網(wǎng)絡(luò)安全與管理課件

《網(wǎng)絡(luò)安全與管理》第一章網(wǎng)絡(luò)安全概述第二章網(wǎng)絡(luò)監(jiān)控軟件原理第三章操作系統(tǒng)的安全第四章：密碼技術(shù)第五章：病毒技術(shù)1第六章防火墻技術(shù)第七章入侵檢測系統(tǒng)(IDS)第八章VPN技術(shù)第九章完整網(wǎng)絡(luò)安全解決方案設(shè)計《網(wǎng)絡(luò)安全與管理》第一章網(wǎng)絡(luò)安全概述互聯(lián)網(wǎng)介紹“互聯(lián)網(wǎng)”指的是全球性的信息系統(tǒng)：（1）通過全球性的唯一的地址邏輯地鏈接在一起。這個地址是建立在互聯(lián)網(wǎng)協(xié)議（IP）或今后其它協(xié)議基礎(chǔ)之上的。（2）可以通過傳輸控制協(xié)議和互聯(lián)網(wǎng)協(xié)議（TCP/IP），或者今后其它接替的協(xié)議或與互聯(lián)網(wǎng)協(xié)議（IP）兼容的協(xié)議來進行通信。（3）可以讓公共用戶或者私人用戶使用高水平的服務(wù)。這種服務(wù)是建立在上述通信及相關(guān)的基礎(chǔ)設(shè)施之上的。這當然是從技術(shù)的角度來定義互聯(lián)網(wǎng)。這個定義至少揭示了三個方面的內(nèi)容：首先，互聯(lián)網(wǎng)是全球性的；其次，互聯(lián)網(wǎng)上的每一臺主機都需要有“地址”；最后，這些主機必須按照共同的規(guī)則（協(xié)議）連接在一起。政府商業(yè)個人生活金融互聯(lián)網(wǎng)技術(shù)的影響和意義信息技術(shù)/網(wǎng)絡(luò)技術(shù)改變生活方式EmailWebISP門戶網(wǎng)站電子商務(wù)電子交易復(fù)雜程度時間Internet變得越來越重要網(wǎng)絡(luò)為什么不安全（１）軟件本身設(shè)計不良或系統(tǒng)設(shè)計上的缺陷（２）使用者習慣及方法不正確（３）網(wǎng)絡(luò)防護不夠嚴謹網(wǎng)絡(luò)安全防范構(gòu)建網(wǎng)絡(luò)安全架構(gòu)體系的要項（１）明確網(wǎng)絡(luò)資源（２）確定網(wǎng)絡(luò)存取點（３）限定存取權(quán)限（４）確認安全防范（５）內(nèi)部的安全問題（６）公鑰驗證（７）單一登錄安全攻擊的出現(xiàn)安全問題隨之而來VirusWormTrojans99%系統(tǒng)被感染過信息失密、被盜莫名其妙的死機、掉線十大網(wǎng)絡(luò)危險行為1.瀏覽不明郵件附件

2.安裝未授權(quán)應(yīng)用

3.關(guān)閉或禁用安全工具

4.瀏覽不明HTML或文本消息

5.瀏覽賭博、色情或其他非法站點

6.公開自己的登錄密碼、令牌或智能卡信息

7.重要的文檔裸奔，沒有加密

8.隨意訪問未知、不可信站點

9.隨意填寫Web腳本、表格或注冊頁面

10.頻繁訪問聊天室或社交站點

十個常用網(wǎng)絡(luò)密碼安全保護技巧1、使用復(fù)雜的密碼2、使用軟鍵盤3、使用動態(tài)密碼（一次性密碼）4、網(wǎng)絡(luò)釣魚的防范5、使用加密防范Sniffer6、盡量不要保存密碼在本地7、使用USBKey8、個人密碼管理9、密碼分級10、生物特征識別威脅網(wǎng)絡(luò)安全的因素黑客會做什么？學習技術(shù)偽裝自己發(fā)現(xiàn)漏洞利用漏洞做一些好事或壞事等等黑客的定義是：“喜歡探索軟件程序奧秘、并從中增長其個人才干的人。他們不像絕大多數(shù)電腦使用者，只規(guī)規(guī)矩矩地了解別人指定了解的范圍狹小的部分知識。”

威脅網(wǎng)絡(luò)安全的因素外部的威脅黑客工業(yè)間諜被解雇的人員犯罪分子/恐怖分子腳本小子內(nèi)部的威脅網(wǎng)絡(luò)誤用/濫用沒有良好的管理機制黑客攻擊的思路黑客攻擊技術(shù)與網(wǎng)絡(luò)病毒日趨融合攻擊者需要的技能日趨下降網(wǎng)絡(luò)攻擊被動攻擊竊聽或者偷窺流量分析被動攻擊非常難以檢測，但可以防范源目的sniffer網(wǎng)絡(luò)攻擊方式主動攻擊可以檢測，但難以防范主動攻擊指攻擊者對某個連接的中的數(shù)據(jù)進行各種處理(更改、刪除、遲延、復(fù)制、偽造等)阻斷攻擊篡改攻擊偽造攻擊重放攻擊拒絕服務(wù)攻擊

網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部人員威脅拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息泄漏、篡改、破壞后門、隱蔽通道蠕蟲社會工程天災(zāi)系統(tǒng)Bug網(wǎng)絡(luò)存在的安全威脅一種通過對受害者心理弱點、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段。

常用的安全技術(shù)手段加密技術(shù)身份認證技術(shù)防火墻技術(shù)病毒防治技術(shù)入侵檢測技術(shù)VPN技術(shù)第38屆世界電信日主題讓全球網(wǎng)絡(luò)更安全

（PromotingGlobalCybersecurity）在一個日益網(wǎng)絡(luò)化的社會，保證網(wǎng)絡(luò)以及信息通信技術(shù)系統(tǒng)和基礎(chǔ)設(shè)施的安全，已成為當務(wù)之急。因此，必須樹立對網(wǎng)上交易、電子商務(wù)、電子銀行、遠程醫(yī)療、電子政務(wù)和一系列其它應(yīng)用的信心。這對于全球經(jīng)濟社會的未來發(fā)展至關(guān)重要。實現(xiàn)網(wǎng)絡(luò)安全取決于每個聯(lián)網(wǎng)國家、企業(yè)和公民采取的安全措施。為防范高技能的網(wǎng)絡(luò)犯罪分子，我們必須培育全球網(wǎng)絡(luò)安全文化。這不僅需要良好的監(jiān)管和立法，還需要敏于察覺威脅，并制定出基于信息通信技術(shù)的嚴厲對策。戰(zhàn)略目標?

提升網(wǎng)絡(luò)普及水平、信息資源開發(fā)利用水平和信息安全保障水平。抓住網(wǎng)絡(luò)技術(shù)轉(zhuǎn)型的機遇，基本建成國際領(lǐng)先、多網(wǎng)融合、安全可靠的綜合信息基礎(chǔ)設(shè)施。信息安全的長效機制基本形成，國家信息安全保障體系較為完善，信息安全保障能力顯著增強。《2006―2020年國家信息化發(fā)展戰(zhàn)略》網(wǎng)絡(luò)安全的目標進不來拿不走看不懂改不了跑不了《網(wǎng)絡(luò)安全》第二章網(wǎng)絡(luò)監(jiān)控軟件原理

為什么要使用網(wǎng)絡(luò)監(jiān)控軟件

目前很多企業(yè)配備了專門的網(wǎng)絡(luò)管理人員管理企業(yè)所構(gòu)建的網(wǎng)站，雖然管好了設(shè)備，但設(shè)備所帶來的方便卻降低了企業(yè)員工的工作效率（都用網(wǎng)絡(luò)干別的事情去了），加大了商業(yè)信息泄露的風險（因為缺乏管理，客戶資料很可能被自己人傳送給競爭對手，成為對方的資源）。因此企業(yè)內(nèi)部網(wǎng)絡(luò)的管理，僅僅靠購買設(shè)備是不夠的，僅僅建設(shè)網(wǎng)站也是不夠的，只管理網(wǎng)絡(luò)設(shè)備還是不夠的，還需要把員工使用網(wǎng)絡(luò)的內(nèi)容做監(jiān)控，把使用網(wǎng)絡(luò)的行為管理起來。尤其是外貿(mào)企業(yè)、技術(shù)研發(fā)類企業(yè)（如軟件開發(fā)、機械工程）、政府機關(guān)、銀行、醫(yī)院、部隊等關(guān)鍵任務(wù)機構(gòu)，對員工的上網(wǎng)監(jiān)督管理必不可少。網(wǎng)絡(luò)監(jiān)控軟件主要目標1、防止并追查重要資料、機密文件等外泄；2、監(jiān)督、審查、限制、規(guī)范網(wǎng)絡(luò)使用行為；3、限制消耗資源的聊天、游戲、外發(fā)資料、BT惡性下載和股票等行為；4、備份重要網(wǎng)絡(luò)資源文件（比如業(yè)務(wù)郵件）；5、監(jiān)視QQ/MSN聊天記錄內(nèi)容和行為過程；6、流量限制以及網(wǎng)站訪問統(tǒng)計，用于分析員工使用網(wǎng)絡(luò)情況；

網(wǎng)絡(luò)監(jiān)控軟件的解決方案按照運行原理區(qū)分為：監(jiān)聽模式和網(wǎng)關(guān)模式兩種監(jiān)聽模式：①通過共享式HUB（集線器）②通過鏡像交換機③通過代理/網(wǎng)關(guān)服務(wù)器

