網(wǎng)絡(luò)安全技術(shù)技術(shù)白皮書

技術(shù)白皮書目錄TOC\o"1-3"\h\z第一部分公司簡介 4第二部分網(wǎng)絡(luò)安全的背景 4第一章網(wǎng)絡(luò)安全的定義 4第二章產(chǎn)生網(wǎng)絡(luò)安全問題的幾個(gè)方面 52．1信息安全特性概述 52.2信息網(wǎng)絡(luò)安全技術(shù)的發(fā)展滯后于信息網(wǎng)絡(luò)技術(shù)。 52．3TCP/IP協(xié)議未考慮安全性 62．4操作系統(tǒng)本身的安全性 62．5未能對(duì)來自Internet的郵件夾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進(jìn)行有效控制 62．6忽略了來自內(nèi)部網(wǎng)用戶的安全威脅 62．7缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性 62．8使用者缺乏安全意識(shí)，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失 7第三章網(wǎng)絡(luò)與信息安全防范體系模型以及對(duì)安全的應(yīng)對(duì)措施 73．1信息與網(wǎng)絡(luò)系統(tǒng)的安全管理模型 73.2網(wǎng)絡(luò)與信息安全防范體系設(shè)計(jì) 83.2.1網(wǎng)絡(luò)與信息安全防范體系模型 8安全管理 8預(yù)警 8攻擊防范 8攻擊檢測 9應(yīng)急響應(yīng) 9恢復(fù) 93.2.2網(wǎng)絡(luò)與信息安全防范體系模型流程 93.2.3網(wǎng)絡(luò)與信息安全防范體系模型各子部分介紹 11安全服務(wù)器 11預(yù)警 11網(wǎng)絡(luò)防火墻 11系統(tǒng)漏洞檢測與安全評(píng)估軟件 12病毒防范 12VPN 132.3.7PKI 13入侵檢測 13日志取證系統(tǒng) 140應(yīng)急響應(yīng)與事故恢復(fù) 143.2.4各子部分之間的關(guān)系及接口 14第三部分相關(guān)網(wǎng)絡(luò)安全產(chǎn)品和功能 16第一章防火墻 161.1防火墻的概念及作用 161.2防火墻的任務(wù) 171.3防火墻術(shù)語 181.4用戶在選購防火墻的會(huì)注意的問題： 201.5防火墻的一些參數(shù)指標(biāo) 221.6防火墻功能指標(biāo)詳解 221.7防火墻的局限性 261.8防火墻技術(shù)發(fā)展方向 26第二章防病毒軟件 302．1病毒是什么 302．2病毒的特征 312．3病毒術(shù)語 322．4病毒的發(fā)展的趨勢(shì) 342．5病毒入侵渠道 352．6防病毒軟件的重要指標(biāo) 362．7防病毒軟件的選購 37第三章入侵檢測系統(tǒng)（IDS） 383.1入侵檢測含義 383.2入侵檢測的處理步驟 393.3入侵檢測功能 423.4入侵檢測系統(tǒng)分類 433.5入侵檢測系統(tǒng)技術(shù)發(fā)展經(jīng)歷了四個(gè)階段 433.6入侵檢測系統(tǒng)的缺點(diǎn)和發(fā)展方向 44第四章VPN（虛擬專用網(wǎng)）系統(tǒng) 444.1VPN基本概念 444.2VPN產(chǎn)生的背景 454.3VPN的優(yōu)點(diǎn)和缺點(diǎn) 45第五章安全審計(jì)系統(tǒng) 455.1、安全審計(jì)的概念 455.2：安全審計(jì)的重要性 465.3、審計(jì)系統(tǒng)的功能特點(diǎn) 46第六章漏洞掃描系統(tǒng) 47第七章身份認(rèn)證系統(tǒng)(PKI系統(tǒng)) 48第一部分公司簡介第二部分網(wǎng)絡(luò)安全的背景第一章網(wǎng)絡(luò)安全的定義國際標(biāo)準(zhǔn)化組織（ISO）將計(jì)算機(jī)安全定義為“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。”我國自己提出的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù),不因偶然的或惡意的原因而遭到破壞、更改、顯露,系統(tǒng)能連續(xù)正常運(yùn)行?！币虼耍^網(wǎng)絡(luò)安全就是指基于網(wǎng)絡(luò)的互聯(lián)互通和運(yùn)作而涉及的物理線路和連接的安全，網(wǎng)絡(luò)系統(tǒng)的安全，操作系統(tǒng)的安全，應(yīng)用服務(wù)的安全和人員管理的安全等幾個(gè)方面。但總的說來，計(jì)算機(jī)網(wǎng)絡(luò)的安全性,是由數(shù)據(jù)的安全性、通信的安全性和管理人員的安全意識(shí)三部分組成。隨著信息技術(shù)的發(fā)展與應(yīng)用，信息安全的內(nèi)涵在不斷的延伸，從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而又發(fā)展為“攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評(píng)（評(píng)估）”等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。傳統(tǒng)的信息安全技術(shù)都集中在系統(tǒng)本身的加固和防護(hù)上，如采用安全級(jí)別高的操作系統(tǒng)與數(shù)據(jù)庫，在網(wǎng)絡(luò)的出口處配置防火墻，在信息傳輸和存儲(chǔ)方面采用加密技術(shù)，使用集中的身份認(rèn)證產(chǎn)品等。傳統(tǒng)的信息系統(tǒng)安全模型是針對(duì)單機(jī)系統(tǒng)環(huán)境而制定的，對(duì)網(wǎng)絡(luò)環(huán)境安全并不能很好描述，并且對(duì)動(dòng)態(tài)的安全威脅、系統(tǒng)的脆弱性沒有應(yīng)對(duì)措施，傳統(tǒng)的安全模型是靜態(tài)安全模型。但隨著網(wǎng)絡(luò)的深入發(fā)展，它已無法完全反應(yīng)動(dòng)態(tài)變化的互聯(lián)網(wǎng)安全問題。第二章產(chǎn)生網(wǎng)絡(luò)安全問題的幾個(gè)方面2．1信息安全特性概述2.2信息網(wǎng)絡(luò)安全技術(shù)的發(fā)展滯后于信息網(wǎng)絡(luò)技術(shù)。網(wǎng)絡(luò)技術(shù)的發(fā)展可以說是日新月異，新技術(shù)、新產(chǎn)品層出不窮，世界各國及一些大的跨國公司都在這方面投入了不少心力，可對(duì)產(chǎn)品本身的安全性來說，進(jìn)展不大，有的還在延續(xù)第一代產(chǎn)品的安全技術(shù)，以Cisco公司為例，其低端路由產(chǎn)品從cisco2500系列到7500系列，其密碼加密算法基本一致。而其他功能，特別是數(shù)據(jù)吞吐能力及數(shù)據(jù)交換速率提高之大，令人瞠目。在我國，許多大的應(yīng)用系統(tǒng)也是建立在國外大型操作系統(tǒng)的基礎(chǔ)之上。如果我們的網(wǎng)絡(luò)安全產(chǎn)品也從國外引進(jìn),會(huì)使我們的計(jì)算機(jī)信息系統(tǒng)完全暴露在外。后果堪憂。其次，網(wǎng)絡(luò)應(yīng)用的設(shè)計(jì)往往在應(yīng)用方面考慮的比較多，這就是應(yīng)用永遠(yuǎn)高于安全，因?yàn)橐粋€(gè)系統(tǒng)的設(shè)計(jì)最終的目的是為了應(yīng)用、其次才是安全?；ヂ?lián)網(wǎng)的發(fā)展也一樣，互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)的發(fā)展速度和規(guī)模遠(yuǎn)遠(yuǎn)大于安全系統(tǒng)的發(fā)展速度和規(guī)模。2．3TCP/IP協(xié)議未考慮安全性在TCP/IP協(xié)議設(shè)計(jì)之處，主要考慮的是互聯(lián)和應(yīng)用方便，所以TCP/IP協(xié)議是一個(gè)開放的互聯(lián)網(wǎng)協(xié)議，它從一開始就是一種松散的、無連接的、不可靠的方式，這一特點(diǎn)造成在網(wǎng)上傳送的信息很容易被攔截、偷窺和篡改。TCP/IP協(xié)議的兩個(gè)創(chuàng)始人VintonGCerf和RobertE.Kahn沒有為這個(gè)協(xié)議的發(fā)明去申請(qǐng)專利，而是公開了源代碼，這為互聯(lián)網(wǎng)的飛速發(fā)展奠定了基礎(chǔ)，也為網(wǎng)絡(luò)安全留下了很多的隱患。我們的網(wǎng)絡(luò)哨兵其實(shí)也是這個(gè)安全漏洞的產(chǎn)物，我們的抓包程序能獲取到HUB或交換機(jī)中的數(shù)據(jù)包、然后進(jìn)行分析處理，這本身就是TCP/IP協(xié)議的漏洞之一。TCP/IP協(xié)議中的數(shù)據(jù)是以明文形式發(fā)送的，這為安全留下了隱患。2．4操作系統(tǒng)本身的安全性目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX,Windows、甚至包括一些安全系統(tǒng)的操作系統(tǒng)也存在安全漏洞。黑客往往就是利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)。2．5未能對(duì)來自Internet的郵件夾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進(jìn)行有效控制2．6忽略了來自內(nèi)部網(wǎng)用戶的安全威脅來自內(nèi)部用戶的安全威脅遠(yuǎn)大于外部網(wǎng)用戶的安全威脅，特別是一些安裝了防火墻的網(wǎng)絡(luò)系統(tǒng)，對(duì)內(nèi)部網(wǎng)用戶來說一點(diǎn)作用也不起。2．7缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性完整準(zhǔn)確的安全評(píng)估是黑客入侵防范體系的基礎(chǔ)。它對(duì)現(xiàn)有或?qū)⒁獦?gòu)建的整個(gè)網(wǎng)絡(luò)的安全防護(hù)性能作出科學(xué)、準(zhǔn)確的分析評(píng)估，并保障將要實(shí)施的安全策略技術(shù)上的可實(shí)現(xiàn)性、經(jīng)濟(jì)上的可行性和組織上的可執(zhí)行性。