网络与应用系统安全技术.ppt

第3章 网络与应用系统安全技术,第3章 网络与应用系统安全技术,【本章提要】Internet安全概述防火墙技术虚拟专用网入侵检测系统计算机病毒和计算机系统安全,3.1 Internet安全概述3.1.1 OSI模型概述,1.OSI模型概述,3.1.1 OSI模型概述,2.OSI模型与网络攻击（1）对OSI物理层的攻击（2）对OSI数据链路攻击（3）对OSI网络层的攻击（4）对OSI传输层的攻击（5）对OSI会话层的攻击（6）对OSI表现层的攻击（7）对OSI应用层的攻击 对应用层的攻击是目前最为严重的攻击,网络层安全,1.网络层的安全隐患 IP协议主要存在以下安全威胁：无法保证数据源的正确性；无法保证数据传输过程中的完整性；无法保证数据传输过程中的保密性,网络层安全,2.网络层安全卫士IPSec协议,应用层安全,如果确实想要区分一个具体文件的不同的安全性要求，那就必须借助于应用层的安全性。提供应用层的安全服务实际上是最灵活的处理单个文件安全性的手段。,3.2防火墙,3.2.1 防火墙概述 3.2.2 防火墙的关键技术 3.2.3 防火墙技术发展动态和趋势 3.2.4 防火墙系统的设计 3.2.5 选择防火墙的原则 3.2.6 主流防火墙产品介绍 3.2.7 防火墙应用举例,3.2.1 防火墙概述,1.防火墙的定义防火墙就是介于内部网络和不可信任的外部网络之间的一系列部件的组合，它是不同网络或网络安全域之间信息的唯一出入口，根据企业的总体安全策略控制（如允许、拒绝）出入内部可信任网络的信息流，而且防火墙本身具备很强的抗攻击能力，是提供信息安全服务和实现网络和信息安全的基础设施,3.2.1 防火墙概述,防火墙逻辑位置图,3.2.1 防火墙概述,2防火墙的功能（1）强化公司的安全策略（2）实现网络安全的集中控制（3）实现网络边界安全（4）记录网络之间的数据包,3.2.1 防火墙概述,3防火墙的扩展功能（1）减少可信任网络的暴露程度（2）实现流量控制（3）集成VPN功能（4）双重DNS（域名服务）服务 4防火墙的分类 可以分为数据包过滤型防火墙、代理服务型防火墙和状态检测型防火墙,防火墙的关键技术,1.分组过滤技术,防火墙的关键技术,1.分组过滤技术,防火墙的关键技术,2.代理服务器技术 代理的概念对于防火墙是非常重要的，因为代理把网络IP地址替换成其它的暂时的地址。这种执行对于互联网来说有效地隐藏了真正的网络IP地址，因此保护了整个网络。,防火墙的关键技术,代理服务器工作原理,防火墙的关键技术,电路层代理,防火墙的关键技术,3.状态检测防火墙技术 状态检测防火墙，试图跟踪通过防火墙的网络连接和分组，这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。,防火墙技术发展动态和趋势,（1）优良的性能（2）可扩展的结构和功能（3）简化的安装与管理（4）主动过滤（5）防病毒与防黑客,防火墙系统的设计,1屏蔽路由器体系结构,防火墙系统的设计,2双重宿主主机体系结构,防火墙系统的设计,3.被屏蔽主机体系结构,防火墙系统的设计,4.被屏蔽子网体系结构,选择防火墙的原则,（1）防火墙管理的难易度（2）防火墙自身是否安全（3）系统是否稳定（4）是否高效（5）是否可靠（6）功能是否灵活（7）是否可以抵抗拒绝服务攻击（8）是否可以针对用户身份过滤（9）是否可扩展、可升级,主流防火墙产品介绍,MicroSoft ISA2004 FirewallCheck Point Firewall-1 AXENT Raptor CyberGuard Firewall Cisco PIX Firewall NAI Gauntlet 东大阿尔派 天融信网络卫士,防火墙应用举例,1）ISA Server 2004的安装程序,防火墙应用举例,2）ISA Server 2004的安装界面,防火墙应用举例,3）选择典型安装,防火墙应用举例,4）指定内部网络地址,防火墙应用举例,4）指定内部网络地址,防火墙应用举例,5）允许运行早期版本,防火墙应用举例,6）单击安装,防火墙应用举例,2.