网络安全操作工具

　　计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面，即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。

　　防火墙

　　Internet防火墙是这样的系统(或一组系统)，它能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙，接受防火墙的检查。防火墙只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。

　　Internet防火墙负责管理Internet和机构内部网络之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给Internet上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。

　　Internet防火墙允许网络管理员定义一个中心“ 扼制点” 来防止非法用户，比如防止黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络的安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。

　　在防火墙上可以很方便的监视网络的安全性，并产生报警。(注意：对一个与Internet相联的内部网络来说，重要的问题并不是网络是否会受到攻击，而是何时受到攻击?谁在攻击?)网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。

　　Internet防火墙可以作为部署NAT(Network Address Translator，网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。

　　Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并根据机构的核算模式提供部门级计费。

　　在设计理念方面，防火墙是以应用为主、以安全为辅的，也就是说在支持尽可能多的应用的前提下，来保证使用的安全。防火墙的这一设计理念使得它可以广泛地用于尽可能多的领域，拥有更加广泛的市场，甚至包括个人电脑都可以使用，但是它的安全性往往就差强人意。而网闸则是以安全为主，在保证安全的前提下，支持尽可能多地应用。网闸主要用于安全性要求极高的领域，例如对政府网络，工业控制系统的保护等等。

　　安全策略

　　防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合，防火墙是安全策略的一个部分。

　　安全策略建立全方位的防御体系，甚至包括：告诉用户应有的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有可能受到攻击的地方都必须以同样安全级别加以保护。

　　仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

　　系统安全

　　操作系统的安全控制：如用户开机键入的口令(某些微机主板有“ 万能口令” )，对文件的读写存取的控制(如Unix系统的文件属性控制机制)。

　　网络接口模块的安全控制。在网络环境下对来自其他机器的网络通信进程进行安全控制。主要包括：身份认证，客户权限设置与判别，审计日志等。

　　网络互联设备的安全控制。对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。主要通过网管软件或路由器配置实现。

　　电子商务

　　电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。

　　(一)计算机网络安全的内容包括：

　　(1)未进行操作系统相关安全配置

　　不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”　是进行网络攻击的首选目标。

　　(2)未进行CGI程序代码审计

　　如果是通用的CGI问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些CGI程序，很多存在严重的CGI问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

　　(3)拒绝服务(DoS，Denial　of　Service)攻击

　　随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。

　　(4)安全产品使用不当

　　虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。

　　(5)缺少严格的网络安全管理制度

　　网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

　　(二)计算机商务交易安全的内容包括：

　　(1)窃取信息

　　由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

　　(2)篡改信息

　　当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

　　(3)假冒

　　由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

　　(4)恶意破坏

　　由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

　　协议安全

　　TCP/IP协议数据流采用明文传输。

　　源地址欺骗(Source address spoofing)或IP欺骗(IP spoofing)。

　　源路由选择欺骗(Source Routing spoofing)。

　　路由选择信息协议攻击(RIP Attacks)。

　　鉴别攻击(Authentication Attacks)。

　　TCP序列号欺骗(TCP Sequence number spoofing)。

　　TCP序列号轰炸攻击(TCP SYN Flooding Attack)，简称SYN攻击。

　　易欺骗性(Ease of spoofing)。