信息安全第11讲网络安全技术

《信息安全第11讲网络安全技术》由会员分享，可在线阅读，更多相关《信息安全第11讲网络安全技术（76页珍藏版）》请在金锄头文库上搜索。

1、 信信 息息 安安 全全 技技 术术柴亚辉柴亚辉华东交通大学信息工程学院华东交通大学信息工程学院华东交通大学信息工程学院华东交通大学信息工程学院 第第11讲讲 网络安全技术网络安全技术11.1 防火墙技术防火墙技术11.2 入侵检测技术入侵检测技术11.3 虚拟专用网虚拟专用网VPN技术技术信息安全技术信息安全技术 3 32024/8/28 防火墙的本义原是指古代人们房屋之间修建的墙，这道墙防火墙的本义原是指古代人们房屋之间修建的墙，这道墙防火墙的本义原是指古代人们房屋之间修建的墙，这道墙防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如下图所示。可以防

2、止火灾发生的时候蔓延到别的房屋，如下图所示。可以防止火灾发生的时候蔓延到别的房屋，如下图所示。可以防止火灾发生的时候蔓延到别的房屋，如下图所示。 这里所说的防火墙不是指为了防火而造的墙，而是指隔离这里所说的防火墙不是指为了防火而造的墙，而是指隔离这里所说的防火墙不是指为了防火而造的墙，而是指隔离这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。在本地网络与外界网络之间的一道防御系统。在本地网络与外界网络之间的一道防御系统。在本地网络与外界网络之间的一道防御系统。11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 4 42024/8/28 在

3、互联网上，防火墙是一种非常有效的网络安全系统，通过在互联网上，防火墙是一种非常有效的网络安全系统，通过在互联网上，防火墙是一种非常有效的网络安全系统，通过在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（它可以隔离风险区域（它可以隔离风险区域（它可以隔离风险区域（Internet Internet 或有一定风险的网络）与安全或有一定风险的网络）与安全或有一定风险的网络）与安全或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的区域（局域网）的连接，同时不会妨碍安全区域对风险区域的区域（局域网）的连接，同时不会妨碍安全区域对风险区域的区域（局域网

4、）的连接，同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如下图所示。访问，网络防火墙结构如下图所示。访问，网络防火墙结构如下图所示。访问，网络防火墙结构如下图所示。11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 5 52024/8/28 根据不同的需要，防火墙的功能有比较大差异，但是一般根据不同的需要，防火墙的功能有比较大差异，但是一般根据不同的需要，防火墙的功能有比较大差异，但是一般根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能：都包含以下三种基本功能：都包含以下三种基本功能：都包含以下三种基本功能：1 1、可以限制未授权的用户进入内部网络，

5、过滤掉不安全的、可以限制未授权的用户进入内部网络，过滤掉不安全的、可以限制未授权的用户进入内部网络，过滤掉不安全的、可以限制未授权的用户进入内部网络，过滤掉不安全的 服务和非法用户服务和非法用户服务和非法用户服务和非法用户2 2、防止入侵者接近网络防御设施、防止入侵者接近网络防御设施、防止入侵者接近网络防御设施、防止入侵者接近网络防御设施3 3、限制内部用户访问特殊站点、限制内部用户访问特殊站点、限制内部用户访问特殊站点、限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务，因此适合于相对独立由于防火墙假设了网络边界和服务，因此适合于相对独立由于防火墙假设了网络边界和服务，因此适合于相对独

6、立由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如的网络，例如的网络，例如的网络，例如IntranetIntranet等种类相对集中的网络。等种类相对集中的网络。等种类相对集中的网络。等种类相对集中的网络。InternetInternet上的上的上的上的WebWeb网站中，超过三分之一的站点都是有某种防火墙保护的，网站中，超过三分之一的站点都是有某种防火墙保护的，网站中，超过三分之一的站点都是有某种防火墙保护的，网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。任何关键性的服务器，都应该放在防火墙之后。任何关键性的服务器，都应该放在防火墙

7、之后。任何关键性的服务器，都应该放在防火墙之后。11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 6 62024/8/28防火墙的必要性：防火墙的必要性：防火墙的必要性：防火墙的必要性：（1 1）集中化的安全管理，强化安全策略）集中化的安全管理，强化安全策略）集中化的安全管理，强化安全策略）集中化的安全管理，强化安全策略InternetInternet上每天都有上百万人在上每天都有上百万人在上每天都有上百万人在上每天都有上百万人在 那里收集信息、交换信息，那里收集信息、交换信息，那里收集信息、交换信息，那里收集信息、交换信息，不可避免地会出现个别品德不良的人或违反规则的人，防火

8、墙不可避免地会出现个别品德不良的人或违反规则的人，防火墙不可避免地会出现个别品德不良的人或违反规则的人，防火墙不可避免地会出现个别品德不良的人或违反规则的人，防火墙是为了防止不良现象发生的是为了防止不良现象发生的是为了防止不良现象发生的是为了防止不良现象发生的“ “交通警察交通警察交通警察交通警察” ”，它执行站点的安全，它执行站点的安全，它执行站点的安全，它执行站点的安全策略，仅仅容许策略，仅仅容许策略，仅仅容许策略，仅仅容许“ “认可的认可的认可的认可的” ”和符合规则的请求通过。和符合规则的请求通过。和符合规则的请求通过。和符合规则的请求通过。 （ 2 2）网络日志及使用统计）网络日志及

9、使用统计）网络日志及使用统计）网络日志及使用统计防火墙是所有进出信息必须通路，非常适用收集关于系统和网防火墙是所有进出信息必须通路，非常适用收集关于系统和网防火墙是所有进出信息必须通路，非常适用收集关于系统和网防火墙是所有进出信息必须通路，非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护络使用和误用的信息。作为访问的唯一点，防火墙能在被保护络使用和误用的信息。作为访问的唯一点，防火墙能在被保护络使用和误用的信息。作为访问的唯一点，防火墙能在被保护网络和外部网络之间进行记录，对网络存取访问进行和统计。网络和外部网络之间进行记录，对网络存取访问进行和统计。网络和外部网

10、络之间进行记录，对网络存取访问进行和统计。网络和外部网络之间进行记录，对网络存取访问进行和统计。11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 7 72024/8/28（3 3）保护那些易受攻击的服务）保护那些易受攻击的服务）保护那些易受攻击的服务）保护那些易受攻击的服务 防火墙能够用来隔开网络中一个网段与另一个网段。这样防火墙能够用来隔开网络中一个网段与另一个网段。这样防火墙能够用来隔开网络中一个网段与另一个网段。这样防火墙能够用来隔开网络中一个网段与另一个网段。这样能够防止影响一个网段的问题通过整个网络传播。能够防止影响一个网段的问题通过整个网络传播。能够防止影响一个网段

11、的问题通过整个网络传播。能够防止影响一个网段的问题通过整个网络传播。（4 4）增强的保密）增强的保密）增强的保密）增强的保密 用来封锁有关网点系统的用来封锁有关网点系统的用来封锁有关网点系统的用来封锁有关网点系统的DNSDNS信息。因此，网点系统名字和信息。因此，网点系统名字和信息。因此，网点系统名字和信息。因此，网点系统名字和IPIP地址都不要提供给地址都不要提供给地址都不要提供给地址都不要提供给InternetInternet。（5 5）实施安全策略）实施安全策略）实施安全策略）实施安全策略 防火墙是一个安全策略的检查站，控制对特殊站点的访问。防火墙是一个安全策略的检查站，控制对特殊站点的

12、访问。防火墙是一个安全策略的检查站，控制对特殊站点的访问。防火墙是一个安全策略的检查站，控制对特殊站点的访问。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的所有进出的信息都必须通过防火墙，防火墙便成为安全问题的所有进出的信息都必须通过防火墙，防火墙便成为安全问题的所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。检查点，使可疑的访问被拒绝于门外。检查点，使可疑的访问被拒绝于门外。检查点，使可疑的访问被拒绝于门外。11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 9 92024/8/28防火墙有以下四方面的局限：防火墙有以下四方面的局

13、限：防火墙有以下四方面的局限：防火墙有以下四方面的局限：（1 1） 防火墙不能防范网络内部的攻击。比如：防火墙无法防火墙不能防范网络内部的攻击。比如：防火墙无法防火墙不能防范网络内部的攻击。比如：防火墙无法防火墙不能防范网络内部的攻击。比如：防火墙无法禁止内部间谍将敏感数据拷贝到软盘上。禁止内部间谍将敏感数据拷贝到软盘上。禁止内部间谍将敏感数据拷贝到软盘上。禁止内部间谍将敏感数据拷贝到软盘上。（2 2） 防火墙不能防范不通过它的连接。防火墙能够有效地防火墙不能防范不通过它的连接。防火墙能够有效地防火墙不能防范不通过它的连接。防火墙能够有效地防火墙不能防范不通过它的连接。防火墙能够有效地防止通过

14、它进行传输信息，然而不能防止不通过它而传输的信防止通过它进行传输信息，然而不能防止不通过它而传输的信防止通过它进行传输信息，然而不能防止不通过它而传输的信防止通过它进行传输信息，然而不能防止不通过它而传输的信息。如果用网中有些资源绕过防火墙直接与息。如果用网中有些资源绕过防火墙直接与息。如果用网中有些资源绕过防火墙直接与息。如果用网中有些资源绕过防火墙直接与InternetInternet连通，则连通，则连通，则连通，则得不到防火墙的保护。得不到防火墙的保护。得不到防火墙的保护。得不到防火墙的保护。（3 3） 防火墙不能防止传送己感染病毒的软件或文件，不能防火墙不能防止传送己感染病毒的软件或文

15、件，不能防火墙不能防止传送己感染病毒的软件或文件，不能防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。期望防火墙去对每一个文件进行扫描，查出潜在的病毒。期望防火墙去对每一个文件进行扫描，查出潜在的病毒。期望防火墙去对每一个文件进行扫描，查出潜在的病毒。（4 4） 防火墙用来防备已知的威胁，不能自动防御所有新的防火墙用来防备已知的威胁，不能自动防御所有新的防火墙用来防备已知的威胁，不能自动防御所有新的防火墙用来防备已知的威胁，不能自动防御所有新的威胁。威胁。威胁。威胁。 11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 101020

16、24/8/28 常见的放火墙有三种类型：数据包过滤、电路层网关、常见的放火墙有三种类型：数据包过滤、电路层网关、常见的放火墙有三种类型：数据包过滤、电路层网关、常见的放火墙有三种类型：数据包过滤、电路层网关、应用层网关。应用层网关。应用层网关。应用层网关。1 1、包过滤包过滤包过滤包过滤( (Packet FilteringPacket Filtering) )：作用在协议组的网络层和传输层，：作用在协议组的网络层和传输层，：作用在协议组的网络层和传输层，：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志根据分组包头源地址、目的地址和端口号、协议类型等标志根据

17、分组包头源地址、目的地址和端口号、协议类型等标志根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余数据包则从数据流中丢弃。发到相应的目的地的出口端，其余数据包则从数据流中丢弃。发到相应的目的地的出口端，其余数据包则从数据流中丢弃。发到相应的目的地的出口端，其余数据包则从数据流中丢弃。2 2、应用代理应用代理应用代理应用代理( (Application

18、 ProxyApplication Proxy) )：也叫应用网关：也叫应用网关：也叫应用网关：也叫应用网关( (Application Application GatewayGateway) )，作用在应用层，其特点是完全，作用在应用层，其特点是完全，作用在应用层，其特点是完全，作用在应用层，其特点是完全“ “阻隔阻隔阻隔阻隔” ”网络通信流，网络通信流，网络通信流，网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制通过对每种应用服务编制专门的代理程序，实现监视和控制通过对每种应用服务编制专门的代理程序，实现监视和控制通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通

19、信流的作用。实际中的应用网关通常由专用工作站应用层通信流的作用。实际中的应用网关通常由专用工作站应用层通信流的作用。实际中的应用网关通常由专用工作站应用层通信流的作用。实际中的应用网关通常由专用工作站实现。实现。实现。实现。11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 11112024/8/283 3、状态检测状态检测状态检测状态检测（Status DetectionStatus Detection）：直接对分组里的数据进行处）：直接对分组里的数据进行处）：直接对分组里的数据进行处）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允理，并且结合

20、前后分组的数据进行综合判断，然后决定是否允理，并且结合前后分组的数据进行综合判断，然后决定是否允理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。许该数据包通过。许该数据包通过。许该数据包通过。11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 12122024/8/28包过滤防火墙：包过滤防火墙：包过滤防火墙：包过滤防火墙： 数据包过滤可以在数据包过滤可以在数据包过滤可以在数据包过滤可以在网络层网络层网络层网络层截获数据。使用一些规则来确定截获数据。使用一些规则来确定截获数据。使用一些规则来确定截获数据。使用一些规则来确定 是否转发或丢弃所各个数据包。是否转

21、发或丢弃所各个数据包。是否转发或丢弃所各个数据包。是否转发或丢弃所各个数据包。 通常情况下，如果规则中没有明确允许指定数据包的出入，通常情况下，如果规则中没有明确允许指定数据包的出入，通常情况下，如果规则中没有明确允许指定数据包的出入，通常情况下，如果规则中没有明确允许指定数据包的出入， 那么数据包将被丢弃那么数据包将被丢弃那么数据包将被丢弃那么数据包将被丢弃11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 13132024/8/28 一个可靠的包过滤防火墙依赖于规则集，下表列出了几条一个可靠的包过滤防火墙依赖于规则集，下表列出了几条一个可靠的包过滤防火墙依赖于规则集，下表列出

