网络应用安全技术.ppt

网络应用安全,本章主要介绍： 1. 因特网安全概述 2. 反垃圾邮件技术 3. 网页防篡改技术 4. 反网络钓鱼技术 5. 内容过滤技术,因特网安全概述,因特网上的安全隐患 因特网的脆弱性及其根源,反垃圾邮件技术,垃圾邮件: (1)收件人无法拒收的电子邮件; (2)收件人事先没有提出要求或同意接收的宣传性质的邮件; (3)含有不良或有害信息的邮件; (4)隐藏发件人身份、地址、标题等信息的邮件; (5)含有虚假的信息源、发件人、路由等信息的电子邮件;,反垃圾邮件技术,垃圾邮件的根源: smtp协议邮件交换流程： 发送方(s):helo : 接收方(r): 250 ok s: mail from: r: 250 ok s: rcpt to: r: 250 ok s: data r: 354 start mail input; end with . s: this is a test. s: . r: 250 ok,反垃圾邮件技术,邮件过滤技术: (1)黑名单 (2)白名单 (3)简单的关键字过滤 (4)简单的dns测试 (5)实时黑名单 (6)指纹识别技术 (7)基于规则的过滤技术 (8)贝叶斯过滤技术 (9)分布式适应性黑名单,反垃圾邮件技术,smtp协议的改进: (1)反向查询 (2)senderid检查技术 (3)dkim技术 (4)fairuce技术 (5)密码技术,反垃圾邮件技术,邮件服务器的安全管理: (1)smtp身份认证 (2) 过滤 (3)安全审计,反垃圾邮件技术,邮件客户端的安全管理: (1)邮件客户端的选择 (2)邮件客户端的使用,网页防篡改技术,网页篡改技术 利用木马程序 通过窃听或暴力破解获得管理员权限 病毒 利用管理漏洞,网页防篡改技术,网页防篡改技术 阻止黑客侵入 1.加强操作系统安全性 2.限制管理员权限 3.防止恶意http请求 阻止黑客侵入后篡改 1.轮询检测 2.时间触发技术 3.核心内嵌技术,网络防篡改技术,网页防篡改产品,网络反钓鱼技术,网络钓鱼技术特点 1.迷惑性 2.目标性 3.短暂性 4.动态性,网络反钓鱼技术,网络钓鱼常用手段 1.利用垃圾邮件和社会工程 2.利用假冒网上银行、网上证券网站 3.利用虚假电子商务网站 4.利用计算机病毒,网络反钓鱼技术,网络钓鱼的应对措施 服务器端： 1.提高用户安全意识 2.及时处理用户反馈，积极打击假冒网站等违法行为 3.采用技术手段增加网络钓鱼的难度 4.建立动态安全体系，防止服务器被攻击者利用 客户端： 1.不要点击电子邮件中的链接 2.使用无效认证信息登录可疑站点 3.妥善选择和保管密码 4.防范黑客或病毒入侵计算机 5.积极进行举报,内容过滤技术,内容过滤 过滤互联网请求 过滤流入的内容 过滤流出的内容 内容过滤的目的 阻止不良信息 规范用户行为 防止敏感数据泄露 遏制垃圾邮件 减少病毒危害,内容过滤技术,内容过滤常用技术 基于源的过滤技术 dns过滤 ip包过滤 url过滤 基于内容的过滤 内容分级审查 关键字过滤 启发式内容过滤 机器学习技术,web上威胁的比较,web安全策略制定原则,1基本原则 每个web站点都应有一个安全策略，在制定安全策略之前，首先应当先做威胁分析： （1）有多少外部入口点存在，能想象到什么威胁？ （2）威胁来自网络内部还是网络外部？威胁来自黑客还是有知识的入侵者？ （3）入侵者将访问哪些数据库、表、目录或信息？ （4）威胁是网络内部的非授权使用还是移动数据？ （5）数据被破坏还是受到了攻击，或是网络内外非授权的访问、地址欺骗、ip欺骗、协议欺骗等等？,web安全策略制定原则,2服务器记录原则 大多数web服务器记录它们收到的每一次联接和访问。这个记录通常包括ip地址和主机名。如果站点采取任何形式的验证系统，服务器也会记录用户名。如果用户在逗留期间填写任何表格，该表格下所有变量的值都会被记录在案。请求的状态、传递数据的大小、用户e-mail地址等都会被记录下来。一些浏览器和服务器一样，甚至也能提供如有关使用中的浏览器、url、客户从哪里来以及用户的e-mail地址等信息。这些记录对于分析服务器的性能，发现和跟踪黑客袭击是有用的。,web安全策略制定原则,web与电子商务的安全关系 对web服务器的安全威胁 对web浏览客户机的安全威胁 对服务器和客户机之间通信信道的安全威胁,配置web服务器的安全特性,ssl的应用,配置web服务器的安全特性,基于ssl的应用层协议端口,配置web服务器的安全特性,数字证书及ssl的应用 证书服务 证书申请 证书应用,监视控制web站点出入情况,为了防止和追踪黑客闯入和内部滥用，需要对web站点上的出入情况进行监视控制。 监控请求 服务器日常受访次数是多少？受访次数增加了吗？ 用户从哪里连接的？ 一周中哪天最忙？一天中何时最忙？ 服务器上哪类信息被访问？哪些页面最受欢迎？每个目录下有多少用户访问？ 访问站点的是哪些浏览器？与站点对话的是哪种操作系统？ 更多的选择哪种提交方式？ 测算访问次数 确定站点访问次数。描述了站点上文件下载的平均数目。 确定站点访问者数目。显然，将访问次数与主页文件联系在一起时，该数字接近于某个时期内访问者数目，但也不是百分之百的准确。,其它服务技术,dns服务的安全性 ddos隐患 缺省设置: 一个域名服务器允许远程主机向它查询其他域(它本身并不管理这些域)的域名，即允许递归查询. 查询过程:,其它服务技术,利用递归查询实施ddos攻击:,其它服务技术,建议:禁止来自其它主机的递归查询，只允许从信任主机或网络查询，避免成为攻击的工具。 named.conf： acl “trusted“ /24,/16 ; options directory “/var/named“; pid-file “named.pid“; recursion yes; allow-recursion trusted; ; 允许trusted的ip集合进行递归查询； allow-transfer trusted; ; 允许trusted的ip集合进行域名查询； ;,其它服务技术,ftp服务的安全性 帐户管理(匿名) 权限管理(下载/上传) 主动模式/被动模式与防火墙规则 主动：客户端从一个任意的非特权端口n(n=1024)连接到ftp服务器的命令端口21; 客户端开始监听端口n1，并发送ftp命令“port n1”到ftp服务器。服务器从它自己的数据端口(20)连接到客户端指定的数据端口n1。 被动：开启一个ftp连接时，客户端打开两个任意的非特权本地端口(n=1024和n1)。第一个端口连接服务器的21端口，但与主动方式的ftp不同，客户端不会提交port命令并允许服务器来回连它的数据端口，而是提交pasv命令。这样做的结果是服务器会