網(wǎng)絡(luò)安全評(píng)估分析就是對(duì)網(wǎng)絡(luò)進(jìn)行檢查，查找其中是否有可被黑客利用的漏洞，對(duì)系統(tǒng)安全狀況進(jìn)行評(píng)估、分析，并對(duì)發(fā)現(xiàn)的問題提出建議從而提高網(wǎng)絡(luò)系統(tǒng)安全性能的過程。評(píng)估分析技術(shù)是一種非常行之有效的安全技術(shù)。2．8使用者缺乏安全意識(shí)，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失在一個(gè)安全設(shè)計(jì)充分的網(wǎng)絡(luò)中，人為因素造成的安全漏洞無疑是整個(gè)網(wǎng)絡(luò)安全性的最大隱患。網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶都擁有相應(yīng)的權(quán)限,利用這些權(quán)限破壞網(wǎng)絡(luò)安全的隱患也是存在的。如操作口令的泄漏,磁盤上的機(jī)密文件被人利用，臨時(shí)文件未及時(shí)刪除而被竊取，內(nèi)部人員有意無意的泄漏給黑客帶來可乘之機(jī)等，都可能使網(wǎng)絡(luò)安全機(jī)制形同虛設(shè)。第三章網(wǎng)絡(luò)與信息安全防范體系模型以及對(duì)安全的應(yīng)對(duì)措施如何才能使我們的網(wǎng)絡(luò)百分之百的安全呢？對(duì)這個(gè)問題的最簡單的回答是：不可能。因?yàn)槠襁€沒有一種技術(shù)可完全消除網(wǎng)絡(luò)安全漏洞。網(wǎng)絡(luò)的安全實(shí)際上是理想中的安全策略和實(shí)際的執(zhí)行之間的一個(gè)平衡。從廣泛的網(wǎng)絡(luò)安全意義范圍來看，網(wǎng)絡(luò)安全不僅是技術(shù)問題，更是一個(gè)管理問題，它包含管理機(jī)構(gòu)、法律、技術(shù)、經(jīng)濟(jì)各方面。安全解決方案不是簡單產(chǎn)品的堆砌，而是從風(fēng)險(xiǎn)分析、需求分析、安全策略到安全意識(shí)教育與技術(shù)培訓(xùn)的系統(tǒng)工程。3．1信息與網(wǎng)絡(luò)系統(tǒng)的安全管理模型3.2網(wǎng)絡(luò)與信息安全防范體系設(shè)計(jì)3.2.1網(wǎng)絡(luò)與信息安全防范體系是一個(gè)動(dòng)態(tài)的、基于時(shí)間變化的概念，為確保網(wǎng)絡(luò)與信息系統(tǒng)的抗攻擊性能，保證信息的完整性、可用性、可控性和不可否認(rèn)性，本安全體系提供這樣一種思路：結(jié)合不同的安全保護(hù)因素，例如防病毒軟件、防火墻和安全漏洞檢測工具，來創(chuàng)建一個(gè)比單一防護(hù)有效得的多的綜合的保護(hù)屏障。多層、安全互動(dòng)的安全防護(hù)成倍地增加了黑客攻擊的成本和難度，從而大大減少了他們對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊。圖1：網(wǎng)絡(luò)與信息安全防范模型網(wǎng)絡(luò)與信息安全防范模型如圖1所示，它是一個(gè)可擴(kuò)展的結(jié)構(gòu)。一個(gè)成功的安全防范體系開始于一個(gè)全面的安全政策，它是所有安全技術(shù)和措施的基礎(chǔ)，也是整個(gè)體系的核心。預(yù)警是實(shí)施安全防范體系的依據(jù)，對(duì)整個(gè)網(wǎng)絡(luò)安全防護(hù)性能給出科學(xué)、準(zhǔn)確的分析評(píng)估，有針對(duì)性的給出防范體系的建設(shè)方案才是可行的。攻擊防范攻擊防范是用于提高安全性能，抵抗入侵的主動(dòng)防御手段，通過建立一種機(jī)制來檢查、再檢查系統(tǒng)的安全設(shè)置，評(píng)估整個(gè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)和弱點(diǎn)，確保每層是相互配合而不是相互抵觸地工作，檢測與政策相違背的情況，確保與整體安全政策保持一致。使用掃描工具及時(shí)發(fā)現(xiàn)問題并進(jìn)行修補(bǔ)，使用防火墻、VPN、PKI等技術(shù)和措施來提高網(wǎng)絡(luò)抵抗黑客入侵的能力。攻擊檢測攻擊檢測是保證及時(shí)發(fā)現(xiàn)攻擊行為，為及時(shí)響應(yīng)提供可能的關(guān)鍵環(huán)節(jié)，使用基于網(wǎng)絡(luò)和基于主機(jī)的IDS，并對(duì)檢測系統(tǒng)實(shí)施隱蔽技術(shù)，以防止黑客發(fā)現(xiàn)防護(hù)手段進(jìn)而破壞監(jiān)測系統(tǒng)，以及時(shí)發(fā)現(xiàn)攻擊行為，為響應(yīng)贏得時(shí)間。采用與防火墻互聯(lián)互動(dòng)、互動(dòng)互防的技術(shù)手段，形成一個(gè)整體策略，而不是單一的部分。設(shè)立安全監(jiān)控中心，掌握整個(gè)網(wǎng)絡(luò)的安全運(yùn)行狀態(tài)，是防止入侵的關(guān)鍵環(huán)節(jié)。應(yīng)急響應(yīng)在發(fā)現(xiàn)入侵行為后，為及時(shí)切斷入侵、抵抗攻擊者的進(jìn)一步破壞行動(dòng)，作出及時(shí)準(zhǔn)確的響應(yīng)是必須的。使用實(shí)時(shí)響應(yīng)阻斷系統(tǒng)、攻擊源跟蹤系統(tǒng)、取證系統(tǒng)和必要的反擊系統(tǒng)來確保響應(yīng)的準(zhǔn)確、有效和及時(shí)，預(yù)防同類事件的再發(fā)生并為捕獲攻擊者提供可能，為抵抗黑客入侵提供有效的保障?；謴?fù)W恢復(fù)是防范體系的又一個(gè)環(huán)節(jié)，無論防范多嚴(yán)密，都很難確保萬無一失，使用完善的備份機(jī)制確保內(nèi)容的可恢復(fù)，借助自動(dòng)恢復(fù)系統(tǒng)、快速恢復(fù)系統(tǒng)來控制和修復(fù)破壞，將損失降至最低。6個(gè)環(huán)節(jié)互為補(bǔ)充，構(gòu)成一個(gè)有機(jī)整體，形成較完善的網(wǎng)絡(luò)與信息安全體系。3.2.2網(wǎng)絡(luò)與信息安全防范體系模型流程網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程。圖2：網(wǎng)絡(luò)與信息安全防范體系工作流程網(wǎng)絡(luò)與信息安全防范體系的工作流程為：攻擊前的防范部分負(fù)責(zé)對(duì)日常的防御工作及對(duì)實(shí)時(shí)的消息進(jìn)行防御：防火墻作為第一道關(guān)口，負(fù)責(zé)控制進(jìn)入網(wǎng)絡(luò)的訪問控制，即進(jìn)行了日常的防御工作，也對(duì)事實(shí)的消息進(jìn)行了防御；系統(tǒng)漏洞檢測系統(tǒng)、安全評(píng)估軟件一個(gè)從內(nèi)一個(gè)從外，非常詳細(xì)地掃描安全漏洞并將系統(tǒng)漏洞一一列表，給出最佳解決方法。郵件過濾系統(tǒng)、PKI、VPN等都是進(jìn)行日常的防御工作。攻擊過程中的防范部分負(fù)責(zé)對(duì)實(shí)時(shí)的攻擊做出反應(yīng)。預(yù)警系統(tǒng)、入侵檢測系統(tǒng)檢測通過防火墻的數(shù)據(jù)流進(jìn)行進(jìn)一步檢查，綜合分析各種信息，動(dòng)態(tài)分析出那些時(shí)黑客對(duì)系統(tǒng)做出的進(jìn)攻，并立即做出反應(yīng)。通過分析系統(tǒng)審計(jì)日志中大量的跟蹤用戶活動(dòng)的細(xì)節(jié)記錄來發(fā)現(xiàn)入侵，分別在網(wǎng)絡(luò)級(jí)和系統(tǒng)級(jí)共同探測黑客的攻擊并及時(shí)做出反擊，防止黑客進(jìn)行更深一步的破壞。攻擊過程后的應(yīng)對(duì)部分主要是造成一定損害時(shí)，則由應(yīng)急響應(yīng)與災(zāi)難恢復(fù)子系統(tǒng)進(jìn)行處理。3.2.3網(wǎng)絡(luò)與信息安全防范體系模型各子部分介紹網(wǎng)絡(luò)與信息安全防御體系是一個(gè)動(dòng)態(tài)的、基于時(shí)間變化的概念，是一種互聯(lián)互動(dòng)、多層次的黑客入侵防御體系：以預(yù)警、攻擊防范、攻擊檢測、應(yīng)急響應(yīng)、恢復(fù)和安全管理為子部分構(gòu)成一個(gè)整體。安全服務(wù)器作為一種重要的基礎(chǔ)網(wǎng)絡(luò)設(shè)備，安全服務(wù)器產(chǎn)品廣泛應(yīng)用于電子商務(wù)和電子信息服務(wù)等關(guān)鍵領(lǐng)域。目前國內(nèi)服務(wù)器產(chǎn)品大都為國外設(shè)備，在信息安全構(gòu)建過程中必然存在著潛在的危險(xiǎn)，因而發(fā)展民族服務(wù)器產(chǎn)業(yè)，構(gòu)建民族信息長城是國家亟待解決的重大問題。所謂的安全服務(wù)器，即是指運(yùn)行安全程序的計(jì)算機(jī)。眾所周知，Internet是伴隨著TCP/IP設(shè)計(jì)的網(wǎng)絡(luò)，不管是訪問控制層還是數(shù)據(jù)鏈路層，安全問題基本沒有被考慮。TCP/IP是以明文方式傳輸數(shù)據(jù)的，這在開放的Internet環(huán)境里很容易被竊聽。安全服務(wù)器即是：通過對(duì)傳輸中的數(shù)據(jù)流進(jìn)行加密，保證數(shù)據(jù)即使被竊聽也不能被解密；通過電子證書和密鑰算法進(jìn)行身份確認(rèn)，防止了身份欺詐；通過對(duì)數(shù)據(jù)流的校驗(yàn)，保證數(shù)據(jù)在傳輸過程中不被篡改，使得非法進(jìn)入網(wǎng)上秘密程序無機(jī)可乘。其主要涉及的技術(shù)有：容量大，穩(wěn)定性高的磁盤陣列；大內(nèi)存，以提高系統(tǒng)的處理與運(yùn)算能力；系統(tǒng)的容錯(cuò)能力；故障的在線修復(fù)技術(shù)；服務(wù)器集群技術(shù)；對(duì)稱多處理技術(shù)；安全SSL技術(shù)；安全服務(wù)器網(wǎng)絡(luò)技術(shù)（SSN）等。預(yù)警預(yù)警子系統(tǒng)的目的就是采用多檢測點(diǎn)數(shù)據(jù)收集和智能化的數(shù)據(jù)分析方法檢測是否存在某種惡意的攻擊行為，并評(píng)測攻擊的威脅程度、攻擊的本質(zhì)、范圍和起源，同時(shí)預(yù)測敵方可能的行動(dòng)。