第一篇：網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)信息安全與策略

【摘要】隨著我國(guó)網(wǎng)路信息科技的高速發(fā)展，網(wǎng)絡(luò)信息安全問(wèn)題日益突出。以網(wǎng)絡(luò)方式獲取信息和交流信息已成為現(xiàn)代信息社會(huì)的一個(gè)重要特征。網(wǎng)絡(luò)給人們生活帶來(lái)極大便利的同時(shí)，也給許多部門(mén)、單位和個(gè)人帶來(lái)了極大的風(fēng)險(xiǎn)，造成嚴(yán)重的經(jīng)濟(jì)損失。最新報(bào)道：央視《經(jīng)濟(jì)半小時(shí)》播出“我國(guó)黑客木馬形成產(chǎn)業(yè) 2009年收入可超百億元”節(jié)目，可以看出黑客通過(guò)網(wǎng)絡(luò)傳播木馬的嚴(yán)重性。本文主要探討了網(wǎng)絡(luò)信息安全中存在的威脅，并提出了相應(yīng)的技術(shù)保障和對(duì)策?！娟P(guān)鍵字】網(wǎng)絡(luò)

信息

安全

黑客

病毒

技術(shù)

一、網(wǎng)絡(luò)信息安全的內(nèi)涵

在網(wǎng)絡(luò)出現(xiàn)以前，信息安全是指為建立信息處理系統(tǒng)而采取的技術(shù)上和管理上的安全保護(hù)以實(shí)現(xiàn)電子信息的保密性、完整性、可用性、可控性和不可否認(rèn)性。當(dāng)今信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為一種不可缺少的信息交換工具。然而，由于計(jì)算機(jī)網(wǎng)絡(luò)具有開(kāi)放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性，再加上本身存在的技術(shù)弱點(diǎn)和人為的疏忽，致使網(wǎng)絡(luò)易受計(jì)算機(jī)病毒、黑客或惡意軟件的侵害。面對(duì)侵襲網(wǎng)絡(luò)安全的種種威脅，必須考慮信息的安全這個(gè)至關(guān)重要的問(wèn)題。

網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個(gè)層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全，即硬件平臺(tái)、操作系統(tǒng)、應(yīng)用軟件;運(yùn)行服務(wù)安全，即保證服務(wù)的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全，包括數(shù)據(jù)加密、備份、程序等。

1.網(wǎng)絡(luò)信息安全的內(nèi)容

(1)硬件實(shí)體安全。即網(wǎng)絡(luò)硬件和存儲(chǔ)媒體的安全。要保護(hù)這些硬設(shè)施不受損害，能夠正常工作；預(yù)防地震、水災(zāi)、颶風(fēng)、雷擊等的措施；滿(mǎn)足設(shè)備正常運(yùn)行環(huán)境要求；防止電磁輻射、泄露；媒體的安全備份及管理等。

(2)軟件系統(tǒng)安全。即計(jì)算機(jī)程序和文檔資料及其網(wǎng)絡(luò)中各種軟件不被篡改或破壞，不被非法操作或誤操作，功能不會(huì)失效，不被非法復(fù)制。

(3)運(yùn)行服務(wù)安全。即網(wǎng)絡(luò)中的各個(gè)信息系統(tǒng)能夠正常運(yùn)行并能正常地通過(guò)網(wǎng)絡(luò)交流信息。通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備運(yùn)行狀況的監(jiān)測(cè)，發(fā)現(xiàn)不安全因素能及時(shí)報(bào)警并采取措施改變不安全狀態(tài)，保障網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。

(4)數(shù)據(jù)信息安全。即網(wǎng)絡(luò)中存儲(chǔ)及流通數(shù)據(jù)的安全。要保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)文件和數(shù)據(jù)信息在傳輸過(guò)程中不被篡改、非法增刪、復(fù)制、解密、顯示、使用等。它是保障網(wǎng)絡(luò)安全最根本的目的。

2.網(wǎng)絡(luò)信息安全的目標(biāo)

(1)保密性。保密性是指利用密碼技術(shù)對(duì)敏感信息進(jìn)行加密處理同時(shí)采取抑制、屏蔽措施防止電磁泄漏，保證信息只有合法用戶(hù)才能利用，而不會(huì)泄露給非授權(quán)人、實(shí)休。

(2)完整性。完整性是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對(duì)網(wǎng)絡(luò)信息安全進(jìn)行攻擊的最終目的就是破壞信息的完整性。

(3)可用性。可用性是指合法用戶(hù)訪(fǎng)問(wèn)并能按要求順序使用信息的特性，即保證合法用戶(hù)在需要時(shí)可以訪(fǎng)問(wèn)到信息。

(4)可控性。可控性是指授權(quán)機(jī)構(gòu)對(duì)信息的內(nèi)容及傳播具有控制的能力的特性，可以控制授權(quán)范圍內(nèi)的信息流向以及方式。

(5)不可否認(rèn)性。不可否認(rèn)性是指在信息交流過(guò)程結(jié)束后，通信雙方不能抵賴(lài)曾經(jīng)做出的行為，也不能否認(rèn)曾經(jīng)接收到對(duì)方的信息。

二、網(wǎng)絡(luò)信息安全面臨的威脅

1.操作系統(tǒng)自身的因素

無(wú)論哪一種操作系統(tǒng)，其體系結(jié)構(gòu)本身就是不安全的一種因素。由于操作系統(tǒng)的程序是可以動(dòng)態(tài)連接的，包過(guò)I/O的驅(qū)動(dòng)程序與系統(tǒng)服務(wù)都可以用打補(bǔ)丁的方法升級(jí)和進(jìn)行動(dòng)態(tài)連接。而這種動(dòng)態(tài)連接正是計(jì)算機(jī)病毒產(chǎn)生的溫床，該產(chǎn)品的廠商可以使用，“黑客”成員也可以使用。因此，這種打補(bǔ)丁與滲透開(kāi)發(fā)的操作系統(tǒng)是不可能從根本上解決安全問(wèn)題。

2.網(wǎng)絡(luò)協(xié)議和軟件的安全缺陷

因特網(wǎng)的基石是TCP/IP協(xié)議簇，該協(xié)議簇在實(shí)現(xiàn)上力求效率，而沒(méi)有考慮安全因素，因?yàn)槟菢訜o(wú)疑增大代碼量，從而降低了TCP/IP的運(yùn)行效率，所以說(shuō)TCP/IP本身在設(shè)計(jì)上就是不安全的。很容易被竊聽(tīng)和欺騙：大多數(shù)因特網(wǎng)上的流量是沒(méi)有加密的，電子郵件口令、文件傳輸很容易被監(jiān)聽(tīng)和劫持。很多基于TCP/IP的應(yīng)用服務(wù)都在不同程度上存在著安全問(wèn)題，這很容易被一些對(duì)TCP/IP十分了解的人所利用，一些新的處于測(cè)試階級(jí)的服務(wù)有更多的安全缺陷。缺乏安全策略：許多站點(diǎn)在防火墻配置上無(wú)意識(shí)地?cái)U(kuò)大了訪(fǎng)問(wèn)權(quán)限，忽視了這些權(quán)限可能會(huì)被內(nèi)部人員濫用，黑客從一些服務(wù)中可以獲得有用的信息，而網(wǎng)絡(luò)維護(hù)人員卻不知道應(yīng)該禁止這種服務(wù)。配置的復(fù)雜性：訪(fǎng)問(wèn)控制的配置一般十分復(fù)雜，所以很容易被錯(cuò)誤配置，從而給黑客以可乘之機(jī)。TCP/IP是被公布于世的，了解它的人越多被人破壞的可能性越大?，F(xiàn)在，銀行之間在專(zhuān)用網(wǎng)上傳輸數(shù)據(jù)所用的協(xié)議都是保密的，這樣就可以有效地防止入侵。當(dāng)然，人們不能把TCP/IP和其實(shí)現(xiàn)代碼保密，這樣不利于TCP/IP網(wǎng)絡(luò)的發(fā)展。

3.電腦黑客攻擊多樣化

進(jìn)人2006年以來(lái)，網(wǎng)絡(luò)罪犯采用翻新分散式阻斷服務(wù)(DDOS)攻擊的手法，用形同互聯(lián)網(wǎng)黃頁(yè)的域名系統(tǒng)服務(wù)器來(lái)發(fā)動(dòng)攻擊，擾亂在線(xiàn)商務(wù)。寬帶網(wǎng)絡(luò)條件下，常見(jiàn)的拒絕服務(wù)攻擊方式主要有兩種，一是網(wǎng)絡(luò)黑客蓄意發(fā)動(dòng)的針對(duì)服務(wù)和網(wǎng)絡(luò)設(shè)備的DDOS攻擊;二是用蠕蟲(chóng)病毒等新的攻擊方式，造成網(wǎng)絡(luò)流量急速提高，導(dǎo)致網(wǎng)絡(luò)設(shè)備崩潰，或者造成網(wǎng)絡(luò)鏈路的不堪負(fù)重。

調(diào)查資料顯示，2006年初發(fā)現(xiàn)企業(yè)的系統(tǒng)承受的攻擊規(guī)模甚于以往，而且來(lái)源不是被綁架的“僵尸”電腦，而是出自于域名系統(tǒng)(DNS)服務(wù)器。一旦成為DDOS攻擊的目標(biāo)，目標(biāo)系統(tǒng)不論是網(wǎng)頁(yè)服務(wù)器、域名服務(wù)器，還是電子郵件服務(wù)器，都會(huì)被網(wǎng)絡(luò)上四面八方的系統(tǒng)傳來(lái)的巨量信息給淹沒(méi)。黑客的用意是借人量垃圾信息妨礙系統(tǒng)正常的信息處理，借以切斷攻擊目標(biāo)對(duì)外的連線(xiàn)。黑客常用“僵尸”電腦連成網(wǎng)絡(luò)，把大量的查詢(xún)要求傳至開(kāi)放的DNS服務(wù)器，這些查詢(xún)信息會(huì)假裝成被巨量信息攻擊的目標(biāo)所傳出的，因此DNS服務(wù)器會(huì)把回應(yīng)信息傳到那個(gè)網(wǎng)址。

