《网络安全基础培训ppt课件.ppt》由会员分享,可在线阅读,更多相关《网络安全基础培训ppt课件.ppt(277页珍藏版)》请在三一办公上搜索。
1、网络安全技术基础培训 Network Security Technology Essentials Training Course,网络安全技术基础,Network Security Technology Essentials Training Course,培训简 介,培 训 综 述,培 训 综 述,培 训 内 容,本培训以分析计算机网络面临的安全威胁为起点,阐述了常用的网络安全技术,介绍了主流网络安全产品和常用网络安全策略,并着重强调内容安全(防病毒)在网络安全中的重要地位。,分析计算机网络面临的安全威胁阐述常用的计算机网络安全技术介绍主要的网络安全产品类型推荐企业网络安全策略,培 训 综
2、 述,培训目标,本培训的目标是提高学员的网络安全意识,使学员熟悉基本的网络安全理论知识和常用网络安全产品,了解部署整个网络安全的防护系统和策略的方法。在此基础上,让学员充分了解病毒防范的重要性和艰巨性,了解“内部人员的不当使用”和“病毒”是整个网络系统中最难对付的两类安全问题。,全面了解基本的网络弱点 了解安全技术原理 了解各类安全技术的产品及其实现方式 了解内容安全(防病毒)的难度及在网络安全中日益重要的地位,授 课 对 象,授 课 对 象,授课对象,本课程面向下列人员:,领导IT 部门工作人员销售人员工程师其他对网络安全基础知识有兴趣的人士,第一篇网络安全基础篇,网络安全概述,第一章,网
3、络 安 全 概 述,本 章 概 要,本章介绍网络安全的定义、安全网络的基本特征以及计算机网络面临的威胁。本章内容包含以下几部分:,网络安全背景计算机网络面临的威胁网络安全的定义安全网络的基本特征,网 络 安 全 概 述,课 程 目 标,通过本章的学习,学员应能够了解:,网络安全的定义及其涵盖的范围计算机网络面临的威胁主要来自哪些方面安全的计算机网络的基本特征,在我们的生活中,经常可以听到下面的报道:,XX网站受到黑客攻击XX计算机系统受到攻击,造成客户数据丢失目前又出现XX计算机病毒,已扩散到各大洲,网络安全的背景,计算机网络在带给我们便利的同时已经体现出了它的脆弱性,网络安全的背景,经常有网
4、站遭受黑客攻击,网络安全的背景,用户数据的泄漏,网络安全的背景,调查显示:网络攻击数量与日俱增,网络安全的背景,网络病毒在全球范围内高速扩散,2001年7月19日 01:05:00,2001年7月19日 20:15:00,网络病毒在全球范围内高速扩散,Sat Jan 25 05:29:00 2003Sat Jan 25 06:00:00 2003,网络安全的背景,黑客攻击技术与网络病毒日趋融合,网络安全的背景,攻击者需要的技能日趋下降,攻击工具复杂性,攻击者所需技能,网络安全面临的威胁,互联网在推动社会发展的同时,也面临着日益严重的安全问题:,信息系统存在诸多弱点企业外部的网络攻击企业内部发起
5、的网络破坏计算机病毒的破坏,计算机网络的最大威胁是来自企业内部员工的恶意攻击和计算机病毒的威胁。,网络安全面临的威胁,物理风险,系统风险,信息风险,应用风险,其它风险,网络的风险,管理风险,设备防盗,防毁 链路老化人为破坏 网络设备自身故障 停电导致无法工作 机房电磁辐射 其他,信息存储安全 信息传输安全 信息访问安全 其他,身份鉴别 访问授权 机密性 完整性 不可否认性 可用性,计算机病毒 外部攻击 内部破坏 其他风险 软件弱点,是否存在管理方面的风险需有无制定相应的安全制度,安全拓扑 安全路由,网络面临多种风险,Internet,磁盘意外损坏,光盘意外损坏,磁带被意外盗走,导致数据丢失 导
6、致数据无法访问,信息系统的弱点,信息存储的弱点,信息系统的弱点,信息传输的弱点,总部,下属机构,黑客,信息泄密 信息被篡改,Internet,非法用户,非法登录,合法用户,越权访问,信息系统的弱点,计算机网络,信息被非法访问,信息被越权访问 信息被非授权访问,各种网络攻击,企业外部的网络攻击,1993年3月1日,由于骇客入侵,纽约市区供电中断8个小时,造成巨大经济损失。1998年6月,国内某著名银行一用户通过网络使用非法手段盗支36万元人民币。1999年8月,一少年侵入德里医院篡改血库信息,致使12名病人因错误输血而死亡。据美国金融时报报道,现在平均每20秒就发生一次入侵计算机网络的事件;超过
