《趋势公司的--网络安全技术基础.ppt》由会员分享,可在线阅读,更多相关《趋势公司的--网络安全技术基础.ppt(197页珍藏版)》请在三一文库上搜索。
1、网络安全技术基础 Network Security Technology Essentials Training Course,网络安全技术基础,Network Security Technology Essentials Training Course,课 程 简 介,课 程 综 述,课 程 综 述,课 程 内 容,本课程以分析计算机网络面临的安全威胁为起点,阐述了常用的网络安全技术,介绍了主流网络安全产品和常用网络安全策略,并着重强调内容安全(防病毒)在网络安全中的重要地位。,分析计算机网络面临的安全威胁 阐述常用的计算机网络安全技术 介绍主要的网络安全产品类型 推荐企业网络安全策略,课
2、程 综 述,课程目标,本课程的目标是提高学员的网络安全意识,使学员熟悉基本的网络安全理论知识和常用网络安全产品,了解部署整个网络安全的防护系统和策略的方法。在此基础上,让学员充分了解病毒防范的重要性和艰巨性,了解“内部人员的不当使用”和“病毒”是整个网络系统中最难对付的两类安全问题。,全面了解基本的网络弱点 了解安全技术原理 了解各类安全技术的产品及其实现方式 了解内容安全(防病毒)的难度及在网络安全中日益重要的地位,授 课 对 象,授 课 对 象,授课对象,本课程面向下列人员:,企业领导 IT 部门工作人员 销售人员 工程师 其他对网络安全基础知识有兴趣的人士,网络安全概述,第一章,网 络
3、安 全 概 述,本 章 概 要,本章介绍网络安全的定义、安全网络的基本特征以及计算机网络面临的威胁。本章内容包含以下几部分:,网络安全背景 计算机网络面临的威胁 网络安全的定义 安全网络的基本特征,网 络 安 全 概 述,课 程 目 标,通过本章的学习,学员应能够了解:,网络安全的定义及其涵盖的范围 计算机网络面临的威胁主要来自哪些方面 安全的计算机网络的基本特征,在我们的生活中,经常可以听到下面的报道:,XX网站受到黑客攻击 XX计算机系统受到攻击,造成客户数据丢失 目前又出现XX计算机病毒,已扩散到各大洲 ,网络安全的背景,计算机网络在带给我们便利的同时已经体现出了它的脆弱性,网络安全的背
4、景,经常有网站遭受黑客攻击,网络安全的背景,用户数据的泄漏,网络安全的背景,调查显示:网络攻击数量与日俱增,网络安全的背景,网络病毒在全球范围内高速扩散,2001年7月19日 01:05:00,2001年7月19日 20:15:00,网络病毒在全球范围内高速扩散,Sat Jan 25 05:29:00 2003Sat Jan 25 06:00:00 2003,网络安全的背景,黑客攻击技术与网络病毒日趋融合,网络安全的背景,攻击者需要的技能日趋下降,攻击工具复杂性,攻击者所需技能,网络安全面临的威胁,互联网在推动社会发展的同时,也面临着日益严重的安全问题:,信息系统存在诸多弱点 企业外部的网络攻
5、击 企业内部发起的网络破坏 计算机病毒的破坏 ,计算机网络的最大威胁是来自企业内部员工的恶意攻击和计算机病毒的威胁。,网络安全面临的威胁,物理风险,系统风险,信息风险,应用风险,其它风险,网络的风险,管理风险,设备防盗,防毁 链路老化人为破坏 网络设备自身故障 停电导致无法工作 机房电磁辐射 其他,信息存储安全 信息传输安全 信息访问安全 其他,身份鉴别 访问授权 机密性 完整性 不可否认性 可用性,计算机病毒 外部攻击 内部破坏 其他风险 软件弱点,是否存在管理方面的风险需 有无制定相应的安全制度,安全拓扑 安全路由,网络面临多种风险,Internet,磁盘意外损坏,光盘意外损坏,磁带被意外
6、盗走,导致数据丢失 导致数据无法访问,信息系统的弱点,信息存储的弱点,信息系统的弱点,信息传输的弱点,总部,下属机构,黑客,信息泄密 信息被篡改,Internet,非法用户,非法登录,合法用户,越权访问,信息系统的弱点,计算机网络,信息被非法访问,信息被越权访问 信息被非授权访问,各种网络攻击,企业外部的网络攻击,1993年3月1日,由于骇客入侵,纽约市区供电中断8个小时,造成巨大经济损失。 1998年6月,国内某著名银行一用户通过网络使用非法手段盗支36万元人民币。 1999年8月,一少年侵入德里医院篡改血库信息,致使12名病人因错误输血而死亡。 据美国金融时报报道,现在平均每20秒就发生一
