第6讲第三章系统与网络安全(下).ppt

第6讲系统与网络安全技术 三 安全防护技术 北京邮电大学计算机学院郭燕慧 本讲提纲 网络防护技术防火墙VPN入侵检测 入侵防御安全网关终端防护技术云安全技术桌面安全管理技术 一 网络防护技术 防火墙VPN入侵检测 入侵防御安全网关 1防火墙技术 1 1防火墙概述1 2防火墙的分类1 3防火墙的体系结构1 4防火墙的局限性 1 1防火墙概述 防火墙概念WilliamCheswick和SteveBeilovin 1994 防火墙是放置在两个网络之间的一组组件 这组组件共同具有下列性质 只允许本地安全策略授权的通信信息通过双向通信信息必须通过防火墙防火墙本身不会影响信息的流通防火墙是位于两个信任程度不同的网络之间 如企业内部网络和Internet之间 的软件或硬件设备的组合 它对两个网络之间的通信进行控制 通过强制实施统一的安全策略 防止对重要信息资源的非法存取和访问以达到保护系统安全的目的 1 1防火墙概述 防火墙的功能 1 2防火墙的分类 包过滤防火墙应用网关状态检测防火墙电路级网关 1 2 1包过滤防火墙 包过滤防火墙是在网络层中根据数据包中包头信息有选择地实施允许通过或阻断即基于防火墙内事先设定的过滤规则 检查数据包的头部 根据以下因素确定是否允许数据包通过 源IP地址目的IP地址源端口目的端口协议类型ACK字段在IP TCP层实现 关键技术 数据包过滤依据事先设定的过滤规则 对所接收的每个数据包做允许拒绝的决定 数据包过滤优点 速度快 性能高对用户透明数据包过滤缺点 维护比较困难 需要对TCP IP了解 安全性低 IP欺骗等 不提供有用的日志 或根本就不提供不防范数据驱动型攻击不能根据状态信息进行控制不能处理网络层以上的信息无法对网络上流动的信息提供全面的控制 1 2 2应用级网关 建立在网络应用层 针对特别的应用协议进行数据过滤 并且能够对数据包进行分析 关键技术 应用层代理网关理解应用协议 可以实施更细粒度的访问控制对每一类应用 都需要一个专门的代理灵活性不够 客 户 网 关 服务器 1 2 3状态检测防火墙 状态检测防火墙工作在4 5层之上 状态检测防火墙能够实现连接的跟踪功能 比如对于一些复杂协议 除了使用一个公开的端口进性通信外 在通信过程中还会动态建立自连接进行数据传输 状态检测防火墙能够分析主动连接中的内容信息 识别出缩写上的自连接的端口而在防火墙上将其动态打开 1 2 4电路级网关 电路级网关工作在会话层 在两个主机首次建立TCP连接时建立电子屏障 监视两主机建立连接时的握手信息是否合乎逻辑 以后就是透明传输 1 3防火墙的体系结构 双重宿主主机体系结构被屏蔽主机体系结构被屏蔽子网体系结构 1 3 1双重宿主主机体系结构 双重宿主主机至少有两个网络接口 外部网络能够与双重宿主主机通信 内部网络也能够与双重宿主主机通信 但是内部网络和外部网络之间的通信必须经过双重宿主主机的过滤和控制 关键技术 NAT NetworkAddressTranslation 网络地址转就是在防火墙上装一个合法IP地址集 然后当内部某一用户要访问Internet时 防火墙动态地从地址集中选一个未分配的地址分配给该用户 同时 对于内部的某些服务器如Web服务器 网络地址转换器允许为其分配一个固定的合法地址 地址翻译主要用在两个方面 网络管理员希望隐藏内部网络的IP地址 这样互联网上的主机无法判断内部网络的情况 内部网络的IP地址是无效的IP地址 这种情况主要是因为现在的IP地址不够用 要申请到足够多的合法IP地址很难办到 因此需要翻译IP地址 防火墙网关 1 3 2被屏蔽主机体系结构 被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务 堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁 任何外部的系统试图访问内部的系统或服务将必须连接到这台堡垒主机上 1 3 3被屏蔽子网体系结构 被屏蔽子网体系结构的最简单的形式为 两个屏蔽路由器 每一个都连接到周边网 一个位于周边网与内部网络之间 另一个位于周边网与外部网络 通常为Internet 之间 这样就在内部网络与外部网络之间形成了一个 隔离带 1 4防火墙的局限性 防火墙不能防范不经防火墙的攻击 防火墙不能防止感染了病毒的软件传播 防火墙不能防范内部攻击 端到端加密可以绕开防火墙 防火墙不能提供细粒度的访问控制 防火墙的局限性 2VPN 概述 2 1 VPN的分类 2 2 IPSec协议 2 3 SSL协议 2 4 2 1VPN概述 VPN是虚拟专用网 VirtualPrivateNetwork 的缩写 是指不同地点的网络通过公用网络连接成逻辑上的虚拟子网 VPN具有以下优点 降低成本易于扩展灵活性 2 1VPN概述 2 2VPN的分类 按用途分类 远程访问VPN内联网VPN外联网VPN按照隧道协议分类 PPTPL2FL2TPIPSecSSL 2 2VPN的分类 2 3IPSec协议 IPSec提供了一套安全算法和总体框架 允许一对通信实体利用其中的一个算法为通信提供安全性 安全服务集提供包括访问控制 数据完整性 数据源认证 抗重放 replay 保护和数据保密性在内的服务 基于IP层提供对IP及其上层协议的保护 例如 TCP UDP ICMP等等 IPSec协议可以在主机和网关 如路由器 防火墙 上进行配置 对主机与主机间 安全网关与安全网关间 安全网关与主机间的路径进行安全保护 IPSec的体系结构 2 3IPSec概述 AH提供无连接的数据完整性认证 hash校验 数据源身份认证 带密钥的hmac 和防重防攻击 AH头中的序列号 ESP比AH多了两种功能 数据包加密和数据流加密 数据包加密可以加密整个IP包 也可以只加密IP包的载荷 一般用于计算机端 数据流加密用于路由器 源端路由把整个IP包加密后传输 目的端路由解密后转发 AH和ESP可以单独 组合使用 2 3IPSec概述 IKE负责密钥管理和策略协商 定义了通信实体之间进行身份认证 协商加密算法和生成会话密钥的方法 协商结果保存在SA中 解释域 DOI 为使用IKE进行协商SA的协议统一分配标识符 2 3IPSec概述 IPSec有两种运行模式 传输模式和隧道模式 AH和ESP都支持两种使用模式 传输模式只保护IP载荷 可能是TCP UDP ICMP IP头没有保护 隧道模式保护的内容是整个IP包 隧道模式为IP协议提供安全保护 通常IPSec的双方只要有一方是网关或者路由 就必须使用隧道模式 路由器需要将要保护的原始IP包看成一个整体 在前面添加AH或者ESP头 再添加新的IP头 组成新的IP包之后再转发出去 2 3 1IPSec概述 2 4SSL协议 SSL基本概念协议的设计目标 为两个通讯个体之间提供保密性和完整性 身份认证 互操作性 可扩展性 相对效率为上层协议提的供安全性 保密性 身份认证和数据完整性SSL连接 connection 一个连接是一个提供一种合适类型服务的传输 OSI分层的定义 SSL的连接是点对点的关系 连接是暂时的 每一个连接和一个会话关联 SSL会话 session 一个SSL会话是在客户与服务器之间的一个关联 会话由HandshakeProtocol创建 会话定义了一组可供多个连接共享的加密安全参数 会话用以避免为每一个连接提供新的安全参数所需昂贵的谈判代价 SSL协议体系 协议分为两层底层 TLS记录协议上层 TLS握手协议 TLS密码变化协议 TLS警告协议 TLS记录协议建立在可靠的传输协议 如TCP 之上 为更高层提供基本安全服务 特别是HTTP 它提供了Web的client server交互的传输服务 可以构造在SSL之上 