1、网络安全规划,2013.6,主要内容,什么是网络安全 网络防火墙技术 网络防病毒技术 网络加密技术 入侵检测系统 企业防黑五大策略,私密性:当信息被信息来源人士和收受人获知时,就丧失了私密性。 完整性:当信息被非预期方式更动时,就丧失了完整性。 身份鉴别:确保使用者能够提出与宣称身份相符的证明。,10.1 什么是网络安全,信息系统的安全原则:,授 权:系统必须能够判定用户是否具备足够的权限,进行特定的活动,如开启档案、执行程序等等。因为系统授权给特定用户后,用户才具备权限运行于系统之上,因此用户事先必须经由 系统“身份鉴别”,才能取得对应的权限。 不可否认:用户在系统进行某项运作后,若事后能提
2、出证明,而无法加以否认,便具备不可否认性。因为在系统运作时必须拥有权限,不可否认性通常架构在“授权”机制之上。,10.2 网络防火墙技术,10.2.1 防火墙的基本原理 1.防火墙技术包过滤 包过滤技术是一种简单、有效的安全控制技术,它通过在 网络间相互连接的设备上加载允许、禁止来自某些特定的 源地址、目的地址、TCP端口号等规则,对通过设备的数 据包进行检查,限制数据包进出内部网络。 优 点:对用户透明,传输性能高。,状态检测 它是比包过滤更为有效的安全控制方法。对新建的应 用连接,状态检测检查预先设置的安全规则,允许符 合规则的连接通过,并在内存中记录下该连接的相关 信息,生成状态表。对该
3、连接的后续数据包,只要符 合状态表,就可以通过。,优 点:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。,2. 防火墙的工作原理 (1)包过滤防火墙包过滤防火墙一般在路由器上实现,用以过滤用户定 义的内容,如IP地址。 工作原理:系统在网络层检查数据包,与应用层无关。 这样系统就具有很好的传输性能,可扩展能力强。 主要问题:防火墙不理解通信的内容,容易被黑客所攻破。,包过滤防火墙工作原理图,(2)
4、应用网关防火墙 应用网关防火墙检查所有应用层的信息包,并将检查的 内容信息放入决策过程,从而提高网络的安全性。应用网关防火墙是通过打破客户机服务器模式实现的。每个客户机服务器通信需要两个连接:一个是从客户 端到防火墙,另一个是从防火墙到服务器。,应用网关防火墙工作原理图,(3)状态检测防火墙状态检测防火墙基本保持了简单包过滤防火墙的优点, 性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以这样说,状态检测包
5、过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。,状态检测防火墙工作原理图,(4)复合型防火墙复合型防火墙是指综合了状态检测与透明代理的新一代的 防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDSS功能,多单元融为一体,是一种新突破。在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘部署病毒防护、内容过滤等应用层服务措施。,复合型防火墙工作原理图,3. 四类防火墙的对比 包过滤防火墙:包过滤防火墙不检查数据区,包过
6、滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。应用网关防火墙:不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。,4. 防火墙术语,网关:在两个设备之间提供转发服务的系统。 DMZ非军事化区:为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区 。 吞吐量:吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。 最大连接数:和吞吐量一样,数字越大越
7、好。 数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。,网络地址转换:网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP地址域技术,从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。堡垒主机:一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。,10.2.2 市场上常见的硬件防火墙,1NetScreen 208 FirewallNetScreen科技公司
