第6章互联网安全技术与防范对策

第六章互联网安全技术与防范对策

内容提要网络安全基础防火墙技术VPN技术网络攻击手段网络入侵检测访问控制技术2025/3/181第六章互联网安全技术与防范对策网络安全的定义网络安全是信息系统安全的基础。网络系统的安全涉及到平台的各个方面。按照网络OSI的7层模型，网络安全贯穿于整个7层模型。针对网络系统实际运行的TCP/IP协议，网络安全贯穿于信息系统的4个层次。下表表示了对应网络系统的安全体系层次模型：网络应用系统的安全体系包括：访问控制、检查安全漏洞、攻击监控、加密通信、认证、备份和恢复、多层防御、设立安全监控中心。2025/3/182第六章互联网安全技术与防范对策网络安全服务内涵①认证。②对等实体鉴别③访问控制④信息加密⑤信息的完整性⑥抗拒绝服务⑦业务的有效性⑧审计⑨不可抵赖2025/3/183第六章互联网安全技术与防范对策网络安全防范机制①加密机制②数字签名机制③存取控制机制④信息完整性机制⑤业务量填充机制⑥路由控制机制⑦公证机制2025/3/184第六章互联网安全技术与防范对策网络安全关键技术（1）入侵检测（2）访问控制（3）加密技术（4）身份认证技术2025/3/185第六章互联网安全技术与防范对策第六章互联网安全技术与防范对策

内容提要网络安全基础防火墙技术VPN技术网络攻击手段网络入侵检测访问控制技术2025/3/186第六章互联网安全技术与防范对策防火墙的由来：古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称为“防火墙”（FireWall）防火墙的概念：是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙是具有以下特征的计算机硬件或软件：（1）所有进出网络的通信流都应该通过防火墙；（2）所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权；（3）理论上说，防火墙是穿不透的。通常意义上讲的硬防火墙为硬件防火墙，它是通过硬件和软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现；软件防火墙是通过软件的方式来达到，价格很便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。2025/3/187第六章互联网安全技术与防范对策防火墙的功能1.防火墙是网络安全的屏障一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。2.防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。3.对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。4.防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。5.防火墙的抗攻击能力除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。2025/3/188第六章互联网安全技术与防范对策防火墙的不足防火墙的缺点主要表现在以下几个方面：

1、不能防范恶意的知情者防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户可以偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁，只能要求加强内部管理，如主机安全和用户教育等。2、不能防范不通过它的连接防火墙能够有效地防止通过它的传输信息，然而它却不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。3、不能防备全部的威胁防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，就可以防备新的威胁，但没有一扇防火墙能自动防御所有新的威胁。4、防火墙不能防范病毒防火墙一般不能消除网络上的病毒。

2025/3/189第六章互联网安全技术与防范对策防火墙的一些相关术语网关：在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。DMZ非军事化区：为了配置管理方便，内部网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备三块网卡，在配置时一般分别连接内部网，internet和DMZ。吞吐量：网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。最大连接数：和吞吐量一样，数字越大越好。但是最大连接数更贴近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。数据包转发率：是指在所有安全规则配置正确的情况下，防火墙对数据流量的处理速度。SSL：SSL（SecureSocketsLayer）是由Netscape公司开发的一套Internet数据安全协议，当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持

网络地址转换：网络地址转换（NAT）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。堡垒主机：一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。2025/3/1810第六章互联网安全技术与防范对策防火墙的基本类型一、包过滤防火墙二、代理服务器防火墙三、状态监视器防火墙2025/3/1811第六章互联网安全技术与防范对策包过滤防火墙数据包过滤(Packet

Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，

被称为访问控制表(Access

Control

Table)。基本思想：对于每个进来的包适用一组规则，然后决定转发或丢弃该包如何过滤过滤的规则以IP层和运输层的头中的字段为基础过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定：如果匹配到一条规则，则根据此规则决定转发或者丢弃如果所有规则都不匹配，则根据缺省策略2025/3/1812第六章互联网安全技术与防范对策包过滤防火墙示意图网络层链路层外部网络内部网络2025/3/1813第六章互联网安全技术与防范对策1.包过滤防火墙的工作原理采用这种技术的防火墙产品，通过在网络中的适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。2.包过滤防火墙的优缺点包过滤防火墙的优点是：（1）逻辑简单，价格便宜（通常安装在路由器上），网络性能和透明性好，；（2）与应用层无关，无须改动任何客户机和主机上的应用程序，易于安装和使用。它也有一些缺点：（1）包过滤配置起来比较复杂，需要对IP、TCP、UDP、ICMP等各种协议有深入的了解（2）允许外部客户和内部主机的直接连接（3）对IP欺骗式攻击比较敏感，不提供用户的鉴别机制，没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，他们在这一方面已经积累了大量的经验。2025/3/1814第六章互联网安全技术与防范对策代理服务器防火墙代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels)。代理服务器作用于应用层，也称为应用层网关。代理服务器型（应用层网关）结构示意图2025/3/1815第六章互联网安全技术与防范对策应用层网关的协议栈结构应用层运输层外部网络内部网络链路层网络层HTTPFTPTelnetSmtp2025/3/1816第六章互联网安全技术与防范对策1.代理服务器防火墙的工作原理代理服务器运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样，去那个站点取回所需信息再转发给客户。2.代理服务器防火墙的优缺点代理服务器防火墙的优点：可以将被保护的网络内部结构屏蔽起来，增强网络的安全性；可用于实施较强的数据流监控、过滤、记录和报告等。代理服务器防火墙的缺点：使访问速度变慢，因为它不允许用户直接访问网络；应用级网关需要针对每一个特定的Internet服务安装相应的代理服务器软件，用户不能使用未被服务器支持的服务，这就意味着用户可能会花费一定的时间等待新服务器软件的安装；并不是所有的Internet应用软件都可以使用代理服务器。2025/3/1817第六章互联网安全技术与防范对策状态监视器防火墙1.状态监视器防火墙的工作原理这种防火墙安全特性非常好，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参考。2.状态监视器防火墙的优缺点状态监视器的优点：（1）检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。（2）它会监测RPC和UDP之类的端口信息，而包过滤和代理网关都不支持此类端口。（3）性能坚固状态监视器的缺点：（1）配置非常复杂。（2）会降低网络的速度。2025/3/1818第六章互联网安全技术与防范对策防火墙的基本技术1.双端口或三端口结构2.透明访问方式3.代理系统技术4.多级过滤技术5.网络地址转换技术（NAT）6.Internet网关技术7.安全服务器网络（SSN）技术8.用户鉴别与加密技术9.用户定制技术10.审计和告警技术2025/3/1819第六章互联网安全技术与防范对策防火墙的配置结构三种体系结构：一、屏蔽路由器二、双宿主主机结构三、被屏蔽主机四、被屏蔽子网五、复合体系结构几个相关概念堡垒主机（BastionHost）：指一个计算机系统，它对外部网络暴露，同时又是内部网络用户的主要连接点。双宿主主机（Dual-homedHost）：至少有两个网络接口的通用计算机系统。DMZ(DemilitarizedZone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网，也称为参数网络。2025/3/1820第六章互联网安全技术与防范对策一、屏蔽路由器屏蔽路由器(ScreeningRouter)，也叫安全路由器。它可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻隐后很难发现，而且不能识别不同的用户。2025/3/1821第六章互联网安全技术与防范对策二、双重宿主主机体系结构双宿主主机体系结构防火墙没有使用路由器。双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口，它可以充当与这些接口相连的网络之间的路由器，也能够从一个网络到另外一个网络发送IP数据包。双宿主主机的防火墙体系结构禁止这种发送，因此IP数据包并不是从一个网络直接发送到另一个网络。外部网络和内部网络都能与双宿主主机通信，但是它们不能直接通信，必须经过双宿主主机的过滤和控制。2025/3/1822第六章互联网安全技术与防范对策三、被屏蔽主机体系结构也称为主机过滤结构，由包过滤路由器和堡垒主机组成，堡垒主机仅仅与内部网相连。任何外部网的主机都只能与内部网的堡垒主机建立连接，任何外部系统对内部网络的操作都必须经过堡垒主机。2025/3/1823第六章互联网安全技术与防范对策四、被屏蔽子网体系结构采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非军事区”（DMZ），使得内部网与外部网之间有三层防护。2025/3/1824第六章互联网安全技术与防范对策五、复合体系结构一般有以下几种形式：①使用多堡垒主机；②合并内部路由器与外部路由器；③合并堡垒主机与外部路由器；④合并堡垒主机与内部路由器；⑤使用多台内部路由器；⑥使用多台外部路由器；⑦使用多个周边网络；⑧使用双重宿主主机与屏蔽子网。2025/3/1825第六章互联网安全技术与防范对策防火墙的安全策略①凡是没有被列为允许访问的服务都是被禁止的。②凡是没有被列为禁止访问的服务都是被允许的。2025/3/1826第六章互联网安全技术与防范对策市场上常见的硬件防火墙NetScreen208FirewallNetScreen科技公司推出的NetScreen防火墙产品是一种新型的网络安全硬件产品。NetScreen采用内置的ASIC技术，其安全设备具有低延时、高效的IPSec加密和防火墙功能，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过多种管理界面包括内置的WebUI界面、命令行界面或NetScreen中央管理方案进行管理。NetScreen将所有功能集成于单一硬件产品中，它不仅易于安装和管理，而且能够提供更高可靠性和安全性。CiscoSecurePIX515-EFirewallCiscoSecurePIX防火墙是Cisco防火墙家族中的专用防火墙设施。CiscoSecurePIX515-E防火墙系通过端到端安全服务的有机组合，提供了很高的安全性。适合那些仅需要与自己企业网进行双向通信的远程站点，或由企业网在自己的企业防火墙上提供所有的Web服务的情况。CiscoSecurePIX515-E与普通的CPU密集型专用代理服务器(对应用级的每一个数据包都要进行大量处理)不同，CiscoSecurePIX515-E防火墙采用非UNIX、安全、实时的内置系统。天融信网络卫士NGFW4000-S防火墙北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙，更加安全更加稳定，集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。东软NetEye4032防火墙NetEye4032防火墙是NetEye防火墙系列中的最新版本，该系统在性能，可靠性，管理性等方面大大提高。其基于状态包过滤的流过滤体系结构，保证从数据链路层到应用层的完全高性能过滤，可以进行应用级插件的及时升级，攻击方式的及时响应，实现动态的保障网络安全。NetEye防火墙4032对流过滤引擎进行了优化，进一步提高了性能和稳定性，同时丰富了应用级插件、安全防御插件，并且提升了开发相应插件的速度。2025/3/1827第六章互联网安全技术与防范对策防火墙对比防火墙NetScreen208CiscoPIX515ENGFW4000-SNetEye4032核心技术状态检测状态检测核检测状态检测产品类型ASIC硬件硬件设备硬件设备硬件设备工作模式（路由模式、桥模式、混合模式）路由模式、桥模式路由模式、桥模式路由模式、桥模式、混合模式路由模式、桥模式并发连接数130000130000600000300000网络吞吐量550M170M100M200M最大支持网络接口8个6个12个8个操作系统ScreenOS专用操作系统专用操作系统专用操作系统管理方式串口、CLI、Telnet、Web、GUI串口、Telnet、Web、GUI串口、Telnet、Web、GUI串口、Telnet、GUI市场报价142,000RMB80,000RMB138,000RMB148,000RMB2025/3/1828第六章互联网安全技术与防范对策第六章互联网安全技术与防范对策

