收藏
下载资源 加入VIP免费专享

第11章网络安全.ppt

上传人:本田雅阁 文档编号:2908052 上传时间:2019-06-04 格式:PPT 页数:101 大小:385.52KB
返回 下载 相关 举报
第11章网络安全.ppt_第1页
第1页 / 共101页
第11章网络安全.ppt_第2页
第2页 / 共101页
第11章网络安全.ppt_第3页
第3页 / 共101页
第11章网络安全.ppt_第4页
第4页 / 共101页
第11章网络安全.ppt_第5页
第5页 / 共101页
点击查看更多>>
资源描述

《第11章网络安全.ppt》由会员分享,可在线阅读,更多相关《第11章网络安全.ppt(101页珍藏版)》请在三一文库上搜索。

1、第11章 网络安全,本章内容提要,计算机网络安全概述 数据加密技术 密钥的分配 身份认证与访问控制 网络层安全协议族IPsec 防火墙与入侵检测技术,网络安全基本概念,从其本质上来讲就是网络上的信息安全。 从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术与原理, 都是网络安全所要研究的领域。,网络安全是指网络系统的硬件、软件及其系统中的数据的安全,它体现在网络信息的存储、传输和使用过程中。它的保护内容包括: (1) 保护服务、资源和信息; (2) 保护结点和用户; (3) 保护网络私有性。,计算机网络通信面临的威胁,(1)截获(interception) (2

2、)中断(interruption) (3)篡改(nodification) (4)伪造(fabrication) (5)重发(Repeat),主动攻击和被动攻击,被动攻击 攻击者只是观察和分析某一协议数据单元PDU而不干扰信息流。攻击者通过分析PDU的协议控制信息部分,了解正在通信的协议实体的地址和身份,研究PDU的长度和传输的频度,一边了解所交换的数据的性质。这种被动攻击又称为通信量分析。 主动攻击 攻击者对某个连接中通过的PDU进行各种处理。如有选择地更改、删除、延迟这些PDU(包括记录和复制它们)。还可在将以前录下的PDU插入这个连接(即重放攻击),或将可合成的或伪造的PDU送入到一个连

3、接中去。,主动攻击的类型,更改报文流 拒绝报文服务 攻击者通过删除通过某一连接的所有PDU,或者将双方或单方的所有PDU加以延迟。网站的服务器一直处于“忙”的状态,因而拒绝向发出请求的客户提供服务。这种攻击方式称为拒绝服务DoS(Denial of Service)。若从因特网上的成百上千的网站集中攻击一个网站,则称为分布式拒绝服务DdoS(Distributed Denial Service)。 伪造连接初始化 攻击者重放以前已被记录的合法连接初始化序列,或者伪造身份而企图建立连接。,网络安全的特征,(1)保密性 (2)完整性 (3)可用性 (4)可控性 (5)可审查性 (6)可保护性,网络

4、安全机制,访问控制机制、 加密机制、 认证交换机制、 数字签名机制、 业务流分析机制、 路由控制机制。,美国网络安全标准,美国国防部所属的国家计算机安全中心(NCSC)在20世纪90年代提出了网络安全性标准(DoD5200.28-STD),即可信任计算机标准评估准则(Trusted Computer Standards Evaluation Criteria),也叫橘黄皮书(Orange Book)。 TCSEC将网络安全性等级划分为A、 B、 C、 D等4类共七级, 其中, A类安全等级最高,D类安全等级最低。,1. D1级 D1级叫做酌情安全保护,是可用的最低安全形式。 该标准说明整个系统

5、都是不可信任的。 2. C1级 C级有两个安全子级别:C1和C2,或称自选安全保护(Discretionary Security Protection)系统, 它描述了一个UNIX系统上可用的安全级别。对硬件来说,存在某种程度的保护, 因为它不再那么容易受到损害,尽管这种可能性存在。 用户必须通过用户注册名和口令让系统识别自己。用这种方式来确定每个用户对程序和信息拥有什么样的访问权限。 3. C2级 除C1包含的特征外,C2级还包括其它的创建受控访问环境(Controlled-access environment)的安全特性。该环境具有进一步限制用户执行某些命令或访问某些文件的能力。这不仅基于

