網(wǎng)絡(luò)與信息安全技術(shù)培訓(xùn)教材

網(wǎng)絡(luò)與信息安全技術(shù)

網(wǎng)絡(luò)安全

2007年6月主要內(nèi)容網(wǎng)絡(luò)安全簡(jiǎn)介TCP/IP網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)安全概念和手段介紹安全建議網(wǎng)絡(luò)安全展望冒名頂替廢物搜尋身份識(shí)別錯(cuò)誤不安全服務(wù)配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號(hào)進(jìn)入算法考慮不周隨意口令口令破解口令圈套竊聽(tīng)偷竊網(wǎng)絡(luò)安全威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全威脅中國(guó)黑客攻擊美國(guó)網(wǎng)站(1)中國(guó)黑客攻擊美國(guó)網(wǎng)站(2)中國(guó)黑客攻擊美國(guó)網(wǎng)站(3)中國(guó)被黑網(wǎng)站一覽表國(guó)內(nèi)外黑客組織網(wǎng)絡(luò)病毒紅色代碼尼姆達(dá)沖擊波震蕩波

木馬工行密碼盜?。眩涯抉R其它后門工具安全威脅脅實(shí)例用戶使用用一臺(tái)計(jì)計(jì)算機(jī)D訪問(wèn)位于于網(wǎng)絡(luò)中中心服務(wù)務(wù)器S上的webmail郵件服務(wù)務(wù)，存在在的安全全威脅：：U在輸入用用戶名和和口令時(shí)時(shí)被錄像像機(jī)器D上有keylogger程序，記記錄了用用戶名和和口令機(jī)器D上存放用用戶名和和密碼的的內(nèi)存對(duì)對(duì)其他進(jìn)進(jìn)程可讀讀，其他他進(jìn)程讀讀取了信信息，或或這段內(nèi)內(nèi)存沒(méi)有有被清0就分配配給了別別的進(jìn)程程，其他他進(jìn)程讀讀取了信信息用戶名和和密碼被被自動(dòng)保保存了用戶名和和密碼在在網(wǎng)絡(luò)上上傳輸時(shí)時(shí)被監(jiān)聽(tīng)聽(tīng)（共享享介質(zhì)、、或arp偽造）機(jī)器D上被設(shè)置置了代理理，經(jīng)過(guò)過(guò)代理被被監(jiān)聽(tīng)安全威脅脅實(shí)例（（續(xù)）查看郵件件時(shí)被錄錄像機(jī)器D附近的無(wú)無(wú)線電接接收裝置置接收到到顯示器器發(fā)射的的信號(hào)并并且重現(xiàn)現(xiàn)出來(lái)屏幕記錄錄程序保保存了屏屏幕信息息瀏覽郵件件時(shí)的臨臨時(shí)文件件被其他他用戶打打開(kāi)瀏覽器cache了網(wǎng)頁(yè)信信息臨時(shí)文件件僅僅被被簡(jiǎn)單刪刪除，但但是硬盤盤上還有有信息由于DNS攻擊，連連接到錯(cuò)錯(cuò)誤的站站點(diǎn)，泄泄漏了用用戶名和和密碼由于網(wǎng)絡(luò)絡(luò)感染了了病毒，，主干網(wǎng)網(wǎng)癱瘓，，無(wú)法訪訪問(wèn)服務(wù)務(wù)器服務(wù)器被被DOS攻擊，無(wú)無(wú)法提供供服務(wù)什么是網(wǎng)網(wǎng)絡(luò)安全全？本質(zhì)就是是網(wǎng)絡(luò)上上的信息息安全。。網(wǎng)絡(luò)安全全防護(hù)的的目的。。網(wǎng)絡(luò)安全的定義：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

保障各種網(wǎng)絡(luò)資源穩(wěn)定、可靠的運(yùn)行和受控、合法使用網(wǎng)絡(luò)安全全的特征征（1）保保密性confidentiality：：信息不泄泄露給非非授權(quán)的的用戶、、實(shí)體或或過(guò)程，，或供其其利用的的特性。。（2）完完整性integrity：：數(shù)據(jù)未經(jīng)經(jīng)授權(quán)不不能進(jìn)行行改變的的特性，，即信息息在存儲(chǔ)儲(chǔ)或傳輸輸過(guò)程中中保持不不被修改改、不被被破壞和和丟失的的特性。。（3）可可用性availability：：可被授權(quán)權(quán)實(shí)體訪訪問(wèn)并按按需求使使用的特特性，即即當(dāng)需要要時(shí)應(yīng)能能存取所所需的信信息。網(wǎng)網(wǎng)絡(luò)環(huán)境境下拒絕絕服務(wù)、、破壞網(wǎng)網(wǎng)絡(luò)和有有關(guān)系統(tǒng)統(tǒng)的正常常運(yùn)行等等都屬于于對(duì)可用用性的攻攻擊。（4）可可控性controllability：：對(duì)信息的的傳播及及內(nèi)容具具有控制制能力。。