【正文】 泄漏的安全威脅。防火可以有效地阻截各種惡意攻擊、保護(hù)信息的安全。郵件內(nèi)容檢測(cè)可以實(shí)時(shí)監(jiān)視郵件系統(tǒng)，阻擋一切針對(duì)硬盤(pán)的惡意活動(dòng)。個(gè)人防火墻是面向單機(jī)操作系統(tǒng)的一種小型安全防護(hù)軟件，按一定的規(guī)則對(duì)TCP，UDP，ICMP和IGMP等報(bào)文進(jìn)行過(guò)濾，對(duì)網(wǎng)絡(luò)的信息流和系統(tǒng)進(jìn)程進(jìn)行監(jiān)控，防止一些惡意的攻擊。因此，他們防外不防內(nèi)，難以實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個(gè)撥號(hào)上網(wǎng)用戶(hù)所在主機(jī)的安全問(wèn)題，而多數(shù)個(gè)人上網(wǎng)之時(shí)，并沒(méi)有置身于得到防護(hù)的安全網(wǎng)絡(luò)內(nèi)部。各種Windows漏洞不斷被公布，對(duì)主機(jī)的攻擊也越來(lái)越多。如假冒IP包對(duì)通信雙方進(jìn)行欺騙:對(duì)主機(jī)大量發(fā)送正數(shù)據(jù)包[3]進(jìn)行轟炸攻擊，使之際崩潰。因此，為了保護(hù)主機(jī)的安全通信，研制有效的個(gè)人防火墻技術(shù)很有必要。它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況, 以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。一個(gè)高效可靠的防火墻必須具有以下典型的特性: 1 從里到外和從外到里的所有通信都必須通過(guò)防火墻； 2 只有本地安全策略授權(quán)的通信才允許通過(guò)；3 防火墻本身是免疫的,不會(huì)被穿透的。 論文結(jié)構(gòu)在論文中接下來(lái)的幾章里，將會(huì)有下列安排:第二章，分析研究網(wǎng)絡(luò)安全問(wèn)題，網(wǎng)絡(luò)安全面臨的主要威脅，影響網(wǎng)絡(luò)安全的因素，及保護(hù)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。第四章，以H3CH3C的F100防火墻為例，介紹防火墻配置方法。2 網(wǎng)絡(luò)安全安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制?！睆募夹g(shù)講，計(jì)算機(jī)安全分為3種：1）實(shí)體的安全。2）運(yùn)行環(huán)境的安全性。3）信息的安全性。隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)的安全問(wèn)題也延伸到了計(jì)算機(jī)網(wǎng)絡(luò)。1）計(jì)算機(jī)病毒的侵襲。2）黑客侵襲。例如通過(guò)隱蔽通道進(jìn)行非法活動(dòng)；采用匿名用戶(hù)訪(fǎng)問(wèn)進(jìn)行攻擊；通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)獲取網(wǎng)上用戶(hù)賬號(hào)和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。例如“點(diǎn)在郵件炸彈”，它的表現(xiàn)形式是用戶(hù)在很短的時(shí)間內(nèi)收到大量無(wú)用的電子郵件，從而影響正常業(yè)務(wù)的運(yùn)行。具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪(fǎng)問(wèn)、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶(hù)……等。2）網(wǎng)絡(luò)安全影響網(wǎng)絡(luò)安全的因素有：節(jié)點(diǎn)的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。一個(gè)完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類(lèi)措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。三是管理措施，包括技術(shù)與社會(huì)措施。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計(jì)是安全的防線(xiàn)。但目前，在這方面的立法還遠(yuǎn)不能適應(yīng)形勢(shì)發(fā)展的需要,應(yīng)該在對(duì)控制計(jì)算機(jī)犯罪的國(guó)內(nèi)外立法評(píng)價(jià)的基礎(chǔ)上，完善我國(guó)計(jì)算機(jī)犯罪立法，以便為確保我國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)健康有序的發(fā)展提供強(qiáng)有力的保障。有兩種主要的加密類(lèi)型：私匙加密和公匙加密。(3) 防火墻技術(shù)防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶(hù)未經(jīng)授權(quán)的訪(fǎng)問(wèn)。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足：防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊等。隨著時(shí)代的發(fā)展，入侵檢測(cè)技術(shù)將朝著三個(gè)方向發(fā)展:分布式入侵檢測(cè)、智能化入侵檢測(cè)和全面的安全防御方案。(6) 文件系統(tǒng)安全在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個(gè)關(guān)鍵性的概念，因?yàn)樵L(fǎng)問(wèn)控制實(shí)現(xiàn)在兩個(gè)方面：本地和遠(yuǎn)程。一旦實(shí)現(xiàn)了NTFS，你可以使用Windows資源管理器在文件和文件夾上設(shè)置用戶(hù)級(jí)別的權(quán)限。Windows 2000操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪(fǎng)問(wèn)控制。（2）建立完善的安全管理體制和制度，以起到對(duì)管理人員和操作人員鼓勵(lì)和監(jiān)督的作用。3 防火墻概述隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類(lèi)重要的、敏感的數(shù)據(jù)逐漸增多。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪(fǎng)問(wèn)，阻止病毒的傳播感染顯得尤為重要。其中包過(guò)濾作為最早發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。[4]防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。圖1表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。第二代、第三代防火墻1989年，貝爾實(shí)驗(yàn)室的Dave Pres otto和Howard Crickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。