第4章 网络安全防护技术

第4章网络安全防护技术

作者：孟显勇

清华大学出版社电子商务安全管理与支付1.防火墙的定义防火墙的最初得名是古时候为防止火灾蔓延在房屋之间砌起的一道墙，而网络系统中的防火墙是内部网络与外部网络之间的安全隔离系统，用来阻挡外部网络对内部网络的威胁与入侵。防火墙由计算机软件和硬件组成，主要负责内部网络和外部网络之间的安全通信，可以限制外部网络用户对内部网络的访问，以及可以限制内部用户访问外部网络的行为和权限。防火墙的实质是建立在内部网络与外部网络之间的安全防御系统，主要具有以下属性：·进出网络的数据必须经过防火墙，防火墙设置在需要安全防护的网络间和安全域间。·符合防火墙安全防护规则的数据才能通过防火墙。·防火墙系统具有抵抗各种网络攻击的能力。·防火墙位于两个或多个网络或安全域之间，是实施访问控制策略的一组软件和硬件集合。

4.1防火墙技术

4.1.1防火墙概述2.防火墙的位置4.1防火墙技术

4.1.1防火墙概述防火墙在网络中的常见位置根据不同的分类标准，防火墙可以分为多种类型，其中主要包括：包过滤防火墙、代理服务防火墙、混合型防火墙、状态检测防火墙。4.1防火墙技术

4.1.2防火墙的基本类型1.包过滤防火墙包过滤是防火墙的核心功能之一，防火墙的包过滤标准依赖于防火墙的安全策略，通常防火墙的安全策略由网络管理员预置在防火墙设备的ACL（AccessControlList，访问控制列表）中，防火墙根据ACL规则对网络数据流进行过滤，阻止不符合安全策略的通信。（1）包过滤原理网络通信的数据包分为报头和数据两个部分。报头的内容主要包括封装协议、IP源地址、IP目标地址、ICMP消息类型、TCP和UDP目标端口、TCP报头中的ACK位等。而数据的内容是各种网络应用的通信数据。网络通信系统中的路由器就是根据数据包的IP目标地址选择合适的路由，将数据包发送给目标机器。4.1防火墙技术

4.1.2防火墙的基本类型（2）包过滤防火墙的优点包过滤防火墙具有操作简单、运行高效、易于安装和使用等特点，通常包过滤防火墙内嵌在路由器中对通信数据包实施过滤。路由器是网络互联的关键节点设备，因此在路由器中内嵌包过滤功能几乎不需要任何额外的费用。包过滤防火墙的优点主要体现在下面几个方面：·包过滤防火墙不会影响到应用程序的正常运行。·包过滤防火墙可以保护整个内网安全。·包过滤防火墙对于用户是透明的。·包过滤防火墙具有良好的网络性能。4.1防火墙技术

4.1.2防火墙的基本类型（3）包过滤防火墙的缺点包过滤防火墙主要缺点是安全性较差、功能相对单一以及不能防止地址欺骗等。·包过滤防火墙的安全性较差。·包过滤防火墙对个别协议并不支持，例如UDP协议、RPC协议，并且包过滤防火墙缺乏审计和报警机制，另外，无法提供完整的安全策略服务，例如，数据包的报头信息只能说明数据包的来源主机，而不能确定用户、端口或应用程序。·包过滤防火墙不能防止地址欺骗。4.1防火墙技术

4.1.2防火墙的基本类型2.代理服务型防火墙（1）代理服务型防火墙概述代理服务型防火墙是利用代理服务器将内部网络和外部网络分开，在数据通过代理服务器时利用防火墙对进出网络的数据进行安全检测，并阻止各类网络攻击。代理服务器基于应用层实现代理服务，访问外网的用户首先向代理服务器发出连接请求，代理服务器对其进行验证，然后将验证后的请求转发给外网服务器，外网服务器将应答交给代理服务器，经代理服务器检测后发送给请求用户。4.1防火墙技术

