【正文】 ?第 3層隧道協(xié)議 ? IPSEC：本身不是隧道協(xié)議，但由于其提供的認(rèn)證、加密功能適用于建立 VPN環(huán)境，它既能提供 LAN間 VPN，也能提供遠(yuǎn)程訪問(wèn)型 VPN ?第四層 SSL VPN 77 小結(jié) ? 掌握信息、網(wǎng)絡(luò)安全的基本概念。 ? UDP：具有相同的地址和端口號(hào)的分組可以等效為一個(gè)連接 ? 代理型防火墻 ? 通過(guò)對(duì)網(wǎng)絡(luò)服務(wù)的代理，檢查進(jìn)出網(wǎng)絡(luò)的各種服務(wù) 65 ? 入侵檢測(cè)：通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并對(duì)其進(jìn)行分析，以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。一般來(lái)自系統(tǒng)內(nèi)部 ? 地下用戶(hù)（ clandestine user）： 掌握了系統(tǒng)的管理控制，并能逃避審計(jì)和接入控制的用戶(hù)，來(lái)自系統(tǒng)內(nèi)外部 60 ? 接入控制功能： ? 阻止非法用戶(hù)進(jìn)入系統(tǒng) ? 允許合法用戶(hù)按其權(quán)限進(jìn)行各種信息活動(dòng) ? 接入控制的構(gòu)成： ? 用戶(hù)的認(rèn)證與識(shí)別 ? 對(duì)認(rèn)證的用戶(hù)進(jìn)行授權(quán) ? 接入控制所依賴(lài)的信息： ? 主體：用戶(hù)或主機(jī)或一個(gè)程序 ? 客體：是一個(gè)可接受訪問(wèn)和受控的實(shí)體，可以是一個(gè)數(shù)據(jù)文件、程序或數(shù)據(jù)庫(kù) ? 接入權(quán)限：主體對(duì)客體的訪問(wèn)權(quán)限，如讀、寫(xiě)、執(zhí)行等 61 ? 防火墻定義 ? 防火墻功能 ? 防火墻分類(lèi) 62 防火墻定義 ? 防火墻是在兩個(gè)網(wǎng)絡(luò)之間強(qiáng)制實(shí)行訪問(wèn)控制策略的一個(gè)系統(tǒng)或者一組系統(tǒng) ? 防火墻由多個(gè)部件組成，并具有以下特性： ? 所有的從內(nèi)部到外部或者從外部到內(nèi)部的通信都必須經(jīng)過(guò)它 ? 只有內(nèi)部訪問(wèn)策略授權(quán)的通信才允許通過(guò) ? 系統(tǒng)本身具有高可靠性 63 防火墻功能 ? 過(guò)濾不安全的服務(wù)和禁止非法訪問(wèn) ? 控制對(duì)特殊站點(diǎn)的訪問(wèn)，可以允許受保護(hù)網(wǎng)絡(luò)的一部分主機(jī)被外部訪問(wèn)，而其它部分則禁止 ? 提供訪問(wèn)記錄和審計(jì)等功能 64 防火墻分類(lèi) ? 包過(guò)濾防火墻 ? 僅根據(jù)分組中的信息（地址、端口號(hào)、協(xié)議）執(zhí)行相應(yīng)的過(guò)濾規(guī)則，每個(gè)分組的處理都是獨(dú)立的 ? 狀態(tài)檢測(cè)防火墻 ? 不僅根據(jù)分組中的信息，而且還根據(jù)記錄的連接狀態(tài)、分組傳出請(qǐng)求等來(lái)進(jìn)行過(guò)濾 ? TCP：為建立連接的 SYN分組建立狀態(tài)，只允許對(duì)該 SYN的應(yīng)答分組進(jìn)入。在壓縮前簽字，壓縮后加密。 ? 認(rèn)證：用 SHA對(duì)消息雜湊，并以發(fā)信人的私鑰簽字，簽名算法采用 RSA或 DSS 。 ? 可控性 對(duì)信息的傳播及內(nèi)容具有控制能力 ，訪問(wèn)控制即屬于可控性 。 ? 完整性 數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性 ，即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改 、 不被破壞和丟失的特性 。針對(duì)特定目標(biāo)或是某個(gè)網(wǎng)絡(luò)區(qū)域 竊聽(tīng)和分析所傳輸?shù)膱?bào)文內(nèi)容 分析通信主機(jī)的位置、通信的頻繁程度、報(bào)文長(zhǎng)度等信息 45 ? 口令破解： 攻擊者可通過(guò)獲取口令文件，然后運(yùn)用口令破解工具獲得口令，也可通過(guò)猜測(cè)或竊聽(tīng)等方式獲取口令 ? 連接盜用： 在合法的通信連接建立后，攻擊者可通過(guò)阻塞或摧毀通信的一方來(lái)接管已經(jīng)過(guò)認(rèn)證建立起來(lái)的連接，從而 假冒被接管方與對(duì)方通信 ? 