企業(yè)網(wǎng)絡(luò)安全概述

第8章企業(yè)網(wǎng)絡(luò)安全概述8.1企業(yè)網(wǎng)絡(luò)面臨的主要威脅8.2網(wǎng)絡(luò)安全處理過程8.3網(wǎng)絡(luò)安全技術(shù)8.4網(wǎng)絡(luò)攻擊與防范8.5企業(yè)網(wǎng)絡(luò)安全設(shè)計考慮8.6企業(yè)網(wǎng)絡(luò)安全管理8.7無線網(wǎng)絡(luò)安全8.1企業(yè)網(wǎng)絡(luò)面臨的主要威脅

企業(yè)網(wǎng)是實現(xiàn)企業(yè)信息化的基礎(chǔ)，網(wǎng)絡(luò)安全是實現(xiàn)信息化順利進行的基本保障。信息化和網(wǎng)絡(luò)安全之間的關(guān)系是矛盾對立的，信息化要求越高，網(wǎng)絡(luò)安全面臨的威脅則越大，對企業(yè)網(wǎng)的安全性能要求也就更高。因此，對于組建企業(yè)網(wǎng)絡(luò)，不僅要保證網(wǎng)絡(luò)的先進性還應(yīng)切實保障網(wǎng)絡(luò)的安全性。下一頁返回8.1企業(yè)網(wǎng)絡(luò)面臨的主要威脅8.1.1來自外部的威脅網(wǎng)絡(luò)安全的目的是維護信息的機密性、完整性、可用性、可控制和可審查性，要實現(xiàn)上述目的主要有兩方面的工作，一是維護信息自身的安全，二是保障信息載體的安全。信息和信息載體面臨的外部威脅主要包括以下幾個部分：1.自然災(zāi)害2.惡意攻擊3.病毒破壞4.垃圾郵件5.經(jīng)濟和商業(yè)間諜6.電子商務(wù)和電子支付的安全隱患下一頁返回上一頁8.1企業(yè)網(wǎng)絡(luò)面臨的主要威脅8.1.2來自內(nèi)部的威脅企業(yè)網(wǎng)絡(luò)內(nèi)部威脅主要包括對網(wǎng)絡(luò)設(shè)備的威脅、操作系統(tǒng)的威脅、網(wǎng)絡(luò)應(yīng)用服務(wù)的威脅、企業(yè)內(nèi)部人員的有意破壞和無意破壞等。返回上一頁8.2網(wǎng)絡(luò)安全處理過程圖8-1為網(wǎng)絡(luò)安全處理過程1.評估階段任務(wù)和目標（1）確定網(wǎng)絡(luò)信息資產(chǎn)的價值。（2）確定網(wǎng)絡(luò)安全風(fēng)險對組織的重要性。（3）確定網(wǎng)絡(luò)安全面臨的主要威脅。（4）確定網(wǎng)絡(luò)系統(tǒng)的主要漏洞。（5）確定如何將風(fēng)險降到最低或可接受水平的應(yīng)對措施。下一頁返回8.2網(wǎng)絡(luò)安全處理過程2.策略制定階段任務(wù)和目標（1）在評估基礎(chǔ)上確定安全策略及其過程。（2）確定網(wǎng)絡(luò)期望的安全狀態(tài)。（3）確定網(wǎng)絡(luò)安全組織成員。（4）確定網(wǎng)絡(luò)構(gòu)建、實施期間需要做的工作。3.安全實施階段任務(wù)和目標（1）實施網(wǎng)絡(luò)安全計劃的制定。（2）技術(shù)工具的選擇。（3）物理控制的實施。（4）網(wǎng)絡(luò)安全人員的使用與管理。下一頁返回上一頁8.2網(wǎng)絡(luò)安全處理過程4.培訓(xùn)階段任務(wù)和目標讓所有網(wǎng)絡(luò)使用人員熟悉安全系統(tǒng)的操作流程和注意事項。5.審計階段任務(wù)和目標（1）確保安全策略中所規(guī)定安全要求均達到期望值。（2）確保安全措施得到正確的配置。返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)

介紹幾種主要的、流行的網(wǎng)絡(luò)安全技術(shù)。8.3.1加密技術(shù)加密技術(shù)是一項非常全面的安全技術(shù)解決方案，它不僅包括密碼的應(yīng)用，還包括身份鑒別、IP安全、Web安全、遠程管理的安全性等。其中密碼學(xué)包含了信息加密、數(shù)字證書、數(shù)字信封、數(shù)字指紋、數(shù)字簽名等。身份識別技術(shù)是加密技術(shù)的又一重要應(yīng)用。加密技術(shù)滲透到了企業(yè)網(wǎng)絡(luò)的每一個領(lǐng)域，是實現(xiàn)企業(yè)網(wǎng)絡(luò)安全的最重要的保障手段之一。以下將簡要介紹加密技術(shù)的相關(guān)概念和在企業(yè)組網(wǎng)中的主要應(yīng)用。下一頁返回8.3網(wǎng)絡(luò)安全技術(shù)1.加密的概念數(shù)據(jù)加密的基本過程就是對文件或數(shù)據(jù)按某種算法進行重新編碼，使其成為不可讀的一段代碼，通常稱為“密文”，加密后的密文只能在輸入相應(yīng)的密鑰之后才能顯示出原來的明文內(nèi)容，通過這樣的途徑來達到保護數(shù)據(jù)不被非法人竊取、閱讀的目的。該過程的逆過程為解密，即將該編碼信息轉(zhuǎn)化為其原來的數(shù)據(jù)明文。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)2.加密技術(shù)的重要性加密技術(shù)的重要性是由多種因素組成的。其一是在互聯(lián)網(wǎng)上進行文件傳輸、電子郵件商務(wù)往來本身存在的許多不安全因素，特別是對于一些大公司和一些機密文件在網(wǎng)絡(luò)上的傳輸，而且這種不安全性是互聯(lián)網(wǎng)存在的基礎(chǔ)——TCP/IP協(xié)議所固有的，包括一些基于TCP/IP的服務(wù)；另一方面，網(wǎng)絡(luò)給眾多的商家?guī)砹藷o限的商機，文件傳輸、電子郵件商務(wù)成為了眾多商家進行商業(yè)活動的不二選擇，加密在網(wǎng)絡(luò)上的作用就是防止有用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取。其中密碼的傳輸極為重要，許多安全防護體系是基于密碼的，密碼的泄露在某種意義上來講意味著其安全體系的全面崩潰。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)3.加密技術(shù)的分類加密技術(shù)大體分為涉密載體（涉密物體）加密技術(shù)和涉密信息（信息處理和信息傳輸）加密技術(shù)，涉密載體加密技術(shù)主要是對有形的涉密信息載體（即實物）實施保護，使之不被竊取、復(fù)制或丟失。涉密信息保密技術(shù)主要是對涉密信息的處理過程和傳輸過程實施保護，使之不被非法入侵、外傳、竊聽、干擾、破壞、復(fù)制。加密技術(shù)所采用的加密算法通常分為3大類：對稱加密技術(shù)、非對稱加密技術(shù)和單向散列函數(shù)。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)

