第九章因特網(wǎng)應(yīng)用技術(shù)計(jì)算機(jī)-網(wǎng)絡(luò)安全

1、第九章第九章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全復(fù)習(xí)與回顧復(fù)習(xí)與回顧o以下說法是否正確，說明理由。以下說法是否正確，說明理由。oWWW是一種因特網(wǎng)上的應(yīng)用，不是協(xié)議。是一種因特網(wǎng)上的應(yīng)用，不是協(xié)議。o網(wǎng)站由若干個(gè)網(wǎng)頁文件組成，其中第網(wǎng)站由若干個(gè)網(wǎng)頁文件組成，其中第1個(gè)網(wǎng)頁文件最個(gè)網(wǎng)頁文件最重要，稱為首頁或主頁。重要，稱為首頁或主頁。oHTTP的默認(rèn)端口是的默認(rèn)端口是80、81，F(xiàn)TP的默認(rèn)端口是的默認(rèn)端口是20、21。oHTTP、FTP、TELNET、DNS都是第都是第7層（應(yīng)用層）層（應(yīng)用層）的服務(wù)或協(xié)議。的服務(wù)或協(xié)議。oSMTP和和POP3協(xié)議分別用于郵件的發(fā)送和接收。協(xié)議分別用于郵件的發(fā)送和接收。o在在F

2、TP服務(wù)器上，上傳和下載所占用的帶寬大體相同。服務(wù)器上，上傳和下載所占用的帶寬大體相同。oHTML是一種比較簡單的程序設(shè)計(jì)語言。是一種比較簡單的程序設(shè)計(jì)語言。1.因特網(wǎng)上任何資源的因特網(wǎng)上任何資源的URL地址都是唯一的。地址都是唯一的。本章主要內(nèi)容本章主要內(nèi)容o9.1 網(wǎng)絡(luò)安全問題概述o9.2 防火墻o9.3 VPNo9.4 計(jì)算機(jī)病毒9.1 網(wǎng)絡(luò)安全問題概述網(wǎng)絡(luò)安全問題概述o9.1.1 什么是網(wǎng)絡(luò)安全什么是網(wǎng)絡(luò)安全o網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件硬件、軟件以及系統(tǒng)中的以及系統(tǒng)中的數(shù)據(jù)數(shù)據(jù)受到保護(hù)，不會由于偶然或惡意的原因而遭到受到保護(hù)，不會由于偶然或惡意的原因而遭到破

3、壞破壞、更改更改、泄露泄露，系統(tǒng)能連續(xù)、可靠和正常的運(yùn)，系統(tǒng)能連續(xù)、可靠和正常的運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。行，網(wǎng)絡(luò)服務(wù)不中斷。o從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性保密性、完完整性整性、可用性可用性、真實(shí)性真實(shí)性和和可控性可控性的相關(guān)技術(shù)和理論的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計(jì)都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。綜合性學(xué)科。 o安全威脅分為安

4、全威脅分為故意的故意的和和偶然的偶然的兩類。故意兩類。故意威脅又可以分為威脅又可以分為被動被動和和主動主動兩類。兩類。o被動攻擊的特點(diǎn)是被動攻擊的特點(diǎn)是偷聽偷聽或或監(jiān)視傳送監(jiān)視傳送。其目。其目的是獲得正在傳送的信息。被動攻擊有：的是獲得正在傳送的信息。被動攻擊有：泄露信息內(nèi)容和通信量分析等。泄露信息內(nèi)容和通信量分析等。o主動攻擊涉及修改數(shù)據(jù)流或創(chuàng)建錯(cuò)誤的數(shù)主動攻擊涉及修改數(shù)據(jù)流或創(chuàng)建錯(cuò)誤的數(shù)據(jù)流，它包括中斷、截取、修改、捏造、據(jù)流，它包括中斷、截取、修改、捏造、假冒，重放，修改信息和拒絕服務(wù)等。假冒，重放，修改信息和拒絕服務(wù)等。 9.1.2 網(wǎng)絡(luò)所面臨的安全威脅o影響網(wǎng)絡(luò)安全的主要因素 信息泄

