第六章网络安全专题.docx

1、第六章 网络安全专题第6章 网络安全专题项目一 典型防范措施预备知识1.防火墙知识；2.常用杀毒软件知识；3.数学知识。技能目标1.学习防火墙、入侵检测、数据加密、一次性口令身份证认证技术的概念；2.掌握防火墙操作；3.掌握入侵检测操作；4.会对数据进行加密。项目案例随着互联网的不断发展，有很多中小企业网络瘫痪，信息交流完全中断；计算机无法使用，成为一堆高科技的废铁；日常办公回到手工时代，严重的甚至正常运作被迫中止那么，如何解决以上问题呢？小孟想，如果能从互连网入口处来对网络进行监控，御敌于内网之外，岂不更好！于是他就请教张主任，张主任带领小孟参观了信息中心，小孟看到了好多先进的设备，大开眼界

2、！于是张主任就防火墙、入侵检测系统、数据加密、一次性口令身份证认证技术等概念进行了进一步的阐述。6.1 防火墙技术随着互联网应用领域迅速扩大，应用人员不断增多，随之而来的安全问题日益突出。特别是越来越多的内部网与互联网互联，更为非法侵入他人系统、窃取他人机密、破坏他人系统等恶性行为提供了可能，如果不采取必要的安全措施，后果将不堪设想。为此人们研发了许多安全技术和设备，防火墙技术就是近年来提出并推广的一项网络安全技术。6.1.1 防火墙基本知识1. 防火墙概念防火墙的本义原是指：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生，这种墙被称之为防火墙。防火墙是一种形象的说法，

3、其实它是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。如图6-1-1所示。 图6-1-1 防火墙逻辑位置结构示意图2. 防火墙的主要功能防火墙是内部网与外部网之间的一个保护屏障，是内、外网之间所有信息的必经之地，它通过检测、限制、更改所有流入流出的数据流，保护内部网络免受非法入侵。一般情况下，防火墙应具备以下功能。(1)控制不安全的

4、服务防火墙可以过滤不安全服务，降低内网受到非法攻击的风险，只有经过授权的协议和服务才能通过防火墙访问内网，因此安装防火墙能够大大提高网络的安全程度。(2)控制访问站点防火墙可以提供对站点的访问控制，限定允许外部网络访问的主机。大部分内网仅允许外网访问电子邮件服务器、文件传输服务器和WWW服务器，其他主机则靠防火墙封闭。(3)集中式安全保护使用了防火墙后，所有或大多数需要修改的软件和附加的安全控制软件都可以放在防火墙上，对于一次性密码口令系统或其他身份验证的软件，放在防火墙上往往比放在主机系统上更好。(4)增强私有资源的保密性对私有信息资源加强保护十分必要，因为，越是被认为平常的信息越有可能被攻

5、击者利用，成为攻击的线索。使用防火墙后，站点可以封锁控制某些显示用户信息的服务，防止服务信息泄露。(5)网络记录功能如果将防火墙配置为与内部网连接都需要经过安全系统，那么防火墙会记录每次的往返访问，网管人员就可以通过日志对一些可能的攻击行为进行分析。防火墙还能提供信息流量、网络使用率等有价值的统计数字。3. 防火墙的分类按产品形式防火墙大致可以分为两类：硬件防火墙和软件防火墙。硬件防火墙用途广泛，但价格偏高；软件防火墙功能单一，价格较低。根据技术特征防火墙可分为：包过滤、网络地址转换、代理服务、状态监视技术防火墙和混合型防火墙。从用户的角度看防火墙可以分为企业防火墙和个人防火墙两种。一般情况下

6、，企业防火墙以硬件防火墙为主，辅以软件防火墙进行检测，个人防火墙属于软件防火墙。6.1.2 防火墙技术1. 包过滤技术包过滤技术是在网络层对数据包实施有选择的通过。根据流经防火墙的数据包头信息，决定是否允许该数据包通过。创建包过滤规则时，应考虑以下问题：(1)打算提供何种网络服务，并以什么方向提供这些服务？(2)需要限制任何内部主机与因特网连接的能力吗？(3)因特网上是否有可信任的主机，可以某种形式访问内部网络吗？数据包过滤一般要检查网络层的IP头和传输层的头，具体包括以下内容：(1)IP源地址(2)IP目标地址(3)协议类型（TCP包、UDP包和ICMP包）(4)TCP或UDP包的目的端口(

