第六章互聯網安全技術與防范對策

內容提要網絡安全基礎防火墻技術VPN技術網絡攻擊手段網絡入侵檢測訪問控制技術2025/3/181第六章互聯網安全技術與防范對策網絡安全的定義網絡安全是信息系統安全的基礎。網絡系統的安全涉及到平臺的各個方面。按照網絡OSI的7層模型，網絡安全貫穿于整個7層模型。針對網絡系統實際運行的TCP/IP協議，網絡安全貫穿于信息系統的4個層次。下表表示了對應網絡系統的安全體系層次模型：網絡應用系統的安全體系包括：訪問控制、檢查安全漏洞、攻擊監控、加密通信、認證、備份和恢復、多層防御、設立安全監控中心。2025/3/182第六章互聯網安全技術與防范對策網絡安全服務內涵①認證。②對等實體鑒別③訪問控制④信息加密⑤信息的完整性⑥抗拒絕服務⑦業務的有效性⑧審計⑨不可抵賴2025/3/183第六章互聯網安全技術與防范對策網絡安全防范機制①加密機制②數字簽名機制③存取控制機制④信息完整性機制⑤業務量填充機制⑥路由控制機制⑦公證機制2025/3/184第六章互聯網安全技術與防范對策網絡安全關鍵技術（1）入侵檢測（2）訪問控制（3）加密技術（4）身份認證技術2025/3/185第六章互聯網安全技術與防范對策第六章互聯網安全技術與防范對策

內容提要網絡安全基礎防火墻技術VPN技術網絡攻擊手段網絡入侵檢測訪問控制技術2025/3/186第六章互聯網安全技術與防范對策防火墻的由來：古代構筑和使用木制結構房屋的時候為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構筑物就被稱為“防火墻”（FireWall）防火墻的概念：是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。防火墻是具有以下特征的計算機硬件或軟件：（1）所有進出網絡的通信流都應該通過防火墻；（2）所有穿過防火墻的通信流都必須有安全策略和計劃的確認和授權；（3）理論上說，防火墻是穿不透的。通常意義上講的硬防火墻為硬件防火墻，它是通過硬件和軟件的結合來達到隔離內、外部網絡的目的，價格較貴，但效果較好，一般小型企業和個人很難實現；軟件防火墻是通過軟件的方式來達到，價格很便宜，但這類防火墻只能通過一定的規則來達到限制一些非法用戶訪問內部網的目的。2025/3/187第六章互聯網安全技術與防范對策防火墻的功能1.防火墻是網絡安全的屏障一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。2.防火墻可以強化網絡安全策略通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。3.對網絡存取和訪問進行監控審計如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。4.防止內部信息的外泄通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger，DNS等服務。5.防火墻的抗攻擊能力除了安全作用，防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。2025/3/188第六章互聯網安全技術與防范對策防火墻的不足防火墻的缺點主要表現在以下幾個方面：

1、不能防范惡意的知情者防火墻可以禁止系統用戶經過網絡連接發送專有的信息，但用戶可以將數據復制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經在防火墻內部，防火墻是無能為力的。內部用戶可以偷竊數據，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅，只能要求加強內部管理，如主機安全和用戶教育等。2、不能防范不通過它的連接防火墻能夠有效地防止通過它的傳輸信息，然而它卻不能防止不通過它而傳輸的信息。例如，如果站點允許對防火墻后面的內部系統進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。3、不能防備全部的威脅防火墻被用來防備已知的威脅，如果是一個很好的防火墻設計方案，就可以防備新的威脅，但沒有一扇防火墻能自動防御所有新的威脅。4、防火墻不能防范病毒防火墻一般不能消除網絡上的病毒。

2025/3/189第六章互聯網安全技術與防范對策防火墻的一些相關術語網關：在兩個設備之間提供轉發服務的系統。網關是互聯網應用程序在兩臺主機之間處理流量的防火墻。這個術語是非常常見的。DMZ非軍事化區：為了配置管理方便，內部網中需要向外提供服務的服務器往往放在一個單獨的網段，這個網段便是非軍事化區。防火墻一般配備三塊網卡，在配置時一般分別連接內部網，internet和DMZ。吞吐量：網絡中的數據是由一個個數據包組成，防火墻對每個數據包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火墻的數據包數量。這是測量防火墻性能的重要指標。最大連接數：和吞吐量一樣，數字越大越好。但是最大連接數更貼近實際網絡情況，網絡中大多數連接是指所建立的一個虛擬通道。數據包轉發率：是指在所有安全規則配置正確的情況下，防火墻對數據流量的處理速度。SSL：SSL（SecureSocketsLayer）是由Netscape公司開發的一套Internet數據安全協議，當前版本為3.0。它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸。SSL協議位于TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持

