第章互联网网络安全《物联网安全导论》

第7章互联网网络安全

学习任务网络安全概述

防火墙技术

入侵检测

Clicktoaddtitleinhere123本章主要涉及：4身份验证学习任务IPsec安全协议

虚拟专网（VPN）

黑客

567本章主要涉及：8互联网安全协议和机制

7.1网络安全概述网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。7.1网络安全概述7.1.1网络安全威胁分析1.物理安全网络的物理安全是整个网络系统安全的前提。在校园网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；7.1网络安全概述考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。7.1网络安全概述总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。7.1网络安全概述2.网络结构的安全网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上Internet/Intranet的其他的网络；影响所及，还可能涉及法律、金融等安全敏感领域。7.1网络安全概述因此，我们在设计时有必要将公开服务器（WEB、DNS、EMAIL等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。7.1网络安全概述3.系统的安全所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择，无论是Microsoft的Windows操作系统或者其它任何商用UNIX操作系统，其开发厂商必然有其后门（Back-Door）。因此，我们可以得出如下结论：没有完全安全的操作系统。

7.1网络安全概概述不同的用户户应从不同同的方面对对其网络作作详尽的分分析，选择择安全性尽尽可能高的的操作系统统。因此不不但要选用用尽可能可可靠的操作作系统和硬硬件平台，，并对操作作系统进行行安全配置置。而且，必须须加强登录录过程的认认证，确保保用户的合合法性；其其次应该严严格限制登登录者的操操作权限，，将其完成成的操作限限制在最小小的范围内内。7.1网络安全概概述4.应用系统的的安全（1）应用系统统的安全是是动态的、、不断变化化的。应用系统是是不断发展展且应用类类型是不断断增加的。。在应用系系统的安全全性上，主主要考虑尽尽可能建立立安全的系系统平台，，而且通过过专业的安安全工具不不断发现漏漏洞，修补补漏洞，提提高系统的的安全性。。7.1网络安全概概述（2）应用的安安全性涉及及到信息、、数据的安安全性。对用户使用用计算机必必须进行身身份认证，，对于重要要信息的通通讯必须授授权，传输输必须加密密。采用多多层次的访访问控制与与权限控制制手段，实实现对数据据的安全保保护；采用加密技技术，保证证网上传输输的信息（（包括管理理员口令与与账户、上上传信息等等）的机密密性与完整整性。7.1网络安全概概述5.管理的安全全风险管理是网络络中安全最最最重要的的部分。责责权不明，，安全管理理制度不健健全及缺乏乏可操作性性等都可能能引起管理理安全的风风险。最可行的做做法是制定定健全的管管理制度和和严格管理理相结合。。保障网络络的安全运运行，使其其成为一个个具有良好好的安全性性、可扩充充性和易管管理性的信信息网络便便成为了首首要任务。。7.1网络安全概概述7.1.2网络安全服服务的主要要内容1.安全技术手手段物理措施：：例如，保保护网络关关键设备，，制定严格格的网络安安全规章制制度，采取取防辐射、、防火以及及安装不间间断电源（（UPS）等措施。。访问控制：：对用户访访问网络资资源的权限限进行严格格的认证和和控制。例例如，进行行用户身份份认证，对对口令加密密、更新和和鉴别，设设置用户访访问目录和和文件的权权限，控制制网络设备备配置的权权限，等等等。7.1网络安全概概述数据加密：：加密是保护护数据安全的的重要手段段。加密的的作用是保保障信息被被人截获后后不能读懂懂其含义。。防止计算算机网络病病毒，安装装网络防病病毒系统。。其他措施：：其他措施包包括信息过过滤、容错错、数据镜镜像、数据据备份和审审计等。近近年来，围围绕网络安安全问题提提出了许多多解决办法法，例如数数据加密技技术和防火火墙技术等等。7.1网络安全概概述2。安全防范范意识拥有网络安安全意识是是保证网络络安全的重重要前提。。许多网络络安全事件件的发生都都和缺乏安安全防范意意识有关。。7.1网络安全概概述7.1.3Internet安全隐患的的主要体现现1．Internet是一个开放放的、无控控制机构的的网络，黑黑客（Hacker）经常会侵侵入网络中中的计算机机系统，或或窃取机密密数据和盗盗用特权，，或破坏重重要数据，，或使系统统功能得不不到充分发发挥直至瘫瘫痪。2．Internet的数据传输输是基于TCP/IP通信协议进进行的，这这些协议缺缺乏使传输输过程中的的信息不被被窃取的安安全措施。。7.1网络安全概概述3．Internet上的通信业业务多数使使用Unix操作系统来来支持，Unix操作系统中中明显存在在的安全脆脆弱性问题题会直接影影响安全服服务。4．在计算机机上存储、、传输和处处理的电子子信息，还还没有像传传统的邮件件通信那样样进行信封封保护和签签字盖章。。