稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息平安

技術(shù)培訓(xùn)班

網(wǎng)絡(luò)平安

2004年6月主要內(nèi)容網(wǎng)絡(luò)平安簡(jiǎn)介T(mén)CP/IP網(wǎng)絡(luò)平安分析網(wǎng)絡(luò)平安概念和手段介紹平安建議網(wǎng)絡(luò)平安展望冒名頂替廢物搜尋身份識(shí)別錯(cuò)誤不平安效勞配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號(hào)進(jìn)入算法考慮不周隨意口令口令破解口令圈套竊聽(tīng)偷竊網(wǎng)絡(luò)平安威脅線(xiàn)纜連接身份鑒別編程系統(tǒng)漏洞物理威脅網(wǎng)絡(luò)平安威脅網(wǎng)絡(luò)平安威脅中國(guó)黑客攻擊美國(guó)網(wǎng)站(1)中國(guó)黑客攻擊美國(guó)網(wǎng)站(2)中國(guó)黑客攻擊美國(guó)網(wǎng)站(3)中國(guó)被黑網(wǎng)站一覽表://sn/西安信息港

:///貴州方志與地情網(wǎng)

中國(guó)青少年開(kāi)展基金會(huì)://(放有不良圖片，現(xiàn)已被中國(guó)黑客刪除)

://福建外貿(mào)信息網(wǎng)

:///湖北武昌區(qū)政府信息網(wǎng)(恢復(fù))

://桂林圖書(shū)館

://ipc.ac/中國(guó)科學(xué)院理化技術(shù)研究所

中國(guó):://beijing-radio/

中國(guó)科學(xué)院心理研究所psych.ac國(guó)內(nèi)外黑客組織北京綠色聯(lián)盟技術(shù)公司(nsfocus)中國(guó)紅客聯(lián)盟(www)中國(guó)鷹派(chinawill)中國(guó)黑客聯(lián)盟HackweiserProphetAcidklownPoizonboxPrimeSuspectzSubexSVUNHi-Tech網(wǎng)絡(luò)病毒紅色代碼尼姆達(dá)沖擊波震蕩波

木馬工行密碼盜取ＱＱ木馬其它后門(mén)工具平安威脅實(shí)例用戶(hù)使用一臺(tái)計(jì)算機(jī)D訪問(wèn)位于網(wǎng)絡(luò)中心效勞器S上的webmail郵件效勞，存在的平安威脅：U在輸入用戶(hù)名和口令時(shí)被錄像機(jī)器D上有keylogger程序，記錄了用戶(hù)名和口令機(jī)器D上存放用戶(hù)名和密碼的內(nèi)存對(duì)其他進(jìn)程可讀，其他進(jìn)程讀取了信息，或這段內(nèi)存沒(méi)有被清0就分配給了別的進(jìn)程，其他進(jìn)程讀取了信息用戶(hù)名和密碼被自動(dòng)保存了用戶(hù)名和密碼在網(wǎng)絡(luò)上傳輸時(shí)被監(jiān)聽(tīng)〔共享介質(zhì)、或arp偽造〕機(jī)器D上被設(shè)置了代理，經(jīng)過(guò)代理被監(jiān)聽(tīng)平安威脅實(shí)例〔續(xù)〕查看郵件時(shí)被錄像機(jī)器D附近的無(wú)線(xiàn)電接收裝置接收到顯示器發(fā)射的信號(hào)并且重現(xiàn)出來(lái)屏幕記錄程序保存了屏幕信息瀏覽郵件時(shí)的臨時(shí)文件被其他用戶(hù)翻開(kāi)瀏覽器cache了網(wǎng)頁(yè)信息臨時(shí)文件僅僅被簡(jiǎn)單刪除，但是硬盤(pán)上還有信息由于DNS攻擊，連接到錯(cuò)誤的站點(diǎn)，泄漏了用戶(hù)名和密碼由于網(wǎng)絡(luò)感染了病毒，主干網(wǎng)癱瘓，無(wú)法訪問(wèn)效勞器效勞器被DOS攻擊，無(wú)法提供效勞什么是網(wǎng)絡(luò)平安？本質(zhì)就是網(wǎng)絡(luò)上的信息平安。網(wǎng)絡(luò)平安防護(hù)的目的。網(wǎng)絡(luò)安全的定義：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

