【正文】 就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)，當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。 （4）防止內(nèi)部信息的外泄。通過利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。 （5）支持具有因特網(wǎng)服務性的企業(yè)內(nèi)部網(wǎng)絡技術體系VPN。 防火墻的工作原理 從防火墻的作用可以看出，防火墻必須具備兩個要求：保障內(nèi)部網(wǎng)安全和保障內(nèi)部網(wǎng)和外部網(wǎng)的聯(lián)通。因此在邏輯上防火墻是一個分離器、限制器、分析器。防火墻根據(jù)功能實現(xiàn)在 TCP/IP 網(wǎng)絡模型中的層次，其實現(xiàn)原理可以分為三類：在網(wǎng)絡層實現(xiàn)防火墻功能為分組過濾技術；在應用層實現(xiàn)防火墻功能為代理服務技術；在網(wǎng)絡層，IP層，應用層三層實現(xiàn)防火墻為狀態(tài)檢測技術。 （1）分組過濾技術實際上是基于路由器技術，它通常由分組過濾路由器對IP分組進行分組選擇，允許或拒絕特定的IP數(shù)據(jù)包，工作于IP層。（2）代理服務技術 以一個高層的應用網(wǎng)關作為代理服務器，接受外來的應用連接請求，在代理服務器上進行安全檢查后，再與被保護的應用服務器連接，使外部用戶可以在受控制的前提下使用內(nèi)部網(wǎng)絡的服務，由于代理服務作用于應用層，它能解釋應用層上的協(xié)議，能夠作復雜和更細粒度的訪問控制；同時，由于所有進出服務器的客戶請求必須通過代理網(wǎng)關的檢查，可以做出精細的注冊和審計記錄，并且可以與認證、授權等安全手段方便地集成，為客戶和服務提供更高層次的安全保護。 （3）狀態(tài)檢測技術 此技術工作在IP/TCP/應用層，它結合了分組過濾和代理服務技術的特點，它同分組過濾一樣，在應用層上檢查數(shù)據(jù)包的內(nèi)容，分析高層的協(xié)議數(shù)據(jù)，查看內(nèi)容是否符合網(wǎng)絡安全策略。其一般邏輯位置如圖3－2所示。 圖3－2 防火墻的邏輯位置數(shù)據(jù)加密技術是網(wǎng)絡中最基本的安全技術，主要是通過對網(wǎng)絡中傳輸?shù)男畔⑦M行數(shù)據(jù)加密來保障其安全性，這是一種主動安全防御策略，用很小的代價即可為信息提供相當大的安全保護。按作用不同，數(shù)據(jù)加密技術主要分為以下4種：1．數(shù)據(jù)傳輸加密技術。目的是對傳輸中的數(shù)據(jù)流加密，常用的方針有線路加密和端到端加密兩種。前者側重在線路上而不考慮信源與信宿，是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發(fā)送者端自動加密，并進入TCP/IP數(shù)據(jù)包回封，然后作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng)，當這些信息一旦到達目的地，將被自動重組、解密，成為可讀數(shù)據(jù)。 2．數(shù)據(jù)存儲加密技術。目是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉換、附加密碼、加密模塊等方法實現(xiàn)，后者則是對用戶資格、格限加以審查和限制，防止非法用戶存取數(shù)據(jù)或合法用戶越權存取數(shù)據(jù)。 3．數(shù)據(jù)完整性鑒別技術。目的是對介入信息的傳送、存取、處理的人的身份和相關數(shù)據(jù)內(nèi)容進行驗證，達到保密的要求，一般包括口令、密鑰、身份、數(shù)據(jù)等項的鑒別，系統(tǒng)通過對比驗證對象輸入的特征值是否符合預先設定的參數(shù)，實現(xiàn)對數(shù)據(jù)的安全保護。 4．密鑰管理技術。為了數(shù)據(jù)使用的方便，數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應用，因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有：磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。 數(shù)據(jù)加密是通過某種函數(shù)進行變換，把正常數(shù)據(jù)包文（稱為明文或明碼）轉換為密文（密碼）。解密是指把密文還原成明文的過程。傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，稱為對稱密碼體制。如果加密密鑰和解密密鑰不相同，則稱為非對稱密碼體制。密鑰可以看作是密碼算法中的可變參數(shù)。密碼算法是相對穩(wěn)定的，在這種意義上，可以把密碼算法視為常量，而密鑰則是一個變量。在設計加密系統(tǒng)中，加密算法是可以公開的，真正需要保密的是密鑰，密鑰本質(zhì)是非常大的數(shù)，密鑰大小用“位”表示。在公開密鑰加密方法中，密鑰越大密文就越安全。加密與解密過程如圖3－3所示。圖3－3 加密與解密過程數(shù)據(jù)加密技術包括兩種體系：1．對稱密鑰體系。在對稱型密鑰體系中，加密和解密采用同一密鑰，如圖3－4所示。圖3－4對稱密鑰體系2．非對稱密鑰體系。非對稱加密技術將加密和解密分開并采用一對不同的密鑰進行。其工作原理如圖3－5所示。圖3－5非對稱密鑰體系與防火墻相比，數(shù)據(jù)加密與用戶授權訪問控制技術比較靈活，更加適用于開放的網(wǎng)絡。用戶授權訪問控制主要用于對靜態(tài)信息的保護，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密技術是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術手段之一。隨著信息技術的發(fā)展，網(wǎng)絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數(shù)據(jù)的安全保護外，從技術上分別在軟件和硬件兩方面采取措施，推動著數(shù)據(jù)加密技術和物理防范技術的不斷發(fā)展。僅僅依賴防火墻并不能保證足夠的安全，為了解決非法入侵所造成的各種安全問題，安全廠商提出了建立入侵檢測系統(tǒng)的解決方法。