各网络安全产品工作原理

1、杀毒的工作原理病毒检测的方法在与病毒的对抗中，及早发现病毒很重要。早发现，早处置，可以减少损失。检测病毒方法有：特征代码法、校验和法、行为监测法、软件模拟法这些方法依据的原理不同，实现时所需开销不同，检测范围不同，各有所长。特征代码法特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。特征代码法的实现步骤如下：采集已知病毒样本，病毒如果既感染COM文件，又感染EXE文件，对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。在病毒样本中，抽取特征代码。依据如下原则：抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节，要检测3000种病毒，增加的空间就是3000字节。在保持唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。在既感染COM文件又感染EXE文件的病毒样本中，要抽取两种样本共有的代码。将特征代码纳入病毒数据库。打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些新病毒。特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。其缺点是：不能检测未知病毒、搜集已知病毒的特征代码，费用开销大、在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。其特点:速度慢。随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查。如果病毒种数再增加，检病毒的时间开销就变得十分可观。此类工具检测的高速性，将变得日益困难。误报警率低。非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在检查一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗。校验和法将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提咼其检测能力。这种方法既能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒类，不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不能区分正常程序引起的变动，而频繁报警。用监视文件的校验和来检测病毒，不是最好的方法。这种方法遇到下述情况：已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。运用校验和法查病毒采用三种方式：在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。校验和法的优点是：方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点

是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。行为监测法利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。这些做为监测病毒的行为特征如下：占有INT13H所有的引导型病毒，都攻击Boot扇区或主引导扇区。系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用INT13H功能，因为其他系统功能未设置好，无法利用。引导型病毒占据INT13H功能，在其中放置病毒所需的代码。改DOS系统为数据区的内存总量病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改系统内存总量。对COM、EXE文件做写入动作病毒要感染，必须写COM、EXE文件。病毒程序与宿主程序的切换染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。行为监测法的长处：可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处：可能误报警、不能识别病毒名称、实现时有一定难度。软件模拟法多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒处理。2、防火墙工作原理防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种，硬件防火墙和软件防火墙，他们都能起到保护作用并筛选出网络上的攻击者。在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。1、防火墙技术防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。下面，我们将介绍这些手段的工作机理及特点，并介绍一些防火墙的主流产品。包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。2、防火墙工作原理（1）包过滤防火墙

包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。只检查报头只检查报头包过滤防火墙工作原理图)应用网关防火墙应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。应用网关防火墙工作原理图)状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。（状态检测防火墙工作原理图）（4）复合型防火墙复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。检查整个报文内容检查整个报文内容建立连接状态表・复合型防火墙工作原理图）3、四类防火墙的对比包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。应用网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。3、入侵检测、防御IPS到底是什么？“IPS可以阻断攻击，这正是IDS所做不了的，所以IPS是IDS的升级，是IDS的替代品”，可能很多人都会有这种看法。我们先来看IPS的产生原因：A：串行部署的防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。B：旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但很可惜的是无法实时的阻断。C：IDS和防火墙联动：通过IDS来发现，通过防火墙来阻断。但由于迄今为止没有统一的接口规范，加上越来越频发的“瞬间攻击”（一个会话就可以达成攻击效果，如SQL注入、溢出攻击等），使得IDS与防火墙联动在实际应用中的效果不显著。于是就有下面的一种想法，如图1所示。

