1、第9章 網(wǎng)絡安全網(wǎng)絡安全概述防火墻虛擬專網(wǎng)VPN電子商務中的CA認證主要內容計算機網(wǎng)絡的安全-概述在計算機網(wǎng)絡出現(xiàn)的最初幾十年里，主要用于各大學的研究人員之間傳送電子郵件，以及共同合作的職員間共享打印機，在這種條件下，安全性未能引起足夠注意，隨著計算機網(wǎng)絡的發(fā)展，網(wǎng)絡中的安全問題也日趨嚴重。當網(wǎng)絡的用戶來自社會各個階層與部門時，大量在網(wǎng)絡中存儲和傳輸?shù)臄?shù)據(jù)就需要保護。計算機網(wǎng)絡的安全-概述計算機網(wǎng)絡面臨的安全性威脅（四方面）：截獲（interception）：攻擊者從網(wǎng)絡上竊聽他人的內容中斷（interruption）：攻擊者有意中斷他人在網(wǎng)絡上的通信篡改（modification）：攻擊者故

2、意篡改他人在網(wǎng)絡上的通信偽造（fabrication）：攻擊者偽造信息在網(wǎng)絡上傳送計算機網(wǎng)絡的安全-概述計算機網(wǎng)絡安全性威脅又可劃分為兩大類：被動攻擊和主動攻擊被動攻擊：如截獲信息。攻擊者只是通過觀察某一個PDU而不干擾信息流。主動攻擊：更改信息和拒絕用戶使用資源的攻擊（中斷、篡改、偽造）。攻擊者對某個連接通過對PDU進行各種處理，如有選擇地更改、刪除、延遲這些PDU ，甚至將合成或偽造的PDU送入到一個連接中去。計算機網(wǎng)絡的安全-概述主動攻擊的手段又可進一步劃分為以下幾種：修改用戶的報文：通過在Internet或內部網(wǎng)上截獲用戶的IP報文，非法修改關鍵數(shù)據(jù)后，將報文發(fā)送給目的方。地址欺騙：攻

3、擊者通過改變自己的IP地址來偽裝成內部網(wǎng)絡用戶或可信任的外部網(wǎng)絡用戶，發(fā)送特定的報文以擾亂正常的網(wǎng)絡數(shù)據(jù)傳輸，或者是偽造一些可接受的路由報文（如發(fā)送ICMP的特定報文）來更改路由信息，以竊取信息。源路由攻擊：報文發(fā)送方通過在IP報文的Option域中指定該報文的路由，使報文有可能被發(fā)往一些受保護的網(wǎng)絡。計算機網(wǎng)絡的安全-概述（主動攻擊）端口掃描：通過探測防火墻正在偵聽的端口，發(fā)現(xiàn)系統(tǒng)中存在的漏洞；或者事先知道路由器軟件某個版本存在的漏洞，通過查詢特定端口，判斷該漏洞是否仍然存在。然后利用這些漏洞對路由器進行攻擊，使得路由器完全崩潰或無法正常運行。拒絕服務攻擊：攻擊者的目的是阻止合法用戶對資源的

4、訪問。比如通過發(fā)送大量報文使得網(wǎng)絡帶寬資源被消耗。最近拒絕服務攻擊又有了新的發(fā)展，出現(xiàn)了分布式拒絕服務攻擊，Distributed Denial Of service，簡稱DDOS。許多大型網(wǎng)站都曾被黑客利用DDOS方式攻擊而造成很大的損失。計算機網(wǎng)絡的安全-概述對于主動攻擊，可采取適當措施加以檢測。但對于被動攻擊，通常檢測不出來。計算機網(wǎng)絡通信的五個目標如下：防止析出報文內容防止信息量分析檢測更改報文流檢測拒絕報文服務檢測偽造初始化連接對被動攻擊，可采用數(shù)據(jù)加密技術對主動攻擊，將加密技術和適當?shù)蔫b別技術相結合計算機網(wǎng)絡的安全-概述特殊的主動攻擊（即惡意程序）主要有：計算機病毒（compute

5、r virus）：會傳染其他程序的程序，通過修改其他程序來把自身或其變種復制進去計算機蠕蟲（computer worm）：通過網(wǎng)絡的通信功能將自身從一個結點發(fā)送到另一結點并啟動之的程序特洛伊木馬（Trojan horse）：一種程序，它執(zhí)行超出其所聲稱的功能，如一個編譯程序除執(zhí)行編譯任務外，將用戶的源程序拷貝下來，或竊取用戶的密碼。計算機病毒有時以特洛伊木馬的形式出現(xiàn)。邏輯炸彈（logic bomb）：當運行環(huán)境滿足某種特定條件時執(zhí)行其他特殊功能的程序。如一種編輯程序，平時運行很好，但當系統(tǒng)時間為13日又為星期五時，就刪除系統(tǒng)中所有文件。計算機網(wǎng)絡的安全-概述計算機網(wǎng)絡的安全措施包括兩方面：技

