網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)下

網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)（下）本講概要 本講主要闡述目前最常用的信息安全技術(shù)和信息安全產(chǎn)品，內(nèi)容包括了：防火墻入侵檢測(cè)VPN漏洞評(píng)估本講涉及內(nèi)容寬泛，領(lǐng)域眾多，講師根據(jù)學(xué)員情況做好課時(shí)安排。本講總課時(shí)建議為4~6課時(shí)。2本講學(xué)習(xí)目標(biāo)通過本講學(xué)習(xí)，學(xué)員應(yīng)該掌握：各類信息安全技術(shù)的概念、用途，部署方式防火墻的分類、原理、結(jié)構(gòu)和用途入侵檢測(cè)產(chǎn)品的工作原理和分類VPN的分類和用途漏洞評(píng)估的概念和意義3（一）防火墻技術(shù)防火墻產(chǎn)品防火墻的基本概念防火墻的主要技術(shù)防火墻的用途防火墻的弱點(diǎn)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)筑原則防火墻產(chǎn)品本節(jié)將分以下幾部分介紹網(wǎng)絡(luò)防火墻：5防火墻的基本概念防火墻是一種高級(jí)訪問控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)安全政策控制(允許、拒絕、監(jiān)視、記錄)進(jìn)出網(wǎng)絡(luò)的訪問行為。不可信的網(wǎng)絡(luò)及服務(wù)器可信任的網(wǎng)絡(luò)防火墻路由器InternetIntranet供外部訪問的服務(wù)及資源可信任的用戶不可信的用戶

DMZ6防火墻的用途控制對(duì)網(wǎng)點(diǎn)的訪問和封鎖網(wǎng)點(diǎn)信息的泄露能限制被保護(hù)子網(wǎng)的泄露具有審計(jì)作用能強(qiáng)制安全策略7防火墻不能防備病毒防火墻對(duì)不通過它的連接無能為力防火墻不能防備內(nèi)部人員的攻擊限制有用的網(wǎng)絡(luò)服務(wù)防火墻不能防備新的網(wǎng)絡(luò)安全問題防火墻的弱點(diǎn)8形形色色的防火墻9防火墻的分類方法10單機(jī)機(jī)防防火火墻墻VS網(wǎng)絡(luò)絡(luò)防防火火墻墻11軟件件防防火火墻墻VS硬件件防防火火墻墻12防火火墻墻設(shè)設(shè)備備外外觀觀與與結(jié)結(jié)構(gòu)構(gòu)13防火火墻墻的的主主要要技技術(shù)術(shù)應(yīng)用用層層代代理理技技術(shù)術(shù)(ApplicationProxy)包過過濾濾技技術(shù)術(shù)(PacketFiltering)狀態(tài)態(tài)包包過過濾濾技技術(shù)術(shù)(StatefulPacketFiltering)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層防火火墻墻的的主主要要技技術(shù)術(shù)種種類類14數(shù)據(jù)據(jù)包包數(shù)據(jù)據(jù)包包查找找對(duì)對(duì)應(yīng)應(yīng)的的控控制制策策略略拆開開數(shù)數(shù)據(jù)據(jù)包包根據(jù)據(jù)策策略略決決定定如如何何處處理理該該數(shù)數(shù)據(jù)據(jù)包包數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組組過過濾濾判判斷斷信信息息企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)據(jù)包包防火火墻墻的的主主要要技技術(shù)術(shù)包過過濾濾技技術(shù)術(shù)的的基基本本原原理理數(shù)據(jù)據(jù)包包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