1、<p>　　論計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)</p><p><b>　　摘 要</b></p><p>　　網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，網(wǎng)絡(luò)安全涉及的內(nèi)容有三個(gè)方面：包括安全管理、安全技術(shù)、安全設(shè)備。從技術(shù)上來說，網(wǎng)絡(luò)安全由安全的操作系統(tǒng)、應(yīng)用軟件、防火墻、網(wǎng)絡(luò)監(jiān)控、通信加密、災(zāi)難恢復(fù)、安全掃描等多個(gè)安全組件來保證的。</p><

2、;p>　　本文首先從網(wǎng)絡(luò)安全和防護(hù)的定義入手，闡述了關(guān)于網(wǎng)絡(luò)安全與防護(hù)工作在國際和國內(nèi)的發(fā)展現(xiàn)狀，使讀者從總體上對這門學(xué)科有了初步的認(rèn)識(shí)。</p><p>　　其次對經(jīng)典常見的網(wǎng)絡(luò)攻擊行為和不安全因素進(jìn)行了深度的剖析，分析了其工作的原理，并提出了對其防護(hù)的可行性和有效性的建議。</p><p>　　最后通過對這些不安全因素的剖析，提出了當(dāng)今社會(huì)比較突出的解決方法，并逐一分析了他們實(shí)現(xiàn)

3、的工作原理，以及深入了解其工作的過程。 </p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)安全，防火墻，網(wǎng)絡(luò)防護(hù)</p><p>　　Computer Network Security and Protection Research</p><p><b>　　Abstract</b></p><p>　　Essence of netw

4、ork security on the network information security , About the content of network security has three aspects: Including the Safety Management, Security technology, safety equipment. Through technically, Network security fr

5、om the safety of the operating system, application software, firewalls, network monitoring, communication, encryption, disaster recovery, Security scanning and other security components to guarantee.</p><p>

6、　　In this paper, network security and protection from the definition of the beginning，Elaborates on the network security and protection work in the development of international and domestic situation，So that readers in g

7、eneral, this subject had an initial understanding.</p><p>　　Second, the classical behavior of common network attacks and insecurity in-depth analysis of the factors，Analysis of the principle of its work and

8、put forward the feasibility and effectiveness of its protective recommendations.</p><p>　　The final adoption of the analysis of these factors of insecurity,Made more prominent in today's society a soluti

9、on, And to analyze the working principle of their realization, as well as in-depth understanding of their work process.</p><p>　　Key word : Network Security Firewall Network Protection</p><p>

10、<b>　　目 錄</b></p><p>　　1 緒論………………………………………………………..………………..…………….4</p><p>　　1.1 課題背景及目的……………………………………………………………………4</p><p>　　1.2 國內(nèi)外研究狀況……………………………………………………………………4

11、</p><p>　　1.3 論文構(gòu)成及研究內(nèi)容………………………………………………………………6</p><p>　　2 網(wǎng)絡(luò)攻擊行為技術(shù)特點(diǎn)分析……….…………………………………………………...6</p><p>　　2.1 拒絕服務(wù)DoS……………..………………………………………………………..5</p><p>　　2.1.

12、1 淹沒…………………………………………….…………………………...5</p><p>　　2.1.2 Smurfing拒絕服務(wù)……….………………………………………………...6</p><p>　　2.1.3 分片攻擊……………………………………….…………………………...7</p><p>　　2.1.4 分布式拒絕服務(wù)攻擊DDoS……………………

13、……………….……..……8</p><p>　　2.1.5 拒絕服務(wù)攻擊小結(jié)…………………………………………………………8</p><p>　　2.2 惡意軟件 ……………….………………….….…………………………………...8</p><p>　　2.2.1 邏輯炸彈……………………………………….…………………………...8</p>&l

14、t;p>　　2.2.2 后門…………………………………………………………………………8</p><p>　　2.2.3 蠕蟲…………………………………………………………………………9</p><p>　　2.2.4 病毒…………………………………………………………………………9</p><p>　　2.2.5 特洛伊………………………………………………

15、………………………9</p><p>　　2.3 利用脆弱性 …………….….….…………………………………………………...10</p><p>　　2.3.1 訪問權(quán)限……………………………………….…………………………...10</p><p>　　2.3.2 緩沖區(qū)溢出…………………………………………………………………10</p><

16、;p>　　2.3.3 信息流泄露………………………………………….……………………...10</p><p>　　2.3.4 利用脆弱性小結(jié)……………………………………….…………………...10</p><p>　　2.4 操縱IP包 …………….…………..………………………………………...……...11</p><p>　　2.4.1 端口欺騙

17、……………………………………….…………………………...11</p><p>　　2.4.2 盲IP欺騙……………………………………………………...……………11</p><p>　　2.4.3 IP操縱小結(jié)…………………………………………………....……………11</p><p>　　2.5 內(nèi)部攻擊 ….…………….…….……………………………………

18、……………...12</p><p>　　2.5.1 后門守護(hù)程序………………………………….…………………………...12</p><p>　　2.5.2 日志修改……………………………………………………………………12</p><p>　　2.5.3 隱蔽…………………………………………………………………………12</p><p>

19、　　2.5.4 非盲欺騙……………………………………………………………………12</p><p>　　2.6 CGI攻擊 ….…………….…….…………………………………………………...13</p><p>　　2.6.1 低級(jí)CGI攻擊……………………………………….……………………...13</p><p>　　2.6.2 高級(jí)CGI攻擊…………………

20、……………………………………………13</p><p>　　2.6 小結(jié) ….…………….…….………………………………………………………...13</p><p>　　3 網(wǎng)絡(luò)安全防護(hù)系統(tǒng)實(shí)現(xiàn)策略…………………………….……...…….………………....14</p><p>　　3.1 網(wǎng)絡(luò)安全的目標(biāo)…………………………………………………….……………..

21、.14</p><p>　　3.2 防火墻…………………………………...….……………………….……………...15</p><p>　　3.2.1 防火墻功能和安全策略…………………………….……………………...16</p><p>　　3.2.2 防火墻工作原理…………………………………….……………………...17</p><p&

22、gt;　　3.2.3 防火墻關(guān)鍵技術(shù)…………………………………….……………………...17</p><p>　　3.2.4 防火墻體系結(jié)構(gòu)…………………………………….……………………...20</p><p>　　3.3 入侵檢測技術(shù)…………………………...….……………………….……………...22</p><p>　　3.3.1 入侵檢測的基本原理

23、……………………………….……………………...22</p><p>　　3.3.2 入侵檢測的系統(tǒng)功能及其結(jié)構(gòu)…………………….……………………...23</p><p>　　3.3.3 入侵檢測策略……………………………………….……………………...25</p><p>　　3.3.4 入侵檢測的分析技術(shù)……………………………….……………………...2

24、5</p><p>　　3.3.4 入侵檢測的分析方法…………………….………………………………...27</p><p>　　3.4 安全審計(jì)技術(shù)………………………………….…………………………………...30</p><p>　　3.2.1 安全審計(jì)系統(tǒng)的定義和要求……………………………….……………...30</p><p>　　

25、3.2.2 安全審計(jì)的功能…………………………….……………………………...31</p><p>　　3.2.2 安全審計(jì)的范圍…………………………….……………………………...31</p><p>　　3.2.2 安全審計(jì)的過程…………………………….……………………………...32</p><p>　　3.2.2 安全審計(jì)的實(shí)現(xiàn)方式………………………

26、…….………………………...33</p><p>　　3.2.2 安全監(jiān)控…………………………….………………..…………………...33</p><p>　　結(jié)束語……………………………………………………………………………………….35</p><p>　　致謝…………………………………………………………………………………………..35</p>

27、<p>　　參考文獻(xiàn)……………………………………………………………………………………..36</p><p><b>　　1 緒論</b></p><p>　　1.1 選課的背景和目的</p><p>　　隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用和迅猛發(fā)展，全球信息化進(jìn)程被不斷推向深入。網(wǎng)絡(luò)資源共享和信息安全本身就是一對矛盾體，資源共享性越強(qiáng)，網(wǎng)

