局域網組建、管理與維護第6章

網絡安全與管理技術第6章

網絡安全與管理技術*6.1網絡安全問題概述網絡安全的概念和安全控制模型安全威脅*6.2病毒與病毒的防治病毒的種類及特點病毒的傳播途徑與防治網絡版殺毒軟件*

6.3數據加密與認證密碼學的基本概念常規密鑰密碼體制公開密鑰加密技術第6章

網絡安全與管理技術6.3.4數字簽名6.3.5身份認證技術*6.4防火墻防火墻概述防火墻系統結構防火墻分類防火墻的作用防火墻的設計策略*

6.5入侵檢測入侵檢測概述入侵檢測分類入侵檢測過程分析檢測和訪問控制技術將共存共榮第6章

網絡安全與管理技術*6.6網絡安全協議*6.7網絡管理技術網絡管理概述ISO網絡管理模式公共管理信息協議CMIP簡單網絡管理協議SNMP*

6.8網絡安全方案設計與選型防火墻方案設計網絡防毒方案設計入侵檢測系統方案設計6.1網絡安全問題概述6.1.1網絡安全的概念和安全控制模型

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不會由于偶然或惡意的原因而遭到破壞、更改、泄露等意外發生。

網絡安全應包括以下幾個方面：物理安全、人員安全、符合瞬時電磁脈沖輻射標準(TEMPEST)、信息安全、操作安全、通信安全、計算機安全和工業安全，如圖6.1所示。6.1網絡安全問題概述圖6.1網絡安全的組成6.1網絡安全問題概述

我們可以建立如圖6.2所示的網絡安全模型。信息需要從一方通過某種網絡傳送到另一方。在傳送中居

主體地位的雙方必須合作起來進行交換。通過通信

協議(如TCP/IP)在兩個主體之間可以建立一條邏輯信息通道。保證安全性的所有機制包括以下兩部分：對被傳送的信息進行與安全相關的轉換。圖6.2中包含了信息的加密和以信息內容為基礎的補充代碼。(2)兩個主體共享不希望對手得知的保密信息。為了實現安全傳送，可能需要可信任的第三方。6.1網絡安全問題概述圖6.2網絡安全模型6.1網絡安全問題概述

這種通用模型指出了設計特定安全服務的4個基本任務：設計執行與安全性相關的轉換算法，該算法必須使對手不能破壞算法以實現其目的。

(2)生成算法使用的保密信息。開發分發和共享保密信息的方法。指定兩個主體要使用的協議，并利用安全算法和保密信息來實現特定的安全服務。6.1網絡安全問題概述6.1.2安全威脅安全威脅是指某個人、物、事件或概念對某一資源的機密性、完整性、可用性或合法性所造成的危害。某種攻擊就是某種威脅的具體實現。針對網絡安全的威脅主要有：

(1)人為的無意失誤。人為的惡意攻擊。網絡軟件的漏洞和“后門”。6.1網絡安全問題概述1．安全攻擊對于計算機或網絡安全性的攻擊，最好通過在提供信息時查看計算機系統的功能來記錄其特性。圖6.3列出了當信息從信源向信宿流動時，信息正常流動和受到各種類型攻擊的情況。中斷是指系統資源遭到破壞或變得不能使用，這是對可用性的攻擊。截取是指未授權的實體得到了資源的訪問權，這是對保密性的攻擊。6.1網絡安全問題概述捏造是指未授權的實體向系統中插入偽造的對象，這是對真實性的攻擊。以上攻擊又可分為被動攻擊和主動攻擊兩種，如圖6.3所示。被動攻擊的特點是偷聽或監視傳送，其目的是獲得正在傳送的信息。被動攻擊有：泄露信息內容和通信量分析等。泄露信息內容容易理解。電話對話、電子郵件信息、傳遞的議價可能含有敏感的機密信息。我們要防止對手從傳送中獲得這些內容。6.1網絡安全問題概述通信量分析則比較微妙。我們用某種方法將信息內容隱藏起來，常用的技術是加密，這樣，即使對手捕獲了信息，也不能從中提取信息。對手可以確定位置和通信主機的身份，可以觀察交換信息的頻率和長度。這些信息可以幫助對手猜測正在進行的通信特性。主動攻擊涉及修改數據或創建錯誤的數據流，它包括假冒、重放、修改信息和拒絕服務等。假冒是一個實體假裝成另一個實體，假冒攻擊通常包括一種其他形式的主動攻擊。重放涉及被動捕獲數據單元及其后來的重新傳送，以產生未經授權的效果。修改6.1網絡安全問題概述通信量分析則比較微妙。我們用某種方法將信息內容隱藏起來，常用的技術是加密，這樣，即使對手捕獲了信息，也不能從中提取信息。對手可以確定位置和通信主機的身份，可以觀察交換信息的頻率和長度。這些信息可以幫助對手猜測正在進行的通信特性。主動攻擊涉及修改數據或創建錯誤的數據流，它包括假冒、重放、修改信息和拒絕服務等。假冒是一個實體假裝成另一個實體，假冒攻擊通常包括一種其他形式的主動攻擊。重放涉及被動捕獲數據單元及其后來的重新傳送，以產生未經授權的效果。修改息意味著改變了真實信息的部分內容，或將信息延遲或重新排序，導致未授權的操作。拒絕服務是指禁止對通信工具的正常使用6.1網絡安全問題概述或管理。這種攻擊擁有特定的目標，例如，實體可以取消送往特定目的地址的所有信息(例如安全審核服務)。另一種拒絕服務的形式是整個網絡的中斷，這可以通過使網絡失效而實現，或通過信息過載使網絡性能降低。6.1網絡安全問題概述圖6.3安全攻擊6.1網絡安全問題概述

主動攻擊具有與被動攻擊相反的特點。雖然很難檢測出被動攻擊，但可以采取措施防止它的成功。相反，很難絕對預防主動攻擊，因為這樣需要在任何時候對所有的通信工具和路徑進行完全的保護。防止主動攻擊的做法是對攻擊進行檢測，并從它引起的中斷或延遲中恢復過來。因為檢測具有威懾的效果，它也可以對預防做出貢獻。6.1網絡安全問題概述

