國(guó)家信息安全測(cè)評(píng)中心CISP培訓(xùn)07

國(guó)家信息平安測(cè)評(píng)中心CISP培訓(xùn)主講：樊山QQ：86485660：E_Mail：大綱網(wǎng)絡(luò)與通信平安根底網(wǎng)絡(luò)平安應(yīng)用〔防火墻、入侵檢測(cè)技術(shù)、漏洞掃描〕大綱KA〔知識(shí)域〕：電信和網(wǎng)絡(luò)平安SA：OSI分層模型和TCP/IP協(xié)議族；理解OSI的七層模型、TCP/IP協(xié)議族及其特征，理解OSI分層模型和TCP/IP協(xié)議族的對(duì)應(yīng)關(guān)系；理解各種相關(guān)協(xié)議同OSI和TCP/IP的對(duì)應(yīng)關(guān)系。SA：通信和網(wǎng)絡(luò)技術(shù)理解各種物理介質(zhì)〔例如：光纖/同軸電纜/雙絞線等〕的特征；理解各種鏈路層協(xié)議和技術(shù)，例如：HDLC/SDLC/幀中繼等。理解各種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)〔總線/星型/環(huán)型〕等的特征；理解各種局域網(wǎng)/城域網(wǎng)/廣域網(wǎng)的各種通信網(wǎng)絡(luò)，例如：幀中繼/ATM網(wǎng)絡(luò)等的特征；理解各種遠(yuǎn)程撥號(hào)訪問(wèn)協(xié)議和技術(shù)，例如：RADIUS/TACACS/TACACS+/Diameter等。大綱SA：互聯(lián)網(wǎng)技術(shù)和效勞理解TCP/IP協(xié)議族中的相關(guān)根底協(xié)議，包括：SLIP/PPP/CHAP/PAP協(xié)議，ARP/RARP協(xié)議，IP協(xié)議，TCP/UDP協(xié)議；理解各種網(wǎng)絡(luò)設(shè)備分類及其特征，包括：復(fù)用器/集線器/交換機(jī)/路由器/網(wǎng)關(guān)等；理解IP地址劃分和編址技術(shù)，理解RIP/OSPF等路由協(xié)議和技術(shù)；理解DNS/SNMP/Telnet/SMTP/WWW等互聯(lián)網(wǎng)重要協(xié)議的原理和應(yīng)用；理解SSL/S/MIME/SSL/SET/PEM等重要的平安協(xié)議；理解各種VPN技術(shù)，例如PPTP、MPLS等VPN技術(shù)〔IPSecVPN技術(shù)在密碼系統(tǒng)及其應(yīng)用中詳細(xì)討論〕。大綱SA：網(wǎng)絡(luò)平安設(shè)備：防火墻/入侵檢測(cè)和入侵防御系統(tǒng)等理解各種網(wǎng)絡(luò)平安設(shè)備的概念和根本原理；理解防火墻的分類、應(yīng)用和實(shí)踐。網(wǎng)絡(luò)與通信平安根底OSI模型和TCP/IP協(xié)議簇通信和網(wǎng)絡(luò)技術(shù)互聯(lián)網(wǎng)技術(shù)與效勞主要網(wǎng)絡(luò)平安協(xié)議和機(jī)制OSI模型和TCP/IP協(xié)議簇OSI模型，即開(kāi)放式通信系統(tǒng)互聯(lián)參考模型(OpenSystemInterconnection)，是國(guó)際標(biāo)準(zhǔn)化組織(ISO)提出的一個(gè)試圖使各種計(jì)算機(jī)在世界范圍內(nèi)互連為網(wǎng)絡(luò)的標(biāo)準(zhǔn)框架，簡(jiǎn)稱OSI。OSI模型-層次劃分OSI將計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)(architecture)劃分為以下七層：7應(yīng)用層：ApplicationLayer6表示層：PresentationLayer

5會(huì)話層：SessionLayer4傳輸層：TransportLayer3網(wǎng)絡(luò)層：NetworkLayer2數(shù)據(jù)鏈路層：DataLinkLayer1物理層：PhysicalLayerOSI模型和TCP/IP協(xié)議簇OSI模型和TCP/IP協(xié)議簇7應(yīng)用層：老板6表示層：相當(dāng)于公司中簡(jiǎn)報(bào)老板、替老板寫(xiě)信的助理5會(huì)話層：相當(dāng)于公司中收寄信、寫(xiě)信封與拆信封的秘書(shū)4傳輸層：相當(dāng)于公司中跑郵局的送信職員3網(wǎng)絡(luò)層：相當(dāng)于郵局中的排序工人2數(shù)據(jù)鏈路層：相當(dāng)于郵局中的裝拆箱工人1物理層：相當(dāng)于郵局中的搬運(yùn)工人OSI模型和TCP/IP協(xié)議OSI模型-歷史在制定計(jì)算機(jī)網(wǎng)絡(luò)標(biāo)準(zhǔn)方面，起著重大作用的兩大國(guó)際組織是：國(guó)際電報(bào)與咨詢委員會(huì)〔CCITT〕，與國(guó)際標(biāo)準(zhǔn)化組織(ISO)，雖然它們工作領(lǐng)域不同，但隨著科學(xué)技術(shù)的開(kāi)展，通信與信息處理之間的界限開(kāi)始變得比較模糊，這也成了CCITT和ISO共同關(guān)心的領(lǐng)域。1974年，ISO發(fā)布了著名的ISO/IEC7498標(biāo)準(zhǔn)，它定義了網(wǎng)絡(luò)互聯(lián)的7層框架，也就是開(kāi)放式系統(tǒng)互連參考模型。OSI模型-影響OSI是一個(gè)定義良好的協(xié)議標(biāo)準(zhǔn)集，并有許多可選局部完成類似的任務(wù)。它定義了開(kāi)放系統(tǒng)的層次結(jié)構(gòu)、層次之間的相互關(guān)系以及各層所包括的可能的任務(wù)。是作為一個(gè)框架來(lái)協(xié)調(diào)和組織各層所提供的效勞。OSI參考模型并沒(méi)有提供一個(gè)可以實(shí)現(xiàn)的方法，而是描述了一些概念，用來(lái)協(xié)調(diào)進(jìn)程間通信標(biāo)準(zhǔn)的制定。即OSI參考模型并不是一個(gè)標(biāo)準(zhǔn)，而是一個(gè)在制定標(biāo)準(zhǔn)時(shí)所使用的概念性框架。OSI模型和TCP/IP協(xié)議OSI模型和TCP/IP協(xié)議物理層定義物理鏈路的電氣、機(jī)械、通信規(guī)程、功能要求等；電壓，數(shù)據(jù)速率，最大傳輸距離，物理連接器；線纜，物理介質(zhì)；將比特流轉(zhuǎn)換成電壓；物理層設(shè)備Repeater,Hub,Multiplexers,NIC；物理層協(xié)議100BaseT,OC-3,OC-12,DS1,DS3,E1,E3；OSI模型和TCP/IP協(xié)議物理層考慮的是怎樣才能在連接各種計(jì)算機(jī)的傳輸媒體上傳輸數(shù)據(jù)的比特流，而不是指連接計(jì)算機(jī)的具體的物理設(shè)備或具體的傳輸媒體。現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)中的物理設(shè)備和傳輸媒體的種類繁多，而通信手段也有許多不同方式。物理層的作用正是要盡可能地屏蔽掉這些差異，使物理層上面的數(shù)據(jù)鏈路層感覺(jué)不到這些差異，這樣可使數(shù)據(jù)鏈路層只需要考慮如何完本錢(qián)層的協(xié)議和效勞，而不必考慮網(wǎng)絡(luò)具體的傳輸媒體是什么。功能特性：主要定義各條物理線路的功能

規(guī)程特性：主要定義各條物理線路的工作規(guī)程和時(shí)序關(guān)系OSI模型和TCP/IP協(xié)議數(shù)據(jù)鏈路層物理尋址，網(wǎng)絡(luò)拓?fù)?，線路規(guī)章等；錯(cuò)誤檢測(cè)和通告〔但不糾錯(cuò)〕；將比特聚成幀進(jìn)行傳輸；流量控制〔可選〕；數(shù)據(jù)鏈路層設(shè)備網(wǎng)橋和交換機(jī)；數(shù)據(jù)鏈路層協(xié)議PPP,HDLC,F.R,Ethernet,TokenRing,FDDI,ISDN,ARP,RARP,L2TP,PPTP.OSI模型和TCP/IP協(xié)議兩個(gè)子層MAC〔MediaAccessControl〕物理地址；燒錄到網(wǎng)卡ROM；48比特；唯一性；LLC〔LogicalLinkControl〕為上層提供統(tǒng)一接口；使上層獨(dú)立于下層物理介質(zhì)；提供流控、排序等效勞；OSI模型和TCP/IP協(xié)議數(shù)據(jù)鏈路層是OSI參考模型中的第二層，介乎于物理層和網(wǎng)絡(luò)層之間。數(shù)據(jù)鏈路層在物理層提供的效勞的根底上向網(wǎng)絡(luò)層提供效勞，其最根本的效勞是將源機(jī)網(wǎng)絡(luò)層來(lái)的數(shù)據(jù)可靠地傳輸?shù)较噜徆?jié)點(diǎn)的目標(biāo)機(jī)網(wǎng)絡(luò)層。為到達(dá)這一目的，數(shù)據(jù)鏈路必須具備一系列相應(yīng)的功能，主要有：如何將數(shù)據(jù)組合成數(shù)據(jù)塊，在數(shù)據(jù)鏈路層中稱這種數(shù)據(jù)塊為幀〔frame〕，幀是數(shù)據(jù)鏈路層的傳送單位；如何控制幀在物理信道上的傳輸，包括如何處理傳輸過(guò)失，如何調(diào)節(jié)發(fā)送速率以使與接收方相匹配；在兩個(gè)網(wǎng)絡(luò)實(shí)體之間提供數(shù)據(jù)鏈路通路的建立、維持和釋放的管理。OSI模型和TCP/IP協(xié)議網(wǎng)絡(luò)層邏輯尋址；路徑選擇；網(wǎng)絡(luò)問(wèn)題管理〔如擁塞〕；MTU；網(wǎng)絡(luò)層設(shè)備路由器，三層交換機(jī)；網(wǎng)絡(luò)層協(xié)議IP,IPX,RIP,OSPF,EIGRP,IS-IS,ICMP；OSI模型和TCP/IP協(xié)議網(wǎng)絡(luò)層是OSI參考模型中的第三層，介于運(yùn)輸層和數(shù)據(jù)鏈路層之間，它在數(shù)據(jù)鏈路層提供的兩個(gè)相鄰端點(diǎn)之間的數(shù)據(jù)幀的傳送功能上，進(jìn)一步管理網(wǎng)絡(luò)中的數(shù)據(jù)通信，將數(shù)據(jù)設(shè)法從源端經(jīng)過(guò)假設(shè)直干個(gè)中間節(jié)點(diǎn)傳送到目的端，從而向運(yùn)輸層提供最根本的端到端的數(shù)據(jù)傳送效勞。