計算機網(wǎng)絡(luò)安全漏洞及防范措施00

1、河南司法警官職業(yè)學(xué)院 畢業(yè)論文設(shè)計題目 計算機網(wǎng)絡(luò)漏洞及防范措施 姓 名 馮超陽 學(xué) 號 09421024 系、專業(yè) 計算機應(yīng)用技術(shù) 班 級 09級信息系二中隊一分隊 指導(dǎo)教師2012 年 3 月 8日摘要隨著計算機網(wǎng)絡(luò)在人類生活領(lǐng)域中的廣泛應(yīng)用，針對計算機網(wǎng)絡(luò)的攻擊事件也隨之增加。網(wǎng)絡(luò)已經(jīng)無所不在的影響著社會的政治、經(jīng)濟、文化、軍事、意識形態(tài)和社會生活等方面。在全球范圍內(nèi)，針對重要信息資源和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的入侵行為和企圖入侵行為的數(shù)量仍在持續(xù)增加，網(wǎng)絡(luò)攻擊與入侵行為對國家安全、經(jīng)濟和社會生活造成了極大的威脅。計算機病毒不斷地通過網(wǎng)絡(luò)產(chǎn)生和傳播，計算機網(wǎng)絡(luò)被不斷地非法入侵，重要情報、資料被竊取，

2、甚至造成網(wǎng)絡(luò)系統(tǒng)的癱瘓等，諸如此類的事件已給政府及企業(yè)造成了巨大的損失，甚至危害到國家的安全。網(wǎng)絡(luò)安全已成為世界各國當(dāng)今共同關(guān)注的焦點，網(wǎng)絡(luò)安全的重要性是不言而喻的，因此，對漏洞的了解及防范也相對重要起來。關(guān)鍵詞：網(wǎng)絡(luò)安全 漏洞 病毒 入侵目錄中文摘要2 英文摘要3 目錄4第一章緒論61.1研究意義 61.2研究目的 61.3研究范圍 6第二章網(wǎng)絡(luò)安全62.1網(wǎng)絡(luò)安全概述 72.1.1網(wǎng)絡(luò)安全面臨的主要威脅 72.1.2威脅網(wǎng)絡(luò)安全的因素 82.2網(wǎng)絡(luò)安全分析 92.3網(wǎng)絡(luò)安全措施 112.3.1完善計算機立法 112.3.2網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) 11第三章防火墻技術(shù) 123.1防火墻的概述12

3、3.2防火墻的主要功能133.3防火墻的關(guān)鍵技術(shù)143.4防火墻的好處15第四章防病毒技術(shù) 164.1防病毒技術(shù)產(chǎn)生的原因164.2防病毒技術(shù)的分類174.3常見的病毒防范方法18第五章安全掃描技術(shù) 195.1安全掃描的概述195.2安全掃描全過程20第六章VPN技術(shù)206.1VPN的定義206.2VPN的功能216.3VPN的關(guān)鍵技術(shù)21第七章入侵檢測技術(shù) 227.1入侵檢測技術(shù)的定義227.2入侵檢測技術(shù)的分類237.3入侵檢測技術(shù)存在的問題24第八章身份認證技術(shù) 248.1身份認證的概述248.2身份認證的方法248.3身份認證的類型25第九章結(jié)論 26 參考文獻 26第一章 緒論1.1

4、 研究意義隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。1.2 研究目的21世紀(jì)全世界的計算機都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在。正由于無處不在，也給了不法分子可乘之機

5、，出現(xiàn)了許多破壞網(wǎng)絡(luò)的行為。例如：病毒攻擊、服務(wù)攻擊、入侵系統(tǒng)、未授權(quán)身份驗證等。為了更好的維護網(wǎng)絡(luò)安全，對于網(wǎng)絡(luò)研究很有必要。1.3 研究范圍在論文中接下的幾章里，將會有下列安排：第二章，分析研究網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全棉鈴的主要威脅，影響網(wǎng)絡(luò)安全的因素，及保護網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。第三章，介紹防火墻的相關(guān)技術(shù)。第四章，介紹防病毒的相關(guān)技術(shù)。第五章，介紹安全掃描的相關(guān)技術(shù)。第六章，介紹VPN的相關(guān)技術(shù)。第七章，介紹入侵檢測系統(tǒng)。第八章，介紹身份認證。第二章 網(wǎng)絡(luò)安全2.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)

