《第7章网络管理与网络安全ppt课件全》由会员分享,可在线阅读,更多相关《第7章网络管理与网络安全ppt课件全(76页珍藏版)》请在金锄头文库上搜索。
1、第7章 网络管理与网络安全7.1 网络管理概述网络管理概述 7.2 网络安全技术网络安全技术 7.2 防火墙技术防火墙技术 7.4 网络安全的攻击与防卫网络安全的攻击与防卫 7.1 7.1 网络管理概述网络管理概述7.1.1 7.1.1 网络管理功能网络管理功能 在实际网络管理过程中,网络管理应具有的功能非常广泛,包括很多方面。在OSI网络管理标准中定义了网络管理最基本的五大功能:配置管理、性能管理、故障管理、安全管理和计费管理。 1 1配置管理配置管理 配置管理的主要内容包括:自动发现网络拓扑结构,构造和维护网络系统的配置;监测网络被管对象的状态,完成网络关键设备配置的语法检查;配置自动生成
2、和自动配置备份系统,对于配置的一致性进行严格的检验。 (1) 配置信息的自动获取。在一个大型网络中,需要管理的设备是比较多的,如果每个设备的配置信息都完全依靠管理人员的手工输入,其工作量是相当大的,而且还存在出错的可能性。对于不熟悉网络结构的人员来说,这项工作甚至无法完成。因此,一个先进的网络管理系统应该具有配置信息的自动获取功能。即使在管理人员不是很熟悉网络结构和配置状况的情况下,也能通过有关的技术手段来完成对网络的配置和管理。 (2) 自动配置、自动备份及相关技术。配置信息自动获取功能相当于从网络设备中“读”信息。相应地,在网络管理应用中还有大量“写”信息的需求。 (3) 配置一致性检查。
3、在一个大型网络中,由于网络设备众多,而且由于管理的原因,这些设备很可能不是由同一个管理人员进行配置的。实际上,即使是同一个管理员对设备进行配置,也会由于各种原因导致配置一致性问题。因此,对整个网络的配置情况进行一致性检查是必需的。在网络的配置中,对网络正常运行影响最大的主要是路由器端口配置和路由信息配置,因此,要进行一致性检查的也主要是这两类信息。 (4) 用户操作记录功能。配置系统的安全性是整个网络管理系统安全的核心,因此,必须对用户进行的每一配置操作进行记录。在配置管理中,需要对用户操作进行记录,并保存下来。管理人员可以随时查看特定用户在特定时间内进行的特定配置操作。 2 2性能管理性能管
4、理 主要内容:收集和统计数据(吞吐量、用户的响应时间和线路的利用率等),以便评价网络资源的运行状况和通信效率等系统性能,平衡系统之间的负载。 目的:在使用最少的网络资源和具有最小延迟的前提下,确保网络能提供可靠、连续的通信能力,并使网络资源的使用达到最优化的程度。 目标:通过对系统有关性能参数的实时监控、调整和优化管理,使系统不仅有较高的应用服务质量,也能有合理的系统资源利用率性能管理的功能收集和统计被管对象的各种性能参数对当前数据进行统计分析,检测性能故障,产生性能报警,报告与性能有关的事件当前数据与历史模型相比较,做出趋势预测形成和改进网络性能评价的规则和模型安全管理 3 3故障管理故障管
5、理 故障管理的主要内容包括:采集、分析网络对象的性能数据,监测网络对象的性能,对网络线路质量进行分析。同时,统计网络运行状态信息,对网络的使用发展作出评测、估计,为网络进一步规划与调整提供依据。 (1) 故障监测是指主动探测或被动接收网络上的各种事件信息,并识别出其中与网络和系统故障相关的内容,对其中的关键部分保持跟踪,生成网络故障事件记录。 (2) 故障报警是指接收故障监测模块传来的报警信息,根据报警策略驱动不同的报警程序,以报警窗口/振铃(通知一线网络管理人员)或电子邮件(通知决策管理人员)发出网络严重故障警报。 (3) 故障信息管理是指依靠对事件记录的分析,定义网络故障并生成故障卡片,记
6、录排除故障的步骤和与故障相关的值班员日志,构造排错行动记录,将事件故障日志构成逻辑上相互关联的整体,以反映故障产生、变化、消除的整个过程。 (4) 排错支持工具是指向管理人员提供一系列的实时检测工具,对被管设备的状况进行测试并记录下测试结果以供技术人员分析和排错;根据已有的排错经验和管理员对故障状态的描述给出对排错行动的提示。 (5) 检索/分析故障信息是指浏览并且以关键字检索查询故障管理系统中所有的数据库记录,定期收集故障记录数据,在此基础上给出被管网络系统、被管线路设备的可靠性参数。 4 4安全管理安全管理 安全管理的主要内容包括:结合使用用户认证、访问控制、数据传输、存储的保密与完整性机