主要內(nèi)容有：虛電路分組交換和數(shù)據(jù)報(bào)分組交換、路由選擇算法、阻塞控制方法、X.25協(xié)議、綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)〔ISDN〕、異步傳輸模式〔ATM〕及網(wǎng)際互連原理與實(shí)現(xiàn)。OSI模型和TCP/IP協(xié)議OSI模型和TCP/IP協(xié)議傳輸層端到端數(shù)據(jù)傳輸效勞；建立邏輯連接；傳輸層協(xié)議TCP(TransmissionControlProtocol)狀態(tài)協(xié)議；按序傳輸；糾錯(cuò)和重傳機(jī)制；Socket；UDP(UserDatagramProtocol)無(wú)狀態(tài)協(xié)議；SPXOSI模型和TCP/IP協(xié)議傳輸層是OSI中最重要,最關(guān)鍵的一層，是唯一負(fù)責(zé)總體的數(shù)據(jù)傳輸和數(shù)據(jù)控制的一層。傳輸層提供端到端的交換數(shù)據(jù)的機(jī)制，傳輸層對(duì)會(huì)話層等高三層提供可靠的傳輸效勞,對(duì)網(wǎng)絡(luò)層提供可靠的目的地站點(diǎn)信息。傳輸層功能的最終目的是為會(huì)話提供可靠的，無(wú)誤的數(shù)據(jù)傳輸.傳輸層的效勞一般要經(jīng)歷傳輸連接建立階段，數(shù)據(jù)傳送階段，傳輸連接釋放階段3個(gè)階段才算完成一個(gè)完整的效勞過(guò)程.而在數(shù)據(jù)傳送階段又分為一般數(shù)據(jù)傳送和加速數(shù)據(jù)傳送兩種。傳輸層效勞分成5種類型.根本可以滿足對(duì)傳送質(zhì)量,傳送速度,傳送費(fèi)用的各種不同需要。OSI模型和TCP/IP協(xié)議會(huì)話層不同應(yīng)用的數(shù)據(jù)隔離；會(huì)話建立，維持，終止；同步效勞；名稱標(biāo)識(shí)和識(shí)別；會(huì)話控制〔單向或雙向〕；會(huì)話層協(xié)議NFS,SQL,RPC；SSL/TLS，SSH；OSI模型和TCP/IP協(xié)議會(huì)話層(Session)提供的效勞可使應(yīng)用建立和維持會(huì)話，并能使會(huì)話獲得同步。會(huì)話層使用校驗(yàn)點(diǎn)可使通信會(huì)話在通信失效時(shí)從校驗(yàn)點(diǎn)繼續(xù)恢復(fù)通信。這種能力對(duì)于傳送大的文件極為重要。OSI模型和TCP/IP協(xié)議表示層數(shù)據(jù)格式表示；協(xié)議轉(zhuǎn)換；字符轉(zhuǎn)換；數(shù)據(jù)加密/解密；數(shù)據(jù)壓縮等；表示層數(shù)據(jù)格式ASCII,MPEG,TIFF,GIF,JPEG；OSI模型和TCP/IP協(xié)議表示層的作用之一是為異種機(jī)通信提供一種公共語(yǔ)言，以便能進(jìn)行互操作。這種類型的效勞之所以需要，是因?yàn)椴煌挠?jì)算機(jī)體系結(jié)構(gòu)使用的數(shù)據(jù)表示法不同。例如，IBM主機(jī)使用EBCDIC編碼，而大局部PC機(jī)使用的是ASCII碼。在這種情況下，便需要會(huì)話層來(lái)完成這種轉(zhuǎn)換。OSI模型和TCP/IP協(xié)議OSI模型和TCP/IP協(xié)議應(yīng)用層應(yīng)用接口；網(wǎng)絡(luò)訪問(wèn)流處理；流控；錯(cuò)誤恢復(fù)；應(yīng)用層協(xié)議FTP,Telnet,HTTP,SNMP,SMTP,DNS；OSI模型和TCP/IP協(xié)議應(yīng)用層也稱為應(yīng)用實(shí)體〔AE〕，它由假設(shè)干個(gè)特定應(yīng)用效勞元素〔SASE〕和一個(gè)或多個(gè)公用應(yīng)用效勞元素〔CASE〕組成。每個(gè)SASE提供特定的應(yīng)用效勞，例如文件運(yùn)輸訪問(wèn)和管理〔FTAM〕、電子文電處理〔MHS〕、虛擬終端協(xié)議〔VAP〕等。CASE提供一組公用的應(yīng)用效勞，例如聯(lián)系控制效勞元素〔ACSE〕、可靠運(yùn)輸效勞元素〔RTSE〕和遠(yuǎn)程操作效勞元素〔ROSE〕等。OSI模型和TCP/IP協(xié)議物理層提供傳輸介質(zhì)；將數(shù)據(jù)轉(zhuǎn)換為與傳輸介質(zhì)相應(yīng)的傳輸信號(hào)；在傳輸介質(zhì)中發(fā)送信號(hào)；包括網(wǎng)絡(luò)的物理布局；監(jiān)視傳輸錯(cuò)誤；確定數(shù)據(jù)信號(hào)傳輸?shù)碾妷杭?jí)并同步傳輸；確定信號(hào)類型是數(shù)字信號(hào)還是模擬信號(hào)。數(shù)據(jù)鏈路層使用網(wǎng)絡(luò)適當(dāng)?shù)母袷綐?gòu)造數(shù)據(jù)幀；創(chuàng)建CRC信息，使用CRC信息檢查錯(cuò)誤，如果出現(xiàn)錯(cuò)誤就重新傳輸數(shù)據(jù)；初始化通信鏈接，并且為了結(jié)點(diǎn)到結(jié)點(diǎn)的可靠性，要保證鏈接不被中斷；檢驗(yàn)設(shè)備地址；確認(rèn)接收到了幀。網(wǎng)絡(luò)層確定路由包的網(wǎng)絡(luò)路徑；幫助減少網(wǎng)絡(luò)阻塞；建立虛擬電路；將幀路由到其他網(wǎng)絡(luò)，在需要時(shí)對(duì)包的傳輸進(jìn)行重新排序；在協(xié)議間轉(zhuǎn)換。傳輸層確保結(jié)點(diǎn)與結(jié)點(diǎn)間包傳輸?shù)目煽啃?；確保數(shù)據(jù)發(fā)送和接收時(shí)順序相同；當(dāng)包接收到后，給出確認(rèn)信息；監(jiān)控包傳輸錯(cuò)誤，再發(fā)壞了的包；將大的數(shù)據(jù)單元分割成小的單元，對(duì)于采用不同協(xié)議的網(wǎng)絡(luò)，要在接收端重構(gòu)這些單元。會(huì)話層初始化通信鏈接；確保通信鏈接受到維護(hù)；確定在各個(gè)點(diǎn)上，要哪個(gè)結(jié)點(diǎn)及時(shí)傳輸數(shù)據(jù)；通信會(huì)話結(jié)束后，斷開(kāi)連接；轉(zhuǎn)換結(jié)點(diǎn)地址。表示層將數(shù)據(jù)轉(zhuǎn)換為接收結(jié)點(diǎn)理解的格式；執(zhí)行數(shù)據(jù)加密；執(zhí)行數(shù)據(jù)壓縮。應(yīng)用層使得可以共享遠(yuǎn)程驅(qū)動(dòng)器；使得可以共享遠(yuǎn)程打印機(jī)；處理電子郵件消息；提供文件傳輸服務(wù)；提供文件管理服務(wù)；提供終端仿真服務(wù)。OSI模型和TCP/IP協(xié)議OSI模型和TCP/IP協(xié)議認(rèn)證；訪問(wèn)控制；數(shù)據(jù)機(jī)密性；數(shù)據(jù)完整性；抗抵賴；OSI模型和TCP/IP協(xié)議加密；數(shù)字簽名；訪問(wèn)控制；數(shù)據(jù)完整性；認(rèn)證；流量填充；路由控制；公證〔notarization〕；OSI模型和TCP/IP協(xié)議OSI模型和TCP/IP協(xié)議OSI模型和TCP/IP協(xié)議IP地址A類:1-126；B類:128-191；C類:192-223；D類:224-239；E類:240-254；RFC1918；通信和網(wǎng)絡(luò)技術(shù)局域網(wǎng)〔LAN〕特點(diǎn)高數(shù)據(jù)傳輸率；短距離；低誤碼率；線纜光纖〔FiberOptic〕非屏蔽雙絞線〔UnshieldedTwistedPair,UTP〕；屏蔽雙絞線〔ShieldedTwistedPair,STP〕；同軸電纜〔CoaxialCable〕；介質(zhì)：以太網(wǎng)、令牌環(huán)、FDDI；拓?fù)洌嚎偩€，星形，環(huán)形，網(wǎng)狀；通信和網(wǎng)絡(luò)技術(shù)同軸電纜〔CoaxialCable〕構(gòu)成?Copperconductor；?Shieldinglayer；?Groundingwire；?Outerjacket；類型?50ohm-以太網(wǎng)；?75ohm-視頻；標(biāo)準(zhǔn)?10Base2〔thinnet〕10Mbs；Baseband；185meters；10Base5〔thicknet〕通信和網(wǎng)絡(luò)技術(shù)雙絞線〔TwistedPair〕構(gòu)成多對(duì)銅線；Outerjacket；類型UTP〔UnshieldedTwistedPair〕；STP〔ShieldedTwistedPair〕；通信和網(wǎng)絡(luò)技術(shù)光纖〔FiberOptics〕構(gòu)成?Core；?Cladding；?Buffercoating；?Outerjacket；類型?單?！?micron〕；?多?！?2.5micron〕；光源?激光〔Laser〕；?發(fā)光二極管〔LED〕；通信和網(wǎng)絡(luò)技術(shù)物理拓?fù)淇偩€〔Bus〕；Ethernet；星形〔Star〕；Ethernet〔邏輯上是總線〕；TokenRing〔邏輯上是環(huán)形〕；環(huán)形〔Ring〕；FDDI；網(wǎng)狀〔Mesh〕；Internet；互聯(lián)網(wǎng)技術(shù)與效勞集線器〔Hub〕集線器的英文稱為“Hub〞。“Hub〞是“中心〞的意思，集線器的主要功能是對(duì)接收到的信號(hào)進(jìn)行再生整形放大，以擴(kuò)大網(wǎng)絡(luò)的傳輸距離，同時(shí)把所有節(jié)點(diǎn)集中在以它為中心的節(jié)點(diǎn)上。它工作于OSI(開(kāi)放系統(tǒng)互聯(lián)參考模型)參考模型第一層，即“物理層〞。集線器與網(wǎng)卡、網(wǎng)線等傳輸介質(zhì)一樣，屬于局域網(wǎng)中的根底設(shè)備，采用CSMA/CD訪問(wèn)方式。