美國(guó)司法部的一項(xiàng)調(diào)查資料顯示，1998年3月到2005年2月期間，82%的人侵者掌握授權(quán)用戶(hù)或設(shè)備的數(shù)據(jù)。在傳統(tǒng)的用戶(hù)身份認(rèn)證環(huán)境下，外來(lái)攻擊者僅憑盜取的相關(guān)用戶(hù)身份憑證就能以任何臺(tái)設(shè)備進(jìn)人網(wǎng)絡(luò)，即使最嚴(yán)密的用戶(hù)認(rèn)證保護(hù)系統(tǒng)也很難保護(hù)網(wǎng)絡(luò)安全。另外，由于企業(yè)員工可以通過(guò)任何一臺(tái)未經(jīng)確認(rèn)和處理的設(shè)備，以有效合法的個(gè)人身份憑證進(jìn)入網(wǎng)絡(luò)，使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機(jī)可乘，嚴(yán)重威脅網(wǎng)絡(luò)系統(tǒng)的安全。有資料顯示，最近拉美國(guó)家的網(wǎng)絡(luò)詐騙活動(dòng)增多，作案手段先進(jìn)。犯罪活動(dòng)已經(jīng)從“現(xiàn)實(shí)生活轉(zhuǎn)入虛擬世界”，網(wǎng)上詐騙活動(dòng)日益增多。

4計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是專(zhuān)門(mén)用來(lái)破壞計(jì)算機(jī)正常工作，具有高級(jí)技巧的程序。它并不獨(dú)立存在，而是寄生在其他程序之中，它具有隱蔽性、潛伏性、傳染性和極大的破壞性。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展、網(wǎng)絡(luò)空間的廣泛運(yùn)用，病毒的種類(lèi)急劇增加。目前全世界的計(jì)算機(jī)活體病毒達(dá)14萬(wàn)多種，其傳播途徑不僅通過(guò)軟盤(pán)、硬盤(pán)傳播，還可以通過(guò)網(wǎng)絡(luò)的電子郵件和下載軟件傳播。從國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中日常監(jiān)測(cè)結(jié)果來(lái)看，計(jì)算機(jī)病毒呈現(xiàn)出異?；钴S的態(tài)勢(shì)。據(jù)2001年調(diào)查，我國(guó)約73%的計(jì)算機(jī)用戶(hù)曾感染病毒,2003年上半年升至83%。其中，感染3次以上的用戶(hù)高達(dá)59%，而且病毒的破壞性較大。被病毒破壞全部數(shù)據(jù)的占14%，破壞部分?jǐn)?shù)據(jù)的占57%。只要帶病毒的電腦在運(yùn)行過(guò)程中滿(mǎn)足設(shè)計(jì)者所預(yù)定的條件，計(jì)算機(jī)病毒便會(huì)發(fā)作，輕者造成速度減慢、顯示異常、丟失文件，重者損壞硬件、造成系統(tǒng)癱瘓。

5.人性的脆弱性

人們與生俱來(lái)就有信任他人、樂(lè)于助人以及對(duì)未知事物的好奇心等弱點(diǎn)。狡猾的電腦黑客往往利用這些弱點(diǎn)，通過(guò)E-mail、偽造的Web網(wǎng)站、向特定的用戶(hù)提幾個(gè)簡(jiǎn)單的問(wèn)題的伎倆，騙取公司的保密資料或從個(gè)人用戶(hù)那里騙取網(wǎng)上購(gòu)物的信用卡、用戶(hù)名和密碼，達(dá)到入侵網(wǎng)絡(luò)信息系統(tǒng)的目的，使得那些采用多種先進(jìn)技術(shù)的安全保護(hù)措施形同虛設(shè)。

6管理因素

用戶(hù)安全意識(shí)淡薄, 管理不善是當(dāng)前存在的一個(gè)嚴(yán)重的問(wèn)題。目前我國(guó)安全管理方面存在的問(wèn)題主要有: 一是缺乏強(qiáng)有力的權(quán)威管理機(jī)構(gòu), 由于我國(guó)網(wǎng)絡(luò)安全立法滯后, 安全管理部門(mén)受人力、技術(shù)等條件的限制影響著安全管理措施的有效實(shí)施。二是缺乏安全審計(jì),安全審計(jì)是把與安全相關(guān)的事件記錄到安全日志中,我國(guó)現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)大多數(shù)缺少安全審計(jì), 安全日志形同虛設(shè)。三是安全意識(shí)淡薄。人們對(duì)信息安全認(rèn)識(shí)不夠, 過(guò)分依賴(lài)信息安全產(chǎn)品, 缺乏細(xì)致的內(nèi)部網(wǎng)絡(luò)管理機(jī)制, 一些用戶(hù)警惕性不高, 操作麻痹, 甚至把自己賬號(hào)隨意給他人。

三、保障網(wǎng)絡(luò)信息安全的對(duì)策和技術(shù)

1.安全通信協(xié)議和有關(guān)標(biāo)準(zhǔn)。

在網(wǎng)絡(luò)安全技術(shù)應(yīng)用領(lǐng)域，安全通信協(xié)議提供了一種標(biāo)準(zhǔn)，基于這些標(biāo)準(zhǔn)，企業(yè)可以很方便地建立自己的安全應(yīng)用系統(tǒng)。目前主要的安全通信協(xié)議有SSL（TLS）、IPsec和S/MIME SL提供基于客戶(hù)/服務(wù)器模式的安全標(biāo)準(zhǔn)，SSL（TLS）在傳輸層和應(yīng)用層之間嵌入一個(gè)子層，主要用于實(shí)現(xiàn)兩個(gè)應(yīng)用程序之間安全通訊機(jī)制，提供面向連接的保護(hù)；IP安全協(xié)議（IPsec）提供網(wǎng)關(guān)到網(wǎng)關(guān)的安全通信標(biāo)準(zhǔn)，在網(wǎng)絡(luò)層實(shí)現(xiàn)，IPsec能夠保護(hù)整個(gè)網(wǎng)絡(luò)；S/MIME在應(yīng)用層提供對(duì)信息的安全保護(hù)，主要用于信息的安全存儲(chǔ)、信息認(rèn)證、傳輸和信息轉(zhuǎn)發(fā)。三種安全通信協(xié)議雖然均提供了類(lèi)似的安全服務(wù)，但是他們的具體應(yīng)用范圍是不同的，在實(shí)際應(yīng)用中，應(yīng)根據(jù)具體情況選擇相應(yīng)的安全通信協(xié)議。

2.防火墻技術(shù)

防火墻技術(shù)是為了保證網(wǎng)絡(luò)路由安全性而在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造一個(gè)保護(hù)層。所有的內(nèi)外連接都強(qiáng)制性地經(jīng)過(guò)這一保護(hù)層接受檢查過(guò)濾，只有被授權(quán)的通信才允許通過(guò)。防火墻的安全意義是雙向的，一方面可以限制外部網(wǎng)對(duì)內(nèi)部網(wǎng)的訪(fǎng)問(wèn)，另一方面也可以限制內(nèi)部網(wǎng)對(duì)外部網(wǎng)中不健康或敏感信息的訪(fǎng)問(wèn)。同時(shí)，防火墻還可以對(duì)網(wǎng)絡(luò)存取訪(fǎng)問(wèn)進(jìn)行記錄和統(tǒng)計(jì)，對(duì)可疑動(dòng)作告警，以及提供網(wǎng)絡(luò)是否受到監(jiān)視和攻擊的詳細(xì)信息。防火墻系統(tǒng)的實(shí)現(xiàn)技術(shù)一般分為兩種，一種是分組過(guò)濾技術(shù)，一種是代理服務(wù)技術(shù)。分組過(guò)濾基于路由器技術(shù)，其機(jī)理是由分組過(guò)濾路由器對(duì)IP分組進(jìn)行選擇，根據(jù)特定組織機(jī)構(gòu)的網(wǎng)絡(luò)安全準(zhǔn)則過(guò)濾掉某些IP地址分組，從而保護(hù)內(nèi)部網(wǎng)絡(luò)。代理服務(wù)技術(shù)是由一個(gè)高層應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器，對(duì)于任何外部網(wǎng)的應(yīng)用連接請(qǐng)求首先進(jìn)行安全檢查，然后再與被保護(hù)網(wǎng)絡(luò)應(yīng)用服務(wù)器連接。代理服務(wù)技術(shù)可使內(nèi)、外網(wǎng)絡(luò)信息流動(dòng)受到雙向監(jiān)控。

3.訪(fǎng)問(wèn)拉制技術(shù)

訪(fǎng)問(wèn)控制根據(jù)用戶(hù)的身份賦予其相應(yīng)的權(quán)限，即按事先確定的規(guī)則決定主體對(duì)客體的訪(fǎng)問(wèn)是否合法，當(dāng)一主體試圖非法使用一個(gè)未經(jīng)授權(quán)使用的客體時(shí)，該機(jī)制將拒絕這一企圖，其主要通過(guò)注冊(cè)口令、用戶(hù)分組控制、文件權(quán)限控制三個(gè)層次完成。此外，審計(jì)、日志、入侵偵察及報(bào)警等對(duì)保護(hù)網(wǎng)絡(luò)安全起一定的輔助作用，只有將上述各項(xiàng)技術(shù)很好地配合起來(lái)，才能為網(wǎng)絡(luò)建立一道安全的屏障。

