學(xué)習(xí)情景2網(wǎng)絡(luò)通信安全構(gòu)建.ppt

新世紀(jì)高職高專電子商務(wù)類課程規(guī)劃教材 電子商務(wù)安全技術(shù)與應(yīng)用 主編梁永生 e 電子商務(wù)安全技術(shù)與應(yīng)用 學(xué)習(xí)情境1客戶端安全設(shè)置 新世紀(jì)高職高專電子商務(wù)類課程規(guī)劃教材 學(xué)習(xí)情境2網(wǎng)絡(luò)通信安全構(gòu)建 學(xué)習(xí)情境3信息傳輸安全構(gòu)建 學(xué)習(xí)情境4服務(wù)器安全設(shè)置 學(xué)習(xí)情境5電子支付安全實(shí)現(xiàn) 學(xué)習(xí)情境描述 子學(xué)習(xí)情境1防火墻技術(shù) 目錄 新世紀(jì)高職高專電子商務(wù)類課程規(guī)劃教材 學(xué)習(xí)情境2網(wǎng)絡(luò)通信安全構(gòu)建 子學(xué)習(xí)情境2入侵檢測(cè)技術(shù) 子學(xué)習(xí)情境3VPN技術(shù) 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 本部分重點(diǎn)闡述網(wǎng)絡(luò)通信安全原理和實(shí)踐技術(shù) 主要內(nèi)容包括 網(wǎng)絡(luò)設(shè)備安全 防火墻 網(wǎng)絡(luò)病毒等內(nèi)容 通過(guò)完成本子學(xué)習(xí)情境任務(wù) 學(xué)生可以了解網(wǎng)絡(luò)設(shè)備的安全技術(shù) 掌握防火墻技術(shù) 熟悉網(wǎng)絡(luò)病毒的防范技術(shù) 具備能夠?qū)嵤┗镜碾娮由虅?wù)交易過(guò)程中設(shè)備的安全技術(shù) 防火墻技術(shù)和網(wǎng)絡(luò)病毒的防范技術(shù)的能力 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 1網(wǎng)絡(luò)通信協(xié)議1984年 國(guó)際標(biāo)準(zhǔn)化組織 ISO 提出了開(kāi)放式系統(tǒng)互聯(lián)模式 OSI 作為一個(gè)概念性框架 它是不同制造商的設(shè)備和應(yīng)用軟件在網(wǎng)絡(luò)中進(jìn)行通信的標(biāo)準(zhǔn) 現(xiàn)在該模型已成為計(jì)算機(jī)間和網(wǎng)絡(luò)間進(jìn)行通信的主要結(jié)構(gòu)模型 目前使用的大多數(shù)網(wǎng)絡(luò)通信協(xié)議的結(jié)構(gòu)都是基于OSI模型的 OSI模型結(jié)構(gòu)如圖2 1所示 各層的具體描述見(jiàn)表2 2 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 1網(wǎng)絡(luò)通信協(xié)議 圖2 1OSI模型結(jié)構(gòu) 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 2網(wǎng)絡(luò)設(shè)備安全在網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用市場(chǎng)蓬勃發(fā)展的帶動(dòng)下 近年來(lái)網(wǎng)絡(luò)安全市場(chǎng)迎來(lái)了高速發(fā)展期 一方面隨著網(wǎng)絡(luò)的延伸 網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大 安全問(wèn)題變得日益復(fù)雜 建設(shè)可管 可控 可信的網(wǎng)絡(luò)也是進(jìn)一步推進(jìn)網(wǎng)絡(luò)應(yīng)用發(fā)展的前提 另一方面隨著網(wǎng)絡(luò)所承載的業(yè)務(wù)日益復(fù)雜 保證應(yīng)用層安全是網(wǎng)絡(luò)安全發(fā)展的新的方向 隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展 原來(lái)網(wǎng)絡(luò)威脅單點(diǎn)疊加式的防護(hù)手段已經(jīng)難以有效抵御日趨嚴(yán)重的混合型安全威脅 構(gòu)建一個(gè)局部安全 全局安全 智能安全的整體安全體系 為用戶提供多層次 全方位的立體防護(hù)體系成為信息安全建設(shè)的新理念 2 1 2網(wǎng)絡(luò)設(shè)備安全I(xiàn)P網(wǎng)絡(luò)的安全有兩個(gè)方面 一是主機(jī)的安全 二是網(wǎng)絡(luò)自身的安全 用戶主機(jī)所感知的安全威脅主要是針對(duì)特定系統(tǒng)的攻擊 計(jì)算機(jī)病毒 網(wǎng)絡(luò)設(shè)備主要面對(duì)的是基于TCP IP協(xié)議的攻擊 交換機(jī)安全交換機(jī)是一種基于MAC地址識(shí)別 能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備 