安全与保密9.ppt
《安全与保密9.ppt》由会员分享,可在线阅读,更多相关《安全与保密9.ppt(56页珍藏版)》请在冰豆网上搜索。
9Internet安全技术,9.1防火墙技术9.2虚拟专用网(VPN)技术9.3安全扫描技术和风险评估9.4入侵检测技术9.5网络陷阱技术9.6Web安全,9.1防火墙技术,9.1.1防火墙的设计和建立9.1.2基于分组过滤的防火墙设计9.1.3基于代理服务的防火墙设计,9.1防火墙技术,防火墙技术用于解决网络边界的安全问题位于两个网络之间,网见的所有数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙目的:
隔离内外网,防止来自外部网络的攻击和非法访问防火墙的功能通常是由独立计算机、路由器或专用硬件设备来完成有效的纪录网络上的活动隔离网段,限制安全问题扩散防火墙自身应有一定的抗攻击能力,理想的防御体系,防火墙技术的应用,9.1.1防火墙的设计和建立,防火墙的核心思想和作用核心思想:
在开放的网络环境中构造一个相对封闭的逻辑网络环境来满足人们对内部网络的安全需求。
作用:
按照本机构的安全策略来控制内外网络之间的交通,从而保证通过防火墙的信息都是被内部网络安全要求所能够接受的。
防火墙的基本概念Internet防火墙堡垒主机多宿主机外围网络分组过滤代理服务器防火墙的优点限制了内部网络对Internet的暴露程度;可以作为内部网络安全防范的一个焦点;是设置网络地址翻译器的最佳位置。
防火墙体系结构多宿主机结构多宿主机位于内、外网络中间,一端连在Internet,另一端连到内部网络。
配置简单、成本低。
单点失效问题,有屏蔽主机结构有屏蔽路由器和堡垒主机比多宿主机结构安全但有屏蔽路由器和堡垒主机任一个出现安全问题,整个内部网络都会暴露出来,有屏蔽子网结构通过一个外围网络进一步将内部网络与Internet隔离开:
外围网络、内部路由器、外部路由器有更高的安全保障。
成本高,建立防火墙的主要途径,基于分组过滤的防火墙工作在网络层(IP层)工作原理:
首先基于分组的头部信息根据内部网络的安全策略制定出分组过滤规则,然后按照分组过滤规则对所经由的分组进行检查,按照分组过滤规则的规定采取动作,允许该分组通过或将其阻塞。
优缺点:
优点:
对应用透明,合法建立的连接不被中断;速度快、效率高。
缺点:
安全性级别低,不能识别高层信息,容易受到欺骗。
与其他技术结合:
NAT、流量控制、状态监控、VPN、,代理服务工作在应用层,将客户与服务的连接隔离成两段。
工作原理:
在防火墙主机上运行的专门的应用程序或服务器程序,接收用户的Internet服务请求,根据安全策略将它们传送给真正的服务器,代理提供真正的连接并且充当服务网关。
优缺点:
优点:
提供较高的安全性和较强的身份验证功能。
缺点:
透明性差,离不开用户的合作;对网络的性能的影响较大。
复合型防火墙防火墙的局限不能防范内部人员不能防范不通过它的连接不能防范全新的网络威胁不能防范病毒的入侵不能防范数据驱动式进攻防火墙的未来,9.1.2基于分组过滤的防火墙设计,IP网络概念的简要回顾筛选路由器和一般的路由器之间的区别分组过滤的优点分组过滤的局限性配置分组过滤规则时应注意的问题分组过滤路由器的工作步骤分组过滤的种类分组过滤的规则如何选择分组过滤路由器基于分组过滤的防火墙设计举例,IP网络概念的简要回顾,在IP网络中,数据以分组的形式传送。
分组从一个路由器到另一个路由器被传送,穿越网际,一直到达其目的地。
路由器根据分组的IP目的地址,根据内存中的路由表来决定如何传送分组。
它将分组的目的地址和路由表中的全部地址进行比较,将分组发往路由表指定的方向。
如果在路由表中没有适用于该分组的目的的路由,路由器就使用“缺省路由”。
筛选路由器和一般的路由器的区别,主要区别:
对所收到的分组的处理不同。
一般路由器:
简单地查看一下分组的目的地址,然后根据路由表确定它的最佳路由来指定此分组的流动方向。