集線器常見(jiàn)端口集線器通常都提供三種類型的端口，即RJ-45端口、BNC端口和AUI端口，以適用于連接不同類型電纜構(gòu)建的網(wǎng)絡(luò)。一些高檔集線器還提供有光纖端口和其他類型的端口?；ヂ?lián)網(wǎng)技術(shù)與效勞當(dāng)一個(gè)集線器提供的端口不夠時(shí)，一般有以下兩種拓展用戶數(shù)目的方法。(1)堆疊堆疊是解決單個(gè)集線器端口缺乏時(shí)的一種方法，但是因?yàn)槎询B在一起的多個(gè)集線器還是工作在同一個(gè)環(huán)境下，所以堆疊的層數(shù)也不能太多。然而，市面上許多集線器以其堆疊層數(shù)比其他品牌的多而作為賣(mài)點(diǎn)，如果遇到這種情況，要區(qū)別對(duì)待：一方面可堆疊層數(shù)越多，一般說(shuō)明集線器的穩(wěn)定性越高；另一方面可堆疊層數(shù)越多，每個(gè)用戶實(shí)際可享有的帶寬那么越小。(2)級(jí)連級(jí)連是在網(wǎng)絡(luò)中增加用戶數(shù)的另一種方法，但是此項(xiàng)功能的使用—般是有條件的，即Hub必須提供可級(jí)連的端口，此端口上常標(biāo)為“Uplink〞或“MDI〞的字樣，用此端口與其他的Hub進(jìn)行級(jí)連。如果沒(méi)有提供專門(mén)的端口而必須要進(jìn)行級(jí)連時(shí)，連接兩個(gè)集線器的雙絞線在制作時(shí)必須要進(jìn)行錯(cuò)線?；ヂ?lián)網(wǎng)技術(shù)與效勞網(wǎng)橋〔Bridge〕網(wǎng)橋是一種對(duì)幀進(jìn)行轉(zhuǎn)發(fā)的技術(shù)，根據(jù)MAC分區(qū)塊，可隔離碰撞。網(wǎng)橋?qū)⒕W(wǎng)絡(luò)的多個(gè)網(wǎng)段在數(shù)據(jù)鏈路層連接起來(lái)。網(wǎng)橋的根本特征1、網(wǎng)橋在數(shù)據(jù)鏈路層上實(shí)現(xiàn)局域網(wǎng)互連；2、網(wǎng)橋能夠互連兩個(gè)采用不同數(shù)據(jù)鏈路層協(xié)議、不同傳輸介質(zhì)與不同傳輸速率的網(wǎng)絡(luò)；3、網(wǎng)橋以接收、存儲(chǔ)、地址過(guò)濾與轉(zhuǎn)發(fā)的方式實(shí)現(xiàn)互連的網(wǎng)絡(luò)之間的通信；4、網(wǎng)橋需要互連的網(wǎng)絡(luò)在數(shù)據(jù)鏈路層以上采用相同的協(xié)議；5、網(wǎng)橋可以分隔兩個(gè)網(wǎng)絡(luò)之間的播送通信量，有利于改善互連網(wǎng)絡(luò)的性能與平安性。互聯(lián)網(wǎng)技術(shù)與效勞1、透明網(wǎng)橋第一種802網(wǎng)橋是透明網(wǎng)橋(transparentbridge)或生成樹(shù)網(wǎng)橋(spanningtreebridge)。支持這種設(shè)計(jì)的人首要關(guān)心的是完全透明。按照他們的觀點(diǎn)，裝有多個(gè)LAN的單位在買(mǎi)回IEEE標(biāo)準(zhǔn)網(wǎng)橋之后，只需把連接插頭插入網(wǎng)橋，就萬(wàn)事大吉。不需要改動(dòng)硬件和軟件，無(wú)需設(shè)置地址開(kāi)關(guān)，無(wú)需裝入路由表或參數(shù)。2、源路由選擇網(wǎng)橋透明網(wǎng)橋的優(yōu)點(diǎn)是易于安裝，只需插進(jìn)電纜即大功告成。但是從另一方面來(lái)說(shuō)，這種網(wǎng)橋并沒(méi)有最正確地利用帶寬，因?yàn)樗鼈儍H僅用到了拓?fù)浣Y(jié)構(gòu)的一個(gè)子集(生成樹(shù))。這兩個(gè)〔或其他〕因素的相對(duì)重要性導(dǎo)致了802委員會(huì)內(nèi)部的分裂。支持CSMA/CD和令牌總線的人選擇了透明網(wǎng)橋，而令牌環(huán)的支持者那么偏愛(ài)一種稱為源路由選擇(sourcerouting)的網(wǎng)橋〔受到IBM的鼓勵(lì)〕?；ヂ?lián)網(wǎng)技術(shù)與效勞交換機(jī)(英文:Switch，意為“開(kāi)關(guān)〞)是一種用于電信號(hào)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備。它可以為接入交換機(jī)的任意兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)提供獨(dú)享的電信號(hào)通路。最常見(jiàn)的交換機(jī)是以太網(wǎng)交換機(jī)。其他常見(jiàn)的還有語(yǔ)音交換機(jī)、光纖交換機(jī)等。交換機(jī)的傳輸模式全雙工，半雙工，全雙工/半雙工自適應(yīng)互聯(lián)網(wǎng)技術(shù)與效勞幾種交換技術(shù)1.端口交換端口交換技術(shù)最早出現(xiàn)在插槽式的集線器中，這類集線器的背板通常劃分有多條以太網(wǎng)段〔每條網(wǎng)段為一個(gè)播送域〕，不用網(wǎng)橋或路由連接，網(wǎng)絡(luò)之間是互不相通的。根據(jù)支持的程度，端口交換還可細(xì)分為：模塊交換：將整個(gè)模塊進(jìn)行網(wǎng)段遷移。端口組交換：通常模塊上的端口被劃分為假設(shè)干組，每組端口允許進(jìn)行網(wǎng)段遷移。端口級(jí)交換：支持每個(gè)端口在不同網(wǎng)段之間進(jìn)行遷移。這種交換技術(shù)是基于OSI第一層上完成的，具有靈活性和負(fù)載平衡能力等優(yōu)點(diǎn)。如果配置得當(dāng)，那么還可以在一定程度進(jìn)行容錯(cuò)，但沒(méi)有改變共享傳輸介質(zhì)的特點(diǎn)，自而未能稱之為真正的交換。互聯(lián)網(wǎng)技術(shù)與效勞2.幀交換幀交換是目前應(yīng)用最廣的局域網(wǎng)交換技術(shù)，它通過(guò)對(duì)傳統(tǒng)傳輸媒介進(jìn)行微分段，提供并行傳送的機(jī)制，以減小沖突域，獲得高的帶寬。一般來(lái)講每個(gè)公司的產(chǎn)品的實(shí)現(xiàn)技術(shù)均會(huì)有差異，但對(duì)網(wǎng)絡(luò)幀的處理方式一般有以下幾種：直通交換：提供線速處理能力，交換機(jī)只讀出網(wǎng)絡(luò)幀的前14個(gè)字節(jié)，便將網(wǎng)絡(luò)幀傳送到相應(yīng)的端口上。存儲(chǔ)轉(zhuǎn)發(fā)：通過(guò)對(duì)網(wǎng)絡(luò)幀的讀取進(jìn)行驗(yàn)錯(cuò)和控制。3.信元交換ATM技術(shù)采用固定長(zhǎng)度53個(gè)字節(jié)的信元交換。由于長(zhǎng)度固定，因而便于用硬件實(shí)現(xiàn)。ATM采用專用的非差異連接，并行運(yùn)行，可以通過(guò)一個(gè)交換機(jī)同時(shí)建立多個(gè)節(jié)點(diǎn)，但并不會(huì)影響每個(gè)節(jié)點(diǎn)之間的通信能力。ATM還容許在源節(jié)點(diǎn)和目標(biāo)、節(jié)點(diǎn)建立多個(gè)虛擬鏈接，以保障足夠的帶寬和容錯(cuò)能力。互聯(lián)網(wǎng)技術(shù)與效勞路由器〔router〕：連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備，它會(huì)根據(jù)信道的情況自動(dòng)選擇和設(shè)定路由，以最正確路徑，按前后順序發(fā)送信號(hào)的設(shè)備。路由器英文名Router，路由器是互聯(lián)網(wǎng)絡(luò)的樞紐、“交通警察〞。網(wǎng)絡(luò)層設(shè)備；播送控制；最優(yōu)路徑選擇；邏輯尋址；流量管理；互聯(lián)網(wǎng)技術(shù)與效勞路由協(xié)議內(nèi)部網(wǎng)關(guān)協(xié)議〔IGP〕RIP，RIPv2；IGRP，EIGRP；OSPF；IS-IS；外部網(wǎng)關(guān)協(xié)議〔EGP〕BGP；距離向量協(xié)議〔DV〕RIP，RIPv2；IGRP，EIGRP；鏈路狀態(tài)協(xié)議〔LS〕OSPF；IS-IS；路徑向量協(xié)議〔PV〕BGP；有類路由協(xié)議〔Classful〕RIP；IGRP；無(wú)類路由協(xié)議〔Classless〕RIPv2；EIGRP；OSPF；IS-IS；BGP；互聯(lián)網(wǎng)技術(shù)與效勞認(rèn)證Authentication你是誰(shuí)?Authorization你被允許做什么?Accounting你做了什么?認(rèn)證發(fā)生在主體與認(rèn)證效勞器或主體與認(rèn)證效勞器代理之間；希望認(rèn)證協(xié)議具有信任憑證易于管理；抵御竊聽(tīng)和中間人攻擊；抗抵賴；認(rèn)證可以單向或雙向；互聯(lián)網(wǎng)技術(shù)與效勞認(rèn)證協(xié)議PAP口令以明文方式傳輸；由客戶端發(fā)起；一次會(huì)話只進(jìn)行一次認(rèn)證；CHAP口令從不在線路上傳輸；由Challenger發(fā)起；一次連接發(fā)生屢次認(rèn)證；互聯(lián)網(wǎng)技術(shù)與效勞EAP本身并不是認(rèn)證方法，而是一個(gè)較為靈活的用以承載認(rèn)證信息的傳輸協(xié)議；出發(fā)點(diǎn)是降低系統(tǒng)間的復(fù)雜關(guān)系，提供更加平安的認(rèn)證方法；通常直接運(yùn)行在數(shù)據(jù)鏈路層，如PPP或IEEE802介質(zhì)；在終端和認(rèn)證效勞器之間代理認(rèn)證；802.1x802.1x在客戶端和認(rèn)證代理〔如以太網(wǎng)交換機(jī)、無(wú)線AP〕之間進(jìn)行EAP認(rèn)證信息的封裝；互聯(lián)網(wǎng)技術(shù)與效勞Kerberos認(rèn)證協(xié)議:口令從不在網(wǎng)絡(luò)中傳輸；SSO〔Singlesign-on〕；三個(gè)實(shí)體:訪問(wèn)應(yīng)用效勞器上運(yùn)行效勞的客戶端；認(rèn)證效勞器，即KDC(KeyDistributionCenter認(rèn)證效勞；ticket-granting效勞；應(yīng)用效勞器；使用DES對(duì)所有消息〔除初始化請(qǐng)求〕進(jìn)行加密；主要網(wǎng)絡(luò)平安協(xié)議和機(jī)制網(wǎng)絡(luò)平安“Securityisonlyasstrongastheweakestlink!