《网络安全知识培训》由会员分享,可在线阅读,更多相关《网络安全知识培训(93页珍藏版)》请在金锄头文库上搜索。
1、内容1.网络安全基础知识2.网络漏洞和网络攻击技术3.网络安全防御技术产品4.网络安全策略-网络安全服务7/25/20241一、网络安全基础知识1.网络安全的兴起2.网络安全的目的3.网络攻击后果4.网络安全风险7/25/20242网络安全的兴起Internet 技术迅猛发展和普及技术迅猛发展和普及有组织、有目的地网络攻击有组织、有目的地网络攻击Hacker出出现现企业内部安全隐患企业内部安全隐患有限的安全资源和管理专家有限的安全资源和管理专家 7/25/20243复杂程度复杂程度Internet 技术的迅猛发展和普及技术的迅猛发展和普及-网络应用网络应用Internet EmailWeb 浏
2、览Intranet 电子商务电子商务 电子政务电子政务电子交易电子交易时间时间7/25/20244黑客(黑客(Hacker)的分类的分类偶然的破坏者偶然的破坏者坚定的破坏者坚定的破坏者间谍间谍7/25/20245案例案例:电影电影黑客帝国黑客帝国黑客方:尼奥黑客方:尼奥 (病毒、木马)(病毒、木马) 反黑客方:史密斯(防火墙、杀毒软件)反黑客方:史密斯(防火墙、杀毒软件)7/25/20246全球超过全球超过26万个黑客站点提供系统漏洞和攻击知识万个黑客站点提供系统漏洞和攻击知识越来越多的容易使用的攻击软件的出现越来越多的容易使用的攻击软件的出现国内法律制裁打击力度不够国内法律制裁打击力度不够网
3、络的普及使学习黑客技术变得异常简单网络的普及使学习黑客技术变得异常简单7/25/20247网络安全的目的网络安全的目的保护信息的安全保护信息的安全保护信息交互、传输的安全保护信息交互、传输的安全保护信息系统的正常运行保护信息系统的正常运行7/25/20248进进进进不不不不来来来来拿拿拿拿不不不不走走走走改改改改不不不不了了了了跑跑跑跑不不不不了了了了看看看看不不不不懂懂懂懂信息安全的目的信息安全的目的可可可可审审审审查查查查7/25/20249财政损失知识产权损失时间消耗由错误使用导致的生产力消耗责任感下降内部争执网络攻击后果网络攻击后果可见的网络攻击影响可见的网络攻击影响利润利润攻击发生攻
4、击发生(财政影响财政影响)Q1 Q2 Q3 Q47/25/202410安全需求和实际操作脱离安全需求和实际操作脱离 内部的安全隐患内部的安全隐患动态的网络环境动态的网络环境有限的防御策略有限的防御策略安全策略和实际执行之间的巨大差异安全策略和实际执行之间的巨大差异用户对安全产品的依赖和理解误差用户对安全产品的依赖和理解误差网络安全风险7/25/202411二、网络漏洞和网络攻击技术介绍1.网络中的漏洞2.网络攻击技术7/25/202412 网络通讯层漏洞超过超过1000个个TCP/IP服务安全漏洞服务安全漏洞:Sendmail, FTP, NFS, File Sharing, Netbios,
5、 NIS, Telnet, Rlogin, 等等. 错误的路由配置错误的路由配置 TCP/IP中不健全的安全连接检查机制中不健全的安全连接检查机制 缺省路由帐户缺省路由帐户 反向服务攻击反向服务攻击 隐蔽隐蔽 Modem7/25/202413针对网络通讯层的攻击通讯通讯 & 服务层服务层 TCP/IP TCP/IP IPX IPX X.25 X.25 Ethernet Ethernet FDDI FDDI Router Configurations Router Configurations Hubs/Switches Hubs/SwitchesDMZDMZ E-MailE-Mail File
6、 Transfer File Transfer HTTP HTTPIntranetIntranet 企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继调制解调器调制解调器7/25/202414 操作系统的安全隐患 1000个以上的商用操作系统安全漏洞个以上的商用操作系统安全漏洞 没有及时添加安全补丁没有及时添加安全补丁 病毒程序的传播病毒程序的传播 文件文件/用户权限设置错误用户权限设置错误 默认安装的不安全设置默认安装的不安全设置 缺省用户的权限和密码口令缺省用户的权限和密码口令 用户设置过于简单密码使用用户设置过于简单密码使用
7、特洛依木马特洛依木马7/25/202415DMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继针对操作系统的攻击操作系统操作系统 UNIX UNIX Windows Windows Linux Linux Freebsd Freebsd Macintosh Macintosh Novell Novell7/25/202416应用程序服务的安全漏洞Web 服务器: 错误的Web目录结构 CGI
8、脚本缺陷 Web服务器应用程序缺陷 私人Web站点 未索引的Web页 数据库: 危险的数据库读取删 除操作, 缓冲区溢出路由器:源端口/源路由 其他应用程序: Oracle, SAP, Peoplesoft 缺省帐户 有缺陷的浏览器7/25/202417DMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继针对应用服务的攻击应用服务程序应用服务程序 WebWeb服务器服务器服务器服务器 数据
9、库系统数据库系统数据库系统数据库系统 内部办公系统内部办公系统内部办公系统内部办公系统 网络浏览器网络浏览器网络浏览器网络浏览器 ERP ERP 系统系统系统系统 办公文件程序办公文件程序办公文件程序办公文件程序 FTP SMTP POP3FTP SMTP POP3SAP R/3OracleOracle7/25/202418总结通迅层漏洞(TCP/IP协议)操作系统漏洞应用程序漏洞非法授权访问欺骗类攻击拒绝服务攻击利用病毒的攻击木马程序攻击入侵系统类攻击后门攻击缓冲区溢出攻击暴力破解字典程序7/25/202419三、网络安全防御技术产品1.防火墙2.防病毒3.VPN4.入侵检测5.网络扫描器(
