電子商務(wù)安全：第2章 電子商務(wù)網(wǎng)絡(luò)安全

第2章電子商務(wù)網(wǎng)絡(luò)安全RSA2016大會(huì)2016年2月29日-3月4日，RSA美國(guó)大會(huì)將于美國(guó)舊金山莫斯康展覽中心舉行，本屆大會(huì)的主題為"ConnecttoProtect"——連接保護(hù)。技術(shù)發(fā)展的主要驅(qū)動(dòng)力之一，在于把新朋友和新思想相連的愿望。古騰堡印刷機(jī)通過(guò)印刷文字把人們聯(lián)系到一起;無(wú)線電使全球的新聞和文化得以傳播;電話使人們即使相隔千萬(wàn)里也能夠?qū)崟r(shí)交談?，F(xiàn)在，互聯(lián)網(wǎng)鏈接我們的方式?jīng)]有人能夠想象的到。雖然即時(shí)連接的世界為我們提供了巨大的好處，但是它也有一個(gè)缺點(diǎn)，惡意攻擊者運(yùn)用越來(lái)越成熟的攻擊手段來(lái)竊取我們的數(shù)據(jù)，擾亂我的生活。25年前，RSA信息安全會(huì)議成立后，專(zhuān)業(yè)人員通過(guò)這個(gè)平臺(tái)可以相互溝通交流，共同應(yīng)對(duì)日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅。今天，RSA大會(huì)不僅促進(jìn)了信息安全領(lǐng)域的連接，而且在過(guò)去、現(xiàn)在和未來(lái)，也促進(jìn)了IT領(lǐng)域其他企業(yè)，與私營(yíng)和公共部門(mén)的聯(lián)系。無(wú)數(shù)的想法從這里開(kāi)始，大家通過(guò)共享知識(shí)與協(xié)作，促使這些想法成長(zhǎng)形成更大的概念，用來(lái)更好的保護(hù)我們的數(shù)字世界。RSA加密算法發(fā)明人：美國(guó)密碼學(xué)家羅納德·李維斯特（RonaldL.Rivest）；世界著名密碼學(xué)家、圖靈獎(jiǎng)獲得者AdiShamir；以及世界著名密碼技術(shù)與安全技術(shù)專(zhuān)家WhitfieldDiffie，他還是“公鑰加密”概念的發(fā)明人；密碼學(xué)學(xué)者、資訊安全專(zhuān)家布魯斯·施耐爾等。熱門(mén)話題繼成為去年的大會(huì)焦點(diǎn)之后，物聯(lián)網(wǎng)安全再度成為RSA2016大會(huì)的主要話題之一。但專(zhuān)家指出，除了物聯(lián)網(wǎng)安全（IoT）之外，工控系統(tǒng)安全、工業(yè)物聯(lián)網(wǎng)、加密、人工智能和機(jī)器學(xué)習(xí)等也將是本屆大會(huì)的熱門(mén)話題。主要內(nèi)容1.防火墻技術(shù);2.IPsec協(xié)議和虛擬專(zhuān)用網(wǎng);3.網(wǎng)絡(luò)入侵檢測(cè)2.1網(wǎng)絡(luò)安全基礎(chǔ)2.1.1網(wǎng)絡(luò)安全體系

從層次體系上，可以將網(wǎng)絡(luò)安全分成四個(gè)層次上：1、物理安全；2、邏輯安全；3、操作系統(tǒng)安全；4、聯(lián)網(wǎng)安全。1、物理安全1)防盜；2)防火；3)防靜電；4)防雷擊；5)防電磁泄漏:電磁發(fā)射包括輻射發(fā)射和傳導(dǎo)發(fā)射。這兩種電磁發(fā)射可被高靈敏度的接收設(shè)備接收并進(jìn)行分析、還原，造成計(jì)算機(jī)的信息泄露。屏蔽是防電磁泄漏的有效措施2.邏輯安全計(jì)算機(jī)的邏輯安全需要用口令、文件許可等方法來(lái)實(shí)現(xiàn)。3.操作系統(tǒng)安全

