《《局域网安全》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《局域网安全》PPT课件.ppt(51页珍藏版)》请在三一办公上搜索。
1、第8章 局域网安全,8.1 网络安全隐患8.2 防火墙技术8.3 用ISA Server 2000保护局域网8.4 网络病毒及防杀8.5 安全防范原则与安全教育8.6 网络安全措施,计算机网络犯罪及特点,据伦敦英国银行协会统计,全球每年因计算机犯罪造成的损失大约为80亿美元。而计算机安全专家则指出,实际损失金额应在100亿美元以上。网络犯罪的特点是,罪犯不必亲临现场、所遗留的证据很少且有效性低。并且,与此类犯罪有关的法律还有待于进一步完善。遏制计算机犯罪的有效手段是从软、硬件建设做起,力争防患于未然,例如,可购置防火墙(firewall)、对员工进行网络安全培训,增强其防范意识等。,8.1 网
2、络安全隐患,Internet的前身是APPANET,而APPNET最初是为军事机构服务的,对网络安全的关注较少。在进行通信时,Internet用户的数据被拆成一个个数据包,然后经过若干结点辗转传递到终点。在Internet上,数据传递是靠TCP/IP实现的。但是TCP/IP在传递数据包时,并未对其加密。换言之,在数据包所经过的每个结点上,都可直接获取这些数据包,并可分析、存储之。如果数据包内含有商业敏感数据或个人隐私信息,则任何人都可轻易解读。,先天性安全漏洞:,8.1 网络安全隐患,1.窃听(Eavesdropping)最简易的窃听方式是将计算机连入网络,利用专门的工具软件对在网络上传输的数
3、据包进行分析。进行窃听的最佳位置是网络中的路由器,特别是位于关卡处的路由器,它们是数据包的集散地,在该处安装一个窃听程序,可以轻易获取很多秘密。,几种常见的盗窃数据或侵入网络的方法:,窃听程序的基本功能是收集、分析数据包,高级的窃听程序还提供生成假数据包、解码等功能,甚至可锁定某源服务器(或目标服务器)的特定端口,自动处理与这些端口有关的数据包。利用上述功能,可监听他人的联网操作、盗取信息。,以图为例,说明普通网络通信遭窃听的可能性。其中,假设数据由网络传送至网络。,可被窃听的位置至少包括:l 网络中的计算机 l 数据包在Internet上途经的每一路由器。l 网络中的计算机。,2.窃取(Sp
4、oofing),这种入侵方式一般出现在使用支持信任机制网络中。在这种机制下,通常,用户只需拥有合法帐号即可通过认证,因此入侵者可以利用信任关系,冒充一方与另一方连网,以窃取信息。,假设某入侵者欲利用主机A入侵某公司的的内部网络主机B,则其步骤大致如下:1.确定要入侵的主机B。2.确定主机B所信任的主机A。,3.利用主机X在短时间内发送大量的数据包给A,使之穷于应付。4.利用主机X向B发送源地址为A的数据包。,窃取技术的要点如图所示:,3.会话窃夺(Spoofing),会话劫夺指入侵者首先在网络上窥探现有的会话,发现有攻击价值的会话后,便将参与会话的一方截断,并顶替被截断方继续与另一方进行连接,
5、以窃取信息。,会话劫夺不像窃取那样容易防范。对于由外部网络入侵内部网络的途径,可用防火墙切断,但对于内、外部网络之间的会话,除了采用数据加密手段外,没有其他方法可保绝对安全。,以图为例,当主机A正与主机B进行会话时,X切入会话,并假冒B的名义发送数据包给A,通知其中断会话,然后X顶替A继续与B进行会话。,会话劫夺过程示意图,4.利用操作系统漏洞,任何操作系统都难免存在漏洞,包括新一代操作系统。操作系统的漏洞大致可分为两部分:一部分是由设计缺陷造成的。包括协议方面的、网络服务方面的、共用程序库方面的等等。,另一部分则是由于使用不得法所致。这种由于系统管理不善所引发的漏洞主要是系统资源或帐户权限设
