清华版网络安全教案第7章课件

1、第7章 Internet安全体系结构7.1 Internet安全结构布局7.2 网络安全层次模型7.3 OSI安全体系到TCP/IP安全体系的映射7.4 本章小结习题Internet的广泛应用对组织的系统和信息增加了潜在的不安全风险，采用合适的安全结构，可降低风险。7.1 Internet安全结构布局Internet提供何种服务，选择哪些主机提供服务，以及哪些用户可访问这些服务，都会影响整个网络结构。Internet提供的服务通常有邮件服务、Web服务、内部访问Internet、外部访问内部系统。还有一类属于控制的服务，包括域名服务DNS、Internet控制报文协议ICMP、网络时间协议NT

2、P。7.1.1 Internet提供的服务1.邮件服务邮件服务通常用来为内部员工提供收发信件。这种服务至少需要建立一个服务器以接收进来的邮件。如果要求高可用性，则至少需要两个邮件服务器。发出去的邮件可使用相同的服务器。有的组织允许桌面系统直接将邮件发送到目的系统，但一般不推荐这种使用方式。一个组织也可选择建立公共邮件网关，用作电子邮件讨论组。它允许外部人员将邮件首先发到该系统，系统按照预先确定的用户列表转送邮件。邮件网关也可使用相同的邮件服务器，但要考虑这种应用往往需要大的通信量，而且会影响Internet连接的整个网络结构。2.Web服务Web服务用来为员工、合作伙伴发布信息。这种服务需要建

3、立一个Web服务器，以及生成需要发布的信息内容。Web服务器可设置在内部，也可设置在其他地方。Web服务器能提供简单的、静态内容，也可连到诸如电子商务系统以提供动态信息。对Web站点的访问，一部分可以是完全公开的，而另一部分需要某些身份鉴别机制。3.内部访问Internet内部员工如何访问Internet是由该组织制定的Internet使用策略确定的，如第3章所述。某些组织允许员工访问Internet使用任何服务，包括即时报文、聊天、视频或音频流。而有些组织只允许某些员工使用浏览器访问限定的Web站点。这些选择将影响所期望的通信量以及员工获得的Internet访问。表7-1列出了通常允许员工获

4、得的Internet服务。表7-1 允许员工获得的Internet服务服 务说 明HTTP（端口80）和HTTPS（端口443）允许员工访问WebFTP(端口21和22)允许员工传送文件Telnet(端口23)和SSH（端口22）允许员工在远程系统上生成交互式会话POP-3（端口110）和IMAP（端口143）允许员工访问远程邮件账户NNTP（端口119）允许员工访问远程网络新闻服务器更大的影响发生在外部组织需访问内部系统。即使对那些可信的合作伙伴的访问，也必须提出解决方案来管理风险。外部访问的方法除上面提到的员工从外部访问的3种方法外，还有在Internet上的直接的、无加密的访问，如用Te

5、lnet。选择哪一种方法取决于连接的目的。一般来说，不推荐使用在Internet上无加密的访问方法。然而某些情况需要这种方法的访问。这时，外部访问并不直接进入内部系统，而是进入某些受控的网络，在后面讲到非军事区时会进一步阐明。对于控制的服务，要根据组织的策略来决定是否提供。下面作简单的叙述。1.域名服务域名服务（DNS）用来解决系统名字和IP地址的转换。没有这个功能，内部用户就无法解决Web站点的地址，因此Internet也就无法使用。通常内部系统查询一个内部DNS来解决所有的地址。内部DNS能查询在ISP的DNS来解决外部地址，而内部系统的其他部分并不去查询外部DNS系统。还必须为那些要访问

6、某Web站点的外部用户提供DNS。为此该组织需管理该DNS，或ISP管理它。选择使用的方式会影响Internet体系结构。假如选择自己来管理DNS，那么该系统应和内部DNS分开。内部系统不应包含在外部DNS中。2.Internet控制报文协议Internet控制报文协议（ICMP）提供诸如ping这样的服务，用来发现一个系统是否在工作。ICMP还提供如下信息：网络和主机不可达；分组时间过期。这些信息可帮助网络更有效地工作。也可以关闭此功能，但会影响网络的功能。Internet体系结构应设计成提供需要的服务，而不应提供不需要的服务，特别是会产生很大风险的服务更不应提供，如表7-2所示。(见书中表

7、7-2 会产生很大风险的服务)7.1.2 Internet不应提供的服务为了组织的Internet连接，开发通信结构时，最主要的问题是吞吐率需求和可用性。ISP应提供合适的通信线以满足所需的吞吐率。连接的可用性需求应由该组织来设置。例如，Internet连接仅用于员工的非经营的关键功能，那么可用性要求就低，即使连接中断，也不会有太大影响。反之，假如计划建立电子商务站点以及大部分经营业务都移到Internet上，那么可用性就成为该组织成功的关键。这种情况，Internet连接的设计应包括故障在线恢复以及恢复的能力。Internet接入的方案有单线接入、多线接入至单个ISP、多线接入至多个ISP等

8、。7.1.3 通信结构图7.1 标准的单线接入结构从图7.1中可看出，在若干个点上由于设备故障会引起断链，例如，路由器的故障、CSU的故障、本地环路的切断、电话公司中央办公室的故障以及ISP的入网点POP故障。上面这些故障发生的机率是不同的，例如，路由器的故障概率大于电话公司的CO故障概率，电缆线被切断的概率也较大。上面列出的故障尚未包括ISP本身的故障。由此可见，这种单线接入结构只适用于非关键业务的Internet连接。2.多线接入单个ISP为了克服单线接入的单点失效问题，可使用多线接入ISP。这种利用冗余线路的接入又可分为单个入网点POP接入和多个入网点POP接入。一个ISP通过设置冗余线

