第十一章 网络安全

2. 应用级网关（Application Level Gateway） 应用级网关（ ）
应用级网关主要控制对应用程序的访问， 应用级网关主要控制对应用程序的访问，它能够对进出的数据包进 行分析、统计， 行分析、统计，防止在受信任的服务器与不受信任的主机间直接建 立联系。而且它还提供一种监督控制机制，使得网络内、外部的访 立联系。而且它还提供一种监来自百度文库控制机制，使得网络内、 问请求在监督机制下得到保护，其功能模型如图11-3所示。 所示。 问请求在监督机制下得到保护，其功能模型如图 所示
包过滤防火墙对用户来说是全透明的， 包过滤防火墙对用户来说是全透明的，其优点是只需在一个关键位 置设置一个包过滤路由器就可以保护整个网络，使用起来非常简洁、 置设置一个包过滤路由器就可以保护整个网络，使用起来非常简洁、 方便，且速度快、费用低。 方便，且速度快、费用低。 包过滤防火墙也有其自身的缺点和局限性 ，例如它只检查地址和 端口，对应用层上的黑客行为无能为力；包过滤规则配置比较复杂； 端口，对应用层上的黑客行为无能为力；包过滤规则配置比较复杂； 包过滤没法检测具有数据驱动攻击这一类潜在危险的数据包等。 包过滤没法检测具有数据驱动攻击这一类潜在危险的数据包等。
防火墙同样还是部署WWW服务器和 服务器和FTP服务器的理想位置。它 服务器的理想位置。 防火墙同样还是部署 服务器和 服务器的理想位置 允许Internet上的其它用户访问上述服务器，而禁止访问内部受保护 上的其它用户访问上述服务器， 允许 上的其它用户访问上述服务器 的其它系统。 的其它系统。
3. 防火墙的局限性
防火墙并非万能，影响网络安全的因素很多， 防火墙并非万能，影响网络安全的因素很多，对于以下情况它 无能为力: 无能为力: 不能防范绕过防火墙产生的攻击
不能防范由于内部用户不注意所造成的威胁 不能防范由于内部用户不注意所造成的威胁 不能防范受到病毒感染的软件或文件在网络上传输 很难防止数据驱动式攻击
由于对更高安全性的要求， 由于对更高安全性的要求，常常把基于包过滤的防火墙与基于代理 服务的防火墙结合起来，形成复合型防火墙产品。 服务的防火墙结合起来，形成复合型防火墙产品。这种结合通常是以 下两种方案： 下两种方案：
图11-2 包过滤防火墙功能模型
Internet/Intranet上的所有信息都是以 数据包的形式传输的，包 上的所有信息都是以IP数据包的形式传输的 上的所有信息都是以 数据包的形式传输的， 过滤路由器负责对所接收的每个数据包的IP地址，TCP或UDP分组 过滤路由器负责对所接收的每个数据包的 地址， 或 分组 地址 头信息进行审查，以便确定其是否与某一条包过滤规则匹配。 头信息进行审查，以便确定其是否与某一条包过滤规则匹配。 包过滤防火墙检查每一条过滤规则，如果找到一个匹配， 包过滤防火墙检查每一条过滤规则，如果找到一个匹配，且规则允 许该数据包通过，则该数据包根据路由表中的信息向前转发； 许该数据包通过，则该数据包根据路由表中的信息向前转发；如果 找到一个匹配，且规则拒绝此数据包，则该数据包将被舍弃。 找到一个匹配，且规则拒绝此数据包，则该数据包将被舍弃。
对计算机网络所构成的威胁大致可分为两类：故意危害和无意危害。 对计算机网络所构成的威胁大致可分为两类：故意危害和无意危害。 故意危害网络安全的主要有三种人：故意破坏者又称黑客 故意危害网络安全的主要有三种人：故意破坏者又称黑客 （Hackers）、 不遵守规则者（Vandals）和刺探秘密者（Crackers）。 ）、 不遵守规则者（ ） 刺探秘密者（ ）。 为网络安全担忧的人大致也可以分为两类，一类是使用网络资源的 为网络安全担忧的人大致也可以分为两类， 一般用户，另一类是提供网络资源的服务提供者。 一般用户，另一类是提供网络资源的服务提供者。
3. 电路级网关（Circuit Level Gateway） 电路级网关（ ）
