電子政務(wù)網(wǎng)絡(luò)和信息安全_第1頁
電子政務(wù)網(wǎng)絡(luò)和信息安全_第2頁
電子政務(wù)網(wǎng)絡(luò)和信息安全_第3頁
電子政務(wù)網(wǎng)絡(luò)和信息安全_第4頁
電子政務(wù)網(wǎng)絡(luò)和信息安全_第5頁
已閱讀5頁,還剩110頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

網(wǎng)絡(luò)安全和管理曉莊學(xué)院網(wǎng)絡(luò)中心閔宇鋒mail:minyf@11當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀當(dāng)前網(wǎng)絡(luò)安全熱點話題大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)網(wǎng)絡(luò)管理提綱21當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀當(dāng)前網(wǎng)絡(luò)安全熱點話題大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)網(wǎng)絡(luò)管理31復(fù)雜程度internet技術(shù)的飛速增長internetemailweb瀏覽intranet站點電子商務(wù)電子政務(wù)電子交易時間41網(wǎng)絡(luò)發(fā)展現(xiàn)狀不斷增加的新應(yīng)用不斷加入的網(wǎng)絡(luò)互聯(lián)網(wǎng)的廣泛應(yīng)用人員安全意識不足51黑客的發(fā)展趨勢1980 19851990 1995 20012003時間(年)高各種攻擊者的綜合威脅程度低對攻擊者技術(shù)知識和技巧的要求黑客攻擊越來越容易實現(xiàn),威脅程度越來越高信息網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性增加脆弱性程度網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜,安全隱患急劇增加61cert的報告年1999200020012002攻擊事件9,85921,75652,65882,094報告的攻擊事件的發(fā)展趨勢:(年增長率100%左右)系統(tǒng)漏洞的發(fā)展趨勢:(年增長率超過100%左右)年1999200020012002系統(tǒng)漏洞4171,0902,4374,12971網(wǎng)絡(luò)存在的安全威脅

網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲81造成安全威脅的主要根源網(wǎng)絡(luò)建設(shè)之初忽略了安全問題;僅僅建立了物理安全機制;tcp/ip協(xié)議族軟件本身缺乏安全性;操作系統(tǒng)本身及其配置的安全性;安全產(chǎn)品配置的安全性;來自內(nèi)部網(wǎng)用戶的安全威脅;缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)的安全性;電子郵件病毒、web頁面中存在惡意的java/activex控件;應(yīng)用服務(wù)的訪問控制、安全設(shè)計存在漏洞。91網(wǎng)絡(luò)信息安全的發(fā)展階段三個階段:通信保密階段:以密碼學(xué)研究為主計算機系統(tǒng)安全階段:以單機操作系統(tǒng)安全研究為主網(wǎng)絡(luò)信息系統(tǒng)安全階段:開始進行信息安全體系研究101通信保密階段40年代-70年代重點是通過密碼技術(shù)解決通信保密問題,保證數(shù)據(jù)的保密性與完整性主要安全威脅是搭線竊聽、密碼學(xué)分析主要保護措施是加密重要標(biāo)志1949年shannon發(fā)表的《保密通信的信息理論》1977年美國國家標(biāo)準(zhǔn)局公布的數(shù)據(jù)加密標(biāo)準(zhǔn)(des)1976年由diffie與hellman在“newdirectionsincryptography”一文中提出了公鑰密碼體制111計算機系統(tǒng)安全階段70-80年代

重點是確保計算機系統(tǒng)中硬件、軟件及正在處理、存儲、傳輸信息的機密性、完整性和可控性主要安全威脅擴展到非法訪問、惡意代碼、脆弱口令等主要保護措施是安全操作系統(tǒng)設(shè)計技術(shù)(tcb)主要標(biāo)志是1983年美國國防部公布的可信計算機系統(tǒng)評估準(zhǔn)則(tcsec)將操作系統(tǒng)的安全級別分為四類七個級別(d、c1、c2、b1、b2、b3、a1),后補充tni和tdi121

網(wǎng)絡(luò)信息系統(tǒng)安全階段90年代以來重點需要保護信息,確保信息在存儲、處理、傳輸過程中及信息系統(tǒng)不被破壞,確保合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù),以及必要的防御攻擊的措施。強調(diào)信息的保密性、完整性、可控性、可用性主要安全威脅發(fā)展到網(wǎng)絡(luò)入侵、病毒破壞、信息對抗的攻擊等主要保護措施包括防火墻、防病毒軟件、漏洞掃描、入侵檢測、pki、vpn主要標(biāo)志是提出了新的安全評估準(zhǔn)則cc(iso15408)、ipv6安全性設(shè)計131網(wǎng)絡(luò)信息安全的含義網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的信息受到保護保護在通信網(wǎng)絡(luò)中傳輸、交換和存儲的信息的機密性、完整信和真實性對信息的傳播及內(nèi)容具有控制能力不受偶然的或者惡意的原因而遭到破壞、更改、泄露系統(tǒng)連續(xù)可靠的運行網(wǎng)絡(luò)服務(wù)不中斷141用戶(企業(yè)、個人)的角度涉及個人隱私或商業(yè)利益的信息機密性、完整性、真實性避免其他人或?qū)κ值膿p害和侵犯竊聽、冒充、篡改、抵賴不受其他用戶的非法訪問非授權(quán)訪問、破壞151網(wǎng)絡(luò)運行和管理者對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護和控制避免出現(xiàn)“后門”、病毒、非法存取、拒絕服務(wù)、網(wǎng)絡(luò)資源非法專用、非法控制制止和防御網(wǎng)絡(luò)“黑客”的攻擊161安全保密部門非法的、有害的或涉及國家機密的信息進行過濾和防堵避免通過網(wǎng)絡(luò)泄漏避免信息的泄密對社會的危害、對國家造成巨大的損失171網(wǎng)絡(luò)和信息安全問題綜述系統(tǒng)安全信息安全文化安全181系統(tǒng)安全(狹義的網(wǎng)絡(luò)安全) 作用點:對計算機網(wǎng)絡(luò)與計算機系統(tǒng)可用性的威脅,主要表現(xiàn)在訪問控制方面。