操作系統(tǒng)是計(jì)算機(jī)中最基本、最重要的軟件。主要防止：一、病毒的威脅；二、黑客的破壞和侵入。

一些安全性較高、功能較強(qiáng)的操作系統(tǒng)可以為計(jì)算機(jī)的每一位用戶分配賬戶4.聯(lián)網(wǎng)安全1、訪問(wèn)控制服務(wù)：用來(lái)保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用。2、通信安全服務(wù)：用來(lái)認(rèn)證數(shù)據(jù)機(jī)密性與完整性，以及各通信方的可信賴性。2.2.防火墻什么是防火墻？防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。

在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，可有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻示意圖Internet1.企業(yè)內(nèi)聯(lián)網(wǎng)2.部門(mén)子網(wǎng)3.分公司網(wǎng)絡(luò)防火墻的設(shè)計(jì)準(zhǔn)則1．防火墻的規(guī)則(1)凡是沒(méi)有被列為允許訪問(wèn)的服務(wù)都是被禁止的(限制政策)只支持那些仔細(xì)選擇的服務(wù),建立一個(gè)非常安全的環(huán)境。其缺點(diǎn)是安全性的考慮優(yōu)于使用性的考慮，限制了提供給用戶的服務(wù)范圍。(2)凡是沒(méi)有被列為禁止訪問(wèn)的服務(wù)都是被允許的(寬松政策)建立一個(gè)非常靈活的使用環(huán)境，能為用戶提供更多的服務(wù)。缺點(diǎn)是使用性的考慮優(yōu)于安全性的考慮.多數(shù)防火墻都在兩種之間采取折衷。

防火墻的類(lèi)型包過(guò)濾型防火墻應(yīng)用網(wǎng)關(guān)防火墻包過(guò)濾模塊數(shù)據(jù)包過(guò)濾(PacketFiltering)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾規(guī)則，被稱為訪問(wèn)控制表(AccessControlTable)。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議類(lèi)型，或它們的組合等來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。包過(guò)濾規(guī)則表

假設(shè)網(wǎng)絡(luò)安全策略規(guī)定：內(nèi)部網(wǎng)絡(luò)的E-mail服務(wù)器（IP地址為，TCP端口號(hào)為25）可以接收來(lái)自外部網(wǎng)絡(luò)用戶的所有電子郵件；允許內(nèi)部網(wǎng)絡(luò)用戶傳送到外部電子郵件服務(wù)器的電子郵件；拒絕所有與外部網(wǎng)絡(luò)中名字為T(mén)ESTHOST主機(jī)的連接。

應(yīng)用程序代理充當(dāng)Web客戶機(jī)與Web服務(wù)器之間的媒介。用于接收來(lái)自客戶機(jī)的請(qǐng)求，當(dāng)接收到客戶機(jī)請(qǐng)求時(shí)，由應(yīng)用程序代理代表客戶機(jī)完成轉(zhuǎn)換地址，執(zhí)行附加訪問(wèn)控制檢查，登錄（如果需要的話）并連接至服務(wù)器。應(yīng)用程序代理不允許內(nèi)外網(wǎng)絡(luò)之間的直接通信。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問(wèn)內(nèi)部網(wǎng)的任何一部分。如果不為特定的應(yīng)用程序安裝代理程序代碼，這種服務(wù)是不會(huì)被支持的，不能建立任何連接。NATNAT：網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)協(xié)議將內(nèi)部網(wǎng)絡(luò)的多個(gè)IP地址轉(zhuǎn)換到一個(gè)公共地址并建立與Internet的連接。允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP（InternetProtocol）地址出現(xiàn)在Internet上。它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。進(jìn)行地址轉(zhuǎn)換有兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP，這可以使黑客無(wú)法直接攻擊內(nèi)部網(wǎng)絡(luò)；另一個(gè)好處是可以讓內(nèi)部使用保留的IP，這對(duì)許多IP不足的企業(yè)是有益的。網(wǎng)絡(luò)地址轉(zhuǎn)換NAT所有進(jìn)出的數(shù)據(jù)包進(jìn)行源與目的地址識(shí)別,并將由內(nèi)向外的數(shù)據(jù)包中源地址替換成一個(gè)真實(shí)地址(注冊(cè)過(guò)的合法地址),而將由外向內(nèi)的數(shù)據(jù)包中的目的地址替換成相應(yīng)的虛地址(內(nèi)部用的非注冊(cè)地址)。實(shí)例：內(nèi)部網(wǎng)使用虛擬地址空間為-55對(duì)外擁有真實(shí)注冊(cè)IP地址為-55假設(shè)內(nèi)網(wǎng)主機(jī)IH1與外網(wǎng)主機(jī)OHl建立聯(lián)系網(wǎng)關(guān)對(duì)外將其映射為一注冊(cè)的真實(shí)地址3,所以它的IP包頭中的IP地址在網(wǎng)關(guān)處被轉(zhuǎn)換成這一地址.于是會(huì)產(chǎn)生下圖a所示的IP數(shù)據(jù)包：經(jīng)網(wǎng)關(guān)后被轉(zhuǎn)換為圖b的形式

