【正文】 當(dāng)前，幾乎所有的分組過濾裝置 (篩選路由器或分組過濾網(wǎng)關(guān) )都按如下方式操作： ① 對于分組過濾裝置的有關(guān)端口必須設(shè)置分組過濾準(zhǔn)則，也稱為分組過濾規(guī)則。由于分組過濾規(guī)則的設(shè)計(jì)原則是有利于內(nèi)部網(wǎng)絡(luò)連向外部網(wǎng)絡(luò)，所以在篩選路由器兩側(cè)所執(zhí)行的過濾規(guī)則是不同的。在這個(gè)模型中只有兩個(gè)網(wǎng)段與過濾裝置相連，典型的情況是一個(gè)網(wǎng)段連向外部網(wǎng)絡(luò)，另一個(gè)連向內(nèi)部網(wǎng)絡(luò)。一般來說，在解決網(wǎng)絡(luò)安全問題時(shí)應(yīng)該避免過于復(fù)雜的方案，其原因如下： 難于維護(hù)；在配置過濾規(guī)則時(shí)容易發(fā)生錯(cuò)誤；執(zhí)行復(fù)雜的方案將對設(shè)備的性能產(chǎn)生負(fù)作用。 在分組過濾裝置的每一個(gè)端口都可以實(shí)施網(wǎng)絡(luò)安全策略，這種策略描述通過該端口可存取的網(wǎng)絡(luò)服務(wù)的類型。 (2) 一個(gè)分組過濾的簡單模型 一個(gè)分組過濾裝置常被置于一個(gè)或幾個(gè)網(wǎng)段之間。由于分組過濾執(zhí)行在 OSI 模型的網(wǎng)絡(luò)層和傳輸 層，而不是在應(yīng)用層，所以這種途徑通常比防火墻產(chǎn)品提供更強(qiáng)的透明性。良好的網(wǎng)絡(luò)安全的實(shí)現(xiàn)同時(shí)也應(yīng)該使內(nèi)部用戶難以妨害網(wǎng)絡(luò)安全，但這通常不是網(wǎng)絡(luò)安全工作的重點(diǎn)。例如，阻止外來者入侵內(nèi)部網(wǎng)絡(luò)，對一些敏感數(shù)據(jù)進(jìn)行存取和破壞網(wǎng)絡(luò)服務(wù)是更為重要的。網(wǎng)絡(luò)安全策略必須明確描述被保護(hù)的資源和服務(wù)的類型、重要程度和防范對象。許多路由器廠商，像 Cisco、 Bay Networks、 3COM、 DEC、 IBM 等，他們的路由器產(chǎn)品都可以用來通過編程實(shí)現(xiàn)分組過濾功能。篩選功能也可以由許多商業(yè)防火墻產(chǎn)品和一些類似于 Karlbridge 的基于純軟件的產(chǎn)品來實(shí)現(xiàn)。在網(wǎng)絡(luò)層以上運(yùn)行的設(shè)備也被稱為網(wǎng)關(guān)。 有些時(shí)候，篩選路由器也被稱為分組過濾網(wǎng)關(guān)。某些廠商，可能是由于市場營銷策略，模糊了篩選路由器和防火墻之間的區(qū)別，將他們的篩選路網(wǎng)絡(luò)安全防護(hù)中防火墻技術(shù)問題分析及應(yīng)用策略 12 由器產(chǎn)品稱為防火墻產(chǎn)品。對于大多數(shù)防火墻網(wǎng)關(guān)來說，也確實(shí)如此。防火墻常常被描述為網(wǎng)關(guān)，而網(wǎng)關(guān)應(yīng)可以在 OSI 模型的所有七個(gè) 層次上執(zhí)行處理功能。 (2) 篩選路由器和防火墻與 OSI 模型的關(guān)系 按照與 OSI 模型的關(guān)系將篩選路由器和防火墻進(jìn)行比較。入侵者可以使用一種TCP/IP 主機(jī)和非 TCP/IP 主機(jī)都支持的協(xié)議來通過 TCP/IP 主機(jī)訪問非 TCP/IP 主機(jī)，例如：如果這兩臺主機(jī)都連在同一個(gè)以太網(wǎng)網(wǎng)段上，入侵者就可以通過以太網(wǎng)協(xié)議去訪問非 TCP/IP 主機(jī)。即使這樣，這些非 TPC/IP 主機(jī)也可能成為容易攻擊的，盡管從技術(shù)上說它們不屬于危險(xiǎn)區(qū)域。篩選路由器就是這樣一種設(shè)備，它可以用來減小危險(xiǎn)區(qū)域，從而使其不能滲透到我們網(wǎng)絡(luò)的安全防線之內(nèi)。因此，我們當(dāng)然希望把自己的網(wǎng)絡(luò)和主機(jī)置于危險(xiǎn)區(qū)域之外?！爸苯釉L問”是指在 INTERNET 和企業(yè)網(wǎng)絡(luò)的主機(jī)之間沒有設(shè)置強(qiáng)有力的安全措施 (沒有“鎖門” )。這個(gè)危險(xiǎn)區(qū)域就是指通過 INTERNET 可以直接訪問的所有具有 TCP/IP 功能的網(wǎng)絡(luò)。企業(yè)網(wǎng)絡(luò)中的邊界被稱為安全環(huán)形防線。如果來人看起來很危險(xiǎn) (安全風(fēng)險(xiǎn)很高 )，則不應(yīng)讓其進(jìn)來。在大城市中，使用帶鎖的門來保護(hù)我們的居室是明智之舉。由于 INTERNET 上有如此眾多的用戶，其中難免有少數(shù)居心不良的所謂“黑客”。