7、次入侵计算机网络的事件;超过1/3的互联网被攻破。 ,各种网络攻击,企业内部的网络破坏,统计显示:来自企业内部的网络破坏更加危险; 员工的不正常使用也是企业内网的一个重要不安全因素。,尽管企业外部的攻击可以对企业网络造成巨大威胁,企业内部员工的不正确使用和恶意破坏是一种更加危险的因素。,摘自ICSA/FBI,2001,计算机病毒的破坏,1998年,CIH病毒影响到2000万台计算机; 1999年,梅利莎造成8000万美元损失; 2000年,爱虫病毒影响到1200万台计算机,损失高达几十亿美元; 2001年,红色代码病毒,目前造成的损失已超过十二亿美元。 ,现在计算机病毒已达5万多种,并呈几何级
8、数增长,网络安全问题的严重性,网络安全隐患到处存在,据美国金融时报报道,现在平均每20秒就发生一次入侵计算机网络的事件;超过1/3的互联网被攻破。 被认为保护措施最严密的美国白宫被多次闯入。 中国国内80的网络存在安全隐患,20的网站有严重安全问题。 ,网络安全问题的严重性,网络安全问题造成的巨大损失,据统计,在全球范围内,由于信息系统的脆弱性而导致的经济损失,每年达数亿美元,并且呈逐年上升的趋势。 美国FBI统计数据:美国每年因为网络安全问题而造成的经济损失高达75亿美圆。 ,网络安全的定义,广义的网络安全定义:凡是涉及到网络上信息的安全性,完整性,可用性,真实性和可控性的相关理论和技术都是
9、网络信息安全所要研究的领域。 狭义的网络安全定义:指信息内容的安全性,即保护信息的秘密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗、盗用等有损合法用户利益的行为,保护合法用户的利益和隐私。 本课程涉及的网络安全是指狭义的网络安全。,网络安全从其本质上来讲就是网络上的信息安全,它涉及的范围相当广。,安全网络的特征,安全的网络具有下列四个特征:,保密性 完整性 可用性 可控性,如何构建一个安全的网络?,构建计划周密、安全可行的安防体系,完整的安防体系应该由人、制度和技术三方面组成; 本课程的第二章到第四章讨论了网络安全技术的相关问题; 本课程第五章着重讨论了安防体系中人和制
10、度的因素,并提出了规划企业安防体系的一般方法。,计算机网络面临的安全威胁,第二章,本章概要,计算机网络面临的安全威胁,本章分析了威胁计算机网络安全的各种因素,具体如下:,网络安全漏洞 网络攻击概述 网络攻击手段 计算机病毒的危害,网络安全漏洞,系统存在安全方面的脆弱性 非法用户得以获得访问权 合法用户未经授权提高访问权限 系统易受来自各方面的攻击,网络安全漏洞的概念,网络协议的安全漏洞 操作系统的安全漏洞 应用程序的安全漏洞,安全漏洞的分类,网络安全漏洞,系统和软件的设计存在缺陷,通信协议不完备;如TCP/IP协议就有很多漏洞。 技术实现不充分;如很多缓存溢出方面的漏洞就是在实现时缺少必要的检
11、查。 配置管理和使用不当也能产生安全漏洞; 如口令过于简单,很容易被黑客猜中。,安全漏洞产生的原因,网络安全漏洞,常见的Internet 服务中都存在安全漏洞:,网络安全漏洞,常见的Internet 服务中都存在安全漏洞:,网络攻击 病毒破坏,网络攻击概述,网络攻击的概念,利用安全漏洞 使用攻击软件或命令 使用网络命令 使用专用网络软件 自己编写攻击软件 攻击具体内容 非法获取、修改或删除用户系统信息 在用户系统上增加垃圾、色情或有害的信息 破坏用户的系统,网络攻击概述,常见的网络攻击者,骇客(Hacker) 黑客(Cracker) 幼稚黑客(Script Kiddie) 内奸 工业间谍 病毒
12、制造者 ,网络攻击概述,网络攻击的工具,分布式工具(Distributed Tool) 攻击程序(Intrusion Program) 自治代理(Autonomous Agents ) 工具集(Tool Sets) 用户命令(User Command ),网络攻击概述,一个网络攻击的组成,网络攻击,攻击者,工具,访问,结果,目标,骇客 黑客 幼稚黑客 内奸 工业间谍,分布式工具 程序 自治代理 工具集 用户命令,信息破坏 信息暴露 服务偷窃 服务拒绝,破坏,配置的脆弱点 实现的漏洞,黑客,用户命令,配置的脆弱点,信息破坏,破坏,网络攻击的类型,拒绝服务:使遭受的资源目标不能继续正常提供服务 侵
13、入攻击:攻击者窃取到系统的访问权并盗用资源 信息盗窃:攻击者从目标系统中偷走数据。 信息篡改:攻击者篡改信息内容。,网络攻击主要可以分为以下几种类型:,网络攻击的类型,拒绝服务(Denial of Service),网络攻击的类型,信息盗窃(Eavesdropping),网络攻击的类型,侵入攻击(Intrusion),网络攻击的类型,信息篡改(Loss of Integrity),常见的网络攻击手段,主要网络攻击手段,E-Mail炸弹 (E-Mail Bombing) 逻辑炸弹 (Logic Bombing) DDos攻击 (Distributed Denial of Service ) 特洛
