THEBASISOFCOMPUTERNETWORKSECURITY第1章網絡安全概述計算機網絡安全基礎1第1章網絡安全概述“安全”一詞在字典中被定義為“遠離危險的狀態或特性”和“為防范間諜活動或蓄意破壞、犯罪、攻擊或逃跑而采取的措施”。 隨著經濟信息化的迅速發展，網絡的安全已經涉及到國家主權等許多重大問題。隨著“黑客”工具技術的日益發展，使用這些工具所需具備的各種技巧和知識在不斷減少，從而造成的全球范圍內“黑客”行為的泛濫，導致了一個全新戰爭形式的出現，即網絡安全技術的大戰。2第1章主要內容●網絡安全的含義●網絡安全的特征●網絡安全的關鍵技術●網絡安全策略●威脅網絡安全的因素●網絡安全的分類●網絡安全風險管理及評估●TCP/IP體系的安全3（第1章）1.1網絡安全基礎知識41.1網絡安全基礎知識1.網絡安全的含義網絡安全從其本質上來講就是網絡上的信息安全。廣義上講，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論，都是網絡安全所要研究的領域。下面給出網絡安全的一個通用定義：網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。51.1網絡安全基礎知識（1）運行系統安全，即保證信息處理和傳輸系統的安全。（2）網絡上系統信息的安全。（3）網絡上信息傳播的安全，即信息傳播后果的安全。（4）網絡上信息內容的安全，即我們討論的狹義的“信息安全”。61.1網絡安全基礎知識2.網絡安全的特征（1）保密性。信息不泄露給非授權的用戶、實體或過程，或供其利用的特性。（2）完整性。數據未經授權不能進行改變的特性。（3）可用性。可被授權實體訪問并按需求使用的特性，即當需要時應能存取所需的信息。（4）可控性。對信息的傳播及內容具有控制能力。71.1網絡安全基礎知識3.網絡安全的威脅（1）非授權訪問：指一個非授權用戶的入侵。（2）信息泄露：指造成將有價值的和高度機密的信息暴露給無權訪問該信息的人的所有問題。（3）拒絕服務：指使系統難以或不能繼續執行任務的所有問題。81.1網絡安全基礎知識4.網絡安全的關鍵技術●主機安全技術●身份認證技術●訪問控制技術●密碼技術●防火墻技術●安全審計技術●安全管理技術91.1網絡安全基礎知識5.網絡安全策略策略包括兩個部分：總體的策略和具體的規則。總體的策略用于闡明安全政策的總體思想，而具體的規則用于說明什么活動是被允許的，什么活動是被禁止的。●網絡用戶的安全責任。該策略可以要求用戶每隔一段時間改變其口令；使用符合一定準則的口令；執行某些檢查，以了解其賬戶是否被別人訪問過等。重要的是，凡是要求用戶做到的，都應明確地定義。101.1網絡安全基礎知識●系統管理員的安全責任。該策略可以要求在每臺主機上使用專門的安全措施、登錄標題報文、監測和記錄過程等，還可列出在連接網絡的所有主機中不能運行的應用程序。●正確利用網絡資源。規定誰可以使用網絡資源，他們可以做什么，他們不應該做什么等。如果用戶的單位認為電子郵件文件和計算機活動的歷史記錄都應受到安全監視，就應該非常明確地告訴用戶，這是其政策。●檢測到安全問題時的對策。當檢測到安全問題時應該做什么？應該通知誰？這些都是在緊急的情況下容易忽視的事情。11（第1章）1.2威脅網絡安全的因素121.2威脅網絡安全的因素威脅計網絡安全的主要因素：●“黑客”的攻擊●計算機病毒●拒絕服務攻擊（DoS）131.2威脅網絡安全的因素1.威脅的類型●非授權訪問。這主要的是指對網絡設備以及信息資源進行非正常使用或超越權限使用。●假冒合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權，以達到占用合法用戶資源的目的。●數據完整性受破壞。●干擾系統的正常運行，改變系統正常運行的方向，以及延時系統的響應時間。●病毒。●通信線路被竊聽等。141.2威脅網絡安全的因素2.操作系統的脆弱性（1）其體系結構本身就是不安全的一種因素。（2）操作系統可以創建進程，即使在網絡的節點上同樣也可以進行遠程進程的創建與激活，更令人不安的是被創建的進程具有可以繼續創建過程的權力。（3）網絡操作系統提供的遠程過程調用服務以及它所安排的無口令入口也是黑客的通道。151.2威脅網絡安全的因素3.計算機系統的脆弱性（1）來自于操作系統的不安全性，在網絡環境下，還來源于通信協議的不安全性。（2）存在超級用戶，如果入侵者得到了超級用戶口令，整個系統將完全受控于入侵者。（3）計算機可能會因硬件或軟件故障而停止運轉，或被入侵者利用并造成損失。161.2威脅網絡安全的因素4.