CISP-网络安全应用-newPPT课件

.,1,常见网络安全技术,中国信息安全测评中心,.,2,目录,防火墙入侵检测(IDS)安全隔离与信息交换系统PKIVPN,.,3,网络安全威胁,.,4,一、防火墙,.,5,防火墙,什么是防火墙？防火墙的分类防火墙的功能防火墙提供的安全服务防火墙的局限性防火墙的性能指标,.,6,什么是防火墙？,简单的说,防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合。防火墙的部署,.,7,包过滤防火墙,包过滤防火墙,.,8,代理防火墙,代理防火墙,.,9,混合型防火墙,混合型防火墙,.,10,防火墙的功能,一般来说，防火墙具有以下几种功能：防止非法用户进入内部网络。可以很方便地监视网络的安全性，并报警。可以作为部署NAT（NetworkAddressTranslation，网络地址变换）的地点。是审计和记录Internet使用费用的一个最佳地点。可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的非军事区（DMZ）。,.,11,防火墙提供的安全服务,几乎所有的防火墙提供以下两个安全服务：加密身份认证（EncryptedAuthentication）允许公共网络上的用户从外部网络为获得对专用网络的访问权证实他们的身份虚拟专用网（VirtualPrivateNetworking,VPN）通过公共媒介为两个专用的网络之间建立一个安全的连接这将使两个物理上分离的网络使用因特网连接而不是租用线连接进行通讯,.,12,防火墙的局限性,防火墙是一个确保网络安全的强大工具。然而有些事情它也做不了。重要的是，既要了解它带来的利益，也要认识到它的局限性。因此，对于不同类型的防火墙来说，存在着多种不可防范的攻击方式。IP欺骗D.O.S拒绝服务攻击分片攻击木马,.,13,防火墙的性能指标,RFC2544吞吐量背靠背延时丢包率,RFC3511吞吐量TCP并发连接数最大TCP连接建立速率最大TCP连接释放速率抗DoS攻击能力HTTP转输速率最大HTTP传输速率非法数据流的处理能力IP碎片处理能力延时,.,14,二、入侵检测(IDS),.,15,二、入侵检测系统(IDS),什么是IDS?IDS的功能入侵检测系统的分类入侵检测系统模型IDS的性能IDS的自身安全IDS的弱点和局限,.,16,什么是IDS？IntrusionDetectionSystem在网络或计算机系统中的若干关键点收集和分析信息，识别是否存在对计算机和网络资源上的恶意使用或违反安全策略的行为，并对此做出响应。为什么需要IDS？IDS的部署,.,17,IDS的功能,监控网络和系统发现入侵企图或异常现象实时报警主动响应窗口报警E-mail通知切断TCP连接执行自定义程序与其他安全产品交互FirewallSNMPTrap,.,18,主要构成组件,传感器（驱动引擎）用于捕获和分析数据包控制台管理引擎，并且给出报告一个控制台可以管理多个引擎,.,19,入侵检测系统的分类,按技术分类特征检测异常检测按监测对象分类基于网络入侵检测系统(NIDS)基于主机入侵检测系统(HIDS)网络节点入侵检测（NNIDS）,.,20,基于网络的IDS,功能：通过连接在网络上的站点捕获网上的包,并分析。优点：可以监视并检测网络攻击（如大量数据包的攻击）隐蔽性好：由于不是主机，因此可以不允许别人存取其本地存储器,不让别人运行程序,而且不让多个用户使用它。花费较少：使用一个驱动引擎就可以保护一个共享的网段,所以不需要很多的驱动引擎。占资源少：在被保护的网段上不用占用任何资源。缺点：无法得出在主机上执行的命令所产生的结果。这在区分用户错误和不法行为时的一个重要问题。加密情况下，无法检测协议或内容。交换环境下检测困难目前不能处理高速网络。,.,21,基于系统的IDS,功能：用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等。优点：更加细腻：这种方法可以很容易地监测如对敏感文件、目录、程序或端口的存取。系统可在加密的环境中运行系统可运行在交换的网络环境缺点对于基于系统的入侵检测，网络活动是不可见的当将校验过程做为数据源使用时，会占用大量存贮空间操作系统的漏洞会削弱基于系统的代理和分析器的完整性基于系统的代理器必须使用专门的平台。