第6章 网络规划 计算机网络

第6章网络安全技术第6章网络安全技术网络安全概述信息传递的安全技术网络服务器的访问控制防火墙网络代理服务器系统内部安全技术DDoS攻击和防范26.1网络安全概述网络的安全性要求网络安全威胁分析提高网络安全性的策略网络安全标准36.1.1网络的安全性要求可用性保密性完整性不可抵赖性可控性46.1.2网络安全威胁分析非授权访问信息泄露或丢失破坏数据完整性利用网络传播病毒拒绝服务56.1.3提高网络安全性的策略网络安全性策略是保证提供一定级别的安全保护所必须遵守的规则这些规则包括了建立安全环境的3个部分法律技术管理66.1.4网络安全标准美国TCSEC（橘皮书）由美国国防部制定，分为7个安全级别，从低到高依次为D、C1、C2、B1、B2、B3和A级欧洲ITSEC联合公共准则（CC）ISO安全体系结构标准ISO7498-2-1989中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》将信息系统安全分为5个等级，分别是：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级76.2信息传递的安全技术数据加密身份认证数字签名86.2.1数据加密所谓加密是把报文进行编码使其意义变得不明显的过程；而解密则是加密的逆过程，即把包文从加密形式变换成原始形式的过程将报文的原始形式称为明文，而报文的加密形式称为密文网络加密的实施方式链路加密端到端加密混合加密96.2.1数据加密密码体制10加密解密明文密文明文密钥加密解密明文密文明文加密密钥解密密钥单密钥密码体制（对称加密解密系统）双密钥密码体制（非对称加密解密系统）6.2.1数据加密DES（数据加密标准）RSA（公钥密码体制）MD5算法PGP安全加密系统混合密码系统：IDEA、RSA、MD5、压缩116.2.2身份认证身份认证是证实一个对象是否属实以及是否有效的复杂过程，基本思想是通过验证该对象的某些特有属性来达到确认对象是否真实有效的目的一个对象的属性可以是口令、数字签名或者如声音、指纹等生理特征常用身份认证技术基于口令的认证质询握手认证Kerberos认证SET安全电子商务系统126.2.3数字签名数字签名必须满足以下条件：接收方能够确认或证实发送方的签字，但不能伪造发送方发出经过签名的消息后，不能否认所签发的消息接收方对已收到的签名消息不能予以否认第三方可以验证并确认收发双方之间的消息传送，但不能伪造这一过程数字签名体制签名算法：保密的，只有签名人掌握验证算法：公开的，以便于第三者进行验证数字签名的重要应用：身份认证、数据完整性、不可否认性以及匿名性等136.2.3数字签名基于RSA算法的数字签名14M用发送方的私钥加密用接收方的公钥加密用接收方的私钥解密用发送方的公钥验证M发送方接收方M,SM’,S’M,S6.3网络服务器的访问控制访问控制和账户管理用户权限控制访问控制表156.3.1访问控制和账户管理基本的访问控制方法用户名的识别与验证用户口令的识别与验证用户帐号的默认限制检查访问的时间、使用的机器等Windows操作系统的帐户安全参数组口令控制策略166.3.2用户权限控制权限是由系统管理员赋予用户的特殊属性，只有当用户拥有所需要的访问权限，系统才能满足用户所提出的特殊请求权限控制机制控制用户和用户组可以访问哪些目录、子目录、文件和其他资源权限控制的实现方式受托者指派继承权限屏蔽操作系统中用户分类特殊用户（即系统管理员）一般用户审计用户176.3.3访问控制表用户权限控制是针对访问者建立的安全控制措施，而访问控制表则用于被访问对象一个访问控制表指出谁可以用什么方式访问该对象目录和文件的访问控制表是最常用的，也是最容易因为使用不当而不能达到预期效果的地方186.4防火墙防火墙的基本概念防火墙的构成数据包过滤技术FireWall-1防火墙196.4.1防火墙的基本概念防火墙（Firewall）是在外部和内部两个网络之间执行安全控制策略的系统防火墙综合采用了网络每个层次上的适当技术，通过对网络作连接和服务类型上的隔离，在被保护的内部网络周围建立起一个安全隔离带防火墙本身不是单独的一个计算机程序或设备，而是能提高安全策略及其实现方式的完整的系统206.4.1防火墙的基本概念防火墙系统的两大部件阈：限制在两个网络之间信息自由流动门：接收和处理来自外部网络的信息216.4.1防火墙的基本概念防火墙采用的技术网络层包过滤授权服务器应用层代理服务器226.4.2防火墙的构成防火墙的构成是指防火墙在网络中的物理位置和它与网络中其他设备的关系双宿主主机结构带有屏蔽路由器的单网段防火墙结构单DMZ防火墙结构双DMZ防火墙结构236.4.2防火墙的构成双宿主主机结构246.4.2防火墙的构成带有屏蔽路由器的单网段防火墙结构256.4.2防火墙的构成单DMZ防火墙结构266.4.2防火墙的构成双DMZ防火墙结构276.4.3数据包过滤技术数据包过滤技术主要应用在网络层，同时还要结合传输层加以控制，一般过滤操作由屏蔽路由器实施首先在路由器系统内设置过滤规则或过滤器，有时也称为访问控制表（AccessControlList），然后监视进入路由器的信息，只有满足过滤规则的数据包才被转发至相应的路由器端口，而其余数据包则被从数据流中删除数据包过滤技术逐个检查输入数据流中的每个数据包，根据数据包的源地址、目标地址、使用的端口号等，或它们之间各种可能的组合来确定是否允许数据包通过286.4.3数据包过滤技术根据屏蔽路由器的过滤类型，数据包过滤可以针对输入的、输出的或双向的数据进行过滤操作在配置过滤器时，必须确定安全策略，必须知道什么是允许的，什么是不允许的，但也会有一些未知的事件无法预先确定是允许还是不允许过滤规则集中都包含一条默认的规则来处理规则中未明确说明的数据包默认规则凡是规则未明确允许的数据包必须加以过滤凡是规则未明确拒绝的数据包可允许通过296.4.4FireWall-1防火墙FireWall-1防火墙是由CheckPoint公司开发的软件防火墙系统FireWall-1的特点FireWall-1的结构安全策略实施模块管理模块防火墙模块状态检测模块306.5网络代理服务器代理服务技术Socks方法代理服务与数据包过滤技术的比较代理服务器的使用316.5.1代理服务技术代理服务器是建立在网络应用层上的基于主机的协议过滤转发器使用代理服务器时，在内部网络和Internet之间需建立一个独立的安全区域，在该区域与内部网络以及该区域与Internet之间都放置了一个屏蔽路由器或更复杂的网关在该区域的子网上有一个代理服务器，进出的用户数据都要经过代理服务器代理服务一般需要在至少有两个网络端口的主机上运行，这种主机就是双宿主主机当用户访问Internet时，代理服务将对用户进行认证，认定用户为授权访问者，才允许用户访问Internet上的服务。来自Internet的用户对内部网络上应用服务器的访问，也用相同的方法认证326.5.2Socks方法实现代理服务需要做两方面的工作在防火墙内设置代理服务器客户机也要支持代理服务客户机实现代理需要客户化用户，即客户程序被修改成具有可实现代理的功能，比较典型的方法是Socks方法Socks方法既要扩充客户程序，也要对代理服务器软件作修改，形成Socks服务器，为用户访问Internet提供透明服务336.5.2Socks方法Socks协议独立于TCP/IP应用程序当TCP/IP客户机要求接入服务器时，客户机程序必须先开通一个到Socks服务器的TCP/IP连接，若连接请求可以接受，则客户机向Socks服务器送一个请求请求中应包含：希望的目标端口、希望的目标地址、认证信息等Socks服务器验证这些信息，如果认