協議安全的脆弱性網絡系統都使用的TCP/IP協議、FTP、E-mail、NFS等都包含著許多影響網絡安全的因素，存在許多漏洞。黑客通常采用Sock、TCP預測或使用遠程訪問（RPC）進行直接掃描等方法對防火墻進行攻擊。171.2威脅網絡安全的因素5.數據庫管理系統安全的脆弱性由于數據管理系統（DBMS）對數據庫的管理是建立在分級管理的概念上的，因此，DBMS的安全也是可想而知。另外，DBMS的安全必須與操作系統的安全配套，這無疑是一個先天的不足之處。6.人為的因素不管是什么樣的網絡系統都離不開人的管理，但又大多數缺少安全管理員，特別是高素質的網絡管理員。此外，缺少網絡安全管理的技術規范，缺少定期的安全測試與檢查，更缺少安全監控。令人擔憂的許多網絡系統已使用多年，但網絡管理員與用戶的注冊、口令等還是處于缺省狀態。18各種外部威脅1.物理威脅物理安全是指通過采取各種措施來保護物理環境、設備和資源，以防止未經授權的訪問、破壞、損壞或盜竊。常見的物理安全問題有偷竊、廢物搜尋和間諜活動等。物理安全是計算機安全最重要的方面。2.網絡威脅網絡威脅是指企圖破壞、盜取或損害網絡系統用戶、設備和數據的不法分子利用計算機病毒、惡意軟件、網絡欺騙和暴力攻擊等手段，或不當行為對網絡的攻擊性行為。19各種外部威脅3.身份鑒別身份鑒別是身份識別和身份認證的統稱。身份識別是指定用戶向系統出示自己的身份證明過程。身份認證是系統查核用戶的身份證明的過程。4.程序攻擊利用有害程序破壞他人或敵方計算機和網絡系統。主要包括計算機病毒、特洛伊木馬程序、邏輯炸彈等。5.系統漏洞系統漏洞是指應用軟件或操作系統軟件在邏輯設計上的缺陷或在編寫時產生的錯誤。某個程序在設計時未被考慮周全，這個缺陷或錯誤將可能被不法分子或黑客利用，通過植入木馬病毒等方式來攻擊或控制整個計算機，從而竊取計算機中的重要資料和信息，甚至破壞系統。20防范措施（1）用備份和鏡像技術提高數據完整性（2）防治病毒（3）安裝補丁程序（4）提高物理安全（5）構筑互聯網防火墻（6）仔細閱讀日志（7）加密（8）提防虛假的安全21（第1章）1.3網絡安全分類221.3網絡安全分類根據中國國家計算機安全規范，計算機的安全可分為三類：（1）實體安全。包括機房、線路、主機等。（2）網絡與信息安全。包括網絡的暢通、準確以及網上信息的安全。（3）應用安全。包括程序開發運行、I／O、數據庫等的安全。231.3網絡安全分類1.基本安全類基本安全類包括訪問控制、授權、認證、加密以及內容安全。2.管理與記賬類管理與記賬類安全包括安全的策略的管理、實時監控、報警以及企業范圍內的集中管理與記賬。241.3網絡安全分類3.網絡互聯設備安全類網絡互聯設備包括路由器、通信服務器、交換機等，網絡互聯設備安全正是針對上述這些互聯設備而言的，它包括路由安全管理、遠程訪問服務器安全管理、通信服務器安全管理以及交換機安全管理等等。4.連接控制類連接控制類包括負載均衡、可靠性以及流量管理等。25（第1章）1.4網絡安全解決方案261.4網絡安全解決方案1.網絡信息安全模型一個完整的網絡信息安全系統至少包括三類措施：●社會的法律政策，企業的規章制度及網絡安全教育●技術方面的措施，如防火墻技術、防病毒。信息加密、身份確認以及授權等●審計與管理措施，包括技術與社會措施271.4網絡安全解決方案2.安全策略設計依據在制定網絡安全策略時應當考慮如下因素：●對于內部用戶和外部用戶分別提供哪些服務程序●初始投資額和后續投資額（新的硬件、軟件及工作人員）●方便程度和服務效率●復雜程度和安全等級的平衡●網絡性能283.網絡安全解決方案（1）信息包篩選信息包篩既可以設置在連接兩個網絡（可靠網絡和不可靠網絡）的硬件路由器內，也可以設置于通用計算機系統或“主計算機”系統上。293.網絡安全解決方案（2）應用中繼器應用中繼器優于信息包篩之處是，沒有復雜的規則集交互作用需要操作。各臺主機上潛在的安全漏洞不會暴露出來。中繼器的典型配置301.4網絡安全解決方案雙路由器安全系統雙路由器安全系統的安全程度更高。信息在到達內部網絡之前需要通過兩個路由器。311.4網絡安全解決方案（3）保密與確認“保密”可以保證當一個信息被送出后，只有預定的接收者能夠閱讀和加以解釋。它可以防止竊聽，并且允許在公用網絡上安全地傳輸機密的或者專用的信息。“確認”意味著向信息（郵件、數據、文件等）的接收者保證發送是該信息的擁有者，并且意味著，數據在傳輸期間不會被修改。321.4網絡安全解決方案4.網絡安全性措施要實施一個完整的網絡安全系統，至少應該包括三類措施：●社會的法律、法規以及企業的規章制度和安全教育等外部軟件環境●技術方面的措施，如網絡防毒、信息加密、存儲通信、授權、認證以及防火墻技術●審計和管理措施，這方面措施同時也包含了技術與社會措施。331.4網絡安全解決方案為網絡安全系統提供適當安全的常用的方法：●修補系統漏洞

