【精品】网络安全和防火墙.ppt(港周线波形梁护栏、钢筋混凝土护栏...76.ppt

网络安全和防火墙,CIW认证的网络安全分析师课程讲师（CI）,刘强,CIW网络安全认证体系,Instructor,Security Analyst,Security Professional,Foundation,MCSE,CCNA/CCNP,时间表,Day 1什么是安全?安全要素应用加密攻击类型分析通用安全要素,时间表,Day 2协议层安全保护资源防火墙技术原理与应用防火墙设计与规划检测并迷惑黑客事件响应,Lesson 1:什么是安全?,目标,安全的定义网络安全的需求标识需要保护的资源标识常见的安全威胁类型,什么是安全?,网络安全 识别并消除威胁和攻击的能力是一个持续的过程涉及Internet的安全,黑客的行为统计,CERT(计算机安全紧急响应中心)统计近期，黑客活动频率上升势头猛、破坏所造成的经济损失逐渐加大大多数的公司遭受攻击的情况仍然频繁发生,风险何处来?,很多的站点对外提供黑客工具教授如何使用黑客工具扫描网络决定攻击目标导致网络服务器的崩溃破坏网络设备和功能突破验证和加密防护()一个建议访问的网址,百分百安全的神话,没有绝对的安全安全即寻求平衡使用有效的方案但不能加重合法用户的访问负担,订制一个有效的安全矩阵,安全矩阵使用所有的安全设备和组件来保护一个公司的网络安全.有效的安全系统规则允许访问控制方便用户使用适当的经济开销可扩展性和可升级性报警和日志分析能力,你将尝试保护什么？,用户终端被雇员使用的终端计算机威胁:病毒,特洛伊木马,Active X控件,Java Applet网络资源路由器,交换机,配线室威胁:IP欺骗,系统窃听服务器资源DNS,WEB,Email,FTP 服务器等威胁:未验证侵入,拒绝服务,特洛伊木马信息数据资源人力资源和电子商务数据库威胁:获得商业秘密和竞争者资料数据,谁是安全威胁者?,黑客的分类偶然的攻击者坚定的攻击者商业间谍,安全标准,ISO 7498-2 安全体系安全服务认证访问控制数据的保密性数据的完整性不可否认性安全机制特殊的安全机制(一次性口令系统和Kerberos认证等通用的安全机制,Lesson1 总结,有效的安全矩阵结构你尝试保护的资源三种类型的黑客安全标准,Lesson 2:安全要素,目标,安全有效的安全策略构成要素标识用户认证方法解释访问控制方法的需求描述 ACL 和 ECL罗列三种主要的网络加密类型解释审核的需求,安全基本要素,Corporate Security Policy,User Authentication,安全策略,成功的安全策略的要素建立有效的安全策略系统资源分类(level1,level2,level3)区分不同资源定义风险指数定义可接受和不可接受的行为定义资源安全防护的方法定义安全教育问题决定谁管理哪部分策略,加密,加密种类 对称加密、非对称加密和哈希加密加密是如何实现的?数据机密性（数字信封）数据完整性(哈希)验证(数字签名)怒棵否认性(数字签名)决定加密强度的三大要素:算法的强壮性密钥的保密性密钥的长度(书2-16):密钥破解时间表,认证,认证方法what you know(密码认证)what you have(智能卡、数字证书)who you are(指纹和视网膜认证)where you are(rlogin,rsh时的源地址),特殊的认证技术,Kerberos(RFC 1519)One-time passwords(RFC 1938),访问控制,访问控制列表(ACL)访问控制选项(ECL)练习 书2-27,审核,被动审核非实时性审核主动审核结束一个会话阻止访问某一特殊主机追踪非法行为,安全的反面因素,增加访问系统和使用系统的复杂性减缓系统的响应时间,Lesson2 总结,安全策略加密类型认证技术审核技术,Lesson 3:应用加密,目标,使用公钥技术创建信任关系对称加密技术、非对称加密技术和哈希加密技术原理在Windows2000和Linux中部署PGP,创建信任关系,对称、非对称和哈希加密公钥加密技术模型分发密钥手工分发:S/MIMI,PGP自动分发:SSL,IPSec,对称加密模型,对称加密技术,对称加密算法DES(数据加密标准)Triple