6、许可权限,而且基于身份验证级别。另外,这种安全级别要求对系统加以审核。审核可用来跟踪记录所有与安全有关的事件, 比如哪些是由系统管理员执行的活动。,TCSEC的网络安全性等级,4. B1级 B级又称作被标签的安全性保护,分为三个子级别。 B1级或称标准安全保护(Labeled Security Protection),是支持多级安全的第一个级别,这一级说明了一个处于强制性访问控制之下的对象, 不允许文件的拥有者改变其许可权限。 5. B2级 B2级也称为结构保护(Structured Protection),要求计算机系统中所有对象都加标签,而且给设备分配单个或多个安全级别。 6. B3级别

7、B3级或称安全域级别(Security Domain),使用安装硬件的办法来加强域,该级别也要求用户终端通过一条可信任途径连接到系统上。 7. A级 A级或称验证设计,是当前橘黄皮书中的最高级别, 它包含了一个严格的设计、 控制和验证过程。 与前面提到的各级别一样, 这一级包含了较低级别的所有特性。 其设计必须是从数学上经过验证的, 而且必须进行对秘密通道和可信任分布的分析。 ,我国安全标准简介,由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB17895-1999计算机信息系统安全保护等级划分准则已经正式颁布。 该准则将信息系统安全分为5个等级,分别是: 自主保护级、系统审计保

8、护级、安全标记保护级、结构化保护级和访问验证保护级。 主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、 隐蔽信道分析、 客体重用、 强制访问控制、安全标记、可信路径和可信恢复等。,11.2 数据加密技术,密码学 指的是将报文转换成安全的、免受攻击的形式。它由密码编码学和密码分析学组成,密码编码学是关于密码体制的设计学,密码分析学是在未知密钥的情况下从密文推演出明文或密钥的技术。 明文与密文 在进行转换之前,原始的报文称为明文。 转换后的报文成为密文。 加密算法将明文转换为密文;解密算法将密文转换回明文。加密与解密算法合称为密码算法。 密钥是密码算法中参与运算的数值(或数值集)。,

9、数据加密的一般模型,加密算法分类,加密算法分为两类: 对称密钥(或秘密密钥)加密算法 非对称(公钥)加密算法。,对称密钥密码学,非对称密钥密码学,11.2.3 对称密钥密码学,传统加密算法是面向字符的 传统对称密钥加密算法分成两大类: 替换加密算法 换位加密算法,替换加密算法,替代密码就是将明文中的每一个字符替换为密文中的另外一个字符。 分为 单字母替代 单字母替代密码,就是明文的每一个字符用相应的密文字符代替。 多字母替代 多字母替代密码是将明文中的一个字符的每次出现采用不同的字符替换。,表11-1 凯撒密码替代表 A B C D E F G H I J K L M N O P Q R S

10、T U V W X Y Z D E F G H I J K L M N O P Q R S T U V W X Y Z A B C 左位移了3个字母, 密钥为3 明文为NETWORK SECURITY, 密文为QHWZRUN VHFXULWB。 此类移位加密算法的密钥值在025之间,利用暴力攻击法非常容易攻破。,单字母替代算法,多字母替代算法,表11-2 多字母替换的密码集 A B C D E F G H I G K L M N O P Q R S T U V W X Y Z 1 F G H I J K L M N O P Q R S T U V W X Y Z E D C B A 2 J K

11、 L M N O P Q R S T U V W X Y Z E D C B A F G H I 3 P Q R S T U V W X Y Z E D C B A F G H I J K L M N O 明文被分为多个字符组,每组包含有三个字符,表中1,2,3表示字符所在位置,同一字符在组的不同位置则被替换为不同的字母。 给定明文:HELLO WORLD, 首先移除空格,分组后为:HEL LOW ORL D 对应密文为:MNEQXLTEEI 明文中第一个l被替换为E,而第二个l被替换为Q,第三个l被替换为E。多字母加密算法隐藏了字符的自然出现频度,利于抗统计分析。,置换加密算法,置换加密算法

12、亦称换位加密算法。 在置换加密算法中,字符不被替换,而只是改变字符的位置。它的思想是将明文分为固定长度的字符组,将字符组中的字符位置进行重新排列,而每个字符本身并不改变。,例: 一个四字符分组的密钥 置换密钥 明文3142 密文1234 加密时将处于第3位的字符移到第1位,第一位的字符移到第2位,以此类推。 给定明文:hello everybody, 移除空格,分组后为:hell oeve rybo dy 在最后一个分组末尾添加伪字符z,得到hell oeve rybo dyzz 对应的密文为:LHLEVOEEBROYZDZY,现代加密算法,传统的加密算法是面向字符的,但现在加密的信息不仅仅是

