電子商務(wù)安全：第2章 電子商務(wù)網(wǎng)絡(luò)安全

第2章電子商務(wù)網(wǎng)絡(luò)安全RSA2016大會2016年2月29日-3月4日，RSA美國大會將于美國舊金山莫斯康展覽中心舉行，本屆大會的主題為"ConnecttoProtect"——連接保護(hù)。技術(shù)發(fā)展的主要驅(qū)動(dòng)力之一，在于把新朋友和新思想相連的愿望。古騰堡印刷機(jī)通過印刷文字把人們聯(lián)系到一起;無線電使全球的新聞和文化得以傳播;電話使人們即使相隔千萬里也能夠?qū)崟r(shí)交談?，F(xiàn)在，互聯(lián)網(wǎng)鏈接我們的方式?jīng)]有人能夠想象的到。雖然即時(shí)連接的世界為我們提供了巨大的好處，但是它也有一個(gè)缺點(diǎn)，惡意攻擊者運(yùn)用越來越成熟的攻擊手段來竊取我們的數(shù)據(jù)，擾亂我的生活。25年前，RSA信息安全會議成立后，專業(yè)人員通過這個(gè)平臺可以相互溝通交流，共同應(yīng)對日益增長的網(wǎng)絡(luò)安全威脅。今天，RSA大會不僅促進(jìn)了信息安全領(lǐng)域的連接，而且在過去、現(xiàn)在和未來，也促進(jìn)了IT領(lǐng)域其他企業(yè)，與私營和公共部門的聯(lián)系。無數(shù)的想法從這里開始，大家通過共享知識與協(xié)作，促使這些想法成長形成更大的概念，用來更好的保護(hù)我們的數(shù)字世界。RSA加密算法發(fā)明人：美國密碼學(xué)家羅納德·李維斯特（RonaldL.Rivest）；世界著名密碼學(xué)家、圖靈獎(jiǎng)獲得者AdiShamir；以及世界著名密碼技術(shù)與安全技術(shù)專家WhitfieldDiffie，他還是“公鑰加密”概念的發(fā)明人；密碼學(xué)學(xué)者、資訊安全專家布魯斯·施耐爾等。熱門話題繼成為去年的大會焦點(diǎn)之后，物聯(lián)網(wǎng)安全再度成為RSA2016大會的主要話題之一。但專家指出，除了物聯(lián)網(wǎng)安全（IoT）之外，工控系統(tǒng)安全、工業(yè)物聯(lián)網(wǎng)、加密、人工智能和機(jī)器學(xué)習(xí)等也將是本屆大會的熱門話題。主要內(nèi)容1.防火墻技術(shù);2.IPsec協(xié)議和虛擬專用網(wǎng);3.網(wǎng)絡(luò)入侵檢測2.1網(wǎng)絡(luò)安全基礎(chǔ)2.1.1網(wǎng)絡(luò)安全體系

從層次體系上，可以將網(wǎng)絡(luò)安全分成四個(gè)層次上：1、物理安全；2、邏輯安全；3、操作系統(tǒng)安全；4、聯(lián)網(wǎng)安全。1、物理安全1)防盜；2)防火；3)防靜電；4)防雷擊；5)防電磁泄漏:電磁發(fā)射包括輻射發(fā)射和傳導(dǎo)發(fā)射。這兩種電磁發(fā)射可被高靈敏度的接收設(shè)備接收并進(jìn)行分析、還原，造成計(jì)算機(jī)的信息泄露。屏蔽是防電磁泄漏的有效措施2.邏輯安全計(jì)算機(jī)的邏輯安全需要用口令、文件許可等方法來實(shí)現(xiàn)。3.操作系統(tǒng)安全

操作系統(tǒng)是計(jì)算機(jī)中最基本、最重要的軟件。主要防止：一、病毒的威脅；二、黑客的破壞和侵入。

一些安全性較高、功能較強(qiáng)的操作系統(tǒng)可以為計(jì)算機(jī)的每一位用戶分配賬戶4.聯(lián)網(wǎng)安全1、訪問控制服務(wù)：用來保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用。2、通信安全服務(wù)：用來認(rèn)證數(shù)據(jù)機(jī)密性與完整性，以及各通信方的可信賴性。2.2.防火墻什么是防火墻？防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。

