信息安全与技术ppt课件08(清华大学)

信息安全与技术清华大学出版社信息安全与技术清华大学出版社第8章网络防御技术本章介绍IPSec的必要性，IPSec中的AH协议和ESP协议，介绍防火墙的基本概念、分类、实现模型以及VPN的解决方案等。第8章网络防御技术本章介绍IPSec的必要性，IPSec中第1节网络安全协议一、网络体系结构针对现存网络的不同的体系结构分层有不同的方法，ISO的七层OSI体系结构（物理层、链路层、网络层、传输层、会话层、表示层、应用层），TCP/IP的四层体系结构（网络接口层、IP层、TCP层、应用层）。第1节网络安全协议一、网络体系结构二、IPSec协议最初的IP协议是没有任何安全措施的。IP数据报含有诸如源地址、目的地址、版本、长度、生存周期、承载协议、承载数据等字段。虽然其拥有“首部校验和”这样的字段来提供极其简单的完整性功能，但无力抗拒对数据的意外或者故意修改，也无力抗拒对所有报头字段的恶意修改，也无法阻止信息泄露等问题。为了加强互联网的安全性，从1995年开始，IETF着手制定了用以保护IP层通讯的IPSec协议来保证本层的安全。IPSec是IPv6的组成部分，也是IPv4的可选扩展协议。二、IPSec协议“Internet协议安全性(IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。Microsoft®Windows®2000、WindowsXP和WindowsServer2003家族实施IPSec是基于“Internet工程任务组(IETF)”IPSec

工作组开发的标准。“Internet协议安全性(IPSec)”是一种开放标信息安全与技术ppt课件08(清华大学)IPSec协议定义了一种标准的、健壮的以及包容广泛的机制，可用它为网络层提供安全保证。IPSec能为IPv4和IPv6提供具有较强的具有互操作能力、高质量和基于密码的安全功能，在IP层实现多种安全服务。包括访问控制、数据完整性、机密性等。IPSec协议定义了一种标准的、健壮的以及包容广泛的机制，可IPSec协议簇包括两个安全协议：AH协议和ESP协议。AH协议（AuthenticationHeader，验证头协议）可以证明数据的起源地（即源IP）、承载数据的完整性以及防止相同数据包在因特网重播。ESP协议（EncapsulatingSecurityPayload，封装安全载荷协议）具有AH的大部分功能，还可以利用加密技术保障数据机密性。IPSec协议簇包括两个安全协议：AH协议和ESP协议。AH在介绍AH和ESP这两种具体的IPSec子协议之前我们首先要介绍两个内容：IPSec协议的两种实现方式和安全关联的概念1.IPSec的实现方式IPSec协议有两种实现方式：传输模式和隧道模式。在介绍AH和ESP这两种具体的IPSec子协议之前我们首先要信息安全与技术ppt课件08(清华大学)信息安全与技术ppt课件08(清华大学)2.安全关联及其建立安全关联（SA，SecurityAssociation），是IPSec的重要概念。我们后面介绍AH协议和ESP协议的时候大家会看到，这些协议运行的时候需要消息验证hash算法和对称密钥加密算法，而采用何种算法、密钥，在进行通讯之前都是需要明确的。这些IPSec通讯所必须的参数是安全关联要有的数据内容，存储这些数据的数据结构将会以安全参数索引（SPI，SecurityParametersIndex）来标定。给定一个安全关联，除了能决定SPI之外，还能决定通讯的目的IP和使用何种协议（AH还是ESP）；反之，给出这三项数据也可以唯一决定一个安全关联。