4.反病毒軟件

反病毒軟件已成為人們抵御病毒進(jìn)攻的有力武器。目前的反病毒軟件具有幾項(xiàng)技術(shù)特色。首先, 出現(xiàn)了病毒防火墻。該技術(shù)為用戶(hù)提供了一個(gè)實(shí)時(shí)監(jiān)防止病毒發(fā)作的工具,它對(duì)用戶(hù)訪(fǎng)問(wèn)的每一個(gè)文件進(jìn)行病毒檢測(cè), 確認(rèn)無(wú)毒后才會(huì)讓系統(tǒng)接管進(jìn)行下一步的工作。其次, 反病毒軟件提出了在線(xiàn)升級(jí)的方式。第三, 完成了統(tǒng)一的防病毒管理。第四,嵌入式查毒技術(shù)的形成, 它將殺毒引擎直接嵌掛到IE 瀏覽器和流行辦公軟件Office2003 和OfficeXP 組件當(dāng)中,使其與可能發(fā)生病毒侵?jǐn)_的應(yīng)用程序有機(jī)地結(jié)合為一體, 在占用系統(tǒng)資源最小的情況下查殺病毒。

5.入侵檢測(cè)技術(shù)

隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)的不斷提高, 作為對(duì)防火墻及其有益的補(bǔ)充, IDS(入侵檢測(cè)系統(tǒng))能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,它擴(kuò)展了系統(tǒng)管理員的安全管理能力包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng), 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)的專(zhuān)用系統(tǒng), 該系統(tǒng)處于防火墻之后, 可以和防火墻及路由器配合工作, 用來(lái)檢查一個(gè)LAN 網(wǎng)段上的所有通信,記錄和禁止網(wǎng)絡(luò)活動(dòng),可以通過(guò)重新配置來(lái)禁止從防火墻外部進(jìn)入的惡意流量。入侵檢測(cè)系統(tǒng)能夠?qū)W(wǎng)絡(luò)上的信息進(jìn)行快速分析或在主機(jī)上對(duì)用戶(hù)進(jìn)行審計(jì)分析, 通過(guò)集中控制臺(tái)來(lái)管理、檢測(cè)。

6.PKI技術(shù)

PKI是在公開(kāi)密鑰理論和技術(shù)基礎(chǔ)上發(fā)展起來(lái)的一種綜合安全平臺(tái)，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書(shū)管理，從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴(lài)的目的。利用PKI可以方便地建立和維護(hù)一個(gè)可信的網(wǎng)絡(luò)計(jì)算環(huán)境，從而使得人們?cè)谶@個(gè)無(wú)法直接相互面對(duì)的環(huán)境里，能夠確認(rèn)彼此的身份和所交換的信息，能夠安全地從事商務(wù)活動(dòng)。目前，PKI技術(shù)己趨于成熟，其應(yīng)用已覆蓋了從安全電子郵件、虛擬專(zhuān)用網(wǎng)絡(luò)(VPN),Web交互安全到電子商務(wù)、電子政務(wù)、電子事務(wù)安全的眾多領(lǐng)域，許多企業(yè)和個(gè)人已經(jīng)從PKI技術(shù)的使用中獲得了巨大的收益。

在PKI體系中，CA(CertificateAuthority，認(rèn)證中心)和數(shù)字證書(shū)是密不可分的兩個(gè)部分。認(rèn)證中心又叫CA中心，它是負(fù)責(zé)產(chǎn)生、分配并管理數(shù)字證書(shū)的可信賴(lài)的第三方權(quán)威機(jī)構(gòu)。認(rèn)證中心是PKI安全體系的核心環(huán)節(jié)，因此又稱(chēng)作PKI/CA。認(rèn)證中心通常采用多層次的分級(jí)結(jié)構(gòu)，上級(jí)認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級(jí)認(rèn)證中心的證書(shū)，最下一級(jí)的認(rèn)證中心直接面向最終用戶(hù)。數(shù)字證書(shū)，又叫“數(shù)字身份證”、“數(shù)字ID”，是由認(rèn)證中心發(fā)放并經(jīng)認(rèn)證中心數(shù)字簽名的，包含公開(kāi)密鑰擁有者以及公開(kāi)密鑰相關(guān)信息的一種電子文件，可以用來(lái)證明數(shù)字證書(shū)持有者的真實(shí)身份。

7.增強(qiáng)網(wǎng)絡(luò)安全意識(shí)

利用講座和電視視頻直播給上網(wǎng)的朋友們普及有關(guān)網(wǎng)絡(luò)安全知識(shí),使他們知道網(wǎng)絡(luò)中時(shí)時(shí)刻刻都存在潛在的威脅,可能會(huì)帶來(lái)經(jīng)濟(jì)損失和精神損失。同時(shí)，還要讓他們知道一切不明身份的垃圾郵件千萬(wàn)不要打開(kāi)，因?yàn)樗赡芙o你的電腦帶進(jìn)病毒。通過(guò)事實(shí)中的案例告訴網(wǎng)民在網(wǎng)絡(luò)中做任何事情一定不要放松自己的警惕，加強(qiáng)自己電腦的殺毒軟件，多關(guān)注網(wǎng)上欺騙手段的視頻。總之，利用一切可以利用的手段加強(qiáng)網(wǎng)民的網(wǎng)絡(luò)安全意識(shí)。

8.法律保護(hù)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，大量的信息在互聯(lián)網(wǎng)上進(jìn)行傳播，不可避免地會(huì)侵犯他人的合法權(quán)益，而且這種侵犯將因?yàn)榛ヂ?lián)網(wǎng)比其他媒體更有廣泛的影響而加重侵權(quán)的嚴(yán)重程度。從這個(gè)意義上來(lái)說(shuō)，一個(gè)人可以不上網(wǎng)，但是他的合法權(quán)益被他人通過(guò)互聯(lián)網(wǎng)侵犯卻是有可能的，因此，加強(qiáng)與互聯(lián)網(wǎng)相關(guān)的立法建設(shè)，對(duì)于全體國(guó)民都是非常重要的。

四、結(jié)論

隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)及網(wǎng)絡(luò)信息安全技術(shù)已經(jīng)深入到了社會(huì)的多個(gè)領(lǐng)域。網(wǎng)絡(luò)和信息時(shí)代給我們帶來(lái)技術(shù)進(jìn)步和生活便利的同時(shí)，也給國(guó)家和個(gè)人都帶了巨大經(jīng)濟(jì)損失。網(wǎng)民要加強(qiáng)自己的防范意識(shí)，保證自己的財(cái)產(chǎn)不受到侵犯。我還希望國(guó)家相關(guān)部門(mén)規(guī)范網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)，加快先進(jìn)技術(shù)的研發(fā)來(lái)保障網(wǎng)絡(luò)通訊的安全。同時(shí)，加強(qiáng)相關(guān)法律法規(guī)的力度來(lái)保證人民的根本利益，為我們提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境。參考文獻(xiàn)：

[1]龐淑英.網(wǎng)絡(luò)信息安全技術(shù)基礎(chǔ)及應(yīng)用.2009 [2]李俊宇.信息安全技術(shù)基礎(chǔ)冶金工業(yè)出版社.2004.12 [3]王麗輝.網(wǎng)絡(luò)安全及相關(guān)技術(shù)吉林農(nóng)業(yè)科技學(xué)院學(xué)報(bào)，第19卷第2期.2005 [4]何萬(wàn)敏.網(wǎng)絡(luò)信息安全與防范技術(shù)甘肅農(nóng)業(yè).2005年第1期 [5]黃慧陳閡中.針對(duì)黑客攻擊的預(yù)防措施計(jì)算機(jī)安全.2005 [6]王云峰.信息安全技術(shù)及策略[J].廣東廣播電視大學(xué)學(xué)報(bào),2006

第二篇：網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全技術(shù)

——防火墻技術(shù)與病毒

摘 要：

計(jì)算機(jī)網(wǎng)絡(luò)安全，指致力于解決諸如如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段。而計(jì)算機(jī)網(wǎng)絡(luò)安全主要包括計(jì)算機(jī)網(wǎng)絡(luò)安全的概況、虛擬網(wǎng)技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù), 安全掃描技術(shù), 電子認(rèn)證和數(shù)字簽名技術(shù).VPN技術(shù)、數(shù)據(jù)安全、計(jì)算機(jī)病毒等。防火墻技術(shù)作為時(shí)下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用戶(hù)的切身利益。針對(duì)網(wǎng)絡(luò)安全獨(dú)立元素——防火墻技術(shù)，通過(guò)對(duì)防火墻日志文件的分析，設(shè)計(jì)相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全等級(jí)，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。本文將以最常見(jiàn)的WORD宏病毒為例來(lái)解釋計(jì)算機(jī)病毒傳播過(guò)程。

關(guān)鍵詞：網(wǎng)絡(luò)安全 防火墻技術(shù) 計(jì)算機(jī)病毒

1.1 研究背景

隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是Internet的廣泛使用，使計(jì)算機(jī)應(yīng)用更加廣泛與深入。同時(shí)，我們不得不注意到，網(wǎng)絡(luò)雖然功能強(qiáng)大，也有其脆弱易受到攻擊的一面。據(jù)美國(guó)FBI統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全求平均每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)侵入事件。在我國(guó)，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。人們?cè)诶镁W(wǎng)絡(luò)的優(yōu)越性的同時(shí)，對(duì)網(wǎng)絡(luò)安全問(wèn)題也決不能忽視。如何建立比較安全的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。

