【正文】 費用低 靈活性好 簡單的網(wǎng)絡(luò)管理 隧道的拓撲結(jié)構(gòu) VPN技術(shù)的實際應(yīng)用 在實際應(yīng)用中 VPN 技術(shù)針對不同的用戶有不同的 解決方案，用戶可以根據(jù)自己的情況進行選擇。 目前 VPN 主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是： （ 1）隧道技術(shù)（ Tunneling）、 （ 2）加解密技術(shù)（ Encryption amp。 入侵檢測系統(tǒng)的工作流程 1．信息收集 2．信號分析 3．實時記錄、報警或有限度反擊 PKI 與證書服務(wù)應(yīng)用 PKI的概述 Public Key Infrastructure，公鑰基礎(chǔ)結(jié)構(gòu) PKI 由 公鑰加密技術(shù) 、 數(shù)字證書 、 證書頒發(fā)機構(gòu)（ CA） ， 注冊機構(gòu)（ RA）等共同組成 數(shù)字證書用于用戶的身份驗證 CA 是一個可信任的實體，負責(zé)發(fā)布、更新和吊銷證書 RA 接受用戶的請求等功能 PKI 體系能夠?qū)崿F(xiàn)的功能有 身份認證 數(shù)據(jù)完整性 數(shù)據(jù)機密性 操作的不可否認性 公鑰加密技術(shù) 公鑰（ Public Key）和私鑰（ Private Key） 1. 密鑰是成對生成的，這兩個密鑰互不相同，兩個密鑰可以互相加密和解密 2. 不能根據(jù)一個密鑰來推算得出另一個密鑰 3. 公鑰對 外公開；私鑰只有私鑰的持有人才知道 4. 私鑰應(yīng)該由密鑰的持有人妥善保管 數(shù)據(jù)加密 1. 發(fā)送方使用接收方的 公鑰 加密數(shù)據(jù) 2. 當接收方使用自己的 私鑰 解密這些數(shù)據(jù) 數(shù)據(jù)加密能保證所發(fā)送數(shù)據(jù)的機密性 數(shù)字簽名 ? 發(fā)送方使用自己的 私鑰 加密 ? 接收方使用發(fā)送方的 公鑰 解密 數(shù)字簽名保證 身份驗證、數(shù)據(jù)的完整性 、操作的不可否認性 證書 1. PKI 系統(tǒng)中的數(shù)字證書簡稱證書 2. 它把公鑰和擁有對應(yīng)私鑰的主體的標識信息（如名稱、電子郵件、身份證號等）捆綁在一起 3. 證書的主體可以是用戶、計算機、服務(wù)等 4. 證書可以用于很多方面 5. Web 用戶身份 驗證 6. Web 服務(wù)器身份驗證 7. 安全電子郵件 8. Inter 協(xié)議安全 （ IPSec） 數(shù)字證書是由權(quán)威公正的第三方機構(gòu)即 CA簽發(fā)的 證書包含以下信息 1. 使用者的公鑰值 2. 使用者標識信息（如名稱和電子郵件地址） 3. 有效期（證書的有效時間） 4. 頒發(fā)者標識信息 5. 頒發(fā)者的數(shù)字簽名 CA的作用 1. CA 的核心功能就是頒發(fā)和管理數(shù)字證書 2. 具體描述如下 ? 處理證書申請 ? 鑒定申請者是否有資格接收證書 ? 證書的發(fā)放 ? 證書的更新 ? 接收最終用戶數(shù)字證書的查詢、撤銷 ? 產(chǎn)生和發(fā)布證書吊銷列表（ CRL） ? 數(shù)字證書的歸檔 ? 密鑰歸檔 ? 歷史數(shù) 據(jù)歸檔 證書的發(fā)放過程 1. 證書申請 用戶根據(jù)個人信息填好申請證書的信息并提交證書申請信息 2. RA 確認用戶 在企業(yè)內(nèi)部網(wǎng)中，一般使用手工驗證的方式，這樣更能保證用戶信息的安全性和真實性 3. 證書策略處理 如果驗證請求成功，那么，系統(tǒng)指定的策略就被運用到這個請求上，比如名稱的約束、密鑰長度的約束等 4. RA 提交用戶申請信息到 CA RA 用自己私鑰對用戶申請信息簽名，保證用戶申請信息是 RA提交給 CA 的 5. CA 為用戶生成密鑰對，并用 CA 的簽名密鑰對用戶的公鑰和用戶信息 ID 進行簽名，生成電子證書 這樣， CA 就將用戶的信息和公鑰捆綁 在一起了，然后， CA將用戶的數(shù)字證書和用戶的公用密鑰公布到目錄中 6 CA 將電子證書傳送給批準該用戶的 RA 7 RA 將電子證書傳送給用戶（或者用戶主動取回） 8 用戶驗證 CA 頒發(fā)的證書 確保自己的信息在簽名過程中沒有被篡改，而且通過 CA的公鑰驗證這個證書確實由所信任的 CA 機構(gòu)頒發(fā) 在 Web 服務(wù)器上設(shè)置 SSL 1. 生成證書申請 2. 提交證書申請 3. 頒發(fā)證書 4. 在 Web 服務(wù)器上安裝證書 5. 啟用安全通道 （ SSL） 6. 使用 HTTPS 協(xié)議訪問網(wǎng)站 虛擬專用網(wǎng)（ VPN）技術(shù) VPN 的英文全稱是 “ Virtual Private Network” ，翻譯過來就是 “ 虛擬專用網(wǎng)絡(luò) ” 。 