网络管理与安全.doc

第六章 网络管理与安全随着Internet的迅速扩张与广泛应用，人们在充分体验网络给他们带来巨大利益的同时，逐渐认识到无限制扩充网络带来的弊病以及对应的诸多安全问题。一方面，网络提供了资源的共享性，提高了系统的可靠性，通过分散工作提高了工作效率，并且还具有可扩充性。这些特点使得计算机网络深入到经济、国防、科技、文教等各个领域。另一方面，网络的扩大带来了网络设备与协议的复杂性，增加了网络管理的必要性，资源共享和分布也增加了网络受威胁和攻击的可能性。6.1 网络管理6.1.1 网络管理的概念当今时代，网络得到巨大的发展，各种新的网络技术和网络产品的同时也不断扩充现有的网络，人们逐渐开始感受到无限制扩充网络带来的弊病，尤其是那些应用了许多不同的网络技术的公司，更感觉到这个问题的严重性。一个较大的网络通常跨越广域网，连接不同类型的局域网，如令牌网、以太网、FDDI网等。网络除计算机设备外还有大量网络互联设备，如各类集线器、网桥、路由器、交换设备等。对于这种复杂的分布式环境中的各类资源的“集中”管理，也称为网络管理，就显得十分必要了。按照国际标准化组织的定义，网络管理是指规划、稳定、安全、控制网络资源的使用和网络的各种活动，以使网络的性能达到最优。网络管理的目的在于提供对计算机网络进行规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的手段，从而合理地组织和利用系统资源，提供安全、可靠、有效和友好的服务。1网络管理的对象网络管理对象一般包括路由器，交换机， HUB等。近年来，网络管理对象有扩大化的趋势，即把网络中几乎所有的实体：网络设备，应用程序，服务器系统，辅助设备如UPS电源等都作为被管对象。给网络系统管理员提供一个全面系统的网络视图。2网络管理的任务和目标网络管理的任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息，将结果显示给管理员并进行处理，从而控制网络中的设备、设施、工作参数和工作状态，使其可靠运行。网络管理的目标包括一下几个方面：减少停机时间，改进响应时间，提高设备利用率； 减少运行费用，提高效率； 减少或消除网络瓶颈；适应新技术； 使网络更容易使用；安全。可见，网络管理的目标是最大限度地增加网络的可用时间，提高网络设备的利用率、网络性能、服务质量和安全性，简化网络管理和降低网络运行成本，并提供网络的长期规划。6.1.2 网络管理的功能在OSI网络管理标准中定义了网络管理的五个基本功能：配置管理、性能管理、故障管理、安全管理和计费管理。1配置管理配置管理（configuration management）包括视图管理、拓扑管理、软件管理、网络规划和资源管理。只有在有权配置整个网络时，才可能正确地管理该网络，排除出现的问题，因此这是网络管理最重要的功能。配置管理的关键是设备管理，它由以下两个方面构成： 布线系统的维护做好布线系统的日常维护工作，确保底层网络连接完好，是计算机网络正常、高效运行的基础。对布线系统的测试和维护一般借助于双绞线测试仪、光纤测试仪、规程分析仪和信道测试仪等。关键设备管理网络中的关键设备一般包括网络的主干交换机、中心路由器以及关键服务器。对这些关键网络设备的管理除了通过网络软件实时监测外，更重要的是要做好它们的备份工作。2性能管理网络性能主要包括网络吞吐量、响应时间、线路利用率、网络可用性等参数。网络性能管理（performance management）指通过监控网络运行状态，调整网络性能参数来改善网络的性能，确保网络平稳运行。它主要包括以下工作： 性能数据的采集和存储主要完成对网络设备和网络通道性能数据的采集与存储。性能门限的管理性能门限的管理是为了提高网络管理的有效性，在特定的时间内为网络管理者选择监视对象、设置监视时间以及提供设置和修改性能门限的手段。当性能不理想时，通过对各种资源的调整来改善网络性能。性能数据的显示和分析根据管理要求，定期对当前和历史数据进行显示及统计分析，生成各种关系曲线，并产生数据报告。3故障管理故障管理（fault management）又称失效管理，主要对来自硬件设备或路径节点的报警信息进行监控、报告和存储，以及进行故障诊断、定位与处理。所谓故障，就是那些引起系统以非正常方式运行的事件。它可分为由损坏的部件或软件故障引起的故障，以及由环境引起的外部故障。用户希望有一个可靠的计算机网络。当网络中某个组成失效时，必须迅速查找到故障并能及时给予排除。通常，分析故障原因对于防止类似故障的再次发生相当重要。网络故障管理包括故障检测、隔离和排除三方面。故障检测维护和检查故障日志，检查事件的发生率，看是否已发生故障，或即将发生故障。故障诊断执行诊断测试，以寻找故障发生的准确位置，并分析其产生的原因。