本文摘自CISSP官方学习指南第八版

网络与协议安全机制1.1 安全通信协议 IPSec 互联网协议安全（Internet Protocol Security，IPSec）使用公钥加密算法，为所有基于IP的协议提供加密、访问控制、不可否认及信息身份验证等服务。IPSec主要应用于虚拟专用网（VPN），IPSec能工作在传输模式或者隧道模式。Kerberos 为用户提供单一登录解决方案，并对登入证书提供保护。现在的kerberos 技术通过混合加密，来提供可靠的身份验证保护。SSH 安全shell 是端对端加密技术的一个优秀应用实例。该安全技术能为大量的明文工具提供加密服务，也可充当协议加密工具（如FTP）或充当VPN。信令协议（singal protocol) 是一种为语音通信，视频会议以及文本信息服务提供端对端加密服务的加密协议。安全远程过程调用（seucre remote procedure call,S-RPC) 是一种身份验证服务，也是防止非法代码在远程系统执行的一种简单方法。安全套接字层（Secure Sockets Layer，SSL）是由netscape公司开发的加密协议，用户保护Web服务器与浏览器间的通信。这是一种面向会话的协议，能实现保密性与完整性保护。SSL现在采用的是40位或128位密钥。SSL已经被TLS取代。传输层安全（Transport Layer Securit，TLS）TLS的功能与SSL大致相同，但采用更强的身份验证方法及加密协议。SSL与TLS具有下列相同的特点：

• 支持在不安全的网路中，进行安全的客户机-服务器通信，提供防篡改、防欺骗以及防窃听机制。
• 支持单向身份验证
• 支持基于数字证书的双向身份验证
• 在具体实现时，经常作为TCP包的原始荷载，也可用来封装所有类型的更高层协议载荷
• 可作为较低层次的协议，如网络层，充当VPN。该种实现也称为OpenVPN。

此外，TLS还可加密UDP及SIP连接。SIP是Voice over IP相关协议。1.2 身份验证协议当远程系统与服务器或网络建立初始连接后，第一步工作应是验证远端用户的身份，该工作称为身份验证。如下几种身份验证协议来控制登录证书的交换，以及确定在传输过程中这些证书是否需要加密。

• CHAP（Challenge Handshake Authentication Protocol，征询握手身份验证协议）是一种应用于点对点协议（Point to Point Protocol，PPP）连接上的身份验证协议。CHAP加密用户名与密码。采用无法重放的挑战 — 应答对话进行验证。CHAP在已建立的完整通信会话期间，周期性地重复验证远程系统，以确保远程用户身份持续有效，这个过程对于用户是透明的。
• PAP（Password Authentication Protocol，密码身份验证协议）是一种服务于PPP的标准化身份验证协议。PAP使用明文传输用户名和密码。它不提供任何形式的加密，只提供简单的传输途径，把登录证书从客户端传递到身份验证服务器。
• EAP（Extensible Authentication Protocol，可扩展身份验证协议）是一种身份验证框架而不是真实协议。EAP支持可定制的身份验证安全解决方案，如智能卡，令牌和生物身份验证。上述三个身份验证协议最初都应用于拨号PPP连接中。现在，他们与许多新验证协议（如openID，OAuth及Shibboleth）及概念（如身份验证联合及SAML）一起，都应用于大量的远程连接技术中，如宽带及VPN。同时扩展了对传统身份验证服务(如Kerberos，RADIUS及TACACS+）的支持与使用。2.0 语音通信的安全2.1 VoIPVoIP （Voice over Internet Protocol,网络电话）是一种讲语音封装在IP包中的技术，该技术支持在TCP/IP网络中打电话。选择VoIP服务提供商时，要牢记安全的重要性，确保方案能提供所期望的私密性与安全性。黑客可采用多种技术方法来攻击VoIP：
• 由于使用任何一种VoIP工具，都可以轻松伪造来电号码显示，所以黑客能够进行语音钓鱼（VoIP钓鱼）或垃圾网络电话（SPIT）攻击
• 呼叫管理系统及VoIP电话本身也易受宿主操作系统攻击及DoS攻击，如果设备，软件运行的主机操作系统或固件存在脆弱性，就会增加被攻击的风险。
• 通过欺骗呼叫管理器、终端连接协商过程和/或响应，攻击者能执行中间人（MitM）攻击
• 不同的部署方式，也可能带来一些安全风险。
• 由于VoIP时网络流量，所以在未加密的情况下，通过窃听VoIP通信就可以解码VoIP流量内容。