无连接攻深层分IPS在线部深层攻击低层分L严％:•呻即mrscm：在线部；入侵威胁无连接攻深层分IPS在线部深层攻击低层分L严％:•呻即mrscm：在线部；入侵威胁ids|旁路部rI探层分I冠吕7.'J'■^―k»-图1IPS的起源这就是IPS产品的起源：一种能防御防火墙所不能防御的深层入侵威胁（入侵检测技术）的在线部署（防火墙方式）安全产品。而为什么会有这种需求呢？是由于用户发现了一些无法控制的入侵威胁行为，这也正是IDS的作用。入侵检测系统（IDS）对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。入侵防御系统（IPS）对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。这也解释了IDS和IPS的关系，并非取代和互斥，而是相互协作：没有部署IDS的时候，只能是凭感觉判断，应该在什么地方部署什么样的安全产品，通过IDS的广泛部署，了解了网络的当前实时状况，据此状况可进一步判断应该在何处部署何类安全产品（IPS等）。IPS应该看重那些方面的功能？有些人认为：“IPS应该具备各种扩展功能，ACL、路由、NAT,—个都不能少”。“IPS最重要的就是性能了，其他的都不重要”。入侵防御系统作为串接部署的设备，确保用户业务不受影响是一个重点，错误的阻断必定意味着影响正常业务，在错误阻断的情况下，各种所谓扩展功能、高性能都是一句空话。这就引出了IPS设备所应该关心的重点一一精确阻断，即精确判断各种深层的攻击行为，并实现实时的阻断。精确阻断解决了自ips概念出现以来用户和厂商的最大困惑:如何确保IPS无误报和滥报，使得串接设备不会形成新的网络故障点？而作为一款防御入侵攻击的设备，毫无疑问，防御各种深层入侵行为是第二个重点，这也是IPS系统区别于其他安全产品的本质特点；这也给精确阻断加上了一个修饰语：保障深层防御情况下的精确阻断，即在确保精确阻断的基础上，尽量多地发现攻击行为（如SQL注入攻击、缓冲区溢出攻击、恶意代码攻击、后门、木马、间谍软件），这才是PS发展的主线功能。如何确保对深层入侵行为的准确判断？刚刚推出入侵防御系统的专业安全厂商有着自己独特的技术和专利。的技术专家介绍说，依托多年以来在入侵检测技术方面的深厚积累独创性地建立了柔性化检测机制，在确保精确判定攻击行为的基础上，涵盖了各种攻击手法类型。我们知道常用的攻击检测方法有两种，一种方法是通过定义攻击行为的数据特征来实现对已知攻击的检测，其优势是技术上实现简单、易于扩充、可迅速实现对特定新攻击的检测和拦截；但仅能识别已知攻击、抗变种能力弱。另一种方法是通过分析攻击产生原理，定义攻击类型的统一特征，能准确识别基于相同原理的各种攻击、不受攻击变种的影响，但技术门槛高、扩充复杂、应对新攻击速度有限。两种检测机制如图2所示。威跡威击•叩嘟t・基于特征的检测机制基于原理的檢测机制•忧势-简单r扩充迅捷，对各接新攻击的应变速度更怏•黔势-田能识别已知的攻击-检测面宕，毎牛特征应对的攻击数少-动攻击特征不唯一，不易時禽识别-抗变种鸵力霸•特点-特征姿，捡测方洽就要要\-能识别同原理的未如淮击:--不受变飛攻击的影晌!-检测面广，毎个原理应对攻击数驾；-能蒂确识别特征不唯一茁攻击!\•劈勢I!-由于技术门檻高r扩充复杂r应对新攻I:击速產有眼[•特点]\-特征变，檢测方注不用变}动态的检测以套应变詡态的检测以不一〒产娈精雄阴断不全面精确阻断扩充复杂图2基于特征和原理的检测机制对比融合“基于特征的检测机制”和“基于原理的检测机制”形成的“柔性检测”机制，它最大的特点就是基于原理的检测方法与基于特征的检测方法并存，有机组合了两种检测方法的优势。这种融合不仅是一个两种检测方法的大融合，而且细分到对攻击检测防御的每一个过程中，在抗躲避的处理、协议分析、攻击识别等过程中都包含了动态与静态检测的融合如图3所示。城躲避处理..Jr-Ji"14fc-Hri、•■■•r-H.</*%£1H":H会话内会话阎无f\=:缝关联舟析:瞬本\扭文算■组::非标虎端口的协H皐于漏洞菠利年：以不变危万变[攻击还原处理；：议包炽别i:的原理识别攻击,:b+HSQL注入玫击原$i*hau■■w■ra■■i^iuuuiin■■ra^Ivui埋的识别篡法；……一——厂"「n：1T、H玫击怖为特征库1'n基于端口识别:EJ::事件特孤自定刎:j动态:拟花编码识別::!永变应变;■-北标准协似ji待毒特征澤:,1司服器1:;U:\坏境朋二?靈；<<|/宀?>*L.„.弓他”-图3柔性检测机制原理通过运用柔性检测机制，入侵防御系统进一步增强了设备的抗躲避能力、精确阻断能力、变形攻击识别能力和对新攻击应变能力，提高了精确检测的覆盖面。当然，前面提到的扩展功能和高性能，也是入侵防御系统所必需关注的内容，但也要符合产品的主线功能发展趋势。如针对P2P的限制：P2P作为一种新兴的下载手段，得到了极为广泛的运用，但由无限制的P2P应用会影响网络的带宽消耗，并且还随此带来知识产权、病毒等多种相关问题。而实现对P2P的控制和限制，需要较为深入的应用层分析，交给IPS来限制、防范，是一个比较恰当的选择。而ACL控制、路由、NAT等，这些都是防火墙可以完成的工作，在IPS上来实现这些功能，就有画蛇添足之嫌了。性能表现是IPS的又一重要指标，但这里的性能应该是更广泛含义上的性能：包括了最大的参数表现和异常状况下的稳定保障。也就是说，性能除了需要关注诸如“吞吐率多大？”，“转发时延多长？”，“一定背景流下检测率如何？”等性能参数表现外，还需要关注：“如果出现了意外情况，怎样/多快能恢复网络的正常通讯？”，这个问题也是IPS出现之初被质疑的一个重点。串接设备出现故障和旁路设备不一样，是会影响到正常业务运营的，而做深层分析的串接设备更加如此，在长时间做大量数据深度分析的情况下，如何确保通讯的顺畅？如何确保出现异常情况后通讯的顺畅？入侵防御系统通过内置硬件Watchdog、软件监控进程，对系统的异常实时监控和处理,实现了软件和硬件的双BYPASS功能，在各种异常情况下确保了网络的通畅，部署后不增加网络故障点。IPS始终遵循最短时间优先原则，调度任务、算法和CPU时间，具体如图4所示。

图4IPS的性能表现IPS的未来发展方向是什么？明确了IPS的主线功能是深层防御、精确阻断后，IPS未来发展趋势也就明朗化了：不断丰富和完善IPS可以精确阻断的攻击种类和类型,并在此基础之上提升IPS产品的设备处理性能。而在提升性能方面存在的一个悖论就是：需提升性能，除了在软件处理方式上优化外，硬件架构的设计也是一个非常重要的方面，目前的ASIC/NP等高性能硬件，都是采用嵌入式指令+专用语言开发，将已知攻击行为的特征固化在电子固件上，虽然能提升匹配的效率，但在攻击识别的灵活度上过于死板（对变种较难发现），在新攻击特征的更新上有所滞后（需做特征的编码化）。而基于开放硬件平台的IPS由于采用的是高级编程语言，不存在变种攻击识别和特征更新方面的问题，但在性能上存在处理效率瓶颈：暂时达不到电信级骨干网络的流量要求。所以，入侵防御系统的未来发展方向应该有以下两个方面：第一、更加广泛的精确阻断范围：扩大可以精确阻断的事件类型，尤其是针对变种以及无法通过特征来定义的攻击行为的防御。第二、适应各种组网模式：在确保精确阻断的情况下，适应电信级骨干网络的防御需求。4、VPN技术SSLVPN与IPSecVPN是目前流行的两类Internet远程安全接入技术，它们具有类似功能特性，但也存在很大不同。SSL的“零客户端”解决方案被认为是实现远程接入的最大优势，这对缺乏维护大型IPSec配置资源的用户来说的确如此。但SSL方案也有不足，它仅支持以代理方式访问基于Web或特定的客户端/服务器的应用。由服务器直接操纵的应用，如NetMeeting以及一些客户书写的应用程序，将无法进行访问。