網(wǎng)絡安全的實現(xiàn)和管理

我所理解的網(wǎng)絡安全架構《網(wǎng)絡安全的實現(xiàn)和管理》班級：學號：姓名：教師：成績：目錄：TOC\o"1-3"\h\z\u我所理解的網(wǎng)絡安全架構 2(一) 網(wǎng)絡安全應具有以下五個方面的特征 2(二) 影響網(wǎng)絡安全性的因素 2(三) 如何劃分架構（按照攻擊方式、協(xié)議層次、網(wǎng)絡層次等） 31. 網(wǎng)絡攻擊主要分為以下幾類 32. 協(xié)議層次 43. 網(wǎng)絡層次 4(四) 網(wǎng)絡安全架構的組成技術和應用場景 51. 數(shù)據(jù)加密與數(shù)字簽名 52. CA數(shù)字證書 63. 防火墻技術 64. 入侵檢測技術 65. VPN技術 66. NAT技術 77. IPSEC技術 7(五) 以一個拓撲圖來說明網(wǎng)絡技術實施的層次和目標 71. 拓撲圖 72. 實現(xiàn)的層次及目標 8我所理解的網(wǎng)絡安全架構網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。網(wǎng)絡安全應具有以下五個方面的特征保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯裕嚎杀皇跈鄬嶓w訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊；可控性：對信息的傳播及內(nèi)容具有控制能力?？蓪彶樾裕撼霈F(xiàn)的安全問題時提供依據(jù)與手段影響網(wǎng)絡安全性的因素網(wǎng)絡結構因素：網(wǎng)絡基本拓撲結構有3種：星型、總線型和環(huán)型。一個單位在建立自己的內(nèi)部網(wǎng)之前，各部門可能已建造了自己的局域網(wǎng)，所采用的拓撲結構也可能完全不同。在建造內(nèi)部網(wǎng)時，為了實現(xiàn)異構網(wǎng)絡間信息的通信，往往要犧牲一些安全機制的設置和實現(xiàn)，從而提出更高的網(wǎng)絡開放性要求。網(wǎng)絡協(xié)議因素：在建造內(nèi)部網(wǎng)時，用戶為了節(jié)省開支，必然會保護原有的網(wǎng)絡基礎設施。另外，網(wǎng)絡公司為生存的需要，對網(wǎng)絡協(xié)議的兼容性要求越來越高，使眾多廠商的協(xié)議能互聯(lián)、兼容和相互通信。這在給用戶和廠商帶來利益的同時，也帶來了安全隱患。如在一種協(xié)議下傳送的有害程序能很快傳遍整個網(wǎng)絡。地域因素：由于內(nèi)部網(wǎng)Intranet既可以是LAN也可能是WAN(內(nèi)部網(wǎng)指的是它不是一個公用網(wǎng)絡，而是一個專用網(wǎng)絡)，網(wǎng)絡往往跨越城際，甚至國際。地理位置復雜，通信線路質(zhì)量難以保證，這會造成信息在傳輸過程中的損壞和丟失，也給一些”黑客”造成可乘之機。用戶因素：企業(yè)建造自己的內(nèi)部網(wǎng)是為了加快信息交流，更好地適應市場需求。建立之后，用戶的范圍必將從企業(yè)員工擴大到客戶和想了解企業(yè)情況的人。用戶的增加，也給網(wǎng)絡的安全性帶來了威脅，因為這里可能就有商業(yè)間諜或“黑客”主機因素：建立內(nèi)部網(wǎng)時，使原來的各局域網(wǎng)、單機互聯(lián)，增加了主機的種類，如工作站、服務器，甚至小型機、大中型機。由于它們所使用的操作系統(tǒng)和網(wǎng)絡操作系統(tǒng)不盡相同，某個操作系統(tǒng)出現(xiàn)漏洞(如某些系統(tǒng)有一個或幾個沒有口令的賬戶)，就可能造成整個網(wǎng)絡的大隱患。單位安全政策：實踐證明，80％的安全問題是由網(wǎng)絡內(nèi)部引起的，因此，單位對自己內(nèi)部網(wǎng)的安全性要有高度的重視，必須制訂出一套安全管理的規(guī)章制度。人員因素：人的因素是安全問題的薄弱環(huán)節(jié)。