计算机网络安全(下)ppt.ppt

计算机网络安全(下),计算机网络安全,第六章,第六章 虚拟专用网络,虚拟专用网络概述； 点对点IP隧道； 虚拟接入网络； 虚拟专用局域网服务。 专用网络指由专用点对点链路互连物理上分散的多个子网的内部网络，它的特点是使用本地地址、独占网络资源，信息在封闭的内部网络内传输。虚拟专用网络指由公共分组交换网络互连物理上分散的多个子网的内部网络，但和采用专用点对点链路互连的专用网络具有相同安全和使用本地地址的特性。,6.1 虚拟专用网络概述,VPN发展过程； VPN安全机制。 一个大型企业的企业内部网络往往由物理上分散的多个子网组成，实现各个子网互连的基本原则是安全、方便和节省，虚拟专用网络（VPN）技术就是一种安全、方便和节省地实现物理上分散的多个子网互连的技术。,VPN发展过程,使用本地地址； 专用点对点链路互连； 数据在内部网络内传输； 分组交换结点完全属于内部网络； 网络资源由单一单位管理。,专用网络结构,缺点：互连子网的专用点对点物理链路的低效率、高费用和不方便。,由于虚电路经过分组交换结点，数据传输的安全性无法保证； 建立虚电路时，可以为虚电路预留资源，如物理链路带宽，因此，子网间传输带宽有基本保证； 由于虚电路采用分组交换方式，每一条虚电路的通信费用比点对点专用链路便宜； 对于IP网络，虚电路属于链路层，因此，不影响使用本地地址； 提供虚电路服务的城市受到限制，因此，子网所在地域也受到限制，方便性受到影响。,VPN发展过程,基于虚电路的VPN结构,IP隧道是基于IP网络的虚拟点对点链路，用于传输用本地地址封装的IP分组； 由于IP隧道和其他端到端传输路径共享分组交换结点和物理链路，因此，传输安全性不能保证； IP网络是尽力而为网络，不能保证子网间传输质量（带宽、传输时延、时延抖动等不能确定）； IP网络的广泛性使得子网间互连不仅便宜，而且方便。,VPN发展过程,用IP隧道互连子网的VPN结构,正常的拨号接入需要建立远程接入用户和路由器之间的点对点语音信道，如果两者相距甚远，通信费用很贵； 终端接入Internet，路由器也接入Internet，终端和路由器之间建立基于IP网络的第2层隧道，该隧道等同于语音信道这样的点对点链路； 由于远程接入用户接入内部网络时，需要由路由器通过PPP完成远程接入用户身份认证、内部网络本地地址分配等接入控制功能，第2层隧道提供PPP要求的点对点传输服务。,VPN发展过程,虚拟接入网络（）自愿隧道,自愿隧道是终端先接入Internet，然后建立基于IP网络的终端和内部网络路由器之间的第2层隧道，最后，通过第2层隧道提供的等同于语音信道的传输服务，路由器通过PPP完成终端接入内部网络所要求的接入控制过程； 当终端建立和LAC之间的语音信道，并确定远程接入用户要求接入内部网络，由LAC建立和路由器之间的第2层隧道，并在远程接入用户和路由器之间完成PPP帧的中继过程，对于LAC和路由器之间的第2层隧道，远程接入用户是透明的。,VPN发展过程,虚拟接入网络（）强制隧道,多个以太网通过边缘路由器（CE）接入Internet，但这几个以太网不是由路由器互连的独立的网络，而是能够提供单个以太网服务的虚拟专用局域网； 这里的关键点是CE和CE之间的第2层隧道，对于IP网络，CE是路由器，用于转发第2层隧道格式的IP分组，对于物理上分散的多个以太网，CE是网桥，一端连接本地以太网，另一端通过等同于虚拟线路的第2层隧道连接其他以太网； 终端A、B和C是连接在同一个以太网上三个终端，分配网络地址相同的IP地址。,VPN发展过程,VPLS网络结构,VPN安全机制,用IP网络实现互连的VPN一般采用隧道机制； 建立隧道时，对隧道两端进行认证，并约定类似加密算法、完整性检测算法、密钥等安全参数； 经过隧道传输的数据进行加密运算，接收端进行完整性检测和发送端认证。,6.2 点对点IP隧道,网络结构； IP分组传输机制； 安全机制。 多个子网通过点对点IP隧道实现互连，由于这些子网使用本地地址，因此，必须先封装成以隧道两端全球IP地址为源和目的地址的隧道格式，为了安全传输，隧道两端建立双向的安全关联，经过隧道传输的数据，采用IPSec隧道模式，通过加密和完整性检测实现数据经过隧道的安全传输。,网络结构,三个子网LAN1、LAN2和LAN3使用本地地址； 路由器R1、R2和R3是边缘路由器，一端连接本地子网，一端连接Internet； 建立边缘路由器之间的IP隧道，隧道两端是边缘路由器连接Internet端口； 边缘路由器其中一个子网是直接连接，另两个子网通过隧道连接下一跳，由于隧道等同于点对点链路，无需给出下一跳IP地址。对于隧道格式，目的地址对应的下一跳是Internet中连接边缘路由器的路由器。,IP分组传输机制,当终端A向服务器B发送IP分组时，终端A构建以终端A和服务器B本地地址为源和目的IP地址的IP分组，根据终端A配置默认网关，将IP分组发送给R1； R1根据服务器BIP地址确定通过隧道1将IP分组传输给下一跳； IP分组被封装为以隧道1两端全球IP地址为源和目的地址的隧道格式，经过IP网络，将隧道格式传输给R2； R2从隧道格式中分离出IP分组，根据服务器B地址，确定服务器B直接连接R2端口2连接的本地网络上，通过端口2转发IP分组。