網(wǎng)絡(luò)安全綜合概述

1、9. 1. 1網(wǎng)絡(luò)安全簡(jiǎn)介網(wǎng)絡(luò)是一條數(shù)據(jù)當(dāng)速公路，它專(zhuān)門(mén)用來(lái)增加對(duì)計(jì)算機(jī) 糸統(tǒng)的訪 問(wèn) 而安全性卻專(zhuān)門(mén)用來(lái)控制訪問(wèn)。提供網(wǎng)絡(luò)安 全性是在公開(kāi)訪問(wèn) 與控制訪問(wèn)之間的一種權(quán)衡舉措。在家里，通過(guò)鎖門(mén)為財(cái)產(chǎn)提高安全 性，而不是封鎖街道。同樣網(wǎng)絡(luò)安全性一般是指對(duì)單臺(tái)主機(jī)提壽合適 的安全性，而不 是直接在網(wǎng)絡(luò)上提當(dāng)安全性。計(jì)算機(jī)安全包括物理安全和邏輯安全。對(duì)于前者要加強(qiáng)計(jì)算機(jī)機(jī) 房的管理；而對(duì)于后者則需要用口令字丈件 許可或查悵等方法來(lái)賣(mài) 現(xiàn)。計(jì)算機(jī)安全的目標(biāo)是：在安全和通信方便之間建立平 衡。1. 2網(wǎng)絡(luò)安全的重要性計(jì)算機(jī)糸統(tǒng)經(jīng)常連到進(jìn)攻。燙令人不安的是大多數(shù)進(jìn) 攻未彼寨 覺(jué)。這些進(jìn)攻給國(guó)家安全帶來(lái)的影

2、響程度還未確 定，但已發(fā)現(xiàn)的進(jìn) 攻多數(shù)是針對(duì)計(jì)算茲糸統(tǒng)所存放的敘感 信息，其中三分之二的進(jìn)攻 是成功的，入侵者（黑念）盜竊、修改或破壞了糸統(tǒng)上的數(shù)據(jù)。網(wǎng)絡(luò)安全計(jì)算機(jī)安全技術(shù)9. 1網(wǎng)絡(luò)安全概述9. 1. 3信息糸統(tǒng)安全的脆弱性 信息糸統(tǒng)在安全方面存在 的問(wèn)題。1、操作糸統(tǒng)安全的脆弱性2 計(jì)算機(jī)網(wǎng)絡(luò)安全的脆弱性3、數(shù)據(jù)庫(kù)管理糸統(tǒng)安全的脆弱性4、缺少安全管理dBu墓墓網(wǎng)絡(luò)安全9. 1. 4安全控制的種類(lèi)可用于保護(hù)一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的安全控制有兩種，即內(nèi)部和外部 控制。1、內(nèi)部控制簡(jiǎn)單的說(shuō)內(nèi)部控制是對(duì)計(jì)算機(jī)糸統(tǒng)本身的控制。密碼、防火墻 和數(shù)據(jù)加瘡都屬于內(nèi)部控制。內(nèi)部控制只有與禁一級(jí)的外部控制相結(jié) 合時(shí)才

3、生效。2、外部控制外部控制指糸統(tǒng)本身無(wú)法控制的部分。外部控制總體 上有三 類(lèi)：物理控制人事控制程序控制9. 1網(wǎng)絡(luò)安全概述全勵(lì)法基本上說(shuō)，處理網(wǎng)絡(luò)的安全問(wèn)題有兩種方法。用戶或允進(jìn)禁人訪問(wèn)禁些資源，或者拒絕禁人訪問(wèn)這些資源。 于禁種裝置來(lái)說(shuō)，訪問(wèn)或者拒絕訪問(wèn)的標(biāo)準(zhǔn)是淮一的。1. 允許訪問(wèn)指定的用戶具有特權(quán)才能夠進(jìn)行訪問(wèn)。這些標(biāo)準(zhǔn)旌禁種程度上 應(yīng)該與資源共有的性質(zhì)相匹配。2. 拒絕訪問(wèn)拒絕訪問(wèn)是對(duì)禁一網(wǎng)絡(luò)資源訪問(wèn)的一個(gè)拒絕。3. 異常處理網(wǎng)絡(luò)安全中經(jīng)常同時(shí)使用上述兩種方法。JB9. 2. 1最小特權(quán)或許最根本的安全原則就是最小特權(quán)原則。最小特權(quán)原則意味 著任何對(duì)象僅應(yīng)具有該對(duì)象需要兒成指定任務(wù)的特