配置ISA Server 2004服务器（1）网络规则,防火墙应用举例,（2）访问规则1）新建访问规则,防火墙应用举例,2）允许内部客户访问外部网络,防火墙应用举例,3）允许符合规则操作,防火墙应用举例,4）选择此规则应用范围,防火墙应用举例,5）设定源通讯和目标通讯,防火墙应用举例,6）指定此规则应用于哪些用户,防火墙应用举例,7）完成访问规则的建立,防火墙应用举例,8）更新规则集,3.3 虚拟局域网,3.3.1 VPN概述 3.3.2 VPN技术3.3.3 VPN服务器配置3.3.4 IPSec协议,3.3.1 VPN概述,1.VPN的概念 VPN是Virtual Private Network的缩写，中文译为虚拟私有网络，指的是构建在Internet上，使用隧道及加密建立一个虚拟的、安全的、方便的及拥有自主权的私人数据网络。VPN虽然构建在公用数据网上，但是企业可以独立自主地管理和规划自己的网络，通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输,3.3.1 VPN概述,2.VPN的基本用途（1）通过Internet实现远程用户访问（2）通过Internet实现网络互连（3）连接企业内部网络计算机,3.3.1 VPN概述,3.VPN的组网方式 Access VPN（远程访问VPN）Intranet VPN（企业内部VPN）Extranet VPN（扩展的企业内部VPN）,3.3.1 VPN概述,（1）Access VPN（客户端到网关VPN）,3.3.1 VPN概述,（2）Intranet VPN（网关到网关VPN）,3.3.1 VPN概述,（3）Extranet VPN（网关到网关VPN）,3.3.2 VPN技术,1.隧道技术（1）隧道技术的基本过程 隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是OSI七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中，然后在目的局域网与公网的接口处将数据解封装，取出负载。,3.3.2 VPN技术,1.隧道技术（2）隧道协议 1）点到点隧道协议PPTP协议 2）第二层隧道协议L2TP协议 3）第三层隧道协议IPSec协议,3.3.2 VPN技术,2.安全技术 VPN 是在不安全的Internet 中通信，通信的内容可能涉及企业的机密数据，因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。,3.3.3 VPN服务器配置,1.VPN服务器配置步骤1）打开路由与远程访问窗口2）打开配置向导，选中“虚拟专用网络服务器”,3.3.3 VPN服务器配置,启动路由与远程访问,3.3.3 VPN服务器配置,指定为虚拟专用网服务器,3.3.3 VPN服务器配置,3）指定VPN服务器的网络连接,3.3.3 VPN服务器配置,4）指定客户IP地址分配方式,3.3.3 VPN服务器配置,5）指定IP地址范围,6）完成最后配置,3.3.3 VPN服务器配置,2.配置VPN访问1）打开管理工具中的用户管理窗口,3.3.3 VPN服务器配置,2.配置VPN访问2）选定各项，完成配置,3.3.3 VPN服务器配置,3.配置VPN访问客户端 1）新建连接,3.3.3 VPN服务器配置,2）选择网络连接类型,3.3.3 VPN服务器配置,3）输入VPN服务器的IP地址,3.3.3 VPN服务器配置,4.VPN连接测试1）打开虚拟连接对话框，输入用户名和密码,3.3.3 VPN服务器配置,4.VPN连接测试2）开始连接，注册计算机,3.3.3 VPN服务器配置,4.VPN连接测试3）VPN虚拟连接成功,3.3.4 IPSec协议,IPSec 协议的组成,3.3.4 IPSec协议,2.IPSec的相关标准IPSec的结构文档（或基本架构文档）RFC 2401定义了IPSec 的基本结构。所有具体的实施方案均建立在它的基础之上。