教學內容問題原由計算機網絡的廣泛應用,促進了社會的進步和繁榮,并為人類社會創(chuàng)造了巨大財富。但由于計算機及其網絡自身的脆弱性以及人為的攻擊破壞,也給社會帶來了損失。因此,網絡安全已成為重要研究課題。重點討論網絡安全技術措施:計算機密碼技術、防火墻技術、虛擬專用網技術、網絡病毒防治技術,以及網絡管理技術。教學重點能力要求掌握：網絡安全與管理的概念；網絡安全與管理技術應用。熟悉：計算機密碼技術、防火墻技術、虛擬專用網技術、網絡病毒防治技術。知識結構防火墻技術網絡安全與管理網絡安全技術網絡病毒防治技術破密方法現代加密方法數字認證虛擬專用網數據加密與數字認證網絡病毒的防治網絡病毒的類型網絡病毒的特點網絡安全的評價標準網絡安全的基本概念防火墻的基本結構防火墻的基本類型防火墻的基本功能防火墻的基本概念VPN的基本類型VPN的安全協(xié)議VPN的實現技術VPN的基本概念網絡管理技術簡單網絡管理協(xié)議ISO網絡管理功能域網絡管理的邏輯結構網絡管理的基本概念數據加密概念傳統(tǒng)加密方法防火墻的安全標準與產品常用網絡管理系統(tǒng)網絡性能管理與優(yōu)化計算機網絡安全技術網絡犯罪的概念

違反法律規(guī)定，利用計算機網絡信息技術進行以網絡內容為對象，并妨害網絡正常運行秩序，嚴重危害社會，依法應負刑事責任的行為。網絡犯罪與計算機犯罪區(qū)別網絡犯罪是針對和利用網絡進行的犯罪，網絡犯罪的本質特征是危害網絡及其信息的安全與秩序。所謂計算機犯罪，就是在信息活動領域中，利用計算機信息系統(tǒng)或計算機信息知識作為手段，或者針對計算機信息系統(tǒng)，對國家、團體或個人造成危害，依據法律規(guī)定，應當予以刑罰處罰的行為。網絡犯罪的特點

第一，犯罪科技含量高。第二，隱蔽性強，偵察取證難度大。第三，犯罪成本低且具有跨國性。第四，危害廣泛和后果嚴重。第五，犯罪形式多樣。第六，虛擬的現實性。犯罪形式

（1）是通過信息交換和軟件的傳遞過程，將破壞性病毒附帶在信息中傳播、在部分免費輔助軟件中附帶邏輯炸彈定時引爆、或者在軟件程序中設置后門程序的犯罪。（2）是通過非法手段，針對網絡漏洞對網絡進行技術入侵，侵入網絡后，主要以偷窺、竊取、更改或者刪除計算機信息為目的的犯罪。（3）是利用公用信息網絡侵吞公共財務，以網絡為傳播媒體在網上傳播反動言論或實施詐騙和教唆犯罪。（4）是利用現代網絡這一載體，實施侮辱、誹謗、恐嚇與敲詐勒索犯罪。（5）是利用現代網絡實施色情影視資料、淫穢物品的傳播犯罪。網絡犯罪的原因(主觀)

第一，貪圖錢財、謀取私利。第二，發(fā)泄不滿、進行報復。第三，智力挑戰(zhàn)網絡、游戲人生。第四，政治目的網絡犯罪的原因(客觀)第一，由于市場經濟的發(fā)展產生的貧富差距越來越大，而計算機時代計算機信息系統(tǒng)儲存、處理、和傳輸的數據中有大量是具有價值的信息，這些信息能夠帶來利益第二，網絡犯罪成本低效益高是犯罪誘發(fā)點。第三，網絡技術的發(fā)展和安全技術防范不同步，使犯罪分子有機可乘。第四，法律約束剛性不強。第五，網絡道德約束的綿軟和網絡道德教育的缺失第六，社會亞文化對網絡犯罪起推波助瀾的作用。預防網絡犯罪的對策

打擊和預防網絡犯罪活動，必須堅持“預防為主，打防結合”的方針，本著防范與懲處相結合的原則，應著重強化以下幾個方面：（一）加強技術管理與網絡安全管理的工作（二）完善立法（三）凈化網絡環(huán)境，加強網絡道德建設（四）強化國際合作，加大打擊力度計算機信息網絡國際聯(lián)網安全保護管理辦法(19971230)第五條任何單位和個人不得利用國際聯(lián)網制作、復制、查閱和傳播下列信息：（一）煽動抗拒、破壞憲法和法律、行政法規(guī)實施的；（二）煽動顛覆國家政權，推翻社會主義制度的；（三）煽動分裂國家、破壞國家統(tǒng)一的；（四）煽動民族仇恨、民族歧視，破壞民族團結的；（五）捏造或者歪曲事實，散布謠言，擾亂社會秩序的；（六）宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的；（七）公然侮辱他人或者捏造事實誹謗他人的；（八）損害國家機關信譽的；（九）其他違反憲法和法律、行政法規(guī)的。計算機網絡安全技術安全現狀及關鍵技術簡介據聯(lián)邦調查局統(tǒng)計，美國每年因網絡安全造成的損失高達75億美元。據美國金融時報報道，世界上平均每20秒就發(fā)生一次入侵國際互聯(lián)網絡的計算機安全事件，三分之一的防火墻被突破。

美國聯(lián)邦調查局計算機犯罪組負責人吉姆?塞特爾稱：給我精選10名“黑客”，組成個小組，90天內，我將使美國趴下。超過50%的攻擊來自內部，其次是黑客.

網絡安全事件的有關報道11/29/96CIAHOMEPAGEDOJHOMEPAGEUSAFHOMEPAGE被黑的WEB頁面

美國白宮歷史協(xié)會

美國駐華大使館網站被攻擊主服務器遭到黑客攻擊后癱瘓在啟用備份服務器后，數據大部分被刪除有CheckPoint防火墻，但防火墻行同虛設主機上沒有作過多配置，存在大量的服務安裝了pcAnywhere遠程控制軟件案例一：某電子商務網站被攻擊現象在遭到黑客攻擊后應采取的措施關鍵數據的備份主機日志檢查與備份主機的服務端口的關閉主機可疑進程的檢查主機帳號的修改防火墻的策略修改啟用防火墻日志詳細記錄避免使用的危險進程利用DiskRecovery技術對硬盤數據進行恢復案例一的教訓遭到黑客DDOS攻擊服務器被癱瘓，無法提供正常的服務來源地址有3000多個，多數來自與國內有一部分攻擊主機是電信內部的IP地址案例二：中國電信信息港被攻擊加強對骨干網設備的監(jiān)控減少骨干網上主機存在的漏洞在受到攻擊時，迅速確定來源地址，在路由器和防火墻上作一些屏蔽實現IDS和防火墻的聯(lián)動案例二的教訓21信息戰(zhàn)就是通過破壞或操縱計算機網絡上的信息流的辦法，對敵人的電話網、油氣管道、電力網、交通管制系統(tǒng)、國家資金轉移系統(tǒng)、各種銀行轉賬系統(tǒng)和衛(wèi)生保建系統(tǒng)等實施破壞，以達到戰(zhàn)略目的。戰(zhàn)爭領域應用221、低進入成本。一個形象的描述就是：一個絕頂聰明的14歲的孩子，外加一臺電腦、一個調制解調器、一條電話線就可以發(fā)動戰(zhàn)略信息戰(zhàn)進攻。一個案例：1997年，一個16歲的英國孩子和另外一個不知名的助手，打進了美國空軍最高指揮和控制研究開發(fā)機構羅姆實驗室的計算機，并以此為跳板，侵入了多臺國防承包商的計算機，乃至韓國原子能研究所的計算機。戰(zhàn)爭領域應用所謂觀念操縱，說白了就是宣傳工作。利用信息技術可以偽造文字、聲音、圖像等所有的東西。

