计算机网络安全

教学内容问题原由计算机网络的广泛应用,促进了社会的进步和繁荣,并为人类社会创造了巨大财富。但由于计算机及其网络自身的脆弱性以及人为的攻击破坏,也给社会带来了损失。因此,网络安全已成为重要研究课题。重点讨论网络安全技术措施:计算机密码技术、防火墙技术、虚拟专用网技术、网络病毒防治技术,以及网络管理技术。教学重点能力要求掌握：网络安全与管理的概念；网络安全与管理技术应用。熟悉：计算机密码技术、防火墙技术、虚拟专用网技术、网络病毒防治技术。知识结构防火墙技术网络安全与管理网络安全技术网络病毒防治技术破密方法现代加密方法数字认证虚拟专用网数据加密与数字认证网络病毒的防治网络病毒的类型网络病毒的特点网络安全的评价标准网络安全的基本概念防火墙的基本结构防火墙的基本类型防火墙的基本功能防火墙的基本概念VPN的基本类型VPN的安全协议VPN的实现技术VPN的基本概念网络管理技术简单网络管理协议ISO网络管理功能域网络管理的逻辑结构网络管理的基本概念数据加密概念传统加密方法防火墙的安全标准与产品常用网络管理系统网络性能管理与优化计算机网络安全技术网络犯罪的概念

违反法律规定，利用计算机网络信息技术进行以网络内容为对象，并妨害网络正常运行秩序，严重危害社会，依法应负刑事责任的行为。网络犯罪与计算机犯罪区别网络犯罪是针对和利用网络进行的犯罪，网络犯罪的本质特征是危害网络及其信息的安全与秩序。所谓计算机犯罪，就是在信息活动领域中，利用计算机信息系统或计算机信息知识作为手段，或者针对计算机信息系统，对国家、团体或个人造成危害，依据法律规定，应当予以刑罚处罚的行为。网络犯罪的特点

第一，犯罪科技含量高。第二，隐蔽性强，侦察取证难度大。第三，犯罪成本低且具有跨国性。第四，危害广泛和后果严重。第五，犯罪形式多样。第六，虚拟的现实性。犯罪形式

（1）是通过信息交换和软件的传递过程，将破坏性病毒附带在信息中传播、在部分免费辅助软件中附带逻辑炸弹定时引爆、或者在软件程序中设置后门程序的犯罪。（2）是通过非法手段，针对网络漏洞对网络进行技术入侵，侵入网络后，主要以偷窥、窃取、更改或者删除计算机信息为目的的犯罪。（3）是利用公用信息网络侵吞公共财务，以网络为传播媒体在网上传播反动言论或实施诈骗和教唆犯罪。（4）是利用现代网络这一载体，实施侮辱、诽谤、恐吓与敲诈勒索犯罪。（5）是利用现代网络实施色情影视资料、淫秽物品的传播犯罪。网络犯罪的原因(主观)

第一，贪图钱财、谋取私利。第二，发泄不满、进行报复。第三，智力挑战网络、游戏人生。第四，政治目的网络犯罪的原因(客观)第一，由于市场经济的发展产生的贫富差距越来越大，而计算机时代计算机信息系统储存、处理、和传输的数据中有大量是具有价值的信息，这些信息能够带来利益第二，网络犯罪成本低效益高是犯罪诱发点。第三，网络技术的发展和安全技术防范不同步，使犯罪分子有机可乘。第四，法律约束刚性不强。第五，网络道德约束的绵软和网络道德教育的缺失第六，社会亚文化对网络犯罪起推波助澜的作用。预防网络犯罪的对策

打击和预防网络犯罪活动，必须坚持“预防为主，打防结合”的方针，本着防范与惩处相结合的原则，应着重强化以下几个方面：（一）加强技术管理与网络安全管理的工作（二）完善立法（三）净化网络环境，加强网络道德建设（四）强化国际合作，加大打击力度计算机信息网络国际联网安全保护管理办法(19971230)第五条任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息：（一）煽动抗拒、破坏宪法和法律、行政法规实施的；（二）煽动颠覆国家政权，推翻社会主义制度的；（三）煽动分裂国家、破坏国家统一的；（四）煽动民族仇恨、民族歧视，破坏民族团结的；（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；（七）公然侮辱他人或者捏造事实诽谤他人的；（八）损害国家机关信誉的；（九）其他违反宪法和法律、行政法规的。计算机网络安全技术安全现状及关键技术简介据联邦调查局统计，美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道，世界上平均每20秒就发生一次入侵国际互联网络的计算机安全事件，三分之一的防火墙被突破。

美国联邦调查局计算机犯罪组负责人吉姆•塞特尔称：给我精选10名“黑客”，组成个小组，90天内，我将使美国趴下。超过50%的攻击来自内部，其次是黑客.

网络安全事件的有关报道11/29/96CIAHOMEPAGEDOJHOMEPAGEUSAFHOMEPAGE被黑的WEB页面

美国白宫历史协会

美国驻华大使馆网站被攻击主服务器遭到黑客攻击后瘫痪在启用备份服务器后，数据大部分被删除有CheckPoint防火墙，但防火墙行同虚设主机上没有作过多配置，存在大量的服务安装了pcAnywhere远程控制软件案例一：某电子商务网站被攻击现象在遭到黑客攻击后应采取的措施关键数据的备份主机日志检查与备份主机的服务端口的关闭主机可疑进程的检查主机帐号的修改防火墙的策略修改启用防火墙日志详细记录避免使用的危险进程利用DiskRecovery技术对硬盘数据进行恢复案例一的教训遭到黑客DDOS攻击服务器被瘫痪，无法提供正常的服务来源地址有3000多个，多数来自与国内有一部分攻击主机是电信内部的IP地址案例二：中国电信信息港被攻击加强对骨干网设备的监控减少骨干网上主机存在的漏洞在受到攻击时，迅速确定来源地址，在路由器和防火墙上作一些屏蔽实现IDS和防火墙的联动案例二的教训21信息战就是通过破坏或操纵计算机网络上的信息流的办法，对敌人的电话网、油气管道、电力网、交通管制系统、国家资金转移系统、各种银行转账系统和卫生保建系统等实施破坏，以达到战略目的。战争领域应用221、低进入成本。一个形象的描述就是：一个绝顶聪明的14岁的孩子，外加一台电脑、一个调制解调器、一条电话线就可以发动战略信息战进攻。一个案例：1997年，一个16岁的英国孩子和另外一个不知名的助手，打进了美国空军最高指挥和控制研究开发机构罗姆实验室的计算机，并以此为跳板，侵入了多台国防承包商的计算机，乃至韩国原子能研究所的计算机。战争领域应用所谓观念操纵，说白了就是宣传工作。利用信息技术可以伪造文字、声音、图像等所有的东西。