保障各種網(wǎng)絡(luò)資源穩(wěn)定、可靠的運(yùn)行和受控、合法使用網(wǎng)絡(luò)平安的特征〔1〕保密性confidentiality：信息不泄露給非授權(quán)的用戶(hù)、實(shí)體或過(guò)程，或供其利用的特性?！?〕完整性integrity：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和喪失的特性?！?〕可用性availability：可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性，即當(dāng)需要時(shí)應(yīng)能存取所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕效勞、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊?！?〕可控性controllability：對(duì)信息的傳播及內(nèi)容具有控制能力?！?〕可審查性：出現(xiàn)的平安問(wèn)題時(shí)提供依據(jù)與手段主要內(nèi)容網(wǎng)絡(luò)平安簡(jiǎn)介T(mén)CP/IP網(wǎng)絡(luò)平安分析網(wǎng)絡(luò)平安概念和手段介紹平安建議網(wǎng)絡(luò)平安展望網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)——開(kāi)放系統(tǒng)互連參考模型〔1〕ISO/OSI模型網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話(huà)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話(huà)層對(duì)等協(xié)議物理介質(zhì)系統(tǒng)A系統(tǒng)B第N+1層第N層PDUSDUHPDU第N-1層SDUN+1層協(xié)議實(shí)體N+1層協(xié)議實(shí)體N層協(xié)議實(shí)體SAPSAPTCP/IP網(wǎng)絡(luò)的體系結(jié)構(gòu)TCP/IP技術(shù)的開(kāi)展設(shè)計(jì)目標(biāo)——實(shí)現(xiàn)異種網(wǎng)的網(wǎng)際互連是最早出現(xiàn)的系統(tǒng)化的網(wǎng)絡(luò)體系結(jié)構(gòu)之一順應(yīng)了技術(shù)開(kāi)展網(wǎng)絡(luò)互連的應(yīng)用需求采用了開(kāi)放策略與最流行的UNIX操作系統(tǒng)相結(jié)合TCP/IP的成功主要應(yīng)該歸功于其開(kāi)放性，使得最廣泛的廠商和研究者能夠不斷地尋找和開(kāi)發(fā)滿(mǎn)足市場(chǎng)需求的網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)。魚(yú)與熊掌總是不能兼得，也正是其體系結(jié)構(gòu)得開(kāi)放性，導(dǎo)致了TCP/IP網(wǎng)絡(luò)的平安性隱患！TCP/IP的網(wǎng)絡(luò)互連網(wǎng)際互連是通過(guò)IP網(wǎng)關(guān)〔gateway〕實(shí)現(xiàn)的網(wǎng)關(guān)提供網(wǎng)絡(luò)與網(wǎng)絡(luò)之間物理和邏輯上的連通功能網(wǎng)關(guān)是一種特殊的計(jì)算機(jī)，同時(shí)屬于多個(gè)網(wǎng)絡(luò)G1網(wǎng)絡(luò)1網(wǎng)絡(luò)3G1網(wǎng)絡(luò)2TCP/IP與OSI參考模型TCP/IP協(xié)議和OSI模型的對(duì)應(yīng)關(guān)系應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthernet,IEEE802.3,802.11等