一個案例：在海灣戰(zhàn)爭期間，美國陸軍第4心理作戰(zhàn)部隊的專家們就曾考慮過用一種叫做CommandoSolo的專用電子心理戰(zhàn)飛機控制住伊拉克的電視臺，在上面播放薩達姆·侯賽因喝威士忌、吃火腿（這兩件事都是伊斯蘭教所不允許的）的偽造錄像片。信息戰(zhàn)的經典案例觀念操縱24

俄羅斯：“電子戰(zhàn)”車臣顯神威1996年4月21日晚，車臣“總統(tǒng)”杜達耶夫在車臣西南部的格希丘村村外的田野里用衛(wèi)星移動電話打電話給“自由”廣播電臺。該電話向通信衛(wèi)星發(fā)出的無線電波被俄方的雷達截收后，俄方利用先進的計算機技術將其鎖定，準確地確定出通話者的方位，攜帶空對地精確制導炸彈的俄軍戰(zhàn)機直撲目標。幾分鐘后，兩枚俄制炸彈在距格希丘村1500米的地方爆炸。杜氏的衛(wèi)星移動電話泄了密，導致了他的死亡。信息戰(zhàn)的經典案例25封閉式系統(tǒng)的入侵方式—銀行為例

正在安裝假讀卡機于讀卡機上

26假讀卡機掩蓋真讀卡機上

27提款機旁安裝假宣傳單盒

28假宣傳單盒看象附屬提款機

29假宣傳單盒的內部結構

301、信息的收集入侵者攻擊的第一步就是盡一切可能對攻擊目標進行信息收集以獲取充足的資料。采取的方法包括：使用whois工具獲取網絡注冊信息；使用nslookup或dig工具搜索DNS表以確定機器名稱；確定了攻擊目標的基本屬性（站點地址、主機名稱），入侵者將對它們進行深入剖析。使用ping工具探尋“活”著的機器；對目標機器執(zhí)行TCP掃描以發(fā)現是否有可用服務。

黑客入侵步驟31312、實施攻擊列舉兩種攻擊方法：（1）通過發(fā)送大量數據以確定是否存在緩沖區(qū)溢出漏洞。所謂緩沖區(qū)溢出：指入侵者在程序的有關輸入項目中了輸入了超過規(guī)定長度的字符串，超過的部分通常就是入侵者想要執(zhí)行的攻擊代碼，而程序編寫者又沒有進行輸入長度的檢查，最終導致多出的攻擊代碼占據了輸入緩沖區(qū)后的內存而執(zhí)行。（2）嘗試使用簡單口令破解登錄障礙。黑客入侵步驟32以下是一個緩沖區(qū)溢出的程序：Voidfun(char*str)//注意：C語言不檢查數組邊界{charbuf[16];strcpy(buf,str);}Voidmain(){inti;charbuffer[128];for(i=0;i<127;i++)buffer[i]=‘A’;buffer[127]=0;fun(buffer);//將128字節(jié)的字符拷貝到16字節(jié)的緩沖區(qū)中

printf(“thisisatest\n”);}程序運行結果并未顯示：thisisatest。當程序執(zhí)行fun函數后，由于緩沖區(qū)溢出，程序并未返回printf語句，而是轉向了一個無法預料的地址。如果在程序的返回地址處執(zhí)行一段危險指令，則后果不堪設想。黑客入侵步驟333、安裝后門,清除日志對于入侵者而言，一旦成功地入侵了網絡中的一臺機器，入侵者現在要做的就是隱藏入侵痕跡并制造日后再攻的后門，這就需要對日志文件或其他系統(tǒng)文件進行改造，或者安裝上木馬程序、或者替換系統(tǒng)文件為后門程序。黑客入侵步驟34漏洞分析─Script描述語言ASP程序語言為一種Script描述語言。Script描述語言的特點：在程序執(zhí)行以前，所有原先是變數的地方，都會被替換成當時輸入的值。SQLInjection攻擊的原理35因此若輸入的帳號為「a’or‘’=‘’」，輸入的密碼為「a’or‘’=‘’」，則原先的SQL指令就被改成了select*fromAccountswhereId=‘a’or‘’=‘’

and

Password=‘a’or‘’=‘’select*fromAccountswhereId=‘輸入的帳號’

andPassword=‘輸入的密碼’36服務器端的程序

select*fromAccountswhereId=‘Id’and

Password=‘Password’惡意使用者輸入范例一

Login：'or''=‘Password：'or''=‘原SQL指令變成

select*fromAccountswhereId=''or''=''and

Password=''or''=''SQLInjection攻擊的原理373839Internet的攻擊類型

1.拒絕服務攻擊

（1）PING風暴（PINGFlooding）PING命令是用來在網絡中確認特定主機是否可達，但它也被用作攻擊主機的手段。2）同步包風暴（SYNFlooding）,同步風暴是應用最為廣泛的一種DOS攻擊方式。（3）電子郵件炸彈（E-mailBomb）。電子郵件炸彈的目的是通過不斷地向目標E-MAIL地址發(fā)送垃圾郵件，占滿收信者的郵箱，使其無法正常使用。（4）Land攻擊，Land攻擊的原理是：向目標主機的某個開放端口發(fā)送一個TCP包，并偽造TCP/IP地址，使得源IP地址等于目標IP地址，源端口等于目標端口，這樣，就可以造成包括WINDOWS2000在內的很多操作平臺上的主機死機。Internet的攻擊類型

2．后門

“后門”一般隱藏在操作系統(tǒng)或軟件中，不為使用者知曉為漏洞，而它可使某些人繞過系統(tǒng)的安全機制獲取訪問權限。黑客可利用一些“掃描機（scanners）”的小程序，專門尋找上網用戶的系統(tǒng)漏洞，例如NetBIOS及Windows“文件及打印共享”功能所打開的系統(tǒng)后門。一旦掃描程序在網上發(fā)現了系統(tǒng)存在著漏洞，那些惡意攻擊者就會設法通過找到的“后門”進入你的計算機，并獲取你的信息。所有的這些非法入侵行為，你可能毫無查覺。Internet的攻擊類型

3．遠程緩沖溢出攻擊

緩沖區(qū)溢出漏洞是一種利用了C程序中數組邊界條件、函數指針等設計不當而造成地址空間錯誤來實現的。大多數Windows、Linux、Unix、數據庫系統(tǒng)的開發(fā)都依賴于C語言，而C的缺點是缺乏類型安全，所以緩沖區(qū)溢出成為操作系統(tǒng)、數據庫等大型應用程序最普遍的漏洞。Internet的攻擊類型

4．網絡攻擊

網絡攻擊的主要手段表現為端口掃描，端口掃描的目的是找出目標系統(tǒng)中所提供的服務，它逐個嘗試與TCP/UDP端口建立連接，然后根據端口與服務的對應關系，綜合服務器端的反應來判斷目標系統(tǒng)運行了哪些服務。利用端口掃描，黑客可以判斷目標主機的操作系統(tǒng)類型及端口的開放情況，然后實施攻擊。Internet的攻擊類型

5．特洛伊木馬攻擊

“特洛伊木馬程序”是黑客常用的攻擊手段。它通過在你的電腦系統(tǒng)隱藏一個在Windows啟動時悄悄運行的程序，采用服務器/客戶機的運行方式，從而達到在你上網時控制你的電腦的目的。黑客可以利用它竊取你的口令、瀏覽你的驅動器、修改你的文件、注冊表等。特洛伊木馬不僅可收集信息，它還可能破壞系統(tǒng)，特洛伊木馬不能自身復制，因此，它不屬于計算機病毒。Internet的攻擊類型

