網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理

我所理解的網(wǎng)絡(luò)安全架構(gòu)《網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理》班級(jí)：學(xué)號(hào)：姓名：教師：成績(jī)：目錄：TOC\o"1-3"\h\z\u我所理解的網(wǎng)絡(luò)安全架構(gòu) 2(一) 網(wǎng)絡(luò)安全應(yīng)具有以下五個(gè)方面的特征 2(二) 影響網(wǎng)絡(luò)安全性的因素 2(三) 如何劃分架構(gòu)（按照攻擊方式、協(xié)議層次、網(wǎng)絡(luò)層次等） 31. 網(wǎng)絡(luò)攻擊主要分為以下幾類(lèi) 32. 協(xié)議層次 43. 網(wǎng)絡(luò)層次 4(四) 網(wǎng)絡(luò)安全架構(gòu)的組成技術(shù)和應(yīng)用場(chǎng)景 51. 數(shù)據(jù)加密與數(shù)字簽名 52. CA數(shù)字證書(shū) 63. 防火墻技術(shù) 64. 入侵檢測(cè)技術(shù) 65. VPN技術(shù) 66. NAT技術(shù) 77. IPSEC技術(shù) 7(五) 以一個(gè)拓?fù)鋱D來(lái)說(shuō)明網(wǎng)絡(luò)技術(shù)實(shí)施的層次和目標(biāo) 71. 拓?fù)鋱D 72. 實(shí)現(xiàn)的層次及目標(biāo) 8我所理解的網(wǎng)絡(luò)安全架構(gòu)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全應(yīng)具有以下五個(gè)方面的特征保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性?？捎眯裕嚎杀皇跈?quán)實(shí)體訪問(wèn)并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊；可控性：對(duì)信息的傳播及內(nèi)容具有控制能力?？蓪彶樾裕撼霈F(xiàn)的安全問(wèn)題時(shí)提供依據(jù)與手段影響網(wǎng)絡(luò)安全性的因素網(wǎng)絡(luò)結(jié)構(gòu)因素：網(wǎng)絡(luò)基本拓?fù)浣Y(jié)構(gòu)有3種：星型、總線型和環(huán)型。一個(gè)單位在建立自己的內(nèi)部網(wǎng)之前，各部門(mén)可能已建造了自己的局域網(wǎng)，所采用的拓?fù)浣Y(jié)構(gòu)也可能完全不同。在建造內(nèi)部網(wǎng)時(shí)，為了實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)間信息的通信，往往要犧牲一些安全機(jī)制的設(shè)置和實(shí)現(xiàn)，從而提出更高的網(wǎng)絡(luò)開(kāi)放性要求。網(wǎng)絡(luò)協(xié)議因素：在建造內(nèi)部網(wǎng)時(shí)，用戶為了節(jié)省開(kāi)支，必然會(huì)保護(hù)原有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。另外，網(wǎng)絡(luò)公司為生存的需要，對(duì)網(wǎng)絡(luò)協(xié)議的兼容性要求越來(lái)越高，使眾多廠商的協(xié)議能互聯(lián)、兼容和相互通信。這在給用戶和廠商帶來(lái)利益的同時(shí)，也帶來(lái)了安全隱患。如在一種協(xié)議下傳送的有害程序能很快傳遍整個(gè)網(wǎng)絡(luò)。