現(xiàn)在,隨著電子商務(wù)等因特網(wǎng)應(yīng)用越來(lái)越多,信息交換變得越來(lái)越普及,而保證因特網(wǎng)安全顯得越來(lái)越重要。
一、因特網(wǎng)上的威脅
因特網(wǎng)上的威脅包括人為的破壞和自然破壞兩方面的因素,其中人為的破壞更為嚴(yán)重,因?yàn)樽匀黄茐目梢酝ㄟ^(guò)數(shù)據(jù)冗余設(shè)置等來(lái)降低損失,但人為的破壞卻防不勝防。
人為破壞主要指黑客的攻擊。此外,計(jì)算機(jī)病毒也會(huì)對(duì)網(wǎng)絡(luò)造成很大的破壞。
1999年,美國(guó)計(jì)算機(jī)安全研究所和聯(lián)邦調(diào)查局對(duì)計(jì)算機(jī)犯罪和安全的檢測(cè)顯示,82%的損失來(lái)自公司內(nèi)部。1997~1999年,共有293 890 505美元的損失是由于諸如專有信息竊取、數(shù)據(jù)和網(wǎng)絡(luò)破壞、濫用內(nèi)部網(wǎng)絡(luò)接入、非授權(quán)內(nèi)部接入、電信欺騙等引起的。人是安全策略的中心,防火墻只是一種工具,安全策略實(shí)施的好壞取決于人員的素質(zhì),對(duì)職工進(jìn)行定期培訓(xùn)無(wú)疑是一種好的辦法。
二、因特網(wǎng)本身存在的安全問(wèn)題
因特網(wǎng)的基石是TCP/IP協(xié)議,該協(xié)議在實(shí)現(xiàn)上力求高效,因而為盡量降低代碼量、提高TCP/IP的運(yùn)行效率而沒(méi)有考慮安全因素,所以TCP/IP本身在設(shè)計(jì)上就是不安全的。現(xiàn)在的TCP/IP協(xié)議中的主要安全缺陷如下。
1.很容易被竊聽(tīng)和欺騙
因特網(wǎng)是一種網(wǎng)間互聯(lián)技術(shù),雖然其傳輸是點(diǎn)對(duì)點(diǎn)的,但一般網(wǎng)上任何一臺(tái)機(jī)器都可以收到因特網(wǎng)上主機(jī)發(fā)布的消息。
因特網(wǎng)上的信息容易被竊聽(tīng)和劫獲的另一個(gè)原因是,當(dāng)一臺(tái)主機(jī)與另一主機(jī)通信時(shí),它們之間互相發(fā)送的數(shù)據(jù)包要經(jīng)過(guò)重重轉(zhuǎn)發(fā)。這種工作原理雖然節(jié)約了資源、簡(jiǎn)化了傳輸過(guò)程,但增加了泄密的危險(xiǎn)。
另外,因特網(wǎng)上大多數(shù)的數(shù)據(jù)流是沒(méi)有加密的,所以電子郵件、文件等在傳輸時(shí)很容易被監(jiān)聽(tīng)和竊取。
2.脆弱的TCP/IP服務(wù)
基于TCP/IP協(xié)議的服務(wù)很多,如WWW,F(xiàn)TP,電子郵件,TFTP,NSF和Finger等。這些服務(wù)都存在不同程度的安全缺陷。用戶采用防火墻保護(hù)時(shí),就需要考慮該提供哪些服務(wù)、該禁止哪些服務(wù)。
3.配置的復(fù)雜性
訪問(wèn)控制的配置十分復(fù)雜,很容易被錯(cuò)誤配置而給黑客留下可乘之機(jī),例如許多站點(diǎn)在防火墻配置上無(wú)意識(shí)地?cái)U(kuò)大了訪問(wèn)權(quán)限。現(xiàn)在大多數(shù)防火墻是基于Unix環(huán)境的,但使用Unix需要豐富的計(jì)算機(jī)知識(shí),因此好的安全效果取決于普通職員的安全意識(shí)和網(wǎng)絡(luò)管理員的計(jì)算機(jī)水平。
