第6章互聯(lián)網(wǎng)安全技術(shù)與防范對策

第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策

內(nèi)容提要網(wǎng)絡(luò)安全基礎(chǔ)防火墻技術(shù)VPN技術(shù)網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)入侵檢測訪問控制技術(shù)2025/3/181第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是信息系統(tǒng)安全的基礎(chǔ)。網(wǎng)絡(luò)系統(tǒng)的安全涉及到平臺的各個方面。按照網(wǎng)絡(luò)OSI的7層模型，網(wǎng)絡(luò)安全貫穿于整個7層模型。針對網(wǎng)絡(luò)系統(tǒng)實際運(yùn)行的TCP/IP協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的4個層次。下表表示了對應(yīng)網(wǎng)絡(luò)系統(tǒng)的安全體系層次模型：網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全體系包括：訪問控制、檢查安全漏洞、攻擊監(jiān)控、加密通信、認(rèn)證、備份和恢復(fù)、多層防御、設(shè)立安全監(jiān)控中心。2025/3/182第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策網(wǎng)絡(luò)安全服務(wù)內(nèi)涵①認(rèn)證。②對等實體鑒別③訪問控制④信息加密⑤信息的完整性⑥抗拒絕服務(wù)⑦業(yè)務(wù)的有效性⑧審計⑨不可抵賴2025/3/183第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策網(wǎng)絡(luò)安全防范機(jī)制①加密機(jī)制②數(shù)字簽名機(jī)制③存取控制機(jī)制④信息完整性機(jī)制⑤業(yè)務(wù)量填充機(jī)制⑥路由控制機(jī)制⑦公證機(jī)制2025/3/184第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策網(wǎng)絡(luò)安全關(guān)鍵技術(shù)（1）入侵檢測（2）訪問控制（3）加密技術(shù)（4）身份認(rèn)證技術(shù)2025/3/185第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策

內(nèi)容提要網(wǎng)絡(luò)安全基礎(chǔ)防火墻技術(shù)VPN技術(shù)網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)入侵檢測訪問控制技術(shù)2025/3/186第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策防火墻的由來：古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時候為防止火災(zāi)的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護(hù)構(gòu)筑物就被稱為“防火墻”（FireWall）防火墻的概念：是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻是具有以下特征的計算機(jī)硬件或軟件：（1）所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻；（2）所有穿過防火墻的通信流都必須有安全策略和計劃的確認(rèn)和授權(quán)；（3）理論上說，防火墻是穿不透的。通常意義上講的硬防火墻為硬件防火墻，它是通過硬件和軟件的結(jié)合來達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的，價格較貴，但效果較好，一般小型企業(yè)和個人很難實現(xiàn)；軟件防火墻是通過軟件的方式來達(dá)到，價格很便宜，但這類防火墻只能通過一定的規(guī)則來達(dá)到限制一些非法用戶訪問內(nèi)部網(wǎng)的目的。2025/3/187第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策防火墻的功能1.防火墻是網(wǎng)絡(luò)安全的屏障一個防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。2.防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。3.對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。4.防止內(nèi)部信息的外泄通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。5.防火墻的抗攻擊能力除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。2025/3/188第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策防火墻的不足防火墻的缺點(diǎn)主要表現(xiàn)在以下幾個方面：

1、不能防范惡意的知情者防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。內(nèi)部用戶可以偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅，只能要求加強(qiáng)內(nèi)部管理，如主機(jī)安全和用戶教育等。2、不能防范不通過它的連接防火墻能夠有效地防止通過它的傳輸信息，然而它卻不能防止不通過它而傳輸?shù)男畔?。例如，如果站點(diǎn)允許對防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進(jìn)行撥號入侵。3、不能防備全部的威脅防火墻被用來防備已知的威脅，如果是一個很好的防火墻設(shè)計方案，就可以防備新的威脅，但沒有一扇防火墻能自動防御所有新的威脅。4、防火墻不能防范病毒防火墻一般不能消除網(wǎng)絡(luò)上的病毒。

2025/3/189第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策防火墻的一些相關(guān)術(shù)語網(wǎng)關(guān)：在兩個設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)是互聯(lián)網(wǎng)應(yīng)用程序在兩臺主機(jī)之間處理流量的防火墻。這個術(shù)語是非常常見的。DMZ非軍事化區(qū)：為了配置管理方便，內(nèi)部網(wǎng)中需要向外提供服務(wù)的服務(wù)器往往放在一個單獨(dú)的網(wǎng)段，這個網(wǎng)段便是非軍事化區(qū)。防火墻一般配備三塊網(wǎng)卡，在配置時一般分別連接內(nèi)部網(wǎng)，internet和DMZ。吞吐量：網(wǎng)絡(luò)中的數(shù)據(jù)是由一個個數(shù)據(jù)包組成，防火墻對每個數(shù)據(jù)包的處理要耗費(fèi)資源。吞吐量是指在不丟包的情況下單位時間內(nèi)通過防火墻的數(shù)據(jù)包數(shù)量。這是測量防火墻性能的重要指標(biāo)。最大連接數(shù)：和吞吐量一樣，數(shù)字越大越好。但是最大連接數(shù)更貼近實際網(wǎng)絡(luò)情況，網(wǎng)絡(luò)中大多數(shù)連接是指所建立的一個虛擬通道。數(shù)據(jù)包轉(zhuǎn)發(fā)率：是指在所有安全規(guī)則配置正確的情況下，防火墻對數(shù)據(jù)流量的處理速度。SSL：SSL（SecureSocketsLayer）是由Netscape公司開發(fā)的一套Internet數(shù)據(jù)安全協(xié)議，當(dāng)前版本為3.0。它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持