ICMPARPRARPOSI參考模型Internet協(xié)議簇物理層影響網(wǎng)絡(luò)平安的主要因素〔1〕網(wǎng)絡(luò)的缺陷 因特網(wǎng)在設(shè)計(jì)之初對(duì)共享性和開(kāi)放性的強(qiáng)調(diào)，使得其在平安性方面存在先天的缺乏。其賴(lài)以生存的TCP/IP協(xié)議族在設(shè)計(jì)理念上更多的是考慮該網(wǎng)絡(luò)不會(huì)因局部故障而影響信息的傳輸，根本沒(méi)有考慮平安問(wèn)題，故缺乏應(yīng)有的平安機(jī)制。因此它在控制不可信連接、分辨非法訪問(wèn)、區(qū)分身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對(duì)網(wǎng)絡(luò)平安的重要隱患。例如：多數(shù)底層協(xié)議為播送方式，多數(shù)應(yīng)用層協(xié)議為明文傳輸，缺乏保密與認(rèn)證機(jī)制，因此容易遭到欺騙和竊聽(tīng)軟件及系統(tǒng)的“漏洞〞及后門(mén)隨著軟件及網(wǎng)絡(luò)系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的平安漏洞或“后門(mén)〞也不可防止的存在，比方我們常用的操作系統(tǒng)，無(wú)論是Windows還是UNIX幾乎都存在或多或少的平安漏洞，眾多的效勞器、瀏覽器、桌面軟件等等都被發(fā)現(xiàn)存在很多平安隱患。任何一個(gè)軟件系統(tǒng)都可能會(huì)因?yàn)槌绦騿T的一個(gè)疏忽或設(shè)計(jì)中的一個(gè)缺陷等原因留下漏洞。這也成為網(wǎng)絡(luò)的不平安因素之一影響網(wǎng)絡(luò)平安的主要因素〔2〕黑客的攻擊 黑客技術(shù)不再是一種高深莫測(cè)的技術(shù)，并逐漸被越來(lái)越多的人掌握。目前，世界上有20多萬(wàn)個(gè)免費(fèi)的黑客網(wǎng)站，這些站點(diǎn)從系統(tǒng)漏洞入手，介紹網(wǎng)絡(luò)攻擊的方法和各種攻擊軟件的使用，這樣，系統(tǒng)和站點(diǎn)遭受攻擊的可能性就變大了。加上現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的還擊和跟蹤手段，這些都使得黑客攻擊具有隱蔽性好，“殺傷力〞強(qiáng)的特點(diǎn)，構(gòu)成了網(wǎng)絡(luò)平安的主要威脅。網(wǎng)絡(luò)普及，平安建設(shè)滯后 網(wǎng)絡(luò)硬件建設(shè)如火如荼，網(wǎng)絡(luò)管理尤其是平安管理滯后，用戶(hù)平安意識(shí)不強(qiáng)，即使應(yīng)用了最好的平安設(shè)備也經(jīng)常達(dá)不到預(yù)期效果主要內(nèi)容網(wǎng)絡(luò)平安簡(jiǎn)介T(mén)CP/IP網(wǎng)絡(luò)平安分析網(wǎng)絡(luò)平安概念和手段介紹平安建議網(wǎng)絡(luò)平安展望網(wǎng)絡(luò)平安策略網(wǎng)絡(luò)平安是一個(gè)系統(tǒng)的概念，可靠的網(wǎng)絡(luò)平安解決方案必須建立在集成網(wǎng)絡(luò)平安技術(shù)的根底上，網(wǎng)絡(luò)系統(tǒng)平安策略就是基于這種技術(shù)集成而提出的，主要有三種：1直接風(fēng)險(xiǎn)控制策略〔靜態(tài)防御〕平安=風(fēng)險(xiǎn)分析+平安規(guī)那么+直接的技術(shù)防御體系+平安監(jiān)控攻擊手段是不斷進(jìn)步的，平安漏洞也是動(dòng)態(tài)出現(xiàn)的，因此靜態(tài)防御下的該模型存在著本質(zhì)的缺陷。2自適應(yīng)網(wǎng)絡(luò)平安策略〔動(dòng)態(tài)性〕平安=風(fēng)險(xiǎn)分析+執(zhí)行策略+系統(tǒng)實(shí)施+漏洞分析+實(shí)時(shí)響應(yīng)該策略強(qiáng)調(diào)系統(tǒng)平安管理的動(dòng)態(tài)性，主張通過(guò)平安性檢測(cè)、漏洞監(jiān)測(cè)，自適應(yīng)地填充“平安間隙〞，從而提高網(wǎng)絡(luò)系統(tǒng)的平安性。完善的網(wǎng)絡(luò)平安體系，必須合理協(xié)調(diào)法律、技術(shù)和管理三種因素，集成防護(hù)、監(jiān)控和恢復(fù)三種技術(shù)，力求增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的健壯性與免疫力。局限性在于：只考慮增強(qiáng)系統(tǒng)的健壯性，僅綜合了技術(shù)和管理因素，僅采用了技術(shù)防護(hù)。

