電子政務(wù)網(wǎng)絡(luò)和信息安全

網(wǎng)絡(luò)安全和管理曉莊學(xué)院網(wǎng)絡(luò)中心閔宇鋒1當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀當(dāng)前網(wǎng)絡(luò)安全熱點(diǎn)話題大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)網(wǎng)絡(luò)管理提綱2當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀當(dāng)前網(wǎng)絡(luò)安全熱點(diǎn)話題大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)網(wǎng)絡(luò)管理3復(fù)雜程度Internet技術(shù)的飛速增長(zhǎng)InternetEmailWeb瀏覽Intranet站點(diǎn)電子商務(wù)電子政務(wù)電子交易時(shí)間4網(wǎng)絡(luò)發(fā)展現(xiàn)狀不斷增加的新應(yīng)用不斷加入的網(wǎng)絡(luò)互聯(lián)網(wǎng)的廣泛應(yīng)用人員安全意識(shí)不足5黑客的發(fā)展趨勢(shì)1980 19851990 1995 20012003時(shí)間（年）高各種攻擊者的綜合威脅程度低對(duì)攻擊者技術(shù)知識(shí)和技巧的要求黑客攻擊越來(lái)越容易實(shí)現(xiàn)，威脅程度越來(lái)越高信息網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性增加脆弱性程度網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，安全隱患急劇增加6CERT的報(bào)告年1999200020012002攻擊事件9,85921,75652,65882,094報(bào)告的攻擊事件的發(fā)展趨勢(shì)：（年增長(zhǎng)率100%左右）系統(tǒng)漏洞的發(fā)展趨勢(shì)：（年增長(zhǎng)率超過(guò)100%左右）年1999200020012002系統(tǒng)漏洞4171,0902,4374,1297網(wǎng)絡(luò)存在的安全威脅

網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲8造成安全威脅的主要根源網(wǎng)絡(luò)建設(shè)之初忽略了安全問題；僅僅建立了物理安全機(jī)制；TCP/IP協(xié)議族軟件本身缺乏安全性；操作系統(tǒng)本身及其配置的安全性；安全產(chǎn)品配置的安全性；來(lái)自內(nèi)部網(wǎng)用戶的安全威脅；缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)的安全性；電子郵件病毒、Web頁(yè)面中存在惡意的Java/ActiveX控件；應(yīng)用服務(wù)的訪問控制、安全設(shè)計(jì)存在漏洞。9網(wǎng)絡(luò)信息安全的發(fā)展階段三個(gè)階段：通信保密階段：以密碼學(xué)研究為主計(jì)算機(jī)系統(tǒng)安全階段：以單機(jī)操作系統(tǒng)安全研究為主網(wǎng)絡(luò)信息系統(tǒng)安全階段：開始進(jìn)行信息安全體系研究10通信保密階段段40年代－70年代重點(diǎn)是通過(guò)密密碼技術(shù)解決決通信保密問問題，保證數(shù)數(shù)據(jù)的保密性性與完整性主要安全威脅脅是搭線竊聽聽、密碼學(xué)分分析主要保護(hù)措施施是加密重要標(biāo)志1949年Shannon發(fā)表的《《保密通信的的信息理論》》1977年美美國(guó)國(guó)家標(biāo)準(zhǔn)準(zhǔn)局公布的數(shù)數(shù)據(jù)加密標(biāo)準(zhǔn)準(zhǔn)（DES））1976年由由Diffie與Hellman在“NewDirectionsinCryptography”一文中中提出了公鑰鑰密碼體制11計(jì)算機(jī)系統(tǒng)安安全階段70－80年年代重點(diǎn)是確保計(jì)計(jì)算機(jī)系統(tǒng)中中硬件、軟件件及正在處理理、存儲(chǔ)、傳傳輸信息的機(jī)機(jī)密性、完整整性和可控性性主要安全威脅脅擴(kuò)展到非法法訪問、惡意意代碼、脆弱弱口令等主要保護(hù)措施施是安全操作作系統(tǒng)設(shè)計(jì)技技術(shù)（TCB）主要標(biāo)志是1983年美美國(guó)國(guó)防部公公布的可信計(jì)計(jì)算機(jī)系統(tǒng)評(píng)評(píng)估準(zhǔn)則（TCSEC））將操作系統(tǒng)統(tǒng)的安全級(jí)別別分為四類七七個(gè)級(jí)別（D、C1、C2、B1、、B2、B3、A1），，后補(bǔ)充TNI和TDI12網(wǎng)絡(luò)信息系統(tǒng)統(tǒng)安全階段90年代以來(lái)來(lái)重點(diǎn)需要保護(hù)護(hù)信息，確保保信息在存儲(chǔ)儲(chǔ)、處理、傳傳輸過(guò)程中及及信息系統(tǒng)不不被破壞，確確保合法用戶戶的服務(wù)和限限制非授權(quán)用用戶的服務(wù)，，以及必要的的防御攻擊的的措施。強(qiáng)調(diào)調(diào)信息的保密密性、完整性性、可控性、、可用性主要安全威脅脅發(fā)展到網(wǎng)絡(luò)絡(luò)入侵、病毒毒破壞、信息息對(duì)抗的攻擊擊等主要保護(hù)措施施包括防火墻墻、防病毒軟軟件、漏洞掃掃描、入侵檢檢測(cè)、PKI、VPN主要標(biāo)志是提提出了新的安安全評(píng)估準(zhǔn)則則CC（ISO15408）、、IPv6安安全性設(shè)計(jì)13網(wǎng)絡(luò)信息安全全的含義網(wǎng)絡(luò)信息安全全網(wǎng)絡(luò)系統(tǒng)的硬硬件、軟件及及其系統(tǒng)中的的信息受到保保護(hù)保護(hù)在通信網(wǎng)網(wǎng)絡(luò)中傳輸、、交換和存儲(chǔ)儲(chǔ)的信息的機(jī)機(jī)密性、完整整信和真實(shí)性性對(duì)信息的傳播播及內(nèi)容具有有控制能力不受偶然的或或者惡意的原原因而遭到破破壞、更改、、泄露系統(tǒng)連續(xù)可靠靠的運(yùn)行網(wǎng)絡(luò)服務(wù)不中中斷14用戶（企業(yè)業(yè)、個(gè)人））的角度涉及個(gè)人隱隱私或商業(yè)業(yè)利益的信信息機(jī)密性、完完整性、真真實(shí)性避免其他人人或?qū)κ值牡膿p害和侵侵犯竊聽、冒充充、篡改、、抵賴不受其他用用戶的非法法訪問非授權(quán)訪問問、破壞15網(wǎng)絡(luò)運(yùn)行和和管理者對(duì)本地網(wǎng)絡(luò)絡(luò)信息的訪訪問、讀寫寫等操作受受到保護(hù)和和控制避免出現(xiàn)“后門”、、病毒、非非法存取、、拒絕服務(wù)務(wù)、網(wǎng)絡(luò)資資源非法專專用、非法法控制制止和防御御網(wǎng)絡(luò)“黑黑客”的攻攻擊16安全保密部部門非法的、有有害的或涉涉及國(guó)家機(jī)機(jī)密的信息息進(jìn)行過(guò)濾濾和防堵避免通過(guò)網(wǎng)網(wǎng)絡(luò)泄漏避免信息的的泄密對(duì)社社會(huì)的危害害、對(duì)國(guó)家家造成巨大大的損失17網(wǎng)絡(luò)和信息息安全問題題綜述系統(tǒng)安全信息安全文化安全18系統(tǒng)安全（（狹義的網(wǎng)網(wǎng)絡(luò)安全））作用點(diǎn)：對(duì)對(duì)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)與計(jì)算算機(jī)系統(tǒng)可可用性的威威脅，主要要表現(xiàn)在訪訪問控制方方面。外顯行為：：網(wǎng)絡(luò)被阻阻塞，黑客行為，計(jì)算機(jī)病病毒等，使使得依賴于于信息系統(tǒng)統(tǒng)的管理或或控制體系系陷于癱瘓瘓。防范措施：：防止入侵侵，檢測(cè)入入侵，抵抗抗入侵，系系統(tǒng)恢復(fù)。。19系統(tǒng)安全（（狹義的網(wǎng)網(wǎng)絡(luò)安全））因特網(wǎng)網(wǎng)絡(luò)對(duì)國(guó)民民經(jīng)濟(jì)的影影響在加強(qiáng)強(qiáng)安全漏洞危危害在增大大信息對(duì)抗的的威脅在增增加研究安全漏漏洞以防之之因特網(wǎng)電力交通通訊控制廣播工業(yè)金融醫(yī)療研究攻防技技術(shù)以阻之之20信息安全（（狹義的））作用點(diǎn)：對(duì)對(duì)所處理的的信息機(jī)密密性與完整整性的威脅脅，主要表表現(xiàn)在加密密方面。