第6讲第三章系统与网络安全(下)

LOGO第6讲系统与网络安全技术（三）安全防护技术北京邮电大学计算机学院郭燕慧LOGO本讲提纲网络防护技术防火墙VPN入侵检测/入侵防御安全网关终端防护技术云安全技术桌面安全管理技术LOGO一、网络防护技术防火墙VPN入侵检测/入侵防御安全网关LOGO1防火墙技术1.1防火墙概述1.2防火墙的分类1.3防火墙的体系结构1.4防火墙的局限性LOGO1.1防火墙概述防火墙概念WilliamCheswick和SteveBeilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：•只允许本地安全策略授权的通信信息通过•双向通信信息必须通过防火墙•防火墙本身不会影响信息的流通防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。LOGO1.1防火墙概述——防火墙的功能集中管理内容控制访问控制日志流量控制LOGO1.2防火墙的分类包过滤防火墙应用网关状态检测防火墙电路级网关LOGO1.2.1包过滤防火墙包过滤防火墙是在网络层中根据数据包中包头信息有选择地实施允许通过或阻断即基于防火墙内事先设定的过滤规则，检查数据包的头部，根据以下因素确定是否允许数据包通过：源IP地址目的IP地址源端口目的端口协议类型ACK字段在IP/TCP层实现LOGO关键技术数据包过滤依据事先设定的过滤规则，对所接收的每个数据包做允许拒绝的决定。数据包过滤优点：速度快，性能高对用户透明数据包过滤缺点：维护比较困难(需要对TCP/IP了解）安全性低（IP欺骗等）不提供有用的日志，或根本就不提供不防范数据驱动型攻击不能根据状态信息进行控制不能处理网络层以上的信息无法对网络上流动的信息提供全面的控制互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层LOGO1.2.2应用级网关建立在网络应用层，针对特别的应用协议进行数据过滤，并且能够对数据包进行分析。LOGO关键技术应用层代理网关理解应用协议，可以实施更细粒度的访问控制对每一类应用，都需要一个专门的代理灵活性不够客户网关服务器发送请求转发请求请求响应转发响应LOGO1.2.3状态检测防火墙状态检测防火墙工作在4、5层之上。状态检测防火墙能够实现连接的跟踪功能，比如对于一些复杂协议，除了使用一个公开的端口进性通信外，在通信过程中还会动态建立自连接进行数据传输。状态检测防火墙能够分析主动连接中的内容信息，识别出缩写上的自连接的端口而在防火墙上将其动态打开LOGO1.2.4电路级网关电路级网关工作在会话层，在两个主机首次建立TCP连接时建立电子屏障。监视两主机建立连接时的握手信息是否合乎逻辑，以后就是透明传输。LOGO1.3防火墙的体系结构双重宿主主机体系结构被屏蔽主机体系结构被屏蔽子网体系结构LOGO1.3.1双重宿主主机体系结构双重宿主主机至少有两个网络接口，外部网络能够与双重宿主主机通信，内部网络也能够与双重宿主主机通信，但是内部网络和外部网络之间的通信必须经过双重宿主主机的过滤和控制。LOGO关键技术NAT（NetworkAddressTranslation）网络地址转就是在防火墙上装一个合法IP地址集，然后•当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户；•同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。地址翻译主要用在两个方面：•网络管理员希望隐藏内部网络的IP地址。这样互联网上的主机无法判断内部网络的情况。•内部网络的IP地址是无效的IP地址。这种情况主要是因为现在的IP地址不够用，要申请到足够多的合法IP地址很难办到，因此需要翻译IP地址。LOGO源IP目的IP10.0.0.108202.112.108.50源IP目的IP202.112.108.3202.112.108.50源IP目的IP202.112.108.50202.112.108.3源IP目的IP202.112.108.5010.0.0.108防火墙网关LOGO1.3.2被屏蔽主机体系结构被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁。任何外部的系统试图访问内部的系统或服务将必须连接到这台堡垒主机上。LOGO1.3.3被屏蔽子网体系结构被屏蔽子网体系结构的最简单的形式为：两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。LOGO1.4防火墙的局限性防火墙不能防范不经防火墙的攻击防火墙不能防止感染了病毒的软件传播防火墙不能防范内部攻击端到端加密可以绕开防火墙防火墙不能提供细粒度的访问控制防火墙的局限性LOGO2VPN概述2.1VPN的分类2.2IPSec协议2.3SSL协议2.4LOGO2.1VPN概述VPN是虚拟专用网(VirtualPrivateNetwork)的缩写。是指不同地点的网络通过公用网络连接成逻辑上的虚拟子网。