第8章 网络安全.ppt

1、第8章 网络安全,本章学习目标 通过对本章的学习，应该掌握以下主要内容： 计算机网络安全的基本概念及Linux系统安全; 防火墙技术基本知识; 用iptales实现包过滤型防火墙;,8.1 计算机网络安全基础知识,网络安全的含义 网络安全的特征 对网络安全的威胁 网络安全的关键技术 Linux系统的网络安全策略 Linux网络安全工具,1、网络安全的含义,网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相

2、关技术和理论都是网络安全的研究领域。 网络安全：指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。,网络安全在不同的环境和应用中有不同的解释，主要包括以下四个方面： 运行系统安全，即保证信息处理和传输系统安全。 网络上系统信息的安全。 网络上信息传播的安全，即信息传播后的安全。 网络上信息内容的安全，即狭义的“信息安全”。,计算机网络安全：是通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储信息的机密性、完整性和真实性，并对信息的传播及内容具有控制能力。 计算机网络安全主要是从保

3、护网络用户的角度来进行的，是针对攻击和破译等人为因素所造成的对网络安全的威胁。,2、网络安全的特征,保密性：是指信息不泄露给非授权的用户、实体或过程，或供其利用的特性。 完整性：是指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性：是指可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。 可控性：是指对信息的传播及内容具有控制能力。,3、对网络安全的威胁,与网络连通性相关的有三种不同类型的安全威胁： 非授权访问：指一个非授权用户的入侵。 信息泄露：指造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 拒绝服务：指

4、使系统难以或不能继续执行任务的所有问题。,4、网络安全的关键技术,从广义上讲，计算机网络安全技术主要有： 主机安全技术； 身份认证技术； 访问控制技术； 密码技术； 防火墙技术； 安全审计技术； 安全管理技术；,5、Linux系统的网络安全策略,1.简介 随着InternetIntranet网络的日益普及，采用Linux网络操作系统作为服务器的用户也越来越多。 因为Linux是开放源代码的免费正版软件； 因为较之微软的Windows NT网络操作系统而言，Linux系统具有更好的稳定性、效率性和安全性。 在InternetIntranet的大量应用中，网络本身的安全面临着重大的挑战，随之而来的

5、信息安全问题也日益突出。一般认为：计算机网络系统的安全威胁主要来自黑客攻击和计算机病毒。,2Linux网络操作系统的基本安全机制,（1）Linux系统的用户帐号 （2）Linux的文件系统权限 （3）合理利用Linux的日志文件,/var/log/lastlog文件：记录最后进入系统的用户信息； /var/log/secure文件：记录系统自开通以来所有用户的登陆 时间和地点； /var/log/wtmp文件：记录当前和历史上登陆到系统的用户的 登陆时间、地点和注销时间等。,3Linux可能受到的攻击和安全防范策略,（1）Linux网络系统可能受到的攻击类型 “拒绝服务”攻击 “口令破解”攻击

6、 “欺骗用户”攻击 “扫描程序和网络监听”攻击,（2）Linux网络安全防范策略 仔细设置每个内部用户的权限 确保用户口令文件/etc/shadow的安全 加强对系统运行的监控和记录 合理划分子网和设置防火墙 定期对Linux网络进行安全检查 制定适当的数据备份计划确保系统万无一失,4加强对Linux的管理，合理使用各种工具,（1）利用记录工具，记录对Linux系统的访问； （2）慎用Telnet服务； （3）合理设置NFS服务和NIS服务 ； （4）小心配置FTP服务 ； （5）合理设置POP-3和Sendmail等电子邮件服务； （6）加强对Web服务器的管理，提供安全的Web服务； （7

7、）最好禁止提供finger 服务；,6 、Linux网络安全工具,1. sudo sudo是系统管理员用来允许某些用户以root身份运行部分/全部系统命令的程序。一个明显的用途是增强了站点的安全性。如果用户需要每天以root身份作一些日常工作，经常执行几个固定的root身份才能执行的命令，选择使用该工具。它的特性主要有： 能够限制用户只在某台主机上运行某些命令; 提供了丰富的日志，详细地记录了每个用户干了什么; Sudo的配置文件是sudoers文件，它允许系统管理员集中的管理用户的使用权限和使用的主机。,sudo的安装及设置过程： 一般情况下，Redhat 9.0中都已经缺省安装了当前较新的

