信息安全员学习光盘2资料

操作系统安全管理与维护计算机安全员培训操作系统的安全隐患操作系统的“后门”用户账号问题黑客的攻击用户缺乏安全意识Windows操作系统的安全机制系统用户管理应用安全的方式来使用Windows系统Windows的安全中心注册表安全Windows系统用户管理用户账号通过用户名（账号）和密码来标志不同的用户有不同的使用权限用户组用于对用户权限的分配管理简化对用户的管理用户组的管理系统内置组Administrators组BackupOperators组Users组PowerUsers组Guest组NetworkConfigurationOperators组RemoteDesktopusers组Replicator组HelpServiceGroup组系统内置组介绍Administrators组:管理员组。该组成员可以完全控制计算机,默认情况下,管理员组成员拥有所有的权限。BackupOperators组:备份操作员组。该组成员的主要职责为备份和还原计算机上的文件,他们不关心计算机系统的文件的权限设置。他们可以远程登录计算机和关闭计算机,但不能更改安全性设置。系统内置组介绍Guest组来宾组。默认情况下,来宾跟用户组的成员有同等访问权,但来宾帐户的限制更多。NetworkConfigurationOperators组此组中的成员主要的管理权限用来管理和维护网络功能的配置。系统内置组介绍RemoteDesktopusers组此组中的成员被授予远程登录的权限。Replicator组完成域中的文件复制工作。HelpServiceGroup组为帮助和支持中心组成员。用户组的管理特点可以建立新的用户组可以删除用户组只是删除这个组本身,不会删除组中的帐户,但被删除的组是无法恢复的。自主创建的组是可以删除的,但系统的内置组不能删除。用户组可以改名或是禁用。系统内置组介绍Users组具有基本的使用计算机的权限,默认权限不允许成员修改系统注册表设置、操作系统文件或程序文件。该用户组成员通常不被允许运行旧版的应用程序,仅能运行已由Windows认证的程序。可以创建本地组，但只能修改和设置自己创建的本地组。Powerusers组高级用户组,该组成员除了具有users组的权限,还可以运行Windows未经认证的应用程序,这样提供了向后的兼容性。该组成员默认权限允许修改计算机的大部分设置。用户账号用户帐号:在系统中用来表示使用者的ー个标识。用户账号被授予一定的权限。帐号分为三类:管理员（内置）、来宾帐号（内置）和授权用户帐号。用户账号介绍Administrator：为系统管理员帐号,拥有最高的权限。具有管理系统安全策略,创建、修改、删除用户和组，修改系统软件等高级权限。可以改名,但永远不能被删除、禁用或从本地组中删除。用户账号介绍Guest账号:来宾帐号,这是为那些临时访问系统而又没有用户帐号的使用者准备的。缺省的来宾帐号不需要密码,默认情况下是禁止的,但也可以启用,出于安全原因,推荐用户禁用此帐舁该帐号可以被改名,但不能被删除。管理“组和账号”用户组:用户组的建立、修改、删除用户组成员的管理用户用户的建立、修改、删除用户的权限分配用户账号介绍授权用户帐号:在系统中新建的用户帐号。可以设置成为一个或多个组的成员,这样它门就继承了该组的权限。可以删除、改名和禁用。管理组创建组、修改组、删除组操作:（1）单击“开始”一“控制面板”一“管理工具”一“计算机管理”，打开计算机管理窗口。（2）鼠标右键单击目录树中的“组”,在弹出的菜单中选择“新建组…”。（3）填写组名、组的描述,添加组的成员。（4）单击［添加］按钮ー［高级］按钮一［立即查找］按钮,之后在列表中选择加入组的对象,单击［确定］按钮。管理账户创建用户、修改用户'删除用户创建用户:（1）右键单击“用户”,在弹出的菜单中选择“新用户…”。（2）填写用户名，设置密码等操作之后，单击［创建］按钮,新用户就创建成功。为用户帐户指定用户组（1）右键单击刚建立的用户名,选择属性。（2）单击［添加］按钮——［高级］按钮——［立即查找］按钮,之后在列表中选择隶属的组,单击［确定］按钮。操作系统的安全隐患操作系统的“后门”用户账号问题黑客的攻击用户缺乏安全意识Windows系统用户管理用户账号通过用户名（账号）和密码来标志不同的用户有不同的使用权限用户组用于对用户权限的分配管理简化对用户的管理Windows系统用户管理用户账号通过用户名（账号）和密码来标志不同的用户有不同的使用权限用户组用于对用户权限的分配管理简化对用户的管理操作系统安全管理与维护计算机安全员培训Windows操作系统的安全机制系统用户管理应用安全方式来使用Windows系统Windows的安全中心注册表安全应用安全方式来使用Windows系统屏幕保护和锁定机制电源保护功能文件加密保障Windows账号数据库的安全屏幕保护和锁定机制保障计算机在工作中的安全屏幕保护锁定机制屏幕保护的实现方法启动屏幕保护计算机恢复工作时加以保护屏幕保护和锁定机制锁定机制可随时保护计算机实现方法:传统方式登陆Ctrl+Alt+Delete组合键Win+L组合键欢迎屏幕方式登录Win+L组合键建立一个快速锁定的快捷方式屏幕保护和锁定机制创建锁定计算机快捷方式:(1)先用鼠标右键单击WindowsXP的桌面,在弹出菜单中选择“新建”一“快捷方式”。(2)按照屏幕提示,在命令行的文本框中输入“rundll32.exeuser32.dll,LockworkstationM命令字符,单击［下ー步］按钮。(3)在随后的向导窗口中输入对应该快捷方式的具体名称“快速锁定”，确定,建立完成,随后直接双击这个快捷方式就可以了。