網際網路網路安全概述

網路安全

目前，網際網路正在不斷改變我們工作、生活、學習以及娛樂的方式，並給我們帶來了極大的便利。但是，隨著網際網路的空前發展以及網際網路技術的不斷普及，使得我們面臨另外一個困境：私人資料、重要的企業資源以及政府機密等資訊被前所未有的暴露在公共網路空間之下，而網際網路和IP協議體系的開放性使得這些重要的私有資訊很容易被獲取。駭客們可以透過不同型別的攻擊威脅上述機構，而且這種威脅日益明顯。

2003年初，Symantec對全球30多個國家或地區部署了1000多個入侵檢測系統和防火牆的400多家公司進行抽樣分析。根據分析結果，Symantec釋出了《2002年Internet安全威脅報告》。據該報告描述，Internet威脅以多種方式不斷強化和發展。儘管測量到的計算機攻擊總數首次稍有下降，但許多未部署或未有效部署安全服務的組織或機構所遭受的攻擊數量和攻擊的相對嚴重程度急劇上升。

而且這些攻擊正變得越來越普遍，同時也更加容易實施。其中主要有三個原因：

第一，網際網路無處不在。目前與網際網路相連的網路裝置有成百上千萬臺，而且這一數量仍在不斷增加。這樣一方面駭客可以在任何地點任何時候實施攻擊，一方面可供駭客選擇的目標也非常多，駭客對易受攻擊的裝置的訪問也將愈加頻繁。同時，網際網路的全球性還使得駭客能夠在全球範圍內共享攻擊技巧等知識資訊。

第二，易用型作業系統和開發環境的普及。這一因素降低了對於駭客的技巧和知識的要求。一個真正出色的駭客可以開發出易於使用並廣泛傳播的應用程式，即駭客工具。這些駭客工具對於普通使用者而言非常簡單且易於使用，他們僅需一個IP地址或主機名以及點選滑鼠即可實施攻擊。

第三，電子郵件的大量普及和作業系統漏洞的頻繁暴露。電子郵件的普及和濫用使得各種病毒的傳播變得更加簡單。各種作業系統的漏洞由於漏洞披露活動的開展以及漏洞研究人員媒體曝光率的增加而被頻繁暴露。據Symantec《2002年Internet安全威脅報告》稱，2002年的各種作業系統的漏洞總數比2001年增長81。5%，而在所有這些漏洞中，大約有60%的漏洞可以很容易被利用。

本文主要介紹目前比較常見的網路攻擊型別，並針對這些攻擊提出相關解決方案。

一、網路攻擊型別

根據過去的經驗以及網路實際執行情況來看，目前的網路安全性威脅來自多個方面，主要包括外部駭客善意或惡意的攻擊、內部員工有意或無意的機密洩漏以及各種病毒的入侵。這些安全威脅具體體現為以下幾類：

□ 報文竊聽

攻擊者使用報文獲取工具（如Sniffer等），從網路傳輸的資料流中獲取資料並進行分析，以獲取使用者名稱/口令或者其他敏感的資料資訊。這種攻擊方式利用工作於混合模式的網絡卡捕獲透過某個衝突域的所有網路分組。這種分組捕獲最初用於流量分析與故障排除，但後來被用於竊取以明文方式傳輸的敏感資訊，如使用者名稱與密碼。

□ 報文篡改

攻擊者採取與竊聽報文類似的手段，但不是簡單地複製報文，而是截獲報文，而後不僅可以從這些報文資料中獲得一些敏感資訊，而且可以任意更改報文中的資料並繼續傳送給原目的地，這樣就能造成比竊聽報文型別攻擊更大的危害。

□ IP地址欺騙

攻擊者透過改變自己的IP地址來偽裝成內部網使用者或可信任的外部網路使用者，以合法使用者身份登入那些只以IP地址作為驗證的主機；或者傳送特定的報文以擾亂正常的網路資料傳輸，甚至是偽造一些可接受的路由報文（如傳送ICMP的特定報文）來更改路由資訊，以竊取資訊。IP地址欺騙另外一個典型的例子是用騙取的源地址隱藏駭客的身份，從而引發拒絕服務攻擊（DoS）。

