1、密碼和網(wǎng)絡(luò)安全技術(shù)中國信息安全測評中心1課程內(nèi)容密碼和網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全基礎(chǔ)密碼及PKI技術(shù)基礎(chǔ)常見網(wǎng)絡(luò)安全設(shè)備VPN技術(shù)2知識體：密碼和網(wǎng)絡(luò)安全技術(shù)知識域：密碼及PKI技術(shù)基礎(chǔ)了解密碼學(xué)的基本概念和術(shù)語，包括密碼編碼學(xué)、密碼分析學(xué)、加密、解密、算法、明文、密文等了解常見對稱密碼算法，理解對稱算法特點了解常見非對稱密碼算法，理解非對稱算法特點了解常見哈希算法和簽名算法，理解其作用和特點了解PKI和數(shù)字證書概念理解PKI的典型應(yīng)用場景，包括網(wǎng)上銀行、軟件代碼簽名和安全郵件通信等3什么是密碼學(xué)密碼學(xué)研究什么密碼編碼學(xué)主要研究對信息進(jìn)行編碼，實現(xiàn)對信息的隱蔽、完整性驗證等密碼分析學(xué)主要研究加密信息

2、的破譯或信息的偽造密碼學(xué)在信息安全中的地位信息安全的重要基礎(chǔ)技術(shù)4密碼學(xué)發(fā)展古典密碼學(xué)（ 1949年之前）1949年之前，密碼學(xué)是一門藝術(shù)主要特點：數(shù)據(jù)的安全基于算法的保密近代密碼學(xué)（19491975年）19491975年，密碼學(xué)成為科學(xué)主要特點：數(shù)據(jù)的安全基于密鑰而不是算法的保密現(xiàn)代密碼學(xué)（ 1976年以后）密碼學(xué)的新方向公鑰密碼學(xué)主要特點：公鑰密碼使得發(fā)送端和接收端無密鑰傳輸?shù)谋Ｃ芡ㄐ懦蔀榭赡?密碼學(xué)基本術(shù)語明文：被隱蔽的消息被稱做明文（Plain Text），通常用P或M表示。密文：隱蔽后的消息被稱做密文(Cipher Text)，通常用C表示。發(fā)送者：在信息傳送過程中，主動提供信息的一

3、方稱為發(fā)送者。接受者：在信息傳送過程中，得到信息的一方稱為接收者。 加密：將明文變換成密文的過程稱為加密(Encryption)。解密：將密文變換成明文的過程稱為解密(Decryption)。加密算法：對明文進(jìn)行加密時所采用的一組規(guī)則稱為加密算法(Encryption Algorithm)。通常用E表示。解密算法：對密文進(jìn)行解密時所采用的一組規(guī)則稱為解密算法(Decryption Algorithm)。通常用D表示。密鑰:加密和解密算法的操作通常都是在一組密鑰(Key)的控制下進(jìn)行的，分別稱為加密密鑰和解密密鑰。通常用Ke和Kd表示。6對稱加密算法DES算法：56bit的密鑰強度3DES：三重

4、DES算法IDEA：128bit密鑰強度AES：高級數(shù)據(jù)加密標(biāo)準(zhǔn)，簡單、靈活、適應(yīng)性好7對稱密碼算法的優(yōu)缺點 優(yōu)點：效率高，算法簡單，系統(tǒng)開銷小 適合加密大量數(shù)據(jù) 缺點：需要以安全方式進(jìn)行密鑰交換 密鑰管理復(fù)雜8非對稱加密（公鑰）算法RSA算法：基于大數(shù)因子分解ECC算法：基于橢圓曲線的離散對數(shù)問題SM2算法：一種基于橢圓曲線的算法9公鑰密碼體制的優(yōu)缺點優(yōu)點：解決密鑰傳遞的問題大大減少密鑰持有量提供了對稱密碼技術(shù)無法或很難提供的服務(wù)（數(shù)字簽名）缺點：計算復(fù)雜、耗用資源大 非對稱會導(dǎo)致得到的密文變長10哈希運算完整性用戶A用戶B數(shù)據(jù)數(shù)據(jù)哈希值哈希算法數(shù)據(jù)哈希值哈希值哈希算法如果哈希值匹配，說明數(shù)