13、文本,还包含了图片,音频以及视频数据,这就要求加密算法必须要面向位。现代加密算法面向位的加密算法。 现代加密算法: XOR加密算法 旋转加密算法 替换加密算法:S-盒 置换加密算法:P-盒,数据加密标准(DES),DES是一个复杂的分组加密算法,DES原理,DES首先将明文进行分组,每一个组长为64bits,然后对每一个64bits二进制数据进行加密处理,产生一组64bits密文数据,最后将各组密文串接起来,即得出整个密文。 DES使用的密钥为64bits(56bits为实际密钥,8bits用于奇偶校验)。,DES结构图,Ki是48bits密钥,从原来的64bits密钥经过若干次变换而得出,每

14、次迭代密钥不同,模块算法相同,迭代模块算法如图11-6所示,三重DES,非对称密钥密码学,非对称密钥密码学又称为公开密钥密码学,就是使用两个不同的加密密钥与解密密钥的密码体制,这两个密钥一个称为私钥,由某一用户保存,一个称为公钥,宣布为公开的。,RSA公开密钥密码算法,它使用两个数字:e和d,作为公钥与私钥。,RSA密码系统原理,RSA密码系统的安全性基于大数分解的困难性。根据数论,寻求一对大素数的乘积很容易,但要对这个乘积进行因式分解则非常困难,因此,可以把一对大素数的乘积公开作为公钥,而把素数作为私钥,从而从一个公开密钥和密文中恢复出明文的难度等价于分解两个大素数之积。,RSA的密码选择,

15、用户B使用以下的步骤选择私钥与公钥: 1.选择两个不同的大素数p和q(一般都为100位左右的十进制数字),计算乘积,得。 2.计算另一个整数(n)3.随机取一整数e,1e(n),且e和(n)互素。此时可求得d以满足:ed=1 mod (n),则可以得到d = e1 mod 对外公布e和n作为公钥,我们记为e,n,保留d和n作为私钥,记为d,n。 加密和解密 RSA加密消息m时,(这里假设m是以十进制表示的),首先将消息分成大小合适的数据分组,假设为X,然后对分组分别进行加密。每个分组的大小应该比n小。 设Y为明文分组加密后的密文,则加密公式和解密公式为 加密时: 解密时:,RSA例,选择两个素

16、数, p=7,q=17, 计算出, 计算出, 在1到96中间选取一个与96互素的数e,我们选e=5。根据5d=1 mod 96可解出d,d=77,因为ed=577=385=496+1=1 mod 96。 于是,公钥为(e,n)=5,119, 而密钥为(d,n)77,119。,加密过程,首先将明文划分为一个个分组,使得每个明文分组的值不超过n,即不超过119。假设明文X=19。 加密: 密文, 即明文19对应的密文为66。 解密: 先计算。再除以119,得出商为1.06,余数为19。 即明文,对于RSA算法,同样的明文映射为同样的密文。 RSA体制的保密性在于对大数进行因数分解很花时间,但其并不

17、是不可攻破的。,数字签名,数字签名可以用来证明消息确实是由发送者签发的,而且,当数字签名用于存储的数据或程序时,可以用来验证数据或程序的完整性。,数字签名应满足的条件,签名是可以被确认的。 签名是不可伪造的。 签名不可重用。 签名是不可抵赖的。 第三方可以确认收发双方之间的消息传送但不能篡改消息。,一个数字签名方案一般由两部分组成:签名算法和验证算法。签名文档是用发送方的私钥加密,而验证一个文档则用发送方的公钥进行签名。 在数字签名中。使用发送方的私钥与公钥。发送方用他的私钥,而接收方用发送方的公钥。 注意:数字签名方案没有提供保密的通信。如果需要保密,则必须用前面的对称密钥算法和非对称密钥加

18、密算法加密。,11.3密钥分配,11.3.1 对称密钥的分发 11.3.2 非对称密钥的分发,对称密钥的分发,密钥分发中心(Key Distribution Center,KDC)的可信任方。 KDC与每个成员之间建立一个私钥。,A向B发送保密的过程,A向KDC发送一个请求,表明她需要和B之间 的会话(暂时的)密钥; KDC向B通告A的请求; 如果B同意,KDC创建一个会话密钥用于在A和B两者之间应用。 会话密钥是KDC的两个成员之间保密通信使用的密钥。双方之间的对称会话密钥仅使用一次。,会话密钥的创建过程,非对称密钥的分发,设计一个可信任中心保存公钥的目录,记录用户及其对应的公钥,这个目录像

