１ 網(wǎng)絡(luò)安全及相關(guān)技術(shù)

自２０世紀(jì)９０年代以來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展，信息的處理和傳遞突破了時(shí)間和地域的限制，網(wǎng)絡(luò)化與全球化成為不可抗拒的世界潮流，Ｉｎｔｅｒｎｅｔ已進(jìn)入社會(huì)生活的各個(gè)領(lǐng)域和環(huán)節(jié)，并愈來(lái)愈成為人們關(guān)注的焦點(diǎn)。據(jù)統(tǒng)計(jì)，目前Ｉｎｔｅｒｎｅｔ用戶(hù)數(shù)達(dá)５ ０００萬(wàn)戶(hù)，到２０００年底用戶(hù)數(shù)將發(fā)展到２億戶(hù)。

信息技術(shù)的使用給人們生活、工作的方方面面帶來(lái)了數(shù)不盡的便捷和好處。然而，計(jì)算機(jī)信息技術(shù)也和其他科學(xué)技術(shù)一樣是一把雙刃劍。當(dāng)大部分人使用信息技術(shù)提高工作效率，為社會(huì)創(chuàng)造更多財(cái)富的同時(shí)，另外一些人利用信息技術(shù)卻做著相反的事情。他們非法侵入他人的計(jì)算機(jī)系統(tǒng)竊取機(jī)密信息、篡改和破壞數(shù)據(jù)，給社會(huì)造成難以估量的巨大損失。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)服務(wù)的增加，網(wǎng)絡(luò)安全需求也越來(lái)越大，需求的面也越來(lái)越廣。從技術(shù)上來(lái)講，解決安全問(wèn)題有以下一些常見(jiàn)和用戶(hù)認(rèn)可的手段。

１．１ 加密和解密

加解密技術(shù)是最基本的安全技術(shù)，其主要功能是提供機(jī)密性服務(wù)，但在實(shí)現(xiàn)其他安全服務(wù)時(shí)也會(huì)使用加密技術(shù)。目前密碼學(xué)中主要有兩種不同的密碼體制：對(duì)稱(chēng)密鑰體制和非對(duì)稱(chēng)密鑰體制，又被稱(chēng)為私鑰密碼體制和公鑰密碼體制。到目前為止，公鑰密碼體制中，占主導(dǎo)地位的還是ＲＳＡ公鑰密碼體制。模數(shù)為５１２ｂｉｔ的ＲＳＡ已經(jīng)被認(rèn)為是不安全的，ＲＳＡ公司推薦的最小模數(shù)為７６８ｂｉｔ，目前大部分ＲＳＡ公鑰體制的實(shí)際解決方案中采用了１ ０２４ｂｉｔ或者２ ０４８ｂｉｔ的ＲＳＡ公鑰體制。其它公鑰體制，如ＤＨ和數(shù)字簽名算法（ＤＳＡ）由于其獨(dú)特的安全優(yōu)勢(shì)在在線(xiàn)密鑰交換和數(shù)字簽名領(lǐng)域得到了廣泛的應(yīng)用實(shí)用的橢圓曲線(xiàn)密碼系統(tǒng)也日臻完善，１７０ｂｉｔ的橢圓曲線(xiàn)密碼系統(tǒng)被認(rèn)為和１ ０２４ｂｉｔ的ＲＳＡ安全強(qiáng)度相當(dāng)，而且由于其空間需求和時(shí)間需求均大大小于ＲＳＡ、ＤＳＡ和ＤＨ，因此近年來(lái)也受到了普遍重視。

