网络安全防范

任务2　网络安全防范

任务综述

通过此任务的学习，学生在进一步了解网络系统安全问题导致的各种严重危害的同时，还能掌握对电子商务网络系统进行安全设置，切实达到防止黑客进攻的目的。

任务分析

2010年9月10日晚7时，一场大规模的网络异常席卷安徽全省，直到晚10点网络才恢复通畅。期间，尽管网络游戏、聊天工具等可正常使用，但打开网页的速度却奇慢，最后只能显示“您指定的网页无法访问！”。不仅合肥市境内的网络异常，阜阳、六安、巢湖等地在同一时间也均出现这种情况。类似于此次的“机器故障”仅9月份即出现2次。安徽电信宣称是机器故障，专家则认为网络受到黑客攻击的可能性较大。

通常情况下“机器故障”不会造成大规模网络瘫痪。造成网络大面积瘫痪的原因是DNS受到攻击和网络负载过重。黑客仅需向DNS发送大量数据包就能轻而易举地让其瘫痪。

任务实施

一、系统病毒防范

在所有计算机案例威胁中，病毒最为严重。计算机病毒不仅发生的频率高、造成的损失大，而且潜伏性强。对计算机病毒的防范可从几个方面进行：

（一）从用户的角度防范

计算机病毒的防治应采取“预防为主，防治结合”的方针，关键是做好预防。要想有效阻止病毒的危害，用户必须及早发现病毒，并将其消除。堵塞传播途径是防止计算机病毒侵入的有效方法。用户应根据病毒传染途径做一些经常性的病毒检测工作，既可将病毒的入侵率降低到最低限度，也可将病毒造成的危害减少到最低限度。

（二）从技术的角度防范

病毒的防治技术在与病毒的较量中不断发展。计算机病毒的防治技术主要有：

（1） 病毒预防技术。通过一定的技术手段防止病毒对系统进行传染和破坏。主要是通过计算机自身常驻系统内存优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止病毒进入系统内存或阻止病毒对磁盘的操作尤其是写操作，以达到保护系统的目的。病毒预防技术主要包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。

（2） 病毒检测技术。通过一定的技术手段判定出病毒的一种技术。可分为两种：一种是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术；另一种是不针对具体病毒程序的自身检验技术，即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地根据保存结果对该文件或数据段进行检验。若出现差异，即表示该文件或数据段的完整性已遭破坏，从而检测到病毒的存在。

（3） 病毒清除技术。计算机病毒的清除是计算机病毒检测的延伸，是在检测发现特定的病毒基础上，根据具体病毒的清除方法从感染的程序中除去计算机病毒代码并恢复文件的原有结构信息。现在很多杀病毒软件把检测和杀毒同时进行，目前常用的杀病毒软件有：Norton Anti Virus、Nod32、金山毒霸、瑞星等。

（4） 病毒免疫技术。针对某一种病毒的免疫方法已无人使用，且目前尚未出现通用的能对各种病毒都有免疫作用的技术。某些反病毒程序的使用给可执行程序增加保护性外壳的方法，能在一定程度上发挥保护作用。

二、应用防火墙

这是指借助防火墙技术提高计算机系统总体的安全性。

（一）防火墙是网络安全的屏障

防火墙能极大地提高内部网络的安全性，并能通过过滤不安全的服务达到降低风险的目的。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护的网络，保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。

（二）控制对主机系统的访问

防火墙有能力控制对主机系统的访问。例如，某些主机系统可由外部网络访问，而其他主机系统则被有效地封闭起来，防止有害访问。通过配置防火墙，允许外部主机访问WWW服务器和FTP服务器，同时禁止外部主机对内部网络上其他系统的访问。

（三）监控和设计网络访问

如所有的访问都经过防火墙，则防火墙会记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。一俟可疑动作发生，防火墙能进行适当报警，并提示网络是否收到监测和攻击的详细信息。

（四）防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，限制局部重点或敏感网络安全问题对全局网络造成的影响。另外，使用防火墙可隐蔽那些会泄露内部细节的服务，如Finger、DNS等。

（五）部署NAT机制

防火墙可部署NAT机制，以缓解地址空间短缺问题，也可隐藏内部网络的结构。

三、应用入侵检测

入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计其他网络上可获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为与被攻击的迹象。

（一）入侵检测是积极主动的安全防护技术

作为一种积极主动地安全防护技术，入侵检测提供了对内部攻击、外部攻击和误操作的实时保护，在不影响网络性能的情况下对网络进行监测，能在网络系统受到危害之前拦截和响应入侵，故被认为是防火墙之后的第二道安全闸门。

入侵检测通过执行以下任务实现：一是，监视、分析用户及系统活动；二是，系统构造和弱点的审计；三是，识别反映已知进攻的活动模式并向相关人士报警；四是，异常行为模式的统计分析；五是，评估重要系统和数据文件的完整性；六是，操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

（二）入侵检测是防火墙的合理补充

作为防火墙的合理补充，入侵检测能帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，进而分析这些信息、查看网络中是否有违反安全策略的行为和遭到袭击的迹象。

一个成功的入侵检测系统，不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制定提供指南。更为重要的是，它应该管理、配置简单，使非专业人员极为容易地获得网络安全。同时，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

四、实施访问控制

访问控制是网络安全防范和保护的一种主要策略，是维护网络系统安全、保护网络资源的重要手段，其主要任务是保证网络资源不被非法访问。虽然各种安全策略须相互配合才能真正发挥保护作用，但访问控制策略是保证网络安全最重要的核心策略之一。

（一）入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它能控制哪些用户可登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们从哪台工作站入网。

用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证和用户账号的默认限制检查。三道关卡中只要任何一关未通过，该用户便不能进入网络。

网络管理员应能控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号是所有计算机系统中最基本的安全形式。用户账号应只有系统管理员才能建立，用户口令应是每个用户访问网络所必须提交的“证件”。用户可以修改自己的口令，但系统管理员应能控制口令在以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的惟一性，以及口令过期失效后允许入网的次数。

