背景本節(jié)內容Internet及其平安Internet的根本協(xié)議Internet的根本效勞與平安相關的問題Internet以TCP/IP協(xié)議為根底初始目標是在研究人員之間進行通信〔原型系統(tǒng)為ARPANET，DARPA資助〕1980后迅速推廣到教育、政府、商業(yè)與國際機構目前一般用戶為商業(yè)用戶成為了國家信息根底設施〔NII〕Internet提供的根本效勞SMTP：簡單郵件傳送協(xié)議SimpleMailTransferProtocolTELNET：對遠地主機的根本的終端仿真FTP：文件傳送協(xié)議FileTransferProtocolDNS：域名系統(tǒng)DomainNameService信息提供效勞Gopher、WAIS、WWW/進程調用效勞Internet主機操作系統(tǒng)的特點就是并行和共享Unix系統(tǒng)Sun,IBM,LinuxWindows系統(tǒng)NT,XP,2000VMS、AS400、其他系統(tǒng)OS/2，Macintosh網(wǎng)絡分層的思路書信郵件的例子應用：信的內容與將來如何投遞沒有關系網(wǎng)絡：加信封，信封及地址與如何投遞沒有關系物理：加郵包，運郵件的車跟具體信封地址沒有關系兩個人的合同談判翻譯秘書郵件示意信件信件合同談判英語：Ilike…德語：Ilike…Faxto:德語：Ilike…Faxfrom:德語：Ilike…德語：Ilike…中文：Ilike…英語：Ilike…德語：Ilike…Faxto:德語：Ilike…Faxfrom:德語：Ilike…德語：Ilike…中文：Ilike…合同談判網(wǎng)絡的視角-系統(tǒng)互連(OSI)第一層：物理層Physical第二層：數(shù)據(jù)鏈路DataLink第三層：網(wǎng)絡層Network第四層：傳輸層Transport第五層：會話Session第六層：表示層Presentation第七層：應用層Application網(wǎng)絡中的數(shù)據(jù)傳送物理層鏈路層網(wǎng)絡層傳輸層會話層表示層應用層物理層鏈路層網(wǎng)絡層TCP/IP協(xié)議層次結構物理/數(shù)據(jù)鏈路層(Ethernet)網(wǎng)絡層Network(IP,ICMP)傳輸層Transport(TCP,UDP)應用層Application(FTP,Telnet,DNS,NFS,PING)ARP：AddressResolutionProtocol

地址解析協(xié)議IP數(shù)據(jù)包發(fā)送前查找對應IP地址主機的物理地址在網(wǎng)絡上播送ARP請求緩存已經(jīng)找到的硬件地址參見RFC826ICMP互連網(wǎng)控制報文協(xié)議

InternetControlMessageProtocol用于傳送錯誤和控制報文，控制IP協(xié)議主機關閉/網(wǎng)關阻塞或不通/其他故障PING是一個著名的應用RFC792IP(InternetProtocol)協(xié)議接收物理層〔Ethernet〕發(fā)來的數(shù)據(jù)將數(shù)據(jù)傳送到高層協(xié)議，如TCP、UDP不可靠的數(shù)據(jù)報協(xié)議不保障報文順序，不檢查錯誤，不保證對方收到包含源IP地址和目的IP地址SourceAddress&DestinationAddress上層協(xié)議〔TCP、UDP〕認為這些地址都是正確的，不對原IP地址進行認證。RFC760TCP協(xié)議

TransmissionControlProtocolIP數(shù)據(jù)報包含了封裝的TCP報文通過連接建立和報文序號以及檢錯編碼保證數(shù)據(jù)完整性TCP協(xié)議將數(shù)據(jù)送往應用層處理TELNET，F(xiàn)TP，XWindow，SMTP等都是基于有連接的TCP協(xié)議UDP協(xié)議

