互联网安全技术20P

《互联网安全技术20P》由会员分享，可在线阅读，更多相关《互联网安全技术20P（24页珍藏版）》请在装配图网上搜索。

1、关飓逹技术教学目标与要求：掌握防火墙的体系结构与配置方法掌握VPN中使用的关键技术理解互联网安全的基本概念理解放火墙、VPN入侵检测的基本概念理解VPN的实现策略和方法了解放火墙的安全配置与访问控制技术的实现策略，以及放火墙的安全使用层面了解放火墙的安全局限学会VPN的配置方法了解入侵检测系统的分类和相关技术。教学重点难点：防火墙的体系结构与配置方法VPN关键技术学习指导：本章介绍防火墙技术，包括不同类型防火墙的功能、防火墙的体系结构，以及如何配置网络的防火墙；IPSEC协议在网络层上对数据包进行高强度的安全处理，提供数据源验证， 无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服

2、务；虚拟专用网VPN利用INTERNE功媒介实现与专用网络相类似的安全性能；实现WEB安全的SSL协议，通过服务器和客户机之间的相互认证，使客户机/服务器应用程序之间的通信不被攻击者窃听； PGP和S/SIME协议提供的服务用来确保电子邮件的安全；计算机病毒有多种类型，其防治 技术也是多种多样的， 目前常用的防毒杀毒工具有金山毒霸、瑞星杀毒软件等；网络的攻击手段有漏洞扫描、拒绝服务攻击等，针对不同的攻击主要有两种检测攻击的方法：异常检测方法和滥用检测方法， 它们分别用来发现新的攻击手段和识别已存在的攻击手段，有时也将两种检测方法混合使用，以达到更好的检测攻击的效果。教学方法与思路：本次课以案例

3、讲授为主，结合电子商务系统的运作平台引入本节内容：1、介绍确保INTERNET安全的技术、设施、策略和系统等安全手段；2、确保INTERNET安全的手段包括防火墙技术、IPSEC协议和虚拟专用网、安全套接字层SSL协议、安全邮件协议、计算机病毒检测与防治以及网络入侵检测系统等，它们针对INTERNET的不同应用提供相应的安全策略，从不冋的方面确保INTERNET的安全。教学步骤：教学内容课堂组织第六章互联网安全技术案例：互联网安全状况令人担忧2001年2月25日美国国防部副部长哈姆雷向新闻界公布了轰动整个 美国的黑客袭击事件：在过去的两周内，国防部五角大楼的军事情报网络接案例讲解，提 问学生是

4、否 收到过病毒 的困扰和破 坏，思考如何加强互联网的安全防范连遭受到黑客入侵，11个非机密军事网点(4个海军网点、7个空军网点) 先后被光顾。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过1.7亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超 过50%的安全威胁来自内部；只有17%的公司愿意报告黑客入侵，其他的由于担心负面影响而未声张。59%的损失可以定量估算。平均每个组织损失$402000 美兀。公安部官员估计，目前已发现的黑客攻击案约占总数的15%多数事件由于没有造成严重危害或商家不愿透露而未被曝光。有媒介报道，中国95%的与In ternet 相连的网络

5、管理中心都遭到过境内外黑客的攻击或侵入，其中 银行、金融和证券机构是黑客攻击的重点。在中国，针对银行、证券等金融 领域的黑客犯罪案件总涉案金额已高达数亿元，针对其他行业的黑客犯罪案 件也时有发生。黑客的威胁见诸报道的已经屡见不鲜，像贵州省城热线、成都艺术节主 页RSA安全公司等都报道有黑客入侵，他们在主页上发布反动口号，或将主 页修改成黄色画面。内部工作人员能较多地接触内部信息，工作中的任何不 小心都可能给信息安全带来危险。这类事件涉及的覆盖面越来越大、程度越来越深，以致于现在很多企业 都不敢真正利用互联网进行电子商务建设。6.1防火墙技术防火墙(FireWall )是由软件和硬件(如计算机、

6、路由器)组合而成的 一个或一组系统，它处于企业或网络群体计算机与外界通道之间，用来加强 In ternet与Intranet 之间的安全防范。防火墙控制网络内外的信息交流, 提供接入控制和审查跟踪，在外部网和内部网之间的界面构筑一个安全屏 障。防火墙的功能(1) 包过滤技术包过滤技术在网络层对数据包进行选择，如图6. 1所示。殆辰円潇4翳r腐钿 -一外部禺蜡图6. 1包过滤防火墙选择的依据是系统内设置的访问控制表AccessControlTable )中描述的过滤逻辑。动态地检查 TCP/IP数据流中每个数据包的报文类型、源IP地址、目的IP地址、所有TCP端口号、TCP链路状态等因素，或它们

7、的组合，然后依 据一组预定义的规则删除不合乎逻辑的数据包。采用数据包过滤技术的防火墙通常安装在网络的路由器上。几乎所有的 商用路由器都提供此项功能。这种基于路由器的防火墙比较简单易行，价格 较低，对用户透明，对网络性能的影响很小。包过滤技术的缺点是没有用户 的使用记录，这样就不能从访问记录中发现黑客的攻击记录。另外，它对IP欺骗式攻击无法防范，即无法防范黑客修改数据包头中的In ternet协议地址，把IP地址改成可被接受的地址，以此骗取对企业内部网络的访问权限。(2) 网络地址转换网络地址转换器是另一种类型的防火墙，其基本原理就像是电话网络中 的总机，而内部网络的用户都拥有一部“分机”。当内

8、部用户要对外部网络 进行访问时都使用同一个“总机”，而外部网络的用户要与内部网络中的某 个用户通信时，也必须经过“总机”来转接。当受保护的网络连接到In ternet 时，如果受保护网络的用户要访问In ternet ，那么他必须使用一个合法的IP地址。但由于合法IP地址有限，并且受保护的网络往往有自己的一套IP地址规划(即非正式的IP地址)，这时就需要网络地址转换器。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部网络某一用户要访问In ternet时，防火墙动态地从地址集中选一个未使用的地址分配给该用户， 该用户就可以使用这个合法地址进行通信。同时，对于内部的某些服务器和 Web服

