第5章網(wǎng)絡(luò)安全

2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)1第5章

網(wǎng)絡(luò)安全

2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)2本章主要內(nèi)容網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全框架防火墻入侵檢測(cè)技術(shù)網(wǎng)絡(luò)隔離網(wǎng)絡(luò)安全協(xié)議IPv6新一代網(wǎng)絡(luò)的安全機(jī)制2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)35.1網(wǎng)絡(luò)安全威脅目前廣泛使用的TCP/IP協(xié)議是缺少安全機(jī)制的IPv4版本,其中存在的一些安全缺陷列舉如下：沒有用戶身份的鑒別沒有對(duì)路由協(xié)議的鑒別認(rèn)證TCP/UDP的缺陷5.1.1TCP/IP的缺陷

2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)4TCP/IP本身不提供加密傳輸功能下層的安全缺陷必然導(dǎo)致應(yīng)用層的安全出現(xiàn)漏洞甚至崩潰由TCP/IP支持的Internet中的各個(gè)子網(wǎng)難以實(shí)現(xiàn)分級(jí)安全的網(wǎng)絡(luò)結(jié)構(gòu)(如樹狀結(jié)構(gòu))，無法實(shí)現(xiàn)有效的安全管理。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)5Web服務(wù)的安全問題FTP服務(wù)的安全問題Telnet的安全問題電子郵件的安全問題DNS的安全問題路由服務(wù)漏洞5.1.2網(wǎng)絡(luò)服務(wù)的安全問題2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)6操作系統(tǒng)本身的安全漏洞明文或弱口令漏洞Web服務(wù)器本身存在的一些漏洞腳本程序的漏洞1.Web服務(wù)的安全問題2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)72．FTP服務(wù)的安全問題匿名登錄FTP代理服務(wù)器2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)83.Telnet的安全問題傳輸明文沒有強(qiáng)力認(rèn)證過程沒有完整性檢查傳送的數(shù)據(jù)都沒有加密2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)94.電子郵件的安全問題軟件問題（outlook,foxmail）緩存漏洞歷史記錄漏洞攻擊性代碼漏洞2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)105．DNS的安全問題域名欺騙網(wǎng)絡(luò)信息泄漏服務(wù)器拒絕服務(wù)遠(yuǎn)程漏洞2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)116．路由服務(wù)漏洞將受控機(jī)器的IP地址設(shè)置為路由器的IP地址，引起IP地址沖突，破壞路由器的正常運(yùn)行機(jī)制。破壞和干擾路由服務(wù)器的域名解析。將受控機(jī)器的物理地址隨機(jī)配置為路由器的物理地址，干擾路由器的運(yùn)行。構(gòu)造垃圾網(wǎng)絡(luò)數(shù)據(jù)包，發(fā)送給路由器，造成拒絕服務(wù)攻擊。劫持路由器之間的會(huì)話連接。破解路由器的弱口令。偽造路由更新消息。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)12網(wǎng)絡(luò)攻擊步驟黑客攻擊的常用手段網(wǎng)絡(luò)攻擊的發(fā)展網(wǎng)絡(luò)攻擊防范概述5.1.3網(wǎng)絡(luò)攻擊2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)13隱藏攻擊源踩點(diǎn)掃描掌握系統(tǒng)控制權(quán)實(shí)施攻擊隱藏攻擊痕跡安裝后門1．網(wǎng)絡(luò)攻擊步驟5.1.3網(wǎng)絡(luò)攻擊2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)14探測(cè)攻擊網(wǎng)絡(luò)監(jiān)聽解碼類攻擊未授權(quán)訪問嘗試偽裝攻擊電子欺騙攻擊WWW攻擊拒絕服務(wù)和分布式拒絕服務(wù)攻擊病毒攻擊2．黑客攻擊的常用手段2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)15網(wǎng)絡(luò)攻擊自動(dòng)化網(wǎng)絡(luò)攻擊組織化網(wǎng)絡(luò)攻擊目標(biāo)擴(kuò)大化網(wǎng)絡(luò)攻擊協(xié)同化網(wǎng)絡(luò)攻擊智能化網(wǎng)絡(luò)攻擊主動(dòng)化3．網(wǎng)絡(luò)攻擊的發(fā)展2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)16攻擊發(fā)生前的防范攻擊發(fā)生過程中的防范攻擊發(fā)生后的應(yīng)對(duì)4．網(wǎng)絡(luò)攻擊防范概述2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)175.2網(wǎng)絡(luò)安全框架

