(完整word版)系統(tǒng)容錯(cuò)和安全機(jī)制

網(wǎng)絡(luò)系統(tǒng)的容錯(cuò)和安全設(shè)計(jì)第一章網(wǎng)絡(luò)系統(tǒng)的容錯(cuò)設(shè)計(jì)第一章網(wǎng)絡(luò)系統(tǒng)的容錯(cuò)設(shè)計(jì)網(wǎng)絡(luò)容錯(cuò)概述采用用友網(wǎng)絡(luò)財(cái)務(wù)軟件NC（基金Web版）Web系統(tǒng)后，基金管理公司及托管行的所有數(shù)據(jù)都存放在數(shù)據(jù)庫(kù)服務(wù)器中，服務(wù)器的宕機(jī)，會(huì)給企業(yè)帶來(lái)巨大的損失；這就要求一旦生產(chǎn)用服務(wù)器產(chǎn)生任何形式的宕機(jī)或失效，網(wǎng)絡(luò)上備用的服務(wù)器能夠立即接管宕機(jī)的服務(wù)器使整個(gè)系統(tǒng)不至于崩潰，從而保證整個(gè)企業(yè)的業(yè)務(wù)連續(xù)運(yùn)作。保證系統(tǒng)高可用性，應(yīng)從以下幾方面著手設(shè)計(jì)：1、數(shù)據(jù)鏡像數(shù)據(jù)鏡像是一種有效、高性能的高可用性解決方案，它不需要昂貴的RAID磁盤(pán)子系統(tǒng)，也無(wú)需考慮SCSI接口對(duì)纜線長(zhǎng)度的限制。可擴(kuò)展的磁盤(pán)鏡像運(yùn)行在兩臺(tái)相互獨(dú)立又有備份邏輯的服務(wù)器之間。通過(guò)不斷檢測(cè)主系統(tǒng)磁盤(pán)或文件（源）的狀態(tài)，而實(shí)時(shí)地將改動(dòng)的信息鏡像到目標(biāo)機(jī)器的相應(yīng)磁盤(pán)上或文件中。為了保證數(shù)據(jù)的完整性，擴(kuò)展鏡像限制了用戶(hù)對(duì)目標(biāo)磁盤(pán)或文件的寫(xiě)操作。通過(guò)使用可擴(kuò)展的磁盤(pán)鏡像，源系統(tǒng)的任何數(shù)據(jù)更新將通過(guò)LANs和WANs鏡像到用戶(hù)指定的目標(biāo)系統(tǒng)上，當(dāng)源系統(tǒng)發(fā)生數(shù)據(jù)丟失或硬盤(pán)損壞時(shí)在目標(biāo)系統(tǒng)上將保留一份鏡像數(shù)據(jù)。有些可擴(kuò)展的磁盤(pán)鏡像軟件可以實(shí)現(xiàn)一對(duì)一、一對(duì)多、多對(duì)一及多對(duì)多的數(shù)據(jù)鏡像而不需要任何附加的硬件設(shè)備。2、故障切換從系統(tǒng)確信不能收到來(lái)自主系統(tǒng)的”alive”心跳信號(hào)后，就開(kāi)始啟動(dòng)從系統(tǒng)上的自動(dòng)恢復(fù)功能，將主系統(tǒng)上的需要保護(hù)的資源自動(dòng)轉(zhuǎn)移到從系統(tǒng)上，并開(kāi)始向客戶(hù)提供服務(wù)。一個(gè)比較好的機(jī)制在于如果從系統(tǒng)感覺(jué)不到主系統(tǒng)的心跳后，試圖通過(guò)其他途徑做進(jìn)一步地檢測(cè)（例如檢測(cè)其他客戶(hù)機(jī)是否不能獲得主系統(tǒng)的服務(wù)）。故障切換的時(shí)間是指從系統(tǒng)自確信主系統(tǒng)“死掉”后，到完全接管主系統(tǒng)并向客戶(hù)提供服務(wù)止所經(jīng)歷的時(shí)間，時(shí)間越短，熱備份程度越高。當(dāng)從服務(wù)器發(fā)生故障時(shí)，不應(yīng)對(duì)主系統(tǒng)有任何影響。3、失效切換源要轉(zhuǎn)移到從系統(tǒng)上去，這就不但要求系統(tǒng)中的核心數(shù)據(jù)能轉(zhuǎn)移過(guò)來(lái)，還要求將其他資源轉(zhuǎn)移過(guò)來(lái)。與客戶(hù)關(guān)系比較密切的資源主要是：LAN局部網(wǎng)名，IP地址、應(yīng)用程序、以及應(yīng)用程序所依賴(lài)的數(shù)據(jù)。4、自動(dòng)恢復(fù)要求在主服務(wù)器失效后，修復(fù)好后，IP地址、局部網(wǎng)名字、數(shù)據(jù)應(yīng)用與服務(wù)應(yīng)該方便地恢復(fù)到主服務(wù)器上5、私有通信純軟件實(shí)現(xiàn)的雙機(jī)容錯(cuò)技術(shù)要求將主服務(wù)器的關(guān)鍵數(shù)據(jù)完全鏡像到從服務(wù)器，大量的數(shù)據(jù)如果通過(guò)網(wǎng)絡(luò)進(jìn)行，必然會(huì)對(duì)網(wǎng)絡(luò)性能造成影響，另外主從服務(wù)器的相互檢測(cè)機(jī)制也會(huì)不同程度的影響網(wǎng)絡(luò)性能。因此純軟件實(shí)現(xiàn)的雙機(jī)容錯(cuò)技術(shù)能夠提供附加的網(wǎng)卡鏈路將會(huì)有很大的好處。6、應(yīng)用保護(hù)雙機(jī)容錯(cuò)系統(tǒng)應(yīng)該提供非?？煽康膽?yīng)用程序保護(hù)機(jī)制，對(duì)于常用的數(shù)據(jù)庫(kù)和群件系統(tǒng)應(yīng)該能夠進(jìn)行無(wú)縫集成。7、寫(xiě)盤(pán)延遲這是一個(gè)比較重要的參數(shù)，是指數(shù)據(jù)寫(xiě)入主服務(wù)器與寫(xiě)入從服務(wù)器的時(shí)間差。WindowsN平臺(tái)下的雙機(jī)容錯(cuò)軟件—LegatoOctopusOctopusHA+forWindowsNT提供一個(gè)完全容錯(cuò)的軟件解決方案，它提供數(shù)據(jù)、應(yīng)用程序和通訊資源的高度可用性。Octopus不需要任何自定義的容錯(cuò)硬件。Octopus提供了WindowsNT網(wǎng)絡(luò)平臺(tái)的數(shù)據(jù)容錯(cuò)和實(shí)時(shí)數(shù)據(jù)保護(hù)，并且能夠模擬從一臺(tái)失效的源服務(wù)器切換到指定的目標(biāo)服務(wù)器的全部手工作業(yè)過(guò)程，用來(lái)提供不間斷的服務(wù)器的所有業(yè)務(wù)服務(wù)。Fulltime公司研制開(kāi)發(fā)的Octopus軟件提供了WindowsNT網(wǎng)絡(luò)平臺(tái)的雙機(jī)熱備份功能。它能夠?qū)崿F(xiàn)數(shù)據(jù)容錯(cuò)和實(shí)時(shí)數(shù)據(jù)保護(hù)，源系統(tǒng)的任何數(shù)據(jù)更新將通過(guò)LANs和WANs鏡像到用戶(hù)指定的目標(biāo)系統(tǒng)上，當(dāng)源系統(tǒng)發(fā)生數(shù)據(jù)丟失或硬盤(pán)損壞時(shí)在目標(biāo)系統(tǒng)上能夠得到一份鏡像文件。