第7章-互聯(lián)網(wǎng)網(wǎng)絡(luò)安全-《物聯(lián)網(wǎng)安全導(dǎo)論》要點課件

第7章互聯(lián)網(wǎng)網(wǎng)絡(luò)安全

第7章互聯(lián)網(wǎng)網(wǎng)絡(luò)安全學(xué)習(xí)任務(wù)網(wǎng)絡(luò)安全概述

防火墻技術(shù)

入侵檢測

Clicktoaddtitleinhere123本章主要涉及：4身份驗證學(xué)習(xí)任務(wù)網(wǎng)絡(luò)安全概述防火墻技術(shù)入侵檢測Clickto學(xué)習(xí)任務(wù)IPsec安全協(xié)議

虛擬專網(wǎng)（VPN）

黑客

567本章主要涉及：8互聯(lián)網(wǎng)安全協(xié)議和機制

學(xué)習(xí)任務(wù)IPsec安全協(xié)議虛擬專網(wǎng)（VPN）黑客7.1網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。7.1網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安7.1網(wǎng)絡(luò)安全概述7.1.1網(wǎng)絡(luò)安全威脅分析1.物理安全網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。在校園網(wǎng)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計和施工中，必須優(yōu)先考慮保護人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；7.1網(wǎng)絡(luò)安全概述7.1.1網(wǎng)絡(luò)安全威脅分析7.1網(wǎng)絡(luò)安全概述考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計算機及其他弱電耐壓設(shè)備的防雷。7.1網(wǎng)絡(luò)安全概述考慮布線系統(tǒng)與照明電線、動力電線、通信線7.1網(wǎng)絡(luò)安全概述總體來說物理安全的風(fēng)險主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機多冗余的設(shè)計；機房環(huán)境及報警系統(tǒng)、安全意識等，因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險。7.1網(wǎng)絡(luò)安全概述總體來說物理安全的風(fēng)險主要有，地震、水災(zāi)7.1網(wǎng)絡(luò)安全概述2.網(wǎng)絡(luò)結(jié)構(gòu)的安全網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。假如在外部和內(nèi)部網(wǎng)絡(luò)進行通信時，內(nèi)部網(wǎng)絡(luò)的機器安全就會受到威脅，同時也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會影響到連上Internet/Intranet的其他的網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。7.1網(wǎng)絡(luò)安全概述2.網(wǎng)絡(luò)結(jié)構(gòu)的安全7.1網(wǎng)絡(luò)安全概述因此，我們在設(shè)計時有必要將公開服務(wù)器（WEB、DNS、EMAIL等）和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應(yīng)主機，其它的請求服務(wù)在到達主機之前就應(yīng)該遭到拒絕。7.1網(wǎng)絡(luò)安全概述因此，我們在設(shè)計時有必要將公開服務(wù)器（W7.1網(wǎng)絡(luò)安全概述3.系統(tǒng)的安全所謂系統(tǒng)的安全是指整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是Microsoft的Windows操作系統(tǒng)或者其它任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其后門（Back-Door）。因此，我們可以得出如下結(jié)論：沒有完全安全的操作系統(tǒng)。

7.1網(wǎng)絡(luò)安全概述3.系統(tǒng)的安全7.1網(wǎng)絡(luò)安全概述不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進行安全配置。而且，必須加強登錄過程的認證，確保用戶的合法性；其次應(yīng)該嚴格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。7.1網(wǎng)絡(luò)安全概述不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的7.1網(wǎng)絡(luò)安全概述4.應(yīng)用系統(tǒng)的安全（1）應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的。在應(yīng)用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系統(tǒng)平臺，而且通過專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞，修補漏洞，提高系統(tǒng)的安全性。7.1網(wǎng)絡(luò)安全概述4.應(yīng)用系統(tǒng)的安全7.1網(wǎng)絡(luò)安全概述（2）應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性。對用戶使用計算機必須進行身份認證，對于重要信息的通訊必須授權(quán)，傳輸必須加密。采用多層次的訪問控制與權(quán)限控制手段，實現(xiàn)對數(shù)據(jù)的安全保護；采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與賬戶、上傳信息等）的機密性與完整性。7.1網(wǎng)絡(luò)安全概述（2）應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全7.1網(wǎng)絡(luò)安全概述5.管理的安全風(fēng)險管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。

最可行的做法是制定健全的管理制度和嚴格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。7.1網(wǎng)絡(luò)安全概述5.管理的安全風(fēng)險7.1網(wǎng)絡(luò)安全概述7.1.2網(wǎng)絡(luò)安全服務(wù)的主要內(nèi)容1.安全技術(shù)手段物理措施：例如，保護網(wǎng)絡(luò)關(guān)鍵設(shè)備，制定嚴格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源（UPS）等措施。訪問控制：對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。7.1網(wǎng)絡(luò)安全概述7.1.2網(wǎng)絡(luò)安全服務(wù)的主要內(nèi)容7.1網(wǎng)絡(luò)安全概述數(shù)據(jù)加密：

加密是保護數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計算機網(wǎng)絡(luò)病毒，安裝網(wǎng)絡(luò)防病毒系統(tǒng)。其他措施：其他措施包括信息過濾、容錯、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計等。近年來，圍繞網(wǎng)絡(luò)安全問題提出了許多解決辦法，例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。

7.1網(wǎng)絡(luò)安全概述數(shù)據(jù)加密：7.1網(wǎng)絡(luò)安全概述2。安全防范意識擁有網(wǎng)絡(luò)安全意識是保證網(wǎng)絡(luò)安全的重要前提。許多網(wǎng)絡(luò)安全事件的發(fā)生都和缺乏安全防范意識有關(guān)。7.1網(wǎng)絡(luò)安全概述2。安全防范意識7.1網(wǎng)絡(luò)安全概述7.1.3Internet安全隱患的主要體現(xiàn)1．Internet是一個開放的、無控制機構(gòu)的網(wǎng)絡(luò)，黑客（Hacker）經(jīng)常會侵入網(wǎng)絡(luò)中的計算機系統(tǒng)，或竊取機密數(shù)據(jù)和盜用特權(quán)，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。2．Internet的數(shù)據(jù)傳輸是基于TCP/IP通信協(xié)議進行的，這些協(xié)議缺乏使傳輸過程中的信息不被竊取的安全措施。7.1網(wǎng)絡(luò)安全概述7.1.3Internet安全隱患的主7.1網(wǎng)絡(luò)安全概述3．Internet上的通信業(yè)務(wù)多數(shù)使用Unix操作系統(tǒng)來支持，Unix操作系統(tǒng)中明顯存在的安全脆弱性問題會直接影響安全服務(wù)。4．在計算機上存儲、傳輸和處理的電子信息，還沒有像傳統(tǒng)的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實，內(nèi)容是否被改動，以及是否泄露等，在應(yīng)用層支持的服務(wù)協(xié)議中是憑著君子協(xié)定來維系的。7.1網(wǎng)絡(luò)安全概述3．Internet上的通信業(yè)務(wù)多數(shù)使用7.1網(wǎng)絡(luò)安全概述5．電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。6．計算機病毒通過Internet的傳播給上網(wǎng)用戶帶來極大的危害，病毒可以使計算機和計算機網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失。在網(wǎng)絡(luò)上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。7.1網(wǎng)絡(luò)安全概述5．電子郵件存在著被拆看、誤投和偽造的可7.1網(wǎng)絡(luò)安全概述7.1.4網(wǎng)絡(luò)安全攻擊的形式主要有四種方式:中斷、截獲、修改和偽造。如圖所示。網(wǎng)絡(luò)安全攻擊的形式