VPN具有以下优点：降低成本易于扩展灵活性LOGO数据网总部远程访问服务器分支机构服务器适配器专用通道适配器LOGO2.1VPN概述访问控制完整性机密性认证密钥管理VPN的安全需求LOGO2.2VPN的分类按用途分类：远程访问VPN内联网VPN外联网VPN按照隧道协议分类：PPTPL2FL2TPIPSecSSLLOGO2.2VPN的分类PPTPL2FL2TPIPSecSSL/TLS层2223应用/传输加密基于PPP、MPPE基于PPP、MPPEPPP加密，MPPEDES、3DESAES、IDEADES、3DESAES、IDEA认证基于PPP基于PPP基于PPP数字证书、预共享密钥数字证书、预共享密钥数据的完整性无无无MD5、SHA-1MD5、SHA-1密钥管理无无无IKE多重通信协议支持否是是否（仅IP）是主要支持的VPN类型用户到网关用户到网关用户到网关用户到网关、网关到网关用户到网关RFC参考RFC2637RFC2341RFC2661RFC2401-2409RFC2246LOGO2.3IPSec协议IPSec提供了一套安全算法和总体框架，允许一对通信实体利用其中的一个算法为通信提供安全性。安全服务集提供包括访问控制、数据完整性、数据源认证、抗重放(replay)保护和数据保密性在内的服务。基于IP层提供对IP及其上层协议的保护。例如，TCP，UDP，ICMP等等。IPSec协议可以在主机和网关（如路由器、防火墙）上进行配置，对主机与主机间、安全网关与安全网关间、安全网关与主机间的路径进行安全保护。LOGOIPSec的体系结构LOGO2.3IPSec概述AH提供无连接的数据完整性认证（hash校验）、数据源身份认证（带密钥的hmac）和防重防攻击（AH头中的序列号）ESP比AH多了两种功能，数据包加密和数据流加密。数据包加密可以加密整个IP包，也可以只加密IP包的载荷，一般用于计算机端；数据流加密用于路由器，源端路由把整个IP包加密后传输，目的端路由解密后转发。AH和ESP可以单独/组合使用。LOGO2.3IPSec概述IKE负责密钥管理和策略协商，定义了通信实体之间进行身份认证、协商加密算法和生成会话密钥的方法。协商结果保存在SA中。解释域（DOI）为使用IKE进行协商SA的协议统一分配标识符。LOGO2.3IPSec概述IPSec有两种运行模式：传输模式和隧道模式。AH和ESP都支持两种使用模式。传输模式只保护IP载荷，可能是TCP/UDP/ICMP，IP头没有保护。隧道模式保护的内容是整个IP包，隧道模式为IP协议提供安全保护。通常IPSec的双方只要有一方是网关或者路由，就必须使用隧道模式。路由器需要将要保护的原始IP包看成一个整体，在前面添加AH或者ESP头，再添加新的IP头，组成新的IP包之后再转发出去。LOGO2.3.1IPSec概述原始IP数据包外部IP头IPSec头数据TCP头IP头IP头IPSec头数据TCP头IP头TCP头数据传输模式隧道模式IP数据包对比LOGO2.4SSL协议SSL基本概念协议的设计目标：为两个通讯个体之间提供保密性和完整性(身份认证)；互操作性、可扩展性、相对效率为上层协议提的供安全性：保密性、身份认证和数据完整性SSL连接（connection)•一个连接是一个提供一种合适类型服务的传输（OSI分层的定义）。•SSL的连接是点对点的关系。•连接是暂时的，每一个连接和一个会话关联。SSL会话（session）•一个SSL会话是在客户与服务器之间的一个关联。会话由HandshakeProtocol创建。会话定义了一组可供多个连接共享的加密安全参数。•会话用以避免为每一个连接提供新的安全参数所需昂贵的谈判代价。LOGOSSL协议体系：协议分为两层底层：TLS记录协议上层：TLS握手协议、TLS密码变化协议、TLS警告协议LOGOTLS记录协议建立在可靠的传输协议(如TCP)之上，为更高层提供基本安全服务。特别是HTTP，它提供了Web的client/server交互的传输服务，可以构造在SSL之上。它提供连接安全性，有两个特点•保密性，使用了对称加密算法•完整性，使用HMAC算法用来封装高层的协议SSLHandshakeProtocol,SSLChangeCipherSpecProtocol,SSLAlertProtocol是SSL的高层协议，用于管理SSL交换。LOGOSSL握手协议功能•客户和服务器之间相互认证•协商加密算法和密钥•它提供连接安全性，有三个特点–身份认证，至少对一方实现认证，也可以是双向认证–协商得到的共享密钥是安全的，中间人不能够知道–协商过程是可靠的LOGO整体流程•(1)、交换Hello消息，对于算法、交换随机值等协商一致•(2)、交换必要的密码参数，以便双方得到统一的premastersecret•(3)、交换证书和相应的密码信息，以便进行身份认证•(4)、产生mastersecret•(5)、把安全参数提供给TLS记录层•(6)、检验双方是否已经获得同样的安全参数LOGO3入侵检测/入侵防御技术3.1入侵检测概述3.2入侵检测系统分类3.3入侵防御系统LOGO3.1入侵检测系统IDS入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和遭到攻击的迹象的一种机制。入侵检测采用旁路侦听的机制，通过对数据包流的分析，可以从数据流中过滤除可以数据包，通过与已知的入侵方式进行比较，确定入侵是否发生以及入侵的类型并进行报警。网络管理员可以根据这些报警确切的知道所周到的攻击并采取相应的措施。LOGO3.1入侵检测概述CIDF——入侵检测系统的通用模型LOGO3.2入侵检测系统分类3.2.1基于主机的入侵检测系统3.2.2基于网络的入侵检测系统LOGO3.2.1基于主机的入侵检测系统网络连接检测对试图进入该主机的数据流进行检测，分析确定是否有入侵行为，避免或减少这些数据流进入主机系统后造成伤害。基于主机的入侵检测系统可以保护单台主机不受网络攻击行为的侵害，需要安装在受保护的主机上。可以有效地检测出是否存在攻击探测行为。LOGO3.2.1基于主机的入侵检测系统主机文件检测1系统日志2文件系统3进程记录系统日志文件记录了各种类型的信息。如果日志文件中存在异常记录，就可以认为发生了网络入侵。恶意的网络攻击者