電子商務(wù)安全技術(shù)實(shí)用教程第3章課件

第三章網(wǎng)絡(luò)安全技術(shù)3.1網(wǎng)絡(luò)安全技術(shù)概述3.2防火墻技術(shù)3.3入侵檢測(cè)系統(tǒng)IDS3.4虛擬專(zhuān)用網(wǎng)VPN3.5防病毒技術(shù)第三章網(wǎng)絡(luò)安全技術(shù)3.1網(wǎng)絡(luò)安全技術(shù)概述13.1網(wǎng)絡(luò)安全技術(shù)概述3.1.1網(wǎng)絡(luò)安全技術(shù)的概念1.網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷，保障網(wǎng)絡(luò)信息的保密性、完整性、可用性、可控性、可審查性。與其他概念不同，網(wǎng)絡(luò)安全的具體定義和側(cè)重點(diǎn)會(huì)隨著觀察者的角度而不斷變化。3.1網(wǎng)絡(luò)安全技術(shù)概述3.1.1網(wǎng)絡(luò)安全技術(shù)的概念22.網(wǎng)絡(luò)安全的特征（1）保密性：也稱(chēng)機(jī)密性，是強(qiáng)調(diào)有用信息只被授權(quán)對(duì)象使用的安全特征。（2）完整性：是指信息在傳輸、交換、存儲(chǔ)和處理過(guò)程中，保持信息不被破壞或修改、不丟失和信息未經(jīng)授權(quán)不能改變的特性。（3）可用性：也稱(chēng)有效性，指信息資源可被授權(quán)實(shí)體按要求訪問(wèn)、正常使用或在非正常情況下能恢復(fù)使用的特性。（4）可控性：是指信息系統(tǒng)對(duì)信息內(nèi)容和傳輸具有控制能力的特性，指網(wǎng)絡(luò)系統(tǒng)中的信息在一定傳輸范圍和存放空間內(nèi)可控程度。（5）可審查性：又稱(chēng)拒絕否認(rèn)性、抗抵賴(lài)性或不可否認(rèn)性，指網(wǎng)絡(luò)通信雙方在信息交互過(guò)程中，確信參與者本身和所提供的信息真實(shí)同一性。2.網(wǎng)絡(luò)安全的特征（1）保密性：也稱(chēng)機(jī)密性，是強(qiáng)調(diào)有用信息33.網(wǎng)絡(luò)安全的目標(biāo)（1）運(yùn)行系統(tǒng)的安全；（2）網(wǎng)絡(luò)上系統(tǒng)信息的安全；（3）網(wǎng)絡(luò)上信息傳播安全；（4）網(wǎng)絡(luò)上信息內(nèi)容的安全3.網(wǎng)絡(luò)安全的目標(biāo)（1）運(yùn)行系統(tǒng)的安全；43.1.2網(wǎng)絡(luò)安全隱患（1）開(kāi)放網(wǎng)絡(luò)環(huán)境：主要是指Internet中向公眾開(kāi)放的各種信息服務(wù)系統(tǒng)或網(wǎng)站，網(wǎng)站與Internet連接,信息內(nèi)容完全開(kāi)放，任何客戶(hù)都可以通過(guò)Internet瀏覽網(wǎng)站上的信息。這種網(wǎng)絡(luò)應(yīng)用是開(kāi)放的，它所面臨的安全風(fēng)險(xiǎn)是拒絕服務(wù)(Dos)、篡改網(wǎng)頁(yè)內(nèi)容以及被非法利用等。

（2）專(zhuān)用網(wǎng)絡(luò)環(huán)境：主要是指基于Inernet互連的專(zhuān)用網(wǎng),如企業(yè)網(wǎng)、金融網(wǎng)、商務(wù)網(wǎng)等,專(zhuān)用網(wǎng)通過(guò)防火墻與Internet連接，網(wǎng)絡(luò)資源只向授權(quán)的用戶(hù)開(kāi)放，他們可以通過(guò)Internet訪問(wèn)專(zhuān)用網(wǎng)上的信息資源。這種網(wǎng)絡(luò)應(yīng)用是半開(kāi)放的，它所面臨的安全風(fēng)險(xiǎn)是假冒合法用戶(hù)獲取信息以及在信息傳輸過(guò)程中非法截獲或者篡改信息等。

（3）私用網(wǎng)絡(luò)環(huán)境：主要是指與Internet完全隔離的內(nèi)部網(wǎng)，如政務(wù)網(wǎng)、軍用網(wǎng)等，私用網(wǎng)與Internet是物理隔離的，網(wǎng)絡(luò)資源只向授權(quán)的內(nèi)部網(wǎng)用戶(hù)開(kāi)放，他們只能通過(guò)內(nèi)部網(wǎng)訪問(wèn)網(wǎng)絡(luò)中的信息資源。這種網(wǎng)絡(luò)應(yīng)用是封閉的，它所面臨的安全風(fēng)險(xiǎn)是內(nèi)部用戶(hù)的非授權(quán)訪問(wèn),竊取和泄漏機(jī)密信息等。3.1.2網(wǎng)絡(luò)安全隱患（1）開(kāi)放網(wǎng)絡(luò)環(huán)境：53.1.3網(wǎng)絡(luò)安全層次（1）實(shí)體安全：也稱(chēng)物理安全，指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒介免遭地震、水災(zāi)、火災(zāi)、有害氣體、電磁輻射、系統(tǒng)掉電和其他環(huán)境事故破壞的措施及過(guò)程。（2）運(yùn)行安全：包括網(wǎng)絡(luò)運(yùn)行和網(wǎng)絡(luò)訪問(wèn)控制的安全,如設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離、備份系統(tǒng)實(shí)現(xiàn)系統(tǒng)的恢復(fù)。（3）系統(tǒng)安全：包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)系統(tǒng)安全和網(wǎng)絡(luò)系統(tǒng)安全。（4）應(yīng)用安全：由應(yīng)用軟件開(kāi)發(fā)平臺(tái)安全和應(yīng)用系統(tǒng)數(shù)據(jù)安全兩部分組成。（5）管理安全：主要指對(duì)人員及網(wǎng)絡(luò)系統(tǒng)安全管理的各種法律、法規(guī)、政策、策略、規(guī)范、標(biāo)準(zhǔn)、技術(shù)手段、機(jī)制和措施等內(nèi)容。3.1.3網(wǎng)絡(luò)安全層次（1）實(shí)體安全：也稱(chēng)物理安全，指保護(hù)63.1.4網(wǎng)絡(luò)安全技術(shù)（1）防火墻技術(shù)（2）入侵檢測(cè)技術(shù)（3）虛擬專(zhuān)用網(wǎng)技術(shù)（4）認(rèn)證技術(shù)（5）病毒防范技術(shù)另外保障網(wǎng)絡(luò)的信息安全、系統(tǒng)安全、應(yīng)用安全還涉及到安全漏洞掃描技術(shù)、網(wǎng)絡(luò)嗅探技術(shù)、數(shù)據(jù)加密技術(shù)、訪問(wèn)控制技術(shù)、安全審計(jì)技術(shù)等等。