網(wǎng)絡與信息安全技術培訓教材

1、m網(wǎng)絡安全簡介網(wǎng)絡安全簡介mTCP/IP網(wǎng)絡安全分析m網(wǎng)絡安全概念和手段介紹m安全建議m網(wǎng)絡安全展望冒名頂替冒名頂替廢物搜尋廢物搜尋身份識別錯誤身份識別錯誤不安全服務不安全服務配置配置初始化初始化乘虛而入乘虛而入代碼炸彈代碼炸彈病毒病毒更新或下載更新或下載特洛伊木馬特洛伊木馬間諜行為間諜行為撥號進入撥號進入算法考慮不周算法考慮不周隨意口令隨意口令口令破解口令破解口令圈套口令圈套竊聽竊聽偷竊偷竊網(wǎng)絡安全威脅網(wǎng)絡安全威脅線纜連接線纜連接身份鑒別身份鑒別編程編程系統(tǒng)漏洞系統(tǒng)漏洞物理威脅物理威脅m紅色代碼m尼姆達m沖擊波m震蕩波m工行密碼盜取m木馬m其它后門工具m用戶使用一臺計算機D訪問位于網(wǎng)絡中心服

2、務器S上的webmail郵件服務，存在的安全威脅：mU在輸入用戶名和口令時被錄像m機器D上有key logger程序，記錄了用戶名和口令m機器D上存放用戶名和密碼的內存對其他進程可讀，其他進程讀取了信息，或這段內存沒有被清0就分配給了別的進程，其他進程讀取了信息m用戶名和密碼被自動保存了m用戶名和密碼在網(wǎng)絡上傳輸時被監(jiān)聽（共享介質、或arp偽造）m機器D上被設置了代理，經過代理被監(jiān)聽m查看郵件時被錄像m機器D附近的無線電接收裝置接收到顯示器發(fā)射的信號并且重現(xiàn)出來m屏幕記錄程序保存了屏幕信息m瀏覽郵件時的臨時文件被其他用戶打開m瀏覽器cache了網(wǎng)頁信息m臨時文件僅僅被簡單刪除，但是硬盤上還有信

3、息m由于DNS攻擊，連接到錯誤的站點，泄漏了用戶名和密碼m由于網(wǎng)絡感染了病毒，主干網(wǎng)癱瘓，無法訪問服務器m服務器被DOS攻擊，無法提供服務m本質就是網(wǎng)絡上的信息安全。m網(wǎng)絡安全防護的目的。網(wǎng)絡安全的定義：網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡服務不中斷。 保障各種網(wǎng)絡資源穩(wěn)定、可靠的運行和受控、合法使用（1）保密性confidentiality：信息不泄露給非授權的用戶、實體或過程，或供其利用的特性。（2）完整性integrity：數(shù)據(jù)未經授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被

4、修改、不被破壞和丟失的特性。（3）可用性availability：可被授權實體訪問并按需求使用的特性，即當需要時應能存取所需的信息。網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊。（4）可控性controllability：對信息的傳播及內容具有控制能力。（5）可審查性：出現(xiàn)的安全問題時提供依據(jù)與手段mTCP/IP網(wǎng)絡安全分析網(wǎng)絡安全分析m網(wǎng)絡安全概念和手段介紹m安全建議m網(wǎng)絡安全展望ISO/OSI 模型網(wǎng)絡層數(shù)據(jù)鏈路層物理層傳輸層應用層表示層會話層網(wǎng)絡層數(shù)據(jù)鏈路層物理層傳輸層應用層表示層會話層對等協(xié)議物理介質系統(tǒng) A系統(tǒng) B第N+1層第N層PDUSDUHPDU第N-1

5、層SDUN+1層協(xié)議實體N+1層協(xié)議實體N 層協(xié)議實體SAPSAPmTCP/IP 技術的發(fā)展m設計目標 實現(xiàn)異種網(wǎng)的網(wǎng)際互連m是最早出現(xiàn)的系統(tǒng)化的網(wǎng)絡體系結構之一m順應了技術發(fā)展網(wǎng)絡互連的應用需求m采用了開放策略m與最流行的 UNIX 操作系統(tǒng)相結合mTCP/IP的成功m主要應該歸功于其開放性，使得最廣泛的廠商和研究者能夠不斷地尋找和開發(fā)滿足市場需求的網(wǎng)絡應用和業(yè)務。 魚與熊掌總是不能兼得，也正是其體系結構得開放性，導魚與熊掌總是不能兼得，也正是其體系結構得開放性，導致了致了TCP/IP網(wǎng)絡的安全性隱患！網(wǎng)絡的安全性隱患！m網(wǎng)際互連是通過 IP 網(wǎng)關（gateway）實現(xiàn)的m網(wǎng)關提供網(wǎng)絡與網(wǎng)絡

