信息安全管理第5讲网络安全技术(一.ppt

《信息安全管理第5讲网络安全技术(一.ppt》由会员分享，可在线阅读，更多相关《信息安全管理第5讲网络安全技术(一.ppt（42页珍藏版）》请在装配图网上搜索。

1、第5讲 网络安全技术（一）,FW、VPN,1 引言,意义： 信息安全主要内容 信息安全管理重要技术保证 内容 网络安全技术 网络的攻与防 网络漏洞和补丁,范围： 认证机制：PKI 访问控制：FW、 保密通信： IPSec、SSL、SHTTP、SMIME 各种网络攻防技术,2 防火墙,基本概念 关键技术 体系结构 网络隔离,基本概念,防火墙概念 William Cheswick和Steve Beilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质： 只允许本地安全策略授权的通信信息通过 双向通信信息必须通过防火墙 防火墙本身不会影响信息的流通 防火墙是位于两个

2、信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。,防火墙缺陷 使用不便，认为防火墙给人虚假的安全感 对用户不完全透明，可能带来传输延迟、瓶颈及单点失效 不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 不能有效地防范数据驱动式的攻击 当使用端-端加密时，其作用会受到很大的限制,防火墙分类 软件防火墙、硬件防火墙 Windows、Linux防火墙 主机防火墙、网络防火墙 基于不同技术的防火墙,关键技术

3、,数据包过滤 依据事先设定的过滤规则，对所接收的每个数据包做允许拒绝的决定。 数据包过滤优点： 速度快，性能高 对用户透明 数据包过滤缺点： 维护比较困难(需要对TCP/IP了解） 安全性低（IP欺骗等） 不提供有用的日志，或根本就不提供 不防范数据驱动型攻击 不能根据状态信息进行控制 不能处理网络层以上的信息 无法对网络上流动的信息提供全面的控制,NAT （Network Address Translation） 网络地址转就是在防火墙上装一个合法IP地址集，然后 当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户； 同时，对于内部的某些服务器如We

4、b服务器，网络地址转换器允许为其分配一个固定的合法地址。 地址翻译主要用在两个方面： 网络管理员希望隐藏内部网络的IP地址。这样互联网上的主机无法判断内部网络的情况。 内部网络的IP地址是无效的IP地址。 这种情况主要是因为现在的IP地址不够用，要申请到足够多的合法IP地址很难办到，因此需要翻译IP地址。,防火墙网关,应用层代理 网关理解应用协议，可以实施更细粒度的访问控制 对每一类应用，都需要一个专门的代理 灵活性不够,客,户,网,关,服务器,电路级网关 拓扑结构同应用程序网关相同 接收客户端连接请求，代理客户端完成网络连接 在客户和服务器间中转数据 通用性强,体系结构,双宿主主机体系 双重

5、宿主主机的特性： 安全至关重要（唯一通道），其用户口令控制安全是关键。 必须支持很多用户的访问（中转站），其性能非常重要。 缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。,屏蔽主机体系 屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单，可能就是简单的路由器。 典型构成：包过滤路由器堡垒主机。 包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。 堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。,因特网,屏蔽子网体系 屏蔽子网体系结构在本质上与屏蔽主机体

6、系结构一样，但添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。 原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。,周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。 周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。例: netxray等的工作原理。 堡垒主机 堡垒主机位于周边网络，是整个防御体系的核心。 堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。 对于出站服务不一定要求所有的服务经过堡垒主机代理

7、，但对于入站服务应要求所有服务都通过堡垒主机。,网络隔离,物理隔离的指导思想与防火墙绝然不同：防火墙的思路是在保障互联互通的前提下，尽可能安全，而物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。 一个典型的物理隔离方案（处于完全隔离状态）,一个典型的物理隔离方案（隔离设备处于与外网相连状态）,一个典型的物理隔离方案（隔离设备处于与内网相连状态）,物理隔离不足 物理隔离也存在许多弊端。例如，内网用户就无法使用丰富的国际互联网的各种资源，譬如查询资料和国际电子邮件，而对于用户来说，这些又是对工作非常需要的。另外，要做到真正的物理上的隔离，还会导致投资成本的增加，占用较大办公空间。而且如果使

8、用两台机器分别接入内网和公网的话，还存在网络设置复杂、维护难度较大的问题。,3 VPN,基本概念 IPSec IKE SSL,基本概念,VPN的定义： 是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的数据通信网络，这里所指的公用网络有多种，包括IP网络、帧中继网络和ATM网络。 虚拟专用网 IETF对基于IP的VPN定义：使用IP机制仿真出一个私有的广域网。,VPN分类 按VPN业务类型划分： Intranet VPN（内部公文流转） Access VPN（远程拨号VPN） Extranet VPN（各分支机构互联） 按VPN发起主体划分： 客户发起，也称基于客户的VPN 服务器发

9、起，也称客户透明方式或基于网络的VPN 按隧道协议层次划分： 二层隧道协议：L2F/L2TP 、PPTP 三层隧道协议：GRE （通用路由封装协议） 、IPSec 介于二、三层间的隧道协议：MPLS 基于SOCKS V5的VPN 此外，根据VPN实现方式不同，还可进一步分为软件实现和硬件实现等。,VPN技术 隧道技术 隧道是在公共通信网络上构建的一条数据路径，可以提供与专用通信线路等同的连接特性。 隧道使用隧道协议来封装数据。一种协议X的数据报被封装在协议Y中，可以实现协议X在公共网络的透明传输。这里协议X称作被封装协议，协议Y称为封装协议。隧道的一般封装格式为(协议Y(隧道头(协议X)。 密