3.1.4網(wǎng)絡(luò)安全技術(shù)（1）防火墻技術(shù)73.2防火墻技術(shù)3.2.1防火墻的概念1.防火墻的定義防火墻是位于被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件，構(gòu)成一道屏障，以防止發(fā)生對(duì)被保護(hù)網(wǎng)絡(luò)的不可預(yù)測(cè)的、潛在破壞性的侵?jǐn)_。通過(guò)安全規(guī)則來(lái)控制外部用戶(hù)對(duì)內(nèi)部網(wǎng)資源的訪問(wèn)。在邏輯上，防火墻是分離器，限制器，也是一個(gè)分析器。在物理上，防火墻通常是一組硬件設(shè)備。3.2防火墻技術(shù)3.2.1防火墻的概念8圖3-1一個(gè)典型的防火墻使用形態(tài)圖3-1一個(gè)典型的防火墻使用形態(tài)92.防火墻的功能（1）監(jiān)控并限制訪問(wèn)：防火墻通過(guò)采取控制進(jìn)出內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)包的方法，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上數(shù)據(jù)包的狀態(tài)，并對(duì)這些狀態(tài)加以分析和處理。（2）控制協(xié)議和服務(wù)：防火墻對(duì)相關(guān)協(xié)議和服務(wù)進(jìn)行控制，從而大大降低了因某種服務(wù)、協(xié)議的漏洞而引起安全事故的可能性。（3）保護(hù)內(nèi)部網(wǎng)絡(luò)：針對(duì)受保護(hù)的內(nèi)部網(wǎng)絡(luò)，防火墻能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的漏洞，對(duì)訪問(wèn)進(jìn)行限制。（4）網(wǎng)絡(luò)地址轉(zhuǎn)換：NAT可以緩解目前IP地址緊缺的局面、屏蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和信息、保證內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性。（5）日志記錄與審計(jì)：當(dāng)防火墻系統(tǒng)被配置為所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接均需經(jīng)過(guò)的安全節(jié)點(diǎn)時(shí)，防火墻會(huì)對(duì)所有的網(wǎng)絡(luò)請(qǐng)求做出日志記錄。2.防火墻的功能（1）監(jiān)控并限制訪問(wèn)：防火墻通過(guò)采取控制進(jìn)出10防火墻應(yīng)用的局限性（1）不能防范不經(jīng)過(guò)防火墻的攻擊（2）不能解決來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊和安全問(wèn)題（3）不能防止受病毒感染的文件的傳輸（4）不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊（5）不能防止系統(tǒng)安全體系不完善的攻擊防火墻應(yīng)用的局限性（1）不能防范不經(jīng)過(guò)防火墻的攻擊113.防火墻的安全策略（1）一切未被允許的都是禁止的（限制政策）防火墻只允許用戶(hù)訪問(wèn)開(kāi)放的服務(wù),其它未開(kāi)放的服務(wù)都是禁止的。這種策略比較安全，因?yàn)樵试S訪問(wèn)的服務(wù)都是經(jīng)過(guò)篩選的,但限制了用戶(hù)使用的便利性。（2）一切未被禁止的都是允許的（寬松政策）防火墻允許用戶(hù)訪問(wèn)一切未被禁止的服務(wù),除非某項(xiàng)服務(wù)被明確地禁止。這種策略比較靈活,可為用戶(hù)提供更多的服務(wù),但安全性要差一些。3.防火墻的安全策略（1）一切未被允許的都是禁止的（限制政策123.2.2防火墻的分類(lèi)與技術(shù)1．防火墻的分類(lèi)（1）軟件防火墻與硬件防火墻（2）主機(jī)防火墻與網(wǎng)絡(luò)防火墻2.防火墻的技術(shù)（1）包過(guò)濾技術(shù)（2）代理服務(wù)技術(shù)（3）狀態(tài)檢測(cè)技術(shù)（4）NAT技術(shù)3.2.2防火墻的分類(lèi)與技術(shù)1．防火墻的分類(lèi)133.2.3防火墻的應(yīng)用模式1.包過(guò)濾防火墻這種模式采用單一的分組過(guò)濾型防火墻或狀態(tài)檢測(cè)型防火墻來(lái)實(shí)現(xiàn)。通常，防火墻功能由帶有防火墻模塊的路由器提供，所以也稱(chēng)為屏蔽路由器。3.2.3防火墻的應(yīng)用模式1.包過(guò)濾防火墻14表3-1：包過(guò)濾防火墻規(guī)則示例：（1）內(nèi)部主機(jī)任何端口訪問(wèn)任何主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過(guò)。（2）任何主機(jī)的20端口訪問(wèn)主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過(guò)。（3）任何主機(jī)的20端口訪問(wèn)主機(jī)小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過(guò)（與1、2作為系列規(guī)則時(shí)該規(guī)則無(wú)效）。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類(lèi)型1允許***TCP2允許*20*TCP3禁止*20<1024TCP表3-1：包過(guò)濾防火墻規(guī)則示例：（1）內(nèi)部主機(jī)52.雙穴主機(jī)防火墻這種模式采用單一的代理服務(wù)型防火墻來(lái)實(shí)現(xiàn)。防火墻由一個(gè)運(yùn)行代理服務(wù)軟件的主機(jī)（即堡壘主機(jī)）實(shí)現(xiàn),該主機(jī)具有兩個(gè)網(wǎng)絡(luò)接口（稱(chēng)為雙穴主機(jī)）2.雙穴主機(jī)防火墻這種模式采用單一的代理服務(wù)型防火墻來(lái)實(shí)現(xiàn)。163.屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻一般由一個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)組成,一個(gè)外部包過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。這種模式采用雙重防火墻來(lái)實(shí)現(xiàn)，一個(gè)是屏蔽路由器，構(gòu)成內(nèi)部網(wǎng)第一道屏障；另一個(gè)是堡壘主機(jī)，構(gòu)成內(nèi)部網(wǎng)第二道屏障。3.屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻一般由一個(gè)包過(guò)濾路由器和一個(gè)174.屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系（周邊網(wǎng)絡(luò)）。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開(kāi)。非軍事區(qū)DMZ：屏蔽子網(wǎng)防火墻在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開(kāi)，兩個(gè)包過(guò)濾路由器放置在子網(wǎng)的兩端，形成的子網(wǎng)構(gòu)成一個(gè)“非軍事區(qū)”。4.屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)183.2.4個(gè)人防火墻1．個(gè)人防火墻的概念個(gè)人防火墻是一套安裝在個(gè)人計(jì)算機(jī)上的軟件系統(tǒng)，它能夠監(jiān)視計(jì)算機(jī)的通信狀況，一旦發(fā)現(xiàn)有對(duì)計(jì)算機(jī)產(chǎn)生危險(xiǎn)的通信就會(huì)報(bào)警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實(shí)現(xiàn)對(duì)個(gè)人計(jì)算機(jī)上重要數(shù)據(jù)的安全保護(hù)。比如：瑞星，賽門(mén)鐵克，天網(wǎng)防火墻，冰盾DDOS防火墻等等。2．個(gè)人防火墻的主要功能（1）防止Internet上用戶(hù)的攻擊（2）阻斷木馬及其他惡意軟件的攻擊（3）為移動(dòng)計(jì)算機(jī)提供安全保護(hù)（4）與其他安全產(chǎn)品進(jìn)行集成3．Windows防火墻3.2.4個(gè)人防火墻1．個(gè)人防火墻的概念193.3入侵檢測(cè)技術(shù)3.3.1入侵檢測(cè)系統(tǒng)的概念1.入侵檢測(cè)系統(tǒng)的定義入侵檢測(cè)系統(tǒng)IDS（IntrusionDetectionSystem）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。入侵檢測(cè)系統(tǒng)是對(duì)防火墻的合理補(bǔ)充，是一個(gè)實(shí)時(shí)的網(wǎng)絡(luò)違規(guī)識(shí)別和響應(yīng)系統(tǒng)，是繼防火墻之后的又一道防線。3.3入侵檢測(cè)技術(shù)3.3.1入侵檢測(cè)系統(tǒng)的概念202.入侵檢測(cè)系統(tǒng)的功能（1）監(jiān)測(cè)、分析用戶(hù)和系統(tǒng)的活動(dòng)；（2）核查系統(tǒng)配置和漏洞；（3）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；（4）識(shí)別已知的攻擊行為并采取適當(dāng)?shù)拇胧?；?）統(tǒng)計(jì)分析異常行為；（6）審計(jì)操作系統(tǒng)日志，識(shí)別違反安全策略的行為。2.入侵檢測(cè)系統(tǒng)的功能（1）監(jiān)測(cè)、分析用戶(hù)和系統(tǒng)的活動(dòng)；213.IDS的分類(lèi)（1）基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）（2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）（3）分布式入侵檢測(cè)系統(tǒng)（DIDS）3.IDS的分類(lèi)（1）基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）223.3.2入侵檢測(cè)系統(tǒng)的工作原理IDS的組成：事件發(fā)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫(kù)IDS的工作流程：第一步，網(wǎng)絡(luò)數(shù)據(jù)包的獲取（混雜模式）；第二步，網(wǎng)絡(luò)數(shù)據(jù)包的解碼（協(xié)議分析）；第三步，網(wǎng)絡(luò)數(shù)據(jù)包的檢查（誤用檢測(cè)）；第四步，網(wǎng)絡(luò)數(shù)據(jù)包的統(tǒng)計(jì)（異常檢測(cè)）；第五步，網(wǎng)絡(luò)數(shù)據(jù)包的審查（事件生成）；第六步，網(wǎng)絡(luò)數(shù)據(jù)包的處理（報(bào)警和響應(yīng)）。3.3.2入侵檢測(cè)系統(tǒng)的工作原理IDS的組成：233.IDS的檢查技術(shù)（1）靜態(tài)配置分析技術(shù)靜態(tài)配置分析是通過(guò)檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。（2）誤用檢測(cè)技術(shù)通過(guò)檢測(cè)用戶(hù)行為中的那些與某些已知的入侵行為模式類(lèi)似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來(lái)檢測(cè)系統(tǒng)中的入侵活動(dòng)，是一種基于已有的知識(shí)的檢測(cè)。（3）異常檢測(cè)技術(shù)通過(guò)對(duì)系統(tǒng)審計(jì)數(shù)據(jù)的分析建立起系統(tǒng)主體（用戶(hù)、主機(jī)、程序、文件等）的正常行為特征輪廓；3.IDS的檢查技術(shù)（1）靜態(tài)配置分析技術(shù)243.3.3入侵檢測(cè)系統(tǒng)的應(yīng)用圖3-8入侵檢測(cè)系統(tǒng)一般部署圖圖3-9IDS引擎分布圖3.3.3入侵檢測(cè)系統(tǒng)的應(yīng)用圖3-8入侵檢測(cè)系統(tǒng)一般部253.4虛擬專(zhuān)用網(wǎng)技術(shù)3.4.1虛擬專(zhuān)用網(wǎng)的概念虛擬專(zhuān)用網(wǎng)VPN，就是建立在公共網(wǎng)絡(luò)上的私有專(zhuān)用網(wǎng)。