項目4工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全項目4工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全【知識目標】●理解工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的內(nèi)容和防護措施?！窭斫饩W(wǎng)絡(luò)掃描的原理。●理解拒絕服務(wù)攻擊的原理及危害?！窭斫馄垓_攻擊與防御的原理?！窭斫夥阑饓Φ墓ぷ髟??！裾莆杖肭謾z測技術(shù)?！裾莆誚PN的原理?！窭斫鉄o線網(wǎng)絡(luò)安全。項目4工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全【能力目標】●能防御拒絕服務(wù)攻擊?！衲芊烙垓_攻擊?！衲芘渲梅阑饓Π踩呗?。●能搭建IPSecVPN?！衲軜?gòu)建無線網(wǎng)絡(luò)安全?！舅刭|(zhì)目標】●培養(yǎng)良好的分析問題、解決問題和再學(xué)習(xí)的能力?！駱淞⒄_的世界觀、人生觀、價值觀?！裥纬梢喾矫姘l(fā)展觀念，不僅要提高專業(yè)技術(shù)，還要提高內(nèi)在的道德修養(yǎng)?！衽囵B(yǎng)團隊合作的意識。項目4工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全【學(xué)習(xí)路徑】4.1工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全概述4.1工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全概述工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)包括工廠內(nèi)網(wǎng)絡(luò)和工廠外網(wǎng)絡(luò)。工廠內(nèi)網(wǎng)絡(luò)呈現(xiàn)出IP化、無線化、組網(wǎng)方式靈活化與全局化的特點，工廠外網(wǎng)絡(luò)呈現(xiàn)出信息網(wǎng)絡(luò)與控制網(wǎng)絡(luò)逐漸融合、企業(yè)專網(wǎng)與互聯(lián)網(wǎng)逐漸融合以及產(chǎn)品服務(wù)日益互聯(lián)網(wǎng)化的特點。這就造成傳統(tǒng)互聯(lián)網(wǎng)中的網(wǎng)絡(luò)安全問題開始向工業(yè)互聯(lián)網(wǎng)蔓延，具體表現(xiàn)為以下幾個方面：工業(yè)互聯(lián)協(xié)議由專有協(xié)議向IP轉(zhuǎn)變，導(dǎo)致攻擊門檻大大降低；現(xiàn)有一些工業(yè)以太網(wǎng)交換機缺乏抵御日益嚴重的DDoS攻擊的能力；工廠網(wǎng)絡(luò)互聯(lián)、生產(chǎn)、運營逐漸由靜態(tài)轉(zhuǎn)變?yōu)閯討B(tài)，安全策略面臨嚴峻挑戰(zhàn)等。此外，隨著工廠業(yè)務(wù)的拓展和新技術(shù)的不斷應(yīng)用，將面臨5G、SDN等新技術(shù)引入，工廠內(nèi)外網(wǎng)絡(luò)互聯(lián)互通進一步深化等帶來的安全風險。4.1工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全概述體系架構(gòu)2.0指出，工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護應(yīng)面向工廠內(nèi)網(wǎng)、工廠外網(wǎng)及標識解析系統(tǒng)等方面，可采取通信和傳輸保護、邊界隔離（工業(yè)防火墻）、接入認證授權(quán)、網(wǎng)絡(luò)攻擊防護等安全策略。保障工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的技術(shù)包括網(wǎng)絡(luò)掃描技術(shù)、拒絕服務(wù)攻擊防御技術(shù)、欺騙攻擊防御技術(shù)、邊界防護技術(shù)、入侵檢測技術(shù)、VPN技術(shù)、無線網(wǎng)絡(luò)安全技術(shù)等。4.2網(wǎng)絡(luò)掃描技術(shù)4.2網(wǎng)絡(luò)掃描技術(shù)網(wǎng)絡(luò)掃描技術(shù)主要包括：主機掃描端口掃描操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)類型探測黑客在發(fā)動網(wǎng)絡(luò)攻擊之前，首先通過主機掃描找出目標網(wǎng)絡(luò)中活躍的主機，然后基于端口掃描探測出這些主機上所開放的端口，并通過操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)標識以識別主機所安裝的操作系統(tǒng)與開放的網(wǎng)絡(luò)服務(wù)的類型，最后使用漏洞掃描找出主機與網(wǎng)絡(luò)服務(wù)上存在的安全漏洞，為進一步攻擊提供支持。4.2.1主機掃描主機掃描是指通過對目標網(wǎng)絡(luò)IP地址的范圍進行自動化的掃描，以確定網(wǎng)絡(luò)中存在哪些活躍的設(shè)備和系統(tǒng)。主機掃描技術(shù)主要有如下幾種：（1）ICMPpingICMPping程序向目標主機發(fā)送ICMP回顯請求（ICMPEchoRequest）數(shù)據(jù)包進行活躍性和連通性探測。但是一般的邊界路由器和防火墻都通過阻塞ICMP數(shù)據(jù)包限制了ICMPping探測。4.2.1主機掃描（2）TCPSYNpingTCPSYNping向目標主機的常用端口發(fā)送標志位為SYN的TCP數(shù)據(jù)包，如果目標主機處于活躍狀態(tài)，則會返回標志位為SYN/ACK或RST的TCP數(shù)據(jù)包。因此，探測主機無論收到哪種數(shù)據(jù)包，都可以判斷目標主機是活躍的。（3）TCPACKpingTCPACKping向目標主機的常用端口發(fā)送標志位為ACK的TCP數(shù)據(jù)包。如果目標主機處于活躍狀態(tài)，則無論這個端口是打開還是關(guān)閉，都會返回標志位為RST的TCP數(shù)據(jù)包。4.2.1主機掃描（4）UDPpingUDPping向目標主機的指定端口發(fā)送UDP數(shù)據(jù)包，如果目標主機處于活躍狀態(tài)，并且該端口為關(guān)閉的，那么目標主機就會返回ICMP端口無法到達的回應(yīng)數(shù)據(jù)包；如果該端口是一個開放的端口，則大部分服務(wù)會忽略這個數(shù)據(jù)包而不做任何回應(yīng)。這種探測方法可以穿越只過濾TCP數(shù)據(jù)包的防火墻。4.2.1主機掃描用于發(fā)現(xiàn)活躍主機的掃描工具有很多，Linux平臺有Fping、Nping、Arping、Nmap等，而Windows平臺有SuperScan、PingSweep、X-Scan等，Nmap在Windows平臺上也有移植版本。其中，功能最強、最流行的是Nmap，Nmap是由Fydor實現(xiàn)的一款功能強大的開源網(wǎng)絡(luò)掃描工具，幾乎囊括所有網(wǎng)絡(luò)掃描的功能，包括主機掃描、端口掃描、操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)類型探測等。4.2.2端口掃描端口相當于兩臺計算機進程間的大門，其目的只是讓兩臺計算機能夠找到對方的進程。端口與進程是一一對應(yīng)的，如果某個進程正在等待連接，則稱該進程正在監(jiān)聽，那么就會出現(xiàn)與它相對應(yīng)的端口。由此可見，入侵者通過掃描端口，便可以判斷目標計算機有哪些通信進程正在等待連接。端口掃描是在主機掃描確定活躍主機之后，用于探測活躍主機上開放了哪些TCP/UDP端口的技術(shù)方法。端口掃描的目的就是找出進入計算機系統(tǒng)的通道，為進一步入侵選擇適當?shù)墓敉ǖ捞峁┹o助信息。4.2.2端口掃描作為TCP/IP協(xié)議族中的傳輸層協(xié)議，TCP和UDP均定義了1到65535的端口范圍。網(wǎng)絡(luò)服務(wù)可以選擇在特定端口上監(jiān)聽以接收客戶端的數(shù)據(jù)包，并在該端口提供反饋信息。1～1023端口號段是一些常用的知名網(wǎng)絡(luò)應(yīng)用協(xié)議，如用于瀏覽網(wǎng)頁服務(wù)的80端口、用于FTP的21端口等。1024～65535端口號段是動態(tài)或私有使用的端口。4.2.2端口掃描常用的端口掃描技術(shù)有如下幾種：（1）TCPConnect掃描TCPConnect掃描是最基本的一種端口掃描方式，掃描主機通過系統(tǒng)調(diào)用connect()，向目標端口發(fā)送一個SYN數(shù)據(jù)包，等待目標主機響應(yīng)。如果目標主機返回的是SYN/ACK數(shù)據(jù)包，則說明目標端口處于監(jiān)聽狀態(tài)，connect()將再發(fā)送一個ACK確認包以完成3次握手，然后通過發(fā)送RST數(shù)據(jù)包關(guān)閉已建立的TCP連接；如果返回的是RST數(shù)據(jù)包，則說明目標端口是關(guān)閉的。TCPConnect掃描的優(yōu)勢在于實現(xiàn)簡單，但它的缺點在于目標主機上將記錄大量的連接和錯誤信息，很容易被系統(tǒng)管理員檢測出來，因此一般不會被攻擊者使用。4.2.2端口掃描（2）TCPSYN掃描TCPSYN掃描是對TCPConnect掃描的一種改進，掃描主機發(fā)送一個SYN數(shù)據(jù)包到目標端口，等待目標主機響應(yīng)。如果目標主機返回的是SYN/ACK數(shù)據(jù)包，則說明目標端口處于監(jiān)聽狀態(tài)，掃描主機馬上發(fā)送一個RST數(shù)據(jù)包來中斷這個連接；如果返回的是RST數(shù)據(jù)包，則說明目標端口是關(guān)閉的。TCPSYN掃描并沒有建立起完整的TCP連接，只是一種“半開連接”，各種操作系統(tǒng)普遍不會對“半開連接”進行記錄，因此比TCPConnect掃描更加隱秘。4.2.2端口掃描（3）ACK掃描掃描主機發(fā)送一個ACK數(shù)據(jù)包到目標端口，無論目標主機的端口是開放或者關(guān)閉，都返回RST數(shù)據(jù)包。