《互联网安全技术20P》由会员分享,可在线阅读,更多相关《互联网安全技术20P(24页珍藏版)》请在金锄头文库上搜索。
1、关飓逹技术教学目标与要求:掌握防火墙的体系结构与配置方法掌握VPN中使用的关键技术理解互联网安全的基本概念理解放火墙、VPN入侵检测的基本概念理解VPN的实现策略和方法了解放火墙的安全配置与访问控制技术的实现策略,以及放火墙的安全使用层面了解放火墙的安全局限学会VPN的配置方法了解入侵检测系统的分类和相关技术。教学重点难点:防火墙的体系结构与配置方法VPN关键技术学习指导:本章介绍防火墙技术,包括不同类型防火墙的功能、防火墙的体系结构,以及如何配置网络的防火墙;IPSEC协议在网络层上对数据包进行高强度的安全处理,提供数据源验证, 无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服
2、务;虚拟专用网VPN利用INTERNE功媒介实现与专用网络相类似的安全性能;实现WEB安全的SSL协议,通过服务器和客户机之间的相互认证,使客户机/服务器应用程序之间的通信不被攻击者窃听; PGP和S/SIME协议提供的服务用来确保电子邮件的安全;计算机病毒有多种类型,其防治 技术也是多种多样的, 目前常用的防毒杀毒工具有金山毒霸、瑞星杀毒软件等;网络的攻击手段有漏洞扫描、拒绝服务攻击等,针对不同的攻击主要有两种检测攻击的方法:异常检测方法和滥用检测方法, 它们分别用来发现新的攻击手段和识别已存在的攻击手段,有时也将两种检测方法混合使用,以达到更好的检测攻击的效果。教学方法与思路:本次课以案例
3、讲授为主,结合电子商务系统的运作平台引入本节内容:1、介绍确保INTERNET安全的技术、设施、策略和系统等安全手段;2、确保INTERNET安全的手段包括防火墙技术、IPSEC协议和虚拟专用网、安全套接字层SSL协议、安全邮件协议、计算机病毒检测与防治以及网络入侵检测系统等,它们针对INTERNET的不同应用提供相应的安全策略,从不冋的方面确保INTERNET的安全。教学步骤:教学内容课堂组织第六章互联网安全技术案例:互联网安全状况令人担忧2001年2月25日美国国防部副部长哈姆雷向新闻界公布了轰动整个 美国的黑客袭击事件:在过去的两周内,国防部五角大楼的军事情报网络接案例讲解,提 问学生是
4、否 收到过病毒 的困扰和破 坏,思考如何加强互联网的安全防范连遭受到黑客入侵,11个非机密军事网点(4个海军网点、7个空军网点) 先后被光顾。根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过1.7亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超 过50%的安全威胁来自内部;只有17%的公司愿意报告黑客入侵,其他的由于担心负面影响而未声张。59%的损失可以定量估算。平均每个组织损失$402000 美兀。公安部官员估计,目前已发现的黑客攻击案约占总数的15%多数事件由于没有造成严重危害或商家不愿透露而未被曝光。有媒介报道,中国95%的与In ternet 相连的网络
5、管理中心都遭到过境内外黑客的攻击或侵入,其中 银行、金融和证券机构是黑客攻击的重点。在中国,针对银行、证券等金融 领域的黑客犯罪案件总涉案金额已高达数亿元,针对其他行业的黑客犯罪案 件也时有发生。黑客的威胁见诸报道的已经屡见不鲜,像贵州省城热线、成都艺术节主 页RSA安全公司等都报道有黑客入侵,他们在主页上发布反动口号,或将主 页修改成黄色画面。内部工作人员能较多地接触内部信息,工作中的任何不 小心都可能给信息安全带来危险。这类事件涉及的覆盖面越来越大、程度越来越深,以致于现在很多企业 都不敢真正利用互联网进行电子商务建设。6.1防火墙技术防火墙(FireWall )是由软件和硬件(如计算机、
