《internet安全和防火墙》由会员分享,可在线阅读,更多相关《internet安全和防火墙(94页珍藏版)》请在金锄头文库上搜索。
1、第3章 Internet安全,2,3.1 Internet安全概述 3.2 防火墙技术 3.3 VPN技术 3.4 网络入侵检测 3.5 IP协议安全 3.6 电子商务应用安全协议,目录,3,引例万事达系统遇袭事件,万事达系统遇袭事件不是网络时代的个案,网站遇袭时间早已不是新闻,难道Internet毫无安全可言吗?,4,3.1 Internet安全概述,3.1.1 网络层安全 3.1.2 应用层安全 3.1.3 系统安全 3.1.4 TCP/IP与WWW安全,5,3.1.1 网络层安全 网络层安全指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护。 典型的网络层安全服务包括
2、: 认证和完整性 保密性 访问控制,3.1 Internet概述,6,3.1.2 应用层安全 应用层安全指的是建立在某个特定的应用程序内部,不依赖于任何网络层安全措施而独立运行的安全措施。 应用层安全措施包括: 认证 访问控制 保密性 数据完整性 不可否认性 与Web、与信息传送有关的安全措施,3.1 Internet概述,7,3.1.3 系统安全 系统安全是指对特定终端系统及其局部环境的保护,而不考虑对网络层安全或应用层安全措施所承担的通信保护。 系统安全措施包括: 确保在安装的软件中没有已知的安全缺陷 确保系统的配置能使入侵风险降至最低 确保所下载的软件其来源是可信任的和可靠的 确保系统能
3、得到适当管理以使侵入风险最小 确保采用合适的审计机制,以便能防止对系统的成功入侵和采取新的合适的防御性措施,3.1 Internet概述,8,3.1.4 TCP/IP与WWW安全 TCP/IP协议及服务 WWW的安全性 Java的安全性,3.1 Internet概述,9,TCP/IP协议 1定义 2层次结构 3内容,10,TCP/IP是transmission control protocol/internet protocol的缩写,传输控制协议/互联网络协议,其含有上百个协议的协议集,TCP和IP二个该协议集中最基本的协议。,11,通常被认为是一个四层协议:应用层、运输层、网络层、链路层
4、链路层:也称作数据链路层或网络接口层,通常包括操作系统中的设备驱动和计算机中对应的网络接口卡。 网络层:也称作互连网层,处理分组在网络中的活动。 运输层:主要为二台主机上的应用程序提供端到端的通信。 应用层:负责处理特定的应用程序细节。,12,13,14,链路层作用: 为IP模块发送和接收IP数据报 为ARP模块发送ARP请求和接收ARP应答 为RARP模块发送RARP请求和接收RARP应答 以太网链路层协议(ETHERNET) 由数字设备公司、英特尔公司和Xerox公司在1982年联合公布的一个标准,是当今TCP/IP采用的主要局域网技术。,15,ARP协议和RARP协议 ARP:Addre
5、ss Resolution Protocol,地址解析协议,为IP地址到对应的硬件地址之间提供动态映射。 RARP:Reverse Address Resolution Protocol,逆地址解析协议。 IP地址:32 bit 物理地址(mac):48bit,16,网络层作用:(IP网际协议,ICMP互联网控制报文协议ping,IGMP组管理协议) 将数据封装成IP协议所需的数据包 选择合适的发送路径,将数据发送到接收方 IP地址:用于标记计算机 由四个8位二进制数字域组成,总长度为4个字节的32位二进制数组成(理论上可组成2的32次方40多亿不同IP地址,实际上少得多) 由四个用小数点隔开