用户名和口令通过验证之后，再进一步履行用户账号的默认限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间以及限制用户入网的工作站数量。网络应对所有用户的访问进行审计，若多次输入口令不正确，则认为是非法用户入侵，并给出报警信息。

（二）网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。由网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源等。可以指定用户对这些文件、目录和设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。受托者指派可以控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。根据访问权限可将用户分为三类：

（1） 特殊用户，即系统管理员。

（2） 一般用户，系统管理员根据他们的实际需要为他们分配操作权限。

（3） 审计用户，负责网络的安全控制与资源使用情况的审计。

（三）目录级安全控制

网络应能控制用户对目录、文件和设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定目录下的子目录和文件的权限。

对目录和文件的访问权限一般有8种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）和存取控制权限（Access Control）。

用户对文件或目标的有效权限取决于以下两个因素：用户的受托者指派或用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。8种访问权限的有效组合可以让用户方便地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。

（四）属性安全控制

当访问文件、目录和网络设备时，网络管理员应当给文件和目录等指定访问属性。属性安全控制可将给定的属性与网络服务器中的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、复制一个文件、删除目录或文件、查看目录和文件、执行文件、隐藏文件和共享文件等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、修改和显示等。

（五）网络服务器安全控制

网络允许在服务器控制台上执行一系列操作。用户使用控制台可装载和卸载模块，也可安装和删除软件等。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；也可设定服务器登录时间限制、非法访问者检测和关闭的时间间隔等。

（六）网络监测和锁定控制

网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问。对非法的网络访问，服务器应以图形、文字或声音等形式进行报警，以引起网络管理员的注意。如果非法用户试图进入网络，网络服务器应会自动记录尝试登录的次数，如非法访问的次数达到设定数值，则该账户将被锁定。

（七）网络端口和节点的安全控制

网络中服务器的端口往往使用自动回呼设备、设置调制解调器为静默加以保护，并以加密形式识别节点的身份。自动回呼设备用于防止假冒合法用户，设置调制解调器为静默用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户须使用证实身份的验证器（如智能卡、磁卡和安全密码发生器等）验证自己身份。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。

五、实施安全扫描

扫描器是Internet安全领域内最出名的破解工具。一个好的TCP/IP扫描器相当于1 000个用户口令的价值。扫描器是自动检测远程或本地主机安全性弱点的程序。比如，通过使用扫描器，美国的用户可以不留痕迹地发现远在广东的一台服务器的安全漏洞。

真正的扫描器是TCP端口扫描器，该程序可连接TCP/IP端口和服务（比如，Telnet或FTP），并记录目标的回答。通过此方法，可搜集到关于目标主机的有用信息。扫描器一般为UNIX平台编写，但现在已有了可用于任何操作系统的扫描器。

扫描器能发现目标主机某些内在的弱点，这些弱点可能是破坏主机安全性的关键因素。但要做到这一点，用户必须了解如何识别漏洞。许多扫描器并未提供使用指南，因此数据的解释很重要。

扫描器对于Internet的安全性之所以重要，是因为它能发现网络的弱点。至于这一信息是否被黑客利用并不重要，因为系统管理员使用了扫描器，将有助于加强系统的安全性，如果它被“入侵者”利用，也同样有助于加强系统的安全性。因为一旦某个“漏洞”被黑客利用，最终都能被使用者发现。认为扫描器落在“入侵者”手里不利于安全性的观点并不确切。如果一个系统管理员不能使其网络足够安全，则其工作失误就会以网络安全漏洞的形式暴露出来。

系统管理人员须学会使用扫描器，不想这样做的管理员必然会承担严重后果。扫描器能提醒新的系统管理员警惕潜在的安全危险，成为保障Internet安全的重要因素，建议管理员尽可能多地使用扫描器。

六、网络安全应急响应

“应急响应”对应的英文是“Incident Response”或“Emergency Response”等，通常指一个组织为应对各种意外事件的发生所做的准备与事件发生后采取的措施。

计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件，事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。按照计算机信息系统安全的三个目标，可把安全事件定义为破坏信息或信息处理系统CIA的行为。

（1） 破坏保密性的安全事件。比如入侵系统并读取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等。

（2） 破坏完整性的安全事件。比如入侵系统并篡改数据，劫持网络连接并篡改或插入数据，安装特洛伊木马（如Back Orifice2K）、计算机病毒（修改文件或引导区）等。

（3） 破坏可用性（战时最可能出现的网络攻击）的安全事件。比如系统故障、拒绝服务攻击、计算机蠕虫（以消耗系统资源或网络带宽为目的）等。然而，越来越多的人意识到，CIA界定的范围太小，以下事件通常也是应急响应的对象：

① 扫描。包括地址扫描和端口扫描等，为侵入系统寻找系统漏洞。

② 抵赖。指一个实体否认自己曾执行过的某种操作，比如在电子商务中交易方之一否认自己曾经订购过某种商品，或商家否认自己曾接受过订单。

③ 垃圾邮件骚扰。垃圾邮件是指接收者没有订阅却被强行塞入信箱的广告、政治宣传等邮件，不仅耗费大量的网络与存储资源，也浪费接收者的时间。

④ 传播色情内容。尽管不同地区和国家政策不同，但多数国家均限制色情信息的传播，特别是对于青少年、儿童造成的不良影响的信息各国都予以限制。

⑤ 愚弄和欺诈。指散发虚假信息造成的事件，比如曾经发生过几个组织发布应急通告，声称出现了一种可怕的病毒“Virtual Card for You”，导致大量惊惶失措的用户删除硬盘中很重要的数据，使系统无法启动。

知识拓展

一、网络安全

以Internet为代表的全球性信息化浪潮日益高涨，信息网络技术的应用日益普及和广泛，应用层次逐渐深入，应用领域从传统、小型业务系统逐渐向大型、关键业务系统扩展，典型的如党政部门信息系统、金融业务系统、企业商务系统等。