地域因素：由于內(nèi)部網(wǎng)Intranet既可以是LAN也可能是WAN(內(nèi)部網(wǎng)指的是它不是一個(gè)公用網(wǎng)絡(luò)，而是一個(gè)專(zhuān)用網(wǎng)絡(luò))，網(wǎng)絡(luò)往往跨越城際，甚至國(guó)際。地理位置復(fù)雜，通信線路質(zhì)量難以保證，這會(huì)造成信息在傳輸過(guò)程中的損壞和丟失，也給一些”黑客”造成可乘之機(jī)。用戶因素：企業(yè)建造自己的內(nèi)部網(wǎng)是為了加快信息交流，更好地適應(yīng)市場(chǎng)需求。建立之后，用戶的范圍必將從企業(yè)員工擴(kuò)大到客戶和想了解企業(yè)情況的人。用戶的增加，也給網(wǎng)絡(luò)的安全性帶來(lái)了威脅，因?yàn)檫@里可能就有商業(yè)間諜或“黑客”主機(jī)因素：建立內(nèi)部網(wǎng)時(shí)，使原來(lái)的各局域網(wǎng)、單機(jī)互聯(lián)，增加了主機(jī)的種類(lèi)，如工作站、服務(wù)器，甚至小型機(jī)、大中型機(jī)。由于它們所使用的操作系統(tǒng)和網(wǎng)絡(luò)操作系統(tǒng)不盡相同，某個(gè)操作系統(tǒng)出現(xiàn)漏洞(如某些系統(tǒng)有一個(gè)或幾個(gè)沒(méi)有口令的賬戶)，就可能造成整個(gè)網(wǎng)絡(luò)的大隱患。單位安全政策：實(shí)踐證明，80％的安全問(wèn)題是由網(wǎng)絡(luò)內(nèi)部引起的，因此，單位對(duì)自己內(nèi)部網(wǎng)的安全性要有高度的重視，必須制訂出一套安全管理的規(guī)章制度。人員因素：人的因素是安全問(wèn)題的薄弱環(huán)節(jié)。要對(duì)用戶進(jìn)行必要的安全教育，選擇有較高職業(yè)道德修養(yǎng)的人做網(wǎng)絡(luò)管理員，制訂出具體措施，提高安全意識(shí)。如何劃分架構(gòu)（按照攻擊方式、協(xié)議層次、網(wǎng)絡(luò)層次等）網(wǎng)絡(luò)攻擊主要分為以下幾類(lèi)“攻擊”是指任何的非授權(quán)行為。供給的范圍從簡(jiǎn)單的使服務(wù)器無(wú)法提供正常工作到完全破壞或控制服務(wù)器。在網(wǎng)絡(luò)上成功實(shí)施的攻擊級(jí)別依賴(lài)于用戶采取的安全措施.被動(dòng)攻擊：攻擊者通過(guò)監(jiān)視所有的信息流以獲得某些秘密。這種攻擊可以是基于網(wǎng)絡(luò)（跟蹤通信鏈路）或基于系統(tǒng)（用秘密抓取數(shù)據(jù)的特洛伊木馬代替系統(tǒng)部件）的。被動(dòng)攻擊是最難被檢測(cè)到的，故對(duì)付這種攻擊的重點(diǎn)是預(yù)防，主要手段如數(shù)據(jù)加密等。主動(dòng)攻擊：攻擊者試圖突破網(wǎng)絡(luò)的安全防線。這種攻擊涉及到修改數(shù)據(jù)流或創(chuàng)建錯(cuò)誤流，主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務(wù)等。這種攻擊無(wú)法防御，但卻易于檢測(cè)，故對(duì)付的重點(diǎn)是檢測(cè)，主要手段如防火墻、入侵檢測(cè)技術(shù)等。

物理臨近攻擊：在物理臨近攻擊中，未授權(quán)者可物理上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，目的是修改、收集或拒絕訪問(wèn)信息。內(nèi)部人員攻擊：內(nèi)部人員攻擊的實(shí)施人要么被授權(quán)在信息安全處理系統(tǒng)的物理范圍內(nèi)，要么對(duì)信息安全處理系統(tǒng)具有直接訪問(wèn)權(quán)。內(nèi)部人員攻擊包括惡意的和非惡意的（不小心或無(wú)知的用戶）兩種。