内容提要网络安全基础防火墙技术VPN技术网络攻击手段网络入侵检测访问控制技术2025/3/1829第六章互联网安全技术与防范对策VPNVPN即虚拟专用网，是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网，是指用户可以为自己制定一个最符合自己需求的网络。VPN由三个部分组成：客户机、传输介质和服务器。VPN的工作原理是：信息的发送进程通过可信任的内部网发送明文到VPN服务器，由VPN根据安全策略对数据包（包括源IP地址和目的IP地址等）进行加密，并附上数字签名；然后VPN服务器对数据包加上新的数据报头，其中包括一些安全信息和参数，对加密后的数据包重新进行封装。此数据包通过Internet上的“隧道”传输，到达目的方的VPN服务器，由该服务器解包，核对数字签名，并且解密。最后，明文信息通过内部网传输到目的地。2025/3/1830第六章互联网安全技术与防范对策VPN的功能虚拟专用网至少应能提供如下功能：①加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。②信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。③提供访问控制，不同的用户有不同的访问权限。2025/3/1831第六章互联网安全技术与防范对策VPN的优缺点VPN具有以下优点：①低成本。企业不必租用长途专线建设专网，不必大量的网络维护人员和设备投资。②易扩展。网络路由设备配置简单，无需增加太多的设备，省时省钱。③完全控制主动权。VPN上的设施和服务完全掌握在企业手中。VPN的几个不足：①无法保护“越界”数据的安全②VPN的管理流程和平台与其他成熟的远程接入服务相比还不太好用③不同厂商的IPsecVPN的管理和配置掌握起来是最难的2025/3/1832第六章互联网安全技术与防范对策VPN的基本类型按接入方式划分为两类专线VPN：专线VPN是为已经通过专线接入ISP（因特网服务提供商）边缘路由器的用户提供的VPN实现方案。拨号VPN：拨号VPN又称VPDN，指的是为利用拨号方式通过PSTN（公用电话交换网）或ISDN（综合业务数字网）接入ISP的用户提供的VPN业务。按隧道协议所属的层次划分工作在链路层的第二层隧道协议工作在网络层的第三层隧道协议介于第二层和第三层之间的隧道协议按VPN发起主体不同划分基于客户的VPN基于网络的VPN按业务类型划分InternetVPNAccessVPNExtranetVPN按应用平台划分软件VPN专用硬件VPN辅助硬件VPN按运营商所开展的业务类型划分拨号VPN业务虚拟租用线虚拟专用路由网业务虚拟专用局域网段2025/3/1833第六章互联网安全技术与防范对策VPN的关键技术（1）隧道技术隧道技术简单的说就是：原始报文在A地进行封装，到达B地后把封装去掉还原成原始报文，这样就形成了一条由A到B的通信隧道。①一般路由封装（GRE）GRE主要用于源路由和终路由之间所形成的隧道。GRE通常是点到点的，但和下一跳路由协议（Next-HopRoutingProtocol，NHRP）结合使用可以实现点到多点。GRE隧道技术是用在路由器中的，可以满足ExtranetVPN和IntranetVPN的需求。远程访问拨号用户一般通过L2TP和PPTP访问VPN。②L2TP（L2F和PPTP的结合）L2TP是L2F（Layer2Forwarding）和PPTP的结合。采用“强制”隧道模型机制（“NAS初始化”隧道（NetworkAccessServer））。③PPTP（点对点隧道协议）PPTP采用“主动”隧道模型机制（“用户初始化”隧道）。采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。L2TP比PPTP更安全，前者适合集中固定用户，后者适合移动用户。（2）加密技术（3）QoS技术（带宽，反应时间和丢失率）2025/3/1834第六章互联网安全技术与防范对策VPN分类结构VPN拨号VPN专线VPN客户发起的VDPNNAS发起的VDPSIPTunnelVPN-awareNetwaresFRATM2025/3/1835第六章互联网安全技术与防范对策VPN的配置结构①ATMPVC组建方式。即利用电信部门提供的ATMPVC来组建用户的专用网。这种专用网的通信速率快，安全性高，支持多媒体通信。②IPTunneling组建方式。即在多媒体通信网的IP层组建专用网。其传输速率不能完全保证，不支持多媒体通信；使用国际通行的加密算法，安全性好；这种组网方式的业务在公众通信网遍及的地方均可提供。③Dial-upAccess组网方式（VDPN）。这是一种拨号方式的专用网组建方式，可以利用已遍布全国的拨号公网来组建专用网，其接入地点在国内不限，上网可节省长途拨号的费用，对于流动性强、分支机构多、通信量小的用户而言，这是一种理想的组网方式，它可以将用户内部网的界限，从单位的地理所在点延伸到全国范围。2025/3/1836第六章互联网安全技术与防范对策VPN的安全策略目前建造虚拟专网的国际标准有IPSec和L2TP。VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听，其处理过程如下：（1）要保护的主机发送明文信息到连接公共网络的VPN设备。（2）VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过。对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。（3）VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。（4）当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后，数据包被解密。2025/3/1837第六章互联网安全技术与防范对策第六章互联网安全技术与防范对策