故障纠正将故障点从正常系统中隔离出去，并根据故障原因进行修复。4安全管理安全管理（security management）主要保护网络资源与设备不被非法访问，以及对加密机构中的密钥进行管理。安全管理（security management）主要保护网络资源与设备不被非法访问，以及对加密机构中的密钥进行管理。安全管理是网络系统的薄弱环节之一。网络中需要解决的安全问题有：网络数据的私有性，保护网络数据不被侵入者非法获取；授权，防止侵入者在网络上发送错误信息；访问控制，控制对网络资源的访问。相应地，网络安全管理应包括对授权机制、访问机制、加密和加密密钥的管理等。5计费管理计费管理（accounting management）主要管理各种业务资费标准，制定计费政策，以及管理用户业务使用情况和费用等。计费管理对网络资源的使用情况进行收集、解释和处理，提出计费报告，包括计费统计、账单通知和会计处理等内容，为网络资源的应用核算成本并提供收费依据。这些网络资源一般包括：网络服务，例如数据的传输；网络应用，例如对服务器的使用。根据用户所使用网络资源的种类，计费管理分为三种类型：基于网络流量的计费；基于使用时间的计费；基于网络服务的计费。计费管理的作用是：计算各用户使用网络资源的费用；规定用户使用的最大费用；当用户需要使用多个网络中的资源时，能计算出总费用。另外，在某些场合网络管理还需要从事系统管理(System Management)工作，系统管理是管理网络上提供的各种服务。目前的网络管理系统一般都要求支持此功能。随着各种网络应用的不断增加，网络资源管理的问题也变得越来越重要,例如域名注册、网络地址分配、代理服务器等。网络管理系统的主要功能是维护网络正常地、高效率地运行。网管系统能及时检测网络出现的故障并进行处理，能通过监测分析运行状况而估价系统性能，通过对网络的配置协调，更有效地利用网络资源，保证网络高效率正常运行。6.1.3 网络管理的体系结构在ISO提出其OSI参考模型的同时，Internet及其制订的TCP/IP协议以简单、易于实现和互连性强等优点，迅速得到业界和其它领域的广泛应用。SNMP(Simple Network Management Protocol，简单网络管理协议)最初是为符合TCP/IP的网络管理而开发的一个应用层的协议。其主导思想是尽可能简洁、清晰。SNMP建立在TCP/IP传输层的UDP协议之上，提供的是不可靠的无连接服务，以保证信息的快速传递和减少对带宽的消耗。利用SNMP，可访问诸如每秒传输的数据量和网络差错率等网络管理数据，这就使网络管理员能方便地管理网络的性能，发现并解决网络故障。SNMP协议到目前为止已有三个版本：SNMP1.0版本是初始版本；SNMP2.0版本增加了安全性方面的功能，并在操作性和管理体系结构方面做了较大改进。目前最新的版本是SNMP3.0，其重点是安全、可管理的体系结构和远程配置。SNMP具有以下持点：简单性：顾名思义，SNMP非常简单，容易实现且成本低；可伸缩性：SNMP可管理绝大部分符合Internet标准的设备；扩展性：通过定义新的“被管理对象”，即MIB，可以非常方便地扩展管理能力；鲁棒性(Robust)：即使在被管理设备发生严重错误时，也不会影响管理工作站的正常工作。SNMP出台后，在短短几年内得到了广大用户和厂商的支持。现在SNMP已经成为Internet网络管理最重要的标准，SNMP以其简单易用的持性成为企业网络计算中居于主导地位的一种网络管理协议。实际上已是个事实上的网络管理标准。它可以在异构的环境中进行集成化的网络管理，几乎所有的计算机主机、工作站、路由器、集线器厂商均提供基本的SNMP功能。SNMP提供的是一种面向无连接的服务，它不能确保其它实体一定能收到管理信息流。SNMP是通过轮询方式来进行管理的，即管理中心每隔一段时间向各个对象发出询问，以得到信息来进行管理。但是为了对紧急情况作出迅速的处理，SNMP还引进了汇报，当被管对象发生了紧急情况时就主动向中心汇报，如图6-2所示。图6-2 SNMPSNMP的代理分别由网络一级的管理工作站进行管理。当代理发出Trap 信息时，对一般设备出错，直接由网络级的管理工作站处理；如果Trap信息涉及到整个网络时，低级的管理工作站可将相应信息传送给高层管理工作站进行处理。另外，高层管理工作站也可以要求低层管理工作站转发管理原语。使用这种策略，可以有效地进行较大规模网络的管理。在Internet管理模型中，一个完整的网络管理体系结构如图6-3所示。图6-3 网络管理体系结构其中包括：网络元素(有时称为被管理设备)；网络元素是指计算机、路由器等硬件设备；代理(Agent)：代理是驻留在网络元素中的软件模块，它们收集并存储管理信息(如网络元素收到的错误包的数量等)；管理对象(Management Object)：管理对象是能被管理的所有实体(网络，设备，线路，软件)。