《网络安全技术》PPT课件

《《网络安全技术》PPT课件》由会员分享，可在线阅读，更多相关《《网络安全技术》PPT课件（116页珍藏版）》请在金锄头文库上搜索。

1、网络安全技术 主要内容 1网络安全威胁 2访问控制技术 3防火墙技术 4信息安全检测：IDS 5隐患扫描技术 6VPN技术 7病毒防范技术 安全层次 安全的密码算法 安全协议 网络安全 系统安全 应用安全 1.网络安全威胁 网络通信安全模型 威胁类型 网络安全包括数据安全和系统安全 数据安全受到四个方面的威胁 设信息是从源地址流向目的地址，那么正常的信息流向 是： 信息源信息目的地 网络安全的四种威胁 中断威胁:使在用信息系统统毁坏或不能使用的攻击击， 破坏可用性。如硬盘盘等一般硬件的毁坏， 通信线线路的切断，文件管理系统统的瘫痪瘫痪 等。 信息源信息目的地 伪造威胁:一个非授权权方将伪伪造的

2、客体插入系统统中的攻击击 破坏真实实性。包括网络络中插入假信件，或者在 文件中追加记录记录 等。 信息源 信息目的地 网络安全的四种威胁 修改威胁:一个非授权方不仅介入系统而且在系统中瞎捣 乱的攻击，破坏完整性。包括改变数据文件， 改变程序使之不能正确执行，修改信件内容等。 侦听威胁:一个非授权方介入系统的攻击，破坏保密性。 非授权方可以是一个人，一个程序，一台微机。 包括搭线窃听，文件或程序的不正当拷贝等。 信息源 信息目的地 信息源信息目的地 四种主要的攻击 冒充攻击：一个实体假装成另外一个实体。 在鉴别过程中，获取有效鉴别序列，在以后冒名重播的 方式获得部分特权。 重放攻击：获获取有效数

3、据段以重播的方式获获取对对方信任。 在远远程登录时录时 如果一个人的口令不改变变，则则容易被第三 者获获取，并用于冒名重放。 修改攻击：信件被改变变，延时时，重排，以至产产生非授权权 效果。 如信件“允许张许张 三读读机密帐帐簿”可被修改成“允许许李四 读读机密帐帐簿” 四种主要的攻击 拒绝服务攻击：破坏设备的正常运行和管理。 这种攻击往往有针对性或特定目标。 一个实体抑制发往特定地址(如发往审计服务器)的 所有信件。 或将整个网络扰乱，扰乱的方法是发送大量垃圾信 件使网络过载，以降低系统性能。 2.访问控制技术 l网络安全门户是访问控制与防火墙技术。访问控制技术 过去主要用于单机状态，随着网

4、络发展，该项技术得到长 足的进步。 l访问控制是网络安全防范和保护的主要策略，它的主要 任务是保证网络资源不被非法使用和访问。它是保证网络 安全最重要的核心策略之一。 l访问控制涉及的技术比较广，包括入网访问控制、网络 权限控制、目录级控制以及属性控制等多种手段。 1).入网访问控制 为网络访问提供了第一层访问控制。它控制哪些用户 能够登录到服务器并获取网络资源，控制准许用户入网的 时间和准许他们在哪台工作站入网。 用户的入网访问控制 可分为三个步骤： 用户名的识别与验证; 用户口令的识别与验证; 为保证口令的安全性，用户口令不能显示在显示屏上，口令长度 应不少于6个字符，口令字符最好是数字、

5、字母和其他字符的混合， 用户口令必须经过加密。 用户还可采用一次性用户口令，也可用便携式验证器（如智能卡） 来验证用户的身份。 用户账号的缺省限制检查。 网络管理员可以控制和限制普通用户的账号使用、访问 网络的时间和方式。用户账号应只有系统管理员才能建立。 用户口令应是每用户访问网络所必须提交的“证件”、用 户可以修改自己的口令，但系统管理员应该可以控制口令的 限制：最小口令长度、强制修改口令的时间间隔、口令的唯 一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后，再进一步履行用户账号的 缺省限制检查。网络应能控制用户登录入网的站点、限制用 户入网的时间、限制用户入网的工作站数

