【正文】 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 SNMP和網(wǎng)絡(luò)管理 ? 網(wǎng)絡(luò)管理系統(tǒng)結(jié)構(gòu)； ? SNMPv1基本功能； ? SNMPv1缺陷； ? SNMPv3的安全機(jī)制。 網(wǎng)絡(luò)管理是保證網(wǎng)絡(luò)正常運(yùn)行的必要手段，網(wǎng)絡(luò)管理過程中需要在網(wǎng)絡(luò)管理工作站和網(wǎng)絡(luò)結(jié)點(diǎn)之間傳輸命令和響應(yīng)消息，這些消息的正確傳輸是網(wǎng)絡(luò)管理工作正常進(jìn)行的基礎(chǔ)。 169。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 訪問控制策略 ? 訪問控制策略用于確定操作請(qǐng)求是否進(jìn)行； ? 訪問控制策略將用戶位置、系統(tǒng)狀態(tài)和資源訪問規(guī)則結(jié)合在一起； ? 用戶位置給出標(biāo)識(shí)用戶終端所在位置的信息，如IP地址； ? 系統(tǒng)狀態(tài)給出終端的安全狀態(tài)； ? 資源訪問規(guī)則對(duì)應(yīng)不同用戶、不同訪問請(qǐng)求發(fā)起者、不同資源定義了允許對(duì)資源進(jìn)行的訪問操作和違反規(guī)則所采取動(dòng)作。是否安裝放病毒軟件，是否監(jiān)測(cè)到黑客攻擊等。口令等。確定主機(jī)位置的信息有： IP地址、域名前綴、 VPN客戶信息等。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 攔截系統(tǒng)調(diào)用和進(jìn)出主機(jī)的息流的過程 截獲機(jī)制 應(yīng)用程序 系統(tǒng)調(diào)用攔截程序 操作系統(tǒng)內(nèi)核 主機(jī)資源 網(wǎng)絡(luò)信息流監(jiān)測(cè)器 應(yīng)用程序 系統(tǒng)調(diào)用攔截程序 T C P/I P 組件 網(wǎng)卡驅(qū)動(dòng)程序 網(wǎng)絡(luò)信息流 Int er 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 主機(jī)資源 主機(jī)資源是需要主機(jī)入侵防御系統(tǒng)保護(hù)的一切有用的信息和信息承載體，包括如下： ?網(wǎng)絡(luò)； ?內(nèi)存； ?進(jìn)程； ?文件； ?系統(tǒng)配置信息。 ?攔截系統(tǒng)調(diào)用 用戶操作請(qǐng)求和操作系統(tǒng)內(nèi)核之間增加檢測(cè)程序，對(duì)用戶發(fā)出的操作請(qǐng)求進(jìn)行檢測(cè)，確定是合法操作請(qǐng)求，才提供給操作系統(tǒng)內(nèi)核。 只允許操作系統(tǒng)完成合法的操作請(qǐng)求。 截獲操作請(qǐng)求 確定操作對(duì)象類型 采集和操作相關(guān) 的信息 系統(tǒng)狀態(tài) 訪問控制策略 操作決策 必須截獲所有調(diào)用操作系統(tǒng)服務(wù)的請(qǐng)求，尤其是對(duì)主機(jī)資源的操作請(qǐng)求，如讀寫文件、修改注冊(cè)表等。 主機(jī)入侵防御系統(tǒng)主要用于防止對(duì)主機(jī)資源的非法訪問和病毒入侵，因此，必須通過訪問控制策略設(shè)定主機(jī)資源的訪問權(quán)限，截獲主機(jī)資源的操作請(qǐng)求，根據(jù)訪問控制策略、用戶和系統(tǒng)狀態(tài)及主機(jī)資源類型確定操作請(qǐng)求的合理性。 入侵檢測(cè)機(jī)制 測(cè)量值或行為 發(fā)生概率 正常訪 問過程 攻擊過程 重疊部分 A B 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 安全策略 .1/ 24 W eb 服務(wù)器 .3/ 24 FT P 服務(wù)器 Int er 網(wǎng)絡(luò)入侵防御系統(tǒng) 規(guī)則編號(hào) 源 IP 地址 目的 IP 地址 服務(wù) 攻擊特征庫 / 類型 動(dòng)作 1 任意 .1/ 32 H T T P H T T P －嚴(yán)重 SY N 泛洪 交互式信息 源 IP 阻塞 丟棄 IP 分組 源 IP 阻塞 2 任意 .3/ 32 FT P FT P －嚴(yán)重 SY N 泛洪 交互式信息 源 IP 阻塞 丟棄 IP 分組 源 IP 阻塞 ? 安全策略指定需要檢測(cè)的信息流類別、檢測(cè)機(jī)制和反制動(dòng)作，對(duì)于攻擊特征檢測(cè)，需要給出攻擊特征庫； ? 