例如在特定的主机之间的一系列现有活动的TCP线路是一个管理对象。管理对象不同于变量，变量只是管理对象的实例；管理信息库：对网络资源的管理是通过将这些资源作为对象的方式来实现的，每个对象实际上就是一个代表被管理的一个特征的变量，这些变量构成的集合就是MIB。 MIB存放报告对象的管理参数；MIB函数提供了从管理工作站到代理的访问点，管理工作站通过查询MIB中对象的值来实现监测功能，通过改变MIB对象的值来实现控制功能。每个MIB应包括：系统与设备的状态信息、运行的数据统计和配置参数；语法(Syntax)：一个语法就是用一种独立于机器的格式来描述MIB管理对象的语言。一致地使用一种语法可使不同类型的计算机来共享信息。Internet管理系统利用ISO的OSI ASN.1(Abstract Syntax Notation 1)来定义管理协议间相互交换的包和被管理的对象；管理信息结构(SMI，The Structure of Management Information)：SMI定义了描述管理信息的规则，报告对象是如何定义的以及如何表示在MIB中的。SMI由ASN.l来定义，这样就使得这些信息与所存放设备的数据存储表示形式无关；网络管理工作站(NMS，Network Management Station，有时称为控制台)：这些设施运行管理应用来监视和控制网络元素，在物理上NMS通常是具有高速CPU、大内存、大硬盘等的工作站，作为网络管理工作站管理网络的界面，在每个管理环境中至少需要一台NMS；部件(Parties)：这是SNMP v2新增的定义，部件是一个逻辑的SNMP v2的实体，它能初始化或接收SNMP v2的通信。每个SNMP v2实体包括：一个单一的唯一的实体标识、一个逻辑的网络定位、一个单一证明的协议、一个单一的保密的协议。SNMP v2的信息是在两个实体间来通信。一个SNMP v2的实体可定义多个部件，每个部件具钉不同的参数；管理协议(Management Protocol)：管理协议是用来在代理和NMS之间转换管理信息，提供在网络管理站和被管理设备间交互信息的方法。SNMP就是在Internet环境中的一个标准的管理协议；网络管理系统：真正的网络管理功能的实现(即所谓网络管理系统)，它驻留在网络管理工作站中，通过对被管对象中的MIB信息变量的操作实现各种网络管理功能。6.2 网络安全基础知识计算机网络安全是指通过采取各种技术的和管理的安全措施，确保网络数据的可用性、完整性和保密性，其目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄漏等。6.2.1 网络安全的内涵由于计算机网络最重要的资源是它向用户提供的服务和所拥有的信息，因而计算机网络的安全性可以定义为保障网络服务的可用性(Availability)和网络信息的完整性(Integrity)。最新的内涵包括：保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、实用性(Utility)、真实性(Authenticity)和占有性(Possession)。保密性是指防止静态信息被非授权访问和防止动态信息被截取解密。完整性是指信息在存储或传输时不被修改、破坏，或信息包丢失、乱序等。信息完整性是信息安全的基本要求，破坏信息完整性是影响信息安全的常用手段。目前，对于动态传输的信息，确保信息完整性的方法大多是收错重传、丢弃后续包等，但黑客的攻击可以改变信息包的内容。可靠性是指信息的可信度，包括信息的完整性、准确性和发送人的身份证实等方面。可靠性也是信息安全性的基本要素。实用性即信息加密密钥不可丢失(不是泄密)，丢失了密钥的信息也就丢失了信息的实用性。可用性一般是指主机存放静态信息的可用性和可操作性。病毒常常破坏信息的可用性，使系统不能正常运行，使数据文件面目全非。占有性是指存储信息的主机、磁盘等信息载体被盗用导致对信息占用权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密、提供物理和逻辑的访问限制方法，以及维护和检查有关盗窃文件的审计记录、使用标签等。6.2.2 网络安全的内容及目标1网络安全的主要内容从内容上看，网络安全大致包括以下四个方面。网络实体安全：如计算机机房的物理条件、物理环境及设施的安全标准，计算机硬件、附属设备、网络传输线路的安装及配置等。软件安全：如保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等。数据安全：保护数据不被非法存取，确保其完整性、一致性、机密性等。安全管理：运行时突发事件的安全处理等，包括采取计算机安全技术、建立安全管理制度、开展安全审计、进行风险分析等。