□ 源路由攻擊

報文傳送方透過在IP報文的Option域中指定該報文的路由，使報文有可能被髮往一些受保護的網路。

□ 網路偵察

網路偵察是指運用公用的資訊或應用程式獲得有關目標網路資訊的一種攻擊手段。當駭客試圖入侵某個網路之前，利用域名系統查詢（DNS）、Ping掃描或埠掃描等工具來探測系統資訊以及正在偵聽的埠，來發現系統的漏洞；或者事想知道某個系統存在漏洞，透過查詢特定的埠，來確定是否存在漏洞。然後利用這些漏洞對系統進行攻擊，導致系統癱瘓或無法正常執行。

□ 拒絕服務攻擊（DoS）

DoS（Denial of Service，拒絕服務攻擊）攻擊是透過傳送大量報文導致網路資源和頻寬被消耗，從而達到阻止合法使用者對資源的訪問。Mellisa宏病毒所達到的效果就是拒絕服務攻擊。最近拒絕服務攻擊又有了新的發展，即分散式拒絕服務攻擊（Distributed Denial of Service），許多大型網站都曾被駭客用該種方法攻擊過且造成了較大的損失。DoS攻擊有很多種，如TCP SYN Flood、Ping of Death等。

□ 密碼攻擊

駭客可以採用幾種不同的方法實施密碼攻擊，包括暴力攻擊、特洛伊、IP地址欺騙以及報文竊聽。雖然報文竊聽與IP地址欺騙可以獲得使用者賬號和密碼，但密碼攻擊通常是指多次試圖識別一個使用者賬號和密碼的行為，這種多次重複的攻擊行為稱為暴力攻擊。

□ 中間攻擊

進行中間人攻擊需要駭客能夠訪問網上傳輸的網路資料，比如某個運營商的工作人員能夠訪問其客戶的網路與其他網路之間傳輸的資料，這就會產生一種典型的中間攻擊行為。這種攻擊的主要目的是竊取資訊、截獲正在傳輸中的會話以便訪問專網資源、進行流量分析以獲取關於一個網路及其用途的資訊、拒絕服務、破壞傳輸資料以及該網路或話中植入新的資訊。

□ 應用層攻擊

駭客可以透過多種方法實施應用層攻擊。最常用的一種方法是利用伺服器上通用軟體的常見漏洞，包括電子郵件、HTTP以及FTP。透過探測並利用這些漏洞，駭客能夠獲得執行應用程式的賬號許可，從而得以訪問計算機及其資源。

與應用層相關的另外一個攻擊主要是透過使用被允許穿越的通用防火牆埠，如利用知名的TCP埠80來攻擊WEB伺服器。

大部分計算機病毒、“特洛依木馬”等也是威脅應用層安全的重要因素。

三、網路安全技術

隨著網路應用尤其是在一些敏感應用（如電子商務）的逐漸普及，以及上文所述各種網路攻擊的劇增，使得網路安全成為目前網路規劃和設計首先需要考慮的問題。部署網路安全性機制主要依賴於網路安全策略的制定和各種網路安全技術的使用。

在使用各種網路安全技術對網路進行安全機制部署時首先需要考慮網路裝置的安全特性，這些安全特性往往針對特定的網路攻擊行為，其目的是為了儘量避免網路中各種安全隱患的出現，降低網路受到攻擊的可能性，最終有效地提高網路通訊的可靠性和安全性。下面簡單羅列了一些安全特性。

可靠性與線路安全性：可靠性要求主要是針對故障恢復能力提出來的。對於網路裝置而言，可靠性主要體現在裝置本身故障、網路介面故障、傳輸鏈路故障和突發性網路流量劇增等情況下的通訊能力上。為此，備份是網路中不可缺少的功能元件，可以從多個層面實現備份功能，如裝置備份、介面備份、鏈路備份以及負載均衡等。線路安全性主要體現於廣域網鏈路和網路裝置接受呼入兩個方面。從目前的廣域網線路使用狀況來看，DDN、SDH等專線系統最安全，幀中繼、ATM等分組系統次之，IP都會網路安全性最低。

身份認證：使用者身份認證是實現網路安全防護的基礎功能。只有經過認證的使用者才可以享受服務，而未經認證的使用者則被拒絕。身份認證表現在多個方面，一是訪問網路裝置時的使用者身份認證，二是網路裝置之間互聯時的裝置身份認證，三是動態路由資訊更新時的路由身份認證。