2.安全关联及其建立安全关联存储着保证IPSec通讯的关键数据，为了保障安全，通讯参与者在协商和交换这些数据时需要有安全的渠道。换句话说，有了安全关联，IPSec可以提供安全的数据交流了，但谁来保证建立安全关联时所必须的数据安全通讯？IPSec协议采用了一个现成的IKE协议来建立安全关联。安全关联存储着保证IPSec通讯的关键数据，为了保障安全，通IKE协议是互联网工程任务组（IETF，InternetEngineeringTaskForce）定义的一种由ISAKMP、Oakley和SKEME组成的专供交换安全关联这类敏感数据的协议。其中，Oakley协议采用了Diffei-Hellman密钥交换算法保证了信息的安全交换，IKE协议的运行首先使用Oakley协议建立一个“安全关联的安全关联”。然后通过SKEME协议完成安全关联本身需要数据的协商与交换。所有数据都在ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）协议规定的框架下进行交换。IKE协议是互联网工程任务组（IETF，InternetE3.AH协议IPSec的子协议头认证协议AH，为IP报文提供数据完整性校验和身份验证，还具备防重放攻击能力。不过AH协议不对受其保护的IP数据报的任何部分进行加密。AH的协议分配号为51。3.AH协议信息安全与技术ppt课件08(清华大学)AH协议头主要包含以下字段：（1）下一报头（8位）：这个报头之后的报头类型（2）载荷长度（8位）：以32位为单位的AH头长度减2。比如说，若身份验证数据为96位的话，AH头将一共6个32位字。则该段数值为6-2=4。（3）保留（16位）：供将来使用，目前协议规定这个字段应该被置为0.（4）安全参数索引（SPI，32位）：联合协议类型、目的IP决定数据包属于哪个SA，以决定如何处理。（5）序列号（32位）：一个单调递增的计数器值。（6）验证数据：存放可实现对整个数据包的完整性检查的消息验证码，比如可以采用HMAC-MD5-96、HMAC-SHA-1-96之类的算法计算出整个IP数据包的消息验证码存放于此字段，供信宿端验证。如何处理由安全关联决定。长度可变，取决于采用何种消息验证算法。AH协议头主要包含以下字段：AH协议通过设置的验证数据字段实现对数据和其来源完整性的验证。当接收端进行AH处理时可以通过计算消息验证码来验证整个数据包是否被修改过。这意味着除了能保证载荷数据的完整之外，也保证了源IP地址的正确，从而确定数据包的数据与来源完整性。AH协议通过序列号字段实现防止重播的功能。此种功能的开启需要使用者选择是否启用抗重放功能。如果该功能不启用，协议处理程序对序列号字段不予理会。若开启抗重放功能则信宿端将通过设置接受窗口和标记已接受数据包这些类似TCP协议处理的功能进行是否重播检查，并且会丢弃重播的数据包。另外，如果采用了抗重放处理，序号将从0开始，单调递增，但不会从232-1循环到0。当序号达到232-1的时候，相应的安全关联将被终止，如果还需要继续通讯的话则需要重新建立安全关联。AH协议通过设置的验证数据字段实现对数据和其来源完整性的验证4.ESP协议ESP为IP报文提供数据完整性校验、身份验证、数据加密以及重放攻击保护。就是说，除了AH协议提供的大部分功能以外，ESP协议还提供对载荷数据的机密性服务。ESP协议的分配号为50。4.ESP协议ESP头主要包含以下字段。（1）安全参数索引（SPI，32位）：联合协议类型、目的IP决定属于哪个SA，以决定如何处理。（2）序列号（32位）：单调递增的计数器值。（3）加密数据载荷：加密内容包含原来IP数据包的有效载荷和填充数据。