2、网络的安全目标OSI安全体系结构的安全目标是网络的保密性、完整性和可用性的具体化。基本的安全目标包括以下方面：防止未授权的数据被修改、窃取、篡改或破坏；防止未经发觉的遗漏或重复数据；防止利用隐含通道窃取机密信息，甚至设置病毒，使系统陷入崩溃；防止未授权的泄漏数据；确保数据的发送者正确无误；确保数据的接收者正确无误；根据保密要求与数据来源对数据作标记，数据的发送者、接收者以及交换量仅仅对发送者与接收者是可见的，以确定用户的合法性；提供可供安全审计的网络通信记录，防止对用户进行欺骗；可对独立的第三方证明通信过程已经实现；在取得明确的可访问系统的许可(授权)后，才能与该系统通信。6.2.3 网络安全威胁的成因众所周知，网络是为广大用户共享网上的资源而互连的，然而网络的开放性与共享性也导致了网络的安全性问题，网络容易受到外界的攻击和破坏。有的是故意造成的，也有的是无意损害的。但不管属于哪一类，都会使信息的安全保密性受到严重影响。因此，无论是使用专用网还是Internet等公用网，都要注意保护自己本单位、本部门内部的信息资源不会受到外来因素的侵害。通常，人们希望网络能为用户提供众多的服务，同时又能提供相应的安全保密措施，而这些措施不应影响用户使用网络的方便性。下面是一些造成网络安全保密问题日益突出的主要原因。网络的共享性资源共享是建立计算机网络的基本目的之一，但是这也为不法分子利用共享的资源进行破坏活动提供了机会。系统的复杂性计算机网络是个复杂的系统，系统的复杂性使得网络的安全管理更加困难。边界不确定性网络的可扩展性同时也隐含了网络边界的不确定性。一个宿主机可能是两个不同网络中的节点。因此，一个网络中的资源可由另一个网络中的用户访问。这样，一些未经授权的怀有恶意的用户会给网络安全构成严重威胁。路径不确定性从用户宿主机到另一个宿主机可能存在多条路径。假设节点A1的一个用户想发一份报文给节点B3上的一个用户。而这份报文在到达节点B3之前可能要经过节点A2或B2。即使节点A1能提供令人满意的安全保密措施，而节点A2或B2可能不能，这样便会危害数据的安全。6.2.4 网络安全体系1网络安全的攻防体系从系统安全的角度可以把网络安全的研究内容分成两大体系：攻击和防御，该体系研究内容如图6-4所示。图6-4 网络安全的体系攻击技术主要包括以下几个方面：网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监昕目标计算机与其他计算机通信的数据。网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息。网络后门：成功入侵目标计算机后，为了实现对战利品的长期控制，在目标计算机中种植木马等后门。网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。防御技术主要包括以下几个方面：安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。加密技术：为了防止被监昕和数据被盗取，将所有的数据进行加密。防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。网络安全协议：保证传输的数据不被截获和监听。2网络安全的层次体系从层次体系上，可以将网络安全分成4个层次上的安全：物理安全、逻辑安全、操作系统安全和联网安全。（1）物理安全物理安全主要包括5个方面：防盗、防火、防静电、防雷击和防电磁泄漏。其中，防电磁泄漏是指电子计算机和其他电子设备一样，工作时要产生电磁发射。电磁发射包括辐射发射和传导发射。这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原，造成计算机的信息泄露。屏蔽是防电磁泄漏的有效措施，屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽3种类型。（2）逻辑安全计算机的逻辑安全需要用口令、文件许可等方法来实现。可以限制登录的次数或对试探操作加上时间限制；可以用软件保护存储在计算机文件中的信息；限制存取的另一种方式是通过硬件完成，在接收到存取要求后，先询问并校核口令，然后访问列于目录中的授权用户标志号。此外，有一些安全软件包也可以跟踪可疑的、未授权的存取企图，例如，多次登录或请求别人的文件。（3）操作系统安全操作系统是计算机中最基本、最重要的软件。同一计算机可以安装几种不同的操作系统。如果计算机系统可提供给许多人使用，操作系统必须能区分用户，以便防止相互干扰。一些安全性较高、功能较强的操作系统可以为计算机的每一位用户分配账户。通常，一个用户一个账户。操作系统不允许一个用户修改由另一个账户产生的数据。