网络工程课件第五章.ppt

Chapter1 75 网络工程 Chapter2 75 计算机病毒 病毒定义病毒特点病毒分类病毒发展防范措施 Chapter3 75 计算机病毒定义 什么是计算机病毒编制者在计算机程序中插入的破坏计算机功能或者破坏数据 影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 中华人民共和国计算机信息系统安全保护条例 人为编制的计算机程序干扰计算机正常运行并造成计算机软硬件故障破坏计算机数据可自我复制 Chapter4 75 电脑的先驱者冯 诺伊曼 JohnVonNeumann 在他的一篇论文 复杂自动装置的理论及组识的进行 里 已经勾勒出病毒程序的蓝图 1975年 美国科普作家约翰 布鲁勒尔 JohnBrunner 写了一本名为 震荡波骑士 ShockWaveRider 的书 1977年夏天 托马斯 捷 瑞安 Thomas J Ryan 的科幻小说 P 1的春天 TheAdolescenceofP 1 成为美国的畅销书 Chapter5 75 而差不多在同一时间 美国著名的AT T贝尔实验室中 三个年轻人在工作之余 很无聊的玩起一种游戏 彼此撰写出能够吃掉别人程序的程序来互相作战 这个叫做 磁芯大战 corewar 的游戏 进一步将电脑病毒 感染性 的概念体现出来 1983年11月3日 一位南加州大学的学生弗雷德 科恩 FredCohen 在UNIX系统下 写了一个会引起系统死机的程序 Chapter6 75 科学美国人 的月刊中 一位叫作杜特尼 A K Dewdney 的专栏作家在讨论 磁芯大战 与苹果II型电脑时 开始把这种程序称之为病毒 到了1987年 第一个电脑病毒 C BRAIN 诞生 一般而言 业界都公认这是真正具备完整特征的电脑病毒始祖 Chapter7 75 DOS时代的著名病毒 耶路撒冷 Jerusalem 米开朗基罗 Michelangelo 猴子 Monkey 音乐虫病毒 MusicBug Chapter8 75 Windows时期的病毒 宏病毒32位病毒 Chapter9 75 网络时代的病毒 蠕虫病毒木马病毒 Chapter10 75 计算机病毒特点2 1 非授权执行性并不是管理员赋予的许可隐蔽性伪装自身逃避防病毒系统的检查传染性自身不断繁殖并传染给其他计算机 Chapter11 75 计算机病毒的特点2 2 潜伏性长期隐藏在系统中特定条件下启动破坏性破坏数据或删除文件可触发性被激活的计算机病毒才能破坏计算机系统 HaHaHa Chapter12 75 计算机病毒分类 Chapter13 75 计算机病毒的发展 网络成为病毒传播主要载体恶意网页 木马修改注册表网络蠕虫成为最主要和破坏力最大的病毒类型跨操作系统的病毒病毒向通讯领域侵入 Chapter14 75 病毒的防范2 1 网络成为病毒传播的主要载体破坏性大传播性强扩散面广传播速度快难以彻底清除 Chapter15 75 病毒的防范2 2 提高安全意识不要打开陌生人的邮件附件不随便共享文件不从不受信任的网站下载软件定期升级操作系统安全补丁安装网络防病毒系统 Chapter16 75 第五章网络安全 信息安全 防止任何对数据进行未授权访问的措施 或者防止造成信息有意无意泄漏 破坏 丢失等问题的发生 让数据处于远离危险 免于威胁的状态或特性 网络安全 计算机网络环境下的信息安全 Chapter17 75 信息的安全需求 保密性 对信息资源开放范围的控制 数据加密 访问控制 防计算机电磁泄漏等安全措施 完整性 保证计算机系统中的信息处于 保持完整或一种未受损的状态 任何对系统信息应有特性或状态的中断 窃取 篡改 伪造都是破坏系统信息完整性的行为 可用性 合法用户在需要的时候 可以正确使用所需的信息而不遭服务拒绝 系统的可用性与保密性之间存在一定的矛盾 Chapter18 75 