安全服務(wù)安全機(jī)制安全管理1．網(wǎng)絡(luò)安全體系結(jié)構(gòu)的相關(guān)概念2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)182．網(wǎng)絡(luò)安全體系的三維框架結(jié)構(gòu)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)193．安全服務(wù)之間的關(guān)系2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)205.3防火墻5.3.1防火墻的概念5.3.2防火墻技術(shù)5.3.3防火墻體系結(jié)構(gòu)5.3.4防火墻的局限性和發(fā)展2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)21防火墻是設(shè)置在可信網(wǎng)絡(luò)(TrustedNetwork)和不可信任的外界之間的一道屏障可以實(shí)施比較廣泛的安全策略來控制信息流進(jìn)入可信網(wǎng)絡(luò)，防止不可預(yù)料的潛在的入侵破壞；另一方面能夠限制可信網(wǎng)絡(luò)中的用戶對(duì)外部網(wǎng)絡(luò)的非授權(quán)訪問。

5.3.1防火墻的概念2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)22①進(jìn)出網(wǎng)絡(luò)的雙向通信信息必須通過防火墻；②只能允許經(jīng)過本地安全策略授權(quán)的通信信息通過；③防火墻本身不能影響網(wǎng)絡(luò)信息的流通。防火墻都必須具有以下三種基本性質(zhì)：

2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)23（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略（3）對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)（4）防止內(nèi)部信息的外泄防火墻的功能主要表現(xiàn)在如下四個(gè)方面：2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)24過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。從總體上來看，防火墻應(yīng)具有以下五個(gè)基本功能：2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)255.3.2防火墻技術(shù)

常見的防火墻技術(shù)有三種

1、包(分組)過濾技術(shù)

2、代理技術(shù)

3、狀態(tài)檢測(cè)技術(shù)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)26包過濾防火墻一般位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的邊界上，是內(nèi)外網(wǎng)絡(luò)通信的唯一出入點(diǎn)，所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的流量首先都要經(jīng)過包過濾防火墻的審查。1．包(分組)過濾技術(shù)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)27包過濾的基本流程圖

2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)28代理(Proxy)技術(shù)與包過濾技術(shù)完全不同，代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序。采用代理技術(shù)的防火墻將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用代理服務(wù)一般分為應(yīng)用層代理與傳輸層代理兩種。2.代理技術(shù)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)29狀態(tài)包過濾(StatefulPacketFilter)是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，對(duì)接收到的數(shù)據(jù)包進(jìn)行分析，判斷其是否屬于當(dāng)前合法連接，從而進(jìn)行動(dòng)態(tài)的過濾。

3．狀態(tài)包過濾技術(shù)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)30除了上面介紹的防火墻技術(shù)外，一些新的技術(shù)正在防火墻產(chǎn)品采用，主要有：VPN安全審計(jì)安全內(nèi)核身份認(rèn)證負(fù)載平衡內(nèi)容安全加密技術(shù)等

4．防火墻的其他相關(guān)技術(shù)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)315.3.3防火墻體系結(jié)構(gòu)防火墻體系結(jié)構(gòu)一般分為：

