1、第10章 網絡平安技術 本章要點：10.1 根本概念10.2 數據備份10.3 加密技術10.4 防火墻10.5 防病毒10.6 入侵檢測10.1.1 信息平安威脅 1竊聽 信息在傳輸過程中被直接或是間接地竊聽網絡上的特定數據包，通過對其的分析得到所需的重要信息。數據包仍然能夠到到目的結點，其數據并沒有喪失。 2截獲 信息在傳輸過程中被非法截獲，并且目的結點并沒有收到該信息，即信息在中途喪失了。 10.1 根本概念3偽造 沒有任何信息從源信息結點發出，但攻擊者偽造出信息并冒充源信息結點發出信息，目的結點將收到這個偽造信息。4篡改 信息在傳輸過程中被截獲，攻擊者修改其截獲的特定數據包，從而破壞了

2、數據的數據的完整性，然后再將篡改后的數據包發送到目的結點。在目的結點的接收者看來，數據似乎是完整沒有喪失的，但其實已經被惡意篡改正。 重點提示：網絡平安是指利用各種網絡監控和管理技術，對網絡系統的硬、軟件和系統中的數據資源進行保護，從而保證網絡系統連續、平安且可靠的運行。網絡中存在的信息平安威脅有竊聽、截獲、偽造和篡改。圖10-1 信息平安威脅 10.1.2 網絡攻擊 1效勞攻擊 效勞攻擊即指對網絡中的某些效勞器進行攻擊，使其“拒絕效勞而造成網絡無法正常工作。 2非效勞攻擊 利用協議或操作系統實現協議時的漏洞來到達攻擊的目的，它不針對于某具體的應用效勞，因此非效勞攻擊是一種更有效的攻擊手段。

3、10.1.3 網絡平安的根本要素 1機密性2完整性3可用性4可鑒別性5不可抵賴性10.1.4 計算機系統平安等級1D類 D類的平安級別最低，保護措施最少且沒有平安功能。2C類 C類是自定義保護級，該級的平安特點是系統的對象可自主定義訪問權限。C類分為兩個級別：C1級與C2級。 1C1級 C1級是自主平安保護級，它能夠實現用戶與數據的別離。數據的保護是以用戶組為單位的，并實現對數據進行自主存取控實現制。 2C2級 C2級是受控訪問級，該級可以通過登錄規程、審計平安性相關事件來隔離資源。3B類 B類是強制式平安保護類，它的特點在于由系統強制實現平安保護，因此用戶不能分配權限，只能通過管理員對用戶進

4、行權限的分配。 1B1級 B1級是標記平安保護級。該級對系統數據進行標記，并對標記的主客體實行強制存取控制。 2B2級 B2級是結構化平安保護級。該級建立形式化的平安策略模型，同時對系統內的所有主體和客體，都實現強制訪問和自主訪問控制。 3B3級 B3級是平安級，它能夠實現訪問監控器的要求，訪問監控器是指監控器的主體和客體之間授權訪問關系的部件。該級還支持平安管理員職能、擴充審計機制、當發生與平安相關的事件時將發出信號、同時可以提供系統恢復過程。4A類 A類是可驗證的保護級。它只有一個等級即A1級。A1級的功能與B3幾乎是相同的，但是A1級的特點在于它的系統擁有正式的分析和數學方法，它可以完全

5、證明一個系統的平安策略和平安規格的完整性與一致性。同時，A1級還規定了將完全計算機系統運送到現場安裝所遵守的程序。10.1.4 網絡平安模型1根本模型 在網絡信息傳輸中，為了保證信息傳輸的平安性，一般需要一個值得信任的第三方，負責向源結點和目的結點進行秘密信息分發，同時在雙方發生爭執時，也要起到仲裁的作用。在根本的平安模型中，通信的雙方在進行信息傳輸前，先建立起一條邏輯通道，并提供平安的機制和效勞，來實現在開放網絡環境中信息的平安傳輸。 1從源結點發出的信息，使用如信息加密等加密技術對其進行平安的轉，從而實現該信息的保密性，同時也可以在該信息中附加一些特征的信息，作為源結點的身份驗證。 2源結

