S08-网络安全防范

凌力lingli●网络安全防范技术要点●嵌入式安全防范技术防火墙代理●主动式安全防范技术安全口令VLANVPN●被动式安全防范技术网页防篡改入侵检测安全审计网络安全防范412lingli●NetworkSecurityDefence针对网络安全威胁，使用各种技术和管理手段，达到防止、发现、遏制、消除网络攻击的目的，保障网络与信息系统安全网络安全防范技术要点：（1）有的放矢地选择技术，在深入需求分析的基础上有所取舍。不做简单堆砌的泥水匠，要成为用心设计的建筑师（2）一项技术解决一类问题，相互结合、相互补充才能形成完善的防范体系，不能有失偏颇，应该以全局的观点，注重全面防范效果提升（3）讲究策略，讲究平衡，以最小的代价获得最佳防范效果（4）不断跟踪网络安全威胁与防范的最新技术动态，不断调整和更新技术，才能保持长效的安全防范能力（5）关注防范技术可能造成的负面影响，因为坚固的城堡可以更好地抵挡入侵，但同时也会在一定程度上禁锢自身网络安全防范341lingli●水桶法则（短板效应）技术措施应与非技术措施（包括物理安全、人员安全、安全管理等）紧密配合，不可或缺，不可厚此薄彼●因噎废食不可取为了所谓的安全，不用网络或采用完全物理隔离的办法，变成一个个信息孤岛，将使网络的优势丧失殆尽●树欲静而风不止安全防范技术再出色，也不是万无一失的，技术能力具有相对性，应当在战略上藐视网络黑暗势力，在战术上足够重视，未雨绸缪，让安全防范系统时刻处于活跃的、临战的、健康的、最佳的状态网络安全防范441lingli（1）嵌入式安全防范（embeddeddefence）在信息交换路径上部署相应的安全防范技术可以是具有特定功能的设备（硬件），也可以是专门设计的协议、软件嵌入式安全防范技术包括：安全协议（或协议补丁）、虚拟专用网（VPN）、地址翻译（NAT）、访问代理（proxy）、网络防火墙（firewall）、病毒和木马查杀网关、垃圾邮件过滤等（2）主动式安全防范（activedefence）对网络信息系统的操作层面（用户）、信息层面（内容）、通信层面（组网）等关键环节加强网络安全防范措施，主动发现安全隐患、及时进行改进调整，防患于未然主动式安全防范技术包括：网络管理与系统管理、信息加密、数字证书、安全访问认证、虚拟子网（VLAN）、网络安全扫描与评估、软件安全修补等（3）被动式安全防范（passivedefence）指两类安全防范措施：•通过部署的系统在网络安全威胁发生时能够及时发现、及时预警、及时采取措施，尽可能减少损失、防止灾难蔓延•通过对历史数据的分析，找出已经发生的攻击行为和事件、发现潜在的缺陷，以便采取针对性措施亡羊补牢被动式安全防范不仅能够弥补嵌入式安全防范和主动式安全防范的不足和遗漏之处，而且具有动态检测的能力，是网络安全防范体系的重要组成部分被动式安全防范技术包括入侵检测系统（IDS）、安全审计系统（SAS）、网页防篡改、实时监控系统、运行日志（systemlog）等网络安全防范541lingli●FireWall，FW防火墙作为一种网关（gateway），起到隔离内部网络和外部网络的作用，阻断来自外部网络的安全攻击防火墙的技术优势在于其透明性，即对内部网络的组网结构、计算机设备数量和分布、网络应用类型等均不敏感，有利于安装和使用网络安全防范641lingli●从安全防范方法上过滤（filtering）、代理（agent/proxy）●从层次结构上三层（IP）、四层（TCP/UDP）、七层（应用层协议）●从防范对象上内网防火墙、病毒/木马防火墙、垃圾邮件防火墙●从技术实现上硬件防火墙、软件防火墙网络安全防范741lingli●过滤和代理的共同点：对协议报文、信息内容进行筛选，剔除不安全元素、放行安全的访问具有不对称性，主要对来自外部网络（如Internet）的信息流进行严格检查，而对内部网络发起的会话，检查力度相对较弱●过滤和代理