电源保护功能误按电源按钮：计算机信息丢失损伤计算机软硬件措施：启动电源保护功能改变电源按钮的功能电源保护功能操作方法电源属性选项对话框一高级ー当按下计算机电源按钮时,点下拉框：不采取任何措施问我要做什么待机休眠关机加密文件系统Windows的文件系统FATFAT32系统开销少,效率高,但不安全NTFS具有访问控制机制,安全性高可以实现对文件和目录的加密保护加密文件系统操作方法在想加密的文件或文件夹上右键单击,选择“属性”,在属性的“常规”选项卡上点击［高级］按钮,会弹出ー个窗口,选中创窗口中“加密内容以便保护数据”即可实现在NTFS卷上对文件的加密。保障Windows账号数据库的安全启动Windows账号数据库加密安全密码方式软盘保存密钥方式本机保存方式可以再加一层系统保障的安全Windows的安全中心“安全中心”是WindowsXPSP2引进的一项全新服务。它作为ー个“中央区域”，方便用户更改安全设置,了解更多的安全问题以及确保系统执行了微软建议的最新的基本安全更新。用户只要在“控制面板”中双击“安全中心”的图标就可以进入此项服务。Windows的安全中心防火墙新推出的ー个功能较强的防火墙软件自动更新下载安装Windows的系统补丁病毒防护监视是否有病毒防护系统操作系统安全管理与维护计算机安全员培训［Windows操作系统的安全机制系统用户管理应用安全方式来使用Windows系统Windows的安全中心注册表安全注册表的使用注册表的概念和结构注册表的操作注册表的备份和恢复注册表的概念和结构概念:注册表是windows的ー个巨大的树状分层内部数据库，它记录了用户安装在计算机上的软件和每个程序相互关联的关系,记录了计算机的硬件配置,包括自动配置的即插即用设备和已有的各种设备。特点:注册表中存放着各种参数,直接控制windows的启动、硬件驱动程序的装载,以及ー些windows应用程序的运行,从而在整个系统中起着核心作用。注册表的概念和结构主要包含内容,软、硬件的有关配置和状态信息。注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据。联网计算机整个系统的设置和各种许可，文件扩展名与应用程序的关联，硬件的描述、状态和属性。性能记录和其他底层的系统状态信息,以及其他相关的ー些数据。注册表的结构注册表采用了“键”和“键值”来管理登录的数据WindowsXP注册表由5个根键组成HKEY_CLASSES一ROOT根键HKEY_CURRENT_USER根键HKEY-LOCAJMACHINE根键HKEY-USERS根键HKEY_CURRENT_CONFIG根键注册表根键的作用HKEY_CLASSES_ROOT说明:あ根键包括启动应用程序所需的全部信息,包括扩展名,应用程序与文档之间的关系,驱动程序名,DDE和OLE信息,类ID编号和应用程序与文档的图标等。HKEY_CURRENT_USER说明:核根键包括当前登录用户的配置信息,包括环境变量,个人程序以及桌面设置等。注册表根键的作用HKEY_LOCAL_MACHINE说明：佥根键血括本地计算机的系统信息,包括硬件和操作系统信息,安全数据和计算机专用的各类软件设置信息。HKEY_USERS说明：这根键包括计算机的所有用户使用的配置数据,这些数据只有在用户登录系统时才能访问。这些信息告诉系统当前用户使用的图标,激活的程序组,开始菜单的内容以及颜色,字体。HKEY_CURRENT_CONFIG说明：这根键包括当前硬件的配置信息,其中的信息是从HKEY_LOCAL.MACHINE中映射出来的。注册表的操作打开注册表编辑主键和键值查找注册表的键修改注册表注册表的操作修改注册表以修改键盘的重复延迟为例来演示注册表的修改打开注册表找到“HKEY_CURRENT_USER\CONTROLPANEL\KEYBORD”点击右侧窗口中“KEYBORDDELAY”的键,双击,即弹出窗ロ可以修改其键值。注册表的操作打开注册表启动regedit〇注册表的操作在注册表中査找某键注册表的操作注册表的备份和恢复Windows提供的备份程序备份、恢复使用regedit进行备份、恢复注册表的备份与恢复使用regedit的导入、导出功能启动regedit选择“导出”进行备份选择“导入”进行恢复注册表的备份与恢复注册表是系统的核心和灵魂,对注册表的一个不经意的错误修改都可能造成系统的破坏,因此对注册表做好备份工作十分重要。当系统出现小的问题时,把备份的注册表文件重新导入注册表,就可恢复系统的正常运行。对称式加密技术和非对称式加密技术在使用过程中各有其优缺点,并且其优缺点是互补的,利用这点,通常两种加密技术台结合应用,实现信息通信过程的保密性。“数字信封”技术。数字信封的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容,数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。各种算法特点及简单应用PKI作为一种密钥管理平台,能够为各种网络应用透明地提供密钥和数字证书管理。PKI体系由认证中心(CA)、注册中心(RA)、存储库、密钥备份及恢复系统、证书作废处理系统、PKI应用接口六大部分组成。(1)认证机构(CertificationAuthority,CA)：证书的签发机构,它是PKI的核心,是PKI应用中权威的、可信任的公正的第三方机构。认证中心作为ー个可信任的机构,管理各个主体的公钥并对其进行公证,目的是证明主体的身份与其公钥的匹配关系。认证中心的功能包括证书的分发、更新、查询、作废和归档等。PKI的组件及功能数字证书和其他加密算法结合使用可以实现的安全性能指标为:(1)保密性:双方的通信内容高度保密,第三方无从知晓。(2)完整性:通信的内容无法被篡改。(3)身份认证：收方通过发方的电子签名确认发方的确切身份,但无法伪造。