国土安全信息系统的安全防护

所谓信息系统，是由人、计算机及其他外围设备等组成的面向信息的收集、传递、存储、加工、维护和使用的系统。其主要任务是最大限度地利用现代计算机及网络通讯技术加强企业的信息管理，通过对人力、物力、财力、设备、技术等资源的调查了解，建立正确的数据，加工处理并编制成各种信息资料，及时提供给相关人员以便进行正确的决策，不断提高企业的管理水平和经济效益。企业的计算机网络已成为企业进行技术改造及提高企业管理水平的重要手段。

针对国土安全领域，无论是类似于美国国土安全信息网（HSIN）的顶层大系统，还是边境防护指挥信息系统、对海警戒指挥信息系统等，都是高度复杂的网络化信息系统。

8．1．1　信息系统安全隐患

8．1．1．1　安全漏洞

信息系统主要是由网络、计算机及软件构成，而信息系统的安全漏洞多是由软件引起的。软件的安全漏洞是软件开发者的疏忽，或者是软件开发所使用的语言有一定局限性所导致的，也不排除有恶意植入的可能［1］。

漏洞在计算机软件领域内可以理解为在软件的使用过程中软件自身存在的缺陷和弱点，漏洞的发生一般是由软件本身的错误所导致的。从日常的数据统计中可以发现，漏洞的数量在2008年之前是逐年增加的。1999年之前，由于用户以及软件生产商对于漏洞的关注程度不是很高，黑客也在致力于通过传统的病毒感染方式进行病毒扩散，因此统计到的漏洞数量维持在较低水平。1999—2004年，漏洞数量已经由每年1　000个的水平增长到每年近3　000个。这期间，非常著名的冲击波、震荡波等病毒在互联网上肆虐，黑客将注意力转移到了操作系统漏洞方面。冲击波、震荡波就是利用操作系统漏洞来感染主机，再通过成熟的蠕虫技术将病毒扩散出去，才会造成如此巨大的影响。2005年之后，漏洞数量达到了一个高峰期。据美国国家标准与技术研究所（NIST）统计，在数量众多的漏洞当中，92%的漏洞存在于软件之中。虽然2008年的漏洞数量较往年有下降趋势，但是考虑到互联网的整体安全状况，未来几年漏洞的数量仍将维持在较高水平上（图8．1）。对于各种漏洞而言，操作系统漏洞的危害程度是最大的。一旦用户主机上的操作系统漏洞被利用，攻击者便可以访问该主机并进行任意操作。微软在个人电脑操作系统软件市场的占有率很高，因此它的漏洞产生的影响与危害是十分巨大的。

图8．1　软件漏洞统计

紧急和重要等级的安全公告的数量在逐年增加，所占比例也在不断提高（图8．2）。由于一个微软安全公告中一般包含了若干个漏洞，所以每年的安全公告数量只能反映大致的趋势［2］。

世界上主要有微软公司、CVE（通用漏洞暴露）安全组织和Fortify Software针对软件漏洞发布公告。

（1）微软公司对于软件漏洞的分类，一是根据不同的软件类型对软件漏洞作出分类;二是根据软件自身的漏洞所导致的影响以及软件应用方法对软件漏洞进行分类。微软公司的软件漏洞分类方法，对于该公司产品的安全性起到了十分重要的保护作用。然而，微软公司的分类方法仅仅适用于微软公司自身的软件产品所产生的漏洞，并不能很好地对其他公司的软件漏洞进行分类，具有一定的片面性。微软公司对软件漏洞的分类方法并不是唯一的，并没有很好地指出软件漏洞本身的特征和漏洞的运行机制。

图8．2　微软安全公告数量

（2）CVE就好像是一个字典表，对广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库和漏洞评估工具中共享数据。虽然这些工具很难整合在一起，但是如果在一个漏洞报告中指明一个漏洞，并且有相应CVE的名称，就可以快速地在任何其他CVE兼容的数据库中找到相应修补的信息，解决安全问题。目前，CVE组织对软件漏洞的分类方法还没有形成系统的漏洞分类方法体系，对于软件漏洞自身的属性特征并没有总结归纳，该方法大多数是凭借用户的使用经验来对软件漏洞进行分类。

