1. 常見的網路安全威脅 常見的網路安全威脅包括： ● 竊聽（即非授權存取、資訊外洩、資源竊取等） ● 假冒（假扮成另一個實體，如網站假冒、IP欺騙等） ● 重播● 破壞完整性● 拒絕服務● 木馬、病毒● 流量分析

2.網路安全漏洞 通常，入侵者尋找網路存在的安全弱點，從缺口處無聲無息地進入網路。因而開發駭客反擊武器的想法是找出行網路中的安全弱點，示範、測試這些安全漏洞，然後指出應如何堵住安全漏洞。目前，資訊系統的安全性非常弱，主要體現在作業系統、電腦網路和資料庫管理系統都存在安全隱患，這些安全隱患表現在以下方面。 （1)物理安全性。凡是能夠讓非授權機器物理接入的地方都會存在潛在的安全問題，也就是能讓接入用戶做本不允許做的事情。 （2)軟體安全漏洞。 「特權」軟體中帶有惡意的程式碼，從而可以導致其獲得額外的權限。 （3)不相容使用安全漏洞。當系統管理員把軟體和硬體綁在一起時，從安全的角度來看，可以認為系統將有可能產生嚴重安全隱患。所謂的不相容性問題，即把兩個毫無關係但有用的事物連接在一起，從而導致了安全漏洞。一旦系統建立和運行，這種問題很難被發現。 （4)選擇合適的安全哲理。這是一種對安全概念的理解和直覺。完美的軟體，受保護的硬體和相容部件並不能保證正常而有效地工作，除非用戶選擇了適當的安全策略和打開了能增加其係統安全的部件。

3.網路攻擊

4.安全措施的目標

5. 主要安全技術 ● 資料加密：重新組合訊息，只有收發雙方才能夠還原資訊。 ● 資料簽章：用來證明確實是由發送者簽發的。 ● 身分認證：鑑別使用者的合法性。 ● 防火牆：位於兩個網路之間，透過規則控制封包出入。 ● 內容檢查：對資料內容的安全性進行檢查，防止病毒、木馬的破壞。

6.系統安全基礎知識

習題

1.資料加密技術 資料加密技是指將資訊（明文）經過加密鑰匙及加密函數轉換，變成無意義的密文，而接收方則將此密文經過解密函數、解密鑰匙還原成明文的過程。根據加密金鑰和解密金鑰是否相同（是否可以由一個推導出另一個），可以分為： ●對稱加密技術（私鑰加密演算法） ● 非對稱加密技術（公鑰加密演算法）

2.對稱加密技術 DES/3DES/IDEA/AES/SM1/SM2/RC2/RC4/RC5 對稱加密技術是指加密金鑰和解密金鑰相同，或者雖然不同，但從其中一個可以輕鬆推導出另一個。 ● 優點加密和解密速度快，加密強度高，演算法公開。 ● 缺點實現金鑰的秘密分發困難，在使用者量大的情況下金鑰管理複雜，而且無法完成身分認證等功能，不便於應用在網路開放的環境中。 常見的對稱加密演算法： ●DES(Data Encryption Standard)：是一種迭代的分組密碼，輸入/輸出都是64位，使用一個 56位元的密鑰和附加的8位元奇偶校驗位元。 ● 3DES：由於DES的金鑰長度較短，為了提高安全性，出現了使 用112位元金鑰對資料進行三次加密的演算法，稱為3DES。 ● IDEA（International Data Encryption Algorithm）演算法：其明文和密文都是64位，金鑰長度為128位元。 PGP(Pretty Good Privacy）就使用IDEA作為其分組加密演算法，使用了其商業版權； 安全通訊端層SSL（Secure Socket Layer）也將IDEA包含在其加密演算法庫SSLRef中； IDEA演算法專利的所有者Ascom公司也推出了一系列基於IDEA演算法的安全產品，包括：基於IDEA的Exchang全 插件、IDEA加密晶片、IDEA加密軟體包等。 ●AES(Advanced Encryption Standard)(高級加密標準) 金鑰是AES演算法實現加密和解密的根本。對稱加密演算法之所以對稱，是因為這類演算法對明文的加密和解密需要使用同一個金鑰。 分組加密演算法 AES支援三種長度的密鑰：128位，192位，256位 ● 流加密演算法和RC4，其他都是分組加密；

