搜索
网络系统安全——网络安全防护南京师范大学计算机科学与技术学院陈波2本讲我们学习了解网络安全防护的主要设备在前面课程中我们学习了信息安全防护的PDRR模型,就是安全防护分为防护、检测、响应和恢复四个主要环节,这一模型体现了安全防护的整体性和分层性原则。这一讲我们主要介绍网络安全防护中的边界防护和安全检测两个主要方法。首先我们看一看生活当中火车站、汽车站或者地铁是如何进行安全防护的。3例如,在火车站的入口,工作人员首先核对我们的身份证和火车票,那些票证不符的人不能进入车站接着,在火车站门内,工作人员会对我们进行安检,用仪器扫描我们的身体,要求随身携带的包裹通过安检仪器。这样那些携带危险品的人被禁止进入站内进入车站大厅以后,在上火车之前还会检票,那些票有问题的人又被拎出来被禁止上车经过这样在边界(站内和站外)以及内部不同安全域之间(候车大厅和站台)的安全检查,可以很大程度上确保我们乘车的安全。4安全防护5除了安全检查措施以外,大家可能还主要到,在火车站的外部、大厅内部、站台等很多区域,还设置了监控探头。安保人员通过监视监控探头可以及时发现出现的安全问题和各种突发情况。这些监控措施又极大地提高了车站的安全和服务能力。6安全检测7对应到我们这一讲的研究对象:网络,实际上也可以从边界防护和安全监测两个主要方面着手。本讲要点:81.网络安全防护:防火墙2.网络安全检测:入侵检测系统3.防护和检测技术的发展与融合4.防护技术应用实例:家用无线路由安全设置手机VPN设置1.网络安全防护:防火墙9(1)防火墙的概念防火墙,顾名思义,是指阻隔火的蔓延的,人们在需要防火的一边与外部边界之间修筑的一堵墙,以防止在外部火灾发生时火蔓延进受保护的一边。1.网络安全防护:防火墙10(1)防火墙的概念国家标准GB/T20281-2015《信息安全技术防火墙技术要求和测试评价方法》给出的防火墙定义是:部署于不同安全域之间,具备网络层访问控制及过滤功能,并具备应用层协议分析、控制及内容检测等功能,能够适用于IPv4、IPv6等不同网络环境的安全网关产品。1.网络安全防护:防火墙11(1)防火墙的概念部署:是在不同安全控制域之间建立的安全控制点工作原理:根据预先制定的访问控制策略和安全防护策略,解析和过滤流经防火墙的数据流,实现向被保护的安全域提供访问控制、审计等服务请求。保护的资产:是安全控制点内部的网络服务和资源等、防火墙本身及其内部的重要数据。1.网络安全防护:防火墙12(1)防火墙的概念防火墙可以是软件、硬件或软硬件的组合。软件防火墙就像其它的软件产品一样需要在计算机上安装并做好配置才可以发挥作用,例如Windows系统自带的软件防火墙和著名安全公司CheckPoint推出的ZoneAlarmPro软件防火墙。1.网络安全防护:防火墙13如图所示,为Windows中自带的防火墙设置界面。如图所示,为ZoneAlarmPro防火墙软件控制界面。软件形式的防火墙具有安装灵活,便于升级扩展等优点,缺点是安全性受制于其支撑操作系统平台,性能不高。1.网络安全防护:防火墙14如图所示,为我国华为公司的硬件防火墙产品。目前市场上大多数防火墙是硬件防火墙。这类防火墙一般基于PC架构,也就是说这类防火墙和普通PC类似。还有基于特定用途集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、基于网络处理器(NetworkProcessor,NP)以及基于现场可编程门阵列(Field-ProgrammableGateArray,FPGA)的防火墙。这类防火墙采用专用操作系统,因此防火墙本身的漏洞比较少,而且由于基于专门的硬件平台,因而处理能力强、性能高。1.网络安全防护:防火墙15(2)防火墙的工作原理防火墙总体来讲可分为“包过滤型”和“应用代理型”两大类。包过滤防火墙工作在网络层和传输层,它根据通过防火墙的每个数据包的源IP地址、目标IP地址、端口号、协议类型等信息来决定是将让该数据包通过还是丢弃,从而达到对进出防火墙的数据进行检测和限制的目的。1.网络安全防护:防火墙16(2)防火墙的工作原理包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,而是适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。1.网络安全防护:防火墙17(2)防火墙的工作原理包过滤技术在发展中出现了两种不同版本,第一代称为静态包过滤,第二代称为动态包过滤。1.网络安全防护:防火墙181)静态包过滤技术。这类防火墙几乎是与路由器同时产生的,它根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的包头信息进行制订。这些规则常称为数据包过滤访问控制列表(ACL)。各个厂商的防火墙产品都有自己的语法用于创建规则。1.网络安全防护:防火墙22访问控制列表的配置有两种方式:严策略。接受受信任的IP包,拒绝其他所有IP包;宽策略。拒绝不受信任的IP包,接受其他所有IP包。显然,前者相对保守,但是相对安全。后者仅可以拒绝有限的可能造成安全隐患的IP包,网络攻击者可以改变IP地址轻松绕过防火墙,导致包过滤技术在实际应用中失效。所以,在实际应用中一般都应采用严策略来设置防火墙规则。表中所示即应用了严策略。1.网络安全防护:防火墙26(2)防火墙的工作原理2)状态包过滤技术。跟传统包过滤只有一张过滤规则表不同,状态包过滤同时维护过滤规则表和状态表。过滤规则表是静态的,而状态表中保留着当前活动的合法连接,它的内容是动态变化的,随着数据包来回经过设备而实时更新。当新的连接通过验证,在状态表中则添加该连接条目,而当一条连接完成它的通信任务后,状态表中的该条目将自动删除。1.