欢迎来到淘文阁 - 分享文档赚钱的网站! | 帮助中心 好文档才是您的得力助手!
淘文阁 - 分享文档赚钱的网站
全部分类
  • 研究报告>
  • 管理文献>
  • 标准材料>
  • 技术资料>
  • 教育专区>
  • 应用文书>
  • 生活休闲>
  • 考试试题>
  • pptx模板>
  • 工商注册>
  • 期刊短文>
  • 图片设计>
  • ImageVerifierCode 换一换

    网络安全和防火墙.doc

    • 资源ID:3557462       资源大小:282.50KB        全文页数:26页
    • 资源格式: DOC        下载积分:15金币
    快捷下载 游客一键下载
    会员登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录   QQ登录  
    二维码
    微信扫一扫登录
    下载资源需要15金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    网络安全和防火墙.doc

    网络安全和防火墙第一章 定义安全一、 安全:1、定义:在给合法用户提供正常的访问权限的情况下,限制或禁止非法用户对资源的访问。由于在我们的网络中存在了复杂的技术,如LAN, WAN, Internet, VPN,所以就要求我们针对不同的技术采用不同的防护措施。2、特点: 没有绝对的安全,仅有相对的安全 确定安全等级需要平衡3、有效的安全性系统包括: 能够进行访问控制 易于使用 尽量降低总体拥有成本 灵活稳定 具有很好的警报和日志功能二、 需要保护的资源:1、 终端:下载软件,安装服务,恶意操作2、 网络资源:TCP/IP中没有内置安全性机制,Spoofing3、 服务资源:网络的核心服务,DNS, WINS, Web.4、 数据:file server, database server三、 黑客的类型:1、 casual attackers: script kids2、 determined attackers:hackers3、 spies: crackers四、 安全模型:1、 验证:2、 访问控制:3、 数据机密性:prevent passive threats4、 数据一致性:prevent active threats5、 抗抵赖性第二章 安全组件:一、 金字塔模型二、 联合的安全性策略:定义了网络的安全性需求和所需的安全性技术1、系统分类: level I:5%,不允许超过两个小时的荡机时间,对公司的正常运行具有至关重要的资源,验证、访问控制、审核、日志、病毒扫描、晋级恢复机制、入侵检测、 level II:20%,允许不超过48小时的荡机时间,少量的审核和监视 level III: 75%, 病毒防护2、根据资源的重要性和可靠性进行优先级的划分3、标示入侵的可能性 4、定义可接受和不可接受的活动: 可接受:安全性高,避免出现安全漏洞 限制用户的活动 不可接受:管理的工作量小,灵活 容易出现安全漏洞 5、对不同的资源定义安全性标准: 6、对不同的用户定义不同的教育内容三、 加密:1、 功能:数据的机密性、数据的一致性,验证和抗抵赖性2、 类型:对称加密,公钥加密,散列3、 加密的强度:影响因素:算法的强度 密钥的安全性 密钥的长度四、 身份验证:1、 作用:提供用户级的访问控制2、 方法:what you know:most common methods, password based what you have: smart card who you are: biometrics where you are: location based, r* serial programs and reverse dns lookup3、 实现:Kerberos V5演示分别从98和2000的计算机上登录域,进行密码的捕获过程优点:可以提供验证、加密和一致性 不需要在网络上传输密码 加密信息 抗重演攻击 能够控制对资源的访问缺点:仅提供了工作站级的安全性OTP:防止snooping和password hijacking 三、访问控制:控制对于对象的访问 1、ACL: 2、ECL:调节进程的运行方式 五、 审核:对所发生的事件进行记录并采取相应的措施。1、 消极的审核:仅记录2、 积极的审核:记录事件并采取相应的措施第三章 加密技术一、 基本概念:1、 rounds:数目愈大,加密越强2、 parallelization:多进程处理3、 strong encryption:密钥长度超过128位二、 类型:1、 对称加密特点:优点:速度快,适合加密大量数据缺点:密钥的分发产品:DES, 3DES, RSA2、 公钥加密:特点:优点:密钥分发能过确保安全,抗蛮力攻击缺点:比对称加密慢100倍,不适合加密大量数据应用:数据加密,数字签名产品:DSA, Diffie-Hellman3、 散列加密:特点:单向优点:密钥的安全性应用:身份验证产品:MD5, SHA1三、 加密的实际应用:1、 对电子邮件的防护:原理:类型:客户端加密:优点,不依赖于服务器产品,能够在不同厂商的服务器间发送加密的邮件 缺点,需要较多的配置 类型:PGP, 开放的协议 S/MIME, 工业标准服务器加密:优点,客户端不需要任何配置 缺点,依赖于服务器产品应用:PGP 2、 加密文件:EFS:加密数据MD5sum:签名文件,防止修改 3、 加密Web交通:类型:Secure HTTP, SSL/TLS, SETSecure HTTP: 工作在应用层,仅能加密HTTP的交通SSL/TLS:工作于传输层,能够加密HTTP, FTP, EMAIL的交通: 通过SSL提供WEB服务器的安全性: 原理:实现考虑:如果需要验证服务器,则应该在服务器上安装服务器证书;如果要验证客户机,则要安装客户机证书(需要应用程序支持)可以实现不同级别的加密:40,56,128采用HTTPS访问对于内部站点,可以使用内部的CA;对于外部站点,可以使用共有CA可以选择保护站点中的某一部分区域实现:设计VPN连接的安全性: 1、VPN的优点: 外包的拨号支持 减少话费指出 增高的连接速度 2、选择VPN协议:通过封装和加密两种方式进行数据的安全传颂,包括PPTP L2TP/IPSec PPTP:采用MPPE加密数据,具有40,56,128的加密强度,应用于基于IP的网络上,支持多种协议,不进行计算机身份验证,可以通过NAT,微软的所有客户机均支持,适中等安全性网络,不需要PKI和IPSec L2TP:结合IPSec形成隧道,可以在任何基于点对点的网络介质形成隧道,基于IPSec进行计算机验证,支持多种协议,不能通过NAT,仅2000支持,能够提供强力安全性 实现:(可选)实现IPSec提供数据安全性: 原理:位于网络层,通过加密和签名提供IP层端到端数据安全性,不需要应用程序支持,对上层应用是透明的。