在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，可有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻示意圖Internet1.企業(yè)內(nèi)聯(lián)網(wǎng)2.部門子網(wǎng)3.分公司網(wǎng)絡(luò)防火墻的設(shè)計(jì)準(zhǔn)則1．防火墻的規(guī)則(1)凡是沒有被列為允許訪問的服務(wù)都是被禁止的(限制政策)只支持那些仔細(xì)選擇的服務(wù),建立一個(gè)非常安全的環(huán)境。其缺點(diǎn)是安全性的考慮優(yōu)于使用性的考慮，限制了提供給用戶的服務(wù)范圍。(2)凡是沒有被列為禁止訪問的服務(wù)都是被允許的(寬松政策)建立一個(gè)非常靈活的使用環(huán)境，能為用戶提供更多的服務(wù)。缺點(diǎn)是使用性的考慮優(yōu)于安全性的考慮.多數(shù)防火墻都在兩種之間采取折衷。

防火墻的類型包過濾型防火墻應(yīng)用網(wǎng)關(guān)防火墻包過濾模塊數(shù)據(jù)包過濾(PacketFiltering)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則，被稱為訪問控制表(AccessControlTable)。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議類型，或它們的組合等來確定是否允許該數(shù)據(jù)包通過。包過濾規(guī)則表

假設(shè)網(wǎng)絡(luò)安全策略規(guī)定：內(nèi)部網(wǎng)絡(luò)的E-mail服務(wù)器（IP地址為，TCP端口號為25）可以接收來自外部網(wǎng)絡(luò)用戶的所有電子郵件；允許內(nèi)部網(wǎng)絡(luò)用戶傳送到外部電子郵件服務(wù)器的電子郵件；拒絕所有與外部網(wǎng)絡(luò)中名字為TESTHOST主機(jī)的連接。

應(yīng)用程序代理充當(dāng)Web客戶機(jī)與Web服務(wù)器之間的媒介。用于接收來自客戶機(jī)的請求，當(dāng)接收到客戶機(jī)請求時(shí)，由應(yīng)用程序代理代表客戶機(jī)完成轉(zhuǎn)換地址，執(zhí)行附加訪問控制檢查，登錄（如果需要的話）并連接至服務(wù)器。應(yīng)用程序代理不允許內(nèi)外網(wǎng)絡(luò)之間的直接通信。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分。如果不為特定的應(yīng)用程序安裝代理程序代碼，這種服務(wù)是不會被支持的，不能建立任何連接。NATNAT：網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)協(xié)議將內(nèi)部網(wǎng)絡(luò)的多個(gè)IP地址轉(zhuǎn)換到一個(gè)公共地址并建立與Internet的連接。允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP（InternetProtocol）地址出現(xiàn)在Internet上。它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。進(jìn)行地址轉(zhuǎn)換有兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP，這可以使黑客無法直接攻擊內(nèi)部網(wǎng)絡(luò)；另一個(gè)好處是可以讓內(nèi)部使用保留的IP，這對許多IP不足的企業(yè)是有益的。網(wǎng)絡(luò)地址轉(zhuǎn)換NAT所有進(jìn)出的數(shù)據(jù)包進(jìn)行源與目的地址識別,并將由內(nèi)向外的數(shù)據(jù)包中源地址替換成一個(gè)真實(shí)地址(注冊過的合法地址),而將由外向內(nèi)的數(shù)據(jù)包中的目的地址替換成相應(yīng)的虛地址(內(nèi)部用的非注冊地址)。實(shí)例：內(nèi)部網(wǎng)使用虛擬地址空間為-55對外擁有真實(shí)注冊IP地址為-55假設(shè)內(nèi)網(wǎng)主機(jī)IH1與外網(wǎng)主機(jī)OHl建立聯(lián)系網(wǎng)關(guān)對外將其映射為一注冊的真實(shí)地址3,所以它的IP包頭中的IP地址在網(wǎng)關(guān)處被轉(zhuǎn)換成這一地址.于是會產(chǎn)生下圖a所示的IP數(shù)據(jù)包：經(jīng)網(wǎng)關(guān)后被轉(zhuǎn)換為圖b的形式

圖c為其返回的IP包形式

進(jìn)入網(wǎng)關(guān)后轉(zhuǎn)換為圖d的形式

網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的優(yōu)點(diǎn)起到隔離內(nèi)外網(wǎng)的作用,使得內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)、域名及地址信息對外成為不可見或不確定信息,從而保證了內(nèi)部網(wǎng)中主機(jī)的隱蔽性．使絕大多數(shù)攻擊性的試探失去所需的網(wǎng)絡(luò)條件；同時(shí)，節(jié)省了IP資源。防火墻的評價(jià)