DES RSA 公司的对称算法RC2 and RC4(最为经常使用的算法)RC5RC6Lotus Notes,Oracle,SQL 使用 RC4 IDEABlowfish(448位密钥)and TwofishSkipjackMARSRijndael and Serpen,非对称加密模型,非对称加密技术,非对称加密产品RSADSA(Digital Signature Algorithm)Diffie-HellmanKey-exchange protocol,哈希加密,定义将数据转换为不可逆的数据形式特点单向变长输入，定长输出哈希算法MD2,MD4 and MD5(Message Digest N)创建 单向的消息摘要Secure hash algorithm:SHA(160位),应用加密过程,对称加密、非对称加密和哈希加密的联合E-mail 加密PGP,S/MIME文件加密Md5sumWeb 服务器加密Secure HTTP SSL(Secure Sockets Layer),应用加密过程,网络层加密VPN(虚拟专用网络):PPTPIPSecAH(验证头)ESP(加密安全负荷)SA(安全联合)IKE(Internet 密钥交换),公钥基础架构(PKI),PKI 是基于X.509 标准的授权机构(CA)CA 颁发的证书,Use of a Certificate to Encrypt,Use of a Certificate to Decrypt,Lesson 4:攻击类型,课前练习,书3-22书3-30书3-50书3-61,目标,描述常见的攻击烈性描述特殊的攻击类型,前门和蛮力攻击,字典攻击用户自定义化的蛮力攻击John the Ripper形式的攻击,系统漏洞和后门攻击,一个程序设计中的漏洞将会导致严重的后果缓冲区溢出后门是一个非法打开的访问途径Root kits攻击,社会工程和非直接性攻击,命令索要或请求索要密码欺骗性的电子邮件拒绝服务攻击病毒、系统BUG和服务漏洞,社会工程和非直接性攻击,欺骗IP 欺骗,ARP 欺骗,DNS中毒Trojans特洛伊木马信息泄露会话劫持和中间人攻击,Lesson 5:通用安全准则,目标,描述有效实现网络安全通用准则使用通用安全准则创建一个系统安全策略,10 个通用准则,偏执狂必须有一个安全策略没有任何系统或技术是孤立的最小化遭受攻击后的破坏程度在公司范围内强制执行策略,10 个通用准则,为员工提供培训终端用户、网络管理员和行政管理人员使用综合化的安全策略安全地放置网络设备识别安全商业问题考虑物理安全问题,Lesson 6:协议层安全,目标,标识不同的协议层的潜在威胁,TCP/IP协议栈和OSI参考模型,Application,Presentation,Session,Transport,Network,Data link,Physical,用户程序,TCP&UDP,IP,ICMP,Physical,Applications,操作系统或IP栈,外围和网络设备,物理层,组织信号在网络上发送（比特流、编码方式）威胁:窃听和嗅探保护:加密,数据标签,波扰器,网络层,提供寻址和路由的功能IP,ICMP,IGMP,ARP,RARPInternet Protocol(IP)32-bit,唯一性,分为网络位和主机位头长(20bytes):信息和控制区域威胁:Smurf 拒绝服务攻击Internet Control Message Protocol(ICMP)差错检测和信息控制威胁:TFN泛洪,保护:防火墙和系统补丁,传输层,控制主机见的信息传送TCP,UDP 协议TCP 标志位:SYN,FIN,ACK（FTP,HTTP.）