畢業(yè)論文----論計算機網(wǎng)絡(luò)安全與防護

1、<p>　　論計算機網(wǎng)絡(luò)安全與防護</p><p><b>　　摘 要</b></p><p>　　網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，網(wǎng)絡(luò)安全涉及的內(nèi)容有三個方面：包括安全管理、安全技術(shù)、安全設(shè)備。從技術(shù)上來說，網(wǎng)絡(luò)安全由安全的操作系統(tǒng)、應用軟件、防火墻、網(wǎng)絡(luò)監(jiān)控、通信加密、災難恢復、安全掃描等多個安全組件來保證的。</p><

2、;p>　　本文首先從網(wǎng)絡(luò)安全和防護的定義入手，闡述了關(guān)于網(wǎng)絡(luò)安全與防護工作在國際和國內(nèi)的發(fā)展現(xiàn)狀，使讀者從總體上對這門學科有了初步的認識。</p><p>　　其次對經(jīng)典常見的網(wǎng)絡(luò)攻擊行為和不安全因素進行了深度的剖析，分析了其工作的原理，并提出了對其防護的可行性和有效性的建議。</p><p>　　最后通過對這些不安全因素的剖析，提出了當今社會比較突出的解決方法，并逐一分析了他們實現(xiàn)

3、的工作原理，以及深入了解其工作的過程。 </p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)安全，防火墻，網(wǎng)絡(luò)防護</p><p>　　Computer Network Security and Protection Research</p><p><b>　　Abstract</b></p><p>　　Essence of netw

4、ork security on the network information security , About the content of network security has three aspects: Including the Safety Management, Security technology, safety equipment. Through technically, Network security fr

5、om the safety of the operating system, application software, firewalls, network monitoring, communication, encryption, disaster recovery, Security scanning and other security components to guarantee.</p><p>

6、　　In this paper, network security and protection from the definition of the beginning，Elaborates on the network security and protection work in the development of international and domestic situation，So that readers in g

7、eneral, this subject had an initial understanding.</p><p>　　Second, the classical behavior of common network attacks and insecurity in-depth analysis of the factors，Analysis of the principle of its work and

8、put forward the feasibility and effectiveness of its protective recommendations.</p><p>　　The final adoption of the analysis of these factors of insecurity,Made more prominent in today's society a soluti

9、on, And to analyze the working principle of their realization, as well as in-depth understanding of their work process.</p><p>　　Key word : Network Security Firewall Network Protection</p><p>

10、<b>　　目 錄</b></p><p>　　1 緒論………………………………………………………..………………..…………….4</p><p>　　1.1 課題背景及目的……………………………………………………………………4</p><p>　　1.2 國內(nèi)外研究狀況……………………………………………………………………4

11、</p><p>　　1.3 論文構(gòu)成及研究內(nèi)容………………………………………………………………6</p><p>　　2 網(wǎng)絡(luò)攻擊行為技術(shù)特點分析……….…………………………………………………...6</p><p>　　2.1 拒絕服務DoS……………..………………………………………………………..5</p><p>　　2.1.

12、1 淹沒…………………………………………….…………………………...5</p><p>　　2.1.2 Smurfing拒絕服務……….………………………………………………...6</p><p>　　2.1.3 分片攻擊……………………………………….…………………………...7</p><p>　　2.1.4 分布式拒絕服務攻擊DDoS……………………

13、……………….……..……8</p><p>　　2.1.5 拒絕服務攻擊小結(jié)…………………………………………………………8</p><p>　　2.2 惡意軟件 ……………….………………….….…………………………………...8</p><p>　　2.2.1 邏輯炸彈……………………………………….…………………………...8</p>&l

14、t;p>　　2.2.2 后門…………………………………………………………………………8</p><p>　　2.2.3 蠕蟲…………………………………………………………………………9</p><p>　　2.2.4 病毒…………………………………………………………………………9</p><p>　　2.2.5 特洛伊………………………………………………

15、………………………9</p><p>　　2.3 利用脆弱性 …………….….….…………………………………………………...10</p><p>　　2.3.1 訪問權(quán)限……………………………………….…………………………...10</p><p>　　2.3.2 緩沖區(qū)溢出…………………………………………………………………10</p><

16、;p>　　2.3.3 信息流泄露………………………………………….……………………...10</p><p>　　2.3.4 利用脆弱性小結(jié)……………………………………….…………………...10</p><p>　　2.4 操縱IP包 …………….…………..………………………………………...……...11</p><p>　　2.4.1 端口欺騙

17、……………………………………….…………………………...11</p><p>　　2.4.2 盲IP欺騙……………………………………………………...……………11</p><p>　　2.4.3 IP操縱小結(jié)…………………………………………………....……………11</p><p>　　2.5 內(nèi)部攻擊 ….…………….…….……………………………………

18、……………...12</p><p>　　2.5.1 后門守護程序………………………………….…………………………...12</p><p>　　2.5.2 日志修改……………………………………………………………………12</p><p>　　2.5.3 隱蔽…………………………………………………………………………12</p><p>

19、　　2.5.4 非盲欺騙……………………………………………………………………12</p><p>　　2.6 CGI攻擊 ….…………….…….…………………………………………………...13</p><p>　　2.6.1 低級CGI攻擊……………………………………….……………………...13</p><p>　　2.6.2 高級CGI攻擊…………………

20、……………………………………………13</p><p>　　2.6 小結(jié) ….…………….…….………………………………………………………...13</p><p>　　3 網(wǎng)絡(luò)安全防護系統(tǒng)實現(xiàn)策略…………………………….……...…….………………....14</p><p>　　3.1 網(wǎng)絡(luò)安全的目標…………………………………………………….……………..

21、.14</p><p>　　3.2 防火墻…………………………………...….……………………….……………...15</p><p>　　3.2.1 防火墻功能和安全策略…………………………….……………………...16</p><p>　　3.2.2 防火墻工作原理…………………………………….……………………...17</p><p&

22、gt;　　3.2.3 防火墻關(guān)鍵技術(shù)…………………………………….……………………...17</p><p>　　3.2.4 防火墻體系結(jié)構(gòu)…………………………………….……………………...20</p><p>　　3.3 入侵檢測技術(shù)…………………………...….……………………….……………...22</p><p>　　3.3.1 入侵檢測的基本原理

23、……………………………….……………………...22</p><p>　　3.3.2 入侵檢測的系統(tǒng)功能及其結(jié)構(gòu)…………………….……………………...23</p><p>　　3.3.3 入侵檢測策略……………………………………….……………………...25</p><p>　　3.3.4 入侵檢測的分析技術(shù)……………………………….……………………...2

24、5</p><p>　　3.3.4 入侵檢測的分析方法…………………….………………………………...27</p><p>　　3.4 安全審計技術(shù)………………………………….…………………………………...30</p><p>　　3.2.1 安全審計系統(tǒng)的定義和要求……………………………….……………...30</p><p>　　

25、3.2.2 安全審計的功能…………………………….……………………………...31</p><p>　　3.2.2 安全審計的范圍…………………………….……………………………...31</p><p>　　3.2.2 安全審計的過程…………………………….……………………………...32</p><p>　　3.2.2 安全審計的實現(xiàn)方式………………………

