背景:

　　金稅工程是國家電子政務建設十二個系統中重點建設的一個系統，它的建設不僅有利于強化我國稅收管理，促進稅收征管改革的深化，而且為國家其它電子政務建設項目提供了豐富的共享數據源，有利于政府部門之間建立信息共享和協作關系，有利于國家電子政務建設的全面推進。隨著互聯網的普及和安全技術的應用，稅務系統面向個人的業務逐步在互聯網上開展，目前網上保稅包括車船稅、代扣稅、一般印花稅等，而一系列的安全威脅成為稅務網絡建設中必須要解決的問題，如郵件病毒、蠕蟲、間諜軟件欺騙等，這些都是稅務系統開放面向互聯網業務的過程中無法避免的，面對種種的安全威脅華為3Com提出了深度安全解決方案、推出面對應用層威脅的解決辦法。

　　1. 應用層威脅介紹

　　2000年以前，當我們談及網絡安全的時候，還主要指防火墻，因為那時候的安全還主要以網絡層的訪問控制為主。的確，防火墻就像一個防盜門，給了我們基本的安全防護。但是，就像今天最好的防盜門也不能阻止“禽流感”病毒傳播一樣，防火墻也不能阻擋今天的網絡威脅的傳播。今天的網絡安全現狀和2000年以前相比，已經發生了很大的改變，我們已經進入了一個“應用層威脅”泛濫的時代。

　　今天，各種蠕蟲、間諜軟件、網絡釣魚等應用層威脅和EMAIL、移動代碼結合，形成復合型威脅，使威脅更加危險和難以抵御。這些威脅直接攻擊企業核心服務器和應用，給企業帶來了重大損失;攻擊終端用戶計算機，給用戶帶來信息風險甚至財產損失;對網絡基礎設施進行DoS/DDoS攻擊，造成基礎設施的癱瘓;更有甚者，像電驢、BT等P2P應用和MSN、QQ等即時通信軟件的普及，企業寶貴帶寬資源被業務無關流量浪費，形成巨大的資源損失。面對這些問題，傳統解決方案最大的問題是，防火墻工作在TCP/IP 3～4層上，根本就“看”不到這些威脅的存在，而IDS作為一個旁路設備，對這些威脅又“看而不阻”，因此我們需要一個全新的安全解決方案。

　　在解決問題之前，我們需要先了解一下應用層威脅的形式和原理。所謂應用層威脅，主要包括下面幾種形式:

圖1、應用層威脅

　　我們重點介紹一下蠕蟲、間諜軟件、帶寬濫用這三個典型的應用層威脅。

　　1.1. 蠕蟲

　　蠕蟲的定義是指“通過計算機網絡進行自我復制的惡意程序，泛濫時可以導致網絡阻塞和癱瘓”。從本質上講，蠕蟲和病毒的最大的區別在于蠕蟲是通過網絡進行主動傳播的，而病毒需要人的手工干預(如各種外部存儲介質的讀寫)。但是時至今日，蠕蟲往往和病毒、木馬和DDoS等各種威脅結合起來，形成混合型蠕蟲。

　　蠕蟲有多種形式，包括系統漏洞型蠕蟲、群發郵件型蠕蟲、共享型蠕蟲、寄生型蠕蟲和混和型蠕蟲。我們重點談談“系統漏洞型蠕蟲”，系統漏洞型蠕蟲利用客戶機或者服務器的操作系統、應用軟件的漏洞進行傳播，成為目前最具有危險性的蠕蟲。以沖擊波蠕蟲為例，它就是利用Microsoft Rpc DCOM 緩沖區溢出漏洞進行傳播的。系統漏洞型蠕蟲傳播快，范圍廣、危害大。例如2001年CodeRed的爆發給全球帶來了20億美金的損失，而SQ·Slammer只在10分鐘內就攻破了全球!下面是近5年來針對微軟操作系統漏洞的5個最著名的蠕蟲:

　　·紅色代碼(CodeRed):

　　MS01-033，微軟索引服務器緩沖區溢出漏洞，利用TCP 80傳播

　　·SQ·SLAMMER:

　　MS02-039，SQL服務器漏洞，利用UDP 1434進行傳播

　　·沖擊波(Blaster)

　　MS03-026，RPC DCOM服務漏洞，利用TCP 135 139等等進行傳播

　　·震蕩波(Sasser):

　　MS04-011，LSASS本地安全認證子系統服務漏洞，利用TCP 445等端口進行傳播

　　·Zobot

　　MS05-39，windows PnP服務漏洞，利用TCP 445端口進行傳播

　　上述5個蠕蟲都是臭名昭著的蠕蟲，其中Zobot到2005年12月還在網絡上肆虐著它的余威。由于系統漏洞型蠕蟲都利用了軟件系統在設計上的缺陷，并且他們的傳播都利用現有的業務端口，因此傳統的防火墻對其幾乎是無能為力。實際上，系統漏洞是滋生蠕蟲的溫床，而網絡使得他們可以恣意妄為。