一个案例：在海湾战争期间，美国陆军第4心理作战部队的专家们就曾考虑过用一种叫做CommandoSolo的专用电子心理战飞机控制住伊拉克的电视台，在上面播放萨达姆·侯赛因喝威士忌、吃火腿（这两件事都是伊斯兰教所不允许的）的伪造录像片。信息战的经典案例观念操纵24

俄罗斯：“电子战”车臣显神威1996年4月21日晚，车臣“总统”杜达耶夫在车臣西南部的格希丘村村外的田野里用卫星移动电话打电话给“自由”广播电台。该电话向通信卫星发出的无线电波被俄方的雷达截收后，俄方利用先进的计算机技术将其锁定，准确地确定出通话者的方位，携带空对地精确制导炸弹的俄军战机直扑目标。几分钟后，两枚俄制炸弹在距格希丘村1500米的地方爆炸。杜氏的卫星移动电话泄了密，导致了他的死亡。信息战的经典案例25封闭式系统的入侵方式—银行为例

正在安装假读卡机于读卡机上

26假读卡机掩盖真读卡机上

27提款机旁安装假宣传单盒

28假宣传单盒看象附属提款机

29假宣传单盒的内部结构

301、信息的收集入侵者攻击的第一步就是尽一切可能对攻击目标进行信息收集以获取充足的资料。采取的方法包括：使用whois工具获取网络注册信息；使用nslookup或dig工具搜索DNS表以确定机器名称；确定了攻击目标的基本属性（站点地址、主机名称），入侵者将对它们进行深入剖析。使用ping工具探寻“活”着的机器；对目标机器执行TCP扫描以发现是否有可用服务。

黑客入侵步骤31312、实施攻击列举两种攻击方法：（1）通过发送大量数据以确定是否存在缓冲区溢出漏洞。所谓缓冲区溢出：指入侵者在程序的有关输入项目中了输入了超过规定长度的字符串，超过的部分通常就是入侵者想要执行的攻击代码，而程序编写者又没有进行输入长度的检查，最终导致多出的攻击代码占据了输入缓冲区后的内存而执行。（2）尝试使用简单口令破解登录障碍。黑客入侵步骤32以下是一个缓冲区溢出的程序：Voidfun(char*str)//注意：C语言不检查数组边界{charbuf[16];strcpy(buf,str);}Voidmain(){inti;charbuffer[128];for(i=0;i<127;i++)buffer[i]=‘A’;buffer[127]=0;fun(buffer);//将128字节的字符拷贝到16字节的缓冲区中

printf(“thisisatest\n”);}程序运行结果并未显示：thisisatest。当程序执行fun函数后，由于缓冲区溢出，程序并未返回printf语句，而是转向了一个无法预料的地址。如果在程序的返回地址处执行一段危险指令，则后果不堪设想。黑客入侵步骤333、安装后门,清除日志对于入侵者而言，一旦成功地入侵了网络中的一台机器，入侵者现在要做的就是隐藏入侵痕迹并制造日后再攻的后门，这就需要对日志文件或其他系统文件进行改造，或者安装上木马程序、或者替换系统文件为后门程序。黑客入侵步骤34漏洞分析─Script描述語言ASP程序语言为一种Script描述语言。Script描述语言的特点：在程序执行以前，所有原先是变数的地方，都会被替换成当时输入的值。SQLInjection攻击的原理35因此若输入的帐号为「a’or‘’=‘’」，输入的密码为「a’or‘’=‘’」，則原先的SQL指令就被改成了select*fromAccountswhereId=‘a’or‘’=‘’

and

Password=‘a’or‘’=‘’select*fromAccountswhereId=‘输入的帐号’

andPassword=‘输入的密码’36服务器端的程序

select*fromAccountswhereId=‘Id’and

Password=‘Password’恶意使用者输入范例一

Login：'or''=‘Password：'or''=‘原SQL指令变成

select*fromAccountswhereId=''or''=''and

Password=''or''=''SQLInjection攻击的原理373839Internet的攻击类型

1.拒绝服务攻击

（1）PING风暴（PINGFlooding）PING命令是用来在网络中确认特定主机是否可达，但它也被用作攻击主机的手段。2）同步包风暴（SYNFlooding）,同步风暴是应用最为广泛的一种DOS攻击方式。（3）电子邮件炸弹（E-mailBomb）。电子邮件炸弹的目的是通过不断地向目标E-MAIL地址发送垃圾邮件，占满收信者的邮箱，使其无法正常使用。（4）Land攻击，Land攻击的原理是：向目标主机的某个开放端口发送一个TCP包，并伪造TCP/IP地址，使得源IP地址等于目标IP地址，源端口等于目标端口，这样，就可以造成包括WINDOWS2000在内的很多操作平台上的主机死机。Internet的攻击类型

2．后门

“后门”一般隐藏在操作系统或软件中，不为使用者知晓为漏洞，而它可使某些人绕过系统的安全机制获取访问权限。黑客可利用一些“扫描机（scanners）”的小程序，专门寻找上网用户的系统漏洞，例如NetBIOS及Windows“文件及打印共享”功能所打开的系统后门。一旦扫描程序在网上发现了系统存在着漏洞，那些恶意攻击者就会设法通过找到的“后门”进入你的计算机，并获取你的信息。所有的这些非法入侵行为，你可能毫无查觉。Internet的攻击类型

3．远程缓冲溢出攻击

缓冲区溢出漏洞是一种利用了C程序中数组边界条件、函数指针等设计不当而造成地址空间错误来实现的。大多数Windows、Linux、Unix、数据库系统的开发都依赖于C语言，而C的缺点是缺乏类型安全，所以缓冲区溢出成为操作系统、数据库等大型应用程序最普遍的漏洞。Internet的攻击类型

4．网络攻击

网络攻击的主要手段表现为端口扫描，端口扫描的目的是找出目标系统中所提供的服务，它逐个尝试与TCP/UDP端口建立连接，然后根据端口与服务的对应关系，综合服务器端的反应来判断目标系统运行了哪些服务。利用端口扫描，黑客可以判断目标主机的操作系统类型及端口的开放情况，然后实施攻击。Internet的攻击类型

5．特洛伊木马攻击

“特洛伊木马程序”是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个在Windows启动时悄悄运行的程序，采用服务器/客户机的运行方式，从而达到在你上网时控制你的电脑的目的。黑客可以利用它窃取你的口令、浏览你的驱动器、修改你的文件、注册表等。特洛伊木马不仅可收集信息，它还可能破坏系统，特洛伊木马不能自身复制，因此，它不属于计算机病毒。Internet的攻击类型