伴随着网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高要求，网络的安全属性主要表现在以下几个方面：

一是，保密性，即信息不泄露给非授权的用户、实体或进程。

二是，完整性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

三是，可用性，即可被授权实体访问并按需求使用的特性。

四是，真实性，即在信息交互过程中，确信参与者的真实同一性。

五是，可控性，即对信息传播路径、范围与内容具有的控制能力。

（一）网络安全的基本概念

网络安全本质上是网络信息的安全问题，涉及的领域相当广泛。这是因为目前的公用通信网络中保存着各种各样的安全漏洞和威胁。

广义上讲，凡涉及网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论均属网络安全的研究领域，且因各主体所处的角度不同对网络安全的理解不同。网络安全指网络系统的硬件、软件与系统中的数据受到保护，避免因偶然的或者恶意的原因而遭到破坏、更改、泄露，保证系统能连续、可靠、正常的运行，网络服务不中断。其特征是针对网络本身可能存在的安全问题，实施网络安全方案，以保证计算机网络自身的安全性为目标。

网络安全涉及以下几个方面：首先是网络硬件，即网络的实体；其次是网络操作系统，即对网络硬件的操作与控制；再次就是网络中的应用程序。通常认为有了这三方面的安全维护足矣，事实上这种分析和归纳不完整、不全面。在应用程序背后隐藏着大量的数据，作为对前者的支持，这些数据的安全性问题也应被考虑在内。最重要的一点是，无论网络本身还是操作系统与应用程序，最终都由人操作，所以最为重要的安全问题是用户的安全性。

（二）网络安全的评价等级

美国国防部开发的计算机安全标准《可信计算机系统标准评价准则》将安全级别分为四类七级，如表6.7所示。

表6.7　可信任计算机系统评价准则

A：最高级别，它附加了一个安全系统受监控的设计并要求安全的个体须通过此设计。

B3： 要求终端须通过可信任途径连接到网络，且要求采用硬件保护安全系统的存储区。

B2： 也称结构保护，计算机系统对所有的对象加了标签，且给设备分配安全级别。

B1： 支持多级安全，即安全保护安装在不同级别的系统中，可对敏感信息提供更高级别的保护。

C2： 比C1级更进一步，限制了用户执行某些命令或访问某些文件的能力，它不仅进行了许可权限的限制，还进行了基于身份级别的验证。

C1： 对计算机系统硬件有一定的安全机制要求，计算机在被使用前需进行登录。但它对登录到计算机的用户没有进行访问级别的限制。

D1： 整个计算机系统不可信任，硬件和操作系统很容易被侵袭。对用户没有验证要求。

二、网络安全的威胁

影响计算机网络的因素很多，人为的或非人为的，有意的或恶意的等，但一个很重要的因素是外来黑客对网络系统资源的非法使用会严重威胁网络安全。威胁网络安全的因素有：

（一）人为的疏忽

这包括失误、失职、误操作等。这些可能是工作人员对安全的配置不当，不注意保密工作，密码选择慎重等造成的。

（二）人为的恶意攻击

这是网络安全的最大威胁，敌意的攻击和计算机犯罪属于此类。它的破坏性最强，极易造成重大危害，导致机密数据的泄露。如涉及的是金融机构则可能导致破产，也会导致社会震荡。

这种攻击分为主动攻击和被动攻击两种方式。主动攻击是选择性地破坏信息的有效性与完整性；被动攻击则是在不影响网络正常工作的情况下截获、窃取、破译以获得重要机密信息。进行这些攻击行为的人大多具有很高的专业技能和智商，需要相当的专业技能才能破解。

（三）网络软件的漏洞

网络软件不可能毫无缺陷和漏洞，缺陷和漏洞则为黑客提供攻击的机会。软件设计人员为方便自己而设置的陷门，一旦被攻破其后果也不堪设想。

（四）非授权访问

这是指未经同意就越过权限，擅自使用网络或计算机资源。主要有假冒、身份攻击、非法用户进入网络系统进行违法操作或合法用户以未授权方式进行操作等。

（五）信息泄露或丢失

这是指敏感数据被有意或无意地泄露出去或丢失，通常包括信息在传输的过程中丢失或泄露。

（六）破坏数据完整性

这是指以非法手段窃得对数据的使用权，删改、修改、插入或重发某些信息，恶意添加、修改数据，以干扰用户的正常使用。

规划工作要解决网络组建过程中整体建设与局部建设、近期建设与远期建设之间的关系。具体做法是根据用户近期的功能要求和中远期发展的需求，把握网络设备、技术的现状和发展趋势，结合用户经济状况综合考虑。

进行网络规划时须依原先确定的目标做出恰当决定，包括：

（1） 网络系统和硬件结构的评估与选择。

（2） 网络操作系统的评估与选择。

（3） 网络应用软件的评估与选择。

网络规划采取的策略通常是整体规划、分步实施。

三、网络安全技术

（一）防火墙

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络、访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关（代理服务器）以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

防火墙处于网络安全体系中的最底层，属于网络层安全技术范畴，负责网络间的安全认证与传输。随着网络安全技术的整体发展和网络应用的持续变化，现代防火墙技术已逐步走向网络层外的其他安全层次，不仅要完成传统防火墙的过滤任务，还能为各种网络应用提供相应的安全服务。另外，还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

根据防火墙采用的技术不同，可以将它分为四种基本类型：包过滤型、网络地址转换型、代理型和监测型。

（1） 包过滤型。该种产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据以“包”为单位进行传输，数据被分割成为一定大小的数据包，每个数据包中都包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，便会拒之门外。系统管理员也可根据实际情况灵活制订判断规则。

包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单情况下能以较小代价在一定程度上保证系统安全。

包过滤技术的缺陷很明显。因为包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，故无法识别基于应用层的恶意侵入，如恶意的Java小程序与电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。

（2） 网络地址转换型（Network Address Translator，NAT）。这是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中的每台机器取得注册的IP地址。