6、置不当。,5.盗用密码,盗用密码是最简单和狠毒的技巧。通常有两种方式:,密码被盗用,通常是因为用户不小心被他人“发现”了。而“发现”的方法一般是“猜测”。猜密码的方式有多种,最常见的是在登录系统时尝试不同的密码,系统允许用户登录就意味着密码被猜中了。,另一种比较常见的方法是先从服务器中获得被加密的密码表,再利用公开的算法进行计算,直到求出密码为止,这种技巧最常用于Unix系统。,6.木马、病毒、暗门,计算机技术中的木马,是一种与计算机病毒类似的指令集合,它寄生在普通程序中,并在暗中进行某些破坏性操作或进行盗窃数据。木马与计算机病毒的区别是,前者不进行自我复制,即不感染其他程序。,暗门(trap
7、door)又称后门(backdoor),指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。,病毒是一种寄生在普通程序中、且能够将自身复制到其他程序、并通过执行某些操作,破坏系统或干扰系统运行的“坏”程序。其不良行为可能是悄悄进行的,也可能是明目张胆实施的,可能没有破坏性,也可能毁掉用户几十年的心血。病毒程序除可从事破坏活动外,也可能进行间谍活动,例如,将服务器内的数据传往某个主机等。,木马、病毒和暗门都可能对计算机数据资源的安全构成威胁(例如数据被窜改、毁坏或外泄等)。免受木马、病毒和暗门威胁的最有效的方法是不要运行来历不明的程序。,7.隐秘通道,安装防火墙、选择满足
8、工业标准的的安全结构、对进出网络环境的存储媒体实施严格管制,可起到一定的安全防护作用,但仍然不能保证绝对安全。,例如,系统内的木马可以使用如下手段数将据送达外界:约定木马忙碌代表1,不忙碌代表0,当木马忙碌时,因其占用系统资源,计算机的响应速度将便慢,否则,响应速度较高。外界接应者可每隔一秒,对计算机的响应速度测试一次,以得知木马是否忙碌,从而可获得数据。但是,通过隐秘通道外运数据的速度通常甚低。,8.2 防火墙技术,8.2.1 防火墙技术概述,防火墙是用来连接两个网络并控制两个网络之间相互访问的系统,如下页图所示。它包括用于网络连接的软件和硬件以及控制访问的方案。用于对进出的所有数据进行分析
9、,并对用户进行认证,从而防止有害信息进入受保护网,为网络提供安全保障。,防火墙是一类防范措施的总称。这类防范措施简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。它可以在IP层设置屏障,也可以用应用层软件来阻止外来攻击。,防火墙的主要功能如下:过滤不安全服务和非法用户,禁止未授权的用户访问受保护网络。控制对特殊站点的访问。提供监视Internet安全和预警的端点。,防火墙并非万能,影响网络安全的因素很多,对于以下情况它无能为力:(1)不能防范绕过防火墙的攻击。(2)一般的防火墙不能防止受到病毒感染的软件或文件的传输。(3)不能防止数据驱动式攻击。(4)难以避免来自内部的攻击。,再次
10、指出,防火墙只是网络安全防范策略的一部分,而不是解决所有网络安全问题的灵丹妙药。,8.2.2 防火墙的类型,一般说来,只有在Intranet与外部网络连接时才需要防火墙,当然,在Intranet内部不同的部门之间的网络有时也需要防火墙。不同的连接方式和功能对防火墙的要求也不一样,为了满足各种网络连接的要求,目前防火墙按照防护原理可以分为三种类型,每类防火墙保护Intranet的方法各不相同。,1.网络级防火墙,网络级防火墙也称包过滤防火墙,通常由一部路由器或一部充当路由器的计算机组成。Internet/Intranet上的所有信息都是以IP数据包的形式传输的,两个网络之间的数据传送都要经过防火
11、墙。包过滤路由器对所接收的每个数据包进行审查,以便确定其是否与某一条包过滤规则匹配。,包过滤防火墙是一种基于网络层的安全技术,对于应用层上的黑客行为无能为力。这一类的防火墙产品主要有防火墙路由器、在充当路由器的计算机上运行的防火墙软件等。,2.应用级防火墙,应用级防火墙通常指运行代理(Proxy)服务器软件的一部计算机主机。采用应用级防火墙时,Intranet与Internet间是通过代理服务器连接的,二者不存在直接的物理连接,代理服务器的工作就是把一个独立的报文拷贝从一个网络传输到另一个网络。,这种方式的防火墙把Intranet与Internet物理隔开,能够满足高安全性的要求。但由于该软件