1.2 計(jì)算機(jī)病毒簡(jiǎn)介

計(jì)算機(jī)病毒是指那些具有自我復(fù)制能力的計(jì)算機(jī)程序, 它能影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行, 破壞數(shù)據(jù)的正確與完整。計(jì)算機(jī)病毒的來(lái)源多種多樣, 有的是計(jì)算機(jī)工作人員或業(yè)余愛(ài)好者為了純粹尋開(kāi)心而制造出來(lái)的;有的則是軟件公司為保護(hù)自己的產(chǎn)品被非法拷貝而制造的報(bào)復(fù)性懲罰, 因?yàn)樗麄儼l(fā)現(xiàn)病毒比加密對(duì)付非法拷貝更有效且更有威脅, 這種情況助長(zhǎng)了病毒的傳播。還有一種情況就是蓄意破壞, 它分為個(gè)人行為和政府行為兩種, 個(gè)人行為多為雇員對(duì)雇主的報(bào)復(fù)行為, 而政府行為則是有組織的戰(zhàn)略戰(zhàn)術(shù)手段。另外有的病毒還是用于研究或?qū)嶒?yàn)而設(shè)計(jì)的“有用”程序, 由于某種原因失去控制擴(kuò)散出實(shí)驗(yàn)室, 從而成為危害四方的計(jì)算機(jī)病毒。

1987 年, 計(jì)算機(jī)用戶(hù)忽然發(fā)現(xiàn), 在世界的各個(gè)角落, 幾乎同時(shí)出現(xiàn)了形形色色的計(jì)算機(jī)病毒。Brain, Lenig h, IBM 圣誕樹(shù), 黑色星期五, 特別是近期發(fā)現(xiàn)的幾種病毒, 其名氣也最大, 它們是: 臺(tái)灣一號(hào)病毒、DIR-Ⅱ病毒、幽靈病毒、米開(kāi)朗基羅病毒等, 至今, 病毒種類(lèi)已超過(guò)一萬(wàn)種。

1988 年底, 我國(guó)國(guó)家統(tǒng)計(jì)系統(tǒng)發(fā)現(xiàn)小球病毒。隨后, 中國(guó)有色金屬總公司所屬昆明、天津、成都等地的一些單位, 全國(guó)一些科研部門(mén)和國(guó)家機(jī)關(guān)也相繼發(fā)現(xiàn)病毒入侵。自從“中國(guó)炸彈”病毒出現(xiàn)后,已發(fā)現(xiàn)越來(lái)越多的國(guó)產(chǎn)病毒。比如目前國(guó)內(nèi)主要有:感染W(wǎng)indow s3.x 的“V3783”,感染W(wǎng)indow s95/ 98的“CIH”病毒。

縱觀計(jì)算機(jī)病毒的發(fā)展歷史, 我們不難看出, 計(jì)算機(jī)病毒已從簡(jiǎn)單的引導(dǎo)型、文件型病毒或它們的混合型發(fā)展到了多形性病毒、欺騙性病毒、破壞性病毒。已從攻擊安全性較低的DOS平臺(tái)發(fā)展到攻擊安全性較高的Window s95/ 98平臺(tái);從破壞磁盤(pán)數(shù)據(jù)發(fā)展到直接對(duì)硬件芯片進(jìn)行攻擊。1995 年宏病毒的出現(xiàn), 使病毒從感染可執(zhí)行文件過(guò)渡到感染某些非純粹的數(shù)據(jù)文件。最近有資料顯示已發(fā)現(xiàn)JAVA病毒, 各種跡象表明病毒正向著各個(gè)領(lǐng)域滲透, 這些新病毒更隱秘, 破壞性更強(qiáng)。

計(jì)算機(jī)病毒的種類(lèi)很多, 不同種類(lèi)的病毒有著各自不同的特征, 它們有的以感染文件為主、有的以感染系統(tǒng)引導(dǎo)區(qū)為主, 大多數(shù)病毒只是開(kāi)個(gè)小小的玩笑。

按傳染方式分類(lèi)可分為引導(dǎo)型病毒、文件型病毒和混合型病毒3種。引導(dǎo)型病毒主要是感染磁盤(pán)的引導(dǎo)區(qū), 系統(tǒng)從包含了病毒的磁盤(pán)啟動(dòng)時(shí)傳播, 它一般不對(duì)磁盤(pán)文件進(jìn)行感染;文件型病毒一般只傳染磁盤(pán)上的可執(zhí)行文件(COM, EXE), 其特點(diǎn)是附著于正常程序文件, 成為程序文件的一個(gè)外殼或部件;混合型病毒則兼有以上兩種病毒的特點(diǎn), 既感染引導(dǎo)區(qū)又感染文件, 因此擴(kuò)大了這種病毒的傳染途徑。

按連接方式分類(lèi)可分為源碼型病毒、入侵型病毒和操作系統(tǒng)型病毒等3 種。其中源碼型病毒主要攻擊高級(jí)語(yǔ)言編寫(xiě)的源程序, 它會(huì)將自己插入到系統(tǒng)的源程序中, 并隨源程序一起編譯、連接成可執(zhí)行文件, 從而導(dǎo)致剛剛生成的可執(zhí)行文件直接帶毒;入侵型病毒用自身代替正常程序中的部分模塊或堆棧區(qū)的病毒, 它只攻擊某些特定程序, 針對(duì)性強(qiáng);操作系統(tǒng)型病毒是用其自身部分加入或替代操作系統(tǒng)的部分功能, 危害性較大。

病毒按程序運(yùn)行平臺(tái)分類(lèi)可分為DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它們分別是發(fā)作于DOS,Windows9X,WindowsNT, OS/2等操作系統(tǒng)平臺(tái)上的病毒。而計(jì)算機(jī)病毒的主要危害：不同的計(jì)算機(jī)病毒有不同的破壞行為, 其中有代表性的行為如下: 一是攻擊系統(tǒng)數(shù)據(jù)區(qū), 包括硬盤(pán)的主引導(dǎo)扇區(qū)、Boot 扇區(qū)、FAT 表、文件目錄。一般來(lái)說(shuō), 攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒, 受損的數(shù)據(jù)不易恢復(fù)。二是攻擊文件, 包括刪除、改名、替換文件內(nèi)容、刪除部分程序代碼、內(nèi)容顛倒、變碎片等等。三是攻擊內(nèi)存。

1.3防火墻概述

隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類(lèi)重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪(fǎng)問(wèn)，阻止病毒的傳播感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類(lèi)。其中包過(guò)濾作為最早發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。[4]防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。

2.防火墻的原理及分類(lèi)

顧名思義，包過(guò)濾防火墻[9]就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過(guò)濾規(guī)則相比較，從而決定是否阻塞或通過(guò)。過(guò)濾規(guī)則是基于網(wǎng)絡(luò)層IP包包頭信息的比較。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，IP包的包頭中包含源、目的IP地址，封裝協(xié)議類(lèi)型(TCP，UDP，ICMP或IP Tunnel)，TCP/UDP端口號(hào)，ICMP消息類(lèi)型，TCP包頭中的ACK等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包;如果沒(méi)有匹配規(guī)則，則按缺省情況處理。包過(guò)濾防火墻是速度最快的防火墻，這是因?yàn)樗幱诰W(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實(shí)現(xiàn)，對(duì)用戶(hù)來(lái)說(shuō)都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用80端口。如果公司的安全策略允許內(nèi)部員工訪(fǎng)問(wèn)網(wǎng)站，包過(guò)濾防火墻可能設(shè)置允所有80端口的連接通過(guò)，這時(shí)，意識(shí)到這一漏洞的外部人員可以在沒(méi)有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過(guò)濾防火墻的維護(hù)比較困難，定義過(guò)濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過(guò)濾規(guī)則的不完善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。同時(shí)，包過(guò)濾防火墻一般無(wú)法提供完善的日志。

應(yīng)用級(jí)代理技術(shù)通過(guò)在OSI的最高層檢查每一個(gè)IP包，從而實(shí)現(xiàn)安全策略。代理技術(shù)與包過(guò)濾技術(shù)完全不同，包過(guò)濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能。它的代理功能，就是在防火墻處終止客戶(hù)連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理機(jī)制提供額外的安全，這是因?yàn)樗鼘?nèi)部和外部網(wǎng)絡(luò)隔離開(kāi)來(lái)，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測(cè)變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行全面的控制。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪(fǎng)問(wèn)WEB站點(diǎn)的HTTP，用于文件傳輸?shù)腇TP，用于E一MAIL的SMTP/POP3等等。如果某種應(yīng)用沒(méi)有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過(guò)防火墻進(jìn)行轉(zhuǎn)發(fā);同時(shí)升級(jí)一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同時(shí)升級(jí)。

代理服務(wù)(Proxy Service)也稱(chēng)鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類(lèi)。它是針對(duì)數(shù)據(jù)包過(guò)濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí) 也常結(jié)合入過(guò)濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。

復(fù)合型防火墻：由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過(guò)濾路由器或防火墻與Internet相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾器路由器或防火墻上過(guò)濾規(guī)則的設(shè)置，使堡壘機(jī)成為Internet上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶(hù)的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護(hù)功能了。

3.1防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì)

(1)安全策略功能

一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶(hù)認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶(hù)角色的安全策略功能。該功能在無(wú)線(xiàn)網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶(hù)身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過(guò)濾技術(shù)的防火墻不具有。用戶(hù)身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶來(lái)的負(fù)面影響也越大，因?yàn)橛脩?hù)身份驗(yàn)證需要時(shí)間，特別是加密型的用戶(hù)身份驗(yàn)證。