網(wǎng)關(guān)模式：①內(nèi)網(wǎng)監(jiān)控

②外網(wǎng)監(jiān)控sniffer簡介Sniffer，中文可以翻譯為嗅探器，是一種基于被動偵聽原理的網(wǎng)絡(luò)分析方式。使用這種技術(shù)方式，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。當信息以明文的形式在網(wǎng)絡(luò)上傳輸時，便可以使用網(wǎng)絡(luò)監(jiān)聽的方式來進行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。Sniffer技術(shù)常常被黑客們用來截獲用戶的口令，但實際上Sniffer技術(shù)被廣泛地應(yīng)用于網(wǎng)絡(luò)故障診斷、協(xié)議分析、應(yīng)用性能分析和網(wǎng)絡(luò)安全保障等各個領(lǐng)域。

借你一雙”網(wǎng)絡(luò)慧眼”Sniffer的分類Sniffer分為軟件和硬件兩種軟件的Sniffer有SnifferPro、NetworkMonitor、PacketBone等，其優(yōu)點是易于安裝部署，易于學習使用，同時也易于交流；缺點是無法抓取網(wǎng)絡(luò)上所有的傳輸，某些情況下也就無法真正了解網(wǎng)絡(luò)的故障和運行情況。硬件的Sniffer通常稱為協(xié)議分析儀，一般都是商業(yè)性的，價格也比較昂貴，但會具備支持各類擴展的鏈路捕獲能力以及高性能的數(shù)據(jù)實時捕獲分析的功能。網(wǎng)絡(luò)監(jiān)聽的目的

當一個黑客成功地攻陷了一臺主機，并拿到了管理員權(quán)限，而且還想利用這臺主機去攻擊同一（物理）網(wǎng)段上的其他主機時，他就會在這臺主機上安裝Sniffer軟件，對以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進行偵聽，從而發(fā)現(xiàn)感興趣的包。如果發(fā)現(xiàn)符合條件的包，就把它存到一個Log文件中去。通常設(shè)置的這些條件是包含字“username”或“password”的包，這樣的包里面通常有黑客感興趣的密碼之類的東西。一旦黑客截獲得了某臺主機的密碼，他就會立刻進入這臺主機。如果Sniffer運行在路由器上或有路由功能的主機上，就能對大量的數(shù)據(jù)進行監(jiān)控，因為所有進出網(wǎng)絡(luò)的數(shù)據(jù)包都要經(jīng)過路由器。Sniffer的應(yīng)用（1）Sniffer可以幫助評估業(yè)務(wù)運行狀態(tài)（2）Sniffer能夠幫助評估網(wǎng)絡(luò)的性能（3）Sniffer幫助快速定位故障（4）Sniffer可以幫助排除潛在的威脅（5）Sniffer可以做流量的趨勢分析（6）Sniffer可以做應(yīng)用性能預(yù)測Sniffer的工作原理在正常情況下，一個合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀：（1）幀的目標區(qū)域具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址。（2）幀的目標區(qū)域具有“廣播地址”。而Sniffer就是一種能將本地網(wǎng)卡狀態(tài)設(shè)成混雜狀態(tài)的軟件，當網(wǎng)卡處于這種“混雜”模式時，該網(wǎng)卡具備“廣播地址”，它對所有遭遇到的每一個幀都產(chǎn)生一個硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該物理媒體上的每一個報文包。Sniffer所要關(guān)心的內(nèi)容（1）口令（2）金融帳號（3）偷窺機密或敏感的信息數(shù)據(jù)（4）窺探低級的協(xié)議信息。Sniffer的工作環(huán)境大多數(shù)的Sniffer至少能夠分析下面的協(xié)議：（1）標準以太網(wǎng)（2）TCP/IP（3）IPX（4）DECNetSnffierpro介紹

監(jiān)控目的：通過SnifferPro實時監(jiān)控，及時發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的故障（例如病毒、攻擊、流量超限等非正常行為）。對于很多企業(yè)、網(wǎng)吧網(wǎng)絡(luò)環(huán)境中，網(wǎng)關(guān)（路由、代理等）自身不具備流量監(jiān)控、查詢功能，本文將是一個很好的解決方案。SnifferPro強大的實用功能還包括：網(wǎng)內(nèi)任意終端流量實時查詢、網(wǎng)內(nèi)終端與終端之間流量實時查詢、終端流量TOP排行、異常告警等。同時，我們將數(shù)據(jù)包捕獲后，通過SnifferPro的專家分析系統(tǒng)幫助我們更進一步分析數(shù)據(jù)包，以助更好的分析、解決網(wǎng)絡(luò)異常問題。網(wǎng)絡(luò)拓撲步驟一：配置交換機端口鏡像1.什么是端口鏡像?

把交換機一個或多個端口（VLAN）的數(shù)據(jù)鏡像到一個或多個端口的方法。2.為什么需要端口鏡像?

交換機的工作原理與HUB有很大的不同，HUB組建的網(wǎng)絡(luò)數(shù)據(jù)交換都是通過廣播方式進行的，而交換機組建的網(wǎng)絡(luò)是根據(jù)交換機內(nèi)部CAM表（通常也稱IP-MAC表）進行數(shù)據(jù)轉(zhuǎn)發(fā)，因此需要通過配置交換機來把一個或多個端口（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個端口來實現(xiàn)對網(wǎng)絡(luò)的監(jiān)聽。

端口監(jiān)控配置例：fa0/2接口監(jiān)控fa0/10接口的步驟如下:

Switch#configureterminal

!進入全局配置模式

Switch(config)#monitorsession1sourceinterfacefastEthernet0/10both

!設(shè)置被監(jiān)控口

Switch(config)#monitorsession1destinationinterfacefastEthernet0/2

!設(shè)置監(jiān)控口

Switch(config)#end

Switch#wrSwitch#showmonitorsession1!查看當前配置

Switch(config)#nomonitorsession1!清除當前配置Sniffer軟件的功能功能實時監(jiān)視網(wǎng)絡(luò)活動采集單個工作站、對話或網(wǎng)絡(luò)任何部分詳細的利用率和錯誤統(tǒng)計數(shù)據(jù)保存歷史利用率和錯誤信息，以進行原始分析生成實時的警報檢測到故障時通知網(wǎng)絡(luò)管理員捕獲網(wǎng)絡(luò)通信量．以進行詳細的數(shù)據(jù)包分析接收專家系統(tǒng)對網(wǎng)絡(luò)通信口的分析用有效的工具探索網(wǎng)絡(luò)，以模擬通信量、測量響應(yīng)時間、排除故障可在運行以下各項的網(wǎng)段中使用以太網(wǎng)千兆位以太網(wǎng)快速以太網(wǎng)無線LAN(802.11b)令牌環(huán)ATMwan使用前的準備

任意捕

獲條件

編輯

協(xié)議捕

獲編輯

緩沖區(qū)

編輯

基本捕獲條件

鏈路層捕獲

IP

層捕獲

數(shù)據(jù)流

方向

鏈路層捕獲

地址條件

任意捕

獲條件

編輯

協(xié)議捕

獲編輯

緩沖區(qū)

編輯

基本捕獲條件

鏈路層捕獲

IP

層捕獲

數(shù)據(jù)流

方向

鏈路層捕獲

地址條件

定義希望捕獲的協(xié)議的數(shù)據(jù)包

定義捕獲數(shù)據(jù)包的緩沖區(qū)需將定義的過濾規(guī)則應(yīng)用于捕獲中

捕獲數(shù)據(jù)包時觀察到的信息Dashboard（儀表板）:可以實時統(tǒng)計每秒鐘接收到的包的數(shù)量、出錯包的數(shù)量、丟棄包的數(shù)量、廣播包的數(shù)量、多播包的數(shù)量以及帶寬的利用率等。HostTable：可以查看通信量最大的前10位主機。Matrix:通過連線，可以形象的看到不同主機之間的通信（圖形）。ApplicationResponseTime:可以了解到不同主機通信的最小、最大、平均響應(yīng)時間方面的信息。HistorySamples:可以看到歷史數(shù)據(jù)抽樣出來的統(tǒng)計值。Protocoldistribution:可以實時觀察到數(shù)據(jù)流中不同協(xié)議的分布情況Switch:可以獲取（cisco）交換機的狀態(tài)信息

捕獲數(shù)據(jù)包后的分析工作Expert:這是sniffer提供的專家模式，系統(tǒng)自身根據(jù)捕獲的數(shù)據(jù)包從鏈路層到應(yīng)用層進行分類并作出診斷。其中diagnoses提出非常有價值的診斷信息。Decode:對每個數(shù)據(jù)包進行解碼，可以看到整個包的結(jié)構(gòu)及從鏈路層到應(yīng)用層的信息，事實上，sniffer的使用中大部分的時間都花費在這上面的分析，同時也對使用者在網(wǎng)絡(luò)的理論及實踐經(jīng)驗上提出較高的要求。素質(zhì)較高的使用者借此工具便可看穿網(wǎng)絡(luò)問題的結(jié)癥所在。sniffer同樣提供解碼后的數(shù)據(jù)包過濾顯示。要對包進行顯示過濾需切換到Decode模式。Displaydefinefilter，定義過濾規(guī)則。

