第二章_网络安全技术

制作人：代春艳2007年8月电子商务信息安全技术主讲人:代春艳daichunyan@ctbu.edu.cn制作人：代春艳2007年8月第二章网络安全技术第二章网络安全技术2.1网络安全基础2.2防火墙技术2.3VPN技术2.4网络入侵检测2.5计算机病毒及其防治制作人：代春艳2007年8月2.1网络安全基础2.1.1网络安全的定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。制作人：代春艳2007年8月•网络安全实际上包括两部分：网络的安全和主机系统的安全。网络安全主要通过设置防火墙来实现，也可以考虑在路由器上设置一些数据包过滤的方法防止来自Internet上的黑客的攻击。至于系统的安全则需根据不同的操作系统来修改相关的系统文件，合理设置用户权限和文件属性。制作人：代春艳2007年8月•2.1.2网络安全防范的内容•网络安全防范的重点主要有两个方面：一是计算机病毒，二是黑客犯罪。制作人：代春艳2007年8月•2.1.3网络安全防范技术1．防火墙技术2．VPN技术3．网络入侵检测技术4．计算机病毒及其防治技术制作人：代春艳2007年8月2.2防火墙技术•防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。•在计算机网络中指隔离在本地网络与外界网络之间的一道防御系统。在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。制作人：代春艳2007年8月图2-1防火墙应用示意图Internet防火墙集线器主机内部网络在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙技术在网络中的应用如图2-1所示制作人：代春艳2007年8月防火墙具有以下几种功能：1．允许网络管理员定义一个中心点来防止非法用户进入内部网络。2．可以很方便地监视网络的安全性，并报警。3．可以作为部署NAT（NetworkAddressTranslation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。4．是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。制作人：代春艳2007年8月2.2.2防火墙的分类•1.从防火墙的软、硬件形式分,防火墙可以分为软件防火墙和硬件防火墙。制作人：代春艳2007年8月•2.从防火墙技术来分总体来讲可分为“包过滤型”和“应用代理型”两大类。–(1)包过滤(Packetfiltering)型•包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。制作人：代春艳2007年8月包过滤防火墙制作人：代春艳2007年8月–(2)应用代理(ApplicationProxy)型•应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即：第一代应用网关型代理防火和第二代自适应代理防火墙。制作人：代春艳2007年8月两种防火墙技术的对比制作人：代春艳2007年8月•3.从防火墙结构分,防火墙主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。制作人：代春艳2007年8月•4.从防火墙的应用部署位置分，可以分为边界防火墙、个人防火墙和混合防火墙三大类。制作人：代春艳2007年8月–边界防火墙是最传统的那种，它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。–个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也最差。–混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。制作人：代春艳2007年8月•5.从防火墙性能分,可以分为百兆级防火墙和千兆级防火墙两类。制作人：代春艳2007年8月2.2.3防火墙的体系结构•防火墙的经典体系结构主要有三种形式：双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。制作人：代春艳2007年8月•1．双重宿主主机体系结构–防火墙的双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络与内部网络的任务。一个典型的双重宿主主机体系结构如图2-2所示。交换机主机主机内部网络Internet双重宿主主机防火墙图2-2双重宿主主机体系结构制作人：代春艳2007年8月•双重宿主主机体系结构防火墙的优点:•网络结构比较简单，由于内、外网络之间没有直接的数据交互而较为安全；•内部用户账号的存在可以保证对外部资源进行有效控制；•由于应用层代理机制的采用，可以方便地形成应用层的数据与信息过滤。制作人：代春艳2007年8月•双重宿主主机体系结构防火墙的缺点:•用户访问外部资源较为复杂，如果用户需要登录到主机上才能访问外部资源，则主机的资源消耗较大；•用户机制存在着安全隐患，并且内部用户无法借助于该体系结构访问新的服务或者特殊服务；•一旦外部用户入侵了双重宿主主机，则导致内部网络处于不安全状态。制作人：代春艳2007年8月•2．被屏蔽主机体系结构–被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，主要通过数据包过滤实现内、外网络的隔离和对内网的保护。一个典型的被屏蔽主机体系结构如图2-3所示。