3.非對稱加密技術（公鑰加密演算法）RSA/ECC/SM2 非對稱金鑰技術是指加密金鑰和解密金鑰完全不同，而且不可能 從任何一個推導出另一個。 ●優點是：金鑰管理簡單，可實現數位簽章和身分認證等功能，是目前電子商務等技術的核心基礎。 ●缺點是：演算法複雜，加密資料的速度和效率較低。 RSA演算法 由金鑰管理中心產生一對RSA金鑰，一個稱為私鑰，由使用者儲存；另一個稱為公鑰，可對外公開。 ●使用RSA加密大量的資料速度太慢，因此RSA廣泛用於金鑰的分發。 ●RSA演算法基於一個十分簡單的數論事實：將兩個大質數相乘十分容易，但是想要對其乘積進行因式分解卻極其困難（大素數分解） RSA演算法解決了大量網路使用者金鑰管理的難題。但RSA並不能取代DES，它們的優缺點正好互補: ●RSA的金鑰很長，加密速度慢； ●DES加密速度快，適合加密較長的封包； 所以，在傳送訊息時，常採用私鑰加密方法與公鑰加密方法結合的方式，利用DES或IDEA等私鑰加密演算法來進行高容量數的加密，採用RSA等公鑰加密演算法傳遞私鑰加密演算法所使用的金鑰

我國的加密技術

習題

認證技術分為實體認證和訊息認證兩種。 ●實體認證是識別通訊對方的身份，防止假冒，可以使用數位簽章的方法。 ●訊息認證是指驗證訊息在傳輸或預存過程中有沒有被竄改，通常使用封包摘要的方法。 ●認證方法有帳戶名稱/口令認證、使用摘要演算法認證、基於PKI的認證

1、資訊摘要 資訊摘要又稱為數字摘要。它是由一個單向Hash加密函數對訊息進行作用而產生。且不同的明文摘要成密文，其結果總是不同的，如果訊息在傳輸過程中被改變了哪怕1位，則接收者透過對收到訊息產生新的摘要，與原摘要也不一樣，這樣就可知道資訊是否被改變了。因此資訊摘要保證了資訊的完整性。資訊摘要可以用於建立數位簽章。對於特定的文件而言，資訊摘要是唯一的。而且不同的文件必將產生不同的資訊摘要。 常見的資訊摘要演算法包括 ●MD5 ：資訊摘要演算法第五版，輸入以512位元為分組，進行處理，產生一個128位元的輸出 ●SHA ：安全雜湊演算法，也是以512位元的分組處理，產生一個160位元的輸出它們可以用來保護資料的完整性。 SHA-1（英文：Secure Hash Algorithm 1，中文名稱：安全雜湊演算法1）是一種密碼雜湊函數，美國國家安全局設計，並由美國國家標準技術研究所（NIST）發佈為聯邦資料處理標準（FIPS）。 SHA-1可以產生一個被稱為訊息摘要的160位元（20位元組）雜湊值，雜湊值通常的呈現形式為40個十六進位數。

2、數位簽名 數位簽章是指透過一個單向函數來處理要傳送的封包進行處理，得到用以認證封包來源並確認封包是否有變化的一個字母數字串。它與資料加密技術一起，建構起了安全的商業加密體系。傳統的資料加密是保護資料最基本的方法，它只能夠防止第三者取得真實的資料(資料的機密性)，而數位簽章則可以解決否 認、偽造、竄改和冒充的問題(資料的完整性和不可抵賴性)。數位簽章使用的是公鑰演算法（非對稱金鑰技術）。 數位簽章的過程： (1)發送者A先透過雜湊函數對要傳送的訊息(M)計算訊息摘要(MD)，也就是擷取原文的特徵。 (2)發送者A將原文(M)和訊息摘要(MD)用自己的私鑰(PrA)進行加密，就是完成簽章動作，其訊息可以表示為PrA (M MD)。 (3)接著以接收者B的公鑰(PB)作為金鑰，對這個資訊包進行再次加密，得到PB(PrA(M MD))。 (4)當接收者收到後，先用自己的私鑰PrB解密，從而得到PrA(M MD) (5)再利用A的公鑰(PA)進行解密，如果能夠解密，顯然說明該資料是A發送的，同時也將得到原文M和訊息摘要MD。 (6)然後對原文M計算訊息摘要，得到新的MD，與收到MD進行比較，如果 一致，說明該資料在傳輸時未被篡改。

