【正文】 或闖入的企圖 ” 。 入侵監(jiān)測(cè)系統(tǒng)處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)。它們可以和防火墻和路由器配合工作。 入侵檢測(cè)系統(tǒng)從分析方式上主要可分為兩種： （ 1）模式發(fā)現(xiàn)技術(shù)（模式匹配） （ 2）異常發(fā)現(xiàn)技術(shù)（異常檢測(cè)） 模式發(fā)現(xiàn)技術(shù) 的核心是維護(hù)一個(gè)知識(shí)庫(kù)。對(duì)所有已知入侵行為和手段（及其變種）都能夠表達(dá)為一種模式或特征，所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)，把真正的入侵與正常行為區(qū)分開(kāi)來(lái)。 異常發(fā)現(xiàn)技術(shù) 先定義一組系統(tǒng) “ 正常 ” 情況的數(shù)值，如 CPU 利用率、內(nèi)存利用率、文件校驗(yàn)和等（這類(lèi)數(shù)據(jù)可以人為定義，也可以通過(guò)觀察系統(tǒng)、并用統(tǒng)計(jì)的辦法得出），然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的 “ 正常 ” 情況比較，得出是否有被攻擊的跡象。 異常發(fā)現(xiàn)技術(shù)的局限是并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的 “ 正常 ” 標(biāo)準(zhǔn)難于計(jì)算和更新，并無(wú)法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺(jué)的攻擊。 IDS一般從實(shí)現(xiàn)方式上分為兩種： （ 1）基于主機(jī)的 IDS （ 2）基于網(wǎng)絡(luò)的 IDS 基于網(wǎng)絡(luò)的 IDS 使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源，一般利用網(wǎng)絡(luò)適配器（探測(cè)器） 來(lái)實(shí)時(shí)監(jiān)視和分析所有通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ拧? 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)有： （ 1）成本低。 （ 3）實(shí)時(shí)檢測(cè)和應(yīng)答一旦發(fā)生惡意訪問(wèn)或攻擊，基于網(wǎng)絡(luò)的 IDS 檢測(cè)可以隨時(shí)發(fā)現(xiàn)它們，因此能夠更快地做出反應(yīng)。 （ 4）能夠檢測(cè)未成功的攻擊企圖?；诰W(wǎng)絡(luò)的 IDS 并不依賴(lài)主機(jī)的操作系統(tǒng)作為檢測(cè)資源，而基于主機(jī)的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用。一旦發(fā)現(xiàn)這些文件發(fā)生任何變化， IDS將比較新的日志記錄與攻擊簽名以發(fā)現(xiàn)它們是否匹配。 基于主機(jī)的 IDS 的主要優(yōu)勢(shì)有： （ 1）非常適用于加密和交換環(huán)境。 （ 3）不需要額外的硬件。 （ 5）監(jiān)測(cè)特定主機(jī)系統(tǒng)活動(dòng)。基于網(wǎng)絡(luò)和基于主機(jī)的 IDS 都 有各自的優(yōu)勢(shì)，兩者可以相互補(bǔ)充。 基于網(wǎng)絡(luò)的 IDS 可以研究負(fù)載的內(nèi)容，查找特定攻擊中使用的命令或語(yǔ)法，這類(lèi)攻擊可以被實(shí)時(shí)檢查包序列的 IDS 迅速識(shí)別。聯(lián)合使用基于主機(jī)和基于網(wǎng)絡(luò)這兩種方式能夠達(dá)到更好的檢測(cè)效果。 VPN 的核心是在公用網(wǎng)絡(luò)中 ,按照相同的策略和安全規(guī)則 , 建立的私有網(wǎng)絡(luò)連接 VPN安全技術(shù) 由于傳輸?shù)氖撬接行畔ⅲ?VPN 用戶對(duì)數(shù)據(jù)的安全性都比較關(guān)心。 