第十章 网络安全技术

1.密钥加密算法

    对称密钥加密算法

①   常见的对称密钥加密算法：DES，IDEA、如 RC2 算法、RC4 算法、Skipjack 算法等。

②   需要密钥个数：N*(N-1)

    非对称加密算法（公钥加密）

① 常见的公钥算法：RSA 算法、DSA 算法、ECC 椭圆曲线算法、PKCS 算法与 PGP 算法等。

② 需要密钥个数：2N

2.冗余磁盘阵列（RAID）

     RAID 磁盘阵列需要有磁盘阵列控制器，有些服务器主板中就自带有这个 RAID 控制器，提供了相应的接口。有些服务器主板上没有该控制器，在配置 RAID 时，必须外加一个 RAID 卡（阵列卡）插入服务器的PCI 插槽中，使 IDE 磁盘也支持 RAID 技术。

     同时随着 SATA 接口技术的成熟，基于 SATA 接口的RAID 阵列卡也非常多。

     RAID1 是需要通过磁盘数据镜像实现数据冗余，而 RAID5 可以在所有磁盘上交叉地存取数据及奇偶校验信息，相比较而言RAID5 可靠性优于 RAID1。RAID 控制器的磁盘接口有 SCSI 接口、IDE 接口、SATA 接口。

     目前，RAID 部署方式有 RAID0～7，也可以是几种独立方式的组合。例如，RAID10 就是 RAID0 和 RAID1的组合。

3.   Cisco PIX 525 防火墙

(1)  访问管理模式

    非特权模式

PIX 防火墙开机自检后，就是处于这种模式。系统显示为“pixfirewall>”。

    特权模式

输入“enable”进入特权模式，可以改变当前配置。显示为“pixfirewall#”。

    配置模式

输入“ configure terminal” 进入此模式，绝大部分的系统配置都在这里进行。显示为“pixfirewall(config)#”。

    监视模式

在 PIX 防火墙在开机或重启过程中，按住 Escape 键或发送一个“Break”字符，即可进入监视模式， 这里可以更新操作系统映象和进行口令恢复。显示为“monitor>”。

 (2) 基本配置

PIX 防火墙有 6 个基本配置命令：nameif、interface、ip address、nat、global、route。

    Nameif

用于配置防火墙接口的名字，并指定安全级别。Pix525(config)#nameif ethernet0 outside security 0 Pix525(config)#nameif ethernet1 inside security 100 Pix525(config)#nameif dmz security 50

在默认配置中，以太网 0 端口被命名为外部接口（outside），安全级别是 0；以太网 1 端口被命名为内部接口（inside），安全级别是 100。安全级别取值范围为 1～99，数字越大，安全级别越高。

    Interface

配置以太网接口工作状态，常用的状态有 auto、100full、shutdown 等。

auto 选项表明接口采用自动协商模式；100full 选项表示 100Mbit/s 以太网全双工通信。

    ip address：配置内外网卡的 IP 地址

    nat：指定要进行转换的内部地址

NAT 网络地址翻译的作用是将内网的私有 IP 转换为外网的公有 IP。nat 命令总是与 global 命令一起使用， 这是因为 nat 命令可以指定一台主机或一段范围的主机访问外网，而访问外网时需要利用 global 所指定的地址池。

    global：指定外部地址范围

global 命令可把内网的 IP 地址翻译成外网的 IP 地址或一段地址范围

    route：设置指向内网和外网的静态路由，route 命令可以定义一条静态路由。

(3)  高级配置

    static

配置静态 IP 地址翻译，static 命令用于创建内部 IP 地址和外部 IP 地址之间的静态映射。

    conduit（管道命令）

允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口。

命令：conduit permit | deny global_ip port［port］ protocol foreign_ip ［netmask］。其中： permit | deny 表示允许 | 拒绝访问；