圖c為其返回的IP包形式

進(jìn)入網(wǎng)關(guān)后轉(zhuǎn)換為圖d的形式

網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的優(yōu)點(diǎn)起到隔離內(nèi)外網(wǎng)的作用,使得內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)、域名及地址信息對(duì)外成為不可見(jiàn)或不確定信息,從而保證了內(nèi)部網(wǎng)中主機(jī)的隱蔽性．使絕大多數(shù)攻擊性的試探失去所需的網(wǎng)絡(luò)條件；同時(shí)，節(jié)省了IP資源。防火墻的評(píng)價(jià)

--防火墻不可以防范什么防火墻不是解決所有網(wǎng)絡(luò)安全問(wèn)題的萬(wàn)能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個(gè)組成部分。防火墻不能防范繞過(guò)防火墻的攻擊，例:內(nèi)部提供撥號(hào)服務(wù)。防火墻不能防范來(lái)自內(nèi)部人員惡意的攻擊。防火墻不能阻止被病毒感染的程序或文件的傳遞。防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。例:特洛伊木馬。內(nèi)部提供撥號(hào)服務(wù)繞過(guò)防火墻防火墻的發(fā)展1.第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過(guò)濾（Packetfilter）技術(shù)。2.第二、三代防火墻1989年，貝爾實(shí)驗(yàn)室的DavePrescott和HowardTricky推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。3.第四代防火墻1992年，USC信息科學(xué)院的BobBraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾（Dynamicpacketfilter）技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視（Statusinspection）技術(shù)。1994年，以色列的Checkpoint公司開(kāi)發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。4.第五代防火墻1998年，NAI公司推出了一種自適應(yīng)代理（Adaptiveproxy）技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實(shí)現(xiàn)，給代理類(lèi)型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。5.一體化安全網(wǎng)關(guān)UTMUTM統(tǒng)一威脅管理，在防火墻基礎(chǔ)上發(fā)展起來(lái)的，具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設(shè)備。由于同時(shí)開(kāi)啟多項(xiàng)功能會(huì)大大降低UTM的處理性能，因此主要用于對(duì)性能要求不高的中低端領(lǐng)域。在中低端領(lǐng)域，UTM已經(jīng)出現(xiàn)了代替防火墻的趨勢(shì)，因?yàn)樵诓婚_(kāi)啟附加功能的情況下，UTM本身就是一個(gè)防火墻，而附加功能又為用戶的應(yīng)用提供了更多選擇。在高端應(yīng)用領(lǐng)域，比如電信、金融等行業(yè)，仍然以專(zhuān)用的高性能防火墻、IPS為主流。防火墻和VPN防火墻的主要目的:在于判斷來(lái)源IP，阻止危險(xiǎn)或未經(jīng)授權(quán)的IP的訪問(wèn)和交換數(shù)據(jù)。VPN主要解決的是:數(shù)據(jù)傳輸?shù)陌踩珕?wèn)題，其目的在于內(nèi)部的敏感關(guān)鍵數(shù)據(jù)能夠安全地借助公共網(wǎng)絡(luò)進(jìn)行頻繁地交換。