信息的来来源和去向向是否真实实，内容是是否被改动动，以及是是否泄露等等，在应用用层支持的的服务协议议中是凭着着君子协定定来维系的的。7.1网络安全概概述5．电电子子邮邮件件存存在在着着被被拆拆看看、、误误投投和和伪伪造造的的可可能能性性。。使使用用电电子子邮邮件件来来传传输输重重要要机机密密信信息息会会存存在在着着很很大大的的危危险险。。6．计计算算机机病病毒毒通通过过Internet的传传播播给给上上网网用用户户带带来来极极大大的的危危害害，，病病毒毒可可以以使使计计算算机机和和计计算算机机网网络络系系统统瘫瘫痪痪、、数数据据和和文文件件丢丢失失。。在在网网络络上上传传播播病病毒毒可可以以通通过过公公共共匿匿名名FTP文件件传传送送、、也也可可以以通通过过邮邮件件和和邮邮件件的的附附加加文文件件传传播播。。7.1网络络安安全全概概述述7.1.4网络络安安全全攻攻击击的的形形式式主要要有有四四种种方方式式:中断断、、截截获获、、修修改改和和伪伪造造。。如如图图所所示示。。网络络安安全全攻攻击击的的形形式式7.1网络络安安全全概概述述（1）中中断断中断断是是以以可可用用性性作作为为攻攻击击目目标标，，它它毁毁坏坏系系统统资资源源，，使使网网络络不不可可使使用用。。（2）截截获获截获获是是以以保保密密性性作作为为攻攻击击目目标标，，非非授授权权用用户户通通过过某某种种手手段段获获得得对对系系统统资资源源的的访访问问。。7.1网络络安安全全概概述述（3）修修改改修改改是是以以完完整整性性作作为为攻攻击击目目标标，，非非授授权权用用户户不不仅仅获获得得访访问问而而且且对对数数据据进进行行修修改改。。（4）伪伪造造伪造造是是以以完完整整性性作作为为攻攻击击目目标标，，非非授授权权用用户户将将伪伪造造的的数数据据插插入入到到正正常常传传输输的的数数据据中中。。7.1网络安全概述述7.1.5网络安全案例例随着计算机技技术的飞速发发展，信息网网络已经成为为社会发展的的重要保证。。有很多是敏感感信息，甚至至是国家机密密。所以难免免会吸引来自自世界各地的的各种人为攻攻击（例如信信息泄漏、信信息窃取、数数据篡改、数数据删改、计计算机病毒等等）。同时，网络实实体还要经受受诸如水灾、、火灾、地震震、电磁辐射射等方面的考考验。7.2防火墙技术古时候，人们们常在寓所之之间砌起一道道砖墙，一旦旦火灾发生，，它能够防止止火势蔓延到到别的寓所。。自然，这种种墙被命名为为“防火墙””。为安全起见，，可以在本网网络和Internet之间插入一个个中介系统，，阻断来自外外部通过网络络对本网络的的威胁和入侵侵，这种中介介系统叫做““防火墙”。。7.2.1防火墙的基本本概念防火墙是由软软件、硬件构构成的系统，，是一种特殊殊编程的路由器，用来在两个个网络之间实实施接入控制制策略。接入控制策略略是由使用防防火墙的单位位自行制订的的，为的是可可以最适合本本单位的需要要。Internet防火墙决定了了哪些内部服服务可以被外外界访问；外外界的哪些人人可以访问内内部的哪些服服务，以及哪哪些外部服务务可以被内部部人员访问。。7.2.1防火墙的基本本概念1、Internet防火墙与安全全策略的关系系防火墙不仅仅仅是路由器、、堡垒主机、、或任何网络络安全的设备备的组合，防防火墙是安全全策略的一个个部分。安全策略建立立全方位的防防御体系，包包括：公司规规定的网络访访问、服务访访问、本地和和远地的用户户认证、拨入入和拨出、磁磁盘和数据加加密、病毒防防护措施，以以及雇员培训训等。7.2.1防火墙的基本本概念(1)防火墙的功能能防火墙的功能能有两个：阻阻止和允许。。“阻止”就是是阻止某种类类型的通信量量通过防火墙墙（从外部网网络到内部网网络，或反过过来）。“允许”的功功能与“阻止止”恰好相反反。防火墙必须能能够识别通信信量的各种类类型。不过在在大多数情况况下防火墙的的主要功能是是“阻止”。。7.2.1防火墙的基本本概念(2)联网监控在防火墙上可可以很方便的的监视网络的的安全性，并并产生报警。。（注意：对对一个与Internet相联的内部网网络来说，重重要的问题并并不是网络是是否会受到攻攻击，而是何何时受到攻击击？谁在攻击击？）网络管理员必必须审计并记记录所有通过过防火墙的重重要信息。如如果网络管理理员不能及时时响应报警并并审查常规记记录，防火墙墙就形同虚设设。7.2.1防火墙的基本本概念(3)防火墙在互连连网络中的位位置防火墙内的网网络称为“可可信赖的网络络”(trustednetwork)，而将外部的的因特网称为为“不可信赖赖的网络”(untrustednetwork)。G内联网可信赖的网络不可信赖的网络分组过滤路由器

R分组过滤路由器

