第6章网络安全

第6章⽹络安全

随着计算机技术和互联⽹的迅速发展，来⾃⽹络的攻击每年呈⼏何级数增多。这些攻击中的⼤多数是利⽤计算机操作系统或其他软件系统的漏洞(vulnerability)⽽实施的。针对层出不穷的系统安全漏洞，微软等软件⼚商都会定期发布漏洞报告并提供补丁，但由于⽤户的数量巨⼤，分布很⼴，很多情况下不能及时对系统进⾏更新，使得攻击者有可乘之机。

⽽随着操作系统、数据库等软件系统的越来越复杂，出现漏洞的数量逐年增多，频率也⽐以前⼤⼤增加了。下表是来⾃美国卡内基梅隆⼤学计算机应急响应⼩组(CERT/CC)的统计数字，显⽰了1998年以来该组织收到的计算机漏洞报告的数量。

表6-3 CERT/CC历年漏洞报告数量统计

从表中可以看出，2000年以后，每年新发现的漏洞数量已经数以百计，远远⾼于2000年以前的情况。⽽这还只是官⽅的统计，还有很多漏洞在民间发现后未报告给官⽅组织，也没有相应的安全补丁。

随着攻击技术的发展，漏洞不但数量上呈爆发式增加，⽽且每个漏洞被⾸次发现和此漏洞被成功利⽤形成攻击的时间间隔也越来越短，从⼏个⽉、⼏周缩⼩到⼏天，甚⾄出现了所谓“零⽇攻击”，即漏洞公开和攻击形成之间⼏乎没有以“天”计算的时间间隔。例如，2004年3⽉份出现的维迪(Worm_Witty.A)病毒，利⽤美国ISS公司产品的安全漏洞感染破坏使⽤运⾏该公司产品的主机，该病毒是在漏洞公布的第⼆天就出现了，⼏近于“零⽇攻击”。这给信息系统的安全带来了⼗分严峻的挑战。

本节将从漏洞介绍⼈⼿，⾸先介绍漏洞的概念和漏洞的分类，然后在简要描述漏洞扫描技术的基础上，对⽬前流⾏的⼏种商⽤和⾮商⽤漏洞扫描器产品给予介绍，最后介绍⽹络隔离技术。

6.3.1 漏洞及其分类

1. 漏洞的概念

漏洞，也叫脆弱点，英⽂叫做vulnerability，是指在计算机硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从⽽可以使攻击者能够在未授权的情况下访问或破坏系统。例如，在Intel Pentium芯⽚中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS

协议中认证⽅式上的弱点，在Windows 2000中的DCOM缓冲区溢出问题，在UNIX系统管理员设置匿名rtp服务时配置不当的问题等都是漏洞，它们可能被攻击者利⽤进⽽威胁到系统的安全。

2. 漏洞的时间与空间特性

漏洞会在很⼤范围内对各种软硬件设备的安全产⽣影响，包括操作系统本⾝及其⽀撑软件，⽹络客户和服务器软件，⽹络路由器和安全防⽕墙等。简⽽⾔之，任何软硬件设备中都可能存在漏洞，在同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各⾃不同的安全漏洞问题。

火焰检测

漏洞问题是与时间紧密相关的。⼀个系统从发布的那⼀天起，随着⽤户的深⼊使⽤，系统中存在的漏洞会被不断暴露出来，这些被逐步发现的漏洞也会由系统供应商发布的补丁所修补，或在以后发布的新版系统中得以纠正。⽽在新版系统纠正了旧版本中的漏洞的同时。也会引⼊⼀些新的漏洞和错误。因⽽随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现，漏洞问题也会长期存在。

对漏洞问题的研究必须要跟踪当前最新的计算机系统及其安全问题的发展动态，这⼀点同对计算机病毒发展问题的研究相似。如果在⼯作中不能保持对新技术的跟踪，就没有谈论系统安全漏洞问题的发⾔权，即使是以前所做的⼯作也会逐渐失去价值。

3. 漏洞的分类

漏洞的分类⽅法很多，也没有统⼀的标准。事实上各种分类⽅式都是为了采取措施的⽅便，按照所能

够采⽤的措施来分别对付各类漏洞。传统上习惯于按照形成漏洞的原因来分类，但有时候也是很难明确界定的，因为对漏洞研究的不同抽象层次，会对同⼀个漏洞做出不同的分类。因⽽，事实上⾄今也不存在完美分类⽅案。下⾯按照漏洞的形成原因，粗略划分了⼏个类别。