數位加密和數位簽章的區別 ●數位加密是用接收者的公鑰加密，接收者用自己的私鑰解密。 ●數位簽章是：將摘要資訊用發送者的私鑰加密，與原文一起傳送給接收者。接收者只有用傳送者的公鑰才能解密被加密的摘要訊息，然後用HASH函數對收到的原文產生一個新摘要訊息，與解密的摘要訊息對比

3、RADIUS協議 RADIUS（遠端使用者撥入驗證服務）是同時兼顧驗證(authentication)授權(authorization)及計費(accounting)三種服務的一種網路傳輸協定。 RADIUS是一種C/S結構的協議，透過UDP進行通訊。可以採用PAP、CHAP或Unix登入認證等多種方式。

習題

數位憑證 數位憑證就是網路通訊中標誌通訊各方身分資訊的一串數字，是一種在Internet上驗證通訊實體身分的方式。作用類似我們的身分證。它由一個由權威機構CA(證書授權中 心)發行的，人們可以在網上用它來識別對方的身份。數位憑證是一個經CA數位簽署的，包含公開金鑰擁有者資訊以及公開金鑰的文件。數位憑證採用公鑰體制，即利用一對相互匹配的金鑰進行加密和解密。每個使用者設定兩個密鑰： ●私鑰：僅本人知道的專用金鑰，用來解密和簽名 ●公鑰：由本人公開，用於加密和驗證簽名 ● 發送機密文件。發送者使用接收者的公鑰進行加密，接收者使用自己的私鑰解密。 ●資料簽章。接收方能夠透過數位憑證來確認發送方的身份，而發送方無法抵賴。數位簽名可以保證資訊更改後會被發現。

數位憑證的格式 數位憑證的格式一般使用X.509國際標準。 X.509用戶公鑰憑證由可信賴的憑證權威機構CA創建，並由CA或使用者存放在X.500公用目錄中以供其他使用者存取。數位憑證包括版本號、序號(CA下發的每個憑證的序號都是唯一的)、簽章演算法識別碼、發行者名稱、有效性、主體名稱、主體的公開金鑰資訊、發行者唯一識別符、主體唯一識別符、擴充域、簽章（即CA用自己的私鑰對上述域進行數位簽章的結果，即CA中心對使用者憑證的簽章）。

數位憑證的獲取 任何一個使用者只要得到CA中心的公鑰，就可以得到該CA中心為該使用者簽署的公鑰。因為證書是不可偽造的，因此對於存放證書的目錄無須施加特別的保護

證書的吊銷 憑證到了有效期限、使用者私鑰已洩漏、使用者放棄使用原CA中心的服務、CA中心私鑰洩漏都需撤銷憑證。這時CA中心會維護一個憑證撤銷清單(CRL)，以便大家查詢。

密鑰管理體制 金鑰管理是指處理金鑰自產生到銷毀的整個過程的相關問題，包括系統的初始化、金鑰的產生、儲存、備份/還原、裝入、分配、保護、更新、控制、遺失、撤銷及銷毀。主要的密鑰管理體制有三種： ●適用於封閉網路、以傳統的金鑰管理中心為代表的KMI機制 ●適用於開放網路的PKI機制 ●適用於規模化專用網的SPK機制

[ ]用戶B收到經A數位簽署後的消息M，為驗證訊息的真實性，首先需要從CA取得用戶A的數位證書，該數位證書包含（A），可利用（A）驗證該證書的真偽，然後利用（C）驗證M的真實性。 A. A的公鑰 B. A的私鑰 C. B的公鑰 D. B的私鑰 A. CA的公鑰 B. B的私鑰 C. A的公鑰 D. B的公鑰 A. CA的公鑰 B. B的私鑰 C. A的公鑰 D. B的公鑰

