第7章网络安全常用技术课件

第7章网络安全常用技术7.1防火防火墙墙 7.1.1防火防火墙墙的概念的概念 7.1.2防火防火墙墙的主要功能的主要功能 7.1.3 防火防火墙墙技技术术 7.1.4 防火防火墙墙的的选购选购7.1.1防火防火墙墙的概念的概念 现现在通常所在通常所说说的网的网络络防火防火墙墙是借是借鉴鉴了古代真正用于防火的防火了古代真正用于防火的防火墙墙的的喻义喻义，它是指隔离在内部，它是指隔离在内部（本地）网（本地）网络络与外界网与外界网络络之之间间的一道防御系的一道防御系统统，是，是这这一一类类防范措施的防范措施的总总称。称。通通过过它可以隔离它可以隔离风险风险区域（如区域（如Internet或有一定或有一定风险风险的网的网络络）与安全区域（如局域网，也就是）与安全区域（如局域网，也就是内部网内部网络络）的）的连连接，同接，同时时不会妨碍人不会妨碍人们对风险们对风险区域的区域的访问访问。它是一种它是一种设设置在不同网置在不同网络络（如可信任的企（如可信任的企业业内部网和不可信的公共网）或网内部网和不可信的公共网）或网络络安全域之安全域之间间的一的一系列部件的系列部件的组组合。一般由合。一般由计计算机硬件和算机硬件和软软件件组组成的一个或一成的一个或一组组系系统统，用于增，用于增强强内部网内部网络络和外部网之和外部网之间间的的访问访问控制。控制。路由器Internet防火墙交换机用户内部网内部网外部网外部网网络管理平台内网服务器群外网服务器群7.1.3 防火防火墙墙的主要功能的主要功能 1防火防火墙墙是网是网络络安全的屏障安全的屏障 2防火防火墙墙能控制能控制对对特殊站点的特殊站点的访问访问 3对对网网络络存取存取访问进访问进行行记录记录和和统计统计 4防止内部网防止内部网络络信息的外泄信息的外泄 5地址地址转换转换(NAT)7.1.4 防火防火墙墙技技术术 目前在目前在实际应实际应用中所使用的防火用中所使用的防火墙产墙产品有很多品有很多,但从其采用的技但从其采用的技术术来看主要包括两来看主要包括两类类:包包过滤过滤技技术术和和应应用代理技用代理技术术,实际实际的防火的防火墙产墙产品往往由品往往由这这两种技两种技术术的演的演变扩变扩充或复合而形成的。充或复合而形成的。具体来具体来说说主要包括：主要包括：简单简单包包过滤过滤防火防火墙墙、状、状态检测态检测包包过滤过滤防火防火墙墙、应应用代理防火用代理防火墙墙和复合型和复合型防火防火墙墙。1简单简单包包过滤过滤防火防火墙墙 包包过滤过滤防火防火墙墙工作在网工作在网络层络层，对对数据包的源及目的数据包的源及目的 IP 具有具有识别识别和控制作用，和控制作用，对对于于传输层传输层，只，只能能识别识别数据包是数据包是 TCP 还还是是 UDP 及所用的端口信息。它及所用的端口信息。它对对所收到的所收到的IP数据包的源地址、目的地址、数据包的源地址、目的地址、TCP数据分数据分组组或或UDP报报文的源端口号、包出入接口、文的源端口号、包出入接口、协议类协议类型和数据包中的各种型和数据包中的各种标标志位等参数，志位等参数，与网与网络络管理管理员预员预先先设设置的置的访问访问控制表控制表进进行比行比较较，确定是否符合，确定是否符合预预定定义义的安全策略，并决定数据包的安全策略，并决定数据包的通的通过过或或丢丢弃。弃。比如：如果防火比如：如果防火墙墙已已设设置拒置拒绝绝telnet连连接，接，这时这时当数据包的目的端口是当数据包的目的端口是23时时，则该则该数据包就会数据包就会被被丢丢弃；如果允弃；如果允许进许进行行Web访问访问，这时这时目的端口目的端口为为80时则时则数据包就会被放行。由于数据包就会被放行。由于这类这类防火防火墙墙只只对对数据包的数据包的 IP 地址、地址、TCP/UDP 协议协议和端口和端口进进行分析，因此它的行分析，因此它的处处理速度理速度较较快，并且易于配置。快，并且易于配置。简单简单包包过滤过滤是是对单对单个包的个包的检查检查，目前，目前绝绝大多数路由器大多数路由器产产品都提供品都提供这样这样的功能，所以如果内部的功能，所以如果内部网网络络已已经经配有配有边边界路由器，那么完全没有必要界路由器，那么完全没有必要购买购买一个一个简单简单包包过滤过滤的防火的防火墙产墙产品。品。由于由于这类这类技技术术不能跟踪不能跟踪TCP的状的状态态，所以，所以对对TCP层层的控制是有漏洞的。的控制是有漏洞的。单纯简单单纯简单包包过滤过滤的的产产品由于其保品由于其保护护的不完善，在的不完善，在1999年以前国外的网年以前国外的网络络防火防火墙墙市市场场上就已上就已经经不存在了。不存在了。2应应用代理防火用代理防火墙墙 应应用代理防火用代理防火墙墙，也叫，也叫应应用代理网关防火用代理网关防火墙墙。所所谓谓网关是指在两个网关是指在两个设备设备之之间间提供提供转发转发服服务务的系的系统统。这这种防火种防火墙墙能能彻彻底隔断内网与外网的直接通信，内网用底隔断内网与外网的直接通信，内网用户对户对外网的外网的访问变访问变成防火成防火墙对墙对外网的外网的访访问问，外网的，外网的访问应访问应答先由防火答先由防火墙处墙处理，然后再由防火理，然后再由防火墙转发给墙转发给内网用内网用户户。所有通信都必。所有通信都必须经应须经应用用层层代理代理软软件件转发转发，访问访问者任何者任何时时候都不能与服候都不能与服务务器建立直接的器建立直接的 TCP 连连接，接，应应用用层层的的协议协议会会话过话过程必程必须须符合代理的安全策略要求。符合代理的安全策略要求。由于由于针对针对各种各种应应用用协议协议的代理防火的代理防火墙墙提供了丰富的提供了丰富的应应用用层层的控制能力，使的控制能力，使应应用代理型防火用代理型防火墙墙具有了极高的安全性。