网络安全技术

11. 网络安全技术

11.1. 网络安全概述

网络安全五大基本要素： 机密性、完整性、可用性、可控性、可审查性。

网络攻击手段：

• 被动攻击：流量分析、截获。由于被动攻击不会对被攻击的信息做任何修改，因而非常难以检测，所以对抗被动攻击的重点在于预防，被动攻击不易被发现，因而常常是主动攻击的前奏。

• 主动攻击：拒绝服务、中断、篡改、伪造。对抗主动攻击的重点在于检测。常用的有：数据完整性检测、身份认证等．．．

• 其他攻击方式：物理临近攻击、内部人员攻击（恶意及非恶意） 和分发攻击。

• 拒绝服务攻击（DOS 攻击）：攻击者大量伪造的TCP连接请求，使被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。 造成的危害：

  • 消耗系统资源（ 带宽、内存、队列、CPU ) 。
  • 导致目标主机宕机。
  • 阻止授权用户正常访问服务（ 慢、不能连接、没有响应） 。

• 分布式拒绝服务攻击（DDOS 攻击）：基于DOS 攻击， 借助于客户端/服务器技术， 将多个计算机联合起来作为攻击平台， 对—个或多个目标发动DDOS 攻击， 从而成倍地提高拒绝服务攻击的威力。 其他常见的DOS 攻击还有： SYN Flood、Ping of Death、Teardrop 攻击、Land 攻击、Smurf 攻击、winnuke 攻击等...

• SQL 注入攻击：通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串， 最终达到欺骗服务器执行恶意的SQL 命令， 获取攻击者想要取得的数据。具体来说， 它是利用现有应用程序， 将（ 恶意的） SQL 命令注入到后台数据库引擎执行的能力。SQL 注入攻击属于数据库安全攻击手段之一， 可以通过数据库安全防护技术实现有效防护， 数据库安全防护技术包括： 数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。SQL 注入攻击会导致的数据库安全风险包括： 刷库、拖库、撞库。

11.2. 计算机病毒

计算机病毒命名规则：<病毒前缀>.<病毒名>.<病毒后缀>

常见的病毒前缀： Trojan（木马病毒）、Worm（蠕虫病毒）、Hack（黑客病毒）、Macro（宏病毒）、Script（脚本病毒）以及系统病毒（Win32、PE、Win95、W32、W95、WM97 等．． ）

病毒类型	关键字	特征	代表
系统病毒	前缀为win32, win95， PE，W32，W95等	感染windows系统的exe或dlI文件, 并通过这些文件进行传播	CIH病毒
蠕虫病毒	前缀为worm	通过网络或者系统漏洞进行传播，可以向外发送带毒邮件或阻塞网络	冲击波(阻塞网络)、 小邮差病毒(发送带毒邮件)
木马病毒和黑客病毒	木马前缀为Trojan、黑客病毒前缀为Hack	通过网络或漏洞进入系统并隐藏起来，木马负责入侵用户计算机，黑客通过木马进行远程控制。	游戏木马Trojan.Lmir.PSW60
脚本病毒	前缀是Script	使用脚本语言编写,通过网页进行传播	欢乐时光病毒VBS.Happtime 红色代码Script.Redlof
宏病毒	前缀是Macro	特殊脚本病毒,感染word和excel	Macro.Word97
后门病毒	前缀为Backdoor	通过网络传播，给系统开后门,给用户计算机带来安全隐患	入侵后添加隐藏账号
破坏性程序病毒	前缀为Harm	本身具有好看的图标来诱惑用户点击，当用户点击,对计算机产生破环。	熊猫烧香
捆绑机病毒	前缀为Binder	将特定程序捆绑下载	下载大礼包或某些软件捆绑病毒

ARP欺骗攻击：

计算机病毒防治：

1. 安装杀毒软件及网络防火墙（或断开网络），定时更新病毒库。
2. 及时安装操作系统补丁。
3. 不访问安全性无法保证的网站。
4. 下载文件后及时杀毒。
5. 关闭多余端口， 做到使电脑在合理的使用范围之内。
6. 不使用修改版的软件， 如果一定要用， 在使用之前查杀病毒＆木马，以确保安全。

11.3. 加密技术

11.3.1. 基本概念

明文： 加密前的原始数据。

密文： 经加密处理后的明文信息。

加密： 将明文转变为密文的过程。

解密： 加密的反操作。

加密算法： 加密时使用的变换规则， 主要分为置换、异位和一次性填充。

• 置换： 改变明文内容的表现形式，但内容元素的相对位置不变。
• 异位： 改变明文内容相对位置，但表现形式不变。

11.3.2. 加密技术的分类

加密技术分为两类： 对称加密（ 私人密钥加密） 和非对称加密（ 公开密钥加密）。对称加密以数据加密标准（DES , Data Encryption Standard）算法为典型代表， 非对称加密通常以RSA（Rivest,Shamir,Adleman）算法为代表。