4.調(diào)制解調(diào)器的安全
調(diào)制解調(diào)器提供進(jìn)入用戶網(wǎng)絡(luò)的另一個(gè)入口點(diǎn)。一般來(lái)說(shuō)網(wǎng)絡(luò)入口點(diǎn)越多,被入侵的可能性就越大。
(1)撥號(hào)調(diào)制解調(diào)器的訪問(wèn)安全
增強(qiáng)撥號(hào)調(diào)制解調(diào)器安全的方法很多,包括只把撥號(hào)號(hào)碼告訴需要使用該服務(wù)的人;使用用戶名和一次性口令來(lái)保護(hù)撥號(hào)服務(wù)器;基于位置的嚴(yán)格的身份驗(yàn)證;使用安全性好的調(diào)制調(diào)解器以及在網(wǎng)絡(luò)上增加一個(gè)用于核實(shí)身份的服務(wù)器等。
(2)Windows NT的遠(yuǎn)程訪問(wèn)服務(wù)
Windows NT的遠(yuǎn)程訪問(wèn)服務(wù)(RAS)為用戶提供了用調(diào)解調(diào)器訪問(wèn)遠(yuǎn)程網(wǎng)絡(luò)的功能,它使用一些安全性量度,如集成的域安全性、加密驗(yàn)證和登錄、審核、第三方的安全性主機(jī)以及回叫安全性等,以保證遠(yuǎn)程用戶是合法用戶。
三、TCP/IP各層的安全性和提升方法
對(duì)TCP/IP的層次結(jié)構(gòu)有所了解,就可以在不同的層次提供不同的安全性。
1.網(wǎng)絡(luò)層的安全性
因特網(wǎng)工程任務(wù)組(IETF)已經(jīng)特許因特網(wǎng)安全協(xié)議(IPSec)工作組對(duì)IP安全協(xié)議(IPSP)和對(duì)應(yīng)的因特網(wǎng)密鑰管理協(xié)議(IKMP)進(jìn)行標(biāo)準(zhǔn)化工作。IPSP的主要目的是使需要安全措施的用戶能夠使用相應(yīng)的加密安全體制。該體制不僅能在IPv4下工作,也能在IPv6下工作;該體制應(yīng)與算法無(wú)關(guān),即使加密算法替換了,也不對(duì)其他部分的實(shí)現(xiàn)產(chǎn)生影響;此外,該體制必須能實(shí)施各種安全政策,但要避免被不使用該體制的人利用。按照以上要求,IPSec工作組制定了認(rèn)證頭(AH:Authentication Header)和封裝安全有效負(fù)荷(ESP:Encapsulating Security Payload)規(guī)范,其中AH提供IP包的真實(shí)性和完整性,ESP提供機(jī)要內(nèi)容。
AH與ESP體制既可以合用也可以分用,但不管如何使用,都無(wú)法避免傳輸分析的攻擊。因此,IPSec工作組制定因特網(wǎng)密鑰管理協(xié)議(ISMP)等的標(biāo)準(zhǔn)化工作也已經(jīng)提上日程,包括:IBM公司提出的標(biāo)準(zhǔn)密鑰管理協(xié)議(MKMP),Sun公司提出的因特網(wǎng)協(xié)議的簡(jiǎn)單密鑰管理(SKIP),美國(guó)國(guó)家安全局(NSA)提出的因特網(wǎng)安全條例及密鑰管理協(xié)議等。這些協(xié)議草案除MKMP外,都要求一個(gè)既存的、完全可操作的公鑰基礎(chǔ)設(shè)施(PKI)。
另外,雖然IPSP的規(guī)范已經(jīng)基本制定完畢,但多播環(huán)境下的密鑰分配問(wèn)題目前尚未引起足夠重視。