9、务器，网络地址转换器允许为其分配一个固定的合法地址，外部网络 用户就可以通过防火墙来访问内部服务器。这种技术使得内部网络对外不透 明，有利于内部网络的安全性。同时也解决了内部网络的IP地址与外部地址发生冲突的问题。网络地址转换包括内部网络到外部网络的转换和外部网络到内部网络的 转换。一般的地址转换方式为静态地址映射，就是将外部地址和内部地址一 对一的映射，使得具有内部地址的主机既可以访问外部网络，又可以接受外 部网络提供的服务。此外，支持多对一的地址映射也是一种网络地址转换的 方式，其原理是内部网络的多个主机可以通过一个有效地址访问外部网络。 当内部网络的主机通过安全网卡访问外部网络时，网络地

10、址转换器产生一个 映射记录，将该主机的源地址和源端口映射为一个伪装的地址和端口，并且 使用伪装后的地址和端口，通过非安全网卡与外部网络建立连接，这样就对 外隐藏了真实的内部网络地址。当外部网络通过非安全网卡访问内部网络 时，无法了解内部网络的连接情况，而只通过一个开放的IP地址和端口来请求服务。(3) 代理服务在介绍代理服务防火墙之前，先介绍一下应用层网关防火墙。应用层网 关防火墙在网络应用层上建立协议过滤和转发功能，如图6.2所示。它针对特定的网络应用服务协议，使用预先设定的数据过滤规则，并在过滤包的同 时对数据包进行必要的分析、登记和统计，形成报告。实际中的应用层网关 防火墙通常安装在专用

11、工作站系统上。內那网奸1昨话1*尿图6.2 应用网关防火墙应用层网关防火墙和包过滤防火墙一样，仅仅依靠预定的规则来判定是 否允许数据包通过，一旦数据包满足过滤规则，则防火墙内外的计算机系统 建立直接联系，防火墙外部的用户就有可能直接了解防火墙内部的网络结构 和运行状态。黑客们往往利用应用层网关防火墙这一特点，对其内部网络实 施非法访问和攻击。针对包过滤技术和应用层网关技术存在的缺点，一种解决办法是将代理 服务技术应用于防火墙的设计中。代理服务防火墙的特点是将所有跨越防火 墙的网络通信链路分为两段，防火墙内外计算机系统间应用层的“链接”由 两个代理服务器上的“链接”来实现，外部计算机的网络链路只

12、能到达代理 服务器，从而起到了隔离防火墙内外计算机系统的作用，如图6.3所示。此外，代理服务防火墙也对流经它的数据包进行分析、注册登记，形成报告， 同时一旦发现网络有被攻击迹象时，便通知网络管理员，并保留攻击痕迹。图6.3代理服务代理服务技术针对每一个特定应用都有一个程序，它试图在应用层实现 防火墙的功能，这和在网络层拦截所有信息流的包过滤技术完全不同。代理 服务技术使得网络管理员能够实现比包过滤路由器更严格的安全策略：应用 层网关对In terner服务进行管理，它采用为每种所需服务在网关上安装特殊代理编码（代理服务）的方式来实现管理，而不像数据包过滤技术那样利 用检查模块来管理 In te

13、rner服务在防火墙系统中的进出。这样，网络管理员就可以对服务进行全面的控制。如果网络管理员没有为某种应用安装代理 编码，那么该项服务就不支持，并且不能通过防火墙系统来转发。此外，管 理员也可以根据需要配置代理编码双宿网关和堡垒主机都能够提供代理服务。用户只允许访问代理服务， 但不允许注册到应用层网关中。这是因为如果允许用户注册到防火墙系统 中，那么入侵者可能会在暗地里进行某些损害防火墙有效性的动作，防火墙 系统的安全就会受到威胁。例如，入侵者可能获取root权限，在系统中安装木马程序来截取口令后便能够修改防火墙的安全配置文件。提供代理的应用层网关主要有以下优点： 应用层网关有能力支持可靠的用

14、户认证并提供详细的注册信息； 用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试； 代理工作在客户机和真实服务器之间完全控制会话，所以可以提供很 详细的日志和安全审计功能； 提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机，这 样可以隐藏内部网的IP地址，保护内部主机免受外部主机的攻击； 通过代理访问In ternet 可以解决合法的IP地址不够用的问题，因为In ternet 所见到的只是代理服务器的地址，内部不合法的IP通过代理可以访问 Internet 。然而，应用层代理也具有一些明显的缺点： 代理服务器具有解释应用层命令的功能（如解释FTP命令、Telnet命令等），因

15、此可能需要提供很多种不同的代理服务器（如FTP代理服务器、Telnet代理服务器），并且所能提供的服务和可伸缩性是有限的； 应用层网关不能为RPC TALK和其他一些基于通用协议的服务提供代理； 应用层实现的防火墙会造成明显的性能下降； 每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应 用升级时，代理服务程序一般也要升级； 应用层网关要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件，比如，透过应用层网关的TelNet访冋，要求用户通过两步而不是 步来建立连接。不过，特姝的端系统软件可以让用户在TelNet命令中指定目标主机、而不是应用层网关来使得应用层网关透明。

16、从发展的观点来看，应用层代理网关适应In ternet的通用用途和需要，但是In ternet的环境在不断动态变化，目前新的协议、服务和应用不断出现，代理不再能处理 In ternet上的各种类型的传输，不能满足新的商业需求，不能胜任对网络高带宽和安全性的需要。（4）状态检查状态检查技术能在网络层实现所需要的防火墙能力。状态检查防火墙米 用了在网关上执行网络安全策略的、称之为状态检测模块的软件引擎。检测 模块在不影响网络正常工作的前提下，抽取相关数据来监测网络通信的各 层，并将这些抽取的数据（称为状态信息）动态地保存起来，作为以后制定 安全决策的参考。检测模块能够对这些状态信息进行分析，更新状