(4)不可否认性：发方一旦将数字签名的信息发出,就不能再否认。数字证书的使用(5)甲用乙的公钥(PK)对K进行加密,将加密后的K连同密文一起传送给乙。(6)乙收到甲传送来的密文和加过密的公共密钥K,先用自己的私钥(SK)对加密公共密钥K进行解密,得到K。(7)乙然后用K对收到的密文进行解密,得到明文的数字信息。(8)乙用甲的公钥(PK)对甲的数字签名进行解密,得到信息摘要。⑼乙用相同的HASH算法对收到的明文再进行一次HASH运算,得到ー个新的信息摘要。(10)乙将收到的信息摘要和新产生的信息摘要进行比较.如果一致,说明收到的信息没有被修改过。数字证书的使用随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展,数字证书开始广泛地应用到各个领域之中,目前主要包括:发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。数字证书的使用(1)由于系统或电器物理损坏导致文件、数据的丢失;(2)人为的错误删除一个文件或格式化一个磁盘等;(3)黑客侵入计算机系统,破坏计算机系统;(4)病毒感染计算机,甚至损坏计算机数据；(5)火灾、洪水或地震等自然灾难毁坏计算机系统；(6)由于瞬间过载电功率或磁场等外界因素造成计算机系统中数据损坏。数据故障的形式硬件级备份硬件级备份一般采用的技术分为磁盘镜像、磁盘双工、磁盘阵列和双机热备份。软件级备份软件级备份可分为对整个系统进行备份、对定制文件和文件夹备份和只对系统状态数据备份。常用的备份方法加密技术密码技术是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科,是保护信息安全的主要技术手段之一。用户在计算机网络信道上相互通信,其主要危险是被非法窃听。对网络传输的报文进行数据加密,是ー种很有效的反窃听手段。密码技术不仅可以保证信息的机密性,而且可以保证信息的完整性,还能够实现通信用户间的身份认证和不可否认性。数字签名技术数字签名可以做到以下3点:1、接受者能够核实发送者对信息的签名；2、发送者不能抵赖对信息的签名；3、接受者不能伪造对信息的签名。现已有多种实现各种数字签名的方法,可以使用对称式加密算法或哈西算法,也可以使用非对称式加密算法,采用非对称式加密算法要比采用其他加密算法更容易实现。基本概念密钥:为了有效地控制加密和解密算法的实现,在其处理过程中要有通信双方单程的专门信息参与加密和解密操作，这种专门信息称为密钥(Key,记为K)。对称式加密算法:加密密钥和解密密钥相同或者可以由其中一个推知另ー个,通常把参与加密、解密过程的相同的密钥叫做公共密钥,用K来表示。代表性的对称式加密算法有DES(数学加密标准)，IDEA(国际数据加密算法),Rijndael,AES,RC4算法等。基本概念非对称式加密算法:加密和解密使用不同的密钥,每个用户拥有一对密钥,其中的ー个作为公开密钥,用PK来表示,公钥是公开的,任何人都可以获得,另ー个就用来作为私钥,用SK来表示,私钥是保密的,只有密钥对的拥有者独自知道。在使用过程中一个用来加密，另ー个ー定能够进行解密。典型的非对称式加密算法有RSA、DSA（数字签名算法）、Diffie—Hellman、ECC（椭圆曲线加密算法）等。哈希算法,也称为单向散列函数、杂凑函数、HASH算法。它通过一个单向数学函数,将任意长度的ー块数据转换为ー个定长的、不可逆转的数据。这段数据通常叫做信息摘要,其实现过程通常称为压缩。典型的哈希算法有MD5、SHA、HMAC和GOST等。例如:任何信息经过MD5压缩之后都生成128位的信息摘要,经过SHA压缩之后都生成160位信息摘要。各种算法特点及简单应用对称式加密算法算法简单,加密速度很快,但在信息通信之前需要通过一个安全的通道交换密钥,对公共密钥进行协商,才能实现信息加密传输,具有安全的协商密钥较困难的问题。非对称式加密算法多是基于数学难题问题,算法复杂,加密速度较慢,与同等安全强度的对称算法相比,一般慢三个数量级,但是它的优点是通信双方不必事先约定密钥就可以进行安全通信。数字签名技术书信或文件是通过亲笔签名或印章来达到法律上的真实、有效,并且可以核实。但随着网络的发展,人们可以在网上进行交易,在交易中怎么确保可信,这就需要在网络中实现传统的文件签名和盖章所能达到的效果,这就是数字签名所要解决的问题。数字签名技术PKI技术（PublicKeyInfrastructure,PKI） 公开密钥体系,是提供公钥加密和数字签名服务的系统或平台,目的是通过自动管理密钥和证书,为用户建立一个安全的网络运行环境,通过发放和维护数字证书来建立一套信用网络,在同一网络中的用户通过申请到的数字证书来完成身份认证和安全处理。PKI是由数字证书、证书颁发机构（CA）以及对电子交易所涉及的各方的合法性进行检验的注册机构组成，从广义上讲,所有提供公钥加密和数字签名服务的系统,都叫做PKI系统。数字证书数字证书:即互联网通讯中标志通讯各方身份信息的ー系列数据,它提供了一种在Internet上验证用户身份的方式。数字证书由一个权威机构一CA机构，又称为证书授权（CertificateAuthority）中心发行。数字证书是ー个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。从原理上来讲,就是ー个可信的第三方实体对另ー个实体的ー系列信息进行签名得到ー个数字文档,证书用户可以通过这个可信第三方签发的证书来证明另ー实体的身份。证书中信息由三部分组成:实体的ー系列信息,签名加密算法和一个数字签名。其中实体的信息主要包括三方面的内容:证书所有者的信息、证书所有者的公开密钥和证书颁发机构的信息。