7、1/3的互联网被攻破。,各种网络攻击,企业内部的网络破坏,统计显示:来自企业内部的网络破坏更加危险;员工的不正常使用也是企业内网的一个重要不安全因素。,尽管企业外部的攻击可以对企业网络造成巨大威胁,企业内部员工的不正确使用和恶意破坏是一种更加危险的因素。,摘自ICSA/FBI,2001,计算机病毒的破坏,1998年,CIH病毒影响到2000万台计算机;1999年,梅利莎造成8000万美元损失;2000年,爱虫病毒影响到1200万台计算机,损失高达几十亿美元;2001年,红色代码病毒,造成的损失已超过十二亿美元。2003年, 冲击波病毒给全球造成20亿-100亿美元损失。 ,现在计算机病毒已达1
8、0万多种,并呈几何级数增长,网络安全问题的严重性,网络安全隐患到处存在,据美国金融时报报道,现在平均每20秒就发生一次入侵计算机网络的事件;超过1/3的互联网被攻破。被认为保护措施最严密的美国白宫被多次闯入。中国国内80的网络存在安全隐患,20的网站有严重安全问题。,网络安全问题的严重性,网络安全问题造成的巨大损失,据统计,在全球范围内,由于信息系统的脆弱性而导致的经济损失,每年达数亿美元,并且呈逐年上升的趋势。美国FBI统计数据:美国每年因为网络安全问题而造成的经济损失高达75亿美圆。,网络安全的定义,广义的网络安全定义:凡是涉及到网络上信息的安全性,完整性,可用性,真实性和可控性的相关理论
9、和技术都是网络信息安全所要研究的领域。 狭义的网络安全定义:指信息内容的安全性,即保护信息的秘密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗、盗用等有损合法用户利益的行为,保护合法用户的利益和隐私。本课程涉及的网络安全是指狭义的网络安全。,网络安全从其本质上来讲就是网络上的信息安全,它涉及的范围相当广。,安全网络的特征,安全的网络具有下列四个特征:,保密性完整性可用性可控性,如何构建一个安全的网络?,构建计划周密、安全可行的安防体系,完整的安防体系应该由人、制度和技术三方面组成;本课程的第二章到第四章讨论了网络安全技术的相关问题;本课程第五章着重讨论了安防体系中人和制度
10、的因素,并提出了规划安防体系的一般方法。,本章概要,计算机网络面临的安全威胁,本章分析了威胁计算机网络安全的各种因素,具体如下:,网络安全漏洞网络攻击概述网络攻击手段计算机病毒的危害,网络安全漏洞,系统存在安全方面的脆弱性非法用户得以获得访问权合法用户未经授权提高访问权限系统易受来自各方面的攻击,网络安全漏洞的概念,网络协议的安全漏洞操作系统的安全漏洞应用程序的安全漏洞,安全漏洞的分类,网络安全漏洞,系统和软件的设计存在缺陷,通信协议不完备;如TCP/IP协议就有很多漏洞。技术实现不充分;如很多缓存溢出方面的漏洞就是在实现时缺少必要的检查。配置管理和使用不当也能产生安全漏洞; 如口令过于简单,
11、很容易被黑客猜中。,安全漏洞产生的原因,网络安全漏洞,常见的Internet 服务中都存在安全漏洞:,网络安全漏洞,常见的Internet 服务中都存在安全漏洞:,网络攻击病毒破坏,计算机网络基础知识,第二章,计算机网络基础知识,计算机网络的分层结构复杂的计算机网络计算机网络的七层模型(OSI)TCP/IP网络的层次结构,常用的网络协议和网络技术TCP/IP协议族局域网技术和广域网技术,常见的Internet服务,复杂的计算机网络,计算机网络分层结构,OSI七层模型,计算机网络分层结构,OSI七层模型,计算机网络分层结构,计算机网络分层结构,TCP/IP网络层次结构,计算机网络分层结构,TCP
12、/IP网络层次结构,TCP/IP协议族,TCP/IP协议族(网络互联层和传输层),IP协议:Internet ProtocolTCP协议:Transmission Control ProtocolUDP协议:User Datagram ProtocolICMP协议:Internet Control Message ProtocolARP协议:Address Resolution ProtoclRARP协议:Reversed Address Resolution Protocol,TCP/IP协议族,TCP/IP协议族(应用层),HTTP:HyperText Transmission Proto