7.1網(wǎng)絡(luò)安全概述7.1.4網(wǎng)絡(luò)安全攻擊的形式網(wǎng)絡(luò)安全攻7.1網(wǎng)絡(luò)安全概述（1）中斷中斷是以可用性作為攻擊目標(biāo)，它毀壞系統(tǒng)資源，使網(wǎng)絡(luò)不可使用。（2）截獲截獲是以保密性作為攻擊目標(biāo)，非授權(quán)用戶通過某種手段獲得對系統(tǒng)資源的訪問。7.1網(wǎng)絡(luò)安全概述（1）中斷7.1網(wǎng)絡(luò)安全概述（3）修改修改是以完整性作為攻擊目標(biāo)，非授權(quán)用戶不僅獲得訪問而且對數(shù)據(jù)進行修改。（4）偽造偽造是以完整性作為攻擊目標(biāo)，非授權(quán)用戶將偽造的數(shù)據(jù)插入到正常傳輸?shù)臄?shù)據(jù)中。7.1網(wǎng)絡(luò)安全概述（3）修改7.1網(wǎng)絡(luò)安全概述7.1.5網(wǎng)絡(luò)安全案例隨著計算機技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證。有很多是敏感信息，甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪改、計算機病毒等）。同時，網(wǎng)絡(luò)實體還要經(jīng)受諸如水災(zāi)、火災(zāi)、地震、電磁輻射等方面的考驗。

7.1網(wǎng)絡(luò)安全概述7.1.5網(wǎng)絡(luò)安全案例7.2防火墻技術(shù)古時候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢蔓延到別的寓所。自然，這種墻被命名為“防火墻”。為安全起見，可以在本網(wǎng)絡(luò)和Internet之間插入一個中介系統(tǒng)，阻斷來自外部通過網(wǎng)絡(luò)對本網(wǎng)絡(luò)的威脅和入侵，這種中介系統(tǒng)叫做“防火墻”。7.2防火墻技術(shù)7.2.1防火墻的基本概念防火墻是由軟件、硬件構(gòu)成的系統(tǒng)，是一種特殊編程的路由器，用來在兩個網(wǎng)絡(luò)之間實施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要。Internet防火墻決定了哪些內(nèi)部服務(wù)可以被外界訪問；外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。7.2.1防火墻的基本概念7.2.1防火墻的基本概念1、Internet防火墻與安全策略的關(guān)系

防火墻不僅僅是路由器、堡壘主機、或任何網(wǎng)絡(luò)安全的設(shè)備的組合，防火墻是安全策略的一個部分。安全策略建立全方位的防御體系，包括：公司規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施，以及雇員培訓(xùn)等。7.2.1防火墻的基本概念7.2.1防火墻的基本概念(1)防火墻的功能防火墻的功能有兩個：阻止和允許。“阻止”就是阻止某種類型的通信量通過防火墻（從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過來）?！霸试S”的功能與“阻止”恰好相反。防火墻必須能夠識別通信量的各種類型。不過在大多數(shù)情況下防火墻的主要功能是“阻止”。7.2.1防火墻的基本概念7.2.1防火墻的基本概念(2)聯(lián)網(wǎng)監(jiān)控在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報警。（注意：對一個與Internet相聯(lián)的內(nèi)部網(wǎng)絡(luò)來說，重要的問題并不是網(wǎng)絡(luò)是否會受到攻擊，而是何時受到攻擊？誰在攻擊？）網(wǎng)絡(luò)管理員必須審計并記錄所有通過防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時響應(yīng)報警并審查常規(guī)記錄，防火墻就形同虛設(shè)。7.2.1防火墻的基本概念7.2.1防火墻的基本概念(3)防火墻在互連網(wǎng)絡(luò)中的位置防火墻內(nèi)的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”(trustednetwork)，而將外部的因特網(wǎng)稱為“不可信賴的網(wǎng)絡(luò)”(untrustednetwork)。G內(nèi)聯(lián)網(wǎng)可信賴的網(wǎng)絡(luò)不可信賴的網(wǎng)絡(luò)分組過濾路由器

R分組過濾路由器

R應(yīng)用網(wǎng)關(guān)外局域網(wǎng)內(nèi)局域網(wǎng)防火墻因特網(wǎng)7.2.1防火墻的基本概念(3)防火墻在互連網(wǎng)絡(luò)中的位置7.2.2防火墻的技術(shù)類別

1.包過濾防火墻采用這種技術(shù)的防火墻產(chǎn)品，通過在網(wǎng)絡(luò)中的適當(dāng)位置對數(shù)據(jù)包進行過濾。檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過防火墻進入到內(nèi)部網(wǎng)絡(luò)，而將不合乎邏輯的數(shù)據(jù)包加以刪除。7.2.2防火墻的技術(shù)類別1.包過濾防火墻7.2.2防火墻的技術(shù)類別2.代理服務(wù)器防火墻

代理服務(wù)器運行在兩個網(wǎng)絡(luò)之間，它對于客戶來說像是一臺真的服務(wù)器一樣，而對于外界的服務(wù)器來說，它又是一臺客戶機。當(dāng)代理服務(wù)器接收到用戶的請求后，會檢查用戶請求的站點是否符合公司的要求，如果公司允許用戶訪問該站點的話，代理服務(wù)器會像一個客戶一樣，去那個站點取回所需信息再轉(zhuǎn)發(fā)給客戶。7.2.2防火墻的技術(shù)類別2.代理服務(wù)器防火墻7.2.2防火墻的技術(shù)類別3.狀態(tài)監(jiān)視器防火墻這種防火墻安全特性較好，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取部分數(shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后指定安全策略的參考。7.2.2防火墻的技術(shù)類別3.狀態(tài)監(jiān)視器防火墻7.2.3防火墻的結(jié)構(gòu)在防火墻與網(wǎng)絡(luò)的配置上，有三種典型結(jié)構(gòu)：雙宿／多宿主機模式、屏蔽主機模式和屏蔽子網(wǎng)模式。堡壘主機(bastionhost)堡壘主機是一種配置了較為全面安全防范措施的網(wǎng)絡(luò)上的計算機，從網(wǎng)絡(luò)安全上來看，堡壘主機是最強壯的系統(tǒng)。通常情況下，堡壘主機可作為代理服務(wù)器的平臺。7.2.3防火墻的結(jié)構(gòu)7.2.3防火墻的結(jié)構(gòu)1.雙宿／多宿主機模式雙宿／多宿主機防火墻(Dual-Homed／Multi-HomedFirewall)是一種擁有兩個或多個連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，通常用一臺裝有兩塊或多塊網(wǎng)卡的堡壘主機做防火墻，網(wǎng)卡各自與受保護網(wǎng)和外部網(wǎng)相連。特點是主機的路由功能是被禁止的，兩個網(wǎng)絡(luò)之間的通信通過應(yīng)用層代理服務(wù)來完成。7.2.3防火墻的結(jié)構(gòu)7.2.3防火墻的結(jié)構(gòu)雙重宿主主機的防火墻體系結(jié)構(gòu)是相當(dāng)簡單的：雙重宿主主機位于兩者之間，并且被連接到外部網(wǎng)和內(nèi)部網(wǎng)。雙重宿主主機體系結(jié)構(gòu)

7.2.3防火墻的結(jié)構(gòu)雙重宿主主機體系結(jié)構(gòu)7.2.3防火墻的結(jié)構(gòu)2屏蔽主機模式屏蔽主機防火墻(ScreenedFirewall)由包過濾路由器和堡壘主機組成。在這種方式的防火墻中，堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個堡壘主機成為外部網(wǎng)絡(luò)惟一可直接到達的主機，這保證了內(nèi)部網(wǎng)絡(luò)不被未經(jīng)授權(quán)的外部用戶的攻擊。7.2.3防火墻的結(jié)構(gòu)2屏蔽主機模式7.2.3防火墻的結(jié)構(gòu)單地址堡壘主機

雙地址堡壘主機

7.2.3防火墻的結(jié)構(gòu)單地址堡壘主機雙地址堡壘主機387.2.3防火墻的結(jié)構(gòu)3屏蔽子網(wǎng)模式屏蔽子網(wǎng)防火墻(ScreenedSubnetModeFirewall)的配置采用了兩個包過濾路由器和一個堡壘主機，在內(nèi)外網(wǎng)絡(luò)之間建立了一個被隔離的子網(wǎng)，定義為“非軍事區(qū)(demilitarizedzone)”網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員將堡壘主機、WEB服務(wù)器、Email服務(wù)器等公用服務(wù)器放在非軍事區(qū)網(wǎng)絡(luò)中。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。7.2.3防火墻的結(jié)構(gòu)3屏蔽子網(wǎng)模式7.2.3防火墻的結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網(wǎng)絡(luò)。一個位于周邊網(wǎng)絡(luò)與內(nèi)部的網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間（通常為Internet）。屏蔽子網(wǎng)體系結(jié)構(gòu)