網(wǎng)絡(luò)地址轉(zhuǎn)換：網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）是一種將一個IP地址域映射到另一個IP地址域技術(shù)，從而為終端主機(jī)提供透明路由。NAT包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、端口映射等。堡壘主機(jī)：一種被強(qiáng)化的可以防御進(jìn)攻的計算機(jī)，被暴露于因特網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個檢查點(diǎn)，以達(dá)到把整個網(wǎng)絡(luò)的安全問題集中在某個主機(jī)上解決，從而省時省力，不用考慮其它主機(jī)的安全的目的。2025/3/1810第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策防火墻的基本類型一、包過濾防火墻二、代理服務(wù)器防火墻三、狀態(tài)監(jiān)視器防火墻2025/3/1811第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策包過濾防火墻數(shù)據(jù)包過濾(Packet

Filtering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，

被稱為訪問控制表(Access

Control

Table)。基本思想：對于每個進(jìn)來的包適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或丟棄該包如何過濾過濾的規(guī)則以IP層和運(yùn)輸層的頭中的字段為基礎(chǔ)過濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件來作出決定：如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄如果所有規(guī)則都不匹配，則根據(jù)缺省策略2025/3/1812第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策包過濾防火墻示意圖網(wǎng)絡(luò)層鏈路層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)2025/3/1813第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策1.包過濾防火墻的工作原理采用這種技術(shù)的防火墻產(chǎn)品，通過在網(wǎng)絡(luò)中的適當(dāng)位置對數(shù)據(jù)包進(jìn)行過濾，根據(jù)檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過防火墻進(jìn)入到內(nèi)部網(wǎng)絡(luò)，而將不合乎邏輯的數(shù)據(jù)包加以刪除。2.包過濾防火墻的優(yōu)缺點(diǎn)包過濾防火墻的優(yōu)點(diǎn)是：（1）邏輯簡單，價格便宜（通常安裝在路由器上），網(wǎng)絡(luò)性能和透明性好，；（2）與應(yīng)用層無關(guān)，無須改動任何客戶機(jī)和主機(jī)上的應(yīng)用程序，易于安裝和使用。它也有一些缺點(diǎn)：（1）包過濾配置起來比較復(fù)雜，需要對IP、TCP、UDP、ICMP等各種協(xié)議有深入的了解（2）允許外部客戶和內(nèi)部主機(jī)的直接連接（3）對IP欺騙式攻擊比較敏感，不提供用戶的鑒別機(jī)制，沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。而攻擊一個單純的包過濾式的防火墻對黑客來說是比較容易的，他們在這一方面已經(jīng)積累了大量的經(jīng)驗。2025/3/1814第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策代理服務(wù)器防火墻代理服務(wù)(ProxyService)也稱鏈路級網(wǎng)關(guān)或TCP通道(CircuitLevelGatewaysorTCPTunnels)。代理服務(wù)器作用于應(yīng)用層，也稱為應(yīng)用層網(wǎng)關(guān)。代理服務(wù)器型（應(yīng)用層網(wǎng)關(guān)）結(jié)構(gòu)示意圖2025/3/1815第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策應(yīng)用層網(wǎng)關(guān)的協(xié)議棧結(jié)構(gòu)應(yīng)用層運(yùn)輸層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)鏈路層網(wǎng)絡(luò)層HTTPFTPTelnetSmtp2025/3/1816第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策1.代理服務(wù)器防火墻的工作原理代理服務(wù)器運(yùn)行在兩個網(wǎng)絡(luò)之間，它對于客戶來說像是一臺真的服務(wù)器一樣，而對于外界的服務(wù)器來說，它又是一臺客戶機(jī)。當(dāng)代理服務(wù)器接收到用戶的請求后，會檢查用戶請求的站點(diǎn)是否符合公司的要求，如果公司允許用戶訪問該站點(diǎn)的話，代理服務(wù)器會像一個客戶一樣，去那個站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶。2.代理服務(wù)器防火墻的優(yōu)缺點(diǎn)代理服務(wù)器防火墻的優(yōu)點(diǎn)：可以將被保護(hù)的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)屏蔽起來，增強(qiáng)網(wǎng)絡(luò)的安全性；可用于實施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等。代理服務(wù)器防火墻的缺點(diǎn)：使訪問速度變慢，因為它不允許用戶直接訪問網(wǎng)絡(luò)；應(yīng)用級網(wǎng)關(guān)需要針對每一個特定的Internet服務(wù)安裝相應(yīng)的代理服務(wù)器軟件，用戶不能使用未被服務(wù)器支持的服務(wù)，這就意味著用戶可能會花費(fèi)一定的時間等待新服務(wù)器軟件的安裝；并不是所有的Internet應(yīng)用軟件都可以使用代理服務(wù)器。2025/3/1817第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策狀態(tài)監(jiān)視器防火墻1.狀態(tài)監(jiān)視器防火墻的工作原理這種防火墻安全特性非常好，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取部分?jǐn)?shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后指定安全決策的參考。2.狀態(tài)監(jiān)視器防火墻的優(yōu)缺點(diǎn)狀態(tài)監(jiān)視器的優(yōu)點(diǎn)：（1）檢測模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。（2）它會監(jiān)測RPC和UDP之類的端口信息，而包過濾和代理網(wǎng)關(guān)都不支持此類端口。（3）性能堅固狀態(tài)監(jiān)視器的缺點(diǎn)：（1）配置非常復(fù)雜。（2）會降低網(wǎng)絡(luò)的速度。2025/3/1818第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策防火墻的基本技術(shù)1.雙端口或三端口結(jié)構(gòu)2.透明訪問方式3.代理系統(tǒng)技術(shù)4.多級過濾技術(shù)5.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）6.Internet網(wǎng)關(guān)技術(shù)7.安全服務(wù)器網(wǎng)絡(luò)（SSN）技術(shù)8.用戶鑒別與加密技術(shù)9.用戶定制技術(shù)10.審計和告警技術(shù)2025/3/1819第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策防火墻的配置結(jié)構(gòu)三種體系結(jié)構(gòu)：一、屏蔽路由器二、雙宿主主機(jī)結(jié)構(gòu)三、被屏蔽主機(jī)四、被屏蔽子網(wǎng)五、復(fù)合體系結(jié)構(gòu)幾個相關(guān)概念堡壘主機(jī)（BastionHost）：指一個計算機(jī)系統(tǒng)，它對外部網(wǎng)絡(luò)暴露，同時又是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點(diǎn)。