电路级网关通常工作在在OSI参考模型中的会话层上，它只依赖于 参考模型中的会话层上， 电路级网关通常工作在在 参考模型中的会话层上 TCP连接，而并不关心任何应用协议，也不进行任何的包处理或过滤。 连接， 连接 而并不关心任何应用协议，也不进行任何的包处理或过滤。 就像电线一样，只是在内部连接和外部连接之间来回拷贝字节。 它就像电线一样，只是在内部连接和外部连接之间来回拷贝字节。由 于连接要穿过防火墙，因而其隐藏了受保护网络的有关信息。 于连接要穿过防火墙，因而其隐藏了受保护网络的有关信息。 电路级网关往往不是一个独立的产品， 电路级网关往往不是一个独立的产品，它要和其它一些应用级网关 结合在一起使用。其最大的优点是主机可以被设置成混合网关， 结合在一起使用。其最大的优点是主机可以被设置成混合网关，内 用户使用起来很方便，另外，电路级网关还可将所有内部的IP地 部 用户使用起来很方便，另外，电路级网关还可将所有内部的 地 址映射到一个防火墙专用的、安全的IP地址 地址。 址映射到一个防火墙专用的、安全的 地址。
图11-3 应用级网关的功能模型
和包过滤防火墙一样， 和包过滤防火墙一样，应用级网关也是仅仅依靠特定的逻辑判断来 决定是否允许数据包通过。 决定是否允许数据包通过。一旦防火墙内外的计算机系统建立起直 接联系， 接联系，它外部的用户便有可能直接了解防火墙内部的网络结构和 运行状态，这有利于实施非法访问和攻击。 运行状态，这有利于实施非法访问和攻击。 应用级网关具有较强的访问控制功能， 应用级网关具有较强的访问控制功能，是目前最安全的防火墙技术 之一。但其每一种协议都需要相应的代理软件，实现起来比较困难， 之一。但其每一种协议都需要相应的代理软件，实现起来比较困难， 效率不如网络级防火墙高，而且对用户缺乏“透明度” 效率不如网络级防火墙高，而且对用户缺乏“透明度”。
第十一章 网络安全
本章学习要点： 本章学习要点：
网络安全概述 防火墙技术 网络加密技术 数字证书与数字签名 入侵检测技术 网络防病毒技术 网络安全技术的发展前景
11.1 网络安全概述
1. 网络安全的现状
随着全球信息化的飞速发展， 随着全球信息化的飞速发展，网络已经成为社会和经济发展的强大 推动力，其地位越来越重要。但同时网络安全的问题也日益突出。 推动力，其地位越来越重要。但同时网络安全的问题也日益突出。网 络安全涉及到国家安全、个人利益、企业生存等方方面面， 络安全涉及到国家安全、个人利益、企业生存等方方面面，因此它是 信息化进程中具有重大战略意义的问题。 信息化进程中具有重大战略意义的问题。 计算机犯罪始于二十世纪80年代，随着网络应用范围的逐步扩大， 计算机犯罪始于二十世纪 年代，随着网络应用范围的逐步扩大， 年代 其犯罪手段日见“高明” 计算机网络安全面临严重威胁， 其犯罪手段日见“高明”，计算机网络安全面临严重威胁，安全事 故屡有发生。从目前来看，网络安全的状况令人十分担忧， 故屡有发生。从目前来看，网络安全的状况令人十分担忧，从技术 到管理都处于落后、被动局面。 到管理都处于落后、被动局面。 TCP/IP是Internet的标准协议，传统的网络应用都是基于此协议的， 是 的标准协议， 的标准协议 传统的网络应用都是基于此协议的， 因而大部分网络安全问题都与TCP/IP协议有关。近来在局域网中， 协议有关。 因而大部分网络安全问题都与 协议有关 近来在局域网中， TCP/IP也越来越流行，这使得通过 也越来越流行， 侵入局域网变得十分容易。 也越来越流行 这使得通过Internet侵入局域网变得十分容易。 侵入局域网变得十分容易
4. 代理服务防火墙（Proxy Sever Firewall） 代理服务防火墙（ ）
代理服务防火墙又称链路级网关， 代理服务防火墙又称链路级网关，通常指运行代理服务器软件的一 台计算机。代理服务器（ 台计算机。代理服务器（Proxy Sever）运行在 ）运行在Intranet和Internet之 和 之 是内、外网络的隔离点，起着监视和隔绝应用层通信流的作用， 间，是内、外网络的隔离点，起着监视和隔绝应用层通信流的作用， 其功能模型如图11-4所示。 所示。 其功能模型如图 所示
