2022年2022年计算机网络安全管理 .pdf

第一章1.2.1 OSI 参考模型OSI 参考模型由低到高依次是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。1.2.1TCP/IP 协议结构体系1.网络接口层网络接口层在TCP/IP 协议结构的最底层。该层中的协议提供了一种数据传送的方法，使得系统可以通过直接的物理连接的网络，将数据传送到其他设备，并定义了如何利用网络来传送 IP 数据报。TCP/IP 网络接口层一般包括OSI 参考模型的物理层和数据链路层的全部功能，因此这一层的协议很多，包括各种局域网、广域网的各种物理网络的标准。2.网络层网络层在网络接口的上一层。网络层协议IP 是 TCP/IP 的核心协议，也是网络层中最重要的协议。IP 可提供基本的分组传输服务，这是构造TCP/IP 的基础。网络层上、下层中的所有协议都使用IP 协议传送数据；所有的 TCP/IP 数据，无论是进来的还是出去的，都流经IP，并与它的最终目的地无关。另外，网络层还有地址转换协议（ARP）和网间控制报文协议（ICMP）两个协议，其中ICMP 协议具有测试网络链路和检测网络故障的功能，是IP 协议不可分割的一部分。3.传输层传输层在网络层的上一层，又称主机到主机的传输层。传输层有传输控制协议（TCP）和用户数据报协议（UDP）两个重要的协议，用以提供端到端的数据传输服务，即从一个应用程序到另一个应用层序之间的信息传递。TCP 利用端到端的错误检测与纠正功能，提供可靠的数据传输服务。而UDP 则提供低开销、无链接的数据报传输服务。4.应用层TCP/IP协议体系结构的顶层是协议最多的一层。应用层的协议大多数都是为用户提供直接的服务，而且还在不断地增加新的服务。常见的应用层协议有：Telnet 网络终端协议。FTP 文件传输协议。SMTP 简单邮件传输协议。POP 邮件接收协议HTTP 超文本传输协议。DNS 域名服务等。1.5.3FTP 服务和 TFTP 服务TFTP 服务用于局域网，在无盘工作站启动时用于传输系统文件，安全性极差，常被人用来窃取密码文件，因为它不带有任何安全认证。FTP 服务对于局域网和广域网都可以，可以用来下载任何类型的文件。1.7.1网络分段物理分段通常是指将网络从物理层和数据链路层（ISO/OSI）模型中的第1 层和第 2 层）上分为若干网络段，各种段相互之间无法进行直接通信。逻辑分段是指将整个系统在网络层（ISO/OSI 模型中的第3 层）上进行分段。1.11网络安全的主要攻击形式在网络安全中常用的攻击形式有信息收集、利用技术漏洞型攻击、会话劫持、防止 DNS毒化、URL 字符串攻击、攻击安全账户管理器、文件缓冲溢出、拒绝服务、攻击后门攻击名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 19 页 -和恶化代码等。1.12网络安全的关键技术1.防电磁辐射2.访问控制技术3.安全鉴别技术4.权限控制5.通信保密6.数据完整性7.现实身份鉴别8.安全审计9.病毒防范及系统安全备份10.加密方法11.网络的入侵检测和漏洞扫描12.应用系统安全13.文件传送安全14.邮件安全1.13 保证网络安全的措施1.防火墙2.身份认证3.加密加密是通过对信息的重新组合，使得只有收发双方才能解码还原信息。传统的加密系统是以密钥为基础的，这是一种对称加密，也就是说，用户使用同一个密钥加密和解码。目前，随着技术的进步，加密已被集成到系统和网络中，如Internet Engineering Task Fore，正在发展的下一代网际协议IPv6。硬件方面，Intel 公司也在研制用于PC 和服务器主板的加密协处理器。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别及密钥管理技术4 种。1）数据传输加密技术目的是对传输中的数据流加密，常用的方针有线路加密和端到端加密两种。前者侧重于线路上而不考虑信源与信宿，对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送端自动加密，并进入TCP/IP 数据包回封，然后作为不可阅读和不可识别的数据经过因特网，这些信息一旦到达目的地，将被自动重组、解密，成为可读数据。2）数据存储加密技术目的是防止在存储环节上的数据失密，可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码和加密模块等方法实现；后者则是对用户资格加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。