電子商務(wù)安全技術(shù)實用教程第3章課件

第三章網(wǎng)絡(luò)安全技術(shù)3.1網(wǎng)絡(luò)安全技術(shù)概述3.2防火墻技術(shù)3.3入侵檢測系統(tǒng)IDS3.4虛擬專用網(wǎng)VPN3.5防病毒技術(shù)第三章網(wǎng)絡(luò)安全技術(shù)3.1網(wǎng)絡(luò)安全技術(shù)概述13.1網(wǎng)絡(luò)安全技術(shù)概述3.1.1網(wǎng)絡(luò)安全技術(shù)的概念1.網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷，保障網(wǎng)絡(luò)信息的保密性、完整性、可用性、可控性、可審查性。與其他概念不同，網(wǎng)絡(luò)安全的具體定義和側(cè)重點會隨著觀察者的角度而不斷變化。3.1網(wǎng)絡(luò)安全技術(shù)概述3.1.1網(wǎng)絡(luò)安全技術(shù)的概念22.網(wǎng)絡(luò)安全的特征（1）保密性：也稱機密性，是強調(diào)有用信息只被授權(quán)對象使用的安全特征。（2）完整性：是指信息在傳輸、交換、存儲和處理過程中，保持信息不被破壞或修改、不丟失和信息未經(jīng)授權(quán)不能改變的特性。（3）可用性：也稱有效性，指信息資源可被授權(quán)實體按要求訪問、正常使用或在非正常情況下能恢復(fù)使用的特性。（4）可控性：是指信息系統(tǒng)對信息內(nèi)容和傳輸具有控制能力的特性，指網(wǎng)絡(luò)系統(tǒng)中的信息在一定傳輸范圍和存放空間內(nèi)可控程度。（5）可審查性：又稱拒絕否認性、抗抵賴性或不可否認性，指網(wǎng)絡(luò)通信雙方在信息交互過程中，確信參與者本身和所提供的信息真實同一性。2.網(wǎng)絡(luò)安全的特征（1）保密性：也稱機密性，是強調(diào)有用信息33.網(wǎng)絡(luò)安全的目標(biāo)（1）運行系統(tǒng)的安全；（2）網(wǎng)絡(luò)上系統(tǒng)信息的安全；（3）網(wǎng)絡(luò)上信息傳播安全；（4）網(wǎng)絡(luò)上信息內(nèi)容的安全3.網(wǎng)絡(luò)安全的目標(biāo)（1）運行系統(tǒng)的安全；43.1.2網(wǎng)絡(luò)安全隱患（1）開放網(wǎng)絡(luò)環(huán)境：主要是指Internet中向公眾開放的各種信息服務(wù)系統(tǒng)或網(wǎng)站，網(wǎng)站與Internet連接,信息內(nèi)容完全開放，任何客戶都可以通過Internet瀏覽網(wǎng)站上的信息。這種網(wǎng)絡(luò)應(yīng)用是開放的，它所面臨的安全風(fēng)險是拒絕服務(wù)(Dos)、篡改網(wǎng)頁內(nèi)容以及被非法利用等。

（2）專用網(wǎng)絡(luò)環(huán)境：主要是指基于Inernet互連的專用網(wǎng),如企業(yè)網(wǎng)、金融網(wǎng)、商務(wù)網(wǎng)等,專用網(wǎng)通過防火墻與Internet連接，網(wǎng)絡(luò)資源只向授權(quán)的用戶開放，他們可以通過Internet訪問專用網(wǎng)上的信息資源。這種網(wǎng)絡(luò)應(yīng)用是半開放的，它所面臨的安全風(fēng)險是假冒合法用戶獲取信息以及在信息傳輸過程中非法截獲或者篡改信息等。

（3）私用網(wǎng)絡(luò)環(huán)境：主要是指與Internet完全隔離的內(nèi)部網(wǎng)，如政務(wù)網(wǎng)、軍用網(wǎng)等，私用網(wǎng)與Internet是物理隔離的，網(wǎng)絡(luò)資源只向授權(quán)的內(nèi)部網(wǎng)用戶開放，他們只能通過內(nèi)部網(wǎng)訪問網(wǎng)絡(luò)中的信息資源。這種網(wǎng)絡(luò)應(yīng)用是封閉的，它所面臨的安全風(fēng)險是內(nèi)部用戶的非授權(quán)訪問,竊取和泄漏機密信息等。3.1.2網(wǎng)絡(luò)安全隱患（1）開放網(wǎng)絡(luò)環(huán)境：53.1.3網(wǎng)絡(luò)安全層次（1）實體安全：也稱物理安全，指保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒介免遭地震、水災(zāi)、火災(zāi)、有害氣體、電磁輻射、系統(tǒng)掉電和其他環(huán)境事故破壞的措施及過程。（2）運行安全：包括網(wǎng)絡(luò)運行和網(wǎng)絡(luò)訪問控制的安全,如設(shè)置防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離、備份系統(tǒng)實現(xiàn)系統(tǒng)的恢復(fù)。（3）系統(tǒng)安全：包括操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全和網(wǎng)絡(luò)系統(tǒng)安全。（4）應(yīng)用安全：由應(yīng)用軟件開發(fā)平臺安全和應(yīng)用系統(tǒng)數(shù)據(jù)安全兩部分組成。（5）管理安全：主要指對人員及網(wǎng)絡(luò)系統(tǒng)安全管理的各種法律、法規(guī)、政策、策略、規(guī)范、標(biāo)準(zhǔn)、技術(shù)手段、機制和措施等內(nèi)容。