第九章Web安全技術主要內容IP安全技術E-mail安全技術安全掃描技術網絡安全管理技術身份認證技術VPN技術1.IP安全技術目前常見的安全威脅數據泄漏 在網絡上傳輸的明文信息被未授權的組織或個人所截獲，造成信息泄漏。數據完整性的破壞 確保信息的內容不會以任何方式被修改，保證信息到達目的地址時內容與源發地址時內容一致。身份偽裝 入侵者偽造合法用戶的身份來登錄系統，存取只有合法用戶本人可存取的保密信息。拒絕服務 由于攻擊者攻擊造成系統不能正常的提供應有的服務或系統崩潰。解決的方案：加密：防止Sniffer的偵聽和篡改。驗證：防止簡單的身份偽裝和拒絕服務攻擊。為了實現IP網絡的安全，IETF提出了一系列的協議，構成典型的安全體系——IPSec（IPSecurityProtocol）。在RFC中，RFC1825（Internet協議安全體系結構）、RFC1826（IP鑒別頭：AH）、RFC1827（IP封裝安全載荷：ESP）。IPSec安全體系結構安全體系結構 包含了一般的概念、安全需求、定義和定義IPSec的技術機制。AH

將每個數據包中的數據和一個變化的數字簽名結合起來，共同驗證發送方身份是的通信一方能確認發送數據的另一方的身份，并能夠確認數據在傳輸過程中沒有被篡改，防止受到第三方的攻擊。ESP

提供了一種對IP負載進行加密的機制，對數據包上的數據另外進行加密。IKE

一種協商協議，提供安全可靠的算法和密鑰協商，幫助不同結點之間達成安全通信的協定，包括認證方法、加密方法、所有的密鑰、密鑰的使用期限等。AHESP（只加密）ESP（加密并鑒別）訪問控制√√√無連接完整性√√數據源的鑒別√√拒絕重放的分組√√√機密性√√有限的通信量的機密性√√IPSec的服務2.E-mail安全技術垃圾郵件 包括廣告郵件、騷擾郵件、連鎖郵件、反動郵件等。安全電子郵件技術利用SSLSMTP和SSLPOP利用VPN或其他的IP通道技術，將所有的TCP/IP傳輸封裝起E-mail的安全隱患密碼被竊取郵件內容被截獲附件中帶有大量病毒郵箱炸彈的攻擊本身設計上的缺陷PGP（PrettyGoodPrivacy） 使用單向單列算法對郵件內容進行簽名，以此保證信件內容無法被篡改，使用公鑰和私鑰技術保證郵件內容保密已不可否認。 特征：把RSA公鑰體系的方便和傳統加密體制高度結合，在數字簽名和密鑰認證管理機制上更巧妙地設計。密鑰管理，采用公鑰介紹機制來公布公鑰信息，防止攻擊者偽造公鑰發布。功能使用的算法描述數字簽名DSS/SHA或RSA/SHA使用SHA-1創建的報文的散列編碼。采用DSS或RSA算法使用發送者的私有密鑰對這個報文摘要進行加密，并且包含在報文中報文加密CAST或IDEA或3DES，帶有Diffie-Hellman算法或RSA采用CAST-128或IDEA或3DES，使用發送者生成的一次性會話密鑰對報文進行加密，采用Diffie-Hellman或RSA，使用接收方的公開密鑰對會話密鑰進行加密并包含在報文中壓縮ZIP報文可以使用ZIP進行壓縮，用于存儲或傳輸電子郵件兼容性64基轉換為了提供電子郵件應用的透明性，加密的報文可以使用64基轉換算法轉換成ASCII字符串分段－為了滿足最大報文長度的限制，PGP完成報文的分段和重新裝配PGP服務PGP的安全針對私鑰的攻擊對私鑰數據的訪問；對用于加密每個私鑰的秘密通行短語（passphrase）的了解。針對公鑰的攻擊修改公鑰中的簽名，并且標記它為公鑰中已經檢查過的簽名，使得系統不會再去檢查它。針對PGP的使用過程，修改公鑰中的有效位標志，使一個無效的密鑰被誤認為有效。3.安全掃描技術基本原理 采用模擬黑客攻擊的形式對目標可能存在的已知的安全漏洞進行逐項檢查，然后根據掃描結果向系統管理員提供周密可靠的安全性分析報告，為網絡安全的整體水平產生重要的依據?；谥鳈C的安全掃描基于網絡的安全掃描系統安全掃描的工作原理安全管理員基于主機的安全掃描 針對操作系統的掃描檢測，采用被動的，非破壞性的辦法對系統進行檢測。 掃描工具安裝在需掃描的主機上?；诰W絡的安全掃描 采用積極的、非破壞性的辦法來檢測系統是否有可能被攻擊崩潰，利用一系列的腳本模擬對系統進行攻擊的行為，然后對結果進行分析。 通過網絡遠程探測其他主機的安全風險漏洞，安裝在整個網絡環境中的某一臺機器上。4.網絡安全管理技術基本概念 是指對所有計算既往拉應用體系中各個方面的安全技術和產品進行統一的管理和協調，進而從整體上提高整個計算機網絡的防御入侵、抵抗攻擊的能力的體系。技術安全管理方針管理制度和安全人員現代網絡安全管理技術