26、…….………………………...33</p><p>　　3.2.2 安全監(jiān)控…………………………….………………..…………………...33</p><p>　　結(jié)束語……………………………………………………………………………………….35</p><p>　　致謝…………………………………………………………………………………………..35</p>

27、<p>　　參考文獻……………………………………………………………………………………..36</p><p><b>　　1 緒論</b></p><p>　　1.1 選課的背景和目的</p><p>　　隨著計算機網(wǎng)絡(luò)技術(shù)的廣泛應用和迅猛發(fā)展，全球信息化進程被不斷推向深入。網(wǎng)絡(luò)資源共享和信息安全本身就是一對矛盾體，資源共享性越強，網(wǎng)

28、絡(luò)系統(tǒng)的脆弱性和網(wǎng)絡(luò)安全的復雜性也就越強。 因此，計算機網(wǎng)絡(luò)系統(tǒng)必須采用針對各種不同威脅的安全措施，使硬件和軟件相結(jié)合，技術(shù)和管理相補充，建立全方位的網(wǎng)絡(luò)安全管理體系， 才能保證計算機網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定、高效地運行。由于計算機信息有共享和易于擴散等特性，它在處理、存儲、傳輸和使用上有著嚴重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡改、冒充和破壞，還有可能受到計算機病毒的感染。國際標準化組織將“信息系統(tǒng)安全”定義為“為

29、數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露?！贝烁拍钇赜陟o態(tài)信息保護。也有人將“信息系統(tǒng)安全”定義為“計算機的硬件、軟件和數(shù)據(jù)受到保護，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常運行。”該定義著重于動態(tài)意義描述。信息系統(tǒng)安全的內(nèi)容應包括兩方面即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護，免于破壞、丟失等。邏輯安全包括信息完整</

30、p><p>　　網(wǎng)絡(luò)安全是一門涉及計算機科學、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。 具體來說，網(wǎng)絡(luò)安全是指通過各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其數(shù)據(jù)資源受到保護，避免因黑客、惡意軟件、系統(tǒng)漏洞等威脅使數(shù)據(jù)資源遭到破壞。</p><p>　　網(wǎng)絡(luò)安全方面的研究事關(guān)國民經(jīng)濟的正常運轉(zhuǎn)和國家安全，處于信息科學和技術(shù)的研究前沿，不僅屬于

31、具有理論和應用價值，還具有巨大的社會和經(jīng)濟意義。</p><p>　　1.2 國內(nèi)外研究現(xiàn)狀</p><p>　　網(wǎng)絡(luò)安全技術(shù)發(fā)展至今已有兒十年的歷史，其中人約經(jīng)過了二個階段。先是最初的識別驗證技術(shù)和訪問控制策略。然后是防火墻技術(shù)，它土要是通過編寫各種規(guī)則，可以過濾掉一些違反規(guī)則的數(shù)據(jù)包，從而增強站點的安全性能。前兩種策略都是十分有效的安全措施，至今仍在廣泛使用，但網(wǎng)絡(luò)黑客一旦通過某些手段

32、繞過它們的警戒線，系統(tǒng)對黑客的破壞活動就變得視若無睹。為了能實時地監(jiān)控網(wǎng)絡(luò)用戶的行為，入侵檢測技術(shù)近年來迅速發(fā)展起來。從近年的計算機安全技術(shù)論壇年會可以看到，入侵檢測技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的熱點研究問題。</p><p>　　在入侵檢測技術(shù)發(fā)展的初期，檢測方法比較簡單，而且設(shè)計、使用的大多是基于主機的入侵檢測系統(tǒng)。隨著網(wǎng)絡(luò)應用的迅速普及和入侵檢測方法、技術(shù)的進一步發(fā)展，使得當前入侵檢測系統(tǒng)的應用方向轉(zhuǎn)向網(wǎng)絡(luò)，尤

33、其是面向廠一域網(wǎng)，對大型網(wǎng)絡(luò)進行保護。對域網(wǎng)范圍的入侵活動如蠕蟲、分布式協(xié)作攻擊進行檢測和必要的入侵反應機制如自動響應、對入侵者進行跟蹤并發(fā)現(xiàn)其源頭，是當前網(wǎng)絡(luò)入侵檢測系統(tǒng)研究的重點。</p><p>　　目前國際上入侵檢測的研究主要集中在美國，而且有許多研究得到政府和軍方的支持剛，由此可見美國政府對這方面研究的重視程度。美國進行入侵檢測研究的主要機構(gòu)有加利福尼亞大學分校安全實驗室、斯坦福國際研究所計算機科學實驗

34、室、大學的、新墨西哥大學等。</p><p>　　在民用方面，有許多公司開發(fā)了多種入侵檢測具，如NFR網(wǎng)絡(luò)飛行記錄儀，ISS的Realsecure,Axent的NetProwler和CISCO的NetRanger等。這些工具的功能比較完善而且有較強的實用性，能對大量攻擊和系統(tǒng)濫用特征進行識別，并采取及時的入侵反應措施，還能添加新的攻擊特征。</p><p>　　在國內(nèi)，近幾年計算機安全技術(shù)

35、特別是網(wǎng)絡(luò)安全技術(shù)己逐漸成為研究熱點。但在入侵檢測技術(shù)方面的研究還剛剛起步，處于跟蹤國外技術(shù)階段。特別是投入實際使用的入侵檢測系統(tǒng)產(chǎn)品很少，系統(tǒng)功能還比較簡單。在商用領(lǐng)域，僅有北京冠群金辰軟件有限公司的干將莫邪入侵檢測系統(tǒng)中科網(wǎng)威公司的入侵檢測系統(tǒng)等少數(shù)幾家公司或研究機構(gòu)的成型產(chǎn)品。</p><p>　　由于網(wǎng)絡(luò)安全與防護技術(shù)涉及許多敏感技術(shù)，國內(nèi)外技術(shù)交流受到很多阻礙。所以，在網(wǎng)絡(luò)安全與防護技術(shù)逐漸成為強化網(wǎng)絡(luò)

36、和打擊網(wǎng)絡(luò)犯罪的有效手段的重要時期，要想不落后于世界其他國家，必須加強在這方面的研究和實踐。檢測技術(shù)方面的研究還剛剛起步，處于跟蹤國外技術(shù)階段。特別是投入實際使用的入侵檢測系統(tǒng)產(chǎn)品很少，系統(tǒng)功能還比較簡單。在商用領(lǐng)域，僅有北京冠群金辰軟件有限公司的干將莫邪入侵檢測系統(tǒng)中科網(wǎng)威公司的入侵檢測系統(tǒng)等少數(shù)幾家公司或研究機構(gòu)的成型產(chǎn)品。</p><p>　　由于網(wǎng)絡(luò)安全與防護技術(shù)涉及許多敏感技術(shù)，國內(nèi)外技術(shù)交流受到很多阻