22、了几条一个可靠的包过滤防火墙依赖于规则集，下表列出了几条 典型的规则集。一：主机典型的规则集。一：主机典型的规则集。一：主机典型的规则集。一：主机10.1.1.110.1.1.1任何端口访问任何主机的任何端口访问任何主机的任何端口访问任何主机的任何端口访问任何主机的 任何端口，基于任何端口，基于任何端口，基于任何端口，基于TCPTCP协议的数据包都允许通过。二：任何协议的数据包都允许通过。二：任何协议的数据包都允许通过。二：任何协议的数据包都允许通过。二：任何 主机的主机的主机的主机的2020端口访问主机端口访问主机端口访问主机端口访问主机10.1.1.110.1.1.1的任何端口，基于的任何

23、端口，基于的任何端口，基于的任何端口，基于TCPTCP协议的协议的协议的协议的 数据包允许通过。三：任何主机的数据包允许通过。三：任何主机的数据包允许通过。三：任何主机的数据包允许通过。三：任何主机的2020端口访问主机端口访问主机端口访问主机端口访问主机10.1.1.110.1.1.1 小于小于小于小于10241024的端口，如果基于的端口，如果基于的端口，如果基于的端口，如果基于TCPTCP协议的数据包都禁止通过。协议的数据包都禁止通过。协议的数据包都禁止通过。协议的数据包都禁止通过。组序号组序号组序号组序号动作动作动作动作源源源源IPIPIPIP目的目的目的目的IPIPIPIP源端口源端

24、口源端口源端口目的端口目的端口目的端口目的端口协议类型协议类型协议类型协议类型1 1 1 1允许允许允许允许10.1.1.110.1.1.110.1.1.110.1.1.1* * * * * * * * * *TCPTCPTCPTCP2 2 2 2允许允许允许允许* * * *10.1.1.110.1.1.110.1.1.110.1.1.120202020* * * *TCPTCPTCPTCP3 3 3 3禁止禁止禁止禁止* * * *10.1.1.110.1.1.110.1.1.110.1.1.1202020201024102410241024TCPTCPTCPTCP11.1 11.1 防火

25、墙技术防火墙技术信息安全技术信息安全技术 14142024/8/28 包过滤防火墙包过滤防火墙包过滤防火墙包过滤防火墙优点优点优点优点：价格较低、对用户透明、对网络性能：价格较低、对用户透明、对网络性能：价格较低、对用户透明、对网络性能：价格较低、对用户透明、对网络性能 的影响很小、速度快、易于维护。的影响很小、速度快、易于维护。的影响很小、速度快、易于维护。的影响很小、速度快、易于维护。 包过滤防火墙包过滤防火墙包过滤防火墙包过滤防火墙缺点缺点缺点缺点：包过滤配置起来比较复杂、它对：包过滤配置起来比较复杂、它对：包过滤配置起来比较复杂、它对：包过滤配置起来比较复杂、它对IPIP 欺骗式攻击比

26、较敏感、它没有用户的使用记录，这样就欺骗式攻击比较敏感、它没有用户的使用记录，这样就欺骗式攻击比较敏感、它没有用户的使用记录，这样就欺骗式攻击比较敏感、它没有用户的使用记录，这样就 不能从访问记录中发现黑客的攻击记录。而攻击一个单纯不能从访问记录中发现黑客的攻击记录。而攻击一个单纯不能从访问记录中发现黑客的攻击记录。而攻击一个单纯不能从访问记录中发现黑客的攻击记录。而攻击一个单纯 的包过滤式的防火墙对黑客来说是比较容易的，他们在的包过滤式的防火墙对黑客来说是比较容易的，他们在的包过滤式的防火墙对黑客来说是比较容易的，他们在的包过滤式的防火墙对黑客来说是比较容易的，他们在 这一方面已经积累了大量

27、的经验。这一方面已经积累了大量的经验。这一方面已经积累了大量的经验。这一方面已经积累了大量的经验。11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 15152024/8/28应用代理防火墙：应用代理防火墙：应用代理防火墙：应用代理防火墙： 应用代理（应用代理（应用代理（应用代理（Application ProxyApplication Proxy）是运行在防火墙上的一种）是运行在防火墙上的一种）是运行在防火墙上的一种）是运行在防火墙上的一种 服务器程序，防火墙主机可以是一个具有两个网络接口的服务器程序，防火墙主机可以是一个具有两个网络接口的服务器程序，防火墙主机可以是一个具有两

28、个网络接口的服务器程序，防火墙主机可以是一个具有两个网络接口的 双重宿主主机，也可以是一个堡垒主机。双重宿主主机，也可以是一个堡垒主机。双重宿主主机，也可以是一个堡垒主机。双重宿主主机，也可以是一个堡垒主机。代理服务器被代理服务器被代理服务器被代理服务器被 放置在内部服务器和外部服务器之间，用于转接内外主机放置在内部服务器和外部服务器之间，用于转接内外主机放置在内部服务器和外部服务器之间，用于转接内外主机放置在内部服务器和外部服务器之间，用于转接内外主机 之间的通信之间的通信之间的通信之间的通信，它可以根据安全策略来决定是否为用户进行，它可以根据安全策略来决定是否为用户进行，它可以根据安全策略

29、来决定是否为用户进行，它可以根据安全策略来决定是否为用户进行 代理服务。代理服务器运行在应用层，因此又被称为代理服务。代理服务器运行在应用层，因此又被称为代理服务。代理服务器运行在应用层，因此又被称为代理服务。代理服务器运行在应用层，因此又被称为“ “应用应用应用应用 网关网关网关网关” ”。11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 16162024/8/28 应用代理防火墙的应用代理防火墙的应用代理防火墙的应用代理防火墙的优点优点优点优点：可以将被保护的网络内部结构：可以将被保护的网络内部结构：可以将被保护的网络内部结构：可以将被保护的网络内部结构 屏蔽起来，增强网络

30、的安全性；可用于实施较强的数据流屏蔽起来，增强网络的安全性；可用于实施较强的数据流屏蔽起来，增强网络的安全性；可用于实施较强的数据流屏蔽起来，增强网络的安全性；可用于实施较强的数据流 监控、过滤、记录和报告等。监控、过滤、记录和报告等。监控、过滤、记录和报告等。监控、过滤、记录和报告等。 应用代理防火墙应用代理防火墙应用代理防火墙应用代理防火墙缺点缺点缺点缺点：使访问速度变慢，因为它不允许：使访问速度变慢，因为它不允许：使访问速度变慢，因为它不允许：使访问速度变慢，因为它不允许 用户直接访问网络；用户直接访问网络；用户直接访问网络；用户直接访问网络；应用级应用级应用级应用级网关需要针对每一个特

31、定网关需要针对每一个特定网关需要针对每一个特定网关需要针对每一个特定 的的的的InternetInternet服务安装相应的代理服务器软件，用户不能使用服务安装相应的代理服务器软件，用户不能使用服务安装相应的代理服务器软件，用户不能使用服务安装相应的代理服务器软件，用户不能使用 未被服务器支持的服务，这就意味着用户可能会花费一定未被服务器支持的服务，这就意味着用户可能会花费一定未被服务器支持的服务，这就意味着用户可能会花费一定未被服务器支持的服务，这就意味着用户可能会花费一定 的时间等待新服务器软件的安装；并不是所有的的时间等待新服务器软件的安装；并不是所有的的时间等待新服务器软件的安装；并不

32、是所有的的时间等待新服务器软件的安装；并不是所有的InternetInternet 应用软件都可以使用代理服务器。应用软件都可以使用代理服务器。应用软件都可以使用代理服务器。应用软件都可以使用代理服务器。11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 17172024/8/28状态检测防火墙：状态检测防火墙：状态检测防火墙：状态检测防火墙： 状态检测防火墙安全特性非常好，它采用了一个在状态检测防火墙安全特性非常好，它采用了一个在状态检测防火墙安全特性非常好，它采用了一个在状态检测防火墙安全特性非常好，它采用了一个在网关上网关上网关上网关上 执行网络安全策略的软件引擎，称之为检

33、测模块。检测模块执行网络安全策略的软件引擎，称之为检测模块。检测模块执行网络安全策略的软件引擎，称之为检测模块。检测模块执行网络安全策略的软件引擎，称之为检测模块。检测模块 在不影响网络正常工作的前提下，采用抽取相关数据的方法在不影响网络正常工作的前提下，采用抽取相关数据的方法在不影响网络正常工作的前提下，采用抽取相关数据的方法在不影响网络正常工作的前提下，采用抽取相关数据的方法 对网络通信的各层实施监测，抽取部分数据，即状态信息，对网络通信的各层实施监测，抽取部分数据，即状态信息，对网络通信的各层实施监测，抽取部分数据，即状态信息，对网络通信的各层实施监测，抽取部分数据，即状态信息， 并动态

34、地保存起来作为以后指定安全决策的参考。并动态地保存起来作为以后指定安全决策的参考。并动态地保存起来作为以后指定安全决策的参考。并动态地保存起来作为以后指定安全决策的参考。 状态检测防火墙的状态检测防火墙的状态检测防火墙的状态检测防火墙的优点优点优点优点：检测模块支持多种协议和应用：检测模块支持多种协议和应用：检测模块支持多种协议和应用：检测模块支持多种协议和应用 程序，并可以很容易地实现应用和服务的扩充；它会程序，并可以很容易地实现应用和服务的扩充；它会程序，并可以很容易地实现应用和服务的扩充；它会程序，并可以很容易地实现应用和服务的扩充；它会 监测监测监测监测RPCRPC和和和和UDPUDP

35、之类的端口信息，而包过滤和代理网关都之类的端口信息，而包过滤和代理网关都之类的端口信息，而包过滤和代理网关都之类的端口信息，而包过滤和代理网关都 不支持此类端口；性能坚固。不支持此类端口；性能坚固。不支持此类端口；性能坚固。不支持此类端口；性能坚固。 状态检测防火墙状态检测防火墙状态检测防火墙状态检测防火墙缺点缺点缺点缺点：配置非常复杂；会降低网络的速度。：配置非常复杂；会降低网络的速度。：配置非常复杂；会降低网络的速度。：配置非常复杂；会降低网络的速度。11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 18182024/8/28 防火墙有三种体系结构：双宿多宿主机结构、屏蔽主

36、机体防火墙有三种体系结构：双宿多宿主机结构、屏蔽主机体防火墙有三种体系结构：双宿多宿主机结构、屏蔽主机体防火墙有三种体系结构：双宿多宿主机结构、屏蔽主机体系结构、屏蔽子网体系结构系结构、屏蔽子网体系结构系结构、屏蔽子网体系结构系结构、屏蔽子网体系结构1 1、双宿多宿主机结构双宿多宿主机结构双宿多宿主机结构双宿多宿主机结构：多宿主机通常是一台具有多块网卡：多宿主机通常是一台具有多块网卡：多宿主机通常是一台具有多块网卡：多宿主机通常是一台具有多块网卡 的堡垒主机。堡垒主机可以充当与这些接口相连的网络之间的堡垒主机。堡垒主机可以充当与这些接口相连的网络之间的堡垒主机。堡垒主机可以充当与这些接口相连的

37、网络之间的堡垒主机。堡垒主机可以充当与这些接口相连的网络之间 的防火墙，从一个网络到另一个网络发送的防火墙，从一个网络到另一个网络发送的防火墙，从一个网络到另一个网络发送的防火墙，从一个网络到另一个网络发送IPIP数据包必须经过数据包必须经过数据包必须经过数据包必须经过 主机检查。主机检查。主机检查。主机检查。11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 19192024/8/282 2、屏蔽主机结构屏蔽主机结构屏蔽主机结构屏蔽主机结构：该结构防火墙需要：该结构防火墙需要：该结构防火墙需要：该结构防火墙需要一个带数据分组过滤功能一个带数据分组过滤功能一个带数据分组过滤功能一

38、个带数据分组过滤功能 的路由器和一台堡垒主机的路由器和一台堡垒主机的路由器和一台堡垒主机的路由器和一台堡垒主机。使用一个单独的路由器控制所有。使用一个单独的路由器控制所有。使用一个单独的路由器控制所有。使用一个单独的路由器控制所有 出入内部网的访问，并使堡垒主机成为外部网络唯一可直接出入内部网的访问，并使堡垒主机成为外部网络唯一可直接出入内部网的访问，并使堡垒主机成为外部网络唯一可直接出入内部网的访问，并使堡垒主机成为外部网络唯一可直接 到达的主机。它实现了网络层和应用层安全，提供的安全级到达的主机。它实现了网络层和应用层安全，提供的安全级到达的主机。它实现了网络层和应用层安全，提供的安全级到

39、达的主机。它实现了网络层和应用层安全，提供的安全级 别相对较高。别相对较高。别相对较高。别相对较高。11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 20202024/8/283 3、屏蔽子网体系结构屏蔽子网体系结构屏蔽子网体系结构屏蔽子网体系结构：该结构防火墙需要两个分组过滤路由器：该结构防火墙需要两个分组过滤路由器：该结构防火墙需要两个分组过滤路由器：该结构防火墙需要两个分组过滤路由器 和一台堡垒主机。在内部网络与和一台堡垒主机。在内部网络与和一台堡垒主机。在内部网络与和一台堡垒主机。在内部网络与InternetInternet之间有一个小型的之间有一个小型的之间有一个小型