28、絡(luò)系統(tǒng)的脆弱性和網(wǎng)絡(luò)安全的復(fù)雜性也就越強(qiáng)。 因此，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)必須采用針對各種不同威脅的安全措施，使硬件和軟件相結(jié)合，技術(shù)和管理相補(bǔ)充，建立全方位的網(wǎng)絡(luò)安全管理體系， 才能保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定、高效地運(yùn)行。由于計(jì)算機(jī)信息有共享和易于擴(kuò)散等特性，它在處理、存儲(chǔ)、傳輸和使用上有著嚴(yán)重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡改、冒充和破壞，還有可能受到計(jì)算機(jī)病毒的感染。國際標(biāo)準(zhǔn)化組織將“信息系統(tǒng)安全”定義為“為

29、數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。”此概念偏重于靜態(tài)信息保護(hù)。也有人將“信息系統(tǒng)安全”定義為“計(jì)算機(jī)的硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常運(yùn)行?！痹摱x著重于動(dòng)態(tài)意義描述。信息系統(tǒng)安全的內(nèi)容應(yīng)包括兩方面即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括信息完整</

30、p><p>　　網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。 具體來說，網(wǎng)絡(luò)安全是指通過各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其數(shù)據(jù)資源受到保護(hù)，避免因黑客、惡意軟件、系統(tǒng)漏洞等威脅使數(shù)據(jù)資源遭到破壞。</p><p>　　網(wǎng)絡(luò)安全方面的研究事關(guān)國民經(jīng)濟(jì)的正常運(yùn)轉(zhuǎn)和國家安全，處于信息科學(xué)和技術(shù)的研究前沿，不僅屬于

31、具有理論和應(yīng)用價(jià)值，還具有巨大的社會(huì)和經(jīng)濟(jì)意義。</p><p>　　1.2 國內(nèi)外研究現(xiàn)狀</p><p>　　網(wǎng)絡(luò)安全技術(shù)發(fā)展至今已有兒十年的歷史，其中人約經(jīng)過了二個(gè)階段。先是最初的識(shí)別驗(yàn)證技術(shù)和訪問控制策略。然后是防火墻技術(shù)，它土要是通過編寫各種規(guī)則，可以過濾掉一些違反規(guī)則的數(shù)據(jù)包，從而增強(qiáng)站點(diǎn)的安全性能。前兩種策略都是十分有效的安全措施，至今仍在廣泛使用，但網(wǎng)絡(luò)黑客一旦通過某些手段

32、繞過它們的警戒線，系統(tǒng)對黑客的破壞活動(dòng)就變得視若無睹。為了能實(shí)時(shí)地監(jiān)控網(wǎng)絡(luò)用戶的行為，入侵檢測技術(shù)近年來迅速發(fā)展起來。從近年的計(jì)算機(jī)安全技術(shù)論壇年會(huì)可以看到，入侵檢測技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)研究問題。</p><p>　　在入侵檢測技術(shù)發(fā)展的初期，檢測方法比較簡單，而且設(shè)計(jì)、使用的大多是基于主機(jī)的入侵檢測系統(tǒng)。隨著網(wǎng)絡(luò)應(yīng)用的迅速普及和入侵檢測方法、技術(shù)的進(jìn)一步發(fā)展，使得當(dāng)前入侵檢測系統(tǒng)的應(yīng)用方向轉(zhuǎn)向網(wǎng)絡(luò)，尤

33、其是面向廠一域網(wǎng)，對大型網(wǎng)絡(luò)進(jìn)行保護(hù)。對域網(wǎng)范圍的入侵活動(dòng)如蠕蟲、分布式協(xié)作攻擊進(jìn)行檢測和必要的入侵反應(yīng)機(jī)制如自動(dòng)響應(yīng)、對入侵者進(jìn)行跟蹤并發(fā)現(xiàn)其源頭，是當(dāng)前網(wǎng)絡(luò)入侵檢測系統(tǒng)研究的重點(diǎn)。</p><p>　　目前國際上入侵檢測的研究主要集中在美國，而且有許多研究得到政府和軍方的支持剛，由此可見美國政府對這方面研究的重視程度。美國進(jìn)行入侵檢測研究的主要機(jī)構(gòu)有加利福尼亞大學(xué)分校安全實(shí)驗(yàn)室、斯坦福國際研究所計(jì)算機(jī)科學(xué)實(shí)驗(yàn)

34、室、大學(xué)的、新墨西哥大學(xué)等。</p><p>　　在民用方面，有許多公司開發(fā)了多種入侵檢測具，如NFR網(wǎng)絡(luò)飛行記錄儀，ISS的Realsecure,Axent的NetProwler和CISCO的NetRanger等。這些工具的功能比較完善而且有較強(qiáng)的實(shí)用性，能對大量攻擊和系統(tǒng)濫用特征進(jìn)行識(shí)別，并采取及時(shí)的入侵反應(yīng)措施，還能添加新的攻擊特征。</p><p>　　在國內(nèi)，近幾年計(jì)算機(jī)安全技術(shù)

35、特別是網(wǎng)絡(luò)安全技術(shù)己逐漸成為研究熱點(diǎn)。但在入侵檢測技術(shù)方面的研究還剛剛起步，處于跟蹤國外技術(shù)階段。特別是投入實(shí)際使用的入侵檢測系統(tǒng)產(chǎn)品很少，系統(tǒng)功能還比較簡單。在商用領(lǐng)域，僅有北京冠群金辰軟件有限公司的干將莫邪入侵檢測系統(tǒng)中科網(wǎng)威公司的入侵檢測系統(tǒng)等少數(shù)幾家公司或研究機(jī)構(gòu)的成型產(chǎn)品。</p><p>　　由于網(wǎng)絡(luò)安全與防護(hù)技術(shù)涉及許多敏感技術(shù)，國內(nèi)外技術(shù)交流受到很多阻礙。所以，在網(wǎng)絡(luò)安全與防護(hù)技術(shù)逐漸成為強(qiáng)化網(wǎng)絡(luò)

36、和打擊網(wǎng)絡(luò)犯罪的有效手段的重要時(shí)期，要想不落后于世界其他國家，必須加強(qiáng)在這方面的研究和實(shí)踐。檢測技術(shù)方面的研究還剛剛起步，處于跟蹤國外技術(shù)階段。特別是投入實(shí)際使用的入侵檢測系統(tǒng)產(chǎn)品很少，系統(tǒng)功能還比較簡單。在商用領(lǐng)域，僅有北京冠群金辰軟件有限公司的干將莫邪入侵檢測系統(tǒng)中科網(wǎng)威公司的入侵檢測系統(tǒng)等少數(shù)幾家公司或研究機(jī)構(gòu)的成型產(chǎn)品。</p><p>　　由于網(wǎng)絡(luò)安全與防護(hù)技術(shù)涉及許多敏感技術(shù)，國內(nèi)外技術(shù)交流受到很多阻

37、礙。所以，在網(wǎng)絡(luò)安全與防護(hù)技術(shù)逐漸成為強(qiáng)化網(wǎng)絡(luò)和打擊網(wǎng)絡(luò)犯罪的有效手段的重要時(shí)期，要想不落后于世界其他國家，必須加強(qiáng)在這方面的研究和實(shí)踐。</p><p>　　1.3 論文構(gòu)成及研究內(nèi)容</p><p><b>　　本文共分3章。</b></p><p>　　第一章緒論，闡述了本課題的研究目的和意義，分析研究了網(wǎng)絡(luò)安全的概念及其目標(biāo)，概括本文的

38、研究思路。</p><p>　　第二章本章從體系結(jié)構(gòu)標(biāo)準(zhǔn)入手，分析了當(dāng)前主流具有代表性的網(wǎng)絡(luò)風(fēng)險(xiǎn)，對其的技術(shù)原理做了簡單的分析，并提出了相應(yīng)的解決辦法。</p><p>　　第三章根據(jù)一樣的各種風(fēng)險(xiǎn)的分析，提出了比較有針對性的網(wǎng)絡(luò)防護(hù)安全的手段，以及實(shí)現(xiàn)的原理和策略。</p><p>　　2網(wǎng)絡(luò)攻擊行為技術(shù)特點(diǎn)分析</p><p>　　安全與

