【正文】 硬件和專有交換協(xié)議等安全機(jī)制，來實(shí)現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換，不僅解決了以往隔離技術(shù)存在的問題，并且在網(wǎng)絡(luò)隔離的同時(shí)實(shí)現(xiàn)高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，它透明地支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。該技術(shù)是通過使用單刀雙擲開關(guān)，通過內(nèi)外部網(wǎng)絡(luò)分時(shí)訪問臨時(shí)緩存器來完成數(shù)據(jù)交換的，但存在支持網(wǎng)絡(luò)應(yīng)用少、傳輸速度慢和硬件故障率高等問題，往往成為網(wǎng)絡(luò)的瓶頸。利用轉(zhuǎn)播系統(tǒng)分時(shí)復(fù)制文件的途徑來實(shí)現(xiàn)隔離，切換時(shí)間較長，甚至需要手工完成，不僅大大降低了訪問速度，更不支持常見的網(wǎng)絡(luò)應(yīng)用，只能完成特定的基于文件的數(shù)據(jù)交換。通過硬件卡控制獨(dú)立存儲(chǔ)和分時(shí)共享設(shè)備與線路來實(shí)現(xiàn)對(duì)不同網(wǎng)絡(luò)的訪問，它仍然存在使用不便、可用性差等問題，有的設(shè)計(jì)上還存在較大的安全隱患。采用完全獨(dú)立的設(shè)備、存儲(chǔ)和線路來訪問不同的網(wǎng)絡(luò)，做到了完全的物理隔離，但需要多套網(wǎng)絡(luò)和系統(tǒng)，建設(shè)和維護(hù)成本較高。 隔離概念的出現(xiàn)，是為了保護(hù)高安全度網(wǎng)絡(luò)環(huán)境，隔離產(chǎn)品發(fā)展至今共經(jīng)歷了五代。 面對(duì)新型網(wǎng)絡(luò)攻擊手段的不斷出現(xiàn)和高安全網(wǎng)絡(luò)的特殊需求，全新安全防護(hù)理念安全隔離技術(shù)應(yīng)運(yùn)而生。網(wǎng)絡(luò)線路被惡意切斷或過高電壓導(dǎo)致通信中斷，屬于物理層的威脅；網(wǎng)絡(luò)地址偽裝、Teardrop碎片攻擊、SYNFlood等則屬于協(xié)議層的威脅；非法URL提交、網(wǎng)頁惡意代碼、郵件病毒等均屬于應(yīng)用層的攻擊。選擇一個(gè)合適的VPN解決方案可以有效地防范網(wǎng)絡(luò)黑客的惡意攻擊。用戶類型、傳輸方法，以及由VPN使用的服務(wù)的混合性，增加了VPN設(shè)計(jì)的復(fù)雜性，同時(shí)也增加了網(wǎng)絡(luò)安全的復(fù)雜性。身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。 （4）使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication） VPN方案必須能夠驗(yàn)證用戶身份并嚴(yán)格控制只有授權(quán)用戶才能訪問VPN。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。 （2）加解密技術(shù)（Encryption amp。一旦到達(dá)網(wǎng)絡(luò)終點(diǎn)，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。 被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。 （1）隧道技術(shù)（Tunneling） 隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。 目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption amp。 虛擬專用網(wǎng)實(shí)際上就是將Internet看作一種公有數(shù)據(jù)網(wǎng)，這種公有網(wǎng)和PSTN網(wǎng)在數(shù)據(jù)傳輸上沒有本質(zhì)的區(qū)別，從用戶觀點(diǎn)來看，數(shù)據(jù)都被正確傳送到了目的地。許多企業(yè)趨向于利用Internet來替代它們私有數(shù)據(jù)網(wǎng)絡(luò)。 虛擬專用網(wǎng)虛擬專用網(wǎng)(Virtual Private Network，VPN)是近年來隨著Internet的發(fā)展而迅速發(fā)展起來的一種技術(shù)。RSA算法的描述如下： 公開密鑰：n=pq(p、q分別為兩個(gè)互異的大素?cái)?shù)，p、q必須保密) 　　 e與（p1）(q1)互素 私有密鑰：d=e1 {mod(p1)(q1)} 加 密：c=me(mod n),其中m為明文，c為密文。 RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個(gè)完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。非對(duì)稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計(jì)算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對(duì)應(yīng)于生成密鑰的交換方。 （2）非對(duì)稱加密技術(shù) 在非對(duì)稱加密體系中，密鑰被分解為一對(duì)（即公開密鑰和私有密鑰）。如果在交換階段私有密鑰未曾泄露，那么機(jī)密性和報(bào)文完整性就可以得以保證。具體如下： （1）對(duì)稱加密技術(shù) 在對(duì)稱加密技術(shù)中，對(duì)信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。 防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展和電子商務(wù)的展開，嚴(yán)防黑客入侵、切實(shí)保障網(wǎng)絡(luò)交易的安全，不僅關(guān)系到個(gè)人的資金安全、商家的貨物安全，還關(guān)系到國家的經(jīng)濟(jì)安全、國家經(jīng)濟(jì)秩序的穩(wěn)定問題，因此各級(jí)組織和部門必須給予高度重視。 計(jì)算機(jī)病毒是我們大家都比較熟悉的一種危害計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的破壞性程序。因此針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全保護(hù)方案以確保計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性是每一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)都要認(rèn)真對(duì)待的一個(gè)重要問題。 網(wǎng)絡(luò)安全防范的內(nèi)容一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完整性、保密性和真實(shí)性等特點(diǎn)。由此可以將計(jì)算機(jī)網(wǎng)絡(luò)的安全理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。由于Internet的開放性和超越組織與國界等特點(diǎn)，使它在安全性上存在一些隱患。