雙宿主主機(jī)（Dual-homedHost）：至少有兩個網(wǎng)絡(luò)接口的通用計算機(jī)系統(tǒng)。DMZ(DemilitarizedZone，非軍事區(qū)或者?；饏^(qū))：在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個子網(wǎng)，也稱為參數(shù)網(wǎng)絡(luò)。2025/3/1820第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策一、屏蔽路由器屏蔽路由器(ScreeningRouter)，也叫安全路由器。它可以由廠家專門生產(chǎn)的路由器實現(xiàn)，也可以用主機(jī)來實現(xiàn)。屏蔽路由器作為內(nèi)外連接的惟一通道，要求所有的報文都必須在此通過檢查。路由器上可以安裝基于IP層的報文過濾軟件，實現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項，但一般比較簡單。單純由屏蔽路由器構(gòu)成的防火墻的危險包括路由器本身及路由器允許訪問的主機(jī)。屏蔽路由器的缺點(diǎn)是一旦被攻隱后很難發(fā)現(xiàn)，而且不能識別不同的用戶。2025/3/1821第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策二、雙重宿主主機(jī)體系結(jié)構(gòu)雙宿主主機(jī)體系結(jié)構(gòu)防火墻沒有使用路由器。雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個網(wǎng)絡(luò)接口，它可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，也能夠從一個網(wǎng)絡(luò)到另外一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。雙宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送，因此IP數(shù)據(jù)包并不是從一個網(wǎng)絡(luò)直接發(fā)送到另一個網(wǎng)絡(luò)。外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)都能與雙宿主主機(jī)通信，但是它們不能直接通信，必須經(jīng)過雙宿主主機(jī)的過濾和控制。2025/3/1822第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策三、被屏蔽主機(jī)體系結(jié)構(gòu)也稱為主機(jī)過濾結(jié)構(gòu)，由包過濾路由器和堡壘主機(jī)組成，堡壘主機(jī)僅僅與內(nèi)部網(wǎng)相連。任何外部網(wǎng)的主機(jī)都只能與內(nèi)部網(wǎng)的堡壘主機(jī)建立連接，任何外部系統(tǒng)對內(nèi)部網(wǎng)絡(luò)的操作都必須經(jīng)過堡壘主機(jī)。2025/3/1823第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策四、被屏蔽子網(wǎng)體系結(jié)構(gòu)采用了兩個包過濾路由器和一個堡壘主機(jī)，在內(nèi)外網(wǎng)絡(luò)之間建立了一個被隔離的子網(wǎng)，定義為“非軍事區(qū)”（DMZ），使得內(nèi)部網(wǎng)與外部網(wǎng)之間有三層防護(hù)。2025/3/1824第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策五、復(fù)合體系結(jié)構(gòu)一般有以下幾種形式：①使用多堡壘主機(jī)；②合并內(nèi)部路由器與外部路由器；③合并堡壘主機(jī)與外部路由器；④合并堡壘主機(jī)與內(nèi)部路由器；⑤使用多臺內(nèi)部路由器；⑥使用多臺外部路由器；⑦使用多個周邊網(wǎng)絡(luò)；⑧使用雙重宿主主機(jī)與屏蔽子網(wǎng)。2025/3/1825第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策防火墻的安全策略①凡是沒有被列為允許訪問的服務(wù)都是被禁止的。②凡是沒有被列為禁止訪問的服務(wù)都是被允許的。2025/3/1826第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策市場上常見的硬件防火墻NetScreen208FirewallNetScreen科技公司推出的NetScreen防火墻產(chǎn)品是一種新型的網(wǎng)絡(luò)安全硬件產(chǎn)品。NetScreen采用內(nèi)置的ASIC技術(shù)，其安全設(shè)備具有低延時、高效的IPSec加密和防火墻功能，可以無縫地部署到任何網(wǎng)絡(luò)。設(shè)備安裝和操控也是非常容易，可以通過多種管理界面包括內(nèi)置的WebUI界面、命令行界面或NetScreen中央管理方案進(jìn)行管理。NetScreen將所有功能集成于單一硬件產(chǎn)品中，它不僅易于安裝和管理，而且能夠提供更高可靠性和安全性。CiscoSecurePIX515-EFirewallCiscoSecurePIX防火墻是Cisco防火墻家族中的專用防火墻設(shè)施。CiscoSecurePIX515-E防火墻系通過端到端安全服務(wù)的有機(jī)組合，提供了很高的安全性。適合那些僅需要與自己企業(yè)網(wǎng)進(jìn)行雙向通信的遠(yuǎn)程站點(diǎn)，或由企業(yè)網(wǎng)在自己的企業(yè)防火墻上提供所有的Web服務(wù)的情況。CiscoSecurePIX515-E與普通的CPU密集型專用代理服務(wù)器(對應(yīng)用級的每一個數(shù)據(jù)包都要進(jìn)行大量處理)不同，CiscoSecurePIX515-E防火墻采用非UNIX、安全、實時的內(nèi)置系統(tǒng)。天融信網(wǎng)絡(luò)衛(wèi)士NGFW4000-S防火墻北京天融信公司的網(wǎng)絡(luò)衛(wèi)士是我國第一套自主版權(quán)的防火墻系統(tǒng),目前在我國電信、電子、教育、科研等單位廣泛使用。它由防火墻和管理器組成。網(wǎng)絡(luò)衛(wèi)士NGFW4000-S防火墻是我國首創(chuàng)的核檢測防火墻，更加安全更加穩(wěn)定，集中了包過濾防火墻、應(yīng)用代理、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、用戶身份鑒別、虛擬專用網(wǎng)、Web頁面保護(hù)、用戶權(quán)限控制、安全審計、攻擊檢測、流量控制與計費(fèi)等功能,可以為不同類型的Internet接入網(wǎng)絡(luò)提供全方位的網(wǎng)絡(luò)安全服務(wù)。東軟NetEye4032防火墻NetEye4032防火墻是NetEye防火墻系列中的最新版本，該系統(tǒng)在性能，可靠性，管理性等方面大大提高。其基于狀態(tài)包過濾的流過濾體系結(jié)構(gòu)，保證從數(shù)據(jù)鏈路層到應(yīng)用層的完全高性能過濾，可以進(jìn)行應(yīng)用級插件的及時升級，攻擊方式的及時響應(yīng)，實現(xiàn)動態(tài)的保障網(wǎng)絡(luò)安全。NetEye防火墻4032對流過濾引擎進(jìn)行了優(yōu)化，進(jìn)一步提高了性能和穩(wěn)定性，同時豐富了應(yīng)用級插件、安全防御插件，并且提升了開發(fā)相應(yīng)插件的速度。2025/3/1827第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策防火墻對比防火墻NetScreen208CiscoPIX515ENGFW4000-SNetEye4032核心技術(shù)狀態(tài)檢測狀態(tài)檢測核檢測狀態(tài)檢測產(chǎn)品類型ASIC硬件硬件設(shè)備硬件設(shè)備硬件設(shè)備工作模式（路由模式、橋模式、混合模式）路由模式、橋模式路由模式、橋模式路由模式、橋模式、混合模式路由模式、橋模式并發(fā)連接數(shù)130000130000600000300000網(wǎng)絡(luò)吞吐量550M170M100M200M最大支持網(wǎng)絡(luò)接口8個6個12個8個操作系統(tǒng)ScreenOS專用操作系統(tǒng)專用操作系統(tǒng)專用操作系統(tǒng)管理方式串口、CLI、Telnet、Web、GUI串口、Telnet、Web、GUI串口、Telnet、Web、GUI串口、Telnet、GUI市場報價142,000RMB80,000RMB138,000RMB148,000RMB2025/3/1828第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策