(2)多級(jí)過(guò)濾技術(shù)

所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾(網(wǎng)絡(luò)層)一級(jí)，過(guò)濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹(shù)包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。

這種過(guò)濾技術(shù)在分層上非常清楚，每種過(guò)濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來(lái)的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

(3)功能擴(kuò)展

功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時(shí)候我們已經(jīng)無(wú)法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個(gè)功能為主了，即其已經(jīng)逐漸向我們普遍稱(chēng)之為IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能，通常被稱(chēng)之為“病毒防火墻”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问?，更容易?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。

3.1防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)

隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。為了滿(mǎn)足這種需要，一些防火墻制造商開(kāi)發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴(lài)于軟件的性能，但是由于這類(lèi)防火墻中有一些專(zhuān)門(mén)用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類(lèi)防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專(zhuān)門(mén)的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類(lèi)型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿(mǎn)足來(lái)自靈活性和運(yùn)行性能的要求。參考文獻(xiàn)

[1] 艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識(shí)與技術(shù).2004，(s):79一82.[2] 高峰.許南山.防火墻包過(guò)濾規(guī)則問(wèn)題的研究[M].計(jì)算機(jī)應(yīng)用.2003，23(6):311一312.[3] 孟濤、楊磊.防火墻和安全審計(jì)[M].計(jì)算機(jī)安全.2004，(4):17一18.[4] 鄭林.防火墻原理入門(mén)[Z].E企業(yè).2000.[5] 魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.2004，20(l):57一62

[6] 李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學(xué)報(bào).2002，2(l):59一61

[7] 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24一27

[8] 付歌，楊明福.一個(gè)快速的二維數(shù)據(jù)包分類(lèi)算法.計(jì)算機(jī)工程.2004，30(6):76一78

[9] 付歌，楊明福，王興軍.基于空間分解的數(shù)據(jù)包分類(lèi)技術(shù).計(jì)算機(jī)工程與應(yīng)用.2004(8):63一65

[10] 〕韓曉非，王學(xué)光，楊明福.位并行數(shù)據(jù)包分類(lèi)算法研究.華東理工大學(xué)學(xué)報(bào).2003，29(5):504一508

[11] 韓曉非，楊明福，王學(xué)光.基于元組空間的位并行包分類(lèi)算法.計(jì)算機(jī)工程與應(yīng)用.2003，(29):188一192

[12] 馮東雷，張勇，白英彩.一種高性能包分類(lèi)漸增式更新算法.計(jì)算機(jī)研究與發(fā)展.2003，40(3):387一392

第三篇：《網(wǎng)絡(luò)安全技術(shù)》論文

常見(jiàn)防火墻技術(shù)分析

摘要:

計(jì)算機(jī)網(wǎng)絡(luò)是一把雙刃劍，它的開(kāi)放性和便利性的同時(shí)，也增加了私有信息和數(shù)據(jù)被破壞或侵犯的可能性。

本文首先會(huì)簡(jiǎn)單地講述目前計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患，我國(guó)網(wǎng)絡(luò)安全的現(xiàn)狀及網(wǎng)絡(luò)安全問(wèn)題產(chǎn)生的原因。

其次，由于網(wǎng)絡(luò)安全威脅的存在，防火墻應(yīng)運(yùn)而生。防火墻是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù), 其本質(zhì)是一種隔離技術(shù)，其核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。本文將重點(diǎn)從安全功能、體系結(jié)構(gòu)、實(shí)現(xiàn)防火墻的主要技術(shù)手段及配置等方面分析防火墻。關(guān)鍵詞:網(wǎng)絡(luò)安全，防火墻，防火墻類(lèi)型

1.我國(guó)網(wǎng)絡(luò)安全的現(xiàn)狀

1.1研究背景

“計(jì)算機(jī)網(wǎng)絡(luò)安全”定義：國(guó)際標(biāo)準(zhǔn)化組織（ISO）將“計(jì)算機(jī)網(wǎng)絡(luò)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。其具有以下五個(gè)方面的特征：保密性、完整性、可用性、可控性和可審查性。

當(dāng)前，計(jì)算機(jī)已經(jīng)被廣泛地用于社會(huì)生產(chǎn)和生活的各個(gè)領(lǐng)域。特別是隨著信息化和技術(shù)化的不斷推進(jìn)，計(jì)算機(jī)也在更加深刻地影響著社會(huì)的方方面面。

計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題主要有：信息在傳輸?shù)倪^(guò)程中，數(shù)據(jù)被篡改和復(fù)制，以及攔截和查看，甚至遭受惡意的病毒攻擊等。這些安全問(wèn)題嚴(yán)重影響著計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行，出現(xiàn)系統(tǒng)癱瘓或重要數(shù)據(jù)的泄漏，造成不可挽回的嚴(yán)重后果。

網(wǎng)絡(luò)安全的主要威脅有：竊聽(tīng)、網(wǎng)絡(luò)嗅探、拒絕服務(wù)、假冒、授權(quán)侵犯、計(jì)算機(jī)病毒。

1.2研究意義

為了有效解決網(wǎng)絡(luò)安全問(wèn)題和威脅，構(gòu)建安全可靠的網(wǎng)絡(luò)安全環(huán)境，我國(guó)有必要從技術(shù)方面對(duì)防火墻進(jìn)行完善?；诰W(wǎng)絡(luò)內(nèi)部和外部環(huán)境的特殊性，防火墻技術(shù)是目前保護(hù)網(wǎng)絡(luò)安全最為有效地技術(shù)，不僅能夠?qū)W(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行檢查，還能對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控。

2.防火墻技術(shù)的概述

2.1防火墻技術(shù)的定義

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，主要用來(lái)保護(hù)安全網(wǎng)絡(luò)免受來(lái)自不安全網(wǎng)絡(luò)的入侵，實(shí)際上是一種隔離技術(shù)。簡(jiǎn)單地說(shuō)就是，防火墻是在兩個(gè)網(wǎng)絡(luò)間進(jìn)行訪(fǎng)問(wèn)控制,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò), 同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外, 最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪(fǎng)問(wèn)你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞你的重要

信息。不同的防火墻，配置的方法也不同，這取決于安全策略，預(yù)算以及全面規(guī)劃等。

它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，有效地加強(qiáng)網(wǎng)絡(luò)之間訪(fǎng)問(wèn)控制。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，是一種非常有效的網(wǎng)絡(luò)安全模型。

如圖1：

2.2防火墻技術(shù)的發(fā)展史及分類(lèi)

縱觀防火墻近年來(lái)的發(fā)展,可以將其劃分為如下四個(gè)階段(即四代)及相應(yīng)的分類(lèi)。

2.2.1 第一代防火墻：基于路由器的防火墻

第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過(guò)濾（Packetfilter）技術(shù)，從而使具有分組過(guò)濾功能的路由器成為第一代防火墻產(chǎn)品。簡(jiǎn)單地說(shuō)，第一代防火墻產(chǎn)品一般是基于源地址和目的地址、應(yīng)用或協(xié)議以及每個(gè)IP包的端口來(lái)作為出通過(guò)與否的判斷。一個(gè)路由器便是一個(gè)“傳統(tǒng)”的網(wǎng)絡(luò)級(jí)防火墻,大多數(shù)的路由器都能通過(guò)檢查這些信息來(lái)決定是否將所收到的包轉(zhuǎn)發(fā),但它不能判斷出一個(gè)IP包自哪里，即將去哪里。

特點(diǎn):

（1）網(wǎng)絡(luò)級(jí)防火墻簡(jiǎn)潔、速度快、費(fèi)用低,并且對(duì)用戶(hù)透明；

（2)可利用路由器實(shí)現(xiàn)對(duì)分組的過(guò)濾;

（3)把地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征作為判斷依據(jù)

不足：

（1）本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。

（2）分組過(guò)濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過(guò)濾規(guī)則的設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則的邏輯一致性、作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往往會(huì)帶來(lái)很多錯(cuò)誤。

（3）路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。

（4）路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪(fǎng)問(wèn)提供動(dòng)態(tài)的、靈活的路由,而防火墻則要對(duì)訪(fǎng)問(wèn)行為實(shí)施靜態(tài)的、固定的控制,這是一對(duì)難以調(diào)和的矛盾,防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。

2.2.2第二代防火墻：用戶(hù)防火墻工具套

1989年，貝爾實(shí)驗(yàn)室的DavePresotto和HowardTrickey推出了第二代防火墻，即電路層防火墻。為了彌補(bǔ)路由器防火墻的不足,很多大型用戶(hù)紛紛要求以專(zhuān)門(mén)開(kāi)發(fā)的防火墻系統(tǒng)來(lái)保護(hù)自己的網(wǎng)絡(luò),從而推動(dòng)了用戶(hù)防火墻工具套的出現(xiàn)。

他能夠檢查進(jìn)出的數(shù)據(jù)包,通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶(hù)機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。他并且能夠理解應(yīng)用層上的協(xié)議,能夠做復(fù)雜一些的訪(fǎng)問(wèn)控制,并做精細(xì)的注冊(cè)和稽核。

特點(diǎn)：

（1)將過(guò)濾功能從路由器中獨(dú)立出來(lái),并加上審計(jì)和告警功能;

（2)針對(duì)用戶(hù)需求,提供模塊化的軟件包;

（3)軟件可以通過(guò)網(wǎng)絡(luò)發(fā)送,用戶(hù)可以自己動(dòng)手構(gòu)造防火墻;

（4)與第一代防火墻相比,安全性提高了,價(jià)格也降低了。

不足：

（1）無(wú)論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求；

（2）對(duì)用戶(hù)的技術(shù)要求高;