它是一個(gè)利用基于公眾基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)，來(lái)建立一個(gè)安全的、可靠的和可管理的企業(yè)間通信的通道。3.4虛擬專(zhuān)用網(wǎng)技術(shù)3.4.1虛擬專(zhuān)用網(wǎng)的概念26圖3-10VPN實(shí)例圖VPN使用實(shí)例：某公司總部在北京，而上海和杭州各有分公司，MIS主管需要彼此之間能夠?qū)崟r(shí)交換數(shù)據(jù)，為了安全考慮和提高工作效率，使用VPN技術(shù)。（總公司路由器上開(kāi)放兩個(gè)VPN賬戶(hù)，允許分公司路由器撥入，以建立VPN通道）。圖3-10VPN實(shí)例圖VPN使用實(shí)例：某公司總部在北京，而273.4.2VPN的工作原理1.VPN的協(xié)議（1）點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP（PointtoPointTunnelingProtocol）是1996年Microsoft和Ascend等在PPP協(xié)議上開(kāi)發(fā)的，是PPP的一種擴(kuò)展。客戶(hù)可以采用撥號(hào)方式接入公共的IP網(wǎng)。撥號(hào)客戶(hù)首先按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器，建立PPP連接；在此基礎(chǔ)上，客戶(hù)進(jìn)行二次撥號(hào)建立到PPTP服務(wù)器的連接，該連接稱(chēng)為PPTP隧道。（2）第二層轉(zhuǎn)發(fā)協(xié)議L2F（Layer2Forwarding）是1996年Cisco開(kāi)發(fā)的。遠(yuǎn)端用戶(hù)能夠通過(guò)任何撥號(hào)方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器，建立PPP連接；接入服務(wù)器根據(jù)用戶(hù)名等信息發(fā)起第二次連接，呼叫用戶(hù)網(wǎng)絡(luò)的服務(wù)器。（3）第二層隧道協(xié)議L2TP（Layer2TunnelingProtocol）是1997年底由Microsoft和Cisco共同開(kāi)發(fā)。L2TP結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶(hù)從客戶(hù)端或接入服務(wù)器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。3.4.2VPN的工作原理1.VPN的協(xié)議282.VPN的實(shí)現(xiàn)方法（1）MPLSVPN：是一種基于MPLS技術(shù)的IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS（MultiprotocolLabelSwitching，多協(xié)議標(biāo)記交換）技術(shù)，簡(jiǎn)化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專(zhuān)用網(wǎng)絡(luò)（IPVPN）（2）SSLVPN：是以HTTPS（安全的HTTP）為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間。（3）IPSecVPN：是基于IPSec協(xié)議的VPN技術(shù)，由IPSec協(xié)議提供隧道安全保障。2.VPN的實(shí)現(xiàn)方法（1）MPLSVPN：是一種基于MPL293.4.3VPN的應(yīng)用環(huán)境遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（AccessVPN）企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN）3.4.3VPN的應(yīng)用環(huán)境遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（AccessV303.5防病毒技術(shù)3.5.1.病毒的基本概念1.病毒的概念病毒指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。從廣義上講，凡是人為編制的、干擾計(jì)算機(jī)正常運(yùn)行并造成計(jì)算機(jī)軟硬件故障，甚至破壞計(jì)算機(jī)數(shù)據(jù)的、可自我復(fù)制的計(jì)算機(jī)程序或指令集合都是計(jì)算機(jī)病毒。從這個(gè)概念來(lái)說(shuō)計(jì)算機(jī)病毒就是惡意代碼。從狹義上講，具有病毒特征的惡意代碼稱(chēng)為計(jì)算機(jī)病毒。所謂病毒特征就是生物界所具有的病毒特征是一樣的。3.5防病毒技術(shù)3.5.1.病毒的基本概念31表3-2常見(jiàn)的惡意代碼表惡意代碼類(lèi)型定義特點(diǎn)病毒在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)、影響計(jì)算機(jī)使用，并能夠自我復(fù)制的程序傳染性、破壞性、潛伏性蠕蟲(chóng)能夠銅鑼網(wǎng)絡(luò)自我復(fù)制、消耗計(jì)算機(jī)資源和網(wǎng)絡(luò)資源的惡意程序掃描、攻擊、傳播木馬能夠與遠(yuǎn)程計(jì)算機(jī)建立連接，使遠(yuǎn)程計(jì)算機(jī)能遠(yuǎn)程控制本地計(jì)算機(jī)的惡意代碼欺騙、隱藏、竊取信息后門(mén)能夠避開(kāi)計(jì)算機(jī)的安全控制，使遠(yuǎn)程計(jì)算機(jī)能夠連接本地計(jì)算機(jī)的程序潛伏邏輯炸彈能夠嵌入計(jì)算機(jī)程序、通過(guò)一定條件觸發(fā)破壞的程序潛伏、破壞表3-2常見(jiàn)的惡意代碼表惡意代碼類(lèi)型定義特點(diǎn)病毒在計(jì)算機(jī)程322.病毒的特征（1）非授權(quán)性（2）隱蔽性（3）傳染性（4）潛伏性（5）破壞性（6）可觸發(fā)性（7）針對(duì)性（8）與黑客技術(shù)的結(jié)合性2.病毒的特征（1）非授權(quán)性333．病毒的分類(lèi)（1）文件傳染源病毒（2）引導(dǎo)扇區(qū)病毒（3）宏病毒（4）復(fù)合型病毒3．病毒的分類(lèi)（1）文件傳染源病毒343.5.2病毒檢測(cè)技術(shù)（1）特征碼檢測(cè)法計(jì)算機(jī)病毒是一種人為編寫(xiě)的特殊的程序代碼，不同病毒之間在代碼上都存在著差異性。