5、密。信息被篡改。傳輸非法信息流。網(wǎng)絡(luò)資源的錯(cuò)誤使用。非法使用網(wǎng)絡(luò)資源。環(huán)境影響。軟件漏洞。人為安全因素 9.1.2 網(wǎng)絡(luò)所面臨的安全威脅o中斷：系統(tǒng)資源遭到破壞或變的不能使用。是對可用性的攻擊。 o截?。何词跈?quán)實(shí)體得到了資源的訪問權(quán)。是對保密性的攻擊。 o修改：未授權(quán)的實(shí)體不僅得到了訪問權(quán)，而且還篡改了資源。是對完整性的攻擊。 o捏造：未授權(quán)的實(shí)體向系統(tǒng)中插入偽造的對象。是對真實(shí)性的攻擊。 o假冒：一個(gè)實(shí)體假裝成另一個(gè)實(shí)體。假冒攻擊通常包括一種其他形式的主動攻擊。 o重放涉及被動捕獲數(shù)據(jù)單元以及后來的重新發(fā)送，以產(chǎn)生未經(jīng)授權(quán)的效果。 9.1.2 網(wǎng)絡(luò)所面臨的安全威脅o修改信息：改變了真實(shí)信息的

6、部分內(nèi)容，或?qū)⑿畔⒀舆t或重新排序，導(dǎo)致未授權(quán)的操作。 o拒絕服務(wù)：禁止對通信工具的正常使用或管理。這種攻擊擁有特定的目標(biāo)。另一種拒絕服務(wù)的形式是整個(gè)網(wǎng)絡(luò)的中斷，這可以通過使網(wǎng)絡(luò)失效而實(shí)現(xiàn)，或通過消息過載使網(wǎng)絡(luò)性能降低。o還有一種特殊的主動攻擊就是惡意程序攻擊。滲入威脅：假冒，旁路控制，授權(quán)侵犯。 植入威脅：特洛伊木馬，陷門。9.1.2 網(wǎng)絡(luò)所面臨的安全威脅網(wǎng)絡(luò)實(shí)體的安全軟件安全數(shù)據(jù)安全安全管理數(shù)據(jù)保密性數(shù)據(jù)完整性可用性可審查性9.1.3 網(wǎng)絡(luò)安全的內(nèi)容o網(wǎng)絡(luò)安全的主要內(nèi)容 根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅，計(jì)算機(jī)網(wǎng)絡(luò)的安全工作主要集中在以下方面：保密保密；鑒別鑒別；訪問控制訪問控制；病毒防范病毒防范

7、；防止木馬防止木馬9.1.3 網(wǎng)絡(luò)安全的內(nèi)容oOSI/RM七層網(wǎng)絡(luò)參考模型，不同的網(wǎng)絡(luò)層次完成不同的功能。從安全角度來看，各層能提供一定的安全手段，針對不同層次的安全措施不同。沒有哪個(gè)層次能夠單獨(dú)提供全部的網(wǎng)絡(luò)安全服務(wù)，每個(gè)層次都有自己的貢獻(xiàn)。o在物理層，可以在通信線路上采用某些技術(shù)使得偷聽不可能實(shí)現(xiàn)或者容易被檢測出來。 o在數(shù)據(jù)鏈路層，點(diǎn)對點(diǎn)鏈路可以通過加密來保障數(shù)據(jù)傳輸?shù)陌踩?。?dāng)信息離開一個(gè)設(shè)備時(shí)加密，進(jìn)入一個(gè)設(shè)備時(shí)解密。 o在網(wǎng)絡(luò)層，防火墻技術(shù)被用來處理信息在內(nèi)外網(wǎng)絡(luò)邊界的流動，它可以確定哪些訪問活動可以進(jìn)行；o在傳輸層，端到端的連接可以進(jìn)行加密。這也稱為進(jìn)程到進(jìn)程間的加密。 9.1.