所以不能使用ACK掃描來確定端口的開放或者關(guān)閉狀態(tài)，但是可以利用它來掃描防火墻的配置，用它來發(fā)現(xiàn)防火墻規(guī)則，確定防火墻是有狀態(tài)還是無狀態(tài)，哪些端口是被過濾的。如果掃描主機收到ICMP消息（目標不可達），則說明存在狀態(tài)防火墻且數(shù)據(jù)包被過濾了。4.2.2端口掃描（4）UDP端口掃描UDP端口掃描是對UDP開放端口與網(wǎng)絡(luò)監(jiān)聽服務(wù)進行探測的技術(shù)方法，其基本原理是向目標端口發(fā)送UDP數(shù)據(jù)包。如果被掃描端口關(guān)閉，那么將反饋一個ICMP端口不可到達數(shù)據(jù)包；如果被掃描端口開放，那么就會忽略這個數(shù)據(jù)包，也就是將它丟棄不返回任何的信息。UDP端口掃描的可靠性并不高，因為當發(fā)出一個UDP數(shù)據(jù)包而沒有收到任何的響應(yīng)時，有可能是因為這個UDP端口是開放的，也有可能是因為這個數(shù)據(jù)包在傳輸過程中丟失了或者被防火墻攔截了。因此在沒有得到任何反饋的情況下，也就無法斷定被掃描端口是否處于打開狀態(tài)。4.2.3操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)類型探測在使用主機掃描和端口掃描確定活躍主機上的開放端口之后，進一步的掃描工作是系統(tǒng)類型探測，其目的是探測活躍主機的操作系統(tǒng)和開放網(wǎng)絡(luò)服務(wù)的類型，即了解目標主機上運行的是哪種類型、哪種版本的操作系統(tǒng)，以及在各個開放端口上監(jiān)聽的是哪些網(wǎng)絡(luò)服務(wù)。有了這些信息之后，攻擊者可以從中選擇可攻擊的目標，進一步進行更加深入的情報信息收集，為實施攻擊做好準備。4.2.3操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)類型探測（1）操作系統(tǒng)主動探測技術(shù)不同操作系統(tǒng)類型及版本的網(wǎng)絡(luò)機制存在一定的差異，主要體現(xiàn)在監(jiān)聽開放端口、網(wǎng)絡(luò)應(yīng)用服務(wù)以及TCP/IP協(xié)議棧上。特定類型或版本的操作系統(tǒng)特有的實現(xiàn)特征就是它的指紋信息，而操作系統(tǒng)主動探測技術(shù)可以從反饋的數(shù)據(jù)包中分析出這些細微的指紋信息，從而甄別目標主機所運行的操作系統(tǒng)。（2）網(wǎng)絡(luò)服務(wù)類型主動探測技術(shù)網(wǎng)絡(luò)服務(wù)類型主動探測技術(shù)主要依據(jù)的是網(wǎng)絡(luò)服務(wù)在實現(xiàn)應(yīng)用層協(xié)議時所包含的特殊指紋信息，例如，同為HTTP服務(wù)器的Apache和IIS，在實現(xiàn)HTTP規(guī)范時會存在一些差異，根據(jù)這些差異就能夠識別出目標主機的80端口上到底運行著哪種HTTP網(wǎng)絡(luò)服務(wù)。4.3拒絕服務(wù)攻擊與防御4.3拒絕服務(wù)攻擊與防御拒絕服務(wù)（DenialofService，DoS）攻擊是目前黑客經(jīng)常采用的而又難以防范的攻擊手段。凡是利用網(wǎng)絡(luò)安全防護措施不足，導(dǎo)致用戶不能繼續(xù)使用正常服務(wù)的攻擊手段，都可以稱為拒絕服務(wù)攻擊。同時，由于拒絕服務(wù)攻擊常常涉及超出國界的因特爾連接，對拒絕服務(wù)攻擊這種犯罪行為的起訴也比較困難，這進一步加劇了問題的嚴重性。4.3.1拒絕服務(wù)攻擊的概念和分類拒絕服務(wù)攻擊通常是利用傳輸協(xié)議的漏洞、系統(tǒng)存在的漏洞、服務(wù)的漏洞，對目標系統(tǒng)發(fā)起大規(guī)模的攻擊，用超出目標系統(tǒng)處理能力的海量數(shù)據(jù)包消耗可用的系統(tǒng)資源、帶寬資源等，或造成程序緩沖區(qū)溢出錯誤，致使其無法處理合法用戶的正常請求，無法提供正常服務(wù)，最終導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓，甚至引起系統(tǒng)死機。4.3.1拒絕服務(wù)攻擊的概念和分類最常見的拒絕服務(wù)攻擊有帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法處理合法用戶的請求。常用的攻擊手段有SYN洪水、死亡之Ping、ICMP/SMURF、Finger炸彈、Land攻擊、Ping洪水、Rwhod、TearDrop、TARGA3、UDP攻擊等。4.3.2拒絕服務(wù)攻擊的原理拒絕服務(wù)攻擊的原理主要分為兩種：語義攻擊指的是利用目標系統(tǒng)實現(xiàn)時的缺陷和漏洞，對目標主機進行的拒絕服務(wù)攻擊，這種攻擊往往不需要攻擊者具有很高的攻擊帶寬，有時只需要發(fā)送一個數(shù)據(jù)包就可以達到攻擊目的，對這種攻擊的防范只需要修補系統(tǒng)中存在的缺陷即可。暴力攻擊指的是不需要目標系統(tǒng)存在漏洞或缺陷，而是靠發(fā)送超過目標系統(tǒng)服務(wù)能力的服務(wù)請求數(shù)量來達到攻擊的目的，也就是通常所說的風暴攻擊。所以防御這類攻擊必須借助受害者上游路由器等的幫助，對攻擊數(shù)據(jù)進行過濾或分流。某些攻擊方式，兼具語義和暴力兩種攻擊的特征，比如SYN風暴攻擊，雖然利用了TCP協(xié)議本身的缺陷，但仍然需要攻擊者發(fā)送大量的攻擊請求，用戶要防御這種攻擊，不僅需要對系統(tǒng)本身進行增強，而且也需要增大資源的服務(wù)能力。4.3.3常見的拒絕服務(wù)攻擊的行為特征與防御方法（1）死亡之ping（pingofDeath）攻擊由于在早期的階段，路由器對包的大小是有限制的，許多操作系統(tǒng)TCP/IP協(xié)議棧規(guī)定ICMP包的大小限制在64KB以內(nèi)。當發(fā)送過來的數(shù)據(jù)包尺寸大小超過64KB，就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰，造成接收主機的重啟或死機。這就是死亡之ping攻擊的原理。根據(jù)這一攻擊原理，黑客們只需不斷地通過ping命令向攻擊的目標主機發(fā)送超過64KB的數(shù)據(jù)包，如果目標主機存在這樣一個漏洞，就會造成緩存溢出，形成一次拒絕服務(wù)攻擊。防御方法：現(xiàn)在所有的標準TCP/IP都已具有對付超過64KB大小的數(shù)據(jù)包的處理能力，并且大多數(shù)防火墻能夠通過對數(shù)據(jù)包中的信息和時間間隔分析，自動過濾這些攻擊，此外，對防火墻進行配置，阻斷ICMP以及任何未知協(xié)議數(shù)據(jù)包，都可以防止此類攻擊發(fā)生。4.3.3常見的拒絕服務(wù)攻擊的行為特征與防御方法（2）SYN洪水（SYN

Flood）攻擊是一種利用TCP缺陷，發(fā)送大量偽造的TCP連接請求，使被攻擊方資源耗盡的攻擊方式。在TCP連接的3次握手中，假設(shè)服務(wù)器在確認客戶機的請求后，由于客戶機突然死機或掉線等原因，服務(wù)器無法收到客戶機的ACK數(shù)據(jù)包，服務(wù)器會一直保持這個連接直到超時。進行攻擊的主機發(fā)送偽造的帶有虛假源地址的SYN數(shù)據(jù)包給目標主機，一般情況下，偽造的源地址都是互聯(lián)網(wǎng)上沒有使用的地址。目標主機在收到連接請求后，會按照請求的SYN數(shù)據(jù)包中的源地址回復(fù)一個SYN/ACK數(shù)據(jù)包。由于源地址是一個虛假的地址，目標主機發(fā)送的SYN/ACK數(shù)據(jù)包根本不會得到確認。服務(wù)器會保持這個連接直到超時。4.3.3常見的拒絕服務(wù)攻擊的行為特征與防御方法（2）SYN洪水（SYN

Flood）攻擊基于TCP協(xié)議的通信雙方在進行TCP連接之前需要

進行3次握手的連接過程，而SYN洪水攻擊就是通過

3次握手而實現(xiàn)的。進行攻擊的主機發(fā)送偽造的帶有虛假源地址的SYN

數(shù)據(jù)包給目標主機，一般情況下，偽造的源地址都是

互聯(lián)網(wǎng)上沒有使用的地址。目標主機在收到SYN連接請求后，會按照請求的SYN數(shù)據(jù)包中的源地址回復(fù)一個SYN/ACK數(shù)據(jù)包。由于源地址是一個虛假的地址，目標主機發(fā)送的SYN/ACK數(shù)據(jù)包根本不會得到確認。服務(wù)器會保持這個連接直到超時。3常見拒絕服務(wù)攻擊行為特征與防御方法（2）SYN洪水（SYNFlood）攻擊一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待并不是很大的問題，但是當大量的如同洪水一般的虛假SYN請求包同時發(fā)送到目標主機時，目標主機上就會有大量的連接請求等待確認。每一臺主機都有一個允許的最大連接數(shù)，當這些未釋放的連接請求數(shù)量超過目標主機的限制時，主機將無法對新的連接請求進行響應(yīng)，正常的連接請求也不會被目標主機接受。防御方法：在防火墻上過濾來自同一主機的連續(xù)連接；不過SYN洪水攻擊還是非常令人擔憂，因為此類攻擊并不尋求響應(yīng)，所以無法從一個簡單、高容量的傳輸中將其鑒別出來。4.3.3常見的拒絕服務(wù)攻擊的行為特征與防御方法（3）Land攻擊Land攻擊是一種發(fā)送源地址和目的地址相同的數(shù)據(jù)包到服務(wù)器的攻擊，結(jié)果通常使存在漏洞的服務(wù)器崩潰。防御方法：這類攻擊的檢測方法相對來說比較容易，因為它可以直接通過判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標地址是否相同得出是否屬于攻擊行為；反攻擊的方法當然是適當?shù)嘏渲梅阑饓υO(shè)備或包過濾路由器的包過濾規(guī)則，并對這種攻擊進行審計，記錄事件發(fā)生的時間以及源主機和目標主機的MAC地址和IP地址，從而可以有效地分析并跟蹤攻擊者的來源。4.3.3常見的拒絕服務(wù)攻擊的行為特征與防御方法（4）Smurf攻擊廣播是指將信息發(fā)送到整個網(wǎng)絡(luò)中的所有機器上。當某臺機器使用廣播地址發(fā)送一個ICMPEcho請求包時（例如ping），它就會收到N個ICMPEcho響應(yīng)包（N為網(wǎng)絡(luò)中機器的總數(shù)）。