6.网络病毒

Internet的开放性，为病毒的滋生、变种和传播提供了一个无限广阔的空间。病毒是将自身依附于其他软件的一段程序，目的是破坏计算机系统的数据或硬件，有许多专业的反病毒软件公司开发出了很多优秀杀毒软件，反病毒的关键是找出病毒的特征码，并且定期更新病毒数据库。网络病毒传播的主要途径是电子邮件的附件，此外，下载文件、浏览网页等也都有可能让病毒有入侵的机会。4646网际网络否认传送窃听

冒名传送篡改使用者甲使用者乙（机密性）（完整性）（身份认证）（不可否认性）

网络安全的目标47正常干扰窃取篡改冒充网络攻击类型访问攻击访问攻击是攻击者企图获得非授权信息，这种攻击可能发生在信息驻留在计算机系统中或在网络上传输的情况下，如图所示。这类攻击是针对信息机密性的攻击。访问攻击可能发生的地方常见的访问攻击常见的访问攻击有3种：（1）窥探窥探（snooping）是查信息文件，发现某些对攻击者感兴趣的信息。攻击者试图打开计算机系统的文件，直到找到所需信息。（2）窃听窃听（eavesdropping）是偷听他人的对话，为了得到非授权的信息访问，攻击者必须将自己放在一个信息通过的地方，一般采用电子的窃听方式，如图2.5所示。窃听常见的访问攻击（3）截获截获（interception）不同于窃听，它是一种主动攻击方式。攻击者截获信息是通过将自己插入信息通过的通路，且在信息到达目的地前能事先捕获这些信息。攻击者检查截获的信息，并决定是否将信息送往目的站，如图所示。常见的访问攻击常见的访问攻击截获对传输中的信息可通过窃听获得。在局域网中，攻击者在联到网上的计算机系统中安装一个信息包探测程序（sniffer），来捕获在网上的所有通信。通常配置成能捕获ID和口令。窃听也可能发生在广域网（如租用线和电话线）中，然而这类窃听需要更多的技术和设备。通常在设施的接线架上采用T形分接头来窃听信息。它不仅用于电缆线，也可用于光纤传输线，但需要专门的设备。常见的访问攻击55身份认证技术访问控制技术密码技术防火墙技术入侵检测技术安全审计技术保障网络安全的关键技术56

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不能通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。防火墙技术(Firewall)57

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙逻辑位置示意图防火墙

防火墙（FireWall）是一种位于两个或多个网络间，实施网络之间访问控制的组件集合。它实际上是一种隔离技术。它能允许你“同意”的数据进入你的网络，同时将你“不同意”的数据拒之门外，最大限度地阻止网络中的黑客访问你的网络。INTERNET实用技术防火墙功能

（1）过滤一些不安全的服务和非法用户，防止未授权的用户访问安全网络（2）控制对特殊站点或端口的访问，防火墙可以根据安全策略允许受保护网络的一部分主机被外部网络访问，而另一部分主机则被很好地保护起来。（3）作为网络安全的集中监测点，防火墙可以记录所有通过它的访问，并提供统计数据、预警和审计功能。防火墙的局限性

（1）不能防范恶意的知情者从内部攻击

（2）不能防范不通过防火墙的联接（3）防火墙不能防范病毒61

入侵检测的概念（IntrusionDetectionSystem）

通过从计算机网络或计算机系统中的若干关键点收集信息并进行分析，以发现网络或系统中是否有违反安全策略的行为和遭受袭击的迹象。入侵检测是对防火墙的合理补充，被认为是防火墙之后的第二道安全闸门。入侵检测技术(IDS)62知识库待检测的数据包入侵检测：入侵否？响应继续监听，检测下一个数据包

入侵检测系统原理图数据加密与数字认证

数据加密和数字认证是网络信息安全的核心技术。其中，数据加密是保护数据免遭攻击的一种主要方法；数字认证是解决网络通信过程中双方身份的认可，以防止各种敌手对信息进行篡改的一种重要技术。数据加密和数字认证的联合使用，是确保信息安全的有效措施。Internet加密数据流供应商采购单位SSL安全论证网关Web服务器1、密码学与密码技术

计算机密码学是研究计算机信息加密、解密及其变换的新兴科学,密码技术是密码学的具体实现,它包括4个方面：保密(机密)、消息验证、消息完整和不可否认性。

1保密（privacy）：在通信中消息发送方与接收方都希望保密，只有消息的发送者和接收者才能理解消息的内容。2验证（authentication）：安全通信仅仅靠消息的机密性是不够的，必须加以验证，即接收者需要确定消息发送者的身份。3完整（integrity）：保密与认证只是安全通信中的两个基本要素，还必须保持消息的完整,即消息在传送过程中不发生改变。4不可否认（nonrepudiation）：安全通信的一个基本要素就是不可否认性，防止发送者抵赖（否定）。2、加密和解密

密码技术包括数据加密和解密两部分。加密是把需要加密的报文按照以密码钥匙（简称密钥）为参数的函数进行转换，产生密码文件；解密是按照密钥参数进行解密,还原成原文件。数据加密和解密过程是在信源发出与进入通信之间进行加密，经过信道传输,到信宿接收时进行解密,以实现数据通信保密。数据加密和解密过程如图所示。加密密钥报文解密原报文加密解密模型明文密文传输明文信源加密单元解密单元信宿66•传统密码学~1976/77-1949年Shannon的“保密通信的信息理论”•现代密码学1976/77~today

-1976:Diffie&Hellman“公钥密码学的新方向”，掀起公钥密码研究的序幕。

-1977:美国国家标准局公布了美国的数据加密标准DES(DataEncryptionStandard)

数据加密技术——密码学的发展(cryptography)当加密密钥与解密密钥相同时，这样的加密体制称为私钥（单钥或对称）加密体制。当加密密钥与解密密钥不同时，这样的加密体制称为公钥（双钥或非对称）加密体制。3、密钥体系加密和解密是通过密钥来实现的。如果把密钥作为加密体系标准，则可将密码系统分为单钥密码（又称对称密码或私钥密码）体系和双钥密码（又称非对称密码或公钥密码）体系。在单钥密码体制下，加密密钥和解密密钥是一样的。在这种情况下，由于加密和解密使用同一密钥（密钥经密钥信道传给对方），所以密码体制的安全完全取决于密钥的安全。双钥密码体制是1976年W.Diffie和M.E.Heilinan提出的一种新型密码体制。1977年Rivest,Shamir和Adleman提出RSA密码体制。在双钥密码体制下,加密密钥与解密密钥是不同的,它不需要安全信道来传送密钥，可以公开加密密钥，仅需保密解密密钥。68ENetworkorStoragePlainTextCipherTextCipherTextDOriginalPlainTextBobSecretKeyAliceSecretKey对称密码加密模型70ENetworkPlainTextCipherTextCipherTextDPlainTextAliceBobBob:SecretKey非对称密码加密模型传统加密方法