隨著１９７７年美國(guó)國(guó)家標(biāo)準(zhǔn)局公布了由ＩＢＭ公司研制的數(shù)字加密標(biāo)準(zhǔn)（ＤＥＳ）加密算法，私鑰密碼體制也得到了很大的發(fā)展。２０年來(lái)，ＤＥＳ一直扮演著商用保密通信和計(jì)算機(jī)通信中最常用加密算法的角色。雖然ＤＥＳ的安全性已經(jīng)受到威脅，但是ＤＥＳ的思想推動(dòng)了其他私鑰體制的出現(xiàn)。ＲＳＡ公司已將新一代分組加密算法ＲＣ６提交給美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（ＮＩＳＴ）作為新的加密標(biāo)準(zhǔn)ＡＥＳ目前ＡＥＳ的候選加密算法（包括ＲＣ６）共有１５個(gè)，ＡＥＳ的算法可能在２０００年左右最后確定。因此對(duì)新的安全系統(tǒng)來(lái)說(shuō)，ＤＥＳ已經(jīng)不被認(rèn)為是好的選擇，在ＡＥＳ正式出臺(tái)和確定以前，可以使用其他的加密算法作為過(guò)渡，如三重ＤＥＳ（３ＤＥＳ）、國(guó)家數(shù)據(jù)加密算法（ＩＤＥＡ）和ＲＣ５等分組加密算法。

１．２ 電子數(shù)字簽名

日常生活中時(shí)常會(huì)有報(bào)文與簽名同時(shí)發(fā)送以作為日后查證的保證。在因特網(wǎng)環(huán)境中，這可以用電子數(shù)字簽名作為模擬。電子數(shù)字簽名保持了常規(guī)手寫(xiě)簽名的本質(zhì)特點(diǎn)，但在形式上可以完全不同。

電子數(shù)字簽名也稱(chēng)為數(shù)字簽名。數(shù)字簽名首先利用一種單向函數(shù)對(duì)消息產(chǎn)生摘要，然后再對(duì)摘要使用只有發(fā)送者自己知道的私鑰進(jìn)行加密。這里使用的單向函數(shù)必須具備兩個(gè)重要特點(diǎn)：（１）計(jì)算單向函數(shù)的值很容易，但是作逆運(yùn)算卻很難；（２）若給定一個(gè)函數(shù)值，要找到某個(gè)變量使得其函數(shù)值與其相等十分困難。

１．３ 電子數(shù)字證書(shū)

數(shù)字證書(shū)是建立網(wǎng)絡(luò)信任關(guān)系的關(guān)鍵。數(shù)字證書(shū)將用戶(hù)基本信息（用戶(hù)名、Ｅ－ｍａｉｌ地址）與用戶(hù)公鑰有機(jī)地綁定在一起，綁定功能通過(guò)發(fā)布證書(shū)的權(quán)威機(jī)構(gòu)的數(shù)字簽名來(lái)完成。用戶(hù)之間通過(guò)交換數(shù)字證書(shū)建立信任關(guān)系。各種網(wǎng)絡(luò)安全服務(wù)（如ＨＴＴＰ、安全電子郵件）均應(yīng)建立在數(shù)字證書(shū)架構(gòu)或平臺(tái)之上。

１．４ 安全通信協(xié)議和有關(guān)標(biāo)準(zhǔn)

在網(wǎng)絡(luò)安全技術(shù)應(yīng)用領(lǐng)域，安全通信協(xié)議提供了一種標(biāo)準(zhǔn)，基于這些標(biāo)準(zhǔn)，企業(yè)可以很方便地建立自己的安全應(yīng)用系統(tǒng)。目前主要的安全通信協(xié)議有ＳＳＬ（ＴＬＳ）、ＩＰＳｅｃ和Ｓ／ＭＩＭＥ。ＳＳＬ提供基于客戶(hù)／服務(wù)器模式的安全標(biāo)準(zhǔn)，ＳＳＬ（ＴＬＳ）在傳輸層和應(yīng)用層之間嵌入一個(gè)子層，主要用于實(shí)現(xiàn)兩個(gè)應(yīng)用程序之間安全通訊機(jī)制，提供面向連接的保護(hù)；ＩＰ安全協(xié)議（ＩＰＳｅｃ）提供網(wǎng)關(guān)到網(wǎng)關(guān)的安全通信標(biāo)準(zhǔn)，在網(wǎng)絡(luò)層實(shí)現(xiàn)，ＩＰＳｅｃ能夠保護(hù)整個(gè)網(wǎng)絡(luò)；Ｓ／ＭＩＭＥ在應(yīng)用層提供對(duì)信息的安全保護(hù)，主要用于信息的安全存儲(chǔ)、信息認(rèn)證、傳輸和信息轉(zhuǎn)發(fā)。三種安全通信協(xié)議雖然均提供了類(lèi)似的安全服務(wù)，但是他們的具體應(yīng)用范圍是不同的，在實(shí)際應(yīng)用中，應(yīng)根據(jù)具體情況選擇相應(yīng)的安全通信協(xié)議。