,R1,R2,隧道1,安全机制,认证发送端身份的过程如下：用证书证明用户名R1和公钥PKR1的绑定，然后，证实自己拥有公钥PKR1和对应的私钥SKR1，以此证实自己就是R1； 发送者将明文P的报文摘要用私钥解密运算后生成数字签名； 如果接收者用公钥PKR1加密数字签名后得到的结果和接收者对明文P报文摘要运算后得到的结果相同，针织证实发送者就是R1。,数字签名认证身份过程,为了安全传输建立安全关联时相互交换的信息，需要事先建立安全传输通道，建立安全传输通道的过程就是双方约定安全参数的过程； 这里，双方约定用DES作为加密解密算法，用数字签名技术实现发送者身份认证和消息完整性检测， 通过Diffie-Hellman密钥交换算法生成密钥，交换公钥时，用数字签名技术进行发送者身份认证和消息完整性检测。,安全机制,双方协商加密算法、认证机制和完整性检测机制。,双方根据Diffie-Hellman密钥交换算法生成密钥，用数字签名技术实现发送者身份认证和消息完整性检测。,建立安全关联过程就是完成双方身份认证、约定安全传输数据相关的安全参数的过程； 由于建立安全传输通道时已经完成了双方身份认证，并且可以对经过安全传输通道传输的数据进行加密、发送者身份认证和完整性检测； 为建立的安全关联约定的安全参数是：AES加密解密算法、HMAC-MD5-96完整性检测机制、ESP安全协议和目的端选择的SPI。,安全机制,双方协商加密算法、完整性检测机制、安全协议和目的端选择的SPI。,双方根据Diffie-Hellman密钥交换算法生成密钥。,建立R1至R2的安全关联后，R1传输给R2的数据进行安全处理； 由于R1至R2的安全关联采用隧道模式，整个内层IP分组作为ESP净荷； 根据ESP操作过程，先对ESP净荷和尾部进行加密，然后对ESP首部和成为密文的ESP净荷和尾部计算消息认证码； 整个ESP报文作为隧道格式的净荷，外层IP首部中的源和目的IP地址是隧道两端的IP地址。,安全机制,6.3 虚拟接入网络,网络结构； 第2层隧道和第2层隧道协议； 远程接入用户接入内部网络过程； 数据传输过程； 安全机制； 虚拟接入网络自愿隧道。 虚拟接入网络是指实现用户通过IP网络远程接入内部网络的网络结构，访问内部网络必须分配本地地址、实现数据的安全传输、对接入用户进行身份认证，但由于远程接入用户和内部网络之间存在经过IP网络的传输路径，对实现上述功能带来了一定的困难。,网络结构,远程用户拨号接入内部网络的机制如下：首先建立远程接入用户和路由器之间的语音信道；然后由路由器通过PPP完成远程接入用户的身份认证、本地IP地址分配；最后将IP分组封装成PPP帧实现远程接入用户和路由器之间的通信； 虚拟接入网络和拨号接入网络最大不同在于远程接入用户和路由器之间传输路径并非是单一的语音信道，包含着IP网络传输路径，而且为了使路由器可以用基于点对点物理链路的PPP完成对远程接入用户的身份认证和本地IP地址分配，必须使远程接入用户和路由器之间的传输通路提供PPP帧的传输服务。,虚拟接入网络结构,第2层隧道和第2层隧道协议,第2层隧道的含义是传输第2层帧的隧道，由于直接用物理层提供的服务实现第2层帧的传输，因此，第2层隧道呈现物理层的服务特性； 第2层帧作为净荷可以封装成任何一层的PDU，只是按照网络体系结构，第2层帧用于传输网际层PDU，如果第2层帧又作为IP分组的净荷的话，封装过程中增加的控制信息开销会变得很大，违背了层次结构单向调用的原则； 第2层隧道实际上就是用IP分组的封装形式传输第2层帧，这是无法或者不愿建立远距离点对点物理连接，但又需要远距离传输PPP帧的情况下采取的折中措施； 相同的两端可能需要建立多条第2层隧道，因此，无法仅仅用第2层隧道两端的IP地址唯一标识第2层隧道。,第2层隧道报文就是将PPP帧作为净荷的IP分组； 隧道两端的源和目的IP地址无法唯一标识隧道，需要增加隧道标识符会话标识符，Cookie是可选的隧道标识符（会话标识符的补充）； 为了呈现点对点物理链路特性，接收端可以只接收按序到达的第2层隧道报文，序号就用于鉴别按序到达或者重复的第2层隧道报文，标志字段用于表明是否需要序号字段。,第2层隧道和第2层隧道协议,PPP帧封装成第2层隧道报文过程,建立控制连接的目的一是可靠传输建立第2层隧道所需要的控制消息，二是协商双方支持的虚拟线路类型，三是认证双方身份，认证双方身份的机制是双方配置共享密钥，用共享密钥计算消息认证码（HAMC），即报文摘要； 可靠传输采用确认应答和重传机制，发送序号（NS）和接收序号（NR）用于签别重复接收的控制消息和对正确接收的控制消息进行确认应答； 连接标识符只有本地意义，通过控制连接传输的控制消息必须携带对应的连接标识符。,第2层隧道和第2层隧道协议,建立第2层隧道过程就是双方协商虚拟线路类型和会话标识符（如果需要，包含Cookie）的过程； 传输控制消息过程中可以通过消息认证码认证发送者身份，对控制消息进行完整性检测。