網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn)(基礎(chǔ))課件

網(wǎng)絡(luò)與信息安全技術(shù)

網(wǎng)絡(luò)安全部分

網(wǎng)絡(luò)與信息安全技術(shù)

網(wǎng)絡(luò)安全部分

主要內(nèi)容網(wǎng)絡(luò)安全簡介TCP/IP網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)安全概念和手段介紹安全建議網(wǎng)絡(luò)安全展望主要內(nèi)容網(wǎng)絡(luò)安全簡介冒名頂替廢物搜尋身份識(shí)別錯(cuò)誤不安全服務(wù)配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號(hào)進(jìn)入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊網(wǎng)絡(luò)安全威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全威脅冒名頂替廢物搜尋身份識(shí)別錯(cuò)誤不安全服務(wù)配置初始化乘虛而入代碼虛擬專用網(wǎng)防火墻訪問控制防病毒入侵檢測網(wǎng)絡(luò)安全整體框架(形象圖)虛擬專用網(wǎng)防火墻訪問控制防病毒入侵檢測網(wǎng)絡(luò)安全整體框架(形象中國被黑網(wǎng)站一覽表sninfo/西安信息港

/貴州方志與地情網(wǎng)

中國青少年發(fā)展基金會(huì)(放有不良圖片，現(xiàn)已被中國黑客刪除)

福建外貿(mào)信息網(wǎng)

/湖北武昌區(qū)政府信息網(wǎng)(恢復(fù))

桂林圖書館

ipc.ac/中國科學(xué)院理化技術(shù)研究所

中國:beijing-radio/

中國科學(xué)院心理研究所psych.ac中國被黑網(wǎng)站一覽表sninfo/西安信息港

國內(nèi)外黑客組織北京綠色聯(lián)盟技術(shù)公司(nsfocus)中國紅客聯(lián)盟()中國鷹派(chinawill)中國黑客聯(lián)盟HackweiserProphetAcidklownPoizonboxPrimeSuspectzSubexSVUNHi-Tech國內(nèi)外黑客組織北京綠色聯(lián)盟技術(shù)公司(nsfocus)網(wǎng)絡(luò)病毒紅色代碼尼姆達(dá)沖擊波震蕩波ARP病毒

網(wǎng)絡(luò)病毒紅色代碼木馬病毒性木馬工行密碼盜?。眩涯抉R其它后門工具木馬病毒性木馬安全威脅實(shí)例用戶使用一臺(tái)計(jì)算機(jī)D訪問位于網(wǎng)絡(luò)中心服務(wù)器S上的webmail郵件服務(wù)，存在的安全威脅：U在輸入用戶名和口令時(shí)被錄像機(jī)器D上有keylogger程序，記錄了用戶名和口令機(jī)器D上存放用戶名和密碼的內(nèi)存對(duì)其他進(jìn)程可讀，其他進(jìn)程讀取了信息，或這段內(nèi)存沒有被清0就分配給了別的進(jìn)程，其他進(jìn)程讀取了信息用戶名和密碼被自動(dòng)保存了用戶名和密碼在網(wǎng)絡(luò)上傳輸時(shí)被監(jiān)聽（共享介質(zhì)、或arp偽造）機(jī)器D上被設(shè)置了代理，經(jīng)過代理被監(jiān)聽安全威脅實(shí)例用戶使用一臺(tái)計(jì)算機(jī)D訪問位于網(wǎng)絡(luò)中心服務(wù)器S上的安全威脅實(shí)例（續(xù)）查看郵件時(shí)被錄像機(jī)器D附近的無線電接收裝置接收到顯示器發(fā)射的信號(hào)并且重現(xiàn)出來屏幕記錄程序保存了屏幕信息瀏覽郵件時(shí)的臨時(shí)文件被其他用戶打開瀏覽器cache了網(wǎng)頁信息臨時(shí)文件僅僅被簡單刪除，但是硬盤上還有信息由于DNS攻擊，連接到錯(cuò)誤的站點(diǎn)，泄漏了用戶名和密碼由于網(wǎng)絡(luò)感染了病毒，主干網(wǎng)癱瘓，無法訪問服務(wù)器服務(wù)器被DOS攻擊，無法提供服務(wù)安全威脅實(shí)例（續(xù)）查看郵件時(shí)被錄像什么是網(wǎng)絡(luò)安全？本質(zhì)就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全防護(hù)的目的。網(wǎng)絡(luò)安全的定義：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

保障各種網(wǎng)絡(luò)資源穩(wěn)定、可靠的運(yùn)行和受控、合法使用什么是網(wǎng)絡(luò)安全？本質(zhì)就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全的定義：網(wǎng)絡(luò)安全的特征（1）保密性confidentiality：信息不泄露給非授權(quán)的用戶、實(shí)體或過程，或供其利用的特性。（2）完整性integrity：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可用性availability：可被授權(quán)實(shí)體訪問并按需求使用的特性，即當(dāng)需要時(shí)應(yīng)能存取所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊。（4）可控性controllability：對(duì)信息的傳播及內(nèi)容具有控制能力。（5）可審查性：出現(xiàn)的安全問題時(shí)提供依據(jù)與手段網(wǎng)絡(luò)安全的特征（1）保密性confidentiality：信主要內(nèi)容網(wǎng)絡(luò)安全簡介TCP/IP網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)安全概念和手段介紹安全建議網(wǎng)絡(luò)安全展望主要內(nèi)容網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)——開放系統(tǒng)互連參考模型（1）ISO/OSI模型網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層對(duì)等協(xié)議物理介質(zhì)系統(tǒng)A系統(tǒng)B第N+1層第N層PDUSDUHPDU第N-1層SDUN+1層協(xié)議實(shí)體N+1層協(xié)議實(shí)體N層協(xié)議實(shí)體SAPSAP網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)——開放系統(tǒng)互連參考模型（1）ISO/OSI模TCP/IP網(wǎng)絡(luò)的體系結(jié)構(gòu)TCP/IP技術(shù)的發(fā)展設(shè)計(jì)目標(biāo)——實(shí)現(xiàn)異種網(wǎng)的網(wǎng)際互連是最早出現(xiàn)的系統(tǒng)化的網(wǎng)絡(luò)體系結(jié)構(gòu)之一順應(yīng)了技術(shù)發(fā)展網(wǎng)絡(luò)互連的應(yīng)用需求采用了開放策略與最流行的UNIX操作系統(tǒng)相結(jié)合TCP/IP的成功主要應(yīng)該歸功于其開放性，使得最廣泛的廠商和研究者能夠不斷地尋找和開發(fā)滿足市場需求的網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)。

魚與熊掌總是不能兼得，也正是其體系結(jié)構(gòu)得開放性，導(dǎo)致了TCP/IP網(wǎng)絡(luò)的安全性隱患！TCP/IP網(wǎng)絡(luò)的體系結(jié)構(gòu)TCP/IP技術(shù)的發(fā)展TCP/IP的網(wǎng)絡(luò)互連網(wǎng)際互連是通過IP網(wǎng)關(guān)（gateway）實(shí)現(xiàn)的網(wǎng)關(guān)提供網(wǎng)絡(luò)與網(wǎng)絡(luò)之間物理和邏輯上的連通功能網(wǎng)關(guān)是一種特殊的計(jì)算機(jī)，同時(shí)屬于多個(gè)網(wǎng)絡(luò)G1網(wǎng)絡(luò)1網(wǎng)絡(luò)3G1網(wǎng)絡(luò)2TCP/IP的網(wǎng)絡(luò)互連網(wǎng)際互連是通過IP網(wǎng)關(guān)（gateTCP/IP與OSI參考模型TCP/IP協(xié)議和OSI模型的對(duì)應(yīng)關(guān)系應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthernet,IEEE802.3,802.11等

ICMPARPRARPOSI參考模型Internet協(xié)議簇物理層TCP/IP與OSI參考模型TCP/IP協(xié)議和OSI模型的對(duì)影響網(wǎng)絡(luò)安全的主要因素（1）網(wǎng)絡(luò)的缺陷 因特網(wǎng)在設(shè)計(jì)之初對(duì)共享性和開放性的強(qiáng)調(diào)，使得其在安全性方面存在先天的不足。其賴以生存的TCP/IP協(xié)議族在設(shè)計(jì)理念上更多的是考慮該網(wǎng)絡(luò)不會(huì)因局部故障而影響信息的傳輸，基本沒有考慮安全問題，故缺乏應(yīng)有的安全機(jī)制。因此它在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。

例如：多數(shù)底層協(xié)議為廣播方式，多數(shù)應(yīng)用層協(xié)議為明文傳輸，缺乏保密與認(rèn)證機(jī)制，因此容易遭到欺騙和竊聽軟件及系統(tǒng)的“漏洞”及后門