分發(fā)攻擊：指在軟件和硬件開(kāi)發(fā)出來(lái)之后和安裝之前這段時(shí)間，或當(dāng)它從一個(gè)地方傳到另一個(gè)地方時(shí)，攻擊者惡意修改軟、硬件。協(xié)議層次協(xié)議是通信雙方為了實(shí)現(xiàn)通信而設(shè)計(jì)的約定或?qū)υ捯?guī)則。網(wǎng)絡(luò)層協(xié)議：包括：IP協(xié)議、ICMP協(xié)議、ARP協(xié)議、RARP協(xié)議。傳輸層協(xié)議：TCP協(xié)議、UDP協(xié)議。應(yīng)用層協(xié)議：FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS。網(wǎng)絡(luò)層次物理層利用物理傳輸介質(zhì)為數(shù)據(jù)鏈路層提供物理連接，負(fù)責(zé)處理數(shù)據(jù)傳輸率并監(jiān)控?cái)?shù)據(jù)出錯(cuò)率，以便透明地傳送比特率。它定義了激活、維護(hù)和關(guān)閉終端用戶之間的電氣、機(jī)械的、過(guò)程的和功能的特性。物理層的特性包括電壓、頻率、數(shù)據(jù)傳輸率、最大傳輸距離、物理連接器及相關(guān)的屬性。數(shù)據(jù)鏈路層在物理層提供比特率傳輸服務(wù)的基礎(chǔ)上，數(shù)據(jù)鏈路層通過(guò)在通信的實(shí)體之間建立數(shù)據(jù)鏈路連接，傳送以“幀”為單位的數(shù)據(jù)，使有差錯(cuò)的物理線路變成無(wú)差錯(cuò)的數(shù)據(jù)鏈路，保證點(diǎn)到點(diǎn)可靠的數(shù)據(jù)傳輸，因此，數(shù)據(jù)鏈路層關(guān)心的主要問(wèn)題包括物理地址、網(wǎng)絡(luò)拓?fù)?、線路規(guī)則、錯(cuò)誤通告、數(shù)據(jù)幀的有序傳輸和流量控制。網(wǎng)絡(luò)層網(wǎng)絡(luò)層的主要功能為處在不同的網(wǎng)絡(luò)系統(tǒng)中的兩個(gè)節(jié)點(diǎn)設(shè)備通信提供一條邏輯網(wǎng)道。其基本任務(wù)包括路由選擇、擁塞控制與網(wǎng)絡(luò)互聯(lián)等功能。傳輸層傳輸層主要任務(wù)是向用戶提供可靠地端到端服務(wù)，透明地傳送報(bào)文。它向高層屏蔽了下層數(shù)據(jù)通信的細(xì)節(jié)，因而是計(jì)算機(jī)通信體系結(jié)構(gòu)中的最關(guān)鍵的一層。該層關(guān)心的主要問(wèn)題包括建立、維護(hù)和中斷虛電路、傳輸差錯(cuò)校驗(yàn)和恢復(fù)以及信息流量控制。會(huì)話層會(huì)話層建立、管理和終止應(yīng)用程序進(jìn)程之間的會(huì)話和數(shù)據(jù)的交換。這種會(huì)話關(guān)系是由兩個(gè)或多個(gè)表示層實(shí)體之間的對(duì)話構(gòu)成的。表示層表示層保證一個(gè)系統(tǒng)應(yīng)用層發(fā)出的信息能被另一個(gè)系統(tǒng)的應(yīng)用層讀出。如有必要，表示層以一種通用的數(shù)據(jù)表示格式在多種數(shù)據(jù)表示格式之間的轉(zhuǎn)換，它包括數(shù)據(jù)格式變換、數(shù)據(jù)加密與解密、數(shù)據(jù)壓縮與恢復(fù)等功能。應(yīng)用層應(yīng)用層是OSI參考模型中最靠近用戶的一層，它為用戶的應(yīng)用程序提供網(wǎng)絡(luò)服務(wù)，這些應(yīng)用程序包括電子數(shù)據(jù)表格程序、字處理程序和銀行終端程序等，應(yīng)用層識(shí)別并證實(shí)目的的通信方的可用性，使協(xié)同工作的應(yīng)用程序之間進(jìn)行同步，建立傳輸錯(cuò)誤糾正和數(shù)據(jù)完整性控制方面的協(xié)定，判斷是否為所需的通信過(guò)程留有足夠的資源。