下面我們首先介紹應(yīng)用篩選路由器時(shí)需要考慮的安全防線設(shè)置問題， 以及篩選路由器與 OSI 模型的關(guān)系，分組過濾技術(shù)將在下一節(jié)討論。路由器根據(jù)與協(xié)議相關(guān)的準(zhǔn)則來區(qū)別和限制通過其端口的報(bào)文分組的能力被稱為報(bào)文分組過濾。而通過控制一個(gè)網(wǎng)絡(luò)段上的通信業(yè)務(wù)類型，篩選路由器可以控制該網(wǎng)絡(luò)段上網(wǎng)絡(luò)服務(wù)的類型，從而可以限制對網(wǎng)絡(luò)安全有害的服務(wù)。最早的 Cisco 路由器只能根據(jù) IP 數(shù)據(jù)報(bào)頭部內(nèi)容進(jìn)行過濾，而目前的產(chǎn)品還可以根據(jù) TCP 端口及 連接建立的情況進(jìn)行過濾 , 而且在過濾語法上也有了一定改進(jìn)。 防火墻的基本構(gòu)件和技術(shù) 篩選路由器 (Screening Router) 許多路由器產(chǎn)品都具有根據(jù)給定規(guī)則對報(bào)文分組進(jìn)行篩選的功能，這些規(guī)則包括協(xié)議的類型、特定協(xié)議類型的源地址和目的地址字段以及作為協(xié)議一部分的控制字段。下面介紹了防火墻的基本構(gòu)件和技術(shù)：篩選路由器 (screening router)、分組過濾 (packet filtering)技術(shù)、雙宿主機(jī) (dualhomed host)、代理服務(wù) (Proxy Service)、應(yīng)用層網(wǎng)關(guān)(application level gateway)和堡壘主機(jī) (bastion host)。 防火墻是用來實(shí)現(xiàn)一個(gè)組織機(jī)構(gòu)的網(wǎng)絡(luò)安全措施的主要設(shè)備。一般來說，防火墻被設(shè)置在可信賴的內(nèi)部網(wǎng)絡(luò)和不可信賴的外部網(wǎng)絡(luò)之間。防火墻的職責(zé)就是根據(jù)本單位的安全策略，對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)交流的數(shù)據(jù)進(jìn)行檢查，符合的予以放行，不符合的拒之門外。從某種意義上來說，防火墻實(shí)際上代表了一個(gè)網(wǎng)絡(luò)的訪問原則。對網(wǎng)絡(luò)的保護(hù)包括下列工作：拒絕未經(jīng)授權(quán)的用戶訪問，阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。 設(shè)立防火墻的主要目的是保護(hù)一個(gè)網(wǎng)絡(luò)不受來自另一個(gè) 網(wǎng)絡(luò)的攻擊。它的實(shí)現(xiàn)有好多種形式，有些實(shí)現(xiàn)還是很復(fù)雜的，但基本原理原理卻很簡單。 而對于網(wǎng)絡(luò)安全防護(hù)技術(shù)的研究，我將主要研究防火墻技術(shù)，下面開始對防火墻技術(shù)進(jìn)行討論。多層、安全互動的安全防護(hù)成倍地增加了黑客攻擊的成本和難 度，從而大大減少了他們對網(wǎng)絡(luò)系統(tǒng)的攻擊。要做到全面，不間斷的安全防護(hù)，必須要有一個(gè)全面的防范體系。 網(wǎng)絡(luò)安全防護(hù)中防火墻技術(shù)問題分析及應(yīng)用策略 9 4 網(wǎng)絡(luò)安全防護(hù)中防火墻技術(shù)問題分析及應(yīng)用策略 網(wǎng)絡(luò)的開放性，系統(tǒng)的復(fù)雜性， 邊界的不確定性，路徑的不確定性等等，給網(wǎng)絡(luò)安全防護(hù)帶來了很大的困難。這里特別需要指出的是防火墻、防病毒和安全協(xié)議的技術(shù)。網(wǎng)絡(luò)安全的防范是通過各種計(jì)算機(jī)、網(wǎng)絡(luò)、密碼和信息安全技術(shù)，保護(hù)在網(wǎng)絡(luò)中傳輸、交換和存儲信息的機(jī)密性、完整性和真實(shí)性，并 對信息的傳播及內(nèi)容進(jìn)行控制。其他安全技術(shù)包括密鑰管理、數(shù)字簽名、認(rèn)證技術(shù)、智能卡技術(shù)和訪問控制等等。本文將重點(diǎn)地講述防火墻的防護(hù)技能，對其進(jìn)行專門的研究。此外，代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問和攻擊。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。 應(yīng)用級網(wǎng)關(guān) 應(yīng)用級網(wǎng)關(guān) (Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)過濾和轉(zhuǎn)發(fā)功能。