电子商务网络安全防护技术课件

第７章电子商务网络安全防护技术７.１防火墙技术７.２ＶＰＮ与网络安全７.３数据库安全７.４入侵检测系统返回７.１防火墙技术７.１.１防火墙概述所谓防火墙指的是一个由软件和硬件设备组合而成,一般部署在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法。防火墙是保护本地系统或网络,抵制网络外部攻击和入侵的最重要的网络安全技术之一。作为访问控制技术的代表,防火墙产品是目前世界上用得最多的网络安全产品之一,其功能不断增加,并且还融入了ＶＰＮ(虚拟专用网)、流量控制等功能。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。下一页返回７.１防火墙技术在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的安全,是提供信息安全服务、实现网络和信息安全的基础设施。图７－１是一个典型的防火墙逻辑位置结构示意图。防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。归纳起来,防火墙具有如下一些功能。一、阻止外部攻击企业内外网防火墙能极大地提高内部网络的安全性,并通过过滤不安全的服务而降低企业网络风险。上一页下一页返回７.１防火墙技术二、防止内部信息外泄通过利用防火墙对内部网络的划分,可实现内部网络核心区域的隔离,从而减少了局部或敏感网络遭受安全问题而对全局网络产生的影响。再者,使用防火墙可以隐蔽那些内部细节,比如将网关隐藏在公共系统之后使其免遭直接攻击,防火墙还支持路由方式,提供静态路由功能,支持内部多个子网之间的安全访问。三、对网络存取和访问进行监控审计防火墙具有包过滤技术,它是一种网络的数据安全保护机制,它可用来控制流出和流入网络的数据,它通常由定义的各条数据安全规则所组成,防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间,可根据地址簿进行设置规则。上一页下一页返回７.１防火墙技术如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络是否受到监测和攻击的详细信息。四、ＶＰＮ功能除了安全作用,现在大部分防火墙还支持具有从外部网络访问企业内部网络技术的ＶＰＮ。通过ＶＰＮ,将企事业单位在地域上分布在全世界各地的ＬＡＮ或专用子网有机地联成一个整体。这不仅省去了专用通信线路,而且为信息共享提供了技术保障。五、防火墙自身的抗攻击能力作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。上一页下一页返回７.１防火墙技术７.１.２防火墙的基本类型防火墙技术可根据防范的方式和侧重点不同而分为很多钟类型,但总体来说可分为数据包过滤、应用级网关和代理服务等几大类型,

如图７－２所示。一、数据包过滤型防火墙顾名思义,包过滤防火墙就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定是否阻塞或允许通过。过滤规则是基于网络层ＩＰ包包头信息的比较。上一页下一页返回７.１防火墙技术包过滤防火墙工作在网络层,ＩＰ包的包头中包含源、目的ＩＰ地址、封装协议类型、ＴＣＰ/ＵＤＰ端口号、ＩＣＭＰ消息类型、ＴＣＰ包头中的ＡＣＫ,等等。如果接收的数据包与允许转发的规则相匹配,则数据包按正常情况处理;如果与拒绝转发的规则相匹配,则防火墙丢弃数据包;如果没有匹配规则,则按缺省情况处理。包过滤防火墙是速度最快的防火墙,这是因为它处于网络层,并且只是粗略地检查连接的正确性,所以在一般的传统路由器上就可以实现,对用户来说都是透明的。但是它的安全程度较低,很容易暴露内部网络,使之遭受攻击。上一页下一页返回７.１防火墙技术数据包过滤的优点是不用改动客户机和主机上的应用程序,但是,因为其工作在网络层和传输层,获取的信息有限,因而不可能充分满足各种安全要求;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大的影响;由于缺少上下文关联信息,不能有效地过滤如ＵＤＰ、ＲＰＣ一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用级网关配合使用,共同组成防火墙系统。上一页下一页返回７.１防火墙技术二、应用级网关型防火墙应用级代理技术通过在ＯＳＩ的最高层检查每一个ＩＰ包,从而实现安全策略。代理技术与包过滤技术完全不同,包过滤技术在网络层控制所有的信息流,而代理技术一直处理到应用层,在应用层实现防火墙功能。它的代理功能就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。三、代理服务型防火墙代理服务(ＰｒｏｘｙＳｅｒｖｉｃｅ)也称链路级网关或ＴＣＰ通道(ＣｉｒｃｕｉｔＬｅｖｅｌＧａｔｅｗａｙｓｏｒＴＣＰＴｕｎｎｅｌｓ),也有人将它归于应用级网关一类。上一页下一页返回７.１防火墙技术它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。四、复合型防火墙由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。这种结合通常有以下两种方案:屏蔽主机防火墙体系结构。在该结构中,分组过滤路由器或防火墙与Ｉｎｔｅｒｎｅｔ相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Ｉｎｔｅｒｎｅｔ上其他节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。上一页下一页返回７.１防火墙技术屏蔽子网防火墙体系机构。堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放置在这一子网的两端,使这一子网与Ｉｎｔｅｒｎｅｔ及内部网络分离。