1、一、防火墻技術一、防火墻技術定義定義 所謂防火墻指的是一個由軟件和硬件所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構間、專用網與公共網之間的界面上構造的保護屏障造的保護屏障.是一種獲取安全性方法是一種獲取安全性方法的形象說法，它是一種計算機硬件和的形象說法，它是一種計算機硬件和軟件的結合，使軟件的結合，使Internet與與Intranet之之間建立起一個安全網關從而保護內部間建立起一個安全網關從而保護內部網免受非法用戶的侵入，防火墻主要網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾由服務訪問規

2、則、驗證工具、包過濾和應用網關和應用網關4個部分組成，個部分組成， 防火墻就是一個位于計算機和它所連防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信均要經過機流入流出的所有網絡通信均要經過此防火墻。此防火墻。 在網絡中，所謂在網絡中，所謂“防火墻防火墻”，是指一，是指一種將內部網和公眾訪問網種將內部網和公眾訪問網(如如Internet)分開的方法，它實際上是一種隔離技分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你的一種訪問控制尺度，它能允許你“

3、同意同意”的人和數據進入你的網絡，的人和數據進入你的網絡，同時將你同時將你“不同意不同意”的人和數據拒之的人和數據拒之門外，最大限度地阻止網絡中的黑客門外，最大限度地阻止網絡中的黑客來訪問你的網絡。來訪問你的網絡。 換句話說，如果不通過防火墻，公司換句話說，如果不通過防火墻，公司內部的人就無法訪問內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人上的人也無法和公司內部的人進行通信。進行通信。作用作用 防火墻具有很好的保護作用。入侵者防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻能接觸目

4、標計算機。你可以將防火墻配置成許多不同保護級別。高級別的配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。等，但至少這是你自己的保護選擇。 類型類型 網絡層防火墻網絡層防火墻 網絡層防火墻可視為一種網絡層防火墻可視為一種 IP IP 封封包過濾器，運作在底層的包過濾器，運作在底層的 TCP/IP TCP/IP 協協議堆棧上。我們可以以枚舉的方式，議堆棧上。我們可以以枚舉的方式，只允許符合特定規則的封包通過，其只允許符合特定規則的封包通過，其余的一概禁止穿越防火墻。這些規則余的一概禁止穿越防火墻。這些規則通常可以經由管

5、理員定義或修改，不通常可以經由管理員定義或修改，不過某些防火墻設備可能只能套用內置過某些防火墻設備可能只能套用內置的規則。的規則。 我們也能以另一種較寬松的角度來我們也能以另一種較寬松的角度來制定防火墻規則，只要封包不符合任制定防火墻規則，只要封包不符合任何一項何一項“否定規則否定規則”就予以放行。現就予以放行。現在的操作系統及網絡設備大多已內置在的操作系統及網絡設備大多已內置防火墻功能。防火墻功能。 較新的防火墻能利用封包的多樣屬較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源性來進行過濾，例如：來源 IP 地址、地址、來源端口號、目的來源端口號、目的 IP 地址或端口號、地址或端口號

6、、服務類型服務類型(如如 WWW 或是或是 FTP)。也能。也能經由通信協議、經由通信協議、TTL 值、來源的網域值、來源的網域名稱或網段名稱或網段.等屬性來進行過濾。等屬性來進行過濾。應用層防火墻應用層防火墻 應用層防火墻是在應用層防火墻是在 TCP/IP 堆棧的堆棧的“應用層應用層”上運作，您使用瀏覽器時所產生的數據流上運作，您使用瀏覽器時所產生的數據流或是使用或是使用 FTP 時的數據流都是屬于這一層。時的數據流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的應用層防火墻可以攔截進出某應用程序的所有封包，并且封鎖其他的封包所有封包，并且封鎖其他的封包(通常是直通常是直接將封包丟棄接將

7、封包丟棄)。理論上，這一類的防火墻。理論上，這一類的防火墻可以完全阻絕外部的數據流進到受保護的可以完全阻絕外部的數據流進到受保護的機器里。機器里。 防火墻借由監測所有的封包并找出不符規防火墻借由監測所有的封包并找出不符規則的內容，可以防范電腦蠕蟲或是木馬程則的內容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實現而言，這個方序的快速蔓延。不過就實現而言，這個方法既煩且雜法既煩且雜(軟件有千千百百種啊軟件有千千百百種啊)，所以大，所以大部分的防火墻都不會考慮以這種方法設計。部分的防火墻都不會考慮以這種方法設計。 XML 防火墻是一種新型態的應用層防火防火墻是一種新型態的應用層防火墻。墻。基本特