網絡地址轉換：網絡地址轉換（NAT）是一種將一個IP地址域映射到另一個IP地址域技術，從而為終端主機提供透明路由。NAT包括靜態網絡地址轉換、動態網絡地址轉換、網絡地址及端口轉換、動態網絡地址及端口轉換、端口映射等。堡壘主機：一種被強化的可以防御進攻的計算機，被暴露于因特網之上，作為進入內部網絡的一個檢查點，以達到把整個網絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。2025/3/1810第六章互聯網安全技術與防范對策防火墻的基本類型一、包過濾防火墻二、代理服務器防火墻三、狀態監視器防火墻2025/3/1811第六章互聯網安全技術與防范對策包過濾防火墻數據包過濾(Packet

Filtering)技術是在網絡層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯，

被稱為訪問控制表(Access

Control

Table)。基本思想：對于每個進來的包適用一組規則，然后決定轉發或丟棄該包如何過濾過濾的規則以IP層和運輸層的頭中的字段為基礎過濾器往往建立一組規則，根據IP包是否匹配規則中指定的條件來作出決定：如果匹配到一條規則，則根據此規則決定轉發或者丟棄如果所有規則都不匹配，則根據缺省策略2025/3/1812第六章互聯網安全技術與防范對策包過濾防火墻示意圖網絡層鏈路層外部網絡內部網絡2025/3/1813第六章互聯網安全技術與防范對策1.包過濾防火墻的工作原理采用這種技術的防火墻產品，通過在網絡中的適當位置對數據包進行過濾，根據檢查數據流中每個數據包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態等要素，然后依據一組預定義的規則，以允許合乎邏輯的數據包通過防火墻進入到內部網絡，而將不合乎邏輯的數據包加以刪除。2.包過濾防火墻的優缺點包過濾防火墻的優點是：（1）邏輯簡單，價格便宜（通常安裝在路由器上），網絡性能和透明性好，；（2）與應用層無關，無須改動任何客戶機和主機上的應用程序，易于安裝和使用。它也有一些缺點：（1）包過濾配置起來比較復雜，需要對IP、TCP、UDP、ICMP等各種協議有深入的了解（2）允許外部客戶和內部主機的直接連接（3）對IP欺騙式攻擊比較敏感，不提供用戶的鑒別機制，沒有用戶的使用記錄，這樣就不能從訪問記錄中發現黑客的攻擊記錄。而攻擊一個單純的包過濾式的防火墻對黑客來說是比較容易的，他們在這一方面已經積累了大量的經驗。2025/3/1814第六章互聯網安全技術與防范對策代理服務器防火墻代理服務(ProxyService)也稱鏈路級網關或TCP通道(CircuitLevelGatewaysorTCPTunnels)。代理服務器作用于應用層，也稱為應用層網關。代理服務器型（應用層網關）結構示意圖2025/3/1815第六章互聯網安全技術與防范對策應用層網關的協議棧結構應用層運輸層外部網絡內部網絡鏈路層網絡層HTTPFTPTelnetSmtp2025/3/1816第六章互聯網安全技術與防范對策1.代理服務器防火墻的工作原理代理服務器運行在兩個網絡之間，它對于客戶來說像是一臺真的服務器一樣，而對于外界的服務器來說，它又是一臺客戶機。當代理服務器接收到用戶的請求后，會檢查用戶請求的站點是否符合公司的要求，如果公司允許用戶訪問該站點的話，代理服務器會像一個客戶一樣，去那個站點取回所需信息再轉發給客戶。2.代理服務器防火墻的優缺點代理服務器防火墻的優點：可以將被保護的網絡內部結構屏蔽起來，增強網絡的安全性；可用于實施較強的數據流監控、過濾、記錄和報告等。代理服務器防火墻的缺點：使訪問速度變慢，因為它不允許用戶直接訪問網絡；應用級網關需要針對每一個特定的Internet服務安裝相應的代理服務器軟件，用戶不能使用未被服務器支持的服務，這就意味著用戶可能會花費一定的時間等待新服務器軟件的安裝；并不是所有的Internet應用軟件都可以使用代理服務器。2025/3/1817第六章互聯網安全技術與防范對策狀態監視器防火墻1.狀態監視器防火墻的工作原理這種防火墻安全特性非常好，它采用了一個在網關上執行網絡安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網絡正常工作的前提下，采用抽取相關數據的方法對網絡通信的各層實施監測，抽取部分數據，即狀態信息，并動態地保存起來作為以后指定安全決策的參考。2.狀態監視器防火墻的優缺點狀態監視器的優點：（1）檢測模塊支持多種協議和應用程序，并可以很容易地實現應用和服務的擴充。（2）它會監測RPC和UDP之類的端口信息，而包過濾和代理網關都不支持此類端口。（3）性能堅固狀態監視器的缺點：（1）配置非常復雜。（2）會降低網絡的速度。2025/3/1818第六章互聯網安全技術與防范對策防火墻的基本技術1.雙端口或三端口結構2.透明訪問方式3.代理系統技術4.多級過濾技術5.網絡地址轉換技術（NAT）6.Internet網關技術7.安全服務器網絡（SSN）技術8.用戶鑒別與加密技術9.用戶定制技術10.審計和告警技術2025/3/1819第六章互聯網安全技術與防范對策防火墻的配置結構三種體系結構：一、屏蔽路由器二、雙宿主主機結構三、被屏蔽主機四、被屏蔽子網五、復合體系結構幾個相關概念堡壘主機（BastionHost）：指一個計算機系統，它對外部網絡暴露，同時又是內部網絡用戶的主要連接點。雙宿主主機（Dual-homedHost）：至少有兩個網絡接口的通用計算機系統。DMZ(DemilitarizedZone，非軍事區或者停火區)：在內部網絡和外部網絡之間增加的一個子網，也稱為參數網絡。