《基本安全性》PPT課件.pptVIP

基本安全性 家庭和小型企業(yè)網(wǎng)絡(luò) 第八章 目標(biāo) 識(shí)別和描述各種網(wǎng)絡(luò)威脅識(shí)別各種攻擊方式描述安全規(guī)程和應(yīng)用程序描述防火墻的特點(diǎn) 以及如何應(yīng)用防火墻來(lái)防范攻擊 內(nèi)容索引 8 1網(wǎng)絡(luò)威脅8 2攻擊方式8 3安全策略8 4使用防火墻 8 1 1網(wǎng)絡(luò)入侵者 計(jì)算機(jī)網(wǎng)絡(luò)中 不速之客的入侵可能導(dǎo)致代價(jià)高昂的網(wǎng)絡(luò)中斷和工作成果的丟失 針對(duì)網(wǎng)絡(luò)的攻擊有時(shí)具有相當(dāng)?shù)钠茐男?可能造成重要信息或資產(chǎn)的損壞或失竊 導(dǎo)致時(shí)間上和金錢上的損失 入侵者可通過(guò)軟件漏洞 硬件攻擊甚至一些科技含量很低的方法 例如猜測(cè)某人的用戶名和密碼 來(lái)獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán) 通過(guò)修改或利用軟件漏洞來(lái)獲取訪問(wèn)權(quán)的入侵者通常被稱為黑客 8 1 1網(wǎng)絡(luò)入侵者 一旦黑客取得網(wǎng)絡(luò)的訪問(wèn)權(quán) 就可能給網(wǎng)絡(luò)帶來(lái)以下四種威脅 信息盜竊 身份盜竊 數(shù)據(jù)丟失 操縱 服務(wù)中斷 8 1 1網(wǎng)絡(luò)入侵者 參見(jiàn)電子版教材練習(xí)8 1 1 2 8 1 2網(wǎng)絡(luò)入侵者的來(lái)源 網(wǎng)絡(luò)入侵者造成的安全威脅可能來(lái)自網(wǎng)絡(luò)內(nèi)部和外部?jī)蓚€(gè)源頭 外部威脅是由組織外部活動(dòng)的個(gè)人引起的 他們沒(méi)有訪問(wèn)組織計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的權(quán)限 外部攻擊者主要通過(guò)Internet 無(wú)線鏈接或撥號(hào)訪問(wèn)服務(wù)器進(jìn)入網(wǎng)絡(luò) 8 1 2網(wǎng)絡(luò)入侵者的來(lái)源 內(nèi)部威脅是由具備授權(quán)用戶帳戶的個(gè)人 或能夠?qū)嶋H接觸網(wǎng)絡(luò)設(shè)備的人員導(dǎo)致的 內(nèi)部攻擊者了解內(nèi)部的政策和人員 他們往往清楚的知道 什么信息有價(jià)值而且易受攻擊 以及怎么獲得該信息 然而 并不是所有內(nèi)部攻擊都是故意的 在某些情況下 一個(gè)受信任的員工在公司外部工作時(shí)可能會(huì)感染上病毒或安全威脅 然后在不知情的情況下將它帶到內(nèi)部網(wǎng)絡(luò)中 從而造成內(nèi)部威脅 許多公司都在防御外部攻擊上花費(fèi)了大量資源 但大多數(shù)威脅其實(shí)來(lái)自內(nèi)部 據(jù)FBI調(diào)查顯示 在報(bào)告的安全入侵事件中 約有70 都是因內(nèi)部訪問(wèn)和計(jì)算機(jī)系統(tǒng)帳戶使用不當(dāng)造成的 8 1 3社會(huì)和網(wǎng)絡(luò)釣魚 對(duì)于內(nèi)外兩個(gè)源頭的入侵者而言 