第十一章网络系统安全技术及.ppt

第十一章网络系统安全技术及方案设计 网络系统安全技术概况 访问控制技术 网络防火墙技术 网络防病毒技术 网络安全系统方案设计 11 1网络系统安全技术概览国际标准化组织 ISO 对计算机系统安全的定义是 为数据处理系统建立和采用的技术和管理的安全保护 保护计算机硬件 软件和数据不因偶然和恶意的原因遭到破坏 更改和泄露 11 1 1网络系统所面临的主要安全问题网络系统安全问题是整个计算机系统安全问题的一个重要方面 计算机系统安全包括的内容相当广泛 包括计算机系统的环境安全 防电磁泄漏 操作系统安全 应用软件系统安全 数据库系统安全 网络系统安全及病毒防范等若千方面 网络技术飞速发展 人们对网络的依赖程度不断提高的同时 我们也正在受到来自网络方面的日益严重的安全威胁 这种威胁主要表现在病毒泛滥 黑客侵袭 数据失窃等方面 全面深入地研究网络安全技术 在系统集成方案设计和实施中有针对性地解决网络安全问题 成为当前系统集成和系统集成工程师的主要任务之一 一 网络病毒的泛滥性传播计算机病毒本身就具有感染性 流行性 欺骗性 隐蔽性和顽固性等对我们来说非常棘手的特性 加之计算机网络的广泛使用和大范围互联 病毒便更加疯狂地蔓延 如今通过网络传播的病毒无论是在传播速度 破坏性和传播范围等方面都是单机病毒所不能比拟的 二 非法访问和破坏不断升级全球平均每20秒钟应有一个网站遭到黑客的攻击 三 对于网络安全缺乏重视和相应的手段首先是重视问题 国内的许多网络系统用户单位对于网络安全缺乏基本的认识和相应的重视 把安全问题简化为病毒的防范 没有花费应有的精力和财力解决网络安全问题 四 计算机网络面临的安全性威胁1 截获 当甲通过网络与乙通信时 如果不采取任何保密措施 那么其他人 如丙 就有可能偷听到他们的通信内容 2 中断 当用户正在通信时 有意的破坏者可设法中断他们的通信 3 篡改 乙给甲发了如下一份报文 请给丁汇一百元钱 乙 报文在转发过程中经过丙 丙把 丁 改为 丙 这就是报文被篡改 4 伪造 用计算机通信时 若甲的屏幕上显示出 我是乙 时 甲如何确信这是乙而不是别人呢 拨号用户B 拨号用户C 拨号用户A 拨号用户D Internet 垃圾邮件 病毒破坏 黑客攻击 资源滥用 信息泄密 DOS攻击 不良信息 终端安全 信息丢失 未授权接入 非法外联监控 安全事件处理 IT系统运维面临的问题 导致这些问题的原因是什么 病毒泛滥 计算机病毒的感染率比例非常高 高达89 73 软件漏洞 软件系统中的漏洞也不断被发现 从漏洞公布到出现攻击代码的时间为5 8天黑客攻击 世界上目前有20多万个黑客网站 各种黑客工具随时都可以找到 攻击方法达几千种之多 移动用户越来越多 网络用户往往跨越多个工作区域 现有网络安全防御体制 现有网络安全体制 IDS68 杀毒软件99 防火墙98 ACL 规则控制 71 2004CSI FBIComputerCrimeandSecuritySurvey资料来源 ComputerSecurityInstitute 网络安全的演化 第一代引导性病毒 第二代宏病毒DOS电子邮件有限的黑客攻击 第三代网络DOS攻击混合威胁 蠕虫 病毒 特洛伊 广泛的系统黑客攻击 下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫 波及全球的网络基础架构地区网络多个网络单个网络单台计算机 周 天 分钟 秒 影响的目标和范围 1980s 1990s 今天 未来 安全事件对我们的威胁越来越快 病毒的演化趋势 攻击和威胁转移到服务器和网关 对防毒体系提出新的挑战 IDC 2004 邮件 互联网 CodeRedNimda funloveKlez 2001 2002 邮件 Melissa 1999 2000 LoveLetter 1969 物理介质 Brain 1986 1998 CIH SQLSlammer 