（3）Fortify Software公司的软件漏洞分类是以软件代码自身的缺陷为基础，对软件代码的缺陷进行分类，这在某种意义上是对软件的漏洞进行分类。Fortify　Software公司对于软件代码缺陷的分类方法是二维的：一是软件在应用过程中存在的代码缺陷;二是攻击软件漏洞的特征，把具有相同攻击特征的各个软件的代码缺陷分为同一类。

以上三种软件漏洞的分类方法其本质是以商业性质的服务为目的，以商业营销的观点对软件漏洞作出分类，并不能够表现出软件漏洞在使用过程中的复杂程度，在软件漏洞的防治机理和方法上也不能够给出相应的参考价值。

其中，微软公司作为世界上最主要的操作系统软件提供商，它所发布的安全公告主要针对的是微软开发的Windows操作系统及其他应用软件。微软的安全公告栏不仅发布漏洞信息，还提供相关补丁的下载以方便用户修复漏洞。

CVE安全组织由美国国土安全部的国家网络安全局资助，为公众提供免费的漏洞信息查询、统计等服务［3］。CVE所发布的漏洞公告范围更广，不仅包含了软件漏洞，还包含了网站的SQL注入、Xpath注入、跨站脚本攻击等Web漏洞。

相对而言，CVE公布的微软漏洞数量要更准确一些。2006—2008年CVE公布的微软漏洞数量分别是267、258、225，占当年的CVE漏洞比例分别为4．04%、3．96%和4．21%。就微软漏洞的发展趋势而言，微软公司在2008年上半年的“Microsoft Security Intelligence Report”中提到：2008年上半年行业内漏洞的发掘数量相对于2007年下半年下降了4%，相对于2007年上半年下降了19%，但从漏洞评分（CVSS评分系统）较高的漏洞数量相对于2007年下半年上升了13%不难看出，软件漏洞数量虽然略有下降趋势，但是漏洞的严重程度却在上升。因此，软件的漏洞安全是一个不能够忽视的问题。

从总体上来讲，软件漏洞仍将是威胁信息系统安全的主要问题。漏洞的数量略呈下降态势，但是漏洞的严重程度在向相反方向发展。同时，操作系统漏洞在数量上虽然只占有较小的比例，但是一旦被利用，危害程度将是十分严重的。微软公司的工程师Jones发表了一篇关于Vista和Windows　XP　SP2的2007年漏洞报告。随着Vista的普及，Windows　XP逐渐退出市场，使得针对微软操作系统的漏洞挖掘变得更加困难。有迹象表明，漏洞挖掘的方向已经开始向第三方软件倾斜。第三方软件的升级和漏洞公告不如操作系统的及时和全面，因此更容易成为攻击者的目标。软件漏洞的发展与漏洞攻击技术的发展是密不可分的。漏洞攻击技术主要包含漏洞挖掘技术和漏洞利用技术两个方面。漏洞挖掘技术是发现漏洞的主要手段，漏洞数量在近几年内的大幅增加，除了软件自身固有的漏洞缺陷外，漏洞挖掘技术的体系化和理论化也是重要原因之一。漏洞利用技术则是通过研究已经被发掘的漏洞，开发出相应的利用代码，生成具有攻击性的文件或程序。该文件或程序在被浏览或运行后可以触发软件漏洞，从而达到攻击的目的。漏洞挖掘是漏洞攻击的重要环节，只有先挖掘出漏洞，才能够通过漏洞利用技术进行漏洞攻击。一般未公开的漏洞称为0－day漏洞。由于软件生产商还没有公布漏洞补丁，甚至都不知道漏洞的存在，因此0－day漏洞的危害性十分巨大。