,.,22,基本工作流程,分析器,模式匹配器,对策部分,IDS,.,23,入侵检测系统模型,入侵检测系统的通用模型(CIDF)CommonIntrusionDetectionFramework感应器事件分析器事件响应器特征库,.,24,IDS的性能,攻击检测误报（falsepositives）漏报（falsenegatives）大流量下的数据处理能力IDS规避IP碎片的重组能力可识别的攻击数量,.,25,IDS的自身安全,IDS相关系统的脆弱性IDS本身应当具有相当高的安全性，一般用于监听的网卡都没有IP地址，并且其它网卡不会开放任何端口。但与IDS相关的系统可能会受到攻击。控制台主机的安全脆弱性有些系统具有单独的控制台，如果攻击者能够控制控制台所在的主机，就可以对整个IDS系统进行控制。传感器与控制台通信的脆弱性如果传感器与控制台间的通信可以被攻击者成功攻击，将影响系统正常使用。例如进行ARP欺骗或者SYN_Flooding。如果传感器与控制台间的通信采用明文通信或者只是简单的加密，则可能受到IP欺骗攻击或者重放攻击。,.,26,IDS的弱点和局限,HIDS的弱点和局限NIDS的弱点和局限,.,27,HIDS的局限,资源局限由于HIDS安装被保护主机上，故所占用的资源不能太多。操作系统局限不象NIDS，厂家可以自己定制一个足够安全的操作系统来保证NIDS自身的安全，HIDS的安全性受其所在主机的操作系统的安全性限制，如果所在系统被攻破，HIDS将很快被清除。系统日志限制HIDS会通过监测系统日志来发现可疑的行为，但有些程序的系统日志并不足够详细，或者没有日志。有些入侵行为本身不会被系统日志纪录下来。如果系统没有安装第三方日志系统，则系统自身的日志系统很快会受到入侵者的攻击或修改，而入侵检测系统通常不支持第三方的日志系统。如果HIDS没有实时检查系统日志，则利用自动化工具进行的攻击将完全可能在检测间隔中完成所有的攻击工程并清除在系统日志中留下的痕迹。被修改过的系统核心能够骗过文件检查如果入侵者修改系统核心，则可以骗过基于文件一致性检查的工具。这就像当初某些病毒，当它们认为受到检查或者跟踪的时候会将原来的文件或者数据提供给检查工具或者跟踪工具。网络检测局限有些HIDS可以检查网络状态，但这将面临NIDS所面临的很多问题。,.,28,NIDS的局限,网络局限检测方法局限NIDS不能处理加密后的数据，即使只是简单的替换，NIDS也难以处理。NIDS难以检测重放攻击、中间人攻击、对网络监听也无能为力。目前的NIDS还难以有效的检测DDoS攻击。异常检测常用于对端口扫描和DoS攻击的检测。NIDS存在一个流量日志的上限，如果扫描间隔超过这个上限，NIDS将忽略掉这个扫描。检测规则的更新总是落后于攻击手段的更新，因此存在一个发现新入侵方法到用户升级规则库的时间差，对有心的入侵者将有充足的时间进行入侵。对于应用层的协议，一般的NIDS只简单的处理了常用的如HTTP、FTP、SMTP等，尚有大量的协议没有处理，直接针对一些特殊协议或者用户自定义协议的攻击，都能很好的绕过NIDS的检查。,.,29,三、安全隔离与信息交换系统,.,30,三、安全隔离与信息交换系统,概念实现及模型,.,31,概念,网络安全隔离与信息交换技术是实现不同安全要求网络间可靠安全隔离，同时保障信息可靠交换，从而提升内部网络安全级别的新型网络信息安全技术。网络安全隔离与信息交换技术主导思想是在切断内、外网络间直接连接的同时，实现不同安全需求网络间安全可控的数据交换。其实际应用主要有两种方式：一是用于避免内部网络访问外部网络时泄漏内部机密信息；二是保护内网中的服务器不受攻击。,.,32,安全隔离与信息交换系统,.,33,安全隔离与信息交换系统,.,34,四、PKI,.,35,互联网的安全需求什么是PKI什么是公钥密码体制什么是数字证书数字证书及PKI的应用,四、PKI,.,36,电子商务的安全要素,PAINPrivacy（保密性）确认信息的保密，不被窃取Authentication&Authorization（鉴别与授权）确认对方的身份并确保其不越权Integrity（完整性）确保你收到信息没有被篡改Non-Repudiation（抗抵赖）有证据保证交易不被否认,.,37,电子商务的安全支柱,安全设施,安全策略,保密性,身份鉴别,授权,数据完整性,抗抵赖,可靠的电子商务,技术,管理,.,38,有效的解决方案PKI,利用公开密钥理论和技术建立的提供安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。