另外，從網絡高層協議的角度，攻擊方法可以概括地分為兩大類：服務攻擊與非服務攻擊。

服務攻擊(Application

Dependent

Attack)是針對某種特定網絡服務的攻擊，如針對E-mail服務，Telnet，FTP，HTTP等服務的專門攻擊。目前Internet應用協

議集(主要是TCP/IP協議集)缺乏認證、保密措施，是造成服務攻擊的重要原因。現在有很多具體的攻擊工具，如Mail

Bomb(郵件炸彈)等，可以很容易實施對某項服務的攻擊。

非服務攻擊(Application

Independent

Attack)不針對某項具體應用服務，而是基于網絡層等低層協議而進行的。TCP/IP協議(尤其是IPv4)自身的安全機制不足為攻擊者提供了方便之門。6.1網絡安全問題概述

一般認為，目前網絡存在的威脅主要表現在：(1)信息泄漏或丟失。

(2)破壞數據完整性。

(3)拒絕服務攻擊。

(4)非授權訪問。6.1網絡安全問題概述3．主要的可實現的威脅這些威脅可以使基本威脅成為可能，因此十分重要。它包括兩類：滲入威脅和植入

威脅。主要的滲入威脅有：假冒、旁路控制、授(1)權侵犯。①

某個未假冒：這是大多數黑客采用的攻擊方法。授權實體使守衛者相信它是一個合法的實體，從而攫取該合法用戶的特權。②

旁路控制：攻擊者通過各種手段發現本應保密卻又暴露出來的一些系統“特征”，利用這些“特征”，攻擊者繞過守衛者防線滲入系統內部。6.1網絡安全問題概述(2)

主要的植入威脅有：特洛伊木馬、陷門。①特洛伊木馬：攻擊者在正常的軟件中隱藏一段用于其他目的的程序，這段隱藏的程序段常常以安全攻擊作為其最終目標。②陷門：陷門是在某個系統或某個文件中設置的“機關”，使得當提供特定的輸入數據時，允許違反安全策略。4．潛在的威脅對基本威脅或主要的可實現的威脅進行分析，可以發現某些特定的潛在威脅，而任意一種潛在的威脅都可能導致發生一些更基本的威脅。6.2病毒與病毒的防治

計算機病毒是一個程序，一段可執行碼。就像生物病毒一樣，計算機病毒有獨特

的復制能力。計算機病毒可以很快地蔓

延，又常常難以根除。它們能把自身附

著在各種類型的文件上。當文件被復制

或從一個用戶傳送到另一個用戶時，它

們就隨同文件一起蔓延開來。6.2病毒與病毒的防治6.2.1病毒的種類及特點

1．病毒的種類病毒的種類多種多樣，主要有以下6種。文件型病毒引導扇區病毒宏病毒欺騙病毒多形性病毒伙伴病毒6.2病毒與病毒的防治網絡病毒的特點

Internet的發展孕育了網絡病毒，由于網絡的互聯性，病毒的威力也大大增強。網絡病毒具有以下特點：破壞性強。

(2)傳播性強。(3)具有潛伏性和可激發性。

(4)針對性強。(5)擴散面廣。6.2病毒與病毒的防治6.2.2病毒的傳播途徑與防治1．計算機病毒的傳播途徑第1種途徑：通過不可移動的計算機硬件設備進行傳播，這些設備通常有計算機專用芯片和硬盤等。第2種途徑：通過移動存儲設備來傳播，這些設備包括軟盤、磁盤等。第3種途徑：通過計算機網絡進行傳播。6.2病毒與病毒的防治病毒的防治檢測病毒的主要方法目前廣泛使用的主要檢測病毒的方法有特征代碼法、校驗和法、行為監測法、感染實驗法等。特征代碼法被用于SCAN、CPAV等著名的(1)病毒監測工具中。(2)和，將校驗和法是對正常文件的內容計算其校驗該校驗和寫入文件中或寫入別的文件中保存。行為監測法是利用病毒的行為特性來檢測(3)病毒的。(4)—感染感染實驗法利用了病毒的最重要的特征—6.2病毒與病毒的防治2)

病毒防火墻在網絡病毒的防治上的優越性與傳統防殺毒模式相比，病毒防火墻在網絡病毒的防治上有著明顯的優越性。它對病毒的過濾有良好的實時性。病毒防火墻能有效地阻止病毒通過網絡向(1)(2)本地計算機系統入侵。病毒防火墻的“雙向過濾”功能保證了本系統不會向遠程(網絡)資源傳播病毒。病毒防火墻還具有操作更簡便、更透明的好處，有了它自動、實時的保護，用戶再也無須隔三差五就得6.2病毒與病毒的防治6.2.3網絡版殺毒軟件“安全之星”是殺毒軟件與防火墻的結合，它在具備普通殺毒軟件共有功能的同時有著“網絡版”的獨到之處，特別適合企業局域網使用。有如下特點：(1)(2)(3)(4)(5)(6)可以統一設置企業反病毒安全策略。便于全網集中管理。全網自動化智能安裝。實時獲得全網的病毒通告及審計。全網自動升級。遠程監控、管理及病毒實時報警。6.2病毒與病毒的防治