8、4 網(wǎng)絡(luò)安全的層次模型9.2 防火墻防火墻o9.2.1防火墻的功能 o防火墻(Firewall)是一項(xiàng)協(xié)助確保信息安全的設(shè)備，會依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻可以是一臺專屬的硬件，也可以是架設(shè)在一般硬件上的一套軟件。o是一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實(shí)際上是一種隔離技術(shù)。o主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。 9.2.1 9.2.1 防火墻的功能防火墻的功能o通常防火墻具有以下功能：過濾進(jìn)出的數(shù)據(jù)。管理進(jìn)出的訪問行為。封堵某些禁止的業(yè)務(wù)。記錄通過防火墻的信息內(nèi)容和活動。對網(wǎng)絡(luò)攻擊進(jìn)行檢測和報(bào)警。o1網(wǎng)絡(luò)級防火墻o網(wǎng)絡(luò)級防

9、火墻又稱為包過濾型防火墻，是基于數(shù)據(jù)包過濾的防火墻。o網(wǎng)絡(luò)級防火墻可以將從數(shù)據(jù)包中獲取的信息（源地址、目標(biāo)地址、所用端口等）同規(guī)則表進(jìn)行比較。在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包的通過。網(wǎng)絡(luò)級防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。o用一個(gè)軟件查看所流經(jīng)的數(shù)據(jù)包的包頭（header），由此決定整個(gè)包的命運(yùn)。它可能會決定丟棄（DROP）這個(gè)包，可能會接受（ACCEPT）這個(gè)包（讓這個(gè)包通過），也可能執(zhí)行其它更復(fù)雜的動作。 9.2.2 防火墻的類型防火墻的類型o包過濾策略* 拒絕來自某主機(jī)或某網(wǎng)段的所有連接。* 允許來自某主機(jī)或某網(wǎng)段的所有連接。* 拒絕來自某主機(jī)或某網(wǎng)段的指

10、定端口的連接。* 允許來自某主機(jī)或某網(wǎng)段的指定端口的連接。* 拒絕本地主機(jī)或本地網(wǎng)絡(luò)與其它主機(jī)或其它網(wǎng)絡(luò)的所有連接。* 允許本地主機(jī)或本地網(wǎng)絡(luò)與其它主機(jī)或其它網(wǎng)絡(luò)的所有連接。* 拒絕本地主機(jī)或本地網(wǎng)絡(luò)與其它主機(jī)或其它網(wǎng)絡(luò)的指定端口的連接。* 允許本地主機(jī)或本地網(wǎng)絡(luò)與其它主機(jī)或其它網(wǎng)絡(luò)的指定端口的連接。9.2.2 防火墻的類型防火墻的類型o2應(yīng)用層防火墻o應(yīng)用層防火墻又稱為應(yīng)用層網(wǎng)關(guān)，它的另外一個(gè)名字就是代理服務(wù)器。網(wǎng)絡(luò)級防火墻可以按照IP地址禁止外部對內(nèi)部的訪問，但不能控制內(nèi)部人員對外的訪問。o代理服務(wù)器隔離在風(fēng)險(xiǎn)網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，內(nèi)外不能直接交換數(shù)據(jù)，數(shù)據(jù)交換由代理服務(wù)器“代理”完成。o當(dāng)

11、一個(gè)用戶在可信賴的網(wǎng)絡(luò)希望連接到在不被信賴的網(wǎng)絡(luò)的服務(wù)如因特網(wǎng)，這個(gè)應(yīng)用專注于在防火墻上的代理服務(wù)器，有效地偽裝成在因特網(wǎng)上的真實(shí)服務(wù)器。它評估請求和決定允許或拒絕基于一系列被個(gè)人網(wǎng)絡(luò)服務(wù)管理規(guī)則的請求。 9.2.2 防火墻的類型防火墻的類型o代理服務(wù)器的功能（1）設(shè)置用戶驗(yàn)證和記賬功能，可按用戶進(jìn)行記賬，沒有登記的用戶無權(quán)通過代理服務(wù)器訪問Internet網(wǎng)。并對用戶的訪問時(shí)間、訪問地點(diǎn)、信息流量進(jìn)行統(tǒng)計(jì)。(2）對用戶進(jìn)行分級管理，設(shè)置不同用戶的訪問權(quán)限，對外界或內(nèi)部的Internet地址進(jìn)行過濾，設(shè)置不同的訪問權(quán)限。(3）增加緩沖器（Cache)，提高訪問速度，對經(jīng)常訪問的地址創(chuàng)建緩沖區(qū)，

