【精品】网络安全和防火墙.ppt - (港周线波形梁护栏、钢筋混凝土护栏...76.ppt

《【精品】网络安全和防火墙.ppt - (港周线波形梁护栏、钢筋混凝土护栏...76.ppt》由会员分享，可在线阅读，更多相关《【精品】网络安全和防火墙.ppt - (港周线波形梁护栏、钢筋混凝土护栏...76.ppt（105页珍藏版）》请在三一文库上搜索。

1、网络安全和防火墙,CIW认证的网络安全分析师课程讲师（CI）,刘强 ,CIW网络安全认证体系,Instructor,Security Analyst,Security Professional,Foundation,MCSE,CCNA/CCNP,时间表,Day 1 什么是安全? 安全要素 应用加密 攻击类型分析 通用安全要素,时间表,Day 2 协议层安全 保护资源 防火墙技术原理与应用 防火墙设计与规划 检测并迷惑黑客 事件响应,Lesson 1: 什么是安全?,目标,安全的定义 网络安全的需求 标识需要保护的资源 标识常见的安全威胁类型,什么是安全?,网络安全 识别并消除威胁和攻击的能力

2、是一个持续的过程 涉及Internet的安全,黑客的行为统计,CERT(计算机安全紧急响应中心)统计 近期，黑客活动频率上升势头猛、破坏所造成的经济损失逐渐加大 大多数的公司遭受攻击的情况仍然频繁发生,风险何处来?,很多的站点对外提供黑客工具 教授如何使用黑客工具 扫描网络决定攻击目标 导致网络服务器的崩溃 破坏网络设备和功能 突破验证和加密防护 ()一个建议访问的网址,百分百安全的神话,没有绝对的安全 安全即寻求平衡 使用有效的方案但不能加重合法用户的访问负担,订制一个有效的安全矩阵,安全矩阵 使用所有的安全设备和组件来保护一个公司的网络安全. 有效的安全系统规则 允许访问控制 方便用户使用

3、 适当的经济开销 可扩展性和可升级性 报警和日志分析能力,你将尝试保护什么？,用户终端 被雇员使用的终端计算机 威胁 : 病毒,特洛伊木马, Active X控件,Java Applet 网络资源 路由器,交换机,配线室 威胁: IP欺骗,系统窃听 服务器资源 DNS,WEB, Email, FTP 服务器等 威胁: 未验证侵入, 拒绝服务, 特洛伊木马 信息数据资源 人力资源和电子商务数据库 威胁: 获得商业秘密和竞争者资料数据,谁是安全威胁者?,黑客的分类 偶然的攻击者 坚定的攻击者 商业间谍,安全标准,ISO 7498-2 安全体系 安全服务 认证 访问控制 数据的保密性 数据的完整性

4、不可否认性 安全机制 特殊的安全机制 (一次性口令系统和Kerberos认证等 通用的安全机制,Lesson1 总结,有效的安全矩阵结构 你尝试保护的资源 三种类型的黑客 安全标准,Lesson 2: 安全要素,目标,安全有效的安全策略构成要素 标识用户认证方法 解释访问控制方法的需求 描述 ACL 和 ECL 罗列三种主要的网络加密类型 解释审核的需求,安全基本要素,Corporate Security Policy,User Authentication,安全策略,成功的安全策略的要素 建立有效的安全策略 系统资源分类(level1,level2,level3) 区分不同资源 定义风险指数

5、 定义可接受和不可接受的行为 定义资源安全防护的方法 定义安全教育问题 决定谁管理哪部分策略,加密,加密种类 对称加密、非对称加密和哈希加密 加密是如何实现的? 数据机密性（数字信封） 数据完整性(哈希) 验证(数字签名) 怒棵否认性 (数字签名) 决定加密强度的三大要素: 算法的强壮性 密钥的保密性 密钥的长度 (书2-16) : 密钥破解时间表,认证,认证方法 what you know(密码认证) what you have(智能卡、数字证书) who you are(指纹和视网膜认证) where you are(rlogin,rsh时的源地址),特殊的认证技术,Kerberos(RF

6、C 1519) One-time passwords(RFC 1938),访问控制,访问控制列表(ACL) 访问控制选项(ECL) 练习 书2-27,审核,被动审核非实时性审核 主动审核 结束一个会话 阻止访问某一特殊主机 追踪非法行为,安全的反面因素,增加访问系统和使用系统的复杂性 减缓系统的响应时间,Lesson2 总结,安全策略 加密类型 认证技术 审核技术,Lesson 3: 应用加密,目标,使用公钥技术创建信任关系 对称加密技术、非对称加密技术和哈希加密技术原理 在Windows2000和Linux中部署PGP,创建信任关系,对称、非对称和哈希加密 公钥加密技术模型 分发密钥 手工分

