1 信息与网络安全概述

防火墙及入侵检测技术任课教师：路凯E-mail:lukai0373@foxmail.com课程总体目标1.了解防火墙出现的意义2.了解网络中的安全策略3.掌握防火墙的基本概念和相关术语4.掌握防火墙的关键技术5.能够配置防火墙常见功能6.学会防火墙的实际应用7.能够配置和使用入侵检测系统课程进程表防火墙的高级应用防火墙病毒检查防火墙日志查看Vpn的基本原理Vpn的配置Vpn的具体应用信息安全概论防火墙基本概念防火墙基本功能防火墙工作模式防火墙地址转换第1-4周第5-8周第9-12周第13-16周入侵检测系统原理入侵检测系统配置和使用复习考核方式考试课期末成绩=笔试成绩*60%+平时成绩*40%平时成绩包括出勤和上机实验信息与网络安全概述名词概念澄清信息安全网络安全信息与网络安全网络与信息安全…………统称：信息安全你心目中的信息安全？电影中的密电码、间谍、特工电话窃听，破译密码网络黑客计算机病毒…………都是，但不全面对信息安全的错误认识黑客什么是信息安全？信息是一种资产，它像其他重要的资产一样，具有很大价值，因此需要给予适当的保护信息安全的目的就是要保护信息免受各方面的威胁，尽可能地减少损失什么是信息？信息是通过在数据上施加某些约定而赋予这些数据的特殊含义通常情况下，可以把信息理解为消息、信号、数据、情报和知识信息安全的主要特征保密性：确保信息只被授权人访问。防被动攻击。保证信息不被泄漏给未经授权的人。完整性：防主动攻击。防止信息被未经授权的篡改。可用性：保证信息及信息系统在任何需要时可为授权者所用。可控性：对信息及信息系统实施安全监控不可否认性：防抵赖为何需要信息安全？从国家的角度讲，信息安全要保护的是国家的“信息边疆”•随着通信技术和互联网的快速发展，国家各级党政机关电子政务网络的普遍建设和应用，使得计算机网络中涉及国家机密的信息安全面临极大的威胁，已经成为敌对势力窃取的主要目标。为何需要信息安全？从公众的角度讲，信息安全保护的是公众信息系统和信息服务•随着社会信息化步伐的加快，人们对信息系统和信息服务的依赖性也越来越强，这意味着信息系统更容易受到安全威胁的攻击，而且，一旦被攻击，造成的影响也就越来越大。公众网与专用网的互连互通，各种信息资源的共享，又加大了实现信息安全访问控制的难度。分布式计算的趋势，在很大程度上，减弱了集中式安全控制的有效性。为何需要信息安全？从商业角度讲，信息安全保护的是商业资产•信息又是重要的资产。信息的保密性、完整性和可用性对维持相关机构的竞争优势、现金流动、盈利性、合法性和商业形象等至关重要。信息与网络安全概述信息与网络安全的本质和内容计算机网络的脆弱性信息安全的六大目标网络安全的主要威胁网络安全的攻击手段网络安全的八大机制推荐电影战争游戏（WarGames）《黑客帝国》系列《防火墙》（Firewall）第十三层（TheThirteenthFloor）黑客（Hackers）约翰尼记忆术（JohnnyMnemonic）《无懈可击》国产推荐电影《社交网络》信息与网络安全的本质和内容网络安全从其本质上来讲就是网络上的信息安全。信息安全是对信息的保密性、完整性和可用性的保护，包括物理安全、网络系统安全、数据安全、信息内容安全和信息基础设施安全等。网络安全主要涉及网络安全威胁的主要类型、网络攻击的手段、网络安全机制、网络安全技术以及信息安全等级标准等方面内容。信息与网络安全的目标进不来拿不走看不懂改不了跑不了信息安全概念与技术的发展信息安全的概念与技术是随着人们的需求，随着计算机、通信与网络等信息技术的发展而不断发展的。单机系统的信息保密阶段网络信息安全阶段信息保障阶段网络信息安全阶段该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术（被动防御）：安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。1988年莫里斯蠕虫爆发对网络安全的关注与研究CERT成立信息保障阶段信息保障（IA）概念与思想是20世纪90年代由美国国防部长办公室提出。