12、提高熱門站點(diǎn)的訪問效率。通常代理服務(wù)器都設(shè)置一個(gè)較大的硬盤緩沖區(qū)（可能高達(dá)幾個(gè)GB或更大），當(dāng)有外界的信息通過時(shí)，同時(shí)也將其保存到緩沖區(qū)中，當(dāng)其他用戶再訪問相同的信息時(shí)，則直接由緩沖區(qū)中取出信息，傳給用戶，以提高訪問速度。(4）連接內(nèi)網(wǎng)與Internet：因?yàn)樗袃?nèi)部網(wǎng)的用戶通過代理服務(wù)器訪問外界時(shí)，只映射為一個(gè)IP地址，外界不能直接訪問到內(nèi)部網(wǎng)；同時(shí)可以設(shè)置IP地址過濾，限制內(nèi)部網(wǎng)對外部的訪問權(quán)限。(5）節(jié)省IP開銷9.2.2 防火墻的類型防火墻的類型o3數(shù)據(jù)庫防火墻o是一款基于數(shù)據(jù)庫協(xié)議分析與控制技術(shù)的數(shù)據(jù)庫安全防護(hù)系統(tǒng)?；谥鲃臃烙鶛C(jī)制，實(shí)現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險(xiǎn)操作阻斷、可疑行為審

13、計(jì)。o通過SQL協(xié)議分析，根據(jù)預(yù)定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫的外圍防御圈,實(shí)現(xiàn)SQL危險(xiǎn)操作的主動預(yù)防、實(shí)時(shí)審計(jì)。o面對來自于外部的入侵行為，提供SQL注入禁止和數(shù)據(jù)庫虛擬補(bǔ)丁包功能。9.2.2 防火墻的類型防火墻的類型數(shù)據(jù)泄漏事件 (1) 金融行業(yè)金融行業(yè)：2012年年4月，月，vsia信用卡泄密事件信用卡泄密事件致使致使150萬個(gè)賬戶受影響。萬個(gè)賬戶受影響。(2) 政府部門政府部門：2012年年1月，廣東公安廳技術(shù)漏洞月，廣東公安廳技術(shù)漏洞致致444萬出入境數(shù)據(jù)泄漏。萬出入境數(shù)據(jù)泄漏。(3) 互聯(lián)網(wǎng)互聯(lián)網(wǎng)：2011年歲末，數(shù)據(jù)泄密信息過億，其年歲

14、末，數(shù)據(jù)泄密信息過億，其中當(dāng)當(dāng)網(wǎng)中當(dāng)當(dāng)網(wǎng)1200萬用戶信息泄漏；支付寶賬戶泄漏萬用戶信息泄漏；支付寶賬戶泄漏達(dá)達(dá)1500萬到萬到2500萬；萬；CSDN 600余萬用戶信余萬用戶信息泄漏。息泄漏。(4) 電信行業(yè)電信行業(yè)：2011年年3月，陜西移動月，陜西移動1394萬用戶萬用戶信息被盜。信息被盜。(5) 醫(yī)療行業(yè)醫(yī)療行業(yè)：2008年深圳年深圳4萬余名孕婦信息泄漏。萬余名孕婦信息泄漏。數(shù)據(jù)庫防火墻的數(shù)據(jù)庫防火墻的核心功能屏蔽直接訪問數(shù)據(jù)庫的通道屏蔽直接訪問數(shù)據(jù)庫的通道二次認(rèn)證二次認(rèn)證：基于獨(dú)創(chuàng)的“連接六元組【機(jī)器指紋（不可偽造）、IP地址、MAC地址、用戶、應(yīng)用程序、時(shí)間段】”授權(quán)單位，應(yīng)用程

15、序?qū)?shù)據(jù)庫的訪問，必須經(jīng)過數(shù)據(jù)庫防火墻和數(shù)據(jù)庫自身兩層身份認(rèn)證。攻擊保護(hù)攻擊保護(hù)連接監(jiān)控連接監(jiān)控安全審計(jì)安全審計(jì)審計(jì)探針審計(jì)探針細(xì)粒度權(quán)限控制細(xì)粒度權(quán)限控制精準(zhǔn)精準(zhǔn)SQL語法分析語法分析自動自動SQL學(xué)習(xí)學(xué)習(xí)o1、內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻o防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和