7、发: S/MIMI , PGP 自动分发: SSL, IPSec,对称加密模型,对称加密技术,对称加密算法 DES(数据加密标准) Triple DES RSA 公司的对称算法 RC2 and RC4(最为经常使用的算法) RC5 RC6 Lotus Notes,Oracle,SQL 使用 RC4 IDEA Blowfish(448位密钥) and Twofish Skipjack MARS Rijndael and Serpen,非对称加密模型,非对称加密技术,非对称加密产品 RSA DSA(Digital Signature Algorithm) Diffie-Hellman Key-ex

8、change protocol,哈希加密,定义 将数据转换为不可逆的数据形式 特点 单向 变长输入，定长输出 哈希算法 MD2,MD4 and MD5 (Message Digest N) 创建 单向的消息摘要 Secure hash algorithm: SHA(160位),应用加密过程,对称加密、非对称加密和哈希加密的联合 E-mail 加密 PGP, S/MIME 文件加密 Md5sum Web 服务器加密 Secure HTTP SSL (Secure Sockets Layer),应用加密过程,网络层加密 VPN (虚拟专用网络) : PPTP IPSec AH (验证头) ESP

9、(加密安全负荷) SA (安全联合) IKE (Internet 密钥交换),公钥基础架构(PKI),PKI 是基于X.509 标准的 授权机构(CA) CA 颁发的证书,Use of a Certificate to Encrypt,Use of a Certificate to Decrypt,Lesson 4: 攻击类型,课前练习,书3-22 书3-30 书3-50 书3-61,目标,描述常见的攻击烈性 描述特殊的攻击类型,前门和蛮力攻击,字典攻击 用户自定义化的蛮力攻击 John the Ripper形式的攻击,系统漏洞和后门攻击,一个程序设计中的漏洞将会导致严重的后果 缓冲区溢出 后

10、门是一个非法打开的访问途径 Root kits攻击,社会工程和非直接性攻击,命令索要或请求索要密码 欺骗性的电子邮件 拒绝服务攻击 病毒、系统BUG和服务漏洞,社会工程和非直接性攻击,欺骗 IP 欺骗, ARP 欺骗, DNS中毒 Trojans特洛伊木马 信息泄露 会话劫持和中间人攻击,Lesson 5: 通用安全准则,目标,描述有效实现网络安全通用准则 使用通用安全准则创建一个系统安全策略,10 个通用准则,偏执狂 必须有一个安全策略 没有任何系统或技术是孤立的 最小化遭受攻击后的破坏程度 在公司范围内强制执行策略,10 个通用准则,为员工提供培训 终端用户、网络管理员和行政管理人员 使用

11、综合化的安全策略 安全地放置网络设备 识别安全商业问题 考虑物理安全问题,Lesson 6: 协议层安全,目标,标识不同的协议层的潜在威胁,TCP/IP协议栈和OSI参考模型,Application,Presentation,Session,Transport,Network,Data link,Physical,用户程序,TCP&UDP,IP,ICMP,Physical,Applications,操作系统或IP栈,外围和网络设备,物理层,组织信号在网络上发送（比特流、编码方式） 威胁: 窃听和嗅探 保护: 加密, 数据标签, 波扰器,网络层,提供寻址和路由的功能 IP,ICMP,IGMP,A

12、RP,RARP Internet Protocol (IP) 32-bit ,唯一性 ,分为网络位和主机位 头长(20bytes): 信息和控制区域 威胁: Smurf 拒绝服务攻击 Internet Control Message Protocol (ICMP) 差错检测和信息控制 威胁:TFN泛洪, 保护: 防火墙和系统补丁,传输层,控制主机见的信息传送 TCP, UDP 协议 TCP 标志位: SYN, FIN, ACK（FTP,HTTP.） 建立连接的过程 断立连接的过程 TCP 威胁: SYN 泛洪 UDP :传输协议(用于视频、声频、DNS查询、TFTP等) 端口号(IANA定义)

13、 Web(80),FTP(20,21),DNS(53), . Well-known(reserved) ports : 1024 Registered ports : 1024,应用层,最难保护的层次 Simple Mail Transfer Protocol(SMTP) 威胁: 垃圾邮件 邮件中的病毒和木马程序 用户名的泄露 保护: 邮件病毒过滤网关 使用安全的SMTP协议 对用户进行教育,应用层,File Transfer Protocol(FTP) 威胁: 通过上传添满所有的磁盘空间 拷贝盗窃来的软件 用户名和密码使用明文传输 保护: 仅允许匿名连接 放置FTP数据在一个单独的分区上 H