對稱加密技術(shù)在加密和解密過程中使用同一個密鑰，通常稱之為共享密鑰（SessionKey）。這種加密技術(shù)目前被廣泛采用，如美國政府所采用的AES高級加密標準就是一種典型的對稱加密技術(shù)。非對稱加密技術(shù)加密和解密使用兩個不同的密鑰，分別稱為“公鑰”和“私鑰”，用公鑰加密的數(shù)據(jù)必須用私鑰才能解密，而用私鑰加密的數(shù)據(jù)只有公鑰才能解密。“公鑰”通常用于對外公布，以方便對方加密要在網(wǎng)絡(luò)中傳輸?shù)闹匾獢?shù)據(jù)?！八借€”則進行嚴格保密，一般用以解密對方使用公鑰加密的重要數(shù)據(jù)信息。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)

對稱加密技術(shù)和非對稱加密技術(shù)各有優(yōu)點和缺點，對稱加密技術(shù)的優(yōu)點即非對稱加密技術(shù)的缺點，對稱加密技術(shù)的缺點則剛好是非對稱加密技術(shù)的優(yōu)點。如對稱加密技術(shù)加密速度快，適合加密長數(shù)據(jù)，但加密和解密使用同一個密鑰，密鑰的傳輸容易造成密鑰的泄露。而非對稱加密技術(shù)則加密速度慢，不適合加密長數(shù)據(jù)，但由于加密和解密使用兩個不同的密鑰，解密密鑰一般不用在網(wǎng)絡(luò)上進行傳輸，從而保證了密鑰的安全。因此最安全的加密技術(shù)解決方案應(yīng)是兩種密碼技術(shù)的結(jié)合，用對稱加密技術(shù)加密數(shù)據(jù)，而用非對稱加密技術(shù)加密共享密鑰。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)4.加密系統(tǒng)的選擇企業(yè)在選擇加密系統(tǒng)時應(yīng)結(jié)合自身的業(yè)務(wù)流程、信息處理需要以及面對的安全威脅，并綜合考慮產(chǎn)品的實現(xiàn)、性價比、部署后能產(chǎn)生的積極影響等因素。（1）加密系統(tǒng)主要用在業(yè)務(wù)的什么方面？企業(yè)面臨的主要安全威脅？這些問題決定了企業(yè)對加密系統(tǒng)性能優(yōu)先考慮的方向，（2）硬件加密系統(tǒng)還是軟件加密系統(tǒng)？硬件加密系統(tǒng)的處理速度遠超軟件系統(tǒng)，但較高的采購成本限制了它的應(yīng)用范圍，只適用于對加解密性能要求較敏感的使用環(huán)境。軟件加密系統(tǒng)的優(yōu)點在于實現(xiàn)的靈活性和采購維護成本低。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)（3）加密系統(tǒng)的實現(xiàn)和性能。加密系統(tǒng)的實現(xiàn)主要使用什么加密算法，該加密算法的強度如何，密鑰長度是多少都需要考慮，相對來說，密鑰長度越長加密系統(tǒng)也就越安全，但加解密操作所耗時間也越長。在處理數(shù)據(jù)量巨大或時間敏感性強的情況下，加密系統(tǒng)的性能也成為一個決定性的因素。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)（4）加密系統(tǒng)安全性。企業(yè)在選擇時除了要考慮加密系統(tǒng)所實現(xiàn)的加密功能的安全性之外，還應(yīng)該考慮加密系統(tǒng)自身的安全性，（5）密鑰的生成、分發(fā)和保存方式。密鑰的生成和分發(fā)方式是選擇、部署加密系統(tǒng)的重要環(huán)節(jié)，如果密鑰的分發(fā)保存環(huán)節(jié)不安全，那整個加密系統(tǒng)的功能實現(xiàn)都將受到威脅。（6）加密系統(tǒng)維護成本。任何系統(tǒng)的部署使用都不是一勞永逸的，加密系統(tǒng)也不例外，維護成本包括設(shè)備、軟件的維護、人員培訓(xùn)等，一個需要復(fù)雜的維護的加密系統(tǒng)必定會成為企業(yè)信息部門的噩夢，而運行不穩(wěn)定、缺少維護的加密系統(tǒng)也會使企業(yè)的加密保護策略形同虛設(shè)。因此，加密系統(tǒng)的維護成本也是企業(yè)選擇加密系統(tǒng)時的重要考慮因素。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)5.密鑰的管理要管理好密鑰就必須采用安全的密鑰分配方式，對于共享密鑰一般存在以下幾種密鑰的分配方式（安全級別由低到高）：（1）直接發(fā)送。（2）第三方選取和發(fā)送。（3）加密發(fā)送。（4）通過加密信道發(fā)送。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)