IPSec方案安全级别高基于Internet实现多专用网安全连接，IPSecVPN是比较理想的方案。IPSec工作于网络层，对终端站点间所有传输数据进行保护，而不管是哪类网络应用。它在事实上将远程客户端“置于”企业内部网，使远程客户端拥有内部网用户一样的权限和操作功能。IPSecVPN要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备，这大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。IPSecVPN还能减轻网管负担。如今一些IPSec客户端软件能实现自动安装，不需要用户参与。VPN服务器能够为终端用户接入设备自动安装和配置客户端软件包，因而无论对网管还是终端用户，安装过程都大为简化。IPSecVPN应用优势SSL用户仅限于运用Web浏览器接入，这对新型基于Web的商务应用软件比较合适，但它限制了非Web应用访问，使得一些文件操作功能难于实现，如文件共享、预定文件备份和自动文件传输。用户可以通过升级、增加补丁、安装SSL网关或其它办法来支持非Web应用，但实现成本高且复杂，难以实现。IPSecVPN能顺利实现企业网资源访问，用户不一定要采用Web接入（可以是非Web方式），这对同时需要以两种方式进行自动通信的应用程序来说是最好的方案。IPSec方案能实现网络层连接，任何LAN应用都能通过IPSec隧道进行访问，因而在用户仅需要网络层接入时，IPSec是理想方案。如今有的机构同时采用IPSec和SSL远程接入方案，IT主管利用IPSecVPN实现网络层接入，进行网络管理，其他人员要访问的资源有限，一般也就是电子邮件、传真，以及接入公司内部网（Web浏览），因而采用SSL方案。这正是充分利用了IPSec的网络层接入功能。IPSecVPN与SSLVPN优劣比较IPSecVPN和SSLVPN各有优缺点。IPSecVPN提供完整的网络层连接功能，因而是实现多专用网安全连接的最佳选项；而SSLVPN的“零客户端”架构特别适合于远程用户连接，用户可通过任何Web浏览器访问企业网Web应用。SSLVPN存在一定安全风险，因为用户可运用公众Internet站点接入；IPSecVPN需要软件客户端支撑，不支持公共Internet站点接入，但能实现Web或非Web类企业应用访问。MetaGroup认为，不能简单地给IPSec与SSL方案的优劣下定论。客户在关注应用方案本身的同时，还应考虑远程机器外围设备的安全性，如是否配置有个人防火墙和反病毒防护系统。IT主管需要综合评估商务应用需求，以决定采纳哪类VPN策略。IPSecVPN与SSLVPN技术对比有别于传统VPN的另外一种VPN实现技术是采用基于SSL的VPN。这种基于SSL的VPN提供了与IPSecVPN近似的安全性。SSLVPN如何工作SSLVPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上，那么当用户在浏览器上输入一个URL后，连接将被SSL代理服务器取得，并验证该用户的身份，然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。SSLVPN的劣势由于是一种相对来说还没有大量应用的技术，目前能够提供相应产品和服务的厂商也不多，那么SSLVPN这种技术与IPSecVPN相比，究竟有什么劣势呢？在这里做一个简要的分析。SSLVPN应用的局限性很大，只适用于数据库一应用服务器一Web服务器一浏览器这一种模式。在部署方式、保护范围、认证方式上限制很多，这也是SSLVPN市场有限的原因之一另外，具体到我们国家，国家商用密码管理部门有明确的规定（比如国务院273号令），表明我国在政策上就不允许使用那些采用DES的SSLVPN技术。SSLVPN的问题1、SSLVPN的认证方式比较单一，只能采用证书，而且一般是单向认证。支持其它认证方式往往要进行长时间的二次开发。IPSecVPN认证方式更为灵活（口令、RADIUS、令牌等）。2、SSLVPN只能进行认证和加密，不能实施访问控制，建立隧道后，管理员对用户不能进行任何的限制。而集成防火墙的VPN则可以根据用户的身份和角色，在其访问内部资源（主机、数据库）进行访问控制和安全审计，这也是用户最为关心的一点。3、要实现网络一网络的安全互联，只能考虑采用IPSecVPN。4、应用层局限性SSLVPN的另一个主要局限在于用户只能访问基于Web服务器的应用，而IPSecVPN却几乎可以为所有的应用提供访问，包括客户端/服务器模式和某些传统的应用。一个企业往往有很多种应用（0A、财务、销售管理、ERP，很多并不基于Web），单纯只有Web应用的极少。一般企业希望VPN能达到局域网的效果（比如网上邻居，而SSLVPN只能保护应用层协议，如WEB、FTP等），保护更多的应用这点，SSLVPN根本做不到。5、SSLVPN需要CA的支持，企业必须外购或自己部署一个小型的VPN系统。对于一个企业来说（哪怕是IT企业）证书的管理也是一件相当复杂的工作。6、性能SSLVPN是应用层加密，性能比较差。目前，VPN可以达到千兆甚至接近10G,而SSLVPN由于是应用层加密，即使使用加速卡，通常只能达到300M左右的性能。基于以上分析，SSLVPN所具有的先天局限性导致了在大范围部署的VPN方案中，SSLVPN远远不能解决用户的需求，所以希望用户在选择产品的时候能够认真的考虑并仔细选择。要了解SSLVPN与IPSecVPN到底有哪些联系与区别，首先还是先来回顾一下传统的IPSecVPN方案。IPSec的英文全名为“InternetProtocolSecurity”，中文名为“因特网安全协议”，这个安全协议是VPN的基本加密协议，它为数据在通过公用网络（如因特网）在网络层进行传输时提供安全保障。通信双方要建立IPSec通道，首先要采用一定的方式建立通信连接。因为IPSec协议支持几种操作模式，所以通信双方先要确定所要采用的安全策略和使用模式，这包括如加密运算法则和身份验证方法类型等。在IPSec协议中，一旦IPSec通道建立，所有在网络层之上的协议在通信双方都经过加密，如TCP、UDP、SNMP、HTTP、POP、AIM、KaZaa等，而不管这些通道构建时所采用的安全和加密方法如何。IPSec的主要不足（1）安全性能高，但通信性能较低因为IPSec安全协议是工作在网络层的，不仅所有网络通道都是加密的，而且在用户访问所有公司资源时，就像采用专线方式与公司网络直接物理连接一样。你可以或者不想让你的合作伙伴或者远程员工成为您的网络一部分，IPSec不仅使你正在通信的那一很小的部分通道加密，而是对所有通道进行加密。所以在在安全性方面比SSLVPN好，但整体通信性能却因安全性受到了影响，不过安全性方面始终高于性能的，这也是目前IPSecVPN仍为主流的原因之一。（2）需要客户端软件在IPSecVPN中需要在每一客户端安装特殊用途的客户端软件，用这些软件来替换或者增加客户系统的TCP/IP堆栈。在许多系统中，这就可能带来了与其他系统软件之间兼容性问题的风险，例如木马程序所带来的安全性风险，特别是在这些客户端软件是从网站上下载，而且不是经过专门的IT人员安装的情况下。解决IPSec协议的这一兼容性问题目前还缺乏致的标准，几乎所有的IPSec客户端软件都是专有的，不能与其它兼容。在一些情形中，IPSec安全协议是在运行在网络硬件应用中，在这种解决方案中大多数要求通信双方所采用的硬件是相同的，IPSec协议在硬件应用中同样存在着兼容性方面的问题。