3.1.3網(wǎng)絡(luò)安全層次（1）實體安全：也稱物理安全，指保護63.1.4網(wǎng)絡(luò)安全技術(shù)（1）防火墻技術(shù)（2）入侵檢測技術(shù)（3）虛擬專用網(wǎng)技術(shù)（4）認證技術(shù)（5）病毒防范技術(shù)另外保障網(wǎng)絡(luò)的信息安全、系統(tǒng)安全、應(yīng)用安全還涉及到安全漏洞掃描技術(shù)、網(wǎng)絡(luò)嗅探技術(shù)、數(shù)據(jù)加密技術(shù)、訪問控制技術(shù)、安全審計技術(shù)等等。3.1.4網(wǎng)絡(luò)安全技術(shù)（1）防火墻技術(shù)73.2防火墻技術(shù)3.2.1防火墻的概念1.防火墻的定義防火墻是位于被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，構(gòu)成一道屏障，以防止發(fā)生對被保護網(wǎng)絡(luò)的不可預(yù)測的、潛在破壞性的侵擾。通過安全規(guī)則來控制外部用戶對內(nèi)部網(wǎng)資源的訪問。在邏輯上，防火墻是分離器，限制器，也是一個分析器。在物理上，防火墻通常是一組硬件設(shè)備。3.2防火墻技術(shù)3.2.1防火墻的概念8圖3-1一個典型的防火墻使用形態(tài)圖3-1一個典型的防火墻使用形態(tài)92.防火墻的功能（1）監(jiān)控并限制訪問：防火墻通過采取控制進出內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)包的方法，實時監(jiān)控網(wǎng)絡(luò)上數(shù)據(jù)包的狀態(tài)，并對這些狀態(tài)加以分析和處理。（2）控制協(xié)議和服務(wù)：防火墻對相關(guān)協(xié)議和服務(wù)進行控制，從而大大降低了因某種服務(wù)、協(xié)議的漏洞而引起安全事故的可能性。（3）保護內(nèi)部網(wǎng)絡(luò)：針對受保護的內(nèi)部網(wǎng)絡(luò)，防火墻能夠及時發(fā)現(xiàn)系統(tǒng)中存在的漏洞，對訪問進行限制。（4）網(wǎng)絡(luò)地址轉(zhuǎn)換：NAT可以緩解目前IP地址緊缺的局面、屏蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和信息、保證內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性。（5）日志記錄與審計：當(dāng)防火墻系統(tǒng)被配置為所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接均需經(jīng)過的安全節(jié)點時，防火墻會對所有的網(wǎng)絡(luò)請求做出日志記錄。2.防火墻的功能（1）監(jiān)控并限制訪問：防火墻通過采取控制進出10防火墻應(yīng)用的局限性（1）不能防范不經(jīng)過防火墻的攻擊（2）不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題（3）不能防止受病毒感染的文件的傳輸（4）不能防止數(shù)據(jù)驅(qū)動式的攻擊（5）不能防止系統(tǒng)安全體系不完善的攻擊防火墻應(yīng)用的局限性（1）不能防范不經(jīng)過防火墻的攻擊113.防火墻的安全策略（1）一切未被允許的都是禁止的（限制政策）防火墻只允許用戶訪問開放的服務(wù),其它未開放的服務(wù)都是禁止的。這種策略比較安全，因為允許訪問的服務(wù)都是經(jīng)過篩選的,但限制了用戶使用的便利性。（2）一切未被禁止的都是允許的（寬松政策）防火墻允許用戶訪問一切未被禁止的服務(wù),除非某項服務(wù)被明確地禁止。這種策略比較靈活,可為用戶提供更多的服務(wù),但安全性要差一些。3.防火墻的安全策略（1）一切未被允許的都是禁止的（限制政策123.2.2防火墻的分類與技術(shù)1．防火墻的分類（1）軟件防火墻與硬件防火墻（2）主機防火墻與網(wǎng)絡(luò)防火墻2.防火墻的技術(shù)（1）包過濾技術(shù)（2）代理服務(wù)技術(shù)（3）狀態(tài)檢測技術(shù)（4）NAT技術(shù)3.2.2防火墻的分類與技術(shù)1．防火墻的分類133.2.3防火墻的應(yīng)用模式1.包過濾防火墻這種模式采用單一的分組過濾型防火墻或狀態(tài)檢測型防火墻來實現(xiàn)。通常，防火墻功能由帶有防火墻模塊的路由器提供，所以也稱為屏蔽路由器。3.2.3防火墻的應(yīng)用模式1.包過濾防火墻14表3-1：包過濾防火墻規(guī)則示例：（1）內(nèi)部主機任何端口訪問任何主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過。（2）任何主機的20端口訪問主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過。（3）任何主機的20端口訪問主機小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過（與1、2作為系列規(guī)則時該規(guī)則無效）。組序號動作源IP目的IP源端口目的端口協(xié)議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP表3-1：包過濾防火墻規(guī)則示例：（1）內(nèi)部主機52.雙穴主機防火墻這種模式采用單一的代理服務(wù)型防火墻來實現(xiàn)。防火墻由一個運行代理服務(wù)軟件的主機（即堡壘主機）實現(xiàn),該主機具有兩個網(wǎng)絡(luò)接口（稱為雙穴主機）2.