图2-3被屏蔽主机体系结构交换机主机主机内部服务器堡垒主机防火墙路由器Internet内部网络制作人：代春艳2007年8月•3．被屏蔽子网体系结构–被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的特殊网络（周边网络），并且将容易受到攻击的堡垒主机都置于这个周边网络中，一个典型的被屏蔽子网体系结构如图2-4所示。图2-4被屏蔽子网体系结构交换机主机主机内部服务器内部网络防火墙路由器堡垒主机交换机路由器外部路由器内部路由器Internet制作人：代春艳2007年8月2.2.4防火墙的基本技术•1．分组过滤器•分组过滤器又称为包过滤或筛选路由器，它工作在网络层上，有选择地让数据包在内部网络与外部网络之间进行交换。•分组过滤器并不保留交互的记录及以前分组的历史，而是分别考虑每个数据包。•包过滤型系统通常基于IP数据包的源或目的IP地址、协议类型、协议端口号等对数据流进行过滤，并按信息过滤规则对进出内部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过.制作人：代春艳2007年8月•分组过滤器有着较高的网络性能和较好的应用程序透明性，实现方便，速度快，但也存在一些缺点:①包过滤规则比较复杂;②不具备自身认证功能，安全性能较差;③利用TCP和UDP端口号来限制某些类型的服务，在不同操作系统环境下兼容性差;④对于一此RPC服务的有效过滤十分困难，这是因为服务器使用的端口是系统启动时随机选择的。制作人：代春艳2007年8月•2．代理服务•为了克服包过滤路由器的一些缺点，防火墙需要一些服务的转发功能，这样的应用软件称为代理服务(ProxyServer，也称为应用网关(ApplicationGateway)。•它是运行在防火墙主机上的一些特定的应用程序或服务器程序。•代理服务器是一种增加了安全功能的应用层网关，位于Intranet和Internet之间，自动截取内部用户访问Internet的请求，验证其有效性，代表用户建立访问外部网络的连接。代理服务器在很大程度上对用户是透明的，如果内外网络各站点之间的连接被切断了，必须通过代理方可相互连通。制作人：代春艳2007年8月•代理服务器是筛选路由器技术和软件技术结合在一起的一个应用级网关，代理客户是普通客户程序的特别版本，它与代理服务器交互但并不真正与外部服务器相连。•代理服务器根据一定的安全规则来评测代理客户的网络服务请求，以决定是支持还是拒绝。制作人：代春艳2007年8月•如果支持该请求，代理服务器就代表客户与真正的外部服务器相连，并将外部服务器的响应传递给代理客户。•代理服务器把内部网络完全屏蔽起来，当代理服务器代表内部用户同Internet建立连接时，可以用自己的IP地址代替内部网络的IP地址，这样所有Intranet中的网站对外部都是不可见的。外部网站对Intranet的访问更要通过代理服务器，并且需进行IP地址转换，故对外部网站而言，认为是代理服务器提供的服务。•代理服务器既能进行安全控制，又可加速访问，但实现较困难，需要对每一种服务设计一个代理软件模块来进行安全控制。制作人：代春艳2007年8月2.2.5创建防火墙的步骤成功创建一个防火墙系统一般需要六个步骤：定制安全策略、搭建安全体系结构、制定规则次序、落实规则集、注意更换控制和做好审计工作。1．定制安全策略2．搭建安全体系结构3．制定规则次序4．制定规则集5．注意更换控制6．做好审计工作制作人：代春艳2007年8月•第一步：制定安全策略防火墙和防火墙规则集只是安全策略的技术实现。管理层规定实施什么样的安全策略，防火墙是策略得以实施的技术工具。所以，在建立规则集之前，我们必须首先理解安全策略，假设它包含以下3方面内容：1.内部雇员访问Internet不受限制。2.规定Internet有权使用公司的Webserver和InternetEmail。3.任何进入公用内部网络的通话必须经过安全认证和加密。显然，大多数机构的安全策略要远远比这复杂，对本文来说，这就够了。制作人：代春艳2007年8月•第二步：搭建安全体系结构作为一个安全管理员，需要将安全策略转化为安全体系结构。现在，我们来讨论把每一项安全策略核心如何转化为技术实现。制作人：代春艳2007年8月•第一项很容易，内部网络的任何东西都允许输出到Internet上。第二项安全策略核心很微妙，这就要求我们要为公司建立Web和E-mail服务器。由于任何人都能访问Web和E-mail服务器，所以我们不能信任它们。我们通过把它们放入DMZ（DemilitarizedZone，中立区）来实现该项策略。DMZ是一个孤立的网络，通常把不信任的系统放在那里，DMZ中的系统不能启动连接内部网络。DMZ有两种类型，有保护的和无保护的。有保护的DMZ是与防火墙脱离的孤立的部分；无保护的DMZ是介于路由器和防火墙之间的网络部分。这里建议使用有保护的DMZ，我们把Web和E-mail服务器放在那里。制作人：代春艳2007年8月•惟一的从Internet到内部网络的通话是远程管理。•我们必须让系统管理员能远程地访问他们的系统。•我们实现它的方式是只允许加密服务进入内部网络。•还有一样东西我们必须添加，那就是DNS。•作为安全管理员，我们要实现SplitDNS。•SplitDNS是指在两台不同的服务器上分离DNS的功能。•我们通过用一台DNS来分析公司域名的ExternalDNS服务器和一台内部用户使用的InternalDNS服务器来实现该项功能。ExternalDNS服务器与Web和E-mail服务器一起放在有保护的DMZ中，InternalDNS服务器放在内部网络中。制作人：代春艳2007年8月•第三步：制定规则次序在建立规则集之前，有一件