--防火墻不可以防范什么防火墻不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個(gè)組成部分。防火墻不能防范繞過防火墻的攻擊，例:內(nèi)部提供撥號服務(wù)。防火墻不能防范來自內(nèi)部人員惡意的攻擊。防火墻不能阻止被病毒感染的程序或文件的傳遞。防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。例:特洛伊木馬。內(nèi)部提供撥號服務(wù)繞過防火墻防火墻的發(fā)展1.第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾（Packetfilter）技術(shù)。2.第二、三代防火墻1989年，貝爾實(shí)驗(yàn)室的DavePrescott和HowardTricky推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。3.第四代防火墻1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動(dòng)態(tài)包過濾（Dynamicpacketfilter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Statusinspection）技術(shù)。1994年，以色列的Checkpoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。4.第五代防火墻1998年，NAI公司推出了一種自適應(yīng)代理（Adaptiveproxy）技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。5.一體化安全網(wǎng)關(guān)UTMUTM統(tǒng)一威脅管理，在防火墻基礎(chǔ)上發(fā)展起來的，具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設(shè)備。由于同時(shí)開啟多項(xiàng)功能會大大降低UTM的處理性能，因此主要用于對性能要求不高的中低端領(lǐng)域。在中低端領(lǐng)域，UTM已經(jīng)出現(xiàn)了代替防火墻的趨勢，因?yàn)樵诓婚_啟附加功能的情況下，UTM本身就是一個(gè)防火墻，而附加功能又為用戶的應(yīng)用提供了更多選擇。在高端應(yīng)用領(lǐng)域，比如電信、金融等行業(yè)，仍然以專用的高性能防火墻、IPS為主流。防火墻和VPN防火墻的主要目的:在于判斷來源IP，阻止危險(xiǎn)或未經(jīng)授權(quán)的IP的訪問和交換數(shù)據(jù)。VPN主要解決的是:數(shù)據(jù)傳輸?shù)陌踩珕栴}，其目的在于內(nèi)部的敏感關(guān)鍵數(shù)據(jù)能夠安全地借助公共網(wǎng)絡(luò)進(jìn)行頻繁地交換。

以前，要想實(shí)現(xiàn)兩個(gè)遠(yuǎn)地網(wǎng)絡(luò)的互聯(lián)，主要是采用專線連接方式。VPN技術(shù)是利用Internet網(wǎng)絡(luò)模擬安全性較好的局域網(wǎng)的技術(shù)。簡單來說就是在數(shù)據(jù)傳送過程中加上了加密和認(rèn)證的網(wǎng)絡(luò)安全技術(shù)。vpn優(yōu)點(diǎn)2.3虛擬專用網(wǎng)VPN虛擬專用網(wǎng)VPN，就是建立在公共網(wǎng)絡(luò)上的私有專用網(wǎng)。它是一個(gè)利用基于公眾基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)，例如Internet，來建立一個(gè)安全的、可靠的和可管理的企業(yè)間通信的通道。VPN技術(shù)非常復(fù)雜，它涉及到通信技術(shù)、密碼技術(shù)和認(rèn)證技術(shù)，是一項(xiàng)交叉科學(xué).VPN使用實(shí)例某公司總部在北京，而上海和杭州各有分公司，MIS主管需要彼此之間能夠?qū)崟r(shí)交換數(shù)據(jù)，為了安全考慮和提高工作效率，使用VPN技術(shù)。（總公司路由器上開放兩個(gè)VPN賬戶，允許分公司路由器撥入，以建立VPN通道）Internet總部網(wǎng)絡(luò)LAN-to-LANVPN功能路由器分部網(wǎng)絡(luò)分部網(wǎng)絡(luò)2.3.1VPN簡介VPN可以提供的功能：防火墻功能、認(rèn)證、加密、隧道化。VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。常用的虛擬私人網(wǎng)絡(luò)協(xié)議有：IPsec協(xié)議、IKE協(xié)議（唯一已經(jīng)制定的密鑰交換協(xié)議）、PPTP（點(diǎn)到點(diǎn)隧道協(xié)議）。虛擬專用網(wǎng)VPN的三個(gè)關(guān)鍵安全：包括訪問控制、認(rèn)證和加密技術(shù)以保證網(wǎng)絡(luò)連接的安全、用戶的真實(shí)性和數(shù)據(jù)通信的隱秘及完整性；通信控制：包括帶寬管理和服務(wù)質(zhì)量管理以保證VPN的可靠和高速；管理：保證VPN和企業(yè)安全策略的集成，近程或遠(yuǎn)程集成的管理和解決方案的可伸縮性。VPN連接的示意圖

