电子商务安全第二章课件.ppt

《电子商务安全第二章课件.ppt》由会员分享，可在线阅读，更多相关《电子商务安全第二章课件.ppt（87页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第第2章章 网络通信安全网络通信安全2.1 网络通信的安全性网络通信的安全性2.2 TCP/IP协议存在的安全协议存在的安全威胁威胁2.3 远程访问的安全远程访问的安全2.4 小结小结习题与思考题习题与思考题 2.1网络通信的安全性2.1.1 网络通信线路的安全性网络通信线路的安全性网络通信线路的安全问题主要有以下六个方面。1.电磁泄露电磁泄露络端口、传输线路和计算机都有可能因屏蔽不严或未屏蔽而造成电磁泄露。目前，大多数机房屏蔽和防辐射设施都不健全，通信线路也同样容易出现信息泄露。2.搭线窃听搭线窃听随着信息传递量的不断增加，传递数据的密级也在不断提高，犯罪分子为了获取大量情报，可能监听通信线

2、路，非法接收信息。3.非法终端非法终端有可能在现有终端上并接一个终端，或合法用户从网上断开时，非法用户乘机接入，并操纵该计算机通信接口使信息传到非法终端。4.非法入侵非法入侵非法分子通过技术渗透或利用电话线侵入网络，非法使用、破坏或获取数据和系统资源。目前的网络系统大都采用口令验证机制来防止非法访问，一旦口令被窃，就无安全可言。5.注入非法信息注入非法信息通过电话线有预谋地注入非法信息，截获所传信息，再删除原有信息或注入非法信息后再发出，使接收者收到错误信息。6.线路干扰线路干扰当公共转接载波设备陈旧和通信线路质量低劣时，会产生线路干扰。如调制解调器会随着传输速率的上升，迅速增加错误。对于网络

3、通信线路的安全问题通常采用数据加密、用户认证和室外使用光缆传输介质等措施来解决。近年来，计算机网络系统由于电磁辐射使信息被截获而失密的案例很多，这种截获，其距离可达几百甚至千米，给计算机系统信息的保密工作带来了极大的危害。为了防止计算机网络系统中信息在空间上扩散，通常在物理上采取对主机房和重要部门进行屏蔽处理的防护措施，以减少扩散出去的空间信号。终端分散的重要部门采取主动式的干扰设备(如干扰机)来干扰扩散出去的空间信号，以破坏信息的窃取。2.1.2 网络层次结构的安全性网络层次结构的安全性TCP/IP的不同层次提供的安全性不同。表2-1描述了TCP/IP与OSI模型相应层次的安全措施。下面将重

4、点介绍TCP/IP不同层次的安全性和提高各层安全性的方法。表2-1TCP/IP协议与OSI模型的安全性1.网络层的安全性网络层的安全性 在过去十年里，对网络层的安全协议已经提出了一些方案。例如，“安全协议3号(SecureProtocol3SP3)”就是美国国家安全局以及标准技术协会作为“安全数据网络系统(SecureDataNetworkSystemSDNS)”的一部分而制定的。“网络层安全协议(NetworkLayerSecureProtocolNLSP)”是由国际标准化组织为“无连接网络协议(ConnectionlessNetworkProtocolCLNP)”制定的安全协议标准。这些提

5、案的共同点多于不同点。事实上，它们用的都是IP封装技术。其本质是，纯文本的包被加密后，封装在外层的IP报头里，用来对加密的包进行Internet上的路由选择。到达另一端时，外层的IP报头被拆开，报文被解密，然后送到收报地点。网络层安全性的主要优点是它的透明性，也就是说，安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动。它的最主要的缺点是网络层一般对属于不同进程和相应条例的包不作区别。对所有去往同一地址的包，它将按照同样的加密密钥和访问控制策略来处理。这可能导致提供不了所需的功能，也会导致性能下降。针对面向主机的密钥分配的这些问题，推荐使用面向用户的密钥分配，其中，不同的连接会得到

6、不同的加密密钥。但是，面向用户的密钥分配需要对相应的操作系统内核作比较大的改动。简而言之，网络层是非常适合提供基于主机对主机的安全服务的。相应的安全协议可以用来在Internet上建立安全的IP通道和虚拟私有网。例如，利用它对IP包的加密和解密功能，可以简捷地强化防火墙系统的防卫能力。RSA数据安全公司已经发起了一个倡议，来推进多家防火墙和TCP/IP软件厂商联合开发虚拟私有网。该倡议被称为安全广域网(SecureWideAreaNetworkS-WAN)倡议，其目标是制订和推荐Internet层的安全协议标准。2.传输层的安全性传输层的安全性在Internet应用编程中，通常使用广义的进程间