建立连接的过程断立连接的过程TCP 威胁:SYN 泛洪UDP:传输协议(用于视频、声频、DNS查询、TFTP等)端口号(IANA定义)Web(80),FTP(20,21),DNS(53),.Well-known(reserved)ports:1024Registered ports:1024,应用层,最难保护的层次Simple Mail Transfer Protocol(SMTP)威胁:垃圾邮件邮件中的病毒和木马程序用户名的泄露保护:邮件病毒过滤网关使用安全的SMTP协议对用户进行教育,应用层,File Transfer Protocol(FTP)威胁:通过上传添满所有的磁盘空间拷贝盗窃来的软件用户名和密码使用明文传输保护:仅允许匿名连接放置FTP数据在一个单独的分区上Hypertext Transfer Protocol(HTTP)威胁:恶意的active X 和Java applet扩展的应用程序(Java,CGI,ASP.),Application Layer(2),Telnet威胁:明文传输所有数据Simple Network Management Protocol(SNMP)仅使用团体名称进行验证明文传输所有信息威胁:团体名猜测信息泄露Domain Name System(DNS)威胁:区域文件传输DNS中毒技术保护:防火墙阻止对外的区域传送规划只允许将区域文件传诵给特定主机,Lesson 7:保护资源,课前练习,书6-17书6-19书6-20,目标,始终应用安全策略使用C2以上级别的系统保护 TCP/IP 服务,包括HTTP 和 TCP描述测试的重要性并且评估系统和服务,实现安全保护,五个步骤(书7-3)区别资源和需求定义安全策略保护每一个资源和服务日志记录、测试和评估重复这个过程，保护最新的安全,资源和服务,通过各种技术来保护资源和服务保护数据不被嗅探适时调整方法和技术通过更改默认设置来保护服务移除没必要的服务,保护TCP/IP服务,最通用的Internet服务:HTTP,FTP,SMTP 服务器 Web服务器的安全 在操作系统上为硬盘分区.把操作系统安全放在第一个分区把Web服务放在第二个分区把主目录放在第三个分区通用网关接口(CGI):威胁:信息泄露间接执行系统命令方案:书写安全的 CGI脚本,保护TCP/IP服务,File Transfer Protocol servers(FTP)(书7-19)威胁:填充硬盘(DoS)解决方案:放置FTP主目录在非系统分区只允许只读访问访问控制变换文件所有者 Simple Mail Transfer Protocol(SMTP)威胁:Internet蠕虫和病毒解决方案:安全网络级病毒扫描软件实施认证控制,测试和评估,测试已存在的系统用黑客的方法测试你的网络参考服务器日志记录不要变成一个自满者,实现一个安全新系统,实现一个安全新系统拷贝相同的系统策略放置系统在不同的子网模拟正常的网络环境用黑客常规攻击方式测试这个新系统,检测软件,优点:方便的,自动的 劣势:不能发现新的漏洞问题三个主要的测试工具种类:网络扫描器操作系统版本识别记录并分析日志,Lesson 8:防火墙,目标,定义和描述防火墙描述防火墙在安全策略中的角色定义描述通用防火墙专业术语描述包过滤和他们的特性描述链路级网关和他们的特性描述并且配置一个应用级网关,定义并描述一个防火墙,防火墙用于阻止带有潜在恶意的数据电报,就像一道隔在你和户外之间的门防火墙控制从外网到内网之间的整个区域,防火墙术语,网关在两个设备之间提供了中继服务的系统包过滤器基于包的结构处理网络数据包的设备链路级网关防火墙的功能被两种主机角色分开:屏蔽路由器+应用层防火墙保护两个防火墙之间的连接优点:在攻击发生的时候提供一个默认的容错可以提供NAT功能,防火墙术语,应用层网关作用于OSI参考模型的每一个层次代理服务器：代表内部主机连接外部服务器网络地址转换(NAT)NAT 转换内部IP为公网IP可以使内部主机地址对外隐藏堡垒主机位于可信网络与非可信网络之间的计算机通常充当一个代理、防火墙、网关的角色和功能操作系统加固安装了防火墙程序后删除所有没有用或不应该使用的存在潜在安全威胁的网络,非军事区(DMZ),DMZ是一个放置在外部网络和内部网络之间的小型网络通过一个屏蔽路由器和一个阻塞路由器构成屏蔽路由器=包过滤路由器它是实现对外路由的阻塞路由器(内部路由器)定义了一个公网可以访问公司内部网络的一个点，反之亦然,防火墙的默认配置,默认禁止，除非明确允许默认允许，除非明确禁止,包过滤,一个根据预先订制的规则检查每一个通过的数据包的设备工作在OSI/RM的网络层检查内容:源 