外顯行為:網(wǎng)絡(luò)被阻塞,黑客行為,計算機病毒等,使得依賴于信息系統(tǒng)的管理或控制體系陷于癱瘓。 防范措施:防止入侵,檢測入侵,抵抗入侵,系統(tǒng)恢復(fù)。191系統(tǒng)安全(狹義的網(wǎng)絡(luò)安全)因特網(wǎng)網(wǎng)絡(luò)對國民經(jīng)濟的影響在加強安全漏洞危害在增大信息對抗的威脅在增加研究安全漏洞以防之因特網(wǎng)電力交通通訊控制廣播工業(yè)金融醫(yī)療研究攻防技術(shù)以阻之201信息安全(狹義的)作用點:對所處理的信息機密性與完整性的威脅,主要表現(xiàn)在加密方面。

外顯行為:竊取信息,篡改信息,冒充信息,信息抵賴。

防范措施:加密,認(rèn)證,數(shù)字簽名,完整性技術(shù)(vpn)211信息竊取信息傳遞信息冒充信息篡改信息抵賴信息機密性加密技術(shù)完整性技術(shù)認(rèn)證技術(shù)數(shù)字簽名221文化安全(內(nèi)容安全) 作用點:有害信息的傳播對我國的政治制度及文化傳統(tǒng)的威脅,主要表現(xiàn)在輿論宣傳方面。

外顯行為:黃色、反動信息泛濫,敵對的意識形態(tài)信息涌入,互聯(lián)網(wǎng)被利用作為串聯(lián)工具,傳播迅速,影響范圍廣。

防范措施:設(shè)置因特網(wǎng)關(guān),監(jiān)測、控管。231對文化安全的保護因特網(wǎng)用戶信息傳送自由有害信息泛濫信息來源不確定.打擊目標(biāo)機動性強.主動發(fā)現(xiàn)有害信息源并給予封堵監(jiān)測網(wǎng)上有害信息的傳播并給予截獲隱患措施241當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀當(dāng)前網(wǎng)絡(luò)安全熱點話題大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)網(wǎng)絡(luò)管理251網(wǎng)絡(luò)安全界當(dāng)前的熱點問題一、病毒(蠕蟲病毒)二、dos攻擊261病毒的定義"計算機病毒"為什么叫做病毒。首先,與醫(yī)學(xué)上的"病毒"不同,它不是天然存在的,是某些人利用計算機軟、硬件所固有的脆弱性,編制具有特殊功能的程序。由于它與生物醫(yī)學(xué)上的"病毒"同樣有傳染和破壞的特性,因此這一名詞是由生物醫(yī)學(xué)上的"病毒"概念引申而來。

271直至1994年2月18日,我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》,在《條例》第二十八條中明確指出:"計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù),影響計算機使用,并能自我復(fù)制的一組計算機指令或者程序代碼。"此定義具有法律性、權(quán)威性。病毒的定義281病毒的產(chǎn)生那么究竟它是如何產(chǎn)生的呢?其過程可分為:程序設(shè)計--傳播--潛伏--觸發(fā)、運行--實行攻擊。究其產(chǎn)生的原因不外乎以下幾種:

開個玩笑,一個惡作劇。產(chǎn)生于個別人的報復(fù)心理。用于版權(quán)保護。用于特殊目的。

291病毒的歷史計算機病毒在計算機誕生不久后就出現(xiàn)了,其前身只不過是程序員閑來無事而編寫的趣味程序;后來,才發(fā)展出了諸如破壞文件、修改系統(tǒng)參數(shù)、干擾計算機的正常工作等的惡性病毒301傳統(tǒng)病毒的特性1.計算機病毒的程序性(可執(zhí)行性)2.計算機病毒的傳染性3.計算機病毒的潛伏性4.計算機病毒的可觸發(fā)性5.計算機病毒的破壞性6.攻擊的主動性7.病毒的針對性3118.病毒的非授權(quán)性9.病毒的隱蔽性10.病毒的衍生性11.病毒的寄生性(依附性)12.病毒的不可預(yù)見性13.計算機病毒的欺騙性14.計算機病毒的持久性傳統(tǒng)病毒的特性321蠕蟲是什么?331蠕蟲

蠕蟲(worm)是通過分布式網(wǎng)絡(luò)來擴散傳播特定的信息或錯誤,進而造成網(wǎng)絡(luò)服務(wù)遭到拒絕并發(fā)生死鎖。

1982年,shock和hupp根據(jù)theshockwaverider一書中的一種概念提出了一種“蠕蟲”(worm)程序的思想。

這種“蠕蟲”程序常駐于一臺或多臺機器中,并有自動重新定位(autorelocation)的能力。如果它檢測到網(wǎng)絡(luò)中的某臺機器未被占用,它就把自身的一個拷貝(一個程序段)發(fā)送給那臺機器。每個程序段都能把自身的拷貝重新定位于另一臺機器中,并且能識別它占用的哪臺機器。

“蠕蟲”由兩部分組成:一個主程序和一個引導(dǎo)程序。主程序一旦在機器上建立就會去收集與當(dāng)前機器聯(lián)網(wǎng)的其它機器的信息。它能通過讀取公共配置文件并運行顯示當(dāng)前網(wǎng)上聯(lián)機狀態(tài)信息的系統(tǒng)實用程序而做到這一點。隨后,它嘗試?yán)们懊嫠枋龅哪切┤毕萑ピ谶@些遠(yuǎn)程機器上建立其引導(dǎo)程序。