37、礙。所以，在網(wǎng)絡(luò)安全與防護技術(shù)逐漸成為強化網(wǎng)絡(luò)和打擊網(wǎng)絡(luò)犯罪的有效手段的重要時期，要想不落后于世界其他國家，必須加強在這方面的研究和實踐。</p><p>　　1.3 論文構(gòu)成及研究內(nèi)容</p><p><b>　　本文共分3章。</b></p><p>　　第一章緒論，闡述了本課題的研究目的和意義，分析研究了網(wǎng)絡(luò)安全的概念及其目標，概括本文的

38、研究思路。</p><p>　　第二章本章從體系結(jié)構(gòu)標準入手，分析了當前主流具有代表性的網(wǎng)絡(luò)風險，對其的技術(shù)原理做了簡單的分析，并提出了相應的解決辦法。</p><p>　　第三章根據(jù)一樣的各種風險的分析，提出了比較有針對性的網(wǎng)絡(luò)防護安全的手段，以及實現(xiàn)的原理和策略。</p><p>　　2網(wǎng)絡(luò)攻擊行為技術(shù)特點分析</p><p>　　安全與

39、攻擊之間存在著不可分割的因果關(guān)系，如果在信息世界中不存在攻擊行為，似乎沒有太多的必要在這里討論安全。所以在本文中，把攻擊放在前面。在討論網(wǎng)絡(luò)安全防御系統(tǒng)方案之前，先分析一下目前因特網(wǎng)上各種黑客攻擊方法的技術(shù)特點，本章將對每種攻擊方法的技術(shù)原理作以簡單的分析，并提出相應的應對措施。</p><p><b>　　2.1拒絕服務</b></p><p><b>　

40、　2.1.1 淹沒</b></p><p>　　是指黑客向目標主機發(fā)送大量的垃圾數(shù)據(jù)或者無效的請求，阻礙服務器的為</p><p>　　合法用戶提供正常服務。</p><p>　　2.1.2 Smurfing拒絕服務</p><p>　　Smurfing拒絕服務攻擊的主要原理黑客使用IP廣播和IP欺騙使Flooding攻擊的<

41、;/p><p>　　效果倍增，使用偽造的ICMPECHO REQUEST包發(fā)往目標網(wǎng)絡(luò)的IP廣播地址。Smurfing攻擊的原理如圖2.1所示。ICMP是用來處理錯誤和交換控制信息的，并且可以用來確定網(wǎng)絡(luò)上的某臺主機是否響應。在一個網(wǎng)絡(luò)上，可以向某個單一主機也可以向局域網(wǎng)的廣播地址發(fā)送IP包。當黑客向某個網(wǎng)絡(luò)的廣播地址發(fā)送ICMPECHO REQUEST包時，如果網(wǎng)絡(luò)的路由器對發(fā)往網(wǎng)絡(luò)廣播地址的ICMP包不進行過濾，

42、則網(wǎng)絡(luò)內(nèi)部的所有主機都可以接收到該ICMP請求包，并且都要向ICMP包所指示的源地址回應ICMP ECHO REPLAY包。如果黑客將發(fā)送的ICMP請求包的源地址偽造為被攻擊者的地址，則該網(wǎng)絡(luò)上所有主機的ICMP ECHO REPLAY包都要發(fā)往被攻擊的主機，不僅造成被攻擊者的主機出現(xiàn)流量過載，減慢甚至停止正常的服務，而且發(fā)出ICMP回應包的中間受害網(wǎng)絡(luò)也會出現(xiàn)流量擁塞甚至網(wǎng)絡(luò)癱瘓?？梢哉f，Smurfing攻擊的受害者是黑客的攻擊目標，

43、和無辜的充當黑客攻擊工具的第三方網(wǎng)絡(luò)。</p><p>　　圖 2.1 Smurfing攻擊圖示</p><p>　　網(wǎng)絡(luò)應采取的措施使其對于從本網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包，本網(wǎng)絡(luò)應該將目的地為其他網(wǎng)絡(luò)的這部分數(shù)據(jù)包過濾掉。雖然當前的IP協(xié)議技術(shù)不可能消除IP偽造數(shù)據(jù)包，但使用過濾技術(shù)可以減少這種偽造發(fā)生的可能。</p><p>　　2.1.3 分片攻擊</p

44、><p>　　這種攻擊方法利用了TCP/IP協(xié)議的弱點，第一種形式的分片攻擊是，有一些TCP/IP協(xié)議實現(xiàn)中，對IP分段出現(xiàn)重疊時并不能正確地處理。例如，當黑客遠程向目標主機發(fā)送的IP片段，然后在目標主機上重新構(gòu)造成一個無效的UDP包，這個無效的UDP包使得目標主機處于不穩(wěn)定狀態(tài)。一旦處于不穩(wěn)定狀態(tài)，被攻擊的目標主機要么處于藍屏幕的停機狀態(tài)，要么死機或重新啟動。類似這樣的黑客攻擊工具有Teardrop NewTear

45、 Bonk和Boink等。</p><p>　　第二種形式的分片攻擊是，一些TCP/IP的實現(xiàn)對出現(xiàn)一些特定的數(shù)據(jù)包會呈現(xiàn)出脆弱性。例如，當黑客遠程向目標主機發(fā)出的SYN包，其源地址和端口與目標主機的地址和端口一致時，目標主機就可能死機或掛起。典型這樣的黑客工具是LAND。</p><p>　　2.1.4 分布式拒絕服務攻擊DDoS</p><p><b>

46、;　　傳統(tǒng)攻擊的缺點是：</b></p><p>　　1 受網(wǎng)絡(luò)資源的限制。黑客所能夠發(fā)出的無效請求數(shù)據(jù)包的數(shù)量要受到其主機出</p><p><b>　　口帶寬的限制；</b></p><p>　　2 隱蔽性差。如果從黑客本人的主機上發(fā)出拒絕服務攻擊，即使他采用偽造地址等手段加以隱蔽，從網(wǎng)絡(luò)流量異常這一點就可以大致判斷其位置，與合

47、作還是較容易定位和緝拿到黑客的。而卻克服了以上兩個致命弱點。</p><p>　　3 隱蔽性更強。通過間接操縱因特網(wǎng)上“無辜”的計算機實施攻擊，突破了傳</p><p>　　統(tǒng)攻擊方式從本地攻擊的局限性和不安全性。</p><p>　　4攻擊的規(guī)模可以根據(jù)情況做得很大，使目標系統(tǒng)完全失去提供服務的功能。所以，分布式網(wǎng)絡(luò)攻擊體現(xiàn)了對黑客本人能力的急劇放大和對因特網(wǎng)上廣

48、闊資源的充分利用。由于攻擊點眾多，被攻擊方要進行防范就更加不易。對Yahoo等世界上最著名站點的成功攻擊證明了這一點。</p><p>　　2.1.5 拒絕服務攻擊小結(jié)</p><p>　　分布式網(wǎng)絡(luò)攻擊DNA(Distributed Network Attacks)成為黑客的主要攻擊手段，這也是未來連接在因特網(wǎng)上機構(gòu)所面臨的嚴重威脅之一。DNA攻擊形式是隨著因特網(wǎng)快速發(fā)展的必然結(jié)果?，F(xiàn)在