6.網絡病毒

Internet的開放性，為病毒的滋生、變種和傳播提供了一個無限廣闊的空間。病毒是將自身依附于其他軟件的一段程序，目的是破壞計算機系統(tǒng)的數據或硬件，有許多專業(yè)的反病毒軟件公司開發(fā)出了很多優(yōu)秀殺毒軟件，反病毒的關鍵是找出病毒的特征碼，并且定期更新病毒數據庫。網絡病毒傳播的主要途徑是電子郵件的附件，此外，下載文件、瀏覽網頁等也都有可能讓病毒有入侵的機會。4646網際網絡否認傳送竊聽

冒名傳送篡改使用者甲使用者乙（機密性）（完整性）（身份認證）（不可否認性）

網絡安全的目標47正常干擾竊取篡改冒充網絡攻擊類型訪問攻擊訪問攻擊是攻擊者企圖獲得非授權信息，這種攻擊可能發(fā)生在信息駐留在計算機系統(tǒng)中或在網絡上傳輸的情況下，如圖所示。這類攻擊是針對信息機密性的攻擊。訪問攻擊可能發(fā)生的地方常見的訪問攻擊常見的訪問攻擊有3種：（1）窺探窺探（snooping）是查信息文件，發(fā)現某些對攻擊者感興趣的信息。攻擊者試圖打開計算機系統(tǒng)的文件，直到找到所需信息。（2）竊聽竊聽（eavesdropping）是偷聽他人的對話，為了得到非授權的信息訪問，攻擊者必須將自己放在一個信息通過的地方，一般采用電子的竊聽方式，如圖2.5所示。竊聽常見的訪問攻擊（3）截獲截獲（interception）不同于竊聽，它是一種主動攻擊方式。攻擊者截獲信息是通過將自己插入信息通過的通路，且在信息到達目的地前能事先捕獲這些信息。攻擊者檢查截獲的信息，并決定是否將信息送往目的站，如圖所示。常見的訪問攻擊常見的訪問攻擊截獲對傳輸中的信息可通過竊聽獲得。在局域網中，攻擊者在聯(lián)到網上的計算機系統(tǒng)中安裝一個信息包探測程序（sniffer），來捕獲在網上的所有通信。通常配置成能捕獲ID和口令。竊聽也可能發(fā)生在廣域網（如租用線和電話線）中，然而這類竊聽需要更多的技術和設備。通常在設施的接線架上采用T形分接頭來竊聽信息。它不僅用于電纜線，也可用于光纖傳輸線，但需要專門的設備。常見的訪問攻擊55身份認證技術訪問控制技術密碼技術防火墻技術入侵檢測技術安全審計技術保障網絡安全的關鍵技術56

在網絡中，所謂“防火墻”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說，如果不能通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。防火墻技術(Firewall)57

在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和Internet之間的任何活動，保證了內部網絡的安全。防火墻邏輯位置示意圖防火墻

防火墻（FireWall）是一種位于兩個或多個網絡間，實施網絡之間訪問控制的組件集合。它實際上是一種隔離技術。它能允許你“同意”的數據進入你的網絡，同時將你“不同意”的數據拒之門外，最大限度地阻止網絡中的黑客訪問你的網絡。INTERNET實用技術防火墻功能

（1）過濾一些不安全的服務和非法用戶，防止未授權的用戶訪問安全網絡（2）控制對特殊站點或端口的訪問，防火墻可以根據安全策略允許受保護網絡的一部分主機被外部網絡訪問，而另一部分主機則被很好地保護起來。（3）作為網絡安全的集中監(jiān)測點，防火墻可以記錄所有通過它的訪問，并提供統(tǒng)計數據、預警和審計功能。防火墻的局限性

（1）不能防范惡意的知情者從內部攻擊

（2）不能防范不通過防火墻的聯(lián)接（3）防火墻不能防范病毒61

入侵檢測的概念（IntrusionDetectionSystem）

通過從計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息并進行分析，以發(fā)現網絡或系統(tǒng)中是否有違反安全策略的行為和遭受襲擊的跡象。入侵檢測是對防火墻的合理補充，被認為是防火墻之后的第二道安全閘門。入侵檢測技術(IDS)62知識庫待檢測的數據包入侵檢測：入侵否？響應繼續(xù)監(jiān)聽，檢測下一個數據包

入侵檢測系統(tǒng)原理圖數據加密與數字認證

數據加密和數字認證是網絡信息安全的核心技術。其中，數據加密是保護數據免遭攻擊的一種主要方法；數字認證是解決網絡通信過程中雙方身份的認可，以防止各種敵手對信息進行篡改的一種重要技術。數據加密和數字認證的聯(lián)合使用，是確保信息安全的有效措施。Internet加密數據流供應商采購單位SSL安全論證網關Web服務器1、密碼學與密碼技術

計算機密碼學是研究計算機信息加密、解密及其變換的新興科學,密碼技術是密碼學的具體實現,它包括4個方面：保密(機密)、消息驗證、消息完整和不可否認性。

1保密（privacy）：在通信中消息發(fā)送方與接收方都希望保密，只有消息的發(fā)送者和接收者才能理解消息的內容。2驗證（authentication）：安全通信僅僅靠消息的機密性是不夠的，必須加以驗證，即接收者需要確定消息發(fā)送者的身份。3完整（integrity）：保密與認證只是安全通信中的兩個基本要素，還必須保持消息的完整,即消息在傳送過程中不發(fā)生改變。4不可否認（nonrepudiation）：安全通信的一個基本要素就是不可否認性，防止發(fā)送者抵賴（否定）。2、加密和解密

密碼技術包括數據加密和解密兩部分。加密是把需要加密的報文按照以密碼鑰匙（簡稱密鑰）為參數的函數進行轉換，產生密碼文件；解密是按照密鑰參數進行解密,還原成原文件。數據加密和解密過程是在信源發(fā)出與進入通信之間進行加密，經過信道傳輸,到信宿接收時進行解密,以實現數據通信保密。數據加密和解密過程如圖所示。加密密鑰報文解密原報文加密解密模型明文密文傳輸明文信源加密單元解密單元信宿66?傳統(tǒng)密碼學~1976/77-1949年Shannon的“保密通信的信息理論”?現代密碼學1976/77~today

-1976:Diffie&Hellman“公鑰密碼學的新方向”，掀起公鑰密碼研究的序幕。

-1977:美國國家標準局公布了美國的數據加密標準DES(DataEncryptionStandard)

數據加密技術——密碼學的發(fā)展(cryptography)當加密密鑰與解密密鑰相同時，這樣的加密體制稱為私鑰（單鑰或對稱）加密體制。當加密密鑰與解密密鑰不同時，這樣的加密體制稱為公鑰（雙鑰或非對稱）加密體制。3、密鑰體系加密和解密是通過密鑰來實現的。如果把密鑰作為加密體系標準，則可將密碼系統(tǒng)分為單鑰密碼（又稱對稱密碼或私鑰密碼）體系和雙鑰密碼（又稱非對稱密碼或公鑰密碼）體系。在單鑰密碼體制下，加密密鑰和解密密鑰是一樣的。在這種情況下，由于加密和解密使用同一密鑰（密鑰經密鑰信道傳給對方），所以密碼體制的安全完全取決于密鑰的安全。雙鑰密碼體制是1976年W.Diffie和M.E.Heilinan提出的一種新型密碼體制。1977年Rivest,Shamir和Adleman提出RSA密碼體制。在雙鑰密碼體制下,加密密鑰與解密密鑰是不同的,它不需要安全信道來傳送密鑰，可以公開加密密鑰，僅需保密解密密鑰。68ENetworkorStoragePlainTextCipherTextCipherTextDOriginalPlainTextBobSecretKeyAliceSecretKey對稱密碼加密模型70ENetworkPlainTextCipherTextCipherTextDPlainTextAliceBobBob:SecretKey非對稱密碼加密模型傳統(tǒng)加密方法