但仅有2000支持。 AH Figure 8.1 Authentication HeaderNext Header Identifies the next header that uses the IP protocol ID. For example, the value might be “6” to indicate TCP.Length Indicates the length of the AH header.Security Parameters Index (SPI) Used in combination with the destination address and the security protocol (AH or ESP) to identify the correct security association for the communication. (For more information, see the “Internet Key Exchange” section later in this chapter.) The receiver uses this value to determine with which security association this packet is identified.Sequence Number Provides anti-replay protection for the SA. It is 32-bit, incrementally increasing number (starting from 1) that is never allowed to cycle and that indicates the packet number sent over the security association for the communication. The receiver checks this field to verify that a packet for a security association with this number has not been received already. If one has been received, the packet is rejected.Authentication Data Contains the Integrity Check Value (ICV) that is used to verify the integrity of the message. The receiver calculates the hash value and checks it against this value (calculated by the sender) to verify integrity.Figure 8.2 AH Integrity SignatureESPFigure 8.3 ESP The ESP header contains the following fields:Security Parameters Index Identifies, when used in combination with the destination address and the security protocol (AH or ESP), the correct security association for the communication. The receiver uses this value to determine the security association with which this packet should be identified.Sequence Number Provides anti-replay protection for the SA. It is 32-bit, incrementally increasing number (starting from 1) that indicates the packet number sent over the security association for the communication. The sequence number is never allowed to cycle. The receiver checks this field to verify that a packet for a security association with this number has not been received already. If one has been received, the packet is rejected.The ESP trailer contains the following fields:Padding 0 to 255 bytes is used for 32-bit alignment and with the block size of the block cipher.Padding Length Indicates the length of the Padding field in bytes. This field is used by the receiver to discard the Padding field.Next Header Identifies the nature of the payload, such as