16、訪問的審計(jì)和控制。 9.2.3 防火墻的基本特征防火墻的基本特征o2、只有符合安全策略的數(shù)據(jù)流才能通過防火墻o防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。原始的防火墻是一臺“雙穴主機(jī)”，即具備兩個(gè)網(wǎng)絡(luò)接口，同時(shí)擁有兩個(gè)網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問規(guī)則和安全審查，然后將符合通過條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對于那些不符合通過條件的報(bào)文則予以阻斷。因此，從這個(gè)角度上來說，防火墻是一個(gè)類似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于

17、多個(gè)分離的物理網(wǎng)段之間，并在報(bào)文轉(zhuǎn)發(fā)過程之中完成對報(bào)文的審查工作。9.2.3 防火墻的基本特征防火墻的基本特征o3、防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力o這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個(gè)邊界衛(wèi)士一樣，每時(shí)每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。它之所以具有這么強(qiáng)的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應(yīng)用程序在防火墻上運(yùn)行。當(dāng)然這些安全性也只能說是相對的。9.2.3 防火墻的基本特

18、征防火墻的基本特征o4、應(yīng)用層防火墻具備更細(xì)致的防護(hù)能力 o具備應(yīng)用層分析的能力，能夠基于不同的應(yīng)用特征，實(shí)現(xiàn)應(yīng)用層的攻擊過濾，在具備傳統(tǒng)防火墻、IPS（入侵防御系統(tǒng)）、防毒等功能的同時(shí)，還能夠?qū)τ脩艉蛢?nèi)容進(jìn)行識別管理，兼具了應(yīng)用層的高性能和智能聯(lián)動兩大特性，能夠更好的針對應(yīng)用層攻擊進(jìn)行防護(hù)。 9.2.3 防火墻的基本特征防火墻的基本特征o國外主流廠商為思科（Cisco）、CheckPoint、NetScreeno國內(nèi)主流廠商為東軟、天融信、山石網(wǎng)科、網(wǎng)御神州、聯(lián)想、方正等，它們都提供不同級別的防火墻產(chǎn)品 9.2.4 防火墻產(chǎn)品防火墻產(chǎn)品o1屏蔽路由器方式o這是防火墻的最基本的配置，它可以由廠

19、家專門生產(chǎn)的路由器實(shí)現(xiàn)，也可以用主機(jī)來實(shí)現(xiàn)。屏蔽路由器作為內(nèi)外網(wǎng)絡(luò)連接的唯一通道，要求所有的報(bào)文都必須在此通過檢查。路由器上安裝分組過濾軟件，可以實(shí)現(xiàn)分組過濾的功能。9.2.5 防火墻的配置防火墻的配置o2雙穴主機(jī)網(wǎng)關(guān)方式（Dual-homed）o雙穴主機(jī)網(wǎng)關(guān)放置在兩個(gè)網(wǎng)絡(luò)之間，又稱為堡壘主機(jī)。通常是用一臺裝有兩個(gè)網(wǎng)卡的堡壘主機(jī)實(shí)現(xiàn)，在主機(jī)上運(yùn)行防火墻軟件，各自與內(nèi)外部網(wǎng)絡(luò)相連。9.2.5 防火墻的配置防火墻的配置o3屏蔽主機(jī)網(wǎng)關(guān)方式o用一個(gè)分組過濾路由器連接外部網(wǎng)絡(luò)，再通過一個(gè)堡壘主機(jī)連接內(nèi)部網(wǎng)絡(luò)。這種方式中的屏蔽路由器為保護(hù)堡壘主機(jī)的安全建立了一道屏障，屏蔽路由器只接受來自堡壘主機(jī)的數(shù)據(jù)作