可以选取不同的加密算法，例如DES、3-DES、RC5、IDEA等等。（4）填充项：长度可以是0~255个字节。保证加密数据的长度适应分组加密算法的长度，比如64比特的整数倍。也可以用以掩盖载荷的真实长度对抗流量分析。（6）下一报头：这个报头之后的报头类型（7）验证数据：采用验证算法计算出来的消息验证码，如计算处理理由SA决定，字段长度取决于SA规定的算法。不同于AH协议，该字段是可选的，就是说用户可以根据自己的需要而不使用ESP协议的验证功能。ESP头主要包含以下字段。ESP协议能够实现AH的防重播功能和验证功能，此外还提供对载荷数据的加密功能，具有更强大的功能。通过前面的内容我们了解到AH协议和ESP协议有不同的功能。在很多情况下，AH功能已经能够满足安全的需要了。ESP由于需要使用高强度的加密算法，需要消耗更多的计算机运算资源，使用上受到一定限制。ESP协议能够实现AH的防重播功能和验证功能，此外还提供对载三、SSL/TLS协议传输层是网络体系结构中任务最为重要和复杂的一层，该层完成面向连接、流量及拥塞控制的任务。TCP协议保证了网络上的通讯是满足无重复、无丢包、以适宜流量进行的通讯。作为这一层上最重要的核心协议，TCP包头上包含有源端口、目的端口、序号、确认序号、窗口等字段和URG紧急、ACK确认、PSH推送、SYN同步、RST复位、FIN终止等比特。TCP协议提供了应用程序间的有连接通讯，但不保证通讯的对象究竟是谁，无法保证通讯的保密性，无法对获得的信息进行认证。在实际应用中，除了可以通过其下网络层上的IPSec协议来实现某些安全功能外，也可以使用人们专门开发的传输层之上运行的安全套接层协议：SSL/TLS。三、SSL/TLS协议SSL/TLS协议的历史可以追溯到1994年。这年Netscape开发了在公司内部使用的安全套接层协议SSL1.0（SecureSocketLayer），专门用于保护Web通讯。到1996年发布了较为完善的SSL3.0。1997年IETF以其为基础发布了传输层安全协议TLS1.0（TransportLayerSecurity），该协议兼容SSL3.0，也被称为SSL3.1。同时，Microsoft宣布与Netscape一起支持TLS1.0。1999年，RFC2246正式发布，也就是TLS1.0的正式版本。由于酷似，在很多场合下都认为SSL3.0和TLS1.0等价。SSL/TLS协议的历史可以追溯到1994年。这年NetscSSL提供的服务可以归结为以下三个方面、（1）用户和服务器的合法性认证。SSL协议在建立会话的时候可以验证通讯参与者的数字证书。从而保证通讯参与者能与正确的对象进行通讯，并将数据发送到正确的机器上。（2）数据完整性保障。SSL协议采用消息验证码来验证获取数据的完整性，确保信息内容和来源的完整性。（3）数据机密性保证。SSL协议采用加密算法来加密数据，保障数据的机密性。SSL协议本身分也为两层。低层是SSL记录协议层，包含SSL记录协议；高层是SSL握手协议层，该层上有SSL握手协议、SSL报警协议、SSL改变密码规则协议。SSL提供的服务可以归结为以下三个方面、SSL协议的工作过程可以这样简单描述：首先通讯双方使用SSL握手协议建立SSL会话，商议好加密算法、密钥、数据压缩方式之类的通讯安全参数，这过程中可能需要通过数字证书验证对方身份。需要传输数据时则选择会话下恰当的连接，如果没有，就建立新的连接。传输数据时要对信息进行对称密钥加密，并计算hash消息验证码供对方验证。由于对称密钥加密要消耗一定量的计算资源，SSL协议一般先要按照建立会话时商定的压缩方法将数据压缩后再做加密处理。