计算机安全与保密9

9Internet安全技术9.1防火墙技术9.2虚拟专用网(VPN)技术9.3安全扫描技术和风险评估9.4入侵检测技术9.5网络陷阱技术9.6Web安全9.1防火墙技术9.1.1防火墙的设计和建立9.1.2基于分组过滤的防火墙设计9.1.3基于代理服务的防火墙设计9.1防火墙技术防火墙技术用于解决网络边界的安全问题位于两个网络之间，网间的所有数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙目的：隔离内外网，防止来自外部网络的攻击和非法访问防火墙的功能通常是由独立计算机、路由器或专用硬件设备来完成有效的纪录网络上的活动隔离网段，限制安全问题扩散防火墙自身应有一定的抗攻击能力大门、护城河包围的区域构成外城最后的要塞内城：由更高的围墙来隔开内城和外城理想的防御体系防火墙技术的应用内环据点关键应用系统内部网防火墙Internet内部防火墙DMZ外环9.1.1防火墙的设计和建立防火墙的核心思想和作用核心思想：在开放的网络环境中构造一个相对封闭的逻辑网络环境来满足人们对内部网络的安全需求。作用：按照本机构的安全策略来控制内外网络之间的交通，从而保证通过防火墙的信息都是被内部网络安全要求所能够接受的。防火墙的基本概念Internet防火墙堡垒主机多宿主机外围网络分组过滤代理服务器防火墙的优点限制了内部网络对Internet的暴露程度；可以作为内部网络安全防范的一个焦点；是设置网络地址翻译器的最佳位置。防火墙体系结构多宿主机结构多宿主机位于内、外网络中间，一端连在Internet，另一端连到内部网络。配置简单、成本低。单点失效问题Internet多宿主机防火墙内部网络有屏蔽主机结构有屏蔽路由器和堡垒主机比多宿主机结构安全但有屏蔽路由器和堡垒主机任一个出现安全问题，整个内部网络都会暴露出来Internet有屏蔽路由器防火墙内部网络堡垒主机有屏蔽子网结构通过一个外围网络进一步将内部网络与Internet隔离开：外围网络、内部路由器、外部路由器有更高的安全保障。成本高Internet内部路由器防火墙内部网络堡垒主机外部路由器堡垒主机外围网络建立防火墙的主要途径基于分组过滤的防火墙工作在网络层（IP层）工作原理：首先基于分组的头部信息根据内部网络的安全策略制定出分组过滤规则，然后按照分组过滤规则对所经由的分组进行检查，按照分组过滤规则的规定采取动作，允许该分组通过或将其阻塞。优缺点：优点：对应用透明，合法建立的连接不被中断；速度快、效率高。缺点：安全性级别低，不能识别高层信息，容易受到欺骗。与其他技术结合：NAT、流量控制、状态监控、VPN、……IP数据链路层防火墙防火墙外部网络内部网络过滤规则表分组过滤规则代理服务工作在应用层，将客户与服务的连接隔离成两段。工作原理：在防火墙主机上运行的专门的应用程序或服务器程序，接收用户的Internet服务请求，根据安全策略将它们传送给真正的服务器，代理提供真正的连接并且充当服务网关。优缺点：优点：提供较高的安全性和较强的身份验证功能。缺点：透明性差，离不开用户的合作；对网络的性能的影响较大。防火墙外部网络内部网络规则IP数据链路层TCP/UDP应用层防火墙分组规则复合型防火墙防火墙的局限不能防范内部人员不能防范不通过它的连接不能防范全新的网络威胁不能防范病毒的入侵不能防范数据驱动式进攻防火墙的未来9.1.2基于分组过滤的防火墙设计IP网络概念的简要回顾筛选路由器和一般的路由器之间的区别分组过滤的优点分组过滤的局限性配置分组过滤规则时应注意的问题分组过滤路由器的工作步骤分组过滤的种类分组过滤的规则如何选择分组过滤路由器基于分组过滤的防火墙设计举例IP网络概念的简要回顾在IP网络中，数据以分组的形式传送。分组从一个路由器到另一个路由器被传送，穿越网际，一直到达其目的地。