〞主要網(wǎng)絡(luò)平安協(xié)議和機(jī)制主要網(wǎng)絡(luò)平安協(xié)議和機(jī)制網(wǎng)絡(luò)層平安IPsec〔略〕；PPTP〔略〕；L2TP〔略〕；路由協(xié)議平安；NAT；主要網(wǎng)絡(luò)平安協(xié)議和機(jī)制路由協(xié)議平安主要攻擊行為trafficredirection,trafficblackhole,router/routingprotocolDoS,unauthorizedprefixorigination破壞最大的攻擊是由攻擊者操控路由器造成；加固至關(guān)重要！使用Prefixfiltering預(yù)防虛假路由信息；至少，應(yīng)使用路由消息的MD5驗(yàn)證機(jī)制(availableforRIPv2,OSPF,BGP,EIGRP,ISIS)主要網(wǎng)絡(luò)平安協(xié)議和機(jī)制傳輸層平安SSL；TLS；SSH；主要網(wǎng)絡(luò)平安協(xié)議和機(jī)制應(yīng)用層平安SETPEMS-HTTPVsHTTPSMIMES/MIMEPGP網(wǎng)絡(luò)平安應(yīng)用〔防火墻、入侵檢測(cè)技術(shù)、漏洞掃描〕防火墻入侵檢測(cè)系統(tǒng)漏洞掃掃描系統(tǒng)平安隔離與信息交換系統(tǒng)〔網(wǎng)閘〕防火墻1、概念：防火墻的英文名為“FireWall〞，它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專業(yè)角度講，防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問(wèn)控制的一組組件集合。典型的防火墻具有以下三個(gè)方面的根本特性：〔1〕內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻防火墻〔2〕只有符合平安策略的數(shù)據(jù)流才能通過(guò)防火墻〔3〕防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力防火墻2、防火墻的作用過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包；管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為；封堵某些禁止的訪問(wèn)行為；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警能過(guò)濾大局部的危險(xiǎn)端口設(shè)置嚴(yán)格的外向內(nèi)的狀態(tài)過(guò)濾規(guī)那么抵擋大局部的拒絕效勞攻擊加強(qiáng)了訪問(wèn)控制能力防火墻3、防火墻常用術(shù)語(yǔ)硬件參數(shù)：防火墻硬件參數(shù)是指設(shè)備使用的處理器類型或芯片及主頻，內(nèi)存容量，閃存容量，網(wǎng)絡(luò)接口，存儲(chǔ)容量類型等數(shù)據(jù)。并發(fā)連接數(shù)：并發(fā)連接數(shù)是指防火墻或代理效勞器對(duì)其業(yè)務(wù)信息流的處理能力，是防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目，它反映出防火墻設(shè)備對(duì)多個(gè)連接的訪問(wèn)控制能力和連接狀態(tài)跟蹤能力，這個(gè)參數(shù)的大小直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)?！?〕并發(fā)連接數(shù)的增大意味著對(duì)系統(tǒng)內(nèi)存資源的消耗以每個(gè)并發(fā)連接表項(xiàng)占用300B計(jì)算1000個(gè)并發(fā)連接將占用300B×1000×8bit/B≈2.3Mb內(nèi)存空間10000個(gè)并發(fā)連接將占用23Mb內(nèi)存空間100000個(gè)并發(fā)連接將占用230Mb內(nèi)存空間1000000個(gè)并發(fā)連接需要提供2.24Gb內(nèi)存空間防火墻〔2〕并發(fā)連接數(shù)的增大應(yīng)當(dāng)充分考慮CPU的處理能力CPU的主要任務(wù)是把網(wǎng)絡(luò)上的流量從一個(gè)網(wǎng)段盡可能快速地轉(zhuǎn)發(fā)到另外一個(gè)網(wǎng)段上，并且在轉(zhuǎn)發(fā)過(guò)程中對(duì)此流量按照一定的訪問(wèn)控制策略進(jìn)行許可檢查、流量統(tǒng)計(jì)和訪問(wèn)審計(jì)等操作，這都要求防火墻對(duì)并發(fā)連接表中的相應(yīng)表項(xiàng)進(jìn)行不斷的更新讀寫(xiě)操作。如果不顧C(jī)PU的實(shí)際處理能力而貿(mào)然增大系統(tǒng)的并發(fā)連接表，勢(shì)必影響防火墻對(duì)連接請(qǐng)求的處理延遲，造成某些連接超時(shí)，讓更多的連接報(bào)文被重發(fā)，進(jìn)而導(dǎo)致更多的連接超時(shí)，最后形成雪崩效應(yīng)，致使整個(gè)防火墻系統(tǒng)崩潰?！?〕物理鏈路的實(shí)際承載能力將嚴(yán)重影響防火墻發(fā)揮出其對(duì)海量并發(fā)連接的處理能力雖然目前很多防火墻都提供了10/100/1000Mbps的網(wǎng)絡(luò)接口，但是，由于防火墻通常都部署在Internet出口處，在客戶端PC與目的資源中間的路徑上，總是存在著瓶頸鏈路——該瓶頸鏈路可能是2Mbps專線，也可能是512Kbps乃至64Kbps的低速鏈路。這些擁擠的低速鏈路根本無(wú)法承載太多的并發(fā)連接，所以即便是防火墻能夠支持大規(guī)模的并發(fā)訪問(wèn)連接，也無(wú)法發(fā)揮出其原有的性能。防火墻吞吐量：網(wǎng)絡(luò)中的數(shù)據(jù)是由一個(gè)個(gè)數(shù)據(jù)包組成，防火墻對(duì)每個(gè)數(shù)據(jù)包的處理要消耗資源。吞吐量是指在沒(méi)有幀喪失的情況下，設(shè)備能夠接受的最大速率。吞吐量測(cè)試結(jié)果以比特/秒或字節(jié)/秒表示。吞吐量和報(bào)文轉(zhuǎn)發(fā)率是關(guān)系防火墻應(yīng)用的主要指標(biāo)，一般采用FDT(FullDuplexThroughput)來(lái)衡量，指64字節(jié)數(shù)據(jù)包的全雙工吞吐量，該指標(biāo)既包括吞吐量指標(biāo)也涵蓋了報(bào)文轉(zhuǎn)發(fā)率指標(biāo)。吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡，及程序算法的效率決定，尤其是程序算法，會(huì)使防火墻系統(tǒng)進(jìn)行大量運(yùn)算，通信量大打折扣。因此，大多數(shù)防火墻雖號(hào)稱100M防火墻，由于其算法依靠軟件實(shí)現(xiàn)，通信量遠(yuǎn)遠(yuǎn)沒(méi)有到達(dá)100M,實(shí)際只有10M-20M。純硬件防火墻，由于采用硬件進(jìn)行運(yùn)算，因此吞吐量可以到達(dá)線性90-95M,是真正的100M防火墻。對(duì)于中小型企業(yè)來(lái)講，選擇吞吐量為百兆級(jí)的防火墻即可滿足需要，而對(duì)于電信、金融、保險(xiǎn)等大公司大企業(yè)部門(mén)就需要采用吞吐量千兆級(jí)的防火墻產(chǎn)品。防火墻NAT：NAT英文全稱是“NetworkAddressTranslation〞，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換〞，它是一個(gè)IETF(InternetEngineeringTaskForce,Internet工程任務(wù)組)標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP〔InternetProtocol〕地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址〔IP地址〕翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。如圖簡(jiǎn)單的說(shuō)，NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí)，就在網(wǎng)關(guān)處，將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)〔internet〕上正常使用，NAT可以使多臺(tái)計(jì)算機(jī)共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問(wèn)題。防火墻NAT技術(shù)類型NAT有三種類型：靜態(tài)NAT(StaticNAT)、動(dòng)態(tài)地址NAT(PooledNAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT〔Port－LevelNAT〕。靜態(tài)NAT設(shè)置起來(lái)最為簡(jiǎn)單和最容易實(shí)現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。動(dòng)態(tài)地址NAT只是轉(zhuǎn)換IP地址，它為每一個(gè)內(nèi)部的IP地址分配一個(gè)臨時(shí)的外部IP地址，主要應(yīng)用于撥號(hào)，對(duì)于頻繁的遠(yuǎn)程聯(lián)接也可以采用動(dòng)態(tài)NAT。當(dāng)遠(yuǎn)程用戶聯(lián)接上之后，動(dòng)態(tài)地址NAT就會(huì)分配給他一個(gè)IP地址，用戶斷開(kāi)時(shí)，這個(gè)IP地址就會(huì)被釋放而留待以后使用。