SRTP（Secure Real-Time Transport Protocol，安全实时传输协议，也称安全RTP）时RTP的安全改进版本，也应用于很多VoIP通信中。SRTP的目的时通过健壮的加密及可靠的身份验证，尽可能降低VoIP遭受DoS攻击的风险。2.2 社会工程社会工程时一种能让陌生的、不可信的或至少是未授权的个人，获取组织内部人员信任的方法。防护社会工程攻击的唯一方法，就是教育用户如何应对任何形式的交流，无论是语音的、面对面的、及时通信，聊天或者是Email。2.3 欺骗与滥用另一种语音通信威胁是专用交换机（Private Branch Exchange，PBX）欺骗与滥用。针对PBX欺骗及滥用的应对措施，与保护计算机网络的很多防范措施相同，逻辑或技术控制，管理控制以及物理控制。在设计PBX安全方案时要牢记一下几个要点。

• 考虑用信任卡或呼叫卡系统，来替代通过PBX进行的远程访问或长距离呼叫。
• 只向工作中需要该类业务的合法用户，提供拨入及拨出的功能
• 如果仍然使用拨入调制解调器，应使用未公布的电话号码，号码的前缀区号要与现在使用的不同
• 保护PBX的管理员接口
• 阻止或停用任何未分配的访问码或账户
• 制定切实可行的用户策略，并培训用户如何使用系统
• 记录并审计PBX上的所有活动，并通过审计踪迹发现安全及使用上的违规行为
• 禁用维护调制解调器和任何形式的远程管理访问
• 更改默认配置，尤其时密码及有关管理或特权特点的功能
• 阻止远程呼叫
• 采用DISA（Direct Inward System Access，直接拨入系统访问）技术，减少外部实体对PBX的访问。
• 提醒厂商、服务提供商及时更新现有系统

此外，要保证对所有PBX连接中心，电话门户以及配线间的物理防护控制，以防外部攻击者的直接入侵。常用于攻击电话服务的工具：

• “黑盒” 通过改变电话线电压来偷取长途电话服务，通常是自制的带电池及线夹的电路板。
• “红盒”模拟硬币投入付费电话的声音，通常只是一台小小的磁带录音机
• “蓝盒” 通过模拟2600Hz的声调，直接与电话网主干系统进行交互，它可能是一个哨子、一台磁带录音机或一部数字声调发生器
• "白盒“ 用于控制电话系统，白盒是一种双音调多频发生器。3.0 多媒体合作多媒体合作就是使用多种支持多媒体的通信方法，提高远距离的合作。3.1 远程会议远程会议技术可应用于任何产品，硬件或软件，支持远程实体间进行交互。评估：
• 服务是否使用了强身份验证
• 是否采用了开发协议或加密通道
• 是否允许真正删除会议内容
• 用户活动是否进行审计与日志记录

3.2 即时通信IM（Instant Message）是一种实时通信工具，能为互联网上任何地方的用户提供基于文字的聊天功能。采用多因素身份验证及传输加密。4.0 管理邮件安全SMTP（Simple Mail Transfer Protocol）接收来自客户的邮件，并将这些邮件传送给其他服务器，这些邮件最后被存储到服务器的用户收件箱中。客户端使用POP3或IMAP，从邮件服务器的收件箱中查收邮件，客户端使用SMTP与邮件服务器通信。（简单说，SMTP 发， POP3，IMAP收）公司邮件的另一个选择是SaaS邮件解决方案。 SaaS邮件能帮助客户借助大型互联网企业的安全经验及管理专长，服务本公司的内部通信。SaaS邮件的优点包括高可用性、分布式架构、易于访问、标准化配置以及物理位置独立等。托管邮件解决方案也存在潜在风险，包括黑名单问题，速度限制，app/插件限制以及无法自主部署额外的安全机制。4.1 邮件安全目标提高邮件的安全性，需要满足下列一种或多种目标：

• 提供不可否认性
• 消息只限制收件人可以访问（即隐私与保密性）
• 维护消息的完整性
• 身份验证和验证消息源
• 验证消息的传递
• 对消息或附件中的敏感内容进行分级邮件的安全源于高层管理者批准的安全策略，在安全策略中，必须解决几个问题：
• 可接受的邮件使用策略
• 访问控制
• 隐私
• 邮件管理
• 邮件备份与保留策略

