《网络安全技术详解》由会员分享,可在线阅读,更多相关《网络安全技术详解(113页珍藏版)》请在金锄头文库上搜索。
1、网络安全技术详解,课程内容,2,知识域:网络协议安全,知识子域:TCP/IP协议安全 理解开放互联系统模型ISO/OSI七层协议模型及其安全体系结构 理解TCP/IP四层协议模型及协议安全架构 了解IPV6的安全特点,3,什么是协议,定义 协议是网络中计算机或设备之间进行通信的一系列规则的集合 理解重点:规则 交通中的红绿黄灯:红灯停、绿灯行就是规则 我国汽车靠右行驶是规则、香港、西方国家靠左行驶也是规则,4,OSI协议,OSI安全体系结构,信息处理系统开放系统互连基本参考模型第二部分:安全体系结构(GB/T9387.2-1995)(等同于ISO 7498-2),TCP/IP协议结构,7,OS
2、I模型与TCP/IP协议的对应,8,物理层,网络层,传输层,会话层,表示层,应用层,数据链路层,互联网络层,传输层,应用层,网络接口层,网络接口层安全威胁,损坏,干扰,电磁泄漏,搭线窃听,欺骗,9,拒绝服务,嗅探,网络接口层安全威胁,损坏:自然灾害、动物破坏、老化、误操作 干扰:大功率电器/电源线路/电磁辐射 电磁泄漏:传输线路电磁泄漏 搭线窃听:物理搭线 欺骗:ARP欺骗 嗅探:常见二层协议是明文通信的(以太、arp等) 拒绝服务:mac flooding,arp flooding等,10,互联网络层,11,IP是TCP/IP协议族中最为核心的协议 不可靠(unreliable)通信 无连接
3、(connectionless)通信 提供分层编址体系(ip地址),IP协议简介,12,互联网络层安全威胁,拒绝服务,欺骗,窃听,伪造,13,互联网络层安全威胁,拒绝服务:分片攻击(teardrop)/死亡之ping 欺骗:IP源地址欺骗 窃听:嗅探 伪造:IP数据包伪造,14,传输层,15,相同点 同一层的协议,基于IP报文基础上 不同点 TCP是可靠的,高可用性的协议,但是复杂,需要大量资源的开销 UDP是不可靠,但是高效的传输协议,TCP协议与UDP协议,16,传输层安全威胁,拒绝服务,欺骗,窃听,伪造,17,传输层安全威胁,拒绝服务:syn flood/udp flood/Smurf
4、欺骗:TCP会话劫持 窃听:嗅探 伪造:数据包伪造,18,应用层协议,域名解析:DNS 电子邮件:SMTP/POP3 文件传输:FTP 网页浏览:HTTP ,19,应用层安全威胁,拒绝服务,欺骗,窃听,伪造,暴力破解,20,应用层协议的安全威胁,拒绝服务:超长URL链接 欺骗:跨站脚本、钓鱼式攻击、cookie欺骗 窃听:嗅探 伪造:应用数据篡改 暴力破解:应用认证口令暴力破解等 ,21,基于TCP/IP协议簇的安全架构,IPv6的主要特性,网络地址空间的极大扩展 网络地址表示法不同 网络地址的分类方式不同 改进的IP多播 新增了“任播地址” 简化报头格式 良好的扩展性 内嵌的安全质量的保证
5、即插即用功能 身份验证和隐私保护能力,知识域:网络协议安全,知识子域:无线局域网协议安全 了解无线局域网的基本组成与特点 了解WEP、802.11i、WAPI等无线局域网安全协议,无线技术,25,无线局域网的传输媒质分为无线电波和光波两类 无线电波主要使用无线电波和微波,光波主要使用红外线 无线电波和微波频率由各个国家的无线电管理部门规定,分为专用频段和自由频段。专用频段需要经过批准的独自有偿使用的频段;自由频段主要是指ISM频段(Industrical,Scientific,Medical),无线局域网基本概念,26,无线局域网网络结构,AP,STA,客户端(station,STA) 无线网