6、路由器)组合而成的 一个或一组系统,它处于企业或网络群体计算机与外界通道之间,用来加强 In ternet与Intranet 之间的安全防范。防火墙控制网络内外的信息交流, 提供接入控制和审查跟踪,在外部网和内部网之间的界面构筑一个安全屏 障。防火墙的功能(1) 包过滤技术包过滤技术在网络层对数据包进行选择,如图6. 1所示。殆辰円潇4翳r腐钿 -一外部禺蜡图6. 1包过滤防火墙选择的依据是系统内设置的访问控制表AccessControlTable )中描述的过滤逻辑。动态地检查 TCP/IP数据流中每个数据包的报文类型、源IP地址、目的IP地址、所有TCP端口号、TCP链路状态等因素,或它们
7、的组合,然后依 据一组预定义的规则删除不合乎逻辑的数据包。采用数据包过滤技术的防火墙通常安装在网络的路由器上。几乎所有的 商用路由器都提供此项功能。这种基于路由器的防火墙比较简单易行,价格 较低,对用户透明,对网络性能的影响很小。包过滤技术的缺点是没有用户 的使用记录,这样就不能从访问记录中发现黑客的攻击记录。另外,它对IP欺骗式攻击无法防范,即无法防范黑客修改数据包头中的In ternet协议地址,把IP地址改成可被接受的地址,以此骗取对企业内部网络的访问权限。(2) 网络地址转换网络地址转换器是另一种类型的防火墙,其基本原理就像是电话网络中 的总机,而内部网络的用户都拥有一部“分机”。当内
8、部用户要对外部网络 进行访问时都使用同一个“总机”,而外部网络的用户要与内部网络中的某 个用户通信时,也必须经过“总机”来转接。当受保护的网络连接到In ternet 时,如果受保护网络的用户要访问In ternet ,那么他必须使用一个合法的IP地址。但由于合法IP地址有限,并且受保护的网络往往有自己的一套IP地址规划(即非正式的IP地址),这时就需要网络地址转换器。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部网络某一用户要访问In ternet时,防火墙动态地从地址集中选一个未使用的地址分配给该用户, 该用户就可以使用这个合法地址进行通信。同时,对于内部的某些服务器和 Web服
9、务器,网络地址转换器允许为其分配一个固定的合法地址,外部网络 用户就可以通过防火墙来访问内部服务器。这种技术使得内部网络对外不透 明,有利于内部网络的安全性。同时也解决了内部网络的IP地址与外部地址发生冲突的问题。网络地址转换包括内部网络到外部网络的转换和外部网络到内部网络的 转换。一般的地址转换方式为静态地址映射,就是将外部地址和内部地址一 对一的映射,使得具有内部地址的主机既可以访问外部网络,又可以接受外 部网络提供的服务。此外,支持多对一的地址映射也是一种网络地址转换的 方式,其原理是内部网络的多个主机可以通过一个有效地址访问外部网络。 当内部网络的主机通过安全网卡访问外部网络时,网络地
10、址转换器产生一个 映射记录,将该主机的源地址和源端口映射为一个伪装的地址和端口,并且 使用伪装后的地址和端口,通过非安全网卡与外部网络建立连接,这样就对 外隐藏了真实的内部网络地址。当外部网络通过非安全网卡访问内部网络 时,无法了解内部网络的连接情况,而只通过一个开放的IP地址和端口来请求服务。(3) 代理服务在介绍代理服务防火墙之前,先介绍一下应用层网关防火墙。应用层网 关防火墙在网络应用层上建立协议过滤和转发功能,如图6.2所示。它针对特定的网络应用服务协议,使用预先设定的数据过滤规则,并在过滤包的同 时对数据包进行必要的分析、登记和统计,形成报告。实际中的应用层网关 防火墙通常安装在专用