6、連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。2.1.1 網(wǎng)絡(luò)安全面臨的主要威脅網(wǎng)絡(luò)安全威脅是指某個人、物或事件對網(wǎng)絡(luò)資源的保密性、完整性、可用性和可審查性所造成的危害。第一，硬件系統(tǒng)、軟件系統(tǒng)以及網(wǎng)絡(luò)和通信協(xié)議存在的安全隱患常常導(dǎo)致網(wǎng)絡(luò)系統(tǒng)自身的脆弱性。第二，由于計算機信息具有共享和易于擴散等特性，它在處理、存儲、傳播和使用過程中存在嚴(yán)重的脆弱性，很容易被泄露、竊取、篡改、假冒、破壞以及被計算機病毒感染。第三，目前攻擊者需要的技術(shù)水平逐漸降低但危

7、害增大，攻擊手段更加靈活，系統(tǒng)漏洞發(fā)現(xiàn)加快，攻擊爆發(fā)時間變短；垃圾郵件問題嚴(yán)重，間諜軟件、惡意軟件、流氓軟件威脅安全；同時，無線網(wǎng)絡(luò)、移動手機也逐漸成為安全重災(zāi)區(qū)。1、主要存在的網(wǎng)絡(luò)信息安全威脅目前主要存在4類網(wǎng)絡(luò)信息安全方面的威脅：信息泄露、拒絕服務(wù)、信息完整性破壞和信息的非法使用。(1)信息泄露：信息被有意或無意中泄露后透漏給某個未授權(quán)的實體，這種威脅主要來自諸如搭線竊聽或其他更加錯綜復(fù)雜的信息探測攻擊。(2)拒絕服務(wù)：對信息或其他資源的合法訪問被無條件地阻止。這可能是由以下攻擊所致：攻擊者不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾，通過對系統(tǒng)進行非法的、根本無法成功的訪問嘗試而產(chǎn)生過量的負載，執(zhí)行無關(guān)程

8、序使系統(tǒng)響應(yīng)減慢甚至癱瘓，從而導(dǎo)致系統(tǒng)資源對于合法用戶也是不可使用的。拒絕服務(wù)攻擊頻繁發(fā)生，也可能是系統(tǒng)在物理上或邏輯上受到破壞而中斷服務(wù)。由于這種攻擊往往使用虛假的源地址，因此很難定位攻擊者的位臵。(3)信息完整性破壞：以非法手段竊得的對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)、以干擾用戶的正常使用，使數(shù)據(jù)的一致性通過未授權(quán)實體的創(chuàng)建、修改或破壞而受到損壞。(4)信息的非法使用：某一資源被某個未授權(quán)的人后以某一未授權(quán)的方式使用。這種威脅的例子有：侵入某個計算機系統(tǒng)的攻擊者會利用此系統(tǒng)作為盜用電信服務(wù)的基點或者作為侵入其他系統(tǒng)的出發(fā)點。2、

9、威脅網(wǎng)絡(luò)信息安全的具體方式威脅網(wǎng)絡(luò)信息安全的具體方式表現(xiàn)在以下8個方面：(1)假冒。某個實體(人或系統(tǒng))假裝成另外一個不同的實體，這是滲入某個安全防線的最為通用的方法。(2)旁路控制。除了給用戶提供正常的服務(wù)外，還將傳輸?shù)男畔⑺徒o其他用戶，這就是旁路。旁路非常容易造成信息的泄密，如攻擊者通過各種手段利用原本應(yīng)保密但又暴露出來的一些系統(tǒng)特征滲入系統(tǒng)內(nèi)部(3)特洛伊木馬。特洛伊程序一般是由編程人員編制，他除了提供正常的功能外還提供了用戶所不希望的額外功能，這些額外功能往往是有害的。(4)蠕蟲。蠕蟲可以從一臺機器傳播，他同病毒不一樣，不需要修改宿主程序就能傳播。(5)陷門。一些內(nèi)部程序人員為了特殊的