一般用于LAN LAN的連接 交換機(jī)在電子商務(wù)中占有重要的地位 因此交換機(jī)在滿足其基本的數(shù)據(jù)轉(zhuǎn)發(fā)功能的前提下 有的還集成了安全認(rèn)證 訪問(wèn)控制安全列表 防火墻和入侵檢測(cè)功能 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 2網(wǎng)絡(luò)通信協(xié)議 1 病毒過(guò)濾技術(shù) 2 基于ACL的報(bào)文過(guò)濾技術(shù) 3 CPU過(guò)載保護(hù)技術(shù) 4 廣播風(fēng)暴控制功能 5 VLAN技術(shù) 6 基于802 1x的接入控制技術(shù) 7 交換機(jī)與入侵檢測(cè)系統(tǒng) IDS 的聯(lián)動(dòng) 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 2網(wǎng)絡(luò)通信協(xié)議2 路由器安全路由器 是一種連接多個(gè)網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備 將不同網(wǎng)絡(luò)之間的數(shù)據(jù)信息進(jìn)行 翻譯 一般用于WAN WAN的連接 路由器的基本功能如下 1 網(wǎng)絡(luò)互聯(lián) 路由器支持各種局域網(wǎng)和廣域網(wǎng)接口 主要用于互聯(lián)局域網(wǎng)和廣域網(wǎng) 實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的互相通信 2 數(shù)據(jù)處理 提供包括分組過(guò)濾 分組轉(zhuǎn)發(fā) 優(yōu)先級(jí) 復(fù)用 加密 壓縮和防火墻等功能 3 網(wǎng)絡(luò)管理 路由器提供包括路由器配置管理 性能管理 容錯(cuò)管理和流量控制等功能 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 2網(wǎng)絡(luò)通信協(xié)議2 路由器安全路由器從功能上可劃分為 數(shù)據(jù)層面 控制 信令層面和管理層面 1 數(shù)據(jù)層面 處理進(jìn)入設(shè)備的數(shù)據(jù)流 2 控制 信令層面 進(jìn)行路由信息的交換 3 管理層面 威脅來(lái)源于使用的協(xié)議 不嚴(yán)密的管理 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù)電子商務(wù)系統(tǒng)是基于Internet的 它方便了企業(yè)內(nèi)部之間以及企業(yè)與外部的信息交流 提高了工作效率 然而 一旦企業(yè)內(nèi)部網(wǎng)連入Internet 就意味著Internet上的每個(gè)用戶都有可能訪問(wèn)企業(yè)網(wǎng) 如果沒(méi)有一個(gè)安全性保護(hù)措施 黑客們可能會(huì)在毫無(wú)覺(jué)察的情況下進(jìn)入企業(yè)網(wǎng) 非法訪問(wèn)企業(yè)的資源 而防火墻就是保護(hù)企業(yè)內(nèi)部網(wǎng)中信息安全的一項(xiàng)重要措施 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù)1 防火墻的概念防火墻是在內(nèi)外網(wǎng)之間構(gòu)筑的一道屏障 它是設(shè)置在內(nèi)外網(wǎng)之間的隔離設(shè)備 用以保護(hù)內(nèi)網(wǎng)中的信息 資源等不受來(lái)自外網(wǎng)中非法用戶的侵犯 它控制內(nèi)外網(wǎng)之間的所有數(shù)據(jù)流量 控制和防止內(nèi)網(wǎng)中的有價(jià)值數(shù)據(jù)流人外網(wǎng) 也控制和防止來(lái)自外網(wǎng)的無(wú)用垃圾和有害數(shù)據(jù)流人入內(nèi)網(wǎng) 簡(jiǎn)單地說(shuō) 防火墻是一個(gè)全部進(jìn)出內(nèi)網(wǎng)的信息流量都必須經(jīng)過(guò)的限制點(diǎn) 并由用戶來(lái)控制通訊 良好的防火墻可以防止攻擊者人侵并保護(hù)內(nèi)部機(jī)密信息免于流出 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù)2 防火墻的構(gòu)成防火墻主要包括安全操作系統(tǒng) 過(guò)濾器 網(wǎng)關(guān) 域名服務(wù)和E mail處理5部分 如圖2 2所示 圖2 2防火墻結(jié)構(gòu) 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù)3 防火墻的作用 1 可以限制用戶進(jìn)入內(nèi)網(wǎng) 過(guò)濾掉不安全服務(wù)和非法用戶 2 防止入侵者接近用戶防御設(shè)施 3 限定用戶訪問(wèn)特殊站點(diǎn) 4 