【正文】 99 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 在實際應(yīng)用中 VPN技術(shù)針對不同的用戶有不同的解決方案，用戶可以根據(jù)自己的情況進行選擇。 ? 虛擬存儲 將幾個 IDE或 SCSI驅(qū)動器等不同存儲設(shè)備串聯(lián)成一個存儲器池，并作為虛擬分區(qū)進行管理。 （ 1）數(shù)據(jù)容災(zāi)與數(shù)據(jù)備份的聯(lián)系 數(shù)據(jù)備份是數(shù)據(jù)容災(zāi)的基礎(chǔ)，數(shù)據(jù)容災(zāi)是數(shù)據(jù)備份的補充。數(shù)據(jù)備份的根本目的，是重新利用，這也就是說，備份工作的核心是恢復，一個無法恢復的備份，對任何系統(tǒng)來說都是毫無意義的。 87 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 數(shù)字證書類型有以下幾種： ? CA證書： CA證書是簽發(fā)并管理正式使用公用密鑰與用戶相關(guān)的證書。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此數(shù)字簽名能夠驗證信息的完整性。 84 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 所謂數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù) ,或是對數(shù)據(jù)單元所作的密碼變換。用戶或系統(tǒng)能夠通過四種方法來證明其身份： ? 實物認證：智能卡（ Smart Card）就是一種根據(jù)用戶擁有的物品進行鑒別的手段。 認證技術(shù)能夠解決通信雙方的身份認可及傳遞信息的真實完整性，是防止主動攻擊的重要措施。即 DES用于明文加密， RSA用于 DES密鑰的加密。由于這個原因，后來又提出了三重 DES或 3DES系統(tǒng)，使用 3個不同的密鑰對數(shù)據(jù)塊進行（兩次或）三次加密，該方法比進行普通加密的三次快。 古典密碼算法 有替代加密、置換加密、 凱撒密碼 ； 對稱加密算法 包括 DES和 AES； 公開密鑰密碼算法 包括 RSA、背包密碼、 McEliece密碼、 Rabin、橢圓曲線等。 非對稱密鑰體制是指在對數(shù)據(jù)進行加密和解密過程中使用不同的密鑰，這兩個密鑰分別稱為“公鑰”和“私鑰”，它們兩個必需配對使用，否則不能打開加密文件。是一個解密變換。 密碼是實現(xiàn)秘密通訊的主要元素（手段），是隱蔽語言、文字、圖像的特種符號。 64 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 網(wǎng)絡(luò)病毒的傳播主要有以下五種途徑：郵件傳播、點擊網(wǎng)頁、用戶下載、其它人植入、通過計算機漏洞植入，所以我們只要守住了這五個要道，就能較好地防住網(wǎng)絡(luò)病毒。 60 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 （ 1）什么是網(wǎng)絡(luò)病毒 網(wǎng)絡(luò)病毒是一個新興的概念，在傳統(tǒng)的病毒分類里基本上沒有網(wǎng)絡(luò)病毒這個概念的，隨著網(wǎng)絡(luò)的廣泛應(yīng)用，計算機病毒種類越來越多、傳染速度也越來越快、危害更是越來越大。 57 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 （ 1）對于懷疑運行監(jiān)聽程序的機器，用正確的 IP地址和錯誤的物理地址 ping，運行監(jiān)聽程序的機器會有響應(yīng)。 50 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 安全漏洞掃描與網(wǎng)絡(luò)監(jiān)聽 51 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 安全漏洞掃描是網(wǎng)絡(luò)管理系統(tǒng)的重要組成部分，是對計算機系統(tǒng)或其它網(wǎng)絡(luò)設(shè)備進行相關(guān)安全檢測，以便發(fā)現(xiàn)安全隱患和可被黑客利用的漏洞。 出了檢測以外，沒有任何業(yè)務(wù)負擔，而且龐大、詳盡的入侵知識庫可以提供非常準確的判斷識別，漏報誤報率大大低于防火墻。 只作簡單的拷貝，不修改原來的報文。 而 基于主機的 IDS無法看到負載，因此也無法識別嵌入式的負載攻擊。 （ 2）近實時的檢測和應(yīng)答。從而將入侵活動對系統(tǒng)的破壞減到最低。這種檢測方式的核心在于如何定義所謂的“正?！