12、必须分析网络数据包并作出访问控制决定,从而影响网络的性能。,3.电路级防火墙,电路级防火墙也称电路层网关,是一个具有特殊功能的防火墙,它可以由应用层网关来完成.它就像电线一样,只是在内部连接和外部连接之间来回拷贝字节。但是由于连接要穿过防火墙,其隐藏了受保护网络的有关信息。,与应用级防火墙相似,电路级防火墙也是代理服务器,只是它不需要用户配备专门的代理客户应用程序。另外,电路级防火墙在客户与服务器间创建了一条电路,双方应用程序都不知道有关代理服务的信息。,4.状态监测防火墙,在网关上使用执行网络安全策略的监测模块,在不影响网络正常运行的前提下,采用抽取相关数据的方法,对网络通信的各层实时监测,
13、提取状态信息作为执行安全策略的参考。一旦某个访问违反安全规则,就会被拒绝访问并记录之。,状态监测防火墙的智能化程度较高,安全性较好,但会影响网络速度,配置也较复杂。,8.2.3 防火墙的结构,构建防火墙系统的目的是为了最大程度地保护Intranet的安全,前面提到的防火墙的三种类型也各有其优缺点。将它们正确地组合使用,形成了目前流行的防火墙结构。,1双宿主机网关,双宿堡垒主机,2.屏蔽主机网关,屏蔽主机网关易于实现也很安全,因此应用广泛。它有单宿堡垒主机和双宿堡垒主机两种类型。,3屏蔽子网,这种方法是在内部网络与外部网络之间建立一个起隔离作用的子网。,8.3.1 ISA Server 2000
14、简介8.3.2 ISA Server安装方案规划8.3.3 ISA Server的安装8.3.4 为本地客户端建立安全的Internet连接8.3.5 建立访问策略8.3.6 安全发布服务器,8.3 用ISA Server 2000保护局域网,8.3.1 ISA Server 2000简介ISA Server 2000(以下简称ISA Server)是微软推出的基于Windows 2000的企业级防火墙和Web缓存服务器。防火墙用于保护网络资源免受黑客入侵和拒绝未经授权的访问;Web缓存服务器用于为用户提供更高的Web访问速度。1ISA Server的版本2ISA Server的用途3ISA
15、Server的可伸缩性4ISA Server的可扩展性5ISA Server的体系结构6ISA Server的管理功能,8.3.2 ISA Server安装方案规划,8.3.2.1 ISA Server对运行平台的要求 1最低要求 2防火墙要求,3正向缓存要求,4发布和反向缓存要求,4发布和反向缓存要求,安装ISA Server阵列时应考虑的事项若需若干计算机共同承担网络负载,则应考虑安装ISA Server计算机阵列。阵列安装完成后,其中所有的服务器即可共享相同的配置,这样可有效地降低管理成本。ISA Server企业版允许将企业策略应用于阵列,这意味着管理人员可对企业中的全部阵列实施集中管
16、理。欲将ISA Server计算机安装成阵列成员,该计算机必须是某个Windows 2000域的成员。,8.3.2.3 ISA Server的模式防火墙或集成模式。缓存或集成模式。,8.3.2.4 ISA Server网络的典型拓扑结构1小型办公室方案2企业方案3Web发布方案,4边界网络(DMZ)方案背靠背边界网络。Three-homed ISA Server。,8.3.3 ISA Server的安装,8.3.4 为本地客户端建立安全的Internet连接8.3.4.1 ISA Server本地客户端的类型,安全网络地址转换客户端的配置8.3.4.3 防火墙客户端的配置8.3.4.4 Web
