【正文】 系統(tǒng)也就沒有任何安全性可言了。當然，對于關鍵部門來說，其所造成的負面影響和連帶損失也不應該考慮在內。 防火墻的選擇總擁有成本防火墻產品作為網絡系統(tǒng)的安全屏障，其總擁有成本（TCO）不應該超過受保護網絡系統(tǒng)可能遭受最大損失的成本。但隨著網絡安全技術的整體發(fā)展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。作為內部網絡與外部公共網絡之間的第一道屏障，防火墻是最先受到人們重視的網絡安全產品之一。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監(jiān)視網絡運行狀態(tài)。??? 網絡安全孕育著無限的機遇和挑戰(zhàn)，作為一個熱門的研究領域和其擁有的重要戰(zhàn)略意義，相信未來網絡安全技術將會取得更加長足的發(fā)展。計算機網絡安全是個綜合性和復雜性的問題。防電磁輻射方面:所有重要涉密的設備都需安裝防電磁輻射產品，如輻射干擾機。運行安全方面:網絡中的設備，特別是安全類產品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。掃描程序開發(fā)者利用可得到的攻擊方法，并把它們集成到整個掃描中，掃描后以統(tǒng)計的格式輸出，便于參考和分析。這項技術的具體實現就是安全掃描程序。在安全保密中，可通過適當的密鑰加密技術和管理機制來保證網絡的信息通信安全。算法是將普通的文本（或是可以理解的信息）與一串數字（密鑰）的結合，產生不可理解的密文的步驟。它是將數據信息轉換為一種不易解讀的模式來保護信息，除非有解密密鑰才能閱讀信息。然后根據病毒特征碼數據庫來進行對比式查殺。反病毒技術是查找和清除計算機病毒技術。在未來的網絡安全領域中，動態(tài)技術與靜態(tài)技術的聯(lián)動將有很大的發(fā)展市場和空間。使網絡的防御安全能力大大提高。綜上所述，防火墻與IDS在功能上可以形成互補關系。IDS可以有足夠的時間和資源做些有效的防御工作，如入侵活動報警、不同業(yè)務類別的網絡流量統(tǒng)計、網絡多種流量協(xié)議恢復（實時監(jiān)控功能）等。當我們實現防火墻與入侵檢測系統(tǒng)的相互聯(lián)動后，IDS就不必為它所連接的鏈路轉發(fā)業(yè)務流量。 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動防火墻是一個跨接多個物理網段的網絡安全關口設備。缺乏主動防御功能入侵檢測技術作為一種被動且功能有限的安全防御技術，缺乏主動防御功能。高誤報率誤報率主要存在于兩個方面：一方面是指正常請求誤認為入侵行為；另一方面是指對IDS用戶不關心事件的報警。異常入侵檢測根據用戶的異常行為或對資源的異常存放來判斷是否發(fā)生了入侵事件。主機型入侵檢測系統(tǒng)是以系統(tǒng)日志、應用程序日志等作為數據源，當然也可以通過其它手段（如檢測系統(tǒng)調用）從所有的主機上收集信息進行分析。網絡型入侵檢測系統(tǒng)的實現方式是將某臺主機的網卡設置成混雜模式，監(jiān)聽本網段內的所有數據包并進行判斷或直接在路由設備上放置入侵檢測模塊。事件數據庫，這是存放各種中間和最終數據的地方的統(tǒng)稱，它可以是復雜的數據庫，也可以是簡單的文本文件。事件分析器，這是發(fā)現入侵跡象的分析引擎。同時，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術）、對攻擊行為或異常行為進行響應、審計和跟蹤等。 入侵檢測技術入侵檢測技術是從各種各樣的系統(tǒng)和網絡資源中采集信息（系統(tǒng)運行狀態(tài)、網絡流經的信息等），并對這些信息進行分析和判斷。本地存儲器供本地備份系統(tǒng)使用，異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。數據容災通過IP容災技術來保證數據的安全。數據備份是數據保護的最后屏障，不允許有任何閃失。這就要求即使發(fā)生系統(tǒng)災難，也能快速地恢復系統(tǒng)和數據，才能完整地保護網絡信息系統(tǒng)的安全。因為任何一種網絡安全設施都不可能做到萬無一失，一旦發(fā)生漏防漏檢事件，其后果將是災難性的。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證，達到保密的要求，系統(tǒng)通過對比驗證對象輸入的特征值是否符合預先設定的參數，實現對數據的安全保護。數據存儲加密技術是以防止在存儲環(huán)節(jié)上的數據失密為目的，可分為密文存儲和存取控制兩種。數據加密技術是為提高信息系統(tǒng)及數據的安全性和保密性，防止秘密數據被外部破析所采用的主要手段之一。安裝防火墻的原則是：只要有惡意侵入的可能，無論是內部網還是外部網的連接處都應安裝防火墻。遠程撥號服務器與骨干交換機或路由器之間。通過公網連接的總部與各分支機構之間應該設置防火墻。防火墻的位置一般是內網與外網的接合處，用來阻止來自外部網絡的入侵。復合型防火墻復合型防火墻是將數據包過濾和代理服務結合在一起使用，從而實現了網絡安全性、性能和透明度的優(yōu)勢互補。