（5）可可審查性性：出現(xiàn)現(xiàn)的安全全問(wèn)題時(shí)時(shí)提供依依據(jù)與手手段主要內(nèi)容容網(wǎng)絡(luò)安全全簡(jiǎn)介TCP/IP網(wǎng)絡(luò)安全全分析網(wǎng)絡(luò)安全全概念和和手段介介紹安全建議議網(wǎng)絡(luò)安全全展望網(wǎng)絡(luò)系統(tǒng)統(tǒng)結(jié)構(gòu)——開(kāi)放放系統(tǒng)互互連參考考模型（（1）ISO/OSI模型網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層對(duì)等協(xié)議物理介質(zhì)系統(tǒng)A系統(tǒng)B第N+1層第N層PDUSDUHPDU第N-1層SDUN+1層協(xié)議實(shí)體N+1層協(xié)議實(shí)體N層協(xié)議實(shí)體SAPSAPTCP/IP網(wǎng)絡(luò)的體體系結(jié)構(gòu)構(gòu)TCP/IP技術(shù)的發(fā)發(fā)展設(shè)計(jì)目標(biāo)標(biāo)———實(shí)現(xiàn)現(xiàn)異種網(wǎng)網(wǎng)的網(wǎng)際際互連是最早出出現(xiàn)的系系統(tǒng)化的的網(wǎng)絡(luò)體體系結(jié)構(gòu)構(gòu)之一順應(yīng)了技技術(shù)發(fā)展展網(wǎng)絡(luò)互互連的應(yīng)應(yīng)用需求求采用了開(kāi)開(kāi)放策略略與最流行行的UNIX操作系統(tǒng)統(tǒng)相結(jié)合合TCP/IP的成功主要應(yīng)該歸歸功于其開(kāi)開(kāi)放性，使使得最廣泛泛的廠商和和研究者能能夠不斷地地尋找和開(kāi)開(kāi)發(fā)滿足市市場(chǎng)需求的的網(wǎng)絡(luò)應(yīng)用用和業(yè)務(wù)。。魚(yú)與熊掌總總是不能兼兼得，也正正是其體系系結(jié)構(gòu)得開(kāi)開(kāi)放性，導(dǎo)導(dǎo)致了TCP/IP網(wǎng)絡(luò)的安全全性隱患?。CP/IP的網(wǎng)絡(luò)互連連網(wǎng)際互連是是通過(guò)IP網(wǎng)關(guān)（gateway）實(shí)現(xiàn)的網(wǎng)關(guān)提供網(wǎng)網(wǎng)絡(luò)與網(wǎng)絡(luò)絡(luò)之間物理理和邏輯上上的連通功功能網(wǎng)關(guān)是一種種特殊的計(jì)計(jì)算機(jī)，同同時(shí)屬于多多個(gè)網(wǎng)絡(luò)G1網(wǎng)絡(luò)1網(wǎng)絡(luò)3G1網(wǎng)絡(luò)2TCP/IP與OSI參考模型TCP/IP協(xié)議和OSI模型的對(duì)應(yīng)應(yīng)關(guān)系應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層層物理層FTP、TELNETNFSSMTP、、SNMPXDRRPCTCP、UDPIPEthernet,IEEE802.3,802.11等ICMPARPRARPOSI參考模型Internet協(xié)議簇物理層影響網(wǎng)絡(luò)安安全的主要要因素（1）網(wǎng)絡(luò)的缺陷陷因特網(wǎng)在設(shè)設(shè)計(jì)之初對(duì)對(duì)共享性和和開(kāi)放性的的強(qiáng)調(diào)，使使得其在安安全性方面面存在先天天的不足。。其賴以生生存的TCP/IP協(xié)議族在設(shè)設(shè)計(jì)理念上上更多的是是考慮該網(wǎng)網(wǎng)絡(luò)不會(huì)因因局部故障障而影響信信息的傳輸輸，基本沒(méi)沒(méi)有考慮安安全問(wèn)題，，故缺乏應(yīng)應(yīng)有的安全全機(jī)制。因因此它在控控制不可信信連接、分分辨非法訪訪問(wèn)、辨別別身份偽裝裝等方面存存在著很大大的缺陷，，從而構(gòu)成成了對(duì)網(wǎng)絡(luò)絡(luò)安全的重重要隱患。。例如：多數(shù)數(shù)底層協(xié)議議為廣播方方式，多數(shù)數(shù)應(yīng)用層協(xié)協(xié)議為明文文傳輸，缺缺乏保密與與認(rèn)證證機(jī)制，因因此容易遭遭到欺騙和和竊聽(tīng)軟件及系統(tǒng)統(tǒng)的“漏洞洞”及后門門隨著軟件及及網(wǎng)絡(luò)系統(tǒng)統(tǒng)規(guī)模的不不斷增大，，系統(tǒng)中的的安全漏洞洞或“后門門”也不可可避免的存存在，比如如我們常用用的操作系系統(tǒng)，無(wú)論論是Windows還是UNIX幾乎都存在在或多或少少的安全漏漏洞，眾多多的服務(wù)器器、瀏覽器器、桌面軟軟件等等都都被發(fā)現(xiàn)存存在很多安安全隱患。。任何一個(gè)個(gè)軟件系統(tǒng)統(tǒng)都可能會(huì)會(huì)因?yàn)槌绦蛐騿T的一個(gè)個(gè)疏忽或設(shè)設(shè)計(jì)中的一一個(gè)缺陷等等原因留下下漏洞。這這也成為網(wǎng)網(wǎng)絡(luò)的不安安全因素之之一影響網(wǎng)絡(luò)安安全的主要要因素（2）黑客的攻擊擊黑客技術(shù)不不再是一種種高深莫測(cè)測(cè)的技術(shù)，，并逐漸被被越來(lái)越多多的人掌握握。