网络安全技术课件

1、2022/8/74.2.1 防火墙体系结构基于网络防火墙的部件类型屏蔽路由器（Screening router）实施分组过滤能够阻断网络与某一台主机的IP层的通信堡垒主机（Bastion host）一个网络系统中安全性最强的计算机系统安全性受到最严密的监视没有保护的信息不能作为跳板实施分组代理2022/8/7网络防火墙体系结构双重宿主机体系结构基于堡垒主机屏蔽主机体系结构基于堡垒主机和屏蔽路由器被屏蔽子网体系结构双重屏蔽路由器2022/8/7双重宿主主机(dual-homed host)连接因特网和局域网过滤和代理2022/8/7屏蔽主机(Screened Host)用包过滤和应用代理的双重安

2、全保护包过滤器连接因特网代理服务器为局域网上的客户机提供服务2022/8/7屏蔽子网(Screened Subnet)添加额外的安全层进一步地把内部网络与Internet隔离开DMZ2022/8/74.2.2 防火墙的安全策略安全策略的两个层次网络服务访问策略防火墙设计策略设计策略用户账号策略用户权限策略信任关系策略分组过滤策略认证、签名和数据加密策略密钥管理策略审计策略2022/8/7用户账号策略口令最小长度口令最长有效期口令历史口令存储方式用户账号锁定方式在若干次口令错误之后2022/8/7用户权限策略备份文件权限远程/本地登录访问权限远程/本地关机权限更改系统时间权限管理日志权限删除/还

3、原文件权限设置信任关系权限卷管理权限安装/卸载设备驱动程序权限2022/8/7审计策略成功或者不成功的登录事件成功或者不成功的对象访问成功或者不成功的目录服务访问成功或者不成功的特权使用成功或者不成功的系统事件成功或者不成功的账户管理事件2022/8/74.2.3 防火墙技术分组过滤技术依据IP分组的源地址和目的地址源端口号和目的端口号传送协议优点可以实现粗颗粒的网络安全策略容易实现配置成本低速度快局限性配置分组过滤规则比较困难不能识别分组中的用户信息不能抵御IP地址欺骗2022/8/7例4-1某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特网上的访问(123.45/16)。该

4、网络中有一个特殊子网(/24)是一个与某大学合作的，该大学的网址是135.79。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网(/24)访问。试设计制订过滤规则。2022/8/7解某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特网上的访问(123.45/16)。该网络中有一个特殊子网(/24)是一个与某大学合作的，该大学的网址是135.79。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网(/24)访问。试设计制订过滤规则。制订过滤规则如下2022/8/7例4-2处于一个C类网络的防火

5、墙，第一，希望阻止网络中的用户访问主机；假设需要阻止这个主机的Telnet服务，对于Internet的其他站点，允许网络内部用户通过Telnet方式访问，但不允许网络外部其他站点以Telnet方式访问网络。第二，为了收发电子邮件，允许SMTP出站入站服务，邮件服务器的IP地址为。第三，对于WWW服务，允许内部网用户访问Internet上任何网络和站点，但只允许一个公司的网络访问内部WWW服务器，内部WWW服务器的IP地址是。试根据以上要求设计过滤规则。2022/8/7解23：telnet25：SMTP80: web1023: 非系统进程2022/8/7地址过滤配置实例20

6、22/8/7配置结果2022/8/7 问题1DMZ某屏蔽子网的应用代理服务器中，对外接口的IP地址是，对内接口的IP地址为。问如何配置包过滤器规则，使得所有的内网与外网的通信都经过代理服务器的检查和传递。2022/8/7解答某屏蔽子网的应用代理服务器中，对外接口的IP地址是，对内接口的IP地址为。问如何配置包过滤器规则，使得所有的内网与外网的通信都经过代理服务器的检查和传递。规则方向协议源地址目地址源端口目端口动作AIn-允许Bout-允许C-禁止规则方向协议源地址目地址源端口目端口动作Ain-允许Bout-允许C-禁止包过滤器B包过滤器A2022/8/7问题2主机防火墙如何对UDP进行过滤U

