网络安全体系结构概述PPT课件

.,1,网络安全体系结构概述,1.安全体系的需求2.常见的网络安全问题3.网络攻击的手段4.网络安全技术5.安全方案与实施6.安全标准及安全管理,.,2,Email,Web,ISP门户网站,复杂程度,时间,Internet变得越来越重要,.,3,Internet变得越来越糟糕,网络无处不在的特性使进攻随时随地可以发起；网络本身就蓄积了大量的攻击技巧（大概有26万个站点提供此类知识）；攻击软件层出不穷。,.,4,网络安全问题日益突出,.,5,开放的网络外部环境越来越多的基于网络的应用企业的业务要求网络连接的不间断性来自内部的安全隐患有限的防御措施错误的实现、错误的安全配置糟糕的管理和培训黑客的攻击,网络风险难以消除？,.,6,网络攻击的后果,设备、系统损坏服务不可得财务损失数据丢失信息泄漏遭受篡改的信息造成误动作集体凝聚力下降、相互信任感受损,.,7,常见网络攻击的分类,针对通讯层以下针对OS的攻击针对通用的服务协议针对特定的应用程序,.,8,网络安全体系结构概述,1.安全体系的需求2.常见的网络安全问题3.网络攻击的手段4.网络安全技术5.安全方案与实施6.安全标准及安全管理,.,9,常见的网络安全问题,垃圾邮件网络扫描和拒绝服务攻击端口扫描和缺陷扫描DDOS、DOS入侵和蠕虫蠕虫：nimda、CRII系统缺陷,.,10,垃圾邮件危害,网络资源的浪费欧洲委员会公布的一份报告，垃圾邮件消耗的网络费用每年高达100亿美元资源盗用利用他人的服务器进行垃圾邮件转发威胁网络安全,.,11,DOS、扫描危害,占用资源占用大量带宽服务器性能下降影响系统和网络的可用性网络瘫痪服务器瘫痪往往与入侵或蠕虫伴随缺陷扫描DDOS,.,12,入侵、蠕虫造成的危害,信息安全机密或个人隐私信息的泄漏信息篡改可信性的破坏系统安全后门的存在资源的丧失信息的暴露网络安全基础设施的瘫痪,.,13,垃圾邮件的预防,垃圾邮件特点邮件转发原理配置Sendmail关闭转发配置Exchange关闭转发,.,14,垃圾邮件定义,定义1：垃圾邮件就是相同的信息，在互联网中被复制了无数遍，并且一直试图着强加给那些不乐意接受它们的人群。定义2：垃圾邮件是一种最令人头疼而又让人束手无策的推销传单。,.,15,定义3：垃圾邮件是指与内容无关，而且收件人并没有明确要求接受该邮件的发送给多个收件人的信件或张贴物。也可以是发送给与信件主题不相关的新闻组或者列表服务器的同一信件的重复张贴物。UCE（UnsolicitedCommercialEmail，不请自来的商业电子邮件）UBE（UnsolicitedBulkEmail，不请自来的批量电子邮件）定义4：垃圾邮件泛指未经请求而发送的电子邮件，如未经发件人请求而发送的商业广告或非法的电子邮件,垃圾邮件定义,.,16,垃圾邮件特点,内容：商业广告宗教或个别团体的宣传资料发财之道,连锁信等接收者无因接受被迫接受发送手段信头或其它表明身份的信息进行了伪装或篡改通常使用第三方邮件转发来发送,.,17,配置Sendmail关闭转发,Sendmail8.9以上版本etc/mail/relay-domains（控制容许邮件转发）/etc/mail/accessSendmail8.8以下版本升级Sendmail其它版本配置Sendmail缺省不允许转发编辑相应的允许转发IP列表,.,18,如何防止收到垃圾邮件？1）不要把您的邮件地址在INTERNET页面上到处登记；2）不要把您的邮件地址告诉您不太信任的一些人；3）不要订阅一些非正式的不键康的电子杂志，以防止被垃圾邮件收集者收集；4）不要在某些收集垃圾邮件的网页上登记您的邮件地址；5）发现收集或出售电子邮件地址的网站或消息，请告诉相应的主页提供商或主页管理员，将您删除，以避免邮件地址被他们利用，卖给许多商业及非法反动用户；6）建议您用专门的邮箱进行私人通信，而用其他邮箱订阅电子杂志。