安全網絡

國際標準化組織(ISO)為計算機網絡安全做如下定義:為保護數據處理系統而採取的技術的和管理的安全措施，保護計算機硬件、軟件和數據不會因偶然和故意的原因而遭到破壞、更改和泄露。計算機網絡由計算機和通信網絡兩部分組成，計算機是通信網絡的終端，通信網絡為計算機之問的數據傳輸和交換提供了必要的手段。計算機網絡最重要的資源是它向用户提供了服務及其所擁有的信息。故其安全性定義為:通過採取各種技術的和管理的安全措施，確保網絡服務的可用性和網絡信息的完整性。也即兩方而的內容:一是網絡系統的安全，二是網絡的信息安全。所以一個安全的計算機網絡應該具有以下幾個特點:可靠性、可用性、保密性、完整性。 ^[1] 

來自網絡上的安全威脅與攻擊多種多樣，依照Web訪問的結構，可將其分類為對Web服務器的安全威脅、對Web客户機的安全威肋和對通信信道的安全威脅三類。

對於Web服務器、服務器的操作系統、數據庫服務器都有可能存在漏洞，惡意用户都有可能利用這些漏洞去獲得重要信息在Web服務器上的機密文件或重要數據(如存放用户名、口令的文件)放置在不安全區域，被入侵後很容易得到。Web服務器本身存在的一些漏洞，也能被黑客利用侵入到系統，破壞一些重要的數據，甚至造成系統癱瘓。

網頁中的活動內容己被廣泛應用，活動內容的不安全性是造成客户端的主要威脅。網頁的活動內容是指在靜態網頁中嵌入的對用户透明的程序，它可以完成一些動作，顯示動態圖像、下載和播放音樂、視頻等當用户使用瀏覽器查看帶有活動內容的網頁時，這些應用程序會自動下載並在客户機上運行，如果這些程序被惡意使用，可以竊取、改變或刪除客户機上的信息。

Internet是連接Web客户機和服務器通信的信道，是不安全的。像Sniffer這樣的嗅探程序，可對信道進行偵聽，竊取機密信息，存在着對保密性的安全威脅。未經授權的用户可以改變信道中的信息流傳輸內容，造成對信息完整性的安全威脅。此外，還有像利用拒絕服務攻擊，向網站服務器發送大量請求造成主機無法及時響應而癱瘓，或者發送大量的IP數據包來阻塞通信信道，使網絡的速度變緩慢。 ^[2] 