7、5)TCP或UDP包的源端口(6)ICMP消息类型(7)TCP包头的ACK位(8)TCP包的序列号、IP校验和等包过滤技术的优点是： 速度快，性能高；对用户透明。缺点是：维护比较困难(需要对TCP/IP了解)；安全性低（IP欺骗等）；不提供有用的日志，或根本就不提供；不防范数据驱动型攻击；不能根据状态信息进行控制；不能处理网络层以上的信息；无法对网络上流动的信息提供全面的控制。2. 网络地址转换技术目前合法的IP地址已经远远不够使用，许多公司内部使用的都是内部的IP地址，无法直接与外界相连。防火墙能够将内部使用的IP地址与对外真正的IP做转换，使内部的IP无需变动，也能够与外界相通。如图6-1

8、-2所示。 图6-1-2 NAT(Network Address Translation)示意图防火墙提供一对一及多对一的地址转换，可保护及隐藏内部网络资源并减少由于架设网络防火墙所引起的IP地址变动，方便网络管理，并可以解决IP地址不足的问题。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户；同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。这样做的好处是：缓解IP地址匮乏问题；对外隐藏了内部主机的IP地址，提高了安全性。3. 代理服务技术代理服务的条件是具有访

9、问因特网能力的主机才可以作为那些无权访问因特网的主机的代理，这样使得一些不能访问因特网的主机通过代理服务也可以完成访问因特网的工作。代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网，将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个代理服务器上的“链接”来实现。外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。如图6-1-3所示。 图6-1-3 代理实现的基本过程代理服务可分为应用级代理与电路级代理。应用级代理是已知代理服务向哪一种应用服务提供的代理，它在应用协议中理解并解释命令。应

10、用级代理的优点为它能解释应用协议从而获得更多的信息，缺点为只适用于单一协议。电路级代理是在客户和服务器之间不解释应用协议即建立回路。电路级代理的优点在于它能对各种不同的协议提供服务，缺点在于它对因代理而发生的情况几乎不加控制。代理服务具有以下优点：(1)代理易于配置。代理因为是一个软件，所以它比过滤路由器容易配置，配置界面十分友好。如果代理实现得好，对配置协议要求较低，从而避免了配置错误。(2)代理能生成各项记录。因代理在应用层检查各项数据，所以可以按一定准则让代理生成各项日志、记录。这些日志、记录对于流量分析、安全检验十分重要和宝贵。(3)代理能灵活、完全地控制进出信息。通过采取一定的措施、

11、按照一定的规则，可以借助代理实现一整套的安全策略，控制进出的信息。(4)代理能过滤数据内容。可以把一些过滤规则应用于代理，让它在应用层实现过滤功能。(5)代理能为用户提供透明的加密机制。用户通过代理进出数据，可以让代理完成加密、解密的功能，从而方便用户，确保数据的机密性。这一点在虚拟专用网VPN中特别重要。代理可以广泛地用于企业外部网中，提供较高安全性的数据通信。代理服务的缺点：(1)代理速度比路由器慢。路由器只是简单查看TCP/IP报头，检查特定的几个域，不作详细分析、记录。而代理工作于应用层，要检查数据包的内容，按特定的应用协议对数据包内容进行审查、扫描，并进行代理（转发请求或响应），故其

12、速度比路由器慢。(2)代理对用户不透明。许多代理要求客户端作相应改动或定制，这给用户增加了不透明度。为内部网络的每一台主机安装和配置特定的客户端软件既耗费时间，又容易出错。(3)对于每项服务，代理可能要求不同的服务器。可能需要为每项协议设置一个不同的代理服务器，挑选、安装和配置所有这些不同的服务器是一项较大的工作。(4)代理服务通常要求对客户或过程进行限制。除了一些为代理而设的服务，代理服务器要求对客户或过程进行限制，每一种限制都有不足之处，人们无法按他们自己的步骤工作。由于这些限制，代理应用就不能像非代理应用运行得那样好，相比之下要缺少一些灵活性。(5)代理服务受协议弱点的限制。每个应用层协

13、议，都或多或少存在一些安全问题，对于一个代理服务器来说，要彻底避免这些安全隐患几乎是不可能的，除非关掉这些服务。(6)代理不能改进底层协议的安全性。因为代理工作于TCP/IP之上，属于应用层，所以它不能改善底层通信协议的安全性。4. 状态检测技术状态检测原理：对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要是符合状态表，就可以通过。监测引擎是一个在防火墙上执行网络安全策略的软件模块 。监测引擎采用抽取有关数据的方法对网络通信的各层（网络层之上）实施监测，抽取状态信息，并动态地保存起来作为以后