网络不安全的原因 自身缺陷 开放性 黑客攻击 Chapter19 75 信息安全概念与技术的发展 信息安全的概念与技术是随着人们的需求 随着计算机 通信与网络等信息技术的发展而不断发展的 Chapter20 75 单机系统的信息保密阶段 信息保密技术的研究成果 发展各种密码算法及其应用 DES 数据加密标准 RSA 公开密钥体制 ECC 椭圆曲线离散对数密码体制 等 计算机信息系统安全模型和安全评价准则 访问监视器模型 多级安全模型等 TCSEC 可信计算机系统评价准则 ITSEC 信息技术安全评价准则 等 Chapter21 75 网络信息安全阶段 该阶段中 除了采用和研究各种加密技术外 还开发了许多针对网络环境的信息安全与防护技术 被动防御 安全漏洞扫描技术 安全路由器 防火墙技术 入侵检测技术 网络攻防技术 网络监控与审计技术等 当然在这个阶段中还开发了许多网络加密 认证 数字签名的算法和信息系统安全评估准则 如CC通用评估准则 Chapter22 75 信息保障阶段 信息保障 IA 概念与思想的提出 20世纪90年代由美国国防部长办公室提出 定义 通过确保信息和信息系统的可用性 完整性 可控性 保密性和不可否认性来保护信息系统的信息作战行动 包括综合利用保护 探测和反应能力以恢复系统的功能 Chapter23 75 信息保障阶段 信息保障技术框架IATF 由美国国家安全局制定 提出 纵深防御策略 DiD Defense in DepthStrategy 在信息保障的概念下 信息安全保障的PDRR模型的内涵已经超出了传统的信息安全保密 而是保护 Protection 检测 Detection 响应 Reaction 和恢复 Restore 的有机结合 信息保障阶段不仅包含安全防护的概念 更重要的是增加了主动和积极的防御观念 Chapter24 75 网络攻击简介 实施有效的网络攻击必须掌握相应的知识 选择恰当的攻击手段 采用合理的方法与步骤 才能取得预期的效果 什么是网络攻击 Chapter25 75 什么是网络攻击 网络攻击 网络攻击者利用目前网络通信协议 如TCP IP协议 自身存在的或因配置不当而产生的安全漏洞 用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等 通过使用网络命令 从Internet上下载的专用软件或者攻击者自己编写的软件 非法进入本地或远程用户主机系统 非法获得 修改 删除用户系统的信息以及在用户系统上添加垃圾 色情或者有害信息 如特洛伊木马 等一系列过程的总称 Chapter26 75 常见的网络攻击手段 阻塞类攻击控制类攻击探测类攻击欺骗类攻击漏洞类攻击破坏类攻击注意 在一次网络攻击中 并非只使用上述六种攻击手段中的某一种 而是多种攻击手段相综合 取长补短 发挥各自不同的作用 Chapter27 75 阻塞类攻击 1 2 阻塞类攻击企图通过强制占有信道资源 网络连接资源 存储空间资源 使服务器崩溃或资源耗尽无法对外继续提供服务 拒绝服务攻击 DoS DenialofService 是典型的阻塞类攻击 它是一类个人或多人利用Internet协议组的某些工具 拒绝合法用户对目标系统 如服务器 和信息的合法访问的攻击 常见的方法 TCPSYN洪泛攻击 Land攻击 Smurf攻击 电子邮件炸弹等多种方式 Chapter28 75 阻塞类攻击 2 2 DoS攻击的后果 使目标系统死机 使端口处于停顿状态 在计算机屏幕上发出杂乱信息 改变文件名称 删除关键的程序文件 扭曲系统的资源状态 使系统的处理速度降低 Chapter29 75 控制类攻击 控制型攻击是一类试图获得对目标机器控制权的攻击 最常见的三种 口令攻击 特洛伊木马 缓冲区溢出攻击 口令截获与破解仍然是最有效的口令攻击手段 进一步的发展应该是研制功能更强的口令破解程序 木马技术目前着重研究更新的隐藏技术和秘密信道技术 