●病毒檢查●加密 ●執行身份鑒別●防火墻

●捕捉闖入者●直接安全

●空閑機器守則●廢品處理守則

●口令守則341.4網絡安全解決方案可以采取的網絡安全性措施有：●選擇性能優良的服務器。●采用服務器備份。服務器備份方式分為冷備份與熱備份二種，熱備份方式由于實時性好，可以保證數據的完整性和連續性，得以廣泛采用的一種備份方式●對重要網絡設備、通信線路備份。通信故障就意味著正常工作無法進行。351.4網絡安全解決方案5.互聯網安全管理應解決的安全問題，對互聯網的安全管理措施。（1）安全保密遵循的基本原則●根據所面臨的安全問題，決定安全的策略。●根據實際需要綜合考慮，適時地對現有策略進行適當的修改。●構造企業內部網絡，在Intranet和Internet之間設置“防火墻”以及相應的安全措施。（2）完善管理功能（3）加大安全技術的開發力度361.4網絡安全解決方案6.網絡安全的評估●確定單位內部是否已經有了一套有關網絡安全的方案，如果有的話，將所有有關的文檔匯總；如果沒有的話，應當盡快制訂。●對已有的網絡安全方案進行審查。●確定與網絡安全方案有關的人員，并確定對網絡資源可以直接存取的人或單位（部門）。●確保所需要的技術能使網絡安全方案得到落實。●確定內部網絡的類型。371.4網絡安全解決方案●如果需要接入互聯網則需要仔細檢查聯網后可能出現的影響網絡安全的事項。●確定接入互聯網的方式，是拔號接入，還是專線。●確定單位內部能提供互聯網訪問的用戶，并明確互聯網接入用戶是固定的還是移動的。●是否需要加密，如果需要加密，必須說明要求的性質。38（第1章）1.5風險管理及評估391.5風險管理及評估網絡安全風險管理指的是識別、評估和控制網絡系統安全風險的總過程，它貫穿于整個系統開發生命周期，其過程可以分為風險評估與風險消除兩個部分。網絡風險評估就是對網絡自身存在的脆弱性狀況、外界環境可能導致網絡安全事件發生的可能性以及可能造成的影響進行評價。401.5風險管理及評估網絡風險管理是一種策略的處理過程，即在如何處理風險的多種安全策略中選擇一個最佳的過程，以及決定風險管理做到什么程度的過程。風險管理的主要步驟有：確定風險管理的范圍和邊界、建立安全風險管理方針、建立風險評價準則、實施風險評估及風險處置。41網絡安全風險管理1．確定風險管理的范圍和邊界（1）業務范圍，主要包括關鍵業務及業務特性描述（業務、服務、資產和每一個資產的責任范圍和邊界等的說明）。（2）物理范圍，一般根據所界定的業務范圍和組織范圍內所需要使用到的建筑物、場所或設施進行界定。（3）資產，業務流程所涉及的所有軟件資產、物理資產、數據資產、人員資產及服務資產等。（4）技術范圍，信息與通信技術和其它技術的邊界。421.5風險管理及評估2．建立安全風險管理方針（1）安全風險管理方針應由公司管理層建立，應明確單位網絡系統安全風險的管理意圖和宗旨方向。（2）安全方針應考慮到單位業務和應遵循的法律法規要求及規定的安全義務。（3）信息安全目標一般采用定性和定量的描述，應明確目標的測量方法、測量的證據和測量的周期。（4）信息安全方針制定完畢后，通過培訓、宣傳、會議等內部溝通渠道使單位全體員工得以理解，為方針的實現做出努力。431.5風險管理及評估3．建立風險評價準則風險評價準則是評價風險重要程度的依據，應與信息安全風險管理方針保持一致。4．實施風險評估風險評估主要包含風險分析、風險評價。實施風險評估前，應確定風險評估的目標、風險評估的范圍，組建適當的評估團隊和實施團隊，進行系統的調研，確定風險評估的方法和依據。脆弱性識別的方法主要有問卷調查、人工核查、文檔審閱，及采用技術手段如工具檢測、滲透性測試等。441.5風險管理及評估5．風險處置一般風險處置的方式有降低風險、避免風險、轉移風險、接受風險。對于風險的處置我們應針對識別的風險制定風險處置計劃，主要包括時間、角色、職責分配、資金等的安排。風險處置的目的是為了降低企業的業務風險，所以在制定處置方式時我們要對風險發生所帶來的損失和處置風險所花的成本進行平衡，防止得不償失的情況出現。45網絡安全風險評估網絡安全風險評估的主要工作就是評估網絡信息的價值、判別網絡系統的脆弱性、判斷網絡系統中潛在的安全隱患，并測試網絡安全措施、建立風險預測機制以及評定網絡安全等級，以評估整個網絡系統風險的大小。主要內容有：●網絡安全風險評估關鍵技術●建立網絡安全風險評估指標體系●實現網絡系統風險評估的流程46網絡安全風險評估1．網絡安全風險評估關鍵技術在網絡安全風險評估中，最常用的技術手段就是網絡掃描技術。