9、路到同一个入网点POP，以提供在线故障恢复接入，如图7.2所示。冗余线路可包括一个冗余路由器和CSU，或只用一个路由器。当主线路发生故障，第2条线路就接管。这个方案主要是解决线路的冗余问题，其他设备故障仍会引起断链。为了进一步提高可用性和可靠性，可采用多线接入多个ISP的POP，如图7.3所示。图7.2 冗余线路接入单个POP图7.3 多线接入多个ISP的POP为了使这种结构能适合工作，ISP需要运行边界网关协议BGP，BGP可用于这类双连接的路由器的路由协议，并且需要设置合适的路由策略。这种配置仍有两处单点失效，即本地环和CO。为了克服这个缺点，可配置两个本地环。这时网络结构需修改成如图7.

10、4所示。但这种方案仍不能解决ISP本身的故障引起的断链问题。3.多线接入多个ISP为了进一步提高可用性，可选择多线接入多个ISP的方案。当使用这种方案时，如网络结构的配置正确，则可大大降低丢失服务的风险，如图7.5所示。图7.5 使用多个ISP的Internet结构图7.6 使用无线的ISP（2） 编址方案使用多个ISP需要解决的另一个问题是编址方案。当工作在单个ISP的情况，ISP为该组织分配一个地址空间。ISP配置路由，为该组织指定通向组织的系统的通信。ISP还广播这些地址的路由到其他ISP，因此从Internet来的通信可到达该组织的系统。当引入多个ISP后，必须决定使用何种编址。在这种

11、情况下，从一个ISP来的路由正常工作，而另一个ISP必须同意广播路由到属于第一个ISP的地址空间。这个配置需要熟悉BGP的工作，以得到合适的通信路由。另一种选择是从两个ISP分别得到使用的地址空间。这种选择不能真正解决可用性问题，应尽量避免使用这种方案。非军事区（DMZ）是一个非真正可信的网络部分，它提供一个同内部网分开的区域，可供组织的员工通过Internet访问它，也可供商业伙伴和其他的实体访问。7.1.4 非军事区1.DMZ的定义DMZ是一个非保护的网络区域，通常用网络访问控制来划定，诸如用防火墙或过滤路由器。网络访问控制设定策略，以决定哪些通信允许进入DMZ，哪些通信不允许进入DMZ，

12、如图7.7所示。一般来说，任何能直接被外部用户接触的系统放置在DMZ中。图7.7 通用的DMZ策略规则能被外部系统或用户直接访问的系统也是最先受到攻击和可能被破坏的系统。这些系统不可能是安全可信的，因为在任何时间都有可能被破坏。因此必须限制访问在内部网上真正敏感的系统。DMZ的一般访问规则是允许外部用户访问DMZ系统上合适的服务，限制访问内部系统的服务。内部系统应初始化DMZ系统的连接，使内部系统能访问DMZ或Internet策略允许访问DMZ，但不允许外部用户访问内部系统。2.在DMZ中放置的系统（1） 邮件系统图7.8显示了可以在DMZ中提供的各种服务。图中有外部邮件服务器和内部邮件服务器

13、两种。外部邮件服务器用来接收进入的邮件，也用来发送输出的邮件。新来的邮件首先由外部邮件服务器接收然后送到内部邮件服务器。内部邮件服务器将要发送的邮件传至外部邮件服务器。有些防火墙提供一个邮件服务器。如果使用防火墙的邮件服务器，其功能相当于外部邮件服务器。这种情况下，外部邮件服务器是冗余的，可以不用。图7.8 DMZ和内部网络间的系统布局（2） Web服务器提供公共访问的Web服务器放在DMZ中，其中还放置了一个应用服务器。很多Web站点提供基于用户输入的活动内容，处理用户的输入，从数据库中调用信息，数据库包含有敏感信息，因此这不是一个好的选择。Web服务器本身可和数据库服务器通信，而Web服务

14、器又接受来自外面的访问，这样就不是完全的可信。最好的方法是引入第三个系统来管理和数据库通信的应用。Web服务器接收用户的输入，并将它提供给应用服务器处理。应用服务器调用数据库，请求合适的信息，将该信息提供到Web服务器，并传递给用户。虽然看起来比较复杂，然而这种网络结构对数据库提供了保护，并解脱了来自Web服务器的请求处理。（3） 外部可访问的系统所有外部可访问的系统应放置在DMZ中。应该记住，假如一个系统可通过诸如Telnet或SSH等交互会话来访问，则用户就有能力对DMZ上的其他系统执行攻击。最好为这些系统生成第二个DMZ，以保护其他DMZ上的系统免受攻击。（4） 控制系统外部DNS系统应

15、放在DMZ中。假如该组织计划有自己的DNS，则DNS服务器对外部的查询必须是可访问的。DNS也是该组织的基础设施的关键部分。因此，必须选择冗余的DNS系统，或者让ISP作为可替换的DNS。假如选择后面这种方法，则ISP的DNS需要同DNS域转换，而其他系统都无需这种转换。如果选择使用网络时间协议NTP，则原始的本地NTP服务器应放在DMZ中。内部系统将查询原始本地NTP服务器以更新时间。变更的方法是将防火墙当作原始本地NTP服务器。3.合适的DMZ结构DMZ结构有多种，各有优缺点，可根据组织的具体情况选用。其中3种通用的结构是：路由器和防火墙、单个防火墙、双防火墙。（1） 路由器和防火墙图7.