“安全之星企業版”的工作原理如下：“安全之星”分為服務器版和工作站版兩套軟件，分別安裝在局域網中的服務器和普通工作站

上。工作站端“安全之星”防火墻可以像其

他殺毒軟件一樣，實現本地病毒的查殺和實

時監控；服務器端“安全之星”防火墻會在

服務器上啟動名為NTVRV的服務，基于該服務，并結合有著良好用戶界面的監視器程序，便可以實現服務器對工作站的遠程監控，包

括統一設置反病毒安全策略，即時獲取全網

病毒通告及審計，升級病毒庫，病毒報警等。6.3數據加密與認證

密碼學(或稱密碼術)是保密學的一部分。保密學是研究密碼系統或通信安全的科學，它包含兩個分支：

密碼學和密碼分析學。密碼學是對信息進行編碼實

現隱蔽信息的一門學問，密碼分析學是研究分析破

譯密碼的學問。兩者相互獨立，而又相互促進。

采用密碼技術可以隱藏和保護需要保密的信息，使未授權者不能提取信息。需要隱藏的信息稱為明文。明文被變換成另一種隱藏形式稱為密文。這種變換

稱為加密。加密的逆過程，即從密文恢復出明文的

過程稱為解密。對明文進行加密時采用的一組規則

稱為加密算法。對密文解密時采用的一組規則稱為

加密密鑰，解密算法所使用的密鑰稱為解密密鑰。6.3數據加密與認證

密碼系統通常從3個獨立的方面進行分類：按將明文轉換成密文的操作類型可分為：置換密碼和易位密碼。按明文的處理方法可分為：分組密碼和序列密碼。按密鑰的使用個數可分為：對稱密碼6.3數據加密與認證置換密碼和易位密碼

在置換密碼(substation

cipher)中，每個或每組字母由另一個或另一組偽裝字母所替換。最古老的一種

置換密碼是Julius

Caesar發明的凱撒密碼，這種密

碼算法對于原始信息(明文)中的每一個字母都用該字母后的第n個字母來替換，其中n就是密鑰。例如使

加密字母向右移3個字母，即a換成D，b換成E，c換

成F…z換成C。

由于凱撒密碼的整個密鑰空間只有26個密鑰，只要知道圓圈密碼算法采用的是凱撒密碼，對其進行破譯就是輕而易舉的事了，因為破譯者最多只需嘗試

25次就可以知道正確的密鑰。6.3數據加密與認證

對凱撒密碼的一種改進方法是把明文中的字符換成另一個字符，如將26個字母中的每一個字母都映射成另一個字母。例如：明文：a

b

c

d

e

f

g

h

i

j

k

l

m

n

o

p

q

r

s

t

u

v

w

x

y

z

密文：Q

B

E

L

C

D

F

H

G

I

A

J

N

M

K

O

P

R

S

Z

UT

W

V

Y

X

這種方法稱為單字母表替換，其密鑰是對應于整個字母表的26個字母串。按照此例中的密鑰，明文

attack加密后形成的密文是QZZQEA。

采用單字母表替換時，密鑰的個數有26！=4×1026個。雖然破譯者知道加密的一般原理，但他并不知道使用的是哪一個密鑰。即使使用1μs試一個密鑰的計算機，試遍全部密鑰也要用1013年的時間。6.3數據加密與認證

易位密碼(transposition

cipher)只對明文字母重新排序，但不隱藏它們。列易位密碼是一種常用的易位密碼，該密碼的密鑰是一個不含任何重復字母的單詞或詞語。

要破譯易位密碼，破譯者首先必須知道密文是用易位密碼寫的。通過查看E，T，A，O，I，N等字母的

出現頻率，容易知道它們是否滿足明文的普通模式，如果滿足，則該密碼就是易位密碼，因為在這種密

碼中，各字母就表示其自身。

破譯者隨后猜測列的個數，即密鑰的長度，最后確定列的順序。在許多情形下，從信息的上下文可猜出一個可能的單詞或短語。破譯者通過尋找各種可能性，常常能輕易地破解易位密碼。6.3數據加密與認證2．分組密碼和序列密碼

分組密碼的加密方式是首先將明文序列以固定長度進行分組，每一組明文用相同的密鑰和加密函數進行運算。一般為了減少存儲量和提高運算速度，密鑰的長度有限，因而加密函數的復雜性成為系統安全的關鍵。

分組密碼設計的核心是構造既具有可逆性又有很強

的非線性的算法。加密函數重復地使用替換和易位

兩種基本的加密變換，也就是香農在1949年發現的

隱蔽信息的2種技術：打亂和擴散。打亂(confusion)是改變信息塊使輸出位與輸入位之間無明顯的統計

關系。擴散(diffusion)是通過密鑰的效應把一個明文位轉移到密文的其他位上。6.3數據加密與認證分組密碼的優點是：明文信息良好的擴散性，對插入的敏感性，不需要密鑰同步，較強的適用性，適合作為加密標準。分組密

碼的缺點是：加密速度慢；錯誤擴散和傳播。序列密碼的加密過程是把報文、語音、圖像、數據等原始信息轉換成明文數據序列，然后將它同密鑰序列進行逐位模2加(即異或運算)，生成密文序列發送給接收者，接收者用相同密鑰序列進行逐位解密來恢復明文序列。序列密碼的安全性主要依賴于密鑰序列。密鑰序列是由少量的制亂素(密鑰)通過密鑰序列產生器產生的大量偽隨機序列。布爾函數是密鑰序列產生器的重要組成部分。序列密碼的優點是：處理速度快，實時性好，錯誤傳播小，不易被破譯，適用于軍事、外交等保密信道。序列密碼的缺點是：明文擴散性差，需要密鑰同步。6.3數據加密與認證加密技術三類數據加密技術簡介數據加密技術可以分為3類：對稱型加密：使用單個密鑰對數據進行加密或解密，其特點是計算量小、加密效率高。非對稱型加密算法：也稱公開密鑰算法，其特點是有兩個密鑰(即公用密鑰和私有密鑰)，只有兩者搭配使用才能完成加密和解密的全過程。不可逆加密算法：特征是加密過程不需要密鑰，并且經過加密的數據無法被解密，只有同樣的輸入數據6.3數據加密與認證用于網絡安全的兩種加密技術加密技術用于網絡安全通常有兩種形式，即面向網絡和面向應用服務。面向網絡服務的加密技術通常工作在網絡層或運輸層，使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息，從而保證網絡的連通性和可用性不受損害。面向網絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法，這一類加密技術的優點在于實現相對較為簡單，不需要對電子信息(數據包)所經過6.3數據加密與認證從通信網絡的傳輸方面，數據加密技術還可分為以下3類：鏈路加密方式、結點到結點方式和端到端方式。(1)鏈路加密方式：它對網絡上傳輸的數據報文進行加密。不但對數據報文的正文進行加密，而且把路由信息、校驗碼等控制信息全部加密。所以，當數據報文到某個中間結點時，必須被解密以獲得路由信息和校驗碼，進行路由選擇、差6.3數據加密與認證(2)結點到結點加密方式是為了解決在結點中數據是明文的缺點，在中間結點里裝有加、解密的保護裝置，由這個裝置來完成一個密鑰向另一個密鑰的交換。因而，除了在保護裝置內，即使在結點內也不會出現明文。但是這種方式和鏈路加密方式一樣，有一個共同的缺點：需要目前的公共網絡提供者配合，修改他們的交換結