5、據(jù)有效 用戶A發(fā)送數(shù)據(jù)和哈希值給用戶 B哈希算法：MD5、SHA111數(shù)字簽名抗抵賴性用戶A用戶B數(shù)據(jù)哈希值哈希算法用戶A的私鑰 數(shù)據(jù)哈希值用戶A的公鑰哈希算法哈希值如果哈希值匹配，說明該數(shù)據(jù)由該私鑰簽名。12基于密碼技術(shù)的安全支撐體系-PKI什么是PKIPKI是公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure）的簡稱，PKI利用公開密鑰技術(shù)建立的提供信息安全服務(wù)的在線基礎(chǔ)設(shè)施。它利用加密、數(shù)字簽名、數(shù)字證書來保護(hù)應(yīng)用、通信或事務(wù)處理的安全。PKI體系組成CA（認(rèn)證權(quán)威）RA（注冊權(quán)威）證書存放管理（目錄服務(wù)）證書持有者和應(yīng)用程序13CA：認(rèn)證權(quán)威簽發(fā)證書更新證書管理證書撤銷、

6、查詢審計、統(tǒng)計驗證數(shù)字證書黑名單認(rèn)證（CRL）在線認(rèn)證 (OCSP)CA是PKI體系的核心14CRL：證書撤銷列表CRL (Certificate Revocation List):證書撤銷列表，也稱“證書黑名單”在證書的有效期期間，因為某種原因（如人員調(diào)動、私鑰泄漏等等），導(dǎo)致相應(yīng)的數(shù)字證書內(nèi)容不再是真實可信，此時，進(jìn)行證書撤銷，說明該證書已是無效CRL中列出了被撤銷的證書序列號15RA：注冊權(quán)威受理用戶的數(shù)字證書申請對證書申請者身份進(jìn)行審核并提交CA制證類似于申請身份證的派出所提供證書生命期的維護(hù)工作受理用戶證書申請協(xié)助頒發(fā)用戶證書審核用戶真實身份受理證書更新請求受理證書吊銷16目錄服務(wù)（

7、LDAP）信息的存儲庫 ，提供了證書的保存，修改，刪除和獲取的能力 CA采用LDAP標(biāo)準(zhǔn)的目錄服務(wù)存放證書，其作用與數(shù)據(jù)庫相同，優(yōu)點是在修改操作少的情況下，對于訪問的效率比傳統(tǒng)數(shù)據(jù)庫要高17數(shù)字證書數(shù)字證書是一段電子數(shù)據(jù)，是經(jīng)證書權(quán)威機構(gòu)CA簽名的、包含擁有者身份信息和公開密鑰的數(shù)據(jù)體 數(shù)字證書主要包括三部分內(nèi)容：證書體、簽名算法類型以及CA簽名數(shù)據(jù)，其中證書體包括以下內(nèi)容： 版本號（version）：標(biāo)示證書的版本。 序列號（serialNumber）：由證書頒發(fā)者分配的本證書的唯一標(biāo)識符。 簽名算法標(biāo)識（signature）：簽署證書所用的算法及相應(yīng)的參數(shù)，由對象標(biāo)識符加上相關(guān)參數(shù)組成。

8、簽發(fā)者（issuer）：指建立和簽署證書的CA名稱。 有效期（validity）：包括證書有效期的起始時間和終止時間。 主體名（subject）：指證書擁有者名稱。 主體的公鑰（subjectPublicKeyInfo）：包括證書擁有者的公鑰。 發(fā)行者唯一識別符（issuerUniqueIdentifier）：可選項，標(biāo)識唯一的CA。 主體唯一識別符（subjectUniqueIdentifier）：可選項，用來識別唯一主體。 擴展域（extensions）：其中包括一個或多個擴展的數(shù)據(jù)項18用戶申請證書 獲取用戶的身份信息 進(jìn)行證書廢止檢查 檢查證書的有效期 校驗數(shù)字證書 解密數(shù)據(jù) 證書下載

