電子政務(wù)網(wǎng)絡(luò)和信息安全

網(wǎng)絡(luò)安全和管理曉莊學(xué)院網(wǎng)絡(luò)中心閔宇鋒mail:minyf@11當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀當(dāng)前網(wǎng)絡(luò)安全熱點(diǎn)話題大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)網(wǎng)絡(luò)管理提綱21當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀當(dāng)前網(wǎng)絡(luò)安全熱點(diǎn)話題大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)網(wǎng)絡(luò)管理31復(fù)雜程度internet技術(shù)的飛速增長internetemailweb瀏覽intranet站點(diǎn)電子商務(wù)電子政務(wù)電子交易時(shí)間41網(wǎng)絡(luò)發(fā)展現(xiàn)狀不斷增加的新應(yīng)用不斷加入的網(wǎng)絡(luò)互聯(lián)網(wǎng)的廣泛應(yīng)用人員安全意識(shí)不足51黑客的發(fā)展趨勢1980 19851990 1995 20012003時(shí)間（年）高各種攻擊者的綜合威脅程度低對攻擊者技術(shù)知識(shí)和技巧的要求黑客攻擊越來越容易實(shí)現(xiàn)，威脅程度越來越高信息網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性增加脆弱性程度網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，安全隱患急劇增加61cert的報(bào)告年1999200020012002攻擊事件9,85921,75652,65882,094報(bào)告的攻擊事件的發(fā)展趨勢：（年增長率100%左右）系統(tǒng)漏洞的發(fā)展趨勢：（年增長率超過100%左右）年1999200020012002系統(tǒng)漏洞4171,0902,4374,12971網(wǎng)絡(luò)存在的安全威脅

網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲81造成安全威脅的主要根源網(wǎng)絡(luò)建設(shè)之初忽略了安全問題；僅僅建立了物理安全機(jī)制；tcp/ip協(xié)議族軟件本身缺乏安全性；操作系統(tǒng)本身及其配置的安全性；安全產(chǎn)品配置的安全性；來自內(nèi)部網(wǎng)用戶的安全威脅；缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)的安全性；電子郵件病毒、web頁面中存在惡意的java/activex控件；應(yīng)用服務(wù)的訪問控制、安全設(shè)計(jì)存在漏洞。91網(wǎng)絡(luò)信息安全的發(fā)展階段三個(gè)階段：通信保密階段：以密碼學(xué)研究為主計(jì)算機(jī)系統(tǒng)安全階段：以單機(jī)操作系統(tǒng)安全研究為主網(wǎng)絡(luò)信息系統(tǒng)安全階段：開始進(jìn)行信息安全體系研究101通信保密階段40年代－70年代重點(diǎn)是通過密碼技術(shù)解決通信保密問題，保證數(shù)據(jù)的保密性與完整性主要安全威脅是搭線竊聽、密碼學(xué)分析主要保護(hù)措施是加密重要標(biāo)志1949年shannon發(fā)表的《保密通信的信息理論》1977年美國國家標(biāo)準(zhǔn)局公布的數(shù)據(jù)加密標(biāo)準(zhǔn)（des）1976年由diffie與hellman在“newdirectionsincryptography”一文中提出了公鑰密碼體制111計(jì)算機(jī)系統(tǒng)安全階段70－80年代

重點(diǎn)是確保計(jì)算機(jī)系統(tǒng)中硬件、軟件及正在處理、存儲(chǔ)、傳輸信息的機(jī)密性、完整性和可控性主要安全威脅擴(kuò)展到非法訪問、惡意代碼、脆弱口令等主要保護(hù)措施是安全操作系統(tǒng)設(shè)計(jì)技術(shù)（tcb）主要標(biāo)志是1983年美國國防部公布的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（tcsec）將操作系統(tǒng)的安全級(jí)別分為四類七個(gè)級(jí)別（d、c1、c2、b1、b2、b3、a1），后補(bǔ)充tni和tdi121

網(wǎng)絡(luò)信息系統(tǒng)安全階段90年代以來重點(diǎn)需要保護(hù)信息，確保信息在存儲(chǔ)、處理、傳輸過程中及信息系統(tǒng)不被破壞，確保合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù)，以及必要的防御攻擊的措施。強(qiáng)調(diào)信息的保密性、完整性、可控性、可用性主要安全威脅發(fā)展到網(wǎng)絡(luò)入侵、病毒破壞、信息對抗的攻擊等主要保護(hù)措施包括防火墻、防病毒軟件、漏洞掃描、入侵檢測、pki、vpn主要標(biāo)志是提出了新的安全評(píng)估準(zhǔn)則cc（iso15408）、ipv6安全性設(shè)計(jì)131網(wǎng)絡(luò)信息安全的含義網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的信息受到保護(hù)保護(hù)在通信網(wǎng)絡(luò)中傳輸、交換和存儲(chǔ)的信息的機(jī)密性、完整信和真實(shí)性對信息的傳播及內(nèi)容具有控制能力不受偶然的或者惡意的原因而遭到破壞、更改、泄露系統(tǒng)連續(xù)可靠的運(yùn)行網(wǎng)絡(luò)服務(wù)不中斷141用戶（企業(yè)、個(gè)人）的角度涉及個(gè)人隱私或商業(yè)利益的信息機(jī)密性、完整性、真實(shí)性避免其他人或?qū)κ值膿p害和侵犯竊聽、冒充、篡改、抵賴不受其他用戶的非法訪問非授權(quán)訪問、破壞151網(wǎng)絡(luò)運(yùn)行和管理者對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制避免出現(xiàn)“后門”、病毒、非法存取、拒絕服務(wù)、網(wǎng)絡(luò)資源非法專用、非法控制制止和防御網(wǎng)絡(luò)“黑客”的攻擊161安全保密部門非法的、有害的或涉及國家機(jī)密的信息進(jìn)行過濾和防堵避免通過網(wǎng)絡(luò)泄漏避免信息的泄密對社會(huì)的危害、對國家造成巨大的損失171網(wǎng)絡(luò)和信息安全問題綜述系統(tǒng)安全信息安全文化安全181系統(tǒng)安全（狹義的網(wǎng)絡(luò)安全） 作用點(diǎn)：對計(jì)算機(jī)網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng)可用性的威脅，主要表現(xiàn)在訪問控制方面。