ＲＳＡ公布的公開(kāi)密鑰密碼編碼標(biāo)準(zhǔn)（ＰＫＣＳ）系列標(biāo)準(zhǔn)已經(jīng)成為建立網(wǎng)絡(luò)安全系統(tǒng)公認(rèn)的國(guó)際標(biāo)準(zhǔn)，許多知名公司如ＶｅｒｉＳｉｇｎ、ＧＴＥ和Ｅｎｔｒｕｓｔ的安全產(chǎn)品均采用了ＰＫＣＳ作為基礎(chǔ)。在目錄服務(wù)方面，由于Ｘ．５００的實(shí)現(xiàn)復(fù)雜性，ＬＤＡＰ已經(jīng)成為占據(jù)主流的目錄訪問(wèn)協(xié)議。互聯(lián)網(wǎng)工程任務(wù)組織（ＩＥＴＦ）的ＲＦＣ文檔也提供了大量的信息安全的國(guó)際標(biāo)準(zhǔn)。

但是標(biāo)準(zhǔn)化是一個(gè)漫長(zhǎng)的過(guò)程，因?yàn)橐粋€(gè)標(biāo)準(zhǔn)的形成需要許多著名公司的支持。ＰＫＩＸ系列文檔中目前還有許多未實(shí)現(xiàn)標(biāo)準(zhǔn)化，如證書(shū)管理協(xié)議，另外許多相關(guān)文檔還未發(fā)布，證書(shū)和ＣＲＬ的在線(xiàn)查詢(xún)文檔還不完善等。有了標(biāo)準(zhǔn)，才可能實(shí)現(xiàn)互操作。#p#

１．５ 網(wǎng)絡(luò)防火墻技術(shù)

防火墻技術(shù)是指這樣一種技術(shù)，通過(guò)一組設(shè)備（可能包含有軟件和硬件）介入被保護(hù)對(duì)象和可能的攻擊者之間，對(duì)被保護(hù)者和可能的攻擊者之間的網(wǎng)絡(luò)通信進(jìn)行主動(dòng)的限制，達(dá)到對(duì)被保護(hù)者的保護(hù)作用。這里可能的攻擊者一方面包含現(xiàn)實(shí)的或潛在的蓄意攻擊者，另一方面也包含被保護(hù)者的合作者。

構(gòu)成防火墻的可能有軟件、也可能有硬件或兩者都有，但是應(yīng)該說(shuō)防火墻最基本的構(gòu)件是構(gòu)造防火墻的思想。最初的防火墻不是一種產(chǎn)品，是構(gòu)造者腦海中的一種想法，即誰(shuí)和什么能被允許訪問(wèn)本網(wǎng)絡(luò)，這也是傳統(tǒng)意義防火墻的概念的出發(fā)點(diǎn)。相比之下，防火墻是目前所有保護(hù)網(wǎng)絡(luò)的方法中最能普遍接受的方法，而且防火墻技術(shù)還屬于新興的技術(shù)，９５％的入侵者無(wú)法突破防火墻。

網(wǎng)絡(luò)安全問(wèn)題涉及的內(nèi)容十分廣泛，既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶(hù)的攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個(gè)重要問(wèn)題。