3）数据完整性鉴别技术目的是对介入信息的传送、存取和处理的人的身份和相关数据内容进行验证，达到保密的要求。一般包括口令、密钥、身份和数据等项的鉴别，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全。4）密钥管理技术为了数据使用的方便，数据加密在许多场合集中表现为密钥的应用，因此密钥往往是保密与窃密的主要对象。密钥的媒体有磁卡、磁带、磁盘和半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。4.数字签名大多数电子交易采用两个密钥加密：密文和用来解码的密钥一起发送，而该密钥本身又被加密，还需要另一个密钥来解码。这种组合加密被称为数字签名，它有可能称为未来电子商务中首选的安全技术。美国政府的加密标准DSS，使用了Secure Hash运算法则。用该法则对信息进行处理，可得到一个160 位的数字，把这个数字以某种方式与信息的密钥组合起来，从而得到数字签名。完整性是在数据处理过程中，在原来数据和现行数据之间保持完全一致的证明手段。5.内容检查6.存取控制7.安全协议安全协议的建立和完善是安全保密系统走上规范化、标准化道路的基本因素。根据计算机专用网多年的经验，一个较为完善的内部网和安全保密系统，至少要实现加密机制、验证机制和保护机制。目前，已开发并应用的有如下几种协议。1）加密协议名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 19 页 -加密协议有两个要素，一是能把保密数据转换成公开数据，在公用网中自由发送；二是能用于授权控制，无关人员无法解读。因此，数据要划分等级，算法也要划分等级，以适应多级控制的安全模式。2）身份验证协议身份验证是上网的第一道关口，且与后续操作相关，因此身份验证至少应包括验证协议和授权协议。人员要划分等级，不同等级具有不同的权限，以适应多级控制的安全模式。3）密钥管理协议包括密钥的生成、分发、存储、保护和公证等协议，保证在开放环境中灵活地结构各种封闭环境。根据因特网的特点，密钥分离度在网上要做到端、级和个人级，在库中要做到字节级。4）数据验证协议包括数据压缩、数据验证和数字签名。数字签名要同时具有端、级签名和个人签名的功能。5）安全审计协议包括与安全有关的事件，包括事件的探测、收集和控制，能进行事件责任的追查。6）防护协议除了采用防病毒卡、干扰仪等物理性防护措施外，还对用于信息系统自身保护的数据（审计表等）和各种秘密参数（用户口令、密钥等）进行保护，已增强反入侵功能。8.智能卡技术1.14 网络的安全策略1.14.1 数据防御1.14.2 应用程序防御1.14.3 主机防御1.14.4 网络防御1.14.5 周边防御1.14.6 物理安全第二章保密性完整性可用性可控性2.1 密码算法加密和解码的技术统称为密码学。密码学的原则是“一切秘密寓于密钥之中”，算法可以公开。当加密完成后，可以将密文通过不安全渠道送给收信人，只有拥有解密密钥的收信人可以对密文进行解密，即破译得到明文，密钥的传递不须通过安全渠道。目前流行的密码算法主要有DES、RSA、IDEA 和 DSA 等。密码算法可分为传统密码算法和现代密码算法。传统密码算法的特点是加密和解密必须是同一密钥，如 EDS 和 IDEA；现代密码算法将加密密钥与解密密钥区分开来，且只有加密密钥事实上求不出解密密钥。因此传统密码算法又称对称密码算法，现代密码算法称非对称密码算法或公钥密码算法，是由Diffie 和 Hellman 在 1976 年的美国国家计算机会议上提出这一概念的。按照加密时对明文的处理方式，密码算法又可分为分组密码算法和序列密码算法。分组密码算法是把密文分成等长的组分别密码，序列密码算法是一位一位的处理，用已知的密钥随机序列与文明按位异或。2.2 对称加密技术对称加密算法是一种传统的加密算法，它的基本原理如下：在对称加密中，数据信息的传送、加密及接收解密都需要用到一个共享的钥匙，也就是说加密和解密共有一把钥匙。2.2.1DES 算法在对称算法中，DES 算法是最著名的对称密钥加密算法。DES 使用 56 位密钥对64 位的数据块进行加密，并对64 位的数据块进行16 轮编码。在每轮编码时，一个48 位的“每轮”密钥值由56 位的完整密钥得出来。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 19 页 -DES 的高速简便性使之流行，三重 DES。