黑客应该具备哪些知识

想成为黑客最起码要懂的16个基本问题

问：什么是 *** 安全?

答： *** 安全是指 *** 系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行， *** 服务不被中断。

问：什么是计算机病毒?

答：计算机病毒（Computer Virus）是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

问：什么是木马?

答：木马是一种带有恶意性质的远程控制软件。木马一般分为客户端（client）和服务器端（server）。客户端就是本地使用的各种命令的控制台，服务器端则是要给别人运行，只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。

问：什么是防火墙?它是如何确保 *** 安全的？

答：使用防火墙（Firewall）是一种确保 *** 安全的 *** 。防火墙是指设置在不同 *** （如可信任的企业内部网和不可信的公共网）或 *** 安全域之间的一系列部件的组合。它是不同 *** 或 *** 安全域之间信息的惟一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入 *** 的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现 *** 和信息安全的基础设施。

问：什么是后门?为什么会存在后门？

答：后门（Back Door）是指一种绕过安全性控制而获取对程序或系统访问权的 *** 。在软件的开发阶段，程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道，或是在发布软件之前没有删除，那么它就成了安全隐患。

问：什么叫入侵检测？？

答：入侵检测是防火墙的合理补充，帮助系统对付 *** 攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性。它从计算机 *** 系统中的若干关键点收集信息，并分析这些信息，检查 *** 中是否有违反安全策略的行为和遭到袭击的迹象

问：什么叫数据包监测?它有什么作用？

答：数据包监测可以被认为是一根窃听 *** 线在计算机 *** 中的等价物。当某人在“监听” *** 时，他们实际上是在阅读和解释 *** 上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页，这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据，而数据包监测工具就允许某人截获数据并且查看它。

问：什么是NIDS？

答：NIDS是Network Intrusion Detection System的缩写，即 *** 入侵检测系统，主要用于检测Hacker或Cracker通过 *** 进行的入侵行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有 *** 设备的通信信息，比如Hub、路由器。

问：什么叫SYN包?

答：TCP连接的之一个包，非常小的一种数据包。SYN攻击包括大量此类的包，由于这些包看上去来自实际不存在的站点，因此无法有效进行处理。

问：加密技术是指什么?

答：加密技术是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。

加密技术包括两个元素：算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字（密钥）结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解密的一种算法。在安全保密中，可通过适当的钥加密技术和管理机制来保证 *** 的信息通信安全。

问：什么叫蠕虫病毒?

答：蠕虫病毒（Worm）源自之一种在 *** 上传播的病毒。1988年，22岁的康奈尔大学研究生罗伯特·莫里斯（Robert Morris）通过 *** 发送了一种专为攻击UNIX系统缺陷、名为“蠕虫”（Worm）的病毒。蠕虫造成了6000个系统瘫痪，估计损失为200万到6000万美元。由于这只蠕虫的诞生，在网上还专门成立了计算机应急小组（CERT）。现在蠕虫病毒家族已经壮大到成千上万种，并且这千万种蠕虫病毒大都出自黑客之手。

问：什么是操作系统型病毒?它有什么危害？

答：这种病毒会用它自己的程序加入操作系统或者取代部分操作系统进行工作，具有很强的破坏力，会导致整个系统瘫痪。而且由于感染了操作系统，这种病毒在运行时，会用自己的程序片断取代操作系统的合法程序模块。根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用，以及病毒取代操作系统的取代方式等，对操作系统进行破坏。同时，这种病毒对系统中文件的感染性也很强。

问：莫里斯蠕虫是指什么?它有什么特点？

答：它的编写者是美国康乃尔大学一年级研究生罗特·莫里斯。这个程序只有99行，利用了Unix系统中的缺点，用Finger命令查联机用户名单，然后破译用户口令，用Mail系统复制、传播本身的源程序，再编译生成代码。

最初的 *** 蠕虫设计目的是当 *** 空闲时，程序就在计算机间“游荡”而不带来任何损害。当有机器负荷过重时，该程序可以从空闲计算机“借取资源”而达到 *** 的负载平衡。而莫里斯蠕虫不是“借取资源”，而是“耗尽所有资源”。

问：什么是DDoS？它会导致什么后果？

答：DDoS也就是分布式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的 *** ，但是发起攻击的源是多个。通常攻击者使用下载的工具渗透无保护的主机，当获得该主机的适当的访问权限后，攻击者在主机中安装软件的服务或进程（以下简称 *** ）。这些 *** 保持睡眠状态，直到从它们的主控端得到指令，对指定的目标发起拒绝服务攻击。随着危害力极强的黑客工具的广泛传播使用，分布式拒绝服务攻击可以同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响，而分布于全球的几千个攻击将会产生致命的后果。

问：局域网内部的ARP攻击是指什么？

答：ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的 *** 通信。一般情况下，受到ARP攻击的计算机会出现两种现象:

1.不断弹出“本机的XXX段硬件地址与 *** 中的XXX段地址冲突”的对话框。

2.计算机不能正常上网，出现 *** 中断的症状。

因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。

问：什么叫欺骗攻击?它有哪些攻击方式？

答： *** 欺骗的技术主要有:HONEYPOT和分布式HONEYPOT、欺骗空间技术等。主要方式有:IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗（通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作）、地址欺骗（包括伪造源地址和伪造中间站点）等。

