第6章網(wǎng)絡(luò)信息安全

第6章網(wǎng)絡(luò)信息安全

本章內(nèi)容網(wǎng)絡(luò)信息安全概述密碼理論簡介計算機病毒防火墻與入侵檢測信息安全應(yīng)用大學(xué)IT（第六版）中國石油大學(xué)出版社6.1網(wǎng)絡(luò)信息安全概述6.1.1網(wǎng)絡(luò)信息安全的含義6.1.2網(wǎng)絡(luò)信息安全的結(jié)構(gòu)層次6.1.3網(wǎng)絡(luò)信息安全面臨的威脅6.1.4網(wǎng)絡(luò)信息安全對策大學(xué)IT（第六版）中國石油大學(xué)出版社6.1.1網(wǎng)絡(luò)信息安全的含義保密性保密性即防止信息泄露給非授權(quán)個人或?qū)嶓w，信息只為授權(quán)用戶使用的特性。完整性完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性，即網(wǎng)絡(luò)信息在存儲或傳輸過程中不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入和丟失的特性。真實性真實性是防止系統(tǒng)內(nèi)的信息感染病毒或遭受惡意攻擊，以確保信息的真實可靠。大學(xué)IT（第六版）中國石油大學(xué)出版社6.1.1網(wǎng)絡(luò)信息安全的含義可靠性可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定時間內(nèi)完成規(guī)定功能的特性。可靠性是系統(tǒng)安全的最基本要求之一，是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運行目標(biāo)?？捎眯赃@是網(wǎng)絡(luò)信息可被授權(quán)實體訪問并按需求使用的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時，允許授權(quán)用戶或?qū)嶓w使用的特性。可用性是網(wǎng)絡(luò)信息系統(tǒng)面向用戶的安全性能。不可抵賴性也稱作不可否認性。在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中，確信參與者的真實同一性，即所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。大學(xué)IT（第六版）中國石油大學(xué)出版社6.1.2網(wǎng)絡(luò)信息安全的結(jié)構(gòu)層次網(wǎng)絡(luò)信息安全的結(jié)構(gòu)層次主要包括：物理安全、安全控制和安全服務(wù)。物理安全在物理介質(zhì)層次上對存儲和傳輸?shù)木W(wǎng)絡(luò)信息的安全保護。目前，該層次上常見的不安全因素包括三大類：1）自然災(zāi)害、物理損壞、設(shè)備故障；2）電磁輻射、趁機而入、痕跡泄露；3）操作失誤。大學(xué)IT（第六版）中國石油大學(xué)出版社6.1.2網(wǎng)絡(luò)信息安全的結(jié)構(gòu)層次安全控制1）操作系統(tǒng)的安全控制。包括對用戶的合法身份進行核實，對文件的讀寫存取的控制。此類安全控制主要保護被存儲數(shù)據(jù)的安全。2）網(wǎng)絡(luò)接口模塊的安全控制。在網(wǎng)絡(luò)環(huán)境下對來自其他機器的網(wǎng)絡(luò)通信進程進行安全控制。此類控制主要包括身份認證、客戶權(quán)限設(shè)置與判別、審計日志等。3）網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制。對整個子網(wǎng)內(nèi)的所有主機的傳輸信息和運行狀態(tài)進行安全監(jiān)測和控制。此類控制主要通過網(wǎng)管軟件或?qū)W(wǎng)絡(luò)連接設(shè)備的配置實現(xiàn)。大學(xué)IT（第六版）中國石油大學(xué)出版社6.1.2網(wǎng)絡(luò)信息安全的結(jié)構(gòu)層次安全服務(wù)在應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性和信源的真實性進行保護和鑒別，以滿足用戶的安全需求。