點，增加安全單元或保護裝置。6.3數據加密與認證(3)在端到端加密方式中，由發送方加密的數據在沒有到達最終目的結點之前是不被解破的。加、解密只在源、宿結點進行，因此，這種方式可以實現按各種通信對象的要求改變加密密鑰以及按應用程序進行密鑰管理等，而且采用這種方式可以解決文件加密問題。鏈路加密方式和端到端加密方式的區別是：鏈路加密方式是對整個鏈路的通信采用保護措施，而端到端方式則是對整個網絡系統采取保護措施。因此，端到端加密方式是將來的發展趨勢。6.3數據加密與認證4．密碼分析

試圖發現明文或密鑰的過程稱為密碼分析。密碼分析人員使用的策略取決于加密方案的特性和分析人員可用的信息。密碼分析的過程通常包括：

分析(統計所截獲的信息材料) 假設推斷證實6.3數據加密與認證

表6-1總結了各類加密信息的破譯類型，這些破譯是以分析人員所知的信息總量為基礎的。當一切都具

備時，最困難的問題就是密文了。在一些情況下，

分析人員可能根本就不知道加密算法，但一般可以

認為已經知道了加密算法。這種情況下，最可能的

破譯就是用蠻用攻擊(或稱為窮舉攻擊)來嘗試各種可能的密鑰。如果密鑰空間很大，這種方法就行不通

了，因此，必須依賴于對密文本身的分析，通常會

對它使用各種統計測試。為了使用這種方法，人們

必須對隱藏明文的類型有所了解，如英文或法語文

本、MS-DOS

TXT文本、Java源程序清單、記賬文本等。6.3數據加密與認證破譯類型密碼分析人員已知的內容僅密文加密算法、要解密的密文已知明文加密算法、要解密的密文、使用保密密鑰生成的一個或多個明文-密文對選擇明文加密算法、要解密的密文、密碼分析人員選擇的明文信息，以及使用保密密鑰生成的對應的密文對選擇密文加密算法、要解密的密文、密碼分析人員選擇的密文，以及使用保密密鑰生成的對應的解密明文選擇文本加密算法、要解密的密文、密碼分析人員選擇的明文信息，以及使用保密密鑰生成的對應的密文對、密碼分析人員選擇的密文，以及使用保密密鑰生成的對應的解密明文表6-1加密信息的破譯類型6.3數據加密與認證6.3.2常規密鑰密碼體制常規加密也叫作對稱加密、保密密鑰或單密鑰加密。1．常規加密的模型常規加密又稱對稱加密，該方案有5個組成部分。(1)明文：作為算法輸入的原始信息。加密算法：加密算法可以對明文進行多種置換和轉換。共享的密鑰：共享的保密密鑰也是對算法的輸入，算法實際進行的置換和轉換由保密密鑰決定。密文：作為輸出的混合信息。它由明文和保密密鑰決定。對于給定的信息來講，兩種不同的密鑰會產生6.3數據加密與認證(5)

解密算法：這是加密算法的逆向算法。它以密文同樣的保密密鑰作為輸入，并生成原始明文。目前經常使用的一些常規加密算法有：數據加密標準(Data

Encryption

Standard,DES)，三重DES(3DES，或稱TDEA)，Rivest

Cipher5(RC-5)，國際數據加密算法(InternationalData6.3數據加密與認證2．常規加密的要求需要強大的加密算法。算法至少應該滿足：即使對手知道了算法并能訪問一些或更多的密文，也不能破譯密文或得出密鑰。發送方和接收方必須用安全的方式來獲得保密密鑰的副本，必須保證密鑰的安全。如果有人發現了密鑰，并知道了算法，則使用此密鑰的所有通信便都是可讀取的。最重要的是要注意，常規機密的安全性取決于密鑰的保密性，而不是算法的保密性。也就是說，如果知道了6.3數據加密與認證6.3.3公開密鑰加密技術公開密鑰加密又叫作非常規加密，公鑰加密算法可用于下面一些方面：數據完整性、數據保密性、發送者不可否認和發送者認證。公鑰加密體制的模型公鑰密碼體制有兩種基本的模型，一種是加密模型，另一種是認證模型，如圖6.3數據加密與認證圖6.4公鑰密碼體制模型6.3數據加密與認證公鑰加密方案由6個部分組成，如圖6.5和圖6.6所示。圖6.5常規加密體制模型6.3數據加密與認證圖6.6公共密鑰算法的演示6.3數據加密與認證明文：作為算法輸入的可讀信息或數據。

加密算法：加密算法對明文進行各種各樣的轉換。

公共的和私有的密鑰：選用的一對密鑰，一個用來加密，一個用來解密。解密算法進行的實際轉換作為輸入提供的公鑰或私鑰。

密文：作為輸出生成的雜亂的信息。它取決于明文和密鑰。對于給定的信息，兩種不同的密鑰會生成兩種不同的密文。

解密算法：這個算法以密文和對應的私有密鑰為輸入，生成原始明文。6.3數據加密與認證公鑰加密技術的基本步驟如下：每個用戶都生成一對加密和解密時使用的(1)密鑰。(2)件中放每個用戶都在公共寄存器或其他訪問的文置一個密鑰，這個就是公鑰。另一個密鑰為私鑰。每個用戶都要保持從他人那里得到的公鑰集合。如果鮑伯想要向愛麗斯發送私有信息，鮑伯可以用愛麗斯的公鑰加密信息。當愛麗斯收到信息時，她可以用自己的私鑰進行解密。其他接收方不能解密信息，因為只有愛麗斯知道6.3數據加密與認證一些常用的公鑰體制

