计算机网络安全4章

第4章网络安全技术

第4章网络安全技术4.1身份认证技术4.2访问控制技术4.3防火墙技术4.4入侵检测技术4.5其他技术介绍4.1身份认证技术 认证（Authentication）是确定某人或某事是否名副其实或有效的一个过程。4.1.1个人特征的身份证明技术该类认证方式包括基于口令的认证、基于灵巧卡的认证、双因素认证和根据人体测量学及基于生物统计学的认证。基于口令认证的安全性是依赖于口令的，其特点主要体现在如下几个方面：4.1身份认证技术对Sniffer的攻击显得很脆弱不适应多服务器的环境对字典攻击的抗击力差缺少相互认证4.1身份认证技术对Sniffer的攻击显得很脆弱不适应多服务器的环境对字典攻击的抗击力差缺少相互认证

4.1.2一次一密认证机制请求/应答方式采用时钟同步机制4.1身份认证技术4.1.3Kerberos认证系统Kerberos是一种用于公共网络上的安全认证系统。

图4.1Kerberos认证框图4.1身份认证技术表4.1Kerberos认证系统符号含义符号含义符号含义C用户AS认证服务器V服务器

TGS票证发放服务器Ticket票证E加密算法Realm用户的独立区

Options提供用户要求在回送票证中附加的标志Times要求Ticket的起、止时间及延长的终止时间IDtgsTGS的身份码Nonce随机值，抗重传攻击KtgsAS与TGS共享密钥PcC的口令TSi时间iKc,tgsC与TGS共享密钥IDv服务器V的身份码IDcC上用户身份码KvTGS与V共享密钥ADcC的网络地址Lifetime有效期限Kc,vC与V共享密钥KcAS和C共享密钥，由用户口令导出4.1身份认证技术根据Kerberos认证机制，可以得出Kerberos有如下优势：实现了一次性签放机制，并且签放的票据都有一个有效期。支持双向的身份认证，同时也支持分布式网络环境下的认证机制。

4.1.4X.509认证系统X.509是定义目录服务建议X.500系列的一部分，其核心是建立存放每个用户的公钥证书的目录（仓库）。4.2访问控制技术4.2.1访问控制分类实现的基本理念不同，访问控制可分为以下两种：强制访问控制通常对数据和用户按照安全等级分配安全标签，访问控制机制通过比较安全标签来确定是授予还是拒绝用户对资源的访问。图4.2强制访问控制4.2访问控制技术自主访问控制自主访问控制机制允许对象的属主来制订针对该对象的保护策略。通常，DAC通过授权列表（或访问控制列表）来限定哪些主体针对哪些客体可以执行什么操作。

4.2.2访问控制应用类型网络访问控制访问控制机制应用在网络安全环境中，主要是限制用户可以建立什么样的连接以及通过网络传输什么样的数据，如图4.3所示。4.2访问控制技术图4.3访问控制机制4.2访问控制技术主机/操作系统访问控制应用程序访问控制图4.4主机/操作系统访问控制图4.5应用程序访问控制4.3防火墙技术4.3.1防火墙基本功能根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。在很多场合下，用户通过防火墙来控制组织内网和互联网之间的安全连接，限制来自互联网的非授权访问。4.3防火墙技术4.3.2防火墙分类按照产品形式可分为硬件防火墙和软件防火墙按照性能可以分为百兆级防火墙和千兆级防火墙按照操作模式可分为透明模式、路由模式和NAT（网络地址转换）按照部署位置可分为边界防火墙和主机/个人防火墙按照OSI模型层次划分可分为包过滤防火墙、状态检测防火墙和应用代理防火墙4.3防火墙技术4.3.3防火墙使用环境防火墙使用环境由防火墙设备及其相关的系统和应用组成。这些相关的系统可能包括入侵检测、路由器、VPN、公众服务器（如Web服务器和邮件服务器）等。边界防火墙的4种典型应用场合控制来自互联网的对内网的访问（见图4.6） 防火墙主要保护内部网络不遭受外部攻击。4.3防火墙技术图4.6边界防火墙典型应用场合14.3防火墙技术控制来自第三方业务单位的对内网的访问（见图4.7） 在此环境下，防火墙主要限制第三方网络对内网的非授权访问。图4.7边界防火墙典型应用场合24.3防火墙技术控制内网不同部门网络之间的访问（见图4.8） 在此环境下，主要是通过防火墙保护内网中敏感部 门的资源不被未经授权的用户 访问，如非财务部门员工不能 访问财务部资源。图4.8边界防火墙典型应用场合34.3防火墙技术控制对服务器中心的网络访问对于一个服务器中心/仓库，服务器分别属于不同的部门，甚至不同的用户所有，其安全策略也各不相同。要保护这些服务器，有两种方法。