13、colFTP:File Transmission ProtocolSMTP:Simple Mail Transmission ProtocolDNS:Domain name ServiceSNMP:Simple Network Management ProtocolTelnetPOP3,TCP/IP协议族,TCP/IP协议支持的链路层协议,EthernetToken RingFDDIHLDCPPPX.25Frame Relay,TCP/IP协议几乎能支持所有的链路层协议,包括局域网协议和广域网协议,MAC地址与IP地址,MAC地址:是网卡的唯一标识,固化在网卡 的EEPROM中,通常有48位长
14、IP地址:给每个连接在Internet上的主机分配 的一个32bit地址。,MAC地址与IP地址,Class A 10.0.0.0 10.255.255.255Class B 172.16.0.0 172.31.255.255Class C 192.168.0.0 192.168.255.255,IP子网,网络,子网,主机,数据包结构,位,侦,包,TCP/UDP,TCP协议面向连接传输可靠(三次握手)传输大量的数据传输速度慢,UDP协议非面向连接传输不可靠传输少量的数据传输速度快,常用网络技术,局域网(LAN),局域网(local areanetwork)简称LAN,是处于同一建筑、同一大学或
15、者方圆几公里远地域内专用网络。局域网常被用于连接公司办公室或工厂里的个人计算机和工作站,以便共享资源(如打印机)和交换信息。,常用网络技术,局域网(LAN)技术,常用网络技术,局域网(LAN)常见设备,常用网络技术,广域网(WAN),广域网(wide area network, WA N )它是影响广泛的复杂网络系统。WA N 由两个以上的L A N 构成,这些L A N 间的连接可以穿越3 0 m i l e *以上的距离。大型的WA N可以由各大洲的许多L A N 和M A N 组成。最广为人知的WA N 就是I n t e r n e t ,它由全球成千上万的L A N 和WA N 组成
16、。,常用网络技术,广域网(WAN)技术,租用专线( Leased Line ),帧中继技术(Frame Relay),电话拨号接入技术(Dial Up),ISDN拨号接入技术(ISDN),虚拟专用网技术(VPN),常用网络技术,广域网(WAN)常见设备,常用网络技术,Internet(国际互联网),Internet (国际互联网) 是一个由各种不同类型和规模的独立运行和管理的计算机网络组成的全球范围的计算机网络,组成 Internet 的计算机网络包括局域网 (LAN)、城域网 (MAN)以及大规模的广域网(WAN)等。,常见的Internet服务,电子邮件,WWW 服务,Telnet,文件传
17、输,网络管理,拨号网络,网际互连设备,中继器网桥:网桥类型、连接不同LAN的网桥路由器网关其他设备:多协议路由器、桥路器、交换机、路由交换路由算法距离向量路由:信息共享、路由表链路状态路由:信息共享、Dijkstra算法防火墙,网际互连设备,因特网网关: 这种网关允许并管理局域网和因特网间的接入。局域网网关: 通过这种网关,运行不同协议或运行于O S I 模型不同层上的局域网网段间可以相互通信。路由器甚至只用一台服务器都可以充当局域网网关。局域网网关也包括远程访问服务器。它允许远程用户通过拨号方式接入局域网。,网关,网关不能完全归为一种网络硬件。用概括性的术语来讲,它们应该是能够连接不同网络的
18、软件和硬件的结合产品。,网际互连设备,网桥具有单个的输入端口和输出端口。网桥属于O S I 模型的数据链路层;数据链路层网桥能够解析它所接受的帧,并能指导如何把数据传送到目的地。网桥利用过滤数据库来决定是转发数据包还是把它过滤掉.,网桥,网际互连设备,Proxy(代理),Web 代理服务WinSock 代理服务Socks 代理服务,网络攻击概述,第三章,网络攻击概述,网络攻击的概念,利用安全漏洞使用攻击软件或命令使用网络命令使用专用网络软件自己编写攻击软件攻击具体内容非法获取、修改或删除用户系统信息在用户系统上增加垃圾、色情或有害的信息破坏用户的系统,网络攻击概述,常见的网络攻击者,骇客(Ha
19、cker)黑客(Cracker)幼稚黑客(Script Kiddie)内奸工业间谍病毒制造者,网络攻击概述,网络攻击的工具,分布式工具(Distributed Tool)攻击程序(Intrusion Program)自治代理(Autonomous Agents )工具集(Tool Sets)用户命令(User Command ),网络攻击概述,一个网络攻击的组成,网络攻击,攻击者,工具,访问,结果,目标,骇客黑客幼稚黑客内奸工业间谍,分布式工具程序自治代理工具集用户命令,信息破坏信息暴露服务偷窃服务拒绝,破坏,配置的脆弱点实现的漏洞,黑客,用户命令,配置的脆弱点,信息破坏,破坏,网络攻击的类型
