(完整版)防火墙技术介绍

防火墙基本原理及相关技术目录一、信息安全概述二、防火墙技术及应用概述三、DDoS攻击四、DNS安全五、密码技术六、VPN技术七、应用安全八、蠕虫病毒目录信息安全概述IT新应用层出不穷WEB2.0云计算P2P应用网上支付安全是个BigProblem防火墙早已部署安全事件却依然发生应用层攻击传统防火墙无能为力多种设备串接，问题多多多功能产品性能不足什么是信息安全？Availability可用性Integrality完整性Confidentiality机密性安全对象A：可用性，保证网络和系统的稳定运行，确保数据的正常使用I：完整性，确保数据不被非法用户篡改或合法用户的无意非授权修改C：机密性，确保只有相应权限的用户才能看到相应的信息AIC：安全三要素威胁漏洞风险资产对策利用导致危害被减轻直接影响威胁漏洞风险威胁、漏洞、风险利用漏洞对信息系统产生危害软件、硬件、流程中的弱点产生威胁的可能性，安全事件的发生系统漏洞是怎么产生的voidmain(){

inta,b,c;

printf("inputa,b,c\n");

scanf("%d%d%d",&a,&b,&c);

printf("a=%d,b=%d,c=%d",a,b,c);

}“scanf”函数没有进行输入长度校验，从而产生溢出漏洞。大多数漏洞都产生于参数传递JPG格式中的漏洞：GDIPlus.DLL漏洞MS04-028NickDeBaggis漏洞产生原因：

JPEG格式中的注释段（COM）由0xFFFE开始(标记)+2字节注释段字节数(参数)+注释（数据）构成。因为字节数这个参数值包含了本身所占的2字节，所以GDIPLUS.dll在解析jpg格式文件中的注释段时会把这个值减去2，如果这个值设置成0，1就会产生整数溢出。一次攻击实例1.目标服务器没有漏洞，很安全。2.目标服务器开了3389远程管理，非加密可以利用3.内网几台计算机有漏洞，直接拿下。顺便开个监听，看能不能抓到管理员登录服务器的信息。4.管理员总不登录？DoS一下，强迫管理员登录。5.管理员发现服务器不正常，登录去看看，被直接抓到口令。攻击机网管机内网目标服务器Internet网络安全的基本技术应用层表示层会话层传输层网络层链路层物理层基于状态转发技术IPSec抗DoS/DDoS链路加密电磁防泄漏特征匹配技术基本技术——基于状态表转发如收到的数据包为新建TCP连接的数据包，则根据预定义规则决定是否转发。如确定需要转发则在状态表中增加相关表项，并开始跟踪TCP握手信息。如收到的数据包为非新建连接，则检查状态表表项。如有相关表项则根据表项进行转发，否则丢弃该数据包。如该数据包为TCP

FIN包，则转发后删除相关表项。状态表中的表项都有预定义的老化时间。如超过老化时间仍没有新的数据包通过，则删除该条记录。无老化时间的记录称为长连接，用于某些特殊应用新建连接非新建连接状态表老化？基本技术——特征匹配技术特征库***************************************8/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*******************************************************************************特征库以太网帧头IP头TCP头应用层数据对比网络安全设备部署模式旁路部署在线部署交换机上设置镜像端口，安全设备旁路进行抓包和特征匹配。某些网关类安全设备（如VPN）的单臂部署模式在拓扑形式上与此类似，但是数据包需要进行转发的。网关类安全设备大多采用此种将设备串入链路中的在线部署方式。透明模式向网线一样工作桥模式相当于交换机路由模式相当于路由器混合模式既有路由模式也有桥模式目录防火墙技术和应用防火墙的分类主要分为以下3种类型防火墙：包过滤防火墙：根据一组规则允许/阻塞一些数据包。应用代理型防火墙：作为应用层代理服务器，提供安全防护。状态检测型防火墙：比包过滤防火墙具有更高的智能和安全性，会话成功建立连接以后记录状态信息并时时更新，所有会话数据都要与状态表信息相匹配；否则会话被阻断。状态检测技术现代防火墙基本为3种类型防火墙的综合体，即采用状态检测型包过滤技术，同时提供透明应用代理功能。包过滤防火墙基本概念：数据包过滤是指在网络中的适当位置对数据包实施有选择的通过。选择的依据就是系统内设置的过滤规则或称访问控制表。包过滤操作过程：包过滤规则必须被存储在包过滤设备的端口；当数据包在端口到达时，包头被提取，同时包过滤设备检查IP、TCP、UDP等包头中的信息；包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包；如果一条规则允许传输，包就被通过；如果一条规则阻止传输，包就被弃掉或进入下一条规则。检查项IP

