On a by In NA PX a to to to On of or P a to in IP is a by is by a 0 55) a C An by of a It is to of a a " in a of at a "" of up 4 s so P .* to of a or is it to in of is no or by by up in a so to as do to on to to is in a 0In to in in to be so a a to so he of a is to a to of a to a on an to of an of of to a on in an to or to by to or A to by be of a by FS to or is in a on to be to be to an s of is is is a to to to . In is by a A is to In of a it a of be to or on of is to of in of be a or a of is a by as a in a by a on P it is is a a is is of is a at a to F F . F he of a be of A is a of an to do of a is a of of be to a be on on a in or a as a of In is A on to a if a A by of a a be as An be to of be it be of to We of 2. F n an is a of or in a of of of or of to A is a in be to or A a an on to to or of as or a is a a a or a a of of to of a of in In a an of or or An is of a of a or or of an so it a An to an be a a or a of of of or or to in a a be a no by be If an an a in a a so it an or It is to be of be be to an a to to a or to an be as if of of 地址 每種技術(shù)都有它自己的在同樣的網(wǎng)絡(luò)內(nèi)部?jī)膳_(tái)機(jī)器之間傳輸信息的協(xié)定。在一個(gè)局域網(wǎng)里面，機(jī)器通過(guò)提供 6 字節(jié)唯一的標(biāo)識(shí)符（介質(zhì)訪問(wèn)控制地址）來(lái)發(fā)送消息。在一個(gè) 絡(luò)里面，每臺(tái)機(jī)器都擁有一個(gè)邏輯單位對(duì)應(yīng)著它們自己的網(wǎng)絡(luò)地址。 和 有一個(gè)配置，這個(gè)配置是為了對(duì)每一個(gè)本地網(wǎng)絡(luò)和附屬的工作站分配號(hào)碼。 在這些本地或一些特殊的網(wǎng)絡(luò)地址的頂端， P 協(xié)議為每世界上每一個(gè)工作站分配唯一的號(hào)碼。這個(gè) 碼是一個(gè) 4 字節(jié)的值，按照規(guī)定，這個(gè)值被傳遞的方式是轉(zhuǎn) 變每個(gè)字節(jié)為一個(gè)十進(jìn)制的數(shù)字（ 0 到 255），并且以一個(gè)節(jié)點(diǎn)來(lái)分離這些字節(jié)。比如， 務(wù)器地址是 一個(gè)組織開始于利用發(fā)送電子郵件到 請(qǐng)求分配一個(gè)網(wǎng)絡(luò)地址號(hào)碼。幾乎對(duì)任何人來(lái)說(shuō)，獲得一個(gè)小的 C 類網(wǎng)絡(luò)都仍然是可能的，在 C 類網(wǎng)絡(luò)中前面 3 個(gè)字節(jié)標(biāo)示網(wǎng)絡(luò)而最后一個(gè)字節(jié)標(biāo)示這臺(tái)單獨(dú)的電腦。作者跟隨這個(gè)程序，并且為他家里的電腦網(wǎng)絡(luò)分配到地址 。更多的組織能夠獲得 B 類網(wǎng)絡(luò)，其中前面兩個(gè)字節(jié)標(biāo)示 網(wǎng)絡(luò)而后面兩個(gè)標(biāo)示多達(dá) 64，000 臺(tái)獨(dú)立工作站中的每一臺(tái)。耶魯?shù)?B 類網(wǎng)絡(luò)是 以所有 .*形式的電腦都是通過(guò)耶魯連接的。 然后這個(gè)組織通過(guò)一系列的地區(qū)或?qū)ｉT的網(wǎng)絡(luò)提供商中的一個(gè)連接到。網(wǎng)絡(luò)運(yùn)營(yíng)商給用戶提供網(wǎng)絡(luò)地址號(hào)碼并將其添加到自己和其它的主要網(wǎng)絡(luò)提供商的機(jī)器的路由配置中去。 