（2）校驗(yàn)和檢測(cè)法使用校驗(yàn)和檢測(cè)法對(duì)被查的對(duì)象（文件或一段程序代碼）計(jì)算在正常狀態(tài)時(shí)的校驗(yàn)和，并將校驗(yàn)和寫(xiě)入指定的文件中。（3）行為監(jiān)測(cè)法行為監(jiān)測(cè)法是指利用病毒的特有行為特征來(lái)監(jiān)測(cè)病毒的一種方法。（4）軟件模擬法是指用軟件來(lái)模擬和分析程序的執(zhí)行過(guò)程和結(jié)果。3.5.2病毒檢測(cè)技術(shù)（1）特征碼檢測(cè)法353.5.3病毒的防范方法1．非網(wǎng)絡(luò)傳播型病毒的防范方法（1）安裝專(zhuān)業(yè)的反病毒軟件，對(duì)存儲(chǔ)介質(zhì)進(jìn)行定期的查、殺病毒操作。（2）安裝和啟用防火墻軟件，避免某些利用操作系統(tǒng)和軟件漏洞的病毒和惡意代碼侵入計(jì)算機(jī)系統(tǒng)。（3）使用不明來(lái)路的磁盤(pán)中的數(shù)據(jù)（軟件）前，應(yīng)先進(jìn)行查、條病毒操作，確認(rèn)無(wú)病毒后再使用。3.5.3病毒的防范方法1．非網(wǎng)絡(luò)傳播型病毒的防范方法363.5.3病毒的防范方法2．網(wǎng)絡(luò)傳播型病毒的防范方法（1）安裝反病毒軟件（2）及時(shí)修補(bǔ)操作系統(tǒng)和應(yīng)用軟件的漏洞（3）安裝網(wǎng)絡(luò)防火墻（4）常備工具軟件（5）建議禁用操作系統(tǒng)中的自動(dòng)運(yùn)行功能（6）對(duì)于來(lái)路不明的可疑郵件附件不要直接打開(kāi)（7）不要貪圖免費(fèi)軟件（8）不瀏覽非法網(wǎng)站3.5.3病毒的防范方法2．網(wǎng)絡(luò)傳播型病毒的防范方法37本章小結(jié)網(wǎng)絡(luò)安全的主要技術(shù)包括：防火墻技術(shù)、VPN技術(shù)、入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)隔離技術(shù)和反病毒技術(shù)等。本章對(duì)這些網(wǎng)絡(luò)安全主流技術(shù)的相關(guān)概念、工作原理、基本模型和實(shí)現(xiàn)方式進(jìn)行了系統(tǒng)介紹。考慮到實(shí)現(xiàn)網(wǎng)絡(luò)安全具有一定的復(fù)雜性和動(dòng)態(tài)性，對(duì)網(wǎng)絡(luò)安全技術(shù)的研究依然任重道遠(yuǎn)。本章小結(jié)網(wǎng)絡(luò)安全的主要技術(shù)包括：防火墻技術(shù)、VPN技術(shù)、入侵38第三章網(wǎng)絡(luò)安全技術(shù)3.1網(wǎng)絡(luò)安全技術(shù)概述3.2防火墻技術(shù)3.3入侵檢測(cè)系統(tǒng)IDS3.4虛擬專(zhuān)用網(wǎng)VPN3.5防病毒技術(shù)第三章網(wǎng)絡(luò)安全技術(shù)3.1網(wǎng)絡(luò)安全技術(shù)概述393.1網(wǎng)絡(luò)安全技術(shù)概述3.1.1網(wǎng)絡(luò)安全技術(shù)的概念1.網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷，保障網(wǎng)絡(luò)信息的保密性、完整性、可用性、可控性、可審查性。與其他概念不同，網(wǎng)絡(luò)安全的具體定義和側(cè)重點(diǎn)會(huì)隨著觀察者的角度而不斷變化。3.1網(wǎng)絡(luò)安全技術(shù)概述3.1.1網(wǎng)絡(luò)安全技術(shù)的概念402.網(wǎng)絡(luò)安全的特征（1）保密性：也稱(chēng)機(jī)密性，是強(qiáng)調(diào)有用信息只被授權(quán)對(duì)象使用的安全特征。（2）完整性：是指信息在傳輸、交換、存儲(chǔ)和處理過(guò)程中，保持信息不被破壞或修改、不丟失和信息未經(jīng)授權(quán)不能改變的特性。（3）可用性：也稱(chēng)有效性，指信息資源可被授權(quán)實(shí)體按要求訪問(wèn)、正常使用或在非正常情況下能恢復(fù)使用的特性。（4）可控性：是指信息系統(tǒng)對(duì)信息內(nèi)容和傳輸具有控制能力的特性，指網(wǎng)絡(luò)系統(tǒng)中的信息在一定傳輸范圍和存放空間內(nèi)可控程度。（5）可審查性：又稱(chēng)拒絕否認(rèn)性、抗抵賴(lài)性或不可否認(rèn)性，指網(wǎng)絡(luò)通信雙方在信息交互過(guò)程中，確信參與者本身和所提供的信息真實(shí)同一性。2.網(wǎng)絡(luò)安全的特征（1）保密性：也稱(chēng)機(jī)密性，是強(qiáng)調(diào)有用信息413.網(wǎng)絡(luò)安全的目標(biāo)（1）運(yùn)行系統(tǒng)的安全；（2）網(wǎng)絡(luò)上系統(tǒng)信息的安全；（3）網(wǎng)絡(luò)上信息傳播安全；（4）網(wǎng)絡(luò)上信息內(nèi)容的安全3.網(wǎng)絡(luò)安全的目標(biāo)（1）運(yùn)行系統(tǒng)的安全；423.1.2網(wǎng)絡(luò)安全隱患（1）開(kāi)放網(wǎng)絡(luò)環(huán)境：主要是指Internet中向公眾開(kāi)放的各種信息服務(wù)系統(tǒng)或網(wǎng)站，網(wǎng)站與Internet連接,信息內(nèi)容完全開(kāi)放，任何客戶(hù)都可以通過(guò)Internet瀏覽網(wǎng)站上的信息。這種網(wǎng)絡(luò)應(yīng)用是開(kāi)放的，它所面臨的安全風(fēng)險(xiǎn)是拒絕服務(wù)(Dos)、篡改網(wǎng)頁(yè)內(nèi)容以及被非法利用等。

（2）專(zhuān)用網(wǎng)絡(luò)環(huán)境：主要是指基于Inernet互連的專(zhuān)用網(wǎng),如企業(yè)網(wǎng)、金融網(wǎng)、商務(wù)網(wǎng)等,專(zhuān)用網(wǎng)通過(guò)防火墻與Internet連接，網(wǎng)絡(luò)資源只向授權(quán)的用戶(hù)開(kāi)放，他們可以通過(guò)Internet訪問(wèn)專(zhuān)用網(wǎng)上的信息資源。這種網(wǎng)絡(luò)應(yīng)用是半開(kāi)放的，它所面臨的安全風(fēng)險(xiǎn)是假冒合法用戶(hù)獲取信息以及在信息傳輸過(guò)程中非法截獲或者篡改信息等。