参考资料：黑客基地www.hackbase.com

http://zhidao.baidu.com/question/18959113.html?fr=qrl3

*** 安全的关键技术有哪些？

一.虚拟网技术

虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。

由以上运行机制带来的 *** 安全的好处是显而易见的：信息只到达应该到达的地点。因此、防止了大部分基于 *** 监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的 *** 节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的安全问题：

执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。

基于 *** 广播原理的入侵监控技术在高速交换 *** 内需要特殊的设置。

基于MAC的VLAN不能防止MAC欺骗攻击。

以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。

但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分更好基于交换机端口。但这要求整个 *** 桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。

*** 层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议族各厂家实现的不完善，因此，在 *** 层发现的安全漏洞相对更多，如IP sweep, teardrop, sync-flood, IP spoofing攻击等。

二.防火墙枝术

*** 防火墙技术是一种用来加强 *** 之间访问控制,防止外部 *** 用户以非法手段通过外部 *** 进入内部 *** ,访问内部 *** 资源,保护内部 *** 操作环境的特殊 *** 互联设备.它对两个或多个 *** 之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定 *** 之间的通信是否被允许,并监视 *** 运行状态.

防火墙产品主要有堡垒主机,包过滤路由器,应用层网关( *** 服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.

虽然防火墙是保护 *** 免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.

自从1986年美国Digital公司在Internet上安装了全球之一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.

防火墙处于5层 *** 安全体系中的更底层,属于 *** 层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部 *** 系统如果答案是"是",则说明企业内部网还没有在 *** 层采取相应的防范措施.

作为内部 *** 与外部公共 *** 之间的之一道屏障,防火墙是更先受到人们重视的 *** 安全产品之一.虽然从理论上看,防火墙处于 *** 安全的更底层,负责 *** 间的安全认证与传输,但随着 *** 安全技术的整体发展和 *** 应用的不断变化,现代防火墙技术已经逐步走向 *** 层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种 *** 应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.

1、使用Firewall的益处

保护脆弱的服务

通过过滤不安全的服务，Firewall可以极大地提高 *** 安全和减少子网中主机的风险。

例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。

控制对系统的访问

Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server。

集中的安全管理

Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运用于整个内部 *** 系统，而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证 *** ，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。

增强的保密性

使用Firewall可以阻止攻击者获取攻击 *** 系统的有用信息，如Finger和DNS。

记录和统计 *** 利用数据以及非法使用数据

Firewall可以记录和统计通过Firewall的 *** 通讯，提供关于 *** 使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。

策略执行

Firewall提供了制定和执行 *** 安全策略的手段。未设置Firewall时， *** 安全取决于每台主机的用户。

2、 设置Firewall的要素

*** 策略

影响Firewall系统设计、安装和使用的 *** 策略可分为两级，高级的 *** 策略定义允许和禁止的服务以及如何使用服务，低级的 *** 策略描述Firewall如何限制和过滤在高级策略中定义的服务。

服务访问策略

服务访问策略集中在Internet访问服务以及外部 *** 访问（如拨入策略、SLIP/PPP连接等）。

服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的 *** 风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。

Firewall设计策略

Firewall设计策略基于特定的firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：

允许任何服务除非被明确禁止；

禁止任何服务除非被明确允许。

通常采用第二种类型的设计策略。

3、 Firewall的基本分类

包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是 *** 中的分包传输技术. *** 上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.

但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于 *** 层的安全技术,只能根据数据包的来源,目标和端口等 *** 信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.

*** 地址转换(NAT)

是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部 *** 访问因特网.它还意味着用户不许要为其 *** 中每一台机器取得注册的IP地址.

在内部 *** 通过安全网卡访问外部 *** 时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部 *** 连接,这样对外就隐藏了真实的内部 *** 地址.在外部 *** 通过非安全网卡访问内部 *** 时,它并不知道内部 *** 的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求. *** 地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.

*** 型

*** 型防火墙也可以被称为 *** 服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展. *** 服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看, *** 服务器相当于一台真正的服务器;而从服务器来看, *** 服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给 *** 服务器, *** 服务器再根据这一请求向服务器索取数据,然后再由 *** 服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部 *** 系统.

*** 型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且 *** 服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

监测型监测型

防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他 *** 的节点之中,不仅能够检测来自 *** 外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对 *** 系统的攻击中,有相当比例的攻击来自 *** 内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品

虽然监测型防火墙安全性上已超越了包过滤型和 *** 服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代 *** 型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证 *** 系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.

