网络安全

第七章网络安全基本内容网络安全系统防火墙技术攻击防范入侵检测漏洞扫描病毒防护Internet面临挑战－网络安全问题Internet的开放性、国际性和自由性给政府机构、企事业单位以及个人在增加应用自由度的同时，也给信息安全带来严重威胁；TCP/IP协议是国际互联网事实上的国际标准，但它所提供的服务却包含许多不安全因素，存在着许多漏洞，是一个不设防的开放大系统；NOS、OS的功能和严密性随着版本升级不断增强，也仍然不可避免地存在各种漏洞，被“道高一尺、魔高一丈”的黑客、病毒所利用，作为各种攻击、感染手段的依据。为确保信息安全的机密性、完整性、可用性、可靠性和可审查性，网络安全已成为网络发展中的一个重要课题。网络安全威胁和黑客攻击手段网络安全威胁非受权访问信息泄漏或丢失破坏数据完整性拒绝服务攻击利用网络传播病毒黑客攻击手段口令入侵放置特洛伊木马DoS攻击端口扫描网络监听欺骗攻击电子邮件攻击对策－网络安全策略安全策略是指在某个特定的环境中，为达到一定级别的安全保护需求所必须遵守的诸多规则和条例。安全策略包括3个重要组成部分：安全立法、安全管理、安全技术。安全立法是第一层，有关网络安全的法律法规可以分为社会规范和技术规范；安全管理是第二层，主要指一般的行政管理措施；安全技术是第三层，它是网络安全的物质技术基础。安全策略的实施第一，重要的商务信息和软件的备份应当存储在受保护、限制访问且距离源地点足够远的地方，这样备份数据就能逃脱本地的灾害。因此需要将关键的生产数据安全地存储在一个非在线的位置。第二，需要给网络环境中系统软件打上最新的补丁。各公司的联网系统应当具备一套可供全体员工使用的方法以方便地、定期地检查最新的系统软件补丁、bug修复程序和升级版本。当需要时，此方法必须能够为连接Internet和其他公用网络的计算机迅速安装这些新的补丁、bug修复程序和升级版本。第三，安装入侵检测系统并实施监视。为了让企业能快速响应攻击，所有与Internet连接的、设置多用户的计算机必需运行一套信息安全部门认可的入侵检测系统。第四，启动最小级别的系统事件日志。计算机系统在处理一些敏感、有价值或关键的信息时必须可靠地记录下重要的、与安全有关的事件。与安全有关的事件包括：企业猜测口令、使用未经授权的权限、修改应用软件以及系统软件。4U7U7U7U客户端客户端客户端客户端计算机计算机域控制器7U计算机计算机上级网络网间密码机防火墙防火墙Web/mail公开服务器入侵检测系统涉密服务器园区网服务器用户安装防病毒软件漏洞扫描初识网络安全组件某网络信息中心和园区网安全系统示意图网络安全解决方案概述1在接入路由器内侧加装防火墙形成第一道安全屏障;2在防火墙内侧关键点部署入侵检测系统，防护内、外网络攻击，构成第二道安全闸门；3设置防病毒服务器，全网各主机安装防病毒系统；4配置漏洞扫描系统，对全网内主机不定期进行漏洞扫描，堵塞入侵漏洞；5用第二防火墙、涉密服务器隔离和控制对保密系统子网的访问；6如有必要，可在接入路由器内/外侧加装密码机；7安全管理：两级机构＋规章制度。cisco3560cisco2800cisco2960保密系统4U7U7U7U客户端客户端客户端客户端计算机计算机域控制器7U计算机计算机上级网络网间密码机防火墙防火墙Web/mail公开服务器入侵检测系统涉密服务器园区网服务器用户安装防病毒软件漏洞扫描初识网络安全组件某网络信息中心和园区网安全系统示意图网络安全解决方案概述1在接入路由器内侧加装防火墙形成第一道安全屏障;2在防火墙内侧关键点部署入侵检测系统，防护内、外网络攻击，构成第二道安全闸门；3设置防病毒服务器，全网各主机安装防病毒系统；4配置漏洞扫描系统，对全网内主机不定期进行漏洞扫描，堵塞入侵漏洞；5用第二防火墙、涉密服务器隔离和控制对保密系统子网的访问；6如有必要，可在接入路由器内/外侧加装密码机；7安全管理：两级机构＋规章制度。cisco3560cisco2800cisco2960保密系统网络安全标准与政策现状美国TCSEC（桔皮书）欧洲ITSEC加拿大CTCPEC美国联邦准则（FC）联合通用准则（CC）ISO安全体系结构标准身份认证访问控制数据完整性安全审计隐蔽信道分析防火墙技术防火墙是位于不同网络或网络安全域之间的一系列部件的组合，实现网络和信息安全的访问控制。防火墙的功能有：访问控制身份认证、防止外部攻击地址转换日志与报警防火墙种类：包过滤防火墙应用代理（网关）防火墙状态检测防火墙状态包过滤和应用代理技术仍然是局域网防火墙市场的主流技术，但这两种技术正在融合。工作机制包过滤技术可以允许或禁止某些包在网络上传递，它依据的是以下的判断规则。(1)对包的目的地址作出判断。(2)对包的源地址作出判断。(3)对包的传送协议(端口号)作出判断。包过滤防火墙防火墙技术防火墙分类和实现原理端口号目的地址D源地址SIP地址端口号23telnet21ftp-data80http53dns443httpsD1D2S1S2D3防火墙设置规则服务类型原理示意图包首部信息外网性能特点优点(1)因为包过滤防火墙工作在IP和TCP层，通常安装在路由器上（故又称屏蔽路由器），配置简便、经济·，处理包的速度要比代理服务型防火墙快；(2)提供透明的服务，用户不用改变客户端程序。缺点(1)因为只涉及到TCP层，无法识别基于应用层的恶意攻击，所以与代理服务型防火墙相比，它提供的安全级别很低；(2)不支持用户认证，包中只有来自哪台机器的信息却不包含来自哪个用户的信息，有经验的黑客很容易伪造IP地址，骗过包过滤防火墙进行攻击；(3)不提供日志功能。防火墙技术包过滤防火墙防火墙技术包过滤防火墙包过滤规则设置案例要点某网络信息中心的IP地址段为202.106.196.x/24，要求该网段内所有主机都可以访问公网，但只允许外网用户访问202.106.196.8提供的Web服务和202.106.196.3提供的电子邮件服务，同时为避免内网中的机器因中冲击波病毒或其它原因对外网的攻击，禁止内网对外网某些端口的访问，如135~139、445等。