網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT〔NetworkAddressPortTranslation〕是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面。NAPT與動(dòng)態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上，同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的TCP端口號(hào)。防火墻DMZ：DMZ是英文“demilitarizedzone〞的縮寫(xiě)，中文名稱為“隔離區(qū)〞，也稱“非軍事化區(qū)〞。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)效勞器的問(wèn)題，而設(shè)立的一個(gè)非平安系統(tǒng)與平安系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開(kāi)的效勞器設(shè)施，如企業(yè)Web效勞器、FTP效勞器和論壇等。另一方面，通過(guò)這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對(duì)攻擊者來(lái)說(shuō)又多了一道關(guān)卡。VPN：VPN的英文全稱是“VirtualPrivateNetwork〞，翻譯過(guò)來(lái)就是“虛擬專用網(wǎng)絡(luò)〞。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。它可以通過(guò)特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)置路由器等硬件設(shè)備。目前，絕大局部防火墻產(chǎn)品都支持VPN功能，但也有少局部不支持，建議在選購(gòu)時(shí)注意此參數(shù)。防火墻4、防火墻架構(gòu)比照最初的千兆防火墻是基于X86架構(gòu)。X86架構(gòu)采用通用CPU和PCI總線接口，具有很高的靈活性和可擴(kuò)展性，過(guò)去一直是防火墻開(kāi)發(fā)的主要平臺(tái)。其產(chǎn)品功能主要由軟件實(shí)現(xiàn)，可以根據(jù)用戶的實(shí)際需要而做相應(yīng)調(diào)整，增加或減少功能模塊，產(chǎn)品比較靈活，功能十分豐富。ASIC防火墻通過(guò)專門(mén)設(shè)計(jì)的ASIC芯片邏輯進(jìn)行硬件加速處理。ASIC通過(guò)把指令或計(jì)算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了防火墻的性能。新一代的高可編程ASIC采用了更靈活的設(shè)計(jì)，能夠通過(guò)軟件改變應(yīng)用邏輯，具有更廣泛的適應(yīng)能力。但是，它的靈活性和擴(kuò)展性不夠，開(kāi)發(fā)費(fèi)用高，開(kāi)發(fā)周期太長(zhǎng)，一般耗時(shí)接近2年。NP可以說(shuō)是介于兩者之間的技術(shù)，NP是專門(mén)為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計(jì)的處理器，其體系結(jié)構(gòu)和指令集對(duì)于防火墻常用的包過(guò)濾、轉(zhuǎn)發(fā)等算法和操作都進(jìn)行了專門(mén)的優(yōu)化，可以高效地完成TCP/IP棧的常用操作，并對(duì)網(wǎng)絡(luò)流量進(jìn)行快速的并發(fā)處理。防火墻5、防火墻的局限性對(duì)新出現(xiàn)的漏洞和攻擊方式不能迅速提供有效的防御方法管理困難,容易出現(xiàn)配置的平安誤區(qū),并且緊急情況下無(wú)法做到迅速響應(yīng)性能和穩(wěn)定性制約了大范圍的使用不能關(guān)閉需提供對(duì)外效勞的端口防火墻-簡(jiǎn)單包過(guò)濾防火墻防火墻-狀態(tài)檢測(cè)包過(guò)濾防火墻防火墻-應(yīng)用代理防火墻防火墻-復(fù)合型防火墻防火墻-構(gòu)造-篩選路由器篩選路由器的另一個(gè)術(shù)語(yǔ)就是包過(guò)濾路由器并且至少有一個(gè)接口是連向公網(wǎng)的，如Internet。它是對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的平安策略——信息過(guò)濾規(guī)那么對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制，允許授權(quán)信息通過(guò)，拒絕非授權(quán)信息通過(guò)。信息過(guò)濾規(guī)那么是以其所收到的數(shù)據(jù)包頭信息為根底的。采用這種技術(shù)的防火墻優(yōu)點(diǎn)在于速度快、實(shí)現(xiàn)方便，但平安性能差，且由于不同操作系統(tǒng)環(huán)境下TCP和UDP端口號(hào)所代表的應(yīng)用效勞協(xié)議類型有所不同，故兼容性差。防火墻-構(gòu)造-篩選路由器防火墻-構(gòu)造-雙宿主主機(jī)雙宿主主機(jī)〔Dual-HomedHost〕結(jié)構(gòu)是圍繞著至少具有兩個(gè)網(wǎng)絡(luò)接口的雙宿主主機(jī)而構(gòu)成的。雙宿主主機(jī)內(nèi)外的網(wǎng)絡(luò)均可與雙宿主主機(jī)實(shí)施通信，但內(nèi)外網(wǎng)絡(luò)之間不可直接通信，內(nèi)外部網(wǎng)絡(luò)之間的IP數(shù)據(jù)流被雙宿主主機(jī)完全切斷。雙宿主主機(jī)可以通過(guò)代理或讓用戶直接注冊(cè)到其上來(lái)提供很高程度的網(wǎng)絡(luò)控制。防火墻-構(gòu)造-雙宿主主機(jī)防火墻-構(gòu)造-屏蔽主機(jī)屏蔽主機(jī)由包過(guò)濾器和堡壘主機(jī)組成。1、堡壘主機(jī)在網(wǎng)絡(luò)內(nèi)部，通過(guò)防火墻的過(guò)濾使得這個(gè)主機(jī)是唯一可從外部到達(dá)的主機(jī)。2、實(shí)現(xiàn)了應(yīng)用層和網(wǎng)絡(luò)層的平安，比單獨(dú)的包過(guò)濾或應(yīng)用網(wǎng)關(guān)代理更平安。3、過(guò)濾路由器是否配置正確是這種防火墻平安的關(guān)鍵。

防火墻-構(gòu)造-屏蔽主機(jī)防火墻-構(gòu)造-屏蔽子網(wǎng)屏蔽子網(wǎng)模式屏蔽子網(wǎng)模式采用了兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)，在內(nèi)個(gè)網(wǎng)絡(luò)之間建立了被隔離的子網(wǎng)，稱作周邊網(wǎng)。將堡壘主機(jī)、WEB效勞器、E-MAIL效勞器放在被屏蔽的子網(wǎng)內(nèi)，外部、內(nèi)部都可以訪問(wèn)。但禁止他們通過(guò)屏蔽子網(wǎng)通信。如果堡壘主機(jī)被控制，內(nèi)部網(wǎng)絡(luò)仍然受內(nèi)部包過(guò)濾路由器保護(hù)。防火墻-構(gòu)造-屏蔽子網(wǎng)防火墻防火墻防火墻最簡(jiǎn)單平安的防火墻架構(gòu)Internet外網(wǎng)區(qū)辦公PC機(jī)內(nèi)網(wǎng)區(qū)辦公PC機(jī)防火墻貌似平安的防火墻架構(gòu)Internet

外網(wǎng)區(qū)WWWServer內(nèi)網(wǎng)區(qū)辦公PC機(jī)防火墻最平安的防火墻架構(gòu)WWWServerInternet非軍事化區(qū)(DMZ區(qū))MailServer內(nèi)網(wǎng)區(qū)一種高級(jí)訪問(wèn)控制設(shè)備，置于不同網(wǎng)絡(luò)平安域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)平安域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的平安政策控制〔允許、拒絕、監(jiān)視、記錄〕進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。兩個(gè)平安域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問(wèn)控制規(guī)那么決定進(jìn)出網(wǎng)絡(luò)的行為防火墻的作用入侵檢測(cè)系統(tǒng)防火墻的局限%c1%1c%c1%1cDirc:\入侵檢測(cè)系統(tǒng)防火墻的局限防火墻不能防止通向站點(diǎn)的后門(mén)。防火墻一般不提供對(duì)內(nèi)部的保護(hù)。防火墻無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。防火墻不能防止用戶由Internet上下載被病毒感染的計(jì)算機(jī)程序或者將該類程序附在電子郵件上傳輸。確保網(wǎng)絡(luò)的平安,就要對(duì)網(wǎng)絡(luò)內(nèi)部進(jìn)行實(shí)時(shí)的檢測(cè),這就需要IDS無(wú)時(shí)不在的防護(hù)！入侵檢測(cè)系統(tǒng)什么是入侵行為入侵行為主要是指對(duì)系統(tǒng)資源的非授權(quán)使用，它可以造成系統(tǒng)數(shù)據(jù)的喪失和破壞、可以造成系統(tǒng)拒絕對(duì)合法用戶效勞等危害。什么是入侵檢測(cè)系統(tǒng)IDS〔IntrusionDetectionSystem〕就是入侵檢測(cè)系統(tǒng)，它通過(guò)抓取網(wǎng)絡(luò)上的所有報(bào)文，分析處理后，報(bào)告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)平安管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動(dòng)阻止可能的破壞。