第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策

內(nèi)容提要網(wǎng)絡(luò)安全基礎(chǔ)防火墻技術(shù)VPN技術(shù)網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)入侵檢測(cè)訪(fǎng)問(wèn)控制技術(shù)2025/3/181第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是信息系統(tǒng)安全的基礎(chǔ)。網(wǎng)絡(luò)系統(tǒng)的安全涉及到平臺(tái)的各個(gè)方面。按照網(wǎng)絡(luò)OSI的7層模型，網(wǎng)絡(luò)安全貫穿于整個(gè)7層模型。針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際運(yùn)行的TCP/IP協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的4個(gè)層次。下表表示了對(duì)應(yīng)網(wǎng)絡(luò)系統(tǒng)的安全體系層次模型：網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全體系包括：訪(fǎng)問(wèn)控制、檢查安全漏洞、攻擊監(jiān)控、加密通信、認(rèn)證、備份和恢復(fù)、多層防御、設(shè)立安全監(jiān)控中心。2025/3/182第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策網(wǎng)絡(luò)安全服務(wù)內(nèi)涵①認(rèn)證。②對(duì)等實(shí)體鑒別③訪(fǎng)問(wèn)控制④信息加密⑤信息的完整性⑥抗拒絕服務(wù)⑦業(yè)務(wù)的有效性⑧審計(jì)⑨不可抵賴(lài)2025/3/183第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策網(wǎng)絡(luò)安全防范機(jī)制①加密機(jī)制②數(shù)字簽名機(jī)制③存取控制機(jī)制④信息完整性機(jī)制⑤業(yè)務(wù)量填充機(jī)制⑥路由控制機(jī)制⑦公證機(jī)制2025/3/184第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策網(wǎng)絡(luò)安全關(guān)鍵技術(shù)（1）入侵檢測(cè)（2）訪(fǎng)問(wèn)控制（3）加密技術(shù)（4）身份認(rèn)證技術(shù)2025/3/185第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策

內(nèi)容提要網(wǎng)絡(luò)安全基礎(chǔ)防火墻技術(shù)VPN技術(shù)網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)入侵檢測(cè)訪(fǎng)問(wèn)控制技術(shù)2025/3/186第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策防火墻的由來(lái)：古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時(shí)候?yàn)榉乐够馂?zāi)的發(fā)生和蔓延，人們將堅(jiān)固的石塊堆砌在房屋周?chē)鳛槠琳希@種防護(hù)構(gòu)筑物就被稱(chēng)為“防火墻”（FireWall）防火墻的概念：是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻是具有以下特征的計(jì)算機(jī)硬件或軟件：（1）所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過(guò)防火墻；（2）所有穿過(guò)防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)；（3）理論上說(shuō)，防火墻是穿不透的。通常意義上講的硬防火墻為硬件防火墻，它是通過(guò)硬件和軟件的結(jié)合來(lái)達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的，價(jià)格較貴，但效果較好，一般小型企業(yè)和個(gè)人很難實(shí)現(xiàn)；軟件防火墻是通過(guò)軟件的方式來(lái)達(dá)到，價(jià)格很便宜，但這類(lèi)防火墻只能通過(guò)一定的規(guī)則來(lái)達(dá)到限制一些非法用戶(hù)訪(fǎng)問(wèn)內(nèi)部網(wǎng)的目的。2025/3/187第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策防火墻的功能1.防火墻是網(wǎng)絡(luò)安全的屏障一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。2.防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。3.對(duì)網(wǎng)絡(luò)存取和訪(fǎng)問(wèn)進(jìn)行監(jiān)控審計(jì)如果所有的訪(fǎng)問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪(fǎng)問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。4.防止內(nèi)部信息的外泄通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線(xiàn)索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。5.防火墻的抗攻擊能力除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。2025/3/188第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策防火墻的不足防火墻的缺點(diǎn)主要表現(xiàn)在以下幾個(gè)方面：

1、不能防范惡意的知情者防火墻可以禁止系統(tǒng)用戶(hù)經(jīng)過(guò)網(wǎng)絡(luò)連接發(fā)送專(zhuān)有的信息，但用戶(hù)可以將數(shù)據(jù)復(fù)制到磁盤(pán)、磁帶上，放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無(wú)能為力的。內(nèi)部用戶(hù)可以偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對(duì)于來(lái)自知情者的威脅，只能要求加強(qiáng)內(nèi)部管理，如主機(jī)安全和用戶(hù)教育等。2、不能防范不通過(guò)它的連接防火墻能夠有效地防止通過(guò)它的傳輸信息，然而它卻不能防止不通過(guò)它而傳輸?shù)男畔ⅰ＠?，如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪(fǎng)問(wèn)，那么防火墻絕對(duì)沒(méi)有辦法阻止入侵者進(jìn)行撥號(hào)入侵。3、不能防備全部的威脅防火墻被用來(lái)防備已知的威脅，如果是一個(gè)很好的防火墻設(shè)計(jì)方案，就可以防備新的威脅，但沒(méi)有一扇防火墻能自動(dòng)防御所有新的威脅。4、防火墻不能防范病毒防火墻一般不能消除網(wǎng)絡(luò)上的病毒。

2025/3/189第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策防火墻的一些相關(guān)術(shù)語(yǔ)網(wǎng)關(guān)：在兩個(gè)設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)是互聯(lián)網(wǎng)應(yīng)用程序在兩臺(tái)主機(jī)之間處理流量的防火墻。這個(gè)術(shù)語(yǔ)是非常常見(jiàn)的。DMZ非軍事化區(qū)：為了配置管理方便，內(nèi)部網(wǎng)中需要向外提供服務(wù)的服務(wù)器往往放在一個(gè)單獨(dú)的網(wǎng)段，這個(gè)網(wǎng)段便是非軍事化區(qū)。防火墻一般配備三塊網(wǎng)卡，在配置時(shí)一般分別連接內(nèi)部網(wǎng)，internet和DMZ。吞吐量：網(wǎng)絡(luò)中的數(shù)據(jù)是由一個(gè)個(gè)數(shù)據(jù)包組成，防火墻對(duì)每個(gè)數(shù)據(jù)包的處理要耗費(fèi)資源。吞吐量是指在不丟包的情況下單位時(shí)間內(nèi)通過(guò)防火墻的數(shù)據(jù)包數(shù)量。這是測(cè)量防火墻性能的重要指標(biāo)。最大連接數(shù)：和吞吐量一樣，數(shù)字越大越好。但是最大連接數(shù)更貼近實(shí)際網(wǎng)絡(luò)情況，網(wǎng)絡(luò)中大多數(shù)連接是指所建立的一個(gè)虛擬通道。數(shù)據(jù)包轉(zhuǎn)發(fā)率：是指在所有安全規(guī)則配置正確的情況下，防火墻對(duì)數(shù)據(jù)流量的處理速度。SSL：SSL（SecureSocketsLayer）是由Netscape公司開(kāi)發(fā)的一套Internet數(shù)據(jù)安全協(xié)議，當(dāng)前版本為3.0。它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持