RSA公鑰體制是1978年Rivest、Shamir和Adleman

提出的一個公開密鑰密碼體制，RSA就是以其發明

者姓名的首字母命名的。該體制的構造基于Euler定理，它利用了如下的基本事實：尋找大素數是相對容易的，而分解兩個大素數的積在計算上是不可行的。

RSA算法的安全性建立在難以對大數提取因子的基礎上。所有已知的證據都表明，大數的因子分解是一個極其困難的問題。

與對稱密碼體制如DES相比，RSA的缺點是加密、解密的速度太慢。因此，RSA體制很少用于數據加密，而多用在數字簽名、密鑰管理和認證等方面。6.3數據加密與認證

Elgamal公鑰體制的密文不僅依賴于待加密的明文，而且依賴于用戶選擇的隨機參數，即使加密相同的

明文，得到的密文也是不同的。由于這種加密算法

的非確實性，又稱其為概率加密體制。在確定性加

密算法中，如果破譯者對某些關鍵信息感興趣，則

他可事先將這些信息加密后存儲起來，一旦以后截

獲密文，就可以直接在存儲的密文中進行查找，從

而求得相應的明文。概率加密體制彌補了這種不足，提高了安全性。

與既能作公鑰加密又能作數字簽名的RSA不同，

Elgamal簽名體制是在1985年僅為數字簽名而構造的簽名體制。NIST采用修改后的Elgamal簽名體制作為數字簽名體制標準。破譯Elgamal簽名體制等價于求解離散對數問題。6.3數據加密與認證

背包公鑰體制是1978年由Merkle和Hellman提出的。背包算法的思路是假定某人擁有大量的物品，重量各不相同。此人通過秘密地選擇一部分物品并將它們放到背包中來加密信息。背包中的物品總重量是公開的，所有可能的物品也是公開的，但背包中的物品卻是保密的。附加一定的限制條件，給出重量，而要列出可能的物品，在計算上是不可實現

的。這就是公開密鑰算法的基本思想。

目前許多商業產品采用的公鑰算法還有：

Diffie-Hellman密鑰交換、數據簽名標準DSS和橢圓曲線密碼術等6.3數據加密與認證6.3.4數字簽名數字簽名提供了一種鑒別方法，普遍用于銀行、電子商業等，以解決下列問題：偽造：接收者偽造一份文件，聲稱是對方(1)發送的。(2)送或接收文件。(3)改。(4)送或接冒充：網上的某個用戶冒充另一個用戶發篡改：接收者對收到的文件進行局部的修抵賴：發送者或接收者最后不承認自己發6.3數據加密與認證數字簽名一般通過公開密鑰來實現。在公開密鑰體制下，加密密鑰是公開的，加密和解密算法也是公開的，保密性完全取決于解密密鑰的秘密。只知道加密密鑰不可能計算出解密密鑰，只有知道解密密鑰的合法解密者，才能正確解密，將密文還原成明文。從另一角度，保密的解密密鑰代表解密者的身份特征，可以作為身份識別參數。因此，可以用解密密鑰進行數字簽名，并發送給對方。接收者接收到信息后，只要利用發送方的公開密鑰進行解密運算，如能還原出明文來，就可證明接收者的信息是經過發信方簽名了的。接收者和第三者不能偽造簽名的文件，因為只有發信方才知道自己的解密密鑰，其他人是不可能推導出發信方的私人解密密鑰的。這就符合數字簽名的惟一性、不可仿冒、不可否認的特征和要求。6.3數據加密與認證6.3.5身份認證技術

身份認證技術是實現計算機網絡安全的關鍵技術之一，認證主要是指對某個實體的身份加以鑒別、確認，從而證實是否名副其實或者是否有效的過程。認證的基本思想是驗證某一實體的一個或多個參數的真實性和有效性。所知(Knowledge)。個人所掌握的密碼、口(1)令等。(2)信用所有(Possesses)。個人的身份認證、護照、卡、鑰匙等。(3)

個人特征(Characteristics)。人的指紋、聲音、筆記、手型、血型、視網膜、DNA以及個人動作方面的6.4防火墻6.4.1防火墻概述一般來說，防火墻是設置在被保護網絡和外部網絡之間的一道屏障，以防止發生不可預測的、潛在破壞性的侵入。它可以通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽內部網絡的信息、結構和運行狀況，以此來實現網絡的安全保護。一個防火墻可以是一個實現安全功能的路由器、個人計算機、主機或主機的集合等，通常位于一個受保護的網絡對外的連接處，若這個網絡到外界有多個連接，那么需要安裝多個防火墻系統。6.4防火墻防火墻可以提供以下服務：限定人們從一個特別的控制點進入或離開。保證對主機的應用安全訪問。防止入侵者接近你的其他防御設施。

(4)有效防止破壞者對客戶機和服務器所進行的破壞。(5)監視網絡。6.4防火墻6.4.2防火墻系統結構防火墻的系統結構一般分為以下幾種：屏蔽路由器一般采用路由器連接內網和外網，如圖6.7所示，此路由器可以起到一定的防火墻作用，通過設置路由器的訪問控制表，基于IP進行包過濾，這種方法不具備監控和認證功能，最多可以進行流量記錄。6.4防火墻圖6.7屏蔽路由器實現防火墻6.4防火墻2)雙目主機結構

它包含一個有兩個網絡接口的代理服務器系統，關

閉正常IP路由功能，并安裝運行網絡代理服務程序。有一個包過濾防火墻，用于連接Internet，如圖6.8所示。圖6.8雙目主機實現防火墻6.4防火墻3)

屏蔽主機結構

實際上是屏蔽路由器加壁壘主機模式。屏蔽路由器位于內外網之間，提供主要的安全功能，在網絡層次化結構中基于低三層實現包過濾；壁壘主機位于內網，提供主要的面向外部的應用服務，基于網絡層次化結構的最高層應用層實現應用過濾，如圖6.9所示。

