第05章 网络安全设计

第5章网络安全设计主讲：刘文硕第5章网络安全设计第2页共95页5.1网络安全体系结构•网络安全是一个系统的、全局性的问题。•一个好的安全措施是多种方法综合的结果。5.1.1TCP/IP协议的安全模型（1）网络安全定义•网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续、可靠的正常运行，网络服务不中断。第5章网络安全设计第3页共95页5.1网络安全体系结构•在TCP/IP体系结构中，各层都能提供一定的安全手段。如图5-1所示。第5章网络安全设计第4页共95页5.1网络安全体系结构（2）接口层的安全•接口层安全技术：加密传输、防电磁波泄漏等。（3）网络层的安全•网络层安全威胁：报文窃听、口令失密、流量攻击、拒绝服务攻击等。•网络层安全技术：路由安全机制、IPSec、防火墙技术等。第5章网络安全设计第5页共95页5.1网络安全体系结构•IPSec是加密服务的安全协议，对应用程序和终端用户是透明的。第5章网络安全设计第6页共95页5.1网络安全体系结构（4）传输层的安全•传输层安全协议：SSL（安全套接字协议）。•SSL提供三个方面的服务：用户和服务器认证数据加密服务维护数据的完整性。第5章网络安全设计第7页共95页5.1网络安全体系结构（5）应用层的安全•应用层安全问题有：操作系统漏洞、应用程序BUG、非法访问、病毒木马程序等。•应用层安全技术：加密、用户级认证、数字签名等。第5章网络安全设计第8页共95页5.1网络安全体系结构网络层面可靠性研究测度指标网络拓扑层研究拓扑结构的可靠性及网络组织的要求和改进措施抗毁性、生存性网络设备层研究通信设备终端到终端的可靠性及整个网络系统设备的可靠性设备可靠性网络路由层分析网络路由算法的效率、流量控制、路由管理网络运行层研究网络环境和网络异常故障的规律对网络可靠性的影响可用性网络业务层分析网络业务能力及服务质量，对网络的性能可靠性进行综合评价完成性、有效性网络管理层研究网络维护和管理体系及提高维护管理水平的措施网络的可靠性研究补充：网络可靠性指标第5章网络安全设计第10页共95页5.1网络安全体系结构5.1.2IATF网络安全体系结构（1）IATE安全技术标准•美国国家安全局（NSA）组织世界安全专家制定了IATF（信息保障技术框架）标准。•IATF代表理论是“深度保护战略”。•IATF标准强调人、技术、操作三个核心原则•IATF关注的四个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、保护支撑基础设施。第5章网络安全设计第11页共95页5.1网络安全体系结构（2）边界•有时边界定义为物理实体，如：人、信息、和信息系统，它们在一个物理区域中。•边界还被定义为包围在一个网络区域中，实施共同安全策略的信息系统。（3）信息基础设施•在IATF标准中，飞地指位于非安全区中的一小块安全区域。•IATF把网络和系统分成局域计算、飞地边界、网络基础设施、支持性基础设施等4种类型（如图5-2）。第5章网络安全设计第12页共95页5.1网络安全体系结构第5章网络安全设计第13页共95页5.1网络安全体系结构（4）对手、动机和攻击类型•可能的对手（攻击者）：国家、恐怖分子、罪犯、黑客或企业竞争者。•攻击动机：收集情报、窃取知识产权、引发尴尬不安，或仅仅是为了炫耀自己。•五类攻击方法：被动攻击、主动攻击、物理临近攻击、内部人员攻击、分发攻击。第5章网络安全设计第14页共95页5.1网络安全体系结构•非恶意事件引发的破坏性后果：火灾、洪水、电力中断以及用户失误。第5章网络安全设计第15页共95页5.1网络安全体系结构第5章网络安全设计第16页共95页5.1网络安全体系结构（5）安全威胁的表现形式•安全威胁的表现形式：信息泄露、媒体废弃、人员不慎、授权侵犯、非授权访问、旁路控制、假冒、窃听、电磁/射频截获、完整性侵犯、截获/修改、物理侵入、重放、业务否认、业务拒绝、资源耗尽、业务欺骗、业务流分析、特洛伊木马程序、后门等。