,防止收到垃圾邮件,.,19,扫描技术,Portscanning:找出网络中开放的服务基于TCP/IP协议，对各种网络服务，无论是主机或者防火墙、路由器都适用端口扫描可以确认各种配置的正确性，避免遭受不必要的攻击用途，双刃剑管理员可以用来确保自己系统的安全性黑客用来探查系统的入侵点端口扫描的技术已经非常成熟，目前有大量的商业、非商业的扫描器,.,20,扫描简介,缺陷扫描目的是发现可用的缺陷Satan、SSCAN服务扫描目的是为了发现可用的服务WWWscanftpscanProxyscan,.,21,扫描器的重要性,扫描器能够暴露网络上潜在的脆弱性无论扫描器被管理员利用，或者被黑客利用，都有助于加强系统的安全性它能使得漏洞被及早发现，而漏洞迟早会被发现的扫描器可以满足很多人的好奇心扫描器除了能扫描端口，往往还能够发现系统存活情况，以及哪些服务在运行用已知的漏洞测试这些系统对一批机器进行测试，简单的迭代过程有进一步的功能，包括操作系统辨识、应用系统识别,.,22,拒绝服务攻击简介,DoS的英文全称是DenialofService，也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问，破坏组织的正常运行，最终它会使你的部分Internet连接和网络系统失效。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。,.,23,拒绝服务(DenialofService),回顾信息安全的三个主要需求：保密性、完整性、可用性(availability)DoS是针对可用性发起的攻击关于DoS技术和原理都非常简单，并且已经工具化难以防范，有些DoS可以通过管理的手段防止DoS的动机受挫折，无法攻入目标系统，最后一招:DOS强行对方重启机器恶意的破坏、或者报复网络恐怖主义,.,24,DoS攻击的基本过程,我们可以看出DoS攻击的基本过程：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。,.,25,DoS的危害,使得正常的服务不能提供案例：1996年9月，一家ISP(PublicAccessNetworks)公司遭受拒绝服务达一周一上，拒绝对约6000多人和1000家公司提供Internet服务政府网站美国白宫的网站曾经遭受拒绝服务攻击分布式拒绝服务2000年2月，一批商业性质的Web站点收到了DDoS的攻击,.,26,DoS的形式,粗略来看，分为三种形式消耗有限的物理资源网络连接带宽资源其他资源，如磁盘空间、进程数合法用户可登录尝试的次数有限，攻击者可以用掉这些尝试次数修改配置信息造成DoS比如，修改路由器信息，造成不能访问网络；修改NT注册表，也可以关掉某些功能物理部件的移除，或破坏,.,27,DoS的技术分类,从表现形式来看带宽消耗用足够的资源消耗掉有限的资源利用网络上的其他资源(恶意利用Internet共享资源)，达到消耗目标系统或网络的目的系统资源消耗，针对操作系统中有限的资源，如进程数、磁盘、CPU、内存、文件句柄，等等程序实现上的缺陷，异常行为处理不正确，比如PingofDeath修改(篡改)系统策略，使得它不能提供正常的服务从攻击原理来看通用类型的DoS攻击，这类攻击往往是与具体系统无关的，比如针对协议设计上的缺陷的攻击系统相关的攻击，这类攻击往往与具体的实现有关说明：最终，所有的攻击都是系统相关的，因为有些系统可以针对协议的缺陷提供一些补救措施，从而免受此类攻击,.,28,DoS的技术历史,早期的Internet蠕虫病毒消耗网络资源非法的TCP标志，SYNFlood，等利用系统实现上的缺陷，点对点形式PingofDeath,IP分片重叠分布式DoS(DDoS)攻击,.,29,一些典型的DoS攻击,PingofDeath发送异常的(长度超过IP包的最大值)SYNFlood快速发送多个SYN包UDPFloodTeardropIP包的分片装配Smurf给广播地址发送ICMPEcho包，造成网络阻塞,.,30,PingofDeath,原理：直接利用ping包