網(wǎng)絡(luò)地址轉(zhuǎn)換：網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）是一種將一個(gè)IP地址域映射到另一個(gè)IP地址域技術(shù)，從而為終端主機(jī)提供透明路由。NAT包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、端口映射等。堡壘主機(jī)：一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，被暴露于因特網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)的安全的目的。2025/3/1810第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策防火墻的基本類(lèi)型一、包過(guò)濾防火墻二、代理服務(wù)器防火墻三、狀態(tài)監(jiān)視器防火墻2025/3/1811第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策包過(guò)濾防火墻數(shù)據(jù)包過(guò)濾(Packet

Filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，

被稱(chēng)為訪(fǎng)問(wèn)控制表(Access

Control

Table)?；舅枷耄簩?duì)于每個(gè)進(jìn)來(lái)的包適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或丟棄該包如何過(guò)濾過(guò)濾的規(guī)則以IP層和運(yùn)輸層的頭中的字段為基礎(chǔ)過(guò)濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件來(lái)作出決定：如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄如果所有規(guī)則都不匹配，則根據(jù)缺省策略2025/3/1812第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策包過(guò)濾防火墻示意圖網(wǎng)絡(luò)層鏈路層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)2025/3/1813第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策1.包過(guò)濾防火墻的工作原理采用這種技術(shù)的防火墻產(chǎn)品，通過(guò)在網(wǎng)絡(luò)中的適當(dāng)位置對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，根據(jù)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號(hào)和TCP鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過(guò)防火墻進(jìn)入到內(nèi)部網(wǎng)絡(luò)，而將不合乎邏輯的數(shù)據(jù)包加以刪除。2.包過(guò)濾防火墻的優(yōu)缺點(diǎn)包過(guò)濾防火墻的優(yōu)點(diǎn)是：（1）邏輯簡(jiǎn)單，價(jià)格便宜（通常安裝在路由器上），網(wǎng)絡(luò)性能和透明性好，；（2）與應(yīng)用層無(wú)關(guān)，無(wú)須改動(dòng)任何客戶(hù)機(jī)和主機(jī)上的應(yīng)用程序，易于安裝和使用。它也有一些缺點(diǎn)：（1）包過(guò)濾配置起來(lái)比較復(fù)雜，需要對(duì)IP、TCP、UDP、ICMP等各種協(xié)議有深入的了解（2）允許外部客戶(hù)和內(nèi)部主機(jī)的直接連接（3）對(duì)IP欺騙式攻擊比較敏感，不提供用戶(hù)的鑒別機(jī)制，沒(méi)有用戶(hù)的使用記錄，這樣就不能從訪(fǎng)問(wèn)記錄中發(fā)現(xiàn)黑客的攻擊記錄。而攻擊一個(gè)單純的包過(guò)濾式的防火墻對(duì)黑客來(lái)說(shuō)是比較容易的，他們?cè)谶@一方面已經(jīng)積累了大量的經(jīng)驗(yàn)。2025/3/1814第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策代理服務(wù)器防火墻代理服務(wù)(ProxyService)也稱(chēng)鏈路級(jí)網(wǎng)關(guān)或TCP通道(CircuitLevelGatewaysorTCPTunnels)。代理服務(wù)器作用于應(yīng)用層，也稱(chēng)為應(yīng)用層網(wǎng)關(guān)。代理服務(wù)器型（應(yīng)用層網(wǎng)關(guān)）結(jié)構(gòu)示意圖2025/3/1815第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策應(yīng)用層網(wǎng)關(guān)的協(xié)議棧結(jié)構(gòu)應(yīng)用層運(yùn)輸層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)鏈路層網(wǎng)絡(luò)層HTTPFTPTelnetSmtp2025/3/1816第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策1.代理服務(wù)器防火墻的工作原理代理服務(wù)器運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶(hù)來(lái)說(shuō)像是一臺(tái)真的服務(wù)器一樣，而對(duì)于外界的服務(wù)器來(lái)說(shuō)，它又是一臺(tái)客戶(hù)機(jī)。當(dāng)代理服務(wù)器接收到用戶(hù)的請(qǐng)求后，會(huì)檢查用戶(hù)請(qǐng)求的站點(diǎn)是否符合公司的要求，如果公司允許用戶(hù)訪(fǎng)問(wèn)該站點(diǎn)的話(huà)，代理服務(wù)器會(huì)像一個(gè)客戶(hù)一樣，去那個(gè)站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶(hù)。2.代理服務(wù)器防火墻的優(yōu)缺點(diǎn)代理服務(wù)器防火墻的優(yōu)點(diǎn)：可以將被保護(hù)的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)屏蔽起來(lái)，增強(qiáng)網(wǎng)絡(luò)的安全性；可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄和報(bào)告等。代理服務(wù)器防火墻的缺點(diǎn)：使訪(fǎng)問(wèn)速度變慢，因?yàn)樗辉试S用戶(hù)直接訪(fǎng)問(wèn)網(wǎng)絡(luò)；應(yīng)用級(jí)網(wǎng)關(guān)需要針對(duì)每一個(gè)特定的Internet服務(wù)安裝相應(yīng)的代理服務(wù)器軟件，用戶(hù)不能使用未被服務(wù)器支持的服務(wù)，這就意味著用戶(hù)可能會(huì)花費(fèi)一定的時(shí)間等待新服務(wù)器軟件的安裝；并不是所有的Internet應(yīng)用軟件都可以使用代理服務(wù)器。2025/3/1817第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策狀態(tài)監(jiān)視器防火墻1.狀態(tài)監(jiān)視器防火墻的工作原理這種防火墻安全特性非常好，它采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱(chēng)之為檢測(cè)模塊。檢測(cè)模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取部分?jǐn)?shù)據(jù)，即狀態(tài)信息，并動(dòng)態(tài)地保存起來(lái)作為以后指定安全決策的參考。2.狀態(tài)監(jiān)視器防火墻的優(yōu)缺點(diǎn)狀態(tài)監(jiān)視器的優(yōu)點(diǎn)：（1）檢測(cè)模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。（2）它會(huì)監(jiān)測(cè)RPC和UDP之類(lèi)的端口信息，而包過(guò)濾和代理網(wǎng)關(guān)都不支持此類(lèi)端口。（3）性能堅(jiān)固狀態(tài)監(jiān)視器的缺點(diǎn)：（1）配置非常復(fù)雜。（2）會(huì)降低網(wǎng)絡(luò)的速度。2025/3/1818第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策防火墻的基本技術(shù)1.雙端口或三端口結(jié)構(gòu)2.透明訪(fǎng)問(wèn)方式3.代理系統(tǒng)技術(shù)4.多級(jí)過(guò)濾技術(shù)5.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）6.Internet網(wǎng)關(guān)技術(shù)7.安全服務(wù)器網(wǎng)絡(luò)（SSN）技術(shù)8.用戶(hù)鑒別與加密技術(shù)9.用戶(hù)定制技術(shù)10.審計(jì)和告警技術(shù)2025/3/1819第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策防火墻的配置結(jié)構(gòu)三種體系結(jié)構(gòu)：一、屏蔽路由器二、雙宿主主機(jī)結(jié)構(gòu)三、被屏蔽主機(jī)四、被屏蔽子網(wǎng)五、復(fù)合體系結(jié)構(gòu)幾個(gè)相關(guān)概念堡壘主機(jī)（BastionHost）：指一個(gè)計(jì)算機(jī)系統(tǒng)，它對(duì)外部網(wǎng)絡(luò)暴露，同時(shí)又是內(nèi)部網(wǎng)絡(luò)用戶(hù)的主要連接點(diǎn)。