需要注意的是安全系數(shù)和成本代價是矛盾對立的，越安全的分配技術(shù)代表著越高的成本實現(xiàn)的復(fù)雜程度。非對稱加密技術(shù)的密鑰分配方式主要包括（安全級別有低到高）：（1）公開發(fā)布。（2）公用目錄表。（3）公鑰管理機構(gòu)。密鑰的管理除采取適當(dāng)?shù)拿荑€分配方式還應(yīng)注意以下幾個方面的事宜：（1）密鑰的時效性。（2）密鑰的長度。（3）密鑰的存儲。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)6.加密技術(shù)的應(yīng)用電子商務(wù)的安全性要求體現(xiàn)在以下幾個環(huán)節(jié)：●網(wǎng)絡(luò)節(jié)點的安全；網(wǎng)絡(luò)節(jié)點的安全性依靠防火墻保證，防火墻是在連接Internet和Intranet時保證安全性最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的分析和判斷。●通信的安全；數(shù)據(jù)通信的安全主要依靠對通信數(shù)據(jù)的加密來保證。在通信鏈路上的數(shù)據(jù)安全，一定程度上取決于加密的算法和加密的強度下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)●應(yīng)用程序的安全；即使正確地配置了訪問控制規(guī)則，要滿足計算機系統(tǒng)的安全性也是不充分的，因為編程錯誤也可能引致攻擊?！裼脩舻恼J證管理。加密技術(shù)解決了電子商務(wù)中企業(yè)用戶身份認證的問題。身份認證用以確認信息發(fā)送者的身份和驗證信息的完整性，即確認信息在傳送或存儲過程中未被篡改過。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)8.3.2身份識別技術(shù)常見的身份識別技術(shù)包括：●可重用密碼；●OTP；●智能卡；●生物特征識別；●Kerberos；●PKI；●RADIUS和TACACS+。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)1.可重用密碼可重用密碼如操作系統(tǒng)的用戶名/密碼，在網(wǎng)絡(luò)中到處可見。這種技術(shù)簡單、管理方便，但是其健壯性直接與密碼策略相關(guān)，很容易受到攻擊，如暴力攻擊、木馬攻擊。制定相關(guān)嚴謹?shù)拿艽a策略并嚴格執(zhí)行是確?？芍赜妹艽a技術(shù)安全的重要保障。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)2.OTPOTP表示一次性密碼，是一種成熟的也更健壯的身份識別技術(shù)。大多數(shù)OTP是基于雙要素認證原則的。要認證一個系統(tǒng)，用戶需要擁有（如令牌卡）認證器和知道識別碼（如個人識別碼PIN）。生成同步密碼的方法隨OTP系統(tǒng)的不同而不同。在一種比較流行的OTP方法中，令牌卡在一個時間間隔內(nèi)（通常為每60s）生成登錄密碼，這個看上去隨機生成的數(shù)字串實際上與OTP服務(wù)器和令牌上運行的數(shù)學(xué)算法緊密相關(guān)。一個由令牌生成的登錄密碼可能類似FRT5AT89。PIN要么與算法一起使用生成登錄密碼，要么與登錄密碼一起使用。如，生成一個登錄密碼FRT5AT89，則結(jié)合PIN4560產(chǎn)生OTP4560FRT5AT89。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)3.智能卡智能卡是功能齊全的計算機。它有自己的內(nèi)存、微處理器和智能卡讀取器的串行接口。所有這些都被包含在信用卡大小或是更小的物體里（比如全球移動通信系統(tǒng)GSM電話里的客戶身份識別卡SIM）。4.生物特征識別生物特征識別結(jié)合“你是什么”的思想作為認證的一個要素。生物特征識別可包括語音識別、指紋、面部識別和虹膜掃描。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)5.KerberosKerberos是為TCP/IP網(wǎng)絡(luò)系統(tǒng)設(shè)計的可信的第三方認證協(xié)議，用以在公開的分布式環(huán)境中提供網(wǎng)絡(luò)通信方之間相互認證的手段。6.PKIPKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施）是一種用于檢驗用戶身份識別的數(shù)字證書的機制。7.安全協(xié)議Radius和Tacacs+下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)RADIUS和TACACS+是為網(wǎng)絡(luò)提供集中認證服務(wù)的協(xié)議。兩者都在有一個包含用戶名、密碼和訪問權(quán)限數(shù)據(jù)庫的集中式服務(wù)器的前提下工作。當(dāng)某個用戶在使用RADIUS和TACACS+的設(shè)備上進行認證時，該設(shè)備會發(fā)送登錄信息到中央服務(wù)器，來自服務(wù)器的響應(yīng)確定是否授予該用戶訪問權(quán)。因為RADIUS和TACACS+服務(wù)器執(zhí)行認證、授權(quán)和記賬，它們通常被稱為AAA服務(wù)器。

RADIUS和TACACS+作為網(wǎng)絡(luò)系統(tǒng)集中管理用戶名和密碼的一種形式，應(yīng)貫穿網(wǎng)絡(luò)安全設(shè)計的全過程。它的實施場合包括網(wǎng)絡(luò)設(shè)備（路由器、交換機和防火墻）的管理員認證和遠程訪問服務(wù)器（撥號和虛擬專用網(wǎng)）的用戶認證。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)8.3.3主機和應(yīng)用服務(wù)安全主機和應(yīng)用服務(wù)安全技術(shù)主要保護終端系統(tǒng)的操作系統(tǒng)、文件系統(tǒng)和應(yīng)用的安全，其主要技術(shù)包括：●文件系統(tǒng)完整性檢查；●主機防火墻；●主機入侵檢測系統(tǒng)；●主機防病毒。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)1.文件系統(tǒng)完整性檢查文件系統(tǒng)完整性檢查是企業(yè)重要主機和服務(wù)器的基本安全技術(shù)。該技術(shù)通過對重要信息的完整性檢查來判斷信息是否被非法篡改。文件系統(tǒng)校驗器通過文件系統(tǒng)內(nèi)重要文件里儲存的散列值來工作。在這種方式下，如果某個后門、病毒或其他攻擊修改了重要的文件系統(tǒng)，只要重新計算其散列值并與存儲的散列值進行比較，很快就能發(fā)現(xiàn)這一修改。雖然該技術(shù)不能阻止攻擊，但是檢測出來的攻擊反映了系統(tǒng)安全隱患的事實，需要立即著手修復(fù)，以免造成更大的系統(tǒng)破壞和信息損失，對于維護企業(yè)利益有著舉足輕重的作用。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)2.基于主機的防火墻基于主機的防火墻運行在工作站上時，一般也將其稱為個人防火墻，主要用于保護主機系統(tǒng)不受危害，如當(dāng)木馬與服務(wù)端連接時，主機防火墻將發(fā)現(xiàn)該連接請求，并及時地通知用戶是否允許該網(wǎng)絡(luò)連接。還可以將主機防火墻設(shè)置成默認拒絕所有對該主機發(fā)起的網(wǎng)絡(luò)連接請求，這樣將把大部分的攻擊擋在系統(tǒng)之外，當(dāng)然所有的正常網(wǎng)絡(luò)連接也會被拒絕，使用時需多加考慮。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)3.主機入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)（HIDS）通常安裝在被重點檢測的主機之上，主要是對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進行智能分析和判斷。如果其主體活動十分可疑，入侵檢測系統(tǒng)就會采取相應(yīng)措施，如報警或斷開網(wǎng)絡(luò)連接。4.主機防病毒主機防病毒是計算機安全的一項基礎(chǔ)技術(shù)。它可能是世界上實施最為廣泛的安全附加技術(shù)了。在企業(yè)網(wǎng)絡(luò)中的所有服務(wù)器和所有基于Windows用戶主機上安裝主機防病毒軟件是實現(xiàn)主機安全的又一不錯選擇。

下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)

主機防病毒系統(tǒng)通過建立一個病毒特征庫來工作。通過比較，一旦發(fā)現(xiàn)病毒，所有好的防病毒系統(tǒng)都有清除病毒的能力，或在病毒無法清除時，也能夠隔離受病毒感染的文件以防止病毒的擴散。這種檢測病毒的方法稱為特征檢查法，系統(tǒng)的病毒防范能力直接取決于病毒特征庫的病毒特征記錄。因此及時的升級病毒庫是保證主機防病毒系統(tǒng)安全性的重要措施。主機防病毒系統(tǒng)的特征檢查法的最大缺陷在于它無法發(fā)現(xiàn)“零日病毒”，即剛剛誕生并剛在網(wǎng)絡(luò)上傳播的病毒，由于這時病毒庫中還沒有該類病毒的特征，因此無法進行準確的檢查。但往往是這樣的病毒給企業(yè)網(wǎng)絡(luò)造成了最嚴重的損失。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)

