《計算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用(第二版)》第11章__網(wǎng)絡(luò)安全技術(shù).ppt

1、第11章 網(wǎng)絡(luò)安全技術(shù),計算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用（第2版）,11.1 網(wǎng)絡(luò)安全問題概述,11.1.1網(wǎng)絡(luò)安全的概念和安全控制模型 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會由于偶然或惡意的原因而遭到破壞、更改、泄露等意外發(fā)生。網(wǎng)絡(luò)安全是一個涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多種學(xué)科的邊緣學(xué)科。,圖 11-1 網(wǎng)絡(luò)安全的組成,圖11-2網(wǎng)絡(luò)安全模型,這種通用模型指出了設(shè)計特定安全服務(wù)的4個基本任務(wù)：,（1）設(shè)計執(zhí)行與安全性相關(guān)的轉(zhuǎn)換算法，該算法必須使對手不能破壞算法以實現(xiàn)其目的。 （2）生成算法使用的保密信息。 （3）開發(fā)分發(fā)和共

2、享保密信息的方法。 （4）指定兩個主體要使用的協(xié)議，并利用安全算法和保密信息來實現(xiàn)特定的安全服務(wù)。,11.1.2 安全威脅,安全威脅是指某個人、物、事件或概念對某一資源的機(jī)密性、完整性、可用性或合法性所造成的危害。某種攻擊就是某種威脅的具體實現(xiàn)。 安全威脅可分為故意的（如黑客滲透）和偶然的（如信息被發(fā)往錯誤的地址）兩類。故意威脅又可進(jìn)一步分為被動和主動兩類。,1安全攻擊,對于計算機(jī)或網(wǎng)絡(luò)安全性的攻擊，最好通過在提供信息時查看計算機(jī)系統(tǒng)的功能來記錄其特性。當(dāng)信息從信源向信宿流動時，圖11-3列出了信息正常流動和受到各種類型的攻擊的情況。,圖11-3 安全攻擊,另外，從網(wǎng)絡(luò)高層協(xié)議的角度，攻擊方法

3、可以概括地分為兩大類：服務(wù)攻擊與非服務(wù)攻擊。 服務(wù)攻擊（Application Dependent Attack）是針對某種特定網(wǎng)絡(luò)服務(wù)的攻擊，如針對E-mail服務(wù)，Telnet，F(xiàn)TP，HTTP等服務(wù)的專門攻擊。 非服務(wù)攻擊（Application Independent Attack）不針對某項具體應(yīng)用服務(wù)，而是基于網(wǎng)絡(luò)層等低層協(xié)議而進(jìn)行的。TCP/IP協(xié)議（尤其是Ipv4）自身的安全機(jī)制不足為攻擊者提供了方便之門。,2基本的威脅,網(wǎng)絡(luò)安全的基本目標(biāo)是實現(xiàn)信息的機(jī)密性、完整性、可用性和合法性。4個基本的安全威脅直接反映了這4個安全目標(biāo)。一般認(rèn)為，目前網(wǎng)絡(luò)存在的威脅主要表現(xiàn)在： （1）信息

4、泄漏或丟失。 （2）破壞數(shù)據(jù)完整性。 （3）拒絕服務(wù)攻擊。 （4）非授權(quán)訪問。,3主要的可實現(xiàn)的威脅,這些威脅可以使基本威脅成為可能，因此十分重要。它包括兩類：滲入威脅和植入威脅。 （1）主要的滲入威脅有：假冒、旁路控制、授權(quán)侵犯。 （2）主要的植入威脅有：特洛伊木馬、陷門。,4潛在的威脅,對基本威脅或主要的可實現(xiàn)的威脅進(jìn)行分析，可以發(fā)現(xiàn)某些特定的潛在威脅，而任意一種潛在的威脅都可能導(dǎo)致發(fā)生一些更基本的威脅。,5病毒,病毒是能夠通過修改其它程序而“感染”它們的一種程序，修改后的程序里面包含了病毒程序的一個副本，這樣它們就能夠繼續(xù)感染其它程序。 通過網(wǎng)絡(luò)傳播計算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，

