【正文】 字簽名 鑒別 密鑰分配 因特網使用的安全協議 鏈路加密與端到端加密 防火墻 兩類密碼體制 防火墻與入侵檢測技術 89 防火墻技術 入侵檢測 90 防火墻技術 防火墻是指隔離在本地網絡與外界網絡之間的一道防御系統 ， 是這一類防范措施的總稱 。 在互聯網上防火墻是一種非常有效的網絡安全模型 ， 通過它可以隔離風險區(qū)域與安全區(qū)域 （ 局域網 ） 的連接 ， 同時不會妨礙人們對風險區(qū)域的訪問 。 防火墻實質上是一種隔離控制技術 ， 其核心思想是在不安全的網絡環(huán)境下構造一種相對安全的內部網絡環(huán)境 。從邏輯上講它既是分析器又是限制器 ， 它要求所有進出網絡的數據流都必須遵循安全策略 ， 同時將內外網絡在邏輯上分離 。 1. 防火墻的概念 91 包過濾型防火墻會檢查所有通過的信息包中的 IP地址，并按照系統管理員所給定的過濾規(guī)則進行過濾，一旦發(fā)現來自危險站點的數據包，防火墻便會將這些數據拒之門外。 2. 防火墻的種類 （ 1）包過濾防火墻 優(yōu)點： 對用戶來說是透明的，處理速度快而且易于維護，實現 成本較低，能夠以較小的代價在一定程度上保證系統的安全。 缺點： 完全基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意入侵，如惡意的 Java小程序以及電子郵件中附帶的病毒等。有經驗的黑客也很容易偽造 IP地址，騙過包過濾型防火墻。 92 應用級網關是通常我們提到的代理服務器。代理服務器像一堵墻一樣擋在內部用戶和外界之間，從外部只能看到該代理服務器而無法獲知任何的內部資源，外部的惡意侵害也就很難傷害到企業(yè)內部網絡系統。 （ 2）應用網關防火墻 優(yōu)點： 應用級網關比單包過濾更為可靠，而且會詳細地記錄所有的訪問狀態(tài)信息。 缺點： 對系統的整體性能有較大的影響，使訪問速度變慢，因為它不允許用戶直接訪問網絡，而且應用級網關需要對客戶機可能產生的每一個特定的互聯網服務安裝相應的代理服務軟件，從而大大增加了系統的復雜度。用戶不能使用未被服務器支持的服務。 93 監(jiān)測型防火墻能夠對各層的數據進行主動的、實時的監(jiān)測，在對這些數據加以分析的基礎上有效地判斷出各層中的非法侵人。 （ 3）狀態(tài)監(jiān)測防火墻 優(yōu)點： 當用戶訪問請求到達網關的操作系統前，狀態(tài)監(jiān)視器會抽取有關數據進行分析，結合網絡配置和安全規(guī)定做出接納、拒絕、身份認證、報警或給該通信加密等處理動作。一旦某個訪問違反安全規(guī)定，就會拒絕該訪問，并報告有關狀態(tài)作日志記錄。另一個優(yōu)點是它會檢測無連接狀態(tài)的遠程過程調用（RPC）和用戶數據報（ UDP）之類的端口信息。 缺點： 它會降低網絡的速度，而且配置也比較復雜。 94 屏蔽路由器是一個具有數據包過濾功能的路由器，既可以是一個硬件設備，也可以是一臺主機。路由器上安裝有 IP層的包過濾軟件，可以進行簡單的數據包過濾，其使用范圍很廣。 3. 防火墻的體系結構 （ 1）屏蔽路由器 缺點： 一旦屏蔽路由器的包過濾功能失效，則受保護網絡和外部網絡就可以進行任何數據通信。 95 如果一臺主機裝有兩塊網卡，一塊連接受保護網絡，一塊連接外部網絡，那么這臺堡壘主機就是雙宿主機網關。雙重宿主主機至少有兩個網絡接口。這樣的主機可以充當與這些接口相連的網絡之間的路由器；它能夠從一個網絡到另外一個網絡發(fā)送 IP數據包，然而雙重宿主主機的防火墻體系結構禁止這種發(fā)送。 雙宿主機網關優(yōu)于屏蔽路由器的地方是： 堡壘主機的系統軟件可用于維護系統日志、硬件拷貝日志或遠程日志。 致命弱點是： 一旦入侵者侵入堡壘主機并使其只具有路由功能，則任何網上用戶均可以隨便訪問內網。 （ 2）雙宿主機網關 96 堡壘主機在受保護網絡中，可以與受保護網絡的主 機進行通信，也可以和外部網的主機建立連接。屏蔽路 由器的作用是允許堡壘主機和外部網絡之間的通信，同 時所有受保護網絡的其它主機和外部網絡直接通信。壘 主機成為從外部網絡唯一可到達的主機，此時它就起到 了網關的作用。 （ 3）被屏蔽主機網關 97 由兩臺屏蔽路由器將受保護網絡和外部網絡隔離 開，中間形成一個隔離帶（ DMZ），就構成了被屏蔽子 網結構 。 （ 4）被屏蔽子網 98 （ 1）包過濾 （ 2）審計和報警 （ 3）代理 : 分為透明代理和傳統代理 （ 4） NAT：分為源地址轉換和目的地址轉換 （ 5） VPN：虛擬專用網 （ 6）流量統計和控制 4. 防火墻的功能 防火墻與入侵檢測技術 99 防火墻技術 入侵檢測 100 入侵檢測 所謂入侵檢測就通過專用的軟件工具檢查網絡系統中存在的會威脅系統安全的脆弱性的過程 。 