网站安全管理

网站安全管理第一页，共一百四十九页，编辑于2023年，星期一第6章

网站安全管理近年来，随着Internet的发展，利用网站安全的脆弱性，黑客在网上的攻击活动每年正在以10倍的速度增长，形形色色的黑客把网站上的任何漏洞和缺陷作为靶子，无孔不入。如：修改网页进行恶作剧，非法进入主机破坏程序，侵入银行网站转移金额，窃取网上信息，进行电子邮件骚扰，阻塞用户和窃取密码等等。政府、军事和金融网站更是他们攻击的主要目标，且呈明显的上升趋势。为了确保网站的健康发展和网站电子化业务的广泛应用，应加大对黑客和计算机犯罪的打击力度，加强对网站安全的防护。

第二页，共一百四十九页，编辑于2023年，星期一6.1网站安全概述网站安全是一个内涵极其丰富的概念，单就计算机安全而言已逐步发展为计算机科学的子学科，而计算机网站安全至少涉及到法律学、犯罪学、心理学、经济学、应用数学和计算机基础科学、加密学及审计学等相关学科。同时，网站安全已经派生为一门新的技术，越来越多的组织和个人在研究、应用这一技术，并推出一系列的产品，逐步形成了一项产业。当一个机构将其专用网络连接到Internet上时，安全就成为人们关注的首要问题。日益增长的Internet服务大大增加了对一个机构进行专用网络与数据资源进行非法访问和潜在的破坏性访问的风险。第三页，共一百四十九页，编辑于2023年，星期一6.1网站安全概述企业网站建设好后，越来越多的专用网用户要求使用Internet的Telnet、FTP、Mail和WWW诸项服务。此外，许多公司还要求向经由Internet的公开访问提供WWW主页和FTP的服务器。当网络管理者将其机构的专用数据和网络基础设施暴露给Internet上的窥探者时，网络的安全也越来越引起他们的关心。要想达到所需的防护水准，各机构必须制定可防止非授权户访问其专用网资源及其专有信息非法外流的安全政策。第四页，共一百四十九页，编辑于2023年，星期一6.1.1网站安全的含义和内容

1.网站安全的含义就网站而言，因为网站的定义有许多种，所以各种关于网站安全的定义也不同。有的定义认为：网站安全就是保护网上保存和流动的数据，不被他人偷看、窃取或修改。也有的定义认为：网站信息安全是指保护信息财产，以防止偶然的或未授权者对信息的泄漏、修改和破坏，从而导致信息的不可行或无法处理。综合起来看，笔者认为，网站安全是指利用网站管理控制和技术措施，保证在一个网站环境里，信息数据的机密性、完整性及可使用性受到保护。第五页，共一百四十九页，编辑于2023年，星期一6.1.1网站安全的含义和内容网站安全的主要目标是：确保经网站传送的信息在到达目的站时没有任何增加、改变、丢失或被非法读取。要做到这一点，必须保证网站系统软件、应用软件系统、数据库系统具有一定的安全保护功能，并保证网站部件如终端、调制解调器、数据链路等的功能不变而且仅仅是那些被授权的人们可以访问。

第六页，共一百四十九页，编辑于2023年，星期一6.1.1网站安全的含义和内容

2.网站安全的内容网站的安全性问题实际上包括两方面的内容，一是网站的系统安全，二是网站的信息安全。而保护网站的信息安全是最终目的。就网站信息安全而言，首先是信息的保密性，其次是信息的完整性。另一个与网站安全紧密相关的概念是拒绝服务。所谓拒绝服务主要包括三方面的内容：系统临时降低性能；系统崩溃而需要人工重新启动；因数据永久性丢失而导致较大范围的系统崩溃。拒绝服务是与计算机网站系统可靠性有关的—个重要问题，但由于各种计算机系统种类繁多，综合进行研究比较困难。

第七页，共一百四十九页，编辑于2023年，星期一6.1.1网站安全的含义和内容近年来利用广泛开放的物理网站环境进行全球通信已成为时代发展的趋势，但是在一个开放的物理环境中构造一个封闭的逻辑环境来满足部门或个人的实际需求，已成为必须考虑的现实问题。开放性的系统常常由于节点分散、难于管理等特点而易受到攻击和蒙受不法操作带来的损失，若没有安全保障，则系统的开放性会带来灾难性的后果。网站的开放和安全本身是一对矛盾，如果想“鱼和熊掌”兼得，就必须对开放系统的安全性进行深入自主的研究，找到并清理实现开放系统的安全性所涉及的关键技术环节，并掌握设计和实现开放系统的安全性的方案和措施。第八页，共一百四十九页，编辑于2023年，星期一6.1.1网站安全的含义和内容在计算机网站中，安全威胁来自各方面，甚至有些是由于用户自身的失误而产生的。影响、危害计算机网站安全的因素分自然和人为两类。自然因素包括温度、湿度、灰尘、雷击、静电、水灾、火灾、地震、空气污染和设备故障等因素。人为因素又有无意和故意之分，例如由于误操作删除了数据的疏忽和过失属于无意，而人为故意的破坏属于黑客行为。由于网站存储和流动着许多高度机密数据和电子财富，这早已是政治间谍、商业间谍及黑客窥测和行动的目标。网站安全的内容大致包括以下四方面。

第九页，共一百四十九页，编辑于2023年，星期一6.1.1网站安全的含义和内容

（1）网站实体安全如计算机机房的物理条件、物理环境及设施的安全标准，计算机硬件、附属设备及网站传输线路的安装及配置等。（2）软件安全如保护网站系统不被非法侵入，系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等。（3）网站中的数据安全如保护网站信息的数据安全、不被非法存取，保护其完整、一致等。（4）网站安全管理如对运行时突发事件的安全处理等，包括采取计算机安全技术，建立安全管理制度，开展安全审计，进行风险分析等内容。第十页，共一百四十九页，编辑于2023年，星期一6.1.2网站的安全性能网站的安全性能主要包括保密性、完整性和可使用性（三者简称CIA）。

1.保密性是指网站中有保密要求的信息只能供经过允许的人员，以经过允许的方式使用。从技术上说，任何传输线路，包括电缆（双绞或同轴）、光缆、微波和卫星，都是可能被窃听的。对于电缆的窃听，可以是接触式的，也可以是非接触式的，即通过电磁感应或利用电磁辐射来窃听。现在已有灵敏度很高的TEMPEST设备，无线传输可以用天线接受。即使像微波那样的视距传播，由于波束有一定的宽度，天线也可以放在射线中央以外地区接收。第十一页，共一百四十九页，编辑于2023年，星期一6.1.2网站的安全性能

2.完整性指网站中的信息的安全、精确与有效，不因种种不安全因素而改变信息原有的内容、形式与流向。造成信息完整性破坏的原因也可分人为和非人为的两种。非人为因素如通信传输中的干扰噪声、系统硬件或软件的差错等。人为因素包括有意和无意两种，前者如非法分子对计算机的侵入、合法用户越权对网站内数据的处理，以及隐藏的破坏性程序；无意危害如操作失误或使用不当等。