R应用网关外局域网内局域网防火墙因特网7.2.2防火墙的技术术类别1.包过滤防火墙墙采用这种技术术的防火墙产产品，通过在在网络中的适适当位置对数数据包进行过过滤。检查数据流中中每个数据包包的源地址、、目的地址、、所有的TCP端口号和TCP链路状态等要要素，然后依据一组组预定义的规规则，以允许许合乎逻辑的的数据包通过过防火墙进入入到内部网络络，而将不合合乎逻辑的数数据包加以删删除。7.2.2防火墙的技术术类别2.代理服务器防防火墙代理服务器运运行在两个网网络之间，它它对于客户来来说像是一台台真的服务器器一样，而对对于外界的服服务器来说，，它又是一台台客户机。当代理服务器器接收到用户户的请求后，，会检查用户户请求的站点点是否符合公公司的要求，，如果公司允允许用户访问问该站点的话话，代理服务务器会像一个个客户一样，，去那个站点点取回所需信信息再转发给给客户。7.2.2防火墙墙的技技术类类别3.状态监监视器器防火火墙这种防防火墙墙安全全特性性较好好，它它采用用了一一个在在网关关上执执行网网络安安全策策略的的软件件引擎擎，称称之为为检测测模块块。检测模模块在在不影影响网网络正正常工工作的的前提提下，，采用用抽取取相关关数据据的方方法对对网络络通信信的各各层实实施监监测，，抽取取部分分数据据，即即状态态信息息，并并动态态地保保存起起来作作为以以后指指定安安全策策略的的参考考。7.2.3防火墙墙的结结构在防火火墙与与网络络的配配置上上，有有三种种典型型结构构：双宿／／多宿宿主机机模式式、屏屏蔽主主机模模式和和屏蔽蔽子网网模式式。堡垒主主机(bastionhost)堡垒主主机是是一种种配置置了较较为全全面安安全防防范措措施的的网络络上的的计算算机，，从网网络安安全上上来看看，堡堡垒主主机是是最强强壮的的系统统。通通常情情况下下，堡堡垒主主机可可作为为代理理服务务器的的平台台。7.2.3防火墙墙的结结构1.双宿／／多宿宿主机机模式式双宿／／多宿宿主机机防火火墙(Dual-Homed／Multi-HomedFirewall)是一种种拥有有两个个或多多个连连接到到不同同网络络上的的网络络接口口的防防火墙墙，通常用用一台台装有有两块块或多多块网网卡的的堡垒垒主机机做防防火墙墙，网网卡各各自与与受保保护网网和外外部网网相连连。特点是是主机机的路路由功功能是是被禁禁止的的，两两个网网络之之间的的通信信通过过应用用层代代理服服务来来完成成。7.2.3防火墙墙的结结构双重宿宿主主主机的的防火火墙体体系结结构是是相当当简单单的：：双重重宿主主主机机位于于两者者之间间，并并且被被连接接到外外部网网和内内部网网。双重宿宿主主主机体体系结结构7.2.3防火墙墙的结结构2屏蔽主主机模模式屏蔽主主机防防火墙墙(ScreenedFirewall)由包过过滤路路由器器和堡堡垒主主机组组成。。在这种种方式式的防防火墙墙中，，堡垒垒主机机安装装在内内部网网络上上，通通常在在路由由器上上设立立过滤滤规则则，并并使这这个堡堡垒主主机成成为外外部网网络惟惟一可可直接接到达达的主主机，，这保保证了了内部部网络络不被被未经经授权权的外外部用用户的的攻击击。7.2.3防火墙墙的结结构单地址址堡垒垒主机机双地址址堡垒垒主机机7.2.3防火墙墙的结结构3屏蔽子子网模模式屏蔽子子网防防火墙墙(ScreenedSubnetModeFirewall)的配置置采用用了两两个包包过滤滤路由由器和和一个个堡垒垒主机机，在在内外外网络络之间间建立立了一一个被被隔离离的子子网，，定义义为““非军军事区区(demilitarizedzone)””网络。。网络管管理员员将堡堡垒主主机、、WEB服务器器、Email服务器器等公公用服服务器器放在在非军军事区区网络络中。。内部网网络和和外部部网络络均可可访问问屏蔽蔽子网网，但但禁止止它们们穿过过屏蔽蔽子网网通信信。7.2.3防火墙墙的结结构屏蔽子子网体体系结结构的的最简简单的的形式式为，，两个个屏蔽蔽路由由器，，每一一个都都连接接到周周边网网络。。一个个位于于周边边网络络与内内部的的网络络之间间，另另一个个位于于周边边网络络与外外部网网络之之间（（通常常为Internet）。屏蔽子网网体系结结构7.2.4防火墙产产品选购购策略和和使用防火墙的的部署某市政府府网络中中心防火火墙部署署案例某市政府府安全系系统技术术方案7.3入侵检测测入侵检测测（IntrusionDetection）是对入入侵行为为的检测测。它通过收收集和分分析网络络行为、、安全日日志、审审计数据据、其它它网络上上可以获获得的信信息以及及计算机机系统中中若干关关键点的的信息，，检查网网络或系系统中是是否存在在违反安安全策略略的行为为和被攻攻击的迹迹象。7.3入侵检测测入侵检测测作为一一种积极极主动地地安全防防护技术术，提供供了对内内部攻击击、外部部攻击和和误操作作的实时时保护，，在网络络系统受受到危害害之前拦拦截和响响应入侵侵。入侵检测测被认为为是防火火墙之后后的第二二道安全全闸门，，在不影影响网络络性能的的情况下下能对网网络进行行监测。。入侵检测测是防火火墙的合合理补充充，帮助助系统对对付网络络攻击，，7.3.1入侵检测测技术1．特征检检测特征检测测(Signature-baseddetection)假设入侵侵者活动动可以用用一种模模式来表表示，系系统的目目标是检检测主体体活动是是否符合合这些模模式。它可以将将已有的的入侵方方法检查查出来，，但对新新的入侵侵方法无无能为力力。其难点在在于如何何设计模模式既能能够表达达“入侵侵”现象象又不会会将正常常的活动动包含进进来。7.3.1入侵检测测技术2．异常检检测异常检测测(Anomalydetection)的假设是是入侵者者活动异异常于正正常主体体的活动动。根据这一一理念建建立主体体正常活活动的““活动简简档”，，将当前前主体的的活动状状况与““活动简简档”相相比较，，当违反反其统计计规律时时，认为为该活动动可能是是“入侵侵”行为为。7.3.2入侵防御御系统入侵检测测系统（（Intrusion-detectionsystem，下称““IDS””）是一种种对网络络传输进进行即时时监视，，在发现现可疑传传输时发发出警报报或者采采取主动动反应措措施的网网络安全全设备。。