網(wǎng)絡安全技術相關知識概述

1、9.1網(wǎng)絡平安概述 9.1.1網(wǎng)絡平安簡介 網(wǎng)絡是一條數(shù)據(jù)高速公路，它專門用來添加對計算機系統(tǒng)的訪問，而平安性卻專門用來控制訪問。提供網(wǎng)絡平安性是在公開訪問與控制訪問之間的一種權衡舉措。在家里，經(jīng)過鎖門為財富提高平安性，而不是封鎖街道。同樣，網(wǎng)絡平安性普通是指對單臺主機提高適宜的平安性，而不是直接在網(wǎng)絡上提高平安性。 計算機平安包括物理平安和邏輯平安。對于前者要加強計算機機房的管理；而對于后者那么需求用口令字、文件答應或查帳等方法來實現(xiàn)。計算機平安的目的是：在平安和通訊方便之間建立平衡。 9.1網(wǎng)絡平安概述 9.1.2網(wǎng)絡平安的重要性計算機系統(tǒng)經(jīng)常遭到進攻。更令人不安的是大多數(shù)進攻未被覺察。這

2、些進攻給國家平安帶來的影響程度還未確定，但已發(fā)現(xiàn)的進攻多數(shù)是針對計算機系統(tǒng)所存放的敏感信息，其中三分之二的進攻是勝利的，入侵者黑客盜竊、修正或破壞了系統(tǒng)上的數(shù)據(jù) 。被引薦的平安措施有：對非法訪問的登錄進展橫幅警告。 鍵盤級監(jiān)控。捕捉。 呼叫者ID。截取。 數(shù)據(jù)加密。防火墻。防火墻是防止Intranet被入侵的最好方法。 9.1網(wǎng)絡平安概述9.1.3信息系統(tǒng)平安的脆弱性 信息系統(tǒng)在平安方面存在的問題。1操作系統(tǒng)平安的脆弱性 2計算機網(wǎng)絡平安的脆弱性3數(shù)據(jù)庫管理系統(tǒng)平安的脆弱性4短少平安管理 9.1網(wǎng)絡平安概述9.1.4平安控制的種類可用于維護一個計算機網(wǎng)絡的平安控制有兩種，即內(nèi)部和外部控制。1內(nèi)

3、部控制簡單的說內(nèi)部控制是對計算機系統(tǒng)本身的控制。密碼、防火墻和數(shù)據(jù)加密都屬于內(nèi)部控制。內(nèi)部控制只需與某一級的外部控制相結合時才生效。2外部控制外部控制指系統(tǒng)本身無法控制的部分。外部控制總體上有三類： 物理控制 人事控制 程序控制9.1網(wǎng)絡平安概述9.1.5網(wǎng)絡平安的方法根本上說，處置網(wǎng)絡的平安問題有兩種方法。用戶或允許某人訪問某些資源，或者回絕某人訪問這些資源。對于某種安裝來說，訪問或者回絕訪問的規(guī)范是獨一的。1允許訪問 指定的用戶具有特權才可以進展訪問。這些規(guī)范在某種程度上應該與資源共有的性質相匹配。2回絕訪問回絕訪問是對某一網(wǎng)絡資源訪問的一個回絕。 3異常處置網(wǎng)絡平安中經(jīng)常同時運用上述兩種

4、方法。 9.2 網(wǎng)絡平安戰(zhàn)略 9.2.1 最小特權 或許最根本的平安原那么就是最小特權原那么。最小特權原那么意味著任何對象僅應具有該對象需求完成指定義務的特權，它能盡量防止他蒙受侵襲，并減少侵襲呵斥的損失。 9.2.2 縱深防御不要只依托單一平安機制，盡量建立多層機制。防止某個單一平安機制失敗后他的網(wǎng)絡會徹底地垮掉。9.2.3 阻塞點阻塞點強迫侵襲者經(jīng)過一個他可以監(jiān)控的窄小通道在因特網(wǎng)平安系統(tǒng)中，位于他的局域網(wǎng)和因特網(wǎng)之間的防火墻假設它是他的主機和因特網(wǎng)之間的獨一銜接就是這樣一個阻塞點。9.2 網(wǎng)絡平安戰(zhàn)略9.2.4 最薄弱環(huán)節(jié)平安維護的根本原那么是鏈的強度取決于它的最薄弱環(huán)節(jié)，就像墻的鞏固程

