網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述

1、網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述1.安全體系的需求2.常見的網(wǎng)絡(luò)安全問題3.網(wǎng)絡(luò)攻擊的手段4.網(wǎng)絡(luò)安全技術(shù) 5.方案與實施6.安全標準及安全管理1EmailWebISP門戶網(wǎng)站E-Commerce電子交易復(fù)雜程度時間Internet 變得越來越重要2Internet 變得越來越糟糕網(wǎng)絡(luò)無處不在的特性使進攻隨時隨地可以發(fā)起；網(wǎng)絡(luò)本身就蓄積了大量的攻擊技巧（大概有26萬個站點提供此類知識）；攻擊軟件層出不窮。3網(wǎng)絡(luò)安全問題日益突出混合型威脅 (Code Red, Nimda)拒絕服務(wù)攻擊(Yahoo!, eBay)發(fā)送大量郵件的病毒(Love Letter/Melissa)多變形病毒(Tequila)特洛伊木

2、馬病毒網(wǎng)絡(luò)入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數(shù)量4開放的網(wǎng)絡(luò)外部環(huán)境越來越多的基于網(wǎng)絡(luò)的應(yīng)用 企業(yè)的業(yè)務(wù)要求網(wǎng)絡(luò)連接的不間斷性 來自內(nèi)部的安全隱患有限的防御措施錯誤的實現(xiàn)、錯誤的安全配置糟糕的管理和培訓(xùn)黑客的攻擊網(wǎng)絡(luò)風(fēng)險難以消除？5網(wǎng)絡(luò)攻擊的后果設(shè)備、系統(tǒng)損壞服務(wù)不可得財務(wù)損失數(shù)據(jù)丟失信息泄漏遭受篡改的信息造成誤動作集體凝聚力下降、相互信任感受損6常見網(wǎng)絡(luò)攻擊的分類 針對通訊層以下 針對OS的攻擊 針對通用的服務(wù)協(xié)議 針對特定的應(yīng)用程序7網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述1.安全體系的需求2.常見的網(wǎng)絡(luò)安全問題3.網(wǎng)絡(luò)攻擊的手段4.網(wǎng)絡(luò)安全技術(shù)

3、 5.安全方案與實施6.安全標準及安全管理8常見的網(wǎng)絡(luò)安全問題垃圾郵件網(wǎng)絡(luò)掃描和拒絕服務(wù)攻擊端口掃描和缺陷掃描DDOS、DOS入侵和蠕蟲蠕蟲：nimda、CR II系統(tǒng)缺陷9垃圾郵件危害網(wǎng)絡(luò)資源的浪費歐洲委員會公布的一份報告，垃圾郵件消耗的網(wǎng)絡(luò)費用每年高達100億美元 資源盜用利用他人的服務(wù)器進行垃圾郵件轉(zhuǎn)發(fā)威脅網(wǎng)絡(luò)安全10DOS、掃描危害占用資源占用大量帶寬服務(wù)器性能下降影響系統(tǒng)和網(wǎng)絡(luò)的可用性網(wǎng)絡(luò)癱瘓服務(wù)器癱瘓往往與入侵或蠕蟲伴隨缺陷掃描DDOS11入侵、蠕蟲造成的危害信息安全機密或個人隱私信息的泄漏信息篡改可信性的破壞系統(tǒng)安全后門的存在資源的喪失信息的暴露網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的癱瘓12垃圾郵件

4、的預(yù)防垃圾郵件特點郵件轉(zhuǎn)發(fā)原理配置Sendmail關(guān)閉轉(zhuǎn)發(fā)配置Exchange關(guān)閉轉(zhuǎn)發(fā)13垃圾郵件定義定義1：垃圾郵件就是相同的信息，在互聯(lián)網(wǎng)中被復(fù)制了無數(shù)遍，并且一直試圖著強加給那些不樂意接受它們的人群。 定義2：垃圾郵件是一種最令人頭疼而又讓人束手無策的推銷傳單。 14定義3：垃圾郵件是指與內(nèi)容無關(guān)，而且收件人并沒有明確要求接受該郵件的發(fā)送給多個收件人的信件或張貼物。也可以是發(fā)送給與信件主題不相關(guān)的新聞組或者列表服務(wù)器的同一信件的重復(fù)張貼物。 UCE （Unsolicited Commercial Email，不請自來的商業(yè)電子郵件）UBE （Unsolicited Bulk Email，

5、不請自來的批量電子郵件）定義4：垃圾郵件泛指未經(jīng)請求而發(fā)送的電子郵件，如未經(jīng)發(fā)件人請求而發(fā)送的商業(yè)廣告或非法的電子郵件垃圾郵件定義15垃圾郵件特點內(nèi)容：商業(yè)廣告宗教或個別團體的宣傳資料發(fā)財之道,連鎖信等 接收者無因接受被迫接受發(fā)送手段信頭或其它表明身份的信息進行了偽裝或篡改通常使用第三方郵件轉(zhuǎn)發(fā)來發(fā)送16配置Sendmail關(guān)閉轉(zhuǎn)發(fā)Sendmail 8.9以上版本etc/mail/relay-domains（控制容許郵件轉(zhuǎn)發(fā)）/etc/mail/accessSendmail 8.8以下版本升級Sendmail其它版本配置Sendmail缺省不允許轉(zhuǎn)發(fā)編輯相應(yīng)的允許轉(zhuǎn)發(fā)IP列表17如何防止收到垃

6、圾郵件？ 1）不要把您的郵件地址在INTERNET頁面上到處登記； 2）不要把您的郵件地址告訴您不太信任的一些人； 3）不要訂閱一些非正式的不鍵康的電子雜志，以防止被垃圾 郵件收集者收集； 4）不要在某些收集垃圾郵件的網(wǎng)頁上登記您的郵件地址； 5）發(fā)現(xiàn)收集或出售電子郵件地址的網(wǎng)站或消息，請告訴相應(yīng)的主頁提供商或主頁管理員，將您刪除，以避免郵件地址被他們利用，賣給許多商業(yè)及非法反動用戶； 6）建議您用專門的郵箱進行私人通信，而用其他郵箱訂閱電子雜志。防止收到垃圾郵件18掃描技術(shù)Port scanning: 找出網(wǎng)絡(luò)中開放的服務(wù)基于TCP/IP協(xié)議，對各種網(wǎng)絡(luò)服務(wù)，無論是主機或者防火墻、路由器都適

7、用端口掃描可以確認各種配置的正確性，避免遭受不必要的攻擊用途，雙刃劍管理員可以用來確保自己系統(tǒng)的安全性黑客用來探查系統(tǒng)的入侵點端口掃描的技術(shù)已經(jīng)非常成熟，目前有大量的商業(yè)、非商業(yè)的掃描器19掃描簡介缺陷掃描目的是發(fā)現(xiàn)可用的缺陷Satan、SSCAN服務(wù)掃描目的是為了發(fā)現(xiàn)可用的服務(wù)Proxy scan20掃描器的重要性掃描器能夠暴露網(wǎng)絡(luò)上潛在的脆弱性無論掃描器被管理員利用，或者被黑客利用，都有助于加強系統(tǒng)的安全性它能使得漏洞被及早發(fā)現(xiàn)，而漏洞遲早會被發(fā)現(xiàn)的掃描器可以滿足很多人的好奇心掃描器除了能掃描端口，往往還能夠發(fā)現(xiàn)系統(tǒng)存活情況，以及哪些服務(wù)在運行用已知的漏洞測試這些系統(tǒng)對一批機器進行測試，簡