（3）私用網(wǎng)絡(luò)環(huán)境：主要是指與Internet完全隔離的內(nèi)部網(wǎng)，如政務(wù)網(wǎng)、軍用網(wǎng)等，私用網(wǎng)與Internet是物理隔離的，網(wǎng)絡(luò)資源只向授權(quán)的內(nèi)部網(wǎng)用戶(hù)開(kāi)放，他們只能通過(guò)內(nèi)部網(wǎng)訪問(wèn)網(wǎng)絡(luò)中的信息資源。這種網(wǎng)絡(luò)應(yīng)用是封閉的，它所面臨的安全風(fēng)險(xiǎn)是內(nèi)部用戶(hù)的非授權(quán)訪問(wèn),竊取和泄漏機(jī)密信息等。3.1.2網(wǎng)絡(luò)安全隱患（1）開(kāi)放網(wǎng)絡(luò)環(huán)境：433.1.3網(wǎng)絡(luò)安全層次（1）實(shí)體安全：也稱(chēng)物理安全，指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒介免遭地震、水災(zāi)、火災(zāi)、有害氣體、電磁輻射、系統(tǒng)掉電和其他環(huán)境事故破壞的措施及過(guò)程。（2）運(yùn)行安全：包括網(wǎng)絡(luò)運(yùn)行和網(wǎng)絡(luò)訪問(wèn)控制的安全,如設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離、備份系統(tǒng)實(shí)現(xiàn)系統(tǒng)的恢復(fù)。（3）系統(tǒng)安全：包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)系統(tǒng)安全和網(wǎng)絡(luò)系統(tǒng)安全。（4）應(yīng)用安全：由應(yīng)用軟件開(kāi)發(fā)平臺(tái)安全和應(yīng)用系統(tǒng)數(shù)據(jù)安全兩部分組成。（5）管理安全：主要指對(duì)人員及網(wǎng)絡(luò)系統(tǒng)安全管理的各種法律、法規(guī)、政策、策略、規(guī)范、標(biāo)準(zhǔn)、技術(shù)手段、機(jī)制和措施等內(nèi)容。3.1.3網(wǎng)絡(luò)安全層次（1）實(shí)體安全：也稱(chēng)物理安全，指保護(hù)443.1.4網(wǎng)絡(luò)安全技術(shù)（1）防火墻技術(shù)（2）入侵檢測(cè)技術(shù)（3）虛擬專(zhuān)用網(wǎng)技術(shù)（4）認(rèn)證技術(shù)（5）病毒防范技術(shù)另外保障網(wǎng)絡(luò)的信息安全、系統(tǒng)安全、應(yīng)用安全還涉及到安全漏洞掃描技術(shù)、網(wǎng)絡(luò)嗅探技術(shù)、數(shù)據(jù)加密技術(shù)、訪問(wèn)控制技術(shù)、安全審計(jì)技術(shù)等等。3.1.4網(wǎng)絡(luò)安全技術(shù)（1）防火墻技術(shù)453.2防火墻技術(shù)3.2.1防火墻的概念1.防火墻的定義防火墻是位于被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件，構(gòu)成一道屏障，以防止發(fā)生對(duì)被保護(hù)網(wǎng)絡(luò)的不可預(yù)測(cè)的、潛在破壞性的侵?jǐn)_。通過(guò)安全規(guī)則來(lái)控制外部用戶(hù)對(duì)內(nèi)部網(wǎng)資源的訪問(wèn)。在邏輯上，防火墻是分離器，限制器，也是一個(gè)分析器。在物理上，防火墻通常是一組硬件設(shè)備。3.2防火墻技術(shù)3.2.1防火墻的概念46圖3-1一個(gè)典型的防火墻使用形態(tài)圖3-1一個(gè)典型的防火墻使用形態(tài)472.防火墻的功能（1）監(jiān)控并限制訪問(wèn)：防火墻通過(guò)采取控制進(jìn)出內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)包的方法，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上數(shù)據(jù)包的狀態(tài)，并對(duì)這些狀態(tài)加以分析和處理。（2）控制協(xié)議和服務(wù)：防火墻對(duì)相關(guān)協(xié)議和服務(wù)進(jìn)行控制，從而大大降低了因某種服務(wù)、協(xié)議的漏洞而引起安全事故的可能性。（3）保護(hù)內(nèi)部網(wǎng)絡(luò)：針對(duì)受保護(hù)的內(nèi)部網(wǎng)絡(luò)，防火墻能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的漏洞，對(duì)訪問(wèn)進(jìn)行限制。（4）網(wǎng)絡(luò)地址轉(zhuǎn)換：NAT可以緩解目前IP地址緊缺的局面、屏蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和信息、保證內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性。（5）日志記錄與審計(jì)：當(dāng)防火墻系統(tǒng)被配置為所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接均需經(jīng)過(guò)的安全節(jié)點(diǎn)時(shí)，防火墻會(huì)對(duì)所有的網(wǎng)絡(luò)請(qǐng)求做出日志記錄。2.防火墻的功能（1）監(jiān)控并限制訪問(wèn)：防火墻通過(guò)采取控制進(jìn)出48防火墻應(yīng)用的局限性（1）不能防范不經(jīng)過(guò)防火墻的攻擊（2）不能解決來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊和安全問(wèn)題（3）不能防止受病毒感染的文件的傳輸（4）不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊（5）不能防止系統(tǒng)安全體系不完善的攻擊防火墻應(yīng)用的局限性（1）不能防范不經(jīng)過(guò)防火墻的攻擊493.防火墻的安全策略（1）一切未被允許的都是禁止的（限制政策）防火墻只允許用戶(hù)訪問(wèn)開(kāi)放的服務(wù),其它未開(kāi)放的服務(wù)都是禁止的。這種策略比較安全，因?yàn)樵试S訪問(wèn)的服務(wù)都是經(jīng)過(guò)篩選的,但限制了用戶(hù)使用的便利性。（2）一切未被禁止的都是允許的（寬松政策）防火墻允許用戶(hù)訪問(wèn)一切未被禁止的服務(wù),除非某項(xiàng)服務(wù)被明確地禁止。