２ ＰＣ的安全問(wèn)題

從ＰＣ的現(xiàn)實(shí)的用途和工作環(huán)境來(lái)分析，安全問(wèn)題主要有以下幾個(gè)方面：

２．１ 網(wǎng)絡(luò)安全

個(gè)人電腦可以通過(guò)局域網(wǎng)或撥號(hào)等方式連接到Ｉｎｔｅｒｎｅｔ。人們通過(guò)主機(jī)相互間可以進(jìn)行各種形式的信息交互。常見(jiàn)的有：ＨＴＴＰ、ＦＴＰ、Ｔｅｌｎｅｔ和Ｅ－ｍａｉｌ等。在日常生活中用電話(huà)進(jìn)行通信的過(guò)程中，若有惡意的電話(huà)呼叫，可以使用跟蹤電話(huà)號(hào)碼、阻塞特定呼叫等手段進(jìn)行有效的防范。相比之下，通過(guò)主機(jī)在Ｉｎｔｅｒｎｅｔ上通信則大不相同。首先，ＴＣＰ／ＩＰ協(xié)議是完全開(kāi)放的，其設(shè)計(jì)之初沒(méi)有考慮安全問(wèn)題。其次，在Ｉｎｔｅｒｎｅｔ上傳送的數(shù)據(jù)的最小單位是ＩＰ包，惡意攻擊者可以很容易地竊取、更換、假冒數(shù)據(jù)包；安全協(xié)議也或多或少地存在著安全漏洞。

黑客對(duì)網(wǎng)絡(luò)主機(jī)的攻擊方式是多種多樣的。一般來(lái)講，攻擊總是利用操作系統(tǒng)設(shè)計(jì)上的安全漏洞或者通過(guò)通信協(xié)議的安全漏洞來(lái)實(shí)現(xiàn)。例如，查看通信雙方的數(shù)據(jù)包非法獲取信息；假冒或更換ＩＰ包對(duì)通信雙方進(jìn)行欺騙；非法獲取合法用戶(hù)的帳號(hào)從而獲得網(wǎng)絡(luò)服務(wù)；大量產(chǎn)生ＩＰ數(shù)據(jù)包對(duì)網(wǎng)絡(luò)主機(jī)進(jìn)行轟炸攻擊，達(dá)到阻斷服務(wù)或造成主機(jī)崩潰的目的；更多的是利用各服務(wù)協(xié)議所固有的安全漏洞，進(jìn)行著更隱蔽的破壞活動(dòng)。另外在特定的環(huán)境下，網(wǎng)絡(luò)不良信息問(wèn)題也是網(wǎng)絡(luò)安全問(wèn)題的一個(gè)重要方面。

２．２ 網(wǎng)絡(luò)病毒

對(duì)ＰＣ用戶(hù)來(lái)說(shuō)，病毒問(wèn)題是最棘手和最現(xiàn)實(shí)的安全問(wèn)題。網(wǎng)絡(luò)普及的同時(shí)，又為病毒蔓延提供了新的途徑，網(wǎng)絡(luò)病毒迅速成為ＰＣ安全的重要方面。

２．３ Ｅ－ｍａｉｌ安全問(wèn)題

Ｅ－ｍａｉｌ服務(wù)是因特網(wǎng)上最為廣泛的應(yīng)用服務(wù)之一，據(jù)美國(guó)的最新統(tǒng)計(jì)顯示，Ｅ－ｍａｉｌ的用戶(hù)數(shù)已逼近電話(huà)的用戶(hù)數(shù)。因此，對(duì)ＰＣ用戶(hù)而言，Ｅ－ｍａｉｌ的安全問(wèn)題尤為突出。#p#

３ ＰＣ防火墻——網(wǎng)絡(luò)安全新概念

傳統(tǒng)意義上的防火墻是基于網(wǎng)關(guān)的，主要是解決企業(yè)內(nèi)部網(wǎng)（被認(rèn)為是可信任的）與Ｉｎｔｅｒｎｅｔ（不可信的）互聯(lián)時(shí)的ＩＰ地址和端口的過(guò)濾、ＩＰ地址翻譯、應(yīng)用服務(wù)代理和ＩＰ包的加解密問(wèn)題。當(dāng)然這些產(chǎn)品的功能是強(qiáng)大的，但是，他們只“防外不防內(nèi)”，因此也就無(wú)法真正實(shí)現(xiàn)對(duì)局域網(wǎng)內(nèi)每一臺(tái)主機(jī)的保護(hù)，更不用說(shuō)家庭以撥號(hào)形式上網(wǎng)的主機(jī)安全問(wèn)題。