图4.9单独配置防火墙为每个部门/单位的服务器单独配置防火墙，如图4.9所示。但是这种方案无论从经济上，还是从使用和管理的灵活可靠性上都是不可行的。4.3防火墙技术图4.10采用虚拟防火墙功能采用虚拟防火墙功能，如图4.10所示。将一个高性能防火墙划分为多个虚拟防火墙，再配合交换机的虚网功能，实现图4.9中的安全保护效果。这种方案在现实中比较经济可行。4.3防火墙技术非设防区DMZDMZ是内外网都可以访问的计算机系统和资源的连接点，比如Web服务器、邮件服务器、VPN网关、DNS服务器等。在有些用户网络中，可能需要两类DMZ：外部DMZ和内部DMZ。外部DMZ为用户内部网络和互联网共同可以访问的系统和资源，内部DMZ为内部各安全隔离部门所共享的系统和资源，如图4.11所示。4.3防火墙技术图4.11内部DMZ4.3防火墙技术一个典型的防火墙策略（见图4.12）是主防火墙采用NAT模式，而内部防火墙采用透明模式工作，以减少内部网络结构的复杂程度。

图4.12典型的防火墙策略4.3防火墙技术4.3.4ISA防火墙的安装、配置和管理 微软公司的InternetSecurity&Acceleration（ISA）Server是在原来WindowsNT4.0的MSPROXY基础上的一个升级版本。ISAServer的安装模式有三种：Cachemode(缓存模式)、Firewallmode(防火墙模式)、Integratemode(集成模式)。我们主要介绍ISA防火墙模式。ISAServer所提供的防火墙功能，综合了所有数据包过滤、Socks过滤和应用层过滤这三种方法，在多个网络层提供保护。4.3防火墙技术首先，需要有InternetSecurity&Acceleration（ISA）Server安装光盘，将其放入光驱，会自动运行，出现界面如图4.13所示。图4.13运行界面4.3防火墙技术选择“InstallISAServer”项，出现一个对话框，提示输入CDKey。正确输入CDKey，单击“OK”按钮确认，进入下一步。显示用户协议，单击“IAgree”按钮，进入下一步。显示安装对话框，选择“FullInstallation”项，即完全安装。4.3防火墙技术图4.14安装对话框4.3防火墙技术如果安装ISA的主机不是域控制器而是一个独立的服务器的话，那么ISA到这里会发出一个警告，如图4.15所示。这里，我们不需要配置为域控制器，单击“Yes”按钮进入下一步。图4.15警告对话框4.3防火墙技术在图4.16所示的对话框中，选择“Integratedmode”（集成模式）项，从而使ISA能够使用到全部功能。如果本机已经安装IIS的话，那么ISA到这里会提示将要关闭掉IIS所使用的80端口。图4.16选择服务器模式4.3防火墙技术在图4.17所示的对话框中，选择Cache存放的位置及容量。这里设置为E盘100MB。图4.17选择磁盘4.3防火墙技术在图4.18所示的对话框中，需要设置本地的IP地址。本例当中IP范围为192.168.0.1～192.168.5.255。根据本地网络的情况加上这个IP段就可以了。单击“OK”按钮，进入下一步。图4.18设置IP地址4.3防火墙技术系统复制必要的程序文件，然后出现图4.19所示的提示框，询问是否需要进行向导化配置。这里取消“StartISAServerGettingStartedWizard”项，单击“OK”按钮。图4.19提示框4.3防火墙技术最后，显示ISAServer安装成功对话框。下面介绍如何配置ISAServer。执行“开始”“程序”“MicrosoftISAServer”“ISAManagement”菜单命令，进入ISAManagement窗口，如图4.20所示。图4.20ISAManagement窗口4.3防火墙技术选中BLUEWOLF（服务器名称）\Monitoring\Services文件夹，在右边窗口中会出现3个服务内容。可以看到，3个服务都能够正常启动。4.3防火墙技术选中BLUEWOLF（服务器名称）\Monitoring\Services文件夹，在右边窗口中会出现3个服务内容。可以看到，3个服务都能够正常启动。下面进行基本设置。ISA默认设置不允许任何数据通过它。先要使ISA允许内部的所有申请都能够通过它，这样内部才能访问Internet。设置方法如图4.21所示。图4.21右键快捷菜单4.3防火墙技术进入新协议规则设置向导，如图4.22所示。在其中填写新协议规则的名称，这里为“AllowToInternet”。图4.22新协议规则设置向导4.3防火墙技术在图4.23所示的对话框中，选择协议规则的处理方法：“Allow”(允许通过)，然后单击“下一步”按钮。图4.23选择协议规则的处理方法4.3防火墙技术在图4.24所示的对话框中，选择这条规则对哪些IP生效。这里选择“AllIPtraffic”（允许所有IP通过）项，单击“下一步”按钮。图4.24选择这条规则对哪些IP生效4.3防火墙技术在图4.25所示的对话框中，选择协议规则生效的时间段。选择“Always”（对时间不做限制）项，单击“下一步”按钮。图4.25选择协议规则生效的时间段4.3防火墙技术在图4.26所示的对话框中，对允许通过的客户端进行授权。这里不对客户端进行限制，选择“Anyrequest”项，单击“下一步”按钮。图4.26对允许通过的客户端进行授权4.3防火墙技术协议规则配置完成。在图4.27所示的对话框中，单击“完成”按钮结束规则配置。