2. 网络面临的主要威胁
黑客的攻击 管理的欠缺 网络的缺陷 软件的漏洞或“后门” 软件的漏洞或“后门” 企业网络内部
返回本节首页 返回本章首页
11.2 防火墙技术
11.2.1 防火墙的基本概念
1. 什么是防火墙
“防火墙”（Fire Wall）是用来连接两个网络并控制两个网络之间 防火墙” ） 相互访问的系统，如图11-1所示。它包括用于网络连接的软件和硬件 所示。 相互访问的系统，如图 所示 以及控制访问的方案。防火墙用于对进出的所有数据进行分析， 以及控制访问的方案。防火墙用于对进出的所有数据进行分析，并对 用户进行认证，从而防止有害信息进入受保护网， 用户进行认证，从而防止有害信息进入受保护网，为网络提供安全保 障。
Intranet
Internet
防火墙
图11-1 防火墙的位置与功能示意图
2. 防火墙的主要功能
集中的网络安全
防火墙允许网络管理员定义一个中心（阻塞点） 防火墙允许网络管理员定义一个中心（阻塞点）来防止非法用户进 入内部网络，禁止存在不安全因素的访问进出网络， 入内部网络，禁止存在不安全因素的访问进出网络，并抗击来自各种 线路的攻击。 线路的攻击。
11.2.2 防火墙的主要类型
典型的防火墙系统通常由一个或多个构件组成，相应地， 典型的防火墙系统通常由一个或多个构件组成，相应地，实现防火 墙的技术包括以下四大类： 墙的技术包括以下四大类：
1. 包过滤防火墙（Packet Filtering Firewall） 包过滤防火墙（ ）
包过滤防火墙，又称网络级防火墙， 包过滤防火墙，又称网络级防火墙，通常由一台路由器或一台充当 路由器的计算机组成，如图11-2所示。 所示。 路由器的计算机组成，如图 所示
安全警报
通过防火墙可以方便地监视网络的安全性，并产生报警信号。 通过防火墙可以方便地监视网络的安全性，并产生报警信号。
重新部署网络地址转换（ 重新部署网络地址转换（NAT） ）
接入Internet的机构，可以通过网络地址转换（NAT）来完成内部 的机构，可以通过网络地址转换（ 接入 的机构 ） 私有地址到外部注册地址的映射，而防火墙正是部署NAT的理想位置。 的理想位置。 私有地址到外部注册地址的映射，而防火墙正是部署 的理想位置
监视Internet的使用情况 的使用情况 监视
防火墙也是审查和记录内部人员对Internet使用的一个最佳位置， 使用的一个最佳位置， 防火墙也是审查和记录内部人员对 使用的一个最佳位置 可以在此对内部访问Internet的情况进行记录。 的情况进行记录。 可以在此对内部访问 的情况进行记录
向外发布信息
图11-4 代理服务防火墙功能模型
代理服务器收到用户对某站点的访问请求后， 代理服务器收到用户对某站点的访问请求后，便立即检查该请求是 否符合规则。若规则允许用户访问该站点， 否符合规则。若规则允许用户访问该站点，代理服务器便会以客户 身份登录目的站点，取回所需的信息再发回给客户。 身份登录目的站点，取回所需的信息再发回给客户。 代理服务器将所有跨越防火墙的通信链路分为两段， 代理服务器将所有跨越防火墙的通信链路分为两段，外部用户只能 看到该代理服务器而无法获知任何内部资料，如IP地址，从而起到 看到该代理服务器而无法获知任何内部资料， 地址， 地址 了隔离防火墙内、外计算机系统的作用。 了隔离防火墙内、外计算机系统的作用。
代理服务软件要分析网络数据包并作出访问控制决定， 代理服务软件要分析网络数据包并作出访问控制决定，从而在一定 程度上影响了网络的性能， 程度上影响了网络的性能，且代理服务器需要为每个网络用户专门 设计，安装使用较复杂，成本也相对较高。 设计，安装使用较复杂，成本也相对较高。
5. 复合型防火墙（Compound Firewall） 复合型防火墙（ ）