它与其他他网络安安全设备备的不同同之处便便在于，，IDS是一种积积极主动动的安全全防护技技术。7.3.2入侵防御御系统1.IDS入侵检测测系统是是一个监监听设备备我们做一一个形象象的比喻喻：假如如防火墙墙是一幢幢大楼的的门卫，，那么IDS就是这幢幢大楼里里的监视视系统。。一旦小小偷爬窗窗进入大大楼，或或内部人人员有越越界行为为，只有有实时监监视系统统才能发发现情况况并发出出警告。。不同于防防火墙，，IDS入侵检测测系统是是一个监监听设备备，没有有跨接在在任何链链路上，，无须网网络流量量流经它它便可以以工作。。7.3.2入侵防御御系统对IDS的部署，，唯一的的要求是是：IDS应当挂接接在所有有所关注注流量都都必须流流经的链链路上。。在这里，，"所关注流流量"指的是来来自高危危网络区区域的访访问流量量和需要要进行统统计、监监视的网网络报文文。7.3.2入侵防御御系统IDS在交换式式网络中中的位置置一般选选择在：：（1）尽可能能靠近攻攻击源（2）尽可能能靠近受受保护资资源这些位置置通常是是：服务器区区域的交交换机上上Internet接入路由由器之后后的第一一台交换换机上重点保护护网段的的局域网网交换机机上7.3.2入侵防御系系统IDS网络监听7.3.2入侵防御系系统2.系统组成一个入侵检检测系统分分为四个组组件：事件产生器器（Eventgenerators）；事件分析器器（Eventanalyzers）；响应单元（（Responseunits）；事件数据库库（Eventdatabases）。7.3.2入侵防御系系统事件产生器器的目的是从从整个计算算环境中获获得事件，，并向系统统的其他部部分提供此此事件。事件分析器器分析得到的的数据，并并产生分析析结果。响应单元则是对分析析结果作出出反应的功功能单元，，它可以作作出切断连连接、改变变文件属性性等强烈反反应，也可可以只是简简单的报警警。事件数据库库是存放各种种中间和最最终数据的的地方的统统称，它可可以是复杂杂的数据库库，也可以以是简单的的文本文件件。7.3.2入侵防御系系统3.系统分类IDS入侵检测系系统以信息息来源的不不同和检测测方法的差差异分为几几类。根据信息来来源可分为为基于主机机IDS和基于网络络的IDS。根据检测方方法又可分分为异常入入侵检测和和滥用入侵侵检测。7.3.3入侵检测系系统的工作作步骤1.信息收集入侵检测的的第一步是是信息收集集，内容包包括系统、、网络、数数据及用户户活动的状状态和行为为。(1)系统和网络络日志文件件(2)目录和文件件中的不期期望的改变变(3)程序执行中中的不期望望行为(4)物理形式的的入侵信息息7.3.3入侵检测系系统的工作作步骤2.信号分析对上述四类类收集到的的有关系统统、网络、、数据及用用户活动的的状态和行行为等信息息，一般通通过三种技技术手段进进行分析：：模式匹配配，统计分分析和完整整性分析。。其中前两种种方法用于于实时的入入侵检测，，而完整性性分析则用用于事后分分析。7.3.3入侵检测系系统的工作作步骤(1)模式匹配模式匹配就就是将收集集到的信息息与已知的的网络入侵侵和系统误误用模式数数据库进行行比较，从从而发现违违背安全策策略的行为为。如通过字符符串匹配寻寻找一个简简单的条目目，又如利利用正规的的数学表达达式来表示示安全状态态的变化））。一种进攻模模式可以用用一个过程程（如执行行一条指令令）或一个个输出（如如获得权限限）来表示示。7.3.3入侵检测系系统的工作作步骤(2)统计分析统计分析方方法首先给给系统对象象（如用户户、文件、、目录和设设备等）创创建一个统统计描述，，统计正常常使用时的的一些测量量属性（如如访问次数数、操作失失败次数和和延时等））。测量属性的的平均值将将被用来与与网络、系系统的行为为进行比较较，任何观观察值在正正常值范围围之外时，，就认为有有入侵发生生。7.3.3入侵检测系系统的工作作步骤(3)完整性分析析完整性分析析主要关注注某个文件件或对象是是否被更改改，这经常常包括文件件和目录的的内容及属属性，它在在发现被更更改的、被被病毒侵入入的应用程程序方面特特别有效。。完整性分析析利用强有有力的加密密机制，称称为消息摘摘要函数（（例如MD5--消息摘要算算法第五版版），它它能识别哪哪怕是微小小的变化。。7.3.4入侵检测系系统典型代代表入侵检测系系统的典型型代表是ISS公司（国际际互联网安安全系统公公司）的RealSecure。由于入侵检检测系统的的市场在近近几年中飞飞速发展，，许多公司司投入到这这一领域上上来。Venustech(启明星辰））、InternetSecuritySystem（ISS）、思科、、赛门铁克克等公司都都推出了自自己的产品品。7.4身份验证7.4.1身份验证的的基本概念念身份验证是是指通过一一定的手段段，完成对对用户身份份的确认。。身份验证的的目的是确确认当前所所声称为某某种身份的的用户，确确实是所声声称的用户户。在日常生活活中，身份份验证并不不罕见；比比如，通过过检查对方方的证件，，我们一般般可以确信信对方的身身份，但““身份验证证”一词更更多地被用用在计算机机、通信等等领域。7.4身份验证1.基于共享密密钥的身份份验证基于共享密密钥的身份份验证是指指服务器端端和用户共共同拥有一一个或一组组密码。当用户需要要进行身份份验证时，，用户通过过输入或通通过保管有有密码的设设备提交由由用户和服服务器共同同拥有的密密码。服务器在收收到用户提提交的密码码后，检查查用户所提提交的密码码是否与服服务器端保保存的密码码一致，如如果一致，，就判断用用户为合法法用户。