預(yù)警過程是基于收集和分析從開放信息資源收集而獲得，提取重要的信息來指導(dǎo)計(jì)劃、訓(xùn)練和提前做準(zhǔn)備。網(wǎng)絡(luò)防火墻防火墻是保護(hù)網(wǎng)絡(luò)安全最主要的手段之一，它是設(shè)置在被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障，以防止不可預(yù)測的、潛在破壞的非法入侵。它通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部地結(jié)構(gòu)、信息和運(yùn)行情況，以此來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)地安全保護(hù)。防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)相應(yīng)的安全策略控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，可有效地監(jiān)控內(nèi)部網(wǎng)和外部網(wǎng)之間地活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)地安全。研制與開發(fā)防火墻子系統(tǒng)地關(guān)鍵技術(shù)主要是實(shí)現(xiàn)防火墻地安全、高性能與可擴(kuò)展。防火墻一般具有以下幾種功能：允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)?？梢院芊奖愕乇O(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警?？梢宰鳛椴渴餘AT（NetworkAddressTranslation，網(wǎng)絡(luò)地址變換）的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來，用來緩解地址空間短缺的問題。是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn)。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費(fèi)用情況，查出潛在的帶寬瓶頸位置，并能夠依據(jù)本機(jī)構(gòu)的核算模式提供部門級(jí)的計(jì)費(fèi)?？梢赃B接到一個(gè)單獨(dú)的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署WWW服務(wù)器和FTP服務(wù)器，將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。從技術(shù)角度來講，就是所謂的?；饏^(qū)（DMZ）。系統(tǒng)漏洞檢測與安全評(píng)估軟件系統(tǒng)漏洞檢測可以探測網(wǎng)絡(luò)上每臺(tái)主機(jī)乃至路由器的各種漏洞；安全評(píng)估軟件從系統(tǒng)內(nèi)部掃描安全漏洞和隱患。安全評(píng)估軟件還主要涉及到網(wǎng)絡(luò)安全檢測，其主要是系統(tǒng)提供的網(wǎng)絡(luò)應(yīng)用和服務(wù)及相關(guān)的協(xié)議分析和檢測。系統(tǒng)漏洞檢測與安全評(píng)估軟件完成的功能主要有：對(duì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和環(huán)境的變化必須進(jìn)行定期的分析，并且及時(shí)調(diào)整安全策略；定期分析有關(guān)網(wǎng)絡(luò)設(shè)備的安全性，檢查配置文件和日志文件；定期分析操作系統(tǒng)和應(yīng)用軟件，一旦發(fā)現(xiàn)安全漏洞，應(yīng)該及時(shí)修補(bǔ)；檢測的方法主要采用安全掃描工具，測試網(wǎng)絡(luò)系統(tǒng)是否具有安全漏洞和是否可以抗擊有關(guān)攻擊，從而判定系統(tǒng)的安全風(fēng)險(xiǎn)。病毒防范病毒防范子系統(tǒng)主要包括計(jì)算機(jī)病毒預(yù)警技術(shù)、已知與未知病毒識(shí)別技術(shù)、病毒動(dòng)態(tài)濾殺技術(shù)等。能同時(shí)從網(wǎng)絡(luò)體系的安全性、網(wǎng)絡(luò)協(xié)議的安全性、操作系統(tǒng)的安全性等多個(gè)方面研究病毒免疫機(jī)理。加強(qiáng)對(duì)計(jì)算機(jī)病毒的識(shí)別、預(yù)警以及防治能力，形成基于網(wǎng)絡(luò)的病毒防治體系。網(wǎng)絡(luò)病毒發(fā)現(xiàn)及惡意代碼過濾技術(shù)主要是研究已知與未知病毒識(shí)別技術(shù)、網(wǎng)上惡意代碼發(fā)現(xiàn)與過濾技術(shù)。主要的功能為開發(fā)網(wǎng)絡(luò)病毒疫情實(shí)時(shí)監(jiān)控系統(tǒng)、主動(dòng)網(wǎng)絡(luò)病毒探查工具。能對(duì)疫情情況進(jìn)行統(tǒng)計(jì)分析，能主動(dòng)對(duì)INTERNET中的網(wǎng)站進(jìn)行病毒和病毒源代碼檢測；可利用靜態(tài)的特征代碼技術(shù)和動(dòng)態(tài)行為特征綜合判定未知病毒。VPNVPN是集合了數(shù)字加密驗(yàn)證和授權(quán)來保護(hù)經(jīng)過INTERNET的信息的技術(shù)。它可以在遠(yuǎn)程用戶和本信息系統(tǒng)網(wǎng)絡(luò)之間建立一個(gè)安全管道。主要的技術(shù)包括隧道技術(shù)、隧道交換技術(shù)與公鑰基礎(chǔ)設(shè)施（PKI）的緊密集成技術(shù)以及質(zhì)量保證技術(shù)等。隧道技術(shù)主要研究合適的封裝協(xié)議、加解密算法、密鑰交換協(xié)議以及認(rèn)證協(xié)議等。隧道交換技術(shù)研究將隧道如何延伸到防火墻內(nèi)，并可以在任意位置終止的技術(shù)。2.3.7PKI公鑰技術(shù)設(shè)施集成技術(shù)：提出與國際接軌的PKI和密鑰KMI技術(shù)標(biāo)準(zhǔn)，提供基于PKI和KMI技術(shù)的安全服務(wù)平臺(tái)和公共安全接口，開發(fā)PKI技術(shù)產(chǎn)品和應(yīng)用系統(tǒng)。其中PKI的安全核心部件包括不同規(guī)模的CA系統(tǒng)、RA系統(tǒng)和KM系統(tǒng)。入侵檢測入侵檢測子系統(tǒng)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測子系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。具有以下的功能：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。日志取證系統(tǒng)通過對(duì)網(wǎng)絡(luò)上發(fā)生的各種訪問過程進(jìn)行記錄和產(chǎn)生日志，并對(duì)日志進(jìn)行統(tǒng)計(jì)分析，從而對(duì)資源使用情況進(jìn)行分析，對(duì)異?，F(xiàn)象進(jìn)行追蹤監(jiān)視。0應(yīng)急響應(yīng)與事故恢復(fù)本子系統(tǒng)主要的目標(biāo)是在開放的互聯(lián)網(wǎng)環(huán)境下構(gòu)造基于生存性的多樣化動(dòng)態(tài)漂移網(wǎng)絡(luò)，當(dāng)信息系統(tǒng)遭受攻擊時(shí)，快速反應(yīng)和對(duì)遭到的系統(tǒng)、文件和數(shù)據(jù)進(jìn)行快速恢復(fù)。為建立信息安全應(yīng)急反應(yīng)服務(wù)體系提供方法。并且能提供自我診斷與自我恢復(fù)相結(jié)合的功能。主要涉及的技術(shù)有：故障分析診斷技術(shù)。將入侵檢測、病毒防治和安全管理等系統(tǒng)相配合，研究攻擊和破壞事件自動(dòng)報(bào)警和保護(hù)技術(shù)、攻擊事件信息記錄和破壞現(xiàn)場保護(hù)技術(shù)、黑客追蹤和病毒源分析技術(shù)。攻擊避免與故障隔離技術(shù)。研究信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的仿真、誘騙和隱蔽技術(shù)；研究具有抗攻擊和破壞能力的網(wǎng)絡(luò)與系統(tǒng)的體系結(jié)構(gòu)和技術(shù)，如隔離技術(shù)等。3.2.4各子部分之間的關(guān)系及接口各子部分的關(guān)系如圖：圖3：各子部分之間關(guān)系圖各子部分之間的接口規(guī)范如下：1.內(nèi)容安全使用CVP（ContentVectoringProtocol）內(nèi)容安全允許用戶掃描經(jīng)過網(wǎng)絡(luò)的所有數(shù)據(jù)包內(nèi)容。例如：病毒、惡意Java或AcitveX程序等。本體系可提供的CVPAPI定義了異步接口將數(shù)據(jù)包轉(zhuǎn)發(fā)到服務(wù)器應(yīng)用程序去執(zhí)行內(nèi)容驗(yàn)證。用戶可以根據(jù)多種標(biāo)準(zhǔn)來驗(yàn)證內(nèi)容的安全。2、Web資源管理使用UFP（URLFilteringProtocol）UFP定義了Client/Server異步接口來分類和控制基于特定URL地址的通信。防火墻上的UFP客戶端將URL傳送到UFP服務(wù)器上，UFP服務(wù)器使用動(dòng)態(tài)分類技術(shù)將URL進(jìn)行分類，防火墻則根據(jù)安全規(guī)則的定義對(duì)分類進(jìn)行處理。對(duì)客戶來說，通過中央的安全策略管理即可實(shí)現(xiàn)高效的Web資源管理。3、入侵檢測采用SAMP（SuspiciousActivityMonitorngProtocol）SAMPAPI定義了入侵檢測應(yīng)用同VPN和網(wǎng)絡(luò)防火墻通信的接口。入侵檢測引擎使用SAMP來識(shí)別網(wǎng)絡(luò)中的可疑行為，并通知防火墻處理。另外SAMP應(yīng)用可以發(fā)送日志、告警和狀態(tài)信息到安全管理子系統(tǒng)。4、事件集成可提供兩個(gè)API：LEA（LogExportAPI）和ELA（EventLoggingAPI）允許第三方來訪問日志數(shù)據(jù)。報(bào)表和事件分析采用LEAAPI，而安全與事件整合采用ELAAPI。