包的源地址IP包的目的地址TCP/UDP源端口IP包检测包头检查路由安全策略：过滤规则路由表包过滤防火墙转发符合不符合丢弃包过滤防火墙—图示包过滤防火墙—技术评价优点：速度快，吞吐率高（过滤规则较少时）对应用程序透明（无帐号口令等)缺点：安全性低不能过滤传输层以上的信息不能监控链路状态信息ClientServer代理服务器代理客户机请求应答被转发的请求被转发的应答应用代理防火墙双向通信必须经过应用代理，禁止IP直接转发；只允许本地安全策略允许的通信信息通过；代理服务器评价来自代理客户的请求并决定请求是否被认可。如果请求被认可，代理服务器便代表客户接触真正的服务器并且转发从代理客户到真正的服务器的请求以及真正的服务器到代理客户的响应。安全策略访问控制应用代理防火墙—图示应用代理防火墙—技术评价优点：可以将被保护网络内部的结构屏蔽起来可以实施较强的数据流监控、记录。可提供应用层的安全（身份验证等）缺点：灵活性通用性较差，只支持有限的应用。不透明（用户每次连接可能要受到“盘问”）代理服务的工作量较大，需要专门的硬件（工作站）来承担基于状态的包过滤防火墙IP包检测包头下一步处理安全策略：过滤规则会话连接状态缓存表状态检测包过滤防火墙符合不符合丢弃符合检查项IP包的源、目的地址、端口TCP会话的连接状态上下文信息防火墙新概念迭出NGFWUTMvsGartner提出集成IPS集成应用识别和流控所有功能集成化，统一开启功能全开性能下降少IDC提出集成防火墙集成IPS集成防病毒功能不一定全部开启性能全开性能下降多NGFW和UTM概念由不同机构提出，均为在现有防火墙上增加应用层功能，本质无区别！下一代防火墙统一威胁管理应用防火墙传统的防火墙基于IP与端口进行访问控制应用防火墙在原有的基础上，基于应用层识别技术进行访问控制根据各种网络应用进行访问控制（如带宽管理，应用控制，网站过滤等）有效识别应用层数据中的威胁，进行阻断（如病毒、木马、恶意代码、基于漏洞的攻击等）P2P/网游ERP视频/个人通讯传统防火墙应用防火墙IPS库病毒库URL库协议库APP-ID专业特征库应用层安全防护，包括后门、木马、间谍软件、协议异常、漏洞攻击、缓冲区溢出攻击、SQL注入攻击等威胁的防御防御文件型、网络型和混合型等各类病毒，准确查杀各种变种病毒、未知病毒超过2500条协议库，可对各类P2P/IM、流媒体、炒股软件、网络游戏等多种应用协议进行识别及控制基于内容分类的URL访问控制，超过1000万URL地址信息，提供灵活的分类目录DDoS攻击什么是DDoS？DoS（DenialofService）

拒绝服务攻击，造成目的计算机或网络无法提供正常的服务的攻击行为被称为DoS攻击DDoS（DistributedDenialofService）

分布式拒绝服务攻击，将多台计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。SYNFlood-最经典的拒绝服务攻击SYNSYN+ACKACK合法用户服务器SYNSYN+ACK攻击者服务器三次握手成功waitingwaitingwaitingwaiting三次握手失败大量的无效半连接将导致服务器资源耗尽！SYNSYN+ACK…DDoS—增强版DoS

国外视频组织VideoL遭到60G的DDoS攻击过程DDoS看起来是这样的……CC-应用层DDoS的典型代表CC：ChallengeCollapsarHTTPGetHTTPGetHTTPGetHTTPGetHTTPGet数据库查询请求Crashed！攻击者代理服务器网站服务器数据库攻击者通过代理服务器向网站发起大量动态页面的查询请求，从而导致后台数据库的崩溃DDoS攻击案例史上最强DDoS攻击：2013年3月26日，欧洲反垃圾邮件组织Spamhaus将荷兰托管公司Cyberbunker列入黑名单，从而遭受到了300G的DDoS攻击。发生在我们身边的DDoS：2012年2月7日，我国国际出入口以及湖南、吉林、江苏、广东、浙江等多个省份的域名服务器（DNS）流量出现异常激增，全网DNS流量峰值达到90Gbps。无连接SYN代理-最简单的防护技术合法用户服务器攻击者服务器Guard3000Guard3000SYNSYN+ACKACKSYNSYN+ACKACKSYNSYN+ACKwaiting&drop无连接SYN

