1.（一）防火墙根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。

目前，有很多厂商提供各种类型的防火墙平台，对它们有几种常用的分类方法：1）按照产品形式可分为硬件防火墙和软件防火墙两大类;2）按照性能可以分为百兆级和千兆级两类防火墙；3）按照操作模式可分为透明模式、路由模式和NA T（网络地址转换）三类；4）按照部署位置可分为边界防火墙和主机/个人防火墙两类；5）按照OSI模型层次划分可分为包过滤防火墙、状态检测防火墙和应用代理防火墙对防火墙的配置和使用应该坚持四个基本原则：对防火墙环境设计来讲，首要的就是越简单越好。

设计越简单，越不容易出错，防火墙的简单安全功能越容易得到保证，管理也越可靠和简便。

每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安物用其长全控制，入侵检测产品主要针对网络非法行为进行监控。

单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系深层防御才能实现系统的真正安全。

防火墙的一个特点是防外不防内，对内部威胁要采取其它安全措施，比如入侵检测、主机关注内部威胁防护、漏洞扫描、病毒查杀。

（二）网络入侵检测网络入侵检测主要采用两种技术：误用检测技术和异常检测技术。

而这也是入侵检测系统的分类标准之一。

误用检测通过对比已知攻击手段及系统漏洞的签名特征来判断系统中是否有入侵行为发生。

根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检异常检测测，所以也被称为基于行为的检测。

异常检测利用统计或特征分析的方法来检测。

（三）网络脆弱性分析脆弱性分析技术，也被通俗地称为漏洞扫描技术，该技术是检测远程或本地系统安全脆弱性的一种安全技术。

通过与目标主机TCP/IP端口建立连接并请求某些服务，记录目标主机的应答，搜集目标主机相关信息，从而发现目标主机某些内在的安全弱点。

与入侵检测之类的网络监控技术相比，漏洞扫描技术是一种预防性的措施。

一般情况下，它们定期工作，检查系统中可能被人利用的网络漏洞，评估和衡量安全保护基础设施的有效性。

系统管理员利用网络漏洞扫描技术对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可能导致黑客攻击的安全漏洞，还可以检测主机系统中是否被安装了窃听程序以及防火墙系统是否存在安全漏洞和配置错误，等等。

网络漏洞扫描技术通过远程检测目标主机TCP/IP不同端口的服务，记录目标主机给予的回答。

此外，通过模拟黑客的进攻手法对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等，也是扫描模块的实现方法之一。

如果模拟攻击成功，则视为漏洞存在。

2.内容简介及重点】一、物理环境安全技术物理安全的技术层面主要包括三个方面：环境安全、设备安全和媒体安全。

环境安全对系统所在环境的安全保护，如区域保护和灾难保护；主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护设备安全等；媒体安全包括媒体数据的安全及媒体本身的安全。

二、通信链路安全技术※链路加密技术※远程拨号安全协议三、网络安全技术※防火墙※网络入侵检测※网络脆弱性分析四、系统安全技术※主机入侵检测※计算机病毒防治五、身份认证安全技术※动态口令认证※PKI技术※矩阵卡技术3.论安全产品"老三样"的发展趋势2008-06-27 17:06中国的信息化安全事业在近几年得到快速的发展，这一方面是由于从中央到地方政府的广泛重视，另一方面也是因为我国有一批积极进取的信息安全企业，他们不断跟进最新安全技术，不断推出满足用户需求、具有时代特色的安全产品，进一步促进了信息安全产业的发展。

可以看到，在他们的推动下，目前我国自主研发的入侵检测、防火墙等产品取得了骄人的成绩，特别是在千兆水平和芯片技术方面，基本上达到了与国际同步的水平；在系统、网络防护技术方面、网络检测与监控技术方面同样取得了显著的进步；另外，在数据加密和加密设备研究方面也具有世界先进水平。

在取得成绩的同时，我们也必须关注到面临的问题。

从技术层面来看，目前信息安全产品在发展过程中面临的主要问题是：以往主要关心系统与网络基础层面的防护问题，而现在越来越多要求更加关注应用层面的安全防护问题，安全防护已经从底层或简单数据上升到了应用层面，这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴，越来越多的安全已经与应用相结合。

谈及安全产品，就必须提到安全产品的"老三样"--防火墙、入侵检测以及防病毒。

任何一个用户，在刚刚开始面对安全问题的时候，往往考虑的就是这"老三样"。

可以说，这三种安全产品为我国整个信息安全建设起到了功不可没的作用，但是传统的安全"老三样"或者说是以其为主的安全产品技术面临着许多新的问题。

首先，从用户角度来说，虽然安装了防火墙，但是还避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰；而从未大规模部署的入侵检测单个产品来看，在提前预警方面存在着先天的不足，且精确定位和全局管理方面还有很大的空间；同时,虽然很多用户在单机、终端都安装了防病毒产品，但是内网的安全并不仅仅是防病毒的问题，还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。