49、是DDoS攻擊，那么下一次攻擊也許就是分布式欺騙(Distributed spoofing)、分布式監(jiān)聽(Distributed sniffing)、或者是分布式分段攻擊(Distributed FragmentationAttacks)從根本上還是要維護好上網(wǎng)主機的安全性。與之間、工與網(wǎng)絡(luò)管理員管理員之間相互協(xié)調(diào)合作，共同應對DoS。</p><p><b>　　2.2惡意軟件</b>&l

50、t;/p><p><b>　　2.2.1邏輯炸彈</b></p><p>　　它是一種程序，在特定的條件下通常是由于漏洞會對目標系統(tǒng)產(chǎn)生破壞作用。</p><p><b>　　2.2.2 后門</b></p><p>　　它是一種程序，允許黑客遠程執(zhí)行任意命令。一般情況下，黑客攻破某個系統(tǒng)后，即使系統(tǒng)管

51、理員發(fā)現(xiàn)了黑客行為并堵住了系統(tǒng)的漏洞，為了能夠再次訪問該系統(tǒng)，黑客往往在系統(tǒng)中安放這樣的程序。</p><p><b>　　2.2.3 蠕蟲</b></p><p>　　它是一種獨立的程序，能夠繁殖并從一個系統(tǒng)到另一個系統(tǒng)傳播其自身的拷貝，通常在整個網(wǎng)絡(luò)上。像病毒一樣，蠕蟲可以直接破壞數(shù)據(jù)，或者因消耗系統(tǒng)資源而減低系統(tǒng)性能，甚至使整個網(wǎng)絡(luò)癱瘓。最著名的就是年因特網(wǎng)蠕蟲

52、事件。</p><p><b>　　2.2.4 病毒</b></p><p>　　它是一種程序或代碼但并不是獨立的程序，能夠在當前的應用中自我復制，并且可以附著在其他程序上。病毒也能夠通過過度占用系統(tǒng)資源而降低系統(tǒng)性能，使得其他合法的授權(quán)用戶也不能夠正常使用系統(tǒng)資源。</p><p>　　2.2.5 特洛伊木馬</p><p

53、>　　一種獨立的、能夠執(zhí)行任意命令的程序。特洛伊木馬往往能夠執(zhí)行某種有用的功能，而這種看似有用的功能卻能夠隱藏在其中的非法程序。當合法用戶使用這樣合法的功能時，特洛伊木馬也同時執(zhí)行了非授權(quán)的功能，而且通常篡奪了用戶權(quán)限。</p><p>　　2.2.6 惡意軟件攻擊小結(jié)</p><p>　　惡意軟件通常能夠造成嚴重的安全威脅，秘密的信息可以被截獲和發(fā)送到敵手處，關(guān)鍵的信息可以被修改，

54、計算機的軟件配置可以被改動以允許黑客進行連續(xù)的入侵。排除惡意軟件的威脅代價是高昂的。采取預防措施和教育用戶所花費的代價，要比被攻擊后恢復的代價要低的多。</p><p>　　制定一個保護計算機防止被病毒等惡意軟件威脅的計劃。</p><p>　　這樣的計劃應該包括要保護計算機被病毒和其他惡意軟件威脅，系統(tǒng)管理員和合法用戶應該擁有的明確責任。例如，確定誰有權(quán)在計算機上下載和安裝軟件誰負責檢測

55、和清除惡意軟件，用戶還是管理員禁止用戶運行從一上接收到的可執(zhí)行文件、禁止從公共站點上下載軟件等。</p><p>　　第二，安裝有效的反病毒等工具。</p><p>　　要考慮反病毒等工具要進行脫線備份，以防止它們可能被病毒等惡意軟件修改而失去檢測功能。應積極地經(jīng)常在線檢測，同時也要不時進行脫線檢測，以確保在線檢測工具的正常功能。一般情況下，這種方法在初始安裝和配置操作系統(tǒng)時最為可靠。&l

56、t;/p><p>　　第三，教育用戶預防和識別病毒等惡意軟件的技術(shù)。</p><p>　　用戶應該接受諸如病毒等惡意軟件傳播及防止它們進一步傳播的教育。這括教育用戶在裝載和使用公共軟件之前，要使用安全掃描工具對其進行檢測。另外，許多病毒等惡意軟件有一定的特點，用戶應該得到一定的識別知識，并且能夠使用適當?shù)能浖宄?。最好能夠及時進行新類型的安全威脅以及入侵方面的教育。</p>&l

57、t;p>　　第四，及時更新清除惡意軟件的工具許多反惡意軟件的工具，如反病毒軟件，使用已知惡意軟件特征的數(shù)據(jù)庫，而新類型的惡意軟件不斷地出現(xiàn)，因此，檢測軟件應該不斷地更新以確保有最新的檢測版本。</p><p><b>　　2.3利用脆弱性</b></p><p><b>　　2.3.1訪問權(quán)限</b></p><p>

58、;　　黑客利用系統(tǒng)文件的讀寫等訪問控制權(quán)限配置不當造成的弱點，獲取系統(tǒng)的</p><p><b>　　訪問權(quán)。</b></p><p>　　2.3.2緩沖區(qū)溢出</p><p>　　一種形式的緩沖區(qū)溢出攻擊是黑客本人編寫并存放在緩沖區(qū)后任意的代碼，然后執(zhí)行這些代碼。這對黑客的技術(shù)水平要求很高，一般的黑客少有此舉。</p><

59、p>　　另一種形式的緩沖區(qū)溢出攻擊是程序代碼編寫時欠考慮。典型的一種形式是對用戶輸入的邊界檢查問題。例如，語言中，函數(shù)地不對用戶輸入的數(shù)量進行檢查，如果程序員不考慮這個情況就會出問題。統(tǒng)計表明，在操作系統(tǒng)和應用軟件中，因為編寫的原因，其中約有的代碼存在著緩沖區(qū)溢出的漏洞。這就是為什么現(xiàn)在針對緩沖區(qū)溢出的攻擊事件不斷地發(fā)生的主要原因。有理由相信，隨著某些操作系統(tǒng)和應用軟件源代碼的公布，還會有更多的類似攻擊事件的發(fā)生。</p&g

60、t;<p>　　2.3.3信息流泄露</p><p>　　黑客利用在某個程序執(zhí)行時所產(chǎn)生的某些暫時的不安全條件，例如在執(zhí)行SUID時執(zhí)行用戶具有同被執(zhí)行程序的屬主同等權(quán)限，這樣執(zhí)行用戶就可以獲得對某些敏感數(shù)據(jù)的訪問權(quán)。</p><p>　　2.3.4利用脆弱性小結(jié)</p><p>　　計算機和計算機網(wǎng)絡(luò)構(gòu)成了一個復雜的大系統(tǒng)，這個大系統(tǒng)內(nèi)部又有各種型號

61、和計算機、各種版本的服務和各種類型的協(xié)議構(gòu)成，不可能保證計算機系統(tǒng)的硬件、軟件操作系統(tǒng)和應用軟件、網(wǎng)絡(luò)協(xié)議、系統(tǒng)配置等各方面都完美無缺，黑客就能夠發(fā)現(xiàn)并利用這些缺陷來進行攻擊。解決這方面的問題，一是教育，教育用戶樹立安全意識，如注意口令的設(shè)置、正確配置設(shè)備和服務等二是不斷地升級系統(tǒng)軟件和應用軟件的版本，及時安裝“補丁”軟件。</p><p><b>　　2.4 操控IP包</b></p