Displayselectfilter,應(yīng)用過濾規(guī)則。

網(wǎng)路崗工具介紹

網(wǎng)路崗軟件通過旁路對網(wǎng)絡(luò)數(shù)據(jù)流進行采集、分析和識別，實時監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)，記錄網(wǎng)絡(luò)事件、發(fā)現(xiàn)安全隱患，并對網(wǎng)絡(luò)活動的相關(guān)信息進行存儲、分析和協(xié)議還原。該產(chǎn)品可監(jiān)視企業(yè)內(nèi)部員工是否將公司機密資料通過因特網(wǎng)外傳到競爭對手的手中。網(wǎng)路崗軟件可以監(jiān)控的內(nèi)容包括：監(jiān)控郵件內(nèi)容和附件（包括Web郵件監(jiān)控）、監(jiān)控聊天內(nèi)容、監(jiān)控上網(wǎng)網(wǎng)站、監(jiān)控FTP外傳文件、監(jiān)控Telnet命令、監(jiān)控上網(wǎng)流量；IP過濾、端口過濾、網(wǎng)頁過濾、封堵聊天游戲；限制外發(fā)資料郵件大??；限制網(wǎng)絡(luò)流量；IP-MAC綁定；截取屏幕等。網(wǎng)路崗對上網(wǎng)的監(jiān)控能做到什么程度（1）讓某人只能在規(guī)定時間上網(wǎng)，且只能上指定的網(wǎng)站。（2）讓某人只能在哪個網(wǎng)站上收發(fā)郵件，只能收發(fā)哪類的郵箱。（3）誰什么時候通過什么軟件發(fā)送了什么郵件或通過哪個網(wǎng)站發(fā)了什么軟件，郵件的內(nèi)容和附件是什么，以及附件在發(fā)送者電腦的具體位置。（4）規(guī)定某人只能發(fā)送多大的郵件。（5）規(guī)定某些人只能發(fā)送到哪些目標郵箱。（6）輕松抓取指定人的電腦屏幕。（7）所有機器在一天內(nèi)各時間段的上網(wǎng)流量。（8）某臺機器哪些外部端口不能用，或只能通過哪些端口和外界聯(lián)系。網(wǎng)路崗安裝方式網(wǎng)路崗在代理服務(wù)器上的安裝拓撲網(wǎng)路崗在HUB的一個端口上的安裝網(wǎng)路崗在交換機的鏡像端口上的安裝拓撲網(wǎng)路崗在網(wǎng)絡(luò)橋上的安裝拓撲《網(wǎng)絡(luò)安全》第三章：操作系統(tǒng)的安全安全操作系統(tǒng)操作系統(tǒng)安全等級安全操作系統(tǒng)的基本特征訪問控制模型安全操作系統(tǒng)的設(shè)計國際安全評價標準的發(fā)展及其聯(lián)系操作系統(tǒng)安全等級D類C類（C1,C2）B類（B1,B2,B3）A類（A1）

D類

最普通的形式是本地操作系統(tǒng)完全沒有保護的網(wǎng)絡(luò)例如早期的DOSC類C1

可信任運算基礎(chǔ)體制，例如早期的UnixC2

比C1系統(tǒng)加強了可調(diào)的審慎控制，例如WindowsNT和UnixB類B1系統(tǒng)使用靈敏度標記作為所有強迫訪問控制的基礎(chǔ)B2管理員必須使用一個明確的、文檔化的安全策略模式作為系統(tǒng)的可信任運算基礎(chǔ)體制B3具有很強的監(jiān)視委托管理訪問能力和抗干擾能力A類A1系統(tǒng)的設(shè)計者必須按照一個正式的設(shè)計規(guī)范來分析系統(tǒng)。對系統(tǒng)分析后，設(shè)計者必須運用核對技術(shù)來確保系統(tǒng)符合設(shè)計規(guī)范概念模型概念模型安全操作系統(tǒng)的基本特征最小特權(quán)原則自主訪問控制和強制訪問控制安全審計功能安全域隔離功能操作系統(tǒng)安全保護內(nèi)存保護軟硬件共同作用使多道程序間互不干擾文件保護通過存取控制機制來防止人為因素所造成的文件不安全性通過系統(tǒng)容錯技術(shù)來防止系統(tǒng)部分故障所造成的文件不安全性；通過“后備系統(tǒng)”來防止由自然因素所造成的不安全性安全操作系統(tǒng)的確認安全操作系統(tǒng)的評價方法形式化驗證要求檢查設(shè)計與代碼檢查模塊化與系統(tǒng)測試攻擊試驗安全操作系統(tǒng)還有以下要求安全政策識別標記可檢查性保障措施連續(xù)保護WindowsServer2003安全特性

Internet連接防火墻（ICF）軟件限制策略網(wǎng)頁服務(wù)器的安全性新的摘要安全包改善了以太局域網(wǎng)和無線局域網(wǎng)的安全性憑證管理器FIPS-廣為認可的內(nèi)核模式加密算法改進的SSL客戶端認證增強的加密文件系統(tǒng)（EFS）Windows2003身份認證的重要功能就是它對單一注冊的支持。單一注冊允許用戶使用一個密碼一次登錄到域，然后向域中的任何計算機認證身份。單一注冊在安全性方面提供了兩個主要優(yōu)點：對用戶而言，單個密碼或智能卡的使用減少了混亂，提高了工作效率；對管理員而言，由于管理員只需要為每個用戶管理一個帳戶，域用戶所要求的管理支持減少了。windows2003的認證機制Windows2003賬號安全1．域用戶賬號域用戶賬號是用戶訪問域的惟一憑證，因此在域中必須是惟一的。域用戶賬號是在域控制器上建立，作為活動目錄的一個對象保存在域的數(shù)據(jù)庫中。用戶在從域中的任何一臺計算機登錄到域中的時候必須提供一個合法的域用戶賬號，該賬號將被域控制器所驗證。2．本地用戶賬號本地用戶賬號只能建立在Windows2003獨立服務(wù)器上，以控制用戶對該計算機資源的訪問

3．內(nèi)置的用戶賬號Administrator(管理員)賬號被賦予在域中和在計算機中具有不受限制的權(quán)利，該賬號被設(shè)計用于對本地計算機或域進行管理，可以從事創(chuàng)建其他用戶賬號、創(chuàng)建組、實施安全策略、管理打印機以及分配用戶對資源的訪問權(quán)限等工作。Guest(來賓)賬號一般被用于在域中或計算機中沒有固定賬號的用戶臨時訪問域或計算機時使用的。該賬號默認情況下不允許對域或計算機中的設(shè)置和資源做永久性的更改。出于安全考慮，Guest帳號在Windows2003安裝好之后是被屏蔽的。如果需要，可以手動啟動，應(yīng)該注意分配給該帳號的權(quán)限，該帳號也是黑客攻擊的主要對像。賬號與密碼約定1．賬號命名約定由于賬號的在域中的重要性和惟一性，因此賬號的命名約定十分重要。一個好的帳號命名約定將有助于規(guī)劃一個高效的活動目錄。Windows2003的賬號命名約定包括如下內(nèi)容：域用戶賬號的用戶登錄名在AD中必須惟一。域用戶賬號的完全名稱在創(chuàng)建該用戶賬號的域中必須惟一。本地用戶賬號在創(chuàng)建該賬號的計算機上必須惟一。如果用戶名稱有重復(fù)，則應(yīng)該在賬號上區(qū)別出來。

賬號與密碼約定2．密碼約定通常使用密碼有如下原則：①盡量避免帶有明顯意義的字符或數(shù)字的組合，最好采用大小寫和數(shù)字的無意義混合。在不同安全要求下，規(guī)定最小的密碼長度。通常密碼越長越不易被猜到(最長可以達到128位)。②對于不同級別的安全要求，確定用戶的賬號密碼是由管理員控制還是由賬號的擁有者控制。③定期更改密碼，盡量使用不同的密碼.有關(guān)密碼的策略可以由系統(tǒng)管理員在密碼策略管理工具中加以規(guī)定，以保護系統(tǒng)的安全性。windows2003文件系統(tǒng)安全NTFS權(quán)限及使用原則