7、通信机制来与不同层次的安全协议打交道。在Internet中提供安全服务的首先一个想法便是强化它的进程间通信的界面，具体做法包括双端实体的认证，数据加密密钥的交换等。Netscape通信公司遵循了这个思路，制定了建立在如TCP/IP所提供的在可靠的传输服务基础上的安全套接层协议(SecureSocketLayerSSL)。SSL版本3于1995年12月制定，它主要包含两个协议。一个是SSL记录协议，它涉及应用程序提供的信息的分段、压缩、数据认证和加密。另一个是SSL握手协议，用来交换版本号、加密算法、相互身份认证并交换密钥。前面已介绍网络层安全机制的主要优点是它的透明性，即安全服务的提供不要求应

8、用层做任何改变。这对传输层来说是做不到的。原则上，任何TCP/IP应用，只要应用传输层安全协议(如安全套接层协议)，就必定要进行若干修改以增加相应的功能，并使用稍微有些不同的进程间通信的界面。于是，传输层安全机制的主要缺点就是要对传输层进程间通信的界面和应用程序两端都进行修改。可是，比起网络层和应用层的安全机制来，这里的修改还是相当小的。另一个缺点是，基于用户数据报协议(UserDatagramProtocolUDP)的通信很难在传输层建立起安全机制来。同网络层安全机制相比，传输层安全机制的主要优点是它提供基于进程对进程的(而不是主机对主机的)安全服务。这一成就如果再加上应用层的安全服务，就可

9、以更安全。3.应用层的安全性应用层的安全性 网络层(传输层)的安全协议允许为主机(进程)之间的数据通道增加安全属性。本质上，这意味着真正的、机密的数据通道还是建立在主机(或进程)之间，但却不可能区分在同一通道上传输的一个具体文件的安全性要求。比如说，如果一个主机与另一个主机之间建立起一条安全的IP通道，那么所有在这条通道上传输的IP包就都要自动地被加密。同样，如果一个进程和另一个进程之间通过传输层安全协议建立起了一条安全的数据通道，那么两个进程间传输的所有消息就都要自动地被加密。如果确实想要区分一个具体文件的不同的安全性要求，那么就必须借助于应用层的安全性。提供应用层的安全服务实际上是最灵活的

10、处理单个文件安全性的手段。例如一个电子邮件系统可能需要对要发出的信件的个别段落实施数据签名。较低层的协议提供的安全功能一般不会知道任何要发出的信件的段落结构，从而不可能知道该对哪一部分进行签名。只有应用层是惟一能够提供这种安全服务的层次。目前还没有Web安全性的公认标准。这 样 的 标 准 只 能 由 万 维 网 协 会(WWWConsortium)、Internet 工 程 任 务 组(InternetEngineeringTaskForceIETF)或其他有关的标准化组织来制定。而正式的标准化过程是漫长的，可能要拖上好几年，直到所有的标准化组织都充分认识到Web安全的重要性。安全的超文本传

11、输协议(SecureHypertextTransferProtocolS-HTTP)和SSL是从不同角度提供Web的安全性的。S-HTTP对单个文件作“私人/签字”的区分，而SSL则把参与通信的相应进程之间的数据通道按“私用”和“已认证”进行监管。2.2TCP/IP协议存在的安全威胁2.2.1 TCP/IP协议概述协议概述1.TCP/IP协议组简介协议组简介TCP/IP协议是网络中使用的基本通信协议，虽然从名字上看TCP/IP协议包括两个协议，即传输控制协议(TCP)和网际协议(IP)，但TCP/IP协议实际上是一组协议，包括上百个互为关联的协议，最常用的是下面几个协议。(1)Telnet(R

12、emoteLogin)是远程登录协议，它的作用就是让用户以模拟终端的方式，登录到Internet的某台主机上。一旦连接成功，这些个人计算机就好像是远程计算机的一个终端，可以像使用自己的计算机一样输入命令，运行远程计算机中的程序。(2)FTP(FileTransferProtocol)是远程文件传输协议，它允许用户在远程主机和自己的电脑之间互相Copy文件(也可删除改名等)。(3)SMTP(SampleMailTransferProtocol)是简单邮政传输协议，用于传输电子邮件。(4)NFS(NetworkFileSystem)是网络文件系统，可使多台计算机透明地访问彼此的目录。(5)UDP(

