網(wǎng)絡(luò)安全安全教程讀書筆記

1、PAGE15網(wǎng)絡(luò)安全教程讀書筆記第4章 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密概述在信息時(shí)代，信息本身是把雙刃劍，一方面它服務(wù)于我們的生產(chǎn)、生活、使我們受益；一方面,信息的泄露可能對(duì)我們構(gòu)成巨大的威脅。因此，客觀上就需要一種有力的安全措施來保護(hù)機(jī)密數(shù)據(jù)不被竊取或篡改。數(shù)據(jù)加密與解密從宏觀上講是非常簡(jiǎn)單的，很容易理解。加密與解密的一些方法也是非常直接的，而且非常容易掌握的，可以方便地對(duì)機(jī)密數(shù)據(jù)進(jìn)行加密和解密。加密是指發(fā)送方將一個(gè)信息（或稱為明文）經(jīng)過加密鑰匙及加密函數(shù)轉(zhuǎn)換，變成無意義的密文，而接收方將此密文經(jīng)過解密，解密密鑰還原成明文。加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基石。任何一個(gè)加密系統(tǒng)至少包括以下4個(gè)部分：明文（未加

2、密的報(bào)文）密文（加密后的報(bào)文）加密解密設(shè)備或算法加密解密的密鑰計(jì)算機(jī)網(wǎng)絡(luò)中的加密可以在不同層次上進(jìn)行，最常見的是在應(yīng)用層、鏈路層和網(wǎng)絡(luò)層進(jìn)行加密。數(shù)據(jù)加密可以分為兩種途徑：一種是通過硬件實(shí)現(xiàn)數(shù)據(jù)加密，另一種是通過軟件實(shí)現(xiàn)數(shù)據(jù)加密。通常所說的數(shù)據(jù)加密是指通過軟件對(duì)數(shù)據(jù)進(jìn)行加密。通過硬件實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)加密的方法有3種：；鏈路層加密、節(jié)點(diǎn)加密和端對(duì)端加密。常用軟件加密算法分為對(duì)稱加密和非對(duì)稱加密。數(shù)據(jù)加密標(biāo)準(zhǔn)DES(Data Encryption Standard數(shù)據(jù)加密標(biāo)準(zhǔn))由IBM公司研制，并于1977年被美國(guó)國(guó)家標(biāo)準(zhǔn)局確定為聯(lián)邦信息標(biāo)準(zhǔn)中的一項(xiàng)。ISO也已將DES定為數(shù)據(jù)加密標(biāo)準(zhǔn)。DES是世界上

3、最早被公認(rèn)的實(shí)用密碼算法標(biāo)準(zhǔn)，目前它已經(jīng)受了長(zhǎng)達(dá)20余年的實(shí)踐考驗(yàn)。DES使用相同的算法對(duì)數(shù)據(jù)進(jìn)行加密和解密，所使用的加密密鑰和解密密鑰也是相同的。DES采用56位長(zhǎng)的密鑰將64位長(zhǎng)的數(shù)據(jù)加密成等長(zhǎng)的密文。在DES加密過程中，先對(duì)64位長(zhǎng)的明文進(jìn)行初始置換，然后將其分割成左右各32位長(zhǎng)的字塊，經(jīng)過16次迭代，進(jìn)行循環(huán)移位與變換，最后再進(jìn)行逆變換得出64位長(zhǎng)的密文。DES的解密過程與解密過程很相似，只需將密鑰的使用順序進(jìn)行顛倒。DES算法采用了散布、混亂等基本技巧，構(gòu)成其算法的基本單元是簡(jiǎn)單的置換、代替和模2加。DES的整個(gè)算法結(jié)構(gòu)是公開的，其安全性由密鑰保證。國(guó)際數(shù)據(jù)加密標(biāo)準(zhǔn)國(guó)際數(shù)據(jù)加密算法（

4、IDEA）是由瑞士的學(xué)者提出。在1990年正式公布并在以后得到增強(qiáng)與完善。這種算法是在DES算法的基礎(chǔ)上發(fā)展出來的，類似與三重DES。IDEA也是針對(duì)DES具有密鑰太短的缺點(diǎn)而提出的。IDEA的密鑰為128位，這么長(zhǎng)的密鑰在今后若干年內(nèi)應(yīng)該是安全的。類似于DES，IDEA算法也是一種數(shù)據(jù)塊加密算法，它設(shè)計(jì)了一系列加密輪次，每輪加密都使用從完整的加密密鑰中生成的一個(gè)子密鑰。與DES的不同之處在于，它采用軟件實(shí)現(xiàn)，但與硬件實(shí)現(xiàn)的速度一樣快。單向函數(shù)單向函數(shù)的概念是公開密鑰密碼的中心。盡管它本身并不是一個(gè)協(xié)議，但在本書中所討論的大多數(shù)協(xié)議來說卻是一個(gè)基本結(jié)構(gòu)模塊。單向函數(shù)是一類計(jì)算起來相對(duì)容易，但求

5、逆卻非常困難的函數(shù)。也就是說，已知X，我們很容易計(jì)算出f(x)。但已知f(x)，卻難于計(jì)算出x.。在這里，“難”定義為：即使世界上所有的計(jì)算機(jī)都用來計(jì)算，從f(x)計(jì)算出x也要花費(fèi)數(shù)百萬(wàn)年的時(shí)間。單向Hash函數(shù)單項(xiàng)Hash函數(shù)有：壓縮函數(shù)、縮短函數(shù)、消息摘要、指紋、密碼校驗(yàn)和、信息完整性檢驗(yàn)（DIC）和操作檢驗(yàn)碼（MDC）。單向Hash函數(shù)是現(xiàn)代密碼學(xué)的核心。單向Hash函數(shù)是許多協(xié)議的另一結(jié)構(gòu)模塊。Hash函數(shù)長(zhǎng)期以來一直在計(jì)算機(jī)科學(xué)中使用，無論是從數(shù)學(xué)角度還是從別的角度看，Hash函數(shù)就是把可變輸入長(zhǎng)度串（叫做預(yù)映射，Pre-image）轉(zhuǎn)換成固定長(zhǎng)度（經(jīng)常更短）輸出串（叫做Hash值）

6、的一種函數(shù)。簡(jiǎn)單的Hash函數(shù)就是對(duì)預(yù)映射的處理，并且返回由所有入字節(jié)轉(zhuǎn)換成的單一字節(jié)。公開密鑰密碼體制傳統(tǒng)的加密方法是加密、解密使用相同的密鑰，由發(fā)送者和接收者分別保存，在加密和解密時(shí)使用。采用這種方法的主要問題是密鑰的生成、注入、存儲(chǔ)、管理及分發(fā)等過程很復(fù)雜，特別是隨著用戶的增加，密鑰的需求量成倍增加。在網(wǎng)絡(luò)通信中，大量密鑰的分配是一個(gè)難以解決的問題。在公開密鑰密碼體制下，加密密鑰不等于解密密鑰。加密密鑰可對(duì)外公開，使任何用戶都可將傳送次用戶的信息公開密鑰加密發(fā)送，而解密密鑰是對(duì)外保密的。雖然解密密鑰理論上可以由加密密鑰公開不會(huì)危害密鑰的安全。RSA算法數(shù)學(xué)上的單向陷門函數(shù)的特點(diǎn)是在一個(gè)方