路由器根据分组的IP目的地址，根据内存中的路由表来决定如何传送分组。它将分组的目的地址和路由表中的全部地址进行比较，将分组发往路由表指定的方向。如果在路由表中没有适用于该分组的目的的路由，路由器就使用“缺省路由”。筛选路由器和一般的路由器的区别主要区别：对所收到的分组的处理不同。一般路由器：简单地查看一下分组的目的地址，然后根据路由表确定它的最佳路由来指定此分组的流动方向。筛选路由器：首先根据分组过滤规则确定该分组是否允许通过，若允许通过再对其进行路由选择。分组过滤的优点分组过滤系统价格便宜分组过滤不要求用户的知识和合作分组过滤的局限性分组过滤规则本身有局限性定义分组过滤规则是一项复杂的工作；分组过滤规则被配置后，难以测试和维护；有一些协议不适合对其进行分组过滤。分组过滤失效时给内部网络带来的危害较大。配置分组过滤规则时应注意的问题协议通常是双向的；注意采用的是服务术语还是分组术语；注意采用的是“缺省允许”原则还是“缺省拒绝”原则。分组过滤路由器的工作步骤根据内部网络的安全策略制定分组过滤规则；分组过滤路由器对分组的头部进行分析，按照分组过滤规则的存储顺序依次对分组进行检查；如果在分组过滤规则表中找到一个适用于此分组的规则，而该规则规定阻塞该分组，则该分组被阻塞；如果在分组过滤规则表中找到一个适用于此分组的规则，而该规则规定允许该分组通过，则系统就允许该分组通过；如果在分组过滤规则表中没有适用于此分组的规则，则根据缺省规定，该分组被阻塞或允许通过。分组过滤的种类根据地址进行过滤根据服务进行过滤分组过滤的规则规则中过滤的依据：多域过滤IP地址（源地址、目的地址）高层协议类型端口号（源端口、目的端口）协议标志、服务类型（TOS）防火墙的操作：通过：允许分组通过防火墙丢弃：禁止分组通过防火墙，直接丢弃，但不做任何响应拒绝：禁止分组通过防火墙，并向源端发送目的主机不可达的ICMP报文返回：没有发现匹配的规则，省缺动作如何选择分组过滤路由器应具备内部网络要求的足够的分组过滤性能；可以将专用路由器或通用计算机作为分组过滤路由器；应该允许基于头部任何选项建立分组过滤规则；应该按照一定顺序在过滤规则表中进行检查；应该具备记录功能。基于分组过滤的防火墙设计举例SMTP服务（电子邮件）分组描述输出SMTP服务：输出分组、输入分组输入SMTP服务：输出分组、输入分组服务方向分组方向源地址目的地址协议类型源端口目的端口ACK设置输出输出内部地址外部地址TCPY25a输出输入外部地址内部地址TCP25YYES输入输入外部地址内部地址TCPZ25a输入输出内部地址外部地址TCP25ZYES分组过滤规则描述基于分组的源地址、目的地址、协议、目的端口号进行过滤：只要连接双方均使用大于1023的端口，则可通过。允许1023TCP内部地址外部地址输入D拒绝任意任意任意地址任意地址输入/输出E允许25TCP外部地址内部地址输出C允许1023TCP外部地址内部地址输出B允许25TCP内部地址外部地址输入A动作目的端口协议目的地址源地址方向规则SMTP分组过滤规则表一基于分组的源地址、目的地址、协议、目的端口号和源端口号进行过滤：当进攻者使用源端口号25，连接到内部网络大于1023的端口号的服务器时，可成功。任意251023251023源端口允许1023TCP内部地址外部地址输入D拒绝任意任意任意地址任意地址输入/输出E允许25TCP外部地址内部地址输出C允许1023TCP外部地址内部地址输出B允许25TCP内部地址外部地址输入A动作目的端口协议目的地址源地址方向规则SMTP分组过滤规则表二基于分组的源地址、目的地址、协议、目的端口号、源端口号、ACK位进行过滤：进攻失败。