IP地址目标 IP 地址TCP/UDP 源端口TCP/UDP 目标端口协议类型,包过滤规则示例,-Telnet packet filter,包过滤规则示例,-FTP filter rules,包过滤规则示例,-FTP advanced filter rule,包过滤的优势与不足,优势:可以在现有的网络设备上实现，绝大多数的路由器支持包过滤功能不足:不能够区别好的或坏的数据包配置要求具备较深的TCP/IP知识不得不创建大量规则容易遭受欺骗攻击流行的包过滤产品:CheckPoint FireWall-1Cisco PIX firewallsWinroute,代理服务器,三个基本的组成:Web 代理链路级 网关应用层 网关,Web 代理,优点:加速Internet访问客户端将不再直接连接到Internet,链路级网关,工作在OSI参考模型的网络层 在Internet和Intranet间提供了一个完全的屏蔽产品:SOCKS gateways(IBM)优势:具备类似NAT的功能缺点:当应用程序发生了变化，网关也要同时放生相应的变化,应用层网关,在OSI参考模型的应用层监视数据包 推荐代理导向防火墙Axent Raptor FirewallMicrosoft Proxy Server优势:具备NAT的功能日志记录和报警能够高速缓存数据可以进行应用层协议内容分析可以是正向代理和反向代理叫少的配置规则,应用层网关,代理导向的防火墙的缺点:不得不为每一个应用层协议创建分别一个安全规则客户端需要配置新的应用不能及时提供代理软件不能检测病毒速度较慢,先进的功能,大多数的防火墙系统可以合并包过滤、链路级网关和应用层代理三大功能额外的功能:通过防火墙令牌实现认证日志记录并报警,Lesson 9:防火墙保护的等级,目标,规划一个具备各级保护的防火墙系统描述四个防火墙设计结构的安全保护程度建立一个包过滤防火墙,建立防火墙,当你建立你的堡垒主机的时候要格外小心！因为它将直接连接公网设计原则:保持设计的简单性采用最少的组件构成创建应急计划当防火墙当掉了你应该做什么？,堡垒主机的类型,单屏蔽堡垒主机一个只具备一个网络适配器的代理有可能被绕过双屏蔽堡垒主机至少具备两个网络借口可以创建完整的阻塞单目的堡垒主机可以是一台湖哦多台堡垒主机允许你实现更安全的安全机制,硬件问题,在大多数情况下,普通的硬件对于一个防火墙已经足够了选择一个你最为熟悉的防火墙软件移除任何你不需要的应用程序、服务（守护进程）,通用防火墙设计问题,首先，你应该在物理上保护你的防火墙选择四个基本的防火墙设计:屏蔽路由器单屏蔽主机双屏蔽主机屏蔽子网,通用防火墙设计问题,屏蔽路由器防卫的第一线可以用能够实现包过滤的路由器担当缺点:需要高度的 TCP/IP 知识一旦路由器被攻击，黑客将可以直接访问内部网络不能隐藏网络信息没有很好的监视和日志功能,通用防火墙设计问题,单屏蔽主机防火墙屏蔽路由器+单宿主堡垒主机优势:增加更多的保护缺点:增加了管理成本并降低了系统性能影响内部用户,通用防火墙设计问题,双屏蔽主机防火墙有两块网络适配器的堡垒主机优势:实现了一个完全的物理阻隔,通用防火墙设计问题,屏蔽子网(DMZ)最为常用和最为安全的防火墙结构 优势:黑客必须至少攻下3个安全网络设备内部网络对外是完全不可见的内部用户不能够绕过防火墙,Lesson 10:检测和迷惑黑客,目标,订制策略去应对黑客的攻击行为实现提前的准备工作迷惑黑客并且牵制黑客的行为随时检测网络的安全状态在Linux上部署Tripwire,提前检测,自动安全检测软件登陆脚本自动审核分析完整性检测,迷惑黑客,假帐号假文件假密码文件Tripwires和自动完整性检测,Lesson 11:紧急响应,目标,适当地响应安全入侵事件联系一些著名的安全组织，以便在受到入侵的时候能够迅速得到帮助和技术支持多访问一些安全紧急响应中心的站点,事件响应,提前决策响应办法不要自满记录每一样事物评估遭受入侵的情形确定被入侵的范围执行响应计划通知受影响的单位个人统治服务提供者统治Internet代理商集体执行安全计划分析并借鉴经验教训,