10、目的，在所編制的程序中潛伏代碼或保留漏洞。在某個系統(tǒng)或某個文件中設(shè)臵的“機關(guān)”，當(dāng)提供特定的輸入數(shù)據(jù)時，便允許違反安全策略。(6)黑客攻擊。黑客的行為是指涉及阻撓計算機系統(tǒng)正常運行或利用、借助和通過計算機系統(tǒng)進行犯罪的行為。(7)拒絕服務(wù)攻擊，一種破壞性攻擊、最普遍的拒絕服務(wù)攻擊是“電子郵件炸彈”。(8)泄露機密信息。系統(tǒng)內(nèi)部人員泄露機密或外部人員通過非法手段截獲機密信息。2.1.2 威脅網(wǎng)絡(luò)安全的因素自然災(zāi)害、意外事故；計算機犯罪； 人為行為，比如使用不當(dāng)，安全意識差等；黑客” 行為：由于黑客的入侵或侵擾，比如非法訪問、拒絕服務(wù)計算機病毒、非法連接等；內(nèi)部泄密；外部泄密；信息丟失；電子諜報，

11、比如信息流量分析、信息竊取等；信息戰(zhàn)；網(wǎng)絡(luò)協(xié)議中的缺陷，例如TCP/IP協(xié)議的安全問題等等。網(wǎng)絡(luò)安全威脅主要包括兩類：滲入威脅和植入威脅滲入威脅主要有：假冒、旁路控制、授權(quán)侵犯；植入威脅主要有：特洛伊木馬、陷門。陷門：將某一“特征”設(shè)立于某個系統(tǒng)或系統(tǒng)部件之中，使得在提供特定的輸入數(shù)據(jù)時，允許安全策略被違反。2.2 網(wǎng)絡(luò)安全分析1、物理安全分析網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。在校園網(wǎng)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計和施工中，必須優(yōu)先考慮保護人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間

12、的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計算機及其他弱電耐壓設(shè)備的防雷。總體來說物理安全的風(fēng)險主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機多冗余的設(shè)計；機房環(huán)境及報警系統(tǒng)、安全意識等，因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險。2、網(wǎng)絡(luò)結(jié)構(gòu)的安全分析網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。假如在外部和內(nèi)部網(wǎng)絡(luò)進行通信時，內(nèi)部網(wǎng)絡(luò)的機器安全就會受到威脅，同時也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會影響到連上Internet/Intrant

13、的其他的網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。因此，我們在設(shè)計時有必要將公開服務(wù)器（WEB、DNS、EMAIL等）和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應(yīng)主機，其它的請求服務(wù)在到達主機之前就應(yīng)該遭到拒絕。3、系統(tǒng)的安全分析所謂系統(tǒng)的安全是指整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是Microsfot的Windows NT或者其它任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door。因此，我們可以得出如下結(jié)論：沒有完全安全的操作系統(tǒng)。

14、不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進行安全配臵。而且，必須加強登錄過程的認證（特別是在到達服務(wù)器主機之前的認證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。4、應(yīng)用系統(tǒng)的安全分析應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全涉及方面很多，以目前Internet上應(yīng)用最為廣泛的E-mail系統(tǒng)來說，其解決方案有sendmail

15、、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的。在應(yīng)用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系統(tǒng)平臺，而且通過專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞，修補漏洞，提高系統(tǒng)的安全性。應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性。信息的安全性涉及到機密信息泄露、未經(jīng)授權(quán)的訪問、 破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機密信息，如果一些重要信息遭到竊取或破

16、壞，它的經(jīng)濟、社會影響和政治影響將是很嚴(yán)重的。因此，對用戶使用計算機必須進行身份認證，對于重要信息的通訊必須授權(quán)，傳輸必須加密。采用多層次的訪問控制與權(quán)限控制手段，實現(xiàn)對數(shù)據(jù)的安全保護；采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機密性與完整性。5、管理的安全風(fēng)險分析管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預(yù)警。同時，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查

17、性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。一旦上述的安全隱患成為事實，所造成的對整個網(wǎng)絡(luò)的損失都是難以估計的。因此，網(wǎng)絡(luò)的安全建設(shè)是校園網(wǎng)建設(shè)過程中重要的一環(huán)。2.3 網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)信息安全涉及方方面面的問題，是一個復(fù)雜的系統(tǒng)。一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部環(huán)境。二是技術(shù)方面，如身份認證、防火