網絡掃描技術不僅能夠實時監控網絡動態，而且還可以將相關的信息自動收集起來。網絡漏洞掃描也是一種比較常用而有效的安全掃描技術。通常這種技術分為兩種手段，一是首先掃描網絡端口，得出相應的信息之后，對比原有的安全漏洞數據庫，以此推測出是否存在網絡漏洞；另外一種就是直接進行網絡掃描，獲取網絡漏洞信息。47網絡安全風險評估2．建立網絡安全風險評估指標體系設置網絡安全風險指標體系的基本原則。（1）動態性原則。網絡安全風險的指標體系要體現出動態性，能夠使相關部門適時、方便地掌握本區域網絡安全的第一手資料，從而使各項指標的制訂建立在科學的基礎上。（2）科學性原則。網絡安全風險指標體系要能科學地反映本區域網絡安全的基本狀況和運行規律。（3）可比性原則。所選指標能夠對網絡安全狀況進行橫向與縱向的比較。（4）綜合性原則。要綜合反映出本區域網絡安全的風險狀況，綜合性評價就是指對總體中的各個體的多方面標志特征的綜合評價。（5）可操作性原則。指標體系具有資料易得、方法直觀和計算簡便的特點，因而要求具有操作上的可行性。48網絡安全風險評估3．實現網絡系統風險評估的流程（1）識別威脅和判斷威脅發生的概率。為了能夠進行更為集中的評估，應該對那些可能產生威脅的細節給予特別的關注。識別威脅的過程有利于改進網絡管理和及時發現漏洞，這些改進的措施在一定程度上將減少威脅的危險性。（2）測量風險。測量風險是說明各種敵對行為在一個系統或應用中發生的可能性及發生的概率。（3）風險分析結果。風險分析結果可以用典型的定量法和定性法進行描述。定量法可用于描述預計的金錢損失量。定性法是描述性質的，通常用高、中、低或用1~10等級等形式來表示。49網絡安全工程網絡安全工程是對現有的網絡安全狀況進行較為徹底的檢查和評估，根據對當前網絡安全技術進行的綜合分析，制定安全目標。并在此基礎上，提出一套較為系統、切實可行的工程實施方案，同時制定安全管理制度。網絡安全工程主要內容有：安全檢測與評估、制定安全目標、網絡安全實施、人員培訓。50網絡安全工程1．安全檢測與評估安全檢測與評估是保障網絡安全的重要措施，它能夠把不符合要求的設備或系統拒之門外，同時發現實際運行網絡上的問題。安全檢測和評估要做好三方面的工作。（1）把自動檢測、網絡管理和運行維護、技術支持有機地結合起來。（2）重視網絡互連和互連操作實驗。（3）把安全檢測與評估和安全技術研究結合起來。51網絡安全工程2．制定安全目標安全目標與網絡安全的重要性和投資效益有直接的關系，在可能的情況下，應達到以下三項安全目標。（1）完整性是指信息在存儲或傳輸時不被破壞，杜絕未經授權的修改。（2）可靠性是指信息的可信度，包括信息的完整性、準確性和發送人的身份驗證等方面，也包括有用信息不被破壞。（3）可用性是指合法用戶的正常請求能及時、正確、安全地得到服務或回應。52網絡安全工程3．網絡安全實施（1）傳輸安全。信息在跨公網傳輸時，面臨著被竊取的危險，比如線路傳輸信號偵聽、搭線竊聽、非法接入和竊取數據文件等形式的攻擊，因此，要對傳輸的內容進行端到端的加密。建議通過鏈路加密機方式實現端到端的加密。（2）網絡安全。為保證網絡層安全，主要需要加強系統安全、防黑客攻擊和網絡防病毒等系統的建設。（3）信息安全。建立一套內部的CA系統，采用非對稱密鑰的加密方式，確保授權用戶對相應信息的訪問，并防止未授權用戶的非法訪問和對信息的篡改。53網絡安全工程（4）建立統一的安全管理系統。建立面向管理層和決策層、與網絡規模相適應的統計、分析、管理和決策系統。對所有的安全軟件/工具進行統一管理，使各種軟件/工具能夠協同工作。通過統計分析發現具有共性的問題和潛在的問題，以不斷完善和鞏固安全防衛系統。4．人員培訓在網絡安全的各因素中，人是最根本的，所以必須經常對行政和技術人員有針對性地進行安全知識和技能培訓。54（第1章）1.6TCP/IP體系的安全551.6TCP/IP體系的安全TCP/IP協議作為當前最流行的協議，卻在設計時并未考慮到未來的安全需要，因此協議中有諸多安全問題。而協議的安全缺陷與電腦病毒的存在，使得網絡環境面臨極大的危險。1．TCP/IP體系存在的安全漏洞（1）數據鏈路層存在的安全漏洞（2）網絡層漏洞（3）IP漏洞561.6TCP/IP體系的安全（1）數據鏈路層存在的安全漏洞在以太網中，使用的是CSMA/CD協議，信道是共享的，任何主機發送的每一個以太網幀都會到達同一網段的所有主機的以太網接口。一般情況下，當主機的太網接口檢測到數據幀不屬于自己時，就把它忽略掉，不會把它發送到上層協議。攻擊者利用信道是共享的特點，通過監控軟件或網絡分析儀等進行在線竊聽，竊取網絡通信信息。571.6TCP/IP體系的安全（2）網絡層漏洞幾乎所有的基于TCP/IP的機器都會對ICMPecho請求進行響應。