信息安全培訓方案80

1、安 全 培 訓 方 案二OO六年二月十四日第一部分 信息安全的基礎知識一、什么是信息安全.網(wǎng)絡安全背景, 與相關(guān)的安全事件頻繁出現(xiàn), 已經(jīng)成為商務活動、通訊及協(xié)作的重要平臺/最初被設計為開放式網(wǎng)絡.什么是安全？/安全的定義：信息安全的定義：為了防止未經(jīng)授權(quán)就對知識、事實、數(shù)據(jù)或能力進行實用、濫用、修改或拒絕使 用而采取的措施。/ 信息安全的組成：信息安全是一個綜合的解決方案，包括物理安全、通信安全、輻射安全、計算機安全、網(wǎng)絡安全等。 ,信息安全專家的工作：安全專家的工作就是在開放式的網(wǎng)絡環(huán)境中，確保識別并消除信息安全的威脅和缺陷。.安全是一個過程而不是指產(chǎn)品不能只依賴于一種類型的安全為組織的信

2、息提供保護，也不能只依賴于一種產(chǎn)品提供我們的計算機和網(wǎng)絡系統(tǒng)所需要的所有安全性。因為安全性所涵蓋的范閨非常廣闊，包括:防病毒軟件:生物統(tǒng)計學:加密:訪問控制;防火墻；智能卡;物理安全機制。入侵檢測:策略管理;脆弱點掃描:.百分百的安全神話/絕對的安全：只要有連通性，就存在安全風險，沒有絕對的安全。/ 相對的安全：可以達到的某種安全水平是：使得幾乎所有最熟練的和最堅定的黑客不能登錄你的系統(tǒng)，使黑客對 你的公司的損害最小化。/ 安全的平衡：一個關(guān)鍵的安全原則是使用有效的但是并不會給那些想要真正獲取信息的合法用戶增加負擔的方案。二、常見的攻擊類型為了進一步討論安全，你必須理解你有可能遭遇到的攻擊的類

3、型，為了進一步防御黑客，你還要了 解黑客所采用的技術(shù)、工具及程序。我們可以將常見的攻擊類型分為四大類：針對用戶的攻擊、針對應用程序的攻擊、針對計算機的攻 擊和針對網(wǎng)絡的攻擊。第一類：針對用戶的攻擊.前門攻擊/密碼猜測在這個類型的攻擊中，一通過猜測正確的密碼，偽裝成一個合法的用戶進入系統(tǒng)，因為一個黑客擁有一個合法用戶的所有信息，他（她）就能夠很簡單地從系統(tǒng)的“前門”正當?shù)剡M入。.暴力和字典攻擊/暴力攻擊暴力攻擊類似于前門攻擊，因為一個黑客試圖通過作為一個合法用戶獲得通過。/字典攻擊一個字典攻擊通過僅僅使用某種具體的密碼來縮小嘗試的范陽，強壯的密碼通過結(jié)合大小寫字母、 數(shù)字、通配符來擊敗字典攻擊。

4、2-1：使用4破解系統(tǒng)口令，密碼破解工具2-2：&.病毒計算機病毒是一個被設計用來破壞網(wǎng)絡設備的惡意程序。.社會工程和非直接攻擊社交工程是使用計謀和假情報去獲得密碼和其他敏感信息，研究一個站點的策略其中之一就是盡可 能多的了解屬于這個組織的個體，因此黑客不斷試圖尋找更加精妙的方法從他們希望滲透的組織那里獲 得信息。/打電話請求密碼：一個黑客冒充一個系統(tǒng)經(jīng)理去打電話給一個公司，在解擇了他的帳號被意外鎖定了后，他說服公司 的某位職員根據(jù)他的指示修改了管理員權(quán)限，然后黑客所需要做的就是登錄那臺主機，這時他就擁有了所行管理員權(quán)限。/偽造：使用一個黑客可以截取任何一個身份證，發(fā)送給一個用戶，這樣的消息是

5、真的，因為它發(fā)自于一個 合法的用戶。在這種情形卜這些信息顯得是絕對的真實，然而它們是假的，因為黑客通過欺騙服務器來 發(fā)送它們。2-3：發(fā)送偽造的消息。第二類：針對應用程序的攻擊.緩沖區(qū)溢出目前最流行的一種應用程序類攻擊就是緩沖區(qū)溢出。當目標操作系統(tǒng)收到了超過它設計時在某一時間所能接收到的信息量時發(fā)生緩沖區(qū)溢出。這種多余 的數(shù)據(jù)將使程序的緩存溢出，然后覆盅了實際的程序數(shù)據(jù)，緩沖區(qū)溢出使得目標系統(tǒng)的程序自發(fā)的和遠 程的被修改，經(jīng)常這種修改的結(jié)果是在系統(tǒng)上產(chǎn)生了一個后門。.郵件中繼目前互連網(wǎng)上的郵件服務器所受攻擊有兩類：一類就是中繼利用0,即遠程機器通過你的服務器來 發(fā)信，這樣任何人都可以利用你的服

6、務器向任何地址發(fā)郵件，久而久之，你的機器不僅成為發(fā)送垃圾郵 件的幫兇，也會使你的網(wǎng)絡國際流量激增，同時將可能被網(wǎng)上的很多郵件服務器所拒絕。另一類攻擊稱 為垃圾郵件0,即人們常說的郵件炸彈，是指在很短時間內(nèi)服務器可能接收大量無用的郵件，從而使郵 件服務器不堪負載而出現(xiàn)癱瘓。2-4：通過郵件中繼發(fā)送消息.網(wǎng)頁涂改是一種針灼服務器的網(wǎng)頁內(nèi)容進行非法篡改，以表達不同的觀點或社會現(xiàn)象。這種攻擊通常損害的 是網(wǎng)站的聲譽。（中國紅客聯(lián)盟）第三類：針對計算機的攻擊.物理攻擊許多公司和組織應用了復雜的安全軟件，卻因為主機沒有加強物理安全而破邪了整體的系統(tǒng)安全。 通常，攻擊者會通過物理進入你的系統(tǒng)等非手段來開啟的

7、安全漏洞。增強物理安全的方法包括：用密碼鎖取代普通鎖：將服務器放到上鎖的房間中；安裝視頻監(jiān)視設備。2-5：操作一個對2000的物理攻擊.特洛伊木馬和任何已經(jīng)被修改成包含非法文件的文件叫做特洛伊程序”。特洛伊程序通常包含能打開端口進入或 具有管理權(quán)限的命令行文件，他們可以隱藏自己的表現(xiàn)（無窗口），而將敏感信息發(fā)回黑客并上載程序以 進一步攻擊系統(tǒng)及其安全。2-6：遭受特洛伊木馬感染/（附文檔）是多種系統(tǒng)的一個后門，它在控制階段被引入，并且產(chǎn)生一個嚴重的問題。由一系列的程序構(gòu)成, 當這些程序被特洛伊木馬取代了合法的程序時，這種取代提供給黑客再次進入的后門和特別的分析網(wǎng)絡 工具。.系統(tǒng)和后門/和后門一

8、個是一個程序中的錯誤，它產(chǎn)生一個不注意的通道。一個后門是一個在操作系統(tǒng)上或程序上未被記錄的通道。程序設計員有時有意識地在操作系統(tǒng)或程 序卜.設置后門以便他們迅速地對產(chǎn)品進行支持。.蠕蟲蠕蟲是一種拒絕服務病毒，最近流行的紅色代碼也是類似的一種蠕蟲病毒。蠕蟲病毒消耗完系統(tǒng)的物理和內(nèi)存資源而導致系統(tǒng)緩慢甚至崩潰，而沒有其他的破壞。第四類：針對網(wǎng)絡的攻擊.拒絕服務攻擊：在一個拒絕服務攻擊中，一個黑客阻止合法用戶獲得服務。這些服務可以是網(wǎng)絡連接，或者任何一 個系統(tǒng)提供的服務。/ 分布式拒絕服務攻擊：（附文檔）是指幾個遠程系統(tǒng)一起工作攻擊一個遠程主機，通常通過大量流量導致主機超過負載而崩潰。.哄騙：（附文