5、而且用戶很難防范。由于在網(wǎng)絡(luò)環(huán)境下，計算機(jī)病毒有不可估量的威脅性和破壞力，因此，計算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和消毒3種技術(shù)。,11.2 加密與認(rèn)證技術(shù),11.2.1密碼學(xué)的基本概念 密碼學(xué)（或稱密碼術(shù)）是保密學(xué)的一部分。保密學(xué)是研究密碼系統(tǒng)或通信安全的科學(xué)，它包含兩個分支：密碼學(xué)和密碼分析學(xué)。密碼學(xué)是對信息進(jìn)行編碼實現(xiàn)隱蔽信息的一門學(xué)問。密碼分析學(xué)是研究分析破譯密碼的學(xué)問。兩者相互獨立，而又相互促進(jìn)。,密碼系統(tǒng)通常從3個獨立的方面進(jìn)行分類,（1）按將明文轉(zhuǎn)換成密文的操作類型可分為：置換密碼和易位密碼。 （2）按明文的處理方法可分為：分組密碼

6、和序列密碼。 （3）按密鑰的使用個數(shù)可分為：對稱密碼體制和非對稱密碼體制。,1轉(zhuǎn)換密碼和易位密碼,在轉(zhuǎn)換密碼（substation cipher）中，每個或每組字母由另一個或另一組偽裝字母所替換。最古老的一種置換密碼是Julius Caesar發(fā)明的凱撒密碼，這種密碼算法對于原始消息（明文）中的每一個字母都用該字母后的第n個字母來替換，其中n就是密鑰。例如使加密字母向右移3個字母，即a換成D，b換成E，c換成Fz換成C。 由于凱撒密碼的整個密鑰空間只有26個密鑰，只要知道圓圈密算法采用的是凱撒密碼，對其進(jìn)行破譯就是輕而易舉的事了，因為破譯者最多只需嘗試25次就可以知道正確的密鑰。,對凱撒密碼的

7、一種改進(jìn)方法是把明文中的字符換成另一個字符，如將26個字母中的每一個字母都映射成另一個字母。例如： 明文：a b c d e f g h i j k l m n o p q r s t u v w x y z 密文：Q B E L C D F H G I A J N M K O P R S Z U T W V Y X 這種方法稱為單字母表替換，其密鑰是對應(yīng)于整個字母表的26個字母串。按照此例中的密鑰，明文attack加密后形成的密文是QZZQEA。,采用單字母表替換時，密鑰的個數(shù)有26！=41026個。雖然破譯者知道加密的一般原理，但他并不知道使用的是哪一個密鑰。即使使用1s試一個密鑰的計算機(jī)

8、，試遍全部密鑰也要用1013年的時間。 這似乎是一個很安全的系統(tǒng)，但破譯者通過統(tǒng)計所有字母在密文中出現(xiàn)的相對頻率，猜測常用的字母、2字母組、3字母組，了解元音和輔音的可能形式，破譯者就可逐字逐句地破解出明文。,易位密碼（transposition cipher）只對明文字母重新排序，但不隱藏它們。列易位密碼是一種常用的易位密碼，該密碼的密鑰是一個不含任何重復(fù)字母的單詞或詞語。 要破譯易位密碼，破譯者首先必須知道密文是用易位密碼寫的。通過查看E，T，A，O，I，N等字母的出現(xiàn)頻率，容易知道它們是否滿足明文的普通模式，如果滿足，則該密碼就是易位密碼，因為在這種密碼中，各字母就表示其自身。 破譯者隨

9、后猜測列的個數(shù)，即密鑰的長度，最后確定列的順序。在許多情形下，從信息的上下文可猜出一個可能的單詞或短語。破譯者通過尋找各種可能性，常常能輕易地破解易位密碼。,2分組密碼和序列密碼,分組密碼的加密方式是首先將明文序列以固定長度進(jìn)行分組，每一組明文用相同的密鑰和加密函數(shù)進(jìn)行運算。一般為了減少存儲量和提高運算速度，密鑰的長度有限，因而加密函數(shù)的復(fù)雜性成為系統(tǒng)安全的關(guān)鍵。,分組密碼設(shè)計的核心是構(gòu)造既具有可逆性又有很強(qiáng)的非線性的算法。加密函數(shù)重復(fù)地使用替換和易位兩種基本的加密變換，也就是香農(nóng)在1949年發(fā)現(xiàn)的隱蔽信息的兩種技術(shù)：打亂和擴(kuò)散。打亂（confusion）是改變信息塊使輸出位與輸入位之間無明顯