7、向上求值很容易，但其逆向計(jì)算卻很困難。許多形式為Y=f(x)的函數(shù)，對(duì)于給定的自變量x值，很容易計(jì)算出函數(shù)Y的值；而由給定Y值，在很多情況下依照函數(shù)關(guān)系f(x)計(jì)算x值則十分困難。RSA（Rivest-Shamir-Adelman）與1978年出現(xiàn)，目前已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。RSA算法基于一個(gè)十分簡(jiǎn)單的數(shù)論事實(shí)：將兩個(gè)大素?cái)?shù)相乘十分容易，但是分解它們的乘積卻非常困難，因此可以將乘積公開做為加密密鑰。DES并不能取代RSA，它們的優(yōu)缺點(diǎn)正好互補(bǔ)。RSA的密鑰很長(zhǎng)，加密速度慢，而采用DES，正好彌補(bǔ)了RSA的缺點(diǎn)。即DES用于明文加密，RSA用于DES密鑰加密。密鑰管理密鑰管理是密碼學(xué)

8、領(lǐng)域中最困難的部分。設(shè)計(jì)安全的密鑰算法和協(xié)議是困難的，但可以依靠大量的深入研究來解決。但是，對(duì)密鑰進(jìn)行保密更為困難。密碼分析者經(jīng)常通過密碼管理來破譯對(duì)稱密鑰和公鑰體制。1密鑰生成（1）減少的密鑰空間（2）弱密鑰選擇人們選擇自己的密鑰時(shí)，常常喜歡選擇更容易記憶的密鑰。這就是所謂的弱密鑰。（3）隨機(jī)密鑰好密鑰是指那些由自動(dòng)處理設(shè)備生成的隨機(jī)的位串。如果密鑰為64位長(zhǎng)，每一個(gè)可能的64位密鑰必須具有相等的可能性。這些密鑰要么從可靠的隨機(jī)源中產(chǎn)生，要么從安全的偽隨機(jī)發(fā)生器中產(chǎn)生（4）密鑰生成標(biāo)準(zhǔn)規(guī)定了一種密鑰生成方法。并不生成容易記憶的密鑰，更適合在一個(gè)系統(tǒng)中產(chǎn)生會(huì)話密鑰或偽機(jī)數(shù)。用來生成密鑰的加密算

9、法是三重DES，就像其他算法一樣容易。2非對(duì)稱密鑰空間假設(shè)有一批加密設(shè)備，并且使用了一個(gè)安全的算法，但又怕這些設(shè)備落入敵手，破壞了加密，為此他們可以將算法加入到一個(gè)防篡改模塊中。防篡改模塊就是能夠從特殊保密形式的密鑰進(jìn)行解密的模塊，而其他的密鑰都會(huì)引起模塊用非常弱的算法解密。這樣做可以使那些不知道這個(gè)特殊形式的攻擊者幾乎無法獲取密鑰。3發(fā)送密鑰4驗(yàn)證密鑰在實(shí)際應(yīng)用中，對(duì)于接受者如何判斷受到的密鑰確實(shí)來字發(fā)送者，仍存在著許多需要解決的問題。例如，惡意的主動(dòng)攻擊者可以傳送一個(gè)加密和簽名的消息而將它偽裝成來自發(fā)送者，當(dāng)接收者試圖訪問公鑰數(shù)據(jù)庫(kù)驗(yàn)證發(fā)送者的簽名時(shí)，惡意的主動(dòng)攻擊者可以用他自己的公鑰來代

10、替。他可以發(fā)明自己的假KDC，并把真正的KDC公鑰換成他自己產(chǎn)生的公鑰，從而達(dá)到欺騙接收者的目的。密鑰傳輸中的錯(cuò)誤檢測(cè)密鑰在解密過程中的錯(cuò)誤檢測(cè)5使用密鑰軟件加密是不可靠的。無法預(yù)測(cè)什么時(shí)候操作系統(tǒng)將會(huì)中止加密的運(yùn)行，將一些東西寫在磁盤上，或處理另一些急需的工作。當(dāng)操作系統(tǒng)再次返回被中止的加密任務(wù)時(shí)，操作系統(tǒng)已把加密程序?qū)懺诖疟P上，并同時(shí)將密鑰也寫了下來。這些密鑰未被加密，在計(jì)算機(jī)重新覆蓋那個(gè)存儲(chǔ)區(qū)之前，一直留在磁盤上。當(dāng)攻擊者采用 好的工具徹底搜索該硬盤驅(qū)動(dòng)器時(shí)，密鑰可能還放在那里。在一個(gè)可搶先的多任務(wù)環(huán)境中，可以給加密操作設(shè)置足夠高的優(yōu)先權(quán)可以防止被中斷。盡管這樣可以減輕危險(xiǎn)度，但仍存在一

11、定風(fēng)險(xiǎn)。6更新密鑰為了確保密鑰的安全性每天都需要改變加密的數(shù)據(jù)鏈路的密鑰，但這樣做十分費(fèi)時(shí)。更好的解決辦法是直接從舊的密鑰中產(chǎn)生新密鑰，這又稱為密鑰更新。7存儲(chǔ)密鑰最簡(jiǎn)單的密鑰存儲(chǔ)是單用戶的密鑰存儲(chǔ)，一些系統(tǒng)采用簡(jiǎn)單方法：密鑰存放于發(fā)送者的腦子中，而決不能放在系統(tǒng)中，發(fā)送者記住密鑰，并只在對(duì)文件加密或解密時(shí)才輸入密鑰。8.公開密鑰的密鑰管理公開密鑰密碼使密鑰容易管理，但也存在著問題。無論網(wǎng)絡(luò)上有多少人，每個(gè)人只有一個(gè)公開密鑰。如果發(fā)送者給接收者傳送一段信息，就必須知道接收者的公開密鑰。公鑰證書分布式密鑰管理通信加密在計(jì)算機(jī)網(wǎng)絡(luò)中，通信加密（在傳輸過程中的數(shù)據(jù)加密）分為鏈路加密、節(jié)點(diǎn)加密和端到端

12、加密。（1）鏈路加密（2）節(jié)點(diǎn)加密（3）端到端加密加密數(shù)據(jù)存儲(chǔ)1非關(guān)聯(lián)化密鑰對(duì)硬盤進(jìn)行加密有兩種方法：用一個(gè)單獨(dú)的密鑰對(duì)所有數(shù)據(jù)進(jìn)行加密。但這給分析者提供了大量用于分析的密文，并使多個(gè)用戶只查看硬盤的一部分的操作成為不可能；用不同的密鑰對(duì)各個(gè)文件單獨(dú)進(jìn)行加密，這迫使用戶記住每個(gè)文件的密鑰。2驅(qū)動(dòng)級(jí)與文件級(jí)加密有兩種級(jí)別的硬盤加密：文件級(jí)和驅(qū)動(dòng)器級(jí)，3加密驅(qū)動(dòng)器的隨機(jī)存取十一、硬件加密與加密芯片1硬件加密目前，所有加密產(chǎn)品都是以特定的硬件形式出現(xiàn)的。這些加/解密盒子被嵌入到通信線路中，然后對(duì)所有通過的數(shù)據(jù)進(jìn)行加密。雖然軟件加密在今天日趨流行，但是在商業(yè)和軍事方面的應(yīng)用中，硬件加密仍是主流。它速度