如如果用户提提交的密码码与服务器器端所保存存的密码不不一致时，，则判定身身份验证失失败。7.4身份验证2.基于生物学学特征的身身份验证基于生物学学特征的身身份验证是是指基于每每个人身体体上独一无无二的特征征，如指纹纹、虹膜等等等。3.基于公开密密钥加密算算法的身份份验证基于公开密钥钥加密算法的的身份验证是是指通信中的的双方分别持持有公开密钥钥和私有密钥钥，由其中的的一方采用私私有密钥对特特定数据进行行加密，而对对方采用公开开密钥对数据据进行解密，，如果解密成成功，就认为为用户是合法法用户，否则则就认为是身身份验证失败败。7.4身份验证7.4.2访问控制和口口令1.访问控制按用户身份及及其所归属的的某预设的定定义组限制用用户对某些信信息项的访问问，或限制对对某些控制功功能的使用。。访问控制通常常用于系统管管理员控制用用户对服务器器、目录、文文件等网络资资源的访问。。7.4身份验证(1)访问控制的功功能主要有以以下：①防止非法法的主体进入入受保护的网网络资源。②允许合法用用户访问受保保护的网络资资源。③防止合法法的用户对受受保护的网络络资源进行非非授权的访问问。7.4身份验证(2)访问控制实现现的策略主要要有以下几种种：①入网访问控控制②②网络权权限限制③目录级安全全控制④④属属性安全控制制⑤网络服务务器安全控制制⑥网网络监测和锁锁定控制⑦网络端口口和节点的安安全控制⑧⑧防火火墙控制7.4身份验证2.访问控制的类类型访问控制可分分为自主访问问控制和强制制访问控制两两大类。自主访问控制制，是指由用用户有权对自自身所创建的的访问对象(文件、数据表表等)进行访问，并并可将对这些些对象的访问问权授予其他他用户和从授授予权限的用用户收回其访访问权限强制访问控制制，是指由系系统对用户所所创建的对象象进行统一的的强制性控制制，按照规定定的规则决定定哪些用户可可以对哪些对对象进行什么么样操作系统统类型的访问问7.4身份验证3.口令通过用户ID和口令进行认认证是操作系系统或应用程程序通常采用用的。如果非法用户户获得合法用用户身份的口口令，他就可可以自由访问问未授权的系系统资源，所所以需要防止止口令泄露。。易被猜中的口口令或缺省口口令也是一个个很严重的问问题，但一个个更严重的问问题是有的帐帐号根本没有有口令。实际际上，所有使使用弱口令，，缺省口令和和没有口令的的帐号都应从从系统中清除除。7.4身份验证对口令的攻击击包括以下几几种：（1）网络数据流流窃听(Sniffer)：攻击者通过窃窃听网络数据据，如果口令令使用明文传传输，则可被被非法截获。。大量的通讯协协议比如Telnet、Ftp、基本HTTP都使用明文口口令，而入侵侵者只需使用用协议分析器器就能查看到到这些信息，，从而进一步步分析出口令令。7.4身份验证（2）认证信息截截取/重放(Record/Replay)：有的系统会将将认证信息进进行简单加密密后进行传输输，如果攻击击者无法用第第一种方式推推算出密码，，可以使用截截取/重放方式，需需要的是重新新编写客户端端软件以使用用加密口令实实现系统登录录。截取/重放7.4身份验证（3）字典攻击：：根据调查结果果可知，大部部份的人为了了方便记忆选选用的密码都都与自己周遭遭的事物有关关，例如：身身份证字号、、生日、车牌牌号码、其他他有意义的单单词或数字，，某些攻击者者会使用字典典中的单词来来尝试用户的的密码。所以大多数系系统都建议用用户在口令中中加入特殊字字符，以增加加口令的安全全性。7.4身份验证（4）穷举攻击(BruteForce)：也称蛮力破解解。这是一种种特殊的字典典攻击，它使使用字符串的的全集作为字字典。如果用用户的密码较较短，很容易易被穷举出来来，因而很多多系统都建议议用户使用长长口令。（5）窥探：攻击者利用与与被攻击系统统接近的机会会，安装监视视器或亲自窥窥探合法用户户输入口令的的过程，以得得到口令。7.4身份验证（6）社交工程：：社会工程就是是指采用非隐隐蔽方法盗用用口令等，比比如冒充是处处长或局长骗骗取管理员信信任得到口令令等等。冒充充合法用户发发送邮件或打打电话给管理理人员，以骗骗取用户口令令等。（7）垃圾搜索：：攻击者通过搜搜索被攻击者者的废弃物，，得到与攻击击系统有关的的信息，如果果用户将口令令写在纸上又又随便丢弃，，则很容易成成为垃圾搜索索的攻击对象象。7.4身份验验证为防止止攻击击猜中中口令令。安安全口口令应应具有有以下下特点点：（1）位数数>6位。（2）大小小写字字母混混合。。如果果用一一个大大写字字母，，既不不要放放在开开头，，也不不要放放在结结尾。。（3）可以以把数数字无无序的的加在在字母母中。。（4）系统统用户户一定定用8位口令令，而而且包包括～～!@＃＄％％^＆＊<>?:"{}等特殊殊符号号。7.4身份验验证不安全全的口口令则则有如如下几几种情情况：：（1）使用用用户户名（（帐号号）作作为口口令。。（2）用用用户名名（帐帐号））的变变换形形式作作为口口令。。（3）使用用自己己或者者亲友友的生生日作作为口口令。。（4）使用用常用用的英英文单单词作作为口口令。。7.5IPsec安全协协议7.5.1IPsec安全协协议简简介IPsec（IPSecurity）是IETF制定的的三层层隧道道加密密协议议，它它为Internet上传输输的数数据提提供了了高质质量的的、可可互操操作的的、基基于密密码学学的安安全保保证。。