高级计算机网络演示课件

高级计算机网络第九章网络安全史忠植中国科学院计算技术研究所精1内容提要9.1网络安全概述9.2网络安全的级别9.3网络安全的策略9.4虚拟专用网9.5入侵检测9.6防火墙9.7加密9.8常规密码体系9.9公开密钥密码体制9.10报文的鉴别9.11密钥分配9.12公钥证书9.13网络安全的发展精29.1网络安全概述众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在使用和管理上的无政府状态，给了众多的hacker们许多机会，使Internet自身的安全受到严重威胁，与它有关的安全事故屡有发生。对网络安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面。这就要求我们对与Internet互连所带来的安全性问题予以足够重视。精39.1网络安全概述保密性安全协议的设计访问控制精49.2网络安全的级别D1级C1级C2级B1级B2级B3级A级精59.3网络安全的策略●你试图保护那些资源？●你需要保护这些资源防备那些人？●可能存在什么样的威胁？●资源如何重要？●你能够采取什么措施以合算和节时的方式保护你的财产？精6网络操作系统的安全性能NetWare网络操作系统WindowsNT网络操作系统UNIX网络操作系统精7NetWare网络操作系统●登录安全NetWare登录安全需要用户输入一个有效的用户名和口令，并由此控制用户对网络的访问。●受托者一个受托者是指对特殊的目录、文件或对象有特定的控制权的一个用户或一个用户组。网络管理员可通过受托者来指定授予访问权。●权限权限表示了一个受托者对目录、文件和对象有什么级别的访问权。权限可分为目录权限、文件权限、对象权限和属性权限。精8NetWare网络操作系统●继承继承简化了为所有用户、目录、文件及对象创建相同的受托者权限分配的任务。虽然继承给管理员提供了很大的方便，但是必须小心使用继承以确保权限的适当分配。●有效权限当一个用户开始操作时，NetWare就会计算用户对给定的目录、文件或对象的有效权限。有效权限是指用户对目录、文件或对对象实际拥有的权限。●属性又称标志，主要描述了特殊目录和文件的特性，这些属性定义了操作权限。属性在NetWare安全环境中特别重要。精9WindowsNT网络操作系统●登录进程这一部分接受用户的登录请求，包括远程请求。●局部安全授权（LSA）这部分保证任何已经登录的用户可以访问系统，局部安全授权产生访问令牌、管理策略，同时给用户提供鉴别服务。精10WindowsNT网络操作系统精11UNIX网络操作系统UNIX安全涉及的主要范围是用户、用户组和文件系统。●用户和用户组象WindowsNT一样UNIX利用用户名和口令来识别用户。每个用户被指定到某一用户组，就能指定这些用户与用户组访问文件和目录。这是UNIX安全存在的实际问题。即为使用户能够创建其它用户，可简单允许该用户写访问口令文件。●文件系统UNIX的文件系统类似于NT，也是以层次结构组织的。每个文件有一组简单的许可权或权限，对三类用户——文件拥有者，文件拥有者组与在其它组上的用户，各不相同。可使用的许可权包括：读、写、执行。精12网络设计及硬件安全设备（1）脸部特征识别设备（2）智能卡；(3）Web站点阻断工具（4）冗余设备精13虚拟网络虚拟局域网基于端口的虚拟LAN。这种VLAN是最简单的，但提供了绝大部分控制功能和安全特性。基于VLAN实际所连接的端口给VLAN分配设备。端口分配是静态的，只有管理员才能改变。MAC地址VLAN。配置MAC地址VLAN更为复杂。VLAN网络由一组MAC地址组成，AutoTracker软件将这组地址转换成了一个广播域。由于是基于对MAC地址的鉴别，这种类型的VLAN是一种更安全的方案。机器在访问VLAN之前，必须先具有一个可识别的VLAN地址。精14虚拟网络虚拟局域网第三层。