【正文】 fy *Change _ciphe r_specfinish edChange _ciphe r_specfinish ed時(shí)間Step1 ：確定相關(guān)參數(shù)，包括協(xié)議版本，會(huì)話 ID ，加密規(guī)格，壓縮算法和初始隨機(jī)數(shù)。Step2 ：服務(wù)器發(fā)送證書、交換密鑰、證書請求，最后發(fā)送 hello 階段的結(jié)束信號(hào)。Step3 ：客戶端發(fā)送證書、交換密鑰、證書驗(yàn)證。Step4 ：改變加密規(guī)格，結(jié)束握手協(xié)議?？蛻?服務(wù)器時(shí)間：確定相關(guān)參數(shù)，包括協(xié)議版本，會(huì)話 ，加密規(guī)格，壓縮算法和初始隨機(jī)數(shù)。：服務(wù)器發(fā)送證書、交換密鑰、證書請求，最后發(fā)送 階段的結(jié)束信號(hào)。：客戶端發(fā)送證書、交換密鑰、證書驗(yàn)證。：改變加密規(guī)格，結(jié)束握手協(xié)議?？蛻?服務(wù)器93 基于 SSL的 Web安全訪問 ? 目前，大多數(shù) Web服務(wù)器（比如 Apache、 IIS）和瀏覽器（比如 Navigator、 IE）都支持 SSL功能。 ? 當(dāng)瀏覽器和 Web服務(wù)器之間建立 SSL連接時(shí)，必須具備以下條件： – 從可信任的證書頒發(fā)機(jī)構(gòu)獲取 Web服務(wù)器證書。 – Web服務(wù)器必須安裝服務(wù)器證書。 – 在 Web服務(wù)器上設(shè)置 SSL選項(xiàng)。 – 客戶端必須同 Web服務(wù)器信任同一證書頒發(fā)機(jī)構(gòu)。 94 防火墻 防火墻的基本概念和功能 防火墻的主要技術(shù) 防火墻的體系結(jié)構(gòu) 防火墻的發(fā)展方向 95 防火墻的基本概念和功能 ? 防火墻是由軟件、硬件構(gòu)成的系統(tǒng)，用來在兩個(gè)網(wǎng)絡(luò)之間實(shí)施訪問控制策略。訪問控制策略由使用防火墻的單位自行制訂來適合本單位的需要。 ? 防火墻內(nèi)的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”，而外部的因特網(wǎng)稱為“不可信賴的網(wǎng)絡(luò)”。 ? 防火墻可用來解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問題。 96 防火墻在網(wǎng)絡(luò)中的位置 In tern et工作站 工作站??內(nèi)部網(wǎng)防火墻97 防火墻的安全特性 ? 所有的通信，無論是從內(nèi)部到外部還是從外部到內(nèi)部的，都必須經(jīng)過防火墻。 ? 只有被授權(quán)的通信才能通過防火墻，這些授權(quán)將在本地安全策略中規(guī)定。不同類型的防火墻實(shí)現(xiàn)不同的安全策略。 ? 防火墻自身具有高可靠性，能對“滲透”免疫。這意味著防火墻應(yīng)該是具有安全操作系統(tǒng)特性的可信系統(tǒng)，自身能夠抵抗各種攻擊。 98 防火墻的主要功能 ? 通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，簡化安全管理的復(fù)雜程度。 ? 記錄和統(tǒng)計(jì)網(wǎng)絡(luò)上的非法活動(dòng)，根據(jù)統(tǒng)計(jì)數(shù)據(jù)來判斷可能的攻擊和探測，實(shí)現(xiàn)審計(jì)和報(bào)警功能。 ? 可部署網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，緩解地址空間短缺或隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)。 ? 可增強(qiáng)網(wǎng)絡(luò)的保密性，使用防火墻來禁止易受攻擊的服務(wù)。 ? 隔離網(wǎng)段，限制安全問題的擴(kuò)散。 99 防火墻的不足 ? 對繞過它的攻擊無能為力。 ? 不能防范內(nèi)部網(wǎng)絡(luò)的攻擊。 ? 不能防范全新的網(wǎng)絡(luò)威脅，無法阻止數(shù)據(jù)驅(qū)動(dòng)式攻擊，不能完全防止感染病毒的軟件或文件。 ? 防火墻無法有效地解決自身的安全問題。 ? 防火墻無法做到安全與速度的同步提高。 ? 