可接受的使用策略明确了组织的邮件基础设施中，那些活动是允许的，那些活动是禁止的。4.2 理解邮件安全问题邮件安全防护的第一步是弄清楚邮件特有的脆弱性。邮件是较常见的传播病毒、蠕虫、特洛伊木马、文档宏病毒及其他恶意代码的途径。邮件炸弹，是一种使用大量邮件淹没系统的DoS攻击手段。该种DoS会导致系统的存储容量或处理器时间耗尽，产生的结果都一样，无法传送合法的邮件。垃圾邮件也被视为一种攻击。垃圾邮件不只是垃圾，浪费本地及互联网资源，4.3 邮件安全解决方案安全/多用途互联网邮件扩展（Secure Multipurpose Internet Mail Extensions,S/MIME) 是一种邮件安全标准，能通过公钥加密及数据签名，为邮件提供身份验证及保密性保护。身份验证是通过X.509数字证书完成的，通过公钥加密标准（Public Key Cryptography Standard，PKCS）来提供隐私保护。采用S/MIME 能形成两种类型的消息：签名消息与安全信封消息。签名消息提供完整性、发件人身份验证及不可否认。安全信封消息提供完整性、发件人身份验证及保密性。MIME 对象安全服务（MIME Object Security Services，MOSS）MOSS能为邮件提供身份验证、保密性、完整性及不可否认保护。MOSS使用MD2算法，RSA公钥和DES来提供身份验证及加密服务。隐私增强邮件（Privacy Enhanced Mail，PEM）PEM是一种邮件加密技术，能提供身份验证、完整性、保密性及不可否认保护。PEM使用RSA、DES及X.509域名关键字标识邮件（DomainKeys Identified Mail，DKIM）DKIM通过验证域名标识，确定来自组织的邮件是否有效。良好隐私（Pretty Good Privacy，PGP）是一种对称密钥系统，使用大量的加密算法加密文件及邮件消息SMTP 网关Opportunistic ， 大量组织正在使用TLS上的安全SMTP。 发件人策略框架（Sender Policy Framwork，SPF）组织可通过为SMTP服务器配置SPF，来防止垃圾邮件及邮件欺骗。SPF通过检查发送消息的主机是否获得SMTP域名拥有者的授权，来确定消息的有效性。通过采用这些及其他邮件和通信安全措施，能减小或消除邮件系统的大量脆弱性。数字签名有助于消除身份假冒。消息加密可减少窃听事件的发生。而采用邮件过滤可将垃圾邮件及邮件炸弹降至最低。5.0 远程访问安全管理远程访问可能采取下列一些形式：

• 使用调制解调器直接拨入远程访问服务器
• 在互联网上通过VPN接入网络
• 通过瘦客户端连接接入终端服务器系统
• 使用远程桌面服务
• 使用基于云的桌面解决方案需要保护专用网络以防止出现远程访问问题：
• 远程用户应该经过严格的身份验证才能获得访问权限
• 只有那些工作中需要远程访问的特定用户，才有权建立远程连接
• 所有远程通信都要防止被拦截和窃听。这通常需要加密技术来保护身份验证信息以数据传输5.1 远程访问安全计划在规划远程访问的安全策略时，一定要解决下列问题：
• 远程连接技术。
• 传输保护 ， VPN、SSL、TLS、SSH、IPSec 以及L2TP
• 身份验证保护，PAP、CHAP、EAP、RAUIUS、TACACS+
• 远程用户助手，如果远程系统难以或无法维护与专用局域网相同等级的安全防护，就应该重新考虑远程访问的安全风险。5.2 拨号上网协议PPP，是一种全双工协议。用于在各种非局域网环连接上传输TCP、IP数据包。由多种协议保护PPP身份验证的安全，CHAP，SLIP（串行链路互联网协议）是一种更早的技术，主要是为了在异步串行连接中，进行TCP/IP通信。5.3 中心化远程身份验证服务
• RADIUS 远程拨号连接提供中心化的身份验证服务。 初始UDP 1812 ， TLS上RADUIS TCP 2083
• TACACS+ 主要端口TCP 496.0 虚拟专用网VPN能在不安全或不可信的网络上，提供保密性及完整性保护。但不提供或保证可用性。6.1 隧道技术隧道技术是一种网络通信过程，通过将协议数据包封装另一种协议报文中，对协议数据内容进行保护。这种封装就可以看成是在不可信的网络中创立的通信隧道。这个虚拟通道位于不同通信端上的封装实体与解封实体之间。旁路就是通过将受限的内容封装在允许合法传输的数据包中完成的。隧道技术缺点：
• 低效的通信方式，会增加消息通信的额外开销。
• 增加了报文的体量和数量，消耗了更多网络带宽6.2 VPN的工作机理可在其他任何网络连接上建立起VPN链路。通信连接可能是一个典型的LAN，一个无线LAN，远程访问的拨号连接，WAN链路。VPN能连接两个单独的系统或两个完整的网络。6.3 常用的VPN协议
• PPTP
• L2F
• L2TP
• IPSecPPTP,L2F,L2TP 都工作在OSI参考模型的数据链路层（第2层），PPTP与IPSec仅限在IP网络中使用，而L2F与L2TP 可用来封装任何LAN协议。

