第6章網(wǎng)絡(luò)安全技術(shù)2主要內(nèi)容網(wǎng)絡(luò)安全概述信息傳遞的安全技術(shù)網(wǎng)絡(luò)服務(wù)器的訪問控制防火墻網(wǎng)絡(luò)代理服務(wù)器系統(tǒng)內(nèi)部安全技術(shù)DDoS攻擊和防范36.1網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)的安全性要求網(wǎng)絡(luò)安全威脅分析提高網(wǎng)絡(luò)安全性的策略網(wǎng)絡(luò)安全標(biāo)準(zhǔn)46.1.1網(wǎng)絡(luò)的安全性要求可用性（Availability）保密性（Confidentiality）完整性（Integrity）不可抵賴性（Undeniability）可控性（Controllability）56.1.2網(wǎng)絡(luò)安全威脅分析非授權(quán)訪問信息泄露或丟失破壞數(shù)據(jù)完整性利用網(wǎng)絡(luò)傳播病毒拒絕服務(wù)66.1.3提高網(wǎng)絡(luò)安全性的策略網(wǎng)絡(luò)安全性策略是保證提供一定級別的安全保護(hù)所必須遵守的規(guī)則法律技術(shù)管理76.1.4網(wǎng)絡(luò)安全標(biāo)準(zhǔn)美國TCSEC（TrustedComputerSystemEvaluationCriteria，俗稱橘皮書）歐洲ITSEC聯(lián)合公共準(zhǔn)則（CC）ISO安全體系結(jié)構(gòu)標(biāo)準(zhǔn)ISO7498-2-1989中華人民共和國國家標(biāo)準(zhǔn)GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》86.2信息傳遞的安全技術(shù)數(shù)據(jù)加密身份認(rèn)證數(shù)字簽名96.2.1數(shù)據(jù)加密兩種密碼體制加密解密明文密文明文密鑰加密解密明文密文明文加密密鑰解密密鑰單密鑰密碼體制（對稱加密解密系統(tǒng)）雙密鑰密碼體制（非對稱加密解密系統(tǒng)）106.2.1數(shù)據(jù)加密DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）RSA（公鑰密碼體制）MD5算法PGP安全加密系統(tǒng)混合密碼系統(tǒng)：IDEA、RSA、MD5、壓縮116.2.2身份認(rèn)證基于口令的認(rèn)證質(zhì)詢握手認(rèn)證Kerberos認(rèn)證SET安全電子商務(wù)系統(tǒng)126.2.3數(shù)字簽名數(shù)字簽名必須滿足以下條件接收方能夠確認(rèn)或證實(shí)發(fā)送方的簽名，但不能偽造發(fā)送方發(fā)出經(jīng)簽名的消息后，不能否認(rèn)所簽發(fā)的消息接收方對已收到的簽名消息不能予以否認(rèn)第三方可以驗(yàn)證并確認(rèn)收發(fā)雙方之間的消息傳送，但不能偽造這一過程136.2.3數(shù)字簽名基于RSA算法的數(shù)字簽名M用發(fā)送方的私鑰加密用接收方的公鑰加密用接收方的私鑰解密用發(fā)送方的公鑰驗(yàn)證M發(fā)送方接收方M,SM’,S’M,S146.3網(wǎng)絡(luò)服務(wù)器的訪問控制訪問控制和帳戶管理用戶權(quán)限控制訪問控制表156.3.1訪問控制和帳戶管理基本的訪問控制方法用戶名的識別與驗(yàn)證用戶口令的識別與驗(yàn)證用戶帳號的默認(rèn)限制檢查訪問的時(shí)間、使用的機(jī)器等其它用戶名及口令的驗(yàn)證方式指紋、虹膜、人臉便攜式驗(yàn)證器（如：IC卡）……華東師范大學(xué)計(jì)算機(jī)科學(xué)技術(shù)系《計(jì)算機(jī)網(wǎng)絡(luò)工程》第6章網(wǎng)絡(luò)安全技術(shù)（2009－2010學(xué)年第二學(xué)期）166.3.2用戶權(quán)限控制用戶分類特