網(wǎng)絡(luò)系統(tǒng)安全本章知識(shí)結(jié)構(gòu)案例與思考案例與思考6-1：斯諾登曝光美國(guó)棱鏡計(jì)高級(jí)持續(xù)性威脅APT攻擊6.1網(wǎng)絡(luò)系統(tǒng)的安全問題6.1.1網(wǎng)絡(luò)攻擊威脅1.網(wǎng)絡(luò)攻擊的基本步驟（1）隱藏攻擊源（2）信息搜集（3）掌握系統(tǒng)控制權(quán)（4）實(shí)施攻擊（5）安裝后門（6）清除攻擊痕跡6.1網(wǎng)絡(luò)系統(tǒng)的安全問題6.1.1網(wǎng)絡(luò)攻擊威脅2.網(wǎng)絡(luò)攻擊的常用手段1）偽裝攻擊。2）探測(cè)攻擊。3）嗅探攻擊。4）解碼類攻擊。5）緩沖區(qū)溢出攻擊。6）欺騙攻擊。7）拒絕服務(wù)和分布式拒絕服務(wù)攻擊。8）Web腳本入侵。9）0day攻擊。10）社會(huì)工程學(xué)（SocialEngineering）攻擊。6.1網(wǎng)絡(luò)系統(tǒng)的安全問題6.1.1網(wǎng)絡(luò)攻擊威脅2.網(wǎng)絡(luò)攻擊的發(fā)展（1）網(wǎng)絡(luò)攻擊發(fā)展的背景1）APT攻擊成為國(guó)家層面信息對(duì)抗的需求。2）社交網(wǎng)絡(luò)的廣泛應(yīng)用為APT攻擊提供了可能。3）復(fù)雜脆弱的IT環(huán)境還沒有做好應(yīng)對(duì)的準(zhǔn)備。6.1網(wǎng)絡(luò)系統(tǒng)的安全問題6.1.1網(wǎng)絡(luò)攻擊威脅2.網(wǎng)絡(luò)攻擊的發(fā)展（2）APT的定義2011年美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院NIST發(fā)布了《SP800-39管理信息安全風(fēng)險(xiǎn)》，其中對(duì)APT的定義為：攻擊者掌握先進(jìn)的專業(yè)知識(shí)和有效的資源，通過多種攻擊途徑（如網(wǎng)絡(luò)、物理設(shè)施和欺騙等），在特定組織的信息技術(shù)基礎(chǔ)設(shè)施建立并轉(zhuǎn)移立足點(diǎn)，以竊取機(jī)密信息，破壞或阻礙任務(wù)、程序或組織的關(guān)鍵系統(tǒng)，或者駐留在組織的內(nèi)部網(wǎng)絡(luò)，進(jìn)行后續(xù)攻擊。1）A（Advanced），技術(shù)高級(jí)。2）P（Persistent），持續(xù)時(shí)間長(zhǎng)。3）T（Threat），威脅性大。6.1網(wǎng)絡(luò)系統(tǒng)的安全問題6.1.1網(wǎng)絡(luò)攻擊威脅2.網(wǎng)絡(luò)攻擊的發(fā)展（3）APT攻擊一般過程APT攻擊的一般過程包括4個(gè)關(guān)鍵步驟：1）信息偵查。2）持續(xù)滲透。3）長(zhǎng)期潛伏。4）竊取信息。6.1網(wǎng)絡(luò)系統(tǒng)的安全問題6.1.1網(wǎng)絡(luò)攻擊威脅2.網(wǎng)絡(luò)攻擊的發(fā)展（4）APT攻擊與傳統(tǒng)攻擊比較6.1網(wǎng)絡(luò)系統(tǒng)的安全問題【案例6-2】破壞計(jì)算機(jī)信息系統(tǒng)案。6.1網(wǎng)絡(luò)系統(tǒng)的安全問題6.1.2TCP/IPv4的脆弱性目前廣泛使用的TCP/IPv4協(xié)議普遍缺少安全機(jī)制，這是因?yàn)閰f(xié)議設(shè)計(jì)者主要關(guān)注與網(wǎng)絡(luò)運(yùn)行和應(yīng)用相關(guān)的技術(shù)問題，安全問題考慮甚少。其結(jié)果是網(wǎng)絡(luò)通信問題得到了很好地解決，而安全風(fēng)險(xiǎn)卻必須通過其他途徑來防范和彌補(bǔ)。【案例6-3】DNS隱患與物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)6.2網(wǎng)絡(luò)安全設(shè)備6.2.1防火墻1.