，即ICMPEcho包，有些系统在收到大量比最大包还要长的数据包，会挂起或者死机受影响的系统：许多操作系统受影响攻击做法直接利用ping工具，发送超大的ping数据包防止措施打补丁防火墙阻止这样的ping包,.,31,防止DoS,对于网络路由器和防火墙配置得当，可以减少受DoS攻击的危险比如，禁止IP欺骗可以避免许多DoS攻击入侵检测系统，检测异常行为对于系统升级系统内核，打上必要的补丁，特别是一些简单的DoS攻击，例如SYNFlooding关掉不必要的服务和网络组件如果有配额功能的话，正确地设置这些配额监视系统的运行，避免降低到基线以下检测系统配置信息的变化情况保证物理安全建立备份和恢复机制,.,32,网络安全体系结构概述,1.安全体系的需求2.常见的网络安全问题3.网络攻击的手段4.网络安全技术5.安全方案与实施6.安全标准及安全管理,.,33,网络攻击的手段,病毒特洛伊木马口令入侵网络欺骗邮件炸弹Sniffer(网络监听）入侵攻击伪装,.,34,计算机病毒“为什么叫做病毒。首先，与医学上的”病毒“不同，它不是天然存在的，是某些人利用计算机软、硬件，编制具有特殊功能的程序。由于它与生物医学上的病毒同样有传染和破坏的特性，因此这一名词是由生物医学上的病毒概念引申而来计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,计算机病毒定义,.,35,那么究竟它是如何产生的呢？其过程可分为：程序设计-传播-潜伏-触发、运行-实行攻击。究其产生的原因不外乎以下几种：开个玩笑，一个恶作剧。产生于个别人的报复心理。用于版权保护。用于特殊目的。,病毒的产生,.,36,计算机病毒的特点,1、传染性这是计算机病毒的重要特征.计算机病毒进入计算机系统后,就会自动地开始寻找传染对象,并迅速传染给它,这里的对象可以是程序、磁盘或网络中的一个计算机系统。2、隐蔽性病毒程序一般技巧性较高，它可用附加或插入的方法隐蔽在操作系统或可执行文件中，很难被发现.,.,37,计算机病毒的特点,3、潜伏性病毒进入计算机后一般不会立即发作，但在此期间，只要计算机系统工作就可以传染病毒。一旦发作的条件成熟,这种潜伏性就会立即转化为破坏性。4、破坏性这也是机算机病毒的重要特征,即降低计算机系统的工作效率,占用系统资源，其具体情况取决于入侵系统的病毒程序。这也是它的最终目的。,.,38,典型病毒,CRII蠕虫感染主机全球超过30万台导致大量网络设备瘫痪Nimda蠕虫病毒即尼姆达病毒，又叫概念(Concept)病毒，是一种通过网络传播的计算机病毒，它能利用多种传播途径对几乎所有Windows系统操作系统(包括Windows95/98/ME,NT和2000等)发动攻击。而且染毒的机器会自动向其他机器发动攻击和发送带毒的email，并造成网络堵塞。,.,39,特征码扫描法,特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。该技术实现简单有效，安全彻底；但查杀病毒滞后，并且庞大的特征码库会造成查毒速度下降；,目前广泛应用的3种病毒防治技术,.,40,虚拟执行技术,该技术通过虚拟执行方法查杀病毒，可以对付加密、变形、异型及病毒生产机生产的病毒，具有如下特点：,在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机器”在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则杀毒后将其还原到原文件中，从而实现对各类可执行文件内病毒的查杀,.,41,文件实时监控技术,通过利用操作系统底层接口技术，对系统中的所有类型文件或指定类型的文件进行实时的行为监控，一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。这种技术能够有效控制病毒的传播途径，但是这种技术的实现难度较大，系统资源的占用率也会有所降低。