9、到用戶本地審核通過的注冊請求發(fā)送給CA證書同時要被發(fā)布出去應(yīng)用程序通過證書：RA系統(tǒng)審核用戶身份發(fā)送注冊信息給RACA為用戶簽發(fā)證書下載憑證.RA將證書下載憑證發(fā)放給用戶應(yīng)用/其他用戶Directory提交證書申請請求CARAPKI體系工作流程19PKI/CA技術(shù)的典型應(yīng)用PKI/CA應(yīng)用通信領(lǐng)域WiFi 部署釣魚身份盜竊電子政務(wù)領(lǐng)域公文扭轉(zhuǎn)政務(wù)門戶訪問控制領(lǐng)域機房門禁（物理）Windows登錄（邏輯）硬件設(shè)備領(lǐng)域Web 服務(wù)器域名控制器VPN 軟件開發(fā)領(lǐng)域代碼簽名電子商務(wù)領(lǐng)域銀行網(wǎng)購20安全網(wǎng)上銀行因特網(wǎng)部分內(nèi)網(wǎng)部分案例 - 網(wǎng)上銀行安全21知識體：密碼和網(wǎng)絡(luò)安全技術(shù)知識域：網(wǎng)絡(luò)安全基礎(chǔ)了解

10、網(wǎng)絡(luò)安全面臨的威脅和基本安全目標(biāo)了解如何構(gòu)建安全的網(wǎng)絡(luò)22網(wǎng)絡(luò)面臨的安全威脅物理安全威脅自然災(zāi)害：火災(zāi)、水浸、雷擊、地震、設(shè)備問題：電力故障、電磁泄漏、人為破壞：爆炸、盜竊網(wǎng)絡(luò)攻擊威脅設(shè)計缺陷：協(xié)議設(shè)計缺陷、協(xié)議實現(xiàn)缺陷網(wǎng)絡(luò)攻擊：欺騙、拒絕服務(wù)、嗅探等人為錯誤誤操作收買23構(gòu)建安全的網(wǎng)絡(luò)系統(tǒng)安全的物理環(huán)境合理的網(wǎng)絡(luò)規(guī)劃正確配置的網(wǎng)絡(luò)安全設(shè)備完善的網(wǎng)絡(luò)安全管理24安全的物理環(huán)境機房位置選址地下、一樓、頂樓、其他樓層等基礎(chǔ)支撐設(shè)備電力、防火、防水、防雷擊、防塵、抗干擾等安保門禁、攝像頭、保安員等25合理的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)星型、環(huán)形、總線型、網(wǎng)狀等網(wǎng)絡(luò)安全域劃分把大規(guī)模負(fù)責(zé)系統(tǒng)安全問題化解為更小區(qū)域

11、的安全保護(hù)問題IP地址規(guī)劃提高運行效率、性能及可管理性VLAN規(guī)劃控制網(wǎng)絡(luò)的廣播風(fēng)暴提高網(wǎng)絡(luò)安全性及簡化網(wǎng)絡(luò)管理26正確配置的網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)安全設(shè)備部署邊界網(wǎng)絡(luò)安全設(shè)備（防火墻、流量管理、網(wǎng)閘等）旁路網(wǎng)絡(luò)安全設(shè)備（IDS、審計、網(wǎng)絡(luò)分析等）管理型網(wǎng)絡(luò)安全設(shè)備（SOC、準(zhǔn)入控制等）網(wǎng)絡(luò)安全設(shè)備策略配置先緊后松，不是明確允許的就是禁止設(shè)備自身安全設(shè)備日志保護(hù)27完善的網(wǎng)絡(luò)安全管理管理目標(biāo)管理制度組織架構(gòu)人員職責(zé)28知識體：網(wǎng)絡(luò)安全和密碼技術(shù)知識域：常見網(wǎng)絡(luò)安全設(shè)備掌握防火墻有關(guān)基本概念，包括功能、作用和適用場景了解防火墻的常見分類和主要技術(shù)原理，包括靜態(tài)包過濾、狀態(tài)檢測、代理等技術(shù)掌握防火墻的主

12、要部署方式和特點，包括無DMZ、有DMZ兩種部署方式的特點比較29知識體：密碼和網(wǎng)絡(luò)安全技術(shù)知識域：常見網(wǎng)絡(luò)安全設(shè)備（2）了解入侵檢測系統(tǒng)的基本概念，包括功能、作用和使用場景了解入侵檢測系統(tǒng)的常見分類方法和主要技術(shù)原理，包括異常檢測和誤用檢測等技術(shù)理解基于主機和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的區(qū)別掌握入侵檢測系統(tǒng)的主要部署方式，包括基于主機的和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)部署位置和特點理解防火墻和入侵檢測系統(tǒng)的優(yōu)缺點30防火墻技術(shù)防火墻的基本概念防火墻實現(xiàn)技術(shù)防火墻的工作模式防火墻典型部署31防火墻基本概念什么是防火墻一種協(xié)助確保信息安全的設(shè)備，會依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻部署在哪可