UserDatagramProtocol與TCP在同一個層次，直接為應用效勞不檢錯，不重發(fā)，不排序無連接的協(xié)議NTP,DNS使用UDPTCP/UDP的地址結構源IP地址〔32bits〕源端口(16bits)目的IP地址目的端口一個連接的例子Telnet效勞器運行在上，在端口23上聽是否有連接請求Telnet客戶端在中申請了一個未用的端口，如3987，然后向效勞器發(fā)連接請求當連接成功后，雙方都記下自己以及對方的地址和端口。:3987:23Internet上平安事件不斷效勞平安問題/協(xié)議平安問題Sendmail、FreeFTP發(fā)現(xiàn)漏洞Telnet/FTP/Xwindow易于竊聽蠕蟲病毒泛濫主機配置錯誤導致的平安問題弱口令、口令破解程序、NFS協(xié)議不能認證用戶管理人員的變動和水平一些平安問題：竊聽、假冒IP假冒，同一網(wǎng)段內，改就行原路徑問題〔sourceroute〕改變IP設計原路徑發(fā)送請求獲得回應Email假冒，不僅是地址，而且還從正確的效勞器來。Internet及其平安總結Internet是以TCP/IP協(xié)議為根底的ARP,IP,TCP,UDP,ICMPISO的七層開放系統(tǒng)模型與Internet的5層模型數(shù)據(jù)傳送方法Internet很不平安協(xié)議本身，效勞，配置以及系統(tǒng)本身保護內網(wǎng)有漏洞的效勞控制對內網(wǎng)系統(tǒng)的訪問將平安問題集中解決增加隱私保護內網(wǎng)系統(tǒng)不可見審計和統(tǒng)計網(wǎng)絡使用和錯誤強制執(zhí)行統(tǒng)一的平安策略２數(shù)據(jù)鏈路層(Ethernet)３網(wǎng)絡層Network(IP,ICMP)４傳輸層Transport(TCP,UDP)７應用層Application(FTP,Telnet,DNS,NFS,PING)邊界路由器包過濾

BoundaryRouterPacketFilterISP邊界路由器包過濾外部DMZ受保護的內網(wǎng)demilitarizedzone原地址原端口目標地址目標端口操作說明AnyAny>1024Allow回答AnyAnyAnyAllow內訪外AnyAnySMTPAllow郵件AnyAnyHTTPAllowWebAnyAnyAnyAnyDeny拒絕過濾規(guī)那么動作：允許(Accept/Allow)拒絕(Deny)丟棄(Discard)規(guī)那么間的關系但凡沒有定義的就禁止／允許？一條禁止和一條允許禁止還是允許？一般：不要忘記最后禁止所有的通信外出通信和進入通信同等重要工作在2，3，4層不是簡單開放大于1023的端口而是記住每個TCP連接或UDP通信的狀態(tài)109880Established6104625Established81356580EstablishedDNSFingerFTPHTTPHTTPSLDAPNNTPSMTPTelnet內網(wǎng)外網(wǎng)ProxyAgent代理網(wǎng)關的運行步驟用戶Telnet網(wǎng)關并輸入內部主機名網(wǎng)關檢查用戶的IP地址決定是否允許連接網(wǎng)關要求用戶進行認證，可以是基于硬件的或生物根底的代理效勞建立一個從代理到內部主機的Telnet連接代理在這兩個連接中傳輸數(shù)據(jù)網(wǎng)關記錄這次連接NAT:網(wǎng)絡地址轉換

NetworkAddressTraslation目的：隱藏內部網(wǎng)絡地址減少真實IP地址的使用方法：靜態(tài)地址轉換〔StaticNAT〕隱藏網(wǎng)絡地址轉換(HidingNAT)端口地址轉換(PortAddressTranslation)重要建議DMZ網(wǎng)絡(DeMilitarizedZone)ISP受保護內網(wǎng)外部DMZ網(wǎng)絡外部WEB效勞器內部DMZ網(wǎng)絡內部郵件效勞器另一種DMZ網(wǎng)絡ISP外部DMZ網(wǎng)絡應用代理效勞器效勞DMZ網(wǎng)絡受保護內網(wǎng)VPN(VirtualPrivateNetwork)VPNGateway內部網(wǎng)絡InternetVPN的類型PPTP(Point-to-pointTunnelingProtocol)用戶到NAS之間的連接保密口令機制CHAPL2TP(Layer2TunnelingProtocol)第二層平安，IPSEC(InternetProtocolSecurity)最完善的平安機智VPN與專用網(wǎng)相比的優(yōu)勢租線路昂貴無須專用接入設備移動時節(jié)約長途開銷大規(guī)模造成的復雜問題不存在管理更容易擴展方便VPN與專用網(wǎng)相比的優(yōu)勢的缺點IPSEC的主要內容IPAuthenticationHeader(AH)IPEncapsulatingSecurityPayload(ESP)IPPayloadcompression(IPComp)InternetKeyExchange(IKE)IPSec的兩種工作模式傳輸模式用于主機之間的通信IP地址不變，只加密內容隧道模式主要用于有Gateway參與的通信加密所有的內容，包括原IP頭VPN的布置內網(wǎng)Internet內網(wǎng)Internet內網(wǎng)InternetIDS〔IntrusionDetectionSystem〕ISP受保護內網(wǎng)外部DMZ網(wǎng)絡外部WEB效勞器內部DMZ網(wǎng)絡內部郵件效