基于部署的軟件應(yīng)用安全技術(shù)研究

基于部署的軟件應(yīng)用安全技術(shù)研究

目錄前言............................：軟件應(yīng)用的部署技術(shù)（3頁(yè)）（一）部署技術(shù)概述（二）現(xiàn)狀及重要性：軟件應(yīng)用中常見(jiàn)的安全問(wèn)題及解決辦法（5頁(yè)）（一）黑客（二）病毒、蠕蟲(chóng)、特洛伊木馬（四）網(wǎng)絡(luò)安全漏洞（三）數(shù)據(jù)丟失：基于部署的軟件應(yīng)用安全技術(shù)（10頁(yè)）（一）硬件防火墻（二）網(wǎng)閘（三）網(wǎng)關(guān)（四）DMZ（五）還原卡（六）Langate：實(shí)證研究及結(jié)論（10-12頁(yè)）（一），實(shí)證問(wèn)題概述（二），需要解決的主要問(wèn)題（三），解決方案（四），重點(diǎn)過(guò)程描述（五），實(shí)證結(jié)論前言隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)上各種應(yīng)用的不斷豐富,網(wǎng)絡(luò)安全問(wèn)題日益成為人們關(guān)注的焦點(diǎn)。人們?cè)诰W(wǎng)絡(luò)安全部署策略中更多地注重網(wǎng)絡(luò)邊界的安全，防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護(hù)手段，我們通常認(rèn)為黑客、病毒以及各種蠕蟲(chóng)的攻擊大都來(lái)自外部的侵襲，因此采取了一系列的防范措施，如建立兩套網(wǎng)絡(luò)，一套僅用于內(nèi)部員工辦公和資源共享，稱之為內(nèi)部網(wǎng)絡(luò);另一套用于連接互聯(lián)網(wǎng)檢索資料，稱之為外部網(wǎng)絡(luò)，同時(shí)使內(nèi)外網(wǎng)物理斷開(kāi);另外采用防火墻、入侵檢測(cè)設(shè)備等，但據(jù)統(tǒng)計(jì)超過(guò)50%的網(wǎng)絡(luò)及信息安全問(wèn)題源于內(nèi)部人員所為，其次才是外部黑客的攻擊。由于內(nèi)網(wǎng)是一個(gè)由網(wǎng)絡(luò)設(shè)備與信息系統(tǒng)組成的復(fù)雜環(huán)境，連接便捷、應(yīng)用系統(tǒng)多、重要數(shù)據(jù)多是其顯著特點(diǎn),如果疏于對(duì)內(nèi)網(wǎng)的安全防范,那么就極易出現(xiàn)應(yīng)用系統(tǒng)被非法使用、數(shù)據(jù)被竊取和被破壞等情況，因此注重內(nèi)網(wǎng)安全系統(tǒng)建設(shè)、有效防范源自內(nèi)部的安全問(wèn)題，其意義較之于外網(wǎng)安全防范更為重大。目前，在我國(guó)的各個(gè)行業(yè)系統(tǒng)中，無(wú)論是涉及科學(xué)研究的大型研究所，還是擁有自主知識(shí)產(chǎn)權(quán)的發(fā)展中企業(yè)，都有大量的技術(shù)和業(yè)務(wù)機(jī)密存儲(chǔ)在計(jì)算機(jī)和網(wǎng)絡(luò)中，如何有效地保護(hù)這些機(jī)密數(shù)據(jù)信息，已引起各單位的巨大關(guān)注!第一章軟件應(yīng)用的部署技術(shù)（一）部署技術(shù)概述什么是部署？簡(jiǎn)單的說(shuō)部署就是把設(shè)計(jì)好的程序或是硬件放到一定的環(huán)境系統(tǒng)中運(yùn)行，從而發(fā)揮它的作用，這就是部署。我所要研究的重點(diǎn)是網(wǎng)絡(luò)安全中的硬件部署，那么就離不開(kāi)各種硬件配置、網(wǎng)絡(luò)環(huán)境、計(jì)算機(jī)的操作系統(tǒng)，下面我將詳細(xì)的作介紹。一硬件配置1防火墻所謂防火墻指的是一個(gè)有軟件和硬件設(shè)備組隙內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.2.網(wǎng)閘網(wǎng)閘是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。網(wǎng)關(guān)網(wǎng)關(guān)守護(hù)著企業(yè)網(wǎng)絡(luò)以防終端用戶被植入后門程序或病毒下載器。4還原卡硬盤還原卡，又稱電腦還原卡，使用創(chuàng)新的安全硬盤管理技術(shù)HDSafe，硬件級(jí)解決電腦教室的管理問(wèn)題，具備強(qiáng)大的數(shù)據(jù)保護(hù)和還原功能是誤刪除、誤格式化、感染病毒等不希望發(fā)生的硬盤數(shù)據(jù)改變，在下一次開(kāi)機(jī)時(shí)能夠瞬間還原。5磁盤陣列是利用數(shù)組方式來(lái)作磁盤組，配合數(shù)據(jù)分散排列的設(shè)計(jì)，提升數(shù)據(jù)的安全性。6WinPassCA證書服務(wù)器Win-PassCA證書服務(wù)器系統(tǒng)是PKI公共密鑰安全體系中的關(guān)鍵設(shè)備，注冊(cè)、簽發(fā)、管理和發(fā)布網(wǎng)絡(luò)系統(tǒng)中各種設(shè)備和用戶的證書，用于建立和保障網(wǎng)絡(luò)通信中的身份認(rèn)證和相互信任體系。7LanGate是基于專用芯片及專業(yè)網(wǎng)絡(luò)安全平臺(tái)的新一代整體網(wǎng)絡(luò)安全硬件產(chǎn)品。二網(wǎng)絡(luò)環(huán)境一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完整性、保密性和真實(shí)性等特點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，還要保護(hù)數(shù)據(jù)安全等。因此針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題，實(shí)施網(wǎng)絡(luò)安全保護(hù)方案以確保計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性是每一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)都要認(rèn)真對(duì)待的一個(gè)重要問(wèn)題。網(wǎng)絡(luò)安全防范的重點(diǎn)主要有兩個(gè)方面：一是計(jì)算機(jī)病毒，二是黑客犯罪。計(jì)算機(jī)病毒是我們大家都比較熟悉的一種危害計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的破壞性程序。黑客犯罪是指?jìng)€(gè)別人利用計(jì)算機(jī)高科技手段，盜取密碼侵入他人計(jì)算機(jī)網(wǎng)絡(luò)，非法獲得信息、盜用特權(quán)等，如非法轉(zhuǎn)移銀行資金、盜用他人銀行帳號(hào)購(gòu)物等。隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展和電子商務(wù)的展開(kāi)，嚴(yán)防黑客入侵、切實(shí)保障網(wǎng)絡(luò)交易的安全，不僅關(guān)系到個(gè)人的資金安全、商家的貨物安全，還關(guān)系到國(guó)家的經(jīng)濟(jì)安全、國(guó)家經(jīng)濟(jì)秩序的穩(wěn)定問(wèn)題，因此各級(jí)組織和部門必須給予高度重視。三操作系統(tǒng)Windows2000Server的安全機(jī)制是建立在WindowsNT4．0提供的安全機(jī)制上的。Windows2000的安全模式使各組織可以與合作伙伴、供應(yīng)商以及在信任關(guān)系之上使用基于Internet技術(shù)的消費(fèi)者安全地交互。Windows2000的活動(dòng)目錄對(duì)用戶、組及計(jì)算機(jī)賬戶信息采用分層命名，存儲(chǔ)了所有的域安全策略和賬戶信息?？梢岳媒M策略編輯器設(shè)置各種功能，包括軟件設(shè)置、應(yīng)用程序配置選項(xiàng)、腳本、用戶設(shè)置、文檔選項(xiàng)及安全設(shè)置。Windows2000安全性，又稱為“分布式安全性”，它包括基于Internet標(biāo)準(zhǔn)安全協(xié)議的鑒別，采用Kerberos5作為默認(rèn)鑒別協(xié)議。它使用Internet安全協(xié)議IPSec。Windows2000使用基于Internet技術(shù)的虛擬專用網(wǎng)VPN，通過(guò)ISP，IIS及VPN服務(wù)器來(lái)建立Inter—net連接?？衫肰PN通過(guò)公共網(wǎng)來(lái)傳輸專用網(wǎng)數(shù)據(jù)。此外，可利用Windows2000提供的加密文件系統(tǒng)EFS對(duì)文件進(jìn)行加密保護(hù)。數(shù)據(jù)庫(kù)系統(tǒng)的安全機(jī)制SQLServer的安全性與權(quán)限管理，數(shù)據(jù)庫(kù)安全性是用戶權(quán)限管理等方面的內(nèi)容，這種安全性以信息資源和信息資源的用戶為主要管理對(duì)象，一個(gè)用戶只要具有對(duì)某個(gè)對(duì)象的訪問(wèn)權(quán)限，就可以對(duì)信息資源進(jìn)行操作。作為網(wǎng)絡(luò)操作系統(tǒng)上的服務(wù)，SQLServer的安全性還可以與操作系統(tǒng)的安全性建立某種聯(lián)系，這就是SQLServer的安全性模式。它有3種安全模式：標(biāo)準(zhǔn)安全、集成安全、混合安全。