網(wǎng)絡安全基本知識網(wǎng)絡安全：是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡安全的研究領(lǐng)域。網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。計算機病毒(ComputerVirus)在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義，病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。木馬：利用計算機程序漏洞侵入后竊取文件的程序被稱為木馬。它是一種具有隱藏性的、自發(fā)性的可被用來進行惡意行為的程序，多不會直接對電腦產(chǎn)生危害，而是以控制為主。防火墻(英文：firewall)是一項協(xié)助確保信息安全的設備，會依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻可以是一臺專屬的硬件也可以是架設在一般硬件上的一套軟件。后門：指房間的背后的可以自由出入的門，相對于明顯的前門。也可以指繞過軟件的安全性控制而從比較隱秘的通道獲取對程序或系統(tǒng)訪問權(quán)的方法。入侵檢測（IntrusionDetection），顧名思義，就是對入侵行為的發(fā)覺。他通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。數(shù)據(jù)包監(jiān)測：可以被認為是一根竊聽電話線在計算機網(wǎng)絡中的等價物。當某人在“監(jiān)聽”網(wǎng)絡時，他們實際上是在閱讀和解釋網(wǎng)絡上傳送的數(shù)據(jù)包。如果你需要在互聯(lián)網(wǎng)上通過計算機發(fā)送一封電子郵件或請求下載一個網(wǎng)頁，這些操作都會使數(shù)據(jù)通過你和數(shù)據(jù)目的地之間的許多計算機。這些傳輸信息時經(jīng)過的計算機都能夠看到你發(fā)送的數(shù)據(jù)，而數(shù)據(jù)包監(jiān)測工具就允許某人截獲數(shù)據(jù)并且查看它。NIDS：是NetworkIntrusionDetectionSystem的縮寫，即網(wǎng)絡入侵檢測系統(tǒng)，主要用于檢測Hacker或Cracker通過網(wǎng)絡進行的入侵行為。NIDS的運行方式有兩種，一種是在目標主機上運行以監(jiān)測其本身的通信信息，另一種是在一臺單獨的機器上運行以監(jiān)測所有網(wǎng)絡設備的通信信息，比如Hub、路由器。SYN是：TCP/IP建立連接時使用的握手信號。在客戶機和服務器之間建立正常的TCP網(wǎng)絡連接時，客戶機首先發(fā)出一個SYN消息，服務器使用SYN-ACK應答表示接收到了這個消息，最后客戶機再以ACK消息響應。這樣在客戶機和服務器之間才能建立起可靠的TCP連接，數(shù)據(jù)才可以在客戶機和服務器之間傳遞。加密技術(shù)：是電子商務采取的主要安全保密措施，是最常用的安全保密手段，利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。加密技術(shù)的應用是多方面的，但最為廣泛的還是在電子商務和VPN上的應用，深受廣大用戶的喜愛。一、引論1、網(wǎng)絡安全的概念：網(wǎng)絡安全是在分布式網(wǎng)絡環(huán)境中，對信息載體（處理載體、存儲載體、傳輸載體）和信息的處理、傳輸、存儲、訪問提供安全保護，以防止數(shù)據(jù)、信息內(nèi)容或能力被非授權(quán)使用、篡改或拒絕服務。2、基于IP的Internet有很多不安全的問題：1）IP安全。在Internet中，當信息分組在路由器間傳遞時，對任何人都是開放的，路由器僅僅搜集信息分組中的目的地址，但不能防止其內(nèi)容被窺視。2）DNS安全。Internet對每臺計算機的命名方案稱之為域名系統(tǒng)（DNS）。