12.网络防火墙 防火墙(Firewall)是指一个由软件或硬件设备组合而成,处于企业或网络群体电脑与外界通道之间,用来加强因特网与内部网之间安全防范的一个或一组系统。它控制网络内外的信息交流,提供接入控制和审查跟踪,是一种访问控制机制。
一般防火墙具备以下特点:
(1)广泛的服务支持。通过:悔动态的、应用层的过滤能力和认证相结合,可实现wWw浏览、HTTP服务、FTP服务等;
(2)通过对专用数据的加密支持,保证通过Internet进行的虚拟专用网商务活动不受破坏;
(3)客户端认证只允许指定的用户访问内部网络或选择服务,是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;
(4)反欺骗。欺骗是从外部获取网络访问权的常用手段,它使数据包好象来自网络内部。防火墙能监视这样的数据包并能扔掉它们。
防火墙的设置有两条原则:一是“凡是未被准许的就是禁止的”。另一条策略与此正好相反,它坚持“凡是未被禁止的就是允许的”。防火墙先是转发所有的信息,起初这堵墙几乎不起作用,如同虚设;然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。在此策略下,网络的灵活性得到完整地保留。但是就怕漏过的信息太多,使安全风险加大,并且网络管理者往往疲于奔命,工作量增大。
正因为安全领域中有许多变动的因素,所以安全策略的制定不应建立在静态的基础上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略斗系统实施+漏洞监测+实时响应从而满足综合性与整体性相结合的要求。
现有的防火墙技术主要有两大类:数据包过滤技术和代理服务技术。第一类是数据包过滤技术(Packet Filter)。它是在网络层对数据包实施有选择的放行。
第二类是代理服务技术(Proxy SeIvice)。这是一种基于代理服务器的防火墙技术,通常由两部分构成一客户与代理服务器连接,代理服务器再与外部服务器连接,而内部网络与外部网络之间没有直接的连接关系。
防火墙是有其局限性的:
(1)防火墙不能防止绕过防火墙的攻击。比如,一个企业内联网设置了防火墙,但是该网络的一个用户基于某种理由另外直接与网络的服务提供商连接,绕过了企业内联网的保护,为该网留下了一个供人攻击的后门,成了一个潜在的安全隐患。
(2)防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点挖掘,因此可能受到黑客们的攻击。像企业内联网由于管理原因造成的人为破坏,防火墙是无能为力的。
(3)防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。任何防火墙不可能对通过的数据流中每一个文件进行扫描检查病毒。
目前市场上很多流行的安全设备都属于静态安全技术范畴,如防火墙和系统外壳等外围保护设备。外围保护设备针对的是来自系统外部的攻击,一旦外部侵入者进入了系统,他们便不受任何阻挡。认证手段也与此类似,一旦侵入者骗过了认证系统,那么侵入者便成为系统的内部人员。传统防火墙的缺点在于无法做到安全与速度同步提高,一旦考虑到安全因素而对网络数据流量进行深入检测和分析,那么网络传输速度势必受到影响。
静态安全技术的缺点是需要人工来实施和维护,不能主动跟踪侵入者。传统的防火墙产品就是典型的这类产品。其高昂的维护费用和对网络性能的影响,任何人都无法回避。系统管理员需要专门的安全分析软件和技术来确定防火墙是否受到攻击。
针对静态安全技术的不足,许多世界网络安全和管理专家都提出了各自的解决方案,如NAI为传统的防火墙技术做出了重要的补充和强化,其最新的防火墙系统Gauntlet Firewall3.0 for WindowsNT包含了NAI技术专家多年来的研究成果“自适应代理技术”等。
13.动态安全技术
动态安全技术能够主.动检测网络的易受攻击点和安全漏洞,并且通常能够早于人工探测的危险行为。它的主要检测工具包括:能够测试网络、系统和应用程序易受攻击点的检测和扫描工具;对可疑行为的监视程序;病毒检测工具。自动检测工具通常还配有自动通报和警告系统。
以NAI推出的Cybelcop为例,这是一种集网络系统入侵检测、安全扫描、动态响应和审计分析于一身的全面入侵检测解决方案。Cybel Cop网络入侵检测与风险评估套件包括Cyber cop Scanner、Cybel Cop Network和Cyber Cop Server三个产品。
Cyber Cop Scanner提供综合的审计工具,它像在银行中巡逻的保安人员,发现网络环境中的安全漏洞,保证网络安全的完整性。Cyber Cop Scanner可以发现大众化的安全漏洞和非大众化的漏洞,它可以确定防火墙的第一条防护规则是否发挥作用,用独特的定制审计包括引擎(CAPE)技术完成协议级Spoofing和攻击模拟。它可以评估.Internet、Web服务器、防火墙、路由器,扫描、测试和确定存在的可被黑客利用的脆弱性。
CyberCopwork是基于网络的实时入侵检测系统,通过网络流量检查保护企业财产。它像一个高级防盗报警器,保护网络免受来自内外的攻击。当网络安全受到非法入侵者的威胁时发出报警。其最大特点是充分发挥了动态安全技术的优势,主动检测网络内外的危险行为和动作,记录网络活动,捕捉侵入罪证,并且能够进行实时报警。一旦有非法斥l户企图越权访问网络,Cyber Cop:Network通过分布式的网络传感器能很快检测到入侵行为,并收集有关数据,然后通过加密连接将细节报告给Cyber Cop管理服务器,生成永久记录。管理系统立即通过各种可能手段,如电子邮件、寻呼机和SNMP系统向管理人员报告有关情况。管理人员马上便可通过拨号或其它方式进入网络重新配置路由器,以阻挡侵入行为的继续进行。Cyber Cop Network所记录的各种信息将有助于系统管理员恢复系统正常运行,同时为捕获侵入者提供法律上的证据。
14.平板电脑
平板电脑是PC家族以及笔记本电脑之后的新成员,其外观和笔记本电脑相似,但又不是单纯的笔记本电脑,它可以被称为笔记本电脑的精华版。其外形介于笔记本和掌上电脑之间,但其处理能力大于掌上电脑,与笔记本电脑相比,它除了拥有其所有功能外,还支持手写输入或者语音输入,移动性和便携性都更胜一筹,非常受广大青年时尚人士的亲睐。目前平板电脑只有两种规格,一种是专用手写板,可外接键盘、屏幕等,当作一般PC用。另一种为笔记型手写板,可象笔记本一样开合,有的能够旋转。
15.网络视频
网络视频,是指由网络视频服务商提供的、以多媒体为播放格式的在线视频播放服务、可以在线直播或点播的声像文件。网络视频是指以电脑为终端,利用QQ、MSN等IM工具,进行可视化聊天的一项技术或应用,一般需要独立的播放器。
16.网络电视
网络电视,全称是IPTV(InteractiVePersonalityTV),它是将电视机、个人电脑及手持设备作为显示终端,通过机顶盒或计算机接入宽带网络,实现数字电视、时移电视、互动电视在网络上传输的服务。网络电视的出现给人们带来了一种全新的电视观看方法,它改变了以往被动的电视观看模式,实现了电视以网络为基础根据自己的需要,方便快捷、抛弃垃圾广告,随时随地的便捷方式服务广大网民。另外网络电影也很受大家喜爱。
17.电子图书
电子图书又称e—book,是指以数字代码方式将图、文、声、像等信息存储在磁、光、电介质上,通过计算机或类似的电子通信(手机)设备使用,并可复制发行的大众传播体。现在主要有:电子图书、电子期刊、电子报纸和软件读物等。