14、执行安全策略的参考。当用户访问请求到达防火墙时，监测引擎要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、报警等处理动作。如图6-1-4所示。状态检测的优点：(1)提供了完整的对传输层的控制能力；(2)使防火墙性能得到较大的提高，特别是大流量的处理能力；(3)而且，它根据从所有应用层中提取的与状态相关信息来做出安全决策，使得安全性也得到进一步的提高。状态检测的缺点： (1)会降低网络速度；(2)配置比较复杂。图6-1-4 状态检测示意图6.1.3 防火墙体系结构目前，防火墙的体系结构一般有以下几种： 双重宿主主机结构 被屏蔽主机结构 被屏蔽子网结构1. 双重宿主主机结构双重宿主主机

15、体系结构是围绕双重宿主主机构筑的。双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。在这种结构下，外部网络与内部网络之间不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。 这种结构一般用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与内部网络和外部网络相连。堡垒主机上运行了防火墙软件，可以转发应用程序、提供服务等。如图6-1-5所示。图6-1-5 双重宿主主机体系结构双宿主机防火墙优于屏蔽路由器之处是：堡垒主机的系统软件可用于维护系统日志，这对于日后的安全检查很有用。但

16、这并不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。双宿主机防火墙的一个致命弱点是：一旦入侵者侵入堡垒主机并使其具有路由功能，则任何外网用户均可以随便访问内网。堡垒主机是用户的网络上最容易受侵袭的机器，要采取各种措施来保护它。设计时有两条基本原则：第一，堡垒主机要尽可能简单，保留最少的服务，关闭路由功能。第二，随时做好准备，修复受损害的堡垒主机。2. 屏蔽主机结构屏蔽主机结构(Screened Host Gateway)，又称主机过滤结构。屏蔽主机结构易于实现也很安全，因此应用广泛。例如，一个单独的屏蔽路由器连接外部网络，同时一个堡垒主机安装在内部网络上，如图6-1-6所示。通常在路由器

17、上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，确保内部网络不受未授权外部用户的攻击。在屏蔽路由器上的数据包过滤是按这样一种方法设置的：堡垒主机是外网主机连接到内部网络的桥梁，并且仅有某些确定类型的连接被允许。任何外部网络如果要试图访问内部网络，必须先连接到这台堡垒主机上。因此，堡垒主机需要拥有高等级的安全。在屏蔽的路由器中数据包过滤可以按下列之一配置：(1)允许其他的内部主机为了某些服务与外网主机连接；图6-1-6 屏蔽主机体系结构(2)不允许来自内部主机的所有连接。用户可以针对不同的服务混合使用这些手段：某些服务可以被允许直接经由数据包过滤，而其他服务可以被允许仅仅间接

18、地经过代理。这完全取决于用户实行的安全策略。因为这种结构允许数据包从因特网向内部网络传输，所以，它看起来要比没有外部数据包到达内部网络的双重宿主主机结构更冒险。但实际上双重宿主主机结构在防备数据包从外部网络进入内部网络也容易产生失败，多数情况下，屏蔽主机结构比双重宿主主机结构具有更好的安全性和可用性。屏蔽主机结构的缺点主要是：如果侵袭者有办法侵入堡垒主机，而且在堡垒主机和其他内部主机之间没有任何安全保护措施的情况下，整个网络对侵袭者是开放的。3. 屏蔽子网结构屏蔽子网结构(Screened Subnet)，也称为子网过滤结构。屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保

19、护体系周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。堡垒主机是用户网络上最容易受侵袭的机器，通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。即使堡垒主机被入侵者控制，周边网络仍可消除对内部网的侦听。如图6-1-7所示。屏蔽子网结构由以下部分构成：(1)周边网络：周边网络是在外部网络与内部网络之间附加的网络。如果侵袭者成功地侵入用户防火墙的外层领域，周边网络在侵袭者与内部用户之间提供一个附加的保护层。图6-1-7 屏蔽子网体系结构在许多网络拓扑结构

20、（如以太网、令牌环和FDDI）中，利用网络上的任何一台机器都可以查看这个网络上的通信。探听者可以通过查看那些在Telnet、FTP以及Rlogin会话期间使用过的口令，成功地探测出用户口令。即使口令没被攻破，探听者仍然能偷看敏感文件、电子邮件等。对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。而在两台内部主机之间的通信不能越过周边网，所以，内部的通信仍是安全的。(2)堡垒主机：在屏蔽子网结构中，用户把堡垒主机连接到周边网，这台主机便是接受外部连接请求的主要入口。例如： 对于进来的电子邮件(SMTP )会话，传送电子邮件到站点。 对于进来的FTP连接，连接到站点的匿名F