略15數(shù)據(jù)據(jù)包包數(shù)據(jù)據(jù)包包查找對(duì)應(yīng)應(yīng)的控制制策略拆開數(shù)據(jù)據(jù)包根據(jù)策略略決定如如何處理理該數(shù)據(jù)據(jù)包企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包防火墻的的主要技技術(shù)狀態(tài)檢測(cè)測(cè)包過濾濾技術(shù)的的基本原原理數(shù)據(jù)包數(shù)據(jù)3TCP報(bào)頭IP報(bào)頭分組過濾濾判斷信信息數(shù)據(jù)2TCP報(bào)頭IP報(bào)頭數(shù)據(jù)1TCP報(bào)頭IP報(bào)頭數(shù)據(jù)1TCP報(bào)頭IP報(bào)頭數(shù)據(jù)狀態(tài)檢測(cè)測(cè)控制策略略16數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)應(yīng)的控制制策略拆開數(shù)據(jù)據(jù)包根據(jù)策略略決定如如何處理理該數(shù)據(jù)據(jù)包企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包防火墻的的主要技技術(shù)應(yīng)用層代代理技術(shù)術(shù)的基本本原理數(shù)據(jù)包數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過濾濾判斷信信息應(yīng)用代理理判斷信信息控制策略略17防火墻的的體系結(jié)結(jié)構(gòu)篩選路由由器雙網(wǎng)主機(jī)機(jī)屏蔽主機(jī)機(jī)屏蔽子網(wǎng)網(wǎng)防火墻可可以設(shè)置置成不同同的體系系結(jié)構(gòu)，，提供不不同級(jí)別別的安全全。常見見的體系系結(jié)構(gòu)有有：18防火墻的的體系結(jié)結(jié)構(gòu)內(nèi)部網(wǎng)外部網(wǎng)篩選路由由器式體體系結(jié)構(gòu)構(gòu)包過濾篩選路由由器19防火墻的的體系結(jié)結(jié)構(gòu)雙網(wǎng)主機(jī)機(jī)式體系系結(jié)構(gòu)內(nèi)部網(wǎng)外部網(wǎng)雙網(wǎng)主機(jī)雙網(wǎng)主機(jī)機(jī)插有兩兩塊網(wǎng)卡卡，分別別連接到到內(nèi)網(wǎng)和和外網(wǎng)。。防火墻內(nèi)內(nèi)、外的的系統(tǒng)均均可以與與雙網(wǎng)主主機(jī)進(jìn)行行通信，，但防火火墻兩邊邊的系統(tǒng)統(tǒng)之間不不能直接接進(jìn)行通通信。使用此結(jié)結(jié)構(gòu)，必必須關(guān)閉閉雙網(wǎng)主主機(jī)上的的路由分分配功能能。20防火墻的的體系結(jié)結(jié)構(gòu)屏蔽主機(jī)機(jī)式體系系結(jié)構(gòu)Internet堡壘主機(jī)機(jī)防火墻屏蔽路由由器21防火墻的的體系結(jié)結(jié)構(gòu)屏蔽子網(wǎng)網(wǎng)式體系系結(jié)構(gòu)Internet堡壘主機(jī)機(jī)屏蔽路由由器屏蔽路由由器周邊網(wǎng)絡(luò)絡(luò)22防火墻的的構(gòu)筑原原則構(gòu)筑防火火墻要從從以下幾幾方面考考慮：體系結(jié)構(gòu)構(gòu)的設(shè)計(jì)計(jì)安全策略略的制定定安全策略略的實(shí)施施23防火墻的的性能指指標(biāo)24主流防火火墻產(chǎn)品品25（二）虛虛擬局域域網(wǎng)（VLAN）VLAN的定義VLAN（VirtualLocalAreaNetwork）又稱虛虛擬局域域網(wǎng)，是是指在交交換局域域網(wǎng)的基基礎(chǔ)上，，采用網(wǎng)網(wǎng)絡(luò)管理理軟件構(gòu)構(gòu)建的可可跨越不不同網(wǎng)段段、不同同網(wǎng)絡(luò)的的端到端端的邏輯輯網(wǎng)絡(luò)。。