防火墻的概念（1）防火墻的定義防火墻是設(shè)置在不同網(wǎng)絡(luò)（如可信的企業(yè)內(nèi)部網(wǎng)絡(luò)和不可信的公共網(wǎng)絡(luò)）或網(wǎng)絡(luò)安全域之間的實(shí)施訪問控制的系統(tǒng)。在邏輯上，防火墻是一個(gè)網(wǎng)關(guān)，能有效地監(jiān)控流經(jīng)防火墻的數(shù)據(jù)，具有分隔、分析、過濾、限制等功能，保證受保護(hù)部分的安全。防火墻具有以下3種基本性質(zhì)：是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。能根據(jù)網(wǎng)絡(luò)安全策略控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且自身具有較強(qiáng)的抗攻擊能力。本身不能影響網(wǎng)絡(luò)信息的流通。6.2網(wǎng)絡(luò)安全設(shè)備6.2.1防火墻1.防火墻的概念（2）防火墻的分類1）按照防火墻產(chǎn)品的形態(tài)，可以分為軟件防火墻和硬件防火墻。2）根據(jù)防火墻技術(shù)特點(diǎn)，通常把防火墻分為包過濾防火墻和應(yīng)用代理防火墻兩大類。3）按防火墻的應(yīng)用部署位置，可以分為邊界防火墻、內(nèi)部防火墻和個(gè)人防火墻。4）按防火墻的應(yīng)用領(lǐng)域，可以分為Web應(yīng)用防火墻、數(shù)據(jù)庫(kù)防火墻、工業(yè)控制系統(tǒng)防火墻等。6.2網(wǎng)絡(luò)安全設(shè)備6.2.1防火墻2.防火墻技術(shù)原理（1）包過濾（Packet-filtering）技術(shù)包過濾防火墻工作在網(wǎng)絡(luò)層和傳輸層，它根據(jù)通過防火墻的每個(gè)數(shù)據(jù)包的源IP地址、目標(biāo)IP地址、端口號(hào)、協(xié)議類型等信息來決定是讓該數(shù)據(jù)包通過還是丟棄，從而達(dá)到對(duì)進(jìn)出防火墻的數(shù)據(jù)進(jìn)行檢測(cè)和限制的目的。6.2網(wǎng)絡(luò)安全設(shè)備6.2.1防火墻2.防火墻技術(shù)原理（1）包過濾（Packet-filtering）技術(shù)1）靜態(tài)包過濾（Staticpacket-filtering）技術(shù)。它根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。2）狀態(tài)包過濾（StatefulPacket-filtering）技術(shù)。狀態(tài)包過濾也稱為動(dòng)態(tài)包過濾（DynamicPacket-filtering），是一種基于連接的狀態(tài)檢測(cè)機(jī)制，也就是將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流進(jìn)行分析，判斷其是否屬于當(dāng)前合法連接，從而進(jìn)行更加嚴(yán)格的訪問控制。6.2網(wǎng)絡(luò)安全設(shè)備6.2.1防火墻2.防火墻技術(shù)原理（2）應(yīng)用代理（ApplicationProxy）技術(shù)1）應(yīng)用層網(wǎng)關(guān)（ApplicationGateway）技術(shù)。2）自適應(yīng)代理（AdaptiveProxy）技術(shù)。6.2網(wǎng)絡(luò)安全設(shè)備6.2.1防火墻3.防火墻的部署（1）典型網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)分析在這種應(yīng)用中，整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)分為3個(gè)不同的安全區(qū)域。