1、代換密碼法

⑴單字母加密方法：是用一個字母代替另一個字母,它把A變成E，B變成F，C變?yōu)镚，D變?yōu)镠。

⑵多字母加密方法：密鑰是簡短且便于記憶的詞組。

2、轉換密碼法保持明文的次序，而把明文字符隱藏起來。轉換密碼法不是隱藏它們，而是靠重新安排字母的次序。

3、變位加密法把明文中的字母重新排列,字母本身不變，但位置變了。常見的有簡單變位法、列變位法和矩陣變位法。

4、一次性密碼簿加密法就是用一頁上的代碼來加密一些詞，再用另一頁上的代碼加密另一些詞，直到全部的明文都被加密?，F代加密方法

1、DES加密算法

DES加密算法是一種通用的現代加密方法,該標準是在56位密鑰控制下,將每64位為一個單元的明文變成64位的密碼。采用多層次復雜數據函數替換算法，使密碼被破譯的可能性幾乎沒有。

2、IDEA加密算法相對于DES的56位密鑰，它使用128位的密鑰，每次加密一個64位的塊。這個算法被加強以防止一種特殊類型的攻擊,稱為微分密碼密鑰。

IDEA的特點是用了混亂和擴散等操作,主要有三種運算：異或、模加、模乘，并且容易用軟件和硬件來實現。IDEA算法被認為是現今最好的、最安全的分組密碼算法，該算法可用于加密和解密?，F代加密方法

郵件內容CH=MDS(C)S=ENRSA(H)KSM=C+S隨機加密密鑰E1=ENIDEA(M)E2=ENRSA(K)KRP將E1+E2寄出發(fā)送郵件收到E1+E2K=DERSA(E2)KRSM=DEIDEA(E1)K將M分離成C和SH1=MD5(C)取得收信人的分開密鑰KPS1=DERSA(H1)KPS1=S?NoYes接收此郵件拒絕此郵件接收郵件3、RSA公開密鑰算法

RSA是屹今為止最著名、最完善、使用最廣泛的一種公匙密碼體制。RSA算法的要點在于它可以產生一對密鑰,一個人可以用密鑰對中的一個加密消息，另一個人則可以用密鑰對中的另一個解密消息。任何人都無法通過公匙確定私匙，只有密鑰對中的另一把可以解密消息。取得收信人的分開密鑰KRP現代加密方法

4、Hash－MD5加密算法

Hash函數又名信息摘要（MessageDigest）函數，是基于因子分解或離散對數問題的函數，可將任意長度的信息濃縮為較短的固定長度的數據。這組數據能夠反映源信息的特征，因此又可稱為信息指紋（MessageFingerprint)。Hash函數具有很好的密碼學性質,且滿足Hash函數的單向、無碰撞基本要求。

5、量子加密系統(tǒng)量子加密系統(tǒng)是加密技術的新突破。量子加密法的先進之處在于這種方法依賴的是量子力學定律。傳輸的光量子只允許有一個接收者，如果有人竊聽，竊聽動作將會對通信系統(tǒng)造成干擾。通信系統(tǒng)一旦發(fā)現有人竊聽，隨即結束通信，生成新的密鑰。破密方法

1.密鑰窮盡搜索就是嘗試所有可能的密鑰組合，雖然這種密鑰嘗試通常是失敗的，但最終總會有一個密鑰讓破譯者得到原文。

2.密碼分析密碼分析是在不知密鑰的情況下利用數學方法破譯密文或找到秘密密鑰。常見的密碼分析有如下兩種：

⑴已知明文的破譯方法：是當密碼分析員掌握了一段明文和對應的密文,目的是發(fā)現加密的密鑰。在實際應用中,獲得某些密文所對應的明文是可能的。

⑵選定明文的破譯方法：密碼分析員設法讓對手加密一段分析員選定的明文，并獲得加密后的結果,以獲得確定加密的密鑰。

破密方法

3、防止密碼破譯的措施為了防止密碼破譯,可以采取一些相應的技術措施。目前通常采用的技術措施以下3種。

⑴好的加密算法：一個好的加密算法往往只有用窮舉法才能得到密鑰，所以只要密鑰足夠長就會比較安全。20世紀70～80年代密鑰長通常為48～64位，90年代,由于發(fā)達國家不準許出口64位加密產品，所以國內大力研制128位產品。

⑵保護關鍵密鑰（KCK：KEYCNCRYPTIONKEY）。

⑶動態(tài)會話密鑰：每次會話的密鑰不同。動態(tài)或定期變換會話密鑰是有好處的，因為這些密鑰是用來加密會話密鑰的，一旦泄漏，被他人竊取重要信息，將引起災難性的后果。數字認證技術

數字認證是一種安全防護技術，它既可用于對用戶身份進行確認和鑒別,也可對信息的真實可靠性進行確認和鑒別,以防止冒充、抵賴、偽造、篡改等問題。數字認證技術包括數字簽名、數字時間戳、數字證書和認證中心等。

1、數字簽名

“數字簽名”是數字認證技術中其中最常用的認證技術。在日常工作和生活中，人們對書信或文件的驗收是根據親筆簽名或蓋章來證實接收者的真實身份。在書面文件上簽名有兩個作用：一是因為自己的簽名難以否認，從而確定了文件已簽署這一事實；二是因為簽名不易偽冒，從而確定了文件是真實的這一事實。但是，在計算機網絡中傳送的報文又如何簽名蓋章呢，這就是數字簽名所要解決的問題。Key數字簽名初始文件簽名文件加密的簽名文件數字簽名初始文件數字摘要數字摘要正確初始文件HASH編碼一致KeyKeyKey數字摘要初始文件數字認證

在網絡傳輸中如果發(fā)送方和接收方的加密、解密處理兩者的信息一致，則說明發(fā)送的信息原文在傳送過程中沒有被破壞或篡改,從而得到準確的原文。傳送過程如下圖所示。

數字簽名的驗證及文件的竄送過程79隨著信息時代的來臨，人們希望通過數字通信網絡迅速傳遞貿易合同，數字簽名應運而生了。數字簽名必須保證以下三點：a、接收者能夠核實發(fā)送者對報文的簽名；b、發(fā)送者事后不能抵賴對報文的簽名；c、接收者不能偽造對報文的簽名。數字簽名技術80PublicKeyDirectoryBob:DNetworkPlainTextPlainTextBobSecretKey+CathySignatureAcceptifequalESignature?PublicKey數字簽名的原理81信息信息數字簽名數字簽名信息信息傳送A方——數字簽名發(fā)送方B方——數字簽名驗證方數字簽名驗證過程A方私鑰A方公鑰相等？確認數字簽名的原理數字認證

2、數字時間戳（DTS）

在電子交易中,同樣需要對交易文件的日期和時間信息采取安全措施，數字時間戳就是為電子文件發(fā)表的時間提供安全保護和證明的。DTS是網上安全服務項目,由專門的機構提供。數字時間戳是一個加密后形成的憑證文檔,它包括三個部分：

◆需要加時間戳的文件的摘要

◆DTS機構收到文件的日期和時間

◆DTA機構的數字簽名數字時間戳的產生過程：用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然后將這個摘要發(fā)送到DTS機構，DTS機構在加入了收到文件摘要的日期和時間信息后，再對這個文件加密（數字簽名），然后發(fā)送給用戶。數字認證