缓冲区溢出是一种常用的攻击技术 早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击 现在研究制造缓冲区溢出 Chapter30 75 探测类攻击 信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息 为下一步入侵提供帮助 主要包括 扫描技术 体系结构刺探 系统信息服务收集等 目前正在发展更先进的网络无踪迹信息探测技术 网络安全扫描技术 网络安全防御中的一项重要技术 其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查 它既可用于对本地网络进行安全增强 也可被网络攻击者用来进行网络攻击 Chapter31 75 欺骗类攻击 欺骗类攻击包括IP欺骗和假消息攻击 前一种通过冒充合法网络主机骗取敏感信息 后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击 主要包括 ARP缓存虚构 DNS高速缓存污染 伪造电子邮件等 Chapter32 75 漏洞类攻击 针对扫描器发现的网络系统的各种漏洞实施的相应攻击 伴随新发现的漏洞 攻击手段不断翻新 防不胜防 漏洞 Hole 系统硬件或者软件存在某种形式的安全方面的脆弱性 这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限 要找到某种平台或者某类安全漏洞也是比较简单的 在Internet上的许多站点 不论是公开的还是秘密的 都提供漏洞的归档和索引等 Chapter33 75 软件漏洞 每周平均发现的新漏洞数 Chapter34 75 破坏类攻击 破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击 包括计算机病毒 逻辑炸弹等攻击手段 逻辑炸弹与计算机病毒的主要区别 逻辑炸弹没有感染能力 它不会自动传播到其他软件内 注意 由于我国使用的大多数系统都是国外进口的 其中是否存在逻辑炸弹 应该保持一定的警惕 对于机要部门中的计算机系统 应该以使用自己开发的软件为主 Chapter35 75 两种安全防护模型 响应式安全防护模型 基于特定威胁的特征 目前绝大多数安全产品均基于这种模型通过名字识别攻击根据需要进行响应减轻损失事后恢复主动式安全防护模型 以识别和阻挡未知威胁为主导思想早期预警技术有效的补丁管理主动识别和阻挡技术 Chapter36 75 防火墙概述 1 防火墙的功能 2 防火墙的分类 3 防火墙的局限性 4 什么是防火墙 Chapter37 75 什么是防火墙 不可信网络和服务器 可信网络 防火墙 路由器 Internet Intranet 可信用户 不可信用户 DMZ Chapter38 75 什么是防火墙 定义 防火墙 Firewall 是一种用来加强网络之间访问控制的特殊网络互连设备 是一种非常有效的网络安全模型 核心思想 在不安全的网际网环境中构造一个相对安全的子网环境 目的 都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道 以按照事先制定的策略控制信息的流入和流出 监督和控制使用者的操作 Chapter39 75 什么是防火墙 防火墙可在链路层 网络层和应用层上实现 其功能的本质特征是隔离内外网络和对进出信息流实施访问控制 隔离方法可以是基于物理的 也可以是基于逻辑的 从网络防御体系上看 防火墙是一种被动防御的保护装置 Chapter40 75 防火墙的功能 网络安全的屏障 过滤不安全的服务 两层含义 内部提供的不安全服务和内部访问外部的不安全服务 阻断特定的网络攻击 联动技术的产生 部署NAT机制 提供了监视局域网安全和预警的方便端点 提供包括安全和统计数据在内的审计数据 