計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)知識(shí)點(diǎn)之網(wǎng)絡(luò)安全

1.網(wǎng)絡(luò)上的不安全因素

隨著全球信息化的飛速發(fā)展，大量建設(shè)的各種信息化系呢經(jīng)成為國(guó)家和政府的關(guān)鍵基礎(chǔ)設(shè)施，其中許多業(yè)務(wù)都是國(guó)際性的，諸如電信、電子商務(wù)、金融網(wǎng)絡(luò)等。網(wǎng)絡(luò)信息安全已成為亟待解決、影響國(guó)家全局和長(zhǎng)遠(yuǎn)利益的重大關(guān)鍵問題。

計(jì)算機(jī)犯罪是一種高技術(shù)型犯罪，由于其犯罪的隱蔽性，因此對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)成了很大的威脅。計(jì)算機(jī)犯罪已經(jīng)引起全社會(huì)的普遍關(guān)注。隨著Internet的廣泛應(yīng)用，采用瀏覽器假務(wù)器模式的Intranet紛紛建成，這使網(wǎng)絡(luò)用戶可以方便地訪問和共享網(wǎng)絡(luò)資源。但同時(shí)對(duì)企業(yè)的重要信息，如貿(mào)易秘密、產(chǎn)品開發(fā)計(jì)劃、市場(chǎng)策略、財(cái)務(wù)資料等的安全無疑埋下了致命的威脅。必須認(rèn)識(shí)到，對(duì)于大到整個(gè)Internet小到各Intranet及各校園網(wǎng)，都存在著來自網(wǎng)絡(luò)內(nèi)部與外部的威脅。對(duì)Internet構(gòu)成的威脅可分為兩類：故意危害和無意危害。

故意危害Internet安全的主要有三種人：故意破壞者又稱黑客（Hackers）、不遵守規(guī)貝。E者（vandals）和刺探秘密者（Crackers）。故意破壞者企圖通過各種手段去破壞網(wǎng)絡(luò)資源與信息，例如涂抹別人的主頁、修改系統(tǒng)配置、造成系統(tǒng)癱瘓；不遵守規(guī)則者企圖訪問不允許訪問的系統(tǒng)，這種人可能僅僅是到網(wǎng)中看看、找些資料，也可能想盜用別人的計(jì)算機(jī)資源（如CPU時(shí)間）；刺探秘密者的企圖是通過非法手段侵入他人系統(tǒng)，以竊取重要秘密和個(gè)人資料。

除了泄露信息對(duì)企業(yè)網(wǎng)構(gòu)成威脅之外，還有一種危險(xiǎn)是有害信息的侵入。有人在網(wǎng)上傳，同播一些不健康的圖片、文字或散布不負(fù)責(zé)任的消息；另一些不遵守網(wǎng)絡(luò)使用規(guī)則的用戶可能如通過玩一些電子游戲?qū)⒉《編胂到y(tǒng)，輕則造成信息出錯(cuò)，嚴(yán)重時(shí)將會(huì)造成網(wǎng)絡(luò)癱瘓。

下面介紹幾種主要的網(wǎng)絡(luò)安全措施。

2.防火墻（Firewall）技術(shù)

防火墻是在被保護(hù)的Intranet與Internet之間豎起的一道安全屏障，用于增強(qiáng)Intranet的安全性。Internet/Intranet防火墻，用以確定哪些服務(wù)可以被Internet上的用戶訪問，部的哪些人可以訪問內(nèi)部的哪些服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。目前的防火墻技術(shù)可以起到以下安全作用：

（1）集中的網(wǎng)絡(luò)安全。防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心（阻塞點(diǎn)）來防止非法用戶（如黑客、網(wǎng)絡(luò)破壞者等）進(jìn)入內(nèi)部網(wǎng)絡(luò)，禁止存在不安全因素的訪問進(jìn)出網(wǎng)絡(luò)，并抗擊來自各種線路的攻擊。防火墻技術(shù)能夠簡(jiǎn)化網(wǎng)絡(luò)的安全管理、提高網(wǎng)絡(luò)的安全性。

（2）安全警報(bào)。通過防火墻可以方便地監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警信號(hào)。網(wǎng)絡(luò)管理員必須審查并記錄所有通過防火墻的重要信息。

（3）重新部署網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。Internet的迅速發(fā)展使得有效的未被申請(qǐng)的IP地址越來越少，這意味著想進(jìn)入Internet的機(jī)構(gòu)可能申請(qǐng)不到足夠的IP地址來滿足內(nèi)部網(wǎng)絡(luò)用戶的需要。為了接人Internet，可以通過網(wǎng)絡(luò)地址轉(zhuǎn)換NAT （Network Administrator）來完成內(nèi)部私有地址到外部注冊(cè)地址的映射。防火墻是部署NAT的理想位置。

（4）監(jiān)視Internet的使用。防火墻也是審查和記錄內(nèi)部人員對(duì)Internet使用的一個(gè)最佳位置，可以在此對(duì)內(nèi)部訪問Internet的情況進(jìn)行記錄。

（5）向外發(fā)布信息。防火墻除了起到安全屏障作用之外，也是部署WWW服務(wù)器和Ftp服務(wù)器的理想位置。允許對(duì)防火墻進(jìn)行配置，允許Internet訪問上述服務(wù)器，而禁止對(duì)內(nèi)部受保護(hù)的其它系統(tǒng)進(jìn)行訪問。