10、Scanner)6.加密7.数字证书7/25/202420防火墙综述防火墙综述防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,许、拒绝、监测)出入网络的信息流,且本身具有较强的且本身具有较强的抗攻击能力。抗攻击能力。它是提供信息安全它是提供信息安全服务,实现网络和服
11、务,实现网络和信息安全的基础设施。信息安全的基础设施。InternetInternetFile ServerClientMail ServerClientClientClientFTP Server防火墙防火墙7/25/202421防火墙可以是软件、硬件和软硬件结合的防火墙可以是软件、硬件和软硬件结合的发展历经四代:简单包过滤、应用代理、状态检测发展历经四代:简单包过滤、应用代理、状态检测(状态包过滤)防火墙、复合型防火墙(状态包过滤)防火墙、复合型防火墙防火墙综述防火墙综述7/25/202422硬件防火墙 软硬件结合防火墙 软件防火墙 用专用芯片处理数据包,CPU只作管理之用。使用专用的操作
12、系统平台,避免了通用性操作系统的安全性漏洞。高带宽,高吞吐量,真正线速防火墙。即实际带宽与理论值可以达到一致.安全与速度同时兼顾。没有用户限制。性价比高。管理简单,快捷,具有良好的总体拥有成本。机箱+CPU+防火墙软件集成于一体(PC BOX 结构),市面上大部分声称“硬件”防火墙的产品都采用这种结构。采用专用或通用操作系统。核心技术仍然为软件,容易形成网络带宽瓶颈。只能满足中低带宽要求,吞吐量不高。通常带宽只能达到理论值的20%-70%。中低流量时可满足一定的安全要求,在高流量环境下会造成堵塞甚至系统崩溃。性价比不高。管理比较方便。运行在通用操作系统上能安全控制存取访问的软件,性能依靠计算机
13、CPU、内存等。基于通用操作系统,对底层操作系统的安全依赖性很高。由于操作系统平台的限制,极易造成网络带宽瓶颈。实际所能达到的带宽通常只有理论值的20%-70%。可以满足低带宽低流量环境下的安全需要,高速环境下容易造成系统崩溃。有用户限制,需按用户数购买,性价比较低。管理复杂,与系统有关,要求维护人员熟悉各种工作站及操作系统的安装及维护。防火墙发展概述7/25/202423防火墙功能防火墙功能IP包检测包检测Internet内容过滤内容过滤网络地址转换网络地址转换(NAT)攻击检测攻击检测日志审计日志审计/报警报警应用层控制应用层控制用户认证管理用户认证管理控制网络内容行为(控制网络内容行为(
14、NEW!)7/25/202424防病毒知识介绍防病毒知识介绍什么是病毒什么是病毒从广义上定义,凡能够引起计算机故障,自动破坏计算机数从广义上定义,凡能够引起计算机故障,自动破坏计算机数据的程序统称为计算机病毒。据的程序统称为计算机病毒。 计算机病毒,是指编制或者在计算机程序中插入的破坏计算计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。组计算机指令或者程序代码。 7/25/202425病毒特征及目前流行病毒病毒特征及目前流行病毒破坏性破坏性自动复制自动复制自动传
15、播自动传播红色代码红色代码红色代码红色代码II尼姆尼姆达达- Nimuda求职信求职信7/25/202426网关防病毒产品特点及适用平台网关防病毒产品特点及适用平台产品特点企业企业Internet网关入口处针对网关入口处针对FTP,HTTP,SMTP高效能的高效能的三合一防毒软件三合一防毒软件 全球全球查杀技术查杀技术,大大提升杀毒效能,大大提升杀毒效能 利用在网关入口处对病毒拦截的功能利用在网关入口处对病毒拦截的功能, 降低了企业的防毒降低了企业的防毒成本成本 ,提高了扫毒效率,提高了扫毒效率具有完整的实时监控功能具有完整的实时监控功能适用平台 Windows NT、UNIX (Solari
16、s、HP-UX)、Linux等等7/25/202427网关防病毒网关防病毒Disparate systemsIDSIDSHackerInternet7/25/202428VPN的基本技术的基本技术InternetInternet7/25/202429VPN(Virtual Private Network) 它它指指的的是是以以公公用用开开放放的的网网络络(如如Internet)作作为为基基本本传传输输媒媒体体,通通过过加加密密和和验验证证网网络络流流量量来来保保护护在在公公共共网网络络上上传传输输的的私私有有信信息息不不会会被被窃窃取取和和篡篡改改,从从而而向向最最终终用用户户提提供供类类似似
17、于私有网络于私有网络(Private Network)性能的网络服务技术。性能的网络服务技术。远程访问Internet内部网分支机构虚拟私有网虚拟私有网虚拟私有网合作伙伴7/25/202430VPN 最大优势最大优势 - 投资回报投资回报大幅度减少电信服务费用,尤其针对地域上分散的公司和企业大幅度减少电信服务费用,尤其针对地域上分散的公司和企业针对远程拨号上网访问的用户,省去了每个月的电信费用针对远程拨号上网访问的用户,省去了每个月的电信费用到到到到20022002年,按企业年,按企业年,按企业年,按企业/ /组织规模大小,实施组织规模大小,实施组织规模大小,实施组织规模大小,实施VPNVPN
18、比例将达到:比例将达到:比例将达到:比例将达到:57% - -大型企业大型企业大型企业大型企业55% - -中心企业中心企业中心企业中心企业51% - -小型企业小型企业小型企业小型企业 来源: Infonetics Research7/25/202431v数据机密性保护数据机密性保护v 数据完整性保护数据完整性保护v 数据源身份认证数据源身份认证VPN作用7/25/202432实时入侵监控器是网络上实时的入侵检测、报警、响应和防范系统。 将基于网络的和基于主机的入侵检测技术,分布式技术和可生存技术完美地结合起来,提供实时的安全监控。 监控系统事件和传输的网络 数据,并对可疑的行为进行自动监测