18、墻技術(shù)、防病毒技術(shù)等。三是管理措施，包括技術(shù)與社會措施。只要措施有：提供實時改變安全策略的能力，對現(xiàn)有的安全策略實施漏洞檢查等，以防患于未然。這三者缺一不可。其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計是安全的防線。2.3.1 完善計算機立法我國先后出臺的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前，在這方面的立法還遠不能適應(yīng)形勢發(fā)展的需要，應(yīng)該在對控制計算機犯罪的國內(nèi)外立法評價的基礎(chǔ)上，完善我國計算機犯罪立法，以便為確保我國計算機信息網(wǎng)絡(luò)健康有序的發(fā)展提供強有力的保障。2.3.2 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)(1)防火墻技術(shù)網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通

19、過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。(2)防病毒技術(shù)隨著計算機技術(shù)的發(fā)展，計算機病毒變得越來越復(fù)雜和高級，計算機病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。(3)檢測系統(tǒng)入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點，是一種積極主動的安全防護技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時代的發(fā)展，入侵檢測技術(shù)將朝著三

20、個方向發(fā)展：分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。(4)身份認證身份認證技術(shù)是在計算機網(wǎng)絡(luò)中確認操作者身份的過程而產(chǎn)生的解決方法。計算機網(wǎng)絡(luò)世界中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計算機只能識別用戶的數(shù)字身份，所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)。第三章 防火墻技術(shù)3.1 防火墻的概述防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續(xù)控制引擎。在電腦術(shù)語中，當(dāng)然就不是這個意思了，我們可防火墻以類比來理解，在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Int

21、ernet)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。3.2 防火墻的主要功能1、網(wǎng)絡(luò)安全的屏障一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進

22、出受保護網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)防火墻部網(wǎng)絡(luò)。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。2、強化網(wǎng)絡(luò)安全策略通過以防火墻為中心的安全方案配臵，能將所有安全軟件（如口令、加密、身份認證、審計等）配臵在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。3、對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計如果所有的訪問都經(jīng)過防火墻，那么，防火墻

23、就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。4、防止內(nèi)部信息的外泄通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興

24、趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用Shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。3.3 防火墻的關(guān)鍵技術(shù)防火墻的主要功能是通過以下3種技術(shù)方法實現(xiàn)的。1、包過濾技術(shù)包過濾技術(shù)是一種通用、廉價且有效地安全手段，它拒絕接受從未授權(quán)的主機發(fā)送

25、的TCP/IP包，并拒絕接受使用未授權(quán)服務(wù)的連續(xù)請求。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口及協(xié)議參數(shù)等字段。包過濾技術(shù)的優(yōu)點：簡單實用，實現(xiàn)成本較低，處理速度快且易于維護，在包過濾技術(shù)的缺點：工作于網(wǎng)絡(luò)層的安全技術(shù)對基于應(yīng)用層的網(wǎng)絡(luò)入侵卻無能為力，有經(jīng)驗的黑客很容易偽造IP地址，騙過包過濾型防火墻。 應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。2、網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的，外部的，注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味

26、著用戶不許要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址.在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當(dāng)不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請

27、求。從一定意義來說網(wǎng)絡(luò)地址轉(zhuǎn)換可以有效地保護網(wǎng)絡(luò)內(nèi)部的系統(tǒng)，增加網(wǎng)絡(luò)流量和拒絕服務(wù)攻擊的難度。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設(shè)臵，用戶只要進行常規(guī)操作即可。3、代理服務(wù)代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機與服務(wù)器之間。完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看，代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看，代理服務(wù)器又是一臺真正的客戶機。當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)

28、部服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點：安全性較高，可以針對應(yīng)用層進行偵測和掃描，對付基于應(yīng)用層的侵入和病毒都十分有效。代理型防火墻的缺點：對系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)臵，大大增加了系統(tǒng)管理的復(fù)雜性。3.4 防火墻的好處1、保護脆弱的服務(wù)通過過濾不安全的服務(wù)，防火墻可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風(fēng)險。例如，防火墻可以禁止NIS、NFS服務(wù)通過，防火墻同時可以拒絕源路由和ICMP重定向封包。2、控制對系統(tǒng)的訪問防火墻可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，