62、><p><b>　　2.4.1端口欺騙</b></p><p>　　利用常用服務的端口，如20、80、53等，避開包過濾防火墻的過濾規(guī)則。</p><p>　　2.4.2盲IP欺騙</p><p>　　改變源IP地址進行欺騙。這種IP欺騙稱為“盲”欺騙，是因為黑客修改其發(fā)送數(shù)據(jù)包的源地址后，不能與目標主機進行連接并收到來自

63、目標主機的響應。但是，這種“盲”IP欺騙往往是黑客能夠事先預計到目標主機可能會做出的響應，從而構(gòu)成其他攻擊的組成部分。對IP欺騙攻擊的防范中，路由器的正確設(shè)置最為關(guān)鍵和重要。如果路由器沒有正確設(shè)置，對聲稱源地址是本網(wǎng)絡(luò)的進網(wǎng)數(shù)據(jù)包不進行過濾，則容易使IP欺騙攻擊得逞。</p><p>　　盲IP欺騙可能造成嚴重的后果，基于IP源地址欺騙的攻擊可穿過過濾路由器防火墻，并可能獲得受到保護的主機的root權(quán)限。<

64、/p><p>　　2.4.3 IP操縱小結(jié)</p><p>　　針對以上的攻擊行為可以采取以下措施</p><p><b>　　1 檢測</b></p><p>　　令使用網(wǎng)絡(luò)監(jiān)視軟件，例如netlog軟件，監(jiān)視外來的數(shù)據(jù)包。如果發(fā)現(xiàn)外部接口上通過的數(shù)據(jù)包，其源地址和目的地址與內(nèi)部網(wǎng)絡(luò)的一致，則可以斷定受到IP欺騙攻擊令另一

65、個辦法是比較內(nèi)部網(wǎng)絡(luò)中不同系統(tǒng)的進程統(tǒng)計日志。如果IP欺騙對內(nèi)部某個系統(tǒng)進行了成功地攻擊，該受到攻擊主機的日志會記錄這樣的訪問，“攻擊主機”的源地址是內(nèi)部某個主機而在“攻擊主機”上查找日志時，卻沒有這樣的記錄。</p><p><b>　　2 防治措施</b></p><p>　　防治“盲”IP欺騙攻擊的最佳辦法是安裝配置過濾路由器，限制從外部來的進網(wǎng)流量，特別是要過

66、濾掉那些源地址聲稱是內(nèi)部網(wǎng)絡(luò)的進網(wǎng)數(shù)據(jù)包。不僅如此，過濾路由器還要過濾掉那些聲稱源地址不是本網(wǎng)絡(luò)的出網(wǎng)數(shù)據(jù)包，以防止IP欺騙從本網(wǎng)絡(luò)發(fā)生。</p><p><b>　　2.5 內(nèi)部攻擊</b></p><p>　　所謂的“from the inside”有兩方面的含義一方面可以指是內(nèi)部人員另一面是指網(wǎng)絡(luò)黑客控制了遠程網(wǎng)絡(luò)上某臺主機后的所做所為。</p>

67、<p>　　2.5.1 “后門”守護程序</p><p>　　黑客成功入侵了遠程網(wǎng)絡(luò)上某臺計算機后(一般指的是擁有管理員權(quán)限，或root權(quán)限)，為了達到其進一步訪問或進行其他攻擊的目的，往往在該主機上安裝某些特定的軟件，例如守護程序deamon。同C/S服務模式一樣，守護程序開放該主機上的某個端口，并隨時監(jiān)聽發(fā)送到該端口的來自黑客的命令，允許黑客更進一步的遠程訪問或進行其他的攻擊。</p>

68、<p>　　2.5.2 日志修改</p><p>　　在被攻擊的計算機日志等事件記錄裝置上修改黑客非法入侵訪問和攻擊的蹤跡，修改日志文件是黑客學習的第一件事情，其道理是顯然的。因為，計算機系統(tǒng)的事件一記錄裝置，如日志文件等，就如同一記錄了黑客的“指紋”。黑客攻擊發(fā)生后，日志中的信息就成為緝拿黑客的最主要的線索之一，并且也是將黑客定罪的重要證據(jù)。因此，黑客甚至在攻擊發(fā)生之前就應該預計到如何更改日志文件。

69、</p><p><b>　　2.5.3 隱蔽</b></p><p>　　如果黑客在被其入侵的計算機上安裝了諸如后門守護程序等為其服務的特殊軟件，往往是該主機一開機后就運行著一個或多個進程。主機的系統(tǒng)管理員使用通用的工具，例如，就可以顯示出當前主機上運行著的所有進程，從而暴露了主機遭到黑客入侵這一事實。這是黑客不愿意看到的。因此，黑客要使用特洛伊化的文件替代系統(tǒng)文件

70、，不顯示在正常情況下應該顯示的信息，監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)，過濾和記錄敏感信息，如口令和帳號等。黑客必須能夠在某個網(wǎng)絡(luò)上成功地控制一臺主機，并在該主機上安裝嗅探器，然后在合適的時間取回嗅探器的記錄信息。</p><p><b>　　2.5.4非盲欺騙</b></p><p>　　這同“盲”欺騙有根本的區(qū)別。因為“盲”欺騙不能夠獲得從被欺騙的目標發(fā)送回來的響應，即黑客不可能與被欺

71、騙目標主機建立真正的連接。而在“非盲欺騙”中黑客使用數(shù)據(jù)監(jiān)聽等技術(shù)獲得一些重要的信息，比如當前客戶與服務器之間包的序列號，而后或通過拒絕服務攻擊切斷合法客戶端與服務器的連接，或在合法客戶端關(guān)機時，利用地址偽裝，序列號預測等方法巧妙的構(gòu)造數(shù)據(jù)包接管當前活躍的連接或者建立偽造的連接，以獲取服務器中的敏感信息，或以合法用戶權(quán)限遠程執(zhí)行命令。</p><p><b>　　2.6 CGI攻擊</b>&

72、lt;/p><p>　　從CERT等安全組織的安全報告分析，近期對CGI的黑客攻擊發(fā)生的較為頻繁。針對CGI的攻擊，從攻擊所利用的脆弱性、攻擊的目標和所造成的破壞等各方面都有所不同。具體來說大致有，以下兩種類型的CGI攻擊。</p><p>　　2.6.1 低級的CGI攻擊、</p><p>　　黑客可以獲得系統(tǒng)信息或者口令文件、非法獲得www服務、獲得服務器資源，有時

73、甚至獲得root權(quán)限。這種情況的CGI攻擊發(fā)生的一個重要原因是服務器上運行著不安全的CGI腳本。如果是這樣，則可能給黑客查詢本服務器信息提供了方便，例如，可以根據(jù)黑客的提交，查詢某個文件是否存在可以給黑客發(fā)送本機的口令文件等第二個重要原因是httpd以root方式運行。如果是這樣，那么一旦httpd出現(xiàn)任何形式的漏洞都將是致命的。因為任何漏洞都可使黑客擁有root的權(quán)限。第三個重要原因是使用了安全性脆弱的口令。應該采取的措施包括①更新軟

