《网络安全防范.ppt》由会员分享,可在线阅读,更多相关《网络安全防范.ppt(41页珍藏版)》请在金锄头文库上搜索。
1、网络协议&网络安全,S08 网络安全防范,主要知识点,网络安全防范技术要点 嵌入式安全防范技术 防火墙 代理 主动式安全防范技术 安全口令 VLAN VPN 被动式安全防范技术 网页防篡改 入侵检测 安全审计,网络安全防范,41,2,网络安全防范,Network Security Defence 针对网络安全威胁,使用各种技术和管理手段,达到防止、发现、遏制、消除网络攻击的目的,保障网络与信息系统安全 网络安全防范技术要点: (1)有的放矢地选择技术,在深入需求分析的基础上有所取舍。不做简单堆砌的泥水匠,要成为用心设计的建筑师 (2)一项技术解决一类问题,相互结合、相互补充才能形成完善的防范体
2、系,不能有失偏颇,应该以全局的观点,注重全面防范效果提升 (3)讲究策略,讲究平衡,以最小的代价获得最佳防范效果 (4)不断跟踪网络安全威胁与防范的最新技术动态,不断调整和更新技术,才能保持长效的安全防范能力 (5)关注防范技术可能造成的负面影响,因为坚固的城堡可以更好地抵挡入侵,但同时也会在一定程度上禁锢自身,网络安全防范,3,41,网络安全防范的认识,水桶法则(短板效应) 技术措施应与非技术措施(包括物理安全、人员安全、安全管理等)紧密配合,不可或缺,不可厚此薄彼 因噎废食不可取 为了所谓的安全,不用网络或采用完全物理隔离的办法,变成一个个信息孤岛,将使网络的优势丧失殆尽 树欲静而风不止
3、安全防范技术再出色,也不是万无一失的,技术能力具有相对性,应当在战略上藐视网络黑暗势力,在战术上足够重视,未雨绸缪,让安全防范系统时刻处于活跃的、临战的、健康的、最佳的状态,网络安全防范,4,41,网络安全防范技术分类,(1)嵌入式安全防范(embedded defence) 在信息交换路径上部署相应的安全防范技术 可以是具有特定功能的设备(硬件),也可以是专门设计的协议、软件 嵌入式安全防范技术包括:安全协议(或协议补丁)、虚拟专用网(VPN)、地址翻译(NAT)、访问代理(proxy)、网络防火墙(firewall)、病毒和木马查杀网关、垃圾邮件过滤等 (2)主动式安全防范(active
4、defence) 对网络信息系统的操作层面(用户)、信息层面(内容)、通信层面(组网)等关键环节加强网络安全防范措施,主动发现安全隐患、及时进行改进调整,防患于未然 主动式安全防范技术包括:网络管理与系统管理、信息加密、数字证书、安全访问认证、虚拟子网(VLAN)、网络安全扫描与评估、软件安全修补等 (3)被动式安全防范(passive defence) 指两类安全防范措施: 通过部署的系统在网络安全威胁发生时能够及时发现、及时预警、及时采取措施,尽可能减少损失、防止灾难蔓延 通过对历史数据的分析,找出已经发生的攻击行为和事件、发现潜在的缺陷,以便采取针对性措施亡羊补牢 被动式安全防范不仅能够
5、弥补嵌入式安全防范和主动式安全防范的不足和遗漏之处,而且具有动态检测的能力,是网络安全防范体系的重要组成部分 被动式安全防范技术包括入侵检测系统(IDS)、安全审计系统(SAS)、网页防篡改、实时监控系统、运行日志(system log)等,网络安全防范,5,41,防火墙,FireWall,FW 防火墙作为一种网关(gateway),起到隔离内部网络和外部网络的作用,阻断来自外部网络的安全攻击 防火墙的技术优势在于其透明性,即对内部网络的组网结构、计算机设备数量和分布、网络应用类型等均不敏感,有利于安装和使用,网络安全防范,6,41,防火墙类型,从安全防范方法上 过滤(filtering)、代