17、态数据和 上下文信息，为跟踪无连接的协议提供虚拟的会话信息。防火墙根据从传输 过程和应用状态所获得的数据、网络设置和安全规则来产生一个合适的操 作，要么拒绝，要么允许，或者加密传输。任何安全规则没有明确允许的数 据包将被丢弃，或者产生一个安全警告，并向系统管理员提供整个网络的状 态。状态检查防火墙是新一代的防火墙技术，它克服了包过滤和应用层代理 两种方法的限制，通过不断开客户机/服务器的模式来提供一个完全的应用 层感知。这种防火墙监视每一个有效连接的状态，并根据这些信息决定网络 数据包是否能够通过防火墙系统。它在网络层截取数据包，然后分析这些数 据包，并且将当前数据包及其状态信息，和前一时刻的

18、数据包及其状态信息 进行比较，从而得到该数据包的控制信息，以达到保护网络安全的目的；并从这些接收到的数据包中提取与安全策略相关的状态信息，将这些信息保存 在一个动态状态表中，其目的是为了验证后续的链接请求。这样就提供了一 个高安全性的方案，系统的执行效率得以提高，并且具有很好的伸缩性和扩 展性。状态检查技术的另一个优点是，它能够监测RPC和UDP之类的端口信息。状态检查防火墙具有以下优点： 状态检查防火墙工作在数据链路层和网络层之间，它从这里截取数据包，确保防火墙能够截取和检查所有通过网络的原始数据包。防火墙首先根 据安全策略从数据包中提取有用信息，保存在内存中；然后将相关信息组合 起来，进行

19、判断，得到相应的操作(允许数据包通过、拒绝数据包、认证连 接、加密数据等)。状态检查防火墙虽然工作在协议栈较低层，但它监测所 有应用层的数据包，从中提取IP地址、端口号、数据内容等有用信息，这样安全性就得到很大的提高。 这种防火墙不需要协议栈的上层处理任何数据包，系统减少了处理高 层协议栈的开销，执行效率提高很多；另外，在防火墙系统中一个连接一旦 建立起来，就不用再对这个连接做更多工作，系统可以去处理别的连接，执 行效率明显提高。 防火墙系统不区分每个具体的应用，只是根据从数据包中提取出的信 息、对应的安全策略及过滤规则处理数据包，当有一个新的应用时，它能动 态地产生新应用的新规则，而不用像应

20、用代理防火墙那样另外编写代码，所 以具有很好的伸缩性和扩展性。防火墙体系结构防火墙结构主要包括安全操作系统、过滤器、网关、域名服务和E-MAIL处理五个部分，如图 6.4所示。 1L.1r图6.4防火墙的组成其中过滤器执行防火墙管理机构制定的一组策略规则，根据策略规则检验各数据组，决定是否放行。这些规则按照IP地址、端口号，以及各类应用等参数来确定。有的防火墙可能在网关两侧设置两个内、外过滤器，外过 滤器保护网关不受攻击，网关提供中继服务、辅助过滤器控制业务流，而内 过滤器在网关被攻破后提供对内部网络的保护。防火墙本身必须建立在安全操作系统所提供的安全环境中，安全操作系统可以保护防火墙的代码和

21、文件 免遭入侵者攻击。这些防火墙的代码只允许在给定主机系统上运行，这种限 制可以减少非法穿越防火墙的可能性。具有防火墙的主机在In ternet界面 上被称为堡垒主机。防火墙的实施(1)屏蔽路由器防火墙屏蔽路由器防火墙也称为包过滤路由器防火墙，它可以由厂家生产专门 的路由器来实现，也可以通过配置主机来实现。这种防火墙被放置于In ternet和内部网络之间，是连接内外网络的惟一通道，所有的数据包都必须通过它的检查，如图 6.5所示。在路由器上可以安装基于IP层的数据包过滤软件，实现数据包过滤的功能。包过滤路由器在内外网络之间完成数据 包的转发，并利用包过滤规则来判断接纳或拒绝数据包。一般的过滤

22、规则为：内部网络上的主机可以直接访问In ternet ，但In ternet 上的主机对内部网络上的机器进行访问是有限制的。从外部来看，这种类型的防火墙系统对没 有特别允许的数据包都拒绝。图6.5包过滤防火墙屏蔽路由器防火墙价格低，并且易于使用；但如果配置不当，路由器可 能容易受到攻击，这是因为它允许在内部网络和外部网络之间直接交换数据 包，使得攻击可能会扩展到所有主机以及路由器所允许的全部服务器上。因 此，这就意味着可以从In ternet上直接访问的主机要支持复杂的用户认证， 并且要求网络管理员不断地检查网络，以确定网络是否受到攻击。另外，若 有一个包过滤路由器被渗透，则内部网络上所有系

23、统都可能会受到损害。单 纯由屏蔽路由器构成的防火墙的危险地带，包括路由器本身以及路由器允许 访问的主机。（2）屏蔽主机网关防火墙屏蔽主机网关防火墙由包过滤路由器和堡垒主机组成，如图6.6所示。屏蔽主机网关防火墙实现了网络层安全（包过滤）和应用层安全（代理服务）入侵者在攻击内部网络之前，必须首先渗透两种不同的安全系统，所以它所 提供的安全等级比包过滤防火墙要高。11 所百的歳ffliM肓牝势图6.6屏蔽主机的防火墙这种防火墙系统将堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和In ternet之间。将过滤规则配置在路由器上，使得外部系统只能访问堡垒主机，而发给内部网络中其他主机的信息