第十二页，共一百四十九页，编辑于2023年，星期一6.1.2网站的安全性能对于大多数的网站来说，完整性的破坏是对网站安全的主要危害。而信息完整性是一个很广泛的问题，例如分布式数据库中关于并发性操作或者对多个数据副本的更新所引起的数据一致性问题；又如由于系统的设计不完善造成使用不当或操作失误所引起的数据完整性问题等。信息完整性涉及到数据库安全、分布处理、软件可靠性等领域。

第十三页，共一百四十九页，编辑于2023年，星期一6.1.2网站的安全性能

3.可使用性指网站的资源在需要时即可使用，不因系统故障或误操作等使资源丢失或妨碍对资源的使用。网站可使用性还包括具有在某些不正常条件下继续运行的能力。对网站可使用性的影响包括合法的用户不能正常访问网站的资源和有严格时间要求的服务不能得到及时响应。影响网站可使用性的因素包括人为与非人为两种。前者如非法占用网站资源，切断或阻塞网站通信，病毒或“蠕虫”降低网站性能，甚至使网站瘫痪等等。后者如灾害事故（火、水、雷击等）和系统死锁、系统故障等。第十四页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素网站的安全因素是多方面的。从网站组成结构上分有计算机信息系统的，有通信设备设施的；从内容上分有技术上的，有管理上的；从管理上分有内部的和外部的，等等。具体来说主要有五方面问题。

1.网站系统软件自身的安全问题网站系统软件的自身安全与否直接关系网站安全，网站系统软件的安全功能较少或不全，以及系统设计时的疏忽或考虑不周而留下的“破绽”，都等于给危害网站安全的人和事留下了许多“后门”。第十五页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素（1）一般操作系统的体系结构造成其本身是不安全的，这也是计算机系统不安全的根本原因之一。操作系统的程序是可以动态链接的，包括I/O的驱动程序与系统服务，都可以用打“补丁”的方式进行动态链接。许多UNIX操作系统版本的升级、开发都是采用打“补丁”的方式进行的。这种方法既然厂商可以使用，那么“黑客”也可以使用，同时这种动态链接也是计算机病毒产生的好环境。（2）一般操作系统的一些功能必然带来一些不安全因素，例如支持在网站上传输文件的功能，包括可以执行的文件映像，即在网站上加载程序。第十六页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素（3）一般操作系统不安全的另一原因在于它可以创建进程，甚至支持在网站的节点上进行远程进程的创建与激活，更重要的是被创建的进程可以继承创建进程的权利。这一点与上一点（可在网站上加载程序）结合起来就构成了可以在远端服务器上安装“间谍”软件的条件。若再加上把这种间谍软件以打“补丁”的方式与一个合法的用户结合，尤其是与一个特权用户结合，黑客或间谍软件就可以做到系统进程与作业的监视程序都监测不到它的存在。（4）操作系统运行时，—些系统程序进程总在等待一些条件的出现，一旦有满足要求的条件出现，程序便继续运行下去，这都是“黑客”可以利用的。第十七页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素（5）操作系统安排的无口令入口，这原本是为系统开发人员提供的便捷入门，但它也是“黑客”的通道。另外，操作系统还有隐蔽信道。（6）Internet和Internet使用的TCP/IP（传输控制协议/网际协议）以及FTP（文件传输协议）、E-mail（电子邮件）、RPC（远程程序通信规则）、NFS（网站文件系统）等都包含许多不安全的因素，存在着许多漏洞。第十八页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素

2.网站系统中数据的安全问题网站中的信息数据是存放在计算机数据库中的，通常也指存放在服务器中的信息集，供不同的用户来共享。数据库存在着不安全性和危险性，因为在数据库系统中存放着大量重要的信息资源，在用户共享资源时可能会出现以下现象：授权用户超出了他们的访问权限进行更改活动：非法用户绕过安全内核，窃取信息资源等。因此提出了数据库安全问题，也就是要保证数据的安全可靠和正确有效。

第十九页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素对数据的保护主要是指针对数据的安全性、完整性和并发控制三方面。数据的安全性就是保证数据库不被故意地破坏和非法地存取。数据的完整性是防止数据库中存在不符合语义的数据，以及防止由于错误信息的输入、输出而造成无效操作和错误结果。并发控制的数据库是一个共享资源，在多个用户程序并行地存取数据库时就可能会产生多个用户程序通过网站并发地存取同一数据的情况，若不进行并发控制就会使取出和存入的数据不正确，破坏了数据库的一致性。第二十页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素

3.传输线路的安全与质量问题同轴电缆、双绞线、光纤或无线方式引入了新的物理安全暴露点，被动方式如搭线窃听；主动方式如模拟对方进行窃听。利用计算机通信设备天然存在的电磁泄露进行窃取活动，也是一个重要的安全隐患。部分对整体的安全威胁，任意单一组件的失密都可能造成整个网站的安全失败。从安全的角度来说，没有绝对安全的通信线路。

第二十一页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素同时，无论采用何种传输线路，当线路的通信质量不好时，将直接影响联网效果，严重的时候甚至导致网站中断。例如，当通信线路中断，计算机网站也就中断，这还比较明显。而当线路时通时断、线路衰耗大或串音杂音严重时，问题虽然不那么明显，但是对通信网站的影响却是相当大，可能会严重地危害通信数据的完整性。为保证好的通信质量和网站效果，就必须有合格的传输线路，如在于线电缆中，应尽量挑选最好的线路作为计算机联网专线，以得到最佳的效果。

第二十二页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素

4.网站安全管理问题网站安全管理最重要的是从体系结构上要实行最小权限原则。世界上现有的信息系统绝大多数缺少安全管理员，缺少信息系统安全管理的技术规范，缺少定期的安全测试与检查，更缺少安全监控。我国许多企业的信息系统已经使用了许多年，但计算机的系统管理员与用户的注册还是大多处于默认状态。另一方面，由于网站是由各种服务器、工作站、终端等集群组成，各种服务器各自运行着不同的操作系统，各自继承着自身系统的不同安全特性。所以整个网站天然地继承了他们各自的安全隐患。随着计算机及通信设备组件数目的增大，积累起来的安全问题将十分可观。第二十三页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素

5.其他威胁网站安全的典型因素其他威胁网站安全的典型因素如下：（1）计算机黑客依据FinancialTimes的统计，全球平均每20秒钟就有一个网络遭到入侵。通过偷窃码、非法进入电话系统和IP欺骗等手段，黑客正在不断地偷窃企业内部宝贵的数据资料。到目前为止，还没有理由坚信任何一个网络能够免受黑客的入侵。第二十四页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素①黑客攻击的典型步骤黑客攻击的典型步骤有三步：●窥视相当于通常的窃贼在远处张望一家民居一样，黑客首先利用一些网络工具来确定这些系统在Internet上的位置和结构，发现目标系统的外围安全设备类型和结构，并确定侵入点。●外围侦察相当于现实当中的窃贼打开门锁。已经确定目标和侵入点的网络入侵者，通过外围安全设备的薄弱环节，进入网络的正常服务，如通过电子邮件系统和主页系统进入网络。