PKI的组件及功能(2)注册机构(RegistrationAuthority,RA)：RA是可选的实体,RA实现分担CA部分职责的功能,其基本职责是认证和验证服务,可将RA配置为代表CA处理认证请求和撤销请求服务。(3)证书库:是包含了CA发行证书的数据库，集中存放证书,提供公众查询。(4)密钥备份及恢复系统:用户的解密密钥进行备份,当丢失时进行恢复,而签名密钥不能备份和恢复。(5)证书作废处理系统:证书由于某种原因而要作废、终止使用,这将通过证书撤销列表CRL(CentificateRevocationList)来完成。数字证书的使用实现过程:现有持有证书人甲向持有证书人乙传送数字信息,通信过程要求通信双方实现身份认证,并要保证信息传送的保密性、完整性和不可否认性。实现过程使用数字加密和数字签名,其传送过程如下:(1)甲准备好要传送的数字信息(明文)〇(2)甲对数字信息进行压缩,得到ー个信息摘要。(3)甲用自己的私钥(SK)对信息摘要进行加密得到甲的数字签名，并将其附在数字信息上。(4)甲随机产生一个实现对称式加密的公共密钥(K),并用K对要发送的信息进行加密,形成密文。数据备份与恢复把文件或数据库从原来存储的地方复制到其他地方的活动称为数据备份,取回原先(备份)文件的过程称为恢复数据。数据备份和恢复的主要目的就是保证在设备发生故障或发生其他威胁数据安全的灾害时能保护数据,使数据及时恢复,从而减小损失.保证系统正常运行。采取异地数据备份后,一旦工作场所发生意外,企业可以在较短的时间内恢复正常运行。企业最宝贵的不是各种网络硬件,而是网络上存储的业务数据。建立一套全方位、多层次的数据备份系统成为网络建设的重要责任。数据故障的形式数据故障的形式是多种多样的,通常,数据故障可划分为系统故障、失误故障和介质故障，还有攻击者造成的文件损坏,如：病毒、木马或黑客攻击等也会造成数据故障。无论是哪种故障都不是用户所希望的,特别是系统管理员,通常会采用防火墙、防病毒软件和入侵检测系统等对系统进行安全防御,维护系统和数据的完整性,但是,世界上没有能真正保证信息绝对安全的防护措施,在信息的收集、处理、存储、传输和分发过程中经常会出现ー些新的问题,其中最值得我们关注的就是系统失效、数据丢失或遭到破坏。造成这些故障的主要原因有以下几个方面：需要备份的数据类型对一般用户来讲,在计算机中需要备份的数据有三类：自己编写的和平实积累的文件安装软件生成的文件网络或其他媒体上的文件防火墙防火墙概述防火墙是防护网络边界的一种基本的重要的防护手段。古代,人们在房屋的周围用石头围成一个圈墙,可以有效防止火灾蔓延到房屋,这圈墙被称为“防火墻”。现在,人们在网络的边界处部署网络安全防护设备,形象地称为“防火墙”。如下图所示。(1)所有内部对外部的通信都必须经过防火墙,反之亦然(2)只有安全策略所定义的授权通信才允许通过(3)防火墙本身是抗入侵的(4)防火墙是网络的要塞点,尽可能将安全措施都集中于这一点(5)防火墙可以强制安全策略的实施(6)防火墙可以记录内、外网络通信时发生的行为防火墙的特性“没有明确允许的都是被禁止的”,即拒绝一切位于特许的通信,定义“允许”控制表。优点是安全实用;缺点是服务范围受到限制。“没有明确禁止的都是被允许的”，即允许一切未被特别拒绝的通信,定义为“拒绝”控制表。优点是灵活,服务范围大;缺点是管理人员的工作量大,安全性防火墙定制安全策略的基本准则入侵检测系统1.入侵检测系统概念入侵检测系统(IntrusoinDetectionSystem,IDS)是ー种自动监测信息系统内外入侵的安全设备。IDS通过对计算机网络或计算机系统中的若干关键点的信息收集和信息分析,息分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,并实时做出安全响应。(1)对网络流量的跟踪与分析功能:跟踪用户从进入网络到退出网络的所有活动时监测并分析用户在系统中的活动状态。⑵对已知攻击特征的识别功能;识别特定类型的攻击,并向控制台报警，为防御提供依据。并根据定制的条件过滤重复警报事件,减轻传输与响应的压カ。(3)对异常行为的分析、统计与响应功能:分析系统的异常行为模式,统计异常行为,并对异常行为做出响应。(4)特征库的在线升级功能;提供在线升级,实时更新入本地,不断提高IDS的入侵监测能力。入侵检测系统主要功能入侵检测过程从总体来说,入侵检测系统可以分为两个部分;收集系统和非收集系统的信息和对收集到的数据进行分析,并采取相应措施。1•信息收龟信息收集包括收集系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个就是对来自不同源的信息进行特征分析之后比较得出问题所在的因素。入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换和移走这些信息，黑客对系统的修改可能使系统功能失常并看起来跟正常的ー样。这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。入侵检测利用的信息一般来自以下三个方面:防火墙的局限性(7)防火墙不能干涉还没有到达防火墙的数据包。(8)防火墙对操作系统的依赖,因为操作系统也有漏洞。(9)防火墙不能抵抗最新的未设置策略的攻击漏洞。 就如杀毒软件与病毒ー样,总是先出现病毒,杀毒软件经过分析出特征码后加入到病毒库内才能查杀。(10)防火墙的并发连接数限制容易导致拥塞或者溢出。 由于要判断、处理流经防火墙的每ー个数据包，因此防火墙在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈影响性能。