,.,42,特洛伊程序的由来特洛伊程序是由编程人员创造的。它的作者都有着自己的意图。这种意图可以是任意的。但是基于在Internet的安全的前题，一个特洛伊程序将要做的是下列两件事中的一件（或两者兼有）：提供一些功能，这些功能可以泄露一些系统的私有信息给程序的作者或者控制该系统。隐藏了一些功能，这些功能能够将系统的私有信息泄露给程序的作者，或者能够控制该系统。,特洛伊木马,.,43,特洛伊木马,特洛伊程序代表哪一级别的危险？特洛伊程序代表了一种很高级别的危险，主要是因为我们已经提到的几种原因：特洛伊程序很难以被发现在许多情况下，特洛伊程序是在二进制代码中发现的，它们大多数以无法阅读的形式存在特洛伊程序可作用于许多机器中,.,44,特洛伊木马程序,BackOrifice工作于windows95/98，client/server结构，使被安装计算机能够从远程控制冰河,.,45,口令入侵,口令不会被解开，多数口令加密过程都是单向、不可逆的。但是可以使用仿真工具，利用与原口令程序相同的方法，通过对比分析，用不同的加密口令去取匹配原口令。,.,46,口令入侵,破解的基础-字典该文件是一个单词明码正文表典型的对字典的替换规则大小些交替使用把单词正向、反向拼写后，接在一起（如cannac）在每个单词的开头和结尾加上数字1,.,47,网络欺骗,IP欺骗假冒他人的IP地址发送信息邮件欺骗假冒他人的email地址发送信息Web欺骗你能相信你所看到的信息吗？其他欺骗术DNS欺骗非技术性欺骗,.,48,IP欺骗,IP欺骗的动机隐藏自己的IP地址，防止被跟踪以IP地址作为授权依据穿越防火墙IP欺骗的形式单向IP欺骗：不考虑回传的数据包双向IP欺骗：要求看到回传的数据包更高级的欺骗：TCP会话劫持IP欺骗成功的要诀IP数据包路由原则：根据目标地址进行路由,.,49,IP欺骗,IP欺骗就是伪造他人的源IP地址。其实质就是让一台机器扮演另一台机器。常见的攻击过程让被替代的机器A休眠发现目标机器B的序列号规律冒充机器A向机器B发出请求，算出机器应该发来什么序列号，给出机器B想要的回应。这样就可以利用机器B对机器A的信任关系进行攻击。,.,50,IP欺骗：改变自己的地址,用网络配置工具改变机器的IP地址注意：只能发送数据包收不到回包防火墙可能阻挡在Linux平台上用ifconfig,.,51,IP欺骗,IP欺骗的保护：主机保护，两种考虑保护自己的机器不被用来实施IP欺骗物理防护、登录口令权限控制，不允许修改配置信息保护自己的机器不被成为假冒的对象网络防护路由器上设置欺骗过滤器入口过滤，外来的包带有内部IP地址出口过滤，内部的包带有外部IP地址保护免受源路由攻击路由器上禁止这样的数据包,.,52,电子邮件欺骗的动机隐藏发信人的身份，匿名信挑拨离间，唯恐世界不乱骗取敏感信息欺骗的形式使用类似的电子邮件地址修改邮件客户软件的账号配置直接连到smtp服务器上发信电子邮件欺骗成功的要诀与邮局的运作模式比较基本的电子邮件协议不包括签名机制,电子邮件欺骗,.,53,电子邮件欺骗：使用类似的地址,发信人使用被假冒者的名字注册一个账号，然后给目标发送一封正常的信,我是你的上司XX，请把XXX发送给我,我在外面度假，请送到我的个人信箱,他(她)能识别吗？,.,54,邮件欺骗的保护,邮件服务器的验证Smtp服务器验证发送者的身份，以及发送的邮件地址是否与邮件服务器属于相同的域验证接收方的域名与邮件服务器的域名是否相同有的也验证发送者的域名是否有效，通过反向DNS解析不能防止一个内部用户假冒另一个内部用户发送邮件审核制度，所有的邮件都有记录隐私？