13、UserDatagramProtocol)是用户数据报协议，它和TCP协议一样位于传输层，和IP协议配合使用，在传输数据时省去包头，但它不能提供数据包的重传，所以适合传输较短的文件。2.TCP/IP协议的数据传输原理协议的数据传输原理TCP/IP协议的基本传输单位是数据包(DataGram)。TCP协议负责把数据分成若干个数据包，并给每个数据包加上包头(就像给一封信加上信封)。包头上有相应的编号，以保证在数据接收端能将数据还原为原来的格式。IP协议在每个包头上再加上接收端主机地址，这样数据就会找到自己要去的地方(就像信封上要写明地址一样)。如果传输过程中出现数据丢失、数据失真等情况，TCP协议

14、会自动要求数据重新传输，并重新组包。总之，IP协议保证数据的传输，TCP协议保证数据的质量。3.TCP/IP协议的层次结构协议的层次结构 TCP/IP协 议 数 据 的 传 输 基 于TCP/IP协议的四层结构，分别是应用层、传输层、网络层、链路层(接口层)。数据在传输中每通过一层就要在数据上加个包头，其中的数据供接收端同一层协议使用，而在接收端，每经过一层要把用过的包头去掉，这样来保证传输数据的格式完全一致。TCP/IP协议簇中的协议分布在这四层结构中，如图2-2-1所示。可见，TCP/IP协议组中的TCP协议位于传输层，IP协议位于网络层。图2-2-1TCP/IP协议组四层结构4.TCP/

15、IP协议的包头结构协议的包头结构TCP/IP协议的基本传输单位是数据包。TCP协议将上层应用传送的报文(较长的数据信息)划分成较小数据段，并在每个数据段加上TCP包控制头(其中包括宿主机地址，数据重构所需的信息和防止信息包被毁坏的信息)，从而形成了TCP包，其结构如图2-2-2所示。图2-2-2TCP的包头结构在TCP包形成后，TCP将它交给IP，IP将它作进一步的分解，并加上控制头(其中包括地址信息，以及装载的TCP信息和数据)，从而形成了IP包，其结构如图2-2-3所示。图2-2-3IP包头结构2.2.2 TCP/IP协议的安全问题协议的安全问题TCP/IP协议是进行一切互联网上活动的基础

16、，没有它信息就不可能在不同操作系统、在不同通信协议中来去自由。也许是因为当时网络软、硬件设备的局限性，当初设计该协议时就着重考虑了网络的速度，而对网络的安全性没作太多的考虑，甚至根本没作考虑，也许是当时开发TCP/IP协议的人根本没有预料互联网会发展如此迅速，所以说TCP/IP本身在安全设计上就先天不足。TCP/IP协议虽然经过了一次又一次的改版、升级，但终因先天和考虑到软件的可继承性的原因，仍存在诸多安全缺陷不能就在原程序上修修改改全部解决，目前互联网的安全性主要体现在下面的六个方面的问题。1.网上信息易被窃取网上信息易被窃取大多数互联网上的信息是没有经过加密的，如电子邮件、网页中输入口令或

17、填写个人资料、文件传输等这一切都很容易被一些别有用心的人监听和劫持，其实这就是TCP/IP通信协议在安全性方面的一个漏洞。为什么互联网上的信息极易被窃取呢？这就要从互联网连接的特点来说了。互联网是一种网间网技术，也就是说它就是把无数的局域网相连起来形成的一个大网，这个大网又与其他由无数局域网连接起来的大网相连来组成一个更大的网，就这样不断地互连就形成了通常所说的互联网，它没有绝对的大小，但通常把世界上所有连在一起的计算机所形成的网统称为互联网。但说到底它也是个类局域网。正因为互联网的庞大，所以它的拓扑结构比一般局域网更复杂，互联网的拓扑是一种逐步细化的树状结构，虽然互联网上的传输是点对点的，但

18、一般互联网上的主机往往是处于某一个局域网中，局域网(如以太网、令牌网等)都是广播型网络，也就是说一台主机发布消息，网上任何一台机器都可以收到这个消息。一般情况下，以太网卡在经过比较后发现是别人的消息时会自动丢弃消息，而不向上层(即本机)传递消息。但以太网卡的接收模式可以设置成混合型，这样网卡就会捕捉所有的数据包，并把这些数据包向上传递，这就是为什么以太网可以被窃听，其实FDDI、令牌网也存在这样问题。现在人们经常谈论的ATM网络技术是绝对的点对点通信的，它不像以太网的广播式那样容易被窃听。互联网上的信息容易被窃听和劫获的另一个原因是，当某人用一台主机和另外一个远程主机进行通信时，他们之间互相发