路由器是內(nèi)部網(wǎng)絡(luò)與 Inter 連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過?？傮w上分為數(shù)據(jù)包過濾、應(yīng)用級網(wǎng)關(guān)和代理服務(wù)器等幾大類型。 但是，由于磁盤加密技術(shù)僅針對特定的文件存儲區(qū)域進(jìn)行保護(hù)，缺乏對文件本身保密屬性的判斷能力，所以基于該技術(shù)開發(fā)的內(nèi)網(wǎng)安全產(chǎn)品，也具有以下缺點(diǎn)： (1) 因?yàn)榇疟P加密技術(shù)需要對文件的存儲區(qū)域進(jìn)行條件限制，所以必然對使用環(huán)境帶來一定的影響，需要部署的時(shí)候?qū)κ褂铆h(huán)境進(jìn)行調(diào)整； (2) 單一的磁盤加密技術(shù)無法防止通過網(wǎng)絡(luò)和其他途徑的文件泄密行為，一個(gè)基于該技術(shù)的成熟內(nèi)網(wǎng)安全產(chǎn)品，需要綜合網(wǎng)絡(luò)控制等技術(shù)，內(nèi)網(wǎng)安全產(chǎn)品開發(fā)難度大、周期長。 磁盤加密技術(shù) 磁盤加密技術(shù)相對于文檔加密技術(shù)，是在磁盤扇區(qū)級采用的加密技術(shù)，一般來說，該技術(shù)與上層應(yīng)用無關(guān)，只針對特點(diǎn)的磁盤區(qū)域進(jìn)行數(shù)據(jù)加密或者解密，其主要采 用技術(shù)如下： (1) 針對數(shù)據(jù)保密區(qū)域，對寫入磁盤的數(shù)據(jù)進(jìn)行加密或者解密操作； (2) 對非保密區(qū)域，根據(jù)要求，允許或者禁止對磁盤原始數(shù)據(jù)進(jìn)行讀寫操作； (3) 輔助其他系統(tǒng)控制技術(shù)，實(shí)現(xiàn)對涉密數(shù)據(jù)的加密保護(hù)。一方面因?yàn)榕R時(shí)緩存文件在硬盤中是以明文狀態(tài)存在，很容易使用公開的文件監(jiān)視工具找到并復(fù)制該臨時(shí)文件 造成加密機(jī)制的失效；另一方面因?yàn)槭褂门R時(shí)緩存文件后，相當(dāng)于文件要在硬盤中重復(fù)進(jìn)行兩次讀寫操作，造成效率明顯下降 50%，這對于大的文件尤其不能接受。 但是，由于文件（文檔）加密技術(shù)采用的技術(shù)路線，使得看起來很美的優(yōu)點(diǎn)下面隱藏著重重的安全隱患和 穩(wěn)定性隱患，主要包括以下幾個(gè)方面： (1) 由于文件是否加密主要基于應(yīng)用進(jìn)程和文件的關(guān)聯(lián)關(guān)系，安全系統(tǒng)與應(yīng)用程序密切相關(guān)，對于應(yīng)用復(fù)雜的環(huán)境，比如制作設(shè)計(jì)和軟件設(shè)計(jì)行業(yè)，安全系統(tǒng)的可部署性非常差，常常由于用戶應(yīng)用過于復(fù)雜、應(yīng)用程序的升級或者應(yīng)用的增加而導(dǎo)致該類內(nèi)網(wǎng)安全產(chǎn)品需要進(jìn)行重新進(jìn)行二次開發(fā)，從而給用戶環(huán)境帶來極大的限制和不穩(wěn)定隱患。檢查前面的技術(shù)可以看出，文件（文檔）加密技術(shù)的核心是基于應(yīng)用進(jìn)程來實(shí)現(xiàn)加密控制。文檔加密技術(shù)的原理主要是通過建立應(yīng)用程序的進(jìn)程和相應(yīng)文件之間的關(guān)聯(lián)來達(dá)到對特定文件數(shù)據(jù)加密的目的。 總結(jié)目前內(nèi)網(wǎng)安全市場的數(shù)據(jù)加密技術(shù)，總體來說分成文件（文檔）加密技術(shù)和磁盤加密技術(shù) 兩種。 數(shù)據(jù)加密 加密是保護(hù)數(shù)據(jù)安全的重要手段。 訪問控制 對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。 網(wǎng)絡(luò)安全防護(hù)技術(shù)特征和優(yōu)缺點(diǎn) 5 3 網(wǎng)絡(luò)安全防護(hù)技術(shù)特征和優(yōu)缺點(diǎn) 網(wǎng)絡(luò)安全防護(hù)技術(shù)中有很多技術(shù)措施，比如：物理措施、訪問控制、數(shù)據(jù)加密、防火墻技術(shù)等等，它們都有各自 的特征和優(yōu)點(diǎn)。保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。這就要求我們必須對站點(diǎn)的訪問活動進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時(shí)的檢測、監(jiān)控、報(bào)告與預(yù)警。 信息網(wǎng)絡(luò)安全方面的基礎(chǔ)問題 4 管理的安全風(fēng)險(xiǎn)分析 管理是網(wǎng)絡(luò)中安全最最重要的部分。