Cookie-增强型的防护技术合法用户服务器攻击者服务器Guard3000Guard3000SYNSYN+ACK（+Cookie）ACK（+Cookie）SYNSYN+ACKACKSYNSYN+ACK（+Cookie）SYNSYN+ACK（+Cookie）nowaiting目录DNS安全什么是DNSDNS服务器告诉我在哪儿的地址是6人们只告诉电脑访问哪个网站，DNS服务器来告诉电脑网站的具体地址用户终端DNS:

DomainNameSystem

DNS缓存和递归服务器缓存服务器递归服务器有人问我是什么，我没有记录，你来告诉它电话簿缓存服务器中没有的域名信息会交由递归服务器进行查找；递归服务器的查找过程对服务器性能消耗很大，过量的查找可能会导致系统崩溃。保存最近的数百万个DNS查询记录缓存可以加快响应速度。通话记录DNS系统（内部分为缓存服务器和递归服务器）用户DNS请求典型的DNS攻击之DNSFloodDNSFlood：向被攻击的DNS服务器发送大量的域名解析请求，并且请求解析的域名是随机生成的根本不存在的域名，对这些虚假域名做查询会对递归服务器造成极大的性能压力，甚至造成服务器崩溃。递归服务器无法响应会造成缓存服务器的缓存内容无法更新，从而造成缓存服务器的失效。大量DNS查询请求Crashed！攻击者代理服务器缓存服务器递归服务器非法域名请求非法域名请求非法域名请求非法域名请求非法域名请求查询性能压力过大缓存记录无法更新典型的DNS攻击之DNS缓存投毒普通用户攻击者本地DNS服务器上一级DNS服务器在X.X.X.X在哪儿普通用户在哪儿伪造响应报文，在X.X.X.X域名解析记录BX.X.X.XDNS缓存投毒：所谓投毒就是用恶意的错误域名记录去代替原有的正确记录。攻击者模拟上级服务器的应答报文，使服务器错误接收恶意伪造信息DNS攻击实例

典型的虚假域名DDoS攻击，请求的二级域名是67，三级域名随机DNS攻击典型案例2009年5月，暴风影音事件，造成全国性的网络瘫痪；2010年1月，被非法篡改，造成网站无法正常访问；2011年8月18、8月19日，新疆电信连续两次遭到拒绝服务攻击；2012年2月7日，我国国际出入口以及湖南、吉林、江苏、广东、浙江等多个省份的域名服务器（DNS）流量出现异常激增，全网DNS流量峰值达到90Gbps。一般DNS节点部署方式中国三大运营商各省一般有2-3个DNS节点部分用户自己拥有DNSDNS攻击防御技术基于TCP反弹的防御技术DNS防护设备DNSInternet超过设置的阈值后，要求用户使用TCP的DOMAIN连接请求，发送带TC标志的DNS响应报文DNS

Flood攻击攻击主机攻击主机攻击主机不会重发TCP的DNS请求报文，因此所有DNS攻击报文被防护设备阻挡正常主机正常主机会重发TCP的DNS请求报文将TCP的DOMAIN请求转化为UDP后发给DNS服务器，防止DNS服务器负载过大基于重传校验的防御技术DNS防护设备DNSInternetDNS

