《网络安全基础》由会员分享,可在线阅读,更多相关《网络安全基础(147页珍藏版)》请在金锄头文库上搜索。
1、Sales ; 缺乏有效的手段监视、评估网络的安全性;缺乏有效的手段监视、评估网络的安全性; TCP/IPTCP/IP协议族软件本身缺乏安全性;协议族软件本身缺乏安全性; 电子邮件病毒、电子邮件病毒、WebWeb页面中存在恶意的页面中存在恶意的 Java/ActiveXJava/ActiveX 控件;控件; 应用服务的访问控制、安全设计存在漏洞。应用服务的访问控制、安全设计存在漏洞。 线路窃听。指利用通信介质的电磁泄漏或搭线窃听等线路窃听。指利用通信介质的电磁泄漏或搭线窃听等 手段获取非法信息。手段获取非法信息。Sales 特洛伊木马;网络监听sniffer;扫描器;病毒技术;拒绝服务攻击(D
2、DOS)Sales 木马的分类:远程访问型、密码发送型、键盘记录型、 毁坏型; 常见的几种木马:BO2000,冰河、SubSeven 木马的清除:The Cleaner、杀毒软件、手动清除 木马的防范:不要下载和执行来历不明的程序Sales 从企业内部进行评估:考察内部网络系统中的计算机; 从应用系统进行评估:考察每台硬件设备上运行的操作 系统。 Sales & Marketing TrackSales & Marketing Track多层次防病毒体系(七)Sales & Marketing TrackSales & Marketing Track网站保护WebGuard(八)Sales &
3、 Marketing TrackSales & Marketing TrackWLAN安全(九)Sales & Marketing TrackSales & Marketing Track备份与容灾恢复(十) 备份与容灾系统 多种备份方式结合,能很好保障数据安全 大规模实施,成本很高 备份、容灾模式 双机热备 Cluster 异地备份 存储备份 存储网络Sales & Marketing TrackSales & Marketing Track 典型的单服务器备份与恢复模型 典型的高可用群集系统存储模型Sales & Marketing TrackSales & Marketing Track
4、典型的异地容灾存储系统模型Sales & Marketing TrackSales & Marketing Track隔离网闸(十一)内 网 机外 网 机传送机TCP/IPTCP/IP非标准协议内 网外 网单向传送Sales & Marketing TrackSales & Marketing Track综合安全体系示意图lnternetlnternetIDS入侵检测监控中心 防毒管理中心 防火墙管理中心扫描器管理中心 IDS入侵检测主机系统防火墙网关防毒网关防毒认证服务器VPNVPNIDS入侵检测客户端防毒服务器防毒CA中心隔离网闸日志服务器日志服务器防火墙漏洞扫描器Sales & Mark
5、eting TrackSales & Marketing Track防火墙技术Sales & Marketing TrackSales & Marketing Track网络防火墙网络防火墙是在因特网和内域网之间构筑的一道屏障;是在因特网和内域网之间构筑的一道屏障; 保护内域网中的信息、资源等不受来自因特网上保护内域网中的信息、资源等不受来自因特网上 “ “黑客黑客” ”的侵犯;的侵犯;控制因特网与内域网之间的所有数据流量;控制因特网与内域网之间的所有数据流量;防止内域网中有价值的数据流入因特网;防止内域网中有价值的数据流入因特网;防止因特网中的垃圾数据流入内域网防止因特网中的垃圾数据流入内域
6、网。Sales & Marketing TrackSales & Marketing Track防火墙的类型防 火 墙 的 类 型分组过滤路由器 Packet-Filtering Router应用级网关Application-Level Gateway电路级网关 Circuit-Level GatewaySales & Marketing TrackSales & Marketing Track防火墙的主要功能防 火 墙 的 功 能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警Sales & Marketing TrackSales
7、& Marketing Track防火墙的局限性防 火 墙 的 局 限 性不能防范恶意知情者泄密不能控制不经过它的连接不能防备完全新的威胁不能防止病毒和特洛伊木马不能防止内部用户的破坏Sales & Marketing TrackSales & Marketing TrackInternet 防 火 墙 的 局 限 Internet防火墙无法防范通过防火墙以外的其它途径的攻击。例如,在一个 被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接 通过SLIP或PPP连接进入Internet。聪明的用户可能会对需要附加认证的代理 服务器感到厌烦,因而向ISP购买直接的SLIP或PPP
8、连接,从而试图绕过由 精心构造的防火墙系统提供的安全系统。这就为从后门攻击创造了极大的可 能(图3)。网络上的用户们必须了解这种类型的连接对于一个有全面的安 全保护系统来说是绝对不允许的。Sales & Marketing TrackSales & Marketing TrackInternet 防 火 墙 的 局 限 (续)Internet防火墙不能防止来自内部变节者和不经心的用户们带来的威 胁。防火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到 软盘或PCMCIA卡上,并将其带出公司。防火墙也不能防范这样的攻 击:伪装成超级用户或诈称新雇员,从而劝说没有防范心理的用户公 开口令或授予