20、為出去的數(shù)據(jù)，并將由外部進(jìn)入的數(shù)據(jù)送往堡壘主機(jī)。9.2.5 防火墻的配置防火墻的配置o4被屏蔽子網(wǎng)方式o在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)。它包含兩個(gè)分組過濾路由器和一個(gè)堡壘主機(jī)。兩臺分組過濾路由器在公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間構(gòu)成了一個(gè)隔離網(wǎng)，稱之為“?；饏^(qū)” , 也稱為非軍事區(qū)，堡壘主機(jī)放置在“停火區(qū)”內(nèi)。 9.2.5 防火墻的配置防火墻的配置9.3 虛擬專用網(wǎng)虛擬專用網(wǎng)VPN技術(shù)技術(shù) o虛擬專用網(wǎng)VPN（Virtual Private Network）是隨著Internet的發(fā)展而迅速發(fā)展起來的一種技術(shù)。現(xiàn)代企業(yè)越來越多地利用Internet資源來進(jìn)行促銷、銷售、售后服務(wù)，乃至培訓(xùn)、

21、合作等活動。許多企業(yè)趨向于利用Internet來替代它們私有數(shù)據(jù)網(wǎng)絡(luò)。這種利用Internet來傳輸私有信息而形成的邏輯網(wǎng)絡(luò)就稱為虛擬專用網(wǎng)。oVPN的解決方法是在內(nèi)網(wǎng)中架設(shè)一臺VPN服務(wù)器，VPN服務(wù)器有兩塊網(wǎng)卡，一塊連接內(nèi)網(wǎng)，一塊連接公網(wǎng)。外地員工在當(dāng)?shù)剡B上互聯(lián)網(wǎng)后，通過互聯(lián)網(wǎng)找到VPN服務(wù)器，然后利用VPN服務(wù)器作為跳板進(jìn)入企業(yè)內(nèi)網(wǎng)。為了保證數(shù)據(jù)安全，VPN服務(wù)器和客戶機(jī)之間的通訊數(shù)據(jù)都進(jìn)行了加密處理。 VPN的工作原理的工作原理o隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重

22、新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。o隧道技術(shù)使用點(diǎn)對點(diǎn)通信協(xié)議代替了交換連接，通過路由網(wǎng)絡(luò)來連接數(shù)據(jù)地址。隧道技術(shù)允許授權(quán)移動用戶或已授權(quán)的用戶在任何時(shí)間、任何地點(diǎn)訪問企業(yè)網(wǎng)絡(luò)。 1隧道技術(shù)功能功能o將數(shù)據(jù)流強(qiáng)制送到特定的地址o隱藏私有的網(wǎng)絡(luò)地址o在IP網(wǎng)上傳遞非IP數(shù)據(jù)包o提供數(shù)據(jù)安全支持o對通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，確保網(wǎng)絡(luò)其他未授權(quán)的用戶無法讀取該信息。加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用。2加解密技術(shù)o密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKI

23、P與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。3密鑰管理技術(shù)oVPN方案必須能夠驗(yàn)證用戶身份并嚴(yán)格控制只有授權(quán)用戶才能訪問VPN。另外，方案還必須能夠提供審計(jì)和記費(fèi)功能，顯示何人在何時(shí)訪問了何種信息。身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。 4使用者與設(shè)備身份認(rèn)證技術(shù)9.4 計(jì)算機(jī)病毒計(jì)算機(jī)病毒 o9.4.1病毒簡介 o病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算器病毒是一段象生物病毒一樣的程序，它會覆制自己并傳播到其它宿主，并對宿主造成損害。病毒在傳播期間一般會隱蔽自己，由特定的出發(fā)條件觸發(fā)開始產(chǎn)生破壞。9.4.1 病毒特征病毒特征 o病毒的基本特性傳染性：隱蔽性：破壞性：潛伏性：運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無緣無故地死機(jī)操作系統(tǒng)無法正常啟動運(yùn)行速度明顯變慢以前能正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯(cuò)誤磁盤空間迅速減少共享目錄無法使用收到陌生人發(fā)來的電子郵件自動鏈接到一些陌生的網(wǎng)站9.4.2 病毒的表現(xiàn)形式病毒的表現(xiàn)形式 新購置的計(jì)算機(jī)硬件和軟件系統(tǒng)都要經(jīng)過測試計(jì)算機(jī)系統(tǒng)盡量使用硬盤啟動對重點(diǎn)保護(hù)的計(jì)算機(jī)系統(tǒng)應(yīng)做到專機(jī)、專盤、專人、專用，封閉環(huán)境中不會自