干货推荐：

ITSS题库

中国ITSS白皮书2.0【第二版】PDF

ITSS服务项目经理培训

ITSS服务项目经理培训——2-基本概念及方法

ITSS服务项目经理培训——3-IT服务设计

ITSS服务项目经理培训——4-IT服务转换

ITSS服务项目经理培训——5-IT服务运营(3)

ITSS服务项目经理培训——6-IT服务改进

ITSS服务项目经理培训——7-IT服务项目类别

ITSS服务项目经理培训——9-IT服务项目管理知识体系(1)

ITSS服务项目经理培训——10-IT服务项目群管理   

3.3 常见网络安全技术

      3.3.1 网络安全基础

         随着计算机网络的不断发展以及其与各种通信网络的集成，保证数据安全面临着严峻的挑战。网络连接使得网络通信和信息共享变得更为容易，同时也将系统暴露在易受攻击的网络环境中。若不进行安全技术的处理将造成不可预料的损失。为了确保网络的安全，可以使用防火墙、加密、IPS/IDS 以及VPN 等技术。

        作为一名IT 服务工程师需要掌握TCP/IP 理论知识，以防止黑客利用协议的漏洞攻击目标计算机。本节主要讨论有关TCP/IP 各层的安全性问题。

       1、物理层

        黑客最常用的攻击和渗透到网络中的一种方法是在该企业内部的主机上安装一个包探测器。它能记住物理介质上传输数据的电子信号，搭线窃听和探测，复制所有传送信息。唯一有效的保护方法是使用加密和流量填充等技术。

     2、网络层
   
       IP 协议

        32 位的IP 地址可以在TCP/IP 网络中唯一地指明一台主机。一个IP 包头为20 字节，其中包含一些信息和控制字段，如IP 的版本号、长度、服务类型和其他配置。这种开放式的构造使得IP 层很容易成为黑客攻击的目标。
    黑客经常利用一种叫做IP 欺骗的技术，把源IP 地址替换成一个错误的IP 地址。使用IP 欺骗的一种很有名的攻击是Smurf 攻击。这种攻击是向大量的远程主机发送一系列的ping 请求命令之后，黑客把源IP 地址替换成想要攻击的目标主机的IP 地址。所有的远程计算机都响应这些ping 请求，而对目标地址进行回复却不是回复给攻击者的IP 地址，而是目标主机的IP 地址，目标主机将被大量的ICMP 包淹没而不能有效地工作，是一种拒绝服务攻击。

    ICMP 协议

       ICMP 在IP 层用于检查错误和查询。例如，ping 一台主机以确定其是否运行时，就产生了一条ICMP 消息，远程主机将用ICMP 消息对ping 请求做出回应。由于黑客善于用ICMP 消息探测和攻击远程网络或主机，很多公司在他们的防火墙上过滤了ICMP 流量。

       3、传输层

       传输层控制主机之间数据流的传输。传输层存在两个协议，即传输控制协议（TCP）和用户数据报协议（UDP）。

      TCP

      TCP 是一个面向连接的协议，保证数据的可靠传输。TCP 协议用于多数的互联网服务，如HTTP、FTP 及SMTP。最常见的传输层安全技术为安全套接字层协议SSL。SSL 采用公钥方式进行身份认证，用对称密钥方式进行大量数据传输。通过双方协商SSL 可以支持多种身份认证、加密和检验算法。

      UDP

     UDP 是一个非面向连接的协议，经常被用做多播类型的协议，如音频和视频数据流，它比TCP传输速度更快且占用带宽更少，但不保证可靠传输。基于UDP 之上的应用层协议，如TFTP 要比FTP 简单，因为主机发出一个UDP 消息时并不期望收到一个回复。

     端口

      TCP 和UDP 都使用端口的概念。为了使信息能够被正确地引导，每个程序被赋予了特别的TCP或UDP 端口号。进入计算机的网络数据包都包含了一个端口号并且被操作系统发送到相应的监听程序。常见的端口号已经标准化了，例如，FTP 使用TCP20 和21 号端口，DNS 使用TCP 和UDP的53 号端口，Web 服务器使用80 号端口，SNMP 使用UDP161 和162 号端口，Email 服务器使用TCP25 号端口等等。

      TCP 和UDP 都有65536 个可用的端口。Internet Assigned Numbers Authority（IANA）规定前1023 个端口作为well-know 端口。well-know 端口专门为服务器端的应用程序保留下来，一个服务器应用程序能够使用任何未被限定的端口以及那些大于1023 的端口，而不需要向IANA 申请。安全在很大程度上依赖于控制网络数据包的能力，要能够准确地确定数据包流向哪些计算机和程序。
   
   4、应用层
    无数种应用可以工作于TCP/IP 之上。保护网络上的每一个应用程序是不太可能的，只允许一些特殊的应用程序通过网络进行通信是一个有效的方法。

       简单邮件传输协议（SMTP）

      黑客通常对SMTP 服务器采用不同方式的攻击。比如经常向SMTP 服务器发送大量的Email信息使得服务器不能处理合法用户的Email 流量，导致SMTP 服务器不可用，从而对合法的Email用户造成拒绝服务。