合理的利用上述主機和應(yīng)用服務(wù)安全技術(shù)是保障主機和應(yīng)用安全的重要手段。對于企業(yè)網(wǎng)絡(luò)建議包括以下幾點：●所有的主機和服務(wù)器使用主機防病毒系統(tǒng)；●所有的服務(wù)器上使用文件系統(tǒng)校驗技術(shù)；●關(guān)鍵服務(wù)器上使用HIDS；●移動用戶使用基于主機的防火墻技術(shù)。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)8.3.4網(wǎng)絡(luò)防火墻技術(shù)網(wǎng)絡(luò)防火墻（即通常提及的硬件防火墻）通常作為企業(yè)網(wǎng)絡(luò)邊界的關(guān)鍵點，用以強化網(wǎng)絡(luò)之間的訪問控制，可以將其定義為在兩個或多個網(wǎng)絡(luò)之間實施安全策略要求的訪問控制系統(tǒng)。雖然防火墻的引入會導(dǎo)致網(wǎng)絡(luò)應(yīng)用問題并影響網(wǎng)絡(luò)性能，但不可否認它是企業(yè)網(wǎng)絡(luò)安全的主要防衛(wèi)者。1.防火墻的功能1）防火墻是網(wǎng)絡(luò)安全的屏障下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)2）防火墻可以強化網(wǎng)絡(luò)安全策略3）對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計4）防止內(nèi)部信息的外泄2.防火墻的工作原理防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，檢測并過濾所有通向非信任區(qū)域和從非信任區(qū)域傳來的信息，只允許授權(quán)的數(shù)據(jù)通過，并記錄信息有關(guān)的連接來源、服務(wù)器提供的通信量以及試圖闖入網(wǎng)絡(luò)的任何非法活動，以便跟蹤處理。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)3.防火墻的類型防火墻根據(jù)防范的方式和側(cè)重點的不同大致可以分為兩類：包過濾防火墻和應(yīng)用代理防火墻。包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址、目的地址、端口號和協(xié)議類型等標志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則在數(shù)據(jù)流中被丟棄。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)

包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價，是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因為它能很大程度上滿足絕大多數(shù)企業(yè)的安全要求。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)

應(yīng)用代理型防火墻工作在OSI的最高層，即應(yīng)用層。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖8-2所示。在代理型防火墻技術(shù)的發(fā)展過程中，它也經(jīng)歷了兩個不同的版本，第一代應(yīng)用網(wǎng)關(guān)型代理防火墻和第二代自適應(yīng)代理防火墻。4.防火墻的選購應(yīng)該客觀地看到，沒有一個防火墻的設(shè)計能夠適用于所有的環(huán)境，因此企業(yè)應(yīng)結(jié)合站點的特點并根據(jù)防火墻的性能指標以及功能指標來選擇合適的防火墻。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)1）防火墻的性能指標（1）吞吐量。（2）時延。（3）丟包率。（4）并發(fā)連接數(shù)。（5）平均無故障間隔時間。（6）支持的最大用戶數(shù)。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)2）防火墻的功能指標（1）網(wǎng)絡(luò)接口。（2）協(xié)議支持。（3）加密支持。（4）認證支持。（5）訪問控制。（6）防御功能。（7）安全特性。（8）管理功能。（9）記錄和報表功能。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)

此外在選購防火墻時還應(yīng)審核防火墻是否具備國內(nèi)有關(guān)部門的許可證、類別和號碼，這是防火墻合格與可銷售的關(guān)鍵因素。一般包括公安部的銷售許可證、國家信息安全測評中心的認證證書、總參的國防通信入網(wǎng)證和國家保密局的推薦證明等。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)8.3.5入侵檢測系統(tǒng)入侵檢測（IntrusionDetection），顧名思義，是對入侵行為的發(fā)覺。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點進行信息收集并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）。與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進行分析，并得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大地簡化管理員的工作，保證網(wǎng)絡(luò)安全的運行。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)1.入侵檢測系統(tǒng)的主要功能（1）監(jiān)測并分析用戶和系統(tǒng)的活動。（2）核查系統(tǒng)配置和漏洞。（3）評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。（4）識別已知的攻擊行為。（5）統(tǒng)計分析異常行為。（6）操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)2.入侵檢測系統(tǒng)的分類從應(yīng)用角度入侵檢測系統(tǒng)可分為主機型和網(wǎng)絡(luò)型。主機型入侵檢測系統(tǒng)往往以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機收集信息進行分析。主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)。網(wǎng)絡(luò)型入侵檢測系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺機子的網(wǎng)卡設(shè)為混雜模式（PromiscMode），監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進行判斷。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負著保護整個網(wǎng)段的任務(wù)。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)3.入侵檢測技術(shù)入侵檢測技術(shù)從時間上可分為實時入侵檢測和事后入侵檢測兩種。實時入侵檢測在網(wǎng)絡(luò)連接過程中進行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計算機中的專家知識以及神經(jīng)網(wǎng)絡(luò)模型對用戶當(dāng)前的操作進行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，并收集證據(jù)和實施數(shù)據(jù)恢復(fù)。這個檢測過程是不斷循環(huán)進行的。而事后入侵檢測由網(wǎng)絡(luò)管理人員進行，他們具有網(wǎng)絡(luò)安全的專業(yè)知識，根據(jù)計算機系統(tǒng)對用戶操作所做的歷史審計記錄判斷用戶是否具有入侵行為，如果有就斷開連接，并記錄入侵證據(jù)和進行數(shù)據(jù)恢復(fù)。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)

事后入侵檢測是由管理員定期或不定期進行的檢測，不具有實時性，因此防御入侵的能力不如實時入侵檢測系統(tǒng)。從技術(shù)上，入侵檢測也可分為兩類：一種基于標志（Signature-based），另一種基于異常情況（Anomaly-based）。對于基于標識的檢測技術(shù)來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)

而基于異常的檢測技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的數(shù)值與所定義的“正?！鼻闆r進行比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正?！鼻闆r。

下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)

兩種檢測技術(shù)的方法、所得出的結(jié)論有非常大的差異?；诋惓５臋z測技術(shù)的核心是維護一個知識庫。對于已知的攻擊，它可以詳細、準確地報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新。基于異常的檢測技術(shù)則無法準確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣泛、甚至未發(fā)覺的攻擊。如果條件允許，兩者結(jié)合的檢測會達到更好的效果。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)4.NIDS的連接方式

NIDS通過對網(wǎng)絡(luò)流量的分析來檢測異常情況，這決定了其特殊的連接方式和在網(wǎng)絡(luò)中所處的位置。其特殊的連接方式和位置體現(xiàn)在兩個方面，首先要保證NIDS探測器所處的位置能夠抓取到想分析的網(wǎng)絡(luò)流量；其次要保證能夠?qū)λ袛?shù)據(jù)流量進行分析，避免由于丟包而出現(xiàn)漏報的情況。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)

在傳統(tǒng)的共享型網(wǎng)絡(luò)中，由于集線器轉(zhuǎn)發(fā)所有數(shù)據(jù)包到每一個端口，因此入侵檢測系統(tǒng)的連接方式比較簡單，如圖8-3所示。在現(xiàn)代交換型網(wǎng)絡(luò)中，由于交換機的智能特性，NIDS在連接時需對交換機進行特殊配置，其連接方式如圖8-4所示。在千兆或萬兆網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)流量巨大，為保證對所有流量進行分析，NIDS可以采取如圖8-5所示的連接方式。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)8.3.6VPN技術(shù)

VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)）是當(dāng)今應(yīng)用非常普及的遠程安全網(wǎng)絡(luò)構(gòu)建技術(shù)。它可在公用網(wǎng)絡(luò)上（一般是因特網(wǎng)）構(gòu)建私人的專用網(wǎng)絡(luò)，是對企業(yè)內(nèi)部網(wǎng)的極大擴展。VPN可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。實現(xiàn)安全傳輸?shù)耐瑫r，通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的公用網(wǎng)絡(luò)上，VPN還將大幅度地減少企業(yè)花費在城域網(wǎng)和遠程網(wǎng)絡(luò)連接上的費用。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)VPN提供的主要功能特性包括以下幾點：（1）安全保障。（2）服務(wù)質(zhì)量保障。（3）可擴充性和靈活性。（4）可管理性。（5）降低成本。1.VPN的分類根據(jù)VPN的作用，可以將VPN分為3類：VPDN、IntranetVPN和ExtranetVPN。1）VPDN（VirtualPrivateDialNetwork）在遠程用戶或移動雇員和公司內(nèi)部網(wǎng)之間的VPN，稱為VPDN。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)2）IntranetVPN在公司遠程分支機構(gòu)的LAN和公司總部LAN之間的VPN。3）ExtranetVPN在供應(yīng)商、商業(yè)合作伙伴的LAN和公司的LAN之間的VPN。2.VPN的隧道協(xié)議

VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵在于隧道的建立，然后數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進行封裝、傳送以保安全性。一般在數(shù)據(jù)鏈路層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有PPTP、L2TP等；在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如GRE、IPSec；另外，SOCKSv5協(xié)議則在TCP層實現(xiàn)數(shù)據(jù)安全。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)3.VPN設(shè)備及連接方式很多類型的設(shè)備都能夠使用VPN隧道來傳輸加密數(shù)據(jù)。這些設(shè)備之間的典型連接形式有如下幾種：（1）兩臺路由器直接通過隧道相連，如圖8-6所示。（2）PC到路由器/VPN集中器：移動用戶通過這種方式連接到網(wǎng)絡(luò)，如圖8-7所示。（3）一臺路由器連接多臺路由器：每條隧道都是一條點到點的連接，如圖8-8所示。（4）路由器/PC到防火墻：防火墻對跨越網(wǎng)絡(luò)邊界的數(shù)據(jù)流進行監(jiān)視，并根據(jù)安全策略對其進行限制，如圖8-9所示。下一頁返回上一頁8.3網(wǎng)絡(luò)安全技術(shù)4.VPN典型應(yīng)用方案圖VPN典型應(yīng)用方案圖如圖8-10所示。返回上一頁8.4網(wǎng)絡(luò)攻擊與防范

攻擊是指任何的非授權(quán)行為，攻擊的范圍從簡單的使服務(wù)器無法提供正常的服務(wù)到完全破壞和控制服務(wù)器。在網(wǎng)絡(luò)上成功實施的攻擊級別依賴于用戶采用的安全措施。知己知彼，百戰(zhàn)不殆，掌握必要的攻擊原理和手段是更好地部署企業(yè)防御措施的先決條件。下一頁返回8.4網(wǎng)絡(luò)攻擊與防范8.4.1網(wǎng)絡(luò)攻防概述1.攻擊分類從高層次角度看，網(wǎng)絡(luò)攻擊主要分為以下兩類。被動攻擊（PassiveAttacks），攻擊者通過監(jiān)聽網(wǎng)絡(luò)流量以獲取信息。這種攻擊可以是基于網(wǎng)絡(luò)（跟蹤通信鏈路）或基于系統(tǒng)（秘密抓取數(shù)據(jù)的木馬）的，被動攻擊很容易阻止，但難以檢測。主動攻擊（ActiveAttacks），攻擊者試圖突破用戶的安全防線。這種攻擊涉及到數(shù)據(jù)的修改或創(chuàng)建錯誤流，主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務(wù)等。主動攻擊容易檢測，但是難以阻止。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范2.攻擊者類型腳本人員的高層次攻擊者往往掌握了一定的攻擊技術(shù)并頗具經(jīng)驗，他們擁有對特定目標構(gòu)思并發(fā)起新型攻擊的能力，對于這類攻擊者，一般稱之為“解密者”。他們攻擊的目的性相對明確，通常是為了商業(yè)競爭而竊取機密信息，或出于報復(fù)和對社會的不滿。最高級別的攻擊者，我們通常稱之為“黑客”或“駭客”，他們一般是收入豐厚的企業(yè)間諜、政府的信息作戰(zhàn)群體、政治流氓或恐怖分子。他們的攻擊目標一般比較特殊，且對網(wǎng)絡(luò)的威脅極大。但是能夠真正稱之為“黑客”的只是攻擊者中數(shù)量極小的一部分。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范3.攻擊原理一般攻擊者的攻擊步驟都有一定的規(guī)律性，攻擊之前必須先“踩點”，收集目標信息，然后對采集到的信息進行分析，查找系統(tǒng)漏洞進而想方設(shè)法建立入侵通道并實施攻擊，最后為全身而退清理入侵痕跡。一般攻擊步驟如下：1）隱藏攻擊位置攻擊者一般會選擇采取利用跳板攻擊的方式，這樣能夠隱藏真實攻擊位置，防止反入侵系統(tǒng)的跟蹤?！叭怆u”指的是網(wǎng)絡(luò)中防御力量非常薄弱，很容易被入侵的計算機，這些計算機通常能夠輕易地被攻擊者遠程控制用以發(fā)起對攻擊目標的入侵。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范2）尋找目標主機并分析目標主機攻擊者首先要尋找目標主機并分析目標主機。在Internet上能真正標識主機的是IP地址，域名是為了便于記憶主機的IP地址而另起的名字，只要利用域名和IP地址就可以順利地找到目標主機。當(dāng)然，知道了要攻擊目標的位置還是遠遠不夠的，還必須將主機的操作系統(tǒng)類型及其所提供的服務(wù)等資料作個全面的了解。此時，攻擊者們會使用一些掃描器工具輕松獲取目標主機運行的是哪種操作系統(tǒng)的哪個版本，系統(tǒng)有哪些賬戶，WWW、FTP、Telnet、SMTP等服務(wù)器程序是何種版本等資料，為入侵作好充分的準備。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范3）獲取賬號和密碼，登錄主機攻擊者要想入侵一臺主機，首先要有該主機的一個賬號和密碼，否則連登錄都無法進行。這樣常迫使他們先設(shè)法盜竊賬戶文件進行破解，從中獲取某用戶的賬戶和口令，再尋覓合適時機以此身份進入主機。當(dāng)然，利用某些工具或系統(tǒng)漏洞登錄主機也是攻擊者常用的一種手段。4）獲得控制權(quán)攻擊者用FTP、Telnet等工具利用系統(tǒng)漏洞進入目標主機系統(tǒng)獲得控制權(quán)之后，一般還需清除記錄和留下后門。他們會更改某些系統(tǒng)設(shè)置、在系統(tǒng)中置入木馬或其他一些遠程操縱程序，以便日后可以不被覺察的再次進入系統(tǒng)。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范5）竊取網(wǎng)絡(luò)資源和特權(quán)攻擊者找到攻擊目標后，出于不同的目的，一般會采取相應(yīng)的動作，如下載敏感信息，竊取重要系統(tǒng)的賬號密碼、信用卡信息，或致使網(wǎng)絡(luò)癱瘓等。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范4.實現(xiàn)網(wǎng)絡(luò)攻擊的原理和常用手法1）口令入侵所謂口令入侵是指使用某些合法用戶的賬號和口令登錄到目的主機，然后再實施攻擊活動。2）放置特洛伊木馬程序特洛伊木馬程序可以直接侵入用戶的計算機并進行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會像古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的計算機中，并在自己的計算機系統(tǒng)中隱藏一個可以在Windows啟動時悄悄執(zhí)行的程序。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范