為監(jiān)視Internet安全提供方便 防火墻技術(shù) 防火墻的弱點(diǎn)不能防備病毒對(duì)不通過(guò)它的連接無(wú)能為力不能防備內(nèi)部人員的攻擊限制有用的網(wǎng)絡(luò)服務(wù)不能防備新的網(wǎng)絡(luò)安全問(wèn)題 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù) 防火墻技術(shù) 對(duì)不通過(guò)它的連接無(wú)能為力 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù) 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù)4 防火墻的種類 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù)5 防火墻技術(shù) 傳統(tǒng)意義上的防火墻技術(shù)分為三大類 包過(guò)濾 PacketFiltering 應(yīng)用代理 ApplicationProxy 和 狀態(tài)監(jiān)視 StateInspection 無(wú)論一個(gè)防火墻的實(shí)現(xiàn)過(guò)程多么復(fù)雜 歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進(jìn)行功能擴(kuò)展的 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 1 包過(guò)濾技術(shù) 包過(guò)濾是最早使用的一種防火墻技術(shù) 包過(guò)濾防火墻工作在網(wǎng)絡(luò)層 防火墻通過(guò)對(duì)信息頭的檢測(cè)就可以決定是否將數(shù)據(jù)包發(fā)往目的地 從而達(dá)到對(duì)進(jìn)入和流出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)測(cè)和限制目的 圖2 3包過(guò)濾防火墻系統(tǒng) 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 1 包過(guò)濾技術(shù) 包過(guò)濾是如何工作 包過(guò)濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞 它的依據(jù) 將包的目的地址 端口作為判據(jù)將包的源地址作 端口為判據(jù)將包的傳送協(xié)議作為判據(jù)包過(guò)濾系統(tǒng)只能讓我們進(jìn)行類似以下情況的操作 不讓任何用戶從外部網(wǎng)用Telnet登錄 允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件只允許某臺(tái)機(jī)器通過(guò)NNTP往外部網(wǎng)發(fā)新聞 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 1 包過(guò)濾技術(shù) 包過(guò)濾是如何工作 包過(guò)濾不能允許我們進(jìn)行如下的操作 允許某個(gè)用戶從外部網(wǎng)用Telnet登錄而不允許其他用戶進(jìn)行這種操作 允許用戶傳送一些文件而不允許用戶傳送其他文件 數(shù)據(jù)包過(guò)濾功能的實(shí)現(xiàn)依賴于包過(guò)濾規(guī)則 也叫訪問(wèn)控制列表 配置訪問(wèn)控制列表 配置包過(guò)濾防火墻策略 一個(gè)包過(guò)濾防火墻由一個(gè)臟端口 一個(gè)凈端口和一組訪問(wèn)控制列表規(guī)則組成 臟端口 連接Internet 來(lái)自Internet和流向Internet的數(shù)據(jù)都由此端口通過(guò) 凈端口 連接內(nèi)部網(wǎng)絡(luò) 訪問(wèn)控制列表通過(guò)控制在防火墻的接口上轉(zhuǎn)發(fā)還是阻斷數(shù)據(jù)包分組來(lái)過(guò)濾數(shù)據(jù)流 防火墻檢查每個(gè)數(shù)據(jù)分組 并根據(jù)訪問(wèn)控制列表規(guī)則對(duì)數(shù)據(jù)分組進(jìn)行操作 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 1 包過(guò)濾技術(shù) 包過(guò)濾是如何工作 訪問(wèn)控制列表的配置方法 默認(rèn)允許默認(rèn)拒絕 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 應(yīng)用代理技術(shù) 由于包過(guò)濾技術(shù)無(wú)法提供完善的數(shù)據(jù)保護(hù)措施 而且一些特殊的報(bào)文攻擊僅僅使用過(guò)濾的方法并不能消除其危害 如SYN攻擊 ICMP洪水等 因此人們需要一種更全面的防火墻保護(hù)技術(shù) 在這樣的需求背景下 采用 應(yīng)用代理 Applicationproxy 技術(shù)的防火墻誕生了 