但是代理型防火具有了极高的安全性。但是代理型防火墙墙是利用操作系是利用操作系统统本身的本身的socket接口接口传递传递数据，从而数据，从而导导致致性能比性能比较较差，不能支持大差，不能支持大规规模的并模的并发连发连接；接；另外另外对对于代理型防火于代理型防火墙墙要求防火要求防火墙墙核心核心预预先内置一些已知先内置一些已知应应用程序的代理后防火用程序的代理后防火墙墙才能正常才能正常工作，工作，这样这样的后果是一些新出的后果是一些新出现现的的应应用在代理型防火用在代理型防火墙墙上往往不能使用，出上往往不能使用，出现现了防火了防火墙墙不支持很不支持很多新型多新型应应用的局面。在用的局面。在IT领领域中，新的域中，新的应应用和新的技用和新的技术术不断出不断出现现，甚至每一天都有新的，甚至每一天都有新的应应用方式用方式和新的和新的协议协议出出现现，代理型防火，代理型防火墙墙很很难难适适应这应这种局面，使得在一些重要的种局面，使得在一些重要的领领域和行域和行业业的核心的核心业务应业务应用中，代理型防火用中，代理型防火墙墙被被渐渐渐渐地被抛弃。地被抛弃。3状状态检测态检测包包过滤过滤防火防火墙墙 状状态检测态检测包包过滤过滤防火防火墙墙是在是在简单简单包包过滤过滤上的功能上的功能扩扩展，最早是展，最早是Check Point公司提出的，公司提出的，现现在已在已经经成成为为防火防火墙墙的主流技的主流技术术。状状态检测态检测的包的包过滤过滤利用状利用状态态表跟踪每一个网表跟踪每一个网络络会会话话的状的状态态，对对每一个包的每一个包的检查检查不不仅仅根据根据规则规则表，表，更考更考虑虑了数据包是否符合会了数据包是否符合会话话所所处处的状的状态态。因而提供了更完整的。因而提供了更完整的对传输层对传输层的控制能力。同的控制能力。同时时由于一系由于一系列列优优化技化技术术的采用，状的采用，状态检测态检测包包过滤过滤的性能也明的性能也明显优显优于于简单简单包包过滤产过滤产品，尤其是在一些品，尤其是在一些规则规则复复杂杂的大的大型网型网络络上。上。前面介前面介绍绍的的简单简单包包过滤过滤只是一种静只是一种静态态包包过滤过滤，静，静态态包包过滤过滤将每个数据包将每个数据包单单独分析，固定根据其独分析，固定根据其包包头头信息（如源地址、目的地址、端口号等）信息（如源地址、目的地址、端口号等）进进行匹配，行匹配，这这种方法在遇到利用种方法在遇到利用动态动态端口端口应应用用协议时协议时会会发发生困生困难难。可以可以这样说这样说，状，状态检测态检测包包过滤过滤防火防火墙规墙规范了网范了网络层络层和和传输层传输层行行为为，而，而应应用代理型防火用代理型防火墙则墙则是是规规范了特定的范了特定的应应用用协议协议上的行上的行为为。目前目前业业界很多界很多优优秀的防火秀的防火墙产墙产品采用了状品采用了状态检测态检测型的体系型的体系结结构，比如构，比如Check Point的的Firewall-1，Cisco的的PIX防火防火墙墙，NetScreen防火防火墙墙等等。等等。4复合型防火复合型防火墙墙 复合型防火复合型防火墙墙是指是指综综合了状合了状态检测态检测与透明代理的新一代防火与透明代理的新一代防火墙墙，它基于，它基于专专用集成用集成电电路（路（ASIC，Application Specific Integrated Circuit）架构，把防病毒、内容）架构，把防病毒、内容过滤过滤整合到防火整合到防火墙墙里，其中里，其中还还包括包括VPN、IDS功能，多功能，多单单元融元融为为一体，是一种新突破。一体，是一种新突破。常常规规的防火的防火墙墙并不能防止并不能防止隐隐蔽在网蔽在网络络流量里的攻流量里的攻击击。复合型防火。复合型防火墙墙在网在网络边络边界界实实施施OSI第七第七层层的内容的内容扫扫描，描，实现实现了了实时实时在网在网络边缘络边缘部署病毒防部署病毒防护护、内容、内容过滤过滤等等应应用用层层服服务务措施，体措施，体现现出网出网络络与信与信息安全的新思路。息安全的新思路。四种典型防火四种典型防火墙墙的工作原理及特点比的工作原理及特点比较较防火墙类型防火墙类型工作原理及特点工作原理及特点简单包过滤防火墙简单包过滤防火墙1 1只检查报头只检查报头2 2不检查数据区、不建立连接状态表、前后报文无关不检查数据区、不建立连接状态表、前后报文无关3 3应用层控制很弱应用层控制很弱应用代理防火墙应用代理防火墙1 1只检查数据只检查数据2 2不检查不检查IPIP、TCPTCP报头，不建立连接状态表报头，不建立连接状态表3 3网络层保护比较弱网络层保护比较弱状态检测包过滤防火墙状态检测包过滤防火墙1 1不检查数据区不检查数据区2 2建立连接状态表、前后报文相关建立连接状态表、前后报文相关3 3应用层控制很弱应用层控制很弱复合型防火墙复合型防火墙1 1可以检查整个数据包内容可以检查整个数据包内容2 2根据需要建立连接状态表根据需要建立连接状态表3 3网络层保护强、应用层控制细网络层保护强、应用层控制细7.1.6 防火防火墙墙的的选购选购 目前国内外防火目前国内外防火墙产墙产品品种繁多、特点各异，有硬件的防火品品种繁多、特点各异，有硬件的防火墙墙，也有，也有软软件防火件防火墙墙。硬件防火。硬件防火墙墙采用采用专专用的硬件用的硬件设备设备，然后集成生，然后集成生产产厂商的厂商的专专用防火用防火墙软墙软件。从功能上看，硬件防火件。从功能上看，硬件防火墙墙内建安全内建安全软软件，使用件，使用专专属或属或强强化的操作系化的操作系统统，管理方便，更，管理方便，更换换容易，容易，软软硬件搭配硬件搭配较较固定。硬件防火固定。硬件防火墙墙效率高，效率高，解决了防火解决了防火墙墙效率、性能之效率、性能之间间的矛盾，基本上可以达到的矛盾，基本上可以达到线线性。