《网络安全结构设计》PPT课件.ppt

第五章网络安全结构设计,在1995年，计算机安全机构CSI（ComputerSecurityInstitute）对全球财富500家企业中的242家进行了调查发现。12%的企业因为网络的非法入侵而遭受过损失，平均损失45万美元，总共损失将近5000万美元。1996年对美国5000家私有企业、金融机构和大学进行计算机犯罪和安全调查发现，42%的调查者回答，在过去的12个月中，他们的计算机系统不同程度的经历过非授权使用。,本章重点,51影响网络安全的隐患52网络安全技术概述53网络安全结构设计54防火墙55网络操作系统安全性概述,51影响网络安全的隐患,5.1.1网络窃听Sniffer技术可以让内部局域网的入侵者快速探测内部网上的主机并获得控制权，通过分析以太网的数据帧获得有用的信息，比如网络服务器上的用户名和密码等。,影响网络安全的隐患,5.1.1网络窃听,防范网络窃听的方法使用交换机分段加密使用软件进行监控如antiSniffer可监控网段上所有网卡的工作状态,5.1.2完整性破坏,完整性破坏指的是在公共网络上传输的数据存在着被篡改的可能。保护完整性的唯一方法就是使用散列（Hash）函数算法。散列函数生成的信息摘要具有不可逆性，任何人都不能将其还原成原始数据。,影响网络安全的隐患,5.1.3地址欺骗,地址欺骗技术的简单原理就是伪造一个被主机信任的IP地址，从而获得主机的信任而造成攻击。,影响网络安全的隐患,伪装成172.16.0.100,攻击者发SYN洪水包使其死机,攻击目标主机,5.1.4拒绝服务攻击,拒绝服务攻击（DenyofService，即DOS）通常是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，实现攻击目的。分布式拒绝服务攻击DDOS是危害很大的网络破坏方式。,影响网络安全的隐患,P120,拒绝服务攻击的过程,探测扫描大量主机以寻找可入侵主机目标,在每台入侵主机中安装攻击程序,入侵有安全漏洞的主机并获取控制权,利用已入侵主机继续进行扫描和入侵,5.1.5计算机病毒,计算机病毒其实就是一种程序，只不过这种程序能破坏计算机系统，并且能潜伏在计算机中，复制，感染其它的程序和文件。,影响网络安全的隐患,5.1.5.2病毒的危害,系统速度变慢甚至资源耗尽而死机（内存）硬盘容量减小（Nimda）网络系统崩溃（梅丽莎病毒、欢乐时光）数据破坏和硬件损坏（CIH）,影响网络安全的隐患,5.1.5.3病毒的分类,文件型病毒引导扇区病毒混合型病毒宏病毒木马病毒蠕虫病毒网页病毒,影响网络安全的隐患,目前网络上传播的多半是这三种类型的病毒，日常工作中尤其要引起注意,5.1.6系统漏洞,系统漏洞实际上是软件设计中的缺陷，也被称为Bug，但由于这些漏洞被Hacker用来设计病毒或实施攻击，因此，人们就把漏洞和安全问题联系起来了。管理员要想解决漏洞的危害必须学会如何查漏和补漏，经常访问Internet上的安全公告，及时下载相关安全补丁堵漏。,影响网络安全的隐患,5.2网络安全技术概述,521身份验证技术522数据完整性技术523跟踪审计技术524信息加密技术525防火墙技术,网络安全技术概述,5.3.1网络结构划分,按照对网络数据安全等级的标准，可以将网络结构划分为外部网（简称为外网）、内部网（简称为内网）和公共子网。,网络安全结构设计,P114,1.外网,外网：Internet。网通，电信，铁通等都已经超过了局域网的覆盖范围，应该算是外网。判断外网与内网关键看它是不是与广阔的外界互联。我们说的www的概念就是这样，worldwideweb。它是世界范围内的互联。只要你连接了internet，可与外界（世界范围）进行互通，就是外网。,2.内网,内网：局域网，网吧、校园网、光纤到楼、小区宽带、有线电视基于以太网技术，属于内网。