代理服務(wù)器作為一個(gè)為用戶保密或者突破訪問(wèn)限制的數(shù)據(jù)轉(zhuǎn)發(fā)通道 在網(wǎng)絡(luò)上應(yīng)用廣泛 應(yīng)用協(xié)議分析技術(shù)工作在應(yīng)用層上 圖2 3包過(guò)濾防火墻系統(tǒng) 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 3 狀態(tài)監(jiān)視技術(shù) 狀態(tài)監(jiān)視技術(shù)是繼 包過(guò)濾 技術(shù)和 應(yīng)用代理 技術(shù)后發(fā)展起來(lái)的防火墻技術(shù) 它是CheckPoint技術(shù)公司在基于 包過(guò)濾 原理的 動(dòng)態(tài)包過(guò)濾 技術(shù)發(fā)展而來(lái)的 與之類似的有其他廠商聯(lián)合發(fā)展的 深度包檢測(cè) DeepPacketInspection 技術(shù) 這種防火墻技術(shù)通過(guò)一種被稱為 狀態(tài)監(jiān)視 的模塊 在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行檢測(cè) 并根據(jù)各種過(guò)濾規(guī)則做出安全決策 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 常用防火墻產(chǎn)品 天網(wǎng)防火墻CiscoPIXMicrosoftISAChekPointFirewall 1 4Netscreen防火墻其他國(guó)產(chǎn)防火墻 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 4網(wǎng)絡(luò)病毒技術(shù) 計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù) 影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼 隨著網(wǎng)絡(luò)和Internet的發(fā)展 一個(gè)傳播范圍更廣 危害更大的新型病毒應(yīng)運(yùn)而生 這就是網(wǎng)絡(luò)病毒 即在網(wǎng)絡(luò)環(huán)境下流行的病毒 網(wǎng)絡(luò)病毒充分利用了網(wǎng)絡(luò)的缺陷來(lái)涉及和傳播 這就是網(wǎng)絡(luò)病毒的共性 網(wǎng)絡(luò)病毒是一種新型病毒 它的傳播媒介不再是移動(dòng)式載體 而是網(wǎng)絡(luò)通道 這種病毒的傳染能力更強(qiáng) 破壞力更大 同時(shí)通過(guò)電子郵件和網(wǎng)絡(luò)進(jìn)行病毒傳播的比例正逐步攀升 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 4網(wǎng)絡(luò)病毒技術(shù) 1 網(wǎng)絡(luò)病毒的傳播方式與特點(diǎn)網(wǎng)絡(luò)病毒一般會(huì)試圖通過(guò)以下四種不同的方式進(jìn)行傳播 郵件附件 E mail A B 文件共享 D Web服務(wù)器 C 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 4網(wǎng)絡(luò)病毒技術(shù) 2 網(wǎng)絡(luò)病毒的防范技術(shù) 1 基于工作站的防治技術(shù)工作站就像是計(jì)算機(jī)網(wǎng)絡(luò)的大門(mén) 只有把好這道大門(mén) 才能有效防止病毒的侵入 工作站防治病毒的方法有三種 一是軟件防治 即定期不定期地用反病毒軟件檢測(cè)工作站的病毒感染情況 二是在工作站上插防病毒卡 防病毒卡可以達(dá)到實(shí)時(shí)檢測(cè)的目的 但防病毒卡的升級(jí)不方便 從實(shí)際應(yīng)用的效果看 對(duì)工作站的運(yùn)行速度有一定的影響 三是在網(wǎng)絡(luò)接口卡上安裝防病病毒芯片 它將工作站存取控制與病毒防護(hù)合二為一 可以更加實(shí)時(shí)有效地保護(hù)工作站及通向服務(wù)器的橋梁 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 4網(wǎng)絡(luò)病毒技術(shù) 2 網(wǎng)絡(luò)病毒的防范技術(shù) 2 基于服務(wù)器的防治技術(shù)網(wǎng)絡(luò)服務(wù)器是計(jì)算機(jī)網(wǎng)絡(luò)的中心 是網(wǎng)絡(luò)的支柱 網(wǎng)絡(luò)癱瘓的 個(gè)重要標(biāo)志就是網(wǎng)絡(luò)服務(wù)器癱瘓 網(wǎng)絡(luò)服務(wù)器 旦被擊垮 造成的損失是災(zāi)難性的 難以挽回和無(wú)法估量的 目前基于服務(wù)器的防治病毒的方法大都采用防病毒可裝載模塊 NLM 以提供實(shí)時(shí)掃描病毒的能力 有時(shí)也結(jié)合利用在服務(wù)器上的插防毒卡等技術(shù) 目的在于保護(hù)服務(wù)器不受病毒的攻擊 從而切斷病毒進(jìn)一步傳播的途徑 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 4網(wǎng)絡(luò)病毒技術(shù) 3 反病毒技術(shù)反毒技術(shù)主要包括預(yù)防病毒 檢測(cè)病毒和消毒等三種技術(shù) 1 預(yù)防病毒技術(shù) 它通過(guò)自身常駐系統(tǒng)內(nèi)存優(yōu)先獲得系統(tǒng)的控制權(quán) 監(jiān)聽(tīng)和判斷系統(tǒng)中是否有病毒存在 進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)或?qū)ο到y(tǒng)進(jìn)行破壞 這類技術(shù)有加密可執(zhí)行程序 引導(dǎo)區(qū)保護(hù) 系統(tǒng)監(jiān)控與讀寫(xiě)控制 如防病毒卡 等 2 檢測(cè)病毒技術(shù) 它是通過(guò)對(duì)計(jì)算機(jī)病毒的特征來(lái)判斷是否存在病毒的技術(shù) 如自身校驗(yàn) 關(guān)鍵字 文件長(zhǎng)度的變化等 3 消毒技術(shù) 它通過(guò)對(duì)計(jì)算機(jī)病毒的分析 開(kāi)發(fā)出具有刪除病毒程序并回復(fù)原文件的軟件 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 防火墻只能對(duì)黑客的攻擊實(shí)施被動(dòng)防御 一旦黑客攻入系統(tǒng)內(nèi)部 則沒(méi)有切實(shí)的防護(hù)策略 入侵檢測(cè)是繼防火墻之后的又一道防線 通過(guò)完成本子學(xué)習(xí)情境任務(wù) 要求學(xué)生掌握入侵檢測(cè)系統(tǒng)的相關(guān)技術(shù) 具備實(shí)施構(gòu)建基于電子商務(wù)網(wǎng)站的入侵檢測(cè)系統(tǒng) 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 1入侵檢測(cè)系統(tǒng)及其功能 QQ 經(jīng)常發(fā)生密碼被盜的事情 系統(tǒng)密碼被盜 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 1入侵檢測(cè)系統(tǒng)及其功能 1 入侵檢測(cè)系統(tǒng)入侵檢測(cè)就是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的關(guān)鍵結(jié)點(diǎn)的信息收集分析 檢測(cè)其中是否有違反安全策略的事件發(fā)生或攻擊跡象 并通知網(wǎng)絡(luò)管理員 入侵檢測(cè) IntrusionDetection 技術(shù)是一種主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù) 作為防火墻的合理補(bǔ)充 入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊 擴(kuò)展了系統(tǒng)管理員的安全管理能力 包括安全審計(jì) 監(jiān)視 攻擊識(shí)別和響應(yīng) 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 1入侵檢測(cè)系統(tǒng)及其功能 1 入侵檢測(cè)系統(tǒng) 相關(guān)術(shù)語(yǔ)入侵 對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)及 或 未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作 入侵檢測(cè) 對(duì)企圖入侵 正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程 入侵檢測(cè)系統(tǒng) IntrusionDetectionSystem 對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的軟件 硬件系統(tǒng) 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 1入侵檢測(cè)系統(tǒng)及其功能 圖2 5入侵檢測(cè)系統(tǒng)模型 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 1入侵檢測(cè)系統(tǒng)及其功能 2 入侵檢測(cè)系統(tǒng)的功能 1 監(jiān)控網(wǎng)絡(luò)和系統(tǒng) 監(jiān)視用戶和系統(tǒng)的運(yùn)行狀態(tài) 查找非法用戶和合法用戶的越權(quán)操作 檢測(cè)系統(tǒng)配置的正確性和安全漏洞 并提示管理員修補(bǔ)漏洞 系統(tǒng)程序和數(shù)據(jù)的一致性與正確性檢查 2 發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象 對(duì)用戶的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析 發(fā)現(xiàn)入侵行為的規(guī)律 3 實(shí)時(shí)報(bào)警 識(shí)別攻擊的活動(dòng)模式 并向網(wǎng)管人員報(bào)警 4 主動(dòng)響應(yīng) 5 審計(jì)跟蹤 操作系統(tǒng)審計(jì)跟蹤管理 識(shí)別違反政策的用戶活動(dòng) 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 2入侵檢測(cè)系統(tǒng)的分類 入侵檢測(cè)系統(tǒng)根據(jù)數(shù)據(jù)包來(lái)源的不同 采用不用的實(shí)現(xiàn)方式 一般地可分為網(wǎng)絡(luò)型 主機(jī)型 也可是這兩種類型的混合應(yīng)用 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) NIDS 基于主機(jī)的入侵檢測(cè)系統(tǒng) HIDS 混合型入侵檢測(cè)系統(tǒng) HybridIDS 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 2入侵檢測(cè)系統(tǒng)的分類 1 網(wǎng)絡(luò)IDS 網(wǎng)絡(luò)IDS是網(wǎng)絡(luò)上的一個(gè)監(jiān)聽(tīng)設(shè)備 或一個(gè)專用主機(jī) 通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)上的所有報(bào)文 根據(jù)協(xié)議進(jìn)行分析 并報(bào)告網(wǎng)絡(luò)中的非法使用者信息 安裝在被保護(hù)的網(wǎng)段 通常是共享網(wǎng)絡(luò) 交換環(huán)境中交換機(jī)需支持端口映射 中 混雜模式監(jiān)聽(tīng) 分析網(wǎng)段中所有的數(shù)據(jù)包 實(shí)時(shí)檢測(cè)和響應(yīng) Internet NIDS 網(wǎng)絡(luò)服務(wù)器1 客戶端 網(wǎng)絡(luò)服務(wù)器2 檢測(cè)內(nèi)容 包頭信息 有效數(shù)據(jù)部分 在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)采集數(shù)據(jù)主機(jī)資源消耗少提供對(duì)網(wǎng)絡(luò)通用的保護(hù)如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù) 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 2入侵檢測(cè)系統(tǒng)的分類 2 主機(jī)IDS 運(yùn)行于被檢測(cè)的主機(jī)之上 通過(guò)查詢 監(jiān)聽(tīng)當(dāng)前系統(tǒng)的各種資源的使用運(yùn)行狀態(tài) 發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件 進(jìn)行上報(bào)和處理 安裝于被保護(hù)的主機(jī)中 主要分析主機(jī)內(nèi)部活動(dòng) 占用一定的系統(tǒng)資源 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 Internet 網(wǎng)絡(luò)服務(wù)器1 客戶端 網(wǎng)絡(luò)服務(wù)器2 檢測(cè)內(nèi)容 系統(tǒng)調(diào)用 端口調(diào)用 系統(tǒng)日志 安全審記 應(yīng)用日志 HIDS HIDS 監(jiān)視與分析主機(jī)的審計(jì)記錄可以不運(yùn)行在監(jiān)控主機(jī)上能否及時(shí)采集到審計(jì)記錄如何保護(hù)作為攻擊目標(biāo)主機(jī)審計(jì)子系統(tǒng) 兩類IDS比較 網(wǎng)絡(luò)IDS偵測(cè)速度快隱蔽性好視野更寬較少的監(jiān)測(cè)器占資源少 主機(jī)IDS視野集中易于用戶自定義保護(hù)更加周密對(duì)網(wǎng)絡(luò)流量不敏感 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 3入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn) 1 可以檢測(cè)和分析系統(tǒng)事件以及用戶的行為 2 可以測(cè)試系統(tǒng)設(shè)置的安全狀態(tài) 3 以系統(tǒng)的安全狀態(tài)為基礎(chǔ) 跟蹤任何對(duì)系統(tǒng)安全的修改行為 4 通過(guò)模式識(shí)別等技術(shù)從通信行為中檢測(cè)出已知的攻擊行為 5 可以對(duì)網(wǎng)絡(luò)通信行為進(jìn)行統(tǒng)計(jì) 并進(jìn)行檢測(cè)分析 6 管理操作系統(tǒng)認(rèn)證和日志機(jī)制并對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析處理 7 在檢測(cè)到攻擊的時(shí)候 通過(guò)適當(dāng)?shù)姆绞竭M(jìn)行適當(dāng)?shù)膱?bào)警處理 8 通過(guò)分析引擎的配置對(duì)網(wǎng)絡(luò)的安全事件進(jìn)行有效的處理 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 4IDS與Firewall 通過(guò)在防火墻中駐留的一個(gè)IDSAgent對(duì)象 以接收來(lái)自IDS的控制消息 然后再增加防火墻的過(guò)濾規(guī)則 最終實(shí)現(xiàn)聯(lián)動(dòng) 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 5藍(lán)盾入侵檢測(cè)典型應(yīng)用 入侵檢測(cè)技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 4入侵檢測(cè)技術(shù)的發(fā)展方向 1 分布式入侵檢測(cè) 2 智能化入侵檢測(cè) 3 全面的安全防御方案 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 虛擬專用網(wǎng) VPN 是企業(yè)內(nèi)部網(wǎng)在Internet上的延伸 通過(guò)一個(gè)專用通道來(lái)創(chuàng)建一個(gè)安全的專用連接 從而可將遠(yuǎn)程用戶 企業(yè)分支機(jī)構(gòu) 公司的業(yè)務(wù)合作伙伴等與公司的內(nèi)部網(wǎng)聯(lián)結(jié)起來(lái) 構(gòu)成一個(gè)擴(kuò)展的企業(yè)內(nèi)部網(wǎng) 通過(guò)完成本子學(xué)習(xí)情境任務(wù) 學(xué)生可以了解基于VPN技術(shù)的安全電子商務(wù)交易環(huán)境 具備基于特定軟件構(gòu)建虛擬專用網(wǎng)的能力 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 1VPN簡(jiǎn)介 虛擬專用網(wǎng)絡(luò) VPN 技術(shù)是一種在公用互聯(lián)網(wǎng)絡(luò)上構(gòu)造企業(yè)專用網(wǎng)絡(luò)的技術(shù) 通過(guò)VPN技術(shù) 可以實(shí)現(xiàn)企業(yè)不同網(wǎng)絡(luò)的組件和資源之間的相互連接 它能夠利用Internet或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道 并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障的 虛擬專用網(wǎng)絡(luò)允許遠(yuǎn)程通信方 銷售人員或企業(yè)分支機(jī)構(gòu)使用Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)計(jì) 以安全的方式與位于企業(yè)內(nèi)部網(wǎng)內(nèi)的服務(wù)器建立連接 虛擬 的概念是相對(duì)傳統(tǒng)私人專用網(wǎng)絡(luò)的構(gòu)建方式而言的 對(duì)于廣域網(wǎng)連接 傳統(tǒng)的組網(wǎng)方式是通過(guò)遠(yuǎn)程撥號(hào)和專線連接來(lái)實(shí)現(xiàn)的 而VPN是利用網(wǎng)絡(luò)服務(wù)提供商所提供的公共網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)遠(yuǎn)程的廣域網(wǎng)連接的 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 1VPN簡(jiǎn)介 圖2 6虛擬專用網(wǎng)結(jié)構(gòu) VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 1VPN簡(jiǎn)介 VPN建立結(jié)構(gòu)如圖2 7所示 圖2 7VPN建立結(jié)構(gòu) VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 2VPN的核心技術(shù) 隧道技術(shù) 1 隧道技術(shù)基礎(chǔ)現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)都是基于包交換 亦稱分組交換 的 不同類型的網(wǎng)絡(luò)支持不同的網(wǎng)絡(luò)通信協(xié)議 傳送不同格式的包 隧道技術(shù) 又稱封裝 是將一個(gè)網(wǎng)絡(luò)傳出的數(shù)據(jù)包加一個(gè)新的包頭 可能還要加一個(gè)新的包尾 這樣原先的數(shù)據(jù)包就成了新的數(shù)據(jù)包的負(fù)載 就可能在新的網(wǎng)絡(luò)中繼續(xù)通行了 在VPN中隧道技術(shù)用于運(yùn)載私用網(wǎng)絡(luò)中的數(shù)據(jù)包 使其通過(guò)并不直接支持私用網(wǎng)絡(luò)協(xié)議的公共互聯(lián)網(wǎng)絡(luò) VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 2VPN的核心技術(shù) 隧道技術(shù) 1 隧道技術(shù)基礎(chǔ)VPN中的隧道技術(shù)是一種通過(guò)使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在私用網(wǎng)絡(luò)之間或私用網(wǎng)絡(luò)與特定主機(jī)之間傳遞數(shù)據(jù)的方式 這里所說(shuō)的互聯(lián)網(wǎng)絡(luò)可以是任何類型的公共互聯(lián)網(wǎng)絡(luò) 也可以是一個(gè)連接了多個(gè)子網(wǎng)的規(guī)模較大的企業(yè)內(nèi)部網(wǎng)絡(luò) 當(dāng)然 通過(guò)不同互聯(lián)網(wǎng)絡(luò)的數(shù)據(jù)隧道會(huì)有不同的數(shù)據(jù)包格式和不同的處理方式 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 2VPN的核心技術(shù) 隧道技術(shù) 2 隧道技術(shù)的實(shí)現(xiàn) 1 用戶驗(yàn)證隧道技術(shù)首先要求對(duì)用戶進(jìn)行驗(yàn)證 不同的隧道協(xié)議及不同的VPN實(shí)現(xiàn)有不同驗(yàn)證方法 第2層隧道協(xié)議繼承了PPP協(xié)議的用戶驗(yàn)證方式 第三層隧道協(xié)議IPSec協(xié)議則由ISAKMP Interne安全連接和密鑰管理協(xié)議 協(xié)商提供隧道端點(diǎn)之間進(jìn)行的相互驗(yàn)證 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 2VPN的核心技術(shù) 隧道技術(shù) 2 隧道技術(shù)的實(shí)現(xiàn) 2 數(shù)據(jù)壓縮與加密隧道技術(shù)對(duì)要傳送的數(shù)據(jù)壓縮與加密第2層隧道協(xié)議支持基于PPP的數(shù)據(jù)壓縮和加密方式 IPSec通過(guò)ISAKMP Oakley協(xié)商確定數(shù)據(jù)壓縮和加密方法 保障隧道客戶端和服務(wù)器之間數(shù)據(jù)流的安全 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 2VPN的核心技術(shù) 隧道技術(shù) 2 隧道技術(shù)的實(shí)現(xiàn) 3 密鑰管理第2層協(xié)議驗(yàn)證用戶時(shí)生成的密鑰 并定期對(duì)其更新 IPSec在ISAKMP交換過(guò)程中公開(kāi)協(xié)商公用密鑰 同樣對(duì)其進(jìn)行定期更新 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 2VPN的核心技術(shù) 隧道技術(shù) 2 隧道技術(shù)的實(shí)現(xiàn) 4 數(shù)據(jù)傳輸完成了安全連接與密鑰管理等協(xié)商 就可以開(kāi)始在連接的對(duì)等雙方之間轉(zhuǎn)發(fā)數(shù)據(jù) 如果選擇使用數(shù)據(jù)壓縮和加密就會(huì)在傳送之前先進(jìn)行壓縮和加密 點(diǎn)對(duì)點(diǎn)隧道協(xié)議 PPTP 是一個(gè)第2層的協(xié)議 將PPP數(shù)據(jù)楨封裝在IP數(shù)據(jù)報(bào)內(nèi)通過(guò)IP網(wǎng)絡(luò) 如Internet傳送 PPTP使用一個(gè)TCP連接對(duì)隧道進(jìn)行維護(hù) 使用通用路由封裝 GRE 技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)楨通過(guò)隧道傳送 可以對(duì)封裝PPP幀中的負(fù)載數(shù)據(jù)進(jìn)行加密或壓縮 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 3VPDN 企業(yè)信息化的發(fā)展對(duì)遠(yuǎn)程互聯(lián)網(wǎng)絡(luò)提出了越來(lái)越高的要求 隨著企業(yè)業(yè)務(wù)范圍的不斷擴(kuò)大 他們擴(kuò)張的區(qū)域越來(lái)越大 需要聯(lián)系的客戶和合作伙伴越來(lái)越多 實(shí)施地域也越來(lái)越廣 因此企業(yè)迫切需要一種簡(jiǎn)單 快捷和節(jié)省的方式實(shí)現(xiàn)遠(yuǎn)程互聯(lián) 虛擬專用