“蠕蟲”程序不一定是有害的。論證了“蠕蟲”程序可用作為ethernet網(wǎng)絡(luò)設(shè)備的一種診斷工具,它能快速有效地檢測網(wǎng)絡(luò)。341無害的蠕蟲(蠶)351蠕蟲病毒的罪惡病毒名稱持續(xù)時間造成損失莫里斯蠕蟲1988年6000多臺計算機停機,直接經(jīng)濟損失達9600萬美元美麗殺手1999年3月政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器,經(jīng)濟損失超過12億美元愛蟲病毒2000年5月至今眾多用戶電腦被感染,損失超過100億美元以上紅色代碼2001年7月網(wǎng)絡(luò)癱瘓,直接經(jīng)濟損失超過26億美元求職信2001年12月至今大量病毒郵件堵塞服務(wù)器,損失達數(shù)百億美元sql蠕蟲王2003年1月網(wǎng)絡(luò)大面積癱瘓,銀行自動提款機運做中斷,直接經(jīng)濟損失超過26億美元361蠕蟲病毒的特點蠕蟲也是一種病毒,因此具有病毒的共同特征。

普通病毒需要的寄生,通過自己指令的執(zhí)行,將自己的指令代碼寫到其他程序的體內(nèi),而被感染的文件就被稱為”宿主”

病毒主要是感染文件,當(dāng)然也還有像dirii這種鏈接型病毒,還有引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū),如果是軟盤被感染,這張軟盤用在其他機器上后,同樣也會感染其他機器,所以傳播方式也是用軟盤等方式。

蠕蟲復(fù)制自身在互聯(lián)網(wǎng)環(huán)境下進行傳播,病毒的傳染能力主要是針對計算機內(nèi)的文件系統(tǒng)而言,而蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計算機.局域網(wǎng)條件下的共享文件夾,電子郵件email,網(wǎng)絡(luò)中的惡意網(wǎng)頁,大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。蠕蟲病毒可以在幾個小時內(nèi)蔓延全球!而且蠕蟲的主動攻擊性和突然爆發(fā)性將使得人們手足無策。

371蠕蟲病毒和普通病毒的對比病毒類別普通病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計算機381蠕蟲病毒的傳播

蠕蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞,這里的漏洞或者說是缺陷,我們分為2種:第一種:軟件上的缺陷和人為上的缺陷

如遠(yuǎn)程溢出,微軟ie和outlook的自動執(zhí)行漏洞等等。

第二種:社會工程學(xué)(socialengineering)計算機用戶的疏忽。

391蠕蟲病毒特征分析1.利用系統(tǒng)漏洞的惡性蠕蟲病毒分析--企業(yè)用戶(局域網(wǎng)絡(luò))

紅色代碼,尼姆達和sql蠕蟲等,共同的特征是利用微軟服務(wù)器和應(yīng)用程序組件的某個漏洞進行攻擊。

特點:

這種漏洞比較普遍病毒很容易的傳播攻擊的對象大都為服務(wù)器造成的網(wǎng)絡(luò)堵塞現(xiàn)象嚴(yán)重401sql蠕蟲病毒樣例:2003年1月26號爆發(fā)的sql蠕蟲攻擊對象:攻擊的是微軟數(shù)據(jù)庫系microsoftsqlserver2000漏洞信息:利用了mssql2000服務(wù)遠(yuǎn)程堆棧緩沖區(qū)溢出漏洞,sqlserver監(jiān)聽udp的1434端口,客戶端可以通過發(fā)送消息到這個端口來查詢目前可用的連接方式(連接方式可以是命名管道也可以是tcp),但是此程序存在嚴(yán)重漏洞,當(dāng)客戶端發(fā)送超長數(shù)據(jù)包時,將導(dǎo)致緩沖區(qū)溢出,黑客可以利用該漏洞在遠(yuǎn)程機器上執(zhí)行自己的惡意代碼。攻擊原理:蠕蟲病毒通過一段376個字節(jié)的惡意代碼,遠(yuǎn)程獲得對方主機的系統(tǒng)控制權(quán)限,取得三個win32api地址,gettickcount、socket、sendto,接著病毒使用gettickcount獲得一個隨機數(shù),進入一個死循環(huán)繼續(xù)傳播。在該循環(huán)中蠕蟲使用獲得的隨機數(shù)生成一個隨機的ip地址,然后將自身代碼發(fā)送至1434端口(microsoftsqlserver開放端口)使用廣播數(shù)據(jù)包方式發(fā)送自身代碼,每次均攻擊子網(wǎng)中所有255臺可能存在機器。發(fā)布公告信息:微軟在200年7月份的時候就為這個漏洞發(fā)布了一個安全公告411sql蠕蟲攻擊特性:發(fā)包密度僅和機器性能和網(wǎng)絡(luò)帶寬有關(guān),所以發(fā)送的數(shù)據(jù)量非常

大。該蠕蟲對被感染機器本身并沒有進行任何惡意破壞行為,也沒有向硬盤上寫文件,僅僅存在于內(nèi)存中。對于感染的系統(tǒng),

重新啟動后就可以清除蠕蟲,但是仍然會重復(fù)感染。由于

發(fā)送數(shù)據(jù)包占用了大量系統(tǒng)資源和網(wǎng)絡(luò)帶寬,形成udpflood,感染了該蠕蟲的網(wǎng)絡(luò)性能會極度下降。一個百兆網(wǎng)絡(luò)內(nèi)只要有一兩臺機器感染該蠕蟲就會導(dǎo)致整個網(wǎng)絡(luò)訪問阻塞。

421企業(yè)防范蠕蟲病毒的策略

企業(yè)防毒的一個重要方面是是管理和策略。推薦的企業(yè)防范蠕蟲病毒的策略如下:

1.加強網(wǎng)絡(luò)管理員安全管理水平,提高安全意識。

由于蠕蟲病毒利用的是系統(tǒng)漏洞進行攻擊,所以需要在第一時間內(nèi)保持系統(tǒng)和應(yīng)用軟件的安全性,保持各種操作系統(tǒng)和應(yīng)用軟件的更新!