網(wǎng)絡(luò)平安策略〔續(xù)〕

3智能網(wǎng)絡(luò)系統(tǒng)平安策略〔動(dòng)態(tài)免疫力〕平安=風(fēng)險(xiǎn)分析+平安策略+技術(shù)防御體系+攻擊實(shí)時(shí)檢測(cè)+平安跟蹤+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進(jìn)化技術(shù)防御體系包括漏洞檢測(cè)和平安縫隙填充；平安跟蹤是為攻擊證據(jù)記錄效勞的，系統(tǒng)學(xué)習(xí)進(jìn)化是旨在改善系統(tǒng)性能而引入的智能反響機(jī)制。 模型中，“風(fēng)險(xiǎn)分析+平安策略〞表達(dá)了管理因素；“技術(shù)防御體系+攻擊實(shí)時(shí)檢測(cè)+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進(jìn)化〞表達(dá)了技術(shù)因素；技術(shù)因素綜合了防護(hù)、監(jiān)控和恢復(fù)技術(shù)；“平安跟蹤+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進(jìn)化〞使系統(tǒng)表現(xiàn)出動(dòng)態(tài)免疫力。網(wǎng)絡(luò)平安防護(hù)模型－PDRR 目前業(yè)界共識(shí)：“平安不是技術(shù)或產(chǎn)品，而是一個(gè)過(guò)程〞。為了保障網(wǎng)絡(luò)平安，應(yīng)重視提高系統(tǒng)的入侵檢測(cè)能力、事件反響能力和遭破壞后的快速恢復(fù)能力。信息保障有別于傳統(tǒng)的加密、身份認(rèn)證、訪問(wèn)控制、防火墻等技術(shù)，它強(qiáng)調(diào)信息系統(tǒng)整個(gè)生命周期的主動(dòng)防御。網(wǎng)絡(luò)平安防護(hù)模型－PDRR〔續(xù)〕保護(hù)(PROTECT) 傳統(tǒng)平安概念的繼承，包括信息加密技術(shù)、訪問(wèn)控制技術(shù)等等。檢測(cè)(DETECT) 從監(jiān)視、分析、審計(jì)信息網(wǎng)絡(luò)活動(dòng)的角度，發(fā)現(xiàn)對(duì)于信息網(wǎng)絡(luò)的攻擊、破壞活動(dòng)，提供預(yù)警、實(shí)時(shí)響應(yīng)、事后分析和系統(tǒng)恢復(fù)等方面的支持，使平安防護(hù)從單純的被動(dòng)防護(hù)演進(jìn)到積極的主動(dòng)防御。網(wǎng)絡(luò)平安防護(hù)模型－PDRR〔續(xù)〕響應(yīng)(RESPONSE)在遭遇攻擊和緊急事件時(shí)及時(shí)采取措施，包括調(diào)整系統(tǒng)的平安措施、跟蹤攻擊源和保護(hù)性關(guān)閉效勞和主機(jī)等?；謴?fù)(RECOVER)評(píng)估系統(tǒng)受到的危害與損失，恢復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動(dòng)備份系統(tǒng)等。網(wǎng)絡(luò)平安保障體系平安管理與審計(jì)物理層平安網(wǎng)絡(luò)層平安傳輸層平安應(yīng)用層平安鏈路層物理層網(wǎng)絡(luò)層傳輸層應(yīng)用層表示層會(huì)話(huà)層審計(jì)與監(jiān)控身份認(rèn)證數(shù)據(jù)加密數(shù)字簽名完整性鑒別端到端加密訪問(wèn)控制鏈路加密物理信道平安物理隔離訪問(wèn)控制數(shù)據(jù)機(jī)密性數(shù)據(jù)完整性用戶(hù)認(rèn)證防抵賴(lài)平安審計(jì)網(wǎng)絡(luò)平安層次層次模型網(wǎng)絡(luò)平安技術(shù)實(shí)現(xiàn)平安目標(biāo)用戶(hù)平安效勞可用平安技術(shù)選擇--根據(jù)協(xié)議層次 物理層：物理隔離鏈路層:鏈路加密技術(shù)、PPTP/L2TP網(wǎng)絡(luò)層:IPSec協(xié)議〔VPN〕、防火墻TCP層:SSL協(xié)議、基于公鑰的認(rèn)證和對(duì)稱(chēng)鑰加密技術(shù)應(yīng)用層:SHTTP、PGP、S/MIME、SSH(Secureshell)、開(kāi)發(fā)專(zhuān)用協(xié)議〔SET〕網(wǎng)絡(luò)平安工具物理隔離設(shè)備交換機(jī)/路由器平安模塊防火墻(Firewall)網(wǎng)絡(luò)掃描器入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem)網(wǎng)絡(luò)防毒虛擬專(zhuān)用網(wǎng)〔VPN〕病毒防護(hù)網(wǎng)絡(luò)3A……物理隔離主要分兩種：雙網(wǎng)隔離計(jì)算機(jī)物理隔離網(wǎng)閘雙網(wǎng)隔離計(jì)算機(jī)解決每人2臺(tái)計(jì)算機(jī)的問(wèn)題1臺(tái)計(jì)算機(jī)，可以分時(shí)使用內(nèi)網(wǎng)或外網(wǎng)關(guān)鍵部件硬盤(pán)網(wǎng)線(xiàn)軟盤(pán)/USB/MODEM等共享部件顯示器鍵盤(pán)/鼠標(biāo)主板/電源硬盤(pán)*原理切換關(guān)鍵部件簡(jiǎn)單雙網(wǎng)隔離計(jì)算機(jī)外網(wǎng)硬盤(pán)內(nèi)網(wǎng)硬盤(pán)外網(wǎng)網(wǎng)線(xiàn)內(nèi)網(wǎng)網(wǎng)線(xiàn)公共部件控制卡控制開(kāi)關(guān)復(fù)雜雙網(wǎng)隔離計(jì)算機(jī)內(nèi)網(wǎng)硬盤(pán)外網(wǎng)網(wǎng)線(xiàn)內(nèi)網(wǎng)網(wǎng)線(xiàn)公共部件控制卡遠(yuǎn)端設(shè)備使用控制卡上的翻譯功能將硬盤(pán)分為邏輯上獨(dú)立的局部充分使用UTP中的8芯，減少一根網(wǎng)線(xiàn)物理隔離網(wǎng)閘的根本原理采用數(shù)據(jù)“擺渡〞的方式實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的信息交換在任意時(shí)刻，物理隔離設(shè)備只能與一個(gè)網(wǎng)絡(luò)的主機(jī)系統(tǒng)建立非TCP/IP協(xié)議的數(shù)據(jù)連接，即當(dāng)它與外部網(wǎng)絡(luò)相連接時(shí)，它與內(nèi)部網(wǎng)絡(luò)的主機(jī)是斷開(kāi)的，反之亦然。任何形式的數(shù)據(jù)包、信息傳輸命令和TCP/IP協(xié)議都不可能穿透物理隔離設(shè)備。物理隔離設(shè)備在網(wǎng)絡(luò)的第7層講數(shù)據(jù)復(fù)原為原始數(shù)據(jù)文件，然后以“擺渡文件〞形式傳遞原始數(shù)據(jù)。物理隔離實(shí)現(xiàn)根本原理〔1〕物理隔離實(shí)現(xiàn)根本原理〔2〕內(nèi)外網(wǎng)模塊連接相應(yīng)網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)的接收及預(yù)處理等操作；交換模塊采用專(zhuān)用的高速隔離電子開(kāi)關(guān)實(shí)現(xiàn)與內(nèi)外網(wǎng)模塊的數(shù)據(jù)交換，保證任意時(shí)刻內(nèi)外網(wǎng)間沒(méi)有鏈路層連接；數(shù)據(jù)只能以專(zhuān)用數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)間通過(guò)網(wǎng)閘進(jìn)行“擺渡〞，傳送到網(wǎng)閘另一側(cè)；集成多種平安技術(shù)手段，采用強(qiáng)制平安策略，對(duì)數(shù)據(jù)內(nèi)容進(jìn)行平安檢測(cè)，保障數(shù)據(jù)平安、可靠的交換。物理隔離技術(shù)的應(yīng)用涉密網(wǎng)和非涉密網(wǎng)之間物理隔離技術(shù)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：