收到信息后则要依次做完整性验证、解密、解压缩的操作，最终将数据传送给应用层。SSL协议的工作过程可以这样简单描述：首先通讯双方使用SSL会话与连接SSL记录协议SSL握手协议SSL警告协议SSL交换密码规范议会话与连接第2节防火墙技术一、防火墙的概念防火墙被认为最初是一个建筑名词，指的是修建在房屋之间、院落之间、街区之间，用以隔绝火灾蔓延的高墙。而我们这里介绍的用于计算机网络安全领域的防火墙则是指设置于网络之间，通过控制网络流量、阻隔危险网络通信以达到保护网络目的，由硬件设备和软件组成的防御系统。像建筑防火墙阻挡火灾、保护建筑一样，它有阻挡危险流量、保护网络的功能。从信息保障的角度来看防火墙是一种保护（protect）手段。第2节防火墙技术一、防火墙的概念防火墙一般都是布置于网络之间的。防火墙最常见的形式是布置于公共网络和企事业单位内部的专用网络之间，用以保护内部专用网络。有时候在一个网络内部也可能设置防火墙，用来保护某些特定的设备，但被保护关键设备的IP地址一般会和其它设备处于不同网段。甚至有类似大防火墙（GFWGreatFireWall）那样保护整个国家网络的防火墙。其实，只要是有必要，有网络流量的地方都可以布置防火墙。防火墙一般都是布置于网络之间的。防火墙最常见的形式是布置于公防火墙保护网络的手段就是控制网络流量。网络之上的各种信息都是以数据包的形式传递的，网络防火墙要实现控制流量就是要对途径其的各个数据包进行分析，判断其危险与否，据此决定是否允许其通过。对数据包说“Yes”或者“No”是防火墙的基本工作。不同种类的防火墙查看数据包的不同内容，但是究竟对怎样的数据包内容说“Yes”或者“No”，其规则是由用户来配置的。就是说防火墙决定数据包是否可以通过，要看用户对防火墙查看的内容制定怎样的规则。防火墙保护网络的手段就是控制网络流量。网络之上的各种信息都是用以保护网络的防火墙会有不同的形式和不同的复杂程度。它可以是单一设备也可以是一系列相互协作的设备；设备可以是专门的硬件设备，也可以是经过加固甚至只是普通的通用主机；设备可以选择不同形式的组合，具有不同的拓扑和结构。我们会在下面的内容中做进一步的讨论。用以保护网络的防火墙会有不同的形式和不同的复杂程度。它可以是二、防火墙的分类依据不同的保护机制和工作原理，人们一般将防火墙分为三类：包过滤防火墙，状态检测包过滤防火墙，应用服务代理防火墙。这些防火墙的功能不同，常见的实现方式，以及它们的性能、安全性都有不同。二、防火墙的分类包过滤防火墙状态检测包过滤防火墙应用服务代理防火墙包过滤防火墙三、防火墙的不同形态无论是包过滤防火墙还是状态检测包过滤防火墙以及应用代理服务防火墙，本身都会以一定的设备的形态出现。这里我们简单看一看不同的防火墙形态。三、防火墙的不同形态1.专用硬件设备专门的硬件防火墙设备，将防火墙程序作到芯片中，防火墙还拥有专门的寄存器以存放用户规则、连接状态之类的信息。无论是防火墙程序还是运行所需的信息都很难被攻击和篡改，在网络攻击面前防火墙很坚固，有很大的安全性。这是包过滤防火墙和状态检测包过滤防火墙常见的形式。1.专用硬件设备2.安排在特定功能的硬件设备（如路由器）上路由器一般都可以设置包过滤功能，起到一定的防火墙效果。由于不是专门的设备，实现防火墙功能的程序和需要的一些信息存放于路由器内存中，程序和运行所需信息容易被攻击和篡改，此种防火墙自身的安全性比较差，一般只是权宜之计。2.安排在特定功能的硬件设备（如路由器）上3.加固主机使用特定硬件、软件（例如安全操作系统）加固的主机负担防火墙工作。防火墙程序和需要的规则等信息都存放于机器内存中，由于主机经过加固，它们也不那么容易受到攻击和篡改，安全性也比较好。