6、的十进制数字域组成,其中每个域的十进制取值在0255之间(点分法),17,IP地址可以分为5类:A、B、C、D、E,18,19,20,21,ICMP互联网控制报文协议 IP层的一个协议,传递差错报文以及其他需要注意的信息(主机不可达、端口不可达等) Ping命令的格式:ping 目的地址 参数1 参数n 其中目的地址是指被测试计算机的IP地址或域名 A:解析主机地址;N:数据,发出的测试包的个数,缺省值为4;L:数值,所发送缓冲区的大小;T:继续执行ping命令,直到用户终止。 命令返回的TTL:生存时间(系统设置不同),22,运输层作用 为应用程序提供不同质量的服务 TCP可靠,用于传输大量
7、数据,如FTP等 UDP不可靠,用于即时传输少量数据,如QQ,MSN等 TCP为两台主机提供高可靠性的数据通信,它所做的工作包括把应用程序交给它的数据分成合适的小块交给下面的网络层,确认接收到的分组,设置发送最后确认分组的超时时钟等。由于运输层提供了高可靠性的端到端通信,因为应用层可以忽略所有细节。,23,TCP协议: 端口:一个软件结构,被客户程序和服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口。 分类: 保留端口01023 动态端口102449151 私有端口4915265535,24,常用端口列表,25,UDP用户数据协议为应用层提供一种非常简单
8、的服务。只是把称作数据报的分组从一台主机发送到另一台主机,但并不保证该数据报能到达另一端。任何必需的可靠性必须由应用层来提供。,26,应用层作用 应用程序进入网络的通道。在应用层有许多TCP/IP工具和服务。如telnetftphttpsmtppop3等,27,常用tcp/ip服务及安全性 telnet远程登录 最早的一种internet应用,起源于1969年的阿帕网,是telecommunication network protocol的缩写。提供远程登录功能的应用,几乎每个TCP/IP的实现都提供这个功能,能够运行在不同操作系统的主机之间。,28,telnet采用客户服务器模式,29,一般
9、步骤,30,telnet应用:BBS最常用应用,提供信息分类讨论,收发邮件,聊天交流等。 telnet工具:telnet命令登录、网页登录、专用工具(nettermcterm) Telnet的安全性 1没有口令保护,远程用户的登录传送的帐号和密码都是明文,安全弱点 2认证过程简单,只是验证连接者的帐户和密码 3传送数据没有加密 (意味着telnet不安全,使用网络嗅控器可以截取其数据),31,FTP文件传输 File transfer protocol是另一个常见的应用程序,用于文件传输的internet标准。由FTP提供的文件传送是将一个完整的文件从一个系统复制到另一个系统中。 要使用FTP
10、,就需要有登录服务器的注册账号,或通过允许匿名FTP的服务器来使用。,32,FTP与TELNET应用不同,它采用二个TCP连接来传输一个文件。 1控制连接:以通常的客户服务器方式建立,服务器以被动方式打开众所周知的用于FTP的端口21,等待客户的连接。客户刚以主动方式找开TCP端口21,来建立连接。 2数据连接:每当一个文件在客户与服务器之间传输时,就创建一个数据连接。,33,FTP文件传输,34,FTP传输文件类型:ASCII码文件类型二进制文件类型 TELNET传输文件类型: ASCII码文件类型 FTP:命令IE工具(cuteftpleapftp) FTP安全性: 未加密,易被窃听;匿名
11、账号的设置;权限控制;路径设置 做法:未经授权用户禁止操作不可读取未经系统所有者允许的文件或目录不可在服务器上建文件或目录不能删除服务器上的文件或目录,35,HTTP网页浏览 超文本传输协议(hypertext transfer protocol)是用于从WWW服务器传输超文本到本地浏览器的传送协议。其万维网world wide web的核心。 URL(uniform resource locator统一资源定位符),36,HTTP浏览客户服务器结构,37,HTTP是一个简单协议。客户进程建立一条同服务器进程的TCP连接,然后发出请求并读取服务器进程的响应。服务器进程关闭连接表示本次响应结束。