（4）联网安全联网的安全性通过以下两方面的安全服务来达到：访问控制服务：用来保护计算机和联网资源不被非授权使用。通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。6.3 网络安全技术网络安全技术主要包括密码与信息加密技术、防火墙技术以及入侵检测技术等。6.3.1 密码与信息加密技术1数据加解密算法通常，我们将源信息称为明文，为了保护明文，可以将其通过某种方式变换成为无法识别的密文，这个变换处理的过程称为加密：另一方面，密文经过相应的逆变换再还原成明文，这个变换处理过程称为解密，如图6-5所示。图6-5 加密解密过程加密算法是用于加密解密变换的数学函数，通常使用两个相关的函数，解密函数是加密函数的逆函数，反之亦然。假设M(message)代表明文，C(cipher text)代表密文，E(enciphering)代表加密变换，D(deciphering)代表解密变换，则上述加密解密过程可以用数学形式描述为：E (M)=C，D (C)=M。经过加密变换后的信息，即使被偷窃，偷窃者由于没有解密手段而无法理解其含义，这样起到了保护源信息的作用。而信息的合法接收者具有解密手段，从而可以获得明文信息。2算法与密钥密码算法也叫密码函数，是用于加密和解密的数学函数。通常情况下，有两个相关的函数：一个用做加密，另一个用做解密。如果算法本身是保密的，这种算法称为受限的算法，受限制的算法具有历史意义。受限制的密码算法不可能进行质量控制或标准化，每个用户组织必须有他们自己的唯一的算法，这样的组织不可能采用流行的硬件或软件产品。但窃听者却可以买到这些流行产品并学习算法，进而破解密码。尽管有这些主要缺陷，受限制的算法对低密级的应用来说不是很流行的。现代密码学用密钥解决了这个问题，密钥用K表示。K可以是很多数值里的任意值，密钥K的可能值的范围叫做密钥空间。加密和解密运算都使用这个密钥，即运算都依赖于密钥，并有K作为下标表示，加解密函数表达为：EK(M)=CDK(C)=MDK(EK(M)=M加密、解密过程如图6-6所示。图6-6 使用一个密钥的加解密有些算法使用不同的加密密钥和解密密钥，也就是说加密密钥K1与相应的解密密钥K2不同，在这种情况下，加密和解密的函数表达式为：EK1(M)=CDK2(C)=M函数必须具有的特性是，DK2(EK1(M)=M，如图6-7所示。图6-7 使用两个密钥的加解密所有这些算法的安全性都在于密钥的安全性，而不是算法的安全性。这意味着算法是可以公开的，即使偷听者知道算法也没有关系，因为不知道使用的具体密钥，就不可能阅读消息。基于密钥的算法通常有两类：对称算法和公开密钥算法。下面分别介绍这两类常见的算法。（1）对称算法对称算法有时又称为传统密码算法，加密密钥能够从解密密钥中推算出来，反过来也成立。在大多数对称算法中，加解密的密钥是相同的。对称算法要求发送者和接收者在安全通信之前，协商一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加解密。对称算法的加密和解密表示为：EK(M)=CDK(C)=M对称算法可分为两类：序列算法和分组算法。一次只对明文中的单个比特或者字节进行运算的算法称为序列算法或序列密码。另一类算法是对明文的一组比特或者字节进行运算，称为分组算法或分组密码。现代计算机密码算法的典型分组长度为64位，这个长度已经足以防止被分析破译。（3）公开密钥算法公开密钥算法的加密的密钥和解密的密钥不同，而且解密密钥不能根据加密密钥计算出来，或者至少在可以计算的时间内不能计算出来。之所以叫做公开密钥算法，是因为加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥都能解密信息。加密密钥叫做公开密钥（简称公钥），解密密钥叫做私人密钥（简称私钥）。公开密钥K1加密表示为：EK1(M)=C。公开密钥和私人密钥是不同的，用相应的私人密钥K2解密可表示为：DK2(C)=M。3数字签名数字签名是非对称密钥加密技术与数字摘要技术的具体应用，类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。数字签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法，一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名，但主要采用的是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA、椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等，它与具体应用环境密切相关。