要想獲得訪問(wèn)權(quán) 最簡(jiǎn)單的一種方法就是利用人類行為的弱點(diǎn) 常見(jiàn)方法之一便是 社會(huì)工程 SocialEngineering 社會(huì)工程中最常用的三種技術(shù)有 假托 網(wǎng)絡(luò)釣魚和語(yǔ)音網(wǎng)絡(luò)釣魚 8 1 3社會(huì)和網(wǎng)絡(luò)釣魚 假托 Pretexting 是一種社會(huì)工程方式 攻擊者會(huì)對(duì)受害人編造虛假情景 假托 以使受害人泄漏信息或執(zhí)行某種操作 通常是通過(guò)電話聯(lián)系攻擊目標(biāo) 要使假托起作用 攻擊者必須能夠與目標(biāo)人員或受害人建立合理聯(lián)系 為此 攻擊者一般需要預(yù)先進(jìn)行一些了解或研究 例如 如果攻擊者知道攻擊目標(biāo)的社會(huì)保險(xiǎn)號(hào)碼 他們就會(huì)使用該信息來(lái)獲取攻擊目標(biāo)的信任 那么攻擊目標(biāo)便很有可能進(jìn)一步泄漏信息 8 1 3社會(huì)和網(wǎng)絡(luò)釣魚 網(wǎng)絡(luò)釣魚是一種社會(huì)工程方式 網(wǎng)絡(luò)釣魚者將自己偽裝為外部機(jī)構(gòu)的合法人員 他們通常通過(guò)電子郵件聯(lián)系攻擊目標(biāo)個(gè)人 網(wǎng)絡(luò)釣魚受害者 網(wǎng)絡(luò)釣魚者可能會(huì)聲稱 為了避免某些糟糕的后果 要求攻擊目標(biāo)提供確認(rèn)信息 例如密碼或用戶名 8 1 3社會(huì)和網(wǎng)絡(luò)釣魚 語(yǔ)音網(wǎng)絡(luò)釣魚 電話網(wǎng)絡(luò)釣魚一種使用IP語(yǔ)音 VoIP 的新式社會(huì)工程被稱為 語(yǔ)音網(wǎng)絡(luò)釣魚 vishing 在語(yǔ)音網(wǎng)絡(luò)釣魚攻擊中 用戶會(huì)收到一封語(yǔ)音郵件 郵件中指示他們撥打一個(gè)看上去像是正規(guī)電話銀行服務(wù)的電話號(hào)碼 隨后 沒(méi)有設(shè)防的用戶撥打該號(hào)碼時(shí) 通話會(huì)被竊賊截聽(tīng) 為了進(jìn)行確認(rèn)而通過(guò)電話輸入的銀行帳戶號(hào)碼或密碼便被攻擊者竊取 8 2 1病毒 蠕蟲和特洛伊木馬 其它類型的攻擊 借助計(jì)算機(jī)軟件的漏洞來(lái)執(zhí)行 此類攻擊技術(shù)包括 病毒 蠕蟲和特洛伊木馬 所有這些都是侵入主機(jī)的惡意軟件 它們會(huì)損壞系統(tǒng) 破壞數(shù)據(jù)以及拒絕對(duì)網(wǎng)絡(luò) 系統(tǒng)或服務(wù)的訪問(wèn) 它們還可將數(shù)據(jù)和個(gè)人詳細(xì)信息從沒(méi)有設(shè)防的PC用戶轉(zhuǎn)發(fā)到犯罪者手中 在許多情況下 它們會(huì)自身復(fù)制 然后傳播至連接到該網(wǎng)絡(luò)的其它主機(jī) 8 2 1病毒 蠕蟲和特洛伊木馬 病毒是通過(guò)修改其它程序或文件來(lái)運(yùn)行和傳播的一種程序 病毒無(wú)法自行啟動(dòng) 而需要受到激活 有的病毒一旦激活 便會(huì)迅速自我復(fù)制并四處傳播 但不會(huì)執(zhí)行其它操作 這類病毒雖然很簡(jiǎn)單 但仍然非常危險(xiǎn) 