7、制,保障网络管理系统本身的安全;维护系统日志,使系统的使用和网络对象的修改有据可查;控制对网络资源的访问。 安全管理的功能分为两部分,首先是网络管理本身的安全,其次是被管网络对象的安全。 在网络管理过程中,存储和传输的管理和控制信息对网络的运行和管理至关重要,一旦发生泄密、被篡改和伪造等事件,将给网络造成灾难性的破坏。网络管理本身的安全由以下机制来保证: (1) 管理员身份认证。可以采用基于公开密钥的证书认证机制;为提高系统效率,对于信任域内(如局域网)的用户,还可以使用简单口令认证。 (2) 管理信息存储和传输的加密与完整性。在Web浏览器和网络管理服务器之间采用安全套接字层(SSL)传输协
8、议,对管理信息加密传输并保证其完整性;内部存储的机密信息,如登录口令等,也是经过加密的。 (3) 网络管理用户分组管理与访问控制。网络管理系统的用户(即管理员)按任务的不同分成若干用户组,不同的用户组中有不同的权限范围,对用户的操作由访问控制检查,保证用户不能越权使用网络管理系统。 (4) 系统日志分析。记录用户所有的操作,使系统的操作和对网络对象的修改有据可查,同时也有助于故障的跟踪与恢复。 网络对象的安全管理有以下功能: (1) 网络资源的访问控制。通过管理路由器的访问控制链表,完成防火墙的管理功能,即从网络层(IP)和传输层(TCP)控制对网络资源的访问,保护网络内部的设备和应用服务,防
9、止外来的攻击。 (2) 告警事件分析。接收网络对象所发出的告警事件,分析与安全相关的信息(如路由器登录信息、SNMP认证失败信息),实时向管理员告警,并提供历史安全事件的检索与分析机制,及时发现正在进行的攻击或可疑的攻击迹象。 (3) 主机系统的安全漏洞检测。实时监测主机系统的重要服务(如WWW、DNS等)的状态,提供安全监测工具,以搜索系统可能存在的安全漏洞或安全隐患,并给出弥补的措施。 总之,网络管理通过网关(即边界路由器)控制外来用户对网络资源的访问,以防止外来的攻击;通过对告警事件的分析处理,发现正在进行的可能攻击;通过安全漏洞检查来发现存在的安全隐患,以防患于未然。 5 5计费管理计
10、费管理 计费管理的主要内容包括:对网际互连设备按IP地址的双向流量统计,产生多种信息统计报告及流量对比,并提供网络计费工具,以便用户根据自定义的要求实施网络计费。 (1) 计费数据采集。计费数据采集是整个计费系统的基础,但计费数据采集往往受到采集设备硬件与软件的制约,而且也与进行计费的网络资源有关。 (2) 数据管理与数据维护。计费管理的人工交互性很强,虽然有很多数据维护由系统自动完成,但仍然需要人为管理,包括缴纳费用的输入、联网单位信息维护以及帐单样式的决定等。 (3) 计费政策制定。由于计费政策经常灵活变化,因此实现用户自由制定输入计费政策尤其重要。这样就需要一个人机界面友好、功能完善的数
11、据模型来实现计费政策。 (4) 政策比较与决策支持。计费管理应该提供多套计费政策的数据比较,为政策制订提供决策依据。 (5) 数据分析与费用计算。利用采集的网络资源使用数据、联网用户的详细信息以及计费政策,计算网络用户资源的使用情况,并计算出应缴纳的费用。 (6) 数据查询。提供给每个网络用户关于自身使用网络资源情况的详细信息,网络用户根据这些信息可以计算、核对自己的收费情况。7.1.2 7.1.2 网络管理协议网络管理协议 当前,能用于网络管理的协议主要有两个:一个是Internet体系结构委员会IAB提出的用于Internet的简单网络管理协议,简称SNMP;另一个是国际标准化组织ISO提
12、出的公共管理信息协议,简称CMIP。SNMP是基于TCP/IP的,而CMIP主要是基于ISO/OSI七层模型的,虽然也有基于TCP/IP的CMIP(简称为CMOT),但由于它要比SNMP复杂,出于效率上的考虑,当前实现网络管理协议的厂商都支持SNMP。因此,几乎所有路由器和集线器厂商都提供基于SNMP的网络管理功能,但几乎没有支持CMIP的产品出现。下面对这些管理协议进行简单介绍。 1 1SNMPSNMP 简单网络管理协议(SNMP)的前身是1987年发布的简单网关监控协议(SGMP)。SGMP给出了监控网关(OSI第三层路由器)的直接手段,SNMP则是在其基础上发展起来的。最初,SNMP作为
13、一种可提供最小网络管理功能的临时方法。 2 2CMIS/CMIPCMIS/CMIP 公共管理信息服务/公共管理信息协议(CMIS/CMIP)是OSI提供的网络管理协议簇。CMIS定义了每个网络组成部分提供的网络管理服务,这些服务在本质上是很普通的,CMIP则是实现CMIS服务的协议。 OSI网络协议旨在为所有设备在ISO参考模型的每一层提供一个公共网络结构,而CMIS/CMIP正是这样一个用于所有网络设备的完整网络管理协议簇。 出于通用性的考虑,CMIS/CMIP的功能与结构跟SWMP很不相同,SNMP是按照简单和易于实现的原则设计的,而CMIS/CMIP则能够提供支持一个完整网络管理方案所需