显然,数字签名的应用涉及到法律问题，美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS)。数字签名可以保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。数字签名是个加密的过程，数字签名验证是个解密的过程。6.3.2 防火墙技术1防火墙的概念所谓“防火墙”，是指一种将内部网和公用网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，将“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。防火墙是一个或一组实施访问控制策略的系统，它在内部网络(专用网络)与外部网络(公用网络)之间形成一道保护屏障，以防止非法用户访问内部网络上的资源和非法向外传递内部信息，同时也防止这类非法和恶意的网络行为导致内部网络的运行遭破坏。由于防火墙的地位和作用是处于网络边界的位置，它可以由硬件、软件或它们的相互结合具体实现。防火墙应该具有双向作用，它是一种将外部网络和内部网络在一定程度上隔离的技术。防火墙是内部网络与外部网络之间一种特殊的访问控制设施，在Internet网络与内部网之间设置一道屏障，防止黑客进入内部网。由用户制定安全访问策略，抵御黑客的侵袭，主要方法有：IP地址过滤、服务代理等。一般防火墙的示意图如图6-8所示。图6-8 防火墙2防火墙的作用（1）作为网络安全的屏障只有经过精心选择的应用协议才能通过防火墙，可使网络环境变得更安全。如防火墙可以禁止NFS协议进出受保护的网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。（2）可以强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙身上。（3）可以对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等也是非常重要的。（4）可以防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。3防火墙的设置当进行防火墙设置时 ，需要从以下几个方面进行考虑。（1）防火墙的基本准则防火墙可以采取两种截然不同的基本准则：“拒绝一切未被允许的东西”，这一准则的含义是，防火墙应该先封锁所有信息流的出入，然后只对所希望的服务或应用程序逐项解除封锁。由于防火墙只支持相关的服务，因此，通过这个准则，可以创建相对安全的环境。但这种准则的弊端是，它使用了最大程度的限制以保证系统的安全，因而限制了用户可选择的服务范围。“允许一切未被特别拒绝的东西”，这一准则的含义是，防火墙可以转发所有的信息流，然而要对可能造成危害的服务进行删除。这种方法比前一种方法显得更灵活一些，可使用户得到更多的服务。但其弊端是，网管人员任务太繁重，他必须知道哪些服务应该被禁止，有些时候，对禁止的内容可能并不全面。（2）机构的安全策略防火墙并不是孤立的，它是一个系统安全中不可分割的组成部分。安全政策必须建立在认真的安全分析、风险评估和商业需要分析的基础之上。如果一个机构没有一项完备的安全策略，大多数精心制作的防火墙可能形同虚设，使整个内部网络暴露给攻击者 。（3）防火墙的费用防火墙的费用取决于它的复杂程度以及要保护的系统规模。一个简单的包过滤式防火墙可能费用最低，因为包过滤本身就是路由器标准功能的一部分，也就是说一台路由器本身就是一个可以做为防火墙的设备。在商业里为了提高公司内部机密更加严紧性，所以需要专门购买较好的安全设备，但这些设备的价格非常不菲。有些网管理在主机上使用一些安全软件，随然没有设备的价格的昂贵，但软件会占用系统资源且还要定期升级这都需要一批昂贵的费用的。4防火墙的组成对防火墙的安全策略、基本准则和预算问题做出决策后，就可以决定其防火墙系统所要求的特定部件。一般的防火墙都由一个或多个组件组成，如：包过滤路由器、应用网关（代理网关服务器）和堡垒主机。（1）包过滤路由器包过滤路由器可以决定对它所收到的每个数据包的取舍。包路由器又称为“屏蔽路由器”。路由器对每发送或接收来的数据包审查是否与某个包过滤规则相匹配。过滤规则是以IP数据包中的信息为基础的，其中包括：IP源地址、IP目的地址、封装协议（TCP、UDP或ICMP协议等等）、TCP/UDP源端口、TCP/UDP目的端口、ICMP报文类型、包输入接口和包输出接口等。如果找到一个匹配，且规则允许该数据包通过，则该数据包根据路由表中的信息向前转发。如果找到一个与规则不相匹配的，且规则拒绝此数据包，则该数据包将被舍弃。如图6-9所示。图6-9 使用过滤路由器进行数据包过滤包过滤路由器具有以下优点：执行包过滤所用的时间很少或几乎不需要什么时间。对路由器的负载较小。