网络安全技术相关知识概述

1、9.1网络平安概述 9.1.1网络平安简介 网络是一条数据高速公路，它专门用来添加对计算机系统的访问，而平安性却专门用来控制访问。提供网络平安性是在公开访问与控制访问之间的一种权衡举措。在家里，经过锁门为财富提高平安性，而不是封锁街道。同样，网络平安性普通是指对单台主机提高适宜的平安性，而不是直接在网络上提高平安性。 计算机平安包括物理平安和逻辑平安。对于前者要加强计算机机房的管理；而对于后者那么需求用口令字、文件答应或查帐等方法来实现。计算机平安的目的是：在平安和通讯方便之间建立平衡。 9.1网络平安概述 9.1.2网络平安的重要性计算机系统经常遭到进攻。更令人不安的是大多数进攻未被觉察。这

2、些进攻给国家平安带来的影响程度还未确定，但已发现的进攻多数是针对计算机系统所存放的敏感信息，其中三分之二的进攻是胜利的，入侵者黑客盗窃、修正或破坏了系统上的数据 。被引荐的平安措施有：对非法访问的登录进展横幅警告。 键盘级监控。捕捉。 呼叫者ID。截取。 数据加密。防火墙。防火墙是防止Intranet被入侵的最好方法。 9.1网络平安概述9.1.3信息系统平安的脆弱性 信息系统在平安方面存在的问题。1操作系统平安的脆弱性 2计算机网络平安的脆弱性3数据库管理系统平安的脆弱性4短少平安管理 9.1网络平安概述9.1.4平安控制的种类可用于维护一个计算机网络的平安控制有两种，即内部和外部控制。1内

3、部控制简单的说内部控制是对计算机系统本身的控制。密码、防火墙和数据加密都属于内部控制。内部控制只需与某一级的外部控制相结合时才生效。2外部控制外部控制指系统本身无法控制的部分。外部控制总体上有三类： 物理控制 人事控制 程序控制9.1网络平安概述9.1.5网络平安的方法根本上说，处置网络的平安问题有两种方法。用户或允许某人访问某些资源，或者回绝某人访问这些资源。对于某种安装来说，访问或者回绝访问的规范是独一的。1允许访问 指定的用户具有特权才可以进展访问。这些规范在某种程度上应该与资源共有的性质相匹配。2回绝访问回绝访问是对某一网络资源访问的一个回绝。 3异常处置网络平安中经常同时运用上述两种

4、方法。 9.2 网络平安战略 9.2.1 最小特权 或许最根本的平安原那么就是最小特权原那么。最小特权原那么意味着任何对象仅应具有该对象需求完成指定义务的特权，它能尽量防止他蒙受侵袭，并减少侵袭呵斥的损失。 9.2.2 纵深防御不要只依托单一平安机制，尽量建立多层机制。防止某个单一平安机制失败后他的网络会彻底地垮掉。9.2.3 阻塞点阻塞点强迫侵袭者经过一个他可以监控的窄小通道在因特网平安系统中，位于他的局域网和因特网之间的防火墙假设它是他的主机和因特网之间的独一衔接就是这样一个阻塞点。9.2 网络平安战略9.2.4 最薄弱环节平安维护的根本原那么是链的强度取决于它的最薄弱环节，就像墙的巩固程

5、度取决于它的最弱点。聪明的侵袭者总要找出那个弱点并集中精神对其进展攻击。他应认识到防御措施中的弱点，以便采取行动消除它们，同时他也可以仔细监测那些无法消除的缺陷。平等对待平安系统的一切情况，以使得此处与彼处的危险性不会有太大的差别。9.2.5 失效维护形状平安维护的另一个根本原那么就是在某种程度上做到失效维护，即假设系统运转错误，那么它们会停顿效力，回绝用户访问，这能够会导致合法用户无法访问该系统，但这是可接受的折衷方法。 9.2 网络平安战略9.2.6 普遍参与 为了使平安机制更有效，绝大部分平安维护系统要求网络用户的普遍参与。假设某个用户可以随便地从他的平安维护机制中退出，那么侵袭者很有能

