网络安全和防火墙

1网络安全和防火墙第一章定义安全一、安全：1、定义：在给合法用户提供正常的访问权限的情况下，限制或禁止非法用户对资源的访问。由于在我们的网络中存在了复杂的技术，如LAN,WAN,Internet,VPN，所以就要求我们针对不同的技术采用不同的防护措施。2、特点：没有绝对的安全，仅有相对的安全确定安全等级需要平衡3、有效的安全性系统包括：能够进行访问控制易于使用尽量降低总体拥有成本灵活稳定具有很好的警报和日志功能二、需要保护的资源：1、终端：下载软件，安装服务，恶意操作2、网络资源：TCP/IP中没有内置安全性机制，Spoofing3、服务资源：网络的核心服务，DNS,WINS,Web..4、数据：fileserver,databaseserver三、黑客的类型：1、casualattackers:scriptkids2、determinedattackers：hackers3、spies:crackers四、安全模型：1、验证：2、访问控制：3、数据机密性：preventpassivethreats4、数据一致性：preventactivethreats5、抗抵赖性第二章安全组件：一、金字塔模型二、联合的安全性策略：定义了网络的安全性需求和所需的安全性技术1、系统分类：levelI：5%，不允许超过两个小时的荡机时间，对公司的正常运行具有至关重要的资源，验证、访问控制、审核、日志、病毒扫描、晋级恢复机制、入侵检测、levelII：20%，允许不超过48小时的荡机时间，少量的审核和监视levelIII:75%,病毒防护22、根据资源的重要性和可靠性进行优先级的划分3、标示入侵的可能性4、定义可接受和不可接受的活动：可接受：安全性高，避免出现安全漏洞限制用户的活动不可接受：管理的工作量小，灵活容易出现安全漏洞5、对不同的资源定义安全性标准：6、对不同的用户定义不同的教育内容三、加密：1、功能：数据的机密性、数据的一致性，验证和抗抵赖性2、类型：对称加密，公钥加密，散列3、加密的强度：影响因素：算法的强度密钥的安全性密钥的长度四、身份验证：1、作用：提供用户级的访问控制2、方法：whatyouknow：mostcommonmethods,passwordbasedwhatyouhave:smartcardwhoyouare:biometricswhereyouare:locationbased,r*serialprogramsandreversednslookup3、实现：KerberosV5演示分别从98和2000的计算机上登录域，进行密码的捕获过程优点：可以提供验证、加密和一致性不需要在网络上传输密码加密信息抗重演攻击能够控制对资源的访问缺点：仅提供了工作站级的安全性OTP：防止snooping和passwordhijacking三、访问控制：控制对于对象的访问1、ACL：2、ECL：调节进程的运行方式五、审核：对所发生的事件进行记录并采取相应的措施。1、消极的审核：仅记录2、积极的审核：记录事件并采取相应的措施3第三章加密技术一、基本概念：1、rounds：数目愈大，加密越强2、parallelization：多进程处理3、strongencryption：密钥长度超过128位二、类型：1、对称加密特点：优点：速度快，适合加密大量数据缺点：密钥的分发产品：DES,3DES,RSA2、公钥加密：特点：优点：密钥分发能过确保安全，抗蛮力攻击缺点：比对称加密慢100倍，不适合加密大量数据应用：数据加密，数字签名产品：DSA,Diffie-Hellman3、散列加密：特点：单向优点：密钥的安全性应用：身份验证产品：MD5,SHA1三、加密的实际应用：1、对电子邮件的防护：原理：类型：客户端加密：优点，不依赖于服务器产品，能够在不同厂商的服务器间发送加密的邮件缺点，需要较多的配置类型：PGP,开放的协议S/MIME,工业标准服务器加密：优点，客户端不需要任何配置缺点，依赖于服务器产品应用：PGP2、加密文件：EFS:加密数据MD5sum:签名文件，防止修改3、加密Web交通：类型：SecureHTTP,SSL/TLS,SETSecureHTTP:工作在应用层，仅能加密HTTP的交通4SSL/TLS：工作于传输层，能够加密HTTP,FTP,EMAIL的交通：通过SSL提供WEB服务器的安全性：原理：5实现考虑：如果需要验证服务器，则应该在服务器上安装服务器证书；如果要验证客户机，则要安装客户机证书（需要应用程序支持）可以实现不同级别的加密：40，56，128采用HTTPS访问对于内部站点，可以使用内部的CA；对于外部站点，可以使用共有CA可以选择保护站点中的某一部分区域实现：6设计VPN连接的安全性：1、VPN的优点：外包的拨号支持减少话费指出增高的连接速度2、选择VPN协议：通过封装和加密两种方式进行数据的安全传颂，包括PPTPL2TP/IPSecPPTP：采用MPPE加密数据，具有40，56，128的加密强度，应用于基于IP的网络上，支持多种协议，不进行计算机身份验证，可以通过NAT，微软的所有客户机均支持，适中等安全性网络，不需要PKI和IPSecL2TP：结合IPSec形成隧道，可以在任何基于点对点的网络介质形成隧道，基于IPSec进行计算机验证，支持多种协议，不能通过NAT，仅2000支持，能够提供强力安全性实现：（可选）7实现IPSec提供数据安全性：原理：位于网络层，通过加密和签名提供IP层端到端数据安全性，不需要应用程序支持，对上层应用是透明的。但仅有2000支持。AHFigure8.1AuthenticationHeaderNextHeaderIdentifiesthenextheaderthatusestheIPprotocolID.Forexample,thevaluemightbe“6”toindicateTCP.LengthIndicatesthelengthoftheAHheader.SecurityParametersIndex(SPI)Usedincombinationwiththedestinationaddressandthesecurityprotocol(AHorESP)toidentifythecorrectsecurityassociationforthecommunication.