6、術上管理上計算機網(wǎng)絡的安全-概述技術上措施：加密和解密物理層上防止電磁泄露網(wǎng)絡層：包過濾/訪問列表控制/路由/拓撲結構設計主機：口令/權限控制/防病毒應用層：用戶代理/應用程序控制防火墻：包過濾技術/應用網(wǎng)關技術網(wǎng)管系統(tǒng)網(wǎng)絡安全檢測工具：SATAN/sniffer系統(tǒng)備份計算機網(wǎng)絡的安全-概述管理上措施：制度職責分工教育培訓法律事件處理機制計算機網(wǎng)絡的安全口令計算機口令的設置方法：較好的方法是將一句容易記的話的縮寫或變形作為口令，如jtshtq?。ń裉焓呛锰鞖猓。┚褪且粋€不錯的口令口令長度不小于6口令至少有一個是數(shù)字，下劃線或其他特殊字符將口令大小寫混用定期更換，至少6個月改變一次不要交替使用

7、兩個口令不在一個系統(tǒng)上使用同一個口令不要將口令寫下來計算機網(wǎng)絡的安全-防火墻防火墻是從Intranet（內聯(lián)網(wǎng)）的角度來解決網(wǎng)絡的安全問題。所謂Intranet，就是指采用因特網(wǎng)技術（TCP/IP，WWW）所構建的單位內部網(wǎng)，是可信賴的網(wǎng)絡。所謂Extranet（外聯(lián)網(wǎng)），是Intranet的擴展，超過了本單位的范圍，是不可信賴的網(wǎng)絡。防火墻是設置在Intranet和Extranet之間的一道屏障，以防止發(fā)生不可預測的、潛在破壞性的侵入。計算機網(wǎng)絡的安全-防火墻防火墻是指設置在不同網(wǎng)絡或網(wǎng)絡信任域與非信任域之間的一系列功能部件的組合。通過制訂安全策略，它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流

8、，盡可能地對外部屏蔽網(wǎng)絡內部的信息、結構和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保護。防火墻是一個分離器，一個限制器，一個分析器，有效地監(jiān)控了內部網(wǎng)和Internet之間的任何活動，保證了內部網(wǎng)絡的安全計算機網(wǎng)絡的安全-防火墻位于信任網(wǎng)絡和非信任網(wǎng)絡之間的防火墻防病毒網(wǎng)關郵件/WWW服務器Internet 防火墻內部網(wǎng)serverworkstation計算機網(wǎng)絡的安全-防火墻主要技術防火墻主要采用的技術：包過濾技術網(wǎng)絡地址翻譯技術NAT應用級代理技術內容過濾技術安全服務器網(wǎng)絡SSN病毒掃描入侵檢測計算機網(wǎng)絡的安全-防火墻主要技術包過濾技術：檢查流入網(wǎng)絡信息，對IP數(shù)據(jù)包進行過濾。對防火墻需轉發(fā)的數(shù)據(jù)包

9、，先獲取包頭信息，包括IP層所承載的上層協(xié)議的協(xié)議號、數(shù)據(jù)包的源地址、目的地址、源端口、目的端口等，然后和設定的規(guī)則進行比較，根據(jù)比較的結果對數(shù)據(jù)包進行轉發(fā)或丟棄。計算機網(wǎng)絡的安全-防火墻主要技術網(wǎng)絡地址翻譯（NAT）技術：NAT (Network Address Translation）網(wǎng)絡地址翻譯：用于把內部IP地址翻譯成臨時的、外部的、注冊的IP地址的標準。它允許具有私有分配IP地址的內部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡中每臺機器取得注冊的IP地址。通過NAT功能，將所有內部主機的IP地址轉換成防火墻自身的外部有效IP地址，有效地對網(wǎng)絡的黑客隱藏了所有TCP/IP級的關于內部