6、之間物理和邏輯上的連通功能m網(wǎng)關是一種特殊的計算機，同時屬于多個網(wǎng)絡G1網(wǎng)絡 1網(wǎng)絡 3G1網(wǎng)絡 2mTCP/IP協(xié)議和OSI模型的對應關系應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層FTP、TELNET NFSSMTP、SNMP XDR RPC TCP、UDP IPEthernet, IEEE802.3,802.11等 ICMPARP RARPOSI參考模型Internet協(xié)議簇物理層m網(wǎng)絡的缺陷因特網(wǎng)在設計之初對共享性和開放性的強調，使得其在安全性方面存在先天的不足。其賴以生存的TCP/IP 協(xié)議族在設計理念上更多的是考慮該網(wǎng)絡不會因局部故障而影響信息的傳輸，基本沒有考慮安全問題，故缺乏

7、應有的安全機制。因此它在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構成了對網(wǎng)絡安全的重要隱患。 例如：多數(shù)底層協(xié)議為廣播方式，多數(shù)應用層協(xié)議為明文傳輸，缺乏保密 與認證機制，因此容易遭到欺騙和竊聽m軟件及系統(tǒng)的“漏洞”及后門 隨著軟件及網(wǎng)絡系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門”也不可避免的存在，比如我們常用的操作系統(tǒng)，無論是Windows 還是UNIX 幾乎都存在或多或少的安全漏洞，眾多的服務器、瀏覽器、桌面軟件等等都被發(fā)現(xiàn)存在很多安全隱患。任何一個軟件系統(tǒng)都可能會因為程序員的一個疏忽或設計中的一個缺陷等原因留下漏洞。這也成為網(wǎng)絡的不安全因素之一m黑客的攻擊

8、黑客技術不再是一種高深莫測的技術，并逐漸被越來越多的人掌握。目前，世界上有20 多萬個免費的黑客網(wǎng)站，這些站點從系統(tǒng)漏洞入手，介紹網(wǎng)絡攻擊的方法和各種攻擊軟件的使用，這樣，系統(tǒng)和站點遭受攻擊的可能性就變大了。加上現(xiàn)在還缺乏針對網(wǎng)絡犯罪卓有成效的反擊和跟蹤手段，這些都使得黑客攻擊具有隱蔽性好，“殺傷力”強的特點，構成了網(wǎng)絡安全的主要威脅。m網(wǎng)絡普及，安全建設滯后網(wǎng)絡硬件建設如火如荼，網(wǎng)絡管理尤其是安全管理滯后，用戶安全意識不強，即使應用了最好的安全設備也經常達不到預期效果m網(wǎng)絡安全簡介mTCP/IP網(wǎng)絡安全分析m安全建議m網(wǎng)絡安全展望 網(wǎng)絡安全是一個系統(tǒng)的概念，可靠的網(wǎng)絡安全解決方案必須建立在集

9、成網(wǎng)絡安全技術的基礎上，網(wǎng)絡系統(tǒng)安全策略就是基于這種技術集成而提出的，主要有三種： 1 直接風險控制策略（靜態(tài)防御） 安全=風險分析+安全規(guī)則+直接的技術防御體系+安全監(jiān)控 攻擊手段是不斷進步的，安全漏洞也是動態(tài)出現(xiàn)的，因此靜態(tài)防御下的該模型存在著本質的缺陷。 2 自適應網(wǎng)絡安全策略（動態(tài)性） 安全=風險分析+執(zhí)行策略+系統(tǒng)實施+漏洞分析+實時響應 該策略強調系統(tǒng)安全管理的動態(tài)性，主張通過安全性檢測、漏洞監(jiān)測，自適應地填充“安全間隙”，從而提高網(wǎng)絡系統(tǒng)的安全性。完善的網(wǎng)絡安全體系，必須合理協(xié)調法律、技術和管理三種因素，集成防護、監(jiān)控和恢復三種技術，力求增強網(wǎng)絡系統(tǒng)的健壯性與免疫力。局限性在于：