2.傳輸層的安全性
在因特網(wǎng)應(yīng)用編程中,通常使用廣義的進(jìn)程間通信(IPC)機(jī)制來(lái)與不同層次的安全協(xié)議通信。在因特網(wǎng)中提供安全服務(wù)的想法便是強(qiáng)化它的IPC界面,如BSD套接(socket)等,具體做法包括雙端實(shí)體的認(rèn)證、數(shù)據(jù)加密密鑰的交換等。Netscape通信公司按照這個(gè)思路,制定了建立在可靠傳輸服務(wù)(如TCP/IP所提供的)基礎(chǔ)上的安全套接層協(xié)議(SSL)。SSL版本3(SSL v3)主要包含以下兩個(gè)協(xié)議:SSL記錄協(xié)議及SSL握手協(xié)議。
Netscape通信公司已經(jīng)向公眾推出了SSL的實(shí)現(xiàn)版本SSLref和SSleay,它們均可給任何TCP/IP應(yīng)用提供SSL功能。因特網(wǎng)號(hào)碼分配局(IANA)已經(jīng)為具備SSL功能的應(yīng)用分配了固定端口號(hào)。
微軟推出了SSL2的改進(jìn)版本,即私人通信技術(shù)(PCT)。它使用的記錄格式和SSL相似,主要差別在于版本號(hào)字段的最顯著位(the most significant bit)上的取值有所不同:SSL該位取0,PCT該位取1。這樣區(qū)分之后,就可以對(duì)這兩個(gè)協(xié)議都給予支持。
同網(wǎng)絡(luò)層安全機(jī)制相比,傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對(duì)進(jìn)程的安全服務(wù)。此外,傳輸層安全機(jī)制的主要缺點(diǎn)是要對(duì)傳輸層IPC界面和應(yīng)用程序兩端都進(jìn)行修改。但比起網(wǎng)絡(luò)層和應(yīng)用層的安全機(jī)制,其修改相當(dāng)少。
3.應(yīng)用層的安全性
網(wǎng)絡(luò)層(或傳輸層)的安全協(xié)議意味著真正的數(shù)據(jù)通道還是建立在主機(jī)(或進(jìn)程)之間,但卻不可能區(qū)分在同一通道上傳輸?shù)囊粋€(gè)具體文件的安全性要求。
要區(qū)分不同的安全性要求,就必須借助于應(yīng)用層的安全性。在應(yīng)用層提供安全服務(wù)有幾種做法。一種是對(duì)每個(gè)應(yīng)用及應(yīng)用協(xié)議分別進(jìn)行修改,一些重要的TCP/IP應(yīng)用已經(jīng)這樣做了;而在RFC 1424中,IETF規(guī)定了私用強(qiáng)化郵件(PEM)來(lái)為基于簡(jiǎn)單郵件傳輸協(xié)議(SMTP)的電子郵件系統(tǒng)提供安全服務(wù)。但目前還沒(méi)有Web安全性的公認(rèn)標(biāo)準(zhǔn)。另外,針對(duì)因特網(wǎng)上信用卡交易安全,MasterCard公司同IBM,Netscape,GTE和Cybercash等公司一道制定了安全電子付費(fèi)協(xié)議(SEPP),Visa國(guó)際公司和微軟公司等一道制定了安全交易技術(shù)(STT)協(xié)議。同時(shí),MasterCard,Visa國(guó)際和微軟發(fā)布了安全電子交易(SET)協(xié)議,其中規(guī)定了持卡人用其信用卡通過(guò)因特網(wǎng)進(jìn)行付費(fèi)的方法。