而性。而软软件防火件防火墙墙一般是基于某个操作系一般是基于某个操作系统统平台开平台开发发的，直接在的，直接在计计算机上算机上进进行行软软件的安装和配置。由于用件的安装和配置。由于用户户平台的多平台的多样样性，使得性，使得软软件防火件防火墙墙需支持多操作系需支持多操作系统统，如：，如：Unix、Linux、SCO-Unix、Windows等，代等，代码庞码庞大、安装大、安装维护维护成本高、成本高、效率低，同效率低，同时还时还受到操作系受到操作系统统平台平台稳稳定性的影响。定性的影响。显显然，硬件防火然，硬件防火墙总墙总体性能上来体性能上来说说是是优优于于软软件防件防火火墙墙的，但其价格也要高些。的，但其价格也要高些。1关系到防火关系到防火墙墙性能的几个指性能的几个指标标和概念和概念（1）防火）防火墙墙端口数端口数（2）防火）防火墙墙吞吐量吞吐量（3）防火）防火墙墙会会话话数数（4）防火）防火墙墙策略策略（5）DMZ区区（6）防火）防火墙墙的通信模式的通信模式2防火防火墙墙的的选购选购下面从几个方面探下面从几个方面探讨选购讨选购防火防火墙时应该墙时应该注意的注意的问题问题。（1）防火）防火墙墙自身是否安全自身是否安全（2）系）系统统是否是否稳稳定定（3）是否高效）是否高效（4）是否可靠）是否可靠（5）功能是否灵活）功能是否灵活（6）配置是否方便）配置是否方便（7）管理是否）管理是否简简便便（8）是否可以抵抗拒）是否可以抵抗拒绝绝服服务务攻攻击击（9）是否可以）是否可以针对针对用用户户身份身份进进行行过滤过滤（10）是否具有可）是否具有可扩扩展、可升展、可升级级性性 7.2 入侵入侵检测检测系系统统 7.2.1 入侵入侵检测检测系系统统概述概述 7.2.2 入侵入侵检测检测系系统统技技术术 7.2.3入侵入侵检测检测系系统统的工作流程的工作流程 7.2.4 IDS与防火与防火墙对墙对比比 入侵入侵检测检测系系统统：Intrusion Detection System,简简称称IDS。入侵入侵检测检测是指：是指：“通通过对过对行行为为、安全日志或、安全日志或审计审计数据或其他网数据或其他网络络上可以上可以获获得的信息得的信息进进行操作，行操作，检检测测到到对对系系统统的的闯闯入或入或闯闯入的企入的企图图”。入侵入侵检测检测系系统统是一个典型的是一个典型的“窥窥探探设备设备”。入侵入侵监测监测系系统处统处于防火于防火墙墙之后之后对对网网络络活活动进动进行行实时检测实时检测。许许多情况下，可以与防火多情况下，可以与防火墙联动墙联动，可以，可以记录记录和禁止网和禁止网络络活活动动，所以入侵，所以入侵监测监测系系统统是防火是防火墙墙的延的延续续。它。它们们可以和防火可以和防火墙墙和路由器配合工作。和路由器配合工作。7.2.2 入侵入侵检测检测系系统统技技术术 入侵入侵检测检测技技术术通通过对过对入侵行入侵行为为的的过过程与特征的研究，使安全系程与特征的研究，使安全系统对统对入侵事件和入侵入侵事件和入侵过过程能做出程能做出实时实时响响应应。入侵入侵检测检测系系统统从分析方式上主要可分从分析方式上主要可分为为两种：两种：（1）模式）模式发现发现技技术术（模式匹配）（模式匹配）（2）异常）异常发现发现技技术术（异常（异常检测检测）模式模式发现发现技技术术的核心是的核心是维护维护一个知一个知识库识库。对对于已知的攻于已知的攻击击，它可以，它可以详细详细、准确的、准确的报报告出攻告出攻击类击类型，而型，而且知且知识库识库必必须须不断更新。不断更新。对对所有已知入侵行所有已知入侵行为为和手段（及其和手段（及其变变种）都能种）都能够够表达表达为为一种模式或特征，所一种模式或特征，所有已知的入侵方法都可以用匹配的方法有已知的入侵方法都可以用匹配的方法发现发现，把真正的入侵与正常行，把真正的入侵与正常行为为区分开来。模式区分开来。模式发现发现的的优优点是点是误报误报少，局限是它只能少，局限是它只能发现发现已知的攻已知的攻击击，对对未知的攻未知的攻击击无能无能为为力。力。异常异常发现发现技技术术先定先定义义一一组组系系统统“正常正常”情况的数情况的数值值，如，如CPU利用率、内存利用率、文件校利用率、内存利用率、文件校验验和等（和等（这类这类数据可以人数据可以人为为定定义义，也可以通，也可以通过观过观察系察系统统、并用、并用统计统计的的办办法得出），然后将系法得出），然后将系统统运行运行时时的数的数值值与所定与所定义义的的“正常正常”情况比情况比较较，得出是否有被攻，得出是否有被攻击击的迹象。的迹象。这这种种检测检测方式的核心在于如何定方式的核心在于如何定义义所所谓谓的的“正常正常”情情况。况。异常异常发现发现技技术术的局限是并非所有的入侵都表的局限是并非所有的入侵都表现为现为异常，而且系异常，而且系统统的的“正常正常”标标准准难难于于计计算和更新，算和更新，并无法准确判并无法准确判别别出攻出攻击击的手法，但它可以（至少在理的手法，但它可以（至少在理论论上可以）判上可以）判别别更广范、甚至未更广范、甚至未发觉发觉的攻的攻击击。目前，国目前，国际顶际顶尖的入侵尖的入侵检测检测系系统统IDS主要以模式主要以模式发现发现技技术为术为主，并主，并结结合异常合异常发现发现技技术术。IDS一般从一般从实现实现方式上分方式上分为为两种：两种：（1）基于主机的）基于主机的IDS （2）基于网）基于网络络的的IDS 基于网基于网络络的的IDS使用原始的网使用原始的网络络分分组组数据包作数据包作为进为进行攻行攻击击分析的数据源，一般利用网分析的数据源，一般利用网络络适配适配器（探器（探测测器）来器）来实时监视实时监视和分析所有通和分析所有通过过网网络进络进行行传输传输的通信。