8、推出的NetScreen防火墙产品是一种新型的网络安全硬件产品。NetScreen采用内置的ASIC技术,其安全设备具有低延时、高效的IPSec加密和防火墙功能,可以无缝地部署到任何网络。,2Cisco Secure PIX 515-E FirewallCisco Secure PIX防火墙是Cisco防火墙家族中的专用防火墙设施。Cisco Secure PIX 515-E防火墙系通过端到端的安全服务的有机组合,提供了很高的安全性。适合那些仅需要与自己企业网进行双向通信的远程站点,或由企业网在自己的企业防火墙上提供所有的Web服务的情况。,3天融信网络卫士NGFW4000-S防火墙北京天融信
9、公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙,更加安全更加稳定。网络卫士防火墙系统是中国人自己设计的,因此管理界面完全是中文化的,使管理工作更加方便,网络卫士NGFW4000-S防火墙的管理界面是所有防火墙中最直观的。适合中型企业的网络安全需求。,4东软NetEye 4032防火墙NetEye 4032防火墙是NetEye防火墙系列中的最新版本,该系统在性能,可靠性,管理性等方面大大提高。其基于状态包过滤的流过滤体系结构,保证从数据链路层到应用层的完全高性能过滤
10、,可以进行应用级插件的及时升级,攻击方式的及时响应,实现动态的保障网络安全。,10.2.3 防火墙的基本配置,NGFW4000有3个标 准端口,其中一个接外 网(Internet网),一 个接内网,一个接 DMZ区,在DMZ区中 有网络服务器。,网络拓扑结构,1配置管理端口天融信网络卫士NGFW4000防火墙是由防火墙和管理器组成的,管理防火墙都是通过网络中的一台电脑来实现的。防火墙默认情况下,3个口都不是管理端口,所以我们先要通过串口把天融信网络卫士NGFW4000防火墙与我们的电脑连接起来,给防火墙指定一个管理端口,以后对防火墙的设置就可以通过远程来实现了。,使用一条串口线把电脑的串口(C
11、OM1)与NGFW4000防火墙的console口连接起来,启动电脑的“超级终端”,端口选择COM1,通信参数设置为每秒位数9600,数据位8,奇偶校验无,停止位1,数据流控制无。进入超级终端的界面,输入防火墙的密码进入命令行格式。定义管理口:if eth1 XXX.XXX.XXX.XXX 255.255.255.0 修改管理口GUI的登录权限:fire client add topsec -t gui -a 外网 -i 0.0.0.0-255.255.255.255,2.使用GUI管理软件配置防火墙,(1)定义网络区域Internet(外网):接在eth0上,缺省访问策略为any(即缺省可读
12、、可写),日志选项为空,禁止ping、GUI、telnet。 Intranet(内网):接在eth1上,缺省访问策略为none(不可读、不可写),日志选项为记录用户命令,允许ping、GUI、telnet。 DMZ区:接在eth2上, 缺省访问策略为none(不可读、不可写),日志选项为记录用户命令,禁止ping、GUI、telnet。,(2)定义网络对象一个网络节点表示某个区域中的一台物理机器。它可以作为访问策略中的源和目的,也可以作为通信策略中的源和目的。,FTP_SERVER:FTP服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。HTTP_SERVER:HTTP服务器,
13、区域=DMZ,IP地址= XXX.XXX.XXX.XXX。MAIL_SERVER:邮件服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。 V_SERVER:外网访问的虚拟服务器,区域=Internet,IP=防火墙IP地址。insIDSe:表示内网上的所有机器,区域=Intranet,起始地址=0.0.0.0,结束地址=255.255.255.255。outsIDSe:表示外网上的所有机器,区域=Internet,起始地址=0.0.0.0,结束地址=255.255.255.255。,(3)配置访问策略,在DMZ区域中增加三条访问策略: A、访问目的=FTP_SERVER,目的端
14、口=TCP 21。源=insIDSe,访问权限=读、写。源=outsIDSe,访问权限=读。这条配置表示内网的用户可以读、写FTP服务器上的文件,而外网的用户只能读文件,不能写文件。 B、访问目的=HTTP_SERVER,目的端口=TCP 80。源=insIDSe+outsIDSe,访问权限=读、写。这条配置表示内网、外网的用户都可以访问HTTP服务器。 C、访问目的=MAIL_SERVER,目的端口=TCP 25,TCP 110。源=insIDSe+outsIDSe,访问权限=读、写。这条配置表示内网、外网的用户都可以访问MAIL服务器。,(4)通信策略由于内网的机器没有合法的IP地址,它们