7.2.3防火墻的結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)7.2.4防火墻產(chǎn)品選購策略和使用防火墻的部署

7.2.4防火墻產(chǎn)品選購策略和使用防火墻的部署某市政府網(wǎng)絡(luò)中心防火墻部署案例

某市政府網(wǎng)絡(luò)中心防火墻部署案例某市政府安全系統(tǒng)技術(shù)方案某市政府安全系統(tǒng)技術(shù)方案7.3入侵檢測入侵檢測（IntrusionDetection）是對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。7.3入侵檢測7.3入侵檢測

入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測。入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，7.3入侵檢測7.3.1入侵檢測技術(shù)1．特征檢測

特征檢測(Signature-baseddetection)假設(shè)入侵者活動可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在于如何設(shè)計模式既能夠表達“入侵”現(xiàn)象又不會將正常的活動包含進來。7.3.1入侵檢測技術(shù)1．特征檢測7.3.1入侵檢測技術(shù)2．異常檢測

異常檢測(Anomalydetection)的假設(shè)是入侵者活動異常于正常主體的活動。根據(jù)這一理念建立主體正常活動的“活動簡檔”，將當(dāng)前主體的活動狀況與“活動簡檔”相比較，當(dāng)違反其統(tǒng)計規(guī)律時，認為該活動可能是“入侵”行為。7.3.1入侵檢測技術(shù)2．異常檢測7.3.2入侵防御系統(tǒng)

入侵檢測系統(tǒng)（Intrusion-detectionsystem，下稱“IDS”）是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動的安全防護技術(shù)。

7.3.2入侵防御系統(tǒng)7.3.2入侵防御系統(tǒng)1.IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備我們做一個形象的比喻：假如防火墻是一幢大樓的門衛(wèi)，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進入大樓，或內(nèi)部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。7.3.2入侵防御系統(tǒng)1.IDS入侵檢測系統(tǒng)是一個監(jiān)聽7.3.2入侵防御系統(tǒng)對IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里，"所關(guān)注流量"指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進行統(tǒng)計、監(jiān)視的網(wǎng)絡(luò)報文。7.3.2入侵防御系統(tǒng)7.3.2入侵防御系統(tǒng)

IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在：（1）盡可能靠近攻擊源（2）盡可能靠近受保護資源這些位置通常是：服務(wù)器區(qū)域的交換機上

Internet接入路由器之后的第一臺交換機上重點保護網(wǎng)段的局域網(wǎng)交換機上7.3.2入侵防御系統(tǒng)7.3.2入侵防御系統(tǒng)IDS網(wǎng)絡(luò)監(jiān)聽

7.3.2入侵防御系統(tǒng)IDS網(wǎng)絡(luò)監(jiān)聽7.3.2入侵防御系統(tǒng)2.系統(tǒng)組成一個入侵檢測系統(tǒng)分為四個組件：事件產(chǎn)生器（Eventgenerators）；事件分析器（Eventanalyzers）；響應(yīng)單元（Responseunits）；事件數(shù)據(jù)庫（Eventdatabases）。7.3.2入侵防御系統(tǒng)7.3.2入侵防御系統(tǒng)事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元則是對分析結(jié)果作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應(yīng)，也可以只是簡單的報警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。7.3.2入侵防御系統(tǒng)7.3.2入侵防御系統(tǒng)3.系統(tǒng)分類

IDS入侵檢測系統(tǒng)以信息來源的不同和檢測方法的差異分為幾類。根據(jù)信息來源可分為基于主機IDS和基于網(wǎng)絡(luò)的IDS。根據(jù)檢測方法又可分為異常入侵檢測和濫用入侵檢測。7.3.2入侵防御系統(tǒng)3.系統(tǒng)分類7.3.3入侵檢測系統(tǒng)的工作步驟

1.信息收集

入侵檢測的第一步是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。(1)系統(tǒng)和網(wǎng)絡(luò)日志文件(2)目錄和文件中的不期望的改變(3)程序執(zhí)行中的不期望行為(4)物理形式的入侵信息7.3.3入侵檢測系統(tǒng)的工作步驟1.信息收集7.3.3入侵檢測系統(tǒng)的工作步驟2.信號分析

對上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進行分析：模式匹配，統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。7.3.3入侵檢測系統(tǒng)的工作步驟7.3.3入侵檢測系統(tǒng)的工作步驟(1)模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。如通過字符串匹配尋找一個簡單的條目，又如利用正規(guī)的數(shù)學(xué)表達式來表示安全狀態(tài)的變化）。一種進攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。7.3.3入侵檢測系統(tǒng)的工作步驟(1)模式匹配7.3.3入侵檢測系統(tǒng)的工作步驟(2)統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生。7.3.3入侵檢測系統(tǒng)的工作步驟(2)統(tǒng)計分析7.3.3入侵檢測系統(tǒng)的工作步驟(3)完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被病毒侵入的應(yīng)用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數(shù)（例如MD5--消息摘要算法第五版），它能識別哪怕是微小的變化。

7.3.3入侵檢測系統(tǒng)的工作步驟(3)完整性分析7.3.4入侵檢測系統(tǒng)典型代表入侵檢測系統(tǒng)的典型代表是ISS公司（國際互聯(lián)網(wǎng)安全系統(tǒng)公司）的RealSecure。由于入侵檢測系統(tǒng)的市場在近幾年中飛速發(fā)展，許多公司投入到這一領(lǐng)域上來。Venustech(啟明星辰）、InternetSecuritySystem（ISS）、思科、賽門鐵克等公司都推出了自己的產(chǎn)品。7.3.4入侵檢測系統(tǒng)典型代表7.4身份驗證7.4.1身份驗證的基本概念身份驗證是指通過一定的手段，完成對用戶身份的確認。身份驗證的目的是確認當(dāng)前所聲稱為某種身份的用戶，確實是所聲稱的用戶。在日常生活中，身份驗證并不罕見；比如，通過檢查對方的證件，我們一般可以確信對方的身份，但“身份驗證”一詞更多地被用在計算機、通信等領(lǐng)域。7.4身份驗證7.4.1身份驗證的基本概念7.4身份驗證1.基于共享密鑰的身份驗證基于共享密鑰的身份驗證是指服務(wù)器端和用戶共同擁有一個或一組密碼。當(dāng)用戶需要進行身份驗證時，用戶通過輸入或通過保管有密碼的設(shè)備提交由用戶和服務(wù)器共同擁有的密碼。服務(wù)器在收到用戶提交的密碼后，檢查用戶所提交的密碼是否與服務(wù)器端保存的密碼一致，如果一致，就判斷用戶為合法用戶。如果用戶提交的密碼與服務(wù)器端所保存的密碼不一致時，則判定身份驗證失敗。7.4身份驗證1.基于共享密鑰的身份驗證7.4身份驗證2.基于生物學(xué)特征的身份驗證基于生物學(xué)特征的身份驗證是指基于每個人身體上獨一無二的特征，如指紋、虹膜等等。3.基于公開密鑰加密算法的身份驗證基于公開密鑰加密算法的身份驗證是指通信中的雙方分別持有公開密鑰和私有密鑰，由其中的一方采用私有密鑰對特定數(shù)據(jù)進行加密，而對方采用公開密鑰對數(shù)據(jù)進行解密，如果解密成功，就認為用戶是合法用戶，否則就認為是身份驗證失敗。7.4身份驗證2.基于生物學(xué)特征的身份驗證7.4身份驗證7.4.2訪問控制和口令1.訪問控制按用戶身份及其所歸屬的某預(yù)設(shè)的定義組限制用戶對某些信息項的訪問，或限制對某些控制功能的使用。訪問控制通常用于系統(tǒng)管理員控制用戶對服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。7.4身份驗證7.4.2訪問控制和口令7.4身份驗證(1)訪問控制的功能主要有以下：①防止非法的主體進入受保護的網(wǎng)絡(luò)資源。②允許合法用戶訪問受保護的網(wǎng)絡(luò)資源。③防止合法的用戶對受保護的網(wǎng)絡(luò)資源進行非授權(quán)的訪問。