24、全部被阻塞。堡垒主 机成为从外部网络惟一可直接访问的主机，这样就确保了内部网络不受未被授权的外部用户的攻击。由于内部主机与堡垒主机处于同一网络，所以内部 网络中的主机是采取直接访问In ternet ，还是使用堡垒主机上代理服务的方式来访问In ternet ，需要由有关的安全策略来决定。通过在路由器配置过滤规则，使得In ternet只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。(3 )双宿主机网关防火墙双宿主机网关防火墙采用了在一台堡垒主机上安装两块网卡的方法，对 内部网络进行保护。两块网卡分别与内部网络和外部网络相连，如图6.7所示。在堡垒主机上安装并运行防火墙软件，可

25、以转发应用程序和提供有关的 服务。对于双宿堡垒主机防火墙，堡垒主机是惟一能从In ternet 上直接访问的内部资源，因此内部系统中只有堡垒主机本身可能受到攻击。如果允许用户 注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁。这是因 为如果允许注册，入侵者侵入堡垒主机，并将其配置修改为只具有路由功能，那么外部网络上的任何用户均可以随便访问内部网络。因此，保证堡垒主机 的牢固可靠、避免被渗透和不允许用户注册是至关重要的。111愉誥1 口产EFt图6.7双宿堡垒主机防火墙系统(4)屏蔽子网防火墙屏蔽子网防火墙是在内部网络和外部网络之间建立一个被隔离的子网， 利用两台分组过滤路由器将这一子

26、网分别与内部网络和外部网络隔开，在子 网内构成一个“非军事区”dmz,网络管理员将堡垒主机、信息服务器以及其他公用服务器配置在这个子网中，如图6.8所示。内部网络和外部网络都可以和被屏蔽的子网进行通信，但它们不能穿过被屏蔽子网直接通信。屏蔽 子网中惟一可访问的是堡垒主机，它能够支持终端交互，或作为应用网关代 理。图6.8屏蔽子网防火墙(5)安全服务器网络防火墙安全服务器网络防火墙采用分别保护的策略对内部网络实施保护。在堡 垒主机上安装3块网卡，防火墙系统把公共服务器设置为一个独立的网络， 并与堡垒主机上的其中一块网卡相连，另外两块网卡分别与In ternet 和内部网络相连。这时，公共服务器既

27、是内部网络的一部分，但又与内部网关完 全隔离，这就是安全服务器网络技术，如图6.9所示。安全服务器网络防火墙提供的安全性要比屏蔽子网防火墙好。这是因为安全服务器网络与外部网 络和内部网络之间都有防火墙保护，一旦安全服务器网络受到破坏，内部网 络仍会处于防火墙的保护之下。而屏蔽子网防火墙一旦受到破坏，内部网络 便暴露于攻击之下。在实际应用中，究竟采用哪种防火墙，主要取决于网络向用户提供什么 样的服务，以及网络能接受什么等级的风险，还要取决于经费、投资的大小 或技术人员的技术、时间等因素。图6.9安全服务器网络6.2 IPSec和虚拟专用网协议IPSec是IETF于1998年11月公布的IP安全标

28、准，其目标是为IPV4和IPV6提供具有较强的互操作能力、高质量和基于密码的安全。IPSec在网络层上对数据包进行高强度的安全处理，提供数据源验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。IPSec协议对IPV4是可选的，对IPV6是强制性的。IPSec规范中包含大量的文档。其中最重要的是在1998年11月发布的： RFC2401:安全体系结构概述； RFC2402包身份验证扩展到 IPV4和IPV6的描述； RFC2406包加密扩展到 IPV4和IPV6描述； RFC2408密钥管理能力规范。(1) IPSEC体系结构IPSEC的体系结构如图 6.10所示。IPSE

29、C的体系结构各部分包括： 安全体系结构：包括一般的概念、安全需求、定义，以及定义IPSEC技术的机制； 封装安全有效载荷 ESP使用ESP进行包加密的报文包格式和一般性问题， 以及可选的认证； 验证头AH使用AH进行包认证的报文包格式和一般性问题； 加密算法：描述各种加密算法如何用于ESP中； 认证算法：描述各种身份验证算法如何用于AH中和ESP身份验证选项； 密钥管理：密钥管理的一组方案，其中In ternet 密钥交换协议IKE是默认的密钥自动交换协议； 解释域：彼此相关各部分的标识符及运作参数； 策略：决定两个实体之间能否通信，以及如何进行通信，策略的核心由安 全关联SA安全关联库SAD

30、安全策略库 SPD三部分组成，策略部分是惟一尚 未成为标准的组件。图6.10 IPsec 体系结构虚拟专用网 VPN虚拟专用网VPN是利用不可靠的公用互联网络作为信息传输媒介，通过 附加的安全隧道、用户认证和访问控制等技术，实现与专用网络相类似的安 全性能，从而实现对重要信息的安全传输的一种手段。VPN体系结构VPN用户代理UA向安全隧道代理STA请求建立安全隧道，安全隧道代理接 收到请求后，在 VPN管理中心 MC的控制和管理下，在公用互联网络上建立 安全隧道，然后进行用户短信息的透明传输。VPN用户代理又包括安全隧道终端功能STF、用户认证功能 UAF和访问控制功能 ACF3个部分，它们共

31、同 向用户高层应用提供完整的VPN服务。安全隧道代理和 VPN管理中心组成了VPN安全传输平面STP,在公用互联网络基础上实现信息的安全传输和系统的 管理功能。公共功能平面 CFP是安全传输平面的辅助平面，由用户认证管理 中心UAAC和VPN密钥分配中心 KDC组成，其主要功能是向 vpn用户代理提 供相对独立的用户身份认证与管理，以及密钥的分配管理。用户认证中心与 VPN用户代理直接联系，向安全隧道代理提供VPN用户代理的身份认证，必要时也可以同时与安全隧道代理联系，向VPN用户代理和安全隧道代理提供双向的身份认证。用户制 分配中心化X）用户 Utf+Z?(uuAC件理中3刪）舞1Fifi册