雙穴主機防火墻這種模式采用單一的代理服務(wù)型防火墻來實現(xiàn)。163.屏蔽主機防火墻屏蔽主機防火墻一般由一個包過濾路由器和一個堡壘主機組成,一個外部包過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上。這種模式采用雙重防火墻來實現(xiàn)，一個是屏蔽路由器，構(gòu)成內(nèi)部網(wǎng)第一道屏障；另一個是堡壘主機，構(gòu)成內(nèi)部網(wǎng)第二道屏障。3.屏蔽主機防火墻屏蔽主機防火墻一般由一個包過濾路由器和一個174.屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機體系結(jié)構(gòu)一樣，但添加了額外的一層保護體系（周邊網(wǎng)絡(luò)）。堡壘主機位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。非軍事區(qū)DMZ：屏蔽子網(wǎng)防火墻在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開，兩個包過濾路由器放置在子網(wǎng)的兩端，形成的子網(wǎng)構(gòu)成一個“非軍事區(qū)”。4.屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機體系結(jié)構(gòu)183.2.4個人防火墻1．個人防火墻的概念個人防火墻是一套安裝在個人計算機上的軟件系統(tǒng)，它能夠監(jiān)視計算機的通信狀況，一旦發(fā)現(xiàn)有對計算機產(chǎn)生危險的通信就會報警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實現(xiàn)對個人計算機上重要數(shù)據(jù)的安全保護。比如：瑞星，賽門鐵克，天網(wǎng)防火墻，冰盾DDOS防火墻等等。2．個人防火墻的主要功能（1）防止Internet上用戶的攻擊（2）阻斷木馬及其他惡意軟件的攻擊（3）為移動計算機提供安全保護（4）與其他安全產(chǎn)品進行集成3．Windows防火墻3.2.4個人防火墻1．個人防火墻的概念193.3入侵檢測技術(shù)3.3.1入侵檢測系統(tǒng)的概念1.入侵檢測系統(tǒng)的定義入侵檢測系統(tǒng)IDS（IntrusionDetectionSystem）是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。入侵檢測系統(tǒng)是對防火墻的合理補充，是一個實時的網(wǎng)絡(luò)違規(guī)識別和響應(yīng)系統(tǒng)，是繼防火墻之后的又一道防線。3.3入侵檢測技術(shù)3.3.1入侵檢測系統(tǒng)的概念202.入侵檢測系統(tǒng)的功能（1）監(jiān)測、分析用戶和系統(tǒng)的活動；（2）核查系統(tǒng)配置和漏洞；（3）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；（4）識別已知的攻擊行為并采取適當(dāng)?shù)拇胧?；?）統(tǒng)計分析異常行為；（6）審計操作系統(tǒng)日志，識別違反安全策略的行為。2.入侵檢測系統(tǒng)的功能（1）監(jiān)測、分析用戶和系統(tǒng)的活動；213.IDS的分類（1）基于主機的入侵檢測系統(tǒng)（HIDS）（2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）（3）分布式入侵檢測系統(tǒng)（DIDS）3.IDS的分類（1）基于主機的入侵檢測系統(tǒng)（HIDS）223.3.2入侵檢測系統(tǒng)的工作原理IDS的組成：事件發(fā)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫IDS的工作流程：第一步，網(wǎng)絡(luò)數(shù)據(jù)包的獲?。ɑ祀s模式）；第二步，網(wǎng)絡(luò)數(shù)據(jù)包的解碼（協(xié)議分析）；第三步，網(wǎng)絡(luò)數(shù)據(jù)包的檢查（誤用檢測）；第四步，網(wǎng)絡(luò)數(shù)據(jù)包的統(tǒng)計（異常檢測）；第五步，網(wǎng)絡(luò)數(shù)據(jù)包的審查（事件生成）；第六步，網(wǎng)絡(luò)數(shù)據(jù)包的處理（報警和響應(yīng)）。3.3.2入侵檢測系統(tǒng)的工作原理IDS的組成：233.IDS的檢查技術(shù)（1）靜態(tài)配置分析技術(shù)靜態(tài)配置分析是通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞。（2）誤用檢測技術(shù)通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的入侵活動，是一種基于已有的知識的檢測。（3）異常檢測技術(shù)通過對系統(tǒng)審計數(shù)據(jù)的分析建立起系統(tǒng)主體（用戶、主機、程序、文件等）的正常行為特征輪廓；3.IDS的檢查技術(shù)（1）靜態(tài)配置分析技術(shù)243.3.3入侵檢測系統(tǒng)的應(yīng)用圖3-8入侵檢測系統(tǒng)一般部署圖圖3-9IDS引擎分布圖3.3.3入侵檢測系統(tǒng)的應(yīng)用圖3-8入侵檢測系統(tǒng)一般部253.4虛擬專用網(wǎng)技術(shù)3.4.1虛擬專用網(wǎng)的概念虛擬專用網(wǎng)VPN，就是建立在公共網(wǎng)絡(luò)上的私有專用網(wǎng)。