這種策略比較靈活,可為用戶(hù)提供更多的服務(wù),但安全性要差一些。3.防火墻的安全策略（1）一切未被允許的都是禁止的（限制政策503.2.2防火墻的分類(lèi)與技術(shù)1．防火墻的分類(lèi)（1）軟件防火墻與硬件防火墻（2）主機(jī)防火墻與網(wǎng)絡(luò)防火墻2.防火墻的技術(shù)（1）包過(guò)濾技術(shù)（2）代理服務(wù)技術(shù)（3）狀態(tài)檢測(cè)技術(shù)（4）NAT技術(shù)3.2.2防火墻的分類(lèi)與技術(shù)1．防火墻的分類(lèi)513.2.3防火墻的應(yīng)用模式1.包過(guò)濾防火墻這種模式采用單一的分組過(guò)濾型防火墻或狀態(tài)檢測(cè)型防火墻來(lái)實(shí)現(xiàn)。通常，防火墻功能由帶有防火墻模塊的路由器提供，所以也稱(chēng)為屏蔽路由器。3.2.3防火墻的應(yīng)用模式1.包過(guò)濾防火墻52表3-1：包過(guò)濾防火墻規(guī)則示例：（1）內(nèi)部主機(jī)任何端口訪問(wèn)任何主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過(guò)。（2）任何主機(jī)的20端口訪問(wèn)主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過(guò)。（3）任何主機(jī)的20端口訪問(wèn)主機(jī)小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過(guò)（與1、2作為系列規(guī)則時(shí)該規(guī)則無(wú)效）。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類(lèi)型1允許***TCP2允許*20*TCP3禁止*20<1024TCP表3-1：包過(guò)濾防火墻規(guī)則示例：（1）內(nèi)部主機(jī)32.雙穴主機(jī)防火墻這種模式采用單一的代理服務(wù)型防火墻來(lái)實(shí)現(xiàn)。防火墻由一個(gè)運(yùn)行代理服務(wù)軟件的主機(jī)（即堡壘主機(jī)）實(shí)現(xiàn),該主機(jī)具有兩個(gè)網(wǎng)絡(luò)接口（稱(chēng)為雙穴主機(jī)）2.雙穴主機(jī)防火墻這種模式采用單一的代理服務(wù)型防火墻來(lái)實(shí)現(xiàn)。543.屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻一般由一個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)組成,一個(gè)外部包過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。這種模式采用雙重防火墻來(lái)實(shí)現(xiàn)，一個(gè)是屏蔽路由器，構(gòu)成內(nèi)部網(wǎng)第一道屏障；另一個(gè)是堡壘主機(jī)，構(gòu)成內(nèi)部網(wǎng)第二道屏障。3.屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻一般由一個(gè)包過(guò)濾路由器和一個(gè)554.屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系（周邊網(wǎng)絡(luò)）。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開(kāi)。非軍事區(qū)DMZ：屏蔽子網(wǎng)防火墻在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開(kāi)，兩個(gè)包過(guò)濾路由器放置在子網(wǎng)的兩端，形成的子網(wǎng)構(gòu)成一個(gè)“非軍事區(qū)”。4.屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)563.2.4個(gè)人防火墻1．個(gè)人防火墻的概念個(gè)人防火墻是一套安裝在個(gè)人計(jì)算機(jī)上的軟件系統(tǒng)，它能夠監(jiān)視計(jì)算機(jī)的通信狀況，一旦發(fā)現(xiàn)有對(duì)計(jì)算機(jī)產(chǎn)生危險(xiǎn)的通信就會(huì)報(bào)警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實(shí)現(xiàn)對(duì)個(gè)人計(jì)算機(jī)上重要數(shù)據(jù)的安全保護(hù)。比如：瑞星，賽門(mén)鐵克，天網(wǎng)防火墻，冰盾DDOS防火墻等等。2．個(gè)人防火墻的主要功能（1）防止Internet上用戶(hù)的攻擊（2）阻斷木馬及其他惡意軟件的攻擊（3）為移動(dòng)計(jì)算機(jī)提供安全保護(hù)（4）與其他安全產(chǎn)品進(jìn)行集成3．Windows防火墻3.2.4個(gè)人防火墻1．個(gè)人防火墻的概念573.3入侵檢測(cè)技術(shù)3.3.1入侵檢測(cè)系統(tǒng)的概念1.入侵檢測(cè)系統(tǒng)的定義入侵檢測(cè)系統(tǒng)IDS（IntrusionDetectionSystem）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。入侵檢測(cè)系統(tǒng)是對(duì)防火墻的合理補(bǔ)充，是一個(gè)實(shí)時(shí)的網(wǎng)絡(luò)違規(guī)識(shí)別和響應(yīng)系統(tǒng)，是繼防火墻之后的又一道防線。3.3入侵檢測(cè)技術(shù)3.3.1入侵檢測(cè)系統(tǒng)的概念582.入侵檢測(cè)系統(tǒng)的功能（1）監(jiān)測(cè)、分析用戶(hù)和系統(tǒng)的活動(dòng)；（2）核查系統(tǒng)配置和漏洞；（3）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；（4）識(shí)別已知的攻擊行為并采取適當(dāng)?shù)拇胧?；?）統(tǒng)計(jì)分析異常行為；（6）審計(jì)操作系統(tǒng)日志，識(shí)別違反安全策略的行為。2.