當(dāng)你連接到因特網(wǎng)上時，這個程序就會通知攻擊者，來報告你的IP地址以及預(yù)先設(shè)定的端口。攻擊者在收到這些信息后，再利用這個潛伏在其中的程序，就可以任意地修改你的計算機的參數(shù)設(shè)定、復(fù)制文件、窺視你整個硬盤中的內(nèi)容等，從而達到控制你的計算機的目的。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范3）WWW的欺騙技術(shù)網(wǎng)上用戶可以利用瀏覽器進行各種各樣的Web站點的訪問，如閱讀新聞組、咨詢產(chǎn)品價格、訂閱報紙、電子商務(wù)活動等。然而網(wǎng)絡(luò)用戶很有可能訪問到被黑客篡改過的網(wǎng)頁，網(wǎng)頁上的信息是虛假的，如黑客將用戶要瀏覽的網(wǎng)頁的URL改寫為指向黑客自己的服務(wù)器，當(dāng)用戶瀏覽目標網(wǎng)頁的時候，實際上是向黑客服務(wù)器發(fā)出請求，那么黑客就可以達到欺騙的目的。一般Web欺騙使用兩種技術(shù)手段，URL地址重寫技術(shù)和相關(guān)信息掩蓋技術(shù)。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范4）電子郵件攻擊電子郵件是互聯(lián)網(wǎng)上運用的十分廣泛的一種通信方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量內(nèi)容重復(fù)、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當(dāng)垃圾郵件的發(fā)送流量特別大時，還有可能造成郵件系統(tǒng)對于正常的工作反應(yīng)緩慢，甚至癱瘓。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范5）網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是主機的一種工作模式，在這種模式下，主機可以接收到本網(wǎng)段內(nèi)傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接收方是誰。因為系統(tǒng)在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到服務(wù)器端，而攻擊者就能在兩端之間進行數(shù)據(jù)監(jiān)聽。此時若兩臺主機進行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具（如Sniffer、ethereal等）就可輕而易舉地截取包括口令和賬號在內(nèi)的信息資料。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范6）利用黑客軟件攻擊利用黑客軟件攻擊是互聯(lián)網(wǎng)上比較多的一種攻擊手法。BackOrifice2000、冰河等都是比較著名的特洛伊木馬，它們可以非法地取得用戶計算機的超級用戶級權(quán)利，可以對其進行完全的控制，除了可以進行文件操作外，同時也可以進行對方桌面抓圖、取得密碼等操作。這些黑客軟件分為服務(wù)器端和客戶端，當(dāng)黑客進行攻擊時，會使用客戶端程序登錄已安裝好服務(wù)器端程序的計算機，這些服務(wù)器端程序都比較小，一般會附帶于某些軟件上。有可能當(dāng)用戶下載了一個小游戲并運行時，黑客軟件的服務(wù)器端就安裝完成了，而且大部分黑客軟件的重生能力比較強，給用戶進行清除造成一定的麻煩。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范7）安全漏洞攻擊許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs）。其中一些是操作系統(tǒng)或應(yīng)用軟件本身具有的，如緩沖區(qū)溢出攻擊。由于很多系統(tǒng)不檢查程序與緩沖之間變化的情況就任意接受任意長度的數(shù)據(jù)輸入，把溢出的數(shù)據(jù)放在堆棧里，系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令，系統(tǒng)便進入不穩(wěn)定狀態(tài)。若攻擊者特別配置了一串準備用作攻擊的字符，他甚至可以訪問根目錄，從而擁有對整個網(wǎng)絡(luò)的絕對控制權(quán)。另一些是利用協(xié)議漏洞進行攻擊。如攻擊者利用POP3在根目錄下運行的這一漏洞發(fā)動攻擊，破壞根目錄，從而獲得超級用戶的權(quán)限。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范8）端口掃描攻擊所謂端口掃描，就是利用Socket編程與目標主機的某些端口建立TCP連接、進行傳輸協(xié)議的驗證等，從而偵聽目標主機的掃描端口是否是處于激活狀態(tài)、主機提供了哪些服務(wù)、提供的服務(wù)中是否含有某些缺陷等。常用的掃描方式有：TCPConnect()掃描、TCPSYN掃描、TCPFIN掃描等。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范8.4.2端口掃描計算機端口是計算機服務(wù)程序與外界通信的窗口或通道，任何一個協(xié)議或服務(wù)運行的前提是對應(yīng)端口得以打開，如正在運行Web服務(wù)的計算機的80端口肯定是處于開啟狀態(tài)的，其他客戶端與Web服務(wù)器的通信都是通過80端口來建立連接和實現(xiàn)信息傳遞的。端口是計算機與外界進行交流的通道，同時也是攻擊者入侵的門路。1.端口掃描工作原理下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范