74、件②定期進行料安全檢查。</p><p>　　2.6.2 高級的CGI攻擊</p><p>　　黑客可以獲得數(shù)據(jù)庫訪問權(quán)獲得用戶的資料、獲得權(quán)限，還可以修改頁面。這種情況的攻擊發(fā)生的原因一是服務器的腳本太過陳舊二是腳本編寫不規(guī)范，或者是管理員自己編寫的腳本。這樣的攻擊所造成的損害會很嚴重，因為黑客有權(quán)篡改用戶信息，進行非法交易等。另外，黑客能夠修改所造成的影響也比較廣泛。所以，這樣的攻擊對

75、電子商務服務器、域名服務器、搜索引擎、以及政府站點等影響最大。應該采取的措施包括①使用防火墻②定期進行www/CGI安全檢查。</p><p><b>　　2.7 小結(jié)</b></p><p>　　本章對目前典型的網(wǎng)絡(luò)攻擊行為技術(shù)特點進行了分析，主要包括、拒絕服務DoS、惡意軟件、利用脆弱、操縱包、內(nèi)部攻擊和CGI攻擊，并針對它們的特點提出了相關(guān)的應對方法。從技術(shù)上講

76、，攻擊行為檢測系統(tǒng)存在一些待解決的問題，主要表現(xiàn)在以下幾個方面：</p><p>　　1 如何識別“大規(guī)模的組合式、分布式的入侵攻擊”目前還沒有較好的方法和成熟的解決方案。從Yahoo等著名的CGI攻擊事件中，了解到安全問題日漸突出，攻擊者的水平在不斷地提高，加上日趨成熟多樣的攻擊工具，以及越來越復雜的攻擊手法，使入侵檢測系統(tǒng)必須不斷跟蹤最新的安全技術(shù)。</p><p>　　2 網(wǎng)絡(luò)入侵檢

77、測系統(tǒng)通過匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為，入侵檢測系統(tǒng)往往假設(shè)攻擊信息是明文傳輸?shù)?，因此對信息的改變或重新編碼就可能騙過入侵檢測系統(tǒng)的檢測，因此字符串匹配的方法對于加密過的數(shù)據(jù)包就顯得無能為力。</p><p>　　3 網(wǎng)絡(luò)設(shè)備越來越復雜、越來越多樣化就要求入侵檢測系統(tǒng)能有所定制，以</p><p>　　適應更多的環(huán)境的要求。</p><p>　　4 對入侵檢測系統(tǒng)的評

78、價還沒有客觀的標準，標準的不統(tǒng)一使得入侵檢測系統(tǒng)之間不易互聯(lián)。入侵檢測系統(tǒng)是一項新興技術(shù)，隨著技術(shù)的發(fā)展和對新攻擊識別的增加，入侵檢測系統(tǒng)需要不斷的升級才能保證網(wǎng)絡(luò)的安全性。</p><p>　　5 采用不恰當?shù)淖詣臃磻瑯訒o入侵檢測系統(tǒng)造成風險。入侵檢測系統(tǒng)通常可以與防火墻結(jié)合在一起工作，當入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊行為時，過濾掉所有來自攻擊者的數(shù)據(jù)包，當一個攻擊者假冒大量不同的IP進行模擬攻擊時，入侵檢測系統(tǒng)自動

79、配置防火墻將這些實際上并沒有進行任何攻擊的地址都過濾掉，于是造成新的拒絕服務訪問。</p><p>　　6 對IDS自身的攻擊。與其他系統(tǒng)一樣，IDS本身也存在安全漏洞，若對IDS攻擊成功，則導致報警失靈，入侵者在其后的行為將無法被記錄，因此要求系統(tǒng)應該采取多種安全防護手段。</p><p>　　7隨著網(wǎng)絡(luò)的帶寬的不斷增加，如何開發(fā)基于高速網(wǎng)絡(luò)的檢測器（事件分析器）仍然存在很多技術(shù)上的困難

80、。</p><p>　　3網(wǎng)絡(luò)安全防護實現(xiàn)策略</p><p>　　影響網(wǎng)絡(luò)安全的因素很多，保護網(wǎng)絡(luò)安全的技術(shù)、手段也很多。一般來說，保護網(wǎng)絡(luò)安全的主要技術(shù)有防火墻技術(shù)、入侵檢測技術(shù)、加密技術(shù)、安全評估技術(shù)、防病毒技術(shù)、身份認證技術(shù)等等。為了保護網(wǎng)絡(luò)系統(tǒng)的安全，必須結(jié)合網(wǎng)絡(luò)的具體需求，將多種安全措施進行整合，建立一個立體的、完整的、多層次的網(wǎng)絡(luò)安全防御體系，這樣一個全方位的網(wǎng)絡(luò)安全解決方案

81、，可以防止安全風險各個方面的問題。</p><p>　　3.1網(wǎng)絡(luò)安全的目標</p><p>　　那么安全的目的是什么？毫無疑問：保障用戶業(yè)務的順利進行，滿足用戶的業(yè)務需求是網(wǎng)絡(luò)安全的首要任務。離開這一主題，奢談安全技術(shù)和產(chǎn)品無異于南轅北轍。在這一前提下，我們必須清楚的是：不同用戶的業(yè)務所處的安全環(huán)境各有差異，其對安全的需求和側(cè)重是各不相同的。比如證券、保險等金融行業(yè)較側(cè)重于信息的存取控制

82、能力，而信息發(fā)布網(wǎng)站則更側(cè)重于服務保證能力；正如不能用一把鑰匙去開所有的鎖一樣，沒有任何一個單一的安全工具或方案能夠滿足所有用戶的所有安全要求。而安全的敏感性也決定了每一個用戶所配置的安全方案必須是獨一無二的。</p><p>　　因此說，安全必須個性化定制，通用的方案并不存在。</p><p>　　網(wǎng)絡(luò)安全要實現(xiàn)什么樣的目標呢？我們可以用三句話來描述：</p><p&

83、gt;　　1) 網(wǎng)絡(luò)訪問主體能夠且只能夠訪問他被授權(quán)訪問的網(wǎng)絡(luò)資源；</p><p>　　2) 通過不當手段得到的信息是不可被理解的；</p><p>　　3) 被破壞的網(wǎng)絡(luò)資源應該能夠被及時恢復。</p><p>　　對第一句話，我們強調(diào)網(wǎng)絡(luò)訪問主體能夠訪問他被授權(quán)訪問的資源，因為這的確是一個很現(xiàn)實的安全問題?；ヂ?lián)網(wǎng)上有很大一部分攻擊行為就是拒絕服務攻擊(Deni

