搜索
复旦大学凌力网络协议NetworkProtocols与NetworkSecurity网络安全第十二讲网络安全防范《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范1主要内容网络安全认识网络安全防范技术分类网络安全防范技术网络安全防范体系《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范2俗语说……矛盾亡羊补牢树欲静风不止明枪易躲暗箭难防道高一尺魔高一丈千里之堤毁于蚁穴一朝被蛇咬十年怕井绳安全威胁安全防范《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范3网络安全认识网络安全防范十分必要并相当迫切不存在绝对安全的网络和信息系统用发展的眼光看待网络安全注重网络安全体系的全面性从需求特点出发部署网络安全设施把握网络安全与投入成本的平衡点《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范4【网络安全命题一】从来就没有安全的网络,今后也不会有。《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范5【网络安全命题二】不存在为安全而构筑的网络。《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范6【网络安全命题三】网络安全无小事。《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范7网络安全防范技术分类嵌入式安全防范(EmbeddedDefence)–安全协议–安全设备主动式安全防范(ActiveDefence)–安全措施–安全补丁被动式安全防范(PassiveDefence)–安全侦查–安全防御《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范8Subnet子网Sub-network–AutonomousDomain(自治域、自治网络)•构造具备特定应用目标的网络体系,自成相对独立体系、可自我管理–Intranet和Extranet•把内部网络与Internet隔离开,通常使用NAT、Firewall等设备来完成–DMZ•使用双防火墙机制,将内部网络分为内网和外网两个层次–VLAN•把局域网划分为不同的虚拟子网,使用二层或三层局域网交换机或路由器完成–VPN•使用安全协议和数据加密技术,构造安全的访问体系–InterconnectionHost•采用特殊设计的业务互连主机,将业务网络与其它系统进行互连,只传输指定数据–PhysicalIsolation•物理隔离子网《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范9VLAN概要VLAN的划分–基于端口(Port)–基于MAC地址–基于IP地址VLAN作用–把数据交换限制在各个虚拟网的范围内,提高了网络的传输效率;–减少整个网络范围内广播包的传输,防止广播风暴(BroadcastStorm)的产生;–各虚拟网之间不能直接进行通信,而必须通过路由器转发,起到了隔离端口的作用,为高级安全控制提供了可能,增强了网络的安全性。《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范10VLAN的逻辑分组特性LAN1站点集线器集线器LAN2LAN3路由器站点站点站点站点站点站点站点站点集线器传统的LAN子网(物理分隔的冲突域)VLAN1支持VLAN的交换机计算机笔记本站点支持VLAN的交换机计算机笔记本站点支持VLAN的交换机计算机笔记本站点VLAN2VLAN3《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范11基于端口的VLAN–根据以太网交换机的端口来划分VLAN,可以跨交换机进行。优点是定义VLAN成员时非常简单,只需将所有的端口都设定一遍;缺点是如果VLAN的某个用户离开了原来的端口,连接到了一个新的端口,那么就必须重新定义《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范12基于MAC地址的VLAN–根据每个主机的MAC地址来划分VLAN,所以也可称为基于用户的VLAN。优点就是当用户物理位置移动时,即使移动到另一个交换机,VLAN也不用重新配置;缺点是初始化时,所有的用户都必须进行配置,如果用户很多,配置的工作量非常大。此外,这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法有效限制广播包。如果网卡可能经常更换,VLAN就必须不停地更新《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范13基于协议的VLAN–通过第二层报文中的协议字段,判断出上层运行的网络层协议,如IP协议或者是IPX协议。当一个物理网络中存在多种第三层协议运行的时候,可采用这种VLAN的划分方法。但是现有的系统中一般仅有IP协议,所以基于协议的VLAN很少有机会使用《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范14基于子网的VLAN根据报文中的IP地址决定报文属于哪个VLAN,同一个IP子网的所有报文属于同一个VLAN。优点是可以针对具体应用的服务来组织用户,用户可以在网络内部自由移动而不用重新配置自己的设备;缺点是效率较低,因为检查每一个报文的IP地址很耗时。