5、管理和分析采用OMI（OPSECManagementInterface）OMI提供到安全管理子系統(tǒng)的中央策略數(shù)據(jù)庫的接口，允許第三方應(yīng)用安全地訪問存儲(chǔ)在管理服務(wù)器上的安全策略。OMI能夠訪問以下資源：●存儲(chǔ)在管理服務(wù)器上的安全策略●管理服務(wù)器上定義的網(wǎng)絡(luò)、服務(wù)、資源和服務(wù)器對(duì)象●用戶、摸板和用戶組●允許登錄到管理服務(wù)器的管理員列表6、認(rèn)證采用OPSECPKI集成本體系提供了一個(gè)開放式集成環(huán)境，第三方的PublicKeyInfrastructure（PKI）能緊密的與總體系集成在一起（VPNGateway、VPNSecureClient、防火墻C/S之間的通信等）。VPNGateway能同時(shí)多個(gè)不同的CA。開放的PKI使得管理員能夠選擇最大限度滿足要求的PKI解決方案。第三部分相關(guān)網(wǎng)絡(luò)安全產(chǎn)品和功能防火墻1.1防火墻的概念及作用防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。而這里所說的防火墻當(dāng)然不是指物理上的防火墻，而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。應(yīng)該說，在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險(xiǎn)區(qū)域(即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連接，同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量，從而完成看似不可能的任務(wù)；僅讓安全、核準(zhǔn)了的信息進(jìn)入，同時(shí)又抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)。隨著安全性問題上的失誤和缺陷越來越普遍，對(duì)網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段，也有可能來自配置上的低級(jí)錯(cuò)誤或不合適的口令選擇。因此，防火墻的作用是防止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)，迫使單位強(qiáng)化自己的網(wǎng)絡(luò)安全政策。一般的防火墻都可以達(dá)到以下目的：一是可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；二是防止入侵者接近你的防御設(shè)施；三是限定用戶訪問特殊站點(diǎn)；四是為監(jiān)視Internet安全提供方便。由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此更適合于相對(duì)獨(dú)立的網(wǎng)絡(luò)，例如Intranet等種類相對(duì)集中的網(wǎng)絡(luò)。防火墻正在成為控制對(duì)網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法。事實(shí)上，在Internet上的Web網(wǎng)站中，超過三分之一的Web網(wǎng)站都是由某種形式的防火墻加以保護(hù)，這是對(duì)黑客防范最嚴(yán)，安全性較強(qiáng)的一種方式，任何關(guān)鍵性的服務(wù)器，都建議放在防火墻之后。1.2防火墻的任務(wù)防火墻在實(shí)施安全的過程中是至關(guān)重要的。一個(gè)防火墻策略要符合四個(gè)目標(biāo)，而每個(gè)目標(biāo)通常都不是通過一個(gè)單獨(dú)的設(shè)備或軟件來實(shí)現(xiàn)的。大多數(shù)情況下防火墻的組件放在一起使用以滿足公司安全目的的需求。防火墻要能確保滿足以下四個(gè)目標(biāo)：實(shí)現(xiàn)一個(gè)公司的安全策略防火墻的主要意圖是強(qiáng)制執(zhí)行你的安全策略。在前面的課程提到過在適當(dāng)?shù)木W(wǎng)絡(luò)安全中安全策略的重要性。舉個(gè)例子，也許你的安全策略只需對(duì)MAIL服務(wù)器的SMTP流量作些限制，那么你要直接在防火墻強(qiáng)制這些策略。創(chuàng)建一個(gè)阻塞點(diǎn)防火墻在一個(gè)公司私有網(wǎng)絡(luò)和分網(wǎng)問建立一個(gè)檢查點(diǎn)。這種實(shí)現(xiàn)要求所有的流量都要通過這個(gè)檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立，防火墻設(shè)備就可以監(jiān)視，過濾和檢查所有進(jìn)來和出去的流量。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點(diǎn)為阻塞點(diǎn)。通過強(qiáng)制所有進(jìn)出流量都通過這些檢查點(diǎn)，網(wǎng)絡(luò)管理員可以集中在較少的方來實(shí)現(xiàn)安全目的。如果沒有這樣一個(gè)供監(jiān)視和控制信息的點(diǎn)，系統(tǒng)或安全管理員則要在大量的地方來進(jìn)行監(jiān)測。檢查點(diǎn)的另一個(gè)名字叫做網(wǎng)絡(luò)邊界。記錄Internet活動(dòng)防火墻還能夠強(qiáng)制日志記錄，并且提供警報(bào)功能。通過在防火墻上實(shí)現(xiàn)日志服務(wù)，安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志策略是實(shí)現(xiàn)適當(dāng)網(wǎng)絡(luò)安全的有效工具之一。防火墻對(duì)于管理員進(jìn)行日志存檔提供了更多的信息。限制網(wǎng)絡(luò)暴露防火墻在你的網(wǎng)絡(luò)周圍創(chuàng)建了一個(gè)保護(hù)的邊界。并且對(duì)于公網(wǎng)隱藏了你內(nèi)部系統(tǒng)的一些信息以增加保密性。當(dāng)遠(yuǎn)程節(jié)點(diǎn)偵測你的網(wǎng)絡(luò)時(shí)，他們僅僅能看到防火墻。遠(yuǎn)程設(shè)備將不會(huì)知道你內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。防火墻提高認(rèn)證功能和對(duì)網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露。通過對(duì)所能進(jìn)來的流量時(shí)行源檢查，以限制從外部發(fā)動(dòng)的攻擊。1.3防火墻術(shù)語在我們繼續(xù)討論防火墻技術(shù)前，我們需要對(duì)一些重要的術(shù)語有一些認(rèn)識(shí)：網(wǎng)關(guān)網(wǎng)關(guān)是在兩上設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)的范圍可以從互聯(lián)網(wǎng)應(yīng)用程序如公共網(wǎng)關(guān)接口（CGI）到在兩臺(tái)主機(jī)間處理流量的防火墻網(wǎng)關(guān)。這個(gè)術(shù)語是非常常見的，而且在本課會(huì)用于一個(gè)防火墻組件里，在兩個(gè)不同的網(wǎng)絡(luò)路由和處理數(shù)據(jù)。電路級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來決定該會(huì)話是否合法,電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高兩層。另外，電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能：網(wǎng)絡(luò)地址轉(zhuǎn)移(NAT)將所有公司內(nèi)部的IP地址映射到一個(gè)“安全”的IP地址，這個(gè)地址是由防火墻使用的。有兩種方法來實(shí)現(xiàn)這種類型的網(wǎng)關(guān)，一種是由一臺(tái)主機(jī)充當(dāng)篩選路由器而另一臺(tái)充當(dāng)應(yīng)用級(jí)防火墻。另一種是在第一個(gè)防火墻主機(jī)和第二個(gè)之間建立安全的連接。這種結(jié)構(gòu)的好處是當(dāng)一次攻擊發(fā)生時(shí)能提供容錯(cuò)功能。應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)可以工作在OSI七層模型的任一層上，能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問控制，并做精細(xì)的注冊(cè)。通常是在特殊的服務(wù)器上安裝軟件來實(shí)現(xiàn)的。包過濾包過濾是處理網(wǎng)絡(luò)上基于packet-by-packet流量的設(shè)備。包過濾設(shè)備允許或阻止包，典型的實(shí)施方法是通過標(biāo)準(zhǔn)的路由器。包過濾是幾種不同防火墻的類型之一，在本課后面我們將做詳細(xì)地討論。代理服務(wù)器代理服務(wù)器代表內(nèi)部客戶端與外部的服務(wù)器通信。代理服務(wù)器這個(gè)術(shù)語通常是指一個(gè)應(yīng)用級(jí)的網(wǎng)關(guān)，雖然電路級(jí)網(wǎng)關(guān)也可作為代理服務(wù)器的一種。網(wǎng)絡(luò)地址翻譯（NAT）網(wǎng)絡(luò)地址解釋是對(duì)Internet隱藏內(nèi)部地址，防止內(nèi)部地址公開。這一功能可以克服IP尋址方式的諸多限制，完善內(nèi)部尋址模式。把未注冊(cè)IP地址映射成合法地址，就可以對(duì)Internet進(jìn)行訪問。對(duì)于NAT的另一個(gè)名字是IP地址隱藏。RFC1918概述了地址并且IANA建議使用內(nèi)部地址機(jī)制，以下地址作為保留地址：-55-55-55如果你選擇上述例表中的網(wǎng)絡(luò)地址，不需要向任何互聯(lián)網(wǎng)授權(quán)機(jī)構(gòu)注冊(cè)即可使用。使用這些網(wǎng)絡(luò)地址的一個(gè)好處就是在互聯(lián)網(wǎng)上永遠(yuǎn)不會(huì)被路由。互聯(lián)網(wǎng)上所有的路由器發(fā)現(xiàn)源或目標(biāo)地址含有這些私有網(wǎng)絡(luò)ID時(shí)都會(huì)自動(dòng)地丟棄。