8、單的迭代過程有進一步的功能，包括操作系統(tǒng)辨識、應(yīng)用系統(tǒng)識別21拒絕服務(wù)攻擊簡介DoS的英文全稱是Denial of Service，也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，DoS算是一種很簡單但又很有效的進攻方式。它的目的就是拒絕你的服務(wù)訪問，破壞組織的正常運行，最終它會使你的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)。22拒絕服務(wù)(Denial of Service)回顧信息安全的三個主要需求：保密性、完整性、可用性(availability)DoS是

9、針對可用性發(fā)起的攻擊關(guān)于DoS技術(shù)和原理都非常簡單，并且已經(jīng)工具化難以防范，有些DoS可以通過管理的手段防止DoS的動機受挫折，無法攻入目標系統(tǒng)，最后一招: DOS強行對方重啟機器惡意的破壞、或者報復(fù)網(wǎng)絡(luò)恐怖主義23DoS攻擊的基本過程我們可以看出DoS攻擊的基本過程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當服務(wù)器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復(fù)發(fā)送偽地址請求的情況下，服務(wù)器資源最終會被耗盡。24DoS的危害使得正常

10、的服務(wù)不能提供案例：1996年9月，一家ISP(Public Access Networks)公司遭受拒絕服務(wù)達一周一上，拒絕對約6000多人和1000家公司提供Internet服務(wù)政府網(wǎng)站美國白宮的網(wǎng)站曾經(jīng)遭受拒絕服務(wù)攻擊分布式拒絕服務(wù)2000年2月，一批商業(yè)性質(zhì)的Web站點收到了DDoS的攻擊25DoS的形式粗略來看，分為三種形式消耗有限的物理資源網(wǎng)絡(luò)連接帶寬資源其他資源，如磁盤空間、進程數(shù)合法用戶可登錄嘗試的次數(shù)有限，攻擊者可以用掉這些嘗試次數(shù)修改配置信息造成DoS比如，修改路由器信息，造成不能訪問網(wǎng)絡(luò)；修改NT注冊表，也可以關(guān)掉某些功能物理部件的移除，或破壞26DoS的技術(shù)分類從表現(xiàn)形

11、式來看帶寬消耗用足夠的資源消耗掉有限的資源利用網(wǎng)絡(luò)上的其他資源(惡意利用Internet共享資源)，達到消耗目標系統(tǒng)或網(wǎng)絡(luò)的目的系統(tǒng)資源消耗，針對操作系統(tǒng)中有限的資源，如進程數(shù)、磁盤、CPU、內(nèi)存、文件句柄，等等程序?qū)崿F(xiàn)上的缺陷，異常行為處理不正確，比如Ping of Death修改(篡改)系統(tǒng)策略，使得它不能提供正常的服務(wù)從攻擊原理來看通用類型的DoS攻擊，這類攻擊往往是與具體系統(tǒng)無關(guān)的，比如針對協(xié)議設(shè)計上的缺陷的攻擊系統(tǒng)相關(guān)的攻擊，這類攻擊往往與具體的實現(xiàn)有關(guān)說明：最終，所有的攻擊都是系統(tǒng)相關(guān)的，因為有些系統(tǒng)可以針對協(xié)議的缺陷提供一些補救措施，從而免受此類攻擊27DoS的技術(shù)歷史早期的In

12、ternet蠕蟲病毒消耗網(wǎng)絡(luò)資源非法的TCP標志，SYN Flood，等利用系統(tǒng)實現(xiàn)上的缺陷，點對點形式Ping of Death, IP分片重疊分布式DoS(DDoS)攻擊28一些典型的DoS攻擊Ping of Death發(fā)送異常的(長度超過IP包的最大值)SYN Flood快速發(fā)送多個SYN包UDP FloodTeardropIP包的分片裝配Smurf給廣播地址發(fā)送ICMP Echo包，造成網(wǎng)絡(luò)阻塞29Ping of Death原理：直接利用ping包，即ICMP Echo包，有些系統(tǒng)在收到大量比最大包還要長的數(shù)據(jù)包，會掛起或者死機受影響的系統(tǒng)：許多操作系統(tǒng)受影響攻擊做法直接利用ping工

13、具，發(fā)送超大的ping數(shù)據(jù)包防止措施打補丁防火墻阻止這樣的ping包30防止DoS對于網(wǎng)絡(luò)路由器和防火墻配置得當，可以減少受DoS攻擊的危險比如，禁止IP欺騙可以避免許多DoS攻擊入侵檢測系統(tǒng)，檢測異常行為對于系統(tǒng)升級系統(tǒng)內(nèi)核，打上必要的補丁，特別是一些簡單的DoS攻擊，例如SYN Flooding關(guān)掉不必要的服務(wù)和網(wǎng)絡(luò)組件如果有配額功能的話，正確地設(shè)置這些配額監(jiān)視系統(tǒng)的運行，避免降低到基線以下檢測系統(tǒng)配置信息的變化情況保證物理安全建立備份和恢復(fù)機制31網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述1.安全體系的需求2.常見的網(wǎng)絡(luò)安全問題3.網(wǎng)絡(luò)攻擊的手段4.網(wǎng)絡(luò)安全技術(shù) 5.安全方案與實施6.安全標準及安全管理32網(wǎng)

14、絡(luò)攻擊的手段病毒特洛伊木馬口令入侵網(wǎng)絡(luò)欺騙郵件炸彈Sniffer(網(wǎng)絡(luò)監(jiān)聽）入侵攻擊偽裝33計算機病毒“為什么叫做病毒。首先，與醫(yī)學(xué)上的”病毒“不同，它不是天然存在的，是某些人利用計算機軟、硬件，編制具有特殊功能的程序。由于它與生物醫(yī)學(xué)上的病毒同樣有傳染和破壞的特性，因此這一名詞是由生物醫(yī)學(xué)上的病毒概念引申而來計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。計算機病毒定義34 那么究竟它是如何產(chǎn)生的呢？其過程可分為：程序設(shè)計-傳播-潛伏-觸發(fā)、運行-實行攻擊。究其產(chǎn)生的原因不外乎以下幾種： 開個玩笑，一個惡作劇。

15、 產(chǎn)生于個別人的報復(fù)心理。 用于版權(quán)保護。 用于特殊目的。病毒的產(chǎn)生35計算機病毒的特點1、傳染性 這是計算機病毒的重要特征.計算機病毒進入計算機系統(tǒng)后,就會自動地開始尋找傳染對象,并迅速傳染給它,這里的對象可以是程序、磁盤或網(wǎng)絡(luò)中的一個計算機系統(tǒng)。2、隱蔽性 病毒程序一般技巧性較高，它可用附加或插入的方法隱蔽在操作系統(tǒng)或可執(zhí)行文件中，很難被發(fā)現(xiàn).36計算機病毒的特點3、潛伏性 病毒進入計算機后一般不會立即發(fā)作，但在此期間，只要計算機系統(tǒng)工作就可以傳染病毒。一旦發(fā)作的條件成熟,這種潛伏性就會立即轉(zhuǎn)化為破壞性。4、破壞性 這也是機算機病毒的重要特征,即降低計算機系統(tǒng)的工作效率,占用系統(tǒng)資源，其具