外顯行為：：竊取信息息，篡改信信息，冒充充信息，信信息抵賴。。防范措施：：加密，認(rèn)認(rèn)證，數(shù)字字簽名，完完整性技術(shù)術(shù)（VPN)21信息竊取信息傳遞信息冒充信息篡改信息抵賴信息機(jī)密性性加密技術(shù)完整性技術(shù)術(shù)認(rèn)證技術(shù)數(shù)字簽名22文化安全（（內(nèi)容安全全）作用點(diǎn)：有有害信息的的傳播對(duì)我我國(guó)的政治治制度及文文化傳統(tǒng)的的威脅，主主要表現(xiàn)在在輿論宣傳傳方面。外顯行為：：黃色、反動(dòng)信息泛濫，，敵對(duì)的意識(shí)形態(tài)態(tài)信息涌入入，互聯(lián)網(wǎng)網(wǎng)被利用作作為串聯(lián)工工具，傳播播迅速，影影響范圍廣廣。防范措施：：設(shè)置因特特網(wǎng)關(guān)，監(jiān)監(jiān)測(cè)、控管管。23對(duì)文化安全全的保護(hù)因特網(wǎng)用戶信息傳送自自由有害信息泛泛濫信息來(lái)源不確定.打擊目標(biāo)機(jī)動(dòng)性強(qiáng).主動(dòng)發(fā)現(xiàn)有有害信息源源并給予封封堵監(jiān)測(cè)網(wǎng)上有有害信息的的傳播并給給予截獲隱患措施24當(dāng)前網(wǎng)絡(luò)安安全現(xiàn)狀當(dāng)前網(wǎng)絡(luò)安安全熱點(diǎn)話話題大規(guī)模業(yè)務(wù)務(wù)網(wǎng)絡(luò)安全全系統(tǒng)建設(shè)設(shè)網(wǎng)絡(luò)管理25網(wǎng)絡(luò)安全界界當(dāng)前的熱熱點(diǎn)問題一、病毒(蠕蟲病毒毒)二、DOS攻擊26病毒的定義義"計(jì)算機(jī)病病毒"為什什么叫做病病毒。首先先，與醫(yī)學(xué)學(xué)上的"病病毒"不同同，它不是是天然存在在的，是某某些人利用用計(jì)算機(jī)軟軟、硬件所所固有的脆脆弱性，編編制具有特特殊功能的的程序。由由于它與生生物醫(yī)學(xué)上上的"病毒毒"同樣有有傳染和破破壞的特性性，因此這這一名詞是是由生物醫(yī)醫(yī)學(xué)上的"病毒"概概念引申而而來(lái)。27直至1994年2月月18日，，我國(guó)正式式頒布實(shí)施施了《中華華人民共和和國(guó)計(jì)算機(jī)機(jī)信息系統(tǒng)統(tǒng)安全保護(hù)護(hù)條例》，，在《條例例》第二十十八條中明明確指出：："計(jì)算機(jī)機(jī)病毒，是是指編制或或者在計(jì)算算機(jī)程序中中插入的破破壞計(jì)算機(jī)機(jī)功能或者者毀壞數(shù)據(jù)據(jù)，影響響計(jì)算機(jī)使使用，并能能自我復(fù)制制的一組計(jì)計(jì)算機(jī)指令令或者程序序代碼。"此定義具具有法律性性、權(quán)威性性。病毒的定義義28病毒的產(chǎn)生生那么究竟它它是如何產(chǎn)產(chǎn)生的呢？？其過(guò)程可可分為：程程序設(shè)計(jì)--傳播--潛伏--觸發(fā)、、運(yùn)行--實(shí)行攻擊擊。究其產(chǎn)產(chǎn)生的原因因不外乎以以下幾種：：開個(gè)玩笑，，一個(gè)惡作作劇。產(chǎn)生于個(gè)別別人的報(bào)復(fù)復(fù)心理。用于版權(quán)保保護(hù)。用于特殊目目的。29病毒的歷史史計(jì)算機(jī)病毒毒在計(jì)算機(jī)機(jī)誕生不久久后就出現(xiàn)現(xiàn)了，其前前身只不過(guò)過(guò)是程序員員閑來(lái)無(wú)事事而編寫的的趣味程序序；后來(lái)，，才發(fā)展出出了諸如破破壞文件、、修改系統(tǒng)統(tǒng)參數(shù)、干干擾計(jì)算機(jī)機(jī)的正常工工作等的惡惡性病毒30傳統(tǒng)病毒的的特性1.計(jì)算機(jī)機(jī)病毒的程程序性(可可執(zhí)行性)2.計(jì)算機(jī)機(jī)病毒的傳傳染性3.計(jì)算機(jī)機(jī)病毒的潛潛伏性4.計(jì)算機(jī)機(jī)病毒的可可觸發(fā)性5.計(jì)算機(jī)機(jī)病毒的破破壞性6.攻擊的的主動(dòng)性7.病毒的的針對(duì)性318.病病毒毒的的非非授授權(quán)權(quán)性性9.病病毒毒的的隱隱蔽蔽性性10.病病毒毒的的衍衍生生性性11.病病毒毒的的寄寄生生性性(依依附附性性)12.病病毒毒的的不不可可預(yù)預(yù)見見性性13.計(jì)計(jì)算算機(jī)機(jī)病病毒毒的的欺欺騙騙性性14.計(jì)計(jì)算算機(jī)機(jī)病病毒毒的的持持久久性性傳統(tǒng)統(tǒng)病病毒毒的的特特性性32蠕蟲蟲是是什什么么？？33蠕蟲蟲蠕蟲蟲（（Worm））是是通通過(guò)過(guò)分分布布式式網(wǎng)網(wǎng)絡(luò)絡(luò)來(lái)來(lái)擴(kuò)擴(kuò)散散傳傳播播特特定定的的信信息息或或錯(cuò)錯(cuò)誤誤，，進(jìn)進(jìn)而而造造成成網(wǎng)網(wǎng)絡(luò)絡(luò)服服務(wù)務(wù)遭遭到到拒拒絕絕并并發(fā)發(fā)生生死死鎖鎖。。1982年年，，Shock和和Hupp根根據(jù)據(jù)TheShockwaveRider一一書書中中的的一一種種概概念念提提出出了了一一種種““蠕蠕蟲蟲””（（Worm））程程序序的的思思想想。。這這種種““蠕蠕蟲蟲””程程序序常常駐駐于于一一臺(tái)臺(tái)或或多多臺(tái)臺(tái)機(jī)機(jī)器器中中，，并并有有自自動(dòng)動(dòng)重重新新定定位位(autorelocation)的的能能力力。。如如果果它它檢檢測(cè)測(cè)到到網(wǎng)網(wǎng)絡(luò)絡(luò)中中的的某某臺(tái)臺(tái)機(jī)機(jī)器器未未被被占占用用，，它它就就把把自自身身的的一一個(gè)個(gè)拷拷貝貝（（一一個(gè)個(gè)程程序序段段））發(fā)發(fā)送送給給那那臺(tái)臺(tái)機(jī)機(jī)器器。。每每個(gè)個(gè)程程序序段段都都能能把把自自身身的的拷拷貝貝重重新新定定位位于于另另一一臺(tái)臺(tái)機(jī)機(jī)器器中中，，并并且且能能識(shí)識(shí)別別它它占占用用的的哪哪臺(tái)臺(tái)機(jī)機(jī)器器。?！啊叭淙湎x蟲””由由兩兩部部分分組組成成：：一一個(gè)個(gè)主主程程序序和和一一個(gè)個(gè)引引導(dǎo)導(dǎo)程程序序。。主主程程序序一一旦旦在在機(jī)機(jī)器器上上建建立立就就會(huì)會(huì)去去收收集集與與當(dāng)當(dāng)前前機(jī)機(jī)器器聯(lián)聯(lián)網(wǎng)網(wǎng)的的其其它它機(jī)機(jī)器器的的信信息息。。它它能能通通過(guò)過(guò)讀讀取取公公共共配配置置文文件件并并運(yùn)運(yùn)行行顯顯示示當(dāng)當(dāng)前前網(wǎng)網(wǎng)上上聯(lián)聯(lián)機(jī)機(jī)狀狀態(tài)態(tài)信信息息的的系系統(tǒng)統(tǒng)實(shí)實(shí)用用程程序序而而做做到到這這一一點(diǎn)點(diǎn)。。隨隨后后，，它它嘗嘗試試?yán)糜们扒懊婷嫠杳枋鍪龅牡哪悄切┬┤比毕菹萑トピ谠谶@這些些遠(yuǎn)遠(yuǎn)程程機(jī)機(jī)器器上上建建立立其其引引導(dǎo)導(dǎo)程程序序。。“蠕蠕蟲蟲””程程序序不不一一定定是是有有害害的的。。論論證證了了““蠕蠕蟲蟲””程程序序可可用用作作為為Ethernet網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)設(shè)備備的的一一種種診診斷斷工工具具，，它它能能快快速速有有效效地地檢檢測(cè)測(cè)網(wǎng)網(wǎng)絡(luò)絡(luò)。。34無(wú)害的蠕蟲（（蠶）35蠕蟲病毒的罪罪惡病毒名稱持續(xù)時(shí)間造成損失莫里斯蠕蟲1988年6000多臺(tái)計(jì)算機(jī)停機(jī),直接經(jīng)濟(jì)損失達(dá)9600萬(wàn)美元美麗殺手1999年3月政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器,經(jīng)濟(jì)損失超過(guò)12億美元愛蟲病毒2000年5月至今眾多用戶電腦被感染，損失超過(guò)100億美元以上紅色代碼2001年7月網(wǎng)絡(luò)癱瘓，直接經(jīng)濟(jì)損失超過(guò)26億美元求職信2001年12月至今大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元Sql蠕蟲王2003年1月網(wǎng)絡(luò)大面積癱瘓,銀行自動(dòng)提款機(jī)運(yùn)做中斷,直接經(jīng)濟(jì)損失超過(guò)26億美元36蠕蟲病毒的特特點(diǎn)蠕蟲也是一種種病毒，因此此具有病毒的的共同特征。。