并且，IPSec客户端软件在膝上电脑或者桌面系统中的应用受到限制。这种限制限制了用户使用的灵活性，在没有装载IPSec客户端系统的远程用户中用户不能与网络进行VPN连接。（3）安装和维护困难IPSec安全协议方案需要大量的IT技术支持，包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSecI安全协议进行的VPN远程访问提供服务。（4）实际全面支持的系统比较少虽然已有许多开发的操作系统提出对IPSec协议的支持，但是在实际应用是，IPSec安全协议客户的计算机通常只运行基于Windows系统，很少有运行其它PC系统平台的，如Mac、Linux、Solaris等。为什么要用SSL，而不用IPSecVPN?虽然目前并不是所有，也不大多数用户采用SSL代理方式进行VPN通信，但是使用SSLVPN的用户数却在不断增加，有些是原来一直采用IPSecVPN的，原因主要有以下几个方面：（1）不需要客户端软件和硬件需求在SSL代理中的一个关键优势就是不需要在客户端安装另外的软件，而只需要在服务器端安装相应的软件和硬件，然后通过服务器向客户端发布oSSL代理可以使用于支持SSL技术的标准Web浏览器和email客户中。（2）容易使用，容易支持Web界面在今天的工厂中，有许多Web浏览器和支持SSL的email客户端，包括Windows、Macintosh、Linux/UNIX、PDAs，甚至到蜂窝电话都可以通过SSL协议进行通信。因为这些都是人们已非常熟悉的，这样就可以大大节省培训费用。

端到端vs.端到边缘安全IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全，不管怎样，所有运行在内部网络的数据是透明的，包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间建立的，确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。这两种VPN方式的通道安全示意图如图1所示。IPSec的端到边缘通道安全SSLIPSec的端到边缘通道安全SSL的端到端通道安全IntentIhtemstIntentIhtemstCLivnfni-HriU1!!Jtt!甸〜咖>iWllhLam-Ki:Izh*-li.bKhtrufcvCHriilrai:rr-dEirtwarttuL:CLivnfni-HriU1!!Jtt!甸〜咖>iWllhLam-Ki:Izh*-li.bKhtrufcvCHriilrai:rr-dEirtwarttuL:11^-1■hlZ9ClWebWak'AUbIrhni**i»nriprOctl>eIrtemrt赴亜"itauihi**il«r-"-n-iu/gri障#何1宿BiritoArludiiiDiLKu图190%以上的通信是基于Web和Email的近呼90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信，另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用，属非因特网应用。SSLVPN与IPSecVPN的比较列表下表是SSLVPN与IPSecVPN主要性能比较，从表中可以看出各自的主要优势与不足。

选项SSLVPNIPSecVPN身份验证・单向身恳验证■艰向身份验证■数字证书■孜向身份验证■数字证书仙密•强加密■基于浏览器・强加密■依靠执行全程安全性-端到端安全•从客尸到资源端全程加密・网貉边緣到客戶端■仅对从客户到关之间通道加可访问性选用于任何时间、任何地点访问限制适用于已经定安好受控用尸的访问费用■低（无需任何附加客户端软件）■高（需要背理客户端软件）安装■即插即用安装■无需任何阳加的客尸端软、硬件安装■通帘需要长时间的配置■需要客户端软件或者硬件用户的易使用性■对用户非常友好，使用非常熟悉的We浏斷一器■无需终端用户的培训■对没有相应技术的用尸比较困难・需要培训支持的应用■基于刊已匕的应用・文件共李■E-mail■所有基于协兪的服务用户客户.合作怏伴用戶、远程用户、供应商等更适用于企业內部使用可伸缩性容易配詈和扩展在服务器端客易实现由伸缩，在客端比较困难5、网页防篡改技术比较目前市场上常见的网页防篡改技术有以下三种：外挂轮询技术利用一个网页读取和检测程序，以轮询方式读出要监控的网页，与真实网页相比较来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。核心内嵌技术将篡改检测模块内嵌在Web服务器软件里，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予以报警和恢复。事件触发技术利用操作系统的文件系统或驱动程序接口，在网页文件的被修改时进行合法性检查，对于非法操作进行报警和恢复。5.1、形象性描述Web服务器与大楼我们把Web服务器看成是一个美术馆大楼，目录是大楼的楼层和房间，每个网页文件都是房间挂着的画作。这些画作每天在由工作人员不断更新，每天也有成千上万的借阅者通过借阅口来取出和阅读这些画作。网页防篡改系统的目标就是保证人们看到的是真实的画作，而不是赝品甚至反动宣传品。外挂轮询技术大楼配备了一个检查员进行巡检，他以一个普通借阅者的身份不停地在借阅处调取每个房间的每副画作，与手里的真实画作相比较里进行检查，发现有可疑物品即进行报警。这种方式的显著弱点是：当大楼规模很大，房间和画作很多时，他会忙不过来。对于特定的一幅画作，两次检查的时间间隔会很长，不法分子完全有机会更换画作，对借阅者造成严重影响。核心内嵌技术大楼在借阅口处配备一个检查员，他对每一个调出的画作进行检查，发现有可疑画作即阻止它的流出。这种方式的显著优点是：每副画作在流出时都进行检查，因此可疑画作完全没有被借阅者看到的可能；相应弱点是，由于存在检查手续，画作在流出时会耽误时间。事件触发技术大楼在正门进口处配备一个检查员，他对每一个进入的画作进行检查，发现有可疑物品即进行报警。这种方式的显著优点是：防范成本很低，但缺点是：美术馆大楼的结构非常复杂，不法分子通常不会选择正门进来，他会从天花板、下水道甚至利用大楼结构的薄弱处自己挖个洞进来，并且还不断会有新的门路被发现，可见防守进口的策略是不能做到万无一失的。另外，非法画作一旦混进了大楼，就再也没有机会进行安全检查了。5.2、技术评估技术对比外挂轮询技术核心内嵌技术事件触发技术访问篡改网页可能不可能可能服务器负载中低低带宽占用中无无绕过检测机制不可能不可能可能防范连续篡改攻击不能能不能保护所有网页不能能能动态网页脚本不支持支持支持适用操作系统所有所有受限上传时检测不能能受限断线时保护不能能不能访问被篡改网页•外挂轮询技术：无法阻止公众访问到被篡改网页，它只能在被篡改后一段时间发现和进行恢复，因此公众有很大可能访问到被篡改网页。核心内嵌技术：守住Web网页流出的最后一道关口，因此能够完全杜绝被篡改的网页被公众访问到，真正做到万无一失。事件触发技术：将安全保障建立在“网页不可能被隐秘地篡改”这种假设上，因此也没有对网页流出进行任何检查，在一些情形下（具体情形见下文），公众是有可能访问到被篡改网页的。服务器负载•外挂轮询技术：由于从外部不断地和独立地扫描Web服务器文件，因此对Web服务器形成相当的负载，并且扫描频度（亦即安全程度）和负载总是矛盾的。•核心内嵌技术：篡改检测模块内嵌于Web服务器软件里，Web服务器软件读出网页文件后，由篡改检测模块进行水印比对，因此要占用一定CPU计算时间。