虽然，由于主机有很好的通用性，此类设备可以负担各种防火墙，但一般还是用于程序较为复杂，需要运算力较高的应用代理服务防火墙上。3.加固主机4.运行于普通通用计算机之上的软件由于不采用任何的专门设备，虽然软件自身一般都会采取一些安全措施，但总的来说，操作系统和防火墙软件还是容易被攻击和篡改，导致其失效。这样形式的防火墙一般只用于单个主机、小规模网络的较低安全要求应用。Windows等操作系统自身就带有此类防火墙功能，一些从事网络安全的软件公司也提供这类工具，比如天网个人防火墙、瑞星个人防火墙、金山网镖等。4.运行于普通通用计算机之上的软件四、防火墙设备的性能指标吞吐量时延丢包率背靠背并发连接数HTTP传输速率和HTTP事务处理速率四、防火墙设备的性能指标五、防火墙系统的结构屏蔽路由器双宿主机网关屏蔽单宿堡垒主机屏蔽双宿堡垒主机屏蔽子网五、防火墙系统的结构第3节VPN技术一、VPN含义网络技术的发展为人们的生产生活带来了极大的便利，人类生活的很多方面越来越多的与网络应用、网络通讯相联系。但是，公共网络由于其开放性和低安全性并不适用于一些网络应用的需要。类似电子商务、网络银行、具有多家分支结构公司的内部通讯这样对于安全有更高要求的业务不适合通过公共网络进行通讯。而为每家公司、每种应用布设专门的网络也会因为代价高昂而不切实际。为了解决这个矛盾，人们发展了VPN技术。第3节VPN技术一、VPN含义虚拟专用网（VirtualPrivateNetwork，VPN）指的是在公用网络上建立的专用网络。其具有稍微高于公共网络的使用价格，基本接近于专用网络的应用性能，具有极佳的性价比。虚拟专用网（VirtualPrivateNetwork，二、VPN的分类在这一部分，我们会从不同视角介绍不同的VPN看待方法。其实这并不完全是VPN的分类，也是要帮助大家对VPN性能的取舍做一些思辨。首先的一个视角，我们可以把VPN简单的分为两个大类，“专线”类和“协议”类。实际上“专线”都是需要网络层以下的协议来实现的，而“协议”类大部分都是需要网络层以上协议来实现的。这个视角其实是依据虚拟专用网采用怎样的方式在公共网络上传输自己的数据包来分类：是按照固定的、有一定通讯品质保障的路线来传输；还是用普通公共网络数据包的形式传输。二、VPN的分类专线类的网络主要有物理专线专用网、虚电路虚拟专用网、MPLS虚拟专用网。1.物理专线专用网我们熟悉的局域网就是采用物理上的专门线路。采用物理专线的网络，是真正的专用网，并非虚拟。对于小范围的网络，物理上的专线造就的专用网是可行的。但是更大范围的专线，比如说跨国公司建立一个跨洲越洋的专线网络——这种网络的成本必然由公司自己承担——是不现实的。当然，如果是类似大国军队这样的机构是可能建立起稍微小型些的物理专线专用网络的。物理专线的网络，其时延、网络自主性都很好，网络安全性也比较高。但这里要提醒的一个问题是，专线的网络不是就一定安全。当通讯距离较远时，通讯线路会经历成百上千公里的距离，也需要若干通讯设备来维持其运行。漫长的距离，众多设备，想要做到完全安全是很难的，恶意的窃听者或者篡夺者总能找到可乘之机。在冷战时期，美国人就曾经使用核潜艇潜入鄂霍次克海，堪称在苏联太平洋舰队的眼皮底下成功的窃听了其军用海底电缆。并且在海底电缆上安置了一台重达上千公斤的由核电池驱动、磁带记录数据并可持续工作一年以上的窃听装置，收集了大量的情报。专线类的网络主要有物理专线专用网、虚电路虚拟专用网、MPLS2.虚电路VPN物理专线需要布设专门的线路与设备，花费之高昂，能用得起的机构很少。