6、點與目的結點應該共享如加密密鑰這樣的保密信息，這些信息除了發送雙方和可信任的第三方以外，對其他用戶都是保密的。 圖10-2 網絡平安根本模型2P2DR模型 1平安策略Policy 平安策略是模型中的防護、檢測和響應等局部實施的依據，一個平安策略體系的建立包括策略的制定、評估與執行。 2防護Protection 防護技術包括：防火墻、操作系統身份認證、數據加密、訪問控制、授權、虛擬專用網技術和數據備份等，它對系統可能出現的平安問題采取預防措施。 3檢測Detection 檢測功能使用漏洞評估、入侵檢測等系統檢測技術，當攻擊者穿透防護系統時，發揮功用。 4響應Response 響應包括緊急響應和恢

7、復處理，而恢復又包括系統恢復和信息恢復，響應系統在檢測出入侵時，開始事件處理的工作。 圖10-3 P2DR模型 重點提示： 網絡平安的根本要素包括：保密性、完整性、可用性、可鑒別性和不可抵賴性。美國國防部和國家標準局將計算機系統平安等級分為A、B、C、D這4類，共有7級。網絡根本平安模型要求通信的雙方在進行信息傳輸前，先建立起一條邏輯通道，并提供平安的機制和效勞并且有一個可供信任的第三方進行扮演仲裁者和秘密信息發布者的角色。10.2 數據備份10.2.1 數據備份模型 1物理備份 物理備份是將磁盤塊的數據從拷貝到備份介質上的備份過程，它忽略了文件和結構，它也被稱為“基于塊的備份和“基于設備的備

8、份。 2邏輯備份 邏輯備份順序地讀取每個文件的物理塊，并連續地將文件寫在備份介質上，實現每個文件的恢復，因此，邏輯備份也被稱為“基于文件的備份。10.2.2 冷備份與熱備分1冷備份 冷備份是指“不在線的備份，當進行冷備份操作時，將不允許來自用戶與應用對數據的更新。 2熱備份 熱備份是指“在線的備份，即下載備份的數據還在整個計算機系統和網絡中，只不過傳到令一個非工作的分區或是另一個非實時處理的業務系統中存放。 重點提示：數據備份是為了盡可能快地全盤恢復運行計算機系統所需的數據和系統信息。數據備份模型分為：物理備份和邏輯備份。10.2.3 數據備分的設備1磁盤陣列 2磁帶機3磁帶庫4光盤塔5光盤庫

9、6光盤鏡像效勞器10.2.4 數據備份的策略1完全備份 完全備份即是將用戶指定的數據甚至是整個系統的數據進行完全的備份。2增量備份 增量備份是針對完全備份，在進行增量備份，只有那些在上次完全或者增量備份后被修改了的文件才會被備份。3差異備份 差異備份是將最近一次完全備份后產生的所有數據更新進行備份。差異備份將完全恢復時所涉及到的備份文件數量限制為2 個。 表10-1 三種備份策略的比較 空間使用備份速度恢復速度完全備份最多最慢最快增量備份最少最快最慢差異備份少于完全備份快于完全備份快于增量備份 重點提示：重點提示：數據備份的策略是用來解決何時備份、備份何種數據以及用何種方式恢復故障的問題。它可

10、以分為：完全備份、增量備份和差異備份。其中完全備份使用的空間最多，備份速度最慢，恢復程度最快；增量備份使用空間最小，備份速度最快，恢復速率最慢；差異備份摒除了前兩種備份方式的缺點，吸收了它們的優點。10.3 加密技術10.3.1 加密與解密1根本流程 A發送消息“Password is welcome這樣的報文給B，但不希望有第三個人知道這個報文的內容，因此他使用一定的加密算法，將該報文轉換為別人無法識別的密文，這個密文即使在傳輸的過程中被截獲，一般人也無法解密。當B收到該密文后，使用共同協商的解密算法與密鑰，那么將該密文轉化為原來的報文內容。圖10-4 加密與解密的流程40210995116