標(biāo)準(zhǔn)安全完全由SQLServer自身維護(hù)安全性，對(duì)所有連接采用SQLServer本身的登錄證實(shí)過(guò)程，通過(guò)使用LoginID和口令來(lái)訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器。集成安全允許SQLServer用Windows2000的認(rèn)證機(jī)制來(lái)證實(shí)SQLServer的所有連接。混合安全使得SQLServ—er的用戶和Windows2000的用戶都可以獲得訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限。當(dāng)然，可以不使用SQLServer自身的用戶管理，只允許Windows2000的用戶具有訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限。在SQLServer中，權(quán)限分兩大級(jí)別：連接權(quán)、訪問(wèn)權(quán)。連接權(quán)指是否可以訪問(wèn)SQLServer，訪問(wèn)權(quán)指是否可以查詢或修改數(shù)據(jù)庫(kù)。每一個(gè)網(wǎng)絡(luò)用戶在訪問(wèn)SQLServer數(shù)據(jù)之前，必須使用一個(gè)win—dows2000的賬號(hào)或SQLServer的LoginID以及口令，與SQLServer建立連接，SQLServer的安全系統(tǒng)通過(guò)對(duì)用戶提供的登錄信息的驗(yàn)證決定是否允許這個(gè)用戶連接。在連接成功后，用戶還需要在每個(gè)數(shù)據(jù)庫(kù)中都有一個(gè)數(shù)據(jù)庫(kù)用戶賬號(hào)，或者是用戶別名，查詢或者修改數(shù)據(jù)時(shí)，SQLServer的安全系統(tǒng)根據(jù)這個(gè)賬號(hào)或者別名的權(quán)限決定是否允許用戶請(qǐng)求的操作。（二）內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀目前很多企事業(yè)單位都加快了企業(yè)信息化的進(jìn)程，在網(wǎng)絡(luò)平臺(tái)上建立了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，并按照國(guó)家有關(guān)規(guī)定實(shí)行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離;在應(yīng)用上從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的應(yīng)用如財(cái)務(wù)系統(tǒng)、PDM系統(tǒng)甚至到計(jì)算機(jī)集成制造(CIMS)或企業(yè)資源計(jì)劃(ERP)，逐步實(shí)現(xiàn)企業(yè)信息的高度集成，構(gòu)成完善的企事業(yè)問(wèn)題解決鏈。在網(wǎng)絡(luò)安全方面系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對(duì)安全的認(rèn)識(shí)，或是根據(jù)國(guó)家和系統(tǒng)內(nèi)部的相關(guān)規(guī)定，購(gòu)置部分網(wǎng)絡(luò)安全產(chǎn)品，如防火墻、防病毒、入侵檢測(cè)等產(chǎn)品來(lái)配置在網(wǎng)絡(luò)上，然而這些產(chǎn)品主要是針對(duì)外部網(wǎng)絡(luò)可能遭受到安全威脅而采取的措施，在內(nèi)部網(wǎng)絡(luò)上的使用雖然針對(duì)性強(qiáng)，但往往有很大的局限性。由于內(nèi)部網(wǎng)絡(luò)的高性能、多應(yīng)用、涉密信息分散的特點(diǎn)，各種分立的安全產(chǎn)品通常只能解決安全威脅的部分問(wèn)題，而沒(méi)有形成多層次的、嚴(yán)密的、相互協(xié)同工作的安全體系。同時(shí)在安全性和費(fèi)用問(wèn)題上形成一個(gè)相互對(duì)立的局面，如何在其中尋找到一個(gè)平衡點(diǎn)，也是眾多企業(yè)中普遍存在的焦點(diǎn)問(wèn)題。由此可見(jiàn)，無(wú)論是有意的攻擊，還是無(wú)意的誤操作，都將會(huì)給系統(tǒng)帶來(lái)不可估量的損失。所以，計(jì)算機(jī)網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。內(nèi)部網(wǎng)絡(luò)更易受到攻擊為什么內(nèi)部網(wǎng)絡(luò)更容易受到攻擊呢?主要原因如下：(1)信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。網(wǎng)絡(luò)已經(jīng)是許多企業(yè)不可缺少的重要的組成部分，基于Web的應(yīng)用在內(nèi)部網(wǎng)正日益普及，典型的應(yīng)用如財(cái)務(wù)系統(tǒng)、PDM系統(tǒng)、ERP系統(tǒng)、SCM系統(tǒng)等，這些大規(guī)模系統(tǒng)應(yīng)用密切依賴于內(nèi)部網(wǎng)絡(luò)的暢通。(2)在對(duì)Internet嚴(yán)防死守和物理隔離的措施下，對(duì)網(wǎng)絡(luò)的破壞，大多數(shù)來(lái)自網(wǎng)絡(luò)內(nèi)部的安全空隙。另外也因?yàn)槟壳搬槍?duì)內(nèi)部網(wǎng)絡(luò)安全的重視程度不夠，系統(tǒng)的安裝有大量的漏洞沒(méi)有去打上補(bǔ)丁。也由于內(nèi)部擁有更多的應(yīng)用和不同的系統(tǒng)平臺(tái)，自然有更多的系統(tǒng)漏洞。(3)黑客工具在Internet上很容易獲得，這些工具對(duì)Internet及內(nèi)部網(wǎng)絡(luò)往往具有很大的危害性。這是內(nèi)部人員(包括對(duì)計(jì)算機(jī)技術(shù)不熟悉的人)能夠?qū)?nèi)部網(wǎng)絡(luò)造成巨大損害的原因之一。(4)內(nèi)部網(wǎng)絡(luò)更脆弱。由于網(wǎng)絡(luò)速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。(5)為了簡(jiǎn)單和易用，在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的，這為別有用心者提供了竊取機(jī)密數(shù)據(jù)的可能性。(6)內(nèi)部網(wǎng)絡(luò)的用戶往往直接面對(duì)數(shù)據(jù)庫(kù)、直接對(duì)服務(wù)器進(jìn)行操作，利用內(nèi)網(wǎng)速度快的特性，對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行竊取或者破壞。(7)眾多的使用者所有不同的權(quán)限，管理更困難，系統(tǒng)更容易遭到口令和越權(quán)操作的攻擊。服務(wù)器對(duì)使用者的管理也不是很嚴(yán)格，對(duì)于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。(8)涉密信息不僅僅限于服務(wù)器，同時(shí)也分布于各個(gè)工作計(jì)算機(jī)中，目前對(duì)個(gè)人硬盤上的涉密信息缺乏有效的控制和監(jiān)督管理辦法。(9)由于人們對(duì)口令的不重視，弱口令很容易產(chǎn)生，很多人用諸如生日、姓名等作為口令，在內(nèi)網(wǎng)中，黑客的口令破解程序更易奏效。第二章：軟件應(yīng)用中常見(jiàn)的安全問(wèn)題及解決辦法1黑客黑客（hacker），源于英語(yǔ)動(dòng)詞hack，意為“劈，砍”，引申為“干了一件非常漂亮的工作”。在早期麻省理工學(xué)院的校園俚語(yǔ)中，“黑客”則有“惡作劇”之意，尤指手法巧妙、技術(shù)高明的惡作劇。在日本《新黑客詞典》中，對(duì)黑客的定義是“喜歡探索軟件程序奧秘，并從中增長(zhǎng)了其個(gè)人才干的人。他們不象絕大多數(shù)電腦使用者那樣，只規(guī)規(guī)矩矩地了解別人指定了解的狹小部分知識(shí)?！庇蛇@些定義中，我們還看不出太貶義的意味。他們通常具有硬件和軟件的高級(jí)知識(shí)，并有能力通過(guò)創(chuàng)新的方法剖析系統(tǒng)。“黑客”能使更多的網(wǎng)絡(luò)趨于完善和安全，他們以保護(hù)網(wǎng)絡(luò)為目的，而以不正當(dāng)侵入為手段找出網(wǎng)絡(luò)漏洞。另一種入侵者是那些利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò)的人。他們往往做一些重復(fù)的工作（如用暴力法破解口令），他們也具備廣泛的電腦知識(shí)，但與黑客不同的是他們以破壞為目的。這些群體成為“駭客”。當(dāng)然還有一種人兼于黑客與入侵者之間。隨著互聯(lián)網(wǎng)上黑客病毒泛濫、信息恐怖、計(jì)算機(jī)犯罪等威脅日益嚴(yán)重，防火墻的攻破率不斷上升，在政府、軍隊(duì)、企業(yè)等領(lǐng)域，由于核心部門的信息安全關(guān)系著國(guó)家安全、社會(huì)穩(wěn)定，因此迫切需要比傳統(tǒng)產(chǎn)品更為可靠的技術(shù)防護(hù)措施。物理隔離網(wǎng)閘最早出現(xiàn)在美國(guó)、以色列等國(guó)家的軍方，用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時(shí)的安全。在電子政務(wù)建設(shè)中，我們會(huì)遇到安全域的問(wèn)題，安全域是以信息涉密程度劃分的網(wǎng)絡(luò)空間。涉密域就是涉及國(guó)家秘密的網(wǎng)絡(luò)空間。