19、和安全响应,使用户的系统在受到危害之前即可截取并终止非法入侵的行为和内部网络的误用,从而最大程度地降低安全风险,保护企业网络的系统安全。口令口令?探测探测探测探测: :入侵入侵入侵入侵! !实时入侵检测系统实时入侵检测系统7/25/202433网络安全评估系统对网络设备进行自动的安全漏洞检测和分析,网络安全评估系统对网络设备进行自动的安全漏洞检测和分析,并且在执行过程中支持基于策略的安全风险管理过程。另外,并且在执行过程中支持基于策略的安全风险管理过程。另外,执行预定的或事件驱动的网络探测,包括对网络通信服务、操执行预定的或事件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、作
20、系统、路由器、电子邮件、WebWeb服务器、防火墙和应用程序服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。的检测,从而识别能被入侵者利用来非法进入网络的漏洞。 ScannerScanner将给出检测到的漏洞信息,包括位置、详细描将给出检测到的漏洞信息,包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风述和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息,并跟随开放的网络应用和迅速增长的网络规模而相应险信息,并跟随开放的网络应用和迅速增长的网络规模而相应地改变。地改变。网络安全扫描系统网络安全扫描系统7/25/202434加密加密用于将数
21、据转换成保密代码在不可信的网络上传输用于将数据转换成保密代码在不可信的网络上传输加密算法加密算法“The cow jumped over the moon”“4hsd4e3mjvd3sda1d38esdf2w4d”明文明文明文明文加密数据加密数据加密数据加密数据7/25/202435对称密钥对称密钥加密和解密使用同一把密钥加密和解密使用同一把密钥比非对称密钥速度快比非对称密钥速度快密钥管理工作量大密钥管理工作量大密钥传递容易泄密密钥传递容易泄密Shared Secret KeyShared Secret Key7/25/202436非对称密钥非对称密钥加密和解密采用不同密钥加密和解密采用不同密
22、钥 (一把公钥一把公钥, 一把私钥一把私钥)密钥分配简单密钥分配简单密钥保存量小,便于管理密钥保存量小,便于管理Alice Public KeyAlice Public KeyEncryptEncryptAlice Private KeyAlice Private KeyDecryptDecryptBobBobAliceAlice7/25/202437数字证书和数字证书和 Public Key Infrastructure数字证书数字证书:包含了一个人的或一个实体的包含了一个人的或一个实体的Public Keys允许安全地分发允许安全地分发 public keysIs signed by a
23、Certificate Authoritys private keyVerifies identity through trusted third partyMy Certificate:My Certificate:Name: Name: BobBobOrganization: Organization: YI SHANGYI SHANGPublic Key: Public Key: lk393l430fksffj398sdf1f594ier933d34w435dlk393l430fksffj398sdf1f594ier933d34w435dCA: CA: xxx.xxx.xxx.xxxxx
24、x.xxx.xxx.xxxand moreand more7/25/202438灵活的认证方式灵活的认证方式共享的密钥共享的密钥最简单的方式最简单的方式两个站点通过电话或两个站点通过电话或E-Mail方式共享密钥方式共享密钥Public Key Infrastructure提供在较大规模下发布和提供在较大规模下发布和管理管理Public/Private 密钥的密钥的方法方法Internet Key Exchange (IKE)自动更有效地进行身份认自动更有效地进行身份认证、协商算法及交换密钥证、协商算法及交换密钥7/25/202439四、网络安全策略四、网络安全策略-网络安全服务网络安全服务建
25、立一个有效的安全策略建立一个有效的安全策略为你的系统分类为你的系统分类 指定危险因数指定危险因数 确定每个系统的安全优先级确定每个系统的安全优先级 定义可接受和不可接受的活动定义可接受和不可接受的活动 决定在安全问题上如何教育所有员工决定在安全问题上如何教育所有员工 确定谁管理你的政策确定谁管理你的政策 7/25/202440安全基本元素安全基本元素审计管理加密访问控制用户验证安全策略7/25/202441DMZDMZ? E-Mail? E-Mail? File Transfer? File Transfer? HTTP? HTTPIntranetIntranet企业网络企业网络生产部生产部工
26、程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继管理分析 & 实施策略安安安安 全全全全 隐隐隐隐 患患患患外部外部/ /个体个体外部外部/ /组织组织内部内部/ /个体个体内部内部/ /组织组织关闭安全维护关闭安全维护“后门后门”更改缺省的更改缺省的系统口令系统口令添加所有添加所有操作系统操作系统PatchModem数据文件加密数据文件加密安装认证安装认证 & 授权授权用户安全培训用户安全培训授权复查授权复查入侵检测入侵检测实时监控实时监控7/25/202442风险风险RISKRISKRISKRISKRISKRISKRISKRISK风险风险v实施安全解决方案