第二十五页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素

●寻找内部落脚点一旦侵入者获得了进入网络的权利，那么下一步便是在外围设备中为自己寻找一个安全的、不易被发现的落脚点。通常，侵入者会找到一个能够获得Root权限的主机作为落脚点。落脚点确定后，外部入侵者就变成了系统内部人员，这时入侵者会在系统内部寻找可盗窃的财产、资料和可破坏的目标系统。主要的破坏动作包括偷窃软件源代码和财政金融数据、访问机密文件、破坏数据或硬件、安置为以后再次侵入做准备的“特洛伊木马”等。破坏动作完成后，侵入者必须掩盖自己的踪迹，以防被发现。典型的做法是删除或替换系统的日志文件。

第二十六页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素②侵入者对目标系统的伤害侵入者对目标系统的伤害主要有以下几方面：●非法使用资源包括对计算机资源、电话服务或网络连接服务等资源的滥用和盗用。通过对系统的控制，侵入者能够无限制地使用这些资源而不必付出任何费用。最典型的是免费使用电话系统或在全球的数据通信网络中无节制地漫游。这种攻击很少造成结构性的损害，但其高昂的费用会转嫁到用户或服务商的头上。第二十七页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素●盗窃数据随着电子商务的广泛开展，盗窃行为的可能性和危险性也在不断增加，任何有价值的东西都有可能被盗，从数据、服务到整个数据库系统、金融数据和敏感的个人信息。据FBI的估计，每年由于此类数据被盗而造成的损失高达上百亿美元。

●敲诈勒索典型的勒索方法是在目标网络中安置特洛伊木马程序，如被勒索者不付款，破坏程序便会被启动。第二十八页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素要注意的是，既然已经知道了攻击者的行为特点和攻击类型，那么一个有效的网络安全方案就必须针对网络的易受攻击点而制订保护措施，同时还要加强对于网络的维护。一个系统仅靠外围安全设备的保护是不够的。典型的安全设备，如传统的防火墙、认证设备及系统外壳无法有效阻挡侵入者，它们只能保护网络的入口，一旦被侵入者攻破，便无法检测来自系统内部的破坏和攻击行为。管理者应尽量缩短对破坏的反应时间，一旦给攻击者充足的时间，那么任何系统都有可能被攻破。为了减少由于入侵而造成的损失，安全系统应该进行实时的检测，这种方案可以在被侵入的最初几秒钟之内探测到危险动作。安全系统应对侵入做出快速反应，能够自动阻挡入侵者的破坏行为。

第二十九页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素（2）内部人员作案防止内部人员的攻击也很重要。据估计，有80％的攻击来自于内部人员。任何安全系统都需要安装、维护和更新，为了降低开支，理想的安全系统应具备灵活性、可扩充性和透明性。（3）窃听主要手段是搭线窃听。（4）程序共享造成的冲突共享同一程序可能会造成死锁、信息失效或文件不正确的开关状态。第三十页，共一百四十九页，编辑于2023年，星期一6.1.3影响网站的安全因素（5）联网后互相侵害对互联网而言可能有更多的威胁，即使各网均能独立安全运行，联网之后，也会发生互相侵害的后果。

（6）计算机病毒出于网站的设计目标是资源共享，所以网站是计算机病毒滋生和发育的理想家园。第三十一页，共一百四十九页，编辑于2023年，星期一6.1.4网站的安全需求

1.数据保密防止非授权用户截获并使用该数据。2.数据完整性用户使用一种方案来确认网站上的数据在传输过程中没有被篡改。3.身份验证用户需要对网站上的另一个用户进行验证，证实他就是他所声称的那个人。4.授权用户需要控制谁能够访问网站上的信息及能够进行何种操作。第三十二页，共一百四十九页，编辑于2023年，星期一6.1.4网站的安全需求

5.不可抵赖和不可否认用户不能抵赖自己曾做出的行为，也不能否认曾经接到对方的信息，这在交易系统中十分重要。另外，保护硬件资源不被非法占有；软件资源免受病毒的侵害，都构成了整个信息网站上的安全需要。Internet设计的初衷是快捷和实用，完全没有考虑网站安全的问题。正因为如此，Internet基本上是不设防的。在网站安全的严峻态势下，为促进Internet的进一步发展，新一代Internet必须在实用和安全问题之间，亦即在共享和安全之间进行折衷，寻求一种两全其美的解决方法。第三十三页，共一百四十九页，编辑于2023年，星期一6.1.5我国网站安全现状近年来，我国Internet应用处于大发展阶段。随之而来引起的信息安全问题也日益突出，信息安全和网站安全已成为社会性问题。不仅政府部门、金融部门重视，而且企事业单位和个人都日益重视这一重要问题。为适应信息安全和网站安全的发展形势，我国政府制定了一系列基本的管理办法，例如：“中华人民共和国计算机安全保护条例”、“中华人民共和国计算机信息网站国际联网管理暂行办法”、“关于对与国际联网的计算机信息系统进行备案工作的通知”、“计算机信息网站国际联网安全保护管理办法”等。在刑法的修订中，增加了有关计算机犯罪的条款。我国关于信息安全的立法和法规的逐步完善，促进了信息安全产业的发展。第三十四页，共一百四十九页，编辑于2023年，星期一6.1.5我国网站安全现状目前，以高强度密码算法和防火墙产品为龙头，我国信息安全产业的发展已具雏形。据公安部计算机信息系统安全产品质量监督检验中心的分析，我国具有自主版权的防火墙产品系列（包过滤、安全代理服务器、VPN）功能完善，性能良好，不逊于国外同类产品，且价格远低于国外产品，极具竞争力。然而，ISS类网站安全分析产品，其国内产品尚需努力。但是，从开发具有我国自主版权的网站安全产品的角度，这是一个良好的开端。第三十五页，共一百四十九页，编辑于2023年，星期一6.1.5我国网站安全现状近年来，促进我国信息发展的大环境日臻完善。首先是政府重视，国家领导人多次发出有关信息安全和网站安全的指示，主管部门做了大量实质性的工作。其次，在国家技术监督局和其他主管部门的指导下，我国与国际标准接轨的信息安全与网站安全技术和产品标准陆续出台，并于1997年8月建立了全国信息技术标准化技术委员会信息技术安全分技术委员会。经国务院信息化工作领导小组办公室授权，中国互联网安全产品认证中心宣告成立。