这种方法用两个密钥对文明进行三次加密，用密钥1 进行 DES 加密。用密钥2 对步骤 1 的结果进行DES 解密。对步骤2 的结果使用密钥1 进行 DES 加密。2.3不对称加密技术在非对称加密算法中，利用了两把钥匙：一把钥匙用来将数据信息加密，而用另一把不同的钥匙来解密。这两把钥匙之间具有数学关系，所以用一个钥匙加密过的资料只能用相应的另一个钥匙来解密。非对称加密异于两方都用同一个密钥的对称加密算法，公钥密码法对每一个人都使用一对钥匙，其中一个是公开的，而另一个是私密的。公钥（公共密钥）可以让其他人知道，而私钥（专用密钥）则必须加以保密，只有持有人知道它的存在，但这两种钥匙都必须加以保证防止被修改。也就是每个人都有一对密钥，一个私钥和一个公钥，它们在数字上相关，在功能上不同。一个密钥锁上的另一个可以打开，此技术使用两个加密的密钥来保证会话的安全。公钥可以给任何请求它的应用程序或用户，私钥只有它的所有者知道。公钥加密算法也称非对称密钥算法，用两对密钥：一个公共密钥和一个专用密钥。用户要保障专用密钥的安全，公共密钥则可以发布出去。公共密钥与专用密钥是有紧密关系的，用公共密钥加密的信息只能用专用密钥解密，反之亦然。由于公钥算法不需要联机密钥服务器，密钥分配协议简单，所以极大地简化了密钥管理。除加密功能外，公钥系统还可以提供数字签名。公钥加密算法中使用最广的是RSA。RSA 使用两个密钥：一个公共密钥，一个专用密钥。如果其中一个加密，则可用另一个解密，密钥长度从482048 位可变。加密时也把明文分成块，块的大小可变，但不能超过密钥的长度，RSA 算法把每一块明文转化为密钥长度相同的密文块。密钥越长，加盟米效果越好，但加密解密的开销也大，所以要在安全与性能之间折中考虑，一般 64 位较适合。RSA 有一个比较知名的应用是SSL，在美国和加拿大SSL用 128 位 RSA 算法，由于出口限制，在其他地区（包括中国）通用的则是40 为版本。公共密钥加密算法主要有如下两种途径。数据加密：发送者用接收者的公钥对要发送的数据加密，接收者用自己的私钥对接收到的数据解密。第三者由于不知道接收者的私钥而无法破译该数据。身份认证：发送者可以用自己的私钥对要发送的数据加上“数字签名”，接收者通过验证“数字签名”就可以准确的确定数据的来源。公共密钥加密算法又称为非对称加密算法，常见的加密算法有RSA、DSA 等。2.4.1 RSA 算法1.RSA 算法（1）选两个打素数r1和 r2，通常均大于10100。（2）计算 n=r1 r2和 x=(r1-1)(r2-1)（注：x 是欧拉函数）。（3）选一个与x 互质的数，令其为d。（4）找一个 e，满足 ed=1(mod x)。（5）选好这些参数后，因为RSA 是一种分组密码系统，所以先将文明划分成块，使得每个文明报文P 的长度 m 满足 0mn。加密 P 时计算 C=Pd(mod n)，解密 C 时计算 P=Cd(mod n)。由于模运算的对称性，可以证明加密解密在一定范围内是可逆的。RSA 加密算法使用了两个非常大的素数来产生公钥和私钥。即使从一个公钥中通过因数分解可以得到使私钥，单这个运算所包含的计算量是非常巨大的，以至于在现实上是不可行的。加密算法本身也是很慢的，这使得使用RSA 算法加密大量的数据变得有些不可行。所以在大量数据进行加密传输时一般采用非对称算法（RSA 等）和对称算法结合的方法。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 19 页 -如 PGP 算法（及大多数基于RSA 算法的加密方法）使用公钥来加密一个对称加密算法的密钥，然后再利用一个快速的对称算法来加密数据。这个对称算法的密钥是随机产生的，是保密的，因此得到这个密钥的唯一方法就是使用私钥来解密。2.RSA 的具体工作原理主机 A 和主机 B 进行安全的数据传输，那么首先主机A 随机产生密钥1，并使用主机 B 的公钥进行加密，然后发送给主机B，主机B 使用自己的私钥进行解密，得到主机A的密钥；然后主机B 随机生成密钥2，使用主机 A 的公钥对密钥2进行加密后传送给主机A。此时主机A 和主机B 都同时得到了密钥1 和密钥 2，也就是彼此之间的私钥。因此在不对称加密算法中，公钥是公开的，在证书中就可以得到。2.2.4密钥对的产生选择两个大素数p 和 q，计算：n=pq 然后随机选择加密密钥e，要求 e 和(p-1)(q-1)互质。最后，利用欧拉算法计算解密密钥 d，满足 ed=1（mod(p-1)(q-1)），其中 n和 d 也要互质。数e 和 n 是公钥，d 是私钥。