TCP or UDP. The ESP Authentication Trailer contains the following field:Authentication Data Contains the Integrity Check Value (ICV), and a message authentication code that is used to verify the senders identity and message integrity. The ICV is calculated over the ESP header, the payload data and the ESP trailer.Figure 8.4 ESP: Signature and Encryption工作过程: Figure 8.5 IPSec Policy AgentFigure 8.7 IPSec Driver Services实现:选择验证模式:Kerveros V5:需要活动目录,属于同一个域基于证书:验证外部用户或结合L2TP使用预定义的密钥:易于实现选择模式:传输模式,隧道模式,使用缺省的策略:客户机:在域级设置服务器:请求安全,混合网络安全服务器:需要安全,须制定信息类型自定义策略:自动进行证书发放:证书模板,发放机构域控制器:自动接受证书客户寄:从本地CA请求证书利用组策略进行设置:利用OU组织局相同目的的计算机在域级配置Client以响应安全通信每台计算机同时只能有一个生效验证:PINGIPSec monitorNetwork monitor: capture ISAKMP AH ESP事件查看器:启用安全审核启用Oakley Logs: HKLMSYSTEMCurrentControlSetServicesPolicyagentOakley=1练习:使用PGP, SSL, IPSec第四章 常见攻击类型一、 蛮力攻击和字典攻击:Gain access as a legitimate user through guess password or using dictionaryCommon tools: John the Ripper for UNIX Novell PassCrackSolution: auditing account logon failure enable account lockout 练习使用NAT二、 系统漏洞和后门:an unintentional flaw in a program that creates an inadvertent openingBack door: an undocumented opening in an operating system or programCommon type: buffer overflow:Theory Damage:copy password database to a world-readable place start/stop services or daemons open additional port then upload bad applications write any information Root kit is a collection of Trojans designed to compromise the systemDamages:replace or modify some system elements (/bin/login, /bin/ps, /bin/ls, /bin/su) create hidden directories install loadable kernel modules launch hidden processesAvoid the attack:Reconfigure Linux kernel as a “monolithic kernel”Install Tripwire or the WFP applicationUse antivirus applications三、 社交攻击:Use tricks and disinformation to gain access sensitive information(such as password)Common form:Call and ask for the passwordFake e-mail练习使用fake email四、 拒绝服务:Prevent legitimate user from accessing a service and crash remote systemDOS: SYN flood DDOS: 消耗带宽 Ping of deathRecovering:DOS:simple rebootDDOS: reprogram switch and router to drop bad packet win2k IPSec Ipchains(2.2 and earlier) Iptables (2.3 and later)五、 Spoof:进行地址伪装,以击败基于地址的验证类型:包括IP spoofing, ARP spoofing, router spoofing and DNS spoofingip spoofing:攻击对象:运行由tcp/ip的计算机任何使用了sun RPC调用的计算机任何利用IP地址认证的网络服务MIT的X Window系统R服务过程:确定目标主机序列号取样和猜测对原主机执行拒绝服务攻击对目的主机进行地址欺骗防范:放弃以地址进行验证利用路由器进行包过滤,确认只有内部具有信任关系在通信时使用加密和验证六、中间人攻击第五章 通用安全性要素物理安全性:实验第六章 TCP/IP协议栈和相关安全性一、 概述:在开发的初期没有考虑安全性,没有内置相关的安全性机制二、 各层的功能及安全性考虑:1、 物理层:定义了介质的类型、信号和网络拓扑威胁:缺少安全性机制 网络监听安全措施:加密、数据标记和填充2、 网络层:寻址和路由选择,没有提供任何的安全防护和流控机制,能够 高效地进行数据传递 组件:IP, ICMP, IGMP, ARP威胁:spoofing, ARP spoofing, IP spoofing ICMP: smurf, network