由于攻擊和應(yīng)用層協(xié)議相關(guān)，因此對(duì)應(yīng)不同的應(yīng)用層協(xié)議存在不同的攻擊特征庫； ? 對(duì)同一類別信息流，可以指定多種檢測(cè)機(jī)制，對(duì)不同檢測(cè)機(jī)制檢測(cè)到的攻擊行為采取不同的反制動(dòng)作。然后，實(shí)時(shí)采集流經(jīng)該網(wǎng)段的信息流，并計(jì)算出單位時(shí)間內(nèi)的統(tǒng)計(jì)值，然后和基準(zhǔn)統(tǒng)計(jì)值比較，如果多個(gè)統(tǒng)計(jì)值和基準(zhǔn)統(tǒng)計(jì)值存在較大偏差，斷定流經(jīng)該網(wǎng)段的信息流出現(xiàn)異常； ? 基于規(guī)則機(jī)制，通過分析大量異常信息流，總結(jié)出一些特定異常信息流的規(guī)則，一旦流經(jīng)該網(wǎng)段的信息流符合某種異常信息流對(duì)應(yīng)的規(guī)則，斷定該信息流為異常信息流。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 協(xié)議譯碼 ? IP分組的正確性，如首部字段值是否合理，整個(gè)TCP首部是否包含單片數(shù)據(jù)中，各個(gè)分片的長度之和是否超過 64KB等； ? TCP報(bào)文的正確性，如經(jīng)過 TCP連接傳輸?shù)?TCP報(bào)文的序號(hào)和確認(rèn)序號(hào)之間是否沖突，連續(xù)發(fā)送的 TCP報(bào)文序號(hào)范圍和另一方發(fā)送的窗口是否沖突，各段數(shù)據(jù)的序號(hào)范圍是否重疊等； ? 應(yīng)用層報(bào)文的正確性，請(qǐng)求、響應(yīng)過程是否合乎協(xié)議規(guī)范；各個(gè)字段值是否合理，端口號(hào)是否和默認(rèn)應(yīng)用層協(xié)議匹配等。 信息捕獲機(jī)制 終端 A 終端 B 終端 C 探測(cè)模式探測(cè)器 交換機(jī) 1 1 2 1 交換機(jī) 2 2 3 利用跨交換機(jī)端口境像捕獲信息機(jī)制 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 通過分類器鑒別出具有指定源和目的 IP地址、源和目的端口號(hào)等屬性參數(shù)的 IP分組； ? 為這些 IP分組選擇特定的傳輸路徑； ? 虛擬訪問控制列表允許這些 IP分組既正常轉(zhuǎn)發(fā)，又從特定傳輸路徑轉(zhuǎn)發(fā)； ? 通過特定傳輸路徑轉(zhuǎn)發(fā)的 IP分組到達(dá)探測(cè)器。 終端 A 終端 B 終端 C 探測(cè)模式探測(cè)器 集線器 利用集線器捕獲信息機(jī)制 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 端口境像功能是將交換機(jī)某個(gè)端口（如圖中的端口 2）作為另一個(gè)端口（如圖中的端口 1）的境像，這樣，所有從該端口輸出的信息流，都被復(fù)制到境像端口，由于境像端口和其他交換機(jī)端口之間的境像關(guān)系是動(dòng)態(tài)的，因此，連接在端口 2的探測(cè)器，可以捕獲從交換機(jī)任意端口輸出的信息流。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 系統(tǒng)結(jié)構(gòu) ? 探測(cè)器 1處于探測(cè)模式，需要采用相應(yīng)捕獲機(jī)制才能捕獲信息流，探測(cè)器 2處于轉(zhuǎn)發(fā)模式； ? 探測(cè)器 1只能使用釋放 TCP連接的反制動(dòng)作，探測(cè)器 2可以使用其他反制動(dòng)作； ? 為了安全起見，探測(cè)器和管理服務(wù)器用專用網(wǎng)絡(luò)實(shí)現(xiàn)互連。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 網(wǎng)絡(luò)入侵防御系統(tǒng) ? 系統(tǒng)結(jié)構(gòu)； ? 信息捕獲機(jī)制； ? 入侵檢測(cè)機(jī)制； ? 安全策略。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 入侵防御系統(tǒng)發(fā)展趨勢(shì) ? 融合到操作系統(tǒng)中 主機(jī)入侵防御系統(tǒng)的主要功能是監(jiān)測(cè)對(duì)主機(jī)資源的訪問過程，對(duì)訪問資源的合法性進(jìn)行判別，這是操作系統(tǒng)應(yīng)該集成的功能。 