19、电话薄一样是动态更新的。可信任中心要求每个用户在中心注册并检验身份。每个用户可选取一个私钥/公钥对,保留私钥并将公钥插入目录。,非对称密钥分发认证中心,分发过程,B向CA请求发布公钥,CA核实B的身份,然后向B索要公钥并将其写在证书上。为防止证书被伪造,CA根据证书生产一份摘要并用它的密钥对摘要加密。现在无论是CA或B都可以明文形式发布此证书和加密后的报文摘要。任何人想要得到B的公钥,都可以下载证书和加密后的报文摘要,根据证书生成摘要,并使用CA的公钥对加密的摘要进行解密。对两份摘要进行比较,如果它们相等,就说明证书是有效的,不是被人冒充的。,11.4 身份认证与访问控制,身份认证即身份识别与

20、验证(Identification and Authentication,简称I&A),它是让一个实体证明另一个实体身份的一种技术。 一个实体可以是人、进程、客户机或服务器 需要证明身份的实体称为申请者 试图证明申请者身份的一方称为验证者。 访问控制是在身份认证的基础上,根据身份的合法性对提出的资源访问请求加以控制。访问控制的目的是为了保证网络资源受控、合法地使用。用户只能根据自己的权限大小来访问系统资源,不能越权访问。,身份认证,身份认证中,验证者必须精确验证申请者的身份。 鉴别身份采用的方法有: 用户所知,如口令、个人识别号码(PIN)、密钥等; 用户所有,如身份证、护照、驾驶证、信用卡或

21、智能卡等; 用户固有,如生物特征:声音、指纹、脸型、视网膜图样,或笔迹、签名等。,口令,口令系统的运作需要用户输入用户标识和口令(或PIN码)。系统对输入的口令与此前为该用户标识存储的口令进行比较。如果匹配,该用户就可得到授权并获得访问权。 缺点:安全性不强 改进: 一种方法是将口令的散列存储为口令文件,由于散列函数是单向的,即使得到了口令文件也几乎不可能猜测出口令值。 另一种方法是两种认证的技术的组合, 如ATM机卡与PIN(个人识别号)结合使用,ATM机卡属于“用户所有”,PIN属于“用户所知”。 基于用户固有的生物特征识别的身份认证,如指纹,询问-应答,一种实时身份验证方法,这种认证方式

22、中,申请者不用向验证者出示密码。 询问-应答分类 使用对称密钥加密 使用非对称密钥加密 使用数字签名,使用对称密钥加密,申请者与验证者共享一个秘密密钥。 执行过程 首先,申请者向验证者发出验证请求, 然后,验证者随机选取一个瞬时值发给申请者, 最后,申请者用他与验证者的共享密钥加密,并向验证者发送其结果。 验证者解密该报文,如果解密得到的瞬时值与验证者发出的瞬时值相同,则允许申请者访问。,使用非对称密钥加密,此时的密码必需是申请者的私钥,申请者要向每个人公布与她自己私钥有关的可用的公钥。 验证者用申请者的公钥加密询问,然后申请者用她的私钥解密,传回解密后报文,其对询问的应答是解密后的询问。 执

23、行过程图:,使用数字签名,申请者使用他自己的私钥签名,而不是用私钥解密。,第三方认证,所谓第三方认证就是在相互不认识的实体之间提供安全通信。 最早实现第三方认证的是Kerberos认证系统,Kerberos是一个认证系统同时又是一个KDC,最初是在麻省理工学院开发的,Kerberos的设计目标就是提供一种安全、可靠、透明、可伸缩的认证服务。,Kerberos,Kerbero身份认证进程的处理过程有六个步骤,步骤1:用户A用明文向AS发送她的请求,使用的是她注册的ID。 步骤2:AS发送一份用用户A的对称密钥KA加密过的报文。报文包括两项:一份A用来与TGS联系是所使用的会话密钥KS和一张票证。

