第二節(jié)網(wǎng)絡(luò)安全技術(shù)

1、一、防火墻技術(shù)一、防火墻技術(shù)定義定義 所謂防火墻指的是一個(gè)由軟件和硬件所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障造的保護(hù)屏障.是一種獲取安全性方法是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使軟件的結(jié)合，使Internet與與Intranet之之間建立起一個(gè)安全網(wǎng)關(guān)從而保護(hù)內(nèi)部間建立起一個(gè)安全網(wǎng)關(guān)從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾由服務(wù)訪問規(guī)

2、則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，個(gè)部分組成， 防火墻就是一個(gè)位于計(jì)算機(jī)和它所連防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。此防火墻。 在網(wǎng)絡(luò)中，所謂在網(wǎng)絡(luò)中，所謂“防火墻防火墻”，是指一，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如如Internet)分開的方法，它實(shí)際上是一種隔離技分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你的一種訪問控制尺度，它能允許你“

3、同意同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你同時(shí)將你“不同意不同意”的人和數(shù)據(jù)拒之的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。來訪問你的網(wǎng)絡(luò)。 換句話說，如果不通過防火墻，公司換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人上的人也無法和公司內(nèi)部的人進(jìn)行通信。進(jìn)行通信。作用作用 防火墻具有很好的保護(hù)作用。入侵者防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻能接觸目

4、標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。等，但至少這是你自己的保護(hù)選擇。 類型類型 網(wǎng)絡(luò)層防火墻網(wǎng)絡(luò)層防火墻 網(wǎng)絡(luò)層防火墻可視為一種網(wǎng)絡(luò)層防火墻可視為一種 IP IP 封封包過濾器，運(yùn)作在底層的包過濾器，運(yùn)作在底層的 TCP/IP TCP/IP 協(xié)協(xié)議堆棧上。我們可以以枚舉的方式，議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻。這些規(guī)則余的一概禁止穿越防火墻。這些規(guī)則通?？梢越?jīng)由管

5、理員定義或修改，不通?？梢越?jīng)由管理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。的規(guī)則。 我們也能以另一種較寬松的角度來我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)何一項(xiàng)“否定規(guī)則否定規(guī)則”就予以放行?，F(xiàn)就予以放行?，F(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。防火墻功能。 較新的防火墻能利用封包的多樣屬較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾，例如：來源性來進(jìn)行過濾，例如：來源 IP 地址、地址、來源端口號(hào)、目的來源端口號(hào)、目的 IP 地址或端口號(hào)、地址或端口號(hào)

6、、服務(wù)類型服務(wù)類型(如如 WWW 或是或是 FTP)。也能。也能經(jīng)由通信協(xié)議、經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域值、來源的網(wǎng)域名稱或網(wǎng)段名稱或網(wǎng)段.等屬性來進(jìn)行過濾。等屬性來進(jìn)行過濾。應(yīng)用層防火墻應(yīng)用層防火墻 應(yīng)用層防火墻是在應(yīng)用層防火墻是在 TCP/IP 堆棧的堆棧的“應(yīng)用層應(yīng)用層”上運(yùn)作，您使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流上運(yùn)作，您使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或是使用或是使用 FTP 時(shí)的數(shù)據(jù)流都是屬于這一層。時(shí)的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包所有封包，并且封鎖其他的封包(通常是直通常是直接將封包丟棄接將

7、封包丟棄)。理論上，這一類的防火墻。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。機(jī)器里。 防火墻借由監(jiān)測(cè)所有的封包并找出不符規(guī)防火墻借由監(jiān)測(cè)所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實(shí)現(xiàn)而言，這個(gè)方序的快速蔓延。不過就實(shí)現(xiàn)而言，這個(gè)方法既煩且雜法既煩且雜(軟件有千千百百種啊軟件有千千百百種啊)，所以大，所以大部分的防火墻都不會(huì)考慮以這種方法設(shè)計(jì)。部分的防火墻都不會(huì)考慮以這種方法設(shè)計(jì)。 XML 防火墻是一種新型態(tài)的應(yīng)用層防火防火墻是一種新型態(tài)的應(yīng)用層防火墻。墻?；咎?/p>

8、性基本特性 （一）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)（一）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻 這是防火這是防火墻所處網(wǎng)絡(luò)位置特性，同時(shí)也是一個(gè)前提。墻所處網(wǎng)絡(luò)位置特性，同時(shí)也是一個(gè)前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)信的唯一通道，才可以全面、有效地保護(hù)企業(yè)網(wǎng)部網(wǎng)絡(luò)不受侵害企業(yè)網(wǎng)部網(wǎng)絡(luò)不受侵害 根據(jù)美國(guó)國(guó)家安全局制定的根據(jù)美國(guó)國(guó)家安全局制定的信息保信息保障技術(shù)框架障技術(shù)框架，防火墻適用于用戶網(wǎng)，防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全