实际上,作为当前防火墙产品的主流趋势,大多数 *** 服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过 *** 应用,应用网关能够有效地避免内部 *** 的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种 *** 应用协议的有效支持和对 *** 整体性能的影响上。

4、 建设Firewall的原则

分析安全和服务需求

以下问题有助于分析安全和服务需求：

√ 计划使用哪些Internet服务(如http，ftp，gopher)，从何处使用Internet服务(本地网，拨号，远程办公室)。

√ 增加的需要，如加密或拔号接入支持。

√ 提供以上服务和访问的风险。

√ 提供 *** 安全控制的同时，对系统应用服务牺牲的代价。

策略的灵活性

Internet相关的 *** 安全策略总的来说，应该保持一定的灵活性，主要有以下原因：

√ Internet自身发展非常快，机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题，安全策略必须能反应和处理这些问题。

√ 机构面临的风险并非是静态的，机构职能转变、 *** 设置改变都有可能改变风险。

远程用户认证策略

√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。

√ PPP/SLIP连接必须通过Firewall认证。

√ 对远程用户进行认证 *** 培训。

拨入/拨出策略

√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。

√ 外部拨入用户必须通过Firewall的认证。

Information Server策略

√ 公共信息服务器的安全必须集成到Firewall中。

√ 必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口。

√ 为Information server定义折中的安全策略允许提供公共服务。

√ 对公共信息服务和商业信息(如email)讲行安全策略区分。

Firewall系统的基本特征

√ Firewall必须支持．“禁止任何服务除非被明确允许”的设计策略。

√ Firewall必须支持实际的安全政策，而非改变安全策略适应Firewall。

√ Firewall必须是灵活的，以适应新的服务和机构智能改变带来的安全策略的改变。

√ Firewall必须支持增强的认证机制。

√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。

√ IP过滤描述语言应该灵活，界面友好，并支持源IP和目的IP，协议类型，源和目的TCP/UDP口，以及到达和离开界面。

√ Firewall应该为FTP、TELNET提供 *** 服务，以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP，http等)也必须通过 *** 服务器。

√ Firewall应该支持集中的 *** TP处理，减少内部网和远程系统的直接连接。

√ Firewall应该支持对公共Information server的访问，支持对公共Information server的保护，并且将Information server同内部网隔离。

√ Firewall可支持对拨号接入的集中管理和过滤。

√ Firewall应支持对交通、可疑活动的日志记录。

√ 如果Firewall需要通用的操作系统，必须保证使用的操作系统安装了所有己知的安全漏洞Patch。

√ Firewall的设计应该是可理解和管理的。

√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。

5、选择防火墙的要点

(1) 安全性：即是否通过了严格的入侵测试。

(2) 抗攻击能力：对典型攻击的防御能力

(3) 性能：是否能够提供足够的 *** 吞吐能力

(4) 自我完备能力：自身的安全性，Fail-close

(5) 可管理能力：是否支持SNMP网管

(6) VPN支持

(7) 认证和加密特性

(8) 服务的类型和原理

(9) *** 地址转换能力

三.病毒防护技术

病毒历来是信息系统安全的主要问题之一。由于 *** 的广泛互联，病毒的传播途径和速度大大加快。

我们将病毒的途径分为：

(1 ) 通过FTP，电子邮件传播。

(2) 通过软盘、光盘、磁带传播。

(3) 通过Web游览传播，主要是恶意的Java控件网站。

(4) 通过群件系统传播。

病毒防护的主要技术如下：

(1) 阻止病毒的传播。

在防火墙、 *** 服务器、 *** TP服务器、 *** 服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。

(2) 检查和清除病毒。

使用防病毒软件检查和清除病毒。

(3) 病毒数据库的升级。

病毒数据库应不断更新，并下发到桌面系统。

(4) 在防火墙、 *** 服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。

四.入侵检测技术

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的 *** 保护，降低了 *** 安全风险。但是，仅仅使用防火墙、 *** 安全还远远不够：

(1) 入侵者可寻找防火墙背后可能敞开的后门。

(2) 入侵者可能就在防火墙内。

(3) 由于性能的限制，防火焰通常不能提供实时的入侵检测能力。

入侵检测系统是近年出现的新型 *** 安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开 *** 连接等。

实时入侵检测能力之所以重要首先它能够对付来自内部 *** 的攻击，其次它能够缩短hacker入侵的时间。

入侵检测系统可分为两类：

√ 基于主机

√ 基于 ***

基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。

基于 *** 的入侵检测系统用于实时监控 *** 关键路径的信息，其基本模型如右图示：

上述模型由四个部分组成：

(1) Passive protocol Analyzer *** 数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。

(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。

(3) countermeasure执行规定的动作。

(4) Storage保存分析结果及相关数据。

基于主机的安全监控系统具备如下特点：

(1) 精确，可以精确地判断入侵事件。

(2) 高级，可以判断应用层的入侵事件。

(3) 对入侵时间立即进行反应。

(4) 针对不同操作系统特点。

(5) 占用主机宝贵资源。

基于 *** 的安全监控系统具备如下特点：

(1) 能够监视经过本网段的任何活动。

(2) 实时 *** 监视。

(3) 监视粒度更细致。

(4) 精确度较差。

(5) 防入侵欺骗的能力较差。

(6) 交换 *** 环境难于配置。

基于主机及 *** 的入侵监控系统通常均可配置为分布式模式：

(1) 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。

(2) 在需要监视的 *** 路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨 *** 的入侵监视解决方案。