,.,55,Web是应用层上提供的服务，直接面向Internet用户，欺骗的根源在于由于Internet的开放性，任何人都可以建立自己的Web站点Web站点名字(DNS域名)可以自由注册，按先后顺序并不是每个用户都清楚Web的运行规则Web欺骗的动机商业利益，商业竞争政治目的Web欺骗的形式使用相似的域名改写URL劫持Web会话,Web欺骗,.,56,使用类似的域名,注册一个与目标公司或组织相似的域名，然后建立一个欺骗网站，骗取该公司的用户的信任，以便得到这些用户的信息例如，针对ABC公司，用来混淆如果客户提供了敏感信息，那么这种欺骗可能会造成进一步的危害，例如：用户在假冒的网站上订购了一些商品，然后出示支付信息，假冒的网站把这些信息记录下来(并分配一个cookie)，然后提示：现在网站出现故障，请重试一次。当用户重试的时候，假冒网站发现这个用户带有cookie，就把它的请求转到真正的网站上。用这种方法，假冒网站可以收集到用户的敏感信息。对于从事商业活动的用户，应对这种欺骗提高警惕,.,57,改写URL,一个HTTP页面从Web服务器到浏览器的传输过程中，如果其中的内容被修改了的话，则欺骗就会发生，其中最重要的是URL改写URL改写可以把用户带到不该去的地方，例如：WelcomtoHollywood-Moviesite.有一些更为隐蔽的做法直接指向一些恶意的代码把url定向放到script代码中，难以发现改写页面的做法入侵Web服务器，修改页面设置中间http代理在传输路径上截获页面并改写在客户端装载后门程序,.,58,Web会话劫持,HTTP协议不支持会话(无状态)，Web会话如何实现？Cookie用url记录会话用表单中的隐藏元素记录会话Web会话劫持的要点在于，如何获得或者猜测出会话ID,.,59,防止Web欺骗,使用类似的域名注意观察URL地址栏的变化不要信任不可靠的URL信息改写URL查看页面的源文本可以发现使用SSLWeb会话劫持养成显式注销的习惯使用长的会话IDWeb的安全问题很多，我们需要更多的手段来保证Web安全,.,60,防止Web欺骗,使用类似的域名注意观察URL地址栏的变化不要信任不可靠的URL信息改写URL查看页面的源文本可以发现使用SSLWeb会话劫持养成显式注销的习惯使用长的会话IDWeb的安全问题很多，我们需要更多的手段来保证Web安全,.,61,关于欺骗技术,从这些欺骗技术，我们可以看到IP协议的脆弱性应用层上也缺乏有效的安全措施在网络攻击技术中，欺骗术是比较初级的，技术含量并不高，它是针对Internet中各种不完善的机制而发展起来的非技术性的欺骗比如，实施社会工程毕竟网络世界与现实世界是紧密相关的避免被欺骗最好的办法是教育、教育、再教育增强每一个Internet用户的安全意识，网络管理人员以及软件开发人员的安全意识更加重要,.,62,会话(交易)劫持,在现实环境中，比如对于银行一笔交易如果营业员检查了顾客的身份证和账户卡抬起头来，发现不再是刚才的顾客他会把钱交给外面的顾客吗？,在网络上没有人知道你是一条狗,.,63,TCP会话劫持,欺骗和劫持欺骗是伪装成合法用户，以获得一定的利益劫持是积极主动地使一个在线的用户下线，或者冒充这个用户发送消息，以便达到自己的目的动机Sniffer对于一次性密钥并没有用认证协议使得口令不在网络上传输会话劫持分两种被动劫持，实际上就是藏在后面监听所有的会话流量。常常用来发现密码或者其他敏感信息主动劫持，找到当前活动的会话，并且把会话接管过来。迫使一方下线，由劫持者取而代之，危害更大，因为攻击者接管了一个合法的会话之后，可以做许多危害性更大的事情,.,64,会话劫持示意图,被劫持者A,服务器B,.,65,如何防止会话劫持,部署共享式网络，用交换机代替集线器TCP会话加密防火墙配置限制尽可能少量的外部许可连接的IP地址检测ACK包的数量明显增加,.,66,邮件炸弹,邮件炸弹是指发送大量的垃圾邮件造成对方收发电子邮件的困难。如果是ISP（Internet服务器提供商，例如当地数据通讯局）的收费信箱，会让用户凭空增加不少使用费；如果是Hotmail的信箱就造成用户账号被查封；其他的免费信箱可能造成正常邮件的丢失（因为信箱被垃圾邮件填满并超出原定容量，服务器会把该信箱的邮件全部删除）,.,67,邮件炸弹攻击方法,直接轰炸，使用一些发垃圾邮件的专用工具，通过多个SMTP服务器进行发送。这种方法的特点是速度快，直接见效。