因?yàn)樗鼈儠?huì)迅速占用所有可用內(nèi)存 導(dǎo)致系統(tǒng)停機(jī) 編寫的更為惡毒的病毒可能會(huì)在傳播前刪除或破壞特定的文件 病毒可通過(guò)電子郵件附件 下載的文件 即時(shí)消息或磁盤 CD或USB設(shè)備傳輸 參見(jiàn)電子版教材動(dòng)畫8 2 1 2 8 2 1病毒 蠕蟲和特洛伊木馬 蠕蟲類似于病毒 與病毒不同的是它無(wú)需將自身附加到現(xiàn)有的程序中 蠕蟲使用網(wǎng)絡(luò)將自己的副本發(fā)送到任何所連接的主機(jī)中 蠕蟲可獨(dú)立運(yùn)行并迅速傳播 它并不一定需要激活或人類干預(yù)才會(huì)發(fā)作 自我傳播的網(wǎng)絡(luò)蠕蟲所造成的影響可能比單個(gè)病毒更為嚴(yán)重 而且可迅速造成Internet大面積感染 特洛伊木馬是一種非自體復(fù)制型程序 它以合法程序的面貌出現(xiàn) 但實(shí)質(zhì)上卻是一種攻擊工具 特洛伊木馬依賴于其合法的外表來(lái)欺騙受害人啟動(dòng)該程序 它的危害性可能相對(duì)較低 但也可能包含可損壞計(jì)算機(jī)硬盤內(nèi)容的代碼 特洛伊木馬還可為系統(tǒng)創(chuàng)建后門 從而使黑客獲得訪問(wèn)權(quán) 8 2 1拒絕服務(wù)和暴力攻擊 拒絕服務(wù) DoS DoS攻擊是針對(duì)單個(gè)計(jì)算機(jī)或一組計(jì)算機(jī)執(zhí)行的一種侵略性攻擊 目的是拒絕為特定用戶提供服務(wù) DoS攻擊可針對(duì)最終用戶系統(tǒng) 服務(wù)器 路由器和網(wǎng)絡(luò)鏈接發(fā)起 兩種常見(jiàn)的DoS攻擊為 SYN 并發(fā) 洪水攻擊 向服務(wù)器發(fā)送大量請(qǐng)求客戶端連接的數(shù)據(jù)包 這些數(shù)據(jù)包中包含無(wú)效的源IP地址 服務(wù)器會(huì)因?yàn)樵噲D響應(yīng)這些虛假請(qǐng)求而變得極為忙碌 導(dǎo)致無(wú)法響應(yīng)合法請(qǐng)求 死亡之ping 向設(shè)備發(fā)送超過(guò)IP所允許的最大大小 65 535字節(jié) 的數(shù)據(jù)包 這可導(dǎo)致接收系統(tǒng)崩潰 8 2 1拒絕服務(wù)和暴力攻擊 8 2 1拒絕服務(wù)和暴力攻擊 分布式拒絕服務(wù) DDoS DDoS的運(yùn)行規(guī)模遠(yuǎn)比DoS攻擊更大 通常會(huì)有成百上千個(gè)攻擊點(diǎn)試圖同時(shí)淹沒(méi)攻擊目標(biāo) 攻擊點(diǎn)可能是之前感染了DDoS代碼的沒(méi)有設(shè)防的計(jì)算機(jī) 感染DDoS代碼的系統(tǒng)會(huì)在被調(diào)用時(shí)攻擊目標(biāo)站點(diǎn) 暴力攻擊攻擊者使用運(yùn)行速度很快的計(jì)算機(jī)來(lái)嘗試猜測(cè)密碼或破解加密密鑰 攻擊者會(huì)在短時(shí)間內(nèi)嘗試大量可能的密碼來(lái)獲取訪問(wèn)權(quán)限或破譯密鑰 暴力攻擊可引起針對(duì)特定資源的通信量過(guò)大或用戶帳戶鎖定 從而導(dǎo)致拒絕服務(wù) 參見(jiàn)電子版教材動(dòng)畫8 2 2 2 8 2 3間諜軟件 跟蹤C(jī)ookie 廣告軟件和彈出廣告 許多威脅的目的是收集用戶的相關(guān)信息以用于廣告 