16、體情況取決于入侵系統(tǒng)的病毒程序。這也是它的最終目的。37典型病毒CR II蠕蟲感染主機全球超過30萬臺導(dǎo)致大量網(wǎng)絡(luò)設(shè)備癱瘓Nimda蠕蟲病毒 即尼姆達病毒，又叫概念(Concept)病毒，是一種通過網(wǎng)絡(luò)傳播的計算機病毒，它能利用多種傳播途徑對幾乎所有Windows系統(tǒng)操作系統(tǒng)(包括Windows95/98/ME,NT和2000等)發(fā)動攻擊。而且染毒的機器會自動向其他機器發(fā)動攻擊和發(fā)送帶毒的email，并造成網(wǎng)絡(luò)堵塞。38特征碼掃描法 特征碼掃描法是分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中，在掃描時將掃描對象與特征代碼庫比較，如有吻合則判斷為染上病毒。該技術(shù)實現(xiàn)簡單有效，安全徹底；但查

17、殺病毒滯后，并且龐大的特征碼庫會造成查毒速度下降；目前廣泛應(yīng)用的3種病毒防治技術(shù)39虛擬執(zhí)行技術(shù) 該技術(shù)通過虛擬執(zhí)行方法查殺病毒，可以對付加密、變形、異型及病毒生產(chǎn)機生產(chǎn)的病毒，具有如下特點：在查殺病毒時在機器虛擬內(nèi)存中模擬出一個“指令執(zhí)行虛擬機器”在虛擬機環(huán)境中虛擬執(zhí)行（不會被實際執(zhí)行）可疑帶毒文件在執(zhí)行過程中，從虛擬機環(huán)境內(nèi)截獲文件數(shù)據(jù)，如果含有可疑病毒代碼，則殺毒后將其還原到原文件中，從而實現(xiàn)對各類可執(zhí)行文件內(nèi)病毒的查殺 40文件實時監(jiān)控技術(shù) 通過利用操作系統(tǒng)底層接口技術(shù)，對系統(tǒng)中的所有類型文件或指定類型的文件進行實時的行為監(jiān)控，一旦有病毒傳染或發(fā)作時就及時報警。從而實現(xiàn)了對病毒的實時、

18、永久、自動監(jiān)控。這種技術(shù)能夠有效控制病毒的傳播途徑，但是這種技術(shù)的實現(xiàn)難度較大，系統(tǒng)資源的占用率也會有所降低。41特洛伊程序的由來特洛伊程序是由編程人員創(chuàng)造的。它的作者都有著自己的意圖。這種意圖可以是任意的。但是基于在Internet的安全的前題，一個特洛伊程序?qū)⒁龅氖窍铝袃杉轮械囊患ɑ騼烧呒嬗校禾峁┮恍┕δ埽@些功能可以泄露一些系統(tǒng)的私有信息給程序的作者或者控制該系統(tǒng)。隱藏了一些功能，這些功能能夠?qū)⑾到y(tǒng)的私有信息泄露給程序的作者，或者能夠控制該系統(tǒng)。特洛伊木馬42特洛伊木馬特洛伊程序代表哪一級別的危險？特洛伊程序代表了一種很高級別的危險，主要是因為我們已經(jīng)提到的幾種原因：特洛伊程序很

19、難以被發(fā)現(xiàn)在許多情況下，特洛伊程序是在二進制代碼中發(fā)現(xiàn)的，它們大多數(shù)以無法閱讀的形式存在特洛伊程序可作用于許多機器中43特洛伊木馬程序Back Orifice 工作于windows95/98，client/server結(jié)構(gòu)，使被安裝計算機能夠從遠程控制冰河44口令入侵口令不會被解開，多數(shù)口令加密過程都是單向、不可逆的。但是可以使用仿真工具，利用與原口令程序相同的方法，通過對比分析，用不同的加密口令去取匹配原口令。45口令入侵破解的基礎(chǔ)-字典該文件是一個單詞明碼正文表典型的對字典的替換規(guī)則大小些交替使用把單詞正向、反向拼寫后，接在一起（如cannac）在每個單詞的開頭和結(jié)尾加上數(shù)字146網(wǎng)絡(luò)欺騙

20、IP欺騙假冒他人的IP地址發(fā)送信息郵件欺騙假冒他人的email地址發(fā)送信息Web欺騙你能相信你所看到的信息嗎？其他欺騙術(shù)DNS欺騙非技術(shù)性欺騙47IP欺騙IP欺騙的動機隱藏自己的IP地址，防止被跟蹤以IP地址作為授權(quán)依據(jù)穿越防火墻IP欺騙的形式單向IP欺騙：不考慮回傳的數(shù)據(jù)包雙向IP欺騙：要求看到回傳的數(shù)據(jù)包更高級的欺騙：TCP會話劫持IP欺騙成功的要訣IP數(shù)據(jù)包路由原則：根據(jù)目標地址進行路由48IP欺騙IP欺騙就是偽造他人的源IP地址。其實質(zhì)就是讓一臺機器扮演另一臺機器。常見的攻擊過程讓被替代的機器A休眠發(fā)現(xiàn)目標機器B的序列號規(guī)律冒充機器A向機器B發(fā)出請求，算出機器應(yīng)該發(fā)來什么序列號，給出機

21、器B想要的回應(yīng)。這樣就可以利用機器B對機器A的信任關(guān)系進行攻擊。49IP欺騙：改變自己的地址用網(wǎng)絡(luò)配置工具改變機器的IP地址注意：只能發(fā)送數(shù)據(jù)包收不到回包防火墻可能阻擋在Linux平臺上用ifconfig50IP欺騙IP欺騙的保護：主機保護，兩種考慮保護自己的機器不被用來實施IP欺騙物理防護、登錄口令權(quán)限控制，不允許修改配置信息保護自己的機器不被成為假冒的對象網(wǎng)絡(luò)防護路由器上設(shè)置欺騙過濾器入口過濾，外來的包帶有內(nèi)部IP地址出口過濾，內(nèi)部的包帶有外部IP地址保護免受源路由攻擊路由器上禁止這樣的數(shù)據(jù)包51電子郵件欺騙的動機隱藏發(fā)信人的身份，匿名信挑撥離間，唯恐世界不亂騙取敏感信息欺騙的形式使用類似

22、的電子郵件地址修改郵件客戶軟件的賬號配置直接連到smtp服務(wù)器上發(fā)信電子郵件欺騙成功的要訣與郵局的運作模式比較基本的電子郵件協(xié)議不包括簽名機制電子郵件欺騙52電子郵件欺騙：使用類似的地址發(fā)信人使用被假冒者的名字注冊一個賬號，然后給目標發(fā)送一封正常的信我是你的上司XX，請把XXX發(fā)送給我我在外面度假，請送到我的個人信箱他(她)能識別嗎？53郵件欺騙的保護郵件服務(wù)器的驗證Smtp服務(wù)器驗證發(fā)送者的身份，以及發(fā)送的郵件地址是否與郵件服務(wù)器屬于相同的域驗證接收方的域名與郵件服務(wù)器的域名是否相同有的也驗證發(fā)送者的域名是否有效，通過反向DNS解析不能防止一個內(nèi)部用戶假冒另一個內(nèi)部用戶發(fā)送郵件審核制度，所有