14、伊木马 (Trojan Horse Program) 口令入侵 (Password Intrusion) 网络窃听 (Eavesdropping) IP地址欺骗 (IP Spoofing) 病毒攻击 (Viruses),计算机病毒的危害,计算机病毒的概念 计算机病毒的特征 计算机病毒的种类 网络病毒 网络病毒的特点及危害性 常见的网络病毒 病毒网络攻击的有效载体,本部分主要讨论以下几内容:,计算机病毒的概念,计算机病毒是指一段具有自我复制和传播功能的计算机代码,这段代码通常能影响计算机的正常运行,甚至破坏计算机功能和毁坏数据。,计算机病毒的特征,病毒是一段可执行的程序,病毒具有广泛的传染性,病
15、毒具有很强的隐蔽性,病毒具有潜伏性,病毒具有可触发性,病毒具有破坏性,计算机病毒的种类,启动型病毒,文件型病毒,宏病毒,Script病毒,JAVA病毒,Shockwave病毒,网络病毒的概念,利用网络协议及网络的体系结构作为传播的途径或传播机制,并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。,网络病毒的特点及危害,破坏性强,传播性强,针对性强,扩散面广,传染方式多,消除难度大,常见的网络病毒,蠕虫病毒,多态病毒,伙伴病毒,梅利莎病毒,BO病毒,隐藏病毒,JAVA病毒,病毒网络攻击的有效载体,网络的新威胁病毒+网络攻击,网络安全技术基础,第三章,网络安全技术基础,本 章 概 要,本章首先
16、介绍了计算机网络的基本知识,然后分别就各种网络安全技术进行了阐述。本章涉及的网络安全技术有:,数据加密技术 (Encryption) 身份认证技术(Authentication) 包过滤技术(Packet Filtering) 资源授权使用(Authorization) 内容安全(防病毒)技术,网络安全技术基础,课 程 目 标,通过本章的学习,学员应能够了解:,计算机网络的基本知识和常用网络协议 常用的网络安全技术及其适用范围 内容安全(防病毒)技术在网络安全领域的重要地位,计算机网络基础知识,计算机网络的分层结构 复杂的计算机网络 计算机网络的七层模型(OSI) TCP/IP网络的层次结构,
17、常用的网络协议和网络技术 TCP/IP协议族 局域网技术和广域网技术,常见的Internet服务,复杂的计算机网络,计算机网络分层结构,OSI七层模型,计算机网络分层结构,OSI七层模型,计算机网络分层结构,计算机网络分层结构,TCP/IP网络层次结构,计算机网络分层结构,TCP/IP网络层次结构,常用的网络协议和网络技术,TCP/IP协议族(网络互联层和传输层),IP协议:Internet Protocol TCP协议:Transmission Control Protocol UDP协议:User Datagram Protocol ICMP协议:Internet Control Mess
18、age Protocol ARP协议:Address Resolution Protocl RARP协议:Reversed Address Resolution Protocol,常用的网络协议和网络技术,TCP/IP协议族(应用层),HTTP:HyperText Transmission Protocol FTP:File Transmission Protocol SMTP:Simple Mail Transmission Protocol DNS:Domain name Service SNMP:Simple Network Management Protocol Telnet POP3
19、,常用的网络协议和网络技术,TCP/IP协议支持的链路层协议,Ethernet Token Ring FDDI HLDC PPP X.25 Frame Relay,TCP/IP协议几乎能支持所有的链路层协议,包括局域网协议和广域网协议,常用的网络协议和网络技术,局域网(LAN)技术,常用的网络协议和网络技术,局域网(LAN)常见设备,常用的网络协议和网络技术,广域网(WAN)技术,租用专线( Leased Line ),帧中继技术(Frame Relay),电话拨号接入技术(Dial Up),ISDN拨号接入技术(ISDN),虚拟专用网技术(VPN),常用的网络协议和网络技术,广域网(WAN)
