M000 0006 网络安全概论(中文版V1.0)定稿.docVIP

安全特性总体概述 概述 网络安全是一个综合性的技术。在Internet这样的环境中，其本身的目的就是为了提供一种开放式的交互环境，但是为了保护一些秘密信息，网络安全成为了在开放网络环境中必要的技术之一。网络安全技术是随着网络技术的进步逐步发展的。 网络安全关注的范围 在开放式的网络环境中，每个网络是一种对等的关系，相互之间可以直接访问。为了增强网络的安全性，需要将这种对等界定在一定的范围之内。将一个网络划分为多个部分，在同一个网络中的某些主机可以认为是“互相信任的”，而和其它的的主机处于一种“不信任关系”，使开放的环境处于一种受控的状态。同时信息加密也是保证数据安全的一种十分重要的手段。 产生网络安全事故的很多原因是人为因素，例如安全意识淡漠、有意利用自己的某些特权等等。因此保护网络的安全除了要进行技术上的更新同时还需要对员工进行必要的安全意识教育。 网络安全的必要技术 网络安全是一个综合性的技术，一般可以按照网络安全的技术特点以及针对的情况，可以大致分为以上几种技术。每一种技术的技术特点在后面章节将详细介绍。 一般来说，网络的攻击方式主要有以下一些方式： 窃听报文 —— 攻击者使用报文获取设备，从传输的数据流中获取数据并进行分析，以获取用户名/口令或者是敏感的数据信息。通过Internet的数据传输，存在时间上的延迟，更存在地理位置上的跨越，要避免数据不受窃听，基本是不可能的。 IP地址欺骗 —— 攻击者通过改变自己的IP地址来伪装成内部网络用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者是伪造一些可接受的路由报文（如发送ICMP的特定报文）来更改路由信息，以窃取信息。 源路由攻击 —— 报文发送方通过在IP报文的Option域中指定该报文的路由，使报文有可能被发往一些受保护的网络。 端口扫描 — 通过探测防火墙在侦听的端口，来发现系统的漏洞；或者事先知道路由器软件的某个版本存在漏洞，通过查询特定端口，判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击，使得路由器整个DOWN掉或无法正常运行。 拒绝服务攻击 —— 攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。Mellisa宏病毒所达到的效果就是拒绝服务攻击。后来拒绝服务攻击又有了新的发展，出现了分布式拒绝服务攻击，Distributed Denial Of Service，简称DDOS。许多大型网站都曾被黑客用DDOS方式攻击而造成很大的损失。 应用层攻击 —— 有多种形式，包括探测应用软件的漏洞、“特洛依木马”等。 总之，网络攻击的主要手段就是寻找TCP/IP网络中可能出现的漏洞。有些攻击手段是针对于特定的操作系统，这些都属于应用层攻击。 可靠性和线路安全 可靠性要求主要是针对物理设备提出的，如设备具有主从备份、负载分担的能力，同时为了达到良好的可靠性需求应该保证路由器等重要的网络设备工作在安全的环境中。线路安全主要是指线路本身不被非法盗用和窃听，所以应注意在隐蔽的和不安全的地方不要留下可以连接到网络的接口。 身份认证 身份认证是网络安全中解决的一个重要的问题，主要保证的是只有合法的用户、经过授权的用户才可以访问、控制路由器，如配置路由器时需要验证用户名和密码。同时还需要保证和其它网络设备的信息交互具有合法的身份认证，如防止伪造路由信息的侵入等。 因此在一些对路由器重要信息的场合，都需要进行身份验证，保证信息来源的可靠。 访问控制 访问控制是路由器提供的一种重要的安全策略，访问控制可以有效的防止一些非法的访问。 注：五元组是指IP包头中的源IP地址、目的IP地址、协议号、源端口、目的端口5个元素。 信息隐藏 地址转换技术，主要使用在内部局域网对公有网络的访问。使用地址转换技术不仅可以使用许多局域网用户可以共享一个IP地址上网，而且可以使内部局域网的网络结构、IP地址等信息都不在Internet上暴露，增强了这个内部局域网的安全特性。 数据加密和防伪 数据加密技术主要是将需要在Internet上传递的数据加密。加密技术包含两个方面：一个是普通的加密、一个是防伪。防伪技术就是可以防止报文被不法分子截获报文之后，将报文修改，然后重新放到网上继续传递。 数据加密防伪是保护Internet上数据安全的一个重要手段，利用这种技术可以在Internet上为用户提供一种“安全的VPN”服务，利用加密技术可以为用户提供一种安全的在Internet上传递数据的手段。 安全管理 对路由器等重要网络设备的管理是保证路由器安全运行的一个重要方面，一定要保证没有权限的用户不能随便配置路由器，也不能得到路由器的配置信息。网络安全同样需要保障网络拓扑信息的安全。 Quidway路由器的安全技术 AAA是验证、授权、记帐的简