在屏蔽子网防火墙体系机构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。７.１.３防火墙配置的原则防护墙包含着一对矛盾(或称机制):一方面它限制数据流通,另一方面它又允许数据流通。由于网络的管理机制及安全策略不同,因此这对矛盾呈现出不同的表现形式。防火墙的安全策略存在两种极端的情形:①凡是没有被允许访问的服务都是被禁止的;②凡是没有被列为禁止访问的服务都是被允许的。上一页下一页返回７.１防火墙技术第一种的特点是安全但不好用,第二种易用但不安全,而多数防火墙都在两者之间采用折中方式。这里所谓的好用或不好用主要是指跨越防火墙的访问效率。在确保防火墙安全或比较安全的前提下提高访问效率是当前防火墙技术研究和实现的热点。此外,防火墙应该建立在安全的操作系统上,而安全的操作系统来自对专用操作系统的安全加固和改造。从现有的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:取消危险的系统调用;限制命令的执行权限;取消ＩＰ的转发功能;检查每个分组的结构;采用随机连接序号;驻留分组过滤模块;取消动态路由功能;采用多个安全内核等。上一页下一页返回７.１防火墙技术７.１.４防火墙采用的基本技术先进的防火墙将网关与安全系统合二为一,具有以下几方面的技术:一、多级过滤技术所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的ＩＰ源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包,如ｎｕｋｅ包、圣诞树包等;在应用网关(应用层)一级,能利用ＦＴＰ、ＳＭＴＰ等各种网关,控制和监测Ｉｎｔｅｒｎｅｔ提供的所用通用服务。上一页下一页返回７.１防火墙技术这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。二、网络地址转换技术(ＮＡＴ)防火墙利用ＮＡＴ技术能按设定规则对所有内部地址做转换,使外部网络无法了解内部网络的内部结构。同时允许内部网络使用自己定制的ＩＰ地址和专用网络,防火墙能详尽记录下每一个主机的通信,确保每个分组送往正确的地址。同时使用ＮＡＴ的网络,与外部网络的连接只能由内部网络发起,极大地提高了内部网络的安全性。三、安全服务器网络(ＳＳＮ)技术上一页下一页返回７.１防火墙技术为适应越来越多的用户希望Ｉｎｔｅｒｎｅｔ提供服务时对服务器加以保护的需要,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网的一部分,又与内部网关完全隔离。这就是安全服务器网络(ＳＳＮ)技术,对ＳＳＮ上的主机既可单独管理,也可以设置成通过ＦＴＰ、Ｔｅｌｅｎｔ等方式从内部网上管理。四、用户鉴别与加密技术为了降低防火墙产品在Ｔｅｌｅｎｔ、ＦＴＰ等服务器和远程管理上的安全风险,鉴别功能必不可少。上一页下一页返回７.１防火墙技术新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,并实现了对邮件的加密。五、自适应代理技术国际上防火墙技术的发展集中于提高速度,为了改善防火墙的性能相关厂家提出了新的“自适应代理”技术。工作在应用层的应用代理比工作在网络层的检查模块(如包过滤)速度要慢许多。“自适应代理”技术则允许用户根据需要定义防火墙策略,例如,最初的连接安全检查仍在应用层进行,保证传统代理防火墙的最大安全;而一旦代理明确了回话的细节,其后的数据包就直接经过网络层,即动态“适应”传送中的分组流量。上一页下一页返回７.１防火墙技术六、审计和告警技术新一代防火墙产品的审计和告警功能十分健全,日志文件包括一般信息、内核信息、核心信息、接收邮件、邮件路径、放松邮件、已收邮件、已发邮件、连接需求、一鉴别的访问、告警条件、管理日志、进展代理、ＦＴＰ代理、出战代理、邮件服务器、名称服务器等。告警功能会收住每一个ＴＣＰ或ＵＤＰ探寻,并能以发出邮件、声响等多种方式报警。此外新一代防火墙还在网络诊断、数据备份与保全等方面具有特色。７.１.５防火墙的局限性上一页下一页返回７.１防火墙技术防火墙的主要功能是保护内部网络安全,防止外部的网络攻击和内部的网络攻击,限制内部网络用户的访问权限和行为。防火墙在配置和使用过程中也暴露出了一些缺陷和局限性:不能防范不经过防火墙的攻击;对新出现的漏洞和攻击方式不能迅速提供有效的防御方法;紧急情况下无法做到迅速响应;无法防止内部的攻击;不能关闭需提供对外服务的端口;无法防止利用ＴＣＰ/ＩＰ等协议漏洞的攻击;不能防止受病毒感染文件的传输;防火墙自身也可能存在安全漏洞。７.１.６ＷｉｎｄｏｗｓＳｅｒｖｅｒ２００８防火墙的设置上一页下一页返回７.１防火墙技术ＷｉｎｄｏｗｓＳｅｒｖｅｒ２００８Ｒ２防火墙是一款基于主机的状态防火墙,它结合了主机防火墙和ＩＰＳｅｃ,可以对穿过网络边界防火墙和发自企业内部的网络攻击进行防护,可以说基于主机的防火墙是网络边界防火墙的一个有益的补充。实际应用中出于安全考虑,部署完Ｗｅｂ工程后,需将Ｗｉｎｄｏｗｓｓｅｒｖｅｒ２００８防火墙启用。但是防火墙开启后客户端是不能访问Ｗｅｂ工程的,因为Ｗｅｂ工程的服务端口没有放入防火墙的规则中。下面我们来看一下如何开启ＷｉｎｄｏｗｓＳｅｒｖｅｒ２００８防火墙,并将访问Ｗｅｂ工程的服务端口加入防火墙的入站规则中,从而使得基于网络可以访问Ｗｅｂ工程。上一页下一页返回７.１防火墙技术一、防火墙的开启打开“开始”→“控制面板”→“系统和安全”→“Ｗｉｎｄｏｗｓ防火墙”进入点击“打开或关闭Ｗｉｎｄｏｗｓ防火墙”链接,启用Ｗｉｎｄｏｗｓ防火墙(如图７－３~图７－６所示)。二、入站规则的配置点击“高级设置”(如图７－７所示)。点击“入站规则”(如图７－８所示)。点击右侧操作中的“新建规则……”,进入“新建入站规则向导”页面。上一页下一页返回７.１防火墙技术选中规则类型为“端口”的单选按钮(如图７－９、图７－１０所示)。点击“下一步”,进入端口设定页面。输入Ｗｅｂ服务访问端口,多个端口用逗号隔开。本文配置的访问端口８０,８０８０。