以保護網(wǎng)絡(luò)信息的保密性為目標(biāo)的數(shù)據(jù)加密和解密；以保證網(wǎng)絡(luò)信息來源的真實性和合法性為目標(biāo)的數(shù)字簽名和簽名驗證；以保護網(wǎng)絡(luò)信息的完整性，防止和檢測數(shù)據(jù)被修改、插入、刪除和改變的信息認證；會話密鑰的分配和生成、身份驗證等。大學(xué)IT（第六版）中國石油大學(xué)出版社6.1.2網(wǎng)絡(luò)信息安全的結(jié)構(gòu)層次總之，網(wǎng)絡(luò)信息安全是一個很復(fù)雜的問題，它與被保護對象密切相關(guān)。網(wǎng)絡(luò)信息安全的本質(zhì)是在安全時間內(nèi)保證數(shù)據(jù)在網(wǎng)絡(luò)上傳輸或存儲時不被非授權(quán)用戶訪問，但授權(quán)用戶卻可以訪問。大學(xué)IT（第六版）中國石油大學(xué)出版社6.1.3網(wǎng)絡(luò)信息安全面臨的威脅網(wǎng)絡(luò)信息安全面臨的威脅主要來自于人為或自然威脅、安全缺陷、軟件漏洞、病毒和黑客入侵等方面。1.人為或自然威脅人為威脅通過攻擊系統(tǒng)暴露的要害或弱點，使得網(wǎng)絡(luò)信息的保密性、完整性、可靠性、可控性和可用性等受到傷害，造成不可估量的損失。人為威脅又分為兩種：一種是以操作失誤為代表的無意威脅（偶然事故）；另一種是以計算機犯罪為代表的有意威脅（惡意攻擊）。自然威脅來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射、電磁干擾和設(shè)備自然老化等。這些事件，有時會直接威脅網(wǎng)絡(luò)信息安全，影響信息的存儲媒體。大學(xué)IT（第六版）中國石油大學(xué)出版社6.1.3網(wǎng)絡(luò)信息安全面臨的威脅2.安全缺陷網(wǎng)絡(luò)信息系統(tǒng)是計算機技術(shù)和通信技術(shù)的結(jié)合，計算機系統(tǒng)的安全缺陷和通信鏈路的安全缺陷構(gòu)成了網(wǎng)絡(luò)信息系統(tǒng)的潛在安全缺陷。網(wǎng)絡(luò)信息系統(tǒng)的安全缺陷通常包括物理網(wǎng)絡(luò)的安全缺陷、邏輯網(wǎng)絡(luò)的安全缺陷以及通信鏈路的安全缺陷三種。大學(xué)IT（第六版）中國石油大學(xué)出版社6.1.3網(wǎng)絡(luò)信息安全面臨的威脅3.軟件漏洞由于軟件程序的復(fù)雜性和編程的多樣性，在網(wǎng)絡(luò)信息系統(tǒng)的軟件中很容易有意或無意地留下一些不易被發(fā)現(xiàn)的安全漏洞。陷門操作系統(tǒng)的安全漏洞數(shù)據(jù)庫的安全漏洞TCP/IP協(xié)議的安全漏洞網(wǎng)絡(luò)軟件、網(wǎng)絡(luò)服務(wù)和口令設(shè)置等方面的漏洞大學(xué)IT（第六版）中國石油大學(xué)出版社6.1.3網(wǎng)絡(luò)信息安全面臨的威脅4.黑客和病毒黑客一詞源于英文Hacker，原指熱心于計算機技術(shù)、水平高超的電腦專家，尤其是程序設(shè)計人員。黑客一般利用黑客程序來侵入信息系統(tǒng)，或者利用信息系統(tǒng)的缺陷和漏洞來達到目的。許多軟件中的漏洞就是他們最先發(fā)現(xiàn)的。病毒是一種具有自我復(fù)制能力和破壞力的程序，它們經(jīng)常偽裝成無害的程序，侵入人們的系統(tǒng)，破壞資料和程序。大學(xué)IT（第六版）中國石油大學(xué)出版社6.1.4網(wǎng)絡(luò)信息安全對策安全問題遵循“木桶短板”原則，即系統(tǒng)的安全性取決于系統(tǒng)的最薄弱環(huán)節(jié)，任何單一層次上的安全措施都不可能提供真正的安全。網(wǎng)絡(luò)信息安全是一個涉及面很廣的問題，要想達到安全的目的，必須同時從技術(shù)、法規(guī)政策和管理這三個方面入手。

在安全技術(shù)方面：積極采用已有的安全技術(shù)，如防火墻技術(shù)、加密技術(shù)入侵檢測技術(shù)等。由于新的威脅不斷出現(xiàn)，必須加強對網(wǎng)絡(luò)信息安全技術(shù)手段的研究與開發(fā)，以適應(yīng)新的安全需求。大學(xué)IT（第六版）中國石油大學(xué)出版社6.1.4網(wǎng)絡(luò)信息安全對策在法規(guī)政策方面：努力提高公眾的網(wǎng)絡(luò)信息安全意識，使大家認識到網(wǎng)絡(luò)信息安全的重要性；加快我國網(wǎng)絡(luò)安全立法的步伐，制定網(wǎng)絡(luò)安全的相關(guān)法律；推進互聯(lián)網(wǎng)行業(yè)自律，凈化網(wǎng)絡(luò)環(huán)境，杜絕有害信息的制作、發(fā)布、復(fù)制和傳播。

