【正文】 名。 (3)VPN的工作流程 ? 內(nèi)部網(wǎng)主機發(fā)送明文信息到連接公共網(wǎng)絡的 VPN 設備。 (2)VPN的好處 VPN提供了安全、可靠的 Inter訪問通道，為企業(yè) 進一步發(fā)展提供了可靠的技術保障。 (1)VPN的基本概念 ? 采用 加密 和 認證 技術 ， 利用 公共通信 網(wǎng)絡 設施 的一部分來發(fā)送專用信息 ， 為相互通信的節(jié)點建立一個相對封閉 、 邏輯的專用網(wǎng)絡； ? 通常用于大型組織跨地域的各個機構之間的聯(lián)網(wǎng)信息交換 ， 或流動工作人員與總部之間的通信； ? 只允許特定利益集團內(nèi)建立對等連接 ， 保證在網(wǎng)絡中傳輸?shù)臄?shù)據(jù)的保密性和安全性 。 這些節(jié)點之間采用了專用加密和認證技術來相互通信 ， 好像用專線連接起來一樣 。 ? VPN是指利用公共網(wǎng)絡的一部分來發(fā)送專用信息 ， 形成邏輯上的專用網(wǎng)絡 。 ? 安全掃描工具管理器 – 提供良好的用戶界面，實現(xiàn)掃描管理和配置。 ? 安全漏洞掃描引擎 – 與安全漏洞數(shù)據(jù)庫相對獨立，可對數(shù)據(jù)庫中記錄的各種漏洞進行掃描； – 支持多種 OS，以代理性試運行于系統(tǒng)中不同探測點，受到管理器的控制； – 實現(xiàn)多個掃描過程的調(diào)度，保證迅速準確地完成掃描檢測，減少資源占用； – 有準確、清晰的掃描結果輸出，便于分析和后續(xù)處理。 掃描工具管理器提供良好的用戶界面，實現(xiàn)掃描管理和配置。 ?安全漏洞掃描引擎 ； 利用漏洞數(shù)據(jù)庫實現(xiàn)安全漏洞掃描的掃描器。 ?采用網(wǎng)絡探測方式的安全評估系統(tǒng) ； 模擬入侵者所采用的行為，從系統(tǒng)的外圍進行掃描試圖發(fā)現(xiàn)網(wǎng)絡的漏洞 ?采用管理者 /代理方式的安全評估系統(tǒng) 。 (1)漏洞掃描的基本實現(xiàn)方法 現(xiàn)有的漏洞掃描技術采用的基本實現(xiàn)方法： ?基于單機系統(tǒng)的安全評估系統(tǒng) ； 早期采用的一種安全評估軟件，安全檢測人員針對每臺機器運行評估軟件進行獨立的檢測。找到弱點并加以保護是保護網(wǎng)絡安全的重要使命之一。 ? 目標可以是工作站、服務器、交換機、數(shù)據(jù)庫應用等各種對象。 漏洞掃描： 對網(wǎng)絡安全性進行風險評估的一項重要技術，也是網(wǎng)絡安全防御中關鍵技術。 總之 IDS只有在基礎理論研究和工程項目開發(fā)多個層 面上同時發(fā)展，才能全面提高整體檢測效率。 ? 入侵響應技術 。 ?誤報 是指被入侵檢測系統(tǒng)測報警的是正常及合法網(wǎng)絡和計算機的訪問 ?漏報 :對入侵行為沒有報警 ?特征庫的更新 ?速度 :基于網(wǎng)絡的的 IDS難網(wǎng)絡以跟上網(wǎng)絡速度的發(fā)展 (5)入侵檢測系統(tǒng)面臨的挑戰(zhàn) (6)入侵檢測的發(fā)展趨勢 隨著對網(wǎng)絡系統(tǒng)的攻擊越來越普遍，攻擊手法日趨復雜。 – 主要難點： ? 各部件間的協(xié)作； ? 安全攻擊的相關性分析。 主要信息分析技術 (3) ? 分布式入侵檢測 – 針對分布式攻擊的入侵檢測技術。預測模式生成技術的問題在于未被這些規(guī)則描述的入侵腳本將不會被標志為入侵。 主要信息分析技術 (2) ? 預測模式生成技術 – 試圖基于已經(jīng)發(fā)生的事件來預測未來事件，如果一個與預測統(tǒng)計概率偏差較大的事件發(fā)生，則被標志為攻擊。 主要信息分析技術 (1) ? 統(tǒng)計分析 – 基于異常的檢測方式； – 通過統(tǒng)計方式總結系統(tǒng)的正常行為模式； – 利用若干統(tǒng)計變量來刻畫當前系統(tǒng)的狀態(tài) ， 通過統(tǒng)計變量與正常行為模式的偏差來檢測可能的入侵行為 。 ? 