Decryption）、 （ 3）密鑰管理技術(shù)（ Key Management）、 （ 4）使用者與設(shè)備 身份認(rèn)證技術(shù)（ Authentication）。這些解決方案主要分為二 種：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（ Access VPN）、 站點(diǎn)到站點(diǎn)的 VPN 遠(yuǎn)程訪問(wèn)的 VPN ? 移動(dòng)用戶或遠(yuǎn)程小辦公室通過(guò) Inter訪問(wèn)網(wǎng)絡(luò)中心 ? 連接單一的網(wǎng)絡(luò)設(shè)備 ? 客戶通常需要安裝 VPN客戶端軟件 站點(diǎn)到站點(diǎn)的 VPN ? 公司總部和其分支機(jī)構(gòu)、辦公室之間建立的 VPN ? 替代 了傳統(tǒng)的專(zhuān)線或分組交換 WAN連接 ? 它們形成了一個(gè)企業(yè)的內(nèi)部互聯(lián)網(wǎng)絡(luò) VPN的工作原理 VPN=加密＋隧道 安全隧道技術(shù) ? 為了在公網(wǎng)上傳輸私有數(shù)據(jù)而發(fā)展出來(lái)的 “ 信息封裝 ”（ Encapsulation）方式 ? 在 Inter 上傳輸?shù)募用軘?shù)據(jù)包中，只有 VPN 端口或網(wǎng)關(guān)的IP 地址暴露在外面 它又分二層和三層隧道 第二層隧道協(xié)議 ? 建立在點(diǎn)對(duì)點(diǎn)協(xié)議 PPP的基礎(chǔ)上 ? 先把各種網(wǎng)絡(luò)協(xié)議（ IP、 IPX 等）封裝到 PPP 幀中，再把整個(gè)數(shù)據(jù)幀裝入隧道協(xié)議 ? 適用于通過(guò) 公共電話交換網(wǎng)或者 ISDN 線路連接 VPN 第三層隧道協(xié)議 明文 明文 訪問(wèn)控制 報(bào)文加密 報(bào)文認(rèn)證 IP封裝 IP解封 報(bào)文認(rèn)證 報(bào)文解密 訪問(wèn)控制 IP隧道 公共 IP網(wǎng)絡(luò) ? 把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議 ? 在可擴(kuò)充性、安全性、可靠性方面優(yōu)于第二層隧道協(xié)議 信息加密技術(shù) ? 機(jī)密性 ? 對(duì)用戶數(shù)據(jù)提供安全保護(hù) ? 數(shù)據(jù)完整性 ? 確保消息在傳送過(guò)程中沒(méi)有被修改 ? 身份驗(yàn)證 ? 確保宣稱(chēng)已經(jīng)發(fā)送了消息的實(shí)體是真正發(fā)送消息的實(shí)體 加密算法 ? 對(duì)稱(chēng)加密 使用相通的密鑰（對(duì)稱(chēng)密鑰） ? DES算法 ? AES算法 ? IDEA 算法、 Blowfish 算法、 Skipjack算法 ? 非對(duì)稱(chēng)加密 使用不同的密鑰（非對(duì)稱(chēng)密鑰） ? RSA算法 ? PGP 公鑰加密和私鑰簽 名 公鑰加密： 用于數(shù)據(jù)保密；利用公鑰加密數(shù)據(jù)，私鑰解密數(shù)據(jù) 私鑰簽名： 用于數(shù)字簽名；發(fā)送者使用私鑰加密數(shù)據(jù)，接收者用公鑰解密數(shù)據(jù) IPsec ? IPSec（ IP Security）是 IETF 為保證在 Inter 上傳送數(shù)據(jù)的安全保密性，而制定的框架協(xié)議 ? 應(yīng)用在網(wǎng)絡(luò)層，保護(hù)和認(rèn)證用 IP 數(shù)據(jù)包 ? 是開(kāi)放的框架式協(xié)議，各算法之間相互獨(dú)立 ? 提供了信息的機(jī)密性、數(shù)據(jù)的完整性、用戶的驗(yàn)證和防重放保護(hù) ? 支持隧道模式和傳輸模式 隧道模式 ? IPsec 對(duì)整個(gè) IP 數(shù)據(jù)包進(jìn)行封裝和加密，隱蔽了源和目的 IP 地址 ? 