信息平安根底【學(xué)習(xí)目標(biāo)】表示層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層非信任域防火墻信任域應(yīng)用層網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)層代理效勞器的原理

訪問控制列表（ACL）緩存CacheInternet代理服務(wù)器圖5-4Web代理的原理代理效勞器代理效勞器是接收和解釋客戶端連接并發(fā)起到效勞器的新連接的網(wǎng)絡(luò)節(jié)點(diǎn)，這意味著代理效勞器必須滿足以下條件：第一：能夠接收和解釋客戶端的請(qǐng)求；第二：能夠創(chuàng)立到效勞器的新連接；第三：能夠接收效勞器發(fā)來的響應(yīng)；第四：能夠發(fā)出或解釋效勞器的響應(yīng)并將該響應(yīng)傳回給客戶端。因此實(shí)現(xiàn)代理效勞器必須同時(shí)要實(shí)現(xiàn)效勞器和客戶端兩端的功能。NAT地址轉(zhuǎn)換圖5-5NAT地址轉(zhuǎn)換包過濾型路由器的優(yōu)點(diǎn)包過濾型路由器的缺點(diǎn)

〔1〕定義包過濾器可能是一項(xiàng)復(fù)雜的工作?！?〕路由器信息包的吞吐量隨過濾器數(shù)量的增加而減少?！?〕不能徹底防止地址欺騙?！?〕一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾?！?〕正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些平安策略?！?〕一些包過濾路由器不提供任何日志能力，直到闖入發(fā)生后，危險(xiǎn)的封包才可能檢測(cè)出來。它可以阻止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，但也不會(huì)告訴我們究竟都有誰來過，或者誰從內(nèi)部進(jìn)入了外部網(wǎng)絡(luò)。入侵檢測(cè)概述入侵檢測(cè)是監(jiān)控計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中所發(fā)生的事件并分析這些事件以查找可能的事故的過程，這些事故違反或者即將違反計(jì)算機(jī)平安策略、可接受使用策略或標(biāo)準(zhǔn)平安實(shí)踐。入侵檢測(cè)系統(tǒng)〔InstrusionDetectionSystem,IDS〕是自動(dòng)化入侵檢測(cè)過程的軟件和硬件的組合。入侵檢測(cè)應(yīng)用入侵檢測(cè)應(yīng)用示意圖如圖5-11所示。圖5-11入侵檢測(cè)應(yīng)用示意圖圖5-12入侵檢測(cè)系統(tǒng)的組成實(shí)時(shí)監(jiān)控系統(tǒng)圖5-13實(shí)時(shí)監(jiān)控系統(tǒng)通用入侵監(jiān)測(cè)系統(tǒng)模型〔NIDS〕圖5-14通用入侵監(jiān)測(cè)系統(tǒng)模型〔NIDS〕通用入侵監(jiān)測(cè)系統(tǒng)模型〔NIDS〕數(shù)據(jù)收集器：主要負(fù)責(zé)收集數(shù)據(jù)。探測(cè)器：收集捕獲所有可能的和入侵行為有關(guān)的信息，包括網(wǎng)絡(luò)數(shù)據(jù)包、系統(tǒng)或應(yīng)用程序的日志和系統(tǒng)調(diào)用記錄等探測(cè)器將數(shù)據(jù)收集后，送到檢測(cè)器進(jìn)行處理。檢測(cè)器：負(fù)責(zé)分析和監(jiān)測(cè)入侵行為，并發(fā)出警報(bào)信號(hào)。知識(shí)庫：提供必要的數(shù)據(jù)信息支持，如用戶的歷史活動(dòng)檔案、監(jiān)測(cè)規(guī)那么集等?？刂破鳎焊鶕?jù)報(bào)警信號(hào)，人工或自動(dòng)做出反響動(dòng)作。