非涉密域就是不涉及國(guó)家的秘密，但是涉及到本單位，本部門或者本系統(tǒng)的工作秘密的網(wǎng)絡(luò)空間。公共服務(wù)域是指不涉及國(guó)家秘密也不涉及工作秘密，是一個(gè)向互聯(lián)網(wǎng)絡(luò)完全開(kāi)放的公共信息交換空間。國(guó)家有關(guān)文件就嚴(yán)格規(guī)定，政務(wù)的內(nèi)網(wǎng)和政務(wù)的外網(wǎng)要實(shí)行嚴(yán)格的物理隔離。政務(wù)的外網(wǎng)和互聯(lián)網(wǎng)絡(luò)要實(shí)行邏輯隔離，按照安全域的劃分，政府的內(nèi)網(wǎng)就是涉密域，政府的外網(wǎng)就是非涉密域，互聯(lián)網(wǎng)就是公共服務(wù)域。國(guó)家有關(guān)研究機(jī)構(gòu)已經(jīng)研究了安全網(wǎng)閘技術(shù)，以后根據(jù)需求，還會(huì)有更好的網(wǎng)閘技術(shù)出現(xiàn)。通過(guò)安全網(wǎng)閘，把內(nèi)網(wǎng)和外網(wǎng)聯(lián)系起來(lái)；因此網(wǎng)閘成為電子政務(wù)信息系統(tǒng)必須配置的設(shè)備，由此開(kāi)始，網(wǎng)閘產(chǎn)品與技術(shù)在我國(guó)快速興起，成為我國(guó)信息安全產(chǎn)業(yè)發(fā)展的一個(gè)新的增長(zhǎng)點(diǎn)。2病毒、蠕蟲(chóng)、特洛伊木馬病毒(n.)：以自我復(fù)制為明確目的編寫的代碼。病毒附著于宿主程序，然后試圖在計(jì)算機(jī)之間傳播。它可能損壞硬件、軟件和信息。與人體病毒按嚴(yán)重性分類（從Ebola病毒到普通的流感病毒）一樣，計(jì)算機(jī)病毒也有輕重之分，輕者僅產(chǎn)生一些干擾，重者徹底摧毀設(shè)備。令人欣慰的是，在沒(méi)有人員操作的情況下，真正的病毒不會(huì)傳播。必須通過(guò)某個(gè)人共享文件和發(fā)送電子郵件來(lái)將它一起移動(dòng)。病毒是附著于程序或文件中的一段計(jì)算機(jī)代碼，它可在計(jì)算機(jī)之間傳播。它一邊傳播一邊感染計(jì)算機(jī)。病毒可損壞軟件、硬件和文件。蠕蟲(chóng)(n.)：病毒的子類。通常，蠕蟲(chóng)傳播無(wú)需用戶操作，并可通過(guò)網(wǎng)絡(luò)分發(fā)它自己的完整副本（可能有改動(dòng)）。蠕蟲(chóng)會(huì)消耗內(nèi)存或網(wǎng)絡(luò)帶寬，從而可能導(dǎo)致計(jì)算機(jī)崩潰。蠕蟲(chóng)的傳播不必通過(guò)“宿主”程序或文件，因此可潛入您的系統(tǒng)并允許其他人遠(yuǎn)程控制您的計(jì)算機(jī)。最近的蠕蟲(chóng)示例包括Sasser蠕蟲(chóng)和Blaster蠕蟲(chóng)。與病毒相似，蠕蟲(chóng)也是設(shè)計(jì)用來(lái)將自己從一臺(tái)計(jì)算機(jī)復(fù)制到另一臺(tái)計(jì)算機(jī)，但是它自動(dòng)進(jìn)行。首先，它控制計(jì)算機(jī)上可以傳輸文件或信息的功能。一旦您的系統(tǒng)感染蠕蟲(chóng)，蠕蟲(chóng)即可獨(dú)自傳播。最危險(xiǎn)的是，蠕蟲(chóng)可大量復(fù)制。例如，蠕蟲(chóng)可向電子郵件地址簿中的所有聯(lián)系人發(fā)送自己的副本，那些聯(lián)系人的計(jì)算機(jī)也將執(zhí)行同樣的操作，結(jié)果造成多米諾效應(yīng)（網(wǎng)絡(luò)通信負(fù)擔(dān)沉重），使商業(yè)網(wǎng)絡(luò)和整個(gè)Internet的速度減慢。當(dāng)新的蠕蟲(chóng)爆發(fā)時(shí)，它們傳播的速度非?？?。它們堵塞網(wǎng)絡(luò)并可能導(dǎo)致您（以及其他每個(gè)人）等很長(zhǎng)的時(shí)間才能查看Internet上的網(wǎng)頁(yè)。特洛伊木馬(n.)：一種表面上有用、實(shí)際上起破壞作用的計(jì)算機(jī)程序。一旦用戶禁不起誘惑打開(kāi)了以為來(lái)自合法來(lái)源的程序，特洛伊木馬便趁機(jī)傳播。為了更好地保護(hù)用戶，Microsoft常通過(guò)電子郵件發(fā)出安全公告，但這些郵件從不包含附件。在用電子郵件將安全警報(bào)發(fā)送給客戶之前，我們也會(huì)在安全網(wǎng)站上公布所有安全警報(bào)。在神話傳說(shuō)中，特洛伊木馬表面上是“禮物”，但實(shí)際上藏匿了襲擊特洛伊城的希臘士兵?，F(xiàn)在，特洛伊木馬是指表面上是有用的軟件、實(shí)際目的卻是危害計(jì)算機(jī)安全并導(dǎo)致嚴(yán)重破壞的計(jì)算機(jī)程序。最近的特洛伊木馬以電子郵件的形式出現(xiàn)，電子郵件包含的附件聲稱是Microsoft安全更新程序，但實(shí)際上是一些試圖禁用防病毒軟件和防火墻軟件的病毒?；诰W(wǎng)絡(luò)的防病毒LanGate是網(wǎng)關(guān)級(jí)的安全設(shè)備，它不同于單純的防病毒產(chǎn)品。LanGate在網(wǎng)關(guān)上做HTTP、SMTP、POP和IMAP的病毒掃描，并且可以通過(guò)策略控制流經(jīng)不同網(wǎng)絡(luò)方向的病毒掃描或阻斷，其應(yīng)用的靈活性和安全性將消除企業(yè)不必要的顧慮。LanGate的防病毒引擎同時(shí)是可在線升級(jí)的，可以實(shí)時(shí)更新病毒庫(kù)。3網(wǎng)絡(luò)安全漏洞漏洞是存在于系統(tǒng)中的一個(gè)弱點(diǎn)或者缺點(diǎn)。廣義的漏洞是指非法用戶未經(jīng)授權(quán)獲得訪問(wèn)或提高其訪問(wèn)層次的硬件或軟件特征。實(shí)際上，漏洞可以是任何東西，許多用戶非常熟悉的特殊的硬件和軟件存在漏洞，如IBM兼容機(jī)的CMOS口令在CMOS的電池供電不足、不能供電或被移走情況下會(huì)丟失CMOS信息也是漏洞;操作系統(tǒng)、瀏覽器、TCP/IP、免費(fèi)電子郵箱等都存在漏洞。微軟對(duì)漏洞的明確定義：“漏洞是可以在攻擊過(guò)程中利用的弱點(diǎn)，可以是軟件、硬件、程序缺點(diǎn)、功能設(shè)計(jì)或者配置不當(dāng)?shù)??！甭┒磼呙枋且环N自動(dòng)檢測(cè)計(jì)算機(jī)安全脆弱點(diǎn)的技術(shù)。掃描程序集中了已知的常用攻擊方法，針對(duì)系統(tǒng)可能存在的各種脆弱點(diǎn)進(jìn)行掃描，輸出掃描結(jié)果，以便審查人員分析并發(fā)現(xiàn)系統(tǒng)存在的漏洞。掃描程序還可以通過(guò)TCP/IP端口查詢，記錄目標(biāo)響應(yīng)的情況，收集相關(guān)的有用信息，以發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全漏洞。利用漏洞掃描技術(shù)可以快速地在大范圍內(nèi)發(fā)現(xiàn)已知的系統(tǒng)安全漏洞。網(wǎng)絡(luò)漏洞掃描系統(tǒng)是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。通過(guò)使用漏洞掃描器，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護(hù)的Web服務(wù)器的各種TCP端口的分配、提供的服務(wù)、Web服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在互聯(lián)網(wǎng)上的安全漏洞，從而在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全保衛(wèi)戰(zhàn)中做到“有的放矢”，及時(shí)修補(bǔ)漏洞，構(gòu)筑堅(jiān)固的安全長(zhǎng)城。4數(shù)據(jù)丟失如果使用過(guò)計(jì)算機(jī)或者管理過(guò)機(jī)房，您就可能會(huì)有這樣的經(jīng)歷，誤操作，不正常關(guān)機(jī)，Windows提示非法操作，遭遇神出鬼沒(méi)的病毒，以及學(xué)生的好奇和失誤導(dǎo)致的文件丟失、系統(tǒng)損毀等等。相信您對(duì)這些都會(huì)記憶猶新，我們覺(jué)得您有必要找一個(gè)專業(yè)維護(hù)人員，而不是由您親自維護(hù)每臺(tái)計(jì)算機(jī)，所以我們向您推薦硬盤還原卡。只要將還原卡插入計(jì)算機(jī)，并且指定需要維護(hù)的數(shù)據(jù)區(qū)域，這樣您就能夠一勞永逸，任由學(xué)生刪除、格式化、安裝、卸載，盡最大可能地提供寬松的上機(jī)實(shí)驗(yàn)環(huán)境。因?yàn)閷?duì)您來(lái)說(shuō)，只要重新啟動(dòng)計(jì)算機(jī)，一切都會(huì)復(fù)原，硬盤還原卡讓從前的煩惱永遠(yuǎn)地成為了歷史。第三章：基于部署的軟件應(yīng)用安全技術(shù)一硬件防火墻防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，有選擇地接受外部訪問(wèn)，對(duì)內(nèi)部強(qiáng)化設(shè)備監(jiān)管、控制對(duì)服務(wù)器與外部網(wǎng)絡(luò)的訪問(wèn)，在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間架起一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在的破壞性侵入。防火墻基礎(chǔ)原理1、防火墻技術(shù)防火墻通常使用的安全控制手段主要有包過(guò)濾、狀態(tài)檢測(cè)、代理服務(wù)。