計算機病毒與防火墻

1、,防火墻,核心防護,病毒檢測,入侵檢測,病毒,,定義產(chǎn)生特點分類發(fā)展行為命名發(fā)展趨勢,防火墻,,定義作用主要技術(shù) 發(fā)展趨勢局限性,計算機病毒（Computer Virus）在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義，病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我 復制的一組計算機指令或者程序代碼”。與醫(yī)學上的“病毒”不同，計算機病毒不是天然存在的，是某些人利

2、用計算機軟件和硬件所固有的脆弱性編制的一組指令集 或程序代碼。它能通過某種途徑潛伏在計算機的存儲介質(zhì)（或程序）里，當達到某種條件時即被激活，通過修改其他程序的方法將自己的精確拷貝或者可能演化的形 式放入其他程序中，從而感染其他程序，對計算機資源進行破壞，所謂的病毒就是人為造成的，對其他用戶的危害性很大！,病毒的定義,研究人員為了計算出當時互聯(lián)網(wǎng)的在線人數(shù)，然而它卻自己“繁殖”了起來導致了整個服務器的 崩潰和堵塞，有時一次突發(fā)的停電和偶然

3、的錯誤，會在計算機的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機指令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精 巧嚴謹?shù)拇a，按照嚴格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應和配合起來，病毒不會通過偶然形成，并且需要有一定的長度，這個基本的長度從概率上來 講是不可能通過隨機代碼產(chǎn)生的。 全球第一個電腦病毒在1988年11月2日由麻省理工學院(MIT)的學生Robert Tappan Morris撰寫，因此病毒也被取名為

4、Morris?？偣矁H99行程序代碼，施放到當時網(wǎng)絡(luò)上數(shù)小時，就有數(shù)以千計的UNIX服務器受到感染。但此軟件原始用意并非用來癱瘓電腦，而是希望寫作出可以自我復制的軟件，但程式的循環(huán)沒有處理好，使得服務器不斷執(zhí)行、復制Morris，最后死機。,病毒的產(chǎn)生,,破壞性,傳染性,潛伏性,隱蔽性,可觸發(fā)性,病毒的特點,不可預見性,非授權(quán)性,病毒的分類,,按病毒存在的媒體：網(wǎng)絡(luò)病毒，文件病毒，引導性病毒,按病毒傳染的方法：駐留性病毒和非駐留型病毒,按

5、病毒破壞的能力：無害型、無危險型、非常危險型,按病毒的算法：寄生型病毒、詭秘型病毒、變型病毒（又稱幽靈病毒）,按傳染方式分類：引導型病毒、文件型病毒和混合型病毒,病毒的行為,1.攻擊系統(tǒng)數(shù)據(jù)區(qū)，攻擊部位包括：硬盤主引尋扇區(qū)、Boot扇區(qū)、FAT表、文件目錄等。迫使計算機空轉(zhuǎn)，計算機速度明顯下降。 2.攻擊磁盤，攻擊磁盤數(shù)據(jù)、不寫盤、寫操作變讀操作、寫盤時丟字節(jié)等。 3.擾亂屏幕顯示，病毒擾亂屏幕顯示的方式很多，可列舉如下：字符跌落、

6、環(huán)繞、倒置、顯示前一屏、光標下跌、滾屏、抖動、亂寫、吃字符等。 4.鍵盤病毒，干擾鍵盤操作，已發(fā)現(xiàn)有下述方式：響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、重復、輸入紊亂等。喇叭病毒，許多病毒運行時，會使計算機的喇叭發(fā)出響聲。有的病毒作者通過喇叭發(fā)出種種聲音，有的病毒作者讓病毒演奏旋律優(yōu)美的世界名曲，在高雅的曲調(diào)中去殺戮人們的信息財富，已發(fā)現(xiàn)的喇叭發(fā)聲有以下方式：演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔5.攻擊CMOS ， 在機器的CMOS區(qū)

7、中，保存著系統(tǒng)的重要數(shù)據(jù)，例如系統(tǒng)時鐘、磁盤類型、內(nèi)存容量等。有的病毒激活時，能夠?qū)MOS區(qū)進行寫入動作，破壞系統(tǒng)CMOS中的數(shù)據(jù)。 6.干擾打印機，典型現(xiàn)象為：假報警、間斷性打印、更換字符等。,1. DOS引導階段2. DOS可執(zhí)行階段3.伴隨、批次型階段4.幽靈、多形階段5.生成器、變體機階段6.網(wǎng)絡(luò)、蠕蟲階段7.視窗階段8.宏病毒階段9.互聯(lián)網(wǎng)階段10.郵件炸彈階段,病毒的發(fā)展,病毒的命名,一般格式為：..

