《[高等教育]计算机网络课件 第7章》由会员分享,可在线阅读,更多相关《[高等教育]计算机网络课件 第7章(38页珍藏版)》请在金锄头文库上搜索。
1、高等教育高等教育计算机网计算机网络课件络课件 第第7章章1.网络安全概念,内容网络安全5要素:机密性,完整性,可用性,可控性,可审查性网络不安全5要素:非授权访问,信息泄密或丢失,破坏数据完整性, DoS, 病毒常规安全技术6措施:防火墙技术, 加密,用户识别,访问控制, 反病毒, 漏洞扫描, IDS常见攻击:口令入侵,木马, DOS, 端口扫描, 网络监听, 欺骗(WEB,ARP,IP), 电子邮件攻击2.防火墙相关概念非信任网络(公共网络,外网)信任网络(内网)DMZ可信HOST公网IP保留IP(内网IP)包过滤地址转换NAT防火墙(Firewall)防火墙的基本设计目标对于一个网络来说,
2、所有通过“内部”和“外部”的网络流量都要经过防火墙通过一些安全策略,来保证只有经过授权的流量才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上防火墙的控制能力服务控制,确定哪些服务可以被访问方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙用户控制,根据用户来控制对服务的访问行为控制,控制一个特定的服务的行为防火墙能为我们做什么定义一个必经之点挡住未经授权的访问流量禁止具有脆弱性的服务带来危害实施保护,以避免各种IP欺骗和路由攻击防火墙提供了一个监视各种安全事件的位置,所以,可以在防火墙上实现审计和报警对于有些Internet功能来说,防火墙也可以是一个理想的平台,比如地址转换
3、,Internet日志、审计,甚至计费功能防火墙可以作为IPSec的实现平台防火墙本身的一些局限性对于绕过防火墙的攻击,它无能为力,例如,在防火墙内部通过拨号出去防火墙不能防止内部的攻击,以及内部人员与外部人员的联合攻击(比如,通过tunnel进入)防火墙不能防止被病毒感染的程序或者文件、邮件等防火墙的性能要求防火墙的分类包过滤技术(静态)应用网关技术状态检测防火墙(动态包过滤,电路网关)未来的防火墙数据包过滤技术基本的思想很简单对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包往往配置成双向的如何过滤过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址、IP协议域、源
4、和目标端口号过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定如果匹配到一条规则,则根据此规则决定转发或者丢弃如果所有规则都不匹配,则根据缺省策略包过滤路由器示意图网络层链路层物理层外部网络内部网络包过滤防火墙在网络层和传输层上对源和目标IP地址、IP协议域、源和目标端口号进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制优点:实现简单对用户透明效率高缺点:正确制定规则并不容易不可能引入认证机制包过滤防火墙的设置(1)从内往外的telnetclientserver外部内部往外包的特性(用户操作信息)IP源是内部地址目标地址为serverTCP协议,
5、目标端口23源端口1023连接的第一个包ACK=0,其他包ACK=1往内包的特性(显示信息)IP源是server目标地址为内部地址TCP协议,源端口23目标端口1023所有往内的包都是ACK=1包过滤防火墙的设置(2)从外往内的telnetclientserver内部外部往内包的特性(用户操作信息)IP源是外部地址目标地址为本地serverTCP协议,目标端口23源端口1023连接的第一个包ACK=0,其他包ACK=1往外包的特性(显示信息)IP源是本地server目标地址为外部地址TCP协议,源端口23目标端口1023所有往外的包都是ACK=1针对telnet服务的防火墙规则*: 第一个AC
6、K=0, 其他=1服务方向包方向源地址目标地址包类型源端口目标端口ACK往外内外内部外部TCP102323*往外外内外部内部TCP2310231往内外内外部内部TCP102323*往内内外内部外部TCP2310231针对包过滤防火墙的攻击IP地址欺骗,例如,假冒内部的IP地址对策:在外部接口上禁止内部地址源路由攻击,即由源指定路由对策:禁止这样的选项小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中对策:丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙例如,利用ftp协议对内部进行探查应用层网关也称为代理服务器特点所有的连接都通过防火墙,防火墙作为网关在应用层上实现可以监视包