一旦的通信。一旦检测检测到攻到攻击击，IDS应应答模答模块块通通过过通知、通知、报报警以及中断警以及中断连连接等方式来接等方式来对对攻攻击击做出反做出反应应。基于网基于网络络的入侵的入侵检测检测系系统统的主要的主要优优点有：点有：（1）成本低。）成本低。（2）攻）攻击击者消除者消除证证据很困据很困难难。（3）实时检测实时检测和和应应答一旦答一旦发发生生恶恶意意访问访问或攻或攻击击，基于网，基于网络络的的IDS检测检测可以随可以随时发现时发现它它们们，因此，因此能能够够更快地做出反更快地做出反应应。从而将入侵活。从而将入侵活动对动对系系统统的破坏减到最低。的破坏减到最低。（4）能）能够检测够检测未成功的攻未成功的攻击击企企图图。（5）操作系）操作系统统独立。基于网独立。基于网络络的的IDS并不依并不依赖赖主机的操作系主机的操作系统统作作为检测资为检测资源，而基于主机的系源，而基于主机的系统统需要特定的操作系需要特定的操作系统统才能才能发挥发挥作用。作用。基于主机的基于主机的IDS一般一般监视监视Windows NT上的系上的系统统、事件、安全日志以及、事件、安全日志以及UNIX环环境中的境中的syslog文文件。一旦件。一旦发现这发现这些文件些文件发发生任何生任何变变化，化，IDS将比将比较较新的日志新的日志记录记录与攻与攻击签击签名以名以发现发现它它们们是否匹配。是否匹配。如果匹配的如果匹配的话话，检测检测系系统统就向管理就向管理员发员发出入侵出入侵报报警并且警并且发发出采取相出采取相应应的行的行动动。基于主机的基于主机的IDS的主要的主要优势优势有：有：（1）非常适用于加密和交）非常适用于加密和交换环换环境。境。（2）近）近实时实时的的检测检测和和应应答。答。（3）不需要）不需要额额外的硬件。外的硬件。（4）确定攻）确定攻击击是否成功。是否成功。（5）监测监测特定主机系特定主机系统统活活动动。以上两种以上两种实现实现方式的集成化是方式的集成化是IDS的的发发展展趋势趋势。基于网。基于网络络和基于主机的和基于主机的IDS都有各自的都有各自的优势优势，两者，两者可以相互可以相互补补充。充。这这两种方式都能两种方式都能发现对发现对方无法方无法检测检测到的一些入侵行到的一些入侵行为为。基于网基于网络络的的IDS可以研究可以研究负载负载的内容，的内容，查查找特定攻找特定攻击击中使用的命令或中使用的命令或语语法，法，这类这类攻攻击击可以被可以被实时实时检查检查包序列的包序列的IDS迅速迅速识别识别。而基于主机的而基于主机的IDS无法看到无法看到负载负载，因此也无法，因此也无法识别识别嵌入式的嵌入式的负载负载攻攻击击。联联合使用基于主机和基于合使用基于主机和基于网网络这络这两种方式能两种方式能够够达到更好的达到更好的检测检测效果。效果。7.2.3入侵入侵检测检测系系统统的工作流程的工作流程 1信息收集信息收集 2信号分析信号分析 3实时记录实时记录、报报警或有限度反警或有限度反击击7.2.4 IDS与防火与防火墙对墙对比比 防火墙防火墙入侵检测系统入侵检测系统设备类型设备类型多端口主机，数据转发设备，完成类多端口主机，数据转发设备，完成类似于交互机或路由器的功能。似于交互机或路由器的功能。一般单接口，数据采集、分析设一般单接口，数据采集、分析设备。备。流量处理机制流量处理机制过滤。过滤。无处理。无处理。对受检报文的操作对受检报文的操作大量的读写操作。需要修改各层报文大量的读写操作。需要修改各层报文的头或内容。的头或内容。只作简单的拷贝，不修改原来的只作简单的拷贝，不修改原来的报文。报文。对链路速度的影响对链路速度的影响取决于防火墙的转发延迟。取决于防火墙的转发延迟。IDS是旁路设备，不影响原有链是旁路设备，不影响原有链中的速度。中的速度。可附加模块可附加模块可实现网络层以上加密、应用层病毒可实现网络层以上加密、应用层病毒检测、杀毒功能。检测、杀毒功能。不能实现加密、杀毒功能，但可不能实现加密、杀毒功能，但可实现病毒检测功能。实现病毒检测功能。对入侵行为的处理对入侵行为的处理拒绝、报警、日志记录。拒绝、报警、日志记录。报警、日志记录和有限度反击。报警、日志记录和有限度反击。入侵检测的准确性入侵检测的准确性迫于流量转发负载的压力，只对流迫于流量转发负载的压力，只对流量作普遍检查，有可能发生漏报、量作普遍检查，有可能发生漏报、误报现象。误报现象。出了检测以外，没有任何业务出了检测以外，没有任何业务负担，而且庞大、详尽的入侵负担，而且庞大、详尽的入侵知识库可以提供非常准确的判知识库可以提供非常准确的判断识别，漏报误报率大大低于断识别，漏报误报率大大低于防火墙。防火墙。对访问日志的记录对访问日志的记录只作条目式记录，框架较粗。只作条目式记录，框架较粗。非常详细，包括访问的资源、非常详细，包括访问的资源、报文内容。报文内容。设备稳定性对网络的影响设备稳定性对网络的影响要求非常高，否则可能造成网络链要求非常高，否则可能造成网络链路的阻断。路的阻断。无论无论IDS工作与否，都不会影响工作与否，都不会影响网络的连通性和稳定性。网络的连通性和稳定性。应用层内容恢复应用层内容恢复一般不提供应用层的内容恢复，但一般不提供应用层的内容恢复，但可以据此进行过滤和替换功能。可以据此进行过滤和替换功能。能够完全恢复出应用层的信息，能够完全恢复出应用层的信息，能够对网络特定的流量进行全能够对网络特定的流量进行全程监视、记录，为管理员判断程监视、记录，为管理员判断进攻者、收集证据提供了强有进攻者、收集证据提供了强有力的手段。力的手段。