23、的郵件都有記錄隱私？54Web是應(yīng)用層上提供的服務(wù)，直接面向Internet用戶，欺騙的根源在于由于Internet的開放性，任何人都可以建立自己的Web站點Web站點名字(DNS域名)可以自由注冊，按先后順序并不是每個用戶都清楚Web的運行規(guī)則Web欺騙的動機商業(yè)利益，商業(yè)競爭政治目的Web欺騙的形式使用相似的域名改寫URL劫持Web會話Web欺騙55使用類似的域名注冊一個與目標公司或組織相似的域名，然后建立一個欺騙網(wǎng)站，騙取該公司的用戶的信任，以便得到這些用戶的信息例如，針對ABC公司，用來混淆如果客戶提供了敏感信息，那么這種欺騙可能會造成進一步的危害，例如：用戶在假冒的網(wǎng)站上訂購了一些商

24、品，然后出示支付信息，假冒的網(wǎng)站把這些信息記錄下來(并分配一個cookie)，然后提示：現(xiàn)在網(wǎng)站出現(xiàn)故障，請重試一次。當用戶重試的時候，假冒網(wǎng)站發(fā)現(xiàn)這個用戶帶有cookie，就把它的請求轉(zhuǎn)到真正的網(wǎng)站上。用這種方法，假冒網(wǎng)站可以收集到用戶的敏感信息。對于從事商業(yè)活動的用戶，應(yīng)對這種欺騙提高警惕56改寫URL一個HTTP頁面從Web服務(wù)器到瀏覽器的傳輸過程中，如果其中的內(nèi)容被修改了的話，則欺騙就會發(fā)生，其中最重要的是URL改寫URL改寫可以把用戶帶到不該去的地方，例如： Welcom to Hollywood-Movie site.有一些更為隱蔽的做法直接指向一些惡意的代碼把url定向放到scr

25、ipt代碼中，難以發(fā)現(xiàn)改寫頁面的做法入侵Web服務(wù)器，修改頁面設(shè)置中間http代理在傳輸路徑上截獲頁面并改寫在客戶端裝載后門程序57Web會話劫持HTTP協(xié)議不支持會話(無狀態(tài))，Web會話如何實現(xiàn)？Cookie用url記錄會話用表單中的隱藏元素記錄會話Web會話劫持的要點在于，如何獲得或者猜測出會話ID58防止Web欺騙使用類似的域名注意觀察URL地址欄的變化不要信任不可靠的URL信息改寫URL查看頁面的源文本可以發(fā)現(xiàn)使用SSLWeb會話劫持養(yǎng)成顯式注銷的習(xí)慣使用長的會話IDWeb的安全問題很多，我們需要更多的手段來保證Web安全59防止Web欺騙使用類似的域名注意觀察URL地址欄的變化不要

26、信任不可靠的URL信息改寫URL查看頁面的源文本可以發(fā)現(xiàn)使用SSLWeb會話劫持養(yǎng)成顯式注銷的習(xí)慣使用長的會話IDWeb的安全問題很多，我們需要更多的手段來保證Web安全60關(guān)于欺騙技術(shù)從這些欺騙技術(shù)，我們可以看到IP協(xié)議的脆弱性應(yīng)用層上也缺乏有效的安全措施在網(wǎng)絡(luò)攻擊技術(shù)中，欺騙術(shù)是比較初級的，技術(shù)含量并不高，它是針對Internet中各種不完善的機制而發(fā)展起來的非技術(shù)性的欺騙比如，實施社會工程畢竟網(wǎng)絡(luò)世界與現(xiàn)實世界是緊密相關(guān)的避免被欺騙最好的辦法是教育、教育、再教育增強每一個Internet用戶的安全意識，網(wǎng)絡(luò)管理人員以及軟件開發(fā)人員的安全意識更加重要61會話(交易)劫持在現(xiàn)實環(huán)境中，比如對

27、于銀行一筆交易如果營業(yè)員檢查了顧客的身份證和賬戶卡抬起頭來，發(fā)現(xiàn)不再是剛才的顧客他會把錢交給外面的顧客嗎？在網(wǎng)絡(luò)上沒有人知道你是一條狗62TCP會話劫持欺騙和劫持欺騙是偽裝成合法用戶，以獲得一定的利益劫持是積極主動地使一個在線的用戶下線，或者冒充這個用戶發(fā)送消息，以便達到自己的目的動機Sniffer對于一次性密鑰并沒有用認證協(xié)議使得口令不在網(wǎng)絡(luò)上傳輸會話劫持分兩種被動劫持，實際上就是藏在后面監(jiān)聽所有的會話流量。常常用來發(fā)現(xiàn)密碼或者其他敏感信息主動劫持，找到當前活動的會話，并且把會話接管過來。迫使一方下線，由劫持者取而代之，危害更大，因為攻擊者接管了一個合法的會話之后，可以做許多危害性更大的事情

28、63會話劫持示意圖被劫持者A服務(wù)器B1 A遠程登錄，建立會話，完成認證過程攻擊者H2 監(jiān)聽流量3 劫持會話4 迫使A下線64如何防止會話劫持部署共享式網(wǎng)絡(luò)，用交換機代替集線器TCP會話加密防火墻配置限制盡可能少量的外部許可連接的IP地址檢測ACK包的數(shù)量明顯增加65郵件炸彈郵件炸彈是指發(fā)送大量的垃圾郵件造成對方收發(fā)電子郵件的困難。如果是ISP（Internet服務(wù)器提供商，例如當?shù)財?shù)據(jù)通訊局）的收費信箱，會讓用戶憑空增加不少使用費；如果是Hotmail的信箱就造成用戶賬號被查封；其他的免費信箱可能造成正常郵件的丟失（因為信箱被垃圾郵件填滿并超出原定容量，服務(wù)器會把該信箱的郵件全部刪除）66郵件

29、炸彈攻擊方法直接轟炸，使用一些發(fā)垃圾郵件的專用工具，通過多個SMTP服務(wù)器進行發(fā)送。這種方法的特點是速度快，直接見效。使用“電郵卡車”之類的軟件，通過一些公共服務(wù)的服務(wù)器對信箱進行轟炸。這種轟炸方式很少見，但是危害很大。攻擊者一般使用國外服務(wù)器，只要發(fā)送一封電子郵件，服務(wù)器就可能給被炸用戶發(fā)成千上萬的電子郵件，用戶只好更換新的信箱。給目標電子信箱訂閱大量的郵件廣告。67SinfferSniffer既可以是硬件，也可以是軟件，它用來接收在網(wǎng)絡(luò)上傳輸?shù)男畔?。Sniffer成為一種很大的危險，因為：它們可以截獲口令它們可以截獲秘密的或?qū)Ｓ械男畔⑺鼈兛梢员挥脕砉粝噜彽木W(wǎng)絡(luò)68SinfferSniff

30、er代表著什么級別的危險Sniffer可以截獲的不僅僅是用戶的ID和口令。它可以截獲敏感的經(jīng)濟數(shù)據(jù)（如信用卡號）、秘密的信息（E-mail）和專有信息。基于入侵者可利用的資源，一個Sniffer可能截獲網(wǎng)絡(luò)上所有的信息。69Sinffer檢測和消滅嗅探器 會話加密 將數(shù)據(jù)隱藏，使嗅探器無法發(fā)現(xiàn) 加密 你最關(guān)心的可能是傳輸一些比較敏感的數(shù)據(jù)，如用戶ID或口令等等。有些數(shù)據(jù)是沒有經(jīng)過處理的，一旦被sniffer，就能獲得這些信息。解決這些問題的辦法是加密（例如SSL)。70社會工程有時軟件并非是系統(tǒng)中最薄弱的環(huán)節(jié)；有時周圍基礎(chǔ)結(jié)構(gòu)是系統(tǒng)的最薄弱環(huán)節(jié)。例如，請考慮社會工程，因為這是攻擊者使用社會工作

