【正文】 如圖所示。 ? 一般來說， Bridged方式最方便好用，因為這種連接方式將使虛擬機(jī)就好像是一臺獨立的計算機(jī)一樣。 ? Use an existing virtual disk ? 使用已經(jīng)建立好的虛擬磁盤。 配置 VMware虛擬機(jī) ? 建立一個虛擬的操作系統(tǒng)，這里按照默認(rèn)的 4G就夠了。 配置 VMware虛擬機(jī) ? 可以看到 VMware的啟動界面，相當(dāng)于是一臺獨立的計算機(jī)，如圖所示。 配置 VMware虛擬機(jī) ? 這樣兩套操作系統(tǒng)就成功的建成了。在主機(jī)的 DOS窗口中輸入“ Ping ”，如圖所示。 ? 窗口中需要修改兩個地方：在 Address下拉列表中，選擇抓包的類型是 IP，在 Station1下面輸入主機(jī)的 IP地址，主機(jī)的 IP地址是 ；在與之對應(yīng)的 Station2下面輸入虛擬機(jī)的 IP地址，虛擬機(jī)的 IP地址是 。選擇菜單欄Capture下 Start菜單項，啟動抓包以后，在主機(jī)的 DOS窗口中 Ping虛擬機(jī)，如圖所示。實驗中的主機(jī)除此之外還要安裝 VC++。 數(shù)據(jù)加密技術(shù) ? 密碼技術(shù)基礎(chǔ) ? 加密算法 ? 數(shù)字簽名 消息和加密 ? 遵循國際命名標(biāo)準(zhǔn)，加密和解密可以翻譯成：“ Encipher（譯成密碼）”和“（ Decipher）（解譯密碼）”。 加密 解密明文 密文 原始明文明文 密文 ? 明文用 M（ Message，消息）或 P（ Plaintext，明文）表示，它可能是比特流、文本文件、位圖、數(shù)字化的語音流或者數(shù)字化的視頻圖像等。解密函數(shù) D作用于 C產(chǎn)生 M，用數(shù)據(jù)公式表示為： D（ C） =M。 ? 鑒別：消息的接收者應(yīng)該能夠確認(rèn)消息的來源；入侵者不可能偽裝成他人。 K可以是很多數(shù)值里的任意值，密鑰 K的可能值的范圍叫做密鑰空間。對稱算法有時又叫傳統(tǒng)密碼算法，兩種密鑰相同，或者加密密鑰能夠從解密密鑰中推算出來，反過來也成立。對稱算法的加密和解密表示為： ? EK（ M） =C ? DK（ C） =M 對稱算法缺點 ? 密鑰管理、分配成為難題； ? 無法解決報文鑒別、確認(rèn)的問題； ? 缺乏自動檢測密鑰泄露的能力。 ? 公開密鑰 K1加密表示為： EK1（ M） =C。 DES算法的歷史 ? 美國國家標(biāo)準(zhǔn)局 1973年開始研究除國防部外的其它部門的計算機(jī)系統(tǒng)的數(shù)據(jù)加密標(biāo)準(zhǔn)，于 1973年 5月 15日和1974年 8月 27日先后兩次向公眾發(fā)出了征求加密算法的公告。1977年 Diffie和 Hellman提出了制造一個每秒能測試 106個密鑰的大規(guī)模芯片，這種芯片的機(jī)器大約一天就可以搜索 DES算法的整個密鑰空間，制造這樣的機(jī)器需要兩千萬美元。計劃公布后引起了網(wǎng)絡(luò)用戶的強(qiáng)力響應(yīng)。 ? DES算法是這樣工作的：如 Mode為加密，則用Key去把數(shù)據(jù) Data進(jìn)行加密，生成 Data的密碼形式（ 64位）作為 DES的輸出結(jié)果；如 Mode為解密，則用 Key去把密碼形式的數(shù)據(jù) Data解密，還原為 Data的明碼形式（ 64位）作為 DES的輸出結(jié)果。規(guī)則為 ? Li = Ri1 ? Ri = Li⊕ f(Ri1,Ki) （ i=1,2,3…16 ） ? 經(jīng)過第一步變換已經(jīng)得到 L0和 R0的值，其中符號 ⊕ 表示的數(shù)學(xué)運算是異或， f表示一種置換，由 S盒置換構(gòu)成，Ki是一些由密鑰編排函數(shù)產(chǎn)生的比特塊。 