网络安全之访问控制

3.行家出招——网络安全手段

（1）防火墙

“防火墙”是一种形象的说法。顾名思义，防火墙是一种隔离屏障。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，形成一个把互联网与内部网（通常指局域网或城域网）隔开的屏障。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

防火墙示意图

防火墙的功能主要是对流经它的网络通信进行扫描，起一个过滤的作用。通过这层过滤可以滤掉一些攻击，以防止其在目标计算机上被执行。此外，防火墙还可以关闭不使用的端口。它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，进而阻止来自不明入侵者的所有通信。

（2）数据加密

所谓数据加密技术就是使用数字方法来重新组织数据，使得除了合法受者外，任何其他人想要恢复原先的“消息”是非常困难的。这种技术的目的是对传输中的数据流加密，常用的方式有线路加密和端对端加密两种。线路加密侧重在线路上，对保密信息通过各线路采用不同的加密密钥提供安全保护。端对端加密则是指信息由发送者端通过专用的加密软件，对所发送文件采用某种加密技术进行加密，把明文加密成密文（这些文件经加密变成别人看不懂的代码），然后进入TCP/IP数据包封装穿过互联网发往目的地。当这些信息一旦到达目的地，再由收件人用相应的密匙进行解密，把密文又还原成明文。

知识小百科

密码——传递信息的暗号

据有关材料记载：1941年12月，在日军突袭珍珠港前夕，电台播出了这样一段天气预报：“东风，有雨；北风，有云；西风，晴朗。”这一条简单的天气预报却隐含了某种约定的信息。它向世界各地的日本外交人员传达了一条重要信息——战争快要爆发了。这就是一种简单的密码，隐含某种约定的，只有收、发双方才明白的信息。

信号旗通信

无独有偶，在第二次世界大战期间，英军也曾在英国广播电台对法国的抗战组织发出类似暗号。比如“本奈迪丹是一种甜酒”，这么一句普通的话，就可能是暗语。传递着空投补给品或特工的资料。有意思的是法国诗人魏伦一首诗的第一行：“秋天像小提琴，拉出幽怨的低泣。”也曾被盟军用来暗示即将发动大规模反攻。

以上的密码都比较简单，而复杂的密码则是用其他词语代替原来的词语，或者把一连串毫不相干的字母拼到一块，代表某个收发双方都明白的意思。比如，“提供支援炮火”可以用 cYPHC几个字母表示。这样，军队便可利用5个字母的不同组合传送详尽的军事情报。而接收情报的人只有对照专用的密码本才能明白其中的意思。

（3）访问控制

访问控制是指按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问，或者限制用户对某些控制功能的使用。通常，访问控制表现为系统管理员控制用户对服务器、文件、目录等网络资源的使用。常见的访问控制包括身份验证和存取控制两种。身份验证是一致性验证的一种。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中应用最早，也是应用最广泛的安全技术。它是互联网信息安全的首道屏障。想一想，我们上网的时候都什么时候用到身份验证呢？存取控制即规定什么样的主体对什么样的客体拥有什么样的操作权限。存取控制是网络安全理论的一个重要方面，它包括人员限制、权限控制、数据标志、类型控制和风险分析。存取控制一般与身份验证技术一起使用，它也是使用最早的安全技术之一。它的职能在于通过赋予不同身份的用户访问。控制的功能有：一是可以阻止非法的主体进入受保护的网络资源，二是允许合法用户享用受保护的网络资源，三是可以阻止合法的用户对受保护的网络资源进行非授权的访问。

数字时代广告