13、快，安全性高，易于安裝。市場(chǎng)上有3種基本的加密硬件：自帶加密模塊，用于通信鏈路的專用加密盒以及可插入個(gè)人計(jì)算機(jī)的插卡。2加密芯片密碼雖然可為私人提供信息保密服務(wù)，但是它首先是維護(hù)國(guó)家利益的工具。正是基于這個(gè)出發(fā)點(diǎn)，考慮到DES算法公開后帶來的種種問題，美國(guó)國(guó)家保密局從19085年開起開始著手考慮制定新的商用數(shù)據(jù)加密標(biāo)準(zhǔn)，以取代DES。1990年開始試用，1993年正式使用，主要用于通信系統(tǒng)中電話，傳真和計(jì)算機(jī)通信的安全保護(hù)。十二、加密技術(shù)的應(yīng)用1數(shù)字簽名數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時(shí)也是對(duì)發(fā)送者發(fā)送的信息真實(shí)性的一個(gè)證明。2數(shù)字時(shí)間戳在電子交易中，需要

14、對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳（DTS），可對(duì)電子文件發(fā)表時(shí)間提供安全保護(hù)和證明。3數(shù)字證書和認(rèn)證系統(tǒng)（1）數(shù)字證書數(shù)字證書可以用于電子郵件、電子商務(wù)等各方面。數(shù)字證書的內(nèi)部格式是由國(guó)際標(biāo)準(zhǔn)所制定的。（2）認(rèn)證系統(tǒng)在電子交易中，無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字憑證的發(fā)放，都不是靠交易雙方自己來完成（無法保證公正性），而需要有一個(gè)具有權(quán)威性和公正性的第三方來完成。認(rèn)證中心CA就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心的主要任務(wù)是受理數(shù)字憑證的申請(qǐng)，簽發(fā)數(shù)字證書及對(duì)數(shù)字證書進(jìn)行管理。4電子商務(wù)（1）支付網(wǎng)關(guān)支付網(wǎng)關(guān)與支付型電子商務(wù)業(yè)務(wù)相關(guān)

15、，位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間，其主要功能為：將公網(wǎng)傳來的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部通信協(xié)議將數(shù)據(jù)重打包；接收銀行系統(tǒng)內(nèi)部傳來的相應(yīng)消息，將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式，并對(duì)其進(jìn)行加密。（2）信用卡服務(wù)系統(tǒng)POS系統(tǒng)并不僅僅指消費(fèi)者在商場(chǎng)中常見的EOS收款機(jī)或電子算盤，真正的POS系統(tǒng)是指經(jīng)過優(yōu)化的一種銷售解決反案，它具有強(qiáng)大的財(cái)力和技術(shù)后盾的信息管理系統(tǒng)。電子柜員機(jī)支付型電子商務(wù)是通過電子柜員機(jī)軟件系統(tǒng)接入公網(wǎng)，其主要任務(wù)是負(fù)責(zé)處理用戶的申請(qǐng)，并和銀行（通過支付網(wǎng)關(guān)）進(jìn)行通信，發(fā)送和接收加密信息，存儲(chǔ)簽名鑰匙和交換鑰匙，申請(qǐng)和接受認(rèn)證等。并隨時(shí)與數(shù)據(jù)庫(kù)進(jìn)行通信以便存儲(chǔ)和填寫訂單及保留和處

16、理記錄。（4）電子數(shù)據(jù)交換（EDI）EDI是電子商務(wù)環(huán)節(jié)（如POS系統(tǒng)）的作業(yè)能夠順利實(shí)現(xiàn)的基礎(chǔ)。EDI包括硬件和軟件兩大部分，硬件主要是計(jì)算機(jī)網(wǎng)絡(luò)，軟件包括計(jì)算機(jī)軟件和EDI標(biāo)準(zhǔn)。從硬件方面，出于安全考慮，以前的EDI一般在專用網(wǎng)絡(luò)（即VAN）上實(shí)現(xiàn)的，但目前互聯(lián)網(wǎng)作為一個(gè)費(fèi)用更低，服務(wù)更好的系統(tǒng)，正在逐漸成為EDI的另一種更為合適的硬件載體。第五章網(wǎng)絡(luò)攻擊、檢測(cè)與防范技術(shù)網(wǎng)絡(luò)攻擊技術(shù)1網(wǎng)絡(luò)攻擊的定義任何以干擾、破換網(wǎng)絡(luò)系統(tǒng)為目的的非授權(quán)行為都稱之為網(wǎng)絡(luò)攻擊。法律上對(duì)自己網(wǎng)絡(luò)攻擊的定義有兩種觀點(diǎn)：第一種是指攻擊僅僅發(fā)身個(gè)在入侵行為完全完成，并且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)；另一種觀點(diǎn)是指可能使一個(gè)網(wǎng)

17、絡(luò)受到破壞的所有行為，即從一個(gè)入侵者開始在目標(biāo)機(jī)傻瓜內(nèi)的那個(gè)時(shí)期起，攻擊就開始進(jìn)行了。入侵者對(duì)網(wǎng)絡(luò)發(fā)起攻擊點(diǎn)是多種多樣的，可以發(fā)生在家、辦公室或車上。2常見的網(wǎng)絡(luò)安全問題病毒內(nèi)部威脅和無意破壞系統(tǒng)的漏洞和陷門網(wǎng)上的蓄意破壞侵犯隱私或機(jī)密資料拒絕服務(wù)3網(wǎng)絡(luò)攻擊的手段服務(wù)器拒絕攻擊利用型攻擊通過密碼猜測(cè)和特洛伊木馬來對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。信息收集型攻擊網(wǎng)絡(luò)攻擊者經(jīng)常在正式攻擊之前，進(jìn)行試探性的攻擊，目標(biāo)是獲取系統(tǒng)有用的信息。利用掃描技術(shù)掃描斷口，反向映射，慢速掃描，體系結(jié)構(gòu)探測(cè)。利用信息服務(wù)包括DNS域轉(zhuǎn)換，F(xiàn)inger服務(wù)，LDAP服務(wù)。假消息攻擊假消息攻擊包括DNS調(diào)整緩存污染和偽造電子郵件。逃避檢

18、測(cè)攻擊黑客已經(jīng)進(jìn)入有組織有計(jì)劃地進(jìn)行網(wǎng)絡(luò)攻擊的階段，黑客組織已經(jīng)發(fā)展出不少逃避檢測(cè)的技巧。但是，攻擊檢測(cè)系統(tǒng)的研究方向之一就是要逃避企圖加以克服。4常用的網(wǎng)絡(luò)攻擊工具DOS攻擊工具木馬程序5網(wǎng)絡(luò)攻擊使用的操作系統(tǒng)UNIXWindows6.網(wǎng)絡(luò)攻擊的一般步驟及實(shí)例攻擊的準(zhǔn)備階段攻擊者的來源有兩種，一種是內(nèi)部人員利用工作機(jī)會(huì)和權(quán)限來獲取非合法的全縣而進(jìn)行攻擊。另一種是外部人員入侵，包括遠(yuǎn)程入侵及網(wǎng)絡(luò)結(jié)點(diǎn)介入入侵等。包括確定攻擊的目的和信息收集。攻擊的實(shí)施階段攻擊者首先獲得權(quán)限然后使自己的權(quán)限擴(kuò)大。攻擊的善后工作如果攻擊者完成攻擊后立刻退出系統(tǒng)而不做任何善后工作，那么他的行蹤將很快被系統(tǒng)管理員發(fā)現(xiàn)，