NAT的工作过程是：在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，只是通过一个开放的IP地址和端口来请求访问。防火墙根据预先定义好的映射规则判断该访问是否安全。符合规则时，防火墙认为访问是安全的，可接受访问请求，也可将连接请求映射到不同的内部计算机中。不符合规则时，防火墙认为该访问不安全，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对用户透明，不须用户进行设置，用户只要常规操作即可。与传统布线相比，综合布线具有许多优越性。其特点主要表现为兼容性、开放性、灵活性、可靠性、先进性和经济性，且在设计、施工和维护方面会带来许多方便。

（3） 代理型。代理型防火墙也可被称为代理服务器，其安全性高于包过滤型产品，并已向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；从服务器来看，代理服务器又是一台真正客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接数据通道，外部的恶意侵害很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性高，可针对应用层进行侦测和扫描，对防止基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大影响，且代理服务器须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

（4） 监测型。监测型防火墙是新一代产品，技术水平已超越最初的防火墙定义。监测型防火墙能对各层数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能有效判断各层中的非法侵入。同时，这种检测型防火墙产品一般带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能检测来自网络外部的攻击，且对来自内部的恶意破坏也有极强的防范作用。权威机构统计在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，且在安全性上也超越了前两代产品。

虽然监测型防火墙的安全性已超越了包过滤型和代理服务器型防火墙，但因监测型防火墙技术的实现成本较高，不易管理，目前使用中的防火墙产品仍以第二代代理型产品为主，仅在某些方面开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可选择性地使用某些监测型技术，既能保证网络系统的安全性需求，也能有效控制安全系统的总拥有成本。

虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其他途径的攻击，不能防止来自内部变节者与粗心用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件与无法防范数据驱动型的攻击。

（二）入侵检测IDS

访问控制机制等传统安全防御策略采用的是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动响应。检测技术是动态安全技术的核心技术之一，是防火墙的合理补充，能帮助系统对付网络攻击，特别是来自于防火墙内部的恶意攻击。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时监控，是安全防御体系的一个重要组成部分。

（1） 入侵检测系统（Intrusion Detection System，IDS）通常由探测器和控制台两部分组成。探测器负责采集数据（网络包、系统日志等）、分析数据并生成安全事件。控制台主要起中内管理的作用，提供图形界面的控制台。根据采集的数据源，入侵检测系统分为基于主机的入侵检测和基于网络的入侵检测系统。

基于主机的入侵检测系统一般都安装在需要严格监控的主机上；基于网络的入侵检测系统部署复杂一些，通常采取在各个重要网段部署探测器，然后通过统一的控制管理台进行管理，对于交换式网络，要想探测器获取到网络数据，需要交换机端口镜像功能的支持。两者区别如表6.8所示。

表6.8　基于主机的入侵检测系统和基于网络的入侵检测系统的区别

续表

（2） 入侵防御系统（Intrusion Prerention System，IPS）。又称入侵检测和防御系统（Intrusion Dection& Prevention，IDP），不但能检测入侵的发生，且能指挥防火墙和其他响应方式，实时终止入侵行为的发生和发展，是实时保护系统不受实质性攻击的智能化的安全产品。

从功能上来看，IPS是一种主动、积极的入侵防范、阻止系统，是一种在线的解决方案。它部署在网络的进出口处，一俟检测到攻击企图，它会自动将攻击包丢掉或采取措施将攻击源阻断。它可以阻击由防火墙漏掉的或IDS检测到而不能处理的网络攻击，从而减少因网络攻击而受到的损失，增强网络的性能和可用性。IPS在对恶意的进攻如混合性攻击、HTTP蠕虫等进行阻断的同时，还可保障良性数据有良好的通行能力，使它们快速通过。当IPS观察到特定计算机可疑的网上行为、服务器执行反常操作时，IPS就可采取适当的策略阻止攻击。此外，IPS的设计作了很大改进，IPS除能根据现有的规则检测到已知的攻击，还能比较主动地判断出未知类型网络攻击，比IDS的检测效率大为提高。

然而，在处理一些比较新的协议和较少使用的协议方面，IPS的表现不尽如人意。此外，一些需要解码的数据包，比如传送给IIS 和Apache 的报文，IPS不能准确判断，故IPS尚需继续改进。

（3） IPS、IDS和防火墙的比较。与IDS相比，IPS不但能检测入侵的发生，且有能力终止入侵活动的进行。因为IDS是一种并联在网络上的设备，只能被动地检测网络遭到了何种攻击，其阻断攻击能力非常有限，只能通过发送TCP reset包或联动防火墙阻止攻击。

与防火墙相比，IPS能从不断更新的模式库中发现各种各样新的入侵方法，并作出智能的保护性操作；防火墙则只能死板地执行预先设定的简单规则，不能发现规则之外的入侵行为。但IPS不能完全代替防火墙，因为防火墙虽是粒度比较粗的访问控制产品，但还可提供网络地址转换、服务代理、流量统计等功能，甚至还能提供VPN功能；另外，IPS的功能比较单一，只能串联在网络上，类似于网桥式防火墙，对防火墙所不能过滤的攻击进行过滤。因此，把IPS与防火墙结合起来可最大限度地保护系统安全。

（三）数字加密

信息时代的众多数据至关重要。信息可以让团体或个人受益，也可对他们构成威胁，造成破坏。在竞争激烈的大公司中，商业间谍经常会获取对方情报，故需一种强有力的安全措施保护机密数据不被窃取或篡改。数据加密与解密非常简单，极易理解和掌握，能方便地对机密数据进行加密和解密。

加密在网络上的作用是防止有价值的信息在网络上被拦截和窃取，一个简单的例子就是密码的传输。计算机密码极为重要，许多安全防护体系均基于密码形成，密码一俟泄露会导致安全体系的全面崩溃。通过网络进行登录时，所输入的密码以明文的形式被传输到服务器，而在网络上窃听是一件极为容易的事情，致使黑客会嗅探并窃得用户的密码，如用户是Root用户或Administrator用户，则后果将极为严重：网络上的数据被嗅探和劫持。