7.4身份驗證(1)訪問控制的功能主要有以下：7.4身份驗證(2)訪問控制實現(xiàn)的策略主要有以下幾種：①入網(wǎng)訪問控制②網(wǎng)絡(luò)權(quán)限限制③目錄級安全控制④屬性安全控制⑤網(wǎng)絡(luò)服務(wù)器安全控制⑥網(wǎng)絡(luò)監(jiān)測和鎖定控制⑦網(wǎng)絡(luò)端口和節(jié)點的安全控制⑧防火墻控制7.4身份驗證(2)訪問控制實現(xiàn)的策略主要有以下幾種：7.4身份驗證2.訪問控制的類型訪問控制可分為自主訪問控制和強制訪問控制兩大類。自主訪問控制，是指由用戶有權(quán)對自身所創(chuàng)建的訪問對象(文件、數(shù)據(jù)表等)進行訪問，并可將對這些對象的訪問權(quán)授予其他用戶和從授予權(quán)限的用戶收回其訪問權(quán)限強制訪問控制，是指由系統(tǒng)對用戶所創(chuàng)建的對象進行統(tǒng)一的強制性控制，按照規(guī)定的規(guī)則決定哪些用戶可以對哪些對象進行什么樣操作系統(tǒng)類型的訪問

7.4身份驗證2.訪問控制的類型7.4身份驗證3.口令通過用戶ID和口令進行認證是操作系統(tǒng)或應(yīng)用程序通常采用的。如果非法用戶獲得合法用戶身份的口令，他就可以自由訪問未授權(quán)的系統(tǒng)資源，所以需要防止口令泄露。易被猜中的口令或缺省口令也是一個很嚴重的問題，但一個更嚴重的問題是有的帳號根本沒有口令。實際上，所有使用弱口令，缺省口令和沒有口令的帳號都應(yīng)從系統(tǒng)中清除。7.4身份驗證3.口令7.4身份驗證對口令的攻擊包括以下幾種：（1）網(wǎng)絡(luò)數(shù)據(jù)流竊聽(Sniffer)：攻擊者通過竊聽網(wǎng)絡(luò)數(shù)據(jù)，如果口令使用明文傳輸，則可被非法截獲。大量的通訊協(xié)議比如Telnet、Ftp、基本HTTP都使用明文口令，而入侵者只需使用協(xié)議分析器就能查看到這些信息，從而進一步分析出口令。

7.4身份驗證對口令的攻擊包括以下幾種：7.4身份驗證（2）認證信息截取/重放(Record/Replay)：有的系統(tǒng)會將認證信息進行簡單加密后進行傳輸，如果攻擊者無法用第一種方式推算出密碼，可以使用截取/重放方式，需要的是重新編寫客戶端軟件以使用加密口令實現(xiàn)系統(tǒng)登錄。

截取/重放

7.4身份驗證（2）認證信息截取/重放(Record/Re7.4身份驗證（3）字典攻擊：根據(jù)調(diào)查結(jié)果可知，大部份的人為了方便記憶選用的密碼都與自己周遭的事物有關(guān)，例如：身份證字號、生日、車牌號碼、其他有意義的單詞或數(shù)字，某些攻擊者會使用字典中的單詞來嘗試用戶的密碼。所以大多數(shù)系統(tǒng)都建議用戶在口令中加入特殊字符，以增加口令的安全性。7.4身份驗證（3）字典攻擊：7.4身份驗證（4）窮舉攻擊(BruteForce)：也稱蠻力破解。這是一種特殊的字典攻擊，它使用字符串的全集作為字典。如果用戶的密碼較短，很容易被窮舉出來，因而很多系統(tǒng)都建議用戶使用長口令。（5）窺探：攻擊者利用與被攻擊系統(tǒng)接近的機會，安裝監(jiān)視器或親自窺探合法用戶輸入口令的過程，以得到口令。7.4身份驗證（4）窮舉攻擊(BruteForce)：7.4身份驗證（6）社交工程：社會工程就是指采用非隱蔽方法盜用口令等，比如冒充是處長或局長騙取管理員信任得到口令等等。冒充合法用戶發(fā)送郵件或打電話給管理人員，以騙取用戶口令等。（7）垃圾搜索：攻擊者通過搜索被攻擊者的廢棄物，得到與攻擊系統(tǒng)有關(guān)的信息，如果用戶將口令寫在紙上又隨便丟棄，則很容易成為垃圾搜索的攻擊對象。7.4身份驗證（6）社交工程：7.4身份驗證

為防止攻擊猜中口令。安全口令應(yīng)具有以下特點：（1）位數(shù)>6位。（2）大小寫字母混合。如果用一個大寫字母，既不要放在開頭，也不要放在結(jié)尾。（3）可以把數(shù)字無序的加在字母中。（4）系統(tǒng)用戶一定用8位口令，而且包括～!@?！纾＆＊<>?:"{}等特殊符號。

7.4身份驗證為防止攻擊猜中口令。安全口令應(yīng)7.4身份驗證

不安全的口令則有如下幾種情況：（1）使用用戶名（帳號）作為口令。（2）用用戶名（帳號）的變換形式作為口令。（3）使用自己或者親友的生日作為口令。

（4）使用常用的英文單詞作為口令。

7.4身份驗證不安全的口令則有如下幾種情況：7.5IPsec安全協(xié)議7.5.1IPsec安全協(xié)議簡介IPsec（IPSecurity）是IETF制定的三層隧道加密協(xié)議，它為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證。特定的通信方之間在IP層通過加密與數(shù)據(jù)源認證等方式，提供了安全服務(wù).

7.5IPsec安全協(xié)議7.5.1IPsec安全協(xié)議簡介7.5IPsec安全協(xié)議1.IPsec協(xié)議特點■數(shù)據(jù)機密性（Confidentiality）：IPsec發(fā)送方在通過網(wǎng)絡(luò)傳輸包前對包進行加密?！鰯?shù)據(jù)完整性（DataIntegrity）：IPsec接收方對發(fā)送方發(fā)送來的包進行認證，以確保數(shù)據(jù)在傳輸過程中沒有被篡改。7.5IPsec安全協(xié)議1.IPsec協(xié)議特點7.5IPsec安全協(xié)議■數(shù)據(jù)來源認證（DataAuthentication）：IPsec在接收端可以認證發(fā)送IPsec報文的發(fā)送端是否合法?！龇乐胤牛ˋnti-Replay）：IPsec接收方可檢測并拒絕接收過時或重復(fù)的報文。7.5IPsec安全協(xié)議7.5IPsec安全協(xié)議2.IPsec協(xié)議優(yōu)點■支持IKE（InternetKeyExchange，因特網(wǎng)密鑰交換），可實現(xiàn)密鑰的自動協(xié)商功能，減少了密鑰協(xié)商的開銷。可以通過IKE建立和維護SA的服務(wù)，簡化了IPsec的使用和管理?！鏊惺褂肐P協(xié)議進行數(shù)據(jù)傳輸?shù)膽?yīng)用系統(tǒng)和服務(wù)都可以使用IPsec，而不必做任何修改?！鰧?shù)據(jù)的加密是以數(shù)據(jù)包為單位的，而不是以整個數(shù)據(jù)流為單位，進一步提高IP數(shù)據(jù)包的安全性，可以有效防范網(wǎng)絡(luò)攻擊。7.5IPsec安全協(xié)議2.IPsec協(xié)議優(yōu)點7.5IPsec安全協(xié)議7.5.2.IPsec的協(xié)議組成和實現(xiàn)1.IPsec協(xié)議組成IPsec協(xié)議是應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括:網(wǎng)絡(luò)認證協(xié)議AH（AuthenticationHeader，認證頭）、ESP（EncapsulatingSecurityPayload，封裝安全載荷）、IKE（InternetKeyExchange，因特網(wǎng)密鑰交換）和用于網(wǎng)絡(luò)認證及加密的一些算法等。7.5IPsec安全協(xié)議7.5.2.IPsec的協(xié)議組成7.5IPsec安全協(xié)議2.IPsec協(xié)議安全機制IPsec提供了兩種安全機制：認證和加密。認證機制使IP通信的數(shù)據(jù)接收方能夠確認數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。加密機制通過對數(shù)據(jù)進行加密運算來保證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被竊聽。IPsec協(xié)議中的AH協(xié)議定義了認證的應(yīng)用方法，提供數(shù)據(jù)源認證和完整性保證；ESP協(xié)議定義了加密和可選認證的應(yīng)用方法，提供數(shù)據(jù)可靠性保證。7.5IPsec安全協(xié)議2.IPsec協(xié)議安全機制7.5IPsec安全協(xié)議7.5.3.Ipsec封裝模式與算法1.安全聯(lián)盟（SecurityAssociation，SA）IPsec在兩個端點之間提供安全通信，端點被稱為IPsec對等體。SA是IPsec的基礎(chǔ)，也是IPsec的本質(zhì)。SA是通信對等體間對某些要素的約定，例如，使用哪種協(xié)議（AH、ESP還是兩者結(jié)合使用）、協(xié)議的封裝模式（傳輸模式和隧道模式）、加密算法（DES、3DES和AES）、特定流中保護數(shù)據(jù)的共享密鑰以及密鑰的生存周期等。建立SA的方式有手工配置和IKE自動協(xié)商兩種。7.5IPsec安全協(xié)議7.5.3.Ipsec封裝模式與7.5IPsec安全協(xié)議2.封裝模式■隧道（tunnel）模式：用戶的整個IP數(shù)據(jù)包被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中。通常，隧道模式應(yīng)用在兩個安全網(wǎng)關(guān)之間的通訊?！鰝鬏敚╰ransport）模式：只是傳輸層數(shù)據(jù)被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭后面。通常，傳輸模式應(yīng)用在兩臺主機之間的通訊，或一臺主機和一個安全網(wǎng)關(guān)之間的通訊。7.5IPsec安全協(xié)議2.封裝模式7.5IPsec安全協(xié)議安全協(xié)議數(shù)據(jù)封裝格式