它是一個利用基于公眾基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)，來建立一個安全的、可靠的和可管理的企業(yè)間通信的通道。3.4虛擬專用網(wǎng)技術(shù)3.4.1虛擬專用網(wǎng)的概念26圖3-10VPN實例圖VPN使用實例：某公司總部在北京，而上海和杭州各有分公司，MIS主管需要彼此之間能夠?qū)崟r交換數(shù)據(jù)，為了安全考慮和提高工作效率，使用VPN技術(shù)。（總公司路由器上開放兩個VPN賬戶，允許分公司路由器撥入，以建立VPN通道）。圖3-10VPN實例圖VPN使用實例：某公司總部在北京，而273.4.2VPN的工作原理1.VPN的協(xié)議（1）點對點隧道協(xié)議PPTP（PointtoPointTunnelingProtocol）是1996年Microsoft和Ascend等在PPP協(xié)議上開發(fā)的，是PPP的一種擴展?？蛻艨梢圆捎脫芴柗绞浇尤牍驳腎P網(wǎng)。撥號客戶首先按常規(guī)方式撥號到ISP的接入服務(wù)器，建立PPP連接；在此基礎(chǔ)上，客戶進行二次撥號建立到PPTP服務(wù)器的連接，該連接稱為PPTP隧道。（2）第二層轉(zhuǎn)發(fā)協(xié)議L2F（Layer2Forwarding）是1996年Cisco開發(fā)的。遠端用戶能夠通過任何撥號方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號到ISP的接入服務(wù)器，建立PPP連接；接入服務(wù)器根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。（3）第二層隧道協(xié)議L2TP（Layer2TunnelingProtocol）是1997年底由Microsoft和Cisco共同開發(fā)。L2TP結(jié)合了L2F和PPTP的優(yōu)點，可以讓用戶從客戶端或接入服務(wù)器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。3.4.2VPN的工作原理1.VPN的協(xié)議282.VPN的實現(xiàn)方法（1）MPLSVPN：是一種基于MPLS技術(shù)的IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS（MultiprotocolLabelSwitching，多協(xié)議標(biāo)記交換）技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IPVPN）（2）SSLVPN：是以HTTPS（安全的HTTP）為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間。（3）IPSecVPN：是基于IPSec協(xié)議的VPN技術(shù)，由IPSec協(xié)議提供隧道安全保障。2.VPN的實現(xiàn)方法（1）MPLSVPN：是一種基于MPL293.4.3VPN的應(yīng)用環(huán)境遠程訪問虛擬網(wǎng)（AccessVPN）企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）企業(yè)擴展虛擬網(wǎng)（ExtranetVPN）3.4.3VPN的應(yīng)用環(huán)境遠程訪問虛擬網(wǎng)（AccessV303.5防病毒技術(shù)3.5.1.病毒的基本概念1.病毒的概念病毒指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”《中華人民共和國計算機信息系統(tǒng)安全保護條例》。從廣義上講，凡是人為編制的、干擾計算機正常運行并造成計算機軟硬件故障，甚至破壞計算機數(shù)據(jù)的、可自我復(fù)制的計算機程序或指令集合都是計算機病毒。從這個概念來說計算機病毒就是惡意代碼。從狹義上講，具有病毒特征的惡意代碼稱為計算機病毒。所謂病毒特征就是生物界所具有的病毒特征是一樣的。3.5防病毒技術(shù)3.5.1.病毒的基本概念31表3-2常見的惡意代碼表惡意代碼類型定義特點病毒在計算機程序中插入的破壞計算機功能或數(shù)據(jù)、影響計算機使用，并能夠自我復(fù)制的程序傳染性、破壞性、潛伏性蠕蟲能夠銅鑼網(wǎng)絡(luò)自我復(fù)制、消耗計算機資源和網(wǎng)絡(luò)資源的惡意程序掃描、攻擊、傳播木馬能夠與遠程計算機建立連接，使遠程計算機能遠程控制本地計算機的惡意代碼欺騙、隱藏、竊取信息后門能夠避開計算機的安全控制，使遠程計算機能夠連接本地計算機的程序潛伏邏輯炸彈能夠嵌入計算機程序、通過一定條件觸發(fā)破壞的程序潛伏、破壞表3-2常見的惡意代碼表惡意代碼類型定義特點病毒在計算機程322.病毒的特征（1）非授權(quán)性（2）隱蔽性（3）傳染性（4）潛伏性（5）破壞性（6）可觸發(fā)性（7）針對性（8）與黑客技術(shù)的結(jié)合性2.病毒的特征（1）非授權(quán)性333．病毒的分類（1）文件傳染源病毒（2）引導(dǎo)扇區(qū)病毒（3）宏病毒（4）復(fù)合型病毒3．病毒的分類（1）文件傳染源病毒343.5.2病毒檢測技術(shù)（1）特征碼檢測法計算機病毒是一種人為編寫的特殊的程序代碼，不同病毒之間在代碼上都存在著差異性。