8、病毒前綴是指一個病毒的種類，他是用來區(qū)別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴 Trojan ，蠕蟲病毒的前綴是 Worm 等等還有其他的。　　病毒名是指一個病毒的家族特征，是用來區(qū)別和標識病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“ CIH ”，振蕩波蠕蟲病毒的家族名是“ Sasser ”?！　〔《竞缶Y是指一個病毒的變種特征，是用來區(qū)別具體某個家族病毒的某個變種的。一般都采用英

9、文中的26個字母來表示，如 Worm.Sasser.b 就是指 振蕩波蠕蟲病毒的變種B，因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多，可以采用數(shù)字與字母混合表示變種標識。,計算機病毒的發(fā)展趨勢,1、制作技術(shù)更加先進，方法更加簡便2、變形病毒3、病毒與黑客程序結(jié)合,逐步向智能化病毒發(fā)展4、蠕蟲病毒強大,無線病毒發(fā)展5、利用軟件系統(tǒng)的缺陷和漏洞攻擊計算機系統(tǒng)6、跨平臺病毒的發(fā)展7、“三線程”結(jié)構(gòu)病毒

10、 -------《計算機病毒的發(fā)展趨勢與防治》 趙育新,趙連鳳遼寧警專學報,破壞力最大的10種計算機病毒,1.CIH(1998年)：1998年6月始發(fā)于中國臺灣，被認為是有史以來第一種在全球范圍內(nèi)造成巨大破壞的計算機病毒，導致無數(shù)臺計算機的數(shù)據(jù)遭到破壞。在全球范圍內(nèi)造成了200

11、0萬至8000萬美元的損失。（win9x病毒）　　2.梅利莎(Melissa，1999年)：1999年3月26日梅利莎病毒爆發(fā)，并迅速成為全球報紙的頭條新聞，這種基于Word的宏腳本病毒感染了全球15%～20%的商業(yè)PC。該病毒借助于微軟的電子郵件系統(tǒng)Outlook傳播，其傳播速度如此之快，以至于英特爾、微軟和其他一些使用Outlook軟件的公司把整個電子郵件系統(tǒng)都關(guān)閉了。梅利莎給全球帶來了3億～6億美元的損失?！　?.愛蟲(I

12、loveyou，2000年)：2000年5月3日爆發(fā)于中國香港，這是一種VB腳本病毒，由于其主題是“我愛你”，并附有一封求愛信，因此傳播迅速，給全球帶來100億～150億美元的損失?！　?.紅色代碼(CodeRed，2001年)：2001年7月13日在網(wǎng)絡(luò)服務器上爆發(fā)，給全球帶來26億美元損失。,5.SQLSlammer(2003年)：2003年1月25日爆發(fā)，由于爆發(fā)的時間在周六，造成的經(jīng)濟損失較小，但全球有50萬臺服務器被攻擊，

13、并致使韓國的互聯(lián)網(wǎng)中斷了12小時?！　?.沖擊波(Blaster，2003年)：2003年夏季爆發(fā)，數(shù)十萬臺計算機被感染，給全球造成20億～100億美元損失?！　?.巨無霸(Sobig.F，2003年)：2003年8月19日爆發(fā)，為此前Sobig變種，給全球帶來50億～100億美元損失。　　8.貝革熱(Bagle，2004年)：2004年1月18日爆發(fā)，給全球帶來數(shù)千萬美元損失?！　?.MyDoom(2004年)：200

14、4年1月26日爆發(fā)，在高峰時期，導致網(wǎng)絡(luò)加載時間減慢50%以上。　　10.震蕩波(Sasser，2004年)：2004年4月30日爆發(fā)，給全球帶來數(shù)千萬美元損失。 ---------美國《Techweb》網(wǎng)站,怎樣預防計算機病毒,做好計算機病毒的預防，是防治病

15、毒的關(guān)鍵。計算機病毒預防措施：1.不使用盜版或來 歷不明的軟件，特別不能使用盜版的殺毒軟件。2.寫保護所有系統(tǒng)軟盤。3.安裝真正有效的防毒軟件，并經(jīng)常進行升級。4.新購買的電腦在使用之前首先要進 行病毒檢查，以免機器帶毒。5.準備一張干凈的系統(tǒng)引導盤，并將常用的工具軟件拷貝到該盤上，然后妥善保存。此后一旦系統(tǒng)受到病毒侵犯，我們就可以使用該 盤引導系統(tǒng)，進行檢查、殺毒等操作。6.對外來程序要使用查毒軟件進行檢查，未經(jīng)檢查的可執(zhí)