SSL ^[3]  (Secure Socket Layer) 　為Netscape所研發，用以保障在Internet上數據傳輸之安全，利用數據加密(Encryption)技術，可確保數據在網絡 　上之傳輸過程中不會被截取及竊聽。一般通用之規格為40 bit之安全標準，美國則已推出128 bit之更高安全 　標準，但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。 　當前版本為3.0。它已被廣泛地用於Web瀏覽器與服務器之間的身份認證和加密數據傳輸。 　SSL協議位於TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。SSL協議可分為兩層： SSL記錄協議（SSL Record Protocol）：它建立在可靠的傳輸協議（如TCP）之上，為高層協議提供數據封裝、壓縮、加密等基本功能的支持。 SSL握手協議（SSL Handshake Protocol）：它建立在SSL記錄協議之上，用於在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。 　SSL協議提供的服務主要有： 　1）認證用户和服務器，確保數據發送到正確的客户機和服務器； 　2）加密數據以防止數據中途被竊取； 　3）維護數據的完整性，確保數據在傳輸過程中不被改變。 　SSL協議的工作流程： 　服務器認證階段：1）客户端向服務器發送一個開始信息“Hello”以便開始一個新的會話連接；2）服務器根據客户的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客户的“Hello”信息時將包含生成主密鑰所需的信息；3）客户根據收到的服務器響應信息，產生一個主密鑰，並用服務器的公開密鑰加密後傳給服務器；4）服務器恢復該主密鑰，並返回給客户一個用主密鑰認證的信息，以此讓客户認證服務器。 　用户認證階段：在此之前，服務器已經通過了客户認證，這一階段主要完成對客户的認證。經認證的服務器發送一個提問給客户，客户則返回（數字）簽名後的提問和其公開密鑰，從而向服務器提供認證。 　從SSL 協議所提供的服務及其工作流程可以看出，SSL協議運行的基礎是商家對消費者信息保密的承諾，這就有利於商家而不利於消費者。在電子商務初級階段，由於運作電子商務的企業大多是信譽較高的大公司，因此這問題還沒有充分暴露出來。但隨着電子商務的發展，各中小型公司也參與進來，這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數字簽名和數字證書可實現瀏覽器和Web服務器雙方的身份驗證，但是SSL協議仍存在一些問題，比如，只能提供交易中客户與服務器間的雙方認證，在涉及多方的電子交易中，SSL協議並不能協調各方間的安全傳輸和信任關係。在這種情況下，Visa和 MasterCard兩大信用卡公組織制定了SET協議，為網上信用卡支付提供了全球性的標準。 　https介紹 　HTTPS（Secure Hypertext Transfer Protocol）安全超文本傳輸協議 　它是由Netscape開發並內置於其瀏覽器中，用於對數據進行壓縮和解壓操作，並返回網絡上傳送回的結果。HTTPS實際上應用了Netscape的完全套接字層（SSL）作為HTTP應用層的子層。（HTTPS使用端口443，而不是象HTTP那樣使用端口80來和TCP/IP進行通信。）SSL使用40 位關鍵字作為RC4流加密算法，這對於商業信息的加密是合適的。HTTPS和SSL支持使用X.509數字認證，如果需要的話用户可以確認發送者是誰。。 　https是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，https的安全基礎是SSL，因此加密的詳細內容請看SSL。 　它是一個URI scheme(抽象標識符體系)，句法類同http:體系。用於安全的HTTP數據傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同於HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統的最初研發由網景公司進行，提供了身份驗證與加密通訊方法，它被廣泛用於萬維網上安全敏感的通訊，例如交易支付方面。 　限制 　它的安全保護依賴瀏覽器的正確實現以及服務器軟件、實際加密算法的支持. 　一種常見的誤解是“銀行用户在線使用https:就能充分徹底保障他們的銀行卡號不被偷竊。”實際上，與服務器的加密連接中能保護銀行卡號的部分，只有用户到服務器之間的連接及服務器自身。並不能絕對確保服務器自己是安全的，這點甚至已被攻擊者利用，常見例子是模仿銀行域名的釣魚攻擊。少數罕見攻擊在網站傳輸客户數據時發生，攻擊者嘗試竊聽數據於傳輸中。 　商業網站被人們期望迅速儘早引入新的特殊處理程序到金融網關，僅保留傳輸碼(transaction number)。不過他們常常存儲銀行卡號在同一個數據庫裏。那些數據庫和服務器少數情況有可能被未授權用户攻擊和損害

桌面虛擬化是虛擬化技術的浪潮。桌面虛擬化的目的是從底層構建不同的工作區（最終用户的應用程序，數據，網絡負載和設置）。桌面虛擬化，和現有許多虛擬化解決方案概念相似，本文只在介紹成功的虛擬化架構技術。 虛擬機（VM）技術，為所有虛擬桌面解決方案的基礎，使計算機能夠同時支持和執行兩個或兩個以上的計算機環境，其中“環境”包括操作系統以及用户應用程序和數據。虛擬機是一個虛擬的運算系統，借用計算機資源（CPU，硬盤，內存等），讓主機工作的同時，也作為客户計算機而存在。 計算機資源共享的好處可以提供給最終用户，包括：

隔離 – 工作區在不同的計算環境獨立運作，雖然有些資源可以共享（例如，鍵盤，鼠標和屏幕），同時其他的卻可以得到保護（例如，數據文件）。在一個虛擬環境中，主機資源需要從併發訪問到雙方的賓主控制的保護，在傳統的虛擬系統中，這種隔離和控制是通過一個特殊的軟件程序提供的，稱為虛擬機監視器（VMM）。VMM可以自主監控主機計算機環境或者主機和客户計算機行為。資源平衡 -如果有需要的話，可以對每個功能自主的運行環境進行資源消耗監控和限制。可移動/遷移 - 某些虛擬機的配置被認為是可移動的，也就是説，整個計算機環境，可從一個移動到另一個不同的主機。今天世界上越來越多的移動應用得益於這種虛擬機技術，流動性是虛擬桌面解決方案的關鍵，雖然今天存在的軟件產品，都提供基本的虛擬機能力，但是這些產品僅提供有限的或者根本沒有移動虛擬化的支持。 今天我們有許多方法來實現VMM以及配套軟件。本文將説明各種不同的VMM技術優劣點，並重點介紹V3專業安全版所採用的工作區虛擬引擎技術：