17、代理客户端的配置,8.3.4.5 为本地客户端开通Internet连接1建立协议规则2以Web代理客户端的身份与Internet连接3以安全网络地址转换客户端的身份与Internet连接4以防火墙客户端的身份与Internet连接,8.3.5.1 控制传出请求8.3.5.2 身份验证 1安全网络地址转换客户端与身份验证 2防火墙客户端与身份验证 3Web代理客户端与身份验证8.3.5.3 自定义策略单元 1时间表 2目的集 3客户端地址集 4客户端用户和组 5协议定义 6内容组8.3.5.4 配置协议规则8.3.5.5 配置站点和内容规则8.3.5.6 配置IP数据包筛选器8.3.5.7 利用
18、ISA Server实现入侵检测,8.3.6 安全发布服务器 通过ISA Server,可将内网中的指定服务发布到Internet上供用户共享。可以设置服务器发布规则和Web发布规则,使ISA Server筛选所有的传入请求,然后把允许的请求映射到适当的内部服务器上。8.3.6.1 服务器发布 8.3.6.2 Web发布,8.3.5 建立访问策略,8.4.1 网络病毒的特点8.4.2 常见的网络病毒8.4.3 网络对病毒的敏感性8.4.4 网络计算机病毒的防治8.4.5 防毒、杀毒软件的选择,8.4 网络病毒及防杀,Internet/Intranet的迅速发展和广泛应用给病毒增加了新的传播途径
19、,网络将正逐渐成为病毒的第一传播途径。Internet/Intranet带来了两种不同的安全威胁:一种威胁来自文件下载,这些被浏览的或是通过FTP下载的文件中可能存在病毒;另一种威胁来自电子邮件。,8.4.1 网络病毒的特点,传染方式多。病毒入侵网络的主要途径是通过工作站传播到服务器硬盘,再由服务器的共享目录传播到其他工作站。传染速度快。在单机上,病毒只能通过磁盘、光盘等从一台计算机传播到另一台计算机,而在网络中病毒则可通过网络通信机制迅速扩散。清除难度大。尤其在网络中,只要一台工作站未消灭病毒就可能使整个网络全部被病毒重新感染。,在网络环境中,计算机病毒具有如下特点。,破坏性强。网络上的病毒
20、将直接影响网络的工作状况,轻则降低速度,影响工作效率,重则造成网络瘫痪,破坏服务系统的资源,使多年工作成果毁于一旦。激发形式多样。可用于激发网络病毒的条件较多,可以是内部时钟,系统的日期和用户名,也可以是网络的一次通信等。一个病毒程序可以按照设计者的要求,在某个工作站上激活并发出攻击。潜在性。网络一旦感染了病毒,即使病毒已被清除,其潜在的危险也是巨大的。有研究表明,在病毒被消除后,85%的网络在30天内会被再次感染。,8.4.2 常见的网络病毒,电子邮件病毒。有毒的通常不是邮件本身,而是其附件。Java程序病毒。Java是目前网页上最流行的程序设计语言,由于它可以跨平台执行,因此不论是Wind
21、ows 9X/NT还是Unix工作站,甚至是CRAY超级电脑,都可被Java病毒感染。ActiveX病毒。当使用者浏览含有病毒的网页时,就可能通过ActiveX控件将病毒下载至本地计算机上。网页病毒。上面介绍过Java及ActiveX病毒,它们大部分都保存在网页中,所以网页当然也能传染病毒。,8.4.3 网络对病毒的敏感性,1对文件病毒的敏感性,网络服务器上的文件病毒。文件病毒通过各种不同的途径进入到文件服务器后,其他访问的用户可能在他们的工作站执行被感染的程序,病毒就可能感染他们本地硬盘中的文件和网络服务器上的其他文件。Internet/Intranet上的文件病毒。文件病毒可以通过Inte
22、rnet/Intranet毫无困难地发送。虽然可执行文件病毒不能通过Internet/Intranet在远程站点感染文件,但是,Internet/Intranet可以作为文件病毒的载体。,2.对引导病毒的敏感性,除混合型病毒外,引导病毒不能通过计算机网络传播。引导病毒受到阻碍是因为它们被特别地设计成使用低级的基于ROM的系统服务完成感染过程。这些系统服务不能通过网络调用。同理,引导病毒也无法通过Internet/Intranet传播。,混合型病毒既可以感染引导记录也可以感染可执行文件。一个受病毒感染的可执行文件可以通过网络发送到另一个客户机中执行。这样病毒就可以感染客户机硬盘的引导记录,或者在