9、檔）哄騙和偽裝都是偷竊身份的形式，它是一臺計算機模仿另一臺機器的能力。特定的例子包括哄騙， 哄騙，路由器哄騙和哄騙等。.信息泄漏：幾乎所有的網(wǎng)絡后臺運行程序在默認設置的情況卜都泄漏了很多的信息，組織結(jié)構(gòu)必須決定如何最 少化提供給公眾的信息，哪些信息是必要的，哪些信息是不必要的。需要采取措施保護，不必要泄漏的信息：服務器的內(nèi)容、路由表、用戶和帳號名、運行在任何服務 器上的標題信息（如操作系統(tǒng)平臺、版本等）。2-7：通過連接服務器的、3等服務.劫持和中間人攻擊：中間人攻擊是黑客企圖對一個網(wǎng)絡的主機發(fā)送到另一臺主機的包進行操作的攻擊。黑客在物理位置 上位于兩個被攻擊的合法主機之間。最常見的包括：嗅探

10、包：以獲得用戶名和密碼信息，任何以明文方式傳送的信息都有可能被嗅探：包捕獲和修改：捕獲包修改后重新再發(fā)送：包植入：插入包到數(shù)據(jù)流；連接劫持：黑客接管兩臺通信主機中的一臺，通常針對會話。但非常難于實現(xiàn)。2.8：網(wǎng)絡包嗅探郵件賬號口令三、信息安全服務.安全服務國際標準化組織07498-2定義了幾種安全服務:服務目標驗證提供身份的過程訪問控制確定一個用戶或服務可能用到什么樣的系統(tǒng)資源，查看還是改變數(shù)據(jù)保密性保護數(shù)據(jù)不被未授權(quán)地暴露。數(shù)據(jù)完整性這個服務通過檢查或維護信息的一致性來防止主動的威脅不可否定性防止參與交易的全部或部分的抵賴。.安全機制根據(jù)提出的，安全機制是一種技術(shù)，一些軟件或?qū)嵤┮粋€或更多安

11、全服務的過程O把機制分成特殊的和普遍的。一個特殊的安全機制是在同一時間只對一種安全服務上實施一種技術(shù)或軟件。如：加密、數(shù)字簽名 等。普遍的安全機制不局限于某些特定的層或級別，如：信任功能、事件檢測、審核跟蹤、安全恢復等。、網(wǎng)絡安全體系結(jié)構(gòu)第二部分信息安全的實際解決方案一、加密技術(shù).加密系統(tǒng)加密把容易讀取的源文件變成加密文本，能夠讀取這種加密文本的方法是獲得密鑰（即把原來的源 文件加密成加密文本的一串字符）。1）加密技術(shù)通常分為三類：對稱加密：使用一個字符串（密鑰）去加密數(shù)據(jù)，同樣的密鑰用于加密和解密。非對稱加密：使用一對密鑰來加密數(shù)據(jù)。這對密鑰相關(guān)有關(guān)聯(lián)，這對密鑰一個用于加密，一個 用于解密，

12、反之亦然。非對稱加密的另外一個名字是公鑰加密。加密：更嚴格的說它是-種算法，使用一個叫函數(shù)的數(shù)學方程式去加密數(shù)據(jù)。理論上函數(shù)把信 息進行混雜，使得它不可能恢復原狀。這種形式的加密將產(chǎn)生一個值，這個值帶有某種信息， 并且具有一個長度固定的表示形式。2）加密能做什么？加密能實現(xiàn)四種服務:數(shù)據(jù)保密性：是使用加密最常見的原因；數(shù)據(jù)完整性：數(shù)據(jù)保密對數(shù)據(jù)安全是不足夠的，數(shù)據(jù)仍有可能在傳輸時被修改，依賴于函數(shù) 可以驗證數(shù)據(jù)是否被修改：驗證：數(shù)字證招提供了種驗證服務，招助證明信息的發(fā)送者就是宣稱的其本人；不可否定性：數(shù)字證書允許用戶證明信息交換的實際發(fā)生.，特別適用于財務組織的電子交易。.對稱密鑰加密系統(tǒng)在

13、對稱加密或叫單密鑰加密中，只有一個密鑰用來加密和解密信息。對稱加密的好處就是快速并且強壯。對稱加密的缺點是有關(guān)密鑰的傳播，所有的接收者和查看者都必須持有相同的密鑰。但是，如果用戶要在公共介質(zhì)上如互聯(lián)網(wǎng)來傳遞信息，他需要通過一種方法來傳遞密鑰。一個解決 方案就是用非對稱加密，我們將在本課的后面提到。.非對稱密鑰加密系統(tǒng)非對稱加密在加密的過程中使用一對密鑰，一對密鑰中一個用于加密，另一個用來解密。這對密鑰 中一個密鑰用來公用，另一個作為私有的密鑰：用來向外公布的叫做公鑰，另一半需要安全保護的是私 鑰。非對稱加密的一個缺點就是加密的速度非常慢，因為需要強烈的數(shù)學運算程序。.加密和數(shù)字簽名加密把一些不

14、同長度的信息轉(zhuǎn)化成雜亂的128位的編碼里，叫做值。加密用于不想對信息解密或讀 取。使用這種方法解密在理論上是不可能的，是通過比較兩上實體的值是否一樣而不用告之其它信息。1）數(shù)字簽名加密另一種用途是簽名文件。簽名過程中，在發(fā)送方用私鑰加密哈希值從而提供簽名驗證，接受方在獲得通過發(fā)送方的公鑰解密 得到的哈赤值后，通過相同的單向加密算法處理數(shù)據(jù)用來獲得白己的哈希值，然后比較這兩個哈希值， 如果相同，則說明數(shù)據(jù)在傳輸過程中沒有被改變。/ 加密系統(tǒng)算法的強度加密技術(shù)的強度受三個主要因素影響：賽法強度、密鑰的保密性、密鑰的長度。算法強度：是指如果不嘗試所有可能的密鑰的組合將不能算術(shù)地反轉(zhuǎn)信息的能力。密鑰的

15、保密性：算法不需要保密，但密鑰必須進行保密。密鑰的長度：密鑰越長，數(shù)據(jù)的安全性越高。.應用加密的執(zhí)行過程1）電子郵件加密用丁加密的流行方法就是使用或，雖然加密的標準不同，但它們的原則都是一樣的。卜.面是發(fā)送和 接收中加密的全部過程：發(fā)送方和接收方在發(fā)送信息之前要得到對方的公鑰。發(fā)送方產(chǎn)生一個隨機的會話密鑰，用于加密信息和附件。這個密鑰是根據(jù)時間的不同以及文件 的大小和口期而隨機產(chǎn)生的。算法通過使用，一 5等等。發(fā)送若然后把這個會話密鑰和信息進行一次單向加密得到一個值。這個值用來保證數(shù)據(jù)的完整 性因為它在傳輸?shù)倪^程中不會被改變。在這步通常使用2, 4, 5或。5用于，而默認使用。發(fā)送者用自己的私

