計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)課件 第6章 網(wǎng)絡(luò)安全技術(shù)

THEBASISOFCOMPUTERNETWORKSECURITY第6章網(wǎng)絡(luò)安全技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)1第6章網(wǎng)絡(luò)安全技術(shù)按照網(wǎng)絡(luò)安全技術(shù)的理論可分為：攻擊技術(shù)和防御技術(shù)。攻擊技術(shù)包括網(wǎng)絡(luò)監(jiān)聽(tīng)、網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)后門(mén)等；防御技術(shù)包括加密技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)等。本章主要介紹網(wǎng)絡(luò)安全協(xié)議、網(wǎng)絡(luò)攻擊方法及對(duì)策、網(wǎng)絡(luò)加密技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)、虛擬專(zhuān)用網(wǎng)技術(shù)、網(wǎng)絡(luò)證技術(shù)和網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)。2第6章網(wǎng)絡(luò)安全技術(shù)●網(wǎng)絡(luò)安全協(xié)議及傳輸技術(shù)●網(wǎng)絡(luò)加密技術(shù)●防火墻技術(shù)●網(wǎng)絡(luò)攻擊類(lèi)型及對(duì)策●入侵檢測(cè)技術(shù)●虛擬專(zhuān)用網(wǎng)技術(shù)●計(jì)算機(jī)網(wǎng)絡(luò)取證技術(shù)●網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)3（第6章）6.1網(wǎng)絡(luò)安全協(xié)議及傳輸技術(shù)46.1網(wǎng)絡(luò)安全協(xié)議及傳輸技術(shù)5在信息網(wǎng)絡(luò)中，可以在OSI七層協(xié)議中的任何一層采取安全措施。圖中給出了每一層可以利用的安全機(jī)制。大部分安全措施都采用特定的協(xié)議來(lái)實(shí)現(xiàn)，如在網(wǎng)絡(luò)層加密和認(rèn)證采用IPSec（IPSecurity）協(xié)議、在傳輸層加密和認(rèn)證采用SSL協(xié)議等。安全協(xié)議本質(zhì)上是關(guān)于某種應(yīng)用的一系列規(guī)定，包括功能、參數(shù)、格式和模式等，連通的各方只有共同遵守協(xié)議，才能相互操作。應(yīng)用層安全協(xié)議6（1）安全Shell（SSH）協(xié)議。是一種建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議，通過(guò)對(duì)密碼進(jìn)行加密傳輸驗(yàn)證，可以在不安全的網(wǎng)絡(luò)中對(duì)網(wǎng)絡(luò)服務(wù)提供安全地傳輸環(huán)境，實(shí)現(xiàn)SSH客戶(hù)端和SSH服務(wù)器的連接，所以SSH是基于客戶(hù)端-服務(wù)器模式。（2）安全電子交易（SET）協(xié)議。是基于信用卡在線(xiàn)支付的電子商務(wù)安全協(xié)議，它定義了交易數(shù)據(jù)在卡用戶(hù)、商家、發(fā)卡行和收單行之間的流通過(guò)程，以及支持這些交易的各種安全功能（數(shù)字簽名、Hash算法和加密等）。SET協(xié)議提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性。應(yīng)用層安全協(xié)議7（3）S-HTTP協(xié)議。是一種面向安全信息通信的協(xié)議，S-HTTP協(xié)議工作在應(yīng)用層，同時(shí)對(duì)HTML進(jìn)行了擴(kuò)展，服務(wù)器方可以在需要進(jìn)行安全保護(hù)的文檔中加入加密選項(xiàng)，控制對(duì)該文檔的訪(fǎng)問(wèn)以及協(xié)商加密、解密和簽名算法等。（4）PGP協(xié)議。PGP協(xié)議主要用于安全電子郵件，它可以對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)臄?shù)據(jù)創(chuàng)建和檢驗(yàn)數(shù)字簽名、加密、解密以及壓縮。（5）S/MIME協(xié)議。S/MIME是一種互聯(lián)網(wǎng)標(biāo)準(zhǔn)，它在安全方面對(duì)MIME協(xié)議進(jìn)行了擴(kuò)展，可以將MIME實(shí)體（比如數(shù)字簽名和加密信息等）封裝成安全對(duì)象，為電子郵件應(yīng)用增添了消息真實(shí)性、完整性和保密性服務(wù)。傳輸層安全協(xié)議8（1）SSL協(xié)議。安全套接層SSL協(xié)議是Netscape開(kāi)發(fā)的安全協(xié)議，它工作在傳輸層，獨(dú)立于上層應(yīng)用，為應(yīng)用提供一個(gè)安全的點(diǎn)—點(diǎn)通信隧道。SSL機(jī)制由協(xié)商過(guò)程和通信過(guò)程組成，協(xié)商過(guò)程用于確定加密機(jī)制、加密算法、交換會(huì)話(huà)密鑰服務(wù)器認(rèn)證以及可選的客戶(hù)端認(rèn)證，通信過(guò)程秘密傳送上層數(shù)據(jù)。（2）PCT協(xié)議。私密通信技術(shù)協(xié)議PCT是Microsoft開(kāi)發(fā)的傳輸層安全協(xié)議，它與SSL協(xié)議有很多相似之處?，F(xiàn)在PCT協(xié)議已經(jīng)同SSL協(xié)議合并為T(mén)LS（傳輸層安全）協(xié)議，只是習(xí)慣上仍然把TLS協(xié)議稱(chēng)為SSL協(xié)議。網(wǎng)絡(luò)層安全協(xié)議9網(wǎng)絡(luò)層安全協(xié)議通常是對(duì)網(wǎng)絡(luò)層協(xié)議的安全性增強(qiáng)，即在網(wǎng)絡(luò)層協(xié)議的基礎(chǔ)上增加了數(shù)據(jù)加密和認(rèn)證等安全機(jī)制。IPSec協(xié)議是在IP協(xié)議的基礎(chǔ)上提供了數(shù)據(jù)保密性、數(shù)據(jù)完整性、以及抗重播等安全機(jī)制和服務(wù)，保證IP協(xié)議及上層協(xié)議能夠安全地交換數(shù)據(jù)。IPSec提供了三種不同的形式來(lái)保護(hù)通過(guò)公有或私有IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù)。①認(rèn)證②數(shù)據(jù)完整性驗(yàn)證③保密鏈路層安全協(xié)議10PPTP（點(diǎn)對(duì)點(diǎn)隧道協(xié)議）是在PPP協(xié)議的基礎(chǔ)上發(fā)展起來(lái)的一種新的增強(qiáng)型安全協(xié)議。它支持多協(xié)議虛擬專(zhuān)用網(wǎng)（VPN），可以使用密碼認(rèn)證協(xié)議（PAP）、可擴(kuò)展認(rèn)證協(xié)議（EAP）等方式。L2TP（二層隧道協(xié)議）是一種國(guó)際標(biāo)準(zhǔn)的隧道協(xié)議。它結(jié)合了PPTP協(xié)議和二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點(diǎn)。它可以通過(guò)各種網(wǎng)絡(luò)協(xié)議對(duì)PPP數(shù)據(jù)包進(jìn)行隧道傳輸，包括ATM、SONET和幀中繼。但是L2TP沒(méi)有任何加密措施，多與IPSec協(xié)議配合使用，提供隧道認(rèn)證。網(wǎng)絡(luò)安全傳輸技術(shù)11網(wǎng)絡(luò)安全傳輸通道應(yīng)該提供以下功能和特性。①機(jī)密性。通過(guò)對(duì)信息加密保證只有預(yù)期的接收者才能讀出數(shù)據(jù)。②完整性。保護(hù)信息在傳輸過(guò)程中免遭未經(jīng)授權(quán)的修改，從而保證接收到的信息與發(fā)送的信息完全相同。③對(duì)數(shù)據(jù)源的身份驗(yàn)證。通過(guò)保證每個(gè)計(jì)算機(jī)的真實(shí)身份來(lái)檢查信息的來(lái)源以及完整性。④反重發(fā)攻擊。通過(guò)保證每個(gè)數(shù)據(jù)包的唯一性來(lái)確保攻擊者捕獲的數(shù)據(jù)包不能重發(fā)或重用。網(wǎng)絡(luò)層安全協(xié)議IPSec12IPSec是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。IPSec有兩個(gè)基本目標(biāo)：保護(hù)IP數(shù)據(jù)包安全；為抵御網(wǎng)絡(luò)攻擊提供防護(hù)措施。IPSec是基于一種端對(duì)端的安全模式。這種模式有一個(gè)基本前提假設(shè)，就是假定數(shù)據(jù)通信的傳輸媒介是不安全的，因此通信數(shù)據(jù)必須經(jīng)過(guò)加密，而掌握加、解密方法的只有數(shù)據(jù)流的發(fā)送端和接收端，兩者各自負(fù)責(zé)相應(yīng)的數(shù)據(jù)加、解密處理，而網(wǎng)絡(luò)中其他只負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)的路由器或主機(jī)無(wú)需支持IPSec。網(wǎng)絡(luò)層安全協(xié)議IPSec13IPSec提供了以下3種不同的形式來(lái)保護(hù)通過(guò)公有或私有IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù)。①認(rèn)證。通過(guò)認(rèn)證可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是否一致，同時(shí)可以確定申請(qǐng)發(fā)送者在實(shí)際上是真實(shí)的，還是偽裝的發(fā)送者。②數(shù)據(jù)完整驗(yàn)證。通過(guò)驗(yàn)證，保證數(shù)據(jù)在從原發(fā)地到目的地的傳送過(guò)程中沒(méi)有發(fā)生任何無(wú)法檢測(cè)的丟失與改變。③保密。使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無(wú)關(guān)的接收者無(wú)法獲知數(shù)據(jù)的真正內(nèi)容。IPSec通過(guò)使用兩種通信安全協(xié)議：認(rèn)證頭（AuthenticationHeader，AH）協(xié)議、封裝安全載荷（EncryptionServicePayload，ESP）協(xié)議，并使用像Internet密鑰交換（InternetKeyExchange，IKE）協(xié)議之類(lèi)的協(xié)議來(lái)共同實(shí)現(xiàn)安全性。認(rèn)證頭（AH）協(xié)議14設(shè)計(jì)認(rèn)證頭（AH）協(xié)議的目的是用來(lái)增加IP數(shù)據(jù)報(bào)的安全性。AH協(xié)議提供無(wú)連接的完整性、數(shù)據(jù)源認(rèn)證和防重放保護(hù)服務(wù)。AH協(xié)議不提供任何保密性服務(wù)，它不加密所保護(hù)的數(shù)據(jù)包。AH協(xié)議的作用是為IP數(shù)據(jù)流提供高強(qiáng)度的密碼認(rèn)證，以確保被修改過(guò)的數(shù)據(jù)包可以被檢查出來(lái)。AH協(xié)議的工作步驟如下。①I(mǎi)P報(bào)頭和數(shù)據(jù)負(fù)載用來(lái)生成MAC。②MAC被用來(lái)建立一個(gè)新的AH報(bào)頭，并添加到原始的數(shù)據(jù)包上。③新的數(shù)據(jù)包被傳送到IPSec對(duì)端路由器上。④對(duì)端路由器對(duì)IP報(bào)頭和數(shù)據(jù)負(fù)載生成MAC，并從AH報(bào)頭中提取出發(fā)送過(guò)來(lái)的MAC信息，且對(duì)兩個(gè)信息進(jìn)行比較。