6、量。当用户对交费 网络的访问“资费”用尽时，网络还应能对用户的账号加以限 制，用户此时应无法进入网络访问网络资源。 网络应对所有用户的访问进行审计。如果多次输入口令 则认为是不正确，非法用户的入侵，应给出报警信息。 2).网络权限控制 针对网络非法操作所提出的一种安全保护措施。用户和用 户组被赋予一定的权限。网络控制用户和用户组可以访问哪些 目录、子目录、文件和其他资源。可以指定用户对这些文件、 目录、设备能够执行哪些操作。 两种实现： 受托者指派; 控制用户和用户组如何使用网络服务器的目录、文件和设备 继承权限屏蔽（irm）. 相当于一个过滤器，可以限制子目录从父目录那里继承哪些 权限。 用

7、户分类 可以根据访问权限将用户分为： 特殊用户(系统管理员)； 一般用户：系统管理员根据他们的实际需要为他们分配操 作权限； 审计用户：负责网络的安全控制与资源使用情况的审计。 用户对网络资源的访问权限可以用访问控制表来描述。 3).目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。用户 在目录一级指定的权限对所有文件和子目录有效，用户还 可进一步指定对目录下的子目录和文件的权限。 对目录和文件的访问权限一般有8种： 系统管理员权限、读权限、写权限、创建权限、删除权 限、修改权限、文件查找权限、访问控制权限。 一个网络管理员应当为用户指定适当的访问权限，这些 访问权限控制着用户对服务

8、器的访问。8种访问权限的有效 组合可以让用户有效地完成工作，同时又能有效地控制用 户对服务器资源的访问 ，从而加强了网络和服务器的安全 性。 4).属性安全控制 当用文件、目录和网络设备时，网络系统管理员应给文 件、目录等指定访问属性。属性安全在权限安全的基础上提 供更进一步的安全性。 网络上的资源都应预先标出一组安全属性。用户对网络 资源的访问权限对应一张访问控制表，用以表明用户对网络 资源的访问能力。属性设置可以覆盖已经指定的任何受托者 指派和有效权限。属性往往能控制以下方面的权限： 向某个文件写数据、拷贝一个文件、删除目录或文件、 查看目录和文件、执行文件、隐含文件、共享、系统属性等。

9、5 ).服务器安全控制 网络允许在服务器控制台上执行一系列操作。用户使用控 制台可以装载/卸载模块，可以安装和删除软件等操作。 网络服务器的安全控制包括： 设置口令锁定服务器控制台，以防止非法用户修改、 删除重要信息或破坏数据； 设定服务器登录时间限制； 非法访问者检测； 关闭的时间间隔。 3.防火墙技术 防火墙技术是网络安全的关键技术之一，只要网络世界 存在利益之争，就必须要自立门户-有自己的网络防火墙 防火墙技术是建立在现代通信网络技术和信息安全技术 基础上的应用性安全技术，越来越多地应用于专用网络与公 用网络的互联环境之中，尤以Internet网络为最甚（ Internet发展速度惊人，

10、每天都有成千上万的主机连入 Internet，它的内在不安全性已受到越来越多的关注）。 防火墙墙是一种将内部网和公众网分开的方法。它能限制 被保护护的网络络与与其他网络络之间进间进 行的信息存取、传递传递 操 作。 Intranet 防 火 墙 Internet 客户机电子邮件服务器 Web服务器 数据库服务器 (1)防火墙示意图 在逻辑上，防火墙是一个分离器，一个限制器，也是一个 分析器，有效地监控了内部网和 Internet 之间的任何活动，保 证了内部网络的安全。 防火墙(Firewall) l防火墙的基本设计目标 对于一个网络来说，所有通过“内部”和“外部”的网络流量 都要经过防火墙

11、通过一些安全策略，来保证只有经过授权的流量才可以 通过防火墙 防火墙本身必须建立在安全操作系统的基础上 l防火墙的控制能力 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能 够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为 防火墙能为我们做什么 l定义一个必经之点 挡住未经授权的访问流量 禁止具有脆弱性的服务带来危害 实施保护，以避免各种IP欺骗和路由攻击 l防火墙提供了一个监视各种安全事件的位置，因此可以 在防火墙上实现审计和报警 l对于有些Internet功能，防火墙也可以是一个理想的平台 ，比地址转换、Interne