对网络层以下各协议的支对网络层以下各协议的支持持由于防火墙对物理链路的隔断，因由于防火墙对物理链路的隔断，因此必须支持所有网络层以下的协议此必须支持所有网络层以下的协议方能维持原有网络的正常动作，方能维持原有网络的正常动作，没有跨接任何物理链路，因此没有跨接任何物理链路，因此无此要求的。无此要求的。7.3 虚虚拟专拟专用网（用网（VPN）技）技术术 VPN的英文全称是的英文全称是“Virtual Private Network”，翻，翻译过译过来就是来就是“虚虚拟专拟专用网用网络络”。顾顾名思名思义义，我，我们们可以把它理解成是虚可以把它理解成是虚拟拟出来的企出来的企业业内部内部专线专线。它可以通。它可以通过过特殊的加密通信特殊的加密通信协议为连协议为连接在接在Internet上位于不同地方的两个或多个企上位于不同地方的两个或多个企业业内部网之内部网之间间建立一条建立一条专专有的通信有的通信线线路，就好比是架路，就好比是架设设了一条了一条专线专线一一样样，但是它并不需要真正的去，但是它并不需要真正的去铺设铺设光光缆缆之之类类的物理的物理线线路，如路，如图图所示。所示。这这就好比去就好比去电电信局申信局申请专线请专线，但是不用但是不用给铺设线给铺设线路的路的费费用，也不用用，也不用购买购买路由器等硬件路由器等硬件设备设备。VPN技技术术原是路由器具有的重要技原是路由器具有的重要技术术之一，之一，目前在交目前在交换换机，防火机，防火墙设备墙设备或或WINDOWS 2000等等软软件里也都支持件里也都支持VPN功能，功能，VPN的核心就是的核心就是在利用公共网在利用公共网络络建立虚建立虚拟拟私有网。私有网。7.3.1 VPN的特点的特点7.3.2 VPN安全技安全技术术7.3.3 VPN技技术术的的实际应实际应用用7.3.1 VPN应应具具备备的特点的特点 1安全保障安全保障 2服服务质务质量保量保证证（QoS）3可可扩扩充性和灵活性充性和灵活性 4可管理性可管理性 7.3.2 VPN安全技安全技术术 由于由于传输传输的是私有信息，的是私有信息，VPN用用户对户对数据的安全性都比数据的安全性都比较较关心。关心。目前目前VPN主要采用四主要采用四项项技技术术来保来保证证安全，安全，这这四四项项技技术术分分别别是：是：（1）隧道技）隧道技术术（Tunneling）、）、（2）加解密技）加解密技术术（Encryption&Decryption）、）、（3）密）密钥钥管理技管理技术术（Key Management）、）、（4）使用者与）使用者与设备设备身份身份认证认证技技术术（Authentication）。）。7.3.3 VPN技技术术的的实际应实际应用用 在在实际应实际应用中用中VPN技技术针对术针对不同的用不同的用户户有不同的解决方案，用有不同的解决方案，用户户可以根据自己的情况可以根据自己的情况进进行行选择选择。这这些解决方案主要分些解决方案主要分为为三种：三种：远远程程访问访问虚虚拟拟网（网（Access VPN）、企）、企业业内部虚内部虚拟拟网（网（Intranet VPN）和企）和企业扩业扩展虚展虚拟拟网（网（Extranet VPN）。）。这这三种三种类类型的型的VPN分分别别与与传统传统的的远远程程访问访问网网络络、企、企业业内部的内部的Intranet以及企以及企业业网和相关合作伙网和相关合作伙伴的企伴的企业业网所构成的网所构成的Extranet相相对应对应。7.4 网网络络病毒与防范病毒与防范 7.4.1 概述概述 7.4.2 网网络络病毒的病毒的传传播途径与网播途径与网络络防毒防毒 7.4.3 防病毒技防病毒技术术的的发发展展趋势趋势 7.4.1 概述概述1什么是网什么是网络络病毒病毒 网网络络病毒是一个新病毒是一个新兴兴的概念，在的概念，在传统传统的病毒分的病毒分类类里基本上没有网里基本上没有网络络病毒病毒这这个概念的，随着个概念的，随着网网络络的广泛的广泛应应用，用，计计算机病毒种算机病毒种类类越来越多、越来越多、传传染速度也越来越快、危害更是越来越大。病毒染速度也越来越快、危害更是越来越大。病毒也有了一些网也有了一些网络络的特性。如今网的特性。如今网络络病毒是一个广病毒是一个广义义的概念，一般只要是利用网的概念，一般只要是利用网络络来来进进行行传传染、染、破坏的都可以被称破坏的都可以被称为为网网络络病毒。病毒。2 网网络络病毒具有以下特点：病毒具有以下特点：（1）自）自动传动传播和主播和主动动攻攻击击，如：蠕虫病毒；，如：蠕虫病毒；（2）攻）攻击击系系统统后后门门，如：特洛伊木，如：特洛伊木马马；（3）多种）多种传传播方式多播方式多样样化，如：通化，如：通过邮过邮件、网件、网络络共享，利用共享，利用IIS、IE、SQL的漏洞的漏洞进进行行传传播等；播等；（4）爆）爆发发速度快、影响面广，如：以速度快、影响面广，如：以邮邮件件为载为载体体进进行行传传播的病毒危害十分巨大；播的病毒危害十分巨大；（5）来自）来自Internet网网页页的威的威胁胁，如：网，如：网页页中包含中包含恶恶意有毒意有毒编码编码。3网网络络病毒的危害病毒的危害计计算机病毒的主要危害有：算机病毒的主要危害有：（1）病毒激）病毒激发对计发对计算机数据信息有直接破坏作用，数据的安全性得不到保障；算机数据信息有直接破坏作用，数据的安全性得不到保障；（2）占用磁）占用磁盘盘空空间间和和对对信息的破坏；信息的破坏；（3）抢抢占系占系统资统资源，降低系源，降低系统统运行性能；运行性能；（4）严严重影响重影响计计算机和网算机和网络络运行速度，甚至运行速度，甚至导导致致计计算机系算机系统统和网和网络络系系统统的的瘫痪瘫痪；（5）由于网）由于网络络病毒可能存在多种病毒可能存在多种变变种，从而造成种，从而造成许许多不可多不可预见预见的危害；的危害；（6）网）网络络病毒造成巨大的病毒造成巨大的经济损经济损失。失。