内网接入方式：上网的计算机得到的IP地址是Inetnet上的保留地址，有如下3种形式：10.x.x.x172.16.x.x至172.31.x.x192.168.x.x内网的计算机以NAT（网络地址转换）协议，通过一个公共的网关访问Internet。内网的计算机可向Internet上的其他计算机发送连接请求，但Internet上其他的计算机无法向内网的计算机发送连接请求。,3公共子网,将一部分可以向Internet用户提供公共服务的服务器设备单独从内网中隔离出来，即允许外部用户访问也允许内部用户访问，这就是公共子网，也称作军事管制区（DemilitarizedZone，DMZ）。该子网是内部用户和外部用户都唯一能到达的网络区域，提供对内和对外的各种服务，负责传递或代理外部对内部的访问和内部对外部的访问。,网络安全结构设计,5.3.2双宿主机结构,双宿主机是一台具有多个网络接口的主机，它可以进行内部网络与外部网络之间的寻径，可以充当与这台主机相连的若干网络之间的路由器。,网络安全结构设计,5.3.3主机过滤结构,主机过滤结构防火墙由过滤路由器和堡垒主机共同组成。,网络安全结构设计,P116,5.3.4子网过滤结构,网络安全结构设计,5.3.4子网过滤结构,在这种结构中，有两台过滤器连接到公共子网，一台位于公共子网与内部网络之间，而另一台位于参数网络与外部网络之间。这样，入侵者必须通过两台路由器和堡垒主机的安全控制才能抵达网络，同时还可以限制某些服务使之只能在指定的主机上与内部网络站点之间传递。这种方式大大增强了网络的安全性能，并且由于路由器控制数据包流向，提高了网络的吞吐能力，但是系统设置较为复杂。,网络安全结构设计,5.3.2防火墙体系结构,为了实现安全需求，防火墙体系结构一般设计得比较复杂，可以是上述结构中的一种或者是几种的结合：1使用多堡垒主机2合并内部路由器与边界路由器3合并堡垒主机与内部路由器4使用多台内部路由器5使用多台外部路由器6使用多个周边网络7使用双重宿主主机与DMZ子网,网络安全结构设计,5.4.1防火墙概述,防火墙是一种在内部网和外部网之间实施的安全防范措施，可以认为它是一种访问机制，用于确定哪些内部服务可以提供给外部服务器，以及哪些外部服务器可以访问内部网资源。防火墙存在的形式只有两种。软件的形式运行在计算机上硬件的形式存在,防火墙,5.4.1防火墙概述,一个防火墙系统应具有以下几个方面的特性和功能：（1）所有在该内部网和外部网之间交换的数据都可以而且只能经过该防火墙；（2）只有被防火墙检测后合格，即防火墙系统中安全策略允许的数据才可以自由出入防火墙，其它不合格的数据一律被禁止通过；（3）防火墙的技术是最新安全的技术，和时代是同步的；（4）防火墙本身不受任何攻击；（5）人机界面友好，易于操作，易于系统管理员进行配置和控制。,防火墙,5.4.2防火墙技术,防火墙根据内部所使用的技术一般可以分为：包过滤防火墙应用级网关电路级网关,防火墙,5.4.2.1包过滤防火墙,包过滤器的工作是检查每个包的头部中的有关字段。网络管理员可以配置包过滤器，指定要检测哪些字段以及如何处理等等。,防火墙,包过滤防火墙优缺点,包过滤防火墙工作在网络协议IP层，它只对IP包的源地址、目标地址及相应端口进行处理优点速度比较快，能够处理的并发连接比较多缺点是对应用层的攻击无能为力。代理服务器防火墙将收到的IP包还原成高层协议的通讯数据，比如http连接信息，因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢，能够处理的并发数比较少。,几种常见的攻击包过滤防火墙的形式,IP地址欺骗：外部的攻击包使用内部的IP地址进行欺骗解决方法：禁止使用内部的IP地址的外部包对内网进行访问源路由攻击：攻击者为攻击包指定路由，避开安全检查解决方法：丢弃包含源路由选项的数据包微小碎片攻击：攻击者利用IP分段选项来产生很多非常小的分段来阻止基于TCP头文件信息的过滤规则的检查执行。