第5章网络安全设计第17页共95页5.1网络安全体系结构•网络攻击包括被动攻击和主动攻击两大部分。•被动攻击指对信息的保密性进行攻击。特点是偷听或监视信息的传输。•主动攻击是篡改信息来源的真实性、信息传输的完整性和系统服务的可用性。包括中断、伪造、篡改等。•网络信息系统受到安全威胁的IATF模型如图5-3所示。第5章网络安全设计第18页共95页案例：网络攻击第5章网络安全设计第19页共95页5.1网络安全体系结构（6）深度保护战略模型•深度保护战略的四个基本领域：保护局域网计算环境；保护区域边界；保护网络和基础设施；保护支撑基础设施。•IATF标准认为，只有将技术、管理、策略、工程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的依据。第5章网络安全设计第20页共95页5.1网络安全体系结构•IATF提出：深度保护战略体系包含人、技术和操作三个要素。•深度保护战略的模型如图5-4所示。第5章网络安全设计第21页共95页5.1网络安全体系结构5.1.3网络安全防护技术（1）安全防护策略•在设计内部网络时应满足以下两条原则：•内网应当根据部门需要划分子网，并实现子网之间的隔离；•采取安全措施后，子网之间应当可以相互访问。•内网接口的安全防护•对外网接口的安全防护•对数据库的安全保护•服务器主机的安全防护•客户端的安全防护物理环境用户层应用层表示层会话层传输层网络层链路层物理层可靠性可用性审计管理防止否认数据完整数据保密访问控制身份鉴别信息处理单元通信网络安全管理安全特性结构层次系统单元补充：ISO7498-2安全模型案例：网络安全技术第5章网络安全设计第24页共95页5.1网络安全体系结构（2）传输过程中的安全防护技术•网络物理安全防护•网络地址转换（NAT）（3）包过滤技术•包过滤是最常见的一种安全防护技术。•包过滤技术的特点是利用IP数据包的特征进行访问控制；它不像AAA技术那样是根据用户名和密码进行访问控制。第5章网络安全设计第25页共95页5.1网络安全体系结构第5章网络安全设计第26页共95页5.2网络防火墙技术5.2.1防火墙的功能•防火墙是由软件或硬件构成的网络安全系统，用来在两个网络之间实施访问控制策略。（1）防火墙在网络中的位置•防火墙用来解决内网和外网之间的安全问题。•防火墙在网络中的位置如图5-6所示。第5章网络安全设计第27页共95页5.2网络防火墙技术5.2.1防火墙的功能LAN防火墙Internet第5章网络安全设计第28页共95页5.2网络防火墙技术（2）防火墙的功能•所有内网和外网之间交换的数据都可以，而且必须经过防火墙。•只有防火墙安全策略允许的数据，才可以自由出入防火墙，其他数据禁止通过。•防火墙受到攻击后，应能稳定有效的工作。•防火墙可以记录和统计网络的使用情况。•防火墙应能过滤和屏蔽一切有害的服务和信息。•防火墙应能隔离网络中的某些网段，防止一个网段的故障传播到整个网络。第5章网络安全设计第29页共95页5.2网络防火墙技术（3）防火墙设置的基本安全准则•防火墙设置有“阻止”和“允许”两种设计原则。•大部分厂商遵循：一切未被允许的访问就是禁止的这一基本原则。•部分厂商遵循：一切未被禁止的访问就是允许的这一基本准则。第5章网络安全设计第30页共95页5.2网络防火墙技术（4）防火墙的不足•不能防范不经过防火墙的攻击。•不能防范恶意的知情者或内部用户误操作造成的威胁。•不能防止受病毒感染的软件或木马文件的传输。•由于防火墙不检测数据的内容，因此防火墙不能防止数据驱动式的攻击。第5章网络安全设计第31页共95页5.2网络防火墙技术5.2.2防火墙的类型•软件防火墙功能强于硬件防火墙，硬件防火墙性能高于软件防火墙。