而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过。网络安全技术基础计算机安全员培训包过滤防火墙具有根本的缺陷:不能防范黑客攻击。包过滤防火墙的工作基于ー个前提,就是网管知道哪些IP是可信网络,哪些是不可信网络的IP地址。但是随着远程办公等新应用的出现,网管不可能区分出可信网络与不可信网络的界限,对于黑客来说,只需将源IP包改成合法IP即可轻松通过包过滤防火墙,进入内网,而任何ー个初级水平的黑客都能进行IP地址欺骗。不支持应用层协议。假如内网用户提出这样ー个需求,只允许内网员エ访问外网的网页(使用HTTP协议),不允许去外网下载电影(一般使用FTP协议)。包过滤防火墙无能为カ,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙。不能处理新的安全威胁。它不能跟踪TCP状态,所以对TCP层的控制有漏洞。如当它配置了仅允许从内到外的TCP访问时，ー些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。 综上可见,包过滤防火墙技术面太过初级,就好比一位保安只能根据访客来自哪个省市来判断是否允许他(她)进入ー样,难以履行保护内网安全的职责。防火墙概述防火墙就是位于内部网或web站点与Internet之间的ー个路由器或一台计算机,又称为堡垒主机。防火墙产品有很多,有软件产品,也有硬件产品。其目的如同一个安全门,为门内的部门提供安全,控制那些可被允许出入该受保护区域的对象。就像工作在门岗的安全卫士，控制并检查站点的访问者。防火墙概述防火墙是ー种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和联结方式按照一定的安全策略进行检査,以决定网络之间的通信是否被允许。这种安全策略通常称为访问控制列表(AccessControlList,ACL),被保护的网络称为内部网络，另一方则称为外部网络。它能有效地控制内部网络与外部网络之间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。防火墙的功能(1)过滤出入网络的数据所有网络内部和网络外部流通的数据都必须经过防火墙,防火墙检査所有数据的细节,并根据事先定义好的策略允许或者禁止对数据进行通信(2)强化网络安全策略 网络上的许多服务都是不安全的,防火墙执行站点的安全策略,仅仅允许符合规则的服务通过。防火墙的功能(3)对网络存取和访问进行监控审计 由于所有访问网络的数据都要经过防火墙,这样防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的数据统计。当发现可疑数据时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外防火墙还可以收集网络的使用情况和误用情况,这样防火墙可以清楚是否能够抵挡攻击,提高了网络的安全性。(4)控制不安全的服务 位于防火墙后,只有授权的协议和服务才能通过网络,这样可以控制ー些不安全的服务,从而使内部网络免于遭受来自外界的基于协议或者服务的攻击,提高网络的安全性。(5)对站点访问控制 防火墙可以限制外界用户访问内部网络的某些主机,这样可有效地保护内部网络中某些计算机的安全。防火墙的局限性(4)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行,就会发生数据驱动攻击。(5)防火墙对服务器合法开放的端口的攻击大多无法阻止。防火墙要保证服务,必须开放相应的端口。防火墙要准许HTTP服务,就必须开放80端口,要提供Mail服务,就必须开放25端ロ等。对开放的端口进行攻击,防火墙不能防止。(6)利用开放服务流入的数据来攻击,攻击开放服务的软件缺陷,防火墙无法防止。防火墙的局限性(1)防火墙防外不防内防火墙可以禁止系统用户经过网络连接发送的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育、管理、制度等。(2)防火墙配置复杂,容易出现安全漏洞。(3)防火墙不能防范病毒。防火墙不能防止感染了病毒的软件或文件的传输。在每台主机上装反病毒软件。应用代理网关技术应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求,如下图所示。IPTCP开始攻击只检査数据应用代理网关技术应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。缺点也非常突出,主要有:(1)难于配置。由于每个应用都要求单独的代理进程,这就要求网管能理解每项应用协议的弱点,并能合理的配置安全策略,由于配置繁琐,难于理解,容易出现配置失误,最终影响内网的安全防范能力。应用代理网关技术(2)处理速度非常慢。断掉所有的连接,由防火墙重新建立连接,理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行,因为对于内网的每个Web访问请求,应用代理都需要开一个单独的代理进程,它要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器,及业务程序等,就需要建立一个个的服务代理,以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用户的正常Web访问不能及时得到响应。总之,应用代理防火墙不能支持大规模的并发连接,在对速度敏感的行业使用这类防火墙时简直是灾难。另外,防火墙核心要求预先内置ー些已知应用程序的代理,使得一些新出现的应用在代理防火墙内被无情地阻断,不能很好地支持新应用。