而基于主機的 IDS 無法看到負載，因此也無法識別嵌入式的負載攻擊。這兩種方式都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。 以上兩種實現(xiàn)方式的集成化是 IDS 的發(fā)展趨勢。 （ 4）確定攻擊是否成功。 （ 2）近實時的檢測和應(yīng)答。如果匹配的話，檢測系統(tǒng)就向管理員發(fā)出入侵報警并且發(fā)出采取相應(yīng)的行動。 基 于主機的 IDS 一般監(jiān)視 Windows NT 上的系統(tǒng)、事件、安全日志以及 UNIX 環(huán)境中的 syslog 文件。 （ 5）操作系統(tǒng)獨立。從而將入侵活動對系統(tǒng)的破壞減到最低。 （ 2）攻擊者消除證據(jù)很困難。一旦檢測到攻擊， IDS 應(yīng)答模塊通過通知、報警以及中斷連接等方式來對攻擊做出反應(yīng)。 目前，國際頂尖的入侵檢測系統(tǒng) IDS 主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)。這種檢測方式的核心在 于如何定義所謂的 “ 正常 ” 情況。模式發(fā)現(xiàn)的優(yōu)點是誤報少，局限是它只能發(fā)現(xiàn)已知的攻擊，對未知的攻擊無能為力。對于已知的攻擊，它可以詳細、準確的報告出攻擊類型，而且知識庫必須不斷更新。 入侵檢測系統(tǒng)技術(shù) 入侵檢測技術(shù)通過對入侵行為的過程與特征的研究，使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應(yīng)。許多情況下，可以與防火墻聯(lián)動，可以記錄和禁止網(wǎng)絡(luò)活動，所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。 入侵檢測系統(tǒng)是一個典型的 “ 窺探設(shè)備 ” 。 （ 1）防火墻自身是否安全 （ 2）系統(tǒng)是否穩(wěn)定 （ 3）是否高效 （ 4）是否可靠 （ 5）功能是否靈活 （ 6）配置是否方便 （ 7）管理是否簡便 （ 8）是否可以抵抗拒絕服 務(wù)攻擊 （ 9）是否可以針對用戶身份進行過濾 （ 10）是否具有可擴展、可升級性 部署 IDS IDS的概念 ? 對系統(tǒng)的運行狀態(tài)進行監(jiān)視 ? 發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果 ? 保證系統(tǒng)資源的機密性、完整性和可用性 ? 是防火墻的合理補充 ? 第二道安全閘門 入侵檢測系統(tǒng)： Intrusion Detection System, 簡稱 IDS。顯然，硬件防火墻總體性能上來說是優(yōu)于軟件防火墻的，但其價格也要高些。而軟件防火墻一般是基于某個操作系統(tǒng)平臺開發(fā)的，直接在計算機上進 行軟件的安裝和配置。從功能上看，硬件防火墻內(nèi)建安全軟件，使用專屬或強化的操作系統(tǒng)，管理方便，更換容易，軟硬件搭配較固定。 防火墻的選購 目前國內(nèi)外防火墻產(chǎn)品品種繁多、特點各異，有硬件的防火墻，也有軟件防火墻。 常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊。 目前業(yè)界很多優(yōu)秀的防火墻 產(chǎn)品采用了狀態(tài)檢測型的體系結(jié)構(gòu)，比如 Check Point 的 Firewall1， Cisco的 PIX防火墻， NetScreen防火墻等等。 前面介紹的簡單包過濾只是一種靜態(tài)包過濾，靜態(tài)包過濾將每個數(shù)據(jù)包單獨分析，固定根據(jù)其包頭信息（如源地址、目的地址、端口號等）進行匹配，這種方法在遇到利用動態(tài)端口應(yīng)用協(xié)議時會發(fā)生困難。因而提供了更完整的對傳輸層的控制能力。在 IT 領(lǐng)域中，新的應(yīng)用和新的技術(shù)不斷出現(xiàn)，甚至每一天都有新的應(yīng)用方式和新的協(xié)議出現(xiàn)，代理型防火墻很難適應(yīng)這種局面，使得在一些重要的領(lǐng)域和行業(yè)的核心業(yè)務(wù)應(yīng)用中，代理型防火墻被漸漸地被拋棄 3．狀態(tài)檢測包過濾防火墻 狀態(tài)檢測包過濾防火墻是在簡單包過濾上的功能擴展，最早是 Check Point公司提出的，現(xiàn)在已經(jīng)成為防火墻的主流技術(shù)。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問者任何時候都不能與服務(wù)器建立直接的 TCP 連接，應(yīng)用層的協(xié)議會話過程必須符合代理的安全策略要求。 所謂網(wǎng)關(guān)是指在兩個設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。 