10、只考慮增強系統(tǒng)的健壯性，僅綜合了技術和管理因素，僅采用了技術防護。 3 智能網(wǎng)絡系統(tǒng)安全策略（動態(tài)免疫力） 安全=風險分析+安全策略+技術防御體系+攻擊實時檢測+安全跟蹤+系統(tǒng)數(shù)據(jù)恢復+系統(tǒng)學習進化 技術防御體系包括漏洞檢測和安全縫隙填充；安全跟蹤是為攻擊證據(jù)記錄服務的，系統(tǒng)學習進化是旨在改善系統(tǒng)性能而引入的智能反饋機制。模型中，“風險分析+安全策略”體現(xiàn)了管理因素；“技術防御體系+攻擊實時檢測+系統(tǒng)數(shù)據(jù)恢復+系統(tǒng)學習進化”體現(xiàn)了技術因素；技術因素綜合了防護、監(jiān)控和恢復技術；“安全跟蹤+系統(tǒng)數(shù)據(jù)恢復+系統(tǒng)學習進化”使系統(tǒng)表現(xiàn)出動態(tài)免疫力。 目前業(yè)界共識：“安全不是技術或產品，而是一個過程”。為

11、了保障網(wǎng)絡安全，應重視提高系統(tǒng)的入侵檢測能力、事件反應能力和遭破壞后的快速恢復能力。信息保障有別于傳統(tǒng)的加密、身份認證、訪問控制、防火墻等技術，它強調信息系統(tǒng)整個生命周期的主動防御。m保護 ( PROTECT ) 傳統(tǒng)安全概念的繼承，包括信息加密技術、訪問控制技術等等。m檢測 ( DETECT ) 從監(jiān)視、分析、審計信息網(wǎng)絡活動的角度，發(fā)現(xiàn)對于信息網(wǎng)絡的攻擊、破壞活動，提供預警、實時響應、事后分析和系統(tǒng)恢復等方面的支持，使安全防護從單純的被動防護演進到積極的主動防御。 m響應 ( RESPONSE ) 在遭遇攻擊和緊急事件時及時采取措施，包括調整系統(tǒng)的安全措施、跟蹤攻擊源和保護性關閉服務和主機

12、等。m恢復 ( RECOVER ) 評估系統(tǒng)受到的危害與損失，恢復系統(tǒng)功能和數(shù)據(jù)，啟動備份系統(tǒng)等。安全管理與審計安全管理與審計物理層安全網(wǎng)絡層安全傳輸層安全應用層安全鏈路層物理層網(wǎng)絡層傳輸層應用層表示層會話層審計與監(jiān)控身份認證數(shù)據(jù)加密數(shù)字簽名完整性鑒別端到端加密訪問控制鏈路加密物理信道安全物理隔離l訪問控制l數(shù)據(jù)機密性l數(shù)據(jù)完整性l用戶認證l防抵賴l安全審計網(wǎng)絡安全網(wǎng)絡安全層次層次層次層次模型模型網(wǎng)絡安全網(wǎng)絡安全技術技術實現(xiàn)安實現(xiàn)安全目標全目標用戶安全l服務可用物理層：物理隔離 鏈路層: 鏈路加密技術、PPTP/L2TP 網(wǎng)絡層: IPSec協(xié)議（VPN）、防火墻 TCP 層: SSL 協(xié)議、

13、基于公鑰的認證和對稱鑰加密技術 應用層: SHTTP、PGP、S/MIME、 SSH(Secure shell)、開發(fā)專用協(xié)議（SET）m 物理隔離設備m 交換機/路由器安全模塊m 防火墻(Firewall)m 網(wǎng)絡掃描器m 入侵檢測系統(tǒng)(Intrusion Detection System)m 網(wǎng)絡防毒m 虛擬專用網(wǎng)（VPN）m 病毒防護m 網(wǎng)絡3Am 主要分兩種：m雙網(wǎng)隔離計算機m物理隔離網(wǎng)閘 解決每人2臺計算機的問題 1臺計算機，可以分時使用內網(wǎng)或外網(wǎng) 關鍵部件 硬盤 網(wǎng)線 軟盤/USB/MODEM等 共享部件 顯示器 鍵盤/鼠標 主板/電源 硬盤* 原理 切換關鍵部件外網(wǎng)硬盤內網(wǎng)硬盤外