隨著軟件及網(wǎng)絡(luò)系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門”也不可避免的存在，比如我們常用的操作系統(tǒng)，無論是Windows還是UNIX幾乎都存在或多或少的安全漏洞，眾多的服務(wù)器、瀏覽器、桌面軟件等等都被發(fā)現(xiàn)存在很多安全隱患。任何一個(gè)軟件系統(tǒng)都可能會(huì)因?yàn)槌绦騿T的一個(gè)疏忽或設(shè)計(jì)中的一個(gè)缺陷等原因留下漏洞。這也成為網(wǎng)絡(luò)的不安全因素之一影響網(wǎng)絡(luò)安全的主要因素（1）網(wǎng)絡(luò)的缺陷影響網(wǎng)絡(luò)安全的主要因素（2）黑客的攻擊 黑客技術(shù)不再是一種高深莫測的技術(shù)，并逐漸被越來越多的人掌握。目前，世界上有20多萬個(gè)免費(fèi)的黑客網(wǎng)站，這些站點(diǎn)從系統(tǒng)漏洞入手，介紹網(wǎng)絡(luò)攻擊的方法和各種攻擊軟件的使用，這樣，系統(tǒng)和站點(diǎn)遭受攻擊的可能性就變大了。加上現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，這些都使得黑客攻擊具有隱蔽性好，“殺傷力”強(qiáng)的特點(diǎn)，構(gòu)成了網(wǎng)絡(luò)安全的主要威脅。網(wǎng)絡(luò)普及，安全建設(shè)滯后 網(wǎng)絡(luò)硬件建設(shè)如火如荼，網(wǎng)絡(luò)管理尤其是安全管理滯后，用戶安全意識(shí)不強(qiáng)，即使應(yīng)用了最好的安全設(shè)備也經(jīng)常達(dá)不到預(yù)期效果影響網(wǎng)絡(luò)安全的主要因素（2）黑客的攻擊主要內(nèi)容網(wǎng)絡(luò)安全簡介TCP/IP網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)安全概念和手段介紹安全建議網(wǎng)絡(luò)安全展望主要內(nèi)容網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念，可靠的網(wǎng)絡(luò)安全解決方案必須建立在集成網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，網(wǎng)絡(luò)系統(tǒng)安全策略就是基于這種技術(shù)集成而提出的，主要有三種：1直接風(fēng)險(xiǎn)控制策略（靜態(tài)防御）

安全=風(fēng)險(xiǎn)分析+安全規(guī)則+直接的技術(shù)防御體系+安全監(jiān)控攻擊手段是不斷進(jìn)步的，安全漏洞也是動(dòng)態(tài)出現(xiàn)的，因此靜態(tài)防御下的該模型存在著本質(zhì)的缺陷。2自適應(yīng)網(wǎng)絡(luò)安全策略（動(dòng)態(tài)性）

安全=風(fēng)險(xiǎn)分析+執(zhí)行策略+系統(tǒng)實(shí)施+漏洞分析+實(shí)時(shí)響應(yīng)該策略強(qiáng)調(diào)系統(tǒng)安全管理的動(dòng)態(tài)性，主張通過安全性檢測、漏洞監(jiān)測，自適應(yīng)地填充“安全間隙”，從而提高網(wǎng)絡(luò)系統(tǒng)的安全性。完善的網(wǎng)絡(luò)安全體系，必須合理協(xié)調(diào)法律、技術(shù)和管理三種因素，集成防護(hù)、監(jiān)控和恢復(fù)三種技術(shù)，力求增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的健壯性與免疫力。局限性在于：只考慮增強(qiáng)系統(tǒng)的健壯性，僅綜合了技術(shù)和管理因素，僅采用了技術(shù)防護(hù)。

網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念，可靠的網(wǎng)絡(luò)網(wǎng)絡(luò)安全策略（續(xù)）

3智能網(wǎng)絡(luò)系統(tǒng)安全策略（動(dòng)態(tài)免疫力）安全=風(fēng)險(xiǎn)分析+安全策略+技術(shù)防御體系+攻擊實(shí)時(shí)檢測+安全跟蹤+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進(jìn)化技術(shù)防御體系包括漏洞檢測和安全縫隙填充；安全跟蹤是為攻擊證據(jù)記錄服務(wù)的，系統(tǒng)學(xué)習(xí)進(jìn)化是旨在改善系統(tǒng)性能而引入的智能反饋機(jī)制。 模型中，“風(fēng)險(xiǎn)分析+安全策略”體現(xiàn)了管理因素；“技術(shù)防御體系+攻擊實(shí)時(shí)檢測+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進(jìn)化”體現(xiàn)了技術(shù)因素；技術(shù)因素綜合了防護(hù)、監(jiān)控和恢復(fù)技術(shù)；“安全跟蹤+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進(jìn)化”使系統(tǒng)表現(xiàn)出動(dòng)態(tài)免疫力。網(wǎng)絡(luò)安全策略（續(xù)）網(wǎng)絡(luò)安全防護(hù)模型－PDRR

目前業(yè)界共識(shí)：“安全不是技術(shù)或產(chǎn)品，而是一個(gè)過程”。為了保障網(wǎng)絡(luò)安全，應(yīng)重視提高系統(tǒng)的入侵檢測能力、事件反應(yīng)能力和遭破壞后的快速恢復(fù)能力。信息保障有別于傳統(tǒng)的加密、身份認(rèn)證、訪問控制、防火墻等技術(shù)，它強(qiáng)調(diào)信息系統(tǒng)整個(gè)生命周期的主動(dòng)防御。網(wǎng)絡(luò)安全防護(hù)模型－PDRR 目前業(yè)界共識(shí)：“安全不是技術(shù)網(wǎng)絡(luò)安全防護(hù)模型－PDRR（續(xù)）保護(hù)(PROTECT)

傳統(tǒng)安全概念的繼承，包括信息加密技術(shù)、訪問控制技術(shù)等等。檢測(DETECT)

從監(jiān)視、分析、審計(jì)信息網(wǎng)絡(luò)活動(dòng)的角度，發(fā)現(xiàn)對(duì)于信息網(wǎng)絡(luò)的攻擊、破壞活動(dòng)，提供預(yù)警、實(shí)時(shí)響應(yīng)、事后分析和系統(tǒng)恢復(fù)等方面的支持，使安全防護(hù)從單純的被動(dòng)防護(hù)演進(jìn)到積極的主動(dòng)防御。網(wǎng)絡(luò)安全防護(hù)模型－PDRR（續(xù)）保護(hù)(PROTECT網(wǎng)絡(luò)安全防護(hù)模型－PDRR（續(xù)）響應(yīng)(RESPONSE)

在遭遇攻擊和緊急事件時(shí)及時(shí)采取措施，包括調(diào)整系統(tǒng)的安全措施、跟蹤攻擊源和保護(hù)性關(guān)閉服務(wù)和主機(jī)等。恢復(fù)(RECOVER)

評(píng)估系統(tǒng)受到的危害與損失，恢復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動(dòng)備份系統(tǒng)等。網(wǎng)絡(luò)安全防護(hù)模型－PDRR（續(xù)）響應(yīng)(RESPONSE網(wǎng)絡(luò)安全保障體系安全管理與審計(jì)物理層安全網(wǎng)絡(luò)層安全傳輸層安全應(yīng)用層安全鏈路層物理層網(wǎng)絡(luò)層傳輸層應(yīng)用層表示層會(huì)話層審計(jì)與監(jiān)控身份認(rèn)證數(shù)據(jù)加密數(shù)字簽名完整性鑒別端到端加密訪問控制鏈路加密物理信道安全物理隔離訪問控制數(shù)據(jù)機(jī)密性數(shù)據(jù)完整性用戶認(rèn)證防抵賴安全審計(jì)網(wǎng)絡(luò)安全層次層次模型網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)安全目標(biāo)用戶安全服務(wù)可用網(wǎng)絡(luò)安全保障體系安全管理與審計(jì)物理層安全網(wǎng)絡(luò)層安全傳輸層安全安全技術(shù)選擇--根據(jù)協(xié)議層次 物理層：物理隔離