1. 点对点隧道协议 （PPTP，Point-to-Point Tunneling Protocol）是一种在拨号点对点协议基础上开发的封装协议。工作在OSI数据链路层（第2层），用于IP网络。PPTP在两个系统之间建立一条点对点隧道，并封装PPP数据帧。通过PPP同样支持的身份验证协议，为身份验证流量提供保护:

– 微软的征询握手身份验证协议，MS-CHAP – 征询握手身份验证协议，CHAP – 密码身份验证协议，PAP – 可扩展身份验证协议 EAP – Shiva 密码身份验证协议 SPAPPPTP的初始隧道协商过程是不加密的。

1. 第二层转发协议与第二层隧道协议

思科公司开发了自己的VPN协议，称为第二层转发（L2F），这是一种相互身份验证隧道机制。但L2F不提供加密。 L2TP 在通信端点间创立点对点隧道，缺少内置的加密框架。但通常采用IPSec作为安全机制。L2TP也支持TACACS+及RADUIS。 IPSec常作为L2TP的安全机制。

1. IP 安全协议

现在最常用的VPN协议是IPSec。IPSec只能工作在IP网络中，能够提供安全身份验证以及加密的数据传输。IPSec有两个主要部件或功能：

• 身份验证头（AH），提供身份验证，完整性及不可否认性保护。
• 封装安全载荷（ESP），提供加密，保护传输数据的安全性，也能提供有限的身份验证功能。工作在网络层（第三层），能用于传输模式或隧道模式。

– 传输模式下，IP报文数据进行加密但是报文头部不加密。 – 隧道模式下，整个IP报文都进行加密，并会添加新的报文头部，来管理报文在隧道中的传输。

VPN设备是网络的附加设备，能创建与服务器、客户机操作系统分离的VPN隧道。这类VPN设备的使用对于网络系统是透明的。6.4 虚拟局域网VLAN（Virutal Local Area Network，虚拟局域网）是一种在交换机上通过硬件实现的网络分段技术。VLAN管理最常用与区分用户流量与管理流量。VLAN用于对网络进行逻辑分段，而不必更改物理网络的拓扑。