加密型网络安全技术的基本原理是不依赖于网络中数据通道的安全性实现网络系统的安全，而是通过对网络数据的加密保障网络的安全性。数据加密技术分为三类，即对称型加密、不对称型加密和不可逆加密。

其中不可逆加密算法不存在密钥保管和分发问题，适用于分布式网络系统，但其加密计算量相当大，通常用于数据量有限的情况。计算机系统的口令利用不可逆加密算法加密。

（1） 对称加密技术。传统的加密算法中，加密密钥与解密密钥相同，或可由其中一个推知另一个，称为对称密钥算法。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可用该密钥加密信息，也可用该密钥解密信息。

最著名的保密密钥或对称密钥加密算法（Data Encryption Standard，DES）由IBM公司在20世纪70年代创建，经美国政府加密标准筛选后于1976年11月被美国政府采用，随后被美国国家标准局和美国国家标准协会（American National Standard Institute，ANSI）承认。

对称加密技术的缺陷：一是，如果交换一方有N个交换对象，则他需维护N个私有密钥；二是，双方共享一把私有密钥，交换双方的任何信息都通过这把密钥加密后传送给对方。

（2） 非对称加密技术。又叫公开密钥密码算法。公开密钥密码体制最主要的特点是加密和解密使用不同的密钥，每个用户保存一对密钥——公开密钥PK和秘密密钥SK，故该体制又称双钥或非对称密钥密码体制。公钥加密算法下，如公钥公开，任何人都可用公钥加密信息，再将密文发送给私钥拥有者；如私钥保密，用于解密其接收的公钥加密过的信息。典型的公钥加密算法（如RSA）是目前使用比较广泛的加密算法。

RSA加密算法使用了两个非常大的素数产生公钥和私钥。即使通过因数分解从一个公钥可得到私钥，但这个运算所包含的计算量非常巨大，实际上并不可行。加密算法本身很慢，在某种程度上使采用RSA算法加密大量的数据变得不可行，故一些现实中的加密算法均基于RSA加密算法而来。

PGP算法（以及大多数基于RSA算法的加密方法）使用公钥加密一个对称加密算法的密钥，然后再利用一个快速的对称加密算法加密数据。这个对称算法的密钥随机产生，是保密的，因此，得到这个密钥的惟一方法就是使用私钥解密。

假定要使用密钥‘12345’加密一些数据。利用RSA公钥，使用RSA算法加密这个密钥‘12345’，并把它放在要加密的数据的前面（可能后面跟着一个分割符或文件长度，以区分数据和密钥），然后使用对称加密算法加密正文，使用的密钥即为‘12345’。当对方收到时，解密程序找到加密过的密钥并利用RSA私钥解密出来，然后确定出数据的开始位置，利用密钥‘12345’解密数据。这就使一个可靠的经过高效加密的数据安全地传输和解密。

（四）证书和身份认证

（1） 身份认证技术概述。近年来，计算机与信息犯罪呈大幅上升趋势，直接和间接的经济损失巨大，必须采取有效措施保护信息资源，并根据受到攻击和破坏的可能性与可能导致的损失程度决定预防措施的功能和投资水平。

信息技术中的“认证”，是指通过一定的验证技术确认系统使用者身份与系统硬件（如计算机）的数字化代号真实性的整个过程。其中对系统使用者的验证技术过程称为“身份认证”。

身份认证技术是信息安全理论与技术的一个重要方面，身份认证是安全系统中的第一道关卡。用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按需要进行配置。审计系统根据审计设置记录用户的请求和行为，同时入侵检测系统实时或非实时地侦测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统所提供的“信息”——用户的身份。可见身份认证在安全系统中的地位极其重要，是最基本的安全服务，其他安全服务都依赖于它。一旦身份认证系统被攻破，则系统所有安全措施将形同虚设。黑客攻击的目标往往是身份认证系统。因此，要加快信息安全的建设，加强身份认证理论及其应用的技能学习是一个非常重要的任务。

（2） 身份认证的方式。身份认证涉及两个方面，一是识别，二是验证。

识别，是要明确访问者是谁，即必须对系统中的每个合法（注册）的用户具有识别能力。要保证识别的有效性，必须保证任意两个不同的用户都不能具有相同的识别符。

验证，是访问者声称自己的身份后（比如向系统输入特定标识符），系统须对它声称的身份进行验证，以防冒名顶替。识别符可以是非秘密的，验证信息则须是秘密的。

身份认证的本质是被认证方有一些信息（无论是秘密信息还是个人持有的特殊硬件或个人特有的生物学信息），除被认证方本身外，任何第三方（在有些需要认证权威的方案中，认证权威除外）不能伪造，被认证方能使认证方相信他确实拥有那些秘密（无论是将那些信息出示给认证方或者采用零知识证明的方法），则其身份即得到认证。

身份认证可分为用户与主机间的认证和主机与主机之间的认证。用户与主机间的身份认证分为三类：

① 你知道什么：这是对被识别人员知识的验证，如口令。

② 你有什么：这是对被识别人员所持有物品的验证，如智能卡、令牌等。

③ 你是谁：这是对应于被识别人员自身固有特征的验证，如指纹、面部等。

所以，身份认证可以为客户/服务器通信双方提供认证，建立安全信道。

目前已出现建立在现有网络协议基础上的一些网络安全协议，如SSL和PCT。这两种协议主要用于保护机密信息，同时也用于防止其他非法用户侵入自己的主机，给自己带来安全威胁。

SSL协议是美国Netscape公司最早提出的一种包括服务器的认证、签名、加密技术的私有通信，可提供对服务器的认证，根据服务器的选项，还可提供对客户端的认证。SSL协议可运行在诸如TCP任何一种可靠的传输协议之上，它并不依赖于TCP，并能运行在HTTP、FTP、TELNET等应用协议之下，为其提供安全的通信。SSL协议使用X.509 V3认证标准，RSA、diffie-Hellman和Fortezza-KEA算法作为其公钥算法，使用RC4-128、RC-128、DES、3层DWS或IDEA作为其数据加密算法。PCT提供了比SSL更加丰富的认证方案、加密算法，并在某些协议细节上作出改进。