在第三层的VLAN中，管理员用不同的协议要求对不同的VLAN分配通信业务。协议策略VLAN。这种类型的网络基于数据帧内的协议标准。比如，管理员可以在这类网络的数据帧内指明一个数据场用于确定VLAN的隶属。多终点传输VLAN。多终点传输VLAN通过“一点对多点”或“多点对多点”的方式传输信息。这对新闻广播或电视会议之类的应用是很有用的。精15虚拟网络虚拟局域网基于政策的VLAN。这类VLAN使管理员能组合应用VLAN政策以产生灵活的VLAN。设备可以配置给不同政策条件下的VLAN系统。网络中的每个转换器都能识别各种VLAN政策。用户鉴别VLAN。这是一种高安全性能的VLAN，它要求用户在访问网络资源之前，先要通过服务器对用户的鉴别。精169.4虚拟专用网VPN通过公用网络在多个地区之间建立了安全链路。VPN新模型在公用INTERNET中勾划出一个“专用”网络，使不同地方的网点或子网能相互连接在一起，为企业建立了一个实实在在的WAN。这与VLAN不同，它将大型网络分成多个子网，在通过软件来管理其间的连接。有直接式的和隧道式的两种类型的VPN。直接式的VPN使用IP寻址并通过VPN建立数据的直接控制。它加密数据，并作为基于用户而不是IP地址的鉴别。另一方面，隧道模式的VPN使用IP帧作为数据包的一个隧道。这种模式的网络受到侵入，入侵者只能访问目标网络。如果是双向模式，源网络及目标网络二者都会被侵入。精179.5入侵检测生成异常记录修改Profile事件生成器活动Profile规则集系统时钟确定新的规则修改现存规则系统审计记录/网络包/应用审计记录图9.2一般的入侵检测模型精18精19异常检测模型（1）通过将征抽取或事件到特征字符串的映射形成异常行为空间；（2）系统运行时采集可观察的事件窨并进行筛选；（3）采集到的事件与预先建好的异常行为空间中的事件比较，差异标闪准可用预先确定的阈值或某个统计量，超过则判断为攻击。精20滥用检测模型对用户的行为特征与某种攻击活动的行为特征进行比较。这种方法的基本前提是对可能收集到入侵例子的行为特征进行分析和提取，并使特征尽量覆盖可能的变种攻击。然而，这种方法的有效性也由于攻击的多样性和利用合法手段进行攻击的例子的增多而显出其无能为力的一面。另外不论哪一种入侵检测的教学模型，都同样面临一个实时和处理大量信息的难题。如要检测的信息源包括：网络包、主机事件（进程、任务等）、网络状态（流社信息等）、主机状态（机器忙闲等）。日益增多的攻击例子验证和说明入侵检测模型的局限性。精219.6防火墙防火墙是通过创建一个中心控制点来实现网络安全控制的一种技术。通过在专用网和Internet之间设置路卡，防火墙监视所有出入专用网的信息流，并决定那些是可以通过的，那些是不可以的。给防火墙下一个确切的定义如下：防火墙是放置在两个网络之间的一组组件。这组元件共同具有下列性质：●双向通信信息必须经过防火墙●只允许本地安全策略授权的通信信息通过●防火墙本身不会影响信息的流通精22防火墙有三种实现手段●分组过滤：这种方法过滤掉那些未经证实的主机发来的TCP/IP分组，并拒绝内部使用那些未经授权的服务以及与其建立连接。●IP伪装：以一个虚假的IP地址代替内部主机的IP地址，这样可以躲避外部的监视。●代理服务：这种方法是通过在高层建立代理，从而在网络层完全断绝内部和外部之间的连接。精23安全手段●加密鉴别：为公共网络的用户提供身份检查的功能，这样企业的职员从外部也可以访问企业专用网了。●加密隧道：通过一个与Internet一样的公共媒介，在两个专用网间建立虚网络安全连接，这种方式为物理上分散的网络通过Internet,而不是租用线建立通信连接提供了可能。精24防火墙的种类数据包过滤防火墙双位置网关防火墙主机屏蔽防火墙子网屏蔽防火墙精25数据包过滤防火墙InternetIP软件包过滤路由器精26数据包过滤器数据包过滤防火墙是最普通的防火墙，最适合于简单网络。