所以如果攻擊者同時運行很多個ping命令向一個服務器發送超過其處理能力的ICMPecho請求時，就可以淹沒該服務器使其拒絕其他的服務。另外，ping命令可以在得到允許的網絡中建立秘密通道從而可以在被攻擊系統中開后門進行方便的攻擊，如收集目標上的信息并進行秘密通信等。581.6TCP/IP體系的安全（3）IP漏洞IP包通過網絡層從主機發送出去后，源IP地址就幾乎不用，僅在中間路由器因某種原因丟棄或到達目標端后，才被使用。這使得一個主機可以使用別的主機的IP地址發送IP包，只要它能把這類IP包放到網絡上就可以。因而如果攻擊者把自己的主機偽裝成被目標主機信任的友好主機，即把發送的IP包中的源IP地址改成被信任的友好主機的IP地址，利用主機間的信任關系就可以對信任主機進行攻擊。591.6TCP/IP體系的安全TCP/IP體系的安全主要包括以下幾點：（1）TCP/IP物理層的安全（2）TCP/IP網絡層的安全（3）TCP/IP傳輸層的安全（4）TCP/IP應用層的安全60TCP/IP物理層的安全物理層安全問題是指由網絡環境及物理特性產生的網絡設施和線路安全性，致使網絡系統出現安全風險，如設備被盜、意外故障、設備損壞與老化、信息探測與竊聽等。由于以太網上的交換設備使用的是廣播方式，攻擊者可能在某個廣播域中偵聽、竊取并分析信息。為此，保護鏈路上的設施安全極為重要，物理層的安全措施相對較少，多數采用“隔離技術”保證每兩個網絡在邏輯上能夠連通，同時從物理上隔斷，并加強實體安全管理與維護。61TCP/IP網絡層的安全網絡層的主要功能是用于數據包的網絡傳輸，其中IP是整個TCP/IP協議體系結構的重要基礎，TCP/IP中所有協議的數據都以IP數據報形式進行傳輸。IPv4在設計時沒有考慮到網絡安全問題，IP包本身不具有任何安全特性，從而導致在網絡上傳輸的數據包很容易泄露或受到攻擊，IP欺騙和ICMP攻擊都是針對IP層的攻擊手段。因此，通信雙方無法保證收到IP數據報的真實性。62TCP/IP網絡層的安全63網絡分段是保證安全的一項重要措施，同時也是一項基本措施，其指導思想在于將網絡資源相互隔離，從而達到限制用戶非法訪問的目的。網絡分段可分為物理分段和邏輯分段兩種方式。物理分段通常是指將網絡從物理層和數據鏈路層上分為若干網段，各網段相互之間無法進行直接通信。在實際應用過程中，通常采取物理分段與邏輯分段相結合的方法來實現對網絡系統的安全性控制。TCP/IP網絡層的安全虛擬網（VLAN）技術主要基于近年發展的局域網交換技術。交換技術將傳統的基于廣播的局域網技術發展為面向連接的技術。以太網是基于廣播機制的，但應用了VLAN技術后，實際上轉變為點到點通信，除非設置了監聽端口，否則信息交換不會存在監聽和插入問題。VLAN帶來的好處是信息只能到達應該到達的地點。因此，防止了大部分基于網絡監聽的入侵手段。64TCP/IP傳輸層的安全傳輸層的安全主要包括：傳輸與控制安全、數據交換與認證安全、數據保密性與完整性等。TCP是一個面向連接的協議，用于多數的互聯網服務，如HTTP、FTP和SMTP。為了保證傳輸層的安全，Netscape通信公司設計了安全套接層協議SSL(SecureSocketLayer)，現更名為安全傳輸層協議TLS(TransportLayerSecurity)，主要包括SSL握手協議和SSL記錄協議兩個協議。SSL握手協議用來交換版本號、加密算法、身份認證并交換密鑰。SSL記錄協議涉及應用程序提供的信息的分段、壓縮、數據認證和加密。65TCP/IP應用層的安全在應用層中，網絡安全性問題主要出現在需要重點解決的常用應用系統（協議）中，包括HTTP、FTP、SMTP、DNS和Telnet等協議。網絡層及傳輸層的安全協議允許為主機（進程）之間的數據通道增加安全屬性。這意味著真正的數據通道是建立在主機或進程之間，但卻不能區分在同一通道上傳輸的一個具體文件的安全性要求。如果想要區分一個具體文件的不同的安全性要求，那就必須借助于應用層的安全性。提供應用層的安全服務實際上是最靈活的處理單個文件安全性的手段。例如一個電子郵件系統需要對發出的信件的個別段落實施數據簽名。較低層的協議提供的安全功能一般不會知道發出信件的段落結構，從而不知道該對哪一部分進行簽名。只有應用層是唯一能夠提供這種安全服務的層次。66應用層提供安全服務方案（1）對每個應用及應用協議分別進行修改。IETF規定了私用強化郵件（PEM）來為基于SMTP的電子郵件系統提供安全服務。PEM依賴于完全可操作的PKI（公鑰基礎結構）。PEMPKI是按層次組織的，由三個層次構成：頂層為Internet安全政策登記機構（IPRA），次層為安全政策證書頒發機構（PCA），底層為證書頒發機構（CA）。