点击“下一步”(如图７－１１所示)。这一步选择默认的“允许连接”,点击“下一步”(如图７－１２所示)。这一步应用规则的设定按照默认全选,点击“下一步”(如图７－１３所示)。上一页下一页返回７.１防火墙技术输入规则名称(如图７－１４所示)。点击“完成”。新建的入站规则显示在列表中(如图７－１５所示)。至此,客户端经过服务器防火墙访问Ｗｅｂ工程的入站规则配置完毕。上一页返回７.２ＶＰＮ与网络安全７.２.１虚拟专用网(ＶＰＮ)概述虚拟专用网(ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ,ＶＰＮ)是一项保护网络安全的技术手段之一,它是指在公共网络中建立的一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播,从而可以访问企业内部网络。ＶＰＮ解决了内部网的信息如何在Ｉｎｔｅｒｎｅｔ上安全传送的问题。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商公司内部网建立可信的安全连接并保证数据的安全传输。使用ＶＰＮ有节省成本、提供安全访问、扩展性强、便于管理和实现全面控制等好处,是目前集团型企业采用的一种网络组网方式,

如图７－１６所示。下一页返回７.２ＶＰＮ与网络安全ＶＰＮ工作的基本原理:信息的发送进程通过可信任的内部网发送密文到ＶＰＮ服务器,由ＶＰＮ根据安全策略对数据包(包括源ＩＰ地址和目的ＩＰ地址等)进行加密,并附上数字签名;然后ＶＰＮ服务器对数据包加上新的数据包头,其中包括一些安全信息和参数,对于加密后的数据包重新进行封装。此数据包通过Ｉｎｔｅｒｎｅｔ上的“隧道”传输,到达目的方的ＶＰＮ服务器,由该服务器解包,核对数字签名,并且解密。最后,明文信息通过内部网传输到目的地。上一页下一页返回７.２ＶＰＮ与网络安全ＶＰＮ具有虚拟的特点,ＶＰＮ并不是某个公司专有的封闭线路或者租用某个网络服务商提供的封闭线路,但同时ＶＰＮ又具有专线的数据传输功能,因为ＶＰＮ能够像专线一样在公共网络上处理自己公司的信息,ＶＰＮ可以说是一种网络外包,企业不再追求拥有自己的专用网络,而是使用国家共有的基础网络设施。７.２.２ＶＰＮ的特点虚拟专用网具有以下几个特点:一、可降低成本二、可提高传输数据可靠性上一页下一页返回７.２ＶＰＮ与网络安全三、连接方便四、完全控制７.２.３ＶＰＮ采用的技术一、隧道技术隧道技术是ＶＰＮ技术的底层支撑技术,所谓隧道,实质上是一种封装,就是将一种协议(协议Ｘ)封装在另一种协议(协议Ｙ)中传输,从而实现协议Ｘ对公用网络的透明性。这里协议Ｘ称为被封装协议,协议Ｙ被称为封装协议,封装时一般还要加上特定的隧道控制信息,因此隧道协议的一般形式为(协议Ｙ(隧道头(协议Ｘ)))。上一页下一页返回７.２ＶＰＮ与网络安全在公用网络(一般指因特网)上的传输过程中,只有ＶＰＮ端口或网关的ＩＰ地址暴露在外边。隧道解决了专网与公网的兼容问题,其优点是能够隐藏发送者、接受者的ＩＰ地址以及其他协议信息。ＶＰＮ采用隧道技术向用户提供了无缝的、安全的、端到端的连接服务,以确保信息资源的安全。隧道是由隧道协议形成的。隧道协议分为第二、第三层隧道协议,第二层隧道协议如Ｌ２ＴＰ、ＰＰＴＰ、Ｌ２Ｆ等,它们工作在ＯＳＩ体系结构的第二层(即数据链路层);第三层隧道协议如ＩＰＳｅｃ、ＧＲＥ等,工作在ＯＳＩ体系结构的第三层(即网络层)。上一页下一页返回７.２ＶＰＮ与网络安全第二层隧道和第三层隧道的本质区别在于:用户的ＩＰ数据包被封装在不同的数据包中在隧道中传输。第二层隧道协议是建立在点对点协议ＰＰＰ的基础上,充分利用了ＰＰＰ协议支持多协议的特点,先把各种网络协议(如ＩＰ、ＩＰＸ等)封装到ＰＰＰ帧中,再把整个数据包装入隧道协议。ＰＰＴＰ和Ｌ２ＴＰ协议主要用于远程访问虚拟专用网。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠网络层协议进行传输。无论从可扩充性,还是安全性、可靠性方面,第三层隧道协议均优于第二层隧道协议。ＩＰＳｅｃ即ＩＰ安全协议是目前实现ＶＰＮ功能的最佳选择。上一页下一页返回７.２ＶＰＮ与网络安全二、加、解密技术加、解密技术是数据通信中一项较成熟的技术,ＶＰＮ可直接利用现有技术实现加、解密。它是ＶＰＮ的另一核心技术。为了保证数据在传输过程中的安全性,不被非法用户窃取或篡改,一般都在传输之前进行加密,接收方再对其进行解密。密码技术是保证数据安全传输的关键技术,以密钥为标准,可将密码系统分为单钥密码(又称为对称密码或私钥密码)和双钥密码(又称为非对称密码或公钥密码)。单钥密码的特点是加密和解密都使用同一个密钥,因此,单钥密码体制的安全性就是密钥的安全。上一页下一页返回７.２ＶＰＮ与网络安全其优点是加、解密速度快。最有影响的单钥密码是美国国家标准局颁布的ＤＥＳ算法(５６比特密钥)。而３ＤＥＳ(１１２比特密钥)被认为是目前不可破译的。双钥密码体制下,加密密钥与解密密钥不同,加密密钥公开,而解密密钥保密,相比单钥体制,其算法复杂且加、解密速度慢。所以现在的ＶＰＮ大都采用单钥的ＤＥＳ或３ＤＥＳ作为加、解密的主要技术,而以公钥和单钥的混合加密体制(即加、解密采用单钥密码,而密钥传送则采用双钥密码)来进行网络上密钥的交换和管理,不但提高了传输速度,还具有良好的保密功能。三、密钥管理技术上一页下一页返回７.２ＶＰＮ与网络安全密钥管理的主要任务就是保证在开放的网络环境中安全地传递密钥而不被窃取。目前密钥管理协议包括ＩＳＡＫＭＰ、ＳＫＩＰ、ＭＫＡＰ等。Ｉｎｔｅｒｎｅｔ密钥交换协议ｉｋｅ是Ｉｎｔｅｒｎｅｔ安全关联和密钥管理协议ＩＳＡＫＭＰ框架的实例化,现已成为主要的密钥管理标准。ＩＫＥ使用ＩＳＡＫＭＰ语言来定义密钥的交换,综合了Ｏａｋｌｅｙ和ＳＫＥＭＥ的密钥交换方案,通过协商安全策略,形成各自的验证加密参数。ＩＫＥ交换的最终目的是提供一个通过验证的密钥,以及建立在双方同意基础上的安全服务。ＳＫＩＰ主要是利用Ｄｉｆｆｅｒ－Ｈｅｌｌｍａｎ的演算法则,在网络上传输密钥。上一页下一页返回７.