雙宿主主機(jī)（Dual-homedHost）：至少有兩個(gè)網(wǎng)絡(luò)接口的通用計(jì)算機(jī)系統(tǒng)。DMZ(DemilitarizedZone，非軍事區(qū)或者?；饏^(qū))：在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個(gè)子網(wǎng)，也稱(chēng)為參數(shù)網(wǎng)絡(luò)。2025/3/1820第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策一、屏蔽路由器屏蔽路由器(ScreeningRouter)，也叫安全路由器。它可以由廠(chǎng)家專(zhuān)門(mén)生產(chǎn)的路由器實(shí)現(xiàn)，也可以用主機(jī)來(lái)實(shí)現(xiàn)。屏蔽路由器作為內(nèi)外連接的惟一通道，要求所有的報(bào)文都必須在此通過(guò)檢查。路由器上可以安裝基于IP層的報(bào)文過(guò)濾軟件，實(shí)現(xiàn)報(bào)文過(guò)濾功能。許多路由器本身帶有報(bào)文過(guò)濾配置選項(xiàng)，但一般比較簡(jiǎn)單。單純由屏蔽路由器構(gòu)成的防火墻的危險(xiǎn)包括路由器本身及路由器允許訪(fǎng)問(wèn)的主機(jī)。屏蔽路由器的缺點(diǎn)是一旦被攻隱后很難發(fā)現(xiàn)，而且不能識(shí)別不同的用戶(hù)。2025/3/1821第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策二、雙重宿主主機(jī)體系結(jié)構(gòu)雙宿主主機(jī)體系結(jié)構(gòu)防火墻沒(méi)有使用路由器。雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，它可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，也能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。雙宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送，因此IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)直接發(fā)送到另一個(gè)網(wǎng)絡(luò)。外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)都能與雙宿主主機(jī)通信，但是它們不能直接通信，必須經(jīng)過(guò)雙宿主主機(jī)的過(guò)濾和控制。2025/3/1822第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策三、被屏蔽主機(jī)體系結(jié)構(gòu)也稱(chēng)為主機(jī)過(guò)濾結(jié)構(gòu)，由包過(guò)濾路由器和堡壘主機(jī)組成，堡壘主機(jī)僅僅與內(nèi)部網(wǎng)相連。任何外部網(wǎng)的主機(jī)都只能與內(nèi)部網(wǎng)的堡壘主機(jī)建立連接，任何外部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作都必須經(jīng)過(guò)堡壘主機(jī)。2025/3/1823第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策四、被屏蔽子網(wǎng)體系結(jié)構(gòu)采用了兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)，在內(nèi)外網(wǎng)絡(luò)之間建立了一個(gè)被隔離的子網(wǎng)，定義為“非軍事區(qū)”（DMZ），使得內(nèi)部網(wǎng)與外部網(wǎng)之間有三層防護(hù)。2025/3/1824第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策五、復(fù)合體系結(jié)構(gòu)一般有以下幾種形式：①使用多堡壘主機(jī)；②合并內(nèi)部路由器與外部路由器；③合并堡壘主機(jī)與外部路由器；④合并堡壘主機(jī)與內(nèi)部路由器；⑤使用多臺(tái)內(nèi)部路由器；⑥使用多臺(tái)外部路由器；⑦使用多個(gè)周邊網(wǎng)絡(luò)；⑧使用雙重宿主主機(jī)與屏蔽子網(wǎng)。2025/3/1825第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策防火墻的安全策略①凡是沒(méi)有被列為允許訪(fǎng)問(wèn)的服務(wù)都是被禁止的。②凡是沒(méi)有被列為禁止訪(fǎng)問(wèn)的服務(wù)都是被允許的。2025/3/1826第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策市場(chǎng)上常見(jiàn)的硬件防火墻NetScreen208FirewallNetScreen科技公司推出的NetScreen防火墻產(chǎn)品是一種新型的網(wǎng)絡(luò)安全硬件產(chǎn)品。NetScreen采用內(nèi)置的ASIC技術(shù)，其安全設(shè)備具有低延時(shí)、高效的IPSec加密和防火墻功能，可以無(wú)縫地部署到任何網(wǎng)絡(luò)。設(shè)備安裝和操控也是非常容易，可以通過(guò)多種管理界面包括內(nèi)置的WebUI界面、命令行界面或NetScreen中央管理方案進(jìn)行管理。NetScreen將所有功能集成于單一硬件產(chǎn)品中，它不僅易于安裝和管理，而且能夠提供更高可靠性和安全性。CiscoSecurePIX515-EFirewallCiscoSecurePIX防火墻是Cisco防火墻家族中的專(zhuān)用防火墻設(shè)施。CiscoSecurePIX515-E防火墻系通過(guò)端到端安全服務(wù)的有機(jī)組合，提供了很高的安全性。適合那些僅需要與自己企業(yè)網(wǎng)進(jìn)行雙向通信的遠(yuǎn)程站點(diǎn)，或由企業(yè)網(wǎng)在自己的企業(yè)防火墻上提供所有的Web服務(wù)的情況。CiscoSecurePIX515-E與普通的CPU密集型專(zhuān)用代理服務(wù)器(對(duì)應(yīng)用級(jí)的每一個(gè)數(shù)據(jù)包都要進(jìn)行大量處理)不同，CiscoSecurePIX515-E防火墻采用非UNIX、安全、實(shí)時(shí)的內(nèi)置系統(tǒng)。天融信網(wǎng)絡(luò)衛(wèi)士NGFW4000-S防火墻北京天融信公司的網(wǎng)絡(luò)衛(wèi)士是我國(guó)第一套自主版權(quán)的防火墻系統(tǒng),目前在我國(guó)電信、電子、教育、科研等單位廣泛使用。它由防火墻和管理器組成。網(wǎng)絡(luò)衛(wèi)士NGFW4000-S防火墻是我國(guó)首創(chuàng)的核檢測(cè)防火墻，更加安全更加穩(wěn)定，集中了包過(guò)濾防火墻、應(yīng)用代理、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、用戶(hù)身份鑒別、虛擬專(zhuān)用網(wǎng)、Web頁(yè)面保護(hù)、用戶(hù)權(quán)限控制、安全審計(jì)、攻擊檢測(cè)、流量控制與計(jì)費(fèi)等功能,可以為不同類(lèi)型的Internet接入網(wǎng)絡(luò)提供全方位的網(wǎng)絡(luò)安全服務(wù)。東軟NetEye4032防火墻NetEye4032防火墻是NetEye防火墻系列中的最新版本，該系統(tǒng)在性能，可靠性，管理性等方面大大提高。其基于狀態(tài)包過(guò)濾的流過(guò)濾體系結(jié)構(gòu)，保證從數(shù)據(jù)鏈路層到應(yīng)用層的完全高性能過(guò)濾，可以進(jìn)行應(yīng)用級(jí)插件的及時(shí)升級(jí)，攻擊方式的及時(shí)響應(yīng)，實(shí)現(xiàn)動(dòng)態(tài)的保障網(wǎng)絡(luò)安全。NetEye防火墻4032對(duì)流過(guò)濾引擎進(jìn)行了優(yōu)化，進(jìn)一步提高了性能和穩(wěn)定性，同時(shí)豐富了應(yīng)用級(jí)插件、安全防御插件，并且提升了開(kāi)發(fā)相應(yīng)插件的速度。2025/3/1827第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策防火墻對(duì)比防火墻NetScreen208CiscoPIX515ENGFW4000-SNetEye4032核心技術(shù)狀態(tài)檢測(cè)狀態(tài)檢測(cè)核檢測(cè)狀態(tài)檢測(cè)產(chǎn)品類(lèi)型ASIC硬件硬件設(shè)備硬件設(shè)備硬件設(shè)備工作模式（路由模式、橋模式、混合模式）路由模式、橋模式路由模式、橋模式路由模式、橋模式、混合模式路由模式、橋模式并發(fā)連接數(shù)130000130000600000300000網(wǎng)絡(luò)吞吐量550M170M100M200M最大支持網(wǎng)絡(luò)接口8個(gè)6個(gè)12個(gè)8個(gè)操作系統(tǒng)ScreenOS專(zhuān)用操作系統(tǒng)專(zhuān)用操作系統(tǒng)專(zhuān)用操作系統(tǒng)管理方式串口、CLI、Telnet、Web、GUI串口、Telnet、Web、GUI串口、Telnet、Web、GUI串口、Telnet、GUI市場(chǎng)報(bào)價(jià)142,000RMB80,000RMB138,000RMB148,000RMB2025/3/1828第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策