可则建立与Internet服务器的连接，否则就拒绝请求Socks协议的优点是对用户透明，用户访问Internet是感觉不到防火墙的存在和干预但是，这种方法要求客户机作相应修改和扩充，实现Socks协议346.5.3代理服务与数据包过滤技术的比较数据包过滤和代理服务都可以单独使用或与其他技术结合在一起使用，每种技术的处理都要求在安全性、性能和透明度之间折中使用路由器作为数据包过滤器是建立防火墙的最简单的方法，也是目前用得最多的网络互联安全模式，而代理服务则是目前防火墙技术发展的趋势，能提供更好的网络安全性能数据包过滤器中如果仅定义少数的规则，其性能是很好的，并且对应用和最终用户来说是绝对透明的，但包过滤器的安全性较弱，且不能监控连接的状态信息相比之下，代理服务在安全性方面要比数据包过滤器更强，但其性能和透明度明显比数据包过滤器差356.5.4代理服务器的使用提高代理服务器安全性的基本方法设计上需要简单准备好应付受损时的措施不允许用户登录代理服务器关闭路由功能建立日志系统选择合适的系统平台366.6系统内部安全技术漏洞扫描入侵检测安全审计病毒防范376.6.1漏洞扫描漏洞扫描是自动检测网络安全脆弱点的技术，以找出安全隐患和漏洞为目标漏洞扫描是把双刃剑黑客可以利用它入侵系统，是网络入侵者收集信息的重要手段网络系统管理员可以利用它有效地防范黑客入侵，是保障系统安全的有效工具漏洞扫描技术扫描目标主机，识别其当前的工作状态（开机或关机）扫描目标主机端口的状态，查询TCP/IP端口，并记录目标的响应信息，收集关于某些特定项目的有用信息扫描目标主机系统及服务程序的类型和版本386.6.1漏洞扫描漏洞扫描的策略被动式策略基于主机，对机器中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象用非破坏性的办法进行检查不具备攻击特征，有很好的隐蔽性，可非常准确的定位系统的问题，发现系统的漏洞，但它与平台相关，升级复杂，扫描过程严格依赖扫描主机所处的网络拓扑结构主动式策略基于网络，采用积极的、非破坏性的办法来检验系统是否有可能被攻击而导致崩溃模拟对系统进行攻击的行为，向目标系统发送特殊的报文，监控目标系统的应答，分析结果，以发现漏洞396.6.1漏洞扫描安全漏洞扫描软件的性能评价漏洞检测的完整性漏洞检测的精确性漏洞检测的范围及时更新报告功能漏洞扫描技术的进一步发展使用插件技术使用专用脚本语言由安全扫描程序到安全评估专家系统406.6.2入侵检测入侵检测是为保证计算机系统的安全而设计的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于监测计算机网络中违反安全策略行为的技术入侵检测系统（IntrusionDetectionSystems，IDS）能够识别出任何不希望有的活动，这种活动可能来自于网络的外部或内部典型的IDS系统提供事件数据和网络状态的信息采集装置发现入侵迹象的分析引擎根据分析结果产生反应的响应部件416.6.2入侵检测防火墙与IDS可以很好地互补静态方面：IDS可以通过了解防火墙的策略，对网络上的安全事件进行更有效的分析，从而实现准确的报警，减少误报动态方面：当IDS发现攻击行为时，可以通知防火墙对已经建立的连接进行有效的阻断，同时通知防火墙修改策略，防止潜在的进一步攻击的可能性IDS的构架网络级IDS主机级IDS426.6.2入侵检测入侵检测技术按入侵检测具体的方法分基于行为的检测基于知识的检测按检测系统所分析的对象分来自系统日志来自网络数据包集中型层次型协作型IDS的补充技术“蜜罐”技术填充单元技术436.6.3安全审计审计是记录用户使用计算机网络系统进行所有活动的过程，不仅能够识别谁访问了系统，还能指出系统正被怎样地使用，可以用于确定是否有网络攻击的情况，以及确定攻击源安全审计的对象网络：包括