它提供连接安全性 有两个特点保密性 使用了对称加密算法完整性 使用HMAC算法用来封装高层的协议SSLHandshakeProtocol SSLChangeCipherSpecProtocol SSLAlertProtocol是SSL的高层协议 用于管理SSL交换 SSL握手协议功能客户和服务器之间相互认证协商加密算法和密钥它提供连接安全性 有三个特点身份认证 至少对一方实现认证 也可以是双向认证协商得到的共享密钥是安全的 中间人不能够知道协商过程是可靠的 整体流程 1 交换Hello消息 对于算法 交换随机值等协商一致 2 交换必要的密码参数 以便双方得到统一的premastersecret 3 交换证书和相应的密码信息 以便进行身份认证 4 产生mastersecret 5 把安全参数提供给TLS记录层 6 检验双方是否已经获得同样的安全参数 3入侵检测 入侵防御技术 3 1入侵检测概述3 2入侵检测系统分类3 3入侵防御系统 3 1入侵检测系统IDS 入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析 从中发现网络或者系统中是否有违反安全策略的行为和遭到攻击的迹象的一种机制 入侵检测采用旁路侦听的机制 通过对数据包流的分析 可以从数据流中过滤除可以数据包 通过与已知的入侵方式进行比较 确定入侵是否发生以及入侵的类型并进行报警 网络管理员可以根据这些报警确切的知道所周到的攻击并采取相应的措施 3 1入侵检测概述 CIDF 入侵检测系统的通用模型 3 2入侵检测系统分类 3 2 1基于主机的入侵检测系统3 2 2基于网络的入侵检测系统 3 2 1基于主机的入侵检测系统 网络连接检测对试图进入该主机的数据流进行检测 分析确定是否有入侵行为 避免或减少这些数据流进入主机系统后造成伤害 基于主机的入侵检测系统可以保护单台主机不受网络攻击行为的侵害 需要安装在受保护的主机上 可以有效地检测出是否存在攻击探测行为 3 2 1基于主机的入侵检测系统 主机文件检测 系统日志文件记录了各种类型的信息 如果日志文件中存在异常记录 就可以认为发生了网络入侵 恶意的网络攻击者会修改网络主机上的各种数据文件 如果入侵检测系统发现文件系统发生了异常的改变 就可以怀疑发生了网络入侵 黑客可能使程序终止 或执行违背用户意图的操作 如果入侵检测系统发现某个进程存在异常行为 就可以怀疑有网络入侵 针对操作系统的特性 采取措施防止缓冲区溢出 增加对文件系统的保护 3 2 1基于主机的入侵检测系统 检测准确度较高 可以检测到没有明显行为特征的入侵 成本较低 不会因为网络流量影响性能 适用于加密和交换环境 3 2 1基于主机的入侵检测系统 实时性较差 无法检测数据包的全部 检测效果取决于日志系统 占用主机资源性能 隐蔽性较差 3 2 2基于网络的入侵检测系统 基于网络的入侵检测系统使用原始的网络分组数据报作为进行攻击分析的数据源 一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信 大多数的攻击都有一定的特征 入侵检测系统将实际的数据流量记录与入侵模式库中的入侵模式进行匹配 寻找可能的攻击特征 3 2 2基于网络的入侵检测系统 基于网络的入侵监测系统可以实现如下功能 对数据包进行统计 详细的检查数据包检测端口扫描检测常见的攻击行为识别各种各样可能的IP欺骗攻击当检测到一个不希望的活动时 入侵检测系统可以重新配置防火墙以拦截从入侵者发来的数据 典型部署方式 3 2 2基于网络的入侵检测系统 可以提供实时的网络监测行为 可以同时保护多台网络主机 具有良好的隐蔽性 有效保护入侵证据 不影响被保护主机的性能 3 2 2基于网络的入侵检测系统 防入侵欺骗的能力较差 在交换式网络环境中难以配置 检测性能受硬件条件限制 不能处理加密后的数据 3 