7、DP请求可能来自打印机或扫描仪2022/8/7防火墙安全策略的例子Allow all inbound and outbound ICMP Allow inbound TCP 445 from hosts 55 Block all inbound TCP Block all inbound UDP Allow all outbound TCP Allow all outbound UDP 2022/8/7代理服务技术代理客户机与服务器之间的一个应用层中介在两者之间传递应用程序的信息可以根据数据包的内容进行检测应用代理的原理隔断通信双方的直接联系将内部网络与外部网络从网络层起分开所有通信都必须经应

8、用层的代理进行转发用另外的连接和封装转发应用层信息2022/8/7代理服务技术特点安全性较高能够识别应用层信息数据重新封装应用滞后不支持没有开发代理的网络应用客户端配置较复杂需要在客户端进行代理设置要求应用层数据中不包含加密、压缩数据Email中做不到代理的实例网络地址转换器（NAT）URL过滤器（Web应用层）2022/8/7NAT网络层/传输层代理提供外网IP地址与内网地址之间的转换方便路由汇聚与IPv6网络连通使得外网地址重用分类静态NAT将内部地址与外部地址固定地一一对应动态NAT将多个内部地址与同一个外部地址对应（分时使用）通过TCP/UDP端口号区分（NAPT）IPv4/IPv4

9、NAT (RFC1631, RFC2663, RFC3022, RFC3235)IPv4/IPv6 NAT (RFC2766, RFC2765, RFC3027)2022/8/7例4-3 NATSA=DA=SA=DA=SA= DA=SA= DA=2022/8/7例4-4 NAPT2022/8/7NAPT将地址转换扩展到端口号全转换 Full Cone外网随时可以利用映射后的地址给内网发送UDP报文受限转换 Restricted Cone当内网主机向外网发送数据分组后，外网才可以利用映射后的地址给内网发送UDP报文端口受限转换 Port Restricted Cone当内网主机向外网发送数据分组

10、后，外网才可以利用映射后相同的地址和端口号给内网发送UDP报文对称NAT Symmetric NAT多个内网地址和端口号映射到同一个外网地址当内网主机向外网发送数据分组后，外网才可以利用映射后相同的地址和端口号给内网发送UDP报文2022/8/7NAT-PT地址转换静态地将每个IPv6地址转换成IPv4地址(NAT-PT)动态地将一个IPv6地址转换成一定期限的IPv4地址动态地将一个IPv6地址转换成IPv4地址和TCP/UDP端口号(NAPT-PT)协议转换在IPv4与对应的IPv6分组之间相互转换IPv4头与对应的IPv6头之间的相互转换TCP/UDP/ICMP校验和更新ICMPv4头与

11、ICMPv6头之间的相互转换ICMPv4错误消息与ICMPv6错误消息的相互转换IPv4 sender does not perform path MTU discovery RFC27652022/8/7Problems of NATAndrew S. TanenbaumViolates architecture model of IPChanges the Internet from a connectionless to connection-orientedViolates the role of protocol layeringDoes not support other tran

12、sport protocolDoes not support IP addresses in the bodyFTP and H.323 works this waybreaks many IP applicationsRFC30272022/8/7NAT穿透与语音通信H.323与SIP的共同点传输中需要建立两种通道控制通道媒体通道RTP/RTCP连接使用的UDP端口需要通过协商确定因为一台主机可能建立多条媒体通道（多个媒体流）要求防火墙打开所有的端口号发起呼叫方的IP地址在分组的载荷中根据这个IP地址发回的分组将被防火墙阻挡防火墙的穿透问题NAT-Friendly Application D

13、esign Guidelines在分组中不包含IP地址和端口号许多协议无法根据这个指导原则构建RFC32352022/8/7NAT穿透与语音通信解决方案应用级网关ALG (Application Layer Gateways )存放应用层信息并用于NAT修改应用层信息中的IP地址需要更新已有的NAT扩展性问题、可靠性问题和新应用布署问题Full Proxy由专门的应用层代理对业务流进行转发代理在防火墙的外部对载荷中的IP地址进行处理对应答分组中的IP地址进行转换NAT2022/8/7Traverse a FirewallMIDCOM Middlebox Communications proto