外顯行為：網(wǎng)絡(luò)被阻塞，黑客行為，計(jì)算機(jī)病毒等，使得依賴于信息系統(tǒng)的管理或控制體系陷于癱瘓。 防范措施：防止入侵，檢測入侵，抵抗入侵，系統(tǒng)恢復(fù)。191系統(tǒng)安全（狹義的網(wǎng)絡(luò)安全）因特網(wǎng)網(wǎng)絡(luò)對國民經(jīng)濟(jì)的影響在加強(qiáng)安全漏洞危害在增大信息對抗的威脅在增加研究安全漏洞以防之因特網(wǎng)電力交通通訊控制廣播工業(yè)金融醫(yī)療研究攻防技術(shù)以阻之201信息安全（狹義的）作用點(diǎn)：對所處理的信息機(jī)密性與完整性的威脅，主要表現(xiàn)在加密方面。

外顯行為：竊取信息，篡改信息，冒充信息，信息抵賴。

防范措施：加密，認(rèn)證，數(shù)字簽名，完整性技術(shù)（vpn)211信息竊取信息傳遞信息冒充信息篡改信息抵賴信息機(jī)密性加密技術(shù)完整性技術(shù)認(rèn)證技術(shù)數(shù)字簽名221文化安全（內(nèi)容安全） 作用點(diǎn)：有害信息的傳播對我國的政治制度及文化傳統(tǒng)的威脅，主要表現(xiàn)在輿論宣傳方面。

外顯行為：黃色、反動(dòng)信息泛濫，敵對的意識(shí)形態(tài)信息涌入，互聯(lián)網(wǎng)被利用作為串聯(lián)工具，傳播迅速，影響范圍廣。

防范措施：設(shè)置因特網(wǎng)關(guān)，監(jiān)測、控管。231對文化安全的保護(hù)因特網(wǎng)用戶信息傳送自由有害信息泛濫信息來源不確定.打擊目標(biāo)機(jī)動(dòng)性強(qiáng).主動(dòng)發(fā)現(xiàn)有害信息源并給予封堵監(jiān)測網(wǎng)上有害信息的傳播并給予截獲隱患措施241當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀當(dāng)前網(wǎng)絡(luò)安全熱點(diǎn)話題大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)網(wǎng)絡(luò)管理251網(wǎng)絡(luò)安全界當(dāng)前的熱點(diǎn)問題一、病毒(蠕蟲病毒)二、dos攻擊261病毒的定義"計(jì)算機(jī)病毒"為什么叫做病毒。首先，與醫(yī)學(xué)上的"病毒"不同，它不是天然存在的，是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制具有特殊功能的程序。由于它與生物醫(yī)學(xué)上的"病毒"同樣有傳染和破壞的特性，因此這一名詞是由生物醫(yī)學(xué)上的"病毒"概念引申而來。

271直至1994年2月18日，我國正式頒布實(shí)施了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在《條例》第二十八條中明確指出："計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。"此定義具有法律性、權(quán)威性。病毒的定義281病毒的產(chǎn)生那么究竟它是如何產(chǎn)生的呢？其過程可分為：程序設(shè)計(jì)--傳播--潛伏--觸發(fā)、運(yùn)行--實(shí)行攻擊。究其產(chǎn)生的原因不外乎以下幾種：

開個(gè)玩笑，一個(gè)惡作劇。產(chǎn)生于個(gè)別人的報(bào)復(fù)心理。用于版權(quán)保護(hù)。用于特殊目的。

291病毒的歷史計(jì)算機(jī)病毒在計(jì)算機(jī)誕生不久后就出現(xiàn)了，其前身只不過是程序員閑來無事而編寫的趣味程序；后來，才發(fā)展出了諸如破壞文件、修改系統(tǒng)參數(shù)、干擾計(jì)算機(jī)的正常工作等的惡性病毒301傳統(tǒng)病毒的特性1.計(jì)算機(jī)病毒的程序性(可執(zhí)行性)2.計(jì)算機(jī)病毒的傳染性3.計(jì)算機(jī)病毒的潛伏性4.計(jì)算機(jī)病毒的可觸發(fā)性5.計(jì)算機(jī)病毒的破壞性6.攻擊的主動(dòng)性7.病毒的針對性3118.病毒的非授權(quán)性9.病毒的隱蔽性10.病毒的衍生性11.病毒的寄生性(依附性)12.病毒的不可預(yù)見性13.計(jì)算機(jī)病毒的欺騙性14.計(jì)算機(jī)病毒的持久性傳統(tǒng)病毒的特性321蠕蟲是什么？331蠕蟲

蠕蟲（worm）是通過分布式網(wǎng)絡(luò)來擴(kuò)散傳播特定的信息或錯(cuò)誤，進(jìn)而造成網(wǎng)絡(luò)服務(wù)遭到拒絕并發(fā)生死鎖。

1982年，shock和hupp根據(jù)theshockwaverider一書中的一種概念提出了一種“蠕蟲”（worm）程序的思想。

這種“蠕蟲”程序常駐于一臺(tái)或多臺(tái)機(jī)器中，并有自動(dòng)重新定位(autorelocation)的能力。如果它檢測到網(wǎng)絡(luò)中的某臺(tái)機(jī)器未被占用，它就把自身的一個(gè)拷貝（一個(gè)程序段）發(fā)送給那臺(tái)機(jī)器。每個(gè)程序段都能把自身的拷貝重新定位于另一臺(tái)機(jī)器中，并且能識(shí)別它占用的哪臺(tái)機(jī)器。

“蠕蟲”由兩部分組成：一個(gè)主程序和一個(gè)引導(dǎo)程序。主程序一旦在機(jī)器上建立就會(huì)去收集與當(dāng)前機(jī)器聯(lián)網(wǎng)的其它機(jī)器的信息。它能通過讀取公共配置文件并運(yùn)行顯示當(dāng)前網(wǎng)上聯(lián)機(jī)狀態(tài)信息的系統(tǒng)實(shí)用程序而做到這一點(diǎn)。隨后，它嘗試?yán)们懊嫠枋龅哪切┤毕萑ピ谶@些遠(yuǎn)程機(jī)器上建立其引導(dǎo)程序。