9、保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即是采安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。 防火墻的目的就是在網(wǎng)絡(luò)連接之間建防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過允許、拒絕立一個(gè)安全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。審計(jì)和控制。 典型

10、的防火墻體系網(wǎng)絡(luò)結(jié)構(gòu)如下圖所典型的防火墻體系網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。從圖中可以看出，防火墻的一端示。從圖中可以看出，防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡(luò)之間的通信都要經(jīng)過防火墻。部網(wǎng)絡(luò)之間的通信都要經(jīng)過防火墻。 InternetInternet防火墻防火墻局域網(wǎng)局域網(wǎng)Hx1x1根據(jù)根據(jù)規(guī)則規(guī)則判斷判斷是否是否允許允許分組分組通過通過防火墻的拓?fù)浣Y(jié)構(gòu)（防火墻的拓?fù)浣Y(jié)構(gòu)（1）內(nèi)部網(wǎng)內(nèi)部網(wǎng)FTP服務(wù)器服務(wù)器WWW服務(wù)器服務(wù)器防火墻防火墻外部?jī)?nèi)部12Internet路由器路由器路由器路由器防火墻的

11、拓?fù)浣Y(jié)構(gòu)（防火墻的拓?fù)浣Y(jié)構(gòu)（2）內(nèi)部網(wǎng)內(nèi)部網(wǎng)FTP服務(wù)器服務(wù)器WWW服務(wù)器服務(wù)器防火墻防火墻外部?jī)?nèi)部12Internet路由器路由器防火墻防火墻防火墻的拓?fù)浣Y(jié)構(gòu)（防火墻的拓?fù)浣Y(jié)構(gòu)（3）內(nèi)部網(wǎng)內(nèi)部網(wǎng)FTP服務(wù)器服務(wù)器WWW服務(wù)器服務(wù)器防火墻防火墻外部?jī)?nèi)部12Internet路由器路由器防火墻防火墻內(nèi)部網(wǎng)內(nèi)部網(wǎng)FTP服務(wù)器服務(wù)器WWW服務(wù)器服務(wù)器防火墻防火墻路由器路由器防火墻防火墻 定義 計(jì)算機(jī)病毒計(jì)算機(jī)病毒(Computer Virus)在在中中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例護(hù)條例中被明確定義，病毒指中被明確定義，病毒指“編編制者在計(jì)算機(jī)程序中插入的破壞計(jì)

12、算制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自用并且能夠自 我復(fù)制的一組計(jì)算機(jī)指我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼令或者程序代碼”。 而在一般教科書及通用資料中被定義而在一般教科書及通用資料中被定義為為:利用計(jì)算機(jī)軟件與硬件的缺陷，由利用計(jì)算機(jī)軟件與硬件的缺陷，由被感染機(jī)內(nèi)部發(fā)出的破壞計(jì)算機(jī)數(shù)據(jù)被感染機(jī)內(nèi)部發(fā)出的破壞計(jì)算機(jī)數(shù)據(jù)并影響計(jì)算機(jī)正常工作的一組指令集并影響計(jì)算機(jī)正常工作的一組指令集或程序代碼或程序代碼 。計(jì)算機(jī)病毒最早出現(xiàn)在。計(jì)算機(jī)病毒最早出現(xiàn)在70年代年代 David Gerrold 科幻小說科幻小說 When H.A.

13、R.L.I.E. was One. 最早科學(xué)定義出現(xiàn)在最早科學(xué)定義出現(xiàn)在 1983:在在Fred Cohen (南加大南加大) 的博士論文的博士論文 “計(jì)算機(jī)計(jì)算機(jī)病毒實(shí)驗(yàn)病毒實(shí)驗(yàn)”“”“一種能把自己一種能把自己(或經(jīng)演變或經(jīng)演變)注入其它程序的計(jì)算機(jī)程序注入其它程序的計(jì)算機(jī)程序”啟動(dòng)區(qū)啟動(dòng)區(qū)病毒病毒,宏宏(macro)病毒病毒,腳本腳本(script)病毒病毒也是相同概念傳播機(jī)制同生物病毒類也是相同概念傳播機(jī)制同生物病毒類似似.生物病毒是把自己注入細(xì)胞之中。生物病毒是把自己注入細(xì)胞之中。熊貓燒香病毒（尼姆亞病毒變種）預(yù)防預(yù)防 病毒往往會(huì)利用計(jì)算機(jī)操作系統(tǒng)的弱點(diǎn)病毒往往會(huì)利用計(jì)算機(jī)操作系統(tǒng)的弱