大學(xué)IT（第六版）中國石油大學(xué)出版社6.1.4網(wǎng)絡(luò)信息安全對策在管理上：建立起具有權(quán)威性的信息安全管理機構(gòu)，制定網(wǎng)絡(luò)信息安全政策，對網(wǎng)絡(luò)信息安全管理進行統(tǒng)籌規(guī)劃，對面臨的重大網(wǎng)絡(luò)信息安全事件做出快速反應(yīng)與決策；制定健全的安全管理制度；加大對員工的教育培訓(xùn)，提高其技術(shù)能力和職業(yè)素質(zhì)，應(yīng)對隨時可能出現(xiàn)的信息安全問題，盡量杜絕非技術(shù)事故的發(fā)生。大學(xué)IT（第六版）中國石油大學(xué)出版社6.2密碼理論簡介為了保證通信網(wǎng)絡(luò)能正常、安全地運行，要求系統(tǒng)能夠?qū)π畔嵤┯行ПＷo，對合法用戶進行認證并能準確地鑒別出非法用戶，這些都需要借助于密碼學(xué)的力量。密碼學(xué)就是研究密碼技術(shù)的學(xué)科，它包含兩個分支，即密碼編碼學(xué)和密碼分析學(xué)。前者旨在對信息進行編碼實現(xiàn)信息隱蔽，后者旨在研究分析破譯密碼，兩者相互對立而又相互促進。大學(xué)IT（第六版）中國石油大學(xué)出版社6.2密碼理論簡介6.2.1基本概念6.2.2網(wǎng)絡(luò)通信中的加密方式6.2.3著名密碼算法舉例大學(xué)IT（第六版）中國石油大學(xué)出版社6.2.1基本概念密碼技術(shù)通過信息的變換或編碼，將機密、敏感的消息變換成他人難以讀懂的亂碼型文字，以此達到兩個目的：使他人不能從其截獲的亂碼中得到任何有意義的信息使他人不能偽造任何亂碼型的信息基本概念被隱蔽的消息稱作明文，通常以m表示；密碼可將明文變換成另一種隱蔽形式，稱為密文，通常以c表示；由明文到密文的變換稱為加密；由合法接收者從密文恢復(fù)出明文的過程稱為解密（或脫密）；非法接收者試圖從密文分析出明文的過程稱為破譯；大學(xué)IT（第六版）中國石油大學(xué)出版社6.2.1基本概念基本概念（續(xù)）對明文進行加密時采用的一組規(guī)則稱為加密算法，通常用E表示；對密文解密時采用的一組規(guī)則稱為解密算法，通常用D表示；加密算法和解密算法是在一組僅有合法用戶知道的秘密信息的控制下進行的，該秘密信息稱為密鑰；加密和解密過程中使用的密鑰分別稱為加密密鑰（通常以k1表示）和解密密鑰（通常以k2表示）。大學(xué)IT（第六版）中國石油大學(xué)出版社6.2.1基本概念以密鑰為標(biāo)準，可將密碼系統(tǒng)分為單鑰密碼系統(tǒng)（又稱為對稱密碼或私鑰密碼）和雙鑰密碼系統(tǒng)（又稱為非對稱密碼或公鑰密碼）。在單鑰體制下，加密密鑰與解密密鑰相同（即k1=k2=k），或從加密密鑰可以很容易地推導(dǎo)出解密密鑰，此時密鑰k需經(jīng)過安全的密鑰信道由發(fā)方傳給收方。

單鑰密碼的特點是無論加密還是解密都使用同一個密鑰。最有影響的單鑰密碼是1977年美國國家標(biāo)準局頒布的DES算法。大學(xué)IT（第六版）中國石油大學(xué)出版社6.2.1基本概念單鑰密碼的優(yōu)點安全性高加、解密速度快。單鑰密碼的缺點隨著網(wǎng)絡(luò)規(guī)模的擴大，密鑰的管理成為一個難點無法解決消息確認問題缺乏自動檢測密鑰泄露的能力大學(xué)IT（第六版）中國石油大學(xué)出版社6.2.1基本概念雙鑰體制下加密密鑰與解密密鑰不同，不需要安全信道來傳送密鑰。雙鑰密碼是1976年W.Diffie和M.E.Hellman提出的一種新型密碼體制。雙鑰密碼體制的加密和解密不同，所以不存在密鑰管理問題。雙鑰密碼還有一個優(yōu)點是可以擁有數(shù)字簽名等新功能。最有名的雙鑰密碼是1977年由Rivest、Shamir和Adleman三人提出的RSA密碼體制。雙鑰密碼的缺點：算法一般比較復(fù)雜，加、解密速度慢。大學(xué)IT（第六版）中國石油大學(xué)出版社6.2.1基本概念如果以密碼算法對明文的處理方式為標(biāo)準，則可將密碼系統(tǒng)分為分組密碼和序列密碼。分組密碼的加密方式是首先將明文序列以固定長度進行分組，每一組明文分別用相同的密鑰和加密函數(shù)進行加密。