7.5IPsec安全協(xié)議安全協(xié)議數(shù)據(jù)封裝格式7.5IPsec安全協(xié)議3.認證算法與加密算法(1)認證算法認證算法的實現(xiàn)主要是通過雜湊函數(shù)。雜湊函數(shù)是一種能夠接受任意長的消息輸入，并產(chǎn)生固定長度輸出的算法，該輸出稱為消息摘要。IPsec對等體計算摘要，如果兩個摘要是相同的，則表示報文是完整未經(jīng)篡改的。

7.5IPsec安全協(xié)議3.認證算法與加密算法7.5IPsec安全協(xié)議IPsec使用兩種認證算法：■MD5：MD5通過輸入任意長度的消息，產(chǎn)生128bit的消息摘要?！鯯HA-1：SHA-1通過輸入長度小于2的64次方bit的消息，產(chǎn)生160bit的消息摘要。MD5算法的計算速度比SHA-1算法快，而SHA-1算法的安全強度比MD5算法高。7.5IPsec安全協(xié)議IPsec使用兩種認證算法：7.5IPsec安全協(xié)議(2)加密算法加密算法實現(xiàn)主要通過對稱密鑰系統(tǒng)，它使用相同的密鑰對數(shù)據(jù)進行加密和解密。目前設(shè)備的IPsec實現(xiàn)三種加密算法：■DES（DataEncryptionStandard）：使用56bit的密鑰對一個64bit的明文塊進行加密?！?DES（TripleDES）：使用三個56bit的DES密鑰（共168bit密鑰）對明文進行加密。7.5IPsec安全協(xié)議(2)加密算法7.5IPsec安全協(xié)議■AES（AdvancedEncryptionStandard）：使用128bit、192bit或256bit密鑰長度的AES算法對明文進行加密。這三個加密算法的安全性由高到低依次是：AES、3DES、DES，安全性高的加密算法實現(xiàn)機制復(fù)雜，運算速度慢。對于普通的安全要求，DES算法就可以滿足需要。7.5IPsec安全協(xié)議■AES（AdvancedEnc7.5IPsec安全協(xié)議4.協(xié)商方式有如下兩種協(xié)商方式建立SA：■手工方式（manual）配置比較復(fù)雜，創(chuàng)建SA所需的全部信息都必須手工配置，而且不支持一些高級特性（例如定時更新密鑰），但優(yōu)點是可以不依賴IKE而單獨實現(xiàn)IPsec功能。7.5IPsec安全協(xié)議4.協(xié)商方式7.5IPsec安全協(xié)議■IKE自動協(xié)商（isakmp）方式相對比較簡單，只需要配置好IKE協(xié)商安全策略的信息，由IKE自動協(xié)商來創(chuàng)建和維護SA。當(dāng)與之進行通信的對等體設(shè)備數(shù)量較少時，或是在小型靜態(tài)環(huán)境中，手工配置SA是可行的。對于中、大型的動態(tài)網(wǎng)絡(luò)環(huán)境中，推薦使用IKE協(xié)商建立SA。7.5IPsec安全協(xié)議■IKE自動協(xié)商（isakmp）方7.5IPsec安全協(xié)議5.安全隧道安全隧道是建立在本端和對端之間可以互通的一個通道，它由一對或多對SA組成。6.加密卡IPsec在設(shè)備上可以通過軟件實現(xiàn)，還可以通過加密卡實現(xiàn)。通過軟件實現(xiàn)，由于復(fù)雜的加密/解密、認證算法會占用大量的CPU資源，從而影響設(shè)備整體處理效率；而通過加密卡，復(fù)雜的算法處理在硬件上進行，從而提高了設(shè)備的處理效率。7.5IPsec安全協(xié)議5.安全隧道7.5IPsec安全協(xié)議7.5.4IPsec虛擬隧道接口1.概述IPsec虛擬隧道接口是一種支持路由的三層邏輯接口，它可以支持動態(tài)路由協(xié)議.所有路由到IPsec虛擬隧道接口的報文都將進行IPsec保護，同時還可以支持對組播流量的保護。7.5IPsec安全協(xié)議7.5.4IPsec虛擬隧道接口7.5IPsec安全協(xié)議使用IPsec虛擬隧道接口建立IPsec隧道具有以下優(yōu)點：■簡化配置■減少開銷■業(yè)務(wù)應(yīng)用更靈活7.5IPsec安全協(xié)議使用IPsec虛7.5IPsec安全協(xié)議2.工作原理IPsec虛擬隧道接口對報文的加封裝/解封裝發(fā)生在隧道接口上。用戶流量到達實施IPsec配置的設(shè)備后，需要IPsec處理的報文會被轉(zhuǎn)發(fā)到IPsec虛擬隧道接口上進行加封裝/解封裝。7.5IPsec安全協(xié)議2.工作原理7.5IPsec安全協(xié)議IPsec虛擬隧道接口對報文進行加封裝的過程如下：

IPsec虛接口隧道加封裝原理圖

7.5IPsec安全協(xié)議IPsec虛接口隧道加封裝原理圖7.5IPsec安全協(xié)議(1)Router將從入接口接收到的IP明文送到轉(zhuǎn)發(fā)模塊進行處理；(2)轉(zhuǎn)發(fā)模塊依據(jù)路由查詢結(jié)果，將IP明文發(fā)送到IPsec虛擬隧道接口進行加封裝：原始IP報文被封裝在一個新的IP報文中，新IP頭中的源地址和目的地址分別為隧道接口的源地址和目的地址。(3)IPsec虛擬隧道接口完成對IP明文的加封裝處理后，將IP密文送到轉(zhuǎn)發(fā)模塊進行處理；(4)轉(zhuǎn)發(fā)模塊進行第二次路由查詢后，將IP密文通過隧道接口的實際物理接口轉(zhuǎn)發(fā)出去。7.5IPsec安全協(xié)議(1)Router將從入接口接收7.5IPsec安全協(xié)議3.IPsec虛擬隧道接口對報文進行解封裝的過程如圖所示，IPsec虛擬隧道接口對報文進行解封裝的過程如下：IPsec虛接口隧道解封裝原理圖