（2）校驗和檢測法使用校驗和檢測法對被查的對象（文件或一段程序代碼）計算在正常狀態(tài)時的校驗和，并將校驗和寫入指定的文件中。（3）行為監(jiān)測法行為監(jiān)測法是指利用病毒的特有行為特征來監(jiān)測病毒的一種方法。（4）軟件模擬法是指用軟件來模擬和分析程序的執(zhí)行過程和結(jié)果。3.5.2病毒檢測技術(shù)（1）特征碼檢測法353.5.3病毒的防范方法1．非網(wǎng)絡(luò)傳播型病毒的防范方法（1）安裝專業(yè)的反病毒軟件，對存儲介質(zhì)進行定期的查、殺病毒操作。（2）安裝和啟用防火墻軟件，避免某些利用操作系統(tǒng)和軟件漏洞的病毒和惡意代碼侵入計算機系統(tǒng)。（3）使用不明來路的磁盤中的數(shù)據(jù)（軟件）前，應(yīng)先進行查、條病毒操作，確認無病毒后再使用。3.5.3病毒的防范方法1．非網(wǎng)絡(luò)傳播型病毒的防范方法363.5.3病毒的防范方法2．網(wǎng)絡(luò)傳播型病毒的防范方法（1）安裝反病毒軟件（2）及時修補操作系統(tǒng)和應(yīng)用軟件的漏洞（3）安裝網(wǎng)絡(luò)防火墻（4）常備工具軟件（5）建議禁用操作系統(tǒng)中的自動運行功能（6）對于來路不明的可疑郵件附件不要直接打開（7）不要貪圖免費軟件（8）不瀏覽非法網(wǎng)站3.5.3病毒的防范方法2．網(wǎng)絡(luò)傳播型病毒的防范方法37本章小結(jié)網(wǎng)絡(luò)安全的主要技術(shù)包括：防火墻技術(shù)、VPN技術(shù)、入侵檢測技術(shù)、網(wǎng)絡(luò)隔離技術(shù)和反病毒技術(shù)等。本章對這些網(wǎng)絡(luò)安全主流技術(shù)的相關(guān)概念、工作原理、基本模型和實現(xiàn)方式進行了系統(tǒng)介紹?？紤]到實現(xiàn)網(wǎng)絡(luò)安全具有一定的復(fù)雜性和動態(tài)性，對網(wǎng)絡(luò)安全技術(shù)的研究依然任重道遠。本章小結(jié)網(wǎng)絡(luò)安全的主要技術(shù)包括：防火墻技術(shù)、VPN技術(shù)、入侵38第三章網(wǎng)絡(luò)安全技術(shù)3.1網(wǎng)絡(luò)安全技術(shù)概述3.2防火墻技術(shù)3.3入侵檢測系統(tǒng)IDS3.4虛擬專用網(wǎng)VPN3.5防病毒技術(shù)第三章網(wǎng)絡(luò)安全技術(shù)3.1網(wǎng)絡(luò)安全技術(shù)概述393.1網(wǎng)絡(luò)安全技術(shù)概述3.1.1網(wǎng)絡(luò)安全技術(shù)的概念1.網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷，保障網(wǎng)絡(luò)信息的保密性、完整性、可用性、可控性、可審查性。與其他概念不同，網(wǎng)絡(luò)安全的具體定義和側(cè)重點會隨著觀察者的角度而不斷變化。3.1網(wǎng)絡(luò)安全技術(shù)概述3.1.1網(wǎng)絡(luò)安全技術(shù)的概念402.網(wǎng)絡(luò)安全的特征（1）保密性：也稱機密性，是強調(diào)有用信息只被授權(quán)對象使用的安全特征。（2）完整性：是指信息在傳輸、交換、存儲和處理過程中，保持信息不被破壞或修改、不丟失和信息未經(jīng)授權(quán)不能改變的特性。（3）可用性：也稱有效性，指信息資源可被授權(quán)實體按要求訪問、正常使用或在非正常情況下能恢復(fù)使用的特性。（4）可控性：是指信息系統(tǒng)對信息內(nèi)容和傳輸具有控制能力的特性，指網(wǎng)絡(luò)系統(tǒng)中的信息在一定傳輸范圍和存放空間內(nèi)可控程度。（5）可審查性：又稱拒絕否認性、抗抵賴性或不可否認性，指網(wǎng)絡(luò)通信雙方在信息交互過程中，確信參與者本身和所提供的信息真實同一性。2.網(wǎng)絡(luò)安全的特征（1）保密性：也稱機密性，是強調(diào)有用信息413.網(wǎng)絡(luò)安全的目標(biāo)（1）運行系統(tǒng)的安全；（2）網(wǎng)絡(luò)上系統(tǒng)信息的安全；（3）網(wǎng)絡(luò)上信息傳播安全；（4）網(wǎng)絡(luò)上信息內(nèi)容的安全3.網(wǎng)絡(luò)安全的目標(biāo)（1）運行系統(tǒng)的安全；423.1.2網(wǎng)絡(luò)安全隱患（1）開放網(wǎng)絡(luò)環(huán)境：主要是指Internet中向公眾開放的各種信息服務(wù)系統(tǒng)或網(wǎng)站，網(wǎng)站與Internet連接,信息內(nèi)容完全開放，任何客戶都可以通過Internet瀏覽網(wǎng)站上的信息。這種網(wǎng)絡(luò)應(yīng)用是開放的，它所面臨的安全風(fēng)險是拒絕服務(wù)(Dos)、篡改網(wǎng)頁內(nèi)容以及被非法利用等。

（2）專用網(wǎng)絡(luò)環(huán)境：主要是指基于Inernet互連的專用網(wǎng),如企業(yè)網(wǎng)、金融網(wǎng)、商務(wù)網(wǎng)等,專用網(wǎng)通過防火墻與Internet連接，網(wǎng)絡(luò)資源只向授權(quán)的用戶開放，他們可以通過Internet訪問專用網(wǎng)上的信息資源。這種網(wǎng)絡(luò)應(yīng)用是半開放的，它所面臨的安全風(fēng)險是假冒合法用戶獲取信息以及在信息傳輸過程中非法截獲或者篡改信息等。