下面，我們將介紹這些手段的工作機(jī)理及特點(diǎn)，并介紹一些防火墻的主流產(chǎn)品。包過(guò)濾技術(shù)是一種簡(jiǎn)單、有效的安全控制技術(shù)，它通過(guò)在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來(lái)自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則，對(duì)通過(guò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過(guò)濾的最大優(yōu)點(diǎn)是對(duì)用戶透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號(hào)，因而只能進(jìn)行較為初步的安全控制，對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無(wú)能為力。狀態(tài)檢測(cè)是比包過(guò)濾更為有效的安全控制方法。對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過(guò)。這種方式的好處在于：由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包（通常是大量的數(shù)據(jù)包）通過(guò)散列算法，直接進(jìn)行狀態(tài)檢查，從而使得性能得到了較大提高；而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開(kāi)通1024號(hào)以上的端口，使得安全性得到進(jìn)一步地提高。2、防火墻工作原理（1）包過(guò)濾防火墻包過(guò)濾防火墻一般在路由器上實(shí)現(xiàn)，用以過(guò)濾用戶定義的內(nèi)容，如IP地址。包過(guò)濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無(wú)關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴(kuò)展能力強(qiáng)。但是，包過(guò)濾防火墻的安全性有一定的缺陷，因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無(wú)感知，也就是說(shuō)，防火墻不理解通信的內(nèi)容，所以可能被黑客所攻破。圖1：包過(guò)濾防火墻工作原理圖（2）應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過(guò)程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過(guò)打破客戶機(jī)／服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)／服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。（圖2）圖2：應(yīng)用網(wǎng)關(guān)防火墻工作原理圖（3）狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對(duì)應(yīng)用是透明的，在此基礎(chǔ)上，對(duì)于安全性有了大幅提升。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來(lái)處理?？梢赃@樣說(shuō)，狀態(tài)檢測(cè)包過(guò)濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。（圖3）圖3：狀態(tài)檢測(cè)防火墻工作原理圖（4）復(fù)合型防火墻復(fù)合型防火墻是指綜合了狀態(tài)檢測(cè)與透明代理的新一代的防火墻，進(jìn)一步基于ASIC架構(gòu)，把防病毒、內(nèi)容過(guò)濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊，在網(wǎng)絡(luò)界面對(duì)應(yīng)用層掃描，把防病毒、內(nèi)容過(guò)濾與防火墻結(jié)合起來(lái)，這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施。（圖4）圖4：復(fù)合型防火墻工作原理圖二網(wǎng)閘如今，網(wǎng)絡(luò)隔離技術(shù)已經(jīng)得到越來(lái)越多用戶的重視，重要的網(wǎng)絡(luò)和部門均開(kāi)始采用隔離網(wǎng)閘產(chǎn)品來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)和關(guān)鍵點(diǎn)的基礎(chǔ)設(shè)施。目前世界上主要有三類隔離網(wǎng)閘技術(shù)，即SCSI技術(shù)，雙端口RAM技術(shù)和物理單向傳輸技術(shù)。SCSI是典型的拷盤交換技術(shù)，雙端口RAM也是模擬拷盤技術(shù)，物理單向傳輸技術(shù)則是二極管單向技術(shù)。本文就是和大家一起來(lái)探討物理隔離交換技術(shù)的應(yīng)用。網(wǎng)閘的概念網(wǎng)閘是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無(wú)協(xié)議"擺渡"，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有"讀"和"寫"兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無(wú)法入侵、無(wú)法攻擊、無(wú)法破壞，實(shí)現(xiàn)了真正的安全。物理隔離網(wǎng)閘應(yīng)用定位1)涉密網(wǎng)與非涉密網(wǎng)之間：2)局域網(wǎng)與互聯(lián)網(wǎng)之間（內(nèi)網(wǎng)與外網(wǎng)之間）：有些局域網(wǎng)絡(luò)，特別是政府辦公網(wǎng)絡(luò)，涉及政府敏感信息，有時(shí)需要與互聯(lián)網(wǎng)在物理上斷開(kāi)，用物理隔離網(wǎng)閘是一個(gè)常用的辦法。3)辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間：由于辦公網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)的信息敏感程度不同，例如，銀行的辦公網(wǎng)絡(luò)和銀行業(yè)務(wù)網(wǎng)絡(luò)就是很典型的信息敏感程度不同的兩類網(wǎng)絡(luò)。為了提高工作效率，辦公網(wǎng)絡(luò)有時(shí)需要與業(yè)務(wù)網(wǎng)絡(luò)交換信息。為解決業(yè)務(wù)網(wǎng)絡(luò)的安全，比較好的辦法就是在辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間使用物理隔離網(wǎng)閘，實(shí)現(xiàn)兩類網(wǎng)絡(luò)的物理隔離。4)電子政務(wù)的內(nèi)網(wǎng)與專網(wǎng)之間：在電子政務(wù)系統(tǒng)建設(shè)中要求政府內(nèi)望與外網(wǎng)之間用邏輯隔離，在政府專網(wǎng)與內(nèi)網(wǎng)之間用物理隔離?，F(xiàn)常用的方法是用物理隔離網(wǎng)閘來(lái)實(shí)現(xiàn)。5）業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)之間：電子商務(wù)網(wǎng)絡(luò)一邊連接著業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器，一邊通過(guò)互聯(lián)網(wǎng)連接著廣大民眾。為了保障業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器的安全，在業(yè)務(wù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間應(yīng)實(shí)現(xiàn)物理隔離。三網(wǎng)關(guān)管道網(wǎng)關(guān)管道是通過(guò)不兼容的網(wǎng)絡(luò)區(qū)域傳輸數(shù)據(jù)的比較通用的技術(shù)。數(shù)據(jù)分組被封裝在可以被傳輸網(wǎng)絡(luò)識(shí)別的幀中，到達(dá)目的地時(shí)，接收主機(jī)解開(kāi)封裝，把封裝信息丟棄，這樣分組就被恢復(fù)到了原先的格式。管道技術(shù)只能用于3層協(xié)議，從SNA到IPv6。雖然管道技術(shù)有能夠克服特定網(wǎng)絡(luò)拓?fù)湎拗频膬?yōu)點(diǎn)，它也有缺點(diǎn)。管道的本質(zhì)可以隱藏不該接受的分組，簡(jiǎn)單來(lái)說(shuō)，管道可以通過(guò)封裝來(lái)攻破防火墻，把本該過(guò)濾掉的數(shù)據(jù)傳給私有的網(wǎng)絡(luò)區(qū)域。專用網(wǎng)關(guān)很多的專用網(wǎng)關(guān)能夠在傳統(tǒng)的大型機(jī)系統(tǒng)和迅速發(fā)展的分布式處理系統(tǒng)間建立橋梁。典型的專用網(wǎng)關(guān)用于把基于PC的客戶端連到局域網(wǎng)邊緣的轉(zhuǎn)換器。該轉(zhuǎn)換器通過(guò)X.25網(wǎng)絡(luò)提供對(duì)大型機(jī)系統(tǒng)的訪問(wèn)。shoO這些網(wǎng)關(guān)通常是需要安裝在連接到局域網(wǎng)的計(jì)算機(jī)上的便宜、單功能的電路板，這使其價(jià)格很低且很容易升級(jí)。