【正文】 防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同,總體來講可分為二大類:分組過濾,應(yīng)用代理。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略,通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認(rèn)證審計等)配置在防火墻上，對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計:所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù),當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶?并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。 防火墻是網(wǎng)絡(luò)安全的屏障防火墻(作為阻塞點,控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。Internet防火墻是一個或一組系統(tǒng)，它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取，防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的服務(wù)，以及哪些外部服務(wù)何時可以被內(nèi)部人員訪問。第三章 防火墻技術(shù) 防火墻的定義防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡(luò)的安全政策控制(允許拒絕監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。對于盜用IP資源的用戶必須依據(jù)管理制度嚴(yán)肅處理。同時，要不斷地加強(qiáng)計算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強(qiáng)安全技術(shù)建設(shè)，強(qiáng)化使用人員和管理人員的安全防范意識。其代表性的產(chǎn)品有LANdesk、LANClear for NetWare等?；诜?wù)器的防治病毒方法，表現(xiàn)在可以集中式掃毒，能實現(xiàn)實時掃描功能，軟件升級方便。當(dāng)然這一工作難度極大，需要不懈的努力。其典型的做法是開放病毒特征數(shù)據(jù)庫。據(jù)有關(guān)資料報道，截止1994年2月25日，全世界流傳的MSDOS病毒達(dá)2700多種。如LANdesk Virus Protect采用Lpscan，而LANClear for NetWare采用world程序等。病毒檔案一般包括：病毒類型、病毒名稱、帶毒文件所存的目錄及工作站標(biāo)識等，另外，記錄對病毒文件處理方法。(3)掃描選擇該功能允許網(wǎng)絡(luò)管理員定期檢查服務(wù)器中是否帶毒，例如可按每月、每星期、每天集中掃描一下網(wǎng)絡(luò)服務(wù)器，這樣就使網(wǎng)絡(luò)用戶擁有極大的操作選擇余地。這往往是設(shè)計一個NLM最重要的部分，即多線索的調(diào)度。(2)實時在線掃描網(wǎng)絡(luò)防病毒技術(shù)必須保持全天24小時監(jiān)控網(wǎng)絡(luò)是否有帶毒文件進(jìn)入服務(wù)器。(1)對服務(wù)器中所有文件掃描這一方法是對服務(wù)器的所有文件進(jìn)行集中檢查看其是否帶毒，若有帶毒文件，則提供給網(wǎng)絡(luò)管理員幾種處理方法。這些產(chǎn)品的目的都是保護(hù)服務(wù)器，使服務(wù)器不被感染。目前基于服務(wù)器的防治病毒方法大都采用了NLM(NetWare Load Module)技術(shù)以NLM模塊方式進(jìn)行程序設(shè)計，以服務(wù)器為基礎(chǔ)，提供實時掃描病毒能力。Station Lock是目前網(wǎng)絡(luò)環(huán)境下防治病毒比較有效的方法。Station Lock能根據(jù)病毒活動辯別可能的病毒攻擊意圖，并在它造成任何破壞之前予以攔截。其作用對象包括多型體病毒和未來型病毒?；旌闲筒《竞投嘈误w病毒在實施感染之前也必須獲取系統(tǒng)控制權(quán)，才能運(yùn)行病毒體程序而實施感染。例如，病毒是一個不具自我辨別能力的小程序，在病毒傳染過程中至少必須攔截一個DOS中斷請求，而且必須試圖改變程序指針，以便讓系統(tǒng)優(yōu)先執(zhí)行病毒程序從而獲得系統(tǒng)控制權(quán)。采用Station Lock網(wǎng)絡(luò)防毒方法Station Lock是著名防病毒產(chǎn)品開發(fā)商Trend Micro Devices公司的新一代網(wǎng)絡(luò)防病毒產(chǎn)品。