第五章网络安全管理5.1网络安全概述计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。针对网络安全的威胁主要有三类:(一)人为的无意失误:(二)人为的恶意攻击:此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。(三)网络软件的漏洞和“后门”:根据网络的应用现状情况和网络的结构,可分为:1.物理层安全该层次的安全包括通信线路的安全,物理设备的安全,机房的安全等。2.系统层安全该层次的安全问题来自网络内使用的操作系统的安全,如Linux、Unix,Windows2000等。主要表现在三方面,一是操作系统本身的缺陷带来的不安全因素。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。3.网络的安全性(网络层安全)主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。4.应用的安全性(应用层安全)主要由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、DNS等。此外,还包括病毒对系统的威胁。5.管理的安全性(管理层安全)安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。5.2网络管理中一般的安全策略网络管理中一般的安全策略包括:物理安全策略、访问控制策略、信息加密策略、网络安全管理策略等。在具体的网络应用中,日常采取的安全策略有:1.网络操作系统安全性:主要考虑服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。2.web服务器安全预防措施:3.网络病毒、木马程序的防御4.利用防火墙和入侵检测系统增强网络的安全性和可管理性5.3主要的网络安全技术当前Internet受到的安全的威胁主要表现在以下几个方面:冒充合法用户、非授权访问、非法监听、篡改数据、干扰系统正常运行、利用网络传播病毒等。主要网络安全技术:访问控制技术、防火墙技术、入侵检测技术和网络防病毒技术来解决。5.3.1网络黑客攻击技术1远程攻击的一般过程隐藏自己的位置收集被攻击方的相关信息利用适当的工具进行攻击窃取网络资源和特权2.常用的网络攻击工具。1)扫描器扫描器是一种自动检测远程或本地主机安全性弱点的程序,可以用来发现远程服务器使用的端口并以此判断主机所提供的服务。扫描器的种类很多,有端口扫描器、漏洞扫描器、解析扫描器等。Hscan:SATAN:2)特洛伊木马一种基于远程控制的黑客工具,具有很强的隐蔽性和危害性。SubSeven:灰鸽子:3)网络监听网络监听用于在以太网或其它共享传输介质的网络上截获传输的信息。将网络接口设置在混杂模式,可以截获网上传输的用户账号、密码等信息。由于网络监听工具是被动的程序,本身在网络上不留下任何痕迹,因此被攻击方很难发现自己的网段是否存在网络监听。SnifferPro:Tcpdump:4)密码攻击密码破解中使用的常见的技术包括:字典攻击(Dictionaryattack)、混合攻击(Hybridattack)和蛮力攻击(Bruteforceattack)。5)拒绝服务攻击(DoS)TFN2K:Trinoo:5.3.2访问控制技术访问控制是网络安全防范和保护的主要策略,它通过不同的手段和策略来实现对网络信息系统的访问控制,其目的是保护网络资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问请求加以控制。其中客体是指网络资源,包括数据、网络设备等;主体是指对客体访问的活动资源,主体是访问的发起者,通常是指进程、程序或用户。1.访问控制策略访问控制策略可以划分为自主访问控制、强制访问控制和基于角色的访问控制三种。自主访问控制(DiscretionaryAccessControl)自主访问控制是一种允许主体对访问控制进行特定限制的访问控制类型。它允许主体针对访问资源的用户设置访问控制权限,用户对资源的每次访问都会检查用户对资源的访问权限,只有通过验证的用户才能访问资源。强制访问控制(MandatoryAccessControl)强制访问控制是一种不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏感性的访问控制,通过比较资源的敏感性与主体的级别来确定是否允许访问。系统事先给所有的主体和客体指定不同的安全级别,最高秘密级(TopSecret)、秘密级(Secret)、机密级(Confidential)以及无级别级(Unclassified),其级别顺序为TSSCU。在实施访问控制时,系统先对主体和客体的安全级别进行比较,再决定访问主体能否访问该客体。基于角色的访问控制(RoleBasedAccessControl)基于角色的访问控制是指在应用环境中,通过对合法的访问者进行角色认证来确定访问者在系统中对哪类信息有什么样的访问权限。不同的角色被赋予不同的访问权限,系统的访问控制机制只看到角色,而看不到用户。角色可以理解成为其工作涉及相同行为和责任范围内的一组人,一个访问者可以扮演多个角色,一个角色也可以包含多个访问者。2.访问控制技术访问控制包括:入网访问控制网络的权限控制目录级安全控制属性安全控制网络服务器安全控制网络监测和锁定控制网络端口和节点的安全控制5.3.3防火墙技术防火墙是指设置在不同网络或不同网络安全域之间的一系列部件的总称,广泛的应用于专用网络与公用网络的互联环境之中,如企业网接入Internet网络。防火墙本质上是一种隔离技术,作用是防止不希望的、未授权的通信进出被保护的网络。