27、:实施安全解决方案:-就是为了把网络的风险降到最低限度就是为了把网络的风险降到最低限度就是为了把网络的风险降到最低限度就是为了把网络的风险降到最低限度基本的威胁基本的威胁采取措施后剩余的威胁采取措施后剩余的威胁资产资产资产资产威胁威胁威胁威胁漏洞漏洞资产资产资产资产威胁威胁威胁威胁漏洞漏洞漏洞漏洞7/25/202443网络系统现状网络系统现状网络系统现状网络系统现状潜在的安全风险潜在的安全风险潜在的安全风险潜在的安全风险安全需求与目标安全需求与目标安全需求与目标安全需求与目标安全体系安全体系安全体系安全体系安全解决方案安全解决方案安全解决方案安全解决方案分析后得出分析后得出分析后得出分析后得出
28、提提提提出出出出进行进行进行进行安全集成安全集成安全集成安全集成 / / 应用开发应用开发应用开发应用开发安全服务安全方案设计安全方案设计安全方案设计安全方案设计建立相应的建立相应的网络安全整体设计流程网络安全整体设计流程网络安全整体设计流程网络安全整体设计流程 依依依依照照照照风风风风险险险险制制制制定定定定出出出出7/25/202444冒名顶替冒名顶替废物搜寻废物搜寻身份识别错误身份识别错误不安全服务不安全服务配置配置初始化初始化乘虚而入乘虚而入代码炸弹代码炸弹病毒病毒更新或下载更新或下载特洛伊木马特洛伊木马间谍行为间谍行为拨号进入拨号进入算法考虑不周算法考虑不周随意口令随意口令口令破解口
29、令破解口令圈套口令圈套窃听窃听偷窃偷窃网络安全威胁网络安全威胁线缆连接线缆连接身份鉴别身份鉴别编程编程系统漏洞系统漏洞物理威胁物理威胁网络安全威胁网络安全威胁网络安全威胁网络安全威胁7/25/202445虚拟专虚拟专用网用网防火墙防火墙访问控制访问控制防病毒防病毒入侵检测入侵检测网络安全整体框架(形象图)7/25/202446网络病毒网络病毒网络病毒网络病毒红色代码红色代码尼姆达尼姆达冲击波冲击波震荡波震荡波ARP病毒病毒7/25/202447木马木马木马木马病毒性木马病毒性木马工行密码盗取工行密码盗取木马木马其它后门工具其它后门工具7/25/202448安全威胁实例安全威胁实例安全威胁实例安
30、全威胁实例用户使用一台计算机用户使用一台计算机D访问位于网络中心服务器访问位于网络中心服务器S上的上的webmail邮件邮件服务,存在的安全威胁:服务,存在的安全威胁:U在输入用户名和口令时被录像在输入用户名和口令时被录像机器机器D上有上有key logger程序,记录了用户名和口令程序,记录了用户名和口令机器机器D上存放用户名和密码的内存对其他进程可读,其他进程读上存放用户名和密码的内存对其他进程可读,其他进程读取了信息,或这段内存没有被清取了信息,或这段内存没有被清0就分配给了别的进程,其他进就分配给了别的进程,其他进程读取了信息程读取了信息用户名和密码被自动保存了用户名和密码被自动保存了
31、用户名和密码在网络上传输时被监听(共享介质、或用户名和密码在网络上传输时被监听(共享介质、或arp伪造)伪造)机器机器D上被设置了代理,经过代理被监听上被设置了代理,经过代理被监听7/25/202449安全威胁实例(续)安全威胁实例(续)安全威胁实例(续)安全威胁实例(续)查看邮件时被录像查看邮件时被录像机器机器D附近的无线电接收装置接收到显示器发射的信号并且重现附近的无线电接收装置接收到显示器发射的信号并且重现出来出来屏幕记录程序保存了屏幕信息屏幕记录程序保存了屏幕信息浏览邮件时的临时文件被其他用户打开浏览邮件时的临时文件被其他用户打开浏览器浏览器cache了网页信息了网页信息临时文件仅仅被
32、简单删除,但是硬盘上还有信息临时文件仅仅被简单删除,但是硬盘上还有信息由于由于DNS攻击,连接到错误的站点,泄漏了用户名和密码攻击,连接到错误的站点,泄漏了用户名和密码由于网络感染了病毒,主干网瘫痪,无法访问服务器由于网络感染了病毒,主干网瘫痪,无法访问服务器服务器被服务器被DOS攻击,无法提供服务攻击,无法提供服务7/25/202450什么是网络安全?什么是网络安全?什么是网络安全?什么是网络安全?本质就是网络上的信息安全。本质就是网络上的信息安全。网络安全防护的目的。网络安全防护的目的。网络安全的定义:网络安全的定义:网网络络安安全全是是指指网网络络系系统统的的硬硬件件、软软件件及及其其系
33、系统统中中的的数数据据受受到到保保护护,不不受受偶偶然然的的或或者者恶恶意意的的原原因因而而遭遭到到破破坏坏、更更改改、泄泄露露,系系统统连连续续、可可靠靠、正正常常地地运运行行,网网络服务不中断。络服务不中断。 保障各种网络资源稳定、可靠的运行和受控、合法使用保障各种网络资源稳定、可靠的运行和受控、合法使用7/25/202451网络安全的特征网络安全的特征网络安全的特征网络安全的特征(1)保保密密性性confidentiality:信信息息不不泄泄露露给给非非授授权权的的用用户户、实实体体或或过过程程,或或供其利用的特性。供其利用的特性。(2)完完整整性性integrity:数数据据未未经经
34、授授权权不不能能进进行行改改变变的的特特性性,即即信信息息在在存存储储或传输过程中保持不被修改、不被破坏和丢失的特性。或传输过程中保持不被修改、不被破坏和丢失的特性。(3)可可用用性性availability:可可被被授授权权实实体体访访问问并并按按需需求求使使用用的的特特性性,即即当当需需要要时时应应能能存存取取所所需需的的信信息息。网网络络环环境境下下拒拒绝绝服服务务、破破坏坏网网络络和和有有关关系系统统的正常运行等都属于对可用性的攻击。的正常运行等都属于对可用性的攻击。(4)可控性)可控性controllability:对信息的传播及内容具有控制能力。对信息的传播及内容具有控制能力。(5
35、)可审查性:出现的安全问题时提供依据与手段)可审查性:出现的安全问题时提供依据与手段7/25/202452网络系统结构网络系统结构网络系统结构网络系统结构开放系统互连参考模型(开放系统互连参考模型(开放系统互连参考模型(开放系统互连参考模型(1 1)ISO/OSI 模型网络层数据链路层物理层传输层应用层表示层会话层网络层数据链路层物理层传输层应用层表示层会话层对等协议物理介质系统 A系统 B第N+1层第N层PDUSDUHPDU第N-1层SDUN+1层协议实体N+1层协议实体N 层协议实体SAPSAP7/25/202453TCP/IP TCP/IP 的网络互连的网络互连的网络互连的网络互连网际互