要對用戶進行必要的安全教育，選擇有較高職業(yè)道德修養(yǎng)的人做網(wǎng)絡管理員，制訂出具體措施，提高安全意識。如何劃分架構（按照攻擊方式、協(xié)議層次、網(wǎng)絡層次等）網(wǎng)絡攻擊主要分為以下幾類“攻擊”是指任何的非授權行為。供給的范圍從簡單的使服務器無法提供正常工作到完全破壞或控制服務器。在網(wǎng)絡上成功實施的攻擊級別依賴于用戶采取的安全措施.被動攻擊：攻擊者通過監(jiān)視所有的信息流以獲得某些秘密。這種攻擊可以是基于網(wǎng)絡（跟蹤通信鏈路）或基于系統(tǒng)（用秘密抓取數(shù)據(jù)的特洛伊木馬代替系統(tǒng)部件）的。被動攻擊是最難被檢測到的，故對付這種攻擊的重點是預防，主要手段如數(shù)據(jù)加密等。主動攻擊：攻擊者試圖突破網(wǎng)絡的安全防線。這種攻擊涉及到修改數(shù)據(jù)流或創(chuàng)建錯誤流，主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務等。這種攻擊無法防御，但卻易于檢測，故對付的重點是檢測，主要手段如防火墻、入侵檢測技術等。

物理臨近攻擊：在物理臨近攻擊中，未授權者可物理上接近網(wǎng)絡、系統(tǒng)或設備，目的是修改、收集或拒絕訪問信息。內(nèi)部人員攻擊：內(nèi)部人員攻擊的實施人要么被授權在信息安全處理系統(tǒng)的物理范圍內(nèi)，要么對信息安全處理系統(tǒng)具有直接訪問權。內(nèi)部人員攻擊包括惡意的和非惡意的（不小心或無知的用戶）兩種。分發(fā)攻擊：指在軟件和硬件開發(fā)出來之后和安裝之前這段時間，或當它從一個地方傳到另一個地方時，攻擊者惡意修改軟、硬件。協(xié)議層次協(xié)議是通信雙方為了實現(xiàn)通信而設計的約定或對話規(guī)則。網(wǎng)絡層協(xié)議：包括：IP協(xié)議、ICMP協(xié)議、ARP協(xié)議、RARP協(xié)議。傳輸層協(xié)議：TCP協(xié)議、UDP協(xié)議。應用層協(xié)議：FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS。網(wǎng)絡層次物理層利用物理傳輸介質(zhì)為數(shù)據(jù)鏈路層提供物理連接，負責處理數(shù)據(jù)傳輸率并監(jiān)控數(shù)據(jù)出錯率，以便透明地傳送比特率。它定義了激活、維護和關閉終端用戶之間的電氣、機械的、過程的和功能的特性。物理層的特性包括電壓、頻率、數(shù)據(jù)傳輸率、最大傳輸距離、物理連接器及相關的屬性。數(shù)據(jù)鏈路層在物理層提供比特率傳輸服務的基礎上，數(shù)據(jù)鏈路層通過在通信的實體之間建立數(shù)據(jù)鏈路連接，傳送以“幀”為單位的數(shù)據(jù)，使有差錯的物理線路變成無差錯的數(shù)據(jù)鏈路，保證點到點可靠的數(shù)據(jù)傳輸，因此，數(shù)據(jù)鏈路層關心的主要問題包括物理地址、網(wǎng)絡拓撲、線路規(guī)則、錯誤通告、數(shù)據(jù)幀的有序傳輸和流量控制。網(wǎng)絡層網(wǎng)絡層的主要功能為處在不同的網(wǎng)絡系統(tǒng)中的兩個節(jié)點設備通信提供一條邏輯網(wǎng)道。其基本任務包括路由選擇、擁塞控制與網(wǎng)絡互聯(lián)等功能。傳輸層傳輸層主要任務是向用戶提供可靠地端到端服務，透明地傳送報文。它向高層屏蔽了下層數(shù)據(jù)通信的細節(jié)，因而是計算機通信體系結構中的最關鍵的一層。該層關心的主要問題包括建立、維護和中斷虛電路、傳輸差錯校驗和恢復以及信息流量控制。會話層會話層建立、管理和終止應用程序進程之間的會話和數(shù)據(jù)的交換。這種會話關系是由兩個或多個表示層實體之間的對話構成的。表示層表示層保證一個系統(tǒng)應用層發(fā)出的信息能被另一個系統(tǒng)的應用層讀出。