84、al of Service)，使原本應該對外提供服務的網(wǎng)絡(luò)資源被惡意淹沒和終止。這句話的另一個隱含意義還有：網(wǎng)絡(luò)訪問主體對他的訪問行為不能抵賴。</p><p>　　第二句話的含義就是指網(wǎng)絡(luò)中存儲和流動的信息不是以明文的形式存在，通過網(wǎng)絡(luò)漏洞或其它不當手段得到的信息是不能被理解或至少在該信息失效前是不被理解的。</p><p>　　第三句話的含義就是網(wǎng)絡(luò)上的資源應有備份系統(tǒng)或有抗破壞能力，

85、比如系統(tǒng)校驗恢復。</p><p>　　用更通俗的方式表達就是安全要實現(xiàn)：進不去、竊不走、看不懂、改不了、打不亂、賴不了、跑不掉。</p><p><b>　　3.2 防火墻技術(shù)</b></p><p>　　防火墻是位于兩個（或多個）網(wǎng)絡(luò)間，通過執(zhí)行訪問控制策略來達到網(wǎng)絡(luò)安全的一個或一組軟、硬件系統(tǒng)，它隔離了內(nèi)部和外部網(wǎng)絡(luò)，是內(nèi)外網(wǎng)絡(luò)通訊的唯一

86、途徑。它能根據(jù)制定的訪問規(guī)則對經(jīng)過它的信息流進行監(jiān)控和審查，過濾掉任何不符合控制規(guī)則的信息，以保護內(nèi)部網(wǎng)絡(luò)不受外界的非法訪問和攻擊。它滿足以下條件：</p><p>　　1) 內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻；</p><p>　　2) 只有符合安全政策的數(shù)據(jù)流才能通過防火墻；</p><p>　　3) 防火墻自身應對滲透（peneration）免疫；&

87、lt;/p><p>　　3.2.1 防火墻功能和安全策略</p><p>　　對防火墻的兩大需求是保障內(nèi)部網(wǎng)的安全和保證內(nèi)部網(wǎng)同外部網(wǎng)的連通。防火墻的主要功能有：</p><p>　　監(jiān)視控制信息：防火墻在一個公司內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)間建立一個檢查點。這種實現(xiàn)要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火墻設(shè)備就可以監(jiān)視，過濾和檢查所有進來和出去的流量。

88、</p><p>　　隔離內(nèi)外網(wǎng)絡(luò)，保護內(nèi)部網(wǎng)絡(luò)：這是防火墻的最基本功能，它通過隔離內(nèi)、外部網(wǎng)絡(luò)來確保內(nèi)部網(wǎng)絡(luò)的安全。也限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。</p><p>　　強化網(wǎng)絡(luò)安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。</p

89、><p>　　有效記錄和審計內(nèi)、外部網(wǎng)絡(luò)之間的連接和使用：防火墻可以對內(nèi)、外部網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并進行日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。</p><p>　　集中安全保護和管理：將內(nèi)部網(wǎng)絡(luò)中的所有或大部分需要改動的軟件以及附加的安全軟

90、件集中放在防火墻系統(tǒng)中，而不是分散到每個主機中，這樣防火墻的保護就相對集中和便宜一些。</p><p>　　網(wǎng)絡(luò)安全策略是防火墻系統(tǒng)的最重要組成部分，它決定了受保護網(wǎng)絡(luò)的安全性和易用性。對防火墻而言有兩種層次的安全策略：</p><p>　?。?）服務訪問策略。服務訪問策略是高層的策略，明確定義了受保護網(wǎng)絡(luò)允許和拒絕的網(wǎng)絡(luò)服務及其使用范圍，以及安全措施（如認證等）。兩種典型的服務訪問策略是

91、：不允許外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)，但允許內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)；允許外部網(wǎng)絡(luò)訪問部分內(nèi)部網(wǎng)絡(luò)服務。</p><p>　?。?）防火墻設(shè)計策略。防火墻設(shè)計策略是低層的策略，描述了防火墻如何根據(jù)高層服務訪問策略來具體地限制訪問和過濾服務等，即它必須針對具體的防火墻來定義過濾規(guī)則等，以實現(xiàn)服務訪問策略。在設(shè)計該策略前，設(shè)計者應先從兩個防火墻設(shè)計的基本策略中選擇其一，并根據(jù)它和服務訪問策略以及經(jīng)費來選擇合適的防火墻系統(tǒng)結(jié)構(gòu)和組

92、件。這兩個基本防火墻設(shè)計策略是：允許所有除明確拒絕之外的通訊或服務；拒絕所有除明確允許之外的通訊或服務。</p><p>　　3.2.2防火墻的工作原理</p><p>　　防火墻就是一種過濾塞，它過濾的是在網(wǎng)絡(luò)中承載通信數(shù)據(jù)的通信包。對于數(shù)據(jù)包的操作就只有兩種：接收或者拒絕。防火墻的實現(xiàn)形式有很多種，其中包括：直接取代系統(tǒng)已經(jīng)裝備的 TCP/IP 協(xié)議棧；在已有的協(xié)議棧上裝載防火墻軟件模

93、塊；防火墻單獨用作一套獨立的操作系統(tǒng)；作為應用型防火墻，只對特定類型的網(wǎng)絡(luò)連接提供保護；硬件防火墻等。所有這些防火墻的工作方式都是一樣的：分析進出防火墻的數(shù)據(jù)包，決定放行還是丟棄。</p><p>　　為了實現(xiàn)過濾這一功能，防火墻常采取以下措施：IP 地址過濾；對 TCP/UDP服務的源端口、目的端口進行過濾；檢查 TCP 的 ACK 位；設(shè)置代理服務器，這幾種技術(shù)各有優(yōu)缺點。防火墻采用的技術(shù)和標準很多，大多都是

94、以上技術(shù)的組合。</p><p>　　3.2.3 防火墻的關(guān)鍵技術(shù)</p><p>　　防火墻在實現(xiàn)上主要有兩大主流技術(shù)：包過濾和代理服務。這兩種技術(shù)各有自身的應用優(yōu)點，地址轉(zhuǎn)化技術(shù)是防火墻的有益補充。在大多數(shù)運用中，常常是這幾種技術(shù)的組合。</p><p><b>　　1) 包過濾</b></p><p>　　包過濾技

95、術(shù)就是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行分析、選擇，有選擇的通過數(shù)據(jù)包，它一般部署在路由器上，路由器中含有包過濾軟件（有時也稱為包過濾器），包過濾器的功能是阻止包任意通過路由器在不同的網(wǎng)絡(luò)中穿越，而選擇判斷的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則——訪問控制表 ACL（Access Control List）。表中的每一條規(guī)則都是基于數(shù)據(jù)包的包頭信息制定的。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口號、協(xié)議狀態(tài)等因素，或者它們的組合來確定是否允許該

96、數(shù)據(jù)包通過。包過濾類型的防火墻遵循的一條規(guī)則就是“最小特權(quán)原則”，即明確允許那些管理員希望通過的數(shù)據(jù)包，禁止其他數(shù)據(jù)包。</p><p>　　包過濾方式的最大優(yōu)點就是不用改動客戶機和主機上的應用程序，因為它工作在網(wǎng)絡(luò)層和傳輸層，與應用層無關(guān)。包過濾防火墻的弱點主要在于規(guī)則的復雜性。</p><p><b>　　2) 靜態(tài)包過濾</b></p><p