而一些数据链路层协议却可以在公共网络上实现类似的功能，一个典型的例子就是帧中继协议。3.MPLSVPN基于数据链路层虚电路的VPN，会受到单一网络覆盖范围的限制，其布置的灵活性远达不到互联网的水平。而如果使用MPLS协议则可以实现更广泛范围的“专线”VPN。2.虚电路VPN第二个视角，我们从网络的应用方式、应用范围角度来分类。据此，我们可以将VPN分为远程接入VPN，内联网VPN、外联网VPN。1.远程接入VPN（AccessVPN）：又称为拨号VPN（即VPDN）。是指通过公共网络远程拨号之类的方式构建的虚拟网，可提供对特定网络资源的远程访问功能。适用于出差的企业员工或企业的小分支机构连接公司网络。远程接入VPN为用户通过离散的各个远程地点访问特定的网络资源提供了便利，有很多合适的应用场景。第二个视角，我们从网络的应用方式、应用范围角度来分类。据此，2.内联网VPN（IntranetVPN）：一个公司中地理上分布的各个机构之间建立的，用以连接同公司不同机构网络中资源的虚拟专用网。此种网络是企业内部网在空间地域上的扩展。对于类似跨国公司这样具有较多分支机构的企业是很必要的选择。3.外联网VPN（ExtranetVPN）：某产业的各个合作伙伴企业共同构建Extranet，将一系列公司需要彼此共享的资源进行连接的虚拟专用网。2.内联网VPN（IntranetVPN）：一个公司中地理三、VPN关键技术VPN的关键技术主要有隧道技术、加密技术、密钥管理技术、身份认证技术、管理技术。隧道技术隧道技术是VPN的基本技术，可以说，没有隧道技术就没有VPN。作为建立于公共网络上的专用网，VPN一般都需要跨越一定的地理距离，需要穿越公共网络。如何在公共网络上传输VPN的数据包是任何VPN需要解决的基本问题。三、VPN关键技术2.加密技术加密技术是VPN建设经常选择的可选项。一些采用“专线”形式，以及一些传输数据不够重要的VPN可能对加密技术没有特别的要求。但对于隧道协议VPN或者是对数据安全有更高要求的情况下，加密技术是必要的选择。该技术是VPN传输数据保密性、完整性、抗否认性的保障。加密技术是一项较成熟的技术。传输数据的对称加密，消息验证码，数字签名都需要采用加密技术才可以完成。该技术是实现VPN安全性的核心技术。2.加密技术3.密钥管理技术有了密码技术，就必然会涉及到密钥管理技术。没有保密的密钥，加密技术就是空耗时间做的无用功。没有好的密钥管理，加密技术的应用是没有意义的。密钥管理技术主要涉及密钥的生成和交换。如何真正等概率随机的在密钥空间内生产出密钥是一个重要的事情，尤其是对那些比较重要的机密数据传输而言。可以在网络中引入专门的加密机或者其它有硬件生产密钥功能的网络设备，一些较新版本的操作系统也有收集用户敲击键盘的时间等物理事件作为密钥生成依据的能力。而密钥的传输则一般需要类似SKIP密钥管理协议或者ISAKMP/OAKLEY之类的专门协议支持。3.密钥管理技术4.身份认证技术VPN一般都是为了方便内部人士方便、安全的访问网络资源。但是部分网络资源由于较为重要和敏感，需要对访问者进行专门的甄别，这就需要用到身份识别技术。身份识别可以依照被访问资源的重要性，以及用户自己的需求与条件，采用不同的形式。可以采用的方式可以是简单的用户名/口令方式，也可以是指纹等生物信息，也可以使用智能卡进行识别。而存储于智能卡中，基于公钥密码算法和PKI的数字证书是适于广泛应用且安全水准很高的识别手段。各个网络银行使用的“U盾”就是此类识别手段。4.身份认证技术5.管理技术一个好的VPN还需要是便于管理的。对于VPN执行的各种安全策略，比如加密算法、访问权限设置、日志、审计等方面需要有安全有效的管理。