２ＶＰＮ与网络安全ＩＫＥ协议是目前首选的密钥管理标准,较ＳＫＩＰ而言,其主要优势在于定义更灵活,能适应不同的加密密钥。ＩＫＥ协议的缺点是,它虽然提供了强的主机级身份认证,但同时却只能支持有限的用户级身份认证,并且不支持非对称的用户认证。四、使用者与设备身份认证技术使用者与设备认证技术最常用的是使用者名称与密码或卡片式认证等方式。认证技术可以防止来自第三方的主动攻击。一般用户和设备双方在交换数据前,先核对证书,如果准确无误,双方才开始交换数据。用户身份认证最常用的技术是用户名与密码方式。而设备认证则需要依赖由ＣＡ所颁发的电子证书。上一页下一页返回７.２ＶＰＮ与网络安全目前主要的认证方式有:简单口令如质询握手验证协议ＣＨＡＰ和密码身份验证协议ＰＡＰ等,动态口令如动态令牌和Ｘ.５０９数字证书等。简单口令认证方式的优点是实施简单、技术成熟、互操作性好,但安全性不高,只能用于一些基本的应用。动态口令具有很高的安全性,互操作性好,且支持动态地加载ＶＰＮ设备,可扩展性强。７.２.４ＶＰＮ的分类根据不同的划分标准,ＶＰＮ可以按几个标准进行分类:一、按接入方式划分上一页下一页返回７.２ＶＰＮ与网络安全根据用户接入Ｉｎｔｅｒｎｅｔ的方式不同,可以将ＶＰＮ划分为专线接入方式和拨号接入方式。专线ＶＰＮ是为通过专线方式接入ＩＳＰ的网络用户提供的ＶＰＮ解决方案,可以节省传统的专线费用。拨号ＶＰＮ是为通过拨号方式接入ＩＳＰ的网络用户提供的ＶＰＮ服务。二、按协议实现类型划分ＶＰＮ的隧道协议主要有三种:ＰＰＴＰ、Ｌ２ＴＰ和ＩＰＳｅｃ,ＰＰＴＰ和Ｌ２ＴＰ协议工作在ＯＳｌ模型的第二层,ＩＰＳｅｃ是第三层隧道协议。上一页下一页返回７.２ＶＰＮ与网络安全因此,按照隧道协议所在的网络层次可以将ＶＰＮ划分为第二层隧道协议ＶＰＮ和第三层隧道协议ＶＰＮ。第二层隧道协议ＶＰＮ主要包括ＰＰＴＰ(ＰｏｉｎｔｔｏＰｏｉｎｔＴｕｎｎｅｌｉｎｇＰｒｏｔｏｃｏｌ,点到点隧道协议)、Ｌ２ＦＰ(Ｌｅｖｅｌ２ＦｏｒｗａｒｄｉｎｇＰｒｏｔｏｃｏｌ,第二层转发协议)、Ｌ２ＴＰ(Ｌａｙｅｒ２ＴｕｎｎｅｌｉｎｇＰｒｏｔｏ￣ｃｏｌ,第二层隧道协议)、ＭＰＬＳ(Ｍｕｌｔｉ－ＰｒｏｔｏｃｏｌＬａｂｅｌＳｗｉｔｃｈｉｎｇ,多协议标记交换)等。上一页下一页返回７.２ＶＰＮ与网络安全第三层隧道协议ＶＰＮ主要包括ＧＲＥ(ＧｅｎｅｒｉｃＲｏｕｔｉｎｇＥｎｃａｐｓｕｌａｔｉｏｎ,通用路由封装协议)、ＩＰＳｅｃ(ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌＳｅｃｕｒｉｔｙ,ＩＰ安全协议)。三、按ＶＰＮ的应用类型划分根据ＶＰＮ的服务类型,可以将ＶＰＮ业务大致分为三类:远程接入ＶＰＮ、内联网ＶＰＮ和外联网ＶＰＮ。远程接入ＶＰＮ是指企业员工通过公共网络远程访问企业内部网络的ＶＰＮ。上一页下一页返回７.２ＶＰＮ与网络安全内联网ＶＰＮ是指企业分支机构通过公共网络访问企业内部网络的ＶＰＮ。这是以对等方式连接起来的ＶＰＮ。外联网ＶＰＮ是指企业与企业间在公共网络上建立的ＶＰＮ,这是一种网络到网络以不对等的方式连接起来的ＶＰＮ。四、按所用的设备类型分类网络设备提供商针对不同客户的需求,开发出不同的ＶＰＮ网络设备,主要为交换机、路由器和防火墙。因此,从这种方式可以将ＶＰＮ划分为:路由器式ＶＰＮ、交换机式ＶＰＮ、防火墙式ＶＰＮ。上一页下一页返回７.２ＶＰＮ与网络安全路由器式ＶＰＮ:相对来说,路由器式ＶＰＮ部署较容易,只要在路由器上添加ＶＰＮ服务,通常只需将软件升级即町。交换机式ＶＰＮ:主要应用于连接用户较少的ＶＰＮ网络中,整个网络简单,目前生产这种ＶＰＮ交换机的厂商主要是３Ｃｏｍ公司。防火墙式ＶＰＮ:基于防火墙的ＶＰＮ是最常见的一种ＶＰＮ的实现方式,许多厂商都提供这种配置类型。其产品在不同的平台都能有效使用,但非常重要的安全性考虑是关于下层操作系统的,必须确认底层操作系统的安全。上一页下一页返回７.２ＶＰＮ与网络安全７.２.３ＷｉｎｄｏｗｓＳｅｒｖｅｒ２００８ＶＰＮ服务配置Ｗｉｎｄｏｗｓｓｅｖｅｒ２００８Ｒ２的ＮＰＳ(ＮｅｔｗｏｒｋＰｏｌｉｃｙＳｅｒｖｅｒ)可以将服务器配置为ＶＰＮ服务器,以方便用户通过Ｌ２ＴＰ方式拨号来访问服务器内网的资源。现在很多公司如果要使用ＶＰＮ的话,都是使用路由器自带的ＶＰＮ功能,或者是直接使用ＶＰＮ路由器,或是ＶＰＮ硬件。但有些规模较小的公司如果考虑成本的话,可以使用ＷｉｎｄｏｗｓＳｅｒｖｅｒ系统配置ＶＰＮ。上一页下一页返回７.２ＶＰＮ与网络安全实验环境:服务端:ＷｉｎｄｏｗｓＳｅｒｖｅｒ２００８Ｒ２客户端:Ｗｉｎｄｏｗｓｘｐ、Ｗｉｎｄｏｗｓ７、Ｗｉｎｄｏｗｓ８以下是详细的配置步骤:一、服务器端配置在服务器角色中添加角色(如图７－１７所示)。在服务器中添加角色(如图７－１８所示)。添加服务器角色向导(如图７－１９所示)。上一页下一页返回７.２ＶＰＮ与网络安全勾选网络策略和访问服务(如图７－２０所示)。网络策略和访问服务。网络策略和访问服务简介(如图７－２１所示)。勾选“网络策略服务器”“路由和远程访问服务”“远程访问服务”“路由”选项网络策略角色服务(如图７－２２所示)。确认安装服务角色功能。确认安装选择(如图７－２３所示)。安装进度(如图７－２４所示)。安装成功(如图７－２５所示)。配置并启用路由和远程访问(如图７－２６所示)。上一页下一页返回７.２ＶＰＮ与网络安全路由和远程访问服务器安装向导(如图７－２７所示)。选择自定义配置(如图７－２８所示)。选择“ＶＰＮ访问”(如图７－２９所示)。勾选ＶＰＮ访问。成功安装完ＶＰＮ访问(如图７－３０所示)。配置路由和远程访问中的ＮＰＳ服务(如图７－３１所示)。ＮＰＳ策略服务安装(如图７－３２所示)。初始化路由和访问服务(如图７－３３所示)。对路由和远程访问的属性进行配置(如图７－３４所示)。上一页下一页返回７.２ＶＰＮ与网络安全在ＩＰｖ４栏目,使用静态地址池,并分配一个私有ＩＰ地址段,一般可配置１０.０.０.１００~１０.０.０.２００,具体看个人需求了(如图７－３５、图７－３６所示)。另外,如果在内网中需要再配置代理上网的话,建议分配和ＶＰＮ服务器所在的同一网段,这样客户端拨号成功之后,在本地浏览器中添加代理配置即可上网,要不然将无法实现上网。