14、的功能。 CMIS/CMIP的整体结构是建立在使用ISO网络参考模型基础上的。网络管理应用进程使用ISO参考模型中的应用层。正是在这一层上,公共管理信息服务单元(CMISE)提供了应用程序,使用了CMIP协议的接口。同时该层还包括了两个ISO应用协议:联系控制服务元素(ACSE)和远程操作服务元素(ROSE)。其中,ACSE在应用程序之间建立和关闭联系,而ROSE则处理应用之间的请求/响应交互。另外,值得注意的是OSI没有在应用层之下为网络管理特别定义协议。 3 3CMOTCMOT 公共管理信息服务与协议(CMOT)是在TCP/IP协议簇上实现CMIS服务的,直到OSI网络管理协议被广泛采用为
15、止,它一直作为一种过渡性的解决方案。 CMIS使用的应用协议并没有根据CMOT而修改,CMOT仍然依赖于CMISE、ACSE和ROSE协议,这和CMIS/CMIP是一样的。但是,CMOT并没有直接使用参考模型中表示层实现,而是要求在表示层中使用另外一个协议轻量表示协议(LPP),该协议提供了目前最普通的两种传输层协议TCP和UDP的接口。 CMOT的一个致命弱点在于它是一个过渡性的方案,而没有人会把注意力集中在一个短期方案上。相反,许多重要厂商都加入了SNMP潮流并在其中投入了大量资源。事实上,虽然存在CMOT的定义,但该协议已经很长时间没有得到任何发展了。 4 4LMMPLMMP 局域网个人
16、管理协议(LMMP)试图为LAN环境提供一个网络管理方案。LMMP以前被称为IEEE802逻辑链路控制上的公共管理信息服务与协议(CMOL)。由于该协议直接位于IEEE802逻辑链路层(LLC)上,它可以不依赖于任何特定的网络层协议进行网络传输。 由于不要求任何网络层协议,LMMP比CMIS/CMIP或CMOT都易于实现。然而,由于没有网络层提供路由信息,LMMP信息不能跨越路由器,从而限制了它只能在局域网中发展。但是,跨越局域网传输局限的LMMP信息转换代理可能会克服这一问题。7.2 7.2 网络安全网络安全7.2.1 7.2.1 网络安全技术概述网络安全技术概述 目前信息网络已成为社会发展
17、的重要保证,涉及到每个国家的政府、军事、文教、电子商务等诸多领域。在网络中存储、传输和处理的信息相当一部分是政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息,有很多是敏感信息,甚至是国家机密,因此不可避免地会吸引来自世界各地的人为攻击(如信息泄露、信息窃取、数据篡改、数据添删、计算机病毒等)。此外,由于计算机网络具有连接形式多样性、终端分布不均匀性和网络开放性、互连性等特征,这也是致使网络易受黑客、病毒、恶意软件的攻击的重要原因。因此,网上信息的安全和保密是一个至关重要的问题。 网络安全是一个关系国家安全和主权、社会稳定、民族文化的继承和发扬的重要问题,
18、随着全球信息化步伐的加快变得越来越重要。网络安全技术是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常运行,网络服务不中断。 网络安全从本质上来讲就是网络上的信息安全。从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全研究的领域。 网络安全措施包含口令与访问控制方式、防火墙技术、应用网关与代理服务器技术、密码技术、IP加密技术和数字签名等技术。7.2.2 7.2
19、.2 计算机系统的安全等级计算机系统的安全等级 橘皮书(The Orange Book)是美国国家安全局(NSA)的国家计算机安全中心(NCSC)于1983年8月颁发的官方标准,其正式名称是“受信任计算机系统评价基准(Trusted Computer System Evaluation Criteria)”,其封面为橘黄色,以此得名。橘皮书是目前颇具权威的计算机系统安全标准之一,NCSC也负责进行计算机系统及相关产品的安全测试。 橘皮书中对可信任系统的定义是这样的:一个由完整的硬件及软件所组成的系统,在不违反访问权限的情况下,它能同时服务于不限定个数的用户,并处理从一般机密到最高机密等不同范围
20、的信息。更进一步,橘皮书将一个计算机系统可接受的信任程度加以分级,凡符合某些安全条件、基准、规则的系统即可归类为某种安全等级。橘皮书将计算机系统的安全性能由高至低划分为A、B、C、D四大等级,较高等级的安全范围涵盖较低等级的安全范围,而每个大等级又以安全性高低依次编号细分成数个小等级,其中: D最低保护(Minimal Protection),凡没有通过安全等级测试项目的系统即属于该级,如IBM-PC、Apple Macintosh等个人计算机的系统虽未经安全测试,但如果进行测试,很可能属于此级。 C自定式保护(Discretionary Protection),该等级的安全特点在于系统的对象