2025/3/1820第六章互聯網安全技術與防范對策一、屏蔽路由器屏蔽路由器(ScreeningRouter)，也叫安全路由器。它可以由廠家專門生產的路由器實現，也可以用主機來實現。屏蔽路由器作為內外連接的惟一通道，要求所有的報文都必須在此通過檢查。路由器上可以安裝基于IP層的報文過濾軟件，實現報文過濾功能。許多路由器本身帶有報文過濾配置選項，但一般比較簡單。單純由屏蔽路由器構成的防火墻的危險包括路由器本身及路由器允許訪問的主機。屏蔽路由器的缺點是一旦被攻隱后很難發現，而且不能識別不同的用戶。2025/3/1821第六章互聯網安全技術與防范對策二、雙重宿主主機體系結構雙宿主主機體系結構防火墻沒有使用路由器。雙重宿主主機體系結構圍繞雙重宿主主機構筑。雙重宿主主機至少有兩個網絡接口，它可以充當與這些接口相連的網絡之間的路由器，也能夠從一個網絡到另外一個網絡發送IP數據包。雙宿主主機的防火墻體系結構禁止這種發送，因此IP數據包并不是從一個網絡直接發送到另一個網絡。外部網絡和內部網絡都能與雙宿主主機通信，但是它們不能直接通信，必須經過雙宿主主機的過濾和控制。2025/3/1822第六章互聯網安全技術與防范對策三、被屏蔽主機體系結構也稱為主機過濾結構，由包過濾路由器和堡壘主機組成，堡壘主機僅僅與內部網相連。任何外部網的主機都只能與內部網的堡壘主機建立連接，任何外部系統對內部網絡的操作都必須經過堡壘主機。2025/3/1823第六章互聯網安全技術與防范對策四、被屏蔽子網體系結構采用了兩個包過濾路由器和一個堡壘主機，在內外網絡之間建立了一個被隔離的子網，定義為“非軍事區”（DMZ），使得內部網與外部網之間有三層防護。2025/3/1824第六章互聯網安全技術與防范對策五、復合體系結構一般有以下幾種形式：①使用多堡壘主機；②合并內部路由器與外部路由器；③合并堡壘主機與外部路由器；④合并堡壘主機與內部路由器；⑤使用多臺內部路由器；⑥使用多臺外部路由器；⑦使用多個周邊網絡；⑧使用雙重宿主主機與屏蔽子網。2025/3/1825第六章互聯網安全技術與防范對策防火墻的安全策略①凡是沒有被列為允許訪問的服務都是被禁止的。②凡是沒有被列為禁止訪問的服務都是被允許的。2025/3/1826第六章互聯網安全技術與防范對策市場上常見的硬件防火墻NetScreen208FirewallNetScreen科技公司推出的NetScreen防火墻產品是一種新型的網絡安全硬件產品。NetScreen采用內置的ASIC技術，其安全設備具有低延時、高效的IPSec加密和防火墻功能，可以無縫地部署到任何網絡。設備安裝和操控也是非常容易，可以通過多種管理界面包括內置的WebUI界面、命令行界面或NetScreen中央管理方案進行管理。NetScreen將所有功能集成于單一硬件產品中，它不僅易于安裝和管理，而且能夠提供更高可靠性和安全性。CiscoSecurePIX515-EFirewallCiscoSecurePIX防火墻是Cisco防火墻家族中的專用防火墻設施。CiscoSecurePIX515-E防火墻系通過端到端安全服務的有機組合，提供了很高的安全性。適合那些僅需要與自己企業網進行雙向通信的遠程站點，或由企業網在自己的企業防火墻上提供所有的Web服務的情況。CiscoSecurePIX515-E與普通的CPU密集型專用代理服務器(對應用級的每一個數據包都要進行大量處理)不同，CiscoSecurePIX515-E防火墻采用非UNIX、安全、實時的內置系統。天融信網絡衛士NGFW4000-S防火墻北京天融信公司的網絡衛士是我國第一套自主版權的防火墻系統,目前在我國電信、電子、教育、科研等單位廣泛使用。它由防火墻和管理器組成。網絡衛士NGFW4000-S防火墻是我國首創的核檢測防火墻，更加安全更加穩定，集中了包過濾防火墻、應用代理、網絡地址轉換(NAT)、用戶身份鑒別、虛擬專用網、Web頁面保護、用戶權限控制、安全審計、攻擊檢測、流量控制與計費等功能,可以為不同類型的Internet接入網絡提供全方位的網絡安全服務。東軟NetEye4032防火墻NetEye4032防火墻是NetEye防火墻系列中的最新版本，該系統在性能，可靠性，管理性等方面大大提高。其基于狀態包過濾的流過濾體系結構，保證從數據鏈路層到應用層的完全高性能過濾，可以進行應用級插件的及時升級，攻擊方式的及時響應，實現動態的保障網絡安全。NetEye防火墻4032對流過濾引擎進行了優化，進一步提高了性能和穩定性，同時豐富了應用級插件、安全防御插件，并且提升了開發相應插件的速度。2025/3/1827第六章互聯網安全技術與防范對策防火墻對比防火墻NetScreen208CiscoPIX515ENGFW4000-SNetEye4032核心技術狀態檢測狀態檢測核檢測狀態檢測產品類型ASIC硬件硬件設備硬件設備硬件設備工作模式（路由模式、橋模式、混合模式）路由模式、橋模式路由模式、橋模式路由模式、橋模式、混合模式路由模式、橋模式并發連接數130000130000600000300000網絡吞吐量550M170M100M200M最大支持網絡接口8個6個12個8個操作系統ScreenOS專用操作系統專用操作系統專用操作系統管理方式串口、CLI、Telnet、Web、GUI串口、Telnet、Web、GUI串口、Telnet、Web、GUI串口、Telnet、GUI市場報價142,000RMB80,000RMB138,000RMB148,000RMB2025/3/1828第六章互聯網安全技術與防范對策第六章互聯網安全技術與防范對策