內(nèi)容提要網(wǎng)絡(luò)安全基礎(chǔ)防火墻技術(shù)VPN技術(shù)網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)入侵檢測(cè)訪(fǎng)問(wèn)控制技術(shù)2025/3/1829第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策VPNVPN即虛擬專(zhuān)用網(wǎng)，是依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專(zhuān)用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。所謂虛擬，是指用戶(hù)不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線(xiàn)路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線(xiàn)路。所謂專(zhuān)用網(wǎng)，是指用戶(hù)可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。VPN由三個(gè)部分組成：客戶(hù)機(jī)、傳輸介質(zhì)和服務(wù)器。VPN的工作原理是：信息的發(fā)送進(jìn)程通過(guò)可信任的內(nèi)部網(wǎng)發(fā)送明文到VPN服務(wù)器，由VPN根據(jù)安全策略對(duì)數(shù)據(jù)包（包括源IP地址和目的IP地址等）進(jìn)行加密，并附上數(shù)字簽名；然后VPN服務(wù)器對(duì)數(shù)據(jù)包加上新的數(shù)據(jù)報(bào)頭，其中包括一些安全信息和參數(shù)，對(duì)加密后的數(shù)據(jù)包重新進(jìn)行封裝。此數(shù)據(jù)包通過(guò)Internet上的“隧道”傳輸，到達(dá)目的方的VPN服務(wù)器，由該服務(wù)器解包，核對(duì)數(shù)字簽名，并且解密。最后，明文信息通過(guò)內(nèi)部網(wǎng)傳輸?shù)侥康牡亍?025/3/1830第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策VPN的功能虛擬專(zhuān)用網(wǎng)至少應(yīng)能提供如下功能：①加密數(shù)據(jù)，以保證通過(guò)公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。②信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶(hù)的身份。③提供訪(fǎng)問(wèn)控制，不同的用戶(hù)有不同的訪(fǎng)問(wèn)權(quán)限。2025/3/1831第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策VPN的優(yōu)缺點(diǎn)VPN具有以下優(yōu)點(diǎn)：①低成本。企業(yè)不必租用長(zhǎng)途專(zhuān)線(xiàn)建設(shè)專(zhuān)網(wǎng)，不必大量的網(wǎng)絡(luò)維護(hù)人員和設(shè)備投資。②易擴(kuò)展。網(wǎng)絡(luò)路由設(shè)備配置簡(jiǎn)單，無(wú)需增加太多的設(shè)備，省時(shí)省錢(qián)。③完全控制主動(dòng)權(quán)。VPN上的設(shè)施和服務(wù)完全掌握在企業(yè)手中。VPN的幾個(gè)不足：①無(wú)法保護(hù)“越界”數(shù)據(jù)的安全②VPN的管理流程和平臺(tái)與其他成熟的遠(yuǎn)程接入服務(wù)相比還不太好用③不同廠(chǎng)商的IPsecVPN的管理和配置掌握起來(lái)是最難的2025/3/1832第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策VPN的基本類(lèi)型按接入方式劃分為兩類(lèi)專(zhuān)線(xiàn)VPN：專(zhuān)線(xiàn)VPN是為已經(jīng)通過(guò)專(zhuān)線(xiàn)接入ISP（因特網(wǎng)服務(wù)提供商）邊緣路由器的用戶(hù)提供的VPN實(shí)現(xiàn)方案。撥號(hào)VPN：撥號(hào)VPN又稱(chēng)VPDN，指的是為利用撥號(hào)方式通過(guò)PSTN（公用電話(huà)交換網(wǎng)）或ISDN（綜合業(yè)務(wù)數(shù)字網(wǎng)）接入ISP的用戶(hù)提供的VPN業(yè)務(wù)。按隧道協(xié)議所屬的層次劃分工作在鏈路層的第二層隧道協(xié)議工作在網(wǎng)絡(luò)層的第三層隧道協(xié)議介于第二層和第三層之間的隧道協(xié)議按VPN發(fā)起主體不同劃分基于客戶(hù)的VPN基于網(wǎng)絡(luò)的VPN按業(yè)務(wù)類(lèi)型劃分InternetVPNAccessVPNExtranetVPN按應(yīng)用平臺(tái)劃分軟件VPN專(zhuān)用硬件VPN輔助硬件VPN按運(yùn)營(yíng)商所開(kāi)展的業(yè)務(wù)類(lèi)型劃分撥號(hào)VPN業(yè)務(wù)虛擬租用線(xiàn)虛擬專(zhuān)用路由網(wǎng)業(yè)務(wù)虛擬專(zhuān)用局域網(wǎng)段2025/3/1833第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策VPN的關(guān)鍵技術(shù)（1）隧道技術(shù)隧道技術(shù)簡(jiǎn)單的說(shuō)就是：原始報(bào)文在A地進(jìn)行封裝，到達(dá)B地后把封裝去掉還原成原始報(bào)文，這樣就形成了一條由A到B的通信隧道。①一般路由封裝（GRE）GRE主要用于源路由和終路由之間所形成的隧道。GRE通常是點(diǎn)到點(diǎn)的，但和下一跳路由協(xié)議（Next-HopRoutingProtocol，NHRP）結(jié)合使用可以實(shí)現(xiàn)點(diǎn)到多點(diǎn)。GRE隧道技術(shù)是用在路由器中的，可以滿(mǎn)足ExtranetVPN和IntranetVPN的需求。遠(yuǎn)程訪(fǎng)問(wèn)撥號(hào)用戶(hù)一般通過(guò)L2TP和PPTP訪(fǎng)問(wèn)VPN。②L2TP（L2F和PPTP的結(jié)合）L2TP是L2F（Layer2Forwarding）和PPTP的結(jié)合。采用“強(qiáng)制”隧道模型機(jī)制（“NAS初始化”隧道（NetworkAccessServer））。③PPTP（點(diǎn)對(duì)點(diǎn)隧道協(xié)議）PPTP采用“主動(dòng)”隧道模型機(jī)制（“用戶(hù)初始化”隧道）。采用L2TP還是PPTP實(shí)現(xiàn)VPN取決于要把控制權(quán)放在NAS還是用戶(hù)手中。L2TP比PPTP更安全，前者適合集中固定用戶(hù)，后者適合移動(dòng)用戶(hù)。（2）加密技術(shù)（3）QoS技術(shù)（帶寬，反應(yīng)時(shí)間和丟失率）2025/3/1834第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策VPN分類(lèi)結(jié)構(gòu)VPN撥號(hào)VPN專(zhuān)線(xiàn)VPN客戶(hù)發(fā)起的VDPNNAS發(fā)起的VDPSIPTunnelVPN-awareNetwaresFRATM2025/3/1835第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策VPN的配置結(jié)構(gòu)①ATMPVC組建方式。即利用電信部門(mén)提供的ATMPVC來(lái)組建用戶(hù)的專(zhuān)用網(wǎng)。這種專(zhuān)用網(wǎng)的通信速率快，安全性高，支持多媒體通信。②IPTunneling組建方式。即在多媒體通信網(wǎng)的IP層組建專(zhuān)用網(wǎng)。其傳輸速率不能完全保證，不支持多媒體通信；使用國(guó)際通行的加密算法，安全性好；這種組網(wǎng)方式的業(yè)務(wù)在公眾通信網(wǎng)遍及的地方均可提供。③Dial-upAccess組網(wǎng)方式（VDPN）。這是一種撥號(hào)方式的專(zhuān)用網(wǎng)組建方式，可以利用已遍布全國(guó)的撥號(hào)公網(wǎng)來(lái)組建專(zhuān)用網(wǎng)，其接入地點(diǎn)在國(guó)內(nèi)不限，上網(wǎng)可節(jié)省長(zhǎng)途撥號(hào)的費(fèi)用，對(duì)于流動(dòng)性強(qiáng)、分支機(jī)構(gòu)多、通信量小的用戶(hù)而言，這是一種理想的組網(wǎng)方式，它可以將用戶(hù)內(nèi)部網(wǎng)的界限，從單位的地理所在點(diǎn)延伸到全國(guó)范圍。2025/3/1836第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策VPN的安全策略目前建造虛擬專(zhuān)網(wǎng)的國(guó)際標(biāo)準(zhǔn)有IPSec和L2TP。VPN系統(tǒng)使分布在不同地方的專(zhuān)用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全地通信。它采用復(fù)雜的算法來(lái)加密傳輸?shù)男畔ⅲ沟妹舾械臄?shù)據(jù)不會(huì)被竊聽(tīng)，其處理過(guò)程如下：（1）要保護(hù)的主機(jī)發(fā)送明文信息到連接公共網(wǎng)絡(luò)的VPN設(shè)備。（2）VPN設(shè)備根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對(duì)數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過(guò)。對(duì)需要加密的數(shù)據(jù)，VPN設(shè)備對(duì)整個(gè)數(shù)據(jù)包進(jìn)行加密和附上數(shù)字簽名。（3）VPN設(shè)備加上新的數(shù)據(jù)報(bào)頭，其中包括目的地VPN設(shè)備需要的安全信息和一些初始化參數(shù)。VPN設(shè)備對(duì)加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標(biāo)VPN設(shè)備IP地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過(guò)虛擬通道在公網(wǎng)上傳輸。（4）當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)VPN設(shè)備時(shí)，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對(duì)無(wú)誤后，數(shù)據(jù)包被解密。2025/3/1837第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策