當N的數(shù)目達到一定值的時候，產(chǎn)生的應(yīng)答流會占用大量的帶寬，消耗大量的網(wǎng)絡(luò)資源。Smurf攻擊就是使用這個原理進行攻擊的。Smurf攻擊在構(gòu)造數(shù)據(jù)包時將源地址設(shè)置為攻擊的目標主機的地址，并將目的地址設(shè)置為廣播地址，這樣大量的ICMPEcho響應(yīng)包被發(fā)送到目標主機，使其因網(wǎng)絡(luò)阻塞而無法提供服務(wù)。防御方法：關(guān)閉外部路由器或防火墻的廣播地址特性，并在防火墻上設(shè)置規(guī)則，丟棄掉ICMP類型數(shù)據(jù)包。4.3.3常見的拒絕服務(wù)攻擊的行為特征與防御方法（5）UDP洪水（UDPFlood）攻擊UDP洪水攻擊主要利用主機自動回復(fù)的服務(wù)進行攻擊。UDP協(xié)議的Echo和Chargen服務(wù)有一個特性，它們會對發(fā)送到服務(wù)端口的數(shù)據(jù)自動進行回復(fù)。Echo服務(wù)將接收到的數(shù)據(jù)返回給發(fā)送方，而Chargen服務(wù)則是在接收到數(shù)據(jù)后隨機返回一些字符。當有兩個或兩個以上的系統(tǒng)存在這樣的服務(wù)時，攻擊者利用其中一臺主機的Echo或Chargen服務(wù)端口，向另一臺主機的Echo或Chargen服務(wù)端口發(fā)送數(shù)據(jù)，Echo或Chargen服務(wù)會對發(fā)送的數(shù)據(jù)自動進行回復(fù)，這樣可讓開啟了Echo和Chargen服務(wù)的兩臺主機相互回復(fù)數(shù)據(jù)，一方的輸出成為另一方的輸入，兩臺主機間會形成大量往返的無用數(shù)據(jù)流。防御方法：建立黑白名單過濾機制，可以有效防止同一IP地址頻繁向服務(wù)器發(fā)送UDP數(shù)據(jù)包的情況，減輕UDP洪水攻擊的影響。4.3.3常見的拒絕服務(wù)攻擊的行為特征與防御方法（6）IP源地址欺騙DoS攻擊這種攻擊利用IP頭的RST位來實現(xiàn)。假設(shè)現(xiàn)在有一個合法用戶（1）已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP地址為1，并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)包。服務(wù)器接收到這樣的數(shù)據(jù)后，認為從1發(fā)送的連接有錯誤，就會清空緩沖區(qū)中建立好的連接。這時，如果合法用戶1再發(fā)送合法數(shù)據(jù)，服務(wù)器中就沒有這樣的連接了，該用戶就必須重新開始建立連接。攻擊時，攻擊者會偽造大量的源地址為其他用戶IP地址、RST位置1的數(shù)據(jù)包，發(fā)送給目標服務(wù)器，使服務(wù)器不對合法用戶服務(wù)，從而實現(xiàn)了對目標服務(wù)器的拒絕服務(wù)攻擊。防御方法：防范源路由欺騙保護自己或者單位免受源路由欺騙攻擊的最好方法是通過IPsource-route命令設(shè)置路由器禁止使用源路由。4.3.3常見的拒絕服務(wù)攻擊的行為特征與防御方法（7）電子郵件炸彈攻擊者不停地向用戶的郵箱發(fā)送大量的郵件，目的是要用垃圾郵件填滿用戶的郵箱，使正常的郵件因郵箱空間不足而被拒收，這也將不斷吞噬郵件服務(wù)器上的硬盤空間，使其最后耗盡，無法再對外服務(wù)。防御方法：對郵件地址進行過濾規(guī)則配置，自動刪除來自同一主機的過量或重復(fù)的消息。4.4欺騙攻擊與防御4.4欺騙攻擊與防御欺騙攻擊是指攻擊者通過各種手段，通過改變或偽裝自己的身份，使受害者把攻擊者當作別人或者是其他的事物，以此騙取各種有用信息。兩臺計算機相互通信時，首先需要進行相互認證。認證是網(wǎng)絡(luò)上的計算機用于相互間進行識別的過程。經(jīng)過認證，獲準相互交流的計算機之間就會建立起相互信任的關(guān)系。信任和認證具有逆反關(guān)系，即如果計算機之間存在高度的信任關(guān)系，則交流時就不會要求進行嚴格的認證。而反之，如果計算機之間沒有很好的信任關(guān)系，則交流時就會要求進行嚴格的認證。欺騙，實質(zhì)上就是一種冒充他人身份通過計算機認證，騙取計算機信任的攻擊方式。攻擊者針對認證機制的缺陷，將自己偽裝成可信任方，從而與受害者進行交流，最終竊取信息或展開進一步攻擊。4.4欺騙攻擊與防御欺騙的種類有很多，下面具體介紹4種常見類型。（1）IP源地址欺騙：指使用其他計算機的IP地址來騙取連接，獲得信息或得到特權(quán)。（2）ARP欺騙：指利用地址解析協(xié)議（ARP）中的缺陷，把自己偽裝成“中間人”（Man-in-the-Middle，MITM），獲取局域網(wǎng)內(nèi)的所有信息報文。（3）DNS欺騙：指在域名與IP地址轉(zhuǎn)換過程中實現(xiàn)的欺騙。（4）網(wǎng)絡(luò)釣魚：指克隆知名網(wǎng)站，欺騙網(wǎng)站用戶訪問的攻擊。4.4.1IP源地址欺騙與防御IP源地址欺騙是最常見的一種欺騙攻擊方式。攻擊者偽造具有虛假源地址的IP數(shù)據(jù)包進行發(fā)送，以達到隱藏發(fā)送者身份、假冒其他計算機甚至接管會話等目的。4.4.1IP源地址欺騙與防御IP轉(zhuǎn)發(fā)數(shù)據(jù)包的過程跟快遞業(yè)務(wù)的過程很相似：快遞公司轉(zhuǎn)發(fā)和投遞快遞的時候，只會查看收件人地址，而不會去驗證寄件人地址的真實性，只要收件人地址是正確的，郵件就會被送達。針對這個漏洞快遞炸彈案、快遞毒品案時有發(fā)生，因此國家也出臺了快遞實名制等相關(guān)措施堵住漏洞。同樣，路由器在轉(zhuǎn)發(fā)IP數(shù)據(jù)包時，也是根據(jù)目標IP地址查詢路由路徑，進行數(shù)據(jù)包的轉(zhuǎn)發(fā)直至送到目標，不會對數(shù)據(jù)包是否真正來自其聲稱的源地址進行真實性的驗證。4.4.1IP源地址欺騙與防御基于TCP/IP這一自身的缺陷，IP源地址欺騙攻擊的實現(xiàn)成為了可能。在IP數(shù)據(jù)包的源地址上做手腳，對目標主機進行欺騙。需要注意的是，因為攻擊者使用的是虛假的或其他人的IP地址，而受害者對此做出響應(yīng)的時候，它響應(yīng)的也是這個虛假的或其他人的地址，而不是攻擊者的真正地址。通常情況下，攻擊者無法獲取到這些響應(yīng)包，因此IP源地址欺騙主要應(yīng)用于攻擊者不需要響應(yīng)包的場景中，如拒絕服務(wù)攻擊。在特定環(huán)境中，攻擊者也有可能嗅探到響應(yīng)包，那么攻擊者可以通過獲取目標主機的響應(yīng)，以保持與其之間的完整的持續(xù)不斷的會話，即會話劫持。4.4.1IP源地址欺騙與防御預(yù)防遭受IP源地址欺騙的防御措施，主要有如下幾項：（1）使用隨機化的初始序列號，使得遠程攻擊者無法猜測到，通過源地址欺騙偽裝建立TCP連接所需的序列號，增加會話劫持的難度。（2）使用網(wǎng)絡(luò)安全傳輸協(xié)議IPSec，對傳輸?shù)臄?shù)據(jù)包進行加密，避免泄漏高層協(xié)議可供利用的信息及傳輸內(nèi)容。4.4.1IP源地址欺騙與防御預(yù)防遭受IP源地址欺騙的防御措施，主要有如下幾項：（3）避免采用基于IP地址的信任策略，以基于加密算法的用戶身份認證機制來替代這些訪問控制策略。（4）在路由器和網(wǎng)關(guān)上實施包過濾，局域網(wǎng)網(wǎng)關(guān)上應(yīng)啟動入站過濾機制，阻斷來自外部網(wǎng)絡(luò)但IP地址屬于內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包。這項機制能夠防止外部攻擊者假冒內(nèi)部主機。4.4.2ARP欺騙與防御ARP欺騙攻擊是利用ARP協(xié)議的缺陷進行的一種攻擊。ARP（也叫地址解析協(xié)議），是將IP地址轉(zhuǎn)化成物理地址（MAC地址）的協(xié)議，ARP的工作過程：在局域網(wǎng)中，網(wǎng)絡(luò)以幀的形式傳輸數(shù)據(jù)，一個主機要和另一個主機進行通信，必須要知道目標主機的MAC地址。在雙方通信之前，發(fā)送方只知道目標主機的IP地址，而不知道目標主機MAC地址。ARP協(xié)議的基本功能就是通過目標主機的IP地址查詢目標主機的MAC地址，以保證通信的順利進行。4.4.2ARP欺騙與防御ARP工作原理：當主機A要與主機B進行通信時，先檢查一下在本機的ARP緩存表中是否有主機B的MAC地址。如果有就可以直接通信；如果沒有，主機A就需要通過ARP來獲取主機B的MAC地址。具體做法是：主機A構(gòu)造一個ARP請求，以物理廣播地址在本子網(wǎng)上廣播，并等待目的主機的應(yīng)答。這個請求包含發(fā)送方的IP地址、物理地址和目標主機的IP地址。4.4.2ARP欺騙與防御局域網(wǎng)內(nèi)所有主機都會收到這個廣播請求包，并且檢查是否與自己的IP地址匹配。如果主機發(fā)現(xiàn)請求的目標主機IP地址與自己的IP地址不匹配，它將丟棄ARP請求，只有主機B才會響應(yīng)。主機B收到來自主機A的ARP請求后，先把主機A的IP地址和MAC地址對應(yīng)關(guān)系保存或更新在本機的ARP緩存表中，然后會給主機A發(fā)送一個包含其MAC地址的ARP應(yīng)答包。4.4.2ARP欺騙與防御主機A收到主機B的應(yīng)答后，會把主機B的IP地址和MAC地址對應(yīng)關(guān)系保存到本機的ARP緩存表中，之后主機A和主機B就可以進行通信了。本機ARP緩存設(shè)置有生存期，生存期到期后，將再次重復(fù)上面的過程。4.4.2ARP欺騙與防御ARP緩存表機制中存在一個缺陷，那就是主機收到一個ARP應(yīng)答包后，并不會去驗證自己是否發(fā)送過對應(yīng)的ARP請求，也不會驗證這個ARP應(yīng)答包是否可信，而是直接用應(yīng)答包里的MAC地址與IP地址的對應(yīng)關(guān)系替換掉ARP緩存表中原有的相應(yīng)信息。ARP欺騙攻擊的實現(xiàn)正是利用了這一漏洞，使得局域網(wǎng)內(nèi)任何主機都可以隨意偽造ARP數(shù)據(jù)包進行ARP欺騙攻擊。