定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。美国国家安全局制定的信息保障技术框架IATF，提出“纵深防御策略”DiD（Defense-in-DepthStrategy）。信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。计算机网络的脆弱性体系结构的脆弱性。网络体系结构要求上层调用下层的服务，上层是服务调用者，下层是服务提供者，当下层提供的服务出错时，会使上层的工作受到影响。网络通信的脆弱性。网络安全通信是实现网络设备之间、网络设备与主机节点之间进行信息交换的保障，然而通信协议或通信系统的安全缺陷往往危及到网络系统的整体安全。网络操作系统的脆弱性。目前的操作系统，无论是Windows、UNIX还是Netware都存在安全漏洞，这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失。网络应用系统的脆弱性。随着网络的普及，网络应用系统越来越多，网络应用系统也可能存在安全漏洞，这些漏洞一旦被发现和利用将可能导致数据被窃取或破坏，应用系统瘫痪，甚至威胁到整个网络的安全。网络管理的脆弱性。在网络管理中，常常会出现安全意识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当和人事管理漏洞等，这种人为造成的安全漏洞也会威胁到整个网络的安全。信息安全的六大目标信息安全可靠性可用性真实性保密性完整性不可抵赖性可靠性可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性包括：硬件可靠性软件可靠性通讯可靠性人员可靠性环境可靠性可用性可用性即网络信息系统在需要时，允许授权用户或实体使用的特性；或者是网络信息系统部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。真实性确保网络信息系统的访问者与其声称的身份是一致的；确保网络应用程序的身份和功能与其声称的身份和功能是一致的；确保网络信息系统操作的数据是真实有效的数据。保密性保密性是防止信息泄漏给非授权个人或实体，只允许授权用户访问的特性。保密性是一种面向信息的安全性，它建立在可靠性和可用性的基础之上，是保障网络信息系统安全的基本要求。完整性完整性是信息在未经合法授权时不能被改变的特性，也就是信息在生成、存储或传输过程中保证不被偶然或蓄意地删除、修改、伪造、乱序、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、正确存储和正确传输。不可抵赖性不可抵赖性也称作不可否认性，即在网络信息系统的信息交互过程中所有参与者都不可能否认或抵赖曾经完成的操作的特性。网络安全的主要威胁主要威胁内部窃密和破坏窃听和截收非法访问(以未经授权的方式使用网络资源)破坏信息的完整性(通过篡改、删除和插入等方式破坏信息的完整性)冒充(攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常通讯或欺骗合法主机和合法用户。)流量分析攻击(分析通信双方通信流量的大小，以期获得相关信息。)其他威胁(病毒、电磁泄漏、各种自然灾害、战争、失窃、操作失误等)信息与网络安全的攻击手段物理破坏窃听数据阻断攻击数据篡改攻击数据伪造攻击数据重放攻击盗用口令攻击中间人攻击缓冲区溢出攻击分发攻击野蛮攻击SQL注入攻击计算机病毒蠕虫后门攻击欺骗攻击拒绝服务攻击特洛伊木马网络信息系统内部人员威胁拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息泄漏、篡改、破坏后门、隐蔽通道蠕虫社会工程天灾系统Bug网络攻击被动攻击窃听或者偷窥流量分析被动攻击非常难以检测，但可以防范源目的sniffer网络攻击主动攻击可以检测，但难以防范主动攻击：指攻击者对某个连接的中的PDU（协议数据单元）进行各种处理(更改、删除、迟延、复制、伪造等)阻断攻击篡改攻击伪造攻击重放攻击拒绝服务攻击物理破坏攻击者可以直接接触到信息与网络系统的硬件、软件和周边环境设备。