盡管它們可能不會(huì)損壞計(jì)算機(jī) 但仍會(huì)侵犯隱私 而且非常招人反感 間諜軟件是一種程序 用于在未得到用戶認(rèn)可或用戶不知情的情況下從計(jì)算機(jī)中收集個(gè)人信息 然后 這些個(gè)人信息會(huì)發(fā)送至Internet上的廣告商或第三方 其中可能包含密碼和帳戶號(hào)碼 間諜軟件通常是在下載文件 安裝其它程序或單擊彈出廣告時(shí)暗中安裝 它會(huì)降低計(jì)算機(jī)速度 更改內(nèi)部設(shè)置 導(dǎo)致更多的漏洞暴露給其它威脅 此外 間諜軟件也難以刪除 跟蹤C(jī)ookie Cookie是間諜軟件的一種形式 但也有一些Cookie起到積極的作用 Cookie用于在Internet用戶訪問(wèn)網(wǎng)站時(shí)記錄用戶的信息 由于它允許個(gè)性化定制以及其它一些節(jié)省時(shí)間的方法 所以可能相當(dāng)有用并受人歡迎 許多網(wǎng)站都要求用戶啟用cookie后才能進(jìn)行連接 8 2 3間諜軟件 跟蹤C(jī)ookie 廣告軟件和彈出廣告 廣告軟件是另一種形式的間諜軟件 它通過(guò)用戶訪問(wèn)的網(wǎng)站收集用戶信息 這些信息之后會(huì)被利用進(jìn)行針對(duì)性的廣告宣傳 彈出廣告和背投廣告是用戶在瀏覽網(wǎng)站時(shí)顯示的附加廣告宣傳窗口 與廣告軟件不同 彈出廣告和背投廣告并不收集關(guān)于用戶的信息 而且通常只與所訪問(wèn)的網(wǎng)站關(guān)聯(lián) 彈出廣告 在當(dāng)前瀏覽器窗口的前端打開 背投廣告 在當(dāng)前瀏覽器窗口的后端打開 8 2 3間諜軟件 跟蹤C(jī)ookie 廣告軟件和彈出廣告 8 2 4垃圾郵件 垃圾郵件是非常嚴(yán)重的網(wǎng)絡(luò)威脅 可導(dǎo)致ISP 電子郵件服務(wù)器和最終用戶系統(tǒng)不堪重負(fù) 垃圾郵件發(fā)送者通常利用未受安全保護(hù)的電子郵件服務(wù)器來(lái)轉(zhuǎn)發(fā)電子郵件 垃圾郵件發(fā)送者可能使用黑客技術(shù) 例如病毒 蠕蟲和特洛伊木馬 來(lái)控制家用計(jì)算機(jī) 受控的這些計(jì)算機(jī)就會(huì)被用來(lái)在主人毫不知情的情況下發(fā)送垃圾郵件 垃圾郵件可通過(guò)電子郵件發(fā)送 如今它們還可通過(guò)即時(shí)消息軟件發(fā)送 據(jù)估計(jì) Internet上的每個(gè)用戶每年收到的垃圾電子郵件超過(guò)3 000封 垃圾郵件消耗了大量的Internet帶寬 此問(wèn)題的嚴(yán)重性已引起了許多國(guó)家的重視 各國(guó)紛紛出臺(tái)法律管制垃圾郵件的使用 參見(jiàn)電子版教材動(dòng)畫8 2 4 1 8 3 1常用安全措施 安全風(fēng)險(xiǎn)無(wú)法徹底消除或預(yù)防 但有效的風(fēng)險(xiǎn)管理和評(píng)估可顯著減少現(xiàn)有的安全風(fēng)險(xiǎn) 要將風(fēng)險(xiǎn)降至最低 人們必須認(rèn)識(shí)到一點(diǎn) 沒(méi)有任何一件產(chǎn)品可為組織提供絕對(duì)的安全保護(hù) 要獲得真正的網(wǎng)絡(luò)安全 需要結(jié)合應(yīng)用多種產(chǎn)品和服務(wù) 