【文章內(nèi)容簡介】 l、GUI 市場報(bào)價(jià) 142,000RMB 80,000RMB 138,000RMB 148,000RMB 2023/2/7 28 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 內(nèi)容提要 ? 網(wǎng)絡(luò)安全基礎(chǔ) ? 防火墻技術(shù) ? VPN技術(shù) ? 網(wǎng)絡(luò)攻擊手段 ? 網(wǎng)絡(luò)入侵檢測 ? 訪問控制技術(shù) 2023/2/7 29 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 VPN ? VPN即虛擬專用網(wǎng)，是依靠 ISP（ Inter服務(wù)提供商）和其他 NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長途數(shù)據(jù)線路，而是使用 Inter公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。 ? VPN由三個(gè)部分組成：客戶機(jī)、傳輸介質(zhì)和服務(wù)器。 ? VPN的工作原理是：信息的發(fā)送進(jìn)程通過可信任的內(nèi)部網(wǎng)發(fā)送明文到 VPN服務(wù)器，由 VPN根據(jù)安全策略對數(shù)據(jù)包（包括源 IP地址和目的 IP地址等）進(jìn)行加密，并附上數(shù)字簽名；然后 VPN服務(wù)器對數(shù)據(jù)包加上新的數(shù)據(jù)報(bào)頭，其中包括一些安全信息和參數(shù)，對加密后的數(shù)據(jù)包重新進(jìn)行封裝。此數(shù)據(jù)包通過 Inter上的“隧道”傳輸，到達(dá)目的方的 VPN服務(wù)器，由該服務(wù)器解包，核對數(shù)字簽名，并且解密。最后，明文信息通過內(nèi)部網(wǎng)傳輸?shù)侥康牡亍? 2023/2/7 30 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 VPN的功能 ? 虛擬專用網(wǎng)至少應(yīng)能提供如下功能： ? ①加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。 ? ②信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶的身份。 ? ③提供訪問控制，不同的用戶有不同的訪問權(quán)限。 2023/2/7 31 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 VPN的優(yōu)缺點(diǎn) ? VPN具有以下優(yōu)點(diǎn)： ? ①低成本。企業(yè)不必租用長途專線建設(shè)專網(wǎng)，不必大量的網(wǎng)絡(luò)維護(hù)人員和設(shè)備投資。 ? ②易擴(kuò)展。網(wǎng)絡(luò)路由設(shè)備配臵簡單，無需增加太多的設(shè)備，省時(shí)省錢。 ? ③完全控制主動(dòng)權(quán)。 VPN上的設(shè)施和服務(wù)完全掌握在企業(yè)手中。 ? VPN的幾個(gè)不足： ? ①無法保護(hù)“越界”數(shù)據(jù)的安全 ? ② VPN的管理流程和平臺與其他成熟的遠(yuǎn)程接入服務(wù)相比還不太好用 ? ③不同廠商的 IPsec VPN的管理和配臵掌握起來是最難的 2023/2/7 32 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 VPN的基本類型 ? 按接入方式劃分為兩類 ? 專線 VPN：專線 VPN是為已經(jīng)通過專線接入 ISP（因特網(wǎng)服務(wù)提供商）邊緣路由器的用戶提供的 VPN實(shí)現(xiàn)方案。 ? 撥號 VPN：撥號 VPN又稱 VPDN，指的是為利用撥號方式通過 PSTN（公用電話交換網(wǎng)）或 ISDN（綜合業(yè)務(wù)數(shù)字網(wǎng)）接入 ISP的用戶提供的 VPN業(yè)務(wù)。 ? 按隧道協(xié)議所屬的層次劃分 ? 工作在鏈路層的第二層隧道協(xié)議 ? 工作在網(wǎng)絡(luò)層的第三層隧道協(xié)議 ? 介于第二層和第三層之間的隧道協(xié)議 ? 按 VPN發(fā)起主體不同劃分 ? 基于客戶的 VPN ? 基于網(wǎng)絡(luò)的 VPN ? 按業(yè)務(wù)類型劃分 ? Inter VPN ? Access VPN ? Extra VPN ? 