10、主機的信息，同時有效的節(jié)省了寶貴的IP資源，極大地提高了網(wǎng)絡安全性和可管理性。計算機網(wǎng)絡的安全-防火墻主要技術應用級代理技術（proxy server）：由于防火墻隔開了公司內部網(wǎng)絡和外部網(wǎng)絡，同時也把內部網(wǎng)絡用戶和Internet給隔開了，也就是說對內部網(wǎng)絡用戶來說，Internet消失了。因此內部網(wǎng)絡用戶要訪問Internet的話，防火墻就要提供代理服務。防火墻一般支持的標準代理服務有WWW服務（即HTTP服務），TELNET服務，F(xiàn)TP服務，SMTP/POP3等服務計算機網(wǎng)絡的安全-防火墻主要技術內容過濾：內容過濾可以根據(jù)網(wǎng)絡傳輸數(shù)據(jù)包的內容，控制信息等來進行過濾，使得可能危害到系統(tǒng)安全

11、的數(shù)據(jù)包被阻攔在外部，從而提高系統(tǒng)的安全等級內容過濾通常包括電子郵件過濾和HTTP過濾計算機網(wǎng)絡的安全-防火墻之內容過濾郵件過濾：郵件是人們在網(wǎng)絡上最常用的信息交流方法之一，但電子郵件病毒十分猖獗，還有垃圾郵件等這些令人討厭的東西。將郵件病毒和垃圾郵件過濾掉是必需的。防火墻可以根據(jù)郵件的特征，比如郵件主題，郵件內容，甚至是有些已知的專門發(fā)垃圾郵件的郵件地址，將這些郵件過濾掉。計算機網(wǎng)絡的安全-防火墻之內容過濾HTTP過濾：根據(jù)HTTP地址過濾數(shù)據(jù)包也是很重要的一種數(shù)據(jù)過濾，防火墻系統(tǒng)會自動將指定的HTTP地址的數(shù)據(jù)包過濾掉計算機網(wǎng)絡的安全-防火墻主要技術安全服務器網(wǎng)絡（SSN，Security

12、 Server Network）：防火墻采用分別保護的策略對用戶上網(wǎng)的對外服務器（如WWW服務器/郵件服務器/FTP服務器等）實施保護，它利用一塊網(wǎng)卡將對外服務器作為一個獨立網(wǎng)絡處理，對外服務器既是內部網(wǎng)的一部分，又與內部網(wǎng)關完全隔離，這就是安全服務器網(wǎng)絡（SSN）技術。SSN與外部網(wǎng)之間、SSN與內部網(wǎng)之間都有防火墻的保護，一旦SSN受破壞，內部網(wǎng)絡仍會處于防火墻的保護之下。Internet內部網(wǎng)絡路由器SSN網(wǎng)絡WWW服務器FTP服務器郵件服務器工作站工作站外部網(wǎng)絡計算機網(wǎng)絡的安全-防火墻主要技術病毒掃描：實時掃描Internet病毒，對HTTP病毒、FTP病毒和郵件病毒進行實時檢測和過濾

13、。入侵檢測：作為監(jiān)視手段，入侵檢測構成網(wǎng)絡安全的一部分。對于非常規(guī)的，或者是黑客最新的攻擊方法，入侵檢測可以提供了一種預防手段，能及時的將黑客拒之門外。計算機網(wǎng)絡的安全-虛擬專網(wǎng)VPN虛擬私有網(wǎng)絡（VPN，Virtual Private Network）是一種利用公共網(wǎng)絡來構建的私人專用網(wǎng)絡的技術，用于構建VPN的公共網(wǎng)絡包括Internet、城域寬帶網(wǎng)等。在公共網(wǎng)絡上組建的VPN象現(xiàn)有的本地私有網(wǎng)絡一樣具有安全性、可靠性和可管理性等特點。“虛擬”的概念是相對傳統(tǒng)私有網(wǎng)絡的構建方式而言的。對于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠程線路連接來實現(xiàn)的，而VPN是利用服務提供商所提供的公共網(wǎng)絡（如In

14、ternet）來實現(xiàn)遠程的廣域連接。通過VPN，企業(yè)可以以更低的成本連接它們的遠程辦事機構、出差工作人員以及業(yè)務合作伙伴。計算機網(wǎng)絡的安全-虛擬專網(wǎng)VPN傳統(tǒng)的私有網(wǎng)絡組網(wǎng)方式：各網(wǎng)絡之間通過向電信部門申請遠程專線線路（ATM/DDN/FR/X.25/PSTN）進行連接，費用比較昂貴。遠程專線線路遠程專線線路計算機網(wǎng)絡的安全-虛擬專網(wǎng)VPNVPN的組網(wǎng)方式：各網(wǎng)絡之間通過向電信部門申請本地線路進行連接，費用比較低，且接入線路可多樣化。企業(yè)內部資源使用者只需接入本地ISP的POP（Piont Of Presence，接入服務提供點），即和總部相互通信；虛擬網(wǎng)組成之后，出差員工和外地客戶只需擁有本