应用代理网关技术在计算机网络领域中,新应用、新技术、新协议层出不穷,代理防火墙很难适应这种局面。因此,在ー些重要的领域和行业的核心业务应用中，代理防火墙正被逐渐疏远。但是,自适应代理技术的出现让应用代理防火墙技术出现了新的转机,它结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10倍。3.状态检测技术我们知道,Internet上传输的数据都必须遵循TCP/IP协议,根据TCP协议,每个可靠连接的建立需要经过“客户端同步请求”、“服务器应答”、“客户端再应答”三个阶段,我们最常用到的Web浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,引出了状态检测技术。应用代理网关技术网关防火墙的一个挑战就是能处理的流量,状态检测技术在大力提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术,使防火墙性能大幅度提升，能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。目前任何ー款高性能的防火墻,都会采用状态检测技术。应用代理网关技术状态检测防火墙摒弃了包过滤防火墙仅考査数据包的IP地址等几个参数,而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每ー个会话状态。状态监测对每ー个包的检査不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力,如下图所示。开始攻击只检查报头建立连接状态表IPTCP开始攻击只检査报头建立连接状态表复合型防火墙技术复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进ー步基于ASIC架构,把防病毒、内容过滤整合到防火墻里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施,如下图所示。IPTCP开始攻击检査整个报文内容建立连接状态表四类防火墙技术的对比包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。应用代理网关防火墙:不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。状态检测防火墙:不检査数据区,建立连接状态表,前后报文相关,应用层控制很弱。复合型防火墙:可以检査整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。入侵检测系统组成IETF(Internet工程任务组)将一个IDS分为四个组件:事件产生器(EventGenerators)；事件分析器(EventAnalyzers);响应单元(ResponseUnits);事件数据库(EventDatabases)〇(1)事件产生器的功能是从整个计算环境中捕获事件信息,并向系统的其他组成部分提供该事件数据。(2)事件分析器分析得到的事件数据，并产生分析结果。(3)响应单元则是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等有效反应,当然也可以只是报警。(4)事件数据库是存放各种中间和最终数据的地方的统称,用于指导事件的分析及反应,它可以是复杂的数据库,也可以是简单的文本文件。入侵检测系统分类根据检测对象的不同,IDS可分为主机型和网络型:(1)基于主机的监测(HIDS)。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。最近出现的ー种ID(IntrusionDetection)位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。(2)网络型入侵检测(NIDS)。它的数据源是网络上的数据包。往往将一台主机的网卡设于混杂模式,对所有本网段内的数据包进行信息收集,并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。入侵检测系统主要功能(5)数据文件的完整性检验功能:检查关控数据文件的完整性,识别并报告数据文件的改动情况。(6)自定义特征的响应功能:定制实时响应策赂；根据用户定义,经过系统过滤,对警报事件及时响应(包括实时切断台话连接、员新配置防火墙、屏蔽破坏行为、给管理员发送电子邮件、控制台实时显示、数据库记录等)。(7)系统漏洞的预报警功能：对于发现的系统漏洞特征进行预报警。(8)IDS弓|擎集中管理功能:通过控制台管理、控制各个引擎的行为。入侵检测技术对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类：ー种基于标识,另ー种基于异常情况。对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义ー组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出)，然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护ー个知识库。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广泛、甚至未发觉的攻击。入侵检测技术(1)系统和网络日志文件黑客经常在系统日志文件中留下他们的踪迹,因此,可以充分利用系统和网络日志文件信息。