31、環(huán)節(jié)來闖入系統(tǒng)的時機。通常，服務(wù)中心將接到一個來自聽起來挺誠摯的用戶的電話，該用戶會說服服務(wù)專業(yè)人員給出本不該泄露的密碼，或一些其它應(yīng)該保密的信息，通過這些信息來發(fā)動攻擊。通常很容易發(fā)動這種攻擊。71安全問題的趨勢：混合型攻擊整合了病毒和黑客的攻擊技術(shù)不需要借助社會工程進行傳播和攻擊能夠自動發(fā)現(xiàn)并自動感染和攻擊 兩個例子：CodeRed 和 Nimda傳播速度極快，有可能在20分鐘之內(nèi)感染整個Internet不需要人工干預(yù)，利用軟件漏洞進行自動攻擊攻擊程序的破壞性更強依靠單個產(chǎn)品和某一種安全技術(shù)都不能進行有效防護！72網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述1.安全體系的需求2.常見的網(wǎng)絡(luò)安全問題3.網(wǎng)絡(luò)攻擊的手

32、段4.網(wǎng)絡(luò)安全技術(shù) 5.安全方案與實施6.安全標準及安全管理73網(wǎng)絡(luò)安全技術(shù)防火墻技術(shù)入侵檢測技術(shù)網(wǎng)絡(luò)安全評估系統(tǒng)虛擬專用網(wǎng)VPN技術(shù)IPSec安全備份和系統(tǒng)災(zāi)難恢復(fù)74防火墻技術(shù)防火墻是位于兩個或多個網(wǎng)絡(luò)間，實施網(wǎng)間訪問控制的計算機和網(wǎng)絡(luò)設(shè)備的集合，它滿足以下條件：內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻只有符合安全政策的數(shù)據(jù)流才能通過防火墻防火墻的作用強化安全策略 有效地記錄Internet上的活動 隔離不同網(wǎng)絡(luò)，限制安全問題擴散是一個安全策略的檢查站75公共服務(wù)器區(qū)因特網(wǎng)防火墻基本概念內(nèi)部網(wǎng)76防火墻技術(shù)防火墻的基本設(shè)計目標對于一個網(wǎng)絡(luò)來說，所有通過“內(nèi)部”和“外部”的網(wǎng)絡(luò)流量都要經(jīng)

33、過防火墻通過一些安全策略，來保證只有經(jīng)過授權(quán)的流量才可以通過防火墻防火墻本身必須建立在安全操作系統(tǒng)的基礎(chǔ)上防火墻的控制能力服務(wù)控制，確定哪些服務(wù)可以被訪問方向控制，對于特定的服務(wù)，可以確定允許哪個方向能夠通過防火墻用戶控制，根據(jù)用戶來控制對服務(wù)的訪問行為控制，控制一個特定的服務(wù)的行為77防火墻的功能定義一個必經(jīng)之點擋住未經(jīng)授權(quán)的訪問流量禁止具有脆弱性的服務(wù)帶來危害實施保護，以避免各種IP欺騙和路由攻擊防火墻提供了一個監(jiān)視各種安全事件的位置，所以，可以在防火墻上實現(xiàn)審計和報警對于有些Internet功能來說，防火墻也可以是一個理想的平臺，比如地址轉(zhuǎn)換，Internet日志、審計，甚至計費功能防火

34、墻可以作為IPSec的實現(xiàn)平臺78防火墻操作層次79防火墻類型包過濾路由器應(yīng)用層網(wǎng)關(guān)電路層網(wǎng)關(guān)80包過濾路由器基本的思想很簡單對于每個進來的包，適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或者丟棄該包往往配置成雙向的如何過濾過濾的規(guī)則以IP和傳輸層的頭中的域(字段)為基礎(chǔ)，包括源和目標IP地址、IP協(xié)議域、源和目標端口號過濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件來作出決定。如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄如果所有規(guī)則都不匹配，則根據(jù)缺省策略81安全缺省策略兩種基本策略，或缺省策略沒有被拒絕的流量都可以通過管理員必須針對每一種新出現(xiàn)的攻擊，制定新的規(guī)則沒有被允許的流量都要拒絕比較保

35、守根據(jù)需要，逐漸開放82網(wǎng)絡(luò)層鏈路層物理層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)包過濾路由器示意圖83包過濾防火墻的優(yōu)點速度快靈活可以封鎖拒絕服務(wù)及相關(guān)攻擊實現(xiàn)簡單，對用戶透明是置于與不可信網(wǎng)絡(luò)相連的最外邊界之理想設(shè)備84包過濾防火墻的缺點 不能阻止利用具體應(yīng)用的弱點或功能的攻擊 正確制定規(guī)則并不容易 不支持高級用戶鑒別方案 不能有效防止網(wǎng)絡(luò)地址假冒攻擊 容易受配置不當?shù)挠绊?5包過濾路由器應(yīng)用層網(wǎng)關(guān)電路層網(wǎng)關(guān)防火墻類型86也稱為代理服務(wù)器特點所有的連接都通過防火墻，防火墻作為網(wǎng)關(guān)在應(yīng)用層上實現(xiàn)可以監(jiān)視包的內(nèi)容可以實現(xiàn)基于用戶的認證所有的應(yīng)用需要單獨實現(xiàn)可以提供理想的日志功能非常安全，但是開銷比較大應(yīng)用層網(wǎng)關(guān)87應(yīng)

36、用層網(wǎng)關(guān)的結(jié)構(gòu)示意圖88應(yīng)用層網(wǎng)關(guān)的優(yōu)缺點優(yōu)點允許用戶“直接”訪問Internet易于記錄日志缺點新的服務(wù)不能及時地被代理每個被代理的服務(wù)都要求專門的代理軟件客戶軟件需要修改，重新編譯或者配置有些服務(wù)要求建立直接連接，無法使用代理比如聊天服務(wù)、或者即時消息服務(wù)代理服務(wù)不能避免協(xié)議本身的缺陷或者限制89包過濾路由器應(yīng)用層網(wǎng)關(guān)電路層網(wǎng)關(guān)防火墻類型90本質(zhì)上，也是一種代理服務(wù)器有狀態(tài)的包過濾器動態(tài)包過濾器狀態(tài)上下文環(huán)境流狀態(tài)認證和授權(quán)方案例子：socks電路層網(wǎng)關(guān)91電路層網(wǎng)關(guān)的優(yōu)缺點優(yōu)點效率高精細控制，可以在應(yīng)用層上授權(quán)為一般的應(yīng)用提供了一個框架缺點客戶程序需要修改(要求鏈接到socks libr

37、ary)92防火墻本身的一些局限性對于繞過防火墻的攻擊，它無能為力，例如，在防火墻內(nèi)部通過撥號出去防火墻不能防止內(nèi)部的攻擊，以及內(nèi)部人員與外部人員的聯(lián)合攻擊(比如，通過tunnel進入)防火墻不能防止被病毒感染的程序或者文件、郵件等93網(wǎng)絡(luò)安全技術(shù)防火墻技術(shù)入侵檢測技術(shù)網(wǎng)絡(luò)安全評估系統(tǒng)虛擬專用網(wǎng)VPN技術(shù)IPSec安全備份和系統(tǒng)災(zāi)難恢復(fù)94IDS: Intrusion Detection System入侵檢測系統(tǒng)介紹入侵檢測系統(tǒng)分類入侵檢測系統(tǒng)用到的一些技術(shù)入侵檢測系統(tǒng)的研究和發(fā)展95入侵檢測 (IDS)防火墻和IDS是網(wǎng)絡(luò)安全中互為補充的兩項工具實時監(jiān)控網(wǎng)絡(luò)流量檢查審計信息,尋找入侵活動當發(fā)