NTFS權(quán)限的繼承性共享文件夾權(quán)限管理NTFS權(quán)限及使用原則（1）權(quán)限最大原則當一個用戶同時屬于多個組，而這些組又有可能被對某種資源賦予了不同的訪問權(quán)限，則用戶對該資源最終有效權(quán)限是在這些組中最寬松的權(quán)限，即加權(quán)限，將所有的權(quán)限加在一起即為該用戶的權(quán)限(“完全控制”權(quán)限為所有權(quán)限的總和)。（2）文件權(quán)限超越文件夾權(quán)限原則當用戶或組對某個文件夾以及該文件夾下的文件有不同的訪問權(quán)限時，用戶對文件的最終權(quán)限是用戶被賦予訪問該文件的權(quán)限，即文件權(quán)限超越文件的上級文件夾的權(quán)限，用戶訪問該文件夾下的文件不受文件夾權(quán)限的限制，而只受被賦予的文件權(quán)限的限制。（3）拒絕權(quán)限超越其他權(quán)限原則當用戶對某個資源有拒絕權(quán)限時，該權(quán)限覆蓋其他任何權(quán)限，即在訪問該資源的時候只有拒絕權(quán)限是有效的。當有拒絕權(quán)限時權(quán)限最大法則無效。因此對于拒絕權(quán)限的授予應(yīng)該慎重考慮。NTFS權(quán)限的繼承性在同一個NTFS分區(qū)內(nèi)或不同的NTFS分區(qū)之間移動或拷貝一個文件或文件夾時，該文件或文件夾的NTFS權(quán)限會發(fā)生不同的變化。1．在同一個NTFS分區(qū)內(nèi)移動文件或文件夾在同一分區(qū)內(nèi)移動的實質(zhì)就是在目的位置將原位置上的文件或文件夾“搬”過來，因此文件和文件夾仍然保留有在原位置的一切NTFS權(quán)限(準確地講就是該文件或文件夾的權(quán)限不變)。2．在不同NTFS分區(qū)之間移動文件或文件夾在這種情況下文件和文件夾會繼承目的分區(qū)中文件夾的權(quán)限(ACL)，實質(zhì)就是在原位置刪除該文件或文件夾，并且在目的位置新建該文件或文件夾。（要從NTFS分區(qū)中移動文件或文件夾，操作者必須具有相應(yīng)的權(quán)限。在原位置上必須有“修改”的權(quán)限，在目的位置上必須有“寫”權(quán)限）NTFS權(quán)限的繼承性3．在同一個NTFS分區(qū)內(nèi)拷貝文件或文件夾在這種情況下拷貝文件和文件夾將繼承目的位置中的文件夾的權(quán)限。4．在不同NTFS分區(qū)之間拷貝文件或文件夾在這種情況下拷貝文件和文件夾將繼承目的位置中文件夾的權(quán)限。（當從NTFS分區(qū)向FAT分區(qū)中拷貝或移動文件和文件夾都將導致文件和文件夾的權(quán)限丟失，因為FAT分區(qū)不支持NTFS權(quán)限。）Windows2003的加密機制文件加密系統(tǒng)文件加密系統(tǒng)(EFS)提供一種核心文件加密技術(shù)，該技術(shù)用于在NTFS文件系統(tǒng)卷上存儲已加密的文件。使用文件加密系統(tǒng)(EFS)，用戶可以對文件進行加密和解密。以保證文件的安全，防止那些未經(jīng)許可的入侵者訪問存儲的敏感資料（例如，通過盜竊筆記本計算機或外掛式硬盤驅(qū)動器來偷取資料）。用戶可以象使用普通文件和文件夾那樣使用已加密的文件和文件夾。EFS用戶如果是加密者本人，系統(tǒng)會在用戶訪問這些文件和文件夾時將其自動解密。但是，不允許入侵者訪問任何已加密的文件或文件夾。Windows2003的安全配置安全策略配置利用windows2003的管理工具“本地安全策略”，可以配置服務(wù)器的安全策略。依次選擇“開始”

“程序”

“管理工具”

“本地安全策略”，打開“本地安全配置”窗口，如圖所示。1．帳戶策略2．本地策略3．IP安全策略配置

文件保護

1．Windows文件保護打開“組策略”窗口，在左側(cè)列表里展開“計算機設(shè)置”|“管理模板”|“系統(tǒng)”|“Windows文件”，在右側(cè)列表中顯示已有的文件保護策略，如圖所示，雙擊列表中的某項，打開設(shè)置窗口，如圖所示，在該窗口中可設(shè)置是否啟用這一項開全策略。2．分區(qū)、文件夾、文件的安全設(shè)置NTFS比FAT16和FAT32提供了更多的安全選項。下面來看一下NTFS分區(qū)上的文件夾及文件的一些安全設(shè)置。其它有利于提高系統(tǒng)安全性的設(shè)置１.關(guān)閉不必要的端口和服務(wù)2.安全的帳號設(shè)置（１）停止Guest帳號（２）限制賬戶數(shù)據(jù)（3）盡量少用管理員權(quán)限登錄（4）管理員賬號更名和設(shè)置陷阱賬號（5）修改默認權(quán)限（6）不顯示上次登錄名（7）禁止Guest訪問日志3.其他的一些有利于安全的設(shè)置（1）注冊表鎖定（2）禁止判斷主機類型（3）禁止默認共享系統(tǒng)安全掃描軟件系統(tǒng)安全漏洞檢測軟件是由本地主機上的具有系統(tǒng)管理員權(quán)限的用戶所運行的，對本主機中的各項信息都具有讀寫的權(quán)限，因此只要研究出相關(guān)的安全漏洞的檢測方法，都可以查獲該主機上是否存在著相應(yīng)的安全漏洞遠程檢測軟件一般情況下只具備遠程匿名用戶的權(quán)限，如果對應(yīng)的主機不開啟遠程訪問服務(wù)，那么就只能通過各種試探的方法，甚至直接進行攻擊的方法才能對該漏洞進行檢測。即使這樣，也只能檢測一部分的漏洞《網(wǎng)絡(luò)安全》第四章：密碼技術(shù)密碼技術(shù)保障信息安全的重要手段防止信息泄露和失密的有效措施提高關(guān)鍵信息保密水平密碼學的起源三個階段：1949年之前密碼學是一門藝術(shù)1949～1975年密碼學成為科學1976年以后密碼學的新方向——公鑰密碼學密碼學的起源隱寫術(shù)(steganography):

通過隱藏消息的存在來保護消息.

隱形墨水字符格式的變化圖象圖像

密碼學的起源古羅馬：Caesar密碼ABCDEFGHIGKLMNOPQRSTUVWXYZDEFGHIGKLMNOPQRSTUVWXYZABCCaesarwasagreatsoldier密碼本密文Fdhvduzdvdjuhdwvroglhu明文密文CAESAR密碼：c=(m+3)Mod26密碼學的歷史美國南北戰(zhàn)爭CANYOUUNDERSTAND輸入方向輸出方向明文：Canyouunderstand密文：codtaueanurnynsd密碼學的歷史

轉(zhuǎn)輪密碼機ENIGMA，由ArthurScherbius于1919年發(fā)明，4輪ENIGMA在1944年裝備德國海軍.密碼學的歷史英國的TYPEX打字密碼機，是德國3輪ENIGMA的改進型密碼機。它在英國通信中使用廣泛，且在破譯密鑰后幫助破解德國信號。明文(plaintext)：需要被隱蔽的消息密文(cipertext)：

明文經(jīng)變換形成的隱蔽形式加密(encryption)：從明文到密文的變換過程解密(decryption)

：

從密文恢復(fù)到明文的過程。變換函數(shù)所用的一個控制參數(shù)稱為密鑰(key)加密和解密算法的操作通常是在一組密鑰控制下進行的，分別稱為加密密鑰和解密密鑰。密鑰未知情況下進行的解密推演過程，稱為破譯，也稱為密碼分析或者密碼攻擊。幾個術(shù)語密碼分析學密碼編碼學的主要目的是保持明文（或密鑰，或明文和密鑰）的秘密以防止偷聽者（也叫對手、攻擊者、截取者、入侵者、敵手或干脆稱為敵人）知曉密碼分析學是在不知道密鑰的情況下。恢復(fù)出明文的科學。成功的密碼分析能恢復(fù)出消息的明文或密鑰。密碼分析也可以發(fā)現(xiàn)密碼體制的弱點密碼分析學常用的密碼分析攻擊有七類，當然，每一類都假設(shè)密碼分析者知道所用的加密算法的全部知識：唯密文攻擊已知明文攻擊選擇明文攻擊自適應(yīng)選擇明文攻擊選擇密文攻擊選擇密鑰攻擊軟磨硬泡(Rubber-hose)攻擊明文明文密文加密算法解密算法密鑰密鑰加密和解密算法的操作通常都是在一組密鑰的控制下進行的,分別稱為加密密鑰(EncryptionKey)和解密密鑰(DecryptionKey).加解密過程示意圖信息竊取者

“魔高一尺，道高一丈”明文x密文y加密過程加密密鑰解密過程解密密鑰密碼破譯加密與解密密碼體制目前分為單鑰密碼和雙鑰密碼體制

㈠單鑰密碼體制

也稱為對稱密碼體制，其加密密鑰和解密密鑰相同，或者在實質(zhì)上等同，即從一個很容易得出另一個。密碼體制加密算法解密算法密鑰網(wǎng)絡(luò)信道明文密文加密密鑰解密密鑰兩者相等流密碼(streamcipher)

:又稱序列密碼.序列密碼每次加密一位或一字節(jié)的明文。即對明文按字符逐位加密組密碼(blockcipher):將明文分成固定長度的組，用同一密鑰和算法對每一塊加密，輸出也是固定長度的密文。

●序列密碼是手工和機械密碼時代的主流●設(shè)計簡單，密鑰單一，加密效率高，特別適合點對點通信傳輸?shù)臄?shù)據(jù)加密。但其密鑰的管理（如密鑰產(chǎn)生、分配、存儲、銷毀等）工作比較復(fù)雜。也稱非對稱密碼體制，其加密密鑰與解密密鑰不相同，從一個很難得出另一個。采用雙密鑰體制的每個用戶都有一對選定的密鑰，其中一個是秘密的，而另一個則可以公開，并可以象電話號碼一樣注冊公布。因此，雙鑰密碼體制也被稱為公鑰體制(publickeysystem)。

雙鑰密碼體制加密算法解密算法公開密鑰網(wǎng)絡(luò)信道明文明文密文私有密鑰公鑰私鑰公鑰私鑰不可相互推導不相等

加密和解密能力分開，可實現(xiàn)多個用戶加密的信息只能由一個用戶解讀（多對一），或者一個用戶加密的信息可以由多個用戶解讀（一對多）。前者可以用于公共網(wǎng)絡(luò)中實現(xiàn)保密通信，后者可用于認證系統(tǒng)中對信息進行數(shù)字簽名。由于該體制大大減少了多用戶之間通信所需的密鑰數(shù)，方便了密鑰管理，這種體制特別適合多用戶通信網(wǎng)絡(luò)。公鑰體制特點102數(shù)據(jù)加密技術(shù)原理