這種結構和雙目主機防火墻的不同點是：由于代理服務器主機只有一個網絡接口，內部網絡只需一個子網，這樣整個防火墻的設置靈活，但相對而言安全性不如雙目主機防火墻。6.3數據加密與認證圖6.9屏蔽主機實現防火墻6.3數據加密與認證4)屏蔽子網結構

將網絡劃分為3個部分：Internet(外網)、

DMZ(De-Militarized

Zone，非軍事區或隔離區)、內網。Internet與DMZ區通過外部屏蔽路由器隔離，DMZ區與內網通過內部屏蔽路由器隔離，如圖6.10所示。6.4防火墻圖6.10屏蔽子網防火墻6.4防火墻

內部網都能訪問DMZ區上的某些資源，但不能通過DMZ區讓內部網和Internet直接進行信息傳輸。

外部屏蔽路由器用于防范來自因特網的攻擊，并管理因特網到DMZ區的訪問；內部屏蔽路由器只能接收壁壘主機發出的數據包，并管理DMZ區到內部網絡的訪問。對于內部訪問因特網，內部屏蔽路由器管理內網到DMZ區的訪問，它允許內部主機訪問DMZ區上的壁壘主機及信息服務器；外部屏蔽路由器的過濾規則只接受來自壁壘主機的數據包。6.4防火墻6.4.3防火墻分類從構成上可以將防火墻分為以下幾類：

1)硬件防火墻軟件防火墻軟硬結合防火墻6.4防火墻6.4.4防火墻的作用防火墻能有效地對網絡進行保護，防止其他網絡的入侵，歸納起來，防火墻具有以下作用：

(1)控制進出網絡的信息流向和信息包。提供對系統的訪問控制。提供使用和流量的日志和審計。增強保密性。使用防火墻可以阻止攻擊者獲取攻擊網絡系統的有用信息。隱藏內部IP地址及網絡結構的細節。6.4防火墻6.4.5防火墻的設計策略通常有兩種基本的設計策略：允許任何服務除非被明確禁止；禁止任何服務除非被明確允許。防火墻實現站點安全策略的技術有些文獻列出了防火墻用于控制訪問和實現站點安全策略的4種一般性技術。最初防火墻主要用來提供服務控制，但是現在已經擴展為提供如下4種服務了：服務控制、方向控制、用戶控制和行為控制。6.4防火墻2．防火墻在大型網絡系統中的部署根據網絡系統的安全需要，可以在如下位置部署防火墻：在局域網內的VLAN之間控制信息流向時加(1)入防火墻。(2)(3)的局域Internet與Internet之間連接時加入防火墻。在廣域網系統中，由于安全的需要，總部網可以將各分支機構的局域網看成不安全的系統，總部的局域網和各分支機構連接時，一般通過公網ChinaPac，ChinaDD和NFrame

Relay等連接，需要采用6.4防火墻(4)總部的局域網和分支機構的局域網是通過Internet連接的，需要各自安裝防火墻，并組成虛擬專用網。在遠程用戶撥號訪問時，加入虛擬專用網。利用一些防火墻軟件提供的負載平衡功能，(5)(6)ISP可在公共訪問服務器和客戶端間加入防火墻進行負載分擔、存取控制、用戶認證、流量控制和日志記錄等功能。(7)

兩網對接時，可利用硬件防火墻作為網關設備實現地址轉換(NAT)、地址映射(MAP)、網絡隔離(DMZ區)及存取安全控制，消除傳統軟件防火墻的瓶頸問題。6.4防火墻

設置防火墻還要考慮到網絡策略和服務訪問策略。

影響防火墻系統設計、安裝和使用的網絡策略可分為兩級，高級的網絡策略定義允許和禁止的服務以及如何使用服務，低級的網絡策略描述防火墻如何限制和過濾在高級策略中定義的服務。6.4防火墻

服務訪問策略集中在Internet訪問服務以及外部網絡訪問(如撥入策略、SLIP/PPP連接等)。服務訪問策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚挂阎木W絡風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務；允許內部用戶訪問指定的Internet主機和服務。6.5入侵檢測6.5.1入侵檢測概述

入侵檢測(Intrusion

Detection)是對入侵行為的檢測。它通過收集和分析計算機

網絡或計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策

略的行為和被攻擊的跡象。入侵檢測作

為一種積極主動的安全防護技術，提供

了對內部攻擊、外部攻擊和誤操作的實

時保護，在網絡系統受到危害之前攔截

和響應入侵。6.5入侵檢測

進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(Intrusion

Detection

System，簡稱

IDS)。IDS是一種網絡安全系統，當有敵人

或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時，IDS能夠檢測出來，并進行

報警，通知網絡該采取措施進行響應。在本質上，入侵檢測系統是一種典型的“窺探設備”。它不跨接多個物理網段(通常只有一個監聽端口)，無須轉發任何流量，而只需要在網絡上被動地、無聲息地收集它所關心的報文即可。入侵檢測/響應流程如圖6.11所示。6.5入侵檢測圖6.11入侵檢測/響應流程圖6.5入侵檢測6.5.2入侵檢測分類]1.按照檢測類型劃分異常檢測模型(Anomaly

Detection)誤用檢測模型(Misuse

Detection)2.按照檢測對象劃分基于主機基于網絡混合型6.5入侵檢測6.5.3入侵檢測過程分析入侵檢測過程分析分為三部分：信息收集：入侵檢測的第一步是信息收集，收集內容包括系統、網絡、數據及用戶活動的狀態和行為。信息分析：收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過3種技術手段進行分析：模式匹配、統計分析和完整性分析。結果處理：控制臺按照告警產生預先定義的響應采取相應措施，可以是重新配置路由器或防火墻、終止6.5入侵檢測6.5.4檢測和訪問控制技術將共存共榮以IDS為代表的檢測技術和以防火墻為代表的訪問控制技術從根本上來說是兩種截然不同的技術行為。(1)防火墻是網關形式，要求高性能和高可靠性。因此防火墻注重吞吐率、延時、HA等方面的要求。防火墻最主要的特征應當是通(傳輸)和斷(阻隔)兩個功能，所以其傳輸要求是非常高的。(2)