封裝安全載荷（ESP）協(xié)議15封裝安全載荷（ESP）協(xié)議可以被用來(lái)提供保密性、數(shù)據(jù)來(lái)源認(rèn)證（鑒別）、無(wú)連接完整性、防重放服務(wù)，以及通過(guò)防止數(shù)據(jù)流分析來(lái)提供有限的數(shù)據(jù)流加密保護(hù)。ESP協(xié)議同時(shí)支持驗(yàn)證和加密功能。ESP協(xié)議在每一個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn)IP報(bào)頭后方添加一個(gè)ESP報(bào)文頭，并在數(shù)據(jù)包后方追加一個(gè)ESP尾。與AH協(xié)議不同的是，ESP協(xié)議是將數(shù)據(jù)中的有效載荷進(jìn)行加密后再封裝到數(shù)據(jù)包中，以此保證數(shù)據(jù)的機(jī)密性，但ESP沒(méi)有對(duì)IP頭的內(nèi)容進(jìn)行保護(hù)，除非IP頭被封裝在ESP內(nèi)部。Internet密鑰交換（IKE）協(xié)議16IKE主要完成如下3各方面的任務(wù)：（1）對(duì)建立IPSec的雙方進(jìn)行認(rèn)證（需要預(yù)先協(xié)商認(rèn)證方式）；（2）通過(guò)密鑰交換，產(chǎn)生用于加密和HMAC的隨機(jī)密鑰；（3）協(xié)商協(xié)議參數(shù)（加密協(xié)議、散列函數(shù)、封裝協(xié)議、封裝模式和密鑰有效期）。IKE協(xié)議是一種混合協(xié)議，它為IPSec提供實(shí)用服務(wù)（IPSec雙方的鑒別、IKE協(xié)議和IPSec安全關(guān)聯(lián)的協(xié)商），以及為IPSec所用的加密算法建立密鑰。它使用了3個(gè)不同協(xié)議的相關(guān)部分：（1）SKEME。決定IKE的密鑰交換方式，IKE主要使用DH來(lái)實(shí)現(xiàn)密鑰交換。（2）Oakley。決定IPSec的框架設(shè)計(jì)，讓IPSec能夠支持更多的協(xié)議。（3）ISAKMP。IKE的本質(zhì)協(xié)議，它決定了IKE協(xié)商包的封裝格式，交換過(guò)程和模式的切換。

IPSec安全傳輸技術(shù)17IPsec既可以用來(lái)直接加密主機(jī)之間的網(wǎng)絡(luò)通信（也就是傳輸模式)；也可以用來(lái)在兩個(gè)子網(wǎng)之間建造“虛擬隧道”用于兩個(gè)網(wǎng)絡(luò)之間的安全通信(也就是隧道模式)。后一種更多的被稱(chēng)為是虛擬專(zhuān)用網(wǎng)(VPN)。IPSec提供三種形式來(lái)保護(hù)傳送的數(shù)據(jù)：①認(rèn)證?？梢源_定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時(shí)可以確定申請(qǐng)發(fā)送者在實(shí)際上是真實(shí)發(fā)送者，而不是偽裝的。②數(shù)據(jù)完整。保證數(shù)據(jù)從原發(fā)地到目的地的傳送過(guò)程中沒(méi)有任何不可檢測(cè)的數(shù)據(jù)丟失與改變。③機(jī)密性。使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無(wú)意獲取數(shù)據(jù)的接收者無(wú)法獲知數(shù)據(jù)的真正內(nèi)容安全協(xié)議18安全協(xié)議包括認(rèn)證頭協(xié)議（AH）和安全負(fù)載封裝（ESP）。它們既可用來(lái)保護(hù)一個(gè)完整的IP載荷，也可用來(lái)保護(hù)某個(gè)IP載荷的上層協(xié)議。這兩方面的保護(hù)分別是由IPSec兩種不同的實(shí)現(xiàn)模式來(lái)提供的。安全協(xié)議19封裝安全載荷（EncapsulatingSecurityPayload，ESP）：屬于IPSec的一種安全協(xié)議，它可確保IP數(shù)據(jù)報(bào)的機(jī)密性、數(shù)據(jù)的完整性以及對(duì)數(shù)據(jù)源的身份驗(yàn)證。此外，它也能負(fù)責(zé)對(duì)重放攻擊的抵抗。

驗(yàn)證頭（AuthenticationHeader，AH）：與ESP類(lèi)似，AH也提供了數(shù)據(jù)完整性、數(shù)據(jù)源驗(yàn)證以及抗重放攻擊的能力。密鑰管理20密鑰管理包括密鑰確定和密鑰分發(fā)兩個(gè)方面，最多需要4個(gè)密鑰：AH和ESP各兩個(gè)發(fā)送和接收密鑰。密鑰本身是一個(gè)二進(jìn)制字符串，通常用十六進(jìn)制表示。密鑰管理包括手工和自動(dòng)兩種方式。人工手動(dòng)管理方式是指管理員使用自己的密鑰及其他系統(tǒng)的密鑰手工設(shè)置每個(gè)系統(tǒng)，這種方法在小型網(wǎng)絡(luò)環(huán)境中使用比較實(shí)際。自動(dòng)管理系統(tǒng)能滿(mǎn)足其他所有的應(yīng)用要求，使用自動(dòng)管理系統(tǒng)，可以動(dòng)態(tài)地確定和分發(fā)密鑰，自動(dòng)管理系統(tǒng)具有一個(gè)中央控制點(diǎn)，集中的密鑰管理者可以令自己更加安全，最大限度地發(fā)揮IPSec的效用。IPSec的實(shí)現(xiàn)方式21●傳輸模式通常在ESP一臺(tái)主機(jī)（客戶(hù)機(jī)或服務(wù)器）上實(shí)現(xiàn)時(shí)使用，傳輸模式使用原始明文IP頭，并且只加密數(shù)據(jù)，包括它的TCP和UDP頭?！袼淼滥Ｊ酵ǔ．?dāng)ESP在關(guān)聯(lián)到多臺(tái)主機(jī)的網(wǎng)絡(luò)訪(fǎng)問(wèn)介入裝置實(shí)現(xiàn)時(shí)使用，隧道模式處理整個(gè)IP數(shù)據(jù)包：包括全部TCP/IP或UDP/IP頭和數(shù)據(jù)，它用自己的地址作為源地址加入新的IP頭。當(dāng)隧道模式用在用戶(hù)終端設(shè)置時(shí)，它可以提供更多的便利來(lái)隱藏內(nèi)部服務(wù)器主機(jī)和客戶(hù)機(jī)的地址。隧道模式被用在兩端或是一端是安全網(wǎng)關(guān)的架構(gòu)中，例如裝有IPSec的路由器或防火墻。傳輸層安全協(xié)議22安全套接層（SecureSocketsLayer，SSL）協(xié)議是由Netscape公司開(kāi)發(fā)的一套Internet數(shù)據(jù)安全協(xié)議，目前已廣泛用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通信提供安全支持。1．SSL協(xié)議體系結(jié)構(gòu)SSLVPN通過(guò)SSL協(xié)議，利用PKI的證書(shū)體系，在傳輸過(guò)程中使用DES、3DES、AES、RSA、MD5、SHA1等多種密碼算法保證數(shù)據(jù)的機(jī)密性、完整性、不可否認(rèn)性而完成秘密傳輸，實(shí)現(xiàn)在Internet上安全地進(jìn)行信息交換。安全套接層SSL協(xié)議23SSL協(xié)議使用TCP來(lái)提供一種可靠的端到端的安全服務(wù)。SSL協(xié)議分為兩層，其中SSL握手協(xié)議、修改密文協(xié)議和告警協(xié)議位于上層，SSL記錄協(xié)議為不同的更高層協(xié)議提供了基本的安全服務(wù)，可以看到HTTP可以在SSL協(xié)議上運(yùn)行。①SSL連接。SSL連接是點(diǎn)對(duì)點(diǎn)的關(guān)系，每一個(gè)連接與一個(gè)會(huì)話(huà)相聯(lián)系。②SSL會(huì)話(huà)。SSL會(huì)話(huà)是客戶(hù)和服務(wù)器之間的關(guān)聯(lián)，會(huì)話(huà)通過(guò)握手協(xié)議來(lái)創(chuàng)建。會(huì)話(huà)定義了加密安全參數(shù)的一個(gè)集合，該集合可以被多個(gè)連接所共享。安全套接層SSL協(xié)議24（1）SSL記錄協(xié)議。為SSL連接提供以下兩種服務(wù)。機(jī)密性。握手協(xié)議定義了共享的、可以用于對(duì)SSL協(xié)議有效載荷進(jìn)行常規(guī)加密的密鑰。報(bào)文完整性。握手協(xié)議定義了共享的、可以用來(lái)形成報(bào)文的MAC碼和密鑰。（2）SSL修改密文規(guī)約協(xié)議。由單個(gè)報(bào)文構(gòu)成，該報(bào)文由值為1的單個(gè)字節(jié)組成。這個(gè)報(bào)文的唯一目的就是使掛起狀態(tài)被復(fù)制到當(dāng)前狀態(tài)，從而改變這個(gè)連接將要使用的密文簇。（3）SSL告警協(xié)議。告警協(xié)議用來(lái)將SSL協(xié)議有關(guān)的警告?zhèn)魉徒o對(duì)方實(shí)體。它由兩個(gè)字節(jié)組成，第一個(gè)字節(jié)的值用來(lái)表明警告的嚴(yán)重級(jí)別，第二個(gè)字節(jié)表示特定告警的代碼。安全套接層SSL協(xié)議25（4）SSL握手協(xié)議。使得服務(wù)器和客戶(hù)能相互鑒別對(duì)方的身份、協(xié)商加密和MAC算法以及用來(lái)保護(hù)在SSL記錄中發(fā)送數(shù)據(jù)的加密密鑰。在傳輸任何應(yīng)用數(shù)據(jù)前，都必須使用握手協(xié)議。階段1：建立安全能力，包括協(xié)議版本、會(huì)話(huà)ID、密文簇、壓縮方法和初始隨機(jī)數(shù)。這個(gè)階段將開(kāi)始邏輯連接并且建立和這個(gè)連接相關(guān)聯(lián)的安全能力。階段2：服務(wù)器鑒別和密鑰交換。這個(gè)階段服務(wù)器可以發(fā)送證書(shū)、密鑰交換和證書(shū)請(qǐng)求。服務(wù)器發(fā)出結(jié)束hello報(bào)文階段的信號(hào)。階段3：客戶(hù)鑒別和密鑰交換。如果請(qǐng)求的話(huà)，客戶(hù)發(fā)送證書(shū)和密鑰交換，客戶(hù)可以發(fā)送證書(shū)驗(yàn)證報(bào)文。階段4：結(jié)束，這個(gè)階段完成安全連接的建立、修改密文簇并結(jié)束握手協(xié)議。SSL安全傳輸技術(shù)26首先我們構(gòu)建一個(gè)認(rèn)證中心CA，這個(gè)認(rèn)證中心專(zhuān)門(mén)存放每一位使用者之公鑰及私鑰，并且每一位使用者必須自行建置資料于認(rèn)證中心。當(dāng)A用戶(hù)端要傳送信息給B用戶(hù)端，并且希望傳送的過(guò)程之間必須加以保密，則A用戶(hù)端和B用戶(hù)端都必須向認(rèn)證中心申請(qǐng)一對(duì)加解密專(zhuān)用鍵值（Key），之后A用戶(hù)端再傳送信息給B用戶(hù)端時(shí)先向認(rèn)證中心索取B用戶(hù)端的公鑰及私鑰，然后利用加密算法將信息與B用戶(hù)端的私鑰作重新組合。當(dāng)信息一旦送到B用戶(hù)端時(shí)，B用戶(hù)端也會(huì)以同樣的方式到認(rèn)證中心取得B用戶(hù)端自己的鍵值（Key），然后利用解密算法將收到的資料與自己的私鑰作重新組合，則最后產(chǎn)生的就是A用戶(hù)端傳送過(guò)來(lái)給B用戶(hù)端的原始資料。SSLVPN特點(diǎn)27SSLVPN控制功能強(qiáng)大，能方便公司實(shí)現(xiàn)更多遠(yuǎn)程用戶(hù)在不同地點(diǎn)遠(yuǎn)程接入，實(shí)現(xiàn)更多網(wǎng)絡(luò)資源訪(fǎng)問(wèn)，且對(duì)客戶(hù)端設(shè)備要求低，因而降低了配置和運(yùn)行支撐成本。SSLVPN提供安全、可代理連接，只有經(jīng)認(rèn)證的用戶(hù)才能對(duì)資源進(jìn)行訪(fǎng)問(wèn)，這就安全多了。SSLVPN能對(duì)加密隧道進(jìn)行細(xì)分，從而使得終端用戶(hù)能夠同時(shí)接入Internet和訪(fǎng)問(wèn)內(nèi)部企業(yè)網(wǎng)資源，也就是說(shuō)它具備可控功能。SSLVPN通信基于標(biāo)準(zhǔn)TCP/UDP協(xié)議傳輸，因而能遍歷所有NAT設(shè)備、基于代理的防火墻和狀態(tài)檢測(cè)防火墻。這使得用戶(hù)能夠從任何地方接入，無(wú)論是處于其他公司網(wǎng)絡(luò)中基于代理的防火墻之后，或是寬帶連接中。隨著遠(yuǎn)程接入需求的不斷增長(zhǎng)，SSLVPN是實(shí)現(xiàn)任意位置的遠(yuǎn)程安全接入的理想選擇。