虛擬專用網(VPN Virtual Private Network) 虛擬專用網路是企業網路在網際網路等公共網路上的延伸，它透過一個私有的通道在公用網路上創造一個安全的私有連線。從本質上來說VPN是一個虛信道，它可用來連接兩個專用網，透過可靠的加密技術保證其安全性，並且作為公共網路的一部分存在的。

VPN的關鍵技術 ●隧道技術 ●加解密技術 ●金鑰管理技術 ●身分認證技術

VPN的分類與應用

VPN技術有哪些分類 1.依資料傳輸方式分類： ●隧道模式（Tunneling Mode）：透過在原始資料包外包含新的資料包頭，將資料加密後傳輸，通常用於遠端存取、連接不同地區的私人網路等場景。 ●透明模式（Transparent Mode）：在不修改資料包的情況下，直接對資料包進行加密，通常用於保障公共網路傳輸的安全性。 2、依網路類型分類： ●遠端存取VPN：用於遠端工作人員存取企業內部網路資源。例如，PPTP、L2TP、SSL VPN等。 ●點對點VPN：兩個設備之間建立VPN連接，用於連接分佈在不同地方的區域網路。例如，IPSec適用於點對點場景。 3、依安全協定分類： ●PPTP協定：使用GRE協定封裝，加密強度較低，適用於不需要太高安全度的場景。 ●L2TP協定：基於PPTP協議，加入L2TP協定使其更安全，適用於需要中等安全度的場景。 ●IPSec協定：加密強度高，安全性好，但設定較為複雜，適用於需要高度安全保障的場景。

PPTP（點對點隧道協定）是英文Point to Point Tunneling Protocol的縮寫，預設連接埠號：1723 (TCP)，是一種支援多協定虛擬專用網路的網路技術，它運作在第二層。透過該協議，遠端使用者能夠透過Microsoft Windows作業系統以及其它裝有對點協議的系統安全地存取公司網絡，並能撥號連入本地ISP，透過Internet安全連結到公司網路。 L2TP（第二層隧道協定）是英文Layer 2 Tunneling Protocol的縮寫，預設連接埠號：1701 (UDP)，是一種工業標準的Internet隧道協議，功能大致和PPTP協定類似，例如同樣可以對網路資料流進行加密。不過也有不同之處，例如PPTP要求網路為IP網絡，L2TP要求面向封包的點對點連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供封包壓縮、隧道驗證，而PPTP不支援。 PPP點到點協定（Point to Point Protocol，PPP）是為在同等單元之間傳輸資料包這樣的簡單連結所設計的連結層協定。 這種連結提供全雙工操作，並依照順序傳遞資料包。設計目的主要是用來透過撥號或專線方式建立點對點連接發送數據，使其成為各種主機、網橋和路由器之間簡單連接的一種共通的解決方案。 PPP具有以下功能： （1）PPP具有動態分配IP位址的能力，允許在連線時刻協商IP位址； （2）PPP支援多種網路協議，如TCP/IP、NetBEUI、NWLINK等； （3）PPP具有錯誤偵測能力，但不具備糾錯能力，所以ppp是不可靠傳輸協定； （4）無重傳的機制，網路開銷小，速度快。 （5）PPP具有身份驗證功能。 （6） PPP可用於多種類型的實體媒體上，包括串口線、電話線、行動電話和光纖（例如SDH），PPP也用於網路存取。