以前，要想實(shí)現(xiàn)兩個(gè)遠(yuǎn)地網(wǎng)絡(luò)的互聯(lián)，主要是采用專(zhuān)線連接方式。VPN技術(shù)是利用Internet網(wǎng)絡(luò)模擬安全性較好的局域網(wǎng)的技術(shù)。簡(jiǎn)單來(lái)說(shuō)就是在數(shù)據(jù)傳送過(guò)程中加上了加密和認(rèn)證的網(wǎng)絡(luò)安全技術(shù)。vpn優(yōu)點(diǎn)2.3虛擬專(zhuān)用網(wǎng)VPN虛擬專(zhuān)用網(wǎng)VPN，就是建立在公共網(wǎng)絡(luò)上的私有專(zhuān)用網(wǎng)。它是一個(gè)利用基于公眾基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)，例如Internet，來(lái)建立一個(gè)安全的、可靠的和可管理的企業(yè)間通信的通道。VPN技術(shù)非常復(fù)雜，它涉及到通信技術(shù)、密碼技術(shù)和認(rèn)證技術(shù)，是一項(xiàng)交叉科學(xué).VPN使用實(shí)例某公司總部在北京，而上海和杭州各有分公司，MIS主管需要彼此之間能夠?qū)崟r(shí)交換數(shù)據(jù)，為了安全考慮和提高工作效率，使用VPN技術(shù)。（總公司路由器上開(kāi)放兩個(gè)VPN賬戶，允許分公司路由器撥入，以建立VPN通道）Internet總部網(wǎng)絡(luò)LAN-to-LANVPN功能路由器分部網(wǎng)絡(luò)分部網(wǎng)絡(luò)2.3.1VPN簡(jiǎn)介VPN可以提供的功能：防火墻功能、認(rèn)證、加密、隧道化。VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。常用的虛擬私人網(wǎng)絡(luò)協(xié)議有：IPsec協(xié)議、IKE協(xié)議（唯一已經(jīng)制定的密鑰交換協(xié)議）、PPTP（點(diǎn)到點(diǎn)隧道協(xié)議）。虛擬專(zhuān)用網(wǎng)VPN的三個(gè)關(guān)鍵安全：包括訪問(wèn)控制、認(rèn)證和加密技術(shù)以保證網(wǎng)絡(luò)連接的安全、用戶的真實(shí)性和數(shù)據(jù)通信的隱秘及完整性；通信控制：包括帶寬管理和服務(wù)質(zhì)量管理以保證VPN的可靠和高速；管理：保證VPN和企業(yè)安全策略的集成，近程或遠(yuǎn)程集成的管理和解決方案的可伸縮性。VPN連接的示意圖

虛擬網(wǎng)組成后，出差員工和外地客戶甚至不必?fù)碛斜镜豂SP的上網(wǎng)權(quán)限就可以訪問(wèn)企業(yè)內(nèi)部資源。這對(duì)于流動(dòng)性很大的出差員工和分布廣泛的客戶來(lái)說(shuō)是很有意義的。2.3.2VPN協(xié)議點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP(PointtoPointTunnelingProtocol)：1996年Microsoft和Ascend等在PPP協(xié)議上開(kāi)發(fā)的。第二層轉(zhuǎn)發(fā)協(xié)議L2F(Layer2Forwarding)：1996年Cisco開(kāi)發(fā)的。第二層隧道協(xié)議L2TP(Layer2TunnelingProtocol)：1997年底，Microsoft和Cisco共同開(kāi)發(fā)。IPsec是第三層隧道協(xié)議隧道:隧道從一個(gè)VPN設(shè)備開(kāi)始，通過(guò)路由器橫跨整個(gè)公網(wǎng)到達(dá)其他目標(biāo)VPN設(shè)備。通過(guò)數(shù)字證書(shū)來(lái)標(biāo)記整個(gè)隧道，并以此來(lái)鑒別屬于此VPN隧道。隧道處理的結(jié)果使得各種被傳輸?shù)男畔⒅挥蓄A(yù)定或被授權(quán)的接收者才能讀懂（解密）。