網(wǎng)絡(luò)安全架構(gòu)的組成技術(shù)和應(yīng)用場(chǎng)景數(shù)據(jù)加密與數(shù)字簽名常用的數(shù)據(jù)加密技術(shù)主要有兩種：私密密鑰加密技術(shù)：私密密鑰加密技術(shù)也稱(chēng)對(duì)稱(chēng)密鑰加密技術(shù)，密鑰在加密方和解密方之間傳遞和分發(fā)必須通過(guò)安全通道進(jìn)行，在公共網(wǎng)絡(luò)上使用明文傳遞秘密密鑰是不合適的。如果密鑰沒(méi)有已安全方式傳送，那么黑客就很有可能截獲該密鑰，并將該密鑰用于信息解密。因此，在公共網(wǎng)絡(luò)上，秘密密鑰技術(shù)不適合于實(shí)現(xiàn)互不相識(shí)的通信者之間的信息傳遞。公開(kāi)密鑰加密技術(shù)：公開(kāi)密鑰加密也稱(chēng)為非對(duì)稱(chēng)密鑰加密公開(kāi)密鑰加密技術(shù)其優(yōu)勢(shì)在于不需要共享通用的密鑰。公鑰可以再公共網(wǎng)絡(luò)上進(jìn)行傳遞和分發(fā)，公開(kāi)密鑰加密技術(shù)的主要缺點(diǎn)是加密算法復(fù)雜，加密與解密速度比較慢，被加密的數(shù)據(jù)塊長(zhǎng)度不宜過(guò)太大。數(shù)字簽名：數(shù)字簽名作為驗(yàn)證發(fā)送者身份和消息完整性的根據(jù)。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對(duì)，作為驗(yàn)證發(fā)送者身份和消息完整性的根據(jù)。CA使用私有密鑰計(jì)算其數(shù)字簽名，利用CA提供的公共密鑰，任何人均可驗(yàn)證簽名的真實(shí)性。偽造數(shù)字簽名從計(jì)算能力上是不可行的CA數(shù)字證書(shū)CA是證書(shū)的簽發(fā)機(jī)構(gòu),它是PKI的核心。CA是負(fù)責(zé)簽發(fā)證書(shū)、認(rèn)證證書(shū)、管理已頒發(fā)證書(shū)的機(jī)關(guān)。它要制定政策和具體步驟來(lái)驗(yàn)證、識(shí)別用戶身份，并對(duì)用戶證書(shū)進(jìn)行簽名，以確保證書(shū)持有者的身份和公鑰的擁有權(quán)。如果用戶想得到一份屬于自己的證書(shū)，他應(yīng)先向CA提出申請(qǐng)。在CA判明申請(qǐng)者的身份后，便為他分配一個(gè)公鑰，并且CA將該公鑰與申請(qǐng)者的身份信息綁在一起，并為之簽字后，便形成證書(shū)發(fā)給申請(qǐng)者。它主要用來(lái)認(rèn)證訪問(wèn)權(quán)限和建立互相信任。防火墻技術(shù)防火墻技術(shù)，最初是針對(duì)Internet網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施。顧名思義，防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)可以被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為,是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。VPN技術(shù)VPN即虛擬專(zhuān)用網(wǎng)絡(luò)，是通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺(jué)的服務(wù)”。VPN極大地降低了用戶的費(fèi)用，而且提供了比傳統(tǒng)方法更強(qiáng)的安全性和可靠性。VPN可分為三大類(lèi)：（1）企業(yè)各部門(mén)與遠(yuǎn)程分支之間的VPN；（2）企業(yè)網(wǎng)與遠(yuǎn)程（移動(dòng)）雇員之間的VPN；（3