4、權(quán)，它能盡量逹免 你連受彳并減襲成霾央922縱深防御不要只依靠單一安全機(jī)制，盡量霆立多層機(jī)制。避免 禁個(gè)單一 安全苑制失敗后你的網(wǎng)絡(luò)會(huì)徹鹿地烽掉。9. 2. 3阻塞點(diǎn)阻塞點(diǎn)強(qiáng)迫侵裘者通過(guò)一個(gè)你可以監(jiān)控的窄小通道在 因特網(wǎng)安全糸統(tǒng)中，住于你的局域網(wǎng)和因特網(wǎng)之間的防火 墻（假諫它是你的主機(jī)和因特網(wǎng)之間的淮一連接丿就是這 樣一個(gè)阻塞點(diǎn)。安全椽護(hù)的基本原則是鏈的強(qiáng)度取決于W的最藩弱環(huán)節(jié)，就像墻 的堅(jiān)固程度取決于它的最弱點(diǎn)。聰朗的侵襄者 總要找出那個(gè)弱點(diǎn)并集 中精力對(duì)其進(jìn)行攻擊。你應(yīng)意識(shí)到 防御措施中的弱點(diǎn)，以便采取行動(dòng) 苗除它們，同時(shí)你也可以仔細(xì)監(jiān)測(cè)那些無(wú)法諂除的缺陷。平等對(duì)待安 全弩的所 有情況，以

5、使得此處與彼處的危險(xiǎn)性不會(huì)舌太大的差異。護(hù)狀態(tài)安全保護(hù)的另一個(gè)基本原則就是柱禁種程度上做到A效保護(hù)，即 如果糸統(tǒng)運(yùn)行錯(cuò)誤，秤么它們會(huì)停止服務(wù)，拒 絕用戶訪問(wèn)，這可能會(huì) 導(dǎo)致合法用戶無(wú)法訪問(wèn)該糸統(tǒng)，但 這是可接受的折衷方出。2. 6普遍參與為了使安全機(jī)制JI有效，絕大部分安全保護(hù)糸統(tǒng)要 求網(wǎng)絡(luò) 用戶的普遍歩與。如果禁個(gè)用戶可以輕易地從你的安全保護(hù)機(jī)制$退 出，那么侵彖者很有可能會(huì)先侵麥內(nèi)部 人員糸統(tǒng)，然后再?gòu)膬?nèi)部侵麥 你呼絡(luò)。哆樣化正如你可以通過(guò)使用大量的糸統(tǒng)提供縱深防彳卸一樣，你也可 以通過(guò)使用大量不同類(lèi)型的糸統(tǒng)得到額外的安全保護(hù)。如果你的糸統(tǒng) 都相同，那么只要知道怠樣侵入一個(gè)糸統(tǒng)就會(huì)知道怠樣

6、侵入所有糸 統(tǒng)。9. 2網(wǎng)絡(luò)安全策略9. 2. 8簡(jiǎn)單化簡(jiǎn)單化也是一個(gè)安全保護(hù)戰(zhàn)j略，這有兩個(gè)原因：第一，簡(jiǎn)單的 事情易于理解，如果你不了解禁事，你就不能真正了解它是否安全； 第二，復(fù)雜化會(huì)提供隱藏的角落和綻隙，一間工作室比一揀大廈JL 彖易保證其安全性。復(fù)雜程序有更多的小毛病，任何小毛病都可能引發(fā)安全問(wèn)題。9. 3. 1防火墻的作用Internet的迅速發(fā)畏為人們發(fā)布和檢索信息提供了方便，但它 也使污染和破壞信息變得JI家易。人們?yōu)榱吮Ｗo(hù)數(shù)據(jù)和脊源的安防火墻從本質(zhì)上來(lái)說(shuō)是一種保護(hù)裝置，用來(lái)保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶的步眷。防火墻服務(wù)用于多個(gè)目的：限定人們從一個(gè)特別的節(jié)A進(jìn)入。防止入侵者接近你的

7、防彳卸帚殳施。限定人們從一個(gè)特別的節(jié)點(diǎn)離開(kāi)。有效的阻止破壞者對(duì)你的計(jì)算機(jī)糸統(tǒng)進(jìn)行破壞。辰LH蟲(chóng)飛EI蠱區(qū)Lh謹(jǐn)龜從邏輯上講，防火墻是分禽器、限制器和分析器；從 物理角度 看，各個(gè)防火墻的物理賣(mài)現(xiàn)方式可以有所不同，它通常是一組硬件役 備（路由器、主機(jī)丿和軟件的多種組合。）P7火墻能強(qiáng)化安全策略 切火墻能仃赦地記錄因特網(wǎng)上的涪動(dòng) （：；）切火墻可以賣(mài)現(xiàn)網(wǎng)段控制 防火墻是-個(gè)安全策略的檢合站 丿、丿火墻的缺點(diǎn)： （1）防火墻不能防范惡意的知情者 不能防范不通航花防火墻不能防備全部的成脅(4)防火墻不能防范病毒防火墻要檢測(cè)隨機(jī)教據(jù)中的病毒十分困難，它要求: 確認(rèn)數(shù)據(jù)包是程序的一部分|確定程序的功能確毒