普通病毒需要要的寄生,通通過(guò)自己指指令的執(zhí)行，將自己的指指令代碼寫到到其他程序的的體內(nèi)，而被感染的文件就就被稱為”宿宿主”病毒主要是感感染文件，當(dāng)然也還有有像DIRII這種鏈接接型病毒，還還有引導(dǎo)區(qū)病病毒。引導(dǎo)區(qū)區(qū)病毒他是感染染磁盤的引導(dǎo)導(dǎo)區(qū)，如果是是軟盤被感染染，這張軟盤盤用在其他機(jī)機(jī)器上后，同同樣也會(huì)感染其他機(jī)器，，所以傳播方方式也是用軟軟盤等方式。。蠕蟲復(fù)制自身身在互聯(lián)網(wǎng)環(huán)環(huán)境下進(jìn)行傳傳播，病毒的傳染染能力主要是是針對(duì)計(jì)算機(jī)機(jī)內(nèi)的文件系系統(tǒng)而言,而蠕蠕蟲病毒的傳傳染目標(biāo)是互互聯(lián)網(wǎng)內(nèi)的所所有計(jì)算機(jī).局域網(wǎng)條件件下的共享文文件夾，電子子郵件email,網(wǎng)絡(luò)中中的惡意網(wǎng)頁(yè)頁(yè),大量存在在著漏洞的服服務(wù)器等都成成為蠕蟲傳播播的良好途徑徑。蠕蟲病毒可以以在幾個(gè)小時(shí)時(shí)內(nèi)蔓延全球球!而且蠕蟲蟲的主動(dòng)攻擊擊性和突然爆爆發(fā)性將使得人們手足足無(wú)策。37蠕蟲病毒和普普通病毒的對(duì)對(duì)比病毒類別普通病毒蠕蟲病毒存在形式寄存文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動(dòng)攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計(jì)算機(jī)38蠕蟲病毒的傳傳播蠕蟲和普通病病毒不同的一一個(gè)特征是蠕蠕蟲病毒往往往能夠利用漏漏洞，這里的的漏洞或者說(shuō)是是缺陷，我們們分為2種：：第一種：軟件件上的缺陷和和人為上的缺缺陷如遠(yuǎn)程溢出，，微軟ie和和outlook的自動(dòng)動(dòng)執(zhí)行漏洞等等等。第二種：社會(huì)會(huì)工程學(xué)(socialengineering)計(jì)算機(jī)用戶的的疏忽。39蠕蟲病毒特征征分析1.利用系統(tǒng)統(tǒng)漏洞的惡性性蠕蟲病毒分分析--企業(yè)業(yè)用戶(局域域網(wǎng)絡(luò))紅色代碼,尼尼姆達(dá)和sql蠕蟲等，，共同的特征征是利用微軟軟服務(wù)器和應(yīng)應(yīng)用程序組件件的某個(gè)漏洞進(jìn)進(jìn)行攻擊。特點(diǎn)：這種漏洞比較較普遍病毒很容易的的傳播攻擊的對(duì)象大大都為服務(wù)器器造成的網(wǎng)絡(luò)堵堵塞現(xiàn)象嚴(yán)重重40Sql蠕蟲病毒樣例：2003年1月26號(hào)爆發(fā)的sql蠕蟲攻擊對(duì)象：攻擊的是微軟軟數(shù)據(jù)庫(kù)系MicrosoftSQLServer2000漏洞信息：利用了MSSQL2000服務(wù)遠(yuǎn)程程堆棧緩沖區(qū)區(qū)溢出漏洞，，SQLServer監(jiān)聽UDP的1434端口，，客戶端可以以通過(guò)發(fā)送消消息到這個(gè)端端口來(lái)查詢目目前可用的連接方式式（連接方式式可以是命名名管道也可以以是TCP）），但是此程程序存在嚴(yán)重漏洞洞，當(dāng)客戶端發(fā)送超超長(zhǎng)數(shù)據(jù)包時(shí)時(shí)，將導(dǎo)致緩緩沖區(qū)溢出，黑客可以利用該漏漏洞在遠(yuǎn)程機(jī)機(jī)器上執(zhí)行自自己的惡意代代碼。攻擊原理：蠕蟲病毒通過(guò)過(guò)一段376個(gè)個(gè)字節(jié)的惡意代碼,遠(yuǎn)程獲得對(duì)對(duì)方主機(jī)的系系統(tǒng)控制權(quán)限,取得得三個(gè)Win32API地址，GetTickCount、socket、sendto，接著病毒使用GetTickCount獲得一個(gè)隨隨機(jī)數(shù)，進(jìn)入入一個(gè)死循循環(huán)繼續(xù)傳播播。在該循環(huán)中蠕蠕蟲使用獲得得的隨機(jī)數(shù)生生成一個(gè)隨機(jī)機(jī)的ip地址址，然后將自自身代碼發(fā)送至1434端口口(MicrosoftSQLServer開放端口口)使用廣播播數(shù)據(jù)包方式發(fā)送自身身代碼，每次次均攻擊子網(wǎng)網(wǎng)中所有255臺(tái)可能存存在機(jī)器。發(fā)布公告信息息：微軟在200年7月份的的時(shí)候就為這這個(gè)漏洞發(fā)布布了一個(gè)安全全公告41Sql蠕蟲攻擊特性：發(fā)包密度僅和機(jī)器性能能和網(wǎng)絡(luò)帶寬寬有關(guān)，所以發(fā)送的數(shù)據(jù)量量非常大。該蠕蟲對(duì)被感染機(jī)器器本身并沒有有進(jìn)行任何惡惡意破壞行為為，也沒有向硬盤上上寫文件，僅僅存在于內(nèi)存中。對(duì)于感染的系系統(tǒng)，重新啟動(dòng)后就就可以清除蠕蠕蟲，但是仍然會(huì)重復(fù)感染。由于發(fā)送數(shù)據(jù)包占占用了大量系系統(tǒng)資源和網(wǎng)網(wǎng)絡(luò)帶寬，形成UdpFlood，感染了該蠕蠕蟲的網(wǎng)絡(luò)性性能會(huì)極度下下降。一個(gè)百百兆網(wǎng)絡(luò)內(nèi)只要有一一兩臺(tái)機(jī)器感感染該蠕蟲就就會(huì)導(dǎo)致整個(gè)個(gè)網(wǎng)絡(luò)訪問阻塞。42企業(yè)防范蠕蟲蟲病毒的策略略企業(yè)防毒的一一個(gè)重要方面面是是管理和和策略。推薦薦的企業(yè)防范蠕蟲病毒的的策略如下：：1．加強(qiáng)網(wǎng)網(wǎng)絡(luò)管理員安安全管理水平平，提高安全全意識(shí)。由于蠕蟲病毒毒利用的是系系統(tǒng)漏洞進(jìn)行行攻擊，所以以需要在第一一時(shí)間內(nèi)保持持系統(tǒng)和應(yīng)用用軟件的安全性,保持各種操操作系統(tǒng)和應(yīng)應(yīng)用軟件的更更新！2．建立病病毒檢測(cè)系統(tǒng)統(tǒng)。能夠在第一時(shí)時(shí)間內(nèi)檢測(cè)到到網(wǎng)絡(luò)異常和和病毒攻擊。。3．建立應(yīng)應(yīng)急響應(yīng)系統(tǒng)統(tǒng)，將風(fēng)險(xiǎn)減減少到最?。。∮捎谌湎x病毒毒爆發(fā)的突然然性，可能在在病毒發(fā)現(xiàn)的的時(shí)候已經(jīng)蔓蔓延到了整個(gè)個(gè)網(wǎng)絡(luò)，所以以在突發(fā)情況下，，建立一個(gè)緊緊急響應(yīng)系統(tǒng)統(tǒng)是很有必要要的，在病毒毒爆發(fā)的第一一時(shí)間即能提提供解決方案。4．建立災(zāi)災(zāi)難備份系統(tǒng)統(tǒng)。對(duì)于數(shù)據(jù)庫(kù)和和數(shù)據(jù)系統(tǒng)，，必須采用定定期備份，多多機(jī)備份措施施，防止意外外災(zāi)難下的數(shù)數(shù)據(jù)丟失！5．對(duì)于局局域網(wǎng)而言，，可以采用以以下一些主要要手段：（1）在因特特網(wǎng)接入口處處安裝防火墻墻式防殺計(jì)算算機(jī)病毒產(chǎn)品品，將病毒隔隔離在局域網(wǎng)網(wǎng)之外。（（2））對(duì)郵件服務(wù)務(wù)器進(jìn)行監(jiān)控控，防止帶毒毒郵件進(jìn)行傳傳播！（（3）對(duì)對(duì)局域網(wǎng)用戶戶進(jìn)行安全培培訓(xùn)。（（4）建建立局域網(wǎng)內(nèi)內(nèi)部的升級(jí)系系統(tǒng)，包括各各種操作系統(tǒng)統(tǒng)的補(bǔ)丁升級(jí)級(jí)，各種常用用的應(yīng)用軟件升級(jí)，各種種殺毒軟件病病毒庫(kù)的升級(jí)級(jí)等等！43病毒特征分析析2.以以電子子郵件件(Email)及及惡意意網(wǎng)頁(yè)頁(yè)為傳傳播方方式的的蠕蟲蟲病毒毒。