（3）全軟件實(shí)現(xiàn),安全性和處理速度均有局限，使用中出現(xiàn)差錯(cuò)的情況很多。

2.2.3 第三代防火墻：建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷(xiāo)售、使用和維護(hù)上的問(wèn)題迫使防火墻開(kāi)發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。近年來(lái)市場(chǎng)上廣泛使用的就是這一代產(chǎn)品

特點(diǎn):

（1)是批量上市的專(zhuān)用防火墻產(chǎn)品;

（2)包括分組過(guò)濾或者借用路由器的分組過(guò)濾功能;

（3)裝有專(zhuān)用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令;

（4)保護(hù)用戶(hù)編程空間和用戶(hù)可配置內(nèi)核參數(shù)的設(shè)置;

（5)安全性和速度大大提高。

不足：

（1)缺乏安全保障，因?yàn)樽鳛榛A(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知；

（2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商,通用操作系統(tǒng)廠商不會(huì)對(duì)操作系統(tǒng)的 安全性負(fù)責(zé);

（3)從本質(zhì)上看,第三代防火墻既要防止來(lái)自外部網(wǎng)絡(luò)的攻擊,還要防止來(lái)自操作系統(tǒng)廠商的攻擊。

2.2.4第四代防火墻：具有安全操作系統(tǒng)的防火墻

1992年，USC信息科學(xué)院的BobBraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾（Dynamicpacketfilter）技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視（Statefulinspection）技術(shù)。1994年，以色列的CheckPoint公司開(kāi)發(fā)出了第一個(gè)基于這種技術(shù)的商業(yè)化的產(chǎn)品。

特點(diǎn)：

（1）防火墻廠商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安全內(nèi)核。

（2）對(duì)安全內(nèi)核實(shí)現(xiàn)加固處理：即去掉不必要的系統(tǒng)特性，加上內(nèi)核特性，強(qiáng)化安全保護(hù)。

（3）對(duì)每個(gè)服務(wù)器、子系統(tǒng)都作了安全處理，一旦黑客攻破了一個(gè)服務(wù)器，它將會(huì)被隔離在此服務(wù)器內(nèi)，不會(huì)對(duì)網(wǎng)絡(luò)的其他部分構(gòu)成威脅。

（4）在功能上包括了分組過(guò)濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)，且具有加密與鑒別功能。

（5）透明性好，易于使用。

2.3 防火墻技術(shù)的功能

（1）訪(fǎng)問(wèn)控制功能。是一種簡(jiǎn)單、有效的安全控制技術(shù)，也是防火墻最基本也是最重要的功能，通過(guò)禁止或允許特定用戶(hù)訪(fǎng)問(wèn)特定的資源，保護(hù)網(wǎng)絡(luò)的內(nèi)部資源和數(shù)據(jù)。需要禁止非授權(quán)的訪(fǎng)問(wèn)，防火墻需要識(shí)別哪個(gè)用戶(hù)可以訪(fǎng)問(wèn)何種資源。

（2）防止內(nèi)部信息外泄。根據(jù)數(shù)據(jù)內(nèi)存進(jìn)行控制，如防火墻可以從電子郵件中過(guò)濾掉垃圾郵件，可以過(guò)濾掉內(nèi)部用戶(hù)訪(fǎng)問(wèn)外部服務(wù)的圖片信息，也可以限制外部訪(fǎng)問(wèn)，使它們只能訪(fǎng)問(wèn)本地Web服務(wù)器中一部分信息。

（3）集中管理功能。防火墻是一個(gè)安全設(shè)備，針對(duì)不同的網(wǎng)絡(luò)情況和安全需要，需要制定不同的安全策略，然后在防火墻上實(shí)施，使用中還需要根據(jù)情況改變安全策略，因此防火墻應(yīng)具備集中管理功能。

（4）阻擋外部攻擊。如果用戶(hù)發(fā)送的信息是防火墻設(shè)置所不允許的，防火墻會(huì)立即將其阻斷，避免其進(jìn)入防火墻之后的網(wǎng)絡(luò)中。

（5）自身的安全和可用性。防火墻要保證自身的安全不被非法侵入，保證正常的運(yùn)作。如果防火墻被侵入，防火墻的安全策略被修改，這樣內(nèi)網(wǎng)就變得不安全。

（6）數(shù)據(jù)包的透明轉(zhuǎn)發(fā)。由于防火墻一般部署在提供某些服務(wù)或應(yīng)用的服務(wù)器前。用戶(hù)對(duì)服務(wù)器的訪(fǎng)問(wèn)的請(qǐng)求與服務(wù)器反饋給用戶(hù)的信息，都需要經(jīng)過(guò)防火墻的轉(zhuǎn)發(fā)。因此，防火墻具備網(wǎng)關(guān)功能，方便數(shù)據(jù)包的轉(zhuǎn)發(fā)。

3防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的運(yùn)用

從整體上來(lái)說(shuō)，計(jì)算機(jī)網(wǎng)絡(luò)安全是通過(guò)網(wǎng)絡(luò)的管理控制，以及技術(shù)的解決辦法，確保在網(wǎng)絡(luò)的環(huán)境中，保護(hù)數(shù)據(jù)進(jìn)行使用和保密，及完整性。計(jì)算機(jī)網(wǎng)絡(luò)安全主要有物理和邏輯安全。但是根據(jù)使用者的不一樣，對(duì)網(wǎng)絡(luò)安全的理解也就會(huì)不一樣。如：一般的使用者認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)安全就是在網(wǎng)絡(luò)上傳自己的隱私或者是重要的信息時(shí)，能夠保護(hù)信息不能被竊聽(tīng)和篡改，以及偽造。而網(wǎng)絡(luò)的供應(yīng)商們則認(rèn)為，除了保證網(wǎng)絡(luò)信息的安全，還要考慮各種對(duì)網(wǎng)絡(luò)硬件破壞因素的保護(hù)，以及在出現(xiàn)異常時(shí)恢復(fù)網(wǎng)絡(luò)通信的保護(hù)。

(1）加密技術(shù)。即信息的發(fā)送方先對(duì)信息做加密處理，密碼由和接收方掌握，接收方接收到經(jīng)過(guò)加密處理的信息后，用解密密鑰對(duì)信息進(jìn)行解密，從而完成一次安全的信息傳輸。加密措施利用密鑰來(lái)保障信息傳輸?shù)陌踩浴?/p>

(2）身份驗(yàn)證。通過(guò)對(duì)網(wǎng)絡(luò)用戶(hù)的使用授權(quán)，在信息的發(fā)送方和接收方之間通過(guò)身份認(rèn)證，建立起相對(duì)安全的信息通道，這樣可以有效防止未經(jīng)授權(quán)的非法用戶(hù)的介入。

(3）防病毒技術(shù)。主要涉及對(duì)病毒的預(yù)防、檢測(cè)以及清除三方面。

其一，在網(wǎng)絡(luò)建設(shè)中，安裝防火墻對(duì)互聯(lián)網(wǎng)之間的交換信息按照某種規(guī)則進(jìn)行控制，構(gòu)

成一道安全屏障來(lái)保護(hù)內(nèi)網(wǎng)與外網(wǎng)間的信息和數(shù)據(jù)傳輸，確保網(wǎng)絡(luò)不被其他未經(jīng)授權(quán)的第三方侵入。

其二，網(wǎng)絡(luò)的連接如果是由路由器和互聯(lián)網(wǎng)相連，服務(wù)器有004km.cnmon firewall technology

Deluxe Zhang

Abstract:

It’s well known that computer network is a double-edged sword.It can not only provide us with great openness and convenience, but also increase the possibility of damaged or violated private information and data.To begin with，this article will relate the current risks of network security and explain main reasons of the network security problems.Then, the firewall emerged due to the threats of network security, what’s more, it’s the key technology to network security.In essence, firewall the isolation technique, while its main idea is creating a relative safety sub-network environment in an unsafety network environment.This article analyses several important aspects of firewall from thebasic security functions, architecture and the main means of achieving the firewall with configuration.Key words：Network security，F(xiàn)irewall，The type of firewall

第四篇：網(wǎng)絡(luò)安全技術(shù)論文

從360和騰訊事件看網(wǎng)絡(luò)信息安全

李婭楠

（中國(guó)民航大學(xué) 理學(xué)院 090243116）

摘要：闡述了網(wǎng)絡(luò)信息安全的內(nèi)涵，網(wǎng)絡(luò)安全的組成，威脅網(wǎng)絡(luò)安全的因素及相應(yīng)應(yīng)對(duì)措施。在此基礎(chǔ)上論文指出對(duì)于網(wǎng)絡(luò)安全教育和管理的加強(qiáng)是十分必要的，因此應(yīng)加強(qiáng)信息安全學(xué)科建設(shè)和人才培養(yǎng)，確保我國(guó)的信息安全。

關(guān)鍵詞：網(wǎng)絡(luò)信息安全威脅因素 網(wǎng)絡(luò)安全技術(shù)

