《精品网络安全和防火墙.ppt-(港周线波形梁护栏、钢筋混凝土护栏2》由会员分享,可在线阅读,更多相关《精品网络安全和防火墙.ppt-(港周线波形梁护栏、钢筋混凝土护栏2(105页珍藏版)》请在金锄头文库上搜索。
1、网络安全和防火墙,CIW认证的网络安全分析师课程讲师(CI),刘强 ,CIW网络安全认证体系,Instructor,Security Analyst,Security Professional,Foundation,MCSE,CCNA/CCNP,时间表,Day 1 什么是安全? 安全要素 应用加密 攻击类型分析 通用安全要素,时间表,Day 2 协议层安全 保护资源 防火墙技术原理与应用 防火墙设计与规划 检测并迷惑黑客 事件响应,Lesson 1: 什么是安全?,目标,安全的定义 网络安全的需求 标识需要保护的资源 标识常见的安全威胁类型,什么是安全?,网络安全 识别并消除威胁和攻击的能力
2、是一个持续的过程 涉及Internet的安全,黑客的行为统计,CERT(计算机安全紧急响应中心)统计 近期,黑客活动频率上升势头猛、破坏所造成的经济损失逐渐加大 大多数的公司遭受攻击的情况仍然频繁发生,风险何处来?,很多的站点对外提供黑客工具 教授如何使用黑客工具 扫描网络决定攻击目标 导致网络服务器的崩溃 破坏网络设备和功能 突破验证和加密防护 ()一个建议访问的网址,百分百安全的神话,没有绝对的安全 安全即寻求平衡 使用有效的方案但不能加重合法用户的访问负担,订制一个有效的安全矩阵,安全矩阵 使用所有的安全设备和组件来保护一个公司的网络安全. 有效的安全系统规则 允许访问控制 方便用户使用
3、 适当的经济开销 可扩展性和可升级性 报警和日志分析能力,你将尝试保护什么?,用户终端 被雇员使用的终端计算机 威胁 : 病毒,特洛伊木马, Active X控件,Java Applet 网络资源 路由器,交换机,配线室 威胁: IP欺骗,系统窃听 服务器资源 DNS,WEB, Email, FTP 服务器等 威胁: 未验证侵入, 拒绝服务, 特洛伊木马 信息数据资源 人力资源和电子商务数据库 威胁: 获得商业秘密和竞争者资料数据,谁是安全威胁者?,黑客的分类 偶然的攻击者 坚定的攻击者 商业间谍,安全标准,ISO 7498-2 安全体系 安全服务 认证 访问控制 数据的保密性 数据的完整性
4、不可否认性 安全机制 特殊的安全机制 (一次性口令系统和Kerberos认证等 通用的安全机制,Lesson1 总结,有效的安全矩阵结构 你尝试保护的资源 三种类型的黑客 安全标准,Lesson 2: 安全要素,目标,安全有效的安全策略构成要素 标识用户认证方法 解释访问控制方法的需求 描述 ACL 和 ECL 罗列三种主要的网络加密类型 解释审核的需求,安全基本要素,Corporate Security Policy,User Authentication,安全策略,成功的安全策略的要素 建立有效的安全策略 系统资源分类(level1,level2,level3) 区分不同资源 定义风险指数
5、 定义可接受和不可接受的行为 定义资源安全防护的方法 定义安全教育问题 决定谁管理哪部分策略,加密,加密种类 对称加密、非对称加密和哈希加密 加密是如何实现的? 数据机密性(数字信封) 数据完整性(哈希) 验证(数字签名) 怒棵否认性 (数字签名) 决定加密强度的三大要素: 算法的强壮性 密钥的保密性 密钥的长度 (书2-16) : 密钥破解时间表,认证,认证方法 what you know(密码认证) what you have(智能卡、数字证书) who you are(指纹和视网膜认证) where you are(rlogin,rsh时的源地址),特殊的认证技术,Kerberos(RF
6、C 1519) One-time passwords(RFC 1938),访问控制,访问控制列表(ACL) 访问控制选项(ECL) 练习 书2-27,审核,被动审核非实时性审核 主动审核 结束一个会话 阻止访问某一特殊主机 追踪非法行为,安全的反面因素,增加访问系统和使用系统的复杂性 减缓系统的响应时间,Lesson2 总结,安全策略 加密类型 认证技术 审核技术,Lesson 3: 应用加密,目标,使用公钥技术创建信任关系 对称加密技术、非对称加密技术和哈希加密技术原理 在Windows2000和Linux中部署PGP,创建信任关系,对称、非对称和哈希加密 公钥加密技术模型 分发密钥 手工分
7、发: S/MIMI , PGP 自动分发: SSL, IPSec,对称加密模型,对称加密技术,对称加密算法 DES(数据加密标准) Triple DES RSA 公司的对称算法 RC2 and RC4(最为经常使用的算法) RC5 RC6 Lotus Notes,Oracle,SQL 使用 RC4 IDEA Blowfish(448位密钥) and Twofish Skipjack MARS Rijndael and Serpen,非对称加密模型,非对称加密技术,非对称加密产品 RSA DSA(Digital Signature Algorithm) Diffie-Hellman Key-ex
8、change protocol,哈希加密,定义 将数据转换为不可逆的数据形式 特点 单向 变长输入,定长输出 哈希算法 MD2,MD4 and MD5 (Message Digest N) 创建 单向的消息摘要 Secure hash algorithm: SHA(160位),应用加密过程,对称加密、非对称加密和哈希加密的联合 E-mail 加密 PGP, S/MIME 文件加密 Md5sum Web 服务器加密 Secure HTTP SSL (Secure Sockets Layer),应用加密过程,网络层加密 VPN (虚拟专用网络) : PPTP IPSec AH (验证头) ESP