系統管理程序 – 該VMMs程序採取攔截和陷阱將違背隔離或者導致系統不穩定的低級別CPU指令，模擬的任何指令的方式。管理程序可以提供一個完整的虛擬桌面，但是帶來不同程度的資源開銷和性能降低。半虛擬化 –該 VMMS程序採取攔截和陷阱將違背隔離或者導致系統不穩定的低級別CPU指令，沒有任何指示的方式。半虛擬化可以要求來賓桌面操作系統進行修改，以避免這些特權指令。半虛擬化系統，可以提供一個完整的虛擬桌面，有不同程度的資源開銷和性能損失。工作區虛擬引擎（名為WVE） - 該VMMs程序採取攔截和陷阱，模擬或重定向將違背隔離或導致系統不穩定低級別的OS API調用的方式。有些WVEs可以在一個內核中提供虛擬化的能力，使工作區嵌入一個包含企業域級別的特權代碼模塊和子系統的完整的操作系統，有獨立的網絡堆棧和支持，如端點安全應用，數據庫應用和電腦管理軟件，需要的驅動和安全服務。 WVEs可以提供一個完整的虛擬桌面，很少或根本沒有性能損失。應用程序容器 – 該系統採取攔截和陷阱，模仿那些違背隔離或導致系統不穩定的最高等級OS API調用。應用容器一般不能提供一個完整的虛擬桌面。仿真 - 模擬整個系統的硬件系統，包括中央處理器，I / O設備等模擬器可以提供一個完整的虛擬化桌面，但存在巨大的性能損失。

全透明加密運行技術的原理是通過映射大的加密文件成動態的Windows虛擬磁盤分區而讓V3虛擬系統整體透明加密運行。

安全資源管理器技術的原理是通過重寫Windows資源管理器，實現重寫過資源管理器中的文件訪問完全可控的目的，以配合文件之間交換的特殊需要而設計

企業的IT部門在選擇安全網絡工具時候經常會困惑，到底是選擇軟件類型的還是硬件類型的，但説到底還是得綜合考慮自己企業的預算和網絡部署情況。許多企業一邊在尋找更好的解決方案，一方面不斷和網絡安全公司進行各種改進的合作嘗試。

這些不斷的安全網絡測試同時也提高了企業IT平台的安全性，特別是在專業人士的充分地考慮到測試範圍和底層系統、網絡設施的情況下，這也會影響企業對安全網絡設備的選擇。

但在這些的背後，卻經常會忽略最基本的安全網絡問題：你的測試是針對整個安全網絡的，還是單個設備安全網絡，或者是兩者的安全網絡結合？

技術人員用隔離設備，如SIP服務器，將要進行測試的設備和安全網絡中的其他設備隔離開來，再進行各種漏洞攻擊或者基於軟件的安全網絡漏洞掃描。

如果安全網絡測試的對象是整個安全網絡或者是安全網絡的一部分，而非單個設備，就需要對測試軟件做不同的配置。例如，滲透測試將使用設備或者某些文件為測試安全網絡目標。入侵者必須通過一些中轉設備來進行跳轉，這是一種間隔攻擊測試。安全網絡漏洞掃描器可以提供不同的模塊，專注於一個特定的區域的 模塊——如Web服務器的漏洞，SMTP服務協議漏洞等等——這些是安全網絡具體協議的測試模塊。另外如SIP服務器的安全網絡測試，漏洞掃描部署VOIP類型的模塊進行安全網絡漏洞檢測。然而，整個安全網絡的測試，卻需要根據設備的數量和類型，分配幾個不同的模塊共同協助工作。

安全網絡測試，一旦確定好安全網絡測試的訪問和目的，就會面對一個安全網絡問題：你需要用什麼安全網絡工具和設備進行測試？或許應該這麼説：有哪些安全網絡測試方法是既經濟又適用的？

對安全網絡測試工具的正確選擇，需要測試人員定好測試的目的和設備，而這些往往是和企業的預算有關。

物理設備和虛擬化設備進行安全網絡測試的時候需要用不同的測試方法。

路由器的安全網絡測試一般只需要一台基於軟件的漏洞掃描客户端進行測試。

一些企業購買硬件類的安全網絡評估設備進行安全性評估。安全網絡硬件設備的成本一般都比較高，比軟件掃描高多了。因為安全網絡硬件安全類設備主要是專用的計算機，包括安全網絡有專用的軟件版本，固定的升級，還有良好的售後服務，

這些安全網絡設備的選擇沒法一下子就總結完，但事情都是這樣，都是從一個坑挖到另一個坑，挖對了就是個正確的選擇，挖錯了就只能當買經驗。

一些安全網絡專家喜歡購買一個硬件安全設備進行安全評估工作，因為這樣能最大程度的避免操作系統的影響-比如系統驅動問題、鏈接庫文件、軟件包依賴等等，這些問題都會導致安全網絡測試工具的缺陷和測試問題，而專用物理設備則是專用開發的，不受這些影響。還有一個原因，就是物理測試設備不受環境的影響，可以即插即用，在某些場合用處大很多，而且由於專用性的原因，測試質量高很多。