14、ypertext Transfer Protocol(HTTP) 威胁: 恶意的active X 和Java applet 扩展的应用程序(Java,CGI,ASP),Application Layer(2),Telnet 威胁: 明文传输所有数据 Simple Network Management Protocol (SNMP) 仅使用团体名称进行验证 明文传输所有信息 威胁: 团体名猜测 信息泄露 Domain Name System(DNS) 威胁: 区域文件传输 DNS中毒技术 保护: 防火墙阻止对外的区域传送 规划只允许将区域文件传诵给特定主机,Lesson 7: 保护资源,课前练习

15、,书6-17 书6-19 书6-20,目标,始终应用安全策略 使用C2以上级别的系统 保护 TCP/IP 服务, 包括HTTP 和 TCP 描述测试的重要性并且评估系统和服务,实现安全保护,五个步骤 (书7-3) 区别资源和需求 定义安全策略 保护每一个资源和服务 日志记录、测试和评估 重复这个过程，保护最新的安全,资源和服务,通过各种技术来保护资源和服务 保护数据不被嗅探 适时调整方法和技术 通过更改默认设置来保护服务 移除没必要的服务,保护TCP/IP服务,最通用的Internet服务: HTTP, FTP, SMTP 服务器 Web服务器的安全 在操作系统上为硬盘分区. 把操作系统安全放

16、在第一个分区 把Web服务放在第二个分区 把主目录放在第三个分区 通用网关接口(CGI) : 威胁: 信息泄露 间接执行系统命令 方案: 书写安全的 CGI脚本,保护TCP/IP服务,File Transfer Protocol servers(FTP) (书7-19) 威胁: 填充硬盘 (DoS) 解决方案: 放置FTP主目录在非系统分区 只允许只读访问 访问控制变换文件所有者 Simple Mail Transfer Protocol (SMTP) 威胁: Internet蠕虫和病毒 解决方案: 安全网络级病毒扫描软件 实施认证控制,测试和评估,测试已存在的系统 用黑客的方法测试你的网络

17、参考服务器日志记录 不要变成一个自满者,实现一个安全新系统,实现一个安全新系统 拷贝相同的系统策略 放置系统在不同的子网 模拟正常的网络环境 用黑客常规攻击方式测试这个新系统,检测软件,优点: 方便的, 自动的 劣势 : 不能发现新的漏洞问题 三个主要的测试工具种类: 网络扫描器 操作系统版本识别 记录并分析日志,Lesson 8: 防火墙,目标,定义和描述防火墙 描述防火墙在安全策略中的角色 定义描述通用防火墙专业术语 描述包过滤和他们的特性 描述链路级网关和他们的特性 描述并且配置一个应用级网关,定义并描述一个防火墙,防火墙用于阻止带有潜在恶意的数据电报, 就像一道隔在你和户外之间的门 防

18、火墙控制从外网到内网之间的整个区域,防火墙术语,网关 在两个设备之间提供了中继服务的系统 包过滤器 基于包的结构处理网络数据包的设备 链路级网关 防火墙的功能被两种主机角色分开: 屏蔽路由器 +应用层防火墙 保护两个防火墙之间的连接 优点: 在攻击发生的时候提供一个默认的容错 可以提供NAT功能,防火墙术语,应用层网关 作用于OSI参考模型的每一个层次 代理服务器： 代表内部主机连接外部服务器 网络地址转换(NAT) NAT 转换内部IP为公网IP 可以使内部主机地址对外隐藏 堡垒主机 位于可信网络与非可信网络之间的计算机 通常充当一个代理、防火墙、网关的角色和功能 操作系统加固 安装了防火墙

19、程序后删除所有没有用或不应该使用的存在潜在安全威胁的网络,非军事区(DMZ),DMZ是一个放置在外部网络和内部网络之间的小型网络 通过一个屏蔽路由器和一个阻塞路由器构成 屏蔽路由器= 包过滤路由器 它是实现对外路由的 阻塞路由器 (内部路由器) 定义了一个公网可以访问公司内部网络的一个点，反之亦然,防火墙的默认配置,默认禁止，除非明确允许 默认允许，除非明确禁止,包过滤,一个根据预先订制的规则检查每一个通过的数据包的设备 工作在OSI/RM的网络层 检查内容: 源 IP地址 目标 IP 地址 TCP/UDP 源端口 TCP/UDP 目标端口 协议类型,包过滤规则示例,-Telnet packe

