[精选]网络安全技术（PPT65页)32626.pptx

《[精选]网络安全技术（PPT65页)32626.pptx》由会员分享，可在线阅读，更多相关《[精选]网络安全技术（PPT65页)32626.pptx（66页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第12章章网络安全技术网络安全技术 1主要内容主要内容防火墙技术漏洞扫描技术入侵检测技术虚拟专用网VPN技术2防火墙技术防火墙技术 定义为：“设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常是包含软件部分和硬件部分的一个系统或多个系统的组合”。基本工作原理是在可信任网络的边界（即常说的在内部网络和外部网络之间，我们认为内部网络是可信任的，而外部网络是不可信的）建立起网络控制系统，隔离内部和外部网络，执行访问控制策略，防止外部的未授权节点访问内部网络和非法向外传递内部信息，同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。基本思想不是对每台主机系统进行保护，而是让所有

2、对系统的访问通过某一点，并且保护这一点，并尽可能地对外界屏蔽被保护网络的信息和结构。3 防火墙在网络中的位置防火墙在网络中的位置 4防火墙的基本需求防火墙的基本需求保证内部网的安全性。保证内部网的安全性。保证内部网同外部网间的连通性。保证内部网同外部网间的连通性。设计实现的重点为：安全性能；处理速度。5防火墙的功能防火墙的功能实施网间访问控制，强化安全策略。有效地纪录因特网上的活动。隔离网段，限制安全问题扩散。防火墙自身有一定的抗攻击能力。综合运用各种安全措施，使用先进健壮的信息安全技术。人机界面良好，用户配置方便，易管理。6防火墙的不足防火墙的不足它能保护网络系统的可用性和系统安全，但由于无

3、法理解数据内容，不能提供数据安全。对用户不透明，可能带来传输延迟、瓶颈和单点失效等问题。不能防范不经过它的连接。当使用端到端加密时，其作用会受到很大限制。过于依赖于拓扑结构。防火墙不能防范病毒。是一种静态防御技术。7防火墙的分类防火墙的分类按网络体系结构分类工作在OSI参考模型中的不同位置。按应用技术分类包过滤防火墙；代理服务器；电路级网关。按拓扑结构分类双宿主主机防火墙；屏蔽主机防火墙；屏蔽子网防火墙。8网络防火墙位置模型网络防火墙位置模型 9包过滤防火墙包过滤防火墙工作在网络层（IP层）根据过滤规则，逐个检查IP包，确定是否允许通过。对应用透明，合法建立的连接不被中断。速度快、效率高。安全

4、性级别低：不能识别高层信息、容易受到欺骗。10包过滤防火墙的工作原理包过滤防火墙的工作原理 11代理服务器型防火墙工作在应用层，将客户与服务的连接隔离成两段。根据规则为客户请求建立新的服务连接。从网络层切断了内外网络之间的连通性，安全性大大提高。能够识别高层协议信息，进行高层协议过滤。对应用不透明，客户端需要重新配置。速度较慢、效率低。12代理服务器防火墙的工作原理代理服务器防火墙的工作原理 13电路级网关电路级网关 工作在传输层。它在两个主机首次建立TCP连接时创立一个电子屏障，建立两个TCP连接。一旦两个连接建立起来，网关从一个连接向另一个连接转发数据包，而不检查内容。也称为通用代理，统一

5、的代理应用程序，各协议可透明地通过通用代理防火墙。电路级网关实现的典型例子是SOCKS软件包，是DavidKoblas在1990年开发的。14SOCKS系统系统 15三种防火墙技术安全功能比较三种防火墙技术安全功能比较 源地址目的地址用户身份数据内容包过滤YYNN应用代理YYYP电路级网关YYYN16规则规则一般包含以下各项：源地址、源端口、目的地址、目的端口、协议类型、协议标志、服务类型、动作。规则原则按地址过滤；按服务过滤。17防火墙的规则动作防火墙的规则动作有以下几种类型：通过（accept）允许IP包通过防火墙传输。放弃（deny）不允许IP包通过防火墙传输，但仅仅丢弃，不做任何响应。

6、拒绝（reject）不允许IP包通过防火墙传输，并向源端发送目的主机不可达的ICMP报文。返回（return）没有发现匹配的规则，省缺动作。18规则举例（包过滤）只允许Telet出站的服务规则号方向源地址目的地址协议源端口目的端口ACK设置动作1出内部任意TCP102323任意通过2入任意内部TCP231023是通过3双向任意任意任意任意任意任意拒绝19 双宿主主机结构防火墙双宿主主机结构防火墙 核心是具有双宿主功能的主机。至少有两个网络接口，充当路由器。不允许两网之间的直接发送功能。仅仅能通过代理，或让用户直接登陆到双宿主主机来提供服务。提供高级别的安全控制。问题：用户账号本身会带来明显的安