這些加強(qiáng)安全性能的應(yīng)用都需要單獨(dú)進(jìn)行相應(yīng)的修改。因此,為了能夠進(jìn)行統(tǒng)一修改,赫爾辛基大學(xué)的Tatu Yloenen開(kāi)發(fā)了安全shell(SSH),允許其用戶安全地登錄到遠(yuǎn)程主機(jī)上執(zhí)行命令、傳輸文件,實(shí)現(xiàn)了密鑰交換協(xié)議以及主機(jī)與客戶端認(rèn)證協(xié)議。
SSH的延伸是認(rèn)證和密鑰分配系統(tǒng),它提供一個(gè)應(yīng)用程序接口(API),可為任何網(wǎng)絡(luò)應(yīng)用程序提供安全服務(wù),例如認(rèn)證、數(shù)據(jù)機(jī)密性和完整性、訪問(wèn)控制以及非否認(rèn)服務(wù)等。目前已經(jīng)有一些實(shí)用的認(rèn)證和密鑰分配系統(tǒng),其中有些還被擴(kuò)充。
近來(lái),認(rèn)證系統(tǒng)設(shè)計(jì)領(lǐng)域最主要的進(jìn)展之一就是制定了標(biāo)準(zhǔn)化的安全API,即通用安全服務(wù)API(GSS-API)。美國(guó)奧斯汀大學(xué)的研究者開(kāi)發(fā)的安全網(wǎng)絡(luò)編程(SNP)還把界面做到了比GSS-API更高的層次,使與網(wǎng)絡(luò)安全性相關(guān)的編程更加方便。
四、Web 站點(diǎn)上數(shù)據(jù)的安全
Web應(yīng)用程序及Web站點(diǎn)往往易遭受各種各樣的攻擊,Web數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中也很容易被竊取或盜用。基于Web的應(yīng)用程序正在與基本的操作系統(tǒng)和后端數(shù)據(jù)庫(kù)更加緊密地集成在一起而防火墻允許所有的Web通信進(jìn)出網(wǎng)絡(luò),無(wú)法防止對(duì)Web服務(wù)器程序及其組件或Web應(yīng)用程序的攻擊。再者,Web服務(wù)器和基于Web的應(yīng)用程序有時(shí)是在“功能第一,安全其次”的思想指導(dǎo)下開(kāi)發(fā)出來(lái)的,比較脆弱,使得Web站點(diǎn)上的數(shù)據(jù)安全顯得更為迫切。
Web的安全性問(wèn)題非常復(fù)雜,范圍很廣,從防止外部攻擊角度講,Web服務(wù)器提供了三種類型的訪問(wèn)限制(控制)方法,以保護(hù)數(shù)據(jù)安全。
1.通過(guò)IP地址、子網(wǎng)或域名控制
只有當(dāng)瀏覽器的連接請(qǐng)求來(lái)自某個(gè)IP地址、IP子網(wǎng)或域的時(shí)候,才允許被訪問(wèn)。這樣做可以保護(hù)某個(gè)文檔甚至整個(gè)目錄。
IP地址限制對(duì)普通的情況是安全的,但通過(guò)一定的設(shè)備和工具軟件,網(wǎng)絡(luò)黑客可以偽造其IP地址。另外,也不能保證從已授權(quán)地址的主機(jī)向Web服務(wù)器請(qǐng)求連接的用戶就是預(yù)期的用戶。出于安全性考慮,IP地址限制必須與用戶身份檢查機(jī)制結(jié)合起來(lái)。
