【正文】 訪問(wèn)的網(wǎng)頁(yè)，如果發(fā)現(xiàn)用戶(hù)正在登錄某銀行的網(wǎng)上銀行，就會(huì)彈出偽造的登錄對(duì)話(huà)框，誘騙用戶(hù)輸入登錄密碼和支付密碼，通過(guò)郵件將竊取的信息發(fā)送出去，威脅用戶(hù)網(wǎng)上銀行帳號(hào)密碼的安全。n Adleman將 計(jì)算機(jī)病毒 定義為：一個(gè)具有破壞、傳染或模仿特點(diǎn)的相同性質(zhì)的程序集合。n 由此定義，惡意代碼兩個(gè)顯著的特點(diǎn)是： 非授權(quán)性和破壞性 。潛伏， 條件破壞病菌 指不依 賴(lài) 于系 統(tǒng)軟 件，能 夠 自我復(fù)制和 傳 播，以消耗系 統(tǒng)資 源 為 目的的程序。n 防火墻有硬件防火墻和軟件防火墻兩種。 限制內(nèi)部用戶(hù)訪問(wèn)特殊站點(diǎn)；168。n 防火墻適合于相對(duì)獨(dú)立的網(wǎng)絡(luò)， Inter上的 Web網(wǎng)站中，超過(guò)三分之一的站點(diǎn)都是有某種防火墻保護(hù)的，任何關(guān)鍵性的服務(wù)器，都應(yīng)該放在防火墻之后。代理服務(wù)防火墻n 防火墻以順序方式檢查信息包，當(dāng)防火墻接收到一個(gè)信息包時(shí)，它先與第一條規(guī)則相比較，然后是第二條、第三條…… 當(dāng)它發(fā)現(xiàn)一條匹配規(guī)則時(shí)，就停止檢查并應(yīng)用那條規(guī)則。 盡量保持規(guī)則集簡(jiǎn)潔和簡(jiǎn)短， 規(guī)則的正確性驗(yàn)證復(fù)雜度與規(guī)則數(shù)量直接相關(guān)。 一個(gè)好的準(zhǔn)則是最好不要超過(guò) 30條。 因?yàn)橐?guī)則少意味著只分析少數(shù)的規(guī)則，防火墻的 CPU周期就短，防火墻效率就可以提高。 速度快，對(duì)用戶(hù)透明，配置簡(jiǎn)單。 內(nèi)外網(wǎng)不隔離；168。n 防火墻 不直接連接外網(wǎng) ，這樣的形式提供一種非常有效的并且容易維護(hù)的防火墻體系。n 子網(wǎng)屏蔽防火墻體系結(jié)構(gòu)添加 阻塞路由器 到主機(jī)屏蔽體系結(jié)構(gòu)，即通過(guò) 添加周邊網(wǎng)絡(luò) 更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與外網(wǎng)隔離。阻塞路由器篩選路由器防火墻的部署168。3.5.子網(wǎng)屏蔽防火墻的部署防火墻的局限性n 防火墻不能防范 不經(jīng)過(guò)防火墻 的攻擊。n 防火墻對(duì) 來(lái)自?xún)?nèi)部網(wǎng)絡(luò) 的攻擊和安全問(wèn)題防范能力弱。n 防火墻不能防止受 病毒感染 的文件的傳輸。n 防火墻的 安全性與多功能 成反比。防火墻的安全性是建立在對(duì)數(shù)據(jù)的檢查之上，檢查越細(xì)越安全，但檢查越細(xì)速度越慢。n 入侵檢測(cè)系統(tǒng) (IDS)：是硬件和軟件的組合。 基于主機(jī)的入侵檢測(cè)系統(tǒng) HIDS通過(guò)查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。n 根據(jù)工作方式：168。多來(lái)源的信息有利于綜合判斷。 程序執(zhí)行的不期望改變168。 根據(jù)數(shù)據(jù)分析的不同方式可將入侵檢測(cè)系統(tǒng)分為 異常入侵檢測(cè) 與 誤用入侵檢測(cè) 兩類(lèi) .168?；谝?guī)則的檢測(cè)（模式匹配）基于異常檢測(cè)n 建立正常活動(dòng)特征模式n 制定偏離正常特征許可閾值n 模式匹配n 難點(diǎn)在于匹配方式和閾值的確定n 準(zhǔn)確率相對(duì)較高n 對(duì)新的入侵方法無(wú)能為力n 難點(diǎn)在于如何設(shè)計(jì)模式既能表達(dá)入侵又不影響正常。 IP安全的必要性 n 目前占統(tǒng)治地位的是 IPv4， IPv4在設(shè)計(jì)之初沒(méi)有考慮安全性， IP包本身并不具備任何安全特性，導(dǎo)致在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)很容易受到各式各樣的攻擊： 比如偽造 IP包地址、修改其內(nèi)容、重放以及在傳輸途中攔截并查看包的內(nèi)容等。 