目前，，世界上有有20多多萬(wàn)個(gè)免費(fèi)費(fèi)的黑客網(wǎng)網(wǎng)站，這些些站點(diǎn)從系系統(tǒng)漏洞入入手，介紹紹網(wǎng)絡(luò)攻擊擊的方法和和各種攻擊擊軟件的使使用，這樣樣，系統(tǒng)和和站點(diǎn)遭受受攻擊的可可能性就變變大了。加加上現(xiàn)在還還缺乏針對(duì)對(duì)網(wǎng)絡(luò)犯罪罪卓有成效效的反擊和和跟蹤手段段，這些都都使得黑客客攻擊具有有隱蔽性好好，“殺傷傷力”強(qiáng)的的特點(diǎn)，構(gòu)構(gòu)成了網(wǎng)絡(luò)絡(luò)安全的主主要威脅。。網(wǎng)絡(luò)普及，，安全建設(shè)設(shè)滯后網(wǎng)絡(luò)硬件建建設(shè)如火如如荼，網(wǎng)絡(luò)絡(luò)管理尤其其是安全管管理滯后，，用戶安全全意識(shí)不強(qiáng)強(qiáng)，即使應(yīng)應(yīng)用了最好好的安全設(shè)設(shè)備也經(jīng)常常達(dá)不到預(yù)預(yù)期效果主要內(nèi)容網(wǎng)絡(luò)安全簡(jiǎn)簡(jiǎn)介TCP/IP網(wǎng)絡(luò)安全分分析網(wǎng)絡(luò)安全概概念和手段段介紹安全建議網(wǎng)絡(luò)安全展展望網(wǎng)絡(luò)安全策策略網(wǎng)絡(luò)安全是是一個(gè)系統(tǒng)統(tǒng)的概念，，可靠的網(wǎng)網(wǎng)絡(luò)安全解解決方案必必須建立在在集成網(wǎng)絡(luò)絡(luò)安全技術(shù)術(shù)的基礎(chǔ)上上，網(wǎng)絡(luò)系系統(tǒng)安全策策略就是基基于這種技技術(shù)集成而而提出的，，主要有三三種：1直接風(fēng)風(fēng)險(xiǎn)控制策策略（靜態(tài)態(tài)防御）安全=風(fēng)險(xiǎn)險(xiǎn)分析+安安全規(guī)則+直接的技技術(shù)防御體體系+安全全監(jiān)控攻擊手段是是不斷進(jìn)步步的，安全全漏洞也是是動(dòng)態(tài)出現(xiàn)現(xiàn)的，因此此靜態(tài)防御御下的該模模型存在著著本質(zhì)的缺缺陷。2自適應(yīng)應(yīng)網(wǎng)絡(luò)安全全策略（動(dòng)動(dòng)態(tài)性）安全=風(fēng)險(xiǎn)險(xiǎn)分析+執(zhí)執(zhí)行策略+系統(tǒng)實(shí)施施+漏洞分分析+實(shí)時(shí)時(shí)響應(yīng)該策略強(qiáng)調(diào)調(diào)系統(tǒng)安全全管理的動(dòng)動(dòng)態(tài)性，主主張通過(guò)安安全性檢測(cè)測(cè)、漏洞監(jiān)監(jiān)測(cè)，自適適應(yīng)地填充充“安全間間隙”，從從而提高網(wǎng)網(wǎng)絡(luò)系統(tǒng)的的安全性。。完善的網(wǎng)網(wǎng)絡(luò)安全體體系，必須須合理協(xié)調(diào)調(diào)法律、技技術(shù)和管理理三種因素素，集成防防護(hù)、監(jiān)控控和恢復(fù)三三種技術(shù)，，力求增強(qiáng)強(qiáng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)的健壯性性與免疫力力。局限性性在于：只只考慮增強(qiáng)強(qiáng)系統(tǒng)的健健壯性，僅僅綜合了技技術(shù)和管理理因素，僅僅采用了技技術(shù)防護(hù)。。網(wǎng)絡(luò)絡(luò)安安全全策策略略（（續(xù)續(xù)））3智智能能網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)安安全全策策略略（（動(dòng)動(dòng)態(tài)態(tài)免免疫疫力力））安全全=風(fēng)風(fēng)險(xiǎn)險(xiǎn)分分析析+安安全全策策略略+技技術(shù)術(shù)防防御御體體系系+攻攻擊擊實(shí)實(shí)時(shí)時(shí)檢檢測(cè)測(cè)+安安全全跟跟蹤蹤+系系統(tǒng)統(tǒng)數(shù)數(shù)據(jù)據(jù)恢恢復(fù)復(fù)+系系統(tǒng)統(tǒng)學(xué)學(xué)習(xí)習(xí)進(jìn)進(jìn)化化技術(shù)術(shù)防防御御體體系系包包括括漏漏洞洞檢檢測(cè)測(cè)和和安安全全縫縫隙隙填填充充；；安安全全跟跟蹤蹤是是為為攻攻擊擊證證據(jù)據(jù)記記錄錄服服務(wù)務(wù)的的，，系系統(tǒng)統(tǒng)學(xué)學(xué)習(xí)習(xí)進(jìn)進(jìn)化化是是旨旨在在改改善善系系統(tǒng)統(tǒng)性性能能而而引引入入的的智智能能反反饋饋機(jī)機(jī)制制。。