网络安全技术

2020/6/14,4.2.1防火墙体系结构,基于网络防火墙的部件类型屏蔽路由器（Screeningrouter）实施分组过滤能够阻断网络与某一台主机的IP层的通信堡垒主机（Bastionhost）一个网络系统中安全性最强的计算机系统安全性受到最严密的监视没有保护的信息不能作为跳板实施分组代理,2020/6/14,网络防火墙体系结构,双重宿主机体系结构基于堡垒主机屏蔽主机体系结构基于堡垒主机和屏蔽路由器被屏蔽子网体系结构双重屏蔽路由器,2020/6/14,双重宿主主机(dual-homedhost),连接因特网和局域网,过滤和代理,2020/6/14,屏蔽主机(ScreenedHost),用包过滤和应用代理的双重安全保护包过滤器连接因特网代理服务器为局域网上的客户机提供服务,2020/6/14,屏蔽子网(ScreenedSubnet),添加额外的安全层进一步地把内部网络与Internet隔离开,DMZ,2020/6/14,4.2.2防火墙的安全策略,安全策略的两个层次网络服务访问策略防火墙设计策略设计策略用户账号策略用户权限策略信任关系策略分组过滤策略认证、签名和数据加密策略密钥管理策略审计策略,2020/6/14,用户账号策略,口令最小长度口令最长有效期口令历史口令存储方式用户账号锁定方式在若干次口令错误之后,2020/6/14,用户权限策略,备份文件权限远程/本地登录访问权限远程/本地关机权限更改系统时间权限管理日志权限删除/还原文件权限设置信任关系权限卷管理权限安装/卸载设备驱动程序权限,2020/6/14,审计策略,成功或者不成功的登录事件成功或者不成功的对象访问成功或者不成功的目录服务访问成功或者不成功的特权使用成功或者不成功的系统事件成功或者不成功的账户管理事件,2020/6/14,4.2.3防火墙技术,分组过滤技术依据IP分组的源地址和目的地址源端口号和目的端口号传送协议优点可以实现粗颗粒的网络安全策略容易实现配置成本低速度快局限性配置分组过滤规则比较困难不能识别分组中的用户信息不能抵御IP地址欺骗,2020/6/14,例4-1,某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特网上的访问(123.45/16)。该网络中有一个特殊子网(/24)是一个与某大学合作的，该大学的网址是135.79。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网(/24)访问。试设计制订过滤规则。,2020/6/14,解,某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特网上的访问(123.45/16)。该网络中有一个特殊子网(/24)是一个与某大学合作的，该大学的网址是135.79。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网(/24)访问。试设计制订过滤规则。制订过滤规则如下,2020/6/14,例4-2,处于一个C类网络的防火墙，第一，希望阻止网络中的用户访问主机；假设需要阻止这个主机的Telnet服务，对于Internet的其他站点，允许网络内部用户通过Telnet方式访问，但不允许网络外部其他站点以Telnet方式访问网络。第二，为了收发电子邮件，允许SMTP出站入站服务，邮件服务器的IP地址为。第三，对于WWW服务，允许内部网用户访问Internet上任何网络和站点，但只允许一个公司的网络访问内部WWW服务器，内部WWW服务器的IP地址是。试根据以上要求设计过滤规则。,2020/6/14,解,23：telnet25：SMTP,80:web1023:非系统进程,2020/6/14,地址过滤配置实例,2020/6/14,配置结果,2020/6/14,问题1,DMZ,某屏蔽子网的应用代理服务器中，对外接口的IP地址是，对内接口的IP地址为。问如何配置包过滤器规则，使得所有的内网与外网的通信都经过代理服务器的检查和传递。,2020/6/14,解答,某屏蔽子网的应用代理服务器中，对外接口的IP地址是，对内接口的IP地址为。问如何配置包过滤器规则，使得所有的内网与外网的通信都经过代理服务器的检查和传递。