1、代换密码法

⑴单字母加密方法：是用一个字母代替另一个字母,它把A变成E，B变成F，C变为G，D变为H。

⑵多字母加密方法：密钥是简短且便于记忆的词组。

2、转换密码法保持明文的次序，而把明文字符隐藏起来。转换密码法不是隐藏它们，而是靠重新安排字母的次序。

3、变位加密法把明文中的字母重新排列,字母本身不变，但位置变了。常见的有简单变位法、列变位法和矩阵变位法。

4、一次性密码簿加密法就是用一页上的代码来加密一些词，再用另一页上的代码加密另一些词，直到全部的明文都被加密。现代加密方法

1、DES加密算法

DES加密算法是一种通用的现代加密方法,该标准是在56位密钥控制下,将每64位为一个单元的明文变成64位的密码。采用多层次复杂数据函数替换算法，使密码被破译的可能性几乎没有。

2、IDEA加密算法相对于DES的56位密钥，它使用128位的密钥，每次加密一个64位的块。这个算法被加强以防止一种特殊类型的攻击,称为微分密码密钥。

IDEA的特点是用了混乱和扩散等操作,主要有三种运算：异或、模加、模乘，并且容易用软件和硬件来实现。IDEA算法被认为是现今最好的、最安全的分组密码算法，该算法可用于加密和解密。现代加密方法

邮件内容CH=MDS(C)S=ENRSA(H)KSM=C+S随机加密密钥E1=ENIDEA(M)E2=ENRSA(K)KRP将E1+E2寄出发送邮件收到E1+E2K=DERSA(E2)KRSM=DEIDEA(E1)K将M分离成C和SH1=MD5(C)取得收信人的分开密钥KPS1=DERSA(H1)KPS1=S?NoYes接收此邮件拒绝此邮件接收邮件3、RSA公开密钥算法

RSA是屹今为止最著名、最完善、使用最广泛的一种公匙密码体制。RSA算法的要点在于它可以产生一对密钥,一个人可以用密钥对中的一个加密消息，另一个人则可以用密钥对中的另一个解密消息。任何人都无法通过公匙确定私匙，只有密钥对中的另一把可以解密消息。取得收信人的分开密钥KRP现代加密方法

4、Hash－MD5加密算法

Hash函数又名信息摘要（MessageDigest）函数，是基于因子分解或离散对数问题的函数，可将任意长度的信息浓缩为较短的固定长度的数据。这组数据能够反映源信息的特征，因此又可称为信息指纹（MessageFingerprint)。Hash函数具有很好的密码学性质,且满足Hash函数的单向、无碰撞基本要求。

5、量子加密系统量子加密系统是加密技术的新突破。量子加密法的先进之处在于这种方法依赖的是量子力学定律。传输的光量子只允许有一个接收者，如果有人窃听，窃听动作将会对通信系统造成干扰。通信系统一旦发现有人窃听，随即结束通信，生成新的密钥。破密方法

1.密钥穷尽搜索就是尝试所有可能的密钥组合，虽然这种密钥尝试通常是失败的，但最终总会有一个密钥让破译者得到原文。

2.密码分析密码分析是在不知密钥的情况下利用数学方法破译密文或找到秘密密钥。常见的密码分析有如下两种：

⑴已知明文的破译方法：是当密码分析员掌握了一段明文和对应的密文,目的是发现加密的密钥。在实际应用中,获得某些密文所对应的明文是可能的。

⑵选定明文的破译方法：密码分析员设法让对手加密一段分析员选定的明文，并获得加密后的结果,以获得确定加密的密钥。

破密方法

3、防止密码破译的措施为了防止密码破译,可以采取一些相应的技术措施。目前通常采用的技术措施以下3种。

⑴好的加密算法：一个好的加密算法往往只有用穷举法才能得到密钥，所以只要密钥足够长就会比较安全。20世纪70～80年代密钥长通常为48～64位，90年代,由于发达国家不准许出口64位加密产品，所以国内大力研制128位产品。

⑵保护关键密钥（KCK：KEYCNCRYPTIONKEY）。

⑶动态会话密钥：每次会话的密钥不同。动态或定期变换会话密钥是有好处的，因为这些密钥是用来加密会话密钥的，一旦泄漏，被他人窃取重要信息，将引起灾难性的后果。数字认证技术

数字认证是一种安全防护技术，它既可用于对用户身份进行确认和鉴别,也可对信息的真实可靠性进行确认和鉴别,以防止冒充、抵赖、伪造、篡改等问题。数字认证技术包括数字签名、数字时间戳、数字证书和认证中心等。

1、数字签名

“数字签名”是数字认证技术中其中最常用的认证技术。在日常工作和生活中，人们对书信或文件的验收是根据亲笔签名或盖章来证实接收者的真实身份。在书面文件上签名有两个作用：一是因为自己的签名难以否认，从而确定了文件已签署这一事实；二是因为签名不易伪冒，从而确定了文件是真实的这一事实。但是，在计算机网络中传送的报文又如何签名盖章呢，这就是数字签名所要解决的问题。Key数字签名初始文件签名文件加密的签名文件数字签名初始文件数字摘要数字摘要正确初始文件HASH编码一致KeyKeyKey数字摘要初始文件数字认证

在网络传输中如果发送方和接收方的加密、解密处理两者的信息一致，则说明发送的信息原文在传送过程中没有被破坏或篡改,从而得到准确的原文。传送过程如下图所示。

数字签名的验证及文件的窜送过程79随着信息时代的来临，人们希望通过数字通信网络迅速传递贸易合同，数字签名应运而生了。数字签名必须保证以下三点：a、接收者能够核实发送者对报文的签名；b、发送者事后不能抵赖对报文的签名；c、接收者不能伪造对报文的签名。数字签名技术80PublicKeyDirectoryBob:DNetworkPlainTextPlainTextBobSecretKey+CathySignatureAcceptifequalESignature?PublicKey数字签名的原理81信息信息数字签名数字签名信息信息传送A方——数字签名发送方B方——数字签名验证方数字签名验证过程A方私钥A方公钥相等？确认数字签名的原理数字认证

2、数字时间戳（DTS）

在电子交易中,同样需要对交易文件的日期和时间信息采取安全措施，数字时间戳就是为电子文件发表的时间提供安全保护和证明的。DTS是网上安全服务项目,由专门的机构提供。数字时间戳是一个加密后形成的凭证文档,它包括三个部分：

◆需要加时间戳的文件的摘要

◆DTS机构收到文件的日期和时间

◆DTA机构的数字签名数字时间戳的产生过程：用户首先将需要加时间戳的文件用HASH编码加密形成摘要，然后将这个摘要发送到DTS机构，DTS机构在加入了收到文件摘要的日期和时间信息后，再对这个文件加密（数字签名），然后发送给用户。数字认证