8、版本sudo-1.6.6-3。如果你的系统中没有安装，你能从下面的地址中下载for Redhat Linux的rpm package。 ftp:/ftp.rediris.es/sites/ #rpm -ivh sudo* 然后用vi 编辑/etc/sudoers文件。 sudoers文件是由一个选择性的主机别名(hostalias)节区，一个选择性的指令别名(commandalias)节区以及使用者说明(userspecification)节区所组成的。,2Sniffit Sniffit是由Lawrence Berkeley Laboratory开发的，可以在Linux、Solaris等各种平

9、台运行的网络监听软件。 主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听。 当然，数据包必须经过运行sniffit的机器才能进行监听，因此它只能够监听在同一个网段上的机器。,3、nmap NMap，也就是Network Mapper，是Linux下的网络扫描和嗅探工具包，其基本功能有三个： 探测一组主机是否在线； 扫描 主机端口，嗅探所提供的网络服务； 推断主机所用的操作系统 。 Nmap可用于扫描仅有两个节点的LAN，直至500个节点以上的网络。,8.2 防火墙技术,什么是防火墙 防火墙的三种类型 防火墙体系结构 包过滤技术,1、什么是防火墙,1. 防火墙的定义 防火墙：是指设

10、置在不同网络或网络安全域之间的一系列部件的组合，是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。防火墙是提供信息安全服务，实现网络和信息安全的基础设施。,在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全，如图8-1。,图8-1 防火墙逻辑位置示意图,2. 防火墙的作用,(1)防火墙是网络安全的屏障； (2)防火墙可以强化网络安全策略； (3)对网络存取和访问进行监控审计； (4)防止内部信息的外泄；,2、防火墙的三种类型,1. 数据包过滤型防火墙

11、数据包过滤技术：是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表。 通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。,优点：逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，通常安装在路由器上。 缺点：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。,2应用级网关型防火墙 应用级网关：是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时

12、，对数据包进行必要的分析、登记和统计，形成报告。 应用级网关型防火墙的工作流程示意图请见图8-2。,图8-2 应用级网关型防火墙的工作流程,数据包过滤和应用网关防火墙有一个共同的特点:就是仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。,3. 代理服务型防火墙,代理服务：也称链路级网关或TCP通道， 也有人将它归于应用级网关一类。代理服务是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。 防火墙内外

13、计算机系统间应用层的“链接”， 由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。 此外，代理服务也对过往的数据包进行分析、注册登记， 形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。,图8-3 代理服务型防火墙的网络结构,使用代理服务型防火墙的网络结构示意图请见图8-3。,3、防火墙体系结构,1双重宿主主机体系结构 双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器； 能够从一个网络到另外一个网络发送IP数据包。然而双重宿

14、主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络直接发送到另一个网络。 外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。如图8-4。,图8-4 双重宿主主机体系结构,2被屏蔽主机体系结构 双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开，如图8-5。在该体系结构中，主要的安全由数据包过滤提供。,图8-5 被屏蔽主机体系结构,这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一内部网络上的主机。任何外部的系

15、统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。,3被屏蔽子网体系结构 被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络隔离开。 被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器。如图8-6。,图8-6 被屏蔽子网体系结构,4

16、、包过滤技术,包过滤技术：是在网络层中对数据包实施有选择的通过。根据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过。 其核心是安全策略即过滤算法的设计。,包过滤技术作为防火墙的应用有三类： （1）路由设备在完成路由选择和数据转发之外, 同时进行包过滤，这是目前较常用的方式； （2）在工作站上使用软件进行包过滤, 这种方式价格较贵； （3）在一种称为屏蔽路由器的路由设备上启动包过滤功能。,8.3 使用Linux架构包过滤防火墙,包过滤型防火墙的一般概念 Net

17、filter/iptables简介 包过滤防火墙配置实例,1、包过滤型防火墙的一般概念,1什么是包过滤 包过滤就是用一个软件查看所流经的数据包的包头(header)，由此决定整个数据包是否允许通过。它可能会决定丢弃这个包，可能会接受这个包，也可能执行其他更复杂的动作。 在Linux系统下，包过滤功能是内建于核心的(作为一个核心模块，或者直接内建)。,2包过滤防火墙的工作层次 包过滤防火墙示意图如图8-7所示。包过滤是一种内置于Linux内核路由功能之上的防火墙类型，其防火墙工作在网络层。,3包过滤防火墙的工作原理 (1)使用过滤器。数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或是

18、一台主机。过滤系统根据过滤规则来决定是否让数据包通过。如图8-8所示，用于过滤数据包的路由器被称为过滤路由器。,图8-8 用过滤路由器过滤数据包,数据包过滤是通过对数据包的IP头和TCP或UDP头的检查来实现的，主要信息有： IP源地址 IP目的地址 协议(TCP包、UDP包和ICMP包) TCP或UDP包的源端口 TCP或UDP包的目的端口 ICMP消息类型 TCP包头中的ACK位 数据包到达的端口 数据包送出的端口,(2)过滤器的实现。 数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。 普通的路由器只检查数据包的目的地址，并选择一个达到目的地址的最佳路径。它处理数据包