,包过滤器B,包过滤器A,2020/6/14,问题2,主机防火墙如何对UDP进行过滤UDP请求可能来自打印机或扫描仪,2020/6/14,防火墙安全策略的例子,AllowallinboundandoutboundICMPAllowinboundTCP445fromhosts55BlockallinboundTCPBlockallinboundUDPAllowalloutboundTCPAllowalloutboundUDP,2020/6/14,代理服务技术,代理客户机与服务器之间的一个应用层中介在两者之间传递应用程序的信息可以根据数据包的内容进行检测应用代理的原理隔断通信双方的直接联系将内部网络与外部网络从网络层起分开所有通信都必须经应用层的代理进行转发用另外的连接和封装转发应用层信息,2020/6/14,代理服务技术,特点安全性较高能够识别应用层信息数据重新封装应用滞后不支持没有开发代理的网络应用客户端配置较复杂需要在客户端进行代理设置要求应用层数据中不包含加密、压缩数据Email中做不到代理的实例网络地址转换器（NAT）URL过滤器（Web应用层）,2020/6/14,NAT,网络层/传输层代理提供外网IP地址与内网地址之间的转换方便路由汇聚与IPv6网络连通使得外网地址重用分类静态NAT将内部地址与外部地址固定地一一对应动态NAT将多个内部地址与同一个外部地址对应（分时使用）通过TCP/UDP端口号区分（NAPT）IPv4/IPv4NAT(RFC1631,RFC2663,RFC3022,RFC3235)IPv4/IPv6NAT(RFC2766,RFC2765,RFC3027),2020/6/14,例4-3NAT,SA=DA=,SA=DA=,SA=DA=,SA=DA=,2020/6/14,例4-4NAPT,2020/6/14,NAPT,将地址转换扩展到端口号全转换FullCone外网随时可以利用映射后的地址给内网发送UDP报文受限转换RestrictedCone当内网主机向外网发送数据分组后，外网才可以利用映射后的地址给内网发送UDP报文端口受限转换PortRestrictedCone当内网主机向外网发送数据分组后，外网才可以利用映射后相同的地址和端口号给内网发送UDP报文对称NATSymmetricNAT多个内网地址和端口号映射到同一个外网地址当内网主机向外网发送数据分组后，外网才可以利用映射后相同的地址和端口号给内网发送UDP报文,2020/6/14,NAT-PT,地址转换静态地将每个IPv6地址转换成IPv4地址(NAT-PT)动态地将一个IPv6地址转换成一定期限的IPv4地址动态地将一个IPv6地址转换成IPv4地址和TCP/UDP端口号(NAPT-PT)协议转换在IPv4与对应的IPv6分组之间相互转换IPv4头与对应的IPv6头之间的相互转换TCP/UDP/ICMP校验和更新ICMPv4头与ICMPv6头之间的相互转换ICMPv4错误消息与ICMPv6错误消息的相互转换IPv4senderdoesnotperformpathMTUdiscoveryRFC2765,2020/6/14,ProblemsofNATAndrewS.Tanenbaum,ViolatesarchitecturemodelofIPChangestheInternetfromaconnectionlesstoconnection-orientedViolatestheroleofprotocollayeringDoesnotsupportothertransportprotocolDoesnotsupportIPaddressesinthebodyFTPandH.323worksthiswaybreaksmanyIPapplicationsRFC3027,2020/6/14,NAT穿透与语音通信,H.323与SIP的共同点传输中需要建立两种通道控制通道媒体通道RTP/RTCP连接使用的UDP端口需要通过协商确定因为一台主机可能建立多条媒体通道（多个媒体流）要求防火墙打开所有的端口号发起呼叫方的IP地址在分组的载荷中根据这个IP地址发回的分组将被防火墙阻挡防火墙的穿透问题NAT-FriendlyApplicationDesignGuidelines在分组中不包含IP地址和端口号许多协议无法根据这个指导原则构建RFC3235,2020/6/14,NAT穿透与语音通信,解决方案应用级网关ALG(ApplicationLayerGateways)存放应用层信息并用于NAT修改应用层信息中的IP地址需要更新已有的NAT扩展性问题、可靠性问题和新应用布署问题FullProxy由专门的应用层代理对业务流进行转发代理在防火墙的外部对载荷中的IP地址进行处理对应答分组中的IP地址进行转换,NAT,2020/6/14,TraverseaFirewall,MIDCOMMiddleboxCommunicationsprotocol采用应用代理与NAT通信允许一个应用实体控制NAT需要更新当前的NAT和防火墙RFC3303STUNSimpletraversalofUDPthroughNAT使得应用程序能发现NAT和防火墙的存在通过发送绑定请求给STUN服务器并比较应答中的IP地址和端口号使得应用程序发现映射的地址和端口号确定NAT的地址映像把映射后的地址放在分组载荷中RFC3489,2020/6/14,TraverseaFirewall,建立高层隧道FirewallEnhancementProtocol(FEP)allowsANYapplicationtotraverseaFirewall可以使用固定的端口号TCP/IPpacketencodedintoHTTPcommandRFC3093,App,TCP,IP,FEP,TCP,IP,IP,TCP,FEP,IP,TCP,App,firewall,局限性？