40、的之间有一个小型的 独立网络，称为周边网。两个分组过滤路由器，一个位于独立网络，称为周边网。两个分组过滤路由器，一个位于独立网络，称为周边网。两个分组过滤路由器，一个位于独立网络，称为周边网。两个分组过滤路由器，一个位于 周边网与内部的网络之间，另一个位于周边网与外部网络周边网与内部的网络之间，另一个位于周边网与外部网络周边网与内部的网络之间，另一个位于周边网与外部网络周边网与内部的网络之间，另一个位于周边网与外部网络 之间。内部路由器（有时被称为阻塞路由器）保护内部的之间。内部路由器（有时被称为阻塞路由器）保护内部的之间。内部路由器（有时被称为阻塞路由器）保护内部的之间。内部路由器（有时被称

41、为阻塞路由器）保护内部的 网络使之免受网络使之免受网络使之免受网络使之免受 Internet Internet 和周边网的侵犯。外部路由器起着和周边网的侵犯。外部路由器起着和周边网的侵犯。外部路由器起着和周边网的侵犯。外部路由器起着 保护周边网和内部网免受来自保护周边网和内部网免受来自保护周边网和内部网免受来自保护周边网和内部网免受来自Internet Internet 的攻击。的攻击。的攻击。的攻击。11.1 11.1 防火墙技术防火墙技术信息安全技术信息安全技术 21212024/8/28 入侵检测技术是动态安全技术的最核心技术之一。传统的入侵检测技术是动态安全技术的最核心技术之一。传统的

42、入侵检测技术是动态安全技术的最核心技术之一。传统的入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御操作系统加固技术和防火墙隔离技术等都是静态安全防御操作系统加固技术和防火墙隔离技术等都是静态安全防御操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。技术，对网络环境下日新月异的攻击手段缺乏主动的反应。技术，对网络环境下日新月异的攻击手段缺乏主动的反应。技术，对网络环境下日新月异的攻击手段缺乏主动的反应。 入侵检测是防火墙的合理补充入侵检测是防火墙的合理补充入侵检测是防火墙的合理补充入侵检测是防

43、火墙的合理补充，帮助系统对付网络攻击，帮助系统对付网络攻击，帮助系统对付网络攻击，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、扩展了系统管理员的安全管理能力（包括安全审计、监视、扩展了系统管理员的安全管理能力（包括安全审计、监视、扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从进攻识别和响应），提高了信息安全基础结构的完整性。它从进攻识别和响应），提高了信息安全基础结构的完整性。它从进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息、分析信息，查看计算机网络系统中的若

44、干关键点收集信息、分析信息，查看计算机网络系统中的若干关键点收集信息、分析信息，查看计算机网络系统中的若干关键点收集信息、分析信息，查看是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线，提供对内部攻击、外部认为是防火墙之后的第二道安全防线，提供对内部攻击、外部认为是防火墙之后的第二道安全防线，提供对内部攻击、外部认为是防火墙之后的第二道安全防线，提供对内部攻击、外部攻击和误操作的实时保护。攻击和误操作的实

45、时保护。攻击和误操作的实时保护。攻击和误操作的实时保护。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 22222024/8/28 什么是入侵检测什么是入侵检测什么是入侵检测什么是入侵检测 入侵检测是指对入侵行为的发现、报警和响应，它通过对入侵检测是指对入侵行为的发现、报警和响应，它通过对入侵检测是指对入侵行为的发现、报警和响应，它通过对入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中若干关键点收集信息，并对收集到计算机网络或计算机系统中若干关键点收集信息，并对收集到计算机网络或计算机系统中若干关键点收集信息，并对收集到计算机网络或计算机系统中若

46、干关键点收集信息，并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的信息进行分析，从而判断网络或系统中是否有违反安全策略的信息进行分析，从而判断网络或系统中是否有违反安全策略的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。的行为和系统被攻击的征兆。的行为和系统被攻击的征兆。的行为和系统被攻击的征兆。 入侵检测的目标是识别系统内部人员和外部入侵者的非法入侵检测的目标是识别系统内部人员和外部入侵者的非法入侵检测的目标是识别系统内部人员和外部入侵者的非法入侵检测的目标是识别系统内部人员和外部入侵者的非法使用、滥用计算机系统的行为。使用、滥用计算机系统的

47、行为。使用、滥用计算机系统的行为。使用、滥用计算机系统的行为。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 23232024/8/28 入侵检测系统功能入侵检测系统功能入侵检测系统功能入侵检测系统功能 入侵检测系统能主动发现网络中正在进行的针对被保护目标入侵检测系统能主动发现网络中正在进行的针对被保护目标入侵检测系统能主动发现网络中正在进行的针对被保护目标入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵，并能采取相应的措施及时中止这些危的恶意滥用或非法入侵，并能采取相应的措施及时中止这些危的恶意滥用或非法入侵，并能采取相应的措施及时中止这些危的恶

48、意滥用或非法入侵，并能采取相应的措施及时中止这些危害，如提示报警、阻断连接、通知网管等。害，如提示报警、阻断连接、通知网管等。害，如提示报警、阻断连接、通知网管等。害，如提示报警、阻断连接、通知网管等。 其主要功能是监测并分析用户和系统的活动、核查系统配置其主要功能是监测并分析用户和系统的活动、核查系统配置其主要功能是监测并分析用户和系统的活动、核查系统配置其主要功能是监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别中的安全漏洞、评估系统关键资源与数据文件的完整性、识别中的安全漏洞、评估系统关键资源与数据文件的完整性、识别中的安全漏洞、评估系统关键

49、资源与数据文件的完整性、识别现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统日志的管理维护。日志的管理维护。日志的管理维护。日志的管理维护。 11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 24242024/8/28 入侵检测系统入侵检测系统入侵检测系统入侵检测系统IDSIDS（Intrusion Detection SystemIntrusion Detection System）是负责入侵是负责

50、入侵是负责入侵是负责入侵检测的软检测的软检测的软检测的软/ /硬件组合体，该系统对系统资源的非授权使用能够做硬件组合体，该系统对系统资源的非授权使用能够做硬件组合体，该系统对系统资源的非授权使用能够做硬件组合体，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。出及时的判断、记录和报警。出及时的判断、记录和报警。出及时的判断、记录和报警。 简单的简单的简单的简单的入侵检测系统入侵检测系统入侵检测系统入侵检测系统报警报警攻击模式库攻击模式库配置系统库配置系统库入侵分析引擎入侵分析引擎 响应处理响应处理 数据采集数据采集安全控制安全控制 主机系统主机系统系统操作系统操作审计记录审计记录/

51、协议数据协议数据11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 25252024/8/28 入侵检测的三个基本步骤：入侵检测的三个基本步骤：入侵检测的三个基本步骤：入侵检测的三个基本步骤：信息收集、数据分析和响应信息收集、数据分析和响应信息收集、数据分析和响应信息收集、数据分析和响应。1 1、信息收集：收集的内容包括整个计算机网络中系统、网络、信息收集：收集的内容包括整个计算机网络中系统、网络、信息收集：收集的内容包括整个计算机网络中系统、网络、信息收集：收集的内容包括整个计算机网络中系统、网络、 数据及用户活动的状态和行为。数据及用户活动的状态和行为。数据及用户活动的状

52、态和行为。数据及用户活动的状态和行为。 入侵检测在很大程度上依赖于入侵检测在很大程度上依赖于入侵检测在很大程度上依赖于入侵检测在很大程度上依赖于收集信息的可靠性、正确性和收集信息的可靠性、正确性和收集信息的可靠性、正确性和收集信息的可靠性、正确性和完备性完备性完备性完备性。因此，要确保采集、报告这些信息的软件工具的可靠。因此，要确保采集、报告这些信息的软件工具的可靠。因此，要确保采集、报告这些信息的软件工具的可靠。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而性，这些软件本身应具有相当强的坚固性，能够防止被篡改而性，这些软件本身应具有相当强

53、的坚固性，能够防止被篡改而性，这些软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的信息。否则，黑客对系统的修改可能使入侵检测收集到错误的信息。否则，黑客对系统的修改可能使入侵检测收集到错误的信息。否则，黑客对系统的修改可能使入侵检测收集到错误的信息。否则，黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。系统功能失常但看起来却跟正常的系统一样。系统功能失常但看起来却跟正常的系统一样。系统功能失常但看起来却跟正常的系统一样。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 26262024/8/282 2、数据分析数据分析数据分析数据分析(Ana

54、lysis Schemes)(Analysis Schemes)：它是入侵检测系统的核心，：它是入侵检测系统的核心，：它是入侵检测系统的核心，：它是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。根据数据它的效率高低直接决定了整个入侵检测系统的性能。根据数据它的效率高低直接决定了整个入侵检测系统的性能。根据数据它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入分析的不同方式可将入侵检测系统分为异常入侵检测与误用入分析的不同方式可将入侵检测系统分为异常入侵检测与误用入分析的不同方式可将入侵检测系统分为异常入侵检测与误用入

55、侵检测两类。侵检测两类。侵检测两类。侵检测两类。3 3、响应：响应：响应：响应：数据分析发现入侵迹象后，入侵检测系统就必须进行数据分析发现入侵迹象后，入侵检测系统就必须进行数据分析发现入侵迹象后，入侵检测系统就必须进行数据分析发现入侵迹象后，入侵检测系统就必须进行响应，而并不局限于对可疑的攻击者。目前的入侵检测系统一响应，而并不局限于对可疑的攻击者。目前的入侵检测系统一响应，而并不局限于对可疑的攻击者。目前的入侵检测系统一响应，而并不局限于对可疑的攻击者。目前的入侵检测系统一般采取的响应有：将分析结果记录在日志文件中，并产生相应般采取的响应有：将分析结果记录在日志文件中，并产生相应般采取的响应

56、有：将分析结果记录在日志文件中，并产生相应般采取的响应有：将分析结果记录在日志文件中，并产生相应的报告；触发警报，如在系统管理员的桌面上产生一个告警标的报告；触发警报，如在系统管理员的桌面上产生一个告警标的报告；触发警报，如在系统管理员的桌面上产生一个告警标的报告；触发警报，如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送电子邮件等；修改入侵检测系统或目志位，向系统管理员发送电子邮件等；修改入侵检测系统或目志位，向系统管理员发送电子邮件等；修改入侵检测系统或目志位，向系统管理员发送电子邮件等；修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙标系统，如终止进程

57、、切断攻击者的网络连接，或更改防火墙标系统，如终止进程、切断攻击者的网络连接，或更改防火墙标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。配置等。配置等。配置等。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 28282024/8/28 根据入侵检测采用的原理不同，入侵检测系统可分为：根据入侵检测采用的原理不同，入侵检测系统可分为：根据入侵检测采用的原理不同，入侵检测系统可分为：根据入侵检测采用的原理不同，入侵检测系统可分为：异常检测、误用检测和特征检测异常检测、误用检测和特征检测异常检测、误用检测和特征检测异常检测、误用检测和特征检测。1 1、异常检测异常

58、检测异常检测异常检测：监控用户行为，将当前行为活动情况和用户轮廓：监控用户行为，将当前行为活动情况和用户轮廓：监控用户行为，将当前行为活动情况和用户轮廓：监控用户行为，将当前行为活动情况和用户轮廓（描述正常行为范围）进行比较，用户行为与正常行为有重大（描述正常行为范围）进行比较，用户行为与正常行为有重大（描述正常行为范围）进行比较，用户行为与正常行为有重大（描述正常行为范围）进行比较，用户行为与正常行为有重大偏差时即被认为是入侵。系统的效率取决于用户轮廓的完备性偏差时即被认为是入侵。系统的效率取决于用户轮廓的完备性偏差时即被认为是入侵。系统的效率取决于用户轮廓的完备性偏差时即被认为是入侵。系统

59、的效率取决于用户轮廓的完备性和监控的频率。但是在许多环境中，为用户建立正常行为模式和监控的频率。但是在许多环境中，为用户建立正常行为模式和监控的频率。但是在许多环境中，为用户建立正常行为模式和监控的频率。但是在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定的特征轮廓以及对用户活动的异常性进行报警的门限值的确定的特征轮廓以及对用户活动的异常性进行报警的门限值的确定的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事，因为并不是所有入侵者的行为都能够产生都是比较困难的事，因为并不是所有入侵者的行为都能够产生都是比较困难的事，因为并不是所有

60、入侵者的行为都能够产生都是比较困难的事，因为并不是所有入侵者的行为都能够产生明显的异常性明显的异常性明显的异常性明显的异常性。阈值。阈值。阈值。阈值11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 29292024/8/282 2、误用检测误用检测误用检测误用检测：系统提供攻击特征库，当监测的用户或系统行为：系统提供攻击特征库，当监测的用户或系统行为：系统提供攻击特征库，当监测的用户或系统行为：系统提供攻击特征库，当监测的用户或系统行为与库中的记录匹配时，被认为是入侵行为。错报率较异常监测与库中的记录匹配时，被认为是入侵行为。错报率较异常监测与库中的记录匹配时，被认为是入侵

61、行为。错报率较异常监测与库中的记录匹配时，被认为是入侵行为。错报率较异常监测低，但是漏报率增加，因为攻击特征的细微变化可能不被认为低，但是漏报率增加，因为攻击特征的细微变化可能不被认为低，但是漏报率增加，因为攻击特征的细微变化可能不被认为低，但是漏报率增加，因为攻击特征的细微变化可能不被认为是入侵行为。是入侵行为。是入侵行为。是入侵行为。3 3、特征检测特征检测特征检测特征检测：定义系统行为轮廓，并将系统行为与轮廓比较，：定义系统行为轮廓，并将系统行为与轮廓比较，：定义系统行为轮廓，并将系统行为与轮廓比较，：定义系统行为轮廓，并将系统行为与轮廓比较，对未指明为正常行为的事件定义为入侵。通过对未