通過(guò)主機(jī)名/域名來(lái)限制訪問(wèn)機(jī)制的方法還存在著域名服務(wù)器(DNS)欺騙的危險(xiǎn):假的IP地址使用服務(wù)器卻被認(rèn)為是可以信任的主機(jī)名。為此,一些服務(wù)器可以為每個(gè)客戶完成額外的DNS解析,把到來(lái)請(qǐng)求的IP地址轉(zhuǎn)換成主機(jī)名之后,該服務(wù)器使用DNS把主機(jī)名再次解析成IP地址,從而禁止非法訪問(wèn)請(qǐng)求。如果服務(wù)器運(yùn)行在防火墻后面,該防火墻有防止和發(fā)現(xiàn)IP地址欺騙的功能,那么IP地址限制的方法會(huì)更安全。
2.通過(guò)用戶名/口令限制
當(dāng)遠(yuǎn)程用戶使用用戶名和對(duì)應(yīng)的口令訪問(wèn)某些目錄或文檔的方法也存在問(wèn)題時(shí),只有選擇很難猜到的口令才有效。而且,WWW服務(wù)與Unix的登錄方式不同,不能控制連接不成功的最大次數(shù),這就更為網(wǎng)絡(luò)黑客猜取口令提供了可能和方便。另外,在Web下訪問(wèn)被保護(hù)的文檔,瀏覽器會(huì)向服務(wù)器發(fā)送多次口令信息,這使得網(wǎng)絡(luò)黑客更易截取口令信息。為了避免這種情況,只能使用密鑰加密的方法。
3.用公用密鑰加密
加密是用一個(gè)密鑰對(duì)消息的文本進(jìn)行編碼來(lái)實(shí)現(xiàn)的。文檔的請(qǐng)求和文檔本身都將被加密,使得只有收信人才能讀取文檔的內(nèi)容,其他用戶即使截獲文檔本身,也因?yàn)闆](méi)有密鑰而不能讀取文檔內(nèi)容。
傳統(tǒng)的加密系統(tǒng)在加密和解密時(shí)使用同一個(gè)密鑰,在新的公共密鑰或非對(duì)稱加密系統(tǒng)中,密鑰以成對(duì)的形式出現(xiàn),一個(gè)密鑰用于編碼,另一個(gè)密鑰用于解碼。例如在該系統(tǒng)下,用戶A向用戶B發(fā)送消息,可以使用用戶B的公共密鑰來(lái)對(duì)消息進(jìn)行加密。該消息僅能由私有密鑰的擁有者(用戶B)解密,這就防止了消息被竊取的可能。該系統(tǒng)也可以用于創(chuàng)建無(wú)法偽造的數(shù)字簽名。
五、拒絕服務(wù)攻擊及其防范措施
拒絕服務(wù)(DoS:Denial of Service)攻擊是伴隨著因特網(wǎng)的發(fā)展而發(fā)展和升級(jí)的。拒絕服務(wù)攻擊的目的是阻止服務(wù)器發(fā)送它所提供的服務(wù),使受害主機(jī)或網(wǎng)絡(luò)無(wú)法及時(shí)處理外界請(qǐng)求,或根本無(wú)法回應(yīng)外界請(qǐng)求。
DoS嚴(yán)格地說(shuō)只是一種破壞網(wǎng)絡(luò)服務(wù)的方式,具體實(shí)現(xiàn)方式一般包括畸形包、包溢出、分布式拒絕業(yè)務(wù)等。當(dāng)高速包產(chǎn)生而被攻擊的主機(jī)帶寬無(wú)法承受高速包的攻擊時(shí),則DoS攻擊成功。Smurf等技術(shù)的出現(xiàn)使低帶寬主機(jī)發(fā)起對(duì)高帶寬主機(jī)的DoS攻擊變得非常容易。
通常DoS攻擊的目標(biāo)是網(wǎng)絡(luò)的TCP/IP內(nèi)層結(jié)構(gòu)。這些攻擊分為三種:破壞TCP/IP(例如Ping of Death及Teardrop攻擊等)、 利用TCP/IP協(xié)議的漏洞(最流行的是SYN攻擊)以及Smurf攻擊和用戶數(shù)據(jù)報(bào)協(xié)議沖擊等。