       目前很多病毒是通过邮件或其附件进行传播的，因此，SMTP 服务器应能扫描所有邮件信息。

   文件传输协议（FTP）

        FTP 用来建立TCP/IP 连接后发送和接收文件。FTP 用两个端口通信。利用TCP21 端口来控制连接的建立，控制连接端口在整个FTP 会话中保持开放，用来在客户端和服务器之间发送控制信息和客户端命令。数据连接建立使用一个短暂的临时端口。在客户端和服务器之间传输一个文件时每次都建立一个数据连接。

       FTP 服务器有的不需要对客户端进行认证；当需要认证时，所有的用户名和密码都是以明文传输。黑客破坏之一就是寻找允许匿名连接并且有写权限的FTP 服务器，然后上传垃圾信息塞满整个硬盘空间，从而导致操作系统不能正常运行。还可以使日志文件没有空间再记录其他事件，这样日志文件将检查不到黑客攻击操作系统或其他服务的企图。

        超文本传输协议（HTTP）

         HTTP 是互联网上应用最广泛的协议。HTTP 服务器使用80 端口来控制连接和一个临时端口传输数据， HTTP 客户端使用浏览器访问和接收从服务器端返回的Web 页面。若客户端下载了恶意控件、病毒或特洛伊木马，则PC 的操作系统和应用程序将可能会被破坏。

       远程登录协议（Telnet）

        Telnet 是用于远程终端访问的并可用来管理UNIX 机器。它允许远程用户登录，允许以明文的方式发送所有的用户名和密码，使黑客可以劫持一个Telnet 会话。

        简单网络管理协议（SNMP）

        SNMP 允许管理员检查网元的状态和修改SNMP 代理的配置。管理者收集所有由SNMP 代理发送的trap，并且直接从这些代理查询信息。SNMP 通过UDP 的161 和162 端口传递所有的信息。

       SNMP 所提供的有效认证是团体名。若管理者和代理有相同的团体名并处于权限允许的IP 地址段内，所有SNMP 查寻将被允许。早期的SNMP 信息都是以明文传输的，容易受到会话劫持和窃听的威胁，SNMP v3 版本能解决上述问题。

        域名系统（DNS）

        DNS 在解析域名请求时使用UDP 的53 端口。但是，在进行区域传输时使用TCP 的53 端口。区域传输是指以下两种情况：

•  客户端利用nslookup 命令向DNS 服务器请求进行区域传输；
•  从属域名服务器向主服务器请求得到一个区域文件。
  

    黑客可以攻击一个DNS 服务器并得到它的区域文件。其结果是黑客可以知道这个区域中所有系统的IP 地址和计算机名字。可配置前端防火墙过滤和审计所有到DNS 服务器的区域传输，或只接受特定主机的区域传输。

       3.3.2 防火墙系统

       目前，防火墙已经成为世界上用得最多的网络安全产品之一。那么，防火墙是如何保证网络系统的安全，又如何实现自身安全的呢？

        防火墙是一种将内部网和公众网如因特网分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内外网之间的任何活动，保证了内部网络的安全。防火墙的安全技术包括包过滤技术、网络地址转换——NAT 技术、代理技术等。

     包过滤技术

       包过滤技术（Packet Filter）是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择的控制与操作。包过滤场景如下：

       企业和个人可以对来自因特网的包，只允许合法Web 服务器的包通过，这条规则可以防止网络内部的任何人访问其他网站和应用。例如在防火墙上设置只允许目的地址为80 端口的包通过，这条规则只允许传入的连接为Web 连接，但也允许与Web 连接使用相同端口的连接，即外部主机用TCP80 端口可以访问本地的Web 服务器，所以它并不是十分安全。

       从前的包过滤只是与规则表进行匹配，称为静态规则。防火墙的IP 包过滤，主要是根据一个有固定排序的规则链过滤，其中的每个规则都包含着IP 地址、端口、传输方向、分包、协议等多项内容。现今防火墙可以基于连接状态检查，将属于同一连接的所有包作为一个整体的数据流待，通过规则表与连接状态表的共同配合进行检查。 如：某企业设置只允许本地特定的几个IP 访问80 端口的目的地址，在防火墙上设置一条单向规则即可，而不用设定从目的地址80 端口来的数据流可以访问本地特定IP 地址。

       网络地址转换NAT

       NAT 是一种用于把内部IP 地址转换成临时的、外部的、注册的IP 地址的标准。它允许具有私有IP 地址的内部网络访问因特网。它还意味着用户不需要为其网络中每台机器取得注册的IP 地址。
   NAT 的工作过程如图3.2 所示：

     

    在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP 地址和端口来请求访问。

    代理技术

        应用代理是代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达外部服务器，同时将外部服务器的响应再回送给用户。这种技术被用于在Web 服务器上高速缓存信息，并且扮演Web 客户和Web 服务器之间的中介角色。它主要保存因特网上那些最常用和最近访问过的内容，为用户提供更快的访问速度，并且提高网络安全性。这项技术在高校很常见，配置IE 代理，就可以通过高校的代理服务器上网，管理员可以在服务器单机上检测整网的安全日志和流量。