图4.27协议规则配置完成4.3防火墙技术以上将ISA配置为应用层代理防火墙，因此需要对客户端进行设置，才能利用该ISA代理上网。打开IE浏览器，执行菜单命令“工具”“Internet选项”，打开“Internet选项”对话框。在“连接”选项卡中，单击“局域网设置”按钮，打开“局域网（LAN）设置”对话框。在“代理服务器”栏中，“地址”框填入该ISA的内部LANIP地址，“端口”框填入8080，如图4.28所示。4.3防火墙技术图4.28配置客户端4.4入侵检测技术入侵检测就是通过对系统的运行状态和活动的检测，分析出非授权的网络访问和恶意的网络行为，以便迅速发现入侵行为和企图。图4.29入侵检测系统功能结构4.4入侵检测技术4.4.1入侵检测系统分类入侵检测系统根据其检测数据来源分为两类：基于主机的入侵检测系统基于主机的入侵检测系统可以有以下几种实现方法：检测系统设置以发现不正当的系统设置和系统设置的不正当更改对系统安全状态进行定期检查以发现不正常的安全状态通过替换服务器程序，在服务器程序与远程用户之间增加一个中间层基于主机日志的安全审计，通过分析主机日志来发现入侵行为4.4入侵检测技术基于网络的入侵检测系统基于网络的入侵检测系统通过网络监视来实现数据提取。4.4.2入侵分析技术基于异常的入侵检测方法（AnomalyDetectionModel）基于异常的入侵检测方法建立在对一个或一组用户正常行为的概貌的了解之上，它分析用户当前行为，判断其是否和正常行为产生严重偏离，是否属于异常活动。4.4入侵检测技术常见的基于异常的入侵检测方法如下：基于特征选择的异常检测方法基于模式预测的异常检测方法基于数据挖掘的异常检测方法基于滥用的入侵检测方法（MisuseDetectionModel）基于滥用的入侵检测依靠建立入侵特征库集合来发现入侵行为，因此必须首先通过其他的手段来确定某种活动是否属于入侵性活动集合，接下来才能对该类型的活动进行特征的提取和整理，最后才能更新特征库。4.4入侵检测技术构造入侵特征库的模式构造方法如下：基于状态迁移分析的滥用检测基于特征匹配的滥用检测基于键盘监控的滥用入侵检测4.4.3入侵检测工具介绍入侵检测系统Scorpio是国内首款基于Windows平台GUI界面的入侵检测软件。它的安装和配置工作都很容易。4.4入侵检测技术下载后将其解压缩，并执行其中的Setup.exe文件。图4.30安装界面4.4入侵检测技术接受用户许可协议，单击“下一步”按钮。在图4.31所示的对话框中，选择安装路径。单击“下一步”按钮。图4.31选择安装路径4.4入侵检测技术