【正文】 athematical model and prototype software, and what the system39。同時(shí)，我們不得不注意到，網(wǎng)絡(luò)雖然功能強(qiáng)大，也有其脆弱易受到攻擊的一面 。在我國(guó)，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。如何建立比較安全的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。防火墻具有很強(qiáng)的實(shí)用性和針對(duì)性，它為個(gè)人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解決方案，可以有效地控制個(gè)人電腦用戶信息在互 5 聯(lián)網(wǎng) 上的收發(fā)。而且防火墻能夠?qū)崟r(shí)記錄其它系統(tǒng)試圖對(duì)本機(jī)系統(tǒng)的訪問(wèn)，使計(jì)算機(jī)在連接到互聯(lián)網(wǎng)的時(shí)候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。防火可以有效地阻截各種惡意攻擊、保護(hù)信息的 安全 。郵件內(nèi)容檢測(cè)可以實(shí)時(shí)監(jiān)視郵件系統(tǒng)，阻擋一切針對(duì)硬盤的惡意活動(dòng)。個(gè)人防火墻是面向單機(jī)操作系統(tǒng)的一種小型安全防護(hù)軟件，按一定的規(guī)則對(duì) TCP， UDP， ICMP 和IGMP 等報(bào)文進(jìn)行過(guò)濾，對(duì)網(wǎng)絡(luò)的信息流和系統(tǒng)進(jìn)程進(jìn)行監(jiān)控，防止一些惡意的攻擊。因此，他們防外不防內(nèi)，難以實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個(gè)撥號(hào)上網(wǎng)用戶所在主機(jī)的安全問(wèn)題，而多數(shù)個(gè)人上網(wǎng)之時(shí)，并沒(méi)有置身于得到防護(hù)的安全網(wǎng)絡(luò)內(nèi)部。各種 Windows 漏洞不斷被公布，對(duì)主機(jī)的攻擊也越來(lái)越多。如假冒 IP 包對(duì)通信雙方進(jìn)行欺騙 :對(duì)主機(jī)大量發(fā)送正數(shù)據(jù)包 [3]進(jìn)行轟炸攻擊，使之際崩潰 。因此，為了保護(hù)主機(jī)的安全通信，研制有效的個(gè)人防火墻技術(shù)很有必要。我國(guó)對(duì)于計(jì)算機(jī)安全的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行。它保證硬件和軟件本身的安全。它保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作。它 保障信息不會(huì)被非法閱讀、修改和泄漏。 2.. 網(wǎng)絡(luò)安全面臨的主要威脅 一般認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來(lái)自計(jì)算機(jī)病毒、黑客的攻擊和拒絕服務(wù)攻擊三個(gè)方面。當(dāng)前，活性病毒達(dá) 14000 多種，計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。 3）拒絕服務(wù)攻擊。嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。 影響網(wǎng)絡(luò)安全的因素 1）單機(jī)安全 購(gòu)買單機(jī)時(shí)，型號(hào)的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境（電壓、濕度、防塵條件、強(qiáng)電磁場(chǎng)以及自然災(zāi)害等）；計(jì)算機(jī)的操作??等等，這些都是影響單機(jī)安全性的因素。 網(wǎng)絡(luò)安全措施 網(wǎng)絡(luò)信息安全涉及方方面面的問(wèn)題，是一個(gè)復(fù)雜的系統(tǒng)。二是技術(shù)方面，如信息加密存儲(chǔ)傳 9 輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。主要措施有：提供實(shí)時(shí)改變安全策略的能力、實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等，以防患于未然。 完善計(jì)算機(jī)安全立法 我國(guó)先后出臺(tái)的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) (1) 數(shù)據(jù)加密 加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。 (2)認(rèn)證 對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問(wèn)，使 用認(rèn)證機(jī)制還可以防止合法用戶訪問(wèn)他們無(wú)權(quán)查看的信息。目前，防火墻采取的技術(shù)，主要是包過(guò)濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。 (4)檢測(cè)系統(tǒng) 入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前 攔截相應(yīng)入侵。 (5)防病毒技術(shù) 隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜和高級(jí)，計(jì)算機(jī)病毒防范不僅僅是一個(gè)產(chǎn)品、一個(gè)策略或一個(gè)制度，它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。