它定义了IPSec提供的安全服务及使用，数据包构建及处理，以及IPSec处理同策略之间协调等等,3.3.4 IPSec协议,3.IPSec服务（1）机密性保护（2）完整性保护及身份验证（3）抗拒绝服务攻击DoS（4）防止中间人攻击（5）完美向前保密,3.3.4 IPSec协议,4.IPSec 的优势 服务均在IP层提供，无须对这些应用系统和服务本身做任何修改 IPSec对传输层以上的应用来说是完全透明的，降低了软件升级和用户培训的开销 IPSec不仅可以实现密钥的自动管理以降低人工管理密钥的开销，而且多种高层协议和应用可以共享由网络层提供的密钥管理结构（IKE），大大降低了密钥协商的开销,3.4 入侵检测系统（IDS）,把防火墙比作守卫网络大门的门卫，那么主动监视内部网络安全的巡警系统，就是入侵检测系统（IDS）入侵检测概念入侵检测系统的模型入侵检测系统的功能入侵检测系统的分类入侵检测技术入侵检测系统的部署入侵检测的局限性入侵检测技术发展方向,入侵检测概念,入侵检测系统全称为Intrusion Detection System，它从计算机网络系统中的关键点收集信息，并分析这些信息，利用模式匹配或异常检测技术来检查网络中是否有违反安全策略的行为和遭到袭击的迹象,入侵检测系统的模型,入侵检测系统的功能,1）监视用户和系统的运行状况，查找非法用户和合法用户的越权操作2）检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞3）对用户的非正常活动进行统计分析，发现入侵行为的规律4）系统程序和数据的一致性与正确性5）识别攻击的活动模式，并向网管人员报警6）对异常活动的统计分析7）操作系统审计跟踪管理，识别违反政策的用户活动,入侵检测系统的分类,1.基于主机的入侵检测系统优点：（1）检测准确率高（2）适用于被加密的以及切换的环境（3）近于实时的检测和响应（4）不要求额外的硬件设备（5）能够检查到基于网络的系统检查不出的攻 击（6）监视特定的系统活动,入侵检测系统的分类,2.基于网络的入侵检测系统,入侵检测系统的分类,2.基于网络的入侵检测系统,优点：（1）拥有成本较低（2）检测基于主机的系统漏掉的攻击（3）检测未成功的攻击和不良意图（4）操作系统无关性（5）占用资源少,入侵检测技术,1.模式匹配技术 模式匹配是基于知识的检测技术，它假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法发现。它的实现即是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。模式发现的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来。,入侵检测技术,2.异常发现技术 异常发现技术是基于行为的检测技术，它假定所有入侵行为都是与正常行为不同的。如果建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。它根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测，所以也被称为基于行为的检测,入侵检测技术,3.完整性分析技术 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效,入侵检测系统的部署,1.基于网络的入侵检测系统的部署,入侵检测系统的部署,2.基于主机入侵检测系统的部署 基于主机的入侵检测系统主要安装在关键主机上，这样可以减少规划部署的花费，使管理的精力集中在最重要最需要保护的主机上。同时，为了便于对基于主机的入侵检测系统的检测结果进行及时检查，需要对系统产生的日志进行集中。,入侵检测系统的部署,3.响应策略的部署 入侵检测系统在检测到入侵行为的时候，需要报警并进行相应的反应。如何报警和选取什么样的报警，需要根据整个网络的环境和安全的需求进行确定。例如，对于一般性服务的企业，报警主要集中在已知的有威胁的攻击行为上；关键性服务企业则需要将尽可能多的报警进行记录并对部分认定的报警进行实时的反馈。,入侵检测的局限性,1.攻击特征库的更新不及时2.检测分析方法单一 3.不同的入侵检测系统之间不能互操作 4.