29、同時禁止訪問另外的主機。例如，防火墻允許外部訪問特定的Mail Server和Web Server。3、集中的安全管理防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運行于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)， 而無須在內(nèi)部網(wǎng)每臺機器上分別設(shè)立安全策略。防火墻可以定義不同的認證方法， 而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經(jīng)過一次認證即可訪問內(nèi)部網(wǎng)。4、增強的保密性使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Figer和DNS。 記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)。防火墻可以記錄和統(tǒng)計通過防火墻的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù)，并且，防火墻可以提供統(tǒng)計數(shù)據(jù)

30、， 來判斷可能的攻擊和探測。5、策略執(zhí)行防火墻提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)臵防火墻時，網(wǎng)絡(luò)安全取決于每臺主機的用戶。第四章 防病毒技術(shù)4.1 防病毒技術(shù)產(chǎn)生的原因現(xiàn)今市場上流行的單機防病毒產(chǎn)品種類繁多，性能各異。各防病毒產(chǎn)品之間的競爭也異常激烈，各開發(fā)商頻頻使出“變招”爭奪這一龐大的市場。無論這些反病毒產(chǎn)品性能多么優(yōu)越，下面兩個致命弱點則明顯地暴露出其不足之處，使反病毒產(chǎn)品一度走入低谷。(1)防病毒產(chǎn)品均以單機為防病毒對象，不能有效地防止病毒在網(wǎng)上蔓延。而在網(wǎng)絡(luò)上，病毒正是以網(wǎng)絡(luò)服務(wù)器為傳播源，通過服務(wù)器，病毒迅速地在網(wǎng)絡(luò)上傳播，直到感染整個網(wǎng)絡(luò)，使網(wǎng)絡(luò)徹底癱瘓。(2)一機一卡所帶

31、來的缺陷。開發(fā)商從市場角度考慮，將防病毒卡與產(chǎn)品加密合二為一，但卻給用戶帶來了許多不便：占用硬件資源(如擴充槽口、I/O口或中斷資源)；增加內(nèi)存開銷，易發(fā)生防病毒系統(tǒng)與其它應(yīng)用系統(tǒng)的軟硬件沖突；影響計算機執(zhí)行速度。因為防病毒軟件要實現(xiàn)實時監(jiān)控，就一定要占用CPU時間，這必然會使計算機執(zhí)行速度下降。有鑒于此，需要徹底改變現(xiàn)有的防病毒產(chǎn)品模式，需要和單機防病毒技術(shù)有本質(zhì)區(qū)別的網(wǎng)絡(luò)防病毒技術(shù)。4.2 防病毒技術(shù)的分類從反病毒產(chǎn)品對計算機病毒的作用來講，防毒技術(shù)可以直觀地分為：病毒預(yù)防技術(shù)、病毒檢測技術(shù)及病毒清除技術(shù)。1、計算機病毒的預(yù)防技術(shù)計算機病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計算機病毒對系

32、統(tǒng)的傳染和破壞。實際上這是一種動態(tài)判定技術(shù)，即一種行為規(guī)則判定技術(shù)。也就是說，計算機病毒的預(yù)防是采用對病毒的規(guī)則進行分類處理，而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認定是計算機病毒。具體來說，計算機病毒的預(yù)防是通過阻止計算機病毒進入系統(tǒng)內(nèi)存或阻止計算機病毒對磁盤的操作，尤其是寫操作。 預(yù)防病毒技術(shù)包括：磁盤引導(dǎo)區(qū)保護、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。例如，大家所熟悉的防病毒卡，其主要功能是對磁盤提供寫保護，監(jiān)視在計算機和驅(qū)動器之間產(chǎn)生的信號。以及可能造成危害的寫命令，并且判斷磁盤當(dāng)前所處的狀態(tài)：哪一個磁盤將要進行寫操作，是否正在進行寫操作，磁盤是否處于寫保護等，來確定病毒是否將要發(fā)

33、作。計算機病毒的預(yù)防應(yīng)用包括對已知病毒的預(yù)防和對未知病毒的預(yù)防兩個部分。目前，對已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動態(tài)判定技術(shù)。2、檢測病毒技術(shù)計算機病毒的檢測技術(shù)是指通過一定的技術(shù)手段判定出特定計算機病毒的一種技術(shù)。它有兩種：一種是根據(jù)計算機病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù)。另一種是不針對具體病毒程序的自身校驗技術(shù)。即對某個文件或數(shù)據(jù)段進行檢驗和計算并保存其結(jié)果，以后定期或不定期地以保存的結(jié)果對該文件或數(shù)據(jù)段進行檢驗，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段完整性已遭