16、9显示一个简单路由器和防火墙结构。路由器接入ISP和组织的外部网络。防火墙控制内部网络的访问。图7.9 路由器和防火墙结构DMZ如同外部网络和系统一样，可接受来自Internet的访问。因为这些系统是放在外部网中，它们对来自Internet的外部攻击完全开放。为了降低破坏的风险，可在路由器上放置过滤器，只允许由DMZ系统提供的那些服务的通信进入DMZ。另一个降低系统风险的方法是将系统锁定，使每个系统运行的服务只限于DMZ上提供的服务。这意味着Web服务器只运行Web服务，而Telnet、FTP以及其他服务都关掉。对这些运行的系统也要处理好补丁并需小心看管。在多数情况下，路由器属于ISP，并由I

17、SP管理。这时，要改变过滤器或要正确地设置就会出现问题。如果路由器属于本组织并管理它，那就没有问题。然而要注意，路由器是使用命令行配置控制，且必须适当地设置过滤器，并且以正确的次序工作。（2） 单个防火墙用一个防火墙就可生成一个DMZ。当使用单个防火墙时，DMZ和外部网络是不同的，如图7.10所示。外部网络由ISP路由器和防火墙构成，防火墙单独控制对DMZ的访问。图7.10 单个防火墙DMZ结构使用单个防火墙，所有通信都只能通过防火墙。防火墙应配置成只允许每个DMZ系统上的合适的服务通信。防火墙还用于决定什么样的通信可进入系统，拒绝什么样的通信进入系统。防火墙成为单点失效和潜在的通信瓶颈。如果

18、整个结构的可用性是关键的安全问题，防火墙应配置成在线故障恢复。如果DMZ期望得到大量的通信，防火墙必须能处理这些通信以及从内部至Internet的通信。路由器并不需要滤波器，当然加上滤波功能会使防火墙更有效。DMZ上的系统由防火墙来保护，从而降低了其他的安全需求。（3） 双防火墙第三种结构采用双防火墙，如图7.11所示。用两个防火墙将DMZ从外部网络和内部网络分离开。外部网仍然由ISP路由器和第一个防火墙来定义。DMZ存在于第一个防火墙和第二个防火墙之间。防火墙1配置成允许所有的DMZ通信和所有内部通信。防火墙2的配置要严格限制，只允许流出到Internet的通信。图7.11 双防火墙DMZ结

19、构如果DMZ系统期望大的通信量，双防火墙结构需要防火墙1处理主要的通信负载。而防火墙2只需较小的通信容量，因为它只处理内部通信。两个防火墙可以选择不同的类型。这个配置可增加总体的安全，因为单个攻击不能同时破坏两个防火墙。如同单防火墙结构，DMZ系统由防火墙来保护，以防来自Internet的攻击。有关防火墙的细节将在第8章中讲述。网络系统的编址虽然是属于网络管理问题，但是，任何组织在计划安装防火墙时，都必须处理编址问题。如果不对编址进行精心考虑和恰当地配置，会引起很多麻烦。问题的根源是IP地址空间的短缺，目前使用的32位IP地址正被使用耗尽。因此，ISP不愿意给客户分配大块的IP地址。大部分IS

20、P只给客户分配16个或32个地址，如将广播地址计入，客户实际得到的是14个或30个地址。30个IP地址即使对一个小的组织也是不够用的，更不用说大、中组织了。解决这个问题的方法称为网络地址转换（NAT）。7.1.5 网络地址转换1.什么是NATNAT是将一个或多个地址转换成另一组地址。当客户组建网络时，使用ISP为系统提供的30个或一定数量的地址，这些地址对Internet是可见的；而内部系统使用的地址对Internet是不可见的，但由NAT转换后和Internet通信。大多数网络由防火墙完成此转换任务，如果需要也可由路由器来完成。应用层防火墙是把NAT作为其功能的一部分。因为所有的连接最终都接

21、到防火墙，只有防火墙的地址对外是可见的。分组过滤防火墙也都有该功能，但在设置防火墙时，必须配置好。NAT还能提供安全功能，因为它将内部系统的地址隐藏起来，对Internet是不可见的。由于系统是不可见的，就无法寻址和攻击。当然，NAT也不能提供完全的保护，免受攻击。如果攻击者在组织内部，或者通过VPN、拨号连接，受攻击的可能性仍然存在。2.专用类地址专用类地址是当使用NAT时，确定内部网络的地址。RFC1918规定了专用类地址。已定义的专用类地址如下：55(/8位掩码)55(/12位掩码)55(/16位掩码)使用这些地址为一个组织设计内部编址方案时提供了很大灵活性。可以任意使用上面一种或组合的

22、地址，没有任何限制。这些地址对Internet是不可路由的。如果ping这类地址，将得到一个网络不可达的报文返回。3.静态NAT静态NAT是从组织的外部网络映射一个单个实际地址到DMZ上的一个系统，如图7.12所示，NAT将服务器的外部真实地址转换到服务器的内部地址。静态NAT是一对一的配置。静态NAT适用于DMZ上的服务器，但不适用于桌面客户系统。图7.12 静态网络地址转换4.动态NAT动态NAT不同于静态NAT，它将很多内部地址映射到单个真实地址，如图7.13所示，而不是一对一的映射。典型的情况，所用的真实地址是防火墙的外部地址。防火墙跟踪此连接，每个连接使用一个端口。最多可有64 00