2003 2004 冲击波震荡波 病毒发展史 1990 1991 1994 1996 1998 1999 2000 2001 2002 2003 主流病毒行态木马 蠕虫 病毒发展史 续1 Internet 攻击模式 WORM SASSER A 染毒电脑 未修补漏洞的系统 已修补漏洞的系统 被感染 不被感染 不被感染 被感染 被感染 不被感染 不被感染 病毒出现越来越快 时间间隔 26天 185天 336天 18天 网络病毒的特征 通过攻击操作系统或应用软件的已知安全漏洞来获得控制权在本地硬盘上并不留下文件由于其在网络上进行扫描的动作 可能会引起严重的网络负载如果攻击是属于常规的应用 例如SQL IIS等就可能穿过防火墙 木马程序等间谍软件成为网络与信息安全保密的重要隐患 在现在的工作中发现 越来越多的木马程序植入到我国重要信息系统中 根据保守估计 国内80 的网络系统 都存在木马程序和间谍软件问题 中国地区危害最为严重的十种木马病毒 分别是 QQ木马 网银木马 MSN木马 传奇木马 剑网木马 BOT系列木马 灰鸽子 蜜峰大盗 黑洞木马 广告木马系统漏洞就像给了木马病毒一把钥匙 使它能够很轻易在电脑中埋伏下来 而木马病毒又会欺骗用户伪装成 好人 达到其偷取隐私信息的险恶目的 木马程序 木马病毒有可能洗劫用户网上银行存款 造成网络游戏玩家装备丢失 被黑客利用执行不法行为等 如今 针对以上各种现象的危害越来越多 木马病毒已成为威胁数字娱乐的大敌根据木马病毒的特点与其危害范围来讲 木马病毒又分为以下五大类别 针对网游的木马病毒 针对网上银行的木马病毒 针对即时通讯工具的木马病毒 给计算机开后门的木马病毒 推广广告的木马病毒 木马程序 黑客攻击愈加猖獗 据国家计算机应急处理协调中心 CNCERT CC 统计 2003年 我国互联网内共有272万台主机受到攻击 造成的损失数以亿计 攻击向纵深发展 以经济和商业利益为目的的网络攻击行为渐为主流 垃圾邮件成为公害 据中国互联网中心统计 现在 我国用户平均每周受到的垃圾邮件数超过邮件总数的60 部分企业每年为此投入上百万元的设备和人力 垃圾邮件泛滥造成严重后果它不但阻塞网络 降低系统效率和生产力 同时有些邮件还包括色情和反动的内容 垃圾邮件的发展速度和趋势 数据来源 Radicati 2004 6 应用安全 设计阶段开发阶段实施阶段使用阶段管理制度监督机制使用方法 在应用安全问题中 在Windows平台上利用Windows系统新漏洞的攻击占70 左右 30 的安全问题与Linux相关 移动用户D 广域网 如何进行信息系统的等级化保护 各信息系统依据重要程度的等级需要划分不同安全强度的安全域 采取不同的安全控制措施和制定安全策略 完成安全设施的重新部署或响应 如何从全局角度对安全状况分析 评估与管理 获得全局安全视图 制定安全策略指导或自动 Internet p 用户如何管理现有安全资源并执行策略机制 补丁服务器 p 打补丁了吗 更新补丁了吗 p p p p p p p p p p p 困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起 系统安全漏洞微软每周都有数个修正档需要更新2003年Windows2000Server有50个漏洞补丁 Internet 用户如何防止内部信息的泄露 未经安全检查与过滤 违规接入内部网络 私自拨号上网 Internet 用户如何实现积极防御和综合防范 怎样定位病毒源或者攻击源 怎样实时监控病毒与攻击 语音教室网段 财务网段 多媒体教室网段 内部办公网段1 数字图书馆网段 教学网段1 网站 OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 Internet 保户网络与基础设施的安全 1 网络设备2 通讯设备3 通讯线路4 可用性5 机密性6 完整性7 可管理性 