19、送的数据包要经过很多机器重重转发。具体要经过多少主机、多少路由器和多少网络，用户可以用一个网络调试工具得到，这个工具就是Traceroute，在各种操作系统中都有。在不同操作系统中该命令的名字可能会有所差异。在Windows95、Windows2000中的命令格式为：tracert或，运行后将返回经过的主机、路由和网络信息。如果使用-d选项，则tracert实用程序将不会在每个IP地址上查询DNS。例如：C:WINDOWSDT202.108.36.196overamaximumof30hops:112ms13ms13ms218.24.64.1216ms17ms18ms218.61.254.53

20、11ms11ms10ms218.61.254.177414ms15ms15ms219.158.8.33523ms23ms21ms219.158.8.2693ms92ms92ms202.96.12.50799ms99ms101ms202.106.193.1698116ms113ms111msRTR-AHL-A-S2-202.106.192.1709111ms109ms112ms210.74.176.15010 103 ms 103 ms 101 ms 202.108.36.196Tracecomplete.C:WINDOWSDesktop互联网的这种工作原理不但节约了资源，而且简化了传输过程，符

21、合TCP/IP协议简单高效的宗旨，但这也带来了安全上的问题，这些用来转发消息包的机器完全可以把用户的信息窃取下来，同样如果黑客使用一台处于某用户的数据包传输路径上的主机，那么他就可以窃听或劫持用户的数据包。2.IP的缺陷导致易被欺骗的缺陷导致易被欺骗1)IP包中的源地址可以伪造众所周知，IP地址是可以用软件配置的，这就存在地址冒充和地址欺骗两个安全隐患。IP支持源路由方式，即显示规定信息传送的路径，也产生路由攻击隐患。Internet应用协议(如SMTP、Telnet和FTP等)缺乏安全保密等措施。假冒欺骗一般采用源IP地址欺骗攻击，入侵者伪装冒充源自一台内部主机的一个外部地点传送信息包。这些

22、信息包中包含有内部系统的源IP地址。另外，在E-mail服务器中，使用报文传输代理(MessageTransferAgentMIA)，可以冒名他人，窃取信息。接收主机相信发送的主机，使得邮件的来源就可以轻而易举地被欺骗，这就导致了任何没有特权的用户都可以伪造或欺骗电子邮件。2)IP包中的“生成时间”可以伪造在TCP/IP网络中，由于发送者极易更改主机的系统时间，而接收主机又不作时间核实，它相信发送主机发送的时间，因此这也容易导致伪造和欺骗。3)薄弱的认证环节Internet的许多安全问题的起源是因为使用了薄弱的和静态的口令。在TCP/IP网络中常常把IP包中的信源/信宿地址作为许多服务的认证的

23、基础，这样的认证是不可靠的。因为高层的TCP和UDP服务在接收数据包时通常是把IP包中的源地址看作是有效的，TCP和UDP服务相信数据包是从一个有效的主机发送来的，IP包中包含一个选项(即源路由)，用来指定一条源地址和目的地址之间的直接路径。这条路径可以包括通常不被用来向前传送包的主机或路由器。对于一些TCP和UDP的服务来说，使用了该选项的IP包好像是从路径上的最后一个系统来的，而不是来自它的真实地点。这个选项主要是为了测试而存在的，它可以被用来欺骗系统以进行平常不被允许的连接。这样许多依靠IP源地址确认的服务就会产生问题并且会被非法进入。图2-2-4说明了如何使用这个选项把攻击者的系统假扮

24、成某一特定服务器的可信任的客户。图2-2-4IP地址欺骗(1)攻击者要使用那个被信任的客户的地址取代自己的地址。(2)攻击者构成一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节点。(3)攻击者用这条路径向服务器发出客户申请。(4)服务器接收客户申请，就好像是从可信任客户直接发出的一样，然后给可信任客户返回响应。(5)可信任客户使用这条路径将包向前传送给攻击者的主机。许多UNIX主机接收到这种包后将继续把它们向指定的地方传送。一个更简单的方法是攻击者等客户系统关机后来模仿该系统。许多组织中，UNIX主机作为局域网服务器使用，职员用个人计算机和TCP/IP网络软件

25、来连接并使用它们。个人计算机一般使用NFS来对服务器的目录和文件进行访问(由于NFS仅仅使用IP地址来验证客户)。一个攻击者用很短的时间就可以设置好一台与别人名字和IP地址相同的个人计算机，然后与UNIX主机建立连接，伪装成真正的客户。这是极易实行的攻击手段。3.ICMP的缺陷的缺陷Internet 控 制 信 息 协 议(InternetControlMessageProtocolICMP)是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指判断网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起