两个素数p 和 q 不再需要，应该丢弃，不要让任何人知道。加密信息m（二进制表示）时，首先把 m 分成等长数据块m1，m2，mi，块长为 s，其中 2s=n，s 尽可能的大。对应的密文如下。Ci=mie(mod n)公式（a）解密时作如下计算。mi=cid(mod n)公式（b）RSA 可用于数字签名，方案是用公式（a）签名，公式（b）验证。具体操作时考虑到安全性和m 信息量较大等因素，一般是先做HASH 运算。因为HASH 是一类特殊的散列函数，它可以在传送的报文中提取发送者的特性数据，也就是生成摘要，这份摘要是独一无二的。因为私钥是唯一的，只有拥有者才知道，所以这一特性数据也是唯一的。这一特性数据被称为数字指纹，所以HASH 运算得到的摘要即数字指纹可以用于数字签名。2.4.6RSA 的数字签名公钥体系中有公钥和私钥，私钥保持私有只有拥有者才知道；公钥广泛分布（通常作为公共证书的一部分），因此任何人都能用公钥加密数据，而只有私钥拥有者才能解密。另外，私钥拥有者用私钥加密数据，任何拥有公钥的人都能解开，这通常用作数字签名在这种情况下，签名者产生一个数字信息（例如HASH）使用协商的算法，然后用私钥加密。接收者能验证私钥拥有者发送的信息，用签名的公钥解开加密的信息，并产生与收到信息相匹配的摘要。RSA 公钥体系可以用于对数据信息进行数字签名。所谓数字签名就是信息发送者用其私钥对从所传报文中提取的特性数据或称数字指纹进行RSA 算法解密运算解密运算操作得到发信者对该数字指纹的签名函数H（m）。签名函数H(m)从技术上标识了发信者对该电文的数字指纹的责任。因发信者的私钥只有他本人才有，所以他一旦完成了签名便保证了发信人无法抵赖曾发过该信息（即不可抵赖性）。经验证无误的签名电文同时也确保了信息报文在经签名后未被篡改（即完整性）。当信息接收者收到报文后，就可以用发送者的公钥对数字签名的真实性进行验证。美国参议院已通过了立法，数字签名与手签名的文件具有同等的法律效力。在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数（HASH 函数）生成的，对这些 HASH 函数的特殊要求是：接收的输入报文数据没有长度限制。对任何输入报文数据生成固定长度的摘要（数字指纹）输出。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 19 页 -从报文能方便地算出摘要。难以对指定的摘要生成一个报文，而由该报文可以算出该指定的摘要。难以对两个不同的报文生成相同的摘要。2.4.7RSA 的缺点产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。分组长度太大，为保证安全性，n 至少要 600 位以上，使运算代价很高。尤其是速度较慢，较对称密码算法慢几个数量级，并且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。2.5RSA 算法和 DES 算法的比较DES 数据加密标准用于对64 位的数据进行加密和解密。DES 算法所用的密钥也是64位，但由于其中包含了8 个奇偶校验位，因而实际的密钥长度是56 位。DES 算法多次组合迭代算法和换位算法，利用分散和错乱的相互作用，把明文编制成密码强度很高的密文。DES 算法的加密和解密的流程是完全相同的，区别仅仅是加密与解密使用子密钥序列的顺序正好相反。RSA 算法是公开密钥系统中的杰出代表，其算法的安全是建立在具有大素数因子的合数的因子分解困难这一法则之上的。RSA 算法中加密密钥和解密密钥不相同，其中加密密钥公开，解密密钥保密，并且不能从加密密钥或密文中推出加密密钥。DES 算法和 RSA 算法各有优缺点，可以在以下几个方面进行比较。1.在加密、解密的处理效率方面DES 算法优于RSA 算法。因为DES 密钥的长度只有56 位，可以利用软件和硬件实现高速处理；RSA 算法需要进行诸如200 位整数的乘幂和求模等多倍字长的处理，处理速度明显慢于DES 算法。2.在密钥的管理方面RSA 算法比 DES 算法更加优越。因为 RSA 算法可采用公开形式分配加密密钥，对加密密钥的更新也容易，并且对不同的通信对象，只需对自己的解密密钥保密即可；DES 算法要求通信前对密钥进行秘密分配，密钥的更换困难，对不同的通信对象，DES 必须产生和保管不同的密钥。3.在安全性方面DES 算法和 RSA 算法的安全性都较好，目前还没有在短时间内破译它们的有效方法。4.在签名和认证方面DES 算法从原理上不可能实现数字和身份认证，但RSA 算法能够容易地进行数字签名和身份认证。