掃描器通過選用遠程TCP/IP不同的端口服務(wù)，并記錄目標給予的回答，通過這種方法，可以搜集到很多關(guān)于目標主機的各種有用的信息（比如：是否能用匿名登錄！是否有可寫的FTP目錄，是否能用Telnet等）。掃描器3項主要功能：（1）發(fā)現(xiàn)主機或網(wǎng)絡(luò)的能力；（2）探測運行服務(wù)及服務(wù)版本的能力；（3）通過測試服務(wù)發(fā)現(xiàn)漏洞的能力。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范2.常用的端口掃描技術(shù)1）TCPconnect()掃描2）TCPSYN掃描3）TCPFIN掃描4）IP段掃描5）UDPrecvfrom()和write()掃描6）ICMPecho掃描下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范8.4.3網(wǎng)絡(luò)嗅探1.網(wǎng)絡(luò)嗅探原理傳統(tǒng)的網(wǎng)絡(luò)嗅探在局域網(wǎng)中非常容易實現(xiàn)，因為傳統(tǒng)網(wǎng)絡(luò)是基于媒介共享的共享型網(wǎng)絡(luò)，本地網(wǎng)絡(luò)中任一計算機發(fā)送的數(shù)據(jù)，無論目標是誰，本地網(wǎng)絡(luò)中所有的計算機的網(wǎng)卡都會收到該數(shù)據(jù)，并且檢查數(shù)據(jù)中的目標MAC地址是否指向本身，正常情況下，如果是的話，網(wǎng)卡將接收數(shù)據(jù)并提交操作系統(tǒng)處理，如果不是的話，則丟棄該數(shù)據(jù)。上述提及的“正常情況”指的是網(wǎng)卡驅(qū)動程序設(shè)置的接收模式為直接方式。網(wǎng)卡通常會有4種接收方式：廣播方式、組播方式、直接方式和混雜模式。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范2.網(wǎng)絡(luò)嗅探威脅網(wǎng)絡(luò)嗅探屬于被動攻擊方式，由于其被動性和非干擾性，網(wǎng)絡(luò)嗅探具有很高的隱蔽性，網(wǎng)絡(luò)信息泄露變得很難被檢測，對網(wǎng)絡(luò)的威脅非常大。網(wǎng)絡(luò)嗅探的主要影響如下：（1）網(wǎng)絡(luò)嗅探使得機密信息很容易被竊取，信息的機密性受到嚴重威脅。（2）網(wǎng)絡(luò)嗅探導(dǎo)致了網(wǎng)絡(luò)用戶身份的真實性問題。（3）網(wǎng)絡(luò)嗅探促使很多攻擊成為可能，如中間人攻擊、重放攻擊等。（4）網(wǎng)絡(luò)嗅探能夠被用來分析網(wǎng)絡(luò)結(jié)構(gòu)，進行網(wǎng)絡(luò)滲透。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范3.網(wǎng)絡(luò)嗅探防范防范傳統(tǒng)網(wǎng)絡(luò)嗅探的措施主要包括：（1）對網(wǎng)絡(luò)進行邏輯分段或物理分段。（2）使用交換機取代集線器，實現(xiàn)傳統(tǒng)網(wǎng)絡(luò)到現(xiàn)代網(wǎng)絡(luò)的過度。（3）使用加密技術(shù)。（4）劃分VLAN。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范8.4.4緩沖區(qū)溢出攻防緩沖區(qū)溢出是一種非常普遍、非常危險的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。利用緩沖區(qū)攻擊可以導(dǎo)致程序運行失敗、系統(tǒng)宕機、重新啟動等。更為嚴重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進而進行各種非法操作。1.緩沖區(qū)溢出原理下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范

緩沖區(qū)是內(nèi)存中存放數(shù)據(jù)的地方。在程序試圖將數(shù)據(jù)放到主機內(nèi)存中的某一個位置的時候，因為沒有足夠的空間就會發(fā)生緩沖區(qū)溢出。而人為的溢出則是有一定企圖的，攻擊者寫一個超過緩沖區(qū)長度的字符串，植入到緩沖區(qū)，然后再向一個有限空間的緩沖區(qū)中植入超長的字符串，這時可能會出現(xiàn)兩個結(jié)果：一是過長的字符串覆蓋了相鄰的存儲單元，引起程序運行失敗，嚴重的可導(dǎo)致系統(tǒng)崩潰；另一個結(jié)果就是利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)超級管理員權(quán)限。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范

僅僅單個的緩沖區(qū)溢出并不是問題的根本所在，但如果溢出送到能夠以root權(quán)限運行命令的區(qū)域，一旦運行這些命令，那就等于把主機拱手相讓了。造成緩沖區(qū)溢出的原因是程序中沒有仔細檢查用戶輸入的參數(shù)。例如下面程序：example1.cvoidfunc1(char*input){charbuffer[16];strcpy(buffer，input);}上面的strcpy()將直接把input中的內(nèi)容copy到buffer中。這樣只要input的長度大于16，下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范

就會造成buffer的溢出，使程序運行出錯。當(dāng)然，隨便往緩沖區(qū)中填內(nèi)容造成它溢出一般只會出現(xiàn)Segmentationfault錯誤，而不能達到攻擊的目的。最常見的手段是通過制造緩沖區(qū)溢出使程序運行一個用戶shell，再通過shell執(zhí)行其他命令。如果該程序?qū)儆趓oot且有suid權(quán)限的話，攻擊者就獲得了一個有root權(quán)限的shell，便可以對系統(tǒng)進行任意操作了。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范2.緩沖區(qū)溢出防范1）編寫正確的代碼2）不可執(zhí)行堆棧數(shù)據(jù)段3）利用程序編譯器執(zhí)行邊界檢查4）指針完整性檢查下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范8.4.5拒絕服務(wù)攻防1.拒絕服務(wù)攻擊概念拒絕服務(wù)（DenialofService，DoS）是一種簡單又很有效的進攻方式。攻擊的主要目的是癱瘓服務(wù)器，使其不能正常的提供服務(wù)，或堵塞組織網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范導(dǎo)致DoS攻擊發(fā)生的原因主要有：1）軟件的缺陷某些軟件由于開發(fā)過程中的疏忽，致使其對于某些特定類型的數(shù)據(jù)報文或請求不能正常處理，從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。2）協(xié)議漏洞3）資源的有限性下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范2.分布式拒絕服務(wù)攻擊概述

DDoS是英文DistributedDenialofService的縮寫，意即“分布式拒絕服務(wù)”，它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式。DDoS的攻擊策略側(cè)重于通過很多“僵尸主機”（被攻擊者入侵過或可間接利用的主機）向受害主機發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實施，攻擊網(wǎng)絡(luò)包就會猶如洪水般涌向受害主機，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱之為“泛洪攻擊”。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范3.網(wǎng)絡(luò)泛洪的防范措施1）增加網(wǎng)絡(luò)帶寬、提高服務(wù)器硬件性能、采用高性能的網(wǎng)絡(luò)設(shè)備這項措施就好比是在家里增加電話數(shù)量，該措施對于防止輕量級的DDoS攻擊有一定的效果。2）關(guān)閉不必要的服務(wù)，減少泛洪攻擊通道關(guān)閉不必要的服務(wù)就關(guān)閉了部分計算機對外通信的端口，從而減少攻擊的入侵通道。關(guān)閉不必要的服務(wù)是最大程度減少各種攻擊發(fā)生的非常直接有效的措施。下一頁返回上一頁8.4網(wǎng)絡(luò)攻擊與防范3）對協(xié)議進行相關(guān)操作對通信協(xié)議進行相關(guān)的設(shè)置操作是防范網(wǎng)絡(luò)泛洪的又一有效措施，如限制服務(wù)器同時打開SYN半連接數(shù)目，縮短SYN半連接的失效時間對于防御SYNFlood攻擊是非常有效的。4）及時更新系統(tǒng)或軟件補丁及時更新系統(tǒng)或軟件補丁，消除系統(tǒng)或軟件漏洞有利于防止DoS攻擊。5）訪問控制列表（ACL）6）TCP攔截7）采用分布內(nèi)容的負載均衡系統(tǒng)8）將重要的信息系統(tǒng)置于不同的WAN鏈路上返回上一頁8.5企業(yè)網(wǎng)絡(luò)安全設(shè)計考慮