內容提要網絡安全基礎防火墻技術VPN技術網絡攻擊手段網絡入侵檢測訪問控制技術2025/3/1829第六章互聯網安全技術與防范對策VPNVPN即虛擬專用網，是依靠ISP（Internet服務提供商）和其他NSP（網絡服務提供商），在公用網絡中建立專用的數據通信網絡的技術。所謂虛擬，是指用戶不再需要擁有實際的長途數據線路，而是使用Internet公眾數據網絡的長途數據線路。所謂專用網，是指用戶可以為自己制定一個最符合自己需求的網絡。VPN由三個部分組成：客戶機、傳輸介質和服務器。VPN的工作原理是：信息的發送進程通過可信任的內部網發送明文到VPN服務器，由VPN根據安全策略對數據包（包括源IP地址和目的IP地址等）進行加密，并附上數字簽名；然后VPN服務器對數據包加上新的數據報頭，其中包括一些安全信息和參數，對加密后的數據包重新進行封裝。此數據包通過Internet上的“隧道”傳輸，到達目的方的VPN服務器，由該服務器解包，核對數字簽名，并且解密。最后，明文信息通過內部網傳輸到目的地。2025/3/1830第六章互聯網安全技術與防范對策VPN的功能虛擬專用網至少應能提供如下功能：①加密數據，以保證通過公網傳輸的信息即使被他人截獲也不會泄露。②信息認證和身份認證，保證信息的完整性、合法性，并能鑒別用戶的身份。③提供訪問控制，不同的用戶有不同的訪問權限。2025/3/1831第六章互聯網安全技術與防范對策VPN的優缺點VPN具有以下優點：①低成本。企業不必租用長途專線建設專網，不必大量的網絡維護人員和設備投資。②易擴展。網絡路由設備配置簡單，無需增加太多的設備，省時省錢。③完全控制主動權。VPN上的設施和服務完全掌握在企業手中。VPN的幾個不足：①無法保護“越界”數據的安全②VPN的管理流程和平臺與其他成熟的遠程接入服務相比還不太好用③不同廠商的IPsecVPN的管理和配置掌握起來是最難的2025/3/1832第六章互聯網安全技術與防范對策VPN的基本類型按接入方式劃分為兩類專線VPN：專線VPN是為已經通過專線接入ISP（因特網服務提供商）邊緣路由器的用戶提供的VPN實現方案。撥號VPN：撥號VPN又稱VPDN，指的是為利用撥號方式通過PSTN（公用電話交換網）或ISDN（綜合業務數字網）接入ISP的用戶提供的VPN業務。按隧道協議所屬的層次劃分工作在鏈路層的第二層隧道協議工作在網絡層的第三層隧道協議介于第二層和第三層之間的隧道協議按VPN發起主體不同劃分基于客戶的VPN基于網絡的VPN按業務類型劃分InternetVPNAccessVPNExtranetVPN按應用平臺劃分軟件VPN專用硬件VPN輔助硬件VPN按運營商所開展的業務類型劃分撥號VPN業務虛擬租用線虛擬專用路由網業務虛擬專用局域網段2025/3/1833第六章互聯網安全技術與防范對策VPN的關鍵技術（1）隧道技術隧道技術簡單的說就是：原始報文在A地進行封裝，到達B地后把封裝去掉還原成原始報文，這樣就形成了一條由A到B的通信隧道。①一般路由封裝（GRE）GRE主要用于源路由和終路由之間所形成的隧道。GRE通常是點到點的，但和下一跳路由協議（Next-HopRoutingProtocol，NHRP）結合使用可以實現點到多點。GRE隧道技術是用在路由器中的，可以滿足ExtranetVPN和IntranetVPN的需求。遠程訪問撥號用戶一般通過L2TP和PPTP訪問VPN。②L2TP（L2F和PPTP的結合）L2TP是L2F（Layer2Forwarding）和PPTP的結合。采用“強制”隧道模型機制（“NAS初始化”隧道（NetworkAccessServer））。③PPTP（點對點隧道協議）PPTP采用“主動”隧道模型機制（“用戶初始化”隧道）。采用L2TP還是PPTP實現VPN取決于要把控制權放在NAS還是用戶手中。L2TP比PPTP更安全，前者適合集中固定用戶，后者適合移動用戶。（2）加密技術（3）QoS技術（帶寬，反應時間和丟失率）2025/3/1834第六章互聯網安全技術與防范對策VPN分類結構VPN撥號VPN專線VPN客戶發起的VDPNNAS發起的VDPSIPTunnelVPN-awareNetwaresFRATM2025/3/1835第六章互聯網安全技術與防范對策VPN的配置結構①ATMPVC組建方式。即利用電信部門提供的ATMPVC來組建用戶的專用網。這種專用網的通信速率快，安全性高，支持多媒體通信。②IPTunneling組建方式。即在多媒體通信網的IP層組建專用網。其傳輸速率不能完全保證，不支持多媒體通信；使用國際通行的加密算法，安全性好；這種組網方式的業務在公眾通信網遍及的地方均可提供。③Dial-upAccess組網方式（VDPN）。這是一種撥號方式的專用網組建方式，可以利用已遍布全國的撥號公網來組建專用網，其接入地點在國內不限，上網可節省長途撥號的費用，對于流動性強、分支機構多、通信量小的用戶而言，這是一種理想的組網方式，它可以將用戶內部網的界限，從單位的地理所在點延伸到全國范圍。2025/3/1836第六章互聯網安全技術與防范對策VPN的安全策略目前建造虛擬專網的國際標準有IPSec和L2TP。VPN系統使分布在不同地方的專用網絡在不可信任的公共網絡上安全地通信。它采用復雜的算法來加密傳輸的信息，使得敏感的數據不會被竊聽，其處理過程如下：（1）要保護的主機發送明文信息到連接公共網絡的VPN設備。（2）VPN設備根據網管設置的規則，確定是否需要對數據進行加密或讓數據直接通過。對需要加密的數據，VPN設備對整個數據包進行加密和附上數字簽名。（3）VPN設備加上新的數據報頭，其中包括目的地VPN設備需要的安全信息和一些初始化參數。VPN設備對加密后的數據、鑒別包以及源IP地址、目標VPN設備IP地址進行重新封裝，重新封裝后的數據包通過虛擬通道在公網上傳輸。（4）當數據包到達目標VPN設備時，數據包被解封裝，數字簽名被核對無誤后，數據包被解密。2025/3/1837第六章互聯網安全技術與防范對策第六章互聯網安全技術與防范對策