輸入64 位比特明文IP 置換表L0R0Li = Ri1 Ri = Li⊕f ( Ri1,Ki) （i = 1 , 2 , ?1 6 ）迭代16 次IP 逆置換表輸出64 位比特密文? 從圖中可以看出， DES加密需要四個關(guān)鍵點： IP置換表和 IP1逆置換表。 RSA算法的原理 ? 1976年， Diffie和 Hellman在文章“密碼學(xué)新方向（ New Direction in Cryptography）”中首次提出了公開密鑰密碼體制的思想， 1977年，Rivest、 Shamir和 Adleman三個人實現(xiàn)了公開密鑰密碼體制，現(xiàn)在稱為 RSA公開密鑰體制，它是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。 RSA體制 ? RSA體制可以簡單描述如下： ? （ 1）、生成兩個大素數(shù) p和 q。 ? （ 5）、計算 ab=1 mod φ(n)。解密的時候，通過計算 ca mod n就可以恢復(fù)出明文 x。假設(shè)存在一種無須分解大數(shù)的算法，那它肯定可以修改成為大數(shù)分解算法。因此，模數(shù) n必須選大一些，因具體適用情況而定 RSA算法的速度 ? 由于進(jìn)行的都是大數(shù)計算，使得 RSA最快的情況也比DES慢上倍，無論是軟件還是硬件實現(xiàn)。 RSA是被研究得最廣泛的公鑰算法，從提出到現(xiàn)在已近二十年，經(jīng)歷了各種攻擊的考驗，逐漸為人們接受，普遍認(rèn)為是目前最優(yōu)秀的公鑰方案之一。 發(fā)送者簽名后不能否認(rèn)簽名的報文。 報文鑒別技術(shù) ? 對付被動攻擊的措施是加密，對付主動攻擊中的篡改、偽造，則需要報文鑒別，報文鑒別是一個使通信的接收方能夠驗證所收到的報文的真?zhèn)蔚倪^程。 ? 如果不一樣，則可斷定收到的報文不是發(fā)送端發(fā)出的。 x，在計算上不可能找到一個報文 y，使得 H（ y） =x x和 y，使得 H（ x） =H（ y） 防火墻技術(shù) ? 防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋，如圖所示。 ? 可以限制未授權(quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶 ? 防止入侵者接近網(wǎng)絡(luò)防御設(shè)施 ? 限制內(nèi)部用戶訪問特殊站點 ? 由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此適合于相對獨立的網(wǎng)絡(luò)，例如 Intra等種類相對集中的網(wǎng)絡(luò)。已深入到國家的政治、軍事、經(jīng)濟(jì)、文教等諸多領(lǐng)域。因此，網(wǎng)絡(luò)安全已經(jīng)成為迫在眉睫的重要問題，沒有網(wǎng)絡(luò)安全就沒有社會信息化。 ? 防火墻也不能防范那些偽裝成超級用戶或詐稱新雇員的黑客們勸說沒有防范心理的用戶公開其口令，并授予其臨時的網(wǎng)絡(luò)訪問權(quán)限。 ? 應(yīng)用代理（ Application Proxy）：也叫應(yīng)用網(wǎng)關(guān)（ Application Gateway），它作用在應(yīng)用層，其特點是完全“阻隔”網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。使用一些規(guī)則來確定是否轉(zhuǎn)發(fā)或丟棄各個數(shù)據(jù)包。 ? 第三條規(guī)則：任何主機(jī)的 20端口訪問主機(jī) 1024的端口，如果基于 TCP協(xié)議的數(shù)據(jù)包都禁止通過。 ? 默認(rèn)情況下，該密碼為空。選擇菜單項“ Packet Filter”，如圖所示。 ? 因為“ Ping”指令用的協(xié)議是 ICMP，所以這里要對 ICMP協(xié)議設(shè)置過濾規(guī)則。