4网网络络病毒的病毒的类类型型 随着网随着网络络越来越越来越发发达，网达，网络络病毒的种病毒的种类类也就越来越多，迄今也就越来越多，迄今为为止止计计算机病毒已有近算机病毒已有近9万种，万种，计计算算机病毒大体上可机病毒大体上可归纳为归纳为以下几以下几类类：（1）按照病毒存在的）按照病毒存在的载载体分体分类类，一般可分，一般可分为为4类类：导导区病毒、文件型病毒、蠕虫病毒、混合区病毒、文件型病毒、蠕虫病毒、混合类类的病毒：的病毒：（2）按照病毒）按照病毒传传染的方法分染的方法分类类可分可分为为4类类：入侵型病毒、嵌入式病毒、加壳型病毒、病毒生入侵型病毒、嵌入式病毒、加壳型病毒、病毒生产产机机 （3）按照病毒自身特征分）按照病毒自身特征分类类可以分可以分为为2类类：伴随型病毒、伴随型病毒、变变型病毒。型病毒。7.4.2 网网络络病毒的病毒的传传播途径与网播途径与网络络防毒防毒 网网络络病毒的病毒的传传播主要有以下五种途径：播主要有以下五种途径：邮邮件件传传播、点播、点击击网网页页、用、用户户下下载载、其它人植入、通、其它人植入、通过计过计算算机漏洞植入，所以我机漏洞植入，所以我们们只要守住了只要守住了这这五个要道，就能五个要道，就能较较好地防住网好地防住网络络病毒。病毒。网网络络防毒的主要方法：防毒的主要方法：1.建立好的安全建立好的安全习惯习惯 2.对计对计算机算机应该经应该经常打常打补补丁丁 3.掌握一些病毒知掌握一些病毒知识识 4.安装安装专业专业的防毒的防毒软软件件进进行全面控制行全面控制 5利用可网管交利用可网管交换换机机进进行控制行控制7.4.3 防病毒技防病毒技术术的的发发展展趋势趋势 1防范未知病毒技防范未知病毒技术术期待突破期待突破 2反病毒体系反病毒体系趋趋向于立体化向于立体化7.5 信息加密技信息加密技术术 随着网随着网络络技技术术的的发发展，网展，网络络安全也就成安全也就成为为当今网当今网络络社会的焦点中的焦点。由于信息的社会的焦点中的焦点。由于信息的传输传输通通过过的是脆弱的公共信道，信息的是脆弱的公共信道，信息储储存于存于“不不设设防防”的的计计算机系算机系统统中，如何保中，如何保护护信息的安全使之不被窃取、信息的安全使之不被窃取、篡篡改或破坏，也就是信息内容的保密性改或破坏，也就是信息内容的保密性问题问题，已成，已成为为当今被普遍关注的重大当今被普遍关注的重大问题问题。加密技加密技术术是有效而且可行的是有效而且可行的办办法。在法。在计计算机网算机网络络广泛广泛应应用的影响下，近代密用的影响下，近代密码码学在一些算法理学在一些算法理论论的基的基础础上建立起来，尤其在利用网上建立起来，尤其在利用网络进络进行文件行文件传输传输、电电子子邮邮件往来和件往来和进进行合同文本的行合同文本的签签署中得到署中得到广泛广泛应应用，用，为为我我们们的网的网络络活活动动提供了安全保障，是网提供了安全保障，是网络络安全技安全技术术中的核心技中的核心技术术。7.5.1加密技加密技术术的基本概念的基本概念7.5.2数据加密的基本原理数据加密的基本原理7.5.3对对称密称密钥钥体制和非体制和非对对称密称密钥钥体制体制7.5.4 数据加密算法数据加密算法7.5.5数据数据传输过传输过程中的加密方式程中的加密方式7.5.6基于加密技基于加密技术术的安全的安全认证认证7.5.7加密技加密技术术的的应应用用实实例例 7.5.1加密技加密技术术的基本概念的基本概念 密密码码学是以研究数据保密学是以研究数据保密为为目的，目的，对对存存储储或或传输传输的信息采取秘密的交的信息采取秘密的交换换以防止第三者以防止第三者对对信息信息的窃取。的窃取。密密码码是是实现实现秘密通秘密通讯讯的主要元素（手段），是的主要元素（手段），是隐隐蔽蔽语语言、文字、言、文字、图图像的特种符号。凡是用特像的特种符号。凡是用特种符号按照通种符号按照通讯讯双方双方约约定的方法把数据（明文）的原形定的方法把数据（明文）的原形隐隐蔽起来，不蔽起来，不为为第三者所第三者所识别识别的通的通讯讯方式方式称称为为密密码码通通讯讯。在在计计算机通算机通讯讯中，采用密中，采用密码码技技术术将信息将信息隐隐蔽起来，再将蔽起来，再将隐隐蔽后的信息蔽后的信息传输传输出去，使信息在出去，使信息在传传输过输过程中即使被窃取或截程中即使被窃取或截获获，窃取者也不能了解信息的内容，从而保，窃取者也不能了解信息的内容，从而保证证信息信息传输传输的安全。的安全。加密加密过过程中的几个名程中的几个名词词概念：（密概念：（密码码学中的几个名学中的几个名词词）（1）明文：被）明文：被变换变换的信息，其可以是一段有意的信息，其可以是一段有意义义的文字或数据；的文字或数据；（2）密文：信息）密文：信息变换变换后的一串后的一串杂杂乱排列的数据，从字面上无任何含乱排列的数据，从字面上无任何含义义；（3）加密：从明文到密文的）加密：从明文到密文的变换过变换过程程为为加密；加密；（4）解密：将密文）解密：将密文还还原原为为明文的明文的变换过变换过程；程；（5）密）密钥钥：对对加密与解密加密与解密过过程程进进行控制的参数。行控制的参数。（6）Ek（m）：以加密密）：以加密密钥钥k为为参数的函数，是一个加密参数的函数，是一个加密变换变换。其中，参数。其中，参数k称之称之为为密密钥钥。对对于明文于明文m，加密算法（将明文，加密算法（将明文变变成密文的一种成密文的一种编码编码）E确定之后，由于密确定之后，由于密钥钥k不同，密文也不同。不同，密文也不同。（7）Dk（C）：以解密密）：以解密密钥钥k为为参数的函数。是一个解密参数的函数。是一个解密变换变换。其中，。其中，C密文。密文。