而IDS是一個以檢測和發現為特征的技術行為，其追求的是漏報率和誤報率的降低。其對性能的追求主要6.6網絡安全協議加密傳輸數據有以下幾種方法：

在非安全的網絡中傳輸加密文檔在傳輸之前加密整個文檔，傳輸的數據由底層協議加密(SSL)。此種方式不必改變應用層協議，也不必改變傳輸層協議，它是在應用層與傳輸層之間加一層安全加密協議，達到安全傳輸的目的。

1995年，Netscape公司在瀏覽器Netscape

1.1中加入了安全套接層協議SSL(Secure

Socket

Layer)，以保護瀏覽器和Web服務器之間重要數據的傳輸。SSL很好地封裝了應用層數據，做到了數據加密與應用層協議的無關性，各種應用層協議都可以通過SSL獲得安全特性。由于SSL用較小的成本就可以獲得數據安全加密保障，因此，它很快廣泛地應用于Web領域。6.6網絡安全協議

SET(Secure

Electronic

Transaction，安全電子交易)是為了在Internet上進行在線交易時，保證信用卡支付的安全而設立的一個開放的規范。由于它得到了

IBM、HP、Microsoft、Netscape、GTE、VeriSign等很多大公司的支持，它已成為事實上的工業標準，目前它已獲得IETF標準機構的認可。

SET協議標準的主要內容包括：加密算法、證書信息及格式、購買信息及格式、認可信息及格式、劃賬信息及格式、實體之間信息的傳輸協議等。SET協議的工作流程與實際購物流程非常接近，但一切操作都是通過Internet完成的。6.7網絡管理技術6.7.1網絡管理概述

隨著計算機網絡的發展與普及，一方面對于如何保證網絡的安全，組織網絡高效運行提出了迫切的要求；另一方面，計算機網絡日益龐大，使管理更加復雜。這主要表現在如下幾個方面：(1)網絡覆蓋范圍越來越大。(2)網絡用戶數目不斷增加。(3)網絡共享數據量劇增。(4)網絡通信量劇增。網絡應用軟件類型不斷增加。網絡對不同操作系統的兼容性要求不斷提高。6.7網絡管理技術

網絡管理是控制一個復雜的計算機網絡，使它具有最高的效率和生產力的過程。根據進行網絡管理的系統的能力，這一過程通常包括數據收集、數據處理、數據分析和產生用于管理網絡的報告。

第一個使用的網絡管理(簡稱網管)協議稱為簡單網絡管理協議(SNMP，又稱SNMP第一版或SNMPv1)，當時這個協議被認為是臨時的、簡單的、解決當時急需解決的問題的協議，而復雜的、功能強大的網絡管理協議需要進一步設計。6.7網絡管理技術

到20世紀80年代，在SNMP的基礎上設計了兩個網絡管理協議：一個稱為

SNMP第二版(簡稱SNMPv2)，它包含了原有的特性，這些特性目前被廣泛使用，同時增加了很多新特性以克服原先

SNMPv1的缺陷；第二個網絡管理協議

稱為公共管理信息協議(簡稱CMIP)，它是一個組織得更好，并且比SNMPv1和SNMPv2有更多特性的網絡管理協議。6.7網絡管理技術6.7.2ISO網絡管理模式目前國際標準化組織ISO在網絡管理的標準化上做了許多工作，它特別定義了網絡管理的5個功能域：配置管理——管理所有的網絡設備，包括各設備參數的配置與設備賬目的管理。故障管理——找出故障的位置并進行恢復。性能管理——統計網絡的使用狀況，根據網絡的使用情況進行擴充，確定設置的規劃。安全管理——限制非法用戶竊取或修改網絡中的重要數據等。6.7網絡管理技術1．配置管理

配置管理的目的在于隨時了解系統網絡的拓撲結構以及所交換的信息，包括連接前靜態設定的和連接后動態更新的。配置管理調用客體管理功能、狀態管理功能和關系管理功能?？腕w管理功能客體管理功能為管理信息系統用戶(MIS用戶)提供一系列功能，完成被管理客體的產生、刪除報告和屬性值改變的報告。狀態管理功能通用狀態屬性。指客體應具有的操作態、使用態和管理態3種通用狀態屬性。6.7網絡管理技術狀況屬性。定義了下列6個屬性以限制操作態、使用態和管理態，表示應用于資源的特定條件：告警狀況屬性、過程狀況屬性、可用性狀況屬性、控制狀況屬性、備份狀況屬性、未知狀況屬性。

3)關系管理功能管理者需有檢查系統不同部件間和不同系統間關系的能力，以確定系統某部分的操作如何依賴于其他部分或如何被依賴。用戶需有能力改變6.7網絡管理技術2.故障管理故障管理的目標是自動監測、記錄網絡故障并通知用戶，以便網絡有效地運行。故障管理包含以下幾個步驟：(1)判斷故障癥狀。

(2)隔離該故障。

(3)修復該故障。(4)對所有重要子系統的故障進行修復。

(5)記錄故障的監測及其結果。6.7網絡管理技術3.性能管理性能管理的目標是衡量和呈現網絡性能的各個方面，使人們可在一個可接受的水平上維護網絡的性能，性能變量的例子有網絡吞吐量、用戶響應時間和線路利用率。性能管理包含以下幾個步驟：收集網絡管理者感興趣的那些變量的性能(1)參數。(2)(3)限值，分析這些數據，以判斷是否處于正常水平。為每個重要的變量決定一個適合的性能門超過該門限值就意味著網絡有故障。6.7網絡管理技術4.安全管理安全管理的目標是按照本地的指導來控制對網絡資源的訪問，以保證網絡不被侵害，并保證重要的信息不被未授權的用戶訪問。安全管理子系統將網絡資源分為授權和未授權兩大類。它執行以下幾種功能：標識重要的網絡資源。確定重要的網絡資源和用戶集間的映射關(1)(2)系。(3)(4)監視對重要網絡資源的訪問。記錄對重要網絡資源的非法訪問。6.7網絡管理技術計費管理