网络安全防护:防火墙27(2)防火墙的工作原理2)状态包过滤技术的局限。基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤。对于包过滤防火墙而言,数据包来自远端主机。由于防火墙不是数据包的最终接收者,仅仅能够对数据包网络层和传输层信息头等控制信息进行分析,所以难以了解数据包是由哪个应用程序发起。目前的网络攻击和木马程序往往伪装成常用的应用层服务的数据包逃避包过滤防火墙的检查,这也正是包过滤技术难以解决的问题之一。1.网络安全防护:防火墙28(2)防火墙的工作原理2)状态包过滤技术的局限。访问控制列表的配置和维护困难。包过滤技术的实现依赖于详细和正确的访问控制列表。在实际应用中,对于一个大型的网络,由于可信任的IP数目巨大而且经常变动,而防火墙的安全性能与访问控制列表中的配置规则出现的先后顺序有关,网络安全策略维护将变得非常繁杂。而且,基于IP地址的包过滤技术,即使采用严策略的防火墙规则也无法避免IP地址欺骗的攻击。1.网络安全防护:防火墙29(2)防火墙的工作原理2)状态包过滤技术的局限。对安全管理人员的要求高,在建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的了解。包过滤防火墙难以详细了解主机之间的会话关系。包过滤防火墙处于网络边界并根据流经防火墙的数据包进行网络会话分析,生成会话连接状态表。由于包过滤防火墙并非会话连接的发起者,所以对网络会话连接的上下文关系难以详细了解,容易受到欺骗。1.网络安全防护:防火墙30(2)防火墙的工作原理2)状态包过滤技术的局限。大多数过滤器中缺少审计和报警机制,只能依据包头信息,而不能对用户身份进行验证,很容易遭受欺骗型攻击。1.网络安全防护:防火墙31(2)防火墙的工作原理3)应用代理技术采用应用代理技术的防火墙工作在应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。应用代理技术的发展也经历了两个版本,第一代的应用层网关(ApplicationGateway)技术,第二代的自适应代理(AdaptiveProxy)技术。1.网络安全防护:防火墙32(2)防火墙的工作原理3)应用代理技术应用层网关可分3种类型:双宿主主机网关;屏蔽主机网关;屏蔽子网网关。这三种网关都要求有一台主机,通常称为“堡垒主机”(BastionHost),它起着防火墙的作用,即隔离内外网的作用。1.网络安全防护:防火墙33(2)防火墙的工作原理3)应用代理技术:双宿主主机网关特点:堡垒主机充当应用层网关。在主机中需要插入两块网卡,用于将主机分别连接到被保护的内网和外网上。在主机上运行防火墙软件,被保护内网与外网间的通信必须通过主机,因而可以将内网很好地屏蔽起来。内网可以通过堡垒主机获得外网提供的服务。1.网络安全防护:防火墙34(2)防火墙的工作原理3)应用代理技术:双宿主主机网关优点:这种应用层网关能有效地保护和屏蔽内网,且要求的硬件较少,因而是应用较多的一种防火墙;缺点:但堡垒主机本身缺乏保护,容易受到攻击。1.网络安全防护:防火墙35(2)防火墙的工作原理3)应用代理技术:屏蔽主机网关特点:为了保护堡垒主机而将它置入被保护网的范围中,在被保护内网与外网之间设置一个屏蔽路由器。它不允许外网用户对被保护内网进行直接访问,只允许对堡垒主机进行访问,屏蔽路由器也只接收来自堡垒主机的数据。与前述的双宿主主机网关类似,也在堡垒主机上运行防火墙软件。1.网络安全防护:防火墙36(2)防火墙的工作原理3)应用代理技术:屏蔽主机网关优点:屏蔽主机网关是一种更为灵活的防火墙软件,它可以利用屏蔽路由器来做更进一步的安全保护。缺点:此时的路由器又处于易受攻击的地位。此外,网络管理员应该管理在路由器和堡垒主机中的访问控制表,使两者协调一致,避免出现矛盾。1.网络安全防护:防火墙37(2)防火墙的工作原理3)应用代理技术:屏蔽子网网关特点:不少被保护网有这样一种要求,即它能向外网上的用户提供部分信息。这部分存放在公用信息服务器上的信息,应允许由外网的用户直接读取。针对这种情况,屏蔽子网网关结构使用一个或者更多的屏蔽路由器和堡垒主机,同时在内外网间建立一个被隔离的子网——DMZ。1.网络安全防护:防火墙38(2)防火墙的工作原理3)应用代理技术:屏蔽子网网关DMZ网络是一个与内部网络和外部网络隔离的小型网络,一般将堡垒主机、Web服务器、邮件服务器以及其他公用服务器放在DMZ网络中。1.网络安全防护:防火墙41(2)防火墙的工作原理3)应用代理技术:屏蔽子网网关堡垒主机上运行代理服务,它是一个连接外部非信任网络和可信网络的“桥梁”。堡垒主机是最容易受侵袭的,万一堡垒主机被控制,如果采用了屏蔽子网体系结构,入侵者仍然不能直接侵袭内部网络,内部网络仍受到内部屏蔽路由器的保护。1.网络安全防护:防火墙42(2)防火墙的工作原理4)自适应代理技术:特点:采用这种技术的防火墙有两个基本组件:自适应代理服务器(AdaptiveProxyServer)与动态包过滤器(DynamicPacketFilter)。在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。1.网络安全防护:防火墙43(2)防火墙的工作原理4)自适应代理技术:在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应代理的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。1.网络安全防护:防火墙46(2)防火墙的工作原理5)虚拟专用网VPN:如图所示,组织内部的用户出差了,或是回家后如何使用组织内网。例如学校的图书馆资源进行IP限制。远程用户可以通过因特网建立到组织