32、）图6.10 VPN系统结构（2）VPN的实施方案1）通过In ternet 实现远程访问VPN支持以安全的方式通过公共互联网络远程访问企业资源。与使用专线拨打长途或（1-800 ）电话连接企业的网络接入服务器不同，VPN用户首先拨通本地ISP的网络接入服务器，然后VPN软件利用与本地ISP建立的连接，在拨号用户和企业 VPN服务器之间创建一个跨越In ternet ,或其他公共互联网络的虚拟专用网络，如图6.11所示。图6.11通过In ternet实现远程用户访问2）通过In ternet实现网络互连可以采用以下两种方式使用VPN连接远程局域网络：使用专线连接分支机构和企业局域网。不需要使

33、用价格昂贵的长距离 专用线路，分支机构和企业端路由器可以使用各自本地的专用线路，通过本地ISP联通In ternet ，如图图6.12所示。VPN软件使用与本地ISP建立的 连接和In ternet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。图6.12使用专线连接分支机构和企业局域网使用拨号线路连接分支机构和企业局域网。不同于传统的使用连接分支机应当注意，在以上两种方式中，通过使用本地设备在分支机构和企业部 门与构路由器的专线拨打长途或（1-800 ）电话连接企业网络接入服务器的方式，分支机构端的路由器可以通过拨号方式连接本地ISP。VPN软件使用与本地ISP建立起的连接，在分支机构

34、和企业端路由器之间创建一个跨越In ternet 的虚拟专用网络。In ternet之间建立连接。无论是在客户端还是服务器端，都是通过拨打本地接入电话建立连接，因此VPN可以大大节省连接的费用。建议作为VPN服务器的企业端路由器使用专线连接本地ISP。VPN服务器必须一天24小时对VPN数据流进行监听。分丈机构图6.13使用专线连接分支机构和企业局域网3）连接企业内部网络计算机在企业的内部网络中，考虑到一些部门可能存储重要数据，为确保数据 的安全性传统的方式只能把这些部门同整个企业网络断开，从而形成孤立 的小网络。这样做虽然保护了部门的重要信息，但是由于物理上的中断，其 他部门的用户无法共享数

35、据，这样就造成通信上的困难。采用VPN方案通过使用一台VPN服务器实现与整个企业网络的连接，同时又能够保证保密数据 的安全性。路由器虽然也能够实现网络之间的互联，但是不能对流向敏感网 络的数据进行限制，所以企业网络管理人员通过使用VPN服务器，制定只有符合特定身份要求的用户才能连接VPN服务器，获得访问敏感信息的权利。此外，可以对所有 VPN数据加密，从而确保数据的安全性，没有访问权限的 用户无法看到部门的局域网络，如图6.14所示。图6.14 连接企业内部网络计算机（3）隧道技术实现VPN的关键技术有： 安全隧道技术通过将待传输的原始信息经过加密和协议封装处理后， 再嵌套装入另一种协议的数据

36、包送入网络中，像普通数据包一样进行传输。 经过这样的处理，只有源端和目的端的用户对隧道中的嵌套信息能够进行解 释和处理，而这些信息对于其他用户而言无意义。 用户认证技术。在正式的隧道连接开始之前，需要确认用户的身份， 以便系统进一步实施资源访问控制或用户授权。访问控制技术。由VPN服务的提供者与最终网络信息资源的提供者共同协商，确定特定用户对特定资源的访问权限，以此来实现基于用户的访问 控制，从而提供对信息资源的最大限度的保护。在VPN的关键技术中，最重要的是安全隧道技术。隧道技术是一种通过 使用公共互联网络基础设施在网络之间传递数据的方式。使用隧道传递的数 据（或负载）可以是不冋协议的数据帧

37、或数据包，隧道协议将这些各种类型 的数据帧或数据包重新封装在新的包头中发送。新的包头提供了路由信息， 从而使封装的负载数据能够通过互联网络传送。被封装的数据帧或数据包在 隧道的两个端点之间，通过公共互联网络进行路由，我们把所经过的逻辑路 径称为隧道。一旦被封装的数据到达网络终点，数据将被解包，并转发到最 终目的地。所以隧道技术是指包括数据封装、传输和解包在内的全过程。隧 道所使用的传输网络可以是任何类型的公共互联网络，本节主要以目前普遍 使用的In ternet 为例进行说明。此外，企业网络同样可以创建隧道。隧道 技术在经过一段时间的发展和完善之后，目前较为成熟的技术包括： IP网络上的系统网

38、络结构隧道技术。系统网络结构的数据流通过企业IP网络传送时，系统网络结构数据帧将被封装在UDP和IP协议包头中进行传送。 IP网络上的 Novelwall隧道技术。当一个ipx数据包被发送到Novelwall务器或ipx路由器时，服务器或路由器用UDF和IP包头封装IPX数据包后，通过IP网络发送。另一端的IP-TO-IPX路由器在去除 UDF和IP 包头之后，把数据包转发到IPX目的地。近年来，不断出现了一些新的隧道技术： 点对点隧道协议（PPTR。PPTP协议允许对IP , IPX或NETBULL数据流进行加密，然后将加密后的数据封装在IP包头中，通过企业IP网络或公共互联网络发送。 第2

39、层隧道协议（L2TP）。L2TP协议允许对IP , IPX或NETBULL数据流进行加密，然后通过支持点对点数据包传递的任意网络发送，例如IP ,X.25，帧中继或ATMI等。 安全IP隧道模式。IPSEC隧道模式允许对IP负载数据进行加密，然后 封装在IP包头中，通过企业 IP网络或公共IP互联网络（例如INTERNET 发送。（4）VPN技术的优点 VPN技术具有以下优点： 信息的安全性：采用安全隧道技术实现安全的端到端的连接服务，确 保信息资源的安全； 易扩充性：用户可以利用VPN技术方便地重构企业专用网络，实现异地业务人员的远程接入； 方便管理：VPN将大量的网络管理工作放到互联网络服