16、鑰對這個值加密。通過使用發(fā)送者自己的私鑰加密，接收者可以確定信息確 實是從這個發(fā)送者發(fā)過來的。加密后的值我們稱作信息摘要。發(fā)送者然后用在第二步產(chǎn)生的會話密鑰對信息和所有的附件加密。這種加密提供了數(shù)據(jù)的保密 性。發(fā)送者用接收者的公鑰對這個會話密鑰加密，來確保信息只能被接收者用其白己的私鑰解密。 這步提供了認證。然后把加密后的信息和數(shù)字摘要發(fā)送給接收方。解密的過程正好以相反的順序執(zhí)行。44：利用2000建立服務器4-2：為電子郵件帳戶申請證書4-3：將用戶證書導出到文件保存，并傳播給需要的用戶4-4：在中建立通訊簿，建立證書與聯(lián)系人的鏈接45：實現(xiàn)安全的電子郵件通訊（郵件加密和簽名）2）服務器加密

17、使用非對稱加密保護在線傳輸，但同時這個傳輸是使用對稱密鑰加密的。大多的瀏覽器都支持這個 協(xié)議，包括和微軟的。/安全套接字層。協(xié)議允許應用程序在公網(wǎng)上秘密的交換數(shù)據(jù)，因此防止了竊聽，破壞和信息偽造。所有的瀏覽器都支持，所以應用程序在使用它時不需要特殊的代碼。4-6：為申請證書a）在中完成證書申請向?qū)?，生成證書申請文件；b）利用證書申請文件在中申請證書，并下載證書到文件；c）在中完成掛起證書申請4-7：啟用站點的通道4-8：實現(xiàn)中3、的通訊二、認證技術(shù)示，用戶在訪問安全系統(tǒng)之前，首先經(jīng)過身份認證系統(tǒng)識別身份，然后訪問監(jiān)控器根據(jù)用戶的身份和授 權(quán)數(shù)據(jù)庫決定用戶是否能的訪問某個資源。1）認證的方法用戶

18、或系統(tǒng)能夠通過四種方法來證明他們的身份：/ ?基于II令的認證方式是最常用的一種技術(shù)，但它存在嚴重的安全問題。它是一種單因素的認證，安 全性僅依賴于II令，II令一旦泄露，用戶即可被冒充。/ ?更加精需的認證系統(tǒng)，要求不僅要有通行卡而且要有密碼認證。如：智能卡和數(shù)字證書的使用。/ ?這種認證方式以人體惟一的、可靠的、穩(wěn)定的生物特征（如指紋、虹膜、臉部、掌紋等）為依據(jù)， 采用計算機的強大功能和網(wǎng)絡技術(shù)進行圖像處理和模式識別。/ ?最弱的身份驗證形式，根據(jù)你的位置來決定你的身份。如中的和程序通過源地址來驗證個用戶， 主機或執(zhí)行過程；反向查詢防止域名哄騙等。2）特定的認證技術(shù)幾種常用于加強認證系統(tǒng)的

19、技術(shù)，它們結(jié)合使用加密技術(shù)和額外策略來檢查身份。/ 一次性口令認證：。人們已經(jīng)發(fā)明了一種產(chǎn)生一次性口令的技術(shù)，稱之為挑戰(zhàn)/回答（）。種子：決定于用戶，一般在一臺機器上，一個種子對應于一個用戶，也就是說，種子在一個系 統(tǒng)中應具有唯一性，這不是秘密的而是公開的。迭代值：迭代值是不斷變化的，而種子和通行短語是相對不變的，所以迭代值的作用就是使II 令發(fā)生變化。通行短語：通行短語是保密的，而種子和迭代值是公開的，這樣就決定了口令的機密性。當用戶登錄時，系統(tǒng)會向用戶提出挑戰(zhàn)，包括種子和迭代值，然后用戶用得到的種子和迭代值再加 上自己知道的通行短語計算出一個答復，并傳送給系統(tǒng)，因為系統(tǒng)也知道這個通行短語，

20、所以系統(tǒng)可以 驗證答復是否正確。/認證技術(shù)提供了一種在開放式網(wǎng)絡環(huán)境下進行身份認證的方法，它使網(wǎng)絡上的用戶可以相互證明自己的身份。 是種被證明為非常安全的雙向身份認證技術(shù)，其身份認證強調(diào)了客戶機對服務器的認證，有效地防止 了來自服務器端身份冒領的欺騙.采用對稱密鑰體制對信息進行加密。冗基木思想是：能正確對信息進行解密的用戶就是合法用戶。 用戶在對應用服務器進行訪問之前，必須先從第三方（服務器）獲取該應用服務器的訪問許可證（）。密鑰分配中心（即服務器）由認證服務器和許可證頒發(fā)服務器構(gòu)成。的認證過程如圖所示.,公鑰認證體系（）X.509是定義目錄服務建議X.500系列的一部分，其核心是建立存放每個

21、用戶的公鑰證書的目錄庫。 用戶公鑰證書由可信賴的創(chuàng)建，并由或用戶存放于目錄中。若A想獲得B的公鑰，A先在目錄中查找，利用的公鑰和算法驗證B的公鑰證書的完整性，從而 判斷公鑰的是否正確。顯然X.509是一種基于證書的公鑰認證機制，這種機制的實現(xiàn)必須要有可信賴的的參與。三、防火墻技術(shù)防火墻的體系架構(gòu)：防火墻的發(fā)展從第一代的機軟件，到工控機、，再到架構(gòu)。第二代的、架構(gòu)。發(fā)展到第三代的專用安全處 理芯片背板交換架構(gòu)，以及“ ”集成安全體系架構(gòu)。為了支持更廣泛及更高性能的業(yè)務需求，各個廠家全力發(fā)揮各自優(yōu)勢，推動著整個技術(shù)以及市場的 發(fā)展。目前，防火墻產(chǎn)品的三代體系架構(gòu)主要為：第一代架構(gòu)：主要是以單一作為

22、整個系統(tǒng)業(yè)務和管理的核心，行X86、等多類型，產(chǎn)品主要表現(xiàn)形 式是機、工控機、或等;第二代架構(gòu)；以或作為業(yè)務處理的主要核心，對一般安全業(yè)務進行加速，嵌入式為管理核心，產(chǎn)品 主要表現(xiàn)形式為等；第三代架構(gòu)：（）集成安全體系架構(gòu)，以高速安全處理芯片作為業(yè)務處理的主要核心，采用高性能 發(fā)揮多種安全業(yè)務的高層應用，產(chǎn)品主要表現(xiàn)形式為基于電信級的高可靠、背板交換式的機架式設備. 容量大性能高，各單元及系統(tǒng)更為靈活。防火墻三代體系架構(gòu)業(yè)務特性、性能對比分布圖安全芯片防火墻體系架構(gòu)框圖基于指標的體系變革衡量防火墻的性能指標主要包括喬吐量、報文轉(zhuǎn)發(fā)率、最大并發(fā)連接數(shù)、每秒新建連接數(shù)等。吞吐量和報文轉(zhuǎn)發(fā)率是關(guān)系防

23、火墻應用的主要指標，般采用（）來衡量，指64字節(jié)數(shù)據(jù)包的全雙工吞吐量，該指標既包括吞吐最指標也涵蓋了報文轉(zhuǎn)發(fā)率指標。與端II容量的區(qū)別；端口容量指物理端口的容量總和。如果防火墻接了 2個千兆端口，端口容量為2,但可能只是200。與的區(qū)別：指半雙工吞吐量（）。一個兆I可以同時以1的速度收和發(fā)。按來說，就是1； 按來說，就是2。有些防火墻的廠商所說的吞吐量，往往是。一般來說，即使有多個網(wǎng)絡接II,防火墻的核心處理往往也只有一個處理器完成，要么是，要 么是安全處理芯片或,等。對于防火墻應用，應該充分強調(diào)64字節(jié)數(shù)據(jù)的整機全雙工存吐量，該指標主要由或安全處理芯 片、等核心處理單元的處理能力和防火墻體系