空烟卷（1）输⼊验证错误

⼤多数的缓冲区溢出漏洞和脚本注⼊、SQL注⼊类漏洞都是由于未对⽤户提供的输⼊数据的合法性做适当的检查⽽导致的。这类漏洞在⽬前来看是攻击者最感兴趣的，许多恶意代码程序就是利⽤了此类漏洞达成攻击⽬的。

（2）访问验证错误

漏洞的产⽣是由于程序代码的某些部分存在可利⽤的逻辑错误，使绕过访问控制成为可能。分析下⾯的伪代码：

Switch (职位)

{

case“员⼯”：

Employee()；

break；

case“部门经理”：

Manager()；

case“总经理”：

JeneralManager()；

break；

松香酸

}

在“部门经理”的分⽀中，由于漏掉了中断语句“break”，使得只有总经理才能执⾏的JeneralManager函数得以执⾏，这就为攻击者提供了⼀个机会，使得以低级别职员的⾝份就可以执⾏只有⾼级别职员才能执⾏的操作。这就是—个典型的访问验证类逻辑错误。

(3) 同步问题

这类漏洞源于程序处理各种系统对象时在同步⽅⾯存在问题，处理的过程中可能存在⼀个时机，使攻击者能够施加外来的影响。例如，早期的Solaris系统的查看进程状态的命令ps 就存在这种类型的漏洞。“ps”在执⾏的时候会在/tmp产⽣⼀个临时⽂件，然后把使⽤修改⽂件所有者的“chown”命令改为root。这样，就导致了⾮root⽤户可以产⽣root拥有的⽂件。有经验的攻击者可以以这个⽂件为突破⼝获得root权限。

(4) 异常处理的疏漏

这类漏洞的产⽣在于程序在它的实现逻辑中没有考虑到⼀些意外情况。例如，基于数据库的Web程序当出现数据库错误时，将错误信息返回客户端并显⽰在页⾯上，这样会给攻击者提供⼀些信息，使其可以到⼊侵系统的办法。

(5) 配置错误

这类漏洞是由于系统和应⽤的配置有误。例如，软件安装在错误的地⽅、采⽤了不合理的配置参数、在访问权限的控制上不够严格或者系统的安全策略存在问题。

(6) 由系统环境引发的问题

⼀些系统的环境变量发⽣变化时，可能会给攻击者提供可乘之机。例如，攻击者可能通过重置shell的

内部分界符IFS，shell的转义字符，或其他环境变量，导致有问题的特权程序去执⾏攻击者指定的程序。RedHat Linux的dump程序漏洞就是这种类型。

(7) 其他错误

不属于以上类型的其他漏洞。

6.3.2 ⽹络扫描技术

我们⼀般所说的⽹络漏洞扫描，实际上是对⽹络安全扫描技术的⼀个俗称。事实上安全扫描技术分为两类：

(1) 主机安全扫描技术。主机安全扫描技术的原理很简单，就是采⽤各种攻击脚本对主机操作系统、应⽤程序和各种服务进⾏模拟攻击探测，以发现不当配置和已知漏洞。主机安全扫描技术⼀般是在主机上本地进⾏的，⼤部分情况下需要有主机的管理员权限。

(2) ⽹络安全扫描技术。⽹络安全扫描技术则是⼀种基于⽹络的扫描，通过⽹络远程检测⽬标⽹络或主机的安全性脆弱点。通过⽹络安全扫描，能够发现⽹络中各设备的TCP/IP端⼝的分配使⽤情况、开放服务的情况、操作系统软件版本等，最终可以综合得到这些设备及软件在⽹络上呈现出的安全漏洞。⽹络安全扫描技术利⽤⼀系列的脚本对⽹络发起模拟攻击，分析结果并判断⽹络是否有可能被攻击崩

溃。下⾯内容将着重介绍⽹络安全扫描技术。

1. ⽹络安全扫描的功能

⽹络安全扫描不仅仅能够扫描并检测是否存在已知漏洞，还可以发现⼀些可疑情况和不当配置，如不明端⼝、弱⼝令等。⽹络安全扫描技术与防⽕墙、⼊侵检测系统互相配合，能够有效提⾼⽹络的安全性。通过对⽹络的扫描，可以了解⽹络的配置是否得当以及正在运⾏的应⽤程序和服务是否安全。如果说防⽕墙和⽹络监控系统是被动的防御⼿段，那么⽹络安全扫描就是⼀种主动的防范措施，可以在遭受攻击之前就发现可能遭受的攻击，从⽽采取措施。