VPN隧道技術 ●PPTP：在邏輯上延伸了PPP會話，從而形成了虛擬的遠端撥號。在協議實現時，使用了與PPP相同的認證機制，包括EAP（擴身份認證協議）、MS-CHAP（微軟詢問握手認證協議）、CHAP（詢問握手認證協議）、SPAP（Shiva口令字認證協議） 、PAP（口令字認證協定）。另外，在Windows 2000中，PPP使用了MPPE（微軟點對點加密技術）進行加密，因此必須採用EAP或MS-CHAP認證技術 ●L2F：可以在多種媒體上建立多協定的安全VPN通訊方式，它將鏈路層的協定封裝起來，以使網路的鏈路層完全獨立於使用者的鏈路層協定。 ●L2TP:是PPTP和L2F結合的產物。 L2TP協定將PPP幀封裝後，可透過IP、X.25、FR或ATM進行傳輸。建立L2TP隧道時必須使用與PPP連線相同的認證機制，它結合了L2F和PPTP的優點，可以讓使用者從客戶端或接取伺服器端發起VPN連線。 ●IPSec：是由安全協定、金鑰管理協定、安全關聯、認證和加密演算法四部分構成的安全結構。安全協定在IP協定中增加兩個基於密碼的安全機制：認證頭(AH)和封裝安全負載(ESP)。 AH:是一段封包認證代碼，在發送IP包前已計算好。發送方以加密金鑰計算出AH，接收方以相同（對稱加密技術）或另一金鑰（非對稱加密技術）進行驗證。 ESP:對整個IP包進行封裝加密，通常使用DES演算法。

IPSEC（Internet Protocol Security）技術能夠提供哪些安全服務 1.身份認證：IPSec可以驗證通訊雙方的身份，確保只有合法的使用者才能存取被保護的資源。 2.資料完整性：IPSec使用一種稱為雜湊函數的演算法，對資料進行雜湊運算，以檢查資料是否被篡改。如果資料傳輸過程中發生任何變化，接收方將發現資料不完整且拒絕處理資料。 3.資料機密性：IPSec使用加密演算法對傳輸的資料進行加密以保護資料不被未授權的人員取得。 4.反重播攻擊保護：IPSec在通訊建立時，請求發送方發送一個唯一的標識符，每次通訊時該標識符都會改變。這個標識符能夠保護資料不被重複使用，從而避免了攻擊者利用資料重用的缺點。 5.防止拒絕服務攻擊：IPSec可以根據安全策略對流量進行限制，攔截來自未授權的流量，減少對被保護的資源的攻擊

IPSEC的技術架構

IPSec VPN體系結構 安全協定：負責保護數據，AH/ESP 工作模式：傳輸模式：實現端對端保護，隧道模式：實現站對站保護 金鑰交換：IKE：為安全協定執行協商 AH 資料的完整性校驗與來源驗證、有限的抗重播能力、無法提供資料加密功能 ESP 保證資料的機密性、資料的完整性校驗和來源驗證、一定的抗重播能力

IKE（Internet Key Exchange） 協定是用於在IPsec（Internet Protocol security）加密協定中建立安全通道的協定。它的作用是為IPsec建立安全的金鑰和認證通道，確保在互聯網上進行的通訊和資料傳輸是安全的和私密的。 IKE協議用於以下幾個方面： 確認通訊雙方：IKE協定使用數位憑證或預先共用密碼來建立加密通道，確保只有受信任的通訊雙方可以進行通訊。 協商加密規則：IKE協定會協商加密演算法、金鑰長度、雜湊演算法等加密規則，確保使用最新的安全技術來加密資料。 建立金鑰：IKE協定產生用於 IPsec 加密和驗證的金鑰。 維護安全通道：IKE協定還負責維護 IPsec 安全通道，以確保通訊過程中的資料保持機密性、完整性和可用性

