网络安全技术

第九章 网络安全技术

9.1概论

1、网络防火墙是一种加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入网络内部、访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。

基本功能：对网络通信进行筛选屏蔽以防未经授权的访问进出计算机网络。

2、一个好的防火墙系统应具有以下五方面的特性：

所有在内部网络和外部网络之间传输的数据都必须能够通过防火墙；

只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙；

防火墙本身不受各种攻击的影响；

使用目前新的信息安全技术，比如现代密码技术、一次口令系统、智能卡；

人机界面良好，用户配置使用方便，易管理。系统管理员可以方便地对防火墙进行设置，对Internet的访问者、被访问者。访问协议以及访问方式进行控制。

3、网络防火墙作用：能够有效的控制内部网络与外部网路之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户访问，并过滤不良信息的目的。

4、防火墙三大要素：安全、管理、速度

防火墙四大要素（一般来说）：安全策略（是一个防火墙能否充分发挥其作用的关键)、外部网(需要受保护的网）、内部网（需要防范的外部网络）、技术手段（具体的实施技术）

5、防火墙技术原理：

包过滤技术：包过滤型防火墙即在网络中的适当位置对数据包实施有选择的通过。选择依据为系统内设置的过滤规则，只有满足过滤规则的数据包才被转发到相应的网络接口，其余数据包被丢弃。

代理技术：又称应用网关层技术，针对每一个特定应用都有一个程序。

状态检查技术：能够获得所有层次和应用相关的信息，防火墙必须能够访问、分析和利用通信信息、通信状态、来自应用的状态，对信息进行处理。

地址翻译技术：最初的设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到互联网上的IP地址编号问题。

内容检查技术、VPN技术

6、防火墙体系结构

（1）双宿主主机防火墙:双宿主主机通过用户直接登录到双宿主主机上来提供服务，从而需要在双宿主主机上开许多帐号，这是很危险的：（a）用户帐号的存在会给入侵者提供相对容易的入侵通道，每一个帐号通常有一个可重复使用口令（即通常用的口令，和一次性口令相对），这样很容易被入侵者破解。破解密码可用的方法很多，有字典破解、强行搜索或通过网络窃听来获得。（b）如果双宿主主机上有很多帐号，管理员维护起来是很

费劲的。（c）支持用户帐号会降低机器本身的稳定性和可靠性。（d）因为用户的行为是不可预知的，如双宿主主机上有很多用户帐户，这会给入侵检测带来很大的麻烦。

（2）被屏蔽主机防火墙：一般说来，路由器只提供非常有限的服务，所以保卫路由器比保卫主机更容易实现，从这一点可以看出，被屏蔽主机结构能提供比双宿主主机更好的安全性和可用性。

但是，如果侵袭者设法侵入堡垒主机，则在堡垒主机和其余内部主机之间没有任何保护网络安全的东西。路由器同样会出现这样的问题，如果路由器被损害，整个网络对侵袭者是开放的。因此，被屏蔽子网体系结构变得日益普及。

（3）被屏蔽子网防火墙：采用了屏蔽子网体系结构的堡垒主机不易被入侵者控制，万一堡垒主机被控制，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部过滤路由器的保护。

（4）其他形式的防火墙体系结构：将被屏蔽子网结构中的内部路由器和外部路由器合并；屏蔽子网结构中堡垒主机与外部路由器合并；使用多台堡垒主机；使用多台外部路由器；使用多个周边网络。

7、VPN技术的隧道协议有：隧道协议有点到点隧道协议(PPTP) 、第二层隧道协议(L2TP) 以及IPsec (Secure IP) 标准。

PPTP/ L2TP 的特点是:①封装的PPP数据包中包含用户信息；②支持隧道交换, 隧道交换可以根据用户权限, 开启并分配新的隧道, 将PPP 数据包在网络中传输；③便于企业在防火墙和内部服务器上实施访问控制。

L2TP协议综合了PPTP协议和L2F(Layer 2 Forwarding) 协议的优点, 并且支持多路隧道。

IPsec是一个广泛的、安全的VPN 协议, IPsec包含了用户身份认证、查验和数据完整性内容。该协议规定了用以在两个IP工作站之间进行加密、数字签名等而使用的一系列IP 级协议。IPsec实现来自不同厂商的设备在进行隧道开通和终止时的互操作。

9.2入侵检测技术(IDS)

8、什么是入侵检测，它是否可以作为一种安全策略单独使用？

入侵检测：是指对入侵行为的发觉。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统则是是完成入侵检测功能的软件、硬件及其组合它试图检测、识别和隔离“入侵”企图或计算机的不恰当未授权使用。

入侵监测系统一般处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作，一般不作为一种安全策略单独使用。

9、IDS通过对网络的数据包或主机的日志等信息进行提取、分析，发现入侵和攻击行为，并对入侵和攻击行为作出相应。

网络入侵系统必须具有的体系机构:数据获取、数据分析、行为相应、、和数据管理。

10、IDS类型：基于网络的IDS、基于主机的IDS

IDS基本技术：误用检测（专家系统、状态转移分析、基于条件概率的误用检测、基于规则的误用检测）、异常检测（量化分析、统计度量、非参数统计度量、神经网络）、混合性检测（基于代理检测、数据挖掘、免疫系统方法、遗传算法）。

11、入侵检测系统和防火墙协调工作。

首先安装防火墙，并制定相应的安全策略加以实施，从而完成对网络的第一层保护。入侵检测系统处于防火墙之后对网络活动进行实时检测。入侵检测系统扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则过滤从主机网卡到网线上的流量，提供实时报警。网络管理员分析入侵检测系统留下的记录，更新入侵检测系统和防火墙的安全策略，以提高系统的安全性。

9.3安全扫描技术

12、功能：采集信息、漏洞检测

13、分类：主机型安全扫描器 网络型安全扫描器

按扫描过程不同分为：ping扫描技术、端口扫描技术、操作系统探测扫描技术、已知漏洞扫描技术

9.5内网安全技术

14、

9.6反病毒技术

15、病毒特征：传染性是病毒的基本特征、未经授权而执行、隐蔽性、潜伏性、破坏性

16、计算机病毒可以分类：

按传染对象：引导型病毒、文件型病毒、混合型病毒

按感染系统：DOS病毒、宏病毒、Windows病毒

按感染方式：源码型病毒、入侵型病毒、操作型病毒和外壳型病毒，以文件外壳型病毒最为流行。

17、检测计算机病毒的方法：外观检测法、特征代码法、虚拟机技术、启发式扫描技术。

18、防范病毒的基本方法：不轻易上一些不正规的网站；千万提防电子邮件病毒传播；对于渠道不明的光盘、U盘等便携存储器，使用前应该查毒；经常关注一些网站BBS发布的病毒报告；对于重要文件、数据做到定期备份；不能因为担心而不敢使用网络