內容提要網絡安全基礎防火墻技術VPN技術網絡攻擊手段網絡入侵檢測訪問控制技術2025/3/1838第六章互聯網安全技術與防范對策DDoSDDoS(DistributedDenialofService，分布式拒絕服務攻擊)是指，攻擊者利用拒絕服務軟件，對某一資源發送垃圾信息，導致帶寬或者資源過載產生瓶頸，從而使得其他的用戶無法享用該服務資源。當一個對資源的合理請求大大超過資源的支付能力時就會造成拒絕服務攻擊。被DDoS攻擊時的現象：被攻擊主機上有大量等待的TCP連接網絡中充斥著大量的無用的數據包，源地址為假制造高流量無用數據，造成網絡擁塞，使受害主機無法正常和外界通訊利用受害主機提供的服務或傳輸協議上的缺陷，反復高速的發出特定的服務請求，使受害主機無法及時處理所有正常請求嚴重時會造成系統死機2025/3/1839第六章互聯網安全技術與防范對策DDoS的工作原理圖2025/3/1840第六章互聯網安全技術與防范對策DDoS的工作原理分析首先，攻擊者通過利用系統服務的漏洞或者管理員的配置錯誤等方法，來進入一些安全措施較差的小型站點以及單位中的服務器。然后，攻擊者在所侵入的服務器上安裝攻擊軟件。其目的在于隔離網絡聯系，保護攻擊者，使其不會在攻擊進行時受到監控系統的跟蹤，同時也能夠更好地協調進攻。再后，攻擊者從攻擊控制臺向各個攻擊服務器發出對特定目標的攻擊命令。攻擊器接到攻擊命令后，就開始每一個攻擊器都會向目標主機發出大量的服務請求數據包。這些包所請求的服務往往要消耗較大的系統資源，這就會導致目標主機網絡和系統資源的耗盡，從而停止服務，甚至會導致系統崩潰。2025/3/1841第六章互聯網安全技術與防范對策DDos的體系結構