但这个计算是在内存中进行的，比起Web服务器软件从硬盘中读取网页文件的操作来，额外产生的负载是非常小的。事件触发技术：由于只在正常网页发布时进行安全检查，因此对网页访问的影响几乎为零，带宽占用外挂轮询技术：从外部独立检测网页，因此需要占用访问的网络带宽。核心内嵌技术和事件触发技术：检测都在服务器本机上进行，不占用网络带宽。绕过检测机制•外挂轮询技术：由外部主机进行，不可能绕过检测。•核心内嵌技术：整合在Web服务器软件里的，对每一个网页都进行篡改检查,不可能有网页绕过检测机制。事件触发技术：并不能确保捕获对文件的所有方式的修改（例如直接写磁盘直接写内核驱动程序、利用操作系统漏洞等），非常容易被专业黑客很容易绕过；而且一旦成功，它没有任何手段来察觉和恢复。它的技术特点决定了它类似于防病毒工具（以黑防黑）而不是专门针对网站保护的系统。连续篡改攻击有意进行恶意攻击的黑客可以利用其他技术的扫描间隔来进行连续的篡改攻击，即在网页被恢复后立即重新篡改网页。外挂轮询技术：由于重篡改过程可以利用程序自动和连续进行，并只针对一个重要网页（例如网站首页）进行，因此即使的扫描时间间隔设置得再小（例如1分钟），也无法阻止篡改后的网页被公众访问到。核心内嵌技术：在每次输出网页时都进行完整性检查，如有变化则阻断发送因此，无论连续攻击多么迅速和频繁，都无法使公众看到被篡改的网页。•事件触发技术：对Web服务器软件没有控制能力，它发现篡改后没有办法去协调Web服务器工作，对于大规模或精心策划的攻击是无能为力的。动态网页脚本•由篡改检测模块进行水印比对，因此要占用一定CPU计算时间。但这个计算是在内存中进行的，比起Web服务器软件从硬盘中读取网页文件的操作来，额外产生的负载是非常小的。事件触发技术：由于只在正常网页发布时进行安全检查，因此对网页访问的影响几乎为零，额外占用的服务器负载也基本上为零。目前的网站越来越多地使用动态技术（例如：ASP、JSP、PHP）来输出网页。动态网页由网页脚本和内容组成：网页脚本以文件形式存在于Web服务器上；网页内容则取自于数据库。•外挂轮询技术：所监测到的动态网页是网页脚本和内容混合后的结果，而网页内容是根据访问情况时时在变化的，外挂轮询技术又无法区分网页脚本和内容，因此无法实现对动态网页的防篡改保护。•核心内嵌技术和事件触发技术：可以直接从Web服务器上得到动态网页脚本，不受变化的内容影响，因而能够象静态网页一样保护动态网页脚本。断线时保护•核心内嵌技术：即使在黑客中断了Web服务器和备份网页服务器连接的情况下，也可以阻止被篡改网页的流出，最大程度达到保证效果。事件触发技术：如果黑客中断了Web服务器和备份网页服务器的连接，这个被篡改的网页就没法即时恢复，而与此同时，大量的公众可能已经访问到了这个网页，造成严重后果。6、网管软件内网管理产品可以从监控、管理、维护三方面管理全网计算机。该产品的远程监控功能可以实时监控网络各终端的使用情况，解决了违规内网外联、内外网互联；禁用USB移动存储；全网查杀病毒、木马、流氓软件、间谍软件和未知软件；禁用光驱、禁用软驱；禁用管理员权限、禁用网络共享、禁用自动播放等困扰许多单位的安全管理问题的管理手段，并提供流量监控、注册表监控等运行维护功能，减轻网管日常工作量，是把内网安全管理和内网运维管理有效结合并实现的适合中国国情的网络综合管理类产品。6.1、网管理软件的功能列表内网管理软件包含了许多实用的功能，这些功能加强了网络秩序，增加了网络的可管理性，使您无论处于一个分布式网络环境还是一个集中式网络环境都可以方便地通过网络实施全网的统一管理要求。

首先，内网管理软件提供了方便的网络监控功能，其中包括屏幕监控、屏幕拷贝、上网网址监控、文件监控和打印监控等功能。网络监控功能实时屏幕监控远程对联网的计算机实施屏幕监视，可实时了解到该客户端的计算机使用情况，也可获取敏感文件使用中是否外泄的情况。远程屏幕拷贝远程抓取联网的计算机的屏幕图像，图像自动传输并存放在管理平台，可在任意时间查看网络中任意计算机使用计算机的屏幕图像信息。上网网址监控远程提取联网的计算机的上网信息，包括上网网址及其上网历史记录和Cookie信息等。由于采用了不同的提取方法，所以，可恢复部分已删除的上网记录。避免逃避管理的行为。文件监控监视并记录计算机内发生的文件操作,当文件从一台计算机拷贝到本地计算机时或者从一个文件夹拷贝到另外一个文件夹时，本地计算机会产生新增文件事件上报管理平台；本地文件或者文件夹删除了，本地计算机会产生删除文件事件上报管理平台；修改了本地文件内容，本地计算机会产生文件修改事件上报管理平台；把本地文件夹或者文件改名后，本地计算机会产生重命名文件事件上报管理平台；所有计算机的文件监控事件集中在管理平台后，管理平台还提供了关键字查询功能，可了解一个关键文件在网络中的扩散到哪几台计算机了的文件扩散情况。还提供了文件过滤规则，能够仅监控符合过滤规则的文件；也提供除了符合过滤规则的文件之外所有文件变化的监控。打印监控对本地打印机或者网络打印机的打印行为进行监控，记录打印的文件名、打印人、打印时间等日志信息。可以提供监控日志报表功能和查询统计功能。其次，内网管理软件提供了统一的管理控制功能，其中包括禁用USB、禁用光驱、禁用软驱、禁止上网和禁止QQ等软件在网络中运行等功能。管理控制功能USB管可对全网计算机统一设置禁用USB等管理策略或者对指定一台计算机设置。管理

理策略仅对USB磁盘实时生效，不影响USB键盘、USB鼠标和USB打印机等的使用。管理策略分四种：（1）禁止使用。具体地，当计算机接上USB就自动阻断并移出，然后产生USB违规接入、阻断USB和USB移出事件上报给管理平台。（2）重启阻断。具体地，当计算机接上USB就立即重启，这是最具强制性的禁用USB的办法，如果不移出USB，计算机重启后仍然反复重启，直到移出为止；然后产生USB违规接入、USB重启阻断和USB移出事件上报给管理平台。（3）允许使用。具体地，当计算机接上USB可以像往常一样使用，但是产生USB接入和USB移出事件上报给管理平台。（4）允许并监视。当计算机接上USB可以像往常一样使用，但记录USB盘上的文件操作，如会记录拷进文件名、文件重命名、文件删除、文件修改等事件信息上报管理平台。这四种方案都可在计算机拔了网线离开网络后仍然有效，并且在计算机重新联网后，仍然把离开网络后的日志记录上报给管理平台。光驱管理可对全网计算机统一设置禁用光驱或者启用光驱等两种管理策略或者对指定一台计算机设置。策略变化后，需要计算机重启以后才生效。管理策略对CD-ROM、DVD或者刻录机都生效。软驱管理可对全网计算机统一设置禁用软驱或者启用软驱等两种管理策略或者对指定一台计算机设置。策略变化后，需要计算机重启以后才生效。上网管理（非法外联管理）（1）拨号上网阻断管理。可阻止通过MODEM拨号上网绕过防火墙管理的行为。可设置全网计算机统一禁止拨号或者允许拨号等管理策略或者设置指定一台计算机。禁止策略下，拨号实时阻断。管理策略对PSTN普通电话线拨号上网、ISDN拨号上网、无线MODEM拨号上网、ADSL拨号上网均生效。（2）双网卡通过代理服务器上网阻断管理。（3）离开局域网的单网卡计算机使用互联网网线上网实时记录“连通互联网”日志，回到内部局域网后上报离网时的日志。通过这种方式，基本上可以强制内网的计算机不得私自上网。（4）另外，上一部分的网络监控中描述的上网网址监控功能能够远程提取计算机的上网信息，包括上网网址及其上网历史记录和Cookie信息等，同样也加强了上网管理。禁止QQ等软件可对全网计算机统一设置禁用比如QQ.exe软件进程等管理策略或者对指定一台计算机设置。管理策略分三种：（1）禁止运行。这个策略就是一台计算机的单机策

