第二節(jié)網(wǎng)絡(luò)安全技術(shù)

1、一、防火墻技術(shù)一、防火墻技術(shù)定義定義 所謂防火墻指的是一個由軟件和硬件所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障造的保護(hù)屏障.是一種獲取安全性方法是一種獲取安全性方法的形象說法，它是一種計算機(jī)硬件和的形象說法，它是一種計算機(jī)硬件和軟件的結(jié)合，使軟件的結(jié)合，使Internet與與Intranet之之間建立起一個安全網(wǎng)關(guān)從而保護(hù)內(nèi)部間建立起一個安全網(wǎng)關(guān)從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾由服務(wù)訪問規(guī)

2、則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)和應(yīng)用網(wǎng)關(guān)4個部分組成，個部分組成， 防火墻就是一個位于計算機(jī)和它所連防火墻就是一個位于計算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計算接的網(wǎng)絡(luò)之間的軟件或硬件。該計算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。此防火墻。 在網(wǎng)絡(luò)中，所謂在網(wǎng)絡(luò)中，所謂“防火墻防火墻”，是指一，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如如Internet)分開的方法，它實際上是一種隔離技分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你的一種訪問控制尺度，它能允許你“

3、同意同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時將你同時將你“不同意不同意”的人和數(shù)據(jù)拒之的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。來訪問你的網(wǎng)絡(luò)。 換句話說，如果不通過防火墻，公司換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人上的人也無法和公司內(nèi)部的人進(jìn)行通信。進(jìn)行通信。作用作用 防火墻具有很好的保護(hù)作用。入侵者防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計算機(jī)。你可以將防火墻能接觸目

4、標(biāo)計算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別。高級別的配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù)，如視頻流保護(hù)可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。等，但至少這是你自己的保護(hù)選擇。 類型類型 網(wǎng)絡(luò)層防火墻網(wǎng)絡(luò)層防火墻 網(wǎng)絡(luò)層防火墻可視為一種網(wǎng)絡(luò)層防火墻可視為一種 IP IP 封封包過濾器，運作在底層的包過濾器，運作在底層的 TCP/IP TCP/IP 協(xié)協(xié)議堆棧上。我們可以以枚舉的方式，議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻。這些規(guī)則余的一概禁止穿越防火墻。這些規(guī)則通常可以經(jīng)由管

5、理員定義或修改，不通?？梢越?jīng)由管理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。的規(guī)則。 我們也能以另一種較寬松的角度來我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任制定防火墻規(guī)則，只要封包不符合任何一項何一項“否定規(guī)則否定規(guī)則”就予以放行。現(xiàn)就予以放行?，F(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。防火墻功能。 較新的防火墻能利用封包的多樣屬較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾，例如：來源性來進(jìn)行過濾，例如：來源 IP 地址、地址、來源端口號、目的來源端口號、目的 IP 地址或端口號、地址或端口號

6、、服務(wù)類型服務(wù)類型(如如 WWW 或是或是 FTP)。也能。也能經(jīng)由通信協(xié)議、經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域值、來源的網(wǎng)域名稱或網(wǎng)段名稱或網(wǎng)段.等屬性來進(jìn)行過濾。等屬性來進(jìn)行過濾。應(yīng)用層防火墻應(yīng)用層防火墻 應(yīng)用層防火墻是在應(yīng)用層防火墻是在 TCP/IP 堆棧的堆棧的“應(yīng)用層應(yīng)用層”上運作，您使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流上運作，您使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。時的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包所有封包，并且封鎖其他的封包(通常是直通常是直接將封包丟棄接將

7、封包丟棄)。理論上，這一類的防火墻。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。機(jī)器里。 防火墻借由監(jiān)測所有的封包并找出不符規(guī)防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實現(xiàn)而言，這個方序的快速蔓延。不過就實現(xiàn)而言，這個方法既煩且雜法既煩且雜(軟件有千千百百種啊軟件有千千百百種啊)，所以大，所以大部分的防火墻都不會考慮以這種方法設(shè)計。部分的防火墻都不會考慮以這種方法設(shè)計。 XML 防火墻是一種新型態(tài)的應(yīng)用層防火防火墻是一種新型態(tài)的應(yīng)用層防火墻。墻?；咎?/p>

8、性基本特性 （一）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)（一）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻 這是防火這是防火墻所處網(wǎng)絡(luò)位置特性，同時也是一個前提。墻所處網(wǎng)絡(luò)位置特性，同時也是一個前提。因為只有當(dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通因為只有當(dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)信的唯一通道，才可以全面、有效地保護(hù)企業(yè)網(wǎng)部網(wǎng)絡(luò)不受侵害企業(yè)網(wǎng)部網(wǎng)絡(luò)不受侵害 根據(jù)美國國家安全局制定的根據(jù)美國國家安全局制定的信息保信息保障技術(shù)框架障技術(shù)框架，防火墻適用于用戶網(wǎng)，防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全