38、現(xiàn)入侵特征后,告警IDS通常很昂貴,會產(chǎn)生相當多的誤報96IDS的功能IDS通常執(zhí)行以下任務(wù)監(jiān)視分析用戶及系統(tǒng)活動系統(tǒng)構(gòu)造和弱點的審計 識別反映已知進攻的活動模式并報警 異常行為模式的統(tǒng)計分析 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性 操作系統(tǒng)的審計跟蹤管理并識別用戶違反安全策略的行為97 防火墻不能：抵擋來自內(nèi)部的攻擊防止“社會工程”防范繞過防火墻的攻擊。內(nèi)部提供撥號服務(wù)病毒威脅掃描器：好與壞提供行動計劃和依據(jù)需要資源修復(fù)漏洞修復(fù)漏洞的同時又出現(xiàn)其他漏洞無法確定與某一特定應(yīng)用相關(guān)的 為什么需要入侵檢測98IDS的用途攻擊工具攻擊命令攻擊機制目標網(wǎng)絡(luò)網(wǎng)絡(luò)漏洞目標系統(tǒng)系統(tǒng)漏洞攻擊者漏洞掃描評估加固攻擊過程

39、實時入侵檢測99入侵檢測系統(tǒng)的實現(xiàn)過程信息收集，來源：網(wǎng)絡(luò)流量系統(tǒng)日志文件系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為信息分析模式匹配統(tǒng)計分析完整性分析，往往用于事后分析100入侵檢測系統(tǒng)的通用模型數(shù)據(jù)源模式匹配器系統(tǒng)輪廓分析引擎數(shù)據(jù)庫入侵模式庫異常檢測器響應(yīng)和恢復(fù)機制101入侵檢測系統(tǒng)的分類IDS一般從實現(xiàn)方式上分為兩種基于主機的IDS和基于網(wǎng)絡(luò)的IDS ，一個完備的入侵檢測系統(tǒng)IDS一定是基于主機和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植际较到y(tǒng)基于主機安全操作系統(tǒng)必須具備一定的審計功能，并記錄相應(yīng)的安全性日志基于網(wǎng)絡(luò)IDS可以放在防火墻或者網(wǎng)關(guān)的后面，以網(wǎng)絡(luò)嗅探器的形式捕獲所有的對內(nèi)對外的數(shù)據(jù)包102基

40、于網(wǎng)絡(luò)的IDS基于網(wǎng)絡(luò)的IDS使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源，一般利用一個網(wǎng)絡(luò)適配器來實時監(jiān)視和分析所有通過網(wǎng)絡(luò)進行傳輸?shù)耐ㄐ拧Ｒ坏z測到攻擊，IDS應(yīng)答模塊通過通知報警以及中斷連接等方式來對攻擊作出反應(yīng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要優(yōu)點有 1 成本低 2 攻擊者轉(zhuǎn)移證據(jù)很困難 3 實時檢測和應(yīng)答。一旦發(fā)生惡意訪問或攻擊基于網(wǎng)絡(luò)的IDS檢測可 以隨時發(fā)現(xiàn)它們因此能夠更快地作出反應(yīng)從而將入侵活動對系統(tǒng)的破壞減到最低 4 能夠檢測未成功的攻擊企圖 5 操作系統(tǒng)獨立?；诰W(wǎng)絡(luò)的IDS并不依賴主機的操作系統(tǒng)作為檢測資源。而基于主機的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用103基于主機的ID

41、S基于主機的IDS一般監(jiān)視Windows NT上的系統(tǒng)、事件、安全日志以及UNIX環(huán)境中的syslog文件。一旦發(fā)現(xiàn)這些文件發(fā)生任何變化IDS將比較新的日志記錄與攻擊簽名以發(fā)現(xiàn)它們是否匹配。如果匹配的話檢測系統(tǒng)就向管理員發(fā)出入侵報警并且發(fā)出采取相應(yīng)的行動基于主機的IDS的主要優(yōu)勢有 (1)非常適用于加密和交換環(huán)境 (2)接近實時的檢測和應(yīng)答 (3)不需要額外的硬件104異常檢測(anomaly detection)也稱為基于行為的檢測首先建立起用戶的正常使用模式，即知識庫標識出不符合正常模式的行為活動難點正常模式的知識庫難以建立難以明確劃分正常模式和異常模式誤用檢測(misuse detect

42、ion)也稱為基于特征的檢測建立起已知攻擊的知識庫判別當前行為活動是否符合已知的攻擊模式難點：如何做到動態(tài)更新，自適應(yīng)IDS的技術(shù)105IDS的兩個指標漏報率指攻擊事件沒有被IDS檢測到誤報率(false alarm rate)把正常事件識別為攻擊并報警誤報率與檢出率成正比例關(guān)系0 檢出率(detection rate) 100%100%誤報率106IDS與響應(yīng)和恢復(fù)技術(shù)IDS屬于檢測的環(huán)節(jié)，一旦檢測到入侵或者攻擊，必須盡快地做出響應(yīng)，以保證信息系統(tǒng)的安全IDS的響應(yīng)機制，可以從基本的管理角度來考慮，也可以從技術(shù)角度來實施，包括與其他防護系統(tǒng)的互操作，比如防火墻對于一個企業(yè)而言，IDS與DRP

43、(Disaster Recovery Planning)需要一起來制訂和實施DRP包括業(yè)務(wù)影響分析(BIA, Business Impact Analysis)數(shù)據(jù)必須定期備份信息系統(tǒng)的根本目的是提供便利的服務(wù)災(zāi)難評估明確責任人107防火墻技術(shù)入侵檢測技術(shù)網(wǎng)絡(luò)安全評估系統(tǒng)虛擬專用網(wǎng)VPN技術(shù)IPSec安全備份和系統(tǒng)災(zāi)難恢復(fù)網(wǎng)絡(luò)安全技術(shù)108無法量化的東西是無法管理的！什么是風(fēng)險評估? “我們有多安全？” 查找已知的弱點與漏洞 檢查制定的安全策略是否被執(zhí)行 檢驗已實施的安全策略的有效性 提供有效的建議方案 自動修復(fù)109評估企業(yè)范圍內(nèi)的安全風(fēng)險和漏洞 (包括網(wǎng)絡(luò))檢測違反安全策略的行為確保企業(yè)安

44、全策略的一致性提供全企業(yè)范圍內(nèi)的、集成的安全管理構(gòu)架我們的網(wǎng)絡(luò)有多安全 ? 如何知道 ? 風(fēng)險評估的作用 110風(fēng)險評估的類型 1、基于主機（Host-Based）2、基于網(wǎng)絡(luò)（Network-Based）111Host-Based 評估由內(nèi)而外的角度在每臺系統(tǒng)上詳細檢查可能的風(fēng)險可產(chǎn)生整個網(wǎng)絡(luò)的安全評估報告調(diào)度定期執(zhí)行，對網(wǎng)絡(luò)沖擊極小112Host-Based 評估些什么？口令強度帳號配置網(wǎng)絡(luò)參數(shù)NT RAShttpftptelnet其他網(wǎng)絡(luò) port 與問題文件保護配置Patch 等級太舊 特定 O/S 問題Windows NT registryNetWare NDS 問題UNIX sui