内容提要网络安全基础防火墙技术VPN技术网络攻击手段网络入侵检测访问控制技术2025/3/1838第六章互联网安全技术与防范对策DDoSDDoS(DistributedDenialofService，分布式拒绝服务攻击)是指，攻击者利用拒绝服务软件，对某一资源发送垃圾信息，导致带宽或者资源过载产生瓶颈，从而使得其他的用户无法享用该服务资源。当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击。被DDoS攻击时的现象：被攻击主机上有大量等待的TCP连接网络中充斥着大量的无用的数据包，源地址为假制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求严重时会造成系统死机2025/3/1839第六章互联网安全技术与防范对策DDoS的工作原理图2025/3/1840第六章互联网安全技术与防范对策DDoS的工作原理分析首先，攻击者通过利用系统服务的漏洞或者管理员的配置错误等方法，来进入一些安全措施较差的小型站点以及单位中的服务器。然后，攻击者在所侵入的服务器上安装攻击软件。其目的在于隔离网络联系，保护攻击者，使其不会在攻击进行时受到监控系统的跟踪，同时也能够更好地协调进攻。再后，攻击者从攻击控制台向各个攻击服务器发出对特定目标的攻击命令。攻击器接到攻击命令后，就开始每一个攻击器都会向目标主机发出大量的服务请求数据包。这些包所请求的服务往往要消耗较大的系统资源，这就会导致目标主机网络和系统资源的耗尽，从而停止服务，甚至会导致系统崩溃。2025/3/1841第六章互联网安全技术与防范对策DDos的体系结构

