第十二章网络安全技术

第12章网络安全技术本章要求:

理解网络安全的基本特征；了解目前网络安全的主要问题；掌握计算机病毒的基本处理技术；掌握防火墙的基本概念及其配置；理解VPN的基本概念；掌握IPSecVPN的基本配置；掌握WindowsServer2008VPN服务器的部署；掌握GPG数据加密软件的使用；掌握WindowsServer2008证书服务的构建。12.1网络安全概述

网络安全是指网络系统的硬件、软件及相关数据受到保护，不因偶然或恶意攻击而遭受破坏、更改、泄露。12.1.1网络安全的特征（1）可靠性（2）可用性（3）保密性（5）可控性（4）完整性12.1.2网络安全的主要问题1.操作系统的脆弱性2.相关软硬件设施的脆弱性3.网络协议其问题4.病毒5.黑客技术6.防范意识差12.2病毒及其处理技术计算机病毒是一种附着在其他程序上的，可以实现自我繁殖的程序代码。到目前为止，计算机病毒还没有一个统一的概念。12.2.1计算机病毒概述

我国颁布实施的《中华人民共和国计算机信息系统安全保护条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”1.计算机病毒的特征（1）传染性（2）潜伏性（3）破坏性（4）隐蔽性（5）触发性2.计算机病毒的分类（1）按传染媒体分类:引导型、文件型和混合型病毒（2）按传染方法分类:驻留型病毒和非驻留型病毒（3）按病毒算法分类:伴随型病毒、蠕虫病毒和寄生型病毒3.常见病毒（1）木马病毒（2）蠕虫病毒（3）脚本病毒12.2.2国外的优秀杀毒软件目前市场的杀毒软件产品琳琅满目，目前Toptenreviews已经发布了2010年度的世界杀毒软件排名，如图12-1所示是在Toptenreviews站点上的排名显示。（1）BitDefender（2）Kaspersky（4）NortonAntiVirus（5）ESETNod32（6）AVGAnti-Virus（7）F-SecureAnti-Virus（8）GDATAAntiVirus（9）AviraAntiVirPremium（10）TrendMicroAntiVirus+AntiSpyware12.2.3国内的杀毒软件（1）金山毒霸（2）瑞星杀毒软件（3）江民杀毒软件12.2.4病毒处理步骤1.防毒防毒是指根据系统特性，采取相应的安全措施预防病毒侵入计算机。通过采取防毒措施，可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、Internet或其它形式的文件下载等多种方式进行的病毒传播；能够在病毒侵入系统时发出警报，记录携带病毒的文件，及时清除病毒；对网络而言，能够向网络管理员发送关于病毒入侵的信息，记录病毒入侵的工作站，必要时还要能够注销工作站，隔离病毒源。2.查毒

查毒是指对于确定的环境，能够准确地报出病毒名称，该环境包括，内存、文件、引导区（含主导区）、网络等。查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染病毒，并准确查找出病毒来源，给出统计报告；查毒能力应由查毒率和误报率来评判。3.杀毒杀毒是指根据不同类型病毒对感染对象的修改，按照病毒的感染特性所进行的恢复，该恢复过程不能破坏未被病毒修改的内容。感染对象包括：内存、引导区（含主引导区）、可执行文件、文档文件、网络等。12.2.5金山毒霸2011的使用金山毒霸2011是应用“可信云查杀”的杀毒软件，它采用本地正常文件白名单快速匹配技术，配合强大的金山可信云端体系，实现了强大的网络安全保证。使用方法见课本p284-p28612.3防火墙技术

本节讲述防火墙的基本概念及软、硬件防火墙的基本配置。12.3.1防火墙概述防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流，防护墙是提供信息安全服务，实现网络和信息安全的基础设施，如图12-13是防火墙在网络中的位置。1.防火墙的基本术语（1）DMZ区（2）吞吐量（3）最大连接数（5）并发连接数（4）数据包转发率2.防火墙的功能防火墙的功能包括限定内部用户访问特殊站点，防止未授权用户访问内部网络，允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源，记录通过防火墙的信息内容和活动，对网络攻击进行监测和报警。防火墙的分类（1）包过滤型防火墙（2）代理型防火墙（3）基于状态检测的包过滤型防火墙4.防火墙的工作模式

（1）路由模式路由模式是防火墙的缺省工作模式，防火墙可以充当路由器，提供路由功能。防火墙位于内部网络和外部网络之间，需要将其与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，如图12-14是路由模式的网络拓扑。（2）透明桥模式在透明桥模式中，防火墙可以方便的接入到网络，而且保持所有的网络设备配置完全不变。透明模式只支持InsideInterface和OutsideInterface两个接口。防火墙在透明桥模式下工作时，对用户来说像是网桥或交换机，用户感觉不到防火墙的存在。这种模式对网络结构的变更最小，但是在透明桥模式下，防火墙的功能要受到一些限制，某些过滤功能在透明桥模式下无法实现。此时防火墙类似网桥的工作方式，降低了网络管理的复杂度。如图12-15是透明桥模式下的网络拓扑结构。（3）混合模式如果防火墙既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况，此时启动VRRP（VirtualRouterRedundancyProtocol，虚拟路由冗余协议）功能的接口需要配置IP地址，其它接口则不需要配置IP地址。12.3.2金山网盾软件防火墙的使用