对称加密：

对称加密采用了对称密码编码技术， 它的特点是文件加密和解密使用相同的密钥， 即加密密钥也可以用作解密密钥，或者从—个可以导出另一个，拥有加密能力就拥有解密能力。

常用算法：DES、3DES、IDEA、TDEA、AES、RC2、RC4、RC5。

DES ： 属于对称密码体制，将分组为64位的明文加密为64位密文。其密钥长度为56位，附加8位奇偶校验。加密过程执行16个加密循环。 3DES（三重DES） ： 使用两个密钥， 执行三次DES算法， 在第—和第三层使用相同的密钥，其主密钥长度为112位。 IDEA ： 属于对称密码体制，将分组为64位的明文加密成64位密文。使用128位密钥， 加密过程执行17个加密循环。

AES（高级加密标准）： 支持128、192和256位三种密钥长度。

对称加密特点： 使用简单快捷，开放性差，需要可靠的密钥传递渠道。

非对称加密：

又称公开密钥加密， 分为公开密钥（public key）和私有密钥（private key），公开密钥与私有密钥是—对， 如果用公开密钥对数据进行加密， 只有用对应的私有密钥才能解密； 如果用私有密钥对数据进行加密， 那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥， 所以这种算法叫作非对称加密算法。

常用算法：RSA、Elgamal、背包算法、Rabin、Diffie-Hellman 、ECC（椭圆曲线加密算法）、使用最广泛的是RSA算法，Elgamal是另—种常用的非对称加密算法。

RSA 算法： RSA密钥至少为500位长， —般推荐使用1024位。加密的计算量很大。

非对称加密特点：加密速度慢、开销大、不适用于长明文加密、常与对称密码体制相结合使用。

11.4. 数字签名

私钥加密，公钥解密。

数字签名基于非对称加密体制， 主要功能有： 确保信息传输的完整性、发送者的身份认证、不可否认。

数字签名是个加密的过程， 数字签名验证是个解密的过程。其中认证又可分为实体认证和消息认证，主要是解决网络通信过程中通信双方身份认可。

• 实体认证： 识别对方身份防止假冒， 可采用数字签名。
• 消息认证： 验证消息在传送或存储过程中有没有被篡改， 可采用报文摘要。报文摘要可以为指定的数据产生一个不可仿造的特征。 三种认证技术： 基于共享密钥的认证， need ham -schroeder 认证协议， 基于公钥认证

数字签名与加密结合：

11.5. 哈希算法与报文鉴别

报文摘要是指单向哈希函数算法将任意长度的输入报文经计算得出固定的输出称为报文摘要。所谓单向是指该算法是不可逆的。传输的报文（ 数据） 一旦被修改那么计算出的摘要就不同， 只要对比两次摘要就可确定报文（ 数据） 是否被修改过。

报文摘要主要的方法有： MD5、SHA

MD5 算法： 以任意长的报文作为输入，先把报文按512位分组，输出产生—个128位报文。

SHA（安全散列算法）：该算法建立在MD5基础上，先把报文按512位分组，产生160位的报文摘要。

11.6. 对称密钥的分配（不会，后续补充）

Kerberos属于对称密钥（DES算法），在不安全的网络环境中为用户对远程服务器的访问提供自动鉴别**、**数据完整性和安全性服务、以及密钥管理。

Kerberos系统的目标有三方面的：认证、授权和记帐审计

Kerberos认证系统的认证过程：

1. 用户向认证服务器AS申请初始票据。
2. 认证服务器AS向用户发放票据授予票据（TGT）。
3. 用户向票据授权服务器TGS请求会话票据。
4. 票据授权服务器TGS验证用户身份后发放给用户会话票据Kav。
5. 用户向应用服务器请求登录。
6. 应用服务器向用户验证时间戳。为了防止中途报文被截获再重发，通信双方提供时间戳，

KerberosV4系统中使用时间戳防止重发。

KerberosV5系统使用seq序列号来防止重发，目前主流是V5。

11.7. 数字证书

数字证书及CA详解 (opens new window)

数字证书：一个经证书签证机关CA数字签名的包含公开密钥拥有者信息和公开密钥的文件。用户使用自己的私钥进行解密和签名，使用公钥进行加密和验证。

X.509证书标准包括：版本号、序列号、签名算法、发行者、有效期、主题名、公钥、发行者ID、主体ID、扩充域和认证机构的签名。

11.7.1. 安全套接层SSL（需要补充）

SSL介于HTTP协议和TCP协议之间的可选层。当发出访问请求时，SSL层借助下层协议的信道安全协商出一份加密密钥，并用此密钥加密Http请求；在TCP层与服务端口建立连接，传输SSL层处理后的数据，接受端与此过程相反。

11.7.2. 安全电子交易SET

SET使用电子认证技术为保密电子交易安全进行的基础，认证过程使用RSA和DES算法，SET协议要求三方都有证书。

提供的3种服务：

1. 在交易的双方之间提供安全信道
2. 使用X.509证书实现安全电子交易
3. 保证信息的机密性

11.8. PGP（可能需要补充）

PGP工作过程：用一个随机生成的密钥（每次均不同）使用IDEA（128位密钥）对明文进行数据加密，使用MD5进行数据完整性认证，然后用RSA对该密钥进行加密。既有RSA的保密性，又有IDEA的快捷性。

