网络安全防范(ppt 41页).ppt
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
18
代理功能示意
允许访问 用户x B|C
允许访问 A|B|C 用户y
Proxy
用户z
允许访问 A
应用系统A
应用系统B
应用系统C
19
代理与防火墙/网关比较
部署位置 互连层次 地址转换 中继转发 过滤功能 访问控制 DoS防范
Proxy
任意 7
IP+Port 应用落地 应用/内容过滤 限制功能
×
Gateway/Router
对外服务系统与内部应用系统间要有一定的互连关系, 用于安全地交换数据
内网中的计算机可以非访军事问区外De-M部ilita网ry Z络one
LAN DMZ WAN
带DMZ的FW 14
双防火墙应用效果
DB Server
data Web Email Server Server
最高的安全保障
有效的安全保障
● VLAN协议4B标签头:
标签协议标识(Tag Protocol Identifier,TPID) 标签控制信息(Tag Control Information,TCI
• 优先级字段,3b • 规范格式指示符CFI,1b • VLAN标识符VID,12b
28
VLAN类型
● (1)基于端口的VLAN
网络协议&网络安全
S08 网络安全防范
1
主要知识点
● 网络安全防范技术要点 ● 嵌入式安全防范技术
防火墙 代理
● 主动式安全防范技术
安全口令 VLAN VPN
● 被动式安全防范技术
网页防篡改 入侵检测
2
网络安全防范
● Network Security Defence
针对网络安全威胁,使用各种技术和管理手段,达到防 止、发现、遏制、消除网络攻击的目的,保障网络与信 息系统安全
(2)主动式安全防范(active defence)
对网络信息系统的操作层面(用户)、信息层面(内 容)、通信层面(组网)等关键环节加强网络安全防范 措施,主动发现安全隐患、及时进行改进调整,防患于 未然
主动式安全防范技术包括:网络管理与系统管理、信息 5
防火墙
● FireWall,FW
防火墙作为一种网关(gateway),起到隔离内部网络 和外部网络的作用,阻断来自外部网络的安全攻击
内网防火墙、病毒/木马防火墙、垃圾邮件防火墙
● 从技术实现上
硬件防火墙、软件防火墙
7
防火墙的过滤和代理功能
● 过滤和代理的共同点:
对协议报文、信息内容进行筛选,剔除不安全元素、放 行安全的访问
具有不对称性,主要对来自外部网络(如Internet) 的信息流进行严格检查,而对内部网络发起的会话,检 查力度相对较弱
23
口令序列
● S/Key
S/KEY口令为一个单向的前后相关的序列,由n个口令
组成 RFC1760定义 技术原理:
• 客户端的口令序列是由用户口令和服务端提供的种子(seed) 经MD4单向函数加密而成
• 客户端再通过连续n次单向函数,生成n个顺序排列的口令验证 码序列
• 客户端登录时,逆向使用生成的序列 • 当用户第i次登录时,服务端用单向函数计算收到的验证码,
来自外部网络的 访问仅限于到达 DMZ区域
无安全保障
15
双防火墙应用示例
16
防火墙评价指标
● 误报率(rate of false detection)
false positive
指正常访问或数据误遭防火墙拦截,直接造成访问失败、数据(如邮件)主丢要失针对
误报率越低越好
模糊判别
● 漏报率(rate of missing)
防火墙的技术优势在于其透明性,即对内部网络的组网 结构、计算机设备数量和分布、网络应用类型等均不敏 感,有利于安装和使用
6
防火墙类型
● 从安全防范方法上
过滤(filtering)、代理(agent/proxy)
● 从层次结构上
三层(IP)、四层(TCP/UDP)、七层(应用层协议)
● 从防范对象上
防火墙只需匹配极少资源 计时器长度可以依据不同需求进行调整,适当缩短
(4)若计时器超时未收到ACK,则释放连接,结束 (5)防火墙若收到ACK,则立即向内网指定计算机(第⑶步 已缓存)发送SYN,当接收到SYN-ACK后立即响应ACK (6)TCP连接建立成功,之后内外网直接通信
11
访问控制列表
依据合作关系的变动,Extranet的成员可以动态调整
• 例如:汽车公司与其配件公司的合作,保证配件供应、售前/售后服务准确配 合“零库存”生产计划、销售计划,既相互独立,又可在安全的前提下实现 各企业在生产、仓储、物流等方面紧密关联,并灵活适应变化
● Access Control Li Nhomakorabeat,ACL
用于防火墙实现灵活的管理过滤机制
ACL存放用于判别报文、连接与操作是否合法的相关参 量,如IP地址、端口号等,可以动态维护、更新