2.建立病毒檢測系統(tǒng)。

能夠在第一時間內(nèi)檢測到網(wǎng)絡(luò)異常和病毒攻擊。

3.建立應(yīng)急響應(yīng)系統(tǒng),將風(fēng)險減少到最??!

由于蠕蟲病毒爆發(fā)的突然性,可能在病毒發(fā)現(xiàn)的時候已經(jīng)蔓延到了整個網(wǎng)絡(luò),所以在突發(fā)情況下,建立一個緊急響應(yīng)系統(tǒng)是很有必要的,在病毒爆發(fā)的第一時間即能提供解決方案。

4.建立災(zāi)難備份系統(tǒng)。

對于數(shù)據(jù)庫和數(shù)據(jù)系統(tǒng),必須采用定期備份,多機備份措施,防止意外災(zāi)難下的數(shù)據(jù)丟失!

5.對于局域網(wǎng)而言,可以采用以下一些主要手段:

(1)在因特網(wǎng)接入口處安裝防火墻式防殺計算機病毒產(chǎn)品,將病毒隔離在局域網(wǎng)之外。

(2)對郵件服務(wù)器進行監(jiān)控,防止帶毒郵件進行傳播!

(3)對局域網(wǎng)用戶進行安全培訓(xùn)。

(4)建立局域網(wǎng)內(nèi)部的升級系統(tǒng),包括各種操作系統(tǒng)的補丁升級,各種常用的應(yīng)用軟件升級,各種殺毒軟件病毒庫的升級等等!

431病毒特征分析2.以電子郵件(email)及惡意網(wǎng)頁為傳播方式的蠕蟲病毒。--個人用戶愛蟲病毒等,此類病毒往往是通過郵件傳播的,在vbscript中調(diào)用郵件發(fā)送功能也非常的簡單,病毒往往采用的方法是向outlook中的地址薄中的郵件地址發(fā)送帶有包含自身的郵件來達到傳播目的

。

惡意網(wǎng)頁確切的講是一段黑客破壞代碼程序,它內(nèi)嵌在網(wǎng)頁中,當(dāng)用戶在不知情的情況下打開含有病毒的網(wǎng)頁時,病毒就會發(fā)作。這種病毒代碼鑲嵌技術(shù)的原理并不復(fù)雜,所以會被很多懷不良企圖者利用,在很多黑客網(wǎng)站竟然出現(xiàn)了關(guān)于用網(wǎng)頁進行破壞的技術(shù)的論壇,并提供破壞程序代碼下載,從而造成了惡意網(wǎng)頁的大面積泛濫,也使越來越多的用戶遭受損失。441個人用戶的防范策略網(wǎng)絡(luò)蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學(xué),而不是利用系統(tǒng)漏洞!所以防范此類病毒需要注意以下幾點:

1.購合適的殺毒軟件

網(wǎng)絡(luò)蠕蟲病毒的發(fā)展已經(jīng)使傳統(tǒng)的殺毒軟件的“文件級實時監(jiān)控系統(tǒng)”落伍,殺毒軟件必須向內(nèi)存實時監(jiān)控和郵件實時監(jiān)控發(fā)展!

2.經(jīng)常升級病毒庫殺毒軟件對病毒的查殺是以病毒的特征碼為依據(jù)的,而病毒每天都層出不窮,尤其是在網(wǎng)絡(luò)時代,蠕蟲病毒的傳播速度快,變種多,所以必須隨時更新病毒庫,以便能夠查殺最新的病毒!

3.提高防殺毒意識不要輕易去點擊陌生的站點,有可能里面就含有惡意代碼!

當(dāng)運行ie時,點擊“工具→internet選項→安全→internet區(qū)域的安全級別”,把安全級別由“中”改為“高”。、因為這一類網(wǎng)頁主要是含有惡意代碼的activex或applet、javascript的網(wǎng)頁文件,所以在ie設(shè)置中將activex插件和控件、java腳本等全部禁止就可以大大減少被網(wǎng)頁惡意代碼感染的幾率

4.不隨意查看陌生郵件

尤其是帶有附件的郵件,由于有的病毒郵件能夠利用ie和outlook的漏洞自動執(zhí)行,所以計算機用戶需要升級ie和outlook程序,及常用的其他應(yīng)用程序!451小結(jié)網(wǎng)絡(luò)蠕蟲病毒作為一種互聯(lián)網(wǎng)高速發(fā)展下的一種新型病毒,必將對網(wǎng)絡(luò)產(chǎn)生巨大的危險。在防御上,已經(jīng)不再是由單獨的殺毒廠商所能夠解決,而需要網(wǎng)絡(luò)安全公司,系統(tǒng)廠商,防病毒廠商及用戶共同參與,構(gòu)筑全方位的防范體系!

蠕蟲和黑客技術(shù)的結(jié)合,使得對蠕蟲的分析,檢測和防范具有一定的難度,同時對蠕蟲的網(wǎng)絡(luò)傳播性,網(wǎng)絡(luò)流量特性建立數(shù)學(xué)模型也是有待研究的工作!