19、是以目的地址为基础的，存在着两种可能性：若路由器可以找到一条路径到达目的地址则发送出去；若路由器不知道如何发送数据包则发送一个“数据不可达”的数据包给发送者。,过滤路由器会进一步地检查数据包，除了决定是否有到达目的地址的路径外，还要决定是否应该发送数据包，“应该与否”是由路由器的过滤策略决定并强行执行的。路由器的过滤策略主要有： 拒绝来自某主机或某网段的所有连接。 允许来自某主机或某网段的所有连接。 拒绝来自某主机或某网段的指定端口的连接。 允许来自某主机或某网段的指定端口的连接。,拒绝本地主机或本地网络与其他主机或其他网络的所有连接。 允许本地主机或本地网络与其他主机或其他网络的所有连接。

20、拒绝本地主机或本地网络与其他主机或其他网络的指定端口的连接。 允许本地主机或本地网络与其他主机或其他网络的指定端口的连接。,4、包过滤器操作的基本过程 下面给出包过滤器的操作流程图，如图8-9所示。,2、Netfilter/iptables简介,1. Linux下的包过滤防火墙管理工具 从11内核开始，Linux就已经具有包过滤功能了，随着Linux内核版本的不断升级Linux下的包过滤系统经历了如下3个阶段： 在2.0的内核中，采用ipfwadm来操作内核包过滤规则。 在2.2的内核中，采用ipchains来控制内核包过滤规则。 在2.4的内核中，采用一个全新的内核包过滤管理工具iptabl

21、es。,iptables作为一个管理内核包过滤的工具，iptables 可以加入、插入或删除核心包过滤表格(链)中的规则。 实际上真正来执行这些过滤规则的是Netfilter(Linux 核心中一个通用架构)及其相关模块(如iptables模块和nat模块等)。,2Netfilter的工作原理 Netfilter是Linux 核心中的一个通用架构，它提供了一系列的“表”(tables)，每个表由若干“链”(chains)组成，而每条链中可以有一条或数条规则(rule)组成。因此，可以理解netfilter是表的容器，表是链的容器，而链又是规则的容器，如图8-10所示。,图8-10 Netfil

22、ter总体结构,系统缺省的表为“filter”，该表中包含了INPUT、FORWARD和OUTPUT 3个链。每一条链中可以有一条或数条规则，每一条规则都是这样定义的“如果数据包头符合这样的条件，就这样处理这个数据包”。 当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件：如果满足，系统将根据该条规则所定义的方法处理该数据包；如果不满足则继续检查下一条规则。最后，如果该数据包不符合该链中所有规则的话，系统就会根据该链预先定义的策略(policy)来处理该数据包。,数据包在filter表中的流程如图8-11所示。有数据包进入系统时，系统首先根据路由表决定将数据包

23、发给哪一条链，则可能有三种情况：,图8-11 数据包在Filter表中的流程图,（1）如果数据包的目的地址是本机，则系统将数据包送往INPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没通过规则检查，系统就会将这个包丢弃； （2）如果数据包的目的地址不是本机，也就是说，这个包将被转发，则系统将数据包送往FORWARD链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没通过规则检查，系统就会将这个包丢掉； （3）如果数据包是由本地系统进程产生的，则系统将其送往OUTPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没通过规则检查，系统就会将这个包丢掉。,Re

24、d Hat 9使用2.4版本地内核，并且内核的编译选项中包含对Netfilter地支持，同时iptables软件包是默认安装的，所以可以直接使用。 另外，为了完成转发功能，必须打开系统内核的IP转发功能，使Linux变成路由器。 在Red Hat中有两种方法： (1)修改内核变量ip_forward。 # echo “1”/proc/sys/net/ipv4/ip_forward (2)修改脚本/etc/sysconfig/network。 将FORWARD_IPV4=false 改为FORWARD_IPV4=true,3iptables语法 iptables的语法通常可以简化为下面的形式：

25、iptables -t table CMD chain rule-matcher -j target -t table 选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有三种可用的表选项：filter、nat 和 mangle。该选项不是必需的，如果未指定，则 filter 用作缺省表。 command 部分是 iptables 命令的最重要部分。它告诉 iptables 命令要做什么，例如，插入规则、将规则添加到链的末尾或删除规则。,可选 match 部分指定信息包与规则匹配所应具有的特征。匹配分为两大类：通用匹配和特定于协议的匹配。 目标是由规则指定的

