韩山师院网络与教育技术中心网络安全技术概述内容提要网络安全概述可使用的安全技术网络安全防范策略建议和忠告网络安全建设案例据联邦调查局统计,美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道,世界上平均每20秒就发生一次入侵国际互联网络的计算机安全事件,三分之一的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆•塞特尔称:给我精选10名“黑客”,组成个小组,90天内,我将使美国趴下。超过50%的攻击来自内部,其次是黑客。网络安全事件的报导操作系统本身的安全漏洞防火墙存在安全缺陷和规则配置不合理来自内部网用户的安全威胁缺乏有效的手段监视、评估网络的安全性TCP/IP协议族软件本身缺乏安全性电子邮件病毒、Web页面中存在恶意的Java/ActiveX控件应用服务的访问控制、安全设计存在漏洞线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息网络中存在的安全威胁网络设备种类繁多——当前使用的有各种各样的网络设备,从WindowsNT和UNIX服务器到防火墙、路由器和Web服务器,每种设备均有其独特的安全状况和保密功能;访问方式的多样化——一般来说,网络环境存在多种进出方式,许多拔号登录点以及新的Internet访问方式可能会使安全策略的设立复杂化;网络的不断变化——网络不是静态的,一直都处于发展变化中。启用新的硬件设备和操作系统,实施新的应用程序和Web服务器时,安全配置也有不同;用户安全专业知识的缺乏——许多组织所拥有的对网络进行有效保护的保安专业知识十分有限,这实际上是造成安全漏洞最为主要的一点。网络存在的安全漏洞的原因相对性–只有相对的安全,没有绝对的安全系统–安全性在系统的不同部件间可以转移网络安全的特征时效性–新的漏洞与攻击方法不断发现(Windows2000业发现很多漏洞,针对Outlook的病毒攻击非常普遍)配置相关性–日常管理中的不同配置会引入新的问题(安全测评只证明特定环境与特定配置下的安全)–新的系统部件会引入新的问题(新的设备的引入、防火墙配置的修改)攻击的不确定性–攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性复杂性–网络安全是一项系统工程,需要技术的和非技术的手段,涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急反应等网络安全的特征(续)层次一:物理环境的安全性(物理层安全)层次二:操作系统的安全性(系统层安全)层次三:网络的安全性(网络层安全)层次四:应用的安全性(应用层安全)层次五:管理的安全性(管理层安全)网络安全的层次架构安全策略安全管理安全评估整体安全技术因素数据链路安全网络安全物理安全操作系统平台的安全性应用平台的安全性应用数据安全网络安全概述可使用的安全技术网络安全防范策略建议和忠告网络安全建设案例防火墙技术最初含义:当房屋还处于木制结构的时侯,人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。防火墙是指设置在不同网络或网络安全域(公共网和企业内部网)之间的软件或硬件设备的组合,它是不同网络间的唯一出入口,能根据预先制定的安全策略(允许、拒绝、监测)来控制出入网络的信息流,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的,是实现网络和信息安全的基础设施。Internet1.企业内联网2.部门子网3.分公司网络防火墙示意图防火墙的功能应用程序代理包过滤&状态检测用户认证NATVPN日志IDS与报警内容过滤防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户,如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。防火墙能够简化安全管理,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。在防火墙上可以很方便的监视网络的安全性,并产生报警。网络管理员可以记录、审计所有通过防火墙的重要信息,并及时响应报警。防火墙可以作为部署NAT(NetworkAddressTranslator网络地址转换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦。防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈的位置,并能够根据机构的核算模式提供部门级的记费。防火墙也可以成为向客户发布信息的地点。防火墙作为部署服务器的地点非常理想。还可以对防火墙进行配置,允许Internet访问上述服务,而禁止外部对受保护的内部网络上其它系统的访问。防火墙的用途Internet/公网内部网路由器NEsec300FW2035968?告警内网接口外网接口电源控制台服务器服务器服务器主机主机内外网络隔离截取IP包,根据安全策略控制其进/出双向网络地址转换(NAT)基于一次性口令对移动访问进行身份识别和控制IPMAC捆绑,防止IP地址的滥用安全记录通信事件记录操作事件记录违规事件记录异常情况告警移动用户拨号用户局域网用户(内部地址)(内部地址)防火墙的局限性防火墙不是解决所有网络安全问题的万能药方,只是网络安全策略中的一个组成部分。防火墙不能防范绕过防火墙的攻击,例:内部提供拨号服务防火墙不能防范来自内部人员恶意的攻击防火墙不能阻止病毒、木马的攻击防火墙造成单点故障防火墙技术与产品的发展防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:据不完全统计,在国际上防火墙产品销售从1995年的不到1万套,猛增到1997年底的10万套。