DDoS采用一种三层客户服务器结构。最下层是攻击的执行者。这一层由许多网络主机构成。攻击者通过各种办法获得主机的登录权限，并在上面安装攻击器程序。这些攻击器程序中一般内置了上面一层的某一个或某几个攻击服务器的地址，其攻击行为受到攻击服务器的直接控制。攻击服务器。攻击服务器的主要任务是将控制台的命令发布到攻击执行器上。这些服务器与攻击执行器一样，安装在一些被侵入的无关主机上。攻击主控台。攻击主控台可以是网络上的任何一台主机，甚至可以是一个活动的使携机。它的作用就是向第二层的攻击服务器发布攻击命令。2025/3/1842第六章互联网安全技术与防范对策DDoS的攻击方法

（1）Hogging这种方法可以绕过普通操作系统的控制，在主机上运行一个程序，这个程序消耗系统资源直到OS失败，主机崩溃。（2）邮件炸弹(MailBombs)邮件炸弹软件通过伪造大量传输，使邮件服务器处理超过其负荷能力的信息。由于任何—个邮件服务器都会有自己的处理极限，所以该软件对邮件服务器的影响是很大的。（3）PingofDeath该方法是利用Ping（PacketInternetGroper）发送大小不合法的测试包。特大型的测试包会使未采取保护措施的网络系统出现问题，甚至崩溃。（4）SYNFlooding这种方法是专门针对TCP协议的，它企图用尽所有可能的网络连接，造成用户合法使用网络服务的传输被拒绝。这种方法利用了SYN（SynchronizeSequenceNumber）包在两台主机间初始化对话的功能。2025/3/1843第六章互联网安全技术与防范对策（5）Zombies[巫毒崇拜，蛇神]该方法是被攻击者控制用来进行攻击用的计算机。（6）Smurf（DirectedBroadcast）广播信息可以通过一定的手段(通过广播地址或其他机制)发送到整个网络中的机器。当某台机器使用广播地址发送一个ICMPecho请求包时(例如Ping)，一些系统会回应一个ICMPecho回应包，也就是说，发送一个包会收到许多的响应包。Smurf攻击就是使用这个原理来进行的。（7）S1ashdoteffect这种攻击力法使web服务器或其他类型的服务器由于大量的网络传输而过载，一般这些网络流量是针对某一个页面或一个链接而产生的。2025/3/1844第六章互联网安全技术与防范对策DDoS的攻击过程（1）搜集了解目标的情况下列情况是黑客非常关心的情报：①被攻击目标主机数目、地址情况②目标主机的配置、性能③目标的带宽（2）占领傀儡机黑客最感兴趣的是有下列情况的主机：①链路状态好的主机②性能好的主机③安全管理水平差的主机（3）实际攻击2025/3/1845第六章互联网安全技术与防范对策网络监听网络监听的概念捕获在网络中传输的数据信息就称为Sniffing(窃听)。Sniffer可以是硬件，也可以是软件，它用来接收在网络上传输的信息。Sniffer使网络接口（如以太网适配器）处于监听模式，从而可从截获网络上的所有内容。要使一台机器成为一个Sniffer，则或者需要一个特殊的软件（Ethernet卡的广播驱动程序）或者需要一种网络软件能使网络处于监听模式。网络监听软件运行时，需要消耗大量的处理器时间。Sniffer通常运行在路由器，或有路由器功能的主机上。Sniffer属第二层次的攻击。不能监听不在同一个网段计算机传输的信息。网络监听常常被用来获取用户的口令。2025/3/1846第六章互联网安全技术与防范对策被监听的网络通常包括以下几种