19、現(xiàn)在所有的網(wǎng)絡(luò)操作系統(tǒng)都提供日志功能，會(huì)把系統(tǒng)上發(fā)生的操作紀(jì)錄下來。所以為了隱蔽性黑客會(huì)摸掉自己的痕跡，而且會(huì)隱藏自己的蹤跡，而且黑客在攻入系統(tǒng)之后會(huì)為下一次進(jìn)入系統(tǒng)時(shí)方便一點(diǎn)，就會(huì)為自己留下一個(gè)后門。網(wǎng)絡(luò)攻擊檢測(cè)技術(shù)攻擊檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。攻擊檢測(cè)技術(shù)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。1攻擊檢測(cè)的過程信息收集攻擊檢測(cè)的第一步是收集信息，包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。而且需要在計(jì)算機(jī)網(wǎng)

20、絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)收集信息。收集的主要信息來自于系統(tǒng)和網(wǎng)絡(luò)中的日志文件、目錄和文件中的不期望改變、程序執(zhí)行中的不期望行為、物理形式的攻擊信息。信號(hào)分析收集到的4類有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過3種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。其中，前兩種方法用于實(shí)時(shí)進(jìn)行入侵檢測(cè)，而完整性分析用于事后分析。2攻擊檢測(cè)方法(1)基于審計(jì)信息的攻擊檢測(cè)技術(shù) 基于審計(jì)信息的脫機(jī)攻擊檢測(cè)工具以及自動(dòng)分析工具可以想系統(tǒng)安全管理員報(bào)告前一天計(jì)算機(jī)系統(tǒng)活動(dòng)的評(píng)估報(bào)告。（2）基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)IDES類的基于審計(jì)統(tǒng)計(jì)數(shù)據(jù)的攻擊檢測(cè)系統(tǒng)，具有某些固有的缺點(diǎn)，因?yàn)橛脩舻?/p>

21、行為可以是非常復(fù)雜的，所以，要準(zhǔn)確匹配一個(gè)用戶的歷史行為和當(dāng)前的行為是相當(dāng)困難的。錯(cuò)發(fā)的警報(bào)往往來自于對(duì)審計(jì)數(shù)據(jù)的統(tǒng)計(jì)算法所基于的不準(zhǔn)確或不貼切的假設(shè)。SRI研究小組應(yīng)用神經(jīng)網(wǎng)絡(luò)模型進(jìn)行攻擊檢測(cè)?；趯＜蚁到y(tǒng)的攻擊檢測(cè)技術(shù)基于專家系統(tǒng)的攻擊檢測(cè)技術(shù)是根據(jù)安全專家對(duì)可以行為的分析經(jīng)驗(yàn)來形成一套推理規(guī)則，然后再在此基礎(chǔ)上構(gòu)造相應(yīng)的專家系統(tǒng)。由此專家系統(tǒng)自動(dòng)對(duì)攻擊操作進(jìn)行分析。（4）基于模型推理的攻擊檢測(cè)技術(shù)攻擊者在攻擊一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序，如猜測(cè)密碼的程序等，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)檢測(cè)出惡意的攻擊企圖。3幾種典型的

22、攻擊檢測(cè)系統(tǒng)(1)NAI公司的Cyberecop攻擊檢測(cè)系統(tǒng)(2)ISS公司的Realsecure for Windows NT(3)Abirnet公司的(4)Anzen公司的NFR（Netware Flight Recorder）(5)IBM公司的IERS系統(tǒng)（Internet Emergency Response Services）網(wǎng)絡(luò)安全防范技術(shù)網(wǎng)絡(luò)安全策略現(xiàn)代的安全策略應(yīng)當(dāng)緊跟安全行業(yè)的發(fā)展趨勢(shì)，在進(jìn)行安全方案設(shè)計(jì)、規(guī)劃時(shí)應(yīng)遵循體系性、系統(tǒng)性、層次性、綜合性、動(dòng)態(tài)性。包括物理安全策略、訪問控制策略、安全的信息傳輸、網(wǎng)絡(luò)服務(wù)器安全策略、操作 系統(tǒng)及網(wǎng)絡(luò)軟件安全策略、網(wǎng)絡(luò)安全管理。2常用的

23、安全防范技術(shù)防毒軟件防火墻密碼技術(shù)虛擬專用網(wǎng)絡(luò)（VPN）安全檢測(cè)3網(wǎng)絡(luò)安全防范產(chǎn)品現(xiàn)代的安全產(chǎn)品市場(chǎng)的主流產(chǎn)品包括有防火墻、VPN和攻擊檢測(cè)系統(tǒng)等，他們對(duì)相關(guān)攻擊的防范措施各不相同。（1）防火墻防火墻是目前使用最廣泛的一種網(wǎng)絡(luò)安全產(chǎn)品。從技術(shù)角度來講，防火墻有3種體系結(jié)構(gòu)：代理型防火墻、包過濾型防火墻和電路型防火墻。在選擇防火墻主要考慮安全性、高效性、可管理性和適應(yīng)性。目前國(guó)外比較流行的防火墻產(chǎn)品有CheckPoint的Fire-wall-I，所采用的訪問控制規(guī)則集非常完善。（2）虛擬局域網(wǎng)虛擬局域網(wǎng)（VPN）是一種利用公共基礎(chǔ)設(shè)施，如Internet，提供安全、可靠、可管理的企業(yè)到企業(yè)間通信

24、的網(wǎng)絡(luò)。（3）入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)（IDS）是一種比較新的軟件系統(tǒng)，能夠發(fā)現(xiàn)正在進(jìn)行的攻擊，實(shí)時(shí)報(bào)警，并通過自動(dòng)修改路由或防火墻的配制抵制攻擊；將復(fù)雜的日志文件以簡(jiǎn)明的圖形報(bào)表表示，并對(duì)其進(jìn)行分析，得到有效的結(jié)果。黑客攻擊與防范1黑客攻擊的目的黑客攻擊的目的主要包括以下幾個(gè)：（1）獲取目標(biāo)系統(tǒng)的非法訪問，獲得不該獲得的訪問權(quán)限。（2）獲取所需資料，包括科技情報(bào)、個(gè)人資料、金融賬戶、技術(shù)成果及系統(tǒng)信息等。（3）篡改有關(guān)的數(shù)據(jù)和資料，達(dá)到非法目的。（4）利用有關(guān)的資源，利用某臺(tái)機(jī)器的資源對(duì)其他目標(biāo)進(jìn)行攻擊，發(fā)布虛假信息，占用存儲(chǔ)空間。2黑客攻擊的手段黑客攻擊的手段主要包括遠(yuǎn)程攻擊、本機(jī)攻擊和偽