鏈路層:鏈路加密技術(shù)、PPTP/L2TP網(wǎng)絡(luò)層:IPSec協(xié)議（VPN）、防火墻TCP層:SSL協(xié)議、基于公鑰的認(rèn)證和對(duì)稱鑰加密技術(shù)應(yīng)用層:SHTTP、PGP、S/MIME、SSH(Secureshell)、開發(fā)專用協(xié)議（SET）安全技術(shù)選擇--根據(jù)協(xié)議層次 物理層：物理隔離網(wǎng)絡(luò)安全工具物理隔離設(shè)備交換機(jī)/路由器安全模塊防火墻(Firewall)漏洞掃描器入侵檢測系統(tǒng)IDS、入侵防御系統(tǒng)IPS、安全審計(jì)系統(tǒng)、日志審計(jì)系統(tǒng)綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)虛擬專用網(wǎng)（VPN）、上網(wǎng)行為管理系統(tǒng)病毒防護(hù)（防病毒軟件、防毒墻、防木馬軟件等）網(wǎng)絡(luò)加速，負(fù)載均衡、流量控制……網(wǎng)絡(luò)安全工具物理隔離設(shè)備物理隔離主要分兩種：雙網(wǎng)隔離計(jì)算機(jī)物理隔離網(wǎng)閘物理隔離主要分兩種：雙網(wǎng)隔離計(jì)算機(jī)解決每人2臺(tái)計(jì)算機(jī)的問題1臺(tái)計(jì)算機(jī)，可以分時(shí)使用內(nèi)網(wǎng)或外網(wǎng)關(guān)鍵部件硬盤網(wǎng)線軟盤/USB/MODEM等共享部件顯示器鍵盤/鼠標(biāo)主板/電源硬盤*原理切換關(guān)鍵部件雙網(wǎng)隔離計(jì)算機(jī)解決每人2臺(tái)計(jì)算機(jī)的問題簡單雙網(wǎng)隔離計(jì)算機(jī)外網(wǎng)硬盤內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡控制開關(guān)簡單雙網(wǎng)隔離計(jì)算機(jī)外網(wǎng)硬盤內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控復(fù)雜雙網(wǎng)隔離計(jì)算機(jī)內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡遠(yuǎn)端設(shè)備使用控制卡上的翻譯功能將硬盤分為邏輯上獨(dú)立的部分充分使用UTP中的8芯，減少一根網(wǎng)線復(fù)雜雙網(wǎng)隔離計(jì)算機(jī)內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡遠(yuǎn)端物理隔離網(wǎng)閘的基本原理采用數(shù)據(jù)“擺渡”的方式實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的信息交換在任意時(shí)刻，物理隔離設(shè)備只能與一個(gè)網(wǎng)絡(luò)的主機(jī)系統(tǒng)建立非TCP/IP協(xié)議的數(shù)據(jù)連接，即當(dāng)它與外部網(wǎng)絡(luò)相連接時(shí)，它與內(nèi)部網(wǎng)絡(luò)的主機(jī)是斷開的，反之亦然。任何形式的數(shù)據(jù)包、信息傳輸命令和TCP/IP協(xié)議都不可能穿透物理隔離設(shè)備。物理隔離設(shè)備在網(wǎng)絡(luò)的第7層講數(shù)據(jù)還原為原始數(shù)據(jù)文件，然后以“擺渡文件”形式傳遞原始數(shù)據(jù)。物理隔離網(wǎng)閘的基本原理采用數(shù)據(jù)“擺渡”的方式實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間物理隔離實(shí)現(xiàn)基本原理（1）物理隔離實(shí)現(xiàn)基本原理（1）物理隔離實(shí)現(xiàn)基本原理（2）內(nèi)外網(wǎng)模塊連接相應(yīng)網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)的接收及預(yù)處理等操作；交換模塊采用專用的高速隔離電子開關(guān)實(shí)現(xiàn)與內(nèi)外網(wǎng)模塊的數(shù)據(jù)交換，保證任意時(shí)刻內(nèi)外網(wǎng)間沒有鏈路層連接；數(shù)據(jù)只能以專用數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)間通過網(wǎng)閘進(jìn)行“擺渡”，傳送到網(wǎng)閘另一側(cè)；集成多種安全技術(shù)手段，采用強(qiáng)制安全策略，對(duì)數(shù)據(jù)內(nèi)容進(jìn)行安全檢測，保障數(shù)據(jù)安全、可靠的交換。物理隔離實(shí)現(xiàn)基本原理（2）內(nèi)外網(wǎng)模塊連接相應(yīng)網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)的接物理隔離技術(shù)的應(yīng)用涉密網(wǎng)和非涉密網(wǎng)之間物理隔離技術(shù)的應(yīng)用涉密網(wǎng)和非涉密網(wǎng)之間物理隔離技術(shù)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：

中斷直接連接

強(qiáng)大的檢查機(jī)制

最高的安全性缺點(diǎn)：

對(duì)協(xié)議不透明，對(duì)每一種協(xié)議都要一種具體的實(shí)現(xiàn) 效率低物理隔離技術(shù)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：

交換機(jī)安全模塊MAC綁定QOS設(shè)置多VLAN劃分日志其他…交換機(jī)安全模塊MAC綁定路由器安全功能訪問控制鏈表基于源地址/目標(biāo)地址/協(xié)議端口號(hào)路徑的完整性防止IP假冒和拒絕服務(wù)（Anti-spoofing/DDOS）檢查源地址：ipverifyunicastreverse-path

過濾RFC1918

地址空間的所有IP包；關(guān)閉源路由：noipsource-route路由協(xié)議的過濾與認(rèn)證Flood管理日志其他抗攻擊功能路由器安全功能訪問控制鏈表VPN通過一個(gè)私有的通道來創(chuàng)建一個(gè)安全的私有連接，將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司的業(yè)務(wù)伙伴等跟企業(yè)網(wǎng)連接起來，形成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)提供高性能、低價(jià)位的因特網(wǎng)接入VPN是企業(yè)網(wǎng)在公共網(wǎng)絡(luò)上的延伸VPN簡介VPN通過一個(gè)私有的通道來創(chuàng)建一個(gè)安全的私有連接，將遠(yuǎn)程用戶網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn)Internet內(nèi)部網(wǎng)惡意修改通道終點(diǎn)到：假冒網(wǎng)關(guān)外部段（公共因特網(wǎng)）ISP接入設(shè)備原始終點(diǎn)為：安全網(wǎng)關(guān)數(shù)據(jù)在到達(dá)終點(diǎn)之前要經(jīng)過許多路由器，明文傳輸?shù)膱?bào)文很容易在路由器上被查看和修改監(jiān)聽者可以在其中任一段鏈路上監(jiān)聽數(shù)據(jù)逐段加密不能防范在路由器上查看報(bào)文，因?yàn)槁酚善餍枰饷軋?bào)文選擇路由信息，然后再重新加密發(fā)送惡意的ISP可以修改通道的終點(diǎn)到一臺(tái)假冒的網(wǎng)關(guān)遠(yuǎn)程訪問搭線監(jiān)聽攻擊者ISPISP竊聽正確通道網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn)Internet內(nèi)部網(wǎng)惡意修改通道終點(diǎn)到：VPN功能

數(shù)據(jù)機(jī)密性保護(hù)數(shù)據(jù)完整性保護(hù)數(shù)據(jù)源身份認(rèn)證重放攻擊保護(hù)VPN功能數(shù)據(jù)機(jī)密性保護(hù)遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN的典型應(yīng)用遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬現(xiàn)有的VPN解決方案基于IPSec的VPN解決方案基于第二層的VPN解決方案非IPSec的網(wǎng)絡(luò)層VPN解決方案非IPSec的應(yīng)用層解決方案現(xiàn)有的VPN解決方案基于IPSec的VPN解決方案基于IPSec的VPN解決方案在通信協(xié)議分層中，網(wǎng)絡(luò)層是可能實(shí)現(xiàn)端到端安全通信的最低層，它為所有應(yīng)用層數(shù)據(jù)提供透明的安全保護(hù)，用戶無需修改應(yīng)用層協(xié)議。

該方案能解決的問題：數(shù)據(jù)源身份認(rèn)證：證實(shí)數(shù)據(jù)報(bào)文是所聲稱的發(fā)送者發(fā)出的。數(shù)據(jù)完整性：證實(shí)數(shù)據(jù)報(bào)文的內(nèi)容在傳輸過程中沒被修改過，無論是被故意改動(dòng)或是由于發(fā)生了隨機(jī)的傳輸錯(cuò)誤。數(shù)據(jù)保密：隱藏明文的消息，通?？考用軄韺?shí)現(xiàn)。重放攻擊保護(hù)：保證攻擊者不能截獲數(shù)據(jù)報(bào)文，且稍后某個(gè)時(shí)間再發(fā)放數(shù)據(jù)報(bào)文，而不會(huì)被檢測到。自動(dòng)的密鑰管理和安全關(guān)聯(lián)管理：保證只需少量或根本不需要手工配置，就可以在擴(kuò)展的網(wǎng)絡(luò)上方便精確地實(shí)現(xiàn)公司的虛擬使用網(wǎng)絡(luò)方針基于IPSec的VPN解決方案在通信協(xié)議分層中，網(wǎng)絡(luò)層是

AH協(xié)議（頭部認(rèn)證）

ESP協(xié)議（IPsec封裝安全負(fù)載）ISAKMP/Oakley協(xié)議基于IPSec的VPN解決方案需要用到如下的協(xié)議：IPSec框架的構(gòu)成AH協(xié)議（頭部認(rèn)證）基于IPSec的VPN解決方基于第二層的VPN解決方案

公司內(nèi)部網(wǎng)撥號(hào)連接因特網(wǎng)L2TP通道用于該層的協(xié)議主要有：

L2TP：Lay2TunnelingProtocol

PPTP：Point-to-PointTunnelingProtocolL2F：Lay2ForwardingL2TP的缺陷：僅對(duì)通道的終端實(shí)體進(jìn)行身份認(rèn)證，而不認(rèn)證通道中流過的每一個(gè)數(shù)據(jù)報(bào)文，無法抵抗插入攻擊、地址欺騙攻擊。沒有針對(duì)每個(gè)數(shù)據(jù)報(bào)文的完整性校驗(yàn)，就有可能進(jìn)行拒絕服務(wù)攻擊：發(fā)送假冒的控制信息，導(dǎo)致L2TP通道或者底層PPP連接的關(guān)閉。雖然PPP報(bào)文的數(shù)據(jù)可以加密，但PPP協(xié)議不支持密密鑰的自動(dòng)產(chǎn)生和自動(dòng)刷新，因而監(jiān)聽的攻擊者就可能最終破解密鑰，從而得到所傳輸?shù)臄?shù)據(jù)。L2TP通道基于第二層的VPN解決方案公司內(nèi)部網(wǎng)撥號(hào)連接因特網(wǎng)L2非IPSec的網(wǎng)絡(luò)層VPN解決方案

網(wǎng)絡(luò)地址轉(zhuǎn)換由于AH協(xié)議需要對(duì)整個(gè)數(shù)據(jù)包做認(rèn)證，因此使用AH協(xié)議后不能使用NAT包過濾由于使用ESP協(xié)議將對(duì)數(shù)據(jù)包的全部或部分信息加密，因此基于報(bào)頭或者數(shù)據(jù)區(qū)內(nèi)容進(jìn)行控制過濾的設(shè)備將不能使用服務(wù)質(zhì)量由于AH協(xié)議將IP協(xié)議中的TOS位當(dāng)作可變字段來處理，因此，可以使用TOS位來控制服務(wù)質(zhì)量非IPSec的網(wǎng)絡(luò)層VPN解決方案網(wǎng)絡(luò)地址轉(zhuǎn)換非IPSec的應(yīng)用層VPN解決方案