包過濾路由器；

雙宿主機(jī)防火墻；

屏蔽主機(jī)防火墻；

屏蔽子網(wǎng)防火墻。

2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)32包過濾路由器功能是實(shí)施包過濾。創(chuàng)建相應(yīng)的過濾策略時(shí)對(duì)工作人員的TCP/IP的知識(shí)有相當(dāng)?shù)囊?，如果包過濾路由器被黑客攻破那么內(nèi)部網(wǎng)絡(luò)將變的十分的危險(xiǎn)。該防火墻不能夠隱藏你的內(nèi)部網(wǎng)絡(luò)的信息、不具備監(jiān)視和日志記錄功能。典型的篩選路由器模型如圖。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)33單宿主堡壘主機(jī)模型單宿主堡壘主機(jī)（屏蔽主機(jī)防火墻）模型由包過濾路由器和堡壘主機(jī)組成。該防火墻系統(tǒng)提供的安全等級(jí)比包過濾防火墻系統(tǒng)要高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。所以入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。單宿主堡壘主機(jī)的模型如圖。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)34雙宿主堡壘主機(jī)模型雙宿主堡壘主機(jī)模型（屏蔽防火墻系統(tǒng)）可以構(gòu)造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機(jī)有兩種網(wǎng)絡(luò)接口但是主機(jī)在兩個(gè)端口之間直接轉(zhuǎn)發(fā)信息的功能被關(guān)掉了。在物理結(jié)構(gòu)上強(qiáng)行將所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過堡壘主機(jī)。雙宿主堡壘主機(jī)模型如圖。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)35屏蔽子網(wǎng)模型屏蔽子網(wǎng)模型用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)。它是最安全的防火墻系統(tǒng)之一，因?yàn)樵诙x了“中立區(qū)”(DMZ，DemilitarizedZone)網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息服務(wù)器、Modem組，以及其它公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。如果黑客想突破該防火墻那么必須攻破以上三個(gè)單獨(dú)的設(shè)備，模型如圖。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)365.3.4防火墻的局限性和發(fā)展

沒有萬能的網(wǎng)絡(luò)安全技術(shù)，防火墻也不例外。防火墻有以下三方面的局限：防火墻不能防范網(wǎng)絡(luò)內(nèi)部的攻擊。比如：防火墻無法禁止變節(jié)者或內(nèi)部間諜將敏感數(shù)據(jù)拷貝到軟盤上。防火墻也不能防范那些偽裝成超級(jí)用戶或詐稱新雇員的黑客們勸說沒有防范心理的用戶公開其口令，并授予其臨時(shí)的網(wǎng)絡(luò)訪問權(quán)限。防火墻不能防止傳送己感染病毒的軟件或文件，不能期望防火墻去對(duì)每一個(gè)文件進(jìn)行掃描，查出潛在的病毒。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)37防火墻的發(fā)展趨勢(shì)優(yōu)良的性能可擴(kuò)展的結(jié)構(gòu)和功能簡化的安裝與管理主動(dòng)過濾防病毒與防黑客2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)385.4入侵檢測(cè)技術(shù)5.4.1入侵檢測(cè)概念及其發(fā)展5.4.2入侵檢測(cè)通用模型及框架5.4.3入侵檢測(cè)系統(tǒng)分類5.4.4入侵檢測(cè)方法和技術(shù)5.4.5入侵檢測(cè)體系結(jié)構(gòu)5.4.6入侵檢測(cè)技術(shù)和產(chǎn)品的發(fā)展趨勢(shì)5.4.7入侵防御系統(tǒng)(IPS)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)395.4.1入侵檢測(cè)概念及其發(fā)展入侵(Intrusion)是指任何企圖危及資源的完整性、機(jī)密性和可用性的活動(dòng)。不僅包括發(fā)起攻擊的人(如惡意的黑客)取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕服務(wù)等對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生危害的行為。入侵檢測(cè)顧名思義，是指通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem，簡稱IDS)。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)405.4.2入侵檢測(cè)通用模型及框架最早的入侵檢測(cè)模型是由Denning給出的，該模型主要根據(jù)主機(jī)系統(tǒng)審計(jì)記錄數(shù)據(jù)，生成有關(guān)系統(tǒng)的若干輪廓，并監(jiān)測(cè)輪廓的變化差異發(fā)現(xiàn)系統(tǒng)的入侵行為，如圖5-14所示。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)41CIDF闡述的是一個(gè)入侵檢測(cè)系統(tǒng)的通用模型。按功能，它把一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件(如圖5-15所示)：2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)425.4.3入侵檢測(cè)系統(tǒng)分類根據(jù)其采用的分析方法可分為