入侵防御系統(tǒng)工作過程 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 入侵防御系統(tǒng)的不足 ? 主機(jī)入侵防御系統(tǒng)是被動(dòng)防御，主動(dòng)防御是在攻擊信息到達(dá)主機(jī)前予以干預(yù)，并查出攻擊源，予以反制。 主機(jī)攻擊行為的最終目標(biāo)是非法訪問網(wǎng)絡(luò)資源，或者感染病毒，這些操作的實(shí)施一般都需要調(diào)用操作系統(tǒng)提供的服務(wù)，因此，首要任務(wù)是對(duì)調(diào)用操作系統(tǒng)服務(wù)的請(qǐng)求進(jìn)行檢測(cè)，根據(jù)調(diào)用發(fā)起進(jìn)程，調(diào)用進(jìn)程所屬用戶，需要訪問的主機(jī)資源等信息確定調(diào)用的合法性。 記錄下有關(guān)異常信息流的一切信息，以便對(duì)其進(jìn)行分析。 反制是丟棄與異常信息具有相同源 IP地址，或者相同目的 IP地址的 IP分組，釋放傳輸異常信息的 TCP連接等。 得到流經(jīng)關(guān)鍵網(wǎng)段的信息流。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 入侵防御系統(tǒng)分類 ? 入侵防御系統(tǒng)分為主機(jī)入侵防御系統(tǒng)和網(wǎng)絡(luò)入侵防御系統(tǒng)； ? 主機(jī)入侵防御系統(tǒng)檢測(cè)進(jìn)入主機(jī)的信息流、監(jiān)測(cè)對(duì)主機(jī)資源的訪問過程，以此發(fā)現(xiàn)攻擊行為、管制流出主機(jī)的信息流，保護(hù)主機(jī)資源； ? 網(wǎng)絡(luò)入侵防御系統(tǒng)通過檢測(cè)流經(jīng)關(guān)鍵網(wǎng)段的信息流，發(fā)現(xiàn)攻擊行為，實(shí)施反制過程，以此保護(hù)重要網(wǎng)絡(luò)資源； ? 主機(jī)入侵防御系統(tǒng)和網(wǎng)絡(luò)入侵防御系統(tǒng)相輔相成，構(gòu)成有機(jī)的防御體系。 入侵防御系統(tǒng)和防火墻是抵御黑客攻擊的兩面盾牌，防火墻通過控制信息在各個(gè)網(wǎng)絡(luò)間的傳輸，防止攻擊信息到達(dá)攻擊目標(biāo)。由于攻擊手段的多樣性和不斷翻新，采用單一技術(shù)和手段是無法檢測(cè)出所有攻擊行為的，因此，入侵防御系統(tǒng)也是多個(gè)系統(tǒng)的有機(jī)集合，每一個(gè)系統(tǒng)各司其職。 2022工程兵工程學(xué)院 計(jì)算機(jī)教研室 計(jì)算機(jī)網(wǎng)絡(luò)安全 第八章 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 第 8章 入侵防御系統(tǒng) ?入侵防御系統(tǒng)概述； ?網(wǎng)絡(luò)入侵防御系統(tǒng)； ?主機(jī)入侵防御系統(tǒng)。 ? 安全控制器能夠?qū)?dòng)態(tài)安全訪問控制策略傳輸給防火墻； ? 用戶和安全控制器之間通過 HTTPS安全傳輸信息； ? 安全控制器和防火墻之間通過專用安全傳輸協(xié)議安全傳輸信息。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 應(yīng)用實(shí)例 實(shí)現(xiàn)遠(yuǎn)程用戶動(dòng)態(tài)接入的關(guān)鍵如下： ? 用戶和安全控制器之間安全傳輸認(rèn)證信息、安全狀態(tài)和隧道配置信息。 階段 1 階段 2 階段 3 階段 4 用戶和安全控制器之間通過 HTTPS交換信息過程 。 教師 A 發(fā)送證書 鏈，主密鑰和用于 證實(shí)證書的信息。 實(shí)現(xiàn)原理 挑戰(zhàn)接入（ E A P 請(qǐng)求（ V L A N 2 ）） E A PO L （ E A P 響應(yīng)（就緒）） E A PO L （ E A P 請(qǐng)求（ V L A N 2 ）） E A PO L （ E A P 響應(yīng)（ C H A P ）） E A PO L （ E A P 請(qǐng)求（ C H A P ）） E A PO L （ E A P 請(qǐng)求（身份）） E A PO L （ E A P 響應(yīng)（教師 A ）） 請(qǐng)求接入（ E A P 響應(yīng)（ C H A P ）） 請(qǐng)求接入（ E A P 響應(yīng)（教師 A ）） 挑戰(zhàn)接入（ E A P 請(qǐng)求（ C H A P ）） 教師 A 接入交換機(jī) （認(rèn)證者） 