SOCKS位于OSI模型的會(huì)話層，在SOCKS協(xié)議中，客戶程序通常先連接到防火墻1080端口，然后由Firewall建立到目的主機(jī)的單獨(dú)會(huì)話，效率低，但會(huì)話控制靈活性大SSL（安全套接層協(xié)議）屬于高層安全機(jī)制，廣泛用于WebBrowseandWebServer，提供對(duì)等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密。在SSL中，身份認(rèn)證是基于證書的，屬于端到端協(xié)議，不需要中間設(shè)備如：路由器、防火墻的支持S-HTTP提供身份認(rèn)證、數(shù)據(jù)加密，比SSL靈活，但應(yīng)用很少，因SSL易于管理S-MIME一個(gè)特殊的類似于SSL的協(xié)議，屬于應(yīng)用層安全體系，但應(yīng)用僅限于保護(hù)電子郵件系統(tǒng)，通過加密和數(shù)字簽名來保障郵件的安全，這些安全都是基于公鑰技術(shù)的，雙方身份靠X.509證書來標(biāo)識(shí)，不需要FirewallandRouter的支持非IPSec的應(yīng)用層VPN解決方案SOCKSNetworkInterface(DataLink)IP(Internetwork)TCP/UDP(Transport)S—MIMEKerberosProxiesSETIPSec(ISAKMP)

SOCKSSSL,TLS

IPSec(AH,ESP)PacketFilteringTunnelingProtocols

CHAP,PAP,MS-CHAP

TCP/IP協(xié)議棧與對(duì)應(yīng)的VPN協(xié)議ApplicationNetworkInterfaceIPTCP/UDPS—M現(xiàn)有的VPN解決方案－－小結(jié)

網(wǎng)絡(luò)層對(duì)所有的上層數(shù)據(jù)提供透明方式的保護(hù)，但無法為應(yīng)用提供足夠細(xì)的控制粒度數(shù)據(jù)到了目的主機(jī)，基于網(wǎng)絡(luò)層的安全技術(shù)就無法繼續(xù)提供保護(hù)，因此在目的主機(jī)的高層協(xié)議棧中很容易受到攻擊應(yīng)用層的安全技術(shù)可以保護(hù)堆棧高層的數(shù)據(jù)，但在傳遞過程中，無法抵抗常用的網(wǎng)絡(luò)層攻擊手段，如源地址、目的地址欺騙應(yīng)用層安全幾乎更加智能，但更復(fù)雜且效率低因此可以在具體應(yīng)用中采用多種安全技術(shù)，取長補(bǔ)短現(xiàn)有的VPN解決方案－－小結(jié)網(wǎng)絡(luò)層對(duì)所有的上層數(shù)據(jù)提供防火墻的主要功能監(jiān)控并限制訪問 針對(duì)黑客攻擊的不安全因素，防火墻采取控制進(jìn)出內(nèi)外網(wǎng)的數(shù)據(jù)包的方法，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上數(shù)據(jù)包的狀態(tài)，并對(duì)這些狀態(tài)加以分析和處理，及時(shí)發(fā)現(xiàn)存在的異常行為；同時(shí)，根據(jù)不同情況采取相應(yīng)的防范措施，從而提高系統(tǒng)的抗攻擊能力?？刂茀f(xié)議和服務(wù) 針對(duì)網(wǎng)絡(luò)先天缺陷的不安全因素，防火墻采取控制協(xié)議和服務(wù)的方法，使得只有授權(quán)的協(xié)議和服務(wù)才可以通過防火墻，從而大大降低了因某種服務(wù)、協(xié)議的漏洞而引起災(zāi)難性安全事故的可能性。防火墻的主要功能監(jiān)控并限制訪問防火墻的主要功能（續(xù)）保護(hù)網(wǎng)絡(luò)內(nèi)部 針對(duì)軟件及系統(tǒng)的漏洞或“后門”，防火墻采用了與受保護(hù)網(wǎng)絡(luò)的操作系統(tǒng)、應(yīng)用軟件無關(guān)的體系結(jié)構(gòu)，其自身建立在安全操作系統(tǒng)之上；同時(shí)，針對(duì)受保護(hù)的內(nèi)部網(wǎng)絡(luò)，防火墻能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的漏洞，進(jìn)行訪問上的限制；防火墻還可以屏蔽受保護(hù)網(wǎng)絡(luò)的相關(guān)信息，使黑客無從下手。日志記錄與審計(jì)

當(dāng)防火墻系統(tǒng)被配置為所有內(nèi)部網(wǎng)絡(luò)與外部Internet連接均需經(jīng)過的安全節(jié)點(diǎn)時(shí)，防火墻系統(tǒng)就能夠?qū)λ械木W(wǎng)絡(luò)請求做出日志記錄。日志是對(duì)一些可能的攻擊行為進(jìn)行分析和防范的十分重要的情報(bào)。另外,防火墻系統(tǒng)也能夠?qū)φ５木W(wǎng)絡(luò)使用情況做出統(tǒng)計(jì)。這樣網(wǎng)絡(luò)管理員通過對(duì)統(tǒng)計(jì)結(jié)果進(jìn)行分析，掌握網(wǎng)絡(luò)的運(yùn)行狀態(tài)，繼而更加有效的管理整個(gè)網(wǎng)絡(luò)。防火墻的主要功能（續(xù)）保護(hù)網(wǎng)絡(luò)內(nèi)部防火墻的優(yōu)點(diǎn)與不足可屏蔽內(nèi)部服務(wù)，避免相關(guān)安全缺陷被利用2－7層訪問控制（集中在3-4層）解決地址不足問題抗網(wǎng)絡(luò)層、傳輸層一般攻擊不足防外不防內(nèi)對(duì)網(wǎng)絡(luò)性能有影響對(duì)應(yīng)用層檢測能力有限防火墻的優(yōu)點(diǎn)與不足可屏蔽內(nèi)部服務(wù)，避免相關(guān)安全缺陷被利用入侵檢測基本原理：利用sniffer方式獲取網(wǎng)絡(luò)數(shù)據(jù)，根據(jù)已知特征判斷是否存在網(wǎng)絡(luò)攻擊優(yōu)點(diǎn)：能及時(shí)獲知網(wǎng)絡(luò)安全狀況，借助分析發(fā)現(xiàn)安全隱患或攻擊信息，便于及時(shí)采取措施。不足：準(zhǔn)確性：誤報(bào)率和漏報(bào)率有效性：難以及時(shí)阻斷危險(xiǎn)行為入侵檢測基本原理：利用sniffer方式獲取網(wǎng)絡(luò)數(shù)據(jù)，根據(jù)已網(wǎng)絡(luò)防病毒基本功能：串接于網(wǎng)絡(luò)中，根據(jù)網(wǎng)絡(luò)病毒的特征在網(wǎng)絡(luò)數(shù)據(jù)中比對(duì)，從而發(fā)現(xiàn)并阻斷病毒傳播優(yōu)點(diǎn)：能有效阻斷已知網(wǎng)絡(luò)病毒的傳播不足：只能檢查已經(jīng)局部發(fā)作的病毒對(duì)網(wǎng)絡(luò)有一定影響網(wǎng)絡(luò)防病毒基本功能：串接于網(wǎng)絡(luò)中，根據(jù)網(wǎng)絡(luò)病毒的特征在網(wǎng)絡(luò)數(shù)網(wǎng)絡(luò)掃描器通過模擬網(wǎng)絡(luò)攻擊檢查目標(biāo)主機(jī)是否存在已知安全漏洞優(yōu)點(diǎn)：有利于及早發(fā)現(xiàn)問題，并從根本上解決安全隱患不足：只能針對(duì)已知安全問題進(jìn)行掃描準(zhǔn)確性vs指導(dǎo)性網(wǎng)絡(luò)掃描器通過模擬網(wǎng)絡(luò)攻擊檢查目標(biāo)主機(jī)是否存在已知安全漏洞訪問控制（1）廣義的訪問控制功能包括鑒別、授權(quán)和記賬等鑒別（Authentication）：辨別用戶是誰的過程。授權(quán)（Authorization）對(duì)完成認(rèn)證過程的用戶授予相應(yīng)權(quán)限，解決用戶能做什么的問題。在一些訪問控制的實(shí)現(xiàn)中，認(rèn)證和授權(quán)是統(tǒng)一在一起的記賬（Accounting）；統(tǒng)計(jì)用戶做過什么的過程，通常使用消耗的系統(tǒng)時(shí)間、接收和發(fā)送的數(shù)據(jù)量來量度。Tacacs、Tacacs+、Radius等技術(shù)能實(shí)現(xiàn)這三種功能。訪問控制（1）廣義的訪問控制功能包括鑒別、授權(quán)和記賬等訪問控制（2）RADIUS協(xié)議針對(duì)遠(yuǎn)程用戶Radius（RemoteAuthenticationDialinUserservice）協(xié)議，采用分布式的Client/Server結(jié)構(gòu)完成密碼的集中管理和其他訪問控制功能；網(wǎng)絡(luò)用戶（Client）通過網(wǎng)絡(luò)訪問服務(wù)器（NAS）訪問網(wǎng)絡(luò)，NAS同時(shí)作為Radius結(jié)構(gòu)的客戶端，認(rèn)證、授權(quán)和計(jì)帳的3A功能通過NAS和安全服務(wù)器（SecutityServer）或Radius服務(wù)器之間的Radius協(xié)議過程完成，而用戶的控制功能在NAS實(shí)現(xiàn)。訪問控制（2）RADIUS協(xié)議訪問控制（3）TACAS協(xié)議