,公钥基础设施（PublicKeyInfrastructure）,.,39,PKI的虚拟与现实,JohnHancock,保密性,身份鉴证,授权,完整性,抗抵赖,.,40,互联网信任的基础,.,41,密码技术原理,密码的概念对称密码算法密钥长度DES非对称密码算法（公钥算法）公钥算法如何工作RSA算法数字签名,.,42,传统的对称密钥体制,单密钥加密用户甲拥有一个秘密密钥如果乙想送秘密信息给甲甲发送自己的秘密密钥给乙乙用此密钥加密信息发送给甲甲用自己的密钥解密信息问题：甲如何将自己的秘密密钥给乙如果甲、乙、丙、丁之间要互传信息，需要n!个密钥没有解决抗抵赖的要求,.,43,对称密钥的弱点,密钥管理如何安全的共享秘密密钥每对通信者间都需要一个不同的密钥。N个人通信需要N！个密钥。不可能与你未曾谋面的人通信没有解决不可抵赖问题文档不能被签名通信双方都可以否认发送或接收过的信息,.,44,公开密钥体制,用户甲拥有两个对应的密钥用其中一个加密，只有另一个能够解密，两者一一对应用户甲将其中一个私下保存（私钥），另一个公开发布（公钥）如果乙想送秘密信息给甲乙获得甲的公钥乙使用该公钥加密信息发送给甲甲使用自己的私钥解密信息,.,45,公钥算法加密模式,明文,明文,A发送机密信息给B,知道只有B可以解密A用B的公钥加密(公开)B使用自己的私钥解密(保密),HiBobAlice,加密,B的私钥,B的公钥,Ciphertext,Alice,Bob,解密,HiBobAlice,HiBobAlice,HiBobAlice,.,46,公钥加密的问题,公钥加解密对速度敏感大数幂运算，因此非常慢软件，公钥算法比对称密钥算法慢100多倍。（硬件可能慢1000倍）公钥加密长信息无法接受的慢，而对称密钥算法非常快结合公钥算法和对称密钥算法，使用对称密钥与公开密钥的优点对称密钥快速而强健公开密钥易于密钥交换,.,47,组合对称密钥和公开密钥,产生一个一次性，对称密钥会话密钥用会话密钥加密信息最后用接收者的公钥加密会话密钥因为它很短,明文,明文,HiBobAlice,HiBobAlice,会话密钥,加密,1.信息,X2c67afGkz78,会话密钥,xaF4m78dKm,Alice,Bob,密文,解密,4.信息,B的公钥,.,48,数字签名的需求,Alice需要一个方法签名一个信息，必须确认是从她发出，因此需要将她的身份和信息绑定在一起。我们用传统的方法将Alice的普通签名数字化后附加在文档的后面但是这个数字化的签名.它不能避免通过附加在其他文档中被伪造,不同的签名可以附加在一个文件后，无法防止对机密文档（比如支票）的篡改,.,49,数字签名,需要一个数字码唯一标识一个人或实体身份证号码?No,不保密私钥?Yes!公钥与私钥是一对镜像用其中一个加密,用另一个解密解决方案:用发送者的私钥加密信息,然后用公钥解密如果能够解开，说明发送者加密并发送了本信息除非发送者的私钥不再保密,.,50,公钥算法用于鉴别,Alice用她的私钥加密整个信息所有人都可以解密这个信息因此，Bob可以确信这个信息是由Alice产生的因为只有她的公钥可以解开该信息，而只有Alice有对应的私钥。,A的公钥,A的私钥,明文,密文,Alice,明文,Bob,加密,解密,Bob:Takethedayoff,Bob:Takethedayoff,.,51,公钥鉴别的问题,问题：签名太长解决方法：签名一个短的信息数字摘要数字摘要（MessageDigest）一个函数，输入一个任意长度的信息，而输出一个短的固定长度的编码一般16到20字节长对于输入信息MD是唯一无法找到具有相同MD的两个信息对于信息的任何修改，MD将改变,.,52,数字摘要,散列函数与指纹相象比原物（本人）信息量小与本人一一对应无法找到相同指纹的两个人知道了指纹，无法重建一个人最常用的散列函数RSA公司的MD4和MD5（128位即16字节）NIST的安全散列算法SHA（160位即20字节）,.,53,将加密和数字签名结合,Alice,Bob,会话密钥,OK?,加密,解密,.,54,公开密钥体制,优点：用户甲可以自由的发布他的公钥中间人无法伪造甲的公钥无论与多少个人通信，甲只需要一对密钥即可甲可以用自己的私钥加密信息，来实现对该信息的数字签名问题：如何令乙相信她使用的确实是甲的公钥,.,55,如何安全传输公钥,在用公钥加密时，发送者如何获得接收者的公钥？