4.4.2ARP欺騙與防御如圖中例子所示：假設(shè)攻擊者是主機B（），它向網(wǎng)關(guān)發(fā)送一個ARP應(yīng)答包，宣稱“我是（主機A的IP地址），我的MAC地址是02-02-02-02-02-02（主機B的MAC地址）”。同時，攻擊者向主機A發(fā)送ARP應(yīng)答包，說“我是（網(wǎng)關(guān)的IP地址），我的MAC地址是02-02-02-02-02-02（主機B的MAC地址）”。4.4.2ARP欺騙與防御由于主機A的緩存表中網(wǎng)關(guān)的IP地址已與主機B的MAC地址建立了對應(yīng)關(guān)系，所以主機A發(fā)送給網(wǎng)關(guān)的數(shù)據(jù)就會被發(fā)送到主機B，同時網(wǎng)關(guān)發(fā)送給主機A的數(shù)據(jù)也會被發(fā)送到主機B。主機B就成了主機A與網(wǎng)關(guān)之間的“中間人”，這樣攻擊者就可以獲取主機A的所有數(shù)據(jù)包，也可以假冒網(wǎng)關(guān)給主機A發(fā)送信息。4.4.2ARP欺騙與防御上述過程稱為中間人攻擊（Man-in-the-Middle，MITM攻擊）攻擊者通過各種技術(shù)手段與通信雙方建立起各自獨立的會話連接，并進行消息的雙向轉(zhuǎn)發(fā)，使他們誤認為是通過一個私有通道在直接通信，而實際上整個會話都是由攻擊者所截獲和控制的。4.4.2ARP欺騙與防御要成功實現(xiàn)中間人攻擊，攻擊者必須能夠攔截通信雙方的全部通信，注入轉(zhuǎn)發(fā)或篡改的消息，并需要攻擊者能夠?qū)νㄐ烹p方都實現(xiàn)身份欺騙。中間人攻擊會產(chǎn)生很大的危害，包括對通信信息的竊取、傳遞篡改后的虛假信息、假冒身份實施惡意操作等等。此外，中間人攻擊很難被通信雙方發(fā)現(xiàn)。4.4.2ARP欺騙與防御預(yù)防遭受ARP欺騙的防御措施有如下幾項：（1）綁定MAC地址。靜態(tài)綁定關(guān)鍵主機的IP地址與MAC地址的映射關(guān)系，使ARP欺騙攻擊無法進行。（2）使用ARP服務(wù)器，通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機器的ARP廣播，這里要確保這臺ARP服務(wù)器不被攻擊者所控制。（3）使用ARP欺騙防護軟件，如ARP防火墻。（4）及時發(fā)現(xiàn)正在進行ARP欺騙的主機，并將其隔離。4.4.3DNS欺騙與防御DNS欺騙也是一種中間人攻擊的形式，是攻擊者冒充域名服務(wù)器的一種欺騙行為，主要用于向受害主機提供錯誤的DNS信息。當用戶嘗試瀏覽網(wǎng)頁時，攻擊者如果可以冒充域名服務(wù)器，然后把真正的IP地址改為攻擊者的IP地址。這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁，而不是用戶想要取得的網(wǎng)站主頁了。DNS欺騙其實并不是真的“黑掉”了對方的網(wǎng)站，而是冒名頂替、招搖撞騙罷了。4.4.3DNS欺騙與防御DNS（域名系統(tǒng)）DNS是因特網(wǎng)使用的命名系統(tǒng)，用來把便于人們使用的域名地址轉(zhuǎn)換成為IP地址。當客戶主機向本地DNS服務(wù)器查詢域名的時候，如果本地DNS服務(wù)器的緩存中已經(jīng)有相應(yīng)記錄，本地DNS服務(wù)器就不會再向其他DNS服務(wù)器進行查詢，而是直接將這條記錄返回給用戶。攻擊者正是利用這一點來實現(xiàn)DNS欺騙。4.4.3DNS欺騙與防御DNS欺騙是在ARP欺騙攻擊的基礎(chǔ)上進行的。首先，欺騙者向目標機器發(fā)送構(gòu)造好的ARP應(yīng)答數(shù)據(jù)包進行ARP欺騙。ARP欺騙成功后，當嗅探到對方發(fā)出DNS請求數(shù)據(jù)包，分析數(shù)據(jù)包取得ID和端口號，然后向目標發(fā)送自己構(gòu)造好的一個DNS返回包。對方收到DNS應(yīng)答包后，發(fā)現(xiàn)ID和端口號全部正確，即把返回數(shù)據(jù)包中的域名和對應(yīng)的IP地址保存進DNS緩存表中。4.4.3DNS欺騙與防御預(yù)防遭受DNS欺騙的防御措施主要有如下幾項：（1）使用最新版本的DNS服務(wù)器軟件，并及時安裝補丁。（2）關(guān)閉DNS服務(wù)器的遞歸功能。DNS服務(wù)器利用緩存中的記錄信息回答查詢請求，或是DNS服務(wù)器通過查詢其他服務(wù)器獲得查詢信息并將它發(fā)送給客戶機，這種查詢方式容易導(dǎo)致DNS欺騙。4.4.3DNS欺騙與防御（3）不要依賴DNS。在高度敏感和安全要求的系統(tǒng)中，不在這些系統(tǒng)上瀏覽網(wǎng)頁，最好不要使用DNS。如果有軟件依賴主機名來運行，那么可以在設(shè)備的主機文件里手動指定主機名與IP地址的對應(yīng)關(guān)系。（4）使用入侵檢測系統(tǒng)。只要正確部署和配置，使用入侵檢測系統(tǒng)可以檢測出大部分的ARP欺騙攻擊和DNS欺騙攻擊。4.4.4網(wǎng)絡(luò)釣魚與防御網(wǎng)絡(luò)釣魚是指入侵者通過處心積慮的技術(shù)手段，偽造出一些以假亂真的網(wǎng)站，誘惑受害者根據(jù)指定方法操作，使得受害者“自愿”交出重要信息或被竊取重要信息（例如銀行賬戶密碼）的手段。入侵者并不需要主動攻擊，他只需要靜靜等候這些釣竿的反應(yīng)并提起一條又一條魚就可以了，就好像是“姜太公釣魚，愿者上鉤”。4.4.4網(wǎng)絡(luò)釣魚與防御網(wǎng)絡(luò)釣魚是社會工程學(xué)攻擊的一種，方法多種多樣，例如：（1）發(fā)送垃圾郵件，引誘用戶上鉤（2）建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站（3）網(wǎng)頁超鏈接中隱藏惡意網(wǎng)站地址4.4.4網(wǎng)絡(luò)釣魚與防御（4）利用虛假的電子商務(wù)進行詐騙（5）利用WiFi免費熱點釣魚。網(wǎng)絡(luò)黑客在公共場所設(shè)置一個假WiFi熱點，引人來連接上網(wǎng)，一旦用戶用個人計算機或手機，登錄了黑客設(shè)置的WiFi熱點，那么個人數(shù)據(jù)和所有隱私，都會因此落入黑客手中。4.4.4網(wǎng)絡(luò)釣魚與防御主要的防御措施：（1）防范垃圾郵件，這是防范網(wǎng)絡(luò)釣魚最為重要和關(guān)鍵的一步。（2）安裝防病毒系統(tǒng)和網(wǎng)絡(luò)防火墻系統(tǒng)。（3）及時對操作系統(tǒng)和應(yīng)用系統(tǒng)打補丁，堵住軟件漏洞。（4）從主觀意識上提高警惕性，提高自身的安全技術(shù)。首先要注意核對網(wǎng)址的真實性，其次不要輕易登錄訪問陌生網(wǎng)站、非法網(wǎng)站和有黑客嫌疑的網(wǎng)站，拒絕下載安裝不明來歷的軟件，拒絕可疑的郵件，及時退出交易程序，做好交易記錄及時核對等。4.4.4網(wǎng)絡(luò)釣魚與防御（5）妥善保管個人信息資料，例如設(shè)定登錄密碼（查詢密碼）和支付密碼（取款密碼）兩套密碼。（6）采用新的安全技術(shù)，例如數(shù)字證書。通過數(shù)字證書可以進行安全通信和數(shù)字簽名，數(shù)字簽名具有法律效力。網(wǎng)上交易在數(shù)字證書簽名和加密的保護下進行網(wǎng)上數(shù)據(jù)的傳送，杜絕了網(wǎng)絡(luò)釣魚者使用跨站Cookie攻擊以及嗅探偵測的可能。4.5邊界防護技術(shù)4.5邊界防護技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中，根據(jù)信息的性質(zhì)、使用主體、安全目標和策略等元素的不同，來劃分不同邏輯子網(wǎng)或區(qū)域，稱之為安全域。同一安全域中的設(shè)備資產(chǎn)具有相同或相近的安全屬性，如安全級別、安全威脅、安全脆弱性等，同一安全域內(nèi)的系統(tǒng)相互信任，具有相同的安全保護需求，相同的網(wǎng)絡(luò)安全域共享同樣的安全策略。4.5邊界防護技術(shù)在安全域之間采用網(wǎng)絡(luò)邊界控制設(shè)備，以邏輯串接的方式進行部署，對安全域邊界進行監(jiān)視，識別邊界上的入侵行為并進行有效阻斷。工業(yè)互聯(lián)網(wǎng)邊界防護技術(shù)包括虛擬局域網(wǎng)技術(shù)、防火墻技術(shù)、工業(yè)防火墻技術(shù)和工業(yè)網(wǎng)閘等。4.5.1VLAN技術(shù)VLAN即虛擬局域網(wǎng)，是最普及和最常用的網(wǎng)絡(luò)分區(qū)分域隔離技術(shù)之一。VLAN可以根據(jù)用戶網(wǎng)絡(luò)的需要，按照部門、功能、應(yīng)用等因素，將網(wǎng)絡(luò)分成不同的虛擬局域網(wǎng)，而不受物理網(wǎng)絡(luò)的限制。同一個VLAN中的用戶可以互相訪問傳輸數(shù)據(jù)，不同的VLAN之間相互隔離。4.5.1VLAN技術(shù)從技術(shù)層面來說，VLAN相當于OSI模型中第二層的廣播域，能夠?qū)V播風暴控制在一個VLAN內(nèi)部，劃分VLAN后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能可有顯著的提高。不同的VLAN之間的數(shù)據(jù)傳輸是通過第三層（也就是網(wǎng)絡(luò)層）的路由來實現(xiàn)的，因此使用VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員通過控制交換機的每一個端口，來控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問。4.5.1VLAN技術(shù)VLAN按其工作特性，可分為以下幾種：（1）基于端口的VLAN：根據(jù)設(shè)備（如交換機）的端口來劃分。例如下圖中的交換機，把端口1和2劃分為一個VLAN，端口3和4劃分為另一個VLAN。端口VLAN112132424.5.1VLAN技術(shù)VLAN按其工作特性，可分為以下幾種：（2）基于MAC地址的VLAN：根據(jù)每個主機網(wǎng)卡的MAC地址（也就是物理地址）來劃分。在交換機中建立各個端口所連接的主機的MAC地址列表，依據(jù)MAC地址來劃分VLAN。MACVLANA1B1C2D24.5.1VLAN技術(shù)VLAN按其工作特性，可分為以下幾種：（3）基于網(wǎng)絡(luò)層的VLAN：根據(jù)每個主機的IP地址或協(xié)議類型來劃分。