访问规则设置要点如下规则一：访问源：202.106.196.0~202.106.196.255访问目标：0.0.0.0~255.255.255.255协议类型：TCPUDP端口号：135~139445135~139445操作：拒绝规则二：访问源：202.106.196.0~202.106.196.255访问目标：0.0.0.0~255.255.255.255协议类型：TCPUDP源端口号：1024~655351024~65535目的端口：1~655351~65535操作：允许防火墙技术包过滤防火墙包过滤规则设置案例（续）规则三：访问源：0.0.0.0~255.255.255.255访问目标：202.106.196.8协议类型：TCP端口号：80操作：允许规则四：访问源：0.0.0.0~255.255.255.255访问目标：202.106.196.3协议类型：TCP－SMTPTCP－POP3端口号：25110操作：允许注意：IP规则默认设置是不够的，要充分利用自定义IP规则，如：禁用69、135、139、445、4444端口来防范“冲击波”入侵；禁用7626端口防范木马“冰河”等。应用层网关防火墙防火墙技术代理服务器代理客户应用协议分析请求转发响应转发请求响应真实服务器真实客户端代理工作方式示意图工作机制应用代理防火墙是内、外网络的隔离点，起着监视、隔离和过滤应用层通信流的作用。工作过程如下：(1)代理接收数据包；(2)检查源地址和目标地址并要求提供认证身份；(3)身份认证后调用相应的程序，如按Web网站的URL、HTTP信息规则过滤，按POP3、SMTP邮件地址和扫描内容过滤等；(4)连通远程主机，为两个通信点充当中继并启动日志记录。上述过程是双向的。性能特点优点(1)提供的安全级别高于包过滤型防火墙。(2)可以强制执行用户认证。(3)代理工作在客户机和真实服务器之间，完全控制会话，所以能提供较详细的审计日志。缺点代理的速度比包过滤慢，不太适用于高速网(如千兆网、ATM网)之间的应用，然而已有改进。防火墙技术应用层网关防火墙防火墙技术状态检测防火墙状态检测防火墙又称动态包过滤防火墙。工作机制：动态开/关端口：状态检测防火墙在网络层由一个检测模块截获数据包，并抽取与应用层状态有关的信息（如FTP的PORT命令），以此作为依据决定对该连接是接受还是拒绝，判断是否需要临时打开某个端口，当传输结束时，端口又马上恢复关闭状态，从而避免该端口一直处于打开状态而给安全带来的隐患。记录状态信息作为后续信息通过/截断依据：检测模块维护一个动态的状态信息表，并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化，该连接就被中止。跟踪连接状态：状态检测防火墙不仅支持基于TCP的应用，而且支持基于无连接协议的应用，将所有通过防火墙的UDP分组均视为一个虚拟连接，防火墙保存通过网关的每一个连接的状态信息，允许通过防火墙的UDP请求都会被记录。当UDP包在相反方向上通过时，依据连接状态表确定该UDP包是否被授权和通过。每个虚拟连接都具有一定的生存期，较长时间没有数据传送的连接将被终止。状态检测防火墙能够对多层的数据进行主动的、实时的监测、分析，有效地判断出各层中的非法入侵；它的分布式探测器安置在各种应用服务器和其它网络节点之中，能同时检测和防范来自网络外部的攻击和内部的恶意破坏。防火墙技术状态检测防火墙（“工作机制”续）在实际应用中，构筑防火墙的“真正的解决方案”很少采用单一的技术，通常是多种解决不同问题的技术的有机组合。也就是说可以采用多种体系结构来构建防火墙系统。3种常见的体系结构是：双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。防火墙技术防火墙的体系结构双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器。它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。1双重宿主主机体系结构2．屏蔽主机体系结构屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔离开，堡垒主机是Internet上的主机能连接到的惟一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。同样内部网也只有堡垒主机可以连接Internet，堡垒主机实际也就是代理服务器，如图所示。防火墙技术防火墙的体系结构3．屏蔽子网体系结构屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到一个处于内网和外网之间的所谓隔离网，也就是停火区或者非军事区(DMZ，Demilitaryzone)。一个位于隔离网与内部网络之间，另一个位于隔离网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。堡垒主机安装在这个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，仍然必须通过内部路由器访问内部网络(如图所示)。防火墙技术防火墙的体系结构防火墙技术防火墙的主要技术指标（产品选用测试依据）并发会话数是防火墙能够同时处理的点对点会话连接的最大数目，它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。内网中同时在线的机器数越多，需要的会话数就越多（n103~n105个）.吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。中小企业选择百兆级的防火墙即可满足需要。防火墙技术防火墙的主要技术指标工作模式目前，市面上的防火墙都具备3种工作模式：路由模式、NAT模式和透明模式。透明