7、全问题，会允许某种不安全的服务；通过登陆来使用因特网太麻烦。20 双宿主主机结构防火墙双宿主主机结构防火墙 21屏蔽主机防火墙屏蔽主机防火墙 主要的安全机制由屏蔽路由器来提供。堡垒主机位于内部网络上，是外部能访问的惟一的内部网络主机。堡垒主机需要保持更高的安全等级。问题：如果路由器被破坏，整个网络对侵袭者是开放的。如堡垒主机被侵，内部网络的主机失去任何的安全保护。22屏蔽主机防火墙屏蔽主机防火墙 23堡垒主机设计与构筑堡垒主机的原则：使堡垒主机尽量简单；随时做好堡垒主机可能被损害的准备。堡垒主机提供的服务：同因特网相关的一些服务；删除所有不需要的服务；不要在堡垒主机上保留用户账号。24屏蔽子网

8、防火墙屏蔽子网防火墙 添加额外的安全层：周边网，将内部网与因特网进一步隔开。周边网即：非军事化区，提供附加的保护层，入侵者如侵入周边网，可防止监听（sniffer）内部网的通信（窃取密码），不会损伤内部网的完整性。周边网上的主机主要通过主机安全来保证其安全性。屏蔽子网防火墙使用了两个屏蔽路由器，消除了内部网络的单一侵入点，增强了安全性。两个屏蔽路由器的规则设置的侧重点不同。外部路由器只允许外部流量进入，内部路由器只允许内部流量进入。25屏蔽子网防火墙屏蔽子网防火墙 26高性能过滤算法高性能过滤算法 规则库的规模很大,对规则的处理速度决定了防火墙的速度。对高性能过滤算法的要求：过滤算法的速度应当

9、足够快；理想的过滤算法应当能够对任意的数据域进行匹配，包括链路层，网络层，传输层，甚至应用层的头部；过滤算法应当能够支持待匹配规则具有各种表示方法；过滤算法应当具有实时性，能够对规则表的改变做出实时响应。27网络地址转换（网络地址转换（NAT）目的：解决IP地址空间不够问题；向外界隐藏内部网结构。方式：M-1：端口NAT，多个内部网地址翻译到一个IP地址；1-1：静态NAT，简单的地址翻译；M-N：NAT池，M个内部地址翻译到N个IP地址池。28网络地址转换原理网络地址转换原理 29利用利用NAT实现负载均衡实现负载均衡 30隐患扫描技术隐患扫描技术基本原理：采用模拟黑客攻击的形式对目标可能存

10、在的已知安全漏洞和弱点进行逐项扫描和检查，根据扫描结果向系统管理员提供周密可靠的安全性分析报告。目标可以是工作站、服务器、交换机、数据库应用等各种对象。能自动发现网络系统的弱点。系统的安全弱点就是它安全防护最弱的部分，容易被入侵者利用。31隐患扫描技术的基本实现方法隐患扫描技术的基本实现方法 基于单机系统的安全评估系统。基于客户的安全评估系统。采用网络探测（Networkprobe）方式的安全评估系统。采用管理者/代理（Manager/Agent）方式的安全评估系统。32隐患扫描系统的组成（隐患扫描系统的组成（1）安全漏洞数据库安全性漏洞原理描述、及危害程度、所在的系统和环境等信息；采用的入侵

11、方式、入侵的攻击过程、漏洞的检测方式；发现漏洞后建议采用的防范措施。安全漏洞扫描引擎与安全漏洞数据库相对独立，可对数据库中记录的各种漏洞进行扫描；支持多种OS，以代理性试运行于系统中不同探测点，受到管理器的控制；实现多个扫描过程的调度，保证迅速准确地完成扫描检测，减少资源占用；有准确、清晰的扫描结果输出，便于分析和后续处理。33隐患扫描系统的组成（隐患扫描系统的组成（2）结果分析和报表生成目标网络中存在的安全性弱点的总结；对目的网络系统的安全性进行详细描述，为用户确保网络安全提供依据；向用户提供修补这些弱点的建议和可选择的措施；能就用户系统安全策略的制定提供建议，以最大限度地帮助用户实现信息系

12、统的安全。安全扫描工具管理器提供良好的用户界面，实现扫描管理和配置。34为什么要需要入侵检测系统防火墙和操作系统加固技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的响应，不能提供足够的安全性。入侵检测系统能使系统对入侵事件和过程做出实时响应。入侵检测是防火墙的合理补充。入侵检测是系统动态安全的核心技术之一。35系统动态安全模型系统动态安全模型 36什么是入侵检测定义通过从计算机网络和系统的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象，并依据既定的策略采取一定的措施。三部分内容：信息收集；信息分析；响应。37 通用入侵检测系统