（第6章）6.2網(wǎng)絡(luò)加密技術(shù)286.2網(wǎng)絡(luò)加密技術(shù)29在計(jì)算機(jī)網(wǎng)絡(luò)中加密分為端—端加密方式和數(shù)據(jù)鏈路層加密方式?！穸恕思用堋Ｓ绍浖?qū)ｉT(mén)硬件在表示層或應(yīng)用層實(shí)現(xiàn)變換。這種方法給用戶(hù)提供了一定的靈活性，但增加了主機(jī)負(fù)擔(dān)，更不太適合于一般終端。●數(shù)據(jù)鏈路層加密。數(shù)據(jù)和報(bào)頭都被加密，采用硬件加密方式時(shí)不影響現(xiàn)有的軟件。目前數(shù)據(jù)加密方式有：鏈路加密、端—端加密、節(jié)點(diǎn)加密。鏈路加密30鏈路加密是目前最常用的一種加密方法，通常用硬件在網(wǎng)絡(luò)層以下的物理層和數(shù)據(jù)鏈路層中實(shí)現(xiàn)，它用于保護(hù)通信節(jié)點(diǎn)間傳輸?shù)臄?shù)據(jù)。這種加密方式比較簡(jiǎn)單，實(shí)現(xiàn)起來(lái)也比較容易，只要把一對(duì)密碼設(shè)備安裝在兩個(gè)節(jié)點(diǎn)間的線(xiàn)路上，即把密碼設(shè)備安裝在節(jié)點(diǎn)和調(diào)制解調(diào)器之間，使用相同的密鑰即可。異步通信加密31鏈路加密分為異步通信加密和同步通信加密兩種，而同步通信根據(jù)字節(jié)同步和位同步，又可分為兩種。1．異步通信加密異步通信時(shí)，發(fā)送字符中的各位都是按發(fā)送方數(shù)據(jù)加密設(shè)備DEE（DataEncryptingEquipment）的時(shí)鐘所確定的不同時(shí)間間隔來(lái)發(fā)送的。接收方的數(shù)據(jù)終端設(shè)備DTE（DataTerminalEquipment）產(chǎn)生一個(gè)頻率與發(fā)送方時(shí)鐘脈沖相同，且具有一定相位關(guān)系的同步脈沖，并以此同步脈沖為時(shí)間基準(zhǔn)接收發(fā)送過(guò)來(lái)的字符，從而實(shí)現(xiàn)收發(fā)雙方的通信同步。對(duì)異步通信的加密，一般起始位不加密，數(shù)據(jù)位和奇偶校驗(yàn)位加密，終止位不加密。同步通信加密32字節(jié)同步通信利用專(zhuān)用同步字符SYN建立最初的同步。傳輸開(kāi)始后，接收方從接收到的信息序列中提取同步信息。為了區(qū)別不同性質(zhì)的報(bào)文以及標(biāo)志報(bào)文的開(kāi)始、結(jié)束等格式，各種基于字節(jié)同步的通信協(xié)議均提供一組控制字符，并規(guī)定了報(bào)文的格式。信息報(bào)文由SOH，STX，ETX和BCC4個(gè)傳輸控制字符構(gòu)成。控制字符SOH表示信息報(bào)文的報(bào)頭開(kāi)始；STX表示報(bào)頭結(jié)束和正文開(kāi)始；ETX表示正文結(jié)束；BCC表示檢驗(yàn)字符。對(duì)字節(jié)同步通信信息報(bào)文的加密，一般只加密報(bào)頭、報(bào)文正文和檢驗(yàn)字符，而對(duì)控制字符不加密。同步通信加密33基于位同步通信協(xié)議有HDLC。HDLC以幀作為信息傳輸?shù)幕締挝?，無(wú)論是信息報(bào)文還是監(jiān)控報(bào)文，都按幀的格式進(jìn)行傳輸。

其中F為標(biāo)志，表示每幀的頭和尾；A為站地址；C為控制命令和響應(yīng)類(lèi)別；I為數(shù)據(jù)；FCS為幀校驗(yàn)序列。HDLC采用循環(huán)冗余校驗(yàn)。對(duì)位同步通信進(jìn)行加密時(shí)，除標(biāo)志F以外全部加密。鏈路加密方式有兩個(gè)缺點(diǎn)：一是全部報(bào)文都以明文形式通過(guò)各節(jié)點(diǎn)的計(jì)算機(jī)中央處理機(jī)，在這些節(jié)點(diǎn)上數(shù)據(jù)容易受到非法存取的危害；二是由于每條鏈路都要有一對(duì)加密/解密設(shè)備和一個(gè)獨(dú)立的密鑰，維護(hù)節(jié)點(diǎn)的安全性費(fèi)用較高，因此成本也較高。節(jié)點(diǎn)加密34節(jié)點(diǎn)加密是鏈路加密的改進(jìn)，其目的是克服鏈路加密在節(jié)點(diǎn)處易遭非法存取的缺點(diǎn)。在協(xié)議運(yùn)輸層上進(jìn)行加密，是對(duì)源點(diǎn)和目標(biāo)節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)。它與鏈路加密類(lèi)似，只是加密算法要組合在依附于節(jié)點(diǎn)的加密模件中。端—端加密35網(wǎng)絡(luò)層以上的加密，通常稱(chēng)為端—端加密。端—端加密是面向網(wǎng)絡(luò)高層主體進(jìn)行的加密，即在協(xié)議表示層上對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，而不對(duì)下層協(xié)議信息加密。協(xié)議信息以明文形式傳輸，用戶(hù)數(shù)據(jù)在中間節(jié)點(diǎn)不需要加密。端—端加密往往以軟件的形式實(shí)現(xiàn)，并在應(yīng)用層或表示層上完成。這種加密方式，數(shù)據(jù)在通過(guò)各節(jié)點(diǎn)傳輸時(shí)一直對(duì)數(shù)據(jù)進(jìn)行保護(hù)，數(shù)據(jù)只是在終點(diǎn)才進(jìn)行解密。在數(shù)據(jù)傳輸?shù)恼麄€(gè)過(guò)程中，以一個(gè)不確定的密鑰和算法進(jìn)行加密。在中間節(jié)點(diǎn)和有關(guān)安全模塊內(nèi)永遠(yuǎn)不會(huì)出現(xiàn)明文。端—端加密或節(jié)點(diǎn)加密時(shí)，只加密報(bào)文，不加密報(bào)頭。端—端加密優(yōu)點(diǎn)：成本低、比鏈路加密更安全、加密方式比較靈活。（第6章）6.3防火墻技術(shù)366.3防火墻技術(shù)37防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪(fǎng)問(wèn)控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。本質(zhì)上，它遵循的是一種允許或阻止業(yè)務(wù)來(lái)往的網(wǎng)絡(luò)通信安全機(jī)制，也就是提供可控的過(guò)濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。防火墻遵循的是一種允許或阻止業(yè)務(wù)來(lái)往的網(wǎng)絡(luò)通信安全機(jī)制，也就是提供可控的過(guò)濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。6.3防火墻技術(shù)38防火墻技術(shù)的功能主要在于及時(shí)發(fā)現(xiàn)并處理計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行時(shí)可能存在的安全風(fēng)險(xiǎn)、數(shù)據(jù)傳輸?shù)葐?wèn)題，其中處理措施包括隔離與保護(hù)，同時(shí)可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全當(dāng)中的各項(xiàng)操作實(shí)施記錄與檢測(cè)，以確保計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性，保障用戶(hù)資料與信息的完整性，為用戶(hù)提供更好、更安全的計(jì)算機(jī)網(wǎng)絡(luò)使用體驗(yàn)。防火墻是由軟件和硬件組成的，具有以下的功能。①所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過(guò)防火墻。②所有穿過(guò)防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)。③理論上說(shuō)，防火墻是穿不透的。6.3防火墻技術(shù)39內(nèi)部網(wǎng)需要防范的三種攻擊有：●

間諜。試圖偷走敏感信息的黑客、入侵者和闖入者?！癖I竊。盜竊對(duì)象包括數(shù)據(jù)、Web表格、磁盤(pán)空間和CPU資源等。●破壞系統(tǒng)。通過(guò)路由器或主機(jī)／服務(wù)器蓄意破壞文件系統(tǒng)或阻止授權(quán)用戶(hù)訪(fǎng)問(wèn)內(nèi)部網(wǎng)（外部網(wǎng)）和服務(wù)器。這里，防火墻的作用是保護(hù)Web站點(diǎn)和公司的內(nèi)部網(wǎng)，使之免遭因特網(wǎng)上各種危險(xiǎn)的侵犯。6.3防火墻技術(shù)40典型的防火墻建立在一個(gè)服務(wù)器或主機(jī)的機(jī)器上，亦稱(chēng)“堡壘主機(jī)”，它是一個(gè)多邊協(xié)議路由器。這個(gè)堡壘主機(jī)連接兩個(gè)網(wǎng)絡(luò)：一邊與內(nèi)部網(wǎng)相連，另一邊與互聯(lián)網(wǎng)相連。它的主要作用除了防止未經(jīng)授權(quán)的來(lái)自或?qū)ヂ?lián)網(wǎng)的訪(fǎng)問(wèn)外，還包括為安全管理提供詳細(xì)的系統(tǒng)活動(dòng)的記錄。在有的配置中，這個(gè)堡壘主機(jī)經(jīng)常作為一個(gè)公共Web服務(wù)器或一個(gè)FTP或E-mail服務(wù)器使用。防火墻的基本目的之一就是防止黑客侵?jǐn)_站點(diǎn)。站點(diǎn)暴露于無(wú)數(shù)威脅之中，而防火墻可以幫助防止外部連接。因此，還應(yīng)小心局域網(wǎng)內(nèi)的非法的連接，特別是當(dāng)Web服務(wù)器在受保護(hù)的區(qū)域內(nèi)時(shí)。防火墻在互聯(lián)網(wǎng)與內(nèi)部網(wǎng)中的位置41通常防火墻是一組硬件設(shè)備，即路由器、主計(jì)算機(jī)或者是路由器、計(jì)算機(jī)和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合。所有來(lái)自互聯(lián)網(wǎng)的傳輸信息或從內(nèi)部網(wǎng)絡(luò)發(fā)出的信息都必須穿過(guò)防火墻。因此，防火墻能夠確保各系統(tǒng)間信息交換的安全。從邏輯上講，防火墻是分離器、限制器和分析器。從物理角度看，各站點(diǎn)防火墻物理實(shí)現(xiàn)的方式有所不同。防火墻的基本功能42（1）防火墻能夠強(qiáng)化安全策略。通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。防火墻執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。（2）防火墻能有效地記錄互聯(lián)網(wǎng)上的活動(dòng)。所有進(jìn)出信息都必須通過(guò)防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。（3）防火墻限制暴露用戶(hù)點(diǎn)。防火墻能夠用來(lái)隔開(kāi)網(wǎng)絡(luò)中的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，就能夠有效控制影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播。（4）防火墻是一個(gè)安全策略的檢查站。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過(guò)防火墻，防火墻便成為一個(gè)安全檢查點(diǎn)，使可疑的訪(fǎng)問(wèn)被拒絕于門(mén)外。防火墻的不足之處43（1）不能防范惡意的知情者。防火墻可以禁止系統(tǒng)用戶(hù)經(jīng)過(guò)網(wǎng)絡(luò)連接發(fā)送專(zhuān)有的信息，但不能防止內(nèi)部用戶(hù)偷竊數(shù)據(jù)，破壞硬件和軟件。（2）防火墻不能防范不通過(guò)它的連接。（3）防火墻不能防備全部的威脅。目前沒(méi)有一個(gè)防火墻能自動(dòng)防御所有的新威脅。（4）防火墻不能防范病毒。防火墻不能消除網(wǎng)絡(luò)上的病毒。