21、(如文件、目录)可由相应的主题(如系统管理员、用户、应用程序)自定义访问权。例如,管理员可以决定某个文件仅允许一特定用户读取、另一用户写入,即张三可以决定他的某个目录可公开给其他用户读、写等等。在Unix、Windows NT等操作系统中都可以见到这种属性。该等级又依安全性低、高分为C1、C2两个安全等级。 B 强制式保护(Mandatory Protection),该等级的安全特点在于由系统强制安全保护,在强制式保护模式中,每个系统对象(如文件、目录等资源)及主题(如系统管理员、用户、应用程序)都有自己的安全标签(Security Label),系统依据用户的安全等级赋予它(他)们对各对象的
22、访问权限。 A 可验证之保护(Verified Protection),虽然橘皮书仍可能定义比A1高的安全等级,但目前此级仅有A1等级。A等级的功能基本上与B3的相同,而其特点在于,A等级的系统可通过正式的分析及数学方法,完全证明该系统的安全策略及安全规格的完整性与一致性。Windows NT 3.51+,号称具有C2安全等级,而Windows NT 4.0及以上版本具有C2安全等级,该类系统的安全特性就是在于自定式保护(Discretionary Protection),NT未来可能提高到B2安全等级。7.2.3 7.2.3 安全威胁安全威胁 1 1网络安全的威胁网络安全的威胁 网络安全的威
23、胁,也就是对网络安全的潜在破坏,计算机网络面临的攻击和威胁因素很多,主要分为人为和非人为两种。非人为的因素有自然灾害造成的不安全因素,如地震、水灾、火灾、战争等造成网络中断、系统破坏、数据丢失等。解决办法有软硬件系统的选择、机房选址与设计、双机热备份、数据备份等。人为的威胁因素,主要是威胁源(入侵者或入侵程序)利用系统资源中的脆弱环节进行入侵而产生的,一般分为以下几种: 中断(Interruption)。威胁源使系统的资源受损而不能使用,从而使数据的流动或服务的提供暂停,如网络病毒。 窃取(Interception)。威胁源未经许可就成功获取了对一个资源的访问,从中盗窃了有用的数据或服务。如利
24、用银行网络系统窃取存款信息,盗窃存款等。 更改(Modification)。威胁源未经许可就成功访问并修改了某项资源,篡改了提供的数据服务。 伪造(Fabrication)。威胁源未经许可就成功地在网络系统中制造出假源,从而产生了虚假的数据服务。 随着Internet的发展,客户/服务器结构逐渐向浏览器/服务器结构迁移,因此Web服务在很短时间内也成为Internet上的主要服务。Web文本发布具有简洁、生动、形象等特点,因此,无论是单位和个人,都越来越倾向于用Web来发布自己的信息。Web服务给用户发布信息带来了方便的同时,也给用户带来了不安全因素。特别是在HTTP标准协议之上扩展的某些服务
25、,在给用户提供信息交互的同时,也使Web在已有的安全隐患之外,又增加了新的不安全因素。 Web服务所面临的安全威胁大致可归纳为以下两种:一种是机密信息所面临的安全威胁;一种是WWW服务器和浏览器主机所面临的安全威胁。前一种安全威胁是Internet上各种服务所共有的,而后一种威胁则是由扩展Web服务的某些软件所带来的。这两种安全隐患也不是截然分开的,而是共同存在并相互作用的,尤其是后一种安全威胁的存在,使得保护机密信息的安全更加困难。WWW服务器和浏览器主机所面临的安全威胁主要有: (1) CGI通用网关程序所带来的威胁。CGI是英文Common Gateway Interface(通用网关接
26、口)的缩写,它在服务器端与Web服务器相互配合,响应远程用户的交互性请求。它允许用户选择一种语言,如C/C+、Perl、Unix Shell、VB等进行编程,提供在服务器端和远程浏览之间的信息交互能力。 服务器使用环境变量传输有关的请求信息到CGI程序,这些环境变量包括服务器的名字、CGI和服务器使用协议的版本号、客户端的IP地址和域名地址、客户端的请求方式、请求内容及编码方式、合法性访问信息及用户的输入信息等。 CGI Script是Web安全漏洞的主要来源。其安全漏洞存在于以下三个方面: 它们会泄露主机系统的信息,帮助黑客入侵。 当服务器处理远程用户输入的某些信息(如表格)时,易被远程用户