7.5IPsec安全協(xié)議3.IPsec虛擬隧道接口對報7.5IPsec安全協(xié)議IPsec虛擬隧道接口對報文進行解封裝的過程如下：(1)Router將從入接口接收到的IP密文送到轉(zhuǎn)發(fā)模塊進行處理；(2)轉(zhuǎn)發(fā)模塊識別到此IP密文的目的地為本設(shè)備的隧道接口地址且IP協(xié)議號為AH或ESP時，會將IP密文送到相應(yīng)的IPsec虛擬隧道接口進行解封裝：將IP密文的外層IP頭去掉，對內(nèi)層IP報文進行解密處理。7.5IPsec安全協(xié)議IPsec虛擬隧道接7.5IPsec安全協(xié)議(3)IPsec虛擬隧道接口完成對IP密文的解封裝處理之后，將IP明文重新送回轉(zhuǎn)發(fā)模塊處理；(4)轉(zhuǎn)發(fā)模塊進行第二次路由查詢后，將IP明文從隧道的實際物理接口轉(zhuǎn)發(fā)出去。IPsec虛擬隧道接口將報文的IPsec處理過程區(qū)分為兩個階段：“加密前”和“加密后”。需要應(yīng)用到加密前的明文上的業(yè)務(wù)（例如NAT、QoS），可以應(yīng)用到隧道接口上；需要應(yīng)用到加密后的密文上的業(yè)務(wù)，則可以應(yīng)用到隧道接口對應(yīng)的物理接口上。7.5IPsec安全協(xié)議(3)IPsec虛擬隧道接口完成7.5IPsec安全協(xié)議3.使用IPsec保護IPv6路由協(xié)議使用IPsec保護IPv6路由協(xié)議是指，使用AH/ESP協(xié)議對IPv6路由協(xié)議報文進行加/解封裝處理，并為其提供認證和加密的安全服務(wù)，目前支持OSPFv3、IPv6BGP、RIPng路由協(xié)議。IPsec對IPv6路由協(xié)議報文進行保護的處理方式和目前基于接口的IPsec處理方式不同，是基于業(yè)務(wù)的IPsec，即IPsec保護某一業(yè)務(wù)的所有報文。

7.5IPsec安全協(xié)議3.使用IPsec保護IPv6路由7.5IPsec安全協(xié)議7.5.5IKE因特網(wǎng)密鑰交換協(xié)議1.IKE因特網(wǎng)密鑰交換協(xié)議簡介在實施IPsec的過程中，可以使用IKE（InternetKeyExchange，因特網(wǎng)密鑰交換）協(xié)議來建立SA，該協(xié)議建立在由ISAKMP（InternetSecurityAssociationandKeyManagementProtocol，互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議）定義的框架上。7.5IPsec安全協(xié)議7.5.5IKE因特網(wǎng)密鑰交換協(xié)7.5IPsec安全協(xié)議IKE為IPsec提供了自動協(xié)商交換密鑰、建立SA的服務(wù)，能夠簡化IPsec的使用和管理，大大簡化IPsec的配置和維護工作。IKE不是在網(wǎng)絡(luò)上直接傳輸密鑰，而是通過一系列數(shù)據(jù)的交換，最終計算出雙方共享的密鑰，并且即使第三者截獲了雙方用于計算密鑰的所有交換數(shù)據(jù)，也不足以計算出真正的密鑰。7.5IPsec安全協(xié)議IKE為IPsec提供了自動協(xié)商交7.5IPsec安全協(xié)議2.IKE的安全機制IKE具有一套自保護機制，可以在不安全的網(wǎng)絡(luò)上安全地認證身份、分發(fā)密鑰、建立IPsecSA。（1）數(shù)據(jù)認證■身份認證：身份認證確認通信雙方的身份。支持兩種認證方法：預(yù)共享密鑰（pre-shared-key）認證和基于PKI的數(shù)字簽名（rsa-signature）認證?！錾矸荼Ｗo：身份數(shù)據(jù)在密鑰產(chǎn)生之后加密傳送，實現(xiàn)了對身份數(shù)據(jù)的保護。7.5IPsec安全協(xié)議2.IKE的安全機制7.5IPsec安全協(xié)議（2）DH交換及密鑰分發(fā)DH（Diffie-Hellman，交換及密鑰分發(fā)）算法是一種公共密鑰算法。通信雙方在不傳輸密鑰的情況下通過交換一些數(shù)據(jù)，計算出共享的密鑰。即使第三者（如黑客）截獲了雙方用于計算密鑰的所有交換數(shù)據(jù)，由于其復(fù)雜度很高，不足以計算出真正的密鑰。所以，DH交換技術(shù)可以保證雙方能夠安全地獲得公有信息。7.5IPsec安全協(xié)議（2）DH交換及密鑰分發(fā)7.5IPsec安全協(xié)議（3）PFS完善的前向安全性PFS（PerfectForwardSecrecy，完善的前向安全性）特性是一種安全特性，指一個密鑰被破解，并不影響其他密鑰的安全性，因為這些密鑰間沒有派生關(guān)系。對于IPsec，是通過在IKE階段2協(xié)商中增加一次密鑰交換來實現(xiàn)的。PFS特性是由DH算法保障的。7.5IPsec安全協(xié)議（3）PFS完善的前向安全性7.5IPsec安全協(xié)議3.IKE的交換過程IKE使用了兩個階段為IPsec進行密鑰協(xié)商并建立SA：(1)第一階段，通信各方彼此間建立了一個已通過身份認證和安全保護的通道，即建立一個ISAKMPSA。第一階段有主模式（MainMode）和野蠻模式（AggressiveMode）兩種IKE交換方法。(2)第二階段，用在第一階段建立的安全隧道為IPsec協(xié)商安全服務(wù)，即為IPsec協(xié)商具體的SA，建立用于最終的IP數(shù)據(jù)安全傳輸?shù)腎PsecSA。7.5IPsec安全協(xié)議3.IKE的交換過程7.5IPsec安全協(xié)議主模式交換過程7.5IPsec安全協(xié)議主模式交換過程7.5IPsec安全協(xié)議4.IKE在IPsec中的作用■因為有了IKE，IPsec很多參數(shù)（如：密鑰）都可以自動建立，降低了手工配置的復(fù)雜度。■IKE協(xié)議中的DH交換過程，每次的計算和產(chǎn)生的結(jié)果都是不相關(guān)的。每次SA的建立都運行DH交換過程，保證了每個SA所使用的密鑰互不相關(guān)。7.5IPsec安全協(xié)議4.IKE在IPsec中的作用7.5IPsec安全協(xié)議■

IPsec使用AH或ESP報文頭中的序列號實現(xiàn)防重放。此序列號是一個32比特的值，此數(shù)溢出后，為實現(xiàn)防重放，SA需要重新建立，這個過程需要IKE協(xié)議的配合?！鰧Π踩ㄐ诺母鞣缴矸莸恼J證和管理，將影響到IPsec的部署。IPsec的大規(guī)模使用，必須有CA（CertificateAuthority，認證中心）或其他集中管理身份數(shù)據(jù)的機構(gòu)的參與?！鯥KE提供端與端之間動態(tài)認證。7.5IPsec安全協(xié)議■IPsec使用AH或ESP報文7.5IPsec安全協(xié)議5.IPsec與IKE的關(guān)系■IKE是UDP之上的一個應(yīng)用層協(xié)議，是IPsec的信令協(xié)議；■IKE為IPsec協(xié)商建立SA，并把建立的參數(shù)及生成的密鑰交給IPsec；■IPsec使用IKE建立的SA對IP報文加密或認證處理。7.5IPsec安全協(xié)議5.IPsec與IKE的關(guān)系7.5IPsec安全協(xié)議IPsec與IKE的關(guān)系圖

7.5IPsec安全協(xié)議IPsec與IKE的關(guān)系圖7.6虛擬專網(wǎng)（VPN）虛擬專網(wǎng)（VirtualPrivateNetworkVPN）指依靠ISP和其他NSP（網(wǎng)絡(luò)服務(wù)提供者）在公用網(wǎng)絡(luò)（如Internet、FrameRelay、ATM）建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路。7.6虛擬專網(wǎng)（VPN）虛擬專網(wǎng)（VirtualP7.6虛擬專網(wǎng)（VPN）VPN適用于大中型企業(yè)的總公司和各地分公司或分支機構(gòu)的網(wǎng)絡(luò)互聯(lián)和企業(yè)同商業(yè)合作伙伴之間的網(wǎng)絡(luò)互聯(lián)。目前VPN能實現(xiàn)的功能有：企業(yè)員工及授權(quán)商業(yè)伙伴共享企業(yè)的商業(yè)信息；在網(wǎng)上進行信息及文件安全快速的交換；通過網(wǎng)絡(luò)安全地發(fā)送電子郵件；通過網(wǎng)絡(luò)實現(xiàn)無紙辦公和無紙貿(mào)易。7.6虛擬專網(wǎng)（VPN）VPN適用于大中型企業(yè)的總公7.6虛擬專網(wǎng)（VPN）VPN的訪問方式多種多樣，包括撥號模擬方式、1SDN、DSL、專線、IP路由器或線纜調(diào)制解調(diào)器。現(xiàn)在一般所說的VPN更多指的是構(gòu)建在公用IP網(wǎng)絡(luò)上的專用網(wǎng)，我們也可稱之為IPVPN（以IP為主要通信協(xié)議）。7.6虛擬專網(wǎng)（VPN）VPN的訪問方式多種多樣，包7.6虛擬專網(wǎng)（VPN）7.6.1虛擬專網(wǎng)（VPN）技術(shù)基礎(chǔ)1.VPN功能簡介虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