一個(gè)VLAN組成一個(gè)邏輯輯子網(wǎng)，即一一個(gè)邏輯廣播播域，它可以以覆蓋多個(gè)網(wǎng)網(wǎng)絡(luò)設(shè)備，允允許處于不同同地理位置的的網(wǎng)絡(luò)用戶加加入到一個(gè)邏邏輯子網(wǎng)中。。組建VLAN的條件VLAN是建立在物理理網(wǎng)絡(luò)基礎(chǔ)上上的一種邏輯輯子網(wǎng)，因此此建立VLAN需要相應(yīng)的支支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)設(shè)備。當(dāng)網(wǎng)絡(luò)絡(luò)中的不同VLAN間進(jìn)行相互通通信時(shí)，需要要路由的支持持，這時(shí)就需需要增加路由由設(shè)備——要實(shí)現(xiàn)路由功功能，既可采采用路由器，，也可采用三三層交換機(jī)來來完成。什么是VLAN27從技術(shù)角度講講，VLAN的劃分可依據(jù)據(jù)不同原則，，一般有以下下三種劃分方方法：1、基于端口的VLAN劃分這種劃分是把把一個(gè)或多個(gè)個(gè)交換機(jī)上的的幾個(gè)端口劃劃分一個(gè)邏輯輯組，這是最最簡(jiǎn)單、最有有效的劃分方方法。該方法法只需網(wǎng)絡(luò)管管理員對(duì)網(wǎng)絡(luò)絡(luò)設(shè)備的交換換端口進(jìn)行重重新分配即可可，不用考慮慮該端口所連連接的設(shè)備。。2、基于MAC地址的VLAN劃分MAC地址其實(shí)就是是指網(wǎng)卡的標(biāo)標(biāo)識(shí)符，每一一塊網(wǎng)卡的MAC地址都是惟一一且固化在網(wǎng)網(wǎng)卡上的。MAC地址由12位16進(jìn)制數(shù)表示，，前8位為廠商標(biāo)識(shí)識(shí)，后4位為網(wǎng)卡標(biāo)識(shí)識(shí)。網(wǎng)絡(luò)管理理員可按MAC地址把一些站站點(diǎn)劃分為一一個(gè)邏輯子網(wǎng)網(wǎng)。3、基于路由的的VLAN劃分路由協(xié)議工作作在網(wǎng)絡(luò)層，，相應(yīng)的工作作設(shè)備有路由由器和路由交交換機(jī)（即三三層交換機(jī)））。該方式允允許一個(gè)VLAN跨越多個(gè)交換換機(jī)，或一個(gè)個(gè)端口位于多多個(gè)VLAN中。劃分VLAN的基本策略281、控制廣播風(fēng)風(fēng)暴一個(gè)VLAN就是一個(gè)邏輯輯廣播域，通通過對(duì)VLAN的創(chuàng)建，隔離離了廣播，縮縮小了廣播范范圍，可以控控制廣播風(fēng)暴暴的產(chǎn)生。2、提高網(wǎng)絡(luò)整整體安全性通過路由訪問問列表和MAC地址分配等VLAN劃分原則，可可以控制用戶戶訪問權(quán)限和和邏輯網(wǎng)段大大小，將不同同用戶群劃分分在不同VLAN，從而提高交交換式網(wǎng)絡(luò)的的整體性能和和安全性。3、網(wǎng)絡(luò)管理簡(jiǎn)簡(jiǎn)單、直觀對(duì)于交換式以以太網(wǎng)，如果果對(duì)某些用戶戶重新進(jìn)行網(wǎng)網(wǎng)段分配，需需要網(wǎng)絡(luò)管理理員對(duì)網(wǎng)絡(luò)系系統(tǒng)的物理結(jié)結(jié)構(gòu)重新進(jìn)行行調(diào)整，甚至至需要追加網(wǎng)網(wǎng)絡(luò)設(shè)備，增增大網(wǎng)絡(luò)管理理的工作量。。而對(duì)于采用用VLAN技術(shù)的網(wǎng)絡(luò)來來說，一個(gè)VLAN可以根據(jù)部門門職能、對(duì)象象組或者應(yīng)用用將不同地理理位置的網(wǎng)絡(luò)絡(luò)用戶劃分為為一個(gè)邏輯網(wǎng)網(wǎng)段。在不改改動(dòng)網(wǎng)絡(luò)物理理連接的情況況下可以任意意地將工作站站在工作組或或子網(wǎng)之間移移動(dòng)。