21、TP服务器。另一方面，其出站服务（从内部的客户端到在Internet上的服务器）按如下任一方法处理： 在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。 设置代理服务器在堡垒主机上运行，允许内部的客户端通过代理服务器间接地访问外部的服务器，但是禁止内部的客户端与外部网络之间直接通信（即拨号入网方式）。(3)内部路由器：内部路由器（也称为阻塞路由器）位于内部网络和周边网络之间，保护内部网络免受来自Inernet和周边网的侵袭。内部路由器为用户的防火墙执行大部分的数据包过滤工作，允许从内部网到Internet的有选择的出站服务。内部路由器可以规定在堡垒主机和内部网之间的服

22、务与在Internet和内部网之间的服务有所不同。限制堡垒主机和内部网之间服务是为了减少来自堡垒主机的侵袭。(4)外部路由器：外部路由器（也称为访问路由器）位于周边网络和Internet之间，保护周边网和内部网免受来自Internet的侵袭。包过滤规则在内部路由器和外部路由器上基本一样；如果在规则中有允许侵袭者访问的错误，错误就可能出现在两个路由器上。外部路由器能有效阻止从Internet上伪造源地址进来的任何数据包，这是内部路由器无法完成的任务。6.1.4 防火墙的发展过程防火墙的发展经历了以下四个过程：基于路由器的防火墙；用户化的防火墙工具套件；建立在通用操作系统上的防火墙；具有安全操作系

23、统的防火墙。1. 第一代：基于路由器的防火墙基于路由器的防火墙也称为包过滤防火墙，其特征是：以访问控制表方式实现分组过滤；过滤的依据是IP地址、端口号和其它网络特征；只有分组过滤功能，且防火墙与路由器一体。这种防火墙的缺点是：路由协议本身具有安全漏洞；路由器上的分组过滤规则的设置和配置较复杂；攻击者可假冒地址。其本质缺陷是：防火墙的设置会大大降低路由器的性能。2. 第二代：用户化的防火墙工具套件这种防火墙的特征是：将过滤功能从路由器中独立出来，并加上审计和告警功能；针对用户需求提供模块化的软件包；安全性提高，价格降低；纯软件产品，实现维护复杂。缺点：配置和维护过程复杂费时；对用户技术要求高；全

24、软件实现，安全性和处理速度均有局限。3. 第三代：建立在通用操作系统上的防火墙建立在通用操作系统上的防火墙是近年来在市场上广泛可用的一代产品。特征：包括分组过滤或借用路由器的分组过滤功能；装有专用的代理系统，监控所有协议的数据和指令；保护用户编程空间和用户可配置内核参数的设置；安全性和速度大为提高。实现方式：软件、硬件及软硬结合。存在的问题是：作为基础的操作系统及其内核的安全性无从保证；通用操作系统厂商不会对防火墙的安全性负责。从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统漏洞的攻击。用户必须依赖两方面的安全支持：防火墙厂商和操作系统厂商。4. 第四代：具有安全操作系

25、统的防火墙防火墙厂商具有操作系统的源代码，并可实现安全内核；对安全内核实现加固处理：即去掉不必要的系统特性，强化安全保护；对每个服务器、子系统都作了安全处理；在功能上包括分组过滤、代理服务，且具有加密与鉴别功能；透明性好，易于使用。5. 防火墙的争议和不足(1)使用不便，认为防火墙给人虚假的安全感；(2)对用户不完全透明，可能带来传输延迟、瓶颈及单点失效；(3)不能替代防火墙内的安全措施： 不能防范来自内部的攻击； 不能防范不通过它的连接； 不能防范利用标准协议缺陷进行的攻击； 不能有效地防范数据驱动式的攻击； 不能阻止被病毒感染的程序或文件的传递； 不能防范策略配置不当或错误配置引起的安全威

26、胁； 不能防范本身安全漏洞的威胁。6.1.5 选购防火墙需考虑的因素选购防火墙时应考虑以下因素：(1)防火墙自身的安全性：主要体现在系统自身设计方面。(2)系统的稳定性 从权威的测评认证机构获得； 实际调查该防火墙的使用量、用户评价； 自己试用； 厂商实力、研制历史。(3)高性能：从性能指标判断。(4)可靠性：设计的可靠性及冗余度。(5)管理配置方便、简单：从提供的管理配置界面及方法上看。(6)是否可以抵抗拒绝服务攻击。(7)是否可以针对用户身份过滤：目前常用的是一次性口令验证机制, 保证用户在登录防火墙时,口令不会在网络上泄露。(8)是否可扩展、可升级。(9)布署方便性：支持透明、路由及混合