它不跨接多個物理網段 （ 通常只有一個監(jiān)聽端口 ） （ 1）存在后門 (backdoor，程序員在程序中設置的特殊源代碼，使得用戶可以繞過正常的認證過程而進入系統內部 )的軟件程序。 （ 2）軟件系統中的配置錯誤。 （ 3）不安全的管理性錯誤。 （ 4）破壞性的惡意程序。 1. 入侵檢測概念（“ IDS” ） 2. 入侵檢測的對象主要包括 3. 入侵檢測工具 101 常用的入侵檢測工具掃描器，掃描器實際上是一種軟件，從 黑客 的角度對目標網絡發(fā)起攻擊，實施攻擊過程中找出網絡的漏洞，并記錄下來，以供網絡管理員修補。 102 掃描器實際上也是一個 軟件 ，它從黑客的角度對目標網絡發(fā)起攻擊，在實施攻擊的過程中找出網絡的安全漏洞，并將它們記錄下來，以供網絡管理員修補安全漏洞。 本地掃描器： 運行于目標節(jié)點的進程，可以查看文件被修改的時間和文件的內容，從而發(fā)現配置錯誤或黑客所作的更改。 遠程掃描器： 由于檢查網絡和系統分別所導致的脆弱隱患，遠程掃描器主要通過發(fā)送網絡數據包來檢查系統。 4. 常用的入侵檢測工具是掃描器 5. 入侵檢測與防御 103 入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。 入侵檢測被 認為是防火墻之后的第二道安全閘門 ，在不影響網絡性能的情況下能對網絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。 入侵檢測系統及實例 網絡環(huán)境下的入侵檢測系統有 3種基本結構 104 ?基于主機的入侵檢測系統（ HIDS） ?基于網絡的入侵檢測系統（ IDS） ?分布式入侵檢測系統（ DIDS） 基于主機的入侵檢測系統 105 106 Inter 基于主機入侵檢測系統工作原理 網絡服務器 1 客戶端 網絡服務器 2 X 檢測內容 HIDS ： 系統調用、端口調用、系統日志、安全審記、應用日志 HIDS HIDS 基于網絡的入侵檢測系統 107 108 Inter NIDS 基于網絡入侵檢測系統工作原理 網絡服務器 1 數據包 =包頭信息 +有效數據部分 客戶端 網絡服務器 2 X 檢測內容 IDS ： 包頭信息 +有效數據部分 109 分布式入侵檢測系統 Inter 內網 DMZ區(qū)域 MAIL服務器 IDS控制中心 主機入侵檢測 WIN平臺 Solaris平臺 SQL Server 網絡入侵檢測 舉例： 電子政務系統設計 1. 電子政務 內網 電子政務內網是各種應用的統一通信平臺，主干網要求具有安全、可靠和高帶寬等特性。 某市電子化辦公涉及 20多個業(yè)務部門，這些部門分部在不同的地理位置，距離市政府大樓幾十米至幾公里?？紤]到政務主干網的負載均衡和光纜敷設便利等因素，政務主干網可采用多星型拓撲結構。整體網絡設置三個主結點（市政府主樓、市委主樓和科技局主樓）向外輻射，通過各部門（局、科室）所在的建筑樓結點構成主干網。 電子政務 網絡平臺 設計 市政府網絡拓撲結構 主要由內網處理單元、外網處理單元、安全隔離與信息交換處理單元三部分組成。 外網處理單元與外網（如 Inter）相連，內網處理單元與內網（ 如政府、軍隊網 ）相連；安全隔離與信息交換處理單元通過專用硬件斷開內、外網的物理連接，并在任何時刻只與其中一個網絡連接，讀取等待發(fā)送的數據，然后“ 推送 ”到另一個網絡上。 在切換速度非?？斓那闆r下，可以實現信息的實時交換。 聯想網御 SIS3001安全隔離網閘 物理隔離網閘 電子政務網絡平臺 設計 2. 電子政務 外網 電子政務外網（ Web網站）位于市政府主樓第 3層的網絡中心主機房內。電子政務外網是政府對外的門戶網站，網站拓撲結構要嚴格按照 DMZ的要求設計。 內、外網物理隔離 電子政務內、外網物理隔離采用物理隔離網閘，可以實現兩個網絡之間的物理隔離。 舉例： 電子政務信息系統 1. 系統功能結構 電子政務系統功能結構圖 電子政務信息系統一般分為政府公共服務網站和政府內部辦公網站，功能結構。 電子政務信息系統 2. 政務外網應用 面向公共管理服務政務外網業(yè)務系統主要包括：為公眾用戶提供接入和工作流引擎、通用電子政務構件、個性化管理以及服務集成等基本的功能。如：網上報表管理、登記申報及審批業(yè)務辦理、網上人才招聘管理、招商管理、網上稅務、網上勞保等應用系統。 電子政務信息系統 3. 政務內網應用 政務內網應用系統強調的是政府內部在各類政務工作中，運用先進的信息技術和管理思想，大幅度提高辦事效率，提高政務工作的質量。而在政府內部，電子政務的許多目標是要通過辦公自動化來實現的。 離開了辦公自動化，政府內部的電子政務也就失去了基礎。面向辦公業(yè)務的 OA系統功能包括：公文管理、督查管理、檔案管理、政務信息、內部事務、值班管理、會議管理、輔助決策、公用信息等。 118 P324 70 707 作業(yè)