      3.3.3 IDS/IPS

IDS

        什么是IDS

        入侵检测是指为通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。它的作用包括威胁、检测、响应、损失情况评估、攻击预测和起诉支持。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detective System，简称IDS），它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象，其主要作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。

        IDS 系统以后台进程的形式运行，发现可疑情况，立即通知有关人员。防火墙为网络提供了第一道防线，入侵检测系统是在防火墙后又增加了一道防线，从而可以减少网络免受各种攻击的损害。假如说防火墙是一幢大楼的门锁，那入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼，但不能保证小偷100％地被拒之门外，更不能防止大楼内部个别人员的不良企图。而一旦小偷爬窗进入大楼，或内部人员有越界行为，门锁就没有任何作用了，这时，只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者，同时也针对内部的入侵行为。

     具体来说，入侵检测系统的主要功能有以下几点：

•  监督并分析用户和系统的活动；
•  检查系统配置和漏洞；
•  评估系统关键资源和数据文件的完整性；
•  识别已知的攻击行为；
•  对异常行为进行统计分析；
•  操作系统日志管理，识别违反安全策略的用户活动。
  

    为什么需要IDS

    随着攻击工具和手法日趋复杂多样，网络环境、设备越来越复杂，网络管理员频繁地给系统补漏，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要。传统防火墙的不足主要体现在以下几个方面：

•  防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB 服务的蠕虫等；
  

•  有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。由于防火墙具有以上一些缺陷，所以部署了防火墙的安全保障体系还要进一步完善。在这种情况下，入侵检测系统成为安全市场的新热点，逐渐受到人们的关注，并且已经在各种环境中发挥了关键作用。
  

       IDS 的分类及工作方式

        从具体工作方式上看，入侵检测系统可分为主机型、网络型和混合型，不管使用哪种方式，都需要查找攻击特征（Attack Signature），所谓特征签名，就是用一种特定的方式来表示已知的攻击方式。
   
     （1）主机型入侵检测系统
    主机型入侵检测系统（Host-based IDS，简称HIDS）往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。

      主机型入侵检测系统的主要优势在于：

•  性价比高，尤其是在主机数量较少的情况下，采用此种方式更为适合；
•  很容易监测一些活动（比如对敏感文件、目录、程序或端口的存取），而这些活动很难在基于网络的线索中被发现；
•  视野集中，一旦入侵者得到一个主机的用户名和口令，基于主机的代理最有可能区分正常活动和非法活动；
•  易于用户定制，每个主机都有自己的代理，用户定制更方便；
•  由于存在于现行网络结构中，使得基于主机的系统效率很高，因此不要求额外的硬件平台；
•  由于基于主机的系统安装在遍布企业的各种主机上，因此它们更适用于被加密的和交换的环境中。
  

     （2）网络型入侵检测系统

       网络型入侵检测系统（Network-based IDS，简称NIDS）通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。NIDS 的数据源是网络上的数据包，一般是将一台机器的网卡设为混杂模式（promisc mode），监听所有本网段内的数据包并进行判断。网络型入侵检测系统担负着保护整个网段的任务。

    网络型入侵检测系统的主要优势在于：

•  可以检查到主机型入侵检测系统漏掉的攻击；
•  检测速度快，通常能在微秒或秒级发现问题，并做出更快的通知和响应；
•  作为安全监测资源，与主机的操作系统无关；
•  隐蔽性好，基于网络上的监测器不像主机那样显眼和易被识别，因此不容易遭受攻击；
•  视野更宽阔，它可以在网络的边缘上，即攻击者尚未接入网络时就被制止；
•  使用正在发生的网络通讯进行实时攻击的检测，因此攻击者不易转移证据；
•  由于使用一个监测器就可以保护一个共享的网段，与主机型的相比，不需要很多监测器；
•  占用资源少，在被保护的设备上不需占用任何资源。
  

     （3）混合型入侵检测系统

       基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。
   
      IPS
   什么是IPS

       IPS（Intrusion Prevention System），即入侵防护（防御）系统，有时又称IDP（Intrusion detection
and Prevention），即入侵检测和防御系统，指具备IDS 的检测能力，同时具备实时中止网络入侵的新型安全技术设备。 IPS 主要包括检测和防御两大系统组成，理想的IPS，应具备从网络到主机的防御措施，及预设定的响应设置，通常由IDS 和防火墙技术分别发展、组合而成。检测和实时防御，这就是IPS 的最重要的性能特征。
入侵防护系统IPS 提供一种主动的、实时的防护，其设计旨在对常规网络流量中的恶意数据包
进行检测，阻止入侵活动，预先对攻击性的流量进行自动拦截，使它们无法造成损失，而不是简单
地在监测到恶意流量的同时或之后发出警报。IPS 是通过直接串联到网络链路中而实现这一功能的，
即IPS 接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击
源阻断，而不把攻击流量放进内部网络。