在“ Log Packet”欄目中選中“ Log into Window”，創(chuàng)建完畢后點擊按鈕“ OK”，一條規(guī)則就創(chuàng)建完畢，如圖所示。選擇菜單欄“ View”下的菜單項“ LogsSecurity Logs”，察看日志紀(jì)錄如圖所示。 ? 訪問違反了訪問規(guī)則，會在主機(jī)的安全日志中記錄下來，如圖所示。 ? 訪問違反了訪問規(guī)則，所以在主機(jī)的安全日志中記錄下來，如圖所示。 防火墻服務(wù)器工作站臺式PC 打印機(jī)服務(wù)器數(shù)據(jù)包安全區(qū)域數(shù)據(jù)包服務(wù)器控制策略查找對應(yīng)的策略 數(shù)據(jù)IP報頭 TCP報頭分組過濾判斷拆開數(shù)據(jù)包應(yīng)用代理分析數(shù)據(jù)常見防火墻系統(tǒng)模型 ? 常見防火墻系統(tǒng)一般按照四種模型構(gòu)建： ? 篩選路由器模型、單宿主堡壘主機(jī)（屏蔽主機(jī)防火墻）模型、雙宿主堡壘主機(jī)模型（屏蔽防火墻系統(tǒng)模型）和屏蔽子網(wǎng)模型。典型的篩選路由器模型如圖所示。單宿主堡壘主機(jī)的模型如圖所示。雙宿主堡壘主機(jī)模型如圖所示。如果黑客想突破該防火墻那么必須攻破以上三個單獨的設(shè)備，模型如圖所示。誤報是指被入侵檢測系統(tǒng)測報警的是正常及合法使用受保護(hù)網(wǎng)絡(luò)和計算機(jī)的訪問。 ? 基于主機(jī)的入侵檢測系統(tǒng)：主要用于保護(hù)運行關(guān)鍵應(yīng)用的服務(wù)器。 ? 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)：主要用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它監(jiān)聽網(wǎng)絡(luò)上的所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。 ? 采用靜態(tài)分析方法主要有以下原因：入侵者對系統(tǒng)攻擊時可能會留下痕跡，可通過檢查系統(tǒng)的狀態(tài)檢測出來。而且，有經(jīng)驗的入侵者還可以通過緩慢地改變他的行為，來改變?nèi)肭謾z測系統(tǒng)中的用戶正常行為模式，使其入侵行為逐步變?yōu)楹戏?，這樣就可以避開使用異常性檢測技術(shù)的入侵檢測系統(tǒng)的檢測。 案例 檢測與端口關(guān)聯(lián)的應(yīng)用程序 ? 網(wǎng)絡(luò)入侵者都會連接到主機(jī)的某個非法端口，通過檢查出與端口關(guān)聯(lián)應(yīng)用程序，可以進(jìn)行入侵檢測，這種方法屬于靜態(tài)配置分析。 信息收集 ? 入侵檢測的第一步就是信息收集，收集的內(nèi)容包括整個計算機(jī)網(wǎng)絡(luò)中系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。數(shù)據(jù)分析可以通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計分析和完整性分析。目前的入侵檢測系統(tǒng)一般采取下列響應(yīng)。 案例 入侵檢測工具： BlackICE ? BlackICE是一個小型的入侵檢測工具，在計算機(jī)上安裝完畢后，會在操作系統(tǒng)的狀態(tài)欄顯示一個圖標(biāo)，當(dāng)有異常網(wǎng)絡(luò)情況的時候，圖標(biāo)就會跳動。由于用戶自身網(wǎng)絡(luò)系統(tǒng)的缺陷、網(wǎng)絡(luò)軟件的漏洞以及網(wǎng)絡(luò)管理員的疏忽等等，都可能使網(wǎng)絡(luò)入侵者有機(jī)可乘，而系統(tǒng)遭受了攻擊，就可能造成重要的數(shù)據(jù)、資料丟失，關(guān)鍵的服務(wù)器丟失控