3）拒絕服務（DoS）攻擊。包括發(fā)送SYN信息分組、郵件炸彈。4）分布式拒絕（DDoS）攻擊。分布式拒絕服務攻擊是拒絕服務群起攻擊的方式。3、維護信息載體的安全就要抵抗對網(wǎng)絡和系統(tǒng)的安全威脅。這些安全威脅包括物理侵犯（如機房入侵、設備偷竊、廢物搜尋、電子干擾等）、系統(tǒng)漏洞（如旁路控制、程序缺陷等）、網(wǎng)絡入侵（如竊聽、截獲、堵塞等）、惡意軟件（如病毒、蠕蟲、特洛伊木馬、信息炸彈等）、存儲損壞（如老化、破損等）等。為抵抗對網(wǎng)絡和系統(tǒng)的安全威脅，通常采取的安全措施包括門控系統(tǒng)、防火墻、防病毒、入侵檢測、漏洞掃描、存儲備份、日志審計、應急響應、災難恢復等。4、網(wǎng)絡安全的三個基本屬性：1）機密性（保密性）。機密性是指保證信息與信息系統(tǒng)不被非授權(quán)者所獲取與使用，主要防范措施是密碼技術(shù)。2）完整性。完整性是指信息是真實可信的，其發(fā)布者不被冒充，來源不被偽造，內(nèi)容不被篡改，主要防范措施是校驗與認證技術(shù)。3）可用性?？捎眯允侵副ＷC信息與信息系統(tǒng)可被授權(quán)人正常使用，主要防范措施是確保信息與信息系統(tǒng)處于一個可靠的運行狀態(tài)之下。5、國際標準化組織在開放系統(tǒng)互聯(lián)標準中定義了7個層次的參考模型：1）物理層。2）數(shù)據(jù)鏈接層。3）網(wǎng)絡層。4）傳輸層。5）會話層。6）表示層。7）應用層。6、粗略地，可把信息安全分成3個階段。1）通信安全（comsec）、計算機安全（compusec）和網(wǎng)絡安全（netsec）。7、可信計算機系統(tǒng)評估準則（TrustedComputerSystemEvaluationCriteria,TCSEC）共分為如下4類7級：1）D級，安全保護欠缺級。2）C1級，自主安全保護級。3）C2級，受控存儲保護級。4）B1級，標記安全保護級。5）B2級，結(jié)構(gòu)化保護級。6）B3級，安全域保護級。7）A1級，驗證設計級。8、密碼學研究包括兩部分內(nèi)容：一是加密算法的設計和研究；一是密碼分析，即密碼破譯技術(shù)。9、對稱密鑰密碼技術(shù)是傳統(tǒng)的簡單換位、代替密碼發(fā)展而來的，從加密模式上可分為兩類：1）序列密碼。序列密碼一直作為軍事和外交場合使用的主要密碼技術(shù)之一，它的主要原理是，通過有限狀態(tài)機產(chǎn)生性能優(yōu)良的偽隨機序列，使用該序列加密信息流，逐位加密得到密文序列，所以，序列密碼算法的安全強度取決于它產(chǎn)生的偽隨機序列的好壞。2）分組密碼。分組密碼的工作方式是將明文分成固定長度的組（塊）（如64位一組），用同一密鑰和算法對每一塊加密，輸出固定長度的密文。公鑰密碼技術(shù)：公鑰技術(shù)是在密碼體制中加密和解密采用兩個不同的相關(guān)的密鑰的技術(shù)，又稱不對稱密鑰技術(shù)。兩者的比較：因為對稱密碼系統(tǒng)具有加解密速度快、安全強度高等優(yōu)點，在軍事、外交及商業(yè)應用中使用得越來越普遍；由于存在密鑰發(fā)行與管理方面的不足，在提供數(shù)字簽名、身份驗證等方面需要與公開密鑰密碼系統(tǒng)共同使用，以達到更好的安全效果。公共密鑰的優(yōu)點在于，也許你并不認識某一實體，但只要你的服務器認為該實體證書權(quán)威CA是可靠的，就可以進行安全通信，而這正是電子商務這樣的業(yè)務所要求的，如信用卡購物。二、風險分析1、攻擊的類型：1）阻斷攻擊。2）截取攻擊。3）篡改攻擊。4）偽造攻擊。2、主動攻擊與被動攻擊的區(qū)分：竊聽、監(jiān)聽都具有被動攻擊的本性，攻擊者的目的是獲取正在傳輸?shù)男畔?，被動攻擊包括傳輸報文?nèi)容的泄漏和通信流量分析。主動攻擊包含對數(shù)據(jù)流的某些修改，或者生成一個假的數(shù)據(jù)流。它可以分成4類：1）偽裝。2、回答（重放）。3）修改報文。4）拒絕服務。