Chipway的特點是：①不占主板插槽，避免了沖突；②遵循網(wǎng)絡(luò)上國際標(biāo)準(zhǔn)，兼容性好；③具有他工作站防毒產(chǎn)品的優(yōu)點。市場上Chipway防病毒芯片就是采用了這種網(wǎng)絡(luò)防病毒技術(shù)。將工作站存取控制與病毒保護(hù)能力合二為一插在網(wǎng)卡的EPROM槽內(nèi)，用戶也可以免除許多繁瑣的管理工作。采用工作站防病毒芯片這種方法是將防病毒功能集成在一個芯片上，安裝在網(wǎng)絡(luò)工作站上，以便經(jīng)常性地保護(hù)工作站及其通往服務(wù)器的路徑。采用基于網(wǎng)絡(luò)目錄和文件安全性的方法對防止病毒起到了一定作用，但是這種方法畢竟是基于網(wǎng)絡(luò)操作系統(tǒng)的安全性的設(shè)計，存在著局限性。由此可見，網(wǎng)絡(luò)上公用目錄或共享目錄的安全性措施，對于防止病毒在網(wǎng)上傳播起到積極作用。例如，對于公用目錄中的系統(tǒng)文件和工具軟件，應(yīng)該只設(shè)置只讀屬性，系統(tǒng)程序所在的目錄不要授予修改權(quán)和管理權(quán)。屬性優(yōu)先于訪問權(quán)限?！霸L問權(quán)限有：防問控制權(quán)、建立權(quán)、刪除權(quán)、文件掃描權(quán)、修改權(quán)、讀權(quán)、寫權(quán)和管理權(quán)。而且由于計算機(jī)軟件所要求的精確性，解毒軟件有其局限性，對有些變種病毒的清除無能為力。目前，清除病毒大都是在某種病毒出現(xiàn)后，通過對其進(jìn)行分析研究而研制出來的具有相應(yīng)解毒功能的軟件。即對某個文件或數(shù)據(jù)段進(jìn)行檢驗和計算并保存其結(jié)果，以后定期或不定期地以保存的結(jié)果對該文件或數(shù)據(jù)段進(jìn)行檢驗，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段完整性已遭到破壞，感染上了病毒，從而檢測到病毒的存在。它有兩種：一種是根據(jù)計算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù)。目前，對已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動態(tài)判定技術(shù)。以及可能造成危害的寫命令，并且判斷磁盤當(dāng)前所處的狀態(tài)：哪一個磁盤將要進(jìn)行寫操作，是否正在進(jìn)行寫操作，磁盤是否處于寫保護(hù)等，來確定病毒是否將要發(fā)作。預(yù)防病毒技術(shù)包括：磁盤引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。也就是說，計算機(jī)病毒的預(yù)防是采用對病毒的規(guī)則進(jìn)行分類處理，而后在程序運(yùn)作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計算機(jī)病毒。一、計算機(jī)病毒的預(yù)防技術(shù)計算機(jī)病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計算機(jī)病毒對系統(tǒng)的傳染和破壞。計算機(jī)病毒的預(yù)防應(yīng)用包括對已知病毒的預(yù)防和對未知病毒的預(yù)防兩個部分。例如，大家所熟悉的防病毒卡，其主要功能是對磁盤提供寫保護(hù)，監(jiān)視在計算機(jī)和驅(qū)動器之間產(chǎn)生的信號。具體來說，計算機(jī)病毒的預(yù)防是通過阻止計算機(jī)病毒進(jìn)入系統(tǒng)內(nèi)存或阻止計算機(jī)病毒對磁盤的操作，尤其是寫操作。實際上這是一種動態(tài)判定技術(shù)，即一種行為規(guī)則判定技術(shù)。目前一些入侵檢測系統(tǒng)在應(yīng)用層入侵檢測中已有實現(xiàn)、分析用戶及系統(tǒng)活動；；；；；，并識別用戶違反安全策略的行為。入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊：在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入策略集中，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵【6】。私鑰是保密的，用于解密其接收的公鑰加密過的信息【5】。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對稱加密算法中最具代表性的算法。對于主動攻擊，雖無法避免，但卻可以有效地檢測；而對于被動攻擊，雖無法檢測，但卻可以避免，實現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密主要用于對動態(tài)信息的保護(hù)。 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。