安全生产_网络安全防范

网络协议 网络安全 S08网络安全防范 主要知识点 网络安全防范技术要点嵌入式安全防范技术防火墙代理主动式安全防范技术安全口令VLANVPN被动式安全防范技术网页防篡改入侵检测安全审计 网络安全防范 41 2 网络安全防范 NetworkSecurityDefence针对网络安全威胁 使用各种技术和管理手段 达到防止 发现 遏制 消除网络攻击的目的 保障网络与信息系统安全网络安全防范技术要点 1 有的放矢地选择技术 在深入需求分析的基础上有所取舍 不做简单堆砌的泥水匠 要成为用心设计的建筑师 2 一项技术解决一类问题 相互结合 相互补充才能形成完善的防范体系 不能有失偏颇 应该以全局的观点 注重全面防范效果提升 3 讲究策略 讲究平衡 以最小的代价获得最佳防范效果 4 不断跟踪网络安全威胁与防范的最新技术动态 不断调整和更新技术 才能保持长效的安全防范能力 5 关注防范技术可能造成的负面影响 因为坚固的城堡可以更好地抵挡入侵 但同时也会在一定程度上禁锢自身 网络安全防范 3 41 网络安全防范的认识 水桶法则 短板效应 技术措施应与非技术措施 包括物理安全 人员安全 安全管理等 紧密配合 不可或缺 不可厚此薄彼因噎废食不可取为了所谓的安全 不用网络或采用完全物理隔离的办法 变成一个个信息孤岛 将使网络的优势丧失殆尽树欲静而风不止安全防范技术再出色 也不是万无一失的 技术能力具有相对性 应当在战略上藐视网络黑暗势力 在战术上足够重视 未雨绸缪 让安全防范系统时刻处于活跃的 临战的 健康的 最佳的状态 网络安全防范 4 41 网络安全防范技术分类 1 嵌入式安全防范 embeddeddefence 在信息交换路径上部署相应的安全防范技术可以是具有特定功能的设备 硬件 也可以是专门设计的协议 软件嵌入式安全防范技术包括 安全协议 或协议补丁 虚拟专用网 VPN 地址翻译 NAT 访问代理 proxy 网络防火墙 firewall 病毒和木马查杀网关 垃圾邮件过滤等 2 主动式安全防范 activedefence 对网络信息系统的操作层面 用户 信息层面 内容 通信层面 组网 等关键环节加强网络安全防范措施 主动发现安全隐患 及时进行改进调整 防患于未然主动式安全防范技术包括 网络管理与系统管理 信息加密 数字证书 安全访问认证 虚拟子网 VLAN 网络安全扫描与评估 软件安全修补等 3 被动式安全防范 passivedefence 指两类安全防范措施 通过部署的系统在网络安全威胁发生时能够及时发现 及时预警 及时采取措施 尽可能减少损失 防止灾难蔓延通过对历史数据的分析 找出已经发生的攻击行为和事件 发现潜在的缺陷 以便采取针对性措施亡羊补牢被动式安全防范不仅能够弥补嵌入式安全防范和主动式安全防范的不足和遗漏之处 而且具有动态检测的能力 是网络安全防范体系的重要组成部分被动式安全防范技术包括入侵检测系统 IDS 安全审计系统 SAS 网页防篡改 实时监控系统 运行日志 systemlog 等 网络安全防范 5 41 防火墙 FireWall FW防火墙作为一种网关 gateway 起到隔离内部网络和外部网络的作用 阻断来自外部网络的安全攻击防火墙的技术优势在于其透明性 即对内部网络的组网结构 计算机设备数量和分布 网络应用类型等均不敏感 有利于安装和使用 网络安全防范 6 41 防火墙类型 从安全防范方法上过滤 filtering 代理 agent proxy 从层次结构上三层 IP 四层 TCP UDP 七层 应用层协议 从防范对象上内网防火墙 病毒 木马防火墙 垃圾邮件防火墙从技术实现上硬件防火墙 软件防火墙 网络安全防范 7 41 防火墙的过滤和代理功能 过滤和代理的共同点 对协议报文 信息内容进行筛选 剔除不安全元素 放行安全的访问具有不对称性 主要对来自外部网络 