6、访问设备,例如笔记本、掌上电脑等 无线接入点(Access Point,AP) 专用的无线接入设备 分布系统(distribution system,DS) 其他网络,无线或者有线网络,DS,27,无线局域网安全问题,28,传统无线安全防护措施,认证 开放式认证系统 共享密钥认证 服务集标识符SSID 极易暴露和伪造,没有安全性可言 物理地址(MAC)过滤 MAC地址容易伪造,扩展性差 无线对等协议(WEP) 手动管理密钥存在重大隐患 弱密钥问题 不能防篡改 WEP没有提供抵抗重放攻击的对策,29,IEEE 802.11i无线局域网安全协议,30,WAPI安全协议,31,WEP、IEEE 80
7、2.11i、WAPI比较,32,知识域:网络协议安全,知识子域:移动通信网络协议安全 了解GSM、CDMA存在的安全问题 了解3G系统的安全问题及安全结构,33,移动通信的发展,第一代模拟蜂窝移动通信系统 第二代数字蜂窝移动通信系统(2G) GSM、CDMA 第三代移动通信系统(3G) W-CDMA、CDMA2000、TD-SCDMA、 WiMAX,34,GSM的安全性,安全措施 用户鉴权(AUC) 无线通道加密 移动设备确认 IMSI临时身份等 安全问题 安全系统内在的弱点 支持数据业务带来的弱点 加密算法的弱点,35,CDMA的安全性,安全措施 保密与认证架构大致与GSM相同 使用64b的
8、对称密钥(称为A-Key)进行认证 安全问题 允许语音通信加密,但是CDMA运营商并不总是提供这种服务 由于网络现状,许多系统目前不支持认证功能,许多手机既没有认证算法也无法输入,36,3GPP的3G系统安全结构,37,3G系统的主要安全威胁,3G无线网络的空中开放性对信息安全构成潜在威胁 3G核心网络的IP化给安全带来了巨大挑战 业务种类的丰富导致失泄密渠道增加 定位服务容易造成一些敏感涉密的位置信息泄露 手机终端强大的功能带来了新的安全漏洞,38,知识域:网络安全设备,知识子域:防火墙技术 理解防火墙的作用、功能及分类 理解包过滤技术、状态检测技术和应用代理技术等防火墙主要技术原理 掌握防
9、火墙的部署结构 理解防火墙的局限性,39,防火墙基本概念,什么是防火墙 一种协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。 防火墙部署在哪 可信网络与不可信网络之间 不同安全级别网络之间 两个需要隔离的区域之间,Internet,40,为什么需要防火墙 控制:在网络连接点上建立一个安全控制点,对进出数据进行限制 隔离:将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护 记录:对进出数据进行检查,记录相关信息,防火墙的作用,41,防火墙的分类,按主要技术分 包过滤型 代理型 混合型 按体系结构分 筛选路由器 双宿/多宿主机防火墙 屏蔽主机防火墙 屏蔽子网防火墙
10、 混合结构 其他分类方法,42,防火墙的实现技术,包过滤技术 状态检测技术 代理网关技术,43,防火墙的实现技术-包过滤,实现机制:依据数据包的基本标记来控制数据包 网络层地址:IP地址(源地址及目的地址) 传输层地址:端口(源端口及目的端口) 协议:协议类型,44,安全网域一,防火墙的实现技术-包过滤,优点: 逻辑简单,功能容易实现,设备价格便宜 处理速度快 可以识别和丢弃带欺骗性源IP地址的包 过滤规则与应用层无关,无须修改主机上的应用程序,易于安装和使用 缺点: 过滤规则集合复杂,配置困难 无法满足对应用层信息进行过滤的安全要求 不能防止地址欺骗,及外部客户与内部主机直接连接 安全性较差
11、,不提供用户认证功能,45,防火墙实现技术-状态检测,数据链路层,物理层,网络层,表示层,会话层,传输层,检测引擎,应用层,在数据链路层和网络层之间对数据包进行检测 创建状态表用于维护连接上下文,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,46,防火墙实现技术-状态检测,优点 可应用会话信息决定过滤规则 具有记录有关通过的每个包的详细信息的能力 安全性较高 缺点 检查内容比包过滤检测技术多,所以对防火墙的性能提出了更高的要求 状态检测防火墙的配置非常复杂,对于用户的能力要求较高,使用起来不太方便,47,防火墙的实现技术