13、模型通用入侵检测系统模型 38信息收集技术分类信息收集技术分类根据收集的信息来源，IDS可分为：基于网络的实时入侵检测系统；基于主机的实时入侵检测系统；分布式的综合入侵检测技术。39信息收集技术比较信息收集技术比较基于网络的实时入侵检测系统：原始数据来源丰富，实时性、适应性、可扩展性方面具有其独特的优势；容易受到基于网络的拒绝服务等恶意攻击，在高层信息的获取上更为困难。基于主机的实时入侵检测系统：能获取高层信息，理解动作的含义；环境适应性、可移植性方面问题较多。通过分析应用的日志文件检测攻击通过分析应用的日志文件检测攻击。40信息分析技术信息分析技术可分为两大类基于误用(Anomaly-bas

14、ed)的分析方法试图在网络或主机的数据流中发现已知的攻击模式（pattern）；可以直接识别攻击过程，误报率低；只能检测已知的攻击，对新的攻击模式无能为力，需要不断地更新模式库（PatternDatabase）；状态分析、模式匹配、一致性分析。基于异常(Misuse-based)的分析方法首先统计和规范网络和用户的正常行为模式(ActivityProfile)，当网络和用户的行为模式偏离了其正常行为模式时，就认为是异常；行为异常通常意味着某种攻击行为的发生；能够检测出新出现的攻击模式；对正常行为模式的描述比较困难、误报率高；统计分析。41主要信息分析技术主要信息分析技术模式匹配是当前应用中最基

15、本、最有效的检测方法；以攻击行为数据流中的特征字符串作为检测的关键字，其攻击行为模式数据库中记录各种攻击行为的特征串；检查数据流中是否有与模式数据库中特征串相匹配的内容，的每种攻击行为产生中，一般都有特定的；不需保存状态信息，速度快，但只能检测过程较简单的攻击。状态分析将攻击行为的过程以状态转移图的形式记录在模式数据库中，状态转移的条件是网络或系统中的一些特征事件；检测软件记录所有可能攻击行为的状态，并从数据流中提取特征事件进行状态转移，当转移到达某个特定状态时，就被认为是检测到了一次攻击行为；用于检测过程较复杂的攻击过程（如分布式攻击）。42主要信息分析技术主要信息分析技术统计分析基于异常的

16、检测方式；通过统计方式总结系统的正常行为模式；利用若干统计变量来刻画当前系统的状态，通过统计变量与正常行为模式的偏差来检测可能的入侵行为。应用数据挖掘技术使用一定的数据挖掘算法进行挖掘，推导出系统的正常行为模式和入侵的行为模式；需要提出一种真正自适应的、无须预标识的数据挖掘的方式。43主要信息分析技术主要信息分析技术预测模式生成技术试图基于已经发生的事件来预测未来事件，如果一个与预测统计概率偏差较大的事件发生，则被标志为攻击。比如规则：E1E2(E3=80%，E4=15%，E5=5%)，即假定事件E1和E2已经发生，E3随后发生的概率是80%，E4随后发生的概率是15%，E5随后发生的概率是5

17、%，若E1、E2发生了，接着E3发生，则为正常的概率很大，若E5发生，则为异常的概率很大，若E3、E4、E5都没有发生，而是发生了模式中没有描述到的E5，则可以认为发生了攻击。预测模式生成技术的问题在于未被这些规则描述的入侵脚本将不会被标志为入侵。此类系统较容易发现在系统学习期间试图训练系统的用户。44主要信息分析技术主要信息分析技术分布式入侵检测针对分布式攻击的入侵检测技术。入侵检测系统采用分布式计算技术。主要难点：各部件间的协作；安全攻击的相关性分析。45公共入侵检测框架公共入侵检测框架CIDF 由DARPA(美国国防部高级研究计划局)于1997年3月提出的。目的：IDS构件共享；数据共享

18、；完善互用性标准并建立一套开发接口和支持工具。主要是通过定义数据格式和数据交换接口来实现其目标的。46CIDF的框架的框架 47入侵监测系统的设计要求入侵监测系统的设计要求健壮性。可配置性。可扩展性。可升级性。自适应性。全局分析。有效性。48虚拟专用网虚拟专用网VPN采用加密和认证技术，利用公共通信网络设施的一部分来发送专用信息，为相互通信的节点建立起的一个相对封闭的、逻辑上的专用网络。通常用于大型组织跨地域的各个机构之间的联网信息交换，或是流动工作人员与总部之间的通信。只允许特定利益集团内可以建立对等连接，保证在网络中传输的数据的保密性和安全性。目标是在不安全的公共网络上建立一个安全的专用通