模型型中中，，““風(fēng)風(fēng)險(xiǎn)險(xiǎn)分分析析+安安全全策策略略””體體現(xiàn)現(xiàn)了了管管理理因因素素；；““技技術(shù)術(shù)防防御御體體系系+攻攻擊擊實(shí)實(shí)時(shí)時(shí)檢檢測(cè)測(cè)+系系統(tǒng)統(tǒng)數(shù)數(shù)據(jù)據(jù)恢恢復(fù)復(fù)+系系統(tǒng)統(tǒng)學(xué)學(xué)習(xí)習(xí)進(jìn)進(jìn)化化””體體現(xiàn)現(xiàn)了了技技術(shù)術(shù)因因素素；；技技術(shù)術(shù)因因素素綜綜合合了了防防護(hù)護(hù)、、監(jiān)監(jiān)控控和和恢恢復(fù)復(fù)技技術(shù)術(shù)；；““安安全全跟跟蹤蹤+系系統(tǒng)統(tǒng)數(shù)數(shù)據(jù)據(jù)恢恢復(fù)復(fù)+系系統(tǒng)統(tǒng)學(xué)學(xué)習(xí)習(xí)進(jìn)進(jìn)化化””使使系系統(tǒng)統(tǒng)表表現(xiàn)現(xiàn)出出動(dòng)動(dòng)態(tài)態(tài)免免疫疫力力。。網(wǎng)絡(luò)安全防護(hù)護(hù)模型－PDRR目前業(yè)界共識(shí)識(shí)：“安全不不是技術(shù)或產(chǎn)產(chǎn)品，而是一一個(gè)過(guò)程”。。為了保障網(wǎng)網(wǎng)絡(luò)安全，應(yīng)應(yīng)重視提高系系統(tǒng)的入侵檢檢測(cè)能力、事事件反應(yīng)能力力和遭破壞后后的快速恢復(fù)復(fù)能力。信息息保障有別于于傳統(tǒng)的加密密、身份認(rèn)證證、訪問(wèn)控制制、防火墻等等技術(shù)，它強(qiáng)強(qiáng)調(diào)信息系統(tǒng)統(tǒng)整個(gè)生命周周期的主動(dòng)防防御。網(wǎng)絡(luò)安全防護(hù)護(hù)模型－PDRR（續(xù)）保護(hù)(PROTECT)傳統(tǒng)安全概念念的繼承，包包括信息加密密技術(shù)、訪問(wèn)問(wèn)控制技術(shù)等等等。檢測(cè)(DETECT)從監(jiān)視、分析析、審計(jì)信息息網(wǎng)絡(luò)活動(dòng)的的角度，發(fā)現(xiàn)現(xiàn)對(duì)于信息網(wǎng)網(wǎng)絡(luò)的攻擊、、破壞活動(dòng)，，提供預(yù)警、、實(shí)時(shí)響應(yīng)、、事后分析和和系統(tǒng)恢復(fù)等等方面的支持持，使安全防防護(hù)從單純的的被動(dòng)防護(hù)演演進(jìn)到積極的的主動(dòng)防御。網(wǎng)絡(luò)安全防護(hù)護(hù)模型－PDRR（續(xù)）響應(yīng)(RESPONSE)在遭遇攻擊和和緊急事件時(shí)時(shí)及時(shí)采取措措施，包括調(diào)調(diào)整系統(tǒng)的安安全措施、跟跟蹤攻擊源和和保護(hù)性關(guān)閉閉服務(wù)和主機(jī)機(jī)等?；謴?fù)(RECOVER)評(píng)估系統(tǒng)受到到的危害與損損失，恢復(fù)系系統(tǒng)功能和數(shù)數(shù)據(jù)，啟動(dòng)備備份系統(tǒng)等。。網(wǎng)絡(luò)安全保障障體系安全管理與審審計(jì)物理層安全網(wǎng)絡(luò)層安全傳輸層安全應(yīng)用層安全鏈路層物理層網(wǎng)絡(luò)層傳輸層應(yīng)用層表示層會(huì)話層審計(jì)與監(jiān)控身份認(rèn)證數(shù)據(jù)加密數(shù)字簽名完整性鑒別端到端加密訪問(wèn)控制鏈路加密物理信道安全全物理隔離訪問(wèn)控制數(shù)據(jù)機(jī)密性數(shù)據(jù)完整性用戶認(rèn)證防抵賴安全審計(jì)網(wǎng)絡(luò)安全層次次層次模型網(wǎng)絡(luò)安全技術(shù)術(shù)實(shí)現(xiàn)安全目標(biāo)標(biāo)用戶安全服務(wù)可用安全技術(shù)選擇擇--根據(jù)據(jù)協(xié)議層次物理層：物理理隔離鏈路層:鏈鏈路加密技術(shù)術(shù)、PPTP/L2TP網(wǎng)絡(luò)層:IPSec協(xié)議（VPN）、防火墻TCP層:SSL協(xié)議、基于公公鑰的認(rèn)證和和對(duì)稱鑰加密密技術(shù)應(yīng)用層:SHTTP、、PGP、S/MIME、SSH(Secureshell)、、開(kāi)發(fā)專用協(xié)議議（SET）網(wǎng)絡(luò)安全工具具物理隔離設(shè)備備交換機(jī)/路由由器安全模塊塊防火墻(Firewall)網(wǎng)絡(luò)掃描器入侵檢測(cè)系統(tǒng)統(tǒng)(IntrusionDetectionSystem)網(wǎng)絡(luò)防毒虛擬專用網(wǎng)（（VPN）病毒防護(hù)網(wǎng)絡(luò)3A……物理隔離主要分兩種：：雙網(wǎng)隔離計(jì)算算機(jī)物理隔離網(wǎng)閘閘雙網(wǎng)隔離計(jì)算算機(jī)解決每人2臺(tái)臺(tái)計(jì)算機(jī)的問(wèn)問(wèn)題1臺(tái)計(jì)算機(jī)，，可以分時(shí)使使用內(nèi