据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,到2000年将达150万套,市场营业额将从1995年的1.6亿美元上升到2000年的9.8亿美元。防火墙技术的发展趋势从目前对专网管理的方式,向远程上网集中管理的方式发展;过滤深度不断加强,从目前的地址过滤、服务过滤,发展到页面过滤(WEB)、关键字过滤(BBS)及对ActiveX/Java等的过滤;用防火墙建立VPN,IP加密越来越强;对攻击的检测和告警将成为重要功能;附加安全管理工具(如日志分析)。如何选择防火墙产品选择防火墙的标准有很多,但最重要的是以下几条:易于管理性数据包处理速度带宽控制操作环境和硬件要求VPN功能与IDS功能接口的数量可扩充性升级能力成本路由器HTTP服务器DNS服务器Email服务器防火墙DMZ区内部专用网络InternetDDNPSTNATMISDNX.25帧中继防火墙管理器外部网络防火墙配置案例一防火墙防火墙管理工作站分支机构受保护局域网防火墙防火墙资源子网路由器路由器路由器分支机构受保护局域网公共网络总部路由器路由器防火墙配置案例二防火墙配置案例三入侵检测系统入侵(intrusion),是指任何企图危及信息和资源的机密性、完整性和可用性的活动。入侵检测(IntrusionDetection),是指对入侵行为的发现,它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(IntrusionDetectionSystem,IDS):完成入侵检测功能的软件、硬件组合。入侵检测系统的作用实时检测实时捕获、分析网络中所有的数据报文,检测出其中带有恶意信息的数据包安全审计通过对网络事件的统计和分析,发现其中的异常现象,得出系统的安全状态,找出所需要的证据。确保网络的安全,就要对网络内部进行实时的检测,这就需要IDS无时不在的防护。为什么要使用入侵检测系统入侵和攻击不断增多网络规模不断扩大网络用户不断增加黑客水平不断提高现有的安全产品不能完成全部的安全防护任务防火墙、加解密、物理隔离、身份认证等:被动防御入侵检测系统:主动防御入侵检测系统的分类基于主机的IDS保护网络中比较重要的主机信息源:操作系统审计迹和系统日志优点:视野集中,能够相对精确地分析入侵活动;对网络流量不敏感;缺点:占用系统资源;缺乏跨平台支持,可移植性差;基于网络的IDS侧重于监视和保护网络信息源:网络数据包优点:对系统资源的占用比较少;实时检测和响应;缺点:精确度不高,漏报、误报多;难以定位入侵者;IntranetIDSAgentIDSAgentFirewallServersDMZIDSAgent监控中心router网络IDS典型部署FirewallServersDMZIDSAgentIntranetIDSAgent监控中心router攻击者攻击者发现攻击发现攻击发现攻击报警报警网络IDS阻断攻击示意图入侵检测产品的选购攻击检测的规则库的大小和检测的准确程度;入侵检测系统的检测速度;是否有完整网络审计、网络事件记录和全面的网络信息收集功能;是否集成网络分析和管理的辅助工具,如扫描器、嗅探器等;是否自带数据库,不需第三方数据源,数据是否可自动维护;互操作性如何,是否可和防火墙联动;自身安全性和隐蔽性如何加密传输–分类•链路加密(链路加密机)•网络层加密(IPSecVPN)•传输层加密(SSL)•应用层加密(针对具体应用)–优点•不能被窃听和中途修改•不能被中途劫持–缺点•实施和管理成本较高•在一些应用上效率较低加密传输技术漏洞扫描系统是专用的安全漏洞扫描工具。可快速严格地检测操作系统、数据库系统以及网络设备的配置,识别安全隐患,评测安全风险,提供安全建议和改进措施,帮助安全管理员控制可能发生的安全事件,最大可能地消除安全隐患。漏洞扫描分类网络安全扫描系统安全扫描优点较全面检测流行漏洞降低安全审计人员的劳动强度防止最严重的安全问题缺点无法跟上安全技术的发展速度只能提供报告,无法实际解决可能出现漏报和误报漏洞扫描市场部工程部router开发部ServersFirewall安全扫描的使用为堵死安全策略和安全措施之间的缺口,必须从以下三方面对网络安全状况进行评估:从企业外部进行评估:考察企业计算机基础设施中的防火墙;从企业内部进行评估:考察内部网络系统中的计算机;从应用系统进行评估:考察每台硬件设备上运行的操作系统。从哪些方面进行安全评估操作系统、数据库系统、应用软件系统以及一些网络设备系统均不同程度存在一些安全漏洞和一些未知的“后门”,这些漏洞和后门是黑客攻击得手的关键因素。因此,确保操作系统、数据库系统安全,对服务器、网络设备进行安全加固是非常重要的。系统安全加固关闭不必要、不常用的服务和端口,慎重开放比较敏感的端口;及时对系统升级或安装相应的系统安全补丁;强化系统中各种密码的设置与管理,对一些保存有用户信息及其口令的关键文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等;WindowsNT下的LMHOST、SAM等)使用权限进行严格限制,防止对系统的非法访问;加强日志管理和审计工作,开启操作系统、数据库系统、网络设备、安全产品的日志管理功能,并定期对日志文件进行审计。系统安全加固措施分类使用产品利用系统本身设置优点增强系统的的抗攻击性较大的提高系统本身安全和审计能力缺点目前不便于普遍的实施系统易用性会下降,管理成本上升系统安全加固网络应用迅速发展和扩充在带来方便性的同时,也带来了许多严重的安全问题,不仅仅是各种网络攻击行为会破坏网络信息系统的正常运行。滥用内部网络资源,泄漏内部信息等现象也非常严重,传递和发布非法信息,不仅影响正常的工作秩序,甚至会造成一定的政治和社会影响。加强安全审计,不仅是及时和发现网络攻击行为,确定和追踪攻击来源提供有力证据,重要的是加强对内部人员网络行为的审计,防止滥用