防地址欺騙：為了有效防止假冒IP地址和MAC地址，網路裝置可以使用地址繫結技術嚴格控制使用者的接入，如繫結使用者接入的埠與MAC地址、IP地址等。

訪問控制：訪問控制主要是限制使用者對網路資源的非法訪問和使用。訪問控制主要體現在以下幾個方面——對網路裝置的訪問控制、基於IP地址的訪問控制、基於使用者的訪問控制、基於資料流和連線狀態的訪問控制、基於VLAN的訪問控制等。

網路地址轉換（NAT）：網路地址轉換可以隱藏私網地址，只通過公網地址來訪問外部網路，可以遮蔽私網的非法地址，可以限制和管理外部網路對內部網的訪問，因此可以有效保護內部網路的安全，同時也起到了對內、外網路資料交換的管理作用。

資料加密：透過網際網路進行資料傳輸無法保證資料不被竊聽和篡改，為了避免因為資料被竊聽而導致敏感資訊的洩漏，有必要對需要在網際網路上傳輸的資料進行加密處理。資料加密可以確保資料的機密性和完整性。

金鑰管理：為了配合資料加密的要求，必須有嚴格、安全的金鑰管理體系，以負責金鑰的生成、分配和有效期管理。

入侵檢測和防範：入侵檢測和防範功能可以有效記錄攻擊者的攻擊資訊並提供相應的解決措施，能夠成功抵禦一部分攻擊。

策略管理和安全管理：透過對經過網路邊緣裝置的內外網資料流進行安全性稽核可以提供網路執行的必要資訊，同時有助於分析網路的執行狀況。一個良好的安全策略管理機制可以使使用者較為容易地構建一系列沒有漏洞的安全策略，進一步提高網路裝置對所處理資料的安全保護程度。

針對上述安全特性，業界提出多項網路安全技術，詳見下文描述。

□ AAA（Authentication，Authorization，Accounting）

AAA定義了一個結構性的框架，透過該框架可以以統一的方式配置三種獨立的安全功能：使用者認證、授權和記費。

使用者認證：各種使用者（包括登入、撥號接入使用者等）在可以訪問網路資源（包括網路裝置）之前必須先經過驗證。AAA提供了識別使用者的方法，包括登入和密碼對話方塊、挑戰和響應、訊息支援以及加密等功能。在對使用者進行認證時可以採用本地維護的使用者資料庫，也可以採用Radius伺服器所維護的使用者資料庫。

使用者授權：透過定義一組屬性來限定使用者對網路資源的訪問許可權。這些屬性資訊存放在相應的使用者資料庫內，資料庫可以在本地也可以在外部Radius伺服器上。使用者授權的方法多種多樣，包括一次性授權或根據每個服務進行單獨授權等。

使用者記費：提供一種收集使用者服務資訊，併發送給安全伺服器的方法。這些資訊可用於開列帳單、審計並形成報表，如使用者標識、開始時間和停止時間、執行的命令、資料包的數量和位元組數等等。該功能使得網路裝置可以對使用者享受的服務和消耗的網路資源數量進行跟蹤記錄。當選擇了該項功能時，使用者的訪問資訊便會存入相應的使用者資料庫內，根據資料庫，就可以產生各類使用者帳單資訊。

在大多數環境下，AAA使用Radius、Kerberos等協議來管理上述安全功能。如果我們使用的網路裝置是作為網路訪問伺服器（NAS）來使用的話，透過AAA我們可以在NAS與Radius或Kerberos等伺服器之間建立通訊。

□ CA

CA技術是一種可靠性、安全性較高的認證技術，它基於公開金鑰體系（PKI），透過安全證書來實現認證功能。CA採用X。509格式的安全證書來作為訪問使用者的“身份證”，在X。509證書中，包括了X。509證書的版本號、簽發者的身份資訊、持證使用者的身份資訊、持證使用者的公鑰、證書的有效期以及其他一些附加資訊。在附加資訊中包含了簽發者對該證書的數字簽名，用以確保證書的不可偽造性和不可更改性。

□ CallBack

PPP CallBack在點對點連線的端點間提供一種客戶端/伺服器的關係。PPP CallBack允許一端的網路裝置請求透過撥號與之相連的另一端網路裝置向本端發起回叫。CallBack特性用於控制使用者訪問和長途電話費用。利用CallBack技術可增強線路源的安全性。回呼處理中，Server方根據本地配置的呼叫號碼呼叫Client方，從而避免因使用者名稱、口令失竊而導致的不安全性。此外，Server方還可根據本地配置，對呼入請求進行分類，即拒絕呼叫、接收呼叫（不回呼）和接收呼叫（回呼），從而對不同的Client方實施不同的限制。同時Server方在外部呼入時可以實現資源訪問的主動性。

