本文摘自CISSP官方學(xué)習(xí)指南第八版

網(wǎng)絡(luò)與協(xié)議安全機制

1.1 安全通信協(xié)議

IPSec 互聯(lián)網(wǎng)協(xié)議安全（ ，IPSec）使用公鑰加密算法，為所有基于IP的協(xié)議提供加密、訪問控制、不可否認及信息身份驗證等服務(wù)。IPSec主要應(yīng)用于虛擬專用網(wǎng)（VPN），IPSec能工作在傳輸模式或者隧道模式。

為用戶提供單一登錄解決方案，并對登入證書提供保護。現(xiàn)在的 技術(shù)通過混合加密，來提供可靠的身份驗證保護。

SSH 安全shell 是端對端加密技術(shù)的一個優(yōu)秀應(yīng)用實例。該安全技術(shù)能為大量的明文工具提供加密服務(wù)，也可充當(dāng)協(xié)議加密工具（如FTP）或充當(dāng)VPN。

信令協(xié)議（singal ) 是一種為語音通信，視頻會議以及文本信息服務(wù)提供端對端加密服務(wù)的加密協(xié)議。

安全遠程過程調(diào)用（seucre remote call,S-RPC) 是一種身份驗證服務(wù)，也是防止非法代碼在遠程系統(tǒng)執(zhí)行的一種簡單方法。

安全套接字層（Secure Sockets Layer，SSL）是由公司開發(fā)的加密協(xié)議，用于保護Web服務(wù)器與瀏覽器間的通信。這是一種面向會話的協(xié)議，能實現(xiàn)保密性與完整性保護。SSL現(xiàn)在采用的是40位或128位密鑰。SSL已經(jīng)被TLS取代。

傳輸層安全（ Layer Securit，TLS）TLS的功能與SSL大致相同，但采用更強的身份驗證方法及加密協(xié)議。

SSL與TLS具有下列相同的特點：

此外，TLS還可加密UDP及SIP連接。SIP是Voice over IP相關(guān)協(xié)議。

1.2 身份驗證協(xié)議

當(dāng)遠程系統(tǒng)與服務(wù)器或網(wǎng)絡(luò)建立初始連接后，第一步工作應(yīng)是驗證遠端用戶的身份，該工作稱為身份驗證。如下幾種身份驗證協(xié)議來控制登錄證書的交換，以及確定在傳輸過程中這些證書是否需要加密。

上述三個身份驗證協(xié)議最初都應(yīng)用于撥號PPP連接中。現(xiàn)在，他們與許多新驗證協(xié)議（如openID，OAuth及）及概念（如身份驗證聯(lián)合及SAML）一起，都應(yīng)用于大量的遠程連接技術(shù)中，如寬帶及VPN。同時擴展了對傳統(tǒng)身份驗證服務(wù)(如，RADIUS及TACACS+）的支持與使用。

2.0 語音通信的安全

2.1 VoIP

VoIP （Voice over ,網(wǎng)絡(luò)電話）是一種講語音封裝在IP包中的技術(shù)，該技術(shù)支持在TCP/IP網(wǎng)絡(luò)中打電話。

選擇VoIP服務(wù)提供商時，要牢記安全的重要性，確保方案能提供所期望的私密性與安全性。

黑客可采用多種技術(shù)方法來攻擊VoIP：

SRTP（Secure Real-Time ，安全實時傳輸協(xié)議，也稱安全RTP）時RTP的安全改進版本，也應(yīng)用于很多VoIP通信中。SRTP的目的時通過健壯的加密及可靠的身份驗證，盡可能降低VoIP遭受DoS攻擊的風(fēng)險。

2.2 社會工程

社會工程時一種能讓陌生的、不可信的或至少是未授權(quán)的個人，獲取組織內(nèi)部人員信任的方法。

防護社會工程攻擊的唯一方法，就是教育用戶如何應(yīng)對任何形式的交流，無論是語音的、面對面的、及時通信，聊天或者是Email。

2.3 欺騙與濫用

另一種語音通信威脅是專用交換機（Private Branch ，PBX）欺騙與濫用。針對PBX欺騙及濫用的應(yīng)對措施，與保護計算機網(wǎng)絡(luò)的很多防范措施相同，邏輯或技術(shù)控制，管理控制以及物理控制。