36、连是通过网际互连是通过 IP 网关网关(gateway)实现的实现的网关提供网络与网络之间物理和逻辑上的连通功能网关提供网络与网络之间物理和逻辑上的连通功能网关是一种特殊的计算机,同时属于多个网络网关是一种特殊的计算机,同时属于多个网络G1网络 1网络 3G1网络 27/25/202454TCP/IPTCP/IP与与与与OSIOSI参考模型参考模型参考模型参考模型TCP/IP协议和协议和OSI模型的对应关系模型的对应关系应用层表示层会话层传输层网络层数据链路层物理层FTP、TELNET NFSSMTP、SNMP XDR RPC TCP、UDP IPEthernet, IEEE802.3,802
37、.11等 ICMPARP RARPOSI参考模型Internet协议簇物理层7/25/202455影响网络安全的主要因素影响网络安全的主要因素影响网络安全的主要因素影响网络安全的主要因素网络的缺陷网络的缺陷因特网在设计之初对共享性和开放性的强调,使得其在安全性方面存因特网在设计之初对共享性和开放性的强调,使得其在安全性方面存在先天的不足。其赖以生存的在先天的不足。其赖以生存的TCP/IP TCP/IP 协议族在设计理念上更多的是考协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输,基本没有考虑安全问题,虑该网络不会因局部故障而影响信息的传输,基本没有考虑安全问题,故缺乏应有的安
38、全机制。因此它在控制不可信连接、分辨非法访问、故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。要隐患。 例如:多数底层协议为广播方式,多数应用层协议为明文传输,缺乏例如:多数底层协议为广播方式,多数应用层协议为明文传输,缺乏保密保密 与认证机制,因此容易遭到欺骗和窃听与认证机制,因此容易遭到欺骗和窃听软件及系统的软件及系统的“漏洞漏洞”及后门及后门 随着软件及网络系统规模的不断增大,系统中的安全漏洞或随着软件及网络系统规模的不断增大,系统中的安全漏洞或“后
39、门后门”也不可避免的存在,比如我们常用的操作系统,无论是也不可避免的存在,比如我们常用的操作系统,无论是Windows Windows 还是还是UNIX UNIX 几乎都存在或多或少的安全漏洞,众多的服务器、浏览器、桌面几乎都存在或多或少的安全漏洞,众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一网络的不安全因素之一7/25/202456黑客的攻击黑客的攻击黑
40、客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。黑客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。目前,世界上有目前,世界上有20 20 多万个免费的黑客网站,这些站点从系统漏洞入手,多万个免费的黑客网站,这些站点从系统漏洞入手,介绍网络攻击的方法和各种攻击软件的使用,这样,系统和站点遭受介绍网络攻击的方法和各种攻击软件的使用,这样,系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,这些都使得黑客攻击具有隐蔽性好,击和跟踪手段,这些都使得黑客攻击具有隐蔽性好,“杀伤力杀伤力”强
41、的强的特点,构成了网络安全的主要威胁。特点,构成了网络安全的主要威胁。网络普及,安全建设滞后网络普及,安全建设滞后网络硬件建设如火如荼,网络管理尤其是安全管理滞后,用户安全意网络硬件建设如火如荼,网络管理尤其是安全管理滞后,用户安全意识不强,即使应用了最好的安全设备也经常达不到预期效果识不强,即使应用了最好的安全设备也经常达不到预期效果7/25/202457网络安全策略网络安全策略 网络安全是一个系统的概念,可靠的网络安全解决方案必须建立在网络安全是一个系统的概念,可靠的网络安全解决方案必须建立在集成网络安全技术的基础上,网络系统安全策略就是基于这种技术集成集成网络安全技术的基础上,网络系统安
42、全策略就是基于这种技术集成而提出的,主要有三种:而提出的,主要有三种: 1 1 直接风险控制策略(静态防御)直接风险控制策略(静态防御) 安全安全= =风险分析风险分析+ +安全规则安全规则+ +直接的技术防御体系直接的技术防御体系+ +安全监控安全监控 攻击手段是不断进步的,安全漏洞也是动态出现的,因此静态防御下攻击手段是不断进步的,安全漏洞也是动态出现的,因此静态防御下的该模型存在着本质的缺陷。的该模型存在着本质的缺陷。 2 2 自适应网络安全策略(动态性)自适应网络安全策略(动态性) 安全安全= =风险分析风险分析+ +执行策略执行策略+ +系统实施系统实施+ +漏洞分析漏洞分析+ +实
43、时响应实时响应 该策略强调系统安全管理的动态性,主张通过安全性检测、漏洞监测,该策略强调系统安全管理的动态性,主张通过安全性检测、漏洞监测,自适应地填充自适应地填充“安全间隙安全间隙”,从而提高网络系统的安全性。完善的网络,从而提高网络系统的安全性。完善的网络安全体系,必须合理协调法律、技术和管理三种因素,集成防护、监控安全体系,必须合理协调法律、技术和管理三种因素,集成防护、监控和恢复三种技术,力求增强网络系统的健壮性与免疫力。局限性在于:和恢复三种技术,力求增强网络系统的健壮性与免疫力。局限性在于:只考虑增强系统的健壮性,仅综合了技术和管理因素,仅采用了技术防只考虑增强系统的健壮性,仅综合