)網(wǎng)或外外網(wǎng)關(guān)鍵部件硬盤網(wǎng)線軟盤/USB/MODEM等共享部件顯示器鍵盤/鼠標(biāo)主板/電源硬盤*原理切換關(guān)鍵部件件簡(jiǎn)單雙網(wǎng)隔離離計(jì)算機(jī)外網(wǎng)硬盤內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡控制開(kāi)關(guān)復(fù)雜雙網(wǎng)隔離離計(jì)算機(jī)內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡遠(yuǎn)端設(shè)備使用控制卡上上的翻譯功能能將硬盤分為為邏輯上獨(dú)立立的部分充分使用UTP中的8芯，減減少一根網(wǎng)線線物理隔離網(wǎng)閘閘的基本原理理采用數(shù)據(jù)“擺擺渡”的方式式實(shí)現(xiàn)兩個(gè)網(wǎng)網(wǎng)絡(luò)之間的信信息交換在任意時(shí)刻，，物理隔離設(shè)設(shè)備只能與一一個(gè)網(wǎng)絡(luò)的主主機(jī)系統(tǒng)建立立非TCP/IP協(xié)議的數(shù)據(jù)連連接，即當(dāng)它它與外部網(wǎng)絡(luò)絡(luò)相連接時(shí)，，它與內(nèi)部網(wǎng)網(wǎng)絡(luò)的主機(jī)是是斷開(kāi)的，反反之亦然。任何形式的數(shù)數(shù)據(jù)包、信息息傳輸命令和和TCP/IP協(xié)議都不可能能穿透物理隔隔離設(shè)備。物物理隔離設(shè)備備在網(wǎng)絡(luò)的第第7層講數(shù)據(jù)據(jù)還原為原始始數(shù)據(jù)文件，，然后以“擺擺渡文件”形形式傳遞原始始數(shù)據(jù)。物理隔離實(shí)現(xiàn)現(xiàn)基本原理（（1）物理隔離實(shí)現(xiàn)現(xiàn)基本原理（（2）內(nèi)外網(wǎng)模塊連連接相應(yīng)網(wǎng)絡(luò)絡(luò)實(shí)現(xiàn)數(shù)據(jù)的的接收及預(yù)處處理等操作；；交換模塊采用用專用的高速速隔離電子開(kāi)開(kāi)關(guān)實(shí)現(xiàn)與內(nèi)內(nèi)外網(wǎng)模塊的的數(shù)據(jù)交換，，保證任意時(shí)時(shí)刻內(nèi)外網(wǎng)間間沒(méi)有鏈路層層連接；數(shù)據(jù)只能以專專用數(shù)據(jù)塊方方式靜態(tài)地在在內(nèi)外網(wǎng)間通通過(guò)網(wǎng)閘進(jìn)行行“擺渡”，，傳送到網(wǎng)閘閘另一側(cè)；集成多種安全全技術(shù)手段，，采用強(qiáng)制安安全策略，對(duì)對(duì)數(shù)據(jù)內(nèi)容進(jìn)進(jìn)行安全檢測(cè)測(cè)，保障數(shù)據(jù)據(jù)安全、可靠靠的交換。物理隔離技術(shù)術(shù)的應(yīng)用涉密網(wǎng)和非涉涉密網(wǎng)之間物理隔離技術(shù)術(shù)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：中斷直接連接接強(qiáng)大的檢查機(jī)機(jī)制最高的安全性性缺點(diǎn)：對(duì)協(xié)議不透明明，對(duì)每一種種協(xié)議都要一一種具體的實(shí)實(shí)現(xiàn)效率低交換機(jī)安全模模塊MAC綁定QOS設(shè)置多VLAN劃分日志其他…路由器安全功功能訪問(wèn)控制鏈表表基于源地址/目標(biāo)地址/協(xié)議端口號(hào)號(hào)路徑的完整性性防止IP假冒和拒絕服服務(wù)（Anti-spoofing/DDOS）檢查源地址：：ipverifyunicastreverse-path過(guò)濾RFC1918地址空間的所所有IP包；關(guān)閉源路由：：noipsource-route路由協(xié)議的過(guò)過(guò)濾與認(rèn)證Flood管理日志其他抗攻擊功功能VPN通過(guò)一個(gè)私有有的通道來(lái)創(chuàng)創(chuàng)建一個(gè)安全全的私有連接接，將遠(yuǎn)程用用戶、公司分分支機(jī)構(gòu)、公公司的業(yè)務(wù)伙伙伴等跟企業(yè)業(yè)網(wǎng)連接起來(lái)來(lái)，形成一個(gè)個(gè)擴(kuò)展的公司司企業(yè)網(wǎng)提供高性能、、低價(jià)位的因因特網(wǎng)接入VPN是企業(yè)網(wǎng)在公公共網(wǎng)絡(luò)上的的延伸VPN簡(jiǎn)介網(wǎng)上數(shù)據(jù)泄漏漏的風(fēng)險(xiǎn)Internet內(nèi)部網(wǎng)惡意修改通道道終點(diǎn)到：假假冒網(wǎng)關(guān)外部段（公共因特網(wǎng)網(wǎng)）ISP接入設(shè)備原始終點(diǎn)為：：安全網(wǎng)關(guān)數(shù)據(jù)在到達(dá)終終點(diǎn)之前要經(jīng)經(jīng)過(guò