--個(gè)個(gè)人用用戶愛蟲病病毒等等，此類病病毒往往往是是通過(guò)過(guò)郵件件傳播播的，，在vbscript中調(diào)調(diào)用郵件件發(fā)送送功能能也非非常的的簡(jiǎn)單單，病病毒往往往采采用的的方法法是向向outlook中中的地址址薄中中的郵郵件地地址發(fā)發(fā)送帶帶有包包含自自身的的郵件件來(lái)達(dá)達(dá)到傳傳播目目的。惡意網(wǎng)網(wǎng)頁(yè)確確切的的講是是一段段黑客破破壞代代碼程程序，它內(nèi)嵌在在網(wǎng)頁(yè)頁(yè)中，當(dāng)用用戶在不知知情的的情況況下打打開含含有病病毒的的網(wǎng)頁(yè)頁(yè)時(shí)，，病毒毒就會(huì)會(huì)發(fā)作作。這這種病病毒代代碼鑲鑲嵌技術(shù)術(shù)的原原理并并不復(fù)復(fù)雜，，所以以會(huì)被被很多多懷不不良企企圖者者利用用，在在很多多黑客客網(wǎng)站站竟然出出現(xiàn)了了關(guān)于于用網(wǎng)網(wǎng)頁(yè)進(jìn)進(jìn)行破破壞的的技術(shù)術(shù)的論論壇，，并提提供破破壞程程序代代碼下下載，從而而造成成了惡惡意網(wǎng)網(wǎng)頁(yè)的的大面面積泛泛濫，，也使使越來(lái)來(lái)越多多的用用戶遭遭受損損失。。44個(gè)人用用戶的的防范范策略略網(wǎng)絡(luò)蠕蠕蟲病病毒對(duì)對(duì)個(gè)人人用戶戶的攻攻擊主主要還還是通通過(guò)社社會(huì)工工程學(xué)學(xué)，而而不是是利用用系統(tǒng)統(tǒng)漏洞！所所以防防范此此類病病毒需需要注注意以以下幾幾點(diǎn)：：1．購(gòu)購(gòu)合適適的殺殺毒軟軟件網(wǎng)絡(luò)蠕蠕蟲病病毒的的發(fā)展展已經(jīng)經(jīng)使傳傳統(tǒng)的的殺毒毒軟件件的““文件件級(jí)實(shí)實(shí)時(shí)監(jiān)監(jiān)控系系統(tǒng)””落伍伍，殺殺毒軟軟件必必須向內(nèi)內(nèi)存實(shí)實(shí)時(shí)監(jiān)監(jiān)控和和郵件件實(shí)時(shí)時(shí)監(jiān)控控發(fā)展展！2.經(jīng)常常升級(jí)級(jí)病毒毒庫(kù)殺毒軟軟件對(duì)對(duì)病毒毒的查查殺是是以病病毒的的特征征碼為為依據(jù)據(jù)的,而病病毒每每天都都層出出不窮窮,尤尤其是是在網(wǎng)網(wǎng)絡(luò)時(shí)代,蠕蟲蟲病毒毒的傳傳播速速度快快,變變種多多,所所以必必須隨隨時(shí)更更新病病毒庫(kù)庫(kù),以以便能能夠查查殺最最新的的病毒毒!3．提提高防防殺毒毒意識(shí)識(shí)不要輕輕易去去點(diǎn)擊擊陌生生的站站點(diǎn)，，有可可能里里面就就含有有惡意意代碼碼！當(dāng)當(dāng)運(yùn)運(yùn)行IE時(shí)時(shí)，點(diǎn)點(diǎn)擊““工具具→Internet選選項(xiàng)→→安全全→Internet區(qū)域域的安安全級(jí)級(jí)別””，把把安全全級(jí)別別由“中中”改改為““高””。。、因因?yàn)檫@這一類類網(wǎng)頁(yè)頁(yè)主要要是含含有惡惡意代代碼的的ActiveX或或Applet、JavaScript的網(wǎng)網(wǎng)頁(yè)文件件，，所以以在IE設(shè)設(shè)置中中將ActiveX插件件和控控件、、Java腳本本等全全部禁禁止就就可以以大大大減少少被網(wǎng)網(wǎng)頁(yè)惡意代代碼感感染的的幾率率4．不不隨意意查看看陌生生郵件件尤其是是帶有有附件件的郵郵件，，由于于有的的病毒毒郵件件能夠夠利用用ie和outlook的漏漏洞自自動(dòng)執(zhí)執(zhí)行，，所以以計(jì)算機(jī)機(jī)用戶戶需要要升級(jí)級(jí)ie和outlook程序序，及及常用用的其其他應(yīng)應(yīng)用程程序?。?5小結(jié)網(wǎng)絡(luò)蠕蠕蟲病病毒作作為一一種互互聯(lián)網(wǎng)網(wǎng)高速速發(fā)展展下的的一種種新型型病毒毒，必必將對(duì)網(wǎng)網(wǎng)絡(luò)產(chǎn)產(chǎn)生巨巨大的的危險(xiǎn)險(xiǎn)。在在防御御上，，已經(jīng)經(jīng)不再再是由由單獨(dú)獨(dú)的殺殺毒廠廠商所能能夠解解決，，而需需要網(wǎng)網(wǎng)絡(luò)安安全公公司，，系統(tǒng)統(tǒng)廠商商，防防病毒毒廠商商及用用戶共同同參與與，構(gòu)構(gòu)筑全全方位位的防防范體體系?。∪湎x和和黑客客技術(shù)術(shù)的結(jié)結(jié)合，，使得得對(duì)蠕蠕蟲的的分析析，檢檢測(cè)和和防范范具有有一定的的難度度，同同時(shí)對(duì)對(duì)蠕蟲蟲的網(wǎng)網(wǎng)絡(luò)傳傳播性性，網(wǎng)網(wǎng)絡(luò)流流量特特性建建立數(shù)數(shù)學(xué)模模型也是是有待待研究究的工工作！！46拒絕服服務(wù)攻攻擊DoS攻攻擊land,teardrop,SYNfloodICMP:smurfRouter:remotereset,UDPport7,Windows:Port135,137,139(OOB),terminalserverSolaris:Linux:其他...47“拒絕絕服務(wù)務(wù)”的的例子子:LAND攻攻擊擊攻擊者者InternetCode目標(biāo)欺騙性性的IP包包源地址址目的地TCPOpenG.MarkHardy48“拒絕絕服務(wù)務(wù)”的的例子子:LAND攻攻擊擊攻擊者InternetCode目標(biāo)IP包欺騙騙源地址2Port139包被送回它它自己崩潰G.MarkHardy49“拒絕服務(wù)務(wù)”的保護(hù)護(hù):代理理類的防火火墻攻擊者InternetCode目標(biāo)IP包欺騙騙源地址2Port139TCPOpen防火墻防火墻把有有危險(xiǎn)的包包阻隔在網(wǎng)絡(luò)絡(luò)外G.MarkHardy50TCP同同步泛濫濫攻擊者InternetCode目標(biāo)欺騙性的IP包包源地址不存存在目標(biāo)地址是TCPOpenG.MarkHardy51TCPSYN泛泛濫攻擊者InternetCode目標(biāo)同步應(yīng)答響響應(yīng)目標(biāo)地址不不存在TCPACK崩潰G.MarkHardy52Smuff攻擊示意意圖第一步：攻攻擊者向被被利用網(wǎng)絡(luò)絡(luò)A的廣播播地址發(fā)送送一個(gè)ICMP協(xié)協(xié)議的’echo’’請(qǐng)求數(shù)據(jù)據(jù)報(bào)，該數(shù)數(shù)據(jù)報(bào)源地地址被偽造第二步：網(wǎng)網(wǎng)絡(luò)A上的的所有主機(jī)都向該該偽造的源源地址返回一個(gè)‘‘echo’響應(yīng)，，造成該主主機(jī)服務(wù)中中斷。53網(wǎng)絡(luò)攻擊舉舉例UDP攻擊擊原理UDP攻擊擊的原理是是使兩個(gè)或或兩個(gè)以上上的系統(tǒng)之之間產(chǎn)生巨巨大的UDP數(shù)據(jù)包包。首先使使這兩種UDP服務(wù)務(wù)都產(chǎn)生輸輸出，然后后讓這兩種種UDP服服務(wù)（例如如chargen服服務(wù)(UDP)和echo服服務(wù)(UDP)）之之間互相通通信，使一一方的輸出出成為另一一方的輸入入。這樣會(huì)會(huì)形成很大大的數(shù)據(jù)流流量。當(dāng)多多個(gè)系統(tǒng)之之間互相產(chǎn)產(chǎn)生UDP數(shù)據(jù)包時(shí)時(shí)，最終將將導(dǎo)致整個(gè)個(gè)網(wǎng)絡(luò)癱瘓瘓。如果涉涉及的主機(jī)機(jī)數(shù)目少，，那么只有有這幾臺(tái)主主機(jī)會(huì)癱瘓瘓。54網(wǎng)絡(luò)攻擊擊舉例TCP/SYN攻擊擊原理當(dāng)一臺(tái)黑黑客機(jī)器器A要與與另外一一臺(tái)ISP的主主機(jī)B建建立連接接時(shí)，它它的通信信方式是是先發(fā)一一個(gè)SYN包告告訴對(duì)方方主機(jī)B說(shuō)“我我要和你你通信了了”，當(dāng)當(dāng)B收到到時(shí)，就就回復(fù)一一個(gè)ACK/SYN確確認(rèn)請(qǐng)求求包給A主機(jī)。。如果A是合法法地址，，就會(huì)再再回復(fù)一一個(gè)ACK包給給B主機(jī)機(jī)，然后后兩臺(tái)主主機(jī)就可可以建立立一個(gè)通通信渠道道了。