44、了技术和管理因素,仅采用了技术防护。护。 7/25/202458 3 3 智能网络系统安全策略(动态免疫力)智能网络系统安全策略(动态免疫力) 安全安全= =风险分析风险分析+ +安全策略安全策略+ +技术防御体系技术防御体系+ +攻击实时检测攻击实时检测+ +安全跟踪安全跟踪+ +系统系统数据恢复数据恢复+ +系统学习进化系统学习进化 技术防御体系包括漏洞检测和安全缝隙填充;安全跟踪是为攻击证据记技术防御体系包括漏洞检测和安全缝隙填充;安全跟踪是为攻击证据记录服务的,系统学习进化是旨在改善系统性能而引入的智能反馈机制。录服务的,系统学习进化是旨在改善系统性能而引入的智能反馈机制。模型中,模型
45、中,“风险分析风险分析+ +安全策略安全策略”体现了管理因素;体现了管理因素;“技术防御体系技术防御体系+ +攻攻击实时检测击实时检测+ +系统数据恢复系统数据恢复+ +系统学习进化系统学习进化”体现了技术因素;技术因素体现了技术因素;技术因素综合了防护、监控和恢复技术;综合了防护、监控和恢复技术;“安全跟踪安全跟踪+ +系统数据恢复系统数据恢复+ +系统学习进系统学习进化化”使系统表现出动态免疫力。使系统表现出动态免疫力。7/25/202459安全技术选择- 根据协议层次物理层:物理隔离物理层:物理隔离 链路层链路层: 链路加密技术、链路加密技术、PPTP/L2TP 网络层网络层: IPSe
46、c协议(协议(VPN)、)、防火墙防火墙 TCP 层层: SSL 协议、基于公钥的认证和对称钥加密技术协议、基于公钥的认证和对称钥加密技术 应用层应用层: SHTTP、PGP、S/MIME、 SSH(Secure shell)、开发专用协议开发专用协议(SET)7/25/202460网络安全工具网络安全工具 物理隔离设备物理隔离设备 交换机交换机/路由器安全模块路由器安全模块 防火墙防火墙(Firewall) 漏洞扫描器漏洞扫描器 入侵检测系统入侵检测系统IDS、入侵防御系统、入侵防御系统IPS、安全审计系统、日志审计系统、安全审计系统、日志审计系统绿盟远程安全评估系统绿盟远程安全评估系统 虚
47、拟专用网(虚拟专用网(VPN)、上网行为管理系统、上网行为管理系统 病毒防护(防病毒软件、防毒墙、防木马软件等)病毒防护(防病毒软件、防毒墙、防木马软件等) 网络加速,负载均衡、流量控制网络加速,负载均衡、流量控制7/25/202461物理隔离物理隔离物理隔离物理隔离主要分两种:主要分两种:双网隔离计算机双网隔离计算机物理隔离网闸物理隔离网闸7/25/202462双网隔离计算机双网隔离计算机双网隔离计算机双网隔离计算机解决每人解决每人2台计算机的问题台计算机的问题1台计算机,可以分时使用内网或外网台计算机,可以分时使用内网或外网关键部件关键部件硬盘硬盘网线网线软盘软盘/USB/MODEM等等共
48、享部件共享部件显示器显示器键盘键盘/鼠标鼠标主板主板/电源电源硬盘硬盘*原理原理切换关键部件切换关键部件7/25/202463简单双网隔离计算机简单双网隔离计算机简单双网隔离计算机简单双网隔离计算机外网硬盘内网硬盘外网网线内网网线公共部件控制卡控制开关7/25/202464复杂双网隔离计算机复杂双网隔离计算机复杂双网隔离计算机复杂双网隔离计算机内网硬盘外网网线内网网线公共部件控制卡远端设备使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分充分使用UTP中的8芯,减少一根网线7/25/202465物理隔离网闸的基本原理物理隔离网闸的基本原理物理隔离网闸的基本原理物理隔离网闸的基本原理采用数据采用数
49、据“摆渡摆渡”的方式实现两个网络之间的信息交换的方式实现两个网络之间的信息交换在任意时刻,物理隔离设备只能与一个网络的主机系统建立非在任意时刻,物理隔离设备只能与一个网络的主机系统建立非TCP/IP协协议的数据连接,即当它与外部网络相连接时,它与内部网络的主机是断议的数据连接,即当它与外部网络相连接时,它与内部网络的主机是断开的,反之亦然。开的,反之亦然。任何形式的数据包、信息传输命令和任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离协议都不可能穿透物理隔离设备。物理隔离设备在网络的第设备。物理隔离设备在网络的第7层讲数据还原为原始数据文件,然后以层讲数据还原为原始数据文件
50、,然后以“摆渡文件摆渡文件”形式传递原始数据。形式传递原始数据。7/25/202466物理隔离实现基本原理(物理隔离实现基本原理(物理隔离实现基本原理(物理隔离实现基本原理(1 1)7/25/202467内外网模块连接相应网络实现数据的接收及预处理等操作;内外网模块连接相应网络实现数据的接收及预处理等操作;交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交换,保证任意时刻内外网间没有链路层连接;换,保证任意时刻内外网间没有链路层连接;数据只能以专用数据块方式静态地在内外网间通过网闸进行数据只能以专用数据块方式静态地在内外网间通过
51、网闸进行“摆渡摆渡”,传送到网闸另一侧;,传送到网闸另一侧;集成多种安全技术手段,采用强制安全策略,对数据内容进行安全集成多种安全技术手段,采用强制安全策略,对数据内容进行安全检测,保障数据安全、可靠的交换。检测,保障数据安全、可靠的交换。7/25/202468物理隔离技术的应用物理隔离技术的应用物理隔离技术的应用物理隔离技术的应用涉密网和非涉密网之间涉密网和非涉密网之间7/25/202469物理隔离技术的优缺点物理隔离技术的优缺点物理隔离技术的优缺点物理隔离技术的优缺点优点:优点: 中断直接连接中断直接连接 强大的检查机制强大的检查机制 最高的安全性最高的安全性 缺点:缺点: 对协议不透明,
52、对每一种协议都要一种具体的实现对协议不透明,对每一种协议都要一种具体的实现 效率低效率低7/25/202470交换机安全模块交换机安全模块交换机安全模块交换机安全模块MAC绑定绑定QOS设置设置多多VLAN划分划分日志日志其他其他7/25/202471路由器安全功能路由器安全功能路由器安全功能路由器安全功能访问控制链表访问控制链表基于源地址基于源地址/目标地址目标地址/协议端口号协议端口号路径的完整性路径的完整性防止防止IP假冒和拒绝服务(假冒和拒绝服务(Anti-spoofing/DDOS)检查源地址:检查源地址: ip verify unicast reverse-path 过滤过滤RFC