TACACS（TerminalAccessControllerAccessControlSystem--終端訪問控制系統(tǒng)）是歷史上用于UNIX系統(tǒng)的認(rèn)證協(xié)議，它使遠(yuǎn)程訪問服務(wù)器將用戶的登錄信息發(fā)送到認(rèn)證服務(wù)器以確定用戶是否可以訪問給定系統(tǒng)。TACACS對(duì)數(shù)據(jù)并不加密，因此它的安全性要差一些，針對(duì)這種情況，又設(shè)計(jì)了TACACS+和RADIUS協(xié)議。訪問控制（3）TACAS協(xié)議訪問控制（4）TACACS+協(xié)議

由Cisco公司提出，在此協(xié)議中，當(dāng)用戶試圖登錄時(shí)，NAS將詢問安全服務(wù)做什么，安全服務(wù)器通常知NAS輸入用戶名和密碼，然后，發(fā)送接受或拒絕響應(yīng)信息給NAS。用戶登錄進(jìn)入之后，對(duì)于每一條用戶輸入的命令，NAS都將提請安全服務(wù)器進(jìn)行授權(quán)。訪問控制（4）TACACS+協(xié)議訪問控制（5）TACACS+協(xié)議的應(yīng)用訪問控制（5）TACACS+協(xié)議的應(yīng)用主要內(nèi)容網(wǎng)絡(luò)安全簡介TCP/IP網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)安全概念和手段介紹安全建議網(wǎng)絡(luò)安全展望主要內(nèi)容網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)安全防護(hù)建議(1)經(jīng)常關(guān)注安全信息發(fā)布Microsoft、Sun、hp、ibm等公司的安全公告securityfocus安全焦點(diǎn)xfocus綠盟網(wǎng)站nsfocus網(wǎng)絡(luò)安全防護(hù)建議(1)經(jīng)常關(guān)注安全信息發(fā)布網(wǎng)絡(luò)安全防護(hù)建議(2)經(jīng)常性檢查重要服務(wù)器、網(wǎng)絡(luò)設(shè)備是否存在安全漏洞微軟安全基線檢測工具NmapX-scan流光ISS-SCANNER等其他商業(yè)安全工具Windows平臺(tái)利用Msconfig檢查啟動(dòng)項(xiàng)目網(wǎng)絡(luò)安全防護(hù)建議(2)經(jīng)常性檢查重要服務(wù)器、網(wǎng)絡(luò)設(shè)備是否存在網(wǎng)絡(luò)安全防護(hù)建議(3)根據(jù)安全公告、掃描結(jié)果及時(shí)打補(bǔ)丁或升級(jí)軟件利用簽名工具對(duì)系統(tǒng)重要文件進(jìn)行簽名，經(jīng)常檢查有無變化，防止木馬植入關(guān)閉服務(wù)器或網(wǎng)絡(luò)設(shè)備上不必要的功能或服務(wù)制定切實(shí)可行的安全策略，形成制度并強(qiáng)制執(zhí)行網(wǎng)絡(luò)安全防護(hù)建議(3)根據(jù)安全公告、掃描結(jié)果及時(shí)打補(bǔ)丁或升級(jí)內(nèi)容總結(jié)網(wǎng)絡(luò)安全簡介TCP/IP網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)安全概念和手段介紹安全建議網(wǎng)絡(luò)安全展望內(nèi)容總結(jié)網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)安全發(fā)展方向－追求實(shí)效安全理念主動(dòng)防御安全工具高性能高安全高可靠安全管理注重制度建設(shè)和安全人才培養(yǎng)網(wǎng)絡(luò)安全發(fā)展方向－追求實(shí)效安全理念內(nèi)容總結(jié)網(wǎng)絡(luò)安全簡介TCP/IP網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)安全概念和手段介紹安全建議網(wǎng)絡(luò)安全展望內(nèi)容總結(jié)網(wǎng)絡(luò)安全簡介簡化方案聯(lián)通電信服務(wù)器區(qū)辦公區(qū)SecPathU200-AH3CS5120H3CWX3024H3CMSR30-40WA2620-AGN包括無線覆蓋WA2620-AGNWA2620-AGN包括無線覆蓋包括無線覆蓋簡化方案聯(lián)通電信服務(wù)器區(qū)辦公區(qū)SecPathU200-AH謝謝！謝謝！謝謝！謝謝！72網(wǎng)絡(luò)與信息安全技術(shù)

網(wǎng)絡(luò)安全部分

網(wǎng)絡(luò)與信息安全技術(shù)

網(wǎng)絡(luò)安全部分

主要內(nèi)容網(wǎng)絡(luò)安全簡介TCP/IP網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)安全概念和手段介紹安全建議網(wǎng)絡(luò)安全展望主要內(nèi)容網(wǎng)絡(luò)安全簡介冒名頂替廢物搜尋身份識(shí)別錯(cuò)誤不安全服務(wù)配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號(hào)進(jìn)入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊網(wǎng)絡(luò)安全威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全威脅冒名頂替廢物搜尋身份識(shí)別錯(cuò)誤不安全服務(wù)配置初始化乘虛而入代碼虛擬專用網(wǎng)防火墻訪問控制防病毒入侵檢測網(wǎng)絡(luò)安全整體框架(形象圖)虛擬專用網(wǎng)防火墻訪問控制防病毒入侵檢測網(wǎng)絡(luò)安全整體框架(形象中國被黑網(wǎng)站一覽表sninfo/西安信息港

/貴州方志與地情網(wǎng)

中國青少年發(fā)展基金會(huì)(放有不良圖片，現(xiàn)已被中國黑客刪除)

福建外貿(mào)信息網(wǎng)

/湖北武昌區(qū)政府信息網(wǎng)(恢復(fù))

桂林圖書館

ipc.ac/中國科學(xué)院理化技術(shù)研究所

中國:beijing-radio/

中國科學(xué)院心理研究所psych.ac中國被黑網(wǎng)站一覽表sninfo/西安信息港

國內(nèi)外黑客組織北京綠色聯(lián)盟技術(shù)公司(nsfocus)中國紅客聯(lián)盟()中國鷹派(chinawill)中國黑客聯(lián)盟HackweiserProphetAcidklownPoizonboxPrimeSuspectzSubexSVUNHi-Tech國內(nèi)外黑客組織北京綠色聯(lián)盟技術(shù)公司(nsfocus)網(wǎng)絡(luò)病毒紅色代碼尼姆達(dá)沖擊波震蕩波ARP病毒

網(wǎng)絡(luò)病毒紅色代碼木馬病毒性木馬工行密碼盜?。眩涯抉R其它后門工具木馬病毒性木馬安全威脅實(shí)例用戶使用一臺(tái)計(jì)算機(jī)D訪問位于網(wǎng)絡(luò)中心服務(wù)器S上的webmail郵件服務(wù)，存在的安全威脅：U在輸入用戶名和口令時(shí)被錄像機(jī)器D上有keylogger程序，記錄了用戶名和口令機(jī)器D上存放用戶名和密碼的內(nèi)存對(duì)其他進(jìn)程可讀，其他進(jìn)程讀取了信息，或這段內(nèi)存沒有被清0就分配給了別的進(jìn)程，其他進(jìn)程讀取了信息用戶名和密碼被自動(dòng)保存了用戶名和密碼在網(wǎng)絡(luò)上傳輸時(shí)被監(jiān)聽（共享介質(zhì)、或arp偽造）機(jī)器D上被設(shè)置了代理，經(jīng)過代理被監(jiān)聽安全威脅實(shí)例用戶使用一臺(tái)計(jì)算機(jī)D訪問位于網(wǎng)絡(luò)中心服務(wù)器S上的安全威脅實(shí)例（續(xù)）查看郵件時(shí)被錄像機(jī)器D附近的無線電接收裝置接收到顯示器發(fā)射的信號(hào)并且重現(xiàn)出來屏幕記錄程序保存了屏幕信息瀏覽郵件時(shí)的臨時(shí)文件被其他用戶打開瀏覽器cache了網(wǎng)頁信息臨時(shí)文件僅僅被簡單刪除，但是硬盤上還有信息由于DNS攻擊，連接到錯(cuò)誤的站點(diǎn)，泄漏了用戶名和密碼由于網(wǎng)絡(luò)感染了病毒，主干網(wǎng)癱瘓，無法訪問服務(wù)器服務(wù)器被DOS攻擊，無法提供服務(wù)安全威脅實(shí)例（續(xù)）查看郵件時(shí)被錄像什么是網(wǎng)絡(luò)安全？本質(zhì)就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全防護(hù)的目的。網(wǎng)絡(luò)安全的定義：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