27、攻击。 不规范的第三方CGI程序,或恶意客户发布给Web服务器的CGI程序,会对Web服务器造成物理或逻辑上的损坏, 甚至将Web服务器上的整个硬盘信息拷贝到Internet的某一台主机上。 (2) Java小程序所带来的威胁。Java是由美国Sun MicroSystems公司于1995年推出的一种跨平台和具有交互能力的计算机程序语言,具有简单、面向对象、分布式、健壮、安全、结构中立、可移植、高效、多线程和动态等优点。其中Java Applet(Java小程序)为Web服务提供了相当好的扩展能力,并且为各种通用的浏览器,如IE、Netscape 2.0所支持。Java小程序由浏览器进行解释并
28、在客户端执行,因此它把安全风险直接从服务器端转移到了客户端。 尽管在实现Java小程序时进行了很多安全方面的考虑,但在发行后的很短时间内,在Java中就发现了很多由于具体实现的Bug而引起的安全漏洞。 在Netscape 2.0中Java的实现存在一些特殊的安全漏洞,例如任意执行机器指令的能力、Applet(小程序)的相互竞争力和与随意的主机建立连接的能力。 此外,JavaScript作为Java Applet在IE、Netscape中的实现语言,还存在着以下一些安全漏洞: 可以欺骗用户,将本地硬盘或连在网络上的磁盘上的文件传输到Internet上的任意主机。 能获得用户本地硬盘和任何网络盘上
29、的目录列表。 能监视用户某段时间内访问过的所有网页,捕捉URL并将它们传送到Internet上的某台主机中。 能够不经用户允许而触发Netscape Navigator发送出E-mail信息。 尽管在Netscape以后的版本中,对这些Bug进行了修正,但是谁也不能保证在新的Netscape浏览器中没有漏洞存在。 (3) ActiveX控件所带来的威胁。ActiveX是微软在其组件对象模型(Component Object Model)之上建立的一种理论和概念,同时也是一种新的编程标准,可以用任何一种面向对象的语言加以实现,如VC、VB等。用这种规范建立起来的ActiveX控件真正实现了多语言
30、编程的无缝连接,同时,这种控件也可以嵌入HTML文本中,形成具有一定功能的程序模块。 由于ActiveX控件被嵌入到HTML页面中,并下载到浏览器端加以执行,因此会给浏览器端造成一定程度的安全威胁。此外,目前已有证据表明,在客户端的浏览器,如IE中,插入某些ActiveX控件,也将直接对服务器端造成意想不到的安全威胁。 除了以上介绍的三种安全威胁之外,一些其他技术,如内嵌于IE的VB Script语言生成的客户端可执行的程序模块,也同Java小程序一样,有可能给客户端带来安全性能上的漏洞。还有一些新技术,如ASP(Active server Pages)技术,由于用户可以为ASP的输出随意增加
31、客户脚本、ActiveX控件和动态HTML,因此在ASP脚本中同样也都存在着一定的安全隐患。 2 2解决安全威胁的防御措施解决安全威胁的防御措施 为了确保Web服务的安全,通常采用下列技术措施:在现有的网络上安装防火墙,对需要保护的资源建立隔离区;对机密敏感的信息进行加密存储和传输;在现有网络协议的基础上,为C/S通信双方提供身份认证并通过加密手段建立秘密通道;对没有安全保证的软件实施数字签名,提供审计、追踪手段,保证一旦出现问题,可立即根据审计日志进行追查等。 (1) 安装防火墙。为自己的局域网或站点提供隔离保护,是目前普遍采用的一种安全有效的方法,这种方法不是只针对Web服务,对其他服务也
32、同样有效。 防火墙是一个位于内部网络与Internet之间的计算机或网络设备中的一个功能模块,是按照一定的安全策略建立起来的硬件和软件的有机组成体,其目的是为内部网络或主机提供安全保护,控制谁可以从外部访问内部受保护的对象,谁可以从内部网络访问Internet,以及相互之间以哪种方式进行访问。从其运行机制上可以分为包过滤和代理两种。 包过滤主要是针对特定IP地址的主机所提供的服务,其基本原理是在网络传输的IP层截获往来的IP包,查找出 IP包的源地址和目的地址、源端口号和目的端口号,以及IP包包头中其他一些信息,并根据一定的过滤原则,确定是否对此IP包进行转发。简单的包过滤在路由器上即可实现,
33、通常放置在路由器的后面,同时在过滤的基础上可以加上其他安全技术,如加密、认证等,从而实现较高的安全性。 代理在应用层实现,其基本原理是对Web服务单独构造一个代理程序,不允许客户程序与服务器程序直接交互,必须通过代理程序双方才能进行信息的交互;还可以在代理程序中实现其他的安全控制措施,如用户认证和报文加密等,从而达到更高的安全性能。代理根据所代理的对象及所放的位置,又可分为客户端代理和服务器端代理。客户端代理主要是保护浏览器一方主机的安全,服务器端代理主要是保护服务器的安全。 (2) 对机密信息实施加密保护。对机密信息进行加密存储和传输是传统而有效的方法。这种方法对保护机密信息的安全特别有效,