运行略。策略到达计算机后，计算机立即自动封杀该进程。（2）统一禁止运行。这个策略对网络中所有计算机生效。（3）单机允许。如果在统一禁止运行的情况下，这个策略就是对一台计算机特殊的允许运行该进程的策略。进程封杀的策略设置后一直生效，除非删除才能够解除策略。再次，内网管理软件提供了终端PC的维护工具功能，其中包括远程桌面维护功能、管理和分配IP地址功能、管理和分配代理服务器功能、管理和分配计算机名功能、进程知识库功能、注册表监控功能、补丁分发和全网终端流量监控等功能。终端PC维护工具远程桌也称为远程协助或者桌面工具。对网络中一台计算机进行远程桌面，可用鼠标键面管理盘远程操作该计算机，远程用户可用本地的鼠标键盘同时操作该计算机。远程桌面功能具有两种工作模式，一种是需要对方确认的远程桌面工作模式，一种是不需要对方确认的无人值守工作模式。所有的远程桌面的请求和确认都记录日志信息提交给管理平台。本软件的远程桌面功能可管理局域网内计算机，还可以管理跨互联网的具有私有IP地址上网的另外一台计算机，这是与众不同之处。管理和可锁定远程计算机的IP地址，锁定后远程用户无法自行修改。可远程分配和修改分配IP计算机的IP地址，分配和修改后自动锁定，远程用户无法更改。锁定后朿略一直地址生效，除非删除才能够解除锁定。管理和可锁定远程计算机的网关地址和DNS地址，锁定后远程用户无法自行修改。可远分配网程分配和修改计算机的网关地址和DNS地址，分配和修改后自动锁定，远程用户关地无法更改。锁定后策略一直生效，除非删除才能够解除锁定。址、DNS地址管理和可锁定远程计算机的代理服务器地址，锁定后远程用户无法自行修改。可远程分分配代配和修改计算机的代理服务器地址，分配和修改后自动锁定，远程用户无法更改。理服务锁定后策略一直生效，除非删除才能够解除锁定。器地址

管理和分配计算机名可锁定远程计算机的计算机名（又称：机器名），锁定后远程用户无法自行修改。可远程分配和修改计算机的计算机名，分配和修改后自动锁定，远程用户无法更改。锁定后策略一直生效，除非删除才能够解除锁定。可发现网络中异常进程的进程知识库全网计算机将进程列表集中提交给管理平台，在管理平台可用别名标识一个进程，如用〃系统服务〃来标识svchost.exe,标识后，相同进程均自动标上〃系统服务〃的名字。这个就是建立进程知识库的过程。很快，网络中所有进程都有了标记。此后，一旦网络中出现异常进程，例如是一个未知病毒或者未知木马，则因其没有标记而突出出来，可以把注意力集中在这些异常进程中，预先感知网络中可能会出现的病毒感染、扩散或者木马潜伏等异常变化。进程知识库可以独立导入和导出，方便父流和维护。注册表监控病毒、木马在计算机里潜伏，需要在注册表里面有引导项。比如：有的病毒木马会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中增加引导项。注册表监控功能通过对注册表的引导项乃至任意项值的监控，可极大地提高对病毒木马以及计算机其它运行情况的监控能力。另外，注册表知识库的功能，同样也能够为发现网络异常提供知识积累，注册表知识库可独立导入和导出，方便父流和维护。补丁分发微软免费提供的WSUS是网络化补丁自动分发的标准解决方案，WSUS在域网络环境下能够容易地靠域的组策略来统一部署补丁自动分发，但是工作组环境下需要在每个终端上手工逐台配置。内网管理提供了辅助的便利的全网集中部署补丁自动分发的管理手段。流量监控网络流量是衡量网络是否畅通的主要指标。但是容易得到一台两台电脑流量，诺大一个网络的各个节点的网络流量并不容易得到。基于这种客观需求，内网管理软件提供了全网的终端节点流量监控、基于节点的流量排名，并能够对异常流量进行报警和节点阻断。可设置全网统一报警流量阈值，也可设置一台计算机报警阈值。对超过流量阈值的计算机可弹出报警窗口、可记录报警日志也提供了网卡阻断等多种管理方式。可设置阻断网卡的时间长度，时间到后将自动恢复联网。

最后，内网管理软件提供了主机审计功能，其中包括操作系统账户审计、操作系统事件日志审计、操作系统开放端口审计、陌生主机接入审计等功能。主机审计功能操作系统账户审计可记录操作系统账户信息及其隶属组信息，记录账户的禁用或者启用状态。操作系统日志审计可记录操作系统事件日志信息，所有计算机的事件日志集中在管理平台后，管理平台还提供了关键字查询功能，可了解包含关键字的日志出现在哪几台计算机了。操作系统开放端口审计可通过记录netstat的实时信息，了解终端PC开放了哪些端口，全网计算机打开的端口信息全部集中到管理平台后，管理平台可直观地掌握网络中是否出现了异常端口等情况。陌生主机接入审计可发现网络中陌生计算机的接入并记录日志。7、反垃圾邮件技术1、概述电子邮件是最常用的网络应用之一，已经成为网络交流沟通的重要途径。但是，垃圾邮件（spam）烦恼着大多数人，近来的调查显示，93%的被调查者都对他们接收到的大量垃圾邮件非常不满。一些简单的垃圾邮件事件也造成了很有影响的安全问题。日益增加的垃圾邮件现在会造成1年94亿美元的损失（来自chinabyte上一则新闻的数据），在一些文章表明，垃圾邮件可能会花费一个公司内每个用户600到1000美元。垃圾邮件随着互联网的不断发展而大量增长，不再像以前一样，只是小小的一个骚扰，现在的垃圾邮件可以说是铺天盖地了。最初，垃圾邮件主要是一些不请自来的商业宣传电子邮件，而现在更多的有关色情、政治的垃圾邮件不断增加，甚至达到了总垃圾邮件量的40%左右，并且仍然有持续增长的趋势。另一方面，垃圾邮件成了计算机病毒新的、快速的传播途径。而且目前世界上50%的邮件都是垃圾邮件，只有少数组织承担责任。很多反垃圾邮件的措施都被提出出来，但是只有非常少的被实施了。不幸的是，这些解决办法也都还不能完全阻止垃圾邮件，而且还对正常的邮件来往产生影响。1.1、什么是垃圾邮件？某种程度上，对垃圾邮件的定义可以是：那些人们没有意愿去接收到的电子邮件都是垃圾邮件。比如：*商业广告。很多公司为了宣传新的产品、新的活动等通过电子邮件的方式进行宣传。*政治言论。目前会收到不少来自其他国家或者反动组织发送的这类电子邮件，这就跟垃圾的商业广告一样，销售和贩卖他们的所谓言论。*蠕虫病毒邮件。越来越多的病毒通过电子邮件来迅速传播，这也的确是一条迅速而且有效的传播途径。*恶意邮件。恐吓、欺骗性邮件。比如phishing，这是一种假冒网页的电子邮件，完全是一种诡计，来蒙骗用户的个人信息、账号甚至信用卡。普通个人的电子邮箱怎么成为了垃圾邮件的目标呢，造成这样的结果有很多原因，比如在网站、论坛等地方注册了邮件地址，病毒等在朋友的邮箱中找到了你的电子邮箱，对邮件提供商进行的用户枚举，等等。通常情况下，越少暴露电子邮件地址越少接收到垃圾邮件，使用时间越短越少接收到垃圾邮件。一些无奈的用户就选择了放弃自己的邮箱而更换新的电子邮箱。1.2、安全问题垃圾邮件给互联网以及广大的使用者带来了很大的影响，这种影响不仅仅是人们需要花费时间来处理垃圾邮件、占用系统资源等，同时也带来了很多的安全问题。垃圾邮件占用了大量网络资源，这是显而易见的。一些邮件服务器因为安全性差，被作为垃圾邮件转发站为被警告、封IP等事件时有发生，大量消耗的网络资源使得正常的业务运作变得缓慢。随着国际上反垃圾邮件的发展，组织间黑名单共享，使得无辜服务器被更大范围屏蔽，这无疑会给正常用户的使用造成严重问题。