入侵檢測(cè)的工作流程第一步，網(wǎng)絡(luò)數(shù)據(jù)包的獲取〔混雜模式〕；第二步，網(wǎng)絡(luò)數(shù)據(jù)包的解碼〔協(xié)議分析〕；第三步，網(wǎng)絡(luò)數(shù)據(jù)包的檢查〔特征即規(guī)那么匹配/誤用檢測(cè)〕；第四步，網(wǎng)絡(luò)數(shù)據(jù)包的統(tǒng)計(jì)〔異常檢測(cè)〕；第五步，網(wǎng)絡(luò)數(shù)據(jù)包的審查〔事件生成〕；第六步，網(wǎng)絡(luò)數(shù)據(jù)包的處理〔報(bào)警和響應(yīng)〕。誤用檢測(cè)模型用戶行為模式匹配入侵特征知識(shí)庫發(fā)現(xiàn)入侵！圖5-15誤用檢測(cè)模型異常檢測(cè)〔AnomalyDetection〕異常檢測(cè)是首先總結(jié)正常操作應(yīng)該具有的特征，在得出正常操作的模型之后，對(duì)后續(xù)的操作進(jìn)行監(jiān)視，一旦發(fā)現(xiàn)偏離正常統(tǒng)計(jì)學(xué)意義上的操作模式，即進(jìn)行報(bào)警。因?yàn)樗奶卣鲙炱ヅ涞氖钦２僮餍袨?，所以又存在以下幾個(gè)特點(diǎn)：異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率；因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵；系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源。聯(lián)動(dòng)系統(tǒng)日志，告警日志，告警告警，聯(lián)動(dòng)日志，告警告警，聯(lián)動(dòng)IDS防火墻審計(jì)中心受保護(hù)主機(jī)圖5-15聯(lián)動(dòng)系統(tǒng)示意圖IPS在網(wǎng)絡(luò)中的部署圖5-17IPS在網(wǎng)絡(luò)中的部署IPS的根本原理IPS的根本原理就是通過對(duì)數(shù)據(jù)流進(jìn)行重組后進(jìn)行協(xié)議識(shí)別分析和特征模式匹配，將符合特定條件的數(shù)據(jù)進(jìn)行限流、整形，或進(jìn)行阻斷、重定向或隔離，而對(duì)正常流量進(jìn)行轉(zhuǎn)發(fā)。IPS的根本原理如圖5-18所示。IPS的根本原理圖5-18IPS的根本原理IPS的根本原理數(shù)據(jù)流重組協(xié)議分析特征/模式匹配特征/模式更新主動(dòng)處理IPS的功能

針對(duì)漏洞的主動(dòng)防御針對(duì)攻擊的主動(dòng)防御基于應(yīng)用的帶寬管理報(bào)警及報(bào)表入侵檢測(cè)的常見產(chǎn)品目前流行的IDS產(chǎn)品主要有Cisco公司NetRanger，ISS公司的RealSesure，Axent的ITA、ESM，以及NAI的CyberCop等。虛擬專用網(wǎng)概述1VPN的定義VPN〔VirtualPrivateNetwork〕即虛擬專用網(wǎng)，被定義為通過一個(gè)公用網(wǎng)絡(luò)〔通常是因特網(wǎng)〕建立一個(gè)臨時(shí)的、平安的連接，是一條穿過非平安網(wǎng)絡(luò)的平安、穩(wěn)定的隧道?！疤摂M〞的意思是沒有固定的物理連接，網(wǎng)絡(luò)只有需要時(shí)才建立；“專用〞是指它利用公共網(wǎng)絡(luò)設(shè)施構(gòu)成的專用網(wǎng)。如圖5-19所示的虛擬專用網(wǎng)。虛擬專用網(wǎng)圖5-19虛擬專用網(wǎng)虛擬專用網(wǎng)概述2分類根據(jù)VPN的效勞類型，VPN業(yè)務(wù)大致分為三類：接入VPN〔AccessVPN〕、內(nèi)聯(lián)網(wǎng)VPN〔IntranetVPN〕和外聯(lián)網(wǎng)VPN〔ExtranetVPN〕。通常情況下內(nèi)聯(lián)網(wǎng)VPN是專線VPN.〔1〕接入VPN