中斷直接連接

強(qiáng)大的檢查機(jī)制

最高的平安性缺點(diǎn)：

對(duì)協(xié)議不透明，對(duì)每一種協(xié)議都要一種具體的實(shí)現(xiàn) 效率低交換機(jī)平安模塊MAC綁定QOS設(shè)置多VLAN劃分日志其他…路由器平安功能訪問(wèn)控制鏈表基于源地址/目標(biāo)地址/協(xié)議端口號(hào)路徑的完整性防止IP假冒和拒絕效勞〔Anti-spoofing/DDOS〕檢查源地址：ipverifyunicastreverse-path過(guò)濾RFC1918地址空間的所有IP包；關(guān)閉源路由：noipsource-route路由協(xié)議的過(guò)濾與認(rèn)證Flood管理日志其他抗攻擊功能VPN通過(guò)一個(gè)私有的通道來(lái)創(chuàng)立一個(gè)平安的私有連接，將遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、公司的業(yè)務(wù)伙伴等跟企業(yè)網(wǎng)連接起來(lái)，形成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)提供高性能、低價(jià)位的因特網(wǎng)接入VPN是企業(yè)網(wǎng)在公共網(wǎng)絡(luò)上的延伸VPN簡(jiǎn)介網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn)Internet內(nèi)部網(wǎng)惡意修改通道終點(diǎn)到：假冒網(wǎng)關(guān)外部段〔公共因特網(wǎng)〕ISP接入設(shè)備原始終點(diǎn)為：平安網(wǎng)關(guān)數(shù)據(jù)在到達(dá)終點(diǎn)之前要經(jīng)過(guò)許多路由器，明文傳輸?shù)膱?bào)文很容易在路由器上被查看和修改監(jiān)聽(tīng)者可以在其中任一段鏈路上監(jiān)聽(tīng)數(shù)據(jù)逐段加密不能防范在路由器上查看報(bào)文，因?yàn)槁酚善餍枰饷軋?bào)文選擇路由信息，然后再重新加密發(fā)送惡意的ISP可以修改通道的終點(diǎn)到一臺(tái)假冒的網(wǎng)關(guān)遠(yuǎn)程訪問(wèn)搭線(xiàn)監(jiān)聽(tīng)攻擊者ISPISP竊聽(tīng)正確通道VPN功能