垃圾邮件和黑客攻击、病毒等结合也越来越密切，比如，SoBig蠕虫就安装开放的，可以用来支持邮件转发的代理。随着垃圾邮件的演变，用恶意代码或者监视软件等来支持垃圾邮件已经明显地增加了。2003年12月31，巴西的一个黑客组织发送包含恶意javascript脚本的垃圾邮件给数百万用户，那些通过Hotmail来浏览这些垃圾邮件的人们在不知不觉中已经泄露了他们的账号。另外一个例子就是，近来IE的URL显示问题，在主机名前添加"%01"可以隐藏真实的主机地址，在被发布之后几个星期内就出现在垃圾邮件中了。越来越具有欺骗性的病毒邮件，让很多企业深受其害，即便采取了很好的网络保护策略，依然很难避免，越来越多的安全事件都是因为邮件产生的，可能是病毒、木马或者其他恶意程序。Phishing的假冒诡计对于普通使用者来说，的确很难作出正确的判断，但是造成的损失却是很直接的。2、反垃圾邮件技术已经存在的和在被提及的反垃圾邮件方法试图来减少垃圾邮件问题和处理安全需求。通过正确的识别垃圾邮件，邮件病毒或者邮件攻击程序等都会减少。这些解决方法采取多种安全途径来努力阻止垃圾邮件。Dr.NealKrawetz在Anti-SpamSolutionsandSecurity[ref1]文中将反垃圾邮件技术作了非常好的分类。当前的反垃圾邮件技术可以分为4大类：过滤器(Filter)、反向查询(Reverselookup)、挑战(challenges)和密码术(cryptography),这些解决办法都可以减少垃圾邮件问题，但是都有它们的局限性。本文将在下面的内容讨论这些技术以及一些主要技术的实现。2.1、过滤过滤(Filter)是一种相对来说最简单却很直接的处理垃圾邮件技术。这种技术主要用于接收系统(MUA,如OUTLOOKEXPRESS或者MTA,如sendmail)来辨别和处理垃圾邮件。从应用情况来看，这种技术也是使用最广泛的，比如很多邮件服务器上的反垃圾邮件插件反垃圾邮件网关、客户端上的反垃圾邮件功能等，都是采用的过滤技术。2.1.1、关键词过滤关键词过滤技术通常创建一些简单或复杂的与垃圾邮件关联的单词表来识别和处理垃圾邮件。比如某些关键词大量出现在垃圾邮件中，如一些病毒的邮件标题，比如:test。这种方式比较类似反病毒软件利用的病毒特征一样。可以说这是一种简单的内容过滤方式来处理垃圾邮件，它的基础是必须创建一个庞大的过滤关键词列表。这种技术缺陷很明显，过滤的能力同关键词有明显联系，关键词列表也会造成错报可能比较大，当然系统采用这种技术来处理邮件的时候消耗的系统资源会比较多。并且，一般躲避关键词的技术比如拆词，组词就很容易绕过过滤。2.1.2、黑白名单黑名单(BlackList)和白名单(WhiteList)。分别是已知的垃圾邮件发送者或可信任的发送者IP地址或者邮件地址。现在有很多组织都在做*bl(blocklist),将那些经常发送垃圾邮件的IP地址(甚至IP地址范围)收集在一起，做成blocklist,比如spamhaus的SBL(SpamhausBlockList),一个BL,可以在很大范围内共享。许多ISP正在采用一些组织的BL来阻止接收垃圾邮件。白名单则与黑名单相反，对于那些信任的邮件地址或者IP就完全接受了。目前很多邮件接收端都采用了黑白名单的方式来处理垃圾邮件，包括MUA和MTA，当然在MTA中使用得更广泛，这样可以有效地减少服务器的负担。BL技术也有明显的缺陷，因为不能在blocklist中包含所有的(即便是大量)的IP地址，而且垃圾邮件发送者很容易通过不同的IP地址来制造垃圾。HASH技术HASH技术是邮件系统通过创建HASH来描述邮件内容，比如将邮件的内容、发件人等作为参数，最后计算得出这个邮件的HASH来描述这个邮件。如果HASH相同，那么说明邮件内容、发件人等相同。这在一些ISP上在采用，如果出现重复的HASH值，那么就可以怀疑是大批量发送邮件了。基于规则的过滤这种过滤根据某些特征(比如单词、词组、位置、大小、附件等)来形成规则，通过这些规则来描述垃圾邮件，就好比IDS中描述一条入侵事件一样。要使得过滤器有效，就意味着管理人员要维护一个庞大的规则库。智能和概率系统广泛使用的就是贝叶斯(Bayesian)算法，可以学习单词的频率和模式，这样可以同垃圾邮件和正常邮件关联起来进行判断。这是一种相对于关键字来说，更复杂和更智能化的内容过滤技术。我将在下面详细描述这种在客户端和服务器中使用最广泛的技术。Bayesian贝叶斯算法在过滤器中，现在表现最好的应该是基于评分(score)的过滤器，因为我们很容易就可以明白对付狡猾的垃圾邮件，那些黑白名单、关键词库或者HASH等过滤器是多么的简单。评分系统过滤器是一种最基本的算法过滤器，也是贝叶斯算法的基本雏形。它的原理就是检查垃圾邮件中的词或字符等，将每个特征元素(最简单的元素就是单词，复杂点的元素就是短语）都给出一个分数（正分数），另一方面就是检查正常邮件的特征元素，用来降低得分的（负分数）。最后邮件整体就得到一个垃圾邮件总分，通过这个分数来判断是否spam。这种评分过滤器尽量实现了自动识别垃圾邮件的功能，但是依然存在一些不适应的问题：*特征元素列表通过垃圾邮件或者正常邮件获得。因此，要提高识别垃圾邮件的效果，就要从数百邮件中来学习，这降低了过滤器效率，因为对于不同人来说，正常邮件的特征元素是不一样的。*获得特征元素分析的邮件数量多少是一个关键。如果垃圾邮件发送者也适应了这些特征，就可能让垃圾邮件更象正常邮件。这样的话，过滤特征就要更改了。*每个词计算的分数应该基于一种很好的评价，但是还是有随意性。比如，特征就可能不会适应垃圾邮件的单词变化，也不会适应某个用户的需要。贝叶斯理论现在在计算机行业中应用相当广泛，这是一种对事物的不确定性描述，比如google计算中就采用了贝叶斯理论。贝叶斯算法的过滤器就是计算邮件内容中成为垃圾邮件的概率，它要首先从许多垃圾邮件和正常邮件中进行学习，因此，效果将比普通的内容过滤器更优秀，错报就会更少。贝叶斯过滤器也是一种基于评分的过滤器。但不仅仅是一种简单的计算分数，而更从根本上来识别。它采用自动建立特征表的方式，原理上，首先分析大量的垃圾邮件和大量的正常邮件，算法分析邮件中多种特征出现概率。贝叶斯算法计算特征的来源通常是：•邮件正文中的单词•邮件头（发送者、传递路径等）•其他表现，比如HTML编码（如颜色等）•词组、短语•meta信息，比如特殊短语出现位置等比如，正常邮件中经常出现单词AAA,但是基本不在垃圾邮件中出现，那么，AAA标示垃圾邮件的概率就接近0，反之则然。贝叶斯算法的步骤为：收集大量的垃圾邮件和非垃圾邮件，建立垃圾邮件集和非垃圾邮件集。提取特征来源中的独立字符串，例如AAA等作为TOKEN串并统计提取出的TOKEN串出现的次数即字频。按照上述的方法分别处理垃圾邮件集和非垃圾邮件集中的所有邮件。每一个邮件集对应一个哈希表，hashtable_good对应非垃圾邮件集而hashtable_bad对应垃圾邮件集。表中存储TOKEN串到字频的映射关系。计算每个哈希表中TOKEN串出现的概率P=(某TOKEN串的字频)/(对应哈希表的长度)综合考虑hashtable_good和hashtablejbad,推断出当新来的邮件中出现某个TOKEN串时，该新邮件为垃圾邮件的概率。数学表达式为：A事件邮件为垃圾邮件；tl,t2…….tn代表TOKEN串则P(A|ti)表示在邮件中出现TOKEN串ti时，该邮件为垃圾邮件的概率。