1、第 06讲 网络安全技术第第讲讲网络安全技术网络安全技术1 引言 意义: 信息安全主要内容 信息安全管理重要技术保证 内容 网络安全技术 网络的攻与防 网络漏洞和补丁 范围: 认证机制: PKI 访问控制: FW、 保密通信: IPSec、 SSL、 SHTTP、SMIME 各种网络攻防技术2 防火墙 基本概念 关键技术 体系结构 网络隔离基本概念 防火墙概念 William Cheswick和 Steve Beilovin( 1994):防火墙是放置在两个网络之间的一组组件,这组组件共同具有下列性质: 只允许本地安全策略授权的通信信息通过 双向通信信息必须通过防火墙 防火墙本身不会影响信息的
2、流通 防火墙是位于两个信任程度不同的网络之间(如企业内部网络和 Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 防火墙缺陷 使用不便,认为防火墙给人虚假的安全感 对用户不完全透明,可能带来传输延迟、瓶颈及单点失效 不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 不能有效地防范数据驱动式的攻击 当使用端 -端加密时,其作用会受到很大的限制 防火墙分类 软件防火墙、硬件防火墙 Windows、 Linux防火墙 主机防火墙、网络防火墙 基
3、于不同技术的防火墙关键技术 数据包过滤 依据事先设定的过滤规则,对所接收的每个数据包做允许拒绝的决定。 数据包过滤优点: 速度快,性能高 对用户透明 数据包过滤缺点: 维护比较困难 (需要对 TCP/IP了解) 安全性低( IP欺骗等) 不提供有用的日志,或根本就不提供 不防范数据驱动型攻击 不能根据状态信息进行控制 不能处理网络层以上的信息 无法对网络上流动的信息提供全面的控制互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层 NAT ( Network Address Translation) 网络地址转就是在防
4、火墙上装一个合法 IP地址集,然后 当内部某一用户要访问 Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户; 同时,对于内部的某些服务器如 Web服务器,网络地址转换器允许为其分配一个固定的合法地址。 地址翻译主要用在两个方面: 网络管理员希望隐藏内部网络的 IP地址。这样互联网上的主机无法判断内部网络的情况。 内部网络的 IP地址是无效的 IP地址。 这种情况主要是因为现在的 IP地址不够用,要申请到足够多的合法 IP地址很难办到,因此需要翻译 IP地址。202.112.108.5010.0.0.108目的 IP源 IP202.112.108.50202.112.10
5、8.3目的 IP源 IP202.112.108.3202.112.108.50目的 IP源 IP10.0.0.108202.112.108.50目的 IP源 IP防火墙网关 应用层代理 网关理解应用协议,可以实施更细粒度的访问控制 对每一类应用,都需要一个专门的代理 灵活性不够客户 网关 服务器发送请求 转发请求请求响应转发响应 电路级网关 拓扑结构同应用程序网关相同 接收客户端连接请求,代理客户端完成网络连接 在客户和服务器间中转数据 通用性强体系结构 双宿主主机体系 双重宿主主机的特性: 安全至关重要(唯一通道),其用户口令控制安全是关键。 必须支持很多用户的访问(中转站),其性能非常重要
6、。 缺点:双重宿主主机是隔开内外网络的唯一屏障,一旦它被入侵,内部网络便向入侵者敞开大门。Internet防火墙双重宿主主机内部网络 屏蔽主机体系 屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单,可能就是简单的路由器。 典型构成:包过滤路由器堡垒主机。 包过滤路由器配置在内部网和外部网之间,保证外部系统对内部网络的操作只能经过堡垒主机。 堡垒主机配置在内部网络上,是外部网络主机连接到内部网络主机的桥梁,它需要拥有高等级的安全。防火墙堡垒主机因特网 屏蔽子网体系 屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层保护体系 周边网络。堡垒主机位于周边
7、网络上,周边网络和内部网络被内部路由器分开。 原因:堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机,能减少在堡垒主机被侵入的影响。Internet周边网络内部网络外部路由器堡垒主机内部路由器 周边网络是一个防护层,在其上可放置一些信息服务器,它们是牺牲主机,可能会受到攻击,因此又被称为非军事区( DMZ)。 周边网络的作用:即使堡垒主机被入侵者控制,它仍可消除对内部网的侦听。例 : netxray等的工作原理。 堡垒主机 堡垒主机位于周边网络,是整个防御体系的核心。 堡垒主机可被认为是应用层网关,可以运行各种代理服务程序。 对于出站服务不一定要求所有的服务经过堡垒主机代理