⽹络安全扫描技术提供的信息可以⽤在多种场合。例如，⽹络管理员可以根据扫描的结果更正⽹络安全漏洞和系统中的错误配置，在⿊客攻击前进⾏防范；⽽系统安全评估组织则可以根据扫描的结论判断当前⽹络的安全态势，从⽽为评定系统的安全等级提供重要依据。

2. ⽹络安全扫描的原理

⼀次完整的⽹络安全扫描分为三个阶段：

第⼀阶段：发现⽬标主机或⽹络。这⼀阶段的主要技术是ping探测，通过发送ICMP报⽂帮助识别系统是否处于活动状态。

第⼆阶段：发现⽬标后进⼀步搜集⽬标信息，包括操作系统类型、开放的端⼝、运⾏的服务以及服务软件的版本等。如果⽬标是⼀个⽹络，还可以进⼀步发现该⽹络的拓扑结构、路由设备以及各主机的信息。这其中涉及到操作系统识别技术、TCP/IP 栈指纹技术等。

第三阶段：根据搜集到的信息判断或者进⼀步测试系统是否存在安全漏洞。

⽹络安全扫描主要⽤到的技术⼿段是端⼝扫描技术和漏洞扫描技术。端⼝扫描技术和漏洞扫描技术是⽹络安全扫描技术中的两种核⼼技术，且在当前较成熟的⽹络扫描器中被⼴泛应⽤。

(1) 端⼝扫描技术及其原理

⼀个端⼝就是⼀个潜在的通信通道，也是⼀个潜在的⼈侵通道。对⽬标计算机进⾏端⼝扫描，能得到许多有⽤的信息，它使系统⽤户了解系统⽬前向外界提供了哪些服务，从⽽为系统⽤户管理⽹络提供了⼀种⼿段。

端⼝扫描的原理很容易理解，就是向⽬标设备的TCP/IP服务端⼝发送探测数据包，并记录⽬标设备的响应。通过分析响应来判断端⼝是打开还是关闭，也可以综合分析主机的响应报⽂，得知端⼝提供的服务或信息。

端⼝扫描的经典⽅法是TCP全连接扫描，其他的⽅法还有TCP半连接扫描、代理扫描、FTP跳跃扫描

、TCP反转标识扫描和秘密(Steahh)扫描等。本书以前⼆者为例介绍端⼝扫描的⼀般原理，对于更为复杂的扫描⽅法感兴趣的读者可以⾃⾏查阅相关⽂献。如何自制纳米胶

全连接扫描。全连接扫描是TCP端⼝扫描的基础，现有的全连接扫描有TCP connect 扫描和TCP反向ident扫描等。其中TCP connect扫描的实现原理如下所述：扫描主机通过。TCP/IP协议的三次握⼿与⽬标设备的指定端⼝建⽴⼀次完整的连接。连接由执⾏扫描的主机调⽤connect开始，如果被扫描端⼝开放，则连接将建⽴成功；否则，若返回-l则表⽰该端⼝关闭。建⽴连接成功时，⽬标设备回应⼀个SYN/ACK数据包，这⼀响应表明⽬标设备的⽬标端⼝处于监听(打开)状态；建⽴连接失败时，⽬标设备会向扫描主机发送RST的响应，表明该⽬标端⼝处于关闭状态。

半连接(SYN)扫描。若端⼝扫描没有完成⼀个完整的TCP连接，在扫描主机和⽬标设备的指定端⼝建⽴连接时只完成了前两次握⼿，在第三步时扫描主机中断了本次连接，使连接没有完全建⽴起来，这样的端⼝扫描称为半连接扫描，也称为间接扫描。现有的半连接扫描有TCP SYN扫描和IP ID头dumb扫描等。

SYN扫描的优点在于，即使⽬标设备⽇志中对扫描有所记录，也会⽐全扫描少得多。缺点是在⼤部分操作系统下，扫描主机需要构造适⽤于这种扫描的IP包。通常情况下，构造SYN数据包需要超级⽤户或者授权⽤户访问专门的系统调⽤。