好的防火墙还能灵活设置各种报警方式 Chapter41 75 防火墙的分类 1 个人防火墙是在操作系统上运行的软件 可为个人计算机提供简单的防火墙功能 大家常用的个人防火墙有 NortonPersonalFirewall 天网个人防火墙 瑞星个人防火墙等 安装在个人PC上 而不是放置在网络边界 因此 个人防火墙关心的不是一个网络到另外一个网络的安全 而是单个主机和与之相连接的主机或网络之间的安全 Chapter42 75 防火墙的分类 2 软件防火墙个人防火墙也是一种纯软件防火墙 但其应用范围较小 且只支持Windows系统 功能相对来说要弱很多 并且安全性和并发连接处理能力较差 作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能 不仅支持Windows系统 并且多数都支持Unix或Linux系统 如十分著名的CheckPointFireWall 1 MicrosoftISAServer2000等 Chapter43 75 防火墙的分类 3 一般硬件防火墙不等同于采用专用芯片的纯硬件防火墙 但和纯软件防火墙有很大差异 一般由小型的防火墙厂商开发 或者是大型厂商开发的中低端产品 应用于中小型企业 功能比较全 但性能一般 一般都采用PC架构 就是一台嵌入式主机 但使用的各个配件都量身定制 Chapter44 75 防火墙的分类 其操作系统一般都采用经过精简和修改过内核的Linux或Unix 安全性比使用通用操作系统的纯软件防火墙要好很多 并且不会在上面运行不必要的服务 这样的操作系统基本就没有什么漏洞 但是 这种防火墙使用的操作系统内核一般是固定的 是不可升级的 因此新发现的漏洞对防火墙来说可能是致命的 国内自主开发的防火墙大部分都属于这种类型 Chapter45 75 防火墙的分类 4 纯硬件防火墙采用专用芯片 非X86芯片 来处理防火墙核心策略的一种硬件防火墙 也称为芯片级防火墙 专用集成电路 ASIC 芯片或者网络处理器 NP 芯片 最大的亮点 高性能 非常高的并发连接数和吞吐量 采用ASIC芯片的方法在国外比较流行 技术也比较成熟 如美国NetScreen公司的高端防火墙产品 国内芯片级防火墙大多还处于开发发展的阶段 采用的是NP技术 Chapter46 75 网络的安全性通常是以网络服务的开放性和灵活性为代价的 防火墙的使用也会削弱网络的功能 由于防火墙的隔离作用 在保护内部网络的同时使它与外部网络的信息交流受到阻碍 由于在防火墙上附加各种信息服务的代理软件 增大了网络管理开销 还减慢了信息传输速率 在大量使用分布式应用的情况下 使用防火墙是不切实际的 防火墙的局限性 Chapter47 75 防火墙只是整个网络安全防护体系的一部分 而且防火墙并非万无一失 只能防范经过其本身的非法访问和攻击 对绕过防火墙的访问和攻击无能为力 不能解决来自内部网络的攻击和安全问题 不能防止受病毒感染的文件的传输 不能防止策略配置不当或错误配置引起的安全威胁 不能防止自然或人为的故意破坏 不能防止本身安全漏洞的威胁 防火墙的局限性 Chapter48 75 防火墙的体系结构 1 双宿主机 2 屏蔽主机 3 屏蔽子网 4 分组过滤路由器 Chapter49 75 防火墙的体系结构 防火墙的体系结构 防火墙系统实现所采用的架构及其实现所采用的方法 它决定着防火墙的功能 性能以及使用范围 防火墙可以被设置成许多不同的结构 并提供不同级别的安全 而维护运行的费用也各不相同 Chapter50 75 分组过滤路由器 Chapter51 75 分组过滤路由器 作为内外网连接的唯一通道 要求所有的报文都必须在此通过检查 通过在分组过滤路由器上安装基于IP层的报文过滤软件 就可利用过滤规则实现报文过滤功能 缺点 在单机上实现 是网络中的 单失效点 不支持有效的用户认证 不提供有用的日志 安全性低 