)許多路由由器，明文傳傳輸?shù)膱?bào)文很很容易在路由由器上被查看看和修改監(jiān)聽(tīng)者可以在在其中任一段段鏈路上監(jiān)聽(tīng)聽(tīng)數(shù)據(jù)逐段加密不能能防范在路由由器上查看報(bào)報(bào)文，因?yàn)槁仿酚善餍枰饨饷軋?bào)文選擇擇路由信息，，然后再重新新加密發(fā)送惡意的ISP可以修改通道道的終點(diǎn)到一一臺(tái)假冒的網(wǎng)網(wǎng)關(guān)遠(yuǎn)程訪問(wèn)搭線監(jiān)聽(tīng)攻擊者ISPISP竊聽(tīng)正確通道VPN功能數(shù)據(jù)機(jī)密性保保護(hù)數(shù)據(jù)完整性保保護(hù)數(shù)據(jù)源身份認(rèn)認(rèn)證重放攻擊保護(hù)護(hù)遠(yuǎn)程訪問(wèn)Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因因特網(wǎng)上的延延伸VPN的典型應(yīng)用現(xiàn)有的VPN解決方案基于IPSec的VPN解決方案基于第二層的的VPN解決方案非IPSec的網(wǎng)絡(luò)層VPN解決方案非IPSec的應(yīng)用層解決決方案基于IPSec的VPN解決方案在通信協(xié)議分分層中，網(wǎng)絡(luò)絡(luò)層是可能實(shí)實(shí)現(xiàn)端到端安安全通信的最最低層，它為為所有應(yīng)用層層數(shù)據(jù)提供透透明的安全保保護(hù)，用戶無(wú)無(wú)需修改應(yīng)用用層協(xié)議。該方案能解決決的問(wèn)題：數(shù)據(jù)源身份認(rèn)認(rèn)證：證實(shí)數(shù)數(shù)據(jù)報(bào)文是所所聲稱的發(fā)送送者發(fā)出的。。數(shù)據(jù)完整性：：證實(shí)數(shù)據(jù)報(bào)報(bào)文的內(nèi)容在在傳輸過(guò)程中中沒(méi)被修改過(guò)過(guò)，無(wú)論是被被故意改動(dòng)或或是由于發(fā)生生了隨機(jī)的傳傳輸錯(cuò)誤。數(shù)據(jù)保密：隱隱藏明文的消消息，通?？靠考用軄?lái)實(shí)現(xiàn)現(xiàn)。重放攻擊保護(hù)護(hù)：保證攻擊擊者不能截獲獲數(shù)據(jù)報(bào)文，，且稍后某個(gè)個(gè)時(shí)間再發(fā)放放數(shù)據(jù)報(bào)文，，而不會(huì)被檢檢測(cè)到。自動(dòng)的密鑰管管理和安全關(guān)關(guān)聯(lián)管理：保保證只需少量量或根本不需需要手工配置置，就可以在在擴(kuò)展的網(wǎng)絡(luò)絡(luò)上方便精確確地實(shí)現(xiàn)公司司的虛擬使用用網(wǎng)絡(luò)方針AH協(xié)議ESP協(xié)議ISAKMP/Oakley協(xié)議基于IPSec的VPN解決方方案需需要用用到如如下的的協(xié)議議：IPSec框架的的構(gòu)成成基于第第二層層的VPN解決方方案公司內(nèi)部網(wǎng)撥號(hào)連接因特網(wǎng)L2TP通道用于該該層的的協(xié)議議主要要有：：L2TP：：Lay2TunnelingProtocolPPTP：：Point-to-PointTunnelingProtocolL2F：Lay2ForwardingL2TP的缺陷陷：僅對(duì)通通道的的終端端實(shí)體體進(jìn)行行身份份認(rèn)證證，而而不認(rèn)認(rèn)證通通道中中流過(guò)過(guò)的每每一個(gè)個(gè)數(shù)據(jù)據(jù)報(bào)文文，無(wú)無(wú)法抵抵抗插插入攻攻擊、、地址址欺騙騙攻擊擊。沒(méi)有針針對(duì)每每個(gè)數(shù)數(shù)據(jù)報(bào)報(bào)文的的完整整性校校驗(yàn)，，就有有可能能進(jìn)行行拒絕絕服務(wù)務(wù)攻擊擊：發(fā)發(fā)送假假冒的的控制制信息息，導(dǎo)導(dǎo)致L2TP通道或或者底底層PPP連接的的關(guān)閉閉。雖然PPP報(bào)文的的數(shù)據(jù)據(jù)可以以加密密，但但PPP協(xié)議不不支持持密密密鑰的的自動(dòng)動(dòng)產(chǎn)生生和自自動(dòng)刷刷新，，因而而監(jiān)聽(tīng)聽(tīng)的攻攻擊者者就可可能最最終破破解密密鑰，，從而而得到到所傳傳輸?shù)牡臄?shù)據(jù)據(jù)。