(2) 漏洞扫描技术及其原理

漏洞扫描主要通过以下两种⽅法来检查⽬标设备是否存在漏洞：

漏洞库匹配⽅法。端⼝扫描后可以知道⽬标设备开启的端⼝以及端⼝上的⽹络服务，将这些相关信息与⽹络漏洞扫描系统提供的漏洞库进⾏匹配，查看是否有满⾜匹配条件的漏洞存在。基于⽹络系统漏洞库，．漏洞扫描⼤体包括CGI漏洞扫描、POP3漏洞扫描、FTP 漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。这些漏洞扫描是基于⽹络系统漏洞库，将扫描结果与⽹络系统漏洞库相关数据匹配⽐较得到漏洞信息。

漏洞库匹配⽅法的关键部分就是它所使⽤的漏洞库。通过采⽤基于规则的匹配技术，即根据安全专家对⽹络系统安全漏洞、⿊客攻击案例的分析和系统管理员对⽹络系统安全配置的实际经验，可以形成⼀套标准的⽹络系统漏洞库，然后在此基础之上构成相应的匹配规则，由扫描程序⾃动地进⾏漏洞扫描的⼯作。

漏洞库信息的完整性和有效性决定了漏洞扫描系统的性能，漏洞库的修订和更新的性能也会影响漏洞扫描系统运⾏的时间。因此，漏洞库的编制不仅要对每个存在安全隐患的⽹络服务建⽴对应的漏洞库⽂件，⽽且应当能满⾜前⾯所提出的性能要求。

⽬前，有⼀些国内外的组织维护有⼤规模的漏洞库，这些漏洞库有专⼈维护，⼀旦有新的漏洞出现，就会⽴即更新漏洞库，保证漏洞库数据的全⾯和有效。⽐较著名的漏洞库有美国的国家漏洞数据库(National Vulnerability Database)、CVE(Common

Vulnerabilities and Exposures)漏洞库、我国的国家计算机⽹络应急技术处理协调中⼼漏洞库等。

插件技术(功能模块技术)。对于没有相应漏洞库的各种扫描，如Unicode遍历⽬录漏洞探测、FTP弱势密码探测、OPENRelay 邮件转发漏洞探测等，这些扫描通过使⽤插件技术(功能模块技术)进⾏模拟攻击，测试出⽬标主机的漏洞信息。

插件是由脚本语⾔编写的⼦程序，扫描程序可以通过调⽤它来执⾏漏洞扫描，检测出系统中存在的⼀个或多个漏洞。添加新的插件就可以使漏洞扫描软件增加新的功能，扫描出更多的漏洞。插件编写规范化后，甚⾄⽤户⾃⼰都可以⽤ped、c或⾃⾏设计的脚本语⾔编写的插件来扩充漏洞扫描软件的功能。这种技术使漏洞扫描软件的升级维护变得相对简单，⽽专⽤脚本语⾔的使⽤也简化了编写新插件的编程⼯作，使漏洞扫描软件具有很强的扩展性。6.3.3 漏洞扫描器介绍

针对层出不穷的⽹络漏洞，任何系统管理员都不可能依靠⼈⼯排查的⽅法去逐⼀检查信息系统是否存在漏洞。与病毒防范⼀样，由于漏洞的数量⾮常庞⼤，涉及的范围也⾮常⼴，检查系统漏洞的⼯作量已经远远超出了⼈⼯操作的处理能⼒。在这种情况下，使⽤⾃动化的⼯具对系统进⾏扫描，发现漏洞

并采取措施，是必然的趋势。⽬前，在安全领域已经出现了许多安全漏洞扫描器，能够协助系统管理员检查⽹络中各种设备的漏洞，并为修复漏洞提供指导。

1. 漏洞扫描器的种类

对漏洞扫描器分类也是⾮常困难的。事实上，如果只能对某⼀⼩类漏洞进⾏扫描，那这个扫描器将不具备实⽤价值。⽬前，实⽤的漏洞扫描器产品⼀般会尽量照顾到各种类型的系统漏洞，发现它们并给出报告。

根据前述的安全扫描技术分类，现在流⾏的漏洞扫描⼯具，根据其使⽤场合⼀般分为两⼤类：基于⽹络的漏洞扫描器和基于主机的漏洞扫描器。

(1) 基于⽹络的漏洞扫描器

基于⽹络的漏洞扫描器，就是通过⽹络来扫描远程计算机中的漏洞。⽐如，利⽤低版本的DNS Bind漏洞，攻击者能够获取root权限侵⼊系统或者攻击者能够在远程计算机中执⾏恶意代码。使⽤基于⽹络的漏洞扫描⼯具，能够监测到这些低版本的DNS Bind是否在运⾏。