ACL类型:
• 黑名单(black list;forbid list)
– 显性指出禁止访问的项目,如某个IP地址(或网段)、某个 TCP/UDP端口号
网络之间 3
NAT 仅转发
× × ×
Firewall
内网出口 3~4(部分7)
× TCP落地 IP/Port过滤 IP/Port ACL 已知攻击防范
20
通过代理穿越防火墙示例
21
一次性口令
● One-Time Password,OTP
口令(验证码)只使用一次,每次使用后进行变化,使 每次的鉴别口令都各不相同
● 过滤和代理的不同点:
过滤(filter)
• 对每个通过的报文进行依次处理 • 是无状态的 • 报文间相互独立、互不影响,可以达到很高的处理速度
代理(proxy)
• 参与协议会话过程(中介) • 有状态的
8
防火墙功能
9
防火墙IP报文过滤操作流程
10
防火墙抵御TCP同步洪水攻击示例
(1)外网攻击者发送SYN,请求会话连接 (2)防火墙接收到SYN,检查IP地址的有效性、源地址是否 内网地址等,若判断为可疑的连接请求,丢弃报文(可不予 以响应,以对抗探测),结束 (3)防火墙响应SYN-ACK,启动超时计时器
– 访问控制引擎对黑名单采用负逻辑(negative logic)判别方式, 即符合条件者不通过,否则通过。
• 白名单(white list;permission list)
– 显性指出允许访问的项目
– 访问控制引擎对白名单采用正逻辑(positive logic)判别方式, 即符合条件者通过,否则不通过
网络安全防范技术要点:
(1)有的放矢地选择技术,在深入需求分析的基础上有所取舍。 不做简单堆砌的泥水匠,要成为用心设计的建筑师 (2)一项技术解决一类问题,相互结合、相互补充才能形成完善 的防范体系,不能有失偏颇,应该以全局的观点,注重全面防范 效果提升 (3)讲究策略,讲究平衡,以最小的代价获得最佳防范效果 (4)不断跟踪网络安全威胁与防范的最新技术动态,不断调整和 更新技术,才能保持长效的安全防范能力 (5)关注防范技术可能造成的负面影响,因为坚固的城堡可以更 好地抵挡入侵,但同时也会在一定程度上禁锢自身
false negative
是检出率(rate of detection)的反面,指防火墙未能发现安全攻击的访问或数 据,使漏网之鱼进入网络系统
漏报率越低越好
● 矛盾性
漏报率与误报率的降低存在一定的矛盾
应根据应用需求进行协调,寻找最佳平衡点
17
代理
● Proxy/Agent
计算机网络体系中的一种网关设备,用于协助网络用户 完成访问任务,即用户将访问请求提交给代理,由代理 完成对指定资源的访问,并把访问结果转交给用户
根据以太网交换机的物理端口来划分VLAN,可以跨交 换机进行
• 优点是定义VLAN成员时非常简单,只需将所有的端口都设定 一遍
• 缺点是如果VLAN的某个用户离开原来端口,连接到新的端口, 就必须重新定义
当采用按不同地理位置(如不同楼层、不同大楼)的不 同部门划分VLAN时,这种方式特别简单,因为往往各 部门采用单独的交换机
用于防范口令猜测攻击、重放攻击 技术原理:
• 在用户登录过程中的口令传输时加入不确定因子(salt),使 用户口令不以固定的明文或密文方式在网络上传输,每次传送 的验证码都不相同,而系统收到验证码后可以用相同的算法验 证
22
简单的一次性口令示例
登录验证码=MD5(口令+随机数)
①客户端产生随机数,在发送验证码时一起传送给服务端 ②服务端产生随机数,在询问口令时传送给客户端(即挑战) ③当前时间
Intranet功能:
• 单一地理位置的安全内部网络 • 多个地理位置的子网络互连成为统一的安全内部网络 • Internet终端的安全接入
31
Extranet
● 企业外部网
基于Internet并采用VPN安全隧道技术,通过Internet实现不同企业 Intranet中各自外联设备间的安全互连
代理的作用:
• 代理主要起到类似中间人的访问隔离作用,帮助网络用户完成 其不能直接实施的任务
• 代理可以设定缓存空间,存储网络访问的结果,以便向下一个 相同的访问(可能来自不同用户)提供本地响应的、快速的服 务,不占用珍贵的Internet接入带宽资源
• 对访问进行白名单式的控制,通过代理的设置,向指定的用户 开放指定的应用、指定的URL、指定的通信流量、指定的访问 时段等,使用户的访问行为得到有效的约束,也限制了外部网 络用户对内部网络用户不安全的直接访问行为
• 灰名单(grey list)
– 一种特殊ACL黑名单机制,可称为临时黑名单
12
ACL引擎控制流程
Permit
匹配ACL每一行
匹配? Y
允许/拒绝?