461拒絕服務(wù)攻擊dos攻擊land,teardrop,synfloodicmp:smurfrouter:remotereset,udpport7,windows:port135,137,139(oob),terminalserversolaris:linux:其他...471“拒絕服務(wù)”的例子:land攻擊攻擊者internetcode目標(biāo)2欺騙性的ip包源地址2port139目的地址2port139tcpopeng.markhardy481“拒絕服務(wù)”的例子:land攻擊攻擊者internetcode目標(biāo)2ip包欺騙源地址2port139目的地址2port139包被送回它自己崩潰g.markhardy491“拒絕服務(wù)”的保護:代理類的防火墻攻擊者internetcode目標(biāo)2ip包欺騙源地址2port139目標(biāo)地址2port139tcpopen防火墻防火墻把有危險的包阻隔在網(wǎng)絡(luò)外g.markhardy501tcp同步泛濫攻擊者internetcode目標(biāo)欺騙性的ip包源地址不存在目標(biāo)地址是tcpopeng.markhardy511tcpsyn泛濫攻擊者internetcode目標(biāo)同步應(yīng)答響應(yīng)源地址目標(biāo)地址不存在tcpack崩潰g.markhardy521smuff攻擊示意圖第一步:攻擊者向被利用網(wǎng)絡(luò)a的廣播地址發(fā)送一個icmp協(xié)議的’echo’請求數(shù)據(jù)報,該數(shù)據(jù)報源地址被偽造成第二步:網(wǎng)絡(luò)a上的所有主機都向該偽造的源地址返回一個‘echo’響應(yīng),造成該主機服務(wù)中斷。531網(wǎng)絡(luò)攻擊舉例udp攻擊原理udp攻擊的原理是使兩個或兩個以上的系統(tǒng)之間產(chǎn)生巨大的udp數(shù)據(jù)包。首先使這兩種udp服務(wù)都產(chǎn)生輸出,然后讓這兩種udp服務(wù)(例如chargen服務(wù)(udp)和echo服務(wù)(udp))之間互相通信,使一方的輸出成為另一方的輸入。這樣會形成很大的數(shù)據(jù)流量。當(dāng)多個系統(tǒng)之間互相產(chǎn)生udp數(shù)據(jù)包時,最終將導(dǎo)致整個網(wǎng)絡(luò)癱瘓。如果涉及的主機數(shù)目少,那么只有這幾臺主機會癱瘓。541網(wǎng)絡(luò)攻擊舉例tcp/syn攻擊原理

當(dāng)一臺黑客機器a要與另外一臺isp的主機b建立連接時,它的通信方式是先發(fā)一個syn包告訴對方主機b說“我要和你通信了”,當(dāng)b收到時,就回復(fù)一個ack/syn確認(rèn)請求包給a主機。如果a是合法地址,就會再回復(fù)一個ack包給b主機,然后兩臺主機就可以建立一個通信渠道了??墒呛诳蜋C器a發(fā)出的包的源地址是一個虛假的ip地址,或者可以說是實際上不存在的一個地址,isp主機b發(fā)出的那個ack/syn包當(dāng)然就找不到目標(biāo)地址了。如果這個ack/syn包一直沒有找到目標(biāo)地址,那么也就是目標(biāo)主機無法獲得對方回復(fù)的ack包。而在缺省超時的時間范圍以內(nèi),主機的一部分資源要花在等待這個ack包的響應(yīng)上,假如短時間內(nèi)主機a接到大量來自虛假ip地址的syn包,它就要占用大量的資源來處理這些錯誤的等待,最后的結(jié)果就是系統(tǒng)資源耗盡以至癱瘓。551網(wǎng)絡(luò)攻擊舉例icmp/ping攻擊原理icmp/ping攻擊是利用一些系統(tǒng)不能接受超大的ip包或需要資源處理這一特性。如在linux下輸入ping-t66510ip(未打補丁的win95/98的機器),機器就會癱瘓。icmp/smurf攻擊原理icmp/smurf攻擊利用的是網(wǎng)絡(luò)廣播的原理來發(fā)送大量的地址,而包的源地址就是要攻擊的機器本身的地址。因而所有接收到此包的主機都將給發(fā)包的地址發(fā)送一個icmp回復(fù)包。561網(wǎng)絡(luò)攻擊舉例targa3攻擊(ip堆棧突破)原理targa3攻擊的基本原理是發(fā)送tcp/udp/icmp的碎片包,其大小、標(biāo)記、包數(shù)據(jù)等都是隨機的。一些有漏洞的系統(tǒng)內(nèi)核由于不能正確處理這些極端不規(guī)范數(shù)據(jù)包,便會使其tcp/ip堆棧出現(xiàn)崩潰,從而導(dǎo)致無法繼續(xù)響應(yīng)網(wǎng)絡(luò)請求(即拒絕服務(wù))。571分布式拒絕服務(wù)(ddos)以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性為目標(biāo)常用的工具:trin00,tfn/tfn2k,stacheldraht很難防范偽造源地址,流量加密,因此很難跟蹤clienttargethandler...agent...dosicmpflood/synflood/udpflood581分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)結(jié)構(gòu)圖

客戶端客戶端主控端主控端主控端主控端代理端代理端代理端代理端代理端代理端代理端代理端591分布式拒絕服務(wù)攻擊步驟1scanningprogram不安全的計算機hacker攻擊者使用掃描工具探測掃描大量主機以尋找潛在入侵目標(biāo)。1internet601hacker被控制的計算機(代理端)黑客設(shè)法入侵有安全漏洞的主機并獲取控制權(quán)。這些主機將被用于放置后門、sniffer或守護程序甚至是客戶程序。2分布式拒絕服務(wù)攻擊步驟2internet611hacker

黑客在得到入侵計算機清單后,從中選出滿足建立網(wǎng)絡(luò)所需要的主機,放置已編譯好的守護程序,并對被控制的計算機發(fā)送命令。3被控制計算機(代理端)masterserver分布式拒絕服務(wù)攻擊步驟3internet621hackerusingclientprogram,