25、遠(yuǎn)程攻擊。3黑客攻擊的途徑黑客的攻擊主要是利用網(wǎng)絡(luò)漏洞，其中包括管理漏洞、軟件漏洞、結(jié)構(gòu)漏洞和信任漏洞。4黑客攻擊的層次黑客的網(wǎng)絡(luò)攻擊分為4個(gè)層次：?jiǎn)卧治?，即單一目?biāo)的系統(tǒng)分析技術(shù)；網(wǎng)絡(luò)分析，即與目標(biāo)有關(guān)的網(wǎng)絡(luò)系統(tǒng)的技術(shù)分析；組織分析，即與目標(biāo)有關(guān)的組織分析；任務(wù)分析，即與目標(biāo)有關(guān)的人物分析。5黑客攻擊的步驟通常攻擊者攻擊的目標(biāo)各不相同，但他們采用的攻擊方式和手段卻有一定的共性。一般來說，攻擊者對(duì)目標(biāo)進(jìn)行攻擊要經(jīng)歷三個(gè)步驟，即情報(bào)搜集、系統(tǒng)的安全漏洞檢測(cè)和實(shí)施攻擊。6黑客攻擊的防范從以上論證可以看出，防止內(nèi)外黑客入侵破壞系統(tǒng)，必須從系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、組織管理漏洞和人員安全素質(zhì)各方面下手。第

26、六章軟件的安全漏洞網(wǎng)絡(luò)信息系統(tǒng)是由硬件和軟件共同組成的，但由于軟件程序的復(fù)雜性和編程的多樣性，在網(wǎng)絡(luò)信息系統(tǒng)的軟件中更容易有意或無意地留下一些不易發(fā)現(xiàn)的安全漏洞，顯然從安全角度考慮軟件方面的安全顯得更加重要。因此，有必要重點(diǎn)介紹一些具有代表性的安全漏洞問題。一、應(yīng)用軟件中的陷門與防范陷門就是在程序員進(jìn)行開發(fā)時(shí)插入的一小段程序，目的是測(cè)試某個(gè)模塊，或?yàn)榱诉B接將來的更改和升級(jí)程序，或是在發(fā)生故障時(shí)，為程序員提供方便等。1常見的陷門實(shí)例（1）邏輯炸彈：在網(wǎng)絡(luò)軟件中可以預(yù)留隱蔽的定時(shí)炸彈。一般情況下，網(wǎng)絡(luò)正常運(yùn)行，一但到了某個(gè)預(yù)定的日期，程序便自動(dòng)跳到死循環(huán)程序，造成死機(jī)甚至網(wǎng)絡(luò)癱瘓。（2）遙控旁路：

27、可以通過遙控將加密接口旁路，從而失去加密功能，造成信息泄露。（3）遠(yuǎn)程維護(hù)：某些通信設(shè)備具有遠(yuǎn)程維護(hù)功能，即可以通過遠(yuǎn)程終端，通過公開預(yù)留的接口進(jìn)入系統(tǒng)完成維護(hù)檢修。（4）非法通信：某些程控交換機(jī)具有單項(xiàng)監(jiān)聽功能，即由特許用戶，利用自身的話機(jī)撥號(hào)，可以監(jiān)聽任意通話雙方的話音而不被發(fā)現(xiàn)，這本是一種合法的監(jiān)聽。但也可以實(shí)現(xiàn)隱蔽的非法通信。2對(duì)付陷門的方法（1）加強(qiáng)程序開發(fā)階段的安全控制，防止有意破壞并改善軟件的可靠性。（2）在程序的使用過程中實(shí)行科學(xué)的安全控制。（3）制定規(guī)范的軟件開發(fā)標(biāo)準(zhǔn)，加強(qiáng)管理，對(duì)相關(guān)人員的職責(zé)進(jìn)行有效的監(jiān)督，改善軟件的可用性和可維護(hù)性。二、操作系統(tǒng)的安全漏洞與防范操作系統(tǒng)是

28、網(wǎng)絡(luò)硬件與應(yīng)用程序之間接口的程序模塊，是整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的核心控制軟件，系統(tǒng)的安全性重點(diǎn)體現(xiàn)在整個(gè)操作系統(tǒng)之中。對(duì)于一個(gè)設(shè)計(jì)不夠安全的操作系統(tǒng)來說，事后采用增加安全性或打補(bǔ)丁的辦法進(jìn)行安全維護(hù)是一項(xiàng)艱巨的任務(wù)，特別是對(duì)引進(jìn)的設(shè)備，在沒有詳細(xì)技術(shù)資料的情況下，其工作更為復(fù)雜。操作系統(tǒng)的安全漏洞有輸入/輸出非法訪問、訪問控制的混亂、不安全的中介和操作系統(tǒng)的陷門。的安全Unix經(jīng)歷幾次更新?lián)Q代，其功能和安全性日趨完善。即便如此，網(wǎng)絡(luò)黑客仍可以利用一些漏洞攻入系統(tǒng)。2Windows NT的安全（1）Windows NT的安全機(jī)制Windows NT的安全模式: Windows NT的安全模式由本地安全

29、性授權(quán)（LSA）、安全性賬戶管理（SAM）和安全性引用監(jiān)視器（SRM）組成。Windows NT的安全策略：Windows NT的安全策略包括用戶帳戶和用戶密碼、域名管理、用戶組權(quán)限和共享資源權(quán)限。在網(wǎng)絡(luò)中Windows NT的安全性：作為一種針對(duì)網(wǎng)絡(luò)應(yīng)用的操作系統(tǒng)，安全性通過其本身的內(nèi)部機(jī)制得到了一定的基本保證，例如：用戶帳戶、用戶密碼、共享資源權(quán)限、用戶管理等。實(shí)際應(yīng)用也證明NT安全性的支持。Windows NT的基本安全措施：為確保Windows NT服務(wù)器在網(wǎng)絡(luò)應(yīng)用的安全，避免資源遭到破壞，在配置，使用Windows NT過程應(yīng)該注意遵循一定的操作規(guī)程。（2）Windows NT的缺陷

30、：Windows NT的示警和消息服務(wù)、防備NetBIOS的完全訪問共享、掌握LAN Manager的安全性、Windows NT網(wǎng)絡(luò)監(jiān)視器、Windows NT RSH服務(wù)和Windows NT Schedule服務(wù)。三、數(shù)據(jù)庫(kù)的安全漏洞與防范數(shù)據(jù)庫(kù)系統(tǒng)是在操作系統(tǒng)的文件系統(tǒng)的基礎(chǔ)上發(fā)展而來的用于大量數(shù)據(jù)的管理系統(tǒng)。數(shù)據(jù)庫(kù)的全部數(shù)據(jù)都記錄在存儲(chǔ)媒體上，并由數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）統(tǒng)一管理。DBMS為用戶及應(yīng)用程序提供了一種訪問數(shù)據(jù)的方法，并且歲數(shù)據(jù)庫(kù)進(jìn)行組織，管理，維護(hù)和恢復(fù)。數(shù)據(jù)庫(kù)系統(tǒng)的安全策略，部分由操作系統(tǒng)來完成，部分由DBMS自身安全措施來完成。數(shù)據(jù)庫(kù)系統(tǒng)存放的數(shù)據(jù)相當(dāng)重要，必須重