DDoS采用一種三層客戶服務器結構。最下層是攻擊的執行者。這一層由許多網絡主機構成。攻擊者通過各種辦法獲得主機的登錄權限，并在上面安裝攻擊器程序。這些攻擊器程序中一般內置了上面一層的某一個或某幾個攻擊服務器的地址，其攻擊行為受到攻擊服務器的直接控制。攻擊服務器。攻擊服務器的主要任務是將控制臺的命令發布到攻擊執行器上。這些服務器與攻擊執行器一樣，安裝在一些被侵入的無關主機上。攻擊主控臺。攻擊主控臺可以是網絡上的任何一臺主機，甚至可以是一個活動的使攜機。它的作用就是向第二層的攻擊服務器發布攻擊命令。2025/3/1842第六章互聯網安全技術與防范對策DDoS的攻擊方法

（1）Hogging這種方法可以繞過普通操作系統的控制，在主機上運行一個程序，這個程序消耗系統資源直到OS失敗，主機崩潰。（2）郵件炸彈(MailBombs)郵件炸彈軟件通過偽造大量傳輸，使郵件服務器處理超過其負荷能力的信息。由于任何—個郵件服務器都會有自己的處理極限，所以該軟件對郵件服務器的影響是很大的。（3）PingofDeath該方法是利用Ping（PacketInternetGroper）發送大小不合法的測試包。特大型的測試包會使未采取保護措施的網絡系統出現問題，甚至崩潰。（4）SYNFlooding這種方法是專門針對TCP協議的，它企圖用盡所有可能的網絡連接，造成用戶合法使用網絡服務的傳輸被拒絕。這種方法利用了SYN（SynchronizeSequenceNumber）包在兩臺主機間初始化對話的功能。2025/3/1843第六章互聯網安全技術與防范對策（5）Zombies[巫毒崇拜，蛇神]該方法是被攻擊者控制用來進行攻擊用的計算機。（6）Smurf（DirectedBroadcast）廣播信息可以通過一定的手段(通過廣播地址或其他機制)發送到整個網絡中的機器。當某臺機器使用廣播地址發送一個ICMPecho請求包時(例如Ping)，一些系統會回應一個ICMPecho回應包，也就是說，發送一個包會收到許多的響應包。Smurf攻擊就是使用這個原理來進行的。（7）S1ashdoteffect這種攻擊力法使web服務器或其他類型的服務器由于大量的網絡傳輸而過載，一般這些網絡流量是針對某一個頁面或一個鏈接而產生的。2025/3/1844第六章互聯網安全技術與防范對策DDoS的攻擊過程（1）搜集了解目標的情況下列情況是黑客非常關心的情報：①被攻擊目標主機數目、地址情況②目標主機的配置、性能③目標的帶寬（2）占領傀儡機黑客最感興趣的是有下列情況的主機：①鏈路狀態好的主機②性能好的主機③安全管理水平差的主機（3）實際攻擊2025/3/1845第六章互聯網安全技術與防范對策網絡監聽網絡監聽的概念捕獲在網絡中傳輸的數據信息就稱為Sniffing(竊聽)。Sniffer可以是硬件，也可以是軟件，它用來接收在網絡上傳輸的信息。Sniffer使網絡接口（如以太網適配器）處于監聽模式，從而可從截獲網絡上的所有內容。要使一臺機器成為一個Sniffer，則或者需要一個特殊的軟件（Ethernet卡的廣播驅動程序）或者需要一種網絡軟件能使網絡處于監聽模式。網絡監聽軟件運行時，需要消耗大量的處理器時間。Sniffer通常運行在路由器，或有路由器功能的主機上。Sniffer屬第二層次的攻擊。不能監聽不在同一個網段計算機傳輸的信息。網絡監聽常常被用來獲取用戶的口令。2025/3/1846第六章互聯網安全技術與防范對策被監聽的網絡通常包括以下幾種