两者之间可以通过电话、email、面对面等方式交换个人的公钥但是，如果有恶意的第三者介入交换的通信？A将自己的公钥发送给B第三者截获该信息，将自己的公钥代替A的公钥发送B收到第三者的公钥，但以为是A的公钥B使用伪造的A的公钥发送加密信息第三者可以看见这些加密信息,.,56,你是谁？,Internet上，没有人知道你是谁因此我们需要一个方法将公钥与它的所有者绑定,.,57,数字证书,电子身份证能够鉴定个人和团体包含相关信息：姓名,地址,公司,名称,电话号码,包含所有者的公钥被可信的第三方验证或者证明有效颁发机构CA认证中心CA的签名可防止擅改证书上的任何资料,.,58,数字证书公开密钥的载体,用户A的公开密钥,用于数字签名和信息解密，由用户自己妥善保管不能泄露，确保只有用户本身才能签名,用于验证签名和信息加密，与数字证书捆绑在一起，发送给其他人，也可以通过公开查询获得,颁发给：用户A颁发者：广东省电子商务认证中心,.,颁发给：用户A颁发者：iTrusChina,.,.,59,数字证书的基本内容,颁证机关签名,证书格式：序列号签名算法颁证机构有效期限持有人姓名持有人公钥,证书采用格式,辨识数字证书的标识,签名证书采用的算法,颁证机构名称,证书有效期限,公钥数值及演算标示,确认证书的拥有者,确保证书资料不被篡改,.,60,CA认证中心,提供网络身份认证服务负责签发和管理数字证书具有权威性和公正性的第三方信任机构作用类似于颁发证件的公司如护照办理机构在公开体系下，人人都有CA的公钥（人人都信任CA）,.,61,数字证书生命期,证书申请,证书吊销,证书发布,证书生成,.,62,PKI的应用,解决所有电子商务、电子政务的安全问题所应用的区域：企业网网上购物网上证券电子政务网上银行网上报税网上招投标网上医疗,.,63,集成在主流的应用程序中,Web服务器Web浏览器E-Mail企业SmartCard,.,64,五、VPN,.,65,五、虚拟专用网,VPN的概念及特征VPN技术的实现方式VPN的关键技术,.,66,VPN的概念,所谓VPN，就是指利用现有的不安全的公共IP网络环境，构建具有安全性、独占性并自成一体的虚拟网络。,.,67,VPN的基本特征,基于公共的IP网络环境：这是在VPN前冠以IP的根本原因。由于像Internet这样的IP网络环境建构在诸多的TCPIP标准协议簇之上，有着工业界最广泛的支持，所以，使得利用IP-VPN技术组网，经济、便利、可靠、可用，同时组网灵活，具有良好的适应性和可扩展性。安全性：由于是构建在像Internet这样的公用IP网络环境之上，所以，要采用网络安全技术，来保证网络信息的机密性、完整性、可鉴别性和可用性，这样才能达到IP-VPN的“专用”这也是IP-VPN的关键所在。独占性：这是用户对构建在公用网络上的IP-VPN的一种感觉，其实是在与其他用户或其他企业共享公用网络。自成一体：IP-VPN同专用网一样，自成一体，可以拥有自己的地址空间，可以使用非IP协议如IPX等。换句话说：IP-VPN具有网络地址翻译（NAT）和多协议支持的能力。,.,68,VPN的分类,安全协议安全协议（隧道协议）是“专用网络”的保证，其核心是加密和认证，当然也离不开密钥管理。目前用于IP隧道的有代表性的安全协议是：PPTP、L2F、L2TP、IP-Sec及SOCKs等。,Internet安全层次,.,69,VPN有关协议,二层隧道协议IPSec协议SSL协议,.,70,二层隧道协议,二层隧道协议主要有三种:PPTP：微软、Ascend、3COM等公司支持。L2F：Cisco、北方电信等公司支持，在Cisco路由器中有支持。L2TP：由IETF起草，微软、Ascend、Cisco、3COM等公司参与，结合了上面两个协议的优点，成为有关二层隧道协议的的工业标准。,.,71,IPSec协议简介,IPSec协议实际上是一个协议包而不是一个单个的协议。自从1995年IPSec的研究究工作开始以来，现在已经积累了大量的标准文件集。IPSec的安全协议由三个主要的协议组成，它由下图的第二层以及加密和认证算法组成。Internet安全协商和密钥管理协议（ISAKMP）是IPSec的另一个主要组件。ISAK