序列密碼的加密過程是把明文序列與等長的密鑰序列進行運算加密。解密過程則是把密文序列與等長的密鑰序列進行運算解密。序列密碼的安全性主要依賴于密鑰序列。大學(xué)IT（第六版）中國石油大學(xué)出版社6.2.2網(wǎng)絡(luò)通信中的加密方式基于密碼算法的數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)上所有通信安全所依賴的基本技術(shù)。目前網(wǎng)絡(luò)通信加密主要有三種方式：1.鏈路加密方式優(yōu)點在于不受加、解密對系統(tǒng)要求的變化等影響。2.節(jié)點對節(jié)點加密方式缺點：需要目前的公共網(wǎng)絡(luò)提供者配合，修改他們的交換節(jié)點，增加安全單元或保護裝置。3.端對端加密方式端對端加密方式則是對整個網(wǎng)絡(luò)系統(tǒng)采取保護措施。因此，端對端加密方式是將來的發(fā)展趨勢。大學(xué)IT（第六版）中國石油大學(xué)出版社6.2.2網(wǎng)絡(luò)通信中的加密方式數(shù)據(jù)加密實現(xiàn)方法主要有兩種：軟件加密和硬件加密。軟件加密一般是用戶在發(fā)送信息前，先調(diào)用信息安全模塊對信息進行加密，然后發(fā)送，到達接收方后，由用戶用解密軟件進行解密，還原成明文。硬件加密可以采用標(biāo)準的網(wǎng)絡(luò)管理協(xié)議進行管理，也可以采用統(tǒng)一的自定義網(wǎng)絡(luò)管理協(xié)議進行管理，因此密鑰的管理比較方便，而且可以對加密設(shè)備進行物理加固，使得攻擊者無法對其進行直接攻擊。大學(xué)IT（第六版）中國石油大學(xué)出版社6.2.3著名密碼算法舉例1.數(shù)據(jù)加密標(biāo)準（DES）1975年，美國國家標(biāo)準局接受了國際商業(yè)機器公司（IBM）推薦的一種密碼算法。2.IDEA密碼算法IDEA是近年來提出的各種分組密碼中一個很成功的方案，已在PGP加密軟件中應(yīng)用。3.Rijndael算法Rijndael算法已被廣泛應(yīng)用于身份認證、數(shù)字簽名、節(jié)點加密及各種網(wǎng)絡(luò)加密。4.RSA算法是迄今為止理論上最為成熟完善的一種公鑰密碼體制。它的安全性是基于大數(shù)的分解困難，而算法的構(gòu)造是基于數(shù)學(xué)上的Euler定理。RSA中的加、解密變換是可交換的互逆變換，所以RSA還可用來做數(shù)字簽名。大學(xué)IT（第六版）中國石油大學(xué)出版社6.3計算機病毒6.3.1病毒的原理、特點與傳播途徑6.3.2病毒的類型6.3.3病毒的預(yù)防6.3.4病毒的清除大學(xué)IT（第六版）中國石油大學(xué)出版社6.3.1病毒的原理、特點與傳播途徑病毒是一種特殊的計算機程序，會進行一些惡意的破壞活動，使用戶的網(wǎng)絡(luò)或信息系統(tǒng)遭受浩劫。病毒是一種基于硬件和操作系統(tǒng)的程序，任何一種病毒都是針對某種處理器和操作系統(tǒng)編寫的。計算機病毒特點破壞性傳染性隱藏性可激活性針對性。病毒的主要傳播途徑：網(wǎng)絡(luò)、U盤、硬盤和光盤。大學(xué)IT（第六版）中國石油大學(xué)出版社6.3.2病毒的類型1.系統(tǒng)引導(dǎo)型病毒

指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計算機病毒。2.文件型病毒文件型病毒的宿主不是引導(dǎo)區(qū)而是一些可執(zhí)行程序。文件型病毒分為三類：覆蓋型、前/后附加型和伴隨型。3.宏病毒W(wǎng)indowsWord宏病毒是利用Word提供的宏功能，將病毒程序插入到帶有宏的.doc文件或.dot文件中。大學(xué)IT（第六版）中國石油大學(xué)出版社6.3.2病毒的類型4.混合型病毒混合型病毒指同時具有多種類型病毒特征的計算機病毒，它的破壞性更大，傳染的機會也更多，滅殺也更困難。5.網(wǎng)絡(luò)蠕蟲病毒蠕蟲病毒是一種通過網(wǎng)絡(luò)傳播的惡性病毒，具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），使服務(wù)器拒絕服務(wù)合法用戶以及和黑客技術(shù)相結(jié)合等。6.木馬病毒是一種偽裝潛伏的網(wǎng)絡(luò)病毒，它通過一段特定的程序（木馬程序）來控制遠程計算機。