IPSec彌補(bǔ)了IPv4在協(xié)議設(shè)計(jì)時(shí)缺乏安全性考慮的不足 。 IPSec允許設(shè)備使用比源 IP地址更安全的方式來(lái)認(rèn)證 IP數(shù)據(jù)報(bào)的來(lái)源。IPSec的這一特性稱(chēng)為 無(wú)連接完整性 。n 確保認(rèn)證報(bào)文沒(méi)有重復(fù)　　即使攻擊者不能發(fā)送偽裝的報(bào)文，不能改變報(bào)文，不能讀取報(bào)文的內(nèi)容，攻擊者仍然可以通過(guò)重發(fā)截獲的認(rèn)證報(bào)文來(lái)干擾正常的通信，從而導(dǎo)致事務(wù)多次執(zhí)行，或是使被復(fù)制報(bào)文的上層應(yīng)用發(fā)生混亂。 IPSec實(shí)現(xiàn)在 IP層的安全，因而它 與任何上層應(yīng)用或傳輸層的協(xié)議無(wú)關(guān) 。 n IPsec 能提供的安全服務(wù)集包括訪問(wèn)控制、無(wú)連接的完整性、數(shù)據(jù)源認(rèn)證、拒絕重發(fā)包（部分序列完整性形式）、保密性和有限傳輸流保密性。n 當(dāng)正確的實(shí)現(xiàn)、使用這些機(jī)制時(shí)，它們不會(huì)對(duì)不使用這些安全機(jī)制保護(hù)傳輸?shù)挠脩?hù)、主機(jī)和其他 Inter部分產(chǎn)生負(fù)面的影響。如果配置為封裝整個(gè) IP數(shù)據(jù)報(bào)，那么它就工作在 隧道模式 （ Tunnel Mode）。ton 因?yàn)椴患用軘?shù)據(jù)，所以 不提供機(jī)密性 。 IP 首部 AH 首部 TCP/UDP 報(bào)文段協(xié)議 = 51可鑒別的 IP 數(shù)據(jù)報(bào)原 數(shù)據(jù)報(bào)的數(shù)據(jù)部分AH 首部 (1)TCP有效載荷長(zhǎng)度 (8安全參數(shù)索引 標(biāo)志 安全關(guān)聯(lián) ，身份驗(yàn)證和完整性檢查。單項(xiàng)遞增計(jì)數(shù)器，提供抗重播功能。為今后用。32數(shù)據(jù)報(bào)的完整性。n 在 (32ESP首部的一樣）。的鑒別數(shù)據(jù)和 ESP在 IP 數(shù)據(jù)報(bào)中的 ESP 的各字段 IP 首部 ESP 首部 TCP/UDP 報(bào)文段協(xié)議 = 50可鑒別的保密的 IP 數(shù)據(jù)報(bào)原 數(shù)據(jù)報(bào)的數(shù)據(jù)部分ESP 尾部 ESP 鑒別數(shù)據(jù)加密 的部分鑒別 的部分n ESP可在 傳輸模式以及隧道模式 下使用。n 初始向量 ， 指定了加密程序使用的 “初始向量 ”（ IV：Initialization Vector）。因此，如果 負(fù)載 的 長(zhǎng) 度不是聲的整倍 長(zhǎng)時(shí) 可能需要填 補(bǔ) ?；?168。168。 VPN簡(jiǎn)介v VPN是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸v VPN通過(guò)一個(gè)私有的通道來(lái)創(chuàng)建一個(gè)安全的私有連接，將遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、公司的業(yè)務(wù)伙伴等跟企業(yè)網(wǎng)連接起來(lái)，形成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)v 提供高性能、低價(jià)位的因特網(wǎng)接入VPN概述VPN功能VPN工作原理VPN具體應(yīng)用遠(yuǎn)程訪問(wèn)Inter內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN的典型應(yīng)用v AH協(xié)議v ESP協(xié)議v ISAKMP/Oakley協(xié)議基于 IPSec 的 VPN解決方案需要用到如下的協(xié)議：詳細(xì)情況在 IPSec 協(xié)議體系中講解IPSec 框架的構(gòu)成VPN概述VPN功能VPN工作原理VPN具體應(yīng)用167。L2 T P 通道167。2. 沒(méi)有針對(duì)每個(gè)數(shù)據(jù)報(bào)文的完整性校驗(yàn)。