虛擬網(wǎng)組成后，出差員工和外地客戶甚至不必?fù)碛斜镜豂SP的上網(wǎng)權(quán)限就可以訪問企業(yè)內(nèi)部資源。這對于流動(dòng)性很大的出差員工和分布廣泛的客戶來說是很有意義的。2.3.2VPN協(xié)議點(diǎn)對點(diǎn)隧道協(xié)議PPTP(PointtoPointTunnelingProtocol)：1996年Microsoft和Ascend等在PPP協(xié)議上開發(fā)的。第二層轉(zhuǎn)發(fā)協(xié)議L2F(Layer2Forwarding)：1996年Cisco開發(fā)的。第二層隧道協(xié)議L2TP(Layer2TunnelingProtocol)：1997年底，Microsoft和Cisco共同開發(fā)。IPsec是第三層隧道協(xié)議隧道:隧道從一個(gè)VPN設(shè)備開始，通過路由器橫跨整個(gè)公網(wǎng)到達(dá)其他目標(biāo)VPN設(shè)備。通過數(shù)字證書來標(biāo)記整個(gè)隧道，并以此來鑒別屬于此VPN隧道。隧道處理的結(jié)果使得各種被傳輸?shù)男畔⒅挥蓄A(yù)定或被授權(quán)的接收者才能讀懂（解密）。

點(diǎn)對點(diǎn)隧道協(xié)議PPTP-PPP協(xié)議的一種擴(kuò)展客戶可以采用撥號方式接入公共的IP網(wǎng)。撥號客戶首先按常規(guī)方式撥號到ISP的接入服務(wù)器（NAS），建立PPP連接；在此基礎(chǔ)上，客戶進(jìn)行二次撥號建立到PPTP服務(wù)器的連接，該連接稱為PPTP隧道PPTP的最大優(yōu)勢是Microsoft公司的支持。另外一個(gè)優(yōu)勢是它支持流量控制。PPTP把建立隧道的主動(dòng)權(quán)交給了客戶，但客戶需要在其PC機(jī)上配置PPTP，這樣做既會增加用戶的工作量，又會造成網(wǎng)絡(luò)的安全隱患。

第二層轉(zhuǎn)發(fā)協(xié)議L2F遠(yuǎn)端用戶能夠通過任何撥號方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號到ISP的接入服務(wù)器（NAS），建立PPP連接；NAS根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。這種方式下，隧道的配置和建立對用戶是完全透明的。

第二層隧道協(xié)議L2TPL2TP結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶從客戶端或接入服務(wù)器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。L2TP的好處就在于支持多種協(xié)議.在安全性考慮上，L2TP僅僅定義了控制包的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。L2TP并不能滿足用戶對安全性的需求。如果需要安全的VPN，則依然需要IPsec.IPsec的工作原理

IPsec提供了比包過濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。

IPsec處理實(shí)際上是對IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。保證在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)包的機(jī)密性，真實(shí)性，完整性，保證通過Internet進(jìn)行通信的安全性。IPsec中的三個(gè)重要協(xié)議

Ipsec的主要功能是實(shí)現(xiàn)IP層的加密和認(rèn)證，為了進(jìn)行加密和認(rèn)證IPsec還提供了密鑰管理和交換的功能。這三個(gè)功能分別由三個(gè)協(xié)議來實(shí)現(xiàn)：