3、數字證書

數字認證從某個功能上來說很像是密碼，是用來證實你的身份或對網絡資源訪問的權限等可出示的一個憑證。數字證書包括：

1客戶證書：以證明他（她）在網上的有效身份。該證書一般是由金融機構進行數字簽名發(fā)放的，不能被其它第三方所更改。2商家證書：是由收單銀行批準、由金融機構頒發(fā)、對商家是否具有信用卡支付交易資格的一個證明。3網關證書：通常由收單銀行或其它負責進行認證和收款的機構持有?？蛻魧ぬ柕刃畔⒓用艿拿艽a由網關證書提供。4CA系統(tǒng)證書：是各級各類發(fā)放數字證書的機構所持有的數字證書，即用來證明他們有權發(fā)放數字證書的證書。數字認證

持卡人CCA持卡證件商家MCA商家證件支持網關PCA支付網關證件根CA品牌CA地方CACA認證體系的層次結構

4、認證中心（CA）

認證中心是承擔網上安全電子交易認證服務、簽發(fā)數字證書并能確認用戶身份的服務機構。它的主要任務是受理數字憑證的申請，簽發(fā)數字證書及對數字證書進行管理。

CA認證體系由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付網關CA等不同層次構成，上一級CA負責下一級CA數字證書的申請簽發(fā)及管理工作。851、基于生理特征的身份認證指紋、臉型、聲音等進行身份認證要求使用諸如指紋閱讀器，臉型掃描器，語音閱讀器等價格昂貴的硬件設備。由于驗證身份的雙方一般都是通過網絡而非直接交互，所以該類方法并不適合于在諸如Internet或無線應用等分布式的網絡環(huán)境。身份認證技術862、基于約定的口令進行身份認證用戶服務器中口令對照表用戶ID，口令該方案有兩個弱點：容易受到重傳攻擊；傳統(tǒng)方式是將用戶口令放在服務器的文件中，那么一旦該文件暴露，則整個系統(tǒng)將處于不安全的狀態(tài)。身份認證技術873、動態(tài)口令（一次口令）身份認證1991年貝爾通信研究中心研制出基于一次口令思想的身份認證系統(tǒng)S/KEY，該系統(tǒng)使用MD4作為其單向hash函數目前存在很多動態(tài)口令方案，但未存在非常完善的方案基于智能卡的動態(tài)口令方案身份認證技術黑客與病毒計算機網絡安全技術黑客(Hacker)源于英語動詞Hack，意為“劈、砍”，引申為“辟出、開辟”，進一步的意思是“干了一件非常漂亮的工作”。在20世紀早期的麻省理工學院校園口語中，黑客則有“惡作劇”之意，尤其是指手法巧妙、技術高明的惡作劇。有一部分人認為，黑客是“熱愛并精通計算機技術的網絡狂熱者”，并賦予他們“網上騎士”桂冠；相反，另一部分人則認為黑客是“企圖非法獲取計算機系統(tǒng)訪問權的人”，甚至將其描述為“網絡恐怖主義分子”；大多數人則認為，黑客是“試圖通過網絡非法獲取他人計算機系統(tǒng)訪問權并濫用計算機技術的人”。黑客概述根據我國現行法律的有關規(guī)定，對黑客可以給出兩個定義：廣義的黑客是指利用計算機技術，非法侵入或擅自操作他人(包括國家機關、社會組織及個人)計算機信息系統(tǒng)，對電子信息交流安全具有不同程度的威脅性和危害性的人；狹義的黑客，是指利用計算機技術，非法侵入并擅自操作他人計算機信息系統(tǒng)，對系統(tǒng)功能、數據或者程序進行干擾、破壞，或者非法侵入計算機信息系統(tǒng)并擅自利用系統(tǒng)資源，實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的人。黑客定義俠客、駭客和入侵者“黑客”是一個精通計算機技術的特殊群體?？煞譃?類：“俠客（Hackers）”，他們多是好奇者和愛出風頭者；“駭客（Crackers）”，他們是一些不負責的惡作劇者；“入侵者（Intruder），他們是有目的的破壞者。黑客的分類灰帽子破解者破解已有系統(tǒng)發(fā)現問題/漏洞突破極限/禁制展現自我計算機為人民服務漏洞發(fā)現-袁哥等軟件破解-0Day工具提供-Numega白帽子創(chuàng)新者設計新系統(tǒng)打破常規(guī)精研技術勇于創(chuàng)新沒有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲病毒商業(yè)間諜人不為己，天誅地滅入侵者-K.米特尼克CIH-陳英豪攻擊Yahoo者-匿名惡渴求自由安全攻防技術黑客簡史19801985199019952000密碼猜測可自動復制的代碼密碼破解利用已知的漏洞破壞審計系統(tǒng)后門會話劫持擦除痕跡嗅探包欺騙GUI遠程控制自動探測掃描拒絕服務www攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺入侵檢測網絡管理DDOS攻擊2002高入侵技術的發(fā)展黑客入侵的行為模型計算機網絡安全技術安全基礎網絡安全技術

隨著計算機網絡技術的發(fā)展，網絡的安全性和可靠性成為各層用戶所共同關心的問題。人們都希望自己的網絡能夠更加可靠地運行，不受外來入侵者的干擾和破壞，所以解決好網絡的安全性和可靠性，是保證網絡正常運行的前提和保障。Internet防火墻學生區(qū)InfoGateIIS服務Web服務DMZ區(qū)教工區(qū)安全垃圾郵內容審計件網關過濾數據庫服務器群應用服務器群1、網絡安全要求網絡安全，是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護,不受偶然或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不會中斷。身份認證完整性保密性授權和訪問控制可用性不可抵賴性2、網絡安全威脅

一般認為，黑客攻擊、計算機病毒和拒絕服務攻擊等3個方面是計算機網絡系統(tǒng)受到的主要威脅。黑客攻擊計算機病毒拒絕服務攻擊黑客使用專用工具和采取各種入侵手段非法進入網絡、攻擊網絡,并非法使用網絡資源。

計算機病毒侵入網絡，對網絡資源進行破壞，使網絡不能正常工作，甚至造成整個網絡的癱瘓。攻擊者在短時間內發(fā)送大量的訪問請求，而導致目標服務器資源枯竭，不能提供正常的服務。3、網路安全漏洞

網絡安全漏洞實際上是給不法分子以可乘之機的“通道”,大致可分為以下3個方面。網絡的漏洞

服務器的漏洞操作系統(tǒng)的漏洞包括網絡傳輸時對協(xié)議的信任以及網絡傳輸漏洞，比如IP欺騙和信息腐蝕就是利用網絡傳輸時對IP和DNS的信任。利用服務進程的bug和配置錯誤,任何向外提供服務的主機都有可能被攻擊。這些漏洞常被用來獲取對系統(tǒng)的訪問權。Windows和UNIX操作系統(tǒng)都存在許多安全漏洞,如Internet蠕蟲事件就是由UNIX的安全漏洞引發(fā)的。4、網絡安全攻擊要保證運行在網絡環(huán)境中的信息安全,首先要解決的問題是如何防止網絡被攻擊。根據SteveKent提出的方法,網絡安全攻擊可分為被動攻擊和主動攻擊兩大類，如圖所示。圖:網絡安全攻擊分類被動攻擊

截獲(秘密)分析信息內容通信量分析主動攻擊

拒絕篡改偽造重放(可用性)(完整性)(真實性)(時效性)被動攻擊不修改信息內容，所以非常難以檢測，因此防護方法重點是加密。主動攻擊是對數據流進行破壞、篡改或產生一個虛假的數據流。5、網絡安全破壞