20、常见设备,常见的Internet服务,电子邮件,WWW 服务,Telnet,文件传输,网络管理,拨号网络,数据加密技术,数据加密的概念 数据加密技术原理 数据传输的加密 常用加密协议,本部分涉及以下内容:,数据加密的概念,数据加密模型,密文,加密密钥,信息窃取者,解密密钥,加密算法,解密算法,数据加密的概念,数据加密技术的概念,数据加密(Encryption)是指将明文信息(Plaintext)采取数学方法进行函数转换成密文(Ciphertext),只有特定接受方才能将其解密(Decryption)还原成明文的过程。,明文(Plaintext) : 加密前的原始信息; 密文(Ciphertex
21、t) :明文被加密后的信息; 密钥(Key): 控制加密算法和解密算法得以实现的关键信息,分为加密密钥和解密密钥; 加密(Encryption):将明文通过数学算法转换成密文的过程; 解密(Decryption):将密文还原成明文的过程。,数据加密的概念,数据加密技术的应用,数据保密; 身份验证; 保持数据完整性; 确认事件的发生。,数据加密技术原理,对称密钥加密(保密密钥法) 非对称密钥加密(公开密钥法) 混合加密算法 哈希(Hash)算法 数字签名 数字证书 公共密钥体系,数据加密技术原理,数据加密技术原理,对称密钥加密(保密密钥法),加密算法,解密算法,密钥,网络信道,明文,明文,密文,
22、两者相等,数据加密技术原理,非对称密钥加密(公开密钥加密),加密算法,解密算法,公开密钥,网络信道,明文,明文,密文,私有密钥,公钥,私钥,公钥,私钥,不可相互推导,不相等,数据加密技术原理,混合加密系统,对称密钥加密算法,对称密钥解密算法,对称密钥,网络信道,明文,明文,密文,混合加密系统既能够安全地交换对称密钥,又能够克服非对称加密算法效率低的缺陷!,非对称密钥加密算法,非对称密钥解密算法,对称密钥,公开密钥,私有密钥,混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合,数据加密技术原理,哈希(Hash)算法,信息,哈希算法(hash algorithm),也叫信息标记算法(mess
23、age-digest algorithm),可以提供数据完整性方面的判断依据。,哈希算法,结果相同,则数据未被篡改,比较,结果不同,则数据已被篡改,信息标记 (digest),常用的哈希算法: MD5 SHA-1,哈希算法,数据加密技术原理,数字签名,数字签名(digital signature)技术通过某种加密算法,在一条地址消息的尾部添加一个字符串,而收信人可以根据这个字符串验明发信人的身份,并可进行数据完整性检查。,数据加密技术原理,数字签名的工作原理,非对称加密算法,非对称解密算法,Alice的私有密钥,网络信道,合同,Alice的公开密钥,哈希算法,标记,标记-2,合同,哈希算法,比
24、较,标记-1,如果两标记相同,则符合上述确认要求。,Alice,Bob,数据加密技术原理,数字签名的作用,唯一地确定签名人的身份; 对签名后信件的内容 是否又发生变化进行验证; 发信人无法对信件的内容进行抵赖。,当我们对签名人同公开密钥的对应关系产生疑问时,我们需要第三方颁证机构(CA: Certificate Authorities)的帮助。,数据加密技术原理,数字证书,数字证书相当于电子化的身份证明,应有值得信赖的颁证机构(CA机构)的数字签名,可以用来强力验证某个用户或某个系统的身份及其公开密钥。 数字证书既可以向一家公共的办证机构申请,也可以向运转在企业内部的证书服务器申请。这些机构提
25、供证书的签发和失效证明服务。,数据加密技术原理,数字证书标准:X.509,X.509是由国际电信联盟(ITU-T)制定的数字证书标准。在X.500确保用户名称惟一性的基础上,X.509为X.500用户名称提供了通信实体的鉴别机制,并规定了实体鉴别过程中广泛适用的证书语法和数据接口。 X.509的最初版本公布于1988年。X.509证书由用户公共密钥和用户标识符组成。此外还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等信息。 X.509标准的最新版本是X.509 v3,它定义了包含扩展信息的数字证书。该版数字证书提供了一个扩展信息字段,用来提供更多的灵活性及特殊应用环