软件防火墙运行于特定的计算机上，它需要客户机操作系统的支持，软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。软件防火墙一般运行在网络的客户机上，用于对网络主机的保护。软件防火墙的性能一般，不能应用于网络服务器的管理。使用方法见p289-p29012.3.3PIX525硬件防火墙的配置

硬件防火墙和芯片级防火墙的区别在于是否基于专用的硬件平台。目前市场上常见的硬件防火墙都是基于PC架构的，它运行经过裁剪和简化的UNIX、Linux、FreeBSD等操作系统实现网络安全控制。12.4.1VPN的基本概念VPN指的是在公用网络中建立专用数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成。VPN的主要目的是保护传输数据，是保护从信道的一个端点到另一端点传输的信息流。信道的端点之前和之后，VPN不提供任何的数据包保护。

1.VPN的类型根据VPN的应用业务大致可分为AccessVPN、IntranetVPN与ExtranetVPN三类。AccessVPN是指企业员工通过因特网远程拨号的方式访问企业内联网而构筑的VPN，通常也叫做远程拨号VPN。

IntranetVPN是指在一个组织内部如何安全地连接两个相互信任的内联网，要求在公司与分支机构之间建立安全的通信连接。这种应用模式需要做的不仅是要防范外部入侵者对企业内联网的攻击，还要保护在因特网上传送的敏感数据。ExtranetVPN是基于Internet的VPN，虚拟专用网络支持远程访问客户以安全的方式通过公共互联网络远程访问企业资源。

2.VPN隧道协议目前常见的VPN技术包括IPSecVPN、SSLVPN、MPLSVPN。（1）IPSecVPNIPSecVPN是基于IPSec技术的虚拟局域网解决方案。（2）SSLVPNSSLVPN是基于SSL技术的虚拟局域网解决方案。（3）MPLSVPNMPLSVPN以标签交换是作为底层转发机制的虚拟专用网技术。多协议标签交换（MPLS）是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由、转发和交换等能力。MPLS独立于第二和第三层协议，它将IP地址映射为简单的具有固定长度的标签，用于不同的数据包转发和交换。12.4.2IPSecVPN的基本配置

IPSec是一组开放的网络安全协议的总称，提供访问控制、无连接的完整性、数据来源验证、防重放保护、加密以及数据流分类加密等服务。IPSec包括AH（报文验证头协议）和ESP（报文安全封装协议）两个安全协议。AH主要提供的功能有数据来源验证、数据完整性验证和防报文重放功能。ESP在AH协议的功能之外再提供对IP报文的加密功能。如图12-24是IPSec的构成。图12-24IPSec的结构AH或ESP协议都支持两种模式的使用：隧道模式和传输模式。隧道模式对传经不安全的链路或Internet的专用IP内部数据包进行加密和封装（此种模式适合于有NAT的环境）。传输模式直接对IP负载内容（即TCP或UDP数据）加密（适合于无NAT的环境）。建立如图12-25所示的网络拓扑，要求给RouterA和routerb配置IPSecVPN，实现分校和总校的VPN通信。要求首先实现分校和总校能实现相关通信，即配置好了相关的路由协议。12.4.3基于WindowsServer2008部署VPN服务器安装步骤见课本p295-p30012.5数据加密技术

所谓数据加密，就是按确定的加密变换方法（加密算法）对需要保护的数据（也称为明文，plaintext）作处理，使其变换成为难以识读的数据（密文，ciphertext）。其逆过程，即将密文按对应的解密变换方法（解密算法）恢复出现明文的过程称为数据解密，如图12-55所示是密码编制和密码分析过程。12.5.1常见加密算法1.对称加密技术对称加密算法（symmetricalgorithm）指的是加密密钥能够从解密密钥中推算出来，同时解密密钥也可以从加密密钥中推算出来的密码算法2.非对称加密技术非对称加密（dissymmetricalencryption），又叫公开密钥加密算法（publickeyalgorithm）。12.5.2基于GPG的数据加密

nuPG（GNUPrivacyGuard或GPG）是一个以GNU通用公共许可证释出的开放源码用于加密或签名的软件，GnuPG是GNU项目中的一员，是信息加密技术中的开源自由软件。GnuPG的相关信息可以在其官方站点/查看。12.6数字证书

数字证书采用公钥机制，证书颁发机构提供的程序为用户产生一对密钥，一把是公开的公钥，它将在用户的数字