5、度取決于它的最弱點。聰明的侵襲者總要找出那個弱點并集中精神對其進展攻擊。他應認識到防御措施中的弱點，以便采取行動消除它們，同時他也可以仔細監(jiān)測那些無法消除的缺陷。平等對待平安系統(tǒng)的一切情況，以使得此處與彼處的危險性不會有太大的差別。9.2.5 失效維護形狀平安維護的另一個根本原那么就是在某種程度上做到失效維護，即假設系統(tǒng)運轉錯誤，那么它們會停頓效力，回絕用戶訪問，這能夠會導致合法用戶無法訪問該系統(tǒng)，但這是可接受的折衷方法。 9.2 網(wǎng)絡平安戰(zhàn)略9.2.6 普遍參與 為了使平安機制更有效，絕大部分平安維護系統(tǒng)要求網(wǎng)絡用戶的普遍參與。假設某個用戶可以隨便地從他的平安維護機制中退出，那么侵襲者很有能

6、夠會先侵襲內(nèi)部人員系統(tǒng)，然后再從內(nèi)部侵襲他的網(wǎng)絡。9.2.7防御多樣化正如他可以經(jīng)過運用大量的系統(tǒng)提供縱深防御一樣，他也可以經(jīng)過運用大量不同類型的系統(tǒng)得到額外的平安維護。假設他的系統(tǒng)都一樣，那么只需知道怎樣侵入一個系統(tǒng)就會知道怎樣侵入一切系統(tǒng)。 9.2 網(wǎng)絡平安戰(zhàn)略9.2.8簡單化簡單化也是一個平安維護戰(zhàn)略，這有兩個緣由：第一，簡單的事情易于了解，假設他不了解某事，他就不能真正了解它能否平安；第二，復雜化會提供隱藏的角落和縫隙，一間任務室比一揀大廈更容易保證其平安性。復雜程序有更多的小缺陷，任何小缺陷都能夠引發(fā)平安問題。 9.3防火墻的作用與設計 9.3.1 防火墻的作用Internet的迅速

7、開展為人們發(fā)布和檢索信息提供了方便，但它也使污染和破壞信息變得更容易。人們?yōu)榱司S護數(shù)據(jù)和資源的平安，創(chuàng)建了防火墻。防火墻從本質上來說是一種維護安裝，用來維護網(wǎng)絡數(shù)據(jù)、資源和用戶的聲譽。 防火墻效力用于多個目的：限定人們從一個特別的節(jié)點進入。防止入侵者接近他的防御設備。限定人們從一個特別的節(jié)點分開。有效的阻止破壞者對他的計算機系統(tǒng)進展破壞。 9.3防火墻的作用與設計從邏輯上講，防火墻是分別器、限制器和分析器；從物理角度看，各個防火墻的物理實現(xiàn)方式可以有所不同，它通常是一組硬件設備路由器、主機和軟件的多種組合。 防火墻的優(yōu)點： (1)防火墻能強化平安戰(zhàn)略 (2)防火墻能有效地記錄因特網(wǎng)上的活動(3

8、)防火墻可以實現(xiàn)網(wǎng)段控制(4)防火墻是一個平安戰(zhàn)略的檢查站 防火墻的缺陷：(1)防火墻不能防備惡意的知情者(2)防火墻不能防備不經(jīng)過它的銜接9.3防火墻的作用與設計(3)防火墻不能防備全部的要挾(4)防火墻不能防備病毒 防火墻要檢測隨機數(shù)據(jù)中的病毒非常困難，它要求：確認數(shù)據(jù)包是程序的一部分確定程序的功能確定病毒引起的改動 9.3.2防火墻的功能防火墻通常具有以下幾種功能：數(shù)據(jù)包過濾代理效力 9.3防火墻的作用與設計1數(shù)據(jù)包過濾數(shù)據(jù)包過濾系統(tǒng)在內(nèi)部網(wǎng)絡與外部主機之間發(fā)送數(shù)據(jù)包，但它們發(fā)送的數(shù)據(jù)包是有選擇的。它們按照本人的平安戰(zhàn)略允許或阻止某些類型的數(shù)據(jù)包經(jīng)過，這種控制由路由器來完成，所以數(shù)據(jù)包過

