網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù)，它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體，實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專(zhuān)家資源、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享，網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。

防火墻到底應(yīng)該有多“厚”？(3)

    

　　在特洛伊戰(zhàn)爭(zhēng)中，要不是特洛依人多事將木馬拖入城內(nèi)，也不會(huì)造成木馬屠城的慘��；不過(guò)在Internet的時(shí)代，防火墻城門(mén)是不能緊閉的，在某些程度上甚至是歡迎大家光臨的；控管只是要降低與外界的接觸面，并不能完全阻隔。因此提供外界的連線存取是有必要的，而依賴防火墻的連線存取控管，是否就可以免于黑客入侵了呢？

　　答案是否定的。防火墻可以阻擋一些入侵行為，但是并不能完全抵擋。依連線控管級(jí)別來(lái)分析，采用Packet Filtering或Stateful Inspection控管機(jī)制的防火墻，可輕易被偽裝成正常網(wǎng)絡(luò)程序端口號(hào)的后門(mén)程序欺瞞！Application Layer Gateway能阻擋的入侵行為最多，包含防止身分偽冒、數(shù)據(jù)包調(diào)包以及確保協(xié)定內(nèi)容的真實(shí)。但這些還是不夠，因?yàn)榧词箓鬏攦?nèi)容合乎協(xié)定標(biāo)準(zhǔn)，但是數(shù)據(jù)包內(nèi)容傳遞至遠(yuǎn)端系統(tǒng)后，系統(tǒng)的反應(yīng)卻不見(jiàn)得是正常的。

　　就如同上述的例子，A書(shū)店如果是兒童書(shū)店，而收到的雜志內(nèi)容卻是光怪陸離，或是色情暴力，這樣對(duì)于書(shū)店讀者來(lái)說(shuō)反應(yīng)是負(fù)面的，其實(shí)并不應(yīng)該收下這些雜志的。但因?yàn)槭匦l(wèi)并不負(fù)責(zé)書(shū)刊分級(jí)，他只管將東西傳送到目的地，A書(shū)店還是照單全收，書(shū)店也只好自行處理這些垃圾；有時(shí)也可能收到一大堆的垃圾雜志，堵住整間書(shū)店，以致不能正常營(yíng)業(yè)！

　　而在Internet的環(huán)境中，各Internet Service的問(wèn)題通常還更嚴(yán)重，我們稱(chēng)之為“弱點(diǎn)(Vulnerability)”或“漏洞”，黑客可以利用Internet Service的正常傳輸指令，夾帶的卻是系統(tǒng)所不能接收的內(nèi)容，來(lái)達(dá)到入侵系統(tǒng)有弱點(diǎn)的主機(jī)的目的。一旦入侵到內(nèi)部系統(tǒng)后，就有機(jī)會(huì)再入侵到其他系統(tǒng)。

　　這就是一副網(wǎng)絡(luò)木馬屠城圖：防火墻提供內(nèi)部的Web與Mail供外界存取，Internet使用者使用標(biāo)準(zhǔn)的程序或指令來(lái)達(dá)到連線的目的；黑客卻可以利用這些已開(kāi)啟的通道，對(duì)內(nèi)部Web Server與E-Mail Server進(jìn)行破壞，且一旦破壞成功后，又轉(zhuǎn)而破壞其他Unix與NT主機(jī)。

常見(jiàn)的系統(tǒng)入侵行為

在防火墻的保護(hù)傘后面，仍然會(huì)遭受外部入侵的行為有：

　　1、妨礙系統(tǒng)正常運(yùn)作(Denial of Service)，以讓所有網(wǎng)絡(luò)連線中斷為目的。

　　2、Buffer Overflow利用程序設(shè)計(jì)的疏失，異常中斷程序運(yùn)作。通常會(huì)伴隨“root exploit”或“backdoor”的攻擊。

　　3、截取超級(jí)使用者權(quán)限(root exploit)以控制系統(tǒng)，并據(jù)此攻擊內(nèi)部其他機(jī)器。

　　4、安裝后門(mén)木馬程序，供黑客隨時(shí)進(jìn)入系統(tǒng)用，同時(shí)自動(dòng)收集相關(guān)信息傳送給黑客。
　　

網(wǎng)絡(luò)需要全方位防衛(wèi)

　　特洛伊城之所以久攻不破，是它有一道堅(jiān)固的城墻，不會(huì)因城墻潰敗而引來(lái)全面性的殺機(jī)；在Internet上我們也需要一道堅(jiān)實(shí)的防火墻，以確保防火墻不會(huì)因被擊潰，而導(dǎo)致企業(yè)內(nèi)部數(shù)十乃至數(shù)百臺(tái)的電腦的入侵危機(jī)。但木馬屠城卻給我們另一層的啟示：在外需要厚實(shí)的城墻抵擋，在內(nèi)更須時(shí)時(shí)提高警覺(jué)，防止可疑份子的滲透破壞。

　　因此即使有了防火墻，也須要時(shí)時(shí)提防所有的連線是否隱藏破壞分子，也要審視系統(tǒng)是否脆弱地不堪黑客一擊。同時(shí)更須設(shè)法提高系統(tǒng)的自衛(wèi)能力。如此遇到木馬時(shí)，也不至于被屠城了。

網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中，正因如此，網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......，各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)，對(duì)應(yīng)發(fā)展，這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。