可是黑客客機(jī)器A發(fā)出的的包的源源地址是是一個(gè)虛虛假的IP地址址，或者者可以說(shuō)說(shuō)是實(shí)際際上不存存在的一一個(gè)地址址，ISP主機(jī)機(jī)B發(fā)出出的那個(gè)個(gè)ACK/SYN包當(dāng)當(dāng)然就找找不到目目標(biāo)地址址了。如如果這個(gè)個(gè)ACK/SYN包一一直沒有有找到目目標(biāo)地址址，那么么也就是是目標(biāo)主主機(jī)無(wú)法法獲得對(duì)對(duì)方回復(fù)復(fù)的ACK包。。而在缺缺省超時(shí)時(shí)的時(shí)間間范圍以以內(nèi)，主主機(jī)的一一部分資資源要花花在等待待這個(gè)ACK包包的響應(yīng)應(yīng)上，假假如短時(shí)時(shí)間內(nèi)主主機(jī)A接接到大量量來(lái)自虛虛假IP地址的的SYN包，它它就要占占用大量量的資源源來(lái)處理理這些錯(cuò)錯(cuò)誤的等等待，最最后的結(jié)結(jié)果就是是系統(tǒng)資資源耗盡盡以至癱癱瘓。55網(wǎng)絡(luò)攻擊擊舉例ICMP/PING攻攻擊原原理ICMP/PING攻攻擊是利利用一些些系統(tǒng)不不能接受受超大的的IP包包或需要要資源處處理這一一特性。。如在Linux下輸輸入Ping-t66510IP（（未打補(bǔ)補(bǔ)丁的Win95/98的機(jī)機(jī)器），，機(jī)器就就會(huì)癱瘓瘓。ICMP/SMURF攻擊擊原理ICMP/SMURF攻擊利利用的是是網(wǎng)絡(luò)廣廣播的原原理來(lái)發(fā)發(fā)送大量量的地址址，而包包的源地地址就是是要攻擊擊的機(jī)器器本身的的地址。。因而所所有接收收到此包包的主機(jī)機(jī)都將給給發(fā)包的的地址發(fā)發(fā)送一個(gè)個(gè)ICMP回復(fù)復(fù)包。56網(wǎng)絡(luò)攻擊擊舉例TARGA3攻攻擊(IP堆棧棧突破)原理TARGA3攻攻擊的的基本原原理是發(fā)發(fā)送TCP/UDP/ICMP的碎碎片包，，其大小小、標(biāo)記記、包數(shù)數(shù)據(jù)等都都是隨機(jī)機(jī)的。一一些有漏漏洞的系系統(tǒng)內(nèi)核核由于不不能正確確處理這這些極端端不規(guī)范范數(shù)據(jù)包包，便會(huì)會(huì)使其TCP/IP堆堆棧出現(xiàn)現(xiàn)崩潰，，從而導(dǎo)導(dǎo)致無(wú)法法繼續(xù)響響應(yīng)網(wǎng)絡(luò)絡(luò)請(qǐng)求（（即拒絕絕服務(wù)））。57分布式拒拒絕服務(wù)務(wù)（DDOS））以破壞系系統(tǒng)或網(wǎng)網(wǎng)絡(luò)的可可用性為為目標(biāo)常用的工工具：Trin00,TFN/TFN2K,Stacheldraht很難防范范偽造源地地址，流流量加密密，因此此很難跟跟蹤clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFlood58分布式拒拒絕服務(wù)務(wù)攻擊網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)圖客戶端客戶端主控端主控端主控端主控端代理端代理端代理端代理端代理端代理端代理端代理端59分布式拒拒絕服務(wù)務(wù)攻擊步步驟1ScanningProgram不安全的計(jì)算機(jī)Hacker攻擊者使用掃描工具探測(cè)掃描大量主機(jī)以尋找潛在入侵目標(biāo)。1Internet60Hacker被控制的的計(jì)算機(jī)機(jī)(代理理端)黑客設(shè)法入侵侵有安全漏洞洞的主機(jī)并獲獲取控制權(quán)。。這些主機(jī)將將被用于放置置后門、sniffer或守護(hù)程序序甚至是客戶戶程序。2分布式拒絕服服務(wù)攻擊步驟驟2Internet61Hacker黑客在得到入入侵計(jì)算機(jī)清清單后，從中中選出滿足建建立網(wǎng)絡(luò)所需需要的主機(jī)，，放置已編譯譯好的守護(hù)程程序，并對(duì)被被控制的計(jì)算算機(jī)發(fā)送命令令。3被控制計(jì)算機(jī)機(jī)（代理端））MasterServer分布式拒絕服服務(wù)攻擊步驟驟3Internet62HackerUsingClientprogram,黑黑客客發(fā)送控制命命令給主機(jī)，，準(zhǔn)備啟動(dòng)對(duì)對(duì)目標(biāo)系統(tǒng)的的攻擊4被控制計(jì)算機(jī)機(jī)（代理端））TargetedSystemMasterServer分布式拒絕服服務(wù)攻擊步驟驟4Internet63InternetHacker主機(jī)發(fā)送攻擊擊信號(hào)給被控控制計(jì)算機(jī)開開始對(duì)目標(biāo)系系統(tǒng)發(fā)起攻擊擊。5MasterServer分布式拒絕服服務(wù)攻擊步驟驟5TargetedSystem被控制計(jì)算機(jī)機(jī)（代理端））64TargetedSystemHacker目標(biāo)系統(tǒng)被無(wú)無(wú)數(shù)的偽造的的請(qǐng)求所淹沒沒，從而無(wú)法法對(duì)合法用戶戶進(jìn)行響應(yīng)，，DDOS攻攻擊成功。6MasterServerUserRequestDenied分布式拒絕服服務(wù)攻擊步驟驟6Internet被控制計(jì)算機(jī)機(jī)（代理端））65（分布式）拒拒絕服務(wù)攻擊擊DDOS攻擊擊的效果由于整個(gè)過(guò)程程是自動(dòng)化的的，攻擊者能能夠在5秒鐘鐘內(nèi)入侵一臺(tái)臺(tái)主機(jī)并安裝裝攻擊工具。。也就是說(shuō)，，在短短的一一小時(shí)內(nèi)可以以入侵?jǐn)?shù)千臺(tái)臺(tái)主機(jī)。并使使某一臺(tái)主機(jī)機(jī)可能要遭受受1000MB/S數(shù)據(jù)據(jù)量的猛烈攻攻擊，這一數(shù)數(shù)據(jù)量相當(dāng)于于1.04億億人同時(shí)撥打打某公司的一一部電話號(hào)碼碼。66（分布式）拒拒絕服務(wù)攻擊擊預(yù)防DDOS攻擊的措施施確保主機(jī)不被被入侵且是安安全的；周期性審核系系統(tǒng)；檢查文件完整整性；優(yōu)化路由和網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)；優(yōu)化對(duì)外開放放訪問的主機(jī)機(jī)；在網(wǎng)絡(luò)上建立立一個(gè)過(guò)濾器器（filter）或偵偵測(cè)器（sniffer），在攻擊擊信息到達(dá)網(wǎng)網(wǎng)站服務(wù)器之之前阻擋攻擊擊信息。67（分布式）拒拒絕服務(wù)攻擊擊分布式拒絕服服務(wù)攻擊的今今后的發(fā)展趨趨勢(shì)：如何增強(qiáng)自身身的隱蔽性和和攻擊能力；；采用加密通訊訊通道、ICMP協(xié)議等等方法避開防防火墻的檢測(cè)測(cè)；采用對(duì)自身進(jìn)進(jìn)行數(shù)字簽名名等方法研究究自毀機(jī)制，，在被非攻擊擊者自己使用用時(shí)自行消毀毀拒絕服務(wù)攻攻擊數(shù)據(jù)包，，以消除證據(jù)據(jù)。68當(dāng)前網(wǎng)絡(luò)安全全現(xiàn)狀當(dāng)前網(wǎng)絡(luò)安全全熱點(diǎn)話題大規(guī)模業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)統(tǒng)建設(shè)網(wǎng)絡(luò)管理69大規(guī)模業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)特點(diǎn)開放性—與公網(wǎng)互聯(lián)聯(lián)，直接對(duì)話話。大規(guī)模性—規(guī)模龐大，，節(jié)點(diǎn)眾多。。復(fù)雜性—多種應(yīng)用，，大數(shù)據(jù)量，，使用人員身身份復(fù)雜。因?yàn)槿缟系谋姳姸嗵攸c(diǎn)，大大規(guī)模業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)存在著眾眾多安全風(fēng)險(xiǎn)!70大規(guī)模業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)中需要保保護(hù)的資源各類服務(wù)器工作站網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全設(shè)備