第三十六页，共一百四十九页，编辑于2023年，星期一6.1.5我国网站安全现状目前，第一批产品已经测试完毕，即将上网公布。经国家技术监督局和公安部授权，公安部计算机信息系统安全产品质量监督检验中心正式成立，至今已测试完60多项信息安全产品，为公安部发放计算机信息系统安全专用产品销售许可证提供了可靠的技术依据。这表明，我国信息安全产品的规范化进程已经纳入轨道。不足之处是，复杂的信息安全管理尚未以立法的形式体现，对密码的管理没有向公众发布可以遵循的法规。因此，我们必须下大力气研究网站的安全问题，以期能尽量缩短与网站应用技术发展的距离，通过保护网站的安全，使网站得以健康的发展。第三十七页，共一百四十九页，编辑于2023年，星期一6.2网站安全原则及措施网站安全已发展成为一个跨多门学科的综合性学科，它包括：通信技术、网站技术、计算机软件、硬件设计技术、密码学、网站安全与计算机安全技术等。网站安全是在攻击与防护这一对矛盾相互作用的过程中发展起来的，新的攻击导致必须研究新的防护措施，新的防护措施又招致攻击者新的攻击，循环反复。今后，网站安全技术的发展仍然遵循这一规律。第三十八页，共一百四十九页，编辑于2023年，星期一6.2网站安全原则及措施网站是为信息提供通信的媒介和一种增值服务，其特点是实时快速，不应成为网站的瓶颈。企业建设成网站后，网站的安全就成为极为重要的事情，尤其是当一个企业网站有较大影响后，会引来更多的危险，也可能足黑客的袭击，也可能是竞争的商业对手的恶意破坏。如果企业网站数据丢失，一方面可能泄露商业机密，另一方面网站在短期内无法恢复，得不到用户的访问，会严重影响企业的形象，甚至大去很多的商业机会。所以，网站安全对企业的意义十分重大，必须未雨绸缪。

第三十九页，共一百四十九页，编辑于2023年，星期一6.2网站安全原则及措施

1.网站安全原则（1）综合考虑安全、成本、效率三者的权重不同的网站应用系统，对于安全的要求是不同的。因此，不能将安全问题绝对化，不是“越安全越好”。一个门需要几把锁，取决于门里放了什么东西。显然，锁越多，安全的成本就越高，“东西”的使用效率就越低。因此，必须根据实际的系统要求，实现“恰到好处”的安全。换言之，在设计系统安全措施的时候，必须根据系统的实际应用情况，综合考虑安全、成本、效率三者的权重，并求得适度的平衡。

第四十页，共一百四十九页，编辑于2023年，星期一6.2网站安全原则及措施（2）建立完整的安全管理体系网站必须建立完整的安全管理体系，其安全管理可以通过安全评估、安全政策、安全标准、安全审计等四个环节来加以规范化并进而实现有效的管理。

第四十一页，共一百四十九页，编辑于2023年，星期一6.2网站安全原则及措施

2.保护网站安全的主要措施除了要制定和实施一系列的安全管理制度外，保护网站安全的技术措施主要有：（1）实行严密的身份认证；（2）实施访问控制（存取控制）；（3）采取信息传输加密算法和电子签名，保障数据的保密性、完整性和可使用性；（4）进行完整的审计，定期进行风险分析，找出薄弱环节，采取措施；（5）加强网站安全管理配置，改进网站运行环境；（6）消除及屏蔽、干扰电磁辐射，防止造成信息泄露，等等。第四十二页，共一百四十九页，编辑于2023年，星期一6.2网站安全原则及措施

3.最基本的网站信息安全解决方案网站建设时，最基本的网站信息安全解决方案有：（1）防止非法入侵和泄密的解决方案，如防火墙技术，数据加密技术，登陆的验证技术，VPN技术，漏洞检测与在线黑客检测预警等；（2）数据安全存储的解决方案，包括数据存储，备份和恢复，灾难防护解决方案；（3）防病毒的解决方案。

第四十三页，共一百四十九页，编辑于2023年，星期一6.3网站安全技术分类及评价

6.3.1静态安全技术目前市场上很多流行的安全设备都属于静态安全技术范畴，如防火墙和系统外壳等外围保护设备。外围保护设备针对的是来自系统外部的攻击，一旦外部侵入者进入了系统，他们便不受任何阻挡。认证手段也与此类似，—旦侵入者骗过了认证系统，那么侵入者便成为系统的内部人员。传统防火墙的缺点在于无法做到安全与速度同步提高，一旦安全因素对网络数据流量进行深入地检测和分析，那么网络传输速度势必会受到影响。

第四十四页，共一百四十九页，编辑于2023年，星期一6.3网站安全技术分类及评价静态安全技术的缺点是需要人工来实施和维护，不能主动跟踪侵入者。传统的防火墙产品就是典型的这类产品，系统管理员还需要专门的安全分析软件和技术来确定防火墙是否受到攻击。其高昂的维护费用和对网络性能的影响任何人都无法回避。第四十五页，共一百四十九页，编辑于2023年，星期一6.3网站安全技术分类及评价针对静态安全技术的不是，许多世界网络安全和管理专家都提出了各自的解决方案，如NAI为传统的防火墙技术做出了重要的补充和强化，最新的防火墙系统GauntletFirewall3.0forWindowsNT包含了NAI技术专家多年来的研究成果“自适应代理技术”。这一技术使得网络安全与网络性能不再是“鱼与熊掌不可兼得”。自适应代理技术可根据用户定义的安全规则，动态“适应”传送中的数据流量。当安全要求较高时，安全检查仍在应用层中进行，保证实现传统防火墙的最大安全性；而一旦可信任身份得到认证，其后的数据便可直接通过速度快的网络层。

第四十六页，共一百四十九页，编辑于2023年，星期一6.3网站安全技术分类及评价测试表明，新的自适应代理技术在保证安全的前提下，其性能比传统的防火墙技术提高了10倍。GauntletFirewall是一种基于NT系统的应用层网关，它充分地利用了NT的多进程和安全特性，并且为多种Internet应用提供全透明的服务。通过对大多数认证系统的支持，使用户能够选择最好的认证技术，充分保证系统的安全特性。

第四十七页，共一百四十九页，编辑于2023年，星期一6.3网站安全技术分类及评价静态技术分类及简介如下：

1.防火墙技术（Firewall）作为近年来新兴的保护计算机网站安全技术性措施，防火墙是一种隔离控制技术，在某个机构的网站和不安全的网站之间设置障碍，阻止对信息资源的非法访问。换言之，防火墙是—道门槛，控制进出两个方向的通信。通过限制与网站或某一特定区域的通信，以达到防止非法用户侵犯Internet和公用网站的目的。具体的防火墙技术在下一节中专门讲述。

第四十八页，共一百四十九页，编辑于2023年，星期一6.3网站安全技术分类及评价

2.加密俗话说：“道高一尺，魔高一丈。”防火墙技术是一种被动的防卫技术，因此难以对Internet上潮水般的访问防卫。被动的防是防不住的，加密作为一种主动的防卫手段，其优势就显示出来了，因此要保障网站信息的安全，就应当用现代密码学来助阵。在网站应用中一般采取两种加密形式：秘密密钥和公开密钥。采用何种加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来做出判断。因为除了加密算法本身之外，密钥合理分配、加密效率与现有系统的结合性，以及投入产出分析都应在实际环境中具体考虑。

第四十九页，共一百四十九页，编辑于2023年，星期一6.3网站安全技术分类及评价秘密密钥，又叫私钥加密和对称密钥加密。其常见加密标准为DES，当使用DES时，用户和接受方采用64位密钥对报文加密和解密，当对安全性有特殊要求时，则要采取IDEA和三重DES。作为传统企业网站广泛应用的加密技术，秘密密钥效率高，它采用KDC集中管理和分发密钥并以此为基础验证身份，但是并不适合Internet环境。

