M000 0006 网络安全概论中文版V10定稿.docx
《M000 0006 网络安全概论中文版V10定稿.docx》由会员分享,可在线阅读,更多相关《M000 0006 网络安全概论中文版V10定稿.docx(13页珍藏版)》请在冰豆网上搜索。
M0000006网络安全概论中文版V10定稿
安全特性总体概述
概述
网络安全是一个综合性的技术。
在Internet这样的环境中,其本身的目的就是为了提供一种开放式的交互环境,但是为了保护一些秘密信息,网络安全成为了在开放网络环境中必要的技术之一。
网络安全技术是随着网络技术的进步逐步发展的。
网络安全关注的范围
在开放式的网络环境中,每个网络是一种对等的关系,相互之间可以直接访问。
为了增强网络的安全性,需要将这种对等界定在一定的范围之内。
将一个网络划分为多个部分,在同一个网络中的某些主机可以认为是“互相信任的”,而和其它的的主机处于一种“不信任关系”,使开放的环境处于一种受控的状态。
同时信息加密也是保证数据安全的一种十分重要的手段。
产生网络安全事故的很多原因是人为因素,例如安全意识淡漠、有意利用自己的某些特权等等。
因此保护网络的安全除了要进行技术上的更新同时还需要对员工进行必要的安全意识教育。
网络安全的必要技术
网络安全是一个综合性的技术,一般可以按照网络安全的技术特点以及针对的情况,可以大致分为以上几种技术。
每一种技术的技术特点在后面章节将详细介绍。
一般来说,网络的攻击方式主要有以下一些方式:
窃听报文——攻击者使用报文获取设备,从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。
通过Internet的数据传输,存在时间上的延迟,更存在地理位置上的跨越,要避免数据不受窃听,基本是不可能的。
IP地址欺骗——攻击者通过改变自己的IP地址来伪装成内部网络用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送ICMP的特定报文)来更改路由信息,以窃取信息。
源路由攻击——报文发送方通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。
端口扫描—通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。
然后利用这些漏洞对路由器进行攻击,使得路由器整个DOWN掉或无法正常运行。
拒绝服务攻击——攻击者的目的是阻止合法用户对资源的访问。
比如通过发送大量报文使得网络带宽资源被消耗。
Mellisa宏病毒所达到的效果就是拒绝服务攻击。
后来拒绝服务攻击又有了新的发展,出现了分布式拒绝服务攻击,DistributedDenialOfService,简称DDOS。
许多大型网站都曾被黑客用DDOS方式攻击而造成很大的损失。
应用层攻击——有多种形式,包括探测应用软件的漏洞、“特洛依木马”等。
总之,网络攻击的主要手段就是寻找TCP/IP网络中可能出现的漏洞。
有些攻击手段是针对于特定的操作系统,这些都属于应用层攻击。
可靠性和线路安全
可靠性要求主要是针对物理设备提出的,如设备具有主从备份、负载分担的能力,同时为了达到良好的可靠性需求应该保证路由器等重要的网络设备工作在安全的环境中。
线路安全主要是指线路本身不被非法盗用和窃听,所以应注意在隐蔽的和不安全的地方不要留下可以连接到网络的接口。
身份认证
身份认证是网络安全中解决的一个重要的问题,主要保证的是只有合法的用户、经过授权的用户才可以访问、控制路由器,如配置路由器时需要验证用户名和密码。
同时还需要保证和其它网络设备的信息交互具有合法的身份认证,如防止伪造路由信息的侵入等。
因此在一些对路由器重要信息的场合,都需要进行身份验证,保证信息来源的可靠。
访问控制
访问控制是路由器提供的一种重要的安全策略,访问控制可以有效的防止一些非法的访问。
注:
五元组是指IP包头中的源IP地址、目的IP地址、协议号、源端口、目的端口5个元素。
信息隐藏
地址转换技术,主要使用在内部局域网对公有网络的访问。
使用地址转换技术不仅可以使用许多局域网用户可以共享一个IP地址上网,而且可以使内部局域网的网络结构、IP地址等信息都不在Internet上暴露,增强了这个内部局域网的安全特性。
数据加密和防伪
数据加密技术主要是将需要在Internet上传递的数据加密。
加密技术包含两个方面:
一个是普通的加密、一个是防伪。
防伪技术就是可以防止报文被不法分子截获报文之后,将报文修改,然后重新放到网上继续传递。
数据加密防伪是保护Internet上数据安全的一个重要手段,利用这种技术可以在Internet上为用户提供一种“安全的VPN”服务,利用加密技术可以为用户提供一种安全的在Internet上传递数据的手段。