操作系統(tǒng)服務(wù)器系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng)Internet公共軟件數(shù)據(jù)庫(kù)系統(tǒng)自主開發(fā)的軟件網(wǎng)管軟件等數(shù)據(jù)庫(kù)服務(wù)器中數(shù)據(jù)應(yīng)用服務(wù)器數(shù)據(jù)郵件數(shù)據(jù)網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)設(shè)備日志工作人員用戶應(yīng)用系統(tǒng)用戶操作系統(tǒng)用戶訪問服務(wù)器用戶遠(yuǎn)程登陸用戶遠(yuǎn)程管理用戶硬件資源數(shù)據(jù)資源軟件資源用戶資源71大規(guī)模業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)常見的安安全事件網(wǎng)站被黑數(shù)據(jù)被篡改數(shù)據(jù)被偷竊秘密泄漏越權(quán)瀏覽非法刪除被病毒感染系統(tǒng)自身故障障72大規(guī)模業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)安全隱患患物理風(fēng)險(xiǎn)無(wú)意錯(cuò)誤風(fēng)險(xiǎn)有意破壞管理風(fēng)險(xiǎn)內(nèi)網(wǎng)安全風(fēng)險(xiǎn)內(nèi)網(wǎng)安全風(fēng)險(xiǎn)邊界安安全風(fēng)風(fēng)險(xiǎn)鏈路傳傳輸安安全風(fēng)風(fēng)險(xiǎn)橫向向縱向向其它風(fēng)險(xiǎn)如自然然災(zāi)害害，電電力供供應(yīng)突突然中中斷，靜靜電、、強(qiáng)磁磁場(chǎng)破破壞硬硬件設(shè)設(shè)備以及及設(shè)備備老化化等引引起的的風(fēng)險(xiǎn)險(xiǎn)。指由于于人為為或系系統(tǒng)錯(cuò)錯(cuò)誤而而影響響信息的完完整性性、機(jī)機(jī)密性性和可可用性性。指內(nèi)部部和外外部人人員有有意通通過(guò)物物理手手段破壞信信息系系統(tǒng)而而影響響信息息的機(jī)機(jī)密性性、完整性性、可可用性性和可可控性性。比比如：：有意破壞壞基礎(chǔ)礎(chǔ)設(shè)施施、擴(kuò)擴(kuò)散計(jì)計(jì)算機(jī)機(jī)病毒毒、電子欺欺騙等等。這種風(fēng)風(fēng)險(xiǎn)帶帶來(lái)的的破壞壞一般般而言言是巨巨大的。嚴(yán)嚴(yán)重時(shí)時(shí)會(huì)引引起整整個(gè)系系統(tǒng)的的癱瘓瘓和不可恢恢復(fù)它是指指因?yàn)闉榭诹盍詈兔苊荑€管管理不當(dāng)當(dāng)、制制度遺遺漏，，崗位、職職責(zé)設(shè)設(shè)置不不全面面等因因素引起起信息息泄露露、系系統(tǒng)無(wú)無(wú)序運(yùn)行行等。。是指除除上述述所列列舉的一些些風(fēng)險(xiǎn)險(xiǎn)外，，一切可能能危及及信息息系統(tǒng)的機(jī)機(jī)密性性、完完整性、可可用性性、可可控性和系系統(tǒng)正正常運(yùn)運(yùn)行的風(fēng)險(xiǎn)險(xiǎn)。73標(biāo)準(zhǔn)安安全產(chǎn)產(chǎn)品架架構(gòu)Internet總部辦事處處分公司司公眾用用戶分公司司防火墻墻和VPN體系系入侵檢檢測(cè)系系統(tǒng)病毒防防護(hù)系系統(tǒng)風(fēng)險(xiǎn)評(píng)評(píng)估系系統(tǒng)備份恢恢復(fù)系系統(tǒng)網(wǎng)絡(luò)綜綜合安安全管管理系系統(tǒng)74防火墻墻及VPN策略略Internet總部辦事處處分公司司VPN客戶戶端用用戶分公司司部署防防火墻墻和VPN在網(wǎng)網(wǎng)絡(luò)邊界界處，，對(duì)進(jìn)進(jìn)出邊邊界的信息息做訪訪問控控制，，同時(shí)采用用VPN對(duì)對(duì)網(wǎng)絡(luò)絡(luò)中傳傳輸?shù)男判畔⑦M(jìn)進(jìn)行加加密處處理，，以保證證數(shù)據(jù)據(jù)在傳傳輸過(guò)過(guò)程中的安安全性性利用防防火墻墻的包包過(guò)濾濾、應(yīng)應(yīng)用代理理、NAT、訪訪問控控制等技術(shù)術(shù)對(duì)網(wǎng)網(wǎng)絡(luò)邊邊界進(jìn)進(jìn)行安安全防護(hù)護(hù)。利用VPN的加加密方方式對(duì)對(duì)信息做加加密，，再傳傳輸?shù)降骄W(wǎng)絡(luò)絡(luò)中，可可采用用網(wǎng)關(guān)關(guān)—網(wǎng)網(wǎng)關(guān)或或網(wǎng)關(guān)到到客戶戶端兩兩種模模式。。!@$!@#%$^%475ServerClient防火墻墻（Firewall））注解：：防火火墻類類似一一堵城城墻，，將服服務(wù)器器與客客戶主主機(jī)進(jìn)進(jìn)行物物理隔隔離，，并在在此基基礎(chǔ)上上實(shí)現(xiàn)現(xiàn)服務(wù)務(wù)器與與客戶戶主機(jī)機(jī)之間間的授授權(quán)互互訪、、互通通等功功能。。76防火墻墻概念念防火墻墻是指指設(shè)置置在不不同網(wǎng)網(wǎng)絡(luò)或或網(wǎng)絡(luò)絡(luò)安全全域（（公共共網(wǎng)和和企業(yè)業(yè)內(nèi)部部網(wǎng)））之間間的一一系列列部件件的組組合。。它是是不同同網(wǎng)絡(luò)絡(luò)（安安全域域）之之間的的唯一一出入入口，，能根根據(jù)企企業(yè)的的安全全政策策控制制（允允許、、拒拒絕、、監(jiān)監(jiān)測(cè)測(cè)）出出入網(wǎng)網(wǎng)絡(luò)的的信息息流，，且本本身具具有很很高的的抗攻攻擊能能力，，它是是提供供信息息安全全服務(wù)務(wù)，實(shí)實(shí)現(xiàn)網(wǎng)網(wǎng)絡(luò)和和信息息安全全的基基礎(chǔ)設(shè)設(shè)施。。77防火火墻墻特特征征保護(hù)護(hù)脆脆弱弱和和有有缺缺陷陷的的網(wǎng)網(wǎng)絡(luò)絡(luò)服服務(wù)務(wù)集中中化化的的安安全全管管理理加強(qiáng)強(qiáng)對(duì)對(duì)網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)的的訪訪問問控控制制加強(qiáng)強(qiáng)隱隱私私對(duì)網(wǎng)網(wǎng)絡(luò)絡(luò)存存取取和和訪訪問問進(jìn)進(jìn)行行監(jiān)監(jiān)控控審審計(jì)計(jì)78保護(hù)護(hù)脆脆弱弱和和有有缺缺陷陷的的網(wǎng)網(wǎng)絡(luò)絡(luò)服服務(wù)務(wù)一個(gè)個(gè)防防火火墻墻能能極極大大地地提提高高一一個(gè)個(gè)內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)的的安安全全性性，，并并通通過(guò)過(guò)過(guò)過(guò)濾濾不不安安全全的的服服務(wù)務(wù)而而降降低低風(fēng)風(fēng)險(xiǎn)險(xiǎn)。。由由于于只只有有經(jīng)經(jīng)過(guò)過(guò)精精心心選選擇擇的的應(yīng)應(yīng)用用協(xié)協(xié)議議才才能能通通過(guò)過(guò)防防火火墻墻，，所所以以網(wǎng)網(wǎng)絡(luò)絡(luò)環(huán)環(huán)境境變變得得更更安安全全。。如如防防火火墻墻可可以以禁禁止止諸諸如如眾眾所所周周知知的的不不安安全全的的NFS協(xié)議議進(jìn)進(jìn)出出受受保保護(hù)護(hù)網(wǎng)網(wǎng)絡(luò)絡(luò)，，這這樣樣外外部部的的攻攻擊擊者者就就不不可可能能利利用用這這些些脆脆弱弱的的協(xié)協(xié)議議來(lái)來(lái)攻攻擊擊內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)。。防火火墻墻同同時(shí)時(shí)可可以以保保護(hù)護(hù)網(wǎng)網(wǎng)絡(luò)絡(luò)免免受受基基于于路路由由的的攻攻擊擊，，如如IP選選項(xiàng)項(xiàng)中中的的源源路路由由攻攻擊擊和和ICMP重重定定向向中中的的重重定定向向路路徑徑。。防防火火墻墻應(yīng)應(yīng)該該可可以以拒拒絕絕所所有有以以上上類類型型攻攻擊擊的的報(bào)報(bào)文文并并通通知知防防火火墻墻管管理理員員。。防火火墻墻特特征征(cont.)79防火火墻墻特特征征(cont.)