黑客發(fā)送控制命令給主機,準(zhǔn)備啟動對目標(biāo)系統(tǒng)的攻擊4被控制計算機(代理端)targetedsystemmasterserver分布式拒絕服務(wù)攻擊步驟4internet631internethacker

主機發(fā)送攻擊信號給被控制計算機開始對目標(biāo)系統(tǒng)發(fā)起攻擊。5masterserver分布式拒絕服務(wù)攻擊步驟5targetedsystem被控制計算機(代理端)641targetedsystemhacker

目標(biāo)系統(tǒng)被無數(shù)的偽造的請求所淹沒,從而無法對合法用戶進行響應(yīng),ddos攻擊成功。6masterserveruserrequestdenied分布式拒絕服務(wù)攻擊步驟6internet被控制計算機(代理端)651(分布式)拒絕服務(wù)攻擊ddos攻擊的效果由于整個過程是自動化的,攻擊者能夠在5秒鐘內(nèi)入侵一臺主機并安裝攻擊工具。也就是說,在短短的一小時內(nèi)可以入侵?jǐn)?shù)千臺主機。并使某一臺主機可能要遭受1000mb/s數(shù)據(jù)量的猛烈攻擊,這一數(shù)據(jù)量相當(dāng)于1.04億人同時撥打某公司的一部電話號碼。661(分布式)拒絕服務(wù)攻擊預(yù)防ddos攻擊的措施確保主機不被入侵且是安全的;周期性審核系統(tǒng);檢查文件完整性;優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu);優(yōu)化對外開放訪問的主機;在網(wǎng)絡(luò)上建立一個過濾器(filter)或偵測器(sniffer),在攻擊信息到達網(wǎng)站服務(wù)器之前阻擋攻擊信息。671(分布式)拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊的今后的發(fā)展趨勢:如何增強自身的隱蔽性和攻擊能力;采用加密通訊通道、icmp協(xié)議等方法避開防火墻的檢測;采用對自身進行數(shù)字簽名等方法研究自毀機制,在被非攻擊者自己使用時自行消毀拒絕服務(wù)攻擊數(shù)據(jù)包,以消除證據(jù)。681當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀當(dāng)前網(wǎng)絡(luò)安全熱點話題大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)網(wǎng)絡(luò)管理691大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)特點開放性—與公網(wǎng)互聯(lián),直接對話。大規(guī)模性—規(guī)模龐大,節(jié)點眾多。復(fù)雜性—多種應(yīng)用,大數(shù)據(jù)量,使用人員身份復(fù)雜。因為如上的眾多特點,大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)存在著眾多安全風(fēng)險!701大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)中需要保護的資源各類服務(wù)器工作站網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全設(shè)備

操作系統(tǒng)服務(wù)器系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng)internet公共軟件數(shù)據(jù)庫系統(tǒng)自主開發(fā)的軟件網(wǎng)管軟件等數(shù)據(jù)庫服務(wù)器中數(shù)據(jù)應(yīng)用服務(wù)器數(shù)據(jù)郵件數(shù)據(jù)網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)設(shè)備日志工作人員用戶應(yīng)用系統(tǒng)用戶操作系統(tǒng)用戶訪問服務(wù)器用戶遠(yuǎn)程登陸用戶遠(yuǎn)程管理用戶硬件資源數(shù)據(jù)資源軟件資源用戶資源

711大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)常見的安全事件網(wǎng)站被黑數(shù)據(jù)被篡改數(shù)據(jù)被偷竊秘密泄漏越權(quán)瀏覽非法刪除被病毒感染系統(tǒng)自身故障721大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全隱患

物理風(fēng)險無意錯誤風(fēng)險有意破壞管理風(fēng)險內(nèi)網(wǎng)安全風(fēng)險內(nèi)網(wǎng)安全風(fēng)險邊界安全風(fēng)險鏈路傳輸安全風(fēng)險橫向縱向其它風(fēng)險如自然災(zāi)害,電力供應(yīng)突然中斷,靜電、強磁場破壞硬件設(shè)備以及設(shè)備老化等引起的風(fēng)險。指由于人為或系統(tǒng)錯誤而影響信息的完整性、機密性和可用性。指內(nèi)部和外部人員有意通過物理手段破壞信息系統(tǒng)而影響信息的機密性、完整性、可用性和可控性。比如:有意破壞基礎(chǔ)設(shè)施、擴散計算機病毒、電子欺騙等。這種風(fēng)險帶來的破壞一般而言是巨大的。嚴(yán)重時會引起整個系統(tǒng)的癱瘓和不可恢復(fù)它是指因為口令和密鑰管理不當(dāng)、制度遺漏,崗位、職責(zé)設(shè)置不全面等因素引起信息泄露、系統(tǒng)無序運行等。是指除上述所列舉的一些風(fēng)險外,一切可能危及信息系統(tǒng)的機密性、完整性、可用性、可控性和系統(tǒng)正常運行的風(fēng)險。731標(biāo)準(zhǔn)安全產(chǎn)品架構(gòu)

internet總部辦事處分公司公眾用戶分公司防火墻和vpn體系入侵檢測系統(tǒng)病毒防護系統(tǒng)風(fēng)險評估系統(tǒng)備份恢復(fù)系統(tǒng)網(wǎng)絡(luò)綜合安全管理系統(tǒng)741防火墻及vpn策略