19、信网络。49虚拟专用网虚拟专用网VPN的好处的好处实现了网络安全。简化网络设计和管理。降低成本。容易扩展，适应性强。可随意与合作伙伴联网。完全控制主动权。支持新兴应用。50IP VPN 的基本信息处理过程的基本信息处理过程 内部网主机发送明文信息到连接公共网络的VPN设备。VPN设备根据网络管理员设置的规则，确定是否需要对数据进行加密或让数据直接通过。对需要加密的数据，VPN设备在网络IP层对整个IP数据包进行加密和附上数字签名。VPN设备重新封装加密后数据（加上新的数据报头，包括目的地VPN设备所需的安全信息和一些初始化参数），然后将其通过虚拟通道在公共网络上传输。当数据包到达目标VPN设备

20、时，数据包被解除封装，数字签名被核对无误后数据包被解密还原。51IP VPN 的基本信息处理过程的基本信息处理过程52VPN的主要技术的主要技术隧道技术（Tunneling）。加解密技术（Encryption&Decryption）。密钥管理技术（KeyManagement）。使用者与设备身份鉴别技术（Authentication）。53隧道技术隧道技术 利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。涉及了三种网络协议：网络隧道协议；隧道协议下面的承载协议；隧道协议所承载的被承载协议。有两种类型的隧道协议：二层隧道协议：如L2F、PPTP、L2TP等；三层隧道协议

21、：如GRE协议、IPsec协议等。54隧道的基本组成隧道的基本组成 一个隧道的基本组成：（1）一个路由网络（Internet）；（2）一个隧道终结器；（3）一个隧道启动器。55点到点隧道协议（PPTP）是由Microsoft和Ascend在PPP协议的基础上开发的。隧道的加密认证协议使用专用验证协议PAP或通用交接验证协议CHAP（RFC1994）。56通过拨号连接的通过拨号连接的PPTP协议栈协议栈 57PPTP协议的优越性 通过PPTP，远程用户可经由因特网访问企业的网络和应用，而不再需要直接拨号至企业的网络。PPTP在IP网络中支持非IP协议，PPTP隧道将IP、IPX、AppleTal

22、k等协议封装在IP包中，使用户能够运行基于特定网络协议的应用程序。其隧道机制采用现有的安全检测和鉴别策络，还允许管理员和用户对现有数据进行加密，使数据更安全。提供了灵活的地址管理。58第二层隧道协议（L2TP）综合了PPTP和L2F两者的特点：隧道控制沿用了PPTP的协议；认证过程沿袭了L2F协议；模块化采用了独立的L2TP报头。L2TP利用控制报文进行隧道维护，使用UDP/PPP通过隧道来传输数据报文。59PPTP与L2TP的比较PPTP是主动隧道模式拨号用户有权在初始PPP协商之后选择PPTP隧道的目的端。其隧道对于ISP来说是透明的，ISP不需保留PPTP服务器地址，只需象传送其他IP数

23、据一样传送PPTP数据。PPTP的模型是一个单独的端用户，所建立的VPN结构是端到端隧道（由客户端到PPTP服务器）。L2TP是被动隧道模式ISP控制PPP会话的终节点。这在用户需要通过ISP拨入到ICP时很有作用。L2TP的模型是有大量已配置的用户，使得VPN很像普通的拨号访问系统。其隧道始于NAS，止于L2TP服务器。60通用路由封装通用路由封装GRE协议协议 GRE隧道建立于源路由器和目的路由器之间。封装形式（IP环境）。隧道必须手工配置，每次隧道终点改变，都需要重新配置。GRE只提供了数据包的封装，它并没有加密功能,在实际环境中它常和IPsec在一起使用。61PPTP与与IPSec的比

24、较的比较在安全性方面PPTP工作在第二层，可以发送IP之外的数据包，比如IPX或NetBEUI数据包；IPSec在第三层运行，只能提供IP包的隧道传输；从加密强度和数据集成方面来说，IPSec一般被认为要优于PPTP；PPTP无鉴别功能。安装和维护方面从简单性的角度看，PPTP在安装部署和维护上要容易些。62密钥管理技术密钥管理技术 SKIP（SimpleKeyManagementforIP）SKIP是由SUN公司开发的一种技术，主要是利用Diffie-Hellmail算法。IPsec中的ISAKMP/Oakley密钥管理系统同鉴别和安全功能是松散耦合。63身份鉴别技术身份鉴别技术 使用者身份鉴别通常采用远程身份验证拨入用户服务RADIUS。设备身份鉴别证书（Certificate）。64VPN业务分类业务分类 拨号VPN（AccessVPN）企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。专线VPN内部网VPN（IntranetVPN）连接企业总部、远程办事处和分支机构。外联网VPN（ExtranetVPN）将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。65演讲完毕，谢谢观看！