監(jiān)控室=控制中心后門(mén)保安=防火墻攝像機(jī)=探測(cè)引擎CardKey形象地說(shuō)，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝象機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝象機(jī)，還包括保安員的攝象機(jī)，能夠?qū)θ肭中袨樽詣?dòng)地進(jìn)行還擊：阻斷連接、關(guān)閉道路〔與防火墻聯(lián)動(dòng)〕。在平安體系中，IDS是唯一一個(gè)通過(guò)數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)，如以下圖所示，防火墻就象一道門(mén)，它可以阻止一類人群的進(jìn)入，但無(wú)法阻止同一類人群中的破壞分子，也不能阻止內(nèi)部的破壞分子；訪問(wèn)控制系統(tǒng)可以不讓低級(jí)權(quán)限的人做越權(quán)工作，但無(wú)法保證高級(jí)權(quán)限的做破壞工作，也無(wú)法保證低級(jí)權(quán)限的人通過(guò)非法行為獲得高級(jí)權(quán)限入侵檢測(cè)系統(tǒng)的作用入侵檢測(cè)系統(tǒng)的職責(zé)IDS系統(tǒng)的兩大職責(zé)：實(shí)時(shí)檢測(cè)和平安審計(jì)。實(shí)時(shí)監(jiān)測(cè)——實(shí)時(shí)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文，發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文；平安審計(jì)——通過(guò)對(duì)IDS系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)其中的異?，F(xiàn)象，得出系統(tǒng)的平安狀態(tài)，找出所需要的證據(jù)。深層次防御體系的組成

聯(lián)動(dòng)入侵檢測(cè)防火墻入侵檢測(cè)在立體防御體系中的作用實(shí)時(shí)性協(xié)議層次應(yīng)用層表示層會(huì)話層傳輸層IP層數(shù)據(jù)鏈層物理層實(shí)時(shí)準(zhǔn)實(shí)時(shí)事后實(shí)時(shí)分析所有的數(shù)據(jù)包，決定是否允許通過(guò)監(jiān)控所有的數(shù)據(jù)包，判斷是否非法，進(jìn)行相應(yīng)處理〔如阻斷或者報(bào)警〕記錄所有的操作以備事后查詢?yōu)橄到y(tǒng)提供全方位的保護(hù)審計(jì)系統(tǒng)深層次防御體系的特點(diǎn)深度防御可以對(duì)整個(gè)網(wǎng)絡(luò)提供不同級(jí)別的保護(hù)將網(wǎng)絡(luò)系統(tǒng)劃分平安級(jí)別并進(jìn)行相應(yīng)保護(hù)深度防御可以對(duì)入侵破壞行為進(jìn)行取證IDS和審計(jì)系統(tǒng)可以進(jìn)行電子取證深度防御可以有效防止蠕蟲(chóng)、病毒的威脅IDS是網(wǎng)絡(luò)動(dòng)態(tài)防病毒的核心組成深度防御能夠?qū)ο到y(tǒng)提供最完備的保護(hù)從物理層直至應(yīng)用層都可以得到保護(hù)深度防御不會(huì)破壞系統(tǒng)的效率和穩(wěn)定性針對(duì)不同實(shí)時(shí)和效率要求進(jìn)行不同保護(hù)深度防御可以識(shí)別、防范未知的新攻擊方式基于異常分析和行為分析的入侵檢測(cè)如何選擇適宜的入侵檢測(cè)系統(tǒng)對(duì)入侵和攻擊的全面檢測(cè)能力新漏洞及最新的入侵手段〔本地化的研發(fā)和售后效勞〕對(duì)抗欺騙的能力防誤報(bào)及漏報(bào)的能力〔模式匹配、異常分析和智能分析〕對(duì)抗攻擊的能力對(duì)抗針對(duì)IDS的拒絕效勞的能力〔事件風(fēng)暴的防御〕報(bào)警及阻斷能力多種類型的報(bào)警及阻斷功能可以提供全方位的保護(hù)本身的平安性IDS自身的加密認(rèn)證及平安措施，惡意代碼或數(shù)據(jù)回傳人機(jī)界面方便管理，降低管理人員的負(fù)擔(dān)〔多級(jí)控制，豐富報(bào)表等〕IDS的實(shí)現(xiàn)方式-----網(wǎng)絡(luò)IDS主機(jī)IDS運(yùn)行于被檢測(cè)的主機(jī)之上，通過(guò)查詢、監(jiān)聽(tīng)當(dāng)前系統(tǒng)的各種資源的使用運(yùn)行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進(jìn)行上報(bào)和處理。其監(jiān)測(cè)的資源主要包括：網(wǎng)絡(luò)、文件、進(jìn)程、系統(tǒng)日志等IDS的實(shí)現(xiàn)方式-----主機(jī)IDS主機(jī)IDS和網(wǎng)絡(luò)IDS的比較基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)有：〔1〕本錢(qián)低?！?〕攻擊者轉(zhuǎn)移證據(jù)很困難?！?〕實(shí)時(shí)檢測(cè)和應(yīng)答。一旦發(fā)生惡意訪問(wèn)或攻擊，基于網(wǎng)絡(luò)的IDS檢測(cè)可以隨時(shí)發(fā)現(xiàn)它們，因此能夠更快地作出反響。從而將入侵活動(dòng)對(duì)系統(tǒng)的破壞減到最低?！?〕能夠檢測(cè)未成功的攻擊企圖?！?〕操作系統(tǒng)獨(dú)立。基于網(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測(cè)資源。而基于主機(jī)的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用?；谥鳈C(jī)的IDS的主要優(yōu)勢(shì)有：〔1〕非常適用于加密和交換環(huán)境?！?〕實(shí)時(shí)的檢測(cè)和應(yīng)答。〔3〕不需要額外的硬件。IDS的分析方式異常發(fā)現(xiàn)技術(shù)〔基于行為的檢測(cè)〕模式發(fā)現(xiàn)技術(shù)〔基于知識(shí)的檢測(cè)〕基于行為的檢測(cè)

基于行為的檢測(cè)指根據(jù)使用者的行為或資源使用狀況來(lái)判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來(lái)檢測(cè)，所以也被稱為異常檢測(cè)(AnomalyDetection)。

與系統(tǒng)相對(duì)無(wú)關(guān)，通用性強(qiáng)能檢測(cè)出新的攻擊方法誤檢率較高

基于行為的檢測(cè)------概率統(tǒng)計(jì)方法操作密度審計(jì)記錄分布范疇尺度數(shù)值尺度記錄的具體操作包括：CPU的使用，I/O的使用，使用地點(diǎn)及時(shí)間，郵件使用，編輯器使用，編譯器使用，所創(chuàng)立、刪除、訪問(wèn)或改變的目錄及文件，網(wǎng)絡(luò)上活動(dòng)等。基于行為的檢測(cè)------神經(jīng)網(wǎng)絡(luò)方法根本思想是用一系列信息單元(命令)訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測(cè)出輸出。當(dāng)前命令和剛過(guò)去的w個(gè)命令組成了網(wǎng)絡(luò)的輸入，其中w是神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)下一個(gè)命令時(shí)所包含的過(guò)去命令集的大小。根據(jù)用戶的代表性命令序列訓(xùn)練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表，于是網(wǎng)絡(luò)對(duì)下一事件的預(yù)測(cè)錯(cuò)誤率在一定程度上反映了用戶行為的異常程度。目前還不很成熟。神經(jīng)網(wǎng)絡(luò)檢測(cè)思想基于知識(shí)的檢測(cè)基于知識(shí)的檢測(cè)指運(yùn)用攻擊方法，根據(jù)已定義好的入侵模式，通過(guò)判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè)。因?yàn)楹艽笠痪植康娜肭质抢昧讼到y(tǒng)的脆弱性，通過(guò)分析入侵過(guò)程的特征、條件、排列以及事件間關(guān)系能具體描述入侵行為的跡象?；谥R(shí)的檢測(cè)也被稱為違規(guī)檢測(cè)(MisuseDetection)。這種方法由于依據(jù)具體特征庫(kù)進(jìn)行判斷，所以檢測(cè)準(zhǔn)確度很高，并且因?yàn)闄z測(cè)結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應(yīng)措施提供了方便。基于知識(shí)的檢測(cè)-----專家系統(tǒng)將有關(guān)入侵的知識(shí)轉(zhuǎn)化成if-then結(jié)構(gòu)的規(guī)那么，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if局部，將發(fā)現(xiàn)入侵后采取的相應(yīng)措施轉(zhuǎn)化成then局部。當(dāng)其中某個(gè)或某局部條件滿足時(shí)，系統(tǒng)就判斷為入侵行為發(fā)生。其中的if-then結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)那么庫(kù)，狀態(tài)行為及其語(yǔ)義環(huán)境可根據(jù)審計(jì)事件得到，推理機(jī)根據(jù)規(guī)那么和行為完成判斷工作?；谥R(shí)的檢測(cè)-----模型推理模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。其中有關(guān)攻擊者行為的知識(shí)被描述為：攻擊者目的，攻擊者到達(dá)此目的的可能行為步驟，以及對(duì)系統(tǒng)的特殊使用等。根據(jù)這些知識(shí)建立攻擊腳本庫(kù)，每一腳本都由一系列攻擊行為組成。基于知識(shí)的檢測(cè)-----狀態(tài)轉(zhuǎn)換分析