20、,拒绝服务:使遭受的资源目标不能继续正常提供服务侵入攻击:攻击者窃取到系统的访问权并盗用资源信息盗窃:攻击者从目标系统中偷走数据。信息篡改:攻击者篡改信息内容。,网络攻击主要可以分为以下几种类型:,网络攻击的类型,拒绝服务(Denial of Service),网络攻击的类型,信息盗窃(Eavesdropping),网络攻击的类型,侵入攻击(Intrusion),网络攻击的类型,信息篡改(Loss of Integrity),常见的网络攻击手段,主要网络攻击手段,E-Mail炸弹 (E-Mail Bombing)逻辑炸弹 (Logic Bombing)DDos攻击 (Distributed D
21、enial of Service )特洛伊木马 (Trojan Horse Program)口令入侵 (Password Intrusion)网络窃听 (Eavesdropping)IP地址欺骗 (IP Spoofing)病毒攻击 (Viruses),数据加密技术,第四章,数据加密技术,数据加密的概念数据加密技术原理数据传输的加密常用加密协议,本部分涉及以下内容:,数据加密的概念,数据加密模型,密文,加密密钥,信息窃取者,解密密钥,加密算法,解密算法,数据加密的概念,数据加密技术的术语,数据加密(Encryption)是指将明文信息(Plaintext)采取数学方法进行函数转换成密文(Ciph
22、ertext),只有特定接受方才能将其解密(Decryption)还原成明文的过程。,明文(Plaintext) : 加密前的原始信息;密文(Ciphertext) :明文被加密后的信息;密钥(Key): 控制加密算法和解密算法得以实现的关键信息,分为加密密钥和解密密钥;加密(Encryption):将明文通过数学算法转换成密文的过程;解密(Decryption):将密文还原成明文的过程。,数据加密的概念,数据加密技术的应用,数据保密;身份验证;保持数据完性;确认事件的发生。,数据加密技术原理,对称密钥加密(保密密钥法)非对称密钥加密(公开密钥法)混合加密算法哈希(Hash)算法数字签名数字证
23、书公共密钥体系,数据加密技术原理,数据加密技术原理,对称密钥加密(保密密钥法),加密算法,解密算法,密钥,网络信道,明文,明文,密文,两者相等,数据加密技术原理,非对称密钥加密(公开密钥加密),加密算法,解密算法,公开密钥,网络信道,明文,明文,密文,私有密钥,公钥,私钥,公钥,私钥,不可相互推导,不相等,数据加密技术原理,混合加密系统,对称密钥加密算法,对称密钥解密算法,对称密钥,网络信道,明文,明文,密文,混合加密系统既能够安全地交换对称密钥,又能够克服非对称加密算法效率低的缺陷!,非对称密钥加密算法,非对称密钥解密算法,对称密钥,公开密钥,私有密钥,混合加密系统是对称密钥加密技术和非对称
24、密钥加密技术的结合,数据加密技术原理,哈希(Hash)算法,信息,哈希算法(hash algorithm),也叫信息标记算法(message-digest algorithm),可以提供数据完整性方面的判断依据。,哈希算法,结果相同,则数据未被篡改,比较,结果不同,则数据已被篡改,信息标记(digest),常用的哈希算法:MD5SHA-1,哈希算法,数据加密技术原理,数字签名,数字签名(digital signature)技术通过某种加密算法,在一条地址消息的尾部添加一个字符串,而收信人可以根据这个字符串验明发信人的身份,并可进行数据完整性检查。,数据加密技术原理,数字签名的工作原理,非对称加
25、密算法,非对称解密算法,Alice的私有密钥,网络信道,合同,Alice的公开密钥,哈希算法,标记,标记-2,合同,哈希算法,比较,标记-1,如果两标记相同,则符合上述确认要求。,Alice,Bob,数据加密技术原理,数字签名的作用,唯一地确定签名人的身份;对签名后信件的内容 是否又发生变化进行验证;发信人无法对信件的内容进行抵赖。,当我们对签名人同公开密钥的对应关系产生疑问时,我们需要第三方颁证机构(CA: Certificate Authorities)的帮助。,数据加密技术原理,数字证书,数字证书相当于电子化的身份证明,应有值得信赖的颁证机构(CA机构)的数字签名,可以用来强力验证某个用