利用虛虛擬網(wǎng)絡(luò)技術(shù)術(shù)，大大減輕輕了網(wǎng)絡(luò)管理理和維護(hù)工作作的負(fù)擔(dān)，降降低了網(wǎng)絡(luò)維維護(hù)費(fèi)用。在在一個(gè)交換網(wǎng)網(wǎng)絡(luò)中，VLAN提供了網(wǎng)段和和機(jī)構(gòu)的彈性性組合機(jī)制。。VLAN的作用29三層交換（也也稱多層交換換技術(shù)，或IP交換技術(shù)）是是相對(duì)于傳統(tǒng)統(tǒng)交換概念而而提出的。眾眾所周知，傳傳統(tǒng)的交換技技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型型中的第二層層——數(shù)據(jù)鏈路層進(jìn)進(jìn)行操作的，，而三層交換換技術(shù)是在網(wǎng)網(wǎng)絡(luò)模型中的的第三層實(shí)現(xiàn)現(xiàn)了數(shù)據(jù)包的的高速轉(zhuǎn)發(fā)。。簡(jiǎn)單地說，，三層交換技技術(shù)就是：二二層交換技術(shù)術(shù)＋三層轉(zhuǎn)發(fā)發(fā)技術(shù)。三層交換技術(shù)術(shù)的出現(xiàn)，解解決了局域網(wǎng)網(wǎng)中網(wǎng)段劃分分之后，網(wǎng)段段中子網(wǎng)必須須依賴路由器器進(jìn)行管理的的局面，解決決了傳統(tǒng)路由由器低速、復(fù)復(fù)雜所造成的的網(wǎng)絡(luò)瓶頸問問題。三層交換原理理它是將路由技技術(shù)與交換技技術(shù)合二為一一的技術(shù)。三三層交換機(jī)在在對(duì)第一個(gè)數(shù)數(shù)據(jù)流進(jìn)行路路由后，會(huì)產(chǎn)產(chǎn)生一個(gè)MAC地址與IP地址的映射表表，當(dāng)同樣的的數(shù)據(jù)流再次次通過時(shí)，將將根據(jù)此表直直接從二層通通過而不是再再次路由，從從而消除了路路由器進(jìn)行路路由選擇而造造成網(wǎng)絡(luò)的延延遲，提高了了數(shù)據(jù)包轉(zhuǎn)發(fā)發(fā)的效率，消消除了路由器器可能產(chǎn)生的的網(wǎng)絡(luò)瓶頸問問題?？梢?，，三層交換機(jī)機(jī)集路由與交交換于一身，，在交換機(jī)內(nèi)內(nèi)部實(shí)現(xiàn)了路路由，提高了了網(wǎng)絡(luò)的整體體性能。三層交換機(jī)分分類1.基于純硬件(ASIC)2.基于軟件的什么是三層交交換？30VLAN環(huán)境示意31（三）入侵檢檢測(cè)系統(tǒng)（IDS）入侵檢測(cè)系統(tǒng)統(tǒng)（IDS）關(guān)于入侵檢測(cè)測(cè)系統(tǒng)，我們們將就以下部部分進(jìn)行學(xué)習(xí)習(xí)：IDS簡(jiǎn)介IDS分類IDS作用IDS工作原理IDS部署方式IDS應(yīng)用IDS技術(shù)的發(fā)展方方向IDS產(chǎn)品IDS資源33什么是IDS？IDS是什么？入侵檢測(cè)系統(tǒng)統(tǒng)(IntrusionDetectionSystem)入侵檢測(cè)技術(shù)術(shù)是為了保證證計(jì)算機(jī)系統(tǒng)統(tǒng)安全面而設(shè)設(shè)置和配置的的一種能夠及及時(shí)發(fā)現(xiàn)并報(bào)報(bào)告系統(tǒng)中未未授權(quán)或異常常行為的技術(shù)術(shù)，是一種檢檢測(cè)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)中違反安安全策略行為為的技術(shù)。入侵檢測(cè)被視視為防火墻之之后的第二道道安全闡門，，主要用來監(jiān)監(jiān)視和分析用用戶和系統(tǒng)的的活動(dòng)，能夠夠反映已知的的攻擊模式并并報(bào)警，同時(shí)時(shí)監(jiān)控系統(tǒng)的的異常模式，，對(duì)于異常行行為模式，IDS采用報(bào)表的方方式進(jìn)行統(tǒng)計(jì)計(jì)分析假如說防火墻墻是一幢大樓樓的門鎖，那那入侵監(jiān)測(cè)系系統(tǒng)就是這幢幢大樓里的監(jiān)監(jiān)視系統(tǒng)。