26、境下所需的信息传送。,数据加密技术原理,数字证书中的常见内容,发信人的公开密钥; 发信人的姓名; 证书颁发者的名称; 证书的序列号; 证书颁发者的数字签名; 证书的有效期限。,数据加密技术原理,申请数字证书,并利用它发送电子邮件,数据传输的加密,链路加密方式,数据传输的加密,链路加密方式,用于保护通信节点间传输的数据,通常用硬件 在物理层或数据链路层实现。,优点 由于每条通信链路上的加密是独立进行的,因此当某条链路受到破坏不会导致其它链路上传输的信息的安全性。 报文中的协议控制信息和地址都被加密,能够有效防止各种流量分析。 不会减少网络有效带宽。 只有相邻节点使用同一密钥,因此,密钥容易管理。
27、 加密对于用户是透明的,用户不需要了解加密、解密过程。,数据传输的加密,链路加密方式,缺点 在传输的中间节点,报文是以明文的方式出现,容易受到非法访问的威胁。 每条链路都需要加密/解密设备和密钥,加密成本较高。,数据传输的加密,端对端加密方式,数据传输的加密,端对端加密方式,在源节点和目标节点对传输的报文进行加密和解密,一般在应用层或表示层完成。,优点 在高层实现加密,具有一定的灵活性。用户可以根据需要选择不同的加密算法。,缺点 报文的控制信息和地址不加密,容易受到流量分析的攻击。 需要在全网范围内对密钥进行管理和分配。,常用加密协议,SSL协议:,安全套接层协议(Secure Socket
28、Layer)。 SSL是建立安全通道的协议,位于传输层和应用层之间,理论上可以为任何数量的应用层网络通信协议提供通信安全。 SSL协议提供的功能有安全(加密)通信、服务器(或客户)身份鉴别、信息完整性检查等。 SSL协议最初由Netscape公司开发成功,是在Web客户和Web服务器之间建立安全通道的事实标准。 SSL协议大量使用于网站的安全连接。,常用加密协议,SSL协议:,安全套接层协议所在层次,常用加密协议,SSL协议:,建立SSL协议的六个步骤,常用加密协议,SSL协议:,建立SSL协议的六个步骤,常用加密协议,TLS协议:,传输层安全协议(Transport Layer Securi
29、ty)。 TLS协议由IETF(Internet Engineering Task Force)组织开发。 TLS协议是对SSL 3.0 协议的进一步发展。 同SSL协议相比,TLS协议是一个开放的、以有关标准为基础的解决方案,使用了非专利的加密算法。,常用加密协议,IP-Sec协议(VPN 加密标准):,与SSL协议不同,IP-Sec协议试图通过对IP数据包进行加密,从根本上解决因特网的安全问题。 IP-Sec是目前远程访问VPN网的基础,可以在Internet上创建出安全通道来。,常用加密协议,IP-Sec协议:,IP-Sec协议有两种模式: 透明模式:把IP-Sec协议施加到IP数据包上
30、,但保留数据包原来的数据头; 信道模式:把数据包的一切内容都加密(包括数据头),然后再加上一个新的数据头。,常用加密协议,其它加密协议与标准:,SSH:Secure Shell,在UNIX操作系统中用于远程控制Web服务器和其他服务器。 DNSSEC:Domain Name Server Security,主要用于分布式域名服务。 GSSAPI: Generic Security Services API,为各种密码学提供身份鉴别、密钥交换、数据加密的平台。 PGP协议:Pretty Good Protocol,适合于加密文件和加密电子邮件。,身份鉴别技术,Is that Alice?,Hi,
31、 this is Alice. Please send me data.,Internet,身份鉴别技术的提出,在开放的网络环境中,服务提供者需要通过身份鉴别技术判断提出服务申请的网络实体是否拥有其所声称的身份。,身份鉴别技术,常用的身份鉴别技术,基于用户名和密码的身份鉴别 基于对称密钥密码体制的身份鉴别技术 基于KDC(密钥分配中心)的身份鉴别技术 基于非对称密钥密码体制的身份鉴别技术 基于证书的身份鉴别技术,身份鉴别技术,Yes. I have a user named “Alice” whose password is “byebye”. I can send him data.,Hi,
32、 this is Alice. My User Id is “Alice”, my password is “byebye”. Please send me data.,Internet,基于用户名和密码的身份鉴别,身份鉴别技术,This is Bob. Are you Alice?,Hi, this is Alice. Are you Bob ?,Internet,基于对称密钥体制的身份鉴别,A,在这种技术中,鉴别双方共享一个对称密钥KAB,该对称密钥在鉴别之前已经协商好(不通过网络)。,RB,KAB(RB),RA,KAB(RA),Alice,Bob,身份鉴别技术,This is Bob.