點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP-PPP協(xié)議的一種擴(kuò)展客戶可以采用撥號(hào)方式接入公共的IP網(wǎng)。撥號(hào)客戶首先按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器（NAS），建立PPP連接；在此基礎(chǔ)上，客戶進(jìn)行二次撥號(hào)建立到PPTP服務(wù)器的連接，該連接稱為PPTP隧道PPTP的最大優(yōu)勢(shì)是Microsoft公司的支持。另外一個(gè)優(yōu)勢(shì)是它支持流量控制。PPTP把建立隧道的主動(dòng)權(quán)交給了客戶，但客戶需要在其PC機(jī)上配置PPTP，這樣做既會(huì)增加用戶的工作量，又會(huì)造成網(wǎng)絡(luò)的安全隱患。

第二層轉(zhuǎn)發(fā)協(xié)議L2F遠(yuǎn)端用戶能夠通過(guò)任何撥號(hào)方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器（NAS），建立PPP連接；NAS根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。這種方式下，隧道的配置和建立對(duì)用戶是完全透明的。

第二層隧道協(xié)議L2TPL2TP結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶從客戶端或接入服務(wù)器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。L2TP的好處就在于支持多種協(xié)議.在安全性考慮上，L2TP僅僅定義了控制包的加密傳輸方式，對(duì)傳輸中的數(shù)據(jù)并不加密。L2TP并不能滿足用戶對(duì)安全性的需求。如果需要安全的VPN，則依然需要IPsec.IPsec的工作原理

IPsec提供了比包過(guò)濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。

IPsec處理實(shí)際上是對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。保證在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)包的機(jī)密性，真實(shí)性，完整性，保證通過(guò)Internet進(jìn)行通信的安全性。IPsec中的三個(gè)重要協(xié)議

Ipsec的主要功能是實(shí)現(xiàn)IP層的加密和認(rèn)證，為了進(jìn)行加密和認(rèn)證IPsec還提供了密鑰管理和交換的功能。這三個(gè)功能分別由三個(gè)協(xié)議來(lái)實(shí)現(xiàn)：

ESP（安全加載封裝）

AH（認(rèn)證協(xié)議頭）

IKE（互聯(lián)網(wǎng)密鑰交換）兩種工作模式：傳輸模式和隧道模式數(shù)據(jù)IP包頭數(shù)據(jù)IP包頭AH數(shù)據(jù)原IP包頭AH新IP包頭傳輸模式隧道模式AH協(xié)議ESP協(xié)議數(shù)據(jù)IP包頭加密后的數(shù)據(jù)IP包頭ESP頭部ESP頭新IP包頭傳輸模式隧道模式ESP尾部ESP驗(yàn)證ESP尾部ESP驗(yàn)證數(shù)據(jù)原IP包頭加密部分VPN的應(yīng)用針對(duì)不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN），這三種類(lèi)型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet（外部擴(kuò)展）相對(duì)應(yīng)。AccessVPNAccessVPN最適用于公司內(nèi)部經(jīng)常有流動(dòng)人員遠(yuǎn)程辦公的情況。出差員工利用當(dāng)?shù)豂SP提供的VPN服務(wù)，就可以和公司的VPN網(wǎng)關(guān)建立私有的隧道連接。RADIUS服務(wù)器可對(duì)員工進(jìn)行驗(yàn)證和授權(quán)，保證連接的安全，同時(shí)負(fù)擔(dān)的電話費(fèi)用大大降低。AccessVPN對(duì)用戶的吸引力在于：1）減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費(fèi)用，簡(jiǎn)化網(wǎng)絡(luò)；2）實(shí)現(xiàn)本地?fù)芴?hào)接入的功能來(lái)取代遠(yuǎn)距離接入或800電話接入，這樣能顯著降低遠(yuǎn)距離通信的費(fèi)用；3）極大的可擴(kuò)展性，簡(jiǎn)便地對(duì)加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度；4）遠(yuǎn)端驗(yàn)證撥入用戶服務(wù)（RADIUS）基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)；5）將工作重心從管理和保留運(yùn)作撥號(hào)網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來(lái)。IntranetVPN如果要進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)，使用IntranetVPN是很好的方式。IntranetVPN通過(guò)一個(gè)使用專(zhuān)用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。IntranetVPN對(duì)用戶的吸引力在于：1）減少WAN帶寬的費(fèi)用；2）能使用靈活的拓?fù)浣Y(jié)構(gòu)，包括全網(wǎng)絡(luò)連接；3）新的站點(diǎn)能更快、更容易地被連接；4）通過(guò)設(shè)備供應(yīng)商WAN的連接冗余，可以延長(zhǎng)網(wǎng)絡(luò)的可用時(shí)間。ExtranetVPN如果是提供B2B之間的安全訪問(wèn)服務(wù)，則可以考慮ExtranetVPN。ExtranetVPN通過(guò)一個(gè)使用專(zhuān)用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。ExtranetVPN對(duì)用戶的吸引力在于：能容易地對(duì)外部網(wǎng)進(jìn)行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠(yuǎn)端訪問(wèn)VPN相同的架構(gòu)和協(xié)議進(jìn)行部署。主要的不同是接入許可，外部網(wǎng)的用戶被許可只有一次機(jī)會(huì)連接到其合作人的網(wǎng)絡(luò)。VPN技術(shù)應(yīng)用實(shí)例在單位有個(gè)私有地址為的網(wǎng)絡(luò)，各電腦是通過(guò)ADSL共享方式接入Internet，某職員在家中有臺(tái)電腦也通過(guò)ADSL訪問(wèn)Internet，現(xiàn)在想在家中隨時(shí)安全地訪問(wèn)單位這臺(tái)機(jī)器，如何通過(guò)VPN技術(shù)實(shí)現(xiàn)？