⼀般来说，可以将基于⽹络的漏洞扫描⼯具看做⼀种漏洞信息收集⼯具，它根据漏洞的不同特性，构造⽹络数据包，发给⽹络中的⼀个或多个⽬标服务器，以判断某个特定的漏洞是否存在。

基于⽹络的漏洞扫描器包含⽹络映射(Network Mapping)和端⼝扫描功能，⼀般由以下⼏个部分组成：

漏洞数据库模块。漏洞数据库包含了各种操作系统的各种漏洞信息，以及如何检测漏洞的指令。由于新的漏洞会不断出现，该数据库需要经常更新，以便能够检测到新发现的漏洞。

⽤户配置控制台模块。⽤户配置控制台提供了与安全管理员进⾏交互的接⼝，⽤来设置要扫描的⽬标设备，以及扫描哪些漏洞。

●扫描引擎模块。扫描引擎是扫描器的主要部件。根据⽤户配置控制台中的相关设置，扫描引擎组装好相应的数据包，发送到⽬标设备，将接收到的⽬标设备的应答数据包，与漏洞数据库中的漏洞特征进⾏⽐较，来判断所选择的漏洞是否存在。

当前活动的扫描知识库模块。通过查看扫描主机内存中的配置信息，该模块监控当前活动的扫描，将待扫描的漏洞的相关信息提供给扫描引擎，同时，还接收扫描引擎返回的扫描结果。

结果存储器和报告⽣成⼯具。报告⽣成⼯具利⽤当前活动扫描知识库中存储的扫描结果，⽣成扫描报告。扫描报告将告诉⽤户配置控制台设置了哪些选项，根据这些设置，扫描结束后，在哪些⽬标设备上发现了哪些漏洞。

(2) 基于主机的漏洞扫描器

基于主机的漏洞扫描器扫描⽬标设备漏洞的原理与基于⽹络的漏洞扫描器的原理类似，但是，两者的体系结构不⼀样。基于主机的漏洞扫描器通常在⽬标设备上安装了⼀个代理(Agent)或者是服务(Services)，以便能够访问所有的⽂件与进程，这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。为了能够扫描这些⽂件和进程，基于主机的漏洞扫描器必须有所在主机的管理员权限，这也与基于⽹络的漏洞扫描器不同。

qsc6270

主机型漏洞扫描器⼀般采⽤客户机／服务器架构，最主要是针对操作系统内部问题做深⼈扫描，它可以弥补⽹络型漏洞扫描器只能从外⾯通过⽹络检查系统安全的不⾜。

主机型漏洞扫描器⼀般具有如下功能：

重要资料锁定。利⽤安全的校验和机制来监控重要的主机资料或程序的完整性。

弱⼝令检查。采⽤结合系统信息、字典和词汇组合等的规则来检查弱⼝令。

●系统⽇志和⽂本⽂件分析。针对系统⽇志档案，如UNIX的syslogs及NT的事件⽇志(EyentLog)，以及其他⽂本⽂件的内容做分析。

动态告警。当遇到违反扫描策略或发现已知安全漏洞时，提供及时的告警。告警可以采取多种⽅式，可以是声⾳、弹出窗⼝、电⼦邮件甚⾄⼿机短信等。

分析报告。产⽣分析报告，并告诉管理员如何弥补漏洞。

漏洞库更新。主机型漏洞总是不断地出现，⼚商的漏洞报告甚⾄都跟不上其出现的速度。这种情况下，主机型漏洞扫描器必须有漏洞库更新的功能，以便能够反应最新的已知漏洞情况，⽽且更新应该是⾃动进⾏的。

2. 两类漏洞扫描器的对⽐

基于⽹络的漏洞扫描器有如下优点：

(1) 价格⽅⾯。基于⽹络的漏洞扫描器的价格相对来说⽐较便宜，甚⾄有许多此类扫描器都是可以免费下载到的。

syk-214(2) 基于⽹络的漏洞扫描器在操作过程中，不需要涉及到⽬标设备的管理员，并且在检测过程中不需要在⽬标设备上安装任何东西。

(3) 维护简便。当⽹络部署发⽣变化时，只要扫描器所在的⽹络节点仍然能够扫描到⽹络中的全部⽬标设备，基于⽹络的漏洞扫描器就不需要进⾏调整。

基于⽹络的漏洞扫描器的不⾜之处：

基于⽹络的漏洞扫描器不能直接访问⽬标设备的⽂件系统，不能检测相关的⼀些漏洞。⽐如，⼀些⽤户程序的数据库在连接的时候，要求提供Windows 2000操作系统的密码，这种情况下，基于⽹络的漏洞扫描器就不能对其进⾏弱⼝令检测了。另