14、點(diǎn)進(jìn)行傳播，提高系統(tǒng)的安全性是防病毒的進(jìn)行傳播，提高系統(tǒng)的安全性是防病毒的一個(gè)重要方面，但完美的系統(tǒng)是不存在的，一個(gè)重要方面，但完美的系統(tǒng)是不存在的，過于強(qiáng)調(diào)提高系統(tǒng)的安全性將使系統(tǒng)多數(shù)過于強(qiáng)調(diào)提高系統(tǒng)的安全性將使系統(tǒng)多數(shù)時(shí)間用于病毒檢查，系統(tǒng)失去了可用性、時(shí)間用于病毒檢查，系統(tǒng)失去了可用性、實(shí)用性和易用性，另一方面，信息保密的實(shí)用性和易用性，另一方面，信息保密的要求讓人們?cè)谛姑芎妥プ〔《局g無法選要求讓人們?cè)谛姑芎妥プ〔《局g無法選擇。病毒與反病毒將作為一種技術(shù)對(duì)抗長(zhǎng)擇。病毒與反病毒將作為一種技術(shù)對(duì)抗長(zhǎng)期存在，兩種技術(shù)都將隨計(jì)算機(jī)技術(shù)的發(fā)期存在，兩種技術(shù)都將隨計(jì)算機(jī)技術(shù)的發(fā)展而得到長(zhǎng)期的發(fā)展

15、。展而得到長(zhǎng)期的發(fā)展。產(chǎn)生產(chǎn)生 病毒不是來源于突發(fā)或偶然的原因。一次病毒不是來源于突發(fā)或偶然的原因。一次突發(fā)的停電和偶然的錯(cuò)誤，會(huì)在計(jì)算機(jī)的突發(fā)的停電和偶然的錯(cuò)誤，會(huì)在計(jì)算機(jī)的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令，磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令，但這些代碼是無序和混亂的，病毒則是一但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)種比較完美的，精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來，病毒不會(huì)通過偶然境相適應(yīng)和配合起來，病毒不會(huì)通過偶然形成，并且需要有一定的長(zhǎng)度，這個(gè)基本形成，并且需要有一定的長(zhǎng)度，

16、這個(gè)基本的長(zhǎng)度從概率上來講是不可能通過隨機(jī)代的長(zhǎng)度從概率上來講是不可能通過隨機(jī)代碼產(chǎn)生的。碼產(chǎn)生的。 現(xiàn)在流行的病毒是由人為故意編寫的，多數(shù)病毒現(xiàn)在流行的病毒是由人為故意編寫的，多數(shù)病毒可以找到作者和產(chǎn)地信息，從大量的統(tǒng)計(jì)分析來可以找到作者和產(chǎn)地信息，從大量的統(tǒng)計(jì)分析來看，病毒作者主要情況和目的是：一些天才的程看，病毒作者主要情況和目的是：一些天才的程序員為了表現(xiàn)自己和證明自己的能力，出于對(duì)上序員為了表現(xiàn)自己和證明自己的能力，出于對(duì)上司的不滿，為了好奇，為了報(bào)復(fù)，為了祝賀和求司的不滿，為了好奇，為了報(bào)復(fù)，為了祝賀和求愛，為了得到控制口令，為了軟件拿不到報(bào)酬預(yù)愛，為了得到控制口令，為了軟件拿不到

17、報(bào)酬預(yù)留的陷阱等當(dāng)然也有因政治，軍事，宗教，民留的陷阱等當(dāng)然也有因政治，軍事，宗教，民族專利等方面的需求而專門編寫的，其中也包族專利等方面的需求而專門編寫的，其中也包括一些病毒研究機(jī)構(gòu)和黑客的測(cè)試病毒括一些病毒研究機(jī)構(gòu)和黑客的測(cè)試病毒特點(diǎn)特點(diǎn) 計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn)：計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn)： 寄生性寄生性 計(jì)算機(jī)病毒寄生在其他程序之中，計(jì)算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個(gè)程序時(shí)，病毒就起破壞作當(dāng)執(zhí)行這個(gè)程序時(shí)，病毒就起破壞作用，而在未啟動(dòng)這個(gè)程序之前，它是用，而在未啟動(dòng)這個(gè)程序之前，它是不易被人發(fā)覺的。不易被人發(fā)覺的。傳染性傳染性 計(jì)算機(jī)病毒不但本身具有破壞性，更有害計(jì)算機(jī)病毒不但

18、本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。傳染性變種，其速度之快令人難以預(yù)防。傳染性是病毒的基本特征。在生物界，病毒通過是病毒的基本特征。在生物界，病毒通過傳染從一個(gè)生物體擴(kuò)散到另一個(gè)生物體。傳染從一個(gè)生物體擴(kuò)散到另一個(gè)生物體。在適當(dāng)?shù)臈l件下，它可得到大量繁殖，并在適當(dāng)?shù)臈l件下，它可得到大量繁殖，并使被感染的生物體表現(xiàn)出病癥甚至死亡。使被感染的生物體表現(xiàn)出病癥甚至死亡。 同樣，計(jì)算機(jī)病毒也會(huì)通過各種渠道從已同樣，計(jì)算機(jī)病毒也會(huì)通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱常甚至癱 瘓。與生物病毒不同的是，計(jì)算瘓。與生物病毒不同的是，計(jì)算機(jī)