Flood攻击攻击主机攻击主机攻击主机不会重发DNS请求报文，因此所有DNS攻击报文被防护设备阻挡正常主机正常主机会重发的DNS请求报文将正常主机发送的通过合法校验的重传报文发送给DNS服务器发现服务器受攻击后，防护设备收到后续每个DNS请求会话的第一个报文时不会直接转给服务器，先在本地缓存DNS攻击防御技术DNSServer***.***.***.***DNSReqDNSReqDNSReqDNSRsp2DNSRsp***.***.***.***DNSRsp22DNSRsp2CachePoison对于dns服务器向外发出的dns查询包,记录域名,srcport,queryid等信息;收到对dns服务器的应答包,如果srcport,queryid不匹配,则该域名立刻进入poison防护状态:收到的对此域名的应答包全部放弃;将所有收到的dnspoison包收集起来,需要时可进行特征分析;缓存投毒攻击防护DNS防护设备大容量DNSCacheDNSQueryDNS服务器DNSReply提供DNSCache：提供大容量的DNSCache，95%以上查询请求设备直接处理DNS域名自学习：设备通过监控DNS服务器的响应，对于未知域名查询记录及时刷新DNSCache；DNS域名信誉库：基于迪普公司自主研发域名信誉库，可以直接从工信部获取准确DNS域名记录，从而保证DNS域名完备和准确；DNS防护设备1、有效减少后端服务器压力。2、针对虚假域名请求能有效抑制。Internet目录密码技术密码学基本概念对称加密技术不对称加密技术消息认证与HASH函数PKI介绍IPSec与IKE目录密码学常用概念加密(encryption)将报文(或消息)进行编码，以模糊其含义的过程。encode,encipher解密(decryption)将加密过的报文恢复为原始形式。decode,decipher明文(plaintext)和密文(ciphertext)报文的原始方式为明文，加密后成为密文古典密码古典密码代替密码（SubstitutionCipher）换位密码(transpositionCipher)代替密码与换位密码的组合古典密码（受限密码）的缺陷密码体制的安全性在于保持算法本身的保密性受限算法的缺陷不适合大规模生产不适合较大的或者人员变动较大的组织用户无法了解算法的安全性密码学的历史古罗马：Caesar密码ABCDEFGHIGKLMNOPQRSTUVWXYZDEFGHIGKLMNOPQRSTUVWXYZABCCaesarwasagreatsoldier密码本密文Fdhvduzdvdjuhdwvroglhu明文密文CAESAR密码：c=(m+3)Mod26一个简单的加密算法—异或异或

密文：0110解密： 密钥：

0101

明文：0011

已知明文、密文，怎样求得密钥？C=PKP=CK异或运算（不带进位加法）： 明文:

0011

加密： 密钥:

0101

密文：0110K=CP只知道密文，如何求得密文和密钥？现代密码学现代密码算法把算法和密钥分开

密码算法可以公开，密钥保密密码系统的安全性在于保持密钥的保密性发送方接收方mm加密E解密Dc=Ek(m)m=Ek(c)密码分析密钥分配（秘密信道）kk53对称加密算法对称密钥密码算法，又称传统密码算法、秘密密钥密码算法加密和解密使用相同的密钥Ke=Kd常用算法：DES，3DES,AES，IDEA,Blowfish等优点加密速度快，便于硬件实现和大规模生产缺点密钥分配：必须通过保密的信道密钥个数：n（n-1）/2无法用来签名和抗抵赖（没有第三方公证时）54非对称密码算法非对称密码，又称公开密钥密码算法加密和解密使用不同的密钥（Kp,Ks)，把加密密钥公开，解密密钥保密：c=EKp(m),m=DKs(c)常用算法：RSA,DSA,背包算法，ElGamal,椭圆曲线等优点：密钥分配：不必保持信道的保密性密钥个数：npair可以用来签名和抗抵赖缺点加密速度慢，不便于硬件实现和大规模生产55密码技术的主要用途数据保密—数据加密/解密数据加密（存储和传输）认证技术实体身份认证数据源发认证信息完整性保护数据在传输过程中没有被插入、篡改、重发；数字签名和抗抵赖（Non-repudiation）源发抗抵赖交付抗抵赖密码学基本概念对称加密技术不对称加密技术消息认证与HASH函数PKI介绍IPSec与IKE目录对称密钥算法简介加密和解密使用相同的密钥：KE=KD密钥必须使用秘密的信道分配发送方接收方mm加密E解密Dc=Ek(m)m=Dk(c)密钥分配（秘密信道）kk58常用对称加密算法常用对称加密算法DES(DataEncryptionStandard)及其各种变形IDEA(InternationalDataEncryptionAlgorithm)RC2,RC4,RC5，AES(AdvancedEncryptionStandard)CAST-128Blowfish59DES算法原理IBM公司，70年代初提出，80年代成为国家标准DES是一种对称密钥算法，密钥长度为56bits(加上奇偶校验，通常写成64bits)是一种块加密（BlockCipher）算法，64bits为一个分组基本思想：混乱（Confusion）和扩散（Diffusion）使用标准的算术和逻辑运算DES加密过程首先把明文分成以64bit为单位的块m，对于每个m,执行如下操作