27、模式。6.2 入侵检测技术当前广泛使用的网络安全产品多具有被动防御的弱点，对有大量异常网络流量的网络攻击先兆熟视无睹，错过了最佳的防御时机。入侵检测系统是变被动防御为主动防御的安全防护产品，它能对网络的运行状态进行实时监控，及时发现入侵征兆并进行具体的分析，及时干预、阻止攻击行为。6.2.1 入侵检测基本知识1. 入侵检测概念入侵：是指对信息系统的未授权访问及（或）未经许可在信息系统中进行操作。这里，应该包括用户对于信息系统的误用。入侵检测：是指对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或

28、系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(IDS，Intrusion Detection System)，是完成入侵检测功能的软件、硬件及其组合，是一种能够通过分析系统安全相关数据来检测入侵活动的系统。IDS是安全体系的一种防范措施，需要更多的智能。是近十余年发展起来的一种监控、预防或抵御系统入侵行为的动态安全技术。是防火墙之后的第二道安全闸门，不仅可以检测来自外部的攻击，同时也可以监控内部用户的非授权行为。图6-2-1 入侵检测系统示意图形象地说，入侵检测系统就是一台网络摄象机，如图6-2-1所示，能捕获并记录网络上的所有数据；同时它也是智能摄象机，能够分析网络数据并提炼出

29、可疑的、异常的网络数据；它还是X光摄象机，能穿透一些巧妙的伪装，抓住实际的内容。另外，它还不仅仅只是摄象机，还包括保安员的摄象机。2. 入侵检测系统的主要功能入侵检测系统不但可使系统管理员时刻了解网络系统的变更，还能为网络安全策略的制定提供指南。入侵检测系统的功能应达到能根据网络威胁、系统构造和安全需求的改变而改变，在发现入侵时，及时做出响应，包括切断网络连接、记录事件和报警等，同时系统应易于管理、配置和升级。通常入侵检测系统的主要功能有：(1)监测并分析用户和系统的活动；(2)核查系统配置和漏洞；(3)评估系统关键资源和数据文件的完整性；(4)识别已知的攻击行为；(5)统计分析异常行为；(6

30、)对操作系统进行日志管理，并识别违反安全策略的用户活动；(7)针对已发现的攻击行为作出适当的反应，如告警、中止进程等。3. 入侵检测系统的主要部件简介 信息流收集器：即信息获取子系统，用于收集来自于网络和主机的事件信息，为检测分析提供原始数据； 分析引擎：即分析子系统，是入侵检测系统的核心部分，用于对获取的信息进行分析，从而判断出是否有入侵行为发生并检测出具体的攻击手段； 用户界面和事件报告：即响应控制子系统，这部分和人交互，在适当的时候发出警报，为用户提供与IDS交互和操作IDS的途径； 特征数据库：即数据库子系统，存储了一系列已知的可疑或者恶意行为的模式和定义。图6-2-2 IDS各个组成

31、部分的逻辑图4. 入侵检测性能关键参数(1)误报(false positive)：检测系统在检测时把系统的正常行为判为入侵行为的错误被称为误报；检测系统在检测过程中出现误报的概率称为系统的误报率。(2)漏报(false negative)：检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏报；检测系统在检测过程中出现漏报的概率称为系统的漏报率。5. 入侵检测产品的选购原则目前，入侵检测产品很多，在选购过程中要注意以下基本原则：(1)能检测的攻击数量为多少，是否支持升级，升级是否方便及时。(2)最大可处理流量是多少，是否能满足网络的需要，注意不要产生网络的瓶颈。(3)产品应该不易被攻击者躲避。(4)提供灵活的自定义策略，用户能自定义异常事件。(5)根据需要选择基于百兆网络、基于千兆网络或基于主机的系统。(6)多数产品存在误报和漏报，要注意产品的误报和漏报率。(7)入侵检测系统本身的安全非常重要，必须有自我保护机制，防止成为攻击目标。(8)对网络的负载不能影响正常的网络业务，必须能对数据进行实时分析。(9)系统易于管理和维护。(10)特征库升级与维护的费用。(11)产品要通过国家权威机构的评测。由于用户的实际情况不同，因此用户需根据自己的安