8、勒的防火墻通常具有以下幾種功能：I教據(jù)包過(guò)濾代理服務(wù)謁雷a 雷禺a(chǎn)1、教據(jù)包過(guò)濾教據(jù)包過(guò)濾糸統(tǒng)亦內(nèi)部網(wǎng)絡(luò)與外部主機(jī)之間發(fā)送教據(jù) 包，但它 們發(fā)送的數(shù)據(jù)包殳有選擇的。它們按照自已力診 全策略允許或阻止禁 些類(lèi)型的數(shù)據(jù)包通過(guò)，這種控制由路由器來(lái)完成，所以數(shù)據(jù)包過(guò)濾糸 統(tǒng)通常也稱(chēng)之為屛菽路由普通路由器只是簡(jiǎn)單地查看每一個(gè)數(shù)據(jù)包的目標(biāo)地址，然后選擇發(fā)往目標(biāo)地址的最佳路徑。處理數(shù)據(jù)包目標(biāo)地址 的方法一般有兩種:如果路由器知道如何將數(shù)據(jù)包發(fā)送到目標(biāo)地址，則 發(fā)送。如果路由器不知道如何將數(shù)擔(dān)包發(fā)送到目標(biāo)地址，則區(qū)回?cái)?shù)據(jù) 包，經(jīng)由ICMP向源地址發(fā)送不能到達(dá)的諂息（險(xiǎn)i二dl&ai屛蔽路由器有以下特點(diǎn)：屛蔽路

9、由器此普通的路由器擔(dān)負(fù)更大的責(zé)任，它不但要執(zhí)行轉(zhuǎn) 發(fā)任務(wù)，還要執(zhí)行確定轉(zhuǎn)發(fā)的任務(wù)。如果屏核路由器的安全保護(hù)失敗，內(nèi)部的網(wǎng)絡(luò)將被 暴療。簡(jiǎn)單的屛蔽路由器不能修改任務(wù)。屛扱路由器能允許或拒絕服務(wù)，但它不能保護(hù)服務(wù)之內(nèi)的單獨(dú) 操作。如果一個(gè)服務(wù)沒(méi)有提供安全的操作，或 者這個(gè)服務(wù)由不安全 的服務(wù)器提供，那么屛薇路由器就不 能保證它的安全。（服務(wù)器程序丿0防火墻主機(jī)可以是一個(gè)同時(shí)擁有內(nèi)部網(wǎng)絡(luò)接口和 外部網(wǎng)絡(luò)接口的雙重宿主主機(jī)，也可以臭一些內(nèi) 部網(wǎng)絡(luò)中淮一可以與因特網(wǎng)通信的堡壘主機(jī)。代理服務(wù)程序接受用戶對(duì)因特網(wǎng)服務(wù)的請(qǐng)求，并按照 安全策略 轉(zhuǎn)發(fā)它們的請(qǐng)求。所謂代理就是一個(gè)提供棒代連接幷且充當(dāng)服務(wù)的 網(wǎng)關(guān)。

10、由于這個(gè)原因，代理也稱(chēng)之為應(yīng)用級(jí)網(wǎng)關(guān)。代理服務(wù)住于內(nèi)部用戶和外部服務(wù)之間，它在幕后處理所有用 戶和因特網(wǎng)服務(wù)之間的通信，以代眷它們之間的直接交淡。9-3.3防大墻的體糸結(jié)構(gòu)防火墻的體糸結(jié)構(gòu)一般有以下幾種雙重宿主主機(jī)體糸結(jié)構(gòu)屛圾主機(jī)體糸結(jié)構(gòu)屛扱子網(wǎng)體糸結(jié)構(gòu)1.雙重宿主主機(jī)體糸結(jié)物雙重宿主主機(jī)體糸結(jié)構(gòu)是具有雙重宿主功能的主機(jī)而 構(gòu)筑的。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口， 一個(gè)是內(nèi)部網(wǎng)絡(luò) 接0 , 個(gè)是因特網(wǎng)接D。2、屏蔽主機(jī)體糸結(jié)物玖重豬主主機(jī)體糸結(jié)構(gòu)提供內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的服務(wù)（但是路由關(guān)閉丿，屛蔽主機(jī)體糸結(jié)構(gòu)使用一個(gè)單 獨(dú)的路由器來(lái)提 供內(nèi)部網(wǎng)絡(luò)主機(jī)之間的服務(wù)。亦這種體糸 結(jié)構(gòu)中，主要的安全機(jī)制