      为什么需要IPS

      如前文所述，IDS 虽然弥补了防火墙的某些缺陷，但是随着网络技术的发展，IDS 受到新的挑战：

•  IDS 旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。IDS 无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS 无能为力；
•  蠕虫、病毒、DDoS 攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS 无法把攻击防御在企业网络之外；
•  NIDS 与防火墙联动实际应用的缺点：使用、设置上复杂，影响FW 的稳定性与性能；阻断来自源地址的流量，不能阻断连接或单个数据包；黑客盗用合法地址发起攻击，造成防火墙拒绝来自该地址的合法访问；可靠性差，实际环境中没有实用价值；
•  TCP 重置的缺陷：只对TCP 连接起作用；IDS 向攻击者和受害者发送TCP Reset 命令，IDS 必须在40 亿字节的范围内猜测到达受害者时的序列号数，以关闭连接，这种方法在实际上是不可实现的；即使IDS 最终猜测到了到达受害者的序列号，关闭了连接，攻击实际上已经对受害者产生了作用。
  

      针对广大用户当前网络安全复杂的防护需求，防火墙+IDS 不能完全解决现实问题，IPS 作为新一代安全防护产品应运而生。简要说来，就是：

•  防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码；
•  IDS 由于旁路部署，无法阻断攻击，亡羊补牢，侧重安全状态监控，注重安全审计；
•  IPS 在线部署，精确检测出恶意攻击流量；主动防御、实时有效的阻断攻击；侧重访问控制，注重主动防御。
  

    IPS 的技术实现

       入侵防护技术的目的是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。通常实现上是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能被有效并准确的过滤掉。

        针对不同的攻击行为，入侵防护系统需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。

       3.3.4 VPN 系统

        虚拟专用网VPN（Virtual Private Networks）是企业内部网在Internet 等公共网络上的延伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。

       VPN 简介

    VPN 指的是在共享网络上建立专用网络的技术，其连接技术称为隧道。之所以称为虚拟网，主要是因为整个VPN 网络的任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。
    VPN 具有以下优点：

•  降低成本。企业不必租用长途专线建设专网以及保留大量的网络维护人员和进行设备的投资。
•  容易扩展。网络路由设备配置简单。
•  控制主动权。VPN 上的设施和服务完全掌握在企业手中。企业可以把拨号访问交给NSP去做，而自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
  

      VPN 通过采用“隧道”技术，在公网中形成企业的安全、机密的专用链路。常见的VPN 协议有PPTP，IPSec 和GRE 等。

       VPN 的安全性

       对于VPN 的实施来说，安全性是很重要的。如果不能保证其安全性，黑客就可以假扮用户以获取网络信息，会对网络安全造成威胁。

      点对点的隧道协议（PPTP）

       PPTP 是用来在公用网的通信系统间（通常是客户机和服务器间）建立一个专用通道。该协议使用Internet 通用路由封装（GREv2，Generic Routing Encapsulation）协议封装数据和信息/控制分组。

      PPTP 是在微软的拨号网络设备中集成的数据加密技术，采用密钥长度为40 比特的加密算法。在客户工作站与最终的隧道终结器协商PPP 时，加密的会话就建立起来了（中途的隧道交换机没有对PPP 数据包解密的能力）。

        IPSec

        IPSec 已成为VPN 的安全标准，用来进行对数据包的加密、认证和完整性确认。IPSec 标准是由一系列IP 级的协议组成，这些协议用于在IP 收发两端协商加密方法和数字签名方法。与点对点加密技术相比，IPSec 的安全性更高。它具有用户认证、保密性和数据完整性。

       IPSec 的另一个优点是其安全机制被松散地结合在密钥管理系统中，因此如果将来出现了更新更强大的密码算法就可直接用于这一体系结构，而无需对安全机制进行修改。

       通用路由封装协议（GRE）

        通用路由封装协议（GRE）规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE支持全部的路由协议（如路由信息协议、最短通路优先协议等），用于在IP 包中封装任何协议的数据包，可以很方便地利用Internet 连接特殊网络；通过GRE 还可以使用保留地址进行网络互联，或是对公共网隐藏企业网的IP 地址。但是，GRE 没有加密功能来防止网络侦听和网络攻击，从而无法保证传输数据的完整性和安全性，在实际使用中，如果将GRE 和数据加密技术（如IPSec）结合，可以提高网络的安全性。


返回到首页 《ITSS认证IT服务工程师培训教材》_试用版_2011_0311连载http://www.itilxf.com/thread-36464-1-1.html

ITSS、培训、服务、资格、评估、ITSS培训师、ITSS评估师、实施ITSS、ITSS符合性、ITSS服务工程师、ITSS服务项目经理、ITSS标准、ITSS咨询、ITSS工具、IT服务监理、ITSS体系、ITSS服务质量、评价、指标、运维、治理、咨询、ITSS出版物、ITSS产品、服务监理工具、服务质量评价工具、标准符合性评估工具、服务管理工具、服务治理工具、系统监控工具、辅助决策分析、服务支持管理、基础设施监控、ITSS基础教材、ITSS标准、ITSS服务人员培训教材、标准化、专业化、人员（People）、流程[1]（Process）、技术（Technology）和资源（Resource），简称PPTR、规划设计（Planning&Design）、部署实施（Implementing）、服务运营（Operation）、持续改进（Improvement）和监督管理（Supervision），简称PIOIS、服务交付规范、资源要求、外包管理、服务交付、分类、代码、服务指南、通用要求、指标体系、ITSS落地实践交流-QQ群：21542747  