34IDS的主要類型應(yīng)用軟件入侵侵監(jiān)測(cè)系統(tǒng)ApplicationIntrusionDetection主機(jī)入侵監(jiān)測(cè)測(cè)系統(tǒng)HostIntrusionDetection網(wǎng)絡(luò)入侵監(jiān)測(cè)測(cè)系統(tǒng)NetworkIntrusionDetection集成入侵監(jiān)測(cè)測(cè)系統(tǒng)IntegratedIntrusionDetection根據(jù)IDS工作位置和數(shù)數(shù)據(jù)來源，可可以分為：35網(wǎng)絡(luò)入侵檢測(cè)測(cè)系統(tǒng)（NIDS）網(wǎng)絡(luò)入侵檢測(cè)測(cè)系統(tǒng)(NIDS)-----在網(wǎng)絡(luò)中的某某個(gè)節(jié)點(diǎn)上裝裝有探測(cè)器來來監(jiān)測(cè)整個(gè)網(wǎng)網(wǎng)絡(luò)(工作對(duì)象基于網(wǎng)絡(luò))特點(diǎn)：1.擁有較低的成成本--在幾個(gè)很少的的監(jiān)測(cè)點(diǎn)上進(jìn)進(jìn)行配置就可可以監(jiān)控一個(gè)個(gè)網(wǎng)絡(luò)中所發(fā)發(fā)生的入侵行行為;2.能監(jiān)測(cè)主機(jī)IDS所不能監(jiān)測(cè)到到的某些攻擊擊(如DOS、Teardrop)—通過分析IP包的頭可以捕捕捉這些須通通過分析包頭頭才能發(fā)現(xiàn)的的攻擊;3.與操作系統(tǒng)無無關(guān)性--基于網(wǎng)絡(luò)的IDS與所監(jiān)測(cè)的主主機(jī)所運(yùn)行的的操作系統(tǒng)無無關(guān)，而主機(jī)機(jī)IDS則必須在特定定的操作系統(tǒng)統(tǒng)下才能運(yùn)行行;4.檢測(cè)未成功能能攻擊和不良良意圖-與之相比，主主機(jī)IDS只能檢測(cè)到成成功的攻擊，，而很多未成成功的攻擊對(duì)對(duì)系統(tǒng)的風(fēng)險(xiǎn)險(xiǎn)評(píng)估成到關(guān)關(guān)鍵的作用;5.實(shí)時(shí)檢測(cè)和響響應(yīng)----網(wǎng)絡(luò)IDS可以在攻擊發(fā)發(fā)生的同時(shí)將將其檢測(cè)出來來，并進(jìn)行實(shí)實(shí)時(shí)的報(bào)警和和響應(yīng)。36NIDSCIDF模型CIDF模型（CommonIntrusionDetectionFrame）組件：事件產(chǎn)生器器（Eventgenerators）事件分析器器（Eventanalyzers）響應(yīng)單元（（Responseunits）事件數(shù)據(jù)庫(kù)庫(kù)（Eventdatabases）37NIDS部署方式HUBMonitoredServersConsoleIDSSensorsL4或L7交換設(shè)備38主機(jī)入侵檢檢測(cè)系統(tǒng)（（HIDS）主機(jī)入侵檢檢測(cè)系統(tǒng)(HIDS)-----在網(wǎng)絡(luò)中所所監(jiān)測(cè)的每每臺(tái)主機(jī)上上都裝有探探測(cè)器(工作對(duì)象基基于主機(jī))HIDS特點(diǎn):1.確定攻擊是是否成功---比網(wǎng)絡(luò)IDS更準(zhǔn)確的判判定攻擊是是否成功;2.系統(tǒng)行動(dòng)監(jiān)監(jiān)視的更好好---對(duì)于每一個(gè)個(gè)用戶(尤其是系統(tǒng)統(tǒng)管理員)上網(wǎng)下網(wǎng)的的信息、連連入網(wǎng)絡(luò)后后的行為和和所受到的的入侵行為為監(jiān)測(cè)的更更為詳細(xì)，，記錄的更更準(zhǔn)確;3.