选择入侵监视系统的要点是：

(1) 协议分析及检测能力。

(2) 解码效率(速度)。

(3) 自身安全的完备性。

(4) 精确度及完整度，防欺骗能力。

(5) 模式更新速度。

五.安全扫描技术

*** 安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的 *** 。

安全扫描工具源于Hacker在入侵 *** 系统时采用的工具。商品化的安全扫描工具为 *** 安全漏洞的发现提供了强大的支持。

安全扫描工具通常也分为基于服务器和基于 *** 的扫描器。

基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。

基于 *** 的安全扫描主要扫描设定 *** 内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。 *** 安全扫描的主要性能应该考虑以下方面：

(1) 速度。在 *** 内进行安全扫描非常耗时。

(2) *** 拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。

(3) 能够发现的漏洞数量。

(4) 是否支持可定制的攻击 *** 。通常提供强大的工具构造特定的攻击 *** 。因为 *** 内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描 *** 肯定不能满足客户的需求。

(5) 报告，扫描器应该能够给出清楚的安全漏洞报告。

(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。

安全扫描器不能实时监视 *** 上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。

六. 认证和数宇签名技术

认证技术主要解决 *** 通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。

认证技术将应用到企业 *** 中的以下方面：

(1) 路由器认证，路由器和交换机之间的认证。

(2) 操作系统认证。操作系统对用户的认证。

(3) 网管系统对网管设备之间的认证。

(4) VPN网关设备之间的认证。

(5) 拨号访问服务器与客户间的认证。

(6) 应用服务器(如Web Server)与客户的认证。

(7) 电子邮件通讯双方的认证。

数字签名技术主要用于：

(1) 基于PKI认证体系的认证过程。

(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。

认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密 *** 的混合。

UserName/Password认证

该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。

使用摘要算法的认证

Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，敏感信息不在 *** 上传输。市场上主要采用的摘要算法有MD5和SHA-1。

基于PKI的认证

使用公开密钥体系进行认证和加密。该种 *** 安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证 *** 目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。

该种认证 *** 安全程度很高，但是涉及到比较繁重的证书管理任务。

黑客帝国中体现了哪些信息安全技术

《黑客帝国》由华纳兄弟公司1999年发行的动作片，该片由安迪·沃卓斯基执导，基努·里维斯、凯瑞-安·莫斯、劳伦斯·菲什伯恩等主演。

该片讲述了一名年轻的 *** 黑客尼奥发现看似正常的现实世界实际上是由一个名为“矩阵”的计算机人工智能系统控制的。尼奥在一名神秘女郎崔妮蒂的引导下见到了黑客组织的首领墨菲斯，三人走上了抗争矩阵的征途的故事。

计算机 *** 安全技术措施有哪些

对计算机信息构成不安全的因素很多， 其中包括人为的因素、自然的因素和偶发的因素。其中，人为因素是指，一些不法之徒利用计算机 *** 存在的漏洞，或者潜入计算机房，盗用计算机系统资源，非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息 *** 安全威胁更大的因素，垃圾邮件和间谍软件也都在侵犯着我们的计算机 *** 。计算机 *** 不安全因素主要表现在以下几个方面：

1、 计算机 *** 的脆弱性

互联网是对全世界都开放的 *** ，任何单位或个人都可以在网上方便地传输和获取各种信息，互联网这种具有开放性、共享性、国际性的特点就对计算机 *** 安全提出了挑战。互联网的不安全性主要有以下几项：

(1) *** 的开放性， *** 的技术是全开放的，使得 *** 所面临的攻击来自多方面。或是来自物理传输线路的攻击，或是来自对 *** 协议的攻击，以及对计算机软件、硬件的漏洞实施攻击。

(2) *** 的国际性，意味着对 *** 的攻击不仅是来自于本地 *** 的用户，还可以是互联网上其他国家的黑客，所以， *** 的安全面临着国际化的挑战。

(3) *** 的自由性，大多数的 *** 对用户的使用没有技术上的约束，用户可以自由地上网，发布和获取各类信息。

2、操作系统存在的安全问题

操作系统是作为一个支撑软件，使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性，系统开发设计的不周而留下的破绽，都给 *** 安全留下隐患。

(1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理，每个管理都涉及到一些模块或程序，如果在这些程序里面存在问题，比如内存管理的问题，外部 *** 的一个连接过来，刚好连接一个有缺陷的模块，可能出现的情况是，计算机系统会因此崩溃。所以，有些黑客往往是针对操作系统的不完善进行攻击，使计算机系统，特别是服务器系统立刻瘫痪。

(2)操作系统支持在 *** 上传送文件、加载或安装程序，包括可执行文件，这些功能也会带来不安全因素。 *** 很重要的一个功能就是文件传输功能，比如FTP，这些安装程序经常会带一些可执行文件，这些可执行文件都是人为编写的程序，如果某个地方出现漏洞，那么系统可能就会造成崩溃。像这些远程调用、文件传输，如果生产厂家或个人在上面安装间谍程序，那么用户的整个传输过程、使用过程都会被别人监视到，所有的这些传输文件、加载的程序、安装的程序、执行文件，都可能给操作系统带来安全的隐患。所以，建议尽量少使用一些来历不明，或者无法证明它的安全性的软件。