,第2层隧道和第2层隧道协议,远程接入用户接入内部网络过程,这是虚拟接入网络强制隧道，当LAC确定用户名和口令后，确定远程接入用户需要和内部网络路由器进行接入过程； LAC建立和路由器之间的第2层隧道，将第2层隧道与连接远程接入用户的语音信道交接在一起，通过第2层隧道发送来自远程接入用户的PPP帧； 路由器完成接入控制过程后，为远程接入用户分配本地IP地址，建立路由项，路由项指明路由器直接通过点对点链路和远程接入用户相连，只是点对点链路是第2层隧道，路由表中需要给出用于指明通往隧道另一端的传输路径的路由项； 同样。LAC也需要在路由表中给出用于指明通往隧道另一端的传输路径的路由项； LAC的双层功能：对于远程接入用户和路由器之间用于传输PPP帧的点对点链路，LAC是物理层中继设备，用于实现语音信道和第2层隧道的交接和转换。对于第2层隧道，它是IP终端设备，一是需要给出用于指明通往隧道另一端的传输路径的路由项，二是需要完成PPP帧隧道格式的封装过程。,远程接入用户接入内部网络过程,数据传输过程,远程接入用户A生成发送给服务器的IP分组，由于连接下一跳是点对点物理链路，因而将IP分组封装成PPP帧； PPP帧在LAC被封装成第2层隧道报文，通过基于IP网络的第2层隧道传输给路由器； 路由器从第2层隧道报文中分离出PPP帧，从PPP帧中分离出IP分组，将IP分组转发给服务器。,远程接入用户A,LAC,路由器,服务器,安全机制,ESP封装过程与点对点IP隧道基本相同； 第2层隧道格式首先被封装成UDP报文，由于UDP报文作为ESP报文净荷，这种封装形式是运输模式。,虚拟接入网络自愿隧道,自愿隧道方式下，远程接入用户接入Internet的方式不限，可以采用各种接入网络如ADSL、以太网等接入Internet，这里采用拨号接入方式； 远程接入用户和路由器是第2层隧道的两端，LAC的作用一是远程接入用户接入Internet的接入控制设备，二是远程接入用户至路由器IP网络传输路径上的一个路由器，用于转发双方交换的数据； 对于LNS，远程接入用户是其直接用点对点链路连接的终端，另一方面，LNS必须给出用于指明通往第2层隧道另一端的传输路径的路由项。,虚拟接入网络自愿隧道,远程接入用户第一次将IP分组封装成PPP帧的原因是远程接入用户通过点对点链路（第2层隧道）直接连接下一跳； PPP帧经过第2层隧道传输时，需要封装成第2层隧道报文； 第2层隧道报文经过IP网络传输时，就是以远程接入用户和路由器全球IP地址为源和目的IP地址的IP分组，该IP分组由于经过语音信道传输给LAC，需要封装成PPP帧。,远程接入用户A,LAC,路由器,服务器,虚拟接入网络自愿隧道,数据传输过程,6.4 虚拟专用局域网服务,网络结构； 数据传输过程。 虚拟专用局域网服务是指多个物理上分散的以太网通过IP网络互连，这些以太网所提供的服务就像单一以太网所提供的服务。,网络结构,终端A和终端E虽然连接在通过IP网络互连的两个不同的以太网上，但它们可以像连接在同一个以太网一样直接通信，即可以直接传输以MAC A和MAC E为源和目的MAC地址的MAC帧； 对于以太网CE1和CE2就像是用线缆（电缆或光缆）直接连接的两个网桥，第2层隧道就是线缆，实现MAC帧两个网桥之间的通信； 对于第2层隧道，CE1和CE2是两个IP网络终端设备，需要指出通往隧道另一端的传输路径的路由项，需要将经过第2层隧道传输的MAC帧封装成以隧道两端IP地址为源和目的IP地址第2层隧道报文。,网络结构,为每一个VALN单独建立第2层隧道，因此，第2层隧道就像是一个非标记端口。,网络结构,将VLAN标识符：1和会话标识符：678 789绑定在一起。,数据传输过程,终端A构建以MAC A为源MAC地址，MAC B为目的MAC地址的MAC帧，将MAC帧发送给交换机S1，S1根据接收端口确认MAC帧属于VLAN 1，从标记端口端口5转发该MAC帧时，带上VLAN标识符：1； CE1通过端口1接收到MAC帧，根据MAC帧携带的VLAN标识符：1确定该MAC帧属于VLAN 1，由于连接转发端口的是第2层隧道，因此，MAC帧被封装成第2层隧道报文，建立第2层隧道报文时已经将VLAN 1和会话标识符：789绑定在一起，因此，第2层隧道报文的会话标识符是789； CE2接收到第2层隧道报文，从中分离出MAC帧，根据会话标识符789确定该MAC帧属于VLAN 1，由于MAC帧的VLAN 标识符为1，将MAC帧从端口2转发出去，MAC帧经过交换机S2转发，到达终端B。,终端A,终端B,CE1,CE2,计算机网络安全,第七章,第7章 防火墙,防火墙概述； 分组过滤器； 堡垒主机； 统一访问控制。 防火墙是一种对不同网络之间信息传输过程实施监测和控制的设备，尤其适用于内部网络和外部网络之间的连接处。,防火墙概述,防火墙功能 服务控制 不同网络间只允许传输与特定服务相关的信息流。 方向控制 不同网络间只允许传输与由特定网络中终端发起的会话相关的信息流。 用户控制 不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。 行为控制 不同网络间只允许传输与行为合理的网络资源访问过程相关的信息流。,如果不与操作系统的安全访问机制相结合，个人防火墙的功能相对简单； 有状态检查防火墙的功能已经涵盖电路层网关和应用层网关的功能，但对终端用户是透明的。