网络对抗6-安全体系结构和网络安全组建.ppt

安全体系结构和模型 6 1 安全问题出自内部漏洞 网络防御就是堵住所有漏洞 抓住漏网黑客 第3章安全体系结构和模型 安全体系结构和模型 6 2 安全漏洞可能由以下因素引起 网络物理连接网络电磁耦合网络设备的操作系统网络设备的应用程序网络中的数据库网络用户行为 安全体系结构和模型 6 3 网络物理连接与外界连通就有合法者进来 要避免非法者进来网络电磁耦合没有物理连通 但通过电磁辐射可以接收 通过电磁干扰和耦合可以注入网络设备的操作系统有合法者使用 要避免非法者偷用网络设备的应用程序有合法者使用 要避免非法者偷用网络中的数据库有合法读写 要避免组合分析和非法读写网络用户行为 内联 全内部域 专线DDN帧中继 内部域 内部专用 内部域 相对比较安全 内联 通过外部域 内部域 相对不安全 专线DDN帧中继 外部租用 外联 内部网与外部网互连 内部域 外部域 外部域 相对更不安全 HackCrack 黑客 安全体系结构和模型 6 7 要 上锁 提前消除漏洞要 检查 及时发现漏洞要 监视 及时发现入侵者 漏洞是不可避免的 积极防御包括 网络安全防护网络安全评估网络安全监测用假目标欺骗 安全体系结构和模型 6 8 3 1OSI安全体系结构 安全机制 安全机制 安全机制 安全服务 安全威胁 网络应用 安全体系结构和模型 6 9 1 对等实体鉴别服务2 数据源鉴别服务3 访问控制服务4 连接保密服务5 无连接保密服务6 选择字段保密服务7 业务流保密服务8 可恢复连接完整性服务9 无恢复连接完整性服务10 选择字段连接完整性服务11 无连接完整性服务12 选择字段无连接完整性服务13 带源验证的来源不可否认服务14 带交付验证的交付不可否认服务 OSI规定14种服务和8种机制 安全体系结构和模型 6 10 1 加密 2 伪装业务流 3 数字签名 4 数据完整性 5 身份鉴别 通信对方鉴别 单方鉴别 互相鉴别 数据发方鉴别 6 访问控制 7 路由控制 8 第三方公证 OSI规定14种服务和8种机制 安全体系结构和模型 6 11 使安全机制和安全服务能够正常发挥作用 支持安全审计和追踪 安全管理 安全体系结构和模型 6 12 3 2动态自适应的安全模型 安全策略 安全防护 安全检测 安全响应 安全体系结构和模型 6 13 3 4六层网络安全体系 链路安全 物理安全 环境安全 设备安全 介质安全 网络级安全 信息安全 传输安全 存储安全 安全审计 应用安全 传输安全 存储安全 安全审计 用户安全 安全体系结构和模型 6 14 3 5基于六层体系的网络安全方案 1 物理安全保障2 数据链路安全保障3 网络访问安全保障4 身份认证体系5 漏洞扫描和安全评估6 入侵检测和病毒防护7 审计 追踪 取证8 主机系统安全9 桌面应用安全10 应急响应和灾难恢复 安全体系结构和模型 6 15 基于TCP IP的安全体系结构 SSL安全套接字层IPsec加密的IP 安全体系结构和模型 6 16 物理通信网 链路层通信安全机制 IP加密解密防火墙的安全控制与过滤及IPsec IP路由选择数据报 加密解密及网络安全控制与过滤 SSL TCP UDP 商业事务 FTP SMTP TELNET NFS DNS SNTP 安全 服务器 安全 服务器 审计与记录 1 2 3 4 5 安全体系结构和模型 6 17 安全套接字层协议 SSL 安全套接字层协议是美国Netscape公司于1996年推出的一种著名安全协议 此协议是一个建立在TCP IP协议之上提供客户和服务器双方网络应用安全通讯的开放式协议 