internet總部辦事處分公司vpn客戶端用戶分公司部署防火墻和vpn在網(wǎng)絡(luò)邊界處,對進出邊界的信息做訪問控制,同時采用vpn對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M行加密處理,以保證數(shù)據(jù)在傳輸過程中的安全性利用防火墻的包過濾、應(yīng)用代理、nat、訪問控制等技術(shù)對網(wǎng)絡(luò)邊界進行安全防護。利用vpn的加密方式對信息做加密,再傳輸?shù)骄W(wǎng)絡(luò)中,可采用網(wǎng)關(guān)—網(wǎng)關(guān)或網(wǎng)關(guān)到客戶端兩種模式。01010101010!@$!@#%$^%4010101010101751serverclient防火墻(firewall)注解:防火墻類似一堵城墻,將服務(wù)器與客戶主機進行物理隔離,并在此基礎(chǔ)上實現(xiàn)服務(wù)器與客戶主機之間的授權(quán)互訪、互通等功能。761防火墻概念防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域(公共網(wǎng)和企業(yè)內(nèi)部網(wǎng))之間的一系列部件的組合。它是不同網(wǎng)絡(luò)(安全域)之間的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有很高的抗攻擊能力,它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。771防火墻特征保護脆弱和有缺陷的網(wǎng)絡(luò)服務(wù)集中化的安全管理加強對網(wǎng)絡(luò)系統(tǒng)的訪問控制加強隱私對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計781保護脆弱和有缺陷的網(wǎng)絡(luò)服務(wù)一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的nfs協(xié)議進出受保護網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊,如ip選項中的源路由攻擊和icmp重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。防火墻特征(cont.)791防火墻特征(cont.)集中化的安全管理通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證、審計等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比,防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡(luò)訪問時,一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個主機上,而集中在防火墻一身上。801加強對網(wǎng)絡(luò)系統(tǒng)的訪問控制一個防火墻的主要功能是對整個網(wǎng)絡(luò)的訪問控制。比如防火墻可以屏蔽部分主機,使外部網(wǎng)絡(luò)無法訪問,同樣可以屏蔽部分主機的特定服務(wù),使得外部網(wǎng)絡(luò)可以訪問該主機的其它服務(wù),但無法訪問該主機的特定服務(wù)。防火墻不應(yīng)向外界提供網(wǎng)絡(luò)中任何不需要服務(wù)的訪問權(quán),這實際上是安全政策的要求了??刂茖μ厥庹军c的訪問:如有些主機或服務(wù)能被外部網(wǎng)絡(luò)訪問,而有些則需被保護起來,防止不必要的訪問。防火墻特征(cont.)811加強隱私隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題。一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如finger,dns等服務(wù)。finger顯示了主機的所有用戶的注冊名、真名,最后登錄時間和使用shell類型等。但是finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度,這個系統(tǒng)是否有用戶正在連線上網(wǎng),這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的dns信息,這樣一臺主機的域名和ip地址就不會被外界所了解。防火墻特征(cont.)821對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時,防火墻能進行適當(dāng)?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外,收集一個網(wǎng)絡(luò)的使用和誤用情況是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。防火墻特征(cont.)831

從總體上看,防火墻應(yīng)具有以下五大基本功能:過濾進、出網(wǎng)絡(luò)的數(shù)據(jù);管理進、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止的業(yè)務(wù);記錄通過防火墻的信息內(nèi)容和活動;對網(wǎng)絡(luò)攻擊的檢測和告警。防火墻功能841vpn即虛擬專用網(wǎng),是指一些節(jié)點通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立的一個臨時的、安全的連接,它們之間的通信的機密性和完整性可以通過某些安全機制的實施得到保證特征虛擬(v):并不實際存在,而是利用現(xiàn)有網(wǎng)絡(luò),通過資源配置以及虛電路的建立而構(gòu)成的虛擬網(wǎng)絡(luò)專用(p):只有企業(yè)自己的用戶才可以聯(lián)入企業(yè)自己的網(wǎng)絡(luò)網(wǎng)絡(luò)(n):既可以讓客戶連接到公網(wǎng)所能夠到達的任何地方,也可以方便地解決保密性、安全性、可管理性等問題,降低網(wǎng)絡(luò)的使用成本什么是vpn851vpn(虛擬專用網(wǎng)絡(luò))是通過公共介質(zhì)如internet擴展公司的網(wǎng)絡(luò)vpn可以加密傳輸?shù)臄?shù)據(jù),保障數(shù)據(jù)的機密性、完整性、真實性防火墻是用來保證內(nèi)部網(wǎng)絡(luò)不被侵犯,相當(dāng)于銀行的門衛(wèi);而vpn則是保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被竊取,相當(dāng)于運鈔車。vpn的用途861vpn的隧道協(xié)議vpn的關(guān)鍵技術(shù)在于通信隧道的建立,數(shù)據(jù)包通過通信隧道進行封裝后的傳送以確保其機密性和完整性通常使用的方法有:使用點到點隧道協(xié)議pptp、第二層隧道協(xié)議l2tp、第二層轉(zhuǎn)發(fā)協(xié)議l2f等在數(shù)據(jù)鏈路層對數(shù)據(jù)實行封裝使用ip安全協(xié)議ipsec在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)封裝使用介于第二層和第三層之間的隧道協(xié)議,如mpls隧道協(xié)議871pptp/l2tp1996年,microsoft和ascend等在ppp協(xié)議的基礎(chǔ)上開發(fā)了pptp,并將它集成于windowsntserver4.0中,同時也提供了相應(yīng)的客戶端軟件pptp可把數(shù)據(jù)包封裝在ppp包中,再將整個報文封裝在pptp隧道協(xié)議包中,最后,再嵌入ip報文或幀中繼或atm中進行傳輸pptp提供流量控制,采用mppe加密算法8811996年,cisco提出l2f(layer2forwarding)隧道協(xié)議1997年底,micorosoft和cisco公司把pptp協(xié)議和l2f協(xié)議的優(yōu)點結(jié)合在一起,形成了l2tp協(xié)議l2tp協(xié)議綜合了pptp協(xié)議和l2f(layer2forwarding)協(xié)議的優(yōu)點,并且支持多路隧道,這樣可以使用戶同時訪問internet和企業(yè)網(wǎng)。l2tp可以實現(xiàn)和企業(yè)原有非ip網(wǎng)的兼容,支持mp(multilinkprotocol),可以把多個物理通道捆綁為單一邏輯信道pptp/l2tp891優(yōu)點:支持其他網(wǎng)絡(luò)協(xié)議 (如novell的ipx,netbeui和appletalk協(xié)議