在設(shè)計PBX安全方案時要牢記一下幾個要點。

此外，要保證對所有PBX連接中心，電話門戶以及配線間的物理防護控制，以防外部攻擊者的直接入侵。

常用于攻擊電話服務(wù)的工具：

3.0 多媒體合作

多媒體合作就是使用多種支持多媒體的通信方法，提高遠距離的合作。

3.1 遠程會議

遠程會議技術(shù)可應(yīng)用于任何產(chǎn)品，硬件或軟件，支持遠程實體間進行交互。

評估：

3.2 即時通信

IM（Instant Message）是一種實時通信工具，能為互聯(lián)網(wǎng)上任何地方的用戶提供基于文字的聊天功能。

采用多因素身份驗證及傳輸加密。

4.0 管理郵件安全

SMTP（Simple Mail ）接收來自客戶的郵件，并將這些郵件傳送給其他服務(wù)器，這些郵件最后被存儲到服務(wù)器的用戶收件箱中。

客戶端使用POP3或IMAP，從郵件服務(wù)器的收件箱中查收郵件，客戶端使用SMTP與郵件服務(wù)器通信。（簡單說，SMTP 發(fā)， POP3，IMAP收）

公司郵件的另一個選擇是SaaS郵件解決方案。 SaaS郵件能幫助客戶借助大型互聯(lián)網(wǎng)企業(yè)的安全經(jīng)驗及管理專長，服務(wù)本公司的內(nèi)部通信。

SaaS郵件的優(yōu)點包括高可用性、分布式架構(gòu)、易于訪問、標(biāo)準(zhǔn)化配置以及物理位置獨立等。托管郵件解決方案也存在潛在風(fēng)險，包括黑名單問題，速度限制，app/插件限制以及無法自主部署額外的安全機制。

4.1 郵件安全目標(biāo)

提高郵件的安全性，需要滿足下列一種或多種目標(biāo)：

郵件的安全源于高層管理者批準(zhǔn)的安全策略，在安全策略中，必須解決幾個問題：

可接受的使用策略明確了組織的郵件基礎(chǔ)設(shè)施中，那些活動是允許的，那些活動是禁止的。

4.2 理解郵件安全問題

郵件安全防護的第一步是弄清楚郵件特有的脆弱性。

郵件是較常見的傳播病毒、蠕蟲、特洛伊木馬、文檔宏病毒及其他惡意代碼的途徑。

郵件炸彈，是一種使用大量郵件淹沒系統(tǒng)的DoS攻擊手段。該種DoS會導(dǎo)致系統(tǒng)的存儲容量或處理器時間耗盡，產(chǎn)生的結(jié)果都一樣，無法傳送合法的郵件。

垃圾郵件也被視為一種攻擊。垃圾郵件不只是垃圾，浪費本地及互聯(lián)網(wǎng)資源，

4.3 郵件安全解決方案

安全/多用途互聯(lián)網(wǎng)郵件擴展（Secure Mail ,S/MIME) 是一種郵件安全標(biāo)準(zhǔn)，能通過公鑰加密及數(shù)據(jù)簽名，為郵件提供身份驗證及保密性保護。身份驗證是通過X.509數(shù)字證書完成的，通過公鑰加密標(biāo)準(zhǔn)（Public Key ，PKCS）來提供隱私保護。采用S/MIME 能形成兩種類型的消息：簽名消息與安全信封消息。簽名消息提供完整性、發(fā)件人身份驗證及不可否認。安全信封消息提供完整性、發(fā)件人身份驗證及保密性。

MIME 對象安全服務(wù)（MIME Object ，MOSS）MOSS能為郵件提供身份驗證、保密性、完整性及不可否認保護。MOSS使用MD2算法，RSA公鑰和DES來提供身份驗證及加密服務(wù)。

隱私增強郵件（Privacy Mail，PEM）PEM是一種郵件加密技術(shù)，能提供身份驗證、完整性、保密性及不可否認保護。PEM使用RSA、DES及X.509