（3）私用網(wǎng)絡(luò)環(huán)境：主要是指與Internet完全隔離的內(nèi)部網(wǎng)，如政務(wù)網(wǎng)、軍用網(wǎng)等，私用網(wǎng)與Internet是物理隔離的，網(wǎng)絡(luò)資源只向授權(quán)的內(nèi)部網(wǎng)用戶開放，他們只能通過內(nèi)部網(wǎng)訪問網(wǎng)絡(luò)中的信息資源。這種網(wǎng)絡(luò)應(yīng)用是封閉的，它所面臨的安全風(fēng)險是內(nèi)部用戶的非授權(quán)訪問,竊取和泄漏機密信息等。3.1.2網(wǎng)絡(luò)安全隱患（1）開放網(wǎng)絡(luò)環(huán)境：433.1.3網(wǎng)絡(luò)安全層次（1）實體安全：也稱物理安全，指保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒介免遭地震、水災(zāi)、火災(zāi)、有害氣體、電磁輻射、系統(tǒng)掉電和其他環(huán)境事故破壞的措施及過程。（2）運行安全：包括網(wǎng)絡(luò)運行和網(wǎng)絡(luò)訪問控制的安全,如設(shè)置防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離、備份系統(tǒng)實現(xiàn)系統(tǒng)的恢復(fù)。（3）系統(tǒng)安全：包括操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全和網(wǎng)絡(luò)系統(tǒng)安全。（4）應(yīng)用安全：由應(yīng)用軟件開發(fā)平臺安全和應(yīng)用系統(tǒng)數(shù)據(jù)安全兩部分組成。（5）管理安全：主要指對人員及網(wǎng)絡(luò)系統(tǒng)安全管理的各種法律、法規(guī)、政策、策略、規(guī)范、標(biāo)準(zhǔn)、技術(shù)手段、機制和措施等內(nèi)容。3.1.3網(wǎng)絡(luò)安全層次（1）實體安全：也稱物理安全，指保護443.1.4網(wǎng)絡(luò)安全技術(shù)（1）防火墻技術(shù)（2）入侵檢測技術(shù)（3）虛擬專用網(wǎng)技術(shù)（4）認證技術(shù)（5）病毒防范技術(shù)另外保障網(wǎng)絡(luò)的信息安全、系統(tǒng)安全、應(yīng)用安全還涉及到安全漏洞掃描技術(shù)、網(wǎng)絡(luò)嗅探技術(shù)、數(shù)據(jù)加密技術(shù)、訪問控制技術(shù)、安全審計技術(shù)等等。3.1.4網(wǎng)絡(luò)安全技術(shù)（1）防火墻技術(shù)453.2防火墻技術(shù)3.2.1防火墻的概念1.防火墻的定義防火墻是位于被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，構(gòu)成一道屏障，以防止發(fā)生對被保護網(wǎng)絡(luò)的不可預(yù)測的、潛在破壞性的侵擾。通過安全規(guī)則來控制外部用戶對內(nèi)部網(wǎng)資源的訪問。在邏輯上，防火墻是分離器，限制器，也是一個分析器。在物理上，防火墻通常是一組硬件設(shè)備。3.2防火墻技術(shù)3.2.1防火墻的概念46圖3-1一個典型的防火墻使用形態(tài)圖3-1一個典型的防火墻使用形態(tài)472.防火墻的功能（1）監(jiān)控并限制訪問：防火墻通過采取控制進出內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)包的方法，實時監(jiān)控網(wǎng)絡(luò)上數(shù)據(jù)包的狀態(tài)，并對這些狀態(tài)加以分析和處理。（2）控制協(xié)議和服務(wù)：防火墻對相關(guān)協(xié)議和服務(wù)進行控制，從而大大降低了因某種服務(wù)、協(xié)議的漏洞而引起安全事故的可能性。（3）保護內(nèi)部網(wǎng)絡(luò)：針對受保護的內(nèi)部網(wǎng)絡(luò)，防火墻能夠及時發(fā)現(xiàn)系統(tǒng)中存在的漏洞，對訪問進行限制。（4）網(wǎng)絡(luò)地址轉(zhuǎn)換：NAT可以緩解目前IP地址緊缺的局面、屏蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和信息、保證內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性。（5）日志記錄與審計：當(dāng)防火墻系統(tǒng)被配置為所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接均需經(jīng)過的安全節(jié)點時，防火墻會對所有的網(wǎng)絡(luò)請求做出日志記錄。2.防火墻的功能（1）監(jiān)控并限制訪問：防火墻通過采取控制進出48防火墻應(yīng)用的局限性（1）不能防范不經(jīng)過防火墻的攻擊（2）不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題（3）不能防止受病毒感染的文件的傳輸（4）不能防止數(shù)據(jù)驅(qū)動式的攻擊（5）不能防止系統(tǒng)安全體系不完善的攻擊防火墻應(yīng)用的局限性（1）不能防范不經(jīng)過防火墻的攻擊493.防火墻的安全策略（1）一切未被允許的都是禁止的（限制政策）防火墻只允許用戶訪問開放的服務(wù),其它未開放的服務(wù)都是禁止的。