制定徹底的安全策略并嚴(yán)格實(shí)施該策略 安全策略 標(biāo)識(shí)和身份驗(yàn)證策略密碼策略合理使用規(guī)定遠(yuǎn)程訪問(wèn)策略網(wǎng)絡(luò)維護(hù)程序事件處理程序 參見(jiàn)電子版教材動(dòng)畫8 3 1 1 8 3 1常用安全措施 安全策略通過(guò)安全規(guī)程實(shí)施 這些規(guī)程定義了主機(jī)和網(wǎng)絡(luò)設(shè)備的配置 登錄 審計(jì)和維護(hù)過(guò)程 其中包括使用預(yù)防性措施來(lái)降低風(fēng)險(xiǎn) 以及采用主動(dòng)措施來(lái)處理已知安全威脅 可保護(hù)網(wǎng)絡(luò)安全的一些安全工具和應(yīng)用程序有 軟件補(bǔ)丁和更新病毒防護(hù)間諜軟件防護(hù)垃圾郵件攔截器彈出廣告攔截器防火墻 參見(jiàn)電子版教材動(dòng)畫8 3 1 2 8 3 2更新和補(bǔ)丁 黑客用來(lái)獲取主機(jī)和 或 網(wǎng)絡(luò)訪問(wèn)權(quán)的最常見(jiàn)方法之一便是利用軟件漏洞 因而及時(shí)對(duì)軟件應(yīng)用程序應(yīng)用最新安全補(bǔ)丁和更新以阻止威脅極為重要 補(bǔ)丁是修復(fù)特定問(wèn)題的一小段代碼 更新則可能包含要添加到軟件包中的附加功能以及針對(duì)特定問(wèn)題的補(bǔ)丁 操作系統(tǒng) 例如Linux Windows等 和應(yīng)用程序廠商會(huì)不斷提供更新和安全補(bǔ)丁 以更正軟件中已知的漏洞 此外 廠商通常還會(huì)發(fā)布補(bǔ)丁和更新的集合 稱為服務(wù)包 值得慶幸的是 許多操作系統(tǒng)都具有自動(dòng)更新功能 可在主機(jī)上自動(dòng)下載和安裝操作系統(tǒng)與應(yīng)用程序更新 8 3 3防病毒軟件 檢測(cè)病毒 即使操作系統(tǒng)和應(yīng)用程序應(yīng)用了所有最新的補(bǔ)丁和更新 仍然容易遭到攻擊 任何連接到網(wǎng)絡(luò)的設(shè)備都可能會(huì)感染上病毒 蠕蟲和特洛伊木馬 這些攻擊可損壞操作系統(tǒng)代碼 影響計(jì)算機(jī)性能 更改應(yīng)用程序和毀壞數(shù)據(jù) 感染病毒 蠕蟲或特洛伊木馬后 可能出現(xiàn)的癥狀有 計(jì)算機(jī)行為開始變得不正常 程序不響應(yīng)鼠標(biāo)和擊鍵 程序自行啟動(dòng)或關(guān)閉 電子郵件程序開始外發(fā)大量電子郵件 CPU使用率非常高 有不認(rèn)識(shí)的 或大量進(jìn)程運(yùn)行 計(jì)算機(jī)速度顯著下降或崩潰 8 3 3防病毒軟件 防病毒軟件可用作預(yù)防工具和反應(yīng)工具 它可預(yù)防感染 并能檢測(cè)和刪除病毒 蠕蟲和特洛伊木馬 連接到網(wǎng)絡(luò)的所有計(jì)算機(jī)都應(yīng)安裝防病毒軟件 市面上存在許多防病毒程序 防病毒程序可具有以下功能 電子郵件檢查 掃描傳入和傳出電子郵件 識(shí)別可疑的附件 駐留內(nèi)容動(dòng)態(tài)掃描 在訪問(wèn)可執(zhí)行文件和文檔時(shí)對(duì)它們進(jìn)行檢查 計(jì)劃掃描 可根據(jù)計(jì)劃按固定的間隔運(yùn)行病毒掃描以及檢查特定的驅(qū)動(dòng)器或整個(gè)計(jì)算機(jī) 