1中斷（Interruption）：中斷是對可利用性的威脅。例如破壞信息存儲硬件、切斷通信線路、侵犯文件管理系統(tǒng)等。2竊?。↖nterception）：入侵者竊取信息資源是對保密性的威脅。入侵者竊取線路上傳送的數據，或非法拷貝文件和程序等。3篡改（Modification）：篡改是對數據完整性的威脅。例如改變文件中的數據，改變程序功能，修改網上傳送的報文等。4假冒（Fabrication）：入侵者在系統(tǒng)中加入偽造的內容，如像網絡用戶發(fā)送虛假的消息、在文件中插入偽造的記錄等。網絡安全破壞的技術手段是多種多樣的，了解最通常的破壞手段，有利于加強技術防患。網絡安全的評價標準計算機系統(tǒng)的安全等級由低到高順序：D；C1C2；B1B2B3；A。如圖所示。TCSEC安全體系可信計算機系統(tǒng)評測準則C2：受控訪問保護C1：自主安全保護A1：驗證設計D1：最小保護B2：結構安全保護B1：標志安全保護B3：安全域C類A類D類B類1、國際評價標準20世紀90年代開始，一些國家和國際組織相繼提出了新的安全評測準則。1991年,毆共體發(fā)布了“信息技術安全評測準則”；1993年，加拿大發(fā)布了“加拿大可信計算機產品評測準則”；1993年6月,上述國家共同起草了一份通用準則,并將CC推廣為國際標準。國際安全評測標準的發(fā)展如圖所示。1993年加拿大可信計算機產品評測準則1991年歐洲信息技術安全評測準則1991年美國聯(lián)邦政府評測標準1983年美國國防部可信計算機評測準則1996年國際通用準則（CC）1999年CC成為國際標準國際安全評測標準的發(fā)展與聯(lián)系2、我國評價標準分如下五個級別

1級用戶自主保護級：它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。2級系統(tǒng)審計保護級：除具備第一級外，要求創(chuàng)建和維護訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負責。3級安全標記保護級：除具備上一級外，要求以訪問對象標記的安全級別限制訪問者的訪問權限，實現對訪問對象的強制保護。4級結構化保護級：在繼承前面功能基礎上，將安全保護機制劃分為關鍵部分和非關鍵部分，從而加強系統(tǒng)的抗?jié)B透能力。5級訪問驗證保護級：這一個級別特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動。網絡安全措施

在網絡設計和運行中應考慮一些必要的安全措施，以便使網絡得以正常運行。網絡的安全措施主要從物理安全、訪問控制、傳輸安全和網絡安全管理等4個方面進行考慮。

1、物理安全措施

物理安全性包括機房的安全、所有網絡的網絡設備（包括服務器、工作站、通信線路、路由器、網橋、磁盤、打印機等）的安全性以及防火、防水、防盜、防雷等。網絡物理安全性除了在系統(tǒng)設計中需要考慮之外，還要在網絡管理制度中分析物理安全性可能出現的問題及相應的保護措施。

2、訪問控制措施

訪問控制措施的主要任務是保證網絡資源不被非法使用和非常規(guī)訪問。其包括以下８個方面：網絡安全措施

1入網訪問控制：控制哪些用戶能夠登錄并獲取網絡資源，控制準許用戶入網的時間和入網的范圍。2網絡的權限控制：是針對網絡非法操作所提出的一種安全保護措施，用戶和用戶組被授予一定的權限。3目錄級安全控制：系統(tǒng)管理權限、讀權限、寫權限、創(chuàng)建權限、刪除權限、修改權限、文件查找權限和存取控制權限8種。4屬性安全控制：網絡管理員給文件、目錄等指定訪問屬性，將給定的屬性與網絡服務器的文件、目錄和網絡設備聯(lián)系起來。5網絡服務器安全控制：包括設置口令鎖定服務器控制臺，設定登錄時間限制、非法訪問者檢測和關閉的時間間隔等。網絡安全措施

6網絡檢測和鎖定控制：網絡管理員對網絡實施監(jiān)控，服務器應記錄用戶對網絡資源的訪問，對于非法訪問應報警。7

網絡端口和節(jié)點的安全控制：網絡服務器端口使用自動回呼設備、靜默調制解調器加以保護,并以加密形式識別節(jié)點的身份。8防火墻控制：防火墻成為是互連網絡上的首要安全技術，是設置在網絡與外部之間的一道屏障。

3、網絡通信安全措施

⑴建立物理安全的傳輸媒介

⑵對傳輸數據進行加密：保密數據在進行數據通信時應加密，包括鏈路加密和端到端加密。網絡安全管理措施除了技術措施外，加強網絡的安全管理，制定相關配套檢查和互協(xié)滲透測試安全設計設備配置安全漏洞分析安全策略安全需求安全結構安全評估安全評估安全評估的規(guī)章制度、確定安全管理等級、明確安全管理范圍、采取系統(tǒng)維護方法和應急措施等,對網絡安全、可靠地運行，將起到很重要的作用。實際上，網絡安全策略是一個綜合,要從可用性、實用性、完整性、可靠性和保密性等方面綜合考慮，才能得到有效的安全策略。防火墻的邏輯結構示意圖

1、什么是防火墻

為了防止病毒和黑客，可在該網絡和Internet之間插入一個中介系統(tǒng)，豎起一道用來阻斷來自外部通過網絡對本網絡的威脅和入侵的安全屏障，其作用與古代防火磚墻有類似之處，人們把這個屏障就叫做“防火墻”，其邏輯結構如下圖所示。防火墻技術

外部網絡內部網絡防火墻的基本概念2、防火墻的基本特性

①所有內部和外部網絡之間傳輸的數據必須通過防火墻。②只有被授權的合法數據即防火墻系統(tǒng)中安全策略允許的數據可以通過防火墻。③防火墻本身不受各種攻擊的影響。

3、防火墻的基本準則

⑴過濾不安全服務：防火墻應封鎖所有的信息流,然后對希望提供的安全服務逐項開放，把不安全的服務或可能有安全隱患的服務一律扼殺在萌芽之中。

⑵過濾非法用戶和訪問特殊站點：防火墻允許所有用戶和站點對內部網絡進行訪問，然后網絡管理員按照IP地址對未授權的用戶或不信任的站點進行逐項屏蔽。防火墻的基本功能

1、作為網絡安全的屏障

防火墻作為阻塞點、控制點，能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。

2、可以強化網絡安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件（口令、加密、身份認證、審計等）配置在防火墻上。

3、對網絡存取和訪問進行監(jiān)控審計

所有的外部訪問都經過防火墻時，防火墻就能記錄下這些訪問，為網絡使用情況提供統(tǒng)計數據。當發(fā)生可疑信息時防火墻能發(fā)出報警，并提供網絡是否受到監(jiān)測和攻擊的詳細信息。

4、可以防止內部信息的外泄

利用防火墻可以實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。防火墻的基本類型1、網絡級防火墻（NetworkGateway）網絡級防火墻主要用來防止整個網絡出現外來非法的入侵。包過濾路由器的工作原理示意圖內部網絡物理層分組過濾規(guī)則數據鏈跑層Internet外部網絡網絡層物理層數據鏈跑層網絡層包過濾路由器防火墻的基本類型

2、應用級防火墻（ApplicationGateway）

這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是代理服務器技術。在外部網絡向內部網絡申請服務時發(fā)揮了中間轉接的作用。代理防火墻的最大缺點是速度相對比較慢。應用級代理工作原理下圖所示。應用級代理工作原理示意圖內部網絡真正服務器代理服務器實際的連接實際的連接外部網絡客戶虛擬的連接Internet防火墻防火墻的基本類型

3、電路級防火墻（Gateway）

電路級防火墻也稱電路層網關,是一個具有特殊功能的防火墻。電路級網關只依賴于TCP連接，并不進行任何附加的包處理或過濾。與應用級防火墻相似,電路級防火墻也是代理服務器,只是它不需要用戶配備專門的代理客戶應用程序。另外,電路級防火墻在客戶與服務器間創(chuàng)建了一條電路,雙方應用程序都不知道有關代理服務的信息。