topologies scan, DOS 防护:防火墙过滤3、 传输层:实现端到端的传输Port: 唯一标示一个应用 Well-known:default,01023 Assigned by os: 102465536威胁:端口扫描组件:TCP, UDPTCP:TCP header: SYN,同步序列号 FIN,连接的终结 ACK,期待下一个接受的数据包的序列号连接的建立连接的终止威胁:DOS, SYN flood TCP connection hijackingUDP:Applications:TFTP, DNS, video and audio broadcast威胁:DOS 4、 应用层:最难于防护SMTP:Common attacks:Fake mailFlood SMTP serverTransfer viruses and Trojan horsesProtection:Disable forwarduser authenticationUse proxy server scan all messages FTP: TCP 20/21Common attacks:Buffer overflowFill disk space to prevent system or FTP service loggingTransfer password with plaintextProtection:Allow anonymous connection and disable uploadDistribute log file and ftp directory in differ partition Use encryption protocol to encrypt trafficHTTP: TCP 80Common attacks:Buffer overflowBad codes:CGI, ASP, Java programProtection:Attend to patch and fix that has been publishedAvoid use too much programTelnet: TCP 23Common attacks: Transmit data and account information using plaintext Port redirectPrevention: Replace telnet with SSH Use encryption protocol to encrypt trafficSNMP: UDP 161/162Common attacks:AuthenticationTransmit data using plaintextPrevention:Avoid using the protocol in public networkFilter all SNMP traffic at the firewallDNS: UDP/TCP 53Common attacks:DNS poisoningObtaining illicit zone transfersPrevention:Secure zone transfersZone signing and public-key encryption实验:1、 利用sniffer捕获telnet的密码2、 利用NC入侵Windows NT3、 锁定端口第七章 保护资源一、 安全实现模型:1、 分类资源和需求:根据所使用的硬件、系统、协议及对公司运营的重要性对资源进行分类,同时进行归档2、 定义并发布安全性策略:3、 保护每种服务和资源4、 记录、测试和评估5、 重复以上过程二、 保护资源和服务:1、Protect against profiling2、Coordinate methods and techniques3、Change default settings4、Remove unnecessary services:利用C2删除OS/25、Specialized accounts:防止buffer overflowweb server:原则:1、进行分区放置:将OS, web application, html files, script放在不同的分区里,赋予不同的权限。2、确保cgi脚本的安全性:泄露系统信息 执行命令实例:1版本的选择:WIN2000有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,在语言不成为障碍的情况下,请一定使用英文版。2组件的定制:根据安全原则,最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是:只安装IIS的Com Files,IIS Snap-In,WWW Server组件。如果你确实需要安装其他组件,请慎重,特别是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)这几个危险服务。 正确安装WIN2000 SERVER 1分区和逻辑盘的分配,有一些人为了省事,将硬盘仅仅分为一个逻辑盘,所有的软件都装在C驱上,这是很不好的,建议最少建立两个分区,一个系统分区,一个应用程序分区,这是因为,微软的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。推荐的安全配置是建立三个逻辑驱动器,第一个大于2G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。2安装顺序的选择:首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。 其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装三、 IIS:首先,把C盘Inetpub目录彻底删掉,在D盘建一个Inetpub,在IIS管理器中将主目录指向D:Inetpub;其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除http:/www.target.com/scripts/.%c1%1c./winnt/system32/cmd.exe了?