網路安全概述

資產保護

資產的型別：任何有效的風險分析始於需要保護的資產和資源的鑑別。
物理資源、知識資源、時間資源、信譽資源

損失：即時的損失、長期的恢復所需花費

需要考慮：使用者的方便程度、管理的複雜性、對現有系統的影響、對不同平臺的支援

資訊保安模型

資訊保障：通過確保資訊和資訊系統的可用性、完整性、可控性、保密性和不可否認性來保護資訊系統的資訊作戰行動，包括綜合利用保護、探測和反應能力以恢復系統的功能。

PDRR模型：保護、檢測、響應、恢復

網路攻擊型別及分類

攻擊屬性：阻斷攻擊、擷取攻擊、篡改攻擊、偽造攻擊

攻擊方式：主動攻擊、被動攻擊
主動攻擊：偽裝、回答、修改報文、拒絕服務
被動攻擊：傳輸報文內容的洩露和通訊流量分析

訪問攻擊：窺探、竊聽、截獲（機密性、可審性）
篡改攻擊：改變、輸入、刪除（完整性、可審性）
拒絕服務攻擊：拒絕訪問資訊、拒絕訪問應用、拒絕訪問系統、拒絕訪問通訊（可用性）
否認攻擊：假冒、否認（完整性、可審性）

網路資訊保安服務

機密性服務、完整性服務、可用性服務、可審性服務

數字簽名是通訊雙方在網上交換資訊用公鑰密碼防止偽造和欺騙的一種身份認證。

訪問控制是確定來訪實體有否訪問權以及實施訪問許可權的過程。

網路安全評估

風險評估就是從風險管理的角度，運用科學的方法和手段，系統地分析網路與資訊系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的防禦威脅的防護對策和整改措施，以防範和化解資訊保安風險，或者將風險控制在可接受的水平，從而最大限度地保障網路和資訊保安。

網路攻擊

DNS威脅與防範

DNS：在域名和IP地址之間進行轉換。採用層次樹狀結構

查詢方式：遞迴查詢、迭代查詢

DNS應答包被客戶端接受需要滿足的五個條件：
​ 應答包question域和請求包question域的域名資訊一致；
​ 應答包的Transaction ID和請求包中的Transaction ID一致；
​ 應答包的源IP地址與請求包的目的IP地址一致；
​ 應答包的目的IP地址和埠與請求包的源IP地址和埠一致；
​ 第一個到達的符合以上四個條件的應答包。

DNS的安全漏洞主要體現在以下三個方面：
​ DNS報文只使用序列號來進行有效性鑑別；
​ 在DNS應答報文中可以附加資訊；
​ DNS的快取機制。

DNS安全威脅：緩衝區溢位攻擊、拒絕服務攻擊、資訊洩漏

DNS攻擊的防範：選擇安全的沒有缺陷的BIND版本、DNS伺服器配置正確可靠

ARP攻擊

ARP協議：地址解析協議，是根據IP地址獲取實體地址的一個TCP/IP協議。

ARP攻擊技術：傳送大量虛假MAC地址資料包、ARP欺騙、修改本地MAC地址
​ ARP欺騙：ARP欺騙利用修改主機ARP快取表的方法達到嗅探的目的，是一種中間人攻擊。主機C為了達到嗅探的目的，會向主機A和主機B分別傳送ARP應答包，告訴它們IP地址為IPB的主機MAC地址為MACC，IP地址為IPA的主機MAC地址為MACC。

ARP攻擊溯源：捕包分析、arp-a、tracert

ARP攻擊防禦方法：減少過期時間、建立靜態ARP表、禁止ARP

拒絕服務攻擊

Ping of Death：攻擊者故意在ICMP Echo資料包(Ping包)之後附加非常多的冗餘資訊，使資料包的尺寸超過65535個位元組的上限。接收方對這種資料包進行處理時就會出現記憶體分配錯誤，導致TCP/IP堆疊溢位，從而引起系統崩潰，掛起或重啟。