24、架構(gòu)來決定。對于不同的體系架構(gòu)，其適應的范困是不一樣的，如對于第代單體系架構(gòu)其理論為百兆級別, 對于中高端的防火墻應用，必須采用第二代或第三代集成安全體系架構(gòu)?；跈C構(gòu)的第三代安全體系架構(gòu)，充分繼承了大容量路由器、交換機的架構(gòu)特點，可以在支持 多安全業(yè)務的基礎.上，充分發(fā)揮高吞吐量、高報文轉(zhuǎn)發(fā)率的能力。防火墻體系架構(gòu)經(jīng)歷了從低性能的X86、軟件防火墻向高性能硬件防火墻的過渡，并逐漸向不 但能夠滿足高性能也需要支持更多業(yè)務能力的方向發(fā)展。集成安全體系作為防火墻第三代體系架構(gòu)，根據(jù)企業(yè)未來對于高性能多業(yè)務安全的需求，集成安全體系架構(gòu), 吸收了不同硬件架構(gòu)的優(yōu)勢。恒揚科技推出了自主研發(fā)的、安全芯片和

25、P4以及基于集成安全系統(tǒng)架構(gòu)的自主產(chǎn)權(quán)操作系統(tǒng)。它 可以提升防火墻產(chǎn)品的報文過濾檢測、攻擊檢測、加解密、特性、特性等各方面性能的同時，并可實現(xiàn) 安全業(yè)務的全方面拓展。國微通訊也推出了基于安全體系架構(gòu)的3000系列防火墻。架構(gòu)靈活的模塊化結(jié)構(gòu)，綜合報文過淀.狀態(tài)檢測、數(shù)據(jù)加解密功能,業(yè)務、業(yè)務,流量監(jiān)管, 攻擊防范、安全審計以及用戶管理認證等安全功能于一體，實現(xiàn)業(yè)務功能的按需定制和快速眼務、響應 升級。體系架構(gòu)的主要特點:.采用結(jié)構(gòu)化芯片技術(shù)設計的專用安全處理芯片作為安全業(yè)務的處理核心，可以大幅提升吞吐昆、轉(zhuǎn)發(fā)率、加解密等處理能力：結(jié)構(gòu)化芯片技術(shù)可編程定制線速處理模塊.以快速滿足客戶需求：.采用

26、高性能通用作為設備的管理中心和上層業(yè)務拓展平臺，可以平滑移植并支持上層安全應用業(yè)務，提升系統(tǒng)的應用業(yè)務處理能力：3,采用大容量交換背板承載大量的業(yè)務總線和管理通道，其中千兆業(yè)務總線和管理通道物理分離，不僅業(yè)務層次劃分清晰，便于管理，而且性能互不受限:.采用電信級機架式設計，無論是安全處理單元、主處理單元及其他各類板卡、電源、機框等 模塊在可擴展、可拔插、防輻射、防干擾、冗余備份、可升級等方面做了全方位考慮，真正地實現(xiàn)了安 全設備的電信級可靠性和可用性；.不僅達到了安全業(yè)務的高性能而且實現(xiàn)了“ ”，站在客戶角度解決了多業(yè)務、多設備的整合, 避免了單點設備故障和安全故障，大大降低了管理復雜度：.通

27、過背板及線路接口單元擴展可提供高密度的業(yè)務接口。3. 1防火墻簡介/防火墻的定義防火墻指的是位于可信網(wǎng)絡（如內(nèi)部網(wǎng)絡）和不可信網(wǎng)絡（如）之間并對經(jīng)過其間的網(wǎng)絡流最進行 檢查的一臺或多臺計算機。防火墻具有如卜.特性：所有的通信都經(jīng)過防火墻；防火墻只放行經(jīng)過授權(quán)的流量；防火墻能經(jīng)受得起對其本身的攻擊。/ 防火墻的優(yōu)勢和弱點防火墻的優(yōu)勢：實施一個公司的整體安全策略創(chuàng)建一個阻塞點（網(wǎng)絡邊界）記錄活動限制網(wǎng)絡暴露防火墻的弱點：防火墻不能防范經(jīng)過授權(quán)的東西。防火墻只能按對其配置的規(guī)則進行有效的工作：防火墻對社交工程類型的攻擊或一個授權(quán)的用戶利用合法訪問進行的惡意攻擊不起作用：防火墻不能修復脆弱的管理措施或

28、設計有問題的安全策略；防火墻不能阻止那些不經(jīng)過它的攻擊。3. 2防火墻的分類：軟件類：防火墻運行于通用操作系統(tǒng)如2000、上，它們通過修改系統(tǒng)的內(nèi)核和協(xié)議棧來檢測流量。要想獲得較高的安全性，就必須時操作系統(tǒng)進行加固、修補和維護。此類防火墻如：運行于、2000平臺上的1,企業(yè)防火墻，2000等。硬件類防火墻：硬件防火墻集成了操作系統(tǒng)和防火墻的功能，形成了一個整體牢固、功能專一的設備。這種防 火墻也提供了功能完善的管理接I I。硬件防火墻在使用時不需要做很多主機加固的工作，不用再費心于重新配置和修補通用操作系 統(tǒng)，而可以集中注意力構(gòu)思防火墻規(guī)則，減少了操作和維護的成本。此類防火墻如：國外的、等，國

29、內(nèi)的：清華同方，天融信，聯(lián)想等芯片級類防火墻：芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專行的芯片促使它們比其他種類的防火墻速度更 快，處理能力更強，性能更高。做這類防火墻最出名的廠商有、等。這類防火墻由于是專用（操作系統(tǒng)）, 因此防火墻本身的漏洞比較少，不過價格相對比較高昂根據(jù)防火墻所采用的技術(shù)不同，為以下幾種基本類型：包過濾防火墻數(shù)據(jù)包過濾（）技術(shù)是在網(wǎng)絡層對數(shù)據(jù)包進行分析、選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設置的過濾邏輯, 稱為訪問控制表（）。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端II號、協(xié)議狀態(tài) 等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。其實現(xiàn)機制如圖1所示I應用層一1

30、-11i會話層:傳送層1:網(wǎng)絡層文鏈路層1 1物理層1也部呻表示層圖1包過濾防火墻的實現(xiàn)機制數(shù)據(jù)包過濾防火塔的優(yōu)點是速度快、邏輯簡單、成本低、易于安裝和使用，網(wǎng)絡性能和透明度好。 它通常安裝在路由器上，內(nèi)部網(wǎng)絡與連接，必須通過路由器，因此在原有網(wǎng)絡上增加這類防火墻，幾乎 不需要任何額外的費用。這類防火墻的缺點是不能時數(shù)據(jù)內(nèi)容進行控制：很難準確地設置包過渡器，缺乏用戶級的授權(quán)：數(shù) 據(jù)包的源地址、目的地址以及端口號都在數(shù)據(jù)包的頭部，很有可能被冒充或竊取，而非法訪問一旦突破 防火墻，即可對主機上的系統(tǒng)和配置進行攻擊。說明：網(wǎng)絡層的安全防護，主要目的是保證網(wǎng)絡的可用性和合法使用，保護網(wǎng)絡中的網(wǎng)絡設備、