总的来说，两种算法各具特点，DES 算法加密、解密速度快，所以对数据量大、需要在网上传播的信息，用DES 算法来加密和解密。对于数据量小但非常重要的数据，数字签名和DES 算法的密钥就要使用RSA 算法进行加密和解密。2.8量子加密技术量子加密法的先进在于这种方法依赖于量子力学定律。传输的光量子是无法进行窃听的，量子要么被接收者的接收机接收，要么被窃听者接收。因为如果有人进行窃听，窃听动作本身将会对通信系统造成干扰，对通信系统的量子状态造成不可挽回的变化，同时通信双方就会得知有人进行窃听，从而结束通信，生成新的密钥。2.9.1认证机构认证机构CA 是证书的签发机构，构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及一对密钥，即私钥和公钥。私钥只由持有者秘密管理，无须在网上传送，而公名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 19 页 -钥是公开的，需要在网上传送，故公钥体制的密钥管理主要是公钥的管路问题。目前较好的解决方案是引进证书机制。证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一主体（如人、服务器等）的身份及其公开密钥的合法性。在使用公钥体制的网络环境中，必须向公钥的使用者证明公钥的真实合法性。因此，在公钥体制环境中，必须有一个可信的机构来对任何一个主体的公钥进行公证，证明主体的身份及它与公钥的匹配关系。CA 正是这样的机构，它的职责是：验证并标识证书申请者的身份；确保 CA 用于签名证书的非对称密钥的质量；确保整个签证过程的安全，确保签名私钥的安全性；管理证书材料信息（包括公钥证书序列号、CA 标识等）；确保并检查证书的有效期；确保证书主体标识的唯一性，防止重名；发布并维护作废证书表；对整个证书签发过程做日志记录及向申请人发通知等。2.9.4数字证书数字证书是一种能在完全开放系统中使用的证书（例如互联网络），它的用户群绝不是几个人互相信任的小集体。在这个用户群中，从法律角度讲彼此之间都不能轻易信任。所以公钥加密体系采取了另一个方法，将公钥和公钥的主人名字联系在一起，再请一个大家都信得过有信誉的公正、权威机构确认，并加上这个权威机构的签名，这就形成了证书。由于证书上有权威机构的签字，所以大家都认为证书上的内容是可信任的；又由于证书上有主人的名字等身份信息，别人就很容易知道公钥的主人是谁。构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及一对密钥，即私钥和公钥。私钥只由持有者秘密掌握，无须在网上传送，而公钥是公开的，需要在网上传送，故公钥体制的密钥管理主要是公钥的管路问题。目前较好的解决方案是引进证书机制。证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一个主体（如人、服务器等）的身份及其公开密钥的合法性。在使用公钥体制的网络的网络环境中，必须向公钥的使用者的证明公钥的真实合法性。因此，在公钥体制环境中，必须有一个可信的机构来对任何一个主体的公钥进行公证，证明主体的身份及它与公钥的匹配关系。第三章3.4.1 windows 2000 中的组策略在 windows 2000 中的组策略有如下几种：账户策略密码策略。配置密码保存留期、长度和复杂性；账户策略账户锁定策略。配置锁定时间、阈值和复位计数器；本地策略审计策略。启用/禁用特定事件的记录；本地策略用户权限。定义权限，如本地登录、从网络访问等；本地策略安全选项。修改与注册表值有关的特定安全选项；事件日志。启用成功或失败监视；受限制的组。管理员可控制谁属于特定组；系统服务。控制每个服务的启动模式；注册表。对注册表项配置权限；文件系统。对文件夹、子文件夹和文件配置权限。3.4.2加强内置账户的安全Windows 2000 有几个内置的用户账户，它们不可删除，但可以重命名。我们最熟悉的Windows 2000 中的两个内置账户是Guest(来宾)和 Administrator(管理员)。默认情况下，Guest 账户在成员服务和域控制器上是禁用的，建议不更改此设置。内置的 Administrator 账名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 19 页 -户应重命名，且其描述也要更改，以防攻击者使用已知用户名破坏一个远程服务器，因为许多有恶意的脚本在攻击服务器时都使用内置的管理员账户进行第一次尝试。