1）外部網(wǎng)絡(luò)。2）DMZ。3）內(nèi)部網(wǎng)絡(luò)。（2）防火墻部署方式1）邊界防火墻。2）內(nèi)部防火墻。3）個(gè)人防火墻。6.2網(wǎng)絡(luò)安全設(shè)備6.2.1防火墻4.防火墻的發(fā)展在經(jīng)歷了多次技術(shù)變革后，防火墻的概念正在變得模糊，在不同語(yǔ)境中有著不同的含義：傳統(tǒng)防火墻：具有狀態(tài)檢測(cè)機(jī)制、集成IPSecVPN等功能、支持橋/路由/NAT工作模式的、作用在網(wǎng)絡(luò)2~4層的訪問控制設(shè)備。新一代防火墻：以性能為主導(dǎo)的、在網(wǎng)絡(luò)邊緣執(zhí)行多層次的訪問控制策略、使用狀態(tài)檢測(cè)或深度包檢測(cè)機(jī)制、包含一種或多種安全功能的網(wǎng)關(guān)設(shè)備（Gateway）。6.2網(wǎng)絡(luò)安全設(shè)備6.2.2入侵檢測(cè)系統(tǒng)1.入侵檢測(cè)的概念（1）入侵、入侵檢測(cè)的定義入侵（Intrusion）是指任何危害或可能危害資源保密性、完整性和可用性的活動(dòng)。這些活動(dòng)包括收集漏洞信息、拒絕服務(wù)攻擊等危害系統(tǒng)的行為，也包括取得超出合法范圍的系統(tǒng)控制權(quán)等可能危害系統(tǒng)安全的行為。入侵檢測(cè)是指，通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）。6.2網(wǎng)絡(luò)安全設(shè)備6.2.2入侵檢測(cè)系統(tǒng)1.入侵檢測(cè)的概念（2）入侵檢測(cè)系統(tǒng)的分類1）IDS產(chǎn)品主要是軟硬件結(jié)合的形態(tài)，也有純軟件實(shí)現(xiàn)的。2）根據(jù)檢測(cè)數(shù)據(jù)源的不同，可分為主機(jī)型和網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)。主機(jī)IDS（HIDS），通過監(jiān)視和分析主機(jī)的審計(jì)記錄檢測(cè)入侵。網(wǎng)絡(luò)IDS（NIDS），通過監(jiān)聽所保護(hù)網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)包并進(jìn)行分析以檢測(cè)入侵。3）根據(jù)IDS部署的位置，可將IDS分為集中式、分布式和分層式。6.2網(wǎng)絡(luò)安全設(shè)備6.2.2入侵檢測(cè)系統(tǒng)2.入侵檢測(cè)技術(shù)原理（1）入侵檢測(cè)系統(tǒng)結(jié)構(gòu)一個(gè)IDS可以分為以下功能組件。6.2網(wǎng)絡(luò)安全設(shè)備6.2.2入侵檢測(cè)系統(tǒng)2.入侵檢測(cè)技術(shù)原理（2）入侵檢測(cè)技術(shù)1）異常檢測(cè)（AnomalyDetection）。需要建立目標(biāo)系統(tǒng)及其用戶的正常活動(dòng)模型，然后基于這個(gè)模型對(duì)系統(tǒng)和用戶的實(shí)際活動(dòng)進(jìn)行審計(jì)，當(dāng)主體活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，則將其視為可疑行為。該技術(shù)的關(guān)鍵是異常閾值和特征的選擇。其優(yōu)點(diǎn)是可以發(fā)現(xiàn)新型的入侵行為，漏報(bào)少。缺點(diǎn)是容易產(chǎn)生誤報(bào)。6.2網(wǎng)絡(luò)安全設(shè)備6.2.2入侵檢測(cè)系統(tǒng)2.入侵檢測(cè)技術(shù)原理（2）入侵檢測(cè)技術(shù)2）誤用檢測(cè)（Misusedetection）。假定所有入侵行為和手段（及其變種）都能夠表達(dá)為一種模式或特征，系統(tǒng)的目標(biāo)就是檢測(cè)主體活動(dòng)是否符合這些模式。