7.0 虚拟化“虚拟化”技术用于在单个计算机系统内存中创建一个或多个操作系统。风险：虚拟机逃逸，避免逃逸可采取一些步骤将风险降至最低：

• 将高敏感的系统和数据部署在不同物理机上。可保证高敏感寄宿OS之间的物理隔离，进一步预防VM逃逸。
• 保证所有管理软件及时更新厂商的补丁（尤其是及时更新与VM逃逸漏洞有关的补丁）
• 监测现有环境所面临新威胁的攻击，暴露及破坏指数。7.1 虚拟软件“虚拟应用”是一种软件产品，能产生与完整主机OS相似的用户体验。一个虚拟（或虚拟化）应用经过打包或封装便于携带，并且不必安装原始主机OS即可运行。“虚拟桌面” 指的是至少三种不同的技术：
• 远程访问工具为用户提供访问远程计算机系统的能力，用户可查看、控制远程桌面的显示器、键盘、鼠标等。
• 虚拟应用概念的扩展，封装多个应用以及一些形式的“桌面”或可移植的Shell、跨OS的操作。
• 扩展的或扩大的桌面显示，能为用户提供多应用界面，并可通过键盘或鼠标进行切换。7.2 虚拟化网络虚拟化网络是将硬件与软件的网络化组件，组合到单一的完整实体中。形成的系统能够通过软件来控制所有网络功能：管理、流量整形、地址分配等。使用单一管理工作台或接口就能监视网络的各个方面。SDN（软件定义网络）是一种针对网络运营、设计及管理的独特方法。SDN的目标是将基础设施层（硬件及硬件设置）从控制层（数据传输管理的网络服务）中分离出来。同时，这也消除了IP地址，子网、路由等传统的网络概念，就像是通过编程或由应用解密来完成一样。SDN也可视为一种有效的网络虚拟化。支持SDN控制层对数据传输路径、通信决策树以及流量控制的虚拟化，而不必针对每台硬件进行修改。8.0 网络地址转换使用NAT能实现：隐藏内部用户的身份，屏蔽私有网络的设计，降低公网IP地址的租用费用。NAT是一种地址转换技术，能将报文头中的内部IP地址，转换为可在互联网上传输的公网IP地址。NAT的好处：
• 通过NAT，整个网络可通过共享一个（或一些）公网IP地址接入互联网。
• 可在内部网中使用RFC1918中定义的私有IP地址，与互联网进行通信。
• 通过NAT，向外部隐藏了内部IP地址的划分及网络拓扑。
• NAT对连接做了限制，来自互联网的流量中，只有网络内部受保护连接中的流量才允许通过，这样，大多数入侵攻击会被自动拦截。NAT是大量硬件设备及软件产品的功能之一，包括防火墙、路由器、网关及代理服务器。NAT只能用于IP网络，工作在网络层（第三层）。8.1 私有地址

8.2 有状态NATNAT维护了一张内部用户请求及内部用户IP地址到互联网服务IP地址的映射表。多路复用形式的NAT称为“端口地址转换” PAT或NAT重载。8.3 静态与动态NAT“静态NAT” 在静态模式下，特定的内部IP地址被固定映射到特定的外部IP地址。“动态NAT”在动态模式下，多个内部用户能共用较少的外部公网IP地址。NAT并不直接与IPSec兼容，因为它需要修改报文的头部，IPSec正是依靠这点来提供安全防护功能。8.4 自动私有IP分配APIPA（Automatic Private IP Addressing，自动私有IP分配）也称为本地链路地址分配，是在动态主机配置协议（DHCP）分配失败的情况下，继续为系统分配IP地址。APIPA主要是Windows系统的一个功能，APIPA通常为DHCP配备失败的用户分配169.254.0.1-169.254.255.254 地址段中的一个IP地址，及B类之网掩码255.255.0.0.同一广播域中的所有APIPA用户之间可通信，但无法跨越路由或与其他配置正确的IP地址通信。环回地址：127.0.0.19.0 交换技术9.1 电路交换电路交换（Circuit Switching）最初源于公用电话交换网络中对电话呼叫的管理。9.2 分组交换分组交换（Packet Switching)技术将信息或通信内容分为很小的段，并通过中间网络将这些分组传送到目的地。每一个数据段都有自己的头部，其中包含源地址及目的地址信息。中间系统读取头部信息，再选择合适的路由将数据段发送给接收者。传输通道和通信路径只保留给实际需要传送的分组。分组传送结束，通道就提供给其他通信使用。

9.3 虚电路虚电路是一条逻辑路径或电路，在分组交换网络两个特定端点之间建立。分组交换系统中存在两种类型的虚电路：

• PVC（Permanent Virtual Circuits，永久虚电路）
• SVC（Switched Virtual Circuits , 交换式虚电路）

PVC 类似于专用的租用链路，逻辑电路一直保持并时刻等待用户发送数据。PVC是一种预定义虚电路，并一直可用。SVC很像一条拨号连接，在需要使用时，会利用当前可用的最优路径建立起虚电路，当传输结束后，该链路就会拆除。 10 WAN技术

ISDN（Integrated Services Digital Network，综合业务数字网）是一种全数字的电话网，支持语音及高速数据传输。ISDN服务有两种标准的类别或格式：

• 基本速率接口（Basic Rate Interface，BRI） 为用户提供两个B通道及一个D通道的连接。B通道支持吞吐率64Kbps的数据传输。D通道用于呼叫建立、管理及断开，带宽为16Kbps。尽管D通道不用于进行数据传输，但BRI ISDN可为用户提供的总吞吐率达到144Kbps
• 主要速率接口（Primary Rate Interface，PRI）为用户提供多个64Kbps的B通道（2-23个）及单个64Kpbs的D通道。PRI的传输速率可用从192Kbps到1.544Mbps。 这些数字只是带宽而不是吞吐率，因为其中包含D通道，它不能用于真正的数据传输。