按應(yīng)用平臺劃分 ? 軟件 VPN ? 專用硬件 VPN ? 輔助硬件 VPN ? 按運(yùn)營商所開展的業(yè)務(wù)類型劃分 ? 撥號 VPN業(yè)務(wù) ? 虛擬租用線 ? 虛擬專用路由網(wǎng)業(yè)務(wù) ? 虛擬專用局域網(wǎng)段 2023/2/7 33 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 VPN的關(guān)鍵技術(shù) ? （ 1）隧道技術(shù) ? 隧道技術(shù)簡單的說就是：原始報(bào)文在 A地進(jìn)行封裝，到達(dá) B地后把封裝去掉還原成原始報(bào)文，這樣就形成了一條由 A到 B的通信隧道。 ? ①一般路由封裝（ GRE） ? GRE主要用于源路由和終路由之間所形成的隧道。 GRE通常是點(diǎn)到點(diǎn)的，但和下一跳路由協(xié)議（ NextHop Routing Protocol， NHRP）結(jié)合使用可以實(shí)現(xiàn)點(diǎn)到多點(diǎn)。 ? GRE隧道技術(shù)是用在路由器中的，可以滿足 Extra VPN和 Intra VPN的需求。遠(yuǎn)程訪問撥號用戶一般通過 L2TP和 PPTP訪問 VPN。 ? ② L2TP（ L2F和 PPTP的結(jié)合） ? L2TP是 L2F（ Layer 2 Forwarding）和 PPTP的結(jié)合。采用“強(qiáng)制”隧道模型機(jī)制（ “ NAS初始化”隧道（ Network Access Server））。 ? ③ PPTP（點(diǎn)對點(diǎn)隧道協(xié)議） ? PPTP采用“主動(dòng)”隧道模型機(jī)制（“用戶初始化”隧道）。 ? 采用 L2TP還是 PPTP實(shí)現(xiàn) VPN取決于要把控制權(quán)放在 NAS還是用戶手中。 L2TP比 PPTP更安全，前者適合集中固定用戶，后者適合移動(dòng)用戶。 ? （ 2）加密技術(shù) ? （ 3） QoS技術(shù)（帶寬，反應(yīng)時(shí)間和丟失率） 2023/2/7 34 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 VPN分類結(jié)構(gòu) VPN 撥號 VPN 專線 VPN 客戶發(fā)起的 VDPN NAS發(fā)起的 VDPS IP Tunnel VPNaware Netwares FR ATM 2023/2/7 35 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 VPN的配置結(jié)構(gòu) ? ① ATM PVC 組建方式。 ? 即利用電信部門提供的 ATM PVC來組建用戶的專用網(wǎng)。這種專用網(wǎng)的通信速率快，安全性高，支持多媒體通信。 ? ② IP Tunneling組建方式。 ? 即在多媒體通信網(wǎng)的 IP層組建專用網(wǎng)。其傳輸速率不能完全保證，不支持多媒體通信；使用國際通行的加密算法，安全性好；這種組網(wǎng)方式的業(yè)務(wù)在公眾通信網(wǎng)遍及的地方均可提供。 ? ③ Dialup Access組網(wǎng)方式（ VDPN）。 ? 這是一種撥號方式的專用網(wǎng)組建方式，可以利用已遍布全國的撥號公網(wǎng)來組建專用網(wǎng)，其接入地點(diǎn)在國內(nèi)不限，上網(wǎng)可節(jié)省長途撥號的費(fèi)用，對于流動(dòng)性強(qiáng)、分支機(jī)構(gòu)多、通信量小的用戶而言，這是一種理想的組網(wǎng)方式，它可以將用戶內(nèi)部網(wǎng)的界限，從單位的地理所在點(diǎn)延伸到全國范圍。 2023/2/7 36 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 VPN的安全策略 ? 目前建造虛擬專網(wǎng)的國際標(biāo)準(zhǔn)有 IPSec和 L2TP。 ? VPN系統(tǒng)使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全地通信。它采用復(fù)雜的算法來加密傳輸?shù)男畔ⅲ沟妹舾械臄?shù)據(jù)不會(huì)被竊聽，其處理過程如下： ? （ 1）要保護(hù)的主機(jī)發(fā)送明文信息到連接公共網(wǎng)絡(luò)的 VPN設(shè)備。 ? （ 2） VPN設(shè)備根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過。