誤用檢測(cè)的優(yōu)點(diǎn)是可以有針對(duì)性地建立高效的入侵檢測(cè)系統(tǒng)，其精確性較高，誤報(bào)少。主要缺陷是只能發(fā)現(xiàn)攻擊庫(kù)中已知的攻擊，不能檢測(cè)未知的入侵，也不能檢測(cè)已知入侵的變種，因此可能發(fā)生漏報(bào)。且其復(fù)雜性將隨著攻擊數(shù)量的增加而增加。6.2網(wǎng)絡(luò)安全設(shè)備6.2.2入侵檢測(cè)系統(tǒng)3.入侵檢測(cè)的部署6.2網(wǎng)絡(luò)安全設(shè)備6.2.2入侵檢測(cè)系統(tǒng)4.入侵檢測(cè)的發(fā)展1）體系架構(gòu)演變。2）標(biāo)準(zhǔn)化。3）智能入侵檢測(cè)。4）面向IPv6的入侵檢測(cè)。5）主動(dòng)防護(hù)能力的提高與集成。6.2網(wǎng)絡(luò)安全設(shè)備6.2.3其他網(wǎng)絡(luò)安全設(shè)備1.網(wǎng)絡(luò)隔離（1）網(wǎng)絡(luò)隔離的概念所謂物理隔離，是指以物理的方式在信息的存儲(chǔ)、傳導(dǎo)等各個(gè)方面阻斷不同的安全域，使得安全域之間不存在任何信息重用的可能性。物理隔離技術(shù)應(yīng)當(dāng)具備的幾個(gè)特征包括：1）網(wǎng)絡(luò)物理傳導(dǎo)隔斷保護(hù)。2）信息物理存儲(chǔ)隔斷保護(hù)。3）客體重用防護(hù)。4）電磁信息泄漏防護(hù)。5）產(chǎn)品本身安全防護(hù)。6.2網(wǎng)絡(luò)安全設(shè)備6.2.3其他網(wǎng)絡(luò)安全設(shè)備1.網(wǎng)絡(luò)隔離（2）網(wǎng)絡(luò)隔離的工作原理1）協(xié)議隔離（ProtocolIsolation）技術(shù)。2）網(wǎng)閘（Gap）技術(shù)。（3）網(wǎng)絡(luò)隔離的發(fā)展使用專用通信硬件和專有交換協(xié)議等安全機(jī)制來實(shí)現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換，不僅繼承了以往隔離技術(shù)的優(yōu)點(diǎn)，并且在網(wǎng)絡(luò)隔離的同時(shí)實(shí)現(xiàn)了高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，它也能夠透明地支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。6.2網(wǎng)絡(luò)安全設(shè)備6.2.3其他網(wǎng)絡(luò)安全設(shè)備2.下一代防火墻NGFW在功能上至少應(yīng)當(dāng)具備以下幾個(gè)屬性：擁有傳統(tǒng)防火墻的所有功能。支持與防火墻聯(lián)動(dòng)的入侵防御系統(tǒng)。應(yīng)用層安全控制。智能化聯(lián)動(dòng)。3.Web應(yīng)用防火墻Web應(yīng)用防火墻（WebApplicationFirewall，WAF）是指，部署于Web客戶端和Web服務(wù)器之間，根據(jù)預(yù)先定義的過濾規(guī)則和安全防護(hù)規(guī)則，對(duì)Web服務(wù)器的所有訪問請(qǐng)求和Web服務(wù)器的響應(yīng)進(jìn)行協(xié)議和內(nèi)容過濾，實(shí)現(xiàn)對(duì)Web服務(wù)器和Web應(yīng)用保護(hù)的信息安全產(chǎn)品。6.2網(wǎng)絡(luò)安全設(shè)備6.2.3其他網(wǎng)絡(luò)安全設(shè)備4.