數(shù)據(jù)機(jī)密性保護(hù)數(shù)據(jù)完整性保護(hù)數(shù)據(jù)源身份認(rèn)證重放攻擊保護(hù)遠(yuǎn)程訪問(wèn)Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN的典型應(yīng)用現(xiàn)有的VPN解決方案基于IPSec

的VPN解決方案基于第二層的VPN解決方案非IPSec

的網(wǎng)絡(luò)層VPN解決方案非IPSec

的應(yīng)用層解決方案基于IPSec的VPN解決方案在通信協(xié)議分層中，網(wǎng)絡(luò)層是可能實(shí)現(xiàn)端到端平安通信的最低層，它為所有應(yīng)用層數(shù)據(jù)提供透明的平安保護(hù)，用戶(hù)無(wú)需修改應(yīng)用層協(xié)議。該方案能解決的問(wèn)題：數(shù)據(jù)源身份認(rèn)證：證實(shí)數(shù)據(jù)報(bào)文是所聲稱(chēng)的發(fā)送者發(fā)出的。數(shù)據(jù)完整性：證實(shí)數(shù)據(jù)報(bào)文的內(nèi)容在傳輸過(guò)程中沒(méi)被修改正，無(wú)論是被成心改動(dòng)或是由于發(fā)生了隨機(jī)的傳輸錯(cuò)誤。數(shù)據(jù)保密：隱藏明文的消息，通?？考用軄?lái)實(shí)現(xiàn)。重放攻擊保護(hù)：保證攻擊者不能截獲數(shù)據(jù)報(bào)文，且稍后某個(gè)時(shí)間再發(fā)放數(shù)據(jù)報(bào)文，而不會(huì)被檢測(cè)到。自動(dòng)的密鑰管理和平安關(guān)聯(lián)管理：保證只需少量或根本不需要手工配置，就可以在擴(kuò)展的網(wǎng)絡(luò)上方便精確地實(shí)現(xiàn)公司的虛擬使用網(wǎng)絡(luò)方針

AH協(xié)議

ESP協(xié)議ISAKMP/Oakley協(xié)議基于IPSec的VPN解決方案需要用到如下的協(xié)議：IPSec框架的構(gòu)成基于第二層的VPN解決方案

公司內(nèi)部網(wǎng)撥號(hào)連接因特網(wǎng)L2TP通道用于該層的協(xié)議主要有：

L2TP：Lay2TunnelingProtocol

PPTP：Point-to-PointTunnelingProtocolL2F：Lay2ForwardingL2TP的缺陷：僅對(duì)通道的終端實(shí)體進(jìn)行身份認(rèn)證，而不認(rèn)證通道中流過(guò)的每一個(gè)數(shù)據(jù)報(bào)文，無(wú)法抵抗插入攻擊、地址欺騙攻擊。沒(méi)有針對(duì)每個(gè)數(shù)據(jù)報(bào)文的完整性校驗(yàn)，就有可能進(jìn)行拒絕效勞攻擊：發(fā)送假冒的控制信息，導(dǎo)致L2TP通道或者底層PPP連接的關(guān)閉。雖然PPP報(bào)文的數(shù)據(jù)可以加密，但PPP協(xié)議不支持密密鑰的自動(dòng)產(chǎn)生和自動(dòng)刷新，因而監(jiān)聽(tīng)的攻擊者就可能最終破解密鑰，從而得到所傳輸?shù)臄?shù)據(jù)。L2TP通道非IPSec的網(wǎng)絡(luò)層VPN解決方案