Teardrop：向目標機器傳送損壞的IP包，諸如重疊的包或過大的包載荷，該攻擊通過TCP/IP協議棧中分片重組程式碼中的bug來癱瘓各種不同的作業系統。

Land攻擊：用一個特別打造的SYN包，它的源地址和目標地址都被設定成某一個伺服器地址。此舉將導致接受伺服器向它自己的地址傳送SYN一ACK訊息，結果這個地址又發回ACK訊息並建立一個空連線。被攻擊的伺服器每接收一個這樣的連線都將保留，直到超時。

SYN洪水：每個機器都需要為半開連線分配一定的資源，這種半開連線的數量是有限制，這種半開連線的數量是有限制，目標機器不能進一步接受TCP連線。機器就不再接受進來的連線請求。

Smurf：攻擊者向一個廣播地址傳送ICMP Echo請求，並且用受害者的IP地址作為源地址；廣播地址網路上的每臺機器響應這些Echo請求，同時向受害者主機傳送ICMP Echo-Reply應答；受害者主機會被這些大量的應答包淹沒。

HTTP洪水：攻擊會佔用大量的HTTP程式，從而耗費大量的系統資源。最終，會導致系統因不堪重負而崩潰掉。

基於誤用的DDoS檢測：依賴於攻擊特徵的選取，利用特徵匹配、 模型推理、 狀態轉換和專家系統。
基於異常的DDoS檢測：取決於檢測模型的建立，包括統計檢測、模式預測、人工智慧檢測、機器學習檢測。

SQL隱碼攻擊

SQL隱碼攻擊：通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字串。

SQL隱碼攻擊的基本流程：尋找注入點、資訊採集、許可權判斷、攻擊系統

SQL隱碼攻擊防範：伺服器安全、程式碼安全

惡意程式碼

惡意程式碼是指在未經授權的情況下，在資訊系統中安裝、執行並達到不正當目的的程式。

計算機病毒

計算機病毒是指編制或者在計算機程式中插入的破壞計算機功能或資料，影響計算機使用並能自我複製的一組計算機指令或者程式程式碼。

特徵：可執行性、傳染性、隱蔽性、潛伏性、可觸發性、破壞性、寄生性、衍生性、誘騙性

生命週期：開發期、傳染期、潛伏期、發作期、發現期、消化期、消亡期

組成結構：引導模組、感染模組、表現（破壞）模組

傳播途徑：不可移動的計算機硬體裝置、移動儲存裝置、有線網路系統、無線通訊系統

傳播機制：目的是實現病毒自身的複製和隱藏。

木馬

木馬程式一般由客戶端和服務端組成：服務端是黑客植入到目標機器的獨立的木馬模組，等待接受客戶端的各種命令操作。客戶端是控制端，被使用木馬的黑客操控，享有服務端各種操作的最大許可權。

木馬和病毒最典型的區別就是：病毒依附於其它檔案或程式並自我複製，在執行指定的程式時被啟用執行；木馬通常把自己偽裝成一個有用的程式，一般來說自我複製並不是木馬功能的一部份。

計算機病毒具有破壞性和傳染性，對受害者的機器進行軟硬體破壞、刪除檔案、長期佔用CPU、不能重啟機子等各種破壞行為。計算機病毒能夠自動尋找其宿主物件，感染機器中的程式檔案，依附於其他程式，並可通過網路傳染給網路上的其他計算機，是一種具備傳染、隱藏、破壞、繁殖等能力的可執行程式，可以說傳染性是病毒最本質的性質之一。
計算機病毒相比，木馬主要以偷盜為主，偷取機密檔案，記錄各種密碼，為黑客提供控制受害者機器的後門等。為了能長期隱藏在主機中進行這些操作，木馬一般具有很好的隱蔽性，默默地潛伏在受害者機器中進行各種活動。木馬不具有自我複製性。