11、 由曹包過(guò)濾糸統(tǒng)來(lái)提供。屏蔽子網(wǎng)體糸結(jié)物在屛蔽主機(jī)體糸結(jié)構(gòu)的基礎(chǔ)上添加 額外的安 全號(hào) 它通過(guò)添加周邊網(wǎng)絡(luò)把內(nèi)部網(wǎng)絡(luò)更進(jìn)一步 地與因特網(wǎng)隔靂開(kāi)。堡壘主機(jī)內(nèi)部路由器 外部路由器4、防火墻體糸結(jié)構(gòu)的不同形式(D使用多堡壘主機(jī) 合并內(nèi)部路由器與外部路由器 合并堡壘主機(jī)與外部路由器合并堡壘主機(jī)與內(nèi)部路由器 使用多臺(tái)內(nèi)部路由器 使用多臺(tái)外部路由器 使用多個(gè)周邊網(wǎng)絡(luò)D使用玖重豬主主機(jī)與屛藪子網(wǎng)dBei|9. 3. 4內(nèi)部防火墻(D賣(mài)驗(yàn)喳網(wǎng)絡(luò) 不安全的網(wǎng)絡(luò) 特別安全的網(wǎng)絡(luò)合作共建防火墻 共享周邊網(wǎng)絡(luò) 堡壘主機(jī)可有可無(wú)III 9. 3. 5發(fā)展趨勢(shì)彼稱(chēng)為“第三代防火墻”的糸統(tǒng)正在成為現(xiàn)賣(mài)，它綜 合了數(shù)據(jù) 包過(guò)

12、濾與代理糸統(tǒng)的特點(diǎn)與功能。目前，人們正在設(shè)計(jì)新的IP協(xié)議（也菠稱(chēng)為IP version6） o IP協(xié)議的變化將對(duì)防火墻的建立與運(yùn)行產(chǎn)生深刻的影響， 犬多數(shù)網(wǎng)絡(luò)上的信息流都有可能菠世漏，但新式的網(wǎng)絡(luò)技術(shù)如幀中 繼、異步傳輸模式（ATM丿可將教據(jù)包從源地址直接發(fā)送給目的地 址，從而防止信息流在傳輸中涂彼泄療。 ifflu HU 網(wǎng)絡(luò)安全 mikTg寧9. 4. 1 Web 與 HTTP 協(xié)儀HTTP是應(yīng)用級(jí)的協(xié)儀，主要用于分布式、協(xié)作的超 嫖體信息 糸統(tǒng)。HTTP協(xié)議是通用的、無(wú)狀態(tài)的，其糸統(tǒng) 建設(shè)與傳輸?shù)臄?shù)據(jù) 無(wú)關(guān)。HTTP也是面向?qū)ο蟮膮f(xié)議，可用于各種任務(wù)，包括（并不 局限于丿名字服務(wù)、分布

13、式對(duì)象管理、請(qǐng)求方法的擴(kuò)謖和命令等 等。2、HTTP安全考慮3、安全起丈本傳輸協(xié)儀4、安全套接層5、緩存的安全性網(wǎng)絡(luò)安全 mikTg寧網(wǎng)絡(luò)安全6、CGI的權(quán)限問(wèn)題7、Plug-in的安全性9. 4. 5 SSL的加密的安全性SSL用公共密鑰加密，來(lái)在瘵戶與服務(wù)器之間交換一個(gè)進(jìn)程密 鑰，這個(gè)密鑰用來(lái)加密HTTP傳輸過(guò)程（包括請(qǐng) 求和響應(yīng)丿。毎次傳 輸采用不同的瘡鑰，因而即使禁些人 能夠破譯禁次傳輸，并不意味著 他們發(fā)現(xiàn)了服務(wù)器的密碼，如果他們想要破譯下一次，危們就必須付 出像第-次那樣的時(shí)間和努力。網(wǎng)絡(luò)安全9. 4. 6 Java 與 J avaScript Java applet的安全性問(wèn)題JavaScript的安全性問(wèn)題4. 7 ActiveX的女金性軟件的技術(shù)。像Java applet