如Internet 的信息流进行严格检查 而对内部网络发起的会话 检查力度相对较弱过滤和代理的不同点 过滤 filter 对每个通过的报文进行依次处理是无状态的报文间相互独立 互不影响 可以达到很高的处理速度代理 proxy 参与协议会话过程 中介 有状态的同一个会话 或同一个流 的报文间相互有关联性 网络安全防范 8 41 防火墙功能 网络安全防范 9 41 防火墙IP报文过滤操作流程 网络安全防范 10 41 防火墙抵御TCP同步洪水攻击示例 1 外网攻击者发送SYN 请求会话连接 2 防火墙接收到SYN 检查IP地址的有效性 源地址是否内网地址等 若判断为可疑的连接请求 丢弃报文 可不予以响应 以对抗探测 结束 3 防火墙响应SYN ACK 启动超时计时器防火墙只需匹配极少资源计时器长度可以依据不同需求进行调整 适当缩短 4 若计时器超时未收到ACK 则释放连接 结束 5 防火墙若收到ACK 则立即向内网指定计算机 第 步已缓存 发送SYN 当接收到SYN ACK后立即响应ACK 6 TCP连接建立成功 之后内外网直接通信 网络安全防范 11 41 访问控制列表 AccessControlList ACL用于防火墙实现灵活的管理过滤机制ACL存放用于判别报文 连接与操作是否合法的相关参量 如IP地址 端口号等 可以动态维护 更新ACL类型 黑名单 blacklist forbidlist 显性指出禁止访问的项目 如某个IP地址 或网段 某个TCP UDP端口号访问控制引擎对黑名单采用负逻辑 negativelogic 判别方式 即符合条件者不通过 否则通过 白名单 whitelist permissionlist 显性指出允许访问的项目访问控制引擎对白名单采用正逻辑 positivelogic 判别方式 即符合条件者通过 否则不通过灰名单 greylist 一种特殊ACL黑名单机制 可称为临时黑名单灰名单可以由防火墙自动地 动态地进行调整 更为灵活 网络安全防范 12 41 ACL引擎控制流程 网络安全防范 13 41 匹配ACL每一行 匹配 最后行 允许 拒绝 Y N N 丢弃报文 结束 Y 最后行隐式Denyany Deny 报文通过 Permit 双防火墙机制 实现目标 某些内部网络需要对外提供访问服务 需要一定的安全保护 但应避免复杂性 提高访问效率对外服务系统与内部应用系统间要有一定的互连关系 用于安全地交换数据内网中的计算机可以访问外部网络 网络安全防范 14 41 非军事区De MilitaryZone LANDMZWAN 带DMZ的FW 双防火墙应用效果 网络安全防范 15 41 内部网络 DMZ Internet DBServer WebServer EmailServer data 最高的安全保障 有效的安全保障 无安全保障 来自外部网络的访问仅限于到达DMZ区域 双防火墙应用示例 网络安全防范 16 41 防火墙评价指标 误报率 rateoffalsedetection falsepositive指正常访问或数据误遭防火墙拦截 直接造成访问失败 数据 如邮件 丢失误报率越低越好漏报率 rateofmissing falsenegative是检出率 rateofdetection 的反面 指防火墙未能发现安全攻击的访问或数据 使漏网之鱼进入网络系统漏报率越低越好矛盾性漏报率与误报率的降低存在一定的矛盾应根据应用需求进行协调 寻找最佳平衡点 网络安全防范 17 41 主要针对模糊判别 代理 Proxy Agent计算机网络体系中的一种网关设备 用于协助网络用户完成访问任务 即用户将访问请求提交给代理 由代理完成对指定资源的访问 并把访问结果转交给用户代理的作用 代理主要起到类似中间人的访问隔离作用 帮助网络用户完成其不能直接实施的任务代理可以设定缓存空间 存储网络访问的结果 