31、主機 操作系統(tǒng)以及各服務的正常運行，根據(jù)地址控制用戶的網(wǎng)絡訪問.網(wǎng)絡層在的體系層次中處于較低的層次, 因而其安全防護也是枚低級的，并且不易使用和管理.網(wǎng)絡層的安全防護是面向空間的.應用層網(wǎng)關(guān)應用層網(wǎng)關(guān)（）技術(shù)是在網(wǎng)絡的應用層上實現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡應用服務 協(xié)議使用指定的數(shù)據(jù)過濾邏軾，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、記錄和統(tǒng)計，形成報告。 實際的應用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上，其實現(xiàn)機制如圖2所示。圖2應用網(wǎng)關(guān)防火墻實現(xiàn)機制應用層網(wǎng)關(guān)防火墻和數(shù)據(jù)包過濾杓一個共同的特點，就是它們僅僅依靠特定的邏輯來判斷是否允許數(shù) 據(jù)包通過。一旦符合條件，防火墻內(nèi)外的計算機系統(tǒng)便可以

32、建立直接聯(lián)系，外部的用戶便有可能直接了解 到防火墻內(nèi)部的網(wǎng)絡結(jié)構(gòu)和運行狀態(tài)，這大大增加了非法訪問和攻擊的機會。針對對上缺點，出現(xiàn)了應用代理服務（）技術(shù)。說明：應用層的安全防護，主要目的保證信息訪問的合法性，確保合法用戶根據(jù)授權(quán)合法的訪問數(shù) 據(jù)。應用層在的體系層次中處于枝高的層次，因而其安全防護也是校高級的應用層的安全防護是面向 用戶和應用程序的。應用代理服務器應用代理服務技術(shù)能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應用層的連接，由兩個代理服務器之間的連接來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器，從而起 到隔離防火墻內(nèi)外計算機系統(tǒng)的作用。另外代理服務器也對過往的數(shù)

33、據(jù)包進行分析、記錄、形成報告， 當發(fā)現(xiàn)攻擊跡象時會向網(wǎng)絡管理員發(fā)出警告，并保留攻擊痕跡。其應用層代理服務數(shù)據(jù)的控制及傳輸過 程如圖3所示。請求客戶防火墻代理轉(zhuǎn)發(fā) 應答請求轉(zhuǎn)發(fā)應答圖3代理服務防火墻應用層數(shù)據(jù)的控制及傳輸應用代理服務器對客戶端的請求行使“代理”職近?？蛻舳诉B接到防火墻并發(fā)出請求，然后防火墻連 接到服務器，并代表這個客戶端重復這個請求。返回時數(shù)據(jù)發(fā)送到代理服務器，然后再傳送給用戶，從而 確保內(nèi)部地址和I 1令不在上出現(xiàn)。優(yōu)點：比包過濾防火墻安全，管理更豐富，功能提升容易。易于記錄并控制所有的進/出通信，并對 的訪問做到內(nèi)容級的過濾缺點：執(zhí)行速度慢，操作系統(tǒng)容易遭到攻擊。說明：代理服

34、務器()是指，處理代表內(nèi)部網(wǎng)絡用戶的外部服務器的程序?？蛻舸砼c代理服務器 對話，它核實用戶請求，然后才送到真正的服務器上，代理股務器在外部網(wǎng)絡向內(nèi)部網(wǎng)絡申請服務時發(fā)揮 了中間轉(zhuǎn)接作用.內(nèi)部網(wǎng)絡只接收代理服務器提出的服務請求，拒絕外部網(wǎng)絡上其他節(jié)點的直接請求.當 外部網(wǎng)絡向內(nèi)部冏絡的節(jié)點申請某種服務時，如、等，先由代理服務器接收，然后根據(jù)其服務類型、服 務內(nèi)容、被服務對象，以及申請者的域名篦困、地址等因素，決定是否接受此項服務.如果接受，則由代 理服務器向內(nèi)部網(wǎng)絡轉(zhuǎn)發(fā)請求，并把應答回送給申請者；否則，拒絕其請求.根據(jù)其處理協(xié)議的不同，可 分為網(wǎng)關(guān)型、網(wǎng)關(guān)型、網(wǎng)關(guān)型等防火墻，其優(yōu)點在于既能進行安

35、全控制，又可加速訪問，但實現(xiàn)起來比枝 困難，對于每一種服務協(xié)議必須設計一個代理軟件模式，以進行安全控制.狀態(tài)檢測防火墻狀態(tài)檢測又稱動態(tài)包過濾，是在傳統(tǒng)包過濾上的功能擴展，最早由提出。傳統(tǒng)的包過濾在遇到利用 動態(tài)端口的協(xié)議時會發(fā)生困難，如，你事先無法知道哪些端II需要打開，而如果采用原始的靜態(tài)包過濾, 又希望用到的此服務的話，就需要實現(xiàn)將所有可能用到的端II打開，而這往往是個非常大的范圍，會給 安全帶來不必要的照患。而狀態(tài)檢測通過檢查應用程序信息(如的和命令)，來判斷此端11是否允許需要 臨時打開，而當傳輸結(jié)束時，端”又馬上恢量為關(guān)閉狀態(tài)。狀態(tài)檢測防火墻在網(wǎng)絡層由一個檢查引擎截獲數(shù)據(jù)包并抽取出與

36、應用層狀態(tài)有關(guān)的信息，并以此作 為依據(jù)決定對該連接是接受還是拒絕。檢查引擎維護一個動態(tài)的狀態(tài)信息表并對后續(xù)的數(shù)據(jù)包進行檢查。 一旦發(fā)現(xiàn)任何連接的參數(shù)行意外的變化，該連接就被中止。這種技術(shù)提供了高度安全的解決方案，同時 也具有較好的性能、適應性和可擴展性。狀態(tài)檢測防火墻一般也包括一些代理級的服務，它們提供附加 的對特定應用程序數(shù)據(jù)內(nèi)容的支持（如從連接中抽取出或控件等）。狀態(tài)檢測技術(shù)最適合提供對協(xié)議的有限支持。它將所有通過防火墻的分組均視為一個虛擬連接，當 反向應答分組送達時就認為一個虛擬連接已經(jīng)建立。每個虛擬連接都具有一定的生存期，較長時間沒有 數(shù)據(jù)傳送的連接將被中止。狀態(tài)檢測防火墻克服了包過濾

37、防火墻和應用代理服務器的局限性，他們不僅僅檢測”或“ ”的地址, 而且也不要求每個被訪問的應用都有代理。狀態(tài)檢測防火墻根據(jù)協(xié)議、端口及源、目的地址的具體情況決 定數(shù)據(jù)包是否可以通過。對于每個安全策略允許的請求，狀態(tài)檢測防火墻啟動相應的進程，可以快速地確 認符合授權(quán)流通標準的數(shù)據(jù)包，這使得本身的運行非?？焖?。清華得實硬件防火墻綜合了包過渡和應用代理服務器兩類防火墻的優(yōu)點，在提供根據(jù)數(shù)據(jù)包地址或端 11進行過濾處理的同時還可實現(xiàn)對常用協(xié)議的內(nèi)容過濾，即具備了包過濾類型防火墻的速度，又具備代 理類型防火墻的安全。3.3防火墻管理的基礎/安全簡介如果你是一個網(wǎng)絡管理員或安全管理員，你需要對參考模型非常

38、熟悉。堆棧包括四層。為了更好的 理解，請與模型進行比較。/物理層及其安全：物理層由傳輸在纜線上的電子信號組成。物理層上的安全保護措施不多。如果一個潛在的黑客可以訪問物理介質(zhì)，如搭線竊聽和，他將可以 復制所有傳送的信息。唯一有效的保護是使用加密，流量添充等。,網(wǎng)絡層及其安全：層使用較高效的服務來傳送數(shù)據(jù)報文。所有上層通信，如，都被封裝到一個數(shù)據(jù)報中。絕大多數(shù) 安全威脅并不來自于堆棧的這一層。協(xié)議0：報頭中包含一些信息和控制字段，以及32位的源地址和32位的目的地址。這個字段包括一些信息， 如的版本號，長度，服務類型和其它配置等。黑客經(jīng)常利用一種叫做欺騙的技術(shù)，把源地址替換成一個錯誤的地址。接收主