最近，360殺毒軟件和QQ聊天軟件的爭(zhēng)斗在網(wǎng)絡(luò)上掀起了滔天巨浪。為此，有關(guān)QQ涉嫌窺探個(gè)人電腦隱私、奇虎360、金山等安全軟件公司紛紛發(fā)布電腦隱私保護(hù)器軟件，旨在應(yīng)對(duì)或保護(hù)個(gè)人電腦隱私，一場(chǎng)由信息安全、個(gè)人隱私引發(fā)的“企業(yè)恩怨”正在上演。在這次事件中，360認(rèn)為騰訊掃描用戶(hù)硬盤(pán)，查看用戶(hù)隱私；騰訊則認(rèn)為360影響其程序運(yùn)行，為此引發(fā)兩者一系列爭(zhēng)斗，并且斗爭(zhēng)愈演愈烈，最終殃及用戶(hù)。作為第三方，我并不關(guān)心這兩家公司誰(shuí)輸誰(shuí)贏，重要的是，透過(guò)這個(gè)現(xiàn)象，讓我意識(shí)到，這場(chǎng)利益爭(zhēng)奪戰(zhàn)帶來(lái)的影響，已經(jīng)遠(yuǎn)遠(yuǎn)超出了這兩家公司業(yè)務(wù)的范疇。我們應(yīng)該跳出360與騰訊的恩怨，清醒意識(shí)并正確認(rèn)識(shí)到網(wǎng)絡(luò)信息安全的重要性。

計(jì)算機(jī)網(wǎng)絡(luò)安全(Network Security)是一門(mén)涉及計(jì)算機(jī)科學(xué)，網(wǎng)絡(luò)技術(shù)，通信技術(shù)，密碼技術(shù)，信息安全技術(shù)，應(yīng)用數(shù)學(xué)，數(shù)論，信息論等多種學(xué)科的綜合性科學(xué)。國(guó)際標(biāo)準(zhǔn)化組織（ISO）將“計(jì)算機(jī)網(wǎng)絡(luò)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷?！鄙鲜鲇?jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說(shuō)的網(wǎng)絡(luò)上的信息安全，是指對(duì)信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。當(dāng)然，網(wǎng)絡(luò)安全的具體含義會(huì)隨著“角度”的變化而變化。比如：從用戶(hù)（個(gè)人、企業(yè)等）角度，他們希望涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)，避免其他人利用竊聽(tīng)、冒充、篡改、抵賴(lài)等手段侵犯用戶(hù)的利益和隱私。從網(wǎng)絡(luò)運(yùn)行和管理者角度說(shuō)，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪(fǎng)問(wèn)、讀寫(xiě)等操作受到保護(hù)和控制，避免出現(xiàn)“陷門(mén)”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。對(duì)安全保密部門(mén)來(lái)說(shuō)，他們希望對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行過(guò)濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成巨大損失。從社會(huì)教育和意識(shí)形態(tài)角度來(lái)講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類(lèi)的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。

計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來(lái)說(shuō)，主要由防病毒、防火墻、入侵檢測(cè)等多個(gè)安全組件組成，一個(gè)單

獨(dú)的組件無(wú)法確保網(wǎng)絡(luò)信息的安全性。早期的網(wǎng)絡(luò)防護(hù)技術(shù)的出發(fā)點(diǎn)是首先劃分出明確的網(wǎng)絡(luò)邊界，然后通過(guò)在網(wǎng)絡(luò)邊界處對(duì)流經(jīng)的信息利用各種控制方法進(jìn)行檢查，只有符合規(guī)定的信息才可以通過(guò)網(wǎng)絡(luò)邊界，從而達(dá)到阻止對(duì)網(wǎng)絡(luò)攻擊、入侵的目的。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計(jì)算機(jī)和網(wǎng)絡(luò)安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過(guò)了計(jì)算機(jī)病毒的種類(lèi)，而且許多攻擊都是致命的。

近年來(lái)隨著Internet的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的資源共享進(jìn)一步加強(qiáng)，隨之而來(lái)的信息安全問(wèn)題日益突出。據(jù)美國(guó)FBI統(tǒng)計(jì)，美國(guó)每年網(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失高達(dá)75億美元。而全球平均每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)侵入事件。在Internet/Intranet的大量應(yīng)用中，Internet/Intranet安全面臨著重大的挑戰(zhàn)，事實(shí)上，資源共享和安全歷來(lái)是一對(duì)矛盾。在一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境中，大量信息在網(wǎng)上流動(dòng)，這為不法分子提供了攻擊目標(biāo)。而且計(jì)算機(jī)網(wǎng)絡(luò)組成形式多樣性、終端分布廣和網(wǎng)絡(luò)的開(kāi)放性、互聯(lián)性等特征更為他們提供便利。他們利用不同的攻擊手段，獲得訪(fǎng)問(wèn)或修改在網(wǎng)中流動(dòng)的敏感信息，闖入用戶(hù)或政府部門(mén)的計(jì)算機(jī)系統(tǒng)，進(jìn)行窺視、竊取、篡改數(shù)據(jù)。不受時(shí)間、地點(diǎn)、條件限制的網(wǎng)絡(luò)詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長(zhǎng)。使得針對(duì)計(jì)算機(jī)信息系統(tǒng)的犯罪活動(dòng)日益增多。

計(jì)算機(jī)的安全體系是一個(gè)層次對(duì)的體系，從高到低的層次關(guān)系如下圖所示：

其中網(wǎng)絡(luò)安全是最高級(jí)的安全，它是指保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件，軟件及其數(shù)據(jù)不受惡意或偶然的導(dǎo)致破壞，更改或泄漏，使系統(tǒng)連續(xù)可靠正常運(yùn)行，使網(wǎng)絡(luò)服務(wù)不中斷。

而從人為（黑客）角度來(lái)看，常見(jiàn)的計(jì)算機(jī)網(wǎng)絡(luò)安全威脅主要有：信息泄露、完整性破壞、拒絕服務(wù)、網(wǎng)絡(luò)濫用。

信息泄露：信息泄露破壞了系統(tǒng)的保密性，他是指信息被透漏給非授權(quán)的實(shí)體。常見(jiàn)的，能夠?qū)е滦畔⑿孤兜耐{有：網(wǎng)絡(luò)監(jiān)聽(tīng)、業(yè)務(wù)流分析、電磁、射頻截獲、人員的有意或無(wú)意、媒體清理、漏洞利用、授權(quán)侵犯、物理侵入、病毒、木馬、后門(mén)、流氓軟件、網(wǎng)絡(luò)釣魚(yú)。

完整性破壞：可以通過(guò)漏洞利用、物理侵犯、授權(quán)侵犯、病毒，木馬，漏洞來(lái)等方式實(shí)現(xiàn)。拒絕服務(wù)攻擊：對(duì)信息或資源可以合法的訪(fǎng)問(wèn)卻被非法的拒絕或者推遲與時(shí)間密切相關(guān)的操作。

網(wǎng)絡(luò)濫用：合法的用戶(hù)濫用網(wǎng)絡(luò)，引入不必要的安全威脅，包括非法外聯(lián)、非法內(nèi)聯(lián)、移動(dòng)風(fēng)險(xiǎn)、設(shè)備濫用、業(yè)務(wù)濫用。

常見(jiàn)的計(jì)算機(jī)網(wǎng)絡(luò)安全威脅的表現(xiàn)形式主要有：竊聽(tīng)、重傳、偽造、篡改、拒絕服務(wù)攻擊、行為否認(rèn)、電子欺騙、非授權(quán)訪(fǎng)問(wèn)、傳播病毒。

竊聽(tīng)：攻擊者通過(guò)監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)的手段獲得重要的信息，從而導(dǎo)致網(wǎng)絡(luò)信息的泄密。重傳：攻擊者事先獲得部分或全部信息，以后將此信息發(fā)送給接收者。

篡改：攻擊者對(duì)合法用戶(hù)之間的通訊信息進(jìn)行修改、刪除、插入，再將偽造的信息發(fā)送給接收者，這就是純粹的信息破壞，這樣的網(wǎng)絡(luò)侵犯者被稱(chēng)為積極侵犯者。積極侵犯者的破壞作用最大。拒絕服務(wù)攻擊：攻擊者通過(guò)某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓，阻止合法用戶(hù)獲得服務(wù)。行為否認(rèn)：通訊實(shí)體否認(rèn)已經(jīng)發(fā)生的行為。

電子欺騙：通過(guò)假冒合法用戶(hù)的身份來(lái)進(jìn)行網(wǎng)絡(luò)攻擊，從而達(dá)到掩蓋攻擊者真實(shí)身份，嫁禍他人的目的.非授權(quán)訪(fǎng)問(wèn)：沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪(fǎng)問(wèn)。

傳播病毒：通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性非常高，而且用戶(hù)很難防范。

當(dāng)然，除了人為因素，網(wǎng)絡(luò)安全還在很大部分上由網(wǎng)絡(luò)內(nèi)部的原因或者安全機(jī)制或者安全工具本身的局限性所決定，他們主要表現(xiàn)在：每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境、安全工具的使用受到人為因素的影響、系統(tǒng)的后門(mén)是傳統(tǒng)安全工具難于考慮到的地方、只要是程序，就可能存在BUG。而這一系列的缺陷，更加給想要進(jìn)行攻擊的人以方便。所以，網(wǎng)絡(luò)安全問(wèn)題可以說(shuō)是由人所引起的。因此，對(duì)于網(wǎng)絡(luò)安全教育和管理的加強(qiáng)是十分必要的，與此相關(guān)的加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的對(duì)策措施有：1.對(duì)工作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個(gè)方面安全問(wèn)題，進(jìn)行安全教育，提高工作人員的安全觀念和責(zé)任心；加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操作技能；教育工作人員嚴(yán)格遵守操作規(guī)程和各項(xiàng)保密規(guī)定，防止人為事故的發(fā)生。同時(shí)，要保護(hù)傳輸線(xiàn)路安全。對(duì)于傳輸線(xiàn)路，應(yīng)有露天保護(hù)措施或埋于地下，并要求遠(yuǎn)離各種輻射源，以減少各種輻__射引起的數(shù)據(jù)錯(cuò)誤；線(xiàn)纜鋪設(shè)應(yīng)當(dāng)盡可能使用光纖，以減少各種輻射引起的電磁泄漏和對(duì)發(fā)送線(xiàn)路的干擾。要定期檢查連接情況，以檢測(cè)是否有搭線(xiàn)竊聽(tīng)、非法外連或破壞行為。