服務(wù)拒絕： 攻擊者可直接發(fā)動(dòng)攻擊，也可通過(guò)控制其它主機(jī)發(fā)起攻擊，使目標(biāo)癱瘓，如發(fā)送大量的數(shù)據(jù)洪流阻塞目標(biāo) ? 網(wǎng)絡(luò)竊聽(tīng)： 網(wǎng)絡(luò)的開(kāi)放性使攻擊者可通過(guò)直接或間接竊聽(tīng)獲取所需信息 ? 數(shù)據(jù)篡改： 攻擊者可通過(guò)截獲并修改數(shù)據(jù)或重放數(shù)據(jù)等方式破壞數(shù)據(jù)的完整性 46 常見(jiàn)攻擊分類(lèi)（續(xù)） ? 地址欺騙： 攻擊者可通過(guò)偽裝成被信任的 IP 地址等方式來(lái)騙取目標(biāo)的信任 ? 社會(huì)工程： 攻擊者可通過(guò)各種社交渠道獲得有關(guān)目標(biāo)的結(jié)構(gòu)、使用情況、安全防范措施等有用信息從而提高攻擊成功率 ? 惡意掃描： 攻擊者可編制或使用現(xiàn)有掃描工具發(fā)現(xiàn)目標(biāo)的漏洞，進(jìn)而發(fā)起攻擊 ? 基礎(chǔ)設(shè)施破壞： 攻擊者可通過(guò)破壞 DNS 或路由信息等基礎(chǔ)設(shè)施，使目標(biāo)陷于孤立 ? 數(shù)據(jù)驅(qū)動(dòng)攻擊： 攻擊者可通過(guò)施放病毒、特洛伊木馬、數(shù)據(jù)炸彈等方式破壞或遙控目標(biāo) 47 Chapter 10網(wǎng)絡(luò)安全 ? ? ? ? ? ? 48 ? ? ? ? 4 . IPSec ? 5 .Email加密協(xié)議 PGP 49 ? 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄漏，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。一般而言，偽裝攻擊的同時(shí)往往還伴隨著其他形式的主動(dòng)攻擊 先被動(dòng)地竊取通信數(shù)據(jù)，然后再有目的地重新發(fā)送 即修改報(bào)文的內(nèi)容。 ? 偽裝 ? 重放 ? 篡改 ? 拒絕服務(wù) ? 被動(dòng)攻擊對(duì)傳輸進(jìn)行偷聽(tīng)與監(jiān)視，獲得傳輸信息。問(wèn)題是各自采用的技術(shù)不能互連互通。 ? 交叉認(rèn)證 多個(gè) PKI獨(dú)立地運(yùn)行，相互之間應(yīng)建立信任關(guān)系 41 中國(guó) PKI現(xiàn)狀 ? 中國(guó)的 CA中心建設(shè)從 1998年底開(kāi)始 。 ? 自動(dòng)密鑰更新 無(wú)需用戶(hù)干預(yù) ， 當(dāng)證書(shū)失效日期到來(lái)時(shí) ， 啟動(dòng)更新過(guò)程 ， 生成新的證書(shū) ? 密鑰歷史檔案 由于密鑰更新 ， 每個(gè)用戶(hù)都會(huì)擁有多個(gè)舊證書(shū)和至少一個(gè)當(dāng)前證書(shū) ， 這一系列證書(shū)和相應(yīng)的私鑰組成密鑰歷史檔案 。 這種密鑰應(yīng)頻繁更換 。 簽名密鑰的生命期較長(zhǎng) 。 ? 注冊(cè)機(jī)構(gòu) RA 注冊(cè)功能也可以由 CA直接實(shí)現(xiàn) ， 但隨著用戶(hù)的增加 ， 多個(gè) RA可以分擔(dān) CA的功能 ， 增強(qiáng)可擴(kuò)展性 ， 應(yīng)注意的是 RA不容許頒發(fā)證書(shū)或 CRL. ? 證書(shū)庫(kù) 證書(shū)的集中存放地 ， 提供公眾查詢(xún) ， 常用目錄服務(wù)器提供服務(wù) ， 采用 LDAP目錄訪問(wèn)協(xié)議 。能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供采用加密和數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書(shū)管理。 ? (2) 消息認(rèn)證碼 MAC(Message Authentication Code) 是對(duì)信源消息的一個(gè)編碼函數(shù) ? (3) 散列函數(shù) (Hash Function) 是一個(gè)公開(kāi)的函數(shù)它將任意長(zhǎng)的信息映射成一個(gè)固定長(zhǎng)度的信息 35 消息認(rèn)證碼 MAC ? 利用函數(shù) f和密鑰 k ，對(duì)要發(fā)送的明文 x或密文 y變換成 r bit的消息認(rèn)證碼 f(k,x)(或f(k,y)) ，將其稱(chēng)為認(rèn)證符附加在 x(或 y)之后發(fā)出，接收者收到發(fā)送的消息序列后，按發(fā)方同樣的方法對(duì)接收的數(shù)據(jù) (或解密后 )進(jìn)行計(jì)算，應(yīng)得到相應(yīng)的 r bit數(shù)據(jù)