Octopus可以實(shí)現(xiàn)一對(duì)一、一對(duì)多、多對(duì)一及多對(duì)多的數(shù)據(jù)鏡像而不需要任何附加的硬件設(shè)備。它還能夠模擬從一臺(tái)失效的源服務(wù)器切換到指定的目標(biāo)服務(wù)器的全部手工作業(yè)過(guò)程。它通過(guò)設(shè)計(jì)一個(gè)"檢測(cè)狗"判定源服務(wù)器的連續(xù)運(yùn)做。一旦"檢測(cè)狗""聞"不到源服務(wù)器的"氣息"，目標(biāo)服務(wù)器將自動(dòng)接管源服務(wù)器的作業(yè)(包括主機(jī)名及IP地址)。Octopus消除了CPU損壞，硬盤(pán)損壞等災(zāi)難的不良影響，使得用戶(hù)業(yè)務(wù)可以連續(xù)正常運(yùn)行。OctopusHA+forWindowsNT為WindowsNT網(wǎng)絡(luò)提供實(shí)時(shí)數(shù)據(jù)保護(hù)和服務(wù)器高可用性，通過(guò)LAN或WAN,產(chǎn)品捕捉在源系統(tǒng)上選定文件的更新，傳遞到使用者指定的目標(biāo)系統(tǒng)的磁盤(pán)。即使源系統(tǒng)發(fā)生數(shù)據(jù)丟失或硬件損壞，在目標(biāo)系統(tǒng)上也能保留一份實(shí)時(shí)的數(shù)據(jù)。用戶(hù)將Octopus安裝在要作為源和/或目標(biāo)服務(wù)器的WindowsNT上。安裝和配置Octopus非常容易，只需幾分鐘。Octopus可運(yùn)行于任何WindowsNT支持的網(wǎng)絡(luò)接口上，并且不需要指定特殊的網(wǎng)卡。當(dāng)然，用戶(hù)也可以指定特殊的網(wǎng)卡以減少網(wǎng)絡(luò)負(fù)擔(dān)。對(duì)源機(jī)器，用戶(hù)指定要備份的驅(qū)動(dòng)器，目錄和/或文件，并指定用來(lái)保存數(shù)據(jù)的目標(biāo)系統(tǒng)。當(dāng)源機(jī)器上指定文件發(fā)生改變,Octopus鏡像進(jìn)程把變化同步寫(xiě)入目標(biāo)服務(wù)器的指定位置。如果源和目標(biāo)服務(wù)器的網(wǎng)絡(luò)連接發(fā)生中斷，Octopus保存源服務(wù)器上需鏡像的數(shù)據(jù)變化的日志，網(wǎng)絡(luò)連接恢復(fù)正常后，再把數(shù)據(jù)變化日志自動(dòng)地傳送到目標(biāo)服務(wù)器，目標(biāo)服務(wù)器執(zhí)行相同的數(shù)據(jù)變化，以實(shí)現(xiàn)數(shù)據(jù)一致。Octopus能實(shí)現(xiàn)一對(duì)一，一對(duì)多，多對(duì)一或多對(duì)多方式的數(shù)據(jù)鏡像。因此，除數(shù)據(jù)保護(hù)之外，它還能作為分布式數(shù)據(jù)系統(tǒng)的高效率的數(shù)據(jù)傳送工具循環(huán)。例如，對(duì)需要很多只讀版本和一個(gè)讀寫(xiě)版本的WEB節(jié)點(diǎn)，Octopus非常適用；另一方面，如果應(yīng)用系統(tǒng)需要收集遠(yuǎn)端節(jié)點(diǎn)的數(shù)據(jù)并集中于中央節(jié)點(diǎn)，可以使用Octopus多對(duì)一方式的數(shù)據(jù)鏡像。除數(shù)據(jù)保護(hù)之外,Octopus也提供核心業(yè)務(wù)環(huán)境下所需的服務(wù)器高可用性和業(yè)務(wù)連續(xù)性。SASO(SuperAutoSwitch-over)特性提供目標(biāo)服務(wù)器自動(dòng)擔(dān)任一或多個(gè)源服務(wù)器的角色的功能。在源服務(wù)器上用戶(hù)設(shè)定一個(gè)"心跳"頻率，"心跳"頻率決定了源服務(wù)器向目標(biāo)服務(wù)器發(fā)送"I'malive"消息的頻率和目標(biāo)服務(wù)器多長(zhǎng)時(shí)間收不到源服務(wù)器的消息后就開(kāi)始自動(dòng)切換。如果目標(biāo)系統(tǒng)在限定的時(shí)間之內(nèi)接收不到源系統(tǒng)”I'malive"報(bào)文，它檢查WindowsNT注冊(cè)表和服務(wù)數(shù)據(jù)庫(kù)。如果WindowsNT能在網(wǎng)絡(luò)上找到源服務(wù)器，它就持續(xù)監(jiān)視，如果找不到，就啟動(dòng)Switch-over進(jìn)程。在大的網(wǎng)絡(luò)它可能花很長(zhǎng)時(shí)間來(lái)搜索WindowsNT注冊(cè)表和服務(wù)數(shù)據(jù)庫(kù)。因此Octopus提供一個(gè)最大等待時(shí)間參數(shù)，告訴Octopus不必等搜索完成，就啟動(dòng)切換進(jìn)程。這個(gè)特性使用戶(hù)可以指定一個(gè)目標(biāo)服務(wù)器尋找源服務(wù)器的最大時(shí)間，如果在這個(gè)時(shí)間內(nèi)目標(biāo)服務(wù)器收不到源服務(wù)器的信息，就假定源服務(wù)器失效并開(kāi)始進(jìn)行切換。通過(guò)SASO,目標(biāo)服務(wù)器添加源服務(wù)器的主機(jī)名，及用戶(hù)指定的IP地址，用戶(hù)還可以指定在切換前/后要停止/啟動(dòng)的服務(wù)或應(yīng)用。切換后，目標(biāo)服務(wù)器自身的應(yīng)用仍可使用，并且可加入多個(gè)失效服務(wù)器的角色。網(wǎng)絡(luò)中的用戶(hù)可以繼續(xù)工作而感覺(jué)不到服務(wù)器已經(jīng)失效并已經(jīng)被切換。而通過(guò)ASO則是目標(biāo)服務(wù)器完全切換成源服務(wù)器的主機(jī)名，代替源服務(wù)器的工作。如果你有WindowsNT服務(wù)器，通過(guò)Octopus的實(shí)時(shí)數(shù)據(jù)保護(hù)和高可用性，可保護(hù)你的服務(wù)器和有價(jià)值的數(shù)據(jù)。Octopus軟件的特性：沒(méi)有延遲實(shí)時(shí)鏡像數(shù)據(jù)；鏡像實(shí)際文件操作，不是全文件比較或拷貝；鏡像使用者指定的文件、目錄、或磁盤(pán)，而不是整個(gè)磁盤(pán)、分區(qū)或卷集；可對(duì)打開(kāi)的文件進(jìn)行操作；對(duì)刪除的保護(hù)；每個(gè)服務(wù)器都可做為源或目標(biāo)；數(shù)據(jù)可以通過(guò)NT網(wǎng)絡(luò)鏡像到任何地方；無(wú)須附加的硬件；允許鏡像至多個(gè)位置；自動(dòng)切換無(wú)須人工干涉；SuperAutomaticSwitch-Over允許目標(biāo)服務(wù)器可接管多臺(tái)服務(wù)器的服務(wù)而不影響本身的應(yīng)用；在切換時(shí)可指定服務(wù)、應(yīng)用；遠(yuǎn)程管理或安裝；可以選用附加的網(wǎng)卡來(lái)減輕網(wǎng)絡(luò)負(fù)擔(dān)。