53、1918 地址空间的所有地址空间的所有IP包;包;关闭源路由:关闭源路由: no ip source-route路由协议的过滤与认证路由协议的过滤与认证Flood 管理管理日志日志其他抗攻击功能其他抗攻击功能7/25/202472vVPN通过一个私有的通道来创建一个安全的私有连接,将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来,形成一个扩展的公司企业网v 提供高性能、低价位的因特网接入vVPN是企业网在公共网络上的延伸VPNVPN简介简介简介简介7/25/202473网上数据泄漏的风险Internet内部网恶意修改通道终点到:假冒网关外部段(公共因特网)ISP接入设备原始终点为:安
54、全网关1.数据在到达终点之前要经过许多路由器,明文传输的报文很容易在路由器上被查看和修改2.监听者可以在其中任一段链路上监听数据3.逐段加密不能防范在路由器上查看报文,因为路由器需要解密报文选择路由信息,然后再重新加密发送4.恶意的ISP可以修改通道的终点到一台假冒的网关远程访问搭线监听攻击者ISPISP窃听正确通道7/25/202474VPN功能v 数据机密性保护v 数据完整性保护v 数据源身份认证v 重放攻击保护7/25/202475远程访问Internet内部网合作伙伴分支机构虚拟私有网虚拟私有网虚拟私有网VPN是企业网在因特网上的延伸VPN的典型应用7/25/202476 现有的VPN
55、 解决方案v 基于 IPSec 的VPN解决方案v 基于第二层的VPN解决方案v 非 IPSec 的网络层VPN解决方案v 非 IPSec 的应用层解决方案7/25/202477现有的VPN 解决方案小结 1.网络层对所有的上层数据提供透明方式的保护,但无法为应用提供足够细的控制粒度2.数据到了目的主机,基于网络层的安全技术就无法继续提供保护,因此在目的主机的高层协议栈中很容易受到攻击3.应用层的安全技术可以保护堆栈高层的数据,但在传递过程中,无法抵抗常用的网络层攻击手段,如源地址、目的地址欺骗4.应用层安全几乎更加智能,但更复杂且效率低5. 因此可以在具体应用中采用多种安全技术,取长补短7/
56、25/202478防火墙的主要功能防火墙的主要功能防火墙的主要功能防火墙的主要功能监控并限制访问监控并限制访问针对黑客攻击的不安全因素,防火墙采取控制进出内外网的数据包针对黑客攻击的不安全因素,防火墙采取控制进出内外网的数据包的方法,实时监控网络上数据包的状态,并对这些状态加以分析和的方法,实时监控网络上数据包的状态,并对这些状态加以分析和处理,及时发现存在的异常行为;同时,根据不同情况采取相应的处理,及时发现存在的异常行为;同时,根据不同情况采取相应的防范措施,从而提高系统的抗攻击能力。防范措施,从而提高系统的抗攻击能力。控制协议和服务控制协议和服务针对网络先天缺陷的不安全因素,防火墙采取控
57、制协议和服务的方针对网络先天缺陷的不安全因素,防火墙采取控制协议和服务的方法,使得只有授权的协议和服务才可以通过防火墙,从而大大降低法,使得只有授权的协议和服务才可以通过防火墙,从而大大降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。7/25/202479防火墙的主要功能(续)防火墙的主要功能(续)防火墙的主要功能(续)防火墙的主要功能(续)保护网络内部保护网络内部针对软件及系统的漏洞或针对软件及系统的漏洞或“后门后门”,防火墙采用了与受保护网络的操,防火墙采用了与受保护网络的操作系统、应用软件无关的体系结构,其自身建立在安全操作
58、系统之上;作系统、应用软件无关的体系结构,其自身建立在安全操作系统之上;同时,针对受保护的内部网络,防火墙能够及时发现系统中存在的漏同时,针对受保护的内部网络,防火墙能够及时发现系统中存在的漏洞,进行访问上的限制;防火墙还可以屏蔽受保护网络的相关信息,洞,进行访问上的限制;防火墙还可以屏蔽受保护网络的相关信息,使黑客无从下手。使黑客无从下手。日志记录与审计日志记录与审计当防火墙系统被配置为所有内部网络与外部当防火墙系统被配置为所有内部网络与外部Internet Internet 连接均需经过的连接均需经过的安全节点时,防火墙系统就能够对所有的网络请求做出日志记录。日安全节点时,防火墙系统就能够
59、对所有的网络请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外, ,防火墙系统也能够对正常的网络使用情况做出统计。这样网络管理员防火墙系统也能够对正常的网络使用情况做出统计。这样网络管理员通过对统计结果进行分析,掌握网络的运行状态,继而更加有效的管通过对统计结果进行分析,掌握网络的运行状态,继而更加有效的管理整个网络。理整个网络。7/25/202480防火墙的优点与不足防火墙的优点与不足防火墙的优点与不足防火墙的优点与不足可屏蔽内部服务,避免相关安全缺陷被利用可屏蔽内部服务,避免相关安全缺陷被利用27层访
60、问控制(集中在层访问控制(集中在3-4层)层)解决地址不足问题解决地址不足问题抗网络层、传输层一般攻击抗网络层、传输层一般攻击不足不足防外不防内防外不防内对网络性能有影响对网络性能有影响对应用层检测能力有限对应用层检测能力有限7/25/202481入侵检测入侵检测入侵检测入侵检测基本原理:利用基本原理:利用sniffer方式获取网络数据,根据已知特征判断是否存在网络攻击方式获取网络数据,根据已知特征判断是否存在网络攻击优点:能及时获知网络安全状况,借助分析发现安全隐患或攻击信息,便于及时采优点:能及时获知网络安全状况,借助分析发现安全隐患或攻击信息,便于及时采取措施。取措施。不足:不足:准确性