62、指明为正常行为的事件定义为入侵。通过对未指明为正常行为的事件定义为入侵。通过对未指明为正常行为的事件定义为入侵。通过提高行为特征提高行为特征提高行为特征提高行为特征定义的准确度和覆盖范围，可大幅度降低漏报和错报率定义的准确度和覆盖范围，可大幅度降低漏报和错报率定义的准确度和覆盖范围，可大幅度降低漏报和错报率定义的准确度和覆盖范围，可大幅度降低漏报和错报率。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 30302024/8/28 根据入侵检测的信息来源不同，入侵检测系统可分为两类：根据入侵检测的信息来源不同，入侵检测系统可分为两类：根据入侵检测的信息来源不同，入侵检测系统

63、可分为两类：根据入侵检测的信息来源不同，入侵检测系统可分为两类：基于基于基于基于主机主机主机主机的入侵检测系统和基于的入侵检测系统和基于的入侵检测系统和基于的入侵检测系统和基于网络网络网络网络的入侵检测系统。的入侵检测系统。的入侵检测系统。的入侵检测系统。1 1、基于主机的入侵检测系统基于主机的入侵检测系统基于主机的入侵检测系统基于主机的入侵检测系统：检测的目标主要是主机系统和：检测的目标主要是主机系统和：检测的目标主要是主机系统和：检测的目标主要是主机系统和系统本地用户。在需要保护的主机（端系统）上运行代理程系统本地用户。在需要保护的主机（端系统）上运行代理程系统本地用户。在需要保护的主机（

64、端系统）上运行代理程系统本地用户。在需要保护的主机（端系统）上运行代理程序，根据主机的审计数据和系统的日志发现可疑事件，从而序，根据主机的审计数据和系统的日志发现可疑事件，从而序，根据主机的审计数据和系统的日志发现可疑事件，从而序，根据主机的审计数据和系统的日志发现可疑事件，从而实现监控。实现监控。实现监控。实现监控。n n优优优优点点点点：检检检检测测测测效效效效率率率率高高高高，分分分分析析析析代代代代价价价价低低低低，分分分分析析析析速速速速度度度度快快快快，能能能能迅迅迅迅速速速速定定定定位位位位入侵者入侵者入侵者入侵者n n缺缺缺缺点点点点：会会会会降降降降低低低低应应应应用用用用系

65、系系系统统统统的的的的效效效效率率率率；依依依依赖赖赖赖于于于于服服服服务务务务器器器器固固固固有有有有的的的的日日日日志志志志与与与与监视能力；全面布署代价较大，部分安装则存在保护盲点。监视能力；全面布署代价较大，部分安装则存在保护盲点。监视能力；全面布署代价较大，部分安装则存在保护盲点。监视能力；全面布署代价较大，部分安装则存在保护盲点。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 31312024/8/28 审计记录收集方法审计记录收集方法异常检测异常检测误用检测误用检测安全管理员接口安全管理员接口审计记录数据库审计记录数据库审计记录数据审计记录数据归档归档/ /

66、查询查询目标系统目标系统审计记录预处理审计记录预处理 基于主机的入侵检测系统模型基于主机的入侵检测系统模型基于主机的入侵检测系统模型基于主机的入侵检测系统模型11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 32322024/8/28 2 2、基于网络的入侵检测系统基于网络的入侵检测系统基于网络的入侵检测系统基于网络的入侵检测系统：主要用于实时监控网络关键路径：主要用于实时监控网络关键路径：主要用于实时监控网络关键路径：主要用于实时监控网络关键路径的信息，监听网络上所有分组来采集数据，分析可疑现象。的信息，监听网络上所有分组来采集数据，分析可疑现象。的信息，监听网络上所有分

67、组来采集数据，分析可疑现象。的信息，监听网络上所有分组来采集数据，分析可疑现象。 利用网络适配器利用网络适配器利用网络适配器利用网络适配器来实时监视和分析所来实时监视和分析所来实时监视和分析所来实时监视和分析所有通过网络进行传输有通过网络进行传输有通过网络进行传输有通过网络进行传输的通信。一旦检测到的通信。一旦检测到的通信。一旦检测到的通信。一旦检测到攻击，攻击，攻击，攻击，IDSIDS相应模块相应模块相应模块相应模块通过通知、报警以及通过通知、报警以及通过通知、报警以及通过通知、报警以及中断连接等方式来对中断连接等方式来对中断连接等方式来对中断连接等方式来对攻击做出反应。攻击做出反应。攻击做

68、出反应。攻击做出反应。 分析结果分析结果网络接口网络接口网络接口网络接口分析引擎模块分析引擎模块管理管理/ /配置模块配置模块网络安全网络安全数据库数据库采集模块采集模块采集模块采集模块11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 33332024/8/28n n优点：优点：优点：优点：检测的范围是整个网段，而不仅仅是被保护的主机。检测的范围是整个网段，而不仅仅是被保护的主机。检测的范围是整个网段，而不仅仅是被保护的主机。检测的范围是整个网段，而不仅仅是被保护的主机。实时检测和应答。一旦发生恶意访问或攻击，能够更快实时检测和应答。一旦发生恶意访问或攻击，能够更快实时检测

69、和应答。一旦发生恶意访问或攻击，能够更快实时检测和应答。一旦发生恶意访问或攻击，能够更快 地做出反应，将入侵活动对系统的破坏减到最低。地做出反应，将入侵活动对系统的破坏减到最低。地做出反应，将入侵活动对系统的破坏减到最低。地做出反应，将入侵活动对系统的破坏减到最低。隐蔽性好。不需要在每个主机上安装，不易被发现。隐蔽性好。不需要在每个主机上安装，不易被发现。隐蔽性好。不需要在每个主机上安装，不易被发现。隐蔽性好。不需要在每个主机上安装，不易被发现。不需要任何特殊的审计和登录机制，只要配置网络接口不需要任何特殊的审计和登录机制，只要配置网络接口不需要任何特殊的审计和登录机制，只要配置网络接口不需要

70、任何特殊的审计和登录机制，只要配置网络接口 就可以了，不会影响其他数据源。就可以了，不会影响其他数据源。就可以了，不会影响其他数据源。就可以了，不会影响其他数据源。操作系统独立。基于网络的操作系统独立。基于网络的操作系统独立。基于网络的操作系统独立。基于网络的IDSIDS并不依赖主机的操作系统并不依赖主机的操作系统并不依赖主机的操作系统并不依赖主机的操作系统 作为检测资源。作为检测资源。作为检测资源。作为检测资源。 11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 34342024/8/28n n缺点：缺点：缺点：缺点：只检查它直接连接网段的通信；只检查它直接连接网段的通信

71、；只检查它直接连接网段的通信；只检查它直接连接网段的通信；为了性能目标常采用特征检测法，难实现复杂计算与分析。为了性能目标常采用特征检测法，难实现复杂计算与分析。为了性能目标常采用特征检测法，难实现复杂计算与分析。为了性能目标常采用特征检测法，难实现复杂计算与分析。会将大量的数据传给检测分析系统。会将大量的数据传给检测分析系统。会将大量的数据传给检测分析系统。会将大量的数据传给检测分析系统。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 35352024/8/28 入侵检测系统关键技术入侵检测系统关键技术入侵检测系统关键技术入侵检测系统关键技术1 1、模式匹配：模式匹配：

72、模式匹配：模式匹配： 模式匹配就是模式匹配就是模式匹配就是模式匹配就是将收集到的信息与已知的网络入侵和系统误用将收集到的信息与已知的网络入侵和系统误用将收集到的信息与已知的网络入侵和系统误用将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。模式数据库进行比较，从而发现违背安全策略的行为。模式数据库进行比较，从而发现违背安全策略的行为。模式数据库进行比较，从而发现违背安全策略的行为。模式匹模式匹模式匹模式匹配方法是入侵检测领域中应用最为广泛的检测手段和机制之一，配方法是入侵检测领域中应用最为广泛的检测手段和机制之一，配方法是入侵检测领域中应用最为广泛的检测手

73、段和机制之一，配方法是入侵检测领域中应用最为广泛的检测手段和机制之一，通常用于误用检测。通常用于误用检测。通常用于误用检测。通常用于误用检测。2 2、统计分析：统计分析：统计分析：统计分析： 统计分析方法首先给用户、文件、目录和设备等系统对象创统计分析方法首先给用户、文件、目录和设备等系统对象创统计分析方法首先给用户、文件、目录和设备等系统对象创统计分析方法首先给用户、文件、目录和设备等系统对象创建一个统计描述。统计正常使用时的一些测量属性，测量属性建一个统计描述。统计正常使用时的一些测量属性，测量属性建一个统计描述。统计正常使用时的一些测量属性，测量属性建一个统计描述。统计正常使用时的一些测

74、量属性，测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值的平均值将被用来与网络、系统的行为进行比较，任何观察值的平均值将被用来与网络、系统的行为进行比较，任何观察值的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。在正常值范围之外时，就认为有入侵发生。在正常值范围之外时，就认为有入侵发生。在正常值范围之外时，就认为有入侵发生。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 36362024/8/283 3、专家系统：专家系统：专家系统：专家系统： 专家系统是一种以知识为基础，根据人类专家的知识和经验专家系统是一种以知

75、识为基础，根据人类专家的知识和经验专家系统是一种以知识为基础，根据人类专家的知识和经验专家系统是一种以知识为基础，根据人类专家的知识和经验进行推理，解决需要专家才能解决的复杂问题的计算机程序系进行推理，解决需要专家才能解决的复杂问题的计算机程序系进行推理，解决需要专家才能解决的复杂问题的计算机程序系进行推理，解决需要专家才能解决的复杂问题的计算机程序系统。用专家系统对入侵进行检测主要是针对统。用专家系统对入侵进行检测主要是针对统。用专家系统对入侵进行检测主要是针对统。用专家系统对入侵进行检测主要是针对误用检测误用检测误用检测误用检测，是针对，是针对，是针对，是针对有特征入侵的行为。有特征入侵的

76、行为。有特征入侵的行为。有特征入侵的行为。4 4、神经网络：神经网络：神经网络：神经网络： 神经网络具有神经网络具有神经网络具有神经网络具有自适应、自组织、自学习自适应、自组织、自学习自适应、自组织、自学习自适应、自组织、自学习的能力，可以处理一的能力，可以处理一的能力，可以处理一的能力，可以处理一些环境信息复杂、背景知识不清楚的问题。些环境信息复杂、背景知识不清楚的问题。些环境信息复杂、背景知识不清楚的问题。些环境信息复杂、背景知识不清楚的问题。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 37372024/8/285 5、数据挖掘：数据挖掘：数据挖掘：数据挖掘： 数

77、据挖掘是从大量的数据中抽取出潜在的、有价值的知识数据挖掘是从大量的数据中抽取出潜在的、有价值的知识数据挖掘是从大量的数据中抽取出潜在的、有价值的知识数据挖掘是从大量的数据中抽取出潜在的、有价值的知识（即模型或规则）的过程。对于入侵检测系统来说，也需要从（即模型或规则）的过程。对于入侵检测系统来说，也需要从（即模型或规则）的过程。对于入侵检测系统来说，也需要从（即模型或规则）的过程。对于入侵检测系统来说，也需要从大量的数据中提取入侵特征。大量的数据中提取入侵特征。大量的数据中提取入侵特征。大量的数据中提取入侵特征。 6 6、协议分析：协议分析：协议分析：协议分析： 协议分析是利用网络协议的高度规

78、则性快速探测攻击的协议分析是利用网络协议的高度规则性快速探测攻击的协议分析是利用网络协议的高度规则性快速探测攻击的协议分析是利用网络协议的高度规则性快速探测攻击的存在。协议分析技术对协议进行解码，减少了入侵检测系统需存在。协议分析技术对协议进行解码，减少了入侵检测系统需存在。协议分析技术对协议进行解码，减少了入侵检测系统需存在。协议分析技术对协议进行解码，减少了入侵检测系统需要分析的数据量。要分析的数据量。要分析的数据量。要分析的数据量。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 38382024/8/28 入侵检测系统模型介绍入侵检测系统模型介绍入侵检测系统模型介绍

79、入侵检测系统模型介绍1 1、分布式分布式分布式分布式 入侵入侵入侵入侵 检测检测检测检测 系统：系统：系统：系统： 11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 39392024/8/28 入侵检测系统模型介绍入侵检测系统模型介绍入侵检测系统模型介绍入侵检测系统模型介绍2 2、基于基于基于基于 移动移动移动移动 代理的代理的代理的代理的 入侵入侵入侵入侵 检测检测检测检测 系统：系统：系统：系统： 11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 40402024/8/28 入侵检测系统模型介绍入侵检测系统模型介绍入侵检测系统模型介绍入侵检测系统模型

80、介绍3 3、智能智能智能智能 入侵入侵入侵入侵 检测检测检测检测 系统：系统：系统：系统： 11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 41412024/8/28 入侵检测系统标准化入侵检测系统标准化入侵检测系统标准化入侵检测系统标准化1 1、IETFIETF的入侵检测工作组的入侵检测工作组的入侵检测工作组的入侵检测工作组IDWGIDWG： IDWGIDWG的工作目标是的工作目标是的工作目标是的工作目标是定义入侵检测系统中的数据格式、信息定义入侵检测系统中的数据格式、信息定义入侵检测系统中的数据格式、信息定义入侵检测系统中的数据格式、信息交换过程和交换协议交换过程和交