33、Are you Alice?,Hi, this is Alice. Are you Bob ?,Internet,基于KDC的身份鉴别技术,A, KA(B,KS),基于KDC(Key Distribution Center,密钥分配中心)的身份鉴别技术克服了基于对称密钥的身份鉴别技术中的密钥管理的困难。在这种技术中,参与鉴别的实体只与KDC共享一个对称密钥,鉴别通过KDC来完成。,KB(A,KS),Alice,Bob,KDC,身份鉴别技术,基于非对称密钥体制的身份鉴别,在这种技术中,双方均用对方的公开密钥进行加密和传输。,This is Bob. Are you Alice?,Hi, this
34、 is Alice. Are you Bob ?,Internet,EPKB(A,RA),EPKA(RA,RB,KS),KS(RB),Alice,Bob,身份鉴别技术,基于证书的身份鉴别技术,为解决非对称密钥身份鉴别技术中存在的“公开密钥真实性”的问题,可采用证书对实体的公开密钥的真实性进行保证。,This is Bob. Are you Alice?,Hi, this is Alice. Are you Bob ?,Internet,PKB(A,KS), CA,PKA(B,KS),Alice,Bob,资源使用授权,资源使用授权的概念,当用户登陆到系统时,其任何动作都要受到约束 在使用者和各类
35、系统资源间建立详细的授权映射,确保用户只能使用其授权范围内的资源。 通过访问控制列表(ACL: Access Control List)来实现资源使用授权。 系统中的每一个对象与一个ACL关联。ACL中包含一个或多个访问控制入口(Access Control Entry, ACE)。,资源使用授权,资源使用授权实例分析,包过滤技术,包过滤技术的基本概念,包过滤技术指在网络中适当的位置(作用在网络层和传输层)对数据包有选择的通过; 选择的依据是系统内设置的过滤规则(分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过); 只有满足过滤规则的数据包才被转发到相应的网络接口; 其余
36、数据包则被从数据流中删除。 包过滤一般由屏蔽路由器来完成。 包过滤技术是防火墙最常用的技术。,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,分组过滤判断信息,数据包,包过滤技术,包过滤技术的基本原理,数据包,包过滤技术,包过滤技术的特点,较高的网络性能。 成本较低。,不足:,优点:,包过滤技术是安防强度最弱的防火墙技术。 虽然有一些维护工具,但维护起来十分困难。 IP包的源地址、目的地址、TCP端口号是唯一可以用于判断是否允许包通过的信息。 不能阻止IP地址欺骗,不能防止DNS欺骗。,内容安全(防病毒)技术,病毒检测方法,比较法 搜索法 特征字的识别法 分析法,
37、病毒清除方法,文件型病毒的清除 引导型病毒的清除 内存杀毒 未知病毒的检测 压缩文件病毒的检测和清除,计算机病毒的检测,病毒检测方法:,病毒检测方法,计算机病毒的检测,比较法,比较法是通过用原始备份与被检测的引导扇区或文件进行比较,来判断系统是否感染病毒的方法。 文件长度的变化和文件中程序代码的变化都可以用来作为比较法判断有无病毒的依据。,比较法的优点: 简单、方便,不需专用软件,并且还能发现尚不 能被现有的查病毒程序发现的计算机病毒。,比较法的缺点: 无法确认病毒的种类。当发现差异时,无法判断产生差异的原因是由于病毒的感染,还是由于突然停电、程序失控、恶意程序破坏等原因造成的。,计算机病毒的
38、检测,搜索法,搜索法的主要缺点:,当被扫描的文件很长时,扫描所花的时间也多。 当新的病毒特征串未加入病毒代码库时,老版本的扫描程序无法识别新病毒。 当病毒产生新的变种时,病毒特征串被改变, 因此可以躲过扫描程序。 容易产生误报警。,搜索法是用每一种病毒体含有的特征字节串对被检测的对象进行扫描,如果发现特征字节串,就表明发现了该特征串所代表的病毒。 被广泛应用。,计算机病毒的检测,特征字的识别法,同搜索法不同,特征字识别法只需从病毒体内抽取很少几个关键的特征字,组成特征字库,可进行病毒的查杀。 由于需要处理的字节很少,又不必进行串匹配,特征字识别法的识别速度大大高于搜索法。 特征字识别法比搜索法