（1）以太网在实际中应用广泛，很容易被监听。（2）FDDI、Token-ring不是广播型网络，但包在传输过程中是沿环传送的，高的传输率使监听变得困难。（3）使用电话线被监听的可能性中等，高速的MODEM比低速的MODEM搭线困难的多。（4）通过有线电视信道传送IP被监听的可能性比较高。（5）微波和无线电被监听的可能性比较高。2025/3/1847第六章互联网安全技术与防范对策Sniffer可以截获的信息

一个Sniffer可能截获网络上所有的信息。通常包括以下信息：Sniffer可以截获用户明文传送的ID和口令。Sniffer能够捕获专用的或者机密的信息。Sniffer可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限。Sniffer可以窥探低级的协议信息。Sniffer与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。2025/3/1848第六章互联网安全技术与防范对策防止sniffer

首先就要确保以太网的整体安全r。其次，使用加密传输敏感数据。另一个比较容易接受的是使用安全拓扑结构。2025/3/1849第六章互联网安全技术与防范对策口令破解口令破解的方法（1）穷举法(蛮力猜测)所谓穷举法就是对所有可能的口令组合都进行猜测，所以也被称为蛮力猜测。（2）利用漏洞①利用技术漏洞②利用管理漏洞（3）字典法破译所谓字典法攻击，是将已有的字典文件作为用户的口令输入给远端的主机，申请进人系统。若验证不成功，程序就自动按序提取下一个字符串，同理进行尝试。攻击就依次一直循环下去，直到口令验证通过，或字典的字符串用完为止。（4）缺省的登录界面(ShellScripts)攻击法（5）通过网络监听非法得到用户口令黑客利用监听软件可以监听其所在网段的所有用户账号和口令。2025/3/1850第六章互联网安全技术与防范对策如何保证口令的安全（1）注意口令的组合。（2）防止口令被监听（3）防止穷举法和字典攻击2025/3/1851第六章互联网安全技术与防范对策第六章互联网安全技术与防范对策

内容提要网络安全基础防火墙技术VPN技术网络攻击手段网络入侵检测访问控制技术2025/3/1852第六章互联网安全技术与防范对策入侵检测系统的概念入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合就是入侵检测系统。IDS(IntrusionDetectionSystem)的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器。2025/3/1853第六章互联网安全技术与防范对策IDS能够检测出的最常见的Internet攻击类型