建立文件權(quán)限的時(shí)候，必須在Windows 20xx 中首先實(shí)行新技術(shù)文件系統(tǒng)（ New Technology File System， NTFS）。你需要了解可以分配什么樣的權(quán)限，還有日常活動(dòng)期間一些規(guī)則是處理權(quán)限的。 11 制定合理的網(wǎng)絡(luò)管理措施 （ 1）加強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識(shí)、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。 （ 3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類。 防火墻的概念 防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制 (允許、拒絕、監(jiān)測(cè) )出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。防火墻提供信息安全服務(wù)，是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 13 傳統(tǒng)防火墻介紹 目前的防火墻技術(shù)無(wú)論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個(gè)發(fā)展歷程。 圖 1 第一代防火墻 第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過(guò)濾（ Packet filter）技術(shù)。 第 四代防火墻 1992 年， USC信息科學(xué)院的 BobBraden 開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾（ Dynamic packet filter）技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視（ Stateful inspection）技術(shù)。 第五代防火墻 1998 年， NAI 公司推出了一種自適應(yīng)代理（ Adaptive proxy）技術(shù)，并在其產(chǎn)品 Gauntlet Firewall for NT 中得以實(shí)現(xiàn)，給代理 14 類型的防火墻賦予了全新的意義， 可以稱之為第五代防火墻。目前網(wǎng)絡(luò)安全的三大主要問(wèn)題是 :以拒絕訪問(wèn) (DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(chóng) (Worm)為主要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。而這三大問(wèn)題，傳統(tǒng)防火墻都無(wú)能為力。傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代價(jià)，檢查的強(qiáng)度越高，計(jì)算的代價(jià)越大。它是一個(gè)簡(jiǎn)單的條件過(guò)濾器 ，不具有智能功能，無(wú)法檢測(cè)復(fù)雜的攻擊。該特征決定了傳統(tǒng)的防火墻無(wú)法解決惡意的攻擊行為。 智能防火墻簡(jiǎn)介 智能防火墻 [6]是相對(duì)傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目的。由于這些方法多是人工智能學(xué)科采用的方法 ，因此，又稱為智能防火墻。 包過(guò)濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護(hù)機(jī)制，它可用來(lái)控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時(shí)間 。 2．地址轉(zhuǎn)換。 SNAT 用于對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì) 外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來(lái)自外部其他網(wǎng)絡(luò)的非授權(quán)訪問(wèn)或惡意攻擊。 DNAT 主要用于外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)。 認(rèn)證指防火墻對(duì)訪問(wèn)網(wǎng)絡(luò)者合法身分的確定。提供 HTTP、 FTP 和 SMTP 代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪問(wèn)控制 。 4．透明和路由 16 指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng)之間的安全訪問(wèn)。端口掃描就是指黑客通過(guò)遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主機(jī)的哪些非常用端口是打開(kāi)的 。且 FTP 服務(wù)是否支持“匿名”，以及 IIS 版本，是否有可以被成功攻破的 IIS 漏洞，進(jìn)而對(duì)內(nèi)部網(wǎng)絡(luò)的主機(jī)進(jìn)行攻擊。檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。拒絕服務(wù) (DoS)攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)，其攻擊方式有很多種 。其原理很簡(jiǎn)單，就是利用更多的受控主機(jī)同時(shí)發(fā)起進(jìn)攻，以比 DoS 更大的規(guī)模 (或者說(shuō)以更高 于受攻主機(jī)處理能力的進(jìn)攻能力 )來(lái)進(jìn)攻受害者。 (Buffer Overflow)。