10.1 WAN连接技术WAN交换机、专业路由器或边界连接设备提供所有必要的接口，将公司局域网于网络服务商连接起来。边界连接设备也称为“通道服务单元/数据服务单元”（Channel Service Unit/Data Service Unit ,CSU/DSU) 这些装置将LAN信号转换为WAN网络能够识别的格式，反之亦然。CSU/DSU 包含DTE/DCE（Data Terminal Equipment/ Data Circuit-Terminating Equipment,数字终端设备/数据-电路终端设备），为LAN中的路由器（DTE）和WAN运营商网络的交换机（DCE）提供真实的连接点。运营商网络或WAN连接技术的类型有很多，如X.25 ,帧中继，ATM ，SMDS等

• X.25 WAN 连接

是一种较老的分组交换技术，在欧洲应用广泛。使用永久虚电路在两个系统或网络间建立起专门的点对点连接，

• 帧中继连接

类似X.25 ,也是一种分组交换技术，使用得是PVC。帧中继是一种共享线路机制，通过创建虚电路提供点对点通信，所有虚电路是相互独立、相互不可见得。帧中继工作在第二层，是一种面向连接的分组交换传输技术。帧中继在每个连接点需要使用DTC、DCE ,.

• ATM

异步传输模式，是一种信元交换WAN通信技术，与帧中继分组交换技术不同，ATM将通信内容分为固定长度为53字节的信元。ATM既可以使用PVC也可以使用SVC

• SMDS

Switched Multimegabit Data Service，交换式多兆位数据服务，是一种无连接的分组交换技术。 SMDS常用于连接多个LAN组建MAN或WAN。 SMDS是用于远程连接通信不频繁LAN的首选技术。

• 同步数字系列与同步光纤网

SDH（Synchronous Digital Hierarchy，同步数字系列）与SONET（Synchronous Optical Network，同步光纤网络）是光纤高速网络标准。SDH是国际电信联盟（ITU）标准，SONET是美国国际标准化研究所（ANSI）标准。SDH与SONET主要是硬件及物理层标准，定义了基础设施及线速需求。SDH与SONET使用同步时分复用（TDM）技术，实现了高速全双工通信，同时将日常的控制及管理需求降至最低。

• 专有协议

SDLC（Synchronous Data Link Control，同步数据链路控制）应用在专线的永久物理连接上，用于连接大型机。SDLC使用轮询技术，工作在第2层，是一种面向比特的同步协议。HDLC（High-Level Data Link COntrol，高级数据链路控制）是SDLC的改进版本，专门用于串行同步连接。HDLC支持全双工通信，即支持点对点也支持多点连接。使用轮询，工作在第二层。HDLC支持流量控制、错误检测与纠正。10.2 拨号封装协议点对点协议（PPP）是一种封装协议，用于在拨号或点对点链路上支持IP流量的传输。

11 多种安全控制特征

11.1 透明性

“透明性”是服务、安全控制或访问机制的一个特征，确保对用户不可见。透明性常作为安全控制的一项必要特征。安全机制越透明，用户就不可能绕过它，甚至察觉不到它的存在。如果具备了透明性，也就察觉不到功能、服务或限制的存在，对于性能的影响也降至最低。

11.2 验证完整性

为验证传输的完整性，可采用称为hash值的校验和技术。消息或报文在通信通道上传输前，先进行hash计算。计算获得的hash值附加到消息尾部，称为消息摘要。接收到消息后，接收系统对消息再次执行hash计算，并将计算结果与原始hash值进行比较。

11.3 传输机制

传输日志是一种专注于通信的审计技术。传输日志记录源地址、目的地址、时间戳、识别码、传输状态、报文数量、消息大小等详细消息。这些消息对于故障定位，追踪非法通信，或提取系统工作的数据，都是十分有用的。