10、的統(tǒng)計關(guān)系。擴(kuò)散（diffusion）是通過密鑰的效應(yīng)把一個明文位轉(zhuǎn)移到密文的其它位上。另外，在基本加密算法前后，還要進(jìn)行移位和擴(kuò)展等。,分組密碼的優(yōu)點是：明文信息良好的擴(kuò)散性，對插入的敏感性，不需要密鑰同步，較強(qiáng)的適用性，適合作為加密標(biāo)準(zhǔn)。 分組密碼的缺點是：加密速度慢；錯誤擴(kuò)散和傳播。,序列密碼的加密過程是把報文、話音、圖像、數(shù)據(jù)等原始信息轉(zhuǎn)換成明文數(shù)據(jù)序列，然后將它同密鑰序列進(jìn)行逐位模2加（即異或運算），生成密文序列發(fā)送給接收者。接收者用相同密鑰序列進(jìn)行逐位解密來恢復(fù)明文序列。 序列密碼的安全性主要依賴于密鑰序列。密鑰序列是由少量的制亂素（密鑰）通過密鑰序列產(chǎn)生器產(chǎn)生的大量偽隨機(jī)序列。布

11、爾函數(shù)是密鑰序列產(chǎn)生器的重要組成部分。,序列密碼的優(yōu)點是：處理速度快，實時性好，錯誤傳播小，不易被破譯，適用于軍事、外交等保密信道。 序列密碼的缺點是：明文擴(kuò)散性差，需要密鑰同步。,3加密技術(shù),數(shù)據(jù)加密技術(shù)可以分為3類，即對稱型加密、非對稱型加密和不可逆加密。 對稱型加密使用單個密鑰對數(shù)據(jù)進(jìn)行加密或解密，其特點是計算量小、加密效率高。但是此類算法在分布式系統(tǒng)上使用較為困難，主要是密鑰管理困難，從而使用成本較高，安全性能也不易保證。這類算法的代表是在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中廣泛使用的DES算法（Digital Encryption Standard）。,不對稱型加密算法也稱公開密鑰算法，其特點是有兩個密

12、鑰（即公用密鑰和私有密鑰），只有兩者搭配使用才能完成加密和解密的全過程。由于不對稱算法擁有兩個密鑰，它特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密，在Internet中得到廣泛應(yīng)用。其中公用密鑰在網(wǎng)上公布，為數(shù)據(jù)發(fā)送方對數(shù)據(jù)加密時使用，而用于解密的相應(yīng)私有密鑰則由數(shù)據(jù)的接收方妥善保管。不對稱加密的另一用法稱為“數(shù)字簽名”（digital signature），即數(shù)據(jù)源使用其私有密鑰對數(shù)據(jù)的校驗和（checksum）或其它與數(shù)據(jù)內(nèi)容有關(guān)的變量進(jìn)行加密，而數(shù)據(jù)接收方則用相應(yīng)的公用密鑰解讀“數(shù)字簽字”，并將解讀結(jié)果用于對數(shù)據(jù)完整性的檢驗。在網(wǎng)絡(luò)系統(tǒng)中得到應(yīng)用的不常規(guī)加密算法有RSA算法和美國國家標(biāo)準(zhǔn)局提出的DS

13、A算法（Digital signature Algorithm）。不常規(guī)加密法在分布式系統(tǒng)中應(yīng)用時需注意的問題是如何管理和確認(rèn)公用密鑰的合法性。,不可逆加密算法和特征是加密過程不需要密鑰，并且經(jīng)過加密的數(shù)據(jù)無法被解密，只有同樣的輸入數(shù)據(jù)經(jīng)過同樣的不可逆加密算法才能得到相同的加密數(shù)據(jù)。不可逆加密算法不存在密鑰保管和分發(fā)問題，適合于分布式網(wǎng)絡(luò)系統(tǒng)上使用，但是其加密計算機(jī)工作量相當(dāng)可觀，所以通常用于數(shù)據(jù)量有限的情形下的加密，例如計算機(jī)系統(tǒng)中的口令就是利用不可逆算法加密的。近來隨著計算機(jī)系統(tǒng)性能的不斷改善，不可逆加密的應(yīng)用逐漸增加。在計算機(jī)網(wǎng)絡(luò)中應(yīng)用較多的有RSA公司發(fā)明的MD5算法和由美國國家標(biāo)準(zhǔn)局