特定的的通信信方之之间在在IP层通过过加密密与数数据源源认证证等方方式，，提供供了安安全服服务.7.5IPsec安全协协议1.IPsec协议特特点■数据据机密密性（（Confidentiality）：IPsec发送方方在通通过网网络传传输包包前对对包进进行加加密。。■数据据完整整性（（DataIntegrity）：IPsec接收方方对发发送方方发送送来的的包进进行认认证，，以确确保数数据在在传输输过程程中没没有被被篡改改。7.5IPsec安全协协议■数据据来源源认证证（DataAuthentication）：IPsec在接收收端可可以认认证发发送IPsec报文的的发送送端是是否合合法。。■防重重放（（Anti-Replay）：IPsec接收方方可检检测并并拒绝绝接收收过时时或重重复的的报文文。7.5IPsec安全协协议2.IPsec协议优优点■支持持IKE（InternetKeyExchange，因因特特网网密密钥钥交交换换）），，可可实实现现密密钥钥的的自自动动协协商商功功能能，，减减少少了了密密钥钥协协商商的的开开销销。。可可以以通通过过IKE建立立和和维维护护SA的服服务务，，简简化化了了IPsec的使使用用和和管管理理。。■所所有有使使用用IP协议议进进行行数数据据传传输输的的应应用用系系统统和和服服务务都都可可以以使使用用IPsec，而而不不必必做做任任何何修修改改。。■对对数数据据的的加加密密是是以以数数据据包包为为单单位位的的，，而而不不是是以以整整个个数数据据流流为为单单位位，，进进一一步步提提高高IP数据据包包的的安安全全性性，，可可以以有有效效防防范范网网络络攻攻击击。。7.5IPsec安全全协协议议7.5.2.IPsec的协协议议组组成成和和实实现现1.IPsec协议议组组成成IPsec协议议是是应应用用于于IP层上上网网络络数数据据安安全全的的一一整整套套体体系系结结构构，，包包括括:网络络认认证证协协议议AH（AuthenticationHeader，认认证证头头））、、ESP（EncapsulatingSecurityPayload，封封装装安安全全载载荷荷））、、IKE（InternetKeyExchange，因因特特网网密密钥钥交交换换））和和用用于于网网络络认认证证及及加加密密的的一一些些算算法法等等。。7.5IPsec安全全协协议议2.IPsec协议安全全机制IPsec提供了两两种安全全机制：：认证和和加密。。认证机机制使IP通信的数数据接收收方能够够确认数数据发送送方的真真实身份份以及数数据在传传输过程程中是否否遭篡改改。加密密机制通通过对数数据进行行加密运运算来保保证数据据的机密密性，以以防数据据在传输输过程中中被窃听听。IPsec协议中的的AH协议定义义了认证证的应用用方法，，提供数数据源认认证和完完整性保保证；ESP协议定义义了加密密和可选选认证的的应用方方法，提提供数据据可靠性性保证。。7.5IPsec安全协议议7.5.3.Ipsec封装模式式与算法法1.安全联盟盟（SecurityAssociation，SA）IPsec在两个端端点之间间提供安安全通信信，端点点被称为为IPsec对等体。。SA是IPsec的基础，，也是IPsec的本质。。SA是通信对对等体间间对某些些要素的的约定，，例如，，使用哪哪种协议议（AH、ESP还是两者者结合使使用）、、协议的的封装模模式（传传输模式式和隧道道模式））、加密密算法（（DES、3DES和AES）、特定定流中保保护数据据的共享享密钥以以及密钥钥的生存存周期等等。建立立SA的方式有有手工配配置和IKE自动协商商两种。。7.5IPsec安全协议议2.封装模式式■隧道（（tunnel）模式：：用户的的整个IP数据包被被用来计计算AH或ESP头，AH或ESP头以及ESP加密的用用户数据据被封装装在一个个新的IP数据包中中。通常常，隧道道模式应应用在两两个安全全网关之之间的通通讯。■传输（（transport）模式：：只是传传输层数数据被用用来计算算AH或ESP头，AH或ESP头以及ESP加密的用用户数据据被放置置在原IP包头后面面。通常常，传输输模式应应用在两两台主机机之间的的通讯，，或一台台主机和和一个安安全网关关之间的的通讯。。7.5IPsec安全协议议安全协议议数据封封装格式式7.5IPsec安全协议议3.认证算法法与加密密算法(1)认证算法法认证算法法的实现现主要是是通过杂杂凑函数数。杂凑凑函数是是一种能能够接受受任意长长的消息息输入，，并产生生固定长长度输出出的算法法，该输输出称为为消息摘摘要。IPsec对等体计计算摘要要，如果果两个摘摘要是相相同的，，则表示示报文是是完整未未经篡改改的。7.5IPsec安全协议IPsec使用两种认认证算法：：■MD5：MD5通过输入任任意长度的的消息，产产生128bit的消息摘要要。■SHA-1：SHA-1通过输入长长度小于2的64次方bit的消息，产产生160bit的消息摘要要。MD5算法的计算算速度比SHA-1算法快，而而SHA-1算法的安全全强度比MD5算法高。7.5IPsec安全协议(2)加密算法加密算法实实现主要通通过对称密密钥系统，，它使用相相同的密钥钥对数据进进行加密和和解密。目目前设备的的IPsec实现三种加加密算法：：■DES（DataEncryptionStandard）：使用56bit的密钥对一一个64bit的明文块进进行加密。。■3DES（TripleDES）：使用三个56bit的DES密钥（共168bit密钥）对明明文进行加加密。