8．1．1．2　计算机病毒

计算机病毒是指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自身的精确拷贝或者可能演化的形式放入其他程序中，从而感染其他程序，对计算机资源进行破坏。计算机病毒具有以下特点：

（1）可执行性

计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有一切程序所能得到的权力。当病毒运行时，它与合法程序争夺系统的控制权。计算机病毒只有在计算机内得以运行时，才具有传染性和破坏性等活性。也就是说，计算机CPU的控制权是关键问题。若计算机在正常程序控制下运行，而不运行带病毒的程序，则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字，查看计算机病毒的代码，打印病毒的代码，甚至拷贝病毒程序，却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下工作。他们的计算机虽也存有各种计算机病毒的代码，但这些病毒已被置于控制之下，计算机不会运行病毒程序，因此整个系统是安全的。相反，计算机病毒一旦在计算机上运行，在同一台计算机内病毒程序与正常系统程序，或某种病毒与其他病毒程序争夺系统控制权时，往往会造成系统崩溃，导致计算机瘫痪。

（2）传染性

传染性是生物病毒的基本特征。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机感染了病毒，如不及时处理，那么病毒会在这台机子上迅速扩散，该机的大量文件（一般是可执行文件）会被感染;而被感染的文件又成了新的传染源，在与其他机器进行数据交换或通过网络接触时，病毒会继续进行传染。

（3）破坏性

所有的计算机病毒都是一种可执行程序，而这一可执行程序又必然要运行，所以对系统来讲，所有的计算机病毒都存在一个共同的危害，即降低计算机系统的工作效率，占用系统资源，其具体情况取决于入侵系统的病毒程序。同时，计算机病毒的破坏性主要取决于计算机病毒设计者的目的。如果病毒设计者的目的在于彻底破坏系统的正常运行，那么这种病毒对计算机系统进行攻击而造成的后果是难以设想的，它可以毁坏系统的部分数据，也可以破坏全部数据并使之无法恢复。但并非所有的病毒都对系统产生极其恶劣的破坏作用。有时几种本没有多大破坏作用的病毒交叉感染，也会导致系统崩溃等严重后果。

（4）潜伏性

一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月甚至几年内隐藏在合法文件中，对其他系统进行传染而不被人发现。病毒潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。潜伏性的第一种表现是指，病毒程序不用专门的检测程序是检查不出来的，因此病毒可以静静地躲在磁盘里待上几天，甚至几年，一旦时机成熟，得到运行机会，就会四处繁殖、扩散，产生危害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏;触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。

（5）隐蔽性(www.xing528.com)

病毒一般是具有高超编程技巧且短小精悍的程序，通常附在正常程序中或磁盘较隐蔽的地方，也有个别病毒以隐含文件的形式出现，目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序，而且受到传染后，计算机系统通常仍能正常运行，用户不会感到任何异常，好像不曾在计算机内发生过什么。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散并游荡于世界上百万台计算机中。大部分的病毒代码之所以设计得非常短小，也是为了便于隐藏。

（6）针对性

计算机病毒一般都是针对于特定的操作系统，比如说微软的Windows　2000和XP，还有的针对于特定的应用程序。这种针对性有两个特点：如果对方就是它要攻击的目标，它可以获得对方的管理权限，然后肆意妄为;如果对方不是它要针对的操作系统，比如对方用的不是微软的Windows，而是Unix，这种病毒就会失效。

（7）可触发性

病毒因某个事件或数值的出现，而被诱使实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击;如果不满足，病毒将继续潜伏。