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或己成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序,日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。(2)非正常的目录和文件改变网络环境中的文件系统包含很多软件和数据文件,他们经常是黑客修改或破坏的目标。目录和文件不正常改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。入侵检测技术（3）非正常的程序执行网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用,例如web服务器。每个在系统上执行的程序由一到多个进程来实现。ー个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其他进程,以及与网络间其他进程的通讯。ー个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是利用用户或管理员意图的方式操作。入侵检测技术（1）模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找ー个简单的条目或指令）,也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲,ー种进攻模式可以用ー个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的缺点是需要不断升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。入侵检测技术（2）统计分析统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述,统计正常使用时的ー些测量属性（如访问次数、操作失败次数和延时等）。在比较这一点上与模式匹配有些相像之处。测量属性的均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用Guest帐号登录的,突然用Administrator帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。入侵检测技术（3）完整性分析完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为信息摘要函数（例如MD5）,它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其他对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面的扫描检査。外部处理单元内部处理单位隔离硬件物理隔离网闸的组成（1）阻断网络的直接物理连接:物理隔离网闸在任何时刻都只能与非可信网络或可信网络之ー相连接,而不能同时与两个网络连接。(2)阻断网络的逻辑连接:物理隔离网闸不依赖操作系统、不支持TCP/IP协议。两个网络之间的信息交换必须将TCP/IP协议剥离,将原始数据通过P2P的非TCP/IP连接方式,通过存储介质的“写入”与“读出”完成数据转发。(3)数据传输机制的不可编程性:物理隔离网间的数据传输机制具有不可编程的特(4)安全审査:物理隔离网闸具有安全审査功能,即网络在将原始数据“写入”物理隔离网间前,根据需要对原始数据的安全性进行检査,把可能的病毒代码、恶意攻击代码消灭干净等。物理隔离网闸主要功能物理隔离网闸的组成物理隔离网闸的主要安全模块:安全隔离模块:隔离硬件在两个网络上进行切换，通过对硬件上的存储芯片的读写,完成数据的交换。保证两个网络在链路层断开,不与两个网络同时连接，两个网络交换的数据是非TCP/IP协议上进行的。内核防护模块:在内、外部处理单元中嵌入安全加固的操作系统，设置基于内核的IDS等。安全检査模块:数据完整性检査、病毒査杀、恶意攻击代码检査等。身份认证模块：支持身份认证、数字签名。访问控制模块:实行强制访问控制。安全审计模块:建立完善日志系统。物理隔离网闸应用(1)涉密网与非涉密网之间(2)局域网与互联网之间(内网与外网之间) 有些局域网络，特别是政府办公网络,涉及政府敏感信息,有时需要与互联网在物理上断开,用物理隔离网闸是一个常用的办法。⑶办公网与业务网之间 由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的物理隔离。(4)电子政务的内网与专网之间 在电子政务系统建设中要求政府内网与外网之间用逻辑隔离间用物理隔离。现常用的方法是用物理隔离网闸来实现。(5)业务网与互联网之间 电子商务网络ー边连接着业务网络服务器,ー边通过互联网连接着广大民众。保障业务网络服务器的安全,在业务网络与互联网之间应实现物理隔离。物理隔离网闸的定义物理隔离网闸:使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。物理隔离网间连接在两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发。引用物理隔离的思路,只有数据文件的无协议“摆渡”,这种“摆渡”源于两台完全不相连的计算机。物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。物理隔离网闸的定义物理隔离网闸:使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。