7、的内容可以实现基于用户的认证所有的应用需要单独实现可以提供理想的日志功能非常安全,但是开销比较大应用层网关的结构示意图代理服务器工作原理客户机部分服务器部分内网客户机外网服务器客户机请求转发服务器的回答转发客户机请求服务器回答应用层网关实现编写代理软件代理软件一方面是服务器软件但是它所提供的服务可以是简单的转发功能另一方面也是客户软件对于外面真正的服务器来说,是客户软件针对每一个服务都需要编写模块或者单独的程序实现一个标准的框架,以容纳各种不同类型的服务软件实现的可扩展性和可重用性客户软件软件需要定制或者改写对于最终用户的透明性?协议对于应用层网关的处理协议设计时考虑到中间代理的存在,特别是在
8、考虑安全性,比如数据完整性的时候应用层网关的优缺点优点中转数据,节省IP地址,减少网络流量,通过对代理服务器的监控和防守,从而防止入侵者侵入内部系统。易于记录日志缺点新的服务不能及时地被代理每个被代理的服务都要求专门的代理软件客户软件需要修改,重新编译或者配置有些服务要求建立直接连接,无法使用代理代理服务不能避免协议本身的缺陷或者限制状态检测防火墙(电路网关)本质上,也是一种代理服务器有状态的包过滤器动态包过滤器状态上下文环境流状态认证和授权方案例子:sockssocks专门设计用于防火墙在应用层和传输层之间垫了一层,即在会话层Socks lib(在客户机引入)和socks server不支持
9、ICMPSocks v4和socks v5基于用户的认证方案对UDP的支持正在普及和流行,它可以完成网页浏览、文件传输和远程登陆等所有工作的代理,SOCKS协议是可用的功能最强大、应用最灵活、安全性较高的代理协议socks应用传输层网络层链路层clientSocks serverpolicyserverSocks v5在socks v4的基础上发展起来Socks v4支持基于TCP的应用Socks v5增加了对于UDP协议的支持Socks v5增加了对于认证方案的支持Socks v5支持IPv6地址Socks要求修改客户程序,链接到socks library首先连接到socks server,
10、然后再同目标服务器连接对于UDP协议,首先同socks server建立一个TCP连接,然后再传送UDP数据TCP客户的处理过程客户首先与socks server建立一个TCP连接,通常SOCKS端口为1080然后客户与服务器协商认证方案然后进行认证过程认证完成之后客户发出请求服务器送回应答一旦服务器应答指示成功,客户就可以传送数据了Socks64通信过程电路层网关的优缺点优点效率高精细控制,可以在应用层上授权为一般的应用提供了一个框架缺点客户程序需要修改动态链接库?未来防火墙的发展分布式防火墙应用层网关的进一步发展认证机制智能代理与其他技术的集成比如NAT、VPN(IPSec)、IDS,以及
11、一些认证和访问控制技术防火墙自身的安全性和稳定性防火墙小结重点搞清P403实例3. IDS是什么?Intrusion Detection System入侵检测系统防患于未然防患于未然IDS能做什么?监控网络和系统发现入侵企图或异常现象实时报警主动响应IDS的分类主机入侵检测(HIDS)网络入侵检测(NIDS)网络节点入侵检测(NNIDS)主机入侵检测(HIDS)安装于被保护的主机中主要分析主机内部活动系统日志系统调用文件完整性检查占用一定的系统资源网络入侵检测(NIDS)安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负载网络节点入侵检测(
12、NNIDS)也称为Stack-Based IDS安装在网络节点的主机中结合了NIDS和HIDS的技术适合于高速交换环境和加密数据检测技术基于特征(Signature-based)维护一个入侵特征知识库准确性高基于异常(Anomaly-based)统计模型专家系统误报较多IDS产品商业CyberCop Monitor, NAIDragon Sensor, EnterasyseTrust ID, CANetProwler, SymantecNetRanger, CiscoNID-100/200, NFR SecurityRealSecure, ISSSecureNet Pro, IIDS发展方向学术界retaliation神经网络数据挖掘(Data Mining)工业界检测算法关联性(correlation)千兆网络IDS6CACA(Certification Authority)定义P439:发放数字证书的权威机构.PKI(Public Key Infrastructure)P440:利用公钥理论和技术建立的信息安全基础设施.CA是PKI的核心机构, PKI是CA的关键技术.我国CA的现状.