,2020/6/14,TraverseaFirewall,IPsecFirewalltraversal为IPsec穿越NAT而建立的UDP隧道theinitiatorisbehindNA(P)TandtheresponderhasafixedstaticIPaddressPortno=4500TheremotehostdetectthepresenceofNATanddeterminetheNATtraversalcapabilitydetectwhethertheIPaddressortheportchangesalongthepathbysendingthehashesoftheIPaddressesandportsUDPEncapsulationofIPsecESPPacketsRFC3948NegotiationofNAT-TraversalintheIKERFC3947,2020/6/14,状态检测技术,会话层代理基于入侵检测能够根据上层协议的状态进行过滤对网络通信的各个协议层次实施监测不仅检查数据分组的TCP/IP头利用状态表跟踪每一个会话的状态记录会话的序列透明性较好不修改应用程序的执行过程和处理步骤,2020/6/14,基于网络防火墙的不足之处,基于分组网络头信息容易被篡改无双向的身份验证粗颗粒的访问控制防外不防内不能防止旁路不能预防新的攻击手段不能防范病毒和后门,2020/6/14,新型防火墙技术,可信信息系统技术加强认证计算机病毒检测防护技术和密码技术加强应用层数据检查自适应代理适应新的应用新功能spam过滤Web站点过滤,2020/6/14,4.3入侵检测,识别越权使用计算机系统的人员及其活动网络活动监视器基本假设入侵者的行为方式与合法用户是不同的目标发现新的入侵行为对入侵事件的可说明性能够对入侵事件做出反应,2020/6/14,入侵检测,方法记录有关证据实时地检测网络中的所有分组或检测主机的状态及日志或审计信息识别攻击的类型评估攻击的威胁程度发出告警信息或主动采取措施阻止攻击入侵防御,2020/6/14,4.3.1入侵分类,攻击的方式本地攻击远程攻击伪远程攻击网络上的安全弱点管理漏洞软件漏洞结构漏洞信任漏洞,跳板（Zombie）,2020/6/14,常见网络入侵类型,拒绝服务攻击网络流量攻击阻断协议攻击基于网络窃取、伪造、篡改、阻断用户账号攻击基于主机窃取、伪造、篡改,2020/6/14,网络入侵的方式,端口扫描（portscanning）IP哄骗（IPsmurfing）洪泛攻击（flooding）缓存溢出（bufferoverrun）脚本攻击（scriptattack）口令探测（passwordsniffing）会话劫持（sessionhijacking）,2020/6/14,网络入侵的例子,Land攻击（landattack）SYN分组中IP源地址和目标地址相同造成死机泪滴攻击（teardropping）一些操作系统在收到含有重叠偏移的伪造分段时将崩溃ICMP洪泛攻击（ICMPflooding）广播ICMP应答请求（ping）加上假冒的返回地址使得应答包返回到某一台被攻击的主机错误长度攻击（lengtherror）未知协议类型攻击（unknownprotocol）,2020/6/14,网络入侵的例子,UDP炸弹攻击（UDPbomb）伪造UDP长度字段使它的值大于实际的UDP报文长度UDP端口扫描（UDPscanning）TCP端口扫描（TCPscanning）SYN洪泛攻击（SYNflooding）UDP洪泛（UDPflooding）发送大量带有假返回地址的UDP包PHF攻击（PHFattack）apacheweb服务器早期版本中的PHF脚本网虫（Worm)消耗网络带宽和缓存资源CodeRed,SQLSlammer,2020/6/14,SYN洪泛攻击,主机A,主机B,Syn,Seq=x,Syn,Seq=y,ACK=x+1,ACK=y+1,2020/6/14,从网络对主机进行入侵的阶段,搜集资料探测目标机IP地址扫描端口口令猜测用户名猜测进入系统利用猜测的口令利用缓存溢出利用后门驻留建立新文