11、27761123325.192296858535 10561627.205759403793 101283823.402823669209 10641921.844674407371 10密鑰位數嘗試個數密鑰位數嘗試個數401125612864表10-2 密鑰位數與嘗試密鑰的個數2密鑰 加密與解密的操作過程都是在一組密鑰的控下進行的，這個密鑰可以作為加密算法中可變參數，它的改變可以改變明文與密文之間的數學函數關系。 10.3.2 對稱密鑰技術 1工作原理 對稱密鑰技術即是指加密技術的加密密鑰與解密密鑰是相同的，或者是有些不同，但同其中一個可以很容易地推導出另一個。 圖10-5 對稱密鑰技術 2

12、常用對稱密鑰技術 常用的對稱密鑰算法有DES算法與IDES算法。 1DES算法 DES算法是一種迭代的分組密碼，它的輸入與輸出都是64，包括一個56位的密鑰和附加的8位奇偶校驗位。 2IDEA算法 IDEA算法的明文與密文都是64位的，密鑰的長度為128位，它是比DEA算法更有效的算法。10.3.3 非對稱密鑰技術1工作原理 不可能從任何一個密鑰推導出另一個密鑰。同時加密密鑰為公鑰是可以公開的，而解密密鑰為私鑰是保密的。在此，非對稱密鑰技術也被稱為公鑰加密加技術。 圖10-6 非對稱密鑰技術2常用非對稱密鑰技術 常用的非對稱密鑰算法包括RSA算法、DSA算法、PKCS算法與PGP算法。其中最常

13、見的技術即為RSA算法，它的理論根底是數論中大素數分解，它的保密性隨著密鑰的長度的增加而增強。但是，現在使用這種算法來加密大量的數據，其實現的速度太慢了，因此該算法現在廣泛應用于密鑰的分發。 重點提示：加密的根本思想即是將明文轉變為密文，而解密那么是將密文轉變為明文，這樣保證了信息傳輸的保密性。密鑰是加重密算法中的可變參數，密鑰的位數長度決定了加密算法的平安性。傳統的密碼體制包括對稱密碼體制和非對稱密碼體制。10.4 防火墻10.4.1 防火墻的根本概念 1所有的從外部到內部的通信都必須經過它。 2只有有內部訪問策略授權的通信才能被允許通過。 3系統本身具有很強的高可靠性。圖10-7 防火墻的

14、安裝位置10.4.2 防火墻的根本類型1包過濾路由器 圖10-8 包過濾路由器的工作原理2應用網關圖10-9 應用網關的工作原理3應用代理圖10-10 應用代理的工作原理4狀態檢測 狀態檢測能通過狀態檢測技術，動態地維護各個連接的協議狀態。 重點提示：防火墻在網絡之間通過執行控制策略來保護網絡系統，防火墻包括硬件和軟件兩局部。防火墻根據其實現技術可以分為：包過濾路由器、應用網關、應用代理和狀態檢測4類。10.4.3 防火墻的結構 1包過濾型結構 包過濾型結構是通過專用的包過濾路由器或是安裝了包過濾功能的普通路器來實現的。包過濾型結構對進出內部網絡的所有信息進行分析，按照一定的平安策略對這些信息

