網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理

我所理解的網(wǎng)絡(luò)安全架構(gòu)《網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理》班級：學(xué)號：姓名：教師：成績：目錄：TOC\o"1-3"\h\z\u我所理解的網(wǎng)絡(luò)安全架構(gòu) 2(一) 網(wǎng)絡(luò)安全應(yīng)具有以下五個方面的特征 2(二) 影響網(wǎng)絡(luò)安全性的因素 2(三) 如何劃分架構(gòu)（按照攻擊方式、協(xié)議層次、網(wǎng)絡(luò)層次等） 31. 網(wǎng)絡(luò)攻擊主要分為以下幾類 32. 協(xié)議層次 43. 網(wǎng)絡(luò)層次 4(四) 網(wǎng)絡(luò)安全架構(gòu)的組成技術(shù)和應(yīng)用場景 51. 數(shù)據(jù)加密與數(shù)字簽名 52. CA數(shù)字證書 63. 防火墻技術(shù) 64. 入侵檢測技術(shù) 65. VPN技術(shù) 66. NAT技術(shù) 77. IPSEC技術(shù) 7(五) 以一個拓?fù)鋱D來說明網(wǎng)絡(luò)技術(shù)實(shí)施的層次和目標(biāo) 71. 拓?fù)鋱D 72. 實(shí)現(xiàn)的層次及目標(biāo) 8我所理解的網(wǎng)絡(luò)安全架構(gòu)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全應(yīng)具有以下五個方面的特征保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。可用性：可被授權(quán)實(shí)體訪問并按需求使用的特性。即當(dāng)需要時能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊；可控性：對信息的傳播及內(nèi)容具有控制能力。可審查性：出現(xiàn)的安全問題時提供依據(jù)與手段影響網(wǎng)絡(luò)安全性的因素網(wǎng)絡(luò)結(jié)構(gòu)因素：網(wǎng)絡(luò)基本拓?fù)浣Y(jié)構(gòu)有3種：星型、總線型和環(huán)型。一個單位在建立自己的內(nèi)部網(wǎng)之前，各部門可能已建造了自己的局域網(wǎng)，所采用的拓?fù)浣Y(jié)構(gòu)也可能完全不同。在建造內(nèi)部網(wǎng)時，為了實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)間信息的通信，往往要犧牲一些安全機(jī)制的設(shè)置和實(shí)現(xiàn)，從而提出更高的網(wǎng)絡(luò)開放性要求。網(wǎng)絡(luò)協(xié)議因素：在建造內(nèi)部網(wǎng)時，用戶為了節(jié)省開支，必然會保護(hù)原有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。另外，網(wǎng)絡(luò)公司為生存的需要，對網(wǎng)絡(luò)協(xié)議的兼容性要求越來越高，使眾多廠商的協(xié)議能互聯(lián)、兼容和相互通信。這在給用戶和廠商帶來利益的同時，也帶來了安全隱患。如在一種協(xié)議下傳送的有害程序能很快傳遍整個網(wǎng)絡(luò)。地域因素：由于內(nèi)部網(wǎng)Intranet既可以是LAN也可能是WAN(內(nèi)部網(wǎng)指的是它不是一個公用網(wǎng)絡(luò)，而是一個專用網(wǎng)絡(luò))，網(wǎng)絡(luò)往往跨越城際，甚至國際。地理位置復(fù)雜，通信線路質(zhì)量難以保證，這會造成信息在傳輸過程中的損壞和丟失，也給一些”黑客”造成可乘之機(jī)。用戶因素：企業(yè)建造自己的內(nèi)部網(wǎng)是為了加快信息交流，更好地適應(yīng)市場需求。建立之后，用戶的范圍必將從企業(yè)員工擴(kuò)大到客戶和想了解企業(yè)情況的人。用戶的增加，也給網(wǎng)絡(luò)的安全性帶來了威脅，因?yàn)檫@里可能就有商業(yè)間諜或“黑客”主機(jī)因素：建立內(nèi)部網(wǎng)時，使原來的各局域網(wǎng)、單機(jī)互聯(lián)，增加了主機(jī)的種類，如工作站、服務(wù)器，甚至小型機(jī)、大中型機(jī)。由于它們所使用的操作系統(tǒng)和網(wǎng)絡(luò)操作系統(tǒng)不盡相同，某個操作系統(tǒng)出現(xiàn)漏洞(如某些系統(tǒng)有一個或幾個沒有口令的賬戶)，就可能造成整個網(wǎng)絡(luò)的大隱患。