4.1.2防火墙的基本类型（2）应用层网关防火墙应用层网关防火墙是典型的代理服务型防火墙，运行于网络协议的应用层，实现数据包的过滤和转发功能。应用层网关防火墙针对于特定的网络应用服务协议采用指定的数据过滤逻辑，并在过滤的同时对数据包进行必要的分析、登记和统计，形成检测报告。应用层网关防火墙的核心是代理服务器，其主要功能是基于网络协议的应用层实现协议的过滤和转发。外部网络用户访问内部网络时，应用层网关防火墙首先会对数据包进行过滤，同时对数据包进行必要的分析、登记和统计，并形成检查报告。4.1防火墙技术

4.1.2防火墙的基本类型（3）电路级网关防火墙电路级网关防火墙，也称TCP通道防火墙。在电路级网关防火墙中，数据包被提交给用户的应用层进行处理，电路级网关用来在两个通信终端之间转换数据包。电路级网关防火墙与包过滤防火墙都是依靠特定的逻辑来判断是否允许数据包通过，但是两者之间存在明显的区别，即包过滤防火墙允许内、外网之间的计算机直接建立连接，而电路级网关防火墙则禁止它们直接建立端到端的TCP连接，而是要以防火墙为中转设备分别建立连接。4.1防火墙技术

4.1.2防火墙的基本类型（4）代理服务型防火墙的优点·易于配置和管理。·能生成各项记录。·提供其他安全服务。4.1防火墙技术

4.1.2防火墙的基本类型（5）代理服务型防火墙的缺点·速度相对较低。·需要用户配置和管理。·无法控制底层协议。4.1防火墙技术

4.1.2防火墙的基本类型3.复合型防火墙复合型防火墙也称自适应代理防火墙，是将包过滤防护墙的高效率和代理服务型防火墙的高安全性等优点结合起来，在保证安全性的前提下，提高了防火墙系统的运行效率，主要由自适应代理服务器和包过滤器组成。目前，复合型防火墙还融合了入侵检测技术、安全认证和评估技术以及虚拟专网等技术，使之成为真正复合型网络安全防护系统。复合型防火墙的功能如下：·复合型防火墙以网络安全防护为基本功能，同时融合入侵检测、安全评估、虚拟专网等网络安全通信模块。·复合型防火墙采用安全评估和识别技术实现网络对象检测、控制和管理，安全评估模块可以自动地检测内部网络。·复合型防火墙可以提供系统入侵检测功能，通过监测网络中的数据包来发现网络入侵行为，作为网络安全的重要环节，入侵检测模块与防火墙模块可以形成安全防护联动系统。·复合型防火墙可以提供虚拟专网功能，利用隧道技术、加/解密技术、密钥管理技术以及身份认证技术在公共网络上建立虚拟专网。4.1防火墙技术

4.1.2防火墙的基本类型4.状态检测型防火墙（1）状态检测型防火墙的工作原理状态检测型防火墙是通过检测网络连接状态来判断网络通信系统的安全性，基本保持了简单包过滤防火墙的优点，其基本特征是通过网络连接的安全状态来识别和判断网络通信的安全性。状态检测型防火墙的核心部分是状态连接表，将安全连接的通信数据作为一个整体处理，直接放行安全连接的通信数据，可以提高数据包的检测效率。状态检测型防火墙相对于包过滤防火墙增加了网络通信状态的检测，主要功能是规范了网络层和传输层的通信行为，而应用代理型防火墙的主要功能则是规范了特定的应用协议上的行为。4.1防火墙技术

4.1.2防火墙的基本类型防火墙的配置原则首先要遵循安全、适用和高效的原则。因为防火墙是内部网络与外部网络通信的关键节点，所以在防火墙的配置过程中必须坚持以下三个基本原则：1.安全适用2.综合检测3.内外兼顾4.1防火墙技术

