2019年10月2日星期三第六章互联网安全技术与防范对策第1页第六章互联网安全技术与防范对策内容提要网络安全基础防火墙技术VPN技术网络攻击手段网络入侵检测访问控制技术2019年10月2日星期三第六章互联网安全技术与防范对策第2页网络安全的定义网络安全是信息系统安全的基础。网络系统的安全涉及到平台的各个方面。按照网络OSI的7层模型,网络安全贯穿于整个7层模型。针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。下表表示了对应网络系统的安全体系层次模型:网络应用系统的安全体系包括:访问控制、检查安全漏洞、攻击监控、加密通信、认证、备份和恢复、多层防御、设立安全监控中心。2019年10月2日星期三第六章互联网安全技术与防范对策第3页网络安全服务内涵①认证。②对等实体鉴别③访问控制④信息加密⑤信息的完整性⑥抗拒绝服务⑦业务的有效性⑧审计⑨不可抵赖2019年10月2日星期三第六章互联网安全技术与防范对策第4页网络安全防范机制①加密机制②数字签名机制③存取控制机制④信息完整性机制⑤业务量填充机制⑥路由控制机制⑦公证机制2019年10月2日星期三第六章互联网安全技术与防范对策第5页网络安全关键技术(1)入侵检测(2)访问控制(3)加密技术(4)身份认证技术2019年10月2日星期三第六章互联网安全技术与防范对策第6页第六章互联网安全技术与防范对策内容提要网络安全基础防火墙技术VPN技术网络攻击手段网络入侵检测访问控制技术2019年10月2日星期三第六章互联网安全技术与防范对策第7页防火墙的由来:古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(FireWall)防火墙的概念:是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙是具有以下特征的计算机硬件或软件:(1)所有进出网络的通信流都应该通过防火墙;(2)所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权;(3)理论上说,防火墙是穿不透的。通常意义上讲的硬防火墙为硬件防火墙,它是通过硬件和软件的结合来达到隔离内、外部网络的目的,价格较贵,但效果较好,一般小型企业和个人很难实现;软件防火墙是通过软件的方式来达到,价格很便宜,但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。2019年10月2日星期三第六章互联网安全技术与防范对策第8页防火墙的功能1.防火墙是网络安全的屏障一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。2.防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。3.对网络存取和访问进行监控审计如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。4.防止内部信息的外泄通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。5.防火墙的抗攻击能力除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。2019年10月2日星期三第六章互联网安全技术与防范对策第9页防火墙的不足防火墙的缺点主要表现在以下几个方面:1、不能防范恶意的知情者防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁,只能要求加强内部管理,如主机安全和用户教育等。2、不能防范不通过它的连接防火墙能够有效地防止通过它的传输信息,然而它却不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。3、不能防备全部的威胁防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一扇防火墙能自动防御所有新的威胁。4、防火墙不能防范病毒防火墙一般不能消除网络上的病毒。2019年10月2日星期三第六章互联网安全技术与防范对策第10页防火墙的一些相关术语网关:在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。DMZ非军事化区:为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。防火墙一般配备三块网卡,在配置时一般分别连接内部网,internet和DMZ。吞吐量:网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。最大连接数:和吞吐量一样,数字越大越好。但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。SSL:SSL(SecureSocketsLayer)是由Netscape公司开发的一套Internet数据安全协议,当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持网络地址转换:网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP地址域技术,从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。堡垒主机:一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。2019年10月2日星期三第六章互联网安全技术与防范对策第11页防火墙的基本类型一、包过滤防火墙二、代理服务器防火墙三、状态监视器防火墙2019年10月2日星期三第六章互联网安全技术与防范对策第12页包过滤防火墙数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(AccessControlTable)。基本思想:对于每个进来的包适用一组规则,然后决定转发或丢弃该包如何过滤过滤的规则以IP层和运输层的头中的字段为基础过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定:如果匹配到一条规则,则根据此规则决定转发或者丢弃如果所有规则都不匹配,则根据缺省策略2019年10月2日星期三第六章互联网安全技术与防范对策第13页包过滤防火墙示意图网络层链路层外部网络内部网络2019年10月2日星期三第六章互联网安全技术与防范对策第14页1.包过滤防火墙的工作原理采用这种技术的防火墙产品,通过在网络中的适当位置对数据包进行过滤,根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加以删除。2.包过滤防火墙的优缺点包过滤防火墙的优点是:(1)逻辑简单,价格便宜(通常安装在路由器上),网络性能和透明性好,;(2)与应用层无关,无须改动任何客户机和主机上的应用程序,易于安装和使用。它也有一些缺点:(1)包过滤配置起来比较复杂,需要对IP、TCP、UDP、ICMP等各种协议有深入的了解(2)允许外部客户和内部主机的直接连接(3)对IP欺骗式攻击比较敏感,不提供用户的鉴别机制,没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的,他们在这一方面已经积累了大量的经验。2019年10月2日星期三第六章互联网安全技术与防范对策第15页代理服务器防火墙代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels)。代理服务器作用于应用层,也称为应用层网关。代理服务器型(应用层网关)结构示意图2019年10月2日星期三第六章互联网安全技术与防范对策第16页应用层网关的协议栈结构应用层运输层外部网络内部网络链路层网络层HTTPFTPTelnetSmtp2019年10月2日星期三第六章互联网安全技术与防范对策第17页1.代理服务器防火墙的工作原理代理服务器运行在两个网络之间,它对于客户来说像是一台真的服务器一样,而对于外界的服务器来说,它又是一台客户机。当代理服务器接收到用户的请求后,会检查用户请求的站点是否符合公司的要求,如果公司允许用户访问该站点的话,代理服务器会像一个客户一样,去那个站点取回所需信息再转发给客户。2.代理服务器防火墙的优缺点代理服务器防火墙的优点:可以将被保护的网络内部结构屏蔽起来,增强网络的安全性;可用于实施较强的数据流监控、过滤、记录和报告等。代理服务器防火墙的缺点:使访问速度变慢,因为它不允许用户直接访问网络;应用级网关需要针对每一个特定的Internet服务安装相应的代理服务器软件,用户不能使用未被服务器支持的服务,这就意味着用户可能会花费一定的时间等待新服务器软件的安装;并不是所有的Internet应用软件都可以使用代理服务器。2019年10月2日星期三第六章互联网安全技术与防范对策第18页状态监视器防火墙1.状态监视器防火墙的工作原理这种防火墙安全特性非常好,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后指定安全决策的参考。2.状态监视器防火墙的优缺点状态监视器的优点:(1)检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。(2)它会监测RPC和UDP之类的端口信息,而包过滤和代理网关都不支持此类端口。(3)性能坚固状态监视器的缺点:(1)配置非常复杂。(2)会降低网络的速度。2019年10月2日星期三第六章互联网安全技术与防范对策第19页防火墙的基本技术1.双端口或三端口结构2.透明访问方式3.代理系统技术4.多级过滤技术5.网络地址转换技术(NAT)6.Internet网关技术7.安全服务器网络(SSN)技术8.用户鉴别与加密技术9.用户定制技术10.审计和告警技术2019年10月2日星期三第六章互联网安全技术与防范对策第20页防火墙的配置结构三种体系结构:一、屏蔽路由器二、双