39、攻擊之間存在著不可分割的因果關(guān)系，如果在信息世界中不存在攻擊行為，似乎沒有太多的必要在這里討論安全。所以在本文中，把攻擊放在前面。在討論網(wǎng)絡(luò)安全防御系統(tǒng)方案之前，先分析一下目前因特網(wǎng)上各種黑客攻擊方法的技術(shù)特點(diǎn)，本章將對每種攻擊方法的技術(shù)原理作以簡單的分析，并提出相應(yīng)的應(yīng)對措施。</p><p><b>　　2.1拒絕服務(wù)</b></p><p><b>　

40、　2.1.1 淹沒</b></p><p>　　是指黑客向目標(biāo)主機(jī)發(fā)送大量的垃圾數(shù)據(jù)或者無效的請求，阻礙服務(wù)器的為</p><p>　　合法用戶提供正常服務(wù)。</p><p>　　2.1.2 Smurfing拒絕服務(wù)</p><p>　　Smurfing拒絕服務(wù)攻擊的主要原理黑客使用IP廣播和IP欺騙使Flooding攻擊的<

41、;/p><p>　　效果倍增，使用偽造的ICMPECHO REQUEST包發(fā)往目標(biāo)網(wǎng)絡(luò)的IP廣播地址。Smurfing攻擊的原理如圖2.1所示。ICMP是用來處理錯(cuò)誤和交換控制信息的，并且可以用來確定網(wǎng)絡(luò)上的某臺(tái)主機(jī)是否響應(yīng)。在一個(gè)網(wǎng)絡(luò)上，可以向某個(gè)單一主機(jī)也可以向局域網(wǎng)的廣播地址發(fā)送IP包。當(dāng)黑客向某個(gè)網(wǎng)絡(luò)的廣播地址發(fā)送ICMPECHO REQUEST包時(shí)，如果網(wǎng)絡(luò)的路由器對發(fā)往網(wǎng)絡(luò)廣播地址的ICMP包不進(jìn)行過濾，

42、則網(wǎng)絡(luò)內(nèi)部的所有主機(jī)都可以接收到該ICMP請求包，并且都要向ICMP包所指示的源地址回應(yīng)ICMP ECHO REPLAY包。如果黑客將發(fā)送的ICMP請求包的源地址偽造為被攻擊者的地址，則該網(wǎng)絡(luò)上所有主機(jī)的ICMP ECHO REPLAY包都要發(fā)往被攻擊的主機(jī)，不僅造成被攻擊者的主機(jī)出現(xiàn)流量過載，減慢甚至停止正常的服務(wù)，而且發(fā)出ICMP回應(yīng)包的中間受害網(wǎng)絡(luò)也會(huì)出現(xiàn)流量擁塞甚至網(wǎng)絡(luò)癱瘓?？梢哉f，Smurfing攻擊的受害者是黑客的攻擊目標(biāo)，

43、和無辜的充當(dāng)黑客攻擊工具的第三方網(wǎng)絡(luò)。</p><p>　　圖 2.1 Smurfing攻擊圖示</p><p>　　網(wǎng)絡(luò)應(yīng)采取的措施使其對于從本網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包，本網(wǎng)絡(luò)應(yīng)該將目的地為其他網(wǎng)絡(luò)的這部分?jǐn)?shù)據(jù)包過濾掉。雖然當(dāng)前的IP協(xié)議技術(shù)不可能消除IP偽造數(shù)據(jù)包，但使用過濾技術(shù)可以減少這種偽造發(fā)生的可能。</p><p>　　2.1.3 分片攻擊</p

44、><p>　　這種攻擊方法利用了TCP/IP協(xié)議的弱點(diǎn)，第一種形式的分片攻擊是，有一些TCP/IP協(xié)議實(shí)現(xiàn)中，對IP分段出現(xiàn)重疊時(shí)并不能正確地處理。例如，當(dāng)黑客遠(yuǎn)程向目標(biāo)主機(jī)發(fā)送的IP片段，然后在目標(biāo)主機(jī)上重新構(gòu)造成一個(gè)無效的UDP包，這個(gè)無效的UDP包使得目標(biāo)主機(jī)處于不穩(wěn)定狀態(tài)。一旦處于不穩(wěn)定狀態(tài)，被攻擊的目標(biāo)主機(jī)要么處于藍(lán)屏幕的停機(jī)狀態(tài)，要么死機(jī)或重新啟動(dòng)。類似這樣的黑客攻擊工具有Teardrop NewTear

45、 Bonk和Boink等。</p><p>　　第二種形式的分片攻擊是，一些TCP/IP的實(shí)現(xiàn)對出現(xiàn)一些特定的數(shù)據(jù)包會(huì)呈現(xiàn)出脆弱性。例如，當(dāng)黑客遠(yuǎn)程向目標(biāo)主機(jī)發(fā)出的SYN包，其源地址和端口與目標(biāo)主機(jī)的地址和端口一致時(shí)，目標(biāo)主機(jī)就可能死機(jī)或掛起。典型這樣的黑客工具是LAND。</p><p>　　2.1.4 分布式拒絕服務(wù)攻擊DDoS</p><p><b>

46、;　　傳統(tǒng)攻擊的缺點(diǎn)是：</b></p><p>　　1 受網(wǎng)絡(luò)資源的限制。黑客所能夠發(fā)出的無效請求數(shù)據(jù)包的數(shù)量要受到其主機(jī)出</p><p><b>　　口帶寬的限制；</b></p><p>　　2 隱蔽性差。如果從黑客本人的主機(jī)上發(fā)出拒絕服務(wù)攻擊，即使他采用偽造地址等手段加以隱蔽，從網(wǎng)絡(luò)流量異常這一點(diǎn)就可以大致判斷其位置，與合

47、作還是較容易定位和緝拿到黑客的。而卻克服了以上兩個(gè)致命弱點(diǎn)。</p><p>　　3 隱蔽性更強(qiáng)。通過間接操縱因特網(wǎng)上“無辜”的計(jì)算機(jī)實(shí)施攻擊，突破了傳</p><p>　　統(tǒng)攻擊方式從本地攻擊的局限性和不安全性。</p><p>　　4攻擊的規(guī)?？梢愿鶕?jù)情況做得很大，使目標(biāo)系統(tǒng)完全失去提供服務(wù)的功能。所以，分布式網(wǎng)絡(luò)攻擊體現(xiàn)了對黑客本人能力的急劇放大和對因特網(wǎng)上廣

48、闊資源的充分利用。由于攻擊點(diǎn)眾多，被攻擊方要進(jìn)行防范就更加不易。對Yahoo等世界上最著名站點(diǎn)的成功攻擊證明了這一點(diǎn)。</p><p>　　2.1.5 拒絕服務(wù)攻擊小結(jié)</p><p>　　分布式網(wǎng)絡(luò)攻擊DNA(Distributed Network Attacks)成為黑客的主要攻擊手段，這也是未來連接在因特網(wǎng)上機(jī)構(gòu)所面臨的嚴(yán)重威脅之一。DNA攻擊形式是隨著因特網(wǎng)快速發(fā)展的必然結(jié)果?，F(xiàn)在

49、是DDoS攻擊，那么下一次攻擊也許就是分布式欺騙(Distributed spoofing)、分布式監(jiān)聽(Distributed sniffing)、或者是分布式分段攻擊(Distributed FragmentationAttacks)從根本上還是要維護(hù)好上網(wǎng)主機(jī)的安全性。與之間、工與網(wǎng)絡(luò)管理員管理員之間相互協(xié)調(diào)合作，共同應(yīng)對DoS。</p><p><b>　　2.2惡意軟件</b>&l