L2TP通道非IPSec的網(wǎng)絡(luò)絡(luò)層VPN解決方方案網(wǎng)絡(luò)地地址轉(zhuǎn)轉(zhuǎn)換由于AH協(xié)議需需要對(duì)對(duì)整個(gè)個(gè)數(shù)據(jù)據(jù)包做做認(rèn)證證，因因此使使用AH協(xié)議后后不能能使用用NAT包過(guò)濾濾由于使使用ESP協(xié)議將將對(duì)數(shù)數(shù)據(jù)包包的全全部或或部分分信息息加密密，因因此基基于報(bào)報(bào)頭或或者數(shù)數(shù)據(jù)區(qū)區(qū)內(nèi)容容進(jìn)行行控制制過(guò)濾濾的設(shè)設(shè)備將將不能能使用用服務(wù)質(zhì)質(zhì)量由于AH協(xié)議將將IP協(xié)議中中的TOS位當(dāng)作作可變變字段段來(lái)處處理，，因此此，可可以使使用TOS位來(lái)控控制服服務(wù)質(zhì)質(zhì)量非IPSec的應(yīng)用用層VPN解決方方案SOCKS位于OSI模型的的會(huì)話話層，，在SOCKS協(xié)議中中，客客戶程程序通通常先先連接接到防防火墻墻1080端口口，然然后由由Firewall建立立到到目目的的主主機(jī)機(jī)的的單單獨(dú)獨(dú)會(huì)會(huì)話話，，效效率率低低，，但但會(huì)會(huì)話話控控制制靈靈活活性性大大SSL屬于于高高層層安安全全機(jī)機(jī)制制，，廣廣泛泛用用于于WebBrowseandWebServer，，提供供對(duì)對(duì)等等的的身身份份認(rèn)認(rèn)證證和和應(yīng)應(yīng)用用數(shù)數(shù)據(jù)據(jù)的的加加密密。。在在SSL中，，身身份份認(rèn)認(rèn)證證是是基基于于證證書(shū)書(shū)的的，，屬屬于于端端到到端端協(xié)協(xié)議議，，不不需需要要中中間間設(shè)設(shè)備備如如：：路路由由器器、、防防火火墻墻的的支支持持S-HTTP提供供身身份份認(rèn)認(rèn)證證、、數(shù)數(shù)據(jù)據(jù)加加密密，，比比SSL靈活活，，但但應(yīng)應(yīng)用用很很少少，，因因SSL易于于管管理理S-MIME一個(gè)個(gè)特特殊殊的的類類似似于于SSL的協(xié)協(xié)議議，，屬屬于于應(yīng)應(yīng)用用層層安安全全體體系系，，但但應(yīng)應(yīng)用用僅僅限限于于保保護(hù)護(hù)電電子子郵郵件件系系統(tǒng)統(tǒng)，，通通過(guò)過(guò)加加密密和和數(shù)數(shù)字字簽簽名名來(lái)來(lái)保保障障郵郵件件的的安安全全，，這這些些安安全全都都是是基基于于公公鑰鑰技技術(shù)術(shù)的的，，雙雙方方身身份份靠靠X.509證書(shū)書(shū)來(lái)來(lái)標(biāo)標(biāo)識(shí)識(shí)，，不不需需要要FirewallandRouter的支支持持NetworkInterface(DataLink)IP(Internetwork)TCP/UDP(Transport)S——MIMEKerberosProxiesSETIPSec(ISAKMP)SOCKSSSL,TLSIPSec(AH,ESP)PacketFilteringTunnelingProtocolsCHAP,PAP,MS-CHAPTCP/IP協(xié)議議棧棧與與對(duì)對(duì)應(yīng)應(yīng)的的VPN協(xié)議議Application現(xiàn)有有的的VPN解決決方方案案－－－－小小結(jié)結(jié)網(wǎng)絡(luò)絡(luò)層層對(duì)對(duì)所所有有的的上上層層數(shù)數(shù)據(jù)據(jù)提提供供透透明明方方式式的的保保護(hù)護(hù)，，但但無(wú)無(wú)法法為為應(yīng)應(yīng)用用提提供供足足夠夠細(xì)細(xì)的的控控制制粒粒度度數(shù)據(jù)據(jù)到到了了目目的的主主機(jī)機(jī)，，基基于于網(wǎng)網(wǎng)絡(luò)絡(luò)層層的的安安全全技技術(shù)術(shù)就就無(wú)無(wú)法法繼繼續(xù)續(xù)提提供供保保護(hù)護(hù)，，因因此此在在目目的的主主機(jī)機(jī)的的高高層層協(xié)協(xié)議議棧棧中中很很容容易易受受到到攻攻擊擊應(yīng)用用層層的的安安全全技技術(shù)術(shù)可可以以保保護(hù)護(hù)堆堆棧棧高高層層的的數(shù)數(shù)據(jù)據(jù)，，但但在在傳傳遞遞過(guò)過(guò)程程中中，，無(wú)無(wú)法法抵抵抗抗常常用用的的網(wǎng)網(wǎng)絡(luò)絡(luò)層層攻攻擊擊手手段段，，如如源源地地址址、、目目的的地地址址欺欺騙騙應(yīng)用層安安全幾乎乎更加智智能，但但更復(fù)雜雜且效率率低因此可以以在具體體應(yīng)用中中采用多多種安全全技術(shù)，，取長(zhǎng)補(bǔ)補(bǔ)短防火墻的的主要功功能監(jiān)控并限限制訪問(wèn)問(wèn)針對(duì)黑客客攻擊的的不安全全因素，，防火墻墻采取控控制進(jìn)出出內(nèi)外網(wǎng)網(wǎng)的數(shù)據(jù)據(jù)包的方方法，實(shí)實(shí)時(shí)監(jiān)控控網(wǎng)絡(luò)上上數(shù)據(jù)包包的狀態(tài)態(tài)，并對(duì)對(duì)這些狀狀態(tài)加以以分析和和處理，，及時(shí)發(fā)發(fā)現(xiàn)存在在的異常常行為；；同時(shí)，，根據(jù)不不同情況況采取相相應(yīng)的防防范措施施，從而而提高系系統(tǒng)的抗抗攻擊能能力。