使用“电邮卡车”之类的软件，通过一些公共服务的服务器对信箱进行轰炸。这种轰炸方式很少见，但是危害很大。攻击者一般使用国外服务器，只要发送一封电子邮件，服务器就可能给被炸用户发成千上万的电子邮件，用户只好更换新的信箱。给目标电子信箱订阅大量的邮件广告。,.,68,Sinffer,Sniffer既可以是硬件，也可以是软件，它用来接收在网络上传输的信息。Sniffer成为一种很大的危险，因为：它们可以截获口令它们可以截获秘密的或专有的信息它们可以被用来攻击相邻的网络,.,69,Sinffer,Sniffer代表着什么级别的危险Sniffer可以截获的不仅仅是用户的ID和口令。它可以截获敏感的经济数据（如信用卡号）、秘密的信息（E-mail）和专有信息。基于入侵者可利用的资源，一个Sniffer可能截获网络上所有的信息。,.,70,Sinffer,检测和消灭嗅探器会话加密将数据隐藏，使嗅探器无法发现加密你最关心的可能是传输一些比较敏感的数据，如用户ID或口令等等。有些数据是没有经过处理的，一旦被sniffer，就能获得这些信息。解决这些问题的办法是加密（例如SSL)。,.,71,社会工程,有时软件并非是系统中最薄弱的环节；有时周围基础结构是系统的最薄弱环节。例如，请考虑社会工程，因为这是攻击者使用社会工作环节来闯入系统的时机。通常，服务中心将接到一个来自听起来挺诚挚的用户的电话，该用户会说服服务专业人员给出本不该泄露的密码，或一些其它应该保密的信息，通过这些信息来发动攻击。通常很容易发动这种攻击。,.,72,安全问题的趋势：混合型攻击,整合了病毒和黑客的攻击技术不需要借助社会工程进行传播和攻击能够自动发现并自动感染和攻击两个例子：CodeRed和Nimda传播速度极快，有可能在20分钟之内感染整个Internet不需要人工干预，利用软件漏洞进行自动攻击攻击程序的破坏性更强,依靠单个产品和某一种安全技术都不能进行有效防护！,.,73,网络安全体系结构概述,1.安全体系的需求2.常见的网络安全问题3.网络攻击的手段4.网络安全技术5.安全方案与实施6.安全标准及安全管理,.,74,网络安全技术,防火墙技术入侵检测技术网络安全评估系统虚拟专用网VPN技术IPSec安全备份和系统灾难恢复,.,75,防火墙技术,防火墙是位于两个或多个网络间，实施网间访问控制的计算机和网络设备的集合，它满足以下条件：内部和外部之间的所有网络数据流必须经过防火墙只有符合安全政策的数据流才能通过防火墙防火墙的作用强化安全策略有效地记录Internet上的活动隔离不同网络，限制安全问题扩散是一个安全策略的检查站,.,76,公共服务器区,因特网,防火墙,基本概念,内部网,.,77,防火墙技术,防火墙的基本设计目标对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙通过一些安全策略，来保证只有经过授权的流量才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上防火墙的控制能力服务控制，确定哪些服务可以被访问方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制，根据用户来控制对服务的访问行为控制，控制一个特定的服务的行为,.,78,防火墙的功能,定义一个必经之点挡住未经授权的访问流量禁止具有脆弱性的服务带来危害实施保护，以避免各种IP欺骗和路由攻击防火墙提供了一个监视各种安全事件的位置，所以，可以在防火墙上实现审计和报警对于有些Internet功能来说，防火墙也可以是一个理想的平台，比如地址转换，Internet日志、审计，甚至计费功能防火墙可以作为IPSec的实现平台,.,79,防火墙操作层次,.,80,防火墙类型,包过滤路由器应用层网关电路层网关,.,81,包过滤路由器,基本的思想很简单对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包往往配置成双向的如何过滤过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。