企業(yè)網(wǎng)絡(luò)安全設(shè)計是網(wǎng)絡(luò)設(shè)計中極為重要的內(nèi)容。企業(yè)網(wǎng)絡(luò)信息系統(tǒng)是計算機技術(shù)和通信技術(shù)相結(jié)合的產(chǎn)物，是計算機資源在更廣泛的地理區(qū)域內(nèi)的共享，具有分布廣泛性、體系結(jié)構(gòu)開放性、資源共享性、通信信道的共同性等特點。正是由于這些特點，在增加了網(wǎng)絡(luò)系統(tǒng)的實用性的同時，也帶來了系統(tǒng)的脆弱性，特別是在用戶識別和存取控制方面存在著薄弱環(huán)節(jié)。下一頁返回8.5企業(yè)網(wǎng)絡(luò)安全設(shè)計考慮

安全控制的具體方法主要包括物理訪問控制與邏輯訪問控制。對網(wǎng)絡(luò)中任何節(jié)點的物理訪問都應(yīng)受到物理訪問控制的限制，如通信鏈路中的電纜、接線柜以及網(wǎng)絡(luò)中的路由器、交換機等設(shè)備的物理訪問控制。邏輯訪問控制主要用于識別并驗證用戶，將用戶限制在被授權(quán)的活動和資源范圍內(nèi)，它主要包括對資源提供選擇性保護，使用戶對不同的數(shù)據(jù)庫具有不同的訪問權(quán)限，提供訪問級別和撤銷授權(quán)的能力，用唯一的用戶ID來識別每一個用戶。提供鑒別能力使系統(tǒng)能夠驗證一個用戶的確切身份。記錄資源利用情況，并將該信息報告給適當(dāng)?shù)墓ぷ魅藛T。當(dāng)然，一個好的企業(yè)網(wǎng)絡(luò)安全設(shè)計需要在性能與安全性、操作簡易性與安全性、成本投入與安全性之間尋求平衡。下一頁返回上一頁8.5企業(yè)網(wǎng)絡(luò)安全設(shè)計考慮8.5.1物理安全以下規(guī)則可以幫助網(wǎng)絡(luò)設(shè)計人員強化網(wǎng)絡(luò)物理安全?！窨刂茖υO(shè)施的物理訪問；●防止非安全位置的密碼恢復(fù)機制；●清楚電纜線路問題；●清楚物理PC安全威脅。下一頁返回上一頁8.5企業(yè)網(wǎng)絡(luò)安全設(shè)計考慮1.控制對設(shè)施的物理訪問大多數(shù)企業(yè)通過以下機制（安全級別從低到高）來實現(xiàn)物理安全。（1）鑰匙訪問。（2）鑰匙卡訪問。（3）帶十字轉(zhuǎn)門的鑰匙卡訪問。下一頁返回上一頁8.5企業(yè)網(wǎng)絡(luò)安全設(shè)計考慮

鑰匙訪問是最常用的、傳統(tǒng)的物理安全機制，較多的用于小型企業(yè)中。該訪問方式要求訪問人員必須擁有開鎖的鑰匙。雖然該方式實現(xiàn)非常簡單，沒有技術(shù)要求，成本低，但是也存在很多的不足，如員工非正常離開公司，可能導(dǎo)致鑰匙的丟失；不能對員工每次的訪問進行數(shù)據(jù)統(tǒng)計；鑰匙很容易被復(fù)制；鑰匙是單要素認證形式等。下一頁返回上一頁8.5企業(yè)網(wǎng)絡(luò)安全設(shè)計考慮

在較大企業(yè)中，更常用的是鑰匙卡訪問形式，該方式能夠提供更高的安全性。鑰匙卡是在身份識別技術(shù)中介紹的智能卡。使用鑰匙卡系統(tǒng)的優(yōu)勢在于一張卡可以控制對多個位置的訪問；萬一卡丟失，可以方便地利用系統(tǒng)禁用丟失的卡；可以對訪問人員進行訪問記錄。其缺陷在于與鑰匙訪問形式一樣，屬于單要素認證形式；智能卡系統(tǒng)較鑰匙訪問形式成本高；一旦中央認證系統(tǒng)出現(xiàn)故障，所有用戶將無法對設(shè)施進行正常訪問。下一頁返回上一頁8.5企業(yè)網(wǎng)絡(luò)安全設(shè)計考慮2.防止非安全位置的密碼恢復(fù)機制有些設(shè)備可以在有攻擊者對系統(tǒng)進行物理訪問時進行控制，阻止其進行密碼恢復(fù)。例如，在Cisco高端路由器和交換機上可以進行相應(yīng)命令的設(shè)置。

Router（config）#noservicepassword-recovery

當(dāng)在路由器或交換機上輸入此命令時，如果中斷啟動過程，則只允許用戶將系統(tǒng)重新設(shè)置為出廠時的默認配置。如果沒有進行上述命令的配置，攻擊者就可以清除密碼并訪問原來的配置。在不安全的分支機構(gòu)或者是在無法保證網(wǎng)絡(luò)設(shè)備物理安全的位置進行上述配置是非常有意義的。下一頁返回上一頁8.5企業(yè)網(wǎng)絡(luò)安全設(shè)計考慮3.清楚線纜線路問題現(xiàn)有流行的傳輸介質(zhì)主要有兩種：5類或更高的UTP和光纖。UTP電纜很容易被竊聽，而且目前的攻擊技術(shù)同樣能夠?qū)崿F(xiàn)對光纖的竊聽，因此在企業(yè)組網(wǎng)過程中，必須重視攻擊者直接訪問物理介質(zhì)的風(fēng)險，因為這種攻擊方式通常能夠繞過其他安全控制，使攻擊者很容易就能夠訪問信息。下一頁返回上一頁8.5企業(yè)網(wǎng)絡(luò)安全設(shè)計考慮4.清楚物理PC安全威脅重要敏感的信息不僅存在于服務(wù)器中，還存儲于PC中。這與現(xiàn)有企業(yè)員工一樣，服務(wù)器資源是在需要時使用的，而感興趣的信息通常存儲在本地PC中。因此，關(guān)注員工PC安全，防止重要信息泄露，對于保障企業(yè)網(wǎng)絡(luò)安全有著非常重要的意義。下一頁返回上一頁8.5企業(yè)網(wǎng)絡(luò)安全設(shè)計考慮8.5.2二層安全

Layer2安全是信息安全方面最易被忽視的一個方面，常常被安全審核錯過，特別是當(dāng)那些審核更多的聚焦在策略之上，而不是實際部署的時候。攻擊者不關(guān)心策略，他們只會利用任何可用的安全漏洞。在獲得網(wǎng)絡(luò)中單臺PC的根用戶權(quán)限后，他們第一時間要做的事情之一，就是實施Layer2攻擊。下面以Cisco設(shè)備為例講述如何強化Layer2安全。下一頁返回上一頁8.5企業(yè)網(wǎng)絡(luò)安全設(shè)計考慮1.啟用SSH，禁止Telnet2.強化VTP及SNMP的安全3.關(guān)閉空閑的交換機端口4.阻止CAM表格以及DHCP耗盡5.DHCP/MAC/IP欺騙防護下一頁返回上一頁8.5企業(yè)網(wǎng)絡(luò)