保护边界与外部连接 边界进出数据流的有效控制与监视 保护计算环境 操作系统数据库系统终端 保护应用业务系统 办公自动化系统其他应用系统 网络基础设施保护需求 教学网段5 内部办公N Intranet 边界处的访问控制 边界处的病毒与恶意代码防护 边界内部的网络扫描与拨号监控 边界处的网络入侵检测 边界处的认证与授权 网络边界与外部连接的保护需求 边界处的垃圾邮件和内容过滤 计算环境的保护需求 基于主机的入侵检测 基于主机的恶意代码和病毒检测 主机脆弱性扫描 主机系统加固 主机文件完整性检查 主机用户认证与授权 主机数据存储安全 主机访问控制 管理分析 实施策略 Modem 看不懂 进不来 改不了 跑不了 可审查 信息安全的目的 打不垮 采取的解决办法一 对于非法访问及攻击类 在非可信网络接口处安装访问控制防火墙 蠕虫墙 Dos DDos墙 IPsecVPN SSLVPN 内容过滤系统 领导网段 Internet 防火墙 IPSECVPN SSLVPN 内容过滤等 防DOS DDOS设备 个人安全套件 语音教室网段 财务网段 多媒体教室网段 内部办公网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 采取的解决办法二 对于病毒 蠕虫 木马类 实施全网络防病毒系统对于垃圾邮件类 在网关处实施防垃圾邮件系统 Internet 邮件过滤网关 反垃圾邮件系统 在MAIL系统中邮件病毒过滤系统 反垃圾邮件系统 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 采取的解决办法三 对于内部信息泄露 非法外联 内部攻击类 在各网络中安装IDS系统 在系统中安装安全隐患扫描系统 在系统中安装事件分析响应系统 在主机中安装资源管理系统 在主机中安装防火墙系统 在重要主机中安装内容过滤系统 在重要主机中安装VPN系统 人事商务网段 Internet 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 采取的解决办法四 对于系统统一管理 信息分析 事件分析响应 在网络中配置管理系统 在网络中配置信息审计系统 在网络中配置日志审计系统 在网络中补丁分发系统 在网络中配置安全管理中心 销售体系网段N Internet 安全审计中心 01010100 01010100 01010100 01010100 01010100 01010100 01010100 01010100 01010100 01010100 01010100 01010100 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 Internet 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公网段1 数字图书馆网段 内部办公N OA网段 教学网段3 安服网段 教学网段4 网管网段 校园网服务器群 教学网段5 11 1 2网络系统安全的主要技术 物理隔离技术物理隔离的指导思想是 要绝对保证安全 不安全就不连网 而逻辑隔离的思路是 在保证网络正常使用的情况F 尽可能安全 防火墙技术防火墙技术 即在Intemet和内部网络之间设一个防火墙 防火墙又分为软件防火墙和硬件防火墙两种 网络防病毒技术自动分发 集中管理 在线升级 实时监控等 访问控制技术访问控制主要是指通过路由和交换体系的访问控制列表和AAA体系进行对于网络系统的访问控制技术 加密技术加密技术的核心思想就是假定网络本身并不十分安全可靠 网上传输的数据容易被窃取 因而对所有重要信息全部经过加密处理后再进行传送 入侵检测技术入侵检测技术通过对计算机网络或系统中的升于关键点收集信息并对其进行分析 从中发现是否有违反安全策略的行为和被攻击的迹象 它不仅能检测来自外部的入侵行为 同时也监督内部用户的未授权活动 