7.5.2数据加密的基本原理数据加密的基本原理 在保障信息安全的多种技在保障信息安全的多种技术术中，密中，密码码技技术术是信息安全的核心和关是信息安全的核心和关键键技技术术。通。通过过数据加密技数据加密技术术，可以在一定程度上提高数据可以在一定程度上提高数据传输传输的安全性，保的安全性，保证传输证传输数据的完整性。数据的完整性。在数据加密系在数据加密系统统中，密中，密钥钥控制加密和解密控制加密和解密过过程，一个加密系程，一个加密系统统的全部安全性是基于密的全部安全性是基于密钥钥的，而的，而不是基于算法，所以加密系不是基于算法，所以加密系统统的密的密钥钥管理是一个非常重要的管理是一个非常重要的问题问题。数据加密数据加密过过程就是通程就是通过过加密系加密系统统把原始的数据信息（明文），按照加密算法把原始的数据信息（明文），按照加密算法变换变换成与明文完全成与明文完全不同的数据信息（密文）的不同的数据信息（密文）的过过程，如程，如图图所示。所示。数据加密数据加密过过程示意程示意图图 7.5.3对对称密称密钥钥体制和非体制和非对对称密称密钥钥体制体制 对对称密称密钥钥体制是指加密密体制是指加密密钥钥（Pk）和解密密）和解密密钥钥（Sk）是相同的，也就是）是相同的，也就是说说数据在加密和解密数据在加密和解密过过程中使用相同的密程中使用相同的密钥钥。对对称密称密钥钥体制也可称体制也可称为单钥为单钥体制。体制。非非对对称密称密钥钥体制是指在体制是指在对对数据数据进进行加密和解密行加密和解密过过程中使用不同的密程中使用不同的密钥钥，这这两个密两个密钥钥分分别别称称为为“公公钥钥”和和“私私钥钥”，它，它们们两个必需配两个必需配对对使用，否使用，否则则不能打开加密文件。不能打开加密文件。这这里的里的“公公钥钥”是指可以是指可以对对外公布的，外公布的，“私私钥钥”则则不能，只能由持有人一个人知道。因此不能，只能由持有人一个人知道。因此这这种密种密钥钥体制有体制有时时也称也称为为公开密公开密钥钥体制（公体制（公钥钥体制）体制）或双或双钥钥体制。体制。对对称加密的特点：称加密的特点：对对称加密速度快，但密称加密速度快，但密钥钥不便于管理。不便于管理。非非对对称加密的特点：可以适称加密的特点：可以适应应网网络络开放性要求，且密开放性要求，且密钥钥管理管理问题问题也也较为简单较为简单，尤其可方便，尤其可方便实现实现数字数字签签名和名和验证验证。但由于其需要很复。但由于其需要很复杂杂的数学算法，故其加密速度的数学算法，故其加密速度较较低。低。7.5.4 数据加密算法数据加密算法 数据加密算法有很多种，密数据加密算法有很多种，密码码算法算法标标准化是信息化社会准化是信息化社会发发展的必然展的必然趋势趋势，是世界各国保密通，是世界各国保密通信信领领域的一个重要域的一个重要课题课题。按照。按照发发展展进进程来看，密程来看，密码经历码经历了古典密了古典密码码算法、算法、对对称密称密钥钥密密码码算法和公算法和公开密开密钥钥密密码码算法三个算法三个阶阶段。段。古典密古典密码码算法有替代加密、置算法有替代加密、置换换加密、加密、凯凯撒密撒密码码；对对称加密算法包括称加密算法包括DES和和AES；公开密公开密钥钥密密码码算法包括算法包括RSA、背包密、背包密码码、McEliece密密码码、Rabin、椭圆椭圆曲曲线线等。等。目前在数据通信中使用最普遍的算法有目前在数据通信中使用最普遍的算法有DES算法、算法、RSA算法等。算法等。1DES（Data Encryption Standard，数据加密，数据加密标标准）加密算法准）加密算法 数据加密数据加密标标准（准（DES）是美国）是美国经长时间经长时间征集和征集和筛选筛选后，于后，于1977年由美国国家年由美国国家标标准局准局颁颁布的一布的一种加密算法。它主要用于民用敏感信息的加密，后来被国种加密算法。它主要用于民用敏感信息的加密，后来被国际标际标准化准化组织组织接受作接受作为为国国际标际标准。准。DES主要采用替主要采用替换换和移位的方法加密。它用和移位的方法加密。它用56位密位密钥对钥对64位二位二进进制数据制数据块进块进行加密，每次加行加密，每次加密可密可对对64位的位的输输入数据入数据进进行行16轮编码轮编码，经经一系列替一系列替换换和移位后，和移位后，输输入的入的64位原始数据位原始数据转换转换成完全成完全不同的不同的64位位输输出数据。出数据。DES算法算法仅仅使用最大使用最大为为64位的位的标标准算准算术术和和逻辑逻辑运算，运算速度快，密运算，运算速度快，密钥钥生生产产容易，适合于在容易，适合于在当前大多数当前大多数计计算机上用算机上用软软件方法件方法实现实现，同，同时时也适合于在也适合于在专专用芯片上用芯片上实现实现。DES算法的弱点是不能提供足算法的弱点是不能提供足够够的安全性，因的安全性，因为为其密其密钥钥容量只有容量只有56位。由于位。由于这这个原因，后个原因，后来又提出了三重来又提出了三重DES或或3DES系系统统，使用，使用3个不同的密个不同的密钥对钥对数据数据块进块进行（两次或）三次加密，行（两次或）三次加密，该该方方法比法比进进行普通加密的三次快。其行普通加密的三次快。其强强度大度大约约和和112比特的密比特的密钥钥强强度相当。度相当。2RSA算法算法 RSA算法以它的三位算法以它的三位发发明者的名字命名（明者的名字命名（Ron Rivest、Adi Shamir和和 Leonard Adleman）。）。适用于数字适用于数字签签名和密名和密钥钥交交换换。RSA加密算法是目前加密算法是目前应应用最广泛的公用最广泛的公钥钥加密算法，特加密算法，特别别适用于通适用于通过过Internet传传送的数据。送的数据。RSA的理的理论论依据依据为为：寻寻找两个大素数比找两个大素数比较简单较简单，而将它，而将它们们的乘的乘积积分解开分解开则则异常困异常困难难。