16、行文件不能拷入硬盤，更不能使用。7.盡量不要使用軟盤啟動計 算機。8.將硬盤引導區(qū)和主引導扇區(qū)備份下來，并經(jīng)常對重要數(shù)據(jù)進行備份。-------------《計算機病毒的特征及防治策略》李為民，葛福鴻，張麗萍 《網(wǎng)絡(luò)通訊及安全》雜志社,及早發(fā)現(xiàn)計算機病毒，是有效控制病毒危害的關(guān)鍵

17、。檢查計算機有無病毒主要有兩種途 徑：一種是利用反病毒軟件進行檢測，一種是觀察計算機出現(xiàn)的異?，F(xiàn)象。下列現(xiàn)象可作為檢查病毒的參考：1.屏幕出現(xiàn)一些無意義的顯示畫面或異常的提示信 息。2.屏幕出現(xiàn)異常滾動而與行同步無關(guān)。3.計算機系統(tǒng)出現(xiàn)異常死機和重啟動現(xiàn)象。4.系統(tǒng)不承認硬盤或硬盤不能引導系統(tǒng)。5.機器喇叭自動產(chǎn)生鳴叫。 6.系統(tǒng)引導或程序裝入時速度明顯減慢，或異常要求用戶輸入口令。7.文件或數(shù)據(jù)無故地丟失，或文件長度自動

18、發(fā)生了變化。8.磁盤出現(xiàn)壞簇或可用空間變 小，或不識別磁盤設(shè)備。9.編輯文本文件時，頻繁地自動存盤。,發(fā)現(xiàn)計算機病毒應立即清除，將病毒危害減少到最低限度。發(fā)現(xiàn)計算機病毒后的解決方 法：1.在清除病毒之前，要先備份重要的數(shù)據(jù)文件。2.啟動最新的反病毒軟件，對整個計算機系統(tǒng)進行病毒掃描和清除，使系統(tǒng)或文件恢復正常。3.發(fā)現(xiàn)病毒 后，我們一般應利用反病毒軟件清除文件中的病毒，如果可執(zhí)行文件中的病毒不能被清除，一般應將其刪除，然后重新安裝相

19、應的應用程序。4.某些病毒在 Windows狀態(tài)下無法完全清除，此時我們應用事先準備好的干凈的系統(tǒng)引導盤引導系統(tǒng)，然后在DOS下運行相關(guān)殺毒軟件進行清除。常見的國內(nèi)殺毒軟件有瑞星、江民、金山毒霸、360等。國外優(yōu)秀的殺毒軟件有卡吧斯基、麥咖啡、諾頓、小紅傘等。,防火墻定義,在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允

20、許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。,防火墻的特性,任何一個好的防火墻必須具備以下三個特性：1、所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻；2、只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻。3、防火墻本

21、身不受各種攻擊的影響。,防火墻的作用,強化安全策略：因為每天都有上百萬人在Internet收集信息、交換信息,不可避免地會出現(xiàn)個別品德不良的人或違反規(guī)則的人,防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略,僅僅容許“認可的”和符合規(guī)則的請求通過。有效地記錄Internet上的活動：因為所有進出信息都必須通過防火墻,所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點,防火墻能在被保護的網(wǎng)絡(luò)和外部網(wǎng)

22、絡(luò)之間進行記錄。限制暴露用戶點：防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。這樣,能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。防止易受攻擊的服務：防火墻可以大大提高網(wǎng)絡(luò)的安全性,并通過過濾天生不安全的服務來降低子網(wǎng)上主系統(tǒng)所冒的風險。防火墻可以禁止某些易受攻擊的服務(如NFS)進入或離開受保護的子網(wǎng),以防護這些服務不會被外部攻擊者利用。而同時允許在大大降低被外部攻擊者利用的風險情況下使用這些服務。對局域網(wǎng)特別有用的服務,如NI