防火墻是靜態(tài)的安全技術(shù) , 需要人工來實(shí)施和維護(hù) , 不能提供實(shí)時(shí)的入侵檢測能力。 100 防火墻的主要技術(shù) ? 根據(jù)防火墻在網(wǎng)絡(luò)協(xié)議棧中過濾的層次不同，防火墻系統(tǒng)可以分成不同的類型。 ? 一般來說，防火墻工作的層次越高，檢查數(shù)據(jù)報(bào)的信息越多，消耗的處理時(shí)間越多，提供的安全保護(hù)的等級(jí)就越高。 ? 常見的防火墻有 : – 路由器級(jí)防火墻：工作在網(wǎng)絡(luò)層，一般采用包過濾（ Packet Filtering）技術(shù)。 – 網(wǎng)關(guān)級(jí)防火墻：工作在應(yīng)用層，一般采用代理服務(wù)（ Proxy Service）技術(shù)。 101 包過濾技術(shù)和代理服務(wù)技術(shù) ? 包過濾技術(shù) ——依據(jù)系統(tǒng)事先設(shè)定的過濾邏輯（通常稱為訪問控制表，即 Access Control List），通過檢查包地址、協(xié)議、端口等信息來決定是否允許通過網(wǎng)絡(luò)。 ? 代理服務(wù)技術(shù) ——從應(yīng)用程序來進(jìn)行訪問控制，允許或拒絕特定的應(yīng)用程序或某個(gè)特定功能。通常使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來區(qū)分各種應(yīng)用。例如，可以只允許通過訪問萬維網(wǎng)的應(yīng)用，而阻止 FTP 應(yīng)用的通過。 102 包過濾技術(shù) ? 使用包過濾技術(shù)的防火墻也稱為包過濾防火墻，由于其工作在網(wǎng)絡(luò)層，又稱為網(wǎng)絡(luò)層防火墻。 ? 一般在一個(gè)多端口的 IP層路由器上實(shí)現(xiàn)，通過制定一套過濾規(guī)則，在轉(zhuǎn)發(fā)分組之前對每個(gè) IP數(shù)據(jù)報(bào)，根據(jù)過濾規(guī)則實(shí)現(xiàn)分組過濾，丟棄一切不符合過濾規(guī)則的分組。 ? 檢查內(nèi)容： IP源地址和目標(biāo)地址、協(xié)議類型（ TCP包、 UDP包和 ICMP包） 、 TCP或 UDP包的源和目的端口、 ICMP消息類型、 TCP包頭的 ACK位、 TCP包的序列號(hào)等。 103 包過濾規(guī)則例子 規(guī)則號(hào) 方向 源地址 目的 地址 協(xié)議 源端口 目的 端口 ACK 動(dòng)作 1 出 內(nèi)部 任意 TCP 1023 23 任意 允許 2 入 任意 內(nèi)部 TCP 23 1023 1 允許 3 雙向 任意 任意 任意 任意 任意 任意 禁止 104 包過濾技術(shù)的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn) :結(jié)構(gòu)和實(shí)現(xiàn)比較簡單。 ? 缺點(diǎn) : – 包過濾規(guī)則不容易維護(hù)和配置； – 只檢查地址和端口，容易造成數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)，不能理解特定服務(wù)的上下文環(huán)境； – 沒有記錄功能，無法了解過濾規(guī)則存在的漏洞； – 有些協(xié)議使用包過濾方式的效果不明顯； – 對于包中所含的文件內(nèi)容無法過濾； – 無法做到用戶級(jí)別的身份認(rèn)證和訪問控制。 105 代理服務(wù)技術(shù) ? 是安全性較高的一種技術(shù)。它從應(yīng)用程序級(jí)來進(jìn)行訪問控制。使用這種技術(shù)的防火墻又稱為應(yīng)用代理防火墻。 ? 一般針對某一特定應(yīng)用，由用戶端的代理客戶和防火墻端的代理服務(wù)兩部分組成，代理客戶對原應(yīng)用客戶改造，使其與防火墻交互，代理服務(wù)代用戶向應(yīng)用服務(wù)器提交請求，并將結(jié)果返回給用戶，用戶和服務(wù)器之間不會(huì)由直接的 IP分組交換。 ? 代理服務(wù)器工作在應(yīng)用層，能理解應(yīng)用層協(xié)議（比如識(shí)別 FTP服務(wù)中上傳、下載等命令。 