13、信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間不同安全級別網(wǎng)絡(luò)之間兩個需要隔離的區(qū)域之間Internet防火墻32為什么需要防火墻控制：在網(wǎng)絡(luò)連接點上建立一個安全控制點，對進(jìn)出數(shù)據(jù)進(jìn)行限制隔離：將需要保護(hù)的網(wǎng)絡(luò)與不可信任網(wǎng)絡(luò)進(jìn)行隔離，隱藏信息并進(jìn)行安全防護(hù)記錄：對進(jìn)出數(shù)據(jù)進(jìn)行檢查，記錄相關(guān)信息防火墻基本概念安全網(wǎng)域一33防火墻基本概念防火墻的分類按防火墻形態(tài)硬件防火墻軟件防火墻按體系結(jié)構(gòu)分雙宿/多宿主機防火墻屏蔽主機防火墻屏蔽子網(wǎng)防火墻混合結(jié)構(gòu)其他分類方法34防火墻的實現(xiàn)技術(shù)包過濾技術(shù)代理網(wǎng)關(guān)技術(shù)狀態(tài)檢測技術(shù)自適應(yīng)代理技術(shù)35防火墻的實現(xiàn)技術(shù)-包過濾實現(xiàn)機制：依據(jù)數(shù)據(jù)包的基本標(biāo)記來控制數(shù)據(jù)包網(wǎng)絡(luò)層地址：IP地址（源地

14、址及目的地址）傳輸層地址：端口（源端口及目的端口）協(xié)議：協(xié)議類型安全網(wǎng)域一36防火墻的實現(xiàn)技術(shù)-包過濾優(yōu)點:只對數(shù)據(jù)包的 IP 地址、 TCP/UDP 協(xié)議和端口進(jìn)行分析，規(guī)則簡單，處理速度較快 易于配置對用戶透明，用戶訪問時不需要提供額外的密碼或使用特殊的命令缺點：檢查和過濾器只在網(wǎng)絡(luò)層，不能識別應(yīng)用層協(xié)議或維持連接狀態(tài)安全性薄弱，不能防止IP欺騙等37防火墻的實現(xiàn)技術(shù)-代理網(wǎng)關(guān)每一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過防火墻的介入和轉(zhuǎn)換，加強了控制分類電路級代理應(yīng)用代理38防火墻的實現(xiàn)技術(shù)-電路級代理建立回路，對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)優(yōu)點能提供NAT，為內(nèi)部地址管理提供靈活性，隱藏內(nèi)部網(wǎng)絡(luò)等適用面廣缺點僅簡

15、單的在兩個連接間轉(zhuǎn)發(fā)數(shù)據(jù)，不能識別數(shù)據(jù)包的內(nèi)容39防火墻的實現(xiàn)技術(shù)-應(yīng)用代理工作在應(yīng)用層使用代理技術(shù)，對應(yīng)用層數(shù)據(jù)包進(jìn)行檢查對應(yīng)用或內(nèi)容進(jìn)行過濾，例如：禁止FTP的 “put”命令40防火墻的實現(xiàn)技術(shù)-應(yīng)用代理優(yōu)點可以檢查應(yīng)用層內(nèi)容，根據(jù)內(nèi)容進(jìn)行審核和過濾提供良好的安全性缺點支持的應(yīng)用數(shù)量有限性能表現(xiàn)欠佳41防火墻的實現(xiàn)技術(shù)-NAT什么是NAT一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT技術(shù)設(shè)計初衷增加私有組織的可用地址空間解決現(xiàn)有私有網(wǎng)絡(luò)接入的IP地址編號問題42防火墻的實現(xiàn)技術(shù)-NATNAT實現(xiàn)方式靜態(tài)地址轉(zhuǎn)換