SSL协议建立在传送层和应用层之间 由记录协议和握手协议组成 其中记录协议在握手协议下端 SL记录协议主要完成分组和组合 压缩和解压缩 以及消息认证和加密等功能 加密过程如图1所示 解密过程如图2所示 安全体系结构和模型 6 18 安全套接字层协议 SSL 图1加密过程 图2解密过程 安全体系结构和模型 6 19 安全套接字层协议 SSL SSL握手协议描述安全连接建立的过程 在客户和服务器传送应用层数据之前 完成加密算法 密钥加密密钥算法的确定 以及交换预主密钥 并最后产生相应的客户和服务器MAC秘密 会话加密密钥等功能 协议由下面不同的连续过程组成 安全体系结构和模型 6 20 要堵住所有漏洞 补充网络的安全组建 安全体系结构和模型 6 21 合理划分网段网络层隔离多用交换机少用集线器避免共享网段管好映射监测端口telnet划分VLAN避免共享限制广播域管好VLAN设置telnet 1 局域网中减少共享 安全体系结构和模型 6 22 2 广域网的拓扑安全 局域网划分网段 MAC层还是全互通的解决办法 构建广域网采用设备 网桥 路由器 网关路由器弱点 篡改路由路由表被修改telnet错误的路由信息报文 RIP传播快静态路由OSPF较安全 错误可及时纠正 外联 经防火墙互连 内部域 防火墙 阻止无权用户出入记录出入审计信息 Hack黑客Crack 合法用户 网络防火墙 有权用户 无权用户 因特网 多重防火墙 外联 经代理连接 内部域 Hack黑客 Proxy 有权用户WWW FTP SMTP 无权用户 因特网 Proxy 应用网关 只代理设定应用有选择地转发请求隐藏内部地址 多级代理 安全体系结构和模型 6 25 3 通过虚拟专用网互连 内部域 相对不安全解决 自建专用网VPN 专线DDN帧中继 外部租用 内部域 公用的Internet 虚拟专用网VPN VirtualPrivateNetwork 加密信道 远程接入 IPsec 内网2 IPsec IPsec 内网1 安全体系结构和模型 6 27 4 通过防火墙互连 防火墙 阻止无权用户出入记录出入审计信息 网络防火墙 因特网 安全体系结构和模型 6 28 1 连接控制 控制哪些应用程序终结点之间可建立连接 例如 防火墙可控制内部的某些用户可以发起对外部WEB站点间的的连接 2 协议控制 控制用户通过一个应用程序可以进行什么操作 例如 防火墙可以允许用户浏览一个页面 同时拒绝用户在非信任的服务器上发布数据 3 数据控制 防火墙可以控制应用数据流的通过 如防火墙可以阻塞邮件附件中的病毒 防火墙 安全体系结构和模型 6 29 防火墙基本作用允许授权用户访问网络资源阻止未授权用户访问网络资源基本功能数据转发功能数据过滤功能依据 源 目的IP地址和端口号设备 专用硬件 软件 硬件防火墙设备通用计算机 防火墙软件 安全体系结构和模型 6 30 防火墙附加功能审计日志纪录网址变换NAT内容过滤负载均衡入侵检测虚拟专用网VPN 防火墙不是铜墙铁壁常有攻破的 安全体系结构和模型 6 31 要堵住所有漏洞 补充常见的安全技术 1 加密编码技术2 数字签名技术3 散列技术利用Hash函数加解密4 身份鉴别技术口令 或专门硬件5 自动回叫技术增加连接的隐蔽性6 防火墙和入侵检测7 VPN技术 安全技术 安全体系结构和模型 6 33 加密传输 防止传输中的信息泄密加密存储 防止存储中的信息泄密 数据加密 安全体系结构和模型 6 34 数字签名 D SK PK 用公开密钥核实签名 用秘密密钥进行签名 X 发送者A 接收者B DSK X X E 安全体系结构和模型 6 35 加密