大學(xué)IT（第六版）中國石油大學(xué)出版社6.3.3病毒的預(yù)防通過技術(shù)和管理兩個方面的努力，病毒是完全可以防范的。“預(yù)防為主、治療為輔”這一方針也完全適合于計算機病毒的處理。預(yù)防計算機感染病毒，要注意以下幾個方面：養(yǎng)成良好的安全習(xí)慣，不打開來路不明的郵件和附件，不登錄一些不太了解的網(wǎng)站，不安裝和使用非正版軟件關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)工具經(jīng)常升級操作系統(tǒng)的安全補丁迅速隔離被病毒感染的計算機安裝正版的計算機防病毒軟件和防火墻軟件大學(xué)IT（第六版）中國石油大學(xué)出版社6.3.4病毒的清除無論多么嚴密的病毒防范措施，都無法絕對阻止計算機病毒入侵。清除病毒的原則計算機病毒的清除工作最好在無毒的環(huán)境中進行，以確保清除病毒的有效性。為此，要求在清除病毒前用無毒的計算機系統(tǒng)引導(dǎo)盤啟動系統(tǒng)或清除內(nèi)存的計算機病制作無毒的系統(tǒng)盤，以備使用。在清除病毒前，一定要確認系統(tǒng)或文件確實被感染病毒并準確判斷病毒的類型，以保證清毒有效，否則，可能會破壞原有的系統(tǒng)文件。盡可能地找出病毒的宿主程序，搞清病毒傳染的是引導(dǎo)區(qū)還是文件，或者是兩者都被傳染，以便找到清除病毒的最佳方法。大學(xué)IT（第六版）中國石油大學(xué)出版社6.3.4病毒的清除清除病毒的原則檢測病毒時注意不要激活病毒，因為在激活病毒的同時，計算機系統(tǒng)可能已經(jīng)被破壞。清除工作要深入而全面，為保證清除工作的徹底性，要對檢測到的病毒進行認真分析研究，尤其對自身加密的病毒引起重視，把修改過的文件轉(zhuǎn)換過來，否則清除病毒后的文件無法使用。不能用病毒標(biāo)識免疫方法清除病毒。對于那些既感染文件又感染引導(dǎo)區(qū)的病毒，在清除文件病毒之后，還應(yīng)該清除引導(dǎo)區(qū)中的病毒代碼，以防止這些代碼重新生成計算機病毒。在對文件的病毒清除之后，必須檢查系統(tǒng)中其他同類文件是否也感染了此病毒，避免清除病毒后系統(tǒng)再次運行時又出現(xiàn)病毒。大學(xué)IT（第六版）中國石油大學(xué)出版社6.3.4病毒的清除國內(nèi)外的殺毒軟件360殺毒軟件瑞星殺毒軟件江民殺毒軟件KV金山毒霸NortonAntiVirus大學(xué)IT（第六版）中國石油大學(xué)出版社6.4防火墻與入侵檢測6.4.1防火墻概念6.4.2防火墻體系結(jié)構(gòu)6.4.3入侵檢測的概念6.4.4入侵檢測系統(tǒng)的工作原理和分類大學(xué)IT（第六版）中國石油大學(xué)出版社6.4.1防火墻概念防火墻是指一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障，它能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻用于加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取。防火墻系統(tǒng)可以決定哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部特定的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個防火墻有效，所有來自和去往因特網(wǎng)的信息都必須經(jīng)過防火墻，接受防火墻的檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠防止被滲透。防火墻系統(tǒng)一旦被攻擊者突破，就不能提供任何保護了。大學(xué)IT（第六版）中國石油大學(xué)出版社6.4.1防火墻概念從總體上看，防火墻應(yīng)具有以下五大基本功能：過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包；管理進出網(wǎng)絡(luò)的訪問行為；封堵禁止的訪問行為；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊進行檢測和警告。大學(xué)IT（第六版）中國石油大學(xué)出版社6.4.1防火墻概念防火墻是一種綜合性的技術(shù)，涉及計算機網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、安全協(xié)議、網(wǎng)絡(luò)標(biāo)準化組織的安全規(guī)范以及操作系統(tǒng)等多方面內(nèi)容。