1、安全技術概況2022/7/8江西智通1安全技術概況防火墻加密與數字簽名用戶識別和安全認證網絡病毒的防御2022/7/8江西智通2防火墻一、防火墻原理二、防火墻的種類三、使用防火墻2022/7/8江西智通3 使用防火墻防火墻的技術種類 防火墻原理一、防火墻原理防火墻原理 作為近年來新興的保護計算機網絡安全技術性措施，防火墻（FireWall）是一種隔離控制技術，在某個機構的網絡和不安全的網絡（如Internet）之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止專利信息從企業的網絡上被非法輸出。防火墻是一種被動防衛技術，由于它假設了網絡的邊界和服務，因此對內部的非法訪問難以有效地控制，

2、因此，防火墻最適合于相對獨立的與外部網絡互連途徑有限、網絡服務種類相對集中的單一網絡。2022/7/8江西智通4一、防火墻原理作為Internet網的安全性保護應用，FireWall已經得到廣泛的應用。通常企業為了維護內部的信息系統安全，在企業網和Internet間設立FireWall軟件。企業信息系統對于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一臺IP主機上有需要禁止的信息或危險的用戶，則可以通過設置使用FireWall過濾掉從該主機發出的包。如果一個企業只是使用Internet的電子

3、郵件和WWW服務器向外部提供信息，那么就可以在FireWall上設置使得只有這兩類應用的數據包可以通過。這對于路由器來說，就要不僅分析IP層的信息，而且還要進一步了解TCP傳輸層甚至應用層的信息以進行取舍。FireWall一般安裝在路由器上以保護一個子網，也可以安裝在一臺主機上，保護這臺主機不受侵犯。 2022/7/8江西智通5二、防火墻技術的種類從實現原理上分，防火墻的技術包括四大類：網絡級防火墻（也叫包過濾型防火墻）應用級網關電路級網關規則檢查防火墻它們之間各有所長，具體使用哪一種或是否混合使用，要看具體需要。 2022/7/8江西智通6二、防火墻技術的種類1.網絡級防火墻一般是基于源地址

4、和目的地址、應用或協議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統”的網絡級防火墻，大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發，但它不能判斷出一個IP包來自何方，去向何處。防火墻檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合，防火墻就會使用默認規則，一般情況下，默認規則就是要求防火墻丟棄該包。其次，通過定義基于TCP或UDP數據包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。2022/7/8江西智通7二、防火墻技術的種類2應用級網關應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任服務器

5、和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，并做精細的注冊和稽核。它針對特別的網絡應用服務協議即數據過濾協議，并且能夠對數據包分析并形成相關的報告。應用網關對某些易于登錄和控制所有輸出輸入的通信的環境給予嚴格的控制，以防有價值的程序和數據被竊取。在實際工作中，應用網關一般由專用工作站系統來完成。但每一種協議需要相應的代理軟件，使用時工作量大，效率不如網絡級防火墻。應用級網關有較好的訪問控制，是目前最安全的防火墻技術，但實現困難，而且有的應用級網關缺乏“透明度”。在實際使用中，用戶在受信任的網絡上通過防火墻訪問Internet時，經常會發現

6、存在延遲并且必須進行多次登錄（Login）才能訪問Internet或Intranet。2022/7/8江西智通8二、防火墻技術的種類3電路級網關電路級網關用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話（Session）是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火墻要高二層。電路級網關還提供一個重要的安全功能：代理服務器（Proxy Server）。代理服務器是設置在Internet防火墻網關的專用應用級代碼。這種代理服務準許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特

7、定的數據包通過，一旦判斷條件滿足，防火墻內部網絡的結構和運行狀態便“暴露”在外來用戶面前，這就引入了代理服務的概念，即防火墻內外計算機系統應用層的“鏈接”由兩個終止于代理服務的“鏈接”來實現，這就成功地實現了防火墻內外計算機系統的隔離。同時，代理服務還可用于實施較強的數據流監控、過濾、記錄和報告等功能。代理服務技術主要通過專用計算機硬件（如工作站）來承擔。2022/7/8江西智通9二、防火墻技術的種類4規則檢查防火墻該防火墻結合了包過濾防火墻、電路級網關和應用級網關的特點。它同包過濾防火墻一樣，規則檢查防火墻能夠在OSI網絡層上通過IP地址和端口號，過濾進出的數據包。它也象電路級網關一樣，能夠