26、着重要的作用。网络中经常会使用到ICMP协议，只不过一般觉察不到而已。比如经常使用的用于检查网络通不通的“Ping”命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的“Tracert”命令也是基于ICMP协议的。ICMP中的“Redirect”消息可以用来欺骗主机和路由器，并使用假路径。这些假路径可以直接通向攻击者的计算机系统，而不能真正连接到一个合法的可信赖的计算机用户，这会使攻击者获得系统的访问权。对于系统来说，缺乏反映信源到信宿真实路径的跟踪信息。通过TCP/IP发出一个数据包如同把一封信丢入信箱，发出者知道正在走向信宿，但发出者不知道通过什么路

27、线或何时到达。这种不确定性也是安全漏洞。4.TCP和和UDP端口结构的缺陷端口结构的缺陷传 输 控 制 协 议(Transmission ControlProtocolTCP是基于连接的协议，也就是说，在正式收发数据前，必须和对方建立可靠的连接。用户数据报协议(UserDataProtocolUDP)是与TCP相对应的协议，它是面向非连接的协议，不与对方建立连接，而是直接就把数据包发送过去。TCP和UDP服务通常有一个客户/服务器的关系。例如，一个Telnet服务进程开始在系统上处于空闲状态，等待着连接。用户使用Telnet客户程序与服务进程建立一个连接时，客户程序向服务进程写入信息，服务进程

28、读出信息并发回响应。客户程序读出响应并向用户报告。这个连接是双工的，可以用来进行读写。两个系统间的多重Telnet连接是相互确认并协调一致的，即TCP或UDP连接惟一地使用每个消息中的源IP地址发送包的IP地址、目的IP地址接收包的IP地址、源端口源系统上的连接的端口、目的端口目的系统上连接的端口这些项进行确认。端口是一个软件结构，被客户程序或服务进程用来发送和接收消息。一个端口对应于一个16位的数。其中1024个端口号已分配给专门的服务，用户的应用程序可使用的端口号为1024到65535。常用的服务端口分配如表2-2所示。表2-2常用的服务端口分配表5.TCP/IP协协议议明明码码传传送送信

29、信息息导导致致易易被被监视监视在网络中最常见的窃听是发生在共享介质的网络中(如以太网)，这是由于TCP/IP网络中众多的网络服务均在网络中明码传送，而众多的网络使用者觉察不到。大多数的“黑客(Hacker)”均使用Sniffer、Tcpdump或Snoop等探测工具，可以清楚地看到某个用户从一台机器登录到另一台机器的全过程。应该注意到，当用户使用Telnet或FTP连接到远程主机上时，他在Internet上传输的口令是没有加密的。侵入系统的另一个方法，就是通过监视携带用户名和口令的IP包获取它们，然后使用这些用户名和口令，通过正常渠道登录到系统。如果被截获的是管理员的口令，那么获取特权级访问就

30、变得更加容易。就像前面曾说过的，成百上千的系统已经被这种方法侵入。大多数用户不加密邮件，而且许多人认为电子邮件是安全的，所以用它来传送敏感的内容。因此，电子邮件或者Telnet和FTP的内容，可以被监视从而了解一个站点的情况。X-Windows系统是一个逐渐流行起来的系统，但它同样也存在易被监视的弱点。-Windows系统允许在一台工作站上打开多重窗口来显示图形或多媒体应用。闯入者有时可以在另外的系统上打开窗口来读取可能含有口令或其他敏感信息的击键序列。6.提供不安全的服务提供不安全的服务基于TCP/IP协议的服务很多，比较熟悉的有WWW服务、FTP服务和电子邮件服务，不太熟悉的有TFTP服务

31、、NFS服务和Finger服务等。这些服务都存在不同程度上的安全缺陷，当用户要保护站点时，就需要考虑，该提供哪些服务，要禁止哪些服务，如果有防火墙，应把不对外的服务限制在内网中。网络通信的基础是协议，TCP/IP协议是目前国际上最流行的网络协议。该协议在实现上因力求实效，而没有考虑安全因素。其主要原因是如果考虑安全因素太多，将会增大代码量，从而降低了TCP/IP协议的运行效率。所以，TCP/IP协议在设计上就有不安全的因素。2.2.3 网络协议的捕获网络协议的捕获使用Windows2000Server网络监视器可以捕获和显示正在网络上运行的计算机从局域网上接收的帧(也称作数据包)。网络管理员可