防火墻最基本的構(gòu)件既不是軟件也不是硬件，而是構(gòu)造防火墻的思想。最初的防火墻只是一種概念而不是一種產(chǎn)品，是構(gòu)造者腦海中的一種想法，即“誰”和“什么”能被允許訪問本網(wǎng)絡(luò)。大學(xué)IT（第六版）中國石油大學(xué)出版社6.4.2防火墻體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)有很多種，當(dāng)前最流行的有三種：雙宿網(wǎng)關(guān)、屏蔽主機和屏蔽子網(wǎng)。1.雙宿網(wǎng)關(guān)防火墻雙宿網(wǎng)關(guān)防火墻又稱為雙重宿主主機防火墻。雙宿網(wǎng)關(guān)是一種擁有兩個分別連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。雙重宿主主機是唯一隔開內(nèi)部網(wǎng)和外部因特網(wǎng)之間的屏障，如果入侵者得到了雙重宿主主機的訪問權(quán)，內(nèi)部網(wǎng)絡(luò)就會被入侵。所以，為了保證內(nèi)部網(wǎng)的安全，雙重宿主主機應(yīng)具有強大的身份認證系統(tǒng)，才可以阻擋來自外部不可信網(wǎng)絡(luò)的非法入侵。大學(xué)IT（第六版）中國石油大學(xué)出版社6.4.2防火墻體系結(jié)構(gòu)雙宿網(wǎng)關(guān)防火墻圖示

大學(xué)IT（第六版）中國石油大學(xué)出版社6.4.2防火墻體系結(jié)構(gòu)2.屏蔽主機防火墻在該體系結(jié)構(gòu)中，所有的外部主機與一個堡壘主機（一種被強化的可以防御進攻的計算機）相連接，而不讓它們直接與內(nèi)部主機相連。屏蔽主機防火墻由包過濾路由器和堡壘主機組成。堡壘主機配置在內(nèi)部網(wǎng)絡(luò)上，而包過濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和因特網(wǎng)之間。在路由器上進行規(guī)則配置，使得外部系統(tǒng)只能訪問堡壘主機，去往內(nèi)部系統(tǒng)上其他主機的通信則全部被禁止，如圖6-3所示。在該體系中，過濾路由器是否正確配置是防火墻安全與否的關(guān)鍵。過濾路由器的路由表應(yīng)當(dāng)受到嚴格的保護，否則，如果路由表遭到破壞，則數(shù)據(jù)包就不會被路由到堡壘主機上，從而使外部訪問能夠越過堡壘主機進入內(nèi)網(wǎng)。大學(xué)IT（第六版）中國石油大學(xué)出版社6.4.2防火墻體系結(jié)構(gòu)圖6-3屏蔽主機防火墻圖示大學(xué)IT（第六版）中國石油大學(xué)出版社6.4.2防火墻體系結(jié)構(gòu)3.屏蔽子網(wǎng)防火墻內(nèi)部路由器（又稱阻塞路由器）位于內(nèi)部網(wǎng)和“非軍事區(qū)”之間，用于保護內(nèi)部網(wǎng)不受“非軍事區(qū)”和因特網(wǎng)的侵害，它執(zhí)行了大部分的過濾工作。外部路由器位于“非軍事區(qū)”和外部網(wǎng)絡(luò)之間。對于進來的信息，外部路由器用于防范通常的外部攻擊（如源地址欺騙和源路由攻擊），并管理因特網(wǎng)到“非軍事區(qū)”網(wǎng)絡(luò)的訪問。外部系統(tǒng)只允許訪問堡壘主機（還可能有信息服務(wù)器），內(nèi)部路由器提供第二層防御，只接受源于堡壘主機的數(shù)據(jù)包，負責(zé)管理“非軍事區(qū)”到內(nèi)部網(wǎng)絡(luò)的訪問。對于去往因特網(wǎng)的數(shù)據(jù)包，內(nèi)部路由器管理內(nèi)部網(wǎng)絡(luò)到“非軍事區(qū)”網(wǎng)絡(luò)的訪問，內(nèi)部系統(tǒng)只允許訪問堡壘主機（還可能有信息服務(wù)器）。外部路由器只接受來自堡壘主機并去往因特網(wǎng)的數(shù)據(jù)包。大學(xué)IT（第六版）中國石油大學(xué)出版社6.4.2防火墻體系結(jié)構(gòu)3.屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)防火墻系統(tǒng)采用兩個包過濾路由器和一個堡壘主機。