8、檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合企業網絡的安全規則。規則檢查防火墻雖然集成前三者的特點，但是不同于一個應用級網關的是，它并不打破客戶機/服務器模式來分析應用層的數據，它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火墻不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數據，這些算法通過已知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。2022/7/8江西智通10三、使用防火墻 防火墻是企業網安全問題的流行方案，即把公共數據和服務置于防火

9、墻外，使其對防火墻內部資源的訪問受到限制。一般說來，防火墻是不能防病毒的，盡管有不少的防火墻產品聲稱其具有這個功能。防火墻技術的另外一個弱點在于數據在防火墻之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。此外，防火墻采用濾波技術，濾波通常使網絡的性能降低50%以上，如果為了改善網絡性能而購置高速路由器，又會大大提高經濟預算。作為一種網絡安全技術，防火墻具有簡單實用的特點，并且透明度高，可以在不修改原有網絡應用系統的情況下達到一定的安全要求。但是，如果防火墻系統被攻破，則被保護的網絡處于無保護狀態。所以企業在挑選防火墻產品時一定謹慎。2022/7/8江西智通112022/7/8江西智通

10、12加密與數字簽名一、加密 二、數字簽名三、密鑰的管理 2022/7/8江西智通13一、加密 數據加密技術從技術上的實現分為在軟件和硬件兩方面。按作用不同，數據加密技術主要分為數據傳輸數據存儲數據完整性的鑒別以及密鑰管理技術這四種。2022/7/8江西智通14一、加密 在網絡應用中一般采取兩種加密形式：對稱密鑰和公開密鑰，采用何種加密算法則要結合具體應用環境和系統，而不能簡單地根據其加密強度來作出判斷。因為除了加密算法本身之外，密鑰合理分配、加密效率與現有系統的結合性，以及投入產出分析都應在實際環境中具體考慮。2022/7/8江西智通15一、加密 對于對稱密鑰加密。其常見加密標準為DES等，當

11、使用DES時，用戶和接受方采用64位密鑰對報文加密和解密，當對安全性有特殊要求時，則要采取IDEA和三重DES等。作為傳統企業網絡廣泛應用的加密技術，秘密密鑰效率高，它采用KDC來集中管理和分發密鑰并以此為基礎驗證身份，但是并不適合Internet環境。2022/7/8江西智通16一、加密 在Internet中使用更多的是公鑰系統。即公開密鑰加密，它的加密密鑰和解密密鑰是不同的。一般對于每個用戶生成一對密鑰后，將其中一個作為公鑰公開，另外一個則作為私鑰由屬主保存。常用的公鑰加密算法是RSA算法，加密強度很高。2022/7/8江西智通17一、加密 具體作法是將數字簽名和數據加密結合起來。發送方在

12、發送數據時必須加上數據簽名，做法是用自己的私鑰加密一段與發送數據相關的數據作為數字簽名，然后與發送數據一起用接收方密鑰加密。當這些密文被接收方收到后，接收方用自己的私鑰將密文解密得到發送的數據和發送方的數字簽名，然后，用發布方公布的公鑰對數字簽名進行解密，如果成功，則確定是由發送方發出的。數字簽名每次還與被傳送的數據和時間等因素有關。由于加密強度高，而且并不要求通信雙方事先要建立某種信任關系或共享某種秘密，因此十分適合Internet網上使用。 2022/7/8江西智通18一、加密 下面介紹幾種最常見的加密體制的技術實現：1常規密鑰密碼體制所謂常規密鑰密碼體制，即加密密鑰與解密密鑰是相同的。在

