第10章 计算机安全技术

第10章计算机安全技术计算机安全问题是目前计算机发展的一个核心问题。本章从安全技术概念开始，讨论了常见的计算机网络安全攻击问题及其工具，并给出了相关的防范建议。针对目前计算机网络上病毒的泛滥，尤其是木马病毒的猖獗，详细介绍了木马的工作原理。计算机安全防范，目前主流的方法有防火墙、反病毒软件以及数据加密技术，数据加密其核心思想是让获得信息的人如果没有对应的密钥，也无法知道信息是什么，从而有效的保护信息，而防火墙技术则是把计算机与外世界隔离，使得外部的攻击无法进来，从而有效的保护计算机上的信息不被偷窥。随着Internet与人们的生活工作越来越分不开的现实，不掌握一定的计算机安全知识，将有可能因为信息安全问题而对工作、生活带来极大的危害。本章目录10.1计算机安全概述

10.2计算机网络攻击10.3木马病毒

10.4常见安全技术简介10.5信息加密技术护10.6防火墙技术10.1计算机安全概述随着信息时代到来，电子商务、电子政务，网络改变人们的生活，人类进入信息化社会。计算机系统与网络的广泛应用，商业和国家机密信息的保护以及信息时代电子、信息对抗的需求，存储信息的系统面临的极大的安全威胁，潜在的网络、系统缺陷危及系统的安全。计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性。据统计，几乎每20秒全球就有一起黑客事件发生，仅美国每年所造成的经济损失就超过100亿美元。美国每年网络安全因素造成的损失达170亿美元.2003年1月25日，互联网上出现一种新型高危蠕虫病毒——“2003蠕虫王”。全球25万台计算机遭袭击，全世界范围内损失额最高可达12亿美元。中美黑客网上大战时，国内外的上千个门户网站遭到破坏。2003年2月17日发现一名电脑“黑客”最近“攻入”美国一个专门为商店和银行处理信用卡交易的服务器系统，窃取了万事达、维萨、美国运通、发现4家大型信用卡组织的约800万张信用卡资料。中国国内80%网站有安全隐患，20％网站有严重安全问题利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，而已发现的黑客攻击案只占总数的30%.2007年的熊猫烧香病毒给数百万的用户造成损失.互联网存在的六大问题无主管的自由王国不设防的网络空间法律约束脆弱跨国协调困难民族化和国际化的冲突网络资源紧缺网络和系统的自身缺陷与脆弱性国家、政治、商业和个人利益冲突10.1.1计算机安全定义从狭义的信息保护来看：计算机安全包含了信息的保密性、信息的完整性、防止拒绝服务。信息的保密是指保护信息不为非授权用户掌握；信息的完整性是保护信息不致被非法篡改或破坏，拒绝服务包括临时降低系统性能、系统崩溃而需人工重新启动以及数据永久性丢失。历史上，政府、企业的投资、专业人员的兴趣主要在信息的保密件上。广义的信息保护还包括信息设备的物理安全，诸如场地环境保护、防火措施、防水措施、静电防护、电源保护、空调设备、计算机辐射和计算机病毒等。尽管近年来计算机安全技术取得厂巨大的进展，但随着Internet的普及，网络应用的深入，计算机信息安全性比以往任何时候都更加脆弱。体现在：（1）计算机领域中任何大的技术进步都对安全性构成新的威胁。所有这些威胁都将要新的技术来消除．而丛技术进步的速度要比克服入法进步的速度快很多。（2）网络的普及，使信息共享达到了一个新的层次，信息被暴露的机会大大增多。（3）尽管操作系统都是有缺陷的，但可以通过版本的不断升级来克服，现行的版本是可靠的，能完成基本设计功能：而计算机安全的每—个漏洞都会使系统的所有安全控制毫无价值。（4）安全性的地位总是列在计算机系统总体设计规划的最后面．它首先考虑的是系统的功能、价格、性能、兼容性、可靠性、用户界面。（5）计算机安全本身也带来了一些约束。例如，采取措施不规范，既干扰了诚实用户的工作，又使诚实用户对过程控制、安全措施不熟悉。10.1.2计算机安全原则计算机安全的目的不在于系统百分之百安全，而应当使之达到相当高的水平，使入侵者的非法行为变得极为困难、危险、耗资巨大，获得的价值远不及付出的代价。一个关键的安全原则是使用有效的但是并不会给那些想要真正想要获取信息的合法用户增加负担的方案，寻找出一条实际应用此原则的途径经常是一个困难的寻求平衡举动。使用过于繁杂的安全技术使得合法用户厌烦和规避你的安全协议是非常容易的。黑客时刻准备着和用这样一些看上去无害的行动，因此拥有一个过分繁杂的安全政策将导致比没有安全政策还要低效的安全。许多数据表明，现有的计算机非授权使用及欺骗行为大多数是非技术性的。计算机犯罪的突破口往往选择在过程控制和人员控制的薄弱点上．而不是在内部技术控制的薄弱点上。由于非技术性的偷窃行为相对容易得手，它已成为计算机犯罪的主要途径.10.1.3计算机安全标准国际标准化组织（ISO）7498-2安全体系结构文献定义了安全就是最小化资产和资源的漏洞。资产可以指任何事物。漏洞是指任何可以造成破坏；系统或信息的弱点。威胁是指潜在的安全破坏。ISO进一步把威胁分类为偶然的或故意的，主动的或被动的。