通过对硬件设备、网络线路、电源、空调等的破坏，使系统无法正常工作，甚至导致程序和数据无法恢复。窃听一般情况下，攻击者侦听网络数据流，获取通信数据，造成通信信息外泄，甚至危及敏感数据的安全。其中的一种较为普遍的是sniffer攻击（snifferattack）。sniffer是指能解读、监视、拦截网络数据交换并且阅读数据包的程序或设备。数据阻断攻击攻击者在不破坏物理线路的前提下，通过干扰、连接配置等方式，阻止通信各方之间的数据交换。阻断攻击数据篡改攻击攻击者在非法读取数据后，进行篡改数据，以达到通信用户无法获得真实信息的攻击目的。篡改攻击数据伪造攻击攻击者在了解通信协议的前提下，伪造数据包发给通讯各方，导致通讯各方的信息系统无法正常的工作，或者造成数据错误。伪造攻击数据重放攻击攻击者尽管不了解通信协议的格式和内容，但只要能够对线路上的数据包进行窃听，就可以将收到的数据包再度发给接收方，导致接收方的信息系统无法正常的工作，或者造成数据错误。重放攻击盗用口令攻击盗用口令攻击（password-basedattacks）攻击者通过多种途径获取用户合法账号进入目标网络，攻击者也就可以随心所欲地盗取合法用户信息以及网络信息；修改服务器和网络配置；增加、篡改和删除数据等等。中间人攻击中间人攻击（man-in-the-middleattack）是指通过第三方进行网络攻击，以达到欺骗被攻击系统、反跟踪、保护攻击者或者组织大规模攻击的目的。中间人攻击类似于身份欺骗，被利用作为中间人的的主机称为RemoteHost（黑客取其谐音称之为“肉鸡”）。网络上的大量的计算机被黑客通过这样的方式控制，将造成巨大的损失，这样的主机也称做僵尸主机。缓冲区溢出攻击缓冲区溢出（又称堆栈溢出）攻击是最常用的黑客技术之一。攻击者输入的数据长度超过应用程序给定的缓冲区的长度，覆盖其它数据区，造成应用程序错误，而覆盖缓冲区的数据恰恰是黑客的入侵程序代码，黑客就可以获取程序的控制权。后门攻击后门攻击（backdoorattack）是指攻击者故意在服务器操作系统或应用系统中制造一个后门，以便可以绕过正常的访问控制。攻击者往往就是设计该应用系统的程序员。欺骗攻击欺骗攻击可以分为地址欺骗、电子信件欺骗、WEB欺骗和非技术类欺骗。攻击者隐瞒个人真实信息，欺骗对方，以达到攻击的目的。拒绝服务攻击DoS（DenialofService，拒绝服务攻击）的目的是使计算机或网络无法提供正常的服务。常见的方式是：使用极大的通信量冲击网络系统，使得所有可用网络资源都被消耗殆尽，最后导致网络系统无法向合法的用户提供服务。如果攻击者组织多个攻击点对一个或多个目标同时发动DoS攻击，就可以极大地提高DoS攻击的威力，这种方式称为DDoS（DistributedDenialofService，分布式拒绝服务）攻击。分发攻击攻击者在硬件和软件的安装配置期间，利用分发过程去破坏；或者是利用系统或管理人员向用户分发帐号和密码的过程窃取资料。野蛮攻击野蛮攻击包括字典攻击和穷举攻击。字典攻击是使用常用的术语或单词列表进行验证，攻击取决于字典的范围和广度。由于人们往往偏爱简单易记的口令，字典攻击的成功率往往很高。如果字典攻击仍然不能够成功，入侵者会采取穷举攻击。穷举攻击采用排列组合的方式生成密码。一般从长度为1的口令开始，按长度递增进行尝试攻击。SQL注入攻击攻击者利用被攻击主机的SQL数据库和网站的漏洞来实施攻击，入侵者通过提交一段数据库查询代码，根据程序返回的结果获得攻击者想得知的数据，从而达到攻击目的。计算机病毒与蠕虫计算机病毒（ComputerVirus）是指编制者编写的一组计算机指令或者程序代码，它能够进行传播和自我复制，修改其他的计算机程序并夺取控制权，以达到破坏数据、阻塞通信及破坏计算机软硬件功能的目的。蠕虫也是一种程序，它可以通过网络等途径将自身的全部代码或部分代码复