DES(m)=IP-1•T16•T15•.....T2•T1•IP(m)初始置换，IP

16轮迭代，Ti,i=1,2,…16末置换，IP-13DES-DES的变形三重DES加密，采用3个密钥做三次运算密钥长度为112比特,k=k1k2DESDES-1DESDES-1DESDES-1K1K2K3明文明文加密解密密文密文AES加密算法AES产生的背景1997年4月15日，NIST发起征集高级加密标准（AdvancedEncryptionStandard）AES的活动，活动目的是确定一个非保密的、可以公开技术细节的、全球免费使用的分组密码算法，作为新的数据加密标准。对AES的基本要求是：比3DES快、至少与3DES一样安全；无类别的；可公开的；无特权的；数据分组长度为128比特；密钥长度为128/192/256bit。1998年8月12日，在首届AES会议上指定了15个候选算法。2000年10月2日，NIST宣布了获胜者—Rijndael算法，2001年11月出版了最终标准FIPSPUB197。结构简单、速度快DES与AES的比较DESAES日期1976年1999年分组大小64b128b密钥长度56b(有效长度)128b、192b、256b(可能更长)加密原语替换、置换替换、移位、位混合算法公开公开设计基本原理未公开公开选择过程保密保密，但接受公开评论来源IBM,由NSA加强比利时密码学家密码学基本概念对称加密技术不对称加密技术消息认证与HASH函数PKI介绍IPSec与IKE目录对称密码的不足密钥管理量的困难传统密钥管理：两两分别用一个密钥时，则n个用户需要C(n,2)=n(n-1)/2个密钥，当用户量增大时，密钥空间急剧增大。密钥必须通过某一信道协商，对这个信道的安全性的要求比正常的传送消息的信道的安全性要高数字签名的问题传统加密算法无法实现抗抵赖的需求。非对称密码算法原理非对称密钥密码，也称公开密钥密码算法，由Diffie,Hellman1976年提出使用两个密钥，对于密钥分配、数字签名、认证等有深远影响基于数学函数而不是代替和换位，密码学历史上唯一的一次真正的革命非对称密码的特点加密与解密的密钥不同公钥密码的密钥是一组密钥对（公钥,私钥）可以公开的密钥称为公钥（PublicKey），必须保密的密钥称为私钥（PrivateKey）。知道密码算法和公钥，从公钥得到私钥在计算上是不可行的两个密钥配对使用公钥加密信息，私钥解密信息私钥签名信息，公钥验证签名公钥密码系统的加密原理每个通信实体有一对密钥（公钥，私钥）。公钥公开，用于加密和验证签名，私钥保密，用作解密和签名A向B发送消息，用B的公钥加密B收到密文后，用自己的私钥解密PlainText加密算法解密算法ABcipherPlainTextB的私钥C的公钥B的公钥任何人向B发送信息都可以使用同一个密钥(B的公钥)加密没有其他人可以得到B的私钥，所以只有B可以解密公钥密码系统的签名原理A向B发送消息，用A的私钥加密（签名）B收到密文后，用A的公钥解密（验证）PlainText加密算法解密算法cipherPlainTextABA的私钥A的公钥数字签名和加密同时使用X加密（签名）加密解密解密（验证）XYZYZ=EKUb[Y]=EKUb[EKRa(X)]X=DKUa[Y]=DKUa[DKRb