自動(dòng)更新 檢查和下載已知的病毒特征碼和樣式 并可設(shè)為定期檢查更新 8 3 4反垃圾郵件 垃圾郵件不僅惹人討厭 還可能造成電子郵件服務(wù)器過(guò)載 有時(shí)還攜帶有病毒和其它安全威脅 垃圾郵件發(fā)送者還可以通過(guò)在主機(jī)上植入病毒或特洛伊木馬代碼來(lái)控制主機(jī) 讓受控主機(jī)在用戶毫不知情的情況下發(fā)送垃圾郵件 受到這種形式感染的計(jì)算機(jī)稱為 垃圾郵件工廠 反垃圾郵件軟件可識(shí)別垃圾郵件并執(zhí)行相應(yīng)操作 例如將其放置到垃圾郵件文件夾或刪除 從而為主機(jī)提供保護(hù) 此類軟件可在機(jī)器本地加載 也可在電子郵件服務(wù)器上加載 此外 許多ISP也提供垃圾郵件過(guò)濾器 反垃圾郵件軟件無(wú)法識(shí)別所有的垃圾郵件 因此打開電子郵件時(shí)仍須非常謹(jǐn)慎 有時(shí)候 有用的電子郵件也會(huì)被錯(cuò)誤地當(dāng)作垃圾郵件處理了 參見(jiàn)電子版教材動(dòng)畫8 3 4 1 除了使用垃圾郵件攔截器以外 還可使用其它預(yù)防措施來(lái)防止垃圾郵件傳播 這些措施包括 及時(shí)應(yīng)用現(xiàn)有的操作系統(tǒng)和應(yīng)用程序更新 定期運(yùn)行防病毒程序 并始終保持最新版本 不要轉(zhuǎn)發(fā)可疑的電子郵件 不要打開電子郵件附件 尤其是來(lái)自陌生人的郵件附件 設(shè)置電子郵件規(guī)則 刪除繞過(guò)反垃圾郵件軟件的垃圾郵件 標(biāo)識(shí)垃圾郵件來(lái)源 并將其報(bào)告給網(wǎng)絡(luò)管理員以便阻隔該來(lái)源 將事件報(bào)告給處理垃圾郵件濫用的政府機(jī)構(gòu) 8 3 4反垃圾郵件 8 3 5反間諜軟件 反間諜軟件和廣告軟件間諜軟件和廣告軟件也會(huì)導(dǎo)致類似病毒的癥狀 除了收集未經(jīng)授權(quán)的信息外 它們還會(huì)占用重要的計(jì)算機(jī)資源并影響性能 反間諜軟件可檢測(cè)和刪除間諜軟件應(yīng)用程序 并防止這些程序?qū)?lái)再度安裝 許多反間諜軟件應(yīng)用程序還包括cookie及廣告軟件的檢測(cè)和刪除功能 某些防病毒軟件包具有反間諜軟件功能 彈出廣告攔截器可安裝彈出廣告攔截器軟件來(lái)阻止彈出廣告和背投廣告 許多Web瀏覽器默認(rèn)包含彈出廣告攔截器的功能 請(qǐng)注意 某些程序和網(wǎng)頁(yè)會(huì)生成必要和有用的彈出窗口 因此 大多數(shù)彈出廣告攔截器都具有忽略功能 即允許某些彈出窗口 8 4 1什么是防火墻 防火墻是保護(hù)內(nèi)部網(wǎng)絡(luò)用戶遠(yuǎn)離外部威脅的最為有效的安全工具之一 防火墻駐留在兩個(gè)或多個(gè)網(wǎng)絡(luò)之間 控制其間的通信量并幫助阻止未授權(quán)的訪問(wèn) 數(shù)據(jù)包過(guò)濾 根據(jù)IP或MAC地址阻止或允許訪問(wèn) 應(yīng)用程序 網(wǎng)站過(guò)濾 根據(jù)應(yīng)用程序來(lái)阻止或允許訪問(wèn) 網(wǎng)站阻隔則通過(guò)指定網(wǎng)站URL地址或關(guān)鍵字來(lái)實(shí)現(xiàn) 狀態(tài)封包偵測(cè) SPI 