(Formoreinformation,seethe“InternetKeyExchange”sectionlaterinthischapter.)Thereceiverusesthisvaluetodeterminewithwhichsecurityassociationthispacketisidentified.SequenceNumberProvidesanti-replayprotectionfortheSA.Itis32-bit,incrementallyincreasingnumber(startingfrom1)thatisneverallowedtocycleandthatindicatesthepacketnumbersentoverthesecurityassociationforthecommunication.Thereceiverchecksthisfieldtoverifythatapacketforasecurityassociationwiththisnumberhasnotbeenreceivedalready.Ifonehasbeenreceived,thepacketisrejected.AuthenticationDataContainstheIntegrityCheckValue(ICV)thatisusedtoverifytheintegrityofthemessage.Thereceivercalculatesthehashvalueandchecksitagainstthisvalue(calculatedbythesender)toverifyintegrity.Figure8.2AHIntegritySignatureESPFigure8.3ESPTheESPheadercontainsthefollowingfields:8SecurityParametersIndexIdentifies,whenusedincombinationwiththedestinationaddressandthesecurityprotocol(AHorESP),thecorrectsecurityassociationforthecommunication.Thereceiverusesthisvaluetodeterminethesecurityassociationwithwhichthispacketshouldbeidentified.SequenceNumberProvidesanti-replayprotectionfortheSA.Itis32-bit,incrementallyincreasingnumber(startingfrom1)thatindicatesthepacketnumbersentoverthesecurityassociationforthecommunication.Thesequencenumberisneverallowedtocycle.Thereceiverchecksthisfieldtoverifythatapacketforasecurityassociationwiththisnumberhasnotbeenreceivedalready.Ifonehasbeenreceived,thepacketisrejected.TheESPtrailercontainsthefollowingfields:Padding0to255bytesisusedfor32-bitalignmentandwiththeblocksizeoftheblockcipher.PaddingLengthIndicatesthelengthofthePaddingfieldinbytes.ThisfieldisusedbythereceivertodiscardthePaddingfield.NextHeaderIdentifiesthenatureofthepayload,suchasTCPorUDP.TheESPAuthenticationTrailercontainsthefollowingfield:AuthenticationDataContainstheIntegrityCheckValue(ICV),andamessageauthenticationcodethatisusedtoverifythesender’sidentityandmessageintegrity.TheICViscalculatedovertheESPheader,thepayloaddataandtheESPtrailer.Figure8.4ESP:SignatureandEncryption工作过程：9Figure8.5IPSecPolicyAgentFigure8.7IPSecDriverServices实现：选择验证模式：KerverosV5：需要活动目录，属于同一个域基于证书：验证外部用户或结合L2TP使用预定义的密钥：易于实现选择模式：传输模式，隧道模式，使用缺省的策略：客户机：在域级设置服务器：请求安全，混合网络安全服务器：需要安全，须制定信息类型自定义策略：自动进行证书发放：证书模板，发放机构域控制器：自动接受证书客户寄：从本地CA请求证书利用组策略进行设置：利用OU组织局相同目的的计算机在域级配置Client以响应安全通信每台计算机同时只能有一个生效验证：10PINGIPSecmonitorNetworkmonitor:captu