單純簡單包過濾的產(chǎn)品由于其保護的不完善，在 1999年以前國外的網(wǎng)絡(luò)防火墻市場上就已經(jīng)不存在了。 1．簡單包過濾防火墻 包過濾防火墻工作在網(wǎng)絡(luò)層，對數(shù)據(jù)包的源及目的 IP 具有識別和控制作用，對于傳輸層，只能識別數(shù)據(jù)包是 TCP 還是 UDP 及所用的端口信息。 防火墻的主要功能 1．防火墻是網(wǎng)絡(luò)安全的屏障 2．防火墻能控制對特殊站點的訪問 3．對網(wǎng)絡(luò)存取訪問進行 記錄和統(tǒng)計 路由器 Inter 防火墻 交換機 用戶 內(nèi)部網(wǎng) 外部網(wǎng) 網(wǎng)絡(luò)管理平臺 內(nèi)網(wǎng)服務(wù)器群 外網(wǎng)服務(wù)器群 4．防止內(nèi)部網(wǎng)絡(luò)信息的外泄 5．地址轉(zhuǎn)換 (NAT) 防火墻技術(shù) 目前在實際應(yīng)用中所使用的防火墻產(chǎn)品有很多 ,但從其采用的技術(shù)來看主要包括兩類 :包過濾技術(shù)和應(yīng)用代理技術(shù) ,實際的防火墻產(chǎn)品往往由這兩種技術(shù)的演變擴充或復(fù)合而形成的。 它是一種設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 1． 通過獲取口令，進行口令入侵 2．放置特洛伊木馬程序進行攻擊 3．拒絕服務(wù)攻擊 4．電子郵件攻擊 5．采取欺騙技術(shù)進行攻擊 6．尋找系統(tǒng)漏洞，入侵系統(tǒng) 7．利用緩沖區(qū)溢出攻擊系統(tǒng) 網(wǎng)絡(luò)安全解決方案 路由器安全管理 針對路由器攻擊類型 ? 直接侵入到系統(tǒng)內(nèi)部 ? 遠程攻擊使路由器崩潰 或是運行效率顯著下降 路由器支持的配置方式 ? TELNET ? TFTP ? FTP ? HTTP ? SNMP ? Console ? Aux 面臨的威脅 ? Tel信息為明文 ? HTTP 存在漏洞 ? Console口 ? SNMP 協(xié)議缺省設(shè)置 設(shè)置遠程登錄控制 Router(config) line vty 0 4 Router(configline) login Router(configline) password be Router(configline) exectimeout 10 設(shè)置控制臺與 AUX登錄 控制 Router(config) line console 0 Router(configline) transport input none Router(configline) password be Router(config) line aux 0 Router(configline) transport input none Router(configline) no exec 應(yīng)用強密碼策略 Router(config)service passwordencryption Router(config)enable secret be 關(guān)閉基于 Web 的配置 Router(config)no ip server 利用 ACL 禁止 Ping相關(guān)接口 Router(config) accesslist 101 deny icmp any echo Router(config) accesslist 101 permit any any Router(configif) ip access group 101 out 關(guān)閉 CDP Router(config) no cdp run Router(configif) no cdp enable 禁止不必要的服務(wù) Router(config) no ip domainlookup Router(config) no ip bootp server Router(config) no snmpserver Router(config) no snmpserver munity public RO Router(config) no snmpserver munity admin RW 查看配置信息 Router(config) show configuration Router(config) show runningconfig 交換機安全管理 ? 及時下載新 IOS ? 使用管理訪問控制系統(tǒng) ? 禁用未使用的端口 ? 關(guān)閉危險服務(wù) ? 利用 VLAN 加強內(nèi)部網(wǎng)絡(luò)安全 操作系統(tǒng)安全加固 ? 主機物理安全 ? 帳戶安全 ? 文件系統(tǒng)的安全 ? 停止多余的服務(wù) ? 系統(tǒng)異常檢測 ? Windows 日志維護 Windows安全 1. 關(guān)閉不必要的服務(wù) ? Remote Registry Service ? Messenger