（3） 证书和数字签名。以往的书面信函或文件根据亲笔签名或印章证明其真实性。在计算机网络传送的报文应该采用数字签名。数字签名要保证以下三点：

① 接收者能核实发送者对报文的签名。

② 发送者事后不能抵赖对报文的签名。

③ 接收者不能伪造对报文的签名。

现在已有多种实现各种数字签名的方法，但采用公开密钥算法比常规算法更易实现。

为维护自己公司的良好声誉，许多大企业纷纷对自己的软件采用数字签名技术，宣称对自己的软件，尤其是像Java小程序，ActiveX控件一样给Web服务。

数字签名根据公钥算法，用自己的私钥对自己发布的软件进行签名，由用户用其公钥进行验证。这里的公钥由证书机构发布的证书来证实。

微软Authenticode2.0技术用于标识一份软件的发布者且证明它尚未被损害。从证书机构（CA）处获得数字证书的软件发布者可使用Authenticode签名工具为他们的软件包进行数字化签名。其证书格式遵从ITU-X5.09 V3格式，公钥算法为RSA。Authenticode是客户方软件，它监视Acti veX控件、Cab文件、Java小应用程序或可执行文件的下载，在这些文件中寻找数字证书进行验证，然后对可能出现的安全问题向用户显示警示、证书机构的名字及它是商业证书还是个人证书、证书的有效时间等。

数字签名能保护软件的完整性，对软件在传输过程中的非法更改比较敏感。软件规模比较大，而目前诸如RSA的公钥算法，在实现上比较慢，因此在对软件进行数字签名时，可先用一个杂凑函数对软件代码进行处理，然后再用用户的私钥对杂凑结果进行签名。当其他用户验证时，也用同样的杂凑函数算出杂凑值，再对签名进行解密，如两个结果一致，则说明软件未被更改，否则即说明软件在传输过程中遭非法更改。

数字签名还能确认软件的发布者。软件使用者导入证书机构（CA）发布给软件发布者的证书，即可用软件发布者的公钥认定发布软件的有效性。签过名的软件并不能保证没有安全问题，签名的作用是一旦出现问题即可根据证书对软件发布者进行追查。

（五）虚拟专用网（VPN）

对于一个地域分布广、分支机构相距遥远的企业内部网来说，为保证不同地区的部门之间的信息传输的可靠性和完整性，采用VPN技术是最佳方案。

虚拟专用网（Virtual Private Network，VPN）是近年来伴随Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源进行促销、销售、售后服务、培训、合作等活动。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet传输私有信息而形成的逻辑网络称为虚拟专用网。

目前VPN主要采用隧道技术（Tunneling）、加/解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）保证网络安全。

（1） 隧道技术。一种通过使用互联网络的基础设施在网络之间传递数据的方式，也指包括数据封装、传输和解包在内的全过程。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，使封装的负载数据能通过互联网络传递。

被封装的数据包在隧道的两个端点间通过公共互联网络进行路由。被封装的数据包在公共互联网络传递时经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。

（2） 加/解密技术。对通过公共互联网络传递的数据须经加密，确保网络其他未授权的用户无法读取该信息。加/解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。

（3） 密钥管理技术。其主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术分为SKIP与ISAKMP/OAKLEY两种。

SKIP主要利用Diffie-Hellman的演算法则在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用与私用。

（4） 使用者与设备身份认证技术。VPN方案必须能验证用户身份并严格控制只有授权用户才能访问VPN；方案还须能提供审计和计费功能，显示何人在何时访问了何种信息。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

VPN整合了范围广泛的用户，从家庭的拨号上网用户到办公室联网的工作站，直到ISP的Web服务器。用户类型、传输方法，以及由VPN使用的服务的混合性，增加了VPN设计的复杂性，也增加了网络安全的复杂性。如能有效采用VPN技术，即可防止欺诈、增强访问控制和系统控制、加强保密和认证。选择一个合适的VPN解决方案能有效防范网络黑客的恶意攻击。

四、网络安全的攻击与防卫

网络攻击，从20世纪80年代单纯使用密码猜测的方式，到现在的网络钓鱼、溢出漏洞、拒绝服务攻击及社会工程学等技术的使用，攻击难度越来越低。网络变得十分脆弱，一方面因为威胁变得越来越复杂，另一方面因为实施这些威胁所需要的知识越来越简单。网络攻击的发展趋势如图6.2所示。

常见的网络攻击方法有如下几种。

（一）端口扫描

一个端口是一个潜在的通信通道，也是一个入侵通道。对目标计算机进行端口扫描能得到许多有用信息。扫描的方法很多，可以是手工扫描，也可用端口扫描软件。手工扫描需要熟悉各种命令，对命令执行后的输出进行分析。用软件扫描时，许多扫描器软件都有分析数据的功能。通过端口扫描可得到许多有用信息，从而发现系统的安全漏洞。

（二）口令破解

通过破解获得系统管理员口令，进而掌握服务器的控制权是黑客的一个重要手段。破解获得管理员口令的方法有多种，最常见方法是：

图6.2　网络攻击发展趋势

（1） 猜解简单口令。很多人使用自己或家人的生日、电话号码、房间号码、简单数字或身份证号码中的几位；也有的使用自己、孩子、配偶或宠物名字；还有的系统管理员使用password，甚至不设密码，使黑客很容易通过猜想得到密码。

（2） 字典攻击。如猜解简单口令攻击失败，黑客会试图字典攻击，即利用程序尝试对英语词典或其他语言词典中单词的每种可能组合。字典攻击可利用重复的登录或搜集加密的口令，并试图与加密后字典中的单词匹配。黑客也使用附加的各类字典数据库，比如名字和常用的口令。