（4）基于IP組播的VLAN：一個組播組就是一個VLAN。網(wǎng)絡(luò)地址VLAN/241/2424.5.1VLAN技術(shù)VLAN技術(shù)具有如下優(yōu)點：（1）增加了網(wǎng)絡(luò)的連接靈活性借助VLAN技術(shù)，形成一個虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地LAN一樣方便、靈活、有效。（2）控制網(wǎng)絡(luò)上的安全一個VLAN就是一個單獨的廣播域，在一個VLAN中的廣播不會送到VLAN之外。這樣，相鄰的端口不會收到其他VLAN產(chǎn)生的廣播。（3）增加網(wǎng)絡(luò)的安全性VLAN將網(wǎng)絡(luò)分成幾個不同的廣播組，網(wǎng)絡(luò)管理員限制了VLAN中用戶的數(shù)量，禁止未經(jīng)允許而訪問VLAN中的應(yīng)用。交換端口可以基于應(yīng)用類型和訪問特權(quán)來進行分組，被限制的應(yīng)用程序和資源置于具有安全性的VLAN中。4.5.2防火墻技術(shù)在網(wǎng)絡(luò)中，所謂“防火墻”是指一種將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（如Internet）分開的方法。它實際上是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)和隔離技術(shù)。防火墻通常部署在不同網(wǎng)絡(luò)或者是不同網(wǎng)絡(luò)安全域之間信息的唯一出入口處。4.5.2防火墻技術(shù)防火墻作為保護內(nèi)部網(wǎng)絡(luò)的第一道安全屏障，其主要功能有：（1）網(wǎng)絡(luò)安全的屏障（2）強化網(wǎng)絡(luò)安全策略（3）監(jiān)控審計（4）防止內(nèi)部信息的外泄（5）日志記錄與事件通知4.5.2防火墻技術(shù)按照技術(shù)原理分為包過濾防火墻、代理防火墻和狀態(tài)檢測防火墻等幾種類型。（1）包過濾防火墻包過濾防火墻工作在網(wǎng)絡(luò)層和傳輸層，通過配置訪問控制列表（ACL）實施數(shù)據(jù)包的過濾。主要基于數(shù)據(jù)包中的源IP地址、目的IP地址、源端口號、目的端口號和協(xié)議類型等信息進行過濾。4.5.2防火墻技術(shù)包過濾防火墻的核心是ACL規(guī)則，ACL規(guī)則設(shè)置得是否合理、是否全面至關(guān)重要。4.5.2防火墻技術(shù)（1）包過濾防火墻優(yōu)點：因為只檢查報文頭部，因此檢測效率很高，也易于配置。缺點：1）實際應(yīng)用中的端口往往是動態(tài)變化的，無法固定開放某幾個端口，因此需要對內(nèi)開放所有高端口的訪問。這就暴露了內(nèi)部的服務(wù)端口，很容易成為黑客的攻擊目標。防火墻技術(shù)（1）包過濾防火墻缺點：2）只適用于小規(guī)模網(wǎng)絡(luò)，大型網(wǎng)絡(luò)的規(guī)則數(shù)可能達到上萬條，大量規(guī)則的匹配會加大防火墻CPU的處理壓力。3）包過濾防火墻是無連接狀態(tài)的，容易遭到如TCP重放和挾持的攻擊，也只能防御源地址為內(nèi)網(wǎng)地址的IP地址欺騙攻擊，攻擊者很容易逃脫規(guī)則的控制。4）因為包過濾是基于網(wǎng)絡(luò)層的，所以無法抵御攻擊特征在應(yīng)用層的威脅，如木馬、蠕蟲、SQL注入、XSS攻擊等。4.5.2防火墻技術(shù)（2）代理防火墻代理服務(wù)作用于網(wǎng)絡(luò)的應(yīng)用層，其實質(zhì)是把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用戶之間直接進行的業(yè)務(wù)由代理接管。代理檢查來自外部用戶的請求，通過安全策略檢查后，代理防火墻將代表外部用戶與真正的服務(wù)器建立連接，轉(zhuǎn)發(fā)外部用戶請求，并將服務(wù)器返回的響應(yīng)回送給外部用戶。4.5.2防火墻技術(shù)（2）代理防火墻優(yōu)點：代理防火墻能夠完全控制網(wǎng)絡(luò)信息的交換、控制會話過程，具有較高的安全性。缺點：軟件實現(xiàn)限制了處理速度，易于遭受拒絕服務(wù)攻擊；需要針對每一種協(xié)議開發(fā)應(yīng)用層代理，開發(fā)周期長，而且升級很困難。4.5.2防火墻技術(shù)（3）狀態(tài)檢測防火墻狀態(tài)檢測防火墻，又稱為動態(tài)包過濾防火墻，采用基于連接的狀態(tài)檢測機制來過濾報文。防火墻將客戶端和服務(wù)器之間交互的同一條TCP或UDP連接作為一個整體數(shù)據(jù)流來看待。這條交互的數(shù)據(jù)流也稱為“會話”（Session）。每條會話都維護了交互雙方的連接信息。一個標準的會話表至少包含策略ID、協(xié)議、源IP地址、目標IP地址、源端口、目標端口、持續(xù)時間、超時時間、連接類型（全連接/半連接）。4.5.2防火墻技術(shù)（3）狀態(tài)檢測防火墻狀態(tài)檢測防火墻建立狀態(tài)會話表，利用狀態(tài)會話表跟蹤每一個會話狀態(tài)。每當客戶端主動向服務(wù)器發(fā)起連接請求，防火墻收到數(shù)據(jù)包后，首先檢查會話表里是否存在對應(yīng)五元組的會話信息。其中五元組指的是：協(xié)議、源IP地址、目標IP地址、源端口和目標端口，5個重要參數(shù)。4.5.2防火墻技術(shù)（3）狀態(tài)檢測防火墻如果沒有，就會檢查收到的報文是否可以創(chuàng)建新的會話，如果符合要求，就會創(chuàng)建一條新的會話表項，接著匹配安全訪問規(guī)則（安全策略），然后轉(zhuǎn)發(fā)給服務(wù)器。如果已經(jīng)存在相應(yīng)五元組的會話表項，則無須再次匹配安全策略，只需刷新會話的超時時間，然后直接轉(zhuǎn)發(fā)給對端。4.5.2防火墻技術(shù)（3）狀態(tài)檢測防火墻和包過濾防火墻不同，狀態(tài)檢測防火墻基于會話來過濾流量，所以只需要放行一個方向的流量（即存在一條安全策略），就可以達到控制客戶端和服務(wù)器雙向通信的目的。在大型的網(wǎng)絡(luò)中，狀態(tài)檢測防火墻安全規(guī)則的條目數(shù)相比包過濾防火墻大幅減少。另外，因為一條會話內(nèi)的報文多次交互只需要匹配一次安全規(guī)則，也極大地提高了防火墻的轉(zhuǎn)發(fā)效率。4.5.2防火墻技術(shù)狀態(tài)檢測防火墻的優(yōu)點：1）因為是基于狀態(tài)的檢測，所以每個報文不是孤立的個體，而是相互聯(lián)系的，可以抵御各種逃避安全規(guī)則的攻擊，如SYNflag攻擊。2）處理性能高。狀態(tài)檢測防火墻會針對每條連接維護一個會話表項，在整個會話報文交互的生命周期內(nèi)只需要匹配一次策略，后續(xù)的報文只需要命中會話表就可以直接處理，此時唯一要做的就是刷新一下會話表的老化時間，避免重復(fù)檢測。3）擴展性較好。狀態(tài)檢測防火墻不需要像代理防火墻那樣，針對每種應(yīng)用都開發(fā)一套協(xié)議棧。它幾乎支持所有服務(wù)，只需要識別傳輸層的信息，提取出關(guān)健的字段并進行匹配，維護一條TCP或UDP連接即可。4.5.2防火墻技術(shù)狀態(tài)檢測防火墻的缺點：1）狀態(tài)檢測防火墻雖然解決了包過濾防火墻無法確認返回報文合法性的問題，但是，狀態(tài)檢測主要工作在傳輸層，因此無法識別上層的應(yīng)用流量是否安全，如HTTP內(nèi)容的過濾、應(yīng)用控制。2）性能要求高。雖然相比包過濾防火墻，匹配上的性能損耗低了很多，但是維護大量會話的同時還需要兼顧實時的業(yè)務(wù)轉(zhuǎn)發(fā)，這就對防火墻的處理能力提出了更高的要求。3）因為工作在傳輸層，并且安全規(guī)則只檢查首次建立會話的包，因此容易受到針對性的攻擊。比如，偽造回應(yīng)的報文來逃過安全規(guī)則的檢查。還有一些針對內(nèi)部的攻擊，如控制內(nèi)部主機主動發(fā)起連接，這樣攻擊者就可以用內(nèi)部失陷主機搭建的“橋”攻擊內(nèi)部網(wǎng)絡(luò)。4.5.2防火墻技術(shù)防火墻部署主要有三種方式：（1）單防火墻部署方式，這種方式最簡單。（2）有DMZ的單防火墻部署方式DMZ也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后，外部網(wǎng)絡(luò)的用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。DMZ用于放置Web系統(tǒng)、郵件系統(tǒng)等允許外部網(wǎng)絡(luò)訪問的公開服務(wù)系統(tǒng)。系統(tǒng)一般預(yù)定義3個安全域：可信任的安全域、不可信任的安全域和非軍事區(qū)（DMZ）。4.5.2防火墻技術(shù)（3）雙防火墻部署方式使用兩臺防火墻分別作為外部防火墻和內(nèi)部防火墻，在兩臺防火墻之間形成了一個DMZ網(wǎng)段。同前面支持DMZ的單防火墻系統(tǒng)結(jié)構(gòu)相似，外部流量允許進入DMZ，內(nèi)部流量允許進入DMZ并通過DMZ流出至外部網(wǎng)絡(luò)，但外部網(wǎng)絡(luò)的流量不允許直接進入內(nèi)部網(wǎng)絡(luò)。4.5.2防火墻技術(shù)防火墻的局限性：首先是，防火墻并不能防范來自內(nèi)部的攻擊。其次，防火墻需要預(yù)先配置規(guī)則，難以防范新的威脅。還有，防火墻難以防范病毒和一些特殊類型的攻擊。盡管某些防火墻產(chǎn)品提供了對數(shù)據(jù)流通過時的病毒檢測功能，但是，病毒還是很容易通過壓縮包、加密包等方式流進網(wǎng)絡(luò)內(nèi)部。4.5.2防火墻技術(shù)第四，不當配置可能會造成安全漏洞或限制有用的網(wǎng)絡(luò)服務(wù)防火墻的管理及配置大多比較復(fù)雜，管理員需要深入了解網(wǎng)絡(luò)安全攻擊手段及系統(tǒng)配置，不當?shù)陌踩渲煤凸芾頃斐尚碌陌踩┒?。同時，管理員為了提高網(wǎng)絡(luò)的安全性，可能限制或關(guān)閉一些端口和服務(wù)，也會給用戶正常使用帶來不便。