(3)操作系统不安全的一个原因在于它可以创建进程，支持进程的远程创建和激活，支持被创建的进程继承创建的权利，这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上，特别是“打”在一个特权用户上，黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。

(4)操作系统有些守护进程，它是系统的一些进程，总是在等待某些事件的出现。所谓守护进程，比如说用户有没按键盘或鼠标，或者别的一些处理。一些监控病毒的监控软件也是守护进程，这些进程可能是好的，比如防病毒程序，一有病毒出现就会被扑捉到。但是有些进程是一些病毒，一碰到特定的情况，比如碰到5月1日，它就会把用户的硬盘格式化，这些进程就是很危险的守护进程，平时它可能不起作用，可是在某些条件发生，比如5月1日，它才发生作用，如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况。

(5)操作系统会提供一些远程调用功能，所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序，可以提交程序给远程的服务器执行，如telnet。远程调用要经过很多的环节，中间的通讯环节可能会出现被人监控等安全的问题。

(6)操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序 *** 。在软件开发阶段，程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用，或在发布软件前没有删除后门程序，容易被黑客当成漏洞进行攻击，造成信息泄密和丢失。此外，操作系统的无口令的入口，也是信息安全的一大隐患。

(7)尽管操作系统的漏洞可以通过版本的不断升级来克服， 但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间，一个小小的漏洞就足以使你的整个 *** 瘫痪掉。

3、数据库存储的内容存在的安全问题

数据库管理系统大量的信息存储在各种各样的数据库里面，包括我们上网看到的所有信息，数据库主要考虑的是信息方便存储、利用和管理，但在安全方面考虑的比较少。例如：授权用户超出了访问权限进行数据的更改活动；非法用户绕过安全内核，窃取信息。对于数据库的安全而言，就是要保证数据的安全可靠和正确有效，即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取；数据库的完整性是防止数据库中存在不符合语义的数据。

4 、防火墙的脆弱性

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与网之间的界面上构造的保护屏障.它是一种硬件和软件的结合，使Internet 与Intranet 之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。

但防火墙只能提供 *** 的安全性，不能保证 *** 的绝对安全，它也难以防范 *** 内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁，但是却不能防止从LAN 内部的攻击，若是内部的人和外部的人联合起来，即使防火墙再强，也是没有优势的。它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展，还有一些破解的 *** 也使得防火墙造成一定隐患。这就是防火墙的局限性。

5、其他方面的因素

计算机系统硬件和通讯设施极易遭受到自然的影响，如：各种自然灾害（如地震、泥石流、水灾、风暴、物破坏等）对构成威胁。还有一些偶发性因素，如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等，也对计算机 *** 构成严重威胁。此外不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对计算机信息安全造成威胁。

计算机 *** 安全的对策，可以从一下几个方面进行防护：

1、 技术层面对策

对于技术方面，计算机 *** 安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来，技术层面可以采取以下对策：

(1)建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业修养。对重要部门和信息，严格做好开机查毒，及时备份数据，这是一种简单有效的 *** 。

(2) *** 访问控制。访问控制是 *** 安全防范和保护的主要策略。它的主要任务是保证 *** 资源不被非法使用和访问。它是保证 *** 安全最重要的核心策略之一。访问控制涉及的技术比较广，包括入网访问控制、 *** 权限控制、目录级控制以及属性控制等多种手段。

(3)数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证 *** 。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略：只备份数据库、备份数据库和事务日志、增量备份。

(4)应用密码技术。应用密码技术是信息安全核心技术，密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要 *** 之一，密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。

(5)切断途径。对被感染的硬盘和计算机进行彻底杀毒处理，不使用来历不明的U 盘和程序，不随意下载 *** 可疑信息。

(6)提高 *** 反病毒技术能力。通过安装病毒防火墙，进行实时过滤。对 *** 服务器中的文件进行频繁扫描和监测，在工作站上采用防病毒卡，加强 *** 目录和文件访问权限的设置。在 *** 中，限制只能由服务器才允许执行的文件。

(7)研发并完善高安全的操作系统。研发具有高安全的操作系统，不给病毒得以滋生的温床才能更安全。

2、管理层面对策

计算机 *** 的安全管理，不仅要看所采用的安全技术和防范措施，而且要看它所采取的管理措施和执行计算机安全保护、法规的力度。只有将两者紧密结合，才能使计算机 *** 安全确实有效。

计算机 *** 的安全管理，包括对计算机用户的安全、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及 *** 的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念，提高计算机用户的安全意识，对防止计算机犯罪、 *** 黑客攻击和防止计算机病毒干扰，是十分重要的措施。

这就要对计算机用户不断进行法制教育，包括计算机安全法、计算机犯罪法、保密法、数据保护法等，明确计算机用户和系统管理人员应履行的权利和义务，自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则，自觉地和一切违法犯罪的行为作斗争，维护计算机及 *** 系统的安全，维护信息系统的安全。除此之外，还应教育计算机用户和全体工作人员，应自觉遵守为维护系统安全而建立的一切规章制度，包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。

3、安全层面对策

要保证计算机 *** 系统的安全、可靠，必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施，主要包括以下内容：

(1)计算机系统的环境条件。计算机系统的安全环境条件，包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面，都要有具体的要求和严格的标准。