23、0个同时的动态NAT连接。当使用动态主机配置协议DHCP时，动态NAT对桌面客户特别有用。因为在系统启动时，使用DHCP的系统并不保证相同的IP地址，因此静态NAT将不工作。使用动态NAT的系统从外部是无法寻址的，因为只有防火墙保持系统端口的映射，并且这个映射将有规则地改变。图7.13 动态网络地址转换1.合作伙伴网络的使用合作伙伴网络用于在组织之间交换文件和数据。这种交换根据组织的需要而定，但这并不意味着一个组织需要无限制地访问另一个组织的网络。如果使用风险管理计划对合作伙伴的网络进行评估，就会发现两个组织联网后的风险。因为两个网络连接后，一个组织的员工就可访问另一个组织的网络。在第2章风险

24、分析中曾讨论过客户和供应商也是两类威胁的代理，因此必须引入一些控制以管理风险。7.1.6 合作伙伴网络2.合作伙伴网络的设置合作伙伴网络的安全需求和Internet连接的安全需求类同，因此可使用相同的网络结构和方法。提供合作伙伴网络服务的系统放在DMZ中。它和使用Internet连接的DMZ不是同一个，虽然它也可能接在Internet防火墙上，如图7.14所示，防火墙加了两个接口，一个接到合作伙伴网络的DMZ，另一个接到合作伙伴网络。图7.14 使用Internet防火墙的合作伙伴DMZ附加的规则必须加到防火墙上，以允许合作伙伴组织的系统和内部系统访问合作伙伴的DMZ系统。然而没有规则允许合作

25、伙伴组织的系统接到内部网、Internet DMZ或Internet。对这些连接，防火墙都应予以拒绝。表7-3是带有合作伙伴网络访问的Internet防火墙规则。从表7-3中可看出，表的顶部是拒绝来自或到合作伙伴网络的访问。因为大多数防火墙首先工作在最前面的规则，专门的拒绝访问规则要优先于诸如59的接受规则。表7-3 带有合作伙伴网访问的Internet防火墙规则序号源IP目的IP服务行动1合作网合作DMZ合作伙伴接受2合作网任何任何拒绝3合作DMZ合作网合作伙伴接受4任何合作网任何拒绝5任何Web服务器HTTP接受6任何邮件服务器SMTP接受7邮件服务器任何SMTP接受8内部网任何HTTP，

26、HTTPSFTP，Telnet,SSH接受9内部DNS任何DNS接受只有在各个结点间安装或租用了专门的通信设施，才能对网络进行第二层保护。对网络的第二层保护一般可以达到点对点间较强的身份认证、保密性和连续的通道认证，在大多数情况下，也可保证数据流的安全。有些安全服务可以提供数据的完整性或至少具有防止欺骗的能力。7.2 网络安全层次模型 7.2.1 第二层保护的网络链路层安全第二层保护不能提供真正的终端用户认证，也不能在合理成本下为被保护网络内的用户提供用户间的保密性，如果没有其他附加的安全机制，所有交换和路由设备都是不安全的，包括无法限制设备的信息流。如果要求有防火墙之类的功能，它将在链路层加

27、密机制之前加入。由于存在上述局限性，第二层保护可能并不十分有效，但有些保护机制在高层并不容易实现。第一种是通信流安全机制。如果用户关心对迫近的行为指示和报警，就必须采用这种安全机制。第二种是高层不拥有的安全机制，如在限制隐通道数目方面的安全机制。隐通道的存在会像幽灵似的对我们的系统构成威胁，数据包中任何字节的改变或传输参数的任何变化都是潜在的隐通道。第二层保护可以对诸如传输信息长度、时间以及地址的隐通道进行有效去除。其他隐通道起源于对未完全定义的传输杂项位进行利用并对其进行访问控制的能力。另外，链路层系统设计较为简单，与其他层相比更容易达到预期目标。用户知道现在各种通信技术的限制，所以链路层解

28、决方案将成为最易被接受的解决方案。表7-4对第二层保护网络的优缺点进行了总结。表7-4 第二层保护网络的特征优 点缺 点能达到的速率最高最高的通信成本对流分析能提供最高的保护性对网络级联（cascading）没有保护对隐通道能提供最高的保护性对内部攻击人员无保护基于网络攻击的途径最少只能对点和点间进行身份认证连续的点对点身份认证新节点加入时要求电信公司重新配置网络1.光纤同步网SONET(同步数字系列SDH)它的基本服务单位是同步传输多路复用，目前支持155Mbps、622Mbps和2048Mbps的传输速率。SONET密钥产生器对数据有效载荷加密，提供了较强的保密性以及完全的通信保密性，数据

29、完整性由更高层来提供。SONET杂项位在通过系统时或者不发生变化，或者只有少数杂项位字节通过未定义并且网络控制通道被清空的系统。目前还没有商业化的SONET加密设备，但已有企业对提供基于这种设备的服务表现出一定的兴趣。2.子SONET速率服务已被广泛使用的数据干线是DS-1（1.544Mbps）及DS-3(45Mbps)。这种服务将64Kbps的音频信道并入更高的干线，最后并入能传输非音频数据的SONET。干线服务由一系列政府开发的加密设备来保护，这些加密设备是基于这些服务的VPN基础。商业化的加密设备在市场上不很成功，但商业化的链路层加密机已成熟，可以评估一下它在第二层保护的VPN上的可能的

30、应用。与上面所描述的SONET设备一样，这种链路加密设备提供较强的保密性、连接的认证通道和通信流保护，还可以提供基于加密机制的错误扩展属性的完整性保护。3.窄带综合业务数字网N-ISDNN-ISDN是数字化的数据传输系统，有基本速率和基群速率两种业务。前者包括两个数据信道和一个信令通道，带宽为144kHz；后者包括23个数据信道和一个信令通道，带宽为1.544MHz。现有的N-ISDN安全服务取决于安全是如何引入的。可以对数据通道完全加密，这种实施的安全特性类似于上面所讨论的链路加密设备。N-ISDN以较低的带宽连接了终端系统，在固定和移动用户间以中等的速率进行暂时连接。当具有较强的用户认证机