4.1.3防火墙配置的原则防火墙的主要功能是保护内部网络安全，防止外部的网络攻击和内部的网络攻击，限制内部网络用户的访问权限和行为。防火墙的配置和使用过程中暴露出一些缺陷和局限性：（1）防火墙无法深度检测通信数据的具体内容。（2）防火墙不能防御利用计算机系统漏洞和病毒对系统实施的攻击。4.1防火墙技术

4.1.4防火墙的局限性1.VPN的定义VPN是利用信息安全技术在Internet上建立一个虚拟的私有网络，可以实现跨地域的网络安全通信。VPN是企业内部网最经济、有效的扩展方式，企业用户、分支机构及商业伙伴可以通过Internet与企业内部网建立可信的安全连接，可以利用隧道技术、加/解密技术、密钥管理技术和使用者与设备身份认证技术实现网络通信的保密性、身份可认证性和数据完整性。4.2VPN与网络安全

4.2.1VPN概述4.2VPN与网络安全

4.2.1VPN概述VPN实现远程安全通信的过程根据不同的划分标准，VPN可以按几个标准进行分类。1.按接入方式划分根据用户接入Internet的方式不同可以将VPN划分为专线接入方式和拨号接入方式。2.按协议实现类型划分按照隧道协议所在的网络层次可以将VPN划分为第二层隧道协议VPN和第三层隧道协议VPN。

·第二层隧道协议VPN。·第三层隧道协议VPN。3.按VPN的服务类型划分根据VPN的服务类型，可以将VPN业务大致分为三类：远程接入VPN、内联网VPN和外联网VPN。·远程接入VPN。·内联网VPN。·外联网VPN。4.2VPN与网络安全

4.2.2VPN的分类（1）选择【开始】—【管理工具】—【路由与远程访问】并打开，选择主机并点击右键显示属性对话框，并选择【配置并启用路由和远程访问】选项，配置界面如图所示。4.2VPN与网络安全

4.2.3WindowsServer2003VPN安装（2）选择路由和远程访问服务器安装向导中的选项【远程访问（拨号或VPN）】，如图所示，并单击【下一步】。4.2VPN与网络安全

4.2.3WindowsServer2003VPN安装（3）选择路由和远程访问服务器安装向导中的选项【VPN】，如图4-10所示，并单击【下一步】。4.2VPN与网络安全

4.2.3WindowsServer2003VPN安装（4）路由和远程访问服务器安装向导对话框如图所示，在【网络接口】列表中有两个网络接口，分别用于连接外部网络和内部网络。取消选择【通过设置静态数据包筛选器来对选择的接口进行保护】选项，然后单击【下一步】。4.2VPN与网络安全

4.2.3WindowsServer2003VPN安装（5）选择路由和远程访问服务器安装向导中的选项【来自一个指定的地址范围】，如图所示，并单击【下一步】。4.2VPN与网络安全

4.2.3WindowsServer2003VPN安装（6）选择路由和远程访问服务器安装向导中的选项【新建】，如图4-13所示，在弹出的新建地址范围对话框中输入合法的IP地址范围，例如172.16.6.10—172.16.6.28，如图所示，即允许在地址范围内的远程用户通过VPN服务器来访问企业内部网络，然后单击【下一步】。4.2VPN与网络安全

4.2.3WindowsServer2003VPN安装（7）选择路由和远程访问服务器安装向导中的选项【否，使用路由和远程访问来对连接请求进行身份验证】，如图所示，并单击【下一步】完成设置。4.2VPN与网络安全

4.2.3WindowsServer2003VPN安装（8）建立的VPN服务器如图4-16所示，远程用户可以通过VPN服务器访问企业内部网络。4.2VPN与网络安全

4.2.3WindowsServer2003VPN安装数据库系统的信息安全性是指数据独立性、数据安全性、数据完整性、并发控制和故障恢复等几个方面。下面分别对其进行介绍：1.数据独立性2．数据安全性3．数据完整性4．并发控制5．故障恢复4.3数据库安全