2.運(yùn)用網(wǎng)絡(luò)加密技術(shù)：網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種：①鏈接加密。在網(wǎng)絡(luò)節(jié)點(diǎn)間加密，在節(jié)點(diǎn)間傳輸加密的信息，傳送到節(jié)點(diǎn)后解密，不同節(jié)點(diǎn)間用不同的密碼。②節(jié)點(diǎn)加密。與鏈接加密類(lèi)似，不同的只是當(dāng)數(shù)據(jù)在節(jié)點(diǎn)間傳送時(shí)，不用明碼格式傳送，而是用特殊的加密硬件進(jìn)行解密和重加密，這種專(zhuān)用硬件通常放置在安全保險(xiǎn)箱中。③首尾加密。對(duì)進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)加密，然后待數(shù)據(jù)從網(wǎng)絡(luò)傳送出后再進(jìn)行解密。網(wǎng)絡(luò)的加密技術(shù)很多，在實(shí)際應(yīng)用中，人們通常根據(jù)各種加密算法結(jié)合在一起使用，這樣可以更加有效地加強(qiáng)網(wǎng)絡(luò)的完全性。網(wǎng)絡(luò)加密技術(shù)也是網(wǎng)絡(luò)安全最有效的技術(shù)之一。既可以對(duì)付惡意軟件攻

擊，又可以防止非授權(quán)用戶(hù)的訪(fǎng)問(wèn)。

3.加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制：訪(fǎng)問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪(fǎng)問(wèn)，也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。訪(fǎng)問(wèn)控制技術(shù)主要包括入網(wǎng)訪(fǎng)問(wèn)控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級(jí)安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。根據(jù)網(wǎng)絡(luò)安全的等級(jí)、網(wǎng)絡(luò)空間的環(huán)境不同，可靈活地設(shè)置訪(fǎng)問(wèn)控制的種類(lèi)和數(shù)量。

4.使用防火墻技術(shù)：采用防火墻技術(shù)是解決網(wǎng)絡(luò)安全問(wèn)題的主要手段。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來(lái)越多地應(yīng)用于專(zhuān)用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。防火墻是在網(wǎng)絡(luò)之間執(zhí)行訪(fǎng)問(wèn)控制策略的系統(tǒng)，通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況。具備檢查、阻止信息流通過(guò)和允許信息流通過(guò)兩種管理機(jī)制，并且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻可以有效地監(jiān)控內(nèi)部網(wǎng)和Internet 之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻的應(yīng)用可最大限度地保障網(wǎng)絡(luò)的正常運(yùn)行，它可以起著提高內(nèi)部網(wǎng)絡(luò)的安全性、強(qiáng)化網(wǎng)絡(luò)安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡(luò)防毒、信息加密、存儲(chǔ)通信、授權(quán)、認(rèn)證等重要作用。

對(duì)于此次360騰訊事件，且不論騰訊是否窺探了我們的隱私，透過(guò)此次騰訊與360之間的爭(zhēng)奪戰(zhàn)，我們應(yīng)該正確認(rèn)識(shí)到信息安全與隱私保護(hù)的必要性?，F(xiàn)今計(jì)算機(jī)及網(wǎng)絡(luò)已成為我們不可或缺的工具，然而計(jì)算機(jī)及網(wǎng)絡(luò)在給我們帶來(lái)極大方便的同時(shí)，也隱藏著巨大的危機(jī)和漏洞。即使對(duì)于計(jì)算機(jī)專(zhuān)業(yè)人士來(lái)講，如果不是頂層設(shè)計(jì)人員，都很難搞清屏幕之下，到底有多少代碼在悄悄地窺視。這次兩個(gè)國(guó)產(chǎn)軟件商的紛爭(zhēng)，可以說(shuō)把神秘的網(wǎng)絡(luò)風(fēng)險(xiǎn)揭開(kāi)了一角。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，絕對(duì)安全是不存在的，而計(jì)算機(jī)網(wǎng)絡(luò)信息安全的工作貫穿于計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)、發(fā)展的始終，這就需要我們時(shí)刻重視，不斷學(xué)習(xí)，才能確保計(jì)算機(jī)網(wǎng)絡(luò)的安全、可靠地運(yùn)行?？傊W(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問(wèn)題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問(wèn)題，而不是萬(wàn)能的。為此建立有中國(guó)特色的網(wǎng)絡(luò)安全體系，需要國(guó)家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開(kāi)發(fā)。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來(lái)也是一個(gè)隨著 新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

參考文獻(xiàn)：

[1]朱理森,張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專(zhuān)利文獻(xiàn)出版社，2001.[2]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第4版)[M].北京:電子工業(yè)出版社,2003

[3]張民,徐躍進(jìn).網(wǎng)絡(luò)安全實(shí)驗(yàn)教程，清華大學(xué)出版社，2007，6.

第五篇：網(wǎng)絡(luò)安全與技術(shù)

網(wǎng) 絡(luò) 安 全 與 技 術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全之防火墻概述

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的普及和越來(lái)越廣泛地應(yīng)用于工業(yè)、農(nóng)業(yè)、交通等國(guó)民經(jīng)濟(jì)各個(gè)領(lǐng)域和國(guó)防建設(shè)和軍事領(lǐng)域,計(jì)算機(jī)網(wǎng)絡(luò)時(shí)常出現(xiàn)的安全問(wèn)題日益增多,存在的安全隱患,促使人們采取各種方案保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全。21世紀(jì)全世界的計(jì)算機(jī)都將通過(guò)Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專(zhuān)門(mén)的領(lǐng)域變成了無(wú)處不在。當(dāng)人類(lèi)步入21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候，我們將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國(guó)自己特色的網(wǎng)絡(luò)安全體系。

一個(gè)國(guó)家的信息安全體系實(shí)際上包括國(guó)家的法規(guī)和政策，以及技術(shù)與市場(chǎng)的發(fā)展平臺(tái)。我國(guó)在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí)，應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品，我們要想真正解決網(wǎng)絡(luò)安全問(wèn)題，最終的辦法就是通過(guò)發(fā)展民族的安全產(chǎn)業(yè)，帶動(dòng)我國(guó)網(wǎng)絡(luò)安全技術(shù)的整體提高。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn)：第一，網(wǎng)絡(luò)安全來(lái)源于安全策略與技術(shù)的多樣

于(Checkpoint)。使用這類(lèi)防火墻，需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。

2.硬件防火墻

這里說(shuō)的硬件防火墻是指“所謂的硬件防火墻”。之所以加上所謂二字是針對(duì)芯片級(jí)防火墻說(shuō)的了。它們最大的差別在于是否基于專(zhuān)用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說(shuō)，它們和普通的家庭用的PC沒(méi)有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng)，最常用的有老版本的(Unix、Linux和FreeBSD)系統(tǒng)。值得注意的是，由于此類(lèi)防火墻采用的依然是別人的內(nèi)核，因此依然會(huì)受到OS操作系統(tǒng)本身的安全性影響。

傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口，分別接(內(nèi)網(wǎng)，外網(wǎng)和DMZ區(qū))非軍事化區(qū)，現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口，常見(jiàn)四端口防火墻一般將第四個(gè)端口做為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。

3.芯片級(jí)防火墻

“芯片級(jí)”防火墻基于專(zhuān)門(mén)的硬件平臺(tái)，沒(méi)有操作系統(tǒng)。專(zhuān)有的ASIC芯片促使它們比其他種類(lèi)的防火墻速度更快，處理能力更強(qiáng)，性能更高。做這類(lèi)防火墻最出名的廠商有(NetScreen、FortiNet、Cisco)等。這類(lèi)防火墻由于是專(zhuān)用OS操作系統(tǒng),因此防火墻本身的漏洞比較少，不過(guò)價(jià)格相對(duì)比較高昂。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類(lèi)型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。

1.包過(guò)濾型

包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)

4.監(jiān)測(cè)型

監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來(lái)自?xún)?nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品

雖然監(jiān)測(cè)型防火墻安全性上已超越了包過(guò)濾型和代理服務(wù)器型防火墻,但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開(kāi)始使用監(jiān)測(cè)型防火墻?；趯?duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶(hù)可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)代理服務(wù)器(也稱(chēng)應(yīng)用網(wǎng)關(guān))也集成了包過(guò)濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過(guò)濾。例如,它可以過(guò)濾掉FTP連接中的PUT命令,而且通過(guò)代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。

當(dāng)前信息安全技術(shù)發(fā)展迅速，但沒(méi)有任一種解決方案可以防御所有危及信息安全的攻擊，這是“矛”與“盾”的問(wèn)題，需要不斷吸取新的技術(shù)，取眾家所長(zhǎng)，才能使“盾”更堅(jiān)，以防御不斷鋒利的“矛”，因此，要不斷跟蹤新技術(shù)，對(duì)所采用的信息安全技術(shù)進(jìn)行升級(jí)完善，以確保相關(guān)利益不受侵犯。

我國(guó)信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開(kāi)發(fā)尚處于起步階段，就更需要我們?nèi)パ芯俊㈤_(kāi)發(fā)和探索，以走有中國(guó)特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，趕上或超過(guò)發(fā)達(dá)國(guó)家的水平，以此保證我國(guó)網(wǎng)絡(luò)信息的安全，推動(dòng)我國(guó)圍民經(jīng)濟(jì)的高速發(fā)展。