14、建議的可靠不可逆加密標(biāo)準(zhǔn)（SHS，Secure Hash Standard）。,加密技術(shù)用于網(wǎng)絡(luò)安全通常有兩種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。 從通信網(wǎng)絡(luò)的傳輸方面，數(shù)據(jù)加密技術(shù)還可分為以下3類：鏈路加密方式、節(jié)點到節(jié)點方式和端到端方式。,4密碼分析,試圖發(fā)現(xiàn)明文或密鑰的過程稱為密碼分析。密碼分析人員使用的策略取決于加密方案的特性和分析人員可用的信息。 密碼分析的過程通常包括：分析（統(tǒng)計所截獲的消息材料）、假設(shè)、推斷和證實等步驟。,表11-1總結(jié)了各類加密消息的破譯類型，這些破譯是以分析人員所知的信息總量為基礎(chǔ)的。,11.2.2常規(guī)密鑰密碼體制,常規(guī)加密也叫作對稱加密、保密密鑰或單密鑰加密，它

15、是20世紀(jì)70年代之前使用的惟一一種加密機(jī)制。它現(xiàn)在仍是最常用的兩種加密類型之一，另一種是公開密鑰加密機(jī)制。,1常規(guī)加密的模型,常規(guī)加密又稱對稱加密，該方案有5個組成部分。 （1）明文：作為算法輸入的原始信息。 （2）加密算法：加密算法可以對明文進(jìn)行多種置換和轉(zhuǎn)換。 （3）共享的密鑰：共享的保密密鑰也是對算法的輸入，算法實際進(jìn)行的置換和轉(zhuǎn)換由保密密鑰決定。 （4）密文：作為輸出的混合信息。它由明文和保密密鑰決定。對于給定的信息來講，兩種不同的密鑰會產(chǎn)生兩種不同的密文。 （5）解密算法：這是加密算法的逆向算法。它以密文和同樣的保密密鑰作為輸入，并生成原始明文。,目前經(jīng)常使用的一些常規(guī)加密算法有：

16、數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard,DES）。三重DES（3DES，或稱TDEA）。Rivest Cipher5（RC-5）。國際數(shù)據(jù)加密算法（International Data Encryption Algorithm, IDEA）。,2常規(guī)加密的要求,（1）需要強(qiáng)大的加密算法。 （2）發(fā)送方和接收方必須用安全的方式來獲得保密密鑰的副本，必須保證密鑰的安全。如果有人發(fā)現(xiàn)了密鑰，并知道了算法，則使用此密鑰的所有通信便都是可讀取的。,3一些常用的常規(guī)加密算法,最常用的加密方案是美國國家標(biāo)準(zhǔn)和技術(shù)局（NIST）在1977年采用的數(shù)據(jù)加密標(biāo)準(zhǔn)（DES），它作為聯(lián)邦信息處

17、理第46號標(biāo)準(zhǔn)（FIPS PUB 46）。1984年，NIST“再次肯定”DES以FIPS PUB 46-2的名義供聯(lián)邦再使用5年。算法本身以數(shù)據(jù)加密算法（DEA, Data Encryption Algorithm）被引用。DES本身雖已不再安全，但其改進(jìn)算法的安全性還是相當(dāng)可靠的。,TDEA（三重DEA，或稱3DES）最初是由Tuchman提出的，在1985年的ANSI標(biāo)準(zhǔn)X9.17中第一次為金融應(yīng)用進(jìn)行了標(biāo)準(zhǔn)化。在1999年，TDEA合并到數(shù)據(jù)加密標(biāo)準(zhǔn)中，文獻(xiàn)號為FIPS PUB 46-3。 RC5是由Ron Rivest（公鑰算法RSA的創(chuàng)始人之一）在1994年開發(fā)出來的。其前身RC4

18、的源代碼在1994年9月被人匿名張貼到Cypherpunks郵件列表中，泄露了RC4的算法。RC5是在RFC2040中定義的，RSA數(shù)據(jù)安全公司的很多產(chǎn)品都已經(jīng)使用了RC5。 國際數(shù)據(jù)加密算法IDEA完成于1990年，開始時稱為PES（Proposed Encryption Standard）算法，1992年被命名為IDEA。IDEA算法被認(rèn)為是當(dāng)今最好最安全的分組密碼算法。,11.2.3公開密鑰加密技術(shù),公開密鑰加密又叫作非常規(guī)加密，公鑰加密最初是由Diffie和Hellman在1976年提出的，這是幾千年來文字加密的第一次真正革命性的進(jìn)步。因為公鑰是建立在數(shù)學(xué)函數(shù)基礎(chǔ)上的，而不是建立在位方