设置必要的权限,(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给) 第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP, ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw, htr, idq, ida在IIS管理器中右击主机->属性->WWW服务编辑->主目录配置->应用程序映射,然后就开始一个个删吧。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手。 最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。 四、 基于80端口入侵的检测 WWW服务大概是最常见的服务之一了,而且由于这个服务面对广大用户,服务的流量和复杂度都很高,所以针对这个服务的漏洞和入侵技巧也最多。IIS自带的日志文件默认存放在System32/LogFiles目录下,一般是按24小时滚动的,在IIS管理器中可以对它进行详细的配置。 假设一台WEB服务器,开放了WWW服务,你是这台服务器的系统管理员,已经小心地配置了IIS,使用W3C扩展的日志格式,并至少记录了时间(Time)、客户端IP(Client IP)、方法(Method)、URI资源(URI Stem)、URI查询(URI Query),协议状态(Protocol Status),我们用最近比较流行的Unicode漏洞来进行分析:打开IE的窗口,在地址栏输入:127.0.0.1/scripts/.%c1% 1c./winnt/system32/cmd.exe?/c+dir 默认的情况下你可以看到目录列表(什么?你已经做过安全配置了,看不到?恢复默认安装,我们要做个实验),让我们来看看IIS的日志都记录了些什么,打开Ex010318.log(Ex代表W3C扩展格式,后面的一串数字代表日志的记录日期):07:42:58 127.0.0.1 GET /scripts/./winnt/system32cmd.exe /c+dir 200上面这行日志表示在格林威治时间07:42:58(就是北京时间23:42:58),有一个家伙(入侵者)从127.0.0.1的IP在你的机器上利用Unicode漏洞(%c1%1c被解码为"",实际的情况会因为Windows语言版本的不同而有略微的差别)运行了cmd.exe,参数是/c dir,运行结果成功(HTTP 200代表正确返回)。大多数情况下,IIS的日志会忠实地记录它接收到的任何请求(也有特殊的不被IIS记录的攻击,这个我们以后再讨论),所以,一个优秀的系统管理员应该擅长利用这点来发现入侵的企图,从而保护自己的系统。但是,IIS的日志动辄数十兆、流量大的网站甚至数十G,人工检查几乎没有可能,唯一的选择就是使用日志分析软件,用任何语言编写一个日志分析软件(其实就是文本过滤器)都非常简单,不过考虑到一些实际情况(比如管理员不会写程序,或者服务器上一时找不到日志分析软件),我可以告诉大家一个简单的方法,比方说你想知道有没有人从80端口上试图取得你的Global.asa文件,可以使用以下的CMD命令:find "Global.asa" ex010318.log /i这个命令使用的是NT自带的find.exe工具(所以不怕紧急情况找不着),可以轻松的从文本文件中找到你想过滤的字符串,"Global.asa"是需要查询的字符串,ex010318.log是待过滤的文本文件,/i代表忽略大小写。FTP server:Place FTP,OS on different partitionsSet appropriate permissionsDisable upload and allow read-only permissionChange default directorySMTP server:Scan e-mail attachmentsForbid relaying to unauthoried usersReduce the size of e-mail attachmentsChange default directory三、 测试和评估:四、 实施新的系统:使用相同的策略在不同的子网上在此子网上模拟相同的环境使用黑客工具进行测试五、 安全测试软件:优点:自动,易于使用缺点:时效性强类型:网络扫描软件:操作系统插件:日志和分析工具:第八章 防火墙概述:防火墙的作用 常用术语 不同类型防火墙的功能 一、 防火墙的作用:1、 实现安全性策略2、 创建一个阻塞点,再次位置上对网络进行控制和监视3、 具有完善的日志功能4、 能够屏蔽内网结构二、 常用术语:1、 gateway:在两个设备之间提供中继服务的系统,如:router, CGI, proxy2、 包过滤器:工作在internet layer,基于ip address, port number and protocol type进行流量控制3、 电路级网关:工作在transport layer, 功能类似于包过滤器,能够提供网络地址转换4、 应用级网关:工作在47层,可以给予数据的内容对数据进行过滤5、 代理服务器:泛指上述类型的网关6、 网络地址转换: Public Address and Private Address:若LAN不与Internet相连,任何地址都是可用的若LAN直接或间接与Internet相连(Rou

    注意事项

    本文(网络安全和防火墙.doc)为本站会员(帮****)主动上传,淘文阁 - 分享文档赚钱的网站仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知淘文阁 - 分享文档赚钱的网站(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于淘文阁 - 版权申诉 - 用户使用规则 - 积分规则 - 联系我们

    本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

    工信部备案号:黑ICP备15003705号 © 2020-2023 www.taowenge.com 淘文阁 

    收起
    展开