81、换协议交换过程和交换协议交换过程和交换协议。IDWGIDWG的文档定义了入侵检测系统中信的文档定义了入侵检测系统中信的文档定义了入侵检测系统中信的文档定义了入侵检测系统中信息交换需求息交换需求息交换需求息交换需求IDMERIDMER、信息交换的格式、信息交换的格式、信息交换的格式、信息交换的格式IDMEFIDMEF、入侵检测交换协、入侵检测交换协、入侵检测交换协、入侵检测交换协议议议议IDXPIDXP以及一种可以绕过防火墙的数据传输方法以及一种可以绕过防火墙的数据传输方法以及一种可以绕过防火墙的数据传输方法以及一种可以绕过防火墙的数据传输方法TUNNELTUNNEL。2 2、通用入侵检测框架通

82、用入侵检测框架通用入侵检测框架通用入侵检测框架CIDFCIDF： CIDFCIDF是一套规范，它定义了是一套规范，它定义了是一套规范，它定义了是一套规范，它定义了IDSIDS表达检测信息的标准语言表达检测信息的标准语言表达检测信息的标准语言表达检测信息的标准语言以及以及以及以及IDSIDS组件之间的通信协议。组件之间的通信协议。组件之间的通信协议。组件之间的通信协议。CIDFCIDF的文档由四个部分组成：的文档由四个部分组成：的文档由四个部分组成：的文档由四个部分组成：体系结构、规范语言、内部通信和程序接口体系结构、规范语言、内部通信和程序接口体系结构、规范语言、内部通信和程序接口体系结构、规

83、范语言、内部通信和程序接口。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 42422024/8/28（1 1）体系结构）体系结构）体系结构）体系结构n n事件产生器：事件产生器：事件产生器：事件产生器：负责从整个计算环境中获取事件，然后将事件负责从整个计算环境中获取事件，然后将事件负责从整个计算环境中获取事件，然后将事件负责从整个计算环境中获取事件，然后将事件转化为转化为转化为转化为GIDOGIDO标准格式提交给其它组件使用。标准格式提交给其它组件使用。标准格式提交给其它组件使用。标准格式提交给其它组件使用。n n事件分析器：事件分析器：事件分析器：事件分析器：事件分析

84、器从其他组件接收事件分析器从其他组件接收事件分析器从其他组件接收事件分析器从其他组件接收GIDOGIDO数据，并分数据，并分数据，并分数据，并分析它们，然后以一个新的析它们，然后以一个新的析它们，然后以一个新的析它们，然后以一个新的GIDOGIDO形式返回分析结果。形式返回分析结果。形式返回分析结果。形式返回分析结果。n n事件数据库：事件数据库：事件数据库：事件数据库：事件数据库负责事件数据库负责事件数据库负责事件数据库负责GIDOGIDO的存储，是存放各种中的存储，是存放各种中的存储，是存放各种中的存储，是存放各种中间和最终数据的地方的统称。间和最终数据的地方的统称。间和最终数据的地方的统

85、称。间和最终数据的地方的统称。n n响应单元：响应单元：响应单元：响应单元：响应单元是对分析结果作出反应的功能单元，它响应单元是对分析结果作出反应的功能单元，它响应单元是对分析结果作出反应的功能单元，它响应单元是对分析结果作出反应的功能单元，它可以是终止进程、切断连接、改变文件属性，也可以只是简可以是终止进程、切断连接、改变文件属性，也可以只是简可以是终止进程、切断连接、改变文件属性，也可以只是简可以是终止进程、切断连接、改变文件属性，也可以只是简单的报警和记录。单的报警和记录。单的报警和记录。单的报警和记录。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 4343202

86、4/8/28（2 2）规范语言）规范语言）规范语言）规范语言 规范语言定义了一个用来描述各种检测信息的标准语言，规范语言定义了一个用来描述各种检测信息的标准语言，规范语言定义了一个用来描述各种检测信息的标准语言，规范语言定义了一个用来描述各种检测信息的标准语言，定义了一种用于表示原始事件信息、分析结果和响应指令的语定义了一种用于表示原始事件信息、分析结果和响应指令的语定义了一种用于表示原始事件信息、分析结果和响应指令的语定义了一种用于表示原始事件信息、分析结果和响应指令的语言，称为言，称为言，称为言，称为CISLCISL。（3 3）内部通信）内部通信）内部通信）内部通信 内部通信定义了内部通信

87、定义了内部通信定义了内部通信定义了IDSIDS组件之间进行通信的标准协议。一种为组件之间进行通信的标准协议。一种为组件之间进行通信的标准协议。一种为组件之间进行通信的标准协议。一种为匹配服务法，另一种为消息层法。匹配服务为匹配服务法，另一种为消息层法。匹配服务为匹配服务法，另一种为消息层法。匹配服务为匹配服务法，另一种为消息层法。匹配服务为CIDFCIDF各组件之间各组件之间各组件之间各组件之间的相互识别、定位和信息共享提供了一个标准的统一机制。的相互识别、定位和信息共享提供了一个标准的统一机制。的相互识别、定位和信息共享提供了一个标准的统一机制。的相互识别、定位和信息共享提供了一个标准的统一

88、机制。（4 4）程序接口）程序接口）程序接口）程序接口 程序接口提供了一整套标准的应用程序接口。程序接口提供了一整套标准的应用程序接口。程序接口提供了一整套标准的应用程序接口。程序接口提供了一整套标准的应用程序接口。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 44442024/8/28 入侵检测系统入侵检测系统入侵检测系统入侵检测系统SnortSnort Snort Snort是一个免费的、开放源代码的基于网络的入侵检测系是一个免费的、开放源代码的基于网络的入侵检测系是一个免费的、开放源代码的基于网络的入侵检测系是一个免费的、开放源代码的基于网络的入侵检测系统，具有很

89、好的扩展性和可移植性。统，具有很好的扩展性和可移植性。统，具有很好的扩展性和可移植性。统，具有很好的扩展性和可移植性。1 1、 SnortSnort主要功能：主要功能：主要功能：主要功能： 数据包嗅探器、数据包记录器、网络入侵检测。数据包嗅探器、数据包记录器、网络入侵检测。数据包嗅探器、数据包记录器、网络入侵检测。数据包嗅探器、数据包记录器、网络入侵检测。2 2、 SnortSnort特点：特点：特点：特点：（1 1）SnortSnort是一个跨平台、轻量级的网络入侵检测软件。是一个跨平台、轻量级的网络入侵检测软件。是一个跨平台、轻量级的网络入侵检测软件。是一个跨平台、轻量级的网络入侵检测软件

90、。（2 2）SnortSnort采用基于规则的网络信息搜索机制，对数据包进行采用基于规则的网络信息搜索机制，对数据包进行采用基于规则的网络信息搜索机制，对数据包进行采用基于规则的网络信息搜索机制，对数据包进行内容的模式匹配，从中发现入侵和探测行为。内容的模式匹配，从中发现入侵和探测行为。内容的模式匹配，从中发现入侵和探测行为。内容的模式匹配，从中发现入侵和探测行为。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 45452024/8/28（3 3）SnortSnort具有实时数据流量分析和监测具有实时数据流量分析和监测具有实时数据流量分析和监测具有实时数据流量分析和监测I

91、PIP网络数据包的网络数据包的网络数据包的网络数据包的能力，能够进行协议分析，对内容进行搜索能力，能够进行协议分析，对内容进行搜索能力，能够进行协议分析，对内容进行搜索能力，能够进行协议分析，对内容进行搜索/ /匹配。它能够匹配。它能够匹配。它能够匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。它还可以检测各种不同的攻击方式，对攻击进行实时报警。它还可以检测各种不同的攻击方式，对攻击进行实时报警。它还可以检测各种不同的攻击方式，对攻击进行实时报警。它还可以用来截获网络中的数据包并记录数据包日志。用来截获网络中的数据包并记录数据包日志。用来截获网络中的数据包并记录数据包日志。用来截获网络

92、中的数据包并记录数据包日志。（4 4）SnortSnort的报警机制丰富。的报警机制丰富。的报警机制丰富。的报警机制丰富。（5 5）SnortSnort的日志格式既可以是二进制格式，也可以解码成的日志格式既可以是二进制格式，也可以解码成的日志格式既可以是二进制格式，也可以解码成的日志格式既可以是二进制格式，也可以解码成ASCIIASCII字符形式，便于用户检查。字符形式，便于用户检查。字符形式，便于用户检查。字符形式，便于用户检查。（6 6）SnortSnort使用一种简单的规则描述语言，能够很快对新的使用一种简单的规则描述语言，能够很快对新的使用一种简单的规则描述语言，能够很快对新的使用一种

93、简单的规则描述语言，能够很快对新的网络攻击作出反应。网络攻击作出反应。网络攻击作出反应。网络攻击作出反应。（7 7）SnortSnort支持插件。可以使用具有特定功能的报告、检测支持插件。可以使用具有特定功能的报告、检测支持插件。可以使用具有特定功能的报告、检测支持插件。可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。子系统插件对其功能进行扩展。子系统插件对其功能进行扩展。子系统插件对其功能进行扩展。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 46462024/8/283 3、SnortSnort组成组成组成组成：（1 1）数据包解码器。主要是对各种协议栈

94、上的数据包进行）数据包解码器。主要是对各种协议栈上的数据包进行）数据包解码器。主要是对各种协议栈上的数据包进行）数据包解码器。主要是对各种协议栈上的数据包进行解析、预处理，以便提交给检测引擎进行规则匹配。解析、预处理，以便提交给检测引擎进行规则匹配。解析、预处理，以便提交给检测引擎进行规则匹配。解析、预处理，以便提交给检测引擎进行规则匹配。（2 2）检测引擎。）检测引擎。）检测引擎。）检测引擎。SnortSnort用一个用一个用一个用一个二维链表二维链表二维链表二维链表存储检测规则，一维存储检测规则，一维存储检测规则，一维存储检测规则，一维称为规则头，另一维称为规则选项。规则匹配查找采用递归称

95、为规则头，另一维称为规则选项。规则匹配查找采用递归称为规则头，另一维称为规则选项。规则匹配查找采用递归称为规则头，另一维称为规则选项。规则匹配查找采用递归的方法，检测机制只针对当前已经建立的链表选项进行检测。的方法，检测机制只针对当前已经建立的链表选项进行检测。的方法，检测机制只针对当前已经建立的链表选项进行检测。的方法，检测机制只针对当前已经建立的链表选项进行检测。（3 3）日志子系统。）日志子系统。）日志子系统。）日志子系统。SnortSnort可供选择的日志形式有三种：可供选择的日志形式有三种：可供选择的日志形式有三种：可供选择的日志形式有三种：文本形式、二进制形式、关闭日志服务。文本形

96、式、二进制形式、关闭日志服务。文本形式、二进制形式、关闭日志服务。文本形式、二进制形式、关闭日志服务。（4 4）报警子系统。报警形式有五种：报警信息可发往系统）报警子系统。报警形式有五种：报警信息可发往系统）报警子系统。报警形式有五种：报警信息可发往系统）报警子系统。报警形式有五种：报警信息可发往系统日志；用文本形式记录到报警文件中；用二进制形式记录到日志；用文本形式记录到报警文件中；用二进制形式记录到日志；用文本形式记录到报警文件中；用二进制形式记录到日志；用文本形式记录到报警文件中；用二进制形式记录到报警文件；通过报警文件；通过报警文件；通过报警文件；通过SambaSamba发送发送发送发

97、送WinPopupWinPopup信息；关闭报警。信息；关闭报警。信息；关闭报警。信息；关闭报警。11.2 11.2 入侵检测技术入侵检测技术信息安全技术信息安全技术 11.3 VPN11.3 VPN技术技术一、一、一、一、VPNVPN技术概述技术概述技术概述技术概述二、二、二、二、VPNVPN的隧道技术的隧道技术的隧道技术的隧道技术三、三、三、三、VPNVPN的实现技术的实现技术的实现技术的实现技术四、四、四、四、VPNVPN的配置的配置的配置的配置信息安全技术信息安全技术 一、一、一、一、VPNVPN技术概述技术概述技术概述技术概述在国外，在国外，在国外，在国外，虚拟专用网即虚拟专用网即虚

98、拟专用网即虚拟专用网即VPN (Virtal Private Network)VPN (Virtal Private Network)已经迅速已经迅速已经迅速已经迅速发展起来，发展起来，发展起来，发展起来，20012001年全球年全球年全球年全球VPNVPN市场将达到市场将达到市场将达到市场将达到120120亿美元。在中国，亿美元。在中国，亿美元。在中国，亿美元。在中国，虽然人们对虽然人们对虽然人们对虽然人们对VPNVPN的安全性、服务质量（的安全性、服务质量（的安全性、服务质量（的安全性、服务质量（QoSQoS）等方面存有疑）等方面存有疑）等方面存有疑）等方面存有疑虑，但互联网和电子商务的快

99、速发展，中国的虑，但互联网和电子商务的快速发展，中国的虑，但互联网和电子商务的快速发展，中国的虑，但互联网和电子商务的快速发展，中国的VPNVPN市场将逐市场将逐市场将逐市场将逐渐热起来。渐热起来。渐热起来。渐热起来。对国内的用户来说，对国内的用户来说，对国内的用户来说，对国内的用户来说，VPNVPN最大的吸引力是价格。据估算，如最大的吸引力是价格。据估算，如最大的吸引力是价格。据估算，如最大的吸引力是价格。据估算，如果企业放弃租用专线而采用果企业放弃租用专线而采用果企业放弃租用专线而采用果企业放弃租用专线而采用VPNVPN，其整个网络的成本可节约，其整个网络的成本可节约，其整个网络的成本可节