34、到破壞，感染上了病毒，從而檢測到病毒的存在。3、清除病毒技術(shù)計算機病毒的清除技術(shù)是計算機病毒檢測技術(shù)發(fā)展的必然結(jié)果，是計算機病毒傳染程序的一種逆過程。目前，清除病毒大都是在某種病毒出現(xiàn)后，通過對其進行分析研究而研制出來的具有相應(yīng)解毒功能的軟件。這類軟件技術(shù)發(fā)展往往是被動的，帶有滯后性。而且由于計算機軟件所要求的精確性，解毒軟件有其局限性，對有些變種病毒的清除無能為力。目前市場上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV，及我國的LANClear和Kill89等產(chǎn)品均采用上述三種防病毒技術(shù)。4.3 常見的病毒防范方法1、防范木馬程序和惡意代碼(1)木馬程序的

35、防范木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：在下載文件時先放到自己新建的文件夾里，再用殺毒軟件來檢測，起到提前預(yù)防的作用。在“開始”“程序”“啟動”或“開始”“程序”“Startup”選項里看是否有不明的運行項目，如果有，刪除即可。將注冊表里HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”為前綴的可疑程序全部刪除即可。(2)惡意代碼的防范用戶在上網(wǎng)是最有可能接觸到惡意代碼，因此，惡意代碼成了寬帶的最大威脅之一。以前使用Modem，因為打開網(wǎng)頁的速度慢，在完全

36、打開前關(guān)閉惡意網(wǎng)頁還有避免中招的可能性。現(xiàn)在寬帶的速度這么快，所以很容易就被惡意代碼攻擊。一般惡意代碼都是因為加入了用編寫的惡意代碼才有破壞力的。這些惡意代碼就相當(dāng)于一些小程序，只要打開該網(wǎng)頁就會被運行。所以要避免惡意代碼的攻擊只要禁止這些惡意代碼的運行就可以了。運行IE瀏覽器，點擊“工具/Internet選項/安全/自定義級別”，將安全級別定義為“安全級-高”，對“ActiveX控件和插件”中第2、3項設(shè)臵為“禁用”，其它項設(shè)臵為“提示”，之后點擊“確定”。這樣設(shè)臵后，當(dāng)你使用IE瀏覽網(wǎng)頁時，就能有效避免惡意網(wǎng)頁中惡意代碼的攻擊。2、郵件病毒的防范防范郵件病毒的措施有以下幾條1、在收到信的時

37、候，不管是不是認識的還是不認識的，附件一定先不要打開，雖然有些E-mail在上傳附件的時候都進行了殺毒，不怕一萬就怕萬一。除非，你和他正在研究郵件病毒，或者在制造郵件病毒。2、看見帶有附件的郵件，可以把附件下下來，然后用殺毒軟件殺毒，如果還是怕中毒，你可以這樣做。(1)打開我的電腦，在工具欄中找到工具選擇文件夾選項，在彈出的對話框中選擇查看這個選項，把“隱藏已知文件類型的擴展”前面的勾去掉。(2)在郵件的附件上右擊 選擇另存為， 在要你重命名的時候在文件名的后面打上“.txt”然后再殺毒。(3)如果還是不放心，你可以選擇刪除。3、記住自己常用的一些注冊網(wǎng)站的管理員郵箱，或者記住他們的郵箱后綴。

38、在看見這些郵件的時候一點要仔細核對這些信息，使用社會工程學(xué)的人一定會偽造一個極像的或者一字之差的郵箱與你溝通。例如，前一段時間有一個病毒文件的計算機進程，如下：rundll32.exe(真實的)rund1l32.exe(病毒)rund1132.exe(病毒),你不認真看，一下還真有點看不出來。這樣的郵件不管三七二十一，統(tǒng)統(tǒng)不要。4、為了能安全上網(wǎng)，安全的發(fā)郵件，有時候在QQ，MSN，SKY里面別人給你的莫名的網(wǎng)站一定不要打開，除非你特別信任他，或者你已經(jīng)知道了結(jié)果是什么。第五章 安全掃描技術(shù)5.1 安全掃描概述安全掃描技術(shù)是為使系統(tǒng)管理員能夠及時了解系統(tǒng)中存在的安全漏洞，并采取相應(yīng)防范措施，從