的不同点：过滤（filter）•对每个通过的报文进行依次处理•是无状态的•报文间相互独立、互不影响，可以达到很高的处理速度代理（proxy）•参与协议会话过程（中介）•有状态的•同一个会话（或同一个流）的报文间相互有关联性网络安全防范841lingli网络安全防范941lingli网络安全防范1041lingli（1）外网攻击者发送SYN，请求会话连接（2）防火墙接收到SYN，检查IP地址的有效性、源地址是否内网地址等，若判断为可疑的连接请求，丢弃报文（可不予以响应，以对抗探测），结束（3）防火墙响应SYN-ACK，启动超时计时器防火墙只需匹配极少资源计时器长度可以依据不同需求进行调整，适当缩短（4）若计时器超时未收到ACK，则释放连接，结束（5）防火墙若收到ACK，则立即向内网指定计算机（第⑶步已缓存）发送SYN，当接收到SYN-ACK后立即响应ACK（6）TCP连接建立成功，之后内外网直接通信网络安全防范1141lingli●AccessControlList，ACL用于防火墙实现灵活的管理过滤机制ACL存放用于判别报文、连接与操作是否合法的相关参量，如IP地址、端口号等，可以动态维护、更新ACL类型：•黑名单（blacklist；forbidlist）–显性指出禁止访问的项目，如某个IP地址（或网段）、某个TCP/UDP端口号–访问控制引擎对黑名单采用负逻辑（negativelogic）判别方式，即符合条件者不通过，否则通过。•白名单（whitelist；permissionlist）–显性指出允许访问的项目–访问控制引擎对白名单采用正逻辑（positivelogic）判别方式，即符合条件者通过，否则不通过•灰名单（greylist）–一种特殊ACL黑名单机制，可称为临时黑名单–灰名单可以由防火墙自动地、动态地进行调整，更为灵活网络安全防范1241lingli网络安全防范1341匹配ACL每一行匹配？最后行？允许/拒绝？YNN丢弃报文结束Y最后行隐式DenyanyDeny报文通过Permitlingli●实现目标：某些内部网络需要对外提供访问服务，需要一定的安全保护，但应避免复杂性、提高访问效率对外服务系统与内部应用系统间要有一定的互连关系，用于安全地交换数据内网中的计算机可以访问外部网络网络安全防范1441非军事区De-MilitaryZoneLANDMZWAN带DMZ的FWlingli网络安全防范1541内部网络DMZInternetDBServerWebServerEmailServerdata最高的安全保障有效的安全保障无安全保障来自外部网络的访问仅限于到达DMZ区域lingli网络安全防范1641lingli●误报率（rateoffalsedetection）falsepositive指正常访问或数据误遭防火墙拦截，直接造成访问失败、数据（如邮件）丢失误报率越低越好●漏报率（rateofmissing）falsenegative是检出率（rateofdetection）的反面，指防火墙未能发现安全攻击的访问或数据，使漏网之鱼进入网络系统漏报率越低越好●矛盾性漏报率与误报率的降低存在一定的矛盾应根据应用需求进行协调，寻找最佳平衡点网络安全防范1741主要针对模糊判别lingli●Proxy/Agent计算机网络体系中的一种网关设备，用于协助网络用户完成访问任务，即用户将访问请求提交给代理，由代理完成对指定资源的访问，并把访问结果转交给用户代理的作用：•代理主要起到类似中间人的访问隔离作用，帮助网络用户完成其不能直接实施的任务•代理可以设定缓存空间，存储网络访问的结果，以便向下一个相同的访问（可能来自不同用户）提供本地响应的、快速的服务，不占用珍贵的Internet接入带宽资源•对访问进行白名单式的控制，通过代理的设置，向指定的用户开放指定的应用、指定的URL、指定的通信流量、指定的访问时段等，使用户的访问行为得到有效的约束