31、制以及为远程系统上的保密信息采取了保护流程时，直接拨号的安全N-ISDN对安全飞地（enclave）的拨号访问起到了合理的保护作用。所谓飞地是指在单一统辖权控制之下的物理环境，具有人事和物理安全措施。4.数据传输模拟电话业务这是用一个数字调制解调器通过模拟线路传输信息。新的调制解调器技术具有和NISDN几乎相同的数据通信容量，却不需要NISDN那样的通信成本。为了其安全数据连接，已开发了商业化的原型加密调制解调器，在较强的用户认证前提下，提供了一种合理的对VPN暂时连接的方法。安全调制解调器还提供一种内在的边界保护，即在任何网络连接初始化前，远程用户调制解调器的身份已由强认证机制所建立，防止来

32、自未授权的调制解调器的主动攻击。在每个调制解调器内加密功能的调用将提供一种高级别的保障。然而，某些其他特性的实现，如明文旁路功能，都会使保障度降低，例如要与一个不安全的调制解调器互操作，安全调制解调器必须要有加密引擎的旁路手段。必须仔细运用任何安全调制解调器中的明文旁路功能，以保证不出现意外或恶意密码旁路。5.数据链路机制数据链路层协议，如点到点协议PPP和串行线Internet协议SLIP，封装网络层包并经由调制解调器传输。可以将安全服务应用于这些协议中，以认证和保护远程用户与本飞地的通信服务器之间的连接。与VPN的大带宽数据链路不同，其链路是专用的，所以使对单个用户认证变得可能。当然，这要

33、假定远程机器专用于某个用户（只能是一个用户），因为数据链路层的认证依赖于低级的物理地址，而高层的认证则可以区分不同的用户，例如通过用户ID。数据链路层机制允许用户方便地选择自己的调制解调器硬件并对其升级或改变，只要调制解调器可以与飞地的边界通信硬件实现互操作。一个执行数据链路机制的服务器可用密码认证的结果作为访问飞地的基础。数据链路安全机制很可能应用于工作站软件中，在耗能和内存方面，它比专用的安全硬件更有优越性。这使得其应用功能更实用，如连续认证和证书路径验证。当然，它也必须依靠工作站的完整性，否则更易出错及遭到破坏。1.IP数据网络的安全IP网络如今在商业和政府的环境中经常应用。应用在广域基

34、础设施中的IP设备必须有安全功能，以促进环境的强健性和安全性。IP是一种面向协议的无连接的包，有别于WAN中使用的其他技术，因此需要施加安全特性。IP包是共享的，也就是说，寻址于特定位置的信息对大量网络组件来说是可读的，用户之间的数据有可能在网络中通过很多的结点和跳跃进行传输。7.2.2 第三层保护的网络网络层安全从安全方面来讲，网络组件对下一个邻近结点并不了解。诸如认证、访问控制等的安全服务，必须在每个包的基础上执行，因为每个数据包可能来自整个网络中的任意地方。另外，由于IP包的长度不同，可能要考虑每个数据包以获得与安全相关的信息。（1） IP处理在广域IP网络中，骨干网的控制和管理必须正确

35、运行。通过对通信传输的控制，攻击者有可能修改网络的操作以达到他们攻击的目的。由于IP是一项动态环境，数据包有可能被路由器发往错误的地方，服务可能被局部或全部拒绝。（2） 域名服务器IP网络把高级域名转化为IP地址，这种服务依赖本地或区域域名服务器（DNS）上的信息的正确性。如果没有域名和IP地址之间的准确转换，IP数据包是无法通过网络准确路由的，要么连接无法建立，要么连接的对象并不是我们期望的对象。DNS查询包含必须被转换的地址信息以及对先前转换请求的应答信息。DNS处理的完整性对于建立正确的连接是相当重要的。DNS上的信息和查询都不允许未经授权的用户修改。DNS设计的基本思想是域名服务器上的

36、信息都是公用的，且供所有的查询者使用，因而不应该在域名服务器上实现访问控制。对于用户来说，权限认证和完整性的重要性在于让他们知道他们使用的是有权限的DNS以及他们做检索的域名信息是正确的。（3） Internet控制报文协议（ICMP） 为了报告错误或无法预料的情况，以及支持网络的运行，ICMP被包括到所有的IP实现之中。ICMP引入了几个问题。ICMP报文可以被网络中的任意结点看到，是否对它看到的ICMP报文采取动作是每一个结点的本地策略。另外，ICMP是IP层的协议，而并非TCP和UDP层的协议。ICMP报文直接在操作系统的核心终止并不经过协议栈。由于ICMP报文必须被网络中的每个结点识别

37、，所以它不能加密。ICMP报文只有在从被认证的结点接收到的时候才可执行，另外，它还必须回传一个完整性检验的确认信号以确认报文成功地被目的端收到。然而，这其中并未采取什么安全措施，也没有什么旨在解决非授权ICMP报文的解决方案在开发之中。我们建议的本地环境解决方案是设定一个对ICMP报文的过滤器，它只允许接受那些对操作关键的ICMP报文，但是这种方式并不能消除风险，只是减弱了风险。在广域网中，这种措施不可行，为了满足客户的需求，这时对ICMP报文过滤是不可以的。（4） 路由信息动态路由机制确保了信息包在网络中的高效传输，这是任何IP网络的重要特色。路由信息和路由表的正确性是相当关键的。它能确保连