45、d 文件113系統(tǒng)漏洞掃描114數(shù)據(jù)庫漏洞掃描115Network-Based 評估由外而內(nèi)的觀點以黑客的角度來檢測網(wǎng)絡(luò)無法提供用戶使用不當?shù)娘L(fēng)險評估可針對無法部署 host 軟件的網(wǎng)絡(luò)設(shè)備進行評估，如：routers,switches, 網(wǎng)絡(luò)打印機,網(wǎng)絡(luò)存儲設(shè)備等。116網(wǎng)絡(luò)漏洞掃描117集成基于主機&基于網(wǎng)絡(luò)安全評估基于主機風(fēng)險評估基于網(wǎng)絡(luò)風(fēng)險評估 Inside-the-system point of view Employees are cause of 80% of info sec crime View systems from local privileged perspectiv

46、e Scalability High-level summaries to convey status Scheduled, safe assessments Minimal impact to network and performance Unobtrusive to end users Highest levels of confidence in accuracy View network from external perspective Periodic checks to understand “hackers” view Quick turn around time on sc

47、ans Often can include more “out-of-the-box” checks Ease of implementation and use Test critical network devices that do not run hostsoftware like routers, switches, firewalls118防火墻技術(shù)入侵檢測技術(shù)網(wǎng)絡(luò)安全評估系統(tǒng)虛擬專用網(wǎng)VPN技術(shù)IPSec安全備份和系統(tǒng)災(zāi)難恢復(fù)網(wǎng)絡(luò)安全技術(shù)119虛擬專用網(wǎng)VPN技術(shù)VPN介紹VPN目標VPN關(guān)鍵技術(shù)VPN實施120VPN介紹什么是VPN？是指在公共網(wǎng)絡(luò)上通過遂道和/或加密技術(shù)，為企

48、業(yè)所建立的邏輯上的專用網(wǎng)絡(luò) 它是虛擬的網(wǎng)，即沒有固定的物理連接，網(wǎng)路只有用戶需要時才建立。它是利用公眾網(wǎng)設(shè)施構(gòu)成的專用網(wǎng), 構(gòu)建在公共網(wǎng)絡(luò)上的 VPN 如同企業(yè)私有的網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等。121VPN介紹解釋：Virtual Private Network，即為“虛擬專用網(wǎng)”。V 即Virtual，表示VPN有別于傳統(tǒng)的專用網(wǎng)絡(luò)，它并不一種物理的網(wǎng)絡(luò)，而是企業(yè)利用電信運營商所提供的公有網(wǎng)絡(luò)資源和設(shè)備，而建立的自己的邏輯專用網(wǎng)絡(luò)，這種網(wǎng)絡(luò)的好處在于可以降低企業(yè)建立使用“專用網(wǎng)絡(luò)”的費用。 P 即Private，表示特定企業(yè)或用戶群體可以像使用傳統(tǒng)專用網(wǎng)一樣來使用這個網(wǎng)絡(luò)資源，即

49、這種網(wǎng)絡(luò)具有很強的私有性，具體可以表現(xiàn)在下面兩個方面：網(wǎng)絡(luò)資源的專用性，即VPN網(wǎng)絡(luò)資源（如信道和帶寬）在企業(yè)需要時可以被為企業(yè)所專門使用，當企業(yè)不需要時又可以被其它VPN用戶所使用，企業(yè)用戶可以獲得像傳統(tǒng)專用網(wǎng)一樣的服務(wù)質(zhì)量；網(wǎng)絡(luò)的安全性，指VPN用戶的信息不會流出VPN的范圍之外，用戶信息受到VPN網(wǎng)絡(luò)的保護，可以實現(xiàn)用戶信息在公共網(wǎng)絡(luò)傳輸中隱蔽性；N 即Network，表示這是一種專門組網(wǎng)技術(shù)和服務(wù)，企業(yè)為了建立和使用VPN必須購買和配備相應(yīng)的網(wǎng)絡(luò)設(shè)備。 122VPN分類按隧道位置分類按隧道應(yīng)用分類123基于網(wǎng)絡(luò)的VPN(NB-VPN:Network based VPN)當隧道的兩端為服

50、務(wù)提供商邊緣設(shè)備(在Internet環(huán)境下，也稱ISP邊緣路由器)時，IP隧道采用節(jié)點之間以全連接或部分連接形式構(gòu)成IP VPN的主干網(wǎng)。一般指由電信提供商提供VPN和VPDN服務(wù)。基于用戶邊緣設(shè)備的VPN(CE-VPN:Customer Equipment VPN)當隧道的兩端為CE設(shè)備(在Internet環(huán)境下，稱為用戶前端設(shè)備路由器)時，隧道對CE采用全連接或部分連接就構(gòu)成基于CE的VPN。其中，CE可通過ATM VCC、幀中繼電路、DDN專線等接入服務(wù)提供商網(wǎng)絡(luò)。一般指由企業(yè)用戶自由地選擇相關(guān)VPN設(shè)備來實現(xiàn)。按隧道位置分類124Intranet VPN Intranet VPN即企業(yè)

51、內(nèi)部網(wǎng)或內(nèi)聯(lián)網(wǎng)。Intranet內(nèi)所有的用戶站點通過隧道適當互連，這些站點同屬于一個單一的管理部門。目前Intranet VPN是VPN應(yīng)用最主要的形式。Extranet VPN Extranet VPN即外聯(lián)網(wǎng)。在這個網(wǎng)絡(luò)內(nèi)，屬于某一個管理者的用戶站點，由于業(yè)務(wù)的需求要與多個屬于其他管理者的用戶站點進行有限制的連接。有限制的連接主要指可以進行互訪問的有關(guān)協(xié)作數(shù)據(jù)是限制的，并不是所有數(shù)據(jù)都可以放開互訪。撥號VPN(VPDN)VPN用戶通過PSTN或ISDN撥號線路接入VPN網(wǎng)絡(luò)，它具有接入范圍廣，建設(shè)VPN投資少，建設(shè)周期短，運行費用低等優(yōu)點。按隧道應(yīng)用分類125VPN目標可靠的確定通信參與實

52、體（包括用戶、網(wǎng)絡(luò)設(shè)備）的身份；保護傳輸數(shù)據(jù)的機密性，免遭未授權(quán)的暴露或泄露；保護傳輸數(shù)據(jù)的完整性，免遭未授權(quán)的篡改；提供一定的邊界訪問控制和用戶訪問授權(quán)。126VPN關(guān)鍵技術(shù)密碼技術(shù)安全隧道技術(shù)身份認證技術(shù)訪問控制技術(shù)127密碼技術(shù)對稱密碼算法：DES、3DES、國家專用算法非對稱密碼算法：RSA、DSA、橢圓曲線摘要算法：MD5、SHA摘要簽名算法：HMAC-MD5、HMAC-SHA、國家專用算法128隧道是在公用IP網(wǎng)中建立邏輯點到點連接的一種方法，是一個疊加在IP網(wǎng)上的傳送通道。一個隧道的基本要素：隧道開通器（TI）隧道終止器（TT） 一個隧道協(xié)議通常包括以下幾個方面：乘客協(xié)議被封裝的