11、工作站系统上。內那网奸1昨话1*尿图6.2 应用网关防火墙应用层网关防火墙和包过滤防火墙一样,仅仅依靠预定的规则来判定是 否允许数据包通过,一旦数据包满足过滤规则,则防火墙内外的计算机系统 建立直接联系,防火墙外部的用户就有可能直接了解防火墙内部的网络结构 和运行状态。黑客们往往利用应用层网关防火墙这一特点,对其内部网络实 施非法访问和攻击。针对包过滤技术和应用层网关技术存在的缺点,一种解决办法是将代理 服务技术应用于防火墙的设计中。代理服务防火墙的特点是将所有跨越防火 墙的网络通信链路分为两段,防火墙内外计算机系统间应用层的“链接”由 两个代理服务器上的“链接”来实现,外部计算机的网络链路只
12、能到达代理 服务器,从而起到了隔离防火墙内外计算机系统的作用,如图6.3所示。此外,代理服务防火墙也对流经它的数据包进行分析、注册登记,形成报告, 同时一旦发现网络有被攻击迹象时,便通知网络管理员,并保留攻击痕迹。图6.3代理服务代理服务技术针对每一个特定应用都有一个程序,它试图在应用层实现 防火墙的功能,这和在网络层拦截所有信息流的包过滤技术完全不同。代理 服务技术使得网络管理员能够实现比包过滤路由器更严格的安全策略:应用 层网关对In terner服务进行管理,它采用为每种所需服务在网关上安装特殊代理编码(代理服务)的方式来实现管理,而不像数据包过滤技术那样利 用检查模块来管理 In te
13、rner服务在防火墙系统中的进出。这样,网络管理员就可以对服务进行全面的控制。如果网络管理员没有为某种应用安装代理 编码,那么该项服务就不支持,并且不能通过防火墙系统来转发。此外,管 理员也可以根据需要配置代理编码双宿网关和堡垒主机都能够提供代理服务。用户只允许访问代理服务, 但不允许注册到应用层网关中。这是因为如果允许用户注册到防火墙系统 中,那么入侵者可能会在暗地里进行某些损害防火墙有效性的动作,防火墙 系统的安全就会受到威胁。例如,入侵者可能获取root权限,在系统中安装木马程序来截取口令后便能够修改防火墙的安全配置文件。提供代理的应用层网关主要有以下优点: 应用层网关有能力支持可靠的用
14、户认证并提供详细的注册信息; 用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试; 代理工作在客户机和真实服务器之间完全控制会话,所以可以提供很 详细的日志和安全审计功能; 提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机,这 样可以隐藏内部网的IP地址,保护内部主机免受外部主机的攻击; 通过代理访问In ternet 可以解决合法的IP地址不够用的问题,因为In ternet 所见到的只是代理服务器的地址,内部不合法的IP通过代理可以访问 Internet 。然而,应用层代理也具有一些明显的缺点: 代理服务器具有解释应用层命令的功能(如解释FTP命令、Telnet命令等),因
15、此可能需要提供很多种不同的代理服务器(如FTP代理服务器、Telnet代理服务器),并且所能提供的服务和可伸缩性是有限的; 应用层网关不能为RPC TALK和其他一些基于通用协议的服务提供代理; 应用层实现的防火墙会造成明显的性能下降; 每个应用程序都必须有一个代理服务程序来进行安全控制,每一种应 用升级时,代理服务程序一般也要升级; 应用层网关要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件,比如,透过应用层网关的TelNet访冋,要求用户通过两步而不是 步来建立连接。不过,特姝的端系统软件可以让用户在TelNet命令中指定目标主机、而不是应用层网关来使得应用层网关透明。从发展的观点来看,应用层代理网关适应In ternet的通用用途和需要,但是In ternet的环境在不断动态变化,目前新的协议、服务和应用不断出现,代理不再能处理 In ternet上的各种类型的传