網(wǎng)絡(luò)地址轉(zhuǎn)換由于AH協(xié)議需要對(duì)整個(gè)數(shù)據(jù)包做認(rèn)證，因此使用AH協(xié)議后不能使用NAT包過(guò)濾由于使用ESP協(xié)議將對(duì)數(shù)據(jù)包的全部或局部信息加密，因此基于報(bào)頭或者數(shù)據(jù)區(qū)內(nèi)容進(jìn)行控制過(guò)濾的設(shè)備將不能使用效勞質(zhì)量由于AH協(xié)議將IP協(xié)議中的TOS位當(dāng)作可變字段來(lái)處理，因此，可以使用TOS位來(lái)控制效勞質(zhì)量非IPSec的應(yīng)用層VPN解決方案

SOCKS位于OSI模型的會(huì)話(huà)層，在SOCKS協(xié)議中，客戶(hù)程序通常先連接到防火墻1080端口，然后由Firewall建立到目的主機(jī)的單獨(dú)會(huì)話(huà)，效率低，但會(huì)話(huà)控制靈活性大SSL屬于高層平安機(jī)制，廣泛用于WebBrowseandWebServer，提供對(duì)等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密。在SSL中，身份認(rèn)證是基于證書(shū)的，屬于端到端協(xié)議，不需要中間設(shè)備如：路由器、防火墻的支持S-HTTP提供身份認(rèn)證、數(shù)據(jù)加密，比SSL靈活，但應(yīng)用很少，因SSL易于管理S-MIME一個(gè)特殊的類(lèi)似于SSL的協(xié)議，屬于應(yīng)用層平安體系，但應(yīng)用僅限于保護(hù)電子郵件系統(tǒng)，通過(guò)加密和數(shù)字簽名來(lái)保障郵件的平安，這些平安都是基于公鑰技術(shù)的，雙方身份靠X.509證書(shū)來(lái)標(biāo)識(shí)，不需要FirewallandRouter的支持NetworkInterface(DataLink)IP(Internetwork)TCP/UDP(Transport)S—MIME

Kerberos

ProxiesSET

IPSec(ISAKMP)

SOCKSSSL,TLS

IPSec(AH,ESP)PacketFilteringTunnelingProtocols

CHAP,PAP,MS-CHAP

TCP/IP協(xié)議棧與對(duì)應(yīng)的VPN協(xié)議Application現(xiàn)有的VPN解決方案－－小結(jié)