三．惠普雙機(jī)雙控容錯(cuò)系統(tǒng)方案（1）惠普雙機(jī)雙控容錯(cuò)系統(tǒng)簡(jiǎn)介近年來(lái)隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，服務(wù)器的性能有了大幅度的提升，服務(wù)器作為處理關(guān)鍵性事物的業(yè)務(wù)主機(jī)已隨處可見(jiàn)。對(duì)于要求有高可用性和高安全性的系統(tǒng)，比如金融、郵電、交通、石油、電力、保險(xiǎn)、證券等行業(yè)，用戶(hù)提出了系統(tǒng)容錯(cuò)的要求?；萜展靖鶕?jù)用戶(hù)這一要求，推出了惠普雙機(jī)雙控容錯(cuò)系統(tǒng)方案。用二臺(tái)服務(wù)器共同工作，當(dāng)一臺(tái)服務(wù)器的系統(tǒng)出現(xiàn)故障時(shí)，另一臺(tái)服務(wù)器可確保系統(tǒng)正常運(yùn)行，從而將系統(tǒng)風(fēng)險(xiǎn)降低到最低限度，保障了系統(tǒng)的高可靠性、高安全性和高可用性?；萜针p機(jī)雙控容錯(cuò)系統(tǒng)技術(shù)基礎(chǔ)為近年來(lái)成熟起來(lái)的Cluster集群技術(shù)。Cluster集群技術(shù)出發(fā)點(diǎn)是提供高可靠性、可擴(kuò)充性和抗災(zāi)難性。惠普雙機(jī)雙控容錯(cuò)系統(tǒng)解決方案重點(diǎn)在提供高可靠性和高安全性，Cluster集群技術(shù)為此提供了技術(shù)上的保證。惠普公司為金融、郵電、交通、石油、電力、保險(xiǎn)、證券等需要安全運(yùn)行的系統(tǒng)度身定作了基于Cluster集群技術(shù)的雙機(jī)雙控容錯(cuò)系統(tǒng)方案。Cluster集群技術(shù)Cluster集群技術(shù)可如下定義：一組相互獨(dú)立的服務(wù)器在網(wǎng)絡(luò)中表現(xiàn)為單一的系統(tǒng)，并以單一系統(tǒng)的模式加以管理。此單一系統(tǒng)為客戶(hù)工作站提供高可靠性的服務(wù)。Cluster大多數(shù)模式下，集群中所有的計(jì)算機(jī)擁有一個(gè)共同的名稱(chēng)，集群內(nèi)任一系統(tǒng)上運(yùn)行的服務(wù)可被所有的網(wǎng)絡(luò)客戶(hù)所使用。Cluster必須可以協(xié)調(diào)管理各分離的組件的錯(cuò)誤和失敗,并可透明地向Cluster中加入組件。一個(gè)Cluster包含多臺(tái)（至少二臺(tái)）擁有共享數(shù)據(jù)儲(chǔ)存空間的服務(wù)器。任何一臺(tái)服務(wù)器運(yùn)行一個(gè)應(yīng)用時(shí)，應(yīng)用數(shù)據(jù)被存儲(chǔ)在共享的數(shù)據(jù)空間內(nèi)。每臺(tái)服務(wù)器的操作系統(tǒng)和應(yīng)用程序文件存儲(chǔ)在其各自的本地儲(chǔ)存空間上。Cluster內(nèi)各節(jié)點(diǎn)服務(wù)器通過(guò)一內(nèi)部局域網(wǎng)相互通訊。當(dāng)一臺(tái)節(jié)點(diǎn)服務(wù)器發(fā)生故障時(shí)，這臺(tái)服務(wù)器上所運(yùn)行的應(yīng)用程序?qū)⒃诹硪还?jié)點(diǎn)服務(wù)器上被自動(dòng)接管。當(dāng)一個(gè)應(yīng)用服務(wù)發(fā)生故障時(shí)，應(yīng)用服務(wù)將被重新啟動(dòng)或被另一臺(tái)服務(wù)器接管。當(dāng)以上任一故障發(fā)生時(shí)，客戶(hù)將能很快連接到新的應(yīng)用服務(wù)上。RmRmI圖1-1Cluster集群技術(shù)示意圖Cluster集群可由N臺(tái)服務(wù)器構(gòu)成，當(dāng)我們?nèi)luster要求的最小值N=2時(shí)，就成為一個(gè)雙機(jī)系統(tǒng)。(2).HPNetServerClusters雙機(jī)雙控容錯(cuò)系統(tǒng)方案惠普NetServer為雙機(jī)雙控容錯(cuò)系統(tǒng)提供了高品質(zhì)和高可靠的硬件基礎(chǔ)?；萜瞻逊€(wěn)定的產(chǎn)品與先進(jìn)的技術(shù)相互結(jié)合，為客戶(hù)提供全套的解決方案?；萜针p機(jī)雙控容錯(cuò)系統(tǒng)結(jié)合了惠普服務(wù)器產(chǎn)品的安全可靠性與Cluster技術(shù)的優(yōu)點(diǎn)，相互配合二者的優(yōu)勢(shì)?；萜誑etServer服務(wù)器針對(duì)Cluster技術(shù)做了許多優(yōu)化和改進(jìn)，滿(mǎn)足了Cluster所有硬件連接要求，針對(duì)Cluster需求專(zhuān)門(mén)設(shè)計(jì)了惠普獨(dú)有的ClusterAdapter，以及特殊版本的NetRAID陣列卡?；萜张c第三方軟件廠商一起充分分析了客戶(hù)的需求，基于UNIX應(yīng)用環(huán)境的實(shí)際情況，研制了雙機(jī)雙控軟件ServerGuard；基于WindowsNT應(yīng)用環(huán)境的實(shí)際情況，研制了雙機(jī)雙控軟件Dataware。與微軟公司合作，提供了運(yùn)行WolfPack的硬件平臺(tái)。惠普雙機(jī)雙控容錯(cuò)系統(tǒng)是惠普提供的全套解決方案，并由惠普提供技術(shù)保障。圖1-2惠普雙機(jī)雙控容錯(cuò)系統(tǒng)示意圖第二章網(wǎng)絡(luò)的安全規(guī)劃與設(shè)計(jì)一．網(wǎng)絡(luò)系統(tǒng)安全綜合解決方案由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行多種網(wǎng)絡(luò)協(xié)議（TCP/IP,IPX/SPX,NETBEUA）,而這些網(wǎng)絡(luò)協(xié)議并非專(zhuān)為安全通訊而設(shè)計(jì)。所以，網(wǎng)絡(luò)系統(tǒng)可能存在的安全威脅來(lái)自以下方面：1、操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC。2、防火墻的安全性。防火墻產(chǎn)品自身是否安全,是否設(shè)置錯(cuò)誤,需要經(jīng)過(guò)檢驗(yàn)。3、來(lái)自?xún)?nèi)部網(wǎng)用戶(hù)的安全威脅。缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性。4、采用的TCP/IP協(xié)議族軟件，本身缺乏安全性。5、未能對(duì)來(lái)自Internet的電子郵件挾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進(jìn)行有效控制。6、應(yīng)用服務(wù)的安全。許多應(yīng)用服務(wù)系統(tǒng)在訪問(wèn)控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失。二．局域網(wǎng)安全解決方案由于局域網(wǎng)中采用廣播方式，因此，若在某個(gè)廣播域中可以偵聽(tīng)到所有的信息包，黑客就可以對(duì)信息包進(jìn)行分析，那么本廣播域的信息傳遞都會(huì)暴露在黑客面前。1、網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段是保證安全的一項(xiàng)重措施，同時(shí)也是一項(xiàng)基本措施，其指導(dǎo)思想在于將非法用戶(hù)與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶(hù)非法訪問(wèn)的目的。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式：物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網(wǎng)段，各網(wǎng)段相互之間無(wú)法進(jìn)行直接通訊。目前，許多交換機(jī)都有一定的訪問(wèn)控制能力，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的物理分段。邏輯分段則是指將整個(gè)系統(tǒng)在網(wǎng)絡(luò)層（ISO/OSI模型中的第三層）上進(jìn)行分段。例如，對(duì)于TCP/IP網(wǎng)絡(luò)，可把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過(guò)路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機(jī)制來(lái)控制各子網(wǎng)間的訪問(wèn)。在實(shí)際應(yīng)用過(guò)程中，通常采取物理分段與邏輯分段相結(jié)合的方法來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性控制。2、VLAN的實(shí)現(xiàn)虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)（ATM和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無(wú)需通過(guò)開(kāi)銷(xiāo)很大的路由器。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換機(jī)和VLAN技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，除非設(shè)置了監(jiān)聽(tīng)口，信息交換也不會(huì)存在監(jiān)聽(tīng)和插入（改變）問(wèn)題。由以上運(yùn)行機(jī)制帶來(lái)的網(wǎng)絡(luò)安全的好處是顯而易見(jiàn)的：信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵手段。通過(guò)虛擬網(wǎng)設(shè)置的訪問(wèn)控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。但是，虛擬網(wǎng)技術(shù)也帶來(lái)了新的問(wèn)題：執(zhí)行虛擬網(wǎng)交換的設(shè)備越來(lái)越復(fù)雜，從而成為被攻擊的對(duì)象?；诰W(wǎng)絡(luò)廣播原理的入侵監(jiān)控技術(shù)在高速交換網(wǎng)絡(luò)內(nèi)需要特殊的設(shè)置。基于MAC的VLAN不能防止MAC欺騙攻擊。采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機(jī)端口。但這要求整個(gè)網(wǎng)絡(luò)桌面使用交換端口或每個(gè)交換端口所在的網(wǎng)段機(jī)器均屬于相同的VLAN。三．廣域網(wǎng)安全解決方案由于廣域網(wǎng)采用公網(wǎng)傳輸數(shù)據(jù)，因而在廣域網(wǎng)上進(jìn)行傳輸時(shí)信息也可能會(huì)被不法分子截取。如分支機(jī)構(gòu)從異地發(fā)一個(gè)信息到總部時(shí)，這個(gè)信息包就可能被人截取和利用。因此在廣域網(wǎng)上發(fā)送和接收信息時(shí)要保證：1、除了發(fā)送方和接收方外，其他人是不可知悉的（隱私性）；2、傳送過(guò)程中不被篡改（真實(shí)性）；3、發(fā)送方能確信接收方不是假冒的（非偽裝性）；4、發(fā)送方不能否認(rèn)自己的發(fā)送行為（非否認(rèn)）。如果沒(méi)有專(zhuān)門(mén)的軟件對(duì)數(shù)據(jù)進(jìn)行控制，所有的廣域網(wǎng)通信都將不受限制地進(jìn)行傳輸，因此任何一個(gè)對(duì)通信進(jìn)行監(jiān)測(cè)的人都可以對(duì)通信數(shù)據(jù)進(jìn)行截取。這種形式的“攻擊”是相對(duì)比較容易成功的，只要使用現(xiàn)在可以很容易得到的“包檢測(cè)”軟件即可。如果從一個(gè)聯(lián)網(wǎng)的UNIX工作站上使用“跟蹤路由”命令的話(huà)，就可以看見(jiàn)數(shù)據(jù)從客戶(hù)機(jī)傳送到服務(wù)器要經(jīng)過(guò)多少種不同的節(jié)點(diǎn)和系統(tǒng)，所有這些都被認(rèn)為是最容易受到黑客攻擊的目標(biāo)。一般地，一個(gè)監(jiān)聽(tīng)攻擊只需通過(guò)在傳輸數(shù)據(jù)的末尾獲取IP包的信息即可以完成。這種辦法并不需要特別的物理訪問(wèn)。如果對(duì)網(wǎng)絡(luò)用線具有直接的物理訪問(wèn)的話(huà)，還可以使用網(wǎng)絡(luò)診斷軟件來(lái)進(jìn)行竊聽(tīng)。對(duì)付這類(lèi)攻擊的辦法就是對(duì)傳輸?shù)男畔⑦M(jìn)行加密，或者是至少要對(duì)包含敏感數(shù)據(jù)的部分信息進(jìn)行加密。