9、濾系統(tǒng)通常也稱之為屏蔽路由器。普通路由器只是簡單地查看每一個數(shù)據(jù)包的目的地址，然后選擇發(fā)往目的地址的最正確途徑。處置數(shù)據(jù)包目的地址的方法普通有兩種：假設路由器知道如何將數(shù)據(jù)包發(fā)送到目的地址，那么發(fā)送。假設路由器不知道如何將數(shù)據(jù)包發(fā)送到目的地址，那么前往數(shù)據(jù)包，經(jīng)由ICMP向源地址發(fā)送不能到達的音訊。 9.3防火墻的作用與設計屏蔽路由器有以下特點：屏蔽路由器比普通的路由器擔負更大的責任，它不但要執(zhí)行轉發(fā)義務，還要執(zhí)行確定轉發(fā)的義務。假設屏蔽路由器的平安維護失敗，內(nèi)部的網(wǎng)絡將被暴露。簡單的屏蔽路由器不能修正義務。屏蔽路由器能允許或回絕效力，但它不能維護效力之內(nèi)的單獨操作。假設一個效力沒有提供平安的

10、操作，或者這個效力由不平安的效力器提供，那么屏蔽路由器就不能保證它的平安。9.3防火墻的作用與設計2代理效力代理效力是運轉在防火墻主機上的專門的運用程序效力器程序。防火墻主機可以是一個同時擁有內(nèi)部網(wǎng)絡接口和外部網(wǎng)絡接口的雙重宿主主機，也可以是一些內(nèi)部網(wǎng)絡中獨一可以與因特網(wǎng)通訊的堡壘主機。代理效力程序接受用戶對因特網(wǎng)效力的懇求，并按照平安戰(zhàn)略轉發(fā)它們的懇求。所謂代理就是一個提供替代銜接并且充任效力的網(wǎng)關。由于這個緣由，代理也稱之為運用級網(wǎng)關。代理效力位于內(nèi)部用戶和外部效力之間，它在幕后處置一切用戶和因特網(wǎng)效力之間的通訊，以替代它們之間的直接交談。 9.3防火墻的作用與設計9.3.3防火墻的體系構

11、造防火墻的體系構造普通有以下幾種雙重宿主主機體系構造屏蔽主機體系構造屏蔽子網(wǎng)體系構造1雙重宿主主機體系構造雙重宿主主機體系構造是具有雙重宿主功能的主機而構筑的。該計算機至少有兩個網(wǎng)絡接口，一個是內(nèi)部網(wǎng)絡接口，一個是因特網(wǎng)接口。 9.3防火墻的作用與設計2屏蔽主機體系構造雙重宿主主機體系構造提供內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的效力但是路由封鎖，屏蔽主機體系構造運用一個單獨的路由器來提供內(nèi)部網(wǎng)絡主機之間的效力。在這種體系構造中，主要的平安機制由數(shù)據(jù)包過濾系統(tǒng)來提供 。3屏蔽子網(wǎng)體系構造屏蔽子網(wǎng)體系構造在屏蔽主機體系構造的根底上添加額外的平安層，它經(jīng)過添加周邊網(wǎng)絡把內(nèi)部網(wǎng)絡更進一步地與因特網(wǎng)隔分開。周邊網(wǎng)絡