如果匹配到一条规则，则根据此规则决定转发或者丢弃如果所有规则都不匹配，则根据缺省策略,.,82,安全缺省策略,两种基本策略，或缺省策略没有被拒绝的流量都可以通过管理员必须针对每一种新出现的攻击，制定新的规则没有被允许的流量都要拒绝比较保守根据需要，逐渐开放,.,83,包过滤路由器示意图,.,84,包过滤防火墙的优点,速度快灵活可以封锁拒绝服务及相关攻击实现简单，对用户透明,是置于与不可信网络相连的最外边界之理想设备,.,85,包过滤防火墙的缺点,不能阻止利用具体应用的弱点或功能的攻击正确制定规则并不容易不支持高级用户鉴别方案不能有效防止网络地址假冒攻击容易受配置不当的影响,.,86,包过滤路由器应用层网关电路层网关,防火墙类型,.,87,也称为代理服务器特点所有的连接都通过防火墙，防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的认证所有的应用需要单独实现可以提供理想的日志功能非常安全，但是开销比较大,应用层网关,.,88,应用层网关的结构示意图,.,89,应用层网关的优缺点,优点允许用户“直接”访问Internet易于记录日志缺点新的服务不能及时地被代理每个被代理的服务都要求专门的代理软件客户软件需要修改，重新编译或者配置有些服务要求建立直接连接，无法使用代理比如聊天服务、或者即时消息服务代理服务不能避免协议本身的缺陷或者限制,.,90,包过滤路由器应用层网关电路层网关,防火墙类型,.,91,本质上，也是一种代理服务器有状态的包过滤器动态包过滤器状态上下文环境流状态认证和授权方案例子：socks,电路层网关,.,92,电路层网关的优缺点,优点效率高精细控制，可以在应用层上授权为一般的应用提供了一个框架缺点客户程序需要修改(要求链接到sockslibrary),.,93,防火墙本身的一些局限性,对于绕过防火墙的攻击，它无能为力，例如，在防火墙内部通过拨号出去防火墙不能防止内部的攻击，以及内部人员与外部人员的联合攻击(比如，通过tunnel进入)防火墙不能防止被病毒感染的程序或者文件、邮件等,.,94,网络安全技术,防火墙技术入侵检测技术网络安全评估系统虚拟专用网VPN技术IPSec安全备份和系统灾难恢复,.,95,IDS:IntrusionDetectionSystem,入侵检测系统介绍入侵检测系统分类入侵检测系统用到的一些技术入侵检测系统的研究和发展,.,96,入侵检测(IDS),防火墙和IDS是网络安全中互为补充的两项工具实时监控网络流量检查审计信息,寻找入侵活动当发现入侵特征后,告警IDS通常很昂贵,会产生相当多的误报,.,97,IDS的功能,IDS通常执行以下任务监视分析用户及系统活动系统构造和弱点的审计识别反映已知进攻的活动模式并报警异常行为模式的统计分析评估重要系统和数据文件的完整性操作系统的审计跟踪管理并识别用户违反安全策略的行为,.,98,防火墙不能：抵挡来自内部的攻击防止“社会工程”防范绕过防火墙的攻击。内部提供拨号服务病毒威胁扫描器：好与坏提供行动计划和依据需要资源修复漏洞修复漏洞的同时又出现其他漏洞无法确定与某一特定应用相关的,为什么需要入侵检测,.,99,IDS的用途,攻击工具攻击命令,攻击机制,目标网络,目标系统,攻击者,漏洞扫描评估加固,攻击过程,实时入侵检测,.,100,入侵检测系统的实现过程,信息收集，来源：网络流量系统日志文件系统目录和文件的异常变化程序执行中的异常行为信息分析模式匹配统计分析完整性分析，往往用于事后分析,.,101,入侵检测系统的通用模型,数据源,模式匹配器,系统轮廓分析引擎,数据库,入侵模式库,异常检测器,响应和恢复机制,.,102,入侵检测系统的分类,IDS一般从实现方式上分为两种基于主机的IDS和基于网络的IDS，一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统基于主机安全操作系统必须具备一定的审计功能，并记录相应的安全性日志基于网络IDS可以放在防火墙或者网关的后面，以网络嗅探器的形式捕获所有的对内对外的数据包,.,103,基于网络的IDS,基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，IDS应答模块通过通知报警以及中断连接等方式来对攻击作出反应基于网络的入侵检测系统的主要优点有1成本低2攻击者转移证据很困难3实时检测和应答。