保障各種網(wǎng)絡(luò)資源穩(wěn)定、可靠的運(yùn)行和受控、合法使用什么是網(wǎng)絡(luò)安全？本質(zhì)就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全的定義：網(wǎng)絡(luò)安全的特征（1）保密性confidentiality：信息不泄露給非授權(quán)的用戶、實(shí)體或過程，或供其利用的特性。（2）完整性integrity：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可用性availability：可被授權(quán)實(shí)體訪問并按需求使用的特性，即當(dāng)需要時(shí)應(yīng)能存取所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊。（4）可控性controllability：對(duì)信息的傳播及內(nèi)容具有控制能力。（5）可審查性：出現(xiàn)的安全問題時(shí)提供依據(jù)與手段網(wǎng)絡(luò)安全的特征（1）保密性confidentiality：信主要內(nèi)容網(wǎng)絡(luò)安全簡介TCP/IP網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)安全概念和手段介紹安全建議網(wǎng)絡(luò)安全展望主要內(nèi)容網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)——開放系統(tǒng)互連參考模型（1）ISO/OSI模型網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層對(duì)等協(xié)議物理介質(zhì)系統(tǒng)A系統(tǒng)B第N+1層第N層PDUSDUHPDU第N-1層SDUN+1層協(xié)議實(shí)體N+1層協(xié)議實(shí)體N層協(xié)議實(shí)體SAPSAP網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)——開放系統(tǒng)互連參考模型（1）ISO/OSI模TCP/IP網(wǎng)絡(luò)的體系結(jié)構(gòu)TCP/IP技術(shù)的發(fā)展設(shè)計(jì)目標(biāo)——實(shí)現(xiàn)異種網(wǎng)的網(wǎng)際互連是最早出現(xiàn)的系統(tǒng)化的網(wǎng)絡(luò)體系結(jié)構(gòu)之一順應(yīng)了技術(shù)發(fā)展網(wǎng)絡(luò)互連的應(yīng)用需求采用了開放策略與最流行的UNIX操作系統(tǒng)相結(jié)合TCP/IP的成功主要應(yīng)該歸功于其開放性，使得最廣泛的廠商和研究者能夠不斷地尋找和開發(fā)滿足市場需求的網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)。

魚與熊掌總是不能兼得，也正是其體系結(jié)構(gòu)得開放性，導(dǎo)致了TCP/IP網(wǎng)絡(luò)的安全性隱患！TCP/IP網(wǎng)絡(luò)的體系結(jié)構(gòu)TCP/IP技術(shù)的發(fā)展TCP/IP的網(wǎng)絡(luò)互連網(wǎng)際互連是通過IP網(wǎng)關(guān)（gateway）實(shí)現(xiàn)的網(wǎng)關(guān)提供網(wǎng)絡(luò)與網(wǎng)絡(luò)之間物理和邏輯上的連通功能網(wǎng)關(guān)是一種特殊的計(jì)算機(jī)，同時(shí)屬于多個(gè)網(wǎng)絡(luò)G1網(wǎng)絡(luò)1網(wǎng)絡(luò)3G1網(wǎng)絡(luò)2TCP/IP的網(wǎng)絡(luò)互連網(wǎng)際互連是通過IP網(wǎng)關(guān)（gateTCP/IP與OSI參考模型TCP/IP協(xié)議和OSI模型的對(duì)應(yīng)關(guān)系應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthernet,IEEE802.3,802.11等

ICMPARPRARPOSI參考模型Internet協(xié)議簇物理層TCP/IP與OSI參考模型TCP/IP協(xié)議和OSI模型的對(duì)影響網(wǎng)絡(luò)安全的主要因素（1）網(wǎng)絡(luò)的缺陷 因特網(wǎng)在設(shè)計(jì)之初對(duì)共享性和開放性的強(qiáng)調(diào)，使得其在安全性方面存在先天的不足。其賴以生存的TCP/IP協(xié)議族在設(shè)計(jì)理念上更多的是考慮該網(wǎng)絡(luò)不會(huì)因局部故障而影響信息的傳輸，基本沒有考慮安全問題，故缺乏應(yīng)有的安全機(jī)制。因此它在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。

例如：多數(shù)底層協(xié)議為廣播方式，多數(shù)應(yīng)用層協(xié)議為明文傳輸，缺乏保密與認(rèn)證機(jī)制，因此容易遭到欺騙和竊聽軟件及系統(tǒng)的“漏洞”及后門

隨著軟件及網(wǎng)絡(luò)系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門”也不可避免的存在，比如我們常用的操作系統(tǒng)，無論是Windows還是UNIX幾乎都存在或多或少的安全漏洞，眾多的服務(wù)器、瀏覽器、桌面軟件等等都被發(fā)現(xiàn)存在很多安全隱患。任何一個(gè)軟件系統(tǒng)都可能會(huì)因?yàn)槌绦騿T的一個(gè)疏忽或設(shè)計(jì)中的一個(gè)缺陷等原因留下漏洞。這也成為網(wǎng)絡(luò)的不安全因素之一影響網(wǎng)絡(luò)安全的主要因素（1）網(wǎng)絡(luò)的缺陷影響網(wǎng)絡(luò)安全的主要因素（2）黑客的攻擊 黑客技術(shù)不再是一種高深莫測的技術(shù)，并逐漸被越來越多的人掌握。目前，世界上有20多萬個(gè)免費(fèi)的黑客網(wǎng)站，這些站點(diǎn)從系統(tǒng)漏洞入手，介紹網(wǎng)絡(luò)攻擊的方法和各種攻擊軟件的使用，這樣，系統(tǒng)和站點(diǎn)遭受攻擊的可能性就變大了。加上現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，這些都使得黑客攻擊具有隱蔽性好，“殺傷力”強(qiáng)的特點(diǎn)，構(gòu)成了網(wǎng)絡(luò)安全的主要威脅。網(wǎng)絡(luò)普及，安全建設(shè)滯后 網(wǎng)絡(luò)硬件建設(shè)如火如荼，網(wǎng)絡(luò)管理尤其是安全管理滯后，用戶安全意識(shí)不強(qiáng)，即使應(yīng)用了最好的安全設(shè)備也經(jīng)常達(dá)不到預(yù)期效果影響網(wǎng)絡(luò)安全的主要因素（2）黑客的攻擊主要內(nèi)容網(wǎng)絡(luò)安全簡介TCP/IP網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)安全概念和手段介紹安全建議網(wǎng)絡(luò)安全展望主要內(nèi)容網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念，可靠的網(wǎng)絡(luò)安全解決方案必須建立在集成網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，網(wǎng)絡(luò)系統(tǒng)安全策略就是基于這種技術(shù)集成而提出的，主要有三種：1直接風(fēng)險(xiǎn)控制策略（靜態(tài)防御）

安全=風(fēng)險(xiǎn)分析+安全規(guī)則+直接的技術(shù)防御體系+安全監(jiān)控攻擊手段是不斷進(jìn)步的，安全漏洞也是動(dòng)態(tài)出現(xiàn)的，因此靜態(tài)防御下的該模型存在著本質(zhì)的缺陷。2自適應(yīng)網(wǎng)絡(luò)安全策略（動(dòng)態(tài)性）

安全=風(fēng)險(xiǎn)分析+執(zhí)行策略+系統(tǒng)實(shí)施+漏洞分析+實(shí)時(shí)響應(yīng)該策略強(qiáng)調(diào)系統(tǒng)安全管理的動(dòng)態(tài)性，主張通過安全性檢測、漏洞監(jiān)測，自適應(yīng)地填充“安全間隙”，從而提高網(wǎng)絡(luò)系統(tǒng)的安全性。完善的網(wǎng)絡(luò)安全體系，必須合理協(xié)調(diào)法律、技術(shù)和管理三種因素，集成防護(hù)、監(jiān)控和恢復(fù)三種技術(shù)，力求增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的健壯性與免疫力。局限性在于：只考慮增強(qiáng)系統(tǒng)的健壯性，僅綜合了技術(shù)和管理因素，僅采用了技術(shù)防護(hù)。

網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念，可靠的網(wǎng)絡(luò)網(wǎng)絡(luò)安全策略（續(xù)）

3智能網(wǎng)絡(luò)系統(tǒng)安全策略（動(dòng)態(tài)免疫力）安全=風(fēng)險(xiǎn)分析+安全策略+技術(shù)防御體系+攻擊實(shí)時(shí)檢測+安全跟蹤+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進(jìn)化技術(shù)防御體系包括漏洞檢測和安全縫隙填充；安全跟蹤是為攻擊證據(jù)記錄服務(wù)的，系統(tǒng)學(xué)習(xí)進(jìn)化是旨在改善系統(tǒng)性能而引入的智能反饋機(jī)制。 模型中，“風(fēng)險(xiǎn)分析+安全策略”體現(xiàn)了管理因素；“技術(shù)防御體系+攻擊實(shí)時(shí)檢測+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進(jìn)化”體現(xiàn)了技術(shù)因素；技術(shù)因素綜合了防護(hù)、監(jiān)控和恢復(fù)技術(shù)；“安全跟蹤+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進(jìn)化”使系統(tǒng)表現(xiàn)出動(dòng)態(tài)免疫力。網(wǎng)絡(luò)安全策略（續(xù)）網(wǎng)絡(luò)安全防護(hù)模型－PDRR

目前業(yè)界共識(shí)：“安全不是技術(shù)或產(chǎn)品，而是一個(gè)過程”。為了保障網(wǎng)絡(luò)安全，應(yīng)重視提高系統(tǒng)的入侵檢測能力、事件反應(yīng)能力和遭破壞后的快速恢復(fù)能力。信息保障有別于傳統(tǒng)的加密、身份認(rèn)證、訪問控制、防火墻等技術(shù)，它強(qiáng)調(diào)信息系統(tǒng)整個(gè)生命周期的主動(dòng)防御。網(wǎng)絡(luò)安全防護(hù)模型－PDRR 目前業(yè)界共識(shí)：“安全不是技術(shù)網(wǎng)絡(luò)安全防護(hù)模型－PDRR（續(xù)）保護(hù)(PROTECT)