3、数字证书

数字认证从某个功能上来说很像是密码，是用来证实你的身份或对网络资源访问的权限等可出示的一个凭证。数字证书包括：

1客户证书：以证明他（她）在网上的有效身份。该证书一般是由金融机构进行数字签名发放的，不能被其它第三方所更改。2商家证书：是由收单银行批准、由金融机构颁发、对商家是否具有信用卡支付交易资格的一个证明。3网关证书：通常由收单银行或其它负责进行认证和收款的机构持有。客户对帐号等信息加密的密码由网关证书提供。4CA系统证书：是各级各类发放数字证书的机构所持有的数字证书，即用来证明他们有权发放数字证书的证书。数字认证

持卡人CCA持卡证件商家MCA商家证件支持网关PCA支付网关证件根CA品牌CA地方CACA认证体系的层次结构

4、认证中心（CA）

认证中心是承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。它的主要任务是受理数字凭证的申请，签发数字证书及对数字证书进行管理。

CA认证体系由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付网关CA等不同层次构成，上一级CA负责下一级CA数字证书的申请签发及管理工作。851、基于生理特征的身份认证指纹、脸型、声音等进行身份认证要求使用诸如指纹阅读器，脸型扫描器，语音阅读器等价格昂贵的硬件设备。由于验证身份的双方一般都是通过网络而非直接交互，所以该类方法并不适合于在诸如Internet或无线应用等分布式的网络环境。身份认证技术862、基于约定的口令进行身份认证用户服务器中口令对照表用户ID，口令该方案有两个弱点：容易受到重传攻击；传统方式是将用户口令放在服务器的文件中，那么一旦该文件暴露，则整个系统将处于不安全的状态。身份认证技术873、动态口令（一次口令）身份认证1991年贝尔通信研究中心研制出基于一次口令思想的身份认证系统S/KEY，该系统使用MD4作为其单向hash函数目前存在很多动态口令方案，但未存在非常完善的方案基于智能卡的动态口令方案身份认证技术黑客与病毒计算机网络安全技术黑客(Hacker)源于英语动词Hack，意为“劈、砍”，引申为“辟出、开辟”，进一步的意思是“干了一件非常漂亮的工作”。在20世纪早期的麻省理工学院校园口语中，黑客则有“恶作剧”之意，尤其是指手法巧妙、技术高明的恶作剧。有一部分人认为，黑客是“热爱并精通计算机技术的网络狂热者”，并赋予他们“网上骑士”桂冠；相反，另一部分人则认为黑客是“企图非法获取计算机系统访问权的人”，甚至将其描述为“网络恐怖主义分子”；大多数人则认为，黑客是“试图通过网络非法获取他人计算机系统访问权并滥用计算机技术的人”。黑客概述根据我国现行法律的有关规定，对黑客可以给出两个定义：广义的黑客是指利用计算机技术，非法侵入或擅自操作他人(包括国家机关、社会组织及个人)计算机信息系统，对电子信息交流安全具有不同程度的威胁性和危害性的人；狭义的黑客，是指利用计算机技术，非法侵入并擅自操作他人计算机信息系统，对系统功能、数据或者程序进行干扰、破坏，或者非法侵入计算机信息系统并擅自利用系统资源，实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的人。黑客定义侠客、骇客和入侵者“黑客”是一个精通计算机技术的特殊群体。可分为3类：“侠客（Hackers）”，他们多是好奇者和爱出风头者；“骇客（Crackers）”，他们是一些不负责的恶作剧者；“入侵者（Intruder），他们是有目的的破坏者。黑客的分类灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机为人民服务漏洞发现-袁哥等软件破解-0Day工具提供-Numega白帽子创新者设计新系统打破常规精研技术勇于创新没有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍人不为己，天诛地灭入侵者-K.米特尼克CIH-陈英豪攻击Yahoo者-匿名恶渴求自由安全攻防技术黑客简史19801985199019952000密码猜测可自动复制的代码密码破解利用已知的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗GUI远程控制自动探测扫描拒绝服务www攻击工具攻击者入侵者水平攻击手法半开放隐蔽扫描控制台入侵检测网络管理DDOS攻击2002高入侵技术的发展黑客入侵的行为模型计算机网络安全技术安全基础网络安全技术

随着计算机网络技术的发展，网络的安全性和可靠性成为各层用户所共同关心的问题。人们都希望自己的网络能够更加可靠地运行，不受外来入侵者的干扰和破坏，所以解决好网络的安全性和可靠性，是保证网络正常运行的前提和保障。Internet防火墙学生区InfoGateIIS服务Web服务DMZ区教工区安全垃圾邮内容审计件网关过滤数据库服务器群应用服务器群1、网络安全要求网络安全，是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然或者恶意的攻击而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不会中断。身份认证完整性保密性授权和访问控制可用性不可抵赖性2、网络安全威胁

一般认为，黑客攻击、计算机病毒和拒绝服务攻击等3个方面是计算机网络系统受到的主要威胁。黑客攻击计算机病毒拒绝服务攻击黑客使用专用工具和采取各种入侵手段非法进入网络、攻击网络,并非法使用网络资源。

计算机病毒侵入网络，对网络资源进行破坏，使网络不能正常工作，甚至造成整个网络的瘫痪。攻击者在短时间内发送大量的访问请求，而导致目标服务器资源枯竭，不能提供正常的服务。3、网路安全漏洞

网络安全漏洞实际上是给不法分子以可乘之机的“通道”,大致可分为以下3个方面。网络的漏洞

服务器的漏洞操作系统的漏洞包括网络传输时对协议的信任以及网络传输漏洞，比如IP欺骗和信息腐蚀就是利用网络传输时对IP和DNS的信任。利用服务进程的bug和配置错误,任何向外提供服务的主机都有可能被攻击。这些漏洞常被用来获取对系统的访问权。Windows和UNIX操作系统都存在许多安全漏洞,如Internet蠕虫事件就是由UNIX的安全漏洞引发的。4、网络安全攻击要保证运行在网络环境中的信息安全,首先要解决的问题是如何防止网络被攻击。根据SteveKent提出的方法,网络安全攻击可分为被动攻击和主动攻击两大类，如图所示。图:网络安全攻击分类被动攻击

截获(秘密)分析信息内容通信量分析主动攻击

拒绝篡改伪造重放(可用性)(完整性)(真实性)(时效性)被动攻击不修改信息内容，所以非常难以检测，因此防护方法重点是加密。主动攻击是对数据流进行破坏、篡改或产生一个虚假的数据流。5、网络安全破坏