3、常見的篡改服務攻擊有3種：1）改變。2）插入。3）刪除。4、拒絕服務攻擊可分成以下4種：1）拒絕訪問信息。2）拒絕訪問應用。3）拒絕訪問系統(tǒng)。4）拒絕訪問通信。5、風險的概念：風險是構(gòu)成安全基礎的基本觀念。風險是丟失需要保護的資產(chǎn)的可能性。威脅+漏洞=風險6、風險測量必須識別出在受到攻擊后該組織需要付出的代價。代價包括資金、時間、資源、信譽及丟失生意等。三、安全策略1、系統(tǒng)管理程序：1）軟件更新。2）漏洞掃描。3）策略檢查。4）登錄檢查。5）常規(guī)監(jiān)控。2、一個恰當?shù)臑碾y恢復計劃應考慮各種故障的級別：單個系統(tǒng)、數(shù)據(jù)中心、整個系統(tǒng)。災難恢復計劃應考慮：1）單個系統(tǒng)或設備故障。2）數(shù)據(jù)中心事件。3）場地破壞事件。4）災難恢復計劃的測試。3、安全策略的生成步驟：1）確定重要的策略。2）確定可接受的行為。3）征求建議。4）策略的開發(fā)。四、網(wǎng)絡信息安全服務*1、機密性服務包括：1）文件機密性。2）信息傳輸機密性。3）通信流機密性。*2、完整性服務包括：1）文件完整性。2）信息傳輸完整性。*3、可用性服務包括：1）后備。2）在線恢復。3）災難恢復。4、網(wǎng)絡環(huán)境下的身份鑒別：1）身份認證技術(shù)（常見的有口令技術(shù)和采用物理形式的身份認證標記進行身份認證的鑒別技術(shù)）。2）身份認證協(xié)議（會話密鑰、共享密鑰認證和公鑰認證。）5、訪問控制：訪問控制是確定來訪實體有否訪問權(quán)以及實施訪問權(quán)限的過程。五、安全體系結(jié)構(gòu)1、可信系統(tǒng)體系結(jié)構(gòu)概述：如果保護在硬件層實現(xiàn)，保護機制更簡單，可提供廣泛的通用的保護。越是層次向上升，越是增加復雜性，而功能則更加專門和細粒度。最高層也最復雜，因為它直接向用戶提供廣泛的功能和選項。功能和安全復雜性增加，則越靠近用戶。復雜性增加，則安全機制的級別越低。*2、網(wǎng)絡體系結(jié)構(gòu)的觀點（課本P74）3、加密機制。1）加密既能為數(shù)據(jù)提供機密性，也能為通信業(yè)務流信息提供機密性，并且是其他安全機制中的一部分或?qū)Π踩珯C制起補充作用。2）加密算法可以是可逆的，也可以是不可逆的。3）除了某些不可逆加密算法的情況外，加密機制的存在便意味著要使用密鑰管理機制。 4、大多數(shù)應用不要求在多個層加密，加密層的選取主要取決于下列幾個因素：1）如果要求全通信業(yè)務流機密性，那么選取物理層加密，或傳輸安全手段（如適當?shù)臄U頻技術(shù)）。2）如果要求細粒度保護（即對不同應用提供不同的密鑰），和抗否認或選擇字段保護，那么將選取表示層加密。3）如果希望實現(xiàn)所有客戶端系統(tǒng)通信的簡單塊保護，或希望有一個外部的加密設備（例如，為了給算法和密鑰加物理保護，或防止錯誤軟件），那么將選取網(wǎng)絡層加密。4）如果要求帶恢復的完整性，同時又具有細粒度保護，那么將選取傳輸層加密。5）對于今后的實施，不推薦在數(shù)據(jù)鏈接層上加密。6、數(shù)字簽名機制的特點：1）簽名過程使用簽名者的私有信息作為密鑰，或?qū)?shù)據(jù)單元進行加密，或產(chǎn)生出該數(shù)據(jù)單元的一個密碼校驗值。2）驗證過程使用公開的規(guī)程與信息來決定該簽名是否是用簽名者的私有信息產(chǎn)生的。3）簽名機制的本質(zhì)特征為該簽名只有使用簽名者的私有信息才能產(chǎn)生出來。因而，當該簽名得到驗證后，它能在事后的任何時候向第三方（例如法官或仲裁人）證明只有那個私有信息的唯一擁有者才能產(chǎn)生這個簽名。六、Internet安全體系結(jié)構(gòu)之一1、局域網(wǎng)LAN的安全。防御方法：1）防火墻。2）特權(quán)區(qū)（privilegedzones）。3）LAN連接。