哈希（Hash）算法信息加密解密網(wǎng)絡(luò)信道信息密文

哈希算法，也叫信息標記算法，可以提供數(shù)據(jù)完整性方面的判斷依據(jù)。哈希算法

結(jié)果相同，則數(shù)據(jù)未被篡改比較

結(jié)果不同，則數(shù)據(jù)已被篡改信息標記（digest）常用的哈希算法：MD5SHA-1哈希算法

幾個概念：

1）沒有一種密碼系統(tǒng)是無懈可擊的，僅僅是一個時間/空間復(fù)雜性問題。

2）有多種密碼體制，每一種體制又派生出多種算法，需要針對性折衷。

3）加密程度可以根據(jù)應(yīng)用安全的級別來定，一個系統(tǒng)可以有多種加密方式。

4）加密程度越高，算法越復(fù)雜，會降低系統(tǒng)性能，需要實際性折衷。密碼與系統(tǒng)安全1）代替密碼（替換密碼）

可分為單表密碼、多表密碼單表密碼：將明文中的字母或符號用另一種字母或符號來代替，這種代替是一一對應(yīng)的。明文與密文之間只有一種對應(yīng)關(guān)系。多表密碼：代替不是一一對應(yīng)的。代替規(guī)律不同，密碼體制也不同。代替規(guī)律相同，明密文間字母對應(yīng)關(guān)系不同，代替出的密碼也不同。e.g.同余密碼（加同余、乘同余、線性同余）隨機替代、密鑰詞組、多表組合經(jīng)典密碼

著名密碼體系1、分組密碼的一般設(shè)計原理分組密碼是將明文消息編碼表示后的數(shù)字（簡稱明文數(shù)字）序列，劃分成長度為n的組（可看成長度為n的矢量），每組分別在密鑰的控制下變換成等長的輸出數(shù)字（簡稱密文數(shù)字）序列DES（DataEncryptionStandard）在所有分組密碼中，數(shù)據(jù)加密標準（DES）可謂是最著名的了。

DES密碼是一種數(shù)據(jù)加密標準，1977年正式公布，供非機要部門的保密通信使用，是唯一由美國政府頒布的公開加密算法。

DES密碼在過去20年被正式作為國際標準采用，但業(yè)界認為其56位密鑰太短，而且其基本設(shè)計原理，如各種不同排列選擇、置換、疊代次數(shù)等沒有清楚的說明，存在系統(tǒng)隱蔽陷阱的可能。DES數(shù)據(jù)加密標準 DES是一種對二進制數(shù)據(jù)進行加密的算法。數(shù)據(jù)分組長為64位，密鑰長也為64位。使用56位密鑰對64位的數(shù)據(jù)塊進行加密，并對64位的數(shù)據(jù)塊進行16輪編碼。與每輪編碼時，一個48位的“每輪”密鑰值由56位的完整密鑰得出來。經(jīng)過16輪的迭代、乘積變換、壓縮變換等，輸出密文也為64位。DES算法的安全性完全依賴于其所用的密鑰。明文64bit碼初始變換ＩＰ１６輪乘積變換逆初始變換ＩＰ－１密文６４bit碼輸出ＤＥＳ算法IDEA是以64-bit的明文塊進行分組，密鑰是128-bit長。此算法可用于加密和解密。IDEA用了混亂和擴散等操作，算法背后的設(shè)計思想是“在不同的代數(shù)組中的混合運算”。主要有三種運算：異或、模加、模乘，容易用軟件和硬件來實現(xiàn)。IDEA的速度：現(xiàn)在IDEA的軟件實現(xiàn)同DES的速度一樣快。IDEA密碼算法公鑰密碼算法的特性

加密與解密由不同的密鑰完成 加密:X

Y:Y=EKU(X)

解密:Y

X:X=DKR(Y)=DKR(EKU(X))知道加密算法,從加密密鑰得到解密密鑰在計算上是不可行的兩個密鑰中任何一個都可以用作加密而另一個用作解密(不是必須的) X=DKR(EKU(X))=EKU(DKR(X))RSA密碼是由Rivest,Shamir和Adleman三位學者于1977年聯(lián)合提出的雙密鑰（公鑰）密碼系統(tǒng)，RSA是由他們的名字的首字母命名。是迄今理論上最為成熟完善的一種公鑰密碼體制。

RSA密碼基于計算復(fù)雜性原理獲得加密強度，但其缺點是系統(tǒng)的安全取決于所用的兩個大素數(shù)，如果能找出一種快速方法分解這兩個大素數(shù)，系統(tǒng)很容易被攻破。RSA密碼體制舉例取兩個質(zhì)數(shù)p=11，q=13，p和q的乘積為n=p×q=143，算出另一個數(shù)d=(p-1)×(q-1)=120；再選取一個與d=120互質(zhì)的數(shù)，例如e=7，則公開密鑰=（n，e）=（143，7）。對于這個e值，可以算出其逆：a=103。因為e×a=7×103=721，滿足e×amodd=1；即721mod120=1成立。則秘密密鑰=（n，a）=（143，103）。設(shè)張小姐需要發(fā)送機密信息（明文）m=85給李先生，她已經(jīng)從公開媒體得到了李先生的公開密鑰（n，e）=（143，7），于是她算出加密值：c=memodn=857mod143=123并發(fā)送給李先生。李先生在收到密文c=123后，利用只有他自己知道的秘密密鑰計算：m=camodn=123103mod143=85，所以，李先生可以得到張小姐發(fā)給他的真正的信息m=85，實現(xiàn)了解密。RSA的安全性

就目前的計算機水平用1024位的密鑰是安全的，2048位是絕對安全的。RSA實驗室認為，512位的n已不夠安全，應(yīng)停止使用，現(xiàn)在的個人需要用668位的n，公司要用1024位的n，極其重要的場合應(yīng)該用2048位的n。RSA算法的脆弱性p、q選擇不當，則變換周期性、封閉性而泄密例：p=17，q=11，e=7，則n=187。設(shè)m=123，則

C1=1237mod187=183C2=1837mod187=72C3=727mod187=30C4=307mod187=123

明文m經(jīng)過4次加密，恢復(fù)成明文?？傊?，RSA對用戶要求太苛刻，密鑰不能常更換。PGP，全稱PrettyGoodPrivacy，一種在信息安全傳輸領(lǐng)域首選的加密軟件，其技術(shù)特性是采用了非對稱的“公鑰”和“私鑰”加密體系。由于美國對信息加密產(chǎn)品有嚴格的法律約束，特別是對向美國、加拿大之外國家散播該類信息，以及出售、發(fā)布該類軟件約束更為嚴格。因此而限制了PGP的一些發(fā)展和普及，現(xiàn)在該軟件的主要使用對象為情報機構(gòu)、政府機構(gòu)、信息安全工作者（例如較有水平的安全專家和有一定資歷的黑客），PGP最初的設(shè)計主要是用于郵件加密，如今已經(jīng)發(fā)展到了可以加密整個硬盤、分區(qū)、文件、文件夾、集成進郵件軟件進行郵件加密，甚至可以對ICQ的聊天信息實時加密！你和對方只要安裝了PGP，就可利用其ICQ加密組件在你和對方聊天的同時，加密或解密，和正常使用沒有什么差別，最大程度的保證了你和對方的聊天信息不被竊取或監(jiān)視。PGP加密軟件（1）使用強大的IDEA加密算法對存儲在計算機上的文件加密。經(jīng)加密的文件只能由知道密鑰的人解密閱讀。（2）使用公開密鑰加密技術(shù)對電子郵件進行加密。經(jīng)加密的電子郵件只有收件人本人才能解密閱讀。（3）使用公開密鑰加密技術(shù)對文件或電子郵件作數(shù)字簽名，鑒定人可以用起草人的公開密鑰鑒別真?zhèn)?。PGP軟件有3個主要的功能：PGP消息的格式

一、軟件加密概念缺點：速度慢、造價高、安全性差優(yōu)點：使用靈活、修改方便、可移植性好。采用軟件加密時，密鑰管理的手段必須可靠，密鑰和明文應(yīng)在加密后刪除。

軟件與硬件加密技術(shù)現(xiàn)今很多Shareware(共享軟件)大多采用這種加密方式，用戶在軟件的試用期是不需要交費的，一旦試用期滿還希望繼續(xù)使用這個軟件，就必須到軟件公司進行注冊，然后軟件公司會根據(jù)你提交的信息(一般是用戶的名字)來生成一個序列號，當你收到這個序列號以后，并在軟件運行的時候輸入進去，軟件會驗證你的名字與序列號之間的關(guān)系是否正確，如果正確說明你已經(jīng)購買了這個軟件，也就沒有日期的限制了。

序列號加密是序列號加密的一個變種。從網(wǎng)上下載或購買的軟件并不能直接使用，軟件在安裝時或運行時會對你的計算機進行一番檢測，并根據(jù)檢測結(jié)果生成一個特定指紋，這個指紋是一個數(shù)據(jù)文件，把這個指紋數(shù)據(jù)通過Internet、E-mail、電話、傳真等方式發(fā)送到開發(fā)商那里，開發(fā)商再根據(jù)這個指紋給你一個注冊碼或注冊文件，你得到這個注冊碼或注冊文件并按軟件要求的步驟在你的計算機上完成注冊后方能使用。