此处点击添加自己需要的配置。在ＩＰｖ４的常规中右键新增路由协议,选择新增路由协议(如图７－３７所示)。上一页下一页返回７.２ＶＰＮ与网络安全在添加的路由协议中,选择ＮＡＴ路由协议(如图７－３８所示)。选择ＩＰＮＡＴ的接口,这里可选择Ｐｕｂｌｉｃ以及内部,Ｐｕｂｌｉｃ就是你上外网的网卡,内部为１２７.０.０.Ｘ网段的转换地址(如图７－３９所示)。点击ＮＡＴ右键选择新增连接口。网络地址转换———内部属性,这里仅选择内部网络间的转换(如图７－４０、图７－４１所示)。在服务器管理中,找到配置→本地用户和组→用户,在用户栏新建用户,对于新建的用户,勾选属性,在拨入选项卡中的“网络访问权限”,默认为通过ＮＰＳ网络策略控制访问,这里不配置ＮＰＳ,就直接选择“允许访问”(如图７－４２所示)。上一页下一页返回７.２ＶＰＮ与网络安全用户拨入属性配置。至此,完成了ＶＰＮ服务器端的配置,后续为了方便与统一管理可以配置ＮＰＳ,并且配置ＮＰＳ策略。二、Ｗｉｎｄｏｗ７客户端配置ＶＰＮ拨入在Ｗｉｎｄｏｗ７中打开网络连接(如图７－４３所示)。连接到“我的工作场所”的网络,ＶＰＮ拨号(如图７－４４所示)。选择虚拟专用网络连接(如图７－４５所示)。输入ＶＰＮ的名称,这里任意填写即可(如图７－４６所示)。上一页下一页返回７.２ＶＰＮ与网络安全此处目标名称输入ＶＰＮ服务器的ＩＰ地址或者域名(如图７－４７所示)。设置用户名和密码(如图７－４８所示)。此处域名不需要写。输入我们在ＶＰＮ服务器上创建的账号和密码,并选择“连接”(如图７－４９所示)。ＶＰＮ拨号成功(如图７－５０、图７－５１所示)。在ＶＰＮ服务器上可以看到已经远程连接到ＶＰＮ服务器的账号接入信息(如图７－５２所示)。ＶＰＮ服务器端已经连接的客户上一页返回７.３数据库安全７.３.１数据库系统概述数据库管理系统(ＤａｔａｂａｓｅＭａｎａｇｅｍｅｎｔＳｙｓｔｅｍ,ＤＢＭＳ)是由数据库及其管理软件组成的数据处理的核心机构,用于数据的存储、管理与应用,主要内容包括数据、存储介质、处理对象和管理系统。数据库安全包含两层含义;第一层是指数据库系统运行安全;第二层是指数据库系统信息安全,主要包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。数据库系统主要包括操作系统、数据库查询语言、实用程序以及数据库管理系统等,其中数据库管理系统是数接库的管理核心,主要操作包括数据的插入、修改和检索等。下一页返回７.３数据库安全数据库的管理员负责数据库的创建、监控、维护和管理,保证合法用户对数据库的有效使用。数据库系统可分为硬件、软件、用户三个层次。其系统组成如图７－５３所示。数据库系统存储着大量的数据,因此需要计算机系统具有较快的ＣＰＵ处理速度、足够大的存储空同以及较高的系统并行处理能力。数据库系统软件和应用软件主要包括数据库管理系统ＤＢＭＳ、支持ＤＢＭＳ运行的操作系统、数接库应用开发工具和数据库应用程序。数据库的系统用户主要包括建立与维护数据库系统的数据库管理人员、数据库系统的设计人员、使用数据库的最终用户等。上一页下一页返回７.３数据库安全７.３.２数据库的安全特性数据库系统的信息安全性是指数据独立性、数据安全性、数据完整性、并发控制和故障恢复等几个方面,下面分別对其进行介绍。一、数据独立性数据独立性主要包括物理独立性和逻辑独立性,物理独立性是指用户应用程序与数据存储的数据相互独立;逻辑独立性是指用户应用程序与数据库的逻辑结构相互独立。二、数据安全性上一页下一页返回７.３数据库安全数据安全性是指利用信息安全技术和数据库管理技术为合法用户提供数据访问和控制服务,主要措施包括控制用户的访问权限和控制权限、加密存储数据以及防止注入攻击等。三、数据完整性数据完整性主要是指数据在存储、传输和处理过程中保持正确性、有效性和一致性,正确性是指数据类型与数据表对应字段的类型一致;有效性是指数据属性符合数据表的字段约束;一致性是指不同数据表的关联字段中的数据保持相同。四、并发控制上一页下一页返回７.３数据库安全并发控制是指有效地控制多个用户访问和共享数据库,在用户修改数据时独占数据表,防止其他用户访问数据,以保证数据的正确性。五、故障恢复故障恢复是指数据库发现并修复故障的能力,即数据库系统能尽快地恢复数据库系统运行时出现的故障,包括物理上和逻辑上的错误。７.３.３数据库的安全控制措施数据库安全包括数据库系统的安全和数据库信息的安全,主要安全控制策略包括安全账号管理,数据库加密以及数据库审计等。一、安全账号管理上一页下一页返回７.３数据库安全为每位数据库用户设置安全的账户和密码,并对数据库用户分配相应的数据库管理和使用权限,停用系统默认用户,同时加强数据库用户密码的管理,并提高密码强度。二、数据库审计通过数据库安全审计可以及时发现可疑事件,包括系统登录、操作和管理并记录数据库系统的操作和管理日志,以便进行系统安全审计和管理。三、数据库加密数据库加密可以有效地保证数据库存储数据的安全性,防止非法用户对数据库信息的访问,可以将数据加密后存储于数据库中。上一页下一页返回７.３数据库安全四、安全访问控制修改数据库网络通信所使用的ＴＣＰ/ＩＰ默认端口,可以有效地防止攻击者利用攻击工具对数据库系统实施的勘测和攻击。限制网络连接的ＩＰ地址范围,仅允许合法用户访问数据库。７.３.４数据库加密技术数据库加密是保护数据在存储和传输过程中不被窃取或修改的有效手段。明文信息经过加密后形成密文,并将数据以密文的形式存储和传输,攻击者即使通过非法手段获得存储数据也无法获得明文信息。一、数据库加密技术上一页下一页返回７.３数据库安全数据库加密可以实现存储数据的保密性、完整性、身份可认证性和可用性,可以增强普通关系类型数据库管理系统的安全性,可以达到有效地保护数据库存储内容的目的。数据库加密系统的主要功能包括字段加密、密钥动态管理、日常数据处理以及防止非法复制。(１)数据库加密是指使用对称加密技术和公钥加密技术对数据库中存储的数据进行加密,将加密后的密文存储于数据库系统中,利用公钥加密算法对对称加密密钥实施托管。