堡壘主機(jī)堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，被暴露于因特網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)的安全的目的。從堡壘主機(jī)的定義我們可以看到，堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)。所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)。你可以使用單宿主堡壘主機(jī)。多數(shù)情況下，一個(gè)堡壘主機(jī)使用兩塊網(wǎng)卡，每個(gè)網(wǎng)卡連接不同的網(wǎng)絡(luò)。一塊網(wǎng)卡連接你公司的內(nèi)部網(wǎng)絡(luò)用來管理、控制和保護(hù)，而另一塊連接另一個(gè)網(wǎng)絡(luò)，通常是公網(wǎng)也就是Internet。堡壘主機(jī)經(jīng)常配置網(wǎng)關(guān)服務(wù)。網(wǎng)關(guān)服務(wù)是一個(gè)進(jìn)程來提供對(duì)從公網(wǎng)到私有網(wǎng)絡(luò)的特殊協(xié)議路由，反之亦然。在一個(gè)應(yīng)用級(jí)的網(wǎng)關(guān)里，你想使用的每一個(gè)應(yīng)用程協(xié)議都需要一個(gè)進(jìn)程。因此，你想通過一臺(tái)堡壘主機(jī)來路由Email，Web和FTP服務(wù)時(shí)，你必須為每一個(gè)服務(wù)都提供一個(gè)守護(hù)進(jìn)程。強(qiáng)化操作系統(tǒng)防火墻要求盡可能只配置必需的少量的服務(wù)。為了加強(qiáng)操作系統(tǒng)的穩(wěn)固性，防火墻安裝程序要禁止或刪除所有不需要的服務(wù)。多數(shù)的防火墻產(chǎn)品，包括AxentRaptor()，CheckPoint()和NetworkAssociatesGauntlet()都可以在目前較流行的操作系統(tǒng)上運(yùn)行。如AxentRaptor防火墻就可以安裝在WindowsNTServer4.0，Solaris及HP-UX操作系統(tǒng)上。理論上來講，讓操作系統(tǒng)只提供最基本的功能，可以使利用系統(tǒng)BUG來攻擊的方法非常困難。最后，當(dāng)你加強(qiáng)你的系統(tǒng)時(shí)，還要考慮到除了TCP/IP協(xié)議外不要把任何協(xié)議綁定到你的外部網(wǎng)卡上。非軍事化區(qū)域(DMZ)DMZ是一個(gè)小型網(wǎng)絡(luò)存在于公司的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。這個(gè)網(wǎng)絡(luò)由篩選路由器建立，有時(shí)是一個(gè)阻塞路由器。DMZ用來作為一個(gè)額外的緩沖區(qū)以進(jìn)一步隔離公網(wǎng)和你的內(nèi)部私有網(wǎng)絡(luò)。DMZ另一個(gè)名字叫做ServiceNetwork，因?yàn)樗浅７奖?。這種實(shí)施的缺點(diǎn)在于存在于DMZ區(qū)域的任何服務(wù)器都不會(huì)得到防火墻的完全保護(hù)。篩選路由器篩選路由器的另一個(gè)術(shù)語就是包過濾路由器并且至少有一個(gè)接口是連向公網(wǎng)的，如Internet。它是對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的安全策略——信息過濾規(guī)則對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制，允許授權(quán)信息通過，拒絕非授權(quán)信息通過。信息過濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎(chǔ)的。采用這種技術(shù)的防火墻優(yōu)點(diǎn)在于速度快、實(shí)現(xiàn)方便，但安全性能差，且由于不同操作系統(tǒng)環(huán)境下TCP和UDP端口號(hào)所代表的應(yīng)用服務(wù)協(xié)議類型有所不同，故兼容性差。阻塞路由器阻塞路由器（也叫內(nèi)部路由器）保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受Internet和周邊網(wǎng)的侵犯。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。它允許從內(nèi)部網(wǎng)絡(luò)到Internet的有選擇的出站服務(wù)。這些服務(wù)是用戶的站點(diǎn)能使用數(shù)據(jù)包過濾而不是代理服務(wù)安全支持和安全提供的服務(wù)。內(nèi)部路由器所允許的在堡壘主機(jī)（在周邊網(wǎng)上）和用戶的內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部路由器所允許的在Internet和用戶的內(nèi)部網(wǎng)之間的服務(wù)。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致的受到來自堡壘主機(jī)侵襲的機(jī)器的數(shù)量。1.4用戶在選購防火墻的會(huì)注意的問題：一、防火墻自身的安全性防火墻自身的安全性主要體現(xiàn)在自身設(shè)計(jì)和管理兩個(gè)方面。設(shè)計(jì)的安全性關(guān)鍵在于操作系統(tǒng)，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。而應(yīng)用系統(tǒng)的安全是以操作系統(tǒng)的安全為基礎(chǔ)的，同時(shí)防火墻自身的安全實(shí)現(xiàn)也直接影響整體系統(tǒng)的安全性。二、系統(tǒng)的穩(wěn)定性目前，由于種種原因，有些防火墻尚未最后定型或經(jīng)過嚴(yán)格的大量測試就被推向了市場，其穩(wěn)定性可想而知。防火墻的穩(wěn)定性可以通過幾種方法判斷：1．從權(quán)威的測評(píng)認(rèn)證機(jī)構(gòu)獲得。例如，你可以通過與其它產(chǎn)品相比，考察某種產(chǎn)品是否獲得更多的國家權(quán)威機(jī)構(gòu)的認(rèn)證、推薦和入網(wǎng)證明（書），來間接了解其穩(wěn)定性。2．實(shí)際調(diào)查，這是最有效的辦法：考察這種防火墻是否已經(jīng)有了使用單位、其用戶量如何，特別是用戶們對(duì)于該防火墻的評(píng)價(jià)。3．自己試用。在自己的網(wǎng)絡(luò)上進(jìn)行一段時(shí)間的試用（一個(gè)月左右）。4．廠商開發(fā)研制的歷史。一般來說，如果沒有兩年以上的開發(fā)經(jīng)歷，很難保證產(chǎn)品的穩(wěn)定性。5．廠商實(shí)力，如資金、技術(shù)開發(fā)人員、市場銷售人員和技術(shù)支持人員多少等等。三、是否高效高性能是防火墻的一個(gè)重要指標(biāo)，它直接體現(xiàn)了防火墻的可用性。如果由于使用防火墻而帶來了網(wǎng)絡(luò)性能較大幅度的下降，就意味著安全代價(jià)過高。一般來說，防火墻加載上百條規(guī)則，其性能下降不應(yīng)超過5％（指包過濾防火墻）。四、是否可靠可靠性對(duì)防火墻類訪問控制設(shè)備來說尤為重要，直接影響受控網(wǎng)絡(luò)的可用性。從系統(tǒng)設(shè)計(jì)上，提高可靠性的措施一般是提高本身部件的強(qiáng)健性、增大設(shè)計(jì)閾值和增加冗余部件，這要求有較高的生產(chǎn)標(biāo)準(zhǔn)和設(shè)計(jì)冗余度。五、是否功能靈活對(duì)通信行為的有效控制，要求防火墻設(shè)備有一系列不同級(jí)別，滿足不同用戶的各類安全控制需求的控制注意。例如對(duì)普通用戶，只要對(duì)IP地址進(jìn)行過濾即可；如果是內(nèi)部有不同安全級(jí)別的子網(wǎng)，有時(shí)則必須允許高級(jí)別子網(wǎng)對(duì)低級(jí)別子網(wǎng)進(jìn)行單向訪問。六、是否配置方便在網(wǎng)絡(luò)入口和出口處安裝新的網(wǎng)絡(luò)設(shè)備是每個(gè)網(wǎng)管員的惡夢(mèng),因?yàn)檫@意味著必須修改幾乎全部現(xiàn)有設(shè)備的配置。支持透明通信的防火墻，在安裝時(shí)不需要對(duì)原網(wǎng)絡(luò)配置做任何改動(dòng)，所做的工作只相當(dāng)于接一個(gè)網(wǎng)橋或Hub。七、是否管理簡便網(wǎng)絡(luò)技術(shù)發(fā)展很快，各種安全事件不斷出現(xiàn)，這就要求安全管理員經(jīng)常調(diào)整網(wǎng)絡(luò)安全注意。對(duì)于防火墻類訪問控制設(shè)備，除安全控制注意的不斷調(diào)整外，業(yè)務(wù)系統(tǒng)訪問控制的調(diào)整也很頻繁，這些都要求防火墻的管理在充分考慮安全需要的前提下，必須提供方便靈活的管理方式和方法，這通常體現(xiàn)為管理途徑、管理工具和管理權(quán)限。八、是否可以抵抗拒絕服務(wù)攻擊在當(dāng)前的網(wǎng)絡(luò)攻擊中,拒絕服務(wù)攻擊是使用頻率最高的方法。抵抗拒絕服務(wù)攻擊應(yīng)該是防火墻的基本功能之一。目前有很多防火墻號(hào)稱可以抵御拒絕服務(wù)攻擊，但嚴(yán)格地說，它應(yīng)該是可以降低拒絕服務(wù)攻擊的危害而不是抵御這種攻擊。在采購防火墻時(shí)，網(wǎng)管人員應(yīng)該詳細(xì)考察這一功能的真實(shí)性和有效性。九、是否可以針對(duì)用戶身份過濾防火墻過濾報(bào)文，需要一個(gè)針對(duì)用戶身份而不是IP地址進(jìn)行過濾的辦法。目前常用的是一次性口令驗(yàn)證機(jī)制,保證用戶在登錄防火墻時(shí),口令不會(huì)在網(wǎng)絡(luò)上泄露,這樣，防火墻就可以確認(rèn)登錄上來的用戶確實(shí)和他所聲稱的一致。十、是否可擴(kuò)展、可升級(jí)用戶的網(wǎng)絡(luò)不是一成不變的，和防病毒產(chǎn)品類似，防火墻也必須不斷地進(jìn)行升級(jí)，此時(shí)支持軟件升級(jí)就很重要了。如果不支持軟件升級(jí)的話，為了抵御新的攻擊手段，用戶就必須進(jìn)行硬件上的更換，而在更換期間網(wǎng)絡(luò)是不設(shè)防的，同時(shí)用戶也要為此花費(fèi)更多的錢。