（1）、加密技術(shù)加密型網(wǎng)絡(luò)安全技術(shù)的基本思想是不依賴(lài)于網(wǎng)絡(luò)中數(shù)據(jù)路徑的安全性來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，而是通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密來(lái)保障網(wǎng)絡(luò)的安全可靠性，因而這一類(lèi)安全保障技術(shù)的基石是使用放大數(shù)據(jù)加密技術(shù)及其在分布式系統(tǒng)中的應(yīng)用。數(shù)據(jù)加密技術(shù)可以分為三類(lèi)，即對(duì)稱(chēng)型加密、不對(duì)稱(chēng)型加密和不可逆加密。對(duì)稱(chēng)型加密使用單個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)行加密或解密，其特點(diǎn)是計(jì)算量小、加密效率高。但是此類(lèi)算法在分布式系統(tǒng)上使用較為困難，主要是密鑰管理困難，從而使用成本較高，保安性能也不易保證。這類(lèi)算法的代表是在計(jì)算機(jī)專(zhuān)網(wǎng)系統(tǒng)中廣泛使用的DES算法（DigitalEncryptionStandard）。不對(duì)稱(chēng)型加密算法也稱(chēng)公用密鑰算法，其特點(diǎn)是有二個(gè)密鑰（即公用密鑰和私有密鑰），只有二者搭配使用才能完成加密和解密的全過(guò)程。由于不對(duì)稱(chēng)算法擁有二個(gè)密鑰，它特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密，在Internet中得到廣泛應(yīng)用。其中公用密鑰在網(wǎng)上公布，為數(shù)據(jù)對(duì)數(shù)據(jù)加密使用，而用于解密的相應(yīng)私有密鑰則由數(shù)據(jù)的接收方妥善保管。不對(duì)稱(chēng)加密的另一用法稱(chēng)為“數(shù)字簽名”（digitalsignature）,即數(shù)據(jù)源使用其私有密鑰對(duì)數(shù)據(jù)的求校驗(yàn)和（checksum）或其它與數(shù)據(jù)內(nèi)容有關(guān)的變量進(jìn)行加密，而數(shù)據(jù)接收方則用相應(yīng)的公用密鑰解讀“數(shù)字簽名”，并將解讀結(jié)果用于對(duì)數(shù)據(jù)完整性的檢驗(yàn)。在網(wǎng)絡(luò)系統(tǒng)中得到應(yīng)用的不對(duì)稱(chēng)加密算法有RSA算法和美國(guó)國(guó)家標(biāo)準(zhǔn)局提出的DSA算法（DigitalSignatureAlgorithm）。不對(duì)稱(chēng)加密法在分布式系統(tǒng)中應(yīng)用需注意的問(wèn)題是如何管理和確認(rèn)公用密鑰的合法性。不可逆加密算法的特征是加密過(guò)程不需要密鑰，并且經(jīng)過(guò)加密的數(shù)據(jù)無(wú)法被解密，只有同樣的輸入數(shù)據(jù)經(jīng)過(guò)同樣的不可逆加密算法才能得到相同的加密數(shù)據(jù)。不可逆加密算法不存在密鑰保管和分發(fā)問(wèn)題，適合于分布式網(wǎng)絡(luò)系統(tǒng)上使用，但是其加密計(jì)算工作量相當(dāng)可觀，所以通常用于數(shù)據(jù)量有限的情形下的加密，例如計(jì)算機(jī)系統(tǒng)中的口令就是利用不可逆算法加密的。近來(lái)隨著計(jì)算機(jī)系統(tǒng)性能的不斷改善，不可逆加密的應(yīng)用逐漸增加。在計(jì)算機(jī)網(wǎng)絡(luò)中應(yīng)用較多的有RSA公司發(fā)明的MD5算法和由美國(guó)國(guó)家標(biāo)準(zhǔn)局建議的可靠不可逆加密標(biāo)準(zhǔn)（SHS-SecureHashStandard）。加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。前者通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過(guò)加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。在網(wǎng)絡(luò)層上實(shí)現(xiàn)的加密技術(shù)對(duì)于網(wǎng)絡(luò)應(yīng)用層的用戶(hù)通常是透明的。此外，通過(guò)適當(dāng)?shù)拿荑€管理機(jī)制，使用這一方法還可以在公用的互聯(lián)網(wǎng)絡(luò)上建立虛擬專(zhuān)用網(wǎng)絡(luò)并保障虛擬專(zhuān)用網(wǎng)上信息的安全性。SKIP協(xié)議即是近來(lái)IETF在這方面的努力之一。面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法，例如使用Kerberos服務(wù)的telnet、NFS、rlogion等，以及用作電子郵件加密的PEM(PrivacyEnhancedMail)和PGP(PrettyGoodPrivacy)。這一類(lèi)加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對(duì)較為簡(jiǎn)單，不需要對(duì)電子信息(數(shù)據(jù)包)所經(jīng)過(guò)的網(wǎng)絡(luò)的安全性能提出特殊要求，對(duì)電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。(2)、數(shù)字簽名和認(rèn)證技術(shù)認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過(guò)程中通訊雙方的身份認(rèn)可，數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù)，同時(shí)數(shù)字簽名還可用于通信過(guò)程中的不可抵賴(lài)要求的實(shí)現(xiàn)。認(rèn)證過(guò)程通常涉及到加密和密鑰交換。通常，加密可使用對(duì)稱(chēng)加密、不對(duì)稱(chēng)加密及兩種加密方法的混合。(3)、UserName/Password認(rèn)證該種認(rèn)證方式是最常用的一種認(rèn)證方式，用于操作系統(tǒng)登錄、teInet、login等，但此種認(rèn)證方式過(guò)程不加密，即password容易被監(jiān)聽(tīng)和解密。