39、機不能判斷源地址是 不正確的，并且上層協(xié)議必須執(zhí)行一些檢充來防止這種欺騙6-1：安裝網(wǎng)絡包捕獲軟件，捕獲包信息，分析報頭控制信息協(xié)議控制信息協(xié)議（）報文由接收端或者中間網(wǎng)絡設備發(fā)回給發(fā)送端，用來在包發(fā)送出錯時給出回應。消息類型消息包含三個字段:、和，和字段決定了消息的類型。0 一一響應回復：命令發(fā)回的包；3 一目標不可達：由發(fā)回。0：網(wǎng)絡不可達：1：主機不可達：2：協(xié)議不可達；3：端口不可達。8響應請求：由命令發(fā)出；阻止消息近來的攻擊方法包括（）系列的程序利用消耗帶寬來有效地摧毀站點。到今天，微軟的站點對于并不做出響應，因為微軟已經(jīng)過濾了所有的請求。一些公司現(xiàn)在也在他們的防火墻上過濾了流最。6

40、-2：通過網(wǎng)絡包捕獲軟件，捕獲包，分析報頭/傳輸層及其安全傳輸層控制主機間傳輸?shù)臄?shù)據(jù)流。傳輸層存在兩個協(xié)議，傳輸控制協(xié)議（）和用戶數(shù)據(jù)報協(xié)議（）。 傳輸控制協(xié)議（）是一個面向連接的協(xié)議：對于兩臺計算機的通信，它們必須通過握手過程來進行信息交換。包頭包頭的標記區(qū)建立和中斷一個基本的連接。有三個標記來完成這些過程：同步序列號：發(fā)送端沒有更多的數(shù)據(jù)要傳輸?shù)男盘枺鹤R別數(shù)據(jù)包中的確認信息。建立一個連接：和經(jīng)過三次握手。中止一個連接：和結(jié)束一個連接的四個基本步驟。攻擊溢出是的最常見威脅，黑客能夠建立多個半連接，行服務器忙于創(chuàng)建一個端I】時，黑客留給服務器 一個連接，然后又去建立另一個連接并也留給服務器。這

41、樣建立了幾千個連接，直到目標服務器打開了 幾百個或上千個半連接。因此，服務器的性能受到嚴重限制，或服務器實際己經(jīng)崩潰。防火墻必須配置 為能夠偵測這種攻擊。6.3,通過網(wǎng)絡包捕獲軟件，捕獲包，分析報頭用戶數(shù)據(jù)報協(xié)議。是一個非面向連接的協(xié)議。它經(jīng)常用做廣播類型的協(xié)議，如音頻和視頻數(shù)據(jù)流。很少有安全上的險患。因為主機發(fā)出一個信息并不期望收到一個回或，在這種數(shù)據(jù)報文里面嵌入一 個惡意的活動是很困難的。6-4：通過網(wǎng)絡包捕獲軟件，捕獲包，分析報頭,應用層及其安全應用層是最難保護的一層。因為應用程序幾乎是可無限制地執(zhí)行的，你實際上是沒有辦法保護所有 的應用層上的程序的，所以只允許一些特殊的應用程序能通過網(wǎng)

42、絡進行通信是一個不錯的方法。文件傳輸協(xié)議O用兩個端口通信：利用21端II來控制連接的建立，控制連接端口在整個會話中保持開放。服務器可能不需要對客戶端進行認證：當需要認證時，所有的用戶名和密碼都是以明文傳輸?shù)?。同樣使用的技術(shù)包括服務器上的口志文件，黑客添滿硬盤，使口志文件沒有空間再記錄其它事件， 這樣黑客企圖進入操作系統(tǒng)或其它服務而不被日志文件所檢杳到。因此，推薦將根目錄與操作系統(tǒng)和口志文件分別放在不同的分區(qū)上。超文本傳輸協(xié)議。有兩種明顯的安全問題：客戶端瀏覽應用程序和服務器外部應用程序。對用用戶的一個安全問題是卜栽有破壞性的控件或。這些程序在用戶的計算機上執(zhí)行并含有某種 類別的代碼，包括病毒或

43、特洛伊木馬。為了擴大和擴展服務器的功能，一些擴展的應用程序可以加入到服務器中。這些擴展的應用程序包 括，等等。這些程序都有一些安全漏洞，一旦服務器開始執(zhí)行代碼，那么它有可能遭到破壞。對于這種 破壞的保護方法是留意最新的安全補，卜我并安裝這些補J.。是以明文的方式發(fā)送所有的用戶名和密碼的。有經(jīng)驗的黑客可以劫持一個會話。因此，它不應該應用到互聯(lián)網(wǎng)上。你還應該在防火墻上過渡掉所有的流量。簡單網(wǎng)絡管理協(xié)議()允許管理員檢存狀態(tài)并同有時修改節(jié)點的配置。它使用兩個組件，即管理者和節(jié)點。通過的161和 162端II傳遞所有的信息。所提供的唯一認證就是。如果一個黑客危及到,他將能夠查詢和修改網(wǎng)絡上所有使用的節(jié)

44、點。另一個安全問期是所有的信息都是以明文傳輸?shù)摹Ｊ窃谀愎舅接械木W(wǎng)絡中可用的網(wǎng)絡管理解決方 案，但是所有的流量要在防火墻上過濾掉。域名系統(tǒng)。使用53端II解析請求，但是在執(zhí)行區(qū)域傳輸時使用53端II。區(qū)域傳輸是以卜.面兩種情況完成的：一個客戶端利用命令向服務器請求進行區(qū)域傳輸：當一個從屬域名服務器向主服務器請求得到一個區(qū)域文件；針對常見的兩種攻擊是：中毒：黑客注入錯誤的數(shù)據(jù)到區(qū)域傳輸中，其結(jié)果使得其產(chǎn)生錯誤的映射。獲得非法的區(qū)域傳輸：黑客可以攻擊一個服務器并得到它的區(qū)域文件。這種攻擊的結(jié)果是黑客 可以知道這個區(qū)域中所有系統(tǒng)的地址和計算機名字。6-5：通過、查詢域名中的記錄/使用地址轉(zhuǎn)換隱藏私有

45、地址網(wǎng)絡地址轉(zhuǎn)換端口地址轉(zhuǎn)換/使用過濾路由器的訪問控制列表保護網(wǎng)絡4防火墻的體系結(jié)構(gòu)圖防火墻的系統(tǒng)結(jié)構(gòu)圖圖3-1為防火墻的系統(tǒng)結(jié)構(gòu)圖，其中防火墻引擎模塊根據(jù)所制定的安全策略對進出防火墻的所有數(shù)據(jù) 包進行從數(shù)據(jù)鏈路層到傳輸控制層的過濾：內(nèi)容過濾服務器則完成對應用層數(shù)據(jù)的過濾，防火墻本身 是包過渡類型的防火墻，不具備應用代理功能，但通過內(nèi)容過濾服務器的處理，使得原來只能通過代理 方式進行的內(nèi)容過濾功能也能在包過濾防火墻上實現(xiàn)：用戶登錄服務器處理內(nèi)部網(wǎng)絡合法用戶的登錄請 求以訪問外部網(wǎng)絡，不合法用戶將不能訪問外部網(wǎng)絡；防火墻系統(tǒng)管理員利用防火墻的管理接I I來進 行防火墻的配置操作：管理服務器則是系