1994年，以色列的Check Point公司開(kāi)發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。[5]但傳統(tǒng)的防火墻并沒(méi)有解決目前網(wǎng)絡(luò)中主要的安全問(wèn)題。這三大安全問(wèn)題占據(jù)網(wǎng)絡(luò)安全問(wèn)題九成以上。主要有以下三個(gè)原因:一是傳統(tǒng)防火墻的計(jì)算能力的限制。二是傳統(tǒng)防火墻的訪(fǎng)問(wèn)控制機(jī)制是一個(gè)簡(jiǎn)單的過(guò)濾機(jī)制。三是傳統(tǒng)的防火墻無(wú)法區(qū)分識(shí)別善意和惡意的行為?，F(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解決上面的問(wèn)題。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪(fǎng)問(wèn)控制。 防火墻的功能 防火墻的主要功能1．包過(guò)濾?？筛鶕?jù)地址簿進(jìn)行設(shè)置規(guī)則。網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的IP地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換Source NAT(SNAT)和目的地址轉(zhuǎn)換Destination NAT(DNAT)。并將有限的IP地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部IP地址對(duì)應(yīng)起來(lái)，用來(lái)緩解地址空間的短缺問(wèn)題，節(jié)省資源，降低成本。3．認(rèn)證和應(yīng)用代理。代理指防火墻內(nèi)置用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)。同時(shí)支持URL過(guò)濾功能。指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng)之間的安全訪(fǎng)問(wèn)。端口掃描就是指黑客通過(guò)遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主機(jī)的哪些非常用端口是打開(kāi)的。且FTP服務(wù)是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞，進(jìn)而對(duì)內(nèi)部網(wǎng)絡(luò)的主機(jī)進(jìn)行攻擊。檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。拒絕服務(wù)(DDS)攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶(hù)無(wú)法得到服務(wù)的響應(yīng)，其攻擊方式有很多種。其原理很簡(jiǎn)單，就是利用更多的受控主機(jī)同時(shí)發(fā)起進(jìn)攻，以比DDS更大的規(guī)模(或者說(shuō)以更高于受攻主機(jī)處理能力的進(jìn)攻能力)來(lái)進(jìn)攻受害者。(Buffer Overflow)。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作，防火墻設(shè)備可檢測(cè)對(duì)FTP、Telnet、SSH、RPC和SMTP等服務(wù)的遠(yuǎn)程堆棧溢出入侵。CGI就是Common Gateway Inter——face的簡(jiǎn)稱(chēng)。IIS就是Internet Information server的簡(jiǎn)稱(chēng)，也就是微軟的Internet信息服務(wù)器。、木馬及其網(wǎng)絡(luò)蠕蟲(chóng)。木馬程序的全稱(chēng)是“特洛依木馬”，它們是指尋找后門(mén)、竊取計(jì)算機(jī)的密碼的一類(lèi)程序。另外一種是針對(duì)個(gè)人用戶(hù)的，通過(guò)網(wǎng)絡(luò)(主要是電子郵件，惡意網(wǎng)頁(yè)形式)迅速傳播的蠕蟲(chóng)病毒，以愛(ài)蟲(chóng)病毒，求職信病毒為例。檢測(cè)試圖穿透防火墻系統(tǒng)的蠕蟲(chóng)程序。VPN的基本原理是通過(guò)IP包的封裝及加密、認(rèn)證等手段，從而達(dá)到安全的目的?？芍С秩我痪W(wǎng)絡(luò)接口的IP地址和MAC地址的綁定，從而禁止用戶(hù)隨意修改IP地址。要求對(duì)使用身份標(biāo)識(shí)和認(rèn)證的機(jī)制，文件的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關(guān)安全事件進(jìn)行記錄，以便系統(tǒng)管理員進(jìn)行安全跟蹤。 防火墻的原理及分類(lèi)國(guó)際計(jì)算機(jī)安全委員會(huì)ICSA將防火墻分成三大類(lèi):包過(guò)濾防火墻，應(yīng)用級(jí)代理服務(wù)器[8]以及狀態(tài)包檢測(cè)防火墻。過(guò)濾規(guī)則是基于網(wǎng)絡(luò)層IP包包頭信息的比較。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理。如果沒(méi)有匹配規(guī)則，則按缺省情況處理。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。通常是使用80端口。包過(guò)濾防火墻的維護(hù)比較困難，定義過(guò)濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過(guò)濾規(guī)則的不完善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。 應(yīng)用級(jí)代理防火墻應(yīng)用級(jí)代理技術(shù)通過(guò)在OSI的最高層檢查每一個(gè)IP包，從而實(shí)現(xiàn)安全策略。它的代理功能，就是在防火墻處終止客戶(hù)連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。如果某種應(yīng)用沒(méi)有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過(guò)防火墻進(jìn)行轉(zhuǎn)發(fā)。 代理服務(wù)型防火墻代理服務(wù)(Proxy Service)也稱(chēng)鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類(lèi)。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。這種結(jié)合通常是以下兩種方案。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。 防火墻包過(guò)濾技術(shù)隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類(lèi)重要的、敏感的數(shù)據(jù)逐漸增多。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪(fǎng)問(wèn)，阻止病毒的傳播感染顯得尤為重要。其中包過(guò)濾作為最早發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。包過(guò)濾最主要的優(yōu)點(diǎn)在于其速度與透明性。包過(guò)濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰。