畢業(yè)設(shè)計（論文）計算機(jī)網(wǎng)絡(luò)安全

1、計算機(jī)網(wǎng)絡(luò)安全摘 要21世紀(jì)，計算機(jī)網(wǎng)絡(luò)的飛速發(fā)展已經(jīng)大大地改變我們的生活方式，人類進(jìn)入了信息時代。通過計算機(jī)網(wǎng)絡(luò)，我們可以很方便地存儲、交換以及搜索信息，給人的工作、生活以及娛樂帶來了極大的方便。然而，由于很多原因，計算機(jī)網(wǎng)絡(luò)也暴露出很多安全問題。這些安全問題對計算機(jī)網(wǎng)絡(luò)的使用造成不小的影響，這些影響體現(xiàn)在個人生活、商務(wù)往來、經(jīng)濟(jì)活動，基于政治和軍事方面。計算機(jī)網(wǎng)絡(luò)的安全就是為了克服這些安全問題，使計算機(jī)網(wǎng)絡(luò)的使用更有保障而誕生和發(fā)展起來的。由于其重要性，計算機(jī)網(wǎng)絡(luò)安全已經(jīng)受到人們的極大關(guān)注，網(wǎng)絡(luò)安全正在成為一個發(fā)展非常迅速的領(lǐng)域。在很短的時間內(nèi)，各種網(wǎng)絡(luò)安全技術(shù)紛紛問世并在不斷地發(fā)展。本論

2、文主要目標(biāo)就是把目前有關(guān)計算機(jī)網(wǎng)絡(luò)安全的技術(shù)放在一個結(jié)構(gòu)化比較清楚的框架中，使我們可以更快、更深刻的掌握計算機(jī)網(wǎng)絡(luò)安全的知識。本論文的第一章是緒論。這部分內(nèi)包括：網(wǎng)絡(luò)信息安全的重要性以及安全的定義。本論文的第二章是計算網(wǎng)絡(luò)面臨的威脅。從四個方面說起：（1）人為的無意失誤；（2）人為的惡意攻擊；（3）網(wǎng)絡(luò)軟件的漏洞和“后門”；（4）天災(zāi)人禍。本論文的第三章是信息加密策略。主要內(nèi)容：（1）加密的由來；（2）加密的概念；（3）加密的理由；（4）三種加密方法。本論文的第四章是防火墻技術(shù)。論述：防火墻技術(shù)綜述，并詳細(xì)說明防火墻的分類。本論文的第五章是入侵檢測系統(tǒng)。主要就：入侵檢測基本概念，入侵檢測系統(tǒng)的

3、分類來細(xì)述。最后討論了一下安全的未來。關(guān)鍵詞：加密技術(shù)；防火墻技術(shù)；入侵檢測技術(shù)目錄第一章 緒論21-1 概述21-2 安全的定義3第二章 計算網(wǎng)絡(luò)面臨的威脅32-1人為的無意失誤42-2 人為的惡意攻擊42-3 攻擊動機(jī)52-4 天災(zāi)人禍5第三章 信息加密策略63-1 加密的由來63-2 加密的概念63-3 加密的理由63-4 三種加密方法73-4-1 對稱加密73-4-2 非對稱加密83-4-3 單項加密8第四章 防火墻技術(shù)84-1 防火墻技術(shù)綜述84-2 防火墻的分類94-2-1 包過濾型94-2-2 網(wǎng)絡(luò)地址轉(zhuǎn)化nat104-2-3 代理型104-2-4 監(jiān)測型10第五章 入侵檢測系統(tǒng)

4、115-1 入侵檢測基本概念115-2 入侵檢測系統(tǒng)的分類115-2-1 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)115-2-2 基于主機(jī)的入侵檢測125-2-3 基于應(yīng)用程序的入侵檢測系統(tǒng)13結(jié)束語 網(wǎng)絡(luò)安全未來14參考文獻(xiàn)14第一章 緒論1-1 概述信息社會的到來，給全球帶來了信息技術(shù)飛速發(fā)展的契機(jī)。信息技術(shù)的應(yīng)用，引起了人們生產(chǎn)方式、生活方式和思想觀念的巨大變化，極大地推動了人類社會的發(fā)展和人類文明的進(jìn)步，把人類帶入了嶄新的時代。信息系統(tǒng)的建立已逐漸成為社會各個領(lǐng)域不可或缺的基礎(chǔ)設(shè)施；信息已成社會發(fā)展的重要戰(zhàn)略資源、決策資源和控制戰(zhàn)場的靈魂；信息化水平已成為衡量一個國家現(xiàn)代化程度和綜合程度的重要標(biāo)志。當(dāng)今

5、，計算機(jī)網(wǎng)絡(luò)信息共享和資源共享等優(yōu)點，日益受到人們的注目，并獲得廣泛的應(yīng)用。同時，隨著全球互聯(lián)網(wǎng)絡(luò)internet 應(yīng)用范圍的擴(kuò)大，使得網(wǎng)絡(luò)應(yīng)用進(jìn)入到一個嶄新的階段。一方面，入網(wǎng)用戶能以最快的速度、最便于工作利的方式及最廉價的開銷，獲得最新的信息，并在國際范圍內(nèi)進(jìn)行交流；另一方面，隨著網(wǎng)絡(luò)規(guī)模越來越大和越來越開放，網(wǎng)絡(luò)上的許多敏感信息和保密數(shù)據(jù)難免受到各種主動和被動的人為攻擊。也就是說，人們在計算機(jī)網(wǎng)絡(luò)提供益處的同時，必須考慮如何對待網(wǎng)絡(luò)上日益泛濫的信息垃圾和非法行為，即必須研究網(wǎng)絡(luò)安全問題。眾所周知，利用計算機(jī)環(huán)境進(jìn)行全球通信已成為時代發(fā)展的必然趨勢。但是，如何在一個開放式的計算機(jī)網(wǎng)絡(luò)物理環(huán)

6、境中構(gòu)造一個封閉的邏輯環(huán)境來滿足于國家、群體和個人實際需要，已成為必須考慮的實際問題?；ミB的計算機(jī)網(wǎng)絡(luò)常常由于節(jié)點分散、難以管理等問題，而受到攻擊和受分布操作帶來的損失。若沒有安全保障，則系統(tǒng)會帶來災(zāi)難性的后果。1-2 安全的定義在網(wǎng)絡(luò)信息安全領(lǐng)域中，對于安全沒有一個明確的定義。通常，在網(wǎng)絡(luò)環(huán)境里的安全指的是一種能夠識別和消除不安全因素的能力。國際標(biāo)準(zhǔn)化組織（iso）7498-2安全體系結(jié)構(gòu)文獻(xiàn)定義安全就是最小化資產(chǎn)和資源的漏洞。安全的一般性定義也必須解決保護(hù)公司財產(chǎn)的需要，包括信息和物理設(shè)備（例如計算機(jī)本身）。安全的想法也涉及到適宜性和從屬性概念。負(fù)責(zé)安全的任何一個人都必須決定誰在具體的設(shè)備

7、上進(jìn)行合適的操作，以及什么時候。當(dāng)涉及到公司安全的時候什么是適宜的。在公司與公司之間是不同的，但是任何一個具有網(wǎng)絡(luò)的公司都必須具有一個解決適宜性、從屬性和物理安全問題的安全政策。網(wǎng)絡(luò)安全是一個動態(tài)平衡的過程。所謂“動態(tài)”就是指安全是一個不間斷的過程，信息系統(tǒng)的入侵和保衛(wèi)者總是在無休止地演出攻與防的戰(zhàn)斗。只要是有連通性的網(wǎng)絡(luò)信息系統(tǒng)就存在網(wǎng)絡(luò)安全的風(fēng)險，攻和防之間的力量和手段的對比是在不斷地變化的。所謂“平衡”是指安全的措施要和風(fēng)險的程度相適應(yīng)，沒有必要盲目地讓信息系統(tǒng)變得特別安全。因為安全的級別和程度越高就意味著成本和開銷越大，也意味著對使用者的使得性和網(wǎng)絡(luò)的性能的負(fù)面影響也越大。第二章 計算

8、網(wǎng)絡(luò)面臨的威脅隨著計算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢。但由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完可用性。計算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中信息的威脅；二是對網(wǎng)絡(luò)中設(shè)備的威脅。影響計算機(jī)網(wǎng)絡(luò)的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可

9、能是自然的；可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使有，歸結(jié)起來，針對網(wǎng)絡(luò)安全的威脅主要有四：2-1人為的無意失誤如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。下面從危險口有幾個方面來說，它們完全是由于人在無意情況下造成的威脅。（1）使用用戶名（賬號）作為口令。盡管這種方法便于記憶，可是在安全上幾乎不堪一擊。幾乎所有以破解口令為手段的黑客軟件，都首先會將用戶名作為口令的突破口，而破解這種口令幾乎不需要時間。不要以為沒有人會采用這種愚蠢的辦法，根據(jù)有經(jīng)驗的黑客反映，在一個用戶數(shù)超過1000的計算機(jī)網(wǎng)絡(luò)中，一般

10、可以找到1020個這樣的用戶，而他們則成為了黑客入侵的最佳選擇。（2）使用用戶名（賬號）的變換形式作為口令。使用這種方法的用戶自以為很聰明，將用戶名顛倒或者加前后綴作為口令，既容易記憶又可以防止許多黑客軟件。的確，對于這種方法是有相當(dāng)一部分黑客軟件無用武之地，不過那只是一些初級的軟件，一個優(yōu)秀的黑客軟件是完全有辦法破解的。（3）使用自己或者親友的生日作為口令。這種口令有著很大的欺騙性，因為這樣往往可以得到一個6位或者8位的口令，從數(shù)學(xué)理論上來說分別有1000000和100000000種可能性，很難得到破解。其實，由于口令中表示月份的兩位數(shù)字只有12個可以使用，表示日期的兩位數(shù)字也只有131個可

11、以使用，而今位數(shù)的口令中年分的位數(shù)通常是19*年，經(jīng)過這樣推理，使用生日作為口令盡管有6位，但實際上可能的表達(dá)方式只有100*12*31=37200種，即使再考慮到年月共有6種排列順序，一共也只的37200*6=22322種，僅僅是原來100000000的確1/448，而一臺普通的pentium200計算機(jī)每秒可以搜索3萬4萬種，僅僅需要5.58秒時間就可以搜索完全所有可能的口令。（4）使用常用的英文單詞作為口令。這種方法比前幾種方法要安全一些。前幾種只需要時間一定能破解，而這一種剛未必。如果選用的單詞是十分生僻的，那么黑客軟件搜索起來相對有困難。但也要清楚黑客大多有一個很大的字典庫，一般包含

12、10萬20萬的英文單詞及相應(yīng)的組合，如果用戶不是在研究英語的專家，那么選擇的英文單詞恐怕十之八九能在黑客的字典庫中找到。如果是那樣的話，以20萬單詞的字典庫計算，再考慮到一些des算法的加密運(yùn)算，每秒1800個的搜索速度也不過只需要110秒即可搜索完。2-2 人為的惡意攻擊這是計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對計算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。惡意的舉動可

13、能有很多原因，但是這類舉動一般可以歸納為3個大的范疇，分別是偶然的破壞者、堅定者和間諜。他們的目的及出發(fā)點可能會有些差異。當(dāng)確定一個公司的安全的時候，需要考慮的最重要的一件事就是識別出把該公司作為目標(biāo)的黑客的類型和預(yù)料黑客的態(tài)度。2-3 攻擊動機(jī)了解攻擊的動機(jī)可以幫助洞察網(wǎng)絡(luò)中哪些部分容易受到攻擊以及攻擊者最可能采取什么方式。在許多情況下，攻擊都來自外部的internet，所以在internet和可信的企業(yè)網(wǎng)絡(luò)之間設(shè)置防火墻是限制攻擊發(fā)生的關(guān)鍵因素。防火墻在網(wǎng)絡(luò)安全中是一個很重要的因素，但要保證網(wǎng)絡(luò)的安全必須把整個網(wǎng)絡(luò)當(dāng)作一個整體來對待。下面是一些常見的攻擊原因。（1）貪婪入侵者為了獲得巨額報

14、酬而愛雇于某人，幫助此人攻入企業(yè)網(wǎng)絡(luò)盜竊或篡改信息。（2）惡作劇入侵者閑極無聊又具備一定的計算機(jī)知識，所以總想訪問所有感興趣的站點。（3）揚(yáng)名入侵者非常熟悉計算機(jī)，想通過攻入大家都認(rèn)為很難滲透區(qū)域來證明他的能力。攻擊成功可以獲得同行的尊敬和認(rèn)可。（4）報復(fù)入侵者被停職、解雇、降職或受到某些不公正的待遇而采取入侵行為。這種攻擊往往導(dǎo)致重要信息損毀或服務(wù)被破壞。（5）無知入侵者正在學(xué)習(xí)計算機(jī)和網(wǎng)絡(luò)，無意中發(fā)現(xiàn)的一些系統(tǒng)弱點可能導(dǎo)致數(shù)據(jù)被毀。所有安全系統(tǒng)根本原則是，如果攻擊者具有足夠的技術(shù)、動機(jī)和機(jī)會，則攻擊將會成功。作為安全系統(tǒng)的設(shè)計者，目標(biāo)是推測以上3個特點，以使能夠成功攻擊者的數(shù)量最小。2-4

15、 天災(zāi)人禍這類網(wǎng)絡(luò)威脅主要是指那些不可預(yù)測的自然災(zāi)害和人為惡性事件。例如，臺風(fēng)、地震、火山噴發(fā)、洪水等自然災(zāi)害，以及人為縱火、惡意破壞、惡意偷盜、爆炸撞機(jī)的恐怖事件等，震驚全世界的紐約“911”事件是一個典型的事例。雖然對一個部門的內(nèi)部網(wǎng)絡(luò)來說，發(fā)生天災(zāi)人禍的幾率是非常小的。但是，一旦發(fā)生，后果將是非常嚴(yán)重的，甚至是毀滅性的，萬萬不可疏于防范。第三章 信息加密策略3-1 加密的由來加密作為保障數(shù)據(jù)安全的一種方式，它不是現(xiàn)在才有的，它產(chǎn)生的歷史相當(dāng)久遠(yuǎn)，它是起源于要追溯于公元前2000年（幾個世紀(jì)了），雖然它不是現(xiàn)在我們所講的加密技術(shù)（甚至不叫加密），但作為一種加密的概念，確實早在幾個世紀(jì)前就誕

16、生了。當(dāng)時埃及人是最先使用特別的象形文字作為信息編碼的，隨著時間推移，巴比倫、美索不達(dá)米亞和希臘文明都開始使用一些方法來保護(hù)他們的書面信息。近期加密技術(shù)主要應(yīng)用于軍事領(lǐng)域，如美國獨(dú)立戰(zhàn)爭、美國內(nèi)戰(zhàn)和兩次世界大戰(zhàn)。最廣為人知的編碼機(jī)器是german enigma機(jī)，在第二次世界大戰(zhàn)中德國人利用它創(chuàng)建了加密信息。此后，由于alan turing和ultra計劃以及其他人的努力，終于對德國人的密碼進(jìn)行了破解。當(dāng)初，計算機(jī)的研究就是為了破解德國人的密碼，人們并沒有想到計算機(jī)給今天帶來的信息革命。隨著計算機(jī)的發(fā)展，運(yùn)算能力的增強(qiáng)，過去的密碼都變得十分簡單了，于是人們又不斷地研究出了新的數(shù)據(jù)加密方式，如利

17、用rosa算法產(chǎn)生的私鑰和公鑰就是在這個基礎(chǔ)上產(chǎn)生的。3-2 加密的概念數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容，通過這樣的途徑來達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取、閱讀的目的。該過程的逆過程為解密，即將該編碼信息轉(zhuǎn)化為其原來數(shù)據(jù)的過程。3-3 加密的理由當(dāng)今網(wǎng)絡(luò)社會選擇加密已是我們別無選擇，其一是我們知道在互聯(lián)網(wǎng)上進(jìn)行文件傳輸、電子郵件商務(wù)往來存在許多不安全因素，特別是對于一些大公司和一些機(jī)密文件在網(wǎng)絡(luò)上傳輸。而且這種不安全性是互聯(lián)網(wǎng)存在基礎(chǔ)tcp/ip協(xié)議所固有的，包括一些基于tcp

18、/ip的服務(wù)；另一方面，互聯(lián)網(wǎng)給眾多的商家?guī)砹藷o限的商機(jī)，互聯(lián)網(wǎng)把全世界連在了一起，走向互聯(lián)網(wǎng)就意味著走向了世界，這對于無數(shù)商家無疑是夢寐以求的好事，特別是對于中小企業(yè)。為了解決這一對矛盾、為了能在安全的基礎(chǔ)上大開這通向世界之門，我們只好選擇了數(shù)據(jù)加密和基于加密技術(shù)的數(shù)字簽名。加密在網(wǎng)絡(luò)上的作用就是防止有用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取。一個簡單的例子就是密碼的傳輸，計算機(jī)密碼極為重要，許多安全防護(hù)體系是基于密碼的，密碼的泄露在某種意義上來講意味著其安全體系的全面崩潰。通過網(wǎng)絡(luò)進(jìn)行登錄時，所鍵入的密碼以明文的形式被傳輸?shù)椒?wù)器，而網(wǎng)絡(luò)上的竊聽是一件極為容易的事情，所以很有可能黑客會竊取得用

19、戶的密碼，如果用戶是root用戶或administrator用戶，那后果將是極為嚴(yán)重的。還有如果你公司在進(jìn)行著某個招標(biāo)項目的投標(biāo)工作，工作人員通過電子郵件的方式把他們單位的標(biāo)書發(fā)給招標(biāo)單位，如果此時有另一位競爭對手從網(wǎng)絡(luò)上竊取到你公司的標(biāo)書，從中知道你公司投標(biāo)的標(biāo)的，那后果將是怎樣，相信不用多說聰明的你也明白。這樣的例子實在是太多了，解決上述難題的方案就是加密，加密后的口令即使被黑客獲得也是不可讀的，加密后的標(biāo)書沒有收件人的私鑰也就無法解開，標(biāo)書成為一大堆無任何實際意義的亂碼?？傊疅o論是單位還是個人在某種意義上來說加密也成為當(dāng)今網(wǎng)絡(luò)社會進(jìn)行文件或郵件安全傳輸?shù)臅r代象征！數(shù)字簽名就是基于加密技術(shù)

20、的，它的作用就是用來確定用戶是否是真實的。應(yīng)用最多的還是電子郵件，如當(dāng)用戶收到一封電子郵件時，郵件上面標(biāo)有發(fā)信人的姓名和信箱地址，很多人可能會簡單地認(rèn)為發(fā)信人就是信上說明的那個人，但實際上偽造一封電子郵件對于一個通常人來說是極為容易的事。在這種情況下，就要用到加密技術(shù)基礎(chǔ)上的數(shù)字簽名，用它來確認(rèn)發(fā)信人身份的真實性。類似數(shù)字簽名技術(shù)的還有一種身份認(rèn)證技術(shù)，有些站點提供入站ftp和www服務(wù)，當(dāng)然用戶通常接觸的這類服務(wù)是匿名服務(wù)，用戶的權(quán)力要受到限制，但也有的這類服務(wù)不是匿名的，如某公司為了信息交流提供用戶的合作伙伴非匿名的ftp服務(wù)，或開發(fā)小組把他們的web網(wǎng)頁上載到用戶的www服務(wù)器上，現(xiàn)在的

21、問題就是，用戶如何確定正在訪問用戶的服務(wù)器的人就是用戶認(rèn)為的那個人，身份認(rèn)證技術(shù)就是一個好的解決方案。在這里需要強(qiáng)調(diào)一點的就是，文件加密其實不只用于電子郵件或網(wǎng)絡(luò)上的文件傳輸，其實也可應(yīng)用靜態(tài)的文件保護(hù)，如pip軟件就可以對磁盤、硬盤中的文件或文件夾進(jìn)行加密，以防他人竊取其中的信息。3-4 三種加密方法 加密技術(shù)通常分為三大類：“對稱式”、“非對稱式”和”單項式”。3-4-1 對稱加密對稱式加密就是加密和解密使用同一個密鑰，通常稱之為“session key ”這種加密技術(shù)目前被廣泛采用，如美國政府所采用的des加密標(biāo)準(zhǔn)就是一種典型的“對稱式”加密法，它的session key長度為56bit

22、s。對稱加密算法的一個優(yōu)點是加密的運(yùn)算速度快。有很多先烈的加密算法來實現(xiàn)對稱加密。例如數(shù)據(jù)加密標(biāo)準(zhǔn)（des），3des，rsa 算法的rc2、rc4、rc5、rc6、mars、twofish，以及serpent等。3-4-2 非對稱加密非對稱式加密就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們兩個必需配對使用，否則不能打開加密文件。這里的“公鑰”是指可以對外公布的，“私鑰”則不能，只能由持有人一個人知道。它的優(yōu)越性就在這里，因為對稱式的加密方法如果是在網(wǎng)絡(luò)上傳輸加密文件就很難把密鑰告訴對方，不管用什么方法都有可能被別竊廳到。而非對稱式的加密方法有兩個密鑰，且

23、其中的“公鑰”是可以公開的，也就不怕別人知道，收件人解密時只要用自己的私鑰即可以，這樣就很好地避免了密鑰的傳輸安全性問題。3種最常見的非對稱加密是rsa、digital signature algorithm(dsa)和diffie-hellman。dsa是美國國家技術(shù)標(biāo)準(zhǔn)局研發(fā)的技術(shù)，并且已廣為使用。盡管它的功能不同于rsa，但它并不是一項專利，并且成為linux 下公鑰加密方法的標(biāo)準(zhǔn)。diffie-hellman是一種安全交換密鑰的協(xié)議，因比可以看做密鑰交換協(xié)議。它是一種開放式標(biāo)準(zhǔn)并在安全通信中廣泛使用，主要有一點作了改動：因為 diffie-hellman密鑰交換協(xié)議的方法易受man i

24、n the middle這類攻擊，所以station-to station（sts）協(xié)議改變了diffie-hellman協(xié)議包括采取相應(yīng)的認(rèn)證。3-4-3 單項加密單項加密也叫做哈希加密，這種加密使用hash算法把一些不同長度的信息轉(zhuǎn)化成雜亂的確128位的編碼里，叫做hash值。hash加密用于不想對信息解密或讀取。使用這種方法解密在理論上是不可能根據(jù)密明文，所以叫做單向加密。但是通過比較兩個實體的hash值是否一樣而確定數(shù)據(jù)時候可靠。例如，一臺自動取款機(jī)（atm）不需要解密一個消費(fèi)者的個人標(biāo)識數(shù)字（pin）。磁條卡將顧客的pin單向地加密成一段hash值，一旦插下時，atm機(jī)將計算用戶pi

25、n的hash值并產(chǎn)生使對于那些維護(hù)atm機(jī)的人來說也于法獲知用戶的pin碼。目前使用幾種標(biāo)準(zhǔn)單向加密算法有md2、md4、md5和sha。md2，md4和md5是一組基于單向hash功能的算法。第四章 防火墻技術(shù)4-1 防火墻技術(shù)綜述網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。 目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)

26、關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。 雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。 自從1986年美國digital公司在internet上安裝了全球第一個商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到了飛速的發(fā)展。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。 防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上,企業(yè)對安全系統(tǒng)提出的問題是:所有的ip是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)

27、系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。 作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。 4-2 防火墻的分類根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換nat、

28、代理型和監(jiān)測型。4-2-1 包過濾型 包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、tcp/udp源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。 包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。 但包過濾技術(shù)的缺陷也是明顯

29、的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造ip地址,騙過包過濾型防火墻。 4-2-2 網(wǎng)絡(luò)地址轉(zhuǎn)化nat 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把ip地址轉(zhuǎn)換成臨時的、外部的、注冊的ip地址標(biāo)準(zhǔn)。它允許具有私有ip地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的ip地址。 在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)

30、連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的ip地址和端口來請求訪問。olm防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機(jī)中。當(dāng)不符合規(guī)則時，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。 4-2-3 代理型 代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代

31、理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。 代理型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大

32、大增加了系統(tǒng)管理的復(fù)雜性。 4-2-4 監(jiān)測型 監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品 雖然監(jiān)測型防火墻安全性上已超

33、越了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻?；趯ο到y(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。 實際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。例如,它可以過濾掉ftp連接中的put命令,而且通過代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能

34、夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點,使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。第五章 入侵檢測系統(tǒng)5-1 入侵檢測基本概念入侵檢測系統(tǒng)是一種安全軟件或者硬件。如果一個系統(tǒng)的計算機(jī)或者網(wǎng)絡(luò)安裝了入侵檢測系統(tǒng)，它會監(jiān)視系統(tǒng)的某些范圍，當(dāng)系統(tǒng)受到攻擊的時候，它可以檢測出來并做出響應(yīng)。 入侵被檢測出來的過程包括監(jiān)控在計算機(jī)系統(tǒng)或者網(wǎng)絡(luò)中發(fā)生的事件，再分析處理這些事件，檢測出入侵事件。入侵檢測系統(tǒng)是使這監(jiān)控和分析過程自動化的產(chǎn)品，可以是軟件，也可是硬件。如上所述，入侵就是成功的攻擊。目前的入侵檢測系統(tǒng)不只檢測入侵（已成功的攻擊），它們還檢

35、測未成功的攻擊，所以準(zhǔn)確地說，入侵檢測系統(tǒng)應(yīng)該被稱為攻擊檢測系統(tǒng)！但是入侵檢測系統(tǒng)工程這個名稱已經(jīng)用習(xí)慣了，因此我們說入侵檢測系統(tǒng)意味著入侵和攻擊都能被檢測出來。5-2 入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的一個重要概念是從什么樣的數(shù)據(jù)源檢測入侵。根據(jù)數(shù)據(jù)來源的不同，入侵檢測系統(tǒng)常被分為基于主機(jī)的入侵檢測系統(tǒng)的、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于應(yīng)用程序的入侵檢測系統(tǒng)。基于主機(jī)的入侵檢測系統(tǒng)的數(shù)據(jù)源來自主機(jī)，如日志文件、審計記錄等?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡(luò)流量。5-2-1 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)大多數(shù)入侵檢測系統(tǒng)工程商業(yè)產(chǎn)品是基于網(wǎng)絡(luò)的。為了檢測入侵，這種入侵檢測系統(tǒng)捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包。通過

36、監(jiān)聽某個網(wǎng)段的流量， 一個基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以監(jiān)控并分析該網(wǎng)段發(fā)生的事伯，從而可以保護(hù)該網(wǎng)段的流量，一個基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)一般包括一組傳感器頒布在網(wǎng)絡(luò)的不同網(wǎng)段。由于這些傳感器專門為了入侵檢測系統(tǒng)設(shè)計，所以它們具有很多對付攻擊的安全措施。很多傳感器有一個運(yùn)行模式叫做“被動模式”，這樣，攻擊者難以確定它們的存在以及位置。(1) 優(yōu)點一個基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以監(jiān)控多個主機(jī)?；诰W(wǎng)絡(luò)系統(tǒng)的入侵檢測系統(tǒng)在網(wǎng)絡(luò)上的存在一般對現(xiàn)有的網(wǎng)絡(luò)影響比較小?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)只是被動局面地監(jiān)聽網(wǎng)絡(luò)系統(tǒng)流量，根本不妨礙網(wǎng)絡(luò)的正常運(yùn)行。所以一個現(xiàn)有的網(wǎng)絡(luò)可以容易地安裝上一個基于網(wǎng)絡(luò)系統(tǒng)的入侵檢測系統(tǒng)。

37、基于網(wǎng)絡(luò)系統(tǒng)的入侵檢測系統(tǒng)可設(shè)計成非常健壯，有時攻擊者根本都看不到它的存在。(2) 缺點基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的處理能力可能有限。在一個高速網(wǎng)絡(luò)上，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可能會處理不了所有的數(shù)據(jù)包，從而有的攻擊可能會檢測不到。有的廠家為了克服這個問題把基于主機(jī)制入侵檢測系統(tǒng)做成硬件，提高它們的處理速度。提高速度的另一種途徑是減少檢測的攻擊類型或者大量使用系統(tǒng)資源，這樣影響檢測的效率。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)不能分析加密信息?，F(xiàn)在越來越多人（包括攻擊者）使用虛擬專用網(wǎng)（vpn）。在這樣的網(wǎng)絡(luò)環(huán)境上傳輸?shù)男畔⒍急患舆^密，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)就無法正常檢測了。多數(shù)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)不能確定一次攻

38、擊是否成功，它們只能檢測攻擊者使用某種方法進(jìn)行攻擊。所以，在基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)檢測出一次攻擊之后，安全管理員必須再作調(diào)查才能確定這次攻擊是否已經(jīng)成功地穿入系統(tǒng)。5-2-2 基于主機(jī)的入侵檢測基于主機(jī)制入侵檢測系統(tǒng)處理信息來自一臺計算機(jī)系統(tǒng)里（請注意，基于應(yīng)用程序的入侵檢測系統(tǒng)實際上就是基于主機(jī)的入侵檢測系統(tǒng)的一個子集）。這個特點雞毛基于主機(jī)制入侵檢測系統(tǒng)可以非?？煽亢蜏?zhǔn)確地分析主機(jī)上發(fā)生的入侵的時間，正確地指出系統(tǒng)上的哪些進(jìn)程和用戶包含在一起入侵事件內(nèi)。與基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)不同，基于主機(jī)制入侵系統(tǒng)可以通過檢查系統(tǒng)上的文件系統(tǒng)、日志以及進(jìn)程，判別出哪些攻擊已經(jīng)成功地穿入系統(tǒng)?；谥鳈C(jī)的入侵檢測系統(tǒng)分析的信息源一般有兩種：審計記錄和系統(tǒng)日志。審計記錄是操作系統(tǒng)的內(nèi)核在操作的時候生成的，所以比系統(tǒng)日志的信息有更多和更可靠的信息。然而，系統(tǒng)日志比審計記錄要少，簡單易懂，處理起來更方便。有的基于主機(jī)的入侵檢測系統(tǒng)采用集中控制方式。在每一臺主機(jī)上運(yùn)行一個傳感器。偉感器收集本機(jī)上的信息，傳輸?shù)揭粋€控