n 有兩套不同的安全協(xié)議意味著可以對(duì) IPSec網(wǎng)絡(luò)進(jìn)行更細(xì)粒度的控制，選擇安全方案可以有更大的靈活度。n 雖然 AH和 ESP都可以提供身份認(rèn)證，但它們有 2點(diǎn)區(qū)別：168。n AH協(xié)議和 ESP協(xié)議168。n 下一個(gè) 頭 部 字段指定 緊接著本首部的下一個(gè)首部的類(lèi)型（如 “初始向量 ”可以確保兩個(gè)相同的 負(fù)載 被加密成不同的 負(fù)載 。 ESP協(xié)議字段置為 50， ESP頭的格式： n 安全 負(fù)載 封裝 頭 的第一個(gè)雙字字段指定了安全參數(shù)索引（ SPI）， 這 個(gè) “索引 ”指定了解安全 負(fù)載 封裝數(shù)據(jù)包用到的 “安全 聯(lián) 盟 ”。 中的鑒別數(shù)據(jù)是一樣的。尾部和原來(lái)數(shù)據(jù)報(bào)的數(shù)據(jù)部分一起進(jìn)行加密，因此攻擊者 無(wú)法得知所使用的運(yùn)輸層協(xié)議 。bit，作用和 bit)。首部中有標(biāo)識(shí)一個(gè)安全關(guān)聯(lián)的安全參數(shù)索引 ESP協(xié)議（ Encapsulating Security Payload)封裝安全載荷n ESP為 IP報(bào)文提供數(shù)據(jù)完整性校驗(yàn)、身份驗(yàn)證以及重放攻擊保護(hù)等。字的整數(shù)倍，它包含了經(jīng)數(shù)字簽名的報(bào)文摘要，用來(lái)鑒別源主機(jī)和檢查 驗(yàn)證數(shù)據(jù) (可變 )。保留 (16序號(hào) (32(32字為單位。UDP）。bit)。n 在使用鑒別首部 AH 時(shí)，將 AH 首部插在原數(shù)據(jù)報(bào)數(shù)據(jù)部分的前面，同時(shí)將 IP 首部中的協(xié)議字段置為 51.n 在傳輸過(guò)程中，中間的路由器都不查看 AH 首部。 IP首部 IPsec首部 原 IP包認(rèn)證報(bào)頭協(xié)議 AHn 認(rèn)證報(bào)頭（ Authenticationmode：n 是在 網(wǎng)絡(luò)之間 使用 IPSec實(shí)現(xiàn)安全；n 是一種點(diǎn)到點(diǎn) n 新的 IPSec報(bào)文包含 IP報(bào)文認(rèn)證的信息，原始 IP報(bào)文的內(nèi)容，可以根據(jù)特定應(yīng)用的需求選擇加密與否。n IPSec 結(jié)構(gòu)包括眾多協(xié)議和算法 ：IKE頭部認(rèn)證封裝安全負(fù)載密鑰交換協(xié)議IPSec工作模式n IPSec在 IP報(bào)文中使用一個(gè)新的 IPSec報(bào)頭來(lái)封裝信息，這個(gè)過(guò)程類(lèi)似于用一個(gè)正常的 IP報(bào)文頭封裝上層的 TCP或 UDP信息。n 這些目標(biāo)是通過(guò)使用兩大傳輸安全協(xié)議 :頭部認(rèn)證（ AH） 和 封裝安全負(fù)載 （ ESP） ，以及密鑰管理程序和 密鑰交換協(xié)議 (IKE) 來(lái)完成的。IPSec協(xié)議簇n IPsec 在 IP層提供安全服務(wù)，它使系統(tǒng)能 按需選擇 安全協(xié)議，決定服務(wù)所使用的算法及放置需求服務(wù)所需密鑰到相應(yīng)位置。這一特性稱(chēng)為 反重傳 。這可以通過(guò)在傳輸前，將報(bào)文加密來(lái)實(shí)現(xiàn)。　　n 保證 IP數(shù)據(jù)報(bào)的完整性　　　除了確認(rèn) IP數(shù)據(jù)報(bào)的來(lái)源，還希望能確保報(bào)文在網(wǎng)絡(luò)中傳輸時(shí)沒(méi)有發(fā)生變化。n 認(rèn)證 IP報(bào)文的來(lái)源　　基于 IP地址的訪問(wèn)控制十分脆弱，因?yàn)楣粽呖梢院苋菀桌脗窝b的 IP地址來(lái)發(fā)送 IP報(bào)文。n 為了加強(qiáng)因特網(wǎng)的安全性，制定了一套用于保護(hù) IP通信的IP安全協(xié)議（ IP Security， IPSec）。n IP協(xié)議維系著整個(gè) TCP/IP協(xié)議的體系結(jié)構(gòu) ，除了數(shù)據(jù)鏈路層外， TCP/IP的所有協(xié)議的數(shù)據(jù)都是以 IP數(shù)據(jù)報(bào)的形式傳輸?shù)摹?68。