需要達到的目標：實現各類計算機安全技術、產品之間的協調和聯動，實現有機化；充分發揮各類安全技術和產品的功能；真體安全能力大幅度提高；實現計算機安全手段與現有計算機網絡應用系統的一體化。安全知識培訓網絡設備組件的加固與維護日常檢測——漏洞/異常攻擊事故報告應急事故恢復安全中心——風險分析制定/實施/維護安全策略基于角色的培訓安全動態知識長期培訓主機保護產品組件加固服務網絡入侵檢測產品漏洞掃描產品應急服務小組攻防實驗室安全分析工程師安全知識數據庫維護整體安全解決方案5.身份認證技術原理 身份認證是安全系統中的第一道關卡，用戶在訪問安全系統之前，首先經過身份認證系統識別身份，然后訪問監控器，根據用戶的身份和授權數據庫決定是否能夠訪問某個資源。單機狀態下的身份認證 用戶所知道的； 用戶所擁有的； 用戶所具有的；網絡環境下的身份認證一次性口令技術 如：S/KEY。PPP中的認證協議密碼驗證協議PAP（PasswordAuthenticationProtocol）挑戰－握手認證協議CHAP（Challenge－HandshakeAuthenticationProtocol）PPP擴展認證協議EAP（ExtensibleAuthenticationProtocol）6.1VPN技術含義VPN(VirtualPrivateNetwork)，虛擬專用網在公共網絡中，通過隧道和/或加密技術進行PN(PrivateNetwork)業務的仿真VPN業務在公共網絡中保證私有數據的安全性、專有性同時提供可管理性、擴展性和靈活性VPN的目的對于運營商利用現有網絡設施，充分共享資源在現有網絡上提供增值服務擴大其業務量對于客戶將繁重的網絡維護工作交由運營商管理比自建獨立的小型網絡更為便宜VPN原理VPN的功能可以替換現有的專用網網段或子網。通過把特定應用分離出來滿足相應需求，為專用網絡提供有益的補充。不影響現有專用網的情況下，處理新應用。增加新位置，特別是國際性網站。VPN的分類按企業的組網方式可分為三大類：AccessVPN(遠程訪問VPN)IntranetVPN(企業內部VPN)

ExtranetVPN(擴展的企業內部VPN)AccessVPNAccessVPN的優點減少費用，優化網絡實現本地撥號介入的功能來取代遠距離接入或800電話接入，能降低遠距離通信費用極大的可擴展性，方便對加入網絡的新用戶進行調度節省勞動力IntranetVPNIntranetVPN的優點減少WAN帶寬的費用能使用靈活的拓撲結構，包括全網孔連接新的站點能更快、更容易地被連接通過設備供應商WAN的連接冗余，可以延長網絡的可用時間ExtranetVPNExtranetVPN的優點能容易地對外部網進行部署和管理，外部網的連接可以使用與部署內部網和遠端訪問VPN相同的架構和協議進行部署。6.2VPN實現技術VPN實現技術隧道技術(Tunneling)加解密技術(Encryption&Decryption)QoS技術(QualityofService)隧道技術(Tunneling)加解密技術(Encryption&Decryption)

目前業界和市場上針對網絡傳輸的加密技術產品分為兩大類：逐鏈加密方式：針對鏈路層加密，市場上相關產品有X.25專線加密機、DDN數據加密機等。IPSec加密機制：運行在網絡層，以傳輸方式和隧道方式進行配置，前者適用于兩端點之間的IP層加密，后者適用于兩個網關之間構成一條加密隧道，可以是非IP協議。QoS技術(QualityofService)帶寬：網絡提供給用戶的傳輸率。反應時間：用戶所能容忍的數據報傳遞延時。抖動：延時的變化。丟失率：數據包丟失的比率。6.3VPN應用方案1客戶網絡現狀企業總部網絡有大約20臺終端，使用一臺雙網卡的Windows2000服務器作為網關，并采用ADSL方式接入Internet15個辦事處有一臺計算機，使用電話撥號上網3個辦事處有一臺計算機，但使用小區寬帶上網5個辦事處有2到3臺計算機，組成一個小局域網并通過ISDN接入路由共享上網客戶需求每個辦事處需要有一臺終端能夠接入總部局域網不改變總部局域網現有網絡結構有足夠的網絡安全性保障盡量節約網絡建設費用，并要求系統具備良好的可升級能力方案的選擇?方案對比對比項目遠程撥號遠程訪問VPN初期設備投入撥號服務器、中繼線VPN網關VPN客戶端軟件日常通訊費用長途電話費市話費+Internet通訊費通訊速率只能到56kbps根據客戶端接入Internet的方式決定，最低為56kbps并發訪問數量限制受限于電話中繼線的數量無管理復雜度需要一定的日常維護管理一次性配置，日?；緹o需管理通訊加密不加密根據需要，可選擇加密強度網絡拓撲圖小結這種方案能夠保證企業異地辦事機構的終端用戶、在家辦公的員工以及出差的員工能夠隨時通過Internet安全地接入企業內部網絡并使用所有的內部網絡資源；在網絡規模方面，只要求總部有比較完善的網絡環境，對公司分支機構的網絡環境要求不高；可以方便地對用戶進行訪問權限管理。6.4VPN應用方案2客戶需求

總部在廣州，全國多個城市