計費管理的目標是衡量網絡的利用率，以便一個或一組用戶可以按規則利用網絡資源，這樣的規則使網絡故障減低到最小，也可以使所有用戶對網絡的訪問更加公平。

為了達到合理的計費管理目的，首先必須通過性能管理測量出所有重要網絡資源的利用率，對其結果的分析使得對當前的應用模式具有更深入的了解，并可以在該點設置定額。對資源利用率的測量可以產生計費信息，并產生可用來估價費率的信息，以及可用于資源利用率優化的信息。6.7網絡管理技術6.7.3公共管理信息協議CMIP

目前使用的標準網絡管理協議包括：簡單網絡管理協議(SNMP)、公共管理信息服務/協議(CMIS/CMIP)和局域網個人管理協議(LMMP)等。

CMIP的優點是安全性高，功能強大，不僅可用于傳輸管理數據，而且可執行一定的任務。但由于CMIP對系統的處理能力要求過高，操作復雜，覆蓋范圍廣，因而難以實現，限制了它的使用范圍。

CMIP采用管理者/代理模型，當對網絡實體進行監控時，管理者只需向代理發出一個監控請求，代理會

自動監視指定的對象，并在異常事件(如線路故障)發生時向管理者發出指示。CMIP的這種管理監控方式

稱為委托監控，委托監控的主要優點是開銷小、反

應及時，缺點是對代理的資源要求高。6.7網絡管理技術6.7.4簡單網絡管理協議SNMP

SNMP是由因特網工程任務組IETF(the

InternetEngineering

Task

Force)提出的面向Internet的管理協議，其管理對象包括網橋、路由器、交換機等內

存和處理能力有限的網絡互聯設備。

SNMP采用輪詢監控的方式，管理者隔一定時間間隔向代理請求管理信息，管理者根據返回的管理信息

判斷是否有異常事件發生。輪詢監控的主要優點是

對代理資源的要求不高，缺點是管理通信的開銷大。

SNMP由于其簡單性得到了業界廣泛的支持，成為目

前最流行的網絡管理協議。6.7網絡管理技術

SNMP位于ISO/OSI參考模型的應用層，它遵

循ISO的網絡管理模型。SNMP模型由管理結

點和代理結點構成，采用的是代理/管理站模型，如圖6.12所示。

管理結點一般是面向工程應用的工作站級計算機，擁有很強的處理能力，在它的上面運行SNMP管理軟件。在網絡中可以存在多個

網絡管理結點，每個網絡管理結點可以同時和多個SNMP代理結點通信，SNMP軟件一般采用圖形用戶界面來顯示網絡的狀況，并接受管理員的操作指示不斷地調整網絡的運行。6.7網絡管理技術

代理結點可以是網絡上任何類型的結點，如主機、服務器、路由器、交換機等，

這些設備運行SNMP代理進程，用于接受和發送SNMP數據包，代理結點只需與管理結點通信，它們占用很少的處理器和內存資源。6.7網絡管理技術圖6.12

SNMP網絡管理參考模型6.7網絡管理技術

SNMP是一個應用層協議，在TCP/IP網絡中，它使用傳輸層和網絡層的服務向其對等層傳輸信息。物理層協議和鏈路層協議依賴于所使用的媒介。一般以所希望的傳輸效率為基礎，根據要完成的特定網絡管理功能選擇傳輸層協議。SNMPv2規范定義了

可以使用的5種傳輸服務，如圖6.13所示。這5種傳輸層映射是：(1)(2)(3)(4)(5)UDP：用戶數據報協議。CLNS：OSI無連接的傳輸服務。CONS：OSI面向連接的傳輸服務。DDP：Apple

Talk的DDP傳輸服務。IPX：Novell公司的網間分組交換協議。6.8網絡安全方案設計與選型

局域網安全的安全設計要解決幾個方面的安全問題：網絡軟件系統的安全硬件系統的安全管理系統的安全。6.8網絡安全方案設計與選型1.軟件系統的安全軟件系統的安全包含以下幾個方面：

1)網絡操作系統的安全DBMS的安全Web服務器的安全性應用系統的安全6.8網絡安全方案設計與選型2.硬件系統的安全硬件系統的安全包括以下幾個方面：

1)結點的安全結點的安全主要是指網絡設備的安全。

2)鏈路的安全鏈路安全是指數據在結點之間傳輸時的安全。6.8網絡安全方案設計與選型3.管理系統的安全管理上的安全是指所有與管理行為有關的安全問題。在網絡安全問題中有相當一部分事件不是因為技術原因而是由于管理原因造成的。例如，管理規章制度不健全、管理行為的主觀性、操作規程不合理、安全事件預防措施不得力等。只有在6.8網絡安全方案設計與選型6.8.1防火墻方案設計在網絡安全方案中應用比較早的是防火墻。用戶保護局域網時最先想到的可能就是防火墻。設計防火墻方案遵循的原則：防火墻必須具備適用性。防火墻必須具備滿足功能要求。防火墻必須是經過權威認證的合法產品。6.8網絡安全方案設計與選型1.防火墻的適用性目前，主要防火墻類型的適用場合如表6-2所示。類型特點適用場合包過濾保護網絡層和運輸層，對應用層透明性能較好，安全性較差在關鍵領域和行業最好不使用這種防火墻應用網關保護應用層性能較差，安全性好，不利于新應用適用于應用種類比較單一、性能要求不高的中小型Intranet狀態檢測具有包過濾防火墻的優點，安全性比簡單包過濾防火墻高適用于性能要求較高，應用種類比較多的大型Intranet流過濾基于狀態檢測的原理，提供對應用層的保護適用于性能要求較高，應用種類比較多的大型Intranet表6-2主要防火墻的適用場合6.8網絡安全方案設計與選型

在考慮適用場合的同時，還要考慮防火墻的特性。不同類型的防火墻具有不同的特性，主流防火墻的特性如表6-3所示。表6-3主流防火墻的特性類型綜合安全性網絡層保護應用層訪問控制應用透明性性能簡單過濾低有無有較好應用代理高很少強，但缺少可擴展性無差狀態檢測中強有好流過濾高強簡單的內容過濾，具有局限性強，易于擴展有好6.8網絡安全方案設計與選型2.防火墻的通用功能防火