8、性基本特性 （一）內部網絡和外部網絡之間的所有網（一）內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻絡數據流都必須經過防火墻 這是防火這是防火墻所處網絡位置特性，同時也是一個前提。墻所處網絡位置特性，同時也是一個前提。因為只有當防火墻是內、外部網絡之間通因為只有當防火墻是內、外部網絡之間通信的唯一通道，才可以全面、有效地保護信的唯一通道，才可以全面、有效地保護企業網部網絡不受侵害企業網部網絡不受侵害 根據美國國家安全局制定的根據美國國家安全局制定的信息保信息保障技術框架障技術框架，防火墻適用于用戶網，防火墻適用于用戶網絡系統的邊界，屬于用戶網絡邊界的絡系統的邊界，屬于用戶網絡邊界的安全

9、保護設備。所謂網絡邊界即是采安全保護設備。所謂網絡邊界即是采用不同安全策略的兩個網絡連接處，用不同安全策略的兩個網絡連接處，比如用戶網絡和互聯網之間連接、和比如用戶網絡和互聯網之間連接、和其它業務往來單位的網絡連接、用戶其它業務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等。內部網絡不同部門之間的連接等。 防火墻的目的就是在網絡連接之間建防火墻的目的就是在網絡連接之間建立一個安全控制點，通過允許、拒絕立一個安全控制點，通過允許、拒絕或重新定向經過防火墻的數據流，實或重新定向經過防火墻的數據流，實現對進、出內部網絡的服務和訪問的現對進、出內部網絡的服務和訪問的審計和控制。審計和控制。 典型

10、的防火墻體系網絡結構如下圖所典型的防火墻體系網絡結構如下圖所示。從圖中可以看出，防火墻的一端示。從圖中可以看出，防火墻的一端連接企事業單位內部的局域網，而另連接企事業單位內部的局域網，而另一端則連接著互聯網。所有的內、外一端則連接著互聯網。所有的內、外部網絡之間的通信都要經過防火墻。部網絡之間的通信都要經過防火墻。 InternetInternet防火墻防火墻局域網局域網Hx1x1根據根據規則規則判斷判斷是否是否允許允許分組分組通過通過防火墻的拓撲結構（防火墻的拓撲結構（1）內部網內部網FTP服務器服務器WWW服務器服務器防火墻防火墻外部內部12Internet路由器路由器路由器路由器防火墻的

11、拓撲結構（防火墻的拓撲結構（2）內部網內部網FTP服務器服務器WWW服務器服務器防火墻防火墻外部內部12Internet路由器路由器防火墻防火墻防火墻的拓撲結構（防火墻的拓撲結構（3）內部網內部網FTP服務器服務器WWW服務器服務器防火墻防火墻外部內部12Internet路由器路由器防火墻防火墻內部網內部網FTP服務器服務器WWW服務器服務器防火墻防火墻路由器路由器防火墻防火墻 定義 計算機病毒計算機病毒(Computer Virus)在在中中華人民共和國計算機信息系統安全保華人民共和國計算機信息系統安全保護條例護條例中被明確定義，病毒指中被明確定義，病毒指“編編制者在計算機程序中插入的破壞計

12、算制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使機功能或者破壞數據，影響計算機使用并且能夠自用并且能夠自 我復制的一組計算機指我復制的一組計算機指令或者程序代碼令或者程序代碼”。 而在一般教科書及通用資料中被定義而在一般教科書及通用資料中被定義為為:利用計算機軟件與硬件的缺陷，由利用計算機軟件與硬件的缺陷，由被感染機內部發出的破壞計算機數據被感染機內部發出的破壞計算機數據并影響計算機正常工作的一組指令集并影響計算機正常工作的一組指令集或程序代碼或程序代碼 。計算機病毒最早出現在。計算機病毒最早出現在70年代年代 David Gerrold 科幻小說科幻小說 When H.A.