保護(hù)網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無縫地結(jié)合起來，充分利用它們各自的優(yōu)點，才能最大限度地保證網(wǎng)絡(luò)安全。解決辦法：及時維護(hù)防火墻，當(dāng)本機(jī)構(gòu)發(fā)生人員變動、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時，要及時調(diào)整防火墻的安全規(guī)則，及時升級防火墻。防火墻軟件作為一種安全工具，必須不斷地升級與更新才能應(yīng)付不斷發(fā)展的入侵手段，過時的防護(hù)盾牌是無法抵擋最先進(jìn)的長矛的。在一次全球范圍的蠕蟲病毒迅速蔓延事件中，政府專網(wǎng)也受到蠕蟲病毒的感染，該機(jī)構(gòu)防火墻因為沒有及時升級，無法抵御這種蠕蟲病毒的攻擊，造成整個機(jī)構(gòu)的內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡(luò)陷于癱瘓之中。而且由于該機(jī)構(gòu)處于政府專網(wǎng)內(nèi)，與Internet物理隔離，防火墻無法實現(xiàn)在線升級。這樣，當(dāng)IDS發(fā)現(xiàn)入侵行為后，在通知管理員的同時發(fā)送消息給防火墻，由防火墻自動添加相關(guān)規(guī)則，把入侵者拒之門外。問題分析：選購防火墻時未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動功能，導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。例2：未考慮與其他安全產(chǎn)品的配合使用問題描述：某公司購買了防火墻后，緊接著又購買了漏洞掃描和IDS（入侵檢測系統(tǒng)）產(chǎn)品。同時封掉撥號上網(wǎng)的電話號碼，并購買檢測撥號上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。解決辦法：根據(jù)自己企業(yè)網(wǎng)的特點，制定一整套安全策略，并徹底地貫徹實施。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺防火墻是不夠的。問題描述：防火墻投入運(yùn)行后，實施了一套較為嚴(yán)格的安全規(guī)則，導(dǎo)致公司員工無法使用聊天軟件，于是沒過多久就有員工自己撥號上網(wǎng)，導(dǎo)致感染了特洛依木馬和蠕蟲等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。加入防火墻后，給防火墻分配一個VLAN 4中的空閑IP地址，并把網(wǎng)關(guān)指向路由器；將VLAN 5接入到防火墻的一個網(wǎng)口上。內(nèi)部網(wǎng)劃分為5個VLAN，VLANVLAN 2和VLAN 3分配給不同的部門使用，不同的VLAN之間根據(jù)部門級別設(shè)置訪問權(quán)限；VLAN 4分配給交換機(jī)出口地址和路由器使用；VLAN 5分配給公共服務(wù)器使用。例1：未制定完整的企業(yè)安全策略網(wǎng)絡(luò)環(huán)境：某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表揚(yáng)了負(fù)責(zé)防火墻安裝實施的信息部。FireWall一般安裝在路由器 上以保護(hù)一個子網(wǎng)，也可以安裝在一臺主機(jī)上，保護(hù)這臺主機(jī)不受侵犯。如果一個企業(yè)只是使用Internet的電子郵件和WWW服務(wù)器向外部提供信息，那么就可以在FireWall上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應(yīng)用。通常企業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)安全，在企業(yè)網(wǎng)和Internet間設(shè)立FireWall軟件。它是一種隔離控制技術(shù)，在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。在電腦術(shù)語中，當(dāng)然就不是這個意思了，我們可 以類比來理解，在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術(shù)。防火墻防火墻是汽車中一個部件的名稱。第二章 計算機(jī)網(wǎng)絡(luò)安全防范策略計算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來說，主要由防病毒、防火墻、入侵檢測等多個安全組件組成，任何一個單獨的組件都無法確保網(wǎng)絡(luò)信息的安全性。⑤惡意攻擊就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒，這是最難防范的網(wǎng)絡(luò)安全威脅。