16、動態(tài)地址轉(zhuǎn)換端口轉(zhuǎn)換安全網(wǎng)域一00043NAT的優(yōu)缺點優(yōu)點管理方便并且節(jié)約IP地址資源隱藏內(nèi)部 IP 地址信息可用于實現(xiàn)網(wǎng)絡(luò)負(fù)載均衡缺點外部應(yīng)用程序卻不能方便地與 NAT 網(wǎng)關(guān)后面的應(yīng)用程序聯(lián)系。 44防火墻實現(xiàn)技術(shù)-狀態(tài)檢測數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層表示層會話層傳輸層檢測引擎應(yīng)用層動態(tài)狀態(tài)表動態(tài)狀態(tài)表動態(tài)狀態(tài)表在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間對數(shù)據(jù)包進(jìn)行檢測創(chuàng)建狀態(tài)表用于維護(hù)連接上下文應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層45防火墻實現(xiàn)技術(shù)-狀態(tài)檢測狀態(tài)檢測技術(shù)的特點安全性高，可根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行性能高，在數(shù)據(jù)包進(jìn)入防火墻時就

17、進(jìn)行識別和判斷適應(yīng)性好對用戶、應(yīng)用程序透明46防火墻實現(xiàn)技術(shù)-自適應(yīng)代理技術(shù)特點根據(jù)用戶定義安全規(guī)則動態(tài)“適應(yīng)”傳輸中的分組流量高安全要求：在應(yīng)用層進(jìn)行檢查明確會話安全細(xì)則：鏈路層數(shù)據(jù)包轉(zhuǎn)發(fā)兼有高安全性和高效率47防火墻技術(shù)-防火墻的工作模式路由模式透明模式混合模式48防火墻的工作模式-路由模式內(nèi)部網(wǎng)絡(luò)/24GW:54外部網(wǎng)絡(luò)/24GW:防火墻InternetIntranet/2454/2449防火墻的工作模式-透明模式內(nèi)部網(wǎng)絡(luò)/24GW:54外部網(wǎng)絡(luò)路由器InternetIntranet54/2450防火墻的工作模式-混合模式內(nèi)部網(wǎng)絡(luò)/2454外部網(wǎng)絡(luò)/24GW:防火墻InternetInt

18、ranetIntranet內(nèi)部網(wǎng)絡(luò)00/24GW:53路由模式透明模式51防火墻的典型部署區(qū)域劃分：可信網(wǎng)絡(luò)、不可信網(wǎng)絡(luò)、DMZ區(qū)可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事化區(qū)52防護(hù)墻的策略設(shè)置沒有明確允許的就是禁止先阻止所有數(shù)據(jù)包需要的給予開放沒有明確禁止的就是允許對明確禁止的設(shè)置策略53防火墻的策略設(shè)置可信網(wǎng)絡(luò)可向DMZ區(qū)和不可信網(wǎng)絡(luò)發(fā)起連接請求可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事化區(qū)54防火墻的策略設(shè)置DMZ區(qū)可接受可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)的連接請求DMZ區(qū)不可向可信網(wǎng)絡(luò)發(fā)起連接請求DMZ區(qū)與不可信網(wǎng)絡(luò)的連接請求根據(jù)

19、業(yè)務(wù)需要確定可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事化區(qū)55防火墻的不足和局限性無法發(fā)現(xiàn)和阻止對合法服務(wù)的攻擊；無法發(fā)現(xiàn)和阻止源自其它入口的攻擊；無法發(fā)現(xiàn)和阻止來自內(nèi)部網(wǎng)絡(luò)的攻擊；無法發(fā)現(xiàn)和阻止應(yīng)用層的攻擊；防火墻本身也會出現(xiàn)問題和受到攻擊。56入侵檢測技術(shù)57入侵檢測的基本概念入侵檢測實現(xiàn)技術(shù)入侵檢測的典型部署57什么是入侵檢測系統(tǒng)？58什么是入侵檢測系統(tǒng)一種通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點收集信息并對其進(jìn)行分析以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象的設(shè)備入侵檢測系統(tǒng)部署在哪數(shù)據(jù)流入流出點關(guān)鍵位置58入侵檢測系統(tǒng)的價值及作用為什么

