《Web安全技术》PPT课件.ppt

第九章 Web安全技术 主要内容 qIP安全技术 qE-mail安全技术 q安全扫描技术 q网络安全管理技术 q身份认证技术 qVPN技术 1. IP安全技术 q目前常见的安全威胁 v数据泄漏 在网络上传输的明文信息被未授权的组织 或个人所截获，造成信息泄漏。 v数据完整性的破坏 确保信息的内容不会以任何方式被修改， 保证信息到达目的地址时内容与源发地址时内容一致。 v身份伪装 入侵者伪造合法用户的身份来登录系统， 存取只有合法用户本人可存取的保密信息。 v拒绝服务 由于攻击者攻击造成系统不能正常的提供 应有的服务或系统崩溃。 解决的方案： 加密：防止Sniffer的侦听和篡改。 验证：防止简单的身份伪装和拒绝服务攻击。 为了实现IP网络的安全，IETF提出了一系列的 协议，构成典型的安全体系IPSec（ IPSecurity Protocol）。 在RFC中，RFC1825（Internet协议安全体系 结构）、RFC1826（IP鉴别头：AH）、 RFC1827（IP封装安全载荷：ESP）。 IPSec安全体系结构 v 安全体系结构 包含了一般的概念、安全需求、定义和定义IPSec的技术机 制。 v AH 将每个数据包中的数据和一个变化的数字签名 结合起来， 共同验证发送方身份是的通信一方能确认发送数据的另一方 的身份，并能够确认数据在传输过程中没有被篡改，防止受 到第三方的攻击。 v ESP 提供了一种对IP负载进行加密的机制，对数据包上的数据另 外进行加密。 v IKE 一种协商协议，提供安全可靠的算法和密钥协商，帮助不同 结点之间达成安全通信的协定，包括认证方法、加密方法、 所有的密钥、密钥的使用期限等。 一个IP安全性的方案 qIPSec的好处 v当在防火墙或路由器中实现IPSec时，IPSec 提供了强大的安全性，能够应用到所有穿越边界 的数据通信量上。 v防火墙内部的IPSec可以抵制旁路。 vIPSec在传输层一下，对于应用程序是透明的 。 vIPSec可以对终端用户是透明的，操作简单。 vIPSec可以为单个用户提供安全性。 AHESP（只加密） ESP（加密并鉴别） 访问控制 无连接完整性 数据源的鉴别 拒绝重放的分组 机密性 有限的通信量的 机密性 qIPSec的服务 2. E-mail安全技术 q垃圾邮件 包括广告邮件、骚扰邮件、连锁邮件、反动 邮件等。 q安全电子邮件技术 v利用SSL SMTP和SSL POP v利用VPN或其他的IP通道技术，将所有的 TCP/IP传输封装起 qE-mail的安全隐患 v密码被窃取 v邮件内容被截获 v附件中带有大量病毒 v邮箱炸弹的攻击 v本身设计上的缺陷 qPGP（Pretty Good Privacy） 使用单向单列算法对邮件内容进行签名，以 此保证信件内容无法被篡改，使用公钥和私 钥技术保证邮件内容保密已不可否认。 特征： v把RSA公钥体系的方便和传统加密体制高度 结合，在数字签名和密钥认证管理机制上更巧妙 地设计。 v密钥管理，采用公钥介绍机制来公布公钥信 息，防止攻击者伪造公钥发布。 功能使用的算法描述 数字签名DSS/SHA或 RSA/SHA 使用SHA-1创建的报文的散列编码 。采用 DSS或RSA算法使用发送者的私有密钥对 这个报文摘要进行加密，并且包含在报文中 报文加密CAST或IDEA 或3DES，带有 Diffie-Hellman 算法或RSA 采用CAST-128或IDEA或3DES，使用发送 者生成的一次性会话密钥对报 文进行加密 ，采用Diffie-Hellman或RSA，使用接收方的 公开密钥对 会话密钥进 行加密并包含在报 文中 压缩ZIP报文可以使用ZIP进行压缩 ，用于存储或传 输 电子邮件兼 容性 64基转换为了提供电子邮件应用的透明性，加密的 报文可以使用64基转换 算法转换 成ASCII字 符串 分段为了满足最大报文长度的限制，PGP完成 报文的分段和重新装配 PGP服务 qPGP的安全 v针对私钥的攻击 l 对私钥数据的访问； l 对用于加密每个私钥的秘密通行短语（ passphrase）的了解。 v针对公钥的攻击 l 修改公钥中的签名，并且标记它为公钥中已经 检查过的签名，使得系统不会再去检查它。 l 针对PGP的使用过程，修改公钥中的有效位标 志，使一个无效的密钥被误认为有效。 3.安全扫描技术 q基本原理 采用模拟黑客攻击的形式对目标可能存在的 已知的安全漏洞进行逐项检查，然后根据扫 描结果向系统管理员提供周密可靠的安全性 分析报告，为网络安全的整体水平产生重要 的依据。 v基于主机的安全扫描 v基于网络的安全扫描 系统安全扫描的工作原理 安全 管理员 q基于主机的安全扫描 针对操作系统的扫描检测，采用被动的，非破坏性 的办法对系统进行检测。 扫描工具安装在需扫描的主机上。 q基于网络的安全扫描 采用积极的、非破坏性的办法来检测系统是否有可 能被攻击崩溃，利用一系列的脚本模拟对系统进行 攻击的行为，然后对结果进行分析。 通过网络远程探测其他主机的安全风险漏洞，安装 在整个网络环境中的某一台机器上。 4.网络安全管理技术 q基本概念 是指对所有计算既往拉应用体系中各个方面 的安全技术和产品进行统一的管理和协调， 进而从整体上提高整个计算机网络的防御入 侵、抵抗攻击的能力的体系。 v技术 v安全管理方针 v管理制度和安全人员 q现代网络安全管理技术 需要达到的目标： v实现各类计算机安全技术、产品之间的协调 和联动，实现有机化； v充分发挥各类安全技术和产品的功能； v真体安全能力大幅度提高； v实现计算机安全手段与现有计算机网络应用 系统的一体化。 