,防火墙概述,防火墙分类,电路层网关对运输层连接进行监测和控制，包括连接发起者的身份认证、经过连接传输的TCP报文的合理性等； 应用层网关对特定应用相关的消息交换过程实施监测控制和，包括请求、响应过程，请求、响应报文中各字段的正确性，传输内容的合理性和合法性等。,防火墙概述,电路层网关工作机制,先认证用户身份，确定是授权用户发起的TCP连接时，再与服务器建立TCP连接。,7.2 分组过滤器,无状态分组过滤器； 有状态分组过滤器。 分组过滤器根据规则鉴别出一组多个字段值等于设定值的IP分组，并对其进行规定操作。这些字段值可以是IP分组首部字段值，可以是运输层首部字段值（电路层网关功能），也可以是应用层消息的各个字段值（应用层网关的功能）。有状态和无状态的区别在于无状态逐个IP分组单独处理，有状态是基于会话，对属于相同会话的一组IP分组进行联合处理，会话可以是TCP连接，也可以是应用层请求、响应过程。因此，有状态分组过滤器的功能涵盖了电路层和应用层网关的大部分功能，但分组过滤器对终端用户是透明的。,源IP地址/24,一、分组过滤,目的IP地址/24,目的IP地址/24,源IP地址/24,目的IP地址/24,源IP地址/24,源IP地址=/24 .and. 目的IP地址=/32 .and. 目的端口号=23，对和规则匹配的IP分组采取的动作是：拒绝传输 。,一、分组过滤,要求LAN 1中终端不能通过TELNET访问LAN 2中服务器。,IP分组的源地址属于LAN1子网地址，目的地址是LAN2服务器，端口号必须确定是TELNET应用。,只允许LAN2中终端访问LAN1中的WEB服务器。,源IP地址= .and. 目的IP地址=/24 .and. 源端口号=80，对和规则匹配的IP分组采取的动作是：允许传输 。,不允许和LAN1中终端通过TELNET访问LAN2中服务器操作有关的信息经过路由器R1。,防火墙动态分组过滤,只允许终端A用Telnet访问终端B，不允许终端B访问终端A。,终端A ,终端B ,源IP地址 .and.目的IP地址 .and. 源端口号23,只允许终端B向终端A回信，不允许终端B主动向终端A写信。 通过寄信人和收信人地址、姓名能区分这两种类型的信吗？,对终端A写给终端B的信和终端B写给终端A的信的内容进行检查，确定是回信，则通过，不是，则过滤。,防火墙动态分组检测,动态分组检测的第一步是将网络划分成三个区，然后对区间进行的访问过程全程监控。,所谓全程监控是根据访问策略确定信息流顺序，然后对每一次信息流传输操作进行监控，看其是否符合策略规定的顺序和动作。,防火墙动态分组检测,访问策略 从信任区到非军事区 源IP地址=/24 目的IP地址=/32 HTTP服务； 从信任区到非军事区 源IP地址=/24 目的IP地址= SMTP+POP3服务； 从信任区到非信任区 源IP地址=/24 目的IP地址= HTTP+FTP GET服务； 从非军事区到非信任区 源IP地址=/32 目的IP地址= SMTP服务； 从非信任区到非军事区 源IP地址= 目的IP地址=/32 HTTP GET服务； 从非信任区到非军事区 源IP地址= 目的IP地址=/32 SMTP服务。,访问策略和分组过滤不同，不是定义了允许或不允许传输的IP分组，而是定义了整个服务过程。如第一项策略表示允许进行由信任区中终端发起的，对非军事区中的WEB服务器的访问。它允许符合这个访问过程的IP分组在信任区和非军事区之间传输。,防火墙动态分组检测,策略对应的信息交换过程，由于是允许信任区中终端发起对非信任区中WEB服务器的访问，因此，首先允许通过的是符合信任区中终端发起建立TCP连接的过程的IP分组。然后允许通过的是和读取WEB内容有关的IP分组。最后，允许通过的是释放TCP连接有关的IP分组。,防火墙防拒绝服务攻击,防火墙通过只中继正常的建立TCP连接请求，来避免服务器遭受SYN泛滥攻击。,防火墙防拒绝服务攻击,通过COOKIE技术避免防火墙被SYN泛滥阻塞。,7.3 堡垒主机,网络结构； 堡垒主机工作机制； 堡垒主机功能特性。 堡垒主机是代理形式的应用层网关，由它屏蔽内部网络资源，外部网络终端只能与堡垒主机建立TCP连接，相互交换信息，堡垒主机的安全功能非常强大，不容易被黑客攻陷，外部网络终端须经堡垒主机访问内部网络资源，因此，只要保证了堡垒主机的安全性，即可保证内部网络资源的安全性。,网络结构,单穴指堡垒主机只有一个接口连接内部网络； 堡垒主机的安全性基于外部网络终端必须通过堡垒主机实现对内部网络资源的访问； 单穴堡垒主机把外部网络终端通过堡垒主机实现对内部网络资源的访问的保证完全基于无状态分组过滤器的传输控制功能。,单穴堡垒主机结构,无状态分组过滤器必须保证只允许目的IP地址的IP分组进入内部网络，源IP地址的IP分组离开内部网络。即外部网络终端只能和堡垒主机通信。,双穴指堡垒主机用一个接口连接内部网络，用另一个接口连接无状态分组过滤器，并通过无状态分组过滤器连接外部网络； 这种网络结构保证外部网络必须通过堡垒主机才能访问内部网络资源。,网络结构,双穴堡垒主机结构,这种结构一是保证外部网络终端必须通过堡垒主机才能实现对内部网络资源的访问； 将内部网络根据安全等级划分为不同的网段，控制堡垒主机对重要内部网络资源的访问。