15、進行分析與限制。 2雙宿網關結構 連接了兩個網絡的多宿主機稱為雙宿主機。多宿主機是具有多個網絡接口卡的主機，每個接口都可以和一個網絡連接，因為它能在不同的網絡之間進行數據交換換，因此也稱為網關。雙宿網關結構即是一臺裝有兩塊網卡的主機作為防火墻，將外部網絡與同部網絡實現物理上的隔開。圖10-11 雙宿網關結構3屏蔽主機結構 屏蔽主機結構將所有的外部主機強制與一個堡壘主機相連，從而不允許它們直接與內部網絡的主機相連，因此屏撇主機結構是由包過濾路由器和堡壘主機組成的。 4屏蔽子網結構 屏蔽子網結構使用了兩個屏蔽路由器和兩個堡壘主機。在該系統中，從外部包過濾由器開始的局部是由網絡系統所屬的單位組建的，

16、屬于內部網絡，也稱為“DMZ網絡。外部包過濾路由器與外部堡壘主機構成了防火墻的過濾子網；內部包過濾路由器和內部堡壘主機那么用于對內部網絡進行進一步的保護。 圖10-12 包過濾路由器的數據包轉發過程 圖10-13 屏蔽子網結構示意圖10.4.4 防火墻的安裝與配置1防火墻的網絡接口 1內網 內網一般包括企業的內部網絡或是內部網絡的一局部。 2外網 外網指的是非企業內部的網絡或是Internet，內網與外網之間進行通信，要通過防火墻來實現訪問限制。 3DMZ 非軍事化區 DMZ是一個隔離的網絡，可以在這個網絡中放置Web效勞器或是E-mail效勞器等，外網的用戶可以訪問DMZ。2防火墻的安裝與初

17、始配置 給防火墻加電令它啟動。 將防火墻的Console口連接到計算機的串口上，并通過Windows操作系統的超級終端，進入防火墻的特權模式。 配置Ethernet的參數。 配置內外網卡的IP地址、指定外部地址范圍和要進行轉換的內部地址。 設置指向內網與外肉的缺省路由。 配置靜態IP地址映射。 設置需要控制的地址、所作用的端口和連接協議等控制選項并設置允許telnet遠程登錄防火墻的IP地址。保存配置。3防火墻的訪問模式 1非特權模式 2特權模式 3配置模式 4監視模式10.5 防病毒10.5.1 計算機病毒 1計算機病毒的概念 計算機病毒是指計算機程序中的一段可執行程序代理，它可以破壞計算機

18、的功能甚至破壞數據從而影響計算機的能力。計算機病毒通過對其他程序的修改，可以感染這些程序，使其成為病毒程序的復制，使之很快蔓延開來，很難鏟除。 2計算機病毒的特征 1非授權可執行性 2隱蔽性 3傳染性 4潛伏性 5破壞性 6可觸發性 3計算機病毒分類 1按破壞性分類 2按傳染方式分類 3按連接方式分類10.5.2 網絡病毒1網絡病毒的特征 1傳播方式多樣，傳播速度快。 2影響面廣 3破壞性強 4難以控制 5病毒變種多樣 6病毒智能化、隱蔽化 7出現混合病毒2蠕蟲與木馬 1蠕蟲 蠕蟲是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等。與普通病毒相比，而蠕蟲不使用駐留

19、文件即可在系統之間進行自我復制，它的傳染目標是互聯網內的所有計算機。 2木馬 “木馬程序是目前比較流行的病毒文件，但是它不會自我繁殖，也并不“刻意地去感染其他文件，它通過將自身偽裝吸引用戶下載執行，向施種木馬者提供翻開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種者的電腦。10.5.3 網絡版防病毒系統1系統中心 系統中心實時記錄計算機的病毒監控、檢測和去除的信息，實現對整個防護系統的自動控制。2效勞器端 效勞器端為網絡效勞器操作系統應用而設計。3客戶端 客戶端對當前工作站上病毒監控、檢測和去除，并在需要時向系統中心發送病毒監測報告。4管理控制臺 管理控制臺是為了網絡管理員的應用而設計的，通過它可以集中管理網絡上所有已安裝的防病毒系統防護軟件的計算機。10.6 入侵檢測10.6.1 入侵檢測技術的根本概念 1入侵檢測技術 入侵檢測技術即是對入侵行為進行檢測的