100、约，其整个网络的成本可节约21%45%21%45%，而那些以电话拨号方式连网存取数据的公司，采，而那些以电话拨号方式连网存取数据的公司，采，而那些以电话拨号方式连网存取数据的公司，采，而那些以电话拨号方式连网存取数据的公司，采用用用用VPNVPN则可以节约通信成本则可以节约通信成本则可以节约通信成本则可以节约通信成本50%80%50%80%。11.3 VPN11.3 VPN技术技术信息安全技术信息安全技术 虚拟专用网，顾名思义不是真的专用网络，却能实现专用网虚拟专用网，顾名思义不是真的专用网络，却能实现专用网虚拟专用网，顾名思义不是真的专用网络，却能实现专用网虚拟专用网，顾名思义不是真的专用网

101、络，却能实现专用网络的功能。络的功能。络的功能。络的功能。虚拟专用网指的是依靠虚拟专用网指的是依靠虚拟专用网指的是依靠虚拟专用网指的是依靠ISPISP（因特网服务提供商）和其他（因特网服务提供商）和其他（因特网服务提供商）和其他（因特网服务提供商）和其他NSPNSP（网络服务提供商），在公用网络中建立专用的数据通信（网络服务提供商），在公用网络中建立专用的数据通信（网络服务提供商），在公用网络中建立专用的数据通信（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。网络的技术。网络的技术。网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网在虚拟专用网中，任意两个节点之间的

102、连接并没有传统专网在虚拟专用网中，任意两个节点之间的连接并没有传统专网在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态所需的端到端的物理链路，而是利用某种公众网的资源动态所需的端到端的物理链路，而是利用某种公众网的资源动态所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。组成的。组成的。组成的。11.3 VPN11.3 VPN技术技术信息安全技术信息安全技术 IETFIETF草案理解基于草案理解基于草案理解基于草案理解基于IPIP的的的的VPNVPN为：为：为：为：“ “使用使用使用使用IPIP机制仿真出一个私机制仿真出一个私机

103、制仿真出一个私机制仿真出一个私有的广域网有的广域网有的广域网有的广域网” ”，是，是，是，是通过私有的隧道技术在公共数据网络上仿通过私有的隧道技术在公共数据网络上仿通过私有的隧道技术在公共数据网络上仿通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术真一条点到点的专线技术真一条点到点的专线技术真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥。所谓虚拟，是指用户不再需要拥。所谓虚拟，是指用户不再需要拥。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用因特网公众数据网络的长有实际的长途数据线路，而是使用因特网公众数据网络的长有实际的长途数据线路，而是使用因特网公众数据网络的长

104、有实际的长途数据线路，而是使用因特网公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个途数据线路。所谓专用网络，是指用户可以为自己制定一个途数据线路。所谓专用网络，是指用户可以为自己制定一个途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。最符合自己需求的网络。最符合自己需求的网络。最符合自己需求的网络。由于由于由于由于VPNVPN是在因特网上临时建立的安全专用虚拟网络，用户是在因特网上临时建立的安全专用虚拟网络，用户是在因特网上临时建立的安全专用虚拟网络，用户是在因特网上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了

105、购买就节省了租用专线的费用，在运行的资金支出上，除了购买就节省了租用专线的费用，在运行的资金支出上，除了购买就节省了租用专线的费用，在运行的资金支出上，除了购买VPNVPN设备，企业所付出的仅仅是向企业所在地的设备，企业所付出的仅仅是向企业所在地的设备，企业所付出的仅仅是向企业所在地的设备，企业所付出的仅仅是向企业所在地的ISPISP支付一定支付一定支付一定支付一定的上网费用，也节省了长途电话费。这就是的上网费用，也节省了长途电话费。这就是的上网费用，也节省了长途电话费。这就是的上网费用，也节省了长途电话费。这就是VPNVPN价格低廉的价格低廉的价格低廉的价格低廉的原因。原因。原因。原因。11

106、.3 VPN11.3 VPN技术技术信息安全技术信息安全技术 VPNVPN是一条是一条是一条是一条穿过混乱的公用网络的安全、稳定的隧道穿过混乱的公用网络的安全、稳定的隧道穿过混乱的公用网络的安全、稳定的隧道穿过混乱的公用网络的安全、稳定的隧道。通过。通过。通过。通过对网络数据的封包和加密传输，在一个公用网络（通常是因对网络数据的封包和加密传输，在一个公用网络（通常是因对网络数据的封包和加密传输，在一个公用网络（通常是因对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个临时的、安全的连接，从而实现在公网上传特网）建立一个临时的、安全的连接，从而实现在公网上传特网）建立一个临时的、

107、安全的连接，从而实现在公网上传特网）建立一个临时的、安全的连接，从而实现在公网上传输私有数据，达到私有网络的安全级别。输私有数据，达到私有网络的安全级别。输私有数据，达到私有网络的安全级别。输私有数据，达到私有网络的安全级别。通常，通常，通常，通常，VPNVPN是是是是对企业内部网的扩展对企业内部网的扩展对企业内部网的扩展对企业内部网的扩展，通过它可以帮助远程用，通过它可以帮助远程用，通过它可以帮助远程用，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立户、公司分支机构、商业伙伴及供应商同公司的内部网建立户、公司分支机构、商业伙伴及供应商同公司的内部网建立户、公司分支机

108、构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。可信的安全连接，并保证数据的安全传输。可信的安全连接，并保证数据的安全传输。可信的安全连接，并保证数据的安全传输。VPNVPN可用于不断增长的移动用户的全球因特网接入，以实现可用于不断增长的移动用户的全球因特网接入，以实现可用于不断增长的移动用户的全球因特网接入，以实现可用于不断增长的移动用户的全球因特网接入，以实现安全连接；用于实现企业网站之间安全通信的虚拟专用线路；安全连接；用于实现企业网站之间安全通信的虚拟专用线路；安全连接；用于实现企业网站之间安全通信的虚拟专用线路；安全连接；用于实现企业网站之间安全通信的虚拟

109、专用线路；用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。用网。用网。用网。 11.3 VPN11.3 VPN技术技术信息安全技术信息安全技术 VPNVPN应能提供如下基本功能应能提供如下基本功能应能提供如下基本功能应能提供如下基本功能n n身份鉴别身份鉴别身份鉴别身份鉴别: : 鉴权、审计鉴权、审计鉴权、审计鉴权、审计n n地址管理：私有地址分配地址管理：私有地址分配地址管理：私有地址分配地址管理：私有地址分配n n数据加密：保

110、持用户数据的私密性数据加密：保持用户数据的私密性数据加密：保持用户数据的私密性数据加密：保持用户数据的私密性n n密钥管理：密钥管理：密钥管理：密钥管理：VPNVPN用户和服务器之间的密钥管理用户和服务器之间的密钥管理用户和服务器之间的密钥管理用户和服务器之间的密钥管理n n多协议支持：兼容性多协议支持：兼容性多协议支持：兼容性多协议支持：兼容性11.3 VPN11.3 VPN技术技术信息安全技术信息安全技术 VPNVPN的基本类型及应用的基本类型及应用的基本类型及应用的基本类型及应用 根据用户使用的情况和应用环境的不同，根据用户使用的情况和应用环境的不同，根据用户使用的情况和应用环境的不同，

111、根据用户使用的情况和应用环境的不同，VPNVPN主要分为三种主要分为三种主要分为三种主要分为三种典型的应用方式：典型的应用方式：典型的应用方式：典型的应用方式：n n远程接入远程接入远程接入远程接入VPNVPN（Access VPNAccess VPN）n n内联网内联网内联网内联网VPNVPN（Intranet VPNIntranet VPN）n n外联网外联网外联网外联网VPNVPN（Extranet VPNExtranet VPN）11.3 VPN11.3 VPN技术技术信息安全技术信息安全技术 远程接入远程接入远程接入远程接入VPNVPN（Access VPNAccess VPN）n

112、n也称为移动也称为移动也称为移动也称为移动VPNVPN，即为移动用户提供一种访问单位内部网，即为移动用户提供一种访问单位内部网，即为移动用户提供一种访问单位内部网，即为移动用户提供一种访问单位内部网络资源的方式络资源的方式络资源的方式络资源的方式n n主要应用于主要应用于主要应用于主要应用于单位内部人员在外访问单位内部网络资源，或单位内部人员在外访问单位内部网络资源，或单位内部人员在外访问单位内部网络资源，或单位内部人员在外访问单位内部网络资源，或为家庭办公的用户提供远程接入单位内部网络的服务为家庭办公的用户提供远程接入单位内部网络的服务为家庭办公的用户提供远程接入单位内部网络的服务为家庭办公

113、的用户提供远程接入单位内部网络的服务n n远程用户只要通过本地号码或免费号码拨入远程用户只要通过本地号码或免费号码拨入远程用户只要通过本地号码或免费号码拨入远程用户只要通过本地号码或免费号码拨入ISPISP，然后，然后，然后，然后ISPISP的的的的NASNAS再发起一条隧道连接连到用户的企业网。在这种情再发起一条隧道连接连到用户的企业网。在这种情再发起一条隧道连接连到用户的企业网。在这种情再发起一条隧道连接连到用户的企业网。在这种情况下，所建立的况下，所建立的况下，所建立的况下，所建立的VPNVPN连接对远端用户是透明的，构建连接对远端用户是透明的，构建连接对远端用户是透明的，构建连接对远端

114、用户是透明的，构建VPNVPN所需的协议及软件均由所需的协议及软件均由所需的协议及软件均由所需的协议及软件均由ISPISP负责管理和维护。负责管理和维护。负责管理和维护。负责管理和维护。n n目前远程接入目前远程接入目前远程接入目前远程接入VPNVPN使用非常广泛。使用非常广泛。使用非常广泛。使用非常广泛。11.3 VPN11.3 VPN技术技术信息安全技术信息安全技术 内联网内联网内联网内联网VPNVPN（Intranet VPNIntranet VPN）n n将位于不同地址位置的两个内部网络通过公共网络连接起将位于不同地址位置的两个内部网络通过公共网络连接起将位于不同地址位置的两个内部网络

115、通过公共网络连接起将位于不同地址位置的两个内部网络通过公共网络连接起来，形成一个逻辑上的局域网。来，形成一个逻辑上的局域网。来，形成一个逻辑上的局域网。来，形成一个逻辑上的局域网。n n需要分别在每一个局域网中设置一台需要分别在每一个局域网中设置一台需要分别在每一个局域网中设置一台需要分别在每一个局域网中设置一台VPNVPN网关网关网关网关，同时每一，同时每一，同时每一，同时每一个个个个VPNVPN网关都需要分配一个公用网关都需要分配一个公用网关都需要分配一个公用网关都需要分配一个公用IPIP地址，以实现地址，以实现地址，以实现地址，以实现VPNVPN网关网关网关网关的远程连接。的远程连接。的

116、远程连接。的远程连接。n n局域网中的所有主机都可以使用私有局域网中的所有主机都可以使用私有局域网中的所有主机都可以使用私有局域网中的所有主机都可以使用私有IPIP地址进行通信。地址进行通信。地址进行通信。地址进行通信。n n主要应用于主要应用于主要应用于主要应用于具有多个分支机构的组织进行局域网之间的互具有多个分支机构的组织进行局域网之间的互具有多个分支机构的组织进行局域网之间的互具有多个分支机构的组织进行局域网之间的互联联联联。11.3 VPN11.3 VPN技术技术信息安全技术信息安全技术 外联网外联网外联网外联网VPNVPN（Extranet VPNExtranet VPN）n n与内

117、联网相似，也是一种与内联网相似，也是一种与内联网相似，也是一种与内联网相似，也是一种网关对网关的结构网关对网关的结构网关对网关的结构网关对网关的结构，但位于不同，但位于不同，但位于不同，但位于不同内部网络的主机在功能上是不平等的。内部网络的主机在功能上是不平等的。内部网络的主机在功能上是不平等的。内部网络的主机在功能上是不平等的。n n是随着企业经营法纳公司的发展而出现的一种网络连接方是随着企业经营法纳公司的发展而出现的一种网络连接方是随着企业经营法纳公司的发展而出现的一种网络连接方是随着企业经营法纳公司的发展而出现的一种网络连接方式。现代企业需要在企业与银行、供应商、销售商及客户式。现代企业

118、需要在企业与银行、供应商、销售商及客户式。现代企业需要在企业与银行、供应商、销售商及客户式。现代企业需要在企业与银行、供应商、销售商及客户之间建立联系，但在这种联系过程中，企业需要根据不同之间建立联系，但在这种联系过程中，企业需要根据不同之间建立联系，但在这种联系过程中，企业需要根据不同之间建立联系，但在这种联系过程中，企业需要根据不同的用户身份进行授权访问，建立相应的身份认证机制和访的用户身份进行授权访问，建立相应的身份认证机制和访的用户身份进行授权访问，建立相应的身份认证机制和访的用户身份进行授权访问，建立相应的身份认证机制和访问控制机制。问控制机制。问控制机制。问控制机制。n n其实是对

119、内联网在应用功能上的延伸，是在内联网其实是对内联网在应用功能上的延伸，是在内联网其实是对内联网在应用功能上的延伸，是在内联网其实是对内联网在应用功能上的延伸，是在内联网VPNVPN的的的的基础上增加了身份认证、访问控制等安全机制。基础上增加了身份认证、访问控制等安全机制。基础上增加了身份认证、访问控制等安全机制。基础上增加了身份认证、访问控制等安全机制。11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 VPNVPN的实现技术的实现技术的实现技术的实现技术n n隧道技术隧道技术隧道技术隧道技术n n加密技术加密技术加密技术加密技术n n身份认证技术身份认证技术身份认证技术身份认证