□ 包過濾技術

IP報文頭部及上層協議報文（如TCP/UDP）頭部包含了各種豐富的資訊，根據這些資訊，網路裝置可以將些報文進行分類處理，包過濾通常透過訪問控制列表（ACL）來實現。ACL可以利用IP報文中的以下屬性欄位實現包過濾：IP的源/目的地址及協議域、TCP/UDP的源/目的埠域、ICMP的型別域、IGMP的型別域、TCP的標誌域（ACK和RST）等。擴充套件ACL還可以使用時間等屬性實現包過濾。根據這些域及屬性可以組合成不同的訪問規則以供ACL匹配使用。

□ 網路地址轉換（NAT）

NAT用於實現內網私有地址和外網公共地址的相互轉換，其優點在於避免了內網非法地址和外網公共地址之間的衝突，遮蔽了內網的實際地址，隱藏了內網的結構，增強了內網對外網以及外網對內網訪問的可控性和安全處。NAT往往與ACL包過濾技術結合使用。

□ VPN技術

VPN主要用於解決在公網上傳輸私有資訊並保證這些私有資訊的安全性。VPN提供的安全性主要包括隧道與加密、資料認證、使用者認證、防火牆與入侵檢測等。

通常VPN在鏈路層和網路層透過隧道機制實現。在鏈路層實現的VPN稱為第二層VPN，主要包括PPTP、L2TP、L2F等。在網路層實現的VPN稱為第三層VPN，主要包括GRE和IPSec。IPSec是目前唯一一種能為任何形式的網際網路通訊提供安全保障的協議。此外，IPSec也允許提供基於資料流或者基於連線的安全特性，所以能夠提供各種複雜的安全控制手段。對於使用者而言，可以根據不同的業務需求定義不同級別地安全保護措施（即不同保護強度的IPSec通道）。IPSec可以透過多種加密演算法（如DES、3DES、RSA等）保護資料的機密性、透過多種驗證演算法（如HMAC-MD5、HMAC-SHA等）保護資料的完整性、並透過多種認證技術提供資料來源認證和反重播等安全服務，使得資料在透過公網傳輸時不用擔心被監視、篡改或偽造。

IPSec採用封裝機制來實現上述加密、認證等服務，相關封裝協議包AH和ESP。ESP用於確保IP資料包的機密性、資料的完整性以及對資料來源地址的認證，同時還具有抗重播的特性。AH用於為IP資料包提供資料完整性、資料包源地址認證和一些有限的抗重播服務，與ESP協議相比，AH不提供對通訊資料的加密服務，同樣提供對資料的驗證服務，但能比ESP提供更加廣的資料驗證服務。

□ 金鑰交換技術

IPSec VPN主要是透過加密、驗證等演算法實現資料的安全保護，這些演算法的核心是金鑰的使用，為了保證金鑰使用的安全性和方便性，需要一種機制來負責金鑰的生成、分配和有效期管理。網際網路金鑰交換協議（IKE）就提供了這種金鑰交換機制，IKE用於協商和建立IPSec通訊雙方的安全聯盟（SA），實際上就是對雙方所採用的加密演算法、驗證演算法、封裝協議和有效期進行協商，同時安全地生成以上演算法所需的金鑰。

□ VLAN

VLAN允許網路管理員將傳統單廣播域的區域網（LAN）邏輯劃分為多個廣播域。由於VLAN是邏輯劃分而非物理劃分，所以一個VLAN的所有工作站無需位於同一物理位置。透過有效部署，一個VLAN內的網路流量（包括廣播、組播或單播）將不會被髮送到另一個VLAN中，即可以實現不同VLAN間的嚴格隔離。因此，VLAN具有如下好處：可以有效提升網路整體效能、實現虛擬工作組、提高網路安全性。