50、t;/p><p><b>　　2.2.1邏輯炸彈</b></p><p>　　它是一種程序，在特定的條件下通常是由于漏洞會(huì)對目標(biāo)系統(tǒng)產(chǎn)生破壞作用。</p><p><b>　　2.2.2 后門</b></p><p>　　它是一種程序，允許黑客遠(yuǎn)程執(zhí)行任意命令。一般情況下，黑客攻破某個(gè)系統(tǒng)后，即使系統(tǒng)管

51、理員發(fā)現(xiàn)了黑客行為并堵住了系統(tǒng)的漏洞，為了能夠再次訪問該系統(tǒng)，黑客往往在系統(tǒng)中安放這樣的程序。</p><p><b>　　2.2.3 蠕蟲</b></p><p>　　它是一種獨(dú)立的程序，能夠繁殖并從一個(gè)系統(tǒng)到另一個(gè)系統(tǒng)傳播其自身的拷貝，通常在整個(gè)網(wǎng)絡(luò)上。像病毒一樣，蠕蟲可以直接破壞數(shù)據(jù)，或者因消耗系統(tǒng)資源而減低系統(tǒng)性能，甚至使整個(gè)網(wǎng)絡(luò)癱瘓。最著名的就是年因特網(wǎng)蠕蟲

52、事件。</p><p><b>　　2.2.4 病毒</b></p><p>　　它是一種程序或代碼但并不是獨(dú)立的程序，能夠在當(dāng)前的應(yīng)用中自我復(fù)制，并且可以附著在其他程序上。病毒也能夠通過過度占用系統(tǒng)資源而降低系統(tǒng)性能，使得其他合法的授權(quán)用戶也不能夠正常使用系統(tǒng)資源。</p><p>　　2.2.5 特洛伊木馬</p><p

53、>　　一種獨(dú)立的、能夠執(zhí)行任意命令的程序。特洛伊木馬往往能夠執(zhí)行某種有用的功能，而這種看似有用的功能卻能夠隱藏在其中的非法程序。當(dāng)合法用戶使用這樣合法的功能時(shí)，特洛伊木馬也同時(shí)執(zhí)行了非授權(quán)的功能，而且通常篡奪了用戶權(quán)限。</p><p>　　2.2.6 惡意軟件攻擊小結(jié)</p><p>　　惡意軟件通常能夠造成嚴(yán)重的安全威脅，秘密的信息可以被截獲和發(fā)送到敵手處，關(guān)鍵的信息可以被修改，

54、計(jì)算機(jī)的軟件配置可以被改動(dòng)以允許黑客進(jìn)行連續(xù)的入侵。排除惡意軟件的威脅代價(jià)是高昂的。采取預(yù)防措施和教育用戶所花費(fèi)的代價(jià)，要比被攻擊后恢復(fù)的代價(jià)要低的多。</p><p>　　制定一個(gè)保護(hù)計(jì)算機(jī)防止被病毒等惡意軟件威脅的計(jì)劃。</p><p>　　這樣的計(jì)劃應(yīng)該包括要保護(hù)計(jì)算機(jī)被病毒和其他惡意軟件威脅，系統(tǒng)管理員和合法用戶應(yīng)該擁有的明確責(zé)任。例如，確定誰有權(quán)在計(jì)算機(jī)上下載和安裝軟件誰負(fù)責(zé)檢測

55、和清除惡意軟件，用戶還是管理員禁止用戶運(yùn)行從一上接收到的可執(zhí)行文件、禁止從公共站點(diǎn)上下載軟件等。</p><p>　　第二，安裝有效的反病毒等工具。</p><p>　　要考慮反病毒等工具要進(jìn)行脫線備份，以防止它們可能被病毒等惡意軟件修改而失去檢測功能。應(yīng)積極地經(jīng)常在線檢測，同時(shí)也要不時(shí)進(jìn)行脫線檢測，以確保在線檢測工具的正常功能。一般情況下，這種方法在初始安裝和配置操作系統(tǒng)時(shí)最為可靠。&l

56、t;/p><p>　　第三，教育用戶預(yù)防和識(shí)別病毒等惡意軟件的技術(shù)。</p><p>　　用戶應(yīng)該接受諸如病毒等惡意軟件傳播及防止它們進(jìn)一步傳播的教育。這括教育用戶在裝載和使用公共軟件之前，要使用安全掃描工具對其進(jìn)行檢測。另外，許多病毒等惡意軟件有一定的特點(diǎn)，用戶應(yīng)該得到一定的識(shí)別知識(shí)，并且能夠使用適當(dāng)?shù)能浖宄?。最好能夠及時(shí)進(jìn)行新類型的安全威脅以及入侵方面的教育。</p>&l

57、t;p>　　第四，及時(shí)更新清除惡意軟件的工具許多反惡意軟件的工具，如反病毒軟件，使用已知惡意軟件特征的數(shù)據(jù)庫，而新類型的惡意軟件不斷地出現(xiàn)，因此，檢測軟件應(yīng)該不斷地更新以確保有最新的檢測版本。</p><p><b>　　2.3利用脆弱性</b></p><p><b>　　2.3.1訪問權(quán)限</b></p><p>

58、;　　黑客利用系統(tǒng)文件的讀寫等訪問控制權(quán)限配置不當(dāng)造成的弱點(diǎn)，獲取系統(tǒng)的</p><p><b>　　訪問權(quán)。</b></p><p>　　2.3.2緩沖區(qū)溢出</p><p>　　一種形式的緩沖區(qū)溢出攻擊是黑客本人編寫并存放在緩沖區(qū)后任意的代碼，然后執(zhí)行這些代碼。這對黑客的技術(shù)水平要求很高，一般的黑客少有此舉。</p><

59、p>　　另一種形式的緩沖區(qū)溢出攻擊是程序代碼編寫時(shí)欠考慮。典型的一種形式是對用戶輸入的邊界檢查問題。例如，語言中，函數(shù)地不對用戶輸入的數(shù)量進(jìn)行檢查，如果程序員不考慮這個(gè)情況就會(huì)出問題。統(tǒng)計(jì)表明，在操作系統(tǒng)和應(yīng)用軟件中，因?yàn)榫帉懙脑颍渲屑s有的代碼存在著緩沖區(qū)溢出的漏洞。這就是為什么現(xiàn)在針對緩沖區(qū)溢出的攻擊事件不斷地發(fā)生的主要原因。有理由相信，隨著某些操作系統(tǒng)和應(yīng)用軟件源代碼的公布，還會(huì)有更多的類似攻擊事件的發(fā)生。</p&g

60、t;<p>　　2.3.3信息流泄露</p><p>　　黑客利用在某個(gè)程序執(zhí)行時(shí)所產(chǎn)生的某些暫時(shí)的不安全條件，例如在執(zhí)行SUID時(shí)執(zhí)行用戶具有同被執(zhí)行程序的屬主同等權(quán)限，這樣執(zhí)行用戶就可以獲得對某些敏感數(shù)據(jù)的訪問權(quán)。</p><p>　　2.3.4利用脆弱性小結(jié)</p><p>　　計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)成了一個(gè)復(fù)雜的大系統(tǒng)，這個(gè)大系統(tǒng)內(nèi)部又有各種型號(hào)

61、和計(jì)算機(jī)、各種版本的服務(wù)和各種類型的協(xié)議構(gòu)成，不可能保證計(jì)算機(jī)系統(tǒng)的硬件、軟件操作系統(tǒng)和應(yīng)用軟件、網(wǎng)絡(luò)協(xié)議、系統(tǒng)配置等各方面都完美無缺，黑客就能夠發(fā)現(xiàn)并利用這些缺陷來進(jìn)行攻擊。解決這方面的問題，一是教育，教育用戶樹立安全意識(shí)，如注意口令的設(shè)置、正確配置設(shè)備和服務(wù)等二是不斷地升級(jí)系統(tǒng)軟件和應(yīng)用軟件的版本，及時(shí)安裝“補(bǔ)丁”軟件。</p><p><b>　　2.4 操控IP包</b></p