蠕蟲

蠕蟲可以獨立執行，並且自動複製自身並傳播到另一臺主機。

主體功能模組：探索模組、攻擊模組、傳輸模組、資訊蒐集模組、繁殖模組

功能結構模型：通訊模組、隱藏模組、破環模組、控制模組

目前,網路蠕蟲首先採用路由掃描，再利用隨機掃描進行傳播是最佳選擇。

啟動、隱藏

惡意程式碼啟動：登錄檔、任務計劃、配置檔案、檔案關聯、偽裝成服務、特定程式、驅動啟動、自動執行功能、瀏覽器

惡意程式碼隱藏：工作列隱藏、程式隱藏、通訊隱藏、隱藏載入方式

網路安全掃描

是指對計算機網路系統進行相關的安全檢測， 進而找出安全隱患和漏洞， 客觀評估網路風險等級， 有效地避免非法入侵行為， 做到防患於未然。發現主機或網路、 發現正在執行的服務進而發現潛在的漏洞、 能夠為漏洞提出解決方案。

網路安全掃描概述

掃描步驟：發現目標主機或網路；發現目標後進一步蒐集目標資訊， 包括作業系統型別、 執行的服務以及服務軟體的版本等；根據蒐集到的資訊判斷或者進一步測試系統是否存在安全漏洞。
​ 發現目標：Ping掃射
​ 搜尋資訊：埠掃描、服務識別、作業系統探測
​ 漏洞檢測：直接測試、推斷、帶憑證的測試

網路安全掃描技術

包括：埠掃描、漏洞掃描、作業系統掃描

埠掃描技術是一項自動探測本地和遠端系統埠開放情況的策略及方法， 它使系統使用者瞭解系統目前向外界提供了哪些服務， 從而為系統使用者管理網路提供了一種手段。 埠掃描流程：傳送資料到目標主機、等待接收目標主機返回的資料、分析返回資料、判斷埠是否開啟或關閉。

埠掃描原理： 向目標主機的TCP/IP服務埠傳送探測資料包， 並記錄目標主機的響應， 通過分析響應來判斷服務埠是開啟還是關閉， 即可得知埠提供的服務或資訊。 也可以通過捕獲本地主機或伺服器流入流出IP資料包來監視本地主機的執行情況， 通過對接收到的資料進行分析， 幫助我們發現目標主機的某些內在的弱點。分為全連線掃描、 半連線掃描、 祕密掃描。

漏洞掃描技術主要分為：基於網路系統漏洞庫的漏洞掃描、基於模擬攻擊的漏洞掃描

網路協議安全

TCP、IP、ARP、UDP、ICMP、SMTP、FTP、DNS

改進：網路層（IP封裝）、傳輸層（SSL）、應用層（數字簽名）

安全漏洞概述

安全漏洞又叫脆弱性。脆弱狀態是指能夠使用已授權的狀態變換到未授權狀態的已授權狀態。 受損狀態是指通過上述方法到達的狀態。 攻擊是指以受損狀態結束的已授權狀態變換的順序。

來源：軟體或協議設計時的瑕疵、軟體或協議實現中的弱點、軟體本身的瑕疵、系統和網路的錯誤配置

安全漏洞發現和防禦

漏洞發現就是對計算機資訊系統進行檢查， 發現其中可被黑客利用的漏洞
​ 基於主機的發現技術：這種技術是對作業系統的各種配置、 許可權、 補丁等方面進行檢測， 以發現主機潛在的安全漏洞；主要從系統的檔案、 目錄和裝置檔案的許可權， 重要系統檔案的內容、格式、 許可權和重要的系統二進位制檔案的校驗等方面進行檢測。
​ 基於網路的發現技術：這種技術是利用了一系列的指令碼對遠端系統進行攻擊， 然後對遠端系統的響應結果進行分析； 可以發現遠端不同平臺的一系列漏洞；檢測範圍包括所有的網路裝置： 伺服器、 防火牆、 交換機、 路由器以及主機等。

漏洞防禦就是在漏洞發現的基礎上， 採取各種技術對漏洞進行防禦， 達到保護系統的目的

• 基於原始碼的防禦技術、基於作業系統的防禦技術、漏洞資訊釋出機制

防火牆

訪問控制

訪問控制指系統對使用者身份及其所屬的預先定義的策略組限制其使用資料資源能力的手段，是系統保密性、完整性、可用性和合法使用性的重要基礎，是網路安全防範和資源保護的關鍵策略之一，也是主體依據某些控制策略或許可權對客體本身或其資源進行的不同授權訪問。主要目的是限制訪問主體對客體的訪問：識別和確認訪問系統的使用者、 決定該使用者可以對某一系統資源進行何種型別的訪問。