以便向下一个相同的访问 可能来自不同用户 提供本地响应的 快速的服务 不占用珍贵的Internet接入带宽资源对访问进行白名单式的控制 通过代理的设置 向指定的用户开放指定的应用 指定的URL 指定的通信流量 指定的访问时段等 使用户的访问行为得到有效的约束 也限制了外部网络用户对内部网络用户不安全的直接访问行为 网络安全防范 18 41 代理功能示意 网络安全防范 19 41 网络A 网络B 应用系统A 应用系统B 应用系统C 用户x 用户y 用户z Proxy 允许访问A B C 允许访问B C 允许访问A 代理与防火墙 网关比较 网络安全防范 20 41 通过代理穿越防火墙示例 网络安全防范 21 41 一次性口令 One TimePassword OTP口令 验证码 只使用一次 每次使用后进行变化 使每次的鉴别口令都各不相同用于防范口令猜测攻击 重放攻击技术原理 在用户登录过程中的口令传输时加入不确定因子 salt 使用户口令不以固定的明文或密文方式在网络上传输 每次传送的验证码都不相同 而系统收到验证码后可以用相同的算法验证 网络安全防范 22 41 简单的一次性口令示例 网络安全防范 23 41 登录验证码 MD5 口令 随机数 客户端产生随机数 在发送验证码时一起传送给服务端 服务端产生随机数 在询问口令时传送给客户端 即挑战 当前时间 口令序列 S KeyS KEY口令为一个单向的前后相关的序列 由n个口令组成RFC1760定义技术原理 客户端的口令序列是由用户口令和服务端提供的种子 seed 经MD4单向函数加密而成客户端再通过连续n次单向函数 生成n个顺序排列的口令验证码序列客户端登录时 逆向使用生成的序列当用户第i次登录时 服务端用单向函数计算收到的验证码 并与上次保存的第i 1个验证码比较 以判断用户的合法性客户端按序使用口令序列 而服务端只需记录最新一次成功登录所用的验证码由于口令数是有限的 用户登录n次后必须重新初始化口令序列 且客户端和服务端应始终保持同步 网络安全防范 24 41 口令序列原理图 网络安全防范 25 41 VLAN VirtualLocalAreaNetwork虚拟局域网从逻辑 协议 上对网络资源和网络用户按照一定原则进行的划分 把一个物理网络划分成多个小的逻辑网络VLAN标准IEEE802 1qVLAN功能 限制广播域 广播范围 隔离子网制定各种访问限制可禁止来自其他VLAN的访问可禁止离开VLAN的访问一个计算机 用户 可同时从属于不同VLAN 但需分别遵循相关VLAN的访问限定 网络安全防范 26 41 VLAN示例 网络安全防范 27 41 VLAN报头格式 VLAN协议4B标签头 标签协议标识 TagProtocolIdentifier TPID 标签控制信息 TagControlInformation TCI优先级字段 3b规范格式指示符CFI 1bVLAN标识符VID 12b 网络安全防范 28 41 VLAN类型 1 基于端口的VLAN根据以太网交换机的物理端口来划分VLAN 可以跨交换机进行优点是定义VLAN成员时非常简单 只需将所有的端口都设定一遍缺点是如果VLAN的某个用户离开原来端口 连接到新的端口 就必须重新定义当采用按不同地理位置 如不同楼层 不同大楼 的不同部门划分VLAN时 这种方式特别简单 因为往往各部门采用单独的交换机 2 基于MAC地址的VLAN根据每个主机的MAC地址来划分VLAN 也称为基于用户的VLAN优点就是当用户物理位置移动时 即使移动到另一个交换机 VLAN也不用重新配置缺点是初始化时 所有的用户都必须进行配置 如果用户很多 配置的工作量非常大 也会导致交换机执行效率降低 在每一个交换机的端口都可能存在很多个VLAN组的成员 无法有效限制广播包 而且如果网卡可能经常更换 VLAN就必须不停地更新 3 