13、R.L.I.E. was One. 最早科學定義出現在最早科學定義出現在 1983:在在Fred Cohen (南加大南加大) 的博士論文的博士論文 “計算機計算機病毒實驗病毒實驗”“”“一種能把自己一種能把自己(或經演變或經演變)注入其它程序的計算機程序注入其它程序的計算機程序”啟動區啟動區病毒病毒,宏宏(macro)病毒病毒,腳本腳本(script)病毒病毒也是相同概念傳播機制同生物病毒類也是相同概念傳播機制同生物病毒類似似.生物病毒是把自己注入細胞之中。生物病毒是把自己注入細胞之中。熊貓燒香病毒（尼姆亞病毒變種）預防預防 病毒往往會利用計算機操作系統的弱點病毒往往會利用計算機操作系統的弱

14、點進行傳播，提高系統的安全性是防病毒的進行傳播，提高系統的安全性是防病毒的一個重要方面，但完美的系統是不存在的，一個重要方面，但完美的系統是不存在的，過于強調提高系統的安全性將使系統多數過于強調提高系統的安全性將使系統多數時間用于病毒檢查，系統失去了可用性、時間用于病毒檢查，系統失去了可用性、實用性和易用性，另一方面，信息保密的實用性和易用性，另一方面，信息保密的要求讓人們在泄密和抓住病毒之間無法選要求讓人們在泄密和抓住病毒之間無法選擇。病毒與反病毒將作為一種技術對抗長擇。病毒與反病毒將作為一種技術對抗長期存在，兩種技術都將隨計算機技術的發期存在，兩種技術都將隨計算機技術的發展而得到長期的發展

15、。展而得到長期的發展。產生產生 病毒不是來源于突發或偶然的原因。一次病毒不是來源于突發或偶然的原因。一次突發的停電和偶然的錯誤，會在計算機的突發的停電和偶然的錯誤，會在計算機的磁盤和內存中產生一些亂碼和隨機指令，磁盤和內存中產生一些亂碼和隨機指令，但這些代碼是無序和混亂的，病毒則是一但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧嚴謹的代碼，按照嚴種比較完美的，精巧嚴謹的代碼，按照嚴格的秩序組織起來，與所在的系統網絡環格的秩序組織起來，與所在的系統網絡環境相適應和配合起來，病毒不會通過偶然境相適應和配合起來，病毒不會通過偶然形成，并且需要有一定的長度，這個基本形成，并且需要有一定的長度，

16、這個基本的長度從概率上來講是不可能通過隨機代的長度從概率上來講是不可能通過隨機代碼產生的。碼產生的。 現在流行的病毒是由人為故意編寫的，多數病毒現在流行的病毒是由人為故意編寫的，多數病毒可以找到作者和產地信息，從大量的統計分析來可以找到作者和產地信息，從大量的統計分析來看，病毒作者主要情況和目的是：一些天才的程看，病毒作者主要情況和目的是：一些天才的程序員為了表現自己和證明自己的能力，出于對上序員為了表現自己和證明自己的能力，出于對上司的不滿，為了好奇，為了報復，為了祝賀和求司的不滿，為了好奇，為了報復，為了祝賀和求愛，為了得到控制口令，為了軟件拿不到報酬預愛，為了得到控制口令，為了軟件拿不到

17、報酬預留的陷阱等當然也有因政治，軍事，宗教，民留的陷阱等當然也有因政治，軍事，宗教，民族專利等方面的需求而專門編寫的，其中也包族專利等方面的需求而專門編寫的，其中也包括一些病毒研究機構和黑客的測試病毒括一些病毒研究機構和黑客的測試病毒特點特點 計算機病毒具有以下幾個特點：計算機病毒具有以下幾個特點： 寄生性寄生性 計算機病毒寄生在其他程序之中，計算機病毒寄生在其他程序之中，當執行這個程序時，病毒就起破壞作當執行這個程序時，病毒就起破壞作用，而在未啟動這個程序之前，它是用，而在未啟動這個程序之前，它是不易被人發覺的。不易被人發覺的。傳染性傳染性 計算機病毒不但本身具有破壞性，更有害計算機病毒不但

18、本身具有破壞性，更有害的是具有傳染性，一旦病毒被復制或產生的是具有傳染性，一旦病毒被復制或產生變種，其速度之快令人難以預防。傳染性變種，其速度之快令人難以預防。傳染性是病毒的基本特征。在生物界，病毒通過是病毒的基本特征。在生物界，病毒通過傳染從一個生物體擴散到另一個生物體。傳染從一個生物體擴散到另一個生物體。在適當的條件下，它可得到大量繁殖，并在適當的條件下，它可得到大量繁殖，并使被感染的生物體表現出病癥甚至死亡。使被感染的生物體表現出病癥甚至死亡。 同樣，計算機病毒也會通過各種渠道從已同樣，計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失在某些情況下造成被感染的計算機工作失常甚至癱常甚至癱 瘓。與生物病毒不同的是，計算瘓。與生物病毒不同的是，計算機