、使用摘要算法的認(rèn)證Radius(撥號(hào)認(rèn)證協(xié)議)、OSPF(路由協(xié)議)、SNMPSecurityProtocol等均使用共享的SecurityKey，加上摘要算法(MD5)進(jìn)行認(rèn)證，由于摘要算法是一個(gè)不可逆的過(guò)程，因此，在認(rèn)證過(guò)程中，由摘要信息不能技術(shù)出共享的securitykey，敏感信息不在網(wǎng)絡(luò)上傳輸。市場(chǎng)上主要采用的摘要算法有MD5和SHA-1。、基于PKI的認(rèn)證使用公開(kāi)密鑰體系進(jìn)行認(rèn)證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對(duì)稱(chēng)加密、對(duì)稱(chēng)加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效性結(jié)合起來(lái)。這種認(rèn)證方法目前應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問(wèn)、客戶(hù)認(rèn)證、防火墻認(rèn)證等領(lǐng)域。該種認(rèn)證方法安全程度很高，但是涉及到比較繁重的證書(shū)管理任務(wù)。(6)、數(shù)字簽名數(shù)字簽名作為驗(yàn)證發(fā)送者身份和消息完整性的根據(jù)。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對(duì)，作為驗(yàn)證發(fā)送者身份和消息完整性的根據(jù)，CA使用私有密鑰技術(shù)其數(shù)字簽名，利用CA提供的公共密鑰，任何人均可驗(yàn)證簽名的真實(shí)性。偽造數(shù)字簽名從計(jì)算機(jī)能力上不可行的。并且，如果消息隨數(shù)字簽名一同發(fā)送，對(duì)消息的任何修改在驗(yàn)證數(shù)字簽名時(shí)都將會(huì)被發(fā)現(xiàn)。通訊雙方通過(guò)Diffie-Hellman密鑰系統(tǒng)安全地獲取共享的保密密鑰，并使用該密鑰對(duì)消息加密。Diffie-Hellman密鑰由CA進(jìn)行驗(yàn)證。下表列出了加密模式使用的密鑰技術(shù)類(lèi)型技術(shù)用途基本會(huì)話(huà)密鑰DES加密通訊加密密鑰Deff-Hellman生成會(huì)話(huà)密鑰認(rèn)證密鑰RSA驗(yàn)證加密密鑰基于此種加密模式，需要管理的密鑰數(shù)目與通訊者的數(shù)量為線性關(guān)系。而其它的加密模式需要管理的密鑰數(shù)目與通訊者數(shù)目的平方成正比。(7)、VPN技術(shù)網(wǎng)絡(luò)系統(tǒng)總部和各分支機(jī)構(gòu)之間采用公網(wǎng)網(wǎng)絡(luò)進(jìn)行連接，其最大的弱點(diǎn)在于缺乏足夠的安全性。企業(yè)網(wǎng)絡(luò)接入到公網(wǎng)中，暴露出兩個(gè)主要危險(xiǎn)：a、來(lái)自公網(wǎng)的未經(jīng)授權(quán)的對(duì)企業(yè)內(nèi)部網(wǎng)的存取。b、當(dāng)網(wǎng)絡(luò)系統(tǒng)通過(guò)公網(wǎng)進(jìn)行通訊時(shí)，信息可能受到竊聽(tīng)和非法修改。完整的集成化的企業(yè)范圍的VPN安全解決方案，提供在公網(wǎng)上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。VPN技術(shù)的原理：VPN系統(tǒng)使分布在不同地方的專(zhuān)用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全的通信。它采用復(fù)雜的算法來(lái)加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會(huì)被竊聽(tīng)。其處理過(guò)程大體是這樣：a、要保護(hù)的主機(jī)發(fā)送明文信息到連接公共網(wǎng)絡(luò)的VPN設(shè)備；b、VPN設(shè)備根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對(duì)數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過(guò)。c、對(duì)需要加密的數(shù)據(jù)，VPN設(shè)備對(duì)整個(gè)數(shù)據(jù)包進(jìn)行加密和附上數(shù)字簽名。d、VPN設(shè)備加上新的數(shù)據(jù)報(bào)頭，其中包括目的地VPN設(shè)備需要的安全信息和一些初始化參數(shù)。e、VPN設(shè)備對(duì)加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標(biāo)VPN設(shè)備IP地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過(guò)虛擬通道在公網(wǎng)上傳輸。當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)VPN設(shè)備時(shí)，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對(duì)無(wú)誤后，數(shù)據(jù)包被解密。(8)、IPSecIPSec作為在IPv4及IPv6上的加密通訊框架，已為大多數(shù)廠商所支持。IPSec主要提供IP網(wǎng)絡(luò)層上的加密通訊能力。該標(biāo)準(zhǔn)為每個(gè)IP包增加了新的包頭格式，AuthenticationHeader(AH)及encapsulatingsecuritypayload(ESP)。IPSec使用ISAKMP/Oakley及SKIP進(jìn)行密鑰交換、管理及加密通訊協(xié)商(SecurityAssociation)。IPSec包含兩個(gè)部分：a、IPsecurityProtocolproper，定義IPSec報(bào)頭格式。b、ISAKMP/Oakley，負(fù)責(zé)加密通訊協(xié)商。IPSec提供了兩種加密通訊手段：IPSecTunnel：整個(gè)IP封裝在Ipsec-gateway之間的通訊。Ipsectransport：對(duì)IP包內(nèi)的數(shù)據(jù)進(jìn)行加密，使用原來(lái)的源地址和目的地址。IPsecTunnel不要求修改已配備好的設(shè)備和應(yīng)用，網(wǎng)絡(luò)黑客不能看到實(shí)際的通訊源地址和目的地址，并且能夠提供專(zhuān)用網(wǎng)絡(luò)通過(guò)Internet加密傳輸?shù)耐ǖ溃虼?，絕大多數(shù)廠商均使用該模式。ISAKMP/Oakley使用X.509數(shù)字證書(shū)，因此，使VPN能夠容易地?cái)U(kuò)大到企業(yè)級(jí)。(易于管理)。