26、户或某个系统的身份及其公开密钥。 数字证书既可以向一家公共的办证机构申请,也可以向运转在企业内部的证书服务器申请。这些机构提供证书的签发和失效证明服务。,数据加密技术原理,数字证书标准:X.509,X.509是由国际电信联盟(ITU-T)制定的数字证书标准。在X.500确保用户名称惟一性的基础上,X.509为X.500用户名称提供了通信实体的鉴别机制,并规定了实体鉴别过程中广泛适用的证书语法和数据接口。X.509的最初版本公布于1988年。X.509证书由用户公共密钥和用户标识符组成。此外还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等信息。X.509标准的最新版本
27、是X.509v3,它定义了包含扩展信息的数字证书。该版数字证书提供了一个扩展信息字段,用来提供更多的灵活性及特殊应用环境下所需的信息传送。,数据加密技术原理,数字证书中的常见内容,发信人的公开密钥;发信人的姓名;证书颁发者的名称;证书的序列号;证书颁发者的数字签名;证书的有效期限。,数据加密技术原理,申请数字证书,并利用它发送电子邮件,数据传输的加密,链路加密方式,数据传输的加密,链路加密方式,用于保护通信节点间传输的数据,通常用硬件 在物理层或数据链路层实现。,优点由于每条通信链路上的加密是独立进行的,因此当某条链路受到破坏不会导致其它链路上传输的信息的安全性。报文中的协议控制信息和地址都被
28、加密,能够有效防止各种流量分析。不会减少网络有效带宽。只有相邻节点使用同一密钥,因此,密钥容易管理。加密对于用户是透明的,用户不需要了解加密、解密过程。,数据传输的加密,链路加密方式,缺点在传输的中间节点,报文是以明文的方式出现,容易受到非法访问的威胁。每条链路都需要加密/解密设备和密钥,加密成本较高。,数据传输的加密,端对端加密方式,数据传输的加密,端对端加密方式,在源节点和目标节点对传输的报文进行加密和解密,一般在应用层或表示层完成。,优点在高层实现加密,具有一定的灵活性。用户可以根据需要选择不同的加密算法。,缺点报文的控制信息和地址不加密,容易受到流量分析的攻击。需要在全网范围内对密钥进
29、行管理和分配。,常用加密协议,SSL协议:,安全套接层协议(Secure Socket Layer)。SSL是建立安全通道的协议,位于传输层和应用层之间,理论上可以为任何数量的应用层网络通信协议提供通信安全。SSL协议提供的功能有安全(加密)通信、服务器(或客户)身份鉴别、信息完整性检查等。SSL协议最初由Netscape公司开发成功,是在Web客户和Web服务器之间建立安全通道的事实标准。SSL协议大量使用于网站的安全连接。,常用加密协议,SSL协议:,安全套接层协议所在层次,常用加密协议,SSL协议:,建立SSL协议的六个步骤,常用加密协议,SSL协议:,建立SSL协议的六个步骤,常用加密
30、协议,TLS协议:,传输层安全协议(Transport Layer Security)。 TLS协议由IETF(Internet Engineering Task Force)组织开发。TLS协议是对SSL 3.0 协议的进一步发展。同SSL协议相比,TLS协议是一个开放的、以有关标准为基础的解决方案,使用了非专利的加密算法。,常用加密协议,其它加密协议与标准:,SSH:Secure Shell,在UNIX操作系统中用于远程控制Web服务器和其他服务器。DNSSEC:Domain Name Server Security,主要用于分布式域名服务。GSSAPI: Generic Security
31、 Services API,为各种密码学提供身份鉴别、密钥交换、数据加密的平台。 PGP协议:Pretty Good Protocol,适合于加密文件和加密电子邮件。,身份鉴别资源授权入侵检测,第五章,身份鉴别技术,Is that Alice?,Hi, this is Alice. Please send me data.,Internet,身份鉴别技术的提出,在开放的网络环境中,服务提供者需要通过身份鉴别技术判断提出服务申请的网络实体是否拥有其所声称的身份。,身份鉴别技术,常用的身份鉴别技术,基于用户名和密码的身份鉴别基于对称密钥密码体制的身份鉴别技术基于KDC(密钥分配中心)的身份鉴别技术