12、 客户进程(浏览器)提供图形界面。HTTP服务器进程只是简单返回客户进程所请求的文档,这些文档包括文本图片语音视频其他格式的文件。 Www工具:IENETSCAPE,38,WEB的安全器:选择安全的WEB服务器及时安装补丁程序关闭不必要服务 浏览器:及时安装补丁程序选择合适安全级别信息加密防截获,39,DNS域名服务 domain name service由于一般用户很难记住数字形式的IP地址,而名字则比号码容易记忆,INTERNET从85年起在原有IP地址系统的基础上,开始向用户提供了DNS域名系统。 对比(某网站),40,域名系统:“主机名域名”的多级结构,一般不超过五级 域名服务器 在互
13、联网上,用于完成域名及对应IP地址转换的服务器 每一个域名服务器保存有在它上面注册的域名与对应的IP地址,并组成域名数据库,将因特网所有的域名服务器编联到一起,就组成了域名管理系统 域名服务器的IP地址是一项重要参数,41,国家代码,42,国际流行域类型,43,国内流行域类型,44,DNS安全性 可能泄露内部机器主机信息(域名注册) 认证ip或主机名认证(可结合认证用户,防假冒) WWW的安全性风险 1存放服务器文件系统上的机密文件被窃取 2由远程用户发送给服务器的私人或保密信息被截获 3有关服务器主机详细信息泄露,使侵入者分析,找出漏洞并闯入 4服务器存在允许外来者在服务器上执行命令的漏洞,
14、使得外来者得以改动或破坏,45,www服务器主要安全漏洞 物理路径泄露(服务文件存放地址) 源代码泄露(早其直接查看脚本,动态编程改善) 目录遍历(类似于本机文件查阅使用) 执行任意命令(发送命令) 缓冲区溢出(冲击波病毒,一旦产生溢出后,可使用任意命令) 拒绝服务(电子珍珠港,不能提供正常服务),46,3.2 防火墙技术,3.2.1 防火墙的基本概念 3.2.2 防火墙的基本原理 3.2.3 防火墙的实现方式,47,3.2.1 防火墙的基本概念 防火墙(firewall)是在两个网络之间强制实施访问控制策略的一个系统或一组系统。用来限制被保护的网络与互联网络之间,或者与其他网络之间相互进行信
15、息存取、传递操作的部件或部件集。 狭义指安装了防火墙软件的主机或路由器系统。 防火墙应具备条件 1内部与外部之间的所有网络数据流必须经过防火墙 2只有符合安全策略的数据流才能通过防火墙,3.2 防火墙技术,48,防火墙:隔离内部网和internet的有效安全机制,49,3.2.1 防火墙的基本概念 防火墙作用: 定义了一个必经之点 提拱了一个监视各种安全事件的位置 实现某些功能的一个理想平台 防火墙的功能: 过滤不安全的服务和非法用户 控制对特殊站点的访问 作为网络安全的集中监视点 防火墙的不足之处: 不能防范不经由防火墙的攻击e.g.拨号 不能防止受到病毒感染的软件或文件的传输 不能防止数据
16、驱动式攻击,3.2 防火墙技术,50,3.2.2 防火墙的基本原理 1.包过滤型防火墙,3.2 防火墙技术,51,3.2.2 防火墙的基本原理 2.应用网关型防火墙,3.2 防火墙技术,52,3.2.2 防火墙的基本原理 3.代理服务型防火墙,3.2 防火墙技术,53,3.2.3 防火墙的策略 构筑防火墙之前,需要制定一套有效的安全策略 网络服务访问策略:一种高层次具体到事件的策略,主要用于定义在网络上允许或禁止的服务 防火墙设计策略: 1一切未被允许的就是禁止的 2一切未被禁止的都是允许的,3.2 防火墙技术,54,3.2.4防火墙的基本类型 包过滤型 代理服务器型 复合型防火墙,55,包过滤型 1基本思想:对于每个进来的包适用一组规则,然后决定转发或丢弃该包 2如何过滤 过滤规则以IP层和运输层的头中字段为基础 过滤器往往建立一组规则,根据IP包是匹配规则中指定的条件来作出决定(如果匹配到一条规则,则根据此规则决定转发或丢弃;如果所有规则都不匹配,则根据缺省策略) 判断依据:数据包协议类型,IP地址,端口,IP选项,数据包流向等等。,