沒有數(shù)學(xué)公式能夠解譯出號(hào)碼 耶魯大學(xué)或者新港學(xué)校中。這些機(jī)器依靠國(guó)家自然科學(xué)基金處理大范圍的網(wǎng)絡(luò)或者進(jìn)行中心由處理，卻只 能依靠查在一個(gè)工作臺(tái)上查詢每一個(gè)網(wǎng)絡(luò)號(hào)碼來(lái)定位那些網(wǎng)絡(luò)。這里存在很多潛在的 B 類網(wǎng)絡(luò)和數(shù)百萬(wàn)的 C 類網(wǎng)絡(luò)，但是計(jì)算機(jī)內(nèi)存消耗很低，所以這些平臺(tái)是合理的。連接到因特網(wǎng)上的客戶，甚至像 樣大的，沒有必要在其它網(wǎng)絡(luò)上保持任何信息。它們把所有的內(nèi)部數(shù)據(jù)發(fā)送到它們向其預(yù)定的區(qū)域運(yùn)營(yíng)者上，然后區(qū)域運(yùn)營(yíng)者維修平臺(tái)和做一些適當(dāng)?shù)穆酚砂才拧?新港在一個(gè)州接壤的地方，離 50 到 55。耶魯最近開始轉(zhuǎn)換它的網(wǎng)絡(luò)從中太平洋區(qū)域網(wǎng)絡(luò)到新英格蘭運(yùn)營(yíng)者。當(dāng)轉(zhuǎn)換發(fā)生后，在其它地方區(qū)域和國(guó)家中心的工作臺(tái)不得不進(jìn) 行升級(jí)，以便 通信量通過(guò)波士頓而不是以前的新澤西進(jìn)行傳輸。這一大的網(wǎng)絡(luò)運(yùn)營(yíng)者處理文本工作并且居然能夠在足夠的注意下完成這樣的一個(gè)轉(zhuǎn)換。在這個(gè)轉(zhuǎn)換期間，該大學(xué)都連接了這兩個(gè)網(wǎng)絡(luò)以便于消息能夠通過(guò)任意一個(gè)路徑抵達(dá)。 網(wǎng)絡(luò)防火墻 網(wǎng)絡(luò)防火墻的目的是在網(wǎng)絡(luò)周圍設(shè)置一層外殼，用于防治連入網(wǎng)絡(luò)的系統(tǒng)受到各種威脅。防火墻可以防止的威脅類型包括： 非授權(quán)的對(duì)網(wǎng)絡(luò)資源的訪問(wèn) 對(duì)文件進(jìn)行非授權(quán)訪問(wèn)； 拒絕服務(wù) 圖填滿可用的磁盤空 間，或者使網(wǎng)絡(luò)鏈路滿負(fù)荷； 冒充 果使得原發(fā)件人感到難堪，或受到傷害。 防火墻可以通過(guò)濾掉某些原有的不安全的網(wǎng)絡(luò)業(yè)務(wù)而降低網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)。例如網(wǎng)絡(luò)文件系統(tǒng)（ 以通過(guò)封鎖進(jìn)出網(wǎng)絡(luò)的所有 務(wù)而防止為網(wǎng)絡(luò)外部人員所利用。這就保護(hù)了各個(gè)主機(jī)，同時(shí)使其一直能在內(nèi)部網(wǎng)絡(luò)中服務(wù)，這在局域網(wǎng)環(huán)境中很有用。一種避免與網(wǎng)絡(luò)計(jì)算有關(guān)問(wèn)題的方法是把單位的內(nèi)部網(wǎng)與其他外部系統(tǒng)完全斷開。當(dāng)然這不是一個(gè)好辦法，其實(shí)需要的是對(duì)訪問(wèn)網(wǎng)絡(luò)進(jìn)行過(guò)濾，同時(shí)仍允許用戶訪問(wèn)“外部世界”。 在 這種配置中，用一個(gè)防火墻網(wǎng)關(guān)把內(nèi)部網(wǎng)和外部網(wǎng)分開。網(wǎng)關(guān)一般用于實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的中繼業(yè)務(wù)。防火墻網(wǎng)關(guān)還提供過(guò)濾業(yè)務(wù)，它可以限制進(jìn)出內(nèi)部網(wǎng)絡(luò)主機(jī)的信息類型。有三種基本防火墻技術(shù)：包過(guò)濾、電路網(wǎng)關(guān)和應(yīng)用網(wǎng)關(guān)。通常可采用上述的一種以上技術(shù)以提供完善的防火墻業(yè)務(wù)。 在互連網(wǎng)絡(luò)安全的實(shí)際應(yīng)用中有好幾種防火墻配置方案，他們通常使用以下術(shù)語(yǔ)： 屏蔽路由器 是帶有某種包過(guò)濾功能的基于主機(jī)的路由器。 堡壘主機(jī) 雙宿主網(wǎng)關(guān) 在專用網(wǎng)和因特網(wǎng)之間放一個(gè)系統(tǒng)，不允許傳送 P 包。 主機(jī)屏蔽網(wǎng)關(guān) 由屏蔽路由器和堡壘主機(jī)構(gòu)成。 子網(wǎng)屏蔽 般來(lái)說(shuō)，這種網(wǎng)絡(luò)用一臺(tái)屏蔽路由器來(lái)隔離，它可以實(shí)現(xiàn)不同級(jí)別的過(guò)濾功能。 