global_ip 指的是先前由 global 或 static 命令定义的全局 ip 地址，如果global_ip 为 0，就用 any 代替

0；如果 global_ip 是一台主机，就用 host 命令参数；

port 指的是服务所作用的端口；

protocol 指的是连接协议；

foreign_ip 表示可访问global_ip 的外部 ip。

对于任意主机，可以用 any 表示。如果 foreign_ip 是一台主机，就用 host 命令参数。

    fixup（配置 FIXUP 协议）

fixup 命令的作用是启用、禁止、改变一个服务或协议通过 PIX 防火墙的端口，由 fixup 命令指定的端口是

PIX 防火墙要侦听的服务。

    telnet

当从外部接口 telnet 到PIX 防火墙时，telnet 数据流需要用 IPSec 提供保护。

4.   入侵检测系统的分类

根据数据来源和系统结构的不同，入侵检测系统可以分为基于主机的入侵检测系统和基于网络的入侵检测系统。

    基于主机的入侵检测系统（HIDS)

    基于网络的入侵检测系统(NIDS)

基于网络的入侵检测系统采用的基本识别技术包括：模式匹配、频率或阈值比较、事件的相关性、统计意义上的非正常现象检测。

5.   分布式入侵检测系统分类

分布式入侵检测系统有层次式、协作式和对等式 3 种类型。其中，对等式模型的应用使得分布式入侵检测系统真正避免了单点故障的发生。

6.   入侵检测系统探测器的部署方法

通常情况下，探测器在网络中有如下 3 种部署方式。

     将探测器直接连接到交换机的某个端口（监控端口）上，然后通过交换机镜像（mirror/span）功能， 将流经交换机所有其他端口的数据包全部复制到监控端口，入侵检测探测器从监控端口即可获取所有流经交换机的数据包并进行分析处理。

     入侵检测探测器通过一个 TAP（分路器）设备对交换式网络中的数据包进行获取、分析、处理。

     在网络中增加一台集线器改变网络拓扑结构，通过集线器获取数据包。

7.   入侵防护系统的主要分类

入侵防护系统主要分为基于主机的入侵防护系统、基于网络的入侵防护系统和应用入侵防护系统。

    基于主机的入侵防护系统(HIPS)

①   安装在受保护的主机系统中，检测并阻挡针对本机的威胁和攻击。

②   他与操作系统内核紧密的结合在一起，监事内核的系统调用、阻挡攻击、并记录日志。

③   HIPS 可以阻断缓冲区溢出、改变登录口令、改写动态链接库或其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平（如：拒绝服务攻击）。

    基于网络的入侵防护系统（NIPS）

①   布置在网络出口处，一般串联于防火墙与路由器之间，网络进出的数据流都必须经过NIDS。

②   主要进行包过滤保护，如丢弃含有攻击性的数据包（如：病毒）或者阻断连接。

③   攻击的误报将导致合法的通信被阻断，导致拒绝服务，而性能不足会带来合法通信的延迟，甚至成为网络的瓶颈。

    应用入侵防护系统(AIPS)

一般部署于应用服务器前端，将基于主机和入侵防护系统功能延伸到服务器之前的高性能网络设备上。 应用入侵防护系统能够防止诸多入侵，包括 SQL 代码嵌入、缓冲区溢出、畸形数据包、cookie 篡改、参数篡改、强制浏览、数据类型不匹配以及其他已知漏洞攻击。

8.   网络安全评估内容

     网络安全风险评估系统是一种集网络安全检测、风险评估、修复、统计分析和网络安全风险集控制管理功能于一体的网络安全设备。

     网络安全评估是提高网络系统安全强度的一种服务。网络安全评估包括漏洞检测、修复建议和整体建议等几个方面。

     网络安全评估分析技术常被用来进行穿透试验和安全审计。

9.   五种备份方式

① 正常备份。复制所有选中的文件，并且备份后标记每个文件。使用正常备份，只需要最近备份的文件或磁带的副本来还原原有文件。第一次创建备份集时，需要使用正常备份。

② 增量备份。只备份上次正常备份或增量备份后创建或改变的文件。备份后标记文件。如果使用正常备份和增量备份的组合，需要具有最近一次的正常备份和其后所有的增量备份集，才能还原数据。