不能和其他网络安全产品互操作 5.结构存在问题,入侵检测技术发展方向,入侵检测的发展趋势是朝着深度、广度、性能和协同工作几个方向发展：1.高性能的分布式入侵检测系统 2.智能化入侵检测系统3.协同工作的入侵检测系统,3.5计算机病毒,计算机病毒概述计算机病毒检测方法计算机病毒的预防措施病毒举例,计算机病毒概述,1.计算机病毒的特征 传染性、破坏性、潜伏性、隐蔽性2.计算机病毒的分类（1）按病毒的传染方式来分：引导型病毒、文件型病毒及混合型病毒三种（2）按病毒的破坏程度来分：良性病毒、恶性病毒、极恶性病毒和灾难性病毒四种,计算机病毒概述,3.计算机病毒的命名（1）按病毒发作的时间命名 如“黑色星期五”（2）按病毒发作症状命名 如“火炬”病毒（3）按病毒自身包含的标志命名 如“CIH”病毒程序首位是CIH（4）按病毒发现地命名 如“维也纳”病毒首先在维也纳发现（5）按病毒的字节长度命名,计算机病毒概述,4.病毒引起的异常现象 1）屏幕显示异常2）文件的大小和日期动态地发生变化3）程序装入时间增长,文件运行速度下降4）系统启动速度比平时慢5）用户没有访问的设备出现工作信号6）出现莫名其妙的文件和坏磁盘分区,卷标发生变化7）系统自行引导或自动关机8）内存空间、磁盘空间减小9）磁盘访问时间比平时增长10）键盘、打印、显示有异常现象,计算机病毒检测方法,1.特征代码法 检查文件中是否含有病毒数据库中的病毒特征代码 2.校验和法 定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致 3.行为监测法 利用病毒的特有行为特征性来监测病毒 4.软件模拟法 如果发现隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监测病毒的运行，待病毒自身的密码译码后，再运用特征代码法来识别病毒的种类,计算机病毒的预防措施,1）购置计算机系统，用检测病毒软件检查已知病毒 2）新购置的硬盘或出厂时已格式化好的软盘中可能有病毒3）购置的计算机软件也要进行病毒检测4）保证硬盘无病毒的情况下,能用硬盘引导启动的,尽量不要用软盘去启动 5）通过设置CMOS参数,使启动时直接从硬盘引导启动6）定期与不定期地进行磁盘文件备份工作 7）在他人机器上使用过的软盘要进行病毒检测,计算机病毒的预防措施,8）保留一张不开写保护口的、无病毒的、带有各种DOS命令文件的系统启动软盘，用于清除病毒和维护系统9）对于多人共用一台计算机的环境，应建立登记上机制度10）禁止来历不明的人和软件进入系统 11）使用有效的反病毒产品，定期维护和检测计算机系统及软盘12）不要使用任何解密版的反毒软件13）及时、可靠地升级反病毒产品,病毒举例,1.冲击波病毒对于冲击波病毒，计算机一旦感染后，Windows将会不断报“RPC意外中止，系统重新启动”客户机频繁重启，所有网络服务均出现故障 2.震荡波病毒对于震荡波病毒，计算机一旦感染后，将会出现莫名其妙地死机或重新启动计算机,3.6操作系统的安全,操作系统安全概述操作系统安全,操作系统安全概述,操作系统是计算系统安全的基石，要通过识别操作系统漏洞，然后修补系统来减小安全风险,操作系统安全,1.Windows操作系统的十大漏洞(1)IIS(互联网信息服务器)(2)1433端口(3)不受保护的Windows网络共享(4)匿名登录(5)微软数据访问部件(6)LAN Manager 身份认证,操作系统安全,1.Windows操作系统的十大漏洞(7)一般Windows身份认证(8)IE 浏览器漏洞(9)远程注册表访问(10)WSH(Windows脚本主机服务),2.Windows安全防御措施,1.屏幕保护密码;2.禁止光盘的自动运行功能;3.普通用户权限的设置;4.禁止用户更改口令;5.管理员帐号的管理;6.隐藏局域网络上的计算机;7.彻底删除默认共享;8.不让系统显示上次登录的用户名;9.关闭不需要的端口;10.禁止判断主机的类型.,操作系统安全,应该通过及时下载微软公司提供的最新补丁程序，修补Windows操作系统的漏洞，减少被恶意攻击的机会，增加网络安全,