1.5防火墻的一些參數(shù)指標(biāo)接口數(shù)、VPN隧道數(shù)、吞吐量、3DES、并發(fā)數(shù)、新會(huì)話數(shù)、VLAN數(shù)量、策略數(shù)等。1.6防火墻功能指標(biāo)詳解產(chǎn)品類型從防火墻產(chǎn)品和技術(shù)發(fā)展來看，分為三種類型：基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻。LAN接口列出支持的LAN接口類型：防火墻所能保護(hù)的網(wǎng)絡(luò)類型，如以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI等。支持的最大LAN接口數(shù)：指防火墻所支持的局域網(wǎng)絡(luò)接口數(shù)目，也是其能夠保護(hù)的不同內(nèi)網(wǎng)數(shù)目。服務(wù)器平臺(tái)：防火墻所運(yùn)行的操作系統(tǒng)平臺(tái)(如Linux、UNIX、WinNT、專用安全操作系統(tǒng)等)。協(xié)議支持支持的非IP協(xié)議：除支持IP協(xié)議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等協(xié)議。建立VPN通道的協(xié)議：構(gòu)建VPN通道所使用的協(xié)議，如密鑰分配等，主要分為IPSec，PPTP、專用協(xié)議等。可以在VPN中使用的協(xié)議：在VPN中使用的協(xié)議，一般是指TCP/IP協(xié)議。加密支持支持的VPN加密標(biāo)準(zhǔn)：VPN中支持的加密算法,例如數(shù)據(jù)加密標(biāo)準(zhǔn)DES、3DES、RC4以及國內(nèi)專用的加密算法。除了VPN之外，加密的其他用途：加密除用于保護(hù)傳輸數(shù)據(jù)以外，還應(yīng)用于其他領(lǐng)域，如身份認(rèn)證、報(bào)文完整性認(rèn)證，密鑰分配等。提供基于硬件的加密：是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密強(qiáng)度。認(rèn)證支持支持的認(rèn)證類型：是指防火墻支持的身份認(rèn)證協(xié)議，一般情況下具有一個(gè)或多個(gè)認(rèn)證方案，如RADIUS、Kerberos、TACACS/TACACS＋、口令方式、數(shù)字證書等。防火墻能夠?yàn)楸镜鼗蜻h(yuǎn)程用戶提供經(jīng)過認(rèn)證與授權(quán)的對(duì)網(wǎng)絡(luò)資源的訪問，防火墻管理員必須決定客戶以何種方式通過認(rèn)證。列出支持的認(rèn)證標(biāo)準(zhǔn)和CA互操作性：廠商可以選擇自己的認(rèn)證方案，但應(yīng)符合相應(yīng)的國際標(biāo)準(zhǔn)，該項(xiàng)指所支持的標(biāo)準(zhǔn)認(rèn)證協(xié)議，以及實(shí)現(xiàn)的認(rèn)證協(xié)議是否與其他CA產(chǎn)品兼容互通。支持?jǐn)?shù)字證書：是否支持?jǐn)?shù)字證書。訪問控制通過防火墻的包內(nèi)容設(shè)置：包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成，它應(yīng)涵蓋對(duì)所有出入防火墻的數(shù)據(jù)包的處理方法，對(duì)于沒有明確定義的數(shù)據(jù)包，應(yīng)該有一個(gè)缺省處理方法；過濾規(guī)則應(yīng)易于理解，易于編輯修改；同時(shí)應(yīng)具備一致性檢測機(jī)制，防止沖突。IP包過濾的依據(jù)主要是根據(jù)IP包頭部信息如源地址和目的地址進(jìn)行過濾，如果IP頭中的協(xié)議字段表明封裝協(xié)議為ICMP、TCP或UDP，那么再根據(jù)ICMP頭信息(類型和代碼值)、TCP頭信息(源端口和目的端口)或UDP頭信息(源端口和目的端口)執(zhí)行過濾，其他的還有MAC地址過濾。應(yīng)用層協(xié)議過濾要求主要包括FTP過濾、基于RPC的應(yīng)用服務(wù)過濾、基于UDP的應(yīng)用服務(wù)過濾要求以及動(dòng)態(tài)包過濾技術(shù)等。在應(yīng)用層提供代理支持：指防火墻是否支持應(yīng)用層代理，如HTTP、FTP、TELNET、SNMP等。代理服務(wù)在確認(rèn)客戶端連接請(qǐng)求有效后接管連接，代為向服務(wù)器發(fā)出連接請(qǐng)求，代理服務(wù)器應(yīng)根據(jù)服務(wù)器的應(yīng)答，決定如何響應(yīng)客戶端請(qǐng)求，代理服務(wù)進(jìn)程應(yīng)當(dāng)連接兩個(gè)連接(客戶端與代理服務(wù)進(jìn)程間的連接、代理服務(wù)進(jìn)程與服務(wù)器端的連接)。為確認(rèn)連接的唯一性與時(shí)效性，代理進(jìn)程應(yīng)當(dāng)維護(hù)代理連接表或相關(guān)數(shù)據(jù)庫(最小字段集合)，為提供認(rèn)證和授權(quán)，代理進(jìn)程應(yīng)當(dāng)維護(hù)一個(gè)擴(kuò)展字段集合。在傳輸層提供代理支持：指防火墻是否支持傳輸層代理服務(wù)。允許FTP命令防止某些類型文件通過防火墻：指是否支持FTP文件類型過濾。用戶操作的代理類型：應(yīng)用層高級(jí)代理功能，如HTTP、POP3。支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)：NAT指將一個(gè)IP地址域映射到另一個(gè)IP地址域，從而為終端主機(jī)提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉(zhuǎn)換以解決IP地址匱乏問題。在防火墻上實(shí)現(xiàn)NAT后，可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，在一定程度上提高了網(wǎng)絡(luò)的安全性。支持硬件口令、智能卡：是否支持硬件口令、智能卡等，這是一種比較安全的身份認(rèn)證技術(shù)。防御功能支持病毒掃描：是否支持防病毒功能，如掃描電子郵件附件中的DOC和ZIP文件，F(xiàn)TP中的下載或上載文件內(nèi)容，以發(fā)現(xiàn)其中包含的危險(xiǎn)信息。提供內(nèi)容過濾：是否支持內(nèi)容過濾，信息內(nèi)容過濾指防火墻在HTTP、FTP、SMTP等協(xié)議層，根據(jù)過濾條件，對(duì)信息流進(jìn)行控制，防火墻控制的結(jié)果是：允許通過、修改后允許通過、禁止通過、記錄日志、報(bào)警等。過濾內(nèi)容主要指URL、HTTP攜帶的信息：JavaApplet、JavaScript、ActiveX和電子郵件中的Subject、To、From域等。能防御的DoS攻擊類型：拒絕服務(wù)攻擊(DoS)就是攻擊者過多地占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，而使其他用戶無法享有服務(wù)或沒有資源可用。防火墻通過控制、檢測與報(bào)警等機(jī)制，可在一定程度上防止或減輕DoS黑客攻擊。阻止ActiveX、Java、Cookies、Javascript侵入：屬于HTTP內(nèi)容過濾，防火墻應(yīng)該能夠從HTTP頁面剝離JavaApplet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險(xiǎn)代碼或病毒，并向?yàn)g覽器用戶報(bào)警。同時(shí)，能夠過濾用戶上載的CGI、ASP等程序，當(dāng)發(fā)現(xiàn)危險(xiǎn)代碼時(shí)，向服務(wù)器報(bào)警。安全特性支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議(ICMP代理)：是否支持ICMP代理，ICMP為網(wǎng)間控制報(bào)文協(xié)議。提供入侵實(shí)時(shí)警告：提供實(shí)時(shí)入侵告警功能，當(dāng)發(fā)生危險(xiǎn)事件時(shí)，是否能夠及時(shí)報(bào)警，報(bào)警的方式可能通過郵件、呼機(jī)、等。提供實(shí)時(shí)入侵防范：提供實(shí)時(shí)入侵響應(yīng)功能，當(dāng)發(fā)生入侵事件時(shí)，防火墻能夠動(dòng)態(tài)響應(yīng)，調(diào)整安全策略，阻擋惡意報(bào)文。識(shí)別/記錄/防止企圖進(jìn)行IP地址欺騙：IP地址欺騙指使用偽裝的IP地址作為IP包的源地址對(duì)受保護(hù)網(wǎng)絡(luò)進(jìn)行攻擊，防火墻應(yīng)該能夠禁止來自外部網(wǎng)絡(luò)而源地址是內(nèi)部IP地址的數(shù)據(jù)包通過。管理功能通過集成策略集中管理多個(gè)防火墻：是否支持集中管理，防火墻管理是指對(duì)防火墻具有管理權(quán)限的管理員行為和防火墻運(yùn)行狀態(tài)的管理，管理員的行為主要包括：通過防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。防火墻的管理一般分為本地管理、遠(yuǎn)程管理和集中管理等。提供基于時(shí)間的訪問控制：是否提供基于時(shí)間的訪問控制。支持SNMP監(jiān)視和配置：SNMP是簡單網(wǎng)絡(luò)管理協(xié)議的縮寫。本地管理：是指管理員通過防火墻的Console口或防火墻提供的鍵盤和顯示器對(duì)防火墻進(jìn)行配置管理。遠(yuǎn)程管理：是指管理員通過以太網(wǎng)或防火墻提供的廣域網(wǎng)接口對(duì)防火墻進(jìn)行管理，管理的通信協(xié)議可以基于FTP、TELNET、HTTP等。支持帶寬管理：防火墻能夠根據(jù)當(dāng)前的流量動(dòng)態(tài)調(diào)整某些客戶端占用的帶寬。負(fù)載均衡特性：負(fù)載均衡可以看成動(dòng)態(tài)的端口映射，它將一個(gè)外部地址的某一TCP或UDP端口映射到一組內(nèi)部地址的某一端口，負(fù)載均衡主要用于將某項(xiàng)服務(wù)(如HTTP)分?jǐn)偟揭唤M內(nèi)部服務(wù)器上以平衡負(fù)載。失敗恢復(fù)特性(failover)：指支持容錯(cuò)技術(shù)，如雙機(jī)熱備份、故障恢復(fù)，雙電源備份等。記錄和報(bào)表功能防火墻處理完整日志的方法：防火墻規(guī)定了對(duì)于符合條件的報(bào)文做日志，應(yīng)該提供日志信息管理和存儲(chǔ)方法。