訪問控制包括三個要素：主體、客體和控制策略。

安全策略的實施原則：最小特權原則、最小洩露原則、多級安全策略。

訪問控制模型

自主訪問控制模型是根據自主訪問控制策略建立的一種模型，允許合法使用者以使用者或使用者組的身份訪問策略規定的客體，同時阻止非授權使用者訪問客體，某些使用者還可以自主地把自己所擁有的客體的訪問許可權授予其它使用者。
任意訪問控制對使用者提供的這種靈活的資料訪問方式，使得DAC廣泛應用在商業和工業環境中；由於使用者可以任意傳遞許可權，那麼，沒有訪問檔案File1許可權的使用者A就能夠從有訪問許可權的使用者B那裡得到訪問許可權或是直接獲得檔案File1；因此， DAC模型提供的安全防護還是相對比較低的，不能給系統提供充分的資料保護。
自主訪問控制模型的特點是授權的實施主體（ 1、可以授權的主體； 2、管理授權的客體； 3、授權組）自主負責賦予和回收其他主體對客體資源的訪問許可權。DAC模型一般採用訪問控制矩陣和訪問控制列表來存放不同主體的訪問控制資訊，從而達到對主體訪問許可權的限制目的。

強制訪問控制模型是一種多級訪問控制策略。系統對訪問主體和受控物件實行強制訪問控制，系統事先給訪問主體和受控物件分配不同的安全級別屬性，實施訪問控制時，系統先對訪問主體和受控物件的安全級別屬性進行比較，再決定訪問主體能否訪問該受控物件。
MAC對訪問主體和受控物件標識兩個安全標記：一個是具有偏序關係的安全等級標記；另一個是非等級分類標記。當主體s的安全類別為TS，而客體o的安全類別為S時，用偏序關係可以表述為SC(s)≥SC(o)。

• Lattice模型：五個安全級別，使用者所對應的安全級別必須比可以使用的客體資源高才能進行訪問，這種方案非常適用於需要對資訊資源進行明顯分類的系統。
• Bell-LaPadula模型：無上讀、無下寫。維護系統的保密性，有效地防止資訊洩露，忽略了完整性指標，使非法、越權篡改成為可能。
• Biba模型：無下讀、無上寫。定義了資訊完整性級別，在資訊流向的定義方面不允許從級別低的程式到級別高的程式，也就是說使用者只能向比自己安全級別低的客體寫入資訊，從而防止非法使用者建立安全級別高的客體資訊，避免越權、篡改等行為的產生。

防火牆

防火牆是位於兩個(或多個)網路間實施網間訪問控制的一組元件的集合。所有進出被保護網路的通訊必須通過防火牆；所有通過防火牆的通訊必須經過安全策略的過濾或者防火牆的授權；防火牆自身應對滲透(peneration)免疫。

功能：訪問控制、應用程式代理、內容過濾、使用者認證、VPN日誌、NAT、IDS與報警
​ 過濾進出網路的資料、管理進出網路的訪問行為、封堵某些禁止的業務
​ 記錄進出網路的資訊和活動、對網路攻擊進行檢測和告警

控制方法：服務控制、方向控制、使用者控制、行為控制

好處：強化安全策略；有效地記錄Internet上的活動；隔離不同網路，限制安全問題擴散；安全策略的檢查反饋。

侷限性：給⼈虛假的安全感；對⽤戶不完全透明可能帶來傳輸延遲瓶頸及單點失效；⽆法做到絕對的安全（不能防範惡意的內部⼈員侵⼊、不能防範不通過它的連線、不能防範全新的威脅、不能有效地防範資料驅動式的攻擊、當使⽤端-端加密時其作⽤會受到很⼤的限制）

防火牆分類：
​ 形態：軟體防火牆、硬體防火牆
​ 實現技術：包過濾防火牆、應用閘道器防火牆、代理防火牆、狀態檢測防火牆、電路級閘道器
​ 部署位置：主機防火牆、網路防火牆