如有必要，表示層以一種通用的數(shù)據(jù)表示格式在多種數(shù)據(jù)表示格式之間的轉換，它包括數(shù)據(jù)格式變換、數(shù)據(jù)加密與解密、數(shù)據(jù)壓縮與恢復等功能。應用層應用層是OSI參考模型中最靠近用戶的一層，它為用戶的應用程序提供網(wǎng)絡服務，這些應用程序包括電子數(shù)據(jù)表格程序、字處理程序和銀行終端程序等，應用層識別并證實目的的通信方的可用性，使協(xié)同工作的應用程序之間進行同步，建立傳輸錯誤糾正和數(shù)據(jù)完整性控制方面的協(xié)定，判斷是否為所需的通信過程留有足夠的資源。網(wǎng)絡安全架構的組成技術和應用場景數(shù)據(jù)加密與數(shù)字簽名常用的數(shù)據(jù)加密技術主要有兩種：私密密鑰加密技術：私密密鑰加密技術也稱對稱密鑰加密技術，密鑰在加密方和解密方之間傳遞和分發(fā)必須通過安全通道進行，在公共網(wǎng)絡上使用明文傳遞秘密密鑰是不合適的。如果密鑰沒有已安全方式傳送，那么黑客就很有可能截獲該密鑰，并將該密鑰用于信息解密。因此，在公共網(wǎng)絡上，秘密密鑰技術不適合于實現(xiàn)互不相識的通信者之間的信息傳遞。公開密鑰加密技術：公開密鑰加密也稱為非對稱密鑰加密公開密鑰加密技術其優(yōu)勢在于不需要共享通用的密鑰。公鑰可以再公共網(wǎng)絡上進行傳遞和分發(fā)，公開密鑰加密技術的主要缺點是加密算法復雜，加密與解密速度比較慢，被加密的數(shù)據(jù)塊長度不宜過太大。數(shù)字簽名：數(shù)字簽名作為驗證發(fā)送者身份和消息完整性的根據(jù)。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對，作為驗證發(fā)送者身份和消息完整性的根據(jù)。CA使用私有密鑰計算其數(shù)字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。偽造數(shù)字簽名從計算能力上是不可行的CA數(shù)字證書CA是證書的簽發(fā)機構,它是PKI的核心。CA是負責簽發(fā)證書、認證證書、管理已頒發(fā)證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權。如果用戶想得到一份屬于自己的證書，他應先向CA提出申請。在CA判明申請者的身份后，便為他分配一個公鑰，并且CA將該公鑰與申請者的身份信息綁在一起，并為之簽字后，便形成證書發(fā)給申請者。它主要用來認證訪問權限和建立互相信任。防火墻技術防火墻技術，最初是針對Internet網(wǎng)絡不安全因素所采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡屏障，其目的就是防止外部網(wǎng)絡用戶未經(jīng)授權的訪問。它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網(wǎng)關，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡之間的通信是否被允許，并監(jiān)視網(wǎng)絡運行狀態(tài)。入侵檢測技術入侵檢測技術可以被定義為對計算機和網(wǎng)絡資源的惡意使用行為進行識別和相應處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權行為,是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。VPN技術VPN即虛擬專用網(wǎng)絡，是通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。VPN是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務”。VPN極大地降低了用戶的費用，而且提供了比傳統(tǒng)方法更強的安全性和可靠性。VPN可分為三大類：（1）企業(yè)各部門與遠程分支之間的VPN；（2）企業(yè)網(wǎng)與遠程（移動）雇員之間的VPN；（3