(2)机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地，要注意其外部环境安全性、可靠性、场地抗电磁干扰性，避开强振动源和强噪声源，并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。

(3)机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃 *** 设施、重要数据而采取的安全措施和对策。为做到区域安全，首先，应考虑物理访问控制来识别访问用户的身份，并对其合法性进行验证；其次，对来访者必须限定其活动范围；第三，要在计算机系统中心设备外设多层安全防护圈，以防止非法暴力入侵；第四设备所在的建筑物应具有抵御各种自然灾害的设施。

*** 安全的关键技术有哪些

一.虚拟网技术

虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。

由以上运行机制带来的 *** 安全的好处是显而易见的：信息只到达应该到达的地点。因此、防止了大部分基于 *** 监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的 *** 节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的安全问题：

执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。

基于 *** 广播原理的入侵监控技术在高速交换 *** 内需要特殊的设置。

基于MAC的VLAN不能防止MAC欺骗攻击。

以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。

但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分更好基于交换机端口。但这要求整个 *** 桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。

*** 层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议族各厂家实现的不完善，因此，在 *** 层发现的安全漏洞相对更多，如IP sweep, teardrop, sync-flood, IP spoofing攻击等。

二.防火墙枝术

*** 防火墙技术是一种用来加强 *** 之间访问控制,防止外部 *** 用户以非法手段通过外部 *** 进入内部 *** ,访问内部 *** 资源,保护内部 *** 操作环境的特殊 *** 互联设备.它对两个或多个 *** 之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定 *** 之间的通信是否被允许,并监视 *** 运行状态.

防火墙产品主要有堡垒主机,包过滤路由器,应用层网关( *** 服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.

虽然防火墙是保护 *** 免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.

自从1986年美国Digital公司在Internet上安装了全球之一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.

防火墙处于5层 *** 安全体系中的更底层,属于 *** 层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部 *** 系统如果答案是"是",则说明企业内部网还没有在 *** 层采取相应的防范措施.

作为内部 *** 与外部公共 *** 之间的之一道屏障,防火墙是更先受到人们重视的 *** 安全产品之一.虽然从理论上看,防火墙处于 *** 安全的更底层,负责 *** 间的安全认证与传输,但随着 *** 安全技术的整体发展和 *** 应用的不断变化,现代防火墙技术已经逐步走向 *** 层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种 *** 应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.

1、使用Firewall的益处

保护脆弱的服务

通过过滤不安全的服务，Firewall可以极大地提高 *** 安全和减少子网中主机的风险。

例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。

控制对系统的访问

Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server。

集中的安全管理

Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运用于整个内部 *** 系统，而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证 *** ，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。

增强的保密性

使用Firewall可以阻止攻击者获取攻击 *** 系统的有用信息，如Finger和DNS。

记录和统计 *** 利用数据以及非法使用数据

Firewall可以记录和统计通过Firewall的 *** 通讯，提供关于 *** 使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。

策略执行

Firewall提供了制定和执行 *** 安全策略的手段。未设置Firewall时， *** 安全取决于每台主机的用户。

2、 设置Firewall的要素

*** 策略

影响Firewall系统设计、安装和使用的 *** 策略可分为两级，高级的 *** 策略定义允许和禁止的服务以及如何使用服务，低级的 *** 策略描述Firewall如何限制和过滤在高级策略中定义的服务。

服务访问策略

服务访问策略集中在Internet访问服务以及外部 *** 访问（如拨入策略、SLIP/PPP连接等）。

服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的 *** 风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。

Firewall设计策略

Firewall设计策略基于特定的firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：

允许任何服务除非被明确禁止；

禁止任何服务除非被明确允许。

通常采用第二种类型的设计策略。

3、 Firewall的基本分类

包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是 *** 中的分包传输技术. *** 上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.

但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于 *** 层的安全技术,只能根据数据包的来源,目标和端口等 *** 信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.

*** 地址转换(NAT)

是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部 *** 访问因特网.它还意味着用户不许要为其 *** 中每一台机器取得注册的IP地址.

在内部 *** 通过安全网卡访问外部 *** 时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部 *** 连接,这样对外就隐藏了真实的内部 *** 地址.在外部 *** 通过非安全网卡访问内部 *** 时,它并不知道内部 *** 的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求. *** 地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.

*** 型

*** 型防火墙也可以被称为 *** 服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展. *** 服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看, *** 服务器相当于一台真正的服务器;而从服务器来看, *** 服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给 *** 服务器, *** 服务器再根据这一请求向服务器索取数据,然后再由 *** 服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部 *** 系统.

*** 型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且 *** 服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

监测型监测型

防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他 *** 的节点之中,不仅能够检测来自 *** 外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对 *** 系统的攻击中,有相当比例的攻击来自 *** 内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品

虽然监测型防火墙安全性上已超越了包过滤型和 *** 服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代 *** 型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证 *** 系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.