狀態(tài)轉(zhuǎn)換法將入侵過(guò)程看作一個(gè)行為序列，這個(gè)行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時(shí)首先針對(duì)每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致?tīng)顟B(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導(dǎo)致系統(tǒng)進(jìn)入被入侵狀態(tài)必須執(zhí)行的操作(特征事件)。然后用狀態(tài)轉(zhuǎn)換圖來(lái)表示每一個(gè)狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測(cè)時(shí)不需要一個(gè)個(gè)地查找審計(jì)記錄。但是，狀態(tài)轉(zhuǎn)換是針對(duì)事件序列分析，所以不善于分析過(guò)分復(fù)雜的事件，而且不能檢測(cè)與系統(tǒng)狀態(tài)無(wú)關(guān)的入侵。

IDS的根本結(jié)構(gòu)IDS系統(tǒng)結(jié)構(gòu)---探測(cè)引擎采用旁路方式全面?zhèn)陕?tīng)網(wǎng)上信息流，實(shí)時(shí)分析將分析結(jié)果與探測(cè)器上運(yùn)行的策略集相匹配執(zhí)行報(bào)警、阻斷、日志等功能。完成對(duì)控制中心指令的接收和響應(yīng)工作。探測(cè)器是由策略驅(qū)動(dòng)的網(wǎng)絡(luò)監(jiān)聽(tīng)和分析系統(tǒng)。IDS的根本結(jié)構(gòu)----引擎的功能結(jié)構(gòu)IDS系統(tǒng)結(jié)構(gòu)-----控制中心提供報(bào)警顯示提供對(duì)預(yù)警信息的記錄和檢索、統(tǒng)計(jì)功能制定入侵監(jiān)測(cè)的策略；控制探測(cè)器系統(tǒng)的運(yùn)行狀態(tài)收集來(lái)自多臺(tái)引擎的上報(bào)事件，綜合進(jìn)行事件分析，以多種方式對(duì)入侵事件作出快速響應(yīng)。這種分布式結(jié)構(gòu)有助于系統(tǒng)管理員的集中管理，全面搜集多臺(tái)探測(cè)引擎的信息，進(jìn)行入侵行為的分析。IDS的根本結(jié)構(gòu)-----控制中心的功能結(jié)構(gòu)IDS的系統(tǒng)結(jié)構(gòu)單機(jī)結(jié)構(gòu)：引擎和控制中心在一個(gè)系統(tǒng)之上，不能遠(yuǎn)距離操作，只能在現(xiàn)場(chǎng)進(jìn)行操作。優(yōu)點(diǎn)是結(jié)構(gòu)簡(jiǎn)單，不會(huì)因?yàn)橥ㄓ嵍绊懢W(wǎng)絡(luò)帶寬和泄密。分布式結(jié)構(gòu)就是引擎和控制中心在2個(gè)系統(tǒng)之上，通過(guò)網(wǎng)絡(luò)通訊，可以遠(yuǎn)距離查看和操作。目前的大多數(shù)IDS系統(tǒng)都是分布式的。優(yōu)點(diǎn)不是必需在現(xiàn)場(chǎng)操作，可以用一個(gè)控制中心控制多個(gè)引擎，可以統(tǒng)一進(jìn)行策略編輯和下發(fā)，可以統(tǒng)一查看申報(bào)的事件，可以通過(guò)分開(kāi)事件顯示和查看的功能提高處理速度等等。IDS的系統(tǒng)結(jié)構(gòu)----分布式結(jié)構(gòu)圖入侵檢測(cè)——沒(méi)有用的技術(shù)？入侵檢測(cè)——一種被提及太多的技術(shù)

——一種容易引起誤解的技術(shù)那么，入侵檢測(cè)是不是沒(méi)有用了？管理人員需要了解網(wǎng)絡(luò)中正在發(fā)生的各種活動(dòng)管理人員需要在攻擊到來(lái)之前發(fā)現(xiàn)攻擊行為管理人員需要識(shí)別異常行為需要有效的工具進(jìn)行針對(duì)攻擊行為以及異常的實(shí)時(shí)和事后分析入侵檢測(cè)系統(tǒng)入侵防御侵入保護(hù)〔阻止〕系統(tǒng)〔IPS〕是新一代的侵入檢測(cè)系統(tǒng)〔IDS〕，可彌補(bǔ)IDS存在于前攝及假陽(yáng)性/陰性等性質(zhì)方面的弱點(diǎn)。IPS能夠識(shí)別事件的侵入、關(guān)聯(lián)、沖擊、方向和適當(dāng)?shù)姆治?，然后將適宜的信息和命令傳送給防火墻、交換機(jī)和其它的網(wǎng)絡(luò)設(shè)備以減輕該事件的風(fēng)險(xiǎn)。IPS的關(guān)鍵技術(shù)成份包括所合并的全球和本地主機(jī)訪問(wèn)控制、IDS、全球和本地平安策略、風(fēng)險(xiǎn)管理軟件和支持全球訪問(wèn)并用于管理IPS的控制臺(tái)。如同IDS中一樣，IPS中也需要降低假陽(yáng)性或假陰性，它通常使用更為先進(jìn)的侵入檢測(cè)技術(shù)，如試探式掃描、內(nèi)容檢查、狀態(tài)和行為分析，同時(shí)還結(jié)合常規(guī)的侵入檢測(cè)技術(shù)如基于簽名的檢測(cè)和異常檢測(cè)。入侵檢測(cè)系統(tǒng)入侵檢測(cè)與入侵防御的區(qū)別IPS對(duì)于初始者來(lái)說(shuō)，是位于防火墻和網(wǎng)絡(luò)的設(shè)備之間的設(shè)備。這樣，如果檢測(cè)到攻擊，IPS會(huì)在這種攻擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個(gè)惡意的通信。而IDS只是存在于你的網(wǎng)絡(luò)之外起到報(bào)警的作用，而不是在你的網(wǎng)絡(luò)前面起到防御的作用。IPS檢測(cè)攻擊的方法也與IDS不同。一般來(lái)說(shuō)，IPS系統(tǒng)都依靠對(duì)數(shù)據(jù)包的檢測(cè)。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。入侵檢測(cè)系統(tǒng)從產(chǎn)品價(jià)值角度講：入侵檢測(cè)系統(tǒng)注重的是網(wǎng)絡(luò)平安狀況的監(jiān)管。入侵防御系統(tǒng)關(guān)注的是對(duì)入侵行為的控制。與防火墻類產(chǎn)品、入侵檢測(cè)產(chǎn)品可以實(shí)施的平安策略不同，入侵防御系統(tǒng)可以實(shí)施深層防御平安策略，即可以在應(yīng)用層檢測(cè)出攻擊并予以阻斷，這是防火墻所做不到的，當(dāng)然也是入侵檢測(cè)產(chǎn)品所做不到的。從產(chǎn)品應(yīng)用角度來(lái)講：為了到達(dá)可以全面檢測(cè)網(wǎng)絡(luò)平安狀況的目的，入侵檢測(cè)系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部的中心點(diǎn)，需要能夠觀察到所有網(wǎng)絡(luò)數(shù)據(jù)。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng)，那么需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署，即每子網(wǎng)部署一個(gè)入侵檢測(cè)分析引擎，并統(tǒng)一進(jìn)行引擎的策略管理以及事件分析，以到達(dá)掌控整個(gè)信息系統(tǒng)平安狀況的目的。入侵檢測(cè)系統(tǒng)而為了實(shí)現(xiàn)對(duì)外部攻擊的防御，入侵防御系統(tǒng)需要部署在網(wǎng)絡(luò)的邊界。這樣所有來(lái)自外部的數(shù)據(jù)必須串行通過(guò)入侵防御系統(tǒng)，入侵防御系統(tǒng)即可實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，發(fā)現(xiàn)攻擊行為立即予以阻斷，保證來(lái)自外部的攻擊數(shù)據(jù)不能通過(guò)網(wǎng)絡(luò)邊界進(jìn)入網(wǎng)絡(luò)。入侵檢測(cè)系統(tǒng)的核心價(jià)值在于通過(guò)對(duì)全網(wǎng)信息的分析，了解信息系統(tǒng)的平安狀況，進(jìn)而指導(dǎo)信息系統(tǒng)平安建設(shè)目標(biāo)以及平安策略確實(shí)立和調(diào)整，而入侵防御系統(tǒng)的核心價(jià)值在于平安策略的實(shí)施—對(duì)黑客行為的阻擊；入侵檢測(cè)系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部，監(jiān)控范圍可以覆蓋整個(gè)子網(wǎng)，包括來(lái)自外部的數(shù)據(jù)以及內(nèi)部終端之間傳輸?shù)臄?shù)據(jù)，入侵防御系統(tǒng)那么必須部署在網(wǎng)絡(luò)邊界，抵御來(lái)自外部的入侵，對(duì)內(nèi)部攻擊行為無(wú)能為力。入侵檢測(cè)系統(tǒng)選擇方式●假設(shè)用戶方案在一次工程中實(shí)施較為完整的平安解決方案，那么應(yīng)同時(shí)選擇和部署入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)兩類產(chǎn)品。在全網(wǎng)部署入侵檢測(cè)系統(tǒng)，在網(wǎng)絡(luò)的邊界點(diǎn)部署入侵防御系統(tǒng)。●假設(shè)用戶方案分布實(shí)施平安解決方案，可以考慮先部署入侵檢測(cè)系統(tǒng)進(jìn)行網(wǎng)絡(luò)平安狀況監(jiān)控，后期再部署入侵防御系統(tǒng)?！窦僭O(shè)用戶僅僅關(guān)注網(wǎng)絡(luò)平安狀況的監(jiān)控(如金融監(jiān)管部門(mén)，電信監(jiān)管部門(mén)等)，那么可在目標(biāo)信息系統(tǒng)中部署入侵檢測(cè)系統(tǒng)即可。入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)漏洞掃掃描系統(tǒng)1、概述網(wǎng)絡(luò)平安掃描技術(shù)是一種基于Internet遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)或本地主機(jī)平安性脆弱點(diǎn)的技術(shù)。