安全知识培训安全知识培训 网络设备组件的加固与维护网络设备组件的加固与维护 日常检测日常检测漏洞漏洞/ /异常攻击事故报告异常攻击事故报告 应急事故恢复应急事故恢复 安全中心安全中心风险分析风险分析 制定制定/ /实施实施/ /维护安全策略维护安全策略 基于角色的培训 安全动态知识长期培训 主机保护产品 组件加固服务 网络入侵检测产品 漏洞扫描产品 应急服务小组 攻防实验室 安全分析工程师 安全知识数据库维护 整体安全解决方案 5. 身份认证技术 q原理 身份认证是安全系统中的第一道关卡，用户 在访问安全系统之前，首先经过身份认证系 统识别身份，然后访问监控器，根据用户的 身份和授权数据库决定是否能够访问某个资 源。 q单机状态下的身份认证 v用户所知道的； v用户所拥有的； v用户所具有的； q网络环境下的身份认证 v一次性口令技术 如：S/KEY。 vPPP中的认证协议 l密码验证协议PAP（Password Authentication Protocol） l挑战握手认证协议CHAP（Challenge Handshake Authentication Protocol） lPPP扩展认证协议EAP（Extensible Authentication Protocol） 6.1 VPN技术 q含义 VPN(Virtual Private Network)，虚拟专用网 在公共网络中，通过隧道和/或加密技术进行 PN(Private Network)业务的仿真 VPN业务在公共网络中保证私有数据的安全性 、专有性 同时提供可管理性、扩展性和灵活性 qVPN的目的 对于运营商 q利用现有网络设施，充分共享资源 q在现有网络上提供增值服务 q扩大其业务量 对于客户 q将繁重的网络维护工作交由运营商管理 q比自建独立的小型网络更为便宜 qVPN原理 qVPN的功能 v可以替换现有的专用网网段或子网。 v通过把特定应用分离出来满足相应需求，为 专用网络提供有益的补充。 v不影响现有专用网的情况下，处理新应用。 v增加新位置，特别是国际性网站。 qVPN的分类 按企业的组网方式可分为三大类： vAccess VPN(远程访问VPN) vIntranet VPN(企业内部VPN) vExtranet VPN (扩展的企业内部VPN) Access VPN qAccess VPN的优点 v减少费用，优化网络 v实现本地拨号介入的功能来取代远距离接入 或800电话接入，能降低远距离通信费用 v极大的可扩展性，方便对加入网络的新用户 进行调度 v节省劳动力 Intranet VPN qIntranet VPN的优点 v减少WAN带宽的费用 v能使用灵活的拓扑结构，包括全网孔连接 v新的站点能更快、更容易地被连接 v通过设备供应商WAN的连接冗余，可以延长 网络的可用时间 Extranet VPN qExtranet VPN的优点 能容易地对外部网进行部署和管理，外部网 的连接可以使用与部署内部网和远端访问VPN相 同的架构和协议进行部署。 6.2 VPN实现技术 qVPN实现技术 v 隧道技术(Tunneling) v 加解密技术(Encryption &Decryption) v QoS技术(Quality of Service) q隧道技术(Tunneling) q加解密技术(Encryption&Decryption) 目前业界和市场上针对网络传输的加密技术产品分 为两大类： q逐链加密方式：针对链路层加密，市场上相关产品有 X.25专线加密机、DDN数据加密机等。 qIPSec加密机制：运行在网络层，以传输方式和隧道 方式进行配置，前者适用于两端点之间的IP层加密，后者 适用于两个网关之间构成一条加密隧道，可以是非IP协议 。 qQoS技术(Quality of Service) q 带宽：网络提供给用户的传输率。 q 反应时间：用户所能容忍的数据报传递 延时。 q 抖动：延时的变化。 q 丢失率：数据包丢失的比率。 6.3 VPN应用方案1 客户网络现状 q 企业总部网络有大约20台终端，使 用一台双网卡的Windows 2000服务 器作为网关，并采用ADSL方式接入 Internet q 15个办事处有一台计算机，使用电 话拨号上网 q 3个办事处有一台计算机，但使用小 区宽带上网 q 5个办事处有2到3台计算机，组成一 个小局域网并通过ISDN接入路由共 享上网 客户需求 q 每个办事处需要有一台终端能够接 入总部局域网 q 不改变总部局域网现有网络结构 q 有足够的网络安全性保障 q 尽量节约网络建设费用，并要求系 统具备良好的可升级能力 方案对比 对对比项项目远远程拨拨号远远程访问访问 VPN 初期设备 投入拨号服务器、中继线VPN网关 VPN客户端软件 日常通讯费 用长途电话费市话费 +Internet通讯费 通讯速率只能到56kbps根据客户端接入Internet的 方式决定，最低为56kbps 并发访问 数量限制受限于电话 中继 线的数量 无 管理复杂度需要一定的日常维护 管理 一次性配置，日常基本无 需管理 通讯加密不加密根据需要，可选择 加密强 度 网络拓扑图 小结 q这种方案能够保证企业异地办事机构的终端 用户、在家办公的员工以及出差的员工能够 随时通过Internet安全地接入企业内部网络并 使用所有的内部网络资源； q在网络规模方面，只要求总部有比较完善的 网络环境，对公司分支机构的网络环境要求 不高； q可以方便地对用户进行访问权限管理。 6.4 VPN应用方案2 客户需求 q总部在广州，全