能夠檢測(cè)到到網(wǎng)絡(luò)IDS檢測(cè)不到的的特殊攻擊擊----如某服務(wù)器器上有人直直接對(duì)該該機(jī)進(jìn)行非非法操作;4.適用于加密密的環(huán)境----在某些特殊殊的加密網(wǎng)網(wǎng)絡(luò)環(huán)境中中，由于網(wǎng)網(wǎng)絡(luò)IDS所需要的網(wǎng)網(wǎng)絡(luò)環(huán)境不不能滿足，，所以在這這種地方應(yīng)應(yīng)用主機(jī)IDS就可以完成成這一地方方的監(jiān)測(cè)任任務(wù)5.不需要額外外的硬件設(shè)設(shè)備----與網(wǎng)絡(luò)IDS相比，不需需要專用的的硬件檢測(cè)測(cè)系統(tǒng)，降降低的硬件件成本39IDS部署示意InternetIDS1IDS2IDS3IDS4子網(wǎng)A子網(wǎng)B交換機(jī)帶主機(jī)IDS感應(yīng)器的服務(wù)器服務(wù)器含HIDS的網(wǎng)絡(luò)體系系結(jié)構(gòu)40IDS檢測(cè)技術(shù)簽名分析法法SignatureAnalysis統(tǒng)計(jì)分析法法StatisticsAnalysis數(shù)據(jù)完整性性分析法DataIntegrationAnalysis入侵檢測(cè)系系統(tǒng)按照其其檢測(cè)原理理可以分為為以下類型型：41IDS工作原理－－NIDS抓包從鏈路層抓抓包分析數(shù)據(jù)包包模式匹配EthernetIPTCPEthernetIPTCP協(xié)議分析HTTPUnicodeXML42IDS工作原理－－模式匹配配模式匹配(PatternMatching)效率低---對(duì)每一條事事件都要與與事件庫(kù)中中的特特征事件進(jìn)進(jìn)行對(duì)比，，工作量大大。誤報(bào)多---如果兩個(gè)攻攻擊事件具具有極其相相近的特征征，在對(duì)比比的過程中中容易產(chǎn)生生誤報(bào)，而而錯(cuò)過真實(shí)實(shí)的問題。。模式匹配舉舉例較早版本的的Sendmail漏洞利用$25WIZshell或者DEBUG#直接獲得rootshell！模式匹配檢查每個(gè)packet是否包含：：“WIZ”|“DEBUG””43IDS工作原理－－協(xié)議分析析FrameHeaderIPDatagramHeaderICMP/UDP/TCPHeaderFrameDataAreaIPDataProtocolDataInterfaceLayerInternetLayerTransportLayer44IDS技術(shù)的發(fā)展展方向分布式入侵侵檢測(cè)1.針對(duì)分布式式攻擊的檢檢測(cè)方法2.使用分布式式的方法來來檢測(cè)分布布式的攻擊擊，關(guān)鍵技技術(shù)為檢測(cè)測(cè)信息的協(xié)協(xié)同處理與與入侵攻擊擊的全局信信息提取智能化入侵侵檢測(cè)使用智能化化的手法也也實(shí)現(xiàn)入侵侵檢測(cè)，現(xiàn)現(xiàn)階段常用用的有神經(jīng)經(jīng)網(wǎng)絡(luò)、模模糊算法、、遺傳算法法、免疫原原理等技術(shù)術(shù)全面的安全防防御方案采用安全工程程風(fēng)險(xiǎn)管理的的理論也來處處理網(wǎng)絡(luò)安全全問題，將網(wǎng)網(wǎng)絡(luò)安全做為為一個(gè)整體工工程來處理，，從管理、網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)、防防火墻、防病病毒、入侵檢檢測(cè)、漏洞掃掃描等多方面面對(duì)網(wǎng)結(jié)進(jìn)行行安全分析隨著網(wǎng)絡(luò)技術(shù)術(shù)的發(fā)展，還還會(huì)有更多新新技術(shù)應(yīng)用到到入侵檢測(cè)系系統(tǒng)中來!45IDS產(chǎn)品國(guó)外的IDS