許可證加密硬加密則是采用硬件（電路、器件、部件等）和軟件結(jié)合來實現(xiàn)的加密，對硬件本身和軟件采取的加密、隱藏、防護技術(shù)，防止被保護對象被攻擊者破析、破譯。硬件加解密是商業(yè)或軍事上的主流（1）速度問題：針對位的操作、不占用計算機主處理器（2）安全性：可進行物理保護，由硬件完成加密解密和權(quán)限檢查，防止破譯者通過反匯編、反編譯分析破譯。（3）易于安裝：不需使用計算機的電話、傳真、數(shù)據(jù)線路；計算機環(huán)境下，使用硬件加密可對用戶透明，軟件實現(xiàn)，需要在操作系統(tǒng)深層安裝，不容易實現(xiàn)。（4）在硬件內(nèi)設(shè)置自毀裝置，一旦發(fā)現(xiàn)硬件被拆卸或程序被跟蹤，促使硬件自毀，使破譯者不敢進行動態(tài)跟蹤。硬件加密概念硬件加密較之軟件加密具有其獨到的特點。①安全性好，破譯困難采用定制或半定制硬件芯片將硬件密封，防止破譯者了解硬件情況。②由硬件完成加密解密和權(quán)限檢查，防止破譯者通過反匯編、反編譯分析破譯。③在硬件內(nèi)設(shè)置自毀裝置，一旦發(fā)現(xiàn)硬件被拆卸或程序被跟蹤，促使硬件自毀，使破譯者不敢進行動態(tài)跟蹤。④硬件加密需要增加硬件，增加成本硬件加密特點124數(shù)字簽名

數(shù)字簽名（digitalsignature）技術(shù)通過某種加密算法，在一條地址消息的尾部添加一個字符串，而收信人可以根據(jù)這個字符串驗明發(fā)信人的身份，并可進行數(shù)據(jù)完整性檢查。125數(shù)字簽名的工作原理非對稱加密算法非對稱解密算法Alice的私有密鑰網(wǎng)絡(luò)信道合同Alice的公開密鑰哈希算法標記標記-2合同哈希算法比較標記-1如果兩標記相同，則符合上述確認要求。AliceBob假定Alice需要傳送一份合同給Bob。Bob需要確認：合同的確是Alice發(fā)送的合同在傳輸途中未被修改126數(shù)字簽名的作用唯一地確定簽名人的身份；對簽名后信件的內(nèi)容是否又發(fā)生變化進行驗證；發(fā)信人無法對信件的內(nèi)容進行抵賴。

當我們對簽名人同公開密鑰的對應(yīng)關(guān)系產(chǎn)生疑問時，我們需要第三方頒證機構(gòu)（CA:CertificateAuthorities）的幫助。127數(shù)字證書

數(shù)字證書相當于電子化的身份證明，應(yīng)有值得信賴的頒證機構(gòu)（CA機構(gòu)）的數(shù)字簽名，可以用來強力驗證某個用戶或某個系統(tǒng)的身份及其公開密鑰。

數(shù)字證書既可以向一家公共的辦證機構(gòu)申請，也可以向運轉(zhuǎn)在企業(yè)內(nèi)部的證書服務(wù)器申請。這些機構(gòu)提供證書的簽發(fā)和失效證明服務(wù)。申請數(shù)字證書，并利用它發(fā)送電子郵件用戶向CA機構(gòu)申請一份數(shù)字證書，申請過程會生成他的公開/私有密鑰對。公開密鑰被發(fā)送給CA機構(gòu)，CA機構(gòu)生成證書，并用自己的私有密鑰簽發(fā)之，然后向用戶發(fā)送一份拷貝。用戶的同事從CA機構(gòu)查到用戶的數(shù)字證書，用證書中的公開密鑰對簽名進行驗證。用戶把文件加上簽名，然后把原始文件同簽名一起發(fā)送給自己的同事。證書申請簽發(fā)的數(shù)字證書文件和數(shù)字簽名數(shù)字證書的驗證用戶同事CA數(shù)據(jù)傳輸?shù)募用?/p>

SH：會話層包頭；TH：傳輸層包頭；NH：網(wǎng)絡(luò)層包頭；LH：鏈路層包頭；E：鏈路層包尾；應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層MessageMessageSHMessageTHNHLHLHSHTHSHNHTHSHNHTHSHMessageMessageMessageMessageEE：明文信息：密文信息端對端加密方式應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層MessageMessageSHMessageTHNHLHLHSHTHSHNHTHSHNHTHSHMessageMessageMessageMessageEESH：會話層包頭；TH：傳輸層包頭；NH：網(wǎng)絡(luò)層包頭；LH：鏈路層包頭；E：鏈路層包尾；：明文信息：密文信息

PKI（PublicKeyInfrustructure）又稱為公鑰基礎(chǔ)設(shè)施，是一種遵循既定標準的密鑰管理平臺,它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。

完整的PKI系統(tǒng)必須具有權(quán)威認證機關(guān)(CA)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口等基本構(gòu)成部分,構(gòu)建PKI也將圍繞著這五大系統(tǒng)來著手構(gòu)建。

公鑰基礎(chǔ)設(shè)施簡介典型、完整、有效的PKI應(yīng)用系統(tǒng)

產(chǎn)生、驗證和分發(fā)密鑰。簽名和驗證證書的獲取證書的驗證保存證書本地保存的證書的獲取證書廢止的申請密鑰的恢復(fù)CRL的獲取密鑰更新審計存檔PKI的功能操作CA系統(tǒng)的結(jié)構(gòu)CA結(jié)構(gòu)示意圖1、證書頒發(fā)2、證書更新3、證書撤銷4、證書和證書撤銷列表（CRL）的公布5、證書狀態(tài)的在線查詢6、證書認證7、制定政策等。CA的功能第五章：病毒技術(shù)《網(wǎng)絡(luò)安全與管理》2007年十大病毒排名1、帕蟲（Worm.Pabug；金山：AV終結(jié)者；江民：U盤寄生蟲）2、威金蠕蟲（Worm.Viking）3、熊貓燒香（Worm.Nimaya；又稱尼姆亞）4、網(wǎng)游竊賊（Trojan.PSW.OnlineGames）5、QQ通行證（Trojan.PSW.QQPass）6、ARP病毒（多個病毒均具有ARP攻擊行為，通稱為ARP病毒）7、征途木馬（Trojan.PSW.ZhengTu）8、MSN相片（Worm.Mail.Photocheat.A）9、梅勒斯（Trojan.DL.Mnless）10、灰鴿子（Backdoor.Gpigeon)2008年度十大病毒排行(1)“網(wǎng)游竊賊”及其變種、Trojan/PSW.OnLineGames(2)“網(wǎng)游大盜”及其變種、Trojan/PSW.GamePass(3)“代理木馬”及其變種、Trojan/Agent(4)“U盤寄生蟲”及其變種、Checker/Autorun、蠕蟲(5)“灰鴿子”及其變種、Backdoor/Huigezi(6)“QQ大盜”及其變種、Trojan/PSW.QQPass(7)“Flash蛀蟲”及其變種、腳本病毒(8)“初始頁”及其變種、Trojan/StartPage(9)“機器狗”及其變種、Trojan/DogArp(10)“RPCSS毒手”及其變種、木馬病毒、木馬、蠕蟲比較電腦病毒特洛伊木馬電腦蠕蟲感染其它檔案會不會不會被動散播自己是是不是主動散播自己不是不是是造成程序增加數(shù)目電腦使用率愈高，檔案受感染的數(shù)目愈多不會增加取決于網(wǎng)路連接情況，連接范圍愈廣，散布的數(shù)目愈多破壞力取決于病毒作者取決于病毒作者無對企業(yè)的影響中低高標準網(wǎng)絡(luò)攻擊范例病毒誕生攻擊主機漏洞潛伏伺機破壞竊取機密資料賬號發(fā)動跳板攻擊災(zāi)情一發(fā)不可收拾植入木馬后門搜尋入侵目標程序漏洞所帶來的新危機!!普通病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標本地文件網(wǎng)絡(luò)計算機蠕蟲病毒造成的危害大量的垃圾郵件，攻擊SCO和微軟網(wǎng)站，給全球經(jīng)濟造成了300多億美元的損失2004年1月起MyDoom大量網(wǎng)絡(luò)癱瘓，造成了數(shù)十億美金的損失2003年7月沖擊波網(wǎng)絡(luò)大面積癱瘓，銀行自動提款機運做中斷，直接經(jīng)濟損失超過26億美元2003年1月蠕蟲王大量病毒郵件堵塞服務(wù)器，損失達數(shù)百億美元2001年12月至今求職信網(wǎng)絡(luò)癱瘓，直接經(jīng)濟損失超過26億美元2001年7月紅色代碼眾多用戶電腦被感染，損失超過100億美元以上2000年5月至今愛蟲病毒政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器，經(jīng)濟損失超過12億美元!1999年美麗殺手6000多臺電腦停機，經(jīng)濟損失達9600萬美元1988年莫里斯蠕蟲造成損失持續(xù)時間病毒名稱蠕蟲的行為特征主動攻擊行蹤隱蔽利用系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)漏洞，防不勝防。造成網(wǎng)絡(luò)擁塞降低系統(tǒng)性能產(chǎn)生安全隱患反復(fù)性破壞性蠕蟲的感染方式散播特洛伊木馬，潛伏在別人的電腦系統(tǒng)集體發(fā)動攻擊集體發(fā)動攻擊集體發(fā)動攻擊大量占線，導致網(wǎng)站無法接受其他連線特洛伊木馬TCPPort707TCPPort135,80TCPPort135,80TCPPort135,80TCPPort707TCPPort707TCPPort707TCPPort135,80病毒的傳播