实际上,作为当前防火墙产品的主流趋势,大多数 *** 服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过 *** 应用,应用网关能够有效地避免内部 *** 的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种 *** 应用协议的有效支持和对 *** 整体性能的影响上。

4、 建设Firewall的原则

分析安全和服务需求

以下问题有助于分析安全和服务需求：

√ 计划使用哪些Internet服务(如http，ftp，gopher)，从何处使用Internet服务(本地网，拨号，远程办公室)。

√ 增加的需要，如加密或拔号接入支持。

√ 提供以上服务和访问的风险。

√ 提供 *** 安全控制的同时，对系统应用服务牺牲的代价。

策略的灵活性

Internet相关的 *** 安全策略总的来说，应该保持一定的灵活性，主要有以下原因：

√ Internet自身发展非常快，机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题，安全策略必须能反应和处理这些问题。

√ 机构面临的风险并非是静态的，机构职能转变、 *** 设置改变都有可能改变风险。

远程用户认证策略

√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。

√ PPP/SLIP连接必须通过Firewall认证。

√ 对远程用户进行认证 *** 培训。

拨入/拨出策略

√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。

√ 外部拨入用户必须通过Firewall的认证。

Information Server策略

√ 公共信息服务器的安全必须集成到Firewall中。

√ 必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口。

√ 为Information server定义折中的安全策略允许提供公共服务。

√ 对公共信息服务和商业信息(如email)讲行安全策略区分。

Firewall系统的基本特征

√ Firewall必须支持．“禁止任何服务除非被明确允许”的设计策略。

√ Firewall必须支持实际的安全政策，而非改变安全策略适应Firewall。

√ Firewall必须是灵活的，以适应新的服务和机构智能改变带来的安全策略的改变。

√ Firewall必须支持增强的认证机制。

√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。

√ IP过滤描述语言应该灵活，界面友好，并支持源IP和目的IP，协议类型，源和目的TCP/UDP口，以及到达和离开界面。

√ Firewall应该为FTP、TELNET提供 *** 服务，以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP，http等)也必须通过 *** 服务器。

√ Firewall应该支持集中的 *** TP处理，减少内部网和远程系统的直接连接。

√ Firewall应该支持对公共Information server的访问，支持对公共Information server的保护，并且将Information server同内部网隔离。

√ Firewall可支持对拨号接入的集中管理和过滤。

√ Firewall应支持对交通、可疑活动的日志记录。

√ 如果Firewall需要通用的操作系统，必须保证使用的操作系统安装了所有己知的安全漏洞Patch。

√ Firewall的设计应该是可理解和管理的。

√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。

5、选择防火墙的要点

(1) 安全性：即是否通过了严格的入侵测试。

(2) 抗攻击能力：对典型攻击的防御能力

(3) 性能：是否能够提供足够的 *** 吞吐能力

(4) 自我完备能力：自身的安全性，Fail-close

(5) 可管理能力：是否支持SNMP网管

(6) VPN支持

(7) 认证和加密特性

(8) 服务的类型和原理

(9) *** 地址转换能力

三.病毒防护技术

病毒历来是信息系统安全的主要问题之一。由于 *** 的广泛互联，病毒的传播途径和速度大大加快。

我们将病毒的途径分为：

(1 ) 通过FTP，电子邮件传播。

(2) 通过软盘、光盘、磁带传播。

(3) 通过Web游览传播，主要是恶意的Java控件网站。

(4) 通过群件系统传播。

病毒防护的主要技术如下：

(1) 阻止病毒的传播。

在防火墙、 *** 服务器、 *** TP服务器、 *** 服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。

(2) 检查和清除病毒。

使用防病毒软件检查和清除病毒。

(3) 病毒数据库的升级。

病毒数据库应不断更新，并下发到桌面系统。

(4) 在防火墙、 *** 服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。

四.入侵检测技术

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的 *** 保护，降低了 *** 安全风险。但是，仅仅使用防火墙、 *** 安全还远远不够：

(1) 入侵者可寻找防火墙背后可能敞开的后门。

(2) 入侵者可能就在防火墙内。

(3) 由于性能的限制，防火焰通常不能提供实时的入侵检测能力。

入侵检测系统是近年出现的新型 *** 安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开 *** 连接等。

实时入侵检测能力之所以重要首先它能够对付来自内部 *** 的攻击，其次它能够缩短hacker入侵的时间。

入侵检测系统可分为两类：

√ 基于主机

√ 基于 ***

基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。

基于 *** 的入侵检测系统用于实时监控 *** 关键路径的信息，其基本模型如右图示：

上述模型由四个部分组成：

(1) Passive protocol Analyzer *** 数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。

(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。

(3) countermeasure执行规定的动作。

(4) Storage保存分析结果及相关数据。

基于主机的安全监控系统具备如下特点：

(1) 精确，可以精确地判断入侵事件。

(2) 高级，可以判断应用层的入侵事件。

(3) 对入侵时间立即进行反应。

(4) 针对不同操作系统特点。

(5) 占用主机宝贵资源。

基于 *** 的安全监控系统具备如下特点：

(1) 能够监视经过本网段的任何活动。

(2) 实时 *** 监视。

(3) 监视粒度更细致。

(4) 精确度较差。

(5) 防入侵欺骗的能力较差。

(6) 交换 *** 环境难于配置。

基于主机及 *** 的入侵监控系统通常均可配置为分布式模式：

(1) 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。

(2) 在需要监视的 *** 路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨 *** 的入侵监视解决方案。