12、-代理网关,每一个内外网络之间的连接都要通过防火墙的介入和转换,加强了控制 分类 电路级代理 应用代理,48,防火墙的实现技术-电路级代理,建立回路,对数据包进行转发 优点 能提供NAT,为内部地址管理提供灵活性,隐藏内部网络等 适用面广 缺点 仅简单的在两个连接间转发数据,不能识别数据包的内容,49,防火墙的实现技术-NAT,什么是NAT 一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。 NAT技术设计初衷 增加私有组织的可用地址空间 解决现有私有网络接入的IP地址编号问题,50,防火墙的实现技术-NAT,NAT实现方式
13、静态地址转换 动态地址转换 端口转换,51,202.2.2.2,安全网域一,202.2.2.100,192.168.1.1,192.168.1.30,52,NAT的优缺点,优点 管理方便并且节约IP地址资源 隐藏内部 IP 地址信息 可用于实现网络负载均衡 缺点 外部应用程序却不能方便地与 NAT 网关后面的应用程序联系。,防火墙的实现技术-应用代理,工作在应用层 使用代理技术,对应用层数据包进行检查 对应用或内容进行过滤,例如:禁止FTP的 “put”命令,53,防火墙的实现技术-应用代理,优点 可以检查应用层内容,根据内容进行审核和过滤 提供良好的安全性 缺点 支持的应用数量有限 性能表现
14、欠佳,54,防火墙实现技术-自适应代理技术,自适应代理防火墙主要由自适应代理服务器与动态包过滤组成,它可以根据用户的配置信息,决定从应用层代理请求,还是从网络层转发包 特点 根据用户定义安全规则动态“适应”传输中的分组流量 高安全要求:在应用层进行检查 明确会话安全细则:链路层数据包转发 兼有高安全性和高效率,55,防火墙部署结构,单防火墙(无DMZ)部署方式 单防火墙(DMZ)部署方式 双防火墙部署方式,56,单防火墙(无DMZ)部署方式,57,单防火墙(DMZ)部署方式,58,防火墙的典型部署,区域划分:可信网络、不可信网络、DMZ区,59,防护墙的策略设置,没有明确允许的就是禁止 先阻止
15、所有数据包 需要的给予开放 没有明确禁止的就是允许 对明确禁止的设置策略,60,防火墙的策略设置,可信网络可向DMZ区和不可信网络发起连接请求,61,防火墙的策略设置,DMZ区可接受可信网络和不可信网络的连接请求 DMZ区不可向可信网络发起连接请求 DMZ区与不可信网络的连接请求根据业务需要确定,62,双防火墙部署方式,使用两台防火墙分别作为外部防火墙和内部防火墙,在两台防火墙之间形成了一个非军事区网段 外部流量允许进入DMZ网段 内部流量允许进入DMZ网络并通过DMZ网段流出至外部网络 外部网络的流量不允许进入直接进入内部网络 特点 能提供更为安全的系统结构 实施复杂性和费用较高,63,防火
16、墙的不足和局限性,难于管理和配置,易造成安全漏洞 防外不防内,不能防范恶意的知情者 只实现了粗粒度的访问控制 很难为用户在防火墙内外提供一致的安全策略 不能防范病毒,64,知识域:网络安全设备,知识子域:入侵检测系统 理解入侵检测系统的作用、功能及分类 理解入侵检测系统的主要技术原理 掌握入侵检测系统的部署结构 理解入侵检测系统的局限性,65,什么是入侵检测系统?,66,什么是入侵检测系统 一种通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析以发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的设备 入侵检测系统部署在哪 数据流入流出点 关键位置,入侵检测系统的作用,为什么需要入侵检测系统 防火墙的重要补充 构建网络安全防御体系重要环节 克服传统防御机制的限制 入侵检测系统能做什么 监测并分析用户和系统的活动 核查系统配置和漏洞 对操作系统进行日志