168。 入侵檢測(cè)系統(tǒng)的核心，它的效率高低直接決定了整個(gè)入侵檢測(cè)系統(tǒng)的性能。 日志文件168。 在線(xiàn)監(jiān)測(cè)系統(tǒng)IDS工作原理n 第一步：信息收集。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) NIDS它通過(guò)監(jiān)視與分析主機(jī)的 審計(jì)記錄和日志文件 來(lái)檢測(cè)入侵。n 入侵檢測(cè)的內(nèi)容：試圖闖入、成功闖入、冒充其他用戶(hù)、違反安全策略、合法用戶(hù)泄露、資源獨(dú)占或惡意使用。防火墻是一個(gè)安全設(shè)備，但防火墻本身必須存在于一個(gè)安全的地方。因此，除非確信需要某些功能，否則，應(yīng)該功能最小化。 n 防火墻不能防止利用標(biāo)準(zhǔn) 網(wǎng)絡(luò)協(xié)議中的缺陷 進(jìn)行的攻擊。n 防火墻不能防止 策略配置不當(dāng)或錯(cuò)誤配置 引起的安全威脅。代理網(wǎng)關(guān)（雙宿主主機(jī)）防火墻的部署3.4.2.n 入侵者必須穿透兩個(gè)屏蔽路由器才能進(jìn)入內(nèi)網(wǎng)。n 實(shí)際上，篩選路由器作為保護(hù)網(wǎng)絡(luò)的第一道防線(xiàn)，可以根據(jù)內(nèi)網(wǎng)的安全策略，過(guò)濾掉不允許通過(guò)的數(shù)據(jù)包。防火墻的體系結(jié)構(gòu)n 雙宿主主機(jī)體系結(jié)構(gòu)n 主機(jī)屏蔽體系結(jié)構(gòu)n 子網(wǎng)屏蔽體系結(jié)構(gòu)n 主機(jī)屏蔽防火墻比雙宿主機(jī)防火墻更安全。 無(wú)法對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行檢查；168。有過(guò)濾規(guī)則？匹配？有更多條目？下一條目動(dòng)作禁止或丟棄丟棄，發(fā)送 ICMP消息允許轉(zhuǎn)發(fā)數(shù)據(jù)包到達(dá) NNNYYY數(shù)據(jù)包處理過(guò)程包過(guò)濾防火墻評(píng)價(jià)n 特點(diǎn)：168。168。 規(guī)則越多，就越可能犯錯(cuò)誤，規(guī)則越少，理解和維護(hù)就越容易。 網(wǎng)絡(luò)的頭號(hào)敵人是 錯(cuò)誤配置 。168。 同樣的規(guī)則，以不同的次序放置，可能會(huì)完全改變防火墻的運(yùn)轉(zhuǎn)情況。電路級(jí)代理防火墻p具體包括：p 提供邏輯地址的轉(zhuǎn)換服務(wù)；168。168。隱 蔽，潛伏核心 級(jí) RootKit 指嵌入 操作系 統(tǒng) 內(nèi)核 進(jìn) 行 隱 藏和 創(chuàng) 建后 門(mén) 的程序 隱 蔽，潛伏防火墻簡(jiǎn)介n 防火墻是設(shè)置在不同網(wǎng)絡(luò)或者安全域之間的一系列部件的組合。傳 染，附著，自我復(fù)制計(jì) 算機(jī)蠕蟲(chóng) 指 通 過(guò)計(jì) 算機(jī)網(wǎng) 絡(luò) 自我復(fù)制 ，消耗系 統(tǒng)資 源和網(wǎng) 絡(luò)資源的程序自我復(fù)制，消耗 資 源特洛伊木 馬 指一種 與 遠(yuǎn) 程 計(jì) 算機(jī)建立 連 接 ，使 遠(yuǎn) 程 計(jì) 算機(jī)能 夠通過(guò) 網(wǎng) 絡(luò) 控制本地 計(jì) 算機(jī) 的程序。惡意代碼的定義 n Grimes 將惡意代碼定義為， 經(jīng)過(guò)存儲(chǔ)介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播，從一臺(tái)計(jì)算機(jī)系統(tǒng)到另外一臺(tái)計(jì)算機(jī)系統(tǒng)，未經(jīng)授權(quán)認(rèn)證破壞計(jì)算機(jī)系統(tǒng)完整性的程序或代碼 。 IP 流量是評(píng)估一個(gè)網(wǎng)站的重要指標(biāo)，因此一些商家就出售這些流量 惡意代碼的定義n 早期惡意代碼的主要形式是計(jì)算機(jī)病毒。（脆弱性與規(guī)模成正比）n 測(cè)試技術(shù)只能證明系統(tǒng)存在脆弱性，不能證明系統(tǒng)不