,网络结构,双无状态分组过滤器结构,堡垒主机的工作机制,无状态分组过滤器保证外网终端只能与堡垒主机通信； 外网终端和堡垒主机建立TCP连接后，由堡垒主机完成对外网终端的身份认证和访问权限鉴别； 如果访问权限满足外网终端提出的资源访问要求，和Web服务器建立TCP连接； 堡垒主机一直监测外网终端和Web服务器之间的请求、响应过程和传输内容。,网络结构,堡垒主机自身安全性必须得到保证； 由于堡垒主机是代理形式的应用层网关，所支持的应用层服务应该能够动态增删； 堡垒主机具备认证用户身份的能力，因此，或者自身由注册信息库，或者能够访问到注册信息库； 堡垒主机必须能够为不同的用户设置不同的访问权限； 堡垒主机必须能够详细记录外网终端访问内部网络资源的过程。,堡垒主机的功能特性,7.4 统一访问控制,系统结构； 实现原理； 应用实例。 防火墙访问控制策略能够控制属于不同网络的终端间的信息交换过程，但这种控制一是基于终端（由IP地址标识），二是静态，终端用户改变，或是终端安全状态改变不会改变防火墙的安全访问控制策略，但实际应用过程中，同一终端，当不同用户使用时，访问权限应该是不同的（访问控制策略基于用户），二是终端状态，尤其安全状态发生改变时，如检测到感染病毒，或是遭受黑客攻击，其访问权限应该随之改变（防火墙访问控制策略是动态的），统一访问控制（UAC）就是用于实现基于用户、动态设置访问控制策略的机制。,系统结构,系统结构,UAC代理，运行于终端的软件，一是通过交互方式获得用户信息，并向安全控制器提供用户信息，二是向安全控制器提供终端状态及用户为终端设置的访问控制策略。,防火墙，策略执行部件，一是随时接收安全控制器为其制定的访问控制策略，二是根据访问控制策略调制执行机制。,安全控制器，一是建立完整的访问控制策略库，二是接收UAC代理提供的用户信息和终端状态，三是根据访问策略库和用户信息及终端状态制定对应的访问控制策略，并将其传输给策略执行部件，如防火墙。,实现原理,UAC系统配置,安全控制器建立安全策略库，基于用户设置访问权限； 防火墙访问控制策略基于网络地址确定终端的访问权限； 根据对用户身份的认证结果和终端的安全状态确定用户终端的访问权限； 将接入用户终端的交换机端口配置到对应的VLAN，防火墙访问控制策略对应该VLAN的网络地址的访问权限恰好是安全控制器确定的用户终端具有的访问权限，以此完成基于用户和动态访问控制策略设置。,实现原理,实现基于用户和动态设置访问权限的关键一是认证用户身份、获知终端安全状态。二是将连接用户终端的交换机端口动态配置为和用户访问权限一致的VLAN； 安全控制器需要与交换机和用户终端交换信息，802.1X及RADIUS恰好实现用户终端、交换机和安全控制器三者之间的通信问题，和交换机的动态配置问题； 这里，防火墙的访问控制策略是静态的，因此，安全控制器不需要动态配置防火墙的访问控制策略。,实现原理,应用实例,安全控制器必须完成对用户的身份认证，并将用户终端的IP地址作为用户的身份标识符，为了防止源IP地址欺骗攻击，要求建立用户和防火墙之间隧道模式的安全关联； 防火墙必须动态配置允许IP地址为的外网终端访问内部网络服务器的访问控制策略； 安全控制器和用户之间通过HTTPS交换信息，安全控制器和防火墙之间通过专用安全传输协议信息。,应用实例,用户和安全控制器之间通过HTTPS交换信息过程。,用户和安全控制器之间通过TLS完成身份认证和安全参数约定过程。,应用实例,实现远程用户动态接入的关键如下： 用户和安全控制器之间安全传输认证信息、安全状态和隧道配置信息。 安全控制器能够根据安全策略库和用户身份及终端状态信息生成隧道配置信息和防火墙动态安全访问控制策略。 安全控制器能够将动态安全访问控制策略传输给防火墙； 用户和安全控制器之间通过HTTPS安全传输信息； 安全控制器和防火墙之间通过专用安全传输协议安全传输信息。,计算机网络安全,第八章,第8章 入侵防御系统,入侵防御系统概述； 网络入侵防御系统； 主机入侵防御系统。 入侵防御系统的作用是检测网络中可能存在的攻击行为，并对攻击行为进行反制。由于攻击手段的多样性和不断翻新，采用单一技术和手段是无法检测出所有攻击行为的，因此，入侵防御系统也是多个系统的有机集合，每一个系统各司其职。,8.1 入侵防御系统概述,入侵防御系统分类； 入侵防御系统工作过程； 入侵防御系统不足； 入侵防御系统发展趋势。 入侵防御系统和防火墙是抵御黑客攻击的两面盾牌，防火墙通过控制信息在各个网络间的传输，防止攻击信息到达攻击目标。入侵防御系统通过检测流经各个网段的信息流，监测对主机资源的访问过程，发现并反制可能存在的攻击行为。,入侵防御系统分类,入侵防御系统分为主机入侵防御系统和网络入侵防御系统； 主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程，以此发现攻击行为、管制流出主机的信息流，保护主机资源； 网络入侵防御系统通过检测流经关键网段的信息流，发现攻击行为，实施反制过程，以此保护重要网络资源； 主机入侵防御系统和网络入侵防御系统相辅相成，构成有机的防御体系。,入侵防御系统工作过程,网络入侵防御系统工作过程 捕获信息； 检测异常信息； 反制异常信息； 报警； 登记。,得到流经关键网段的信息流。