內(nèi)容提要網(wǎng)絡(luò)安全基礎(chǔ)防火墻技術(shù)VPN技術(shù)網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)入侵檢測訪問控制技術(shù)2025/3/1829第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策VPNVPN即虛擬專用網(wǎng)，是依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。VPN由三個部分組成：客戶機(jī)、傳輸介質(zhì)和服務(wù)器。VPN的工作原理是：信息的發(fā)送進(jìn)程通過可信任的內(nèi)部網(wǎng)發(fā)送明文到VPN服務(wù)器，由VPN根據(jù)安全策略對數(shù)據(jù)包（包括源IP地址和目的IP地址等）進(jìn)行加密，并附上數(shù)字簽名；然后VPN服務(wù)器對數(shù)據(jù)包加上新的數(shù)據(jù)報頭，其中包括一些安全信息和參數(shù)，對加密后的數(shù)據(jù)包重新進(jìn)行封裝。此數(shù)據(jù)包通過Internet上的“隧道”傳輸，到達(dá)目的方的VPN服務(wù)器，由該服務(wù)器解包，核對數(shù)字簽名，并且解密。最后，明文信息通過內(nèi)部網(wǎng)傳輸?shù)侥康牡亍?025/3/1830第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策VPN的功能虛擬專用網(wǎng)至少應(yīng)能提供如下功能：①加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。②信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶的身份。③提供訪問控制，不同的用戶有不同的訪問權(quán)限。2025/3/1831第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策VPN的優(yōu)缺點(diǎn)VPN具有以下優(yōu)點(diǎn)：①低成本。企業(yè)不必租用長途專線建設(shè)專網(wǎng)，不必大量的網(wǎng)絡(luò)維護(hù)人員和設(shè)備投資。②易擴(kuò)展。網(wǎng)絡(luò)路由設(shè)備配置簡單，無需增加太多的設(shè)備，省時省錢。③完全控制主動權(quán)。VPN上的設(shè)施和服務(wù)完全掌握在企業(yè)手中。VPN的幾個不足：①無法保護(hù)“越界”數(shù)據(jù)的安全②VPN的管理流程和平臺與其他成熟的遠(yuǎn)程接入服務(wù)相比還不太好用③不同廠商的IPsecVPN的管理和配置掌握起來是最難的2025/3/1832第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策VPN的基本類型按接入方式劃分為兩類專線VPN：專線VPN是為已經(jīng)通過專線接入ISP（因特網(wǎng)服務(wù)提供商）邊緣路由器的用戶提供的VPN實現(xiàn)方案。撥號VPN：撥號VPN又稱VPDN，指的是為利用撥號方式通過PSTN（公用電話交換網(wǎng)）或ISDN（綜合業(yè)務(wù)數(shù)字網(wǎng)）接入ISP的用戶提供的VPN業(yè)務(wù)。按隧道協(xié)議所屬的層次劃分工作在鏈路層的第二層隧道協(xié)議工作在網(wǎng)絡(luò)層的第三層隧道協(xié)議介于第二層和第三層之間的隧道協(xié)議按VPN發(fā)起主體不同劃分基于客戶的VPN基于網(wǎng)絡(luò)的VPN按業(yè)務(wù)類型劃分InternetVPNAccessVPNExtranetVPN按應(yīng)用平臺劃分軟件VPN專用硬件VPN輔助硬件VPN按運(yùn)營商所開展的業(yè)務(wù)類型劃分撥號VPN業(yè)務(wù)虛擬租用線虛擬專用路由網(wǎng)業(yè)務(wù)虛擬專用局域網(wǎng)段2025/3/1833第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策VPN的關(guān)鍵技術(shù)（1）隧道技術(shù)隧道技術(shù)簡單的說就是：原始報文在A地進(jìn)行封裝，到達(dá)B地后把封裝去掉還原成原始報文，這樣就形成了一條由A到B的通信隧道。①一般路由封裝（GRE）GRE主要用于源路由和終路由之間所形成的隧道。GRE通常是點(diǎn)到點(diǎn)的，但和下一跳路由協(xié)議（Next-HopRoutingProtocol，NHRP）結(jié)合使用可以實現(xiàn)點(diǎn)到多點(diǎn)。GRE隧道技術(shù)是用在路由器中的，可以滿足ExtranetVPN和IntranetVPN的需求。遠(yuǎn)程訪問撥號用戶一般通過L2TP和PPTP訪問VPN。②L2TP（L2F和PPTP的結(jié)合）L2TP是L2F（Layer2Forwarding）和PPTP的結(jié)合。采用“強(qiáng)制”隧道模型機(jī)制（“NAS初始化”隧道（NetworkAccessServer））。③PPTP（點(diǎn)對點(diǎn)隧道協(xié)議）PPTP采用“主動”隧道模型機(jī)制（“用戶初始化”隧道）。采用L2TP還是PPTP實現(xiàn)VPN取決于要把控制權(quán)放在NAS還是用戶手中。L2TP比PPTP更安全，前者適合集中固定用戶，后者適合移動用戶。（2）加密技術(shù)（3）QoS技術(shù)（帶寬，反應(yīng)時間和丟失率）2025/3/1834第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策VPN分類結(jié)構(gòu)VPN撥號VPN專線VPN客戶發(fā)起的VDPNNAS發(fā)起的VDPSIPTunnelVPN-awareNetwaresFRATM2025/3/1835第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策VPN的配置結(jié)構(gòu)①ATMPVC組建方式。即利用電信部門提供的ATMPVC來組建用戶的專用網(wǎng)。這種專用網(wǎng)的通信速率快，安全性高，支持多媒體通信。②IPTunneling組建方式。即在多媒體通信網(wǎng)的IP層組建專用網(wǎng)。其傳輸速率不能完全保證，不支持多媒體通信；使用國際通行的加密算法，安全性好；這種組網(wǎng)方式的業(yè)務(wù)在公眾通信網(wǎng)遍及的地方均可提供。③Dial-upAccess組網(wǎng)方式（VDPN）。這是一種撥號方式的專用網(wǎng)組建方式，可以利用已遍布全國的撥號公網(wǎng)來組建專用網(wǎng)，其接入地點(diǎn)在國內(nèi)不限，上網(wǎng)可節(jié)省長途撥號的費(fèi)用，對于流動性強(qiáng)、分支機(jī)構(gòu)多、通信量小的用戶而言，這是一種理想的組網(wǎng)方式，它可以將用戶內(nèi)部網(wǎng)的界限，從單位的地理所在點(diǎn)延伸到全國范圍。2025/3/1836第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策VPN的安全策略目前建造虛擬專網(wǎng)的國際標(biāo)準(zhǔn)有IPSec和L2TP。VPN系統(tǒng)使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全地通信。它采用復(fù)雜的算法來加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會被竊聽，其處理過程如下：（1）要保護(hù)的主機(jī)發(fā)送明文信息到連接公共網(wǎng)絡(luò)的VPN設(shè)備。（2）VPN設(shè)備根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過。對需要加密的數(shù)據(jù)，VPN設(shè)備對整個數(shù)據(jù)包進(jìn)行加密和附上數(shù)字簽名。（3）VPN設(shè)備加上新的數(shù)據(jù)報頭，其中包括目的地VPN設(shè)備需要的安全信息和一些初始化參數(shù)。VPN設(shè)備對加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標(biāo)VPN設(shè)備IP地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。（4）當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)VPN設(shè)備時，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對無誤后，數(shù)據(jù)包被解密。2025/3/1837第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策

