可以接收到本網(wǎng)段在同一物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰 。當垃圾郵件的發(fā)送流量特別大時，還可以造成郵件系統(tǒng)的癱瘓。 口令攻擊 4 ．電子郵件攻擊 電子郵件是互聯(lián)網(wǎng)上運用的十分廣泛的一種通訊方式 ，但同時它也面臨著巨大的安全風險。當用戶在這個偽造的界面上鍵入登錄信息后，程序可將用戶的輸入信息記錄傳送到黑客的主機，然后關(guān)閉界面，給出提示信息“系統(tǒng)故障”或“輸入錯誤”，要求用戶重新輸入。另外，黑客有時還會利用軟件和硬件工具時刻監(jiān)視系統(tǒng)主機的工作，等待記錄用戶登錄信息，從而取得用戶密碼。 （ 3 ）網(wǎng)絡監(jiān)聽 黑客可以通過網(wǎng)絡監(jiān)聽得到用戶口令 ，這類方法有一定的局限性，但危害性極大。 常見的黑客攻擊 方法 （ 2 ）密碼控測 大多數(shù)情況下，操作系統(tǒng) 保存和傳送的密碼 都要經(jīng)過一個加密處理的過程 ，完全看不出原始密碼的模樣，而且理論上要逆向還原密碼的幾率幾乎為零。黑客在知道用戶的賬號后，利用一些專門的軟件強行破解用戶口令，這種方法不受網(wǎng)段限制 ，但需要有 足夠的耐心和時間 ，這些工具軟件可以自動地從 黑客字典中取出一個單詞 ，作為用戶的口令輸入給遠端的主機，申請進入系統(tǒng) ,若口令錯誤，就按序取出下一個單詞，進行下一次嘗試，直到找到正確的口令或黑客字典的單詞試完為止。 3 ．口令攻擊 口令攻擊是指 先得到目標主機上某個 合法用戶的賬號 后，再 對合法用戶口令進行破譯 ，然后使用合法用戶的賬號和破譯的口令登錄到目標主機，對目標主機實施攻擊活動?，F(xiàn)在有的病毒 偽裝成一個實用工具 、一個 可愛的游戲 、一個 位圖文件 、甚至 系統(tǒng)文件 等等，這會誘使用戶將其打開等操作直到 PC或者服務器 上。夜深人靜之際，木馬腹中躲藏的希臘士兵打開城門，特洛伊淪陷。原指一希臘傳說。 黑客在看到這些信息后，再利用這個潛伏在其中的程序，就可以任意地修改用戶的計算機的參數(shù)設定、復制文件、窺視用戶整個硬盤中的內(nèi)容等，從而達到控制用戶的計算機的目的。 一旦用戶打開了 這些郵件的附件或者執(zhí)行了這些程序之后， 它們就會留在用戶的計算機中 ，并在系統(tǒng)中隱藏一個可以在 Windows 啟動時悄悄執(zhí)行的程序 。 常見的黑客攻擊方法 2 ．放置 特洛伊 木馬程序 特洛伊木馬的攻擊手段，就是將一些“后門”，“特殊通道”隱藏在 某個軟件里，將使用該軟件的計算機系統(tǒng)成為被攻擊和控制的對象。首先 黑客建立一個使人相信的 Web 站點的拷貝 ，它具有所有的頁面和連接，然后利用 URL 地址重寫技術(shù)， 將自己的 Web 地址加在所有真實 URL 地址的前面 。 黑客的攻擊手段多種多樣 ,這些方法包括：