第7章互联网网络安全-《物联网安全导论》

第7章互联网网络安全学习任务网络安全概述防火墙技术入侵检测Clicktoaddtitleinhere123本章主要涉及：4身份验证学习任务IPsec安全协议虚拟专网（VPN）黑客567本章主要涉及：8互联网安全协议和机制7.1网络安全概述•网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。•网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。7.1网络安全概述7.1.1网络安全威胁分析1.物理安全•网络的物理安全是整个网络系统安全的前提。在校园网工程建设中，由于网络系统属于弱电工程，耐压值很低。•因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；7.1网络安全概述•考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；•考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；•必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。7.1网络安全概述•总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。7.1网络安全概述2.网络结构的安全•网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。•透过网络传播，还会影响到连上Internet/Intranet的其他的网络；•影响所及，还可能涉及法律、金融等安全敏感领域。7.1网络安全概述•因此，我们在设计时有必要将公开服务器（WEB、DNS、EMAIL等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；•同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。7.1网络安全概述3.系统的安全•所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。•目前恐怕没有绝对安全的操作系统可以选择，无论是Microsoft的Windows操作系统或者其它任何商用UNIX操作系统，其开发厂商必然有其后门（Back-Door）。因此，我们可以得出如下结论：没有完全安全的操作系统。7.1网络安全概述•不同的用户应从不同的方面对其网络作详尽的分析，选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。•而且，必须加强登录过程的认证，确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。7.1网络安全概述4.应用系统的安全（1）应用系统的安全是动态的、不断变化的。•应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上，主要考虑尽可能建立安全的系统平台，而且通过专业的安全工具不断发现漏洞，修补漏洞，提高系统的安全性。7.1网络安全概述（2）应用的安全性涉及到信息、数据的安全性。•对用户使用计算机必须进行身份认证，对于重要信息的通讯必须授权，传输必须加密。采用多层次的访问控制与权限控制手段，实现对数据的安全保护；•采用加密技术，保证网上传输的信息（包括管理员口令与账户、上传信息等）的机密性与完整性。7.1网络安全概述5.管理的安全风险•管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。•最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。7.1网络安全概述7.1.2网络安全服务的主要内容1.安全技术手段•物理措施：例如，保护网络关键设备，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施。•访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。7.1网络安全概述•数据加密：加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒，安装网络防病毒系统。•其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来，围绕网络安全问题提出了许多解决办法，例如数据加密技术和防火墙技术等。7.1网络安全概述2。安全防范意识•拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏安全防范意识有关。7.1网络安全概述7.1.3Internet安全隐患的主要体现•1．Internet是一个开放的、无控制机构的网络，黑客（Hacker）经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。•2．Internet的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。7.1网络安全概述•3．Internet上的通信业务多数使用Unix操作系统来支持，Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。•4．在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系的。7.1网络安全概述•5．电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。•6．计算机病毒通过Internet的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。7.1网络安全概述7.1.4网络安全攻击的形式•主要有四种方式:中断、截获、修改和伪造。如图所示。网络安全攻击的形式7.1网络安全概述（1）中断•中断是以可用性作为攻击目标，它毁坏系统资源，使网络不可使用。（2）截获•截获是以保密性作为攻击目标，非授权用户通过某种手段获得对系统资源的访问。7.1网络安全概述（3）修改•修改是以完整性作为攻击目标，非授权用户不仅获得访问而且对数据进行修改。（4）伪造•伪造是以完整性作为攻击目标，非授权用户将伪造的数据插入到正常传输的数据中。7.1网络安全概述7.1.5网络安全案例•随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。•有很多是敏感信息，甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删改、计算机病毒等）。•同时，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。7.2防火墙技术•古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。自然，这种墙被命名为“防火墙”。•为安全起见，可以在本网络和Internet之间插入一个中介系统，阻断来自外部通过网络对本网络的威胁和入侵，这种中介系统叫做“防火墙”。7.2.1防火墙的基本概念•防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。•接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。•Internet防火墙决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。7.2.1防火墙的基本概念1、Internet防火墙与安全策略的关系•防火墙不仅仅是路由器、堡垒主机、或任何网络安全的设备的组合，防火墙是安全策略的一个部分。•安全策略建立全方位的防御体系，包括：公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。7.2.1防火墙的基本概念(1)防火墙的功能•防火墙的功能有两个：阻止和允许。•“阻止”就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）。•“允许”的功能与“阻止”恰好相反。•防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。7.2.1防火墙的基本概念(2)联网监控•在防火墙上可以很方便的监视网络的安全性，并产生报警。（注意：对一个与Internet相联的内部网络来说，重要的问题并不是网络是否会受到攻击，而是何时受到攻击？谁在攻击？）•网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。7.2.1防火墙的基本概念(3)防火墙在互连网络中的位置•防火墙内的网络称为“可信赖的网络”(trustednetwork)，而将外部的因特网称为“不可信赖的网络”(untrustednetwork)。G内联网可信赖的网络不可信赖的网络分组过滤路由器R分组过滤路由器R应用网关外局域网内局域网防火墙因特网7.2.2防火墙的技术类别1.包过滤防火墙•采用这种技术的防火墙产品，通过在网络中的适当位置对数据包进行过滤。•检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，•然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。7.2.2防火墙的技术类别2.代理服务器防火墙•代理服务器运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。•当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样，去那个站点取回所需信息再转发给客户。7.2.2防火墙的技术类别3.状态监视器防火墙•这种防火墙安全特性较好，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。•检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全策略的参考。7.2.3防火墙的结构•在防火墙与网络的配置上，有三种典型结构：双宿／多宿主机模式、屏蔽主机模式和屏蔽子网模式。•堡垒主机(bastionhost)堡垒主机是一种配置了较为全面安全防范措施的网络上的计算机，从网络安全上来看，堡垒主机是最强壮的系统。通常情况下，堡垒主机可作为代理服务器的平台。7.2.3防火墙的结构1.双宿／多宿主机模式•双宿／多宿主机防火墙(Dual-Homed／Multi-HomedFirewall)是一种拥有两个或多个连接到不同网络上的网络接口的防火墙，•通常用一台装有两块或多块网卡的堡垒主机做防火墙，网卡各自与受保护网和外部网相连。•特点是主机的路由功能是被禁止的，两个网络之间的通信通过应用层代理服务来完成。7.2.3防火墙的结构•双重宿主主机的防火墙体系结构是相当简单的：双重宿主主机位于两者之间，并且被连接到外部网和内部网。双重宿主主机体系结构7.2.3防火墙的结构2屏蔽主机模式•屏蔽主机防火墙(ScreenedFirewall)由包过滤路由器和堡垒主机组成。•在这种方式的防火墙中，堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为外部网络惟一可直接到达的主机，这保证了内部网络不被未经授权的外部用户的攻击。7.2.3防火墙的结构单地址堡垒主机双地址堡垒主机7.2.3防火墙的结构3屏蔽子网模式•屏蔽子网防火墙(ScreenedSubnetModeFirewall)的配置采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非军事区(demilitarizedzone)”网络。•网络管理员将堡垒主机、WEB服务器、Email服务器等公用服务