傳入數(shù)據(jù)包必須是對(duì)內(nèi)部主機(jī)所發(fā)出請(qǐng)求的合法響應(yīng) 除非得到特別允許 否則未經(jīng)請(qǐng)求的數(shù)據(jù)包會(huì)被阻隔 狀態(tài)封包偵測(cè)還可具有識(shí)別和過(guò)濾特定類型攻擊 例如DoS 的能力 8 4 1什么是防火墻 防火墻可支持一個(gè)或多個(gè)此類過(guò)濾功能 此外 防火墻通常會(huì)執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換將一個(gè)內(nèi)部地址或一組地址轉(zhuǎn)換為一個(gè)公開的外部地址 該地址會(huì)通過(guò)網(wǎng)絡(luò)傳送 從而實(shí)現(xiàn)了對(duì)外部用戶隱藏內(nèi)部IP地址的目的 8 4 1什么是防火墻 防火墻產(chǎn)品具有各種形式 基于設(shè)備的防火墻 此類防火墻內(nèi)置在專用的硬件設(shè)備 稱為安全設(shè)備 中 基于服務(wù)器的防火墻 此類防火墻是在網(wǎng)絡(luò)操作系統(tǒng) NOS 例如UNIX Windows或Novell 上運(yùn)行的防火墻應(yīng)用程序 集成防火墻 此類防火墻通過(guò)對(duì)現(xiàn)有設(shè)備 例如路由器 添加防火墻功能來(lái)實(shí)現(xiàn) 個(gè)人防火墻 此類防火墻駐留在主機(jī)計(jì)算機(jī)中 不能用于LAN實(shí)施 它可以由操作系統(tǒng)默認(rèn)提供 也可以由外部廠商提供安裝 8 4 2使用防火墻 通過(guò)在內(nèi)部網(wǎng)絡(luò) 內(nèi)部網(wǎng) 和Internet之間設(shè)置防火墻作為邊界設(shè)備 所有往來(lái)Internet的通信量都會(huì)被監(jiān)視和控制 如此一來(lái) 便在內(nèi)部和外部網(wǎng)絡(luò)之間劃分了一條清晰的防御界線 然而 可能會(huì)有一些外部客戶需要訪問(wèn)內(nèi)部資源 為此 可配置一個(gè)非軍事區(qū) DMZ 術(shù)語(yǔ) 非軍事區(qū) 借用自軍事用語(yǔ) 它代表兩股勢(shì)力之間的一個(gè)指定區(qū)域 在該區(qū)域內(nèi)不允許執(zhí)行任何軍事活動(dòng) 在計(jì)算機(jī)網(wǎng)絡(luò)中 非軍事區(qū)代表內(nèi)部和外部用戶都可訪問(wèn)的網(wǎng)絡(luò)區(qū)域 其安全性高于外部網(wǎng)絡(luò) 低于內(nèi)部網(wǎng)絡(luò) 它是由一個(gè)或多個(gè)防火墻創(chuàng)建的 這些防火墻起到分隔內(nèi)部 非軍事區(qū)和外部網(wǎng)絡(luò)的作用 用于公開訪問(wèn)的Web服務(wù)器通常位于非軍事區(qū)中 參見(jiàn)電子版教材動(dòng)畫8 4 2 1 8 4 2使用防火墻 單防火墻配置單個(gè)防火墻包含三個(gè)區(qū)域 分別用于外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò)和非軍事區(qū) 來(lái)自外部網(wǎng)絡(luò)的所有通信量都被發(fā)送到防火墻 然后防火墻會(huì)監(jiān)控通信量 決定哪些通信量應(yīng)傳送到非軍事區(qū) 哪些應(yīng)