32、基于非对称密钥密码体制的身份鉴别技术基于证书的身份鉴别技术,身份鉴别技术,Yes. I have a user named “Alice” whose password is “byebye”. I can send him data.,Hi, this is Alice. My User Id is “Alice”, my password is “byebye”. Please send me data.,Internet,基于用户名和密码的身份鉴别,身份鉴别技术,This is Bob. Are you Alice?,Hi, this is Alice. Are you Bob ?,In
33、ternet,基于对称密钥体制的身份鉴别,A,在这种技术中,鉴别双方共享一个对称密钥KAB,该对称密钥在鉴别之前已经协商好(不通过网络)。,RB,KAB(RB),RA,KAB(RA),Alice,Bob,身份鉴别技术,This is Bob. Are you Alice?,Hi, this is Alice. Are you Bob ?,Internet,基于KDC的身份鉴别技术,A, KA(B,KS),基于KDC(Key Distribution Center,密钥分配中心)的身份鉴别技术克服了基于对称密钥的身份鉴别技术中的密钥管理的困难。在这种技术中,参与鉴别的实体只与KDC共享一个对称密
34、钥,鉴别通过KDC来完成。,KB(A,KS),Alice,Bob,KDC,身份鉴别技术,基于非对称密钥体制的身份鉴别,在这种技术中,双方均用对方的公开密钥进行加密和传输。,This is Bob. Are you Alice?,Hi, this is Alice. Are you Bob ?,Internet,EPKB(A,RA),EPKA(RA,RB,KS),KS(RB),Alice,Bob,身份鉴别技术,基于证书的身份鉴别技术,为解决非对称密钥身份鉴别技术中存在的“公开密钥真实性”的问题,可采用证书对实体的公开密钥的真实性进行保证。,This is Bob. Are you Alice?,
35、Hi, this is Alice. Are you Bob ?,Internet,PKB(A,KS), CA,PKA(B,KS),Alice,Bob,资源使用授权,资源使用授权的概念,当用户登陆到系统时,其任何动作都要受到约束在使用者和各类系统资源间建立详细的授权映射,确保用户只能使用其授权范围内的资源。通过访问控制列表(ACL: Access Control List)来实现资源使用授权。系统中的每一个对象与一个ACL关联。ACL中包含一个或多个访问控制入口(Access Control Entry, ACE)。,资源使用授权,资源使用授权实例分析,入侵监测系统,入侵监测系统的概念入侵监测
36、的主要技术入侵监测系统的主要类型入侵监测系统的优点和不足含入侵监测系统的网络体系结构入侵监测系统的发展,本节将分以下几部分介绍入侵监测系统:,入侵监测系统的概念,防火墙不能彻底消除网络入侵的威胁;入侵监测系统(IDS:Intrusion detection system)用于监控网络和计算机系统被入侵或滥用的征兆;IDS系统以后台进程的形式运行,发现可疑情况,立即通知有关人员;IDS是监控和识别攻击的标准解决方案,是安防体系的重要组成部分;假如说防火墙是一幢大楼的门锁,那入侵监测系统就是这幢大楼里的监视系统。,基本概念,入侵监测系统的概念,物理入侵系统入侵远程入侵,入侵者如何进入系统?,入侵监
37、测系统的概念,监听明文口令信息监听加密口令信息重放攻击(Replay attack)窃取口令文件观察社会工程,入侵者如何获取口令?,入侵监测系统的概念,探测漏洞利用 CGI漏洞 Web服务器漏洞 Web浏览器漏洞 STMP漏洞 IMAP漏洞 IP地址欺骗DoS或DDoS,入侵有哪些方式?,入侵监测系统的概念,能够发现异于正常行为的操作不需要人工干预即可不间断运行对网络入侵行为进行实时报警和主动响应不需要占用大量的系统资源能方便地进行升级,入侵监测系统应有的功能,入侵监测的主要技术,主要技术,签名分析法Signature Analysis统计分析法Statistics Analysis数据完整性
38、分析法Data Integration Analysis,入侵监测系统的主要类型,应用软件入侵监测系统Application Intrusion Detection主机入侵监测系统Host Intrusion Detection网络入侵监测系统Network Intrusion Detection集成入侵监测系统Integrated Intrusion Detection,IDS的主要类型,含入侵监测系统的网络体系结构,含IDS的网络体系结构,入侵监测系统的优点和不足,能完善现有的安防体系;能帮助用户更好地掌握系统情况;能追踪攻击线路,以便抓住攻击者。,入侵监测系统的优点,入侵监测系统能够增强