62、><p><b>　　2.4.1端口欺騙</b></p><p>　　利用常用服務(wù)的端口，如20、80、53等，避開包過濾防火墻的過濾規(guī)則。</p><p>　　2.4.2盲IP欺騙</p><p>　　改變源IP地址進(jìn)行欺騙。這種IP欺騙稱為“盲”欺騙，是因?yàn)楹诳托薷钠浒l(fā)送數(shù)據(jù)包的源地址后，不能與目標(biāo)主機(jī)進(jìn)行連接并收到來自

63、目標(biāo)主機(jī)的響應(yīng)。但是，這種“盲”IP欺騙往往是黑客能夠事先預(yù)計(jì)到目標(biāo)主機(jī)可能會(huì)做出的響應(yīng)，從而構(gòu)成其他攻擊的組成部分。對IP欺騙攻擊的防范中，路由器的正確設(shè)置最為關(guān)鍵和重要。如果路由器沒有正確設(shè)置，對聲稱源地址是本網(wǎng)絡(luò)的進(jìn)網(wǎng)數(shù)據(jù)包不進(jìn)行過濾，則容易使IP欺騙攻擊得逞。</p><p>　　盲IP欺騙可能造成嚴(yán)重的后果，基于IP源地址欺騙的攻擊可穿過過濾路由器防火墻，并可能獲得受到保護(hù)的主機(jī)的root權(quán)限。<

64、/p><p>　　2.4.3 IP操縱小結(jié)</p><p>　　針對以上的攻擊行為可以采取以下措施</p><p><b>　　1 檢測</b></p><p>　　令使用網(wǎng)絡(luò)監(jiān)視軟件，例如netlog軟件，監(jiān)視外來的數(shù)據(jù)包。如果發(fā)現(xiàn)外部接口上通過的數(shù)據(jù)包，其源地址和目的地址與內(nèi)部網(wǎng)絡(luò)的一致，則可以斷定受到IP欺騙攻擊令另一

65、個(gè)辦法是比較內(nèi)部網(wǎng)絡(luò)中不同系統(tǒng)的進(jìn)程統(tǒng)計(jì)日志。如果IP欺騙對內(nèi)部某個(gè)系統(tǒng)進(jìn)行了成功地攻擊，該受到攻擊主機(jī)的日志會(huì)記錄這樣的訪問，“攻擊主機(jī)”的源地址是內(nèi)部某個(gè)主機(jī)而在“攻擊主機(jī)”上查找日志時(shí)，卻沒有這樣的記錄。</p><p><b>　　2 防治措施</b></p><p>　　防治“盲”IP欺騙攻擊的最佳辦法是安裝配置過濾路由器，限制從外部來的進(jìn)網(wǎng)流量，特別是要過

66、濾掉那些源地址聲稱是內(nèi)部網(wǎng)絡(luò)的進(jìn)網(wǎng)數(shù)據(jù)包。不僅如此，過濾路由器還要過濾掉那些聲稱源地址不是本網(wǎng)絡(luò)的出網(wǎng)數(shù)據(jù)包，以防止IP欺騙從本網(wǎng)絡(luò)發(fā)生。</p><p><b>　　2.5 內(nèi)部攻擊</b></p><p>　　所謂的“from the inside”有兩方面的含義一方面可以指是內(nèi)部人員另一面是指網(wǎng)絡(luò)黑客控制了遠(yuǎn)程網(wǎng)絡(luò)上某臺(tái)主機(jī)后的所做所為。</p>

67、<p>　　2.5.1 “后門”守護(hù)程序</p><p>　　黑客成功入侵了遠(yuǎn)程網(wǎng)絡(luò)上某臺(tái)計(jì)算機(jī)后(一般指的是擁有管理員權(quán)限，或root權(quán)限)，為了達(dá)到其進(jìn)一步訪問或進(jìn)行其他攻擊的目的，往往在該主機(jī)上安裝某些特定的軟件，例如守護(hù)程序deamon。同C/S服務(wù)模式一樣，守護(hù)程序開放該主機(jī)上的某個(gè)端口，并隨時(shí)監(jiān)聽發(fā)送到該端口的來自黑客的命令，允許黑客更進(jìn)一步的遠(yuǎn)程訪問或進(jìn)行其他的攻擊。</p>

68、<p>　　2.5.2 日志修改</p><p>　　在被攻擊的計(jì)算機(jī)日志等事件記錄裝置上修改黑客非法入侵訪問和攻擊的蹤跡，修改日志文件是黑客學(xué)習(xí)的第一件事情，其道理是顯然的。因?yàn)?，?jì)算機(jī)系統(tǒng)的事件一記錄裝置，如日志文件等，就如同一記錄了黑客的“指紋”。黑客攻擊發(fā)生后，日志中的信息就成為緝拿黑客的最主要的線索之一，并且也是將黑客定罪的重要證據(jù)。因此，黑客甚至在攻擊發(fā)生之前就應(yīng)該預(yù)計(jì)到如何更改日志文件。

69、</p><p><b>　　2.5.3 隱蔽</b></p><p>　　如果黑客在被其入侵的計(jì)算機(jī)上安裝了諸如后門守護(hù)程序等為其服務(wù)的特殊軟件，往往是該主機(jī)一開機(jī)后就運(yùn)行著一個(gè)或多個(gè)進(jìn)程。主機(jī)的系統(tǒng)管理員使用通用的工具，例如，就可以顯示出當(dāng)前主機(jī)上運(yùn)行著的所有進(jìn)程，從而暴露了主機(jī)遭到黑客入侵這一事實(shí)。這是黑客不愿意看到的。因此，黑客要使用特洛伊化的文件替代系統(tǒng)文件

70、，不顯示在正常情況下應(yīng)該顯示的信息，監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)，過濾和記錄敏感信息，如口令和帳號(hào)等。黑客必須能夠在某個(gè)網(wǎng)絡(luò)上成功地控制一臺(tái)主機(jī)，并在該主機(jī)上安裝嗅探器，然后在合適的時(shí)間取回嗅探器的記錄信息。</p><p><b>　　2.5.4非盲欺騙</b></p><p>　　這同“盲”欺騙有根本的區(qū)別。因?yàn)椤懊ぁ逼垓_不能夠獲得從被欺騙的目標(biāo)發(fā)送回來的響應(yīng)，即黑客不可能與被欺

71、騙目標(biāo)主機(jī)建立真正的連接。而在“非盲欺騙”中黑客使用數(shù)據(jù)監(jiān)聽等技術(shù)獲得一些重要的信息，比如當(dāng)前客戶與服務(wù)器之間包的序列號(hào)，而后或通過拒絕服務(wù)攻擊切斷合法客戶端與服務(wù)器的連接，或在合法客戶端關(guān)機(jī)時(shí)，利用地址偽裝，序列號(hào)預(yù)測等方法巧妙的構(gòu)造數(shù)據(jù)包接管當(dāng)前活躍的連接或者建立偽造的連接，以獲取服務(wù)器中的敏感信息，或以合法用戶權(quán)限遠(yuǎn)程執(zhí)行命令。</p><p><b>　　2.6 CGI攻擊</b>&

72、lt;/p><p>　　從CERT等安全組織的安全報(bào)告分析，近期對CGI的黑客攻擊發(fā)生的較為頻繁。針對CGI的攻擊，從攻擊所利用的脆弱性、攻擊的目標(biāo)和所造成的破壞等各方面都有所不同。具體來說大致有，以下兩種類型的CGI攻擊。</p><p>　　2.6.1 低級(jí)的CGI攻擊、</p><p>　　黑客可以獲得系統(tǒng)信息或者口令文件、非法獲得www服務(wù)、獲得服務(wù)器資源，有時(shí)