網(wǎng)絡(luò)層對(duì)所有的上層數(shù)據(jù)提供透明方式的保護(hù)，但無(wú)法為應(yīng)用提供足夠細(xì)的控制粒度數(shù)據(jù)到了目的主機(jī)，基于網(wǎng)絡(luò)層的平安技術(shù)就無(wú)法繼續(xù)提供保護(hù)，因此在目的主機(jī)的高層協(xié)議棧中很容易受到攻擊應(yīng)用層的平安技術(shù)可以保護(hù)堆棧高層的數(shù)據(jù)，但在傳遞過(guò)程中，無(wú)法抵抗常用的網(wǎng)絡(luò)層攻擊手段，如源地址、目的地址欺騙應(yīng)用層平安幾乎更加智能，但更復(fù)雜且效率低因此可以在具體應(yīng)用中采用多種平安技術(shù)，取長(zhǎng)補(bǔ)短防火墻的主要功能監(jiān)控并限制訪問(wèn) 針對(duì)黑客攻擊的不平安因素，防火墻采取控制進(jìn)出內(nèi)外網(wǎng)的數(shù)據(jù)包的方法，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上數(shù)據(jù)包的狀態(tài)，并對(duì)這些狀態(tài)加以分析和處理，及時(shí)發(fā)現(xiàn)存在的異常行為；同時(shí)，根據(jù)不同情況采取相應(yīng)的防范措施，從而提高系統(tǒng)的抗攻擊能力?？刂茀f(xié)議和效勞 針對(duì)網(wǎng)絡(luò)先天缺陷的不平安因素，防火墻采取控制協(xié)議和效勞的方法，使得只有授權(quán)的協(xié)議和效勞才可以通過(guò)防火墻，從而大大降低了因某種效勞、協(xié)議的漏洞而引起災(zāi)難性平安事故的可能性。防火墻的主要功能〔續(xù)〕保護(hù)網(wǎng)絡(luò)內(nèi)部 針對(duì)軟件及系統(tǒng)的漏洞或“后門(mén)〞，防火墻采用了與受保護(hù)網(wǎng)絡(luò)的操作系統(tǒng)、應(yīng)用軟件無(wú)關(guān)的體系結(jié)構(gòu)，其自身建立在平安操作系統(tǒng)之上；同時(shí)，針對(duì)受保護(hù)的內(nèi)部網(wǎng)絡(luò)，防火墻能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的漏洞，進(jìn)行訪問(wèn)上的限制；防火墻還可以屏蔽受保護(hù)網(wǎng)絡(luò)的相關(guān)信息，使黑客無(wú)從下手。日志記錄與審計(jì) 當(dāng)防火墻系統(tǒng)被配置為所有內(nèi)部網(wǎng)絡(luò)與外部Internet連接均需經(jīng)過(guò)的平安節(jié)點(diǎn)時(shí)，防火墻系統(tǒng)就能夠?qū)λ械木W(wǎng)絡(luò)請(qǐng)求做出日志記錄。日志是對(duì)一些可能的攻擊行為進(jìn)行分析和防范的十分重要的情報(bào)。另外,防火墻系統(tǒng)也能夠?qū)φ５木W(wǎng)絡(luò)使用情況做出統(tǒng)計(jì)。這樣網(wǎng)絡(luò)管理員通過(guò)對(duì)統(tǒng)計(jì)結(jié)果進(jìn)行分析，掌握網(wǎng)絡(luò)的運(yùn)行狀態(tài)，繼而更加有效的管理整個(gè)網(wǎng)絡(luò)。防火墻的優(yōu)點(diǎn)與缺乏可屏蔽內(nèi)部效勞，防止相關(guān)平安缺陷被利用2－7層訪問(wèn)控制〔集中在3-4層〕解決地址缺乏問(wèn)題抗網(wǎng)絡(luò)層、傳輸層一般攻擊缺乏防外不防內(nèi)對(duì)網(wǎng)絡(luò)性能有影響對(duì)應(yīng)用層檢測(cè)能力有限入侵檢測(cè)根本原理：利用sniffer方式獲取網(wǎng)絡(luò)數(shù)據(jù)，根據(jù)特征判斷是否存在網(wǎng)絡(luò)攻擊優(yōu)點(diǎn)：能及時(shí)獲知網(wǎng)絡(luò)平安狀況，借助分析發(fā)現(xiàn)平安隱患或攻擊信息，便于及時(shí)采取措施。缺乏：準(zhǔn)確性：誤報(bào)率和漏報(bào)率有效性：難以及時(shí)阻斷危險(xiǎn)行為網(wǎng)絡(luò)防病毒根本功能：串接于網(wǎng)絡(luò)中，根據(jù)網(wǎng)絡(luò)病毒的特征在網(wǎng)絡(luò)數(shù)據(jù)中比對(duì)，從而發(fā)現(xiàn)并阻斷病毒傳播優(yōu)點(diǎn)：能有效阻斷網(wǎng)絡(luò)病毒的傳播缺乏：只能檢查已經(jīng)局部發(fā)作的病毒對(duì)網(wǎng)絡(luò)有一定影響網(wǎng)絡(luò)掃描器通過(guò)模擬網(wǎng)絡(luò)攻擊檢查目標(biāo)主機(jī)是否存在平安漏洞優(yōu)點(diǎn)：有利于及早發(fā)現(xiàn)問(wèn)題，并從根本上解決平安隱患缺乏：只能針對(duì)平安問(wèn)題進(jìn)行掃描準(zhǔn)確性vs指導(dǎo)性訪問(wèn)控制〔1〕廣義的訪問(wèn)控制功能包括鑒別、授權(quán)和記賬等鑒別〔Authentication〕：區(qū)分用戶(hù)是誰(shuí)的過(guò)程。授權(quán)〔Authorization〕對(duì)完成認(rèn)證過(guò)程的用戶(hù)授予相應(yīng)權(quán)限，解決用戶(hù)能做什么的問(wèn)題。在一些訪問(wèn)控制的實(shí)現(xiàn)中，認(rèn)證和授權(quán)是統(tǒng)一在一起的記賬〔Accounting〕；統(tǒng)計(jì)用戶(hù)做過(guò)什么的過(guò)程，通常使用消耗的系統(tǒng)時(shí)間、接收和發(fā)送的數(shù)據(jù)量來(lái)量度。Tacacs、Tacacs+、Radius等技術(shù)能實(shí)現(xiàn)這三種功能。訪問(wèn)控制〔2〕RADIUS協(xié)議針對(duì)遠(yuǎn)程用戶(hù)Radius〔RemoteAuthenticationDialinUserservice〕協(xié)議，采用分布式的Client/Server結(jié)構(gòu)完成密碼的集中管理和其他訪問(wèn)控制功能；網(wǎng)絡(luò)用戶(hù)〔Client〕通過(guò)網(wǎng)絡(luò)