因此成为继防病毒和防火墙之后另一被广泛注意的网络安全设备 入侵检测是一种集检测 记录 报警 响应为一体的动态安全技术 11 2访问控制技术网络的访问控制技术是通过对访问的申请 批准和撒消的全过程进行有效的控制 从而确保只有合法用户的合法防问才能给予批准 而且相应的访问只能执行授权的操作 11 2 1网络访问控制技术和主要协议网络访问控制技术在技术的实现上包括三个主要功能 用户身份的识别和认证 对访问的控制以及审计跟踪 即AAAAAA是验证 授权和记账 Authentication Authorization Accounting 的简称 AAA在一个统一的平台上实现验证 授权和记账三种安全功能 实现访问控制 验证 Authentication 验证用户足否可以获得访问权 如针对用户名 密码等进行认证 授权 Authorization 授权用户可以进行何种操作 使用哪些服务 记账 Accounting 记录用户使用网络资源的情况 以便于审计和计费 AAA的实现现在主要是通过RADIUS协议来进行 RADIUS协议最初的目的是为拨号用户进行认证和计费 后来经过多次改进 形成了一项通用的认证计费协议 RADIUS是一种C S结构的协议 它的客户端最初就是NAS服务器 现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端 RADIUS协议认证机制灵活 可以采用PAP CHAP或者Unix登录认证等多种方式 RADIUS 远程鉴别拨号用户服务 是一项被大部分远程访问 路由器和VPN厂商所采用 用于对远程访问用户进行集中网络鉴别的标准化通信协议 RADIUS使用客户 服务器模式 网络访问设备作为RADIUS服务器的客户端 例如SafeWordRADIUS服务器 RADIUS服务器负责接收用户的连接请求 对用户进行鉴别 然后将所有客户端所需的配置信息传回 以便为用户提供服务 RADIUS服务器支持PPP PAP CHAP UNIX登录 以及其它鉴别机制 RADIUS协议具有良好的扩展性 可以在不干扰现有协议实施的情况下增添新的属性 SafeWordRADIUS服务器与IETF sRFC 2138兼容 RADIUS是一种在网络接入服务器 NetworkAccessServer 和共享认证服务器间传输认证 授权和配置信息的协议 RADIUS使用UDP作为其传输协议 此外RADIUS也负责传送网络接入服务器和共享计费服务器间的计费信息 图11 1给出了RADIUS AAA 服务器和客户端在一个简单的网络环境中的布局当用户想通过网络设备访问相应目标网络时 用户首先登录该网络设备 该设备向RADIUS服务器发出请求验证的信息 RADIUS服务器验证用户身分井把授权信息返回到网络设备 得到验证和授权的用户便可以访问所授权的资源和进行所授权的操作了 除了使用基于RADIUS的AAA服务器对访问控制进行处理之外 本地验证的方法也十分简单高效 所谓本地验证是指在网络设备本身建立一个基本的用户信息数据库 包含用户名 用户密码等信息 用户通过该网络设备对于网络的访问可由这台设备进行相应的控制 本地验证的方法不用购买AAA软件 适合于单一接入设备以及接入用户数量较少的网络中使用 除了以上两种技术之外 访问控制列表 ACL AccessControlList 也是实现访问控制的有效手段 ACL是在一般的网络设备中都具有的功能 它通过简单定义的控制列表来对用户进行访问控制 控制可以对 地址 MAC地址或主机名等相关对象进行实施 11 2 2典型访问控制产品介绍Internet和所有类型的网络 公共网 专网 有线网和无线网的增长为如何对用户身份及其对您网络的访问进行控制 授权和说明提出了特殊的挑战 为支持数量不断增长从所有类型的设备和服务 包括VPN 远程接入 宽带 语音和无线解决方案 连接到您网络的用户 