□ PPP鏈路層認證

在點對點專線或撥號線路上（封裝PPP協議）為了防止非法鏈路的接入，需要部署安全特性，通常透過PAP或CHAP認證來實現。CHAP相對複雜一點，它基於三次握手過程：首先認證方向請求方傳送一個挑戰訊息，請求方利用挑戰資訊與CHAP密碼透過雜湊演算法計算出一個值，並將該值與CHAP使用者名稱一起透過響應訊息發回認證方，認證方收到響應訊息後根據CHAP使用者名稱查詢對應的密碼並以相同的雜湊演算法計算出一個值，如果該值與接受的響應訊息中的值相同，則認證透過，並返回一個確認訊息。

□ 寬頻認證

隨著基於乙太網技術的都會網路的普及以及寬頻接入技術的快速發展，運營商需要對接入使用者進行有效的安全認證，以防止非法使用者的使用和入侵。這些安全認證技術包括PPPoE、802。1X等。

透過PPPoE可以實現基於乙太網的主機與接入伺服器間的安全認證，主機與接入伺服器之間的會話基於PPP協議，認證採用PAP或CHAP技術。使用這種模型，接入控制、計費和服務型別能夠基於每使用者、而不是每站點來處理。PPPoE包含發現和PPP會話兩個階段，發現階段是無狀態的Client/Server模式，目的是獲得PPPoE終結端的乙太網MAC地址，並建立一個唯一的PPPoE SESSION_ID。發現階段結束後，就進入標準的PPP會話階段。通常PPPoE的認證功能透過結合AAA伺服器來實現。

802。1X協議起源於無線區域網（WLAN），目前在城域乙太網接入中得到廣泛使用。PPPoE是基於會話的認證方式，而802。1X是基於埠的認證方式，通常在乙太網交換機上即可實現。802。1X將使用者報文分為業務報文和認證報文兩種。正常時，接入交換機埠狀態為閉鎖狀態，當用戶上網時，由使用者或使用者交換機發起認證申請，認證通過後，由支援認證的交換機對使用者交換機埠進行重新配置，並將埠狀態置為開啟，此時使用者方可傳輸正常業務報文。

□ 增強防火牆

一般防火牆根據IP報文頭部資訊透過訪問控制列表進行包過濾以實現安全訪問控制功能，而增強型防火牆可以根據IP報文的上層內容資訊實現訪問控制，以實現部分應用層的網路攻擊防範功能，如檢測SMTP命令、SYN Flooding、IDS等。基於狀態的增強型防火牆則可以實現動態訪問列表的生成。

□ 入侵檢測與防範

透過單播RPF、Flood Guard、Flood Defender、TCP Intercept、FragGuard、DNS Control、URL過濾等技術可以實現入侵檢測與防範的安全服務功能。

□ 安全管理

安全管理包括了兩部分內容：一是如何蒐集相關的資訊；二是如何及時利用這些資訊來為網路提供安全服務。資訊蒐集可以透過以下途徑：訪問列表的日誌功能、關鍵事件的記錄資訊、Debug資訊。對這些重要資訊進行分析，便可以得到當前網路裝置的執行狀況，或者瞭解當前攻擊者的攻擊手段，進而可以自動或手工地實施相應的抵禦策略。

□ 硬體加密

採用硬體加密能夠利用高效的硬體技術來實現一系列網路安全中所涉及到的加密應用，減輕CPU的負擔，大大地降低了網路安全協議處理所需的CPU等系統資源，提高網路裝置安全協議的處理能力，消除了軟體加密方式下的效能瓶頸。目前，採用硬體加密可以實現如下幾種安全技術：對稱加密演算法DES、Triple-DES、RC4等，非對稱加密演算法RSA、DH、DSA等，認證演算法MD5、SHA-1等，壓縮演算法LZS、MPPC等。

□ 路由認證

路由器採用動態路由協議更新路由表，其過程依賴於路由資訊的互動，而路由資訊是透過網路在不同的路由器間轉發的，所以，在接受任何路由資訊之前，有必要對該資訊的傳送方進行認證，以確保收到的路由資訊是合法的。典型的如OSPF、RIPv2等動態路由協議中的認證技術。

三、網路安全部署

在分析了網路攻擊型別並瞭解了相關網路安全技術後，就需要考慮如何在網路規劃與設計中有效部署網路安全性機制。

為了有效部署網路安全性機制，我們首先需要準確定位網路安全威脅的分佈以及相應的安全性需求。下面結合圖例具體闡述一個典型的企業網網路安全威脅分佈，並提出相應解決方案。