外，UNIX系统中有些程序带有SetUID和SetGID功能，这种情况下，涉及到UNIX系统⽂件的权限许可问题也⽆法检测。

基于⽹络的漏洞扫描器不易穿过防⽕墙。只要防⽕墙不开放相关端⼝，扫描就不能进⾏。

基于主机的漏洞扫描器有如下优点：

(1) 扫描的漏洞数量多。由于通常在⽬标设备上安装了⼀个代理(Agent)或者是服务(Services)，因⽽能够访问所有的⽂件与进程，这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。

(2) 集中化管理。基于主机的漏洞扫描器通常都会配置⼀个集中服务器作为扫描服务器，所有扫描的指令均从服务器进⾏控制，这⼀点与基于⽹络的漏洞扫描器类似。服务器下载到最新的代理程序后，再分发给各个代理。这种集中化管理模式，使得基于主机的漏洞扫描器的部署能够快速实现。

(3) ⽹络流量负载⼩。由于扫描服务器与主机代理之间只有通讯的数据包，漏洞扫描部分都有主机代理单独完成，这就⼤⼤减少了⽹络的流量负载。

基于主机的漏洞扫描器的不⾜之处：

(1) 价格⽅⾯。基于主机的漏洞扫描器的价格，通常由⼀个扫描服务器的许可证价格加上⽬标设备的数量来决定，当⼀个⽹络中的⽬标主机较多时，扫描⼯具的价格就⾮常⾼。通常只有实⼒强⼤的公司和政府部门才有能⼒购买这种漏洞扫描⼯具。

(2) 基于主机的漏洞扫描⼯具，需要在⽬标主机上安装⼀个代理或服务，⽽从管理员的⾓度来说，并不希望在重要的机器上安装⾃⼰不确定的软件。

(3) 随着扫描⽹络范围的扩⼤，部署基于主机的漏洞扫描⼯具的代理软件时，需要与每个⽬标设备的⽤户打交道，必然延长了⾸次部署的⼯作周期。

在检测⽬标设备中是否存在漏洞⽅⾯，基于⽹络的漏洞扫描⼯具和基于主机的漏洞扫描⼯具都是⾮常有⽤的。事实上，在⼆者之间也不存在泾渭分明的界限，有些功能较为强⼤的⽹络扫描器产品，已经兼有基于⽹络和基于主机两种扫描器的特点。但有⼀点要强调，任何扫描器都必须要保持漏洞数据库的更新，才能保证漏洞扫描⼯具能够真正发挥作⽤，尤其对于主机型漏洞扫描器。另外，漏洞扫描⼯具只是检测当时⽬标设备是否存在漏洞，当⽬标设

备的配置、运⾏的软件发⽣变换时，需要重新进⾏评估。基于⽹络的漏洞扫描⼯具和基于主机的漏洞

扫描⼯具各⾃具有⾃⼰的特点，也都有不⾜之处。安全管理员在选择扫描⼯具时，可以根据实际需要选择最适合的产品。

6.3.4 ⽹络隔离技术

随着互联⽹上病毒泛滥、计算机犯罪等威胁⽇益严重，在政府、军队、企业等领域，由于核⼼部门的信息安全关系着国家安全、社会稳定，因此，迫切需要⾼可靠性的安全技术对⽹络加以防护。

⽹络隔离技术就是在这种情况下诞⽣的。⽹络隔离技术的⽬标是确保把有害的攻击隔离在可信⽹络之外，并在保证可信⽹络内部信息不外泄的前提下，完成可信⽹与外部⽹络的⽹间数据安全交换。

从⼴义上讲，⽹络隔离可以采⽤逻辑隔离和物理隔离两种⽅式。在逻辑隔离中，被隔离的两个⽹络在物理上还是连通的，位于

本文发布于:2024-09-22 22:23:33，感谢您对本站的认可！

本文链接：https://www.17tex.com/tex/3/245264.html

上一篇：采用网闸隔离的内外网如何进行数据的即时交互？

下一篇：网络安全情况说明