9、保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即是采安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個網(wǎng)絡(luò)連接處，用不同安全策略的兩個網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。 防火墻的目的就是在網(wǎng)絡(luò)連接之間建防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個安全控制點，通過允許、拒絕立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。審計和控制。 典型

10、的防火墻體系網(wǎng)絡(luò)結(jié)構(gòu)如下圖所典型的防火墻體系網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。從圖中可以看出，防火墻的一端示。從圖中可以看出，防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡(luò)之間的通信都要經(jīng)過防火墻。部網(wǎng)絡(luò)之間的通信都要經(jīng)過防火墻。 InternetInternet防火墻防火墻局域網(wǎng)局域網(wǎng)Hx1x1根據(jù)根據(jù)規(guī)則規(guī)則判斷判斷是否是否允許允許分組分組通過通過防火墻的拓?fù)浣Y(jié)構(gòu)（防火墻的拓?fù)浣Y(jié)構(gòu)（1）內(nèi)部網(wǎng)內(nèi)部網(wǎng)FTP服務(wù)器服務(wù)器WWW服務(wù)器服務(wù)器防火墻防火墻外部內(nèi)部12Internet路由器路由器路由器路由器防火墻的

11、拓?fù)浣Y(jié)構(gòu)（防火墻的拓?fù)浣Y(jié)構(gòu)（2）內(nèi)部網(wǎng)內(nèi)部網(wǎng)FTP服務(wù)器服務(wù)器WWW服務(wù)器服務(wù)器防火墻防火墻外部內(nèi)部12Internet路由器路由器防火墻防火墻防火墻的拓?fù)浣Y(jié)構(gòu)（防火墻的拓?fù)浣Y(jié)構(gòu)（3）內(nèi)部網(wǎng)內(nèi)部網(wǎng)FTP服務(wù)器服務(wù)器WWW服務(wù)器服務(wù)器防火墻防火墻外部內(nèi)部12Internet路由器路由器防火墻防火墻內(nèi)部網(wǎng)內(nèi)部網(wǎng)FTP服務(wù)器服務(wù)器WWW服務(wù)器服務(wù)器防火墻防火墻路由器路由器防火墻防火墻 定義 計算機(jī)病毒計算機(jī)病毒(Computer Virus)在在中中華人民共和國計算機(jī)信息系統(tǒng)安全保華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例護(hù)條例中被明確定義，病毒指中被明確定義，病毒指“編編制者在計算機(jī)程序中插入的破壞計

12、算制者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自用并且能夠自 我復(fù)制的一組計算機(jī)指我復(fù)制的一組計算機(jī)指令或者程序代碼令或者程序代碼”。 而在一般教科書及通用資料中被定義而在一般教科書及通用資料中被定義為為:利用計算機(jī)軟件與硬件的缺陷，由利用計算機(jī)軟件與硬件的缺陷，由被感染機(jī)內(nèi)部發(fā)出的破壞計算機(jī)數(shù)據(jù)被感染機(jī)內(nèi)部發(fā)出的破壞計算機(jī)數(shù)據(jù)并影響計算機(jī)正常工作的一組指令集并影響計算機(jī)正常工作的一組指令集或程序代碼或程序代碼 。計算機(jī)病毒最早出現(xiàn)在。計算機(jī)病毒最早出現(xiàn)在70年代年代 David Gerrold 科幻小說科幻小說 When H.A.

13、R.L.I.E. was One. 最早科學(xué)定義出現(xiàn)在最早科學(xué)定義出現(xiàn)在 1983:在在Fred Cohen (南加大南加大) 的博士論文的博士論文 “計算機(jī)計算機(jī)病毒實驗病毒實驗”“”“一種能把自己一種能把自己(或經(jīng)演變或經(jīng)演變)注入其它程序的計算機(jī)程序注入其它程序的計算機(jī)程序”啟動區(qū)啟動區(qū)病毒病毒,宏宏(macro)病毒病毒,腳本腳本(script)病毒病毒也是相同概念傳播機(jī)制同生物病毒類也是相同概念傳播機(jī)制同生物病毒類似似.生物病毒是把自己注入細(xì)胞之中。生物病毒是把自己注入細(xì)胞之中。熊貓燒香病毒（尼姆亞病毒變種）預(yù)防預(yù)防 病毒往往會利用計算機(jī)操作系統(tǒng)的弱點病毒往往會利用計算機(jī)操作系統(tǒng)的弱