39、而降低系統(tǒng)的安全風(fēng)險而發(fā)展起來的一種安全技術(shù)。利用掃描技術(shù)，可以對局域網(wǎng)絡(luò)、Web站點、主機操作系統(tǒng)、系統(tǒng)服務(wù)以及防火墻系統(tǒng)的安全漏洞進行掃描，系統(tǒng)管理員可以了解在運行的網(wǎng)絡(luò)系統(tǒng)中存在的不安全的網(wǎng)絡(luò)服務(wù)，以及在操作系統(tǒng)上存在的可能導(dǎo)致攻擊的安全漏洞。安全掃描技術(shù)主要分為兩類：主機安全掃描技術(shù)和網(wǎng)絡(luò)安全掃描技術(shù)。主機安全掃描技術(shù)是通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞；而網(wǎng)絡(luò)安全掃描技術(shù)則主要針對系統(tǒng)中不合適的設(shè)臵脆弱的口令，以及針對其它同安全規(guī)則抵觸的對象進行檢查等。5.2 安全掃描全過程一次完整的安全掃描分為三個階段：(1)發(fā)現(xiàn)目標(biāo)主機或網(wǎng)絡(luò)。(2)

40、發(fā)現(xiàn)目標(biāo)后進一步搜集目標(biāo)信息，包括操作系統(tǒng)類型、運行的服務(wù)以及服務(wù)軟件的版本等。如果目標(biāo)是一個網(wǎng)絡(luò)，還可以進一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、路由設(shè)備以及各主機的信息。(3)根據(jù)搜集到的信息判斷或者進一步測試系統(tǒng)是否存在安全漏洞。第六章 VPN技術(shù)6.1 VPN的定義VPN即虛擬專用網(wǎng)，是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常， VPN 是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可

41、用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。6.2 VPN的功能由于采用了“虛擬專用網(wǎng)”技術(shù)，即用戶實際上并不存在一個獨立專用的網(wǎng)絡(luò)，用戶既不需要建設(shè)或租用專線，也不需要裝備專用的設(shè)備，就能組成一個屬于用戶自己專用的電信網(wǎng)絡(luò)。虛擬專用網(wǎng)是利用公用電信網(wǎng)組建起來的功能性網(wǎng)絡(luò)。不同類型的公用網(wǎng)絡(luò)，通過網(wǎng)絡(luò)內(nèi)部的軟件控制就可以組建不同種類的虛擬專用網(wǎng)。例如：利用公用電話網(wǎng)可以構(gòu)建“虛擬專用電話網(wǎng)”。6.3 VPN的關(guān)鍵技術(shù)1、加密技術(shù)數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權(quán)者不能了解被保護信息的內(nèi)容。加密算

42、法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4雖然強度比較弱，但是保護免于非專業(yè)人士的攻擊已經(jīng)足夠了；DES和三次DES強度比較高，可用于敏感的商業(yè)信息。加密技術(shù)可以在協(xié)議棧的任意層進行；可以對數(shù)據(jù)或報文頭進行加密。在網(wǎng)絡(luò)層中的加密標(biāo)準(zhǔn)是IPSec。網(wǎng)絡(luò)層加密實現(xiàn)的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”：加密只在路由器中進行，而終端與第一跳路由之間不加密。這種方法不太安全，因為數(shù)據(jù)從終端系統(tǒng)到第一條路由時可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中，VPN安全粒度達到個人終端系統(tǒng)的標(biāo)準(zhǔn)；而“隧道模式”方案，VPN安全粒度只達到子網(wǎng)標(biāo)準(zhǔn)。在鏈

43、路層中，目前還沒有統(tǒng)一的加密標(biāo)準(zhǔn)，因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計的，需要特別的加密硬件。2、隧道技術(shù)L2TP是L2F（Layer 2 Forwarding）和PPTP的結(jié)合。但是由于PC機的桌面操作系統(tǒng)包含著PPTP，因此PPTP仍比較流行。隧道的建立有兩種方式即：“用戶初始化”隧道和“NAS初始化”（Network Access Server）隧道。前者一般指“主動”隧道，后者指“強制”隧道。“主動”隧道是用戶為某種特定目的的請求建立的，而“強制”隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。L2TP作為“強制”隧道模型是讓撥號用戶與網(wǎng)絡(luò)中的另一點建立連接的重要機制