內(nèi)容提要網(wǎng)絡(luò)安全基礎(chǔ)防火墻技術(shù)VPN技術(shù)網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)入侵檢測訪問控制技術(shù)2025/3/1838第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策DDoSDDoS(DistributedDenialofService，分布式拒絕服務(wù)攻擊)是指，攻擊者利用拒絕服務(wù)軟件，對某一資源發(fā)送垃圾信息，導(dǎo)致帶寬或者資源過載產(chǎn)生瓶頸，從而使得其他的用戶無法享用該服務(wù)資源。當(dāng)一個對資源的合理請求大大超過資源的支付能力時就會造成拒絕服務(wù)攻擊。被DDoS攻擊時的現(xiàn)象：被攻擊主機(jī)上有大量等待的TCP連接網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機(jī)無法及時處理所有正常請求嚴(yán)重時會造成系統(tǒng)死機(jī)2025/3/1839第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策DDoS的工作原理圖2025/3/1840第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策DDoS的工作原理分析首先，攻擊者通過利用系統(tǒng)服務(wù)的漏洞或者管理員的配置錯誤等方法，來進(jìn)入一些安全措施較差的小型站點(diǎn)以及單位中的服務(wù)器。然后，攻擊者在所侵入的服務(wù)器上安裝攻擊軟件。其目的在于隔離網(wǎng)絡(luò)聯(lián)系，保護(hù)攻擊者，使其不會在攻擊進(jìn)行時受到監(jiān)控系統(tǒng)的跟蹤，同時也能夠更好地協(xié)調(diào)進(jìn)攻。再后，攻擊者從攻擊控制臺向各個攻擊服務(wù)器發(fā)出對特定目標(biāo)的攻擊命令。攻擊器接到攻擊命令后，就開始每一個攻擊器都會向目標(biāo)主機(jī)發(fā)出大量的服務(wù)請求數(shù)據(jù)包。這些包所請求的服務(wù)往往要消耗較大的系統(tǒng)資源，這就會導(dǎo)致目標(biāo)主機(jī)網(wǎng)絡(luò)和系統(tǒng)資源的耗盡，從而停止服務(wù)，甚至?xí)?dǎo)致系統(tǒng)崩潰。2025/3/1841第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策DDos的體系結(jié)構(gòu)