“蠕蟲”程序不一定是有害的。論證了“蠕蟲”程序可用作為ethernet網(wǎng)絡(luò)設(shè)備的一種診斷工具，它能快速有效地檢測網(wǎng)絡(luò)。341無害的蠕蟲（蠶）351蠕蟲病毒的罪惡病毒名稱持續(xù)時(shí)間造成損失莫里斯蠕蟲1988年6000多臺(tái)計(jì)算機(jī)停機(jī),直接經(jīng)濟(jì)損失達(dá)9600萬美元美麗殺手1999年3月政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器,經(jīng)濟(jì)損失超過12億美元愛蟲病毒2000年5月至今眾多用戶電腦被感染，損失超過100億美元以上紅色代碼2001年7月網(wǎng)絡(luò)癱瘓，直接經(jīng)濟(jì)損失超過26億美元求職信2001年12月至今大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元sql蠕蟲王2003年1月網(wǎng)絡(luò)大面積癱瘓,銀行自動(dòng)提款機(jī)運(yùn)做中斷,直接經(jīng)濟(jì)損失超過26億美元361蠕蟲病毒的特點(diǎn)蠕蟲也是一種病毒，因此具有病毒的共同特征。

普通病毒需要的寄生,通過自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被稱為”宿主”

病毒主要是感染文件，當(dāng)然也還有像dirii這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤被感染，這張軟盤用在其他機(jī)器上后，同樣也會(huì)感染其他機(jī)器，所以傳播方式也是用軟盤等方式。

蠕蟲復(fù)制自身在互聯(lián)網(wǎng)環(huán)境下進(jìn)行傳播，病毒的傳染能力主要是針對計(jì)算機(jī)內(nèi)的文件系統(tǒng)而言,而蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī).局域網(wǎng)條件下的共享文件夾，電子郵件email,網(wǎng)絡(luò)中的惡意網(wǎng)頁,大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。蠕蟲病毒可以在幾個(gè)小時(shí)內(nèi)蔓延全球!而且蠕蟲的主動(dòng)攻擊性和突然爆發(fā)性將使得人們手足無策。

371蠕蟲病毒和普通病毒的對比病毒類別普通病毒蠕蟲病毒存在形式寄存文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動(dòng)攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計(jì)算機(jī)381蠕蟲病毒的傳播

蠕蟲和普通病毒不同的一個(gè)特征是蠕蟲病毒往往能夠利用漏洞，這里的漏洞或者說是缺陷，我們分為2種：第一種：軟件上的缺陷和人為上的缺陷

如遠(yuǎn)程溢出，微軟ie和outlook的自動(dòng)執(zhí)行漏洞等等。

第二種：社會(huì)工程學(xué)(socialengineering)計(jì)算機(jī)用戶的疏忽。

391蠕蟲病毒特征分析1.利用系統(tǒng)漏洞的惡性蠕蟲病毒分析--企業(yè)用戶(局域網(wǎng)絡(luò))

紅色代碼,尼姆達(dá)和sql蠕蟲等，共同的特征是利用微軟服務(wù)器和應(yīng)用程序組件的某個(gè)漏洞進(jìn)行攻擊。

特點(diǎn)：

這種漏洞比較普遍病毒很容易的傳播攻擊的對象大都為服務(wù)器造成的網(wǎng)絡(luò)堵塞現(xiàn)象嚴(yán)重401sql蠕蟲病毒樣例：2003年1月26號(hào)爆發(fā)的sql蠕蟲攻擊對象：攻擊的是微軟數(shù)據(jù)庫系microsoftsqlserver2000漏洞信息：利用了mssql2000服務(wù)遠(yuǎn)程堆棧緩沖區(qū)溢出漏洞，sqlserver監(jiān)聽udp的1434端口，客戶端可以通過發(fā)送消息到這個(gè)端口來查詢目前可用的連接方式（連接方式可以是命名管道也可以是tcp），但是此程序存在嚴(yán)重漏洞，當(dāng)客戶端發(fā)送超長數(shù)據(jù)包時(shí)，將導(dǎo)致緩沖區(qū)溢出，黑客可以利用該漏洞在遠(yuǎn)程機(jī)器上執(zhí)行自己的惡意代碼。攻擊原理：蠕蟲病毒通過一段376個(gè)字節(jié)的惡意代碼,遠(yuǎn)程獲得對方主機(jī)的系統(tǒng)控制權(quán)限,取得三個(gè)win32api地址，gettickcount、socket、sendto，接著病毒使用gettickcount獲得一個(gè)隨機(jī)數(shù)，進(jìn)入一個(gè)死循環(huán)繼續(xù)傳播。在該循環(huán)中蠕蟲使用獲得的隨機(jī)數(shù)生成一個(gè)隨機(jī)的ip地址，然后將自身代碼發(fā)送至1434端口(microsoftsqlserver開放端口)使用廣播數(shù)據(jù)包方式發(fā)送自身代碼，每次均攻擊子網(wǎng)中所有255臺(tái)可能存在機(jī)器。發(fā)布公告信息：微軟在200年7月份的時(shí)候就為這個(gè)漏洞發(fā)布了一個(gè)安全公告411sql蠕蟲攻擊特性：發(fā)包密度僅和機(jī)器性能和網(wǎng)絡(luò)帶寬有關(guān)，所以發(fā)送的數(shù)據(jù)量非常

大。該蠕蟲對被感染機(jī)器本身并沒有進(jìn)行任何惡意破壞行為，也沒有向硬盤上寫文件，僅僅存在于內(nèi)存中。對于感染的系統(tǒng)，

重新啟動(dòng)后就可以清除蠕蟲，但是仍然會(huì)重復(fù)感染。由于

發(fā)送數(shù)據(jù)包占用了大量系統(tǒng)資源和網(wǎng)絡(luò)帶寬，形成udpflood，感染了該蠕蟲的網(wǎng)絡(luò)性能會(huì)極度下降。一個(gè)百兆網(wǎng)絡(luò)內(nèi)只要有一兩臺(tái)機(jī)器感染該蠕蟲就會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)訪問阻塞。