雖然許多防火墻掃描所有通過(guò)的信息，以決定是否允許它通過(guò)內(nèi)部網(wǎng)絡(luò)，但掃描是針對(duì)源、目標(biāo)地址和端口號(hào)的，而不掃描數(shù)據(jù)的確切內(nèi)容。即使是先進(jìn)的數(shù)據(jù)包過(guò)濾，在病毒防范上也是不實(shí)用的。包過(guò)濾路由器44包（又稱(chēng)為分組）是網(wǎng)絡(luò)上信息流動(dòng)的單位。傳輸文件時(shí)，在發(fā)送端該文件被劃分成若干個(gè)數(shù)據(jù)包，這些數(shù)據(jù)包經(jīng)過(guò)網(wǎng)上的中間站點(diǎn)，最終到達(dá)目的地，接收端又將這些數(shù)據(jù)包重新組合成原來(lái)的文件。每個(gè)包有兩個(gè)部分：數(shù)據(jù)部分和包頭。包頭中含有源地址和目標(biāo)地址等信息。包過(guò)濾器又稱(chēng)為包過(guò)濾路由器，它通過(guò)將包頭信息和管理員設(shè)定的規(guī)則表比較，如果有一條規(guī)則不允許發(fā)送某個(gè)包，路由器將它丟棄。包過(guò)濾一直是一種簡(jiǎn)單而有效的方法。通過(guò)攔截?cái)?shù)據(jù)包，讀出并拒絕那些不符合標(biāo)準(zhǔn)的包頭，過(guò)濾掉不應(yīng)入站的信息。包過(guò)濾路由器的優(yōu)缺點(diǎn)45優(yōu)點(diǎn)：僅用一個(gè)放置在重要位置上的包過(guò)濾路由器就可保護(hù)整個(gè)網(wǎng)絡(luò)。如果站點(diǎn)與因特網(wǎng)間只有一臺(tái)路由器，那么不管站點(diǎn)規(guī)模有多大，只要在這臺(tái)路由器上設(shè)置合適的包過(guò)濾，站點(diǎn)就可獲得很好的網(wǎng)絡(luò)安全保護(hù)。包過(guò)濾不需要用戶(hù)軟件的支持，也不要求對(duì)客戶(hù)機(jī)作特別的設(shè)置，也沒(méi)有必要對(duì)用戶(hù)作任何培訓(xùn)。缺點(diǎn)：在機(jī)器中配置包過(guò)濾規(guī)則比較困難；對(duì)系統(tǒng)中的包過(guò)濾規(guī)則的配置進(jìn)行測(cè)試也較麻煩；許多產(chǎn)品的包過(guò)濾功都有這樣或那樣的局限性，要找一個(gè)比較完整的包過(guò)濾產(chǎn)品比較困難。包過(guò)濾路由器的配置46①協(xié)議的雙向性。協(xié)議總是雙向的，協(xié)議包括一方發(fā)送一個(gè)請(qǐng)求而另一方返回一個(gè)應(yīng)答。在制訂包過(guò)濾規(guī)則時(shí)，要注意包是從兩個(gè)方向來(lái)到路由器的。②“往內(nèi)”與“往外”的含義。一個(gè)往外的服務(wù)（如Telnet）同時(shí)包含往外的包（發(fā)送的信息）和往內(nèi)的包（返回的信息）。雖然大多數(shù)人習(xí)慣于用“服務(wù)”來(lái)定義規(guī)定，但在制訂包過(guò)濾規(guī)則時(shí)，一定要具體到每一種類(lèi)型的包。③“默認(rèn)允許”與“默認(rèn)拒絕”。默認(rèn)拒絕指沒(méi)有明確地被允許就應(yīng)被拒絕，默認(rèn)允許指沒(méi)有明確地被拒絕就應(yīng)被允許。從安全角度來(lái)看，用默認(rèn)拒絕應(yīng)該更合適。首先應(yīng)從拒絕任何傳輸來(lái)開(kāi)始設(shè)置包過(guò)濾規(guī)則，然后對(duì)某些應(yīng)被允許傳輸?shù)膮f(xié)議設(shè)置允許標(biāo)志。這樣做會(huì)使系統(tǒng)的安全性更好一些。包過(guò)濾設(shè)計(jì)47假設(shè)網(wǎng)絡(luò)策略安全規(guī)則確定：從外部主機(jī)發(fā)來(lái)的互聯(lián)網(wǎng)郵件在某一特定網(wǎng)關(guān)被接收，并且想拒絕從不信任的名為T(mén)HEHOST的主機(jī)發(fā)來(lái)的數(shù)據(jù)流（一個(gè)可能的原因是該主機(jī)發(fā)送郵件系統(tǒng)不能處理的大量的報(bào)文，另一個(gè)可能的原因是懷疑這臺(tái)主機(jī)會(huì)給網(wǎng)絡(luò)安全帶來(lái)極大的威脅）。在這個(gè)例子中，SMTP使用的網(wǎng)絡(luò)安全策略必須翻譯成包過(guò)濾規(guī)則。在此可以把網(wǎng)絡(luò)安全規(guī)則翻譯成下列中文規(guī)則。過(guò)濾器規(guī)則1：我們不相信從THEHOST來(lái)的連接。過(guò)濾器規(guī)則2：我們?cè)试S與我們的郵件網(wǎng)關(guān)的連接。過(guò)濾規(guī)則號(hào)動(dòng)作內(nèi)部主機(jī)內(nèi)部主機(jī)端口外部主機(jī)外部路由器的端口說(shuō)明1阻塞**THEHOST*阻塞來(lái)自THEHOST流量2允許Mail-GW25**允許我們的郵件網(wǎng)關(guān)的連接3允許***25允許輸出SMTP至遠(yuǎn)程郵件網(wǎng)關(guān)包過(guò)濾設(shè)計(jì)48對(duì)于過(guò)濾器規(guī)則1：可以翻譯為：阻塞任何從（*）THEHOST端口來(lái)的到我們?nèi)我猓?）主機(jī)的任意（*）端口的連接。對(duì)于過(guò)濾器規(guī)則2：可以翻譯為：允許任意（*）外部主機(jī)從其任意（*）端口到我們的Mail-GW主機(jī)端口的連接。使用端口25是因?yàn)檫@個(gè)TCP端口是保留給SMTP的。這些規(guī)則應(yīng)用的順序與它們?cè)诒碇械捻樞蛳嗤Ｈ绻粋€(gè)包不與任何規(guī)則匹配，它就會(huì)遭到拒絕。過(guò)濾規(guī)則規(guī)定：允許任何外部機(jī)器從端口25產(chǎn)生一個(gè)請(qǐng)求。端口25應(yīng)該保留SMTP，但一個(gè)外部主機(jī)可能用這個(gè)端口做其他用途。第三個(gè)規(guī)則表示了一個(gè)內(nèi)部主機(jī)如何發(fā)送SMTP郵件到外部主機(jī)端口25，以使內(nèi)部主機(jī)完成發(fā)送郵件到外部站點(diǎn)的任務(wù)。如果外部站點(diǎn)對(duì)SMTP不使用端口25，那么SMTP發(fā)送者便不能發(fā)送郵件。包過(guò)濾設(shè)計(jì)49TCP是全雙工連接，信息流是雙向的。所有的TCP連接都要發(fā)送ACK包。當(dāng)ACK包被發(fā)送出去時(shí)，其發(fā)送方向相反，且包過(guò)濾規(guī)則應(yīng)考慮那些確認(rèn)控制包或ACK包。過(guò)濾

規(guī)則號(hào)動(dòng)作源主機(jī)或網(wǎng)絡(luò)源主機(jī)

端口目的主機(jī)或網(wǎng)絡(luò)目的

主機(jī)端口TCP標(biāo)志或IP選項(xiàng)說(shuō)明1允許**25*包從網(wǎng)絡(luò)至目的主機(jī)端口252允許Mail-GW25*ACK允許返回確認(rèn)過(guò)濾規(guī)則1：允許任何從網(wǎng)絡(luò)的任一端口（*）產(chǎn)生的到具有任何TCP標(biāo)志或IP選項(xiàng)設(shè)置的、任一目的主機(jī)（*）的端口25的連接。過(guò)濾規(guī)則2：允許任何來(lái)自任一網(wǎng)絡(luò)的發(fā)自于端口25的、具有TCPACK標(biāo)志設(shè)置的、到網(wǎng)（）的任一（*）端口的連接被繼續(xù)設(shè)置。堡壘主機(jī)50堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決，從而達(dá)到省時(shí)省力，不用考慮其它主機(jī)的安全的目的。堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)，所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)。一個(gè)堡壘主機(jī)使用兩塊網(wǎng)卡，每個(gè)網(wǎng)卡連接不同的網(wǎng)絡(luò)。一塊網(wǎng)卡連接內(nèi)部網(wǎng)絡(luò)用來(lái)管理、控制和保護(hù)，而另一塊連接外部網(wǎng)絡(luò)，通常是互聯(lián)網(wǎng)。堡壘主機(jī)在防火墻的建立過(guò)程中起著至關(guān)重要的作用。建立堡壘主機(jī)的原則51設(shè)計(jì)和建立堡壘主機(jī)的基本原則有兩條：最簡(jiǎn)化原則和預(yù)防原則。（1）最簡(jiǎn)化原則。堡壘主機(jī)越簡(jiǎn)單，對(duì)它進(jìn)行保護(hù)就越方便。堡壘主機(jī)提供的任何網(wǎng)絡(luò)服務(wù)都有可能在軟件上存在缺陷或在配置上存在錯(cuò)誤，而這些差錯(cuò)就可能使堡壘主機(jī)的安全保障出問(wèn)題。（2）預(yù)防原則。盡管已對(duì)堡壘主機(jī)嚴(yán)加保護(hù)，但還有可能被入侵者破壞。對(duì)此應(yīng)有所準(zhǔn)備，只有充分地對(duì)最壞的情況加以準(zhǔn)備，并設(shè)計(jì)好對(duì)策，才可有備無(wú)患。一旦堡壘主機(jī)被破壞，我們還必須讓內(nèi)部網(wǎng)絡(luò)處于安全保障中。要做到這一點(diǎn)，必須讓內(nèi)部網(wǎng)絡(luò)只有在堡壘主機(jī)正常工作時(shí)才信任堡壘主機(jī)。堡壘主機(jī)的分類(lèi)52堡壘主機(jī)目前一般有3種類(lèi)型：無(wú)路由雙宿主主機(jī)、犧牲品主機(jī)和內(nèi)部堡壘主機(jī)。無(wú)路由雙重宿主主機(jī)有多個(gè)網(wǎng)絡(luò)接口，但這些接口間沒(méi)有信息流，這種主機(jī)本身就可以作為一個(gè)防火墻，也可以作為一個(gè)更復(fù)雜的防火墻的一部分。犧牲品主機(jī)是一種上面沒(méi)有任何需要保護(hù)信息的主機(jī)，同時(shí)它又不與任何入侵者想要利用的主機(jī)相連。用戶(hù)只有在使用某種特殊服務(wù)時(shí)才需要用到它。內(nèi)部堡壘主機(jī)是標(biāo)準(zhǔn)的單堡壘或多堡壘主機(jī)存在于內(nèi)部網(wǎng)絡(luò)中，它們一般用作應(yīng)用級(jí)網(wǎng)關(guān)接收所有從外部堡壘主機(jī)進(jìn)來(lái)的流量。內(nèi)部堡壘主機(jī)可與某些內(nèi)部主機(jī)進(jìn)行交互。堡壘主機(jī)提供的服務(wù)53①無(wú)風(fēng)險(xiǎn)服務(wù)，僅僅通過(guò)包過(guò)濾便可實(shí)施的服務(wù)。②低風(fēng)險(xiǎn)服務(wù)，在有些情況下這些服務(wù)運(yùn)行時(shí)有安全隱患，但加一些安全控制措施便可消除安全問(wèn)題，這類(lèi)服務(wù)只能由堡壘主機(jī)提供。③高風(fēng)險(xiǎn)服務(wù)，在使用這些服務(wù)時(shí)無(wú)法徹底消除安全隱患；這類(lèi)服務(wù)一般應(yīng)被禁用，特別需要時(shí)也只能放置在主機(jī)上使用。④禁用服務(wù)，應(yīng)被徹底禁止使用的服務(wù)。代理服務(wù)54代理服務(wù)是網(wǎng)絡(luò)服務(wù)，它通過(guò)中介將客戶(hù)端與互聯(lián)網(wǎng)服務(wù)器連接，具有緩存、保護(hù)隱私、過(guò)濾控制流量和加速網(wǎng)絡(luò)的功能。代理服務(wù)位于內(nèi)部用戶(hù)（在內(nèi)部的網(wǎng)絡(luò)上）和外部服務(wù)（在互聯(lián)網(wǎng)上）之間。代理在幕后處理所有用戶(hù)和互聯(lián)網(wǎng)服務(wù)之間的通信以代替相互間的直接交談。代理服務(wù)是運(yùn)行在防火墻主機(jī)上的一些特定的應(yīng)用程序。防火墻主機(jī)可以是有一個(gè)內(nèi)部網(wǎng)絡(luò)接口和一個(gè)外部網(wǎng)絡(luò)接口的雙重宿主主機(jī)，也可以是一些可以訪(fǎng)問(wèn)互聯(lián)網(wǎng)并可被內(nèi)部主機(jī)訪(fǎng)問(wèn)的堡壘主機(jī)。這些程序接受用戶(hù)對(duì)互聯(lián)網(wǎng)服務(wù)的請(qǐng)求（諸如文件傳輸FTP和遠(yuǎn)程登錄Telnet等），并按照安全策略轉(zhuǎn)發(fā)它們到實(shí)際的服務(wù)。