2層協(xié)議網(wǎng)關(guān)2層協(xié)議網(wǎng)關(guān)提供局域網(wǎng)到局域網(wǎng)的轉(zhuǎn)換，它們通常被稱為翻譯網(wǎng)橋而不是協(xié)議網(wǎng)關(guān)。在使用不同幀類型或時(shí)鐘頻率的局域網(wǎng)間互連可能就需要這種轉(zhuǎn)換。安全網(wǎng)關(guān)安全網(wǎng)關(guān)是各種技術(shù)有趣的融合，具有重要且獨(dú)特的保護(hù)作用，其范圍從協(xié)議級(jí)過(guò)濾到十分復(fù)雜的應(yīng)用級(jí)過(guò)濾1、包過(guò)濾器包過(guò)濾是安全映射最基本的形式，路由軟件可根據(jù)包的源地址、目的地址或端口號(hào)建立許可權(quán)，對(duì)眾所周知的端口號(hào)的過(guò)濾可以阻止或允許網(wǎng)際協(xié)議如FTP、rlogin等。過(guò)濾器可對(duì)進(jìn)入和/或流出的數(shù)據(jù)操作，在網(wǎng)絡(luò)層實(shí)現(xiàn)過(guò)濾意味著路由器可以為所有應(yīng)用提供安全映射功能。作為（邏輯意義上的）路由器的常駐部分，這種過(guò)濾可在任何可路由的網(wǎng)絡(luò)中自由使用，但不要把它誤解為萬(wàn)能的，包過(guò)濾有很多弱點(diǎn)，但總比沒(méi)有好。包過(guò)濾很難做好，尤其當(dāng)安全需求定義得不好且不細(xì)致的時(shí)候更是如此。這種過(guò)濾也很容易被攻破。包過(guò)濾比較每個(gè)數(shù)據(jù)包，基于包頭信息與路由器的訪問(wèn)列表的比較來(lái)做出通過(guò)/不通過(guò)的決定，這種技術(shù)存在許多潛在的弱點(diǎn)。首先，它直接依賴路由器管理員正確地編制權(quán)限集，這種情況下，拼寫的錯(cuò)誤是致命的，可以在防線中造成不需要任何特殊技術(shù)就可以攻破的漏洞。即使管理員準(zhǔn)確地設(shè)計(jì)了權(quán)限，其邏輯也必須毫無(wú)破綻才行。雖然設(shè)計(jì)路由似乎很簡(jiǎn)單，但開(kāi)發(fā)和維護(hù)一長(zhǎng)套復(fù)雜的權(quán)限也是很麻煩的，必須根據(jù)防火墻的權(quán)限集理解和評(píng)估每天的變化，新添加的服務(wù)器如果沒(méi)有明確地被保護(hù)，可能就會(huì)成為攻破點(diǎn)。隨著時(shí)間的推移，訪問(wèn)權(quán)限的查找會(huì)降低路由器的轉(zhuǎn)發(fā)速度。每當(dāng)路由器收到一個(gè)分組，它必須識(shí)別該分組要到達(dá)目的地需經(jīng)由的下一跳地址，這必將伴隨著另一個(gè)很耗費(fèi)CPU的工作：檢查訪問(wèn)列表以確定其是否被允許到達(dá)該目的地。訪問(wèn)列表越長(zhǎng)，此過(guò)程要花的時(shí)間就越多。包過(guò)濾的第二個(gè)缺陷是它認(rèn)為包頭信息是有效的，無(wú)法驗(yàn)證該包的源頭。頭信息很容易被精通網(wǎng)絡(luò)的人篡改，這種篡改通常稱為“欺騙”。包過(guò)濾的種種弱點(diǎn)使它不足以保護(hù)你的網(wǎng)絡(luò)資源，最好與其它更復(fù)雜的過(guò)濾機(jī)制聯(lián)合使用，而不要單獨(dú)使用。2、鏈路網(wǎng)關(guān)鏈路級(jí)網(wǎng)關(guān)對(duì)于保護(hù)源自私有、安全的網(wǎng)絡(luò)環(huán)境的請(qǐng)求是很理想的。這種網(wǎng)關(guān)攔截TCP請(qǐng)求，甚至某些UDP請(qǐng)求，然后代表數(shù)據(jù)源來(lái)獲取所請(qǐng)求的信息。該代理服務(wù)器接收對(duì)萬(wàn)維網(wǎng)上的信息的請(qǐng)求，并代表數(shù)據(jù)源完成請(qǐng)求。實(shí)際上，此網(wǎng)關(guān)就象一條將源與目的連在一起的線，但使源避免了穿過(guò)不安全的網(wǎng)絡(luò)區(qū)域所帶來(lái)的風(fēng)險(xiǎn)。3、應(yīng)用網(wǎng)關(guān)應(yīng)用網(wǎng)關(guān)是包過(guò)濾最極端的反面。包過(guò)濾實(shí)現(xiàn)的是對(duì)所有穿過(guò)網(wǎng)絡(luò)層包過(guò)濾設(shè)備的數(shù)據(jù)的通用保護(hù)，而應(yīng)用網(wǎng)關(guān)在每個(gè)需要保護(hù)的主機(jī)上放置高度專用的應(yīng)用軟件，它防止了包過(guò)濾的陷阱，實(shí)現(xiàn)了每個(gè)主機(jī)的堅(jiān)固的安全。應(yīng)用網(wǎng)關(guān)的一個(gè)例子是病毒掃描器，這種專用軟件已經(jīng)成了桌面計(jì)算的主要產(chǎn)品之一。它在啟動(dòng)時(shí)調(diào)入內(nèi)存并駐留在后臺(tái)，持續(xù)地監(jiān)視文件不受已知病毒的感染，甚至是系統(tǒng)文件的改變。病毒掃描器被設(shè)計(jì)用于在危害可能產(chǎn)生前保護(hù)用戶不受到病毒的潛在損害。這種保護(hù)級(jí)別不可能在網(wǎng)絡(luò)層實(shí)現(xiàn)，那將需要檢查每個(gè)分組的內(nèi)容，驗(yàn)證其來(lái)源，確定其正確的網(wǎng)絡(luò)路徑，并確定其內(nèi)容是有意義的還是欺騙性的。這一過(guò)程將產(chǎn)生無(wú)法負(fù)擔(dān)的過(guò)載，嚴(yán)重影響網(wǎng)絡(luò)性能。4、組合過(guò)濾網(wǎng)關(guān)使用組合過(guò)濾方案的網(wǎng)關(guān)通過(guò)冗余、重疊的過(guò)濾器提供相當(dāng)堅(jiān)固的訪問(wèn)控制，可以包括包、鏈路和應(yīng)用級(jí)的過(guò)濾機(jī)制。這樣的安全網(wǎng)關(guān)最普通的實(shí)現(xiàn)是象崗哨一樣保護(hù)私有網(wǎng)段邊緣的出入點(diǎn)，通常稱為邊緣網(wǎng)關(guān)或防火墻。這一重要的責(zé)任通常需要多種過(guò)濾技術(shù)以提供足夠的防衛(wèi)。下圖所示為由兩個(gè)組件構(gòu)成的安全網(wǎng)關(guān)：一個(gè)路由器和一個(gè)處理機(jī)。結(jié)合在一起后，它們可以提供協(xié)議、鏈路和應(yīng)用級(jí)保護(hù)。這種專用的網(wǎng)關(guān)不象其它種類的網(wǎng)關(guān)一樣，需要提供轉(zhuǎn)換功能。作為網(wǎng)絡(luò)邊緣的網(wǎng)關(guān)，它們的責(zé)任是控制出入的數(shù)據(jù)流。顯然的，由這種網(wǎng)關(guān)聯(lián)接的內(nèi)網(wǎng)與外網(wǎng)都使用IP協(xié)議，因此不需要做協(xié)議轉(zhuǎn)換，過(guò)濾是最重要的。保護(hù)內(nèi)網(wǎng)不被非授權(quán)的外部網(wǎng)絡(luò)訪問(wèn)的原因是顯然的。控制向外訪問(wèn)的原因就不那么明顯了。在某些情況下，是需要過(guò)濾發(fā)向外部的數(shù)據(jù)的。例如，用戶基于瀏覽的增值業(yè)務(wù)可能產(chǎn)生大量的WAN流量，如果不加控制，很容易影響網(wǎng)絡(luò)運(yùn)載其它應(yīng)用的能力，因此有必要全部或部分地阻塞此類數(shù)據(jù)。聯(lián)網(wǎng)的主要協(xié)議IP是個(gè)開(kāi)放的協(xié)議，它被設(shè)計(jì)用于實(shí)現(xiàn)網(wǎng)段間的通信。這既是其主要的力量所在，同時(shí)也是其最大的弱點(diǎn)。為兩個(gè)IP網(wǎng)提供互連在本質(zhì)上創(chuàng)建了一個(gè)大的IP網(wǎng)，保衛(wèi)網(wǎng)絡(luò)邊緣的衛(wèi)士--防火墻--的任務(wù)就是在合法的數(shù)據(jù)和欺騙性數(shù)據(jù)之間進(jìn)行分辨。5、實(shí)現(xiàn)中的考慮實(shí)現(xiàn)一個(gè)安全網(wǎng)關(guān)并不是個(gè)容易的任務(wù),其成功靠需求定義、仔細(xì)設(shè)計(jì)及無(wú)漏洞的實(shí)現(xiàn)。首要任務(wù)是建立全面的規(guī)則，在深入理解安全和開(kāi)銷的基礎(chǔ)上定義可接受的折衷方案，這些規(guī)則建立了安全策略。安全策略可以是寬松的、嚴(yán)格的或介于二者之間。在一個(gè)極端情況下，安全策略的基始承諾是允許所有數(shù)據(jù)通過(guò)，例外很少，很易管理，這些例外明確地加到安全體制中。這種策略很容易實(shí)現(xiàn)，不需要預(yù)見(jiàn)性考慮，保證即使業(yè)余人員也能做到最小的保護(hù)。另一個(gè)極端則極其嚴(yán)格，這種策略要求所有要通過(guò)的數(shù)據(jù)明確指出被允許，這需要仔細(xì)、著意的設(shè)計(jì)，其維護(hù)的代價(jià)很大，但是對(duì)網(wǎng)絡(luò)安全有無(wú)形的價(jià)值。從安全策略的角度看，這是唯一可接受的方案。在這兩種極端之間存在許多方案，它們?cè)谝子趯?shí)現(xiàn)、使用和維護(hù)代價(jià)之間做出了折衷，正確的權(quán)衡需要對(duì)危險(xiǎn)和代價(jià)做出仔細(xì)的評(píng)估。四DMZDMZ是英文“demilitarizedzone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開(kāi)的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過(guò)這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對(duì)攻擊者來(lái)說(shuō)又多了一道關(guān)卡。