從外部看不到數(shù)據(jù)包 的路由過(guò)程 傳輸模式 ? IPsec 只對(duì) IP 有效數(shù)據(jù)載荷進(jìn)行封裝和加密， IP 源和目的 IP 地址不加密傳送 ? 安全程度相對(duì)較低 ? IPSec 提供兩個(gè)安全協(xié)議 ? AH (Authentication Header) 認(rèn)證頭協(xié)議 1. 隧道中報(bào)文的數(shù)據(jù)源鑒別 2. 數(shù)據(jù)的完整性保護(hù) 3. 對(duì)每組 IP 包進(jìn)行認(rèn)證，防止黑客利用 IP 進(jìn)行攻擊 ? ESP (Encapsulation Security Payload)封裝安全載荷協(xié)議 1. 保證數(shù)據(jù)的保密性 2. 提供報(bào)文的認(rèn)證性、完整性保護(hù) ? 密鑰管理協(xié)議 ? IKE（ Inter Key Exchange）因特網(wǎng)密鑰交換協(xié)議 IPsec 不是單獨(dú)的一個(gè)協(xié)議，而是一整套體系結(jié)構(gòu) 安全聯(lián)盟 SA ? 使用安全聯(lián)盟（ SA）是為了解決以下問(wèn)題 ? 如何保護(hù)通信數(shù)據(jù) ? 保護(hù)什么通信數(shù)據(jù) ? 由誰(shuí)實(shí)行保護(hù) ? 建立 SA是其他 IPsec 服務(wù)的前提 ? SA 定義了通信雙方保護(hù)一定數(shù)據(jù)流量的策略 一個(gè) SA通常包含以下的安全參數(shù) ? 認(rèn)證 /加密算法，密鑰長(zhǎng)度及其他的參數(shù) ? 認(rèn)證和加密所需要的密鑰 ? 哪些數(shù)據(jù)要使用到該 SA ? IPsec的封裝協(xié)議和模式 IKE因特網(wǎng)密鑰交換協(xié)議 ? 在 IPsec 網(wǎng)絡(luò)中用于密鑰管理 ? 為 IPSec 提供了自動(dòng)協(xié)商交換密鑰、建立安全 聯(lián)盟的服務(wù) ? 通過(guò)數(shù)據(jù)交換來(lái)計(jì)算密鑰 IPsec VPN 的配置 ? 步驟 1 — 配置 IKE的協(xié)商 ? 步驟 2 — 配置 IPSEC 的協(xié)商 ? 步驟 3 — 配置端口的應(yīng)用 ? 步驟 4 — 調(diào)試并排錯(cuò) 配置 IKE 協(xié)商 ? 啟動(dòng) IKE Router(config) crypto isakmp enable ? 建立 IKE協(xié)商策略 Router(config) crypto isakmp policy priority （ 取值范圍 1~10000數(shù)值越小，優(yōu)先級(jí)越高 ） ? 配置 IKE協(xié)商策略 Router(configisakmp) authentication preshare Router(configisakmp) encryption ｛ des | 3des ｝ Router(configisakmp) hash ｛ md5 | sha1 ｝ Router(configisakmp) lifetime seconds ? 設(shè)置共享密鑰和對(duì)端地址 Router(config) crypto isakmp key keystring address peeraddress 配置 IPsec協(xié)商 ? 設(shè)置傳輸模式集 Router(config) crypto ipsec transformset transformsetname transform1 [transform2 [transform3]] ? 配置保護(hù)訪問(wèn)控制列表 Router(config) accesslist accesslistnumber {deny | permit} protocol source sourcewildcard destination destinationwildcard 配置端口的應(yīng)用 ? 創(chuàng)建 Crypto Maps Router(config) crypto map mapname seqnum ipsecisakmp ? 