61、:误报率和漏报率准确性:误报率和漏报率有效性:难以及时阻断危险行为有效性:难以及时阻断危险行为7/25/202482网络防病毒网络防病毒网络防病毒网络防病毒基本功能:串接于网络中,根据网络病毒的特征在网络数据中比对,从而发现并基本功能:串接于网络中,根据网络病毒的特征在网络数据中比对,从而发现并阻断病毒传播阻断病毒传播优点:能有效阻断已知网络病毒的传播优点:能有效阻断已知网络病毒的传播不足:不足:只能检查已经局部发作的病毒只能检查已经局部发作的病毒对网络有一定影响对网络有一定影响7/25/202483网络扫描器网络扫描器网络扫描器网络扫描器通过模拟网络攻击检查目标主机是否存在已知安全漏洞通过模
62、拟网络攻击检查目标主机是否存在已知安全漏洞优点:有利于及早发现问题,并从根本上解决安全隐患优点:有利于及早发现问题,并从根本上解决安全隐患不足:不足:只能针对已知安全问题进行扫描只能针对已知安全问题进行扫描准确性准确性 vs 指导性指导性7/25/202484访问控制(访问控制(访问控制(访问控制(1 1)广义的访问控制功能包括鉴别、授权和记账等广义的访问控制功能包括鉴别、授权和记账等鉴别(鉴别(Authentication):):辨别用户是谁的过程。辨别用户是谁的过程。 授授权权(Authorization)对对完完成成认认证证过过程程的的用用户户授授予予相相应应权权限限,解解决决用用户户能
63、能做做什什么么的问题。在一些访问控制的实现中,认证和授权是统一在一起的的问题。在一些访问控制的实现中,认证和授权是统一在一起的 记记账账(Accounting);统统计计用用户户做做过过什什么么的的过过程程,通通常常使使用用消消耗耗的的系系统统时时间间、接接收和发送的数据量来量度。收和发送的数据量来量度。Tacacs、Tacacs+、Radius等技术能实现这三种功能。等技术能实现这三种功能。 7/25/202485访问控制(访问控制(访问控制(访问控制(2 2)RADIUS协议协议 针对远程用户针对远程用户Radius(Remote Authentication Dialin User se
64、rvice)协议,采用分协议,采用分布式的布式的Client/Server结构完成密码的集中管理和其他访问控制功能;网络用户结构完成密码的集中管理和其他访问控制功能;网络用户(Client)通过网络访问服务器(通过网络访问服务器(NAS)访问网络,访问网络,NAS同时作为同时作为Radius结构的结构的客户端,认证、授权和计帐的客户端,认证、授权和计帐的3A功能通过功能通过NAS和安全服务器(和安全服务器(Secutity Server)或或Radius服务器之间的服务器之间的Radius协议过程完成,而用户的控制功能在协议过程完成,而用户的控制功能在NAS实现。实现。 7/25/202486
65、访问控制(访问控制(访问控制(访问控制(3 3)TACAS协议协议 TACACS (Terminal Access Controller Access Control System-终端访问控制系统)终端访问控制系统)是历史上用于是历史上用于UNIX系统的认证协议,它使远程访问服务器将用户的登录信息发系统的认证协议,它使远程访问服务器将用户的登录信息发送到认证服务器以确定用户是否可以访问给定系统。送到认证服务器以确定用户是否可以访问给定系统。TACACS对数据并不加密,对数据并不加密,因此它的安全性要差一些,针对这种情况,又设计了因此它的安全性要差一些,针对这种情况,又设计了TACACS+和和
66、RADIUS协议。协议。 7/25/202487访问控制(访问控制(访问控制(访问控制(4 4)TACACS+协议协议 由由Cisco公司提出,在此协议中,当用户试图登录时,公司提出,在此协议中,当用户试图登录时,NAS将询问安全服务做什么,将询问安全服务做什么,安全服务器通常知安全服务器通常知NAS输入用户名和密码,然后,发送接受或拒绝响应信息给输入用户名和密码,然后,发送接受或拒绝响应信息给NAS。用户登录进入之后,对于每一条用户输入的命令,用户登录进入之后,对于每一条用户输入的命令,NAS都将提请安全服务都将提请安全服务器进行授权。器进行授权。7/25/202488访问控制(访问控制(访
67、问控制(访问控制(5 5)TACACS+协议的应用 7/25/202489网络安全防护建议网络安全防护建议网络安全防护建议网络安全防护建议(1)(1)经常关注安全信息发布经常关注安全信息发布www.cert.orgMicrosoft、Sun、hp、ibm等公司的安全公告等公司的安全公告www.bugtraq.org安全焦点安全焦点 绿盟网站绿盟网站 7/25/202490网络安全防护建议网络安全防护建议网络安全防护建议网络安全防护建议(2)(2)经常性检查重要服务器、网络设备是否存在安全漏洞经常性检查重要服务器、网络设备是否存在安全漏洞www.nessus.org微软安全基线检测工具微软安全基
68、线检测工具NmapX-scan流光流光ISS-SCANNER等其他商业安全工具等其他商业安全工具Windows平台利用平台利用Msconfig检查启动项目检查启动项目7/25/202491网络安全防护建议网络安全防护建议网络安全防护建议网络安全防护建议(3)(3)根据安全公告、扫描结果及时打补丁或升级软件根据安全公告、扫描结果及时打补丁或升级软件利用签名工具对系统重要文件进行签名,经常检查有无变化,防止木马利用签名工具对系统重要文件进行签名,经常检查有无变化,防止木马植入植入关闭服务器或网络设备上不必要的功能或服务关闭服务器或网络设备上不必要的功能或服务制定切实可行的安全策略,形成制度并强制执行制定切实可行的安全策略,形成制度并强制执行7/25/202492网络安全发展方向追求实效网络安全发展方向追求实效网络安全发展方向追求实效网络安全发展方向追求实效安全理念安全理念主动防御主动防御安全工具安全工具高性能高性能高安全高安全高可靠高可靠安全管理安全管理注重制度建设和安全人才培养注重制度建设和安全人才培养7/25/202493