偶然威胁是指没有事先预谋的事件，这类的威胁包括天然的灾祸或错误的系统维护。故意的威胁包括非常有经验的攻击者和用特殊的系统知识来破坏计算机或网络上的数据。被动式威胁不修改系统中所包含的信息。与安全标准相关的是安全机制问题，根据ISO提出的，安全机制是一种技术，一些软件或实施一个或更多安全服务的过程。ISO把机制分成特殊的和普遍的。一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。加密就是特殊安全机制的一个例子。一般的安全机制都列出了在同时实施一个或多个安全服务的执行过程。特殊安全机制和一般安全机制不同的另一个要素是一般安全机制不能应用到OSI参考模型的任一层上。普通的机制包括：信任的功能性：指任何加强现有机制的执行过程。例如，当升级TCP／IP堆栈或运行一些软件来加强NT,UNIX系统认证功能时，使用的就是普遍的机制。事件检测：检查和报告本地或远程发生的事件。审计跟踪：任何机制都允许你监视和记录你网络上的活动。安全恢复：对一些事件作出反应，包括对于已知漏洞创建短期和长期的解决方案，包括对受危害系统的修复。10.2计算机网络攻击在网络这个不断更新换代的世界里，网络中的安全漏洞无处不在。即使旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。也许有人认为“安全”只是针对那些大中型企事业单位和网站而言。其实，单从技术上说，黑客入侵的动机是成为目标主机的主人。只要他们获得了一台网络主机的超级用户权限后他们就有可能在该主机上修改资源配置、安置“木马”程序、隐藏行踪、执行任意进程等。网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫10.2.1网络攻击的步骤第一步：隐藏自已的位置第二步：寻找目标主机并分析目标主机第三步：获取帐号和密码，登录主机第四步：获得控制权第五步：窃取网络资源和特权攻击者进入攻击目标后，会继续下一步的攻击。如：下载敏感信息、实施窃取帐号密码、信用卡号等经济偷窃、使网络瘫痪等。10.2.2网络攻击的常见方法与原理1．口令入侵所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多:利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径；从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；查看主机是否有习惯性的帐号：有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。这又有三种方法：（1）是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大。（2）在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但攻击者要有足够的耐心和时间。（3）利用系统管理员的失误。在Unix操作系统中，用户的基本信息存放在passwd文件中，而所有的口令则经过DES加密方法加密后专门存放在一个叫shadow的文件中。入侵者获取口令文件后，就会使用专门的破解DES加密法的程序来解口令。同时由于为数不少的操作系统都存在许多安全漏洞、Bug或一些其他设计缺陷，这些缺陷一旦被找出，入侵者就可以长驱直入。2．放置特洛伊木马程序特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当用户连接到因特网上时，这个程序就会通知攻击者，来报告该用户的IP地址以及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改该用户的计算机的参数设定、复制文件、窥视其整个硬盘中的内容等，从而达到控制该计算机的目的。3．WWW的欺骗技术在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了.一般Web欺骗使用两种技术手段，即URL地址重写技术和相关信息掩盖技术。4.电子邮件攻击电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。相对于其它的攻击手段来说，这种攻击方法具有简单、见效快等优点电子邮件攻击主要表现为两种方式：（1）是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪。（2）是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序。5．通过一个节点来攻击其他节点攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机（以隐蔽其入侵路径，避免留下蛛丝马迹）。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。