因此，在關(guān)注網(wǎng)絡(luò)安全的同時(shí)，我們更應(yīng)該關(guān)注管理員的素質(zhì)和管理水平，一支高素質(zhì)的管理員隊(duì)伍會(huì)使網(wǎng)絡(luò)的安全性倍增。雖然防火墻是一種行之有效的網(wǎng)絡(luò)安全機(jī)制，可以通過在因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間提供路由功能，保證網(wǎng)絡(luò)信息的安全，但是防火墻也有不足之處，也存在著被黑客攻擊繞過的安全漏洞，從而失去防護(hù)的作用。目前，解決第一個(gè)問題的方法主要是采用信息加密技術(shù)，而解決第二個(gè)問題，普遍采用的是防火墻技術(shù)，所謂防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。關(guān)鍵字 ： 網(wǎng)絡(luò)安全 計(jì)算機(jī)網(wǎng)絡(luò) 防火墻 漏洞 AbstractThis text introduced the foundation knowledge of the network safety more and detailedly, and the basic knowledge of the fire wall, carry out the application of method, basic function, main type, fire wall and analyze, pass the analysis to some blemishs and the system loophole of network structure, fire wall, make use of the superscan, xscan etc. tool to scan the loophole, find out the method that can go, attain to round the purpose that carries on the attack to the system over the fire wall. In the text to take once succeed of rounded fire wall invade as an example, carried on the simple elucidation to this, and give some outlooks of the developments trends of the suggestions and the new generation fire walls that strengthen the safe measure.Key word: Network safety Calculator network Fire wall Loophole 引 言因特網(wǎng)的發(fā)展給人們的通信帶來了革命性的變革，但在獲得便利的同時(shí)，也要面對(duì)因特網(wǎng)在數(shù)據(jù)安全方面所帶來的挑戰(zhàn)。網(wǎng)絡(luò)安全與防火墻技術(shù)摘 要本文比較詳細(xì)的介紹了網(wǎng)絡(luò)安全的基礎(chǔ)知識(shí)，以及防火墻的基本知識(shí)、實(shí)現(xiàn)方法、基本功能、主要類型、防火墻的應(yīng)用和分析，通過對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、防火墻的一些缺陷以及系統(tǒng)漏洞的分析，運(yùn)用superscan、xscan等工具掃描漏洞，找出可行之方法，達(dá)到繞過防火墻對(duì)系統(tǒng)進(jìn)行攻擊的目的。文中以一次成功的繞過防火墻的入侵為例，對(duì)此進(jìn)行了簡單的說明，并給出了一些加強(qiáng)安全措施的建議以及對(duì)新一代防火墻的發(fā)展趨勢的展望。為此，本文著重討論了網(wǎng)絡(luò)安全的問題，主要包括以下兩個(gè)方面：（1）確保網(wǎng)絡(luò)上傳輸信息的私有性，不被非法竊取、篡改和偽造；（2）限制用戶在網(wǎng)絡(luò)上（或程序）的訪問權(quán)限，防止非法用戶（或程序）的侵入。但是，凡事都有它的兩面性。因此，安全并不僅僅只是以上所說的防火墻等安全設(shè)備，更多的因素還是在人，因?yàn)槿耸侵黧w、是管理者。24第24頁 共26頁第一章 網(wǎng)絡(luò)安全概述 21世紀(jì)全世界的計(jì)算機(jī)都將通過Internet聯(lián)到一起，隨著Internet的發(fā)展，豐富的網(wǎng)絡(luò)信息資源給用戶帶來了極大的方便，但同時(shí)也給上網(wǎng)用戶帶來了安全問題。而且信息安全的內(nèi)涵也發(fā)生了根本的變化。 網(wǎng)絡(luò)安全的概念國際標(biāo)準(zhǔn)化組織（ISO）對(duì)計(jì)算機(jī)系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。所以，建立網(wǎng)絡(luò)安全保護(hù)措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。計(jì)算機(jī)網(wǎng)絡(luò)不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，還要保護(hù)數(shù)據(jù)安全等。網(wǎng)絡(luò)安全防范的重點(diǎn)主要有兩個(gè)方面：一是計(jì)算機(jī)病毒，二是黑客犯罪。黑客犯罪是指個(gè)別人利用計(jì)算機(jī)高科技手段，盜取密碼侵入他人計(jì)算機(jī)網(wǎng)絡(luò)，非法獲得信息、盜用特權(quán)等，如非法轉(zhuǎn)移銀行資金、盜用他人銀行帳號(hào)購物等。 確保網(wǎng)絡(luò)安全的主要技術(shù) 防火墻技術(shù) 網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。 目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。 加密技術(shù) 信息加密技術(shù)分為兩類：即對(duì)稱加密和非對(duì)稱加密。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。對(duì)稱加密技術(shù)也存在一些不足，如果交換一方有N個(gè)交換對(duì)象，那么他就要維護(hù)N個(gè)私有密鑰，對(duì)稱加密存在的另一個(gè)問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對(duì)方的。這對(duì)密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。非對(duì)稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。最具有代表性是RSA公鑰密碼體制。在RSA體制中使用了這樣一個(gè)基本事實(shí)：到目前為止，無法找到一個(gè)有效的算法來分解兩大素?cái)?shù)之積。 解 密：m=cd(mod n) 利用目前已經(jīng)掌握的知識(shí)和理論，分解2048bit的大整數(shù)已經(jīng)超過了64位計(jì)算機(jī)的運(yùn)算能力，因此在目前和預(yù)見的將來，它是足夠安全的?，F(xiàn)代企業(yè)越來越多地利用Internet資源來進(jìn)行促銷、銷售、售后服務(wù)，乃至培訓(xùn)、合作等活動(dòng)。這種利用Internet來傳輸