2、無線網(wǎng)面臨著一系列有線網(wǎng)沒有的不安全風險，包括：1）分組嗅測（packetsniffing）。2)服務集標識SSID（theservicesetidentifier）信息。3)假冒(inpersonation)。4）寄生者（parasites）。5）直接安全漏洞（directsecuritybreaches）。3、風險緩解的方法：1)SSID打標簽。2）廣播SSID。3）無線放置。4）MAC過濾。5）WEP。6）其他密碼系統(tǒng)。7）網(wǎng)絡體系結(jié)構(gòu)。4、課本P107圖6-3CHAP處理。5、ARP和RARP的風險課本P110圖6-4作為MitM攻擊的ARP受損。6、所有的分段機制有兩個主要風險：丟失分段和組裝數(shù)據(jù)的容量。此外分段管理的類型能導致丟失數(shù)據(jù)分段。分段的風險：1）丟失分段攻擊。2）最大的不分段大小。3）分段重組。7、IP風險：1）地址沖突。2）IP攔截。3）回答攻擊。4）分組風暴。5）分段攻擊。）6）轉(zhuǎn)換通道。七、Internet安全體系結(jié)構(gòu)之二1、TCPDoS攻擊：1）SYN攻擊。2）RST和FIN攻擊。3）ICMP攻擊。4）LAND攻擊。*2、緩解對TCP攻擊的方法：1）改變系統(tǒng)框架。2）阻斷攻擊指向。3）識別網(wǎng)絡設備。4）狀態(tài)分組校驗。5）入侵檢測系統(tǒng)（IDS）。6）入侵防御系統(tǒng)（IPS）。*3、UDP攻擊：1）非法的進入源。2）UDP攔截。3）UDP保持存活攻擊。4）UDPSmurf攻擊。5）UDP偵察。4、DNS風險：1）直接風險（無身份鑒別的響應、DNS緩存受損、ID盲目攻擊、破壞DNS分組）。2）技術(shù)風險（DNS域攔截、DNS服務器攔截、更新持續(xù)時間、動態(tài)DNS）。3）社會風險（相似的主機名、自動名字實現(xiàn)、社會工程、域更新）。#5、緩解風險的方法：1）直接威脅緩解?；镜木S護和網(wǎng)絡分段能限制直接威脅的影響。1、補?。篋NS服務器的增強版經(jīng)常會發(fā)布，DNS服務器和主機平臺應定期打補丁 和維護。2、內(nèi)部和外部域分開：DNS服務器應該是分開的。大的網(wǎng)絡應考慮在內(nèi)部網(wǎng)絡分 段間分開設置服務器，以限制單個服務器破壞的影響，且能夠平衡DNS負載。3、限制域或轉(zhuǎn)換：域的轉(zhuǎn)換限制于特定的主機，且由網(wǎng)絡地址或硬件地址標識。這個方案對MAC和IP的偽裝攻擊是脆弱的，但對任意的主機請求域轉(zhuǎn)換確實是有用的。4、鑒別的域轉(zhuǎn)換：采用數(shù)字簽名和鑒別域轉(zhuǎn)換能減少來自域轉(zhuǎn)換攔截和破壞的影響。5、有限的緩沖間隔：緩沖間隔減少至低于DNS回答規(guī)定的值，可以減少緩沖器受損的損壞裝口。6、拒絕不匹配的回答：假如緩沖DNS服務器接到多個具有不同值的回答，全部緩 沖器應刷新。雖然這會影響緩沖器性能，但它消除了長期緩沖器受損的風險。2）技術(shù)威脅的緩解。技術(shù)風險預防方法包括網(wǎng)絡、主機和本地環(huán)境。1、加固服務器：限制遠程可訪問進程的數(shù)量，就能限制潛在攻擊的數(shù)量。加固服務器可降低來自技術(shù)攻擊的威脅。2、防火墻：在DNS服務器前放置硬件防火墻限制了遠程攻擊的數(shù)量。3）偵察威脅的緩解。1、限制提供DNS信息：這可以緩解攻擊者偵察的威脅，雖然DNS不能完全做到， 但可限制提供信息的類型和數(shù)量。2、限制域轉(zhuǎn)換：域的轉(zhuǎn)換僅限于鑒別過的主機。雖然不能組織蠻力主機的查找，但可組織偵察。3、限制請求：限制DNS請求的數(shù)量可由任何單個網(wǎng)絡地址完成。雖然不能防止蠻 力域監(jiān)聽，但是可設置障礙。4、去除反向查找：假定反向查找不是必須的，那么去除它。這可限制蠻力域監(jiān)聽的影響。5、分開內(nèi)部和外部域：DNS域服務器應該是分開的，以確保LAN的信息保持在 LAN。