(Z)]AB产生密钥对产生密钥对KRaKUaKRbKUb公钥密码系统的应用三种用途：加密/解密：数字签名：发送方用自己的私钥签署报文，接收方用对方的公钥验证对方的签名。密钥交换：双方协商会话密钥算法加密/解密数字签名密钥交换RSAYYYDiffie-HellmanNNYDSANYN对公钥密码算法的误解公开密钥算法比对称密钥密码算法更安全？任何一种算法都依赖于密钥长度、破译密码的工作量，从抗分析角度，没有一方更优越公开密钥算法使对称密钥成为过时了的技术？公开密钥很慢，只能用在密钥管理和数字签名，对称密钥密码算法将长期存在使用公开密钥加密，密钥分配变得非常简单？事实上的密钥分配既不简单，也不有效公钥密码的经典算法Diffie-Hellman密钥交换算法背包算法RSA算法EIGamal算法椭圆曲线密码算法ECCDiffie–Hellman密钥交换算法第一个发表的公开密钥算法，1976用于通信双方安全地协商一个会话密钥只能用于密钥交换基于离散对数计算的困难性主要是模幂运算apmodnRSA算法简介RonRivest,AdiShamir,LeonardAdlemanRSA的安全性基于大数分解的难度RSA在美国申请了专利（已经过期），在其他国家没有RSA已经成了事实上的工业标准，在美国除外主要公钥密码算法算法加密/解密数字签名密钥交换RSA

ECC

Diffie-Hellman

DSS

密码学基本概念对称加密技术不对称加密技术消息认证与HASH函数PKI介绍IPSec与IKE目录单向散列函数概要Hash:哈希函数，杂凑函数，散列函数h=H(m)H

具有如下特性：1）可以操作任何大小的报文m；2）给定任意长度的m，产生的h的长度固定；3）给定m计算h=H(m)是容易的；4）给定h,寻找m，使得H(m)=h是困难的；5）给定m，要找到m’,m’≠m且H(m)=H(m’)是计算上不可行的；6）寻找任何(x,y)，x≠y，使得H(x)=H(y)是计算上不可行的。MD5算法简介RonRivest设计,RFC1321经历过MD2,MD4不同的版本对任意输入均产生128bit的输出基于32位的简单操作，易于软件实现简单而紧凑，没有复杂的程序和大数据结构适合微处理器实现（特别是Intel）其他散列算法SHA,SHA-1NIST和NSA共同设计,用在DSS中基于MD4设计，与MD5非常相似产生160位散列值RIPEMD-160欧共体RIPE项目160位散列值消息认证码（MAC）是一种认证技术，利用密钥生成一个固定长度的短数据块与加密类似，但MAC算法不要求可逆性。一般而言，MAC函数是多对一函数。数字签名公/私钥系统还有一个好处就是其非对称的天性。这使得每个密钥对的持有者都可以用他们的私钥进行数学运算，而这种运算是其他人都无法做到的。这就是数字签名和不可否认性的基础。典型的数字签名技术使用非对称密码体制。在公钥密码体制中，数字签名技术可以用来保证原始信息的真实性，而且能够保证原始信息的完整性。数字签名是用签名方的私钥对原始信息采取不可逆的单向散列算法提取出的一串唯一特征码（称为：信息摘要）进行加密的一个过程，这个过程所得到的密文即称为签名信息。数字签名发送者A发送M对H(M)签名加密M得密文C散列值H(M)对称密钥Kab明文MA的私钥加密对H(M)签名接收者B接收到密文M和签名密文C散列值H(M’)对称密钥KabA的公钥验证签名M=M’明文M解密密码学基本概念对称加密技术不对称加密技术消息认证与HASH函数PKI介绍IPSec与IKE目录对称密钥分配集中式密钥分配中心（KDC）每个用户和KDC之间共享一个主密钥（masterkey）,通过可靠的信道分配会话密钥（sessionkey）协商

AKDC:请求访问BKDCA:Ka[Kab],Kb[Kab]AB:Kb[Kab]AB:Kab[m]KDCABKaKbKab公开密钥的密钥分配公开密钥公开宣布公布到目录服务AB目录服务A:KPaB:KPbEKPb(M)EKPa(M)PGP－私人的信任关系基于个人之间的信任关系，传递公钥不适合大范围的、商业应用环境公钥证书（certificate）公钥证书的主要内容身份证主要内容持有者（Subject）标识签发者（Issuer）标识有效期公钥（n,e）CA的数字签名姓名签发单位有效期照片签发单位盖章、防伪标志序列号身份证号码PKI体系-公钥基础设施CARA终端用户目录服务申请与审核证书归档证书终止证书注销证书发布证书生成PublicKeyInfrastructure(PKI)