120、技术n n密钥交换和管理密钥交换和管理密钥交换和管理密钥交换和管理11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 隧道技术隧道技术隧道技术隧道技术n n利用利用利用利用InternetInternet等公共网络已有的数据通信方式，在隧道的等公共网络已有的数据通信方式，在隧道的等公共网络已有的数据通信方式，在隧道的等公共网络已有的数据通信方式，在隧道的一端将数据进行封装，通过已建立的隧道进行传输。在隧一端将数据进行封装，通过已建立的隧道进行传输。在隧一端将数据进行封装，通过已建立的隧道进行传输。在隧一端将数据进行封装，通过已建立的隧道进行传输。在隧道的另一端进行解封装，将得到的

121、原始数据交给对端设备道的另一端进行解封装，将得到的原始数据交给对端设备道的另一端进行解封装，将得到的原始数据交给对端设备道的另一端进行解封装，将得到的原始数据交给对端设备n n技术实质：用一种技术实质：用一种技术实质：用一种技术实质：用一种网络层协议网络层协议网络层协议网络层协议来传输另一种网络层协议来传输另一种网络层协议来传输另一种网络层协议来传输另一种网络层协议n n隧道的组成三要素：隧道开通器、有路由能力的公用网络、隧道的组成三要素：隧道开通器、有路由能力的公用网络、隧道的组成三要素：隧道开通器、有路由能力的公用网络、隧道的组成三要素：隧道开通器、有路由能力的公用网络、隧道终止器隧道终止

122、器隧道终止器隧道终止器n n隧道技术涉及的协议：隧道技术涉及的协议：隧道技术涉及的协议：隧道技术涉及的协议：l l隧道协议隧道协议隧道协议隧道协议l l隧道协议承载协议（提供隧道传输的底层协议）隧道协议承载协议（提供隧道传输的底层协议）隧道协议承载协议（提供隧道传输的底层协议）隧道协议承载协议（提供隧道传输的底层协议）l l被隧道协议所承载的协议（隧道传输的高层协议）被隧道协议所承载的协议（隧道传输的高层协议）被隧道协议所承载的协议（隧道传输的高层协议）被隧道协议所承载的协议（隧道传输的高层协议）11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 隧道技术隧道技术隧道技术隧道技术

123、n n从从从从VPN VPN 应用的角度来看，隧道提供的是应用的角度来看，隧道提供的是应用的角度来看，隧道提供的是应用的角度来看，隧道提供的是IP IP 层以下的功能层以下的功能层以下的功能层以下的功能n n从公网传输的角度来看，隧道功能是从公网传输的角度来看，隧道功能是从公网传输的角度来看，隧道功能是从公网传输的角度来看，隧道功能是IP IP 层以上提供的一种层以上提供的一种层以上提供的一种层以上提供的一种应用服务应用服务应用服务应用服务n n隧道协议在这个协议体系中起着承上启下的作用隧道协议在这个协议体系中起着承上启下的作用隧道协议在这个协议体系中起着承上启下的作用隧道协议在这个协议体系中

124、起着承上启下的作用l l作为作为作为作为VPN IPVPN IP层的底层，将层的底层，将层的底层，将层的底层，将VPN IPVPN IP分组进行安全封装分组进行安全封装分组进行安全封装分组进行安全封装l l作为公用作为公用作为公用作为公用 IP IP 网的一种特殊应用形式，将封装的网的一种特殊应用形式，将封装的网的一种特殊应用形式，将封装的网的一种特殊应用形式，将封装的VPN VPN 分分分分组利用公网内的组利用公网内的组利用公网内的组利用公网内的IP IP 协议栈进行传输协议栈进行传输协议栈进行传输协议栈进行传输n n按数据封装时，在按数据封装时，在按数据封装时，在按数据封装时，在OSIOS

125、I参考模型中位置的不同分为参考模型中位置的不同分为参考模型中位置的不同分为参考模型中位置的不同分为l l第二层隧道技术：第二层隧道技术：第二层隧道技术：第二层隧道技术：L2FL2F，PPTPPPTP，L2TPL2TPl l第三层隧道技术：第三层隧道技术：第三层隧道技术：第三层隧道技术：IPSecIPSec，GREGRE11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 加密技术加密技术加密技术加密技术n nIPSecIPSec通过通过通过通过ISAKMP/IKE/Oakley ISAKMP/IKE/Oakley 协商确定几种可选的数据协商确定几种可选的数据协商确定几种可选的数据协

126、商确定几种可选的数据加密算法，如加密算法，如加密算法，如加密算法，如DES DES 、3DES3DES等。等。等。等。DESDES密钥长度为密钥长度为密钥长度为密钥长度为5656位，容位，容位，容位，容易被破译，易被破译，易被破译，易被破译，3DES3DES使用三重加密增加了安全性。使用三重加密增加了安全性。使用三重加密增加了安全性。使用三重加密增加了安全性。n n当然国外还有更好的加密算法，但国外禁止出口高位加密当然国外还有更好的加密算法，但国外禁止出口高位加密当然国外还有更好的加密算法，但国外禁止出口高位加密当然国外还有更好的加密算法，但国外禁止出口高位加密算法。基于同样理由，国内也禁止重

127、要部门使用国外算法。算法。基于同样理由，国内也禁止重要部门使用国外算法。算法。基于同样理由，国内也禁止重要部门使用国外算法。算法。基于同样理由，国内也禁止重要部门使用国外算法。国内算法不对外公开，被破解的可能性极小。国内算法不对外公开，被破解的可能性极小。国内算法不对外公开，被破解的可能性极小。国内算法不对外公开，被破解的可能性极小。11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 认证技术认证技术认证技术认证技术n n防止数据的伪造和被篡改，防止数据的伪造和被篡改，防止数据的伪造和被篡改，防止数据的伪造和被篡改，n n它采用一种称为它采用一种称为它采用一种称为它采用一种称为“

128、 “摘要摘要摘要摘要” ”的技术。的技术。的技术。的技术。“ “摘要摘要摘要摘要” ”技术主要采用技术主要采用技术主要采用技术主要采用HashHash函数将一段长的报文通过函数变换，映射为一段短的报文函数将一段长的报文通过函数变换，映射为一段短的报文函数将一段长的报文通过函数变换，映射为一段短的报文函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于即摘要。由于即摘要。由于即摘要。由于Hash Hash 函数的特性，两个不同的报文具有相函数的特性，两个不同的报文具有相函数的特性，两个不同的报文具有相函数的特性，两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在同的摘要几乎不

129、可能。该特性使得摘要技术在同的摘要几乎不可能。该特性使得摘要技术在同的摘要几乎不可能。该特性使得摘要技术在VPN VPN 中有两中有两中有两中有两个用途：验证数据的完整性、用户认证。个用途：验证数据的完整性、用户认证。个用途：验证数据的完整性、用户认证。个用途：验证数据的完整性、用户认证。11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 密钥交换和管理密钥交换和管理密钥交换和管理密钥交换和管理n nVPN VPN 中密钥的分发与管理非常重要。密钥的分发有两种方中密钥的分发与管理非常重要。密钥的分发有两种方中密钥的分发与管理非常重要。密钥的分发有两种方中密钥的分发与管理非常重要。

130、密钥的分发有两种方法：一种是通过法：一种是通过法：一种是通过法：一种是通过手工配置的方式手工配置的方式手工配置的方式手工配置的方式；另一种采用；另一种采用；另一种采用；另一种采用密钥交换协密钥交换协密钥交换协密钥交换协议动态分发议动态分发议动态分发议动态分发。手工配置的方法由于密钥更新困难，只适合。手工配置的方法由于密钥更新困难，只适合。手工配置的方法由于密钥更新困难，只适合。手工配置的方法由于密钥更新困难，只适合于简单网络的情况。密钥交换协议采用软件方式动态生成于简单网络的情况。密钥交换协议采用软件方式动态生成于简单网络的情况。密钥交换协议采用软件方式动态生成于简单网络的情况。密钥交换协议采

131、用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显密钥，适合于复杂网络的情况且密钥可快速更新，可以显密钥，适合于复杂网络的情况且密钥可快速更新，可以显密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高著提高著提高著提高VPN VPN 的安全性。的安全性。的安全性。的安全性。n n目前主要的密钥交换与管理标准有目前主要的密钥交换与管理标准有目前主要的密钥交换与管理标准有目前主要的密钥交换与管理标准有IKE IKE （互联网密钥交换）（互联网密钥交换）（互联网密钥交换）（互联网密钥交换）、SKIP SKIP （互联网简单密钥管理）和（互联网简单密钥管理）和（互联网简单密钥管

132、理）和（互联网简单密钥管理）和OakleyOakley。11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 VPNVPN的应用特点的应用特点的应用特点的应用特点n n非常明显的应用优势，其产品引起企业用户的普遍关注非常明显的应用优势，其产品引起企业用户的普遍关注非常明显的应用优势，其产品引起企业用户的普遍关注非常明显的应用优势，其产品引起企业用户的普遍关注n n软件平台软件平台软件平台软件平台VPNVPN，专用硬件平台，专用硬件平台，专用硬件平台，专用硬件平台VPNVPN及集成到网络设备的及集成到网络设备的及集成到网络设备的及集成到网络设备的VPNVPN不断推出，技术推陈出新，满

133、足不同用户应用需求不断推出，技术推陈出新，满足不同用户应用需求不断推出，技术推陈出新，满足不同用户应用需求不断推出，技术推陈出新，满足不同用户应用需求n nVPNVPN的应用优势的应用优势的应用优势的应用优势l l节约成本节约成本节约成本节约成本l l提供了安全保障提供了安全保障提供了安全保障提供了安全保障l l易于扩展易于扩展易于扩展易于扩展n nVPNVPN的不足的不足的不足的不足l l安全问题（安全边界的扩展、密钥管理、身份认证）安全问题（安全边界的扩展、密钥管理、身份认证）安全问题（安全边界的扩展、密钥管理、身份认证）安全问题（安全边界的扩展、密钥管理、身份认证）l l解决方案（完善的

134、加密和认证机制并配合防火墙）解决方案（完善的加密和认证机制并配合防火墙）解决方案（完善的加密和认证机制并配合防火墙）解决方案（完善的加密和认证机制并配合防火墙）11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 二、二、二、二、VPNVPN的隧道技术的隧道技术的隧道技术的隧道技术隧道技术是隧道技术是隧道技术是隧道技术是VPNVPN技术的核心，加密和身份认证等安全技术都技术的核心，加密和身份认证等安全技术都技术的核心，加密和身份认证等安全技术都技术的核心，加密和身份认证等安全技术都需要与隧道技术相结合来实现。需要与隧道技术相结合来实现。需要与隧道技术相结合来实现。需要与隧道技术相结

135、合来实现。目前主流的隧道协议包括了在数据链路层的目前主流的隧道协议包括了在数据链路层的目前主流的隧道协议包括了在数据链路层的目前主流的隧道协议包括了在数据链路层的PPTPPPTP、L2TPL2TP协协协协议；在网络层的议；在网络层的议；在网络层的议；在网络层的IPSecIPSec协议；在协议；在协议；在协议；在TCPTCP层的层的层的层的SOCKs v5SOCKs v5协议；在协议；在协议；在协议；在会话层的会话层的会话层的会话层的SSLSSL协议。协议。协议。协议。11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 1 1、PPTPPPTP协议协议协议协议Point to Po

136、int Tunneling ProtocolPoint to Point Tunneling Protocol，点到点隧道协议，点到点隧道协议，点到点隧道协议，点到点隧道协议MicrosoftMicrosoft、AscendAscend、3Com 3Com 在在在在PPPPPP协议的基础上开发协议的基础上开发协议的基础上开发协议的基础上开发加密认证：加密认证：加密认证：加密认证：RC4RC4，PAP/CHAPPAP/CHAP隧道维护：使用隧道维护：使用隧道维护：使用隧道维护：使用TCPTCP协议进行隧道维护（建立、拆除）协议进行隧道维护（建立、拆除）协议进行隧道维护（建立、拆除）协议进行隧道维

137、护（建立、拆除）封装形式：封装形式：封装形式：封装形式：n nPPP PPP 帧可承载上层帧可承载上层帧可承载上层帧可承载上层VPN VPN 中多种类型的网络层协议，提供中多种类型的网络层协议，提供中多种类型的网络层协议，提供中多种类型的网络层协议，提供加密和压缩功能加密和压缩功能加密和压缩功能加密和压缩功能n n使用通用路由封装协议（使用通用路由封装协议（使用通用路由封装协议（使用通用路由封装协议（GREGRE）封装）封装）封装）封装PPP PPP 帧帧帧帧n nGRE GRE 封装在封装在封装在封装在IP IP 分组中传输分组中传输分组中传输分组中传输11.3 VPN11.3 VPN技术技

138、术网络安全技术网络安全技术 1 1、PPTPPPTP协议协议协议协议PPTP PPTP 是是是是PPP PPP 协议的一种扩展协议的一种扩展协议的一种扩展协议的一种扩展n n用于建立用于建立用于建立用于建立Access VPNAccess VPN工作过程工作过程工作过程工作过程n n远程用户通过某种方式连接到远程用户通过某种方式连接到远程用户通过某种方式连接到远程用户通过某种方式连接到InternetInternetl l用户可能采用用户可能采用用户可能采用用户可能采用PPP PPP 协议通过本地协议通过本地协议通过本地协议通过本地ISPISP上网上网上网上网l l远程用户希望访问某远程用户希