內(nèi)容提要網(wǎng)絡(luò)安全基礎(chǔ)防火墻技術(shù)VPN技術(shù)網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)入侵檢測(cè)訪(fǎng)問(wèn)控制技術(shù)2025/3/1838第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策DDoSDDoS(DistributedDenialofService，分布式拒絕服務(wù)攻擊)是指，攻擊者利用拒絕服務(wù)軟件，對(duì)某一資源發(fā)送垃圾信息，導(dǎo)致帶寬或者資源過(guò)載產(chǎn)生瓶頸，從而使得其他的用戶(hù)無(wú)法享用該服務(wù)資源。當(dāng)一個(gè)對(duì)資源的合理請(qǐng)求大大超過(guò)資源的支付能力時(shí)就會(huì)造成拒絕服務(wù)攻擊。被DDoS攻擊時(shí)的現(xiàn)象：被攻擊主機(jī)上有大量等待的TCP連接網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址為假制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)2025/3/1839第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策DDoS的工作原理圖2025/3/1840第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策DDoS的工作原理分析首先，攻擊者通過(guò)利用系統(tǒng)服務(wù)的漏洞或者管理員的配置錯(cuò)誤等方法，來(lái)進(jìn)入一些安全措施較差的小型站點(diǎn)以及單位中的服務(wù)器。然后，攻擊者在所侵入的服務(wù)器上安裝攻擊軟件。其目的在于隔離網(wǎng)絡(luò)聯(lián)系，保護(hù)攻擊者，使其不會(huì)在攻擊進(jìn)行時(shí)受到監(jiān)控系統(tǒng)的跟蹤，同時(shí)也能夠更好地協(xié)調(diào)進(jìn)攻。再后，攻擊者從攻擊控制臺(tái)向各個(gè)攻擊服務(wù)器發(fā)出對(duì)特定目標(biāo)的攻擊命令。攻擊器接到攻擊命令后，就開(kāi)始每一個(gè)攻擊器都會(huì)向目標(biāo)主機(jī)發(fā)出大量的服務(wù)請(qǐng)求數(shù)據(jù)包。這些包所請(qǐng)求的服務(wù)往往要消耗較大的系統(tǒng)資源，這就會(huì)導(dǎo)致目標(biāo)主機(jī)網(wǎng)絡(luò)和系統(tǒng)資源的耗盡，從而停止服務(wù)，甚至?xí)?dǎo)致系統(tǒng)崩潰。2025/3/1841第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策DDos的體系結(jié)構(gòu)