解决方法：丢弃协议是TCP而分段偏移量为1的那些包,5.4.2.2应用级网关,应用级网关防火墙安装在网络应用层上，它是一种比包过滤防火墙更加安全的防火墙技术。,防火墙,应用级网关,应用级网关使用一个特殊的目的代码。对每一种所希望的服务首先要把这种服务的代码安装在网关上，每当添加一种新的需要保护的服务时，必须为其编制相应的程序代码，否则该服务就不能被支持且不能通过该应用级网关。应用级网关防火墙允许用户访问服务代码，但不允许用户登录到该网关。,包过滤防火墙和应用级网关防火墙的特点,包过滤防火墙和应用级网关防火墙有一个共同的特点：它们仅仅依靠特定的逻辑判断是否允许数据包通过。包过滤防火墙依靠的逻辑是过滤规则集应用级网关依靠的逻辑是特定的应用程序代码,5.4.2.3电路级网关,电路级网关也称为代理服务器或TCP通道主要技术特点是不允许直接建立端对端的连接，而是将跨越防火墙的网络通信链路分为两段，通过代理服务器建立两个TCP连接。,防火墙,转发应答,5.4.2.3电路级网关,代理服务是运行在网络主机上的一个软件应用程序，它就像外部网和内部网之间的中间媒介，筛选进出的数据。运行代理服务的网络主机称为代理服务器或网关。对于外部网络，代理服务器相当于内部网络的一台服务器，实际上它只是内部网络的一台过滤设备。代理服务器的安全性除了表现在它可以隔断内部和外部网络的直接连接，还可以防止外部网络发现内部网络的地址。,防火墙,5.4.2.4新型防火墙技术,新型防火墙，既有包过滤的功能，又能在应用层进行代理。它具有以下7项特点：（1）综合包过滤和代理技术，克服二者在安全方面的缺陷。（2）能从数据链路层一直到应用层施加全方位的控制。（3）实现TCP/IP协议的微内核，从而在TCP/IP协议层进行各项安全控制。,防火墙,新型防火墙技术,（4）基于上述微内核，速度超过传统的包过滤防火墙。（5）提供透明代理模式，减轻客户端的配置工作。（6）支持数据加密、解密（DES和RSA），提供对虚拟网VPN的强大支持。（7）内部信息完全隐藏。注：DES（DataEncryptionStandard，）数据加密标准RSA该算法需要一对密钥，使用其中一个加密，则需要用另一个才能解密。算法的名字以发明者的名字命名：,5.4.3.2防火墙产品介绍,1CiscoPIX515E防火墙23COM的SuperStack防火墙3天融信网络卫士NGFW40004东软的Neteye3.2,防火墙,图5-11CiscoPIX515E防火墙外观图,5.4.4架设防火墙的步骤,1制定安全策略2搭建安全体系结构3制定规则次序4落实规则集5注意更换控制6做好审计工作,防火墙,5.5网络操作系统安全性概述,现代的网络操作系统一般具有下列特点：（1）多用户支持（2）访问控制（3）安全性管理（4）网络管理功能（5）对TCP/IP协议的良好支持目前市场上流行的网络操作系统主要有三种：Novell公司的NetWare操作系统、Microsoft公司的WindowsNT/Windows2000操作系统、各种版本的Unix/Linux操作系统。,网络操作系统安全性概述,5.5.1Windows2000安全性,作为WinNT的升级版本，Win2000操作系统不仅具有一般操作系统的功能，还具有强大的局域网管理功能。它可通过多种技术和手段来控制用户对资源的访问，提高网络的安全性，其中包括与活动目录（ActiveDirectory）服务的集成、支持认证Windows2000用户的Kerberosv5认证协议、提供了公钥基础设施PKI支持，用公钥证书对外部用户进行认证、使用加密文件系统EFS（EncryptingFileSystem）保护本地数据以使用Internet协议安全IPSec（InternetProtocolsecurity）来保证通过公有网络的通信的安全性，以及基于Windows2000的安全应用开发的可扩展性等等。