，也限制了外部网络用户对内部网络用户不安全的直接访问行为网络安全防范1841lingli网络安全防范1941网络A网络B应用系统A应用系统B应用系统C用户x用户y用户zProxy允许访问A|B|C允许访问B|C允许访问Alingli网络安全防范2041ProxyGateway/RouterFirewall部署位置任意网络之间内网出口互连层次733～4（部分7）地址转换IP+PortNAT×中继转发应用落地仅转发TCP落地过滤功能应用/内容过滤×IP/Port过滤访问控制限制功能×IP/PortACLDoS防范××已知攻击防范lingli网络安全防范2141lingli●One-TimePassword，OTP口令（验证码）只使用一次，每次使用后进行变化，使每次的鉴别口令都各不相同用于防范口令猜测攻击、重放攻击技术原理：•在用户登录过程中的口令传输时加入不确定因子（salt），使用户口令不以固定的明文或密文方式在网络上传输，每次传送的验证码都不相同，而系统收到验证码后可以用相同的算法验证网络安全防范2241lingli网络安全防范2341登录验证码=MD5(口令＋随机数)①客户端产生随机数，在发送验证码时一起传送给服务端②服务端产生随机数，在询问口令时传送给客户端（即挑战）③当前时间lingli●S/KeyS/KEY口令为一个单向的前后相关的序列，由n个口令组成RFC1760定义技术原理：•客户端的口令序列是由用户口令和服务端提供的种子（seed）经MD4单向函数加密而成•客户端再通过连续n次单向函数，生成n个顺序排列的口令验证码序列•客户端登录时，逆向使用生成的序列•当用户第i次登录时，服务端用单向函数计算收到的验证码，并与上次保存的第i−1个验证码比较，以判断用户的合法性•客户端按序使用口令序列，而服务端只需记录最新一次成功登录所用的验证码•由于口令数是有限的，用户登录n次后必须重新初始化口令序列，且客户端和服务端应始终保持同步网络安全防范2441lingli网络安全防范2541lingli●VirtualLocalAreaNetwork虚拟局域网从逻辑（协议）上对网络资源和网络用户按照一定原则进行的划分，把一个物理网络划分成多个小的逻辑网络VLAN标准IEEE802.1qVLAN功能：•限制广播域（广播范围）•隔离子网•制定各种访问限制–可禁止来自其他VLAN的访问–可禁止离开VLAN的访问一个计算机（用户）可同时从属于不同VLAN，但需分别遵循相关VLAN的访问限定网络安全防范2641lingli网络安全防范2741lingli●VLAN协议4B标签头：标签协议标识（TagProtocolIdentifier，TPID）标签控制信息（TagControlInformation，TCI•优先级字段，3b•规范格式指示符CFI，1b•VLAN标识符VID，12b网络安全防范2841lingli●（1）基于端口的VLAN根据以太网交换机的物理端口来划分VLAN，可以跨交换机进行•优点是定义VLAN成员时非常简单，只需将所有的端口都设定一遍•缺点是如果VLAN的某个用户离开原来端口，连接到新的端口，就必须重新定义当采用按不同地理位置（如不同楼层、不同大楼）的不同部门划分VLAN时，这种方式特别简单，因为往往各部门采用单独的交换机●（2）基于MAC地址的VLAN根据每个主机的MAC地址来划分VLAN，也称为基于用户的VLAN•优点就是当用户物理位置移动时，即使移动到另一个交换机，VLAN也不用重新配置•缺点是初始化时，所有的用户都必须进行配置，如果用户很多，配置的工作量非常大，也会导致交换机执行效率降低，在每一个交换机的端口都可能存在很多个VLAN组的成员，无法有效限制广播包，而且如果网卡可能经常更换，VLAN就必须不停地更新●（3）基于协议的VLAN通过第二层报文的协议字段，识别上层运行的网络层协议，如IP或IPX现有的系统中一般仅有IP，