4、狀態(tài)監(jiān)測防火墻（StatefuinspectionGateway）

狀態(tài)檢測是比包過濾更為有效的安全控制方法。對新建的應用連接,狀態(tài)檢測檢查預先設置的安全規(guī)則,允許符合規(guī)則的連接通過,并在內存中記錄下該連接的相關信息,生成狀態(tài)表。對該連接的后續(xù)數據包,只要符合狀態(tài)表就可以通過。防火墻的基本結構

1、雙宿主機網關（DualHomedGateway）雙宿主機網關是用一臺裝有兩個網絡適配器的雙宿主機做防火墻,其中一個是網卡,與內網相連；另一個可以是網卡、調制解調器或ISDN卡。雙宿主機網關的弱點是一旦入侵者攻入堡壘主機并使其具有路由功能，則外網用戶均可自由訪問內網。雙宿主機網關工作原理圖如圖7-13所示。雙宿堡壘主機Internet雙宿堡壘主機內網防火墻的基本結構

2、屏蔽主機網關（ScreenedHostGateway）

⑴單宿堡壘主機：是屏蔽主機網關的一種簡單形式,單宿堡壘主機只有一個網卡，并與內部網絡連接。通常在路由器上設立過濾規(guī)則，并使這個單宿堡壘主機成為可以從Internet上訪問的唯一主機。而Intranet內部的客戶機，可以受控地通過屏蔽主機和路由器訪問Internet,其工作原理圖如下圖所示。屏蔽主機網關單宿堡壘主機Internet雙宿堡壘主機內網防火墻的基本結構

⑵雙宿堡壘主機：是屏蔽主機網關的另一種形式,與單宿堡壘主機相比，雙宿堡壘主機有兩塊網卡，一塊連接內部網絡，一塊連接路由器。雙宿堡壘主機在應用層提供代理服務比單宿堡壘主機更加安全。屏蔽主機網關雙宿堡壘主機工作原理圖如下圖所示。屏蔽主機網關雙宿堡壘主機Internet雙宿堡壘主機內網防火墻的基本結構

3、屏蔽子網（ScreenedSubnetGateway）屏蔽子網是在內部網絡與外部網絡之間建立一個起隔離作用的子網。內部網絡和外部網絡均可訪問屏蔽子網，它們不能直接通信，但可根據需要在屏蔽子網中安裝堡壘主機，為內部網絡和外部網絡之間的互訪提供代理服務。屏蔽子網工作原理圖如圖7-16所示。屏蔽子網防火墻內網屏蔽子網Internet防火墻的安全標準與產品

1、防火墻的安全標準

⑴Secure/WAN（S/WAN）標準⑵FWPD（FireWallProductDeveloper）聯(lián)盟制訂的防火墻測試標準

2、常見的防火墻產品

1、什么是虛擬專用網

防火墻用來將局域網與Internet分隔開來，阻止來自外部網絡的損壞。隨著企業(yè)網應用的不斷擴大，企業(yè)網的范圍也不斷擴大，從一個本地網絡發(fā)展到一個跨地區(qū)跨城市甚至跨國家的網絡,為保證區(qū)域間流通的企業(yè)信息安全,通過租用昂貴的跨地區(qū)數字專線方式建立物理上的專用網非常困難。隨著計算機網絡應用技術的發(fā)展，現在可通過Internet提供的虛擬專用網(VirtualPrivateNetwork，VPN)技術，使家庭辦公、移動用戶或其它用戶主機可以很方便地訪問企業(yè)服務器。用戶就像通過專線連接一樣，而感覺不到公網的存在，這種網絡被稱為VPN的基本結構如圖7-17所示。VPN的基本概念VPN的基本概念

VPN是通過一個公用網絡建立的一個臨時、安全的連接方式,是一條穿越混亂的公用網絡的安全、穩(wěn)定的隧道，其目標是在不安全的公用網絡上建立一個安全的專用通信網絡。

VPN的最大優(yōu)點是無需租用電信部門的專用線路，而由本地ISP所提供的VPN服務所替代。因此，人們越來越關注基于Internet的VPN技術及其應用。圖7-17虛擬專用網示意圖VPN服務器明文共用網絡密文VPN隧道數據分組

VPN連接明文VPN服務器

2、虛擬專用網的安全性

VPN實際上是一種服務，是企業(yè)內部網的擴展。VPN中傳輸的是企事業(yè)或公司的內部信息，因此數據的安全性非常重要。VPN保證數據的安全性主要包括以下3個方面。

⑴數據保密性（Confidentiality）：通過數據加密來確保數據通過公網傳輸時外人無法看到或截獲，即使被他人看到也不會泄露。

⑵身份驗證(Authentication）：對通信實體的身份認證和信息的完整性檢查，能夠對于不同的用戶必須授予不同的訪問權限,確保數據是從正確的發(fā)送方傳輸來的。

⑶數據完整性（Integrity）：確保數據在傳輸過程中沒有被非法改動，保持數據信息原樣地到達目的地。VPN的基本概念

3、VPN的特點

VPN最終用戶提供類似于專用網絡性能的網絡服務技術,并具有以下特點。

⑴安全性高：VPN可以幫助遠程用戶、公司分支機構、商業(yè)伙伴同公司內部網之間建立可信的安全連接，并保證數據的安全傳輸。

⑵降低成本：VPN是建立在現有網絡硬件設施基礎上，因此可以保護用戶現有的網絡設施投資；大幅度地減少用戶在WAN和遠程連接上的費用；降低企業(yè)內部網絡的建設成本。

⑶優(yōu)化管理：采用VPN方案可以簡化網絡設計和管理，加速連接新的用戶和網站。同時，能夠極大地提高用戶網絡運營和管理的靈活性。VPN的基本概念

VPN的實現技術

1、隧道技術隧道技術是一種通過使用互聯(lián)網絡的基礎設施在網絡之間傳遞數據的方式,是VPN的核心。隧道技術是在公用網建立一條專用數據“通道”，以實現點對點的連接，讓來自不同數據源的網絡業(yè)務經由不同的“通道”在相同的網絡體系結構上傳輸，并且允許網絡協(xié)議穿越不兼容的體系結構。隧道的組成如圖所示。隧道的組成ISP接入集線器MobilePC隧道終結器交換機ISPVPNGateway互聯(lián)網VPN的實現技術

2、加解密技術（Encryption&Decryption）對通過公用互聯(lián)網絡傳遞的數據必須經過加密，確保網絡其它未授權的用戶無法讀取該信息。

3、密鑰管理技術（KeyManagement）密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行常用密鑰管理技術可分為SKIP與ISAKMP／Oakley兩種。

4、身份認證技術（Authentication）公用網絡上有眾多的使用者與設備，如何正確地辨認合法的使用者與設備，使屬于本單位的人員與設備能互通，構成一個VPN并讓未授權者無法進人系統(tǒng),這就是使用者與設備身份認證技術要解決的問題。VPN的實現技術

5、VPN的應用平臺

VPN設備選擇的標準主要取決于應用程序運行的安全級別和性能要求，而在技術方法上VPN是通過平臺來實現的。目前VPN的應用平臺可分為3種類型。

⑴基于軟件的VPN：當數據連接速度較低，對性能和安全性要求不高時，利用一些軟件提供的功能便可實現簡單的VPN功能。

⑵基于專用硬件平臺的VPN：當企業(yè)和用戶對數據安全與通信性能要求很高時，可采用專用硬件平臺實現VPN功能。

⑶輔助硬件平臺的VPN：以現有網絡設備為基礎，在添加適當的VPN軟件的情況下實現VPN功能。網絡安全性和通信性能介于上述兩者之間。VPN的安全協(xié)議

網絡隧道協(xié)議有兩種：一種是二層隧道協(xié)議，用于傳輸二層網絡協(xié)議數據，以構建遠程訪問虛擬專用網；另一種是三層隧道協(xié)議，用于傳輸三層網絡協(xié)議，以構建企業(yè)內部虛擬專用網和擴展的企業(yè)內部VPN。