,网络操作系统安全性概述,5.5.1.2Win2000的用户账号,网络操作系统安全性概述,5.5.1.3Win2000的本地安全策略,网络操作系统安全性概述,5.5.1.4提高Win2000安全性的措施,1使用NTFS文件系统，而不用FAT文件系统2启用合适的密码策略3启用系统审核4定期备份日志文件5为系统管理员账号和来宾账号改名6尽量不使用NetBios协议7合理使用Win2000提供的网络服务8关闭不必要的端口9删除中文输入法的帮助文件，或者改名，避免输入法漏洞10加强学习，及时堵漏,网络操作系统安全性概述,作业,网络工程原理与实践胡胜红、毕娅编著人民邮电出版社,Sniffer,Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。,返回,病毒的分类1,文件型病毒感染.COM、.EXE引导扇区病毒改写引导扇区的内容使系统无法引导混合型病毒具有以上两种病毒的特点宏病毒利用Word程序的宏编程功能编写的病毒程序，只感染Word文件。Office里的excel、powerpoint等也有,返回,病毒的分类2,木马病毒潜伏在计算机中蠕虫病毒最危险的病毒，通过互联网自动传播网页病毒利用JavaApplet或者ActiveXControl设计的恶意程序，攻击系统漏洞，修改注册表，破坏硬件，甚至自动下载蠕虫病毒代码,返回,JavaApplet,JavaApplet就是用Java语言编写的一些小应用程序，它们可以直接嵌入到网页中，并能够产生特殊的效果。包含Applet的网页被称为Java-Powered页，可以称其为Java支持的网页。当用户访问这样的网页时,Applet被下载到用户计算机上执行，但前提是用户使用的是支持Java的网络浏览器。由于Applet是在用户计算机上执行的，因此它的执行速度是不受网络宽带或者MODEM存取速度的限制，用户可以更好的欣赏网页上Applet产生的多媒体效果。,返回,ActiveXControl,利用ActiveX技术开发的一种“零部件式的”软件。这种控件可以插入Web页中，也可以利用VisualC+和VisualBasic等开发工具将其插入到GUI程序中GUI：图形用户界面(GraphicalUserInterface，简称GUI，又称图形用户接口)是指采用图形方式显示的计算机操作用户界面。,返回,Bug,【音标】：bg【词典解释】：名词n.1.虫子2.病菌3.臭虫4.窃听器5.故障,毛病,返回,521身份验证技术,身份验证技术确认合法的用户名、密码和访问权限三方面的安全性，,返回,522数据完整性技术,使用散列（Hash）函数算法。散列函数生成的信息摘要具有不可逆性，任何人都不能将其还原成原始数据。,返回,跟踪审计技术,每一次网络的登录信息都记录，记录下来的文件称为网络日志，便于检查登录的合法性，从中找出非法用户的踪迹。,返回,信息加密技术,常用的加密技术有对称加密和非对称加密。安全性与硬件性能和所选密钥的长度有关,返回,防火墙技术,防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。,返回,双宿主机,任何拥有多个接口卡的系统都被称为多宿的，双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件，可以转发应用程序，提供服务等。双宿主机称为堡垒主机双宿主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。双宿主机网关的一个致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内网。,返回,