14、網(wǎng)網(wǎng)線內網(wǎng)網(wǎng)線公共部件控制卡控制開關內網(wǎng)硬盤外網(wǎng)網(wǎng)線內網(wǎng)網(wǎng)線公共部件控制卡遠端設備使用控制卡上的翻譯功能將硬盤分為邏輯上獨立的部分充分使用UTP中的8芯，減少一根網(wǎng)線m采用數(shù)據(jù)“擺渡”的方式實現(xiàn)兩個網(wǎng)絡之間的信息交換m在任意時刻，物理隔離設備只能與一個網(wǎng)絡的主機系統(tǒng)建立非TCP/IP協(xié)議的數(shù)據(jù)連接，即當它與外部網(wǎng)絡相連接時，它與內部網(wǎng)絡的主機是斷開的，反之亦然。m任何形式的數(shù)據(jù)包、信息傳輸命令和TCP/IP協(xié)議都不可能穿透物理隔離設備。物理隔離設備在網(wǎng)絡的第7層講數(shù)據(jù)還原為原始數(shù)據(jù)文件，然后以“擺渡文件”形式傳遞原始數(shù)據(jù)。m內外網(wǎng)模塊連接相應網(wǎng)絡實現(xiàn)數(shù)據(jù)的接收及預處理等操作；m交換模塊采用專用

15、的高速隔離電子開關實現(xiàn)與內外網(wǎng)模塊的數(shù)據(jù)交換，保證任意時刻內外網(wǎng)間沒有鏈路層連接；m數(shù)據(jù)只能以專用數(shù)據(jù)塊方式靜態(tài)地在內外網(wǎng)間通過網(wǎng)閘進行“擺渡”，傳送到網(wǎng)閘另一側；m集成多種安全技術手段，采用強制安全策略，對數(shù)據(jù)內容進行安全檢測，保障數(shù)據(jù)安全、可靠的交換。m涉密網(wǎng)和非涉密網(wǎng)之間m優(yōu)點： 中斷直接連接 強大的檢查機制 最高的安全性 m缺點： 對協(xié)議不透明，對每一種協(xié)議都要一種具體的實現(xiàn) 效率低mMAC綁定mQOS設置m多VLAN劃分m日志m其他m訪問控制鏈表m基于源地址/目標地址/協(xié)議端口號m路徑的完整性m防止IP假冒和拒絕服務（Anti-spoofing/DDOS）m檢查源地址： ip ver

16、ify unicast reverse-pathm 過濾RFC1918 地址空間的所有IP包；m關閉源路由： no ip source-routem路由協(xié)議的過濾與認證mFlood 管理m日志m其他抗攻擊功能v VPN通過一個私有的通道來創(chuàng)建一個安全的私有連接，將遠程用戶、公司分支機構、公司的業(yè)務伙伴等跟企業(yè)網(wǎng)連接起來，形成一個擴展的公司企業(yè)網(wǎng)v 提供高性能、低價位的因特網(wǎng)接入v VPN是企業(yè)網(wǎng)在公共網(wǎng)絡上的延伸Internet內部網(wǎng)惡意修改通道終點到：假冒網(wǎng)關外部段（公共因特網(wǎng)）ISP接入設備原始終點為：安全網(wǎng)關1.數(shù)據(jù)在到達終點之前要經過許多路由器，明文傳輸?shù)膱笪暮苋菀自诼酚善魃媳徊榭春托?/p>

17、改2.監(jiān)聽者可以在其中任一段鏈路上監(jiān)聽數(shù)據(jù)3.逐段加密不能防范在路由器上查看報文，因為路由器需要解密報文選擇路由信息，然后再重新加密發(fā)送4.惡意的ISP可以修改通道的終點到一臺假冒的網(wǎng)關遠程訪問搭線監(jiān)聽攻擊者ISPISP竊聽正確通道VPN功能v 數(shù)據(jù)機密性保護v 數(shù)據(jù)完整性保護v 數(shù)據(jù)源身份認證v 重放攻擊保護遠程訪問Internet內部網(wǎng)合作伙伴分支機構虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸 現(xiàn)有的VPN 解決方案v 基于 IPSec 的VPN解決方案v 基于第二層的VPN解決方案v 非 IPSec 的網(wǎng)絡層VPN解決方案v 非 IPSec 的應用層解決方案基于IPSe