32、以使用网络监视器检测和解决在本地计算机上可能遇到的网络问题。用户可以捕获发到本地网卡或从本地网卡发出的所有网络通信，也可以设置一个捕获筛选器来捕获帧的子集。还可以指定一系列条件来触发网络监视器捕获筛选器的事件。通过使用触发器，网络监视器可以响应网络上的事件，可以很方便地分析出该计算机使用的网络协议以及与哪些计算机相连接的信息。Windows2000Server网络监视器默认是未安装的，需要在【添加/删除程序】/【添加/删除Windows组件】/【管理和监视工具】中添加【网络监视工具】进行安装。Windows 2000 Server网络监视器的具体操作方法是在计算机桌面上单击【开始】/【程序】/

33、【管理工具】/【网络监视器】选项，出现如图2-2-5所示的窗口。图2-2-5网络监视器如果想要捕获来自网络上特定计算机的帧，在捕获筛选器中指定一个或多个地址对，最多可以同时监视四个特定的地址对。地址对由以下部分组成：(1)希望监视其通信的两台计算机的地址；(2)指定希望监视的通信方向的箭头。例如，要捕获来自PC1计算机上的所有通信(从PC1到PC2的通信除外)，使用下列捕获筛选器地址部分：AddressesincludePC1AnyexcludePC1PC2，如果没有Include行，则默认使用your_computerAny。如果要捕获某一段时间内帧的变化，可以选择【捕获】菜单中的【开始】选

34、项，直到想结束捕获时，单击【停止】按钮，在这一段时间中所有的网络通信都已经记录下来了。单击【捕获】菜单，选择【显示捕获的数据】选项，出现捕获帧窗口，如图2-2-6所示，在这里可以清楚地看到捕获帧的时间、源MAC地址、目标MAC地址、使用协议、源地址和目标地址等选项。图2-2-6捕获帧窗口为安全起见，Windows2000中的网络监视器版本仅捕获广播和多播帧、发送到或来自本地计算机的帧。网络监视器也为广播帧、多播帧、网络使用情况、每秒接收的总字节数和每秒接收的总帧数显示所有网络段统计信息。此外，为了保护网络以防有人未授权安装网络监视器，网络监视器提供了检测在网络中本地网段运行的其他网络监视器安装

35、情况的功能。2.3远程访问的安全2.3.1 拨号访问安全拨号访问安全通过传输媒介公用电话网(PublicSwitchedTelephoneNetworkPSTN)，利用Modem模拟拨号技术来实现远程连接，是目前最为普通、方便的远程访问方式。利用PSTN进行远程接入，用户只要利用一条电话线和普通的Modem就可以访问互联网，也可以用它们在家里访问办公室里的主机或公司的局域网。虽然调制解调器给上网带来了极大的方便，但同时也带来了危险。对于用户来说，一次性投入很小。不过PSTN远程拨号接入方式存在带宽不足、接入速度慢、服务质量差、需要支付昂贵的长途拨号以及长途专线服务费用等问题，已远远无法满足企业

36、数据传输应用需求。因此又出现了一些接入技术，从利用电话线作为传输介质的xDSL(DigitalSubscriberLine)，到依靠有线电视电缆的Cable Modem，直到城域网Ethernet接入，但是这些接入技术由于对各自传输介质的依赖性而不能直接运用于企业网远程访问。调制解调器的危险在于它提供了进入用户网络的另一个入口点，也就是端口，一般来说，打开网络端口点越多，被入侵的可能性就越大。一般一个标准的Intranet结构会包括内、外网段，内网段和外段网之间有防火墙，在内外网段都可能提供拨号服务器，外网段拨号服务器供普通用户使用，内网段拨号服务器供公司的高级职员使用，这两种拨号服务保护方式

37、是不同的。外网段拨号服务器被置于防火墙外部，它的安全是通过防火墙和身份验证服务器来保证的。对于内网段的内部网来说，这种服务应该是保密的，而且要严格控制，并应有强大的身份验证系统来保证安全。如果一个黑客通过拨号服务器登录到用户的网络中，那么他就像在用户的公司里使用一台机器一样，他会窃听到用户的内部网络通信。如何才能提高拨号网络的安全性呢？提高拨号调制解调器安全的方法很多，至少可以通过以下五种方法来实现。(1)号码不要广泛流传。只把号码告诉需要使用该服务的人，同时要对公司员工加强安全意识教育，要求他们也不要把公司内部拨号号码告诉其他人。(2)使用用户名和口令来保护拨号服务器。口令可以是静态，但最好