,异常指包含非法代码，包含非法字段值，与已知攻击特征匹配等。,反制是丢弃与异常信息具有相同源IP地址，或者相同目的IP地址的IP分组，释放传输异常信息的TCP连接等。,向网络安全管理员报告检测到异常信息流的情况，异常信息流的特征、源和目的IP地址，可能实施的攻击等。,记录下有关异常信息流的一切信息，以便对其进行分析。,主机入侵防御系统工作过程 拦截主机资源访问操作请求和网络信息流； 采集相应数据； 确定操作请求和网络信息流的合法性； 反制动作； 登记和分析。 主机攻击行为的最终目标是非法访问网络资源，或者感染病毒，这些操作的实施一般都需要调用操作系统提供的服务，因此，首要任务是对调用操作系统服务的请求进行检测，根据调用发起进程，调用进程所属用户，需要访问的主机资源等信息确定调用的合法性。同时，需要对进出主机的信息进行检测，发现非法代码和敏感信息。,入侵防御系统工作过程,入侵防御系统的不足,主机入侵防御系统是被动防御，主动防御是在攻击信息到达主机前予以干预，并查出攻击源，予以反制。另外，每一台主机安装主机入侵防御系统的成本和使安全策略一致的难度都是主机入侵防御系统的不足； 网络入侵防御系统能够实现主动防御，但只保护部分网络资源，另外对未知攻击行为的检测存在一定的难度。,入侵防御系统发展趋势,融合到操作系统中 主机入侵防御系统的主要功能是监测对主机资源的访问过程，对访问资源的合法性进行判别，这是操作系统应该集成的功能。 集成到网络转发设备中 所有信息流都需经过转发设备进行转发，因此，转发设备是检测信息流的合适之处。,8.2 网络入侵防御系统,系统结构； 信息捕获机制； 入侵检测机制； 安全策略。 网络入侵防御系统首先是捕获流经网络的信息流，然后对其进行检测，并根据检测结果确定反制动作，检测机制、攻击特征库和反制动作由安全策略确定。,系统结构,探测器1处于探测模式，需要采用相应捕获机制才能捕获信息流，探测器2处于转发模式； 探测器1只能使用释放TCP连接的反制动作，探测器2可以使用其他反制动作； 为了安全起见，探测器和管理服务器用专用网络实现互连。,信息捕获机制,利用集线器的广播传输功能，从集线器任何端口进入的信息流，将广播到所有其他端口。,利用集线器捕获信息机制,端口境像功能是将交换机某个端口（如图中的端口2）作为另一个端口（如图中的端口1）的境像，这样，所有从该端口输出的信息流，都被复制到境像端口，由于境像端口和其他交换机端口之间的境像关系是动态的，因此，连接在端口2的探测器，可以捕获从交换机任意端口输出的信息流。,信息捕获机制,利用端口境像捕获信息机制,跨交换机端口境像功能是将需要检测的端口和连接探测模式的探测器端口之间交换路径所经过交换机端口划分为一个特定的VLAN； 从检测端口进入的信息除了正常转发外，在该特定VLAN内广播。,信息捕获机制,利用跨交换机端口境像捕获信息机制,通过分类器鉴别出具有指定源和目的IP地址、源和目的端口号等属性参数的IP分组； 为这些IP分组选择特定的传输路径； 虚拟访问控制列表允许这些IP分组既正常转发，又从特定传输路径转发； 通过特定传输路径转发的IP分组到达探测器。,信息捕获机制,虚拟访问控制列表,入侵检测机制,攻击特征检测 从已知的攻击信息流中提取出有别于正常信息流的特征信息； 特征信息分为元攻击特征和有状态攻击特征； 元攻击特征是单个独立的攻击特征，只要信息流中出现和元攻击特征相同的位流或字节流模式，即可断定发现攻击； 有状态攻击特征是将整个会话分成若干阶段，攻击特征分散出现在多个阶段对应的信息流中，只有按照阶段顺序，在每一个检测到指定的攻击特征才可断定发现攻击； 攻击特征只能检测出已知攻击，即提取出攻击特征的攻击行为。,协议译码 IP分组的正确性，如首部字段值是否合理，整个TCP首部是否包含单片数据中，各个分片的长度之和是否超过64KB等； TCP报文的正确性，如经过TCP连接传输的TCP报文的序号和确认序号之间是否冲突，连续发送的TCP报文序号范围和另一方发送的窗口是否冲突，各段数据的序号范围是否重叠等； 应用层报文的正确性，请求、响应过程是否合乎协议规范；各个字段值是否合理，端口号是否和默认应用层协议匹配等。,入侵检测机制,异常检测 基于统计机制，在一段时间内，对流经特定网段的信息流进行统计，如单位时间特定源和目的终端之间的流量、不同应用层报文分布等，将这些统计值作为基准统计值。然后，实时采集流经该网段的信息流，并计算出单位时间内的统计值，然后和基准统计值比较，如果多个统计值和基准统计值存在较大偏差，断定流经该网段的信息流出现异常； 基于规则机制，通过分析大量异常信息流，总结出一些特定异常信息流的规则，一旦流经该网段的信息流符合某种异常信息流对应的规则，断定该信息流为异常信息流。,入侵检测机制,异常检测的困难之处在于正常信息流和异常信息流的测量值之间存在重叠部分，必须在误报和漏报之间平衡； 根据被保护资源的重要性确定基准值（靠近A点或B点)。,入侵检测机制,安全策略,安全策略指定需要检测的信息流类别、检测机制和反制动作，对于攻击特征检测，需要给出攻击特征库； 由于攻击和应用层协议相关，因此对应不同的应用层协议存在不同的攻击特征库； 对同一类别信息流，可以指定多种检测机制，对不同检测机制检测到的攻击行为采取不同的反制动作。