14、點進(jìn)行傳播，提高系統(tǒng)的安全性是防病毒的進(jìn)行傳播，提高系統(tǒng)的安全性是防病毒的一個重要方面，但完美的系統(tǒng)是不存在的，一個重要方面，但完美的系統(tǒng)是不存在的，過于強(qiáng)調(diào)提高系統(tǒng)的安全性將使系統(tǒng)多數(shù)過于強(qiáng)調(diào)提高系統(tǒng)的安全性將使系統(tǒng)多數(shù)時間用于病毒檢查，系統(tǒng)失去了可用性、時間用于病毒檢查，系統(tǒng)失去了可用性、實用性和易用性，另一方面，信息保密的實用性和易用性，另一方面，信息保密的要求讓人們在泄密和抓住病毒之間無法選要求讓人們在泄密和抓住病毒之間無法選擇。病毒與反病毒將作為一種技術(shù)對抗長擇。病毒與反病毒將作為一種技術(shù)對抗長期存在，兩種技術(shù)都將隨計算機(jī)技術(shù)的發(fā)期存在，兩種技術(shù)都將隨計算機(jī)技術(shù)的發(fā)展而得到長期的發(fā)展

15、。展而得到長期的發(fā)展。產(chǎn)生產(chǎn)生 病毒不是來源于突發(fā)或偶然的原因。一次病毒不是來源于突發(fā)或偶然的原因。一次突發(fā)的停電和偶然的錯誤，會在計算機(jī)的突發(fā)的停電和偶然的錯誤，會在計算機(jī)的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令，磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令，但這些代碼是無序和混亂的，病毒則是一但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)種比較完美的，精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來，病毒不會通過偶然境相適應(yīng)和配合起來，病毒不會通過偶然形成，并且需要有一定的長度，這個基本形成，并且需要有一定的長度，

16、這個基本的長度從概率上來講是不可能通過隨機(jī)代的長度從概率上來講是不可能通過隨機(jī)代碼產(chǎn)生的。碼產(chǎn)生的。 現(xiàn)在流行的病毒是由人為故意編寫的，多數(shù)病毒現(xiàn)在流行的病毒是由人為故意編寫的，多數(shù)病毒可以找到作者和產(chǎn)地信息，從大量的統(tǒng)計分析來可以找到作者和產(chǎn)地信息，從大量的統(tǒng)計分析來看，病毒作者主要情況和目的是：一些天才的程看，病毒作者主要情況和目的是：一些天才的程序員為了表現(xiàn)自己和證明自己的能力，出于對上序員為了表現(xiàn)自己和證明自己的能力，出于對上司的不滿，為了好奇，為了報復(fù)，為了祝賀和求司的不滿，為了好奇，為了報復(fù)，為了祝賀和求愛，為了得到控制口令，為了軟件拿不到報酬預(yù)愛，為了得到控制口令，為了軟件拿不到

17、報酬預(yù)留的陷阱等當(dāng)然也有因政治，軍事，宗教，民留的陷阱等當(dāng)然也有因政治，軍事，宗教，民族專利等方面的需求而專門編寫的，其中也包族專利等方面的需求而專門編寫的，其中也包括一些病毒研究機(jī)構(gòu)和黑客的測試病毒括一些病毒研究機(jī)構(gòu)和黑客的測試病毒特點特點 計算機(jī)病毒具有以下幾個特點：計算機(jī)病毒具有以下幾個特點： 寄生性寄生性 計算機(jī)病毒寄生在其他程序之中，計算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個程序時，病毒就起破壞作當(dāng)執(zhí)行這個程序時，病毒就起破壞作用，而在未啟動這個程序之前，它是用，而在未啟動這個程序之前，它是不易被人發(fā)覺的。不易被人發(fā)覺的。傳染性傳染性 計算機(jī)病毒不但本身具有破壞性，更有害計算機(jī)病毒不但

18、本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。傳染性變種，其速度之快令人難以預(yù)防。傳染性是病毒的基本特征。在生物界，病毒通過是病毒的基本特征。在生物界，病毒通過傳染從一個生物體擴(kuò)散到另一個生物體。傳染從一個生物體擴(kuò)散到另一個生物體。在適當(dāng)?shù)臈l件下，它可得到大量繁殖，并在適當(dāng)?shù)臈l件下，它可得到大量繁殖，并使被感染的生物體表現(xiàn)出病癥甚至死亡。使被感染的生物體表現(xiàn)出病癥甚至死亡。 同樣，計算機(jī)病毒也會通過各種渠道從已同樣，計算機(jī)病毒也會通過各種渠道從已被感染的計算機(jī)擴(kuò)散到未被感染的計算機(jī)，被感染的計算機(jī)擴(kuò)散到未被感染的計算機(jī)，在某些情況下造成被感染的計算機(jī)工作失在某些情況下造成被感染的計算機(jī)工作失常甚至癱常甚至癱 瘓。與生物病毒不同的是，計算瘓。與生物病毒不同的是，計算機(jī)