入侵檢測技術是防火墻技術的有效補充，通過對計算機或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡中或系統(tǒng)中潛在的違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)(Intrusion Detection System簡稱IDS)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息，再通過這此信息分析入侵特征的網(wǎng)絡安全系統(tǒng)。IDS被認為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊；在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統(tǒng)的知識，添加入策略集中，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵。入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。一個簡單的入侵檢測系統(tǒng)，如圖2－6所示: 圖2－6 入侵檢測系統(tǒng)入侵檢測系統(tǒng)的基本任務：通過實時檢測網(wǎng)絡系統(tǒng)狀態(tài)，判斷入侵行為發(fā)生，并產(chǎn)生報警。從功能實現(xiàn)的角度可以把這個系統(tǒng)劃分為三大模塊：信息收集模塊、信息處理與通訊模塊、入侵判斷與反應模塊。其中信息收集模塊與特定的環(huán)境，監(jiān)視的對象有比較密切的關系:信息處理與通訊模塊，是對所收集到的數(shù)據(jù)進行預處理和分類，然后把處理的結果按照一定的格式傳輸給檢測判斷模塊。最后由檢測判斷模塊根據(jù)一定的安全策略判斷入侵行為的發(fā)生并采取相應的反擊。隨著網(wǎng)絡系統(tǒng)結構的復雜化和大型化，系統(tǒng)的弱點或漏洞將趨向于分布式。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵的特點。入侵檢測系統(tǒng)要求可適應性、可訓練性、高效性、容錯性、可擴展性等要求。不同的IDS之間也需要共享信息，協(xié)同檢測。1．入侵檢測系統(tǒng)目前存在的問題: 現(xiàn)有的入侵檢測系統(tǒng)檢測速度遠小于網(wǎng)絡傳輸速度, 導致誤報率和漏報率；入侵檢測產(chǎn)品和其它網(wǎng)絡安全產(chǎn)品結合問題, 即期間的信息交換,共同協(xié)作發(fā)現(xiàn)攻擊并阻擊攻擊；基于網(wǎng)絡的入侵檢測系統(tǒng)對加密的數(shù)據(jù)流及交換網(wǎng)絡下的數(shù)據(jù)流不能進行檢測, 并且其本身構建易受攻擊；入侵檢測系統(tǒng)體系結構問題等。2．入侵檢測系統(tǒng)的類型（1）基于網(wǎng)絡的入侵檢測。基于網(wǎng)絡的入侵檢測產(chǎn)品(NIDS)放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析。網(wǎng)絡入侵檢測系統(tǒng)的優(yōu)點：網(wǎng)絡入侵檢測系統(tǒng)能夠檢測那些來自網(wǎng)絡的攻擊，它能夠檢測到超過授權的非法訪問。網(wǎng)絡入侵檢測系統(tǒng)的弱點：網(wǎng)絡入侵檢測系統(tǒng)只檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡包。（2）基于主機的入侵檢測?；谥鳈C的入侵檢測產(chǎn)品(HIDS)通常是安裝在被重點檢測的主機之上，主要是對該主機的網(wǎng)絡實時連接以及系統(tǒng)審計日志進行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統(tǒng)計規(guī)律)，入侵檢測系統(tǒng)就會采取相應措施。主機入侵檢測系統(tǒng)的優(yōu)點：主機入侵檢測系統(tǒng)對分析“可能的攻擊行為”非常有用。舉例來說，有時候它除了指出入侵者試圖執(zhí)行一些“危險的命令”之外，還能分辨出入侵者干了什么事：他們運行了什么程序、打開了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用。主機入侵檢測系統(tǒng)與網(wǎng)絡入侵檢測系統(tǒng)相比通常能夠提供更詳盡的相關信息。主機入侵檢測系統(tǒng)通常情況下比網(wǎng)絡入侵檢測系統(tǒng)誤報率要低，因為檢測在主機上運行的命令序列比檢測網(wǎng)絡流更簡單，系統(tǒng)的復雜性也少得多。主機入侵檢測系統(tǒng)可部署在那些不需要廣泛的入侵檢測、傳感器與控制臺之間的通信帶寬不足的情況下。主機入侵檢測系統(tǒng)在不使用諸如“停止服務”、“注銷用戶”等響應方法時風險較少。主機入侵檢測系統(tǒng)的弱點：主機入侵檢測系統(tǒng)安裝在我們需要保護的設備上。（3）混合入侵檢測?；诰W(wǎng)絡的入侵檢測產(chǎn)品和基于主機的入侵檢測產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會造成主動防御體系不全面。但是它們的缺憾是互補的。如果這兩類產(chǎn)品能夠無縫結合起來部署在網(wǎng)絡內(nèi)，則會構架成一套完整立體的主動防御體系，綜合了基于網(wǎng)絡和基于主機兩種結構特點的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。（4）文件完整性檢查。文件完整性檢查系統(tǒng)檢查計算機中自上次檢查以后文件變化情況。文件完整性檢查系統(tǒng)保存有每個文件的數(shù)字文摘數(shù)據(jù)庫，每次檢查時，它重新計算文件的數(shù)字文摘并將它與數(shù)據(jù)庫中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。文件完整性檢查系統(tǒng)的優(yōu)點：文件完整性檢查系統(tǒng)是非常強勁的檢測文件被修改的工具。實際上文件完整性檢查系統(tǒng)是一個檢測系統(tǒng)被非法使用的最重要的工具之一。文件完整性檢查系統(tǒng)具有相當?shù)撵`活性