對需要加密的數(shù)據(jù)， VPN設(shè)備對整個(gè)數(shù)據(jù)包進(jìn)行加密和附上數(shù)字簽名。 ? （ 3） VPN設(shè)備加上新的數(shù)據(jù)報(bào)頭，其中包括目的地 VPN設(shè)備需要的安全信息和一些初始化參數(shù)。 VPN設(shè)備對加密后的數(shù)據(jù)、鑒別包以及源 IP地址、目標(biāo) VPN設(shè)備 IP地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。 ? （ 4）當(dāng)數(shù)據(jù)包到達(dá)目標(biāo) VPN設(shè)備時(shí)，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對無誤后，數(shù)據(jù)包被解密。 2023/2/7 37 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 內(nèi)容提要 ? 網(wǎng)絡(luò)安全基礎(chǔ) ? 防火墻技術(shù) ? VPN技術(shù) ? 網(wǎng)絡(luò)攻擊手段 ? 網(wǎng)絡(luò)入侵檢測 ? 訪問控制技術(shù) 2023/2/7 38 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 DDoS ? DDoS (Distributed Denial of Service，分布式拒絕服務(wù)攻擊 )是指，攻擊者利用拒絕服務(wù)軟件，對某一資源發(fā)送垃圾信息，導(dǎo)致帶寬或者資源過載產(chǎn)生瓶頸，從而使得其他的用戶無法享用該服務(wù)資源。當(dāng)一個(gè)對資源的合理請求大大超過資源的支付能力時(shí)就會(huì)造成拒絕服務(wù)攻擊。 ? 被 DDoS攻擊時(shí)的現(xiàn)象 ： ? 被攻擊主機(jī)上有大量等待的 TCP連接 ? 網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假 ? 制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊 ? 利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機(jī)無法及時(shí)處理所有正常請求 ? 嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī) 2023/2/7 39 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 DDoS的工作原理圖 2023/2/7 40 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 DDoS的工作原理分析 ? 首先，攻擊者通過利用系統(tǒng)服務(wù)的漏洞或者管理員的配臵錯(cuò)誤等方法，來進(jìn)入一些安全措施較差的小型站點(diǎn)以及單位中的服務(wù)器。 ? 然后，攻擊者在所侵入的服務(wù)器上安裝攻擊軟件。其目的在于隔離網(wǎng)絡(luò)聯(lián)系，保護(hù)攻擊者，使其不會(huì)在攻擊進(jìn)行時(shí)受到監(jiān)控系統(tǒng)的跟蹤，同時(shí)也能夠更好地協(xié)調(diào)進(jìn)攻。 ? 再后，攻擊者從攻擊控制臺向各個(gè)攻擊服務(wù)器發(fā)出對特定目標(biāo)的攻擊命令。攻擊器接到攻擊命令后，就開始每一個(gè)攻擊器都會(huì)向目標(biāo)主機(jī)發(fā)出大量的服務(wù)請求數(shù)據(jù)包。這些包所請求的服務(wù)往往要消耗較大的系統(tǒng)資源，這就會(huì)導(dǎo)致目標(biāo)主機(jī)網(wǎng)絡(luò)和系統(tǒng)資源的耗盡，從而停止服務(wù)，甚至?xí)?dǎo)致系統(tǒng)崩潰。 2023/2/7 41 第六章 互聯(lián)網(wǎng)安全技術(shù)與防范對策 DDos的體系結(jié)構(gòu) ? DDoS采用一種三層客戶服務(wù)器結(jié)構(gòu)。 ? 最下層是攻擊的執(zhí)行者 。這一層由許多網(wǎng)絡(luò)主機(jī)構(gòu)成。攻擊者通過各種辦法獲得主機(jī)的登錄權(quán)限，并在上面安裝攻擊器程序。這些攻擊器程序中一般內(nèi)置了上面一層的某一個(gè)或某幾個(gè)攻擊服務(wù)器