DDoS采用一種三層客戶服務(wù)器結(jié)構(gòu)。最下層是攻擊的執(zhí)行者。這一層由許多網(wǎng)絡(luò)主機(jī)構(gòu)成。攻擊者通過各種辦法獲得主機(jī)的登錄權(quán)限，并在上面安裝攻擊器程序。這些攻擊器程序中一般內(nèi)置了上面一層的某一個或某幾個攻擊服務(wù)器的地址，其攻擊行為受到攻擊服務(wù)器的直接控制。攻擊服務(wù)器。攻擊服務(wù)器的主要任務(wù)是將控制臺的命令發(fā)布到攻擊執(zhí)行器上。這些服務(wù)器與攻擊執(zhí)行器一樣，安裝在一些被侵入的無關(guān)主機(jī)上。攻擊主控臺。攻擊主控臺可以是網(wǎng)絡(luò)上的任何一臺主機(jī)，甚至可以是一個活動的使攜機(jī)。它的作用就是向第二層的攻擊服務(wù)器發(fā)布攻擊命令。2025/3/1842第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策DDoS的攻擊方法

（1）Hogging這種方法可以繞過普通操作系統(tǒng)的控制，在主機(jī)上運(yùn)行一個程序，這個程序消耗系統(tǒng)資源直到OS失敗，主機(jī)崩潰。（2）郵件炸彈(MailBombs)郵件炸彈軟件通過偽造大量傳輸，使郵件服務(wù)器處理超過其負(fù)荷能力的信息。由于任何—個郵件服務(wù)器都會有自己的處理極限，所以該軟件對郵件服務(wù)器的影響是很大的。（3）PingofDeath該方法是利用Ping（PacketInternetGroper）發(fā)送大小不合法的測試包。特大型的測試包會使未采取保護(hù)措施的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題，甚至崩潰。（4）SYNFlooding這種方法是專門針對TCP協(xié)議的，它企圖用盡所有可能的網(wǎng)絡(luò)連接，造成用戶合法使用網(wǎng)絡(luò)服務(wù)的傳輸被拒絕。這種方法利用了SYN（SynchronizeSequenceNumber）包在兩臺主機(jī)間初始化對話的功能。2025/3/1843第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策（5）Zombies[巫毒崇拜，蛇神]該方法是被攻擊者控制用來進(jìn)行攻擊用的計算機(jī)。（6）Smurf（DirectedBroadcast）廣播信息可以通過一定的手段(通過廣播地址或其他機(jī)制)發(fā)送到整個網(wǎng)絡(luò)中的機(jī)器。當(dāng)某臺機(jī)器使用廣播地址發(fā)送一個ICMPecho請求包時(例如Ping)，一些系統(tǒng)會回應(yīng)一個ICMPecho回應(yīng)包，也就是說，發(fā)送一個包會收到許多的響應(yīng)包。Smurf攻擊就是使用這個原理來進(jìn)行的。（7）S1ashdoteffect這種攻擊力法使web服務(wù)器或其他類型的服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過載，一般這些網(wǎng)絡(luò)流量是針對某一個頁面或一個鏈接而產(chǎn)生的。2025/3/1844第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策DDoS的攻擊過程（1）搜集了解目標(biāo)的情況下列情況是黑客非常關(guān)心的情報：①被攻擊目標(biāo)主機(jī)數(shù)目、地址情況②目標(biāo)主機(jī)的配置、性能③目標(biāo)的帶寬（2）占領(lǐng)傀儡機(jī)黑客最感興趣的是有下列情況的主機(jī)：①鏈路狀態(tài)好的主機(jī)②性能好的主機(jī)③安全管理水平差的主機(jī)（3）實際攻擊2025/3/1845第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的概念捕獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息就稱為Sniffing(竊聽)。Sniffer可以是硬件，也可以是軟件，它用來接收在網(wǎng)絡(luò)上傳輸?shù)男畔?。Sniffer使網(wǎng)絡(luò)接口（如以太網(wǎng)適配器）處于監(jiān)聽模式，從而可從截獲網(wǎng)絡(luò)上的所有內(nèi)容。要使一臺機(jī)器成為一個Sniffer，則或者需要一個特殊的軟件（Ethernet卡的廣播驅(qū)動程序）或者需要一種網(wǎng)絡(luò)軟件能使網(wǎng)絡(luò)處于監(jiān)聽模式。網(wǎng)絡(luò)監(jiān)聽軟件運(yùn)行時，需要消耗大量的處理器時間。Sniffer通常運(yùn)行在路由器，或有路由器功能的主機(jī)上。Sniffer屬第二層次的攻擊。不能監(jiān)聽不在同一個網(wǎng)段計算機(jī)傳輸?shù)男畔ⅰ＞W(wǎng)絡(luò)監(jiān)聽常常被用來獲取用戶的口令。2025/3/1846第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策被監(jiān)聽的網(wǎng)絡(luò)通常包括以下幾種