在為遠(yuǎn)程撥號(hào)服務(wù)的Client端，也能夠?qū)崿F(xiàn)IPsec的客戶(hù)端，為撥號(hào)用戶(hù)提供加密網(wǎng)絡(luò)通訊。由于IPsec即將成為Internet標(biāo)準(zhǔn)，因此不同廠家提供的防火墻(VPN)產(chǎn)品可以實(shí)現(xiàn)互通。(9)、如何保證遠(yuǎn)程訪問(wèn)的安全性對(duì)于從外部撥號(hào)訪問(wèn)總部?jī)?nèi)部局域網(wǎng)的用戶(hù)，由于使用公用電話(huà)網(wǎng)進(jìn)行數(shù)據(jù)傳輸所帶來(lái)的風(fēng)險(xiǎn)，必須嚴(yán)格控制其安全性。首先，應(yīng)嚴(yán)格限制撥號(hào)上網(wǎng)用戶(hù)所訪問(wèn)的系統(tǒng)信息和資源，這一功能可通過(guò)在撥號(hào)訪問(wèn)服務(wù)器后設(shè)置NetScreen防火墻來(lái)實(shí)現(xiàn)。其次，應(yīng)加強(qiáng)對(duì)撥號(hào)用戶(hù)的身份認(rèn)證，使用RADIUS等專(zhuān)用身份驗(yàn)證服務(wù)器。一方面，可以實(shí)現(xiàn)對(duì)撥號(hào)用戶(hù)帳號(hào)的統(tǒng)一管理；另一方面，在身份驗(yàn)證過(guò)程中采用加密的手段，避免用戶(hù)口令泄露的可能性。第三，在數(shù)據(jù)傳輸過(guò)程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。一種方法是使用PGPforBusinessSecurity，對(duì)數(shù)據(jù)加密。另一種方法是采用NetScreen防火墻所提供的VPN(虛擬專(zhuān)網(wǎng))技術(shù)。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時(shí)，也提供了針對(duì)單機(jī)用戶(hù)的加密客戶(hù)端軟件，即采用軟件加密的技術(shù)來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?。四．防火墻技術(shù)防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。1、防火墻防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻能有效地防止外來(lái)的入侵，它在網(wǎng)絡(luò)系統(tǒng)中的作用是：、控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包；、提供使用和流量的日志和審計(jì)；、隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)；(4)、提供VPN功能；2、使用防火墻的益處、保護(hù)脆弱的服務(wù)通過(guò)過(guò)濾不安全的服務(wù)，防火墻可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如，防火墻可以禁止NIS、NFS服務(wù)通過(guò)，防火墻同時(shí)可以拒絕源路由和ICMP重定向封包。、控制對(duì)系統(tǒng)的訪問(wèn)防火墻可以提供對(duì)系統(tǒng)的訪問(wèn)控制。如允許從外部訪問(wèn)某些主機(jī)，同時(shí)禁止訪問(wèn)另外的主機(jī)。例如，防火墻允許外部訪問(wèn)特定的MailServer和WebServer。(3)、集中的安全管理防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運(yùn)行于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無(wú)須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。防火墻可以定義不同的認(rèn)證方法，而不需要在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶(hù)也只需要經(jīng)過(guò)一次認(rèn)證即可訪問(wèn)內(nèi)部網(wǎng)。、增強(qiáng)的保密性使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Finger和DNS。、記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)防火墻可以記錄和統(tǒng)計(jì)通過(guò)防火墻的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)，并且，防火墻可以提供統(tǒng)計(jì)數(shù)據(jù)，來(lái)判斷可能的攻擊和探測(cè)。、策略執(zhí)行防火墻提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置防火墻時(shí)，網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶(hù)。3、防火墻的種類(lèi)防火墻總體上分為包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類(lèi)型。(1)、數(shù)據(jù)包過(guò)濾數(shù)據(jù)包過(guò)濾(PacketFiltering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，被稱(chēng)為訪問(wèn)控制表(AccessControlTable)。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。數(shù)據(jù)包過(guò)濾防火墻邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。數(shù)據(jù)包過(guò)濾防火墻的缺點(diǎn)有二：一是非法訪問(wèn)一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽(tīng)或假冒。、應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)(ApplicationLevelGateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯，并在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專(zhuān)用工作站系統(tǒng)上。數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過(guò)。