域名關(guān)鍵字標(biāo)識郵件（ Mail，DKIM）DKIM通過驗證域名標(biāo)識，確定來自組織的郵件是否有效。

良好隱私（Pretty Good Privacy，PGP）是一種對稱密鑰系統(tǒng)，使用大量的加密算法加密文件及郵件消息

SMTP 網(wǎng)關(guān) ， 大量組織正在使用TLS上的安全SMTP。

發(fā)件人策略框架（Sender Policy ，SPF）組織可通過為SMTP服務(wù)器配置SPF，來防止垃圾郵件及郵件欺騙。SPF通過檢查發(fā)送消息的主機是否獲得SMTP域名擁有者的授權(quán)，來確定消息的有效性。

通過采用這些及其他郵件和通信安全措施，能減小或消除郵件系統(tǒng)的大量脆弱性。數(shù)字簽名有助于消除身份假冒。消息加密可減少竊聽事件的發(fā)生。而采用郵件過濾可將垃圾郵件及郵件炸彈降至最低。

5.0 遠程訪問安全管理

遠程訪問可能采取下列一些形式：

需要保護專用網(wǎng)絡(luò)以防止出現(xiàn)遠程訪問問題：

5.1 遠程訪問安全計劃

在規(guī)劃遠程訪問的安全策略時，一定要解決下列問題：

如果遠程系統(tǒng)難以或無法維護與專用局域網(wǎng)相同等級的安全防護，就應(yīng)該重新考慮遠程訪問的安全風(fēng)險。

5.2 撥號上網(wǎng)協(xié)議

PPP，是一種全雙工協(xié)議。用于在各種非局域網(wǎng)環(huán)連接上傳輸TCP、IP數(shù)據(jù)包。由多種協(xié)議保護PPP身份驗證的安全，CHAP，

SLIP（串行鏈路互聯(lián)網(wǎng)協(xié)議）是一種更早的技術(shù)，主要是為了在異步串行連接中，進行TCP/IP通信。

5.3 中心化遠程身份驗證服務(wù)

6.0 虛擬專用網(wǎng)

VPN能在不安全或不可信的網(wǎng)絡(luò)上，提供保密性及完整性保護。但不提供或保證可用性。

6.1 隧道技術(shù)

隧道技術(shù)是一種網(wǎng)絡(luò)通信過程，通過將協(xié)議數(shù)據(jù)包封裝另一種協(xié)議報文中，對協(xié)議數(shù)據(jù)內(nèi)容進行保護。這種封裝就可以看成是在不可信的網(wǎng)絡(luò)中創(chuàng)立的通信隧道。這個虛擬通道位于不同通信端上的封裝實體與解封實體之間。

旁路就是通過將受限的內(nèi)容封裝在允許合法傳輸?shù)臄?shù)據(jù)包中完成的。

隧道技術(shù)缺點：

6.2 VPN的工作機理

可在其他任何網(wǎng)絡(luò)連接上建立起VPN鏈路。通信連接可能是一個典型的LAN，一個無線LAN，遠程訪問的撥號連接，WAN鏈路。

VPN能連接兩個單獨的系統(tǒng)或兩個完整的網(wǎng)絡(luò)。

6.3 常用的VPN協(xié)議

PPTP,L2F,L2TP 都工作在OSI參考模型的數(shù)據(jù)鏈路層（第2層），PPTP與IPSec僅限在IP網(wǎng)絡(luò)中使用，而L2F與L2TP 可用來封裝任何LAN協(xié)議。

點對點隧道協(xié)議 （PPTP，Point-to-Point ）是一種在撥號點對點協(xié)議基礎(chǔ)上開發(fā)的封裝協(xié)議。工作在OSI數(shù)據(jù)鏈路層（第2層），用于IP網(wǎng)絡(luò)。PPTP在兩個系統(tǒng)之間建立一條點對點隧道，并封裝PPP數(shù)據(jù)幀。通過PPP同樣支持的身份驗證協(xié)議，為身份驗證流量提供保護:

- 微軟的征詢握手身份驗證協(xié)議，MS-CHAP

- 征詢握手身份驗證協(xié)議，CHAP

- 密碼身份驗證協(xié)議，PAP

- 可擴展身份驗證協(xié)議 EAP

- Shiva 密碼身份驗證協(xié)議 SPAP

PPTP的初始隧道協(xié)商過程是不加密的。

第二層轉(zhuǎn)發(fā)協(xié)議與第二層隧道協(xié)議

思科公司開發(fā)了自己的VPN協(xié)議，稱為第二層轉(zhuǎn)發(fā)（L2F），這是一種相互身份驗證隧道機制。但L2F不提供加密。

L2TP 在通信端點間創(chuàng)立點對點隧道，缺少內(nèi)置的加密框架。但通常采用IPSec作為安全機制。L2TP也支持TACACS+及RADUIS。 IPSec常作為L2TP的安全機制。

IP 安全協(xié)議

現(xiàn)在最常用的VPN協(xié)議是IPSec。IPSec只能工作在IP網(wǎng)絡(luò)中，能夠提供安全身份驗證以及加密的數(shù)據(jù)傳輸。

IPSec有兩個主要部件或功能：

- 傳輸模式下，IP報文數(shù)據(jù)進行加密但是報文頭部不加密。

- 隧道模式下，整個IP報文都進行加密，并會添加新的報文頭部，來管理報文在隧道中的傳輸。

VPN設(shè)備是網(wǎng)絡(luò)的附加設(shè)備，能創(chuàng)建與服務(wù)器、客戶機操作系統(tǒng)分離的VPN隧道。這類VPN設(shè)備的使用對于網(wǎng)絡(luò)系統(tǒng)是透明的。

6.4 虛擬局域網(wǎng)

VLAN（Virutal Local Area Network，虛擬局域網(wǎng)）是一種在交換機上通過硬件實現(xiàn)的網(wǎng)絡(luò)分段技術(shù)。VLAN管理最常用與區(qū)分用戶流量與管理流量。

VLAN用于對網(wǎng)絡(luò)進行邏輯分段，而不必更改物理網(wǎng)絡(luò)的拓撲。

7.0 虛擬化

“虛擬化”技術(shù)用于在單個計算機系統(tǒng)內(nèi)存中創(chuàng)建一個或多個操作系統(tǒng)。

風(fēng)險：虛擬機逃逸，避免逃逸可采取一些步驟將風(fēng)險降至最低：

7.1 虛擬軟件

“虛擬應(yīng)用”是一種軟件產(chǎn)品，能產(chǎn)生與完整主機OS相似的用戶體驗。一個虛擬（或虛擬化）應(yīng)用經(jīng)過打包或封裝便于攜帶，并且不必安裝原始主機OS即可運行。

“虛擬桌面” 指的是至少三種不同的技術(shù)：

7.2 虛擬化網(wǎng)絡(luò)

虛擬化網(wǎng)絡(luò)是將硬件與軟件的網(wǎng)絡(luò)化組件，組合到單一的完整實體中。形成的系統(tǒng)能夠通過軟件來控制所有網(wǎng)絡(luò)功能：管理、流量整形、地址分配等。使用單一管理工作臺或接口就能監(jiān)視網(wǎng)絡(luò)的各個方面。

SDN（軟件定義網(wǎng)絡(luò)）是一種針對網(wǎng)絡(luò)運營、設(shè)計及管理的獨特方法。SDN的目標(biāo)是將基礎(chǔ)設(shè)施層（硬件及硬件設(shè)置）從控制層（數(shù)據(jù)傳輸管理的網(wǎng)絡(luò)服務(wù)）中分離出來。同時，這也消除了IP地址，子網(wǎng)、路由等傳統(tǒng)的網(wǎng)絡(luò)概念，就像是通過編程或由應(yīng)用解密來完成一樣。

SDN也可視為一種有效的網(wǎng)絡(luò)虛擬化。支持SDN控制層對數(shù)據(jù)傳輸路徑、通信決策樹以及流量控制的虛擬化，而不必針對每臺硬件進行修改。

8.0 網(wǎng)絡(luò)地址轉(zhuǎn)換

使用NAT能實現(xiàn)：隱藏內(nèi)部用戶的身份，屏蔽私有網(wǎng)絡(luò)的設(shè)計，降低公網(wǎng)IP地址的租用費用。NAT是一種地址轉(zhuǎn)換技術(shù)，能將報文頭中的內(nèi)部IP地址，轉(zhuǎn)換為可在互聯(lián)網(wǎng)上傳輸?shù)墓W(wǎng)IP地址。