19、式的操作上的。更重要的是，公鑰加密是不對稱的，與只使用一種密鑰的對稱常規(guī)加密相比，它涉及到兩位獨立密鑰的使用。這兩種密鑰的使用已經(jīng)對機(jī)密性、密鑰的分發(fā)和身份驗證領(lǐng)域產(chǎn)生了深遠(yuǎn)的影響。 公鑰加密算法可用于下面一些方面：數(shù)據(jù)完整性、數(shù)據(jù)保密性、發(fā)送者不可否認(rèn)和發(fā)送者認(rèn)證。,1公鑰加密體制的模型,圖11-5 常規(guī)加密體制模型,圖11-6 公共密鑰算法的演示,2一些常用的公鑰體制,RSA公鑰體制是1978年Rivest、Shamir和Adleman提出的一個公開密鑰密碼體制，RSA就是以其發(fā)明者姓名的首字母命名的。RSA體制被認(rèn)為是迄今為止理論上最為成熟完善的一種公鑰密碼體制。該體制的構(gòu)造基于Eule

20、r定理，它利用了如下的基本事實：尋找大素數(shù)是相對容易的，而分解兩個大素數(shù)的積在計算上是不可行的。 RSA算法的安全性建立在難以對大數(shù)提取因子的基礎(chǔ)上。所有已知的證據(jù)都表明，大數(shù)的因子分解是一個極其困難的問題。 與對稱密碼體制如DES相比，RSA的缺點是加密、解密的速度太慢。因此，RSA體制很少用于數(shù)據(jù)加密，而多用在數(shù)字簽名、密鑰管理和認(rèn)證等方面。,11.2.4 數(shù)字簽名,數(shù)字簽名提供了一種簽別方法，普遍用于銀行、電子商業(yè)等，以解決下列問題： （1）偽造：接收者偽造一份文件，聲稱是對方發(fā)送的； （2）冒充：網(wǎng)上的某個用戶冒充另一個用戶發(fā)送或接收文件； （3）篡改：接收者對收到的文件進(jìn)行局部的修改

21、。 （4）抵賴：發(fā)送者或接收者最后不承認(rèn)自己發(fā)送或接收的文件。,11.2.5 身份認(rèn)證技術(shù),網(wǎng)絡(luò)用戶的身份認(rèn)證可以通過下述3種基本途徑之一或它們的組合來實現(xiàn)。 （1）所知（Knowledge）個人所掌握的密碼、口令等。 （2）所有（Possessses）個人的身份認(rèn)證、護(hù)照、信用卡、鑰匙等。 （3）個人特征（Characteristics）人的指紋、聲音、筆記、手型、血型、視網(wǎng)膜、DNA、以及個人動作方面的特征等。,11.3 防火墻技術(shù),11.3.1 防火墻概述 一般來說，防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。它可以通過監(jiān)測、限制、更改跨越防

22、火墻的數(shù)據(jù)流，盡可能的對外部屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。 一個防火墻可以是一個實現(xiàn)安全功能的路由器、個人計算機(jī)、主機(jī)或主機(jī)的集合等，通常位于一個受保護(hù)的網(wǎng)絡(luò)對外的連接處，若這個網(wǎng)絡(luò)到外界有多個連接，那么需要安裝多個防火墻系統(tǒng)。,防火墻可以提供以下服務(wù)：（1）限定人們從一個特別的控制點進(jìn)入或離開；（2）保證對主機(jī)的應(yīng)用安全訪問；（3）防止入侵者接近你的其它防御設(shè)施；（4）有效防止破壞者對客戶機(jī)和服務(wù)器所進(jìn)行的破壞；（5）監(jiān)視網(wǎng)絡(luò)。,11.3.2防火墻系統(tǒng)結(jié)構(gòu),防火墻的系統(tǒng)結(jié)構(gòu)一般分為以下幾種： （1）屏蔽路由器屏蔽路由器Internet內(nèi)部主機(jī)代理服務(wù)器 一般采