3.5.1审计审计的主要目标是识别攻击者对网络所采取的操作。审计事件分为两类：成功事件和失败事件。成功事件说明用户成功地获得了访问某种资源的权限，而失败事件则说明用户尝试访问网络的某项资源，但失败了。在 Windows 2000 中的安全事件审计类别一般有八种：登录事件、账户登录事件、对象访问、目录服务访问、特权使用、进程跟踪、系统事件和策略更改。第六章6.1 路由器安全概述路由器相关安全特性具有两层含义：保证内部局域网的安全（不被非法侵入）和保护外部进行数据交换的安全。路由器安全关注的范围包括保护网络物理线路不会轻易遭受攻击、有效识别合法的用户和非法的用户、实现有效地访问控制、保证内部网络的隐蔽性、有效的防伪手段、重要的数据重点保护、对网络设备、网络拓扑的安全管理，对病毒提高安全防范意识。路由器必须具有的安全特性包括身份认证、访问控制、信息隐蔽、数据加密和防伪、安全管理、可靠性和线路安全。身份认证是网络安全中解决的一个重要的问题，主要保证只有合法的用户和经过授权的用户才可以访问、控制路由器。如需要配置路由器时，需要验证用户名和密码。同时还需要保证和其他网络设备的信息交互具有合法的身份认证，如防伪造路由信息的侵入等。因此在一些需要路由器重要信息的场合，都需要进行身份认证，来保证信息来源地可靠。路由器安全技术包括AAA，它是验证、授权和记账的简称。访问控制实现如下功能：对网络设备的访问控制，分级保护不同级别的用户拥有不同的操作限制，基于五元组（指IP 包头中的源IP 地址、目的IP 地址、协议号、源端口和目的端）的访问控制，根据数据包信息进行数据分类，不同的数据流采用不同的策略，基于用户的访问控制，对于接入服务用户，设定特定的过滤，访问控制是路由器提供的一种重要的安全策略，访问控制可以有效地防止一些非法的访问。包过滤技术是指提供访问控制的基本框架，来提供基于IP 地址等信息的包过滤、提供基于接口的包过滤和提供基于时间段的包过滤，包过滤技术是利用访问控制列表实现的一种防火墙技术。包过滤技术是最常用的访问控制手段，包过滤技术最显著地特点是利用IP 数据包的特征进行的访问控制，不像AAA技术那样是根据用户名、密码进行访问控制。因此包过滤技术不能使用于接入服务中，它适用于用户根据IP 地址、端口等定义合适的规则，阻止对网络直接的非法访问。利用包过滤技术可以阻止“不信任网络”的访问。信息隐藏实现功能包括地址转换以隐藏内网的内部地址、内部用户可以直接发起建立连接请求来保护内部局域网访问Internet。地址转换技术主要使用在内部局域网对共有网络的访问。使用地址转换技术不仅可以使用许多局域网用户可以共享一个IP 地址上网，而且可以使内部局域网的网络结构、IP 地址等信息都不在Internet 上暴露，增强了内部局域网的安全特性。地址转换技术主要使用在一个局域网公用上网的情况。地址转换技术同时隐藏了内部局域网的真实IP 地址和网络拓扑，转换内部局域网为外部的一个IP 地址或少量IP 地址（地址池），使 Internet 上的其他网络不知内部局域网的真实的IP 地址和网络拓扑，保护了内部局域网的安全，同时又不影响路由器。地址转换能够将网内用户发出报文的源地址全部映射成一个接口地址。与按需拨号相结合，使局域网内用户通过一台路由器即可轻松上网。数据加密和防伪技术是利用公网传输数据不可避免地面临数据窃听的问题，传输之前名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 19 页 -进行数据加密，保证只有与之通信的接收端才能够解密数据，防伪报文在传输过程中，被截获、修改，重新投放到网络时，接收端可以进行数据识别、丢弃被修改的报文。相关技术包括：数据加密技术、数字签名技术、IPSec 协议及相关技术。数据加密技术主要是将需要在Internet 上传递的数据加密。加密技术包含两个方面：普通的加密和防伪。防伪技术可以防止报文被不法分子截获之后，将报文修改，然后重新放到网上继续传递。数据加密防伪是保护 Internet 上数据安全的一个重要手段，利用这种技术可以在Internet 上为用户提供一种“安全的 VPN”服务，利用加密技术可以为用户提供一种安全的再Internet 上传递数据的手段。Internet 密钥交换协议（IKE）用于通信双方协商和建立安全联盟，并交换密钥。IKE定义了通信双方进行身份证、协商加密算法以及生成共享会话密钥的方法。IKE 的精髓在于它永远不在不安全的网络上直接传送密钥，而是通过一系列数据的交换，通信双方最终计算出共享的密钥，并且及时第三方截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。