第五十页，共一百四十九页，编辑于2023年，星期一6.3网站安全技术分类及评价在Internet中使用更多的是公钥系统，即公开密钥加密，它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后，将其中一个作为公钥公开，另外一个则作为私钥由用户保存。常用的公钥加密算法是RSA算法，加密强度很高。具体做法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数字签名，做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名，然后与发送数据一起用接收方密钥加密。

第五十一页，共一百四十九页，编辑于2023年，星期一6.3网站安全技术分类及评价当这些密文被接收方收到后，接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名，然后，用发布方公布的公钥对数字签名进行解密，如果成功，则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高，而且并不要求通信双方事先要建立某种信任关系或共享某种秘密，因此十分适合Internet网上使用。

第五十二页，共一百四十九页，编辑于2023年，星期一6.3网站安全技术分类及评价制订有关的安全技术标准也是十分紧迫的任务，目前有ISOTC97制订的IS07498-2网站安全体系结构确立了五种基本安全服务和八种安全机制，另外，还有网站管理SNMP规范、S-HTTP和SSL等。对于我国的密码学研究现状，应该本着独立自主的方针，在大胆借鉴外国先进经验的基础上，自行设计我国自己的加密算法，并且保持同世界通用标准的同步以保持国家的整体信息安全。总之，网站安全技术在实现方面仍然将以硬件实现为最终目标，相应的密码算法和安全措施的设计也遵循快速且易于硬件实现的原则，安全协议将根据新的需求进行设计。第五十三页，共一百四十九页，编辑于2023年，星期一6.3.2动态安全技术动态安全技术能够主动检测网络的易受攻击点和安全漏洞，并且通常能够早于人工探测到危险行为。它的主要检测工具包括：测试网络、系统和应用程序易受攻击点的检测和扫描工具，对可疑行为的监视程序，病毒检测工具。自动检测工具通常还配有自动通报和警告系统。

第五十四页，共一百四十九页，编辑于2023年，星期一6.3.2动态安全技术

下面以NAI推出的CyberCop为例进行说明。CyberCop是一种集网络系统入侵检测、安全扫描、动态响应和审计分析于一身的全面入侵检测解决方案。CyberCop网络入侵检测与风险评估套件包括CyberCopScanner、CyberCopNetwork和CyberCopServer三个产品。

1.CyberCopScannerCyberCopScanner提供综合的审计工具，它像在银行中巡逻的保安人员，发现网络环境中的安全漏洞，保证网络安全的完整性。CyberCopScanner可以发现大众化的安全漏洞和非大众化的漏洞，它可以确定防火墙的第一条防护规则是否发挥作用。采用独特的定制审计包括引擎（CAPE）技术完成协议级Spoofing和攻击模拟，它可以评估Internet、Web服务器、防火墙、路由器，扫描、测试和确定存在的可被黑客利用的脆弱性。第五十五页，共一百四十九页，编辑于2023年，星期一6.3.2动态安全技术

2.CyberCopNetworkCyberCopNetwork是基于网络的实时入侵检测系统，通过网络流量检查保护网站系统。它像—个高级防盗报警器，保护网络免受来自内外的攻击。当网络安全受到非法入侵者威胁时发出报警。具最大特点是充分发挥了动态安全技术的优势，主动检测网络内外的危险行为和动作，记录网络活动，捕捉侵入罪证，并且能够进行实时报警。一旦有非法用户企图访问网络，CyberCopNetwork通过分布式的网络传感器能很快检测到入侵行为，并收集有关数据，然后通过加密连接将细节报告给CyberCop管理服务器，生成永久记录。管理系统立即通过各种可能手段，如电子邮件、寻呼机和SNMP系统向管理人员报告有关情况。

第五十六页，共一百四十九页，编辑于2023年，星期一6.3.2动态安全技术管理人员马上便可通过拨号或其他方式进入网络重新配置路由器，以阻挡侵入行为的继续进行。CyberCopNetwork所记录的各种信息将有助于系统管理员恢复系统正常运行，同时为捕获侵入者提供法律上的证据。

第五十七页，共一百四十九页，编辑于2023年，星期一6.3.2动态安全技术

3.CyberCopServerCyberCopServer是基于主机的保护工具，它像银行中的保险柜，通过自动检测和响应使企业服务器更加安全，增强已有防火墙的有效性。CyberCopServer实时主动巡逻整个服务器，确定服务器全天候的完整性。当遇到入侵时，CyberCopServer便能够弥补传统防火墙产品的先天不足，确保服务器的可用性和完整性。通过此三个产品的结合使用，CyberCop套件给企业提供最大程度的入侵检测保护。

第五十八页，共一百四十九页，编辑于2023年，星期一6.3.2动态安全技术动态安全技术的最大优点在于“主动性”，通过将实时的捕捉和分析系统与网络监视系统相结合，侵入检测系统能够发现危险攻击的特征，进而探测出攻击行为并发出警报，同时采取保护措施。若要使某个网络得到高水平的安全保护，则应该选择更加主动和智能的网络安全技术。完备的网络安全系统应该能够监视网络和识别攻击信号，能够做到及时反应和保护，能够在受到攻击的任何阶段帮助网络安全管理人员从容应付，并且不应该对网络造成过大的负担和产生过高的费用。

第五十九页，共一百四十九页，编辑于2023年，星期一6.3.2动态安全技术没有任何一种网络安全技术能够保证网络的绝对安全，用户应选择那些能够正视网络现存问题的技术。动态安全技术能够面对存在于网络安全的种种现实问题和用户的需求，通过与传统的外围安全设备相结合，最大程度地保证网络安全。

第六十页，共一百四十九页，编辑于2023年，星期一6.4防火墙技术

6.4.1防火墙技术概述防火墙原是设计用来防止火灾从建筑物大厦的一部分传播到另一部分的设施。从理论上讲Internet防火墙的功能也类似。因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上，防止Internet上的危险（病毒、资源盗用等）传播到网络的内部。设置防火墙的主要目的有：（1）限制用户从一个特别的控制点进入；（2）防止侵入者接近用户的其他设施；（3）限定用户从一个特别的点离开；（4）有效地阻止破坏者对用户的网站系统进行破坏。

第六十一页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述防火墙是一种被动防卫技术，由于它假设了网站的边界和服务，对内部的非法访问难以有效地控制，因此，防火墙最适合于相对独立的与外部网站互连途径有限、网站服务种类相对集中的单一网站，例如常见的企业专用网。

1.实现防火墙的主要技术实现防火墙的主要技术有：数据包过滤，应用网关和代理服务等。第六十二页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述（1）包过滤技术包过滤（PacketFilter）技术是在网络层中对数据包实施有选择地通过。它依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、所用的TCP端口与TCP链路状态等因素来确定是否允许数据包通过。包过滤技术作为防火墙的应用有三类：一是路由设备在完成路由选择的数据转发之外，同时进行包过滤，这是目前较常用的方式；二是在工作站上使用软件进行包过滤，但它价格较贵；三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。近来有些厂商如3Com开始通过软件实现对非法数据包的登录和报告，但是启动这种功能对路由器时性能影响较大。