DDoS采用一種三層客戶(hù)服務(wù)器結(jié)構(gòu)。最下層是攻擊的執(zhí)行者。這一層由許多網(wǎng)絡(luò)主機(jī)構(gòu)成。攻擊者通過(guò)各種辦法獲得主機(jī)的登錄權(quán)限，并在上面安裝攻擊器程序。這些攻擊器程序中一般內(nèi)置了上面一層的某一個(gè)或某幾個(gè)攻擊服務(wù)器的地址，其攻擊行為受到攻擊服務(wù)器的直接控制。攻擊服務(wù)器。攻擊服務(wù)器的主要任務(wù)是將控制臺(tái)的命令發(fā)布到攻擊執(zhí)行器上。這些服務(wù)器與攻擊執(zhí)行器一樣，安裝在一些被侵入的無(wú)關(guān)主機(jī)上。攻擊主控臺(tái)。攻擊主控臺(tái)可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，甚至可以是一個(gè)活動(dòng)的使攜機(jī)。它的作用就是向第二層的攻擊服務(wù)器發(fā)布攻擊命令。2025/3/1842第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策DDoS的攻擊方法

（1）Hogging這種方法可以繞過(guò)普通操作系統(tǒng)的控制，在主機(jī)上運(yùn)行一個(gè)程序，這個(gè)程序消耗系統(tǒng)資源直到OS失敗，主機(jī)崩潰。（2）郵件炸彈(MailBombs)郵件炸彈軟件通過(guò)偽造大量傳輸，使郵件服務(wù)器處理超過(guò)其負(fù)荷能力的信息。由于任何—個(gè)郵件服務(wù)器都會(huì)有自己的處理極限，所以該軟件對(duì)郵件服務(wù)器的影響是很大的。（3）PingofDeath該方法是利用Ping（PacketInternetGroper）發(fā)送大小不合法的測(cè)試包。特大型的測(cè)試包會(huì)使未采取保護(hù)措施的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問(wèn)題，甚至崩潰。（4）SYNFlooding這種方法是專(zhuān)門(mén)針對(duì)TCP協(xié)議的，它企圖用盡所有可能的網(wǎng)絡(luò)連接，造成用戶(hù)合法使用網(wǎng)絡(luò)服務(wù)的傳輸被拒絕。這種方法利用了SYN（SynchronizeSequenceNumber）包在兩臺(tái)主機(jī)間初始化對(duì)話(huà)的功能。2025/3/1843第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策（5）Zombies[巫毒崇拜，蛇神]該方法是被攻擊者控制用來(lái)進(jìn)行攻擊用的計(jì)算機(jī)。（6）Smurf（DirectedBroadcast）廣播信息可以通過(guò)一定的手段(通過(guò)廣播地址或其他機(jī)制)發(fā)送到整個(gè)網(wǎng)絡(luò)中的機(jī)器。當(dāng)某臺(tái)機(jī)器使用廣播地址發(fā)送一個(gè)ICMPecho請(qǐng)求包時(shí)(例如Ping)，一些系統(tǒng)會(huì)回應(yīng)一個(gè)ICMPecho回應(yīng)包，也就是說(shuō)，發(fā)送一個(gè)包會(huì)收到許多的響應(yīng)包。Smurf攻擊就是使用這個(gè)原理來(lái)進(jìn)行的。（7）S1ashdoteffect這種攻擊力法使web服務(wù)器或其他類(lèi)型的服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過(guò)載，一般這些網(wǎng)絡(luò)流量是針對(duì)某一個(gè)頁(yè)面或一個(gè)鏈接而產(chǎn)生的。2025/3/1844第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策DDoS的攻擊過(guò)程（1）搜集了解目標(biāo)的情況下列情況是黑客非常關(guān)心的情報(bào)：①被攻擊目標(biāo)主機(jī)數(shù)目、地址情況②目標(biāo)主機(jī)的配置、性能③目標(biāo)的帶寬（2）占領(lǐng)傀儡機(jī)黑客最感興趣的是有下列情況的主機(jī)：①鏈路狀態(tài)好的主機(jī)②性能好的主機(jī)③安全管理水平差的主機(jī)（3）實(shí)際攻擊2025/3/1845第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策網(wǎng)絡(luò)監(jiān)聽(tīng)網(wǎng)絡(luò)監(jiān)聽(tīng)的概念捕獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息就稱(chēng)為Sniffing(竊聽(tīng))。Sniffer可以是硬件，也可以是軟件，它用來(lái)接收在網(wǎng)絡(luò)上傳輸?shù)男畔?。Sniffer使網(wǎng)絡(luò)接口（如以太網(wǎng)適配器）處于監(jiān)聽(tīng)模式，從而可從截獲網(wǎng)絡(luò)上的所有內(nèi)容。要使一臺(tái)機(jī)器成為一個(gè)Sniffer，則或者需要一個(gè)特殊的軟件（Ethernet卡的廣播驅(qū)動(dòng)程序）或者需要一種網(wǎng)絡(luò)軟件能使網(wǎng)絡(luò)處于監(jiān)聽(tīng)模式。網(wǎng)絡(luò)監(jiān)聽(tīng)軟件運(yùn)行時(shí)，需要消耗大量的處理器時(shí)間。Sniffer通常運(yùn)行在路由器，或有路由器功能的主機(jī)上。Sniffer屬第二層次的攻擊。不能監(jiān)聽(tīng)不在同一個(gè)網(wǎng)段計(jì)算機(jī)傳輸?shù)男畔ⅰ＞W(wǎng)絡(luò)監(jiān)聽(tīng)常常被用來(lái)獲取用戶(hù)的口令。2025/3/1846第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策被監(jiān)聽(tīng)的網(wǎng)絡(luò)通常包括以下幾種

（1）以太網(wǎng)在實(shí)際中應(yīng)用廣泛，很容易被監(jiān)聽(tīng)。（2）FDDI、Token-ring不是廣播型網(wǎng)絡(luò)，但包在傳輸過(guò)程中是沿環(huán)傳送的，高的傳輸率使監(jiān)聽(tīng)變得困難。（3）使用電話(huà)線(xiàn)被監(jiān)聽(tīng)的可能性中等，高速的MODEM比低速的MODEM搭線(xiàn)困難的多。（4）通過(guò)有線(xiàn)電視信道傳送IP被監(jiān)聽(tīng)的可能性比較高。（5）微波和無(wú)線(xiàn)電被監(jiān)聽(tīng)的可能性比較高。2025/3/1847第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策Sniffer可以截獲的信息