34、能够防止搭线窃听和黑客入侵,在目前基于Web服务的一些网络安全协议中得到了广泛的应用。 在Web服务中的传输加密一般在应用层实现。WWW服务器在发送机密信息时,首先根据接收方的IP地址或其他标识,选取密钥对,对信息进行加密运算;浏览器在接收到加密数据后,根据IP包中信息的源地址或其他标识对加密数据进行解密运算,从而得到所需的数据。在目前流行的WWW服务器和浏览器中,如微软公司的IIS服务器和IE浏览器,都可以对信息进行加解密运算,同时也留有接口,用户可以对这些加解密算法进行重载,构造自己的加解模块。此外,传输加解密也可以在IP层实现,对进出的所有信息进行加解密,以保证在网络层的信息安全。 (3
35、) 为客户/服务器通信双方提供身份认证,建立安全信道。目前已经出现了建立在现有网络协议基础上的一些网络安全协议,如SSL和PCT。这两种协议主要用于保护机密信息,同时也用于防止其他非法用户侵入自己的主机,给自己带来安全威胁。 SSL协议是美国Netscape公司最早提出的一种包括服务器的认证、签名、加密技术的私有通信,可提供对服务器的认证,根据服务器的选项,还可提供对客户端的认证。SSL协议可运行在任何一种可靠的传输协议之上,如TCP,但它并不依赖于TCP,并能够运行在HTTP、FTP、TELNET等应用协议之下,为其提供安全的通信。SSL协议使用X.509 V3认证标准,RSA、diffie
36、-Hellman和Fortezza-KEA算法作为其公钥算法,使用RC4-128、RC-128、DES、3层DWS或IDEA作为其数据加密算法。PCT提供了比SSL更加丰富的认证方案、加密算法,并在某些协议细节上作了改进。 (4) 对软件采用数字签名。为了维护自己公司的良好声誉,许多大公司纷纷对自己的软件采用数字签名技术,宣称对自己的软件,尤其是像Java小程序、ActiveX控件这样给Web服务带来隐患的软件的安全性负责。一些证书机构也开始提供这方面的服务,并且已有了相应的工业标准,如微软公司的Authenticode等。 数字签名是根据公钥算法,用自己的私钥对自己发布的软件进行签名,由用户
37、用其公钥进行验证。这里的公钥是由证书机构发布的证书证实的。 微软的Authenticode 2.0技术用于标识一份软件的发布者并且证明它还没有被损害。从证书机构(CA)处获得数字证书的软件发布者可以使用Authenticode签名工具来为他们的软件包进行数字化签名。其证书格式一般遵从ITU-X5.09 V3格式,公钥算法为RSA。Authenticode是客户方软件,它监视ActiveX控件、Cab文件、Java小应用程序或可执行文件的下载,在这些文件中寻找数字证书来进行验证,然后对可能出现的安全问题向用户示警,显示证书机构的名字及它是商业证书还是个人证书、证书的有效时间等信息。 数字签名能够
38、保护软件的完整性,对软件在传输过程中的非法更改比较敏感。软件一般来说规模都比较大,而目前的公钥算法,如RSA,在实现上比较慢,因此在对软件进行数字签名时,可先用一个杂凑函数对软件代码进行处理,然后再用用户的私钥对杂凑结果进行签名。当其他用户验证时,也是用同样的杂凑函数算出杂凑值,再对签名进行脱密,如果两个结果一致,则说明软件没有被更改过,否则,就说明软件在传输的过程中被非法更改了。 数字签名还能够确认软件的发布者。软件使用者导入证书机构(CA)发布给软件发布者的证书,就可以用软件发布者的公钥认定发布软件的有效性。签过名的软件并不能保证没有安全问题,签名的作用在于一旦出现问题,就可以根据证书对软
39、件发布者进行追查。7.2.4 7.2.4 安全管理安全管理 1 1网络安全的目标网络安全的目标 (1) 保密性。使网络系统只向已被授权的使用者提供信息,对于未被授权的使用者,这些信息不可以获得或不可以理解。 (2) 完整性。只允许授权用户修改系统中的信息,而未经授权者不能修改系统信息,以保证用户得到的信息资源是完整的、正确的。 (3) 可用性。使网络系统可以随时向所有用户提供他们各自应得的信息服务。 (4) 可审查性。网络系统内所发生的与安全有关的动作均有说明性记录可以审查。 2 2安全管理的措施安全管理的措施 网络中病毒的出现、非法用户的入侵等,使网络的安全受到威胁。通过鉴定、授权和访问控制
40、等措施,可以防止有意或无意的破坏,保证网络不至于性能下降和瘫痪。安全管理的功能包括产生、删除和控制安全服务,发放与安全相关的信息,报告与安全相关的事件,此外,还包括为用户设置安全口令,在互联网络中控制“网桥”、“路由器”或“网关”的通过,以及对于网络或主机存取的能力,提供判别是否合法存取网络信息的手段。 安全管理当然要保护在网上处理的信息不被泄露或修改。在LAN中,当前主要的网络操作系统是通过对文件服务器的公共接入,使用集中式的数据存储。对数据的保护应从如下几个方面着手: (1) 关键设备。局域网上的关键设备是文件服务器、数据库服务器、工作站和电缆系统,还有其他如打印服务器、通信服务器、网桥和