7.6虛擬專網(wǎng)（VPN）7.6.1虛擬專網(wǎng)（VPN）7.6虛擬專網(wǎng)（VPN）虛擬專用網(wǎng)（VPN）

7.6虛擬專網(wǎng)（VPN）虛擬專用網(wǎng)（VPN）7.6虛擬專網(wǎng)（VPN）2.網(wǎng)絡(luò)協(xié)議常用的虛擬私人網(wǎng)絡(luò)協(xié)議是：IPSec(英文IPSecurity的縮寫)是保護IP協(xié)議安全通信的標(biāo)準，它主要對IP協(xié)議分組進行加密和認證。3.VPN安全技術(shù)由于傳輸?shù)氖撬接行畔?，VPN用戶對數(shù)據(jù)的安全性都比較關(guān)心。目前VPN主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認證技術(shù)。

7.6虛擬專網(wǎng)（VPN）2.網(wǎng)絡(luò)協(xié)議7.6虛擬專網(wǎng)（VPN）隧道技術(shù)（Tunneling）：隧道技術(shù)是VPN的基本技術(shù)，類似于點對點連接技術(shù)。它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。

7.6虛擬專網(wǎng)（VPN）隧道技術(shù)（Tunneling7.6虛擬專網(wǎng)（VPN）第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準，由IETF融合PPTP與L2F而形成。

7.6虛擬專網(wǎng)（VPN）第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)7.6虛擬專網(wǎng)（VPN）第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec（IPSecurity）是由一組RFC文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。

7.6虛擬專網(wǎng)（VPN）第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)7.6虛擬專網(wǎng)（VPN）(2)加解密技術(shù)（Encryption&Decryption）：加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。(3)密鑰管理技術(shù)（KeyManagement）：密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。(4)使用者與設(shè)備身份認證技術(shù)（Authentication）：使用者與設(shè)備身份認證技術(shù)最常用的是使用者名稱與密碼或卡片式認證等方式。7.6虛擬專網(wǎng)（VPN）(2)加解密技術(shù)（Encr7.6虛擬專網(wǎng)（VPN）7.6.2IPsecVPN1.為什么要導(dǎo)入IPSEC協(xié)議一個是原來的TCP/IP體系中間，沒有包括基于安全的設(shè)計，任何人，只要能夠搭入線路，即可分析所有的通訊數(shù)據(jù)。IPSEC引進了完整的安全機制，包括加密、認證和數(shù)據(jù)防篡改功能。另外一個原因，是因為客戶希望能夠?qū)崿F(xiàn)異地網(wǎng)絡(luò)的相互連通。IPSEC協(xié)議通過包封裝技術(shù)，能夠利用Internet可路由的地址，封裝內(nèi)部網(wǎng)絡(luò)的IP地址，實現(xiàn)異地網(wǎng)絡(luò)的互通。7.6虛擬專網(wǎng)（VPN）7.6.2IPsecVP7.6虛擬專網(wǎng)（VPN）2.包封裝協(xié)議把信封的收發(fā)人改成Internet上的IP地址，把信件的內(nèi)容改成IP的數(shù)據(jù)，這個模型就是IPsec的包封裝模型。本來不能通訊的兩個異地的局域網(wǎng)，通過出口處的IP地址封裝，就可以實現(xiàn)局域網(wǎng)對局域網(wǎng)的通訊。

7.6虛擬專網(wǎng)（VPN）2.包封裝協(xié)議7.6虛擬專網(wǎng)（VPN）7.6.3MPLSVPN和IPSecVPN技術(shù)比較1.VPN分類當(dāng)前，由于側(cè)重點不同，VPN可以分為兩類：一類側(cè)重于網(wǎng)絡(luò)層的信息保護，提供各種加密安全機制以便靈活地支持認證、完整性、訪問控制和密碼服務(wù)，保證信息傳送過程中的保密性和不可篡改性。這類協(xié)議包括IPSec、PPTP、L2TP等等。其中，IPSec己經(jīng)成為國際標(biāo)準的協(xié)議，并得到幾乎所有主流安全廠商的支持，如Cisco、Checkpoint、Netscreen等等。

7.6虛擬專網(wǎng)（VPN）7.6.3MPLSVP7.6虛擬專網(wǎng)（VPN）另一類VPN技術(shù)以MPLS技術(shù)為代表，主要考慮的問題是如何保證網(wǎng)絡(luò)的服務(wù)質(zhì)量（QoS）。通過定義資源預(yù)留協(xié)議、QoS協(xié)議和主機行為，來保證網(wǎng)絡(luò)服務(wù)的水平，如時延、帶寬等等。7.6虛擬專網(wǎng)（VPN）另一類VPN技術(shù)以MPLS技7.6虛擬專網(wǎng)（VPN）2MPLSVPN和IPSecVPN比較兩者VPN技術(shù)上可以互相補充，相互融合。一般采用IPSec技術(shù)建設(shè)基于因特網(wǎng)的安全內(nèi)聯(lián)網(wǎng)或外聯(lián)網(wǎng)，當(dāng)用戶對網(wǎng)絡(luò)帶寬、QoS有更高要求時，可以進一步布署MPLSVPN，以提升應(yīng)用的穩(wěn)定性。7.6虛擬專網(wǎng)（VPN）2MPLSVPN和IPS7.6虛擬專網(wǎng)（VPN）IPSecVPN和MPLSVPN之間的一個關(guān)鍵差異是MPLS在性能、可用性以及服務(wù)等級上提供了SLA（ServiceLevelAgreement）。而它對于建立在IPSec設(shè)備上的VPN來說則是不可用的，因為IPSec設(shè)備利用Internet接入服務(wù)直接掛接在Internet上。7.6虛擬專網(wǎng)（VPN）7.6虛擬專網(wǎng)（VPN）同時，IPSecVPN與MPLSVPN兩者所面向的應(yīng)用領(lǐng)域是不同的，安全性是VPN網(wǎng)絡(luò)設(shè)計時考慮的首要因素時，應(yīng)當(dāng)采用IPSecVPN。因為MPLSVPN不提供加密、認證等安全服務(wù)。IPSecVPN可以使分布在不同地方的專用網(wǎng)絡(luò)，在不可信任的公共網(wǎng)絡(luò)上安全的通信，采用復(fù)雜的算法來加密傳輸?shù)男畔ⅲ沟妹舾械臄?shù)據(jù)不會被竊聽。7.6虛擬專網(wǎng)（VPN）同時，IPSecVPN與M7.6虛擬專網(wǎng)（VPN）MPLSVPN主要是用于建設(shè)全網(wǎng)狀結(jié)構(gòu)的數(shù)據(jù)專線，保證局域網(wǎng)互聯(lián)的帶寬與服務(wù)質(zhì)量?？偛颗c下面分支機構(gòu)互聯(lián)時，如果使用公網(wǎng)，則帶寬、時延等很大程度上受公網(wǎng)的網(wǎng)絡(luò)狀況制約。而布署MPLSVPN后，可以保證網(wǎng)絡(luò)服務(wù)質(zhì)量，從而保證一些對時延敏感的應(yīng)用穩(wěn)定運行，如分布異地的實時交易系統(tǒng)、視頻會議、IP電話等等。7.6虛擬專網(wǎng)（VPN）MPLSVPN主要是用于建7.6虛擬專網(wǎng)（VPN）在站點與站點之間實施VPN時，網(wǎng)絡(luò)管理者應(yīng)該綜合比較MPLS和IPSecVPN兩種方案的參數(shù)比較這兩種解決方案。（1）數(shù)據(jù)機密性（2）數(shù)據(jù)完整性（3）數(shù)據(jù)有效性