特別是內(nèi)部主機名應該不允許外部可觀察。6、去除額外信息：不是直接為外部用戶使用的信息應該去除，例如TXT，CHAME，HINFO這些信息。7、隱藏版本：對允許本地登錄或遠程狀態(tài)報告的DNS服務器，這些DNS版本可 能被泄漏。因為不同的版本和不同的利用相關(guān)，應該修改版本以報告假信息或?qū)⑵淙?除。4）社會威脅緩解。除了對用戶進行培訓，防止相似主機名和自動名字完成的風險，還有：1、監(jiān)控相似域：經(jīng)常搜索域名的變化。當發(fā)現(xiàn)有相似主機名的標識，DNS提供者 要求他們關(guān)掉。雖然這是一個復雜的耗時的任務，但這是監(jiān)控相似域名的一種專門服 務。2、鎖住域：使用支持域名鎖定的域注冊者。這需要一些附加信息，諸如賬戶信息、 轉(zhuǎn)換域名的口令。3、使用有效聯(lián)系：在域注冊中提供一個或多個有效聯(lián)系方法，以允許用戶和注冊者 聯(lián)系域主。但不需要專門的人名或個人信息，以免攻擊者使用這些信息攻擊域主。4、不間斷支持：選擇一天24小時，一周7天不間斷支持的域注冊者。這樣在任何 時候可和注冊者聯(lián)系，以解決有關(guān)域的問題。5、自己主持：大的單位應選擇稱為擁有管理自己域的注冊者。5）優(yōu)化DNS設置。6）確定可信的回答。6、P133圖7-2SSL協(xié)議會話過程示意圖。八、防火墻1、防火墻一般安防在被保護網(wǎng)絡的邊界，必須做到以下幾點，才能使防火墻起到安全防護的作用：1）所有進出被保護網(wǎng)絡的通信必須通過防火墻。2）所有通過防火墻的通信必須經(jīng)過安全策略的過濾或者防火墻的授權(quán)。3）防火墻本身是不可被侵入的。*2、防火墻的功能：1）訪問控制功能。2）內(nèi)容控制功能。3)全面的日志功能。4）集中管理功能。5）自身的安全和可用性。拒絕服務攻擊主要有以下幾種形式：（記住四種解釋）SynFlood:該攻擊以多個隨機的源主機地址向目的主機發(fā)送SYN包，而在收到目的主機的SYNACK后并不回應，這樣目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到ACK一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務。Smurf:該攻擊向一個子網(wǎng)的廣播地址發(fā)一個帶有特定請求（如ICMP回應請求）的包，并且將源地址偽裝成想要攻擊的主機地址。子網(wǎng)上所有的主機都回應廣播包請求而向被攻擊主機發(fā)包，使該主機受到攻擊。Land-based：攻擊者將一個數(shù)據(jù)包的源地址和目的地址都設置為目標主機的地址，然后將該數(shù)據(jù)包通過IP欺騙的方式發(fā)送給被攻擊主機，這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地減低了系統(tǒng)性能。PingofDeath:根據(jù)TCP/IP的規(guī)范，一個IP包的長度最大為65536B，但發(fā)送較大的IP包時將進行分片，這些IP分片到達目的主機時又重新組合起來。在PingofDeath攻擊時，各分片組合后的總長度將超過65536B，在這種情況下會造成某些操作的宕機。4、防火墻的局限性：1）防火墻不能防范不經(jīng)由防火墻的攻擊。2)防火墻不能防止感染了病毒的軟件或文件的傳輸。3）防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。4）防火墻不能防范惡意的內(nèi)部人員侵入。5）防火墻不能防范不斷更新的攻擊方式，防火墻制定的安全策略是在已知的攻擊模式下制定的，所以對全新的攻擊方式缺少阻止功能。*5、防火墻技術(shù)：1）包過濾技術(shù)。2）應用網(wǎng)關(guān)技術(shù)。3）狀態(tài)檢測防火墻。4）電路級網(wǎng)關(guān)。5）代理服務器技術(shù)。