筛选路由器:
首先根据分组过滤规则确定该分组是否允许通过,若允许通过再对其进行路由选择。
分组过滤的优点,分组过滤系统价格便宜分组过滤不要求用户的知识和合作,分组过滤的局限性,分组过滤规则本身有局限性定义分组过滤规则是一项复杂的工作;分组过滤规则被配置后,难以测试和维护;有一些协议不适合对其进行分组过滤。
分组过滤失效时给内部网络带来的危害较大。
配置分组过滤规则时应注意的问题,协议通常是双向的;注意采用的是服务术语还是分组术语;注意采用的是“缺省允许”原则还是“缺省拒绝”原则。
分组过滤路由器的工作步骤,根据内部网络的安全策略制定分组过滤规则;分组过滤路由器对分组的头部进行分析,按照分组过滤规则的存储顺序依次对分组进行检查;如果在分组过滤规则表中找到一个适用于此分组的规则,而该规则规定阻塞该分组,则该分组被阻塞;如果在分组过滤规则表中找到一个适用于此分组的规则,而该规则规定允许该分组通过,则系统就允许该分组通过;如果在分组过滤规则表中没有适用于此分组的规则,则根据缺省规定,该分组被阻塞或允许通过。
分组过滤的种类,根据地址进行过滤根据服务进行过滤,分组过滤的规则,规则中过滤的依据:
多域过滤IP地址(源地址、目的地址)高层协议类型端口号(源端口、目的端口)协议标志、服务类型(TOS)防火墙的操作:
通过:
允许分组通过防火墙丢弃:
禁止分组通过防火墙,直接丢弃,但不做任何响应拒绝:
禁止分组通过防火墙,并向源端发送目的主机不可达的ICMP报文返回:
没有发现匹配的规则,省缺动作,如何选择分组过滤路由器,应具备内部网络要求的足够的分组过滤性能;可以将专用路由器或通用计算机作为分组过滤路由器;应该允许基于头部任何选项建立分组过滤规则;应该按照一定顺序在过滤规则表中进行检查;应该具备记录功能。
基于分组过滤的防火墙设计举例,SMTP服务(电子邮件)分组描述输出SMTP服务:
输出分组、输入分组输入SMTP服务:
输出分组、输入分组,分组过滤规则描述基于分组的源地址、目的地址、协议、目的端口号进行过滤:
只要连接双方均使用大于1023的端口,则可通过。
基于分组的源地址、目的地址、协议、目的端口号和源端口号进行过滤:
当进攻者使用源端口号25,连接到内部网络大于1023的端口号的服务器时,可成功。
基于分组的源地址、目的地址、协议、目的端口号、源端口号、ACK位进行过滤:
进攻失败。
9.1.3基于代理服务的防火墙设计,基于代理服务的防火墙的工作过程代理系统:
代理服务器程序,客户程序代理的优点提供的安全性高提供了记录和审计功能代理的缺点仅能支持有限的服务和应用透明性低对网络性能有影响需要用户的合作如何实现代理服务修改客户软件修改用户程序,网络地址翻译(NAT),目的向外界隐藏内部网结构解决IP地址空间不够问题NAT方式M-1:
多个内部网地址翻译到一个IP地址1-1:
简单的地址翻译M-N:
M个内部地址翻译到N个IP地址池,9.2虚拟专用网(VPN)技术,采用加密/认证技术,利用公共通信网络传送专用信息,建立起的一个相对封闭的、逻辑上的专用网络跨地域大型组织机构间的互连、流动工作站的互连通信利用公用网建立集团内对等连接,保证数据的安全保密性特点可灵活利用多种公用远程通信网络电话网、公共分组交换网、帧中继、ATM、ISDN、IP网性能价格比高有一定的服务质量保障措施能够提供强大的接入控制和入侵防护,保证内部信息交换的保密性和安全性,IPVPN的基本信息处理过程,信息处理过程内部网主机发送明文信息到连接公共网络的VPN设备VPN设备根据网络管理员设置的规则,确定是否需要加密若需要加密,在IP层对整个分组进行加密并附上数字签名对加密后的数据重新封装:
加新的分组头、目的VPN设备所需的安全信息和参数通过虚拟通道在公共网络上传输分组到达目标VPN设备时,解除封装、核对数字签名、解密还原原始分组关键技术隧道技术加密技术安全技术,IPVPN的基本信息处理过程,隧道技术,隧道的基本组成一个隧道启动器一个路由网络(Internet)一个隧道终结器,VPN的隧道协议,点到点隧道协议PPTP(IETF草案)第二层转发L2F(IETFRFC2349)第二层隧道协议L2TP(IETF草案)通用路由封装GRE用于源路由器和目的路由器之间,VPN中采用的加密技术,IPSec(IPSecurity)协议IPSec是一套协议互连网密钥交换协议(RFC2409IKE)IPSec协议(RFC2401)验证包头协议AH(RFC2402)封装安全载荷ESP(RFC2406)DES、IDEA、MD5IPSec的安全体系结构AH协议ESP协议密钥管理协议(ISAKMP)解释域(DOI),IPSec的两种工作方式,隧道模式整个用户的IP分组被用来计算ESP报头整个IP分组被加密,与ESP报头一起被封装在一个新的IP分组内数据在Internet上传送时,真正的源地址和目的地址被隐藏传输模式只有高层协议(TCP、UDP、ICMP等)头及数据进行加密源地址和目的地址以及所有IP分组头的内容都不加密,VPN中的安全控制,VPN中的安全控制认证远程身份验证拨入用户服务RADIUSRFC2138/2139支持用户认证、鉴权和计费(AAA)(Authentication,Authorization,Accounting)登录的数据无层次结构轻量级目录访问协议LDAP(RFC1777)登录的用户信息有层次结构适合于组织机构用户数据的登录应用拨号VPN(VPDN)接入VPN(AccessVPN)专线VPN包括InternetVPN和ExtranetVPN,9.3系统安全扫描和风险评估,是一种系统管理员常用的网络安全工具通过该工具可以发现系统或网络中的安全漏洞或弱点形成完善的系统安全弱点的报表和风险评估报表系统管理员可利用扫描工具来对系统的安全性进行评估主要特点能自动检测远程或本地主机安全性弱点这些弱点是破坏目标主机的关键因素,很可能被黑客利用系统管理员可以迅速采取相应措施,消除隐患,防范于未然,一个好的扫描器相当于一千个好的口令工作过程搜索指定的主机、网络、正在运行的服务从数据库中提取测试方法,检测其可能存在的隐患结果分析,生成报表,系统安全扫描的工作原理,安全管理员,9.4入侵检测技术,防火墙、VPN技术的采用并不能提供足够的安全性只能阻挡来自外部网络的入侵防火墙自身也存在漏洞入侵者很可能来自网络的内部缺乏安全策略的实时调整因此,需要引入实时入侵检测技术作用:
对系统和网络上恶意使用计算机/网络资源行为进行快速识别和响应处理发现和制止用来防止来自系统内部/外部的攻击,迅速采取保护措施记录入侵行为的证据,动态调整安全策略,什么是入侵检测入侵检测方法入侵检测系统的体系结构通用入侵检测框架CIDF,什么是入侵检测,入侵检测的概念入侵检测(IntrusionDetection,ID)是指发现非授权用户企图使用计算机系统或合法用户滥用其特权的行为,这些行为破坏了系统的完整性、机密性及资源的可用性。
为完成入侵检测任务而设计的计算机系统称为入侵检测系统(IntrusionDetectionSystem,IDS)。
入侵检测系统,基本原理:
在网络或系统中采集各种信息,根据一个知识库系统中定义的行为模式来判断网络或系统中是否存在入侵行为关键技术问题信息收集:
IDS依赖于收集信息的可靠性和正确性收集的信息包括:
系统和网络的日志文件目录和文件中的不期望的改变程序执行中的不期望行为数据分析和处理技术对收集到的信息,采用一定的技术手段进行分析,做出判断,入侵检测系统的分类,根据所采用的方法分类异常入侵检测(anomalydetection)误用入侵检测(misusedetection)根据检测对象分类基于主机的入侵检测基于网络的入侵检测基于网关的入侵检测根据工作方式分类离线检测在线检测,通用入侵检测模型1987年,DenningD.E.提出了一个通用入侵检测模型:
入侵检测方法,异常入侵检测(anomalydetection)统计方法预测模式生成神经网络
升级会员 