12、t日志、审计，甚至计费功能 l防火墙可以作为IPSec (Internet 协议安全性)的实现平台 提供安全决策的集中控制点，使所有进出网络的信息都 通过这个检查点，形成信息进出网络的一道关口； 针对不同用户的不同需求，强制实施安全策略，起到“ 交通警察”的作用； 对用户的操作和信息进行记录和审计，分析网络侵袭和 攻击； 防止机密信息的扩散(功能有限如防内部拨号) 限制内部用户访问特殊站点 屏蔽内部网的结构 (2)防火墙墙的功能 (3)防火墙墙的类型 OSI模型防火墙 应用层网关级级 表示层 会话层 传输层电路级 网络层路由器级级 数据链路 层 网桥级 物理层中继器级 包过滤防火墙 应用代理防

13、火墙 电路级网关 按网络体系结构分类 按应用技术分类 包过滤过滤 技术术(Packet Filter)：通过过在网络连络连 接设设 备备上加载载允许许、禁止来自某些特定的源地址、目的 地址、TCP端口号等规则规则 ，对对通过设备过设备 的数据包进进 行检查检查 ，限制数据包进进出内部网络络.数据包过滤可 以在网络层截获数据,使用一些规则来确定是否转发 或丢弃所截获的各个数据包。 F 优点：对用户透明；对网络的规模没有限制。 缺点：只能进行初步的安全控制；没有用户的访 问记录；设置过滤规则困难 (4)防火墙墙的实现实现 技术术包过滤过滤 技术术 包过滤路由器 基本思想很简单 对于每个进来的包，适

14、用一组规则，然后决定转发或者 丢弃该包 往往配置成双向的 如何过滤 过滤的规则以IP和传输层的头中的域(字段)为基础，包 括源和目标IP地址、IP协议域、源和目标端口号 过滤器往往建立一组规则，根据IP包是否匹配规则中指 定的条件来作出决定。 l如果匹配到一条规则，则根据此规则决定转发或者丢 弃 l如果所有规则都不匹配，则根据缺省策略 安全缺省策略 l两种基本策略，或缺省策略 没有被拒绝的流量都可以通 过 l管理员必须针对每一种 新出现的攻击，制定新的规则 没有被允许的流量都要拒绝 l比较保守 l根据需要，逐渐开放 包过滤路由器示意图 网络层 链路层 物理层 外部网络 内部网 络 包过滤防火墙

15、的特点 l在网络层上进行监测 并没有考虑连接状态信息 l通常在路由器上实现 实际上是一种网络的访问控制机制 l优点： 实现简单 对用户透明 效率高 l缺点： 正确制定规则并不容易 不可能引入认证机制 针对包过滤防火墙的攻击 lIP地址欺骗，如假冒内部的IP地址 对策：在外部接口上禁止内部地址 l源路由攻击，即由源指定路由 对策：禁止这样的选项 l小碎片攻击，利用IP分片功能把TCP头部切分到不同 的分片中 对策：丢弃分片太小的分片 l利用复杂协议和管理员的配置失误进入防火墙 如利用ftp协议对内部进行探查 (4)防火墙墙的实现实现 技术术电路级网关 l工作在传输层。 l它在两个主机首次建立TC

16、P连接时创立一个电子 屏障，建立两个TCP连接。 l一旦两个连接建立起来，网关从一个连接向另一 个连接转发数据包，而不检查内容。 l也称为通用代理（统一的代理应用程序），各协 议可透明地通过通用代理防火墙。 l电路级网关实现的典型例子是SOCKS(防火墙安 全会话转换协议软件包) 。 SOCKS系统 电路层网关 电路层网关的优缺点 l优点 效率高 精细控制，可以在应用层上授权 为一般的应用提供了一个框架 l缺点 客户程序需要修改 l动态链接库 F应用代理是运行于防火墙墙主机上的一种应应用程序 ，它取代用户户和外部网络络的直接通信。 优点：详细记录详细记录 所有的访问访问 情况；完全阻断了 内部网络络与外部网络络的直接联联系；可节约时节约时 间间和网络资络资 源 缺点：会使访问访问 速度变变慢；需要为为每种服务专务专 门门开发发代理服务软务软 件 (4)防火墙墙的实现实现 技术术应应用代理服务技术