代理的作用就是一個(gè)提供替代連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)，代理也被稱(chēng)為應(yīng)用級(jí)網(wǎng)關(guān)。代理的實(shí)現(xiàn)過(guò)程55①客戶(hù)端向代理服務(wù)器發(fā)出請(qǐng)求。②代理服務(wù)器接收到請(qǐng)求后，檢查是否有緩存副本。如果有，代理服務(wù)器將緩存副本返回給客戶(hù)端。如果沒(méi)有，代理服務(wù)器繼續(xù)執(zhí)行下一步。③代理服務(wù)器向目標(biāo)服務(wù)器發(fā)出請(qǐng)求。這個(gè)請(qǐng)求與客戶(hù)端的請(qǐng)求相似，但是目標(biāo)服務(wù)器會(huì)認(rèn)為這個(gè)請(qǐng)求是從代理服務(wù)器來(lái)的。④目標(biāo)服務(wù)器收到請(qǐng)求后，將響應(yīng)發(fā)送給代理服務(wù)器。目標(biāo)服務(wù)器的響應(yīng)也會(huì)認(rèn)為是發(fā)送給代理服務(wù)器的。⑤代理服務(wù)器將響應(yīng)發(fā)送給客戶(hù)端?？蛻?hù)端認(rèn)為響應(yīng)是從代理服務(wù)器返回的，而不是目標(biāo)服務(wù)器返回的。防火墻體系結(jié)構(gòu)56防火墻的體系結(jié)構(gòu)一般有3種：雙重宿主主機(jī)體系結(jié)構(gòu)、主機(jī)過(guò)濾體系結(jié)構(gòu)和子網(wǎng)過(guò)濾體系結(jié)構(gòu)。1．雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主體計(jì)算機(jī)而構(gòu)筑的。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻外部的網(wǎng)絡(luò)系統(tǒng)（在互聯(lián)網(wǎng)上）也能與雙重宿主主機(jī)通信。通過(guò)雙重宿主主機(jī)，防火墻內(nèi)外的計(jì)算機(jī)便可進(jìn)行通信了。防火墻體系結(jié)構(gòu)572．主機(jī)過(guò)濾體系結(jié)構(gòu)主機(jī)過(guò)濾體系結(jié)構(gòu)中提供安全保護(hù)的主機(jī)僅僅與內(nèi)部網(wǎng)絡(luò)相連。另外，主機(jī)過(guò)濾體系結(jié)構(gòu)還有一臺(tái)單獨(dú)的路由器（過(guò)濾路由器）。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過(guò)濾提供，任何外部的訪(fǎng)問(wèn)都必須連接到這臺(tái)堡壘主機(jī)上。數(shù)據(jù)包過(guò)濾配置可以按下列方法執(zhí)行：①允許其他的內(nèi)部主機(jī)為了某些服務(wù)與互聯(lián)網(wǎng)上的主機(jī)連接。②不允許來(lái)自?xún)?nèi)部主機(jī)的所有連接。防火墻體系結(jié)構(gòu)583．子網(wǎng)過(guò)濾體系結(jié)構(gòu)子網(wǎng)過(guò)濾體系結(jié)構(gòu)添加了額外的安全層到主機(jī)過(guò)濾體系結(jié)構(gòu)中，即通過(guò)添加參數(shù)網(wǎng)絡(luò)，更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)隔離開(kāi)。子網(wǎng)過(guò)濾體系結(jié)構(gòu)的最簡(jiǎn)單的形式為兩個(gè)過(guò)濾路由器，每一個(gè)都連接到參數(shù)網(wǎng)，一個(gè)位于參數(shù)網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于參數(shù)網(wǎng)與外部網(wǎng)絡(luò)之間。在這種結(jié)構(gòu)里所采用的組件：參數(shù)網(wǎng)絡(luò)、堡壘主機(jī)、內(nèi)部路由器、外部路由器。（第6章）6.4網(wǎng)絡(luò)攻擊類(lèi)型及對(duì)策596.4網(wǎng)絡(luò)攻擊類(lèi)型及對(duì)策60網(wǎng)絡(luò)攻擊通?？煞譃?大類(lèi)型：拒絕服務(wù)型攻擊、利用型攻擊、信息收集型攻擊和虛假信息型攻擊。1．拒絕服務(wù)型攻擊拒絕服務(wù)（DenialofService，DoS）攻擊是目前最常見(jiàn)的一種攻擊類(lèi)型。首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息。由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，然而服務(wù)器中分配給這次請(qǐng)求的資源就始終沒(méi)有被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切斷，攻擊者會(huì)再度傳送新的一批請(qǐng)求，在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡。死亡之ping（PingofDeath）攻擊61ICMP協(xié)議在互聯(lián)網(wǎng)上主要用于傳遞控制信息和錯(cuò)誤的處理。它的功能之一是與主機(jī)聯(lián)系，通過(guò)發(fā)送一個(gè)“回送請(qǐng)求”（EchoRequest）信息包看看主機(jī)目標(biāo)是否“存在”。最普通的ping程序就是這個(gè)功能。而在TCP/IP協(xié)議中對(duì)包的最大尺寸都有嚴(yán)格限制規(guī)定，許多操作系統(tǒng)的TCP/IP協(xié)議棧都規(guī)定ICMP包大小為64KB，且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)。PingofDeath就是故意產(chǎn)生畸形的測(cè)試Ping（PacketInternetGroper）包，聲稱(chēng)自己的尺寸超過(guò)ICMP上限，也就是加載的尺寸超過(guò)64KB上限，使未采取保護(hù)措施的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP協(xié)議棧崩潰，最終使接收方死機(jī)。淚滴（Teardrop）攻擊62淚滴攻擊是拒絕服務(wù)攻擊的一種。淚滴是一個(gè)特殊構(gòu)造的應(yīng)用程序，通過(guò)發(fā)送偽造的相互重疊的IP分組數(shù)據(jù)包，使其難以被接收主機(jī)重新組合。他們通常會(huì)導(dǎo)致目標(biāo)主機(jī)內(nèi)核失措。淚滴攻擊利用IP分組數(shù)據(jù)包重疊造成TCP/IP分片重組代碼不能恰當(dāng)處理IP包。淚滴攻擊不被認(rèn)為是一個(gè)嚴(yán)重的DoS攻擊，不會(huì)對(duì)主機(jī)系統(tǒng)造成重大損失。在大多數(shù)情況下，一次簡(jiǎn)單的重新啟動(dòng)是最好的解決辦法，但重新啟動(dòng)操作系統(tǒng)可能導(dǎo)致正在運(yùn)行的應(yīng)用程序中未保存的數(shù)據(jù)丟失。UDP洪水（UDPflood）攻擊63用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP）在互聯(lián)網(wǎng)上的應(yīng)用比較廣泛，很多提供WWW和Mail等服務(wù)設(shè)備通常是使用Unix的服務(wù)器，它們默認(rèn)打開(kāi)一些被黑客惡意利用的UDP服務(wù)。如Echo服務(wù)會(huì)顯示接收到的每一個(gè)數(shù)據(jù)包，而原本作為測(cè)試功能的chargen服務(wù)會(huì)在收到每一個(gè)數(shù)據(jù)包時(shí)隨機(jī)反饋一些字符。UDPflood假冒攻擊就是利用這兩個(gè)簡(jiǎn)單的TCP/IP服務(wù)的漏洞進(jìn)行惡意攻擊，通過(guò)偽造與某一主機(jī)的Chargen服務(wù)之間的一次的UDP連接，回復(fù)地址指向開(kāi)著Echo服務(wù)的一臺(tái)主機(jī)，通過(guò)將Chargen和Echo服務(wù)互指，來(lái)回傳送毫無(wú)用處且占滿(mǎn)帶寬的垃圾數(shù)據(jù)，在兩臺(tái)主機(jī)之間生成足夠多的無(wú)用數(shù)據(jù)流，這一拒絕服務(wù)攻擊飛快地導(dǎo)致網(wǎng)絡(luò)可用帶寬耗盡。SYN洪水（SYNflood）攻擊64當(dāng)用戶(hù)進(jìn)行一次標(biāo)準(zhǔn)的TCP連接時(shí)，會(huì)有一個(gè)3次握手過(guò)程。首先是請(qǐng)求服務(wù)方發(fā)送一個(gè)SYN消息，服務(wù)方收到SYN后，會(huì)向請(qǐng)求方回送一個(gè)SYN-ACK表示確認(rèn)，當(dāng)請(qǐng)求方收到SYN-ACK后，再次向服務(wù)方發(fā)送一個(gè)ACK消息，這樣一次TCP連接建立成功。SYNFlooding則專(zhuān)門(mén)針對(duì)TCP協(xié)議棧在兩臺(tái)主機(jī)間初始化連接握手的過(guò)程進(jìn)行DoS攻擊，其在實(shí)現(xiàn)過(guò)程中只進(jìn)行前兩個(gè)步驟：當(dāng)服務(wù)方收到請(qǐng)求方的SYN-ACK確認(rèn)消息后，請(qǐng)求方由于采用源地址欺騙等手段使得服務(wù)方收不到ACK回應(yīng)，于是服務(wù)方會(huì)在一定時(shí)間處于等待接收請(qǐng)求方ACK消息的狀態(tài)。對(duì)于服務(wù)器來(lái)說(shuō)，使用有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿(mǎn)了虛假連接的初始信息，該服務(wù)器就會(huì)對(duì)接下來(lái)的連接停止響應(yīng)，服務(wù)器將無(wú)法向用戶(hù)提供正常的合法服務(wù)。Land（LandAttack）攻擊65在Land攻擊中，黑客利用一個(gè)特別打造的SYN包（它的原地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址）進(jìn)行攻擊。這樣將導(dǎo)致目標(biāo)主機(jī)向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，這個(gè)空連接會(huì)一直持續(xù)，直到超時(shí)。當(dāng)目標(biāo)機(jī)被這樣大量欺騙，建立大量空連接，消耗大量的系統(tǒng)資源，導(dǎo)致系統(tǒng)運(yùn)行緩慢，甚至崩潰。IP欺騙DoS攻擊66這種攻擊利用TCP協(xié)議棧的RST位來(lái)實(shí)現(xiàn)，使用IP欺騙，偽裝真實(shí)IP地址，迫使服務(wù)器把合法用戶(hù)的連接復(fù)位，影響合法用戶(hù)的連接。假設(shè)現(xiàn)在有一個(gè)合法用戶(hù)（9）已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為9，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從9發(fā)送的連接有錯(cuò)誤，就會(huì)清空緩沖區(qū)中已建立好的連接。這時(shí)，合法用戶(hù)9再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒(méi)有這樣的連接了，該用戶(hù)就被拒絕服務(wù)而只能重新開(kāi)始建立新的連接。電子郵件炸彈攻擊67電子郵件炸彈是最古老的匿名攻擊之一，通過(guò)設(shè)置一臺(tái)機(jī)器不斷地大量地向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬。這種攻擊不僅會(huì)干擾用戶(hù)的電子郵件系統(tǒng)的正常使用，甚至它還能影響到郵件系統(tǒng)所在的服務(wù)器系統(tǒng)的安全，造成整個(gè)網(wǎng)絡(luò)系統(tǒng)全部癱瘓。有些電子郵件炸彈甚至?xí)谖谋靖郊刑砑硬《荆蛘咄ㄟ^(guò)HTML代碼等將附件上傳至被攻擊者的FTP服務(wù)器上，進(jìn)而擴(kuò)大攻擊范圍。攻擊者可以使用各種手段來(lái)隱藏自己的身份，使其更難以被追蹤定位。DDoS攻擊68分布式拒絕服務(wù)攻擊（DistributedDenialofService，DDoS）是指處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)攻擊，或者一個(gè)攻擊者控制了位于不同位置的多臺(tái)機(jī)器并利用這些機(jī)器對(duì)攻擊目標(biāo)同時(shí)實(shí)施攻擊。