23、S或NFS因而可得到公用,并用來減輕主系統(tǒng)管理負擔。防火墻還可以防護基于路由選擇的攻擊,如源路由選擇和企圖通過ICMP改向把發(fā)送路徑轉(zhuǎn)向遭致?lián)p害的網(wǎng)點。,一個安全策略的檢查站：所有進出的信息都必須通過防火墻,因而防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕于門外?？刂圃L問網(wǎng)點系統(tǒng)：防火墻可以控制對網(wǎng)點系統(tǒng)的訪問。如某些主系統(tǒng)可以由外部網(wǎng)絡(luò)訪問,而其他主系統(tǒng)則能有效地封閉起來,防護有害的訪問。增強保密性、強化私有權(quán)：使用防火墻

24、系統(tǒng),站點可以防止Finger以及DNS域名服務?？梢苑怄i域名服務信息,從而使Internet外部主機無法獲取站點名和IP地址。通過封鎖這些信息,可以防止攻擊者從中獲得另一些有用的信息。有關(guān)網(wǎng)絡(luò)使用、濫用的記錄和統(tǒng)計：如果對Internet的往返訪問都通過防火墻,那么,防火墻可以記錄各次訪問,并提供有關(guān)網(wǎng)絡(luò)使用率的有價值的統(tǒng)計數(shù)字。采集網(wǎng)絡(luò)使用率統(tǒng)計數(shù)字和試探的證據(jù)是很重要的,這樣可以知道防火墻能否抵御試探和攻擊,并確定防火墻上的控

25、制措施是否得當。同時網(wǎng)絡(luò)使用率統(tǒng)計數(shù)字可作為網(wǎng)絡(luò)需求研究和風險分析活動的輸入。,防火墻的主要技術(shù),當前比較成熟的邊界防火墻技術(shù)主要有兩種: 包過濾技術(shù)和代理服務器。,包過濾技術(shù)（IP Filter Firewall) ：為了對內(nèi)部網(wǎng)絡(luò)提供保護，就有必要對通過防火墻的數(shù)據(jù)包進行檢查，例如檢查其源地址和目的地址、端口地址、數(shù)據(jù)包的類型等，根據(jù)這些數(shù)據(jù)來判斷這個數(shù)據(jù)包是否為合法數(shù)據(jù)包，如果不符合預定義的規(guī)則，就不將這個數(shù)據(jù)包發(fā)送到其目的計算機

26、中去。,代理服務器( Pr oxy Server):是另一種防火墻技術(shù)， 與包過濾不同， 它直接和應用服務程序打交道， 它不會讓數(shù)據(jù)包直接通過， 而是自己接收了數(shù)據(jù)包，并對其進行分析。當代理程序理解了連接請求之后， 它將自己啟動另一個連接! 向外部網(wǎng)絡(luò)發(fā)送同樣的請求，然后將返回的數(shù)據(jù)發(fā)送回那個提出請求的內(nèi)部網(wǎng)絡(luò)計算機。,防火墻技術(shù)發(fā)展趨勢,1.體系結(jié)構(gòu),2 功能集成的發(fā)展:在防火墻的功能上有兩個完全相反的發(fā)展方向, 即“胖”防火墻和“廋

27、”防火墻?！芭帧狈阑饓Φ膬?yōu)點在于可以滿足用戶絕大部分的網(wǎng)絡(luò)安全需求, 提供較全面的保護, 降低用戶的采購成本。但防火墻作為網(wǎng)絡(luò)邊界的單一控制點, 本來就會給網(wǎng)絡(luò)帶來性能瓶頸的問題, 又IDS、防病毒等模塊地加入會進一步加劇瓶頸效應; 其次,附加模塊不專業(yè), 可能會導致附加功能不全面; 另外, 單一防火墻產(chǎn)品功能多, 也會導致其可靠性和安全性的降低。“胖”防火墻往往適用于對小型網(wǎng)絡(luò)的整體安全防護?！笆荨狈阑饓m用于有能力投資和管理獨立的安

28、全設(shè)備, 并渴望發(fā)揮每種產(chǎn)品的最大功效的大型企業(yè)。針對這類用戶的安全解決方案是對“瘦”防火墻、IDS、防病毒系統(tǒng)等專業(yè)安全產(chǎn)品進行集中管理, 使其協(xié)同工作、關(guān)聯(lián)響應, 從而全面提高企業(yè)的整體安全風險防范能力。從本質(zhì)上講, “胖、瘦”防火墻并沒有好壞之分, 只有需求上的差別。未來防火墻產(chǎn)品可以采取定制的方式, 將滿足不同用戶需求的產(chǎn)品功能開發(fā)成獨立的模塊, 即IDS模塊、VPN模塊、防病毒模塊, 以及與其他專業(yè)安全產(chǎn)品聯(lián)動的功能模塊。針對