基于內(nèi)部網(wǎng)的主機(jī)或其它形式上網(wǎng)的主機(jī)的防火墻（我們稱(chēng)之為ＰＣ防火墻）正是在這種意義上提出的。由于ＰＣ防火墻的對(duì)象是網(wǎng)絡(luò)上的最終主機(jī)，所以ＰＣ防火墻的操作系統(tǒng)平臺(tái)沒(méi)有傳統(tǒng)意義上的防火墻靈活，幾乎沒(méi)有選擇的余地，完全由用戶(hù)選擇，這就決定了ＰＣ防火墻的核心技術(shù)事實(shí)上比傳統(tǒng)防火墻難度更大。另外，相比于局域網(wǎng)、網(wǎng)關(guān)用戶(hù)來(lái)說(shuō)，ＰＣ用戶(hù)對(duì)網(wǎng)絡(luò)安全還會(huì)有一些特別的需求，例如對(duì)主機(jī)文件訪問(wèn)權(quán)限的限制等。

具體地說(shuō)，ＰＣ防火墻系統(tǒng)有如下的功能需求：

（１）ＩＰ包過(guò)濾機(jī)制

ＰＣ防火墻系統(tǒng)的最終目標(biāo)是保護(hù)ＰＣ機(jī)的桌面系統(tǒng)，所以系統(tǒng)必須能對(duì)進(jìn)出本機(jī)的所有數(shù)據(jù)進(jìn)行控制。例如對(duì)進(jìn)出主機(jī)的所有ＩＰ包的ＩＰ地址和協(xié)議端口的過(guò)濾，系統(tǒng)應(yīng)當(dāng)能夠?qū)χ鳈C(jī)發(fā)送和接受的每一個(gè)ＩＰ包進(jìn)行檢查，獲?。桑性吹刂?、目標(biāo)地址和協(xié)議端口，根據(jù)事先設(shè)定的規(guī)則拒絕或允許這個(gè)ＩＰ包通過(guò)，必要的情況下，能及時(shí)反饋有關(guān)信息到上層應(yīng)用程序以動(dòng)態(tài)處理。在某種特定的情況下，還需要對(duì)數(shù)據(jù)的內(nèi)容進(jìn)行掃描，對(duì)數(shù)據(jù)包進(jìn)行改裝重發(fā)，以達(dá)到及時(shí)、準(zhǔn)確處理各種信息的目的，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)上進(jìn)出本機(jī)所有數(shù)據(jù)的全面控制。

（２）網(wǎng)絡(luò)病毒的檢測(cè)機(jī)制

ＰＣ防火墻系統(tǒng)應(yīng)當(dāng)具有病毒檢測(cè)功能。因用戶(hù)訪問(wèn)的網(wǎng)絡(luò)資源可能攜帶病毒源，從而對(duì)用戶(hù)造成損害。

（３）用戶(hù)通信的保密機(jī)制

當(dāng)兩個(gè)用戶(hù)進(jìn)行通信時(shí)，系統(tǒng)應(yīng)當(dāng)能夠提供一種保密機(jī)制，實(shí)現(xiàn)用戶(hù)之間通信的機(jī)密性。如果考慮到可能的多用戶(hù)ＰＣ（比如在學(xué)校和家庭），系統(tǒng)還必須提供對(duì)文件基本操作進(jìn)行限制和保密存儲(chǔ)的功能。企業(yè)的內(nèi)部網(wǎng)也存在類(lèi)似的問(wèn)題。

（４）透明安全Ｅ－ｍａｉｌ的機(jī)制

Ｅ－ｍａｉｌ的安全問(wèn)題主要有兩類(lèi)：一是保密傳輸?shù)囊?鴉一是垃圾信件的處理問(wèn)題。保密傳輸需要對(duì)所有ＩＰ層數(shù)據(jù)進(jìn)行監(jiān)視，確定與Ｅ－ｍａｉｌ相關(guān)的信息，把信件主體內(nèi)容進(jìn)行加密傳輸，因?yàn)椋牛恚幔椋斓氖瞻l(fā)過(guò)程在底層看起來(lái)是不對(duì)稱(chēng)的，所以加密算法考慮使用序列密碼算法；垃圾信件處理一方面需要判斷Ｅ－ｍａｉｌ的有關(guān)頭信息或內(nèi)容信息，另一方面還需要主動(dòng)利用上層應(yīng)用程序登錄到服務(wù)器進(jìn)行信件刪除操作。上述實(shí)現(xiàn)方案即是對(duì)上層應(yīng)用的透明，對(duì)上層透明的好處是兼容性好。