異常檢測(cè)和誤用檢測(cè)根據(jù)系統(tǒng)所檢測(cè)的對(duì)象可分為

基于主機(jī)的和基于網(wǎng)絡(luò)的根據(jù)系統(tǒng)的工作方式可分為

離線檢測(cè)和在線檢測(cè)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)435.4.4入侵檢測(cè)方法和技術(shù)統(tǒng)計(jì)方法模式預(yù)測(cè)專家系統(tǒng)鍵盤監(jiān)控基于模型的入侵檢測(cè)方法狀態(tài)轉(zhuǎn)移分析模式匹配2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)44其它新技術(shù)

軟計(jì)算方法移動(dòng)代理計(jì)算機(jī)免疫學(xué)數(shù)據(jù)挖掘協(xié)議分析加命令解析技術(shù)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)455.4.5入侵檢測(cè)體系結(jié)構(gòu)1．集中式結(jié)構(gòu)2．分布式結(jié)構(gòu)3．分層結(jié)構(gòu)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)465.4.6入侵檢測(cè)技術(shù)和產(chǎn)品的發(fā)展趨勢(shì)體系架構(gòu)演變標(biāo)準(zhǔn)化應(yīng)用層入侵檢測(cè)智能入侵檢測(cè)入侵檢測(cè)系統(tǒng)的自身保護(hù)入侵檢測(cè)評(píng)測(cè)方法安全技術(shù)綜合集成面向IPv6的入侵檢測(cè)產(chǎn)品的發(fā)展2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)475.4.7入侵防御系統(tǒng)(IPS)IPS是一種主動(dòng)的、智能的入侵檢測(cè)、防范、阻止系統(tǒng)，其設(shè)計(jì)旨在預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。1．IPS的概念2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)48一個(gè)完整的入侵防御系統(tǒng)一般由如下四部分組成：①事件分析單元②響應(yīng)單元③審計(jì)單元④管理控制單元

2．工作原理2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)49主動(dòng)防御技術(shù)防火墻和IDS聯(lián)動(dòng)技術(shù)集成多種檢測(cè)方法硬件加速系統(tǒng)3．關(guān)鍵技術(shù)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)50單點(diǎn)故障性能瓶頸誤報(bào)和漏報(bào)4．面臨的問題及發(fā)展前景2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)515.5網(wǎng)絡(luò)隔離5.5.1網(wǎng)絡(luò)隔離的概念5.5.2網(wǎng)絡(luò)隔離的技術(shù)和應(yīng)用5.5.3網(wǎng)絡(luò)隔離的局限和發(fā)展2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)525.5.1網(wǎng)絡(luò)隔離的概念網(wǎng)絡(luò)隔離，英文名為NetworkIsolation，主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)通過不可路由的協(xié)議(如：IPX/SPX、NetBEUI等)進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。

2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)53五代隔離技術(shù)

第一代隔離技術(shù)——完全的隔離第二代隔離技術(shù)——硬件卡隔離第三代隔離技術(shù)——數(shù)據(jù)轉(zhuǎn)播隔離第四代隔離技術(shù)——空氣開關(guān)隔離第五代隔離技術(shù)——安全通道隔離2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)545.5.2網(wǎng)絡(luò)隔離的技術(shù)和應(yīng)用1．網(wǎng)絡(luò)隔離技術(shù)要求

（1）必須保持內(nèi)外網(wǎng)絡(luò)每時(shí)每刻物理斷開

（2）能打破原有協(xié)議格式

（3）具有安全處理功能

（4）使用安全的操作平臺(tái)