③ 差异备份。从上次正常备份或增量备份后，创建或修改的所有文件都要备份。备份后不标记为已备份文件。如果执行了正常备份和差异备份的组合，还原文件只要求执行上一次正常备份和最近一次的差异备份。

④ 每日备份。复制执行每日备份的当天修改的所有选中的文件。已备份文件在备份后不做标记。

⑤ 副本备份。复制所有选中的文件，但不将这些文件标记为已经备份（即不清除存档属性）。

10. 网络版防病毒

(1)系统结构

整个防病毒体系由以下 4 个相互关联的子系统组成：系统中心、服务器端、客户端、管理控制台。

    系统中心

实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息，同时根据管理控制台的设置，实现对整个防护系统的自动控制。

    服务器端/客户端

是分别针对网络服务器/工作站（客户机）设计的，承担着对当前服务器/工作站上病毒的实时监控、检测和清除，自动向系统中心报告病毒监测情况，以及自动进行升级的任务。

    管理控制台

是为网络管理员专门设计的，是对整个网络防病毒系统设置、管理和控制的操作平台，既可以安装在服务器端也可以安装在客户端。

 (2) 系统安装

包括系统中心的安装、服务器端安装、客户端安装和管理控制台安装。

    安装系统中心的计算机应具有全天候开机和可以实时方便地连接网络的特点。

    服务器端和客户端的安装。

对于绝大多数网络版防病毒系统，服务器端和客户端都可以采用本地安装、远程安装、Web 安装和脚本安装这几种方式进行安装。

①   本地安装

即直接利用安装程序在本地完成安装的方法。无论是客户端和服务器端都可以采用本地安装方式安装。

②   远程安装

通过管理员控制台，可以给指定的系统客户端执行远程安装的操作。

③   Web 安装

可以将防病毒系统的安装包发布到企业的内部网(Intranet)中，客户端用户可通过浏览指定位置的网页来实现网络版的安装。

④   脚本安装

很多网络版防病毒系统能够自动识别域服务器，并为域服务器配置登录脚本。

    控制台安装

控制台的安装有通过光盘安装和远程安装两种方式。

(3)  升级设置

     从网站升级。系统中心直接通过 Internet 从其官方网站上获取升级文件。

     从上级中心升级。下级中心从上级中心获取升级文件。

     手动升级。从防病毒系统的官方网站下载升级包，将其复制到系统中心服务器上手动进行安装。

11. 可信计算机系统评估准则（TESEC）

美国国防部公布了《可信计算机系统评估准则》TCSEC，将计算机系统的安全可信度从低到高分为 D、C、B、A 四类共七个级别：D 级，C1 级，C2 级，B1 级，B2 级，B3 级，A1 级。

     （最小保护）D 级：该级的计算机系统除了物理上的安全设施外没有任何安全措施，任何人只要启动系统就可以访问系统的资源和数据，如 DOS，Windows 的低版本和 DBASE 均是这一类（指不符合安全要求的系统，不能在多用户环境中处理敏感信息）。

     （自主保护类）C1 级：具有自主访问控制机制、用户登录时需要进行身份鉴别。

     （自主保护类）C2 级：具有审计和验证机制（（对 TCB）可信计算机基进行建立和维护操作，防止外部人员修改）。如多用户的 UNIX 和 ORACLE 等系统大多具有 C 类的安全设施。

     （强制安全保护类）B1 级：引入强制访问控制机制，能够对主体和客体的安全标记进行管理。

     B2 级：具有形式化的安全模型，着重强凋实际评价的手段，能够埘隐通道进行限制。（主要是对存储隐通道）

     B3 级：具有硬件支持的安全域分离措施，从而保证安全域中软件和硬件的完整性，提供可信通道。对时间隐通道的限制。

     A1 级：要求对安全模型作形式化的证明，对隐通道作形式化的分析，有可靠的发行安装过程。（其安全功能，依次后面包含前面的）

     用户能定义访问控制要求的自主保护类型系统属于C 类

12. UTM(Unified Threat Management,统一威胁管理)

①   主要提供一项或多项安全功能，同时将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台。

②   UTM 设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。