7.5IPsec安全协议■AES（AdvancedEncryptionStandard）：使用128bit、192bit或256bit密钥长度的的AES算法对明文文进行加密密。这三个加密密算法的安安全性由高高到低依次次是：AES、3DES、DES，安全性高高的加密算算法实现机机制复杂，，运算速度度慢。对于于普通的安安全要求，，DES算法就可以以满足需要要。7.5IPsec安全协议4.协商方式有如下两种种协商方式式建立SA：■手工方式式（manual）配置比较较复杂，创创建SA所需的全部部信息都必必须手工配配置，而且且不支持一一些高级特特性（例如如定时更新新密钥），，但优点是是可以不依依赖IKE而单独实现现IPsec功能。7.5IPsec安全协议■IKE自动协商（（isakmp）方式相对对比较简单单，只需要要配置好IKE协商安全策策略的信息息，由IKE自动协商来来创建和维维护SA。当与之进行行通信的对对等体设备备数量较少少时，或是是在小型静静态环境中中，手工配配置SA是可行的。。对于中、、大型的动动态网络环环境中，推推荐使用IKE协商建立SA。7.5IPsec安全协议5.安全隧道安全隧道是是建立在本本端和对端端之间可以以互通的一一个通道，，它由一对对或多对SA组成。6.加密卡IPsec在设备上可可以通过软软件实现，，还可以通通过加密卡卡实现。通过软件实实现，由于于复杂的加加密/解密、认证证算法会占占用大量的的CPU资源，从而而影响设备备整体处理理效率；而而通过加密密卡，复杂杂的算法处处理在硬件件上进行，，从而提高高了设备的的处理效率率。7.5IPsec安全协议7.5.4IPsec虚拟隧道接接口1.概述IPsec虚拟隧道接接口是一种种支持路由由的三层逻逻辑接口，，它可以支支持动态路路由协议.所有路由到到IPsec虚拟隧道接接口的报文文都将进行行IPsec保护，同时还可以以支持对组组播流量的的保护。7.5IPsec安全协议使用IPsec虚拟隧道接接口建立IPsec隧道具有以以下优点：：■简化配置■减少开销■业务应用更更灵活7.5IPsec安全协议2.工作原理IPsec虚拟隧道接接口对报文文的加封装装/解封装发生生在隧道接接口上。用户流量到到达实施IPsec配置的设备备后，需要要IPsec处理的报文文会被转发发到IPsec虚拟隧道接接口上进行行加封装/解封装。7.5IPsec安全协议IPsec虚拟隧道接接口对报文文进行加封封装的过程程如下：IPsec虚接口隧道道加封装原原理图7.5IPsec安全协议(1)Router将从入接口口接收到的的IP明文送到转转发模块进进行处理；；(2)转发模块依依据路由查查询结果，，将IP明文发送到到IPsec虚拟隧道接接口进行加加封装：原原始IP报文被封装装在一个新新的IP报文中，新新IP头中的源地地址和目的的地址分别别为隧道接接口的源地地址和目的的地址。(3)IPsec虚拟隧道接接口完成对对IP明文的加封封装处理后后，将IP密文送到转转发模块进进行处理；；(4)转发模块进进行第二次次路由查询询后，将IP密文通过隧隧道接口的的实际物理理接口转发发出去。7.5IPsec安全协议3.IPsec虚拟隧道接接口对报文文进行解封封装的过程程如图所示，，IPsec虚拟隧道接接口对报文文进行解封封装的过程程如下：IPsec虚接口隧道道解封装原原理图7.5IPsec安全协议IPsec虚拟隧道接接口对报文文进行解封封装的过程程如下：(1)Router将从从入入接接口口接接收收到到的的IP密文文送送到到转转发发模模块块进进行行处处理理；；(2)转发发模模块块识识别别到到此此IP密文文的的目目的的地地为为本本设设备备的的隧隧道道接接口口地地址址且且IP协议议号号为为AH或ESP时，，会会将将IP密文文送送到到相相应应的的IPsec虚拟拟隧隧道道接接口口进进行行解解封封装装：：将将IP密文文的的外外层层IP头去去掉掉，，对对内内层层IP报文文进进行行解解密密处处理理。。7.5IPsec安全全协协议议(3)IPsec虚拟拟隧隧道道接接口口完完成成对对IP密文文的的解解封封装装处处理理之之后后，，将将IP明文文重重新新送送回回转转发发模模块块处处理理；；(4)转发发模模块块进进行行第第二二次次路路由由查查询询后后，，将将IP明文文从从隧隧道道的的实实际际物物理理接接口口转转发发出出去去。。IPsec虚拟拟隧隧道道接接口口将将报报文文的的IPsec处理理过过程程区区分分为为两两个个阶阶段段：：““加加密密前前””和和““加加密密后后””。。需需要要应应用用到到加加密密前前的的明明文文上上的的业业务务（（例例如如NAT、QoS），，可可以以应应用用到到隧隧道道接接口口上上；；需需要要应应用用到到加加密密后后的的密密文文上上的的业业务务，，则则可可以以应应用用到到隧隧道道接接口口对对应应的的物物理理接接口口上上。。7.5IPsec安全全协协议议3.使用用IPsec保护护IPv6路由由协协议议使用用IPsec保护护IPv6路由由协协议议是是指指，，使使用用AH/ESP协议议对对IPv6路由由协协议议报报文文进进行行加加/解封封装装处处理理，，并并为为其其提提供供认认证证和和加加密密的的安安全全服服务务，，目目前前支支持持OSPFv3、IPv6BGP、RIPng路由由协协议议。。IPsec对IPv6路由由协协议议报报文文进进行行保保护护的的处处理理方方式式和和目目前前基基于于接接口口的的IPsec处理理方方式式不不同同，，是是基基于于业业务务的的IPsec，即即IPsec保护护某某一一业业务务的的所所有有报报文文。。