97、>　　靜態(tài)包過濾技術(shù)就是傳統(tǒng)包過濾技術(shù)，它是根據(jù)流經(jīng)該設(shè)備的數(shù)據(jù)包地址信息，決定是否允許該數(shù)據(jù)包通過，在轉(zhuǎn)發(fā)一個包之前，防火墻將 IP 包頭和TCP 包頭的信息與用戶定義的規(guī)則表的信息進行比較，將訪問控制表 ACL 中設(shè)置的規(guī)則應用到該報文頭上，以決定是將此報文轉(zhuǎn)發(fā)出去還是丟棄，其中，通過對 IP 地址的過濾，可以阻止到特定網(wǎng)絡(luò)或主機的不安全連接；通過對端口的過濾，可以阻止到特定應用程序的連接。</p><p&

98、gt;　　過濾機制是：最后的規(guī)則如果與前面的規(guī)則沖突，最后的規(guī)則有效。用戶可以定義規(guī)則來決定數(shù)據(jù)包的丟棄和通行，對于 IP 包它判斷的依據(jù)有：</p><p>　　◆ 數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP 等；</p><p>　　◆ 源、目的 IP 地址；</p><p>　　◆ 源、目的端口：FTP、HTTP、DNS 等；</p>&

99、lt;p>　　◆ IP 選項：源路由、記錄路由等；</p><p>　　◆ TCP 選項：SYN、ACK、FIN、RST 等；</p><p>　　◆ 其它協(xié)議選項：ICMP ECHO、ICMP ECHO REPLY 等；</p><p>　　◆ 數(shù)據(jù)包流向：in（進）或 out（出）；</p><p>　　◆ 數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口；&l

100、t;/p><p>　　靜態(tài)包過濾技術(shù)實現(xiàn)起來成本很低，路由器和一般的操作系統(tǒng)都有這項功能。但是因為它工作在網(wǎng)絡(luò)層，只檢查 IP 和 TCP 包頭，不檢查包的數(shù)據(jù)，提供的安全性不高。靜態(tài)包過濾只能提供低等級的保護。</p><p><b>　　3）動態(tài)包過濾</b></p><p>　　“動態(tài)包過濾”(Dynamic packet filter)技術(shù)

101、首先是由 USC 信息科學院BobBraden 于 1992 年開發(fā)提出的，它屬于第四代防火墻技術(shù)，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。這種技術(shù)比起靜態(tài)包過濾技術(shù)來說先進多了，它可動態(tài)根據(jù)實際應用請求，自動生成或刪除相應包過濾規(guī)則，而無需管理員人工干預。這樣就解決了靜態(tài)包過濾技術(shù)使用和管理難度大的問題。同時動態(tài)包過濾技術(shù)還可分析高層協(xié)議，可以更有效、全面地對進出內(nèi)部網(wǎng)絡(luò)的通信進行監(jiān)測，進一步確保內(nèi)

102、部網(wǎng)絡(luò)的安全。</p><p>　　采用狀態(tài)檢測技術(shù)的防火墻在運行過程中一直維護著一張狀態(tài)表，這張表記錄了從受保護網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息，然后防火墻根據(jù)該表內(nèi)容對返回受保護網(wǎng)絡(luò)的數(shù)據(jù)包進行分析判斷，這樣，只有響應受保護網(wǎng)絡(luò)請求的數(shù)據(jù)包才被放行。對用戶來說，狀態(tài)檢測不但能提高網(wǎng)絡(luò)的性能，還能增強網(wǎng)絡(luò)的安全性。</p><p>　　動態(tài)包過濾是靜態(tài)包過濾技術(shù)的發(fā)展和演化，它比靜態(tài)包過濾要智

103、能一些，但是因為動態(tài)包過濾是靜態(tài)包過濾的繼承，所以它保留了靜態(tài)包過濾的一個根本缺點：不知道狀態(tài)信息，而且動態(tài)包過濾技術(shù)仍只能對數(shù)據(jù)的 IP 地址信息進行過濾，不能對用戶身份的合法性進行鑒定，同時通常也沒有日志記錄。</p><p><b>　　4）代理服務</b></p><p>　　所謂代理服務，是指在防火墻上運行某種軟件（稱為代理程序），如果內(nèi)部網(wǎng)需要與外部網(wǎng)通信

104、，首先要建立與防火墻上代理程序的連接，把請求發(fā)送到代理程序；代理程序接受該請求，建立與外部網(wǎng)相應主機的連接，然后把內(nèi)部網(wǎng)的請求通過新連接發(fā)送到外部網(wǎng)相應主機。反過來也是一樣。內(nèi)部網(wǎng)和外部網(wǎng)的主機之間不能建立直接的連接，而要通過代理服務進行轉(zhuǎn)發(fā)。代理服務的過程如圖 3.1 所示</p><p>　　、圖 3.1 代理服務過程</p><p>　　代理類型防火墻的最突出的優(yōu)點就是安全。由于每一

105、個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過 Proxy 的介入和轉(zhuǎn)換，通過專門為特定的服務如 HTTP 編寫的安全化的應用程序進行處理，然后由防火墻本身提交請求和應答，沒有給內(nèi)外網(wǎng)絡(luò)的計算機以任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。代理服務器在轉(zhuǎn)發(fā)數(shù)據(jù)包之前，還可以預先進行身份驗證和日志記錄。這是包過濾類型的防火墻很難做到的。</p><p>　　代理防火墻的最大缺點就是速度相對比較慢，當用戶

106、對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，（比如要求達到 75－100Mbps 時）代理防火墻就會成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸，所幸的是，目前用戶接入 Internet 的速度一般都遠低于這個數(shù)字。</p><p>　　5) 地址轉(zhuǎn)換（NAT）</p><p>　　NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）是一種將一個 IP 地址域映射到另一個 IP 地址域技術(shù)，從而為終端主機提供透明路由。NAT 包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、

107、動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、端口映射等。NAT 常用于私有地址域與公用地址域的轉(zhuǎn)換以解決 IP 地址匱乏問題。在防火墻上實現(xiàn)NAT 后，可以隱藏受保護網(wǎng)絡(luò)的內(nèi)部拓撲結(jié)構(gòu)，在一定程度上提高網(wǎng)絡(luò)的安全性。如果反向 NAT 提供動態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換功能，還可以實現(xiàn)負載均衡等功能。NAT 的目的就是解決 IP 地址空間不足問題和向外界隱藏內(nèi)部網(wǎng)結(jié)構(gòu)。NAT 的方式有三種：</p><p&g

108、t;　　◆ M－1：多個內(nèi)部網(wǎng)地址翻譯到 1 各 IP 地址；</p><p>　　◆ 1－1：簡單的一對一的地址翻譯；</p><p>　　◆ M－N：多個內(nèi)部網(wǎng)地址翻譯到 N 個 IP 地址池；</p><p>　　3.2.4 防火墻的體系結(jié)構(gòu)</p><p>　　在防火墻與網(wǎng)絡(luò)的配置上，有以下三種典型結(jié)構(gòu)：雙宿/多宿主機模式、屏蔽主機