（3） 暴力猜解。同字典攻击类似，黑客尝试所有可能的字符组合方式。一个由4个小写字母组成的口令可在几分钟内被破解；即使一个较长的由大、小写字母组成的口令（包括数字和标点的可能组合达10万亿种），如每秒钟尝试100万种组合，则在一个月内即可破解。

（三）特洛伊木马

特洛伊木马是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的情况下执行。一般的木马程序包括客户端和服务端两个程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击用户的系统，将程序植入到用户的计算机里面。

目前木马入侵的主要途径是通过一定的方法把木马执行文件复制到被攻击者的计算机系统里，利用的途径有邮件附件、下载软件等，然后通过一定的提示故意误导被攻击者打开执行文件，比如故意谎称这个木马执行文件是朋友送的贺卡，可能在打开这个文件后确实有贺卡的画面出现，但这时木马可能已悄悄在后台运行了。一般的木马执行文件非常小，大部分为几KB到几十KB，如把木马捆绑到其他正常文件上用户很难发现，所以有些网站提供的软件下载往往捆绑了木马文件——用户一且执行这些下载的文件，也同时运行了木马。

木马也可通过Script、ActiveX及Asp.CGI交互脚本的方式植入，由于微软的浏览器在执行Script脚本时存在一些漏洞。攻击者可利用这些漏洞传播病毒和木马，甚至直接对浏览者的计算机进行文件操作等控制。前不久出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。如攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面，即可通过编制CGI程序在攻击主机上执行木马目录。此外，木马还可利用系统的一些漏洞进行植入，如微软著名的US服务器溢出漏洞，通过一个IISHACK攻击程序即可使IIS服务器崩溃，且同时攻击服务器，执行远程木马执行文件。

一旦服务端程序在被感染的机器上成功运行，攻击者就可使用客户端与服务端建立连接，并进一步控制被感染的机器。在客户端和服务端通信协议的选择上，绝大多数木马使用的是TCP/IP协议，但也有一些木马由于特殊的原因，使用UDP协议进行通信。当服务端在被感染的机器上运行以后，它一方面尽量把自己隐藏在计算机的某个角落里面，以防被用户发现；同时监听某个特定的端口，等待客户端与其取得连接；另外为下次重启计算机时仍然能正常工作，木马程序一般会通过修改注册表或者其他的方法让自己成为自启动程序。

（四）缓冲区溢出攻击

缓冲区是程序运行时机器内存中的一个连续块，它保存给定类型的数据会随着动态分配变量出现问题。大多数情况下，为不占用太多内存，一个有动态分配变量的程序只有在运行时才决定给它们分配多少内存。如给程序在动态分配缓冲区放入超长的数据，它就会溢出。

缓冲区溢出是非常普遍和危险的漏洞，广泛存在于各种操作系统、应用软件中。产生缓冲区溢出的根本原因是，将一个超过缓冲区长度的字符串复制到缓冲区，就会溢出。这会造成两种后果：一是过长的字符串覆盖相邻的存储单元，引起程序运行失败，严重的可引起死机、系统重新启动等；二是利用这种漏洞可以执行任意指令，甚至能取得系统特权，使用一类精心编写的程序，能很轻易地取得系统的超级用户权限。

缓冲区溢出攻击是一种系统攻击手段，通过向程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，破坏程序的堆栈，使程序转而执行其他指令，达到攻击的目的。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。

（五）拒绝服务攻击（Dos）

拒绝服务攻击从因特网诞生以来一直存在，并不断发展、升级。YaHoo、亚马逊等网站均遭受过拒绝服务攻击而停止服务，国内多家大型网站也受到过攻击甚至影响了Web服务的提供。

拒绝服务即Denial of Service，简称DoS，由于它的不易觉察性和简易性，一直是网络安全的重大隐患。它是一种技术含量低，攻击效果明显的攻击方法，受到攻击时，服务器在长时间内不能提供服务，使合法用户不能得到服务，特别是分布式拒绝服务DDoS，它的攻击不仅明显，且难以找到真正的攻击源，故难以找到行之有效的解决方法。

拒绝服务攻击是一种广泛的系统漏洞，无数网络用户成为其受害者。它通常利用TCP/IP中的某种漏洞，或系统存在的某些漏洞对目标系统发起大规模攻击，使攻击目标失去工作能力，使系统不可访问，因而合法用户不能及时得到应得的服务或系统资源，如CPU处理时间与网络带宽等。它最本质的特征是延长正常的应用服务的等待时间。

根据TCP/IP协议的原理，当客户端要和服务器进行通信时，会经过请求/确认的方式进行联系。如用户登录服务器时，首先要求服务器确认，服务器给予响应并确认后，客户端才能正式和服务器交流信息。在拒绝服务攻击情况下，黑客凭借虚假地址向服务器提交连接请求，导致服务器将信息回复到这个虚假地址，但服务器回传时却无法找到该地址。根据TCP/IP连接原理，此时服务器会自动等待，达到超时设置时才断开这个连接。如攻击者传送多个这样的请求或利用多个站点同时传送这样的请求，则服务器就会等待更长时间——这个过程周而复始，最终会导致服务器资源用尽，网络带宽用完，正常服务请求不能被服务器处理与回复而形成服务器的拒绝服务。拒绝服务并非服务器不接受服务，而是服务器太忙，不能及时响应请求，严重时会造成服务器死机，甚至导致整个网络瘫痪。

拒绝服务攻击的目的不在于闯入一个站点或更改数据，而在于使站点无法服务于合法的请求。入侵者并非单纯为制造拒绝服务而入侵，而是为完成其他入侵所做的前提。例如，在目标主机上放置木马等恶意程序，需要让目标主机重启；为完成IP欺骗，而使被冒充的主机瘫痪；在正式入侵之前，使目标主机的日志系统不能正常工作；还有出于政治或经济目的而发动的拒绝服务。