6、够会先侵袭内部人员系统，然后再从内部侵袭他的网络。9.2.7防御多样化正如他可以经过运用大量的系统提供纵深防御一样，他也可以经过运用大量不同类型的系统得到额外的平安维护。假设他的系统都一样，那么只需知道怎样侵入一个系统就会知道怎样侵入一切系统。 9.2 网络平安战略9.2.8简单化简单化也是一个平安维护战略，这有两个缘由：第一，简单的事情易于了解，假设他不了解某事，他就不能真正了解它能否平安；第二，复杂化会提供隐藏的角落和缝隙，一间任务室比一拣大厦更容易保证其平安性。复杂程序有更多的小缺陷，任何小缺陷都能够引发平安问题。 9.3防火墙的作用与设计 9.3.1 防火墙的作用Internet的迅速

7、开展为人们发布和检索信息提供了方便，但它也使污染和破坏信息变得更容易。人们为了维护数据和资源的平安，创建了防火墙。防火墙从本质上来说是一种维护安装，用来维护网络数据、资源和用户的声誉。 防火墙效力用于多个目的：限定人们从一个特别的节点进入。防止入侵者接近他的防御设备。限定人们从一个特别的节点分开。有效的阻止破坏者对他的计算机系统进展破坏。 9.3防火墙的作用与设计从逻辑上讲，防火墙是分别器、限制器和分析器；从物理角度看，各个防火墙的物理实现方式可以有所不同，它通常是一组硬件设备路由器、主机和软件的多种组合。 防火墙的优点： (1)防火墙能强化平安战略 (2)防火墙能有效地记录因特网上的活动(3

8、)防火墙可以实现网段控制(4)防火墙是一个平安战略的检查站 防火墙的缺陷：(1)防火墙不能防备恶意的知情者(2)防火墙不能防备不经过它的衔接9.3防火墙的作用与设计(3)防火墙不能防备全部的要挟(4)防火墙不能防备病毒 防火墙要检测随机数据中的病毒非常困难，它要求：确认数据包是程序的一部分确定程序的功能确定病毒引起的改动 9.3.2防火墙的功能防火墙通常具有以下几种功能：数据包过滤代理效力 9.3防火墙的作用与设计1数据包过滤数据包过滤系统在内部网络与外部主机之间发送数据包，但它们发送的数据包是有选择的。它们按照本人的平安战略允许或阻止某些类型的数据包经过，这种控制由路由器来完成，所以数据包过

9、滤系统通常也称之为屏蔽路由器。普通路由器只是简单地查看每一个数据包的目的地址，然后选择发往目的地址的最正确途径。处置数据包目的地址的方法普通有两种：假设路由器知道如何将数据包发送到目的地址，那么发送。假设路由器不知道如何将数据包发送到目的地址，那么前往数据包，经由ICMP向源地址发送不能到达的音讯。 9.3防火墙的作用与设计屏蔽路由器有以下特点：屏蔽路由器比普通的路由器担负更大的责任，它不但要执行转发义务，还要执行确定转发的义务。假设屏蔽路由器的平安维护失败，内部的网络将被暴露。简单的屏蔽路由器不能修正义务。屏蔽路由器能允许或回绝效力，但它不能维护效力之内的单独操作。假设一个效力没有提供平安的

10、操作，或者这个效力由不平安的效力器提供，那么屏蔽路由器就不能保证它的平安。9.3防火墙的作用与设计2代理效力代理效力是运转在防火墙主机上的专门的运用程序效力器程序。防火墙主机可以是一个同时拥有内部网络接口和外部网络接口的双重宿主主机，也可以是一些内部网络中独一可以与因特网通讯的堡垒主机。代理效力程序接受用户对因特网效力的恳求，并按照平安战略转发它们的恳求。所谓代理就是一个提供替代衔接并且充任效力的网关。由于这个缘由，代理也称之为运用级网关。代理效力位于内部用户和外部效力之间，它在幕后处置一切用户和因特网效力之间的通讯，以替代它们之间的直接交谈。 9.3防火墙的作用与设计9.3.3防火墙的体系构