單位安全政策：實(shí)踐證明，80％的安全問題是由網(wǎng)絡(luò)內(nèi)部引起的，因此，單位對自己內(nèi)部網(wǎng)的安全性要有高度的重視，必須制訂出一套安全管理的規(guī)章制度。人員因素：人的因素是安全問題的薄弱環(huán)節(jié)。要對用戶進(jìn)行必要的安全教育，選擇有較高職業(yè)道德修養(yǎng)的人做網(wǎng)絡(luò)管理員，制訂出具體措施，提高安全意識。如何劃分架構(gòu)（按照攻擊方式、協(xié)議層次、網(wǎng)絡(luò)層次等）網(wǎng)絡(luò)攻擊主要分為以下幾類“攻擊”是指任何的非授權(quán)行為。供給的范圍從簡單的使服務(wù)器無法提供正常工作到完全破壞或控制服務(wù)器。在網(wǎng)絡(luò)上成功實(shí)施的攻擊級別依賴于用戶采取的安全措施.被動攻擊：攻擊者通過監(jiān)視所有的信息流以獲得某些秘密。這種攻擊可以是基于網(wǎng)絡(luò)（跟蹤通信鏈路）或基于系統(tǒng)（用秘密抓取數(shù)據(jù)的特洛伊木馬代替系統(tǒng)部件）的。被動攻擊是最難被檢測到的，故對付這種攻擊的重點(diǎn)是預(yù)防，主要手段如數(shù)據(jù)加密等。主動攻擊：攻擊者試圖突破網(wǎng)絡(luò)的安全防線。這種攻擊涉及到修改數(shù)據(jù)流或創(chuàng)建錯誤流，主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務(wù)等。這種攻擊無法防御，但卻易于檢測，故對付的重點(diǎn)是檢測，主要手段如防火墻、入侵檢測技術(shù)等。

物理臨近攻擊：在物理臨近攻擊中，未授權(quán)者可物理上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，目的是修改、收集或拒絕訪問信息。內(nèi)部人員攻擊：內(nèi)部人員攻擊的實(shí)施人要么被授權(quán)在信息安全處理系統(tǒng)的物理范圍內(nèi)，要么對信息安全處理系統(tǒng)具有直接訪問權(quán)。內(nèi)部人員攻擊包括惡意的和非惡意的（不小心或無知的用戶）兩種。分發(fā)攻擊：指在軟件和硬件開發(fā)出來之后和安裝之前這段時間，或當(dāng)它從一個地方傳到另一個地方時，攻擊者惡意修改軟、硬件。協(xié)議層次協(xié)議是通信雙方為了實(shí)現(xiàn)通信而設(shè)計的約定或?qū)υ捯?guī)則。網(wǎng)絡(luò)層協(xié)議：包括：IP協(xié)議、ICMP協(xié)議、ARP協(xié)議、RARP協(xié)議。傳輸層協(xié)議：TCP協(xié)議、UDP協(xié)議。應(yīng)用層協(xié)議：FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS。網(wǎng)絡(luò)層次物理層利用物理傳輸介質(zhì)為數(shù)據(jù)鏈路層提供物理連接，負(fù)責(zé)處理數(shù)據(jù)傳輸率并監(jiān)控數(shù)據(jù)出錯率，以便透明地傳送比特率。它定義了激活、維護(hù)和關(guān)閉終端用戶之間的電氣、機(jī)械的、過程的和功能的特性。物理層的特性包括電壓、頻率、數(shù)據(jù)傳輸率、最大傳輸距離、物理連接器及相關(guān)的屬性。數(shù)據(jù)鏈路層在物理層提供比特率傳輸服務(wù)的基礎(chǔ)上，數(shù)據(jù)鏈路層通過在通信的實(shí)體之間建立數(shù)據(jù)鏈路連接，傳送以“幀”為單位的數(shù)據(jù)，使有差錯的物理線路變成無差錯的數(shù)據(jù)鏈路，保證點(diǎn)到點(diǎn)可靠的數(shù)據(jù)傳輸，因此，數(shù)據(jù)鏈路層關(guān)心的主要問題包括物理地址、網(wǎng)絡(luò)拓?fù)洹⒕€路規(guī)則、錯誤通告、數(shù)據(jù)幀的有序傳輸和流量控制。網(wǎng)絡(luò)層網(wǎng)絡(luò)層的主要功能為處在不同的網(wǎng)絡(luò)系統(tǒng)中的兩個節(jié)點(diǎn)設(shè)備通信提供一條邏輯網(wǎng)道。其基本任務(wù)包括路由選擇、擁塞控制與網(wǎng)絡(luò)互聯(lián)等功能。傳輸層傳輸層主要任務(wù)是向用戶提供可靠地端到端服務(wù)，透明地傳送報文。它向高層屏蔽了下層數(shù)據(jù)通信的細(xì)節(jié)，因而是計算機(jī)通信體系結(jié)構(gòu)中的最關(guān)鍵的一層。