39、网络的安全性,它,入侵监测系统的优点和不足,传统的入侵监测系统不能在没有用户参与的情况下对攻击行为展开调查。传统的入侵监测系统不能在没有用户参与的情况下阻止攻击行为的发生。不能克服网络协议方面的缺陷不能克服设计原理方面的缺陷。响应不够及时,签名数据库难以及时更新。,入侵监测系统的不足,入侵监测系统不是万能的,也存在许多不足:,入侵监测系统的发展,能对入侵做出主动的反映;不再完全依赖于签名数据库,易于管理;追求的目标是在攻击对系统造成真正的危害之前将它们化解掉;随时都可以对攻击展开的跟踪调查;极大的改善了IDS系统的易用性,减轻了主机安防在系统管理方面的压力。,抗入侵技术入侵监测的发展方向,入侵
40、监测系统的发展方向是抗入侵技术(Intrusion Resistant)。该技术能在系统遇到攻击时设法把它化解掉,让网络和系统还能正常运转。抗入侵技术具有如下优势:,入侵监测系统的发展,入侵监测举例,在病毒爆发期,针对通信协议异常、行为异常、恶意程序造成的流量进行监测。,入侵监测产品,常见的入侵监测产品,Cisco System: NetRangerNetwork Associate: Cyber CopInternet Security System: Real SecureIntrusion Detection: Kane Security Monitor蓝盾:入侵监测系统启明星辰:Sky
41、Bell(天阗),防火墙技术,第六章,防火墙的基本概念,防火墙是一种高级访问控制设备,是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。,防火墙的用途,防火墙的用途,控制对网点的访问和封锁网点信息的泄露能限制被保护子网的泄露具有审计作用能强制安全策略,防火墙的功能,防火墙的功能,假冒IP地址 (Anti-spoofing)的侦测网络攻击(Dos)的侦测与阻绝使用权限控管(Access Control)使用者认证(User Authentication)SMTP数据存取的过滤FTP数据存取的过滤
42、HTTP数据存取的过滤网络地址转换(NAT),防火墙的体系结构,屏蔽路由器(ScreeningRouter)双宿主机网关(DualHomedGateway)被屏蔽主机网关(ScreenedGatewy)被屏蔽子网 (ScreenedSubnet),防火墙的主要技术,包过滤技术 (Packet Filtering)状态包过滤技术 (Stateful Packet Filtering)应用层代理技术 (Application Proxy),防火墙的主要技术种类,防火墙的主要技术,包过滤技术的基本概念,包过滤技术指在网络中适当的位置(作用在网络层和传输层)对数据包有选择的通过;选择的依据是系统内设置
43、的过滤规则(分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过);只有满足过滤规则的数据包才被转发到相应的网络接口;其余数据包则被从数据流中删除。包过滤一般由屏蔽路由器来完成。包过滤技术是防火墙最常用的技术。,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,分组过滤判断信息,数据包,防火墙的主要技术,包过滤技术的基本原理,数据包,防火墙的主要技术,包过滤技术的基本原理,这种类型的防火墙根据定义好的规则审查每个数据包,以便确定其是否与某条规则匹配,防火墙的主要技术,包过滤技术的特点,较高的网络性能。 成本较低。,不足:,优点:,包过滤技术是安防强
44、度最弱的防火墙技术。虽然有一些维护工具,但维护起来十分困难。 IP包的源地址、目的地址、TCP端口号是唯一可以用于判断是否允许包通过的信息。 不能阻止IP地址欺骗,不能防止DNS欺骗。,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,防火墙的主要技术,状态检测包过滤技术的基本原理,数据包,分组过滤判断信息,状态检测,控制策略,防火墙的主要技术,状态检测包过滤技术的基本原理,这种类型的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目,防火墙的主要技术,状态检测包过滤技术举例,防火墙模块启用后,即可自动启用网络病毒扫描功