8、,但对于入站服务应要求所有服务都通过堡垒主机。网络隔离 物理隔离的指导思想与防火墙绝然不同:防火墙的思路是在保障互联互通的前提下,尽可能安全,而物理隔离的思路是在保证必须安全的前提下,尽可能互联互通。 一个典型的物理隔离方案(处于完全隔离状态)互联网外部服务器 内部服务器存储设备物理隔离控制设备集线器内部网络 一个典型的物理隔离方案(隔离设备处于与外网相连状态)互联网外部服务器 内部服务器存储设备物理隔离控制设备集线器内部网络非TCP/IP连接原始数据 一个典型的物理隔离方案(隔离设备处于与内网相连状态)互联网外部服务器 内部服务器存储设备物理隔离控制设备集线器非TCP/IP连接原始数据 物理
9、隔离不足 物理隔离也存在许多弊端。例如,内网用户就无法使用丰富的国际互联网的各种资源,譬如查询资料和国际电子邮件,而对于用户来说,这些又是对工作非常需要的。另外,要做到真正的物理上的隔离,还会导致投资成本的增加,占用较大办公空间。而且如果使用两台机器分别接入内网和公网的话,还存在网络设置复杂、维护难度较大的问题。3 VPN 基本概念 IPSec IKE SSL基本概念 VPN的定义: 是指依靠 ISP或其他 NSP在公用网络基础设施之上构建的专用的数据通信网络,这里所指的公用网络有多种,包括 IP网络、帧中继网络和 ATM网络。 虚拟专用网 IETF对基于 IP的 VPN定义:使用 IP机制仿
10、真出一个私有的广域网。数据网总部远程访问服务器分支机构服务器适配器专用通道适配器 VPN分类 按 VPN业务类型划分: Intranet VPN(内部公文流转) Access VPN(远程拨号 VPN) Extranet VPN(各分支机构互联) 按 VPN发起主体划分: 客户发起,也称基于客户的 VPN 服务器发起,也称客户透明方式或基于网络的 VPN 按隧道协议层次划分: 二层隧道协议: L2F/L2TP 、 PPTP 三层隧道协议: GRE (通用路由封装协议) 、 IPSec 介于二、三层间的隧道协议: MPLS 基于 SOCKS V5的 VPN 此外,根据 VPN实现方式不同,还可进
11、一步分为软件实现和硬件实现等。 VPN技术 隧道技术 隧道是在公共通信网络上构建的一条数据路径,可以提供与专用通信线路等同的连接特性。 隧道使用隧道协议来封装数据。一种协议 X的数据报被封装在协议 Y中,可以实现协议 X在公共网络的透明传输。这里协议 X称作被封装协议,协议 Y称为封装协议。隧道的一般封装格式为(协议 Y(隧道头(协议 X)。 密钥管理 VPN技术的开放性预示着必须采用各种公开密码算法,这样算法的安全强度不能依赖于算法本身,只能依靠密钥的机密性。大规模部署 VPN,也离不开自动密钥管理协议的支持。 VPN系统中常用的几种密钥管理协议包括: IKE协议、 SKIP协议、 Kerb
12、eros协议。IPSec IPSec体系 IPSec协议提供的安全服务包括:访问控制、无连接完整性、数据源鉴别、重传攻击保护、机密性、有限的流量保密等。封装安全载荷(ESP)体 系加密 算法解 释 域图 IPSec安全体系结构认证头(AH)认证 算法密钥交换与管理IKE 安全关联SAike定义了安全参数如何协商 ,以及共享密钥如何建立 ,但它没有定义的是协商内容 .这方面的定义是由 “解释域 (doi)“文档来进行的原IP头 数据AH头图 AH的格式TCP头认证的(IP头中可变字段除外)IPv4传输模式安全参数索引(SPI)序列号认证数据(32比特的整数倍)下一负载头标(8) 净载荷长度(8)
13、 保留(16) AH和 ESPIPv4传输模式原IP头 数据ESP头部 ESP尾部 ESP认证数据图 ESP格式TCP头加密的认证的ESP净载荷填充(0-255字节)ESP净载荷(变长)安全参数索引SPI(32比特)序列号(32比特)认证数据(长度可变)下一负载头标(8比特)填充长度(8比特)图 IPSec传输模式下的AH、ESP数据封装格式主机A数据 B A经认证(加密)的数据原IP头信息(源地址A目的地址B)主机BIP分组数据B AIPv4ESP传输模式数据ESP头部 ESP尾部 ESP认证数据TCP头加密的认证的数据TCP头 原IP数据包IPv4AH传输模式原IP头 AH TCP头 数据认证的(原IP头的可变字段除外)原IP头原IP头 IPSec模式