提供自動(dòng)日志掃描：指防火墻是否具有日志的自動(dòng)分析和掃描功能，這可以獲得更詳細(xì)的統(tǒng)計(jì)結(jié)果，達(dá)到事后分析、亡羊補(bǔ)牢的目的。提供自動(dòng)報(bào)表、日志報(bào)告書寫器：防火墻實(shí)現(xiàn)的一種輸出方式，提供自動(dòng)報(bào)表和日志報(bào)告功能。警告通知機(jī)制：防火墻應(yīng)提供告警機(jī)制，在檢測到入侵網(wǎng)絡(luò)以及設(shè)備運(yùn)轉(zhuǎn)異常情況時(shí)，通過告警來通知管理員采取必要的措施，包括E－mail、呼機(jī)、等。提供簡要報(bào)表(按照用戶ID或IP地址)：防火墻實(shí)現(xiàn)的一種輸出方式，按要求提供報(bào)表分類打印。提供實(shí)時(shí)統(tǒng)計(jì)：防火墻實(shí)現(xiàn)的一種輸出方式，日志分析后所獲得的智能統(tǒng)計(jì)結(jié)果，一般是圖表顯示。列出獲得的國內(nèi)有關(guān)部門許可證類別及號(hào)碼：這是防火墻合格與銷售的關(guān)鍵要素之一，其中包括：公安部的銷售許可證、國家信息安全測評(píng)中心的認(rèn)證證書、總參的國防通信入網(wǎng)證和國家保密局的推薦證明等。1.7防火墻的局限性（1）防火墻防外不防內(nèi)。（2）防火墻難于管理和配置，易造成安全漏洞。（3）很難為用戶在防火墻內(nèi)外提供一致的安全策略。（4）防火墻只實(shí)現(xiàn)了粗粒度的訪問控制。1.8防火墻技術(shù)發(fā)展方向目前在防火墻業(yè)界對(duì)防火墻的發(fā)展普遍存在著兩種觀點(diǎn)，即所謂的胖瘦防火墻之爭。一種觀點(diǎn)認(rèn)為，要采取分工協(xié)作，防火墻應(yīng)該做得精瘦，只做防火墻的專職工作，可采取多家安全廠商聯(lián)盟的方式來解決；另一種觀點(diǎn)認(rèn)為，把防火墻做得盡量的胖，把所有安全功能盡可能多地附加在防火墻上，成為一個(gè)集成化的網(wǎng)絡(luò)安全平臺(tái)。從概念上講，所謂“胖”防火墻是指功能大而全的防火墻，它力圖將安全功能盡可能多地包含在內(nèi)，從而成為用戶網(wǎng)絡(luò)的一個(gè)安全平臺(tái)；而所謂“瘦”防火墻是指功能少而精的防火墻，它只作訪問控制的專職工作，對(duì)于綜合安全解決方案，則采用多家安全廠商聯(lián)盟的方式來實(shí)現(xiàn)?！芭帧钡募夹g(shù)路線“胖”防火墻在保證基本功能的前提下，不斷擴(kuò)展增值功能——NAT、VPN、QoS以及入侵檢測、防病毒等?！芭帧狈阑饓踩玈olution趨向于一種注重功能大而全的單一產(chǎn)品體系，力圖將防火墻系統(tǒng)開發(fā)成為一個(gè)安全域的整體解決方案，它的優(yōu)點(diǎn)在于可以滿足用戶絕大部分的網(wǎng)絡(luò)安全需求。防火墻最開始也是一個(gè)單獨(dú)的設(shè)備與概念，它和VPN、IDS、防病毒等都是同時(shí)并立的，但隨著客戶需求的不斷變化，在大而全的思想引導(dǎo)下，防火墻慢慢集成了VPN，集成了IDS，甚至集成了防病毒網(wǎng)關(guān)。理論上，防火墻+IDS+防病毒+VPN部署已經(jīng)可以提供較全面的保護(hù)，但由于大多數(shù)中小企業(yè)的用戶并非安全專家，更不可能7×24小時(shí)監(jiān)視安全報(bào)告并作出響應(yīng)，因此組合多種產(chǎn)品功能形成智能化的防御體系、發(fā)現(xiàn)并及時(shí)中止入侵的發(fā)生也就成為安全技術(shù)的一種發(fā)展方向。另外，對(duì)于一般的客戶來說，分別購買多個(gè)IDS、防火墻、VPN及防病毒網(wǎng)關(guān)產(chǎn)品是一個(gè)不小的財(cái)政負(fù)擔(dān)，而高度集成的IDP系統(tǒng)令用戶大大減少了同類支出并大大增加了效能，因此，市場上出現(xiàn)了“二合一”、“三合一”甚至是“四合一”的產(chǎn)品。它欲解決的問題在于降低采購和管理成本。但是，這種“胖”防火墻目前更多地存在于理論上，實(shí)際進(jìn)行產(chǎn)品化并已成功應(yīng)用的并不多?！芭帧狈阑饓ψ非蟮氖且徽臼椒?wù)，目前它只適應(yīng)中小型企業(yè)，尤其是低端用戶。他們出于經(jīng)濟(jì)上的考慮以及管理上的成本，更主要的是出于安全的實(shí)際需求，希望一個(gè)設(shè)備可以為這種小型網(wǎng)絡(luò)實(shí)現(xiàn)整體安全防護(hù)，所以對(duì)這種大而全的“胖”東西非常感興趣?！芭帧狈阑饓Φ娜秉c(diǎn)也是很明顯的，最突出的就是性能問題，只能著眼于小規(guī)模的網(wǎng)絡(luò)，因?yàn)樗鼜?qiáng)制將邊界安全集中在單一控制點(diǎn)，本有性能瓶頸之憂；在性能瓶頸點(diǎn)增加IDS、AV等模塊，又會(huì)加劇瓶頸效應(yīng)；同時(shí)，附加模塊將增加安全策略規(guī)則數(shù)目，也將加劇防火墻性能指標(biāo)惡化（隨規(guī)則增加，防火墻性能指標(biāo)將成倍數(shù)下降）；另外，附加模塊不專業(yè)，功能不全面。很多廠家在初步定義產(chǎn)品時(shí)，都想做成“胖”防火墻，既有包過濾、又有代理，同時(shí)包含了入侵檢測和防病毒，但是做著做著，就慢慢瘦下來了。況且單一產(chǎn)品功能多，也導(dǎo)致可靠性和安全性的降低；集成化不應(yīng)僅僅是產(chǎn)品的簡單疊加，“胖”防火墻從概念上講是可以的，但從技術(shù)實(shí)現(xiàn)上講，有許多實(shí)際問題，可能造成的結(jié)果就是多而不精?！笆荨钡膬r(jià)值定位一般來說，大型用戶安全需求廣泛，專業(yè)性要求強(qiáng)，安全投入較大，自身安全管理能力也較高，因此，這種客戶均傾向于使用獨(dú)立的安全設(shè)備，并渴望發(fā)揮每種產(chǎn)品的最大效果。而安全廠商也竭力挖掘每種安全產(chǎn)品的最大功能，“瘦”防火墻也就經(jīng)歷了從包過濾、應(yīng)用代理、狀態(tài)檢測到深度檢測、智能檢測以及從雙機(jī)熱備到負(fù)載均衡、HA集群的發(fā)展階段。針對(duì)這類用戶，為了要滿足多種安全需求，安全廠商在設(shè)計(jì)安全解決方案時(shí)，通常會(huì)考慮以安全管理為核心，以多種安全產(chǎn)品的聯(lián)動(dòng)為基礎(chǔ)，如防火墻與IDS和防病毒全面互動(dòng)形成動(dòng)態(tài)防御體系。以安全管理為核心使得安全網(wǎng)關(guān)不需要專人時(shí)時(shí)注視，不需要人工判斷入侵事件，不需要預(yù)先設(shè)置大量的阻斷規(guī)則，只需要在管理系統(tǒng)中根據(jù)安全需求設(shè)定互動(dòng)規(guī)則。防病毒系統(tǒng)會(huì)在發(fā)現(xiàn)病毒后立即通知IDS添加到規(guī)則庫中，而IDS系統(tǒng)會(huì)在發(fā)現(xiàn)入侵行為后立即使防火墻產(chǎn)生阻斷入侵的規(guī)則，從而自動(dòng)為用戶帶來安全的信息環(huán)境。許多有實(shí)力的廠商在不斷推出“瘦”防火墻等專業(yè)安全產(chǎn)品的同時(shí)，開發(fā)并推出整體安全管理解決方案——信息安全管理平臺(tái)，如CheckPoint公司的OPSECManager、聯(lián)想集團(tuán)的LeadSecManager等。安全管理平臺(tái)能夠?yàn)橛脩舻木W(wǎng)絡(luò)應(yīng)用建立方便完善的集中管理機(jī)制、統(tǒng)一協(xié)調(diào)機(jī)制、綜合分析機(jī)制、關(guān)聯(lián)響應(yīng)機(jī)制，能在諸多方面為安全管理工作帶來顯著的效益。例如通過管理平臺(tái)，能夠配置IDS與防火墻、防病毒系統(tǒng)之間聯(lián)動(dòng)策略；當(dāng)IDS檢測到蠕蟲病毒事件時(shí)，網(wǎng)絡(luò)中的防火墻和防毒系統(tǒng)馬上即可收到事件通報(bào)；于是防火墻采取行動(dòng)，封堵病毒傳播通道，防毒系統(tǒng)進(jìn)入查殺過程。蠕蟲病毒就被以最快的速度遏止，并被消滅在一個(gè)有限的網(wǎng)絡(luò)范圍內(nèi)。應(yīng)用安全管理平臺(tái)，可以使“瘦”防火墻等專業(yè)安全產(chǎn)品協(xié)同工作、關(guān)聯(lián)響應(yīng)，從而全面提高企業(yè)整體安全風(fēng)險(xiǎn)防范能力，這也是“瘦”防火墻得到越來越多客戶青睞的重要原因。當(dāng)然，接口、聯(lián)動(dòng)、管理需要靈活的開放性和可擴(kuò)展性。如果配合不當(dāng)，出現(xiàn)紅鞋與綠褲的組合，那呈現(xiàn)給用戶的恐怕就不僅是俗氣了?！芭?、瘦”相輔相成從本質(zhì)上講，“胖、瘦”防火墻沒有好壞之分，只有需求上的差別。低端的防火墻是一個(gè)集成的產(chǎn)品，它可以具有簡單的安全防護(hù)功能，還可以具有一定的IDS功能，但一般不會(huì)集成防病毒功能。而中高端的防火墻更加專業(yè)化，安全和訪問控制并重，主要對(duì)經(jīng)過防火墻的數(shù)據(jù)包進(jìn)行審核，安全會(huì)更加深化，對(duì)協(xié)議的研究更加深入，同時(shí)會(huì)支持多種通用的路由協(xié)議，對(duì)網(wǎng)絡(luò)拓?fù)涓舆m應(yīng)，VPN會(huì)集成到防火墻內(nèi)，作為建立廣域網(wǎng)安全隧道的一種手段，但防火墻不會(huì)集成IDS和防病毒，這些還是由專門的設(shè)備負(fù)責(zé)完成。而用戶又如何看待呢？他們關(guān)注只有兩個(gè)方面：一是他們需要防火墻，二是他們需要其它的安全，但許多大的行業(yè)用戶一旦進(jìn)行網(wǎng)絡(luò)安全設(shè)計(jì)，一般會(huì)進(jìn)行較系統(tǒng)的規(guī)劃，他們可能會(huì)將IDS、防火墻、防病毒等分開考慮、統(tǒng)一規(guī)劃（也許他們的資金更充裕）。這個(gè)現(xiàn)象類比到“胖”、“瘦”防火墻來說，相當(dāng)于這兩種墻都有著自己的市場。隨著技術(shù)的發(fā)展，“胖、瘦”防火墻將出現(xiàn)部分融合轉(zhuǎn)化的趨勢(shì)，而這種融合正是推動(dòng)安全保障體系演進(jìn)與安全產(chǎn)品形態(tài)演繹的重要力量。無論“胖”還是“瘦”，任何一種防火墻只是為網(wǎng)絡(luò)通信或者是數(shù)據(jù)傳輸提供更有保障的安全性，但是我們也不能完全依賴于防火墻。