這種策略比較安全，因為允許訪問的服務(wù)都是經(jīng)過篩選的,但限制了用戶使用的便利性。（2）一切未被禁止的都是允許的（寬松政策）防火墻允許用戶訪問一切未被禁止的服務(wù),除非某項服務(wù)被明確地禁止。這種策略比較靈活,可為用戶提供更多的服務(wù),但安全性要差一些。3.防火墻的安全策略（1）一切未被允許的都是禁止的（限制政策503.2.2防火墻的分類與技術(shù)1．防火墻的分類（1）軟件防火墻與硬件防火墻（2）主機防火墻與網(wǎng)絡(luò)防火墻2.防火墻的技術(shù)（1）包過濾技術(shù)（2）代理服務(wù)技術(shù)（3）狀態(tài)檢測技術(shù)（4）NAT技術(shù)3.2.2防火墻的分類與技術(shù)1．防火墻的分類513.2.3防火墻的應(yīng)用模式1.包過濾防火墻這種模式采用單一的分組過濾型防火墻或狀態(tài)檢測型防火墻來實現(xiàn)。通常，防火墻功能由帶有防火墻模塊的路由器提供，所以也稱為屏蔽路由器。3.2.3防火墻的應(yīng)用模式1.包過濾防火墻52表3-1：包過濾防火墻規(guī)則示例：（1）內(nèi)部主機任何端口訪問任何主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過。（2）任何主機的20端口訪問主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過。（3）任何主機的20端口訪問主機小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過（與1、2作為系列規(guī)則時該規(guī)則無效）。組序號動作源IP目的IP源端口目的端口協(xié)議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP表3-1：包過濾防火墻規(guī)則示例：（1）內(nèi)部主機32.雙穴主機防火墻這種模式采用單一的代理服務(wù)型防火墻來實現(xiàn)。防火墻由一個運行代理服務(wù)軟件的主機（即堡壘主機）實現(xiàn),該主機具有兩個網(wǎng)絡(luò)接口（稱為雙穴主機）2.雙穴主機防火墻這種模式采用單一的代理服務(wù)型防火墻來實現(xiàn)。543.屏蔽主機防火墻屏蔽主機防火墻一般由一個包過濾路由器和一個堡壘主機組成,一個外部包過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上。這種模式采用雙重防火墻來實現(xiàn)，一個是屏蔽路由器，構(gòu)成內(nèi)部網(wǎng)第一道屏障；另一個是堡壘主機，構(gòu)成內(nèi)部網(wǎng)第二道屏障。3.屏蔽主機防火墻屏蔽主機防火墻一般由一個包過濾路由器和一個554.屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機體系結(jié)構(gòu)一樣，但添加了額外的一層保護體系（周邊網(wǎng)絡(luò)）。堡壘主機位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。非軍事區(qū)DMZ：屏蔽子網(wǎng)防火墻在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開，兩個包過濾路由器放置在子網(wǎng)的兩端，形成的子網(wǎng)構(gòu)成一個“非軍事區(qū)”。4.屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機體系結(jié)構(gòu)563.2.4個人防火墻1．個人防火墻的概念個人防火墻是一套安裝在個人計算機上的軟件系統(tǒng)，它能夠監(jiān)視計算機的通信狀況，一旦發(fā)現(xiàn)有對計算機產(chǎn)生危險的通信就會報警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實現(xiàn)對個人計算機上重要數(shù)據(jù)的安全保護。比如：瑞星，賽門鐵克，天網(wǎng)防火墻，冰盾DDOS防火墻等等。2．個人防火墻的主要功能（1）防止Internet上用戶的攻擊（2）阻斷木馬及其他惡意軟件的攻擊（3）為移動計算機提供安全保護（4）與其他安全產(chǎn)品進行集成3．Windows防火墻3.2.4個人防火墻1．個人防火墻的概念573.3入侵檢測技術(shù)3.3.1入侵檢測系統(tǒng)的概念1.入侵檢測系統(tǒng)的定義入侵檢測系統(tǒng)IDS（IntrusionDetectionSystem）是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。入侵檢測系統(tǒng)是對防火墻的合理補充，是一個實時的網(wǎng)絡(luò)違規(guī)識別和響應(yīng)系統(tǒng)，是繼防火墻之后的又一道防線。3.3入侵檢測技術(shù)3.3.1入侵檢測系統(tǒng)的概念582.入侵檢測系統(tǒng)的功能（1）監(jiān)測、分析用戶和系統(tǒng)的活動；（2）核查系統(tǒng)配置和漏洞；（3）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；（4）識別已知的攻擊行為并采取適當(dāng)?shù)拇胧?；?）統(tǒng)計分析異常行為；（6）審計操作系統(tǒng)日志，識別違反安全策略的行為。2.