第六十三页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述（2）应用网关技术应用网关（ApplicationGateway）技术是建立在网站的应用层上的协议过滤。它针对特别的网站应用服务协议即数据过滤协议，对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信环境给予严格的控制，以防止有价值的程序和数据被窃取。在实际工作中，应用网关一般使用工作站系统来完成。

第六十四页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述（3）代理服务代理服务（ProxyServer）是设置在Internet防火墙网关的专用应用级代理。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦判断条件满足，防火墙内部网站的结构和运行状态便“暴露”在外来用户面前，这就引入了代理服务的概念，即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现，这就成功地实现了防火墙内外计算机系统的隔离。同时，代理服务还可用于实施性较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件（如工作站）来承担。第六十五页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述结合上述几种防火墙技术的优点，可以产生通用、高效和安全的防火墙。如将应用网关技术和包过滤技术结合起来，将保证应用层安全性，统一支持处理所有协议、审计和预警等，其运转对于用户和建立系统都是透明的，并且包括了面向所有的图形用户接口，便于配置和管理。

第六十六页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述

2.防火墙的安全措施各种防火墙的安全性能不尽相同。下面以目前市场的主导产品——Checkpoint公司的FireWall-1为例，来说明防火墙的一些安全措施。

（1）防电子欺骗术Firewall-1的防电子欺骗术功能是保证数据包的IP地址与网关接口相符，防止通过修改IP地址的方法进行非授权访问。FireWall-1还会对可疑信息进行鉴别，并向网络管理员报警。第六十七页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述（2）网络地址转移FireWall-1的地址转移是对Internet隐藏内部地址，防止内部地址公开。这一功能克服了IP寻址方式的诸多限制，可完善内部寻址模式。把未注册IP地址映射成合法地址，就可以对Internet进行访问。

（3）开放式结构设计FireWall-1的开放式结构设计使得它与相关应用程序和外部用户数据库的连接相当容易，典型的应用程序连接如财务软件包、病毒扫描、登录分析等。第六十八页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述（4）路由器安全管理程序（选择）Firewall-1的网络安全管理器是一个供选择的模块，它为Bay和Cisco的路由器提供集中管理和访问列表控制。FireWall-1的图形界面和功能强人的工具软件使得制定安全政策、管理、审查和报表等工作都很简单直观。

第六十九页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述

3.防火墙的优点及不足（1）防火墙的优点①防火墙能强化安全策略因为Internet下每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。第七十页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述②防火墙能有效地记录Internet上的活动因为所有进出信息都必须通过防火墙，所以防火墙非常适用于收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。③防火墙限制暴露用户点防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。第七十一页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述④防火墙是一个安全策略的检查站所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。第七十二页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述（2）防火墙的不足用户在利用防火墙的各种益处的同时也应该意识到防火墙的局限，有时防火墙会给人一种虚假的安全感，导致在防火墙内部放松安全警惕。而许多攻击正是内部犯罪，这是任何基于隔离的防范措施都无能为力的。同样，防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行，那个程序很可能就包含一段恶意的代码，或泄露敏感信息，或对用户的系统进行破坏。随着Java、JavaScript和ActiveX控件及其相应浏览器的推广，这一问题变得更加突出和尖锐。防火墙的另一个缺点是易用性不够，大多数产品还需要网络管理员手工建立。当然，这一问题很快就会得到改观。

第七十三页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述防火墙在当今Internet上的存在是有生命力的，但它不能替代墙内的安全措施，因此它不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。防火墙的局限性主要表现在如下五个方面：①不能防范恶意的知情者防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部入侵者可以偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育等。第七十四页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述②不能防范不通过它的连接防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。③不能防备全部的威胁防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的威胁。④防火墙不能防范病毒防火墙不能消除网络上的PC机的病毒。第七十五页，共一百四十九页，编辑于2023年，星期一6.4.1防火墙技术概述⑤防火墙不能有效地杜绝所有的恶意数据包虽然一个好的防火墙应该能针对所有服务过滤其是否合法（有些防火墙因为设计原理问题而无法对所有的服务提供安全检查），但利用合法连接传输非法封包的情况确实存在，例如通过E-mail信件传送病毒便是一例。

第七十六页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术

1.代理服务器（1）代理服务器的原理所谓代理服务器是指处理代表内部客户的外部服务器的程序。代理客户与代理服务对话，它们将核实客户请求，中继到真实的服务器上，并将答复中继客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接作用。内部网络只接受代理服务器提出的服务请求，拒绝外部网络其他节点的直接请求。当外部网络向内部网络的某个节点申请某种服务，如FTP、Telnet、WWW、Gopher、Wais等时，先由代理服务器接收，然后根据其服务类型、服务内容、被服务对象及其他因素，如申请者的域名范围、时间等，决定是否接受此服务。如果接受，则由代理服务器向内部网络转发这项请求，并把结果反馈给申请者：否则就拒绝其请求。

第七十七页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术根据其处理协议的功能，代理服务器可分为FTP网关型防火墙、Telnet网关型防火墙、WWW网关型防火墙、Wais网关型防火墙等。其优点在于既能进行安全控制，又可以加速访问，而且安全性好：但实现比较困难，对于每一种服务协议必须设计—个代理软件模块，以进行安全控制

第七十八页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术（2）代理服务器结构①硬件结构代理服务器可采用双穴主机（DualHomeGateway）、屏蔽主机（ScreenedHostGateway）、屏蔽子网（ScreenedSubnetGateway）三种体系结构，运行防火墙软件的主机称为堡垒主机（BastionHost），它的作用是转发应用、提供服务、监督通信。双穴主机网关是在堡垒主机中插装两块网络接口卡，并在其上运行代理服务器软件，受保护网与Internet之间不能直接进行通信，必须经过堡垒主机。因此，不必显式地列出受保护网与外部网之间的路由，从而达到受保护网除了看到堡垒主机之外，不能看到其他任何系统的效果。同时堡垒主机不转发Tipp通信报文，网络中的所有服务都必须由此主机的相应代理程序来支持。第七十九页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术屏蔽主机结构提供连接到内部网上的主机服务，而这是通过使用隔离路由器实现的，而堡垒主机位于内部网络上。屏蔽路由器上的分组过滤是以如下方式建立的：堡垒主机是内部网络上唯一的系统，Internet上的主机能与这个系统连接。任何试图访问内部系统或服务的外部系统都必须与此主机相连，因此，堡垒主机要求很高的主机安全性。屏蔽子网结构通过增加一个把内部网与Internet隔离的周边网络，从而进一步实现屏蔽主机的安全性。通过使用周边网络隔离堡垒主机，能够削弱外部网络对堡垒主机的攻击。第八十页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术对于最简单的屏蔽子网结构，有两个屏蔽路由器，每个都与周边相连。—个位于周边网内部网之间，另一个位于周边网与外部网之间。攻击者要攻入这种结构的内部网络，必须通过两个路由器。即使入侵者设法攻入了堡垒主机，还必须通过内部路由器。不存在危害内部网的单一入口攻击点。②软件结构代理服务器工作在应用层上，应用网关系统对网络用户运行的各个应用都使用特殊目的代码，需要特殊的应用软件。然而，因为应用网关软件在应用层而非网络层或传输层工作，所以不需要特定的客户软件。代理服务器不是—个通用的安全性机制。它由在各个程序中建立安全性的特殊的代码组成，代理各种服务。第八十一页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术（3）与其他类型防火墙的比较众所周知，包过滤通常只包括对源和目的IP地址及端口的检查，而电路层网关与包过滤网关相似，但它能在OSI协议栈上的不同层次上作，对于远程计算机来说，所有从链路层网关出来的链接好像都是由防火墙产生的，这样可以隐藏受保护网络的信息。