20、需要入侵檢測系統(tǒng)防火墻的重要補充構(gòu)建網(wǎng)絡(luò)安全防御體系重要環(huán)節(jié)克服傳統(tǒng)防御機制的限制入侵檢測系統(tǒng)能做什么檢測對網(wǎng)絡(luò)和系統(tǒng)的攻擊行為對攻擊行為作出響應(yīng)59入侵檢測系統(tǒng)的分類按入侵檢測形態(tài)硬件入侵檢測軟件入侵檢測按目標(biāo)系統(tǒng)的類型網(wǎng)絡(luò)入侵檢測主機入侵檢測按系統(tǒng)結(jié)構(gòu)集中式分布式60主機入侵檢測系統(tǒng)什么是主機入侵檢測運行在被檢測主機上，通過對主機數(shù)據(jù)包和主機上的系統(tǒng)調(diào)研、資源使用狀態(tài)進(jìn)行分析，發(fā)現(xiàn)可能的入侵通常是軟件形式61主機入侵檢測系統(tǒng)優(yōu)點運行在被檢測的主機上，不僅能檢測主機網(wǎng)卡上的數(shù)據(jù)流，還可以分析主機日志、檢測系統(tǒng)調(diào)用等主機內(nèi)部活動能精確地判斷攻擊行為是否成功監(jiān)控主機上特定用戶活動、系統(tǒng)運行情況H

21、IDS能夠檢測到NIDS無法檢測的攻擊適用加密環(huán)境62主機入侵檢測系統(tǒng)不足無法檢測到網(wǎng)絡(luò)中的其他數(shù)據(jù)流需要消耗主機資源，影響主機性能安全性受宿主操作系統(tǒng)限制數(shù)據(jù)源受系統(tǒng)審計功能限制針對不同的操作系統(tǒng)需要單獨開發(fā)維護(hù)/升級不方便63網(wǎng)絡(luò)入侵檢測系統(tǒng)部署在核心網(wǎng)絡(luò)或重要網(wǎng)絡(luò)位置對通信數(shù)據(jù)的偵聽采集數(shù)據(jù)，分析可疑現(xiàn)象通常是硬件形式64網(wǎng)絡(luò)入侵檢測系統(tǒng)優(yōu)勢實時分析網(wǎng)絡(luò)數(shù)據(jù)，檢測網(wǎng)絡(luò)系統(tǒng)的非法行為；網(wǎng)絡(luò)IDS系統(tǒng)單獨架設(shè)，不占用其它計算機系統(tǒng)的任何資源；網(wǎng)絡(luò)IDS系統(tǒng)是一個獨立的網(wǎng)絡(luò)設(shè)備，不提供對外服務(wù)，因此其本身的安全性高；通過與防火墻的聯(lián)動，不但可以對攻擊預(yù)警，還可以更有效地阻止非法入侵和破壞。不會

22、增加網(wǎng)絡(luò)中主機的負(fù)擔(dān)65網(wǎng)絡(luò)入侵檢測系統(tǒng)的不足不適合交換環(huán)境和高速環(huán)境不能處理加密數(shù)據(jù)資源及處理能力局限無法分析攻擊是否成功66入侵檢測的實現(xiàn)技術(shù)關(guān)鍵技術(shù)數(shù)據(jù)采集技術(shù)數(shù)據(jù)檢測技術(shù)外圍技術(shù)聯(lián)動日志分析事件合并過濾漏洞機理研究67數(shù)據(jù)采集技術(shù)嗅探技術(shù)交換環(huán)境下的數(shù)據(jù)采集鏡像口1對1鏡像多對1鏡像1234復(fù)制一份將端口4鏡像到端口168數(shù)據(jù)檢測技術(shù)誤用檢測技術(shù)建立入侵行為模型(攻擊特征)；假設(shè)可以識別和表示所有可能的特征；基于系統(tǒng)和基于用戶的誤用；異常檢測技術(shù)設(shè)定“正?！钡男袨槟Ｊ剑患僭O(shè)所有的入侵行為是異常的；基于系統(tǒng)和基于用戶的異常；69誤用檢測70優(yōu)點準(zhǔn)確率高；算法簡單。關(guān)鍵問題有所有的攻擊特征

23、，建立完備的特征庫；特征庫要不斷更新；無法檢測新的入侵。70異常檢測71誤報率、漏報率較高優(yōu)點可檢測未知攻擊自適應(yīng)、自學(xué)習(xí)能力關(guān)鍵問題“正常”行為特征的選擇統(tǒng)計算法、統(tǒng)計點的選擇71入侵檢測系統(tǒng)的典型部署72可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻InternetIntranet旁路的方式接入部署位置防火墻外核心交換機關(guān)鍵位置HIDSNIDSNIDSNIDS72部署中需注意的問題73入侵檢測需要發(fā)揮效果，需要大量管理機制作為后盾攻擊特征庫決定入侵檢測系統(tǒng)對入侵行為的發(fā)現(xiàn)能力事件分析器優(yōu)化非常重要，確保能夠準(zhǔn)確快速的產(chǎn)生相關(guān)警告信息（避免重復(fù)報警、漏報等）73入侵檢測的選擇結(jié)構(gòu)分布式、集中式通訊方式（加密、不