38、接的路由不被拒绝，并有效使用网络资源。对网络的可用性来说，确保路由表免受攻击是相当关键的。路由器间的更新信息必须使用完整性机制，这将确保路由更新信息在网络上传送时不会被修改。路由器的内部也需要完整性机制。因此，路由表必须防止非授权用户的非法修改，以确保路由表信息的准确性。另外，还需要认证机制，以确保非授权源不会将路由更新信息插入网络。（5） Boot协议/动态主机控制协议引导协议（BOOTP）应用在网络设备启动和需要检测IP地址及硬件地址的时候。如果引导协议包向引导协议服务器的路由被拦截的话，攻击者就可以向攻击目标发送他们的回应，这就会使网络设备下载不正确的内存页面，而它们可能含有错误的配置信

39、息。动态主机控制协议（DHCP）扩展了有关功能，允许动态IP寻址。其他必不可少的网络组件的地址，比如DNS服务器和时间服务器的地址，包含在DHCP请求的回应之中。保护BOOTP和DHCP报文的安全服务是权限认证机制和完整性。完整性确保BOOTP和DHCP报文的回应在网络传输过程中不被修改。对于BOOTP/DHCP服务器来说，向网络设备认证其自身也是很重要的，这可以确保攻击者没有伪装成BOOTP/DHCP服务器。BOOTP/DHCP响应中收到的配置信息必须来自授权服务器。（6） 网络管理也许对于广域网可用性来讲最重要的就是网络管理了。IP设备必须设定正确，还必须抵制损害网络资源的恶意或无意行为。

40、有很多物理上不同的方法可以管理IP设备。 带内： 网络管理人员利用与普通用户相同的通信信道访问网络设备，使用的协议可能是SNMP、TELNET或HTTP，后者用于基于Web的管理。 以太网端口： 网络管理人员利用以太网连接网络设备，它与普通用户使用的网络隔离。这就需要另外的网络设备来支持管理通信流。这里使用的协议可以是TELNET和HTTP，后者用于基于Web的管理。 本地端口： 网络管理人员利用本地端口来连接网络设备，如RS-232端口。这种方法一般要求网络管理人员临近网络设备。常用的协议是TELNET和HTTP。 调制解调器端口： 网络管理人员利用调制解调器远程登录网络，通信经常发生在公众

41、交换网（PSTN）上，操作员从远程拨号。常用协议有TELNET和HTTP。在网络管理中的安全服务很多。网络管理的第一道防线是认证机制。网络管理人员必须首先向网络设备认证他们自己。紧接着便是访问控制。一旦管理员的身份被认证，他的权利也随之确定。每台设备都可能有好几个管理员角色，每个角色有自己特有的一套权限，这就保证了操作员做自己本职之内的工作，而不必拥有所有权利。将管理员与事件和事件发生时间相关联的审计日志是很重要的。审计日志提供了一种机制，用于判断安全事故是否发生过，谁负有责任，并建议未来防止类似事故发生的防御措施。最后，保证网络管理人员和设备之间通信的完整性也是相当重要的（保证在传输过程中不

42、被修改）。保证设备上的配置文件未被非授权人员修改也同样重要。对很多组织来讲，信息流的安全性在网络通信管理中也必须考虑。网络管理信息包括网络组件的地址或其他敏感信息。向网络管理信息提供保密性可为它们在网络传输中提供保护。2.跨越公共IP网络的第三层保护第三层网络支持信息的动态路由和交换。对终端用户而言，第三层保护与第二层保护相比在通信成本上占有一定的优势。第二层保护系统要求拥有一条新线路和一对保护设备以进行新的连接。而使用第三层保护系统，只需要访问控制机制进行新的连接。这样的系统易于遭受通信流分析、隐蔽通道问题以及基于网络的攻击。表7-5对第三层保护网络进行了总结。表7-5 第三层保护网络的特征

43、优点缺点有些系统可以进行流量计费，可以最大限度控制成本在有些配置下易于进行通信流分析无法保护网络级联在网络中加入新节点，具有最大的灵活性对内部攻击没有保护会有许多隐蔽通道可以进行连续的端对端身份认证在有些情况下有拒绝访问攻击3.防火墙防火墙是建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的。而外部网络（通常是Internet）被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全策略。防火墙作为解决一些机构对于网络边界安全的迫切需求起了相当好的作用。但它只能是网络安全措施的一个组成部分，而不能解决所有的网络安

44、全问题。第8章将详细讲述防火墙技术以及防火墙体系结构。4.IPSec在IP加密传输信道技术方面，IETF已经指定了一个IP安全性工作小组IPSec来制定IP安全协议（IP Security Protocol, IPSP）和对应的Internet密钥管理协议（Internet Key Management Protocol, IKMP）的标准。IPSP的主要目的是使需要安全服务的用户能够使用相应的加密安全体制。该体制应该与算法独立，可以自己选择和替换加密算法而不会对应用和上层协议产生任何影响。此外，该体制必须能支持多种安全政策，并且对其他不使用该体制的用户完全透明。按照这些要求，IPSec工作组

45、使用认证头部（AH）和安全内容封装（ESP）两种机制，前者提供认证和数据完整性，后者实现通信保密。1995年8月，Internet工程领导小组（IESG）批准了有关IPSP的RFC作为Internet标准系列的推荐标准。除RFC1828和RFC1829外，还有两个实验性的RFC文件，规定了在AH和ESP体制中，用安全散列算法（SHA）来代替MDS（RFC1852）和用三元DES代替DES（RFC1851）。现在一些防火墙产品已经实现了IP层的加密，使用了AH或ESP，支持IPSec，一些主要路由器厂商也称支持IPSec。IPSec技术能够在两个网络结点间建立透明的安全加密信道。第10章将详细讲