第八十二页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术代理服务器建立在与包过滤和电路网关不同的安全概念的基础上。代理服务器并不是用一张简单的访问控制列表来说明哪些报文或会话可以通过，哪些不允许通过，而是运行—个接受连接的程序。在确认连接前，先要求用户输入命令，以进行严格的用户认证，然后，向用户提示所连接的主机的有关信息，这样，就必须为每个应用（如Telnet、FTP及X11）配上网关程序。因此，从某种意义上说，代理服务器比包过滤和电路层网关有更多的局限性。但另一方面，代理服务器比其他两种网关能提供更高的安全性，因为它能进行严格的用户认证，以确保所连接的对方是否名副其实。另外，一旦知道了所连接的对方的身份，那么就能进行基于用户的其他形式的访问控制，如限制连接的时间、连接的主机及使用的服务等。第八十三页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术代理服务将通过防火墙的通信链路分为两段：防火墙内外的计算机系统间的应用层链路由两个终止于ProxyServer的“链路”来实现；外部计算机的网络链路只能到达ProxyServer，从而实现了企业内外计算机系统间的隔离区。代理服务在安全性方面比包过滤强，能防止防火墙遭到破坏，但在性能与透明性方面较差。由于前两种防火墙不具有用户认证的能力，因此，许多人认为应用层代理防火墙才是真正的防火墙。

第八十四页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术

2.一种具有认证功能的FTP代理服务器模型（1）FTP基本原理—个典型的FTP会话一般经过四个阶段：第一个阶段，FTP客户程序与FTP服务器连接；第二阶段，客户登录进入FTP服务器主机：第三阶段，FTP客户服务器交换命令和应答信息：第四阶段，FTP客户关闭它同FTP服务器之间的连接。对所有的通信，FTP使用TCP连接。（2）FTP代理的模型接受FTP客户的连接请求的FTP代理服务器经过身份认证和访问控制策略之后，如果同意请求，则由代理服务器替用户对资源进行实际访问，结果由代理转发给用户。具体过程如下：第八十五页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术①FTP代理服务器在一周知端门执行被动打开，并等待客户连接。②FTP客户在这—端口与FTP代理服务器联系，在程序协调下完成一个典型的TCP连接，控制连接在整个FTP处理过程中保持主动状态。③代理协议中包含一系列的身份验证、访问控制，若同意该连接请求，FTP代理则接受连接，并向FTP服务器发出请求，与FTPServer建立连接，FTPServer传送应答码给FTPProxy，交换NVTASCⅡ命令串及应答码。FTPServer向FTPProxy返回请求结果。④FTPProxy对结果进行缓存、改写、过滤，并将结果返回给客户。第八十六页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术此操作的核心环节是代理协议（PPI）、协议解释（PI）和数据传输过程（DTP）。客户、代理服务器和服务器有它们各自的协议解释和数据传输过程。数据传输过程建立和管理数据连接。协议解释部门解释命令，并通过PI和PPI在FTP会话开始时建立的控制连接进行通信。

第八十七页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术

3.PPI中的用户身份验证在PPI中，采用公开密钥的数字签名技术可以较好地解决客户口令系统现存的问题。（1）数字签名基于数字签名的口令认证采用公开密钥的数字签名技术可以较好地解决客户口令系统现存的问题。每个用户将自己公开的加密密钥K交给系统，作为验证口令的数据。系统为每个用户建立一个时间标志，如设置访问次数计数器为T。用户访问系统时要向系统提供的数据是自己签名的信息：第八十八页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术

[IDiD（（IDiTi），Kdi）]系统根据其中明文形式的标识符IDi查到Kci，并计算：

E（D（（IDi，Ti），Kdi），Kci）=（ID*i，T*）并且仅当IDi=ID*i且T*=Ti+1时，系统才接收用户的访问。在这种口令验证机制中，真正的口令是用户保密的解密密钥Kdi，它不存储在系统中，故任何人都不能得到。虽然K存储在系统中，但由Kci并不能推导出Kdi。由于从终端到系统的通道中传送的是签名数据而不是Kdi本身，故截取也不能获得Kdi。又由于系统为每个用户设置了时间标志T，当且仅当T*＝Ti+1时才接收访问，故截取重播也是无用的。

第八十九页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术（2）口令的认证过程模型的口令认证过程需要修改客户程序。具体过程如下：①提示用户登录名称。②从代理服务器接收响应，获知如何提示用户。③用代理服务器显示规定的提示。④回收用户响应，输入签名数据信息，并把它发送到代理服务器。⑤联系代理服务器，并且正告诉它试图登录的用户。⑥代理服务器查找相应的认证表，决定访问被接收还是拒绝。⑦从代理服务器接收到正确或者错误消息，允许用户访问（如果正确）或者显示错误消息。

第九十页，共一百四十九页，编辑于2023年，星期一6.4.2网络防火墙中的代理技术整个进程是由客户和代理服务器之间的单个TCP连接来执行，这样在整个认证过程中代理服务器和客户都能确认在与相同的客户和服务器交谈。代理服务器根据其数据库来决定如何认证用户，并根据相应的认证机制给出用户提示。代理服务器作为防火墙的一种重要技术得到了各方面的重视。关于代理服务器的研究课题还有很多，例如：如何对其进行危险评估，如何在代理服务与客户机之间更好地解决身份证，代理服务器算法的设计，如何开发智能的代理服务器，如何制定更优的安全策略等。代理服务器作为保卫网络安全的重要手段必将得到进一步的发展。第九十一页，共一百四十九页，编辑于2023年，星期一6.4.3防火墙结构目前常用的防火墙有两种结构：即子网过滤结构的防火墙和主机过滤结构的防火墙。对于这两种结构的防火墙所提供的基本服务包括：终端访问、文件传输、电子邮件、Usenet新闻、WWW浏览以及域名服务DNS。