一個(gè)Sniffer可能截獲網(wǎng)絡(luò)上所有的信息。通常包括以下信息：Sniffer可以截獲用戶(hù)明文傳送的ID和口令。Sniffer能夠捕獲專(zhuān)用的或者機(jī)密的信息。Sniffer可以用來(lái)危害網(wǎng)絡(luò)鄰居的安全，或者用來(lái)獲取更高級(jí)別的訪(fǎng)問(wèn)權(quán)限。Sniffer可以窺探低級(jí)的協(xié)議信息。Sniffer與一般的鍵盤(pán)捕獲程序不同。鍵盤(pán)捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實(shí)的網(wǎng)絡(luò)報(bào)文。2025/3/1848第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策防止sniffer

首先就要確保以太網(wǎng)的整體安全r。其次，使用加密傳輸敏感數(shù)據(jù)。另一個(gè)比較容易接受的是使用安全拓?fù)浣Y(jié)構(gòu)。2025/3/1849第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策口令破解口令破解的方法（1）窮舉法(蠻力猜測(cè))所謂窮舉法就是對(duì)所有可能的口令組合都進(jìn)行猜測(cè)，所以也被稱(chēng)為蠻力猜測(cè)。（2）利用漏洞①利用技術(shù)漏洞②利用管理漏洞（3）字典法破譯所謂字典法攻擊，是將已有的字典文件作為用戶(hù)的口令輸入給遠(yuǎn)端的主機(jī)，申請(qǐng)進(jìn)人系統(tǒng)。若驗(yàn)證不成功，程序就自動(dòng)按序提取下一個(gè)字符串，同理進(jìn)行嘗試。攻擊就依次一直循環(huán)下去，直到口令驗(yàn)證通過(guò)，或字典的字符串用完為止。（4）缺省的登錄界面(ShellScripts)攻擊法（5）通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)非法得到用戶(hù)口令黑客利用監(jiān)聽(tīng)軟件可以監(jiān)聽(tīng)其所在網(wǎng)段的所有用戶(hù)賬號(hào)和口令。2025/3/1850第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策如何保證口令的安全（1）注意口令的組合。（2）防止口令被監(jiān)聽(tīng)（3）防止窮舉法和字典攻擊2025/3/1851第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策

內(nèi)容提要網(wǎng)絡(luò)安全基礎(chǔ)防火墻技術(shù)VPN技術(shù)網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)入侵檢測(cè)訪(fǎng)問(wèn)控制技術(shù)2025/3/1852第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策入侵檢測(cè)系統(tǒng)的概念入侵檢測(cè)通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合就是入侵檢測(cè)系統(tǒng)。IDS(IntrusionDetectionSystem)的運(yùn)行方式有兩種，一種是在目標(biāo)主機(jī)上運(yùn)行以監(jiān)測(cè)其本身的通信信息，另一種是在一臺(tái)單獨(dú)的機(jī)器上運(yùn)行以監(jiān)測(cè)所有網(wǎng)絡(luò)設(shè)備的通信信息，比如Hub、路由器。2025/3/1853第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策IDS能夠檢測(cè)出的最常見(jiàn)的Internet攻擊類(lèi)型

①DOS（DenialOfServiceattack，拒絕服務(wù)攻擊）②DDOS（DistributedDenialofService，分布式拒絕服務(wù)攻擊）③Smurf④Trojans（特洛伊木馬）2025/3/1854第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策IDS性能指標(biāo)1．每秒數(shù)據(jù)流量（Mbps或Gbps）2．每秒抓包數(shù)（pps）3．每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)4．每秒能夠處理的事件數(shù)2025/3/1855第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策入侵檢測(cè)系統(tǒng)的原理基本原理：對(duì)網(wǎng)絡(luò)上的所有數(shù)據(jù)包進(jìn)行復(fù)制并檢測(cè)，然后與內(nèi)部的攻擊特征數(shù)據(jù)庫(kù)（規(guī)則庫(kù)）進(jìn)行匹配比較，如果相符即產(chǎn)生報(bào)警或響應(yīng)。2025/3/1856第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策入侵檢測(cè)系統(tǒng)的分類(lèi)IDS分類(lèi)1－ApplicationIDS（應(yīng)用程序IDS）IDS分類(lèi)2－ConsolesIDS（控制臺(tái)IDS）IDS分類(lèi)3－FileIntegrityCheckers（文件完整性檢查器）IDS分類(lèi)4－Honeypots（蜜罐）IDS分類(lèi)5－Host-basedIDS（基于主機(jī)的IDS）IDS分類(lèi)6－HybridIDS（混合IDS）IDS分類(lèi)7－NetworkIDS（NIDS，網(wǎng)絡(luò)IDS）IDS分類(lèi)8－NetworkNodeIDS（NNIDS，網(wǎng)絡(luò)節(jié)點(diǎn)IDS）IDS分類(lèi)9－PersonalFirewall（個(gè)人防火墻）IDS分類(lèi)10－Target-BasedIDS（基于目標(biāo)的IDS）2025/3/1857第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策入侵檢測(cè)的主要方法靜態(tài)配置分析異常性檢測(cè)方法基于行為的檢測(cè)方法幾種方法的組合2025/3/1858第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)步驟入侵檢測(cè)實(shí)現(xiàn)一般分為三個(gè)步驟，依次為：信息收集、數(shù)據(jù)分析、響應(yīng)（被動(dòng)響應(yīng)和主動(dòng)響應(yīng)）。2025/3/1859第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策