6．网络监听网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具（如NetXRayforWindows95／98／NT、SniffitforLinux、Solaries等）就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。7．利用黑客软件攻击利用黑客软件攻击是互联网上比较多的一种攻击手法。BackOrifice2000、冰河等都是比较著名的特洛伊木马，它们可以非法地取得用户电脑的超级用户级权利，可以对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端，当黑客进行攻击时，会使用用户端程序登陆上已安装好服务器端程序的电脑，这些服务器端程序都比较小，一般会随附带于某些软件上。8．安全漏洞攻击许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击，由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符，他甚至可以访问根目录，从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏的根目录，从而获得超级用户的权限。9．端口扫描攻击所谓端口扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。10.2.3攻击者常用的攻击工具1．D.O.S攻击工具2．木马程序10.2.4应对网络攻击的建议在对网络攻击进行上述分析与识别的基础上，应当认真制定有针对性的策略。明确安全对象，设置强有力的安全保障体系。做到未雨稠缪，预防为主，将重要的数据备份并时刻注意系统运行状况。以下是针对网络安全问题，提出的几点建议：1．提高安全意识2．使用防毒、防黑等防火墙软件3．设置代理服务器，隐藏自已的IP地址。10.3木马病毒10.3.1木马的基本知识木马，也称特伊洛木马，名称源于古希腊的特伊洛马神话通过对以往网络安全事件的分析统计发现，有相当部分的网络入侵是通过木马来进行的，包括著名的微软被黑一案，据称该黑客是通过一种普通的蠕虫木马侵入微软的系统的，并且窃取了微软部分产品的源码。木马的危害性在于它对电脑系统强大的控制和破坏能力，窃取密码、控制系统操作、进行文件操作等等，一个功能强大的木马一旦被植入你的计算机，攻击者就可以象操作自己的计算机一样控制你的计算机，甚至可以远程监控你的所有操作。10.3.2木马的基本工作原理一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植入到你的电脑里面。目前木马入侵的主要途径还是先通过一定的方法把木马执行文件植入到被攻击者的电脑系统里，如邮件、下载等，然后通过一定的提示故意误导被攻击者打开执行文件一般的木马执行文件非常小，大都是几K到几十K，如果把木马捆绑到其它正常文件上是很难发现的，所以，有一些网站提供的软件下载往往是捆绑了木马病毒文件的，在执行这些下载的文件，也同时运行了木马。木马也可以通过Script、ActiveX及Asp、Cgi交互脚本的方式植入，由于IE浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者电脑进行文件操作等控制，曾出现过一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的Html页面。如果攻击者有办法把木马执行文件上载到攻击主机的一个可执行WWW目录夹里面，他可以通过编制Cgi程序在攻击主机上执行木马目录.木马还可以利用系统的一些漏洞进行植入，如微软著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序即在把IIS服务器崩溃，并且同时在攻击服务器执行远程木马执行文件10.3.3木马如何发送信息给攻击者？当木马在被植入被攻击主机后，它一般会通过一定的方式把入侵主机的信息，如主机的IP地址、木马植入的端口等发送给攻击者，这样攻击者有这些信息才能够与木马里应外合控制攻击主机。在早期的木马里面，大多都是通过发送电子邮件的方式把入侵主机信息告诉攻击者，有一些木马文件干脆把主机所有的密码用邮件的形式通知给攻击者，这样攻击者不用直接连接被攻击主机就可获得一些重要数据，如攻击OICQ密码的GOP木马即是如此。使用电子邮件的方式对攻击者来说并不是最好的一种选择，因为如果木马被发现，可以能过这个电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。10.3.4木马隐身之处1．集成到程序中2．隐藏在配置文件中3．潜伏在Win.ini中4．伪装在普通文件中5．内置到注册表中6．在System.ini中藏身7．隐形于启动组中8．隐蔽在Winstart.bat中9．捆绑在启动文件中10．设置在超级连接中10.4常见安全技术简介