31、點(diǎn)加以保護(hù)。TCP/IP協(xié)議的安全漏洞與防范協(xié)議是兩個(gè)或多個(gè)參與者為完成某項(xiàng)任務(wù)為完成某種任務(wù)或功能而采取的一系列有序步驟。在網(wǎng)絡(luò)系統(tǒng)中，協(xié)議使得雙方能夠相互配合保證公平性。協(xié)議可以為通信者建立，維護(hù)和解除通信聯(lián)系，實(shí)現(xiàn)不同機(jī)型的互聯(lián)互通的共同約定。協(xié)議的基本特點(diǎn)是預(yù)先建立、相互約定、無歧義、完備性。TCP/IP協(xié)議是20世紀(jì)90年代以來發(fā)展最為迅速的網(wǎng)絡(luò)協(xié)議。目前，TCP/IP協(xié)議在互聯(lián)網(wǎng)上一統(tǒng)天下。正是由于它的廣泛應(yīng)用，使得TCP/IP的任何安全漏洞都會(huì)產(chǎn)生巨大的影響。由于TCP/IP協(xié)議是面向數(shù)據(jù)通信的，因而是無連接的，數(shù)據(jù)包通過網(wǎng)絡(luò)傳輸時(shí)并不采用特定的路由，所以TCP/IP技術(shù)并不能像

32、終端應(yīng)用提供確定的QoS（服務(wù)管理質(zhì)量）。TCP/IP協(xié)議在網(wǎng)絡(luò)方面取得巨大成功同時(shí)，也暴露出很多不足之處。TCP/IP通信協(xié)議在設(shè)計(jì)初期并沒有考慮到安全性問題，而且用戶和管理員沒有足夠的經(jīng)理專注于網(wǎng)絡(luò)安全控制，加上操作系統(tǒng)和應(yīng)用程序越來越復(fù)雜，開發(fā)人員不可能測(cè)試出所有的安全漏洞。在異種機(jī)型間資源共享的背后，存在大量漏洞和缺陷：脆弱的認(rèn)證機(jī)制、容易被竊聽或監(jiān)視、易受欺騙、有缺陷的局域網(wǎng)服務(wù)和相互信任的主機(jī)、復(fù)雜的設(shè)置和控制、基于主機(jī)的安全不易擴(kuò)展、IP地址的不保密性。為了盡可能解決TCP/IP的安全問題，Internet的技術(shù)管理機(jī)構(gòu)IETF研究了一種新版本IP協(xié)議，成為IPV6。新的協(xié)議地址

33、長(zhǎng)度由32位擴(kuò)展到128位，增加了安全機(jī)制，重點(diǎn)從鑒別和保密兩個(gè)方面制定了一系列標(biāo)準(zhǔn)。這5個(gè)標(biāo)準(zhǔn)分別為：RFC1825、RFC1826、RFC1827、RFC1828和RFC1829。網(wǎng)絡(luò)軟件與網(wǎng)絡(luò)服務(wù)的漏洞比較常見的網(wǎng)絡(luò)軟件與網(wǎng)絡(luò)服務(wù)的有以下幾種:Finger的漏洞、匿名FTP、遠(yuǎn)程登錄和密碼設(shè)置的漏洞。第八章防火墻技術(shù)一、概述1防火墻的基本概念：防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的防御系統(tǒng)。在互連網(wǎng)上，防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接，同時(shí)不會(huì)防礙用戶對(duì)風(fēng)險(xiǎn)區(qū)域的訪問。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量。它只讓安全、核準(zhǔn)的信息進(jìn)入，同時(shí)抵制對(duì)企業(yè)構(gòu)

34、成威脅的數(shù)據(jù)。由于對(duì)網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段，也有可能來自配置上的低級(jí)錯(cuò)誤或不適合的密碼選擇。防火墻可以由軟件或硬件設(shè)備組合而成，通常處于企業(yè)的內(nèi)部局域網(wǎng)與Internet之間。防火墻一方面限制Internet用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問，另一方面又管理著內(nèi)部用戶訪問外界的權(quán)限。換言之，一個(gè)防火墻是一個(gè)分離器、一個(gè)限制器、同時(shí)也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，確保了內(nèi)部網(wǎng)絡(luò)的安全。2.防火墻的功能防火墻能增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性，加強(qiáng)網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取。防火墻系統(tǒng)決定外界可以

35、訪問哪些內(nèi)部服務(wù)，以及內(nèi)部人員可以訪問哪些外部服務(wù)。3防火墻的優(yōu)缺點(diǎn)（1）防火墻的優(yōu)點(diǎn)Internet防火墻負(fù)責(zé)管理Internet和內(nèi)部網(wǎng)絡(luò)之間訪問。在沒有防火墻時(shí)，內(nèi)部網(wǎng)絡(luò)上的每個(gè)節(jié)點(diǎn)都暴露給Internet上的其他主機(jī)，極易受到攻擊。這就表明內(nèi)部網(wǎng)絡(luò)的安全性要由每一個(gè)主機(jī)的堅(jiān)固程度來決定，并且安全性等同于其中最弱的系統(tǒng)。所以，防火墻具有防火墻能夠加強(qiáng)安全策略、有效地記錄Internet上的活動(dòng)、限制暴露用戶點(diǎn)、是一個(gè)安全策略的檢查站、可作為中心“扼制點(diǎn)”、產(chǎn)生安全警報(bào)、NAT的理想位置和WWW和FTP服務(wù)器的理想位置。（2）防火墻的缺點(diǎn)防火墻內(nèi)部網(wǎng)絡(luò)可以在很大程度上避免攻擊。但是過分夸大

36、防火墻的功能，認(rèn)為所有網(wǎng)絡(luò)安全問題可以通過簡(jiǎn)單配置防火墻來達(dá)到，著是不全面的。缺點(diǎn)包括不能防范內(nèi)部人員的攻擊、不能防范惡意的知情者和不經(jīng)心的用戶，不能防范不通過它的連接，不能直接抵御惡意程序和不能防范數(shù)據(jù)驅(qū)動(dòng)攻擊。二、防火墻的工作方式防火墻常采用的技術(shù)和標(biāo)準(zhǔn)包括取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧、在已有的協(xié)議集上建立自己的軟件模塊、本身就是獨(dú)立的一套操作系統(tǒng)、只對(duì)特定類型的網(wǎng)絡(luò)連接提供保護(hù)、基于硬件的防火墻產(chǎn)品。1硬件方式硬件防火墻是在內(nèi)部網(wǎng)與Internet之間放置一臺(tái)硬件設(shè)備，以隔離或過濾人員對(duì)內(nèi)部網(wǎng)絡(luò)的訪問。2軟件方式采用軟件方式也可以保護(hù)內(nèi)部網(wǎng)絡(luò)不受外來用戶的攻擊。在Web主機(jī)上或

37、單獨(dú)一臺(tái)計(jì)算機(jī)上運(yùn)行一類軟件，監(jiān)測(cè)，偵聽來自網(wǎng)絡(luò)上的信息，對(duì)訪問內(nèi)部網(wǎng)的數(shù)據(jù)進(jìn)行過濾，從而保護(hù)內(nèi)部網(wǎng)免受破壞。在這類軟件中，最常用的是代理服務(wù)器軟件。3混合方式一套完整的防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器和代理服務(wù)器通常組合在一起構(gòu)成混合系統(tǒng)，其中屏蔽路由器主要用于防止IP欺騙攻擊。而代理服務(wù)器是防火墻中的一個(gè)服務(wù)器進(jìn)程，能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。三、防火墻的基本組件防火墻是一個(gè)由軟件和硬件組成的系統(tǒng)，所以又稱為防火墻系統(tǒng)。一個(gè)防火墻由以下幾個(gè)組件構(gòu)成。1屏蔽路由器或網(wǎng)絡(luò)層防火墻這是防火墻最基本的構(gòu)件。屏蔽路由器是一個(gè)多端口的IP路由器，它對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的