40、务提供者一端来统一实现，从而减轻了企业内部网络管理的负担，同时VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性，也便于用户进行网络管理； 显著的成本效益：利用现有互联网络发达的网络构架组建企业内部专 用网络，从而节省了大量的投资成本及后续的运营维护成本。6.3入侵检测技术在20世纪80年代初期，Anderson使用了 威胁”这个术语，其定义与 入侵的含义相同，将入侵企图或威胁定义为未经授权蓄意尝试访问信息，篡 改信息，使系统不可靠或不能用。入侵是指有关试图破坏资源的完整性、机 密性及可用性的活动。网络入侵的类型(1) 漏洞扫描扫描器是一种自动检测远程或本地主机安全性弱点

41、的程序。通过使用扫 描器可以发现远程服务器的各种TCP端口的分配、它们提供的服务以及它们的软件版本，直接或间接地了解到远程主机所存在的安全问题。扫描器通过 选择远程TCP/IP不同的端口服务，并记录目标给予的回答，可以搜集到很 多关于目标主机的各种有用的信息。例如，是否能用匿名登录访问 FTP服务，是否有可写的FTP目录，是否能用 TELNET以及HTTP是用ROOT还是用普通 用户登录运行等。对于一个功能较完备的扫描器，它能对操作系统与服务程序所存在的各 种系统漏洞和BUG进行检测。目前比较成熟的扫描器有SATAN NESSUS ISS等。传统的扫描器使用系统调用CONNECT接目标的端口，

42、如果函数返回成功就认为这个端口是开放的，采用这种方法可以利用多线程加快扫描速度。 但这样的扫描在目标上留下大量的日志，对于防止黑客来讲这是不安全的， 因此黑客们常常采用秘密扫描来解决这个问题。秘密扫描有以下几种方式：1) TCPSYZ扫描这种技术也称为HALF-OPENB描。向一个端口发送一个 SYN如果端口是 打开的，那么会接收到 SYN| ACK否则会收到 RST很少有操作系统会记录 这样的日志，其缺点是攻击者在UNIX环境下必须具有 ROOT权限。2) TCPFIN扫描向一个端口发送FIN，如果端口是开放的， 通常会忽略掉这个包，否则会 回复RET由于某些操作系统在 TCP实现的时候留有

43、一个 BUG所以这种方 法并不100%勺准确。3) 分片扫描在发送一个扫描数据包时，人为地将数据包分成多个IP分片。这种方法可以绕过某些包过滤程序，但是需要注意的是有些程序不能正确地处理IP分片，分片扫描可能会造成系统崩溃。4) TCPREVERSEIDENT描该扫描方案于1996年指出，协议允许TCP连接得到进程所有者的用户名， 即使这个进程并不是连接的发起方。5) FTP跳转攻击FTP协议支持连接上服务器 A,然后让A向目标B发送数据，现在一般的 FTP都不支持这种功能。如果目标是扫描端口，可以使用PORT命令，声明B的某个端口处于监听状态，如果这个端口的确是打开的，FTP服务器会返回15

44、0和226,否则返回错误信息 425。这种扫描方式可以很好地隐藏攻击者的 身份，在某些条件下可以穿越防火墙，缺点是扫描的速度比较慢。(2) 口令破解如果黑客能够猜测或者确定用户的口令，那么他就能获得主机或者网络 的访问权，并且能够访问到合法用户所能访问到的任何资源。口令攻击主要 有以下几种方式：(1) 词典攻击在口令的设置过程中，有许多个人因素在起作用，可以利用这些因素来 帮助解密。出于口令安全性的考虑，禁止把口令写在纸上，因此很多人都设 法使自己的口令容易记忆，这就给黑客提供了可乘之机。贝尔实验室的计算 机安全专家R.MORRIS和K.THOMPSO提出了这样一种攻击的可能性：可以根 据用户

45、的信息建立一个他可能使用的口令的词典，例如，个人的姓名、生日 或电话号码等。然后，每次取出一个条目经过CTYPE()函数变换，并与口令文件的密文口令进行匹配比较，若一致则口令被破解。(2) 强行攻击许多人认为如果使用足够长的口令，或者使用足够完善的加密模式，就 能有一个攻不破的口令，但事实上破解口令只是个时间的问题。例如，可能 要花200年才能破解一个高级加密方式，但是起码它是可以攻破的，而且破 解时间随着计算机速度的提高而减少。如果有速度足够快的计算机能尝试字 母、数字、特殊字符所有的组合，将最终能破解所有的口令，这种类型的攻 击方式称为强行攻击。强行攻击方式基本上是CPU速度和破解口令时间

46、的矛盾。词典攻击只能发现词典单词口令，但是速度快。强行攻击能发现所有口 令，但是破解时间很长。组合攻击就是使用词典单词，并在单词尾部串接若 干字母、数字或者特殊字符组合起来进行攻击的一种方法。(3) 拒绝服务攻击 DOS拒绝服务DOS( DENIALOFSERVICE攻击是过量使用资源而使其他合法用 户无法访问系统，从而导致系统瘫痪或明显降低系统的性能。拒绝服务攻击 可能是蓄意的，也可能是偶然的。当未被授权的用户过量使用资源时，攻击 是蓄意的；当合法用户无意地操作而使得资源不可用时，则是偶然的。拒绝 服务攻击大致可以分为两类：一类是由于错误配置或者软件弱点导致的，某 些拒绝服务攻击是由于协议固