內(nèi)容提要網(wǎng)絡(luò)安全基礎(chǔ)防火墻技術(shù)VPN技術(shù)網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)入侵檢測(cè)訪(fǎng)問(wèn)控制技術(shù)2025/3/1860第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策訪(fǎng)問(wèn)控制概述訪(fǎng)問(wèn)控制技術(shù)最早產(chǎn)生于六十年代。訪(fǎng)問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪(fǎng)問(wèn)。訪(fǎng)問(wèn)控制的功能有三個(gè)：阻止非法用戶(hù)進(jìn)入系統(tǒng)；允許合法用戶(hù)進(jìn)入系統(tǒng)；使合法人按其權(quán)限進(jìn)行各種信息活動(dòng)。訪(fǎng)問(wèn)控制策略有三種：最小權(quán)益策略。按主體執(zhí)行任務(wù)所需權(quán)利最小化分配權(quán)利。最小泄漏策略。按主體執(zhí)行任務(wù)所需知道的信息最小化分配權(quán)利。多級(jí)安全策略。主體和客體按普通、秘密、機(jī)密和絕密劃分，進(jìn)行權(quán)限和流向控制。2025/3/1861第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策訪(fǎng)問(wèn)控制內(nèi)容（1）入網(wǎng)訪(fǎng)問(wèn)控制（2）權(quán)限控制（3）目錄安全控制（4）屬性安全控制（5）服務(wù)器安全控制2025/3/1862第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策入網(wǎng)訪(fǎng)問(wèn)控制入網(wǎng)訪(fǎng)問(wèn)控制為網(wǎng)絡(luò)訪(fǎng)問(wèn)提供了第一層訪(fǎng)問(wèn)控制。它控制哪些用戶(hù)能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶(hù)入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。用戶(hù)的入網(wǎng)訪(fǎng)問(wèn)控制可分為三個(gè)步驟：用戶(hù)名的識(shí)別與驗(yàn)證、用戶(hù)口令的識(shí)別與驗(yàn)證、用戶(hù)賬號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過(guò)，該用戶(hù)便不能進(jìn)入該網(wǎng)絡(luò)。對(duì)網(wǎng)絡(luò)用戶(hù)的用戶(hù)名和口令進(jìn)行驗(yàn)證是防止非法訪(fǎng)問(wèn)的第一道防線(xiàn)。用戶(hù)名和口令驗(yàn)證有效之后，再進(jìn)一步履行用戶(hù)賬號(hào)的缺省限制檢查。網(wǎng)絡(luò)應(yīng)能控制用戶(hù)登錄入網(wǎng)的站點(diǎn)、限制用戶(hù)入網(wǎng)的時(shí)間、限制用戶(hù)入網(wǎng)的工作站數(shù)量。網(wǎng)絡(luò)應(yīng)對(duì)所有用戶(hù)的訪(fǎng)問(wèn)進(jìn)行審計(jì)。如果多次輸入口令不正確，則認(rèn)為是非法用戶(hù)的入侵，應(yīng)給出報(bào)警信息。2025/3/1863第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶(hù)和用戶(hù)組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶(hù)和用戶(hù)組可以訪(fǎng)問(wèn)哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩?hù)對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽可作為兩種實(shí)現(xiàn)方式。受托者指派控制用戶(hù)和用戶(hù)組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個(gè)過(guò)濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。根據(jù)訪(fǎng)問(wèn)權(quán)限可以將用戶(hù)分為以下幾類(lèi)：①特殊用戶(hù)（即系統(tǒng)管理員）；②一般用戶(hù)，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；③審計(jì)用戶(hù)，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)限可以用訪(fǎng)問(wèn)控制表來(lái)描述。2025/3/1864第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策目錄安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶(hù)對(duì)目錄、文件、設(shè)備的訪(fǎng)問(wèn)。用戶(hù)在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶(hù)還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。對(duì)目錄和文件的訪(fǎng)問(wèn)權(quán)限一般有八種：系統(tǒng)管理員權(quán)限（Supervisor）讀權(quán)限（Read）寫(xiě)權(quán)限（Write）創(chuàng)建權(quán)限（Create）刪除權(quán)限（Erase）修改權(quán)限（Modify）文件查找權(quán)限（FileScan）訪(fǎng)問(wèn)控制權(quán)限（AccessControl）用戶(hù)對(duì)文件或目標(biāo)的有效權(quán)限取決于以下三個(gè)因素：用戶(hù)的受托者指派；用戶(hù)所在組的受托者指派；繼承權(quán)限屏蔽取消的用戶(hù)權(quán)限。一個(gè)網(wǎng)絡(luò)管理員應(yīng)當(dāng)為用戶(hù)指定適當(dāng)?shù)脑L(fǎng)問(wèn)權(quán)限，這些訪(fǎng)問(wèn)權(quán)限控制著用戶(hù)對(duì)服務(wù)器的訪(fǎng)問(wèn)。八種訪(fǎng)問(wèn)權(quán)限的有效組合可以讓用戶(hù)有效地完成工作，同時(shí)又能有效地控制用戶(hù)對(duì)服務(wù)器資源的訪(fǎng)問(wèn)，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。

2025/3/1865第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策屬性安全控制當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪(fǎng)問(wèn)屬性。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)限對(duì)應(yīng)一張?jiān)L問(wèn)控制表，用以表明用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫(xiě)數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。2025/3/1866第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策服務(wù)器安全控制網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。用戶(hù)使用控制臺(tái)可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶(hù)修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時(shí)間限制、非法訪(fǎng)問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔。2025/3/1867第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策訪(fǎng)問(wèn)控制技術(shù)（1）自主訪(fǎng)問(wèn)控制技術(shù)（DiscretionaryAccessControl，DAC）目前我國(guó)大多數(shù)信息系統(tǒng)的訪(fǎng)問(wèn)控制模塊基本都是借助于自主訪(fǎng)問(wèn)控制方法中的訪(fǎng)問(wèn)控制列表(ACLs)。自主訪(fǎng)問(wèn)控制有一個(gè)明顯的缺點(diǎn)就是這種控制是自主的，它能夠控制主體對(duì)客體的直接訪(fǎng)問(wèn)，但不能控制主體對(duì)客體的間接訪(fǎng)問(wèn)（利用訪(fǎng)問(wèn)的傳遞性，即A可訪(fǎng)問(wèn)B，B可訪(fǎng)問(wèn)C，于是A可訪(fǎng)問(wèn)C）。雖然這種自主性為用戶(hù)提供了很大的靈活性，但同時(shí)也帶來(lái)了嚴(yán)重的安全問(wèn)題。2025/3/1868第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策訪(fǎng)問(wèn)控制技術(shù)（2）強(qiáng)制訪(fǎng)問(wèn)控制技術(shù)（MandatoryAccessControl，MAC）安全級(jí)別高的計(jì)算機(jī)采用這種策略，它常用于軍隊(duì)和國(guó)家重要機(jī)構(gòu)，例如將數(shù)據(jù)分為絕密、機(jī)密、秘密和一般等幾類(lèi)。用戶(hù)的訪(fǎng)問(wèn)權(quán)限也類(lèi)似定義，即擁有相應(yīng)權(quán)限的用戶(hù)可以訪(fǎng)問(wèn)對(duì)應(yīng)安全級(jí)別的數(shù)據(jù)，從而避免自主訪(fǎng)問(wèn)控制方法中出現(xiàn)的訪(fǎng)問(wèn)傳遞問(wèn)題。這種策略具有層次性的特點(diǎn)，高級(jí)別的權(quán)限可以訪(fǎng)問(wèn)低級(jí)別的數(shù)據(jù)。這種策略的缺點(diǎn)在于訪(fǎng)問(wèn)級(jí)別的劃分不夠細(xì)致，在同級(jí)間缺乏控制機(jī)制。2025/3/1869第六章互聯(lián)網(wǎng)安全技術(shù)與防范對(duì)策訪(fǎng)問(wèn)控制技術(shù)（3）基于角色的訪(fǎng)問(wèn)控制技術(shù)RBAC（Role-BasedAc