8．1．2　信息系统安全检测技术与防护

8．1．2．1　安全漏洞检测

对于信息系统安全漏洞，必须采取一定的检测技术来加以预防，主要有静态检测技术和动态检测技术两种方法。

（1）静态检测技术

静态检测技术是指对程序代码进行检测分析的技术。事实上，能够做到完全检测的方法基本上是不存在的，某些方法即使能检测到大量漏洞，但也无法找出所有漏洞且可能存在误报。静态检测技术最大的优点就是不需要运行软件，检测十分方便，不过需要专业人员核对、整理，并进行分析和处理。计算机软件安全漏洞的静态检测方法主要有元编译技术、变异语技术、词法检测技术、程序评注技术、约束解算器技术和类型推断技术。元编译技术是一种利用编译器的简单技术，其误报率低，且可以针对语言特性的扩展进行更新。元编译技术是将程序的安全属性当作轻量级编译器扩展，根据其建立模型执行。利用这类技术可以自动对所有检验的代码安全性进行推测和判断，从而对相应扩展进行编写。变异语技术是通过对指针算术运算、不安全的类型转换、goto的无规律跳转、setjmp与longjmp等不安全的操作进行限制，一般采用C或C＋＋的安全程序变异技术。词法检测技术较为简单，由于仅对源代码中不安全C库函数和系统进行调用，容易产生大量误报。程序评注技术在兼容性上没有任何问题，它是以注释的形式表现，不会给代码增加新的语言，利用评注信息来做静态分析，并从中找出漏洞隐患。约束解算器技术对源程序无需做任何评价，但是会产生大量误报，因此需要工作人员进行核算分析。该技术是利用约束对目标程序特定属性直接建立模型，之后采用静态分析进行解算约束。类型推断技术很适合应用于较大的程序检测，技术相对高效，不过也存在兼容性问题，通过对一种新型技术的利用来增加安全约束，以达到漏洞检测预防的目的。

（2）动态检测技术

动态检测技术主要是通过对修改运行环境进行分析来提高程序的保密性，是在不修改目标程序的源代码或二进制代码的前提下，对执行程序进行漏洞检测，从而达到软件安全的目的。动态检测技术可以分为非执行堆与数据技术、非执行栈技术、内存映射技术、安全共享库技术、沙箱技术和程序解释技术。动态检测技术是在软件运行不正常的情况下采取禁止执行行为，从而检测阻止内存中的恶意代码。由于许多不法入侵者破坏执行程序，向栈中注入恶意代码，因此改变了内部变量。对此，使用非执行栈技术可以禁止栈执行代码，对预防攻击者侵入有一定作用。内存映射技术通过对映射代码页的使用，让入侵者难以通过NULL结尾字符串到达低端内存区域，同时，由于将代码页映射到随机的地址，给入侵者带来了很大困难。安全共享库技术不会造成兼容性问题，但是对于本地变量、代码段数据和数据段溢出的攻击无法实施防护。沙箱技术是通过对进程访问资源的限制来达到对某种攻击行为的预防目的，将资源访问策略设定在应用程序中，策略的安全不需要对操作系统内核及应用程序作任何改变。沙箱技术主要在系统调用中应用，具有全面性，而且没有兼容性问题。程序解释技术主要通过对运行程序的监控进行强制安全检查，通常使用程序监视器来对执行非原始代码、绕过安全检测及无限制的控制和转移等三类攻击进行检测。程序解释技术可以对动态代码进行安全检测，不过会对兼容性及其性能造成一定的危害［4］。

8．1．2．2　信息系统防护

目前主要的信息系统防护策略是数据加密技术、防火墙技术和VPN（虚拟专用网）技术。

（1）数据加密技术

数据加密又称密码学，它是一门历史悠久的技术，通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。目前数据加密仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息安全的作用［8］。

常用的数据加密方法是对称加密方法和非对称加密方法。对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法。对称加密算法使用起来简单快捷，密钥较短，且破译困难。除了数据加密标准（Standard of Data Encryption），另一个对称密钥加密系统是国际数据加密算法（International Algorithm of Data Encryption），它比数据加密标准的加密性好，而且对计算机功能要求也没有那么高。1976年，美国学者为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上，通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”。相对于“对称加密算法”，这种方法也叫做“非对称加密算法”。与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥和私有密钥。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫做非对称加密算法。