基于协议的VLAN通过第二层报文的协议字段 识别上层运行的网络层协议 如IP或IPX现有的系统中一般仅有IP 所以基于协议的VLAN很少有机会使用 4 基于子网的VLAN根据报文中的IP地址决定报文属于哪个VLAN 同一个IP子网的所有报文属于同一个VLAN优点是可针对具体应用服务来组织用户 用户可在网络内部自由移动而不用重新配置缺点是效率较低 检查每一个报文的IP地址很耗时 同时一个端口可能存在多个VLAN的成员 对广播报文无法有效抑制 网络安全防范 29 41 VLAN VirtualPrivateNetwork虚拟专用网用于在不安全的网络环境上构建安全的互连关系VPN技术原理 VPN采用安全隧道 securetunnel 跨越Internet 采用安全协议来实现安全认证和数据加密 构造安全的数据传输通道 进而实现计算机设备或子网间的安全互连 网络安全防范 30 41 Intranet 企业内部网采用VPN构造的安全网络 是企业 或机构 生产 办公 管理等经营活动的信息化基础设施Intranet功能 单一地理位置的安全内部网络多个地理位置的子网络互连成为统一的安全内部网络Internet终端的安全接入 网络安全防范 31 41 Extranet 企业外部网基于Internet并采用VPN安全隧道技术 通过Internet实现不同企业Intranet中各自外联设备间的安全互连依据合作关系的变动 Extranet的成员可以动态调整例如 汽车公司与其配件公司的合作 保证配件供应 售前 售后服务准确配合 零库存 生产计划 销售计划 既相互独立 又可在安全的前提下实现各企业在生产 仓储 物流等方面紧密关联 并灵活适应变化 网络安全防范 32 41 VPN组网技术 VPN安全隧道协议 PPTPL2TPIPsecSSLVPN组网方案 1 网络透明方式 由用户自行配置VPN设备和系统 ISP及Internet只提供普通的IP互连服务 2 用户透明方式 由ISP提供VPN服务 用户端使用普通IP互连设备 网络安全防范 33 41 网页防篡改 WebpageTamper Proof专门设计用于防止网站网页被篡改行为 一旦发现文件有任何修改的迹象 立即予以恢复网页防篡改本质上是一种文件保护措施 1 所有文件更新并发布时 采用数字签名技术 当文件因访问需要而被调用时 使用数字签名检查是否有改变 2 监测用户URL 防止注入式攻击 3 定时轮询检查所有已发布的文件的完整性 并检查是否有未知的新增文件 4 检测Web服务器运行情况 包括负载情况 带宽占用情况 活跃进程以及系统操作日志 以及时发现异常状况 网络安全防范 34 41 网页防篡改系统部署 独立系统方案部署于网站内容发布服务器与网站Web服务器 集群 之间附属系统方案作为内容发布服务器应用系统的一部分 网络安全防范 35 41 IDS IntrusionDetectionSystem入侵检测系统用于在内部网络上探测和发现网络入侵活动的系统基于可适应网络安全技术P2DR PolicyProtectionDetectionResponse 安全模型IDS功能 深入解析入侵事件 入侵手段及被入侵目标的漏洞对可能的入侵现象进行及时发现和报告与其他网络安全设备联动 实施拦截IDS类型 基于主机的IDS基于网络的IDS 网络安全防范 36 41 IDS体系结构 探针 probe 在网络信息系统中部署的软件或硬件 用于实时采集信息对于不适合安装探针的设备 可采用智能代理 agent 多台设备可合用一个探针IDS控制台 console 或管理中心探针采集的各种操作信息 特别是网络访问的有关信息 如源与目的IP地址 时间 用户账号 操作序列 访问资源 流量等 汇总到控制台控制台经过数据分析 可以得到网络访问的行为模式 并进行分析判定 发现入侵行为 网络安全防范 37 41 IDS通用模