53、協(xié)議，如PPP、SLIP； 封裝協(xié)議隧道的建立、維持和斷開，如L2TP、IPSec等； 承載協(xié)議承載經(jīng)過封裝后的數(shù)據(jù)包的協(xié)議，如IP和ATM等 安全隧道技術(shù)129防火墻技術(shù)包過濾應(yīng)用層代理地址轉(zhuǎn)換（NAT）MAC地址綁定訪問控制技術(shù)130VPN實施方式以現(xiàn)有Router昇級為VPN Router 架構(gòu)簡單：由於Router昇級在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)不變下，對IT管理者來說，可說是最簡單的。一般都會包括防火牆、加密以及通道(Tunneling)等功能。有些廠商會將使用者身份辨識與既有的身份辨識服務(wù)(RADIUS)連在一起。 效率不佳：由於防火牆、加密以及通道均以軟體方式達成，在Router流量大時，非常

54、消耗CPU資源。尤其在需大量運算如Triple-DES等的應(yīng)用時將使CPU的資源更雪上加霜。在服務(wù)器與Fire Wall中加裝VPN軟件專用VPN設(shè)備 優(yōu)點：專用VPN設(shè)備最大的優(yōu)勢在於高效率；在高階產(chǎn)品中可同時支援多個通道連線，且在使用專用VPN設(shè)備時，並不會影響網(wǎng)絡(luò)上其它設(shè)備的效率如Router、Server、Fire-Wall等。 易管理：專屬VPN設(shè)備架構(gòu)必須更改現(xiàn)有網(wǎng)路組態(tài)，大部份的VPN設(shè)備都支援SNMP管理，如真的發(fā)生問題時您可透過網(wǎng)管軟體來控制。 131VPN的建立有三種方式：一種是企業(yè)自身建設(shè)，對ISP透明；第二種是ISP建設(shè)，對企業(yè)透明；第三種是ISP和企業(yè)共同建設(shè)。 安全

55、VPN建設(shè)：建議由企業(yè)自身建設(shè)，采用隧道技術(shù)和密碼技術(shù)相結(jié)合的VPN網(wǎng)絡(luò)設(shè)備，同時應(yīng)該建立完善的管理系統(tǒng)。安全VPN實施建設(shè)132防火墻技術(shù)入侵檢測技術(shù)網(wǎng)絡(luò)安全評估系統(tǒng)虛擬專用網(wǎng)VPN技術(shù)IPSec安全備份和系統(tǒng)災(zāi)難恢復(fù)網(wǎng)絡(luò)安全技術(shù)133 IP是TCP/IP協(xié)議族中至關(guān)重要的組成部分, 但它提供的是一種不可靠、無連接的的數(shù)據(jù)報傳輸服務(wù) 不可靠（unreliable)：不能保證一個IP數(shù)據(jù)報成功地到達其目的地。錯誤處理辦法：扔掉該數(shù)據(jù)報，向其發(fā)送著傳送一個ICMP消息。 無連接（connectionless)：IP并不維護關(guān)于連續(xù)發(fā)送的數(shù)據(jù)報的任何狀態(tài)信息。每個數(shù)據(jù)報單獨處理，在傳送過程中可能出

56、現(xiàn)錯序。IP協(xié)議134 缺乏對通信雙方身份真實性的鑒別能力 缺乏對傳輸數(shù)據(jù)的完整性和機密性保護的機制 由于IP地址可軟件配置以及基于源IP地址的鑒 別機制，IP層存在： 業(yè)務(wù)流被監(jiān)聽和捕獲、IP地址欺騙、信息泄露 和數(shù)據(jù)項篡改等攻擊IPv4的缺陷 135IPSec的起源 1994年IETF專門成立IP安全協(xié)議工作組，來制定 和推動一套稱為Ipsec的IP安全協(xié)議標準。 1995年8月公布了一系列關(guān)于IPSec的建議標準 1996年，IETF公布下一代IP的標準IPv6 ，把鑒別 和加密作為必要的特征，IPSec成為其必要的組成 部分 幸運的是，IPv4也可以實現(xiàn)這些安全特性。136IPSec的

57、應(yīng)用IPSec提供對跨越LAN/WAN，Internet的通訊提供安全性分支辦公機構(gòu)通過Internet互連。(Secure VPN)通過Internet的遠程訪問。與合作伙伴建立extranet與intranet的互連。增強電子商務(wù)安全性。IPSec的主要特征是可以支持IP級所有流量的加密和/或認證。因此可以增強所有分布式應(yīng)用的安全性。137 端到端（end-end):主機到主機的安全通信 端到路由（end-router):主機到路由設(shè)備之間的 安全通信 路由到路由（router-router):路由設(shè)備之間的 安全通信，常用于在兩個網(wǎng)絡(luò)之間建立虛擬專用 網(wǎng)(VPN)IPSec的應(yīng)用方式 1

58、38IPSec的好處在防火墻或路由器中實現(xiàn)時，可以對所有跨越周界的流量實施強安全性。而公司內(nèi)部或工作組不必招致與安全相關(guān)處理的負擔。在防火墻中實現(xiàn)IPSec可以防止IP旁路。IPSec是在傳輸層(TCP,UDP)之下，因此對應(yīng)用透明。不必改變用戶或服務(wù)器系統(tǒng)上的軟件。IPSec可以對最終用戶透明。無須訓(xùn)練用戶。需要時IPSec可以提供個人安全性。彌補IPv4在協(xié)議設(shè)計時缺乏安全性考慮的不足139體系結(jié)構(gòu)ESP協(xié)議AH協(xié)議加密算法加密算法DOI密鑰管理IPSec 體 系 結(jié) 構(gòu)140對上述特征的支持在IPv6中是強制的，在IPv4中是可選的。這兩種情況下都是采用在主IP報頭后面接續(xù)擴展報頭的方法

59、實現(xiàn)的。認證的擴展報頭稱為AH(Authentication Header)加密的擴展報頭稱為ESP header (Encapsulating Security Payload)體系結(jié)構(gòu)： 包括總體概念，安全需求，定義，以及定義IPSec技術(shù)的 機制；ESP： 使用ESP進行包加密的報文包格式和一般性問題，以及， 可選的認證；AH： 使用ESP進行包加密的報文包格式和一般性問題；加密算法： 描述將各種不同加密算法用于ESP的文檔；認證算法： 描述將各種不同加密算法用于AH以及ESP認證選項的文檔；密鑰管理： 描述密鑰管理模式；DOI(解釋域):其它相關(guān)文檔，批準的加密和認證算法標識，以及運行

60、參數(shù) 等；141IPSec提供的服務(wù)IPSec在IP層提供安全服務(wù)，使得系統(tǒng)可以選擇所需要的安全協(xié)議，確定該服務(wù)所用的算法，并提供安全服務(wù)所需任何加密密鑰。訪問控制連接完整性數(shù)據(jù)源認證拒絕重放數(shù)據(jù)包保密性（加密）有限信息流保密性142AHESP(僅加密）ESP(加密+認證) 訪問控制連接完整性數(shù)據(jù)源認證拒絕重放包保密性有限保密性143網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述1.安全體系的需求2.常見的網(wǎng)絡(luò)安全問題3.網(wǎng)絡(luò)攻擊的手段4.網(wǎng)絡(luò)安全技術(shù) 5.安全方案與實施6.安全標準及安全管理144企業(yè)級安全總體規(guī)劃安全業(yè)務(wù)調(diào)度安全安全政策法規(guī)功能設(shè)計安全職能劃分安全應(yīng)用級安全文件安全目錄安全數(shù)據(jù)安全郵件安全群件安全事