數(shù)據(jù)庫(kù)防火墻數(shù)據(jù)庫(kù)防火墻技術(shù)是針對(duì)關(guān)系型數(shù)據(jù)庫(kù)保護(hù)需求應(yīng)運(yùn)而生的一種數(shù)據(jù)庫(kù)安全主動(dòng)防御技術(shù)，數(shù)據(jù)庫(kù)防火墻部署于應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)之間，用戶必須通過它才能對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問或管理。5.入侵防御系統(tǒng)IPS是一種主動(dòng)的、智能的入侵檢測(cè)、防范、阻止系統(tǒng)，其設(shè)計(jì)旨在預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。6.2網(wǎng)絡(luò)安全設(shè)備6.2.3其他網(wǎng)絡(luò)安全設(shè)備6.統(tǒng)一威脅管理市場(chǎng)分析咨詢機(jī)構(gòu)IDC這樣定義統(tǒng)一威脅管理（UnifiedThreatManagement，UTM）：這是一類集成了常用安全功能的設(shè)備，必須包括傳統(tǒng)防火墻、網(wǎng)絡(luò)入侵檢測(cè)與防護(hù)和網(wǎng)關(guān)防病毒功能，并且可能會(huì)集成其他一些安全或網(wǎng)絡(luò)特性。所有這些功能不一定要打開，但是這些功能必須集成在一個(gè)硬件中。6.3網(wǎng)絡(luò)架構(gòu)安全6.3.1網(wǎng)絡(luò)架構(gòu)安全的含義網(wǎng)絡(luò)架構(gòu)安全是指在進(jìn)行網(wǎng)絡(luò)信息系統(tǒng)規(guī)劃和建設(shè)時(shí)，依據(jù)用戶的具體安全需求，利用各種安全技術(shù)，部署不同安全設(shè)備，通過不同的安全機(jī)制、安全配置、安全部署，規(guī)劃和設(shè)計(jì)相應(yīng)的網(wǎng)絡(luò)架構(gòu)。6.3網(wǎng)絡(luò)架構(gòu)安全6.3.1網(wǎng)絡(luò)架構(gòu)安全的含義一般地，網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì)需要考慮以下問題：1）合理劃分網(wǎng)絡(luò)安全區(qū)域。2）規(guī)劃網(wǎng)絡(luò)IP地址，制定網(wǎng)絡(luò)IP地址分配策略，制定網(wǎng)絡(luò)設(shè)備的路由和交換策略。3）在網(wǎng)絡(luò)邊界部署安全設(shè)備，設(shè)計(jì)設(shè)備具體部署位置和控制措施，維護(hù)網(wǎng)絡(luò)安全。4）規(guī)劃網(wǎng)絡(luò)遠(yuǎn)程接入安全，保障遠(yuǎn)程用戶安全地接入到網(wǎng)絡(luò)中。5）采用入侵容忍技術(shù)。6.3網(wǎng)絡(luò)架構(gòu)安全6.3.2網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì)1.安全域劃分（1）安全域的概念安全域是由一組具有相同安全保護(hù)需求并相互信任的系統(tǒng)組成的邏輯區(qū)域。每一個(gè)邏輯區(qū)域有相同的安全保護(hù)需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同樣的安全策略。安全域劃分的目的是把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為小區(qū)域的安全保護(hù)問題，它是實(shí)現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)安全保護(hù)的有效方法。6.3網(wǎng)絡(luò)架構(gòu)安全6.3.2網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì)1.