10、钥管理 VPN技术的开放性预示着必须采用各种公开密码算法，这样算法的安全强度不能依赖于算法本身，只能依靠密钥的机密性。大规模部署VPN，也离不开自动密钥管理协议的支持。 VPN系统中常用的几种密钥管理协议包括：IKE协议、SKIP协议、Kerberos协议。,IPSec,IPSec体系 IPSec协议提供的安全服务包括：访问控制、无连接完整性、数据源鉴别、重传攻击保护、机密性、有限的流量保密等。,ike定义了安全参数如何协商,以及共享密钥如何建立,但它没有定义的是协商内容.这方面的定义是由解释域(doi)文档来进行的,AH和ESP,IPSec模式,SADB SA(Security Associ

11、ation)：是两个IPSec通信实体之间经协商建立起来的一种共同协定，它规定了通信双方使用哪种IPSec协议保护数据安全、应用的算法标识、加密和验证的密钥取值以及密钥的生存周期等等安全属性值。 SP是一个描述规则，定义了对什么样的数据流实施什么样的安全处理，至于安全处理需要的参数在SP指向的一个结构SA中存储。,IPSec流程 数据包输出处理 数据包被从网络设备发送出去之前，截取到IP包，然后从中提取选择符信息，依据之搜索SPD，产生如下可能结果： SP决定丢弃此包，于是直接丢弃，或者还可 以向源主机发送ICMP信息； SP决定通过此包，直接将数据包投放到网络设备的发送队列； SP决定应用I

12、PSec，此时SP要么指向一个SA,可以根据它进行安全处理，要么需要的SA不存在，则触发IKE模块协商建立SA，协商周期内数据包进入等待队列等待协商完成，若协商超时，也会丢弃该包。 数据包输入处理 系统收到IP包后，判断如果是IPSec包，则从头部取到，搜索SADB。 若找不到SA，丢弃包； 若找到，根据其进行解封装，得到去通道化后的原始IP包，再从原始IP包中提取选择符，搜索到SPD中某一条目，检查收到包的安全处理是否符合描述规则，不符合则丢弃包，符合则转入系统IP协议栈进行后继处理。,IKE,IKE的两个阶段 阶段一交换(phase1 exchange):在“阶段一”周期里，两个IKE实体

13、建立一个安全的，经验证的信道进行后续通信，要建立这样的安全信道，双方会建立一对ISAKMP安全联盟。阶段一交换可以用身份保护模式(也叫主模式)或野蛮模式来实现，而这两种模式也仅用于阶段一中。 阶段二交换(phase2 exchange): “阶段二”周期里，IKE实体会在阶段一建立起来的安全信道中，为某种进程协商和产生需要的密钥材料和安全参数，在VPN实现中，就是建立IPSec安全联盟。快速模式交换可用来实现阶段二交换并且仅用于此阶段中。,身份保护模式 (1) 发起者生成他认为适当的安全提案列表，提交给响应方。 (2) 响应者与本地策略进行匹配和选择之后，将最终决定的安全联盟内容同样用相应载荷

14、回送发起者。 在消息(3)、(4)中，发起者和响应者交换DH公开值，和随机信息串nonce，在第四步完成时，双方已经可以经计算得出共享的DH公共值，以及各自计算出SKEYID和相关衍生密钥。 消息(5)和消息(6)中，双方使用前两步得出的加密、验证算法和密钥保护传输的数据。 当采用数字签名的身份验证方法时，消息(5)和(6)可以包含证书载荷，将自己的公钥证书发给对方，验证数据AUTH DATA就是数字签名的运算结果，在这里数字证书也可以是从有效的远程有效的认证中心通过LDAP、DNSSEC等协议获得。,SSL,SSL基本情况 协议的设计目标：为两个通讯个体之间提供保密性和完整性(身份认证)；互

15、操作性、可扩展性、相对效率 为上层协议提的供安全性：保密性、身份认证和数据完整性 SSL连接（connection) 一个连接是一个提供一种合适类型服务的传输（OSI分层的定义）。 SSL的连接是点对点的关系。 连接是暂时的，每一个连接和一个会话关联。 SSL会话（session） 一个SSL会话是在客户与服务器之间的一个关联。会话由Handshake Protocol创建。会话定义了一组可供多个连接共享的加密安全参数。 会话用以避免为每一个连接提供新的安全参数所需昂贵的谈判代价。,SSL协议体系：协议分为两层 底层：TLS记录协议 上层：TLS握手协议、TLS密码变化协议、TLS警告协议,T

16、LS记录协议 建立在可靠的传输协议(如TCP)之上，为更高层提供基本安全服务。特别是HTTP，它提供了Web的client/server交互的传输服务，可以构造在SSL之上。 它提供连接安全性，有两个特点 保密性，使用了对称加密算法 完整性，使用HMAC算法 用来封装高层的协议 SSL Handshake Protocol, SSLChange Cipher Spec Protocol, SSL Alert Protocol是SSL的高层协议，用于管理SSL交换。,SSL握手协议 功能 客户和服务器之间相互认证 协商加密算法和密钥 它提供连接安全性，有三个特点 身份认证，至少对一方实现认证，也可以是双向认证 协商得到的共享密钥是安全的，中间人不能够知道 协商过程是可靠的,整体流程 (1)、交换Hello消息，对于算法、交换随机值等协商一致 (2)、交换必要的密码参数，以便双方得到统一的premaster secret (3)、交换证书和相应的密 码信息，以便进行身份认证 (4)、产生master secret (5)、把安全参数提供给TLS记录层 (6)、检验双方是否已经获得同样的安全参数,5 本讲小结,技术集成 安全管理平台技术 风险管理技术,