46、述IPSec的安全体系结构及协议。IP安全性的主要优点是它的透明性，也就是说，安全服务的提供不需要应用程序，也不需要其他通信层次和网络部件做任何改动。它的最主要缺点是IP层一般对属于不同进程的包不作区别。对所有去往同一地址的包，它将按照同样的加密密钥和访问控制策略来处理，这将使性能下降。针对面向主机密钥分配的这些问题，RFC1825推荐使用面向用户的密钥分配，其中，不同的连接会得到不同的加密密钥。但是，面向用户的密钥分配需要对相应的操作系统内核作比较大的改动。IP层非常适合提供基于主机的安全服务。相应的安全协议可以用来在Internet上建立安全的IP通道和虚拟专网。例如，利用它对IP包的加密

47、和解密功能，可以简捷地强化防火墙系统的防卫能力。由于TCP/IP协议本身非常简单，没有加密、身份认证等安全特性，因此要向上层应用提供安全通信的机制就必须在TCP之上建立一个安全通信层次。传输层网关在两个通信结点之间代为传递TCP连接并进行控制，这个层次一般称作传输层安全。最常见的传输层安全技术有SSL、SOCKS和安全RPC等。在Internet应用编程中，通常使用广义的进程间通信（IPC）机制来与不同层次的安全协议打交道。比较流行的两个IPC编程界面是BSD Sockets和传输层界面（TLI），在UNIX系统里可以找到。7.2.3 传输层保护的网络在Internet中提供安全服务的首要想法

48、便是在它的IPC界面加入安全支持，如BSD Sockets接口等，具体做法包括双向实体的认证、数据加密密钥的交换等。Netscape通信公司遵循了这个思路，制定了建立在可靠的传输服务（如TCP/IP所提供）基础上的安全套接层协议（SSL）。SSL版本3（SSL v3）于1995年12月制定。SSL分为两层，上面是SSL协商层，双方通过协商约定有关加密的算法，进行身份认证等；下面是SSL记录层，它把上层的数据经分段、压缩后加密，由传输层传送出去。SSL采用公钥方式进行身份认证，但是大量数据传输仍使用对称密钥方式。通过双方协商，SSL可以支持多种身份认证、加密和检验算法。两个层次对应以下两个协议：

49、（1） SSL记录层协议。它涉及应用程序提供的分段、压缩、数据认证和加密。SSL v3提供对数据认证用的MD5和SHA以及数据加密用的R4和DES等的支持，用来对数据进行认证和加密的密钥可以通过SSL的握手协议来协商。（2） SSL协商层协议。用来交换版本号、加密算法、（相互）身份认证并交换密钥。SSL v3提供对DeffieHellman密钥交换算法、基于RSA的密钥交换机制和另一种实现在Frotezza chip上的密钥交换机制的支持。SSL的结构如图7.15所示。图7.15 SSL结构图高层协议SSL协商层SSL记录层传输层低层协议使用SSL协议通信的双方通过协商层来约定协议版本、加密算

50、法，进行身份验证，生成共享密钥等。SSL协商层的工作过程如图7.16所示。SSL记录层接收上层的数据，将它们分段；然后用协商层约定的压缩方法进行压缩，压缩后的记录用约定的流加密或块加密方式进行加密，再由传输层发送出去。图7.16 SSL协议会话过程示意图 IP层安全机制的透明性优点对传输层来说是做不到的，这是传输层安全机制的主要缺点。原则上，任何TCP/IP应用，只要应用传输层安全协议，比如说SSL或PCT，就必定要进行若干修改以增加相应的功能，并使用（稍微）不同的IPC界面。同时，公钥体系存在的不方便性SSL也同样存在，例如用户很难记住自己的公钥和私钥，必须依靠某些物理设备如IC卡或者磁盘来

51、存储，这样对用户终端有一定要求。再有就是服务器方和客户方必须依赖CA来签发证书，双方都必须将CA的公钥存放在本地。为了保持Internet上的通用性，目前一般的SSL协议只要求服务器方向客户方出示证书以证明自己的身份，而不要求用户方同样出示证书，在建立起SSL信道后再加密传输用户的口令实现客户方的身份认证。同网络层安全机制相比，传输层安全机制的主要优点是它提供基于进程对进程（而不是主机对主机）的安全服务和加密传输信道，利用公钥体系进行身份认证，安全强度高，支持用户选择的加密算法。这一成就如果再加上应用级的安全服务，就可以提供更加安全可靠的安全性能了。IP层的安全协议能够为网络连接建立安全的通信

52、信道，传输层安全协议允许为进程之间的数据通道增加安全属性，但它们都无法根据所传送的不同内容的安全要求予以区别对待。如果确实想要区分具体文件的不同的安全性要求，就必须在应用层采用安全机制。本质上，这意味着真正的（或许再加上机密的）数据通道还是建立在主机（或进程）之间，但却不可能区分在同一通道上传输的具体文件的安全性要求。提供应用层的安全服务，实际上是最灵活的处理单个文件安全性的手段。只有应用层是惟一能够提供这种安全服务的层次。7.2.4 应用层安全性一般说来，在应用层提供安全服务有下面几种可能的做法。首先是对每个应用（及应用协议）分别进行修改和扩展，加入新的安全功能。一些重要的TCP/IP应用已