所以说，虽然"老三样"已经立下了赫赫的战功，且仍然在发挥着历史作用，但是用户已渐渐感觉到其不足之处。

其次，从信息安全的整体技术框架来看，同样面临着很大的问题，"老三样"基本上还是针对数据、单个的系统，对软硬件、程序本身安全的保障。

但是应用层面的安全，需要将侧重点集中在信息语义范畴的"内容"和网络虚拟世界的"行为"上。

立体化的边界防御－防火墙进入UTM时代UTM（Unified Threat Management）是指"一体化的威胁管理"。

在混合攻击肆虐的时代，单一功能的防火墙远不能满足业务的需要，而对于集成多种安全功能的UTM设备来说，以其基于应用协议层防御、超低误报率检测、高可靠高性能平台、统一组件化管理的优势将得到越来越多的青睐。

由于UTM设备是串联接入的安全设备，因此UTM设备本身的性能和可靠性要求非常高，同时，UTM时代的产品形态，实际上是结合了原有的多种产品、技术精华，在统一的产品管理平台下，集成防火墙、VPN、网关防病毒、IPS、防拒绝服务攻击等众多产品功能于一体，实现多种的防御功能。

因此，防火墙发展的最终形态应该是UTM，而UTM具备一些重要特点：第一，网络全协议层防御。

防火墙仅仅作为简单的二到四层的防护。

如果把防火墙比喻成一个墙，那它就是一座"防君子，不防小人的墙"，主要是针对于一些像IT、端口等这样一些静态的信息进行防护和控制，但是真正的安全不能只停留在底层，我们需要构建一个更高、更强、更可靠的墙，除了传统的访问控制之外，还需要对防垃圾邮件、拒绝服务、黑客攻击等这样的一些外部的威胁起到综合检测和治理的效果，能够实现七层协议保护，而不仅局限于二到四层。

第二，就是有高检测技术来降低误报。

作为一个串联接入的网关设备，一旦误报过高，对用户来说是一个灾难性的后果。

IPS这个理念在九十年代就已经提出来，但是从目前全世界对IPS的部署情况看，非常有限，影响部署的一个最大问题就是误报率。

而采用高技术门槛的分类检测技术可以大幅度降低误报率，因此，针对不同的攻击，来采取不同的检测技术，比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件的攻击、防违规短信攻击等，有效整合可以显著降低误报率。

第三，就是有高可靠、高性能的硬件平台支撑。

对于UTM时代的防火墙，在保障网络安全的同时，也不能成为网络应用的瓶颈，防火墙/UTM必须以高性能、高可靠性的专用芯片及专用硬件平台为支撑，以避免UTM设备在复杂环境下其可靠性和性能不佳可能带来的对用户核心业务正常运行的威胁。

第四，就是UTM一体化的统一管理。

由于UTM设备集多种功能于一身，因此，它必须具有能够统一控制和管理的平台，使用户能够有效地管理。

这样，使设备本身平台标准化并具有可扩展性，用户可在统一平台上进行组件管理，同时，也能消除信息产品之间由于无法沟通而带来的信息孤岛，从而在应对各种各样攻击威胁的时候，更好地保障用户的网络安全。

而要实现UTM设备的四大特点，必须满足两大基础条件，即高检测技术和高性能、高可靠性硬件平台。

安全厂商的优势在于应用层安全检测技术，入侵检测、漏洞扫描、防拒绝服务攻击、防垃圾邮件网关等技术都是与应用层相关联的；而提供高性能的网络接入设备则是网络厂商的优势，鉴此，安全厂商与网络厂商合作，共同开发和研制UTM设备将是今后发展的必然趋势。

据了解，国内安全厂商启明星辰与国内网络设备厂商港湾网络就联合推出了一款UTM设备——天清汉马防火墙，另外，启明星辰还推出了一系列的分类检测产品，启明星辰的防御网关类产品品牌的名称为"天清"。

纵深化的可信监管－IDS进入IMS时代IMS（Intrusion Management System）是指“入侵管理系统”。

国内安全厂商启明星辰认为，入侵检测技术将从简单的事件报警通过IMS达到广泛的趋势预测和深入的行为分析。

IMS具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征，将对客户的安全起到巨大的作用。

IMS的四大典型特征本身是具有一个明确的层次关系的。

首先，大规模部署是实施入侵管理的基础条件。

一个有组织的完整系统通过规模部署的作用，要远远大于单点系统简单的叠加。

比如：建立一个全世界的地震活动监测网系统，就可以看出全球地震带的活动状况和规律；而如果只是孤立的监测点就很难做到这点。

IMS 对于网络安全监控有着同样的效用，可以实现从宏观的安全趋势分析到微观的事件控制。

第二、入侵预警。

检测和预警的最终目标就是一个"快"，要和攻击者比时间。

只有减小这个时间差，才能使损失降低到最小。

试想，如果蠕虫已经大规模爆发，并且已经引起了严重的后果，这种时候如果才预警已经严重滞后了。

要实现这个"快"字，入侵预警必须具有全面的检测途径，并以先进的检测技术来实现高准确和高性能。

入侵预警是IMS进行规模部署后的直接作用，也是升华IMS的一个非常重要的功能。

第三、精确定位。

入侵预警之后就需要进行精确定位，这是从发现问题到解决问题的必然途径。

精确定位的可视化可以帮助管理人员及时定位问题区域，良好的定位还可以通过联运接口和其它安全设备进行合作抑制攻击的继续。