38、是一次性口令。大家知道在电话线上可以用Sniffer来窃听口令，但它始终不像在局域网上那么容易，如果入侵者不知道用户名和口令要入侵时需要把探尖插入电话线来窃听电话，这一般是较难做到的。所以用户口令要妥善保存，不要写在任何地方，最好是用脑来记住。(3)使用安全性好的调制调解器。回拨调制解调器、安静调制解调器是比较好的选择。回拨调制解调器是在连接时要求用户输入用户名和口令，它不会马上连接，它会先断开连接，查找该用户的合法电话号码，然后，回拨调制解调器会回拨到合法电话号码，并建立起连接。最后，用户就可以输入用户名和口令而进入该系统。这样做虽然比较麻烦，但确实比用一般调制解调器上网安全许多，至少可以杜

39、绝一个账号可以在不同电话机上使用的危险。安静调制解调器在登录完成之前不会发出特殊的“Connectionestablished”信号，这样可以防止有人按顺序搜索计算机拨号系统的电话号码。(4)在网络上加一个用于核实用户身份的服务器。只有用户身份被该服务器验证后才允许进入该系统，并且服务器可以对登录情况进行审计。这虽然或许会增加公司一些成本开支，但它所带来的安全性效益是难以用钱来衡量的。(5)防范通过调制调解器对WindowsNT的RAS访问带来的安全隐患。WindowsNT的远程访问服务(RemoteAccessServerRAS)给用户提供了一种远程用调制解调器访问远程网络的功能，当用户通过

40、远程访问服务连接到远程网络中时，电话线就变得透明了，用户可以访问所有资源，就像他们坐在办公室进而访问这些资源一样，RAS调制解调器起着像网卡一样的作用。但这种RAS在实施过程中存在许多重大的安全隐患。因为RAS服务器和WindowsNT服务器使用相同的用户数据库，用户使用起来变得比较容易。用户用在办公室中使用的同一个用户进行登录，这样可以保证用户具有相同的访问权限，但这给网络安全的管理带来了新的难题。为了进行连接，用户必须有一个有效的WindowsNT用户账户和RAS拨入许可，这在用户尝试登录到WindowsNT之前，必须被验证。但如果用户不在公司，其身份的真实性就很难验证，如果某个系统管理员

41、的账号被一些别有用心的人知道后进行RAS访问，那后果将会非常严重。为了防止非法用户通过RAS访问网络就必须加强公司员工账号管理，特别是管理员账号。另一个管理员账号最好不是使用“Administrator”这个账号，应对其进行改名，或增加一个同样权限的系统管理员组成员，用户账号也要求经常更改。有些公司就要求所要用户密码至少一个月改一次，而且最近的两次密码不能一样，公司的进、销、存管理软件用户密码至少要求一个星期改一次，这在某种程度上预防了非法用户通过RAS进行非法登录。2.3.2 虚拟专用网的安全虚拟专用网的安全虚拟专用网(VirtualPrivateNetworkVPN)是专用网络在公共网络(

42、如Internet)上的扩展。VPN通过私有隧道技术在公共网络上仿真一条点到点的专线，通信数据在安全隧道中进行加密传输，从而达到安全传输数据的目的。由于VPN具有高度灵活性、高带宽、高安全性、应用费用相对低廉等优点，已经成为非常理想的企业网远程访问解决方案。VPN的应用可以分为三个基本类型：AccessVPN、IntranetVPN和ExtranetVPN。1.VPN的一般组网方案可以利用企业现有的网络设备，如路由器、服务器与防火墙来建置VPN。有些企业网络以路由器为中心，把VPN服务加在路由器上。有些企业把防火墙看成是Internet安全通信的核心，选择防火墙式的VPN建置方案。1)路由器式

43、VPN使用具有VPN功能的路由器，公司总部便可与分公司间经由Internet或ISP网络来传送企业内部资料。拨号连接用户也可在ISP网络中建立隧道(Tunneling)，以存取企业网络。相对来说，路由器式VPN部署较容易，只要在路由器上添加VPN服务，通常只需将软件升级即可，而新型路由器通常已在软件或操作系统中内建了VPN服务。基本上，路由器上的VPN软件升级，一般都会包括防火墙、加密以及隧道等功能。有些厂商则会将用户身份辨识与既有的身份辨识服务，如远程身份辨识拨号连接用户服务(RemoteAuthentication Dial-In User ServiceRADIUS)连结在一起。2)软件

44、式VPN由生产厂商和协作厂商提供的VPN应用程序可执行加密、隧道建立与身份辨识，让用户通过VPN与企业内部网络相连。这种技术可使现有设备继续沿用，即将软件安装在现有的服务器上，不需变动网络组态。另外，程序可与现有的网络操作系统的身份辨识服务相连，可大幅简化VPN的管理工作。3)防火墙式VPN许多企业以防火墙为Internet安全措施的核心，用来防范黑客的攻击。许多防火墙厂商已在它们的产品中支持VPN服务，保护用户的内部网络免于被未授权的用户侵入。一个良好的防火墙可以根据用户、应用程序和传输源辨识通信流。这种作法的好处是现有网络架构保持不变，就可以管理VPN服务所用的接口，而且与原来管理防火墙时