3入侵防御系统IPS 入侵检测的目的是提供网络活动的监测 审计 证据以及报告 入侵防御的目的是为了提供资产 资源 数据和网络的保护 IDS和IPS之间最根本的不同在于确定性 即IDS可以使用非确定性的方法从现有的和以前的通信中预测出任何形式的威胁而IPS所有的决策必须是正确的 确定的 3 3入侵防御系统 IPS就像小区门口的保安 在通行证和其它预设的规则或策略的基础上允许和拒绝访问 典型部署方式 服务器 IPS IDS 防火墙 交换机 outboundinterface inboundinterface 3 3入侵防御系统 IPS的优势入侵的迅速终止更准确和可靠的检测积极防御IPS的设计需求能够准确 可靠的检测 精确的阻断攻击IPS的运行对网络的性能和可用性没有负面影响可以有效地安全管理可以容易的实现对未来攻击的防御 4安全网关 概述 4 1 安全网关的分类 4 2 UTM 4 3 4 1概述 早期的网关就是指路由器 现在主要有三种网关 即协议网关 应用网关和安全网关安全网关布置在内部网络和外部网络之间 现在的网关多数都是集成多种功能为一体的集成网关 UTM通过对各种安全技术的整合 构建起一个立体防护体系 为信息网络提供全面动态的安全防护体系 内容过滤 应用层协议处理是发展趋势 4 2安全网关的分类 从应用角度的分类 防火墙 VPN网关 Web安全网关 反病毒网关 邮件安全网关 UTM 安全网关 4 3UTM UTM UnifiedThreatManagement 是集防病毒 入侵检测 防御和防火墙 VPN于一体的网关设备 有的厂商还加上了防垃圾邮件 内容过滤等功能UTM可以通过软件实现 即在通用处理器上通过软件编程来实现 也可以通过硬件实现 即在ASIC芯片或者FPGA加上CPU来实现 UTM简介 UTM部署方式 UTM技术的优势 UTM技术的不足 二 终端防护技术 云安全技术桌面安全管理技术 1 云安全技术 云安全 CloudSecurity 融合了并行处理 网格计算 未知病毒行为判断等新兴技术和概念 通过网状的大量客户端对网络中软件行为的异常监测 获取互联网中木马 恶意程序的最新信息 传送到Server端进行自动分析和处理 再把病毒和木马的解决方案分发到每一个客户端 云安全技术的应用 特征库或类特征库在云端的储存与共享信息安全产品具有很强的终端特性 仅仅将特征库放在云端 并无优势 因为在现有网络环境中 下载速度不成问题 而且在本地存放特征库还会大大减少因网络故障带来的响应失败问题 作为一个最新的恶意代码 垃圾邮件或钓鱼网址等的快速收集 汇总和响应处理的系统随着恶意程序的爆炸式增长 用户更为迫切地需要能够在第一时间就对新的恶意程序及其产生的不良影响进行防御 甚至在新的恶意威胁出现之前就具备对其进行防御的能力 来源挖掘 云安全中心 即时升级服务器 互联网内容 恶意威胁 下载网站 门户网站 搜索网站 云安全客户端 互联网用户 威胁信息数据中心 即时查杀平台 自动分析处理系统 威胁挖掘集群 威胁信息分析 McAfee云安全Artemis工作流程 2 桌面安全管理技术 内部网络和应用系统发生故障的原因很少是由于网络设备和应用系统自身的问题所引起 更多的是因为内网的其它安全因素导致 如病毒爆发 资源滥用 恶意接入 用户误操作等 而这些安全因素 几乎全部来源于用户桌面计算机 典型问题包括 缺乏必要的安全加固手段缺乏有效的接入控制手段缺乏有效的行为监控手段缺乏必要的配置管理手段 概念 桌面安全管理将终端安全管理 终端补丁管理 终端用户行为管理 网上行为管理有机地结合在一起 通过对网络中所有设备的统一策略制定 用户行为的统一管理 安全工具的集中审计 最大限度地减少安全隐患 同时 它还对个人桌面系统的软件资源实施安全管理 通过对个人桌面系统的工作状况进行管理 有效地提高员工工作效率 主要功能 补丁管理 主机防火墙 主机准入控制 桌面监控审计