網路地址翻譯

地址翻譯NAT就是將一個IP地址用另一個IP地址代替。

目的：解決IP地址空間不足問題、向外界隱藏內部網結構

三種型別：靜態NAT、NAT池、埠NAT

防火牆體系架構

雙重宿主主機體系架構：圍繞雙重宿主主機構築

• 它位於內部網路和外部網路之間，這樣的主機可以充當與這些介面相連的網路之間的路由器，它能從一個網路接收IP資料包並將之發往另一網路。
• 雙重宿主主機的防火牆體系結構禁止這種傳送功能，完全阻止了內外網路之間的IP通訊。

兩個網路之間的通訊可通過應用層資料共享和應用層代理服務的方法實現。一般情況下采用代理服務的方法。

雙重宿主主機的特性：安全至關重要（唯一通道），其使用者口令控制安全是關鍵；必須支援很多使用者的訪問（中轉站），其效能非常重要。
缺點：雙重宿主主機是隔開內外網路的唯一屏障，一旦它被入侵，內部網路便向入侵者敞開大門。

遮蔽主機體系結構：由防火牆和內部網路的堡壘主機承擔安全責任。一般這種防火牆較簡單，可能就是簡單的路由器。典型構成：包過濾路由器＋堡壘主機。

• 包過濾路由器配置在內部網和外部網之間，保證外部系統對內部網路的操作只能經過堡壘主機。

• 堡壘主機配置在內部網路上，是外部網路主機連線到內部網路主機的橋樑，它需要擁有高等級的安全。
  
  遮蔽路由器可按如下規則之一進行配置：

• 允許內部主機為了某些服務請求與外部網上的主機建立直接連線（即允許那些經過過濾的服務）。

• 不允許所有來自外部主機的直接連線。

安全性更高，雙重保護：實現了網路層安全（包過濾）和應用層安全（代理服務）。
缺點：過濾路由器能否正確配置是安全與否的關鍵。如果路由器被損害，堡壘主機將被穿過，整個網路對侵襲者是開放的。

遮蔽子網體系結構：本質上與遮蔽主機體系結構一樣，但新增了額外的一層保護體系——周邊網路。堡壘主機位於周邊網路上，周邊網路和內部網路被內部路由器分開。

原因：堡壘主機是使用者網路上最容易受侵襲的機器。通過在周邊網路上隔離堡壘主機，能減少在堡壘主機被侵入的影響。

優點：入侵者需突破3個不同的裝置才能入侵內部網路；只對外通告DMZ區的網路，保證內部網路不可見；內部網路使用者通過堡壘主機或代理伺服器訪問外部網路。

入侵檢測技術

入侵檢測概述

動態安全模型P2DR：策略、防護、檢測、響應

入侵是指未經授權蓄意嘗試訪問資訊、竄改資訊，使系統不可靠或不能使用的行為。入侵企圖破壞計算機資源的完整性、 機密性、 可用性、可控性。

網路攻擊工作流程：目標探測和資訊收集、自身隱藏、利用漏洞侵入主機、穩固和擴大戰果、清除日誌

入侵檢測是從計算機網路或計算機系統中的若干關鍵點蒐集資訊並對其進行分析，從中發現網路或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種機制。 一種主動保護自己的網路和系統免遭非法攻擊的網路安全技術。

入侵檢測功能：監控、分析使用者和系統活動；發現入侵企圖或異常現象；記錄、報警和響應；審計系統的配置和弱點、評估關鍵系統和資料檔案的完整性等。

入侵檢測的優點：提高資訊保安構造的其他部分的完整性；監控系統及使用者行為及事件；檢測系統配置安全狀態，發現錯誤並糾正；從入口點到出口點跟蹤使用者的活動；識別和彙報資料檔案的變化；識別入侵行為，並向管理人員發出警報。

入侵檢測的分類：
​ 根據原始資料的來源：
​ 基於主機的入侵檢測系統：監控粒度更細、配置靈活、可用於加密的以及交換的環境
​ 基於網路的入侵檢測系統：視野更寬 、隱蔽性好 、攻擊者不易轉移證據
​ 根據檢測原理：
​ 異常入侵檢測：根據異常行為和使用計算機資源的情況檢測出來的入侵
​ 誤用入侵檢測：利用已知系統和應用軟體的弱點攻擊模式來檢測入侵