13、早期的常規密鑰密碼體制中，典型的有代替密碼，其原理可以用一個例子來說明：將字母a，b，c，d，w，x，y，z的自然順序保持不變，但使之與D，E，F，G，Z，A，B，C分別對應（即相差3個字符）。若明文為student則對應的密文為VWXGHQW（此時密鑰為3）。由于英文字母中各字母出現的頻度早已有人進行過統計，所以根據字母頻度表可以很容易對這種代替密碼進行破譯。2022/7/8江西智通19一、加密 2數據加密標準DESDES算法原是IBM公司為保護產品的機密于1971年至1972年研制成功的，后被美國國家標準局和國家安全局選為數據加密標準，并于1977年頒布使用。ISO也已將DES作為數據加密

14、標準。DES對64位二進制數據加密，產生64位密文數據。使用的密鑰為64位，實際密鑰長度為56位（有8位用于奇偶校驗）。解密時的過程和加密時相似，但密鑰的順序正好相反。 DES的保密性僅取決于對密鑰的保密，而算法是公開的。DES內部的復雜結構是至今沒有找到捷徑破譯方法的根本原因。現在DES可由軟件和硬件實現。美國ATT首先用LSI芯片實現了DES的全部工作模式，該產品稱為數據加密處理機DEP。2022/7/8江西智通20一、加密 3公開密鑰密碼體制公開密鑰（public key）密碼體制出現于1976年。它最主要的特點就是加密和解密使用不同的密鑰，每個用戶保存著一對密鑰 ? 公開密鑰PK和秘密

15、密鑰SK，因此，這種體制又稱為雙鑰或非對稱密鑰密碼體制。在這種體制中，PK是公開信息，用作加密密鑰，而SK需要由用戶自己保密，用作解密密鑰。加密算法E和解密算法D也都是公開的。雖然SK與PK是成對出現，但卻不能根據PK計算出SK。2022/7/8江西智通21一、加密 公開密鑰算法的特點如下：1、用加密密鑰PK對明文X加密后，再用解密密鑰SK解密，即可恢復出明文，或寫為：DSK（EPK（X）=X 2、加密密鑰不能用來解密，即DPK（EPK（X）X 3、在計算機上可以容易地產生成對的PK和SK。 4、從已知的PK實際上不可能推導出SK。 5、加密和解密的運算可以對調，即：EPK（DSK（X）=X

16、在公開密鑰密碼體制中，最有名的一種是RSA體制。它已被ISO/TC97的數據加密技術分委員會SC20推薦為公開密鑰數據加密標準。2022/7/8江西智通22二、數字簽名數字簽名技術是實現交易安全的核心技術之一，它的實現基礎就是加密技術。在這里，我們介紹數字簽名的基本原理。以往的書信或文件是根據親筆簽名或印章來證明其真實性的。但在計算機網絡中傳送的報文又如何蓋章呢？這就是數字簽名所要解決的問題。數字簽名必須保證以下幾點：接收者能夠核實發送者對報文的簽名；發送者事后不能抵賴對報文的簽名；接收者不能偽造對報文的簽名。現在已有多種實現各種數字簽名的方法，但采用公開密鑰算法要比常規算法更容易實現。下面就

17、來介紹這種數字簽名。2022/7/8江西智通23二、數字簽名發送者A用其秘密解密密鑰SKA對報文X進行運算，將結果DSKA（X）傳送給接收者B。B用已知的A的公開加密密鑰得出EPKA（DSKA（X）=X。因為除A外沒有別人能具有A的解密密鑰SKA，所以除A外沒有別人能產生密文DSKA（X）。這樣，報文X就被簽名了。假若A要抵賴曾發送報文給B。B可將X及DSKA（X）出示給第三者。第三者很容易用PKA去證實A確實發送消息X給B。反之，如果是B將X偽造成X，則B不能在第三者面前出示DSKA（X）。這樣就證明B偽造了報文。可以看出，實現數字簽名也同時實現了對報文來源的鑒別。但是上述過程只是對報文進行