12、 堡壘主機 內(nèi)部路由器 外部路由器 9.3防火墻的作用與設計4防火墻體系構造的不同方式 運用多堡壘主機 合并內(nèi)部路由器與外部路由器 合并堡壘主機與外部路由器 合并堡壘主機與內(nèi)部路由器 運用多臺內(nèi)部路由器 運用多臺外部路由器 運用多個周邊網(wǎng)絡 運用雙重宿主主機與屏蔽子網(wǎng) 9.3防火墻的作用與設計9.3.4內(nèi)部防火墻 實驗室網(wǎng)絡 不平安的網(wǎng)絡 特別平安的網(wǎng)絡 協(xié)作共建防火墻 共享周邊網(wǎng)絡 堡壘主機可有可無 9.3防火墻的作用與設計9.3.5開展趨勢被稱為“第三代防火墻的系統(tǒng)正在成為現(xiàn)實，它綜合了數(shù)據(jù)包過濾與代理系統(tǒng)的特點與功能。 目前，人們正在設計新的IP協(xié)議也被稱為IP version 6。IP

13、協(xié)議的變化將對防火墻的建立與運轉產(chǎn)生深化的影響，大多數(shù)網(wǎng)絡上的信息流都有能夠被走漏，但新式的網(wǎng)絡技術如幀中繼、異步傳輸方式ATM可將數(shù)據(jù)包從源地址直接發(fā)送給目的地址，從而防止信息流在傳輸中途被泄露。 9.4 WWW的平安性 本節(jié)討論有關WWW方面的平安性問題，包括以下幾方面的內(nèi)容： * HTTP協(xié)議 * SSL加密和平安HTTP * WWW效力器及配置問題 * JAVA applet 和 JavaScript * CGI程序 * Perl言語 * Plug-in * ActiveX * Cookie9.4 WWW的平安性9.4.1 Web 與 協(xié)議 HTTP是運用級的協(xié)議，主要用于分布式、協(xié)作

14、的超媒體信息系統(tǒng)。HTTP協(xié)議是通用的、無形狀的，其系統(tǒng)建立與傳輸?shù)臄?shù)據(jù)無關。HTTP也是面向對象的協(xié)議，可用于各種義務，包括并不局限于名字效力、分布式對象管理、懇求方法的擴展和命令等等。 1Web的訪問控制 2HTTP平安思索 3平安超文本傳輸協(xié)議 4平安套接層 5緩存的平安性 9.4 WWW的平安性9.4.2 WWW效力器的平安破綻 1NCSA效力器的平安破綻 2Apache WWW月務器的平安問題 3NetscaPe的WWW效力器的平安問題 9.4.3 CGI程序的平安性問題 1CGI程序的編寫應留意的問題 2CGI腳本的激活方式 3不要依賴于隱藏變量的值 4WWW客戶應留意的問題 5運

15、用Perl的感染檢查 9.4 WWW的平安性6CGI的權限問題 7Plug-in的平安性 9.4.5 SSL的加密的平安性 SSL用公共密鑰加密，來在客戶與效力器之間交換一個進程密鑰，這個密鑰用來加密HTTP傳輸過程包括懇求和呼應。每次傳輸采用不同的密鑰，因此即使某些人可以破譯某次傳輸，并不意味著他們發(fā)現(xiàn)了效力器的密碼，假設他們想要破譯下一次，他們就必需付出像第一次那樣的時間和努力。 9.4 WWW的平安性9.4.6 Java與JavaScript 1Java applet的平安性問題 2JavaScript的平安性問題 9.4.7 ActiveX的平安性 ActiveX是Microsoft公

16、司開發(fā)的用來在Internet上分發(fā)軟件的技術。像Java applet一樣，Active的控件能結合進Web頁中，典型的表現(xiàn)是一個美麗的可交互的圖形。有許多為 Microsoft Internet ExPlorer目前獨一支持它們的閱讀器而做的是ActiveX控件，包括滾動的字幕、背景聲發(fā)生器和執(zhí)行Java applet的ActiveX控件。不像Java那樣是獨立于平臺的編程言語，ActiveX控件是以可執(zhí)行的二進制碼分發(fā)的，必需為各種目的機器和操作系統(tǒng)分別編譯。 9.4 WWW的平安性9.4.8 Cookies的平安性 Cookie是Netscape公司開發(fā)的一種機制，用來改善HTTP協(xié)議的無形狀性。通常，每次閱讀器從Web效力器