45、使用的接口相同，培训成本也大大缩减。因为加密与建立隧道等VPN服务都是由软件来处理的，从而进一步提高了效能。2.VPN的安全管理的安全管理同任何的网络资源一样，VPN也必须得到有效的管理，需要关注VPN的安全问题。目前所有的VPN设备都应用了相关的核心技术，这些技术包括隧道协议(Tunneling)、资料加密(Encryption)、认证(Authentication)及存取控制(AccessControl)等。1)隧道技术隧道技术就是将原始报文在A地进行封装，到达B地后去掉封装，还原成原始报文，这样就形成了一条由A到B的通信隧道。一般而言，隧道协议技术分为两种不同的类型。第一种类型是端对端(

46、End-to-End)隧道技术。从用户的PC延伸到用户所连接的服务器上。每个端点的VPN设备都必须负责隧道的建立以及端点之间资料的加密及解密等工作。第二种类型是点对点(Node-to-Node)隧道技术。主要是连接不同地区的局域网络。在局域网络内部传送的资料并不需做任何的变动。一旦资料必须经由网络外围的VPN设备传送到不同的局域网络时，这些数据才会被加密且经由隧道传送给下一个节点的对应设备。当节点收到资料后，VPN设备会将这些资料解密，还原成原来的格式，再传送到内部局域网络。将利用软件隧道覆盖在一个实体网络之上，构成VPN的虚拟特性，让其上任何一个连接看起来像是线路上惟一的交通。隧道也让一个V

47、PN得以维持如内部网络的安全性和优先性，以提供交通控制能力。目前实现隧道技术主要有以下五种。通用路由封装技术通用路由封装技术(GenericRoutingEncapsulationGRE)是在IP数据包的外面再加上一个IP头。通俗地说，就是把私有数据进行一下伪装，加上一个“外套”，传送到其他地方。因为企业私有网络的IP地址通常是自己规划的，无法和外部互联网建立正确的路由。而在企业网络的出口，至少会有一个合法的IP地址，这个地址可以在互联网中惟一识别出来。GRE就是把企业内部的目的IP地址和源地址的数据报文进行封装，加上一个远端机构互联网出口的IP地址(目的地址)和本地互联网出口的IP地址(源地

48、址)，即加上IP头，通过互联网进行正确的传输，如图2-3-1所示。这种技术是最简单的VPN技术。图2-3-1GRE封装前后的IP帧结构示意图点对点隧道协议点 对 点 隧 道 协 议(Point to PointTunnelingProtocolPPTP)将控制包与数据包分开。控制包采用TCP控制，用作严格的状态查询及信令信息，数据包则先封装在PPP协议中，然后封装到GRE(通用路由协议封装)V2协议中。第二层隧道传输协议第二层隧道传输协议(Layer2TunnelingProtocolL2TP)是在特定链路层实现的VPN技术，它是把二层协议PPP的报文封装在IP报文中进行传输。这种技术是提供企

49、业员工出差在外通过拨号网络直接访问企业内部网络的方式。在Windows2000中，也提供了这项功能。但是，用户要使用这种技术，必须由ISP提供支持。网络协议安全网络协议安全(InternetPortocolSecurityIPSEC)提供了互联网的验证、加密等功能，实现了数据的安全传输。同时，可以使用这种协议构建VPN网络。原理也是对IP包进行封装(可以提供多种方式)，并且进行加密，然后在互联网中进行传输。与前面两种相比，这种技术提供了更好的安全性。但是，协议的复杂性导致了处理IPsec的网络设备(如路由器)需要占用大量的资源，效率较低。如果使用专门的加密硬件，又会增加成本。多协议标记交换VP

50、N多协议标记交换(MultiprotocolLabelSwitchingMPLS)VPN可以实现底层标签自动的分配，在业务的提供上比传统的VPN技术更廉价，更快速。同时MPLSVPN可以充分地利用MPLS技术的一些先进的特性，比如MPLS流量工程能力，MPLS的服务质量保证，结合这些能力，MPLSVPN可以向客户提供不同服务质量等级的服务，也更容易实现跨运营商骨干网服务质量的保证。同时MPLSVPN还可以向客户提供传统的基于路由技术VPN无法提供的业务种类，如支持VPN地址空间复用。对于MPLS的客户来说，运营商的MPLS网络可以提供客户需要的安全机制，以及组网的能力，VPN底层连接的建立、管