主要特征：

1. 使用PGP对邮件加密，防止非法阅读。
2. 给邮件加数字签名，使得收件人能够确认发件人。
3. 能够机密文件。

11.9. 数据加密方式

• **链路加密：**数据在信道中是密文，在节点中呈现明文。
• **节点到节点加密：**解决了节点中数据是明文的缺点。在中间节点中装有加密与解密保护装置，由其来完成密钥的变换。
• 端到端加密：数据在没有到达最终节点前不被解密，对于中继节点，数据是密文。通常使用对称密钥。

11.10. 网闸

网闸，又称安全隔离与信息交换系统(GAP)，是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。

网闸是使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备。

由于两个独立的主机系统通过网闸进行隔离，使系统间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，而只有以数据文件形式进行的无协议摆渡。因此，网闸从物理上隔离、阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击者无法直接入侵、攻击或破坏内网，保障了内部主机的安全。

11.11. 防火墙

防火墙指的是—个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。 在网络中，所谓防火墙，是指—种将内部网和公众访问网（如Internet）分开的方法，它实际上是—种隔离技术。 华为的防火墙可将网络划分为三个区域：

• 连接外部网络的不信任（Untrust）区域。
• 连接内部用户主机的信任（Trust）区域。
• 连接需要对外提供应用服务的DMZ（Demilitarized Zone）区域。

路由防火墙模式：防火墙充当路由器的功能。

透明防火墙模式： 特点就是对用户是透明的（Transparent），即用户意识不到防火墙的存在。

防火墙根据工作在OSI模型不同层次可以划分为： 包过滤防火墙、代理型防火墙、状态检测防火墙。

• 包过滤防火墙：包过滤是—种内置于Linux内核路由功能之上的防火墙类型，其工作在网络层。防火墙用—个软件查看所流经的数据包的包头（header），由此决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包。数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的。
• 代理型防火墙：其工作在应用层。当代理服务器收到—个客户的连接请求时，先核实该请求，然后将处理后的请求转发给真实服务器，在接受真实服务器应答并做进—步处理后，再将回复交给发出请求的客户。代理服务器在外部网络和内部网络之间，发挥了中间转接的作用。所以，代理服务器有时也称作应用层网关。缺点是速度较慢。
• 状态检测防火墙：状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤上的功能扩展。其工作在网络层。状态检测防火墙在网络层有一个检查引擎（动态生成的连接状态表{Connection State Table) ）截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。

11.12. 入侵检测技术：IDS和IPS

11.12.1. IDS 入侵检测系统

入侵检测系统(Intrusion Detection System, IDS) ：是防火墙之后的第二道安全屏障。

美国国防部高级研究计划局( DARPA) 提出的公共入侵检测框架( Common Intrusion Detection Framework, CIDF) 由4 个模块组成：

• 事件产生器(Event generators, E-boxes)：负责数据的采集。
• 事件分析器( Event Analyzers, A-boxes)：模式匹配（跟已知的数据库比较），统计分析（根据已有的特征值进行匹配），数据完整性分析（分析文件或者系统）。
• 事件数据库(Event DataBases, D-boxes)：存放事件的结果和数据。
• 响应单元( Response units, R-boxes)：根据报警信息做出各种反应。

IDS部署位置

1. 服务器区域的交换机上
2. Internet接入路由器之后的第一台交换机上
3. 重点保护网段的局域网交换机上

IDS系统分类

• 按信息来源区分：基于主机的IDS（HIDS）、基于网络的IDS、分布式IDS（NIDS）
• 按响应方式区分：实时监测和非实时检测
• 按数据分析技术和处理方式区分：异常检测、误用检测、混合检测
  • 异常检测：建立并不断更新和维护系统正常行为的轮廓，定义报警阈值，超过阈值则报警。能够检测从未出现的攻击，但是误报率高。
  • 误用检测：通过对已知的入侵行为进行特征提取，形成入侵模式库，匹配则报警。对已知的入侵检测准确率高，未知检测准确率低。高度依赖特征库。
  • 混合检测：对以上两种检测方法进行综合，取长补短的一种检测方法。
  • 专家系统和模式匹配。

11.12.2. IPS 入侵防御系统

入侵防御系统(Intrusion Prevention System, IPS )：是一种抢先的网络安全检测和防御系统，能检测攻击并积极响应。

• IPS不仅具有入侵检测系统检测攻击行为的能力，而且具有拦截攻击并阻断攻击的功能。
• IPS不是IDS和防火墙功能的简单组合，IPS在攻击响应上采取的是主动的全面深层次的防御。

IPS 一般是作为一种网络设备串接在网络中的，而IDS 一般是采用旁路挂接的方式，连接在网络中。