由于包过滤路由器对端用户和应用程序是透明的，因此不需要在每台主机上安装特别的软件。（2）应用网关（代理服务器）代理服务器上安装有特殊用途的特别应用程序，被称为“代理服务“或“代理服务器程序”。使用代理服务后，各种服务不再直接通过防火墙转发，对应用数据的转发取决于代理服务器的配置：可以只支持一个或多个应用程序的特定功能，同时拒绝所有其他功能，如图6-10所示；比如同时支持WWW、FTP、Telnet、SMTP和DNS等。图6-10 使用代理转发数据（3）堡垒主机包过滤路由器允许信息包在外部系统与内部系统之间的直接流动。应用网关允许信息在系统之间流动，但不允许直接交换信息包。允许信息在内部的网络系统与外部的网络系统之间进行交换的主要风险在于，受保护的内部网络中的各种硬件或软件必须能够承受得了由于提供相关服务所产生的各种威胁。而堡垒主机是Internet上的主机能够连接到的、惟一的内部网络上的系统，它对外而言，屏蔽了内部网络听主机系统，所以任何外部的系统试图想访问内部的系统或服务时，都必须连接到堡垒主机上，如图6-11 所示。因此，堡垒主机需保持更高级的主机安全性。图6-11 使用堡垒主机作为防火墙应用网关常常被称作“堡垒主机”，因为它是一个被特别“加固”的、用来防范各类攻击的专用系统。通常，堡垒主机具有以下一些特点：堡垒主机的硬件平台上运行的是一个比较“安全”操作系统，如UNIX操作系统，它防止了操作系统受损，同时也确保了防火墙的完整性。只有那些有必要的服务才安装在堡垒主机内。一般来说，堡垒主机内只安装为数不多的几个代理应用程序子集。如：SMTP、DNS、FTP、DHCP等等。6.3.3 入侵检测技术1.入侵检测的概念及作用入侵检测（Intrusion Detection）是指对企图入侵、正在进行的入侵或已经发生的入侵进行识别并做出反应（告警、记录、中止等）的过程。检测的基本方法是通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，并根据分析和检查的情况，做出相应的响应。入侵检测系统（Intrusion Detection System，IDS）则是完成入侵检测功能的软件、硬件及其组合，是一种能够通过分析系统安全相关数据来检测入侵活动的系统。入侵检测首先像一个摄像机，能够捕获并记录网络上所有数据，同时它又像具有经验、熟悉各种攻击方式的侦察员，能够分析捕获的数据并过滤出可疑的异常的数据，退去其巧妙的伪装，判断入侵是否发生以及入侵为何种类型，并进行告警或反击。入侵检测系统的单独使用不能起到保护系统和网络的作用，也不能单独地防止任何攻击。但它是整个安全系统的主要组成部分，扮演一个侦察和预警的角色，协助管理员发现和处理已知攻击和异常行为，主要作用如下：监测并分析用户和系统的活动；核查系统配置和漏洞；评估系统关键资源和数据文件完整性；识别已知的攻击行为；统计分析异常行为；针对已发现的攻击行为作出适当反应。2.入侵检测系统的必要性在一个受保护的系统中，通常会按系统安全策略配置相应的安全防护措施，防范可能的安全事件，如防火墙系统、访问控制系统、漏洞扫描系统等。防火墙系统像一道门，置于受保护系统的边界，可以阻止或放行符合规则的一类人，但不能阻止同类人中有问题的人；而合法用户处在防火墙之内，内部用户的非法行为防火墙无法组织。访问控制系统可以防止未授权人的访问行为，阻止越权访问，但无法保证授权人的非法活动，也无法阻止非法获得权限或低权限者非法提升权限等行为。漏洞扫描系统可以帮助管理员了解系统和网络存在的漏洞，但它是非实时的，也不能发现正在利用漏洞进行的攻击。入侵检测系统是通过数据和行为模式判断受保护系统的有效性，在防火墙之后，作为其它安全措施的有效补充，可以监视外部用户，监控内部访问，实时检测受保护系统，如图6-12所示。图6-12 入侵检测系统作用示意图3.入侵检测系统结构如图6-13所示为一个IDS的功能结构，它至少包含事件提取、入侵分析、入侵响应和远程管理四个部分功能：图6-13 入侵检测系统功能结构事件提取 负责提取与被保护系统相关的运行数据或记录，并负责对数据进行简单的过滤，检测成功与否依赖于数据的可靠性、正确性和实施性。 入侵分析在提取到的运行数据中找出入侵痕迹，将授权的正常访问行为和非授权的不正常访问行为区分开，分析出入侵行为并对入侵者进行定位。 入侵响应在分析出入侵行为后被触发，根据入侵行为产生响应。分为主动响应和被动响应两种形式。远程管理由于单个入侵检测系统的检测能力和检测范围的限制，入侵检测系统一般采用分布监视集中管理的结构，多个检测单元运行于网络中的各个网段或系统上，通过远程管理功能在一台管理站点上实现统一的管理和监控。 4.入侵检测系统分类 （1）根据检测对象和工作方式来分类，可以分为基于主机的入侵检测系统、基于网络的入侵检测系统和混合型入侵检测系统。