18、了簽名。對傳送的報文X本身卻未保密。因為截到密文DSKA（X）并知道發送者身份的任何人，通過查問手冊即可獲得發送者的公開密鑰PKA，因而能夠理解報文內容。則可同時實現秘密通信和數字簽名。SKA和SKB分別為A和B的秘密密鑰，而PKA和PKB分別為A和B的公開密鑰。2022/7/8江西智通24三、密鑰的管理對稱密鑰加密方法致命的一個弱點就是它的密鑰管理十分困難，因此它很難在電子商務的實踐中得到廣泛的應用。在這一點上，公開密鑰加密方法占有絕對的優勢。不過，無論實施哪種方案，密鑰的管理都是要考慮的問題。當網絡擴得更大、用戶增加更多時尤其如此。一家專門從事安全性咨詢的公司Cypress Consult

19、ing的總裁CyArdoin說：“在所有加密方案中，都必須有人來管理密鑰。”2022/7/8江西智通25三、密鑰的管理目前，公認的有效方法是通過密鑰分配中心KDC來管理和分配公開密鑰。每個用戶只保存自己的秘密密鑰和KDC的公開密鑰PKAS。用戶可以通過KDC獲得任何其他用戶的公開密鑰。2022/7/8江西智通26三、密鑰的管理首先，A向KDC申請公開密鑰，將信息（A，B）發給KDC。KDC返回給A的信息為（CA，CB），其中，CA=DSKAS（A，PKA，T1），CB=DSKAS（B，PKB，T2）。CA和CB稱為證書（Certificate），分別含有A和B的公開密鑰。KDC使用其解密密鑰S

20、KAS對CA和CB進行了簽名，以防止偽造。時間戳T1和T2的作用是防止重放攻擊。最后，A將證書CA和CB傳送給B。B獲得了A的公開密鑰PKA，同時也可檢驗他自己的公開密鑰PKB。用戶識別和安全認證僅僅加密是不夠的，全面的保護還要求認證和識別。它確保參與加密對話的人確實是其本人。廠家依靠許多機制來實現認證，從安全卡到身份鑒別。前一個安全保護能確保只有經過授權的用戶才能通過個人計算機進行Internet網上的交互式交易；后者則提供一種方法，用它生成某種形式的口令或數字簽名，交易的另一方據此來認證他的交易伙伴。用戶管理的口令通常是前一種安全措施；硬件軟件解決方案則不僅正逐步成為數字身份認證的手段，同

21、時它也可以被可信第三方用來完成用戶數字身份（ID）的相關確認。一、認證和識別的基本原理二、認證的主要方法2022/7/8江西智通27一、認證和識別的基本原理認證就是指用戶必須提供他是誰的證明，他是某個雇員，某個組織的代理、某個軟件過程（如股票交易系統或Web訂貨系統的軟件過程）。認證的標準方法就是弄清楚他是誰，他具有什么特征，他知道什么可用于識別他的東西。比如說，指紋、視網膜血管分布圖、聲波紋識別也是商業系統采用的一種識別方式。2022/7/8江西智通28一、認證和識別的基本原理網絡通過用戶擁有什么東西來識別的方法，一般是用智能卡或其它特殊形式的標志，這類標志可以從連接到計算機上的讀出器讀出來

22、。至于說到“他知道什么”，最普通的就是口令，口令具有共享秘密的屬性。例如，要使服務器操作系統識別要入網的用戶，那么用戶必須把他的用戶名和口令送服務器。服務器就將它仍與數據庫里的用戶名和口令進行比較，如果相符，就通過了認證，可以上網訪問。這個口令就由服務器和用戶共享。更保密的認證可以是幾種方法組合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一環是規程分析儀的竊聽，如果口令以明碼（未加密）傳輸，接入到網上的規程分析儀就會在用戶輸入帳戶和口令時將它記錄下來，任何人只要獲得這些信息就可以上網工作。2022/7/8江西智通29一、認證和識別的基本原理智能卡技術將成為用戶接入和用戶身份認證等安全要求