入侵檢測系統(tǒng)的功能（1）監(jiān)測、分析用戶和系統(tǒng)的活動；593.IDS的分類（1）基于主機的入侵檢測系統(tǒng)（HIDS）（2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）（3）分布式入侵檢測系統(tǒng)（DIDS）3.IDS的分類（1）基于主機的入侵檢測系統(tǒng)（HIDS）603.3.2入侵檢測系統(tǒng)的工作原理IDS的組成：事件發(fā)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫IDS的工作流程：第一步，網(wǎng)絡(luò)數(shù)據(jù)包的獲取（混雜模式）；第二步，網(wǎng)絡(luò)數(shù)據(jù)包的解碼（協(xié)議分析）；第三步，網(wǎng)絡(luò)數(shù)據(jù)包的檢查（誤用檢測）；第四步，網(wǎng)絡(luò)數(shù)據(jù)包的統(tǒng)計（異常檢測）；第五步，網(wǎng)絡(luò)數(shù)據(jù)包的審查（事件生成）；第六步，網(wǎng)絡(luò)數(shù)據(jù)包的處理（報警和響應(yīng)）。3.3.2入侵檢測系統(tǒng)的工作原理IDS的組成：613.IDS的檢查技術(shù)（1）靜態(tài)配置分析技術(shù)靜態(tài)配置分析是通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞。（2）誤用檢測技術(shù)通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的入侵活動，是一種基于已有的知識的檢測。（3）異常檢測技術(shù)通過對系統(tǒng)審計數(shù)據(jù)的分析建立起系統(tǒng)主體（用戶、主機、程序、文件等）的正常行為特征輪廓；3.IDS的檢查技術(shù)（1）靜態(tài)配置分析技術(shù)623.3.3入侵檢測系統(tǒng)的應(yīng)用圖3-8入侵檢測系統(tǒng)一般部署圖圖3-9IDS引擎分布圖3.3.3入侵檢測系統(tǒng)的應(yīng)用圖3-8入侵檢測系統(tǒng)一般部633.4虛擬專用網(wǎng)技術(shù)3.4.1虛擬專用網(wǎng)的概念虛擬專用網(wǎng)VPN，就是建立在公共網(wǎng)絡(luò)上的私有專用網(wǎng)。它是一個利用基于公眾基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)，來建立一個安全的、可靠的和可管理的企業(yè)間通信的通道。3.4虛擬專用網(wǎng)技術(shù)3.4.1虛擬專用網(wǎng)的概念64圖3-10VPN實例圖VPN使用實例：某公司總部在北京，而上海和杭州各有分公司，MIS主管需要彼此之間能夠?qū)崟r交換數(shù)據(jù)，為了安全考慮和提高工作效率，使用VPN技術(shù)。（總公司路由器上開放兩個VPN賬戶，允許分公司路由器撥入，以建立VPN通道）。圖3-10VPN實例圖VPN使用實例：某公司總部在北京，而653.4.2VPN的工作原理1.VPN的協(xié)議（1）點對點隧道協(xié)議PPTP（PointtoPointTunnelingProtocol）是1996年Microsoft和Ascend等在PPP協(xié)議上開發(fā)的，是PPP的一種擴展?？蛻艨梢圆捎脫芴柗绞浇尤牍驳腎P網(wǎng)。撥號客戶首先按常規(guī)方式撥號到ISP的接入服務(wù)器，建立PPP連接；在此基礎(chǔ)上，客戶進行二次撥號建立到PPTP服務(wù)器的連接，該連接稱為PPTP隧道。（2）第二層轉(zhuǎn)發(fā)協(xié)議L2F（Layer2Forwarding）是1996年Cisco開發(fā)的。遠端用戶能夠通過任何撥號方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號到ISP的接入服務(wù)器，建立PPP連接；接入服務(wù)器根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。（3）第二層隧道協(xié)議L2TP（Layer2TunnelingProtocol）是1997年底由Microsoft和Cisco共同開發(fā)。L2TP結(jié)合了L2F和PPTP的優(yōu)點，可以讓用戶從客戶端或接入服務(wù)器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。3.4.2VPN的工作原理1.VPN的協(xié)議662.VPN的實現(xiàn)方法（1）MPLSVPN：是一種基于MPLS技術(shù)的IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS（MultiprotocolLabelSwitching，多協(xié)議標(biāo)記交換）技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IPVPN）（2）SSLVPN：是以HTTPS（安全的HTTP）為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間。（3）IPSecVPN：是基于IPSec協(xié)議的VPN技術(shù)，由IPSec協(xié)議提供隧道安全保障。2.VPN的實現(xiàn)方法（1）MPLSVPN：是一種基于MPL673.4.3VPN的應(yīng)用環(huán)境遠程訪問虛擬網(wǎng)（AccessVPN）企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）企業(yè)擴展