殊用戶一般用戶審計(jì)用戶基于角色的訪問控制（RoleBasedAccessControl）每個(gè)用戶根據(jù)職位對應(yīng)一個(gè)或多個(gè)角色系統(tǒng)根據(jù)角色進(jìn)行訪問權(quán)限的控制用戶調(diào)離某個(gè)職位，將脫離對應(yīng)的角色，就不再具有相應(yīng)的訪問權(quán)限176.3.2訪問控制表文件和目錄的訪問控制表186.4防火墻防火墻的基本概念防火墻的構(gòu)成數(shù)據(jù)包過濾技術(shù)FireWall-1防火墻196.4.1防火墻的基本概念防火墻（FireWall）是在外部和內(nèi)部兩個(gè)網(wǎng)絡(luò)之間執(zhí)行安全控制策略的系統(tǒng)防火墻綜合采用了網(wǎng)絡(luò)每個(gè)層次上的適當(dāng)技術(shù)，通過對網(wǎng)絡(luò)作連接和服務(wù)類型上的隔離，在被保護(hù)的內(nèi)部網(wǎng)絡(luò)周圍建立起一個(gè)安全隔離帶防火墻本身不是單獨(dú)的一個(gè)計(jì)算機(jī)程序或設(shè)備，而是能提高安全策略及其實(shí)現(xiàn)方式的完整的系統(tǒng)206.4.1防火墻的基本概念防火墻系統(tǒng)的兩大部件閾：限制在兩個(gè)網(wǎng)絡(luò)之間信息自由流動門：接收和處理來自外部網(wǎng)絡(luò)的信息216.4.1防火墻的基本概念防火墻采用的技術(shù)網(wǎng)絡(luò)層包過濾授權(quán)服務(wù)器應(yīng)用層代理服務(wù)器226.4.2防火墻的構(gòu)成簡單的雙宿主主機(jī)結(jié)構(gòu)帶有屏蔽路由器的單網(wǎng)段防火墻結(jié)構(gòu)單DMZ防火墻結(jié)構(gòu)雙DMZ防火墻結(jié)構(gòu)236.5網(wǎng)絡(luò)代理服務(wù)器代理服務(wù)技術(shù)Socks方法代理服務(wù)器與數(shù)據(jù)包過濾技術(shù)的比較代理服務(wù)器的使用246.6系統(tǒng)內(nèi)部安全技術(shù)漏洞掃描入侵檢測（IDS）安全審計(jì)病毒防范郵件服務(wù)器上安裝病毒掃描程序在內(nèi)部網(wǎng)絡(luò)中，建立病毒更新服務(wù)器6.7 DDoS攻擊和防范DDoS攻擊DDoS攻擊的預(yù)防DDoS攻擊的檢測DDoS攻擊的防御256.7.1DDoS攻擊分布式拒絕服務(wù)（DistributedDenialofService，DDoS）攻擊是近年來對因特網(wǎng)有巨大影響的惡意攻擊方式，是當(dāng)前網(wǎng)絡(luò)安全最嚴(yán)重的威脅之一DDoS攻擊是在拒絕服務(wù)攻擊（DenialofService，DoS）基礎(chǔ)上發(fā)展起來的從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，DoS是一種相對簡單但又很有效的進(jìn)攻方式DoS的攻擊方式有很多種，主要通過對主機(jī)特定漏洞的利用展開攻擊，導(dǎo)致網(wǎng)絡(luò)協(xié)議棧失效、系統(tǒng)資源耗盡、主機(jī)死機(jī)而無法提供正常的網(wǎng)絡(luò)服務(wù)266.7.1DDoS攻擊DoS攻擊只在一臺機(jī)器上展開攻擊，DDoS攻擊則利用一批受控制的機(jī)器向一個(gè)網(wǎng)站發(fā)起攻擊這批受控制的機(jī)器已被攻擊者入侵，安裝了攻擊程序，可被攻擊者間接利用，又被稱為“僵尸主機(jī)”DDoS攻擊一旦被實(shí)施，眾多的“僵尸主機(jī)”在攻擊者的控制下同時(shí)向受攻擊主機(jī)發(fā)送網(wǎng)絡(luò)報(bào)文，這些報(bào)文猶如洪水般涌向受攻擊主機(jī)，從而把合法用戶的網(wǎng)絡(luò)報(bào)文淹沒，導(dǎo)致合法用戶無法得到服務(wù)器的服務(wù)DDoS又被稱之為“洪水式攻擊”276.7.4DDoS攻擊的防御在檢測出存在攻