基於主機系統結構（HIDS）：檢測的目標主要是主機系統和系統本地使用者。檢測原理是根據主機的審計資料和系統的日誌發現可疑事件，檢測系統可以執行在被檢測的主機或單獨的主機上。

HIDS優點：效能價格比高；細膩性，審計內容全面；事業集中；適用於加密及交換環境

HIDS缺點：IDS的執行影響伺服器的效能；HIDS依賴性強，依賴於審計資料或系統日誌準確性和完整性，以及安全事件的定義；如果主機數目多，代價過大；不能監控網路上的情況

基於網路系統結構（NIDS）：根據網路流量、協議分析、單臺或多臺主機的審計資料檢測入侵。

NIDS優點：

• 伺服器平臺獨立性：監視通訊流量而不影響伺服器的平臺的變化和更新；
• 配置簡單：只需要一個普通的網路訪問介面即可；
• 眾多的攻擊標識：探測器可以監視多種多樣的攻擊包括協議攻擊和特定環境的攻擊。
  NIDS缺點：
• 不能檢測不同網段的網路包；
• 很難檢測複雜的需要大量計算的攻擊；
• 協同工作能力弱；
• 難以處理加密的會話。

入侵檢測結構

事件產生器：事件產生器的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件；入侵檢測的第一步；採集內容包括系統日誌、應用程式日誌、系統呼叫、網路資料、使用者行為、其他IDS的資訊。

事件分析器：事件分析器分析得到的資料，併產生分析結果；分析是核心，效率高低直接決定整個IDS效能。

響應單元：響應單元則是對分析結果作出作出反應的功能單元，功能包括：告警和事件報告；終止程式，強制使用者退出；切斷網路連線，修改防火牆設定；災難評估，自動恢復；查詢定位攻擊者。

事件資料庫：事件資料庫是存放各種中間和最終資料的地方的統稱，它可以是複雜的資料庫，也可以是簡單的文字檔案。

Denning模型：1987年提出的一個通用入侵檢測模型
主體(Subjects)： 在目標系統上活動的實體，如使用者。
物件(Objects)： 指系統資源，如檔案、裝置、命令等。
審計記錄： 由主體、活動(主體對目標的操作)、 異常條件(系統對主體的該活動的異常情況的報告)、 資源使用狀況(系統的資源消耗情況)和時間戳(Time-Stamp)等組成。
活動檔案： 即系統正常行為模型，儲存系統正常活動的有關資訊。
異常記錄： 由事件、時間戳和審計記錄組成，表示異常事件的發生情況。
活動規則： 判斷是否為入侵的準則及相應要採取的行動。

入侵檢測技術

異常檢測技術：任何正常人的行為有一定的規律，而入侵會引起使用者或系統行為的異常

需要考慮的問題：選擇哪些資料來表現使用者的行為；通過以上資料如何有效地表示使用者的行為，主要在於學習和檢測方法的不同；考慮學習過程的時間長短、使用者行為的時效性等問題。

典型演算法：統計分析（均值、偏差、Markov過程）

異常檢測模型：首先總結正常操作應該具有的特徵（使用者輪廓），當使用者活動與正常行為有重大偏離時即被認為是入侵。

檢測原理：正常行為的特徵輪廓；檢查系統的執行情況；是否偏離預設的門限

舉例：多次錯誤登入、午夜登入

優點：可以檢測到未知的入侵；可以檢測冒用他人帳號的行為；具有自適應，自學習功能；不需要系統先驗知識

缺點：漏報、誤報率高：入侵者可以逐漸改變自己的行為模式來逃避檢測；合法使用者正常行為的突然改變也會造成誤警；統計演算法的計算量龐大，效率很低；統計點的選取和參考庫的建立比較困難。

誤用檢測技術：主要是通過某種方式預先定義入侵行為，然後監視系統，從中找出符合預先定義規則的入侵行為。

誤用訊號需要對入侵的特徵、環境、次序以及完成入侵的事件相互間的關係進行描述。

重要問題：如何全面的描述攻擊的特徵；如何排除干擾，減小誤報；解決問題的方式

典型演算法：專家系統、模型推理、完整性分析

優點：演算法簡單；系統開銷小；準確率高；效率高

缺點：被動：只能檢測出已知攻擊 、新型別的攻擊會對系統造成很大的威脅；模式庫的建立和維護難：模式庫要不斷更新，知識依賴於硬體平臺、作業系統和系統中執行的應用程式等。