18、c 的VPN 解決方案在通信協(xié)議分層中，網(wǎng)絡層是可能實現(xiàn)端到端安全通信的最低層，它為所有應用層數(shù)據(jù)提供透明的安全保護，用戶無需修改應用層協(xié)議。 該方案能解決的問題：1.數(shù)據(jù)源身份認證：證實數(shù)據(jù)報文是所聲稱的發(fā)送者發(fā)出的。2.數(shù)據(jù)完整性：證實數(shù)據(jù)報文的內容在傳輸過程中沒被修改過，無論是被故意改動或是由于發(fā)生了隨機的傳輸錯誤。3.數(shù)據(jù)保密：隱藏明文的消息，通?？考用軄韺崿F(xiàn)。4. 重放攻擊保護：保證攻擊者不能截獲數(shù)據(jù)報文，且稍后某個時間再發(fā)放數(shù)據(jù)報文，而不會被檢測到。5. 自動的密鑰管理和安全關聯(lián)管理：保證只需少量或根本不需要手工配置，就可以在擴展的網(wǎng)絡上方便精確地實現(xiàn)公司的虛擬使用網(wǎng)絡方針 v A

19、H協(xié)議v ESP協(xié)議v ISAKMP/Oakley協(xié)議基于 IPSec 的VPN解決方案需要用到如下的協(xié)議：IPSec 框架的構成基于第二層的VPN解決方案 公司內部網(wǎng)撥號連接因特網(wǎng)L2 T P 通道用于該層的協(xié)議主要有：v L2TP：Lay 2 Tunneling Protocolv PPTP：Point-to-Point Tunneling Protocolv L2F：Lay 2 ForwardingL2TP的缺陷：1.僅對通道的終端實體進行身份認證，而不認證通道中流過的每一個數(shù)據(jù)報文，無法抵抗插入攻擊、地址欺騙攻擊。2.沒有針對每個數(shù)據(jù)報文的完整性校驗，就有可能進行拒絕服務攻擊：發(fā)送假冒

20、的控制信息，導致L2TP通道或者底層PPP連接的關閉。3.雖然PPP報文的數(shù)據(jù)可以加密，但PPP協(xié)議不支持密密鑰的自動產生和自動刷新，因而監(jiān)聽的攻擊者就可能最終破解密鑰，從而得到所傳輸?shù)臄?shù)據(jù)。L2 T P 通道非IPSec 的網(wǎng)絡層VPN 解決方案 v 網(wǎng)絡地址轉換由于AH協(xié)議需要對整個數(shù)據(jù)包做認證，因此使用AH協(xié)議后不能使用NATv 包過濾由于使用ESP協(xié)議將對數(shù)據(jù)包的全部或部分信息加密，因此基于報頭或者數(shù)據(jù)區(qū)內容進行控制過濾的設備將不能使用v 服務質量由于AH協(xié)議將IP協(xié)議中的TOS位當作可變字段來處理，因此，可以使用TOS位來控制服務質量非IPSec 的應用層VPN 解決方案 v SOC

21、KS位于OSI模型的會話層，在SOCKS協(xié)議中，客戶程序通常先連接到防火墻1080端口，然后由Firewall建立到目的主機的單獨會話，效率低，但會話控制靈活性大v SSL屬于高層安全機制，廣泛用于Web Browse and Web Server，提供對等的身份認證和應用數(shù)據(jù)的加密。在SSL中，身份認證是基于證書的，屬于端到端協(xié)議，不需要中間設備如：路由器、防火墻的支持v S-HTTP提供身份認證、數(shù)據(jù)加密，比SSL靈活，但應用很少，因SSL易于管理v S-MIME一個特殊的類似于SSL的協(xié)議，屬于應用層安全體系，但應用僅限于保護電子郵件系統(tǒng)，通過加密和數(shù)字簽名來保障郵件的安全，這些安全都是

22、基于公鑰技術的，雙方身份靠X.509證書來標識，不需要Firewall and Router 的支持Network Interface(Data Link)IP(Internetwork)TCP/UDP(Transport) SMIME Kerberos Proxies SET IPSec (ISAKMP) SOCKS SSL,TLS IPSec (AH,ESP) Packet Filtering Tunneling Protocols CHAP,PAP,MS-CHAP TCP/IP 協(xié)議棧與對應的VPN協(xié)議Application現(xiàn)有的VPN 解決方案小結 1.網(wǎng)絡層對所有的上層數(shù)據(jù)提供透明方