41、路由器等,而对安全而言,危险最大的是工作站和电缆。因为本地工作站上的重要数据容易被盗,授权用户可以通过工作站获取服务器上的有用信息。 电缆系统也是信息泄露的途径。因为铜线容易被分接,还会造成电磁辐射,所以通过电磁感应的方法可以获取网上信息。光纤在这方面相对安全得多。 (2) 操作系统逻辑访问管理。网络操作系统逻辑访问的管理包括两部分:一是控制用户对网络的访问,二是保护文件不被不该访问的用户访问,不被随意修改和删除。不同的操作系统有各自的逻辑访问控制方法,但不外乎使用用户名、口令,限制入网时间和地点等方法。 (3) 访问控制。访问控制的目的是控制用户对网上文件的访问。访问控制具体规定系统授权用户
42、可以访问的磁盘卷、目录和文件。此外,还可对目录和文件规定属性,即层层设防。用户要对某目录下的文件进行某种操作,除了有相应的权限外,其目录和文件的属性必须允许进行这种操作,否则不能进行操作。 访问控制还能对非法入网的用户进行跟踪。在Windows NT/2000系统中,当用户入网时,若连续三次输入了不正确的口令,系统即认为这是非法用户,会马上封锁该用户的入网请求,并中止其帐户。 (4) 病毒防治。病毒是威胁信息安全的大敌,应受到高度重视。市场上虽有种类繁多的防病毒工具,但很难抵挡住每天35种新繁殖出来的病毒的进攻。因而严格禁止使用拷贝软件,加强对病毒的监测和及时清除病毒,是保证网上信息安全的重要
43、措施,许多厂家都提供防病毒的软、硬件。7.3 7.3 防火墙技术防火墙技术7.3.1 7.3.1 防火墙的基本概念防火墙的基本概念 为了保障安全,当用户与互联网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,并提供数据可靠性、完整性方面的安全和审查控制,这些中间系统就是防火墙(Firewall)。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况,以此来实现内部网络的安全保护。 “防火墙”是一种形象的说法,其实它是一种由计算机硬件和软件组成的一个或一组系统,用于增强内部网络和Internet之间的访问控制。防火墙在被保护网络和外部
44、网络之间形成一道屏障,使互联网与内部网之间建立起一个安全网关(Security Gateway),如图8-3所示,从而防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。防火墙已成为实现网络安全策略的最有效的工具之一,并被广泛地应用到Internet上。图8-3 “防火墙”示意图7.3.2 7.3.2 防火墙的功能和组成防火墙的功能和组成 1 1防火墙的功能防火墙的功能 通常,防火墙具有以下几个功能: (1) 忠实执行安全策略,限制他人进入内部网络,过滤掉不安全服务和非法用户。 (2) 限
45、定内网用户访问特殊站点,接纳外网对本地公共信息的访问。 (3) 具有记录和审计功能,为监视互联网安全提供方便。 2 2防火墙分类防火墙分类 防火墙的主要技术类型包括数据包过滤(Packet Filter)、应用代理服务器(Application-level Proxy Server)和状态检测防火墙。 (1) 包过滤防火墙。数据包过滤(Packet Filtering)技术是指在网络层对数据包进行分析、选择。选择的依据是系统内设置的过滤逻辑,称为访问控制表(Access Control Table)。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是
46、否允许该数据包通过。 数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能和透明度好,被广泛地应用于Cisco、Sonic System、Lucent/Ascend等公司的路由器上。其缺点是配置困难,容易出现漏洞,而且为特定服务开放的端口也存在着潜在危险。 (2) 应用代理服务器。应用代理防火墙是第二代产品,应用代理服务技术能够将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。 不过它的缺点也