•包过滤防火墙：以以色列Checkpoint防火墙、美国Cisco公司PIX防火墙。•代理型防火墙的典型产品：美国NAI公司Gauntlet防火墙。第5章网络安全设计第32页共95页5.2网络防火墙技术（1）软件防火墙•个人级软件防火墙：瑞星防火墙产品。•企业级软件防火墙：微软公司ISAServerCheckPoint公司FW等。第5章网络安全设计第33页共95页5.2网络防火墙技术（1）软件防火墙•个人级软件防火墙：瑞星防火墙产品。•企业级软件防火墙：微软公司ISAServer、CheckPoint公司FW等。案例：ISAServer企业级软件防火墙第5章网络安全设计第34页共95页5.2网络防火墙技术（2）硬件防火墙•大多数企业级防火墙都是硬件产品，都基于PC架构。•硬件防火墙主要产品：CiscoPIX防火墙、美国杰科公司NetScreen系列防火墙、中国天融信公司“网络卫士”防火墙等。案例：CiscoPIX防火墙产品案例：华为1800F硬件防火墙第5章网络安全设计第37页共95页5.2网络防火墙技术（4）包过滤防火墙•包过滤防火墙所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数由路由器集成。•包过滤防火墙的弱点：☆过滤的依据只是网络层和传输层的有限信息，安全要求不可能充分满足。☆随着过滤规则数量的增加，防火墙性能会受到很大地影响。☆缺少审计和报警机制，不能对用户身份进行验证，很容易受到地址欺骗型攻击。案例：防火墙包过滤策略第5章网络安全设计第39页共95页5.2网络防火墙技术（5）代理型防火墙•代理型防火墙是工作在应用层，实现监视和控制应用层通信流的作用。典型网络结构如图5-8所示。•优点：安全，它可以对网络中任何一层的数据通信进行筛选和保护。•缺点：速度相对比较慢，当网关吞吐量较高时，容易成为内网与外网之间的瓶颈。第5章网络安全设计第40页共95页5.2网络防火墙技术•代理服务器侦听内部网络客户的服务请求，验证合法性。若合法，将向公共服务器发出请求，并取回所需信息，最后再转发给客户。真实的客户端真实服务器转发请求外部网络代理客户机代理服务器应用协议分析响应内部网络请求转发响应第5章网络安全设计第41页共95页5.2网络防火墙技术（6）分布式防火墙•分布式防火墙不是只位于网络边界，而是渗透到网络的每一台主机，对整个内网的主机实施保护。第5章网络安全设计第42页共95页5.2网络防火墙技术5.2.3PIX防火墙配置案例（1）防火墙的接口•硬件防火墙的接口：☆内网接口下行连接内部网络设备；☆外网接口上行连接上公网的路由器等外部网关设备；☆DMZ接口接非军事区网络设备。•硬件防火墙中的网卡一般都设置为混杂模式，这样就可以监测到流过防火墙的数据。Internet服务器可以使用私有地址隐藏内部网络的结构：80——202.103.96.3：80192.168.1.3：21——202.103.96.3：21192.168.1.4：25——202.103.96.3：25192.168.1.5：53——202.103.96.3：53：21案例：网络端口映射第5章网络安全设计第44页共95页5.3DMZ网络安全设计5.3.1DMZ的功能与安全策略（1）DMZ的基本慨念•DMZ把敏感的内部网络和提供外部访问服务的网络分离开。•DMZ区域内通常放置一些不含机密信息的公用服务器，如Web、Email、FTP等服务器。•DMZ并不是网络组成的必要部分。第5章网络安全设计第45页共95页5.3DMZ网络安全设计第5章网络安全设计第46页共95页5.3DMZ网络安全设计（3）DMZ网络访问控制策略•基本原则：☆设计最小权限，定义允许访问的网络资源和网络的安全级别。☆确定可信用户和可信任区域。☆明确各个网络之间的访问关系，制定访问控制策略。案例：DMZ区域与外网的访问控制第5章网络安全设计第48页共95页5.3DMZ网络安全设计5.3.2DMZ网