NAT的好處：

NAT是大量硬件設(shè)備及軟件產(chǎn)品的功能之一，包括防火墻、路由器、網(wǎng)關(guān)及代理服務(wù)器。NAT只能用于IP網(wǎng)絡(luò)，工作在網(wǎng)絡(luò)層（第三層）。

8.1 私有地址

8.2 有狀態(tài)NAT

NAT維護了一張內(nèi)部用戶請求及內(nèi)部用戶IP地址到互聯(lián)網(wǎng)服務(wù)IP地址的映射表。

多路復(fù)用形式的NAT稱為“端口地址轉(zhuǎn)換” PAT或NAT重載。

8.3 靜態(tài)與動態(tài)NAT

“靜態(tài)NAT” 在靜態(tài)模式下，特定的內(nèi)部IP地址被固定映射到特定的外部IP地址。

“動態(tài)NAT”在動態(tài)模式下，多個內(nèi)部用戶能共用較少的外部公網(wǎng)IP地址。

NAT并不直接與IPSec兼容，因為它需要修改報文的頭部，IPSec正是依靠這點來提供安全防護功能。

8.4 自動私有IP分配

APIPA（ Private IP ，自動私有IP分配）也稱為本地鏈路地址分配，是在動態(tài)主機配置協(xié)議（DHCP）分配失敗的情況下，繼續(xù)為系統(tǒng)分配IP地址。

APIPA主要是Windows系統(tǒng)的一個功能，APIPA通常為DHCP配備失敗的用戶分配169.254.0.1-169.254.255.254 地址段中的一個IP地址，及B類之網(wǎng)掩碼255.255.0.0.同一廣播域中的所有APIPA用戶之間可通信，但無法跨越路由或與其他配置正確的IP地址通信。

環(huán)回地址：127.0.0.1

9.0 交換技術(shù)

9.1 電路交換

電路交換（Circuit ）最初源于公用電話交換網(wǎng)絡(luò)中對電話呼叫的管理。

9.2 分組交換

分組交換（Packet )技術(shù)將信息或通信內(nèi)容分為很小的段，并通過中間網(wǎng)絡(luò)將這些分組傳送到目的地。每一個數(shù)據(jù)段都有自己的頭部，其中包含源地址及目的地址信息。中間系統(tǒng)讀取頭部信息，再選擇合適的路由將數(shù)據(jù)段發(fā)送給接收者。傳輸通道和通信路徑只保留給實際需要傳送的分組。分組傳送結(jié)束，通道就提供給其他通信使用。

9.3 虛電路

虛電路是一條邏輯路徑或電路，在分組交換網(wǎng)絡(luò)兩個特定端點之間建立。分組交換系統(tǒng)中存在兩種類型的虛電路：

PVC 類似于專用的租用鏈路，邏輯電路一直保持并時刻等待用戶發(fā)送數(shù)據(jù)。PVC是一種預(yù)定義虛電路，并一直可用。

SVC很像一條撥號連接，在需要使用時，會利用當(dāng)前可用的最優(yōu)路徑建立起虛電路，當(dāng)傳輸結(jié)束后，該鏈路就會拆除。

10 WAN技術(shù)

ISDN（ Digital Network，綜合業(yè)務(wù)數(shù)字網(wǎng)）是一種全數(shù)字的電話網(wǎng)，支持語音及高速數(shù)據(jù)傳輸。ISDN服務(wù)有兩種標(biāo)準(zhǔn)的類別或格式：

10.1 WAN連接技術(shù)

WAN交換機、專業(yè)路由器或邊界連接設(shè)備提供所有必要的接口，將公司局域網(wǎng)于網(wǎng)絡(luò)服務(wù)商連接起來。邊界連接設(shè)備也稱為“通道服務(wù)單元/數(shù)據(jù)服務(wù)單元”（Channel Service Unit/Data Service Unit ,CSU/DSU) 這些裝置將LAN信號轉(zhuǎn)換為WAN網(wǎng)絡(luò)能夠識別的格式，反之亦然。

