4 数据传输中的不安全

    当然，我们不可能不注意到的是网络传输中信息内容，TCP/IP协议不包含加密层，那么一旦用户捕获到网络数据后再根据协议分层分析，有可能得到大量机密信息。比如说，局域网内可能就是纯文本的信息流，通常入的电子邮件也是不加密的，更糟的是，在缺省模式中电子邮件客户端用来与其电子邮件服务器进行核查的用户名与口令也是以纯文本形式发出的，可能被截获或假冒。

    事实上，目前对于局域网（如一段共享式HUB构成的以太网）内部的网络监听工具非常多，著名的有NFSWATCH、NETXRAY等等，这些工具通常很容易在网上得到。现在的问题是：局域网外部的攻击者有什么办法能在局域网内部使用监听工具？而根据通常所假设的内部用户可信原则，却恰恰发生的是内部用户进行了非法的越权监听，怎么办？

    二 安全措施与防火墙

    INTERNET上丰富的资源吸引了越来越多的用户，通常的用户都是这些资源的受益者，但我们还是会意识到网络上的巨大安全风险，至少下列用户与普通的个人用户所需要的安全级别是不一样的：

◆军事机关

◆政府部门

◆教育、科研机构

◆金融、财税、电信等具有专门的行业性质数据处理业务的部门

◆电子商务

◆ 各类ISP、ICP

◆ 企业intranet

    特殊的部门信息网络可能会自成一体，但大多数情况下，即使存在安全风险，用户也会以极大的热情接入INTERNET，在这种情况下，用户采取必要的安全措施尤为重要。而在这个时候，如何既能保证享用INTERNET上的丰富资源，又能保证自身的安全呢？用户至少有两种选择：主动的入侵检测防范与较为被动的防火墙设置，其中，防火墙几乎是一个必然的选择。

    根据ICSA入侵检测系统论坛的定义，入侵检测是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象(的一种安全技术)。入侵检测技术是动态安全技术的最核心技术之一。通常的入侵检测包含动态的对下列情况进行检查：系统进程 、查网络连接和端口、系统日志、是否被进行大量的端口扫描、帐号扫描、以及与OS直接相关的一些进程、文件的可疑变动情况，通常包含基于网络的入侵检测系统和基于主机的入侵检测系统。入侵检测技术的特点就是主动性与动态性。用户一旦发现危险的入侵，可以采取相应的措施来保护自身的安全。理想的情况是：用户可以籍此发现攻击者或利用防火墙切断与之的连接。

    防火墙通常被定义为：设置在可信任的内部网络和不可信任的外界之间的一道屏障，它可以实施比较广泛的安全政策来控制信息流，防止不可预料的潜在的入侵破坏。

    通常防火墙具有以下特点：

◆ 从内部到外部或从外部到内部的所有通信都必须通过防火墙

◆只有符合本地安全策略的通信才会被允许通过

◆ 防火墙本身是免疫的，不会被穿透的

    理想的防火墙应该是能过滤一切来自外部的不安全因素，防止危险的入侵活动。它可以与入侵检测系统一起维护系统的安全，也可以通过自身的良好的安全配置，简单、高效地完成大多数场合安全防护。