29、具體用戶, 廠商制定專門的網(wǎng)絡(luò)安全解決方案, 為用戶構(gòu)建高性價比的個性化防火墻產(chǎn)品。,3 檢測技術(shù)的發(fā)展：防火墻在在檢測技術(shù)上經(jīng)歷了從包過濾技術(shù)到狀態(tài)檢測技術(shù)再到深度包檢測技術(shù)的發(fā)展歷程。(1)包過濾防火墻的優(yōu)點是工作層次低, 速度快, 但缺陷是不能跟蹤會話狀態(tài), 無法理解上層協(xié)議, 無法抵御應用層攻擊。(2) 狀態(tài)檢測技術(shù)是目前最廣泛應用的過濾技術(shù), 它通過在防火墻內(nèi)部建立的狀態(tài)表跟蹤每一個會話狀態(tài)。與包過濾技術(shù)相比狀態(tài)檢測技術(shù)雖

30、然增加了對會話狀態(tài)的檢查, 但依然不能防范隱藏在應用層中的攻擊。(3)深度包檢測技術(shù)是為了彌補狀態(tài)檢測技術(shù)的不足而發(fā)展起來的一種新的檢測技術(shù), 該技術(shù)為防火墻提供了應用層的防護能力, 在保留狀態(tài)檢測技術(shù)優(yōu)點的情況下, 對狀態(tài)檢測允許的流量進行深層檢測, 根據(jù)應用層信息做出進一步的處理。深度包檢測技術(shù)能夠深入檢查通過防火墻的每個數(shù)據(jù)包及其應用數(shù)據(jù), 以基于指紋匹配、啟發(fā)式技術(shù)、異常檢測以及統(tǒng)計學分析等技術(shù)的規(guī)則來判定數(shù)據(jù)傳輸中是否含有惡

31、意攻擊行為。深層檢測技術(shù)工作原理是采用和數(shù)據(jù)接收方相同的方式來理解應用層信息。在標準的TCP/IP網(wǎng)絡(luò)中, 信息被分割成小的數(shù)據(jù)包, 以便能夠快速地通過網(wǎng)絡(luò)。采用深度檢測技術(shù)的防火墻在這些小數(shù)據(jù)包的傳送途中截獲它們, 通過實施數(shù)據(jù)包重組,將其重新組裝為原始數(shù)據(jù)。當成功重組出了應用層信息后, 防火墻再根據(jù)企業(yè)的安全策略來對其中的攻擊進行檢測和攔截。深度檢測技術(shù)支持常見的應用協(xié)議如HTTP、SMTP、POP、FTP和DNS等, 能夠基于U

32、RL、電子郵件、文件類型、用戶、HTTP網(wǎng)頁數(shù)據(jù)中的關(guān)鍵字進行內(nèi)容過濾, 有效識別和防護各種常見的應用層攻擊。可編程ASIC技術(shù)的發(fā)展以及更有效的規(guī)則算法的出現(xiàn), 讓這項技術(shù)在性能方面的壓力得到了緩解。衡量深度檢測技術(shù)成熟度的標準主要有應用協(xié)議支持數(shù)量、應用層攻擊檢測機制數(shù)量、應用層檢測效率、攻擊特征庫數(shù)量和特征庫更新頻率等, 未來的深度檢測技術(shù)的發(fā)展, 也將會針對以上幾個方面進行。,4 從外部邊界防護向全網(wǎng)防護的轉(zhuǎn)變,全網(wǎng)防護是指對

33、包括企業(yè)內(nèi)部網(wǎng)、外聯(lián)網(wǎng)以及互聯(lián)網(wǎng)外部邊界在內(nèi)的所有區(qū)域以及它們的子區(qū)域的全面保護。進行全網(wǎng)防護目前有兩種方式: ①是采用具備全網(wǎng)防護技術(shù)的防火墻;②是采用分布式防火墻。全網(wǎng)防護防火墻該防火墻的設(shè)計思想就是對全網(wǎng)進行細粒度的安全區(qū)域劃分, 形成蜂窩狀的隔離防護體系, 其目的是把安全威脅限制在最小范圍內(nèi)。全網(wǎng)防護防火墻技術(shù)具備以下特點:(1) 支持多安全域的劃分, 可根據(jù)實際網(wǎng)絡(luò)需求劃分出任意多個安全區(qū)域。(2)支持高密度的物理