数据库系统可以对密文形式的数据进行插入、修改、查询和删除等基本操作,既能保证存储和管理数据的安全性,又能保证存储和管理数据的高效性。上一页下一页返回７.３数据库安全(２)数字摘要算法可以实现存储数据的完整性校验。完整性是指数据在存储和管理过程中保持正确性、有效性和一致性。正确性是指数据在存储和管理过程中保持不变,利用信息安全技术的数字摘要算法计算存储数据的数字摘要,并将其附加在密文后一同存储于数据库,有效性是指存储数据要符合数据库存储字段的约束条件,防止由于数据类型不符合而导致数据丢失。一致性是指数据库中不同表中的关联字段中的数据保持相同,以保证数据库应用系统的正确性。(３)利用公钥加密体制和数字证书可以为数据库用户提供身份有效性验证的功能,即数据库用户利用数字证书对数据库中存储的数据进行数字签名,以便其他用户对签名数据的身份有效性进行认证。上一页下一页返回７.３数据库安全(４)密钥管理是指利用信息安全技术的公钥加密体制对数据库系统的密钥进行加密,以保证数据库存储数据的安全性。密钥管理通常使用多级密钥管理技术对数据库的主密钥和二级密钥实施保护。(５)数据库备份和恢复是指定时对数据库数据进行备份,目的是在数据库遭受到攻击后可以及时恢复,保证数据库数据的完整性和可用性。二、数据库加密的主要形式数据库加密的主要形式有系统加密、服务器端(ＤＢＭＳ内层)加密、客户端(ＤＢＭＳ外层)加密。上一页下一页返回７.３数据库安全系统加密是利用软件加密系统或硬件加密系统对明文信息进行加密,然后将密文信息存储到数据库系统。但是加密系统无法处理数据库中数据表之间的关系,只能将数据先进行加密,然后将密文存储于数据库的相应字段,读取数据时再逆向进行解密。系统加密无法直接对数据库中的密文进行插入、更新、查询和删除等基本操作,只能将查询数据转换为密文再进行相应的数据库查询和管理,因此效率相对较低。ＤＢＭＳ内层加密是在数据库管理系统内部实施加密操作,系统在物理存储数据之前加密数据,在读取数据后解密数据。上一页下一页返回７.３数据库安全内层加密形式的优点是加密和解密的效率高,并且因为加密处于存储介质之前,因此加密功能不会影响ＤＢＭＳ的功能,可以使加密功能与数据库管理系统相互结合。内层加密的缺点是加密运算在服务器端完成,增加了网络和服务器负载并且加密操作处于数据库管理系统的核心层,需要数据库开发商的配合。ＤＢＭＳ内层加密形式如图７－５４所示。ＤＢＭＳ外层加密是指数据库管理系统在对数据进行插入、更新、查询和删除等数据库操作前对数据进行加密和解密,将数据库加密系统做成ＤＢＭＳ的一个外层工具,并自动完成对数据库中数据的加密和解密处理。上一页下一页返回７.３数据库安全与内层加密相比,外层加密可以在客户端实现加密和解密,其优点是不会增加网络和数据库服务器的负载。ＤＢＭＳ外层加密形式如图７－５５所示。数据库加密系统包含两个核心组件:一个是加密字典管理程序,另外一个是数据库加密解密引擎,其内部结构框架如图７－５６所示。数据库加密字典中存储着数据库加密系统的基本安全参数的配置信息,包括加密算法、密钥长度以及密钥管理等,系统利用数据加、解密引擎实现数据库表的加密、解密及数据转换等操作,此外,数据库中数据的加、解密处理是在后台完成的,对用户和数据库服务器是透明的。上一页下一页返回７.３数据库安全功能独立的数据库加密系统的主要优点是:第一,加密系统对用户和数据库服务器是透明的,可以自动在底层完成数据的加密和解密操作;第二,加密系统独立于应用程序,应用程序无须考虑数据的加密与解密,并且不影响数据库应用系统的基本功能;第三,数据库加密系统可以根据用户的安全需求对加常算法和强度进行调整,具有良好的适应性。７.３.５ＯＲＡＣＬＥ安全策略配置一、系统服务方面(１)修改主机名(可选)。上一页下一页返回７.３数据库安全如果数据库服务器的主机名未按照规划要求设置,请修改主机名。如果服务器操作系统在安装过程中,根据规划配置了对应的主机名。本步骤忽略。修改服务器主机名涉及主要的配置文件有:/ｅｔｃ/ｓｙｓｃｏｎｆｉｇ/ｎｅｔｗｏｒｋ/ｅｔｃ/ｈｏｓｔｓ(２)检查节点系统时间。在执行集群部署之前,需要检查集群节点时间、时区的配置是否符合规划要求。时区设置建议采用中国北京时间(东八区);时间要求两个节点之间的时间差距不超过３ｓ。上一页下一页返回７.３数据库安全检查系统时区及时间配置的配置文件及命令如下:ｄａｔｅ－Ｒｄａｔｅ(３)配置ＮＴＰ服务。①ＮＴＰＣｌｉｅｎｔ配置。如果拥有ＮＴＰ时间服务器,将ＯｒａｃｌｅＲＡＣ服务器配置ＮＴＰＣｌｉｅｎｔ,以便同时钟服务器同步,避免ＯｒａｃｌｅＲＡＣｓｌｅｗｔｉｍｅ问题。配置ＮＴＰＣｌｉｅｎｔ服务涉及的主要配置文件有:/ｅｔｃ/ｎｔｐ.ｃｏｎｆ上一页下一页返回７.３数据库安全②ＣＴＳＳＤ配置。如果没有ＮＴＰ时间服务器,为了避免ＯｒａｃｌｅＲＡＣｓｌｅｗｔｉｍｅ问题,在Ｏｒａｃｌｅ１１ｇＲ２的集群环境中,可以通过集群时间同步守护进程(ＣＴＳＳＤ)来实现集群节点之间的时间同步问题。此时需要禁用系统ＮＴＰ服务。ＣＴＳＳＤ的配置,在安装ＧｒｉｄＩｎｆｒａｓｔｒｕｃｔｕｒｅ时自动配置。禁用ＮＴＰ服务涉及的主要配置文件及命令有:/ｅｔｃ/ｎｔｐ.ｃｏｎｆｃｈｋｃｏｎｆｉｇｎｔｐｄｏｆｆ上一页下一页返回７.３数据库安全(４)ＴＨＰ功能关闭。当集群运行在ＲｅｄＨａｔ６、ＯＥＬ６、ＳＬＥＳ１１或ＵＥＫ２内核上,请确认关闭ＴＨＰ(Ｔｒａｎｓｐａｒ￣ｅｎｔＨｕｇｅＰａｇｅｓ)以防止其带来的性能问题导致节点和实例驱逐。关闭ＴＨＰ服务涉及的主要配置文件有:/ｓｙｓ/ｋｅｒｎｅｌ/ｍｍ/ｒｅｄｈａｔ＿ｔｒａｎｓｐａｒｅｎｔ＿ｈｕｇｅｐａｇｅ/ｅｎａｂｌｅｄ/ｅｔｃ/ｇｒｕｂ.ｃｏｎｆ(５)禁用ＳＥＬｉｎｕｘ。上一页下一页返回７.３数据库安全根据ＯｒａｃｌｅＢｕｇ９７４６４７４建议,在ＲＡＣ环境中,建议关闭服务器ＳＥＬｉｎｕｘ。关闭ＳＥＬｉｎｕｘ服务涉及的主要配置文件有:/ｅｔｃ/ｓｅｌｉｎｕｘ/ｃｏｎｆｉｇ(６)禁用ＡＶＡＨＩ等第三方ＭＤＮＳ守护进程。禁用ＡＶＡＨＩ等第三方ＭＤＮＳ守护进程,以确保Ｏｒａｃｌｅｃｓｓｄ服务能够正常启动。