1、二層隧道協(xié)議（PPTP／P2TP）

⑴PPTP：是點對點隧道協(xié)議，它是由

Microsoft公司提出的、被嵌入到Windows中的、用于路由和遠程服務的數據鏈路層協(xié)議。PPTP用IP包來封裝PPP數據幀，用簡單的包過濾和域控制來實現訪問控制。

⑵L2TP：是第二層隧道轉發(fā)協(xié)議，它是由PPTP和L2F組合而成，可用于基于Internet的遠程撥號訪問。還可以為使用PPP的客戶端建立撥號方式的VPN連接。L2TP可用于傳輸多種協(xié)議，如NetBIOS等。VPN的安全協(xié)議2、三層隧道協(xié)議（IPSec）

IPSec是一組開放性協(xié)議的總稱，它包括認證頭(AH）、Internet安全協(xié)會與密鑰管理協(xié)議（ISAKMP）和安全封裝載荷（ESP）三個子協(xié)議。IPSec具有以下三個特性。

⑴保密性：IPSec在數據傳輸之前先進行加密，以確保的私有性。

⑵可靠性：數據到達目標方之后進行驗證,保證數據在傳輸過程中沒有被修改或替換。

⑶真實性：對主機和端點進行身份鑒別。

IPSec有兩種工作模式,即運輸模式和隧道模式。在隧道模式下,IPSec把IP分組封裝在一個安全的數據報中，確保從一個防火墻到另一個防火墻的通信安全性。VPN的基本類型圖7-19VPN的三種服務類型公用網絡AccessVPNExtranetVPNInternetVPN合作伙伴子公司總公司

根據業(yè)務類型和和組網方式的不同，VPN業(yè)務大致可分為3類，如圖7-19所示。VPN的基本類型

1、內部網VPN（IntranetVPN）內部網是指企業(yè)的總部與分支機構間通過公網構筑的虛擬網,它通過公用網絡將一個組織的各分支機構的LAN連接而成的網絡，即Intranet，它是公司內部網絡的擴展。內部網VPN用于公司遠程分支機構的LAN之間或公司遠程分支機構的LAN與公司總部LAN之間進行互聯(lián)，以便公司內部的資源共享、文件傳遞等，可節(jié)省DDN等專線所帶來的高額費用。內部網VPN的配置如圖7-20所示。VPNServerInternet外部網絡內部網絡RouterRouterVPNServer圖7-20內部網VPN的配置VPN的基本類型2、遠程訪問VPN（AccessVPN）

遠程訪問也稱為撥號VPN，是指企業(yè)員工或企業(yè)的小分支機構通過公網遠程撥號的方式構筑的虛擬網，用于在遠程用戶或移動雇員和公司內部網之間進行互聯(lián)。遠程訪問VPN的優(yōu)點是可以實現“透明訪問策略”，即遠程用戶可以與主機如同在同一個LAN中一樣自由地訪問LAN上的資源。

遠程網VPN的配置如圖7-21所示。圖7-21遠程網VPN的配置VPNServerInternet內部網絡FirewallMobilePCDesktopPCVPN的基本類型3、外聯(lián)網VPN（ExtranetVPN）外聯(lián)網是指企業(yè)間發(fā)生收購、兼并或企業(yè)間的戰(zhàn)略聯(lián)盟,使不同企業(yè)網通過公網來構筑的虛擬網，用于在供應商、商業(yè)合作伙伴的LAN和公司的LAN之間進行互聯(lián)。外聯(lián)網VPN通過一個共享基礎設施將客戶、供應商、合作伙伴等連接到企業(yè)內部網，既可以向外提供有效的信息服務，又可以保證自身的內部網絡的安全。外連網VPN的配置如圖7-22所示。圖7-22外聯(lián)網VPN的配置WWWServerInternet內部網絡內部網絡VPNServerFirewallVPNServerFirewall網絡病毒防治技術

計算機病毒是由計算機黑客編寫的有害程序,具有自我傳播和繁殖的能力，破壞計算機的正常工作。

Internet/Intranet的迅速發(fā)展和廣泛應用給病毒提供了新的傳播途徑，網絡將正逐漸成為病毒的第一傳播途徑。

Internet/Intranet帶來了兩種不同的安全威脅：一種威脅來自文件下載，這些被瀏覽的或是通過FTP下載的文件中可能存在病毒；另一種威脅來自電子郵件。網絡使用的簡易性和開放性使得這種威脅越來越嚴重。正因為如此，網絡病毒的防治技術顯得越來越重要。因此，網絡病毒的傳播、再生、發(fā)作將造成比單機病毒更大危害。網絡病毒的特點

網絡病毒的特點1.感染方式多2.感染速度快3.清除難度大4.破壞性強5.激發(fā)形式多樣6.潛在性

計算機網絡的主要特點是資源共享。那么，一旦共享資源染上病毒，網絡各結點間信息的頻繁傳輸將把病毒感染到共享的所有機器上，從而形成多種共享資源的交叉感染。在網絡環(huán)境中的病毒具有以下6個方面的特點：網絡病毒的類型

1、GPI（GetPasswordI）病毒

GPI病毒是由歐美地區(qū)興起的專攻網絡的一類病毒，該病毒的威力在于“自上而下”，可以“逆流而上”的傳播。

2、電子郵件病毒由于電子郵件的廣泛使用，E-mail已成為病毒傳播的主要途徑之一。

3、網頁病毒網頁病毒主要指Java及ActiveX病毒，它們大部分都保存在網頁中，所以網頁也會感染病毒。

4、網絡蠕蟲程序是一種通過間接方式復制自身的非感染型病毒，它的傳播速度相當驚人，給人們帶來難以彌補的損失。網絡病毒的防治

1、病毒的預防引起網絡病毒感染的主要原因在于網絡用戶本身。因此,防范網絡病毒應從兩方面著手。第一，對內部網與外界進行的數據交換進行有效的控制和管理,同時堅決抵制盜版軟件；第二，以網為本，多層防御，有選擇地加載保護計算機網絡安全的網絡防病毒產品。

2、病毒清除可靠、有效地清除病毒,并保證數據的完整性是一件非常必要和復雜的工作。優(yōu)秀的防毒軟件應該不僅能夠正確識別已有的病毒變種，同時也應該能夠識別被病毒感染的文件。然而，防毒軟件并不是萬能的，對付計算機病毒的最好方法是要積極地做好預防工作,而不能寄托于病毒工具軟件。網絡管理技術

1、網絡管理的定義網絡管理是一項復雜的系統(tǒng)工程,它涉及到以下3個方面。

⑴網絡服務提供：是指向用戶提供新的服務類型、增加網絡設備、提高網絡性能等。

⑵網絡維護：是指網絡性能監(jiān)控、故障報警、故障診斷、故障隔離與恢復等。

⑶網絡處理：是指網絡線路、設備利用率、數據的采集、分析，以及提高網絡利用率的各種控制。

2、網絡管理標準化

在ISO的OSI-RM的基礎上，由AT&T、英國電信等100多著名大公司組成的OSI/NMF(網絡管理論壇）定義了OSI網絡管理框架下的5個管理功能區(qū)域，并形成了多項協(xié)議。7.6.1網絡管理的基本概念網絡管理的邏輯結構

被管系統(tǒng)管理信息庫進程管理代理被管對象管理系統(tǒng)管理協(xié)議通知執(zhí)行管理操作通知操作圖7-24網絡管理系統(tǒng)邏輯模型1、網絡管理系統(tǒng)的邏輯模型

⑴被管對象：經過抽象的網絡元素，對應于網絡中具體可以操作的數據。⑵管理進程：負責對網絡設備進行全面管理與控制的軟件。⑶管理信息庫：可看作為管理進程的一部分,用于記錄網絡中被管理對象的