集中中化化的的安安全全管管理理通過(guò)過(guò)以以防防火火墻墻為為中中心心的的安安全全方方案案配配置置，，能能將將所所有有安安全全軟軟件件（（如如口口令令、、加加密密、、身身份份認(rèn)認(rèn)證證、、審審計(jì)計(jì)等等））配配置置在在防防火火墻墻上上。。與與將將網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全問問題題分分散散到到各各個(gè)個(gè)主主機(jī)機(jī)上上相相比比，，防防火火墻墻的的集集中中安安全全管管理理更更經(jīng)經(jīng)濟(jì)濟(jì)。。例例如如在在網(wǎng)網(wǎng)絡(luò)絡(luò)訪訪問問時(shí)時(shí)，，一一次次一一密密口口令令系系統(tǒng)統(tǒng)和和其其它它的的身身份份認(rèn)認(rèn)證證系系統(tǒng)統(tǒng)完完全全可可以以不不必必分分散散在在各各個(gè)個(gè)主主機(jī)機(jī)上上，，而而集集中中在在防防火火墻墻一一身身上上。。80加強(qiáng)強(qiáng)對(duì)對(duì)網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)的的訪訪問問控控制制一個(gè)個(gè)防防火火墻墻的的主主要要功功能能是是對(duì)對(duì)整整個(gè)個(gè)網(wǎng)網(wǎng)絡(luò)絡(luò)的的訪訪問問控控制制。。比比如如防防火火墻墻可可以以屏屏蔽蔽部部分分主主機(jī)機(jī)，，使使外外部部網(wǎng)網(wǎng)絡(luò)絡(luò)無(wú)無(wú)法法訪訪問問，，同同樣樣可可以以屏屏蔽蔽部部分分主主機(jī)機(jī)的的特特定定服服務(wù)務(wù)，，使使得得外外部部網(wǎng)網(wǎng)絡(luò)絡(luò)可可以以訪訪問問該該主主機(jī)機(jī)的的其其它它服服務(wù)務(wù)，，但但無(wú)無(wú)法法訪訪問問該該主主機(jī)機(jī)的的特特定定服服務(wù)務(wù)。。防火墻不不應(yīng)向外外界提供供網(wǎng)絡(luò)中中任何不不需要服服務(wù)的訪訪問權(quán)，，這實(shí)際際上是安安全政策策的要求求了?？刂茖?duì)特特殊站點(diǎn)點(diǎn)的訪問問：如有有些主機(jī)機(jī)或服務(wù)務(wù)能被外外部網(wǎng)絡(luò)絡(luò)訪問，，而有些些則需被被保護(hù)起起來(lái)，防防止不必必要的訪訪問。防火墻特特征(cont.)81加強(qiáng)隱私私隱私是內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)非常關(guān)關(guān)心的問問題。一一個(gè)內(nèi)部部網(wǎng)絡(luò)中中不引人人注意的的細(xì)節(jié)可可能包含含了有關(guān)關(guān)安全的的線索而而引起外外部攻擊擊者的興興趣，甚甚至因此此而暴漏漏了內(nèi)部部網(wǎng)絡(luò)的的某些安安全漏洞洞。使用防火火墻就可可以隱蔽蔽那些透透漏內(nèi)部部細(xì)節(jié)如如Finger，DNS等服務(wù)務(wù)。Finger顯顯示了了主機(jī)機(jī)的所所有用用戶的的注冊(cè)冊(cè)名、、真名名，最最后登登錄時(shí)時(shí)間和和使用用shell類類型等等。但但是Finger顯顯示的的信息息非常常容易易被攻攻擊者者所獲獲悉。。攻擊擊者可可以知知道一一個(gè)系系統(tǒng)使使用的的頻繁繁程度度，這這個(gè)系系統(tǒng)是是否有有用戶戶正在在連線線上網(wǎng)網(wǎng)，這這個(gè)系系統(tǒng)是是否在在被攻攻擊時(shí)時(shí)引起起注意意等等等。防防火墻墻可以以同樣樣阻塞塞有關(guān)關(guān)內(nèi)部部網(wǎng)絡(luò)絡(luò)中的的DNS信信息，，這樣樣一臺(tái)臺(tái)主機(jī)機(jī)的域域名和和IP地址址就不不會(huì)被被外界界所了了解。。防火墻墻特征征(cont.)82對(duì)網(wǎng)絡(luò)絡(luò)存取取和訪訪問進(jìn)進(jìn)行監(jiān)監(jiān)控審審計(jì)如果所所有的的訪問問都經(jīng)經(jīng)過(guò)防防火墻墻，那那么，，防火火墻就就能記記錄下下這些些訪問問并作作出日日志記記錄，，同時(shí)時(shí)也能能提供供網(wǎng)絡(luò)絡(luò)使用用情況況的統(tǒng)統(tǒng)計(jì)數(shù)數(shù)據(jù)。。當(dāng)發(fā)發(fā)生可可疑動(dòng)動(dòng)作時(shí)時(shí)，防防火墻墻能進(jìn)進(jìn)行適適當(dāng)?shù)牡膱?bào)警警，并并提供供網(wǎng)絡(luò)絡(luò)是否否受到到監(jiān)測(cè)測(cè)和攻攻擊的的詳細(xì)細(xì)信息息。另外，，收集集一個(gè)個(gè)網(wǎng)絡(luò)絡(luò)的使使用和和誤用用情況況是非非常重重要的的。首首先的的理由由是可可以清清楚防防火墻墻是否否能夠夠抵擋擋攻擊擊者的的探測(cè)測(cè)和攻攻擊，，并且且清楚楚防火火墻的的控制制是否否充足足。而而網(wǎng)絡(luò)絡(luò)使用用統(tǒng)計(jì)計(jì)對(duì)網(wǎng)網(wǎng)絡(luò)需需求分分析和和威脅脅分析析等而而言也也是非非常重重要的的。防火墻墻特征征(cont.)83從總體體上看看，防防火墻墻應(yīng)具具有以以下五五大基基本功功能：過(guò)濾進(jìn)進(jìn)、出出網(wǎng)絡(luò)絡(luò)的數(shù)數(shù)據(jù)；；管理進(jìn)進(jìn)、出出網(wǎng)絡(luò)絡(luò)的訪訪問行行為；；封堵某某些禁禁止的的業(yè)務(wù)務(wù)；記錄通通過(guò)防防火墻墻的信信息內(nèi)內(nèi)容和和活動(dòng)動(dòng)；對(duì)網(wǎng)絡(luò)絡(luò)攻擊擊的檢檢測(cè)和和告警警。防火墻墻功能能84VPN即虛虛擬專專用網(wǎng)網(wǎng)，是是指一一些節(jié)節(jié)點(diǎn)通通過(guò)一一個(gè)公公用網(wǎng)網(wǎng)絡(luò)（（通常常是因因特網(wǎng)網(wǎng)）建建立的的一個(gè)個(gè)臨時(shí)時(shí)的、、安全全的連連接，，它們們之間間的通通信的的機(jī)密密性和和完整整性可可以通通過(guò)某某些安安全機(jī)機(jī)制的的實(shí)施施得到到保證證特征虛擬(V)：并并不實(shí)實(shí)際存存在，，而是是利用用現(xiàn)有有網(wǎng)絡(luò)絡(luò)，通通過(guò)資資源配配置以以及虛虛電路路的建建立而而構(gòu)成成的虛虛擬網(wǎng)網(wǎng)絡(luò)專用(P)：只只有企企業(yè)自自己的的用戶戶才可可以聯(lián)聯(lián)入企企業(yè)自自己的的網(wǎng)絡(luò)絡(luò)網(wǎng)絡(luò)(N)：既既可以以讓客客戶連連接到到公網(wǎng)網(wǎng)所能能夠到到達(dá)的的任何何地方方，也也可以以方便便地解解決保保密性性、安安全性性、可可管理理性等等問題題，降降低網(wǎng)網(wǎng)絡(luò)的的使用用成本本什么是是VPN85VPN（虛擬專專用網(wǎng)網(wǎng)絡(luò)））是通通過(guò)公公共介介質(zhì)如如Internet擴(kuò)展展公司司的網(wǎng)網(wǎng)絡(luò)VPN可以以加密密傳輸輸?shù)臄?shù)數(shù)據(jù)，，保障障數(shù)據(jù)據(jù)的機(jī)機(jī)密性性、完完整性性、真真實(shí)性性防火墻墻是用用來(lái)保保證內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)不不被侵侵犯，，相當(dāng)當(dāng)于銀銀行的的門衛(wèi)衛(wèi)；而VPN則則是保保證在在網(wǎng)絡(luò)絡(luò)上傳傳輸?shù)牡臄?shù)據(jù)據(jù)不被被竊取取，相相當(dāng)于于運(yùn)鈔鈔車。。