15、访问外网需要进行地址转换。当内部机器访问外部机器时,可以将其地址转换为防火墙的地址,也可以转换成某个地址池中的地址。,(5)特殊端口 (6)其他配置,防火墙对比,10.3 网络防病毒技术,10.3.1 病毒的历史 10.3.2 病毒的产生 1. 开个玩笑,一个恶作剧2. 产生于个别人的报复心理 3. 用于版权保护,10.3.3 病毒的特征 1.传染性 2. 隐蔽性 3. 潜伏性 4. 破坏性 5. 不可预见性,10.3.4 病毒的定义 从广义上定义,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使
16、用,并能自我复制的一组计算机指令或者程序代码。,10.3.5 病毒的分析 引导部分、传染部分、表现部分。,10.3.6 病毒的命名,(1) 按病毒出现的地点,如“ZHENJIANG_JES”其样本最先来自镇江某用户。 (2) 按病毒中出现的人名或特征字符,如“ZHANGFANG-1535”,“DISK KILLER”,“上海一号”。 (3) 按病毒发作时的症状命名,如“火炬”,“蠕虫”。 (4) 按病毒发作的时间,如“NOVEMBER 9TH”在11月9日发作。,10.3.7 病毒的分类,按照计算机病毒攻击的系统分类攻击DOS系统的病毒; 攻击Windows系统的病毒; 攻击UNIX系统的病毒
17、; 攻击OS/2系统的病毒。2.按照病毒的攻击机型分类 攻击微型计算机的病毒; 攻击小型计算机的病毒; 攻击工作站的计算机病毒。,3. 按照病毒的破坏性分类良性病毒:仅仅显示信息、奏乐、发出声响,自我复制能 的。 恶性病毒:封锁、干扰、中断输入输出、使用户无法打印等正常工作,甚至电脑中止运行。 极恶性病毒:死机、系统崩溃、删除普通程序或系统文件,破坏系统配置导致系统死机、崩溃、无法重启。 灾难性病毒:破坏分区表信息、主引导信息、FAT,删除数据文件,甚至格式化硬盘等。,4.按照病毒的传染方式分类 引导型病毒:是一种在ROM BIOS之后,系统引导时出现的病毒。 文件型病毒:一般只传染磁盘上的可
18、执行文件(COM,EXE)。 混合型病毒:兼有以上两种病毒的特点,既感染引导区又感染文件。,5.按照病毒链结方式分类源码型病毒 嵌入型病毒操作系统型病毒 外壳型病毒,10.3.8 病毒发作的现象计算机无故死机 计算机无法启动 Windows3.X运行不正常 Windows9X无法正常启动 微机运行速度明显变慢 曾正常运行的软件常报内存不足 微机打印和通讯发生异常 曾正常运行的应用程序发生死机或者非法错误 系统文件的时间、日期、长度发生变化 运行Word,打开文档后,该文件另存时只能以模板方式保存 无意中要求对软盘进行写操作 磁盘空间迅速减少 网络数据卷无法调用 基本内存发生变化,2.病毒发作中
19、提示一段话发出动听的音乐产生特定的图像硬盘灯不断闪烁 进行游戏算法 Windows桌面图标发生变化,10.3.9 防御计算机病毒的9大步骤1用常识进行判断 2. 安装防病毒产品并保证更新最新的病毒定义码 3. 首次安装防病毒软件时,一定要对计算机做一次彻底的病毒扫描 4. 不要从任何不可靠的渠道下载任何软件 5. 警惕欺骗性的病毒 6. 使用其它形式的文档 7. 不要用共享的软盘安装软件,或者更为糟糕的是复制共享的软盘 8. 禁用Windows Scripting Host 9. 使用基于客户端的防火墙或过滤措施,10.4 网络加密技术-对称、非对称和HASH加密,10.4.1 加密的优势,1
20、0.4.2加密强度 加密强度取决于三个主要因素: 首先是算法的强度,包括几个因素,例如,除了尝试所有可能的密钥组合之外的任何方法都不能数学的使信息被解密。 第二个因素是密钥的保密性,一个合乎逻辑但有时被忽略了的方面,没有算法能够发挥作用如果密钥受到损害,因此,数据的保密程度直接与密钥的保密程度相关,注意区分密钥和算法,算法不需要保密,被加密的数据是先与密钥共同使用,然后再通过加密算法。 第三个因素是密钥程度。这是最为人所知的一个方面,根据加密和解密的应用程序,密钥的长度是由“位”为单位,在密钥的长度上加上一位则相当于把可能的密钥的总数乘以二倍,简单的说构成一个任意给定长度的密钥的位的可能组合的
21、个数可以被表示为2的n次方,这儿的n是一个密钥长度,因此,一个40位密钥长度的配方将是2的40次方或1099511627776种可能的不同的钥,与之形成鲜明对比的是现代计算机的速度。,10.4.3 建立信任关系 应用加密指的是在主机之间建立一个信任关系。在最基本的级别上,一个信任关系包括一方加密的信息,并只有另一方的合作伙伴可以解密这个信息。 通过以下两种方法来发布你的公钥: 手动:你首先必须和接收方交换公钥,然后用接收方的公钥来加密信息。PGP和S/MIME需要使用这种方法。 自动:SSL和IPSec通过一系列的握手可以安全地交换信息(包括私钥)。在本课你将学到有关这方面更多的知识。,10.