53、经这样做了。例如，在RFC14211424中，IETF规定了私用强化邮件（PEM）来为基于SMTP的电子邮件系统提供安全服务。PEM PKI是按层次组织的，由下述3个层次构成：顶层为Internet安全政策登记机构（IPRA）；次层为安全政策证书颁发机构（PCA）；底层为证书颁发机构（CA）。建立一个符合PEM规范的PKI需要很多非技术因素，因为它需要各方在一个共同点上达成信任。由于需要满足各方的要求，整个PKI建立过程拖得很长。作为一个中间步骤，MIT的Phil Zimmermann开发了一个软件包，叫做PGP（Pretty Good Privacy）。PGP符合PEM的绝大多数规范，但不必

54、要求PKI的存在。相反，它采用了分布式的信任模型，即由每个用户自己决定该信任哪些用户。因此，PGP不是去推广一个全局的PKI，而是让用户自己建立自己的信任网。S-HTTP是Web上使用的超文本传输协议（HTTP）的安全增强版本，由企业集成技术公司设计。S-HTTP提供了文件级的安全机制，因此每个文件都可以设置成保密/签字状态。用作加密及签名的算法可以由参与通信的收发双方协商。S-HTTP提供了对多种单向散列（Hash）函数的支持，如MD2、MD5及SHA；对多种私钥体制的支持，如DES、三元DES、RC2、RC4，以及CDMF；对数字签名体制的支持，如RSA和DSS。S-HTTP和SSL是从不

55、同角度提供Web的安全性。S-HTTP对单个文件作“保密/签字”之区分，而SSL则把参与通信的相应过程之间的数据通道按“保密”和“已鉴别”进行监管。除了电子邮件系统外，另一个重要的应用是电子商务，尤其是信用卡交易。为使Internet上的信用卡交易安全起见，MasterCard公司（与IBM、Netscape、GTE和Cybercash等公司一起）制定了安全电子付费协议（SEPP），Visa国际公司与微软公司（和其他一些公司一道）制定了安全交易技术（STT）协议。同时，MasterCard、Visa国际公司和微软公司已经同意联手推出Internet上的安全信用卡交易服务。他们发布了相应的安全电

56、子交易（SET）协议，其中规定了信用卡持有人用其信用卡通过Internet进行付费的方法。这套机制的后台有一个证书颁发的基础设施，提供对X.509证书的支持。SET标准在1997年5月发布了第一版，它提供数据保密、数据完整性、对于持卡人和商户的身份认证以及其他安全系统的互操作性。上面提到的所有这些加入安全功能的应用都会面临一个主要的问题，就是每个这样的应用都要单独进行相应的修改，甚至对于同一应用使用不同类型的加密算法都需要进行修改。直接修改应用程序或其协议可能带来应用协议和系统的不兼容性，对用户来说使用起来并不方便。因此，需要有一个通用的安全服务接口，对底层安全服务进行抽象和屏蔽。这就是提供应

57、用层安全的另一条思路，即通过中间件（middleware）层次实现所有安全服务的功能，通过定义统一的安全服务接口向应用层提供身份认证、访问控制、数据加密等安全服务。可以将中间件层次定位为在传输层与应用层之间的独立层次，与传输层无关。SSL也可以看成是一个独立的安全层次，但是它与TCP/IP紧密捆绑在一起，因此不把它看作中间件层次。由于应用程序要使用身份认证和密钥分发系统的API，这要求有统一的API，使得应用程序能不作修改就使用不同的身份认证和密钥分发系统提供的服务。能做到这一点，开发人员就不必再为增加很少的安全功能而对整个应用程序动大手术了。因此，认证系统设计领域内最主要的进展之一就是制定了

58、标准化的安全API，即通用安全服务API（GSS-API）。GSS-API可以支持各种不同的加密算法、认证协议以及其他安全服务，对于用户完全透明。目前各种安全服务都提供了GSS-API的接口，例如Kerberos v5就定义了自己的GSS-API接口。GSS-API（v1和v2）对于一个非安全专家的编程人员来说可能仍显得过于技术化了些，但德州Austin大学的研究者们开发了安全网络编程(SNP)，把界面做到了比GSS-API更高的层次，使同网络安全性有关的编程更加方便了。此外，基于代理服务的中间件方案能够对应用提供更加高层的界面，甚至不需修改现有应用就能够享受中间件提供的安全服务。目前网络应用

59、的模式正在从传统的客户机/服务器转向BWD（Browser Web Database,浏览器Web数据库）方式，以浏览器为通用客户端软件。由于BWD模式采用浏览器作为通用的客户方，原先的客户方软件工作很大部分变成了网页界面设计；各种数据库系统也提供了Web接口，可以在CGI/Java等网页创作工具中采用标准化的方式直接访问数据库，因此整个系统无论开发还是维护工作量都大大减轻，特别是能够提供对内部网络应用和Internet统一的访问界面，使用十分方便。因此采用BWD模式改造现有网络应用正在结合Internet/Intranet建设迅速推开。在原先的客户机/服务器模式中，需要设计和实现各种专用的客

60、户方软件以及客户方与服务器之间的安全措施，层次繁多复杂并且不具有通用性。转向BWD模式后，重点将放在浏览器到Web服务器之间以及Web服务器与数据库之间的安全上，因此应用层安全，特别是WWW的安全将成为至关重要的环节。随着WWW应用领域的扩大，安全和管理等问题日益受到重视。由于最初HTTP协议在设计时注重的是方便的交流，并没有考虑安全的问题，对于WWW的资源管理缺乏有效的安全保护；后来的HTTP1.0和 HTTP1.1协议本身也只提供了相当有限的认证机制，仍然没有全面的安全保证。加上WWW是建立在Internet的基础上，Internet的安全隐患也使得WWW的进一步应用受到限制。这些已经阻碍