46、統(tǒng)管理的核心，負責協(xié)調(diào)所仃的管理配置操作。5防火墻過濾流程圖3-2為防火墻的過濾流程：對于所有進入防火墻的數(shù)據(jù)包，先進行系統(tǒng)安全檢查，不符合的數(shù) 據(jù)包將被丟棄：通過檢充的數(shù)據(jù)包再根據(jù)用戶自定義的過濾規(guī)則進行處理，符合這些規(guī)則的數(shù)據(jù)包將根 據(jù)規(guī)則的動作確定是接受、拒絕還是進行內(nèi)容過濾：對于不符合所有規(guī)則的數(shù)據(jù)包，將根據(jù)系統(tǒng)的缺省 動作進行處理，以確定是接受還是拒絕，通常防火墻的缺省動作應該是拒絕。數(shù)據(jù)包防火墻過濾流程/包過淀防火墻包過濾防火墻檢查每一個通過的網(wǎng)絡包，或者丟棄，或者放行，取決丁所建立的一套規(guī)則。包過濾規(guī)則路的樣本：規(guī)則協(xié)議類型源地址目的地址端口網(wǎng)卡位置措施1128.5.6.0/24

47、129.1.5.15522內(nèi)網(wǎng)允許2任意129.1.5.15480外網(wǎng)允許3任意129.1.5.15025外網(wǎng)允許4任意129.1.5.15253外網(wǎng)允許5任意129.1.5.15353外網(wǎng)允許6任意任意任意任意任意禁止包過濾的優(yōu)點是：不用改動客戶機和主機上的應用程序，因為它工作在網(wǎng)絡層和傳輸層，與應用層無關(guān) 包過濾最大的缺點就是：不能分辨哪些是“好”包哪些是“壞”包，對包哄盛沒有防范能力：不支持更多的其他驗證，如用戶認證；創(chuàng)建這些規(guī)則非常消耗時間。6-6：通過清華得實系列防火墻配置包過漉規(guī)則/應用級網(wǎng)關(guān)應用程序代理防火墻實際上并不允許在它連接的網(wǎng)絡之間直接通信。相反，它是接受來自內(nèi)部網(wǎng)絡 特

48、定用戶應用程序的通信，然后建立于公共網(wǎng)絡服務器單獨的連接。網(wǎng)絡內(nèi)部的用戶不直接與外部的服 務器通信，所以服務器不能直接訪問內(nèi)部網(wǎng)的任何一部分。應用級網(wǎng)關(guān)可以作為一些應用程序如電子郵件、等的中介。使用應用級網(wǎng)關(guān)的優(yōu)點有：指定時連接的控制。通過限制某些協(xié)議的傳出請求，來減少網(wǎng)絡中不必要的服務。大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時間。使用應用級網(wǎng)關(guān)的缺點有：必須在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所用的應用程序。一些應用程序可能根本不支持代理連接。6-7：通過清華得實系列防火墻配置應用服務發(fā)布規(guī)則/ 電路級網(wǎng)關(guān)電路級網(wǎng)關(guān)型防火墻的運行方式與應用級網(wǎng)關(guān)型防火墻很相似，但是它有一個典型的

49、特征，它更多 的是面向非交互式的應用程序。在用戶通過了最初的身份驗證之后，電路級網(wǎng)關(guān)型防火墻就允許用戶穿 過網(wǎng)關(guān)來訪問服務器了，在此過程中，電路級網(wǎng)關(guān)型防火墻只是簡單的中轉(zhuǎn)用戶和服務器之間的連接而 己。電路級網(wǎng)關(guān)型防火墻的典型應用例子就是代理服務器和服務器。電路級網(wǎng)關(guān)通常提供一個重要的安全功能：網(wǎng)絡地址轉(zhuǎn)移（），將所有公司內(nèi)部的地址映射到一個“安 全”的地址。電路級網(wǎng)關(guān)的優(yōu)缺點：電路級網(wǎng)關(guān)的主要優(yōu)點就是提供，在使用內(nèi)部網(wǎng)絡地址機制時為網(wǎng)絡管理員實現(xiàn)安全提供了很大的 靈活性。電路級網(wǎng)關(guān)一個主要的缺點是需要修改應用程序和執(zhí)行程序，并不是所有的應用程序都被編寫 成可與電路級代理一起工作的。3. 6防

50、火墻的配量方案目前比較流行的有以卜三種防火墻配置方案。/雙宿主機網(wǎng)關(guān)（）/ 屏蔽主機網(wǎng)關(guān)（/屏蔽子網(wǎng)（）圖1雙宿主機兩關(guān)圖1雙宿主機網(wǎng)關(guān)圖2孱蔽王機陰關(guān)（田宿里里王機）圖2屏蔽主機網(wǎng)關(guān)（單宿堡壘主機）圖3屏蔽主機網(wǎng)關(guān)（雙宿堡壘主機）圖3屏蔽主機網(wǎng)關(guān)（雙宿堡壘主機）圖4屏蔽子網(wǎng)防火墻6.8：通過清華得實系列防火墻配置以上模式防火墻技術(shù).定義虛擬專用網(wǎng)絡虛擬專用網(wǎng)（）被定義為通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一 條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全

51、連接，并保證數(shù)據(jù)的安全傳輸。/虛擬專用網(wǎng)至少應能提供如下功能：加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。信息認證和身份認證，保證信息的完整性、合法性，并能鑒別用戶的身份。提供訪問控制，不同的用戶布不同的訪問權(quán)限。/的分類根據(jù)所起的作用，可以將分為三類：、和。（）在遠程用戶或移動雇員和公司內(nèi)部網(wǎng)之間的，稱為。在公司遠程分支機構(gòu)的和公司總部之間的。通過這一公共網(wǎng)絡將公司在各地分支機構(gòu)的連到公司總 部的，以便公司內(nèi)部的資源共享、文件傳遞等，可節(jié)省等專線所帶來的高額費用。在供應商、商業(yè)合作伙伴的和公司的之間的。.的隧道協(xié)議區(qū)別于一般網(wǎng)絡互聯(lián)的關(guān)鍵于隧道的建立，然后數(shù)據(jù)包經(jīng)過加密后，按

52、隧道協(xié)議進行封裝、傳送以 保安全性。/（ ） /L2 （ 2 ）支持多種網(wǎng)絡協(xié)議，可把、或的數(shù)據(jù)包封裝在包中，再將整個報文封裝在隧道協(xié)議包中，最后，再 嵌入報文或幀中繼或中進行傳輸。的加密方法采用點對點加密（）算法，可以選用較弱的40位密鑰或強度較大的128位密鑰。1997年底，和公司把協(xié)議和L2F協(xié)議的優(yōu)點結(jié)合在一起，形成了 L2協(xié)議。L2支持多協(xié)議，利用公 共網(wǎng)絡封裝幀，可以實現(xiàn)和企業(yè)原有非網(wǎng)的兼容。還維承了的流最控制，支持（），把多個物理通道捆 綁為單一邏輯信道。優(yōu)點：2對用微軟操作系統(tǒng)的用戶來說很方便，因為微軟已把它作為路由軟件的一部分。2支持其他網(wǎng)絡協(xié) 議，如的，和協(xié)議，還支持流量控

53、制。它通過減少丟棄包來改善網(wǎng)絡性能，這樣可減少重傳。缺點：它不對兩個節(jié)點間的信息傳輸進行監(jiān)視或控制。和L2限制同時最多只能連接255個用戶。端點用 戶需要在連接前手工建立加密信道。認證和加密受到限制，沒有強加密和認證支持。是（）正在完善的安全標準，通過對數(shù)據(jù)加密、認證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、?有性和保密性。由認證頭（）、安全載荷封載（）和密鑰管理協(xié)議組成。用密碼技術(shù)從三個方面來保證數(shù)據(jù)的安全。即：認證，用于對主機和端點進行身份鑒別。完整性檢查，用于保證數(shù)據(jù)在通過網(wǎng)絡傳輸時沒有被修改。加密,加密地址和數(shù)據(jù)以保證私有性。協(xié)議可以設置成在兩種模式下運行：一種是隧道模式，一種是傳輸模式。