SYN Flood。SYN Flood一种较为常见的攻击，攻击者会向攻击目标发出大量TCP SYN请求，使目标机器的TCP队列中充满未建立的连接请求，导致服务不能正常运作，是非常危险的攻击方式。当出现大量TCP SYN请求时，防火墙系统应检测这些请求是否来自同一个IP。如是，系统会忽略掉这些TCP SYN请求，并将该IP记录在案，发出系统警告，以此保证内部网络不会受到SYN Flood攻击，同时把攻击资料记录下来。

Ping Of Death。许多Unix-Like系统在接收到一个长度大于65 535的IP包碎片时，会错误处理，导致系统死机或重启。防火墙系统应自动检查IP包，当发现它是Ping Of Death Attack的数据时应拒绝其进入，记录来源IP并发出系统警告。

五、网络安全的策略

网络安全策略是在一个特定环境里，为保证提供一定级别的安全保护必须遵守的规则，包括对企业各种网络服务的安全层次和用户的权限进行分类，确定管理员的安全职责，如何实施安全故障处理、网络拓扑结构、入侵及攻击的防御和检测、备份和灾难恢复等内容。主要涉及物理安全策略、访问控制策略、信息加密策略和网络安全管理策略。

（一）物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限，防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

抑制和防止电磁泄漏（TEMPEST技术）是物理安全策略的一个主要问题。目前主要的防护措施有两类：一类是对传导发射的防护，主要是对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

（二）访问控制策略

访问控制是网络安全防范和保护的主要策略，主要任务是保证网络资源不被非法使用和非常访问。访问控制策略也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。

（三）信息加密策略

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端点加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

信息加密过程通过形形色色的加密算法具体实现，它以很小代价提供大的安全保护。多数情况下，信息加密是保证信息机密性的惟一方法。到目前为止，已经公开发表的各种加密算法多达数百种。如按收发双方密钥是否相同分类，可将这些加密算法分为常规密码算法和公钥密码算法。

常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥相同或等价。比较著名的常规密码算法有：DES，Triple DES，GDES，New DES，IDEA，RC4，RC5以及以代换密码和转轮密码为代表的古典密码等。众多常规密码中影响最大的是DES密码。

常规密码的优点是有很强的保密强度，且能经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。

在公钥密码中，收信方和发信方使用的密钥互不相同，且几乎不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有：RSA，Diffe-Hellman，Rabin，Ong-Fiat-Shamir，零知识证明的算法，椭圆曲线，EIGamal算法等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。

公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便地实现数字签名和验证。但其算法复杂，加密数据的速率较低。随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。

实际业务中，人们通常将常规密码和公钥密码结合在一起使用，例如，利用DES或IDEA加密信息，而采用RSA来传递会话密钥。如按每次加密所处理的比特分类，可将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。

密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，也是对付恶意软件的有效方法之一。

（四）网络安全管理策略

在网络安全中，除采用上述技术措施外，加强网络安全管理，制定有关规章制度，对确保网络安全、可靠地运行，也将十分有效。安全管理策略是指在一个特定的环境里，为提供一定级别的安全保护所必须遵守的规则。该安全管理策略模型包括三个重要组成部分：

（1） 威严的法律。安全的基石是社会法律、法规与手段，这是建立一套安全管理的标准和方法，即通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。

（2） 先进的技术。这是信息安全的根本保障，用户对自身面临的威胁进行风险评估，根据安全服务的种类，选择相应的安全机制，然后集成先进的安全技术。

（3） 严格的管理。包括制定有关网络操作使用规程和人员出入机房的管理制度；制定网络系统的维护制度和应急措施等。各网络使用机构、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体的信息安全意识。

网络的安全管理策略包括：确定安全管理等级和安全管理范围；制定有关网络操作使用规程和人员出入机房的管理制度；制定网络系统的维护制度和应急措施等。

任务评价

一、评价方法

本任务采用学生自我评价、小组评价和教师评价的方法，对学习目标进行检验。学生本人首先对自己的调研情况进行自查，找出成绩分析不足；小组根据每位同学所做的工作和对调查报告结论的贡献给出综合评价；最后教师针对每个小组的调研报告结合每一位同学给出评价结论，指出改进和努力的方向。

二、评价指标

项目总结

网络的管理与安全涉及网络管理功能、SNMP、网络安全技术等几方面的问题，本项目主要从电子商务网络系统平台网络管理与优化、网络安全技术与网络安全策略三个方面出发，讲授了网络管理的功能、方法，各种网络安全技术的应用。

通过本项目的学习与训练，学生能够从技术角度出发，熟练使用网络管理软件对网络运行进行监控和排错，掌握各种网络安全技术，确保电子商务网络系统的安全。

思考与训练

一、填空题

1.  SNMP模型的关键元素有：_________、_________、_________、_________等四个。

2. 常见的网管系统软件有：_________、_________、_________、_________。

3. 网络安全涉及以下几个方面：首先是_________，其次是_________，再次就是_________。

4. 非授权访问主要有：_________、_________和_________。

5. 网络的安全属性主要表现在以下几个方面：保密性、_________、可用性、_________、可控性。

6. 数字加密技术主要有两种：__________________和__________________。

7. 破解属于网络安全威胁中的__________________威胁。

8. 防火墙处于5层网络安全体系中的_________，属于_________安全技术范畴。

9. 入侵检测系统通常由两部分组成：_________和_________。

10. 身份认证一般涉及两方面的内容，一个是_________，一个是_________验证。

11.  Authenticode技术中其证书格式一般遵从_________格式，公钥算法为_________。

12. 拒绝服务攻击是一种广泛的_________，它最本质的特征是__________________。

二、简答题

1. 什么是网络管理？

2. 网络管理的基本功能有哪些？

3. 简述口令破解的三种方法。

4. 网络安全的威胁主要来自哪几个方面？

5.  IPS、IDS和防火墙有什么区别？

6. 简述包过滤防火墙工作机制。

7. 网络访问控制策略有哪些？

8. 请列出你熟悉的几种常用的网络安全防护措施。