,8.3 主机入侵防御系统,工作流程； 截获机制； 主机资源； 用户和系统状态； 访问控制策略； Honeypot。 主机入侵防御系统主要用于防止对主机资源的非法访问和病毒入侵，因此，必须通过访问控制策略设定主机资源的访问权限，截获主机资源的操作请求，根据访问控制策略、用户和系统状态及主机资源类型确定操作请求的合理性。,工作流程,主机入侵防御系统主要用于防止非法访问和病毒入侵； 只允许对主机资源的合法操作正常进行。,必须截获所有调用操作系统服务的请求，尤其是对主机资源的操作请求，如读写文件、修改注册表等。,判别某个操作请求的合法性，判别的依据是访问控制策略、操作对象和类型、请求进程及进程所属的用户、主机系统和用户状态等。,只允许操作系统完成合法的操作请求。,截获机制,修改操作系统内核 通过修改操作系统内核，可以根据特权用户配置的资源访问控制阵列和请求操作的用户确定操作的合法性，为了安全，可以对请求操作的用户进行身份认证。 拦截系统调用 用户操作请求和操作系统内核之间增加检测程序，对用户发出的操作请求进行检测，确定是合法操作请求，才提供给操作系统内核。 网络信息流监测 对进出主机的信息流实施监测，防止病毒入侵，也防止敏感信息外泄。,拦截系统调用和进出主机的息流的过程,截获机制,主机资源,主机资源是需要主机入侵防御系统保护的一切有用的信息和信息承载体，包括如下： 网络； 内存； 进程； 文件； 系统配置信息。,用户和系统状态,主机位置信息 主机位置和主机的安全程度相关，也影响着主机入侵防御系统对主机的保护力度。确定主机位置的信息有：IP地址、域名前缀、VPN客户信息等。 用户状态信息 不同用户的访问权限不同，用户身份通过用户名和口令标识，用户状态信息给出用户登录时的用户名。口令等。 系统状态信息 系统安全状态，目前设置的安全等级、是否配置防火墙。是否安装放病毒软件，是否监测到黑客攻击等。 用户和系统状态确定主机入侵防御系统对主机资源的保护方式和力度。,访问控制策略,访问控制策略用于确定操作请求是否进行； 访问控制策略将用户位置、系统状态和资源访问规则结合在一起； 用户位置给出标识用户终端所在位置的信息，如IP地址； 系统状态给出终端的安全状态； 资源访问规则对应不同用户、不同访问请求发起者、不同资源定义了允许对资源进行的访问操作和违反规则所采取动作。,Honeypot,Honeypot是一个伪装成有丰富资源的的应用服务器，用户通过正常访问过程是无法访问到的，因此，对Honeypot进行访问的往往是攻击程序； Honeypot的作用是对资源访问过程进行严密监控，提取访问者的特征信息，如侦察行为特征、渗透行为特征及攻击行为特征等； Honeypot详细记录下访问过程中的每一个操作，以便今后分析； 总之，Honeypot就像是一个四处安装监控器，没有任何盲区的房间，可以在犯罪分子没有觉察的情况下，察看他们的尽情表演，以此了解他们犯罪过程中的每一个细节。,计算机网络安全,第九章,第9章 网络管理和监测,SNMP和网络管理； 网络综合监测系统。 网络管理是保证网络正常运行的必要手段，网络管理过程中需要在网络管理工作站和网络结点之间传输命令和响应消息，这些消息的正确传输是网络管理工作正常进行的基础。真正的安全控制需要监测到网络上发生的一切事情及这些事情对网络安全的影响，网络综合监测系统就用于实现这一点。,9.1 SNMP和网络管理,网络管理系统结构； SNMPv1基本功能； SNMPv1缺陷； SNMPv3的安全机制。 网络管理包含对网络设备的配置、网络运行情况的监测、故障诊断和恢复、网络安全状态的监测和控制等，实现网络管理需要多个系统协调工作，系统之间需要相互交换命令和响应，必须对这些消息的发送者进行认证，对消息的完整性进行检测。,网络管理系统结构,网络结点，如交换机、路由器和终端； 一个网络结点通常寄生一个管理代理，由管理代理管理被管理对象； 网络结点分解为多个被管理代象，如交换机被分解为多个交换机端口。每一个交换机端口就是一个被管理对象； 网络管理工作站负责向管理代理发送命令，并接收被管理代理发送的响应，以此生成网络设备配置情况、流量分布情况等，以用户友好界面提供给用户； 网络管理工作站通过网络管理协议和被管理代理交换命令和响应。,网络管理系统结构,SNMPv1基本功能,SNMP的功能是在管理工作站和管理代理之间传输命令和响应； GET、GET NEXT、SET命令用于查询和配置被管理代象；Trap命令用于管理代理主动报告发生在被管理对象上的变化； GET Resp用于管理代理发送被管理对象的状态； 管理工作站的身份需要认证，命令和响应消息的完整性需要检测。,SNMPv1的缺陷,安全问题 管理工作站需要事先授权管理指定被管理对象和对被管理对象实施的操作； 管理代理在执行管理工作站发送的命令前，需要核对管理工作站的权限，是否具有向指定被管理对象进行命令指定操作的权限； SNMPv1用共同体绑定权限，通过检查用明文方式包含在SNMP消息中的共同体来确定SNMP消息指定的操作是否超越权限； 对被管理对象的操作直接影响网络的运行，这样简单地判别操作的合法性将严重影响网络的安全。,只能集中管理，不能构成分布式的网络管理系统； 安全性、可靠性和管理工作站的负荷都成问题。