物理隔离网间连接在两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发。引用物理隔离的思路,只有数据文件的无协议“摆渡”,这种“搜渡”源于两台完全不相连的计算机。物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。物理隔离网闸的信息交换方式计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。物理隔离网闸隔离、阻断了网络的所有连接,实际上就是隔离、阻断了网络的连通。网络只是信息交换的一种方式,而不是信息交换方式的全部。数据文件复制(拷贝)、数据摆渡、数据镜像、数据反射等都可以完成信息交换。物理隔离网闹就是使用数据“摆渡”的方式实现两个网络之间的信息交换。物理隔离网闸主要功能(8)根据需要提供定制安全策略和传输策略的功能:用户可以自行设定数据的传输策略,如:传输单位(基于数据还是基于任务)、传输间隔、传输方向、传输时间、启动时间等。(9)支持定时/实时文件交换;支持单向/双向文件交换;支持数字签名、内容过滤、病毒检查等功能。(10)邮件同步:支持标准的SMTP服务，安全、高可靠性的邮件过滤策略,可为每个用户配置不同的邮件交换策略,内外网邮件镜像等。(11)支持Web方式。物理隔离网闸主要功能(5)原始数据无危害性:物理隔离网闸转发的原始数据,不具有攻击或对网络安全有害的特性。就如文本文件不会有病毒ー样,也不会执行命令等。(6)管理和控制功能：建立完善的日志系统。(7)根据需要建立数据特征库:在应用初始化阶段,结合应用要求,提取应用数据的特征,形成用户特有的数据特征库,作为运行过程中数据校验的基础。当用户请求时，提取用户的应用数据,抽取数据特征和原始数据特征库比较,符合原始特征库的数据请求进入请求队列,不符合的返回用户,实现对数据的过滤。物理隔离网闸的定位物理隔离要解决目前防火墙存在的根本问题：(1)防火墙对操作系统的依赖,因为操作系统也有漏洞。(2)TCP/IP的协议漏洞:不使用TCP/IPo(3)防火墙、内网和DMZ同时直接连接。(4)应用协议的漏洞,因为命令和指令可能是非法的。(5)文件带有病毒和恶意代码:不支持MIME,只支持文本,或杀毒文本,或杀毒软件,或恶意代码检查软件。物理隔离的指导思想与防火墙有很大的不同:防火墙的思路是在保持互联互通的前提下,尽可能安全,而物理隔离的思路是在保证必须安全的前提下.尽可能互联互通。VPN对于地理位置上分散、管理上统一的企业的通信问题,解决的办法目前有三个:专用网通过公网通信VP、专用网即独立铺设专用的物理线路,或在公共网络上租用模拟或数字专线。专用网网络安全性很高,但造价太高,如果独立铺设专用物理线路,造价更高;现代跨国企业的分支机构和业务范围遍及全球,其负责销售工作的员エ在世界各地流动,越来越多的员エ倾向于在家办公,内部网络必须满足这部分员エ随时对其进行访问。因此传统的租用专线的方式越来越不适用。直接通过公网通信方便而快捷，但不安全,缺乏有效的认证机制;数据是明文传输的,缺乏保密机制，无法保证网上传输信息的机密性、完整性。VPN(VirtualPrivateNetwork)技术VPN是英文VirtualPrivateNetwork的缩写,一般译为虚拟专用网。我们将VPN定义为：以公共开放的网络(如Internet)作为基本传输媒介,利用加密、认证、封装等技术对信息进行封装,向最终用户提供类似于专用网络性能的网络服务技术。VPN就是针对企业分散的情况下，子网间通信安全问题的ー种解决办法。通过VPN安全的数据通道将公司总部同远程用户、合作伙伴以及分支机构在Internet上连接起来。它通过在公用网上建立加密隧道的方式虚拟不同的专线来连接分布在各地的企业子网甚至移动用户。隧道是一种虚拟的点到点(在发送端加密,在接收端解密的机制)的连接,这个连接可以为隧道的两个端点提供认证、加密和访问控制等安全措施，保障通信安全。隧道技术可以在不同的协议层上实现,在不同协议层上实现具有不同的实现难度,也提供了不同强度的安全保护。选择VPN组建专用网成为国内外企业组网的ー个趋势。VPN技术能够明显降低企业远程通讯的成本和提高工作效率。VPN的优势⑵服务质量保证(QOS)VPN应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性,对于其他应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用串很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QOS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。VPN的优势（3）可扩充性和灵活性VPN必须能够支持通过Internet和Extranet的任何类型的数据流,方便增加新的节点。支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。（4）可管理性从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缠地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QOS管理等内容。VPN的优势（1）安全保障虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定约发送者和接收者了解，从而保证了数据约私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息约访问。VPN的实现VPN在公共