Cisco推出了基于Windows2000和NT的CiscoSecure访问控制服务器 ACS V 2 6 CiscoSecureACS是一种高度可扩展的高性能访问控制服务器 可作为中央RADIUS或TACACS 服务器系统使用 能够对通过网络访问公司资源的用户进行身份 授权和审计 AAA 方面的控制 TACACS 是一种安全应用程序 它为用户获得对路由器或网络访问服务器的访问提供集中化的验证 TACACS 服务在TACACS 后台程序的数据库中进行维护 这种后台程序典型地运行在UNIX或WindowsNT工作站上 在为网络访问服务器配置的TACACS 特性可用之前 必须能够访问并配置TACACS 服务器 CiscoSecureACS支持对拨号访问服务器 VPN和防火墙 IP语音 VoIP 解决方案进行集中的访问控制和审计 而且在2 6版本中包含的新的增强功能可以对CiscoAironet350无线接入解决方案的无线用户进行基于标准的IEEE802 1x用户身份鉴定 现在 在管理使用新的ACS扩展身份鉴定协议 EAP 模块通过无线客户机进行的用户访问时 可以使用与企业访问控制框架 AAA 相同的框架 通过ACSV 2 6 网络管理员能够快速管理无线用户帐户并使用RADIUS分发无线加密密钥 这样 您扩展和部署安全无线服务的整体能力将得到提高 同时 通过在ACS框架内集中进行控制 访问管理 记帐和无线密钥分发 还可以节省时间 使用ACS 网络管理员可以控制以下内容 何人可以通过有线或无线连接登录网络每一用户在网络中拥有何种权限记录何种说明信息 以进行安全审查或记帐对于每一个配置CiscoIOS r 路由器 Catalyst r 交换机或任何启用了TACACS 功能的网络设备的管理员来说 可以启用哪些访问和命令控制 CiscoSecureACS是一种强大的访问控制服务器 能够为需要增加自己WAN连接的任何组织提供所需要的多种性能和可扩展性 易用性 基于Web的用户界面简化了用户特征文件 群组特征文件和ACS的配置 并可以对这些配置进行分发扩展性 CiscoSecureACS的设计目标是通过支持冗余服务器 远程数据库和用户数据库备份服务来支持大型网络环境可延长性 轻便目录访问协议 LDAP 身份验证转发功能可以支持通过领先的目录供应商对存储在目录中的用户特征文件进行身份验证 这些供应商包括Netscape Novell和Microsoft等操纵 通过对Windows2000ActiveDirectory和NT数据库的支持 可以对Windows用户名 密码管理进行合并 并利用Windows的性能监视器进行实时的统计查看 管理 通过为每个CiscoSecure管理员设定不同的访问级别以及网络设备分组能力 可以使控制更加容易 并获得最大的灵活性 以促进网络中所有设备的安全策略管理的加强和改变产品灵活性 因为CiscoIOS软件拥有嵌入AAA支持 所以ACS可以被用于几乎所有Cisco销售的网络访问控制器 NAS CiscoIOS必须能够支持RADIUS或TACACS 协议灵活性 CiscoSecureACS同时包含了对TACACS 和RADIUS的支持 可以在IP协议安全 IPsec和PPTP隧道的源端和终端支持VPN或拨号 从而能够提供灵活的解决方案 集成 与CiscoIOS路由器和VPN解决方案的紧密结合可以提供象多机箱多链路点对点协议 MultichassisMultilinkPoint to PointProtocol 和CiscoIOS命令授权这样的功能第三方支持 基于RSASecurID Axent技术 安全计算和CrytoCard的令牌服务器控制 时间动态限额 网络使用 登录会话数量以及访问时间的限制功能 11 3防火墙技术边界安全设备叫做防火墙 防火墙阻止试图对组织内部网络进行扫描 阻止企图闯入网络的活动 防止外部进行拒绝服务 DoS DenialofService 