入侵檢測部署

檢測器部署位置
放在邊界防火牆之內
放在邊界防火牆之外
放在主要的網路中樞
監控大量的網路資料，可提高檢測黑客攻擊的可能性
放在一些安全級別需求高的子網
對非常重要的系統和資源的入侵檢測

入侵檢測例項

Snort：基於攻擊特徵匹配的原理，準確度高，誤報率低，無法檢測未知攻擊，典型的誤用檢測技術。
​ 典型的誤用檢測技術
​ 需要準確理解攻擊模式並撰寫檢測規則
​ 無法應對未知攻擊，造成漏報
​ 檢測效率高、準確率高
​ 攻擊規則更新要求高，好在攻擊方式變化不劇烈

Snort的主要功能：
​ 擷取網路資料包文，進行網路資料實時分析、報警、以及日誌的能力。
​ Snort還能夠記錄網路資料，其日誌檔案可以是 tcpdump格式，也可以是解碼的ASCII格式。
​ Snort具有實時報警能力。可以將報警資訊寫到syslog、 指定的檔案、套接字或者使用WinPopup訊息。
​ 能夠進行協議分析，內容搜尋、匹配，能夠用來檢測各種攻擊和探測，例如：緩衝區溢位、隱祕埠掃描、CGI攻擊、SMB探測、OS指紋特徵檢測等等。
​ Snort使用一種靈活的規則語言來描述網路資料包文， 因此，可以對新的攻擊作出快速地解析。

Snort的組成：

虛擬專用網

VPN的定義：是指依靠ISP或其它NSP在公用網路基礎設施之上構建的專用的資料通訊網路，這裡所指的公用網路有多種，包括IP網路、幀中繼網路和ATM網路。

虛擬：協議封裝
專用網：封閉的使用者群、安全性高、服務質量保證

VPN要解決的問題：在端到端的資料通路上隨處都有可能發生資料的洩漏，包括撥入段鏈路上、ISP接入裝置上、在因特網上、在安全閘道器上、在企業內部網上。

VPN的構成：

隧道技術：
​ 隧道是在公共通訊網路上構建的一條資料路徑，可以提供與專用通訊線路等同的連線特性。
​ 隧道使用隧道協議來封裝資料。一種協議X的資料包被封裝在協議Y中，可以實現協議X在公共網路的透明傳輸。這裡協議X稱作被封裝協議，協議Y稱為封裝協議。隧道的一般封裝格式為(協議Y(隧道頭(協議X)))。
​ 定義：實質上是一種封裝，將一種協議（協議X）封裝在另一種協議（協議Y）中傳輸，從而實現協議X對公用傳輸網路(採用協議Y)的透明性。

隧道協議：
​ 第二層隧道：以PPTP，L2TP為代表
​ 第三層隧道：IPSec

VPN分類：
​ 業務型別劃分：
​ Intranet VPN（內部公文流轉）
​ Access VPN（遠端撥號VPN）
​ Extranet VPN（各分支機構互聯）
​ 按VPN發起主體劃分：
​ 客戶發起，也稱基於客戶的VPN
​ 伺服器發起，也稱客戶透明方式或基於網路的VPN

VPN功能：資料機密性保護、資料完整性保護、資料來源身份認證、重放攻擊保護

鏈路層安全

PPTP（Point to Point TunnelingProtocol，點對點通道協議）

PPTP 提供PPTP 客戶機和PPTP 伺服器之間的加密通訊。
​ PPTP 客戶機是指執行了該協議的PC機， 如啟動該協議的 Windows系統；
​ PPTP 伺服器是指執行該協議的伺服器，如啟動該協議的 WindowsNT伺服器。
PPTP 可看作是PPP 協議的一種擴充套件。
​ 提供了一種在Internet 上建立多協議的安全虛擬專用網（VPN）的通訊方式。
​ 遠端使用者能夠透過任何支援PPTP的ISP訪問公司的專用網路。