73、甚至獲得root權(quán)限。這種情況的CGI攻擊發(fā)生的一個(gè)重要原因是服務(wù)器上運(yùn)行著不安全的CGI腳本。如果是這樣，則可能給黑客查詢本服務(wù)器信息提供了方便，例如，可以根據(jù)黑客的提交，查詢某個(gè)文件是否存在可以給黑客發(fā)送本機(jī)的口令文件等第二個(gè)重要原因是httpd以root方式運(yùn)行。如果是這樣，那么一旦httpd出現(xiàn)任何形式的漏洞都將是致命的。因?yàn)槿魏温┒炊伎墒购诳蛽碛衦oot的權(quán)限。第三個(gè)重要原因是使用了安全性脆弱的口令。應(yīng)該采取的措施包括①更新軟

74、件②定期進(jìn)行料安全檢查。</p><p>　　2.6.2 高級(jí)的CGI攻擊</p><p>　　黑客可以獲得數(shù)據(jù)庫訪問權(quán)獲得用戶的資料、獲得權(quán)限，還可以修改頁面。這種情況的攻擊發(fā)生的原因一是服務(wù)器的腳本太過陳舊二是腳本編寫不規(guī)范，或者是管理員自己編寫的腳本。這樣的攻擊所造成的損害會(huì)很嚴(yán)重，因?yàn)楹诳陀袡?quán)篡改用戶信息，進(jìn)行非法交易等。另外，黑客能夠修改所造成的影響也比較廣泛。所以，這樣的攻擊對

75、電子商務(wù)服務(wù)器、域名服務(wù)器、搜索引擎、以及政府站點(diǎn)等影響最大。應(yīng)該采取的措施包括①使用防火墻②定期進(jìn)行www/CGI安全檢查。</p><p><b>　　2.7 小結(jié)</b></p><p>　　本章對目前典型的網(wǎng)絡(luò)攻擊行為技術(shù)特點(diǎn)進(jìn)行了分析，主要包括、拒絕服務(wù)DoS、惡意軟件、利用脆弱、操縱包、內(nèi)部攻擊和CGI攻擊，并針對它們的特點(diǎn)提出了相關(guān)的應(yīng)對方法。從技術(shù)上講

76、，攻擊行為檢測系統(tǒng)存在一些待解決的問題，主要表現(xiàn)在以下幾個(gè)方面：</p><p>　　1 如何識(shí)別“大規(guī)模的組合式、分布式的入侵攻擊”目前還沒有較好的方法和成熟的解決方案。從Yahoo等著名的CGI攻擊事件中，了解到安全問題日漸突出，攻擊者的水平在不斷地提高，加上日趨成熟多樣的攻擊工具，以及越來越復(fù)雜的攻擊手法，使入侵檢測系統(tǒng)必須不斷跟蹤最新的安全技術(shù)。</p><p>　　2 網(wǎng)絡(luò)入侵檢

77、測系統(tǒng)通過匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為，入侵檢測系統(tǒng)往往假設(shè)攻擊信息是明文傳輸?shù)模虼藢π畔⒌母淖兓蛑匦戮幋a就可能騙過入侵檢測系統(tǒng)的檢測，因此字符串匹配的方法對于加密過的數(shù)據(jù)包就顯得無能為力。</p><p>　　3 網(wǎng)絡(luò)設(shè)備越來越復(fù)雜、越來越多樣化就要求入侵檢測系統(tǒng)能有所定制，以</p><p>　　適應(yīng)更多的環(huán)境的要求。</p><p>　　4 對入侵檢測系統(tǒng)的評(píng)

78、價(jià)還沒有客觀的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的不統(tǒng)一使得入侵檢測系統(tǒng)之間不易互聯(lián)。入侵檢測系統(tǒng)是一項(xiàng)新興技術(shù)，隨著技術(shù)的發(fā)展和對新攻擊識(shí)別的增加，入侵檢測系統(tǒng)需要不斷的升級(jí)才能保證網(wǎng)絡(luò)的安全性。</p><p>　　5 采用不恰當(dāng)?shù)淖詣?dòng)反應(yīng)同樣會(huì)給入侵檢測系統(tǒng)造成風(fēng)險(xiǎn)。入侵檢測系統(tǒng)通?？梢耘c防火墻結(jié)合在一起工作，當(dāng)入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊行為時(shí)，過濾掉所有來自攻擊者的數(shù)據(jù)包，當(dāng)一個(gè)攻擊者假冒大量不同的IP進(jìn)行模擬攻擊時(shí)，入侵檢測系統(tǒng)自動(dòng)

79、配置防火墻將這些實(shí)際上并沒有進(jìn)行任何攻擊的地址都過濾掉，于是造成新的拒絕服務(wù)訪問。</p><p>　　6 對IDS自身的攻擊。與其他系統(tǒng)一樣，IDS本身也存在安全漏洞，若對IDS攻擊成功，則導(dǎo)致報(bào)警失靈，入侵者在其后的行為將無法被記錄，因此要求系統(tǒng)應(yīng)該采取多種安全防護(hù)手段。</p><p>　　7隨著網(wǎng)絡(luò)的帶寬的不斷增加，如何開發(fā)基于高速網(wǎng)絡(luò)的檢測器（事件分析器）仍然存在很多技術(shù)上的困難

80、。</p><p>　　3網(wǎng)絡(luò)安全防護(hù)實(shí)現(xiàn)策略</p><p>　　影響網(wǎng)絡(luò)安全的因素很多，保護(hù)網(wǎng)絡(luò)安全的技術(shù)、手段也很多。一般來說，保護(hù)網(wǎng)絡(luò)安全的主要技術(shù)有防火墻技術(shù)、入侵檢測技術(shù)、加密技術(shù)、安全評(píng)估技術(shù)、防病毒技術(shù)、身份認(rèn)證技術(shù)等等。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全，必須結(jié)合網(wǎng)絡(luò)的具體需求，將多種安全措施進(jìn)行整合，建立一個(gè)立體的、完整的、多層次的網(wǎng)絡(luò)安全防御體系，這樣一個(gè)全方位的網(wǎng)絡(luò)安全解決方案

81、，可以防止安全風(fēng)險(xiǎn)各個(gè)方面的問題。</p><p>　　3.1網(wǎng)絡(luò)安全的目標(biāo)</p><p>　　那么安全的目的是什么？毫無疑問：保障用戶業(yè)務(wù)的順利進(jìn)行，滿足用戶的業(yè)務(wù)需求是網(wǎng)絡(luò)安全的首要任務(wù)。離開這一主題，奢談安全技術(shù)和產(chǎn)品無異于南轅北轍。在這一前提下，我們必須清楚的是：不同用戶的業(yè)務(wù)所處的安全環(huán)境各有差異，其對安全的需求和側(cè)重是各不相同的。比如證券、保險(xiǎn)等金融行業(yè)較側(cè)重于信息的存取控制

82、能力，而信息發(fā)布網(wǎng)站則更側(cè)重于服務(wù)保證能力；正如不能用一把鑰匙去開所有的鎖一樣，沒有任何一個(gè)單一的安全工具或方案能夠滿足所有用戶的所有安全要求。而安全的敏感性也決定了每一個(gè)用戶所配置的安全方案必須是獨(dú)一無二的。</p><p>　　因此說，安全必須個(gè)性化定制，通用的方案并不存在。</p><p>　　網(wǎng)絡(luò)安全要實(shí)現(xiàn)什么樣的目標(biāo)呢？我們可以用三句話來描述：</p><p&

83、gt;　　1) 網(wǎng)絡(luò)訪問主體能夠且只能夠訪問他被授權(quán)訪問的網(wǎng)絡(luò)資源；</p><p>　　2) 通過不當(dāng)手段得到的信息是不可被理解的；</p><p>　　3) 被破壞的網(wǎng)絡(luò)資源應(yīng)該能夠被及時(shí)恢復(fù)。</p><p>　　對第一句話，我們強(qiáng)調(diào)網(wǎng)絡(luò)訪問主體能夠訪問他被授權(quán)訪問的資源，因?yàn)檫@的確是一個(gè)很現(xiàn)實(shí)的安全問題。互聯(lián)網(wǎng)上有很大一部分攻擊行為就是拒絕服務(wù)攻擊(Deni