最后，粗粒度的訪問控制難以實現(xiàn)精細化管理傳統(tǒng)防火墻只實現(xiàn)了粗粒度的訪問控制，不能與企業(yè)內(nèi)部使用的其他安全機制集成使用。例如，企業(yè)為了對內(nèi)部用戶進行身份驗證和訪問控制，需要單獨管理的數(shù)據(jù)庫等情形。4.5.3工業(yè)防火墻工業(yè)防火墻是針對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)邊界防護的專用防火墻裝置。工業(yè)防火墻具備行業(yè)專有協(xié)議的深度分析能力，內(nèi)置高效的工業(yè)協(xié)議深度分析引擎，能夠?qū)崿F(xiàn)協(xié)議指令級的檢測。工業(yè)防火墻能夠深度解析OPC、ModBus、SiemensS7、MMS、IEC104、ProfiNet和DNP3等數(shù)十種工業(yè)專用協(xié)議。4.5.3工業(yè)防火墻工業(yè)防火墻支持白名單技術(shù)。運用白名單技術(shù)建立工業(yè)網(wǎng)絡(luò)通信的“可信環(huán)境”，對通過網(wǎng)絡(luò)通信數(shù)據(jù)進行深度分析和學(xué)習(xí)，建立可信的通信模型，確保只允許可信的訪問行為、可信的流量、可信的設(shè)備才能進入目標網(wǎng)絡(luò)和系統(tǒng)。4.5.3工業(yè)防火墻如圖所示，某生產(chǎn)企業(yè)的工業(yè)防火墻部署示意圖?？梢钥匆?，工業(yè)防火墻被部署在工業(yè)互聯(lián)網(wǎng)的四層網(wǎng)絡(luò)的邊界上。（即現(xiàn)場控制層和過程監(jiān)控層的邊界、過程控制層和生產(chǎn)管理層的邊界、還有生產(chǎn)管理層和企業(yè)資源層的邊界）4.5.3工業(yè)防火墻工業(yè)防火墻與普通防火墻的區(qū)別：1）保護對象不同傳統(tǒng)安全保護對象是IT信息系統(tǒng)、門戶網(wǎng)站、服務(wù)器、個人計算終端（如PC、筆記本電腦、手機等）工控安全保護對象是工業(yè)控制系統(tǒng)，如PLC、SCADA、DCS及配套上位機（如操作員站、工程師站、實時服務(wù)器、歷史服務(wù)器等）4.5.3工業(yè)防火墻工業(yè)防火墻與普通防火墻的區(qū)別：2）部署運行的行業(yè)專業(yè)性差異不同的工業(yè)場景，工控系統(tǒng)的應(yīng)用方式區(qū)別較大，不同的工控系統(tǒng)、以及相同類工控系統(tǒng)但不同廠家的設(shè)備，都有較大的差別。例如同樣是油氣場景，煉化是DCS、管道是SCADA、銷售終端是PLC，都不一樣。即使同樣是PLC，西門子、施耐德、GE的協(xié)議就不一樣，DCS也有類似的情形。4.5.3工業(yè)防火墻工業(yè)防火墻與普通防火墻的區(qū)別：3）支持的通信協(xié)議的不同工業(yè)協(xié)議大部分是私有協(xié)議，如西門子的S7、GE的SRTP等等，都需要深度識別并適配，需要對工業(yè)場景和工業(yè)協(xié)議有深度的理解。4）防護價值體現(xiàn)不同傳統(tǒng)安全一旦出問題，造成的后果是信息丟失或損壞、個人資產(chǎn)被轉(zhuǎn)移、通訊不暢等。由于工控系統(tǒng)廣泛應(yīng)用于國計民生的各個方面，一旦出問題，輕則生產(chǎn)停滯造成巨大經(jīng)濟損失，重則城市生活陷于癱瘓、甚至危及生命，后果非常嚴重。4.5.3工業(yè)防火墻工業(yè)防火墻與普通防火墻的區(qū)別：5）使用者不同傳統(tǒng)安全設(shè)備的操作對象是IT管理人員，大部分具有較好的TCP/IP系統(tǒng)的策略配置能力，可以配置較復(fù)雜安全規(guī)則。而工控安全的操作人員是工業(yè)自動化操作人員，不熟悉IT操作，所以工控安全設(shè)備的操作界面要非常簡單才行。4.5.3工業(yè)防火墻工業(yè)防火墻與普通防火墻的區(qū)別：6）運行環(huán)境的不同傳統(tǒng)IT安全設(shè)備一般安裝在機房里，恒溫恒濕。而工控系統(tǒng)則很可能安裝在工業(yè)現(xiàn)場，會有高溫、低溫、灰塵等情況，所以要求工控安全設(shè)備都是寬溫（如-40度到80度）、全封閉機箱。4.5.3工業(yè)防火墻工業(yè)防火墻與普通防火墻的區(qū)別：7）對時延要求不同IT網(wǎng)絡(luò)防火墻注重吞吐量、新建連接數(shù)和并發(fā)連接數(shù)，對時延要求不高。工控安全設(shè)備要求低時延，工控防火墻平均時延小于90us（工業(yè)以太網(wǎng)通信時延在20us~100us），確保工控防火墻不影響控制系統(tǒng)指令（周期大約在50ms~200ms的毫秒級）的正常下發(fā)。4.5.3工業(yè)防火墻工業(yè)防火墻與普通防火墻的區(qū)別：8）設(shè)備形態(tài)不同傳統(tǒng)安全設(shè)備通常為標準機架設(shè)備，采用220V交流電源供電。而工控安全產(chǎn)品因為部署環(huán)境的原因，還需要工業(yè)卡軌類設(shè)備，一般采用12-24V直流供電。4.5.3工業(yè)防火墻工業(yè)防火墻與普通防火墻的區(qū)別：9）對設(shè)備的要求不同IT網(wǎng)絡(luò)安全按照從高到低的要求是：保密性、完整性、可用性。IT網(wǎng)絡(luò)防火墻以性能為王。而OT網(wǎng)絡(luò)安全從高到低的要求是：可用性、完整性、保密性。工業(yè)防火墻則對設(shè)備的可用性、可靠性、穩(wěn)定性、確定性、壽命都要求極高。4.5.4工業(yè)網(wǎng)閘工業(yè)網(wǎng)閘就是專門為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)計的安全隔離設(shè)備，通過對網(wǎng)絡(luò)通信行為的細粒度解析，阻止惡意代碼的隱匿滲透。工業(yè)網(wǎng)閘可應(yīng)用于生產(chǎn)網(wǎng)和管理網(wǎng)的安全隔離，使兩個網(wǎng)絡(luò)之間不存在邏輯連接，即兩網(wǎng)之間不存在通信，只進行數(shù)據(jù)擺渡，從而真正實現(xiàn)“無協(xié)議隔離、內(nèi)容檢測、數(shù)據(jù)交換”。從物理上阻斷具有潛在攻擊可能的一切連接，實行強制內(nèi)容檢測，保證兩網(wǎng)之間的高級別安全。4.5.4工業(yè)網(wǎng)閘工業(yè)網(wǎng)閘的特點有：（1）采用雙獨立主機結(jié)構(gòu)，主機之間通過私有通信協(xié)議進行通信。（2）無IP部署，可以直接接入到工業(yè)系統(tǒng)現(xiàn)有網(wǎng)絡(luò)中，不會影響現(xiàn)有網(wǎng)絡(luò)的IP分配，部署方式簡單，不需要修改現(xiàn)有網(wǎng)絡(luò)的配置。同時由于自身無IP，可以減少針對自身的攻擊。（3）OPC通信深度過濾。能夠根據(jù)配置的訪問策略，對OPC通信進行深度過濾，從而實現(xiàn)OPC通信協(xié)議項目級別的讀寫訪問控制。（4）兼具通用防火墻功能。能夠進行通用防火墻級別的配置，例如協(xié)議、端口號等。4.6入侵檢測技術(shù)4.6入侵檢測技術(shù)入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測從網(wǎng)絡(luò)或網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為，判斷是否存在遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測。入侵檢測系統(tǒng)常常被形象地比喻為安全監(jiān)控體系中的“攝像頭”。4.6.1關(guān)鍵技術(shù)入侵檢測技術(shù)根據(jù)其采用的分析方法可分為異常檢測和特征檢測。（1）異常檢測異常檢測假設(shè)入侵活動是有別于正常活動的。首先，收集網(wǎng)絡(luò)中的正?；顒?，并為正?；顒咏⒛Ｐ?。入侵檢測工作時，將當前主體的實際活動與正常活動模型比較，如果違反其統(tǒng)計規(guī)律，則視該活動為入侵行為（也就是異常行為）。4.6.1關(guān)鍵技術(shù)（1）異常檢測異常行為的入侵檢測不需要對每種入侵行為進行定義，且具有一定的自學(xué)習(xí)能力，所以能夠有效檢測未知的入侵活動。缺點是，這種檢測模型漏報率和誤報率比較高。在工業(yè)控制系統(tǒng)中，業(yè)務(wù)的規(guī)律性比較顯著。利用時間相關(guān)的基準作為判斷異常行為的條件是非常必要的，因為大量的業(yè)務(wù)規(guī)律都會隨著時間變化呈現(xiàn)一定的規(guī)律性。比如在不同的工業(yè)控制系統(tǒng)中，有的可能一個小時一個周期，有的可能一天一個周期，有的可能一個星期一個周期。通過時間周期可以確定不同系統(tǒng)的正常運行基線，然后通過綜合分析這些異常參量，就比較容易發(fā)現(xiàn)一些可疑的異常行為。4.6.1關(guān)鍵技術(shù)（2）特征檢測特征檢測也被稱為誤用檢測，是根據(jù)已知入侵攻擊的信息（如知識、模式等）來檢測系統(tǒng)中的入侵和攻擊行為。特征檢測需要對現(xiàn)有的各種攻擊手段進行分析，建立能夠代表該攻擊行為的特征集合。特征檢測操作時，將當前數(shù)據(jù)進行處理后與攻擊特征集進行匹配，如果匹配成功則說明有攻擊發(fā)生。4.6.1關(guān)鍵技術(shù)（2）特征檢測特征檢測的關(guān)鍵在于特征的刻畫，特征刻畫是否精準直接決定了有效性。特征檢測的優(yōu)點是準確度高，但因為過度依賴事先定義好的安全策略（也就是特征集），所以無法檢測系統(tǒng)未知的攻擊行為，會產(chǎn)生漏報情況。4.6.1關(guān)鍵技術(shù)無論是特征檢測技術(shù)，還是基于行為的異常檢測技術(shù)，都各有利弊，對于提升入侵檢測的有效性，需要多種技術(shù)融合，取長補短。4.6.2工業(yè)入侵檢測系統(tǒng)傳統(tǒng)入侵檢測系統(tǒng)通過預(yù)置檢測規(guī)則可檢測已知的各種木馬、蠕蟲、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出攻擊、DDoS、掃描探測、欺騙劫持和網(wǎng)站掛馬等入侵行為。工業(yè)入侵檢測系統(tǒng)則支持Modbus、IEC60870-104等常用工控協(xié)議的深度解析，通過對工控語言的解讀，研究其中各種入侵途徑，從而形成了特有的工控網(wǎng)絡(luò)檢測策略。