防火墻技術(shù)更多是在對(duì)報(bào)文包頭的處理，而IDS技術(shù)和防病毒技術(shù)更多是對(duì)報(bào)文負(fù)載的處理，VPN技術(shù)是加密流量，還需要Honeynet、Forensics技術(shù)等。用戶的價(jià)值取向安全業(yè)界不斷出現(xiàn)新的概念和新的產(chǎn)品，作為最終使用者和受益者—用戶來說，在選購的時(shí)候難免會(huì)有困惑:該如何避免來自方方面面的暗示和誘導(dǎo)呢？恐怕明確需求，把握實(shí)際是唯一的選擇。當(dāng)然，在選擇的過程中，專家和廠商的經(jīng)驗(yàn)需要借鑒，也是必不可少的。通過不斷地溝通和學(xué)習(xí)，企業(yè)對(duì)自身需求的理解和對(duì)安全的認(rèn)識(shí)也會(huì)與時(shí)俱進(jìn)的。選擇防火墻，最為關(guān)鍵的自然是要了解自身的特點(diǎn)。以IT的眼光來看，信息安全的重要程度有兩個(gè)層面，一個(gè)層面是指所有企業(yè)所共有的信息系統(tǒng)體系中，何者為重、何者次之；一個(gè)層面則是指具體到企業(yè)信息系統(tǒng)，也需要?jiǎng)澐州p重緩急，在這個(gè)層面上主要表現(xiàn)為企業(yè)所屬的行業(yè)所共有的特點(diǎn)。第一個(gè)層面與企業(yè)的發(fā)展。程度有關(guān)發(fā)展中的中小企業(yè)由于處于不穩(wěn)定期，對(duì)企業(yè)發(fā)展最為重要的應(yīng)該是業(yè)務(wù)信息資源（包括客戶信息、技術(shù)信息、市場信息等），其次是財(cái)務(wù)信息，再次是其他信息。而處于穩(wěn)定期的大中型企業(yè)，更重視企業(yè)的均衡發(fā)展，特別是注重以人為本的信息資源，對(duì)管理、流程、人事、企業(yè)文化的注重，將會(huì)接近對(duì)企業(yè)業(yè)務(wù)和財(cái)務(wù)信息的重視程度。第二個(gè)層面上的意義在于行業(yè)特點(diǎn)決定了信息安全系統(tǒng)的不同模式。防火墻做為一個(gè)網(wǎng)絡(luò)安全設(shè)備，它必須與應(yīng)用環(huán)境緊密地結(jié)合起來，其應(yīng)用環(huán)境會(huì)變得更為全面與復(fù)雜，需要著重思考防火墻會(huì)用在什么環(huán)境中，這些應(yīng)用環(huán)境又對(duì)防火墻提出了什么樣的要求，因此防火墻市場會(huì)進(jìn)一步細(xì)分。更值得關(guān)注的是，防火墻根據(jù)相應(yīng)用戶群的價(jià)格承受能力進(jìn)行精致的定價(jià)。其中主打中小型企業(yè)市場的產(chǎn)品更強(qiáng)調(diào)性價(jià)比；從產(chǎn)品的角度講，根據(jù)不同的產(chǎn)品系列、核心技術(shù)以及解決方案，同樣會(huì)有相應(yīng)細(xì)分的價(jià)格方案。用戶可以在安全定制的基礎(chǔ)上，實(shí)現(xiàn)“安全DIY”，只有理性、務(wù)實(shí)發(fā)展，才能成為市場上有競爭力的品牌?？偨Y(jié)而言，我們進(jìn)行安全規(guī)劃的思路應(yīng)該是這樣一條線：確定企業(yè)自身特點(diǎn)—確定信息安全需求—確定企業(yè)所能負(fù)擔(dān)的成本—確定各個(gè)層次的具體措施—將成本與實(shí)施手段掛鉤—平衡信息安全需求與投入之間的差異—制訂具體的實(shí)施計(jì)劃—進(jìn)行實(shí)施考察與調(diào)整。需求、成本、實(shí)施手段，一個(gè)都不能少。構(gòu)建聯(lián)動(dòng)一體的體系沒有絕對(duì)的“胖”和絕對(duì)的“瘦”，應(yīng)該收斂目前市場上“胖防火墻”和“瘦防火墻”這兩個(gè)極端觀點(diǎn)。無論是“胖”防火墻的集成，還是“瘦”防火墻的聯(lián)動(dòng)，安全產(chǎn)品正在朝著體系化的結(jié)構(gòu)發(fā)展，所謂“胖瘦”不過是這種體系結(jié)構(gòu)的兩種表現(xiàn)方式，“胖”將這種體系表現(xiàn)在一個(gè)產(chǎn)品中，而“瘦”將這種體系表現(xiàn)在一組產(chǎn)品或是說一個(gè)方案中。同時(shí)，這種體系化的結(jié)構(gòu)需要非常完善的安全管理，也就是說，通過安全管理中心產(chǎn)品,整合系列安全產(chǎn)品，構(gòu)架成聯(lián)動(dòng)和一體的產(chǎn)品體系,實(shí)現(xiàn)對(duì)用戶、資源和策略的統(tǒng)一管理，確保整體解決方案的安全一致性，是構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)的大趨勢(shì)。防病毒軟件2．1病毒是什么計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。與生物病毒一樣，電腦病毒具有傳染和破壞的作用；但是，與之不同的是，它不是天然存在的，而是一段比較精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)格的秩序組織起來，與所在的系統(tǒng)或網(wǎng)絡(luò)環(huán)境相適應(yīng)并與之配合，是人為特制的具有一定長度的程序。病毒的概念最早由馮·諾伊曼提出，當(dāng)時(shí)并沒有引起注意。1983年11月3日，F(xiàn)redCohen博士研制出一種在運(yùn)行過程中可以復(fù)制自身的破壞性程序，LenAdleman將它命名為計(jì)算機(jī)病毒(computerviruses)，并在每周一次的計(jì)算機(jī)安全討論會(huì)上正式提出，8小時(shí)后專家們?cè)赩AX11/750計(jì)算機(jī)系統(tǒng)上運(yùn)行第一個(gè)病毒實(shí)驗(yàn)成功，一周后又獲準(zhǔn)進(jìn)行5個(gè)實(shí)驗(yàn)的演示，從而在實(shí)驗(yàn)上驗(yàn)證了計(jì)算機(jī)病毒的存在。1986年初，在巴基斯坦的Lahore，Basit和Amjad兩兄弟編寫了Pakistan病毒，即Brain。1988年3月2日，一種蘋果機(jī)的病毒發(fā)作，這天受感染的蘋果機(jī)停止工作，只顯示“向所有蘋果電腦的使用者宣布和平”的信息，以慶祝蘋果機(jī)的生日。1988年11月2日，美國6000多臺(tái)計(jì)算機(jī)被病毒感染，造成Internet不能正常運(yùn)行。這次事件中遭受攻擊的包括5個(gè)計(jì)算機(jī)中心和12個(gè)地區(qū)結(jié)點(diǎn)，連接著政府、大學(xué)、研究所和擁有政府合同的25萬臺(tái)計(jì)算機(jī)，直接經(jīng)濟(jì)損失達(dá)9600萬美元。1988年下半年，我國在統(tǒng)計(jì)局系統(tǒng)首次發(fā)現(xiàn)了“小球”病毒。計(jì)算機(jī)病毒的數(shù)目正以空前的速度增加著。1986年，世界上只有1種已知的計(jì)算機(jī)病毒；3年后，計(jì)算機(jī)病毒的數(shù)目達(dá)到6種；而到1990年，這一數(shù)字劇增至80種。在1990年11月以前，平均每個(gè)星期發(fā)現(xiàn)一種新的計(jì)算機(jī)病毒。現(xiàn)在，每天就會(huì)出現(xiàn)10～15種新病毒。實(shí)際上，從2021年12月～2021年2月，計(jì)算機(jī)病毒的總數(shù)從2.05萬種激增至4.6萬種。每當(dāng)一種新的計(jì)算機(jī)技術(shù)廣泛應(yīng)用的時(shí)候，總會(huì)有相應(yīng)的病毒隨之出現(xiàn)。例如，隨著微軟宏技術(shù)的應(yīng)用，宏病毒成了簡單而又容易制作的流行病毒之一；配合主板BIOS升級(jí)技術(shù)，出現(xiàn)了第一款可以損壞硬件的CIH病毒；隨著Internet網(wǎng)絡(luò)的普及，各種蠕蟲病毒如美麗莎、愛蟲、SirCAM等瘋狂傳播。最近更產(chǎn)生了集病毒和黑客攻擊于一體，通過80端口進(jìn)行傳播的“紅色代碼（CordRed）”病毒和Nimda病毒。2．2病毒的特征計(jì)算機(jī)病毒有以下明顯的特征：1．傳染性：病毒的基本特征。這是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。2．未經(jīng)授權(quán)而執(zhí)行：一般正常程序的目的對(duì)用戶是可見的、透明的。而病毒具有正常程序的一切特性，它隱藏在正常程序中，先于正常程序執(zhí)行，其動(dòng)作、目的對(duì)用戶是未知的，是未經(jīng)用戶允許的。3．隱蔽性：病毒通常附在正常程序中或磁盤較隱蔽的地方，也有個(gè)別的以隱含文件形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在。一般在沒有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里傳染大量程序。而且受到傳染后，計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行，使用戶不會(huì)感到任何異常。4．潛伏性：大部分的病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時(shí)才啟動(dòng)其表現(xiàn)（破壞）模塊。這樣它才可進(jìn)行廣泛地傳播。如“PETER-2”在每年2月27日會(huì)提3個(gè)問題，答錯(cuò)后會(huì)將硬盤加密。著名的“黑色星期五”5．破壞性：任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕者會(huì)降低計(jì)算機(jī)工作效率，占用系統(tǒng)資源，重者可導(dǎo)致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。良性病度可能只顯示些畫面或發(fā)出音樂以及無聊的語句，有時(shí)根本沒有任何破壞動(dòng)作，但會(huì)占用系統(tǒng)資源。惡性病毒則有明確目的，或破壞數(shù)據(jù)、刪除文件或加密磁盤、格式化磁盤，對(duì)數(shù)據(jù)造成不可挽回的破壞。隨著信息交換方式的改變，病毒的特性也在發(fā)生改變。例如，由于人們逐漸采用Windows和WindowsNT操作系統(tǒng)，十分依賴DOS操作系統(tǒng)的引導(dǎo)扇區(qū)病毒正走向沒落?，F(xiàn)在的病毒已經(jīng)逐漸擺脫了平臺(tái)依賴性，老的雙態(tài)病毒和引導(dǎo)扇區(qū)病毒開始消亡。新病毒能夠從Windows98移植到Windo