24、该票证是用TGS的对称密钥KTG来加密的。A并不知道KA,报文到达时,A输入他的口令,如果口令正确,由口令和相应的算法一起生成KA,口令立即被销毁,不发送给网路,也不驻留在终端,它只是暂时用来生成KA。现在,进程就可以使用KA来解密发送的报文,从而得到KS和票证。 步骤3:A向TGS发送三项内容。第一项是从AS接收的票证,第二项是实际服务器B的名称,第三项是采用KS加密的时间戳。时间戳用来制止第三方的重放攻击。 步骤4:TGS发送两张票证,每张都包括A和B之间的会话密钥KAB,给A的票证采用KS加密,给B的票证采用B的密钥KB进行加密。 步骤5:A发送给B带有用KAB加密的时间戳的票证。 步骤

25、6:B通过将时间戳加1来确认接收。报文用KAB加密后发送给A。,访问控制,根据访问控制策略的不同,访问控制一般分为三种 自主访问控制、 强制访问控制、 基于角色的访问控制三种。,自主访问控制,又称任意访问控制(Discretionary Access Control,DAC),是目前计算机系统中实现最多的访问控制机制。 它是根据访问者的身份和授权来决定访问模式的。 这种访问控制方法允许用户可以自主地在系统中规定谁可以存取它的资源实体,即用户(包括用户程序和用户进程)可选择同其它用户一起共享某个文件。 所谓自主,是指具有授与某种访问权力的主体(用户)能够自己决定是否将访问权限授予其它的主体。安全

26、操作系统需要具备的特征之一就是自主访问控制,它基于对主体及主体所属的主体组的识别来限制对客体的存取。,强制访问控制,(Mandatory Access Control,MAC)是根据客体中信息的敏感标签和访问敏感信息的主体的访问等级,对客体的访问实行限制的一种方法。 它主要用于保护那些处理特别敏感数据(例如,政府保密信息或企业敏感数据)的系统。 在强制访问控制中,用户的权限和客体的安全属性都是固定的,由系统决定一个用户对某个客体能否进行访问。 所谓“强制”,就是安全属性由系统管理员人为设置,或由操作系统自动地按照严格的安全策略与规则进行设置,用户和他们的进程不能修改这些属性。,强制访问控制系统

27、的输入和输出:,强制访问控制系统读写判断准则:只有当主体的敏感等级高于或等于客体的等级时,访问才是允许的,否则将拒绝访问。 根据主体和客体的敏感等级和读写关系可以有以下四种组合: (1) 下读(Read Down):主体级别大于客体级别的读操作; (2) 上写(Write Up):主体级别低于客体级别的写操作; (3) 下写(Write Down):主体级别大于客体级别的写操作; (4) 上读(Read Up):主体级别低于客体级别的读操作。 这些读写方式保证了信息流的单向性。上读/下写方式只能保证数据的完整性,而上写/下读方式则保证了信息的安全性,也是多级安全系统必须实现的。,基于角色的访问

28、控制,基于角色的访问控制(Role-Based Access Control,RBAC)的核心思想就是:授权给用户的访问权限通常由用户在一个组织中担当的角色来确定,所谓“角色”,是指一个或一群用户在组织内可执行的操作的集合。,基于角色的访问控制的五个特点: 以角色作为访问控制的主体 用户的角色决定了用户拥有的权限以及可执行何种操作。 角色继承 “角色继承”的概念是为了提高效率,避免相同权限的重复设置而采用的。角色继承把角色组织起来。 最小特权原则(Least Privilege Theorem) 最小特权原则是指用户所拥有的权利不能超过他执行工作时所需的权限。 职责分离(主体与角色的分离) 静

29、态职责分离是指只有当一个角色与用户所属的其它角色彼此不互斥时,这个角色才能授权给该用户。 动态职责分离指只有当一个角色与一主体的任何一个当前活跃角色都不互斥时,该角色才能成为该主体的另一个活跃角色。 角色容量 在一个特定的时间段内,有一些角色只能由一定人数的用户占用。,因特网的网络层安全协议族IPsec,IPSec是由因特网工程任务组(IETF)设计的用来为IP层的分组提供安全的一组协议。 IPSec帮助生成经过鉴别的与安全的IP层分组。 它提供了大量的安全特性,如: 提供认证,加密,数据完整性和抗重放保护; 加密密钥的安全产生和自动更新; 使用强加密算法来保证安全性; 支持基于证书的认证;