23、式的保護，但無法為應用提供足夠細的控制粒度2.數(shù)據(jù)到了目的主機，基于網(wǎng)絡層的安全技術就無法繼續(xù)提供保護，因此在目的主機的高層協(xié)議棧中很容易受到攻擊3.應用層的安全技術可以保護堆棧高層的數(shù)據(jù)，但在傳遞過程中，無法抵抗常用的網(wǎng)絡層攻擊手段，如源地址、目的地址欺騙4.應用層安全幾乎更加智能，但更復雜且效率低5. 因此可以在具體應用中采用多種安全技術，取長補短m監(jiān)控并限制訪問針對黑客攻擊的不安全因素，防火墻采取控制進出內外網(wǎng)的數(shù)據(jù)包的方法，實時監(jiān)控網(wǎng)絡上數(shù)據(jù)包的狀態(tài)，并對這些狀態(tài)加以分析和處理，及時發(fā)現(xiàn)存在的異常行為；同時，根據(jù)不同情況采取相應的防范措施，從而提高系統(tǒng)的抗攻擊能力。m控制協(xié)議和服務針對

24、網(wǎng)絡先天缺陷的不安全因素，防火墻采取控制協(xié)議和服務的方法，使得只有授權的協(xié)議和服務才可以通過防火墻，從而大大降低了因某種服務、協(xié)議的漏洞而引起災難性安全事故的可能性。m保護網(wǎng)絡內部針對軟件及系統(tǒng)的漏洞或“后門”，防火墻采用了與受保護網(wǎng)絡的操作系統(tǒng)、應用軟件無關的體系結構，其自身建立在安全操作系統(tǒng)之上；同時，針對受保護的內部網(wǎng)絡，防火墻能夠及時發(fā)現(xiàn)系統(tǒng)中存在的漏洞，進行訪問上的限制；防火墻還可以屏蔽受保護網(wǎng)絡的相關信息，使黑客無從下手。m日志記錄與審計當防火墻系統(tǒng)被配置為所有內部網(wǎng)絡與外部Internet 連接均需經過的安全節(jié)點時，防火墻系統(tǒng)就能夠對所有的網(wǎng)絡請求做出日志記錄。日志是對一些可能的

25、攻擊行為進行分析和防范的十分重要的情報。另外,防火墻系統(tǒng)也能夠對正常的網(wǎng)絡使用情況做出統(tǒng)計。這樣網(wǎng)絡管理員通過對統(tǒng)計結果進行分析，掌握網(wǎng)絡的運行狀態(tài)，繼而更加有效的管理整個網(wǎng)絡。m可屏蔽內部服務，避免相關安全缺陷被利用m27層訪問控制（集中在3-4層）m解決地址不足問題m抗網(wǎng)絡層、傳輸層一般攻擊不足m防外不防內m對網(wǎng)絡性能有影響m對應用層檢測能力有限基本原理：利用sniffer方式獲取網(wǎng)絡數(shù)據(jù)，根據(jù)已知特征判斷是否存在網(wǎng)絡攻擊優(yōu)點：能及時獲知網(wǎng)絡安全狀況，借助分析發(fā)現(xiàn)安全隱患或攻擊信息，便于及時采取措施。不足：m準確性：誤報率和漏報率m有效性：難以及時阻斷危險行為m基本功能：串接于網(wǎng)絡中，根據(jù)

26、網(wǎng)絡病毒的特征在網(wǎng)絡數(shù)據(jù)中比對，從而發(fā)現(xiàn)并阻斷病毒傳播m優(yōu)點：能有效阻斷已知網(wǎng)絡病毒的傳播m不足：m只能檢查已經局部發(fā)作的病毒m對網(wǎng)絡有一定影響m通過模擬網(wǎng)絡攻擊檢查目標主機是否存在已知安全漏洞m優(yōu)點：有利于及早發(fā)現(xiàn)問題，并從根本上解決安全隱患m不足：m只能針對已知安全問題進行掃描m準確性 vs 指導性廣義的訪問控制功能包括鑒別、授權和記賬等m鑒別（Authentication）：辨別用戶是誰的過程。 m授權（Authorization）對完成認證過程的用戶授予相應權限，解決用戶能做什么的問題。在一些訪問控制的實現(xiàn)中，認證和授權是統(tǒng)一在一起的 m記賬（Accounting）；統(tǒng)計用戶做過什么的過程，通常使用消耗的系統(tǒng)時間、接收和發(fā)送的數(shù)據(jù)量來量度。Tacacs