DoS攻擊中危害最大的是分布式拒絕服務(wù)(DDoS:Distributed Denial Of Service)攻擊:攻擊者利用已經(jīng)侵入并控制的多臺(tái)主機(jī)對(duì)某一單機(jī)發(fā)起攻擊,在懸殊的帶寬對(duì)比下,被攻擊的主機(jī)會(huì)很快失去反應(yīng)。這種攻擊方式非常有效,而且難以抵擋,任何人都可以將DDoS的“僵尸”植入到那些毫無(wú)防范的系統(tǒng)中,然后發(fā)送攻擊目標(biāo)的信息以及攻擊的指令,DDoS瞬間即至。新的DDoS使用“脈動(dòng)僵尸”方法,它不進(jìn)行野蠻攻擊,而是發(fā)送一波一波的小帶寬數(shù)據(jù)?這樣就能繞過(guò)那些為密集進(jìn)攻而設(shè)置的網(wǎng)絡(luò)警報(bào)器。
更嚴(yán)峻的問(wèn)題是?微軟的下一代Windows XP操作系統(tǒng)使用原始的TCP/IP套接字,程序員可以編寫(xiě)任意代碼(包括編寫(xiě)DDoS攻擊程序,使用套接字80獲取指令)等。因此有人預(yù)言,DDoS攻擊將呈爆炸式增長(zhǎng)?這將使因特網(wǎng)因?yàn)槌砂偕锨У腄DoS攻擊而減慢速度。
從現(xiàn)有的技術(shù)角度來(lái)看,還沒(méi)有一種針對(duì)DoS攻擊的有效解決辦法。目前防止DoS攻擊的最佳手段就是防患于未然。首先要保證外圍主機(jī)和服務(wù)器的安全,使攻擊者無(wú)法控制大量的無(wú)關(guān)主機(jī),從而無(wú)法發(fā)動(dòng)有效攻擊。保護(hù)這些主機(jī)最好的辦法就是及時(shí)了解有關(guān)本操作系統(tǒng)的安全漏洞以及相應(yīng)的安全措施,及時(shí)安裝補(bǔ)丁程序并注意升級(jí)系統(tǒng)軟件,以免給黑客可乘之機(jī)。其次,當(dāng)攻擊發(fā)生后,可以在數(shù)據(jù)流中搜尋特征字符串,確定發(fā)起攻擊的服務(wù)器和攻擊者的位置,管理員還可以通過(guò)監(jiān)視端口的使用情況進(jìn)行入侵監(jiān)測(cè)。再者,當(dāng)使用的數(shù)據(jù)包異常,如出現(xiàn)超長(zhǎng)或畸形的因特網(wǎng)控制報(bào)文協(xié)議(ICMP)或UDP包等,或數(shù)據(jù)包本身正常但其中的數(shù)據(jù)特異(例如存在某種加密特性)時(shí),也很可能是在攻擊。最后,可通過(guò)統(tǒng)計(jì)的方法來(lái)獲知攻擊的到來(lái),例如在攻擊之前,目標(biāo)網(wǎng)絡(luò)的域名服務(wù)器會(huì)接到遠(yuǎn)遠(yuǎn)超出正常數(shù)量的反向和正向的地址查詢,這些查詢往往意味著攻擊的到來(lái);或者通過(guò)數(shù)據(jù)流量來(lái)判斷,在遭到攻擊時(shí),攻擊數(shù)據(jù)的來(lái)源地址會(huì)發(fā)出超出正常極限的數(shù)據(jù)量。
六、防火墻效率與安全之間的矛盾
防火墻在為內(nèi)部網(wǎng)絡(luò)帶來(lái)安全的同時(shí),也產(chǎn)生了一定的反作用——降低了網(wǎng)絡(luò)運(yùn)行的效率。