24、加密）探頭檢測能力事件通知自身安全控制中心策略設(shè)置靈活檢測庫更新自定義事件查詢報表綜合分析能力易用性74其他網(wǎng)絡(luò)安全設(shè)備整合型邊界安全防護(hù)設(shè)備入侵防御系統(tǒng)（IPS）統(tǒng)一威脅管理系統(tǒng)（UTM）邊界防病毒網(wǎng)關(guān)等數(shù)據(jù)交換管理設(shè)備安全隔離與信息交換系統(tǒng)（網(wǎng)閘）流量管理、上網(wǎng)行為管理安全管理設(shè)備安全管理平臺（Soc）網(wǎng)絡(luò)準(zhǔn)入控制（NAC）75知識子域：密碼和網(wǎng)絡(luò)安全技術(shù)知識域：VPN技術(shù)了解VPN的定義、作用和基本功能了解VPN分類方法，包括按協(xié)議層次分、按應(yīng)用部署方式分和按照體系結(jié)構(gòu)分等理解IPSec VPN和SSL VPN的作用和使用場景了解IPSec VPN和SSL VPN的工作原理理解IPSec

25、 VPN和SSL VPN的特點和不同點76VPN的基本概念什么是VPN虛擬專用網(wǎng)絡(luò)（Virtual Private Network ，簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。為什么需要VPN專用網(wǎng)絡(luò)：安全性好、價格昂貴、難擴展、不靈活分組交換：安全性差、價格便宜、擴展性好將專用網(wǎng)的安全特性和分組交換網(wǎng)的廉價和易于擴展的特性結(jié)合在一起，這就是VPN的動機利用共享的互聯(lián)網(wǎng)設(shè)施，模擬“專用”廣域網(wǎng)，最終以極低的費用為遠(yuǎn)程用戶提供能和專用網(wǎng)絡(luò)相媲美的保密通信服務(wù)77VPN的特點安全保障VPN通過建立一個隧道，利用加密技術(shù)對傳輸數(shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)的私有性和安全性。服務(wù)質(zhì)量保證VPN可以為

26、不同要求用戶提供不同等級的服務(wù)質(zhì)量保證?？蓴U充、靈活性VPN支持通過Internet和Extranet的任何類型的數(shù)據(jù)流。管理性VPN可以從用戶和運營商角度方便進(jìn)行管理。78對企業(yè)的優(yōu)勢降低成本易于擴展可隨意與合作伙伴聯(lián)網(wǎng)完全控制主動權(quán)VPN對企業(yè)的優(yōu)勢79加密數(shù)據(jù)，保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。信息認(rèn)證和身份認(rèn)證，確保用戶的合法性信息的完整性、合法性，確保信息不會被篡改提供訪問控制，不同的用戶有不同的訪問權(quán)限VNP基本功能80VPN的類型按協(xié)議層次可以分為二層VPN，三層VPN和應(yīng)用層VPN。按應(yīng)用范圍遠(yuǎn)程訪問VPN、內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN 按體系結(jié)構(gòu)網(wǎng)關(guān)到網(wǎng)關(guān)VPN、

27、主機到網(wǎng)關(guān)VPN和主機到主機VPN81按協(xié)議層次分類的VPN數(shù)據(jù)鏈路層VPN可以用于各種網(wǎng)絡(luò)協(xié)議，比如IP、IPX、AppleTalk等網(wǎng)絡(luò)層VPN可以適用于所有應(yīng)用（即不是應(yīng)用特定的）。傳輸層VPN常用于保護(hù)單獨的HTTP應(yīng)用通信的安全，并且也可以保護(hù)其它應(yīng)用的通信。每個應(yīng)用服務(wù)器必須支持該協(xié)議。目前主要的web瀏覽器默認(rèn)支持該協(xié)議。應(yīng)用層VPN保護(hù)單個應(yīng)用的部分或全部通信。82按應(yīng)用劃分的VPN遠(yuǎn)程訪問VPN用于實現(xiàn)移動用戶或遠(yuǎn)程辦公室安全訪問企業(yè)網(wǎng)絡(luò)。 內(nèi)聯(lián)網(wǎng)VPN用于組建跨地區(qū)的企業(yè)內(nèi)部互聯(lián)網(wǎng)絡(luò) 。 外聯(lián)網(wǎng)VPN 用于企業(yè)與客戶、合作伙伴之間建立互聯(lián)網(wǎng)絡(luò)。 內(nèi)聯(lián)網(wǎng)VPNRouterIn