4.6.2工業(yè)入侵檢測系統(tǒng)工業(yè)入侵檢測系統(tǒng)的主要功能包括有：（1）工控協(xié)議識別支持ModBusTCP、OPCUA、Profinet、DNP3等工控協(xié)議的解析和識別。（2）工控入侵檢測可以對PLC等控制設(shè)備的拒絕服務(wù)攻擊漏洞、緩沖區(qū)溢出攻擊漏洞等典型工控漏洞的攻擊行為進行有效識別，并產(chǎn)生告警信息。4.6.2工業(yè)入侵檢測系統(tǒng)（3）深層攻擊發(fā)現(xiàn)提供基于流的應(yīng)用識別技術(shù)，可準確識別非標準端口應(yīng)用以及HTTP協(xié)議隧道中的Web2.0應(yīng)用，發(fā)現(xiàn)隱藏在應(yīng)用中的攻擊行為。（4）高級威脅檢測能夠基于敏感數(shù)據(jù)的外泄、文件識別、服務(wù)器非法外聯(lián)等異常行為檢測，實現(xiàn)內(nèi)網(wǎng)的高級威脅防護功能。4.6.2工業(yè)入侵檢測系統(tǒng)（5）減少虛假告警傳統(tǒng)入侵檢測單純分析數(shù)據(jù)包，脫離數(shù)據(jù)所處環(huán)境信息的檢測，導(dǎo)致諸如：目標系統(tǒng)運行的是Apache軟件，卻產(chǎn)生了大量針對IIS的虛假告警事件的情況發(fā)生。工業(yè)入侵檢測結(jié)合信譽機制、用戶身份、地理位置、用戶資產(chǎn)等上下文信息進行檢測，能夠顯著減少虛假告警事件的產(chǎn)生。4.6.2工業(yè)入侵檢測系統(tǒng)工業(yè)入侵檢測系統(tǒng)的部署在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中一般采用鏡像口監(jiān)聽的部署模式（也叫旁路部署模式）。這種部署模式不會影響原有網(wǎng)絡(luò)拓撲結(jié)構(gòu)。4.7VPN技術(shù)4.7.1VPN的概念與功能虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）是指在公用網(wǎng)絡(luò)中建立專用數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)，它通過一個公用網(wǎng)絡(luò)（通常可以是Internet）建立一個臨時、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN可以幫助遠程用戶（尤其是移動用戶）、組織分支機構(gòu)、商業(yè)伙伴和組織內(nèi)部網(wǎng)絡(luò)建立可信的安全連接，并保證數(shù)據(jù)傳輸?shù)陌踩?.7.1VPN的概念與功能VPN實現(xiàn)的安全功能如下：數(shù)據(jù)加密，保證通過公共網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)即使被他人截獲也不至于泄露信息。信息認證和身份認證，保證信息來源的真實性和合法性，以及信息的完整性。訪問控制，不同的用戶應(yīng)該分別具有不同的訪問權(quán)限。4.7.2VPN技術(shù)的實現(xiàn)方式VPN技術(shù)的實現(xiàn)方式：PPTP/L2TP、GRE、IPSec和SSL等。（1）PPTP（點對點隧道協(xié)議）和L2TP（二層隧道協(xié)議）PPTP協(xié)議是在PPP協(xié)議的基礎(chǔ)上開發(fā)的一種新的增強型安全協(xié)議，支持多協(xié)議虛擬專用網(wǎng)，可以通過密碼驗證協(xié)議(PAP)、可擴展認證協(xié)議(EAP)等方法增強安全性。4.7.2VPN技術(shù)的實現(xiàn)方式（1）PPTP（點對點隧道協(xié)議）和L2TP（二層隧道協(xié)議）L2TP是一種工業(yè)標準的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似，如同樣可以對網(wǎng)絡(luò)數(shù)據(jù)流進行加密。不過也有不同之處，比如PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，L2TP要求面向數(shù)據(jù)包的點對點連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗證，而PPTP不支持。4.7.2VPN技術(shù)的實現(xiàn)方式（2）GRE（通用路由封裝）GRE協(xié)議對鏈路兩端實際所使用的網(wǎng)絡(luò)協(xié)議沒有要求，是一種很常用的隧道協(xié)議。GRE要解決的問題主要是：1）私有IP網(wǎng)絡(luò)之間無法直接通過Internet互通。私有網(wǎng)絡(luò)中使用的都是私有地址，而在Internet上傳輸?shù)膱笪谋仨毷褂霉W(wǎng)地址。2）異種網(wǎng)絡(luò)（如IPX和AppleTalk）之間無法通過Internet直接進行通信。IP網(wǎng)絡(luò)不轉(zhuǎn)發(fā)IPX協(xié)議，所以IPX協(xié)議的網(wǎng)絡(luò)無法直接互通。4.7.2VPN技術(shù)的實現(xiàn)方式GRE工作原理1、報文到達本端設(shè)備，在私網(wǎng)的原始報文前面添加GRE頭。2、在GRE頭前面在加上新的IP頭，新IP頭的IP地址為公網(wǎng)地址。加上新的IP頭以后，就意味著這個私有網(wǎng)絡(luò)的報文經(jīng)過層層封裝以后就可以在Internet上傳輸了。3、對端收到后，首先判斷這個報文是不是GRE報文，如果是，報文被送到隧道接口解封裝，去掉外層IP頭，GRE頭，恢復(fù)為原始報文。4、對端設(shè)備根據(jù)原始報文的目的地址再次查找路由表，根據(jù)路由匹配結(jié)果進行報文轉(zhuǎn)發(fā)。4.7.2VPN技術(shù)的實現(xiàn)方式（3）IPSecVPNIPSecVPN是基于IPSec協(xié)議的VPN產(chǎn)品。IPSec的隧道模式：整個IP數(shù)據(jù)包加安全域被當作一個新IP包的載荷，并擁有一個新的IP包頭（外部IP頭）。原來的整個包利用隧道在網(wǎng)絡(luò)之間傳輸，沿途路由器不能檢查原來的IP包頭（內(nèi)部IP頭）。由于原來的IP包被封裝，新的、更大的IP包可以擁有完全不同的源地址與目的地址，以增強安全性。4.7.2VPN技術(shù)的實現(xiàn)方式主機A發(fā)送的IP包通過內(nèi)部網(wǎng)絡(luò)到達VPN網(wǎng)關(guān)A（也就是出口網(wǎng)關(guān)），VPN網(wǎng)關(guān)A會對包括IP頭在內(nèi)的整個IP包進行加密和認證，并追加新的IP頭進行封裝。新的IP包可以安全地通過公共網(wǎng)絡(luò)，到達目的地VPN網(wǎng)關(guān)B（也就是入口網(wǎng)關(guān)），VPN網(wǎng)關(guān)B將最前面的IP頭刪除，對加密過的數(shù)據(jù)進行解密和驗證，恢復(fù)出原始的IP包，最終送達主機B。VPN隧道對兩端的主機是透明的。4.7.2VPN技術(shù)的實現(xiàn)方式IPSec協(xié)議在IP層可以實現(xiàn)多種安全服務(wù)，包括訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)源驗證、抗重放和保密性等等。目前防火墻產(chǎn)品中集成的VPN多為使用IPSec協(xié)議。IPSecVPN非常適合企業(yè)用戶在公共IP網(wǎng)絡(luò)上構(gòu)建自己的VPN。4.7.2VPN技術(shù)的實現(xiàn)方式（4）SSLVPNSSL協(xié)議是介于應(yīng)用層和傳輸層協(xié)議之間的安全通信協(xié)議。其功能是當兩個應(yīng)用層相互通信時，為傳送的信息提供保密性、可認證性和完整性服務(wù)。目前，SSLVPN大多應(yīng)用于采用VPN與遠程網(wǎng)絡(luò)進行通信，服務(wù)的對象主要是基于Web的客戶，使用的Web應(yīng)用包括內(nèi)部網(wǎng)頁瀏覽、電子郵件及其他基于Web的查詢工作。SSLVPN一般的實現(xiàn)方式較簡單，只需要一臺服務(wù)器和若干客戶端軟件即可。部署一臺SSL服務(wù)器在應(yīng)用服務(wù)器的前面，由它負責接入各個分布的SSL客戶端。4.8無線網(wǎng)絡(luò)安全4.8.1無線局域網(wǎng)及安全概述無線局域網(wǎng)（WirelessLocalAreaNetwork，WLAN）IEEE802.11定義了無線網(wǎng)的基本設(shè)備構(gòu)成，它包括移動終端和無線AP。無線網(wǎng)絡(luò)有別于線纜的密封式傳輸，它的信號完全暴露在空氣中，只要在信號到達的范圍就可以接收，因此無線網(wǎng)絡(luò)的安全性成為應(yīng)用上最嚴格的挑戰(zhàn)。無線網(wǎng)絡(luò)安全機制主要有訪問控制和信息保密兩部分，可以通過服務(wù)集標識符（SSID）、MAC地址過濾、WEP、WPA等技術(shù)來實現(xiàn)，而IEEE802.11i和無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)（WAPI）則在原有的基礎(chǔ)上提供了更加安全的措施。4.8.1無線局域網(wǎng)及安全概述1．服務(wù)集標識符SSlD被稱為第一代無線安全，它會被輸入AP和客戶端中，只有客戶端的SSID與AP一致時，才能接入AP中。IEEE標準要求廣播SSID，這樣所有覆蓋范圍之內(nèi)的無線終端都可以發(fā)現(xiàn)AP的SSID。一般的策略是在產(chǎn)品中關(guān)閉SSID的廣播，防止無關(guān)人員獲取AP的信息。但是很多無線嗅探器工具可以很容易地在WLAN數(shù)據(jù)中捕獲有效的SSID，因此單靠SSID限制用戶接入只能提供較低級別的安全。4.8.1無線局域網(wǎng)及安全概述2．MAC地址過濾MAC地址過濾屬于硬件認證，而不是用戶認證。它針對每個無線工作站的網(wǎng)卡都有唯一的物理地址，在AP中手動維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址的過濾。