PGP（prettyGoodPrivacy）符合PEM的絕大多數規范，但不必要求PKI的存在。相反，它采用了分布式的信任模型，即由每個用戶自己決定該信任哪些其他用戶。因此，PGP不是去推廣一個全局的PKI，而是讓用戶自己建立自己的信任之網。67應用層提供安全服務方案（2）在Web上使用S-HTTP超文本傳輸協議的安全增強版本。S-HTTP提供了文件級的安全機制，因此每個文件都可以被設成私人/簽字狀態。用作加密及簽名的算法可以由參與通信的收發雙方協商。S-HTTP提供了對多種單向散列（Hash）函數的支持，如:MD2，MD5及SHA等；對多種單鑰體制的支持，如:DES，3DES，RC2，RC4；對數字簽名體制的支持，如:RSA和DSS。S-HTTP和SSL是從不同角度提供Web的安全性的。S-HTTP對單個文件作“私人/簽字”之區分，而SSL則把參與通信的相應進程之間的數據通道按“私用”和“已認證”進行監管。68應用層提供安全服務方案③為應用電子商務，尤其是信用卡交易制定一系列的安全協議。為使互聯網的信用卡交易安全起見，MasterCard公司與IBM，Netscape，GTE和Cybercash等公司制定了安全電子付費協議（SEPP），Visa國際公司和微軟一起制定了安全交易技術（STT）協議。同時，MasterCard，Visa國際和微軟已經同意聯手推出互聯網上的安全信用卡交易服務。他們發布了相應的安全電子交易（SET）協議，其中規定了信用卡持卡人用其信用卡通過互聯網進行付費的方法。這套機制的后臺有一個證書頒發的基礎結構，提供對X.509證書的支持。69ARP安全ARP（AddressResolutionProtocol）安全是針對ARP攻擊的一種安全特性，ARP通過嚴格學習、動態ARP檢測、ARP表項保護和ARP報文速率限制等措施來保證網絡設備的安全性。ARP安全特性不僅能夠防范針對ARP協議的攻擊，還可以防范網段掃描攻擊等基于ARP協議的攻擊。1.常見ARP攻擊方式（1）ARP泛洪攻擊。通過向網關發送大量ARP報文，導致網關無法正常響應。首先發送大量的ARP請求報文，然后又發送大量虛假的ARP響應報文，從而造成網關部分的CPU利用率上升難以響應正常服務請求，而且網關還會被錯誤的ARP表充滿導致無法更新維護正常ARP表，消耗網絡帶寬資源，引起整個網絡無法正常工作。701.常見ARP攻擊方式（2）ARP欺騙主機攻擊。攻擊者通過ARP欺騙使得局域網內被攻擊主機發送給網關的信息實際上都發送給攻擊者。主機刷新自己的ARP使得在自己的ARP緩存表中對應的MAC地址為攻擊者的MAC地址，這樣一來其他用戶要通過網關發送出去的數據流就會發往主機這里，這樣就會造成用戶的數據外泄。（3）欺騙網關攻擊。欺騙網關就是把別的主機發送給網關的數據通過欺騙網關的形式使得這些數據通過網關發送給攻擊者。這種攻擊目標選擇的不是個人主機而是局域網的網關，這樣就會攻擊者源源不斷的獲取局域網內其他用戶的數據，造成數據的泄露。711.常見ARP攻擊方式72（4）中間人攻擊。中間人攻擊是同時欺騙局域網內的主機和網關，局域網中用戶的數據和網關的數據會發給同一個攻擊者，這樣，用戶與網關的數據就會泄露。（5）IP地址沖突攻擊。通過對局域網中的物理主機進行掃描，掃描出局域網中的物理主機的MAC地址，然后根據物理主機的MAC地址進行攻擊，導致局域網內的主機產生IP地址沖突，影響用戶的網絡正常使用。2.ARP欺騙原理ARP欺騙是通過冒充網關或其他主機使得到達網關或主機的流量通過攻擊手段進行轉發。從而控制流量或得到機密信息。ARP欺騙不是真正使網絡無法正常通信，而是ARP欺騙發送虛假信息給局域網中其他的主機，這些信息中包含網關的IP地址和主機的MAC地址；并且也發送了ARP應答給網關，當局域網中主機和網關收到ARP應答更新ARP表后，主機和網關之間的流量就需要通過攻擊主機進行轉發。732.ARP欺騙原理主機C給網關E發送ARP請求說，我的IP地址是IP2，MAC地址為MAC1，網關收到請求后確認，凡是接收到發往IP2的信息都轉發到主機C上去了；同樣道理，主機C給主機D發送ARP請求說，我的IP地址是IP3，MAC地址為MAC1，主機D收到請求后確認，之后凡是接收到發往網關E的信息都轉發到主機C上去了。743.ARP攻擊防護（1）不要把網絡信任關系單純地建立在IP基礎上或MAC基礎上，應在網絡中架設DHCP服務器，綁定網關與客戶端IP+MAC。（2）添加靜態的ARP映射表，不讓主機刷新設定好的映射表，該做法適用于網絡中主機位置穩定，不適用在主機更換頻繁的局域網中。