防火墙有各种具体的实现方法,如以软件形式运行在普通计算机之上的,或者以固件形式设计在路由器之中的等等一般的防火墙都基本功能:允许网络管理员定义一个中心点来防止非法用户访问内部网络。可以很方便地监视网络的安全性,并报警。可以作为部署NAT(NetworkAddressTranslation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。可以提供对Internet访问流量的审计和记录。可以连接到一个单独的网段(即DMZ),从物理上和内部网段隔开,并在此部署等服务器,将其作为向外部发布信息的地点1防火墙的防火墙的体系结构1)屏蔽路由器(ScreeningRouter)2)双穴主机网关(DualHomedGateway)3)被屏蔽子网(ScreenedSubnet)2.防火墙种类防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,总的来说可以分为四两种:包过滤防火墙应用网关防火墙状态检测防火墙复合型防火墙包过滤防火墙(PacketFiltering)应用网关防火墙状态检测防火墙复合型防火墙由于对更高安全性的要求,常把基于包过滤的方法与基于代理服务的方法结合起来,形成复合型防火墙产品。复合型防火墙把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。3.防火墙产品介绍SygatePersonalFirewall个人防火墙SygatePersonalFirewall个人防火墙能对网络、信息内容、应用程序、以及操作系统提供多层面全方位保护,可以有效性地防止黑客、木马和其它未知网络威胁的入侵。SygatePersonalFirewall能够从系统内部进行保护,并且可以在后台不间断地运行。另外它还有安全访问和访问监视功能,提供所有用户的活动报告,当检测到入侵和不当的使用后,能够立即发出警报。Floppyfw防火墙每一个主要的Linux版本都有不同的防火墙软件套件。Linux最早出现的防火墙软件称为ipfw,取而代之的是ipchains,Iptabels被认为是Linux中实现包过虑功能的第四代应用程序。它可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。iptables只读取数据包头,不会给信息流增加负担,此外它也无需进行验证。Floppyfw是一种能存放在一张普通的软盘里,并独立的在RAM内存中运行的Linux防火墙。Floppyfw通过Linux内核启动,使用它能启动计算机,利用iptables过滤掉无用的IP包,还可以使用它来配置IP伪装(IPmasquerade或NAT),监视端口,通过它可以使主机对其他网络中的计算机进行远程控制。天融信网络卫士防火墙北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由一套专用硬件设备(Firewall)及一次性用户口令客户端软件(otp.exe)组成。网络卫士防火墙集中了包过滤防火墙,网络地址转换、端口/地址映射、虚拟专用网、应用代理、流量管理、一次性口令认证、IP和MAC地址绑定、用户权限控制、透明接入、基于用户和IP的计费、内部网段分割、安全审计/管理、防止IP地址欺骗、入侵检测等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。5.3.4网络入侵检测技术入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术,它能实现对网络的安全监视,是防火墙的合理补充,能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,IDS)。1.入侵检测模型入侵检测系统分为4个基本组件:事件产生器、事件分析器、响应单元和事件数据库.2入侵检测系统类型入侵检测系统分为3类:基于主机的入侵检测系统基于网络的入侵检测系统集成化的入侵检测系统(混合型)3.入侵检测的分析方式入侵分析的任务就是在提取到的庞大数据中找到入侵的痕迹。入侵检测分析技术主要分为两类:异常检测误用检测异常检测检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓),建立系统正常行为轨迹,当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型,。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。误用检测检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。基于误用的入侵检测技术通过某种方式预先定义入侵行为,收集非正常操作(也就是入侵行为的特征)建立相关的特征库,然后监视系统的运行,将收集到的数据与特征库中的特征代码进行比较,得出是否是入侵的结论。基于误用的入侵检测技术也叫作基于特征的入侵检测技术。4.入侵检测的过程入侵检测系统的检测过程包括3个步骤:信息收集信息分析结果处理5.常用的入侵检测工具Watcher:用于linux系统,检测所有通过的信息包,并且将它认为是恶意的攻击行为记录在syslog中。watcher能够检测的攻击行为包括:所有的TCP扫描、所有的UDP扫描、Synflood攻击、Teardrop攻击、Land攻击、Smurf攻击、Pingofdeath攻击。Watcher有三种监测模式,在默认的模式下,它仅仅监测对本台主机的攻击行为,第二种模式可以监测在C类子网内的所有主机,第三种模式则可以监测所有能接收到