是硬件、软件、人员、策略和操作规程的总和，它们要完成创建、管理、保存、发放和废止证书的功能，通过管理数字证书的生命周期来管理对应的身份信息的生命周期。

CA-CertificationAuthority发布本地CA策略对下级机构进行认证和鉴别产生和管理下属机构的证书接收和认证RA证书请求签发和管理证书、CRL发布证书CRL密钥安全生成及管理交叉认证RA受理点受理点RA受理点CA受理点KMCRA-RegistrationAuthorityRA受理点受理点RA受理点CA受理点KMC

进行用户身份信息的审核，确保其真实性；本区域用户身份信息管理和维护；数字证书的下载；数字证书的发放和管理登记黑名单KMC-密钥管理中心RA受理点受理点RA受理点CA受理点KMC密钥的生成密钥的分发密钥的备份密钥的恢复密钥的更新密钥的归档密钥查询密钥销毁密码学基本概念对称加密技术不对称加密技术消息认证与HASH函数PKI介绍IPSec与IKE目录IPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传送（transport）两种工作方式IPSec概述IPSec提供两个安全协议AH(AuthenticationHeader)报文认证头协议MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard),3DESAES其他的加密算法：Blowfish，cast…IPSec的组成IKE（InternetKeyExchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥IKE完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发IKE的安全机制IKE在IPSec中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重播服务允许在端与端之间动态认证目录VPN技术基本通信原理Internet访问者服务器HTTPSMTPPOP3TelnetFTP……TCP/IP黑客Sniffer什么是VPN？VirtualPrivateNetwork虚拟私有网，将私有网络的信息通过公共网络进行传输SOHO办公分支机构分支机构合作伙伴出差用户公司总部IPsec/SSLSSLIPsecIPsecVPN网关InternetIPsec如何安全的传输信息？信纸：明文信封：提供机密性火漆：保持完整性盖章：身份验证VPN：机密性Internet明天上午10点召开项目分析会明天上午10点召开项目分析会AfkihjzEZjfiZWjkASdjiSADSkkSAfkihjzEZjfiZWjkASdjiSADSkkS加密算法加密算法用户A用户BDESAES3DESRSA加密算法：VPN：完整性Internet明天上午10点召开项目分析会哈希值不一致，原文被篡改！明天上午10点召开项目分析会哈希算法哈希算法用户A用户BHMAC-MD5HMAC-SHA-1哈希算法：sfS12FSGskjoieBs明天下午2点召开项目分析会32Sf9jSFSiAKAdia被篡改VPN：身份验证Internet明天上午10点召开项目分析会明天上午10点召开项目分析会AfkihjzEZjfiZWjkASdjiSADSkkSAfkihjzEZjfiZWjkASdjiSADSkkS用户A的数字证书私钥签名用户A的数字证书公钥验证用户A用户BRSA数字签名PGP验证方法：双因子认证认证三要素Whatyouknow？

Whatyouhave？

Whoareyou？

密码令牌、USBKey指纹、掌纹、视网膜双因子认证是指采用了上述三种认证方式中的其中两种双因子认证强度大于单一因子认证，即使设计再复杂的密码VPN种类VPN种类ISO层次加密适用场景IPSec

L3Y分支机构安全互联SSLL4Y移动办公安全连接L2TP/PPTPL2N远程接入GREL3N隧道封装MPLSL2.5N网络隔离VPN能带来什么好处？经济性：VPN成本=设备采购成本+互联网接入费用安全性：可选择多种加密算法，保证信息安全灵活性：分支机构、移动办公均可灵活接入Site-to-SiteVPNInternet办公区分支A分支B分支NUMC统一管理中心总部VPNDPtechFW1000分支VPNDPtechFW1000IPSec