6、堡壘主機：其得名于古代戰(zhàn)爭中用于防守的堅固堡壘，它位于內(nèi)部網(wǎng)絡的最外層，像堡壘一樣對內(nèi)部網(wǎng)絡進行保護。構(gòu)建堡壘主機的要點：1）選擇合適的操作系統(tǒng)。它需要可靠性好、支持性好、可配置性好。2）堡壘主機的安裝位置。堡壘主機應該安裝在不傳輸保密信息的網(wǎng)絡上，最好它處于一個獨立網(wǎng)絡中，比如DMZ。3）堡壘主機提供的服務。堡壘主機需要提供內(nèi)部網(wǎng)絡訪問Internet的服務，內(nèi)部主機可以通過堡壘主機訪問Internet，另外內(nèi)部網(wǎng)絡也需要向Internet提供服務。4）保護系統(tǒng)日志。作為一個安全性舉足輕重的主機，堡壘主機必須有完善的日志系統(tǒng)，而且必須對系統(tǒng)日志進行保護。5）監(jiān)測和備份。最簡單的方式是把備份存儲到與堡壘主機直接相連的磁帶機上。7、防火墻的發(fā)展趨勢：1）高安全性和高效率。2）數(shù)據(jù)加密技術(shù)的使用，使合法訪問更安全。3）混合使用包過濾技術(shù)、代理服務技術(shù)和其他一些新技術(shù)。4）IP協(xié)議的變化將對防火墻的建立與運行產(chǎn)生深刻的影響。5）分布式防火墻的應用。6）對數(shù)據(jù)包的全方位的檢查。九、VPN1、VPN的概念：VPN是VirtualPrivateNetwork的縮寫，是將物理分布在不同地點的網(wǎng)絡通過共用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。2、VPN的類型：1）AccessVPN(遠程訪問VPN)、IntranetVPN(企業(yè)內(nèi)部VPN)和ExtranetVPN(企業(yè)擴展VPN)。3、VPN的優(yōu)點：1)降低成本。2）易于擴展。3）保證安全。4、隧道技術(shù)通過對數(shù)據(jù)進行封裝，在公共網(wǎng)絡上建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。生成隧道的協(xié)議有兩種：第二層隧道協(xié)議和第三層隧道協(xié)議。5、課本P181圖9-8L2TP控制報文。要求能判斷其類型。十、IPSec1、IPSec的概念：IPSec（IPSecurity）是一種由IETF設計的端到端的確保IP層通信安全的機制2、IPSec的功能：1）作為一個隧道協(xié)議實現(xiàn)了VPN通信。2）保證數(shù)據(jù)來源可靠。3）保證數(shù)據(jù)完整性。4）保證數(shù)據(jù)機密性。3、P188圖10-1IPSec體系結(jié)構(gòu)。*4、IPSec運行模式：1）IPSec傳輸模式。2）IPSec隧道模式。十一、黑客技術(shù)1、黑客攻擊的流程，見課本P208圖11-1黑客攻擊流程圖。十二、漏洞掃描1、計算機漏洞的概念：計算機漏洞是系統(tǒng)的一組特性，惡意的主體（攻擊者或者攻擊程序）能夠利用這組特性，通過已授權(quán)的手段和方式獲取對資源的未授權(quán)訪問，或者對系統(tǒng)造成損害。2、存在漏洞的原因：1）軟件或協(xié)議設計時的瑕疵。2）軟件或協(xié)議實現(xiàn)中的弱點。3）軟件本身的瑕疵。4）系統(tǒng)和網(wǎng)絡的錯誤配置。3、漏洞檢測所要尋找的漏洞主要包括以下幾個類別：1）操作系統(tǒng)漏洞。2）應用服務器漏洞。3）配置漏洞。4、常用網(wǎng)絡掃描工具：1）Netcat。2）網(wǎng)絡主機掃描程序Nmap。3）SATAN。4）nessus。5）X-scan十三章、入侵檢測1、入侵檢測的概念：入侵檢測是從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關(guān)鍵點搜集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為或遭到襲擊的跡象的一種機制。*2、基于主機的入侵檢測系統(tǒng)：1）網(wǎng)絡連接檢測。