4.3.2数据库的安全特性1.安全账号管理2.数据库审计3.数据库加密4.安全访问控制4.3数据库安全

4.3.3数据库的安全控制措施1.常用数据库加密技术数据库加密可以实现存储数据的保密性、完整性、身份可认证性和可用性，可以增强普通关系型数据库管理系统的安全性，可以达到有效地保护数据库存储内容的目的。数据库加密系统的主要功能包括字段加密、密钥动态管理、日常数据处理以及防止非法复制。4.3数据库安全

4.3.4数据库加密技术2.数据库加密的主要形式数据库加密的主要形式有系统加密、服务器端（DBMS内核层）加密、客户端（DBMS外层）加密。系统加密是利用软件加密系统或硬件加密系统对明文信息进行加密，然后将密文信息存储到数据库系统。但是加密系统无法处理数据库中数据表之间的关系，只能将数据先进行加密，然后将密文存储于数据库相应字段，读取数据时再逆向进行解密。系统加密无法直接对数据库中的密文进行插入、更新、查询和删除等基本操作，只能将查询数据转换为密文再进行相应的数据库查询和管理，因此效率相对较低。4.3数据库安全

4.3.4数据库加密技术入侵检测系统利用检测器对计算机和网络资源的恶意使用行为进行识别和处理，并对异常事件进行报警和跟踪。入侵检测系统包括硬件系统和软件系统。数据收集器：主要负责从目标系统采集特征数据，并将特征数据发送到检测器进行处理，特征数据采集对象主要包括网络数据包、日志文件等。检测器：也称分析器或检测引擎，主要负责分析和检测系统异常行为，并发出警报信号。知识库：主要提供系统异常行为检测规则和安全策略。控制器：根据知识库中检测规则处理警报信息，并对目标系统实施控制。4.4入侵检测系统

4.4.1入侵检测概述可将入侵检测系统按照检测对象划分为基于主机的入侵检测系统、基于网络的入侵检测系统和混合型入侵检测系统。1.基于主机的入侵检测系统2.基于网络的入侵检测系统4.4入侵检测系统

4.4.2入侵检测系统的分类1.入侵检测技术分类按照入侵检测系统所采用的检测技术可以将入侵检测分为特征检测和异常检测两种。（1）特征检测（2）异常检测4.4入侵检测系统

4.4.3入侵检测的主要技术2.常用检测方法入侵检测系统常用的检测方法有特征检测、统计检测。目前入侵检测系统绝大多数使用特征检测方法，因为统计检测方法的检测准确率较低，容易出现误判。（1）特征检测方法（2）统计检测方法4.4入侵检测系统

4.4.3入侵检测的主要技术访问控制是通过访问控制策略对系统用户的访问权限和范围进行约束的一种方法。通过限制系统用户对网络资源的访问权限来防止非法用户的入侵或合法用户的越权使用，从而保证网络资源在可控和合法的状态下使用。系统用户只能根据分配的访问权限访问和控制系统资源，无法越权访问。访问控制的基础是身份认证技术，系统通过身份认证技术来识别系统用户的真实身份并赋予相应的系统访问权限，系统用户只能依照访问控制策略执行各项操作4.5访问控制技术

4.5.1访问控制概述1.访问控制策略的实施原则通常依照主体对客体的访问权限来制定系统访问控制策略，具体原则如下：（1）权力最小化原则。（2）最小泄露原则。（3）多级安全策略。4.5访问控制技术

4.5.2访问控制策略2.安全策略的实现访问控制的安全策略有两种实现方式：基于身份的安全策略和基于规则的安全策略。基于身份的安全策略等同于自主访问控制安全策略，基于规则的安全策略等同于强制访问控制安全策略。（1）基于身份的安全策略·基于用户的安全策略。·基于组的安全策略。（2）基于规则的安全策略基于规则的安全策略是指系统赋予主体和客体一定的安全级别，例如绝密、秘密、机密、限制和无级别，主体无权修改自身和客体的安全级别，只有系统管理员能够确定主体和组的访问权限。4.5访问控制