28、ternetPOPor遠(yuǎn)程訪問VPN外聯(lián)網(wǎng)VPN83按體系結(jié)構(gòu)分類的VPN網(wǎng)關(guān)到網(wǎng)關(guān)體系結(jié)構(gòu)示例主機到主機體系結(jié)構(gòu)示例主機到網(wǎng)關(guān)體系結(jié)構(gòu)示例84IPSec協(xié)議SSL協(xié)議VPN有關(guān)協(xié)議的工作原理85IPSec是IP Security的縮寫，是目前遠(yuǎn)程訪問VPN網(wǎng)絡(luò)的基礎(chǔ)。IPSec的加密功能可以在因特網(wǎng)上創(chuàng)建出安全的信道來。 IPSec協(xié)議實際上是一個協(xié)議包而不是單個的協(xié)議，IPSec的安全協(xié)議由三個主要的協(xié)議組成。AH(認(rèn)證頭)ESP（封裝安全荷載）IKE（密鑰交換與管理）IPSec協(xié)議86傳輸模式下的AH認(rèn)證工作原理Internet負(fù) 載IP頭部Host AHost BVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)負(fù)

29、 載AH頭部IP頭部負(fù) 載AH頭部IP頭部負(fù) 載IP頭部經(jīng)過IPSec 核心處理以后經(jīng)過IPSec 核心處理以后負(fù) 載AH頭部IP頭部87隧道模式下的AH認(rèn)證工作原理Internet負(fù) 載IP 頭Host AHost BVPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2負(fù) 載IP 頭經(jīng)過IPSec 核心處理以后經(jīng)過IPSec 核心處理以后負(fù) 載IP頭AH頭新IP頭負(fù) 載IP頭AH頭新IP頭負(fù) 載IP頭AH頭新IP頭Source IP=VPN網(wǎng)關(guān)1Destination IP=VPN網(wǎng)關(guān)2Source IP=Host ADestination IP=Host B88傳輸模式下的ESP工作原理Internet負(fù) 載IP頭部

30、Host AHost BVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)負(fù) 載IP頭部經(jīng)過IPSec 核心處理以后經(jīng)過IPSec 核心處理以后ESP認(rèn)證ESP尾負(fù) 載ESP頭IP頭加密數(shù)據(jù)認(rèn)證數(shù)據(jù)ESP認(rèn)證ESP尾負(fù) 載ESP頭IP頭ESP認(rèn)證ESP尾負(fù) 載ESP頭IP頭加密數(shù)據(jù)認(rèn)證數(shù)據(jù)89隧道模式下的ESP工作原理Internet負(fù) 載IP 頭Host AHost BVPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2負(fù) 載IP 頭經(jīng)過IPSec 核心處理以后經(jīng)過IPSec 核心處理以后Source IP=VPN網(wǎng)關(guān)1Destination IP=VPN網(wǎng)關(guān)2Source IP=Host ADestination IP=Host B負(fù)載ESP認(rèn)證

31、ESP尾IP頭ESP頭新IP頭負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭90IPSEC VPN功能數(shù)據(jù)機密性保護(hù)數(shù)據(jù)完整性保護(hù)數(shù)據(jù)源身份認(rèn)證91IPSEC VPN功能-數(shù)據(jù)機密性完整性保護(hù)示例內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)Internet原始數(shù)據(jù)包對原始數(shù)據(jù)包進(jìn)行Hash加密后的數(shù)據(jù)包摘要Hash摘要對原始數(shù)據(jù)包進(jìn)行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進(jìn)行比較，驗證數(shù)據(jù)的完整性92什么是SSL VPN安全套接字層（Secure Socket Layer，SSL）屬于高層安全機制，廣泛應(yīng)用于Web瀏覽程序和We