圖5-20AccessVPN〔2〕內(nèi)聯(lián)網(wǎng)VPN

內(nèi)聯(lián)網(wǎng)VPN是企業(yè)的總部與分支機(jī)構(gòu)之間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)，這是一種網(wǎng)絡(luò)到網(wǎng)絡(luò)以對(duì)等的方式連接起來所組成的VPN。內(nèi)聯(lián)網(wǎng)VPN如圖5-21所示。圖5-21內(nèi)聯(lián)網(wǎng)VPN〔3〕外聯(lián)網(wǎng)VPN

外聯(lián)網(wǎng)VPN是企業(yè)在發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)間通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。圖5-22外聯(lián)網(wǎng)VPN幾種認(rèn)證方式的比較1建立隧道主要方式建立隧道主要有兩種方式：客戶啟動(dòng)〔Client-Initiated〕和客戶透明〔Client-Transparent〕?！?〕.客戶啟動(dòng)〔Client-Initiated〕客戶啟動(dòng)方式要求客戶和隧道效勞器〔或網(wǎng)關(guān)〕都安裝隧道軟件?！?〕.客戶透明〔Client-Transparent〕2幾種主流VPN協(xié)議〔1〕.點(diǎn)到點(diǎn)隧道協(xié)議〔PPTP〕〔2〕.第二層轉(zhuǎn)發(fā)協(xié)議〔L2F〕〔3〕.第二層隧道協(xié)議〔L2TP〕〔4〕.第三層隧道協(xié)議-通用路由封裝協(xié)議〔GRE〕〔5〕.IP平安協(xié)議〔IPSec〕〔5〕高層隧道協(xié)議-SSL協(xié)議〔7〕多協(xié)議標(biāo)記交換〔MPLS〕〔8〕各種VPN的應(yīng)用統(tǒng)撥號(hào)接入圖5-23傳統(tǒng)撥號(hào)接入L2TP典型組網(wǎng)應(yīng)用圖5-24L2TP典型組網(wǎng)應(yīng)用GRE封裝包格式圖5-25GRE封裝包格式IP平安協(xié)議〔IPSec〕IPSec〔IPSecurity〕是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，特定的通信方之間在IP層通過加密和數(shù)據(jù)摘要〔Hash〕等手段來保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私密性〔Confidentiality〕、完整性〔Dataintegrity〕和真實(shí)性〔Originauthentication〕。IPSec協(xié)議如圖5-25所示。IPSec協(xié)議圖5-25IPSec協(xié)議IPSec的框架結(jié)構(gòu)圖5-27IPSec的框架結(jié)構(gòu)IPSec傳輸模式結(jié)構(gòu)圖圖5-28IPSec傳輸模式結(jié)構(gòu)圖IPSec隧道模式結(jié)構(gòu)圖圖5-29IPSec隧道模式結(jié)構(gòu)圖AH模式無法與NAT一起進(jìn)行圖5-30AH模式無法與NAT一起進(jìn)行ESP模式圖5-31ESP模式示意圖IPSec轉(zhuǎn)換圖5-32IPSec轉(zhuǎn)換示意圖高層隧道協(xié)議-SSL協(xié)議