ESP（安全加載封裝）

AH（認(rèn)證協(xié)議頭）

IKE（互聯(lián)網(wǎng)密鑰交換）兩種工作模式：傳輸模式和隧道模式數(shù)據(jù)IP包頭數(shù)據(jù)IP包頭AH數(shù)據(jù)原IP包頭AH新IP包頭傳輸模式隧道模式AH協(xié)議ESP協(xié)議數(shù)據(jù)IP包頭加密后的數(shù)據(jù)IP包頭ESP頭部ESP頭新IP包頭傳輸模式隧道模式ESP尾部ESP驗(yàn)證ESP尾部ESP驗(yàn)證數(shù)據(jù)原IP包頭加密部分VPN的應(yīng)用針對不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN），這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet（外部擴(kuò)展）相對應(yīng)。AccessVPNAccessVPN最適用于公司內(nèi)部經(jīng)常有流動(dòng)人員遠(yuǎn)程辦公的情況。出差員工利用當(dāng)?shù)豂SP提供的VPN服務(wù)，就可以和公司的VPN網(wǎng)關(guān)建立私有的隧道連接。RADIUS服務(wù)器可對員工進(jìn)行驗(yàn)證和授權(quán)，保證連接的安全，同時(shí)負(fù)擔(dān)的電話費(fèi)用大大降低。AccessVPN對用戶的吸引力在于：1）減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費(fèi)用，簡化網(wǎng)絡(luò)；2）實(shí)現(xiàn)本地?fù)芴柦尤氲墓δ軄砣〈h(yuǎn)距離接入或800電話接入，這樣能顯著降低遠(yuǎn)距離通信的費(fèi)用；3）極大的可擴(kuò)展性，簡便地對加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度；4）遠(yuǎn)端驗(yàn)證撥入用戶服務(wù)（RADIUS）基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)；5）將工作重心從管理和保留運(yùn)作撥號網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來。IntranetVPN如果要進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)，使用IntranetVPN是很好的方式。IntranetVPN通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。IntranetVPN對用戶的吸引力在于：1）減少WAN帶寬的費(fèi)用；2）能使用靈活的拓?fù)浣Y(jié)構(gòu)，包括全網(wǎng)絡(luò)連接；3）新的站點(diǎn)能更快、更容易地被連接；4）通過設(shè)備供應(yīng)商WAN的連接冗余，可以延長網(wǎng)絡(luò)的可用時(shí)間。ExtranetVPN如果是提供B2B之間的安全訪問服務(wù)，則可以考慮ExtranetVPN。ExtranetVPN通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。ExtranetVPN對用戶的吸引力在于：能容易地對外部網(wǎng)進(jìn)行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠(yuǎn)端訪問VPN相同的架構(gòu)和協(xié)議進(jìn)行部署。主要的不同是接入許可，外部網(wǎng)的用戶被許可只有一次機(jī)會連接到其合作人的網(wǎng)絡(luò)。VPN技術(shù)應(yīng)用實(shí)例在單位有個(gè)私有地址為的網(wǎng)絡(luò)，各電腦是通過ADSL共享方式接入Internet，某職員在家中有臺電腦也通過ADSL訪問Internet，現(xiàn)在想在家中隨時(shí)安全地訪問單位這臺機(jī)器，如何通過VPN技術(shù)實(shí)現(xiàn)？

先在單位這臺機(jī)器上設(shè)置好VPN服務(wù)，在家中通過VPN客戶端訪問單位這臺機(jī)器，建立連接后，這兩臺機(jī)器通信時(shí)就像在局域網(wǎng)中一樣，比如：要在0這臺電腦中下載這臺機(jī)器的文件（假設(shè)該機(jī)已設(shè)好FTP服務(wù)），可以直接在瀏覽器中鍵入：下載文件了。雖然是通過Internet進(jìn)行通信，但整個(gè)過程都是加密的，就像是在Internet中穿了一條只有兩臺機(jī)器才能通過的隧道，這就是VPN(VirtualPrivateNetworks)虛擬專用網(wǎng)。設(shè)置VPN服務(wù)實(shí)現(xiàn)VPN的方式非常多，用帶VPN功能的路由器或用Linux、windows操作系統(tǒng)等，在windows系統(tǒng)下用雙網(wǎng)卡建立VPN服務(wù)器更容易實(shí)現(xiàn)、但要增加一塊網(wǎng)卡。在windows2003中用單網(wǎng)卡來實(shí)現(xiàn)。

配置服務(wù)器首先是在這臺機(jī)器上配置VPN服務(wù)。選擇“開始”‘“所有程序”’“管理工具”‘“路由和遠(yuǎn)程訪問”。設(shè)置過程如下圖所示：添加服務(wù)器選擇添加服務(wù)的主機(jī)出現(xiàn)上面的圖，就完成了單網(wǎng)的VPN服務(wù)器端的設(shè)置。從客戶端連接到VPN服務(wù)器