6、理(agent/proxy) 从层次结构上 三层(IP)、四层(TCP/UDP)、七层(应用层协议) 从防范对象上 内网防火墙、病毒/木马防火墙、垃圾邮件防火墙 从技术实现上 硬件防火墙、软件防火墙,网络安全防范,7,41,防火墙的过滤和代理功能,过滤和代理的共同点: 对协议报文、信息内容进行筛选,剔除不安全元素、放行安全的访问 具有不对称性,主要对来自外部网络(如Internet)的信息流进行严格检查,而对内部网络发起的会话,检查力度相对较弱 过滤和代理的不同点: 过滤(filter) 对每个通过的报文进行依次处理 是无状态的 报文间相互独立、互不影响,可以达到很高的处理速度 代理(prox
7、y) 参与协议会话过程(中介) 有状态的 同一个会话(或同一个流)的报文间相互有关联性,网络安全防范,8,41,防火墙功能,网络安全防范,9,41,防火墙IP报文过滤操作流程,网络安全防范,10,41,防火墙抵御TCP同步洪水攻击示例,(1)外网攻击者发送SYN,请求会话连接 (2)防火墙接收到SYN,检查IP地址的有效性、源地址是否内网地址等,若判断为可疑的连接请求,丢弃报文(可不予以响应,以对抗探测),结束 (3)防火墙响应SYN-ACK,启动超时计时器 防火墙只需匹配极少资源 计时器长度可以依据不同需求进行调整,适当缩短 (4)若计时器超时未收到ACK,则释放连接,结束 (5)防火墙若收
8、到ACK,则立即向内网指定计算机(第步已缓存)发送SYN,当接收到SYN-ACK后立即响应ACK (6)TCP连接建立成功,之后内外网直接通信,网络安全防范,11,41,访问控制列表,Access Control List,ACL 用于防火墙实现灵活的管理过滤机制 ACL存放用于判别报文、连接与操作是否合法的相关参量,如IP地址、端口号等,可以动态维护、更新 ACL类型: 黑名单(black list;forbid list) 显性指出禁止访问的项目,如某个IP地址(或网段)、某个TCP/UDP端口号 访问控制引擎对黑名单采用负逻辑(negative logic)判别方式,即符合条件者不通过,
9、否则通过。 白名单(white list;permission list) 显性指出允许访问的项目 访问控制引擎对白名单采用正逻辑(positive logic)判别方式,即符合条件者通过,否则不通过 灰名单(grey list) 一种特殊ACL黑名单机制,可称为临时黑名单 灰名单可以由防火墙自动地、动态地进行调整,更为灵活,网络安全防范,12,41,ACL引擎控制流程,网络安全防范,13,41,匹配ACL每一行,匹配?,最后行?,允许/拒绝?,Y,N,N,丢弃报文,结束,Y,最后行隐式 Deny any,Deny,报文通过,Permit,双防火墙机制,实现目标: 某些内部网络需要对外提供访问
10、服务,需要一定的安全保护,但应避免复杂性、提高访问效率 对外服务系统与内部应用系统间要有一定的互连关系,用于安全地交换数据 内网中的计算机可以访问外部网络,网络安全防范,14,41,非军事区 De-Military Zone,LAN DMZ WAN,带DMZ的FW,双防火墙应用效果,网络安全防范,15,41,内部网络,DMZ,Internet,DB Server,Web Server,Email Server,data,最高的安全保障,有效的安全保障,无安全保障,来自外部网络的 访问仅限于到达 DMZ区域,双防火墙应用示例,网络安全防范,16,41,防火墙评价指标,误报率(rate of fa
11、lse detection) false positive 指正常访问或数据误遭防火墙拦截,直接造成访问失败、数据(如邮件)丢失 误报率越低越好 漏报率(rate of missing) false negative 是检出率(rate of detection)的反面,指防火墙未能发现安全攻击的访问或数据,使漏网之鱼进入网络系统 漏报率越低越好 矛盾性 漏报率与误报率的降低存在一定的矛盾 应根据应用需求进行协调,寻找最佳平衡点,网络安全防范,17,41,主要针对 模糊判别,代理,Proxy/Agent 计算机网络体系中的一种网关设备,用于协助网络用户完成访问任务,即用户将访问请求提交给代理,