IPSec的兩種模式 傳輸模式（Transport Mode） 是IPSec的預設模式,又稱端對端（End-to-End）模式，它適用於兩台主機之間進行IPSec通訊。 傳輸模式只對IP負載進行保護，可能是TCP/UDP/ICMP協議，也可能是AH/ESP協定。傳輸模式只為上層協定提供安全保護，在此種模式下，參與通訊的雙方主機都必須安裝IPSec協議，而且它不能隱藏主機的IP位址。啟用IPSec傳輸模式後，IPSec會在傳輸層包的前面增加AH/ESP頭部或同時增加兩種頭部，構成一個AH/ESP資料包，然後加入IP頭部組成IP包。在接收方，首先處理的是IP，然後再做IPSec處理，最後再將載重資料交給上層協定。 隧道模式（Tunnel Mode） 使用在兩台網關之間，站點到站點（Site-to-Site）的通訊。參與通訊的兩個網關實際上是為了兩個以其為邊界的網路中的電腦提供安全通訊的服務。隧道模式為整個IP包提供保護，為IP協定本身而不只是上層協定提供安全保護。通常情況下只要使用IPSec的雙方有一方是安全網關，就必須使用隧道模式，隧道模式的一個優點是可以隱藏內部主機和伺服器的IP位址。大部分VPN都使用隧道模式，因為它不僅對整個原始封包加密，還對通訊的來源位址和目的位址進行部分和全部加密，只需要在安全網關，而不需要在內部主機上安裝VPN軟體，期間所有加密和解密以及協商操作均由前者負責完成。

傳輸模式AH封裝

隧道模式AH封裝

習題

建立ipsec 隧道要點

防火牆 防火牆是由軟體或硬體設備構成，在內部網路和外部網路之間、專用網路與公共網路之間的資訊安全防護系統，依照特定的規則，允許或限制傳輸的資料通過。防火牆的作用是防止未經授權的通訊進出被保護的網路。

防火牆的功能 防火牆具有以下功能： ●存取控制功能 ●內容控制功能 ●全面的日誌功能 ●集中管理功能

網路安全設計 在保護內部網路的基礎上，對外提供服務的伺服器進行保護。

防火牆工作的三種模式： 路由模式：以第三層對外連接（介面具有IP 位址） 透明模式：透過第二層對外連接（介面無IP 位址） 混合模式：防火牆同時具有工作在路由模式和透明模式的介面（某些介面具有IP 位址，某些介面無IP 位址）

防火牆結構 屏蔽路由器（包過濾型防火牆） 2.雙穴主機模式 3.屏蔽主機模式 4.屏蔽子網路模式

1．屏蔽路由器（包過濾防火牆） 對每一個接收到的資料包的包頭，按照包過濾規則進行判定，與規則相符的包依據路由資訊繼續轉發，否則就丟棄包過濾是在IP層實現的，包過濾根據數據包的源IP位址、目的IP地 址、協定類型（TCP包、UDP包、ICMP包）、來源埠、目的埠等包頭資訊及資料包傳輸方向等資訊來判斷是否允許資料包通過。

2．雙穴主機模式 是由一台至少裝有兩塊網卡的堡壘主機作為防火牆，位於內外網路之間，實現實體上的隔開

3．屏蔽主機模式 屏蔽主機模式是指透過一個單獨的路由器和內部網路上的堡壘主機共同構成防火牆，主要透過封包過濾實現內部、外部網路的隔離和對內部網路的保護。這種模式有兩道屏障，一道是屏蔽路由器，另一道是堡壘主機。

4．屏蔽子網路模式 屏蔽子網模式採用兩個屏蔽路由器和一個堡壘主機，在內外網路之間建立了一個被隔離的子網，定義為DMZ網絡，稱為非軍事區。

入侵偵測 入侵偵測是對入侵行為的偵測。它透過收集和分析網路行為、安全日誌、審計資料、電腦系統中若干關鍵點的信息，檢查網路或系統中是否有違反安全策略的行為和被攻擊的跡象。

入侵偵測系統(IDS intrusion detection system) 是一種主動保護自己，使網路和系統免於非法攻擊的網路安全技術，它依照一定的安全策略，對網路、系統的運作狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或攻擊結果，以確保網路系統資源的機密性、完整性和可用性。 IDS是一種積極主動的安全防護技術。

IDS的功能 IDS包括資料擷取、入侵分析、回應處理三大部分，另外還可結合安全知識庫、資料儲存等功能模組，提供更完善的安全偵測技術分析功能

IDS分類 IDS可以依照基於資料來源的分類、基於偵測方法的分類，依不同 的分類方法，則有不同的IDS。

入侵防禦系統(IPS Intrusion Prevention System) 是一種主動的、積極的入侵防範及阻止系統，它部署在網路的進出口處，當檢測到攻擊企圖後，自動地將攻擊包丟掉或採取措施將攻擊源阻斷。 IPS的偵測功能類似IDS，但IPS偵測到攻擊後會採取行動阻止攻擊，可以說IPS是建立在IDS發展的基礎上的新生網路安全產品。