同时由于一个端口也可能存在多个VLAN的成员,对广播报文也无法有效抑制《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范15VPNVirtualPrivateNetwork虚拟专用网络–在“不安全”的网络上建立安全的互连关系VPN主要应用目的–用户通过Internet安全接入Intranet–Intranet之间通过Internet的安全互连–通过Internet构造安全的Extranet–通过Internet的对等设备安全互连《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范16VPN安全隧道安全隧道(SecureTunnel)InternetIntranetIntranet安全隧道《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范17Intranet组网《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范18Extranet组网《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范19VPN安全隧道协议点对点隧道协议(Point-to-PointTunnelProtocol,PPTP)–PPTP协议允许对IP、IPX或NetBEUI数据流进行加密,然后封装在IP包头中,通过Intranet或Internet相互通信第2层隧道协议(Layer-2TunnelProtocol,L2TP)–L2TP协议允许对IP、IPX或NetBEUI数据流进行加密,然后通过支持点对点数据报通信的任意网络发送,如IP、X.25、FrameRelay或ATM安全IP(SecureIP,IPsec)–IPSec隧道模式允许对IP负载数据进行加密,然后封装在IP包头中通过Intranet或Internet相互通信安全套接层(SecureSocketLayer,SSL)–使用SSL协议,实现移动用户远程安全接入内部网络。尤其是对于基于Web的应用访问,SSL-VPN方式有更强的灵活性优势《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范20IPsecIP的安全子层(3.5层),包括两部分:–AH(AuthenticationHeader)–ESP(EncapsulatingSecurityPayload)AH的认证模式:–传输模式(TransportMode)•不改变IP地址,插入一个AH–隧道模式(TunnelMode)•生成一个新的IP头,把AH和原来的整个IP包放到新IP包的载荷数据中《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范21AH报头《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范22ESP报头《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范23VPN应用方式客户端方式–由用户自行配置VPN设备和系统,ISP及Internet只提供普通的IP互连服务(网络透明方式)服务端方式–由ISP提供VPN服务,用户端使用普通IP互连设备(用户透明方式)《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范24NAT网络地址转换NetworkAddressTranslator《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范25NAT方法静态翻译(StaticTranslation)–内部和外部地址一一对应(映射)动态翻译(DynamicTranslation)–复用外部地址,按需映射端口复用(Port-Multiplexing)–IP地址+TCP/UDP端口号《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范26NAT-PAT端口地址翻译PortAddressTranslator,PAT《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范27FW防火墙FireWall《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范28FW功能功能层次过滤代理网络层过滤IP地址过滤广播过滤探测报文过滤无效报文报文重组NATDoS攻击运输层过滤端口号SYN攻击其它DoS攻击应用层过滤内容策略应用病毒扫描木马探测其它过滤连接发起人Cache身份认证计费《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范29FW抵抗同步攻击原理1.攻击者发送SYN,请求会话连接。2.防火墙检查IP地址的有效性、源地址是否是内网地址等,丢弃可疑的连接请求(可不予以响应,以对抗探测)。结束。3.响应SYN-ACK,启动超时计时器。(只需匹配极少资源;计时器长度可以依据不同需求进行调整,适当缩短。)4.若计时器超时而未受到ACK,则释放该连接(同样可以不发送拒绝报文,不占用带宽资源)。结束。5.若受到ACK,则立即向内网指定计算机(第3步已记录相关连接参数)发送SYN,接收到SYN-ACK后立即响应ACK。连接建立成功。《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范30FW-ACL访问控制列表AccessControlList–黑名单(BlackList,ForbidList)–白名单(WhiteList,PermissionList)–灰名单(GreyList)《网络协议与网络安全》凌力NetworkProtocols&NetworkSecurity第十二讲网络安全防范31双FW与DMZ非