模式匹配 – 是當前應用中最基本 、 最有效的檢測方法； – 以攻擊行為數(shù)據(jù)流中的特征字符串作為檢測的關鍵字 ， 其攻擊行為模式數(shù)據(jù)庫中記錄各種攻擊行為的特征串； – 檢查數(shù)據(jù)流中是否有與模式數(shù)據(jù)庫中特征串相匹配的內(nèi)容 ， 的每種攻擊行為產(chǎn)生中 ， 一般都有特定的； – 不需保存狀態(tài)信息 ， 速度快 ， 但只能檢測過程較簡單的攻擊 。 信息分析技術 ? 基于誤用 (Anomalybased) 的分析方法 – 試圖在網(wǎng)絡或主機的數(shù)據(jù)流中發(fā)現(xiàn)已知的攻擊模式 （ pattern） ； – 可以直接識別攻擊過程 ， 誤報率低； – 只能檢測已知的攻擊 ， 對新的攻擊模式無能為力 ， 需要不斷地更新模式庫 （ Pattern Database） ； – 狀態(tài)分析 、 模式匹配 、 一致性分析 。 ? 基于主機的實時入侵檢測系統(tǒng)： – 能獲取高層信息 ， 理解動作的含義； – 環(huán)境適應性 、 可移植性方面問題較多 。 修改入侵檢測系統(tǒng)或目標系統(tǒng)，如終止進程、切斷攻擊者的網(wǎng)絡連接，或更改防火墻配置等。 ?響應 : 將分析結果記錄在日志文件中，并產(chǎn)生相應的報告。 ?信息收集 :入侵檢測在很大程度上依賴于收集信息的可靠性、正確性和完備性。 ?狀態(tài)轉移分析技術； 根據(jù)當前系統(tǒng)狀態(tài)、網(wǎng)絡狀態(tài)和鏈路狀態(tài)的變化情況區(qū)分入侵行為。 ?預測模式生成技術； 根據(jù)已發(fā)生事件預測未來事件。 這種 IDS監(jiān)控一個應用內(nèi)發(fā)生的事件，通常通過 分析應用的日志文件檢測攻擊。 （ 2） 基于主機的 IDS； 將 IDS運行在被監(jiān)測的系統(tǒng)之上，用以監(jiān)測系統(tǒng) 上正在運行的進程是否合法。 IDS幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎結構的完整性。 ? 入侵檢測是系統(tǒng)動態(tài)安全的核心技術之一。 為什么需要入侵檢測系統(tǒng) ? 防火墻和操作系統(tǒng)加固技術等都是靜態(tài)安全防御技術，對網(wǎng)絡環(huán)境下日新月異的攻擊手段缺乏主動的響應，不能提供足夠的安全性。 入侵檢測 Intrusion Detection： 對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證系統(tǒng)資源的機密性、完整性和可用性 。 – 外部 路由器 只允許外部流量進入，內(nèi)部 路由器 只允許內(nèi)部流量進入。 ? 屏蔽子網(wǎng)防火墻使用了兩個屏蔽路由器，消除了內(nèi)部網(wǎng)絡的單一侵入點，增強了安全性。 ? 周邊網(wǎng)即：非軍事化區(qū)，提供附加的保護層，入侵者如侵入周邊網(wǎng)，可防止監(jiān)聽（ sniffer）內(nèi)部網(wǎng)的通信（竊取密碼），不會損傷內(nèi)部網(wǎng)的完整性。如堡壘主機被侵，內(nèi)部網(wǎng)絡的主機失去任何的安全保護。 – 堡壘主機需要保持更高的安全等級。 配置方案二： 單宿主堡壘主機 ? 屏蔽主機方案 ? 只允許堡壘主機與外界直接通訊 ? 優(yōu)點：兩層保護：包過濾 +應用層網(wǎng)關；靈活配置 ? 缺點：一旦包過濾路由器被攻破，則內(nèi)部網(wǎng)絡被暴露 配置方案三： 雙宿主堡壘主機 ? 屏蔽主機方案 ? 從物理上把內(nèi)部網(wǎng)絡和 Inter隔開，必須通過兩層屏障 ? 優(yōu)點：兩層保護：包過濾 +應用層網(wǎng)關；配置靈活 屏蔽主機防火墻 ? 主要的安全機制由屏蔽路由器來提供。 ? 提供高級別的安全控制。 ? 所有的流量都通過主機 ? 優(yōu)點：簡單 雙宿主主機結構防火墻 ? 不允許兩網(wǎng)之間的直接發(fā)送功能。 (6)防火墻的配置 ? 幾個概念 – 雙宿主主機 (dualhomed host)： 至少有兩個網(wǎng)絡接口的通用計算機系統(tǒng) – 堡壘主機 (Bastion Host)： 對外部網(wǎng)絡暴露，同時也是內(nèi)部網(wǎng)絡用戶的主要連接點 – 非軍事區(qū) DMZ(Demilitarized Zone)或者?；饏^(qū)：在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間增加的一個子網(wǎng) 防火墻的典型配置方案 ? 雙宿主主機方案 ? 屏蔽主機方案 – 單宿主堡壘主機 – 雙宿主堡壘主機 ? 屏蔽子網(wǎng)方案 配置方案一：雙宿主主機方案 ? 核心是具有雙宿主功能的主機充當路由器。 ? 難于管理和配置 。 ? 防火墻不能防止傳送己感染病毒的軟件或文件 。如：防火墻無法禁止變節(jié)者或內(nèi)部間諜將敏感數(shù)據(jù)拷貝到軟盤上。 SOCKS系統(tǒng) 電路層網(wǎng)關 電路層網(wǎng)關的優(yōu)缺點 ? 優(yōu)點 – 效率高 – 精細控制，可以在應用層上授權 – 為一般的應用提供了一個框架 ? 缺點 – 客戶程序需要修改 ? 動態(tài)鏈接庫 ?應用代理 是運行于防火墻主機上的一種應用程序 ，它取代用戶和外部網(wǎng)絡的直接通信 。 ? 也稱為 通用代理 （統(tǒng)一的代理應用程序），各協(xié)議可透明地通過通用代理防火墻。 ? 它在兩個主機首次建立 TCP連接時創(chuàng)立一個電子屏障，建立兩個 TCP連接。 缺點：只能進行初步的安全控制；沒有用戶的訪 問記錄；設置過濾規(guī)則困難 (4)防火墻的實現(xiàn)技術 — 包 過濾技術 包過濾路由器 ? 基本思想很簡單 – 對于每個進來的包，適用一組規(guī)則，然后決定轉發(fā)或者丟棄該包 – 往往配置成雙向的 ? 如何過濾 – 過濾的規(guī)則以 IP和傳輸層的頭中的域 (字段 )為基礎，包括源和目標 IP地址、 IP協(xié)議域、源和目標端口號 – 過濾器往往建立一組規(guī)則，根據(jù) IP包是否匹配規(guī)則中指定的條件來作出決定。 防火墻 (Firewall) ? 防火墻的基本設計目標 – 對于一個網(wǎng)絡來說，所有通過 “ 內(nèi)部 ” 和 “ 外部 ” 的網(wǎng)絡流量都要經(jīng)過防火墻 – 通過一些安全策略，來保證只有經(jīng)過授權的流量才可以通過防火墻 – 防火墻本身必須建立在安全操作系統(tǒng)的基礎上 ? 防火墻的控制能力 – 服務控制 ，確定哪些服務可以被訪問 – 方向控制 ，對于特定的服務，可以確定允許哪個方向能夠通過防火墻 – 用戶控制 ，根據(jù)用戶來控制對服務的訪問 – 行為控制 ，控制一個特定的服務的行為 防火墻能為我們做什么 ? 定義一個必經(jīng)之點 – 擋住未經(jīng)授權的訪問流量 – 禁止具有脆弱性的服務帶來危害 – 實施保護，以避免各種 IP欺騙和路由攻擊 ? 防火墻提供了一個監(jiān)視各種安全事件的位置，因此可以在防火墻上實現(xiàn)審計和報警 ? 對于有些 Inter功能，防火墻也可以是一個理想的平臺，比地址轉換、 Inter日志、審計，甚至計費功能 ? 防火墻可以作為 IPSec (Inter 協(xié)議安全性 )的實現(xiàn)平臺 ? 提供安全決策的集中控制點 ， 使所有進出網(wǎng)絡的信息都通過這個檢查點 ， 形成信息進出網(wǎng)絡的一道關口； ? 針對不同用戶的不同需求 ， 強制實施安全策略 ， 起到“ 交通警察 ” 的作用； ? 對用戶的操作和信息進行記錄和審計 ， 分析網(wǎng)絡侵襲和攻擊； ? 防止機密信息的擴散 (功能有限如防內(nèi)部撥號 ) ? 限制內(nèi)部用戶訪問特殊站點 ? 屏蔽內(nèi)部網(wǎng)的結構 (2)防火墻的功能 (3)防火墻的 類型 OSI模型 防火墻 應用層 網(wǎng)關級 表示層 會話層