CSU/DSU 包含DTE/DCE（Data / Data Circuit- ,數(shù)字終端設(shè)備/數(shù)據(jù)-電路終端設(shè)備），為LAN中的路由器（DTE）和WAN運營商網(wǎng)絡(luò)的交換機（DCE）提供真實的連接點。

運營商網(wǎng)絡(luò)或WAN連接技術(shù)的類型有很多，如X.25 ,幀中繼，ATM ，SMDS等

是一種較老的分組交換技術(shù)，在歐洲應(yīng)用廣泛。使用永久虛電路在兩個系統(tǒng)或網(wǎng)絡(luò)間建立起專門的點對點連接，

類似X.25 ,也是一種分組交換技術(shù)，使用得是PVC。幀中繼是一種共享線路機制，通過創(chuàng)建虛電路提供點對點通信，所有虛電路是相互獨立、相互不可見得。幀中繼工作在第二層，是一種面向連接的分組交換傳輸技術(shù)。

幀中繼在每個連接點需要使用DTC、DCE ,.

異步傳輸模式，是一種信元交換WAN通信技術(shù)，與幀中繼分組交換技術(shù)不同，ATM將通信內(nèi)容分為固定長度為53字節(jié)的信元。ATM既可以使用PVC也可以使用SVC

Data Service，交換式多兆位數(shù)據(jù)服務(wù)，是一種無連接的分組交換技術(shù)。 SMDS常用于連接多個LAN組建MAN或WAN。 SMDS是用于遠程連接通信不頻繁LAN的首選技術(shù)。

SDH（ Digital ，同步數(shù)字系列）與SONET（ Optical Network，同步光纖網(wǎng)絡(luò)）是光纖高速網(wǎng)絡(luò)標(biāo)準(zhǔn)。

SDH是國際電信聯(lián)盟（ITU）標(biāo)準(zhǔn)，SONET是美國國際標(biāo)準(zhǔn)化研究所（ANSI）標(biāo)準(zhǔn)。

SDH與SONET主要是硬件及物理層標(biāo)準(zhǔn)，定義了基礎(chǔ)設(shè)施及線速需求。SDH與SONET使用同步時分復(fù)用（TDM）技術(shù)，實現(xiàn)了高速全雙工通信，同時將日常的控制及管理需求降至最低。

SDLC（ Data Link Control，同步數(shù)據(jù)鏈路控制）應(yīng)用在專線的永久物理連接上，用于連接大型機。SDLC使用輪詢技術(shù)，工作在第2層，是一種面向比特的同步協(xié)議。

HDLC（High-Level Data Link COntrol，高級數(shù)據(jù)鏈路控制）是SDLC的改進版本，專門用于串行同步連接。HDLC支持全雙工通信，即支持點對點也支持多點連接。使用輪詢，工作在第二層。HDLC支持流量控制、錯誤檢測與糾正。

10.2 撥號封裝協(xié)議

點對點協(xié)議（PPP）是一種封裝協(xié)議，用于在撥號或點對點鏈路上支持IP流量的傳輸。

11 多種安全控制特征

11.1 透明性

“透明性”是服務(wù)、安全控制或訪問機制的一個特征，確保對用戶不可見。透明性常作為安全控制的一項必要特征。安全機制越透明，用戶就不可能繞過它，甚至察覺不到它的存在。如果具備了透明性，也就察覺不到功能、服務(wù)或限制的存在，對于性能的影響也降至最低。

11.2 驗證完整性

為驗證傳輸?shù)耐暾裕刹捎梅Q為hash值的校驗和技術(shù)。消息或報文在通信通道上傳輸前，先進行hash計算。計算獲得的hash值附加到消息尾部，稱為消息摘要。接收到消息后，接收系統(tǒng)對消息再次執(zhí)行hash計算，并將計算結(jié)果與原始hash值進行比較。

11.3 傳輸機制

傳輸日志是一種專注于通信的審計技術(shù)。傳輸日志記錄源地址、目的地址、時間戳、識別碼、傳輸狀態(tài)、報文數(shù)量、消息大小等詳細消息。這些消息對于故障定位，追蹤非法通信，或提取系統(tǒng)工作的數(shù)據(jù)，都是十分有用的。