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn) 行各種非法操作，防火墻設(shè)備可檢測(cè)對(duì) FTP、 Tel、 SSH、 RPC 和 SMTP 等服務(wù)的遠(yuǎn)程堆棧溢出入侵。 CGI 就是 Common Gateway Inter—— face 的簡(jiǎn)稱。 IIS 就是 Inter Information server 的簡(jiǎn)稱，也就是微軟的Inter 信息服務(wù)器。 、木馬及其網(wǎng)絡(luò)蠕蟲(chóng)。木馬程序的全稱是“特洛依木馬”，它們是指尋找后門、竊取計(jì)算機(jī)的密碼的一類程序。另外一種是針對(duì)個(gè)人用戶的，通過(guò)網(wǎng)絡(luò) (主要是電子郵件 ，惡 18 意網(wǎng)頁(yè)形式 )迅速傳播的蠕蟲(chóng)病毒，以愛(ài)蟲(chóng)病毒，求職信病毒為例。檢測(cè)試圖穿透防火墻系統(tǒng)的蠕蟲(chóng)程序。 VPN 的基本原理是通過(guò) IP 包的封裝及加密、認(rèn)證等手段，從而達(dá)到安全的目的?？芍С秩我痪W(wǎng)絡(luò)接口的 IP 地址和MAC 地址的綁定，從而禁止用戶隨意修改 IP 地址。要求對(duì)使用身份標(biāo)識(shí)和認(rèn)證的機(jī)制，文件 的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關(guān)安全事件進(jìn)行記錄，以便系統(tǒng)管理員進(jìn)行安全跟蹤。 。 防火墻的原理及分類 國(guó)際計(jì)算機(jī)安全委員會(huì) ICSA 將防火墻分成三大類 :包過(guò)濾防火墻，應(yīng)用級(jí)代理服務(wù)器 [8]以及狀態(tài)包檢測(cè)防火墻。過(guò)濾規(guī)則是基于網(wǎng)絡(luò)層 IP 包包頭信息的比較。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理 。如果沒(méi)有匹配規(guī)則，則按缺省情況處理。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。通常是使用 80 端口。包過(guò)濾防火墻的維護(hù)比較困難，定義過(guò)濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過(guò)濾規(guī)則的不完善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。 應(yīng)用級(jí)代理防火墻 應(yīng)用級(jí)代理技術(shù)通過(guò)在 OSI 的最高層檢查每一個(gè) IP 包，從而實(shí)現(xiàn)安全 策略。它的代理功能，就是在防火墻處終止客戶連接并初始化一個(gè)新 20 的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。如果某種應(yīng)用沒(méi)有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過(guò)防火墻進(jìn)行轉(zhuǎn)發(fā) 。 代理服務(wù)型防火墻 代理服務(wù) (Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或 TCP 通道 (Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。它工作在 OSI 模型的最高層，掌 握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。這種結(jié)合通常是以下兩種方案。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)， 兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與 Inter 及內(nèi)部網(wǎng)絡(luò)分離。 防火墻包過(guò)濾技術(shù) 隨著 Inter 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多 。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，阻止病毒的傳播感染顯得尤為重要。其中包過(guò)濾作為最早發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。包過(guò)濾最主要的優(yōu)點(diǎn)在于其速度與透明性。包過(guò)濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰?？紤]包過(guò)濾技術(shù)的發(fā)展過(guò)程，可以認(rèn)為包過(guò)濾的核心問(wèn)題就是如何充分利用數(shù)據(jù)包中各個(gè)字段的信息，并結(jié)合安全策略來(lái)完成防火墻的功能 [11][15] 數(shù)據(jù)表結(jié)構(gòu) 當(dāng)應(yīng)用程序用 TCP 傳送數(shù)據(jù)時(shí)，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過(guò)每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。 TCP 傳給 IP 的數(shù)據(jù)單元稱作 TCP報(bào)文段 (TCP Segment)。對(duì)于進(jìn)防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。 表 21 IP 首部格式 版本 首部長(zhǎng) 服務(wù)類型 總 長(zhǎng) 度 標(biāo)識(shí) 標(biāo)志 片偏移 生存時(shí)間 協(xié) 議 首部校驗(yàn)和 源 IP 地址