入侵防禦的優勢： 入侵防禦是種既能發現又能阻止入侵行為的新安全防禦技術。透過偵測發現網路入侵後，能自動丟棄入侵封包或阻斷攻擊來源，從而從根本上避免攻擊行為。入侵防禦的主要優點有以下幾點： ●即時阻斷攻擊：設備採用直路方式部署在網路中，能夠在偵測到入侵時，即時對入侵活動和攻擊性網路流量進行攔截，把其對網路的入侵降到最低。 ●深層防護：由於新型的攻擊都隱藏在TCP/IP協定的應用層裡，入侵防禦能偵測封包應用層的內容，還可以對網路資料流重組進行協定分析與偵測，並根據攻擊類型、策略等來決定哪些流量應該被攔截。 ●全方位防護：入侵防禦可提供針對蠕蟲、病毒、木馬、殭屍網路、間諜軟體、廣告軟體、CGI（Common Gateway Interface）攻擊、跨站腳本攻擊、注入攻擊、目錄遍歷、資訊外洩、遠端檔案包含攻擊、溢位攻擊、程式碼執行、拒絕服務、掃描工具、後門等攻擊的防護措施，全方位防禦各種攻擊，保護網路安全。 ●內外兼防：入侵防禦不但可以防止來自於企業外部的攻擊，還可以防止發自企業內部的攻擊。系統對經過的流量都可以進行偵測，既可以對伺服器進行防護，也可以對客戶端進行防護。 ●不斷升級，精準防護：入侵防禦特徵庫會持續的更新，以維持最高水準的安全性。

IPS與IDS的區別 IPS和IDS的部署方式不同： ● IDS產品在網路中是旁路式工作 IDS（Intrusion Detection System）入侵偵測系統，IDS對那些異常的、可能是入侵行為的資料進行偵測和警報，告知使用者網路中的即時狀況，並提供相應的解決、處理方法，是一種側重於風險管理的安全功能。 ● IPS產品在網路中是串接式工作 串接式工作保證所有網路資料都經過IPS設備，IPS偵測資料流中的惡意程式碼，核對策略，在未轉送伺服器之前，將資訊包或資料流攔截。是一種專注於風險控制的安全功能。入侵防禦技術在傳統IDS的基礎上增加了強大的防禦功能

入侵防禦系統的種類 ● 主機為基礎的入侵防護 ● 網路為基礎的入侵防護 ● 基於應用的入侵防護

入侵防禦系統面臨的挑戰 ● 單點故障 ● 效能瓶頸 ● 誤報與漏報

習題

PGP技術 PGP是一個基於RSA公鑰加密體系的郵件加密協定。 ●用它對郵件加密以防止非授權者閱讀，還能為郵件加上數位簽 名從而使收信人可以確認郵件的發送者，並能確信郵件沒有被竄改。它結合了RSA和IDEA的鍊式加密法。 ●PGP的工作流程是用一個隨機產生的金鑰（每次加密不同）透過IDEA演算法對明文加密，然後用RSA演算法對該金鑰加密。因此它既有RSA的保密性，也獲得了IDEA演算法的快速性。 PGP的主要特徵： ●使用PGP對郵件加密，以防止非法閱讀。 ●能為加密的郵件追加數位簽名，從而使收信人進一步確信郵件的發送者，而事先不需要任何保密的管道用來傳遞金鑰。 ●可以實現只簽名而不加密，適用於發表公開聲明時證實聲明人身份，也可防止聲明人抵賴。 ●能夠加密文件，包括圖形文件、聲音文件及其他各類文件。