106 應(yīng)用代理的工作原理 內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)代理服務(wù)器代理服務(wù)器請求被轉(zhuǎn)發(fā)的請求響應(yīng)被轉(zhuǎn)發(fā)的響應(yīng)服務(wù)器客戶機(jī)代理獲得了客戶機(jī)和服務(wù)器之間通信的全部控制權(quán)107 代理服務(wù)技術(shù)的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn)： – 防止內(nèi)外主機(jī)間直接建立聯(lián)系，增強(qiáng)了安全性。 – 提供鑒別日志與審計(jì)功能，具有配置簡單、日志完備、隱匿內(nèi)網(wǎng)、擴(kuò)充地址等功能。 ? 缺點(diǎn)： – 在應(yīng)用層進(jìn)行，處理速度慢，效率低； – 針對專門應(yīng)用，只能對特定服務(wù)的數(shù)據(jù)流進(jìn)行過濾，必須為特定的應(yīng)用服務(wù)編寫特定的代理程序。 – 當(dāng)防火墻不工作時(shí)，對應(yīng)的網(wǎng)絡(luò)服務(wù)也無法使用。 108 防火墻的體系結(jié)構(gòu) ? 防火墻作為安全防護(hù)系統(tǒng)，它可能是一個(gè)屏蔽 路由器或單個(gè)的主機(jī)系統(tǒng)，而更多的可能是由多個(gè)設(shè)備組成的一個(gè)系統(tǒng)。 ? 從本質(zhì)上講，現(xiàn)有的防火墻體系結(jié)構(gòu)主要有以下三種： – 雙宿主主機(jī)結(jié)構(gòu) – 屏蔽主機(jī)防火墻 – 屏蔽子網(wǎng)防火墻 109 雙宿主主機(jī)結(jié)構(gòu) Intern et工作站 服務(wù)器??內(nèi)部網(wǎng)防火墻雙宿主主機(jī)110 屏蔽主機(jī)防火墻 工作站In ter堡壘主機(jī)……內(nèi)部網(wǎng)防火墻屏蔽路由器服務(wù)器111 屏蔽子網(wǎng)防火墻 Intern et工作站 服務(wù)器??內(nèi)部網(wǎng)外部屏蔽路由器 堡壘主機(jī)DMZ內(nèi)部屏蔽路由器防火墻112 防火墻的發(fā)展方向 ? 分布式防火墻：多個(gè)物理防火墻協(xié)同工作，共同組成一個(gè)強(qiáng)大的、具備并行處理和負(fù)載均衡的邏輯防火墻。 ? 以防火墻為核心的網(wǎng)絡(luò)安全體系：在防火墻功能的基礎(chǔ)上增加簡單的 IDS、病毒檢測、 VPN、防范垃圾郵件等功能，形成整體的全方位的立體防護(hù)。 ? 智能化防火墻：利用人工智能技術(shù)能自動(dòng)識(shí)別并防御各種黑客攻擊及相應(yīng)的變種攻擊方法，具有自主學(xué)習(xí)并制定識(shí)別和防御方法的特點(diǎn)。 ? 高速防火墻：不斷提高處理速度以滿足網(wǎng)絡(luò)速度的不斷提高。 本章小結(jié) 113 ? 本章闡述了網(wǎng)絡(luò)安全的基本概念、面臨的安全威脅以及網(wǎng)絡(luò)安全的基本目標(biāo)和機(jī)制，重點(diǎn)討論了數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)和防火墻技術(shù)。 ? 數(shù)據(jù)加密技術(shù)保障網(wǎng)絡(luò)信息的機(jī)密性。數(shù)據(jù)加密方法根據(jù)密鑰的不同可以分為對稱加密算法和公鑰密碼算法。 ? 用戶認(rèn)證是確認(rèn)用戶身份的一種機(jī)制，可根據(jù)用戶所知、所有和個(gè)人特征進(jìn)行用戶的身份認(rèn)證。 ? 防火墻技術(shù)提供網(wǎng)間訪問控制，通過檢查網(wǎng)絡(luò)間傳輸?shù)膮f(xié)議數(shù)據(jù)對信息進(jìn)行過濾，從而保證內(nèi)部網(wǎng)絡(luò)的安全。主要的防火墻技術(shù)包括包過濾技術(shù)和代理技術(shù)。 本章習(xí)題 114 ? 網(wǎng)絡(luò)安全主要有哪些關(guān)鍵技術(shù)？ ? 在加密 /解密模型中有哪些要素？對比對稱和非對稱密碼體制的區(qū)別。 ? 鏈路加密和端到端加密各有什么特點(diǎn)，使用在什么場合？ ? 實(shí)現(xiàn)身份認(rèn)證的基本途徑是那些？ ? 數(shù)字簽名主要解決什么問題？說明公鑰密碼實(shí)現(xiàn)數(shù)字簽名的過程。 ? 數(shù)字證書的內(nèi)容是什么？ ? 從分層協(xié)議模型上看，可以采用哪幾種方式來保證 Web應(yīng)用的安全性？ ? 簡述防火墻的工作原理。