39、更加注意“程序活性”,减少了错报的可能性。,计算机病毒的检测,分析法,分析法是反病毒专家使用的方法,不适合普通用户。 反病毒专家采用分析法对染毒文件和病毒代码进行分析,得出分析结果后形成反病毒产品。 分析法可分为动态和静态两种。 一般必须采用动静结合的方法才能完成整个分析过程。,计算机病毒的清除,病毒清除方法:,病毒清除方法,计算机病毒的清除,文件型病毒的清除,清除文件型病毒,可以有如下一些方案:,如果染毒文件有未染毒的备份的话,用备份文件覆盖染毒文件即可。 如果可执行文件有免疫疫苗的话,遇到病毒后,程序可以自动复原。 如果文件没有任何防护的话,可以通过杀毒程序进行杀毒和文件的恢复。但杀毒程序
40、不能保证文件的完全复原。,计算机病毒的清除,引导型病毒的清除,清除引导型病毒,可以有以下一些方案:,对于硬盘,可以在其未感染病毒时进行硬盘启动区和分区表的备份。当感染引导型病毒后,可以将备份的数据写回启动区和分区表即可清除引导型病毒。 可以用杀毒软件来清除引导型病毒。,计算机病毒的清除,内存杀毒,由于内存中的活病毒体会干扰反病毒软件的检测结果,所以几乎所有的反病毒软件设计者都要考虑到内存杀毒。 内存杀毒技术首先找到病毒在内存中的位置,重构其中部分代码,使其传播功能失效。,计算机病毒的清除,压缩文件病毒的检测和清除,压缩程序在压缩文件的同时也改变了依附在文件上的病毒代码,使得一般的反病毒软件无法
41、检查到病毒的存在。 已被压缩的文件被解压缩并执行时,病毒代码也被恢复并激活,将到处传播和破坏。 目前的主流防病毒软件都已经在其产品中包含了特定的解压缩模块,可以既检查被压缩后的病毒,又不破坏被压缩后没有病毒的文件。,主要网络安全产品,第四章,主要网络安全产品,本 章 概 要,本章针对目前主流的几类网络安全产品进行介绍,涉及的网络安全产品有以下几种:,防火墙产品 入侵监测产品 VPN网关 防病毒产品 漏洞评估,防火墙的基本概念,防火墙是一种高级访问控制设备,是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络
42、的访问行为。,防火墙的主要技术,应用层代理技术 (Application Proxy) 包过滤技术 (Packet Filtering) 状态包过滤技术 (Stateful Packet Filtering),防火墙的主要技术种类,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,分组过滤判断信息,数据包,防火墙的主要技术,包过滤技术的基本原理,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,防火墙的主要技术,状态检测包过滤技术的基本原理,数据包,分组过滤判断信息,状态检测,控制策略,数据包,数据包,查找对应的控制策略,
43、拆开数据包,根据策略决定如何处理该数据包,数据包,防火墙的主要技术,应用层代理技术的基本原理,数据包,分组过滤判断信息,应用代理判断信息,控制策略,防火墙的用途,防火墙的用途,控制对网点的访问和封锁网点信息的泄露 能限制被保护子网的泄露 具有审计作用 能强制安全策略,防火墙不能防备病毒 防火墙对不通过它的连接无能为力 防火墙不能防备内部人员的攻击 限制有用的网络服务 防火墙不能防备新的网络安全问题,防火墙的弱点,防火墙的弱点,防火墙的构筑原则,构筑防火墙要从以下几方面考虑:,体系结构的设计 安全策略的制定 安全策略的实施,防火墙的产品(国外),防火墙的产品(国内),入侵监测系统,入侵监测系统的
44、概念 入侵监测的主要技术 入侵监测系统的主要类型 入侵监测系统的优点和不足 含入侵监测系统的网络体系结构 入侵监测系统的发展,本节将分以下几部分介绍入侵监测系统:,入侵监测系统的概念,防火墙不能彻底消除网络入侵的威胁; 入侵监测系统(IDS:Intrusion detection system)用于监控网络和计算机系统被入侵或滥用的征兆; IDS系统以后台进程的形式运行,发现可疑情况,立即通知有关人员; IDS是监控和识别攻击的标准解决方案,是安防体系的重要组成部分; 假如说防火墙是一幢大楼的门锁,那入侵监测系统就是这幢大楼里的监视系统。,基本概念,入侵监测系统的概念,能够发现异于正常行为的操
