8.2　网络安全技术

计算机网络安全是指利用网络管理控制和技术措施，主要使网络环境里数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面，即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。

8.2.1　黑客攻防技术

1）黑客以及黑客技术

黑客一词，是由英语Hacker英译出来的。原指热心于计算机技术、水平高超的计算机专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用计算机网络搞破坏或恶作剧的人。一般来说，黑客是指利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。

在黑客进行攻击时，攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人计算机系统、盗窃系统保密信息以及破坏目标系统的数据为目的。

2）黑客常用攻击手段

黑客常用的攻击手段有如下几种:WWW欺骗技术、电子邮件攻击、网络监听、寻找系统漏洞、放置特洛伊木马、拒绝服务攻击等。

（1）WWW欺骗技术

黑客将用户要浏览的网页的域名地址对应的IP地址改为自己的服务器，当用户浏览网页时，就会登录黑客的服务器。2010年1月12日，中文搜索引擎百度（www.baidu.com）突然无法访问，主要是由于baidu.com域名在美国域名注册商被非法篡改，导致无法正常访问。

（2）电子邮件攻击

电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序。这类欺骗只要用户提高警惕，一般危害性不是太大。

（3）网络监听

网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具，它可以将网络接口设置在监听模式，并且可以截获网上传输的信息。也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其他主机，使用网络监听可以有效地截获网上的数据。有时，信息监听并不对目标产生危害，只是为进一步的入侵提供有用信息。在收集到一些准备要攻击目标的信息后，黑客们会探测目标网络上的每台主机来寻求系统内部的安全漏洞。

（4）寻找系统漏洞

许多系统都有这样那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞，Windows98中的共享目录密码验证漏洞和IE5漏洞等。这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非将网线拔掉。还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。

（5）放置特洛伊木马程序

特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等以诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载。一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会像特洛伊木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当用户连接到因特网上时，这个程序就会通知黑客并报告用户的IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改用户计算机的参数设定、复制文件、窥视整个硬盘中的内容等，从而达到控制用户计算机的目的。

（6）拒绝服务攻击

在拒绝服务攻击中，攻击者加载过多的服务将对方资源全部占用，使得没有多余资源供其他用户使用，造成目标服务器超负荷、网络堵塞和系统崩溃。这种方式可以集中大量的网络服务器带宽，对某个特定目标实施攻击，因而威力巨大，顷刻之间就可以使被攻击目标带宽资源耗尽，导致服务器瘫痪。作为攻击者，首先需要通过常规的黑客手段入侵并控制某个网站，然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程。攻击者把攻击对象的IP地址作为指令下达给进程时，这些进程就开始对目标主机发起攻击。

3）防御黑客攻击的方法

（1）慎用软件

因为不管是病毒程序还是黑客程序首先都要骗用户在自己的机器上运行它，所以对来历不明的软件不要轻易尝试，并且定期用不同版本的杀毒软件杀毒。

（2）安全设置浏览器

Cookie是在浏览过程中被有些网站往硬盘写入的一些数据，它们记录下用户的特定信息，因而当用户回到这个页面上时，这些信息（称作状态信息）就可以被重新利用。但是关注Cookie的原因不是因为可以重新利用这些信息，而是关心这些被重新利用信息的来源--硬盘安全。所以，防御黑客攻击的方法之一是设置安全级别，关掉Cookies。

（3）使用防火墙

用防火墙等软件一般可有效阻止网络中黑客的访问。

8.2.2　防火墙技术

1）防火墙的定义

防火墙（firewall）是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件，也可以是架设在一般硬件上的一套软件。它可以在两个网络之间实施接入控制策略，通过监测、限制和更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来解决内部网络和外部网络的安全性问题，实现网络的安全保护。防火墙内的网络一般称为“可信赖的网络”，而外部的因特网称为“不可信赖的网络”，防火墙即是在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

2）防火墙的种类

防火墙技术一般分为以下两类:

（1）网络级防火墙--用来防止整个网络出现外来非法入侵

网络层防火墙可视为一种IP封包过滤器，运行在底层的TCP/IP协议堆栈上。人们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。也能以另一种较宽松的角度来制订防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如:来源IP地址、来源端口号、目的IP地址或端口号、服务类型（如WWW或是FTP）；也能经由通信协议、TTL值、来源的网域名称或网段……等属性来进行过滤。

（2）应用级防火墙--从应用程序来进行接入控制

应用层防火墙是在TCP/IP堆栈的“应用层”上运行，使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包（通常是直接将封包丢弃）。理论上，这一类的防火墙可以完全阻绝外部的数据流进入受保护的计算机。

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既繁且杂（软件有千万种），所以大部分的防火墙都不会考虑以这种方法设计。

XML防火墙是一种新型态的应用层防火墙。