9、(加密安全负荷) SA (安全联合) IKE (Internet 密钥交换),公钥基础架构(PKI),PKI 是基于X.509 标准的 授权机构(CA) CA 颁发的证书,Use of a Certificate to Encrypt,Use of a Certificate to Decrypt,Lesson 4: 攻击类型,课前练习,书3-22 书3-30 书3-50 书3-61,目标,描述常见的攻击烈性 描述特殊的攻击类型,前门和蛮力攻击,字典攻击 用户自定义化的蛮力攻击 John the Ripper形式的攻击,系统漏洞和后门攻击,一个程序设计中的漏洞将会导致严重的后果 缓冲区溢出 后
10、门是一个非法打开的访问途径 Root kits攻击,社会工程和非直接性攻击,命令索要或请求索要密码 欺骗性的电子邮件 拒绝服务攻击 病毒、系统BUG和服务漏洞,社会工程和非直接性攻击,欺骗 IP 欺骗, ARP 欺骗, DNS中毒 Trojans特洛伊木马 信息泄露 会话劫持和中间人攻击,Lesson 5: 通用安全准则,目标,描述有效实现网络安全通用准则 使用通用安全准则创建一个系统安全策略,10 个通用准则,偏执狂 必须有一个安全策略 没有任何系统或技术是孤立的 最小化遭受攻击后的破坏程度 在公司范围内强制执行策略,10 个通用准则,为员工提供培训 终端用户、网络管理员和行政管理人员 使用
11、综合化的安全策略 安全地放置网络设备 识别安全商业问题 考虑物理安全问题,Lesson 6: 协议层安全,目标,标识不同的协议层的潜在威胁,TCP/IP协议栈和OSI参考模型,Application,Presentation,Session,Transport,Network,Data link,Physical,用户程序,TCP&UDP,IP,ICMP,Physical,Applications,操作系统或IP栈,外围和网络设备,物理层,组织信号在网络上发送(比特流、编码方式) 威胁: 窃听和嗅探 保护: 加密, 数据标签, 波扰器,网络层,提供寻址和路由的功能 IP,ICMP,IGMP,A
12、RP,RARP Internet Protocol (IP) 32-bit ,唯一性 ,分为网络位和主机位 头长(20bytes): 信息和控制区域 威胁: Smurf 拒绝服务攻击 Internet Control Message Protocol (ICMP) 差错检测和信息控制 威胁:TFN泛洪, 保护: 防火墙和系统补丁,传输层,控制主机见的信息传送 TCP, UDP 协议 TCP 标志位: SYN, FIN, ACK(FTP,HTTP.) 建立连接的过程 断立连接的过程 TCP 威胁: SYN 泛洪 UDP :传输协议(用于视频、声频、DNS查询、TFTP等) 端口号(IANA定义)
13、 Web(80),FTP(20,21),DNS(53), . Well-known(reserved) ports : 1024 Registered ports : 1024,应用层,最难保护的层次 Simple Mail Transfer Protocol(SMTP) 威胁: 垃圾邮件 邮件中的病毒和木马程序 用户名的泄露 保护: 邮件病毒过滤网关 使用安全的SMTP协议 对用户进行教育,应用层,File Transfer Protocol(FTP) 威胁: 通过上传添满所有的磁盘空间 拷贝盗窃来的软件 用户名和密码使用明文传输 保护: 仅允许匿名连接 放置FTP数据在一个单独的分区上 H
14、ypertext Transfer Protocol(HTTP) 威胁: 恶意的active X 和Java applet 扩展的应用程序(Java,CGI,ASP),Application Layer(2),Telnet 威胁: 明文传输所有数据 Simple Network Management Protocol (SNMP) 仅使用团体名称进行验证 明文传输所有信息 威胁: 团体名猜测 信息泄露 Domain Name System(DNS) 威胁: 区域文件传输 DNS中毒技术 保护: 防火墙阻止对外的区域传送 规划只允许将区域文件传诵给特定主机,Lesson 7: 保护资源,课前练习
15、,书6-17 书6-19 书6-20,目标,始终应用安全策略 使用C2以上级别的系统 保护 TCP/IP 服务, 包括HTTP 和 TCP 描述测试的重要性并且评估系统和服务,实现安全保护,五个步骤 (书7-3) 区别资源和需求 定义安全策略 保护每一个资源和服务 日志记录、测试和评估 重复这个过程,保护最新的安全,资源和服务,通过各种技术来保护资源和服务 保护数据不被嗅探 适时调整方法和技术 通过更改默认设置来保护服务 移除没必要的服务,保护TCP/IP服务,最通用的Internet服务: HTTP, FTP, SMTP 服务器 Web服务器的安全 在操作系统上为硬盘分区. 把操作系统安全放
16、在第一个分区 把Web服务放在第二个分区 把主目录放在第三个分区 通用网关接口(CGI) : 威胁: 信息泄露 间接执行系统命令 方案: 书写安全的 CGI脚本,保护TCP/IP服务,File Transfer Protocol servers(FTP) (书7-19) 威胁: 填充硬盘 (DoS) 解决方案: 放置FTP主目录在非系统分区 只允许只读访问 访问控制变换文件所有者 Simple Mail Transfer Protocol (SMTP) 威胁: Internet蠕虫和病毒 解决方案: 安全网络级病毒扫描软件 实施认证控制,测试和评估,测试已存在的系统 用黑客的方法测试你的网络 参考服务器日志记录 不要变成一个自满者,实现一个安全新系统,实现一个安全新系统 拷贝相同的系统策略 放置系统在不同的子网 模拟正常的网络环境 用黑客常规攻击方式测