（3）ARP高速緩存超時設置。在ARP高速緩存中的表項一般都要設置超時值，縮短這個超時值可以有效的防止ARP表的溢出。（4）架設ARP服務器。通過該服務器查找自己的ARP映射表來響應其他機器的ARP廣播。（5）主動查詢。在某個正常的時刻，做一個IP和MAC對應的數據庫，以后定期檢查當前的IP和MAC對應關系是否正常，定期檢測交換機的流量列表，查看丟包率。（6）使用防火墻等連續監控網絡。75DHCP安全DHCP（動態主機配置協議）是一種網絡協議，它使DHCP服務器/網絡服務器能夠為請求設備動態分配IP地址、子網掩碼、默認網關和其他網絡配置參數。它通過有效地自動分配IP地址并最大限度地減少IP地址浪費和IP地址沖突，自動執行網絡管理員的普通IP地址配置任務。DHCP服務器可以從其地址池中為網絡設備動態分配IP地址，并回收它們。761.常見DHCP攻擊方式（1）DHCP服務器欺騙攻擊。由于DHCP服務器和DHCP客戶端之間沒有認證機制，所以如果在網絡上隨意添加一臺DHCP服務器，它就可以仿冒DHCP服務器為客戶端分配IP地址以及其他網絡參數。當交換機下接終端通過DHCP申請地址時，DHCP服務器仿冒者先于其它DHCP服務器回應并分配地址給客戶端，進而引起網絡地址分配錯誤，導致網絡業務異常。（2）DHCP泛洪攻擊。當交換機作為DHCP服務器或者中繼角色時，如果惡意用戶發送大量的DHCP報文到交換機，侵占交換機DHCP處理能力，導致其它合法DHCP交互無法正常進行，進而導致終端無法申請地址或者無法續租地址。771.常見DHCP攻擊方式（3）中間人攻擊。首先，中間人向客戶端發送帶有自己的MAC地址和服務器IP地址的報文，讓客戶端學到中間人的IP和MAC，達到仿冒DHCPServer的目的。達到目的后，客戶端發到DHCP服務器的報文都會經過中間人；然后，中間人向服務器發送帶有自己MAC和客戶端IP的報文，讓服務器學到中間人的IP和MAC，達到仿冒客戶端的目的。中間人完成服務器和客戶端的數據交換。在服務器看來，所有的報文都是來自或者發往客戶端；在客戶端看來，所有的報文也都是來自或者發往服務器端。但實際上這些報文都是經過了中間人的“二手”信息。782.DHCP攻擊防護DHCP服務器在與客戶端在IP地址請求和分發的過程中，缺少認證機制。所以網絡中如果出現一臺非法的DHCP服務器為客戶端提供非法的IP地址，那么就黑客就可以做一些中間人攻擊的操作，給網絡的安全性帶來了隱患。為了防止DHCP的攻擊，主要從以下兩點進行防護。（1）硬件防護。在管理交換機的端口上做MAC地址動態綁定，防止不法客戶端偽造MAC地址。（2）網絡防護。在管理交換機上，除合法的DHCP服務器所在接口外，全部設置為禁止發送DHCPOFFER包。79TCP安全傳輸控制協議（TCP，TransmissionControlProtocol）是一種面向連接的、可靠的、基于字節流的傳輸層通信協議。TCP攻擊是指利用TCP協議的設計缺陷或漏洞，對目標主機或網絡進行攻擊的行為。TCP攻擊包括TCPSYN泛洪攻擊、TCPSYN掃描攻擊、TCPFIN掃描、TCPLAND攻擊、TCP中間人攻擊和TCP連接重置攻擊等。801.TCP攻擊原理TCP主要特征有：三次握手連接和四次揮手斷開；進行擁塞控制，服務端還需要單獨解析協議內容有：少包、丟包、異常響應等。三次握手就是建立TCP連接，建立連接時，需要客戶端和服務端總共發送3個包以確認連接的建立。四次揮手斷開即終止TCP連接，就是指斷開一個TCP連接時，需要客戶端和服務端總共發送4個包來確認連接是否斷開。TCP攻擊的原理：短時間內偽造大量不存在的IP地址，并向服務端不斷地發送數據包，服務端回復確認包，并且等待客戶端的確認，由于客戶端的關閉，導致數據端不斷重發直至超時，進而達到占用分配資源的目的，導致正常的數據請求因為服務器已經無法接收而被屏蔽，因此網絡堵塞造成服務器系統癱瘓。81TCP連接三次握手和斷開四次揮手82連接的三次握手斷開的四次揮手2.TCPSYN泛洪攻擊TCPSYN泛洪攻擊是利用TCP三次握手過程存在的漏洞，達到一種DoS（DenialofService）攻擊目的。攻擊者利用TCP協議中的三次握手過程中存在的漏洞，向目標主機發送大量偽造的TCPSYN連接請求，目標主機在接收到這些請求后會向攻擊者回復TCPSYN-ACK包，然后等待攻擊者響應TCPACK包，完成TCP連接的建立。但攻擊者并不會回復TCPACK包，而是會忽略目標主機發來的TCPSYN-ACK包并持續發送TCPSYN連接請求，從而導致目標主機長時間等待TCP連接的建立，占用大量資源，最終導致目標主機無法正常工作。