干货推荐：

ITSS题库

中国ITSS白皮书2.0【第二版】PDF

ITSS服务项目经理培训

ITSS服务项目经理培训——2-基本概念及方法

ITSS服务项目经理培训——3-IT服务设计

ITSS服务项目经理培训——4-IT服务转换

ITSS服务项目经理培训——5-IT服务运营(3)

ITSS服务项目经理培训——6-IT服务改进

ITSS服务项目经理培训——7-IT服务项目类别

ITSS服务项目经理培训——9-IT服务项目管理知识体系(1)

ITSS服务项目经理培训——10-IT服务项目群管理   

3.3 常见网络安全技术

      3.3.1 网络安全基础

         随着计算机网络的不断发展以及其与各种通信网络的集成，保证数据安全面临着严峻的挑战。网络连接使得网络通信和信息共享变得更为容易，同时也将系统暴露在易受攻击的网络环境中。若不进行安全技术的处理将造成不可预料的损失。为了确保网络的安全，可以使用防火墙、加密、IPS/IDS 以及VPN 等技术。

        作为一名IT 服务工程师需要掌握TCP/IP 理论知识，以防止黑客利用协议的漏洞攻击目标计算机。本节主要讨论有关TCP/IP 各层的安全性问题。

       1、物理层

        黑客最常用的攻击和渗透到网络中的一种方法是在该企业内部的主机上安装一个包探测器。它能记住物理介质上传输数据的电子信号，搭线窃听和探测，复制所有传送信息。唯一有效的保护方法是使用加密和流量填充等技术。

     2、网络层
   
       IP 协议

        32 位的IP 地址可以在TCP/IP 网络中唯一地指明一台主机。一个IP 包头为20 字节，其中包含一些信息和控制字段，如IP 的版本号、长度、服务类型和其他配置。这种开放式的构造使得IP 层很容易成为黑客攻击的目标。
    黑客经常利用一种叫做IP 欺骗的技术，把源IP 地址替换成一个错误的IP 地址。使用IP 欺骗的一种很有名的攻击是Smurf 攻击。这种攻击是向大量的远程主机发送一系列的ping 请求命令之后，黑客把源IP 地址替换成想要攻击的目标主机的IP 地址。所有的远程计算机都响应这些ping 请求，而对目标地址进行回复却不是回复给攻击者的IP 地址，而是目标主机的IP 地址，目标主机将被大量的ICMP 包淹没而不能有效地工作，是一种拒绝服务攻击。

    ICMP 协议

       ICMP 在IP 层用于检查错误和查询。例如，ping 一台主机以确定其是否运行时，就产生了一条ICMP 消息，远程主机将用ICMP 消息对ping 请求做出回应。由于黑客善于用ICMP 消息探测和攻击远程网络或主机，很多公司在他们的防火墙上过滤了ICMP 流量。

       3、传输层

       传输层控制主机之间数据流的传输。传输层存在两个协议，即传输控制协议（TCP）和用户数据报协议（UDP）。

      TCP

      TCP 是一个面向连接的协议，保证数据的可靠传输。TCP 协议用于多数的互联网服务，如HTTP、FTP 及SMTP。最常见的传输层安全技术为安全套接字层协议SSL。SSL 采用公钥方式进行身份认证，用对称密钥方式进行大量数据传输。通过双方协商SSL 可以支持多种身份认证、加密和检验算法。

      UDP

     UDP 是一个非面向连接的协议，经常被用做多播类型的协议，如音频和视频数据流，它比TCP传输速度更快且占用带宽更少，但不保证可靠传输。基于UDP 之上的应用层协议，如TFTP 要比FTP 简单，因为主机发出一个UDP 消息时并不期望收到一个回复。

     端口

      TCP 和UDP 都使用端口的概念。为了使信息能够被正确地引导，每个程序被赋予了特别的TCP或UDP 端口号。进入计算机的网络数据包都包含了一个端口号并且被操作系统发送到相应的监听程序。常见的端口号已经标准化了，例如，FTP 使用TCP20 和21 号端口，DNS 使用TCP 和UDP的53 号端口，Web 服务器使用80 号端口，SNMP 使用UDP161 和162 号端口，Email 服务器使用TCP25 号端口等等。

      TCP 和UDP 都有65536 个可用的端口。Internet Assigned Numbers Authority（IANA）规定前1023 个端口作为well-know 端口。well-know 端口专门为服务器端的应用程序保留下来，一个服务器应用程序能够使用任何未被限定的端口以及那些大于1023 的端口，而不需要向IANA 申请。安全在很大程度上依赖于控制网络数据包的能力，要能够准确地确定数据包流向哪些计算机和程序。
   
   4、应用层
    无数种应用可以工作于TCP/IP 之上。保护网络上的每一个应用程序是不太可能的，只允许一些特殊的应用程序通过网络进行通信是一个有效的方法。

       简单邮件传输协议（SMTP）

      黑客通常对SMTP 服务器采用不同方式的攻击。比如经常向SMTP 服务器发送大量的Email信息使得服务器不能处理合法用户的Email 流量，导致SMTP 服务器不可用，从而对合法的Email用户造成拒绝服务。