控制協(xié)議議和服務(wù)務(wù)針對(duì)網(wǎng)絡(luò)絡(luò)先天缺缺陷的不不安全因因素，防防火墻采采取控制制協(xié)議和和服務(wù)的的方法，，使得只只有授權(quán)權(quán)的協(xié)議議和服務(wù)務(wù)才可以以通過(guò)防防火墻，，從而大大大降低低了因某某種服務(wù)務(wù)、協(xié)議議的漏洞洞而引起起災(zāi)難性性安全事事故的可可能性。。防火墻的的主要功功能（續(xù)續(xù)）保護(hù)網(wǎng)絡(luò)絡(luò)內(nèi)部針對(duì)軟件件及系統(tǒng)統(tǒng)的漏洞洞或“后后門”，，防火墻墻采用了了與受保保護(hù)網(wǎng)絡(luò)絡(luò)的操作作系統(tǒng)、、應(yīng)用軟軟件無(wú)關(guān)關(guān)的體系系結(jié)構(gòu)，，其自身身建立在在安全操操作系統(tǒng)統(tǒng)之上；；同時(shí)，，針對(duì)受受保護(hù)的的內(nèi)部網(wǎng)網(wǎng)絡(luò)，防防火墻能能夠及時(shí)時(shí)發(fā)現(xiàn)系系統(tǒng)中存存在的漏漏洞，進(jìn)進(jìn)行訪問(wèn)問(wèn)上的限限制；防防火墻還還可以屏屏蔽受保保護(hù)網(wǎng)絡(luò)絡(luò)的相關(guān)關(guān)信息，，使黑客客無(wú)從下下手。日志記錄錄與審計(jì)計(jì)當(dāng)防火墻墻系統(tǒng)被被配置為為所有內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)與外部部Internet連接均需需經(jīng)過(guò)的的安全節(jié)節(jié)點(diǎn)時(shí)，，防火墻墻系統(tǒng)就就能夠?qū)?duì)所有的的網(wǎng)絡(luò)請(qǐng)請(qǐng)求做出出日志記記錄。日日志是對(duì)對(duì)一些可可能的攻攻擊行為為進(jìn)行分分析和防防范的十十分重要要的情報(bào)報(bào)。另外外,防火火墻系統(tǒng)統(tǒng)也能夠夠?qū)φ３５木W(wǎng)絡(luò)絡(luò)使用情情況做出出統(tǒng)計(jì)。。這樣網(wǎng)網(wǎng)絡(luò)管理理員通過(guò)過(guò)對(duì)統(tǒng)計(jì)計(jì)結(jié)果進(jìn)進(jìn)行分析析，掌握握網(wǎng)絡(luò)的的運(yùn)行狀狀態(tài)，繼繼而更加加有效的的管理整整個(gè)網(wǎng)絡(luò)絡(luò)。防火墻的的優(yōu)點(diǎn)與與不足可屏蔽內(nèi)內(nèi)部服務(wù)務(wù)，避免免相關(guān)安安全缺陷陷被利用用2－7層層訪問(wèn)控控制（集集中在3-4層層）解決地址址不足問(wèn)問(wèn)題抗網(wǎng)絡(luò)層層、傳輸輸層一般般攻擊不足防外不防防內(nèi)對(duì)網(wǎng)絡(luò)性性能有影影響對(duì)應(yīng)用層層檢測(cè)能能力有限限入侵檢測(cè)測(cè)基本原理理：利用用sniffer方式獲取取網(wǎng)絡(luò)數(shù)數(shù)據(jù)，根根據(jù)已知知特征判判斷是否否存在網(wǎng)網(wǎng)絡(luò)攻擊擊優(yōu)點(diǎn)：能能及時(shí)獲獲知網(wǎng)絡(luò)絡(luò)安全狀狀況，借借助分析析發(fā)現(xiàn)安安全隱患患或攻擊擊信息，，便于及及時(shí)采取取措施。。不足：準(zhǔn)確性：：誤報(bào)率率和漏報(bào)報(bào)率有效性：：難以及及時(shí)阻斷斷危險(xiǎn)行行為網(wǎng)絡(luò)防病病毒基本功能能：串接接于網(wǎng)絡(luò)絡(luò)中，根根據(jù)網(wǎng)絡(luò)絡(luò)病毒的的特征在在網(wǎng)絡(luò)數(shù)數(shù)據(jù)中比比對(duì)，從從而發(fā)現(xiàn)現(xiàn)并阻斷斷病毒傳傳播優(yōu)點(diǎn)：能能有效阻阻斷已知知網(wǎng)絡(luò)病病毒的傳傳播不足：只能檢查查已經(jīng)局局部發(fā)作作的病毒毒對(duì)網(wǎng)絡(luò)有有一定影影響網(wǎng)絡(luò)掃描描器通過(guò)模擬擬網(wǎng)絡(luò)攻攻擊檢查查目標(biāo)主主機(jī)是否否存在已已知安全全漏洞優(yōu)點(diǎn)：有有利于及及早發(fā)現(xiàn)現(xiàn)問(wèn)題，，并從根根本上解解決安全全隱患不足：只能針對(duì)對(duì)已知安安全問(wèn)題題進(jìn)行掃掃描準(zhǔn)確性vs指導(dǎo)性訪問(wèn)控制制（1））廣義的訪訪問(wèn)控制制功能包包括鑒別別、授權(quán)權(quán)和記賬賬等鑒別（Authentication）：：辨別用戶戶是誰(shuí)的的過(guò)程。。授權(quán)（Authorization）對(duì)完成認(rèn)認(rèn)證過(guò)程程的用戶戶授予相相應(yīng)權(quán)限限，解決決用戶能能做什