（1）以太網(wǎng)在實際中應(yīng)用廣泛，很容易被監(jiān)聽。（2）FDDI、Token-ring不是廣播型網(wǎng)絡(luò)，但包在傳輸過程中是沿環(huán)傳送的，高的傳輸率使監(jiān)聽變得困難。（3）使用電話線被監(jiān)聽的可能性中等，高速的MODEM比低速的MODEM搭線困難的多。（4）通過有線電視信道傳送IP被監(jiān)聽的可能性比較高。（5）微波和無線電被監(jiān)聽的可能性比較高。2025/3/1847第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策Sniffer可以截獲的信息

一個Sniffer可能截獲網(wǎng)絡(luò)上所有的信息。通常包括以下信息：Sniffer可以截獲用戶明文傳送的ID和口令。Sniffer能夠捕獲專用的或者機(jī)密的信息。Sniffer可以用來危害網(wǎng)絡(luò)鄰居的安全，或者用來獲取更高級別的訪問權(quán)限。Sniffer可以窺探低級的協(xié)議信息。Sniffer與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實的網(wǎng)絡(luò)報文。2025/3/1848第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策防止sniffer

首先就要確保以太網(wǎng)的整體安全r。其次，使用加密傳輸敏感數(shù)據(jù)。另一個比較容易接受的是使用安全拓?fù)浣Y(jié)構(gòu)。2025/3/1849第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策口令破解口令破解的方法（1）窮舉法(蠻力猜測)所謂窮舉法就是對所有可能的口令組合都進(jìn)行猜測，所以也被稱為蠻力猜測。（2）利用漏洞①利用技術(shù)漏洞②利用管理漏洞（3）字典法破譯所謂字典法攻擊，是將已有的字典文件作為用戶的口令輸入給遠(yuǎn)端的主機(jī)，申請進(jìn)人系統(tǒng)。若驗證不成功，程序就自動按序提取下一個字符串，同理進(jìn)行嘗試。攻擊就依次一直循環(huán)下去，直到口令驗證通過，或字典的字符串用完為止。（4）缺省的登錄界面(ShellScripts)攻擊法（5）通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令黑客利用監(jiān)聽軟件可以監(jiān)聽其所在網(wǎng)段的所有用戶賬號和口令。2025/3/1850第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策如何保證口令的安全（1）注意口令的組合。（2）防止口令被監(jiān)聽（3）防止窮舉法和字典攻擊2025/3/1851第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策

內(nèi)容提要網(wǎng)絡(luò)安全基礎(chǔ)防火墻技術(shù)VPN技術(shù)網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)入侵檢測訪問控制技術(shù)2025/3/1852第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策入侵檢測系統(tǒng)的概念入侵檢測通過對計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測的軟件與硬件的組合就是入侵檢測系統(tǒng)。IDS(IntrusionDetectionSystem)的運(yùn)行方式有兩種，一種是在目標(biāo)主機(jī)上運(yùn)行以監(jiān)測其本身的通信信息，另一種是在一臺單獨(dú)的機(jī)器上運(yùn)行以監(jiān)測所有網(wǎng)絡(luò)設(shè)備的通信信息，比如Hub、路由器。2025/3/1853第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策IDS能夠檢測出的最常見的Internet攻擊類型