鼻闆r。許多情況下，可以與防火墻聯(lián)動，可以記錄和禁止網(wǎng)絡(luò)活動，所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。 35 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 (1)關(guān)系到防火墻性能的幾個指標和概念 防火墻端口數(shù)、防火墻吞吐量、防火墻會話數(shù)、防火墻策略、 DMZ區(qū)、防火墻的通信模式 36 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 (2)防火墻的選購 下面從幾個方面探討選購防火墻時應(yīng)該注意的問題。復合型防火墻在網(wǎng)絡(luò)邊界實施 OSI第七層的內(nèi)容掃描，實現(xiàn)了實時在網(wǎng)絡(luò)邊緣部署病毒防護、內(nèi)容過濾等應(yīng)用層服務(wù)措施，體現(xiàn)出網(wǎng)絡(luò)與信息安全的新思路。 狀態(tài)檢測的包過濾利用狀態(tài)表跟蹤每一個網(wǎng)絡(luò)會話的狀態(tài)，對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)。 28 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 (2)應(yīng)用代理防火墻 應(yīng)用代理防火墻，也叫應(yīng)用代理網(wǎng)關(guān)防火墻。 具體來說主要包括：簡單包過濾防火墻、狀態(tài)檢測包過濾防火墻、應(yīng)用代理防火墻和復合型防火墻。 16 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 建立網(wǎng)絡(luò)安全策略 1．網(wǎng)絡(luò)安全策略的定義 所謂安全策略，是針對那些被允許進入訪問網(wǎng)絡(luò)資源的人所規(guī)定的、必須遵守的規(guī)則，是保護網(wǎng)絡(luò)系統(tǒng)中軟、硬件資源的安全、防止非法的或非授權(quán)的訪問和破壞所提供的全局的指導，或者說，是指網(wǎng)絡(luò)管理部門根據(jù)整個計算機網(wǎng)絡(luò)所提供的服務(wù)內(nèi)容、網(wǎng)絡(luò)運行狀況、網(wǎng)絡(luò)安全狀況、安全性需求、易用性、技術(shù)實現(xiàn)所需付出的代價和風險、社會因素等許多方面因素，所制定的關(guān)于網(wǎng)絡(luò)安全總體目標、網(wǎng)絡(luò)安全操作、網(wǎng)絡(luò)安全工具、人事管理等方面的規(guī)定。一種安全服務(wù)可由一種或數(shù)種安全機制支持，一種安全機制也可支持多種安全服務(wù)。 政策 、 法律法規(guī) 、 安全策略 加密 訪問控制 用戶驗證 管理 審計 網(wǎng)絡(luò)信息安全模型圖 10 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 這三個層次是： （ 1）法律政策，包括規(guī)章制度、安全標準、安全策略以及網(wǎng)絡(luò)安全教育。 2．利用網(wǎng)絡(luò)環(huán)境處理各類數(shù)據(jù)信息是信息化時代的發(fā)展趨勢，這其中包括個人郵件資料和隱私，一些部門、機構(gòu)、企業(yè)的機密文件和商業(yè)信息，甚至是有關(guān)國家發(fā)展和安全的政治、經(jīng)濟、軍事以及國防的重要數(shù)據(jù)，這些數(shù)據(jù)信息不僅涉及到個人和團體的利益，更主要的是可能關(guān)系一個國家的安全與穩(wěn)定。 3．可用性：得到授權(quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。第 11章 網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全基礎(chǔ) 網(wǎng)絡(luò)安全體系結(jié)構(gòu) 網(wǎng)絡(luò)安全的常用技術(shù) 2 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 網(wǎng)絡(luò)安全基礎(chǔ) 什么是網(wǎng)絡(luò)安全？ 從狹義的角度來看 ，計算機網(wǎng)絡(luò)安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，確保計算機和計算機網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，保證系統(tǒng)能連續(xù)可靠正常的運行，網(wǎng)絡(luò)服務(wù)不中斷。 