禁用ＡＶＡＨＩ等第三方ＭＤＮＳ守护进程涉及的主要配置文件或命令有:上一页下一页返回７.３数据库安全/ｅｔｃ/ｓｙｓｃｏｎｆｉｇ/ｎｅｔｗｏｒｋ/ｅｔｃ/ｉｎｉｔ.ｄ/ａｖａｈｉ－ｄａｅｍｏｎｓｔｏｐ/ｓｂｉｎ/ｃｈｋｃｏｎｆｉｇａｖａｈｉ－ｄａｅｍｏｎｏｆｆ(７)禁用ｉｐｔａｂｌｅｓ服务。为防止ＲＡＣ安装时,执行ｒｏｏｔ.ｓｈ脚本失败。建议在安装前,先将ｉｐｔａｂｌｅｓ服务禁用。禁用ｉｐｔａｂｌｅｓ服务涉及的命令有:ｓｅｒｖｉｃｅｉｐｔａｂｌｅｓｓｔｏｐ上一页下一页返回７.３数据库安全ｃｈｋｃｏｎｆｉｇ(８)启用ＳＳＨ等服务。为安装ＲＡＣ所需,建议启用ＳＳＨ等服务。关闭ｆｔｐ、ｔｅｌｎｅｔ等服务。二、硬件配置方面(１)检查内存配置。在执行ＯｒａｃｌｅＲＡＣ安装之前,需要确认系统内存配置是否满足需求。Ｏｒａｃｌｅ１１.２版本的集群环境,要求物理内存不低于４ＧＢ。检查物理内存涉及的配置文件有:上一页下一页返回７.３数据库安全/ｐｒｏｃ/ｍｅｍｉｎｆｏ(２)检查交换分区配置。在执行ＯｒａｃｌｅＲＡＣ安装之前,需要确认系统交换分区配置是否满足需求。Ｏｒａｃｌｅ１１.２版本的集群环境,对交换分区的配置根据内存配置不同而有所变化。具体如下:２Ｇ≤实际物理内存≤８Ｇ,交换分区设置为实际物理内存的２倍地址空间;８Ｇ≤实际物理内存≤３２Ｇ,交换分区设置为实际物理内存的１.５倍地址空间;上一页下一页返回７.３数据库安全实际物理内存≥３２Ｇ,交换分区设置为３２Ｇ。(３)/ｔｍｐ空间配置。在执行ＯｒａｃｌｅＲＡＣ安装之前,需要确认系统/ｔｍｐ空间目录配置是否满足需求。Ｏｒａｃｌｅ１１.２版本的集群环境,要求/ｔｍｐ空间不低于１ＧＢ。检查/ｔｍｐ目录空间涉及的命令有:ｄｆ－ｋ/ｔｍｐ(４)检查系统磁盘空间。上一页下一页返回７.３数据库安全在执行ＯｒａｃｌｅＲＡＣ安装之前,需要确认系统空间目录配置是否满足需求。Ｏｒａｃｌｅ１１.２版本的集群环境,要求安装ＧｒｉｄＩｎｆｒａｓｔｒｕｃｔｕｒｅ、ＲＤＢＭＳ空间不低于１０ＧＢ。检查系统目录空间涉及的命令有:ｄｆ－ｋ/ｕ０１建议/ｕ０１目录配置为１００Ｇ。(５)配置存储多链路服务(可选)。如果存储采用多链路技术,需要在系统中配置多路径服务以实现磁盘链路聚合。存储多链路聚合技术根据不同类型的存储选定。上一页下一页返回７.３数据库安全ＥＭＣ存储:建议采用ＥＭＣＰｏｗｅｒｐａｔｈ多路径技术。其他存储:建议采用ＬｉｎｕｘＭｕｌｔｉｐａｔｈ技术。通过ＬｉｎｕｘＭｕｌｔｉｐａｔｈ技术实现磁盘链路聚合,主要涉及的配置文件有:/ｅｔｃ/ｍｕｌｔｉｐａｔｈ.ｃｏｎｆ通过Ｐｏｗｅｒｐａｔｈ技术实现磁盘链路聚合,参考Ｐｏｗｅｒｐａｔｈ操作手册。(６)配置存储权限属主。在使用磁盘之前,需要先将磁盘执行一次分区。涉及的主要命令有:上一页下一页返回７.３数据库安全ｆｄｉｓｋ三、系统软件配置方面(１)操作系统包或者组件包。Ｏｒａｃｌｅ１１.２版本集群环境,需要确保以下系统包已经安装上:ｂｉｎｕｔｉｌｓ－∗(ｘ８６＿６４)ｃｏｍｐａｔ－ｌｉｂｓｔｄｃ＋＋－３３－∗(ｘ８６＿６４)ｇｌｉｂｃ－∗(ｘ８６＿６４)ｋｓｈ－∗.ｅｌ６(ｘ８６＿６４)ｌｉｂａｉｏ－∗(ｘ８６＿６４)上一页下一页返回７.３数据库安全ｌｉｂｇｃｃ－∗(ｘ８６＿６４)ｌｉｂｓｔｄｃ＋＋－４.４.４－∗(ｘ８６＿６４)ｍａｋｅ－∗(ｘ８６＿６４)ｃｏｍｐａｔ－ｌｉｂｃａｐ１－１.１０－１(ｘ８６＿６４)ｇｃｃ－４.４.４－∗(ｘ８６＿６４)ｇｃｃ－ｃ＋＋－４.４.４－∗(ｘ８６＿６４)ｇｌｉｂｃ－ｄｅｖｅｌ－∗(ｘ８６＿６４)ｌｉｂａｉｏ－ｄｅｖｅｌ－∗(ｘ８６＿６４)ｌｉｂｓｔｄｃ＋＋－ｄｅｖｅｌ－４.４.４－∗(ｘ８６＿６４)上一页下一页返回７.３数据库安全ｓｙｓｓｔａｔ－∗(ｘ８６＿６４)ｃｐｐ－４.４.４－∗(ｘ８６＿６４)ｇｌｉｂｃ－ｈｅａｄｅｒｓ－∗(ｘ８６＿６４)ｍｐｆｒ.ｘ∗(ｘ８６＿６４)ｕｎｉｘＯＤＢＣ－∗(ｘ８６＿６４)ｕｎｉｘＯＤＢＣ－∗(ｉ６８６)ｕｎｉｘＯＤＢＣ－ｄｅｖｅｌ－∗(ｘ８６＿６４)ｕｎｉｘＯＤＢＣ－ｄｅｖｅｌ－∗(ｉ６８６)如果需要在集群环境下部署３２位的客户端软件,还需要安装以下３２位的系统包。上一页下一页返回７.３数据库安全ｃｏｍｐａｔ－ｌｉｂｓｔｄｃ＋＋－３３∗(ｉ６８６)ｇｌｉｂｃ－∗(ｉ６８６)ｇｌｉｂｃ－ｄｅｖｅｌ－∗(ｉ６８６)ｌｉｂａｉｏ－∗(ｉ６８６)ｌｉｂａｉｏ－ｄｅｖｅｌ－∗(ｉ６８６)ｌｉｂｇｃｃ－∗(ｉ６８６)ｌｉｂｓｔｄｃ＋＋－∗(ｉ６８６)ｌｉｂｓｔｄｃ＋＋－ｄｅｖｅｌ－∗(ｉ６８６)安装操作系统包涉及的命令有:上一页下一页返回７.３数据库安全ｒｐｍ－ｉｖｈ<包名>或者:通过配置ｙｕｍ服务,执行ｙｕｍ安装。ｙｕｍｉｎｓｔａｌｌ<包名>检查系统是否安装了上述包,可以通过以下命令获取:ｒｐｍ－ｑａ－－ｑｕｅｒｙｆｏｒｍａｔ"％{ＮＡＭＥ}－％{ＶＥＲＳＩＯＮ}－％{ＲＥＬＥＡＳＥ}(％{ＡＲＣＨ})＼ｎ"｜ｇｒｅｐ<包名>(２)确认ｇｃｃ、ｇｃｃ＋＋是否在运行。在确认了系统需要安装的包已经安装完成之后,需要确认ｇｃｃ、ｇｃｃ＋＋版本是否正常并是否在使用。上一页下一页返回７.３数据库安全该项检查主要涉及以下命令:ｇｃｃ－－ｖｅｒｓｉｏｎｇ＋＋－－ｖｅｒｓｉｏｎ(３)系统核心参数配置。需要对操作系统一些核心参数执行特定配置,以适应ＯｒａｃｌｅＲＡＣ的安装需要。具体参数及建议值如下:ｋｅｒｎｅｌ.ｓｈｍｍｎｉ＝４０９６ｋｅｒｎｅｌ.ｓｅｍ＝２５０３２０００１００１２８ｆｓ.ｆｉｌｅ－ｍａｘ＝６８１５７４４ｆｓ.ａｉｏ－ｍａｘ－ｎｒ＝４１９４３０４上一页下一页返回７.３数据库安全ｎｅｔ.ｉｐｖ４.ｉｐ＿ｌｏｃａｌ＿ｐｏｒｔ＿ｒａｎｇｅ＝９０００６５５００ｎｅｔ.ｃｏｒｅ.ｒｍｅｍ＿ｄｅｆａｕｌｔ＝２６２１４４ｎｅｔ.ｃｏｒｅ.ｒｍｅｍ＿ｍａｘ＝４１９４３０４ｎｅｔ.ｃｏｒｅ.ｗｍｅｍ＿ｄｅｆａｕｌｔ＝２６２１４４ｎｅｔ.ｃｏｒｅ.ｗｍｅｍ＿ｍａｘ＝１０４８５７６(４)ＳｈｅｌｌＬｉｍｉｔｓ的配置。①ｌｉｍｉｔｓ.ｃｏｎｆ配置。上一页下一页返回７.