特别是VPN比较大和复杂的情况下。能否提供方便、有效的管理也是VPN性能的重要指标。5.管理技术四、VPN的优点性能价格比高是VPN最大的优点，也是VPN这种网络安全手段兴盛的根本原因。简单而言，VPN具有“专用网的性能，公共网的价格”。这虽然是近似的情况，但对于广大普通用户是正确的。四、VPN的优点实际上VPN由于需要做额外的处理，性能上比专用网要差。比如说专线模式的VPN，数据链路层虚电路的，传输性能可以和专用网相当，而MPLS的处理速度会稍微慢一点。而隧道协议VPN由于隧道协议的开销，公共网络的服务延迟，以及各种加密算法的开销，性能上有较多损失。但是由于计算机和网络技术的进步令公共网络性能有快速的提升，对于大多数用户的普通应用来说，这种性能上的差别是可以很容易被公共网络传输速度的进步磨平，从而忽略不计的。从价格上来说，VPN需要向ISP申请虚拟专线，或者购置支持安全协议的网关设备，投资上也是要不同程度的高于仅使用公共网络时的花费。但随着VPN的普及和相关设备生产的进步，多投入的资金也很容易被接受。实际上VPN由于需要做额外的处理，性能上比专用网要差。比如说而VPN易于扩展，不需要专门的线路，只要具有恰当公共网络的地方都可以布设VPN的新节点。当然这种“恰当的公共网络”是要视VPN穿越公共网络方式而定的，例如MPLSVPN一般需要考虑是否同一ISP内，而网络层隧道协议VPN则基本没有限制。VPN还通过成熟的加密技术和认证技术实现了更为安全的通讯，通过结合防火墙等安全措施可以保证网络有更好的安全性。而VPN易于扩展，不需要专门的线路，只要具有恰当公共网络的地第4节蜜罐主机与欺骗网络一、蜜罐主机蜜罐主机是一种专门引诱网络攻击的资源。它被伪装成一个有价值的攻击目标，蜜罐主机设置的目的就是吸引别人去攻击它。此种网络设备的意义一方面在于吸引攻击者的注意力，从而减少对真正有价值目标的攻击。另一方面在于收集攻击者的各种信息，从而帮助网络所有者更加了解攻击者的攻击行为，以利于更好的防御。蜜罐主机是网络中可以选择的一种安全措施。第4节蜜罐主机与欺骗网络一、蜜罐主机蜜罐主机上一般不会运行任何具有实际意义、且能产生通讯流量的服务。所以，任何与蜜罐主机发生的通讯流量都是可疑的。通过收集和分析这些通讯流量，可以为我们提供很多攻击者的有意义的信息。就收集攻击者信息的能力和本身的安全性来说，可以通过蜜罐主机的连累等级来将它们分为低连累等级蜜罐主机，中连累等级蜜罐主机，高连累等级蜜罐主机。蜜罐主机上一般不会运行任何具有实际意义、且能产生通讯流量的服蜜罐主机的位置选择对其功能也是有很大影响的。蜜罐主机的位置选择主要是相对于防火墙而言的。不同的位置选择可以有不同的效果。就普通用户常用的最复杂的屏蔽子网防火墙结构而言，蜜罐主机可以布置在：防火墙之外，DMZ区，内部网络。蜜罐主机的位置选择对其功能也是有很大影响的。蜜罐主机的位置选二、欺骗网络蜜罐主机会通过模拟某些常见的服务，常见的漏洞来吸引攻击，使其成为一台“牢笼”(Cage)主机。但蜜罐主机毕竟是单台主机，本身无法控制外出的通信流。要达到这样的目的，需要防火墙等设备配合才能对通信流进行限制。这样便演化成一种更为复杂的网络欺骗环境，被称为欺骗网络（HoneyNet）。一个典型的欺骗网络包含多台蜜罐主机以及防火墙来记录和限制网络通信流。通常还会与含入侵检测系统紧密联系，以发现潜在的攻击。比较单一的蜜罐主机，欺骗网络有更大的优势。二、欺骗网络首先，欺骗网络是一个网络系统，而不是单一主机。整个系统隐藏在防火墙后面，可以使用各种不同的操作系统及设备，运行不同的服务。在欺骗网络中的所有主机都可以是标准的机器，上面运行的都是真实完整的操作