1、新建有撥入權(quán)限的用戶要登錄到VPN服務(wù)器，必須知道該服務(wù)器的一個(gè)有撥入權(quán)限的用戶，為了講得更明白，下面在該VPN服務(wù)器上新建個(gè)用戶并賦予該用戶撥入的權(quán)限，過程如后續(xù)圖。創(chuàng)建新用戶2、在本機(jī)測試連接

在遠(yuǎn)程連接到VPN服務(wù)器之前，最好先在VPN服務(wù)器的本機(jī)測試一下，測試過程如下：鼠標(biāo)右鍵“網(wǎng)上鄰居”，點(diǎn)擊“新建連接向?qū)А?，按后續(xù)圖的步驟建立連接。如果此時(shí)用ipconfig/all看網(wǎng)卡狀態(tài)，就會看見三個(gè)網(wǎng)卡，其中一個(gè)IP地址為的就是本機(jī)網(wǎng)卡，另外兩個(gè)是剛才做本機(jī)測試時(shí)建立的，它們的IP地址為169.x.xx.xxx..xxx，這是VPN默認(rèn)的IP地址，是正常的，不用管它。

建立新連接連接向?qū)нx擇虛擬專用網(wǎng)絡(luò)連接為連接命名輸入要連接的計(jì)算機(jī)名或IP3、遠(yuǎn)程連接前準(zhǔn)備在遠(yuǎn)程連接之前要做好兩個(gè)準(zhǔn)備：第一要獲得VPN服務(wù)器接入Internet的公共IP地址，如果是分配的靜態(tài)IP，那就簡單了，如果是動(dòng)態(tài)IP，那必須在遠(yuǎn)程能隨時(shí)獲得這個(gè)IP地址，本例如圖1，這臺機(jī)器的公網(wǎng)IP實(shí)際上就是ADSL貓接入Internet時(shí)，是ISP給自動(dòng)分配的。第二要做個(gè)端口映射，從該例的拓?fù)淇梢钥闯?，本例是通過在ADSL貓中通過NAT轉(zhuǎn)換接入Internet的，通過這種方式一定要在ADSL中作端口映射，由于windows2003的VPN服務(wù)用的是1723端口，所以如下圖，將1723端口映射到這臺設(shè)有VPN服務(wù)的機(jī)器。4、遠(yuǎn)程連接

上面的服務(wù)器中的測試完成后，就可以在家中進(jìn)行遠(yuǎn)程連接了，其過程和在本機(jī)連接測試的過程一樣。2.4入侵檢測

入侵檢測是繼防火墻之后的又一道防線。防火墻只能對黑客的攻擊實(shí)施被動(dòng)防御，一旦黑客攻入系統(tǒng)內(nèi)部，則沒有切實(shí)的防護(hù)策略，而入侵檢測系統(tǒng)則是針對這種情況而提出的又一道防線。2.4.1入侵檢測的基本概念入侵檢測（IntrusionDetection），顧名思義，就是對入侵行為的發(fā)覺。它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測。2.4.2入侵檢測實(shí)現(xiàn)的步驟1．信息收集入侵檢測利用的信息一般來自以下四個(gè)方面：1）系統(tǒng)和網(wǎng)絡(luò)日志文件2）目錄和文件中的不期望的改變3）程序執(zhí)行中的不期望行為4）物理形式的入侵信息2．?dāng)?shù)據(jù)分析（1）模式匹配（2）統(tǒng)計(jì)分析（3）完整性分析3．響應(yīng)包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等2.4.3入侵檢測技術(shù)入侵檢測按照分析方法/檢測原理通常分為異常檢測和誤用檢測兩種。1．異常檢測基于統(tǒng)計(jì)分析原理。首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），試圖用定量的方式加以描述，當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。前提：入侵是異常活動(dòng)的子集。指標(biāo)：漏報(bào)率低，誤報(bào)率高。用戶輪廓(Profile)：通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍。特點(diǎn)：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率；不需要對每種入侵行為進(jìn)行定義，因此能有效檢測未知的入侵；系統(tǒng)能針對用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源。2.誤用檢測基于模式匹配原理。收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。前提：所有的入侵行為都有可被檢測到的特征。指標(biāo)：誤報(bào)低、漏報(bào)高。攻擊特征庫：當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。特點(diǎn)：采用模式匹配，誤用模式能明顯降低誤報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會使得誤用檢測無能為力。基于主機(jī)入侵檢測系統(tǒng)HIDS工作原理Internet網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容：系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志HIDSXHIDSInternetNIDS基于網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