421企業(yè)防范蠕蟲病毒的策略

企業(yè)防毒的一個(gè)重要方面是是管理和策略。推薦的企業(yè)防范蠕蟲病毒的策略如下：

1．加強(qiáng)網(wǎng)絡(luò)管理員安全管理水平，提高安全意識(shí)。

由于蠕蟲病毒利用的是系統(tǒng)漏洞進(jìn)行攻擊，所以需要在第一時(shí)間內(nèi)保持系統(tǒng)和應(yīng)用軟件的安全性,保持各種操作系統(tǒng)和應(yīng)用軟件的更新！

2．建立病毒檢測系統(tǒng)。

能夠在第一時(shí)間內(nèi)檢測到網(wǎng)絡(luò)異常和病毒攻擊。

3．建立應(yīng)急響應(yīng)系統(tǒng)，將風(fēng)險(xiǎn)減少到最?。?/p>

由于蠕蟲病毒爆發(fā)的突然性，可能在病毒發(fā)現(xiàn)的時(shí)候已經(jīng)蔓延到了整個(gè)網(wǎng)絡(luò)，所以在突發(fā)情況下，建立一個(gè)緊急響應(yīng)系統(tǒng)是很有必要的，在病毒爆發(fā)的第一時(shí)間即能提供解決方案。

4．建立災(zāi)難備份系統(tǒng)。

對于數(shù)據(jù)庫和數(shù)據(jù)系統(tǒng)，必須采用定期備份，多機(jī)備份措施，防止意外災(zāi)難下的數(shù)據(jù)丟失！

5．對于局域網(wǎng)而言，可以采用以下一些主要手段：

（1）在因特網(wǎng)接入口處安裝防火墻式防殺計(jì)算機(jī)病毒產(chǎn)品，將病毒隔離在局域網(wǎng)之外。

（2）對郵件服務(wù)器進(jìn)行監(jiān)控，防止帶毒郵件進(jìn)行傳播！

（3）對局域網(wǎng)用戶進(jìn)行安全培訓(xùn)。

（4）建立局域網(wǎng)內(nèi)部的升級(jí)系統(tǒng)，包括各種操作系統(tǒng)的補(bǔ)丁升級(jí)，各種常用的應(yīng)用軟件升級(jí)，各種殺毒軟件病毒庫的升級(jí)等等！

431病毒特征分析2.以電子郵件(email)及惡意網(wǎng)頁為傳播方式的蠕蟲病毒。--個(gè)人用戶愛蟲病毒等，此類病毒往往是通過郵件傳播的，在vbscript中調(diào)用郵件發(fā)送功能也非常的簡單，病毒往往采用的方法是向outlook中的地址薄中的郵件地址發(fā)送帶有包含自身的郵件來達(dá)到傳播目的

。

惡意網(wǎng)頁確切的講是一段黑客破壞代碼程序，它內(nèi)嵌在網(wǎng)頁中，當(dāng)用戶在不知情的情況下打開含有病毒的網(wǎng)頁時(shí)，病毒就會(huì)發(fā)作。這種病毒代碼鑲嵌技術(shù)的原理并不復(fù)雜，所以會(huì)被很多懷不良企圖者利用，在很多黑客網(wǎng)站竟然出現(xiàn)了關(guān)于用網(wǎng)頁進(jìn)行破壞的技術(shù)的論壇，并提供破壞程序代碼下載，從而造成了惡意網(wǎng)頁的大面積泛濫，也使越來越多的用戶遭受損失。441個(gè)人用戶的防范策略網(wǎng)絡(luò)蠕蟲病毒對個(gè)人用戶的攻擊主要還是通過社會(huì)工程學(xué)，而不是利用系統(tǒng)漏洞！所以防范此類病毒需要注意以下幾點(diǎn)：

1．購合適的殺毒軟件

網(wǎng)絡(luò)蠕蟲病毒的發(fā)展已經(jīng)使傳統(tǒng)的殺毒軟件的“文件級(jí)實(shí)時(shí)監(jiān)控系統(tǒng)”落伍，殺毒軟件必須向內(nèi)存實(shí)時(shí)監(jiān)控和郵件實(shí)時(shí)監(jiān)控發(fā)展！

2.經(jīng)常升級(jí)病毒庫殺毒軟件對病毒的查殺是以病毒的特征碼為依據(jù)的,而病毒每天都層出不窮,尤其是在網(wǎng)絡(luò)時(shí)代,蠕蟲病毒的傳播速度快,變種多,所以必須隨時(shí)更新病毒庫,以便能夠查殺最新的病毒!

3．提高防殺毒意識(shí)不要輕易去點(diǎn)擊陌生的站點(diǎn)，有可能里面就含有惡意代碼！

當(dāng)運(yùn)行ie時(shí)，點(diǎn)擊“工具→internet選項(xiàng)→安全→internet區(qū)域的安全級(jí)別”，把安全級(jí)別由“中”改為“高”。、因?yàn)檫@一類網(wǎng)頁主要是含有惡意代碼的activex或applet、javascript的網(wǎng)頁文件，所以在ie設(shè)置中將activex插件和控件、java腳本等全部禁止就可以大大減少被網(wǎng)頁惡意代碼感染的幾率

4．不隨意查看陌生郵件

尤其是帶有附件的郵件，由于有的病毒郵件能夠利用ie和outlook的漏洞自動(dòng)執(zhí)行，所以計(jì)算機(jī)用戶需要升級(jí)ie和outlook程序，及常用的其他應(yīng)用程序！451小結(jié)網(wǎng)絡(luò)蠕蟲病毒作為一種互聯(lián)網(wǎng)高速發(fā)展下的一種新型病毒，必將對網(wǎng)絡(luò)產(chǎn)生巨大的危險(xiǎn)。在防御上，已經(jīng)不再是由單獨(dú)的殺毒廠商所能夠解決，而需要網(wǎng)絡(luò)安全公司，系統(tǒng)廠商，防病毒廠商及用戶共同參與，構(gòu)筑全方位的防范體系！

蠕蟲和黑客技術(shù)的結(jié)合，使得對蠕蟲的分析，檢測和防范具有一定的難度，同時(shí)對蠕蟲的網(wǎng)絡(luò)傳播性，網(wǎng)絡(luò)流量特性建立數(shù)學(xué)模型也是有待研究的工作！