38、所有信息進(jìn)行分析，并按照一定的安全策略，即信息過濾原則，對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制，允許授權(quán)信息而拒絕非授權(quán)信息通過。2應(yīng)用層網(wǎng)關(guān)它由兩部分組成，即代理服務(wù)器和屏蔽路由器。這是目前最通用的一種防火墻，它將屏蔽路由器技術(shù)和軟件代理技術(shù)結(jié)合在一起，由屏蔽路由器負(fù)責(zé)網(wǎng)絡(luò)的互聯(lián)，進(jìn)行嚴(yán)格的數(shù)據(jù)選擇，應(yīng)用代理則提供應(yīng)用層服務(wù)的控制，代理服務(wù)器起到了外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接的作用。3雙宿主機(jī)雙宿主機(jī)是堡壘主機(jī)的一個(gè)實(shí)例。堡壘主機(jī)是指任何對(duì)網(wǎng)絡(luò)安全至關(guān)重要的防火墻主機(jī)。堡壘主機(jī)是一個(gè)組織機(jī)構(gòu)網(wǎng)絡(luò)安全的中心主機(jī)。因?yàn)楸局鳈C(jī)對(duì)網(wǎng)絡(luò)安全至關(guān)重要，對(duì)它必須進(jìn)行完善的防御，即堡壘主機(jī)是由網(wǎng)絡(luò)管理員嚴(yán)密

39、監(jiān)視的。應(yīng)該定期審查堡壘主機(jī)軟件和系統(tǒng)的安全情況。查看訪問紀(jì)錄，以發(fā)現(xiàn)潛在的安全漏洞和對(duì)堡壘主機(jī)的試探性攻擊。四、防火墻的體系結(jié)構(gòu)及組合形式1防火墻的體系結(jié)構(gòu)：防火墻的體系結(jié)構(gòu)一般有以下幾種：雙宿主主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)。（1）雙宿主主機(jī)體系結(jié)構(gòu)：雙宿主防火墻是通過運(yùn)行應(yīng)用層代理軟件或鏈路層代理軟件來工作的。代理軟件控制數(shù)據(jù)包從一個(gè)網(wǎng)流向另一個(gè)網(wǎng)。以為主機(jī)宿是雙宿主機(jī)（連接兩個(gè)網(wǎng)絡(luò)）防火墻可以觀測(cè)兩個(gè)網(wǎng)絡(luò)上的數(shù)據(jù)包。防火墻通過運(yùn)行代理軟件來控制兩個(gè)網(wǎng)絡(luò)上的傳輸信息（兩個(gè)本地網(wǎng)或一個(gè)本地網(wǎng)和Internet）(2)屏蔽主機(jī)體系結(jié)構(gòu)：蔽主機(jī)體系結(jié)構(gòu)防火墻系統(tǒng)，采用了包過濾

40、路由器和堡壘主機(jī)組成。此防火墻系統(tǒng)的安全等級(jí)比雙宿主主機(jī)體系結(jié)構(gòu)的防火墻系統(tǒng)要高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。因此，入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。（3）屏蔽子網(wǎng)體系結(jié)構(gòu)：堡壘主機(jī)是用戶網(wǎng)絡(luò)上最容易入侵的機(jī)器。盡管用戶努力去保護(hù)它，但它仍是最有可能入侵的機(jī)器。如果在屏蔽主機(jī)體系結(jié)構(gòu)中，用戶的內(nèi)部網(wǎng)絡(luò)對(duì)來自用戶的堡壘主機(jī)的入侵門戶被打開，那么用戶的堡壘主機(jī)就很容易成為攻擊的目標(biāo)。2組合形式建造防火墻時(shí)，一般很少采用單一的技術(shù)，而是采用多種技術(shù)的組合。這種組合主要取決于網(wǎng)管中心向用戶提供何種服務(wù)，以及網(wǎng)管中心接受哪一等級(jí)風(fēng)險(xiǎn)。一般有一

41、下幾種形式：使用多堡壘主機(jī)、合并內(nèi)部路由器與外部路由器、合并內(nèi)部路由器與堡壘主機(jī)、合并堡壘主機(jī)和外部路由器、使用多臺(tái)內(nèi)部路由器、使用多臺(tái)外部路由器、使用多個(gè)周邊網(wǎng)絡(luò)和使用雙宿主主機(jī)與屏蔽子網(wǎng)。五、防火墻的主要技術(shù)防火墻系的實(shí)現(xiàn)技術(shù)一般分為3種：即包過濾技術(shù)、代理服務(wù)技術(shù)和主動(dòng)檢測(cè)技術(shù)。1包過濾技術(shù)：包過濾技術(shù)是一種簡(jiǎn)單、有效的安全控制技術(shù)，它通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來自某些特定的源地址、目的地址和TCP端口號(hào)等規(guī)則，對(duì)通過設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包在內(nèi)部網(wǎng)絡(luò)的進(jìn)出。由于包過濾技術(shù)要求內(nèi)外通信的數(shù)據(jù)包必須通過使用這項(xiàng)技術(shù)的計(jì)算機(jī)，才能進(jìn)行過濾，因而，包過濾技術(shù)必須用在路由

42、器上。因?yàn)橹挥新酚善鞑攀沁B接多個(gè)網(wǎng)絡(luò)的橋梁，所有網(wǎng)絡(luò)之間交換的數(shù)據(jù)包都得經(jīng)過它，所以路由器有能力對(duì)每個(gè)數(shù)據(jù)包進(jìn)行檢查。（1）包過濾技術(shù)的優(yōu)點(diǎn)：一個(gè)過濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)、數(shù)據(jù)包過濾對(duì)用戶透明和過濾路由器速度快和效率高。（2）包過濾技術(shù)的缺點(diǎn)：不能徹底防止地址欺騙、一些應(yīng)用協(xié)議不適合數(shù)據(jù)包過濾、正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略和數(shù)據(jù)包工具存在很多局限性。2代理服務(wù)技術(shù)代理服務(wù)是另一種防火墻技術(shù)，與包過濾不同，它直接和應(yīng)用服務(wù)程序打交道。它不會(huì)讓數(shù)據(jù)包直接通過，而是自己接收數(shù)據(jù)包，并對(duì)其進(jìn)行分析。當(dāng)代理程序理解了連接請(qǐng)求之后，將啟動(dòng)另一個(gè)連接，向外部網(wǎng)絡(luò)發(fā)送同樣的請(qǐng)求，然后將返回的

43、數(shù)據(jù)送回提出請(qǐng)求的內(nèi)部網(wǎng)計(jì)算機(jī)。（1）代理技術(shù)的優(yōu)點(diǎn)：代理易于掌握、代理能夠生成各項(xiàng)記錄、代理能靈活、安全地控制進(jìn)出流量和內(nèi)容、代理能夠過濾數(shù)據(jù)內(nèi)容、代理能為用戶提供透明的加密機(jī)制和代理可以方便地與其他安全手段集成。（2）代理技術(shù)的缺點(diǎn)：使用代理比使用路由器的速度慢、代理用戶不透明、對(duì)于每項(xiàng)代理可能要求不同的服務(wù)器、代理通常要求對(duì)客戶或過程之一或兩者進(jìn)行限制、代理不能保證免受所有協(xié)議弱點(diǎn)的限制、代理不能改進(jìn)底層協(xié)議的安全性。3主動(dòng)檢測(cè)技術(shù)無論是包過濾，還是代理服務(wù)，都是根據(jù)管理員預(yù)先定義好的規(guī)則提供服務(wù)或者限制某些訪問。然而在提供網(wǎng)絡(luò)訪問能力和保證網(wǎng)絡(luò)訪問能力和保證網(wǎng)絡(luò)安全方面存在矛盾，只要允