應(yīng)用級(jí)網(wǎng)關(guān) 不像普通防火墻在低層協(xié)議上工作，而通常在用戶級(jí)上工作。 入侵計(jì)算機(jī)的特點(diǎn)和破壞安全的類型 1、入侵計(jì)算機(jī)的特點(diǎn) 對(duì)計(jì)算機(jī)犯罪的目標(biāo)可以是計(jì)算機(jī)系統(tǒng)的任何部分。計(jì)算機(jī)系統(tǒng)是指硬件、軟件 、存儲(chǔ)媒體、數(shù)據(jù)和部分中用計(jì)算機(jī)去完成計(jì)算任務(wù)的人的集合，銀行搶劫的目標(biāo)顯然是現(xiàn)金，而儲(chǔ)戶姓名和地址清單對(duì)競(jìng)爭(zhēng)的銀行來(lái)說(shuō)是很有價(jià)值的。這種清單可以是書面上的、記錄在磁介質(zhì)上的、存儲(chǔ)在內(nèi)存中的或通過(guò)電話線那樣的媒體以電子方式傳送的。這么多的目標(biāo)使得處理計(jì)算機(jī)安全問(wèn)題很困難。 任何安全系統(tǒng)，最薄弱點(diǎn)是最致命的。一個(gè)強(qiáng)盜要偷你房間中的東西，如果破窗而入更容易，他絕不會(huì)穿過(guò)兩英寸厚的鐵門，很高級(jí)的全范圍實(shí)物安全系統(tǒng)并不能防范通過(guò)電話線和調(diào)制解調(diào)器這種簡(jiǎn)單的無(wú)設(shè)防接入。最薄弱點(diǎn)法則可用下述原理描述。 最容易滲入原理。 入侵者必定要使用一種可以滲入的方法，這種方法既不一定時(shí)最常用的，也不一定是針對(duì)已經(jīng)采取了最可靠防范措施的。 這一原理說(shuō)明計(jì)算機(jī)安全專家必須考慮所有可能的攻擊方法，也許正是由于你加強(qiáng)了某一方面， 入侵者可能會(huì)想出另外的對(duì)付方法。我們現(xiàn)在就說(shuō)這種方法是什么。 2、破壞安全的類型 在計(jì)算機(jī)系統(tǒng)中，暴露是一種使計(jì)算機(jī)系統(tǒng)安全喪失或受到傷害的一種形式；暴露的例子有非授權(quán)的數(shù)據(jù)泄露、數(shù)據(jù)修改或拒絕合法訪問(wèn)計(jì)算機(jī)。脆弱性是安全系統(tǒng)中的薄弱環(huán)節(jié)，它可能因安全的喪失或傷害。有人會(huì)利用脆弱性對(duì)系統(tǒng)進(jìn)行罪惡的攻擊。潛在的引起安全 喪失或傷害的環(huán)境對(duì)計(jì)算機(jī)系統(tǒng)的威脅；人類的攻擊像自然災(zāi)害一樣是一場(chǎng)災(zāi)難，人們非故意錯(cuò)誤和硬件或軟件缺陷一樣是威脅的例子。最后，控制是一種保護(hù)性措施（控制可以是一種動(dòng)作、一個(gè)設(shè)備、一個(gè)過(guò)程或一種技術(shù)），控制的目的是減少脆弱性。 計(jì)算機(jī)系統(tǒng)的主要資源是硬件、軟件和數(shù)據(jù)。有 4 種對(duì)計(jì)算機(jī)安全的威脅：中斷、截獲、修改和偽造。這 4 種威脅都利用了計(jì)算機(jī)系統(tǒng)資源的脆弱性。 （ 1） 在中斷情況下，系統(tǒng)資源開始丟失，不可用或者不能用。例如，惡意破壞硬件設(shè)備、抹除程序或數(shù)據(jù)文件或造成操作系統(tǒng)的文件管理程序失敗，以致不能找到某一磁盤文件。 （ 2） 截獲是指某非授權(quán)用戶掌握了資源訪問(wèn)權(quán)。外界用戶可以是一個(gè)人、一個(gè)程序或者一個(gè)計(jì)算機(jī)系統(tǒng)。這種威脅的例子如程序或數(shù)據(jù)文件的非法復(fù)制，或私自搭線入網(wǎng)去獲取數(shù)據(jù)，數(shù)據(jù)丟失可能會(huì)很快被發(fā)現(xiàn)，但暗中的截獲者很可能并不留下任何容易檢測(cè)的痕跡。 （ 3） 如果非授權(quán)用戶不僅可以訪問(wèn)還可以篡改資源，則失效就成為了修改了。例如 ,某人可以修改數(shù)據(jù)庫(kù)中的值，更改一個(gè)程序，以便完成另外的計(jì)算或修改正在傳輸?shù)臄?shù)據(jù)，甚至還可能修改硬件。某些情況下可以用簡(jiǎn)單的測(cè)量手段檢測(cè)出所做的修改，但是某些微妙的修改是不可能檢測(cè)出來(lái)的。 （ 4） 最后，非授權(quán)用戶可以 偽造計(jì)算機(jī)系統(tǒng)的一些對(duì)象。入侵者企圖向網(wǎng)絡(luò)通信系統(tǒng)加入假的事務(wù)處理業(yè)務(wù)，或向現(xiàn)有的數(shù)據(jù)庫(kù)加入記錄。有時(shí)，這些添加的數(shù)據(jù)可以作為偽造品檢測(cè)出來(lái)，但如果做得很巧妙，這些數(shù)據(jù)實(shí)際上無(wú)法與真正的數(shù)據(jù)分開。 這 4 種對(duì)計(jì)算機(jī)工作的干擾（中斷、截獲、修改或偽造）表明了可能出現(xiàn)的幾種威脅類型。