VPNIPSec

VPNIPSec

VPN总部……分支VPNDPtechFW1000分支VPNDPtechFW1000Site-to-SiteVPN：类似广域网的组网，是传统广域网的延展，通常采用IPSecVPN专线备份VPNInternet办公区分支机构UMC统一管理中心总部VPNDPtechFW1000IPSecVPN总部专线备份VPN：作为专线的备份链路，一旦专线出现问题，可迅速切换至VPN，确保业务不中断专线主链路备份链路分支VPNDPtechFW1000移动办公VPNInternet办公区SOHO办公总部SSLVPN移动办公移动办公SSLVPNSSLVPN3G总部VPNDPtechFW1000UMC统一管理中心移动办公VPN：适用移动办公，通常采用SSLVPN什么是IPSecVPN？IPSec：InternetProtocolSecurityIPSec工作在网络层（L3），是一种开放标准的框架结构，通过使用加密的安全服务以确保在IP网络上进行保密而安全的通讯。什么是SSLVPN？SSL：SecureSocketLayer安全套接层，为1994年Netscape所研发，用以保障在Internet上数据传输之安全，是一种运行在两台设备之间的安全通道协议SSLVPN就是采用SSL协议来实现远程安全接入的VPN技术无需安装客户端软件，直接用浏览器即可接入SSLVPNAnytimeAnywhereAnyDeviceHTTPSHTTPS：HypertextTransferProtocoloverSecureSocketLayer以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。HTTPS流程：1、根据服务器证书，确保服务器的真实性2、协商密钥，密钥通过服务器证书中的公钥加密，确保只有该服务器的私钥才能解密3、后续访问全采用该密钥加密HTTPS与SSLVPN的区别在于：HTTPS只是给网站提供SSL加密SSLVPN是通过HTTPS提供对内网的安全访问IPSecVPNvsSSLVPNIPSecVPNSSLVPN适合应用于固定地点，以网关互联为主适合移动办公，无需手动安装维护客户端软件基于网络层，与应用无关支持应用层，可进行细粒度的应用控制配置复杂，管理困难配置简单加解密速度相对较快加解密速度相对较慢根据实际需求选择IPSecVPN或SSLVPN目录应用安全常见信息安全威胁拒绝服务攻击特洛伊木马Web应用攻击流氓软件网络钓鱼垃圾邮件社会工程Web攻击综述正常网站攻击者获得网站权限，或者在网站上注入恶意代码攻击者利用网站的漏洞网站漏洞基础软件漏洞应用系统漏洞操作系统漏洞Web服务器漏洞ASP/PHP/CGI漏洞数据库漏洞注入攻击跨站脚本攻击网站被控制网页被篡改网页被挂马帐号失窃成为傀儡机拒绝服务SQL注入攻击

利用Web应用程序（网页程序）对用户的网页输入数据缺少必要的合法性判断的程序设计漏洞，攻击者将恶意的SQL命令注入到后台数据库的攻击方式。SQL注入对Web网站的攻击后果

非法获得网站权限、网页篡改、网页挂马、窃取网站数据等。举例在网站管理登录页面要求帐号密码认证时，如果攻击者在“UserID”输入框内输入“admin”，在密码框里输入“anything’or1=’1’”，提交页面后，查询的SQL语句就变成了：

Selectfromuserwhereusername=‘admin’andpassword=’anything’or1=’1’不难看出，由于“1=‘1’”是一个始终成立的条件，判断返回为“真”，密码的限制形同虚设，不管用户的密码是不是Anything，他都可以以admin的身份远程登录，获得后台管理权，在网站上发布任何信息。典型注入：SQL注入攻击跨站脚本攻击：指攻击者利用网站程序对用户的输入没有进行充分的有效性检验和敏感词过滤的漏洞，输入精心构造的HTML或Javascript脚本，当其他合法的用户浏览到该页面时，将执行恶意攻击者留下的代码，遭受攻击者的进一步攻击；不同于SQL注入以Web服务器为目标的攻击方式，跨站脚本攻击更多则是将目标指向了Web业务系统所提供服务的客户端。跨站脚本攻击对Web网站的攻击后果：网页挂马、拒绝服务举个例子说明原理：

如攻击者可在目标服务器的留言本中加入如下代码：

<script>function()</script>

则存在跨站脚本漏洞的网站就会执行攻击者的function()。攻击者在网页上输入精心构造的HTML或JavaScipt代码网站数据库网站Web程序网站Web程序其他受害客户XSS-跨站脚本攻击利用Web网站的操作系统漏洞、Web服务器漏洞、数据库漏洞等基础软件的漏洞，获得Web网站权限。举例：通过Unicode漏洞读取服务器C盘的目录

09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir+c:\利用基础软件漏洞的攻击应用层安全：IPS入侵防御系统IPS可做到：

在线部署，实时阻断攻击。在线部署，除阻断外还可实现隔离、重定向等主动防御动作。在线部署，可通过快路径避开IDS事件风暴。不依赖网络设备的镜像。路由器交换机IPS内部网络Internet路由器交换机IDS镜像Internet内部网络目录蠕虫病毒病毒的定义1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》。在该条例的第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入