12 安全边界

“安全边界”是任何两个具有不同安全需求的区域、子网或环境的交界线。安全边界存在于高安全区域与低安全区域之间，例 LAN与互联网之间。

只要发现了安全边界，就需要部署安全机制来控制信息的跨界流动。

安全等级的差异也是一种安全边界。

安全边界也存在于物理环境及逻辑环境中，为提高逻辑安全，必须提供与物理安全不同的安全机制。两者却已不可，共同构建完整的安全结构，而且都要在安全策略中进行明确。

在安全策略中，明确控制的起始点及在物理和逻辑环境中的位置，都十分重要。逻辑安全边界是电子通信与安全响应设备及服务的交界点。

13 防止或减轻网络攻击

尽可能解决或减轻任何可能损害数据、资源及人员安全的活动或自然条件。通信系统安全的常见威胁包括拒绝服务、窃听、假冒、重放及更改。

13.1 DoS与DDoS

DoS（拒绝服务）攻击是一种资源消耗攻击，其主要目标是限制受攻击系统的合理活动。DoS攻击会导致目标无法对合理流量进行响应。

拒绝服务有两种基本形式：

• 攻击利用硬件或软件漏洞。
• 用垃圾流量充满受攻击的通信通道。

DoS不是一个单独攻击，而是一类完整的攻击。一些攻击利用了操作系统的漏洞，而其他攻击则以安装的应用，服务或协议为目标。

DoS攻击会利用一些中间系统（通常是不知不觉被利用），来隐藏真正的攻击者。很多DoS攻击都从破解或渗透一个或多个中间系统开始，然后利用这些破解的系统充当攻击的发起点或攻击平台。

针对DoS攻击的应对措施和保护手段：

• 增加防火墙、路由器及入侵检测系统（IDS），用于检测DoS流量，并自动封装特定端口，或针对特定的源地址、目标地址进行流量过滤
• 与服务提供商保持沟通，以便在发生DoS攻击时及时请求过滤服务
• 禁用外部系统echo回复
• 在边界系统上禁用广播功能
• 阻止欺骗报文进入或流出网络
• 保持所有系统都能及时得到厂商的补丁更新
• 考虑采用商业化DoS保护/响应服务，

13.2 窃听

“窃听”是简单的偷听通信过程，目的是复制获取通信内容。窃听通常需要对IT基础设施进行物理访问，以便将物理录制设备接入开放端口或电缆接头，或在系统中安装软件录制工具。

打击窃听行为，首先要保证物理访问安全，以防止非法人员接触IT基础设施。需要使用加密技术（如IPSec或SSH）以及一次性身份验证方法，这可极大地降低窃听的效率和时效。

防止窃听的常用方法是维护通信的可靠与安全。数据在传输过程中比在存储时更易于拦截。

13.3 假冒、伪装

假冒（Impersonation）或伪装（Masquerading）通过假扮成其他人或其他物品，获得对系统非法访问的行为。

预防假冒的方法包括：使用一次性密码及令牌身份验证系统，使用Kerberos身份验证，使用加密来提高在网络流量中提取身份验证凭据的难度。

13.4 重放攻击

“重放攻击”是假冒攻击的衍生物，攻击可能来自通过窃听获取的网络流量。攻击手法是：通过重发抓取的流量，与被攻击系统建立通信会话。

预防方法有：使用一次性 身份验证机制和顺序会话标识。

13.5 修改攻击

“修改攻击”中，捕获的报文经过修改后又被发送给系统，修改报文主要是为了绕过改进型身份验证机制与会话序列的限制。修改重放攻击的应对措施包括使用数字签名验证及报文校验和验证。

13.6 地址解析协议欺骗

ARP欺骗，通过为请求的IP地址提供虚假的MAC地址，将流量重定向到更改后的目的地址。ARP攻击经常是中间人攻击的要素之一。

13.7 DNS毒化，欺骗及劫持

DNS毒化（DNS Poisoning）与DNS欺骗（DNS Spoofing）都称为解析攻击。域名系统毒化是由于攻击者更改了DNS系统中的域名-IP地址的映射信息，将流量重定向到流量系统或用于执行拒绝服务攻击。

防止方法：只有获得授权才能更改DNS信息，限制分区传送并记录所有的特权DNS活动。

另一个需要关注的DNS问题是“同形异意”（Homograph）攻击，这些攻击利用了字符集的相似性，注册虚假的国际域名（IDN），以达到以假乱真的目的。

解决DNS劫持漏洞唯一有效的方法是将DNS系统升级到域名系统安全扩展（Domain Name System Security Extensions，DNSSEC）

13.8 超链接欺骗

该攻击也将流量重定向到流氓或假冒系统上，或只是让流量偏离目标系统。

防止超链接欺骗的方法与防止DNS欺骗的方法一样，1）保证系统及时更新补丁 2）使用互联网时保持警惕