461拒絕服務(wù)攻擊dos攻擊land,teardrop,synfloodicmp:smurfrouter:remotereset,udpport7,windows:port135,137,139(oob),terminalserversolaris:linux:其他...471“拒絕服務(wù)”的例子:land攻擊攻擊者internetcode目標(biāo)2欺騙性的ip包源地址2port139目的地址2port139tcpopeng.markhardy481“拒絕服務(wù)”的例子:land攻擊攻擊者internetcode目標(biāo)2ip包欺騙源地址2port139目的地址2port139包被送回它自己崩潰g.markhardy491“拒絕服務(wù)”的保護(hù):代理類的防火墻攻擊者internetcode目標(biāo)2ip包欺騙源地址2port139目標(biāo)地址2port139tcpopen防火墻防火墻把有危險(xiǎn)的包阻隔在網(wǎng)絡(luò)外g.markhardy501tcp同步泛濫攻擊者internetcode目標(biāo)欺騙性的ip包源地址不存在目標(biāo)地址是tcpopeng.markhardy511tcpsyn泛濫攻擊者internetcode目標(biāo)同步應(yīng)答響應(yīng)源地址目標(biāo)地址不存在tcpack崩潰g.markhardy521smuff攻擊示意圖第一步：攻擊者向被利用網(wǎng)絡(luò)a的廣播地址發(fā)送一個(gè)icmp協(xié)議的’echo’請求數(shù)據(jù)報(bào)，該數(shù)據(jù)報(bào)源地址被偽造成第二步：網(wǎng)絡(luò)a上的所有主機(jī)都向該偽造的源地址返回一個(gè)‘echo’響應(yīng)，造成該主機(jī)服務(wù)中斷。531網(wǎng)絡(luò)攻擊舉例udp攻擊原理udp攻擊的原理是使兩個(gè)或兩個(gè)以上的系統(tǒng)之間產(chǎn)生巨大的udp數(shù)據(jù)包。首先使這兩種udp服務(wù)都產(chǎn)生輸出，然后讓這兩種udp服務(wù)（例如chargen服務(wù)(udp)和echo服務(wù)(udp)）之間互相通信，使一方的輸出成為另一方的輸入。這樣會(huì)形成很大的數(shù)據(jù)流量。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生udp數(shù)據(jù)包時(shí)，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。如果涉及的主機(jī)數(shù)目少，那么只有這幾臺(tái)主機(jī)會(huì)癱瘓。541網(wǎng)絡(luò)攻擊舉例tcp/syn攻擊原理

當(dāng)一臺(tái)黑客機(jī)器a要與另外一臺(tái)isp的主機(jī)b建立連接時(shí)，它的通信方式是先發(fā)一個(gè)syn包告訴對方主機(jī)b說“我要和你通信了”，當(dāng)b收到時(shí)，就回復(fù)一個(gè)ack/syn確認(rèn)請求包給a主機(jī)。如果a是合法地址，就會(huì)再回復(fù)一個(gè)ack包給b主機(jī)，然后兩臺(tái)主機(jī)就可以建立一個(gè)通信渠道了?？墒呛诳蜋C(jī)器a發(fā)出的包的源地址是一個(gè)虛假的ip地址，或者可以說是實(shí)際上不存在的一個(gè)地址，isp主機(jī)b發(fā)出的那個(gè)ack/syn包當(dāng)然就找不到目標(biāo)地址了。如果這個(gè)ack/syn包一直沒有找到目標(biāo)地址，那么也就是目標(biāo)主機(jī)無法獲得對方回復(fù)的ack包。而在缺省超時(shí)的時(shí)間范圍以內(nèi)，主機(jī)的一部分資源要花在等待這個(gè)ack包的響應(yīng)上，假如短時(shí)間內(nèi)主機(jī)a接到大量來自虛假ip地址的syn包，它就要占用大量的資源來處理這些錯(cuò)誤的等待，最后的結(jié)果就是系統(tǒng)資源耗盡以至癱瘓。551網(wǎng)絡(luò)攻擊舉例icmp/ping攻擊原理icmp/ping攻擊是利用一些系統(tǒng)不能接受超大的ip包或需要資源處理這一特性。如在linux下輸入ping-t66510ip（未打補(bǔ)丁的win95/98的機(jī)器），機(jī)器就會(huì)癱瘓。icmp/smurf攻擊原理icmp/smurf攻擊利用的是網(wǎng)絡(luò)廣播的原理來發(fā)送大量的地址，而包的源地址就是要攻擊的機(jī)器本身的地址。因而所有接收到此包的主機(jī)都將給發(fā)包的地址發(fā)送一個(gè)icmp回復(fù)包。561網(wǎng)絡(luò)攻擊舉例targa3攻擊(ip堆棧突破)原理targa3攻擊的基本原理是發(fā)送tcp/udp/icmp的碎片包，其大小、標(biāo)記、包數(shù)據(jù)等都是隨機(jī)的。一些有漏洞的系統(tǒng)內(nèi)核由于不能正確處理這些極端不規(guī)范數(shù)據(jù)包，便會(huì)使其tcp/ip堆棧出現(xiàn)崩潰，從而導(dǎo)致無法繼續(xù)響應(yīng)網(wǎng)絡(luò)請求（即拒絕服務(wù)）。571分布式拒絕服務(wù)（ddos）以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性為目標(biāo)常用的工具：trin00,tfn/tfn2k,stacheldraht很難防范偽造源地址，流量加密，因此很難跟蹤clienttargethandler...agent...dosicmpflood/synflood/udpflood581分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)結(jié)構(gòu)圖

客戶端客戶端主控端主控端主控端主控端代理端代理端代理端代理端代理端代理端代理端代理端591分布式拒絕服務(wù)攻擊步驟1scanningprogram不安全的計(jì)算機(jī)hacker攻擊者使用掃描工具探測掃描大量主機(jī)以尋找潛在入侵目標(biāo)。1internet601hacker被控制的計(jì)算機(jī)(代理端)黑客設(shè)法入侵有安全漏洞的主機(jī)并獲取控制權(quán)。這些主機(jī)將被用于放置后門、sniffer或守護(hù)程序甚至是客戶程序。2分布式拒絕服務(wù)攻擊步驟2internet611hacker