一旦滿(mǎn)足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶(hù)便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問(wèn)和攻擊。、代理服務(wù)代理服務(wù)(ProxyService)也稱(chēng)鏈路級(jí)網(wǎng)關(guān)或TCP通道(CircuitLevelGatewaysorTCPTunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類(lèi)。它是針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的"鏈接"，由兩個(gè)終止代理服務(wù)器上的"鏈接"來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。4、防火墻在大型網(wǎng)絡(luò)系統(tǒng)中的部署根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全需要，可以在如下位置部署防火墻：、局域網(wǎng)內(nèi)的VLAN之間控制信息流向時(shí)。、Intranet與Internet之間連接時(shí)(企業(yè)單位與外網(wǎng)連接時(shí)的應(yīng)用網(wǎng)關(guān))。、在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機(jī)構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)，(通過(guò)公網(wǎng)ChinaPac,ChinaDDN,FrameRelay等連接)在總部的局域網(wǎng)和各分支機(jī)構(gòu)連接時(shí)采用防火墻隔離，并利用VPN構(gòu)成虛擬專(zhuān)網(wǎng)。、總部的局域網(wǎng)和分支機(jī)構(gòu)的局域網(wǎng)是通過(guò)Internet連接，需要各自安裝防火墻，并利用NetScreen的VPN組成虛擬專(zhuān)網(wǎng)。、在遠(yuǎn)程用戶(hù)撥號(hào)訪問(wèn)時(shí)，加入虛擬專(zhuān)網(wǎng)。、ISP可利用NetScreen的負(fù)載平衡功能在公共訪問(wèn)服務(wù)器和客戶(hù)端間加入防火墻進(jìn)行負(fù)載分擔(dān)、存取控制、用戶(hù)認(rèn)證、流量控制、日志紀(jì)錄等功能。、兩網(wǎng)對(duì)接時(shí)，可利用NetScreen硬件防火墻作為網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)地址轉(zhuǎn)換(NAT),地址映射(MAP),網(wǎng)絡(luò)隔離(DMZ)，存取安全控制，消除傳統(tǒng)軟件防火墻的瓶頸問(wèn)題。在防火墻領(lǐng)域，往往產(chǎn)品千百種，既有硬件防火墻也有軟件防火墻，既有針對(duì)Intranet產(chǎn)品，也有針對(duì)Extranet和VPN的專(zhuān)門(mén)產(chǎn)品，更有以上“三者合一”防火墻產(chǎn)品，等等。a、CheckPointFirewall-1CheckPoint公司在防火墻市場(chǎng)中占據(jù)較大的市場(chǎng)份額，擁有眾多的合作伙伴，并和其他大公司建立了伙伴關(guān)系。該公司不僅開(kāi)發(fā)防火墻產(chǎn)品，而且還涉足帶寬和IP地址管理等關(guān)鍵技術(shù)產(chǎn)品領(lǐng)域。最近‘Checkpoint和數(shù)家ISP以及防火墻服務(wù)提供商簽訂協(xié)議，在這個(gè)快速發(fā)展的市場(chǎng)中牢牢地占據(jù)了主要地位。該公司最重要的產(chǎn)品是FireWall-1,該產(chǎn)品可以在需要多個(gè)防火墻并行運(yùn)行或者基于相同策略運(yùn)行的環(huán)境中發(fā)揮作用。b、CiscoPIXFirewall520Cisco公司的PIX產(chǎn)品在防火墻硬件市場(chǎng)中占據(jù)主導(dǎo)地位，并占領(lǐng)了整個(gè)防火墻市場(chǎng)19%的份額。由于現(xiàn)在用戶(hù)對(duì)于基于WindowsNT的防火墻需求逐漸增加，該公司通過(guò)一系列的并購(gòu)行動(dòng)開(kāi)始向軟件防火墻市場(chǎng)滲透。PIX其吞吐可達(dá)150Mbps,而且使用NAT時(shí)不影響其性能。它可以防止有害的SMTP命令，但對(duì)FTP,它不能對(duì)get和put進(jìn)行限制。PIX的管理風(fēng)格和Cisco路由器命令接口風(fēng)格類(lèi)似。PIX的管理需要有一臺(tái)NT服務(wù)器專(zhuān)門(mén)運(yùn)行該軟件，通過(guò)Web來(lái)訪問(wèn)，但使用Web界面管理PIX只能進(jìn)行簡(jiǎn)單的配置改變。它的日志和監(jiān)控能力較弱，所有日志須送到另一臺(tái)運(yùn)行syslog的機(jī)器上。c、微軟ProxyServer2.0Microsoft的早期產(chǎn)品ProxyServer1.0防火墻/緩存產(chǎn)品功能非常有限。所以Microsoft沒(méi)有將該產(chǎn)品定位為防火墻產(chǎn)品，只是定位為一般的緩存服務(wù)器，改善Internet的訪問(wèn)速度。由于WindowsNT具有極大的裝機(jī)量，而且ProxyServer2.0本身功能的改進(jìn)，ProxyServer2.0成為WindowsNT防火墻市場(chǎng)中的有力競(jìng)爭(zhēng)者。但是該產(chǎn)品還是面向中小型企業(yè)。使用CheckPoint等高端產(chǎn)品的用戶(hù)不太有可能轉(zhuǎn)移到ProxyServer中。d、NAI-Gauntlet防火墻NAI公司的防火墻產(chǎn)品GauntletFirewall源于TIS公司的InternetFirewallToolkit,在TIS公司的Web站點(diǎn)上，該防火墻工具箱被下載超過(guò)50,000次，使其成為事實(shí)上互聯(lián)網(wǎng)上應(yīng)用最廣泛的防火墻產(chǎn)品。GauntletFirewall的實(shí)現(xiàn)基于NAI公司開(kāi)創(chuàng)性的自適應(yīng)代理技術(shù)，集成了用戶(hù)透明代理、集成管理、VPN、內(nèi)容安全檢測(cè)等功能特性，保護(hù)內(nèi)外網(wǎng)間的服務(wù)往來(lái)。同時(shí)，在不損害網(wǎng)絡(luò)安全的情況下提供高效的吞吐量。ActiveGauntlet可自動(dòng)對(duì)系