安全域劃分（1）安全域的概念對(duì)信息系統(tǒng)安全域（保護(hù)對(duì)象）的劃分應(yīng)主要考慮如下因素：1）業(yè)務(wù)和功能特性。2）安全性要求。3）現(xiàn)有狀況。6.3網(wǎng)絡(luò)架構(gòu)安全6.3.2網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì)1.安全域劃分（2）安全域的劃分一般可以把網(wǎng)絡(luò)劃分為4個(gè)部分：本地網(wǎng)絡(luò)、遠(yuǎn)程網(wǎng)絡(luò)、公共網(wǎng)絡(luò)和伙伴訪問網(wǎng)絡(luò)。（3）虛擬局域網(wǎng)VLAN設(shè)計(jì)虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）是一種劃分互相隔離子網(wǎng)的技術(shù)，通過將網(wǎng)內(nèi)設(shè)備邏輯地劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組。6.3網(wǎng)絡(luò)架構(gòu)安全6.3.2網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì)2.IP地址規(guī)劃IP地址用來標(biāo)識(shí)不同的網(wǎng)絡(luò)、子網(wǎng)以及網(wǎng)絡(luò)中的主機(jī)。所謂IP地址規(guī)劃，是指根據(jù)IP編址特點(diǎn)，為所設(shè)計(jì)的網(wǎng)絡(luò)中的節(jié)點(diǎn)、網(wǎng)絡(luò)設(shè)備分配合適的IP地址。IP地址分配一般包括靜態(tài)分配地址、動(dòng)態(tài)分配地址以及NAT分配地址等方式。6.3網(wǎng)絡(luò)架構(gòu)安全6.3.2網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì)3.網(wǎng)絡(luò)邊界訪問控制策略設(shè)置網(wǎng)絡(luò)邊界安全訪問總體策略為：允許高級(jí)別的安全域訪問低級(jí)別的安全域，限制低級(jí)別的安全域訪問高級(jí)別的安全域，不同安全域內(nèi)部分區(qū)進(jìn)行安全防護(hù)，做到安全可邊界可能包括以下一些部件：路由器、防火墻、IDS、VPN設(shè)備、防病毒網(wǎng)關(guān)等。上述部件和技術(shù)的不同組合，可以構(gòu)成不同級(jí)別的邊界防護(hù)機(jī)制。一些常見的配置模式：1）基本安全防護(hù)。2）較嚴(yán)格安全防護(hù)。3）嚴(yán)格安全防護(hù)。4）特別安全防護(hù)。6.3網(wǎng)絡(luò)架構(gòu)安全6.3.2網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì)4.虛擬專用網(wǎng)設(shè)計(jì)（1）VPN的概念VPN提供一種在現(xiàn)有網(wǎng)絡(luò)或點(diǎn)對(duì)點(diǎn)連接上建立一至多條安全數(shù)據(jù)信道的機(jī)制。它只分配給受限的用戶組獨(dú)占使用，并能在需要時(shí)動(dòng)態(tài)地建立和撤銷。6.3網(wǎng)絡(luò)架構(gòu)安全6.3.2網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì)4.虛擬專用網(wǎng)設(shè)計(jì)（2）多種VPN實(shí)現(xiàn)VPN的實(shí)質(zhì)是在共享網(wǎng)絡(luò)環(huán)境下建立的安全“隧道”（Tunnel）連接，數(shù)據(jù)可以在“隧道”中傳輸。隧道是利用一種協(xié)議來封裝傳輸另外一種協(xié)議的技術(shù)。簡(jiǎn)單而言就是：原始數(shù)據(jù)報(bào)文在A地進(jìn)行封裝，到達(dá)B地后把封裝去掉還原成原始數(shù)據(jù)報(bào)文，這樣就形成了一條由A到B的通信“隧道”。