病毒傳播傳統(tǒng)方式文件感染病毒郵件局域網(wǎng)漏洞病毒傳播互聯(lián)網(wǎng)方式社會工程學ARP欺騙病毒購買者沒有很高深的計算機知識，所以自己很難編寫出相關(guān)的木馬病毒，于是直接通過購買別人現(xiàn)成的木馬程序，或直接訂購所需的木馬病毒來捕捉“肉雞”進行使用。

每個星期平均能抓到3000只“肉雞”，一個月平均有12000只，每只兩毛錢，算下來一個月就有2400元的收入。(網(wǎng)絡(luò)數(shù)據(jù))抓“肉雞”也能賺錢“熊貓燒香”病毒檔案追殺目標：Worm.WhBoy.h中文名：“熊貓燒香”病毒長度：可變病毒類型：蠕蟲危害等級：★★★★影響平臺：Win9X/ME/NT/2000/XP/2003

熊貓燒香為例熊貓燒香案主犯李俊獲刑四年

2007年9月24日，湖北省仙桃市人民法院公開開庭審理了倍受社會各界廣泛關(guān)注的被告人李俊、王磊、張順、雷磊破壞計算機信息系統(tǒng)罪一案。被告人李俊犯破壞計算機信息系統(tǒng)罪，判處有期徒刑四年；被告人王磊犯破壞計算機信息系統(tǒng)罪，判處有期徒刑二年六個月；被告人張順犯破壞計算機信息系統(tǒng)罪，判處有期徒刑二年；被告人雷磊犯破壞計算機信息系統(tǒng)罪，判有期徒刑一年。我國網(wǎng)站“掛馬”監(jiān)測結(jié)果自2008年3月至2008年7月底，利用我們的網(wǎng)站掛馬搜索系統(tǒng)新發(fā)現(xiàn)6722個有問題的網(wǎng)站。其中被掛馬的網(wǎng)站有6153個，存放惡意代碼的網(wǎng)站有887個。有問題的全部網(wǎng)站地域分布情況所在地數(shù)量北京960上海895廣東600浙江519福建428江蘇348四川293山東271河南200江西172安徽151重慶140湖北121天津95廣西94其它地區(qū)1529“頂狐”病毒網(wǎng)上銀行盜竊案2007年12月16日，“3。5”特大網(wǎng)上銀行盜竊案的8名主要犯罪嫌疑人全部落入法網(wǎng)。8名疑犯在網(wǎng)上以虛擬身份聯(lián)系，糾集成伙，雖不明彼此身份，卻配合密切，分工明確，有人制作木馬病毒，有人負責收集信息，有人提現(xiàn)，有人收贓，在不到一年時間里竊得人民幣300余萬元。徐偉沖提供信息，金星通過網(wǎng)上購買游戲點卡，轉(zhuǎn)手倒賣給湖南長沙的“寶寶”，即陳娜。因信息太多，忙不過來，金星又在網(wǎng)上將信息倒賣給“小胖”，“小胖”再轉(zhuǎn)賣他人提現(xiàn)。陸瑛娜則不停地在網(wǎng)上購游戲點卡，她到外地制作了兩張假身份證，在數(shù)家銀行開了賬戶，忙著到蘇州、昆山、常州等周邊地區(qū)銀行去取贓款。

2008年4月11日，無錫市濱湖區(qū)法院對一起公安部掛牌督辦的重大網(wǎng)絡(luò)犯罪案件作出了一審判決，被告人金星、徐偉沖、陸瑛娜、方少宏因構(gòu)成信用卡詐騙罪和盜竊罪，分別被判處十四年至三年不等的有期徒刑。利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件

2007年11月3日，部分用戶在訪問騰訊迷你首頁網(wǎng)站時，會被惡意代碼感染，系統(tǒng)會自動從惡意網(wǎng)站上下載并運行惡意程序。由于該站點為QQ軟件啟動時默認自動彈出，具有極高的訪問量，攻擊者采用的攻擊方法是劫持DNS解析過程，篡改騰訊迷你首頁的DNS記錄。非法劫持騰訊“迷你網(wǎng)”主頁域名傳播17種32個計算機木馬病毒，使全國數(shù)百萬網(wǎng)民在訪問“迷你網(wǎng)”主頁，玩?zhèn)髌?、魔獸等網(wǎng)絡(luò)游戲時，游戲帳號和密碼被秘密發(fā)送到木馬程序設(shè)置的遠程接收服務(wù)器上，該團伙迅速盜取帳號和密碼，在網(wǎng)上銷贓套現(xiàn)，銷贓所得按“貢獻”大小分成。不到兩個月時間，馬志松等人就盜竊數(shù)十萬網(wǎng)上用戶的游戲帳號和密碼，非法獲利40余萬元，馬志松分得15萬元。騰訊“迷你網(wǎng)”因停止服務(wù)，造成直接損失20余萬元。同年12月，分別在四川成都、江蘇張家港、黑龍江東寧等地抓獲6名犯罪嫌疑人。網(wǎng)絡(luò)安全監(jiān)察部門在馬志松等人使用的電腦硬盤中發(fā)現(xiàn)了用于攻擊網(wǎng)站的破壞性程序。經(jīng)審查，2007年9月底至11月中旬，這一團伙在成都市使用編譯好的劫持程序?qū)ι虾?、重慶、揚州等10余個城市共計27臺域名服務(wù)器實施攻擊劫持，借機盜取網(wǎng)絡(luò)游戲賬號。6名被告違反國家規(guī)定，對計算機信息系統(tǒng)功能進行干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重，均已構(gòu)成破壞計算機信息系統(tǒng)罪。近日，馬志松等6名被告被分別判處四年至一年不等有期徒刑。攻擊紅十字會、地震局網(wǎng)站5月18日下午，昆山市紅十字會網(wǎng)站遭人攻擊，有人攻擊竊取了這個網(wǎng)站后臺管理賬號和密碼，將原網(wǎng)站頁面替換成虛假頁面，并在虛假頁面上發(fā)布捐款賬號。6月，黑龍江、湖南、湖北等地個別不法分子利用互聯(lián)網(wǎng)惡意篡改紅十字會公布的募捐銀行賬號，企圖吞噬善款。5月28日晚陜西地震信息網(wǎng)遭遇了汶川地震以來的第一次黑客攻擊，黑客在網(wǎng)站首頁留下一條題為“網(wǎng)站出現(xiàn)重大安全漏洞”的信息，網(wǎng)站工作人員及時進行了處理。5月29日20時53分前后，陜西地震信息網(wǎng)再次遭到黑客襲擊，網(wǎng)站主頁上被發(fā)布了“23時30分陜西等地會有強烈地震發(fā)生”的虛假信息。很快，陜西省地震局的電話就被打“爆”了，很多市民急切的希望求證這一“消息”是否真實。5月31日、6月1日、2日，廣西地震局官方網(wǎng)站連續(xù)遭到黑客攻擊。黑客篡改網(wǎng)站數(shù)據(jù)資料，發(fā)布近期將發(fā)生地震的虛假信息。08年3月多次出現(xiàn)仿冒農(nóng)行網(wǎng)站的網(wǎng)絡(luò)釣魚“敲詐者”木馬新“敲詐者”木馬專門破壞日文操作系統(tǒng)網(wǎng)絡(luò)間諜活動猖獗密集攻擊我方電腦猖獗刺探國家秘密

國務(wù)院臺灣事務(wù)辦公室發(fā)言人楊毅2007年10月31日在例行記者會上證實，國家安全部門日前對臺灣一個名為李芳榮的網(wǎng)絡(luò)間諜發(fā)出了通緝令。女鬼病毒2000年12月網(wǎng)絡(luò)上盛傳一個名叫女鬼的病毒，該病毒繼在臺灣和香港地區(qū)發(fā)作之后已經(jīng)悄悄登陸國內(nèi)，目前從上海創(chuàng)源技術(shù)部接獲的報告表明，該病毒已在全國各地出現(xiàn)，有地區(qū)發(fā)作的次數(shù)明顯增多。據(jù)報道，該病毒在臺灣地區(qū)發(fā)作時曾經(jīng)使人因為驚嚇過度，在送往醫(yī)院救治后死亡，另有兩人也因為受到驚嚇，出現(xiàn)嚴重的神志不清和精神恍惚現(xiàn)象，經(jīng)康復(fù)醫(yī)療后恢復(fù)正常。上海地區(qū)也有用戶報告了該病毒的發(fā)作。

“女鬼”病毒亦稱為“恐怖女鬼”病毒，其國際標準命名為Joke-Ghost，在臺灣地區(qū)因為其圖標為麥當勞標志，所以還有一個“麥當勞”的別名。其實就嚴格意義上來說，“女鬼”并不是一個病毒，只是一個惡作劇程序，屬于Hoax（虛假消息）或者JokeProgram（玩笑程序）的范疇，而且其不具有病毒“自我復(fù)制、自我傳播和對計算機軟硬件產(chǎn)生破壞”的特性。但是從其危害程度和對社會產(chǎn)生的影響上來看，各防病毒軟件公司還是將其作為病毒來阻止其進一步傳播以防止產(chǎn)生不良的社會影響。

網(wǎng)絡(luò)進攻時序線發(fā)現(xiàn)漏洞完成補丁公布補丁黑客破解補丁開發(fā)病毒/蠕蟲釋放病毒/蠕蟲沒利用

只有微軟及發(fā)現(xiàn)者知道漏洞存在沒利用只有微軟及發(fā)現(xiàn)者知道漏洞存在沒利用

公眾知道漏洞存在，但不知道怎樣攻擊

沒利用

知道怎樣攻擊，但病毒/蠕蟲尚未出現(xiàn)