傳統(tǒng)安全概念的繼承，包括信息加密技術(shù)、訪問控制技術(shù)等等。檢測(DETECT)

從監(jiān)視、分析、審計(jì)信息網(wǎng)絡(luò)活動(dòng)的角度，發(fā)現(xiàn)對(duì)于信息網(wǎng)絡(luò)的攻擊、破壞活動(dòng)，提供預(yù)警、實(shí)時(shí)響應(yīng)、事后分析和系統(tǒng)恢復(fù)等方面的支持，使安全防護(hù)從單純的被動(dòng)防護(hù)演進(jìn)到積極的主動(dòng)防御。網(wǎng)絡(luò)安全防護(hù)模型－PDRR（續(xù)）保護(hù)(PROTECT網(wǎng)絡(luò)安全防護(hù)模型－PDRR（續(xù)）響應(yīng)(RESPONSE)

在遭遇攻擊和緊急事件時(shí)及時(shí)采取措施，包括調(diào)整系統(tǒng)的安全措施、跟蹤攻擊源和保護(hù)性關(guān)閉服務(wù)和主機(jī)等?；謴?fù)(RECOVER)

評(píng)估系統(tǒng)受到的危害與損失，恢復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動(dòng)備份系統(tǒng)等。網(wǎng)絡(luò)安全防護(hù)模型－PDRR（續(xù)）響應(yīng)(RESPONSE網(wǎng)絡(luò)安全保障體系安全管理與審計(jì)物理層安全網(wǎng)絡(luò)層安全傳輸層安全應(yīng)用層安全鏈路層物理層網(wǎng)絡(luò)層傳輸層應(yīng)用層表示層會(huì)話層審計(jì)與監(jiān)控身份認(rèn)證數(shù)據(jù)加密數(shù)字簽名完整性鑒別端到端加密訪問控制鏈路加密物理信道安全物理隔離訪問控制數(shù)據(jù)機(jī)密性數(shù)據(jù)完整性用戶認(rèn)證防抵賴安全審計(jì)網(wǎng)絡(luò)安全層次層次模型網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)安全目標(biāo)用戶安全服務(wù)可用網(wǎng)絡(luò)安全保障體系安全管理與審計(jì)物理層安全網(wǎng)絡(luò)層安全傳輸層安全安全技術(shù)選擇--根據(jù)協(xié)議層次 物理層：物理隔離

鏈路層:鏈路加密技術(shù)、PPTP/L2TP網(wǎng)絡(luò)層:IPSec協(xié)議（VPN）、防火墻TCP層:SSL協(xié)議、基于公鑰的認(rèn)證和對(duì)稱鑰加密技術(shù)應(yīng)用層:SHTTP、PGP、S/MIME、SSH(Secureshell)、開發(fā)專用協(xié)議（SET）安全技術(shù)選擇--根據(jù)協(xié)議層次 物理層：物理隔離網(wǎng)絡(luò)安全工具物理隔離設(shè)備交換機(jī)/路由器安全模塊防火墻(Firewall)漏洞掃描器入侵檢測系統(tǒng)IDS、入侵防御系統(tǒng)IPS、安全審計(jì)系統(tǒng)、日志審計(jì)系統(tǒng)綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)虛擬專用網(wǎng)（VPN）、上網(wǎng)行為管理系統(tǒng)病毒防護(hù)（防病毒軟件、防毒墻、防木馬軟件等）網(wǎng)絡(luò)加速，負(fù)載均衡、流量控制……網(wǎng)絡(luò)安全工具物理隔離設(shè)備物理隔離主要分兩種：雙網(wǎng)隔離計(jì)算機(jī)物理隔離網(wǎng)閘物理隔離主要分兩種：雙網(wǎng)隔離計(jì)算機(jī)解決每人2臺(tái)計(jì)算機(jī)的問題1臺(tái)計(jì)算機(jī)，可以分時(shí)使用內(nèi)網(wǎng)或外網(wǎng)關(guān)鍵部件硬盤網(wǎng)線軟盤/USB/MODEM等共享部件顯示器鍵盤/鼠標(biāo)主板/電源硬盤*原理切換關(guān)鍵部件雙網(wǎng)隔離計(jì)算機(jī)解決每人2臺(tái)計(jì)算機(jī)的問題簡單雙網(wǎng)隔離計(jì)算機(jī)外網(wǎng)硬盤內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡控制開關(guān)簡單雙網(wǎng)隔離計(jì)算機(jī)外網(wǎng)硬盤內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控復(fù)雜雙網(wǎng)隔離計(jì)算機(jī)內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡遠(yuǎn)端設(shè)備使用控制卡上的翻譯功能將硬盤分為邏輯上獨(dú)立的部分充分使用UTP中的8芯，減少一根網(wǎng)線復(fù)雜雙網(wǎng)隔離計(jì)算機(jī)內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡遠(yuǎn)端物理隔離網(wǎng)閘的基本原理采用數(shù)據(jù)“擺渡”的方式實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的信息交換在任意時(shí)刻，物理隔離設(shè)備只能與一個(gè)網(wǎng)絡(luò)的主機(jī)系統(tǒng)建立非TCP/IP協(xié)議的數(shù)據(jù)連接，即當(dāng)它與外部網(wǎng)絡(luò)相連接時(shí)，它與內(nèi)部網(wǎng)絡(luò)的主機(jī)是斷開的，反之亦然。任何形式的數(shù)據(jù)包、信息傳輸命令和TCP/IP協(xié)議都不可能穿透物理隔離設(shè)備。物理隔離設(shè)備在網(wǎng)絡(luò)的第7層講數(shù)據(jù)還原為原始數(shù)據(jù)文件，然后以“擺渡文件”形式傳遞原始數(shù)據(jù)。物理隔離網(wǎng)閘的基本原理采用數(shù)據(jù)“擺渡”的方式實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間物理隔離實(shí)現(xiàn)基本原理（1）物理隔離實(shí)現(xiàn)基本原理（1）物理隔離實(shí)現(xiàn)基本原理（2）內(nèi)外網(wǎng)模塊連接相應(yīng)網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)的接收及預(yù)處理等操作；交換模塊采用專用的高速隔離電子開關(guān)實(shí)現(xiàn)與內(nèi)外網(wǎng)模塊的數(shù)據(jù)交換，保證任意時(shí)刻內(nèi)外網(wǎng)間沒有鏈路層連接；數(shù)據(jù)只能以專用數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)間通過網(wǎng)閘進(jìn)行“擺渡”，傳送到網(wǎng)閘另一側(cè)；集成多種安全技術(shù)手段，采用強(qiáng)制安全策略，對(duì)數(shù)據(jù)內(nèi)容進(jìn)行安全檢測，保障數(shù)據(jù)安全、可靠的交換。物理隔離實(shí)現(xiàn)基本原理（2）內(nèi)外網(wǎng)模塊連接相應(yīng)網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)的接物理隔離技術(shù)的應(yīng)用涉密網(wǎng)和非涉密網(wǎng)之間物理隔離技術(shù)的應(yīng)用涉密網(wǎng)和非涉密網(wǎng)之間物理隔離技術(shù)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：

中斷直接連接

強(qiáng)大的檢查機(jī)制

最高的安全性缺點(diǎn)：

對(duì)協(xié)議不透明，對(duì)每一種協(xié)議都要一種具體的實(shí)現(xiàn) 效率低物理隔離技術(shù)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：

交換機(jī)安全模塊MAC綁定QOS設(shè)置多VLAN劃分日志其他…交換機(jī)安全模塊MAC綁定路由器安全功能訪問控制鏈表基于源地址/目標(biāo)地址/協(xié)議端口號(hào)路徑的完整性防止IP假冒和拒絕服務(wù)（Anti-spoofing/DDOS）檢查源地址：ipverifyunicastreverse-path

過濾RFC1918

地址空間的所有IP包；關(guān)閉源路由：noipsource-route路由協(xié)議的過濾與認(rèn)證Flood管理日志其他抗攻擊功能路由器安全功能訪問控制鏈表VPN通過一個(gè)私有的通道來創(chuàng)建一個(gè)安全的私有連接，將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司的業(yè)務(wù)伙伴等跟企業(yè)網(wǎng)連接起來，形成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)提供高性能、低價(jià)位的因特網(wǎng)接入VPN是企業(yè)網(wǎng)在公共網(wǎng)絡(luò)上的延伸VPN簡介VPN通過一個(gè)私有的通道來創(chuàng)建一個(gè)安全的私有連接，將遠(yuǎn)程用戶網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn)Internet內(nèi)部網(wǎng)惡意修改通道終點(diǎn)到：假冒網(wǎng)關(guān)外部段（公共因特網(wǎng)）ISP接入設(shè)備原始終點(diǎn)為：安全網(wǎng)關(guān)數(shù)據(jù)在到達(dá)終點(diǎn)之前要經(jīng)過許多路由器，明文傳輸?shù)膱?bào)文很容易在路由器上被查看和修改監(jiān)聽者可以在其中任一段鏈路上監(jiān)聽數(shù)據(jù)逐段加密不能防范在路由器上查看報(bào)文，因?yàn)槁酚善餍枰饷軋?bào)文選擇路由信息，然后再重新加密發(fā)送惡意的ISP可以修改通道的終點(diǎn)到一臺(tái)假冒的網(wǎng)關(guān)遠(yuǎn)程訪問搭線監(jiān)聽攻擊者ISPISP竊聽正確通道網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn)Internet內(nèi)部網(wǎng)惡意修改通道終點(diǎn)到：VPN功能