832.TCPSYN泛洪攻擊防御策略：●安裝防火墻，利用防火墻的過濾功能，從而間接地過濾掉一部分可能存在的惡意的TCP數據包，從而保護目標主機。●用TCPSYNCookie機制，TCPSYNCookie是一種防止TCPSYN泛洪攻擊的機制，它可以在不存儲連接信息的情況下，使被攻擊主機正確處理TCP連接請求。●限制TCP連接數，通過限制TCP連接數，可以減少TCPSYN泛洪攻擊的危害。843.TCPSYN掃描攻擊TCPSYN掃描攻擊可以掃描到被攻擊主機所支持的TCP開放端口，從而可以進一步發現被攻擊主機的一些其他信息。原理：當攻擊者向被攻擊主機某個端口發送第一次握手連接，如果被攻擊主機此端口在TCP監聽狀態，則會向攻擊者發送第二次握手包。根據TCP協議連接時三次握手規范，此時被攻擊主機在等待攻擊者發送第三次握手包。但此時攻擊者并不會響應第三次握手，而是會迅速發送TCPRST包，也會避免對方記錄連接信息。以一種無痕跡的方式獲取到了目標主機的開放端口。當攻擊者獲取到某一個端口狀態時，繼續切換到下一端口，按照以上步驟再次發送TCPSYN掃描攻擊，直到所有端口掃描完畢。853.TCPSYN掃描攻擊防御策略：●安裝防火墻。可以利用防火墻的過濾功能，從而間接地過濾掉一部分可能存在的惡意的TCP數據包，從而保護目標主機。●關閉不經常使用的服務，不允許隨意安裝APP，也可以減少系統的漏洞，使系統的安全性進一步提高。●使用IDS（入侵檢測系統和入侵防御系統）防御設備，也可以有針對性地、及時地發現攻擊者是否在進行TCPSYN掃描，使得目標機系統安全得到提升。864.TCPFIN掃描攻擊（1）TCPFIN掃描攻擊。TCPFIN掃描攻擊，英文為“TCPFINScanAttack”。TCPFIN掃描攻擊屬于TCP協議存在的一種漏洞，TCPFIN掃描攻擊與TCPSYN掃描攻擊實現的目的一致，都是為了獲得目標主機開放的端口，從而獲取目標主機的一些其他信息。TCPFIN掃描攻擊是一種無痕跡掃描，攻擊掃描期間并不會與對方建立連接。因此也不會被對方記錄連接信息。當攻擊者獲取到某一個端口狀態時，可以繼續切換到下一端口，按照以上步驟再次發送TCPFIN掃描攻擊，直到所有端口掃描完畢。（2）防御策略。針對TCPFIN掃描攻擊，也可以制定一些相應的方法進行防御。如安裝防火墻，關閉不經常使用服務等。875.TCPLAND攻擊TCPLand攻擊，是一種利用TCP協議中的漏洞進行的攻擊。它的主要原理是偽造一個TCP數據包，并在該數據包的源IP地址和目標IP地址中都填寫相同的IP地址，從而使目標主機陷入死循環，無法與其他主機通信。TCPLAND攻擊利用了TCP協議中的SYN標志位。攻擊者發送一個偽造的TCPSYN數據包（SYN標志位被設置為1）給目標主機，并且將源IP地址和目標IP地址都被設置為目標主機的IP地址。當目標主機接收到這個數據包時，它會認為這是一個新的TCP連接請求，并嘗試發送一個SYNACK數據包作為響應。但是，由于源IP地址和目標IP地址都為目標主機本身，目標主機會一直向自己發送數據，最終導致系統崩潰或網絡擁堵。885.TCPLAND攻擊防御策略：TCPLAND攻擊是一種常見的DoS攻擊手段，可以通過配置防火墻，限制TCP的源地址是本地地址，配置網絡流量監控系統實時檢測網絡中的流量信息，當發現異常流量時及時上報提醒，防止TCPLAND攻擊等類型的拒絕服務攻擊。896.TCP中間人攻擊TCP中間人攻擊是攻擊者在網絡中對傳輸的數據進行監聽和分析，當攻擊者獲取到客戶端的TCP會話序列號及確認號后，就可以偽造TCP數據包來冒充客戶端與服務器進行通信。攻擊者通過這種方式可以繞過服務器的認證和授權機制，進而實現各種攻擊目的。中間人攻擊，包括TCP會話劫持和TCP連接重置兩種實現方式。90PSH包的出現，表示有數據傳輸。6.TCP中間人攻擊91●TCP會話劫持。是指攻擊者通過監聽或者篡改網絡流量，獲取到合法用戶的TCP會話信息，然后利用這些信息來冒充合法用戶與服務器或其他合法用戶進行通信的一種攻擊行為。攻擊者利用TCP會話劫持可以實施多種攻擊，如竊取用戶信息、篡改用戶數據、劫持會話等。●TCP連接重置攻擊。攻擊者通過向通信的一方或雙方發送偽造的TCP重置包，告訴它們立即斷開連接，從而使通信雙方連接中斷。如果偽造的重置報文段完全逼真，接收者就會認為它有效，并關閉TCP連接，防止連接被用來進一步交換信息。服務端可以創建一個新的TCP連接來恢復通信，但仍然可能會被攻擊者重置連接。6.TCP中間人攻擊一般情況下，攻擊者需要一定的時間來組裝和發送偽造的報文，所以這種攻擊只對長連接有殺傷力，對于短連接而言，攻擊者還沒完成攻擊，服務器和客戶機已經完成了信息交換。防御策略：●使