RSA算法既能用于数据加密，也能用于数字算法既能用于数据加密，也能用于数字签签名，在名，在RSA算法中，包含两个密算法中，包含两个密钥钥，加密密，加密密钥钥和解密密和解密密钥钥，加密密，加密密钥钥是公开的。是公开的。RSA算法的算法的优优点是密点是密钥钥空空间间大（大（500位，一般推荐使用位，一般推荐使用1024位），缺点是加密速度慢，如果位），缺点是加密速度慢，如果RSA和和DES结结合使用，合使用，则则正好弥正好弥补补RSA的缺点。即的缺点。即DES用于明文加密，用于明文加密，RSA用于用于DES密密钥钥的加密。的加密。由于由于DES加密速度快，适合加密加密速度快，适合加密较长较长的的报报文，而文，而RSA可解决可解决DES密密钥钥分配的分配的问题问题。7.5.5数据数据传输过传输过程中的加密方式程中的加密方式 数据加密技数据加密技术术主要分主要分为为数据存数据存储储加密和数据加密和数据传输传输加密。加密。采用数据存采用数据存储储加密技加密技术术的目的是防止在存的目的是防止在存储环节储环节上的数据失密，可分上的数据失密，可分为为密文存密文存储储和存取控制两和存取控制两种。前者一般是通种。前者一般是通过过加密算法加密算法转换转换、附加密、附加密码码、加密模、加密模块块等方法等方法实现实现；后者；后者则则是是对对用用户资户资格、格、权权限限加以加以审查审查和限制，防止非法用和限制，防止非法用户户存取数据或合法用存取数据或合法用户户越越权权存取数据。存取数据。数据数据传输传输加密技加密技术术主要是主要是对传输对传输中的数据流中的数据流进进行加密，常用的有：行加密，常用的有：链链路加密、路加密、节节点加密和端到点加密和端到端加密三种方式。一般常用的是端加密三种方式。一般常用的是链链路加密和端到端加密路加密和端到端加密这这两种方式。两种方式。7.5.6基于加密技基于加密技术术的安全的安全认证认证 随着随着Internet上各上各类应类应用的用的发发展，尤其是展，尤其是电电子商子商务应务应用的用的发发展，展，为为保保证证商商务务、交易及支付、交易及支付活活动动的真的真实实可靠，需要有一种机制来可靠，需要有一种机制来验证验证活活动动中各方的真中各方的真实实身份。身份。安全安全认证认证是是维维持持电电子商子商务务活活动动正常正常进进行的保行的保证证。主要有两种基于加密技。主要有两种基于加密技术术的安全的安全认证认证机制：机制：Kerberos系系统统和和PKI公开密公开密钥钥体系。体系。数字数字签签名在名在ISO7497-2标标准中定准中定义为义为：附加在数据：附加在数据单单元上的一些数据，或是元上的一些数据，或是对对数据数据单单元所作的密元所作的密码变码变换换，这这种数据和种数据和变换变换允允许许数据数据单单元的接收者用以确元的接收者用以确认认数据数据单单元来源和数据元来源和数据单单元的完整性，并保元的完整性，并保护护数据，数据，防止被人（例如接收者）防止被人（例如接收者）进进行行伪伪造。造。美国美国电电子子签签名名标标准（准（DSS，FIPS186-2）对对数字数字签签名作了如下解名作了如下解释释：利用一套：利用一套规则规则和一个参数和一个参数对对数据数据计计算所得的算所得的结结果，用此果，用此结结果能果能够够确确认签认签名者的身份和数据的完整性。名者的身份和数据的完整性。数字数字签签名的名的产产生生经过经过两个步两个步骤骤：首先，将被首先，将被发发送文件采用摘要函数（送文件采用摘要函数（Hash函数）函数）对对原始原始报报文文进进行运算，得到一个固定行运算，得到一个固定长长度的度的数字串，称数字串，称为报为报文摘要（文摘要（Message Digest），不同的），不同的报报文所得到的文所得到的报报文摘要各异，但文摘要各异，但对对相同的相同的报报文它的文它的报报文摘要却是唯一的。文摘要却是唯一的。然后，然后，发发送方用自己的私送方用自己的私钥对钥对摘要摘要进进行加密从而形成行加密从而形成发发送方的数字送方的数字签签名。名。数字数字证书证书 数字数字证书证书又称又称为为数字数字标识标识（Digital Certificate，Digital ID）。它提供了一种在）。它提供了一种在 Internet 上身上身份份验证验证的方式，是用来的方式，是用来标标志和志和证证明网明网络络通信双方身份的数字信息文件，与司机通信双方身份的数字信息文件，与司机驾驾照或日常生活中的照或日常生活中的身份身份证证相似。在网上相似。在网上进进行行电电子商子商务务活活动时动时，交易双方需要使用数字，交易双方需要使用数字证书证书来表明自己的身份，并使用来表明自己的身份，并使用数字数字证书证书来来进进行有关交易操作。行有关交易操作。通俗地通俗地讲讲，数字，数字证书证书就是个人或就是个人或单单位在位在Internet上的身份上的身份证证。数字数字证书证书是由大家共同信任的第三方是由大家共同信任的第三方-认证认证中心（中心（Certificate Authority，CA）来）来颁发颁发的，的，有某人的身份信息、公有某人的身份信息、公钥钥和和CA的数字的数字签签名。任何一个信任名。任何一个信任CA的通的通讯讯一方，都可以通一方，都可以通过验证对过验证对方方数字数字证书证书上的上的CA数字数字签签名来建立起和名来建立起和对对方的信任，并且方的信任，并且获获得得对对方的公方的公钥钥以以备备使用。使用。7.5.7加密技加密技术术的的应应用用实实例例 加密技加密技术术的的应应用是多方面的，但最用是多方面的，但最为为广泛的广泛的还还是在是在电电子商子商务务和和VPN上的上的应应用。用。7.6 两个配置两个配置实实例（略）例（略）谢谢