30、支持下一代加密算法和密钥交换协议; 为L2TP和PPTP远程接入隧道协议提供安全性。,IPSec以两种不同的方式运行: 传输方式 隧道方式,在传输方式下,IPSec保护传输层到网络层传递的内容, 换言之,传输方式不保护整个IP分组,它不保护IP头部,仅保护网络层的有效载荷。 在这种方式下,对来自传输层的信息增加IPSec的头部与尾部。然后再增加IP头部。,在隧道方式下,IPSec保护整个IP分组,包括头部。 将IPSec加密方法用于整个分组,然后增加一个新的头部,这个IP头部与原来的IP头部有一些不同的信息。 隧道方式通常用于两个路由器之间,或一个主机与一个路由器之间以及一个路由器与一个主机之

31、间。,IPsec与安全关联,IPSec 提供了多种选项来完成网络加密和认证。每个IPSec连接都能够提供加密,完整性和认证当中的一种或者两种。 一个安全关联描述了两个或者多个实体如何使用安全服务来实现安全通信。 IPSec用安全关联将IP无连接协议改进为面向连接的协议。 我们可以将关联认为是连接。当A与B一致同意他们之间用一组安全参数,则他们之间已建立了一个逻辑连接(称为关联)。 安全关联是单向的,这也就意味着每一对通信系统连接都至少需要两个安全关联- 一个是从A到B,而另外一个是从B到A。,A想要利用关联与B进行双向通信。 A要有一个出关联(用于到B的数据报)和一个入关联(用于来自B的数据报

32、),同时B也要有相同的关联。 这时的安全关联对于A和B来说可以简化为两个小表,如图11-21所示。,安全关联例:,虚拟专用网 (Virtual Private Network,VPN),内联网 内联网是使用因特网模型的专业网(LAN),然而对网络的访问仅限于组织机构内部的用户。 外部网 外部网与内联网是相同的,但有一个主要差别:在网络管理员的监控下,组织机构外部的特定群体的用户可以访问某些资源。 VPN VPN在隧道方式下使用IPSec来提供鉴别、完整性以及保密性,使数据穿越公共网络(通常是指因特网)。从用户的角度来看,信息是在一条专用网络连接上传输,而不管实际的隧道所在物理网络的结构,,VP

33、N建立一个专用但是虚拟的网络。其网络在物理上是公开的,但对内可以保证组织机构内部的保密性。,VPN的寻址方式,防火墙与入侵检测技术,防火墙 是一种安装在组织机构的内部网络与因特网之间的由软件和/或硬件组合成的设备(通常是路由器或者是计算机),它用于转发某些分组而过滤掉(不转发)其他分组,从而限制外界用户对内部网络的访问以及管理内部用户访问外界网络的权限,来解决内联网和外联网的安全问题。 入侵检测(Intrusion Detection) 就是通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。,防火墙,防火

34、墙内的网络称为“可信赖的网络”,而将外部的因特网称为“不可信赖的网络”。 防火墙位置:,防火墙要求具有下列性质:,(1) 双向通信必须通过防火墙; (2) 防火墙本身不会影响信息的流通; (3) 只允许本身安全策略授权的通信信息 通过。,防火墙主要提供的四种服务:,(1) 服务控制:确定可以访问的网络服务类型。 (2) 方向控制:特定服务的方向流控制。 (3) 用户控制:内部用户、外部用户所需的某种形式的认证机制。 (4) 行为控制:控制如何使用某种特定的服务。,防火墙的主要类型,包过滤防火墙 包过滤防火墙是一种可以根据网络层和传输层的头部信息来转发或阻止分组,这些头部信息是指:源和目的IP地

35、址、源端口和目的端口地址以及协议类型(TCP或者UDP)。 包过滤防火墙是最快的防火墙,这是因为它们的操作处于网络层或传输层,并且只是粗略检查特定的连接的合法性。 代理防火墙 应用级代理防火墙模式提供了十分先进的安全控制机制,它通过在协议栈的最高层(应用层)检查每一个包从而提供足够的应用级连接信息。 因为在应用层中它有足够的能见度,应用级代理防火墙能很容易看见前面提及的每一个连接的细节从而实现各种安全策略。,包过滤防火墙,上图11-26中,对下列数据包进行过滤: 对来自网络129.31.0.0的数据包进行阻止; 对目标是任何内部TELNET服务器(端口为23)的进入数据包进行阻止; 对目标是内