一般網(wǎng)絡(luò)分成內(nèi)網(wǎng)和外網(wǎng)，也就是LAN和WAN,那么，當(dāng)你有1臺(tái)物理位置上的1臺(tái)服務(wù)器，需要被外網(wǎng)訪問(wèn)，并且，也被內(nèi)網(wǎng)訪問(wèn)的時(shí)候，那么，有2種方法，一種是放在LAN中，一種是放在DMZ。因?yàn)榉阑饓δJ(rèn)情況下，是為了保護(hù)內(nèi)網(wǎng)的，所以，一般的策略是禁止外網(wǎng)訪問(wèn)內(nèi)網(wǎng)，許可內(nèi)網(wǎng)訪問(wèn)外網(wǎng)。但如果這個(gè)服務(wù)器能被外網(wǎng)所訪問(wèn)，那么，就意味著這個(gè)服務(wù)器已經(jīng)處于不可信任的狀態(tài)，那么，這個(gè)服務(wù)器就不能（主動(dòng)）訪問(wèn)內(nèi)網(wǎng)。構(gòu)建DMZ的策略1.內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng)內(nèi)網(wǎng)的用戶顯然需要自由地訪問(wèn)外網(wǎng)。在這一策略中，防火墻需要進(jìn)行源地址轉(zhuǎn)換。2.內(nèi)網(wǎng)可以訪問(wèn)DMZ此策略是為了方便內(nèi)網(wǎng)用戶使用和管理DMZ中的服務(wù)器。3.外網(wǎng)不能訪問(wèn)內(nèi)網(wǎng)很顯然，內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù)，這些數(shù)據(jù)不允許外網(wǎng)的用戶進(jìn)行訪問(wèn)。4.外網(wǎng)可以訪問(wèn)DMZDMZ中的服務(wù)器本身就是要給外界提供服務(wù)的，所以外網(wǎng)必須可以訪問(wèn)DMZ。同時(shí)，外網(wǎng)訪問(wèn)DMZ需要由防火墻完成對(duì)外地址到服務(wù)器實(shí)際地址的轉(zhuǎn)換。5.DMZ不能訪問(wèn)內(nèi)網(wǎng)很明顯，如果違背此策略，則當(dāng)入侵者攻陷DMZ時(shí)，就可以進(jìn)一步進(jìn)攻到內(nèi)網(wǎng)的重要數(shù)據(jù)。6.DMZ不能訪問(wèn)外網(wǎng)此條策略也有例外，比如DMZ中放置郵件服務(wù)器時(shí)，就需要訪問(wèn)外網(wǎng)，否則將不能正常工作。DMZ的實(shí)現(xiàn)根據(jù)以上訪問(wèn)控制策略可以設(shè)定Linux防火墻的過(guò)濾規(guī)則。下面將在一個(gè)虛構(gòu)的網(wǎng)絡(luò)環(huán)境中，探討如何根據(jù)以上六條訪問(wèn)控制策略建立相應(yīng)的防火墻過(guò)濾規(guī)則。這里的討論和具體應(yīng)用會(huì)有所區(qū)別，不過(guò)這種討論將有助于實(shí)際應(yīng)用。用戶在實(shí)際應(yīng)用時(shí)可根據(jù)具體的情況進(jìn)行設(shè)置。該虛擬環(huán)境的網(wǎng)絡(luò)拓?fù)淙鐖D1。如圖1所示，路由器連接Internet和防火墻。作為防火墻的Linux服務(wù)器使用三塊網(wǎng)卡：網(wǎng)卡eth0與路由器相連，網(wǎng)卡eth1與DMZ區(qū)的Hub相連，網(wǎng)卡eth2與內(nèi)網(wǎng)Hub相連。作為一個(gè)抽象的例子，我們用“[內(nèi)網(wǎng)地址]”來(lái)代表“/24”之類的具體數(shù)值。同理還有“[外網(wǎng)地址]”和“[DMZ地址]”。所以，如果服務(wù)器放在內(nèi)網(wǎng)（通過(guò)端口重定向讓外網(wǎng)訪問(wèn)），一旦這個(gè)服務(wù)器被攻擊，則內(nèi)網(wǎng)將會(huì)處于非常不安全的狀態(tài)。但DMZ就是為了讓外網(wǎng)能訪問(wèn)內(nèi)部的資源，也就是這個(gè)服務(wù)器，而內(nèi)網(wǎng)呢，也能訪問(wèn)這個(gè)服務(wù)器，但這個(gè)服務(wù)器是不能主動(dòng)訪問(wèn)內(nèi)網(wǎng)的。DMZ就是這樣的一個(gè)區(qū)域。為了讓物理位置在內(nèi)網(wǎng)的，并且，希望能被外網(wǎng)所訪問(wèn)的這樣的一個(gè)區(qū)域。五還原卡工作原理還原卡的主體是一種硬件芯片，插在主板上與硬盤的MBR（主引導(dǎo)扇區(qū)）協(xié)同工作。大部分還原卡的原理都差不多，其加載驅(qū)動(dòng)的方式十分類似DOS下的引導(dǎo)型病毒：接管BIOS的INT13中斷，將FAT、引導(dǎo)區(qū)、CMOS信息、中斷向量表等信息都保存到卡內(nèi)的臨時(shí)儲(chǔ)存單元中或是在硬盤的隱藏扇區(qū)中，用自帶的中斷向量表來(lái)替換原始的中斷向量表；再另外將FAT信息保存到臨時(shí)儲(chǔ)存單元中，用來(lái)應(yīng)付我們對(duì)硬盤內(nèi)數(shù)據(jù)的修改；最后是在硬盤中找到一部分連續(xù)的空磁盤空間，然后將我們修改的數(shù)據(jù)保存到其中。每當(dāng)我們向硬盤寫入數(shù)據(jù)時(shí)，其實(shí)還是寫入到硬盤中，可是沒(méi)有真正修改硬盤中的FAT。由于保護(hù)卡接管INT13，當(dāng)發(fā)現(xiàn)寫操作時(shí)，便將原先數(shù)據(jù)目的地址重新指向先前的連續(xù)空磁盤空間，并將先前備份的第二份FAT中的被修改的相關(guān)數(shù)據(jù)指向這片空間。當(dāng)我們讀取數(shù)據(jù)時(shí)，和寫操作相反，當(dāng)某程序訪問(wèn)某文件時(shí)，保護(hù)卡先在第二份備份的FAT中查找相關(guān)文件，如果是啟動(dòng)后修改過(guò)的，便在重新定向的空間中讀取，否則在第一份的FAT中查找并讀取相關(guān)文件。刪除和寫入數(shù)據(jù)相同，就是將文件的FAT記錄從第二份備份的FAT中刪除掉。硬盤還原卡是一種基于硬件的硬盤保護(hù)系統(tǒng)，跟還原軟件的作用相同都是在系統(tǒng)損壞或數(shù)據(jù)丟失時(shí)及時(shí)恢復(fù)。還原卡將計(jì)算機(jī)的系統(tǒng)分區(qū)或其他需要保護(hù)的分區(qū)保護(hù)起來(lái)，用戶可以將還原卡設(shè)定為下次啟動(dòng)或過(guò)一定的時(shí)間后對(duì)系統(tǒng)進(jìn)行自動(dòng)還原，這樣，在此期間內(nèi)對(duì)系統(tǒng)所作的修改將不復(fù)存在，免去了系統(tǒng)每使用一段時(shí)間后就由于種種原因造成系統(tǒng)紊亂、經(jīng)常出現(xiàn)死機(jī)而不得不再次重裝系統(tǒng)之苦。計(jì)算機(jī)系統(tǒng)恢復(fù)時(shí)的操作更加方便，只需重啟一下計(jì)算機(jī)即可，并且還原卡的保護(hù)效果也遠(yuǎn)遠(yuǎn)的好于軟件還原，能防止各種病毒的侵襲。還原卡的原理是在操作系統(tǒng)啟動(dòng)之前獲得機(jī)器的控制權(quán)。用戶對(duì)硬盤的操作，實(shí)際上不是對(duì)原來(lái)數(shù)據(jù)的修改，而是對(duì)還原卡保留區(qū)進(jìn)行操作，從而達(dá)到對(duì)系統(tǒng)數(shù)據(jù)保護(hù)的功能。具體來(lái)說(shuō)：（一）控制權(quán)的獲得要得到控制權(quán)就要求還原卡里的程序趕在操作系統(tǒng)引導(dǎo)以前運(yùn)行。計(jì)算機(jī)的啟動(dòng)過(guò)程是在BIOS（基本輸入輸出系統(tǒng)）的控制下進(jìn)行的。BIOS是直接與硬件打交道的底層代碼，它為操作系統(tǒng)提供了控制硬件設(shè)備的基本功能。BIOS包括有系統(tǒng)BIOS（即常說(shuō)的主板BIOS）、顯卡BIOS和其它設(shè)備（例如IDE控制器、SCSI卡或網(wǎng)卡等）的BIOS，BIOS一般被存放在ROM(只讀存儲(chǔ)芯片)之中，即使在關(guān)機(jī)或掉電以后，這些代碼也不會(huì)消失。而絕大部分硬件還原卡程序正是駐留在網(wǎng)卡的BIOS里。計(jì)算機(jī)的啟動(dòng)過(guò)程是這樣的，當(dāng)按下電源開(kāi)關(guān)時(shí)，電源開(kāi)始向主板和其它設(shè)備供電，這時(shí)CPU從固定的內(nèi)存地址開(kāi)始執(zhí)行一條跳轉(zhuǎn)指令，跳到系統(tǒng)BlOS中真正的啟動(dòng)代碼處裝載系統(tǒng)BlOS程序。接著系統(tǒng)BIOS的啟動(dòng)代碼首先要做的事情就是進(jìn)行POST(加電后自檢)，POST的主要任務(wù)是檢測(cè)系統(tǒng)中一些關(guān)鍵設(shè)備是否存在和能否正常工作。接下來(lái)BIOS將查找顯卡的BlOS，對(duì)顯卡進(jìn)行初始化工作。查找網(wǎng)卡等其它BIOS并裝載運(yùn)行之。還原卡上的程序正是利用這個(gè)時(shí)機(jī)將自己裝載到內(nèi)存中的特定地址。緊接著是對(duì)CPU、內(nèi)存等一系列設(shè)備的測(cè)試。系統(tǒng)BlOS的啟動(dòng)代碼的最后一項(xiàng)工作就是讀取并執(zhí)行硬盤上的主引導(dǎo)記錄里的主引導(dǎo)程序。我們看到還原卡程序是在硬盤啟動(dòng)前得到了機(jī)器的控制權(quán)，從而達(dá)到對(duì)計(jì)算機(jī)運(yùn)行時(shí)硬盤的全程監(jiān)控。