合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況下，還可以提供較好的安全性。④網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷網(wǎng)絡(luò)設(shè)計是指拓?fù)浣Y(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇等。③網(wǎng)絡(luò)操作系統(tǒng)的漏洞網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實現(xiàn)的最終載體之一，它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。隨著互聯(lián)網(wǎng)需求的日益增長，外部服務(wù)請求不可能做到完全隔離，攻擊者利用服務(wù)請求的機(jī)會很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。另外，為達(dá)到預(yù)定目的，對出售給潛在敵手的計算機(jī)芯片進(jìn)行暗中修改，在CPU中設(shè)置“芯片陷阱”，可使美國通過因特網(wǎng)發(fā)布指令讓敵方電腦停止工作，以起到“定時炸彈”的作用。可以說，由政府組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”是當(dāng)前網(wǎng)絡(luò)安全的最大隱患?？梢哉f世界上任何一個計算機(jī)網(wǎng)絡(luò)都不是絕對安全的②黑客攻擊后果嚴(yán)重近幾年，黑客猖狂肆虐，四面出擊，使交通通訊網(wǎng)絡(luò)中斷，軍事指揮系統(tǒng)失靈，電力供水系統(tǒng)癱瘓，銀行金融系統(tǒng)混亂??危及國家的政治、軍事、經(jīng)濟(jì)的安全與穩(wěn)定，在世界各國造成了難以估量的損失。在網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)特性決定了不可能無條件、無限制的提高其安全性能。數(shù)據(jù)的安全性是防止數(shù)據(jù)庫被破壞和非法的存取；數(shù)據(jù)庫的完整性是防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)。例如：授權(quán)用戶超出了訪問權(quán)限進(jìn)行數(shù)據(jù)的更改活動；非法用戶繞過安全內(nèi)核，竊取信息。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開發(fā)設(shè)計的不周而留下的破綻，都給網(wǎng)絡(luò)安全留下隱患。l 操作系統(tǒng)存在的安全問題操作系統(tǒng)是作為一個支撐軟件，使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運(yùn)行的一個環(huán)境。更有基于競爭需要，利用技術(shù)手段對目標(biāo)機(jī)信息資源進(jìn)行竊取。管理層希望員工更加有效地使用互聯(lián)網(wǎng)，盡量避免網(wǎng)絡(luò)對工作帶來負(fù)面影響。l 網(wǎng)絡(luò)資源濫用網(wǎng)絡(luò)有了安全保證和帶寬管理，依然不能防止員工對網(wǎng)絡(luò)資源的濫用。各種各樣的安全漏洞和“后門”，這是網(wǎng)絡(luò)安全的主要威脅之一。l 管理的欠缺及資源濫用很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對于網(wǎng)絡(luò)安全的認(rèn)識，管理上存在很多漏洞，特別是國內(nèi)的企業(yè)，只是提供了接入Internet的通道，對于網(wǎng)絡(luò)上黑客的攻擊缺乏基本的應(yīng)對措施，同時企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，這是造成網(wǎng)絡(luò)安全問題的根本原因。l 各種病毒病毒時時刻刻威脅著整個互聯(lián)網(wǎng)。Internet最初的設(shè)計考慮主要是考慮資源共享，基本沒有考慮安全問題，缺乏相應(yīng)的安全監(jiān)督機(jī)制。這些攻擊手段都是通過尋找系統(tǒng)的弱點【2】，以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟(jì)上和政治上不可估量的損失。（如刪除文件，格式化硬盤，線路拆除等），意外疏漏（如系統(tǒng)掉電、死機(jī)等系統(tǒng)崩潰）。威脅分別有：（如雷電、地震、火災(zāi)、水災(zāi)等），物理損壞（如硬盤損壞、設(shè)備使用壽命到期、外力破損等），設(shè)備故障（如停電斷電、電磁干擾等），意外事故。自然威脅可能來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。網(wǎng)絡(luò)安全所面臨的威脅來自很