（5）能適度交換數(shù)據(jù)信息和操作命令

（6）確保隔離模塊本身的安全性2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)55（1）網(wǎng)絡(luò)安全隔離卡2．簡單網(wǎng)絡(luò)隔離技術(shù)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)56（2）網(wǎng)絡(luò)安全隔離集線器2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)573．網(wǎng)閘技術(shù)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)584.實(shí)現(xiàn)網(wǎng)絡(luò)隔離的典型方案

方案一：建設(shè)兩個(gè)獨(dú)立的網(wǎng)絡(luò)，一個(gè)是內(nèi)部網(wǎng)絡(luò)，用于存儲(chǔ)、處理、傳輸涉密信息；一個(gè)是外部網(wǎng)絡(luò)，與Internet相連。兩個(gè)網(wǎng)絡(luò)之間如果有數(shù)據(jù)交換需要，則采用人工操作（如通過軟盤、磁帶等）的方式。

2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)59方案二：采用安全隔離計(jì)算機(jī)(終端級(jí)解決方案)，即用戶使用一臺(tái)客戶端設(shè)備連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。主要類型可分為：雙主板，雙硬盤型單主板，雙硬盤型單主板，單硬盤型2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)60方案三：采用安全隔離集線器(集線器解決方案)，主要解決房間和樓層單網(wǎng)布線的問題。方案四：屬于物理隔離的遠(yuǎn)程安全傳輸方式，包括使用獨(dú)立鋪設(shè)線路和交換設(shè)備方式；在具備相應(yīng)的認(rèn)證和鏈路加密措施的前提下，使用面向連接的電路交換方式(如PSTN、ISDN、ADSL等)；使用永久虛電路(PVC)交換方式(如在DDN、x.25、幀中繼和ATM中使用永久虛電路構(gòu)建的專線。方案五：采用網(wǎng)閘的隔離方案。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)615.5.3網(wǎng)絡(luò)隔離的局限和發(fā)展總的說來，網(wǎng)絡(luò)隔離技術(shù)仍存在一些不足。例如：網(wǎng)絡(luò)隔離技術(shù)還僅僅只是一種被動(dòng)的隔離開關(guān)，手段單一，沒有與其他的安全技術(shù)進(jìn)行配合；網(wǎng)絡(luò)隔離技術(shù)不能做到安全狀態(tài)檢測(cè)，容易被非法人員利用而混入內(nèi)部網(wǎng)絡(luò)；網(wǎng)絡(luò)隔離技術(shù)的客戶端存在安全隱患，由于內(nèi)外網(wǎng)的存儲(chǔ)介質(zhì)都在本地，不能有效防止內(nèi)部人員主動(dòng)泄露信息，而事實(shí)上信息泄露多數(shù)來自內(nèi)部；網(wǎng)絡(luò)隔離技術(shù)不能進(jìn)行有效的取證工作，一旦發(fā)生信息泄漏問題，無法確認(rèn)信息泄露的行為人。

2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)62新一代網(wǎng)絡(luò)隔離技術(shù)將向更安全、更智能化的方向發(fā)展，并且在滿足用戶現(xiàn)有要求的前提下，具備一些新特點(diǎn)。例如：客戶端具有防下載的功能，防止內(nèi)部用戶通過客戶端下載重要數(shù)據(jù)而導(dǎo)致信息泄露；具有網(wǎng)絡(luò)狀態(tài)自動(dòng)檢測(cè)功能，能夠?qū)蛻舳说挠?jì)算機(jī)是否安全做出正確判斷，并進(jìn)行相應(yīng)處理；具有用戶身份鑒別功能，通過口令等鑒別手段，防止非法用戶通過接近客戶端進(jìn)入內(nèi)網(wǎng)；能夠?qū)τ脩暨M(jìn)出內(nèi)外網(wǎng)進(jìn)行日志記錄，做到用戶訪問有案可查，一旦出現(xiàn)異常事件，可以結(jié)合用戶身份鑒別技術(shù)進(jìn)行查證；具有審計(jì)功能，能夠?qū)τ脩羧罩咀詣?dòng)進(jìn)行安全檢查，以發(fā)現(xiàn)可能存在的安全隱患。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)635.6網(wǎng)絡(luò)安全協(xié)議5.6.1Kerberos協(xié)議5.6.2SSL協(xié)議5.6.3IPsec協(xié)議2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)645.6.1Kerberos協(xié)議Kerberos系統(tǒng)使用56位DES加密算法加密網(wǎng)絡(luò)連接，并且提供用戶身份的認(rèn)證。Kerberos環(huán)境依賴于Kerberos認(rèn)證服務(wù)器的存在，它執(zhí)行密鑰管理和控制的功能。Kerberos認(rèn)證服務(wù)器維護(hù)一個(gè)保存所有客戶密鑰的數(shù)據(jù)庫。每當(dāng)兩個(gè)用戶要進(jìn)行安全通信及認(rèn)證請(qǐng)求時(shí)，Kerberos認(rèn)證服務(wù)器就產(chǎn)生會(huì)話密鑰。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)65Kerberos的主要功能認(rèn)證授權(quán)記賬與審計(jì)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)66