139、望访问某远程用户希望访问某远程用户希望访问某VPN VPN 中的资源中的资源中的资源中的资源n n通过二次拨号，建立到通过二次拨号，建立到通过二次拨号，建立到通过二次拨号，建立到VPN PPTP VPN PPTP 服务器的服务器的服务器的服务器的PPPPPP连接连接连接连接l l即即即即PPTP PPTP 隧道，在隧道，在隧道，在隧道，在IP IP 公网上建立的一个公网上建立的一个公网上建立的一个公网上建立的一个PPP PPP 连接连接连接连接l lPPTP PPTP 隧道建立类似隧道建立类似隧道建立类似隧道建立类似PPP PPP 连接的建立，需验证用户身份连接的建立，需验证用户身份连接的建立

140、，需验证用户身份连接的建立，需验证用户身份n n隧道建立后，远程用户访问隧道建立后，远程用户访问隧道建立后，远程用户访问隧道建立后，远程用户访问VPN VPN 有安全保障有安全保障有安全保障有安全保障 11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 2 2、L2FL2F协议协议协议协议Layer 2 ForwardingLayer 2 Forwarding，第二层转发协议，第二层转发协议，第二层转发协议，第二层转发协议CiscoCisco可以在多种媒质如可以在多种媒质如可以在多种媒质如可以在多种媒质如 ATMATM、帧中继、帧中继、帧中继、帧中继、IP IP 网上建立多协议的

141、安全网上建立多协议的安全网上建立多协议的安全网上建立多协议的安全VPN VPN 通信方式通信方式通信方式通信方式隧道的配置、建立对用户是完全透明的隧道的配置、建立对用户是完全透明的隧道的配置、建立对用户是完全透明的隧道的配置、建立对用户是完全透明的主要缺陷：没有把标准的加密方法包括在协议的定义中主要缺陷：没有把标准的加密方法包括在协议的定义中主要缺陷：没有把标准的加密方法包括在协议的定义中主要缺陷：没有把标准的加密方法包括在协议的定义中11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 3 3、L2TPL2TP协议协议协议协议Layer 2 Tunneling ProtocolL

142、ayer 2 Tunneling Protocol，第二层，第二层，第二层，第二层 隧道协议隧道协议隧道协议隧道协议MSMS，AscendAscend，CiscoCisco，3COM3COM，BayBay以以以以 PPTPPPTP和和和和L2FL2F为基础，结合了两者的特点为基础，结合了两者的特点为基础，结合了两者的特点为基础，结合了两者的特点n n隧道控制沿用隧道控制沿用隧道控制沿用隧道控制沿用PPTPPPTP的思想，使用的思想，使用的思想，使用的思想，使用UDP UDP 协议和一系列协议和一系列协议和一系列协议和一系列L2TP L2TP 控制报文进行隧道维护控制报文进行隧道维护控制报文进行

143、隧道维护控制报文进行隧道维护n n认证过程沿袭了认证过程沿袭了认证过程沿袭了认证过程沿袭了L2FL2F协议协议协议协议n n模块化，采用独立的模块化，采用独立的模块化，采用独立的模块化，采用独立的L2TPL2TP报头记录控制信息报头记录控制信息报头记录控制信息报头记录控制信息n n传输上使用传输上使用传输上使用传输上使用UDPUDP来封装和传输隧道中的来封装和传输隧道中的来封装和传输隧道中的来封装和传输隧道中的PPP PPP 帧帧帧帧支持承载多种网络协议支持承载多种网络协议支持承载多种网络协议支持承载多种网络协议11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 3 3、L2TP

144、L2TP协议协议协议协议L2TP L2TP 的通信建立过程的通信建立过程的通信建立过程的通信建立过程n n用户通过公共电话网或用户通过公共电话网或用户通过公共电话网或用户通过公共电话网或ISDNISDN拨号至本地的接入服务器拨号至本地的接入服务器拨号至本地的接入服务器拨号至本地的接入服务器LAC(L2TP Access Concentrator) LAC(L2TP Access Concentrator) ，LACLAC接收呼叫并进行接收呼叫并进行接收呼叫并进行接收呼叫并进行基本的访问控制基本的访问控制基本的访问控制基本的访问控制n n当用户被确认为合法企业用户后，当用户被确认为合法企业用户后

145、，当用户被确认为合法企业用户后，当用户被确认为合法企业用户后，LACLAC就会建立一个通向就会建立一个通向就会建立一个通向就会建立一个通向LNS(L2TP Network Server)LNS(L2TP Network Server)的拨号的拨号的拨号的拨号VPNVPN隧道隧道隧道隧道n n通过企业内部的安全服务器鉴定拨号用户通过企业内部的安全服务器鉴定拨号用户通过企业内部的安全服务器鉴定拨号用户通过企业内部的安全服务器鉴定拨号用户n nLNSLNS与远程用户交换与远程用户交换与远程用户交换与远程用户交换PPPPPP信息，分配信息，分配信息，分配信息，分配IPIP地址地址地址地址n n端到端的

146、数据从拨号用户传到端到端的数据从拨号用户传到端到端的数据从拨号用户传到端到端的数据从拨号用户传到LNSLNS11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 PPTP PPTP 与与与与L2TPL2TP的对比的对比的对比的对比PPTPPPTP是主动隧道模式是主动隧道模式是主动隧道模式是主动隧道模式n n拨号用户有权在初始拨号用户有权在初始拨号用户有权在初始拨号用户有权在初始PPPPPP协商之后选择协商之后选择协商之后选择协商之后选择PPTPPPTP隧道的目的端。隧道的目的端。隧道的目的端。隧道的目的端。其隧道对于其隧道对于其隧道对于其隧道对于ISPISP来说是透明的，来说是透明

147、的，来说是透明的，来说是透明的，ISPISP不需保留不需保留不需保留不需保留PPTPPPTP服务器，服务器，服务器，服务器，只需象传送其他只需象传送其他只需象传送其他只需象传送其他IPIP数据一样传送数据一样传送数据一样传送数据一样传送PPTPPPTP数据。数据。数据。数据。n nPPTPPPTP的模型是一个单独的端用户，所建立的的模型是一个单独的端用户，所建立的的模型是一个单独的端用户，所建立的的模型是一个单独的端用户，所建立的VPNVPN结构是结构是结构是结构是端到端隧道（由客户端到端到端隧道（由客户端到端到端隧道（由客户端到端到端隧道（由客户端到PPTPPPTP服务器）服务器）服务器）服

148、务器）L2TPL2TP是被动隧道模式是被动隧道模式是被动隧道模式是被动隧道模式n nISPISP控制控制控制控制PPPPPP会话的终节点。会话的终节点。会话的终节点。会话的终节点。n nL2TPL2TP模型有大量已配置的用户，使得模型有大量已配置的用户，使得模型有大量已配置的用户，使得模型有大量已配置的用户，使得VPNVPN很像普通的拨很像普通的拨很像普通的拨很像普通的拨号访问系统。其隧道始于号访问系统。其隧道始于号访问系统。其隧道始于号访问系统。其隧道始于NASNAS，止于，止于，止于，止于L2TPL2TP服务器。服务器。服务器。服务器。11.3 VPN11.3 VPN技术技术网络安全技术网

149、络安全技术 第二层隧道协议的不足第二层隧道协议的不足第二层隧道协议的不足第二层隧道协议的不足虽然简单易行，但是可扩展性不好虽然简单易行，但是可扩展性不好虽然简单易行，但是可扩展性不好虽然简单易行，但是可扩展性不好没有提供内在的安全机制没有提供内在的安全机制没有提供内在的安全机制没有提供内在的安全机制n n不能满足企业和其外部客户及供应商之间会话的保密性需不能满足企业和其外部客户及供应商之间会话的保密性需不能满足企业和其外部客户及供应商之间会话的保密性需不能满足企业和其外部客户及供应商之间会话的保密性需求。求。求。求。n n不能支持用来连接企业内部网和外部客户的企业外部网不能支持用来连接企业内部

150、网和外部客户的企业外部网不能支持用来连接企业内部网和外部客户的企业外部网不能支持用来连接企业内部网和外部客户的企业外部网需要对隧道进行加密和相应的密钥管理机制需要对隧道进行加密和相应的密钥管理机制需要对隧道进行加密和相应的密钥管理机制需要对隧道进行加密和相应的密钥管理机制11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 4 4、GREGRE协议协议协议协议Generic Routing EncapsulationGeneric Routing Encapsulation，通用路由封装协议，通用路由封装协议，通用路由封装协议，通用路由封装协议定义了用任意一种协议（如定义了用任意一

151、种协议（如定义了用任意一种协议（如定义了用任意一种协议（如IPIP）封装另一种协议的一般方法）封装另一种协议的一般方法）封装另一种协议的一般方法）封装另一种协议的一般方法n n支持任何支持任何支持任何支持任何X over Y X over Y 形式的封装，形式的封装，形式的封装，形式的封装，IP/IPX/Apple-TalkIP/IPX/Apple-Talk n n支持多种路由协议支持多种路由协议支持多种路由协议支持多种路由协议RIP/OSPF/IGRP/EGRPRIP/OSPF/IGRP/EGRPn nGREGRE隧道通常建立在路由器之间，隧道端点由其隧道通常建立在路由器之间，隧道端点由其隧

152、道通常建立在路由器之间，隧道端点由其隧道通常建立在路由器之间，隧道端点由其IPIP地址定地址定地址定地址定义义义义n n隧道必须手工配置，每次隧道终点改变，都需要重新配置隧道必须手工配置，每次隧道终点改变，都需要重新配置隧道必须手工配置，每次隧道终点改变，都需要重新配置隧道必须手工配置，每次隧道终点改变，都需要重新配置GREGRE只提供数据包的封装功能，没有加密功能只提供数据包的封装功能，没有加密功能只提供数据包的封装功能，没有加密功能只提供数据包的封装功能，没有加密功能11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 5 5、IPSecIPSec协议协议协议协议利用利用利用利

153、用IPSecIPSec（ESP/AHESP/AH）的隧道模式构成）的隧道模式构成）的隧道模式构成）的隧道模式构成VPN VPN 隧道隧道隧道隧道n n在不安全的传输通路上，保护整个在不安全的传输通路上，保护整个在不安全的传输通路上，保护整个在不安全的传输通路上，保护整个IP IP 分组分组分组分组n n安全操作（加密安全操作（加密安全操作（加密安全操作（加密/ /认证）在网关设备上完成认证）在网关设备上完成认证）在网关设备上完成认证）在网关设备上完成n n原始原始原始原始IP IP 分组封装在新的分组封装在新的分组封装在新的分组封装在新的IP IP 分组中保护和传输分组中保护和传输分组中保护和

154、传输分组中保护和传输11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 几种隧道技术的比较几种隧道技术的比较几种隧道技术的比较几种隧道技术的比较应用范围应用范围应用范围应用范围n nPPTPPPTP、L2TPL2TP：主要用在远程客户机访问局域网方案中；：主要用在远程客户机访问局域网方案中；：主要用在远程客户机访问局域网方案中；：主要用在远程客户机访问局域网方案中；n nIPSecIPSec主要用在网关到网关或主机方案中，不支持远程拨主要用在网关到网关或主机方案中，不支持远程拨主要用在网关到网关或主机方案中，不支持远程拨主要用在网关到网关或主机方案中，不支持远程拨号访问。号访问。

155、号访问。号访问。安全性安全性安全性安全性n nPPTPPPTP提供认证和加密功能，但安全强度低提供认证和加密功能，但安全强度低提供认证和加密功能，但安全强度低提供认证和加密功能，但安全强度低n nL2TPL2TP提供认证和对控制报文的加密，但不能对传输中的提供认证和对控制报文的加密，但不能对传输中的提供认证和对控制报文的加密，但不能对传输中的提供认证和对控制报文的加密，但不能对传输中的数据加密。数据加密。数据加密。数据加密。n nIPSecIPSec提供了完整的安全解决方案。提供了完整的安全解决方案。提供了完整的安全解决方案。提供了完整的安全解决方案。对多协议的支持：对多协议的支持：对多协议的

156、支持：对多协议的支持： IPSecIPSec不支持不支持不支持不支持11.3 VPN11.3 VPN技术技术网络安全技术网络安全技术 三、三、三、三、VPNVPN实现技术实现技术实现技术实现技术MPLS VPNMPLS VPNn nMultiprotocol Label SwitchingMultiprotocol Label Switching，多协议标记交换，多协议标记交换，多协议标记交换，多协议标记交换n n一种基于一种基于一种基于一种基于MPLSMPLS技术的技术的技术的技术的VPNVPN，在网络路由和交换设备上应，在网络路由和交换设备上应，在网络路由和交换设备上应，在网络路由和交换设

157、备上应用用用用MPLSMPLS技术，简化核心路由器的路由选择方式技术，简化核心路由器的路由选择方式技术，简化核心路由器的路由选择方式技术，简化核心路由器的路由选择方式n n可用来构造宽带的企业内部网和企业外部网满足多种灵活可用来构造宽带的企业内部网和企业外部网满足多种灵活可用来构造宽带的企业内部网和企业外部网满足多种灵活可用来构造宽带的企业内部网和企业外部网满足多种灵活的业务需求的业务需求的业务需求的业务需求SSL VPNSSL VPNn n一种借助一种借助一种借助一种借助SSLSSL协议实现安全协议实现安全协议实现安全协议实现安全VPNVPN的远程访问解决方案的远程访问解决方案的远程访问解决方案的远程访问解决方案n nSSL VPNSSL VPN以以以以HTTPHTTP为基础为基础为基础为基础n n属于应用层属于应用层属于应用层属于应用层VPNVPN技术技术技术技术11.3 VPN11.3 VPN技术技术