產(chǎn)品CyberCopMonitor,NAIDragonSensor,EnterasyseTrustID,CANetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISSSecureNetPro,I46IDS資源47（四）虛擬專專用網(wǎng)（VPN）VPN網(wǎng)關(guān)VPN的基本概念VPN的功能VPN的分類及用途途VPN常用協(xié)議基于IPSec協(xié)議的VPN體系結(jié)構(gòu)本節(jié)將分以下下幾部分介紹紹VPN網(wǎng)關(guān)：49VPN的基本概念虛擬專用網(wǎng)VPN（VirtualPrivateNetwork）技術(shù)是指在公公共網(wǎng)絡(luò)中建建立專用網(wǎng)絡(luò)絡(luò)，數(shù)據(jù)通過過安全的“加加密管道”在在公共網(wǎng)絡(luò)中中傳播。InternetVPN通道隧道交換機(jī)移動(dòng)用戶VPN的基本概念50VPN必須具備如下下功能：VPN的功能保證數(shù)據(jù)的真真實(shí)性，通信信主機(jī)必須是是經(jīng)過授權(quán)的的，要有抵抗抗地址冒認(rèn)（（IPSpoofing）的能力。保證數(shù)據(jù)的完完整性，接收收到的數(shù)據(jù)必必須與發(fā)送時(shí)時(shí)的一致，要要有抵抗不法法分子纂改數(shù)數(shù)據(jù)的能力。。保證通通道的的機(jī)密密性，，提供供強(qiáng)有有力的的加密密手段段，必必須使使偷聽聽者不不能破破解攔攔截到到的通通道數(shù)數(shù)據(jù)。。提供動(dòng)動(dòng)態(tài)密密鑰交交換功功能，，提供供密鑰鑰中心心管理理服務(wù)務(wù)器，，必須須具備備防止止數(shù)據(jù)據(jù)重演演（Replay））的功能能，保保證通通道不不能被被重演演。提供安安全防防護(hù)措措施和和訪問問控制制，要要有抵抵抗黑黑客通通過VPN通道攻攻擊企企業(yè)網(wǎng)網(wǎng)絡(luò)的的能力力，并并且可可以對(duì)對(duì)VPN通道進(jìn)進(jìn)行訪訪問控控制（（AccessControl））51內(nèi)部部網(wǎng)網(wǎng)VPN———用VPN連接公公司總總部和和其分分支機(jī)機(jī)構(gòu).遠(yuǎn)程訪訪問VPN———用VPN連接公公司總總部和和遠(yuǎn)程程用戶戶.外聯(lián)聯(lián)網(wǎng)網(wǎng)VPN———用VPN連接公公司和和其業(yè)業(yè)務(wù)伙伙伴.VPN的分類類及用用途子公司LAN合作伙伴L(zhǎng)AN遠(yuǎn)程用戶Internet52InternetVPN服務(wù)器VPN服務(wù)器路由器路由器加密信道加密認(rèn)證VPN總部LAN子公司LAN一個(gè)安全的VPN服務(wù)，應(yīng)該為子公司的不同用戶指定不同的訪問權(quán)限。VPN的分類類及用用途內(nèi)部網(wǎng)網(wǎng)VPN53InternetVPN服務(wù)器加密信道總部LANVPN的功能：1、訪問控制管理。2、用戶身份認(rèn)證。3、數(shù)據(jù)加密。4、智能監(jiān)視和審計(jì)記錄。5、密鑰和數(shù)字簽名管理。PC機(jī)移動(dòng)用戶公共服務(wù)器VPN的分類類及用用途遠(yuǎn)程訪訪問VPN54InternetVPN服務(wù)器VPN服務(wù)器加密信道加密認(rèn)證VPN公司內(nèi)聯(lián)網(wǎng)合作公司內(nèi)聯(lián)網(wǎng)1、VPN服務(wù)應(yīng)有詳細(xì)的訪問控制。2、與防火墻/協(xié)議兼容。FTP服務(wù)器VPN的分類類及用用途外聯(lián)網(wǎng)網(wǎng)VPN55VPN常用協(xié)協(xié)議OSI七層模型安全技術(shù)安全協(xié)議應(yīng)用層表示層應(yīng)用代理會(huì)話層傳輸層會(huì)話層代理SOCKV5網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層包過濾IPSecPPTP/L2TPVPN常用的的協(xié)議議有SOCKv5、IPSec、PPTP以及L2TP等。