這個方案要求AP中的MAC地址列表必須隨時更新，可擴展性差，無法實現(xiàn)機器在不同AP之間的漫游，而且MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認證。4.8.1無線局域網(wǎng)及安全概述3．WEP安全機制WEP在鏈路層采用RC4對稱加密技術(shù)，用戶的密鑰只有與AP的密鑰相同時，才能獲準存取網(wǎng)絡(luò)中的資源，從而防止未授權(quán)用戶的監(jiān)聽和非法用戶的訪問。WEP提供長度為64位和128位的密鑰機制，但是它仍然存在許多缺陷。例如，WEP沒有規(guī)定共享密鑰的管理方案，通常手動進行配置、維護，且一個服務(wù)區(qū)內(nèi)的所有用戶都共享同一個密鑰，一個用戶丟失或者泄露密鑰將使整個網(wǎng)絡(luò)不安全。同時，WEP加密被發(fā)現(xiàn)有安全缺陷，即攻擊者可以利用24位初始向量的數(shù)值來找出WEP的KEY以破解密碼。4.8.1無線局域網(wǎng)及安全概述4．WPA/WPA2安全機制WPA包括WPA和WPA2兩個標準。WPA加密功能使用了可以動態(tài)改變密鑰的臨時密鑰完整性協(xié)議，其中使用了128位的密鑰和一個48位的初始化向量組成完整密鑰，但是仍使用RC4加密算法來加密，因而亦存在著RC4本身的缺點。WPA2則用更加安全的AES算法取代了RC4。WPA2與WPA不同的是，WPA2支持802.11g或以上的無線網(wǎng)卡。4.8.1無線局域網(wǎng)及安全概述5．WAPI安全機制WAPI是我國自主制定的無線安全標準，它采用ECC算法和對稱密碼體制，分別用于WLAN的數(shù)字證書、證書鑒別、密鑰協(xié)商和傳輸數(shù)據(jù)的加密，從而實現(xiàn)設(shè)備的身份鑒別、錯路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。與其他無線局域網(wǎng)安全體制相比，WAPI的優(yōu)越性主要體現(xiàn)在以下4個方面。使用數(shù)字證書進行身份驗證。真正實現(xiàn)雙向鑒別，確?？蛻舳撕虯P之間的雙向驗證。采取集中式密鑰管理，局域網(wǎng)內(nèi)的證書由統(tǒng)一的認證服務(wù)器負責管理。完善的鑒別協(xié)議，采取了ECC算法，保障信息的完整性，安全強度高。4.8.25G+工業(yè)互聯(lián)網(wǎng)1.“5G+工業(yè)互聯(lián)網(wǎng)”簡介“5G+工業(yè)互聯(lián)網(wǎng)”是指利用以5G（第五代移動通信技術(shù)）為代表的新一代信息通信技術(shù)，構(gòu)建與工業(yè)經(jīng)濟深度融合的新型基礎(chǔ)設(shè)施、應(yīng)用模式和工業(yè)生態(tài)。通過5G技術(shù)對人、機、物、系統(tǒng)等的全面連接，構(gòu)建起覆蓋全產(chǎn)業(yè)鏈、全價值鏈的全新制造和服務(wù)體系。ITU定義了5G的三大應(yīng)用場景：增強型移動寬帶（eMBB，速率是4G的10倍）、低時延高可靠通信（uRLLC，時延是4G的十分之一）、海量機器類通信（mMTC，連接密度是4G的50倍）。后兩個場景主要面向工業(yè)等實體經(jīng)濟行業(yè)需求設(shè)計。4.8.25G+工業(yè)互聯(lián)網(wǎng)2.“5G+工業(yè)互聯(lián)網(wǎng)”現(xiàn)狀2019年6月6日，工業(yè)和信息化部向中國電信、中國移動、中國聯(lián)通、中國廣電4家基礎(chǔ)電信企業(yè)發(fā)放了5G商用牌照。我國5G商用穩(wěn)步推進，已建成覆蓋全國所有地級以上城市的5G網(wǎng)絡(luò)；工業(yè)、能源、交通、醫(yī)療等多個實體經(jīng)濟行業(yè)的5G應(yīng)用蓬勃發(fā)展，為“5G+工業(yè)互聯(lián)網(wǎng)”融合創(chuàng)新奠定了堅實的產(chǎn)業(yè)基礎(chǔ)。4.8.25G+工業(yè)互聯(lián)網(wǎng)目前，“5G+工業(yè)互聯(lián)網(wǎng)”融合發(fā)展仍處于起步探索階段，面臨較多問題。（1）數(shù)字化基礎(chǔ)薄弱。我國工業(yè)企業(yè)數(shù)字化水平參差不齊，大部分仍處于工業(yè)2.0發(fā)展階段，少數(shù)處于3.0階段，數(shù)據(jù)采集難度大。許多傳統(tǒng)老式設(shè)備缺乏數(shù)字化模塊，是不生產(chǎn)數(shù)據(jù)的“啞設(shè)備”；許多設(shè)備雖有數(shù)字化模塊，但通信協(xié)議千差萬別，互聯(lián)互通的難度較大。（2）產(chǎn)業(yè)支撐能力不足。5G工業(yè)終端、芯片、模組、網(wǎng)關(guān)等5G工業(yè)應(yīng)用的關(guān)鍵產(chǎn)品種類較少。同時，5G應(yīng)用于復(fù)雜工業(yè)生產(chǎn)環(huán)境中存在的信號干擾、上行帶寬不足等技術(shù)問題也亟待解決。（3）融合應(yīng)用仍待深化。“5G+工業(yè)互聯(lián)網(wǎng)”要與各領(lǐng)域的生產(chǎn)實踐、行業(yè)特性、知識經(jīng)驗緊密結(jié)合，面臨很多行業(yè)和技術(shù)壁壘，雖涌現(xiàn)出一批典型應(yīng)用，但可持續(xù)的商業(yè)模式、市場造血能力均亟待加強。4.8.35G安全1．5G網(wǎng)絡(luò)自身的安全體系與3G和4G相比，5G網(wǎng)絡(luò)呈現(xiàn)以下特點：終端多樣化、節(jié)點數(shù)量眾多、節(jié)點的超高密度部署；多種無線網(wǎng)絡(luò)技術(shù)和安全機制共存、端到端直接通信；引入了新技術(shù)，包括網(wǎng)絡(luò)功能虛擬化、軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)切片、邊緣計算和網(wǎng)絡(luò)能力開放等，這些新技術(shù)使5G網(wǎng)絡(luò)面臨一些新的安全挑戰(zhàn)。第三代合作伙伴計劃（3GPP）組織已經(jīng)進行了預(yù)研究，并提供了有關(guān)5G安全方面的幾種標準。4.8.35G安全5G提供比4G更強的安全能力，包括以下幾種。（1）服務(wù)域安全：5G采用完善的服務(wù)注冊、發(fā)現(xiàn)、授權(quán)安全機制及安全協(xié)議來保障服務(wù)域安全。（2）增強的用戶隱私保護：5G網(wǎng)絡(luò)使用加密方式傳送用戶身份標識，以防范攻擊者利用空中接口明文傳送用戶身份標識來非法追蹤用戶的位置和信息。（3）增強的完整性保護：5G網(wǎng)絡(luò)進一步支持用戶面數(shù)據(jù)的完整性保護，以防范用戶面數(shù)據(jù)被篡改。（4）增強的網(wǎng)間漫游：安全5G網(wǎng)絡(luò)提供了網(wǎng)絡(luò)運營商網(wǎng)間信令的端到端保護，防范以MITM攻擊方式獲取運營商網(wǎng)間的敏感數(shù)據(jù)。（5）統(tǒng)一認證框架：4G網(wǎng)絡(luò)不同的接入技術(shù)采用不同的認證方式和流程，難以保障異構(gòu)網(wǎng)絡(luò)切換時認證流程的連續(xù)性，5G則采用統(tǒng)一認證框架，能夠融合不同制式的多種接入認證方式。4.8.35G安全2．5G最突出的安全威脅5G允許更多的AP。每一個額外的硬件接觸點都會為攻擊者訪問網(wǎng)絡(luò)創(chuàng)造一個潛在的機會。這意味著所有AP都需要在物理和數(shù)字層面進行監(jiān)控。聯(lián)網(wǎng)機器的增加也可能意味著5G安全風險的增加。恒溫器等較小的物聯(lián)網(wǎng)設(shè)備通常具有較弱的安全性，其中一個設(shè)備存在漏洞可能導(dǎo)致整個系統(tǒng)受到損害。關(guān)鍵和敏感的數(shù)據(jù)傳輸將需要更高級別的安全性，以避免通信中斷、惡意行為或窺探與竊取信息。5G的分解架構(gòu)意味著網(wǎng)絡(luò)功能可以在底層系統(tǒng)的硬件中自由運行，從而改善控制和可視化。但這些組件中的每一個硬件都需要有自己的安全措施，而不是依賴于單一的總體安全方法。4.8.35G安全3．5G安全解決方案盡管5G網(wǎng)絡(luò)帶來了新威脅，但已經(jīng)有一些方法可以幫助確保5G網(wǎng)絡(luò)安全?！窳阈湃闻c軟件安全基礎(chǔ)相結(jié)合。●加強對個人移動設(shè)備和物聯(lián)網(wǎng)設(shè)備的防御?！穸说蕉丝梢娦?。●威脅分析。實訓(xùn)演練實訓(xùn)1網(wǎng)絡(luò)掃描【實訓(xùn)目的】掌握網(wǎng)絡(luò)掃描的工作原理，學(xué)會使用Nmap、Nessus等常用掃描工具。【場景描述】在虛擬機軟件環(huán)境下配置4個虛擬系統(tǒng)WinXP1、WinXP2、KaliLinux和Metasploitable2，使得4個系統(tǒng)之間能夠相互通信，網(wǎng)絡(luò)拓撲如圖所示。任務(wù)1

靶機Metasploitable2的安裝Metasploitable2是一款基于Ubuntu的操作系統(tǒng)，是一個虛擬機文件，從網(wǎng)上下載解壓之后就可以直接使用，無須安裝。該系統(tǒng)本身作為安全工具測試和演示常見漏洞攻擊的靶機，所以它存在大量未打補丁的漏洞，并且開放了無數(shù)高危端口。本任務(wù)介紹如何安裝Metasploitable2操作系統(tǒng)?！緦嵱?xùn)步驟】（1）下載Metasploitable2，其文件名為metasploitable-linux-.zip。（2）將metasploitable-linux-.zip文件解壓到本地磁盤。（3）打開VMwareWorkstation，并打開Metasploitable2。任務(wù)1

靶機Metasploitable2的安裝【實訓(xùn)步驟】（4）該系統(tǒng)默認的用戶名和密碼都是“msfadmin”。在登錄界面依次輸入用戶名和密碼，登錄系統(tǒng)，如圖所示。（5）把網(wǎng)絡(luò)連接方式設(shè)置為“僅主機模式”，執(zhí)行“ifconfig”命令，查看該系統(tǒng)的IP地址。任務(wù)1

靶機Metasploitable2的安裝【實訓(xùn)步驟】（6）輸入命令“sudoifconfigeth0netmask”并執(zhí)行，然后