15、地ISP的上網(wǎng)權限就可以訪問企業(yè)內部資源企業(yè)為開設VPN服務所需新增的設備很少，只需在資源共享處放置一臺VPN服務器就可以了VPN網(wǎng)關本地線路Internet本地線路本地線路VPN網(wǎng)關VPN網(wǎng)關計算機網(wǎng)絡的安全-虛擬專網(wǎng)VPNVPN網(wǎng)關的主要功能：隧道與加密：隧道能實現(xiàn)多協(xié)議封裝，增加VPN應用的靈活性，可以在無連接的IP網(wǎng)絡上提供點到點的邏輯通道。在安全性要求更高的場合應用加密隧道則進一步保護了數(shù)據(jù)的私有性，使得數(shù)據(jù)在網(wǎng)上傳送而不被非法窺視與篡改數(shù)據(jù)驗證：在不安全的網(wǎng)絡上，特別是構建VPN的公用網(wǎng)上，數(shù)據(jù)包有可能被非法截獲，篡改后重新發(fā)送，接收方將會接收到錯誤的數(shù)據(jù)。數(shù)據(jù)驗證使接收方可識別這

16、種篡改，保證了數(shù)據(jù)的完整性。信息隱藏：在與外部進行通信時，不一定需要用真實身份進行通信。通過地址轉換，可以做到隱藏網(wǎng)內地址、只以公共地址的方式訪問外部網(wǎng)絡。除了由內部網(wǎng)絡首先發(fā)起的連接，網(wǎng)外用戶不能通過地址轉換直接訪問網(wǎng)內資源計算機網(wǎng)絡的安全-CA認證隨著Internet的日益普及，以網(wǎng)上銀行、網(wǎng)上購物為代表的電子商務已越來越受到人們的重視，網(wǎng)絡安全成為其中一個非常重要的問題。Internet是一個虛擬的世界，因此，在電子商務中，必須從技術上保證在交易過程中能夠實現(xiàn)：身份認證（Authentication）、保密性（Privacy）、數(shù)據(jù)的完整性（Integrity）、交易的不可否認性（Non

17、-repudiation）。在采用CA認證體系之前，交易安全一直未能真正的得到解決。CA認證技術采用了加密傳輸和公開密鑰密碼技術，能夠實現(xiàn)上述要求，因此在國內外的電子商務中，都達到了廣泛的采用，以數(shù)字證書認證來保證交易能夠得到正常的執(zhí)行。計算機網(wǎng)絡的安全-CA認證在一個CA認證系統(tǒng)中，上面所列的安全通信的各個方面是如下得到實現(xiàn)的：身份認證：指的是在電子商務的交易過程中，如何對雙方進行認證，以保證交易雙方身份的正確性。可以通過公鑰證書和數(shù)字簽名技術來得以實現(xiàn)。保密性：指的是如何保證電子商務中涉及的大量保密信息在公開網(wǎng)絡傳輸過程中不被竊取?？梢酝ㄟ^加密技術實現(xiàn)。數(shù)據(jù)的完整性：指的是如何保證電子商務

18、中所傳輸?shù)慕灰仔畔⒉槐恢型敬鄹募巴ㄟ^重復發(fā)送進行虛假交易。可以通過消息摘要和數(shù)字簽名技術來實現(xiàn)。不可否認性：指的是在電子商務的交易完成后，如何保證交易的任何一方無法否認已發(fā)生的交易?？梢酝ㄟ^數(shù)字簽名技術實現(xiàn)。計算機網(wǎng)絡的安全-CA認證CA實際實現(xiàn)如下：系統(tǒng)中有一個處于核心地位的認證中心（CA,Certification Authority）。每個用戶都擁有一個由CA所頒發(fā)的公鑰證書， 用戶的身份就由該證書來標識。公鑰系統(tǒng)中的用戶都有一對相關的密鑰，用其中一個密鑰加密的信息只能被相應的另一個密鑰解密。用戶保存其中的一個密鑰作為私鑰，而把另一個公開發(fā)布為公鑰。這樣，人們可以用別人的公鑰加密信息，而只有私鑰持有者才能讀懂該信息；也可以用自己的私鑰簽名信息，其他人用對應的公鑰驗證簽名及鑒別信息發(fā)送者的身份。由于Internet是一個開放的系統(tǒng)，不同CA系統(tǒng)還可能需要進行互相通信，因此證書的格式必須遵循標準。目前公鑰證書