7.5IPsec安全全协协议议7.5.5IKE因特特网网密密钥钥交交换换协协议议1.IKE因特特网网密密钥钥交交换换协协议议简简介介在实实施施IPsec的过过程程中中，，可可以以使使用用IKE（InternetKeyExchange，因特网密钥钥交换）协议议来建立SA，该协议建立在在由ISAKMP（InternetSecurityAssociationandKeyManagementProtocol，互联网安全全联盟和密钥钥管理协议））定义的框架架上。7.5IPsec安全协议IKE为IPsec提供了自动协协商交换密钥钥、建立SA的服务，能够够简化IPsec的使用和管理理，大大简化化IPsec的配置和维护护工作。IKE不是在网络上上直接传输密密钥，而是通通过一系列数数据的交换，，最终计算出出双方共享的的密钥，并且且即使第三者者截获了双方方用于计算密密钥的所有交交换数据，也也不足以计算算出真正的密密钥。7.5IPsec安全协议2.IKE的安全机制IKE具有一套自保保护机制，可可以在不安全全的网络上安安全地认证身身份、分发密密钥、建立IPsecSA。（1）数据认证证■身份认证：：身份认证确确认通信双方方的身份。支支持两种认证证方法：预共共享密钥（pre-shared-key）认证和基于于PKI的数字签名（（rsa-signature）认证。■身份保护护：身份数据据在密钥产生生之后加密传传送，实现了了对身份数据据的保护。7.5IPsec安全协议（2）DH交换及密钥分分发DH（Diffie-Hellman，交换及密钥钥分发）算法法是一种公共共密钥算法。。通信双方在不不传输密钥的的情况下通过过交换一些数数据，计算出出共享的密钥钥。即使第三者（（如黑客）截截获了双方用用于计算密钥钥的所有交换换数据，由于于其复杂度很很高，不足以以计算出真正正的密钥。所所以，DH交换技术可以以保证双方能能够安全地获获得公有信息息。7.5IPsec安全协议（3）PFS完善的前向安安全性PFS（PerfectForwardSecrecy，完善的前向向安全性）特特性是一种安安全特性，指指一个密钥被被破解，并不不影响其他密密钥的安全性性，因为这些些密钥间没有有派生关系。。对于IPsec，是通过在IKE阶段2协商中增加一一次密钥交换换来实现的。。PFS特性是由DH算法保障的。。7.5IPsec安全协议3.IKE的交换过程IKE使用了两个阶阶段为IPsec进行密钥协商商并建立SA：(1)第一阶段，通通信各方彼此此间建立了一一个已通过身身份认证和安安全保护的通通道，即建立立一个ISAKMPSA。第一阶段有有主模式（MainMode）和野蛮模式式（AggressiveMode）两种IKE交换方法。(2)第二阶段，用用在第一阶段段建立的安全全隧道为IPsec协商安全服务务，即为IPsec协商具体的SA，建立用于最最终的IP数据安全传输输的IPsecSA。7.5IPsec安全协议主模式交换过过程7.5IPsec安全协议4.IKE在IPsec中的作用■因为有了了IKE，IPsec很多参数（如如：密钥）都都可以自动建建立，降低了了手工配置的的复杂度。■IKE协议中的DH交换过程，每每次的计算和和产生的结果果都是不相关关的。每次SA的建立都运行行DH交换过程，保保证了每个SA所使用的密钥钥互不相关。。7.5IPsec安全协议■IPsec使用AH或ESP报文头中的序序列号实现防防重放。此序序列号是一个个32比特的值，此此数溢出后，，为实现防重重放，SA需要重新建立立，这个过程程需要IKE协议的配合。。■对安全通信信的各方身份份的认证和管管理，将影响响到IPsec的部署。IPsec的大规模使用用，必须有CA（CertificateAuthority，认证中心））或其他集中中管理身份数数据的机构的的参与。■IKE提供端与端之之间动态认证证。7.5IPsec安全协协议5.IPsec与IKE的关系系■IKE是UDP之上的的一个个应用用层协协议，，是IPsec的信令令协议议；■IKE为IPsec协商建建立SA，并把把建立立的参参数及及生成成的密密钥交交给IPsec；■IPsec使用IKE建立的的SA对IP报文加加密或或认证证处理理。7.5IPsec安全协协议IPsec与IKE的关系系图7.6虚拟专专网（（VPN）虚拟专专网（（VirtualPrivateNetworkVPN）指依依靠ISP和其他他NSP（网络络服务务提供供者））在公公用网网络（（如Internet、FrameRelay、ATM）建立立专用用的数数据通通信网网络的的技术术。在虚拟拟网中中，任任意两两个节节点之之间的的连接接并没没有传传统专专网所所需的的端到到端的的物理理链路路。7.6虚拟专网（（VPN）VPN适用于大中中型企业的的总公司和和各地分公公司或分支支机构的网网络互联和和企业同商商业合作伙伙伴之间的的网络互联联。目前VPN能实现的功功能有：企企业员工及及授权商业业伙伴共享享企业的商商业信息；；在网上进进行信息及及文件安全全快速的交交换；通过过网络安全全地发送电电子邮件；；通过网络络实现无纸纸办公和无无纸贸易。。7.6虚拟专网（（VPN）VPN的访问方式式多种多样样，包括拨拨号模拟方方式、1SDN、DSL、专线、IP路由器或线线缆调制解解调器。现在一般所所说的VPN更多指的是是构建在公公用IP网络上的专专用网，我我们也可称称之为IPVPN（以IP为主要通信信协议）。。7.