任意设置任意设置任意ACK设置任意251023251023源端口允许1023TCP内部地址外部地址输入D拒绝任意任意任意地址任意地址输入/输出E允许25TCP外部地址内部地址输出C允许1023TCP外部地址内部地址输出B允许25TCP内部地址外部地址输入A动作目的端口协议目的地址源地址方向规则SMTP分组过滤规则表三9.1.3基于代理服务的防火墙设计基于代理服务的防火墙的工作过程代理系统：代理服务器程序，客户程序代理的优点提供的安全性高提供了记录和审计功能代理的缺点仅能支持有限的服务和应用透明性低对网络性能有影响需要用户的合作如何实现代理服务修改客户软件修改用户程序网络地址翻译（NAT）目的向外界隐藏内部网结构解决IP地址空间不够问题NAT方式M-1：多个内部网地址翻译到一个IP地址1-1：简单的地址翻译M-N：M个内部地址翻译到N个IP地址池9.2虚拟专用网(VPN)技术采用加密/认证技术，利用公共通信网络传送专用信息，建立起的一个相对封闭的、逻辑上的专用网络跨地域大型组织机构间的互连、流动工作站的互连通信利用公用网建立集团内对等连接，保证数据的安全保密性特点可灵活利用多种公用远程通信网络电话网、公共分组交换网、帧中继、ATM、ISDN、IP网……性能价格比高有一定的服务质量保障措施能够提供强大的接入控制和入侵防护，保证内部信息交换的保密性和安全性IPVPN的基本信息处理过程信息处理过程内部网主机发送明文信息到连接公共网络的VPN设备VPN设备根据网络管理员设置的规则，确定是否需要加密若需要加密，在IP层对整个分组进行加密并附上数字签名对加密后的数据重新封装：加新的分组头、目的VPN设备所需的安全信息和参数通过虚拟通道在公共网络上传输分组到达目标VPN设备时，解除封装、核对数字签名、解密还原原始分组关键技术隧道技术加密技术安全技术IPVPN的基本信息处理过程IP公网访问控制报文加密报文认证IP封装访问控制报文解密报文认证IP解封装IP安全隧道明文LAN1LAN2明文接收方发送方隧道技术隧道的基本组成一个隧道启动器一个路由网络（Internet）一个隧道终结器VPN的隧道协议点到点隧道协议PPTP（IETF草案）第二层转发L2F（IETFRFC2349）第二层隧道协议L2TP（IETF草案）通用路由封装GRE用于源路由器和目的路由器之间VPN中采用的加密技术IPSec（IPSecurity）协议IPSec是一套协议互连网密钥交换协议（RFC2409IKE）IPSec协议（RFC2401）验证包头协议AH（RFC2402）封装安全载荷ESP（RFC2406）DES、IDEA、MD5……IPSec的安全体系结构AH协议ESP协议密钥管理协议(ISAKMP)解释域（DOI）IPSec的两种工作方式隧道模式整个用户的IP分组被用来计算ESP报头整个IP分组被加密，与ESP报头一起被封装在一个新的IP分组内数据在Internet上传送时，真正的源地址和目的地址被隐藏传输模式只有高层协议（TCP、UDP、ICMP等）头及数据进行加密源地址和目的地址以及所有IP分组头的内容都不加密VPN中的安全控制VPN中的安全控制——认证远程身份验证拨入用户服务RADIUSRFC2138/2139支持用户认证、鉴权和计费（AAA）（Authentication,Authorization,Accounting)登录的数据无层次结构轻量级目录访问协议LDAP（RFC1777）登录的用户信息有层次结构适合于组织机构用户数据的登录应用拨号VPN（VPDN）接入VPN（AccessVPN）专线VPN包括InternetVPN和ExtranetVPN9.3系统安全扫描和风险评估是一种系统管理员常用的网络安全工具通过该工具可以发现系统或网络中的安全漏洞或弱点形成完善的系统安全弱点的报表和风险评估报表系统管理员可利用扫描工具来对系统的安全性进行评估主要特点能自动检测远程或本地主机安全性弱点这些弱点是破坏