由于攻擊的發(fā)出點(diǎn)是分布在不同地方的，這類(lèi)攻擊稱(chēng)為分布式拒絕服務(wù)攻擊，其中的攻擊者可以有多個(gè)。一個(gè)完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標(biāo)四部分組成。其中主控端只發(fā)布命令，代理端發(fā)出DDoS的實(shí)際攻擊包。利用型攻擊69利用型攻擊是一類(lèi)試圖直接對(duì)用戶(hù)的機(jī)器進(jìn)行控制的攻擊，最常見(jiàn)的有3種。①口令猜測(cè)攻擊。一旦黑客識(shí)別了一臺(tái)主機(jī)而且發(fā)現(xiàn)了可利用的用戶(hù)賬號(hào)，成功的口令猜測(cè)能提供對(duì)機(jī)器的控制。②特洛伊木馬攻擊。特洛伊木馬是一種直接由黑客或通過(guò)一個(gè)不令人起疑的用戶(hù)秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限，安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)。③緩沖區(qū)溢出攻擊。緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過(guò)了緩沖區(qū)本身的容量，溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。信息收集型攻擊70信息收集型攻擊并不對(duì)目標(biāo)本身造成危害，這類(lèi)攻擊被用來(lái)為進(jìn)一步入侵提供有用的信息。主要包括：掃描技術(shù)、體系結(jié)構(gòu)刺探、利用信息服務(wù)等。掃描技術(shù)。一般分為網(wǎng)絡(luò)掃描和主機(jī)掃描。通過(guò)漏洞掃描，掃描者能夠發(fā)現(xiàn)遠(yuǎn)端網(wǎng)絡(luò)或主機(jī)的配置信息、TCP/UDP端口的分配、提供的網(wǎng)絡(luò)服務(wù)、服務(wù)器的具體信息等。體系結(jié)構(gòu)刺探。使用已知響應(yīng)類(lèi)型的數(shù)據(jù)庫(kù)的自動(dòng)工具，對(duì)來(lái)自目標(biāo)主機(jī)的、對(duì)壞數(shù)據(jù)包傳送所做出的響應(yīng)進(jìn)行檢查。由于每種操作系統(tǒng)都有其獨(dú)特的響應(yīng)方法，通過(guò)將此獨(dú)特的響應(yīng)與數(shù)據(jù)庫(kù)中的已知響應(yīng)進(jìn)行對(duì)比，黑客經(jīng)常能夠確定出目標(biāo)主機(jī)所運(yùn)行的操作系統(tǒng)。虛假消息攻擊71虛假消息攻擊是指利用網(wǎng)絡(luò)協(xié)議設(shè)計(jì)中的安全缺陷，通過(guò)發(fā)送偽裝的數(shù)據(jù)包達(dá)到欺騙目標(biāo)、從中獲利的目的。是一種內(nèi)網(wǎng)滲透方法。虛假消息攻擊主要包括DNS高速緩存污染和偽造電子郵件攻擊。（1）DNS高速緩存污染。由于DNS服務(wù)器與其他名稱(chēng)服務(wù)器交換信息的時(shí)候并不進(jìn)行身份驗(yàn)證，這就使得黑客可以將不正確的信息摻進(jìn)來(lái)并把用戶(hù)引向黑客自己的主機(jī)。防御的方法：可在防火墻上過(guò)濾入站的DNS更新，外部DNS服務(wù)器不能更改內(nèi)部服務(wù)器對(duì)內(nèi)部機(jī)器的識(shí)別等措施預(yù)防該攻擊。（2）偽造電子郵件。由于SMTP并不對(duì)郵件的發(fā)送者的身份進(jìn)行鑒定，因此黑客可以對(duì)網(wǎng)絡(luò)內(nèi)部客戶(hù)偽造電子郵件，聲稱(chēng)是來(lái)自某個(gè)客戶(hù)認(rèn)識(shí)并相信的人，并附帶上可安裝的特洛伊木馬程序，或者是一個(gè)引向惡意網(wǎng)站的連接。防御的方法：使用PGP等安全工具并安裝電子郵件證書(shū)。物理層的攻擊及對(duì)策72物理層位于OSI參考模型的最底層，它直接面向?qū)嶋H承擔(dān)數(shù)據(jù)傳輸?shù)奈锢砻襟w（即通信通道），物理層的傳輸單位為比特（bit）。實(shí)際的比特傳輸必須依賴(lài)于傳輸設(shè)備和物理媒體。物理層最重要的攻擊主要有直接攻擊和間接攻擊，直接攻擊是直接對(duì)硬件進(jìn)行攻擊，間接攻擊是對(duì)物理介質(zhì)的攻擊。物理層上的安全措施不多，如果黑客可以訪(fǎng)問(wèn)物理介質(zhì)，如搭線(xiàn)竊聽(tīng)和Sniffer，將可以復(fù)制所有傳送的信息。唯一有效的保護(hù)是使用加密、流量填充等。1．物理層安全風(fēng)險(xiǎn)73網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)主要指由于網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線(xiàn)路的不可用，而造成網(wǎng)絡(luò)系統(tǒng)的不可用。例如，設(shè)備被盜、設(shè)備老化、意外故障、無(wú)線(xiàn)電磁輻射泄密等。如果局域網(wǎng)采用廣播方式，那么本廣播域中的所有信息都可以被偵聽(tīng)。因此，最主要的安全威脅來(lái)自搭線(xiàn)竊聽(tīng)和電磁泄露竊聽(tīng)。最簡(jiǎn)單的安全漏洞可能導(dǎo)致最嚴(yán)重的網(wǎng)絡(luò)故障。比如因?yàn)槭┕さ牟灰?guī)范導(dǎo)致光纜被破壞，雷擊事故，網(wǎng)絡(luò)設(shè)備沒(méi)有保護(hù)措施被損壞，甚至中心機(jī)房因?yàn)椴恍⌒膶?dǎo)致外來(lái)人員蓄意或無(wú)心的破壞。2.物理攻擊74物理攻擊是來(lái)自能夠接觸到物理設(shè)備的用戶(hù)的攻擊。主要有兩種攻擊：獲取管理員密碼攻擊、提升權(quán)限攻擊。（1）獲取管理員密碼攻擊。網(wǎng)站管理員賬戶(hù)密碼是網(wǎng)站管理員的身份憑證，是網(wǎng)站安全的重要組成部分，因此必須保護(hù)好賬戶(hù)密碼，避免被惡意入侵。發(fā)生入侵網(wǎng)站管理員賬戶(hù)密碼的情況，主要是由于網(wǎng)站管理員賬戶(hù)密碼不夠安全，惡意攻擊者可以利用暴力破解、社會(huì)工程學(xué)攻擊等方式破解賬戶(hù)密碼，從而獲取網(wǎng)站管理員賬戶(hù)密碼。（2）提升用戶(hù)權(quán)限攻擊。較低的權(quán)限將使攻擊者訪(fǎng)問(wèn)活動(dòng)受到很多的限制，攻擊者往往會(huì)先進(jìn)行權(quán)限提升攻擊，在獲取更高的訪(fǎng)問(wèn)權(quán)限后，在開(kāi)展更具破壞性的其他攻擊。物理層防范措施75（1）屏蔽。用金屬網(wǎng)或金屬板將信號(hào)源包圍，阻止外部信號(hào)進(jìn)入金屬層內(nèi)部。（2）物理隔離。物理隔離技術(shù)就是一種將內(nèi)外網(wǎng)絡(luò)從物理上斷開(kāi)，但保持邏輯連接的信息安全技術(shù)。（3）設(shè)備和線(xiàn)路冗余。主要有：網(wǎng)絡(luò)設(shè)備部件冗余、網(wǎng)絡(luò)設(shè)備整機(jī)冗余、網(wǎng)絡(luò)線(xiàn)路冗余。（4）機(jī)房和賬戶(hù)安全管理。（5）網(wǎng)絡(luò)分段。網(wǎng)絡(luò)分段是將非法用戶(hù)與網(wǎng)絡(luò)資源互相隔離，從而達(dá)到限制用戶(hù)非法訪(fǎng)問(wèn)的目的。數(shù)據(jù)鏈路層的攻擊及對(duì)策76數(shù)據(jù)鏈路層的最基本的功能是向該層用戶(hù)提供透明的和可靠的數(shù)據(jù)傳送基本服務(wù)。透明性是指該層上傳輸?shù)臄?shù)據(jù)的內(nèi)容、格式及編碼沒(méi)有限制，也沒(méi)有必要解釋信息結(jié)構(gòu)的意義；可靠的傳輸使用戶(hù)免去對(duì)丟失信息、干擾信息及順序不正確等的擔(dān)心。由于數(shù)據(jù)鏈路層的安全協(xié)議比較少，因此容易受到各種攻擊，常見(jiàn)的攻擊有：MAC地址欺騙、內(nèi)容尋址存儲(chǔ)器（CAM）表格淹沒(méi)攻擊、VLAN中繼攻擊、操縱生成樹(shù)協(xié)議、地址解析協(xié)議（ARP）攻擊等。（1）MAC地址欺騙。MAC地址欺騙攻擊主要是利用了局域網(wǎng)內(nèi)交換機(jī)的轉(zhuǎn)發(fā)特性和MAC地址學(xué)習(xí)特性，一般情況下，交換機(jī)不會(huì)對(duì)接收到的數(shù)據(jù)包進(jìn)行檢查和驗(yàn)證，并且其MAC地址表的學(xué)習(xí)也容易被攻擊者所利用。因此，攻擊者往往發(fā)送含有其他人MAC地址的數(shù)據(jù)包，讓交換機(jī)誤認(rèn)為自己是網(wǎng)絡(luò)中的另一臺(tái)機(jī)器，從而將本來(lái)屬于該臺(tái)機(jī)器的數(shù)據(jù)包轉(zhuǎn)發(fā)給攻擊者。數(shù)據(jù)鏈路層的攻擊及對(duì)策77（2）內(nèi)容尋址存儲(chǔ)器（CAM）表格淹沒(méi)攻擊。交換機(jī)中的CAM表格包含了諸如在指定交換機(jī)的物理端口所提供的MAC地址和相關(guān)的VLAN參數(shù)之類(lèi)的信息。網(wǎng)絡(luò)攻擊者會(huì)向該交換機(jī)提供大量的無(wú)效MAC源地址，直到CAM表格被填滿(mǎn)。此時(shí)，交換機(jī)不能夠從CAM表格中查找出特定的MAC地址的端口號(hào)，只能將傳輸進(jìn)來(lái)的信息向所有的端口發(fā)送。（3）VLAN中繼攻擊。VLAN中繼威脅攻擊充分利用了動(dòng)態(tài)中繼協(xié)議（DynamicTrunkProtocol，DTP），攻擊者利用DTP冒充是由網(wǎng)絡(luò)交換機(jī)所發(fā)送的正常報(bào)文進(jìn)而攻擊此臺(tái)計(jì)算機(jī)所連接的交換機(jī)。因此，如果網(wǎng)絡(luò)交換機(jī)啟動(dòng)了中繼功能，就會(huì)導(dǎo)致異常報(bào)文發(fā)送到被攻擊的機(jī)器上，從而在不同的VLAN中進(jìn)行網(wǎng)絡(luò)攻擊。數(shù)據(jù)鏈路層的攻擊及對(duì)策78（4）操縱生成樹(shù)協(xié)議。生成樹(shù)協(xié)議可用于交換網(wǎng)絡(luò)中，以防止在以太網(wǎng)拓?fù)浣Y(jié)構(gòu)中產(chǎn)生橋接循環(huán)。通過(guò)攻擊生成樹(shù)協(xié)議，網(wǎng)絡(luò)攻擊者希望將自己的系統(tǒng)偽裝成該拓?fù)浣Y(jié)構(gòu)中的根網(wǎng)橋。要達(dá)到此目的，網(wǎng)絡(luò)攻擊者需要向外廣播生成樹(shù)協(xié)議配置/拓?fù)浣Y(jié)構(gòu)改變網(wǎng)橋協(xié)議數(shù)據(jù)單元（BPDU），企圖迫使生成樹(shù)進(jìn)行重新計(jì)算。網(wǎng)絡(luò)攻擊者系統(tǒng)發(fā)出的BPDU聲稱(chēng)發(fā)出攻擊的網(wǎng)橋優(yōu)先權(quán)較低。如果獲得成功，該網(wǎng)絡(luò)攻擊者能夠獲得各種各樣的數(shù)據(jù)幀。（5）地址解析協(xié)議（ARP）攻擊。ARP協(xié)議的作用是在處于同一個(gè)子網(wǎng)中的主機(jī)所構(gòu)成的局域網(wǎng)部分中將IP地址映射到MAC地址。當(dāng)有人在未獲得授權(quán)時(shí)就企圖更改MAC和IP地址的ARP表格中的信息時(shí)，就發(fā)生了ARP攻擊。通過(guò)這種方式，黑客們可以偽造MAC或IP地址，以便實(shí)施如下兩種攻擊：服務(wù)拒絕和中間人攻擊。安全對(duì)策79使用端口安全命令可以防止MAC欺騙攻擊。端口安全命令能夠提供指定系統(tǒng)MAC地址連接到特定端口的功能。該命令在端口的安全遭到破壞時(shí)，還能夠提供指定需要采取何種措施的能力。在交換機(jī)上配置端口安全選項(xiàng)可以防止CAM表淹沒(méi)攻擊。當(dāng)無(wú)效的MAC地址在該端口被檢測(cè)出來(lái)之后，該交換機(jī)要么可以阻止所提供的MAC地址，要么可以關(guān)閉該端口。對(duì)VLAN的設(shè)置要在所有中繼端口上使用專(zhuān)門(mén)的VLANID。