①DOS（DenialOfServiceattack，拒绝服务攻击）②DDOS（DistributedDenialofService，分布式拒绝服务攻击）③Smurf④Trojans（特洛伊木马）2025/3/1854第六章互联网安全技术与防范对策IDS性能指标1．每秒数据流量（Mbps或Gbps）2．每秒抓包数（pps）3．每秒能监控的网络连接数4．每秒能够处理的事件数2025/3/1855第六章互联网安全技术与防范对策入侵检测系统的原理基本原理：对网络上的所有数据包进行复制并检测，然后与内部的攻击特征数据库（规则库）进行匹配比较，如果相符即产生报警或响应。2025/3/1856第六章互联网安全技术与防范对策入侵检测系统的分类IDS分类1－ApplicationIDS（应用程序IDS）IDS分类2－ConsolesIDS（控制台IDS）IDS分类3－FileIntegrityCheckers（文件完整性检查器）IDS分类4－Honeypots（蜜罐）IDS分类5－Host-basedIDS（基于主机的IDS）IDS分类6－HybridIDS（混合IDS）IDS分类7－NetworkIDS（NIDS，网络IDS）IDS分类8－NetworkNodeIDS（NNIDS，网络节点IDS）IDS分类9－PersonalFirewall（个人防火墙）IDS分类10－Target-BasedIDS（基于目标的IDS）2025/3/1857第六章互联网安全技术与防范对策入侵检测的主要方法静态配置分析异常性检测方法基于行为的检测方法几种方法的组合2025/3/1858第六章互联网安全技术与防范对策入侵检测系统的实现步骤入侵检测实现一般分为三个步骤，依次为：信息收集、数据分析、响应（被动响应和主动响应）。2025/3/1859第六章互联网安全技术与防范对策第六章互联网安全技术与防范对策

内容提要网络安全基础防火墙技术VPN技术网络攻击手段网络入侵检测访问控制技术2025/3/1860第六章互联网安全技术与防范对策访问控制概述访问控制技术最早产生于六十年代。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。访问控制的功能有三个：阻止非法用户进入系统；允许合法用户进入系统；使合法人按其权限进行各种信息活动。访问控制策略有三种：最小权益策略。按主体执行任务所需权利最小化分配权利。最小泄漏策略。按主体执行任务所需知道的信息最小化分配权利。多级安全策略。主体和客体按普通、秘密、机密和绝密划分，进行权限和流向控制。2025/3/1861第六章互联网安全技术与防范对策访问控制内容（1）入网访问控制（2）权限控制（3）目录安全控制（4）属性安全控制（5）服务器安全控制2025/3/1862第六章互联网安全技术与防范对策入网访问控制入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户名和口令验证有效之后，再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。2025/3/1863第六章互联网安全技术与防范对策权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。根据访问权限可以将用户分为以下几类：①特殊用户（即系统管理员）；②一般用户，系统管理员根据他们的实际需要为他们分配操作权限；③审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。2025/3/1864第六章互联网安全技术与防范对策目录安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）读权限（Read）写权限（Write）创建权限（Create）删除权限（Erase）修改权限（Modify）文件查找权限（FileScan）访问控制权限（AccessControl）用户对文件或目标的有效权限取决于以下三个因素：用户的受托者指派；用户所在组的受托者指派；继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。

2025/3/1865第六章互联网安全技术与防范对策属性安全控制当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。2025/3/1866第六章互联网安全技术与防范对策服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。2025/3/1867第六章互联网安全技术与防范对策访问控制技术（1）自主访问控制技术（DiscretionaryAccessControl，DAC）目前我国大多数信息系统的访问控制模块基本都是借助于自主访问控制方法中的访问控制列表(ACLs)。自主访问控制有一个明显的缺点就是这种控制是自主的，它能够控制主体对客体的直接访问，但不能控制主体对客体的间接访问（利用访问的传递性，即A可访问B，B可访问C，于是A可访问C）。虽然这种自主性为用户提供了很大的灵活性，但同时也带来了严重的安全问题。2025/3/1868第六章互联网安全技术与防范对策访问控制技术（2）强制访问控制技术（MandatoryAccessControl，MAC）安全级别高的计算机采用这种策略，它常用于军队和国家重要机构，例如将数据分为绝密、机密、秘密和一般等几类。用户的访问权限也类似定义，即拥有相应权限的用户可以访问对应安全级别的数据，从而避免自主访问控制方法中出现的访问传递问题。这种策略具有层次性的特点，高级别的权限可以访问低级别的数据。这种策略的缺点在于访问级别的划分不够细致，在同级间缺乏控制机制。2025/3/1869第六章互联网安全技术与防范对策访问控制技术（3）基于角色的访问控制技术RBAC（Role-BasedAc