14、col 采用应用代理与NAT通信允许一个应用实体控制NAT需要更新当前的NAT和防火墙 RFC3303STUNSimple traversal of UDP through NAT使得应用程序能发现NAT和防火墙的存在通过发送绑定请求给STUN服务器并比较应答中的IP地址和端口号使得应用程序发现映射的地址和端口号确定NAT的地址映像把映射后的地址放在分组载荷中RFC34892022/8/7Traverse a Firewall 建立高层隧道Firewall Enhancement Protocol (FEP)allows ANY application to traverse a Firewa

15、ll可以使用固定的端口号TCP/IP packet encoded into HTTP commandRFC3093AppTCPIPFEPTCPIPIPTCPFEPIPTCPAppfirewall局限性？2022/8/7Traverse a FirewallIPsec Firewall traversal为IPsec穿越NAT而建立的UDP隧道the initiator is behind NA(P)Tand the responder has a fixed static IP addressPort no = 4500The remote host detect the presence

16、of NAT and determine the NAT traversal capabilitydetect whether the IP address or the port changes along the path by sending the hashes of the IP addresses and ports UDP Encapsulation of IPsec ESP PacketsRFC3948Negotiation of NAT-Traversal in the IKERFC39472022/8/7状态检测技术会话层代理基于入侵检测能够根据上层协议的状态进行过滤对网络

17、通信的各个协议层次实施监测不仅检查数据分组的TCP/IP头利用状态表跟踪每一个会话的状态记录会话的序列透明性较好不修改应用程序的执行过程和处理步骤2022/8/7基于网络防火墙的不足之处基于分组网络头信息容易被篡改无双向的身份验证粗颗粒的访问控制防外不防内不能防止旁路不能预防新的攻击手段不能防范病毒和后门2022/8/7新型防火墙技术可信信息系统技术加强认证计算机病毒检测防护技术和密码技术加强应用层数据检查自适应代理适应新的应用新功能spam过滤Web站点过滤2022/8/74.3入侵检测识别越权使用计算机系统的人员及其活动网络活动监视器基本假设入侵者的行为方式与合法用户是不同的目标发现新的入

18、侵行为对入侵事件的可说明性能够对入侵事件做出反应2022/8/7入侵检测方法记录有关证据实时地检测网络中的所有分组或检测主机的状态及日志或审计信息识别攻击的类型评估攻击的威胁程度发出告警信息或主动采取措施阻止攻击入侵防御2022/8/74.3.1入侵分类攻击的方式本地攻击远程攻击伪远程攻击网络上的安全弱点管理漏洞软件漏洞结构漏洞信任漏洞跳板（Zombie） 2022/8/7常见网络入侵类型拒绝服务攻击网络流量攻击阻断协议攻击基于网络窃取、伪造、篡改、阻断用户账号攻击基于主机窃取、伪造、篡改2022/8/7网络入侵的方式端口扫描（port scanning）IP哄骗（IP smurfing）洪泛

19、攻击（flooding）缓存溢出（buffer overrun）脚本攻击（script attack）口令探测（password sniffing）会话劫持（session hijacking）2022/8/7网络入侵的例子Land攻击（land attack）SYN分组中IP源地址和目标地址相同造成死机泪滴攻击（tear dropping）一些操作系统在收到含有重叠偏移的伪造分段时将崩溃ICMP 洪泛攻击（ICMP flooding）广播ICMP应答请求（ping）加上假冒的返回地址使得应答包返回到某一台被攻击的主机错误长度攻击（length error）未知协议类型攻击（unknown p

20、rotocol）2022/8/7网络入侵的例子UDP 炸弹攻击（UDP bomb）伪造UDP长度字段使它的值大于实际的UDP报文长度UDP端口扫描（UDP scanning）TCP 端口扫描（TCP scanning）SYN 洪泛攻击（SYN flooding）UDP洪泛（UDP flooding）发送大量带有假返回地址的UDP包PHF攻击（PHF attack）apache web服务器早期版本中的PHF脚本 网虫（Worm) 消耗网络带宽和缓存资源CodeRed, SQL Slammer2022/8/7SYN 洪泛攻击主机A主机BSyn, Seq=xSyn, Seq=y, ACK=x+1ACK=y+12022/8/7从网络对主机进行入侵的阶段搜集资料探测目标机IP地址扫描端口口令猜测用户名猜测进入系统利用猜测的口令利用缓存溢出利用