L2F（Layer 2 Forwarding，二層轉發協議）

L2F 是可以在多種介質如ATM、幀中繼、IP 網上建立多協議的安全虛擬專用網的通訊方式。
遠端使用者能夠透過任何撥號方式接入公共IP 網路
​ 首先按常規方式撥號到ISP 的接入伺服器（NAS），建立PPP 連線；
​ NAS 根據使用者名稱等資訊， 發起第二重連線， 通向HGW （家庭閘道器） 伺服器
​ 在這種情況下隧道的配置和建立對使用者是完全透明的。

L2TP（Layer 2 Tunneling Protocol，二層通道協議）

L2TP 結合了L2F 和PPTP 的優點， 可以讓使用者從客戶端或訪問伺服器端發起VPN 連線。L2TP 支援多個PPP鏈路的捆綁問題；L2TP擴充套件了PPP連線。

PPTP和L2TP都使用PPP協議對資料進行封裝，不同點：

1. PPTP要求網際網路絡為IP網路。L2TP只要求隧道媒介提供面向資料包的點對點的連線。L2TP可以在IP、幀中繼、X.25虛擬電路、ATM等網路上使用。
2. PPTP只能在兩端點間建立單一隧道。L2TP支援在兩端點間使用多隧道。使用L2TP，使用者可以針對不同的服務質量建立不同的隧道。
3. L2TP可以提供包頭壓縮。當壓縮包頭時，系統開銷（overhead）佔用4個位元組，而PPTP協議下要佔用6個位元組。
4. L2TP可以提供隧道驗證，而PPTP則不支援隧道驗證。

網路層安全

IPSec體系結構：通過對IP報文的封裝以實現TCP/IP網路上資料的安全傳送。

IPSec傳輸模式

IPSec隧道模式

資料包輸出處理：資料包被從網路裝置傳送出去之前，擷取到IP包，然後從中提取選擇符資訊，依據之搜尋SPD，產生如下可能結果：
​ SP決定丟棄此包，於是直接丟棄，或者還可以向源主機傳送 ICMP資訊；
​ SP決定通過此包，直接將資料包投放到網路裝置的傳送佇列；
​ SP決定應用IPSec，此時SP要麼指向一個SA,可以根據它進行安全處理，要麼需要的SA不存在，則觸發IKE模組協商建立SA，協商周期內資料包進入等待佇列等待協商完成，若協商超時，也會丟棄該包。

資料包輸入處理：系統收到IP包後，判斷如果是IPSec包，則從頭部取到<src_ip,protocol,SPI>，搜尋SADB。
​ 若找不到SA，丟棄包；
​ 若找到，根據其進行解封裝，得到去通道化後的原始IP包，再從原始IP包中提取選擇符，搜尋到SPD中某一條目，檢查收到包的安全處理是否符合描述規則，不符合則丟棄包，符合則轉入系統IP協議棧進行後繼處理。

IKE階段一工作原理：

IKE階段二工作原理：

傳輸層安全

SSL協議的設計目標：為兩個通訊個體之間提供保密性和完整性(身份認證) ；互操作性、可擴充套件性、相對效率；為上層協議提供安全性、保密性、身份認證和資料完整性。

底層：SSL記錄協議
上層：SSL握手協議、SSL密碼變化協議、SSL警告協議

SSL記錄協議提供連線安全性，有兩個特點：保密性、完整性
​ 上層訊息的資料被分片成214位元組大小的塊，或者更小
​ 無失真壓縮，如果資料增加的話，則增加部分的長度不超過1024位元組
​ 計算訊息認證碼
​ 加密：採用CBC，演算法由cipher spec指定

SSL連線：一個連線是一個提供一種合適型別服務的傳輸；SSL的連線是點對點的關係；連線是暫時的，每一個連線和一個會話關聯。

SSL會話：一個SSL會話是在客戶與伺服器之間的一個關聯。會話由Handshake Protocol建立。會話定義了一組可供多個連線共享的加密安全引數；會話用以避免為每一個連線提供新的安全引數所需昂貴的談判代價。

PGP

PGP為電子郵件和檔案儲存應用提供了認證和保密性服務