2）主機文件檢測。3、異常檢測技術(shù)（——基于行為的檢測）的基本原理異常檢測技術(shù)也稱為基于行為的檢測技術(shù)，是指根據(jù)用戶的行為和系統(tǒng)資源的使用狀況判斷是否存在網(wǎng)絡入侵。異常檢測技術(shù)首先假設網(wǎng)絡攻擊行為是不常見的或是異常的，區(qū)別在于所有的正常行為。如果能夠為用戶和系統(tǒng)的所有正常行為總結(jié)活動規(guī)律并建立行為模型，那么入侵檢測系統(tǒng)可以將當前捕獲到的網(wǎng)絡行為與行為模型相對比，若入侵行為偏離了正常的行為軌跡，就可以被檢測出來。4、誤用檢測技術(shù)入侵檢測系統(tǒng)的基本原理：誤用檢測技術(shù)也稱為基于知識的檢測技術(shù)或者模式匹配檢測技術(shù)。它的前提是假設所有的網(wǎng)絡攻擊行為和方法都具有一定的模式或特征，如果把以往發(fā)現(xiàn)的所有網(wǎng)絡攻擊的特征總結(jié)出來并建立一個入侵信息庫，那么入侵檢測系統(tǒng)就可以將當前捕獲的網(wǎng)絡行為特征與入侵信息庫中的特征信息相比較，如果匹配，則當前行為就被認定為入侵行為。5、異常檢測技術(shù)和誤用檢測技術(shù)的比較：無論哪種入侵檢測技術(shù)都需要搜集總結(jié)有關(guān)網(wǎng)絡入侵行為的各種知識，或者系統(tǒng)及其用戶的各種行為的知識。基于異常檢測技術(shù)的入侵檢測系統(tǒng)如果向檢測到所有網(wǎng)絡入侵行為，必須掌握被保護系統(tǒng)已知行為和預期行為的所有信息，這一點實際上無法做到，因此入侵檢測系統(tǒng)必須不斷學習并更新已有的行為輪廓。對于基于誤用檢測技術(shù)的入侵檢測系統(tǒng)而言，只有擁有所有可能的入侵行為的先驗知識，而且必須能識別各種入侵行為的過程細節(jié)或者每種入侵行為的特征模式，才能檢測到所有的入侵行為，而這種情況也不存在，該類入侵檢測系統(tǒng)只能檢測出已有的入侵模式，必須不斷地對新出現(xiàn)的入侵行為進行總結(jié)和歸納。在入侵系統(tǒng)配置方面，基于異常檢測技術(shù)的入侵檢測系統(tǒng)通常比基于誤用檢測技術(shù)的入侵系統(tǒng)所做的工作要少很多，因為異常檢測需要對系統(tǒng)和用于的行為輪廓進行不斷地學習更新，需要大量的數(shù)據(jù)分析處理工作，要求管理員能夠總結(jié)出被保護系統(tǒng)的所有正常行為狀態(tài)，對系統(tǒng)的已知和期望行為進行全面的分析，因此配置難度相對比較大。但是，有些基于誤用檢測技術(shù)的入侵系統(tǒng)允許管理人員對入侵特征數(shù)據(jù)庫進行修改，甚至允許管理人員自己根據(jù)所發(fā)現(xiàn)的攻擊行為創(chuàng)建新的網(wǎng)絡入侵特征規(guī)則記錄，這種入侵檢測系統(tǒng)在系統(tǒng)配置方面的工作會顯著增加?；诋惓z測技術(shù)的入侵檢測系統(tǒng)所輸出的檢測結(jié)果，通常是在對實際行為輪廓進行異常分析等相關(guān)處理后得出的，這類入侵檢測系統(tǒng)的檢測報告通常會比基于誤用檢測技術(shù)的入侵檢測系統(tǒng)具有更多的數(shù)據(jù)量，因為任何超過行為輪廓范圍的時間都將被檢測出來并寫入報告。而大多數(shù)基于誤用檢測技術(shù)的入侵檢測系統(tǒng)，是將當前行為模式與已有行為模式進行匹配后產(chǎn)生檢測結(jié)論，其輸出內(nèi)容是列舉出入侵行為的類型和名稱，以及提供相應的處理建議。6、入侵檢測系統(tǒng)的優(yōu)點：1）可以檢測和分析系統(tǒng)事件以及用戶的行為。2）可以檢測系統(tǒng)設置的安全狀態(tài)。3）以系統(tǒng)的安全狀態(tài)為基礎，跟蹤任何對系統(tǒng)安全的修改操作。4）通過模式識別等技術(shù)從通信行為中檢測出已知的攻擊行為。5）可以對網(wǎng)絡通信行為進行統(tǒng)計，