但是，防火墻也有自身的局限性，它無法防范來自防火墻以外的其它途徑所進(jìn)行的攻擊。例如在一個(gè)被保護(hù)的網(wǎng)絡(luò)上有一個(gè)沒有限制的撥號(hào)訪問存在，這樣就為從后門進(jìn)行攻擊留下了可能性；另外，防火墻也不能防止來自內(nèi)部變節(jié)者或不經(jīng)心的用戶所帶來的威脅；同時(shí)防火墻也不能解決進(jìn)入防火墻的數(shù)據(jù)帶來的所有安全問題，如果用戶抓來一個(gè)程序在本地運(yùn)行，那個(gè)程序可能就包含一段惡意代碼，可能會(huì)導(dǎo)致敏感信息泄露或遭到破壞。

典型的防火墻系統(tǒng)可以由一個(gè)或多個(gè)構(gòu)件組成，其主要部分是：包過濾路由器也稱分組過濾路由器（Packet Filtering Router）、應(yīng)用層網(wǎng)關(guān)（Application Gateway，也稱代理服務(wù)器）、電路層網(wǎng)關(guān)。

包過濾路由器對(duì)IP地址、TCP或UDP分組頭信息進(jìn)行檢查與過濾，以確定是否與設(shè)備的過濾規(guī)則匹配，繼而決定該數(shù)據(jù)包按照路由表中的信息被轉(zhuǎn)發(fā)或被丟棄。包過濾方式的主要優(yōu)點(diǎn)是僅一個(gè)關(guān)鍵位置設(shè)置一個(gè)包過濾路由器就可以保護(hù)整個(gè)網(wǎng)絡(luò)，而且包過濾對(duì)用戶是透明的，不必在用戶機(jī)上再安裝特定的軟件。包過濾也有它的缺點(diǎn)和局限性，如包過濾的規(guī)則配置比較復(fù)雜，而且?guī)缀鯖]有什么工具能對(duì)過濾規(guī)則的正確性進(jìn)行測(cè)試；包過濾也元法查出具有數(shù)據(jù)驅(qū)動(dòng)攻擊這一類潛在危險(xiǎn)的數(shù)據(jù)包；另外，隨著過濾器數(shù)目的增加，路由器的吞吐量會(huì)下降，從而影響網(wǎng)絡(luò)性能。

應(yīng)用層網(wǎng)關(guān)也就是通常所說的代理服務(wù)器。代理服務(wù)器運(yùn)行在Internet和Intranet之間，當(dāng)收到用戶對(duì)某站點(diǎn)的訪問請(qǐng)求后，會(huì)檢查該請(qǐng)求是否符合規(guī)定。若規(guī)則允許用戶訪問該站的話，代理服務(wù)器便以客戶身份去那個(gè)站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶o因此代理服務(wù)器會(huì)像一堵墻一樣擋在內(nèi)部用戶和外界之間，從外部只能看到該代理服務(wù)器而無法獲知任何內(nèi)部資料，諸如用戶的IP地址等。應(yīng)用層網(wǎng)關(guān)比單一的包過濾更為可靠，而且會(huì)詳細(xì)記錄所有的訪問狀態(tài)信息。但是應(yīng)用層網(wǎng)關(guān)也存在一些不足之處，首先因?yàn)樗辉试S用戶直接訪問網(wǎng)絡(luò)，會(huì)使訪問速度變慢；而且應(yīng)用層網(wǎng)關(guān)需要對(duì)每一個(gè)特定的Internet服務(wù)器安裝相應(yīng)的代理服務(wù)軟件，用戶不能使用未被服務(wù)器支持的服務(wù)，對(duì)每一類服務(wù)要使用特殊的客戶端軟件；更不幸的是，并不是所有的Internet應(yīng)用軟件都可以使用代理服務(wù)器。

電路層網(wǎng)關(guān)是一種特殊的功能，它也可以由應(yīng)用層網(wǎng)關(guān)來完成。電路層網(wǎng)關(guān)只依賴于TCP連接，并不進(jìn)行任何附加的包處理或過濾。在Telnet的連接中，電路層網(wǎng)關(guān)簡(jiǎn)單地進(jìn)行了中繼，并不做任何審查、過濾或協(xié)議管理。它只在內(nèi)部連接和外部連接之間來回拷貝字節(jié)，但隱藏受保護(hù)網(wǎng)絡(luò)的有關(guān)信息。電路層網(wǎng)關(guān)常用于對(duì)外連接，此時(shí)假設(shè)網(wǎng)絡(luò)管理員對(duì)其內(nèi)部用戶是信任的。它的優(yōu)點(diǎn)是主機(jī)可以被設(shè)置成混合網(wǎng)關(guān)，對(duì)于內(nèi)連接它支持應(yīng)用層或代理服務(wù)，而對(duì)于外連接它支持電路層功能。這樣，使得防火墻系統(tǒng)對(duì)于要訪問Internet服務(wù)的內(nèi)部用戶來說使用起來很方便，同時(shí)又能提供保護(hù)內(nèi)部網(wǎng)絡(luò)免于外部攻擊的防火墻功能。