隧道技術(shù)的標(biāo)準(zhǔn)化表現(xiàn)形式就是隧道協(xié)議。不同隧道協(xié)議的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝，因此從低層到高層就有了PPTPVPN、L2TPVPN、MPLSVPN、IPSecVPN和SSLVPN等VPN不同實(shí)現(xiàn)形式。6.3網(wǎng)絡(luò)架構(gòu)安全【案例6-4】VPN用不好是違法的。6.3網(wǎng)絡(luò)架構(gòu)安全5.網(wǎng)絡(luò)冗余配置一個(gè)和互聯(lián)網(wǎng)（或外部網(wǎng)絡(luò)）有連接的組織網(wǎng)絡(luò)在考慮網(wǎng)絡(luò)冗余配置時(shí)，應(yīng)當(dāng)從以下幾個(gè)方面著手。1）接入互聯(lián)網(wǎng)時(shí)，同時(shí)采用不同電信運(yùn)營(yíng)商線路，相互備份且互不影響。2）核心層、匯聚層的設(shè)備和重要的接入層設(shè)備均應(yīng)雙機(jī)熱備，例如，核心交換機(jī)、服務(wù)器群接入交換機(jī)、重要業(yè)務(wù)管理終端接入交換機(jī)、核心路由器、防火墻、均衡負(fù)載器、帶寬管理器及其他相關(guān)重要設(shè)備。3）保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期和業(yè)務(wù)發(fā)展需要。6.4網(wǎng)絡(luò)安全協(xié)議6.4.1應(yīng)用層安全協(xié)議（1）安全外殼協(xié)議SSH（2）電子郵件安全協(xié)議1）S/MIME。2）OpenPGP。（3）電子交易安全協(xié)議SET（4）電子現(xiàn)金協(xié)議eCash6.4網(wǎng)絡(luò)安全協(xié)議6.4.2傳輸層安全協(xié)議SSL1.傳輸層安全協(xié)議SSL基本概念傳輸層安全協(xié)議通常指的是安全套接層協(xié)議（SecuritySocketLayer，SSL）和傳輸層安全協(xié)議（TransportLayerSecurity，TLS）兩個(gè)協(xié)議。SSL協(xié)議是介于應(yīng)用層和可靠的傳輸層協(xié)議之間的安全通信協(xié)議。其主要功能是當(dāng)兩個(gè)應(yīng)用層相互通信時(shí)，為傳送的信息提供保密性、可認(rèn)證性（真實(shí)性）和完整性。SSL協(xié)議的優(yōu)勢(shì)在于它是與應(yīng)用層協(xié)議獨(dú)立無(wú)關(guān)的，因而高層的應(yīng)用層協(xié)議（如HTTP、FTP、Telnet）能透明的建立于SSL協(xié)議之上。6.4網(wǎng)絡(luò)安全協(xié)議6.4.2傳輸層安全協(xié)議SSL2.SSL使用的安全機(jī)制以及提供的安全服務(wù)1）保密性。2）可認(rèn)證性。3）完整性。3.SSL協(xié)議內(nèi)容1）SSL握手協(xié)議。2）SSL記錄協(xié)議。6.4網(wǎng)絡(luò)安全協(xié)議6.4.3網(wǎng)絡(luò)層安全協(xié)議IPSec1.IPSec基本概念I(lǐng)PSec定義了一種標(biāo)準(zhǔn)、健壯的以及包容廣泛的機(jī)制，可用它為IP及其上層協(xié)議（如TCP和UDP）提供安全保證。IPSec的目標(biāo)是為IPv4和IPv6提供具有較強(qiáng)的互操作能力、高質(zhì)量和基于密碼的安全功能，在IP層實(shí)現(xiàn)多種安全服務(wù)，包括訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)源驗(yàn)證、抗重播、機(jī)密性等。IPSec通過支持一系列加密算法如IDEA、AES等確保通信雙方的機(jī)密性。