４ ＰＣ防火墻系統(tǒng)的一種實(shí)現(xiàn)方案

本文提出的ＰＣ防火墻實(shí)現(xiàn)方案基于Ｗｉｎｄｏｗｓ９５ 和Ｗｉｎｄｏｗｓ９８。這里先討論Ｗｉｎ-ｄｏｗｓ操作系統(tǒng)的網(wǎng)絡(luò)功能的機(jī)制。本方案僅包括ＩＰ包過(guò)濾和保密通信，不含病毒的檢測(cè)功能和安全Ｅ－ｍａｉｌ的詳細(xì)實(shí)現(xiàn)機(jī)制。#p#

４．１  Ｗｉｎｄｏｗｓ的網(wǎng)絡(luò)接口標(biāo)準(zhǔn)

ＰＣ防火墻系統(tǒng)的運(yùn)行平臺(tái)為Ｗｉｎｄｏｗｓ９５和Ｗｉｎｄｏｗｓ９８。因此，總體方案設(shè)計(jì)時(shí)的一個(gè)核心問(wèn)題是如何在Ｗｉｎｄｏｗｓ的內(nèi)核中截獲所有ＩＰ包。在Ｗｉｎｄｏｗｓ操作系統(tǒng)中，網(wǎng)絡(luò)設(shè)備接口和標(biāo)準(zhǔn)（ＮＤＩＳ）扮演著十分重要的角色，它擔(dān)負(fù)著網(wǎng)絡(luò)層協(xié)議與網(wǎng)絡(luò)接口卡（ＮＩＣ）之間的橋梁作用，Ｗｉｎｄｏｗｓ的網(wǎng)絡(luò)接口。

ＮＤＩＳ是網(wǎng)絡(luò)設(shè)備接口規(guī)范。ＮＤＩＳ處于Ｍｉｎｉｐｏｒｔ驅(qū)動(dòng)程序的上面，Ｍｉｎｉｐｏｒｔ相當(dāng)于ＩＥＥＥ８０２標(biāo)準(zhǔn)的數(shù)據(jù)鏈路層的介質(zhì)訪問(wèn)控制（ＭＡＣ）子層，而ＮＤＩＳ則相當(dāng)于邏輯連接控制（ＬＬＣ）子層。

４．２  接收數(shù)據(jù)包和發(fā)送數(shù)據(jù)包的過(guò)程

當(dāng)數(shù)據(jù)到達(dá)網(wǎng)絡(luò)適配器時(shí)，系統(tǒng)控制硬件去執(zhí)行一個(gè)過(guò)濾操作。允許的數(shù)據(jù)包會(huì)通過(guò)適配器向上傳遞給Ｍｉｎｉｐｏｒｔ Ｄｒｉｖｅｒ。 Ｍｉｎｉｐｏｒｔ Ｄｒｉｖｅｒ再將數(shù)據(jù)向上傳遞給ＮＤＩＳ， ＮＤＩＳ負(fù)責(zé)合成數(shù)據(jù)，送給合適的協(xié)議棧。

通過(guò)ＮＤＩＳ包，可以到達(dá)網(wǎng)絡(luò)層以及網(wǎng)絡(luò)層以上各層運(yùn)行的協(xié)議棧的接口。發(fā)送數(shù)據(jù)時(shí)，數(shù)據(jù)從應(yīng)用層到網(wǎng)絡(luò)層，最后到達(dá)ＮＤＩＳ，ＮＤＩＳ將數(shù)據(jù)向下傳遞給Ｍｉｎｉｐｏｒｔ Ｄｒｉｖｅｒ， Ｍｉｎｉｐｏｒｔ Ｄｒｉｖｅｒ 再將數(shù)據(jù)傳遞給網(wǎng)絡(luò)適配器和物理網(wǎng)絡(luò)。

４．３ 虛擬設(shè)備驅(qū)動(dòng)（ＶｘＤ）技術(shù)