先在單位這臺(tái)機(jī)器上設(shè)置好VPN服務(wù)，在家中通過(guò)VPN客戶端訪問(wèn)單位這臺(tái)機(jī)器，建立連接后，這兩臺(tái)機(jī)器通信時(shí)就像在局域網(wǎng)中一樣，比如：要在0這臺(tái)電腦中下載這臺(tái)機(jī)器的文件（假設(shè)該機(jī)已設(shè)好FTP服務(wù)），可以直接在瀏覽器中鍵入：下載文件了。雖然是通過(guò)Internet進(jìn)行通信，但整個(gè)過(guò)程都是加密的，就像是在Internet中穿了一條只有兩臺(tái)機(jī)器才能通過(guò)的隧道，這就是VPN(VirtualPrivateNetworks)虛擬專(zhuān)用網(wǎng)。設(shè)置VPN服務(wù)實(shí)現(xiàn)VPN的方式非常多，用帶VPN功能的路由器或用Linux、windows操作系統(tǒng)等，在windows系統(tǒng)下用雙網(wǎng)卡建立VPN服務(wù)器更容易實(shí)現(xiàn)、但要增加一塊網(wǎng)卡。在windows2003中用單網(wǎng)卡來(lái)實(shí)現(xiàn)。

配置服務(wù)器首先是在這臺(tái)機(jī)器上配置VPN服務(wù)。選擇“開(kāi)始”‘“所有程序”’“管理工具”‘“路由和遠(yuǎn)程訪問(wèn)”。設(shè)置過(guò)程如下圖所示：添加服務(wù)器選擇添加服務(wù)的主機(jī)出現(xiàn)上面的圖，就完成了單網(wǎng)的VPN服務(wù)器端的設(shè)置。從客戶端連接到VPN服務(wù)器

1、新建有撥入權(quán)限的用戶要登錄到VPN服務(wù)器，必須知道該服務(wù)器的一個(gè)有撥入權(quán)限的用戶，為了講得更明白，下面在該VPN服務(wù)器上新建個(gè)用戶并賦予該用戶撥入的權(quán)限，過(guò)程如后續(xù)圖。創(chuàng)建新用戶2、在本機(jī)測(cè)試連接