84、al of Service)，使原本應(yīng)該對外提供服務(wù)的網(wǎng)絡(luò)資源被惡意淹沒和終止。這句話的另一個(gè)隱含意義還有：網(wǎng)絡(luò)訪問主體對他的訪問行為不能抵賴。</p><p>　　第二句話的含義就是指網(wǎng)絡(luò)中存儲(chǔ)和流動(dòng)的信息不是以明文的形式存在，通過網(wǎng)絡(luò)漏洞或其它不當(dāng)手段得到的信息是不能被理解或至少在該信息失效前是不被理解的。</p><p>　　第三句話的含義就是網(wǎng)絡(luò)上的資源應(yīng)有備份系統(tǒng)或有抗破壞能力，

85、比如系統(tǒng)校驗(yàn)恢復(fù)。</p><p>　　用更通俗的方式表達(dá)就是安全要實(shí)現(xiàn)：進(jìn)不去、竊不走、看不懂、改不了、打不亂、賴不了、跑不掉。</p><p><b>　　3.2 防火墻技術(shù)</b></p><p>　　防火墻是位于兩個(gè)（或多個(gè)）網(wǎng)絡(luò)間，通過執(zhí)行訪問控制策略來達(dá)到網(wǎng)絡(luò)安全的一個(gè)或一組軟、硬件系統(tǒng)，它隔離了內(nèi)部和外部網(wǎng)絡(luò)，是內(nèi)外網(wǎng)絡(luò)通訊的唯一

86、途徑。它能根據(jù)制定的訪問規(guī)則對經(jīng)過它的信息流進(jìn)行監(jiān)控和審查，過濾掉任何不符合控制規(guī)則的信息，以保護(hù)內(nèi)部網(wǎng)絡(luò)不受外界的非法訪問和攻擊。它滿足以下條件：</p><p>　　1) 內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻；</p><p>　　2) 只有符合安全政策的數(shù)據(jù)流才能通過防火墻；</p><p>　　3) 防火墻自身應(yīng)對滲透（peneration）免疫；&

87、lt;/p><p>　　3.2.1 防火墻功能和安全策略</p><p>　　對防火墻的兩大需求是保障內(nèi)部網(wǎng)的安全和保證內(nèi)部網(wǎng)同外部網(wǎng)的連通。防火墻的主要功能有：</p><p>　　監(jiān)視控制信息：防火墻在一個(gè)公司內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)間建立一個(gè)檢查點(diǎn)。這種實(shí)現(xiàn)要求所有的流量都要通過這個(gè)檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立，防火墻設(shè)備就可以監(jiān)視，過濾和檢查所有進(jìn)來和出去的流量。

88、</p><p>　　隔離內(nèi)外網(wǎng)絡(luò)，保護(hù)內(nèi)部網(wǎng)絡(luò)：這是防火墻的最基本功能，它通過隔離內(nèi)、外部網(wǎng)絡(luò)來確保內(nèi)部網(wǎng)絡(luò)的安全。也限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。</p><p>　　強(qiáng)化網(wǎng)絡(luò)安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。</p

89、><p>　　有效記錄和審計(jì)內(nèi)、外部網(wǎng)絡(luò)之間的連接和使用：防火墻可以對內(nèi)、外部網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并進(jìn)行日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。</p><p>　　集中安全保護(hù)和管理：將內(nèi)部網(wǎng)絡(luò)中的所有或大部分需要改動(dòng)的軟件以及附加的安全軟

90、件集中放在防火墻系統(tǒng)中，而不是分散到每個(gè)主機(jī)中，這樣防火墻的保護(hù)就相對集中和便宜一些。</p><p>　　網(wǎng)絡(luò)安全策略是防火墻系統(tǒng)的最重要組成部分，它決定了受保護(hù)網(wǎng)絡(luò)的安全性和易用性。對防火墻而言有兩種層次的安全策略：</p><p>　?。?）服務(wù)訪問策略。服務(wù)訪問策略是高層的策略，明確定義了受保護(hù)網(wǎng)絡(luò)允許和拒絕的網(wǎng)絡(luò)服務(wù)及其使用范圍，以及安全措施（如認(rèn)證等）。兩種典型的服務(wù)訪問策略是

91、：不允許外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)，但允許內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)；允許外部網(wǎng)絡(luò)訪問部分內(nèi)部網(wǎng)絡(luò)服務(wù)。</p><p>　?。?）防火墻設(shè)計(jì)策略。防火墻設(shè)計(jì)策略是低層的策略，描述了防火墻如何根據(jù)高層服務(wù)訪問策略來具體地限制訪問和過濾服務(wù)等，即它必須針對具體的防火墻來定義過濾規(guī)則等，以實(shí)現(xiàn)服務(wù)訪問策略。在設(shè)計(jì)該策略前，設(shè)計(jì)者應(yīng)先從兩個(gè)防火墻設(shè)計(jì)的基本策略中選擇其一，并根據(jù)它和服務(wù)訪問策略以及經(jīng)費(fèi)來選擇合適的防火墻系統(tǒng)結(jié)構(gòu)和組

92、件。這兩個(gè)基本防火墻設(shè)計(jì)策略是：允許所有除明確拒絕之外的通訊或服務(wù)；拒絕所有除明確允許之外的通訊或服務(wù)。</p><p>　　3.2.2防火墻的工作原理</p><p>　　防火墻就是一種過濾塞，它過濾的是在網(wǎng)絡(luò)中承載通信數(shù)據(jù)的通信包。對于數(shù)據(jù)包的操作就只有兩種：接收或者拒絕。防火墻的實(shí)現(xiàn)形式有很多種，其中包括：直接取代系統(tǒng)已經(jīng)裝備的 TCP/IP 協(xié)議棧；在已有的協(xié)議棧上裝載防火墻軟件模

93、塊；防火墻單獨(dú)用作一套獨(dú)立的操作系統(tǒng)；作為應(yīng)用型防火墻，只對特定類型的網(wǎng)絡(luò)連接提供保護(hù)；硬件防火墻等。所有這些防火墻的工作方式都是一樣的：分析進(jìn)出防火墻的數(shù)據(jù)包，決定放行還是丟棄。</p><p>　　為了實(shí)現(xiàn)過濾這一功能，防火墻常采取以下措施：IP 地址過濾；對 TCP/UDP服務(wù)的源端口、目的端口進(jìn)行過濾；檢查 TCP 的 ACK 位；設(shè)置代理服務(wù)器，這幾種技術(shù)各有優(yōu)缺點(diǎn)。防火墻采用的技術(shù)和標(biāo)準(zhǔn)很多，大多都是

94、以上技術(shù)的組合。</p><p>　　3.2.3 防火墻的關(guān)鍵技術(shù)</p><p>　　防火墻在實(shí)現(xiàn)上主要有兩大主流技術(shù)：包過濾和代理服務(wù)。這兩種技術(shù)各有自身的應(yīng)用優(yōu)點(diǎn)，地址轉(zhuǎn)化技術(shù)是防火墻的有益補(bǔ)充。在大多數(shù)運(yùn)用中，常常是這幾種技術(shù)的組合。</p><p><b>　　1) 包過濾</b></p><p>　　包過濾技

95、術(shù)就是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行分析、選擇，有選擇的通過數(shù)據(jù)包，它一般部署在路由器上，路由器中含有包過濾軟件（有時(shí)也稱為包過濾器），包過濾器的功能是阻止包任意通過路由器在不同的網(wǎng)絡(luò)中穿越，而選擇判斷的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則——訪問控制表 ACL（Access Control List）。表中的每一條規(guī)則都是基于數(shù)據(jù)包的包頭信息制定的。通過檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源地址、目的地址、所用端口號(hào)、協(xié)議狀態(tài)等因素，或者它們的組合來確定是否允許該

96、數(shù)據(jù)包通過。包過濾類型的防火墻遵循的一條規(guī)則就是“最小特權(quán)原則”，即明確允許那些管理員希望通過的數(shù)據(jù)包，禁止其他數(shù)據(jù)包。</p><p>　　包過濾方式的最大優(yōu)點(diǎn)就是不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。包過濾防火墻的弱點(diǎn)主要在于規(guī)則的復(fù)雜性。</p><p><b>　　2) 靜態(tài)包過濾</b></p><p