在傳統(tǒng)防火墻的設(shè)計(jì)中,包過(guò)濾與規(guī)則表進(jìn)行匹配,對(duì)符合規(guī)則的數(shù)據(jù)包進(jìn)行處理,不符合規(guī)則的就丟棄,每個(gè)包都要依據(jù)規(guī)則順序過(guò)濾。由于網(wǎng)絡(luò)安全涉及領(lǐng)域很多,技術(shù)復(fù)雜,安全規(guī)則往往要達(dá)到數(shù)百甚至上千種,使防火墻產(chǎn)品出現(xiàn)性能大幅度降低、網(wǎng)絡(luò)資源衰竭等問(wèn)題,從而造成網(wǎng)絡(luò)擁塞。所以,安全與效率的兩難選擇成為傳統(tǒng)防火墻面臨的最大問(wèn)題。此外,在這種設(shè)計(jì)中,黑客會(huì)采用IP Spoofing的辦法將自己的非法包偽裝成屬于某個(gè)合法的連接,進(jìn)而侵入用戶的內(nèi)部網(wǎng)絡(luò)系統(tǒng)。因此,傳統(tǒng)的包過(guò)濾技術(shù)既缺乏效率又容易產(chǎn)生安全漏洞。為實(shí)現(xiàn)安全、效率上的雙向突破,基于連接的包過(guò)濾技術(shù)應(yīng)運(yùn)而生。
與傳統(tǒng)包過(guò)濾的無(wú)連接檢測(cè)技術(shù)不同,基于連接狀態(tài)的包過(guò)濾在進(jìn)行包的檢查時(shí),不僅將其看成是獨(dú)立的單元,同時(shí)還要考慮它的歷史關(guān)聯(lián)性。防火墻在進(jìn)行規(guī)則檢查的同時(shí),可以將包的連接狀態(tài)記錄下來(lái),該連接以后的包則無(wú)需再通過(guò)規(guī)則檢查,只需通過(guò)狀態(tài)表里對(duì)該包所屬的連接的記錄來(lái)檢查即可。如果有相應(yīng)的狀態(tài)標(biāo)識(shí),則說(shuō)明該包已經(jīng)建立合法連接,可以接受。檢查通過(guò)后該連接狀態(tài)的記錄將被刷新,這樣就使具有相同連接狀態(tài)的包避免了重復(fù)檢查。同時(shí)由于規(guī)則表的排序是固定的,只能采用線性的方法進(jìn)行搜索,而連接狀態(tài)表里的記錄是可以隨意排列的,于是可采用諸如二叉樹(shù)或哈希(hash)等算法進(jìn)行快速搜索,這就提高了系統(tǒng)的傳輸效率。同時(shí),采用實(shí)時(shí)的連接狀態(tài)監(jiān)控技術(shù),可以在狀態(tài)表中通過(guò)諸如應(yīng)答響應(yīng)(ACK)、NO等連接狀態(tài)因素加以識(shí)別,增強(qiáng)系統(tǒng)的安全性。
另外,對(duì)于基于UDP協(xié)議的應(yīng)用來(lái)說(shuō),由于該協(xié)議本身對(duì)于順序錯(cuò)誤或丟失的包并不作糾錯(cuò)或重傳,所以很難用簡(jiǎn)單的包過(guò)濾技術(shù)來(lái)處理。防火墻在處理基于UDP協(xié)議的連接時(shí),應(yīng)能為UDP建立虛擬的連接,對(duì)連接過(guò)程進(jìn)行狀態(tài)監(jiān)控,通過(guò)規(guī)則與連接狀態(tài)的共同配合達(dá)到包過(guò)濾的高效與安全。
七、結(jié) 語(yǔ)
因特網(wǎng)上的安全問(wèn)題是多方面的,隨著電子商務(wù)等因特網(wǎng)應(yīng)用日益發(fā)展,信息交換變得越來(lái)越普及,信息安全也顯得愈加迫切,面臨的考驗(yàn)也愈加嚴(yán)峻。保證因特網(wǎng)安全不僅僅是技術(shù)上的問(wèn)題,從各個(gè)層次上提高協(xié)議的安全性等只是問(wèn)題的一個(gè)方面,操作管理、人員素質(zhì)等也是影響安全的非常重要的因素。