（1）以太網在實際中應用廣泛，很容易被監聽。（2）FDDI、Token-ring不是廣播型網絡，但包在傳輸過程中是沿環傳送的，高的傳輸率使監聽變得困難。（3）使用電話線被監聽的可能性中等，高速的MODEM比低速的MODEM搭線困難的多。（4）通過有線電視信道傳送IP被監聽的可能性比較高。（5）微波和無線電被監聽的可能性比較高。2025/3/1847第六章互聯網安全技術與防范對策Sniffer可以截獲的信息

一個Sniffer可能截獲網絡上所有的信息。通常包括以下信息：Sniffer可以截獲用戶明文傳送的ID和口令。Sniffer能夠捕獲專用的或者機密的信息。Sniffer可以用來危害網絡鄰居的安全，或者用來獲取更高級別的訪問權限。Sniffer可以窺探低級的協議信息。Sniffer與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實的網絡報文。2025/3/1848第六章互聯網安全技術與防范對策防止sniffer

首先就要確保以太網的整體安全r。其次，使用加密傳輸敏感數據。另一個比較容易接受的是使用安全拓撲結構。2025/3/1849第六章互聯網安全技術與防范對策口令破解口令破解的方法（1）窮舉法(蠻力猜測)所謂窮舉法就是對所有可能的口令組合都進行猜測，所以也被稱為蠻力猜測。（2）利用漏洞①利用技術漏洞②利用管理漏洞（3）字典法破譯所謂字典法攻擊，是將已有的字典文件作為用戶的口令輸入給遠端的主機，申請進人系統。若驗證不成功，程序就自動按序提取下一個字符串，同理進行嘗試。攻擊就依次一直循環下去，直到口令驗證通過，或字典的字符串用完為止。（4）缺省的登錄界面(ShellScripts)攻擊法（5）通過網絡監聽非法得到用戶口令黑客利用監聽軟件可以監聽其所在網段的所有用戶賬號和口令。2025/3/1850第六章互聯網安全技術與防范對策如何保證口令的安全（1）注意口令的組合。（2）防止口令被監聽（3）防止窮舉法和字典攻擊2025/3/1851第六章互聯網安全技術與防范對策第六章互聯網安全技術與防范對策

內容提要網絡安全基礎防火墻技術VPN技術網絡攻擊手段網絡入侵檢測訪問控制技術2025/3/1852第六章互聯網安全技術與防范對策入侵檢測系統的概念入侵檢測通過對計算機網絡或計算機系統中的若干關鍵點收集信息并進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合就是入侵檢測系統。IDS(IntrusionDetectionSystem)的運行方式有兩種，一種是在目標主機上運行以監測其本身的通信信息，另一種是在一臺單獨的機器上運行以監測所有網絡設備的通信信息，比如Hub、路由器。2025/3/1853第六章互聯網安全技術與防范對策IDS能夠檢測出的最常見的Internet攻擊類型