44、。建立過程如下：用戶通過Modem與NAS建立連接；用戶通過NAS的L2TP接入服務(wù)器身份認證；在政策配臵文件或NAS與政策服務(wù)器進行協(xié)商的基礎(chǔ)上，NAS和L2TP接入服務(wù)器動態(tài)地建立一條L2TP隧道；用戶與L2TP接入服務(wù)器之間建立一條點到點協(xié)議（Point to Point Protocol，PPP）訪問服務(wù)隧道；用戶通過該隧道獲得VPN服務(wù)。與之相反的是，PPTP作為“主動”隧道模型允許終端系統(tǒng)進行配臵，與任意位臵的PPTP服務(wù)器建立一條不連續(xù)的、點到點的隧道。并且，PPTP協(xié)商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網(wǎng)絡(luò)服務(wù)。PPTP建立過程如下：用戶通過串口以撥

45、號IP訪問的方式與NAS建立連接取得網(wǎng)絡(luò)服務(wù)；用戶通過路由信息定位PPTP接入服務(wù)器；用戶形成一個PPTP虛擬接口；用戶通過該接口與PPTP接入服務(wù)器協(xié)商、認證建立一條PPP訪問服務(wù)隧道；用戶通過該隧道獲得VPN服務(wù)。在L2TP中，用戶感覺不到NAS的存在，仿佛與PPTP接入服務(wù)器直接建立連接。而在PPTP中，PPTP隧道對NAS是透明的；NAS不需要知道PPTP接入服務(wù)器的存在，只是簡單地把PPTP流量作為普通IP流量處理。 采用L2TP還是PPTP實現(xiàn)VPN取決于要把控制權(quán)放在NAS還是用戶手中。L2TP比PPTP更安全，因為L2TP接入服務(wù)器能夠確定用戶從哪里來的。L2TP主要用于比較集

46、中的、固定的VPN用戶，而PPTP比較適合移動的用戶。第七章 入侵檢測系統(tǒng)7.1 入侵檢測技術(shù)的定義入侵檢測技術(shù)可以被定義為對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為,是為保證計算機系統(tǒng)的安全而設(shè)計與配臵的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。7.2 入侵檢測技術(shù)的分類1、按技術(shù)劃分(1)異常檢測模型：檢測與可接受行為之間的偏差。如果可以定義每項可接受的行為，那么每項不可接受的行為就應(yīng)該是入侵。首先總結(jié)正常操作應(yīng)該具有的特征(用戶輪廓)，當(dāng)用戶活動與正常行為有重大偏離時即被認

47、為是入侵。這種檢測模型漏報率低，誤報率高。因為不需要對每種入侵行為進行定義，所以能有效檢測未知的入侵。(2)誤用檢測模型：檢測與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為，那么每種能夠與之匹配的行為都會引起告警。收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。這種檢測模型誤報率低、漏報率高。對于已知的攻擊，它可以詳細、準(zhǔn)確地報告出攻擊類型，但是對未知攻擊卻效果有限，而且特征庫必須不斷更新。2、按對象劃分基于主機：系統(tǒng)分析的數(shù)據(jù)是計算機操作系統(tǒng)的事件日志、應(yīng)用程序的事件日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計記錄。

48、主機型入侵檢測系統(tǒng)保護的一般是所在的主機系統(tǒng)。是由代理來實現(xiàn)的，代理是運行在目標(biāo)主機上的小的可執(zhí)行程序，它們與命令控制臺通信?；诰W(wǎng)絡(luò)：系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負著保護整個網(wǎng)段的任務(wù)，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器組成，傳感器是一臺將以太網(wǎng)卡臵于混雜模式的計算機，用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包?；旌闲停夯诰W(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)都有不足之處，會造成防御體系的不全面，綜合了基于網(wǎng)絡(luò)和基于主機的混合型入侵檢測系統(tǒng)既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。7.3 入侵檢測技術(shù)存在的問題1、現(xiàn)有的入侵檢測系統(tǒng)檢測速度遠小于網(wǎng)絡(luò)傳輸速度, 導(dǎo)致誤報率