       目前很多病毒是通过邮件或其附件进行传播的，因此，SMTP 服务器应能扫描所有邮件信息。

   文件传输协议（FTP）

        FTP 用来建立TCP/IP 连接后发送和接收文件。FTP 用两个端口通信。利用TCP21 端口来控制连接的建立，控制连接端口在整个FTP 会话中保持开放，用来在客户端和服务器之间发送控制信息和客户端命令。数据连接建立使用一个短暂的临时端口。在客户端和服务器之间传输一个文件时每次都建立一个数据连接。

       FTP 服务器有的不需要对客户端进行认证；当需要认证时，所有的用户名和密码都是以明文传输。黑客破坏之一就是寻找允许匿名连接并且有写权限的FTP 服务器，然后上传垃圾信息塞满整个硬盘空间，从而导致操作系统不能正常运行。还可以使日志文件没有空间再记录其他事件，这样日志文件将检查不到黑客攻击操作系统或其他服务的企图。

        超文本传输协议（HTTP）

         HTTP 是互联网上应用最广泛的协议。HTTP 服务器使用80 端口来控制连接和一个临时端口传输数据， HTTP 客户端使用浏览器访问和接收从服务器端返回的Web 页面。若客户端下载了恶意控件、病毒或特洛伊木马，则PC 的操作系统和应用程序将可能会被破坏。

       远程登录协议（Telnet）

        Telnet 是用于远程终端访问的并可用来管理UNIX 机器。它允许远程用户登录，允许以明文的方式发送所有的用户名和密码，使黑客可以劫持一个Telnet 会话。

        简单网络管理协议（SNMP）

        SNMP 允许管理员检查网元的状态和修改SNMP 代理的配置。管理者收集所有由SNMP 代理发送的trap，并且直接从这些代理查询信息。SNMP 通过UDP 的161 和162 端口传递所有的信息。

       SNMP 所提供的有效认证是团体名。若管理者和代理有相同的团体名并处于权限允许的IP 地址段内，所有SNMP 查寻将被允许。早期的SNMP 信息都是以明文传输的，容易受到会话劫持和窃听的威胁，SNMP v3 版本能解决上述问题。

        域名系统（DNS）

        DNS 在解析域名请求时使用UDP 的53 端口。但是，在进行区域传输时使用TCP 的53 端口。区域传输是指以下两种情况：

•  客户端利用nslookup 命令向DNS 服务器请求进行区域传输；
•  从属域名服务器向主服务器请求得到一个区域文件。
  

    黑客可以攻击一个DNS 服务器并得到它的区域文件。其结果是黑客可以知道这个区域中所有系统的IP 地址和计算机名字。可配置前端防火墙过滤和审计所有到DNS 服务器的区域传输，或只接受特定主机的区域传输。

       3.3.2 防火墙系统

       目前，防火墙已经成为世界上用得最多的网络安全产品之一。那么，防火墙是如何保证网络系统的安全，又如何实现自身安全的呢？

        防火墙是一种将内部网和公众网如因特网分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内外网之间的任何活动，保证了内部网络的安全。防火墙的安全技术包括包过滤技术、网络地址转换——NAT 技术、代理技术等。

     包过滤技术

       包过滤技术（Packet Filter）是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择的控制与操作。包过滤场景如下：

       企业和个人可以对来自因特网的包，只允许合法Web 服务器的包通过，这条规则可以防止网络内部的任何人访问其他网站和应用。例如在防火墙上设置只允许目的地址为80 端口的包通过，这条规则只允许传入的连接为Web 连接，但也允许与Web 连接使用相同端口的连接，即外部主机用TCP80 端口可以访问本地的Web 服务器，所以它并不是十分安全。

       从前的包过滤只是与规则表进行匹配，称为静态规则。防火墙的IP 包过滤，主要是根据一个有固定排序的规则链过滤，其中的每个规则都包含着IP 地址、端口、传输方向、分包、协议等多项内容。现今防火墙可以基于连接状态检查，将属于同一连接的所有包作为一个整体的数据流待，通过规则表与连接状态表的共同配合进行检查。 如：某企业设置只允许本地特定的几个IP 访问80 端口的目的地址，在防火墙上设置一条单向规则即可，而不用设定从目的地址80 端口来的数据流可以访问本地特定IP 地址。

       网络地址转换NAT

       NAT 是一种用于把内部IP 地址转换成临时的、外部的、注册的IP 地址的标准。它允许具有私有IP 地址的内部网络访问因特网。它还意味着用户不需要为其网络中每台机器取得注册的IP 地址。
   NAT 的工作过程如图3.2 所示：

     

    在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP 地址和端口来请求访问。

    代理技术

        应用代理是代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达外部服务器，同时将外部服务器的响应再回送给用户。这种技术被用于在Web 服务器上高速缓存信息，并且扮演Web 客户和Web 服务器之间的中介角色。它主要保存因特网上那些最常用和最近访问过的内容，为用户提供更快的访问速度，并且提高网络安全性。这项技术在高校很常见，配置IE 代理，就可以通过高校的代理服务器上网，管理员可以在服务器单机上检测整网的安全日志和流量。