Keberos認(rèn)證協(xié)議2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)67

Kerberos會(huì)話密鑰交換過程2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)68Kerberos的不足(1)它增加了網(wǎng)絡(luò)環(huán)境管理的復(fù)雜性，系統(tǒng)管理必須維護(hù)Kerberos認(rèn)證服務(wù)器以支持網(wǎng)絡(luò)。如果Kerberos認(rèn)證服務(wù)器停止訪問或不可訪問，用戶就不能使用網(wǎng)絡(luò)(2)如果Kerberos認(rèn)證服務(wù)器遭到入侵，整個(gè)網(wǎng)絡(luò)的安全性就被破壞(3)對(duì)Kerberos配置文件的維護(hù)是比較復(fù)雜而且很耗時(shí)(4)一些Kerberos實(shí)現(xiàn)對(duì)多用戶系統(tǒng)是不安全的(5)Kerberos無法防止拒絕服務(wù)的攻擊(6)Kerberos無法防止口令破解程序的攻擊2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)695.6.2SSL協(xié)議SSL(SecuritySocketLayer)是NetsCape公司于1996年推出的安全協(xié)議它為網(wǎng)絡(luò)應(yīng)用層的通信提供了認(rèn)證、數(shù)據(jù)保密和數(shù)據(jù)完整性的服務(wù)，較好地解決了Internet上數(shù)據(jù)安全傳輸?shù)膯栴}。SSL的主要目的是為網(wǎng)絡(luò)環(huán)境中兩個(gè)通信應(yīng)用進(jìn)程（Client與Server）之間提供一個(gè)安全通道。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)70SSL安全協(xié)議該協(xié)議共分上、下兩層。下層是SSL記錄協(xié)議（SSLRecordProtocol）作用是對(duì)上層傳來的數(shù)據(jù)加密后傳輸。SSL記錄協(xié)議可以建立在任何可靠的傳輸協(xié)議之上（如TCP）。上層是SSL握手協(xié)議（SSLHandshakeProtocol），它的主要作用是：Client和Server之間互相驗(yàn)證身份；Client和Server之間協(xié)商安全參數(shù)。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)71

SSL與TCP/IP的關(guān)系2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)72

SSL會(huì)話狀態(tài)變量SessionID由Server選擇的代表一次會(huì)話的標(biāo)識(shí)PeerCertificate通信對(duì)方的證書CompressionMethod當(dāng)前使用的壓縮算法CipherSpec當(dāng)前使用的數(shù)據(jù)加密算法、hash算法以及算法參數(shù)MasterSecretClient與Server之間共享的秘密信息isResumable本次會(huì)話是否允許復(fù)用的標(biāo)志2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)73

SSL連接狀態(tài)變量ServerandClientRandomClient與Server各自為每次連接選擇的隨機(jī)數(shù)ServerWriteMACSecretServer的寫MAC密鑰ClientWriteMACSecretClient的寫MAC密鑰ServerWriteKeyServer的數(shù)據(jù)加密密鑰\Client的數(shù)據(jù)解密密鑰ClientWriteKeyClient的數(shù)據(jù)加密密\Server的數(shù)據(jù)解密密鑰InitializationVector數(shù)據(jù)加解密的初始化向量(CBC模式)SequenceNumbersClient與Server各自分別維護(hù)兩個(gè)序列號(hào)，一個(gè)輸入一個(gè)輸出2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)74