97、>　　靜態(tài)包過濾技術(shù)就是傳統(tǒng)包過濾技術(shù)，它是根據(jù)流經(jīng)該設(shè)備的數(shù)據(jù)包地址信息，決定是否允許該數(shù)據(jù)包通過，在轉(zhuǎn)發(fā)一個(gè)包之前，防火墻將 IP 包頭和TCP 包頭的信息與用戶定義的規(guī)則表的信息進(jìn)行比較，將訪問控制表 ACL 中設(shè)置的規(guī)則應(yīng)用到該報(bào)文頭上，以決定是將此報(bào)文轉(zhuǎn)發(fā)出去還是丟棄，其中，通過對 IP 地址的過濾，可以阻止到特定網(wǎng)絡(luò)或主機(jī)的不安全連接；通過對端口的過濾，可以阻止到特定應(yīng)用程序的連接。</p><p&

98、gt;　　過濾機(jī)制是：最后的規(guī)則如果與前面的規(guī)則沖突，最后的規(guī)則有效。用戶可以定義規(guī)則來決定數(shù)據(jù)包的丟棄和通行，對于 IP 包它判斷的依據(jù)有：</p><p>　　◆ 數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP 等；</p><p>　　◆ 源、目的 IP 地址；</p><p>　　◆ 源、目的端口：FTP、HTTP、DNS 等；</p>&

99、lt;p>　　◆ IP 選項(xiàng)：源路由、記錄路由等；</p><p>　　◆ TCP 選項(xiàng)：SYN、ACK、FIN、RST 等；</p><p>　　◆ 其它協(xié)議選項(xiàng)：ICMP ECHO、ICMP ECHO REPLY 等；</p><p>　　◆ 數(shù)據(jù)包流向：in（進(jìn)）或 out（出）；</p><p>　　◆ 數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口；&l

100、t;/p><p>　　靜態(tài)包過濾技術(shù)實(shí)現(xiàn)起來成本很低，路由器和一般的操作系統(tǒng)都有這項(xiàng)功能。但是因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層，只檢查 IP 和 TCP 包頭，不檢查包的數(shù)據(jù)，提供的安全性不高。靜態(tài)包過濾只能提供低等級(jí)的保護(hù)。</p><p><b>　　3）動(dòng)態(tài)包過濾</b></p><p>　　“動(dòng)態(tài)包過濾”(Dynamic packet filter)技術(shù)

101、首先是由 USC 信息科學(xué)院BobBraden 于 1992 年開發(fā)提出的，它屬于第四代防火墻技術(shù)，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。這種技術(shù)比起靜態(tài)包過濾技術(shù)來說先進(jìn)多了，它可動(dòng)態(tài)根據(jù)實(shí)際應(yīng)用請求，自動(dòng)生成或刪除相應(yīng)包過濾規(guī)則，而無需管理員人工干預(yù)。這樣就解決了靜態(tài)包過濾技術(shù)使用和管理難度大的問題。同時(shí)動(dòng)態(tài)包過濾技術(shù)還可分析高層協(xié)議，可以更有效、全面地對進(jìn)出內(nèi)部網(wǎng)絡(luò)的通信進(jìn)行監(jiān)測，進(jìn)一步確保內(nèi)

102、部網(wǎng)絡(luò)的安全。</p><p>　　采用狀態(tài)檢測技術(shù)的防火墻在運(yùn)行過程中一直維護(hù)著一張狀態(tài)表，這張表記錄了從受保護(hù)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息，然后防火墻根據(jù)該表內(nèi)容對返回受保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行分析判斷，這樣，只有響應(yīng)受保護(hù)網(wǎng)絡(luò)請求的數(shù)據(jù)包才被放行。對用戶來說，狀態(tài)檢測不但能提高網(wǎng)絡(luò)的性能，還能增強(qiáng)網(wǎng)絡(luò)的安全性。</p><p>　　動(dòng)態(tài)包過濾是靜態(tài)包過濾技術(shù)的發(fā)展和演化，它比靜態(tài)包過濾要智

103、能一些，但是因?yàn)閯?dòng)態(tài)包過濾是靜態(tài)包過濾的繼承，所以它保留了靜態(tài)包過濾的一個(gè)根本缺點(diǎn)：不知道狀態(tài)信息，而且動(dòng)態(tài)包過濾技術(shù)仍只能對數(shù)據(jù)的 IP 地址信息進(jìn)行過濾，不能對用戶身份的合法性進(jìn)行鑒定，同時(shí)通常也沒有日志記錄。</p><p><b>　　4）代理服務(wù)</b></p><p>　　所謂代理服務(wù)，是指在防火墻上運(yùn)行某種軟件（稱為代理程序），如果內(nèi)部網(wǎng)需要與外部網(wǎng)通信

104、，首先要建立與防火墻上代理程序的連接，把請求發(fā)送到代理程序；代理程序接受該請求，建立與外部網(wǎng)相應(yīng)主機(jī)的連接，然后把內(nèi)部網(wǎng)的請求通過新連接發(fā)送到外部網(wǎng)相應(yīng)主機(jī)。反過來也是一樣。內(nèi)部網(wǎng)和外部網(wǎng)的主機(jī)之間不能建立直接的連接，而要通過代理服務(wù)進(jìn)行轉(zhuǎn)發(fā)。代理服務(wù)的過程如圖 3.1 所示</p><p>　　、圖 3.1 代理服務(wù)過程</p><p>　　代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于每一

105、個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要通過 Proxy 的介入和轉(zhuǎn)換，通過專門為特定的服務(wù)如 HTTP 編寫的安全化的應(yīng)用程序進(jìn)行處理，然后由防火墻本身提交請求和應(yīng)答，沒有給內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)以任何直接會(huì)話的機(jī)會(huì)，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。代理服務(wù)器在轉(zhuǎn)發(fā)數(shù)據(jù)包之前，還可以預(yù)先進(jìn)行身份驗(yàn)證和日志記錄。這是包過濾類型的防火墻很難做到的。</p><p>　　代理防火墻的最大缺點(diǎn)就是速度相對比較慢，當(dāng)用戶

106、對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，（比如要求達(dá)到 75－100Mbps 時(shí)）代理防火墻就會(huì)成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸，所幸的是，目前用戶接入 Internet 的速度一般都遠(yuǎn)低于這個(gè)數(shù)字。</p><p>　　5) 地址轉(zhuǎn)換（NAT）</p><p>　　NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）是一種將一個(gè) IP 地址域映射到另一個(gè) IP 地址域技術(shù)，從而為終端主機(jī)提供透明路由。NAT 包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、

107、動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、端口映射等。NAT 常用于私有地址域與公用地址域的轉(zhuǎn)換以解決 IP 地址匱乏問題。在防火墻上實(shí)現(xiàn)NAT 后，可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部拓?fù)浣Y(jié)構(gòu)，在一定程度上提高網(wǎng)絡(luò)的安全性。如果反向 NAT 提供動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換功能，還可以實(shí)現(xiàn)負(fù)載均衡等功能。NAT 的目的就是解決 IP 地址空間不足問題和向外界隱藏內(nèi)部網(wǎng)結(jié)構(gòu)。NAT 的方式有三種：</p><p&g

108、t;　　◆ M－1：多個(gè)內(nèi)部網(wǎng)地址翻譯到 1 各 IP 地址；</p><p>　　◆ 1－1：簡單的一對一的地址翻譯；</p><p>　　◆ M－N：多個(gè)內(nèi)部網(wǎng)地址翻譯到 N 個(gè) IP 地址池；</p><p>　　3.2.4 防火墻的體系結(jié)構(gòu)</p><p>　　在防火墻與網(wǎng)絡(luò)的配置上，有以下三種典型結(jié)構(gòu)：雙宿/多宿主機(jī)模式、屏蔽主機(jī)