黑客在得到入侵計(jì)算機(jī)清單后，從中選出滿足建立網(wǎng)絡(luò)所需要的主機(jī)，放置已編譯好的守護(hù)程序，并對被控制的計(jì)算機(jī)發(fā)送命令。3被控制計(jì)算機(jī)（代理端）masterserver分布式拒絕服務(wù)攻擊步驟3internet621hackerusingclientprogram,

黑客發(fā)送控制命令給主機(jī)，準(zhǔn)備啟動(dòng)對目標(biāo)系統(tǒng)的攻擊4被控制計(jì)算機(jī)（代理端）targetedsystemmasterserver分布式拒絕服務(wù)攻擊步驟4internet631internethacker

主機(jī)發(fā)送攻擊信號(hào)給被控制計(jì)算機(jī)開始對目標(biāo)系統(tǒng)發(fā)起攻擊。5masterserver分布式拒絕服務(wù)攻擊步驟5targetedsystem被控制計(jì)算機(jī)（代理端）641targetedsystemhacker

目標(biāo)系統(tǒng)被無數(shù)的偽造的請求所淹沒，從而無法對合法用戶進(jìn)行響應(yīng)，ddos攻擊成功。6masterserveruserrequestdenied分布式拒絕服務(wù)攻擊步驟6internet被控制計(jì)算機(jī)（代理端）651（分布式）拒絕服務(wù)攻擊ddos攻擊的效果由于整個(gè)過程是自動(dòng)化的，攻擊者能夠在5秒鐘內(nèi)入侵一臺(tái)主機(jī)并安裝攻擊工具。也就是說，在短短的一小時(shí)內(nèi)可以入侵?jǐn)?shù)千臺(tái)主機(jī)。并使某一臺(tái)主機(jī)可能要遭受1000mb/s數(shù)據(jù)量的猛烈攻擊，這一數(shù)據(jù)量相當(dāng)于1.04億人同時(shí)撥打某公司的一部電話號(hào)碼。661（分布式）拒絕服務(wù)攻擊預(yù)防ddos攻擊的措施確保主機(jī)不被入侵且是安全的；周期性審核系統(tǒng)；檢查文件完整性；優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)；優(yōu)化對外開放訪問的主機(jī)；在網(wǎng)絡(luò)上建立一個(gè)過濾器（filter）或偵測器（sniffer），在攻擊信息到達(dá)網(wǎng)站服務(wù)器之前阻擋攻擊信息。671（分布式）拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊的今后的發(fā)展趨勢：如何增強(qiáng)自身的隱蔽性和攻擊能力；采用加密通訊通道、icmp協(xié)議等方法避開防火墻的檢測；采用對自身進(jìn)行數(shù)字簽名等方法研究自毀機(jī)制，在被非攻擊者自己使用時(shí)自行消毀拒絕服務(wù)攻擊數(shù)據(jù)包，以消除證據(jù)。681當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀當(dāng)前網(wǎng)絡(luò)安全熱點(diǎn)話題大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)網(wǎng)絡(luò)管理691大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)特點(diǎn)開放性—與公網(wǎng)互聯(lián)，直接對話。大規(guī)模性—規(guī)模龐大，節(jié)點(diǎn)眾多。復(fù)雜性—多種應(yīng)用，大數(shù)據(jù)量，使用人員身份復(fù)雜。因?yàn)槿缟系谋姸嗵攸c(diǎn)，大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)存在著眾多安全風(fēng)險(xiǎn)!701大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)中需要保護(hù)的資源各類服務(wù)器工作站網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全設(shè)備

操作系統(tǒng)服務(wù)器系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng)internet公共軟件數(shù)據(jù)庫系統(tǒng)自主開發(fā)的軟件網(wǎng)管軟件等數(shù)據(jù)庫服務(wù)器中數(shù)據(jù)應(yīng)用服務(wù)器數(shù)據(jù)郵件數(shù)據(jù)網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)設(shè)備日志工作人員用戶應(yīng)用系統(tǒng)用戶操作系統(tǒng)用戶訪問服務(wù)器用戶遠(yuǎn)程登陸用戶遠(yuǎn)程管理用戶硬件資源數(shù)據(jù)資源軟件資源用戶資源

711大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)常見的安全事件網(wǎng)站被黑數(shù)據(jù)被篡改數(shù)據(jù)被偷竊秘密泄漏越權(quán)瀏覽非法刪除被病毒感染系統(tǒng)自身故障721大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全隱患

物理風(fēng)險(xiǎn)無意錯(cuò)誤風(fēng)險(xiǎn)有意破壞管理風(fēng)險(xiǎn)內(nèi)網(wǎng)安全風(fēng)險(xiǎn)內(nèi)網(wǎng)安全風(fēng)險(xiǎn)邊界安全風(fēng)險(xiǎn)鏈路傳輸安全風(fēng)險(xiǎn)橫向縱向其它風(fēng)險(xiǎn)如自然災(zāi)害，電力供應(yīng)突然中斷，靜電、強(qiáng)磁場破壞硬件設(shè)備以及設(shè)備老化等引起的風(fēng)險(xiǎn)。指由于人為或系統(tǒng)錯(cuò)誤而影響信息的完整性、機(jī)密性和可用性。指內(nèi)部和外部人員有意通過物理手段破壞信息系統(tǒng)而影響信息的機(jī)密性、完整性、可用性和可控性。比如：有意破壞基礎(chǔ)設(shè)施、擴(kuò)散計(jì)算機(jī)病毒、電子欺騙等。這種風(fēng)險(xiǎn)帶來的破壞一般而言是巨大的。嚴(yán)重時(shí)會(huì)引起整個(gè)系統(tǒng)的癱瘓和不可恢復(fù)它是指因?yàn)榭诹詈兔荑€管理不當(dāng)、制度遺漏，崗位、職責(zé)設(shè)置不全面等因素引起信息泄露、系統(tǒng)無序運(yùn)行等。是指除上述所列舉的一些風(fēng)險(xiǎn)外，一切可能危及信息系統(tǒng)的機(jī)密性、完整性、可用性、可控性和系統(tǒng)正常運(yùn)行的風(fēng)險(xiǎn)。731標(biāo)準(zhǔn)安全產(chǎn)品架構(gòu)