45、能,对病毒发出的网络层数据包进行检测。,防火墙的主要技术,状态检测包过滤技术举例,趋势科技防毒墙网络版officescan6.5 防火墙模块,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,防火墙的主要技术,应用层代理技术的基本原理,数据包,分组过滤判断信息,应用代理判断信息,控制策略,防火墙的主要技术,应用层代理技术的基本原理,传统代理防火墙,防火墙的主要技术,应用层代理技术的基本原理,自适应代理防火墙,防火墙不能防备病毒防火墙对不通过它的连接无能为力防火墙不能防备内部人员的攻击限制有用的网络服务防火墙不能防备新的网络安全问题,防火墙的弱点,防火墙的弱点
46、,防火墙的构筑原则,构筑防火墙要从以下几方面考虑:,体系结构的设计安全策略的制定安全策略的实施,防火墙的产品(国外),防火墙的产品(国内),VPN与漏洞评估技术,第七章,VPN网关,VPN的基本概念VPN的功能VPN的分类及用途VPN常用协议基于IPSec协议的VPN体系结构,本节将分以下几部分介绍VPN网关:,VPN的基本概念,虚拟专用网VPN(Virtual Private Network)技术是指在公共网络中建立专用网络,数据通过安全的“加密管道”在公共网络中传播。,VPN的基本概念,VPN必须具备如下功能:,VPN的功能,保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址冒认(I
47、P Spoofing)的能力。 保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。 保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。 提供动态密钥交换功能,提供密钥中心管理服务器,必须具备防止数据重演(Replay)的功能,保证通道不能被重演。 提供安全防护措施和访问控制,要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制(Access Control),内 部 网VPN用VPN连接公司总部和其分支机构. 远程访问VPN用VPN连接公司总部和远程用户. 外 联 网VPN用VPN连接公司和其业务伙伴.,VP
48、N的分类及用途,VPN的分类及用途,内部网VPN,VPN的分类及用途,远程访问VPN,VPN的分类及用途,外联网VPN,VPN常用协议,VPN常用的协议有SOCK v5、IPSec、PPTP以及L2TP等。这些协议对应的OSI层次结构如下:,VPN常用协议,基于IPSec协议的VPN体系结构,IP-Sec协议,IP-Sec协议(VPN 加密标准):,与SSL协议不同,IP-Sec协议试图通过对IP数据包进行加密,从根本上解决因特网的安全问题。IP-Sec是目前远程访问VPN网的基础,可以在Internet上创建出安全通道来。,IP-Sec协议,IP-Sec协议:,IP-Sec协议有两种模式:透
49、明模式:把IP-Sec协议施加到IP数据包上,但保留数据包原来的数据头;信道模式:把数据包的一切内容都加密(包括数据头),然后再加上一个新的数据头。,VPN产品,漏洞评估的概念,基本概念,通过对系统进行动态的试探和扫描,找出系统中各类潜在的弱点,给出相应的报告,建议采取相应的补救措施或自动填补某些漏洞。,主要优点,通过漏洞评估,网络管理人员能提前发现网络系统的弱点和漏洞,防范于未然。,漏洞评估的概念,什么是漏洞,狭义的漏洞是指计算机软件存在的缺陷,正是因为有这些缺陷,使得计算机软件易于受到病毒和其它恶意代码的攻击。其中包括于未安装安全补丁所带来的缺陷。范例:IE5.5存在一个漏洞 MS01-0
50、20。这是由于IE无法正确处理异MIME类型而造成的。一个攻击者可以创建一个电子邮件通讯,并将其指定为异常MIME类型。NIMDA.A 蠕虫就利用了这个漏洞。它通过电子邮件内嵌附件进行传播。NIMDA会损害网络安全和改写系统目录下的文件。,漏洞评估产品的分类,漏洞评估产品的分类,网络型安全漏洞评估产品模拟黑客行为,扫描网络上的漏洞并进行评估主机型安全漏洞评估产品针对操作系统的漏洞作更深入的扫描数据库安全漏洞评估产品专门针对数据库的漏洞进行扫描,漏洞评估产品选择原则,产品选择原则,是否具有针对网络、主机和数据库的漏洞检测功能产品扫描能力产品的评估能力产品的漏洞修复能力及报告格式,漏洞评估产品举例