Chapter52 75 双宿主机 Chapter53 75 双宿主机 在被保护网络和Internet之间设置一个具有双网卡的堡垒主机 IP层的通信完全被阻止 两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成通常采用代理服务的方法堡垒主机上运行着防火墙软件 可以转发应用程序和提供服务等优缺点 堡垒主机的系统软件可用于身份认证和维护系统日志 有利于进行安全审计该方式的防火墙仍是网络的 单失效点 隔离了一切内部网与Internet的直接连接 不适合于一些高灵活性要求的场合 Chapter54 75 屏蔽主机 Chapter55 75 屏蔽主机 一个分组过滤路由器连接外部网络 同时一个运行网关软件的堡垒主机安装在内部网络 通常在路由器上设立过滤规则 使这个堡垒主机成为从外部唯一可直接到达的主机 提供的安全等级较高 因为它实现了网络层安全 包过滤 和应用层安全 代理服务 过滤路由器是否正确配置是这种防火墙安全与否的关键 过滤路由器的路由表应当受到严格的保护 如果路由表遭到破坏 则堡垒主机就有被越过的危险 Chapter56 75 屏蔽子网 Chapter57 75 屏蔽子网 是最安全的防火墙系统 它在内部网络和外部网络之间建立一个被隔离的子网 非军事区 DMZ DemilitarizedZone 在很多实现中 两个分组过滤路由器放在子网的两端 内部网络和外部网络均可访问被屏蔽子网 但禁止它们穿过被屏蔽子网通信通常将堡垒主机 各种信息服务器等公用服务器放于DMZ中堡垒主机通常是黑客集中攻击的目标 如果没有DMZ 入侵者控制堡垒主机后就可以监听整个内部网络的会话 Chapter58 75 防火墙技术展望 1 分布式防火墙 2 网络安全产品的系统化 3 智能防火墙 Chapter59 75 智能防火墙 传统防火墙 采用数据匹配检查技术智能防火墙 采用人工智能识别技术 统计 记忆 概率和决策等 优势 安全 高效模型与应用 在保护网络和站点免受黑客攻击 阻断病毒的恶意传播 有效监控和管理内部局域网 保护必需的应用安全 提供强大的身份认证授权和审计管理等方面具有广泛的应用价值 Chapter60 75 分布式防火墙 传统防火墙 边界防火墙缺陷 结构性限制 内部威胁 效率和故障分布式防火墙 广义 一种新的防火墙体系结构 包含网络防火墙 主机防火墙和管理中心 优势 在网络内部增加了另一层安全 有效抵御来自内部的攻击 消除网络边界上的通信瓶颈和单一故障点 支持基于加密和认证的网络应用 与拓扑无关 支持移动计算 Chapter61 75 网络安全产品的系统化 1 2 以防火墙为核心的网络安全体系 解决方法 直接把相关安全产品 做 到防火墙中各个产品相互分离 但是通过某种通信方式形成一个整体 防火墙联动技术 联动 通过一种组合的方式 将不同技术与防火墙技术进行整合 在提高防火墙自身功能和性能的同时 由其他技术完成防火墙所缺乏的功能 以适应网络安全整体化 立体化的要求 Chapter62 75 网络安全产品的系统化 2 2 防火墙与防病毒产品联动防火墙与IDS联动防火墙与认证系统联动防火墙与日志分析系统联动 Chapter63 75 主流防火墙产品简介 国内 天融信网络卫士防火墙 NGFW 我国第一套自主版权的防火墙系统TOPSEC TalentOpenProtocolforSecurity 安全体系 联动协议安全标准 Chapter64 75 主流防火墙产品简介 国外 CheckPoint的Firewall 1防火墙状态检测 StatefulInspection 技术最早由CheckPoint提出OPSEC OpenPlatformforSecureEnterpriseConnectivity 开放安全企业互联联盟的组织和倡导者之一 允许用户通过一个开放的 可扩展的框架集成 管理所有的安全产品 目前已有包括IBM