代理防火墻代理防火墻也叫應用層網關防火墻，包過濾防火墻可以按照IP地址來禁止未授權者的訪問。包過濾防火墻包過濾防火墻是在IP層實現，它可以只用路由器來實現。網絡安全性的提高往往是以犧牲網絡服務的靈活性、多樣性和開放性為代價。防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件。防火墻能夠強化安全策略因為網絡上每天都有上百萬人在收集信息、交換信息，不可避免地會出現個別品德不良，或違反規(guī)則的人，防火墻就是為了防止不良現象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略，僅僅容許“認可的”、防火墻能有效地記錄網絡上的活動因為所有進出信息都必須通過防火墻，、防火墻限制暴露用戶點防火墻能夠用來隔開網絡中的兩個網段，、防火墻是一個安全策略的檢查站所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點， 防火墻的主要缺陷由于互聯(lián)網的開放性，防火墻也有一些弱點，使它不能完全保護網絡不受攻擊。防火墻則處于設置網絡地址轉換NAT的最佳位置。所以，防火墻很適合收集和記錄關于系統(tǒng)和網絡使用的多種信息，提供監(jiān)視、管理與審計網絡的使用和預警功能。從而在結構上形成了一個控制中心，極大地加強了網絡安全，并簡化了網絡管理。所有進出網絡的信息都必須通過防火墻。防火墻可以控制網絡內部人員對Internet上特殊站點的訪問。防火墻可以關閉不使用的端口，而且它還能禁止特定端口的輸出信息。所有來自Internet（外部網）的傳輸信息或從內部網發(fā)出的信息都必須穿過防火墻。它使得內部網絡與因特網之間或與其它外部網絡之間互相隔離、限制網絡互訪，用來保護內部網絡。使得針對計算機信息。他們利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息,闖入用戶或政府部門的計算機系統(tǒng),進行窺視、竊取、篡改數據。計算機犯罪,通常是利用竊取口令等手段非法侵入計算機信息系統(tǒng),傳播有害信息,惡意破壞計算機系統(tǒng),實施貪污、盜竊、詐騙和金融犯罪等活動。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進入到系統(tǒng)中進行擴散。黑客們常用的攻擊手段有獲取口令、電子郵件攻擊、特洛伊木馬攻擊、的欺騙技術和尋找系統(tǒng)漏洞等。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行,并不盜竊系統(tǒng)資料,通常采用拒絕服務攻擊或信息炸彈。這是計算機網絡所面臨的最大威脅。網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。日常工作中因斷電而設備損壞、數據丟失的現象時有發(fā)生。第3章 計算機網絡安全面臨的威脅計算機信息系統(tǒng)僅僅是一個智能的機器,易受自然災害及環(huán)境(溫度、濕度、振動、沖擊、污染)的影響。4．以軟件攻擊為主幾乎所有的網絡入侵都是通過對軟件的截取和攻擊進而破壞整個計算機系統(tǒng)的。3．手段多樣與手法隱蔽計算機攻擊的手段可以說五花八門:網絡攻擊者既可以通過監(jiān)視網上數據來獲取別人的保密信息,又可以通過截取別人的帳號和口令進入別人的計算機系統(tǒng),還可以通過一些特殊的方法繞過人們精心設計的防火墻,等等。平均每起計算機犯罪案件所成的經濟損失是一般案件的幾十到幾百倍。計算機網絡的攻擊特1．損失巨大由于攻擊和入侵的對象是網絡上的計算機,因此攻擊一旦成功,就會使網絡中的計算機處于癱瘓狀態(tài),從而給計算機用戶造成巨大的經濟損失。此外， 和 文件刪除,因為不用猜口令,這些文件就會提供登錄訪問!。 Telnet、Ftp、Rsh、Rlogin 和Rcp，以基于PKI的訪問程序如SSH取代。 系統(tǒng)。，黑客通過根攻擊就能獲得訪問特權系統(tǒng)的權限，并能訪問其他系統(tǒng)—甚至是受防火墻保護的系統(tǒng)。，而不僅針對關鍵主機。因為此攻擊基于TCP/IP 協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？，并打上安全補丁。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。通常，攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在 Internet 上的許多計算機上。連通性攻擊是指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。最常見的Does攻擊有計算機網絡帶寬攻擊和連通性攻擊。在網絡上成功實施的攻擊級別以來于擁護采取的安全措施。第三章 網絡攻擊分析及特點攻擊是指非授權行為。如果攻擊者不斷的向被攻擊的主機發(fā)送SYN請求，被攻擊主機就一直處于等待狀態(tài)，從而無法響應其他用戶請求。