沒利用

病毒/蠕蟲尚未出現(xiàn)，但未被釋放

利用病毒/蠕蟲被釋放;感染未被修補系統(tǒng)用戶與黑客賽跑實例分析：沖擊波蠕蟲微軟被通知漏洞存在公布補丁進攻樣板程序出現(xiàn)蠕蟲出現(xiàn)七月1日七月16日七月25日八月11日通知漏洞RPC/DDOM漏洞被發(fā)現(xiàn)微軟啟動最高級別快速反應(yīng)程序安全公告公布MS03-026(7/16/03)繼續(xù)與安全分析家，媒體，IT社區(qū)，合作伙伴，政府部門保持聯(lián)系進攻樣板程序X-focus(中國黑客組)出版進攻樣板程序微軟警告用戶盡快安裝補丁蠕蟲沖擊波蠕蟲出現(xiàn);變種及其它病毒同時出現(xiàn)(例如.“SoBig”)沖擊波展現(xiàn)了安全分析師，軟件公司，以及黑客之間的復(fù)雜的互動關(guān)系補丁越來越多進攻樣板程序出現(xiàn)時間縮短進攻樣板程序越來越精巧151180331BlasterWelchia/NachiNimda25SQLSlammer發(fā)現(xiàn)漏洞至進攻樣板程序之間的天數(shù)網(wǎng)絡(luò)進攻趨勢如何保護你的計算機/china/security/protect/使用Internet防火墻用處:阻擋90%的黑客、蠕蟲病毒及消除系統(tǒng)漏洞引起的安全性問題WindowsXP或Windows2003系統(tǒng)自帶防火墻,只要在網(wǎng)絡(luò)中使用即可.其它Windows操作系統(tǒng)(Win95,Win98,WinNT,Win2000)安全其它品牌個人防火墻（推薦：天網(wǎng)）WinXP使用防火墻網(wǎng)上鄰居-屬性-本地連接-屬性-高級-設(shè)置使用防火墻并同時啟動例外啟動例外時的安全措施獲得更新用處:把系統(tǒng)漏洞補住，如沖擊波的RPC系統(tǒng)漏洞WindowsXP安裝SP3及安裝安全補丁Windows2000安裝SP4及安裝安全補丁Windows98網(wǎng)上安裝安全補丁安裝安全補丁方法:打開IE-工具菜單-WindowsUpdate上網(wǎng)更新方式上網(wǎng)更新方式使用最新的防病毒軟件安裝防病毒軟件并定時更新病毒特征碼。推薦：瑞星/norton

如果安裝了防病軟件沒有更新，幾乎等于沒有安裝!!設(shè)置定時查找病毒及定時升級病毒特征碼沒有殺毒軟件是萬萬不能的！但殺毒軟件不是萬能的！其他要注意的事項下載軟件最好到知名的網(wǎng)站下載,如華軍軟件(),天空下載站,太平洋下載等.如果打開某個網(wǎng)頁時發(fā)現(xiàn)要下載或者安裝軟件時,要特別注意,一般是按NO.安裝軟件時,如金山詞霸,QQ等,最好選擇手動設(shè)置,將多余并會影響正常使用的附件(如QQ工具欄)去除.對不明來歷的光碟及軟件,采用先殺毒再安裝方式.收到帶不明附件的郵件不要輕易打開.網(wǎng)絡(luò)病毒危害開啟機器后門，盜取銀行密碼，QQ密碼，私人資料。發(fā)送垃圾電子郵件，制造電子垃圾。被別人當作跳板，攻擊其它網(wǎng)絡(luò)上的計算機或者服務(wù)器（DDOS攻擊，分布式拒絕服務(wù)攻擊）向其它計算機傳播病毒或者后門。如何發(fā)現(xiàn)網(wǎng)絡(luò)型病毒網(wǎng)絡(luò)型病毒分黑客后門病毒（特諾依木馬TroianHouse）和蠕蟲病毒等殺毒程序報警不斷發(fā)送EMAIL不時打開IE，或者打開IE時不斷彈出新窗口發(fā)現(xiàn)不尋常的網(wǎng)絡(luò)流量（代表網(wǎng)絡(luò)流量的圖標一直在亮，而本機沒有進行任何網(wǎng)絡(luò)操作）其他用戶發(fā)現(xiàn)你正在攻擊其計算機。發(fā)現(xiàn)不尋常的網(wǎng)絡(luò)連接發(fā)現(xiàn)上網(wǎng)速度（本地網(wǎng)絡(luò)）突然減慢。發(fā)現(xiàn)網(wǎng)絡(luò)病毒發(fā)現(xiàn)網(wǎng)絡(luò)病毒在沒有其它網(wǎng)絡(luò)連接的時候，打開DOS方式，打入下面命令（WINXPSP2）,現(xiàn)在電腦只使用了MSN上網(wǎng)，其他的如果進行網(wǎng)絡(luò)連接就可能是后門養(yǎng)成良好的上網(wǎng)習慣不要隨便按yes不要上一些不良的網(wǎng)站不要暴露真實身份安裝軟件(特別是一些免費軟件)時小心最好使用自定義安裝安裝軟件中如”上網(wǎng)助手\中文域名\購物網(wǎng)站”等推薦安裝的軟件不要安裝不要在陌生的計算機上輸入自已的密碼(包括QQ,網(wǎng)上購物等)《網(wǎng)絡(luò)安全》第六章：防火墻技術(shù)

防火墻概述在信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間，通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制的安全應(yīng)用設(shè)備。不可信網(wǎng)絡(luò)和服務(wù)器可信網(wǎng)絡(luò)防火墻路由器InternetIntranet可信用戶不可信用戶DMZ防火墻概述內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)2內(nèi)部網(wǎng)絡(luò)1防火墻的功能：實現(xiàn)內(nèi)部網(wǎng)與internet的隔離；不同安全級別內(nèi)部網(wǎng)之間的隔離。 一切未被允許的就是禁止的！Internet防火墻的功能防火墻是網(wǎng)絡(luò)安全的屏障防火墻可以強化網(wǎng)絡(luò)安全策略對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計防止內(nèi)部信息的外泄防火墻的基本特性內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身應(yīng)具有非常強的抗攻擊免疫力常用概念外部網(wǎng)絡(luò)（外網(wǎng)）：防火墻之外的網(wǎng)絡(luò)，一般為Internet，默認為風險區(qū)域。內(nèi)部網(wǎng)絡(luò)（內(nèi)網(wǎng)）：防火墻之內(nèi)的網(wǎng)絡(luò)，一般為局域網(wǎng)，默認為安全區(qū)域。非軍事化區(qū)（DMZ）：為了配置管理方便，內(nèi)網(wǎng)中需要向外網(wǎng)提供服務(wù)的服務(wù)器（如WWW、FTP、SMTP、DNS等）往往放在Internet與內(nèi)部網(wǎng)絡(luò)之間一個單獨的網(wǎng)段，這個網(wǎng)段便是非軍事化區(qū)。包過濾，也被稱為數(shù)據(jù)包過濾，是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾規(guī)則，檢查數(shù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標地址以及端口等信息來確定是否允許數(shù)據(jù)包通過。代理服務(wù)器，是指代表內(nèi)部網(wǎng)絡(luò)用戶向外部網(wǎng)絡(luò)中的服務(wù)器進行連接請求的程序防火墻能做什么？轉(zhuǎn)發(fā)正常的通信行為禁止未經(jīng)授權(quán)的訪問網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）VPN網(wǎng)關(guān)記錄通過防火墻的通信活動防火墻的技術(shù)發(fā)展防火墻技術(shù)幾乎與路由器同時出現(xiàn)采用了包過濾技術(shù)1989年，貝爾實驗室推出了電路層防火墻，同時提出了應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。

1992年，USC信息科學院開發(fā)出了基于動態(tài)包過濾技術(shù)的防火墻，后來演變?yōu)闋顟B(tài)檢測技術(shù)。

1994年，以色列開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品?；诼酚善鞯姆阑饓⑦^濾功能從路由器中獨立出來，并加上審計和告警功能針對用戶需求，提供模塊化的軟件包軟件可通過網(wǎng)絡(luò)發(fā)送，用戶可根據(jù)需要構(gòu)造防火墻與第一代防火墻相比，安全性提高了，價格降低了利用路由器本身對分組的解析,進行分組過濾過濾判斷依據(jù)：地址、端口號、IP旗標及其它網(wǎng)絡(luò)特征防火墻與路由器合為一體，只有過濾功能適用于對安全性要求不高的網(wǎng)絡(luò)環(huán)境是批量上市的專用防火墻產(chǎn)品包括分組過濾或者借用路由器的分組過濾功能裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令保護用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置安全性和速度大為提高。防火墻廠商具有操作系統(tǒng)的源代碼，并可實現(xiàn)安全內(nèi)核去掉了不必要的系統(tǒng)特性，加固內(nèi)核，強化安全保護在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)增加了許多附加功能：加密、鑒別、審計透明性好，易于使用基于安全操作系統(tǒng)的防火墻基于通用操作系統(tǒng)的防火墻防火墻工具套防火墻的技術(shù)發(fā)展防火墻的種類分組過濾/包過濾狀態(tài)檢測應(yīng)用代理防火墻的技術(shù)發(fā)展包過濾防火墻應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外網(wǎng)防火墻內(nèi)網(wǎng)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層數(shù)據(jù)包包過濾引擎防火墻的技術(shù)發(fā)展IP