基于主机的入侵检测系统基于主机的IDS是在每台要保护的主机后台运行一个代理程序，检测主机运行日志中记录的未经授权的可疑行径，检测正在运行的进程是否合法并及时做出响应。它运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。其优点包括：不需要额外的硬件；可监视特定的系统行为；能确定入侵攻击是否成功；适合加密和交换环境。基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。其优点包括：实施成本低；隐蔽性好；不影响被保护主机的性能、易维护 ；攻击者转移证据很困难；与操作系统无关。混合型入侵检测系统混合型入侵检测系统是基于主机的和基于网络的入侵检测系统两种类型的结合，其优点在于：综合了基于网络和基于主机两种结构特点的混合型入侵检测系统；可发现网络中的攻击信息；可以从系统日志中发现异常情况。缺点则是代价较高。（2）根据检测分析技术来分类，可以分为异常检测系统和误用检测系统两类。异常检测系统异常检测也称为基于行为的检测技术，是根据用户的行为和系统资源的使用状况来判断是否存在入侵。其原理是假定所有的入侵活动都是异常于正常主体的活动。如果能为系统建立一个主体正常行为的活动轮廓，从理论上来说就可以通过统计分析哪些偏离已建立的活动轮廓的行为。例如，一个程序员的正常活动与一个打字员的正常活动肯定不同，打字员常用的是编辑文件、打印文件等命令，而程序员则更多地使用编辑、编译、调试、运行等命令。这样，根据各自不同的正常活动建立起来的特征文件，便具有用户行为特性。 误用检测系统误用检测系统也称为基于知识的检测技术，假设所有入侵行为都有可能被检测到特征，检测主体活动是否符合这些特征就是系统的目标。根据这一理念，如果把以往发现的入侵行为的特征总结出来并建立入侵特征库，那么就可以将当前捕获分析到的入侵行为特征与特征信息库中的特征相比较，从而判断确定入侵。类似于大部分杀毒软件采用的特征码匹配原理。（3）根据体系结构来分类，可以分为集中式、分层式和分布式。集中式IDS有多个分布在不同主机上的审计程序，仅有一个中央IDS服务器。审计程序：从本地收集数据踪迹并发送至中央服务器进行分析处理。随着服务器所承载的主机数量增多，中央服务器进行分析处理的数量就会猛增，而且一旦服务器遭受攻击，整个系统就会崩溃。分层式IDS定义了一系列检测区域，每一个入侵检测系统负责监视一个区域。由每个检测区域的入侵检测系统来分析本区域的主机审计数据，并将分析结果传送给上一层IDS。分布式IDS将单个中央入侵检测服务器的职责分配到若干个相互协作的入侵检测系统，每个入侵检测系统都只负责检测本地主机的某一方面的情况，所有入侵检测系统并发执行并且相互协作。能够产生一致性的推论并制定全局性的决策。6.4 项目实训这里介绍一个Windows安全策略与审计的实例。1目的通过这个实例来学习Windows 2003中安全审计策略的配置，理解Windows 2003中审计策略的作用，掌握IE浏览器的安全策略配置，掌握系统补丁的升级策略配置。操作系统的安全配置是整个系统安全审计策略核心，其目的就是从系统根源构筑安全防护体系，通过用户的一系列设置，形成一整套有效的系统安全策略。2.具体内容具体内容包括：进行Windows操作系统的帐户策略管理；Windows操作系统中文件操作的审计策略；对Windows用户账号管理进行审计；对Windows用户登录事件进行审计；对IE浏览器进行安全配置；对系统补丁自动升级进行配置。3.实施步骤运行Windows 2003系统。（1）帐户策略操作者以管理员身份登录系统：打开“控制面板|管理工具”，运行“本地安全策略”；打开“本地安全设置”对话框，选择“帐户策略|密码策略|密码长度最小值”，通过此窗口设置密码长度的最小值，如图6-14所示。图6-14 密码长度设置窗口选择“密码必须符合复杂性要求”，通过此窗口可以启用此功能，如图6-15所示。图6-15 密码属性窗口操作者以管理员身份登录系统：打开“控制面板|管理工具”，运行“本地安全策略”；打开“本地安全设置”对话框，选择“帐户策略|帐户锁定策略|帐户锁定阀值”，如图6-16所示。图6-16 本地安全设置（2）文件操作的审计操作者以管理员身份登录系统：打开“控制面板|管理工具”，运行“本地安全策略”；打开“本地安全设置”对话框，选择“本地策略|审核策略”，双击“审核对象访问”，选“成功”和“失败”，如图6-17所示。图6-17 审核对象访问窗口在硬盘上新建一个名为“测试保密.vsd”文件，右键单击该文件，单击“属性”，然后单击“安全”选项卡。如图6-18所示。图6-18 属性修改单击“高级”，然后单击“审核”选项卡。如图6-19图所示。图6-19 高级安全设置单击“添加”；在“输入要选择的对象名