這這些協(xié)協(xié)議對(duì)對(duì)應(yīng)的的OSI層次結(jié)結(jié)構(gòu)如如下：：VPN常用協(xié)協(xié)議56不安全網(wǎng)網(wǎng)關(guān)或主機(jī)網(wǎng)關(guān)或主機(jī)IP數(shù)據(jù)包傳輸層數(shù)據(jù)應(yīng)用程序IP數(shù)據(jù)包傳輸層數(shù)據(jù)應(yīng)用程序SA加密算法加密密鑰認(rèn)證算法認(rèn)證密鑰SA加密算法加密密鑰認(rèn)證算法認(rèn)證密鑰安全聯(lián)系基于IPSec協(xié)議的的VPN體系結(jié)結(jié)構(gòu)57IPSec協(xié)議IPSec共分四四種模式AH的「?jìng)鬏斈Ｊ健埂?TransportMode)AH的「通道模式」」(TunnelMode)、ESP的「?jìng)鬏斈Ｊ健埂?TransportMode)ESP的「通通道模模式」」(TunnelMode)58IPSec協(xié)議AH認(rèn)認(rèn)證報(bào)報(bào)頭操操作模模式IP負(fù)載(IPPayload)AH頭原始IP頭(IPHeader)AH傳輸模式IP負(fù)載(IPPayload)原始IP頭(IPHeader)IPDatagram認(rèn)證IP負(fù)載(IPPayload)原始IP頭(IPHeader)AH頭新的IP頭(NewIPHeader)AH通道模式認(rèn)證59IPSec協(xié)議ESP協(xié)議議操作作模式式加密ESP認(rèn)證ESPTrailerIP負(fù)載(IPPayload)ESPHeader原始IP頭(IPHeader)傳輸模式加密ESP認(rèn)證ESPTrailerIP負(fù)載(IPPayload)(IPHeader)原始IP頭ESPHeader新IP頭通道模式認(rèn)證認(rèn)證60傳輸模模式下下的ESP工作原原理61通道模模式下下的ESP工作原原理62基于IPSec協(xié)議的的VPN原理63VPN產(chǎn)品64（五））漏洞洞評(píng)估估漏洞評(píng)評(píng)估產(chǎn)產(chǎn)品漏洞評(píng)評(píng)估的的概念念漏洞評(píng)評(píng)估的的分類類漏洞評(píng)評(píng)估產(chǎn)產(chǎn)品選選擇原原則常見的的漏洞洞評(píng)估估產(chǎn)品品本節(jié)將將分以以下幾幾部分分介紹紹漏洞洞評(píng)估估產(chǎn)品品：66漏洞評(píng)評(píng)估的的概念念基本概概念通過對(duì)對(duì)系統(tǒng)統(tǒng)進(jìn)行行動(dòng)態(tài)態(tài)的試試探和和掃描描，找找出系系統(tǒng)中中各類類潛在在的弱弱點(diǎn)，，給出出相應(yīng)應(yīng)的報(bào)報(bào)告，，建議議采取取相應(yīng)應(yīng)的補(bǔ)補(bǔ)救措措施或或自動(dòng)動(dòng)填補(bǔ)補(bǔ)某些些漏洞洞。主要優(yōu)優(yōu)點(diǎn)通過漏漏洞評(píng)評(píng)估，，網(wǎng)絡(luò)絡(luò)管理理人員員能提提前發(fā)發(fā)現(xiàn)網(wǎng)網(wǎng)絡(luò)系系統(tǒng)的的弱點(diǎn)點(diǎn)和漏漏洞，，防范范于未未然。。67漏洞評(píng)評(píng)估產(chǎn)產(chǎn)品的的分類類網(wǎng)絡(luò)型型安全全漏洞洞評(píng)估估產(chǎn)品品模擬黑黑客行行為，，掃描描網(wǎng)絡(luò)絡(luò)上的的漏洞洞并進(jìn)進(jìn)行評(píng)評(píng)估主機(jī)型型安全全漏洞洞評(píng)估估產(chǎn)品品針對(duì)操操作系系統(tǒng)的的漏洞洞作更更深入