10.4.1杀毒软件技术杀毒软件是最为普遍的，也是应用得最为广泛的安全技术方案，因为这种技术实现起来最为简单，但是杀毒软件的主要功能就是杀毒，功能十分有限，不能完全满足网络安全的需要。这种方式对于个人用户或小企业或许还能满足需要，但如果个人或企业有电子商务方面的需求，就不能完全满足了。可喜的是随着杀毒软件技术的不断发展，现在的主流杀毒软件同时对预防木马及其它的一些黑客程序的入侵。10.4.2防火墙技术防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入，也就是一个把互联网与内部网隔开的屏障。防火墙从实现方式上来分，又分为硬件防火墙和软件防火墙两类，通常意义上讲的硬防火墙为硬件防火墙，它是通过硬件和软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现。软件防火墙是通过纯软件的方式来达到，价格很便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。硬件防火墙从技术又可分为两类,即标准防火墙和双家网关防火墙随着防火墙技术的发展,双家网关的基础上又演化出两种防火墙配置,一种是隐蔽主机网关方式,另一种是隐蔽智能网关（隐蔽子网）。10.4.3文件加密和数字签名技术与防火墙配合使用的安全技术还有文件加密与数字签名技术，它是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部窃取、侦听或破坏所采用的主要技术手段之一。按作用不同,文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。1．数据传输加密技术:目的是对传输中的数据流加密,常用的方针有线路加密和端对端加密两种。2．数据存储加密技术:这种加密技术的目的是防止在存储环节上的数据失密,可分为密文存储和存取控制两种。3．数据完整性鉴别技术:目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证,达到保密的要求,一般包括口令、密钥、身份、数据等项的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。4．密钥管理技术数据的加密技术通常是运用密钥对数据进行加密，这就涉及到一个密钥的管理问题，因为用加密软件进行加密时所用的密钥通常不是我们平常所用的密码那么简单，一般情况下，这种密钥达64位，甚至可能达到128位，显然要记忆这些密钥非常困难，只能保存在一个安全的地方，即进行密钥的管理。10.4.4加密技术在智能卡上的应用与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体,一般就像信用卡一样,由授权用户所持有并由该用户赋予它一个口令或密码字。该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时,智能卡的保密性能比较有效。该技术是目前使用得最广泛的，如常用的IC卡、银行取款卡、智能门锁卡等等但应当了解的是：“安全”都是相对，不可能寄希望有了安全措施之后就能保证信息万无一失，任何网络安全和数据保护的防范措施是有一定的限度。10.5信息加密技术信息加密技术是一门专门研究数据加密的学科，应用信息加密可以保证数据的安全性，也可用于验证用户，是在实现网络安全的重要手段之一。利用信息加密技术可以获得以下安全上的好处：数据保密性：这是使用加密的通常的原因。通过小心使用数学方程式，可以保证只让有权接收的人才能查看它。数据完整性：对需要更安全来说数据保密是不够的。数据仍能够被非法破解开修改。一种叫HASH的运算方法能确定数据是否被修改过。认证：数字签名提供认证服务。不可否定性：数字签名允许用户证明一条信息交换确实发生过。金融组织尤其依赖于这种方式的加密，用于电子货币交易。10.5.1加密强度在加密信息的过程中，—个常被讨论但又经常被误解的方面是加密强度。什么构成了加密的强度?哪种级别的加密是被不同的安全需要所要求的？如何确定加密的有效强度？加密强度取决于二个主要因素：首先是算法的强度,其次是密钥的保密性,最后是密钥长度一般的，决定需要密钥的长度的—个重要因素是被保护信息的价值。比如40位的密钥对于金融交易来说并不合适的，但对于个人用户已经足够了。强加密一般是使用超过128位长度的密钥来实施。10.5.2建立信任关系应用加密技术目的是在主机之间建立一种信任关系。在最基本的级别上，一个信任关系包括一方加密的信息并只有另一方的合作伙伴可以解密这个文件。这种任务是用公钥加密来完成的。这种类别的加密要求建立一个私钥和一个公钥。一旦已经产生了一对密钥，就可以把公钥发布给任何人。一般通过以下两种方法来发布公钥：手动：你首先必须和接收方交换公钥，然后用接收方的公钥来加密信息。自动：SSL和IPSec可以通过一系列的握手可以安全地交换信息（包括私钥）。10.5.3对称加密在对称加密或单密钥加密中，只有一个密钥用来加密和解密信息。