（二）對(duì)數(shù)據(jù)保護(hù)我們先來(lái)看看是什么改變和破壞了硬盤內(nèi)的數(shù)據(jù)。首先是用戶的修改和刪除數(shù)據(jù)，其次是計(jì)算機(jī)病毒的影響。我們引用較為普遍計(jì)算機(jī)病毒定義：計(jì)算機(jī)病毒是一種人為制造的、隱藏在計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)資源中的、能夠自我復(fù)制進(jìn)行傳播的程序?？梢?jiàn)用戶和病毒對(duì)數(shù)據(jù)的改變都是通過(guò)寫操作和刪除操作引起的，而還原卡正是通過(guò)對(duì)這兩項(xiàng)操作加以影響而達(dá)到對(duì)硬盤數(shù)據(jù)的保護(hù)的。操作物理機(jī)的最低層是ROMBIOS，而層次越低適用范圍越廣，因?yàn)樯蠈佣家{(diào)用它。因此截取到ROMBIOS的硬盤讀寫例程，就能攔截到系統(tǒng)運(yùn)行時(shí)所有的硬盤讀寫操作。而ROMBIOS的程序是由許多中斷程序所組成，完成硬盤操作的中斷是INTl3，因此還原卡程序啟動(dòng)后的第一件工作便是查找到系統(tǒng)BlOS的中斷向量表，用自己的INTl3程序替換掉原有的INTl3程序。來(lái)達(dá)到對(duì)硬盤讀寫的攔截。那么還原卡程序如何通過(guò)攔截INTl3來(lái)達(dá)到對(duì)硬盤的保護(hù)呢?還原卡程序接管BIOS的INT13中斷，將FAT（文件分配表）、引導(dǎo)區(qū)、CMOS信息、中斷向量表等信息都保存到卡內(nèi)的臨時(shí)儲(chǔ)存單元中或是在硬盤的隱藏扇區(qū)中，用自帶的中斷向量表來(lái)替換原始的中斷向量表，再另外將FAT信息保存到臨時(shí)儲(chǔ)存單元中，用來(lái)應(yīng)付我們對(duì)硬盤內(nèi)數(shù)據(jù)的修改；最后是在硬盤中找到一部分連續(xù)的空磁盤空間作為保留區(qū)，然后將我們修改的數(shù)據(jù)保存到其中。每當(dāng)我們向硬盤寫入數(shù)據(jù)時(shí)，其實(shí)還是寫入到硬盤中，可是沒(méi)有真正修改硬盤中的FAT。由于還原卡接管INT13，當(dāng)發(fā)現(xiàn)寫操作時(shí)，便將原先數(shù)據(jù)目的地址重新指向先前的連續(xù)空磁盤空間，并將先前備份的第二份FAT中的被修改的相關(guān)數(shù)據(jù)指向這片空間。當(dāng)我們讀取數(shù)據(jù)時(shí)，和寫操作相反，先在第二份備份的FAT中查找相關(guān)文件，如果是啟動(dòng)后修改過(guò)的，便在重新定向的空間中讀取，否則在第一份的FAT中查找并讀取相關(guān)文件。刪除和寫入數(shù)據(jù)相同，就是將文件的FAT記錄從第二份備份的FAT中刪除掉?？梢?jiàn)還原卡的主要功能就是改變?cè)凶x寫數(shù)據(jù)的地址。使其對(duì)原有數(shù)據(jù)的讀寫轉(zhuǎn)向到對(duì)保留區(qū)里的數(shù)據(jù)進(jìn)行操作，而并沒(méi)有對(duì)數(shù)據(jù)存在的原有地址進(jìn)行讀寫，從而達(dá)到對(duì)原有數(shù)據(jù)的保護(hù)七LangateLanGate是網(wǎng)關(guān)級(jí)的安全設(shè)備，它不同于單純的防病毒產(chǎn)品。LanGate在網(wǎng)關(guān)上做HTTP、SMTP、POP和IMAP的病毒掃描，并且可以通過(guò)策略控制流經(jīng)不同網(wǎng)絡(luò)方向的病毒掃描或阻斷，其應(yīng)用的靈活性和安全性將消除企業(yè)不必要的顧慮。LanGate的防病毒引擎同時(shí)是可在線升級(jí)的，可以實(shí)時(shí)更新病毒庫(kù)。基于用戶策略的安全管理整個(gè)網(wǎng)絡(luò)安全服務(wù)策略可以基于用戶進(jìn)行管理，相比傳統(tǒng)的基于IP的管理方式，提供了更大的靈活性。防火墻功能LanGate系列產(chǎn)品防火墻都是基于狀態(tài)檢測(cè)技術(shù)的，保護(hù)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)免遭來(lái)自Internet的攻擊。防火墻通過(guò)“外->內(nèi)”、“內(nèi)->外”?ⅰ澳?->內(nèi)”（子網(wǎng)或虛擬子網(wǎng)之間）的接口設(shè)置，提供了全面的安全控制策略。VPN功能LanGate支持IPSec、PPTP及L2TP的VPN網(wǎng)絡(luò)傳輸隧道。內(nèi)容過(guò)濾功能LanGate的內(nèi)容過(guò)濾不同于傳統(tǒng)的基于主機(jī)系統(tǒng)結(jié)構(gòu)內(nèi)容處理產(chǎn)品。LanGate設(shè)備是網(wǎng)關(guān)級(jí)的內(nèi)容過(guò)濾，是基于專用芯片硬件技術(shù)實(shí)現(xiàn)的。LanGate專用芯片內(nèi)容處理器包括功能強(qiáng)大的特征掃描引擎，能使很大范圍類型的內(nèi)容與成千上萬(wàn)種關(guān)鍵詞或其它模式的特征相匹配。具有根據(jù)關(guān)鍵字、URL或腳本語(yǔ)言等不同類型內(nèi)容的過(guò)濾，還提供了免屏蔽列表和組合關(guān)鍵詞過(guò)濾的功能。同時(shí)，LanGate還能對(duì)郵件、聊天工具進(jìn)行過(guò)濾及屏蔽。入侵檢測(cè)功能LanGate內(nèi)置的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（IDS）是一種實(shí)時(shí)網(wǎng)絡(luò)入侵檢測(cè)傳感器，它能對(duì)外界各種可疑的網(wǎng)絡(luò)活動(dòng)進(jìn)行識(shí)別及采取行動(dòng)。IDS使用攻擊特征庫(kù)來(lái)識(shí)別過(guò)千種的網(wǎng)絡(luò)攻擊。同時(shí)LanGate將每次攻擊記錄到系統(tǒng)日志里，并根據(jù)設(shè)置發(fā)送報(bào)警郵件或短信給網(wǎng)絡(luò)管理員。垃圾郵件過(guò)濾防毒功能包括：對(duì)SMTP服務(wù)器的IP進(jìn)行黑白名單的識(shí)別垃圾郵件指紋識(shí)別實(shí)時(shí)黑名單技術(shù)對(duì)所有的郵件信息病毒掃描帶寬控制（QoS）LanGate為網(wǎng)絡(luò)管理者提供了監(jiān)測(cè)和管理網(wǎng)絡(luò)帶寬的手段，可以按照用戶的需求對(duì)帶寬進(jìn)行控制，以防止帶寬資源的不正常消耗，從而使網(wǎng)絡(luò)在不同的應(yīng)用中合理分配帶寬，保證重要服務(wù)的正常運(yùn)行。帶寬管理可自定義優(yōu)先級(jí)，確保對(duì)于流量要求苛刻的企業(yè)，最大限度的滿足網(wǎng)絡(luò)管理的需求。系統(tǒng)報(bào)表和系統(tǒng)自動(dòng)警告LanGate系統(tǒng)內(nèi)置詳細(xì)直觀的報(bào)表，對(duì)網(wǎng)絡(luò)安全進(jìn)行全方位的實(shí)時(shí)統(tǒng)計(jì)，用戶可以自定義閥值，所有超過(guò)閥值的事件將自動(dòng)通知管理管理人員，通知方式有Email及短信方式（需結(jié)合短信網(wǎng)關(guān)使用）。多鏈路雙向負(fù)載均衡提供了進(jìn)出流量的多鏈路負(fù)載均衡，支持自動(dòng)檢測(cè)和屏蔽故障多出口鏈路，同時(shí)還支持多種靜態(tài)和動(dòng)態(tài)算法智能均衡多個(gè)ISP鏈路的流量。支持多鏈路動(dòng)態(tài)冗余，流量比率和智能切換；支持基于每條鏈路限制流量大小；支持多種DNS解析和規(guī)劃方式，適合各種用戶網(wǎng)絡(luò)環(huán)境；支持防火墻負(fù)載均衡。：實(shí)證研究及結(jié)論，實(shí)證問(wèn)題概述網(wǎng)絡(luò)安全技術(shù)是當(dāng)前信息化應(yīng)用的重中之重，其實(shí)現(xiàn)方式通常包括硬件和軟件兩種，本題目主要以《鐵道部貨檢集中監(jiān)控系統(tǒng)技術(shù)條件》為需求，研究軟件應(yīng)用安全的主要問(wèn)題、基于部署的主要解決方案，目前，哈爾濱鐵路局機(jī)房啟用了4臺(tái)服務(wù)器，承擔(dān)著中間站網(wǎng)絡(luò)的運(yùn)行（貨運(yùn)站及貨運(yùn)處網(wǎng)站）。經(jīng)過(guò)幾年來(lái)的運(yùn)行，數(shù)據(jù)量不斷增大，子系統(tǒng)不斷增加，導(dǎo)致信息冗余加劇。加之鐵道部使用的應(yīng)用平臺(tái)沒(méi)有經(jīng)過(guò)專業(yè)測(cè)試，未能判斷程序間的兼容性，在與鐵路局信息互訪、統(tǒng)一辦公過(guò)程中，各方面數(shù)據(jù)相互沖突，網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)互訪、信息鏈接、數(shù)據(jù)冗余沒(méi)有經(jīng)過(guò)系統(tǒng)劃分，雜亂無(wú)章，造成了應(yīng)用程序混亂，從而導(dǎo)致系統(tǒng)響應(yīng)緩慢，鏈接失敗，站段不能正常上傳信息，進(jìn)而影響了整體路局的網(wǎng)絡(luò)辦公體系。隨著計(jì)算機(jī)的不斷升級(jí)換代，網(wǎng)絡(luò)應(yīng)用的不斷深入，毋庸置疑，局域網(wǎng)已經(jīng)成為信息傳遞的重要載體和平臺(tái)。客戶端的不斷增加，信息化的迅速發(fā)展，數(shù)據(jù)庫(kù)的不斷升級(jí)擴(kuò)容，100Mbit/s已經(jīng)不能滿足現(xiàn)行網(wǎng)絡(luò)大量傳輸。