通過(guò)網(wǎng)絡(luò)平安掃描，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護(hù)的Web效勞器的各種TCP/IP端口的分配、開(kāi)放的效勞、Web效勞軟件版本和這些效勞及軟件呈現(xiàn)在Internet上的平安漏洞。網(wǎng)絡(luò)平安掃描技術(shù)也是采用積極的、非破壞性的方法來(lái)檢驗(yàn)系統(tǒng)是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為，并對(duì)結(jié)果進(jìn)行分析。這種技術(shù)通常被用來(lái)進(jìn)行模擬攻擊實(shí)驗(yàn)和平安審計(jì)。網(wǎng)絡(luò)平安掃描技術(shù)與防火墻、平安監(jiān)控系統(tǒng)互相配合就能夠?yàn)榫W(wǎng)絡(luò)提供很高的平安性。漏洞掃掃描系統(tǒng)2、網(wǎng)絡(luò)平安掃描步驟和分類一次完整的網(wǎng)絡(luò)平安掃描分為3個(gè)階段：〔1〕第1階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)?！?〕第2階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類型、運(yùn)行的效勞以及效勞軟件的版本等。如果目標(biāo)是一個(gè)網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機(jī)的信息?！?〕第3階段：根據(jù)搜集到的信息判斷或者進(jìn)一步測(cè)試系統(tǒng)是否存在平安漏洞。網(wǎng)絡(luò)平安掃描技術(shù)包括有PING掃射〔PingsweeP〕、操作系統(tǒng)探測(cè)〔Operatingsystemidentification〕、如何探測(cè)訪問(wèn)控制規(guī)那么〔firewalking〕、端口掃描〔Portscan〕以及漏洞掃描〔vulnerabilityscan〕等。這些技術(shù)在網(wǎng)絡(luò)平安掃描的3個(gè)階段中各有表達(dá)。漏洞掃掃描系統(tǒng)3、端口掃描技術(shù)一個(gè)端口就是一個(gè)潛在的通信通道，也就是一個(gè)入侵通道。對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描，能得到許多有用的信息。通過(guò)端口掃描，可以得到許多有用的信息，從而發(fā)現(xiàn)系統(tǒng)的平安漏洞。端口掃描技術(shù)的原理端口掃描向目標(biāo)主機(jī)的TCP/IP效勞端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過(guò)分析響應(yīng)來(lái)判斷效勞端口是翻開(kāi)還是關(guān)閉，就可以得知端口提供的效勞或信息。端口掃描也可以通過(guò)捕獲本地主機(jī)或效勞器的流入流出IP數(shù)據(jù)包來(lái)監(jiān)視本地主機(jī)的運(yùn)行情況，它僅能對(duì)接收到的數(shù)據(jù)進(jìn)行分析，幫助我們發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn)，而不會(huì)提供進(jìn)入一個(gè)系統(tǒng)的詳細(xì)步驟。漏洞掃掃描系統(tǒng)各類端口掃描技術(shù)端口掃描主要有經(jīng)典的掃描器〔全連接〕以及所謂的SYN〔半連接〕掃描器。此外還有間接掃描和秘密掃描等?！?〕全連接掃描全連接掃描是TCP端口掃描的根底，現(xiàn)有的全連接掃描有TCPconnect〔〕掃描和TCP反向ident掃描等。〔2〕半連接〔SYN〕掃描假設(shè)端口掃描沒(méi)有完成一個(gè)完整的TCP連接，在掃描主機(jī)和目標(biāo)主機(jī)的一指定端口建立連接時(shí)候只完成了前兩次握手，在第三步時(shí)，掃描主機(jī)中斷了本次連接，使連接沒(méi)有完全建立起來(lái)，這樣的端口掃描稱為半連接掃描，也稱為間接掃描?，F(xiàn)有的半連接掃描有TCPSYN掃描和IPID頭dumb掃描等。漏洞掃掃描系統(tǒng)4、漏洞掃描技術(shù)漏洞掃描技術(shù)的原理漏洞掃描主要通過(guò)兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)效勞，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的平安漏洞掃描，如測(cè)試弱勢(shì)口令等。假設(shè)模擬攻擊成功，那么說(shuō)明目標(biāo)主機(jī)系統(tǒng)存在平安漏洞。漏洞掃描技術(shù)的分類和實(shí)現(xiàn)方法基于網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)，大體包括CGI漏洞掃描、POP3漏洞掃描、FTP漏洞掃描、SSH漏洞掃描、HTTP漏洞掃描等。漏洞掃描還包括沒(méi)有相應(yīng)漏洞庫(kù)的各種掃描，比方Unicode遍歷目錄漏洞探測(cè)、FTP弱勢(shì)密碼探測(cè)、OPENRelay郵件轉(zhuǎn)發(fā)漏洞探測(cè)等。漏洞掃掃描系統(tǒng)〔1〕漏洞庫(kù)的匹配方法通過(guò)采用基于規(guī)那么的匹配技術(shù)，即根據(jù)平安專家對(duì)網(wǎng)絡(luò)系統(tǒng)平安漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)平安配置的實(shí)際經(jīng)驗(yàn)，可以形成一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)，然后再在此根底之上構(gòu)成相應(yīng)的匹配規(guī)那么，由掃描程序自動(dòng)的進(jìn)行漏洞掃描的工作。〔2〕插件〔功能模塊技術(shù)〕技術(shù)插件是由腳本語(yǔ)言編寫(xiě)的子程序，掃描程序可以通過(guò)調(diào)用它來(lái)執(zhí)行漏洞掃描，檢測(cè)出系統(tǒng)中存在的一個(gè)或多個(gè)漏洞。漏洞掃掃描系統(tǒng)漏洞掃描中的問(wèn)題及完善建議〔1〕系統(tǒng)配置規(guī)那么庫(kù)問(wèn)題①如果規(guī)那么庫(kù)設(shè)計(jì)的不準(zhǔn)確，預(yù)報(bào)的準(zhǔn)確度就無(wú)從談起；②它是根據(jù)的平安漏洞進(jìn)行安排和籌劃的，而對(duì)網(wǎng)絡(luò)系統(tǒng)的很多危險(xiǎn)的威脅卻是來(lái)自未知的漏洞，這樣，如果規(guī)那么庫(kù)要新不及時(shí)，預(yù)報(bào)準(zhǔn)確度會(huì)逐漸降低；③受漏洞庫(kù)覆蓋范圍的限制，局部系統(tǒng)漏洞也可能不會(huì)觸發(fā)任何一個(gè)規(guī)那么，從而不被檢測(cè)到。完善建議：系統(tǒng)配置規(guī)那么庫(kù)應(yīng)能不斷地被擴(kuò)充和修正，這樣也是對(duì)系統(tǒng)漏洞庫(kù)的擴(kuò)充和修正。漏洞掃掃描系統(tǒng)〔2〕漏洞庫(kù)信息要求漏洞庫(kù)信息是基于網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)的漏洞掃描的主要判斷依據(jù)。如果漏洞庫(kù)信息不全面或得不到即時(shí)的更新，不但不能發(fā)揮漏洞掃描的作用，還會(huì)給系統(tǒng)管理員以錯(cuò)誤的引導(dǎo)，從而對(duì)系統(tǒng)的平安隱患不能采取有效措施并及時(shí)的消除。完善建議:漏洞庫(kù)信息不但應(yīng)具備完整性和有效性，也應(yīng)具有簡(jiǎn)易性的特點(diǎn)，這樣即使是用戶自己也易于對(duì)漏洞庫(kù)進(jìn)行添加配置，從而實(shí)現(xiàn)對(duì)漏洞庫(kù)的即時(shí)更新。比方漏洞庫(kù)在設(shè)計(jì)時(shí)可以基于某種標(biāo)準(zhǔn)〔如CVE標(biāo)準(zhǔn)〕來(lái)建立，這樣便于掃描者的理解和信息交互，使漏洞庫(kù)具有比較強(qiáng)的擴(kuò)充性，更有利于以后對(duì)漏洞庫(kù)的更新升級(jí)。平安隔離與信息交換系統(tǒng)〔網(wǎng)閘〕網(wǎng)間信息交換一方面要使不同的信息網(wǎng)絡(luò)系統(tǒng)之間進(jìn)行必要的互聯(lián)互通，防止信息孤島問(wèn)題；另一方面，也要在信息系統(tǒng)開(kāi)放程度提高時(shí)，進(jìn)行重點(diǎn)防御，防止核心涉密網(wǎng)遭受外部攻擊，并嚴(yán)防內(nèi)部人員誤用、濫用以及違規(guī)違法的行為。從平安角度來(lái)看，網(wǎng)間信息交換需要一種能在保證重要網(wǎng)絡(luò)與其他網(wǎng)絡(luò)平安隔離的同時(shí)，能實(shí)現(xiàn)高效、受控的數(shù)據(jù)交換的平安技術(shù)。平安隔離與信息交換系統(tǒng)〔網(wǎng)閘〕多套網(wǎng)絡(luò)技術(shù)單機(jī)隔離卡網(wǎng)絡(luò)隔離交換器網(wǎng)閘平安隔離與信息交換系統(tǒng)平安隔離與信息交換系統(tǒng)〔網(wǎng)閘〕多套網(wǎng)絡(luò)技術(shù)早期，在沒(méi)有適宜的設(shè)備可用的情況下，一些組織通過(guò)建立兩套完全獨(dú)立的網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)隔離，一套可對(duì)外連接，一套完全封閉于內(nèi)部，兩套網(wǎng)絡(luò)互不相連，因此無(wú)法做到信息共享，只能分別獲取內(nèi)部和外部信息。如果需要共享某些信息，通常是借助介質(zhì)拷貝來(lái)進(jìn)行。這種方法造成大量資源的浪費(fèi)，操作也很不方便，最終形成信