SSL握手協(xié)議2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)75SSL記錄協(xié)議SSL記錄協(xié)議(SSLRecordProtocol)的作用是使用當(dāng)前的狀態(tài)對(duì)上層傳來的數(shù)據(jù)進(jìn)行保護(hù)。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)76SSL記錄協(xié)議SSL記錄協(xié)議對(duì)上層傳來的數(shù)據(jù)進(jìn)行以下三步的處理：(1)由于應(yīng)用協(xié)議使用的PDU和SSL記錄協(xié)議使用的PDU長度可能不一樣，所以第一步要對(duì)應(yīng)用數(shù)據(jù)進(jìn)行分割或重組。(2)使用當(dāng)前會(huì)話狀態(tài)中的CompressionMethods對(duì)第一步的結(jié)果進(jìn)行壓縮(3)使用當(dāng)前會(huì)話狀態(tài)的CipherSpec（包括數(shù)據(jù)加密算法和MAC算法）對(duì)第二步的結(jié)果進(jìn)行加密和hash運(yùn)算，算法使用的密鑰在當(dāng)前狀態(tài)的連接狀態(tài)變量中。

2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)775.6.3IPsec協(xié)議即IPSeccnityIP本身不提供安全保護(hù)，所以網(wǎng)絡(luò)入侵者就能夠通過數(shù)據(jù)包嗅探（sniffer）、IP電子欺騙（spoofing）、會(huì)話截獲（sessionhijacking）和重放攻擊（replay）等方法來攻擊。針對(duì)這些問題，IPSec可以有效地保護(hù)IP數(shù)據(jù)包的機(jī)密性（數(shù)據(jù)沒有被別人看過）和完整性（包括數(shù)據(jù)的真實(shí)性及數(shù)據(jù)未被修改）以及一定程度的抗重放能力。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)78它的目標(biāo)是為確保IP數(shù)據(jù)報(bào)的安全性?，F(xiàn)在，有兩個(gè)安全機(jī)制存于IPSec中，第一個(gè)安全機(jī)制是認(rèn)證頭AH（AuthenticationHead），它們提供IP數(shù)據(jù)報(bào)的完整性和認(rèn)證功能，但不能確保數(shù)據(jù)的保密性（Confidentiality）。第二個(gè)安全機(jī)制是封裝安全凈荷ESP(EncapsulatingSecurityPayload)。它可以確保IP數(shù)據(jù)報(bào)的保密性，也可以提供完整性和認(rèn)證功能（視加密算法和應(yīng)用模式而定）。在IPSec中，這二個(gè)機(jī)制可以單獨(dú)使用，也可一起使用。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)79

IPSec認(rèn)證頭AH格式2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)80

IPSec中ESP的格式SecurityAssociationIdentifier(SPI)OpaqueTransformData(可變長度)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)81

受IPSec保護(hù)的數(shù)據(jù)包2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)825.8IPv6新一代網(wǎng)絡(luò)的安全機(jī)制IPv6除了對(duì)IP地址作了改動(dòng)之外，也完全改變了IPv4的數(shù)據(jù)包格式。IPv6數(shù)據(jù)包有一個(gè)固定大小的基本首部（BaseHeader），其后可以允許有零個(gè)或多個(gè)擴(kuò)展首部（ExtensionHeader），再后是數(shù)據(jù)。IPsec包含兩個(gè)安全措施：AH(AuthenticationHead)和ESP(EncapsulatingSecurityPayload)。

2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)83

認(rèn)證過的TCP數(shù)據(jù)包舉例IPv6報(bào)頭AHTCP報(bào)文段IPv6報(bào)頭路由報(bào)頭AHTCP報(bào)文段IPv6報(bào)頭AH端到端選項(xiàng)TCP報(bào)文段2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)84