26、操作，对与那些规则匹配的信息包执行这些操作。除了允许用户定义的目标之外，还有许多可用的目标选项。,4、iptables与ipchains的区别 在 ipchains 中，诸如 input 链，是使用小写的 chains 名，在 iptables 中，要改用大写 INPUT。 在 iptables 中，要指定规则是欲作用在那一个规则表上(使用 -t 来指定，如 -t nat)，若不指定，则预设是作用在 filter 这个表。 在 ipchains 中， -i 是指界面(interface)，但在 iptables 中，-i 则是指进入的方向，且多了 -o，代表出去的方向。 在 iptables

27、中，来源 port 要使用关键字 -sport 或 -source-port 在 iptables 中，目的 port 要使用关键字 -dport 或 -destination-port,在 iptables 中，丢弃 的处置动作，不再使用 DENY 这个 target，改用 DROP。 在 ipchains 的记录档功能 -l，已改为目标 -j LOG，并可指定记录档的标题。 在 ipchains 中的旗标 -y，在 iptables 中可用 -syn 或 -tcp-flag SYN,ACK,FIN SYN9. 在 iptables 中，imcp messages 型态，要加上关键字 -ic

28、mp-type，如： iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP -icmp-type 8 -d any/0 -j ACCEPT,3、包过滤防火墙配置实例,1网络结构 为如图8-12所示的网络结构建立一个包过滤防火墙。,图8-12 包过滤防火墙结构图,WWW服务器：IP地址为51 FTP服务器：IP地址为52 E_mail服务器：IP地址为53,假设内部网有有效的Internet地址。为了将内部网段/24与Internet隔离，在内部网络和Interne

29、t之间使用了包过滤防火墙。防火墙的内网接口是eth1（54），防火墙的Internet接口是eth0（54）。另外，内网中有3台服务器对外提供服务。,2防火墙的建立过程 本例主要是对内部的各种服务器提供保护。下面采用编辑并执行可执行脚本的方法建立此防火墙。具体过程如下： （1）在/etc/rc.d/目录下用touch命令建立空的脚本文件，执行chmod命令添加可执行权限。 # touch /etc/rc.d/filter-firewall # chmod u+x /etc/rc.d/filter-firewall,（2）编辑/etc/rc.d/r

30、c.local文件，在末尾加上/etc/rc.d/filter-firewall 以确保开机时能自动执行该脚本。 # echo “/etc/rc.d/filter-firewall” /etc/rc.d/rc.local （3）使用文本编辑器编辑/etc/rc.d/filter-firewall文件，插入如下内容：,# !/bin/bash # 在屏幕上显示信息 echo “Starting iptables rules” # 开启内核转发功能 echo “1” /proc/sys/net/ipv4/ip_forward,# # 定义变量 IPT=/sbin/iptables WWW-SERV

31、ER=51 FTP-SERVER=52 EMAIL-SERVER=53 IP_RANGE=“/24” # 刷新所有的链的规则 $IPT F #,# 首先禁止转发任何包，然后再一步步设置允许通过的包 # 所以首先设置防火墙FORWARD链的策略为DROP $IPT P FORWARD DROP,下面设置关于服务器的包过滤规则 # 由于服务器/客户机交互是双向的，所以不仅仅要设置数据包 # 出去的规则，还要设置数据包返回的规则 1、下面建立针对来自Internet数据包的过滤规则 # （1）WWW服务

32、# 服务端口为80，采用tcp或utp协议 # 规则为：eth0=允许目的为内部网WWW服务器的包 $IPT A FORWORD p tcp d $WWW-SERVER dport www i eth0 j ACCEPT,# （2）FTP服务 # 服务端口为：命令端口21，数据端口20 # FTP服务采用tcp协议 # 规则为：eth0=允许目的为内部网FTP服务器的包 $IPT A FORWORD p tcp d $FTP-SERVER dport ftp i eth0 j ACCEPT,# （3）EMAIL服务 # 包含两个协议，一个是smtp，另一个是pop3 # 出于安全性考虑，通常只提供对内的pop3服务 # 所以在这里我们只考虑针对smtp的安全性问题 # smtp端口25，采用tcp协议 # 规则为：eth0=允许目的为内部网E_mail服务器的smtp请求 $IPT A FORWORD p tcp d $EMAIL-SERVER dport smtp i eth0 j ACCEPT,2、下面设置针对Intranet客户的过滤规