1.子网过滤结构的防火墙子网过滤结构的防火墙有双路由器和单路由器等不同形式的结构，也可以使用两个双端口的路由器或者一个三端口的路由器。单路由器子网过滤结构与双路由器子网过滤结构的防火墙工作原理是一样的，其效果都很好，但单路由器了网过滤结构在价格上要便宜一些。我们以使用双路由器子网过滤结构为例，因为它在概念上要简单一些。第九十二页，共一百四十九页，编辑于2023年，星期一6.4.3防火墙结构双路由器结构的子网过滤结构防火墙结构提供了良好的安全性（包括多层次冗余），而且已被大多数用户采用。（1）参数网络：将堡垒主机与内部网络隔离开来，这样，即使堡垒主机出现安全缺门，也不会马上影响内部网络。（2）外部路由器：将屏蔽连接到外部世界。如有可能，外部路由器也提供对堡垒主机、内部路由器和内部网络的某些保护。（3）内部路由器：保护内部网络，使之不受来自外部世界及来自堡垒主机（当堡垒主机被侵袭后）的攻击。第九十三页，共一百四十九页，编辑于2023年，星期一6.4.3防火墙结构（4）堡垒主机：作为屏蔽与外界的主要接触点，除了构成防火墙本身的机器外，在内部网络中的计算机（内部主机）还担任如下角色（任意—台内部计算机都可能担负如下的任意一种甚至全部的任务）：①邮件服务器；②Usenet新闻服务器；③DNS域名服务器；④各种因特网服务的客户。每一种内部服务都可直接提供（通过包过滤）或间接提供（通过运行在堡垒主机上的代理服务器）。第九十四页，共一百四十九页，编辑于2023年，星期一6.4.3防火墙结构提供服务的条件：假定系统中的内部用户是可信的，他们不会故意去试图绕过防火墙，并且也没有必要去监视和记录他们的因特网活动；在屏蔽的内部网和参数网中，使用的是被授权赋予的正确的地址，并且已通过恰当的路由来引导（即屏蔽被授予地址而且被网络服务供应商恰当地路由和通告到因特网），如果没有这样的授权地址，那么唯—的选择是通过代理服务，因为不能允许具有未授权IP地址的数据包被发送到因特网上，即使它们已被发出了，相应的回答也没办法返回；假定参数网和内部网使用了不同的网络号码，从而可以很容易地检测出伪造的包。

第九十五页，共一百四十九页，编辑于2023年，星期一6.4.3防火墙结构

2.主机过滤结构的防火墙主机过滤结构的防火墙，它没有参数网络，也没有内部路由器，通常也没有堡垒主机，而是由一台路由器和一台服务主机组成的。由一台服务主机向内部和外部客户提供因特网服务，路由器则用来保护内部网络和控制对它的访问。一般把这种结构称做为服务主机而不是堡垒主机，是因为它通常还要担任其他许多角色。比如，它可能是邮件服务器、Usenet新闻服务器和本站点的DNS服务器，它还可能是文件服务器、打印服务器等等，甚至它可能是本站点唯—的一台计算机。

第九十六页，共一百四十九页，编辑于2023年，星期一6.4.3防火墙结构把主机过滤结构的防火墙与子网过滤结构的防火墙进行比较，就不难发现主机过滤结构是一种安全性能低、价格便宜的—种选择，主机过滤结构通常被费用有限的比较小的站点采用。与子网过滤结构的防火墙相同，内部用户是可信赖的，他们不会主动去试图绕过防火墙，也没有特别的需要去监视或记录他们的因特网活动。主机过滤结构的防火墙应当提供的基本的因特网服务有六种。第九十七页，共一百四十九页，编辑于2023年，星期一6.4.3防火墙结构（1）Telnet通过包过滤可以安全、方便地提供Telnet。在前一节里曾经讨论过，在较大型的配置中，通过代理服务来提供Telnet，尽管有其优点，但太昂贵了，在主机过滤结构中则显得更加笨拙。类似地，在较大配置中难于提供进入的Telnet服务，在这里还这样做简直等于自取灭亡，因为这将危及服务主机，实际上就是危及整个网络系统。因此，不提供外部用户进入的Telnet服务。（2）FTP与子网过滤结构一样，如果内部FTP客户程序支持被动模式FTP，那么通过包过滤就可以安全、方便地提供FTP服务。如果想要支持禁止使用被动模式的FTP客户程序，那么就需要在服务主机上建立FTP代理服务器。第九十八页，共一百四十九页，编辑于2023年，星期一6.4.3防火墙结构如果需要，可以支持被动模式和普通模式的FTP客户程序，但对一个较小的站点来讲就没有必要。对较小的站点而言，最好只提供其中的某一种，而不是试图两样都提供。为了使用在服务主机上的FTP代理服务器，用户的过滤路由器必须允许这样的TCP连接，它们源自外部系统的23号端口，目的端口是服务主机的大于1023的端口。对一个通常的堡垒主机，这不成问题，因为其他服务不使用这个端口。然而，对服务主机而言就可能不是这样，这些端口也有可能保留做其他用途。

第九十九页，共一百四十九页，编辑于2023年，星期一6.4.3防火墙结构在任何配置中，进入的用户FTP与进入的Telnet走的是同样的路，在Telnet服务中已经决定禁止外部用户进入的Telnet，同样也要禁止外部用户进入的FTP。这是因为在子网过滤结构中，当进入的匿名FTP到达堡垒主机时，其风险是可以承受的。然而，进入的匿名FTP到达服务主机时，这种服务所造成的危险是不可估量的，因为这里可能有机密数据和对内部网络的安全访问权限，所以也必须禁止它。

第一百页，共一百四十九页，编辑于2023年，星期一6.4.3防火墙结构（3）SMTP在主机过滤结构中，可能只有一种办法来建立SMTP服务。进入的邮件应当通过DNS记录被引导到服务主机上，外出邮件应当通过服务主机发出。事实上没有其他更合适的办法。正如在上面所讨论的那样，让进入邮件直接到达所有的内部机器是不适宜的。同样，一旦已将进入邮件通过一个单—的点引导进来，那么要将外出邮件通过那里发出，比把邮件直接发出实际上更容易（注意不是指更安全）。

第一百零一页，共一百四十九页，编辑于2023年，星期一6.4.3防火墙结构（4）NNTP与SMTP一样，在主机过滤结构中也许只有一种建立NNTP的办法，这就是用另外—台内部机器作为Usenet新闻服务器，并且允许NNTP服务直接通向它。然而，最好是干脆放弃新闻服务，当然，这取决于新闻服务会给机器带来多大的负载，以及服务主机的重要程度。第一百零二页，共一百四十九页，编辑于2023年，星期一6.4.3防火墙结构（5）HTTP正如在前面所说的那样，HTTP可以通过包过滤自接提供，或者通过代理服务器间接地提供。然而，最有意义的还是通过带有缓冲的代理服务器，比如CERNHTTP服务器来间接地提供HTTP服务。这样做的理由是：由于缓冲的作用，性能也就提高了。假定将要通过运行在服务主机上的一个CERN代理服务器来提供HTTP服务。由于风险的原因（这种风险由于服务主机的敏感位置而进一步复杂化了），只提供本地用户向外的服务，对外部来的客户将关闭此项服务。（6）DNS与其他大多数服务一样，在主机过滤结构中，实际上只有一个比较合适的地方可以安放DNS服务器，即放在服务主机上。第一百零三页，共一百四十九页，编辑于2023年，星期一6.4.4防火墙的选择目前，网络安全产品市场上，防火墙产品已经进入战国时代，在全球至少有千种以上的防火墙，而且每个