該層關(guān)心的主要問題包括建立、維護(hù)和中斷虛電路、傳輸差錯校驗(yàn)和恢復(fù)以及信息流量控制。會話層會話層建立、管理和終止應(yīng)用程序進(jìn)程之間的會話和數(shù)據(jù)的交換。這種會話關(guān)系是由兩個或多個表示層實(shí)體之間的對話構(gòu)成的。表示層表示層保證一個系統(tǒng)應(yīng)用層發(fā)出的信息能被另一個系統(tǒng)的應(yīng)用層讀出。如有必要，表示層以一種通用的數(shù)據(jù)表示格式在多種數(shù)據(jù)表示格式之間的轉(zhuǎn)換，它包括數(shù)據(jù)格式變換、數(shù)據(jù)加密與解密、數(shù)據(jù)壓縮與恢復(fù)等功能。應(yīng)用層應(yīng)用層是OSI參考模型中最靠近用戶的一層，它為用戶的應(yīng)用程序提供網(wǎng)絡(luò)服務(wù)，這些應(yīng)用程序包括電子數(shù)據(jù)表格程序、字處理程序和銀行終端程序等，應(yīng)用層識別并證實(shí)目的的通信方的可用性，使協(xié)同工作的應(yīng)用程序之間進(jìn)行同步，建立傳輸錯誤糾正和數(shù)據(jù)完整性控制方面的協(xié)定，判斷是否為所需的通信過程留有足夠的資源。網(wǎng)絡(luò)安全架構(gòu)的組成技術(shù)和應(yīng)用場景數(shù)據(jù)加密與數(shù)字簽名常用的數(shù)據(jù)加密技術(shù)主要有兩種：私密密鑰加密技術(shù)：私密密鑰加密技術(shù)也稱對稱密鑰加密技術(shù)，密鑰在加密方和解密方之間傳遞和分發(fā)必須通過安全通道進(jìn)行，在公共網(wǎng)絡(luò)上使用明文傳遞秘密密鑰是不合適的。如果密鑰沒有已安全方式傳送，那么黑客就很有可能截獲該密鑰，并將該密鑰用于信息解密。因此，在公共網(wǎng)絡(luò)上，秘密密鑰技術(shù)不適合于實(shí)現(xiàn)互不相識的通信者之間的信息傳遞。公開密鑰加密技術(shù)：公開密鑰加密也稱為非對稱密鑰加密公開密鑰加密技術(shù)其優(yōu)勢在于不需要共享通用的密鑰。公鑰可以再公共網(wǎng)絡(luò)上進(jìn)行傳遞和分發(fā)，公開密鑰加密技術(shù)的主要缺點(diǎn)是加密算法復(fù)雜，加密與解密速度比較慢，被加密的數(shù)據(jù)塊長度不宜過太大。數(shù)字簽名：數(shù)字簽名作為驗(yàn)證發(fā)送者身份和消息完整性的根據(jù)。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對，作為驗(yàn)證發(fā)送者身份和消息完整性的根據(jù)。CA使用私有密鑰計算其數(shù)字簽名，利用CA提供的公共密鑰，任何人均可驗(yàn)證簽名的真實(shí)性。偽造數(shù)字簽名從計算能力上是不可行的CA數(shù)字證書CA是證書的簽發(fā)機(jī)構(gòu),它是PKI的核心。CA是負(fù)責(zé)簽發(fā)證書、認(rèn)證證書、管理已頒發(fā)證書的機(jī)關(guān)。它要制定政策和具體步驟來驗(yàn)證、識別用戶身份，并對用戶證書進(jìn)行簽名，以確保證書持有者的身份和公鑰的擁有權(quán)。如果用戶想得到一份屬于自己的證書，他應(yīng)先向CA提出申請。在CA判明申請者的身份后，便為他分配一個公鑰，并且CA將該公鑰與申請者的身份信息綁在一起，并為之簽字后，便形成證書發(fā)給申請者。它主要用來認(rèn)證訪問權(quán)限和建立互相信任。防火墻技術(shù)防火墻技術(shù)，最初是針對Internet網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。它是一種計算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。入侵檢測技術(shù)入侵檢測技術(shù)可以被定義為對計算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為,是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。VPN技術(shù)VPN即虛擬專用網(wǎng)絡(luò)，是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。VPN極大地降低了用戶的費(fèi)用，而且提供了比傳統(tǒng)方法更強(qiáng)的安全性和可靠性。VPN可分為三大類：（1）企業(yè)各部門與遠(yuǎn)程分支之間的VPN；（2）企業(yè)網(wǎng)與遠(yuǎn)程（移動）雇員之間的VPN；（3