①DOS（DenialOfServiceattack，拒絕服務(wù)攻擊）②DDOS（DistributedDenialofService，分布式拒絕服務(wù)攻擊）③Smurf④Trojans（特洛伊木馬）2025/3/1854第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策IDS性能指標(biāo)1．每秒數(shù)據(jù)流量（Mbps或Gbps）2．每秒抓包數(shù)（pps）3．每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)4．每秒能夠處理的事件數(shù)2025/3/1855第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策入侵檢測系統(tǒng)的原理基本原理：對網(wǎng)絡(luò)上的所有數(shù)據(jù)包進(jìn)行復(fù)制并檢測，然后與內(nèi)部的攻擊特征數(shù)據(jù)庫（規(guī)則庫）進(jìn)行匹配比較，如果相符即產(chǎn)生報警或響應(yīng)。2025/3/1856第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策入侵檢測系統(tǒng)的分類IDS分類1－ApplicationIDS（應(yīng)用程序IDS）IDS分類2－ConsolesIDS（控制臺IDS）IDS分類3－FileIntegrityCheckers（文件完整性檢查器）IDS分類4－Honeypots（蜜罐）IDS分類5－Host-basedIDS（基于主機(jī)的IDS）IDS分類6－HybridIDS（混合IDS）IDS分類7－NetworkIDS（NIDS，網(wǎng)絡(luò)IDS）IDS分類8－NetworkNodeIDS（NNIDS，網(wǎng)絡(luò)節(jié)點(diǎn)IDS）IDS分類9－PersonalFirewall（個人防火墻）IDS分類10－Target-BasedIDS（基于目標(biāo)的IDS）2025/3/1857第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策入侵檢測的主要方法靜態(tài)配置分析異常性檢測方法基于行為的檢測方法幾種方法的組合2025/3/1858第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策入侵檢測系統(tǒng)的實現(xiàn)步驟入侵檢測實現(xiàn)一般分為三個步驟，依次為：信息收集、數(shù)據(jù)分析、響應(yīng)（被動響應(yīng)和主動響應(yīng)）。2025/3/1859第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策

內(nèi)容提要網(wǎng)絡(luò)安全基礎(chǔ)防火墻技術(shù)VPN技術(shù)網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)入侵檢測訪問控制技術(shù)2025/3/1860第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策訪問控制概述訪問控制技術(shù)最早產(chǎn)生于六十年代。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。訪問控制的功能有三個：阻止非法用戶進(jìn)入系統(tǒng)；允許合法用戶進(jìn)入系統(tǒng)；使合法人按其權(quán)限進(jìn)行各種信息活動。訪問控制策略有三種：最小權(quán)益策略。按主體執(zhí)行任務(wù)所需權(quán)利最小化分配權(quán)利。最小泄漏策略。按主體執(zhí)行任務(wù)所需知道的信息最小化分配權(quán)利。多級安全策略。主體和客體按普通、秘密、機(jī)密和絕密劃分，進(jìn)行權(quán)限和流向控制。2025/3/1861第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策訪問控制內(nèi)容（1）入網(wǎng)訪問控制（2）權(quán)限控制（3）目錄安全控制（4）屬性安全控制（5）服務(wù)器安全控制2025/3/1862第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。對網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗證是防止非法訪問的第一道防線。用戶名和口令驗證有效之后，再進(jìn)一步履行用戶賬號的缺省限制檢查。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點(diǎn)、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。網(wǎng)絡(luò)應(yīng)對所有用戶的訪問進(jìn)行審計。如果多次輸入口令不正確，則認(rèn)為是非法用戶的入侵，應(yīng)給出報警信息。2025/3/1863第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽可作為兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。根據(jù)訪問權(quán)限可以將用戶分為以下幾類：①特殊用戶（即系統(tǒng)管理員）；②一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限；③審計用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用訪問控制表來描述。2025/3/1864第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策目錄安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進(jìn)一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限（Supervisor）讀權(quán)限（Read）寫權(quán)限（Write）創(chuàng)建權(quán)限（Create）刪除權(quán)限（Erase）修改權(quán)限（Modify）文件查找權(quán)限（FileScan）訪問控制權(quán)限（AccessControl）用戶對文件或目標(biāo)的有效權(quán)限取決于以下三個因素：用戶的受托者指派；用戶所在組的受托者指派；繼承權(quán)限屏蔽取消的用戶權(quán)限。一個網(wǎng)絡(luò)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務(wù)器資源的訪問，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。

2025/3/1865第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策屬性安全控制當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。2025/3/1866第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策服務(wù)器安全控制網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。2025/3/1867第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策訪問控制技術(shù)（1）自主訪問控制技術(shù)（DiscretionaryAccessControl，DAC）目前我國大多數(shù)信息系統(tǒng)的訪問控制模塊基本都是借助于自主訪問控制方法中的訪問控制列表(ACLs)。自主訪問控制有一個明顯的缺點(diǎn)就是這種控制是自主的，它能夠控制主體對客體的直接訪問，但不能控制主體對客體的間接訪問（利用訪問的傳遞性，即A可訪問B，B可訪問C，于是A可訪問C）。雖然這種自主性為用戶提供了很大的靈活性，但同時也帶來了嚴(yán)重的安全問題。2025/3/1868第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策訪問控制技術(shù)（2）強(qiáng)制訪問控制技術(shù)（MandatoryAccessControl，MAC）安全級別高的計算機(jī)采用這種策略，它常用于軍隊和國家重要機(jī)構(gòu)，例如將數(shù)據(jù)分為絕密、機(jī)密、秘密和一般等幾類。用戶的訪問權(quán)限也類似定義，即擁有相應(yīng)權(quán)限的用戶可以訪問對應(yīng)安全級別的數(shù)據(jù)，從而避免自主訪問控制方法中出現(xiàn)的訪問傳遞問題。這種策略具有層次性的特點(diǎn)，高級別的權(quán)限可以訪問低級別的數(shù)據(jù)。這種策略的缺點(diǎn)在于訪問級別的劃分不夠細(xì)致，在同級間缺乏控制機(jī)制。2025/3/1869第六章互聯(lián)網(wǎng)安全技術(shù)與防范對策訪問控制技術(shù)（3）基于角色的訪問控制技術(shù)RBAC（Role-BasedAc