22、4.4加密术语简介 对称加密在对称加密(或叫单密钥加密)中,只有一个密钥用来加密和解密信息。尽管单密钥加密是一个简单的过程,但是双方都必须完全的相信对方,并都持有这个密钥的备份。 2. 非对称加密非对称加密在加密的过程中使用一对密钥,而不像对称加密只使用一个单独的密钥。一对密钥中一个用于加密,另一个用来解密。 3. 签名 信息鉴别的方法可以使信息接收者确定:信息发送者的身份以及信息在传送过程中是否被改动过。,10.5 入侵检测系统,10.5.1 什么是入侵检测(IDS)工作方式:你有台机器,被连接到网络上,也许就是被连到了INTERNET上,出于可以理解的原因,你也愿意为被授权者设置从网络上访
23、问你的系统的许可。10.5.2 使用IDS的理由 保护数据安全和系统 保护网络安全 IDS的其它作用,10.5.3 IDS的分类基于主机的系统:这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。 基于网络的IDS 包嗅探和网络监测 (普通模式、任意模式) 包嗅探与任意模式 所有包嗅探都需要网卡被设置为任意模式,因为仅在此模式下,所有通过网卡的数据可以被传送到嗅探器,包嗅探的使用前提是安装他的机器上使用者具有管理员权限。,2. 基于主机的IDS 外来连接监测 注册行为监测 根操作监控 监测文件系统 3.基于内核的IDS基于内核的IDS还是以种新生事务,但是成长很快,尤其是
24、在和LINUX的配合方面。现在有两种基于LINUX的不同的基于内核的IDS,它们是OPENWALL和LIDSS。,10.6 企业防黑五大策略,要充分认识到您所面临的内外部危险,并因此建立一套安全策略。 求助专业安全公司,找寻企业存在的安全漏洞。 确保固定资产的安全 。 防范电脑病毒。 杜绝犯一些安全小错误,不要为黑客留下把柄。,小 结,1.网络安全技术研究的基本问题包括:网络防攻击、网络安全漏洞与对策、网络中的信息安全保密、网络内部安全防范、网络防病毒、网络数据备份与灾难恢复。 2.网络安全服务应该提供保密性、论证、数据完整性、防抵赖与访问控制服务。 3.制定网络安全策略就是研究造成信息丢失、系统损坏的各种可能性,并提出对网络资源与系统的保护方法。 4.防火墙根据一定的安全规定来检查,过滤网络之间传送的报文分组,以确定这些报文分组的合法性。 5.企业内部网通过将防火墙技术与用户授权、用户身份确认、数据加密,以及防病毒等多种方法的结合,来保护网络资源不被非法使用和网络系统不被破坏,以增强网络信息系统的安全。 6.网络管理则指对网络应用系统的管理,它包括配置管理、故障管理、性能管理、安全管理、记帐管理等部分。,谢谢大家!,