在遠(yuǎn)程連接到VPN服務(wù)器之前，最好先在VPN服務(wù)器的本機(jī)測(cè)試一下，測(cè)試過(guò)程如下：鼠標(biāo)右鍵“網(wǎng)上鄰居”，點(diǎn)擊“新建連接向?qū)А?，按后續(xù)圖的步驟建立連接。如果此時(shí)用ipconfig/all看網(wǎng)卡狀態(tài)，就會(huì)看見(jiàn)三個(gè)網(wǎng)卡，其中一個(gè)IP地址為的就是本機(jī)網(wǎng)卡，另外兩個(gè)是剛才做本機(jī)測(cè)試時(shí)建立的，它們的IP地址為169.x.xx.xxx..xxx，這是VPN默認(rèn)的IP地址，是正常的，不用管它。

建立新連接連接向?qū)нx擇虛擬專(zhuān)用網(wǎng)絡(luò)連接為連接命名輸入要連接的計(jì)算機(jī)名或IP3、遠(yuǎn)程連接前準(zhǔn)備在遠(yuǎn)程連接之前要做好兩個(gè)準(zhǔn)備：第一要獲得VPN服務(wù)器接入Internet的公共IP地址，如果是分配的靜態(tài)IP，那就簡(jiǎn)單了，如果是動(dòng)態(tài)IP，那必須在遠(yuǎn)程能隨時(shí)獲得這個(gè)IP地址，本例如圖1，這臺(tái)機(jī)器的公網(wǎng)IP實(shí)際上就是ADSL貓接入Internet時(shí)，是ISP給自動(dòng)分配的。第二要做個(gè)端口映射，從該例的拓?fù)淇梢钥闯?，本例是通過(guò)在ADSL貓中通過(guò)NAT轉(zhuǎn)換接入Internet的，通過(guò)這種方式一定要在ADSL中作端口映射，由于windows2003的VPN服務(wù)用的是1723端口，所以如下圖，將1723端口映射到這臺(tái)設(shè)有VPN服務(wù)的機(jī)器。4、遠(yuǎn)程連接

上面的服務(wù)器中的測(cè)試完成后，就可以在家中進(jìn)行遠(yuǎn)程連接了，其過(guò)程和在本機(jī)連接測(cè)試的過(guò)程一樣。2.4入侵檢測(cè)

入侵檢測(cè)是繼防火墻之后的又一道防線。防火墻只能對(duì)黑客的攻擊實(shí)施被動(dòng)防御，一旦黑客攻入系統(tǒng)內(nèi)部，則沒(méi)有切實(shí)的防護(hù)策略，而入侵檢測(cè)系統(tǒng)則是針對(duì)這種情況而提出的又一道防線。2.4.1入侵檢測(cè)的基本概念入侵檢測(cè)（IntrusionDetection），顧名思義，就是對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。2.4.2入侵檢測(cè)實(shí)現(xiàn)的步驟1．信息收集入侵檢測(cè)利用的信息一般來(lái)自以下四個(gè)方面：1）系統(tǒng)和網(wǎng)絡(luò)日志文件2）目錄和文件中的不期望的改變3）程序執(zhí)行中的不期望行為4）物理形式的入侵信息2．?dāng)?shù)據(jù)分析（1）模式匹配（2）統(tǒng)計(jì)分析（3）完整性分析3．響應(yīng)包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等2.4.3入侵檢測(cè)技術(shù)入侵檢測(cè)按照分析方法/檢測(cè)原理通常分為異常檢測(cè)和誤用檢測(cè)兩種。1．異常檢測(cè)基于統(tǒng)計(jì)分析原理。首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），試圖用定量的方式加以描述，當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。前提：入侵是異?；顒?dòng)的子集。指標(biāo)：漏報(bào)率低，誤報(bào)率高。用戶輪廓(Profile)：通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍。特點(diǎn)：異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率；不需要對(duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵；系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源。2.誤用檢測(cè)基于模式匹配原理。收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。前提：所有的入侵行為都有可被檢測(cè)到的特征。指標(biāo)：誤報(bào)低、漏報(bào)高。攻擊特征庫(kù)：當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。特點(diǎn)：采用模式匹配，誤用模式能明顯降低誤報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會(huì)使得誤用檢測(cè)無(wú)能為力?；谥鳈C(jī)入侵檢測(cè)系統(tǒng)HIDS工作原理Internet網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測(cè)內(nèi)容：系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志HIDSXHIDSInternetNIDS基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