23、用路由器連接內(nèi)網(wǎng)和外網(wǎng)，如圖11-7所示，此路由器可以起到一定的防火墻作用，通過設(shè)置路由器的訪問控制表，基于IP進(jìn)行包過濾，這種方法不具備監(jiān)控和認(rèn)證功能，最多可以進(jìn)行流量記錄。,圖11-7屏蔽路由器實現(xiàn)防火墻,（2）雙目主機(jī)結(jié)構(gòu),它包含一個有兩個網(wǎng)絡(luò)接口的代理服務(wù)器系統(tǒng)，關(guān)閉正常IP路由功能，并安裝運行網(wǎng)絡(luò)代理服務(wù)程序。有一個包過濾防火墻，用于連接Internet，如圖11-8所示。,（3）屏蔽主機(jī)結(jié)構(gòu),（4）屏蔽子網(wǎng)結(jié)構(gòu),將網(wǎng)絡(luò)劃分為三個部分：Internet(外網(wǎng))、DMZ（分軍事區(qū)）、內(nèi)網(wǎng)。Internet與DMZ區(qū)通過外部屏蔽路由器隔離，DMZ區(qū)與內(nèi)網(wǎng)通過內(nèi)部屏蔽路由器隔離，如圖11-

24、10所示。,圖11-10 屏蔽子網(wǎng)防火墻,11.3.3防火墻分類,從構(gòu)成上可以將防火墻分為以下幾類： （1）硬件防火墻 （2）軟件防火墻 （3）軟硬結(jié)合防火墻,11.3.4防火墻的作用,防火墻能有效的對網(wǎng)絡(luò)進(jìn)行保護(hù),防止其它網(wǎng)絡(luò)的入侵，歸納起來，防火墻具有以下作用： （1）控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包； （2）提供對系統(tǒng)的訪問控制； （3）提供使用和流量的日志和審計； （4）增強(qiáng)保密性。使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息。 （5）隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)； （6）記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)。,11.3.5 防火墻的設(shè)計策略,防火墻設(shè)計策略基于特定的防火墻，

25、定義完成服務(wù)訪問策略的規(guī)則。通常有兩種基本的設(shè)計策略：允許任何服務(wù)除非被明確禁止；禁止任何除非被明確允許。第一種的特點是“在被判有罪之前，任何嫌疑人都是無罪的”，它好用但不安全。第二種是“寧可錯殺一千，也不放過一個”，它安全但不好用。在實用中防火墻通常采用第二種設(shè)計策略，但多數(shù)防火墻都會在兩種策略之間采取折衷。,1防火墻實現(xiàn)站點安全策略的技術(shù),（1）服務(wù)控制。 （2）方向控制。 （3）用戶控制。 （4）行為控制。,2防火墻在大型網(wǎng)絡(luò)系統(tǒng)中的部署,根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全需要，可以在如下位置部署防火墻： （1）在局域網(wǎng)內(nèi)的VLAN之間控制信息流向時加入防火墻。 （2）Internet與Internet

26、之間連接時加入防火墻。 （3）在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機(jī)構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)，總部的局域網(wǎng)和各分支機(jī)構(gòu)連接時，一般通過公網(wǎng)ChinaPac，ChinaDD和NFrame Relay等連接，需要采用防火墻隔離，并利用某些軟件提供的功能構(gòu)成虛擬專網(wǎng)VPN。,（4）總部的局域網(wǎng)和分支機(jī)構(gòu)的局域網(wǎng)是通過Internet連接的，需要各自安裝防火墻，并組成虛擬專網(wǎng)。 （5）在遠(yuǎn)程用戶撥號訪問時，加入虛擬專網(wǎng)。 （6）利用一些防火墻軟件提供的負(fù)載平衡功能，ISP可在公共訪問服務(wù)器和客戶端間加入防火墻進(jìn)行負(fù)載分擔(dān)、存取控制、用戶認(rèn)證、流量控制和日志記錄等功能。 （7）兩網(wǎng)對接時，可利用硬件防火墻作為網(wǎng)關(guān)設(shè)備實現(xiàn)地址轉(zhuǎn)換（NAT）、地址映射（MAP）、網(wǎng)絡(luò)隔離（DMZ，De-Militarized Zo