關(guān)閉掉所有用戶(hù)端口上的DTP，可以將所有端口設(shè)置成非中繼模式。防止操縱生成樹(shù)協(xié)議的攻擊，需要使用根目錄保護(hù)和BPDU保護(hù)加強(qiáng)命令來(lái)保持網(wǎng)絡(luò)中主網(wǎng)橋的位置不發(fā)生改變，同時(shí)也可以強(qiáng)化生成樹(shù)協(xié)議的域邊界。網(wǎng)絡(luò)層的攻擊及對(duì)策80網(wǎng)絡(luò)層常見(jiàn)的攻擊主要有：IP地址欺騙攻擊和ICMP攻擊。網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶(hù)提供授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或監(jiān)聽(tīng)。（1）IP地址欺騙攻擊。IP地址欺騙主要有兩種：一種是攻擊者偽造的IP地址不可達(dá)或者根本不存在，這種形式的IP地址欺騙，主要用于迷惑目標(biāo)主機(jī)上的入侵檢測(cè)系統(tǒng)，或者是對(duì)目標(biāo)主機(jī)進(jìn)行DoS攻擊；另一種則著眼于目標(biāo)主機(jī)和其他主機(jī)之間的信任關(guān)系。攻擊者通過(guò)在自己發(fā)出的IP包中填入被目標(biāo)主機(jī)所信任的主機(jī)的IP地址來(lái)進(jìn)行冒充。一旦攻擊者和目標(biāo)主機(jī)之間建立了一條TCP連接，攻擊者就可以獲得對(duì)目標(biāo)主機(jī)的訪(fǎng)問(wèn)權(quán)，并可以進(jìn)一步進(jìn)行攻擊。網(wǎng)絡(luò)層的攻擊及對(duì)策81（2）ICMP攻擊。ICMP攻擊是一種利用ICMP協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊的方式。主要包括以下幾種類(lèi)型：①I(mǎi)CMP洪水攻擊。攻擊者向目標(biāo)主機(jī)發(fā)送大量的ICMP請(qǐng)求消息，使目標(biāo)主機(jī)的網(wǎng)絡(luò)資源（如帶寬、CPU、內(nèi)存等）耗盡，導(dǎo)致服務(wù)不可用。②ICMP回顯請(qǐng)求攻擊。攻擊者發(fā)送大量的ICMP回顯請(qǐng)求消息（也稱(chēng)為Ping請(qǐng)求），使目標(biāo)主機(jī)不斷回復(fù)這些請(qǐng)求，消耗目標(biāo)主機(jī)的網(wǎng)絡(luò)資源和處理能力。③ICMP分片攻擊。攻擊者發(fā)送經(jīng)過(guò)特殊處理的ICMP分片消息，目的是使目標(biāo)主機(jī)的IP堆棧產(chǎn)生異常行為，如崩潰或拒絕服務(wù)。④ICMP重定向攻擊。攻擊者發(fā)送偽造的ICMP重定向消息，使目標(biāo)主機(jī)誤導(dǎo)路由表，導(dǎo)致流量被重定向到攻擊者控制的惡意主機(jī)。安全對(duì)策82（1）邏輯網(wǎng)絡(luò)分段。將整個(gè)網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)層上進(jìn)行分段。例如，對(duì)于TCP/IP網(wǎng)絡(luò)，可以把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)必須通過(guò)中間設(shè)備進(jìn)行連接，利用這些中間設(shè)備的安全機(jī)制來(lái)控制各子網(wǎng)之間的訪(fǎng)問(wèn)。（2）VLAN的實(shí)施?；贛AC的VLAN不能防止MAC欺騙攻擊。因此，VLAN劃分最好基于交換機(jī)端口。（3）防火墻服務(wù)。防火墻的主要作用是在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通信。從應(yīng)用上分類(lèi)：包過(guò)濾、代理服務(wù)器；從實(shí)現(xiàn)上分類(lèi)：軟件防火墻、硬件防火墻。安全對(duì)策83（4）加密技術(shù)。加密技術(shù)用于網(wǎng)絡(luò)安全通常有兩種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。前者通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過(guò)加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性不受損壞。（5）數(shù)字簽名和認(rèn)證技術(shù)。認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通信過(guò)程中通信雙方的身份認(rèn)可，數(shù)字簽名是身份認(rèn)證技術(shù)中的一種具體技術(shù)，同時(shí)數(shù)字簽名還可用于通信過(guò)程中的不可抵賴(lài)要求的實(shí)現(xiàn)。（6）VPN技術(shù)。通過(guò)一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN采用了多種安全機(jī)制，如隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)等，通過(guò)上述的各項(xiàng)網(wǎng)絡(luò)安全技術(shù)，確保資料在公用網(wǎng)絡(luò)中傳輸時(shí)不被竊取。傳輸層的攻擊及對(duì)策84傳輸層存在兩個(gè)協(xié)議：傳輸控制協(xié)議（TCP）和用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP）。傳輸層安全，主要指在客戶(hù)端和服務(wù)端的通信信道中提供安全。這個(gè)層次的安全可以包含加密和認(rèn)證。傳輸層也支持多種安全服務(wù)：對(duì)等實(shí)體認(rèn)證服務(wù)、訪(fǎng)問(wèn)控制服務(wù)、數(shù)據(jù)保密服務(wù)、數(shù)據(jù)完整性服務(wù)和數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)。傳輸層常見(jiàn)的攻擊方法有：TCP掃描攻擊、UDP掃描攻擊、SYNFlooding攻擊。TCP掃描攻擊85根據(jù)TCP協(xié)議規(guī)定：當(dāng)連接一個(gè)沒(méi)有打開(kāi)的TCP端口時(shí)，服務(wù)器會(huì)返回RST包；連接打開(kāi)的TCP端口時(shí)，服務(wù)器會(huì)返回SYN+ACK包。常見(jiàn)的TCP掃描攻擊如下。①connect掃描：如果是打開(kāi)的端口，攻擊機(jī)調(diào)用connect函數(shù)完成3次握手后再主動(dòng)斷開(kāi)。②SYN掃描：攻擊機(jī)只發(fā)送SYN包，如果打開(kāi)的端口服務(wù)器會(huì)返回SYN+ACK，攻擊機(jī)可能會(huì)再發(fā)送RST斷開(kāi)；關(guān)閉的端口返回RST。③FIN掃描：攻擊機(jī)發(fā)送FIN標(biāo)志包，Windows系統(tǒng)不論端口是否打開(kāi)都回復(fù)RST；但Unix系統(tǒng)端口關(guān)閉時(shí)會(huì)回復(fù)RST，打開(kāi)時(shí)會(huì)忽略該包；可以用來(lái)區(qū)別Windows和Unix系統(tǒng)。④ACK掃描：攻擊機(jī)發(fā)送ACK標(biāo)志包，目標(biāo)系統(tǒng)雖然都會(huì)返回RST包，但兩種RST包有差異。UDP掃描攻擊86當(dāng)連接一個(gè)沒(méi)有打開(kāi)的UDP端口時(shí)，大部分類(lèi)型的服務(wù)器可能會(huì)返回一個(gè)ICMP的端口不可達(dá)包，但也可能無(wú)任何回應(yīng)，由系統(tǒng)具體實(shí)現(xiàn)決定；對(duì)于打開(kāi)的端口，服務(wù)器可能會(huì)有包返回，如DNS，但也可能沒(méi)有任何響應(yīng)。UDP掃描是可以越過(guò)防火墻的狀態(tài)檢測(cè)的，由于UDP是非連接的，防火墻會(huì)把UDP掃描包作為連接的第一個(gè)包而允許通過(guò)，所以防火墻只能通過(guò)統(tǒng)計(jì)的方式來(lái)判斷是否有UDP掃描。UDPflooding利用了UDP傳輸?shù)臒o(wú)狀態(tài)性，通過(guò)發(fā)送大量擁有偽裝IP地址的UDP數(shù)據(jù)包，填滿(mǎn)網(wǎng)絡(luò)設(shè)備（主要是路由器或防火墻）的連接狀態(tài)表，造成服務(wù)被拒絕。由于UDP是非連接協(xié)議，因此只能通過(guò)統(tǒng)計(jì)的方法來(lái)判斷，很難通過(guò)狀態(tài)檢測(cè)來(lái)發(fā)現(xiàn)，只能通過(guò)流量限制和統(tǒng)計(jì)的方法緩解。SYNFlooding攻擊87SYNFlooding是當(dāng)前最流行的DoS與DDoS的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡的攻擊方式。一個(gè)正常的TCP連接需要3次握手的過(guò)程來(lái)建立一個(gè)TCP連接。假設(shè)一個(gè)用戶(hù)向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線(xiàn)，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無(wú)法收到客戶(hù)端的ACK報(bào)文的（第三次握手無(wú)法完成），這種情況下服務(wù)器端一般會(huì)重試（再次發(fā)送SYN+ACK給客戶(hù)端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接。但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗大量的資源，最后的結(jié)果往往是堆棧溢出崩潰。安全對(duì)策88（1）安全設(shè)置防火墻。首先在防火墻上限制TCPSYN的突發(fā)上限，因?yàn)榉阑饓Σ荒茏R(shí)別正常的SYN和惡意的SYN，一般把TCPSYN的突發(fā)量調(diào)整到內(nèi)部主機(jī)可以承受的連接量，當(dāng)超過(guò)這個(gè)預(yù)設(shè)的突發(fā)量的時(shí)候就自動(dòng)清理或者阻止。（2）防御DoS攻擊。首先，利用防火墻可以阻止外網(wǎng)的ICMP包；其次，利用工具時(shí)常檢查一下網(wǎng)絡(luò)內(nèi)是否SYN_RECEIVED狀態(tài)的半連接。（3）漏洞掃描技術(shù)。通過(guò)兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿(mǎn)足匹配條件的漏洞存在；通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。應(yīng)用層的攻擊及對(duì)策89常見(jiàn)應(yīng)用層攻擊模式主要有：帶寬攻擊、缺陷攻擊和控制目標(biāo)機(jī)。帶寬攻擊。是用大量數(shù)據(jù)包填滿(mǎn)目標(biāo)機(jī)的數(shù)據(jù)帶寬，使任何機(jī)器都無(wú)法再訪(fǎng)問(wèn)該機(jī)。缺陷攻擊。是根據(jù)目標(biāo)機(jī)系統(tǒng)的缺陷，發(fā)送少量特殊包使其崩潰；也有的根據(jù)服務(wù)器的缺陷，發(fā)送特殊請(qǐng)求來(lái)達(dá)到破壞服務(wù)器數(shù)據(jù)的目的。控制目標(biāo)機(jī)。是網(wǎng)絡(luò)入侵的最高目標(biāo)，也就是獲取目標(biāo)機(jī)的ROOT權(quán)限而不被目標(biāo)機(jī)管理員發(fā)現(xiàn)。為實(shí)現(xiàn)此目標(biāo)，需經(jīng)過(guò)以下步驟：端口掃描，了解目標(biāo)機(jī)開(kāi)了哪些端口，使用是哪種服務(wù)器；檢索服務(wù)器的漏洞；獲取普通用戶(hù)權(quán)限；以普通用戶(hù)權(quán)限查找系統(tǒng)中是否有可能的漏洞程序，并用相應(yīng)shellcode獲取ROOT權(quán)限；建立自己的后門(mén)方便以后再來(lái)。應(yīng)用層的攻擊方法90（1）應(yīng)用層協(xié)議攻擊。