目前主要有三种数据加密模式：节点加密、链路加密和端到端加密。节点加密在数据加密技术中获得了广泛的应用，其使用方法是将接收到的数据信息首先进行解密，解密之后使用不同的密钥，将数据在节点的安全模块中进行加密。使用节点加密技术，一定要保证路由信息以及报头都是以明文形式传输，只有以明文形式传输，处理消息的相关信息才能够在中间的节点获得。但是节点加密技术在实际操作过程中存在一些缺陷，例如：节点两端的加密设备一定要达到高度的同步才能完成整个加密过程，在某些特殊情况下有可能发生丢失信息数据的现象。链路加密是为了保证传输过程中的信息安全，将信息数据在网络通信链路上进行加密，这种加密方法又称在线加密。在数据传输的过程中，使用不同的密钥对传输的信息不断地加密、解密，信息在数据传输之前就进行加密，在传输过程中在网络节点进行解密，之后利用不同的密钥再次加密，反复加密、解密以寻求传输数据的绝对安全。端到端加密在数据传输过程中一直以密文的形式传输整个数据，在数据到达接收人之前不能够进行解密工作。这种加密技术对传输数据的保护达到了一定的高度。端到端加密技术可以有效预防类似节点加密技术中容易出现的一些如节点损坏等问题，操作人性化，并且这种技术设计、维护简单，使用这种技术的费用也比较低廉。在实际的操作中，影响其他用户的现象是绝对不会发生的。

（2）防火墙技术

防火墙技术是在通信网络技术和信息安全技术基础上建立的应用性安全技术，尤其是在专用网络与公用网络的互联环境之中被广泛应用。随着网络环境的不断变化和网络安全要求的提高，对防火墙技术的要求不仅要满足日益提高的网络带宽，而且要能提供多种功能，因此防火墙除了应具有最基本的数据包过滤功能外，还要有网络地址转换功能。防火墙根据定义好的过滤规则对每个数据包进行过滤，以此对数据包进行判断该如何动作。网络地址转换技术主要是解决内外网的网络地址转换问题，当局域网内的用户和外部用户通信时，它将局域网内部地址转换成一个或多个公网IP地址，但在外网上是看不到内部地址的，即在转换地址的同时也起到隐藏内部网络结构的目的［10］。

所谓防火墙，指的是由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的一个保护屏障，是一种获取安全性方法的形象说法。它是计算机硬件和软件的结合，使内部网络与Internet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。防火墙由服务访问规则、验证工具、包过滤和应用网关四个部分组成。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。一个防火墙的实现过程无论多么复杂，但归根结底主要分为三大类：包过滤、应用代理和状态检测。

包过滤防火墙工作在网络层，具有识别和控制数据包的源地址及目的地址的作用。包过滤防火墙将对每一个接收到的数据包做出允许或拒绝的决定。包过滤防火墙针对每一个数据报的报头，按照包过滤规则进行判定，与规则相匹配的包依据路由信息继续转发，否则就丢弃。基于TCP／IP协议的信息网络上的数据都是以一定格式的数据包形式进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如标识发送者和接收者位置的IP地址、TCP／UDP端口号等地址信息。防火墙通过读取数据包中的地址信息来判断这些数据包是否来自可信任的区域，一旦发现来自不可信任区域的数据包，防火墙便会阻挡这些数据通过，将其拒之门外。

包过滤防火墙具有处理数据包速度快、容易实现、比较简单等优点。由于包过滤防火墙工作在IP层和TCP层，所以处理包的速度较快，对于一个小型的、不太复杂的站点较容易实现。同时，包过滤防火墙也具有一些缺点，如不支持有效的用户认证，规则表很快会变得很大而且复杂，过于依赖一个单一的部件来保护系统等。