1中断（Interruption）：中断是对可利用性的威胁。例如破坏信息存储硬件、切断通信线路、侵犯文件管理系统等。2窃取（Interception）：入侵者窃取信息资源是对保密性的威胁。入侵者窃取线路上传送的数据，或非法拷贝文件和程序等。3篡改（Modification）：篡改是对数据完整性的威胁。例如改变文件中的数据，改变程序功能，修改网上传送的报文等。4假冒（Fabrication）：入侵者在系统中加入伪造的内容，如像网络用户发送虚假的消息、在文件中插入伪造的记录等。网络安全破坏的技术手段是多种多样的，了解最通常的破坏手段，有利于加强技术防患。网络安全的评价标准计算机系统的安全等级由低到高顺序：D；C1C2；B1B2B3；A。如图所示。TCSEC安全体系可信计算机系统评测准则C2：受控访问保护C1：自主安全保护A1：验证设计D1：最小保护B2：结构安全保护B1：标志安全保护B3：安全域C类A类D类B类1、国际评价标准20世纪90年代开始，一些国家和国际组织相继提出了新的安全评测准则。1991年,殴共体发布了“信息技术安全评测准则”；1993年，加拿大发布了“加拿大可信计算机产品评测准则”；1993年6月,上述国家共同起草了一份通用准则,并将CC推广为国际标准。国际安全评测标准的发展如图所示。1993年加拿大可信计算机产品评测准则1991年欧洲信息技术安全评测准则1991年美国联邦政府评测标准1983年美国国防部可信计算机评测准则1996年国际通用准则（CC）1999年CC成为国际标准国际安全评测标准的发展与联系2、我国评价标准分如下五个级别

1级用户自主保护级：它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。2级系统审计保护级：除具备第一级外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。3级安全标记保护级：除具备上一级外，要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。4级结构化保护级：在继承前面功能基础上，将安全保护机制划分为关键部分和非关键部分，从而加强系统的抗渗透能力。5级访问验证保护级：这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。网络安全措施

在网络设计和运行中应考虑一些必要的安全措施，以便使网络得以正常运行。网络的安全措施主要从物理安全、访问控制、传输安全和网络安全管理等4个方面进行考虑。

1、物理安全措施

物理安全性包括机房的安全、所有网络的网络设备（包括服务器、工作站、通信线路、路由器、网桥、磁盘、打印机等）的安全性以及防火、防水、防盗、防雷等。网络物理安全性除了在系统设计中需要考虑之外，还要在网络管理制度中分析物理安全性可能出现的问题及相应的保护措施。

2、访问控制措施

访问控制措施的主要任务是保证网络资源不被非法使用和非常规访问。其包括以下８个方面：网络安全措施

1入网访问控制：控制哪些用户能够登录并获取网络资源，控制准许用户入网的时间和入网的范围。2网络的权限控制：是针对网络非法操作所提出的一种安全保护措施，用户和用户组被授予一定的权限。3目录级安全控制：系统管理权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和存取控制权限8种。4属性安全控制：网络管理员给文件、目录等指定访问属性，将给定的属性与网络服务器的文件、目录和网络设备联系起来。5网络服务器安全控制：包括设置口令锁定服务器控制台，设定登录时间限制、非法访问者检测和关闭的时间间隔等。网络安全措施

6网络检测和锁定控制：网络管理员对网络实施监控，服务器应记录用户对网络资源的访问，对于非法访问应报警。7

网络端口和节点的安全控制：网络服务器端口使用自动回呼设备、静默调制解调器加以保护,并以加密形式识别节点的身份。8防火墙控制：防火墙成为是互连网络上的首要安全技术，是设置在网络与外部之间的一道屏障。

3、网络通信安全措施

⑴建立物理安全的传输媒介

⑵对传输数据进行加密：保密数据在进行数据通信时应加密，包括链路加密和端到端加密。网络安全管理措施除了技术措施外，加强网络的安全管理，制定相关配套检查和互协渗透测试安全设计设备配置安全漏洞分析安全策略安全需求安全结构安全评估安全评估安全评估的规章制度、确定安全管理等级、明确安全管理范围、采取系统维护方法和应急措施等,对网络安全、可靠地运行，将起到很重要的作用。实际上，网络安全策略是一个综合,要从可用性、实用性、完整性、可靠性和保密性等方面综合考虑，才能得到有效的安全策略。防火墙的逻辑结构示意图

1、什么是防火墙

为了防止病毒和黑客，可在该网络和Internet之间插入一个中介系统，竖起一道用来阻断来自外部通过网络对本网络的威胁和入侵的安全屏障，其作用与古代防火砖墙有类似之处，人们把这个屏障就叫做“防火墙”，其逻辑结构如下图所示。防火墙技术

外部网络内部网络防火墙的基本概念2、防火墙的基本特性

①所有内部和外部网络之间传输的数据必须通过防火墙。②只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙。③防火墙本身不受各种攻击的影响。

3、防火墙的基本准则

⑴过滤不安全服务：防火墙应封锁所有的信息流,然后对希望提供的安全服务逐项开放，把不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。

⑵过滤非法用户和访问特殊站点：防火墙允许所有用户和站点对内部网络进行访问，然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。防火墙的基本功能

1、作为网络安全的屏障

防火墙作为阻塞点、控制点，能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

2、可以强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（口令、加密、身份认证、审计等）配置在防火墙上。

3、对网络存取和访问进行监控审计

所有的外部访问都经过防火墙时，防火墙就能记录下这些访问，为网络使用情况提供统计数据。当发生可疑信息时防火墙能发出报警，并提供网络是否受到监测和攻击的详细信息。

4、可以防止内部信息的外泄

利用防火墙可以实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。防火墙的基本类型1、网络级防火墙（NetworkGateway）网络级防火墙主要用来防止整个网络出现外来非法的入侵。包过滤路由器的工作原理示意图内部网络物理层分组过滤规则数据链跑层Internet外部网络网络层物理层数据链跑层网络层包过滤路由器防火墙的基本类型

2、应用级防火墙（ApplicationGateway）

这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。在外部网络向内部网络申请服务时发挥了中间转接的作用。代理防火墙的最大缺点是速度相对比较慢。应用级代理工作原理下图所示。应用级代理工作原理示意图内部网络真正服务器代理服务器实际的连接实际的连接外部网络客户虚拟的连接Internet防火墙防火墙的基本类型

3、电路级防火墙（Gateway）

电路级防火墙也称电路层网关,是一个具有特殊功能的防火墙。电路级网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。与应用级防火墙相似,电路级防火墙也是代理服务器,只是它不需要用户配备专门的代理客户应用程序。另外,电路级防火墙在客户与服务器间创建了一条电路,双方应用程序都不知道有关代理服务的信息。