一旦发生恶意访问或攻击基于网络的IDS检测可以随时发现它们因此能够更快地作出反应从而将入侵活动对系统的破坏减到最低4能够检测未成功的攻击企图5操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能发挥作用,.,104,基于主机的IDS,基于主机的IDS一般监视WindowsNT上的系统、事件、安全日志以及UNIX环境中的syslog文件。一旦发现这些文件发生任何变化IDS将比较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话检测系统就向管理员发出入侵报警并且发出采取相应的行动基于主机的IDS的主要优势有(1)非常适用于加密和交换环境(2)接近实时的检测和应答(3)不需要额外的硬件,.,105,异常检测(anomalydetection)也称为基于行为的检测首先建立起用户的正常使用模式，即知识库标识出不符合正常模式的行为活动难点正常模式的知识库难以建立难以明确划分正常模式和异常模式误用检测(misusedetection)也称为基于特征的检测建立起已知攻击的知识库判别当前行为活动是否符合已知的攻击模式难点：如何做到动态更新，自适应,IDS的技术,.,106,IDS的两个指标,漏报率指攻击事件没有被IDS检测到误报率(falsealarmrate)把正常事件识别为攻击并报警误报率与检出率成正比例关系,.,107,IDS与响应和恢复技术,IDS属于检测的环节，一旦检测到入侵或者攻击，必须尽快地做出响应，以保证信息系统的安全IDS的响应机制，可以从基本的管理角度来考虑，也可以从技术角度来实施，包括与其他防护系统的互操作，比如防火墙对于一个企业而言，IDS与DRP(DisasterRecoveryPlanning)需要一起来制订和实施DRP包括业务影响分析(BIA,BusinessImpactAnalysis)数据必须定期备份信息系统的根本目的是提供便利的服务灾难评估明确责任人,.,108,防火墙技术入侵检测技术网络安全评估系统虚拟专用网VPN技术IPSec安全备份和系统灾难恢复,网络安全技术,.,109,无法量化的东西是无法管理的！,什么是风险评估?“我们有多安全？”查找已知的弱点与漏洞检查制定的安全策略是否被执行检验已实施的安全策略的有效性提供有效的建议方案自动修复,.,110,评估企业范围内的安全风险和漏洞(包括网络)检测违反安全策略的行为确保企业安全策略的一致性提供全企业范围内的、集成的安全管理构架,我们的网络有多安全?,如何知道?,风险评估的作用,.,111,风险评估的类型,1、基于主机（Host-Based）2、基于网络（Network-Based）,.,112,Host-Based评估,由內而外的角度在每台系统上详细检查可能的风险可产生整个网络的安全评估报告调度定期执行，对网络冲击极小,.,113,Host-Based评估些什么？,口令強度帐号配置网络参数NTRAShttpftptelnet其他网络port与问题,文件保护配置Patch等级太旧特定O/S问题WindowsNTregistryNetWareNDS问题UNIXsuid文件,.,114,系统漏洞扫描,.,115,数据库漏洞扫描,.,116,Network-Based评估,由外而內的观点以黑客的角度来检测网络无法提供用户使用不当的风险评估可针对无法部署host软件的网络设