在安全網絡測試裏面，成本和效率總是不可以得兼的。許多情況下，基於軟件的安全網絡漏洞掃描工具效率是比硬件專用安全網絡漏洞掃描工具低的。如果企業已經購買和部署了安全網絡測試工具，其實就是慢一點，沒什麼區別。如果企業是涉及互聯網業務和網絡，計算機設備較多的，更多的建議是購買安全網絡硬件安全掃描設備；其他的企業其實用軟件安全網絡漏洞掃描工具都沒什麼問題，區別不大。 ^[4] 

物理安全網絡的老路子正在讓位給邏輯技術。網絡流量正在不斷變化，從東到西、以數據中心為中心、軟件定義安全網絡模型要求有新的安全規劃。

從互聯網曙光初現開始，安全網絡就一直與企業緊緊聯繫。

軟件定義的網絡為安全網絡帶來了戲劇性變化。從長期來看，公司將受益於更智能、更安全的安全網絡管理。但短期內，新的安全網絡功能可能引發新漏洞，進而影響軟件定義安全網絡的推廣。

安全網絡基礎設施——以太網交換機與路由器——通常工作在七層網絡模型的第二層與第三層。安全網絡設施——防火牆、入侵檢測、VP虛擬專用網(VPN)在第四至第七層運行。但是，基礎設施與安全網絡之間是互相依賴的。

一般任何對潛在安全威脅的安全網絡反應就是阻止其網絡訪問。企業試圖創建一個用於環繞數據中心的安全網絡護城河系統；安全網絡可以通過高級工具來識別威脅並從底層阻斷這些流量。傳統物理設備與頂層控制軟件之間要想協調工作，還需要經過大量安全網絡設置。

最近的技術進步已經能夠撕開外圍的安全網絡封鎖。黑客通過底層的安全網絡檢查點，進而取得高層數據的事件日益增長。軟件定義安全網絡則可以將底層硬件安全拋開。

軟件定義安全網絡技術將控制平面從數據平面分離。控制器可以不受物理設備與專有軟件限制，管理通往不同網絡的流量。安全網絡流通常(但不總是)可以通過OpenFlow協議控制。

軟件定義的網絡安全網絡處理內部與外部威脅。

安全網絡外部威脅——個人試圖進入未授權的網絡——正變得越來越複雜。傳統上，如防火牆、入侵檢測系統與入侵防禦系統，沙盒與深度數據包檢測工具等都被用來確保數據安全網絡。

軟件定義安全網絡引入了這些系統不具備的新變量。安全網絡通過現有物理基礎設施架構運行虛擬連接。因此，軟件定義的安全網絡設備需要能夠解封裝流量。例如，如何正確的檢查安全網絡傳入流量，新的安全網絡工具需要能夠解封裝流量，或者依賴於網關與交換機，將軟件定義安全網絡封裝和解封裝協議傳輸到各個VLAN，用於處理內容。

安全網絡內部威脅的複雜性與數量不斷增加。企業需要監控從一個系統傳輸到另一個系統的安全網絡信息，如兩台虛擬機之間或服務器到存儲系統的安全網絡信息。

安全網絡積極的一面，軟件定義安全網絡建立在開放API上，是很開放的OpenFlow。安全網絡可編程特性可以讓控制器基於正在運行的應用程序，安全網絡設定行為與性能。

傳統物理安全網絡策略被定義為將靜態區域映射到物理接口上。軟件定義的安全網絡策略無須捆綁到基礎設施。

在一個更動態的軟件定義安全網絡中，安全網絡區域被從物理平面分離，安全網絡或主機“對象”都是可以編程定義的。數據流被通過安全設備進行相應的編程。此外，安全網絡檢查還會處理應用程序與虛擬機邏輯挑戰。

企業還可以建立更加自動化與複雜的軟件定義安全網絡配置。例如系統監控流量模式、異常情況識別，並在發生前就修復潛在的問題。

首先，軟件定義的完全基礎設施必須對於軟件定義的安全網絡來應用。傳統方案無法監控這些新的數據傳輸，所以需要升級現有的安全網絡系統。

企業還沒有辦法協調跨越多款控制器之間的安全服務，這是成熟的軟件定義安全網絡中一項重要功能。

安全網絡新工具會從何而來？一種可能是FRESCO，FRESCO是一個應用程序開發框架，為了方便快速設計與組合具備OpenFlow功能的安全模塊。該框架是一個OpenFlow應用程序，其提供了腳本語言用於開發與共享安全網絡檢測與緩解模塊。研究人員編寫模塊，然後是原型以及更多複雜的安全網絡服務。部署時，這些服務由不同控制器進行操作，以確保控制器能夠確保流控規則與安全網絡策略應用。 ^[5]