①DOS（DenialOfServiceattack，拒絕服務攻擊）②DDOS（DistributedDenialofService，分布式拒絕服務攻擊）③Smurf④Trojans（特洛伊木馬）2025/3/1854第六章互聯網安全技術與防范對策IDS性能指標1．每秒數據流量（Mbps或Gbps）2．每秒抓包數（pps）3．每秒能監控的網絡連接數4．每秒能夠處理的事件數2025/3/1855第六章互聯網安全技術與防范對策入侵檢測系統的原理基本原理：對網絡上的所有數據包進行復制并檢測，然后與內部的攻擊特征數據庫（規則庫）進行匹配比較，如果相符即產生報警或響應。2025/3/1856第六章互聯網安全技術與防范對策入侵檢測系統的分類IDS分類1－ApplicationIDS（應用程序IDS）IDS分類2－ConsolesIDS（控制臺IDS）IDS分類3－FileIntegrityCheckers（文件完整性檢查器）IDS分類4－Honeypots（蜜罐）IDS分類5－Host-basedIDS（基于主機的IDS）IDS分類6－HybridIDS（混合IDS）IDS分類7－NetworkIDS（NIDS，網絡IDS）IDS分類8－NetworkNodeIDS（NNIDS，網絡節點IDS）IDS分類9－PersonalFirewall（個人防火墻）IDS分類10－Target-BasedIDS（基于目標的IDS）2025/3/1857第六章互聯網安全技術與防范對策入侵檢測的主要方法靜態配置分析異常性檢測方法基于行為的檢測方法幾種方法的組合2025/3/1858第六章互聯網安全技術與防范對策入侵檢測系統的實現步驟入侵檢測實現一般分為三個步驟，依次為：信息收集、數據分析、響應（被動響應和主動響應）。2025/3/1859第六章互聯網安全技術與防范對策第六章互聯網安全技術與防范對策

內容提要網絡安全基礎防火墻技術VPN技術網絡攻擊手段網絡入侵檢測訪問控制技術2025/3/1860第六章互聯網安全技術與防范對策訪問控制概述訪問控制技術最早產生于六十年代。訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問。訪問控制的功能有三個：阻止非法用戶進入系統；允許合法用戶進入系統；使合法人按其權限進行各種信息活動。訪問控制策略有三種：最小權益策略。按主體執行任務所需權利最小化分配權利。最小泄漏策略。按主體執行任務所需知道的信息最小化分配權利。多級安全策略。主體和客體按普通、秘密、機密和絕密劃分，進行權限和流向控制。2025/3/1861第六章互聯網安全技術與防范對策訪問控制內容（1）入網訪問控制（2）權限控制（3）目錄安全控制（4）屬性安全控制（5）服務器安全控制2025/3/1862第六章互聯網安全技術與防范對策入網訪問控制入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶名和口令驗證有效之后，再進一步履行用戶賬號的缺省限制檢查。網絡應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。2025/3/1863第六章互聯網安全技術與防范對策權限控制網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽可作為兩種實現方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。根據訪問權限可以將用戶分為以下幾類：①特殊用戶（即系統管理員）；②一般用戶，系統管理員根據他們的實際需要為他們分配操作權限；③審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用訪問控制表來描述。2025/3/1864第六章互聯網安全技術與防范對策目錄安全控制網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統管理員權限（Supervisor）讀權限（Read）寫權限（Write）創建權限（Create）刪除權限（Erase）修改權限（Modify）文件查找權限（FileScan）訪問控制權限（AccessControl）用戶對文件或目標的有效權限取決于以下三個因素：用戶的受托者指派；用戶所在組的受托者指派；繼承權限屏蔽取消的用戶權限。一個網絡管理員應當為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。

2025/3/1865第六章互聯網安全技術與防范對策屬性安全控制當用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。2025/3/1866第六章互聯網安全技術與防范對策服務器安全控制網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。2025/3/1867第六章互聯網安全技術與防范對策訪問控制技術（1）自主訪問控制技術（DiscretionaryAccessControl，DAC）目前我國大多數信息系統的訪問控制模塊基本都是借助于自主訪問控制方法中的訪問控制列表(ACLs)。自主訪問控制有一個明顯的缺點就是這種控制是自主的，它能夠控制主體對客體的直接訪問，但不能控制主體對客體的間接訪問（利用訪問的傳遞性，即A可訪問B，B可訪問C，于是A可訪問C）。雖然這種自主性為用戶提供了很大的靈活性，但同時也帶來了嚴重的安全問題。2025/3/1868第六章互聯網安全技術與防范對策訪問控制技術（2）強制訪問控制技術（MandatoryAccessControl，MAC）安全級別高的計算機采用這種策略，它常用于軍隊和國家重要機構，例如將數據分為絕密、機密、秘密和一般等幾類。用戶的訪問權限也類似定義，即擁有相應權限的用戶可以訪問對應安全級別的數據，從而避免自主訪問控制方法中出現的訪問傳遞問題。這種策略具有層次性的特點，高級別的權限可以訪問低級別的數據。這種策略的缺點在于訪問級別的劃分不夠細致，在同級間缺乏控制機制。2025/3/1869第六章互聯網安全技術與防范對策訪問控制技術（3）基于角色的訪問控制技術RBAC（Role-BasedAc