这种方法只需简单地在Internet网关处安装一个数据包过滤路由器，并设置过滤规则阻挡协议或地址。数据包过滤器在发送前检查每一个数据包，在将其与规则进行对比，决定什么类型的数据包是允许的，什么类型是禁止的。IP数据包过滤功能是在比IP协议更低层执行的。IP在每台主机上运行，负责将数据包送到相应的目的地。数据包过滤路由器对IP数据包的过滤基于如下几个方面：(1)源IP地址(2)目的IP地址(3)TCP/UDP源端口(4)TCP/UDP目标端口精27数据包过滤器数据包过滤设备检查数据包的标题，这一部分描述了连接及使用的协议。数据包过滤器基于以下条件对数据包过滤：²源及目的IP地址²源及目的的端口。这些端口表明了对TCP/UDP的使用，如FTP、Telnet、SNMP或RealAudio。²TCP。这是一种面向连接的协议，用于绝大多数服务器，如FTP、Telnet。²UDP（用户数据报协议）。这是一种无连接协议，用于SNMP及RealAudio。²ICMP（Internet控制报文协议）。这是一种Internet的低层管理协议。²数据包是否是新的TCP/IP连接的第一个数据包或是接着的数据包。²数据包是起源于某局部应用或指定用于某局部应用。数据包是内界的还是外界的。精28双位置网关防火墙Internet安全局域网周边局域网Router网关精29双位置网关防火墙双位置网关防火墙可能是一种更好的方案。双位置网关配置在一个主机上设立了两个网络接口并禁止了主机的IP移动。换句话说，双位置网关连接了两个网络。一个是内部安全网络，另一个是通过路由器连接到Internet的周边网络。这种方案完全禁止了Internet与内部网络之间的IP传输。双位置网关通常用于禁止访问没有得到特别允许的所有设备。例如，这种类型的防火墙可以用来分隔通信，允许从外界访问信息服务器，同时禁止访问任何其他服务器。由于存在两个域名服务器，内部主机的名字对Internet上的任何用户都是不可见的；然而，内部用户仍然可因访问全系统，甚至包括周边网上的公用服务器。精30主机屏蔽防火墙Internet安全网RouterGateway公共SERVER精31主机屏蔽防火墙主机屏蔽防火墙比双位置防火墙具有稍多一些的灵活性。这种防火墙在路由器的被保护的一边，综合使用了数据包过滤路由器和应用网关。与双位置网关方案不同，它只需一个网络接口。在有代理服务的情况下，应用网关把Telnet（远程登录）及其他服务发送给专用系统。路由器滤除危险协议，以防这些协议到达网关及专用系统。在主机屏蔽防火墙系统中，内部网络与周边网络的分隔是逻辑上的，而不是物理上的。也就是说，数据包过滤规则仅仅用于检查Internet与网关及公用服务器之间的通信业务。由于是逻辑的，而不是物理上的分隔，因此这种配置不允许存在错误，如果公用服务器遭到外界攻击，它可能变成一个同往内部网络的入口。精32子网屏蔽防火墙子网屏蔽防火墙与双位置屏蔽防火墙相似。使用这种设置，防火墙的每个构成部分都位于不同的系统中。尽管设置更复杂，但提供了更好的灵活性和更大的处理能力。在这种配置中，两个路由器建立了一个内部屏蔽的子网，子网中包含应用网关、信息服务器、调制解调器或应限制访问的其他系统。在这种类型的防火墙配置条件下，从Internet上不能直接访问任何系统，路由器将通信业务转给专用系统。外部路由器限制了Internet访问专用系统，并禁止了到Internet的其他通信，这些通信可能起源于不需要Internet访问的系统。内部路由器在屏蔽子网的系统之间发送通信业务。精33子网屏蔽防火墙Internet安全网周边局域网RouterRouter精34防火墙未来趋势第一代防火墙是数据包过滤路由器。第二代防火墙——应用和线路网关（也称代理器）。第三代防火墙技术综合了数据包过滤与代理器系统的特点和功能，以状态的多层检查（SMLI）为代表。精359.7加密明文密文加密解密精36密码系统单密钥密码体制：单密钥密码体