47、有的缺陷，或者对协议的实现不当导致的，这 类攻击可以通过开发商发布简单的补丁来解决。另一类拒绝服务攻击是利用 合理的服务请求来占用过多的服务资源(这些服务资源包括网络带宽、文件 系统空间容量、CPU时间等)，致使服务超载，无法响应其他请求，导致系 统资源的匮乏。常见的拒绝服务攻击方法有：1) 邮件炸弹这是一种最简单的拒绝服务攻击。设想某个用户发现信箱里有1万封信， 这时，一般的用户惟一的方法就是删除所有邮件。对于服务器来说，邮件 炸弹会大量消耗硬盘空间，阻塞网络带宽。这类攻击之所以能够容易得逞， 最主要的原因就是当初建立邮件协议标准时，侧重于提供最有效的服务，却 没有考虑到对邮件的来源进行有力

48、的验证。2) FloodFlood的字面意思是“淹没”，它是拒绝服务攻击的一种手法。攻击者利 用高带131宽的计算机，通过大量发送tcp , udp和icmp报文，将低带宽的计算机“淹没”，以降低对方计算机的响应速度。其中最简单的一种方法就 是在unix下使用ping flp，这种通过发送异常的、大量的 ping来杀死服务器的方法也称为 ping死。另一种常用的攻击手法称为synflood，攻击者有意不完成tcp的3次握手过程，其目的就是让等待建立某种特定服务的连 接数量超过系统所能承受的极限，从而使得系统不能建立新的连接。虽然所 有的操作系统对每个连接都设置了一个计时器，如果计时器超时就释放

49、资 源，但是攻击者可以持续建立大量新的syn连接来消耗系统资源。显然，由于攻击者并不想完成 3次握手过程，所以无须接收syn/ ack,因此也没有必 要使用真实的ip地址。3) Smurf这是一种向广播地址发送伪造的icmp数据包的攻击方式。攻击者使用经过欺骗的受害者的ip地址，向一个广播地址发送icmp回响请求(ping )通信。在一个多层访问的广播网络上，这就会造成潜在的数以千计的计算机对 每个ping信号做出响应。设想发送一个ip包到广播地址192 . 168. 1. 0,这个网络中有50台计算机，将会收到 50次的应答，广播地址在这里起到了 放大器的作用，smurf攻击就是利用了这种作

50、用：如果A发送1kb大小的icmp 到广播地址，那么a将收到1KB* N的ICMP,其中N为网络中计算机的总数。 当N等于100万时，产生的应答将达到 1GB这将会大量消耗网络的资源。 如果E假冒A的IP地址，那么收到应答的是A,对A来说就是一次拒绝服 务攻击。4) TRARDROP在早期UNIX实现的网络协议中，处理数据包分段时存在漏洞，后来的一 些操作系统都沿用了 BSD的代码，因此这个漏洞在LINUS，WINDOWS9中都是存在的。物理网络层通常给所能传输的帧加一个尺寸上限，IP将数据包的大小与物理层的帧的上限相比较，如果需要则进行分段。在IP报头中设置了一些域用于分段：标志域为发送者传

51、输的每个报文保留一个独立的值，这 个数值被拷贝到每个特定报文的每个分段，标志域中有一位作为“更多分段”位。除了最后一段之外，该位在组成一个数据报的所有分段中被置位，分段 偏移域含有该分段自初始数据报开始位置的位移。对于有TRARDRO漏洞的操作系统，如果接收到“病态的”数据分段，例如，一个40B的数据报被分为两段，第一段数据发送 0-36B，而第二段发送 2427B，则在某些情况下 会破坏整个IP协议栈，因此，必须重新启动计算机才能恢复。5) LAND132LAND攻击是针对种类繁多的 TCP实现发起的拒绝服务攻击。此程序通 过发送一个 TCPSYN数据包，使得源地址与目的地址相同，源端口与目

52、的端 口相同。当攻击者利用LAND向一台计算机发起攻击时，先给目标计算机发送一个数据包，以便打开一个连接，这个数据包已经被改动，而使得源地址 和目的地址、源端口与目的端口相同。当目的主机接收到数据包并发送信息 给源主机时，这些信息将被传送到目的主机自身，从而导致大多数计算机不 知道怎样处理而瘫痪或挂起。传统的拒绝服务攻击只是一台计算机向受害者 发起攻击，然而在 2000年，一种新型的攻击方法产生了，这就是分布式拒 绝服务DDOS攻击。攻击者可以在多台计算机上或与他人合作，同时向一个 目标主机或网络发起攻击。这就使得防御变得困难，被攻击者在同一时间内 所收到的大量数据包不只是一台主机发送来的。(

53、4) 系统后门如果攻击者获得系统的ROO权限，那么即使系统管理员安装了安全补丁程序，攻击者仍然可以轻松地进出系统。为了达到目的，一般采用的方式是 在系统中安装后门。提到后门程序很多人会想到特洛伊木马程序，特洛伊木 马的威胁成功依赖于用户的疏忽。如果系统安装了一个比较好的杀毒软件或 防火墙，或者系统管理员经常检查系统开放了哪些端口，特洛伊木马攻击是 很难成功的。如果想要在操作系统上安装后门，就必须了解系统中的某些关 键文件的位置和格式，从根本上讲，攻击者对系统了解越多，可以利用的机 会就越多。以下是几种在 UNIX下安装后门的方法： 给系统增加一个 UID为0( ROOT的无口令账号； 修改IN

54、ETD.CONF文件，这种方法无须本地账号就可以成为ROOT(5) 缓冲区溢出大多数的攻击都是基于缓冲区溢出攻击。攻击者试图在一个不够大的缓 冲区接收器里存储过量的信息，就是一次缓冲区溢出攻击。实现这种攻击的 条件是，只要程序的使用者给出的数据超出该程序所能存储的最大值即可。例如，一个程序只能接收 50个字符，而用户却输入了 100个字符，这样 由于过多的数据输入到了一个不够大的缓冲区接收器，该程序将不能控制 它，多出的部分将写入内存。 缓冲区溢出攻击是最具潜伏性的信息安全问题。 缓冲区溢出将导致系统安全受到三个方面的攻击：关于可用性的拒绝服务攻 击、针对数据完整性的攻击，以及针对数据机密性的