internet總部辦事處分公司公眾用戶分公司防火墻和vpn體系入侵檢測系統(tǒng)病毒防護(hù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估系統(tǒng)備份恢復(fù)系統(tǒng)網(wǎng)絡(luò)綜合安全管理系統(tǒng)741防火墻及vpn策略

internet總部辦事處分公司vpn客戶端用戶分公司部署防火墻和vpn在網(wǎng)絡(luò)邊界處，對進(jìn)出邊界的信息做訪問控制，同時(shí)采用vpn對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行加密處理，以保證數(shù)據(jù)在傳輸過程中的安全性利用防火墻的包過濾、應(yīng)用代理、nat、訪問控制等技術(shù)對網(wǎng)絡(luò)邊界進(jìn)行安全防護(hù)。利用vpn的加密方式對信息做加密，再傳輸?shù)骄W(wǎng)絡(luò)中，可采用網(wǎng)關(guān)—網(wǎng)關(guān)或網(wǎng)關(guān)到客戶端兩種模式。01010101010!@$!@#%$^%4010101010101751serverclient防火墻（firewall）注解：防火墻類似一堵城墻，將服務(wù)器與客戶主機(jī)進(jìn)行物理隔離，并在此基礎(chǔ)上實(shí)現(xiàn)服務(wù)器與客戶主機(jī)之間的授權(quán)互訪、互通等功能。761防火墻概念防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的一系列部件的組合。它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有很高的抗攻擊能力，它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。771防火墻特征保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)服務(wù)集中化的安全管理加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)的訪問控制加強(qiáng)隱私對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)781保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)服務(wù)一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的nfs協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如ip選項(xiàng)中的源路由攻擊和icmp重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。防火墻特征(cont.)791防火墻特征(cont.)集中化的安全管理通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。801加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)的訪問控制一個(gè)防火墻的主要功能是對整個(gè)網(wǎng)絡(luò)的訪問控制。比如防火墻可以屏蔽部分主機(jī)，使外部網(wǎng)絡(luò)無法訪問，同樣可以屏蔽部分主機(jī)的特定服務(wù)，使得外部網(wǎng)絡(luò)可以訪問該主機(jī)的其它服務(wù)，但無法訪問該主機(jī)的特定服務(wù)。防火墻不應(yīng)向外界提供網(wǎng)絡(luò)中任何不需要服務(wù)的訪問權(quán)，這實(shí)際上是安全政策的要求了?？刂茖μ厥庹军c(diǎn)的訪問：如有些主機(jī)或服務(wù)能被外部網(wǎng)絡(luò)訪問，而有些則需被保護(hù)起來，防止不必要的訪問。防火墻特征(cont.)811加強(qiáng)隱私隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題。一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如finger，dns等服務(wù)。finger顯示了主機(jī)的所有用戶的注冊名、真名，最后登錄時(shí)間和使用shell類型等。但是finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的dns信息，這樣一臺(tái)主機(jī)的域名和ip地址就不會(huì)被外界所了解。防火墻特征(cont.)821對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。防火墻特征(cont.)831

從總體上看，防火墻應(yīng)具有以下五大基本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對網(wǎng)絡(luò)攻擊的檢測和告警。防火墻功能841vpn即虛擬專用網(wǎng)，是指一些節(jié)點(diǎn)通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立的一個(gè)臨時(shí)的、安全的連接，它們之間的通信的機(jī)密性和完整性可以通過某些安全機(jī)制的實(shí)施得到保證特征虛擬(v)：并不實(shí)際存在，而是利用現(xiàn)有網(wǎng)絡(luò)，通過資源配置以及虛電路的建立而構(gòu)成的虛擬網(wǎng)絡(luò)專用(p)：只有企業(yè)自己的用戶才可以聯(lián)入企業(yè)自己的網(wǎng)絡(luò)網(wǎng)絡(luò)(n)：既可以讓客戶連接到公網(wǎng)所能夠到達(dá)的任何地方，也可以方便地解決保密性、安全性、可管理性等問題，降低網(wǎng)絡(luò)的使用成本什么是vpn851vpn（虛擬專用網(wǎng)絡(luò)）是通過公共介質(zhì)如internet擴(kuò)展公司的網(wǎng)絡(luò)vpn可以加密傳輸?shù)臄?shù)據(jù)，保障數(shù)據(jù)的機(jī)密性、完整性、真實(shí)性防火墻是用來保證內(nèi)部網(wǎng)絡(luò)不被侵犯，相當(dāng)于銀行的門衛(wèi)；而vpn則是保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被竊取，相當(dāng)于運(yùn)鈔車。vpn的用途861vpn的隧道協(xié)議vpn的關(guān)鍵技術(shù)在于通信隧道的建立，數(shù)據(jù)包通過通信隧道進(jìn)行封裝后的傳送以確保其機(jī)密性和完整性通常使用的方法有：使用點(diǎn)到點(diǎn)隧道協(xié)議pptp、第二層隧道協(xié)議l2tp、第二層轉(zhuǎn)發(fā)協(xié)議l2f等在數(shù)據(jù)鏈路層對數(shù)據(jù)實(shí)行封裝使用ip安全協(xié)議ipsec在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝使用介于第二層和第三層之間的隧道協(xié)議，如mpls隧道協(xié)議871pptp/l2tp1996年，microsoft和ascend等在ppp協(xié)議的基礎(chǔ)上開發(fā)了pptp，并將它集成于windowsntserver4.0中，同時(shí)也提供了相應(yīng)的客戶端軟件pptp可把數(shù)據(jù)包封裝在ppp包中，再將整個(gè)報(bào)文封裝在pptp隧道協(xié)議包中，最后，再嵌入ip報(bào)文或幀中繼或atm中進(jìn)行傳輸pptp提供流量控制,采用mppe加密算法8811996年，cisco提出l2f（layer2forwarding）隧道協(xié)議1997年底，micorosoft和cisco公司把pptp協(xié)議和l2f協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了l2tp協(xié)議l2tp協(xié)議綜合了pptp協(xié)議和l2f（layer2forwarding）協(xié)議的優(yōu)點(diǎn),并且支持多路隧道，這樣可以使用戶同時(shí)訪問internet和企業(yè)網(wǎng)。l2tp可以實(shí)現(xiàn)和企業(yè)原有非ip網(wǎng)的兼容，支持mp（multilinkprotocol），可以把多個(gè)物理通道捆綁為單一邏輯信道pptp/l2tp891優(yōu)點(diǎn)：支持其他網(wǎng)絡(luò)協(xié)議 （如novell的ipx，netbeui和appletalk協(xié)議