配置 Crypto Maps Router(configcryptomap) match address accesslistnumber Router(configcryptomap) set peer ip_address Router(configcryptomap) set transformset name ? 應(yīng)用 Crypto Maps 到端口 Router(config) interface interface_name interface_num Router(configif) crypto map mapname 檢查 IPsec配置 ? 查看 IKE策略 Router show crypto isakmp policy ? 查看 IPsce策略 Router show crypto ipsec transformset ? 查看 SA 信息 Router show crypto ipsec sa ? 查看加密映射 Router show crypto map VPN 配置實(shí)例 RouterA(config) ip route RouterA(config)crypto isakmp policy 1 RouterA(configisakmap)hash md5 RouterA(configisakmap)authentication pre?share RouterA(config)crypto isakmp key bepassword address RouterA(config)crypto ipsec transform?set beset ah?md5?hmac esp?des RouterA(config)access?list 101 permit ip RouterA(config)crypto map bemap 1 ipsec?isakmp RouterA(configcryptomap)set peer RouterA(configcryptomap)set transform?set beset RouterA(configcryptomap)match address 101 RouterA(config)interface serial 0/0 RouterA(configif) crypto map bemap 網(wǎng)絡(luò)維護(hù)技術(shù) 運(yùn)行中的網(wǎng)絡(luò)如果出現(xiàn)故障都會(huì)產(chǎn)生不同程度的影響，影響較小時(shí)可能使個(gè)別用戶不能訪問(wèn)網(wǎng)絡(luò)，嚴(yán)重的 時(shí)候?qū)?huì)影響整個(gè)網(wǎng)絡(luò)，以致網(wǎng)絡(luò)癱瘓。 網(wǎng)絡(luò)維護(hù)概述 網(wǎng)絡(luò)故障的發(fā)生在所難免，在維護(hù)上可能會(huì)涉及到方方面面的技術(shù)問(wèn)題，這就要求網(wǎng)絡(luò)管理維護(hù)人員既要掌握必要的理論知識(shí)，又具有較豐富的實(shí)際工作經(jīng)驗(yàn)，同時(shí)能熟悉操作各類(lèi)網(wǎng)絡(luò)診斷、維護(hù)軟件、指令和儀器設(shè)備。 網(wǎng)絡(luò)故障分類(lèi) 按照網(wǎng)絡(luò)故障不同性質(zhì)劃分 根據(jù)故障的不同對(duì)象劃分 2 0 .2 0 . 2 0 .2 15 0 .5 0 . 5 0 .5 02 0 .2 0 . 2 0 .2 06 0 .6 0 . 6 0 .6 0R oute r A R oute r B針對(duì) OSI 模型各層中產(chǎn)生的故障來(lái)進(jìn)行劃分 網(wǎng)絡(luò)故障的維護(hù)方法 對(duì)比法 在采用對(duì)比法的時(shí)候，一般應(yīng)注意以下操作原則： （ 1）只有在故障設(shè)備和正常工作設(shè)備具有相近條件下，才可以采用對(duì)比法； （ 2）在對(duì)數(shù)據(jù)進(jìn)行修改之前應(yīng)該確保數(shù)據(jù)的可 恢復(fù)性； （ 3）在對(duì)網(wǎng)絡(luò)配置進(jìn)行修改之前應(yīng)該確保不會(huì)對(duì)網(wǎng)絡(luò)中的其他設(shè)備造成沖突。 （ 2）確?？梢垣@得正常工作設(shè)備。 （ 4）在替換第二個(gè)設(shè)備之前，必須確保第一個(gè)設(shè)