３数据库安全为ｇｒｉｄ用户以及ｏｒａｃｌｅ用户配置ＳｈｅｌｌＬｉｍｉｔｓ。具体涉及以下配置文件:/ｅｔｃ/ｓｅｃｕｒｉｔｙ/ｌｉｍｉｔｓ.ｃｏｎｆＯｒａｃｌｅ１１ｇＲ２ＲＡＣ的安装部署,该项配置的建议值如下:ｇｒｉｄｓｏｆｔｎｐｒｏｃ２０４７ｇｒｉｄｈａｒｄｎｐｒｏｃ１６３８４ｇｒｉｄｓｏｆｔｎｏｆｉｌｅ１０２４ｇｒｉｄｈａｒｄｎｏｆｉｌｅ６５５３６ｏｒａｃｌｅｓｏｆｔｎｐｒｏｃ２０４７上一页下一页返回７.３数据库安全ｏｒａｃｌｅｈａｒｄｎｐｒｏｃ１６３８４ｏｒａｃｌｅｓｏｆｔｎｏｆｉｌｅ１０２４ｏｒａｃｌｅｈａｒｄｎｏｆｉｌｅ６５５３６②ＰＡＭ配置。确认最新版本的ＰＡＭ是否加载,并对ＰＡＭ添加相应的条目。涉及的主要配置文件有:/ｅｔｃ/ｐａｍ.ｄ/ｌｏｇｉｎＯｒａｃｌｅ１１ｇＲ２ＲＡＣ的安装部署,该项配置建议添加条目如下:ｓｅｓｓｉｏｎｒｅｑｕｉｒｅｄｐａｍ＿ｌｉｍｉｔｓ.ｓｏ上一页下一页返回７.３数据库安全③配置系统默认ｐｒｏｆｉｌｅ。确认以下配置加载到系统的默认ｐｒｏｆｉｌｅ中。具体涉及的主要配置文件如下:/ｅｔｃ/ｐｒｏｆｉｌｅ建议添加如下配置:上一页下一页返回７.３数据库安全(５)ＨｕｇｅＰａｇｅ配置。在大内存的服务器环境下,为了提高数据库服务器性能。需要配置ＨｕｇｅＰａｇｅ。配置ＨｕｇｅＰａｇｅ功能涉及的主要配置文件有:上一页下一页返回７.３数据库安全(６)配置操作系统组、用户。根据ＯｒａｃｌｅＲＡＣ角色分离的特性,需要在操作系统中配置不同功能的组、用户。建议配置以下组及用户:组:ｏｉｎｓｔａｌｌ、ｄｂａ、ｏｐｅｒ、ａｓｍａｄｍｉｎ、ａｓｍｄｂａ、ａｓｍｏｐｅｒ用户:ｇｒｉｄ、ｏｒａｃｌｅ配置操作系统组或者用户涉及的主要配置文件如下:/ｅｔｃ/ｇｒｏｕｐ/ｅｔｃ/ｐａｓｓｗｏｒｄ上一页下一页返回７.３数据库安全(７)配置安装需要的目录。①创建目录。需要创建部署ＧｒｉｄＩｎｆｒａｓｔｒｕｃｔｕｒｅ、ＯｒａｃｌｅＲＡＣ所需要的目录。具体如下:Ｉｎｖｅｎｔｏｒｙ目录:/ｕ０１/ａｐｐ/ｏｒａＩｎｖｅｎｔｏｒｙＯＲＡＣＬＥＢＡＳＥ目录:/ｕ０１/ａｐｐ/ｏｒａｃｌｅＧｒｉｄＩｎｆｒａｓｔｒｕｃｔｕｒｅＨＯＭＥ目录:/ｕ０１/ａｐｐ/ｇｒｉｄ/ｐｒｏｄｕｃｔ/１１.２.０/ｇｒｉｄ＿１上一页下一页返回７.３数据库安全ＲＤＢＭＳＨＯＭＥ目录:/ｕ０１/ａｐｐ/ｏｒａｃｌｅ/ｐｒｏｄｕｃｔ/１１.２.０/ｄｂ＿１②配置相关目录的属主及权限。Ｉｎｖｅｎｔｏｒｙ目录:属主,ｇｒｉｄ:ｏｉｎｓｔａｌｌ;权限,７７５ＯＲＡＣＬＥＢＡＳＥ目录:属主,ｏｒａｃｌｅ:ｏｉｎｓｔａｌｌ;权限,７７５ＧｒｉｄＩｎｆｒａｓｔｒｕｃｔｕｒｅＨＯＭＥ目录:属主,ｇｒｉｄ:ｏｉｎｓｔａｌｌ;权限,７７５上一页下一页返回７.３数据库安全ＲＤＢＭＳＨＯＭＥ目录:属主,ｏｒａｃｌｅ:ｏｉｎｓｔａｌｌ;权限,７７５(８)配置主机/ｅｔｃ/ｈｏｓｔｓ别名如果需要没有计划采用ＤＮＳ服务器,需要在服务器本地配置服务器主机名与ＩＰ地址的映射关系。具体涉及的主要配置文件为:/ｅｔｃ/ｈｏｓｔｓ该配置文件主要的配置信息建议如下:上一页下一页返回７.３数据库安全(９)配置节点互信机制。需要将ｇｒｉｄ用户、ｏｒａｃｌｅ用户配置好集群节点之间的互信机制。配置集群节点互信机制建议采用ｓｓｈ协议。主要涉及的配置文件有:ＭＹＭＨＯＭＥ/.ｓｓｈ/ａｕｔｈｏｒｉｚｅｄ＿ｋｅｙｓ上一页下一页返回７.３数据库安全(１０)配置环境变量。需要对ｇｒｉｄ用户、ｏｒａｃｌｅ用户配置好环境变量。ｇｒｉｄ用户的环境变量配置建议如下:上一页下一页返回７.３数据库安全Ｏｒａｃｌｅ用户环境变量配置建议如下:上一页下一页返回７.３数据库安全(１１)准备安装介质。从ＯＴＮ中将规划版本的ＧｒｉｄＩｎｆｒａｓｔｒｕｃｔｕｒｅ、ＯｒａｃｌｅＲＤＢＭＳ介质下载,并上传至其中一个节点中。建议上传至/ｏｐｔ/ｓｏｆｔ目录并执行解压。(１２)配置ｃｖｕ＿ｃｏｎｆｉｇ文件。为避免安装过程中提示ｅｌｆｕｌｔｉｌｓ－ｌｉｂｅｌｆ－ｄｅｖｅｌ－０.９７、ｐｄｋｓｈ－５.２.１４包的缺失,需要提前配置ｃｖｕ＿ｃｏｎｆｉｇ文件。主要涉及的配置文件:将配置文件内的ＣＶ＿ＡＳＳＵＭＥ＿ＤＩＳＴＩＤ＝ＯＥＬ４值修改为ＯＥＬ６。上一页返回７.４入侵检测系统７.４.１入侵检测概述入侵检测系统(ＩｎｔｒｕｓｉｏｎＤｅｔｅｃｔｉｏｎＳｙｓｔｅｍ,ＩＤＳ)可以弥补防火墙的不足,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。其最重要的价值之一是,它能提供事后统计分析,所有安全时间或审计时间的信息都将被记录在数据库中,可以从各个角度来对这些事件进行分析归类,以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。下一页返回７.４入侵检测系统入侵检测的基本原理是通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。其主要功能包括:监视、分析用户及系统活动,审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警,统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。通用入侵检测系统模型如图７－５７所示。７.４.２入侵检测的主要方法入侵检测的主要方法:静态配置分析、异常性检测方法、基于行为的检测方法及几种方法的组合。上一页下一页返回７.４入侵检测系统一、静态配置分析静态配置分析是一种通过检测系统的当前系统配置,诸如系统文件的内存或者系统表,来检查系统是否已经或者可能遭到破坏。静态是指系统的静态特征,如系统配置信息、规则库等,而不是系统中的活动、个体。采用静态分析方法主要有以下几个方面的考虑:入侵对系统攻击可能会留下痕迹,这可通过检测系统的状态检测出来;系统管理员以及用户在建立系统时难免会出现一些错误或遗漏一些系统的安全措施,系统遭到攻击后,入侵者可能会在系统中安装一些安全性后门以方便对系统进一步攻击。上一页下一页返回７.４入