第29章 个人网站的建立与维护(1)

电脑的网址

网址就是电脑在因特网上的地址。因特网是一个虚拟的世界，具体电脑的位置用网址来表达。

网址与域名不同，域名就是用户在因特网上的名称。Internr域名则像现实生活中的单位名称，用来说明在该住址的住户姓名或单位名称。

网址也叫IP地址。Internr是由遍布在全球的成千上万台电脑互联组成的网络。在这样一个数量庞大、地域广阔的电脑海洋中，要确立自己的位置，正确地访问每台计算机，就必须使每台电脑有一个独一无二的标识。这个标识必须能够反映电脑在网络世界上所处的位置。这就是IP地址。

IP是英文因特网协议的缩写，其中I代表Internr（因特网），P代表Protocol（协议）。IP的意思就是用因特网协议语言所表示的地址。

网址的编排也要按照一定的逻辑。网络是数字化领域，所有的东西都用数字表达，网址自然也是用数字表达。目前在Internr里，IP地址是一个32位的二进制地址。网址分成四段，每段包含8位二进制。为了与人们常识相吻合，又将二进制转化为十进制。网址就成了四个十进制数字字段。每个数字段之间用圆点隔开，书写形式如下：XXX．XXX．XXX．XXX。逻辑上，每个字段XXX代表的是8位二进制。因为2的8次方是256，所以XXX的数值就是在0～255之间。如中国教育科研网的网络中心域名服务器的IP地址为：202．112．0．33。这个地址是从32位二进制数字演算而来的。

在Internr中，为了便于寻找网址，对网址编排作了相应的规范。IP地址分为两个部分，即“网络部分＋主机部分”。Internr本身由inter和net联合而成。Internr表示由很多个网络组成的网际网。电脑实际上处在具体的net之内。要准确表达电脑的位置，必须弄清两个层次，一是具体的net在Internr中的位置；二是主机在具体的nei网中的位置。第一个层次是网络地址，第二个层次就是主机地址。这就如同国际信件的地址，一个层次是国家的名称，然后才是国家之内的具体地址。在因特网上，先是具体网络在整个因特网中的位置，再在该网络里找到具体主机的地址。

在Internr中，一个主机可以有一个或多个IP地址，就像一个人在生活中可以有多个通信地址一样。但两个或多个主机却不能共用一个IP地址。如果有两个主机的IP地址相同，主机就会无法正常工作了。

防止黑客攻击的方法

从技术上对付黑客攻击，主要采用下列方法：

（1）使用防火墙技术，建立网络安全屏障。使用防火墙系统来防止外部网络对内部网络的未授权访问，作为网络软件的补充，共同建立网络信息系统的对外安全屏障。目前全球联入Internet的电脑中约有1／3是处于防火墙保护之下，主要目的就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的予以放行，不符合的拒之门外。

（2）使用安全扫描工具发现黑客。经常使用“网威”等安全检测、扫描工具作为加强内部网络与系统的安全防护性能和抗破坏能力的主要扫描工具，用于发现安全漏洞及薄弱环节。当网络或系统被黑客攻击时，可用该软件及时发现黑客入侵的迹象，进行处理。

（3）使用有效的监控手段抓住入侵者。经常使用“网威”等监控工具对网络和系统的运行情况进行实时监控，用于发现黑客或入侵者的不良企图及越权使用，及时进行相关处理（如跟踪分析、反攻击等），防范于未然。

（4）时常备份系统，若被攻击可及时修复。这一个安全环节与系统管理员的实际工作关系密切，所以系统管理员要定期地备份文件系统，以便在非常情况下（如系统瘫痪或受到黑客的攻击破坏时）能及时修复系统，将损失减少到最低。

（5）加强防范意识，防止攻击。加强管理员和系统用户的安全防范意识，可大大提高网络、系统的安全性能，更有效地防止黑客的攻击破坏。

用身份验证法识别用户

“身份验证”统指能够正确识别用户的各种方法，是为阻止非法用户的破坏所设，它一般具有如下几个特点：

（1）可信性：信息的来源可信，即信息接收者能够确认所获得的信息不是由冒充者发出的；

（2）完整性：信息在传输过程中保持完整性，即信息接收者能够确认所获得的信息在传输过程中没有被修改、延迟和替换；

（3）不可抵赖性：要求信息的发送方不能否认自己所发出的信息。同样，信息的接收方不能否认已收到了信息；

（4）访问控制：拒绝非法用户访问系统资源，合法用户只能访问系统授权和指定的资源。

口令是当前最常用的身份认证方法。但是，众所周知，不少用户选择的口令水平太低，可以被有经验的黑客猜测出来。我们经常把口令认证叫做“知道即可”的认证方法，因为口令一旦被别人“知道”就丧失了其安全性。现在，很多公司开始转向一种名为“拿到方可”的认证方法，在这种认证方法中，用户进行身份认证时，必须使用令牌或IC卡之类的物理设备。令牌是一种小型设备，只有IC卡或计算器那么大，可以随身携带。

这类产品经常使用一种“挑战一应答”（Challenge-Response）技术。当用户试图建立网络连接时，网络上的认证服务器会发出挑战信息，用户把挑战信息键入到令牌设备后，令牌设备显示合适的应答信息，再由用户发送给认证服务器。很多令牌设备还要求用户键入PIN。IC卡认证与令牌认证比较相似，只不过前者需要使用IC卡读取器来处理挑战信息。

网络防火墙

防火墙（Firewall）是指一个由软件或硬件设备组合而成，处于企业或网络群体电脑与外界通道之间，用来加强因特网与内部网之间安全防范的一个或一组系统。它控制网络内外的信息交流，提供接入控制和审查跟踪，是一种访问控制机制。

一般防火墙具备以下特点：

（1）广泛的服务支持。通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览、HTIP服务、FIP服务等；

（2）通过对专用数据的加密支持，保证通过Internet进行的虚拟专用网商务活动不受破坏；

（3）客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；

（4）反欺骗。欺骗是从外部获取网络访问权的常用手段，它使数据包好象来自网络内部。防火墙能监视这样的数据包并能扔掉它们。

防火墙的设置有两条原则：一是“凡是未被准许的就是禁止的”。另一条策略与此正好相反，它坚持“凡是未被禁止的就是允许的”。防火墙先是转发所有的信息，起初这堵墙几乎不起作用，如同虚设；然后再逐项剔除有害的内容，被禁止的内容越多，防火墙的作用就越大。在此策略下，网络的灵活性得到完整地保留。但是就怕漏过的信息太多，使安全风险加大，并且网络管理者往往疲于奔命，工作量增大。

正因为安全领域中有许多变动的因素，所以安全策略的制定不应建立在静态的基础上。在制定防火墙安全规则时，应符合“可适应性的安全管理”模型的原则，即：

安全=风险分析＋执行策略＋系统实施＋漏洞监测＋实时响应从而满足综合性与整体性相结合的要求。