3.13 网络安全技术

3.13.1 VPN

VPN（Virtual Private Network，虚拟专用网）指在一个共享基干网上采用与普通专用网相同的策略连接用户。共享基干网可以是IP、帧中继、ATM主干网或Internet。

1. VPN的类型

VPN主要有以下三种类型。

（1）访问型VPN（Access VPN）

像其他专用网一样，在具有相同规则的共享设施上提供对公司内部或外部网的远程访问，用户利用它可随时随地访问公司的资源。访问型VPN包含模拟型、数字型、ISDN、数字用户线路（DSL）、移动IP和电缆技术，用于安全地连接移动用户、远程通信或分支机构。

（2）Intranet型VPN

在专用连接的共享设施上连接公司总部、远程机构和分支机构的VPN。企业与传统专用网一样部署，同样也关注VPN的安全性、服务质量（QoS）、可管理性和可靠性。

（3）Extranet型VPN

Extranet VPN运用Internet/Intranet技术使企业与其客户、其他企业相连来完成其共同目标的合作网络。它通过存取权限的控制，允许合法使用者存取远程公司的内部网络资源，达到企业与企业间资源共享的目的。一般来说Extranet VPN主要应用在B2B方面。

3.13.2 数字签名

在共享设施上连接用户、提供者、合伙人或公司内部网感兴趣的通信VPN。企业与传统专用网一样部署，同样也关注VPN的安全性、服务质量、可管理性及可靠性。

数字证书系统提供公钥/私钥的生成、用户申请、申请审核、证书签发、证书吊销、证书验证、证书查找、证书更新、密钥管理、证书包装等各项功能。

数字证书就是互联网通信中标志通信各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是一个由权威机构——CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的 1024位RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送给商户，然后由商户用自己的私有密钥进行解密。

用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点：

保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；保证信息自签发后到收到为止未曾做过任何修改，签发的文件是真实文件。

3.13.3 防火墙

防火墙（Firewall）是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。

防火墙的主要功能：访问控制；内容控制；全面的日志功能；集中管理功能；自身的安全和可用性；路由器的功能，包括流量控制，地址转换，虚拟专用网等。

防火墙的分类：包过滤防火墙，状态监测防火墙，电路级网关，应用级网关防火墙，代理服务器型防火墙。

3.13.4 入侵监测检测系统

入侵监测系统的功能和性能要素主要包括：

（1）在检测到入侵事件时，自动执行切断服务、记录入侵过程、邮件报警等动作。

（2）支持攻击特征信息的集中式发布和攻击取证信息的分布上载。

（3）提供多种方式对监视引擎和检测特征的定期更新服务。

（4）内置网络使用状况监控工具和网络监听工具。

漏洞扫描系统的功能和性能要素主要包括：

（1）定期或不定期地使用安全性分析软件对整个内部系统进行安全扫描，及时发现系统的安全漏洞、报警并提出补救建议。

（2）支持与入侵监测系统的联运。

（3）检测规则应与相应的国际标准漏洞相对应，包括CVE、BugTrap、WhiteHats等国际标准漏洞库。

（4）支持灵活的事件和规则自定义功能，允许用户修改和添加自定义检测事件和规则，支持事件查询。

（5）支持快速检索事件和规则信息的功能，方便用户通过事件名、详细信息、检测规则等关键字对事件进行快速查询。

（6）可以按照风险级别进行事件分级。

（7）控制台应能提供事件分析和事后处理功能，应具有对报警事件的源地址进行地址解析，分析主机名，分析攻击来源的功能。

（8）传感器应提供TCP连接的报警能力。

（9）提供安全事件统计概要报表，并按照风险等级进行归类。

（10）通过数据库管理工具统计数据库建立时间以及当前记录数目。

（11）对针对Teardrop、s.cgi缓冲区溢出攻击的检测。 Nd8D0n5p2U/o4YfTKOupzARKScWRqNCImBaTnU0wIKhC8rf6gh9s9c4Wg4Ec/tId