设P1(ti)二ti在hashtable_good中的值P2(ti)二ti在hashtable_bad中的值则P(A|ti)=P2(ti)/[(P1(ti)+P2(ti)]；建立新的哈希表hashtable_probability存储TOKEN串ti到P(A|ti)的映射根据建立的哈希表hashtable_probability可以估计一封新到的邮件为垃圾邮件的可能性。当新到一封邮件时，按照步骤2,生成TOKEN串。查询hashtable_probability得到该TOKEN串的键值。假设由该邮件共得到N个TOKEN串，t1,t2.tn,hashtable_probability中对应的值为P1，P2，PN，P(A|tl,t2,t3……tn)表示在邮件中同时出现多个TOKEN串11,t2……tn时,该邮件为垃圾邮件的概率。由复合概率公式可得:P(A|tl,t2,t3……tn)=(P1*P2*……PN)/[P1*P2*……PN+(1-P1)*(1-P2)*……(1-PN)]当P(A|tl,t2,t3tn)超过预定阈值时，就可以判断邮件为垃圾邮件。当新邮件到达的时候，就通过贝叶斯过滤器分析，通过使用各个特征来计算邮件是spam的概率。通过不断的分析，过滤器也不断地获得自更新。比如，通过各种特征判断一个包含单词AAA的邮件是spam，那么单词AAA成为垃圾邮件特征的概率就增加了。这样，贝叶斯过滤器就有了自适应能力，既能自动进行，也可以用户手工操作，也就更能适应单个用户的使用。而垃圾邮件发送者要获得这样的适应能力就很难了，因此，更难逃避过滤器的过滤，但他们当然还是能够将邮件伪装成很普遍的正常邮件的样子。除非垃圾邮件发送者能去对某个人的过滤器进行判断，比如，采用发送回执的办法来了解哪些邮件被用户打开了等，这样他们就可以适应过滤器了。虽然贝叶斯过滤器还存在有评分过滤器的缺陷，但是它更优化了。实践也证明，贝叶斯过滤器在客户端和服务器中效果是非常明显的，优秀的贝叶斯过滤器能够识别超过99.9%的垃圾邮件。大多数目前应用的反垃圾邮件产品都采用了这样的技术。比如Foxmail中的贝叶斯过滤。局限性和缺点现行的很多采用过滤器技术的反垃圾邮件产品通常都采用了多种过滤器技术，以便使产品更为有效。过滤器通过他们的误报和漏报来分等级。漏报就是指垃圾邮件绕过了过滤器的过滤。而误报则是将正常的邮件判断为了垃圾邮件。完美的过滤器系统应该是不存在漏报和误报的，但是这是理想情况。一些基于过滤器原理的反垃圾邮件系统通常有下面的三种局限性：•可能被绕过。垃圾邮件发送者和他们用的发送工具也不是静态的，他们也会很快适应过滤器。比如，针对关键字列表，他们可以随机更改一些单词的拼写，比如（"强悍","弓虽悍"，"强-悍"）.Hash-buster（在每个邮件中产生不同的HASH）就是来绕过hash过滤器的。当前普遍使用的贝叶斯过滤器可以通过插入随机单词或句子来绕过。多数过滤器都最多只能在少数几周才最有效，为了保持反垃圾邮件系统的实用性，过滤器规则就必须不断更新，比如每天或者每周更新。•误报问题。最头痛的问题就是将正常邮件判断为垃圾邮件。比如，一封包含单词sample的正常邮件可能因此被判断为垃圾邮件。某些正常服务器不幸包含在不负责任的组织发布的blocklist对某个网段进行屏蔽中，而不是因为发送了垃圾邮件（xfocus的服务器就是这样的一个例子）。但是，如果要减少误报问题，就可能造成严重的漏报问题了。•过滤器复查。由于误报问题的存在，通常被标记为垃圾邮件的消息一般不会被立刻删除，而是被放置到垃圾邮件箱里面，以便日后检查。不幸的是，这也意味着用户仍然必须花费时间去察看垃圾邮件，即便仅仅只针对邮件标题。目前更严重的问题是，人们依然认为过滤器能有效阻止垃圾邮件。实际上，垃圾邮件过滤器并不能有效阻止垃圾邮件，在多数案例中，垃圾邮件依然存在，依然穿过了网络，并且依然被传播。除非用户不介意存在被误报的邮件，不介意依然会浏览垃圾邮件。过滤器可以帮助我们来组织并分隔邮件为垃圾邮件和正常邮件，但是过滤器技术并不能阻止垃圾邮件，实际上只是在"处理"垃圾邮件。尽管过滤器技术存在局限，但是，这是目前最为广泛使用的反垃圾邮件技术。2.2、验证查询SMTP在设计的时候并没有考虑到安全问题。在1973年，计算机安全还没有什么意义，那个时候能够有一个可执行的邮件协议已经很了不起了。比如，RFC524描述将SMTP作为独立协议的一些情况："虽然人们可以或者可能可以，以本文档为基础设计软件，但请恰如其分地进行批注。请提出建议和问题。我坚信协议中依然存在问题，我希望读者能够阅读RFC的时候能够将它们都指出来。"尽管SMTP的命令组已经发展了很长时间，但是人们还是以RFC524为基础来执行SMTP的,而且还都假定问题（比如安全问题）都会在以后被解决。因此直到2004年,源自RFC524中的错误还是依然存在，这个时候SMTP已经变得非常广泛而很难简单被代替。垃圾邮件就是一个滥用SMTP协议的例子，多数垃圾邮件工具都可以伪造邮件头，伪造发送者，或者隐藏源头。垃圾邮件一般都是使用的伪造的发送者地址，极少数的垃圾邮件才会用真实地址。垃圾邮件发送者伪造邮件有下面的几个原因：*因为是违法的。在多个国家内，发送垃圾邮件都是违法行为，通过伪造发送地址，发送者就可能避免被起诉。*因为不受欢迎。垃圾邮件发送者都明白垃圾邮件是不受欢迎的。通过伪造发送者地址，就可能减少这种反应。*受到ISP的限制。多数ISP都有防止垃圾邮件的服务条款，通过伪造发送者地址，他们可以减少被ISP禁止网络访问的可能性。因此，如果我们能够采用类似黑白名单一样，能够更智能地识别哪些是伪造的邮件，哪些是合法的邮件，那么就能从很大程度上解决垃圾邮件问题，验证查询技术正是基于这样的出发点而产生的。以下还会解析一些主要的反垃圾邮件技术，比如Yahoo!、微软、IBM等所倡导和主持的反垃圾邮件技术，把它们划分在反向验证查询技术中并不是很恰当，但是，从某种角度来说，这些技术都是更复杂的验证查询。2.2.1、反向查询技术从垃圾邮件的伪造角度来说，能够解决邮件的伪造问题，就可以避免大量垃圾邮件的产生。为了限制伪造发送者地址，一些系统要求验证发送者邮件地址，这些系统包括：反向邮件交换（RMX）]/internet-drafts/draft-danisch-dns-rr-smtp-03.txt>[/url]发送者许可（SPF）]/〉[/url]标明邮件协议（DMP）]http://www.pan-am.ca/dmp/〉[/url]这些技术都比较相近oDNS是全球互联网服务来处理IP地址和域名之间的转化。在1986年，DNS扩展，并有了邮件交换纪录（MX），当发送邮件的时候，邮件服务器通过查询MX纪录来对应接收者的域名。类似于MX纪录，反向查询解决方案就是定义反向的MX纪录（〃RMX〃一RMX,〃SPF〃一SPF,〃DMP〃一DMP）,用来判断是否邮件的指定域名和IP地址是完全对应的。基本原因就是伪造邮件的地址是不会真实来自RMX地址，因此可以判断是否伪造。2.2.2DKIM技术DKIM（DomainKeysIdentifiedMail）技术基于雅虎的DomainKeys验证技术和思科的InternetIdentifiedMailo雅虎的DomainKeys利用公共密钥密码术验证电子邮件发件人。发送系统生成一个签名并把签名插入电子邮件标题，而接收系统利用DNS发布的一个公共密钥验证这个签名。思科的验证技术也利用密码术，但它把签名和电子邮件消息本身关联。发送服务器为电子邮件消息签名并把签名和用于生成签名的公共密钥插入一个新标题。而接收系统验证这个用于为电子邮件消息签名的公共密钥是授权给这个发件地址使用的。DKIM将把这两个验证系统整合起来。它将以和DomainKeys相同的方式用DNS发布的公共密钥验证签名