34、接口和VLAN子接口, 接口與安全域是互相獨立的, 用戶可以隨意的將多個接口劃分到某個安全域中, 每一安全域都能夠支持多個接口。(3) 由于安全威脅是全方向性的, 并不一定說只來自于外網(wǎng), 各個方向上的威脅都可能造成嚴重的損失, 所以全網(wǎng)防護防火墻技術(shù)對劃分的每一個區(qū)域都提供等同的, 全面完整的防護能力。但是具體每個域?qū)嶋H需要啟用防火墻的那些功能是可以由用戶可以根據(jù)自身的安全需求而靈活選擇的。,分布式防火墻,針對傳統(tǒng)邊界防火墻的欠缺,

35、 美國AT& T 實驗室研究員Steven M. Bellov in 首次提出了分布式防火墻( Distributed Fire walls, DFW) 的概念, 分布式防火墻有狹義和廣義之分, 狹義分布式防火墻是指駐留在網(wǎng)絡(luò)主機并對主機系統(tǒng)提供安全防護的軟件產(chǎn)品。廣義分布式防火墻是一種全新的防火墻, 體系結(jié)構(gòu)包括網(wǎng)絡(luò)防火墻、主機防火墻和中心管理三部分。傳統(tǒng)防火墻缺陷的根源在于它的拓撲結(jié)構(gòu),分布式防火墻打破了這種拓撲限制,將內(nèi)

36、部網(wǎng)的概念由物理意義變成邏輯意義。按照Steven的說法,分布式防火墻是由一個中心來制定策略,并將策略分發(fā)到主機上執(zhí)行。它使用一種策略語言(如KeyNote,在RFC2704文擋中說明)來制定策略,并被編譯成內(nèi)部形式存于策略數(shù)據(jù)庫中,系統(tǒng)管理軟件將策略分發(fā)到被保護的主機上,而主機根據(jù)這些安全策略和加密的證書來決定是接受還是丟棄包,從而對主機實施保護。在DFW中主機的識別雖然可以根據(jù)IP地址,但IP地址是一種弱的認證方法,容易被欺騙。在D

37、FW中建議采用強的認證方法,用IPsec加密的證書作為主機認證識別的依據(jù),一個證書的擁有權(quán)不易偽造,并獨立于拓撲,所以只要擁有合法的證書不管它處于物理上的內(nèi)網(wǎng)還是外網(wǎng)都被認為是內(nèi)部!用戶。加密認證是徹底打破拓撲依賴的根本保證。在DFW系統(tǒng)中,各臺主機的審計事件要被上傳到中心日志數(shù)據(jù)庫中統(tǒng)一保存。,5 從分散管理向集中管理的轉(zhuǎn)變,早期的防火墻用戶只能通過命令行、Web界面或客戶端圖形界面方式對單臺防火墻進行管理, 這種單獨分散式管理對于網(wǎng)

38、絡(luò)中只有少量防火墻甚至只有一臺防火墻的情況是適用的。但隨著網(wǎng)絡(luò)日益復雜, 防火墻系統(tǒng)大規(guī)模、跨地域的部署方式的普遍應用, 采用集中管理平臺對網(wǎng)絡(luò)中的防火墻進行統(tǒng)一部署和配置已成為大型網(wǎng)絡(luò)中主要的工作方式。集中管理方式依據(jù)網(wǎng)絡(luò)的整體安全規(guī)劃制定恰當?shù)陌踩呗? 并下發(fā)到各個防火墻, 減少了單獨分散管理方式帶來的工作復雜度和多個防火墻安全策略互相矛盾的情況, 同時, 集中管理平臺也便于對安全日志進行統(tǒng)一收集和信息挖掘、以及對安全事件進行關(guān)聯(lián)

39、分析, 從而發(fā)現(xiàn)系統(tǒng)中隱含的威脅。,防火墻的局限性,第一， 防火墻不能防范不經(jīng)由防火墻的攻擊。第二，防火墻不能防止由內(nèi)部用戶誤操作造成的威脅, 以及由于口令泄露而受到攻擊。第三防火墻提供系統(tǒng)安全, 不能提供數(shù)據(jù)安全。 防火墻不能防止受病毒感染的軟件或文件的傳輸。 由于操作系統(tǒng)、病毒、二進制文件類型( 加密、壓縮) 的種類太多且更新很快, 所以防火墻無法逐個掃描每個文件以查找病毒; 防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當有些表面看來無害的