入侵檢測(cè)系統(tǒng)的功能（1）監(jiān)測(cè)、分析用戶(hù)和系統(tǒng)的活動(dòng)；593.IDS的分類(lèi)（1）基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）（2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）（3）分布式入侵檢測(cè)系統(tǒng)（DIDS）3.IDS的分類(lèi)（1）基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）603.3.2入侵檢測(cè)系統(tǒng)的工作原理IDS的組成：事件發(fā)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫(kù)IDS的工作流程：第一步，網(wǎng)絡(luò)數(shù)據(jù)包的獲?。ɑ祀s模式）；第二步，網(wǎng)絡(luò)數(shù)據(jù)包的解碼（協(xié)議分析）；第三步，網(wǎng)絡(luò)數(shù)據(jù)包的檢查（誤用檢測(cè)）；第四步，網(wǎng)絡(luò)數(shù)據(jù)包的統(tǒng)計(jì)（異常檢測(cè)）；第五步，網(wǎng)絡(luò)數(shù)據(jù)包的審查（事件生成）；第六步，網(wǎng)絡(luò)數(shù)據(jù)包的處理（報(bào)警和響應(yīng)）。3.3.2入侵檢測(cè)系統(tǒng)的工作原理IDS的組成：613.IDS的檢查技術(shù)（1）靜態(tài)配置分析技術(shù)靜態(tài)配置分析是通過(guò)檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。（2）誤用檢測(cè)技術(shù)通過(guò)檢測(cè)用戶(hù)行為中的那些與某些已知的入侵行為模式類(lèi)似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來(lái)檢測(cè)系統(tǒng)中的入侵活動(dòng)，是一種基于已有的知識(shí)的檢測(cè)。（3）異常檢測(cè)技術(shù)通過(guò)對(duì)系統(tǒng)審計(jì)數(shù)據(jù)的分析建立起系統(tǒng)主體（用戶(hù)、主機(jī)、程序、文件等）的正常行為特征輪廓；3.IDS的檢查技術(shù)（1）靜態(tài)配置分析技術(shù)623.3.3入侵檢測(cè)系統(tǒng)的應(yīng)用圖3-8入侵檢測(cè)系統(tǒng)一般部署圖圖3-9IDS引擎分布圖3.3.3入侵檢測(cè)系統(tǒng)的應(yīng)用圖3-8入侵檢測(cè)系統(tǒng)一般部633.4虛擬專(zhuān)用網(wǎng)技術(shù)3.4.1虛擬專(zhuān)用網(wǎng)的概念虛擬專(zhuān)用網(wǎng)VPN，就是建立在公共網(wǎng)絡(luò)上的私有專(zhuān)用網(wǎng)。它是一個(gè)利用基于公眾基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)，來(lái)建立一個(gè)安全的、可靠的和可管理的企業(yè)間通信的通道。3.4虛擬專(zhuān)用網(wǎng)技術(shù)3.4.1虛擬專(zhuān)用網(wǎng)的概念64圖3-10VPN實(shí)例圖VPN使用實(shí)例：某公司總部在北京，而上海和杭州各有分公司，MIS主管需要彼此之間能夠?qū)崟r(shí)交換數(shù)據(jù)，為了安全考慮和提高工作效率，使用VPN技術(shù)。（總公司路由器上開(kāi)放兩個(gè)VPN賬戶(hù)，允許分公司路由器撥入，以建立VPN通道）。圖3-10VPN實(shí)例圖VPN使用實(shí)例：某公司總部在北京，而653.4.2VPN的工作原理1.VPN的協(xié)議（1）點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP（PointtoPointTunnelingProtocol）是1996年Microsoft和Ascend等在PPP協(xié)議上開(kāi)發(fā)的，是PPP的一種擴(kuò)展?？蛻?hù)可以采用撥號(hào)方式接入公共的IP網(wǎng)。撥號(hào)客戶(hù)首先按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器，建立PPP連接；在此基礎(chǔ)上，客戶(hù)進(jìn)行二次撥號(hào)建立到PPTP服務(wù)器的連接，該連接稱(chēng)為PPTP隧道。（2）第二層轉(zhuǎn)發(fā)協(xié)議L2F（Layer2Forwarding）是1996年Cisco開(kāi)發(fā)的。遠(yuǎn)端用戶(hù)能夠通過(guò)任何撥號(hào)方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器，建立PPP連接；接入服務(wù)器根據(jù)用戶(hù)名等信息發(fā)起第二次連接，呼叫用戶(hù)網(wǎng)絡(luò)的服務(wù)器。（3）第二層隧道協(xié)議L2TP（Layer2TunnelingProtocol）是1997年底由Microsoft和Cisco共同開(kāi)發(fā)。L2TP結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶(hù)從客戶(hù)端或接入服務(wù)器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。3.4.2VPN的工作原理1.VPN的協(xié)議662.VPN的實(shí)現(xiàn)方法（1）MPLSVPN：是一種基于MPLS技術(shù)的IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS（MultiprotocolLabelSwitching，多協(xié)議標(biāo)記交換）技術(shù)，簡(jiǎn)化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專(zhuān)用網(wǎng)絡(luò)（IPVPN）（2）SSLVPN：是以HTTPS（安全的HTTP）為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間。（3）IPSecVPN：是基于IPSec協(xié)議的VPN技術(shù)，由IPSec協(xié)議提供隧道安全保障。2.VPN的實(shí)現(xiàn)方法（1）MPLSVPN：是一種基于MPL673.4.3VPN的應(yīng)用環(huán)境遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（AccessVPN）企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）企業(yè)擴(kuò)展