4、状态监测防火墙（StatefuinspectionGateway）

状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表就可以通过。防火墙的基本结构

1、双宿主机网关（DualHomedGateway）双宿主机网关是用一台装有两个网络适配器的双宿主机做防火墙,其中一个是网卡,与内网相连；另一个可以是网卡、调制解调器或ISDN卡。双宿主机网关的弱点是一旦入侵者攻入堡垒主机并使其具有路由功能，则外网用户均可自由访问内网。双宿主机网关工作原理图如图7-13所示。双宿堡垒主机Internet双宿堡垒主机内网防火墙的基本结构

2、屏蔽主机网关（ScreenedHostGateway）

⑴单宿堡垒主机：是屏蔽主机网关的一种简单形式,单宿堡垒主机只有一个网卡，并与内部网络连接。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为可以从Internet上访问的唯一主机。而Intranet内部的客户机，可以受控地通过屏蔽主机和路由器访问Internet,其工作原理图如下图所示。屏蔽主机网关单宿堡垒主机Internet双宿堡垒主机内网防火墙的基本结构

⑵双宿堡垒主机：是屏蔽主机网关的另一种形式,与单宿堡垒主机相比，双宿堡垒主机有两块网卡，一块连接内部网络，一块连接路由器。双宿堡垒主机在应用层提供代理服务比单宿堡垒主机更加安全。屏蔽主机网关双宿堡垒主机工作原理图如下图所示。屏蔽主机网关双宿堡垒主机Internet双宿堡垒主机内网防火墙的基本结构

3、屏蔽子网（ScreenedSubnetGateway）屏蔽子网是在内部网络与外部网络之间建立一个起隔离作用的子网。内部网络和外部网络均可访问屏蔽子网，它们不能直接通信，但可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络之间的互访提供代理服务。屏蔽子网工作原理图如图7-16所示。屏蔽子网防火墙内网屏蔽子网Internet防火墙的安全标准与产品

1、防火墙的安全标准

⑴Secure/WAN（S/WAN）标准⑵FWPD（FireWallProductDeveloper）联盟制订的防火墙测试标准

2、常见的防火墙产品

1、什么是虚拟专用网

防火墙用来将局域网与Internet分隔开来，阻止来自外部网络的损坏。随着企业网应用的不断扩大，企业网的范围也不断扩大，从一个本地网络发展到一个跨地区跨城市甚至跨国家的网络,为保证区域间流通的企业信息安全,通过租用昂贵的跨地区数字专线方式建立物理上的专用网非常困难。随着计算机网络应用技术的发展，现在可通过Internet提供的虚拟专用网(VirtualPrivateNetwork，VPN)技术，使家庭办公、移动用户或其它用户主机可以很方便地访问企业服务器。用户就像通过专线连接一样，而感觉不到公网的存在，这种网络被称为VPN的基本结构如图7-17所示。VPN的基本概念VPN的基本概念

VPN是通过一个公用网络建立的一个临时、安全的连接方式,是一条穿越混乱的公用网络的安全、稳定的隧道，其目标是在不安全的公用网络上建立一个安全的专用通信网络。

VPN的最大优点是无需租用电信部门的专用线路，而由本地ISP所提供的VPN服务所替代。因此，人们越来越关注基于Internet的VPN技术及其应用。图7-17虚拟专用网示意图VPN服务器明文共用网络密文VPN隧道数据分组

VPN连接明文VPN服务器

2、虚拟专用网的安全性

VPN实际上是一种服务，是企业内部网的扩展。VPN中传输的是企事业或公司的内部信息，因此数据的安全性非常重要。VPN保证数据的安全性主要包括以下3个方面。

⑴数据保密性（Confidentiality）：通过数据加密来确保数据通过公网传输时外人无法看到或截获，即使被他人看到也不会泄露。

⑵身份验证(Authentication）：对通信实体的身份认证和信息的完整性检查，能够对于不同的用户必须授予不同的访问权限,确保数据是从正确的发送方传输来的。

⑶数据完整性（Integrity）：确保数据在传输过程中没有被非法改动，保持数据信息原样地到达目的地。VPN的基本概念

3、VPN的特点

VPN最终用户提供类似于专用网络性能的网络服务技术,并具有以下特点。

⑴安全性高：VPN可以帮助远程用户、公司分支机构、商业伙伴同公司内部网之间建立可信的安全连接，并保证数据的安全传输。

⑵降低成本：VPN是建立在现有网络硬件设施基础上，因此可以保护用户现有的网络设施投资；大幅度地减少用户在WAN和远程连接上的费用；降低企业内部网络的建设成本。

⑶优化管理：采用VPN方案可以简化网络设计和管理，加速连接新的用户和网站。同时，能够极大地提高用户网络运营和管理的灵活性。VPN的基本概念

VPN的实现技术

1、隧道技术隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式,是VPN的核心。隧道技术是在公用网建立一条专用数据“通道”，以实现点对点的连接，让来自不同数据源的网络业务经由不同的“通道”在相同的网络体系结构上传输，并且允许网络协议穿越不兼容的体系结构。隧道的组成如图所示。隧道的组成ISP接入集线器MobilePC隧道终结器交换机ISPVPNGateway互联网VPN的实现技术

2、加解密技术（Encryption&Decryption）对通过公用互联网络传递的数据必须经过加密，确保网络其它未授权的用户无法读取该信息。

3、密钥管理技术（KeyManagement）密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行常用密钥管理技术可分为SKIP与ISAKMP／Oakley两种。

4、身份认证技术（Authentication）公用网络上有众多的使用者与设备，如何正确地辨认合法的使用者与设备，使属于本单位的人员与设备能互通，构成一个VPN并让未授权者无法进人系统,这就是使用者与设备身份认证技术要解决的问题。VPN的实现技术

5、VPN的应用平台

VPN设备选择的标准主要取决于应用程序运行的安全级别和性能要求，而在技术方法上VPN是通过平台来实现的。目前VPN的应用平台可分为3种类型。

⑴基于软件的VPN：当数据连接速度较低，对性能和安全性要求不高时，利用一些软件提供的功能便可实现简单的VPN功能。

⑵基于专用硬件平台的VPN：当企业和用户对数据安全与通信性能要求很高时，可采用专用硬件平台实现VPN功能。

⑶辅助硬件平台的VPN：以现有网络设备为基础，在添加适当的VPN软件的情况下实现VPN功能。网络安全性和通信性能介于上述两者之间。VPN的安全协议

网络隧道协议有两种：一种是二层隧道协议，用于传输二层网络协议数据，以构建远程访问虚拟专用网；另一种是三层隧道协议，用于传输三层网络协议，以构建企业内部虚拟专用网和扩展的企业内部VPN。