23、客户访问软盘时感染软盘。此外,病毒还可以感染客户机中的可执行文件。,3对宏病毒的敏感性,宏病毒可以在网络环境中生存。宏病毒不仅可以通过网络传播,而且可感染共享程度较高的文档文件。文档文件不同于程序文件,它通常是动态性的,所以不能对其进行写保护,这样就为宏病毒肆虐洞开了方便之门。此外,宏病毒还是独立于平台的,这一特性使得它对大量计算机用户构成了威胁。,宏病毒也像文件病毒一样,无法通过Internet感染远程站点上的文件。Internet只能作为被感染数据文件的载体。,8.4.4 网络计算机病毒的防治,加强网络管理人员的网络安全意识,对内部网与外界进行的数据交换进行有效的控制和管理,同时坚决抵制盗
24、版软件;以网为本,多层防御,有选择地加载保护计算机网络安全的网络防病毒产品。,引起网络病毒感染的主要原因在于网络用户自身。因此,防范网络病毒应从两方面着手。,8.4.5 防毒、杀毒软件的选择,扫描速度。一般应选择每30秒钟能够扫描1000个文件以上的防毒软件。识别率。使用一定数量的病毒样本进行测试,正规的测试数量应该在10000种以上。病毒清除。可靠、有效地清除病毒,并保证数据的完整性,是一件非常必要和复杂的工作。,选购防毒软件,需要注意的指标包括:扫描速度、正确识别率、误报率、技术支持水平、升级的难易程度、可管理性和警示手段等。,8.5 安全防范原则与安全教育,橘皮书将计算机系统安全性划分为
25、A、B、C、D四个等级,其中较高等级的安全范围涵盖较低等级的安全范围,而每个大等级又依安全性高低分成数个小等级,即:,D最低保护(Minimal Protection)C自定式保护(Discretionary Protection)B强制式保护(Mandatory Protection)A可验证之保护(Verified Protection),8.5 安全防范原则与安全教育,在信息安全界,满足信息安全的三个基本原则是机密性(confidentiality)、完整性(integrity)和可用性(availability),者三者简称CIA。机密性意味着机密数据的分级、防止逾权获得;完整性意味着
26、数据的保护、避免缺损、遗失或遭非法篡改;可用性意味着数据的切合实用,能满足企业内部各层次的需求。,在CIA三项基本原则之外若能补充其他安全控制机制,如用户身份的识别和认证、文件访问控制、审核及不可否认性等,则可为信息提供更为周全的保护。,需要强调指出的是,网络安全管理必须是整体的、内外兼顾的。即使安装了最严密的防火墙,若企业内部成员不能配合,则网络仍然是不安全的。,对用户的培训内容与方式方法则由网络的环境、规模、用户的使用习惯、公司的策略、成本效益等因素决定。例如,请求或强迫用户采用较复杂的密码,定时更改密码,帐号不外借,签名、加密后方发送电子邮件后送出,不随意运行来历不明的程序,对内部网络不
27、正常的事件有所警觉等。,正确使用网络,这也是网络安全中最重要的环节。,8.6 网络安全措施,一个完整的网络信息安全体系至少应包括三类措施:一是社会的法律政策、安全的规章制度以及安全教育等外部软环境。在该方面政府有关部门、企业的主要领导应当担当重要的角色。二是技术方面的措施,如防火墙技术、网络防毒、信息加密存储与通信、身份验证、授权等。只有技术措施并不能保证绝对安全。三是审计和管理措施,该方面措施同时包含了技术与社会措施。其主要措施有:实时监控企业网络安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,以防患于未然。,1安全策略,网络安全策略应考虑的一般原则如下:(1)需求、风险、代价平衡分析的原则。(2)综合性、整体性原则。(3)一致性原则。(4)易操作原则。(5)适应性、灵活性原则。(6)可评价性原则。,2网络安全保障体系,(1)加强计算机安全立法。(2)制定合理的网络管理措,3局域网的安全技术,(1)实行实体访问控制。(2)护网络介质。(3)数据访问控制。(4)数据存储保护。(5)对付计算机病毒必须以预防为主。,