SSL的英文全稱是“SecureSocketsLayer〞，中文名為“平安套接層協(xié)議層〞，是網(wǎng)景〔Netscape〕公司提出的基于Web應(yīng)用的平安協(xié)議。SSL協(xié)議位于TCP/IP與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通信提供平安支持。目前已被廣泛地應(yīng)用于Web瀏覽器與效勞器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSLVPN實(shí)現(xiàn)原理圖5-33SSLVPN實(shí)現(xiàn)原理SSLVPN實(shí)現(xiàn)原理遠(yuǎn)程主機(jī)向VPN網(wǎng)關(guān)發(fā)出請(qǐng)求。SSLVPN網(wǎng)關(guān)改寫請(qǐng)求中的目的URL，并將報(bào)文轉(zhuǎn)發(fā)給真實(shí)的效勞器。內(nèi)網(wǎng)的效勞器返回響應(yīng)報(bào)文SSLVPN網(wǎng)關(guān)改寫Web頁面中的URL鏈接，并將其返回給遠(yuǎn)程主機(jī)。多協(xié)議標(biāo)記交換〔MPLS〕MPLS屬于第三代網(wǎng)絡(luò)架構(gòu)，是新一代的IP高速骨干網(wǎng)絡(luò)交換標(biāo)準(zhǔn)，由IETF〔InternetEngineeringTaskForce，因特網(wǎng)工程任務(wù)組〕所提出，由Cisco、ASCEND、3Com等網(wǎng)絡(luò)設(shè)備大廠所主導(dǎo)。MPLS的核心概念是交換，也就是這里最后一個(gè)字母S(Switching)的含義；其次的重要概念是標(biāo)記，即這里L(fēng)(Label)字母的含義；最后一層概念是多協(xié)議，即這里的MP(Multi-Protocol)的含義。MPLS的概念圖圖5-34MPLS的概念圖MPLS解決方案圖5-35MPLS解決方案各種VPN的應(yīng)用

虛擬專用網(wǎng)網(wǎng)絡(luò)平安解決方案圖5-35Internet平安解決方案虛擬專用網(wǎng)的開展方向虛擬專用網(wǎng)的開展方向包括以下3個(gè)方面：SSLVPN開展加速效勞質(zhì)量有待加強(qiáng)根底設(shè)施化趨勢(shì)顯現(xiàn)網(wǎng)絡(luò)隔離結(jié)構(gòu)圖圖5-37網(wǎng)絡(luò)隔離結(jié)構(gòu)圖網(wǎng)絡(luò)隔離系統(tǒng)的組成局部圖5-38網(wǎng)絡(luò)隔離系統(tǒng)的組成局部無數(shù)據(jù)交換的網(wǎng)絡(luò)斷開圖5-39無數(shù)據(jù)交換的網(wǎng)絡(luò)斷開圖外部主機(jī)與固態(tài)存儲(chǔ)介質(zhì)交換數(shù)據(jù)圖5-40外部主機(jī)與固態(tài)存儲(chǔ)介質(zhì)交換數(shù)據(jù)示意圖固態(tài)存儲(chǔ)介質(zhì)與內(nèi)部主機(jī)數(shù)據(jù)交換圖5-41固態(tài)存儲(chǔ)介質(zhì)與內(nèi)部主機(jī)數(shù)據(jù)交換示意圖文件被傳送到內(nèi)網(wǎng)恢復(fù)斷開狀態(tài)圖5-42文件被傳送到內(nèi)網(wǎng)恢復(fù)斷開狀態(tài)實(shí)時(shí)開關(guān)(RealTimeSwitch)實(shí)時(shí)開關(guān)(RealTimeSwitch)指同一時(shí)刻內(nèi)外網(wǎng)絡(luò)沒有物理上的數(shù)據(jù)連通．但又快速分時(shí)地處理并傳遞數(shù)據(jù)。通常實(shí)時(shí)開關(guān)連接一個(gè)網(wǎng)絡(luò)去獲得數(shù)據(jù)，然后開關(guān)轉(zhuǎn)向另一個(gè)網(wǎng)絡(luò)并把數(shù)據(jù)放在上面兩個(gè)網(wǎng)絡(luò)間的數(shù)據(jù)移動(dòng)以很快的速度進(jìn)行，就象實(shí)時(shí)處理一樣。通常采取的方式是：終止網(wǎng)絡(luò)連接并剝?nèi)CP報(bào)頭，然后把“原始〞數(shù)據(jù)傳人實(shí)時(shí)開關(guān)，這樣就可除去網(wǎng)絡(luò)協(xié)議漏洞帶來的風(fēng)險(xiǎn)。