VPN的用用途86VPN的隧隧道協(xié)協(xié)議VPN的關(guān)關(guān)鍵技技術(shù)在在于通通信隧隧道的的建立立，數(shù)數(shù)據(jù)包包通過(guò)過(guò)通信信隧道道進(jìn)行行封裝裝后的的傳送送以確確保其其機(jī)密密性和和完整整性通常使使用的的方法法有：：使用點(diǎn)點(diǎn)到點(diǎn)點(diǎn)隧道道協(xié)議議PPTP、第第二層層隧道道協(xié)議議L2TP、第第二層層轉(zhuǎn)發(fā)發(fā)協(xié)議議L2F等等在數(shù)數(shù)據(jù)鏈鏈路層層對(duì)數(shù)數(shù)據(jù)實(shí)實(shí)行封封裝使用IP安安全協(xié)協(xié)議IPSec在網(wǎng)網(wǎng)絡(luò)層層實(shí)現(xiàn)現(xiàn)數(shù)據(jù)據(jù)封裝裝使用介介于第第二層層和第第三層層之間間的隧隧道協(xié)協(xié)議，，如MPLS隧隧道協(xié)協(xié)議87PPTP/L2TP1996年年，Microsoft和Ascend等等在PPP協(xié)議議的基基礎(chǔ)上上開發(fā)發(fā)了PPTP，，并將將它集集成于于WindowsNTServer4.0中，，同時(shí)時(shí)也提提供了了相應(yīng)應(yīng)的客客戶端端軟件件PPTP可可把數(shù)數(shù)據(jù)包包封裝裝在PPP包中中，再再將整整個(gè)報(bào)報(bào)文封封裝在在PPTP隧道道協(xié)議議包中中，最最后，，再嵌嵌入IP報(bào)報(bào)文或或幀中中繼或或ATM中中進(jìn)行行傳輸輸PPTP提提供流流量控控制,采采用MPPE加加密算算法881996年年，Cisco提出出L2F（（Layer2Forwarding）隧隧道協(xié)協(xié)議1997年年底，，Micorosoft和Cisco公司司把PPTP協(xié)協(xié)議和和L2F協(xié)協(xié)議的的優(yōu)點(diǎn)點(diǎn)結(jié)合合在一一起，，形成成了L2TP協(xié)協(xié)議L2TP協(xié)協(xié)議綜綜合了了PPTP協(xié)議議和L2F（Layer2Forwarding））協(xié)議議的優(yōu)優(yōu)點(diǎn),并且且支持持多路路隧道道，這這樣可可以使使用戶戶同時(shí)時(shí)訪問問Internet和企企業(yè)網(wǎng)網(wǎng)。L2TP可可以實(shí)實(shí)現(xiàn)和和企業(yè)業(yè)原有有非IP網(wǎng)網(wǎng)的兼兼容，，支持持MP（MultilinkProtocol）），可可以把把多個(gè)個(gè)物理理通道道捆綁綁為單單一邏邏輯信信道PPTP/L2TP89優(yōu)點(diǎn)：支持其他網(wǎng)網(wǎng)絡(luò)協(xié)議（如Novell的的IPX，，NetBEUI和和AppleTalk協(xié)議議）支持流量控控制缺點(diǎn)：通道打開后后，源和目目的用戶身身份就不再再進(jìn)行認(rèn)證證，存在安安全隱患限制同時(shí)最最多只能連連接255個(gè)用戶端點(diǎn)用戶需需要在連接接前手工建建立加密信信道，另外外認(rèn)證和加密密受到限制制，沒有強(qiáng)強(qiáng)加密和認(rèn)認(rèn)證支持。。PPTP和和L2TP最適合用用于遠(yuǎn)程訪訪問虛擬專專用網(wǎng)。PPTP/L2TP90IPSecVPNIPSec是一種由由IETF設(shè)計(jì)的端端到端的確確?；贗P通訊的的數(shù)據(jù)安全全性的機(jī)制制。IPSEC支持持對(duì)數(shù)據(jù)加加密，同時(shí)時(shí)確保數(shù)據(jù)據(jù)的完整性性。IPSEC使用驗(yàn)證證包頭（AH，在RFC2402中中定義）提提供來(lái)源驗(yàn)驗(yàn)證（sourceauthentication）），確保數(shù)數(shù)據(jù)的可靠靠性；IPSec使用封裝裝安全負(fù)載載（ESP，在RFC1827中中定義）進(jìn)進(jìn)行加密，，從而確保保數(shù)據(jù)機(jī)密密性。在IPSec協(xié)議下下，只有發(fā)發(fā)送方和接接受方知道道秘密密鑰鑰。如果驗(yàn)驗(yàn)證數(shù)據(jù)有有效，接受受方就可以以知道數(shù)據(jù)據(jù)來(lái)自真實(shí)實(shí)的發(fā)送方方，并且在在傳輸過(guò)程程中沒有受受到破壞。。IPSec有兩種應(yīng)用模模式：傳送送模式和隧隧道模式91傳輸模式：：傳輸模式使使用原始明明文IP頭頭，并且且只加密數(shù)數(shù)據(jù)，包括括它的TCP和UDP頭頭。這種模式適適用于小型型網(wǎng)絡(luò)和移移動(dòng)客戶端端。隧道模式：：隧道模式處處理整個(gè)IP數(shù)據(jù)據(jù)包：包括括全部TCP/IP或UDP/IP頭和數(shù)數(shù)據(jù)，它用用自己的地地址做為源源地址加入入到新的IP頭。。隧道模式被被用在兩端端或是一端端是安全網(wǎng)網(wǎng)關(guān)的架構(gòu)構(gòu)中，例如如裝有IPSec的的防火墻墻。使用了了隧道模式式，防火墻墻內(nèi)很多主主機(jī)不需要要安裝IPSec也也能安全全地與外界界通信，并并且還可以以提供更多多的便利來(lái)來(lái)隱藏內(nèi)部部服務(wù)器主主機(jī)和客戶戶機(jī)的地址址。IPSecVPN92優(yōu)點(diǎn)：可提供高強(qiáng)強(qiáng)度的安全全性（數(shù)據(jù)據(jù)加密和身身份驗(yàn)證））對(duì)上層應(yīng)用用完全透明明支持網(wǎng)絡(luò)與與網(wǎng)絡(luò)、用用戶與用戶戶、網(wǎng)絡(luò)與與用戶多種種應(yīng)用模式式缺點(diǎn)：只支持IP協(xié)議目前防火墻墻產(chǎn)品中集集成的VPN多為使使用IPSec協(xié)協(xié)議，在中國(guó)其其發(fā)展處于于蓬勃狀態(tài)態(tài)。IPSecVPN93MPLSVPN是在網(wǎng)絡(luò)路路由和交換換設(shè)備上應(yīng)應(yīng)用MPLS(MultiprotocolLabelSwitching)技術(shù)，簡(jiǎn)化化核心路由由器的路由由選擇方式式，利用結(jié)結(jié)合傳統(tǒng)路路由技術(shù)的的標(biāo)記交換換實(shí)現(xiàn)的IP虛擬專專用網(wǎng)絡(luò)（（IPVPN）MPLSVPN主主要應(yīng)用用領(lǐng)域是用用于建設(shè)全全網(wǎng)狀結(jié)構(gòu)構(gòu)的數(shù)據(jù)專專線，保證證局域網(wǎng)互互聯(lián)的帶寬寬與服務(wù)質(zhì)質(zhì)量?？偛坎颗c下面分分支機(jī)構(gòu)互互聯(lián)時(shí)，如如果使用公公網(wǎng)，則帶帶寬、時(shí)延延等很大程程度上受公公網(wǎng)的網(wǎng)絡(luò)絡(luò)狀況制約約。而布署署MPLSVPN后，可可以保證網(wǎng)網(wǎng)絡(luò)服務(wù)質(zhì)質(zhì)量，從而而保證一些些對(duì)時(shí)延敏敏感的應(yīng)用用穩(wěn)定運(yùn)行行，如分布布異地的實(shí)實(shí)時(shí)交易系系統(tǒng)、視頻頻會(huì)議、IP電話話等等。94MPLSVPN優(yōu)點(diǎn)：運(yùn)行在IP+ATM或者IP環(huán)境下，，對(duì)應(yīng)用完完全透明缺點(diǎn)：MPLSVPN并并未提供供加密、認(rèn)認(rèn)證等安全全機(jī)制當(dāng)信息的安全全性是VPN網(wǎng)絡(luò)設(shè)計(jì)計(jì)考慮的首要要因素時(shí)，應(yīng)應(yīng)當(dāng)采用IPSecVPN。95與其他VPN協(xié)議的對(duì)比比L2TP、PPTP：主主要用于客戶戶端接入專用用網(wǎng)絡(luò)。本身身的安全性比比較弱，需要要依靠IPSec來(lái)提供供進(jìn)一步的安安全性。MPLS：能能夠提供與傳傳統(tǒng)的ATM，F(xiàn)R同等等的安全性，，但本身沒有有加密，認(rèn)證證機(jī)制，對(duì)數(shù)數(shù)據(jù)的機(jī)密性性等保證需要要依靠IPSec來(lái)進(jìn)一一步保證。IPSec是是彌補(bǔ)其他VPN技術(shù)的的安全性的有有效保證。961100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@保證數(shù)據(jù)在傳傳輸中的機(jī)密密性發(fā)起方接受方密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@支持IKE密密鑰協(xié)商密鑰自動(dòng)刷新新128位對(duì)稱稱加密1024位非非對(duì)稱加密設(shè)備之間采用用證書認(rèn)證支持CA認(rèn)證證VPN的主要要作用之一97發(fā)起方接受方100100010101001010000100000011011000101010001010100100010101001010000100000011011000