虚拟私有网（VPN）是今年来随着Internet 的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet 资源来进行促销、销售、售后服务、培训和合作等活动。许多企业趋向于利用Internet 来替代他们的私有数据网络。相对与企业原有的Internet，这种利用Internet 虚拟链路来传输私有信息而形成的逻辑网络就称为虚拟私有网。VPN 的一个核心技术就是“隧道技术”，这种技术的主要思想是将一种类型网络的数据包通过另一个类型网络进行传输。二层隧道是建立在链路层的隧道，三层隧道是建立在网络层的隧道。安全管理是指保证重要的网络设备处于安全的运行环境，防止人为破坏、保护访问口令、密码等重要的安全信息、进行安全策略管理，有效利用安全策略，在网络出入口实现报文审计和过滤，提供网络运行的必要信息。通用路由平台（VRP）是华为系列路由平台的简称，是整个VRP 平台的核心，它实现了 OSPF、BGP、IS-IS、RIP、EIGRP、PIM DM/SM等多种单播和多播路由协议，支持路由迭代、路右策略、路由聚合等丰富的路由特性，提供了完整的路由功能。但路由器必须防范来自公网上方的恶意攻击。6.2.1AAA 与 RADIUS 协议原理AAA 是 Authentication（认证）、Authorization（授权）和Accounting（计费）的简称。2.授权服务类型授权包括一个用户授权提供的服务。可以是 PPP、EXEC 和 FTP 中的一种或几种。回呼号码对PPP回呼用户可以设定回呼号码。隧道属性配置L2TP 的隧道属性。验证、授权可以在本地进行，也可以在RADIUS服务器进行。但对一个应用服务的验证和授权应使用相同的方法，可以是验证、授权均在本地进行，也可以使用RADIUS 服务器。RADIUS 是远程认证拨号用户服务的简称，最初由Livingston Enterprise 公司开发，作为一种分布式的客户机/服务器系统，能提供 AAA 功能。RADIUS 技术可以保护网络不受未授权访问的干扰，常被用在既要求较高安全性又要求维持远程用户访问的各种网络环境中（如用来管理使用串口和调制解调器的大量分散拨号用户）。6.3.1访问控制列表简介访问控制列表（ACL）为网络设备提供基本的服务安全性。对某类服务而言，安全管理员首先应该考虑该服务是否有必要运行在当前环境中。如果有必要，又有哪些用户能够享受该服务。如果该服务不必要，则应当禁止该服务。因为运行这个不必要的服务，不仅会浪费网络等资源，而且会给当前的网络环境带来安全隐患。如果是部分用户需要，则应当为该服务规划权限，禁止无权限的用户使用该服务。如果某类服务仅仅在网络内部需要，则还需尽力避免该服务被网络外部访问。同样，如果某类服务仅在网络外部是必须的，则管理员还应将该服务限制在网络外部。对于某些服务来说，即使用户能使用该服务，安全管理员也应名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 19 页 -该能监视还服务的使用情况，比如控制某服务只能在某段时间内使用，对该服务的使用量进行统计等。在使用访问控制列表之前，安全管理员必须非常清楚当前网络环境的安全规划和潜在的安全问题。例如在企业网内部，管理员必须清楚部门A、部门B 能够访问的服务器内容，部门A 和部门B 互相之间能够互通的服务，个部门能够访问的企业网络外部服务，能被企业网络外部访问的服务，以及服务器的访问权限等。对到达端的数据包进行分类，并打上不同的动作标记，访问列表作用于路由器的所有端口，访问列表的主要用途有包过滤、镜像、流限制、流统计和分配队列优先级等。当访问控制列表被创建后，既可以用于拒绝某些数据包经过某个路由器接口，也可用于拒绝某些数据包经过路由器的所有接口。路由器的访问控制列表在创建后将应用于路由器的端口上。默认情况下，路由器将允许所有的数据包经过所有接口，即不做任何转发限制。而采用访问控制列表，则路由器在转发某个数据包之前，将会参考访问控制列表中的内容以确定是否转发。最初，访问控制列表的作用仅限于决定是否转发数据包（如转发或丢弃）。管理员只能对怀疑的数据包作出丢弃决定，但不能监控哪些存在安全隐患的数据包。路由器提供给管理员更丰富的功能，如利用访问控制列表进行数据包分析、流量限制和流量统计。使用的技术如下。包过滤技术：指对每个数据包按照用户所定义的项目进行过滤，如比较数据包的源地址、口的地址是否符合规则等。包过滤不涉及会话的状态，也不分析数据，只分析数据包的包头信息。