因此，信息鏈路的簡(jiǎn)潔化實(shí)施已經(jīng)迫在眉睫，必須改造網(wǎng)絡(luò)的端口速率，調(diào)整各自應(yīng)用平臺(tái)，確保正常辦公。根據(jù)哈爾濱電子所機(jī)房實(shí)地考察，從網(wǎng)絡(luò)分布、硬件及配置、軟件現(xiàn)狀三個(gè)方面作以簡(jiǎn)要描述。鐵路局八臺(tái)服務(wù)器物理分布（如圖1所示）。中間站為服務(wù)器1、服務(wù)器2、服務(wù)器3、服務(wù)器4；鐵道部危險(xiǎn)品監(jiān)控系統(tǒng)為服務(wù)器5（鐵道部規(guī)章）、服務(wù)器6；報(bào)價(jià)系統(tǒng)為服務(wù)器7、服務(wù)器8。發(fā)現(xiàn)問(wèn)題：在月初和月末文件傳輸當(dāng)中出現(xiàn)無(wú)法上傳、網(wǎng)絡(luò)響應(yīng)慢或者鏈接超時(shí)，引起各站段不能正常辦公。網(wǎng)絡(luò)分布圖1：網(wǎng)絡(luò)簡(jiǎn)易圖硬件及配置1、服務(wù)器服務(wù)器計(jì)算機(jī)名用戶名/口令remontecontrol口令配置參數(shù)中間站服務(wù)器一ZJZ-1administratorhebhyctoechebtoec134C2.66G/R8G/H146*2服務(wù)器二ZJZ-2administratorhebhyctoechebtoecC2.66G/R8G/H146*3服務(wù)器三ZJZ-3administratorhebhyctoechebtoec137C2.66G/R8G/H146*3服務(wù)器四（數(shù)據(jù)庫(kù)）hyc-web.hyc.dnsadministratorhycwz0802C3.2G/R4G/H73*4危險(xiǎn)品及鐵道部規(guī)章服務(wù)器五hebhycadministrator缺hebtoecC3.2G/R8G/H73*4服務(wù)器六（新增）hebhycadministratorhebwxptoec空C3.0G/R8G/H146*3保價(jià)系統(tǒng)服務(wù)器七h(yuǎn)ebbj1administratorhebbjhebhyaqC3.0G/R8G/H146*3服務(wù)器八hebbj2administratorhebbjhebhyaqC3.0G/R8G/H146*32、網(wǎng)絡(luò)設(shè)備設(shè)備名稱參數(shù)用戶名/密碼備注負(fù)載均衡AIP:9VIP:0admin/admin中間站使用路由模式負(fù)載均衡BIP:9VIP:0admin/admin中間站備用路由模式負(fù)載均衡CIP:6VIP:7admin/admin危險(xiǎn)品使用交換機(jī)24口百兆+2口千兆，背板帶寬4.4GLAN交換24口百兆交換機(jī)，背板帶寬2.4GWAN交換軟件現(xiàn)狀服務(wù)器IP地址應(yīng)用備注服務(wù)器1貨運(yùn)站系統(tǒng)，其中包括貨運(yùn)站網(wǎng)頁(yè)、裝載加固系統(tǒng)、問(wèn)題庫(kù)、hebweb網(wǎng)頁(yè)、規(guī)章系統(tǒng)、設(shè)備專用線系統(tǒng)、人力資源、培訓(xùn)考核。，貨運(yùn)處系統(tǒng)包括貨運(yùn)處網(wǎng)頁(yè)、裝載加固系統(tǒng)、問(wèn)題庫(kù)、hebweb網(wǎng)頁(yè)服務(wù)器1：貨運(yùn)處管理系統(tǒng)、規(guī)章系統(tǒng)、設(shè)備專用線系統(tǒng)、培訓(xùn)教材、技術(shù)表演賽。服務(wù)器2：設(shè)備專用線系統(tǒng)中的“設(shè)備圖形”文件及FTP文件服務(wù)器2服務(wù)器33服務(wù)器410貨運(yùn)站系統(tǒng)、貨運(yùn)處系統(tǒng)、各子系統(tǒng)的數(shù)據(jù)庫(kù)SQL數(shù)據(jù)庫(kù)服務(wù)器511鐵道部危險(xiǎn)品監(jiān)控系統(tǒng)和鐵道部規(guī)章系統(tǒng)及鐵道部危險(xiǎn)品數(shù)據(jù)庫(kù)服務(wù)器5：鐵道部危險(xiǎn)品數(shù)據(jù)庫(kù)SQL,規(guī)章數(shù)據(jù)庫(kù)Oracle服務(wù)器65服務(wù)器711保價(jià)系統(tǒng)服務(wù)器812（二）、需要解決的主要問(wèn)題硬件分析整體網(wǎng)絡(luò)物理分布位置不統(tǒng)一。數(shù)據(jù)庫(kù)與應(yīng)用服務(wù)器分布在不同機(jī)房，中間鏈接無(wú)法確認(rèn)，使得應(yīng)用服務(wù)器訪問(wèn)數(shù)據(jù)庫(kù)需要經(jīng)過(guò)N個(gè)接點(diǎn)，出現(xiàn)冗余信息影響網(wǎng)絡(luò)正常通信，加大了訪問(wèn)時(shí)間。為滿足日益增加的各站段數(shù)據(jù)錄入，數(shù)據(jù)處理的需求，我們?cè)鴮⒅虚g站3臺(tái)服務(wù)器部署成集群模式，以提高服務(wù)器的性能。但因長(zhǎng)期數(shù)據(jù)積累，信息量大，使得百兆的交換機(jī)無(wú)法滿足當(dāng)前的應(yīng)用環(huán)境，即使在集群模式下也會(huì)出現(xiàn)端口瓶頸，引起網(wǎng)絡(luò)阻塞，導(dǎo)致網(wǎng)絡(luò)頁(yè)面響應(yīng)緩慢、延遲及無(wú)法響應(yīng)等現(xiàn)象。危險(xiǎn)品數(shù)據(jù)庫(kù)（服務(wù)器5）、中間站數(shù)據(jù)庫(kù)（服務(wù)器4）硬盤空間不足。服務(wù)器型號(hào)老，接口不統(tǒng)一，擴(kuò)充能力差，無(wú)法滿足后期應(yīng)用需求。軟件分析中間站三臺(tái)服務(wù)器安裝的應(yīng)用有差別，沒(méi)有真正達(dá)到集群要求。鐵路局和鐵道部的應(yīng)用部署混亂，數(shù)據(jù)不能明確劃分，導(dǎo)致系統(tǒng)響應(yīng)緩慢，信息讀取延時(shí)，影響整體應(yīng)用的穩(wěn)定性。（三），解決方案1、帶寬提升增加網(wǎng)絡(luò)帶寬，提升端口吞吐量，升級(jí)百兆端口到千兆，端口模式設(shè)為全雙工，實(shí)現(xiàn)端口匯聚功能，保證網(wǎng)絡(luò)內(nèi)部無(wú)瓶頸。2、優(yōu)化鏈接簡(jiǎn)化網(wǎng)絡(luò)物理鏈接結(jié)構(gòu)，優(yōu)化網(wǎng)絡(luò)設(shè)備分布，減少冗余鏈路。從而提升網(wǎng)絡(luò)讀寫速度，保證多客戶端信息上傳、下載流暢無(wú)延時(shí)。3、數(shù)據(jù)整合合并中間站數(shù)據(jù)庫(kù)和危險(xiǎn)品數(shù)據(jù)庫(kù)，保證一臺(tái)服務(wù)器專門處理單一形式文件，防止應(yīng)用繁瑣而導(dǎo)致系統(tǒng)崩潰或響應(yīng)延時(shí)現(xiàn)象。在一臺(tái)磁盤容量可擴(kuò)展的服務(wù)器上安裝中間站數(shù)據(jù)庫(kù)SQL、鐵道部危險(xiǎn)品數(shù)據(jù)庫(kù)SQL及鐵道部規(guī)章數(shù)據(jù)庫(kù)Oracle,提供6*146G大容量磁盤空間，提供高可用性的RAID-5保證數(shù)據(jù)的安全性。4、集群設(shè)計(jì)負(fù)載均衡調(diào)整為橋接模式，進(jìn)行服務(wù)器間應(yīng)用的均衡。通過(guò)權(quán)重比安排服務(wù)器各自承載的數(shù)據(jù)量，保證每臺(tái)相同負(fù)載均衡下的服務(wù)器應(yīng)用軟件統(tǒng)一，從而提供多臺(tái)冗余，保證集群7*24小時(shí)運(yùn)行，避免軟件不統(tǒng)一導(dǎo)致單臺(tái)服務(wù)器宕機(jī)，影響局部應(yīng)用無(wú)法正常運(yùn)行。5、信息分離八臺(tái)服務(wù)器中的應(yīng)用進(jìn)行物理隔離，鐵道部的危險(xiǎn)品監(jiān)控系統(tǒng)及鐵道部保價(jià)系統(tǒng)進(jìn)行單獨(dú)劃分，與中間站的應(yīng)用分割在不同服務(wù)器，從而保證各自系統(tǒng)安全穩(wěn)定、安全、獨(dú)立運(yùn)行，減少單獨(dú)系統(tǒng)資源非正常被占用情況，便于維護(hù)及升級(jí)。應(yīng)用鏈接網(wǎng)站中各子系統(tǒng)鏈接之間減少數(shù)據(jù)處理，數(shù)據(jù)編輯，添加數(shù)據(jù)庫(kù)鏈接，提取現(xiàn)有數(shù)據(jù)，提高網(wǎng)絡(luò)讀取速度。7、性能標(biāo)準(zhǔn)確保服務(wù)器硬件、應(yīng)用軟件及機(jī)器本身性能滿足安全1+1+1；權(quán)限1/3+1/3+1/3；性能3A標(biāo)準(zhǔn)。硬件冗余硬盤數(shù)據(jù)需要做本地或異地備份，防止因硬盤損壞而丟失數(shù)據(jù)。（二）物理設(shè)計(jì)1、網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)如圖2所示圖2：規(guī)劃圖2、服務(wù)器部署服務(wù)器配置參數(shù)備注中間站服務(wù)器一C2.66G/R8G/H146*2貨運(yùn)站及貨運(yùn)處網(wǎng)站服務(wù)器二C2.66G/R8G/H146*2服務(wù)器三C2.66G/R8G/H146*2危險(xiǎn)品及鐵道部規(guī)章服務(wù)器四C3.2G/R4G/H73*4鐵道部危險(xiǎn)品系統(tǒng)及鐵道部規(guī)章服務(wù)器五C3.2