23、的首選技術。用戶將從持有認證執照的可信發行者手里取得智能卡安全設備，也可從其他公共密鑰密碼安全方案發行者那里獲得。這樣智能卡的讀取器必將成為用戶接入和認證安全解決方案的一個關鍵部分。越來越多的業內人士在積極提供智能卡安全性的解決方案。盡管這一領域的情形還不明朗，但我們沒有理由排除這樣一種可能：在數字ID和相關執照的可信發行者方面，某些經濟組織或由某些銀行擁有的信用卡公司將可能成為這一領域的領導者。2022/7/8江西智通30二、認證的主要方法為了解決安全問題，一些公司和機構正千方百計地解決用戶身份認證問題，主要有以下幾種認證辦法。1雙重認證。如波斯頓的Beth Isreal Hospital公

24、司和意大利一家居領導地位的電信公司正采用“雙重認證”辦法來保證用戶的身份證明。也就是說他們不是采用一種方法，而是采用有兩種形式的證明方法，這些證明方法包括令牌、智能卡和仿生裝置，如視網膜或指紋掃描器。2022/7/8江西智通31二、認證的主要方法2數字證書。這是一種檢驗用戶身份的電子文件，也是企業現在可以使用的一種工具。這種證書可以授權購買，提供更強的訪問控制，并具有很高的安全性和可靠性。隨著電信行業堅持放松管制，GTE已經使用數字證書與其競爭對手（包括Sprint公司和ATT公司）共享用戶信息。3智能卡。這種解決辦法可以持續較長的時間，并且更加靈活，存儲信息更多，并具有可供選擇的管理方式。4

25、安全電子交易（SET）協議。這是迄今為止最為完整最為權威的電子商務安全保障協議 2022/7/8江西智通32網絡病毒的防御一、網絡病毒的威脅 二、企業范圍的病毒防治 三、布署和管理防病毒軟件2022/7/8江西智通33一、網絡病毒的威脅 一、網絡病毒的威脅病毒本身已是令人頭痛的問題。但隨著Internet開拓性的發展，病毒可能為網絡帶來災難性后果。Internet帶來了兩種不同的安全威脅。一種威脅是來自文件下載。這些被瀏覽的或是通過FTP下載的文件中可能存在病毒。而共享軟件（public shareware）和各種可執行的文件，如格式化的介紹性文件（formatted presentation

26、）已經成為病毒傳播的重要途徑。并且，Internet上還出現了Java和Active X形式的惡意小程序。另一種主要威脅來自于電子郵件。大多數的Internet郵件系統提供了在網絡間傳送附帶格式化文檔郵件的功能。只要簡單地敲敲鍵盤，郵件就可以發給一個或一組收信人。因此，受病毒感染的文檔或文件就可能通過網關和郵件服務器涌入企業網絡。2022/7/8江西智通34一、網絡病毒的威脅 另一種網絡化趨勢也加重了病毒的威脅。這種趨勢是向群件應用程序發展的，如Lotus Notes，Microsoft Exchange，Novell Groupwise和Netscape Colabra。由于群件的核心是在網

27、絡內共享文檔，那么這就為病毒的發展提供了豐富的基礎。而群件不僅僅是共享文檔的儲藏室，它還提供合作功能，能夠在相關工作組之間同步傳輸文檔。這就大大提高了病毒傳播的機會。因此群件系統的安全保護顯得格外重要。 2022/7/8江西智通35二、企業范圍的病毒防治首先應該考慮在何處安裝病毒防治軟件。在企業中，重要的數據往往保存在位于整個網絡中心結點的文件服務器上，這也是病毒攻擊的首要目標。為保護這些數據，網絡管理員必須在網絡的多個層次上設置全面保護措施。2022/7/8江西智通36二、企業范圍的病毒防治有效的多層保護措施必須具備四個特性：集成性：所有的保護措施必須在邏輯上是統一的和相互配合的。 單點管理：作為一個集成的解決方案，最基本的一條是必須有一個安全管理的聚焦點。 自動化：系統需要有能自動更新病毒特征碼數據庫和其它相關信息的功能。 多層分布：這個解決方案應該是多層次的，適當的防毒部件在適當的位置分發出去，最大限度地發揮作用，而又不會影響網絡負擔。防毒軟件應該安裝在服務器工作站和郵件系統上。 2022/7/8江西智通37二、企業范圍的病毒防治 工作站是病毒進入網絡的主要途徑，所以應該在工作站上安裝防病毒軟