如果配置的规则合理，在这一层能够过滤掉很多有安全隐患的数据包。报文监控技术：一般1 台设备需要一个监控端口就可以监控设备的所有端口。监控端口一般接报文/协议分析。管理员事先确定要监控的报文类型，如ICMP 报文。这时进入和离开路由器的所有ICMP 报文都会被复制到监控端，连接到该端口的网络分析仪能同时收到该报文进行分析。流量限制（CAR）技术：管理员可以限制某一源与目的对之间的平均报文流量。既可以是 IP 地址对，也可以是MAC 地址对。流量限制将在两个方向上同时进行。报文统计技术：管理员确定要统计的报文流向，即从何处而来（报文的源地址），准备去哪里（报文的口地址）。这里的地址既可以是MAC 地址，也可以是IP 地址。可以统计双向的报文流量，统计结果即可以是报文的字数，也可以是报文的包数。6.4.1IPSec 概念IPSec（IP security）协议族是 IETF 制定的一系列协议，它为 IP 数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP 层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。私有性：指对用户数据进行加密保护，用密文的形式来传送。完整性：指对接收地数据进行验证，以判定报文是否被篡改。真实性：指验证数据源，以保证数据来自真实的发送者。防重放：指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。IPSec 通过 AH（认证头）和ESP（封装安全载荷）安全协议来实现上诉目标。并且还可以通过IKE（因特网密钥交换协议）为IPSec 提供自动协商交换密钥、建立和维护安全联盟的服务，以简化IPSec 的使用和管理。6.4.2IPSec 与 IKE 协议基本概念1.安全联盟IPSec 在两个端点之间提供安全通信，端点被称为IPSec 对等体。IPSec能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。例如，某个组织的安全策略可能规定来自特定子网的数据流应同时使用AH 和 ESP 进行保护，并使用3DES（三重数据加密标准）名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 19 页 -进行加密；另一方面，策略可能规定来自另一个站点的数据流只使用ESP 保护，并仅使用DES 加密。通过SA（安全联盟），IPSec 能够对不同的数据流提供不同级别的安全保护。安全联盟是IPSec 的基础，也是IPSec 的本质。SA 是通信对等体间对某些要素的约定，例如，使用哪些协议（是AH 或 ESP还是两者结合使用）、协议的操作模式（传输模式和隧道模式）、密码算法（DES 和 3DES）、特定流中保护数据的共享密钥以及密钥的生存周期等。安全联盟是单向的，在两个对等体之间的双向通信，最少需要两个安全联盟来分别对两个方向的数据流进行安全保护。同时，如果希望同时使用AH 和 ESP 来保护对等体间的数据流，则分别需要两个SA，一个用于AH，另一个用于ESP。安全联盟由一个三元组来唯一标识，这个三元组包括SPI（安全参数索引）、目的 IP 地址、安全协议号（AH 或 ESP）。SPI 是唯一标识SA 而生成的一个32 比特的数值，它在AH和 ESP头中传输。安全联盟具有生存周期。生存周期的计算包括两种方式：以时间为限制：每隔指定长度的时间就进行更新。以流量为限制：每传输指定的数据量（字节）就进行更新。4.协商方式有两种协商方式建立安全联盟，一种是手工方式，一种是IKE 自动协商方式。前者配置比较复杂，创建安全联盟所需要的全部信息都必须手工配置，而且 IPSec 的一些高级特性（例如定时更新密钥）不被支持，但优点是可以不依赖IKE 而单独实现IPSec 功能。而后者则相对比较简单，只需要配置好IKE 协商安全策略的信息，由IKE 自动协商来创建和维护安全联盟。当与之进行通信的对等体设备数量较少时，或是在不动静态环境中，手工配置安全联盟是可行的。对于中、大型的动态网络环境中，推荐使用IKE 协商建立安全联盟。网络安全包括两层含义：其一是内部网的安全，其二是在公共网络中进行数据交换的安全。实现前者的手段有防火墙、地址转换（NAT）等。后者如正在兴起的IPSec（IP Security），IPSec 提供可在IP 层对报文实施加密的保护手段。IPSec 的安全联盟可以通过手工配置的方式建立，但是当网络中结点增多时，手工配置将非常困难，而且难以保证安全性。这时就要使用 IK