這種防火墻系統(tǒng)比較安全，它設(shè)計了一個“非軍事區(qū)”網(wǎng)絡(luò)?！胺擒娛聟^(qū)”網(wǎng)絡(luò)是一個被隔離的獨立子網(wǎng)，充當(dāng)了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的緩沖區(qū)。大學(xué)IT（第六版）中國石油大學(xué)出版社6.4.3入侵檢測的概念入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem）是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未經(jīng)授權(quán)的訪問和其他異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測從計算機網(wǎng)絡(luò)中的若干關(guān)鍵點收集并分析信息，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和網(wǎng)絡(luò)遭到攻擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。大學(xué)IT（第六版）中國石油大學(xué)出版社6.4.4入侵檢測的工作原理和分類1.工作原理入侵檢測系統(tǒng)的工作流程分為三個步驟，即信息收集、數(shù)據(jù)分析、響應(yīng)，其中數(shù)據(jù)分析是核心。1）信息收集信息收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為，而且，需要在計算機網(wǎng)絡(luò)中的若干關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息。這既為了盡可能擴大檢測范圍，同時也是因為從一個來源獲得的信息有可能看不出疑點，但來自幾個來源的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識。IDS利用的信息一般來自系統(tǒng)日志、目錄以及文件中的異常改變、程序執(zhí)行中的異常行為及物理形式的入侵信息等四個方面。大學(xué)IT（第六版）中國石油大學(xué)出版社6.4.4入侵檢測的工作原理和分類2）數(shù)據(jù)分析對上述涉及的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進行分析：模式匹配、統(tǒng)計分析和完整性分析。3）響應(yīng)攻擊追蹤：追查攻擊者的真實來源；躲避攻擊：重新配置輔助系統(tǒng)（如直接修改防火墻或路由器的過濾表）或切斷任何嘗試性連接；自愈：根據(jù)新發(fā)現(xiàn)的安全隱患和漏洞及相應(yīng)攻擊模式庫，自動修正系統(tǒng)配置和安全縫隙；快速恢復(fù)：實現(xiàn)受害部位的定位和隔離，以及系統(tǒng)功能的重組和恢復(fù)。大學(xué)IT（第六版）中國石油大學(xué)出版社6.4.4入侵檢測的工作原理和分類2.分類根據(jù)不同的標(biāo)準，入侵檢測系統(tǒng)有不同的分類方法，若以檢測對象為標(biāo)準，主要分為三類：基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和混合入侵檢測系統(tǒng)。主機型入侵檢測系統(tǒng)通常安裝在被重點保護的主機之上，主要是對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進行智能分析和判斷。網(wǎng)絡(luò)型入侵檢測系統(tǒng)一般放在比較重要的網(wǎng)段內(nèi)，不間斷地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，并對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析?；旌先肭謾z測系統(tǒng)是上述兩類入侵檢測技術(shù)的無縫結(jié)合?；旌先肭謾z測系統(tǒng)是綜合了基于網(wǎng)絡(luò)和基于主機兩種結(jié)構(gòu)優(yōu)點的入侵檢測系統(tǒng)，它既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。大學(xué)IT（第六版）中國石油大學(xué)出版