Kerberos 在分散式網路應用程式環境中，要確保其使用的安全性，就必須讓工作站能夠以可信任、安全的方式向伺服器證實其身份，否則就會出現許多安全問題。而解決這個問題的技術稱為身分認證。常見的身份認證技術包括 ●使用者雙方指定共用金鑰（最不安全） ●使用智慧卡產生金鑰 ●使用Kerberos服務 ●使用PKI服務（從CA中心取得數位憑證方式） Kerberos 工作原理 ●Kerberos並非為每一個伺服器建構一個身分認證協議，而是提供一個中心認證伺服器，提供使用者到伺服器和伺服器到使用者的認證服務。 ●Kerberos的核心是使用DES加密技術，實現最基本的認證服務。

Kerberos認證過程分為3個階段，6個步驟： 第一階段：認證服務交換、用戶端取得授權伺服器存取授權票據。 ①用戶A輸入自己的用戶名，以明文的方式發給認證伺服器。 ②認證伺服器傳回一個會話金鑰Ks和一個票據KTGS (A,Ks) ，這個會話金鑰是一次性的（也可以使用智慧卡產生），而這兩個資料包則是使用使用者A 的金鑰加密的，返回時將要求其輸入密碼，並解密數據 第二階段(③④)：票據許可服務交換，客戶端取得應用服務存取許可票據。 ③用戶A將獲得的票據、要存取的應用程式伺服器名稱B，以及以會話金鑰加密的時間標記（用來防止重發攻擊）傳送給授權伺服器(TGS)。 ④授權伺服器(TGS)收到後，傳回A和B通訊的會話金鑰，包括用A的金鑰加密和用B的金鑰加密的會話金鑰KAB。 第三階段(⑤⑥)：客戶端與應用程式伺服器認證交換，客戶端最終獲得應用服務。 ⑤用戶A將從TGS收到的用B密鑰加密的會話密鑰發給伺服器B，並且附上用雙方的會話密鑰KAB加密的時間標記，以防止重發攻擊。 ⑥伺服器B進行應答，完成認證流程。 Kerberos採用了連續加密的機制來防止會話被劫持。

SSL SSL(安全通訊端協議)及其繼任者TLS (傳輸層安全協議)是一種安全協議，為網路通訊及資料完整性提供安全保障。 SSL和TLS是工作在傳輸層的安全協定, 在傳輸層對網路連線加密 (1)SSL協定分為兩層 SSL記錄協定（SSL Record Protocol） 它建立在可靠的傳輸協定（如TCP）之上，為高層協定提供資料封裝、壓縮、加密等基本功能的支援。 SSL握手協定（SSL Handshake Protocol） 它建立在SSL記錄協定之上，用於在實際的資料傳輸開始前，通訊雙方進行身分認證、協商加密演算法、交換加密金鑰等。 (2) SSL協定提供的服務 ●認證使用者和伺服器，確保資料傳送到正確的客戶機和伺服器。 ●加密資料以防止資料中途被竊取。 ●維護資料的完整性，確保資料在傳輸過程中不會改變。

HTTPS HTTPS是以安全為目標的HTTP通道，是HTTP協定的擴展，是HTTP的安全版。 HTTPS是工作在應用層的協議，連接埠號碼443 HTTPS和HTTP的區別 HTTPS協定需要到CA申請憑證。 HTTP是超文本傳輸協議，訊息是明文傳輸，HTTPS 則是具有安全性的SSL加密傳輸協定。 HTTP和HTTPS使用的是完全不同的連接方式，用的連接埠也不一樣，前者是80，後者是443。 HTTP的連線很簡單，是無狀態的；HTTPS協定是由SSL HTTP協定建構的可進行加密傳輸、身分認證的網路協定，比HTTP協定安全。

SET SET協定稱為安全電子交易協定。 在線上交易過程中，交易各方都希望驗明其他方的身份，以防止被欺騙。針對這種情況，由美國Visa和MasterCard兩大信用卡組織共同製定了應用於Internet上的以銀行卡為基礎，進行線上交易 的安全標準--SET。它採用公鑰密碼體制和X.509數位憑證標準，保障網路購物資訊的 安全性 ●SET協議能保證電子交易的機密性，資料完整性，交易行為的不可否認性和身分的合法性。 ●SET協議的參與者有：持卡使用者、商家、銀行（發卡人）、支付網關、CA中心。

習題