11、造防火墙的体系构造普通有以下几种双重宿主主机体系构造屏蔽主机体系构造屏蔽子网体系构造1双重宿主主机体系构造双重宿主主机体系构造是具有双重宿主功能的主机而构筑的。该计算机至少有两个网络接口，一个是内部网络接口，一个是因特网接口。 9.3防火墙的作用与设计2屏蔽主机体系构造双重宿主主机体系构造提供内部网络和外部网络之间的效力但是路由封锁，屏蔽主机体系构造运用一个单独的路由器来提供内部网络主机之间的效力。在这种体系构造中，主要的平安机制由数据包过滤系统来提供 。3屏蔽子网体系构造屏蔽子网体系构造在屏蔽主机体系构造的根底上添加额外的平安层，它经过添加周边网络把内部网络更进一步地与因特网隔分开。周边网络

12、 堡垒主机 内部路由器 外部路由器 9.3防火墙的作用与设计4防火墙体系构造的不同方式 运用多堡垒主机 合并内部路由器与外部路由器 合并堡垒主机与外部路由器 合并堡垒主机与内部路由器 运用多台内部路由器 运用多台外部路由器 运用多个周边网络 运用双重宿主主机与屏蔽子网 9.3防火墙的作用与设计9.3.4内部防火墙 实验室网络 不平安的网络 特别平安的网络 协作共建防火墙 共享周边网络 堡垒主机可有可无 9.3防火墙的作用与设计9.3.5开展趋势被称为“第三代防火墙的系统正在成为现实，它综合了数据包过滤与代理系统的特点与功能。 目前，人们正在设计新的IP协议也被称为IP version 6。IP

13、协议的变化将对防火墙的建立与运转产生深化的影响，大多数网络上的信息流都有能够被走漏，但新式的网络技术如帧中继、异步传输方式ATM可将数据包从源地址直接发送给目的地址，从而防止信息流在传输中途被泄露。 9.4 WWW的平安性 本节讨论有关WWW方面的平安性问题，包括以下几方面的内容： * HTTP协议 * SSL加密和平安HTTP * WWW效力器及配置问题 * JAVA applet 和 JavaScript * CGI程序 * Perl言语 * Plug-in * ActiveX * Cookie9.4 WWW的平安性9.4.1 Web 与 协议 HTTP是运用级的协议，主要用于分布式、协作

14、的超媒体信息系统。HTTP协议是通用的、无形状的，其系统建立与传输的数据无关。HTTP也是面向对象的协议，可用于各种义务，包括并不局限于名字效力、分布式对象管理、恳求方法的扩展和命令等等。 1Web的访问控制 2HTTP平安思索 3平安超文本传输协议 4平安套接层 5缓存的平安性 9.4 WWW的平安性9.4.2 WWW效力器的平安破绽 1NCSA效力器的平安破绽 2Apache WWW月务器的平安问题 3NetscaPe的WWW效力器的平安问题 9.4.3 CGI程序的平安性问题 1CGI程序的编写应留意的问题 2CGI脚本的激活方式 3不要依赖于隐藏变量的值 4WWW客户应留意的问题 5运

15、用Perl的感染检查 9.4 WWW的平安性6CGI的权限问题 7Plug-in的平安性 9.4.5 SSL的加密的平安性 SSL用公共密钥加密，来在客户与效力器之间交换一个进程密钥，这个密钥用来加密HTTP传输过程包括恳求和呼应。每次传输采用不同的密钥，因此即使某些人可以破译某次传输，并不意味着他们发现了效力器的密码，假设他们想要破译下一次，他们就必需付出像第一次那样的时间和努力。 9.4 WWW的平安性9.4.6 Java与JavaScript 1Java applet的平安性问题 2JavaScript的平安性问题 9.4.7 ActiveX的平安性 ActiveX是Microsoft公

16、司开发的用来在Internet上分发软件的技术。像Java applet一样，Active的控件能结合进Web页中，典型的表现是一个美丽的可交互的图形。有许多为 Microsoft Internet ExPlorer目前独一支持它们的阅读器而做的是ActiveX控件，包括滚动的字幕、背景声发生器和执行Java applet的ActiveX控件。不像Java那样是独立于平台的编程言语，ActiveX控件是以可执行的二进制码分发的，必需为各种目的机器和操作系统分别编译。 9.4 WWW的平安性9.4.8 Cookies的平安性 Cookie是Netscape公司开发的一种机制，用来改善HTTP协议的无形状性。通常，每次阅读器从Web效力器