認(rèn)證報(bào)頭格式下一個(gè)報(bào)頭有效凈荷長度保留SPI序列號(hào)字段認(rèn)證數(shù)據(jù)（長度可變）2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)85

ESP的通用格式32位SPI32位序列號(hào)加密數(shù)據(jù)和參數(shù)認(rèn)證數(shù)據(jù)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)865.8.2密鑰的分發(fā)因特網(wǎng)安全協(xié)會(huì)和密鑰管理協(xié)議（ISAKMP）為密鑰交換協(xié)議的實(shí)現(xiàn)提供了一個(gè)非常通用的框架。所有的ISAKMP報(bào)文都具有相同的報(bào)頭，緊隨其后的是ISAKMP有效負(fù)載清單。這些報(bào)文通常使用第500端口通過UDP交換。單一的事務(wù)可以同時(shí)為幾個(gè)協(xié)議建立密鑰。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)87

ISAKMP報(bào)頭格式初始方“Cookie”響應(yīng)方“Cookie”下一個(gè)有效負(fù)載版本號(hào)交換類型標(biāo)志長度2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)88

5.8.3IPv6安全機(jī)制的應(yīng)用兩個(gè)防火墻之間的安全通道1．管道和防火墻2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)89

2．移動(dòng)主機(jī)2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)90

3．安全主機(jī)4．鄰機(jī)發(fā)現(xiàn)5．路由選擇協(xié)議2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)915.8.4IPv6安全機(jī)制對(duì)現(xiàn)行網(wǎng)絡(luò)安全體系的新挑戰(zhàn)在IPv6中還保留著很多原來IPv4中的選項(xiàng)，如分片、TTL。而這些選項(xiàng)曾經(jīng)被黑客用來攻擊IPv4或者逃避檢測(cè)，很難說IPv6也能夠逃避得了類似的攻擊由于IPv6引進(jìn)了加密和認(rèn)證，還可能產(chǎn)生新的攻擊方式。比如，加密是需要很大的計(jì)算量的，而當(dāng)今網(wǎng)絡(luò)發(fā)展的趨勢(shì)是帶寬的增長速度遠(yuǎn)遠(yuǎn)大于CPU主頻的增長，如果黑客向目標(biāo)發(fā)送大量貌似正確實(shí)際上卻是隨意填充的加密數(shù)據(jù)報(bào)，受害機(jī)就有可能由于消耗大量的CPU時(shí)間用于檢驗(yàn)錯(cuò)誤的數(shù)據(jù)報(bào)而不能響應(yīng)其他用戶的請(qǐng)求，造成拒絕服務(wù)。

2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)92思考與練習(xí)

5.1TCP/IP協(xié)議存在哪些安全缺陷？簡述當(dāng)前流行的網(wǎng)絡(luò)服務(wù)存在哪些安全問題？5.2結(jié)合實(shí)際使用，談?wù)勅绾伟踩厥瞻l(fā)電子郵件。5.3查閱資料，進(jìn)一步了解目前對(duì)垃圾郵件有哪些有效地處理技術(shù)。5.4當(dāng)前有哪幾種網(wǎng)絡(luò)攻擊技術(shù)？黑客攻擊的一般步驟包括哪些？各個(gè)步驟的主要工作是什么？5.5什么是DoS攻擊？舉例說明DoS攻擊。2023/2/6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)935.6簡述OSI安全體系結(jié)構(gòu)提出的安全服務(wù)及其內(nèi)容。可以采用哪些安全機(jī)制來實(shí)現(xiàn)安全服務(wù)?5.7什么是防火墻？防火墻采用的主要技術(shù)有哪些？什么是包過濾、包過濾有幾種工作方式？防火墻有哪些主要體系結(jié)構(gòu)？請(qǐng)選擇一個(gè)畫圖表示。5.8什么是“NAT”、“VPN”，它們有什么作用？5.9什么是IDS？簡述異常檢