应用代理防火墙安全性较高，对数据包的检测能力较强，能够有效地防范基于应用层的侵入和病毒传播。应用代理实际是设置在防火墙网关上有特殊功能的应用层代码，还可应用于实施数据流监测、过滤、记录和审计等功能。网络管理员可以通过应用代理防火墙设置允许或拒绝特定的应用程序或者服务。应用代理防火墙提供应用层服务控制，彻底隔断内部网络与外部网络的直接通信，起到内部网络向外部网络申请服务时的转发作用，内部网络只接受代理提出的服务请求，拒绝外部网络其他节点的直接请求。应用代理的工作原理比较简单，首先是内部网络用户与代理防火墙建立连接，然后将访问的外部目的地址告知代理，对于符合防火墙策略的合法请求，代理防火墙会以自己的身份（应用代理）与外部目的地址建立有效连接，然后代理在这两个连接中进行数据转发。其主要特点是有状态性，能完全提供与应用相关的状态和部分传输方面的信息，能提供全部的审计和日志功能，能隐藏内部IP地址，能够实现比包过滤防火墙更严格的安全策略。

状态检测防火墙又称动态包过滤防火墙，能够对各层的数据进行主动的、实时的检测。在对各层数据加以分析的基础上，状态检测防火墙能够有效地判断出各层中的非法侵入。状态检测防火墙摒弃了包过滤防火墙仅通过识别和控制数据包IP地址、端口号等参数，不关心数据包具体数据的匹配过滤的方法，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个会话，利用状态表跟踪每一个会话状态。状态检测不仅根据规则表对每一个数据包进行检查，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。

随着科技的发展，防火墙的技术不断改进，新一代防火墙技术的安全防护性更为理想，可以实现对于数据链路层的全方位安全防护，并且从TCP／IP协议层进行各项安全隐患的控制。同时，基于微内核的新一代防火墙技术，其速度明显优于传统的包过滤防火墙，为防火墙的应用提供了更高技术的模式，从而减轻了防火墙客服端的配置工作量。智能防火墙是新一代防火墙技术实际应用的代表，从技术特征的角度进行分析，其主要是利用了统计、概率、记忆与决策等先进的智能方法，对各类数据进行安全识别，并且达到对访问进行控制的目的。分布式防火墙技术是另一种尚处在研发阶段的新型技术，主要是为了解决传统边界防火墙存在的技术缺陷。从狭义的角度进行分析，分布式防火墙技术主要是指驻留在服务器、桌面等网络主机中，并且对于主机系统具有安全防护功能的新型软件产品。从广义的角度进行分析，分布式防火墙技术是一种新型的防火墙体系结构。

（3）VPN技术

虚拟专用网络（VPN），可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密通讯协议为连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正地去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前交换机、防火墙设备也都支持VPN功能，VPN的核心就是利用公共网络建立虚拟私有网［5］。VPN的实现需要具有三个关键技术，分别是隧道技术、加密技术和QoS技术。隧道技术可以通过路由器满足ExtranetVPN以及IntranetVPN的需求。但在远程访问VPN过程中，多数用户采用的是拨号上网，这时就可以通过L2TP和PPTP来加以解决。加密技术可以对数据或报文头进行加密。网络层加密实现的最安全方法是在主机的端到端进行。在网络层中的加密标准是IPSec。它的另一个选择是“隧道模式”加密只在路由器中进行，而终端与第一条路由之间不加密。这种方法不太安全，因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中，VPN安全力度达到个人终端系统的标准;而“隧道模式”方案中，VPN安全力度只达到子网标准。通过隧道技术和加密技术，已经能够建立起一个具有互操作性、安全性的VPN，但是VPN在性能上还不稳定，管理上仍不能满足所有的要求，这就要加入QoS技术。QoS技术应该在主机网络中实行，这也就是VPN建立起来的隧道这一段，这样才可以建成一条性能符合用户要求的隧道。对于公共网的VPN，可以通过隧道技术、数据加密技术以及QoS机制，来使VPN用户降低成本、提高效率、增强安全性。VPN终将是广大用户的最终选择。