安全管理
对路由器等重要网络设备的管理是保证路由器安全运行的一个重要方面,一定要保证没有权限的用户不能随便配置路由器,也不能得到路由器的配置信息。
网络安全同样需要保障网络拓扑信息的安全。
Quidway路由器的安全技术
AAA是验证、授权、记帐的简称。
AAA技术可以提供基于用户的验证、授权、记帐服务。
基于用户的含义是,AAA技术不是根据IP地址等信息来验证用户,而是根据用户名、口令对用户进行验证。
AAA技术主要使用在拨号接入访问上,用户利用电话拨号上网就是依靠AAA技术来实现验证、授权和计费的。
因此在接入服务中,AAA是一个最有效实用的安全手段。
包过滤技术是利用访问控制列表实现的一种防火墙技术。
包过滤技术是最常用的一种访问控制的手段,包过滤技术最显著的特点是利用IP数据包的特征进行访问控制,它不像AAA技术那样是根据用户名、密码进行访问控制的。
因此包过滤技术不能使用在接入服务中,它适用于用户根据IP地址、端口等定义合适的规则,阻止对网络直接的非法访问。
利用包过滤技术可以阻挡“不信任网络”的访问。
例如,某个内部局域网接入了Internet,这个局域网只信任它的一个分公司的网络和某些重要客户的网络。
在Internet上,每个公司的IP地址是不会经常改变的,因此利用包过滤技术,就可以限制除了分公司、重要客户的以外的其他的网络对内部局域网的访问。
地址转换技术主要使用在一个局域网公用一个IP地址或少量IP地址(地址池)上网的情况。
地址转换技术同时隐藏了内部局域网的IP地址,使Internet上的其他网络不知道内部局域网的真实的IP地址和网络拓扑,保护了内部局域网的安全,同时又不影响内部局域网访问外部的Internet。
路由器实现的地址转换能够将网内用户发出的报文的源地址全部映射成一个接口的地址。
与按需拨号相结合,使局域网内用户通过一台路由器即可轻松上网。
IPSEC和IKE技术结合使用,有效的提供了在Internet网络上进行数据加密、数据防伪的功能。
IPSec(IPSecurity)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。
IPSec通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)这两个安全协议来实现。
而且此实现不会对用户、主机或其它Internet组件造成影响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。
Internet密钥交换协议(IKE)用于通信双方协商和建立安全联盟,交换密钥。
IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。
IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列数据的交换,通信双方最终计算出共享的密钥,并且即使第三方截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
虚拟私有网(VirtualPrivateNetwork)简称为VPN,是近年来随着Internet的发展而迅速发展起来的一种技术。
现代企业越来越多地利用Internet资源来进行促销、销售、售后服务、培训和合作等活动。
许多企业趋向于利用Internet来替代它们的私有数据网络。
相对于企业原有的Intranet,这种利用Internet的虚拟链路来传输私有信息而形成的逻辑网络就称为虚拟私有网。
VPN的一个核心技术就是“隧道技术(tunneling)”,这种技术的主要思想是要将一种类型网络的数据包通过另一种类型网络进行传输。
二层隧道是建立在链路层的隧道,三层隧道是建立在网络层的隧道。
安全接入Internet
利用Quidway路由器提供的安全技术,可以使内部局域网用户安全的访问Internet。
基于接口的包过滤,并可以在进、出方向上分别设置;
可以为特殊的时间段定义特殊的包过滤规则,实现与时间相关的访问需求;
内部网络的用户可以通过地址转换访问Internet,内部地址对外屏蔽;
外部不能直接访问内部网络;
可以通过地址转换向外提供WWW、FTP等服务,避免内部服务器直接受到攻击;
日志主机可以记录网络运行情况,便于用户的安全分析与管理。
构建安全的虚拟私有网
利用Quidway路由器提供的隧道技术结合数据加密技术,可以构建安全的虚拟私有网(VPN)。
出差员工可以通过当地的Internet接入到公司总部;
办事处及分支机构通过GRE或IPSec实现与总部间的互联,对数据采取加密传输。
升级会员 