漏洞主要是來(lái)自協(xié)議的具體實(shí)現(xiàn)，比如說(shuō)同樣的HTTP服務(wù)器，雖然都根據(jù)相同的RFC來(lái)實(shí)現(xiàn)，但Apache的漏洞和IIS的漏洞就是不同的。應(yīng)用層協(xié)議本身的漏洞包括：①明文密碼，如FTP、SMTP、POP3、TELNET等，容易被sniffer監(jiān)聽(tīng)到，但可以通過(guò)使用SSH、SSL等來(lái)進(jìn)行協(xié)議包裝。②多連接協(xié)議漏洞，由于子連接需要打開(kāi)動(dòng)態(tài)端口，就有可能被惡意利用，如FTP的PASV命令可能會(huì)使異常連接通過(guò)防火墻。③缺乏客戶(hù)端有效認(rèn)證，如SMTP，HTTP等，導(dǎo)致服務(wù)器資源能力被惡意使用。④服務(wù)器信息泄露，如HTTP、SMTP等都會(huì)在頭部字段中說(shuō)明服務(wù)器的類(lèi)型和版本信息。⑤協(xié)議中一些字段非法參數(shù)的使用，如果具體實(shí)現(xiàn)時(shí)沒(méi)注意這些字段的合法性可能會(huì)造成問(wèn)題。應(yīng)用層的攻擊方法91（2）緩沖溢出攻擊。緩沖區(qū)溢出攻擊是利用緩沖區(qū)溢出漏洞所進(jìn)行的攻擊行動(dòng)。緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過(guò)了緩沖區(qū)本身的容量，溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。利用緩沖區(qū)溢出攻擊，可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)關(guān)機(jī)、重新啟動(dòng)等后果。（3）口令猜測(cè)/破解?？诹畈聹y(cè)往往也是很有效的攻擊模式，或者根據(jù)加密口令文件進(jìn)行破解。（4）后門(mén)、木馬和病毒。這類(lèi)病毒會(huì)修改注冊(cè)表、駐留內(nèi)存、在系統(tǒng)中安裝后門(mén)程序、開(kāi)機(jī)加載附帶的木馬。木馬病毒的發(fā)作要在用戶(hù)的機(jī)器里運(yùn)行客戶(hù)端程序，一旦發(fā)作，就可設(shè)置后門(mén)，定時(shí)地發(fā)送該用戶(hù)的隱私到木馬程序指定的地址，一般同時(shí)內(nèi)置可進(jìn)入該用戶(hù)電腦的端口，并可任意控制此計(jì)算機(jī)，進(jìn)行文件刪除、復(fù)制、改密碼等非法操作。應(yīng)用層的攻擊方法92（5）間諜軟件。駐留在計(jì)算機(jī)的系統(tǒng)中，收集有關(guān)用戶(hù)操作習(xí)慣的信息，并將這些信息通過(guò)互聯(lián)網(wǎng)悄無(wú)聲息地發(fā)送給軟件的發(fā)布者。由于間諜軟件主要通過(guò)80端口進(jìn)入計(jì)算機(jī)，也通過(guò)80端口向外發(fā)起連接，因此傳統(tǒng)的防火墻無(wú)法有效抵御，必須通過(guò)應(yīng)用層內(nèi)容的識(shí)別采取相關(guān)措施。（6）DNS欺騙。DNS欺騙就是攻擊者冒充域名服務(wù)器的一種欺騙行為。DNS欺騙的基本原理是：如果可以冒充域名服務(wù)器，然后把查詢(xún)的IP地址設(shè)為攻擊者的IP地址，這樣的話(huà)，用戶(hù)上網(wǎng)就只能看到攻擊者的主頁(yè)，而不是用戶(hù)想要取得的網(wǎng)站的主頁(yè)了。（7）網(wǎng)絡(luò)釣魚(yú)。攻擊利用欺騙性的電子郵件和偽造的Web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)，受騙者往往會(huì)泄露自己的財(cái)務(wù)數(shù)據(jù)，如信用卡號(hào)、賬戶(hù)用戶(hù)名、口令和社保編號(hào)等內(nèi)容。安全對(duì)策93（1）訪(fǎng)問(wèn)控制策略。訪(fǎng)問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪(fǎng)問(wèn)。（2）信息加密策略。信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端—端加密的目的是對(duì)源端用戶(hù)到目的端用戶(hù)的數(shù)據(jù)提供保護(hù)；節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。（3）網(wǎng)絡(luò)安全管理策略。制定安全管理體制，加強(qiáng)網(wǎng)絡(luò)的安全管理。（4）網(wǎng)絡(luò)防火墻技術(shù)。是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間的訪(fǎng)問(wèn)控制，防止外部網(wǎng)絡(luò)用戶(hù)以非法手段通過(guò)外部進(jìn)入網(wǎng)絡(luò)內(nèi)部，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊互聯(lián)設(shè)備。它對(duì)多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包，按照一定的安全策略來(lái)實(shí)施檢查，決定網(wǎng)絡(luò)間通信是否被允許，并監(jiān)視網(wǎng)絡(luò)的運(yùn)行狀態(tài)。安全對(duì)策94（5）入侵檢測(cè)技術(shù)。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)通過(guò)硬件或軟件對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)流進(jìn)行實(shí)時(shí)檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫(kù)進(jìn)行比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶(hù)所定義的動(dòng)作做出反應(yīng)。入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶(hù)的超越使用權(quán)限的非法活動(dòng)。入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS）則是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)。IPS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)，IPS的檢測(cè)功能類(lèi)似于IDS，防御功能類(lèi)似于防火墻。黑客攻擊的3個(gè)階段95黑客是英文Hacker的音譯，通常是指對(duì)計(jì)算機(jī)科學(xué)、編程和設(shè)計(jì)方面具高度理解的人。入侵者（攻擊者）指懷著惡意企圖，闖入遠(yuǎn)程計(jì)算機(jī)系統(tǒng)甚至破壞遠(yuǎn)程計(jì)算機(jī)系統(tǒng)完整性的人。（1）信息收集。信息收集的目的是為了進(jìn)入所要攻擊的目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)。黑客會(huì)利用下列的公開(kāi)協(xié)議或工具，收集駐留在網(wǎng)絡(luò)系統(tǒng)中的各個(gè)主機(jī)系統(tǒng)的相關(guān)信息。（2）系統(tǒng)安全弱點(diǎn)的探測(cè)。在收集到攻擊目標(biāo)的一批網(wǎng)絡(luò)信息之后，黑客會(huì)探測(cè)網(wǎng)絡(luò)上的每臺(tái)主機(jī)，以尋求該系統(tǒng)的安全漏洞或安全弱點(diǎn)，黑客可能使用下列方式自動(dòng)掃描駐留在網(wǎng)絡(luò)上的主機(jī)。（3）網(wǎng)絡(luò)攻擊。黑客使用上述方法，收集或探測(cè)到一些“有用”信息之后，就可能會(huì)對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊。黑客攻擊的3個(gè)階段96黑客一旦獲得了對(duì)攻擊的目標(biāo)系統(tǒng)的訪(fǎng)問(wèn)權(quán)后，又可能有下述多種選擇。①該黑客可能試圖毀掉攻擊入侵的痕跡，并在受到損害的系統(tǒng)上建立另外的新的安全漏洞或后門(mén)，以便在先前的攻擊點(diǎn)被發(fā)現(xiàn)之后，繼續(xù)訪(fǎng)問(wèn)這個(gè)系統(tǒng)。②該黑客可能在目標(biāo)系統(tǒng)中安裝探測(cè)器軟件，包括特洛伊木馬程序，用來(lái)窺探所在系統(tǒng)的活動(dòng)，收集黑客感興趣的一切信息，如Telnet和FTP的賬號(hào)名和口令等。③該黑客可能進(jìn)一步發(fā)現(xiàn)受損系統(tǒng)在網(wǎng)絡(luò)中的信任等級(jí)，這樣黑客就可以通過(guò)該系統(tǒng)信任級(jí)展開(kāi)對(duì)整個(gè)系統(tǒng)的攻擊。對(duì)付黑客入侵971．發(fā)現(xiàn)黑客（1）進(jìn)程異常。在windows任務(wù)管理器中出現(xiàn)一些異常現(xiàn)象，發(fā)現(xiàn)一些可疑的進(jìn)程，我們應(yīng)該及時(shí)將其結(jié)束。（2）可疑啟動(dòng)項(xiàng)。在入侵之后黑客一般會(huì)添加一個(gè)啟動(dòng)項(xiàng)隨計(jì)算機(jī)啟動(dòng)而啟動(dòng)。（3）注冊(cè)表異常。運(yùn)行Regedit命令，查看相應(yīng)的鍵和值是否正常，如果有異常，則可能是被黑客侵入。（4）開(kāi)放可疑的窗口。在入侵后，黑客有可能留下后門(mén)程序以監(jiān)聽(tīng)客戶(hù)端的請(qǐng)求。用戶(hù)可以通過(guò)命令查看計(jì)算機(jī)是否開(kāi)啟了可疑端口。（5）日志文件的異常?？梢圆榭慈罩疚募卿浻涗浭欠裼泻诳腿肭帧＃?）存在陌生用戶(hù)。在入侵用戶(hù)電腦之后，黑客會(huì)創(chuàng)建有管理員權(quán)限的用戶(hù)，以便使用該用戶(hù)賬戶(hù)遠(yuǎn)程登錄電腦或啟動(dòng)程序和服務(wù)。對(duì)付黑客入侵982．應(yīng)急操作（1）估計(jì)形勢(shì)。當(dāng)遭到入侵時(shí)，采取的第一步行動(dòng)是盡可能快地估計(jì)入侵造成的破壞程度。判斷黑客是否已成功闖入站點(diǎn)、黑客是否還滯留在系統(tǒng)中、能控制當(dāng)前形勢(shì)最好的方法是什么、入侵是否有來(lái)自?xún)?nèi)部的威脅、是否了解入侵者身份？（2）切斷連接。一旦了解形勢(shì)之后，就應(yīng)立即采取行動(dòng)：首先應(yīng)切斷連接，并判斷：能否關(guān)閉服務(wù)器、能否追蹤黑客？（3）分析問(wèn)題。當(dāng)系統(tǒng)已被入侵時(shí)，應(yīng)全面考慮新近發(fā)生的事情，當(dāng)已識(shí)別安全漏洞并將進(jìn)行修補(bǔ)時(shí)，要保證修補(bǔ)不會(huì)引起另一個(gè)安全漏洞。（4）采取行動(dòng)。實(shí)施緊急反應(yīng)計(jì)劃并及時(shí)修復(fù)安全漏洞和恢復(fù)系統(tǒng)。對(duì)付黑客入侵993．抓住入侵者抓住入侵者是很困難的，特別是當(dāng)他們故意隱藏行跡的時(shí)候。成功與否在于是否能準(zhǔn)確把握黑客的攻擊。盡管抓住黑客的可能性不高，但遵循如下原則會(huì)大有幫助。①注意經(jīng)常定期檢查登錄文件。②注意不尋常的主機(jī)連接及連接次數(shù)通知用戶(hù)，將使消除入侵變得更為容易。③注意那些原不經(jīng)常使用卻突然變得活躍的賬戶(hù)。應(yīng)該禁止或干脆刪去這些不用的賬戶(hù)。④預(yù)計(jì)黑客經(jīng)常在周六、周日和節(jié)假日下午6點(diǎn)至上午8點(diǎn)之間光顧。但他們也可能隨時(shí)光顧。在這些時(shí)段里，每隔10分鐘運(yùn)行一次shellscript文件，記錄所有的過(guò)程及網(wǎng)絡(luò)連接。（第6章）6.5入侵檢測(cè)技術(shù)1006.5入侵檢測(cè)技術(shù)101入侵定義為任何試圖破壞信息系統(tǒng)的完整性、保密性或有效性的活動(dòng)的集合。入侵檢測(cè)就是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的