54、優(yōu)點：它定義了一套用于認證、保護私有性和完整性的標準協(xié)議。缺點：在客戶機/服務器模式下實現(xiàn)有一些問題，在實際應用中，需要公鑰來完成。除了協(xié)議外，不支持其 他協(xié)議。最適合可信的到之間的虛擬專用網(wǎng)，即內(nèi)部網(wǎng)虛擬專用網(wǎng)。五、入侵檢測系統(tǒng)與入侵防御系統(tǒng)。.什么是入侵監(jiān)測入侵監(jiān)測系統(tǒng)處于防火墻之后對網(wǎng)絡活動進行實時檢測。許多情況下，由于可以記錄和禁I上網(wǎng)絡活 動，所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。.入侵監(jiān)測的功能/網(wǎng)絡流量管理如果你定義了策略和規(guī)則，便可以獲得,，和任何其它的流量。/系統(tǒng)掃描，和這項任務需要在網(wǎng)絡中不同的部分實施控制，從操作系統(tǒng)到掃描器、程序和防火墻。

55、系統(tǒng)完幽性檢 查，廣泛地記錄口志，黑客“監(jiān)獄”和引誘程序都是可以同前后配合的有效工瓜/追蹤所能做到的不僅僅是記錄事件，它還可以確定事件發(fā)生的位置。.入侵監(jiān)測系統(tǒng)的必要性防火墻看起來好像可以滿足系統(tǒng)管理員的一切需求。然而，隨著基于雇員的攻擊行為和產(chǎn)品自身問 題的增多，由于能夠在防火墻內(nèi)部監(jiān)測非法的活動也變得越來越必要。.入侵監(jiān)測系統(tǒng)的構(gòu)架有兩種構(gòu)架的可供選擇，每種都有它的適用環(huán)境。/ 網(wǎng)絡級你可以使用網(wǎng)絡級的產(chǎn)品，像，程序會掃描整個網(wǎng)段中所有傳輸?shù)男畔泶_定網(wǎng)絡中實時的活動。優(yōu)點和缺點這種入侵監(jiān)測系統(tǒng)很容易安裝和實施：通常只需要將程序在主機上安裝一次。網(wǎng)絡級的尤其適合阻止掃描和拒絕服務攻擊。但是

56、這種構(gòu)架在交換和環(huán)境下工作得不好。而且，它對處理非法登錄，破壞策略和篡改口志也并不特別有效。在掃描大型網(wǎng)絡時會使主機的性能急劇卜降。/主機級主機級的結(jié)構(gòu)使用一個管理者和數(shù)個代理。管理者向代理發(fā)送查詢請求，代理向管理者匯報網(wǎng)絡中 主機傳輸信息的情況。管理者到代理的通訊任何時候都必須校驗代理和管理者之間的通訊是否加密，大多數(shù)的應用都內(nèi)置加密支持?；谥鳈C的管理者管理者定義管理代理的規(guī)則和策略。管理者安裝在一臺經(jīng)過特殊配置過的主機上，對網(wǎng)絡中的代理 進行查詢，行的管理工具有圖形界面?；谥鳈C的代理大多數(shù)的實現(xiàn)允許你安裝代理在任何主機上，必須確保代理在所有類型的主機上都能正常工作。理想的代理布局請考慮

57、將代理安裝在像數(shù)據(jù)庫，服務器，服務器和文件服務器等重要的資源.上。33.規(guī)則就像應用防火塔，你必須為建立規(guī)則。大多數(shù)的程序都行預先定義好的規(guī)則。你最好編輯已行的規(guī) 則并旦增加新的規(guī)則來為網(wǎng)絡提供最佳的保護。通常建立的規(guī)則仃兩大類：網(wǎng)絡異常和網(wǎng)絡誤用。/執(zhí)行動作在大多數(shù)的程序中，你可以為規(guī)則賦予動作。/誤報如同實施防火墻，也需要仔細地設置。否則，你將收到并不實際存在的攻擊和問題的報告，稱為誤 報。8-1：通過清華同方系列入侵檢測系統(tǒng)配置規(guī)則及響應動作8-2：在清華同方系列入侵檢測系統(tǒng)中查看主機的網(wǎng)絡活動；8-3：為清華同方系列入侵檢測系統(tǒng)掃描網(wǎng)絡活動，產(chǎn)生報告；8-4：在清華同方系列入侵檢演|系

58、統(tǒng)中創(chuàng)建、設置和編輯規(guī)則；二、無線局域網(wǎng)絡的應用與安全.無線局域網(wǎng)簡介/無線局域網(wǎng)概述無線同域網(wǎng)是計算機網(wǎng)絡與無線通信技術(shù)相結(jié)合的產(chǎn)物。通俗點說，無線局域網(wǎng)（一，）就是在不 采用傳統(tǒng)電纜線的同時，提供傳統(tǒng)右線局域網(wǎng)的所有功能。無線局域網(wǎng)的通信范圍不受環(huán)境條件的限制，網(wǎng)絡的傳輸范圍大大拓寬，最大傳輸范圍可達到幾十 公里。此外，無線局域網(wǎng)的抗干擾性強、網(wǎng)絡保密性好。,無線局域網(wǎng)的傳輸媒體紅外線系統(tǒng)紅外線局域網(wǎng)采用小于1微米波長的紅外線作為傳輸媒體，有較強的方向性，使用不受無線電管理 部門的限制。紅外信號要求視距傳輸，并且竊聽困難，對鄰近區(qū)域的類似系統(tǒng)也不會產(chǎn)生干擾。在實際 應用中，由于紅外線具有很

59、高的背景噪聲，受口光、環(huán)境照明等影響較大。協(xié)議簡單來講，是一種利用紅外線進行點對點通信的技術(shù)，是由紅外線數(shù)據(jù)標準協(xié)會制訂的一種無線協(xié) 議?，F(xiàn)行的傳輸速率為最新的16,相比原來的4快了 4倍。接收角度也由傳統(tǒng)的30度擴展到120度。 并且其硬件及相應軟件技術(shù)都已比較成熟。無線電波采用無線電波作為無線局域網(wǎng)的傳輸介質(zhì)是目前應用最多的，這主要是因為無線電波的覆蓋范困較 廣，應用較廣泛，具有很強的抗干擾抗噪聲能力、抗衰落能力。另一方面無線局域使用的頻段主要是S頻段（2.42.4S35）,這個頻段也叫（）即工業(yè)科學醫(yī)療頻段，該頻段在美國不受美國聯(lián)邦通信委員會的限制。/無線網(wǎng)絡采用的主要協(xié)議標準802.1

60、1 標準802.11無線局域網(wǎng)標準的制定是無線網(wǎng)絡技術(shù)發(fā)展的一個里程碑。802.11標準的頒布，使得無線 局域網(wǎng)在各種有移動要求的環(huán)境中被廣泛接受。不過由于802.11速率最高只能達到2,在傳輸速率上不 能滿足人們的需要，因此，小組又相繼推出了 802.11b和802.11a兩個新標準，前者已經(jīng)成為目前的主流 標準，而后者也被很多廠商看好。802.11b標準采用一種新的調(diào)制技術(shù)，最大數(shù)據(jù)傳輸速率為11,無須直線傳播。支持的范圍是在室 外為300米，在辦公環(huán)境中最長為100米。802.11a標準的傳輸更驚人，傳輸速度可達25,完全能滿足語音、數(shù)據(jù)、圖像等業(yè)務的需要。802.11g其實是一種混合標