12 安全邊界

“安全邊界”是任何兩個具有不同安全需求的區(qū)域、子網(wǎng)或環(huán)境的交界線。安全邊界存在于高安全區(qū)域與低安全區(qū)域之間，例 LAN與互聯(lián)網(wǎng)之間。

只要發(fā)現(xiàn)了安全邊界，就需要部署安全機制來控制信息的跨界流動。

安全等級的差異也是一種安全邊界。

安全邊界也存在于物理環(huán)境及邏輯環(huán)境中，為提高邏輯安全，必須提供與物理安全不同的安全機制。兩者卻已不可，共同構(gòu)建完整的安全結(jié)構(gòu)，而且都要在安全策略中進行明確。

在安全策略中，明確控制的起始點及在物理和邏輯環(huán)境中的位置，都十分重要。邏輯安全邊界是電子通信與安全響應(yīng)設(shè)備及服務(wù)的交界點。

13 防止或減輕網(wǎng)絡(luò)攻擊

盡可能解決或減輕任何可能損害數(shù)據(jù)、資源及人員安全的活動或自然條件。通信系統(tǒng)安全的常見威脅包括拒絕服務(wù)、竊聽、假冒、重放及更改。

13.1 DoS與DDoS

DoS（拒絕服務(wù)）攻擊是一種資源消耗攻擊，其主要目標(biāo)是限制受攻擊系統(tǒng)的合理活動。DoS攻擊會導(dǎo)致目標(biāo)無法對合理流量進行響應(yīng)。

拒絕服務(wù)有兩種基本形式：

DoS不是一個單獨攻擊，而是一類完整的攻擊。一些攻擊利用了操作系統(tǒng)的漏洞，而其他攻擊則以安裝的應(yīng)用，服務(wù)或協(xié)議為目標(biāo)。

DoS攻擊會利用一些中間系統(tǒng)（通常是不知不覺被利用），來隱藏真正的攻擊者。很多DoS攻擊都從破解或滲透一個或多個中間系統(tǒng)開始，然后利用這些破解的系統(tǒng)充當(dāng)攻擊的發(fā)起點或攻擊平臺。

針對DoS攻擊的應(yīng)對措施和保護手段：

13.2 竊聽

“竊聽”是簡單的偷聽通信過程，目的是復(fù)制獲取通信內(nèi)容。竊聽通常需要對IT基礎(chǔ)設(shè)施進行物理訪問，以便將物理錄制設(shè)備接入開放端口或電纜接頭，或在系統(tǒng)中安裝軟件錄制工具。

打擊竊聽行為，首先要保證物理訪問安全，以防止非法人員接觸IT基礎(chǔ)設(shè)施。需要使用加密技術(shù)（如IPSec或SSH）以及一次性身份驗證方法，這可極大地降低竊聽的效率和時效。

防止竊聽的常用方法是維護通信的可靠與安全。數(shù)據(jù)在傳輸過程中比在存儲時更易于攔截。

13.3 假冒、偽裝

假冒（）或偽裝（）通過假扮成其他人或其他物品，獲得對系統(tǒng)非法訪問的行為。

預(yù)防假冒的方法包括：使用一次性密碼及令牌身份驗證系統(tǒng)，使用身份驗證，使用加密來提高在網(wǎng)絡(luò)流量中提取身份驗證憑據(jù)的難度。

13.4 重放攻擊

“重放攻擊”是假冒攻擊的衍生物，攻擊可能來自通過竊聽獲取的網(wǎng)絡(luò)流量。攻擊手法是：通過重發(fā)抓取的流量，與被攻擊系統(tǒng)建立通信會話。

預(yù)防方法有：使用一次性 身份驗證機制和順序會話標(biāo)識。

13.5 修改攻擊

“修改攻擊”中，捕獲的報文經(jīng)過修改后又被發(fā)送給系統(tǒng)，修改報文主要是為了繞過改進型身份驗證機制與會話序列的限制。修改重放攻擊的應(yīng)對措施包括使用數(shù)字簽名驗證及報文校驗和驗證。