)支持流量控制缺點:通道打開后,源和目的用戶身份就不再進行認(rèn)證,存在安全隱患限制同時最多只能連接255個用戶端點用戶需要在連接前手工建立加密信道,另外認(rèn)證和加密受到限制,沒有強加密和認(rèn)證支持。

pptp和l2tp最適合用于遠(yuǎn)程訪問虛擬專用網(wǎng)。

pptp/l2tp901ipsecvpnipsec是一種由ietf設(shè)計的端到端的確保基于ip通訊的數(shù)據(jù)安全性的機制。ipsec支持對數(shù)據(jù)加密,同時確保數(shù)據(jù)的完整性。ipsec使用驗證包頭(ah,在rfc2402中定義)提供來源驗證(sourceauthentication),確保數(shù)據(jù)的可靠性;ipsec使用封裝安全負(fù)載(esp,在rfc1827中定義)進行加密,從而確保數(shù)據(jù)機密性。在ipsec協(xié)議下,只有發(fā)送方和接受方知道秘密密鑰。如果驗證數(shù)據(jù)有效,接受方就可以知道數(shù)據(jù)來自真實的發(fā)送方,并且在傳輸過程中沒有受到破壞。ipsec有兩種應(yīng)用模式:傳送模式和隧道模式911傳輸模式:傳輸模式使用原始明文ip頭,并且只加密數(shù)據(jù),包括它的tcp和udp頭。這種模式適用于小型網(wǎng)絡(luò)和移動客戶端。隧道模式:隧道模式處理整個ip數(shù)據(jù)包:包括全部tcp/ip或udp/ip頭和數(shù)據(jù),它用自己的地址做為源地址加入到新的ip頭。隧道模式被用在兩端或是一端是安全網(wǎng)關(guān)的架構(gòu)中,例如裝有ipsec的防火墻。使用了隧道模式,防火墻內(nèi)很多主機不需要安裝ipsec也能安全地與外界通信,并且還可以提供更多的便利來隱藏內(nèi)部服務(wù)器主機和客戶機的地址。ipsecvpn921優(yōu)點:可提供高強度的安全性(數(shù)據(jù)加密和身份驗證)對上層應(yīng)用完全透明支持網(wǎng)絡(luò)與網(wǎng)絡(luò)、用戶與用戶、網(wǎng)絡(luò)與用戶多種應(yīng)用模式缺點:只支持ip協(xié)議

目前防火墻產(chǎn)品中集成的vpn多為使用ipsec協(xié)議,在中國其發(fā)展處于蓬勃狀態(tài)。ipsecvpn931mplsvpn是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用mpls(multiprotocollabelswitching)技術(shù),簡化核心路由器的路由選擇方式,利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的ip虛擬專用網(wǎng)絡(luò)(ipvpn)mplsvpn主要應(yīng)用領(lǐng)域是用于建設(shè)全網(wǎng)狀結(jié)構(gòu)的數(shù)據(jù)專線,保證局域網(wǎng)互聯(lián)的帶寬與服務(wù)質(zhì)量??偛颗c下面分支機構(gòu)互聯(lián)時,如果使用公網(wǎng),則帶寬、時延等很大程度上受公網(wǎng)的網(wǎng)絡(luò)狀況制約。而布署mplsvpn后,可以保證網(wǎng)絡(luò)服務(wù)質(zhì)量,從而保證一些對時延敏感的應(yīng)用穩(wěn)定運行,如分布異地的實時交易系統(tǒng)、視頻會議、ip電話等等。941mplsvpn優(yōu)點:運行在ip+atm或者ip環(huán)境下,對應(yīng)用完全透明缺點:mplsvpn并未提供加密、認(rèn)證等安全機制

當(dāng)信息的安全性是vpn網(wǎng)絡(luò)設(shè)計考慮的首要因素時,應(yīng)當(dāng)采用ipsecvpn。951與其他vpn協(xié)議的對比l2tp、pptp:主要用于客戶端接入專用網(wǎng)絡(luò)。本身的安全性比較弱,需要依靠ipsec來提供進一步的安全性。mpls:能夠提供與傳統(tǒng)的atm,fr同等的安全性,但本身沒有加密,認(rèn)證機制,對數(shù)據(jù)的機密性等保證需要依靠ipsec來進一步保證。ipsec是彌補其他vpn技術(shù)的安全性的有效保證。9611100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文密文·#¥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@保證數(shù)據(jù)在傳輸中的機密性發(fā)起方接受方密文·#¥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@支持ike密鑰協(xié)商密鑰自動刷新128位對稱加密1024位非對稱加密設(shè)備之間采用證書認(rèn)證支持ca認(rèn)證vpn的主要作用之一971發(fā)起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010hashhash100010101001000101010010100001000000110110001010是否一樣?驗證數(shù)據(jù)來源的完整性和真實性支持透明模式支持路由模式vpn的主要作用之二981實時入侵檢測策略internet總部辦事處分公司分公司在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)入侵檢測系統(tǒng),實時對網(wǎng)絡(luò)中的數(shù)據(jù)流進行檢測,對于可疑的數(shù)據(jù),將及時報警,入侵檢測系統(tǒng)同時與防火墻交互信息,共同防范來自于網(wǎng)外的攻擊。具體策略如下:基于網(wǎng)絡(luò)的入侵檢測策略基于主機的入侵檢測策略報警攻擊991什么是入侵檢測系統(tǒng)ids(intrusiondetection

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論