选择入侵监视系统的要点是：

(1) 协议分析及检测能力。

(2) 解码效率(速度)。

(3) 自身安全的完备性。

(4) 精确度及完整度，防欺骗能力。

(5) 模式更新速度。

五.安全扫描技术

*** 安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的 *** 。

安全扫描工具源于Hacker在入侵 *** 系统时采用的工具。商品化的安全扫描工具为 *** 安全漏洞的发现提供了强大的支持。

安全扫描工具通常也分为基于服务器和基于 *** 的扫描器。

基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。

基于 *** 的安全扫描主要扫描设定 *** 内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。 *** 安全扫描的主要性能应该考虑以下方面：

(1) 速度。在 *** 内进行安全扫描非常耗时。

(2) *** 拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。

(3) 能够发现的漏洞数量。

(4) 是否支持可定制的攻击 *** 。通常提供强大的工具构造特定的攻击 *** 。因为 *** 内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描 *** 肯定不能满足客户的需求。

(5) 报告，扫描器应该能够给出清楚的安全漏洞报告。

(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。

安全扫描器不能实时监视 *** 上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。

六. 认证和数宇签名技术

认证技术主要解决 *** 通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。

认证技术将应用到企业 *** 中的以下方面：

(1) 路由器认证，路由器和交换机之间的认证。

(2) 操作系统认证。操作系统对用户的认证。

(3) 网管系统对网管设备之间的认证。

(4) VPN网关设备之间的认证。

(5) 拨号访问服务器与客户间的认证。

(6) 应用服务器(如Web Server)与客户的认证。

(7) 电子邮件通讯双方的认证。

数字签名技术主要用于：

(1) 基于PKI认证体系的认证过程。

(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。

认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密 *** 的混合。

UserName/Password认证

该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。

使用摘要算法的认证

Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，敏感信息不在 *** 上传输。市场上主要采用的摘要算法有MD5和SHA-1。

基于PKI的认证

使用公开密钥体系进行认证和加密。该种 *** 安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证 *** 目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。

该种认证 *** 安全程度很高，但是涉及到比较繁重的证书管理任务。

*** 安全技术主要有哪些?

计算机 *** 安全技术简称 *** 安全技术，指致力于解决诸如如何有效进行介入控制，以及如何保证数据传输的安全性的技术手段，主要包括物理安全分析技术， *** 结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。

技术分类

虚拟网技术

虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。

防火墙技术

*** 防火墙技术是一种用来加强 *** 之间访问控制,防止外部 *** 用户以非法手段通过外部 *** 进入内部 *** ,访问内部 *** 资源,保护内部 *** 操作环境的特殊 *** 互联设备.它对两个或多个 *** 之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定 *** 之间的通信是否被允许,并监视 *** 运行状态.

防火墙产品主要有堡垒主机,包过滤路由器,应用层网关( *** 服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.

病毒防护技术

病毒历来是信息系统安全的主要问题之一。由于 *** 的广泛互联，病毒的传播途径和速度大大加快。

将病毒的途径分为：

(1 ) 通过FTP，电子邮件传播。

(2) 通过软盘、光盘、磁带传播。

(3) 通过Web游览传播，主要是恶意的Java控件网站。

(4) 通过群件系统传播。

病毒防护的主要技术如下：

(1) 阻止病毒的传播。

在防火墙、 *** 服务器、 *** TP服务器、 *** 服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。

(2) 检查和清除病毒。

使用防病毒软件检查和清除病毒。

(3) 病毒数据库的升级。

病毒数据库应不断更新，并下发到桌面系统。

(4) 在防火墙、 *** 服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。

入侵检测技术

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的 *** 保护，降低了 *** 安全风险。但是，仅仅使用防火墙、 *** 安全还远远不够：

(1) 入侵者可寻找防火墙背后可能敞开的后门。

(2) 入侵者可能就在防火墙内。

(3) 由于性能的限制，防火墙通常不能提供实时的入侵检测能力。

入侵检测系统是近年出现的新型 *** 安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开 *** 连接等。

实时入侵检测能力之所以重要首先它能够对付来自内部 *** 的攻击，其次它能够缩短hacker入侵的时间。

入侵检测系统可分为两类：基于主机和基于 *** 的入侵检测系统。

安全扫描技术

*** 安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的 *** 。

安全扫描工具通常也分为基于服务器和基于 *** 的扫描器。

认证和数字签名技术

认证技术主要解决 *** 通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。

VPN技术

1、企业对VPN 技术的需求

企业总部和各分支机构之间采用internet *** 进行连接，由于internet是公用 *** ，因此，必须保证其安全性。我们将利用公共 *** 实现的私用 *** 称为虚拟私用网(VPN)。

2、数字签名

数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对，作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名，利用CA提供的公共密钥，任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的。

3、IPSEC

IPSec作为在IP v4及IP v6上的加密通讯框架，已为大多数厂商所支持，预计在1998年将确定为IETF标准，是VPN实现的Internet标准。

IPSec主要提供IP *** 层上的加密通讯能力。该标准为每个IP包增加了新的包头格式，Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。