安全控制器 E A PO L （ E A P 成功） 允許接入 E A PO L S t art 請(qǐng)求接入（ E A P 響應(yīng)（正常）） E A PO L（ E A P 響應(yīng)（正常）） E A PO L （ E A P 請(qǐng)求（安全狀態(tài)）） 挑戰(zhàn)接入（ E A P 請(qǐng)求（安全狀態(tài)）） 請(qǐng)求接入（ E A P 響應(yīng)（就緒）） 請(qǐng)求接入（ E A P 響應(yīng)（正常）） 挑戰(zhàn)接入（ E A P 請(qǐng)求 （安全狀態(tài)）） E A PO L （ E A P 響應(yīng)（正常）） E A PO L（ E A P 請(qǐng)求（安全狀態(tài)）） ┇ ┇ ┇ E A PO L L o go f f 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 應(yīng)用實(shí)例 ? 安全控制器必須完成對(duì)用戶的身份認(rèn)證，并將用戶終端的 IP地址作為用戶的身份標(biāo)識(shí)符，為了防止源 IP地址欺騙攻擊，要求建立用戶和防火墻之間隧道模式的安全關(guān)聯(lián)； ? 防火墻必須動(dòng)態(tài)配置允許 IP地址為 制策略； ? 安全控制器和用戶之間通過 HTTPS交換信息，安全控制器和防火墻之間通過專用安全傳輸協(xié)議信息。 實(shí)現(xiàn)原理 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 實(shí)現(xiàn)基于用戶和動(dòng)態(tài)設(shè)置訪問權(quán)限的關(guān)鍵一是認(rèn)證用戶身份、獲知終端安全狀態(tài)。 安全控制器，一是建立完整的訪問控制策略庫，二是接收 UAC代理提供的用戶信息和終端狀態(tài)，三是根據(jù)訪問策略庫和用戶信息及終端狀態(tài)制定對(duì)應(yīng)的訪問控制策略，并將其傳輸給策略執(zhí)行部件，如防火墻。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 系統(tǒng)結(jié)構(gòu) 系統(tǒng)結(jié)構(gòu) .0/ 24 .1 1 2 3 非信任區(qū) .254 .1 L A N 2 非軍事區(qū) .5 W eb 服務(wù)器 Int er .6 郵件服務(wù)器 .2 防火墻 .1 .1 .1 W eb 服務(wù)器 .2 FT P 服務(wù)器 安全控制器 .2 U A C 代理 UAC代理，運(yùn)行于終端的軟件，一是通過交互方式獲得用戶信息，并向安全控制器提供用戶信息，二是向安全控制器提供終端狀態(tài)及用戶為終端設(shè)置的訪問控制策略。 堡壘主機(jī)的功能特性 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 統(tǒng)一訪問控制 ?系統(tǒng)結(jié)構(gòu)； ?實(shí)現(xiàn)原理； ?應(yīng)用實(shí)例。 網(wǎng)絡(luò)結(jié)構(gòu) 網(wǎng)段 2 內(nèi)部無狀態(tài) 分組過濾器 1 2 Int er 堡壘主機(jī) .1 無狀態(tài)分組過濾器 1 2 網(wǎng)段 1 雙無狀態(tài)分組過濾器結(jié)構(gòu) 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 堡壘主機(jī)的工作機(jī)制 ? 無狀態(tài)分組過濾器保證外網(wǎng)終端只能與堡壘主機(jī)通信； ? 外網(wǎng)終端和堡壘主機(jī)建立 TCP連接后，由堡壘主機(jī)完成對(duì)外網(wǎng)終端的身份認(rèn)證和訪問權(quán)限鑒別； ? 如果訪問權(quán)限滿足外網(wǎng)終端提出的資源訪問要求，和 Web服務(wù)器建立 TCP連接； ? 堡壘主機(jī)一直監(jiān)測(cè)外網(wǎng)終端和 Web服務(wù)器之間的請(qǐng)求、響應(yīng)過程和傳輸內(nèi)容。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 雙穴指堡壘主機(jī)用一個(gè)接口連接內(nèi)部網(wǎng)絡(luò)，用另一個(gè)接口連接無狀態(tài)分組過濾器，并通過無狀態(tài)分組過濾器連接外部網(wǎng)絡(luò)； ? 這種網(wǎng)絡(luò)結(jié)構(gòu)保證外部網(wǎng)絡(luò)必須通過堡壘主機(jī)才能訪問內(nèi)部網(wǎng)絡(luò)資源。 Int er