45、作 不需要人工干预即可不间断运行 对网络入侵行为进行实时报警和主动响应 不需要占用大量的系统资源 能方便地进行升级,入侵监测系统应有的功能,入侵监测的主要技术,主要技术,签名分析法 Signature Analysis 统计分析法 Statistics Analysis 数据完整性分析法 Data Integration Analysis,入侵监测系统的主要类型,应用软件入侵监测系统 Application Intrusion Detection 主机入侵监测系统 Host Intrusion Detection 网络入侵监测系统 Network Intrusion Detection 集成入
46、侵监测系统 Integrated Intrusion Detection,IDS的主要类型,含入侵监测系统的网络体系结构,含IDS的网络体系结构,入侵监测系统的优点和不足,能完善现有的安防体系; 能帮助用户更好地掌握系统情况; 能追踪攻击线路,以便抓住攻击者。,入侵监测系统的优点,入侵监测系统能够增强网络的安全性,它,入侵监测系统的优点和不足,传统的入侵监测系统不能在没有用户参与的情况下对攻击行为展开调查。 传统的入侵监测系统不能在没有用户参与的情况下阻止攻击行为的发生。 不能克服网络协议方面的缺陷 不能克服设计原理方面的缺陷。 响应不够及时,签名数据库难以及时更新。,入侵监测系统的不足,入侵
47、监测系统不是万能的,也存在许多不足:,入侵监测系统的发展,能对入侵做出主动的反映; 不再完全依赖于签名数据库,易于管理; 追求的目标是在攻击对系统造成真正的危害之前将它们化解掉; 随时都可以对攻击展开的跟踪调查; 极大的改善了IDS系统的易用性,减轻了主机安防在系统管理方面的压力。,抗入侵技术入侵监测的发展方向,入侵监测系统的发展方向是抗入侵技术(Intrusion Resistant)。该技术能在系统遇到攻击时设法把它化解掉,让网络和系统还能正常运转。抗入侵技术具有如下优势:,入侵监测产品,常见的入侵监测产品,Cisco System: NetRanger Network Associate
48、: Cyber Cop Internet Security System: Real Secure Intrusion Detection: Kane Security Monitor Axent Technologies: OmniGuard/Intruder Alert 中科网威:天眼 启明星辰:SkyBell(天阗),VPN网关,VPN的基本概念 VPN的功能 VPN的分类及用途 VPN常用协议 基于IPSec协议的VPN体系结构,本节将分以下几部分介绍VPN网关:,VPN的基本概念,虚拟专用网VPN(Virtual Private Network)技术是指在公共网络中建立专用网络,数据
49、通过安全的“加密管道”在公共网络中传播。,VPN的基本概念,VPN必须具备如下功能:,VPN的功能,保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址冒认(IP Spoofing)的能力。 保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。 保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。 提供动态密钥交换功能,提供密钥中心管理服务器,必须具备防止数据重演(Replay)的功能,保证通道不能被重演。 提供安全防护措施和访问控制,要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制(Access Control),内 部 网VPN用VPN连接公司总部和其分支机构. 远程访问VPN用VPN连接公司总部和远程用户. 外 联 网VPN用VPN连接