1、二层隧道协议（PPTP／P2TP）

⑴PPTP：是点对点隧道协议，它是由

Microsoft公司提出的、被嵌入到Windows中的、用于路由和远程服务的数据链路层协议。PPTP用IP包来封装PPP数据帧，用简单的包过滤和域控制来实现访问控制。

⑵L2TP：是第二层隧道转发协议，它是由PPTP和L2F组合而成，可用于基于Internet的远程拨号访问。还可以为使用PPP的客户端建立拨号方式的VPN连接。L2TP可用于传输多种协议，如NetBIOS等。VPN的安全协议2、三层隧道协议（IPSec）

IPSec是一组开放性协议的总称，它包括认证头(AH）、Internet安全协会与密钥管理协议（ISAKMP）和安全封装载荷（ESP）三个子协议。IPSec具有以下三个特性。

⑴保密性：IPSec在数据传输之前先进行加密，以确保的私有性。

⑵可靠性：数据到达目标方之后进行验证,保证数据在传输过程中没有被修改或替换。

⑶真实性：对主机和端点进行身份鉴别。

IPSec有两种工作模式,即运输模式和隧道模式。在隧道模式下,IPSec把IP分组封装在一个安全的数据报中，确保从一个防火墙到另一个防火墙的通信安全性。VPN的基本类型图7-19VPN的三种服务类型公用网络AccessVPNExtranetVPNInternetVPN合作伙伴子公司总公司

根据业务类型和和组网方式的不同，VPN业务大致可分为3类，如图7-19所示。VPN的基本类型

1、内部网VPN（IntranetVPN）内部网是指企业的总部与分支机构间通过公网构筑的虚拟网,它通过公用网络将一个组织的各分支机构的LAN连接而成的网络，即Intranet，它是公司内部网络的扩展。内部网VPN用于公司远程分支机构的LAN之间或公司远程分支机构的LAN与公司总部LAN之间进行互联，以便公司内部的资源共享、文件传递等，可节省DDN等专线所带来的高额费用。内部网VPN的配置如图7-20所示。VPNServerInternet外部网络内部网络RouterRouterVPNServer图7-20内部网VPN的配置VPN的基本类型2、远程访问VPN（AccessVPN）

远程访问也称为拨号VPN，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网，用于在远程用户或移动雇员和公司内部网之间进行互联。远程访问VPN的优点是可以实现“透明访问策略”，即远程用户可以与主机如同在同一个LAN中一样自由地访问LAN上的资源。

远程网VPN的配置如图7-21所示。图7-21远程网VPN的配置VPNServerInternet内部网络FirewallMobilePCDesktopPCVPN的基本类型3、外联网VPN（ExtranetVPN）外联网是指企业间发生收购、兼并或企业间的战略联盟,使不同企业网通过公网来构筑的虚拟网，用于在供应商、商业合作伙伴的LAN和公司的LAN之间进行互联。外联网VPN通过一个共享基础设施将客户、供应商、合作伙伴等连接到企业内部网，既可以向外提供有效的信息服务，又可以保证自身的内部网络的安全。外连网VPN的配置如图7-22所示。图7-22外联网VPN的配置WWWServerInternet内部网络内部网络VPNServerFirewallVPNServerFirewall网络病毒防治技术

计算机病毒是由计算机黑客编写的有害程序,具有自我传播和繁殖的能力，破坏计算机的正常工作。

Internet/Intranet的迅速发展和广泛应用给病毒提供了新的传播途径，网络将正逐渐成为病毒的第一传播途径。

Internet/Intranet带来了两种不同的安全威胁：一种威胁来自文件下载，这些被浏览的或是通过FTP下载的文件中可能存在病毒；另一种威胁来自电子邮件。网络使用的简易性和开放性使得这种威胁越来越严重。正因为如此，网络病毒的防治技术显得越来越重要。因此，网络病毒的传播、再生、发作将造成比单机病毒更大危害。网络病毒的特点

网络病毒的特点1.感染方式多2.感染速度快3.清除难度大4.破坏性强5.激发形式多样6.潜在性

计算机网络的主要特点是资源共享。那么，一旦共享资源染上病毒，网络各结点间信息的频繁传输将把病毒感染到共享的所有机器上，从而形成多种共享资源的交叉感染。在网络环境中的病毒具有以下6个方面的特点：网络病毒的类型

1、GPI（GetPasswordI）病毒

GPI病毒是由欧美地区兴起的专攻网络的一类病毒，该病毒的威力在于“自上而下”，可以“逆流而上”的传播。

2、电子邮件病毒由于电子邮件的广泛使用，E-mail已成为病毒传播的主要途径之一。

3、网页病毒网页病毒主要指Java及ActiveX病毒，它们大部分都保存在网页中，所以网页也会感染病毒。

4、网络蠕虫程序是一种通过间接方式复制自身的非感染型病毒，它的传播速度相当惊人，给人们带来难以弥补的损失。网络病毒的防治

1、病毒的预防引起网络病毒感染的主要原因在于网络用户本身。因此,防范网络病毒应从两方面着手。第一，对内部网与外界进行的数据交换进行有效的控制和管理,同时坚决抵制盗版软件；第二，以网为本，多层防御，有选择地加载保护计算机网络安全的网络防病毒产品。

2、病毒清除可靠、有效地清除病毒,并保证数据的完整性是一件非常必要和复杂的工作。优秀的防毒软件应该不仅能够正确识别已有的病毒变种，同时也应该能够识别被病毒感染的文件。然而，防毒软件并不是万能的，对付计算机病毒的最好方法是要积极地做好预防工作,而不能寄托于病毒工具软件。网络管理技术

1、网络管理的定义网络管理是一项复杂的系统工程,它涉及到以下3个方面。

⑴网络服务提供：是指向用户提供新的服务类型、增加网络设备、提高网络性能等。

⑵网络维护：是指网络性能监控、故障报警、故障诊断、故障隔离与恢复等。

⑶网络处理：是指网络线路、设备利用率、数据的采集、分析，以及提高网络利用率的各种控制。

2、网络管理标准化

在ISO的OSI-RM的基础上，由AT&T、英国电信等100多著名大公司组成的OSI/NMF(网络管理论坛）定义了OSI网络管理框架下的5个管理功能区域，并形成了多项协议。7.6.1网络管理的基本概念网络管理的逻辑结构

被管系统管理信息库进程管理代理被管对象管理系统管理协议通知执行管理操作通知操作图7-24网络管理系统逻辑模型1、网络管理系统的逻辑模型

⑴被管对象：经过抽象的网络元素，对应于网络中具体可以操作的数据。⑵管理进程：负责对网络设备进行全面管理与控制的软件。⑶管理信息库：可看作为管理进程的一部分,用于记录网络中被管理对象的