IPSec的一個(gè)典型應(yīng)用是，在網(wǎng)絡(luò)設(shè)備如路由器或防火墻中運(yùn)行，將一個(gè)組織分布在各地的LAN相連。6.4網(wǎng)絡(luò)安全協(xié)議6.4.3網(wǎng)絡(luò)層安全協(xié)議IPSec2.IPSec協(xié)議內(nèi)容1）認(rèn)證頭AH（AuthenticationHead）協(xié)議：用于支持?jǐn)?shù)據(jù)完整性和IP包的認(rèn)證。2）載荷安全封裝ESP（EncapsulatingSecurityPayload）協(xié)議：能確保IP數(shù)據(jù)報(bào)的完整性和機(jī)密性，也可提供驗(yàn)證（或簽名）功能（視算法而定）。3）因特網(wǎng)密鑰交換IKE（InternetKeyExchange）協(xié)議：在IPSec通信雙方之間建立起共享安全參數(shù)及驗(yàn)證的密鑰。6.4網(wǎng)絡(luò)安全協(xié)議6.4.3網(wǎng)絡(luò)層安全協(xié)議IPSec3.IPSec的兩種應(yīng)用模式IPSec有兩種工作模式：傳輸模式和隧道模式。6.4網(wǎng)絡(luò)安全協(xié)議6.4.3網(wǎng)絡(luò)層安全協(xié)議IPSec3.IPSec的兩種應(yīng)用模式1）傳輸模式用于在兩臺(tái)主機(jī)之間進(jìn)行的端到端通信。發(fā)送端IPSec將IP包載荷用ESP或AH進(jìn)行加密或認(rèn)證，但不包括IP頭，數(shù)據(jù)包傳輸?shù)侥繕?biāo)IP后，由接收端IPSec認(rèn)證和解密。2）隧道模式用于點(diǎn)到點(diǎn)通信，對(duì)整個(gè)IP包提供保護(hù)。6.4網(wǎng)絡(luò)安全協(xié)議6.4.4基于IPv6新特性的安全保護(hù)1.IPv6的新特性1）IPv6精簡(jiǎn)了報(bào)頭結(jié)構(gòu)，擴(kuò)展性更強(qiáng)。2）IPv6擁有巨大的地址空間和層次化的地址結(jié)構(gòu)。3）IPv6支持高效的層次尋址及路由結(jié)構(gòu)。4）IPv6支持有狀態(tài)和無(wú)狀態(tài)兩種地址自動(dòng)配置方式。5）IPv6中集成了IPSec協(xié)議。6）IPv6對(duì)QoS更好的支持。7）IPv6中用鄰居發(fā)現(xiàn)協(xié)議NDP代替ARP功能。6.4網(wǎng)絡(luò)安全協(xié)議6.4.4基于IPv6新特性的安全保護(hù)2.基于IPv6的安全保護(hù)（1）IPv6擁有巨大的地址空間資源，建立了源地址驗(yàn)證機(jī)制，有利于攻擊溯源（2）IPv6保證了網(wǎng)絡(luò)層的數(shù)據(jù)認(rèn)證、數(shù)據(jù)完整性及機(jī)密性（3）IPv6的鄰居發(fā)現(xiàn)協(xié)議NDP進(jìn)一步保障傳輸安全性（4）基于IPv6的新型地址結(jié)構(gòu)為我國(guó)建立根服務(wù)器提供了契機(jī)6.4網(wǎng)絡(luò)安全協(xié)議6.4.4基于IPv6新特性的安全保護(hù)3.IPv6安全機(jī)制對(duì)現(xiàn)行網(wǎng)絡(luò)安全體系的新挑戰(zhàn)雖然IPv6在安全性方面具有很多優(yōu)點(diǎn)，但這并不能說IPv6就可以確保系統(tǒng)的安全了。因?yàn)椋踩鱾€(gè)層次、各個(gè)方面的問題，不是僅僅由一個(gè)安全的網(wǎng)絡(luò)層就可以解決得了的。而且僅僅從網(wǎng)絡(luò)層來看，IPv6也不是盡善盡美的。另外，當(dāng)前的網(wǎng)絡(luò)安全體系是基于現(xiàn)行的IPv4協(xié)議的，防范黑客的主要工具有防火墻、網(wǎng)絡(luò)掃描、系統(tǒng)掃描、Web安全保護(hù)、入侵檢測(cè)系統(tǒng)等。IPv6的安全機(jī)制對(duì)他們的沖擊可能是巨大的，甚至是致命