13.6 地址解析協(xié)議欺騙

ARP欺騙，通過為請求的IP地址提供虛假的MAC地址，將流量重定向到更改后的目的地址。ARP攻擊經(jīng)常是中間人攻擊的要素之一。

13.7 DNS毒化，欺騙及劫持

DNS毒化（DNS ）與DNS欺騙（DNS ）都稱為解析攻擊。域名系統(tǒng)毒化是由于攻擊者更改了DNS系統(tǒng)中的域名-IP地址的映射信息，將流量重定向到流量系統(tǒng)或用于執(zhí)行拒絕服務(wù)攻擊。

防止方法：只有獲得授權(quán)才能更改DNS信息，限制分區(qū)傳送并記錄所有的特權(quán)DNS活動。

另一個需要關(guān)注的DNS問題是“同形異意”（）攻擊，這些攻擊利用了字符集的相似性，注冊虛假的國際域名（IDN），以達到以假亂真的目的。

解決DNS劫持漏洞唯一有效的方法是將DNS系統(tǒng)升級到域名系統(tǒng)安全擴展（Domain Name System ，DNSSEC）

13.8 超鏈接欺騙

該攻擊也將流量重定向到流氓或假冒系統(tǒng)上，或只是讓流量偏離目標(biāo)系統(tǒng)。

防止超鏈接欺騙的方法與防止DNS欺騙的方法一樣，1）保證系統(tǒng)及時更新補丁 2）使用互聯(lián)網(wǎng)時保持警惕

專線網(wǎng)絡(luò)與家庭寬帶區(qū)別（基礎(chǔ)篇）

專線網(wǎng)絡(luò)：

專線是運營商為集團客戶提供各種速率的專用鏈路，直接連接主干網(wǎng)絡(luò)，方便快捷的高速互聯(lián)網(wǎng)上網(wǎng)服務(wù)。簡單來說，網(wǎng)絡(luò)專線就是為某個機構(gòu)例如企業(yè)、銀行等單獨拉的一條獨立的網(wǎng)絡(luò)，讓用戶的數(shù)據(jù)傳輸變得更加可靠可信。專線的優(yōu)點就是安全性高，QoS可以得到保證，相對來說價格也比普通網(wǎng)絡(luò)高。

專線網(wǎng)絡(luò)主要的兩種信道：

物理專用信道。 物理專用信道就是服務(wù)商到用戶之間鋪設(shè)有一條專用的線路，線路只給用戶獨立使用，其他的數(shù)據(jù)不能進入此線路，而一般的線路就允許多用戶共享信道。虛擬專用信道。虛擬專用信道就是在一般的信道上為用戶保留一定的帶寬，使用戶可以獨享這部分帶寬，就像在公用信道上又開了一個通道，只讓相應(yīng)用戶使用，而且用戶的數(shù)據(jù)是加密的，以此來保證可靠性與安全性。

普通網(wǎng)絡(luò)：

簡單來說，就是服務(wù)商將網(wǎng)絡(luò)拉到某小區(qū)機房，然后小區(qū)機房再分發(fā)給各個小區(qū)住戶，所有的用戶共用同一條網(wǎng)絡(luò)線路。

區(qū)別： 使用對象

專線使用對象：一般提供給企業(yè)用戶，價格比家用帶寬高。

普通網(wǎng)絡(luò)家用帶寬：主要面向的是個人用戶，價格比專線便宜，性價比高。

組網(wǎng)方式

專線采用獨享式帶寬設(shè)計，不管網(wǎng)絡(luò)閑、忙都能保證帶寬速度。

家用帶寬采用共享式帶寬設(shè)計，網(wǎng)絡(luò)高峰期，帶寬可能會受到用戶數(shù)量的影響。

上下行傳輸速率

專線網(wǎng)絡(luò)：上下行速度一致，例如100M的專線帶寬，能確保上行下行都是100M。

家用帶寬：上下行不對等，例如100M的家用帶寬，上行可能是20M，下行帶寬100。

（個人用戶一般上網(wǎng)下載需求量較高，上傳需求量較少）

IP地址

專線：使用固定公網(wǎng)IP地址，不會產(chǎn)生IP變化。

家用寬帶：通過撥號獲得IP地址，IP地址是變化的，不穩(wěn)定。例如今天是192.168.1.145

可能過幾天就是 192.168.1.136。