9、其临时的网络访问权限。所以必须对雇员们进行教育, 让它们了解网络攻击的各种类型,并懂得保护自己的用户口令和周期 性变换口令的必要性。 Internet防火墙也不能完全防止传送已感染病毒得软件或文件。这是 因为病毒的类型太多,操作系统也有多种,编码与压缩二进制文件的 方法也各不相同。所以不能期望Internet防火墙去对每一个文件进行 扫描,查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防 病毒软件,防止病毒从软盘或其它来源进入网络系统。 防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是 无害的数据被邮寄或拷贝到Internet主机上。但一旦执行就开成攻击 。例如,一个数据型攻
10、击可能导致主机修改与安全相关的文件,使得 入侵者很容易获得对系统的访问权。后面我们将会看到,在堡垒主机 上部署代理服务器是禁止从外部直接产生网络连接的最佳方式,并能 减少数据驱动型攻击的威胁。Sales & Marketing TrackSales & Marketing Track防火墙系统的组成在确定了防火墙的姿态、安全策略、以及预算问题之后,就能够 确定防火墙系统的特定组件。典型的防火墙有一个或多个构件组 成:包过滤路由器、应用层网关(或代理服务器)、电路层网关 。包过滤路由器Sales & Marketing TrackSales & Marketing Track过滤路由器Sales
11、 & Marketing TrackSales & Marketing Track包 过 滤 路 由 器包过滤路由器对所接收的每个数据包做允许拒绝的决定。路由器审查每个 数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于包头信息 。 包头信息中包括IP源地址、IP目标端地址、内装协议(TCP、UDP、ICMP 、或IPTunnel)、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK 位 包的进入接口和出接口如果有匹配并且规则允许该数据包,那么该数据包 就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包,那么 该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会
12、决定是 转发还是丢弃数据包。 包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据,因 为多数的服务收听者都在已知的TCP/UDP端口号上。例如,Telnet服务器在 TCP的23号端口上监听远地连接,而SMTP服务器在TCP的25号端口上监听 人连接。为了阻塞所有进入的Telnet连接,路由器只需简单的丢弃所有TCP 端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上 ,路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机 的IP地址的数据包。Sales & Marketing TrackSales & Marketing Track过滤路由器
13、的优点过滤路由器仔细地检查数据包,根据过滤规则决定是否应该转 发数据包。 过滤路由器的优点:处理包的速度要比代理服务器快,屏蔽路 由器为用户提供了一种透明的服务,用户不用改变客户端程序 或改变自己的行为。 实现包过滤几乎不再需要费用(或极少的费用),因为这些特 点都包含在标准的路由器软件中。由于Internet访问一般都是在 WAN接口上提供,因此在流量适中并定义较少过滤器时对路由 器的性能几乎没有影响。 另外,包过滤路由器对用户和应用来讲是透明的,所以不必对 用户进行特殊的培训和在每台主机上安装特定的软件。Sales & Marketing TrackSales & Marketing Tr
14、ack包过滤路由器的缺点1.防火墙的维护比较困难,定义数据包过滤器会比较复杂,因为网络管理员 需要对各种Internet服务、包头格式、以及每个域的意义有非常深入的理 解。 2.只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机 伪装其他外部主机的IP却不可能阻止。 3.任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。我 们已经知道数据驱动式攻击从表面上来看是由路由器转发到内部主机上没 有害处的数据。该数据包括了一些隐藏的指令,能够让主机修改访问控制 和与安全有关的文件,使得入侵者能够获得对系统的访问权 4.一些包过滤网关不支持有效的用户认证. 5.不可能提供
15、有用的日志,或根本就不提供 6.随着过滤器数目的增加,路由器的吞吐量会下降。可以对路由器进行这样 的优化抽取每个数据包的目的IP地址,进行简单的路由表查询,然后将数 据包转发到正确的接口上去传输。如果打开过滤功能,路由器不仅必须对 每个数据包作出转发决定,还必须将所有的过滤器规则施用给每个数据包 。这样就消耗CPU时间并影响系统的性能。 7.IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器 能够允许或拒绝特定的服务,但是不能理解特定服务的上下文环境/数据 。Sales & Marketing TrackSales & Marketing Track应 用 层 网 关(代理服务
16、器)应用层网关使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层网关 不用依赖包过滤工具来管理Internet服务在防火墙系统中的进出,而是采用为每种所需 服务而安装在网关上特殊代码(代理服务)的方式来管理Internet服务。如果网络管理 员没有为某种应用安装代理编码,那么该项服务就不支持并不能通过防火墙系统来转 发。同时,代理编码可以配置成只支持网络管理员认为必须的部分功能。 允许用户访问代理服务是很重要的,但是用户是绝对不允许注册到应用层网关中的。 假如允许用户注册到防火墙系统中,防火墙系统的安全就会受到威胁,因为入侵者可 能会在暗地里进行某些损害防火墙有效性运动作。例如,入侵者获取Root权限,安装 特洛伊马来截取口令,并修改防火墙的安全配置文件。Sales & Marketing TrackSales & Marketing Track代理服务用于堡垒主机上Sales & Marketing