數(shù)據(jù)機(jī)密性保護(hù)數(shù)據(jù)完整性保護(hù)數(shù)據(jù)源身份認(rèn)證重放攻擊保護(hù)VPN功能數(shù)據(jù)機(jī)密性保護(hù)遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN的典型應(yīng)用遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬現(xiàn)有的VPN解決方案基于IPSec的VPN解決方案基于第二層的VPN解決方案非IPSec的網(wǎng)絡(luò)層VPN解決方案非IPSec的應(yīng)用層解決方案現(xiàn)有的VPN解決方案基于IPSec的VPN解決方案基于IPSec的VPN解決方案在通信協(xié)議分層中，網(wǎng)絡(luò)層是可能實(shí)現(xiàn)端到端安全通信的最低層，它為所有應(yīng)用層數(shù)據(jù)提供透明的安全保護(hù)，用戶無需修改應(yīng)用層協(xié)議。

該方案能解決的問題：數(shù)據(jù)源身份認(rèn)證：證實(shí)數(shù)據(jù)報(bào)文是所聲稱的發(fā)送者發(fā)出的。數(shù)據(jù)完整性：證實(shí)數(shù)據(jù)報(bào)文的內(nèi)容在傳輸過程中沒被修改過，無論是被故意改動(dòng)或是由于發(fā)生了隨機(jī)的傳輸錯(cuò)誤。數(shù)據(jù)保密：隱藏明文的消息，通常靠加密來實(shí)現(xiàn)。重放攻擊保護(hù)：保證攻擊者不能截獲數(shù)據(jù)報(bào)文，且稍后某個(gè)時(shí)間再發(fā)放數(shù)據(jù)報(bào)文，而不會(huì)被檢測到。自動(dòng)的密鑰管理和安全關(guān)聯(lián)管理：保證只需少量或根本不需要手工配置，就可以在擴(kuò)展的網(wǎng)絡(luò)上方便精確地實(shí)現(xiàn)公司的虛擬使用網(wǎng)絡(luò)方針基于IPSec的VPN解決方案在通信協(xié)議分層中，網(wǎng)絡(luò)層是

AH協(xié)議（頭部認(rèn)證）

ESP協(xié)議（IPsec封裝安全負(fù)載）ISAKMP/Oakley協(xié)議基于IPSec的VPN解決方案需要用到如下的協(xié)議：IPSec框架的構(gòu)成AH協(xié)議（頭部認(rèn)證）基于IPSec的VPN解決方基于第二層的VPN解決方案

公司內(nèi)部網(wǎng)撥號(hào)連接因特網(wǎng)L2TP通道用于該層的協(xié)議主要有：

L2TP：Lay2TunnelingProtocol

PPTP：Point-to-PointTunnelingProtocolL2F：Lay2ForwardingL2TP的缺陷：僅對(duì)通道的終端實(shí)體進(jìn)行身份認(rèn)證，而不認(rèn)證通道中流過的每一個(gè)數(shù)據(jù)報(bào)文，無法抵抗插入攻擊、地址欺騙攻擊。沒有針對(duì)每個(gè)數(shù)據(jù)報(bào)文的完整性校驗(yàn)，就有可能進(jìn)行拒絕服務(wù)攻擊：發(fā)送假冒的控制信息，導(dǎo)致L2TP通道或者底層PPP連接的關(guān)閉。雖然PPP報(bào)文的數(shù)據(jù)可以加密，但PPP協(xié)議不支持密密鑰的自動(dòng)產(chǎn)生和自動(dòng)刷新，因而監(jiān)聽的攻擊者就可能最終破解密鑰，從而得到所傳輸?shù)臄?shù)據(jù)。L2TP通道基于第二層的VPN解決方案公司內(nèi)部網(wǎng)撥號(hào)連接因特網(wǎng)L2非IPSec的網(wǎng)絡(luò)層VPN解決方案

網(wǎng)絡(luò)地址轉(zhuǎn)換由于AH協(xié)議需要對(duì)整個(gè)數(shù)據(jù)包做認(rèn)證，因此使用AH協(xié)議后不能使用NAT包過濾由于使用ESP協(xié)議將對(duì)數(shù)據(jù)包的全部或部分信息加密，因此基于報(bào)頭或者數(shù)據(jù)區(qū)內(nèi)容進(jìn)行控制過濾的設(shè)備將不能使用服務(wù)質(zhì)量由于AH協(xié)議將IP協(xié)議中的TOS位當(dāng)作可變字段來處理，因此，可以使用TOS位來控制服務(wù)質(zhì)量非IPSec的網(wǎng)絡(luò)層VPN解決方案網(wǎng)絡(luò)地址轉(zhuǎn)換非IPSec的應(yīng)用層VPN解決方案

SOCKS位于OSI模型的會(huì)話層，在SOCKS協(xié)議中，客戶程序通常先連接到防火墻1080端口，然后由Firewall建立到目的主機(jī)的單獨(dú)會(huì)話，效率低，但會(huì)話控制靈活性大SSL（安全套接層協(xié)議）屬于高層安全機(jī)制，廣泛用于WebBrowseandWebServer，提供對(duì)等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密。在SSL中，身份認(rèn)證是基于證書的，屬于端到端協(xié)議，不需要中間設(shè)備如：路由器、防火墻的支持S-HTTP提供身份認(rèn)證、數(shù)據(jù)加密，比SSL靈活，但應(yīng)用很少，因SSL易于管理S-MIME一個(gè)特殊的類似于SSL的協(xié)議，屬于應(yīng)用層安全體系，但應(yīng)用僅限于保護(hù)電子郵件系統(tǒng)，通過加密和數(shù)字簽名來保障郵件的安全，這些安全都是基于公鑰技術(shù)的，雙方身份靠X.509證書來標(biāo)識(shí)，不需要FirewallandRouter的支持非IPSec的應(yīng)用層VPN解決方案SOCKSNetworkInterface(DataLink)IP(Internetwork)TCP/UDP(Transport)S—MIMEKerberosProxiesSETIPSec(ISAKMP)

SOCKSSSL,TLS

IPSec(AH,ESP)PacketFilteringTunnelingProtocols

CHAP,PAP,MS-CHAP

TCP/IP協(xié)議棧與對(duì)應(yīng)的VPN協(xié)議ApplicationNetworkInterfaceIPTCP/UDPS—M現(xiàn)有的VPN解決方案－－小結(jié)

網(wǎng)絡(luò)層對(duì)所有的上層數(shù)據(jù)提供透明方式的保護(hù)，但無法為應(yīng)用提供足夠細(xì)的控制粒度數(shù)據(jù)到了目的主機(jī)，基于網(wǎng)絡(luò)層的安全技術(shù)就無法繼續(xù)提供保護(hù)，因此在目的主機(jī)的高層協(xié)議棧中很容易受到攻擊應(yīng)用層的安全技術(shù)可以保護(hù)堆棧高層的數(shù)據(jù)，但在傳遞過程中，無法抵抗常用的網(wǎng)絡(luò)層攻擊手段，如源地址、目的地址欺騙應(yīng)用層安全幾乎更加智能，但更復(fù)雜且效率低因此可以在具體應(yīng)用中采用多種安全技術(shù)，取長補(bǔ)短現(xiàn)有的VPN解決方案－－小結(jié)網(wǎng)絡(luò)層對(duì)所有的上層數(shù)據(jù)提供防火墻的主要功能監(jiān)控并限制訪問 針對(duì)黑客攻擊的不安全因素，防火墻采取控制進(jìn)出內(nèi)外網(wǎng)的數(shù)據(jù)包的方法，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上數(shù)據(jù)包的狀態(tài)，并對(duì)這些狀態(tài)加以分析和處理，及時(shí)發(fā)現(xiàn)存在的異常行為；同時(shí)，根據(jù)不同情況采取相應(yīng)的防范措施，從而提高系統(tǒng)的抗攻擊能力?？刂茀f(xié)議和服務(wù) 針對(duì)網(wǎng)絡(luò)先天缺陷的不安全因素，防火墻采取控制協(xié)議和服務(wù)的方法，使得只有授權(quán)的協(xié)議和服務(wù)才可以通過防火墻，從而大大降低了因某種服務(wù)、協(xié)議的漏洞而引起災(zāi)難性安全事故的可能性。防火墻的主要功能監(jiān)控并限制訪問防火墻的主要功能（續(xù)）保護(hù)網(wǎng)絡(luò)內(nèi)部 針對(duì)軟件及系統(tǒng)的漏洞或“后門”，防火墻采用了與受保護(hù)網(wǎng)絡(luò)的操作系統(tǒng)、應(yīng)用軟件無關(guān)的體系結(jié)構(gòu)，其自身建立在安全操作系統(tǒng)之上；同時(shí)，針對(duì)受保護(hù)的內(nèi)部網(wǎng)絡(luò)，防火墻能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的漏洞，進(jìn)行訪問上的限制；防火墻還可以屏蔽受保護(hù)網(wǎng)絡(luò)的相關(guān)信息，使黑客無從下手。日志記錄與審計(jì)

當(dāng)防火墻系統(tǒng)被配置為所有內(nèi)部網(wǎng)絡(luò)與外部Internet連接均需經(jīng)過的安全節(jié)點(diǎn)時(shí)，防火墻系統(tǒng)就能夠?qū)λ械木W(wǎng)絡(luò)請求做出