47、很明显:执行速度慢,操作系统容易遭到攻击。应用代理防火墙需要在一定范围内定制用户的系统,这取决于所使用的应用程序,而一些应用程序可能根本不支持代理连接。 (3) 状态检测防火墙。状态检测防火墙由Check Point率先提出,又称动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此决定对该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查。一旦发现任何连接的参数有意外变化,该连接就被中止。 状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性,能够根据协议、端口及源地址、目的地址的具体情况决定数据包是否可以通过。
48、对于每个安全策略允许的请求,状态检测防火墙启动相应的进程,可以快速地确认符合授权流通标准的数据包,这使得其本身的运行非常快速。 状态检测防火墙已经在国内外得到广泛应用,这种防火墙惟一的缺点是状态检测可能造成网络连接的某种迟滞,不过硬件运行速度越快,这个问题就越不易察觉。 3 3防火墙的组成防火墙的组成 防火墙(Firewall)是用一个或一组网络设备(计算机系统或路由器等)在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示为:防火墙过滤器安全策略(网关)。 (1) 数据包过滤器。数据包过滤器通常由路由器承担。数据包过滤器在收到报文后,先扫描报文
49、头,检查报文头中的报文类型(TCP,UDP等)、源IP地址、目的IP地址和目的TCP/UDP端口等域,然后将规则库中的规则应用到该数据包头上,以决定是将此数据包转发出去还是丢弃。许多过滤器还允许管理员分别定义基于路由器上的数据包的出去界面和进来界面的规则,这样能增强过滤器的灵活性。比如,可以拒绝所有从外部网进来并自称是内部主机的数据包,从而防止来自外部网并使用伪造内部源地址的攻击。 过滤规则通常以表格的形式表示,其中包括以某种次序排列的条件和动作序列。当收到一个数据包时,则按照从前至后的顺序与表格中每行的条件比较,直到满足某一行的条件,然后执行相应的动作(转发或丢弃)。有些数据包在实现过滤时,
50、“动作”这一项还询问,若数据包被丢弃是否要通知发送者(通过发ICMP消息),并能以管理员指定的顺序进行条件比较,直至找到满足的条件。 (2) 堡垒主机。一个应用层网关常常被称作“堡垒主机”(Bastion Host)。它是一个专门的系统,有特殊的装备,并能抵御攻击。 堡垒主机提供安全性的特点是:堡垒主机的硬件执行一个安全版本的操作系统。例如,如果堡垒主机是一个Unix平台,那么它执行Unix操作系统的安全版本,其经过特殊的设计,避免了操作系统的脆弱点,保证防火墙的完整性。堡垒主机负责提供代理服务。 7.3.3 7.3.3 代理服务代理服务 (Proxy Server) (Proxy Serve
51、r) 防火墙简介防火墙简介 应用层网关使用代理服务(Proxy Service)将通过防火墙的通信链路分为两段:防火墙内外的计算机系统间的应用层链路由两个终止于Proxy Server的“链路”来实现;外部计算机的网络链路只能到达Proxy Server,从而实现了企业内外计算机系统间的隔离区。代理服务器防火墙如图8-4所示。图8-4 代理服务防火墙 所谓代理服务器,是指运行代理服务程序的机器。代理服务程序由两部分构成:服务器端程序和客户端程序。客户端程序与中间节点代理服务器连接,代理服务器再与要访问的真实服务器实际连接。与数据包过滤型防火墙不同,内部网与外部网之间不存在直接的连接,同时提供日
52、志(Log)及审计(Audit)服务。 代理服务强调,对外部客户访问内部网络提供的服务时,必须通过代理。在堡垒主机上一般安装有限的代理服务,如Telnet、DNS、FTP、SMTP以及用户认证等。用户在访问代理服务之前堡垒主机可能要求附加认证。代理服务在安全性方面比数据包过滤器强,能防止防火墙遭到破坏,但在性能与透明性方面较差。 每个代理都是一个简短的程序,专门为网络安全目的而设计。在堡垒主机上每个代理都与所有其他代理无关。如果任何代理的工作产生问题,或在将来发现脆弱性,只需简单地将其删除,不会影响其他代理的工作。 代理服务器可采用下面介绍的双宿主机(Dual Home Gateway)、屏蔽主机(Screened Host Gateway)、屏蔽子网(Screened Subnet Gateway)三种体系结构。7.4 网络安全的攻击与防卫网络安全的攻击与防卫一、常见的网络攻击及解决方法一、常见的网络攻击及解决方法1、特洛伊木马2、拒绝服务3、邮件炸弹4、过载攻击5、缓冲区溢出6、欺骗类攻击7、信息窃取8、口令破解9、病毒二、网络安全的防卫模式1、无安全防卫2、模糊安全防卫3、主机安全防卫4、网络安全防卫三、常用的安全措施原则1、最小特权(授权)原则2、多种安全机制3、控制点原则4、解决系统的弱点5、失败时的安全策略6、全体人员的共同参与