4．可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。 7 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 而正是這些數(shù)據(jù)信息是不法分子和敵對勢力攻擊的目標。它是安全的基石，是建立安全管理的標準和方法； （ 2）技術(shù)方面的措施，如防火墻技術(shù)、防病毒、信息加密、身份驗證以及訪問控制等； （ 3）審計與管理措施，包括技術(shù)措施與社會措施。按照 OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)的定義，網(wǎng)絡(luò)安全服務(wù)所需的網(wǎng)絡(luò)安全機制包括以下 8類： （ 1）加密機制 （ 2）數(shù)字簽名機制 （ 3）訪問控制機制 （ 4）數(shù)據(jù)完整性機制 （ 5）鑒別交換機制 （ 6）業(yè)務(wù)流填充機制 （ 7）路由控制機制 （ 8）公證機制 13 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 計算機系統(tǒng)安全等級評價標準 由于對信息系統(tǒng)和安全產(chǎn)品的安全性評估事關(guān)國家安全和利益，任何國家不會輕易相信和接受由別的國家所作的評估結(jié)果，為保險起見，一般情況下還是要通過自己的測試才認為可靠。 17 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 2．確定網(wǎng)絡(luò)安全目標 對于網(wǎng)絡(luò)的建設(shè)者和運行者來說，實現(xiàn)網(wǎng)絡(luò)安全的第一要務(wù)是必須明確本網(wǎng)絡(luò)的業(yè)務(wù)定位、所提供的服務(wù)類型和提供服務(wù)的對象。 26 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 (1)簡單包過濾防火墻 包過濾防火墻工作在網(wǎng)絡(luò)層，對數(shù)據(jù)包的源及目的 IP 具有識別和控制作用，對于傳輸層，只能識別數(shù)據(jù)包是 TCP 還是 UDP 及所用的端口信息。 所謂網(wǎng)關(guān)是指在兩個設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。因而提供了更完整的對傳輸層的控制能力。 33 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 四種典型防火墻的工作原理及特點比較 防火墻類型 工作原理及特點 簡單包過濾防火墻 1．只檢查報頭 2．不檢查數(shù)據(jù)區(qū)、不建立連接狀態(tài)表、前后報文無關(guān) 3．應(yīng)用層控制很弱 應(yīng)用代理防火墻 1．只檢查數(shù)據(jù) 2．不檢查 IP、 TCP報頭，不建立連接狀態(tài)表 3．網(wǎng)絡(luò)層保護比較弱 狀態(tài)檢測包過濾防火墻 1．不檢查數(shù)據(jù)區(qū) 2．建立連接狀態(tài)表、前后報文相關(guān) 3．應(yīng)用層控制很弱 復合型防火墻 1．可以檢查整個數(shù)據(jù)包內(nèi)容 2．根據(jù)需要建立連接狀態(tài)表 3．網(wǎng)絡(luò)層保護強、應(yīng)用層控制細 34 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 目前國內(nèi)外防火墻產(chǎn)品品種繁多、特點各異，有硬件的防火墻，也有軟件防火墻。 ?防火墻自身是否安全 ?系統(tǒng)是否穩(wěn)定 ?是否高效 ?是否可靠 ?功能是否靈活 ?配置是否方便 ?管理是否簡便 ?是否可以抵抗拒絕服務(wù)攻擊 ?是否可以針對用戶身份進行過濾 ?是否具有可擴展、可升級性 37 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學院 信息工程系 網(wǎng)絡(luò)入侵檢測系統(tǒng) 入侵檢測能彌補防火墻在某些方面的不足，為網(wǎng)絡(luò)安全提供實時的入侵監(jiān)測，以及采取相應(yīng)的防護手段。它們可以和防火墻和路由器配合工作。 異常發(fā)現(xiàn)技術(shù)的 局限 是并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的“正?！睒藴孰y于計算和更新，并無法準確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺的攻擊。 （