同時(shí)，實(shí)時(shí)開關(guān)也可執(zhí)行內(nèi)容檢測(cè)以防止病毒所造成的損害。單向連接(OneWayLink)單向連接(OneWayLink)指數(shù)據(jù)只能單向地從源網(wǎng)(sourcenetwork)傳輸?shù)侥康木W(wǎng)(destinationnetwork)。單向連接實(shí)際上建立了一個(gè)“只讀〞網(wǎng)絡(luò)，即不允許數(shù)據(jù)反向傳回到源網(wǎng)。同實(shí)時(shí)開關(guān)一樣，單向連接必須用硬件來實(shí)現(xiàn)．以防止數(shù)據(jù)傳錯(cuò)方向。網(wǎng)絡(luò)交換器(NetworkSwitcher)網(wǎng)絡(luò)交換器(NetworkSwitcher)指一臺(tái)計(jì)算機(jī)上有兩個(gè)虛擬機(jī)，先把數(shù)據(jù)寫入一個(gè)虛擬機(jī)，然后通過開關(guān)把傳輸數(shù)據(jù)到另一個(gè)虛擬機(jī)，數(shù)據(jù)傳輸速度比實(shí)時(shí)開關(guān)和單向連接都慢，不是實(shí)時(shí)工作的。網(wǎng)絡(luò)轉(zhuǎn)換器通常可用帶有雙接口的硬件卡來實(shí)現(xiàn)，每個(gè)接口連接一個(gè)隔離的網(wǎng)絡(luò)，但同一時(shí)刻只有一個(gè)是激活的?！?〕網(wǎng)閘的應(yīng)用定位平安隔離網(wǎng)閘的優(yōu)勢(shì)在于它通過在不可信網(wǎng)絡(luò)犧牲自己來積極有效地應(yīng)對(duì)攻擊，以充分保護(hù)可信網(wǎng)絡(luò)防止受到基于操作系統(tǒng)和網(wǎng)絡(luò)的各種攻擊。它的應(yīng)用包括以下幾個(gè)方面。1)涉密網(wǎng)與非涉密網(wǎng)之間；2)局域網(wǎng)與互聯(lián)網(wǎng)之間〔內(nèi)網(wǎng)與外網(wǎng)之間〕，有些局域網(wǎng)絡(luò)，特別是政府辦公網(wǎng)絡(luò)，涉及政府敏感信息，有時(shí)需要與互聯(lián)網(wǎng)在物理上斷開，用物理隔離網(wǎng)閘是一個(gè)常用的方法?！?〕網(wǎng)閘的應(yīng)用定位3)辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間，由于辦公網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)的信息敏感程度不同，例如，銀行的辦公網(wǎng)絡(luò)和銀行業(yè)務(wù)網(wǎng)絡(luò)就是很典型的信息敏感程度不同的兩類網(wǎng)絡(luò)。4)電子政務(wù)的內(nèi)網(wǎng)與專網(wǎng)之間，在電子政務(wù)系統(tǒng)建設(shè)中要求政府內(nèi)網(wǎng)與外網(wǎng)之間用邏輯隔離，在政府專網(wǎng)與內(nèi)網(wǎng)之間用物理隔離。現(xiàn)常用的方法是用物理隔離網(wǎng)閘來實(shí)現(xiàn)?！?〕網(wǎng)閘的應(yīng)用定位5)業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)之間，電子商務(wù)網(wǎng)絡(luò)一邊連接著業(yè)務(wù)網(wǎng)絡(luò)效勞器，一邊通過互聯(lián)網(wǎng)連接著廣闊民眾。為了保障業(yè)務(wù)網(wǎng)絡(luò)效勞器的平安，在業(yè)務(wù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間應(yīng)實(shí)現(xiàn)物理隔離。網(wǎng)絡(luò)隔離常見產(chǎn)品1國外網(wǎng)閘產(chǎn)品介紹美國鯨魚公司的網(wǎng)閘〔e-Gap〕美國矛頭公司的網(wǎng)閘〔NE