网络工程师网络安全.ppt

第六章网络安全 应用层安全协议 S HTTP S HTTP 安全的超文本传输协议 是一个面向报文的安全通信协议 是HTTP协议的扩展其设计目的是保证商业贸易信息的传输安全 促进电子商务的发展然而由于SSL的迅速出现 S HTTP未能得到广泛的应用 PGP 1991年开发的电子邮件加密软件包使用最为广泛的电子邮件加密软件 其原因 能够在各种平台上免费使用基于比较安全的加密算法具有广泛的应用领域 既可用于加密文件 也可用于个人安全通信不是由政府或标准化组织开发和控制的PGP提供两种服务 数据加密和数字签名PGP使用RSA公钥证书进行身份认证使用IDEA进行数据加密使用MD5进行数据完整性验证PGP证书格式的特点是单个证书可能包含多个标签 S MIME 是RSA数据安全公司开发的软件提供的安全服务有 报文完整性验证 数字签名和数据加密 安全的电子交易 SET 是一个安全协议和报文格式的集合SET提供以下3种服务 在交易涉及的各方之间提供安全信道使用X 509数字证书实现安全的电子交易保证信息的机密性 SET交易过程 客户在银行开通了VISA银行帐户客户收到一个数字证书第三方零售商从银行收到了自己的数字证书 其中包含零售商的公钥和银行的公钥客户通过网页或电话发出订单客户通过浏览器验证了零售商的证书 确认零售商是合法的浏览器发出定购报文 这个报文是通过零售商的公钥加密的 而支付信息是通过银行的公钥加密的零售商检查客户的数字证书以验证客户的佥性零售商把订单信息发给银行银行验证零售商和定购信息银行进行数字签名 零售商就可以签署订单了 Kerberos 是一项认证服务解决的问题是 在公开的分布式环境中 工作站上的用户希望访问颁布在网络的服务器 希望网络服务器能限制授权用户的访问有两个Kerberos版本很常用 第4版和第5版 网络安全级别 1983年美国国防部发表的 可信计算机标准评价准则 把计算机安全等级分为4类7级 D级 最低安全保护级 不设置任何安全保护措施 软硬件都容易被侵袭 DOS WINDOWS95 98C1级 选择性安全保护级 对硬件采取简单的安全措施 用户要有登录认证和访问权限限制 但不能控制已登录用户的访问级别 早期的UNIX NETWARE3 0以下版本系统C2级 访问控制环境保护级 比C1级增加了几个特征 如系统审计 安全事件等 UNIX NETWARE3 X及以上 WINDOWSNT 网络安全级别 续 B1级 标记安全保护级 支持多级安全 该级别是支持秘密 绝密信息保护的第一个级别 主要为政府机构和防御承包商B2级 结构化安全保护级 对系统中所有对象都加上标记 并给各设备分配安全级别B3级 安全域级 要求用户工作站或终端通过可信任途径连接网络系统A级 验证设计安全级 是最高安全级 包含了低级别所有的特征 防火墙 防火墙可由计算机硬件和软件系统组成内部网和外部网进行互连时 必须使用一个中间设备 这个中间设备可以是专门的互连设备 如路由器或网关 也可以是网络中的某个节点这个中间设备至少具有两个物理链路 一条通往外部网络 一条通往内部网络 防火墙的作用是防止不希望的 未授权的通信进出受保护的网络 从而使机构强化自己的网络安全政策 防火墙的发展 第一代防火墙 1983年出现 几乎是与路由器同时问世的 它采用了包过滤技术 也可称为包过滤防火墙第二代防火墙 应用型防火墙 代理防火墙 的初步结构第三代防火墙 1992年USC开发出了基于动态包过滤技术的第三代防火墙 即目前所说的状态检测防火墙第四代防火墙 具有安全操作系统的防火墙第五代防火墙 自适应代理防火墙技术 防火墙的基本类型 包过滤防火墙 又被称为访问控制列表 可以与路由器集成 也可以用独立的包过滤软件实现应用网关防火墙 在网关上执行一些特定的应用程序和服务器程序 实现协议过滤和转发功能 工作在应用层代理服务防火墙 使用代理技术来阻断内部和外部网络之间的通信 其基本策略为 不允许外部连接到内部安全网络允许内部主机使用代理服务器访问Internet只有那些认为 可以信赖的 代理服务才允许通过 状态检测防火墙 也叫自适应防火墙或动态包过滤防火墙 通过状态检测技术动态记录 维护各个连接的协议状态 并在网络层和IP之间插入一个检查模块 对IP包的信息进行分析检测 以决定是否允许通过防火墙自适应代理技术 整合动态包过滤防火墙和应用代理技术 本质上是状态防火墙 防火墙的基本类型 防火墙的设计 设计原则 由内到外 由外到内的业务流均要经过防火墙只允许本地安全策略认可的业务通过防火墙 实行默认拒绝原则严格限制外部网络的用户进入内部网络具有透明性 方便内部网络用户 保证正常的信息通过具有抗穿透攻击能力 强化记录 审计和报警 防火墙的网络拓扑结构 屏蔽路由器 又称包过滤路由器 对进出内部网络的所有信息进行分析 并按照一定的安全策略进行限制 使用一台过滤路由器来实现双宿主主机 是包过滤网关的一种替代 由一台至少装有两块网卡的保垒主机作防火墙 保垒主机的IP转发功能被禁止 通过提供代理服务来处理请求 实现了 默认拒绝 策略 但容易成系统瓶颈 防火墙的网络拓扑结构 主机过滤结构 是包过滤和代理的结合 它由一台过滤路由器与外部网络相连 再通过一个可提供安全保护的主机 保垒主机 与内部网络连接 通常在路由器上设立过滤规则 并使这个堡垒主机成为唯一可以从外部网络直接到达的主机 确保内部网络不受未被授权的外部用户的攻击 防火墙的网络拓扑结构 屏蔽子网结构 是双宿主主机和被屏蔽主机的变形 在主机过滤结构中又增加了一个额外的安全层次而构成的 在内部网络和外部网络之间建立一个被隔离的子网 用两台过滤路由器将这一子网分别与内部网络和外部网络分开 防火墙的功能 网络安全的屏障强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄安全策略检查实施NAT的理想平台 防火墙的局限性 不能防范内部人员的攻击不能防范绕过它的连接不能防御全部威胁不能防御恶意程序和病毒 个人防火墙 是应用程序级的 个人防火墙的特点 优点 增加了保护功能易于配置缺点 端口通信受限集中管理比较困难性