44、許訪問某些網(wǎng)絡(luò)服務(wù)，就有可能造成某種系統(tǒng)漏洞；如果限制太嚴(yán)厲，合法的網(wǎng)絡(luò)訪問就會(huì)受到不必要的限制。六、防火墻的分類1基于硬件環(huán)境分類：可分為基于路由器的防火墻和基于主機(jī)系統(tǒng)的防火墻。包過濾防火墻可以基于路由器也可以基于主機(jī)系統(tǒng)來實(shí)現(xiàn)，而電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)只能是基于主機(jī)系統(tǒng)來實(shí)現(xiàn)。2基于功能分類：可分為FTP防火墻、Telnet防火墻、E-mail防火墻、病毒防火墻等專用防火墻。3基于網(wǎng)絡(luò)層次分類：Internet采用TCP/IP協(xié)議，設(shè)置不同網(wǎng)絡(luò)層次上的電子屏障，構(gòu)成不同類型的防火墻：包過濾防火墻、電路網(wǎng)關(guān)和代理防火墻。防火墻的設(shè)計(jì)1網(wǎng)絡(luò)防火墻安全策略：網(wǎng)絡(luò)防火墻安全策略是指要明確定義允許

45、使用或禁止使用的網(wǎng)絡(luò)服務(wù)，以及這些服務(wù)的使用規(guī)定?？偟膩碚f，一個(gè)防火墻應(yīng)該使用的方法是下兩個(gè)中的一個(gè)，每一個(gè)沒有明確允許的都被拒絕或每一個(gè)沒有明確拒絕的都允許。2，企業(yè)網(wǎng)的安全策略：一個(gè)機(jī)構(gòu)的全局性安全策略必須根據(jù)安全分析和業(yè)務(wù)需求分析來決定。因?yàn)榉阑饓χ慌c網(wǎng)絡(luò)安全有關(guān)，所以，只有在正確定義了全局安全策略的情況下，防火墻才具有一定的價(jià)值。3防火墻的費(fèi)用：簡(jiǎn)單的包過濾防火墻所需費(fèi)用量很少，實(shí)際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個(gè)路由器，而包過濾是標(biāo)準(zhǔn)路由器的一個(gè)基本特征。對(duì)于一臺(tái)商用防火墻來說，隨著其復(fù)雜性和受保護(hù)系統(tǒng)數(shù)目的增加，其費(fèi)用也隨之增加。八、防火墻的安全標(biāo)準(zhǔn)防火墻技術(shù)發(fā)展迅速而標(biāo)準(zhǔn)還不

46、健全，導(dǎo)致防火墻產(chǎn)品兼容性差，給不同防火墻產(chǎn)品的互連帶來了困難，為了解決這個(gè)問題目前提出兩個(gè)標(biāo)準(zhǔn)：RSA數(shù)據(jù)安全公司與一些防火墻的生產(chǎn)產(chǎn)商以及一些TCP/IP協(xié)議開發(fā)商共同提出了Secure/WAN標(biāo)準(zhǔn)、NCSA成立的防火墻開發(fā)商（FWPD）聯(lián)盟制定的防火墻測(cè)試標(biāo)準(zhǔn)。九、防火墻產(chǎn)品簡(jiǎn)介縱觀防火墻產(chǎn)品近年來的發(fā)展，可將其分為4個(gè)階段：基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻。1基于路由器的防火墻第一代防火墻產(chǎn)品的特點(diǎn)：利用路由器本身對(duì)分組的解析，過濾判決的依據(jù)可以是地址、端口號(hào)、IP地址及其他網(wǎng)絡(luò)特征，只有分組過濾的功能且防火墻與路由器是一

47、體的，對(duì)安全要求低的網(wǎng)絡(luò)采用路由器附帶防火墻功能的方法，對(duì)于要求高的可單獨(dú)利用一臺(tái)路由器做防火墻。2用戶化的防火墻工具套第二代防火墻產(chǎn)品，用戶化的防火墻工具套具有以下特征：將過濾功能從路由器中獨(dú)立出來并增加審計(jì)和告警功能、針對(duì)用戶需求提供模塊化的軟件包、軟件可通過網(wǎng)絡(luò)發(fā)送用戶可以自動(dòng)動(dòng)手構(gòu)造防火墻、與第一代防火墻相比安全性高價(jià)格降低。3建立在通用操作系統(tǒng)上的防火墻基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。這是第三代防火墻，第三代防火墻有以下特點(diǎn)：是批量上市的專用防火墻產(chǎn)品、包括分組過濾或者借用路由器的分組過濾功能、裝有專用的代理系

48、統(tǒng)監(jiān)控所有協(xié)議的數(shù)據(jù)和指令、保護(hù)用戶編程空間和用戶配置內(nèi)核參數(shù)的設(shè)置、安全性和速度大為提高。4具有安全操作系統(tǒng)的防火墻防火墻技術(shù)和產(chǎn)品隨著網(wǎng)絡(luò)攻擊和安全防護(hù)手段的發(fā)展而演進(jìn)，1997年初，具有安全操作系統(tǒng)的防火墻產(chǎn)品上市，使防火墻產(chǎn)品步入了第四個(gè)發(fā)展階段。它的特點(diǎn)如下：防火墻產(chǎn)商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安全內(nèi)核、對(duì)安全內(nèi)核實(shí)現(xiàn)加固處理，每個(gè)服務(wù)器和子系統(tǒng)都做了安全處理，在功能上包括了分組過濾應(yīng)用、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)、且具有加密與鑒別功能，透明性好易于使用。十、防火墻攻擊技術(shù)防火墻正在TCSEC和ITSEC的指導(dǎo)下進(jìn)行評(píng)估和認(rèn)證。雖然防火墻能夠?qū)W(wǎng)絡(luò)進(jìn)行較好的防范，但也存在著不容忽視的局限性，它們不是安全解決方案的全部。黑客或惡意入侵者攻擊防火墻的技術(shù)或手段主要有：IP地址欺騙、TCP序號(hào)攻擊、IP分段攻擊、.基于附加信息攻擊、基于堡壘主機(jī)Web服務(wù)器的攻擊、IP隧道攻擊、計(jì)算機(jī)病毒攻擊、特洛伊木馬攻擊、前綴掃描攻擊、數(shù)據(jù)驅(qū)動(dòng)攻擊、報(bào)文攻擊、電污染攻擊和社會(huì)工程攻擊。第九章虛擬專用網(wǎng)技術(shù)一、VPN概述1VPN的定義VPN（Virtual Private Network）技術(shù)即虛擬專用網(wǎng)技術(shù)，是通過ISP和其他NSP，在公共網(wǎng)絡(luò)中建立專用的數(shù)據(jù)痛惜網(wǎng)絡(luò)的技術(shù)。虛擬專用網(wǎng)雖不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬是指用戶