,SNMPv1的缺陷,SNMPv3的安全机制,网络管理工作站和某个网络结点共享密钥K； 网络管理工作站用密钥计算消息认证码，将消息认证码附在SNMP消息后面发送给网络结点； 网络结点同样用密钥再次计算消息认证码，并于附在SNMP消息后面的消息认证码比较，如果相等，发送者身份得到确认； 用消息认证码完成消息完整性检测。,网络管理工作站操作过程,网络结点确认过程,发送端通过DES加密算法对SNMP消息进行加密； 接收端通过DES解密算法对密文进行解密。,SNMPv3的安全机制,发送端加密消息过程,接收端解密消息过程,防中继攻击（重放攻击） 中继攻击（也称重放攻击）是指黑客截获SNMP消息后，延迟一段时间，再予以转发，在延迟时间中，可能网络工作站对某个网络结点的配置已经发生改变，或者网络结点报告的事件已经结束，因此，将已经失效的配置命令发送给网络结点，或者，将已经结束的事件通报给网络工作站，可能严重影响网络的正常运行； 鉴别中继攻击的方法是对SNMP消息的传输时间进行限制，对发送时间和接收时间之间的差值设置阈值； 为了同步，需要在发送给对方的SNMP消息中，用和对方时钟同步的时间作为发送时间。,SNMPv3的安全机制,不同的认证者使用不同的密钥； 用单一用户口令产生不同的、和认证者对应的密钥。,SNMPv3的安全机制,密钥生成过程,9.2 网络综合监测系统,网络综合监测系统功能； 网络综合监测系统实现机制； 网络综合监测系统应用实例。 网络综合监测系统的目标是监测网络上发生的一切事情，并对这些事情对网络运行和网络安全的影响作出评估。,网络综合监测系统功能,自动获悉网络中存在的一切设备； 自动获悉网络的资源访问模式和信息流分布情况； 自动监控网络用户通过Internet下载软件的过程； 自动获悉终端和服务器使用的软件的类型和版本，安全状态； 自动进行入侵检测并跟踪入侵者； 主动提示网络安全漏洞； 以友好界面向用户提供整个网络的设备情况、运行情况、安全情况等。,网络综合监测系统实现机制,探测网络中终端和服务器使用的软件和安全状态 主动探测机制； 被动探测机制。 集成SNMP网络管理系统 集成防火墙功能 集成入侵防御系统功能 策略配置和关联检索,网络综合监测系统应用实例,监测网络安全漏洞 配置安全策略； SNMP代理通报新发现的主机； 探测主机软件的类型或版本； 隔离存在安全漏洞的主机。,禁止访问非法网站 配置安全策略； 防火墙通报HTTP请求报文； 定位访问非法网站的终端； 隔离访问非法网站的终端。,网络综合监测系统应用实例,监测蠕虫病毒传播过程 网络入侵防御系统发现端口扫描侦察； 定位发起攻击的主机并采取相应措施； 发出安全警告； 加强内部网络安全监测。,网络综合监测系统应用实例,监测网络性能瓶颈 监测过载结点； 分析流量组成； 限制终端流量。,网络综合监测系统应用实例,计算机网络安全,第10章,第10章 安全网络设计实例,安全网络概述； 安全网络设计和分析。 安全网络是能够保障信息安全目标实施的网络系统，是一个能够保证授权用户实现访问权限内网络资源访问过程的网络系统，是一个能够抵御并反制黑客任何攻击的网络。,10.1 安全网络概述,安全网络设计目标； 安全网络主要构件； 网络资源； 安全网络设计步骤。 给出设计一个安全网络的基本原则、过程和方法。,安全网络设计目标,能够有效防御来自内部和外部的攻击； 能够对网络资源的访问过程实施有效控制； 能够对用户行为进行有效监控； 能够对网络运行状态进行实时监测； 能够对网络性能变化过程和原因进行跟踪、分析； 能够安全传输机密信息。,安全网络主要构件,接入控制和认证构件； 分组过滤和速率限制构件； 防火墙； 入侵防御系统； VPN接入构件； 认证、管理和控制服务器。,网络资源,网络设备； 网络操作信息； 链路带宽； 主机系统； 在网络中传输的信息； 用户私密信息。,安全网络设计步骤,确定需要保护的网络资源； 分析可能遭受的攻击类型； 风险评估； 设计网络安全策略； 实现网络安全策略； 分析和改进网络安全策略。,安全网络设计和分析,安全网络系统结构； 网络安全策略； 网络安全策略实现机制。 通过一个具体的、具有实用价值的安全网络的设计和分析过程，了解安全网络设计的基本原则、方法和过程。,安全网络系统结构,安全网络结构,网络分成内网、外网和非军事区三部分，非军事区提供公共服务； 交换机等接入设备完成对接入用户的认证； 安全工作主要针对内部网络资源展开，由防火墙负责控制内部网不同VLAN之间的信息传输过程，限制外网终端对内部网络资源的访问，允许授权终端通过建立第2层隧道接入内部网络； 网络入侵防御系统对进出重要终端和服务器的信息流进行检测； 主机入侵防御系统对访问重要终端和重要服务器中资源的过程实施严密监控； 网络管理系统及时反馈网络运行情况给管理员。,安全网络系统结构,网络安全策略,允许内部网络终端发起对Internet的访问，但只能访问外部网络中的Web和FTP服务器； 允许内部网络终端发起对非军事区中的Web和E-MAIL服务器的访问； 允许外部网络（非信任区）终端发起对非军事区中的Web和E-MAIL服务器的访问； 只允许内部网络终端访问内部网络中的服务器，但允许内部员工通过第2层隧道经外部网络访问内部网络中的FTP服务器； 内部网络终端接入内部网络