尽管单密钥加密的一个简单的过程，但要求双方都必须完全的信赖对方，并都持有这个密钥的备份。要达到这种信任的级别比较困难，如果双方试图建立信任关系时，安全破坏已经发生了，则密钥的传输就是—个重要问题，如果它被截取，那么这个密钥以及相关的重要信息的安全性就丧失了。对称加密的好处就是快速并且强壮。这种特点允许你加密大量的信息而只需要几秒钟。对称加密的缺点是有关密钥的传播，所有的接收者和查看者都必须持有相同的密钥，因此所有的用户必须寻求一种安全的方法来发送和接收密钥。10.5.4非对称加密非对称加密在加密的过程中使用一对密钥，而不像对称加密只使用—个单独的密钥。—对密钥中一个用于加密，另一个用来解密。如用A加密，则用B解密，如果用B加密，则要用A解密。在这对密钥中一个密钥用来公用，另一个作为私有的密钥：用来向外公布的叫做公钥，另一个需要安全保护的是私钥。非对称加密的一个缺点就是加密的速度非常慢，因为需要强烈的数学运算程序。如果一个用户需要使用非对称加密，那么即使比较少量的信息可以也要花上小时的时间。10.6防火墙技术10.5.5HASH加密HASH加密把一些不同长度的信息转化成杂乱的128位编码，称为HASH值。HASH加密用于不想对信息解密或读取。使用这种方法解密在理论上是不可能的，其思想是通过比较两个实体的HASH值是否一样而不用告之其它信息。HASH加密别一种用途是签名文件。它还可用于当你想让别人检查但不能复制信息的时候。自从1986年美国Digital公司在Intemet上安装了全球第一个商用防火墙系统后，防火墙技术得到了飞速的发展。第一代防火墙，又称包过滤防火墙，主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过，对其进转发，但这种防火墙很难抵御IP地址欺骗等攻击，而且审计功能很差。第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。第三代防火墙有效地提高了防火墙的安全性，称为状态监控功能防火墙，它可以对每一层的数据包进行检测和监控。第四代防火墙已超出了原来传统意义上防火墙的范畴，已经演变成一个全方位的安全技术集成系统，它可以抵御目前常见的网络攻击手段

10.6.1防火墙定义防火墙语参考来自己应用在建筑结构里的安全技术。在楼宇里用来起分隔作用的墙，用来隔离不同的房间，尽可能的起防火作用。一旦某个单元起火这种方法保护了其它的居住者。一般地，防火墙里都有一个重要的门，允许人们进入或离开大楼。因此，虽然防火墙保护了人们的安全，但这个门在提供增强安全性的同时允许必要的访问。在计算机网络中，一个网络防火墙扮演着防备潜在的恶意的活动的屏障，并可通过一个“门”来允许人们在你的安全网络和开放的不安全的网络之间通信10.6.2防火墙的任务防火墙在实施安全的过程中是至关重要的。一个防火墙策略要实现四个目标，而每个目标通常都不是通过一个单独的设备或软件来实现的。实现一个企业的安全策略：防火墙的主要意图是强制执行企业的安全策略创建一个阻塞点：防火墙在一个Intranet网络和Internet间建立一个检查点。记录Internet活动：防火墙还能够强制日志记录，并且提供警报功能。限制网络暴露：防火墙在内部网络周围创建了一个保护的边界。10.6.3防火墙术语1．网关:网关是在两个设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口（CGl）到在两台主机间处理流量的防火墙网关。2．电路级网关:电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，决定该会话是否合法，电路级网关是在OSI模型中会话层上来过滤数据包，这样比包过滤防火墙要高两层。3．应用级网关可以工作在OSI七层模型的任一层上，能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。4．包过滤:包过滤是处理网络上基于packet-by-packet流量的设备。5．代理服务器:代理服务器代表内部客户端与外部的服务器通信。代理服务器通常是指一个应用级的网关，电路级网关也可作为代理服务器的一种。6．网络地址翻译（NAT）:网络地址解释是对Intemet隐藏内部地址，防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。7．堡垒主机:堡垒主机是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。10.6.4防火墙技术1．包过滤技术包过滤防火墙的安全性是基于对包的IP地址的校验。按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉，以保证网络系统的安全。2．代理技术代理服务器接收客户请求后会检查验证其合法性，如果合法，代理服务器像一台客户机一样取回所需的信息再转发给客户。它将内部系统与外界隔离开来，从外面只能看到代理服务器而看不到任何内部资源。代理