      3.3.3 IDS/IPS

IDS

        什么是IDS

        入侵检测是指为通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。它的作用包括威胁、检测、响应、损失情况评估、攻击预测和起诉支持。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detective System，简称IDS），它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象，其主要作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。

        IDS 系统以后台进程的形式运行，发现可疑情况，立即通知有关人员。防火墙为网络提供了第一道防线，入侵检测系统是在防火墙后又增加了一道防线，从而可以减少网络免受各种攻击的损害。假如说防火墙是一幢大楼的门锁，那入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼，但不能保证小偷100％地被拒之门外，更不能防止大楼内部个别人员的不良企图。而一旦小偷爬窗进入大楼，或内部人员有越界行为，门锁就没有任何作用了，这时，只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者，同时也针对内部的入侵行为。

     具体来说，入侵检测系统的主要功能有以下几点：

•  监督并分析用户和系统的活动；
•  检查系统配置和漏洞；
•  评估系统关键资源和数据文件的完整性；
•  识别已知的攻击行为；
•  对异常行为进行统计分析；
•  操作系统日志管理，识别违反安全策略的用户活动。
  

    为什么需要IDS

    随着攻击工具和手法日趋复杂多样，网络环境、设备越来越复杂，网络管理员频繁地给系统补漏，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要。传统防火墙的不足主要体现在以下几个方面：

•  防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB 服务的蠕虫等；
  

•  有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。由于防火墙具有以上一些缺陷，所以部署了防火墙的安全保障体系还要进一步完善。在这种情况下，入侵检测系统成为安全市场的新热点，逐渐受到人们的关注，并且已经在各种环境中发挥了关键作用。
  

       IDS 的分类及工作方式

        从具体工作方式上看，入侵检测系统可分为主机型、网络型和混合型，不管使用哪种方式，都需要查找攻击特征（Attack Signature），所谓特征签名，就是用一种特定的方式来表示已知的攻击方式。
   
     （1）主机型入侵检测系统
    主机型入侵检测系统（Host-based IDS，简称HIDS）往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。

      主机型入侵检测系统的主要优势在于：

•  性价比高，尤其是在主机数量较少的情况下，采用此种方式更为适合；
•  很容易监测一些活动（比如对敏感文件、目录、程序或端口的存取），而这些活动很难在基于网络的线索中被发现；
•  视野集中，一旦入侵者得到一个主机的用户名和口令，基于主机的代理最有可能区分正常活动和非法活动；
•  易于用户定制，每个主机都有自己的代理，用户定制更方便；
•  由于存在于现行网络结构中，使得基于主机的系统效率很高，因此不要求额外的硬件平台；
•  由于基于主机的系统安装在遍布企业的各种主机上，因此它们更适用于被加密的和交换的环境中。
  

     （2）网络型入侵检测系统

       网络型入侵检测系统（Network-based IDS，简称NIDS）通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。NIDS 的数据源是网络上的数据包，一般是将一台机器的网卡设为混杂模式（promisc mode），监听所有本网段内的数据包并进行判断。网络型入侵检测系统担负着保护整个网段的任务。

    网络型入侵检测系统的主要优势在于：

•  可以检查到主机型入侵检测系统漏掉的攻击；
•  检测速度快，通常能在微秒或秒级发现问题，并做出更快的通知和响应；
•  作为安全监测资源，与主机的操作系统无关；
•  隐蔽性好，基于网络上的监测器不像主机那样显眼和易被识别，因此不容易遭受攻击；
•  视野更宽阔，它可以在网络的边缘上，即攻击者尚未接入网络时就被制止；
•  使用正在发生的网络通讯进行实时攻击的检测，因此攻击者不易转移证据；
•  由于使用一个监测器就可以保护一个共享的网段，与主机型的相比，不需要很多监测器；
•  占用资源少，在被保护的设备上不需占用任何资源。
  

     （3）混合型入侵检测系统

       基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。
   
      IPS
   什么是IPS

       IPS（Intrusion Prevention System），即入侵防护（防御）系统，有时又称IDP（Intrusion detection
and Prevention），即入侵检测和防御系统，指具备IDS 的检测能力，同时具备实时中止网络入侵的新型安全技术设备。 IPS 主要包括检测和防御两大系统组成，理想的IPS，应具备从网络到主机的防御措施，及预设定的响应设置，通常由IDS 和防火墙技术分别发展、组合而成。检测和实时防御，这就是IPS 的最重要的性能特征。
入侵防护系统IPS 提供一种主动的、实时的防护，其设计旨在对常规网络流量中的恶意数据包
进行检测，阻止入侵活动，预先对攻击性的流量进行自动拦截，使它们无法造成损失，而不是简单
地在监测到恶意流量的同时或之后发出警报。IPS 是通过直接串联到网络链路中而实现这一功能的，
即IPS 接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击
源阻断，而不把攻击流量放进内部网络。