（4）Internet接入

（5）遠程接入

（6）可擴展性

7.6虛擬專網(wǎng)（VPN）在站點與站點之間實施VPN時7.6虛擬專網(wǎng)（VPN）考慮要點（功能說明）MPLS-VPNIPsecVPN客戶組網(wǎng)復(fù)雜程度（實際工程設(shè)計和實施復(fù)雜程度）低低安全性（不同級別的安全性，包括隧道、加密、認證和訪問控制）高中擴展性（具備擴展性，易于升級）高高QoS（對關(guān)鍵任務(wù)或時延敏感的流量分配不同的優(yōu)先級別）高無法保證用戶成本（投資VPN的直接和間接成本）中低MPLS-VPN和IPsecVPN比較表

7.6虛擬專網(wǎng)（VPN）考慮要點（功能說明）MPLS7.6虛擬專網(wǎng)（VPN）7.6.4虛擬專網(wǎng)需求及解決方案虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的IP網(wǎng)絡(luò)上，一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡(luò)連接上的費用。同時，這將簡化網(wǎng)絡(luò)的設(shè)計和管理，加速連接新的用戶和網(wǎng)站。7.6虛擬專網(wǎng)（VPN）7.6.4虛擬專網(wǎng)需求及解決7.6虛擬專網(wǎng)（VPN）另外，虛擬專用網(wǎng)還可以保護現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

7.6虛擬專網(wǎng)（VPN）另外，虛擬專用網(wǎng)還可以保護現(xiàn)7.6虛擬專網(wǎng)（VPN）（1）遠程訪問虛擬網(wǎng)（AccessVPN）如果企業(yè)的內(nèi)部人員移動或有遠程辦公需要，或者商家要提供B2C的安全訪問服務(wù)，就可以考慮使用AccessVPN。它通過一個擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠程訪問。AccessVPN能使用戶隨時、隨地以其所需的方式訪問企業(yè)資源。7.6虛擬專網(wǎng)（VPN）（1）遠程訪問虛擬網(wǎng)（Acc7.6虛擬專網(wǎng)（VPN）(2)企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）利用VPN特性可以組建世界范圍內(nèi)的IntranetVPN。利用Internet的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個IntranetVPN上安全傳輸。IntranetVPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠程辦事處和分支機構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。

7.6虛擬專網(wǎng)（VPN）(2)企業(yè)內(nèi)部虛擬網(wǎng)（In7.6虛擬專網(wǎng)（VPN）(3)企業(yè)擴展虛擬網(wǎng)（ExtranetVPN）如果是提供B2B之間的安全訪問服務(wù)，則可以考慮ExtranetVPN。利用VPN技術(shù)可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。ExtranetVPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。

7.6虛擬專網(wǎng)（VPN）(3)企業(yè)擴展虛擬網(wǎng)（Ex7.6虛擬專網(wǎng)（VPN）2.實際VPN案例

7.6虛擬專網(wǎng)（VPN）2.實際VPN案例黑客最早源自英文hacker，早期在美國的計算機界是帶有褒義的。黑客一詞，原指熱心于計算機技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計人員。但到了今天，黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的家伙。對這些人的正確英文叫法是Cracker，有人翻譯成“駭客”。7.7黑客7.7黑客

黑客通常使用如下技術(shù)手段尋找計算機中的安全漏洞：

(1)獲取口令（2）放置特洛伊木馬程序（

3）WWW的欺騙技術(shù)（4）電子郵件攻擊

7.7黑客7.7.1.網(wǎng)絡(luò)黑客攻擊方法7.7黑客7.7.1.網(wǎng)絡(luò)黑客攻擊方法

（5）通過一個節(jié)點來攻擊其他節(jié)點

（

6）網(wǎng)絡(luò)監(jiān)聽

（7）尋找系統(tǒng)漏洞

（8）利用帳號進行攻擊

(9)偷取特權(quán)

7.7黑客7.7黑客

7.7.2.黑客常用的信息收集工具。黑客使用下面幾種工具來收集所需信息：（1）SNMP協(xié)議（2）TraceRoute程序（3）Whois協(xié)議（4）DNS服務(wù)器（5）Finger協(xié)議（6）Ping實用程序7.7黑客7.7.2.黑客常用的信息收集工具。7.7黑客7.7.3.黑客防范措施

（l）為經(jīng)常做telnet、ftp等傳送重要機密信息應(yīng)用的主機單獨設(shè)立一個網(wǎng)段。（2）專用主機只開專用功能。（3）

對用戶開放的各個主機的日志文件全部定向到一個syslogd

server上,

集中管理。（4）網(wǎng)管不得訪問Internet。（5

）提供電子郵件、WWW、DNS的主機不安裝任何開發(fā)工具，避免攻擊者編譯攻擊程序。7.7黑客7.7黑客

（6）

網(wǎng)絡(luò)配置原則是“用戶權(quán)限最小化"

(

7

)下載安裝最新的操作系統(tǒng)及其它應(yīng)用軟件的安全和升級補丁。(8)定期檢查系統(tǒng)日志文件，在備份設(shè)備上及時備份。

(9

)定期檢查關(guān)鍵配置文件（最長不超過一個月）。(

l0)

制定詳盡的入侵應(yīng)急措施以及匯報制度。7.7黑客7.7黑客7.8互聯(lián)網(wǎng)安全協(xié)議和機制互聯(lián)網(wǎng)引入了大量與以往不同的安全性弱點。你正在與之通信的組織或個人可能是不認識的或者可能是偽裝成其他組織（個人）的組織或個人。有必要采取適當(dāng)?shù)念A(yù)防措施來防止通過各種方式造成的損失，這些方式包括資金轉(zhuǎn)移、錯誤認證的結(jié)果、機密信息丟失、毀約等?；ヂ?lián)網(wǎng)安全協(xié)議和機制就是主要處理這類風(fēng)險的，這些協(xié)議和相關(guān)機制與互聯(lián)網(wǎng)活動（包括，電子郵件）有特定的相關(guān)性。7.8互聯(lián)網(wǎng)安全協(xié)議和機制互聯(lián)網(wǎng)引入了大量與以往不同的安全7.8互聯(lián)網(wǎng)安全協(xié)議和機制1.請求注釋（Requestforcomment,RFC）請求注釋是由互聯(lián)網(wǎng)網(wǎng)絡(luò)工程任務(wù)組（IETF）管理的正式互聯(lián)網(wǎng)文檔，它用作傳播有關(guān)互聯(lián)網(wǎng)工程咨詢和意見信息的一種方式。RFC描述了開放標(biāo)準，使那些可能希望或需要使用那些標(biāo)準進行通信的人受益。它們是由參與不同工作組的志愿者編寫的，發(fā)布在不同位置上，特別在IETF站點上。7.8互聯(lián)網(wǎng)安全協(xié)議和機制1.請求注釋（Request7.8互聯(lián)網(wǎng)安全協(xié)議和機制2.IPSecIETF的IP安全性協(xié)議工作組目前正在定義IP的安全性附加協(xié)議，它是為IP數(shù)據(jù)報這一層提供認證、完整性和保密性服務(wù)的規(guī)范。它旨在用作對互聯(lián)網(wǎng)通信（例如，為VPN和封裝隧道等）提供安全性的基礎(chǔ)。一些供應(yīng)商和軟件組織正在開發(fā)或提供集成了IPSec的產(chǎn)品。

7.8互聯(lián)網(wǎng)安全協(xié)議和機制2.IPSec7.8互聯(lián)網(wǎng)安全協(xié)議和機制3.安全HTTP（SecureHTTP(S-HTTP)）安全HTTP（S-HTTP）是在應(yīng)用層運行的HTTP安全性擴展。它旨在當(dāng)支持不可抵賴性以及允許使用多種密碼算法和密鑰管理機制的同時，提供保密性和認證。雖然可以在會話之前獲得經(jīng)Kerberos服務(wù)器同意的初始密鑰，或者可以在一個會話中生成下一個會話要使用的密鑰