攻击 禁止一定范围内黑客利用Internet来探测用户内部网络的行为 阻塞和筛选规则由网管员所在机构的安全策略来决定 防火墙也可以用来保护在Intranet中的资源不会受到攻击 不管在网络中每一段用的是什么类型的网络 公共的或私有的 或系统 防火墙都能把网络中的各个段隔离开并进行保护 11 3 1防火墙的功能及其关键技术一 防火墙的基本概念防火墙从本质上说是一种保护装置 可从三个层次上来理解防火墙的概念 首先 防火墙 是一种安全策略 它是一类防范措施的总称 其次 防火墙是一种访问控制技术 用于加强两个网络或多个网络之间的访问控制 最后 防火墙作为内部网络和外部网络之间的隔离设备 它是由一组能够提供网络安全保障的硬件 软件构成的系统 1 防火墙的优点1 防火墙能强化安全策略 2 防火墙能有效地记录Intemet上的活动 3 防火墙限制暴露用户点 4 防火墙是安全策略的检查站 防火墙规划 2 防火墙的不足之处1 不能防范恶意的知情者 2 不能防范不通过它的连接 3 不能防备全部的威胁 4 不能防火墙不能防范病毒 二 防火墙的技术原理1 包过滤技术包过滤技术是一种基于网络层的防火墙技术 根据设置好的过滤规则 通过检查IP数据包来确定是否允许该数据包通过 而那些不符合规定的IP地址会被防火墙过滤掉 由此保证网络系统的安全 2 代理技术顾名思义 所谓 代理 就是代表别的事物而动作的人或机构 代理技术的基本思想就是在两个网络之间设置一个 中间检查站 两边的网络应用可以通过这个检查站相互通信 但是它们不能越过它直接通信 这个 中间检查站 就是代理服务器 它运行在两个网络之间 对网络之间的每一个请求进行检查 代理的实现过程 3 状态监视技术这是第三代防火墙技术 集成了前两者的优点 能对网络通信的各层实行检测 同包过滤技术一样 它能够检测通过IP地址 端口号以及TCP标记 过滤进出的数据包 只是在分析应用层数据时 它与一个应用层网关不同的是 它并不打破客户机 服务机模式 允许受信任的客户机和不受信任的主机建立直接连接 三 防火墙系统的实现类型1 包过滤防火墙也称作包过滤路由器 它是最基本 最简单的一种防火墙 可以在一般的路由器上实现也可以在基于主机的路由器上实现 2 双穴网关防火墙这种防火墙系统由一台特殊主机来实现 这台主机拥有两个不同的网络接口 一端接外部网络 一端接需要保护的内部网络 并运行代理服务器 故被称为双穴网关 双穴网关防火墙不使用包过滤规则 而是在外部网络和被保护的内部网络之间设置一个网关 双穴网关 隔断IP层之间的直接传输 3 屏蔽主机网关防火墙屏蔽主机网关防火墙由一台过滤路由器和一台堡垒主机组成 在这种配置中 堡垒主机配置在内部网络上 过滤路由器则放置在内部网络和外部网络之间 在路由器上进行配置 使得外部网络的主机只能访问该堡垒主机 而不能直接访问内部网络的其他主机 4 屏蔽子网防火墙考虑到屏蔽主机网关防火墙方案中 堡垒主机存在被绕过的可能 有必要在被保护网络与外部网络之间设置一个孤立的子网 这就是 屏蔽子网 屏蔽子网防火墙在屏蔽主机网关防火墙的配置上加上另一个包过滤路由器 11 3 2主流防火墙产品介绍 11 4网络防病毒技术11 4 1网络防病毒技术综述1 数字免疫系统数字免疫系统 DigitalImmuneSystem 是IBM公司和赛门铁克 Symantec 公司提出的新概念 数字免疫系统主要是为企业级的信息系统服务的 它所 预防治疗 的病症很广泛 既包括计算机病毒 也包括影响企业信息系统正常运行的诸多因素 如磁盘碎片引起的运行处理速度缓慢 经常性的系统死机多 并且提供修复更新系统的工具 数字免疫系统还特别包括了一系列用于远程控制的技术 以实现对整个企业信息系统的有效 全面的管理 数字免疫系统主要包括封闭循环自动化网络防病毒技术和启发式侦测技术 前者是一个后端基础设施 可以为企业级用户提供高级别的病毒保护 在网络系统的管理中 不管系统管理员介入与