應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的。應(yīng)用的安全涉及方面很多，以目前 Inter上應(yīng)用最為廣泛的 Email 系統(tǒng)來說，其解決方案有 send mail、 Netscape Messaging Server、 Post Office、 Lotus Notes、 Exchange Server、 SUN CIMS 等不下二十多種。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。 應(yīng)用系統(tǒng)的安全分析 應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進(jìn)行安全配置。因此，我們可以得出如下結(jié)論：沒有完全安全的操作系統(tǒng)。 系統(tǒng)的安全分析 所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。透過網(wǎng)絡(luò)傳播，還會影響到連上 Inter/Intra 的其他的網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。 信息網(wǎng)絡(luò)安全方面的基礎(chǔ)問題 3 網(wǎng)絡(luò)結(jié)構(gòu)的安全分析 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。因此，在網(wǎng)絡(luò)工程的設(shè)計(jì)和施工中，必須優(yōu)先考慮保護(hù)人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管 道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計(jì)算機(jī)及其他弱電耐壓設(shè)備的防雷。 物理安全分析 網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。因此計(jì)算機(jī)安全問題，應(yīng)該像每家每戶的防火防盜問題一樣，做到防范于未然。在系統(tǒng)處理能力提高的同時(shí)，系統(tǒng)的連接能力也在不斷的提高。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整 性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。 信息網(wǎng)絡(luò)安全方面的基礎(chǔ)問題 2 2 信息網(wǎng)絡(luò)安全方面的基礎(chǔ)問題 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。 研究信息網(wǎng)絡(luò)安全防護(hù)的目的和意義 網(wǎng)絡(luò)安全防護(hù)主要就是保障數(shù)據(jù)和資源免受各種網(wǎng)絡(luò)攻擊的侵害， 最大程度地減少數(shù)據(jù)和資源被攻擊的可能 ； 對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作 也進(jìn)行 保護(hù)和控制，避免出現(xiàn) “ 陷門 ” 、病毒、非法存取、拒絕 服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊 ； 對非法的、有害的或涉及國家機(jī)密的信息進(jìn)行過濾和防堵，避免機(jī) 密 信息泄露，避免對社會產(chǎn)生危害，對國家造成巨大損失 ；等等 。 信息網(wǎng)絡(luò)安全防護(hù)的現(xiàn)狀 目前網(wǎng)絡(luò)安全防護(hù)方面還很薄弱，雖然有很多防護(hù)技術(shù)來維護(hù)網(wǎng)絡(luò)安全，但其發(fā)展到當(dāng)前階段還有很多不足，還不能夠滿足網(wǎng)絡(luò)安全方面的需要，何況任何技術(shù)都在不斷的更新，那些對人們生活有破壞性的技術(shù)也不會停止不進(jìn)，甚至越來越強(qiáng)，導(dǎo)致當(dāng)前的網(wǎng)絡(luò)安全形勢很嚴(yán) 峻。目前在各單位的網(wǎng)絡(luò)中都存儲著大量的信息資料，許多 方面的工作也越來越依賴網(wǎng)絡(luò)，一旦網(wǎng)絡(luò)安全方面出現(xiàn)問題，造成信息的丟失或不能及時(shí)流通，或者被篡改、增刪、破壞或竊用，都將帶來難以彌補(bǔ)的巨大損失。 Grouping filtration technology。 agent technology is based on a (Proxy), its representative is the function of the firewall implementation that realized in