12、由代理完成对指定资源的访问,并把访问结果转交给用户 代理的作用: 代理主要起到类似中间人的访问隔离作用,帮助网络用户完成其不能直接实施的任务 代理可以设定缓存空间,存储网络访问的结果,以便向下一个相同的访问(可能来自不同用户)提供本地响应的、快速的服务,不占用珍贵的Internet接入带宽资源 对访问进行白名单式的控制,通过代理的设置,向指定的用户开放指定的应用、指定的URL、指定的通信流量、指定的访问时段等,使用户的访问行为得到有效的约束,也限制了外部网络用户对内部网络用户不安全的直接访问行为,网络安全防范,18,41,代理功能示意,网络安全防范,19,41,网络A,网络B,应用系统A,应用
13、系统B,应用系统C,用户x,用户y,用户z,Proxy,允许访问 A|B|C,允许访问 B|C,允许访问 A,代理与防火墙/网关比较,网络安全防范,20,41,通过代理穿越防火墙示例,网络安全防范,21,41,一次性口令,One-Time Password,OTP 口令(验证码)只使用一次,每次使用后进行变化,使每次的鉴别口令都各不相同 用于防范口令猜测攻击、重放攻击 技术原理: 在用户登录过程中的口令传输时加入不确定因子(salt),使用户口令不以固定的明文或密文方式在网络上传输,每次传送的验证码都不相同,而系统收到验证码后可以用相同的算法验证,网络安全防范,22,41,简单的一次性口令示例
14、,网络安全防范,23,41,登录验证码=MD5(口令随机数),客户端产生随机数,在发送验证码时一起传送给服务端 服务端产生随机数,在询问口令时传送给客户端(即挑战) 当前时间,口令序列,S/Key S/KEY口令为一个单向的前后相关的序列,由n个口令组成 RFC1760定义 技术原理: 客户端的口令序列是由用户口令和服务端提供的种子(seed)经MD4单向函数加密而成 客户端再通过连续n次单向函数,生成n个顺序排列的口令验证码序列 客户端登录时,逆向使用生成的序列 当用户第i次登录时,服务端用单向函数计算收到的验证码,并与上次保存的第i1个验证码比较,以判断用户的合法性 客户端按序使用口令序列
15、,而服务端只需记录最新一次成功登录所用的验证码 由于口令数是有限的,用户登录n次后必须重新初始化口令序列,且客户端和服务端应始终保持同步,网络安全防范,24,41,口令序列原理图,网络安全防范,25,41,VLAN,Virtual Local Area Network 虚拟局域网 从逻辑(协议)上对网络资源和网络用户按照一定原则进行的划分,把一个物理网络划分成多个小的逻辑网络 VLAN标准IEEE 802.1q VLAN功能: 限制广播域(广播范围) 隔离子网 制定各种访问限制 可禁止来自其他VLAN的访问 可禁止离开VLAN的访问 一个计算机(用户)可同时从属于不同VLAN,但需分别遵循相关
16、VLAN的访问限定,网络安全防范,26,41,VLAN示例,网络安全防范,27,41,VLAN报头格式,VLAN协议4B标签头: 标签协议标识(Tag Protocol Identifier,TPID) 标签控制信息(Tag Control Information,TCI 优先级字段,3b 规范格式指示符CFI,1b VLAN标识符VID,12b,网络安全防范,28,41,VLAN类型,(1)基于端口的VLAN 根据以太网交换机的物理端口来划分VLAN,可以跨交换机进行 优点是定义VLAN成员时非常简单,只需将所有的端口都设定一遍 缺点是如果VLAN的某个用户离开原来端口,连接到新的端口,就必须重新定义 当采用按不同地理位置(如不同楼层、不同大楼)的不同部门划分VLAN时,这种方式特别简单,因为往往各部门采用单独的交换机 (2)基于MAC地址的VLAN 根据每个主机的MAC地址来划分VLAN,也称为基于用户的VLAN 优点就是当用户物理位置移