      为什么需要IPS

      如前文所述，IDS 虽然弥补了防火墙的某些缺陷，但是随着网络技术的发展，IDS 受到新的挑战：

•  IDS 旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。IDS 无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS 无能为力；
•  蠕虫、病毒、DDoS 攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS 无法把攻击防御在企业网络之外；
•  NIDS 与防火墙联动实际应用的缺点：使用、设置上复杂，影响FW 的稳定性与性能；阻断来自源地址的流量，不能阻断连接或单个数据包；黑客盗用合法地址发起攻击，造成防火墙拒绝来自该地址的合法访问；可靠性差，实际环境中没有实用价值；
•  TCP 重置的缺陷：只对TCP 连接起作用；IDS 向攻击者和受害者发送TCP Reset 命令，IDS 必须在40 亿字节的范围内猜测到达受害者时的序列号数，以关闭连接，这种方法在实际上是不可实现的；即使IDS 最终猜测到了到达受害者的序列号，关闭了连接，攻击实际上已经对受害者产生了作用。
  

      针对广大用户当前网络安全复杂的防护需求，防火墙+IDS 不能完全解决现实问题，IPS 作为新一代安全防护产品应运而生。简要说来，就是：

•  防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码；
•  IDS 由于旁路部署，无法阻断攻击，亡羊补牢，侧重安全状态监控，注重安全审计；
•  IPS 在线部署，精确检测出恶意攻击流量；主动防御、实时有效的阻断攻击；侧重访问控制，注重主动防御。
  

    IPS 的技术实现

       入侵防护技术的目的是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。通常实现上是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能被有效并准确的过滤掉。

        针对不同的攻击行为，入侵防护系统需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。

       3.3.4 VPN 系统

        虚拟专用网VPN（Virtual Private Networks）是企业内部网在Internet 等公共网络上的延伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。

       VPN 简介

    VPN 指的是在共享网络上建立专用网络的技术，其连接技术称为隧道。之所以称为虚拟网，主要是因为整个VPN 网络的任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。
    VPN 具有以下优点：

•  降低成本。企业不必租用长途专线建设专网以及保留大量的网络维护人员和进行设备的投资。
•  容易扩展。网络路由设备配置简单。
•  控制主动权。VPN 上的设施和服务完全掌握在企业手中。企业可以把拨号访问交给NSP去做，而自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
  

      VPN 通过采用“隧道”技术，在公网中形成企业的安全、机密的专用链路。常见的VPN 协议有PPTP，IPSec 和GRE 等。

       VPN 的安全性

       对于VPN 的实施来说，安全性是很重要的。如果不能保证其安全性，黑客就可以假扮用户以获取网络信息，会对网络安全造成威胁。

      点对点的隧道协议（PPTP）

       PPTP 是用来在公用网的通信系统间（通常是客户机和服务器间）建立一个专用通道。该协议使用Internet 通用路由封装（GREv2，Generic Routing Encapsulation）协议封装数据和信息/控制分组。

      PPTP 是在微软的拨号网络设备中集成的数据加密技术，采用密钥长度为40 比特的加密算法。在客户工作站与最终的隧道终结器协商PPP 时，加密的会话就建立起来了（中途的隧道交换机没有对PPP 数据包解密的能力）。

        IPSec

        IPSec 已成为VPN 的安全标准，用来进行对数据包的加密、认证和完整性确认。IPSec 标准是由一系列IP 级的协议组成，这些协议用于在IP 收发两端协商加密方法和数字签名方法。与点对点加密技术相比，IPSec 的安全性更高。它具有用户认证、保密性和数据完整性。

       IPSec 的另一个优点是其安全机制被松散地结合在密钥管理系统中，因此如果将来出现了更新更强大的密码算法就可直接用于这一体系结构，而无需对安全机制进行修改。

       通用路由封装协议（GRE）

        通用路由封装协议（GRE）规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE支持全部的路由协议（如路由信息协议、最短通路优先协议等），用于在IP 包中封装任何协议的数据包，可以很方便地利用Internet 连接特殊网络；通过GRE 还可以使用保留地址进行网络互联，或是对公共网隐藏企业网的IP 地址。但是，GRE 没有加密功能来防止网络侦听和网络攻击，从而无法保证传输数据的完整性和安全性，在实际使用中，如果将GRE 和数据加密技术（如IPSec）结合，可以提高网络的安全性。


返回到首页 《ITSS认证IT服务工程师培训教材》_试用版_2011_0311连载http://www.itilxf.com/thread-36464-1-1.html

ITSS、培训、服务、资格、评估、ITSS培训师、ITSS评估师、实施ITSS、ITSS符合性、ITSS服务工程师、ITSS服务项目经理、ITSS标准、ITSS咨询、ITSS工具、IT服务监理、ITSS体系、ITSS服务质量、评价、指标、运维、治理、咨询、ITSS出版物、ITSS产品、服务监理工具、服务质量评价工具、标准符合性评估工具、服务管理工具、服务治理工具、系统监控工具、辅助决策分析、服务支持管理、基础设施监控、ITSS基础教材、ITSS标准、ITSS服务人员培训教材、标准化、专业化、人员（People）、流程[1]（Process）、技术（Technology）和资源（Resource），简称PPTR、规划设计（Planning&Design）、部署实施（Implementing）、服务运营（Operation）、持续改进（Improvement）和监督管理（Supervision），简称PIOIS、服务交付规范、资源要求、外包管理、服务交付、分类、代码、服务指南、通用要求、指标体系、ITSS落地实践交流-QQ群：21542747