20、t filter,包过滤规则示例,-FTP filter rules,包过滤规则示例,-FTP advanced filter rule,包过滤的优势与不足,优势: 可以在现有的网络设备上实现，绝大多数的路由器支持包过滤功能 不足: 不能够区别好的或坏的数据包 配置要求具备较深的TCP/IP知识 不得不创建大量规则 容易遭受欺骗攻击 流行的包过滤产品: CheckPoint FireWall-1 Cisco PIX firewalls Winroute,代理服务器,三个基本的组成 : Web 代理 链路级 网关 应用层 网关,Web 代理,优点: 加速Internet访问 客户端将不再直接连接

21、到Internet,链路级网关,工作在OSI参考模型的网络层 在Internet和Intranet间提供了一个完全的屏蔽 产品 : SOCKS gateways(IBM) 优势: 具备类似NAT的功能 缺点: 当应用程序发生了变化，网关也要同时放生相应的变化,应用层网关,在OSI参考模型的应用层监视数据包 推荐代理导向防火墙 Axent Raptor Firewall Microsoft Proxy Server 优势: 具备NAT的功能 日志记录和报警 能够高速缓存数据 可以进行应用层协议内容分析 可以是正向代理和反向代理 叫少的配置规则,应用层网关,代理导向的防火墙的缺点: 不得不为每一个

22、应用层协议创建分别一个安全规则 客户端需要配置 新的应用不能及时提供代理软件 不能检测病毒 速度较慢,先进的功能,大多数的防火墙系统可以合并包过滤、链路级网关和应用层代理三大功能 额外的功能: 通过防火墙令牌实现认证 日志记录并报警,Lesson 9: 防火墙保护的等级,目标,规划一个具备各级保护的防火墙系统 描述四个防火墙设计结构的安全保护程度 建立一个包过滤防火墙,建立防火墙,当你建立你的堡垒主机的时候要格外小心！因为它将直接连接公网 设计原则: 保持设计的简单性 采用最少的组件构成 创建应急计划 当防火墙当掉了你应该做什么？,堡垒主机的类型,单屏蔽堡垒主机 一个只具备一个网络适配器的代理

23、 有可能被绕过 双屏蔽堡垒主机 至少具备两个网络借口 可以创建完整的阻塞 单目的堡垒主机 可以是一台湖哦多台堡垒主机 允许你实现更安全的安全机制,硬件问题,在大多数情况下, 普通的硬件对于一个防火墙已经足够了 选择一个你最为熟悉的防火墙软件 移除任何你不需要的应用程序、服务（守护进程）,通用防火墙设计问题,首先，你应该在物理上保护你的防火墙 选择四个基本的防火墙设计: 屏蔽路由器 单屏蔽主机 双屏蔽主机 屏蔽子网,通用防火墙设计问题,屏蔽路由器 防卫的第一线 可以用能够实现包过滤的路由器担当 缺点: 需要高度的 TCP/IP 知识 一旦路由器被攻击，黑客将可以直接访问内部网络 不能隐藏网络信息

24、 没有很好的监视和日志功能,通用防火墙设计问题,单屏蔽主机防火墙 屏蔽路由器 + 单宿主堡垒主机 优势: 增加更多的保护 缺点: 增加了管理成本并降低了系统性能 影响内部用户,通用防火墙设计问题,双屏蔽主机防火墙 有两块网络适配器的堡垒主机 优势: 实现了一个完全的物理阻隔,通用防火墙设计问题,屏蔽子网(DMZ) 最为常用和最为安全的防火墙结构 优势: 黑客必须至少攻下3个安全网络设备 内部网络对外是完全不可见的 内部用户不能够绕过防火墙,Lesson 10: 检测和迷惑黑客,目标,订制策略去应对黑客的攻击行为 实现提前的准备工作 迷惑黑客并且牵制黑客的行为 随时检测网络的安全状态 在Linux上部署Tripwire,提前检测,自动安全检测软件 登陆脚本 自动审核分析 完整性检测,迷惑黑客,假帐号 假文件 假密码文件 Tripwires和自动完整性检测,Lesson 11: 紧急响应,目标,适当地响应安全入侵事件 联系一些著名的安全组织，以便在受到入侵的时候能够迅速得到帮助和技术支持 多访问一些安全紧急响应中心的站点,事件响应,提前决策响应办法 不要自满 记录每一样事物 评估遭受入侵的情形 确定被入侵的范围 执行响应计划 通知受影响的单位个人 统治服务提供者 统治Internet代理商 集体执行安全计划 分析并借鉴经验教训,