36、部主机193.45.20.6的进入数据包要进行阻止。该主机只能作内部使用; 对目标是HTTP服务器(端口是80)的流出数据包进行阻止。组织机构不希望内部机器浏览因特网。,代理防火墙,应用级代理防火墙在防火墙处终止客户连接并初始化一条到受保护内部网络的新连接。 这一内建代理机制提供额外的安全,这是因为它将内部和外部系统隔离开来,从外面只看到代理服务器,而看不到任何内部资源,而且代理服务器只允许被代理的服务通过。 代理防火墙特点: 代理服务安全性高,可以过滤多种协议,通常认为它是最安全的防火墙技术。 不能完全透明地支持各种服务、应用,一种代理只提供一种服务。 消耗大量的CPU资源,导致相对低的性能

37、。,防火墙的体系结构,有以下三种: (1) 双重宿主主机体系结构; (2) 被屏蔽主机体系结构; (3) 被屏蔽子网体系结构。,双重宿主主机体系结构 (Dual Homed Host ),双重宿主主机体系结构是围绕具有双重宿主的计算机构筑的,该计算机至少有两个网络接口(NIC)。这样的主机可以充当与这些接口相连的网络之间的路由器,它能够从一个网络接口到另一个网络接口转发IP数据包。然而,实现双重宿主主机的防火墙体系结构禁止这种转发功能,因而,IP数据包并不是直接从一个网络(例如因特网)发送到其它网络(例如内部的、被保护的网络)。,被屏蔽主机体系结构,双重宿主主机体系结构提供的服务来自与多个网络

38、相连的主机(但是主机路由关闭,否则从一块网卡到另外一块网卡的通信会绕过代理服务软件),而被屏蔽主机体系结构使用一个单独的路由器连接外部网络与内部网络,并且在内部网络设置堡垒主机,外部网络流量必须通过路由器和堡垒主机两个安全屏障才能到达内部网络。,屏蔽子网体系结构,屏蔽子网结构通过进一步增加隔离内外网的边界网络(Perimeter Network)为屏蔽主机结构增添了额外的安全层。堡垒主机是最脆弱、最易受攻击的部位,通过隔离堡垒主机的边界网络,便可减轻堡垒主机被攻破所造成的后果。,入侵检测技术,前面讲的安全技术都属于被动保护技术。 入侵检测技术是一种主动保护自己免受黑客攻击的一种网络安全技术,

39、入侵检测技术帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力(包括安全审计、 监视、进攻识别和响应),提高了信息安全基础结构的完整性,是安全防御体系的一个重要组成部分。,入侵检测技术的基本原理,入侵的定义是:企图破坏资源的完整性、保密性、可用性的任何行为,也指违背系统安全策略的任何事件。 入侵检测(Intrusion Detection)就是通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。,入侵检测系统,入侵检测系统(Intrusion Detection System,简称IDS) 是实现入侵检

40、测功能的一系列的软件、硬件的组合。它是入侵检测的具体实现。 入侵检测系统的分类有多种,这里主要介绍两种: 根据入侵检测系统的输入数据来源的分类, 根据入侵检测系统所采用的技术的分类。,根据数据采集的数据源来分,基于主机的入侵检测系统 基于网络的入侵检测系统,基于主机的入侵检测系统 以系统日志、应用程序日志等审计记录文件作为数据源。 通过比较这些审计记录文件的记录与攻击签名(Attack Signature,指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。 如果匹配,检测系统就向系统管理员发出入侵报警并采取相应的行动。 基于主机的IDS可以精确地判断入侵事件,并可对入侵事件作出立即反

41、应。,基于网络的入侵检测系统 以原始的网络数据包作为数据源。 利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。一旦检测到攻击,IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。,根据入侵检测的数据分析机制来分,异常检测的入侵检测系统 误用检测的入侵检测系统,异常检测的入侵检测系统 异常检测也被称为基于行为的检测。 其基本前提是假定所有的入侵行为都是异常的,即入侵行为是异常行为的子集。 而已建立的规则库保存的是系统或用户的“正常”行为特征轮廓。 比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵行为。 异常检测是一种间接的方法。,误用检测的入侵检测系统 也被称为基于知识的检测。 其基本前提是假定所有可能的入侵行为都能被识别和表示。 而已建立的规则库中存放的是已知的攻击方法的攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示。 将行为与已经定义好的攻击签名比对,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。 这种方法是通过直接判断攻击签名的出现与否来判断入侵行为的,从这一点来看,它是一种直接的方法。,本章到此结束! 谢谢!,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1