55、攻击。(6) WEB攻击对WEB勺攻击是INTERNET上最流行的一种攻击方式。由于有些WEB服务器在安全性上考虑不周，所以攻击WEE比较容易上手，这比通过缓冲区溢出获得ROOT然后安装后门要容易得多。近年来，对WEB勺攻击随着IIS安全漏洞的大量发现而达到顶峰。IIS是一种非常流行的允许在INTERNET或者INTRANET上发布信息的WEB服务器，它具有灵活的脚本和服务器端功能，通过与其他流行的编程工具(例如VB, ASP.NET等)，可以很容易地在 IIS上建立应用程序。632网络入侵检测方法网络入侵的检测方法一般有两种方法，分别是异常检测和滥用检测。异 常检测提取正常模式审计数据的数学

56、特征，检查事件数据流中是否存在与之 相违背的异常模式。滥用检测则搜索审计事件数据流，查看其中是否存在预 先定义的滥用模式。(1)异常检测异常检测是目前入侵检测系统研究的重点，其特点是通过对系统异常行 为的检测，可以发现未知的攻击模式。异常检测的关键问题在于正常使用模 式的建立，以及如何利用该模式对当前的系统/用户行为进行比较，从而判 断出与正常模式的偏离程度。“模式”通常由一组系统的参量来定义。每个 参量都对应于一个门限值，或对应于一个变化区间。(2)基于神经网络的异常检测方法人工神经网络模型试图模仿生物神经系统，通过接收外部输入的刺激， 不断获得并积累知识，进而具有一定的判断预测能力。尽管神

57、经网络模型的 种类很多，但其基本模式都是由大量简单的计算单元(又称为节点或神经元)相互连接而构成的一种并行分布处理网络。基于神经信息传输的原理，节点 之间以一定的权值进行连接，每个节点对N个加权的输入求和。当求和值超 过某个阈值时，节点成“兴奋”状态，有信号输出。节点的特征由其阈值和 非线性函数的类型所决定，而整个神经网络则由网络拓扑、节点特征，以及 对其进行训练所使用的规则所决定。(3) 混合检测方法混合检测包括基于生物免疫的入侵检测和基于Age nt的入侵检测两种方法。本章小结：现在，几乎所有的商业企业、大多数的政府机构和很多个人都有自己的 Web站点。因此，商业企业热衷于在Web上建立设

58、施来开展电子商务业 务。但是，现实情况是Internet和Web对于各种泄密非常脆弱。本章先讨论有关网络安全的基本服务、防范机制和关键技术，然后集中 讨论三个作为网络安全一部分的、越来越重要的网络安全技术防火墙、虚拟专用网和入侵检测系统。防火墙是用来保护一个网络不受来自与之相连的其他网络的危险的威 胁。通常防火墙建立在一个组织的内部网络和Internet主干网之 间，它可能是保护本地系统或网络，抵制基于网络的安全威胁，同时提供通 过广域网和因特网对外界进行访问的有效方式。防火墙的安全策略是：凡是 没有被列为允许访问的服务都是被禁止的；凡是没有被列为禁止访问的服务 都是被允许的。本章还较详细地分

59、析了防火墙的包过滤、应用级网关、代理 服务器和复合型四种基本类型；防火墙的双端口或三端口结构、代理系统技 术、多级过滤技术、网络地址转换技术、Internet网关技术、安全 服务器网络(SSN)技术等基本技术，以及介绍了防火墙的屏蔽路由器、 双重宿主主机体系结构、被屏蔽主机体系结构、被屏蔽子网体系结构和复合 体系结构五种配置方法。虚拟专用网是指企业为加强内部安全而在现有公网上利用加密技术而提 出的筹建类似专用网的一种网络技术。虚拟专用网常可分为拨号和专线两大 类，事实上有很多的分类方法，本章介绍了其他六种分类方法各自的特点， 虚拟专用网主要基于隧道技术、加密技术和QoS技术三种技术。虚拟专用

60、网的安全策略大多基于IPSec策略。入侵检测是基于入侵者的行为不同于一个合法用户的行为而进行量化比 较的一种安全技术。不可避免地，即使是最好的入侵防止系统也会失败，因 为不能期望在入侵者的攻击行为和授权用户对资源的正常使用之间存在一 个清楚的、确切的界限。相反，必须料想到存在某些重叠。目前主要有三种 入侵检测机制：基于主机的入侵检测系统、基于网络的入侵检测系统、分布 式入侵检测系统。主要的入侵检测方法有：静态配置分析、异常性检测方法、 基于行为的检测方法。实施入侵检测通常有信息收集、数据分析、响应三个 基本步骤。 本章习题：1 简述防火墙状态检查技术的原理。2 在Ipsec协议中，安全关联 S

61、A可以进行哪两种方式的组合？简要描 述组合后的四种方式。3. VPN由哪几部分构成？各部分的作用分别是什么？4 如某公司在中国有广州和北京两办事处，现打算通过虚拟专用网进行 连接，请帮他们提供一个可行的方案。5 虚拟专用网的安全策略是什么？6 虚拟专用网有哪几种连接类型？7 入侵检测能解决什么样的安全问题？8 某家网上书店需要对于自身的网络系统进行安全建设，该系统的关键 部件有DNS/Mai1服务器、负载平衡服务器、WWW服务器、数据库 服务器、应用服务器等。请问如果要你来为他们进行安全产品的采购和安全 系统的建设，你有什么好的方案？9 当前许多病毒是通过网络感染的，你认为公司通过购置防火墙或者V PN、IDS产品能有效地预防病毒吗？为什么？