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址，向被攻擊主機發(fā)出SYN請求信號，當被攻擊主機收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機發(fā)出SYN/消息。 淹沒攻擊正常情況下，TCP連接建立要經過3次握手的過程，即客戶機向客戶機發(fā)送SYN請求信號；目標主機收到請求信號后向客戶機發(fā)送SYN/ACK消息；客戶機收到SYN/ACK消息后再向主機發(fā)送RST信號并斷開連接。通常，管理員可以使用網絡監(jiān)視工具來發(fā)現這種攻擊，通過主機列表和網絡地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現攻擊究竟是來自于網絡內部還是網絡外部。然而，不幸的是這兩種方法都存在著一定的負面效應。過載攻擊中被攻擊者用的最多的一種方法是進程攻擊，它是通過大量地進行人為的增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進行配置，自動刪除來自同一主機的過量或重復消息，也可以使自己的SMTP連接只能達成指定的服務器，從而免受外界郵件的侵襲。 郵件炸彈郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同以地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網絡的帶寬，占據郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，妨礙計算機的正常工作。防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進行數字簽名，而在運行文件時通過對數字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。特洛伊木馬具有很強的生命力，在網絡中當人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的過程中，從而使它們受到感染。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。與其他軟件相比，防病毒軟件更需要不斷的更新升級，以查殺層出不窮的計算機病毒。在當前全球計算機網絡上流行的計算機病毒有4萬多種，在各種操作系統(tǒng)中包括Windows、UNIX 和 Netware 系統(tǒng)都有大量能夠造成危害的計算機病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查殺、殺毒范圍廣、能力強的特點。 計算機病毒的防范首先要加強工作人員防病毒的意識，其次是安裝好的殺毒軟件。認證的主要目的有兩個：第一，驗證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗證信息的完整性，保證信息在傳送過程中未被篡改或延遲等。 認證技術認證技術是防止主動攻擊的重要手段，它對于開放環(huán)境中的各種信息的安全有重要作用。目前各國除了從法律上、管理上加強數據的安全保護外，從技術上分別在軟件和硬件兩方面采取措施，推動著數據加密技術和物理防范技術的不斷發(fā)展。 數據加密技術與防火墻配合使用的安全技術還有數據加密技術，是為了提高信息系統(tǒng)及數據的安全性和保密性，防止秘密數據被外部破析所采用的主要技術手段之一。它可以監(jiān)測、限制、更改跨越防火墻的數據流，確認其來源及去處，檢查數據的格式及內容，并依照用戶的規(guī)則傳送或阻止數據。 防火墻技術為保證網絡安全，防止外部網對內部網的非法入侵，在被保護的網絡和外部公共網絡之間設置一道屏障這就稱為防火墻。 采用先進的技術和產品要保證計算機網絡安全的安全性，還要采用一些先進的技術和產品。③制定相應的機房出入管理制度，對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關的區(qū)域。具體工作是:①根據工作的重要程度，確定該系統(tǒng)的安全等級。出于對安全的考慮，下面每組內的兩項信息處理工作應當分開：計算機操作與計算機編程、機密資料的接收與傳送、安全管理與系統(tǒng)管理、應用程序和系統(tǒng)程序的編制、訪問證件的管理與其他工作、計算機操作與信息處理系統(tǒng)使用媒介的保管等。為遵循任期有限原則，工作人員應不定期的循環(huán)任職，強制實行休假制度，并規(guī)定對工作人員進行輪流培訓，以使任期有限制度切實可行。與安全有關的活動有：訪問控制使用證件的發(fā)放與回收，信息處理系統(tǒng)使用的媒介發(fā)放與回收，處理保密信息，硬件與軟件的維護，系統(tǒng)軟件的設計、實現和修改，重要數據的刪除和銷毀等。網絡信息系統(tǒng)的安全管理主要基于3個原則： ① 多人負責原則每一項與安全有關的活動，都必須有兩人或多人在場。正因為網絡應用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。我國近年來計算機網絡發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應用。人們稱它為信息