普通的ｗｉｎ３２程序開(kāi)發(fā)平臺(tái)不提供對(duì)網(wǎng)絡(luò)層的直接訪問(wèn)，而通過(guò)ＮＤＩＳ的應(yīng)用程序接口（ＡＰＩ）實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層的訪問(wèn)（如Ｖｐａｃｋｅｔ），但是這并不能制約系統(tǒng)中其他綁定協(xié)議對(duì)低層數(shù)據(jù)包的訪問(wèn)。

ＶｘＤ是Ｗｉｎｄｏｗｓ操作系統(tǒng)對(duì)各種應(yīng)用共享某種同一設(shè)備而采取的手段。在保護(hù)模式下，各種進(jìn)程被賦予不同的特權(quán)級(jí)，共有４級(jí)，即０、１、２、３。０級(jí)為最高特權(quán)級(jí)，又稱(chēng)Ｒｉｎｇ ０。 實(shí)際上，ＶｘＤ相當(dāng)于Ｒｉｎｇ ０上的動(dòng)態(tài)鏈接庫(kù)（ＤＬＬ）。 由于ＶｘＤ工作在最高特權(quán)級(jí)，因此沒(méi)有它不能處理的事情。我們采用的方案是通過(guò)ＶｘＤ對(duì)ＮＤＩＳ的功能函數(shù)進(jìn)行攔截，從而實(shí)現(xiàn)ＩＰ數(shù)據(jù)包過(guò)濾。更由于它運(yùn)行于操作系統(tǒng)的底層?，所以它在實(shí)現(xiàn)對(duì)所有ＩＰ包過(guò)濾的同時(shí)對(duì)于所有上層應(yīng)用程序均是透明的。

４．４ ＩＰＳｅｃ協(xié)議

ＩＰＳｅｃ協(xié)議是由一個(gè)在ＩＥＴＦ組織下的工作組所設(shè)計(jì)的一族協(xié)議。ＩＰＳｅｃ基于在ＩＰ層實(shí)現(xiàn)數(shù)據(jù)加密、信息認(rèn)證和數(shù)字簽名技術(shù)，從而達(dá)到保密通信的目的。

Ｉｎｔｅｒｎｅｔ網(wǎng)絡(luò)中通信的基本單位是ＩＰ包。ＩＰＳｅｃ的思想就是對(duì)整個(gè)ＩＰ包加密，加密后的數(shù)據(jù)被封裝在一個(gè)新的ＩＰ包里。ＩＰＳｅｃ主要包含兩個(gè)子協(xié)議ＡＨ。ＥＳＰ的封裝過(guò)程。

ＩＰＳｅｃ還另外提供一種模式，即“隧道”模式，這種模式將原始ＩＰ頭也封裝起來(lái)，新的ＩＰ頭用網(wǎng)關(guān)的相關(guān)信息填充，主要用于隱藏原ＩＰ地址或因原ＩＰ地址非法使數(shù)據(jù)包無(wú)法路由的情形。

５ 結(jié)束語(yǔ)

目前，國(guó)外已出現(xiàn)了幾個(gè)ＰＣ防火墻產(chǎn)品，但是無(wú)論從功能上還是從易操作性上來(lái)看，都還有待進(jìn)一步完善和改進(jìn)，而國(guó)內(nèi)在此領(lǐng)域幾乎還是一片空白。

網(wǎng)絡(luò)安全問(wèn)題非常復(fù)雜，牽涉的問(wèn)題較多，本文提出的方案只是考慮了幾種主要的安全問(wèn)題。希望能起到一點(diǎn)拋磚引玉的作用。

【編輯推薦】

1. 淺析網(wǎng)絡(luò)安全技術(shù)
2. 應(yīng)對(duì)五大網(wǎng)絡(luò)安全威脅，你準(zhǔn)備好了嗎？
3. 趨勢(shì)科技“中小企業(yè)安全軟件包”為企業(yè)網(wǎng)絡(luò)安全護(hù)航
4. 網(wǎng)絡(luò)安全好幫手：UTM知識(shí)精髓簡(jiǎn)介
5. 7月網(wǎng)絡(luò)安全分析之網(wǎng)絡(luò)病毒傳播惡意域名