）支持流量控制缺點(diǎn)：通道打開后，源和目的用戶身份就不再進(jìn)行認(rèn)證，存在安全隱患限制同時(shí)最多只能連接255個(gè)用戶端點(diǎn)用戶需要在連接前手工建立加密信道，另外認(rèn)證和加密受到限制，沒有強(qiáng)加密和認(rèn)證支持。

pptp和l2tp最適合用于遠(yuǎn)程訪問虛擬專用網(wǎng)。

pptp/l2tp901ipsecvpnipsec是一種由ietf設(shè)計(jì)的端到端的確保基于ip通訊的數(shù)據(jù)安全性的機(jī)制。ipsec支持對數(shù)據(jù)加密，同時(shí)確保數(shù)據(jù)的完整性。ipsec使用驗(yàn)證包頭（ah，在rfc2402中定義）提供來源驗(yàn)證（sourceauthentication），確保數(shù)據(jù)的可靠性；ipsec使用封裝安全負(fù)載（esp，在rfc1827中定義）進(jìn)行加密，從而確保數(shù)據(jù)機(jī)密性。在ipsec協(xié)議下，只有發(fā)送方和接受方知道秘密密鑰。如果驗(yàn)證數(shù)據(jù)有效，接受方就可以知道數(shù)據(jù)來自真實(shí)的發(fā)送方，并且在傳輸過程中沒有受到破壞。ipsec有兩種應(yīng)用模式：傳送模式和隧道模式911傳輸模式：傳輸模式使用原始明文ip頭，并且只加密數(shù)據(jù)，包括它的tcp和udp頭。這種模式適用于小型網(wǎng)絡(luò)和移動(dòng)客戶端。隧道模式：隧道模式處理整個(gè)ip數(shù)據(jù)包：包括全部tcp/ip或udp/ip頭和數(shù)據(jù)，它用自己的地址做為源地址加入到新的ip頭。隧道模式被用在兩端或是一端是安全網(wǎng)關(guān)的架構(gòu)中，例如裝有ipsec的防火墻。使用了隧道模式，防火墻內(nèi)很多主機(jī)不需要安裝ipsec也能安全地與外界通信，并且還可以提供更多的便利來隱藏內(nèi)部服務(wù)器主機(jī)和客戶機(jī)的地址。ipsecvpn921優(yōu)點(diǎn)：可提供高強(qiáng)度的安全性（數(shù)據(jù)加密和身份驗(yàn)證）對上層應(yīng)用完全透明支持網(wǎng)絡(luò)與網(wǎng)絡(luò)、用戶與用戶、網(wǎng)絡(luò)與用戶多種應(yīng)用模式缺點(diǎn)：只支持ip協(xié)議

目前防火墻產(chǎn)品中集成的vpn多為使用ipsec協(xié)議，在中國其發(fā)展處于蓬勃狀態(tài)。ipsecvpn931mplsvpn是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用mpls(multiprotocollabelswitching)技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的ip虛擬專用網(wǎng)絡(luò)（ipvpn）mplsvpn主要應(yīng)用領(lǐng)域是用于建設(shè)全網(wǎng)狀結(jié)構(gòu)的數(shù)據(jù)專線，保證局域網(wǎng)互聯(lián)的帶寬與服務(wù)質(zhì)量。總部與下面分支機(jī)構(gòu)互聯(lián)時(shí)，如果使用公網(wǎng)，則帶寬、時(shí)延等很大程度上受公網(wǎng)的網(wǎng)絡(luò)狀況制約。而布署mplsvpn后，可以保證網(wǎng)絡(luò)服務(wù)質(zhì)量，從而保證一些對時(shí)延敏感的應(yīng)用穩(wěn)定運(yùn)行，如分布異地的實(shí)時(shí)交易系統(tǒng)、視頻會(huì)議、ip電話等等。941mplsvpn優(yōu)點(diǎn)：運(yùn)行在ip+atm或者ip環(huán)境下，對應(yīng)用完全透明缺點(diǎn)：mplsvpn并未提供加密、認(rèn)證等安全機(jī)制

當(dāng)信息的安全性是vpn網(wǎng)絡(luò)設(shè)計(jì)考慮的首要因素時(shí)，應(yīng)當(dāng)采用ipsecvpn。951與其他vpn協(xié)議的對比l2tp、pptp：主要用于客戶端接入專用網(wǎng)絡(luò)。本身的安全性比較弱，需要依靠ipsec來提供進(jìn)一步的安全性。mpls：能夠提供與傳統(tǒng)的atm，fr同等的安全性，但本身沒有加密，認(rèn)證機(jī)制，對數(shù)據(jù)的機(jī)密性等保證需要依靠ipsec來進(jìn)一步保證。ipsec是彌補(bǔ)其他vpn技術(shù)的安全性的有效保證。9611100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@保證數(shù)據(jù)在傳輸中的機(jī)密性發(fā)起方接受方密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@支持ike密鑰協(xié)商密鑰自動(dòng)刷新128位對稱加密1024位非對稱加密設(shè)備之間采用證書認(rèn)證支持ca認(rèn)證vpn的主要作用之一971發(fā)起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010hashhash100010101001000101010010100001000000110110001010是否一樣？驗(yàn)證數(shù)據(jù)來源的完整性和真實(shí)性支持透明模式支持路由模式vpn的主要作用之二981實(shí)時(shí)入侵檢測策略internet總部辦事處分公司分公司在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，實(shí)時(shí)對網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行檢測，對于可疑的數(shù)據(jù)，將及時(shí)報(bào)警，入侵檢測系統(tǒng)同時(shí)與防火墻交互信息，共同防范來自于網(wǎng)外的攻擊。具體策略如下：基于網(wǎng)絡(luò)的入侵檢測策略基于主機(jī)的入侵檢測策略報(bào)警攻擊991什么是入侵檢測系統(tǒng)ids（intrusiondetection