N Deny
报文通过
结束
N 最后行?
Y
最后行隐式 Deny any
丢弃报文
13
双防火墙机制
● 实现目标:
某些内部网络需要对外提供访问服务,需要一定的安全 保护,但应避免复杂性、提高访问效率
3
网络安全防范的认识
● 水桶法则(短板效应)
技术措施应与非技术措施(包括物理安全、人员安全、 安全管理等)紧密配合,不可或缺,不可厚此薄彼
● 因噎废食不可取
为了所谓的安全,不用网络或采用完全物理隔离的办法, 变成一个个信息孤岛,将使网络的优势丧失殆尽
● 树欲静而风不止
安全防范技术再出色,也不是万无一失的,技术能力具 有相对性,应当在战略上藐视网络黑暗势力,在战术上 足够重视,未雨绸缪,让安全防范系统时刻处于活跃的、 临战的、健康的、最佳的状态
并与上次保存的第i−1个验证码比较,以判断用户的合法性 • 客户端按序使用口令序列,而服务端只需记录最新一次成功登
录所用的验证码 • 由于口令数是有限的,用户登录n次后必须重新初始化口令序
24
口令序列原理图
25
VLAN
● Virtual Local Area Network 虚拟局域网
从逻辑(协议)上对网络资源和网络用户按照一定原则 进行的划分,把一个物理网络划分成多个小的逻辑网络
VLAN标准IEEE 802.1q VLAN功能:
• 限制广播域(广播范围) • 隔离子网 • 制定各种访问限制
– 可禁止来自其他VLAN的访问 – 可禁止离开VLAN的访问
一个计算机(用户)可同时从属于不同VLAN,但需分 别遵循相关VLAN的访问限定
26
VLAN示例
27
VLAN报头格式
• VPN采用安全隧道(secure tunnel)跨越Internet,采用安全协 议来实现安全认证和数据加密,构造安全的数据传输通道,进 而实现计算机设备或子网间的安全互连
30
Intranet
● 企业内部网
采用VPN构造的安全网络,是企业(或机构)生产、办公、管理等经营活 动的信息化基础设施
4
网络安全防范技术分类
(1)嵌入式安全防范(embedded defence)
在信息交换路径上部署相应的安全防范技术 可以是具有特定功能的设备(硬件),也可以是专门设
计的协议、软件 嵌入式安全防范技术包括:安全协议(或协议补丁)、
虚拟专用网(VPN)、地址翻译(NAT)、访问代理 (proxy)、网络防火墙(firewall)、病毒和木马查杀 网关、垃圾邮件过滤等
● (2)基于MAC地址的VLAN
根据每个主机的MAC地址来划分VLAN,也称为基于用户 的VLAN
• 优点就是当用户物理位置移动时,即使移动到另一个交换机,
VLAN也不用重新配置
29
VLAN
● Virtual Private Network 虚拟专用网
用于在不安全的网络环境上构建安全的互连关系 VPN技术原理:
代理功能示意
允许访问 用户x B|C
允许访问 A|B|C 用户y
Proxy
用户z
允许访问 A
应用系统A
应用系统B
应用系统C
19
代理与防火墙/网关比较
部署位置 互连层次 地址转换 中继转发 过滤功能 访问控制 DoS防范
Proxy
任意 7
IP+Port 应用落地 应用/内容过滤 限制功能
×
Gateway/Router
对外服务系统与内部应用系统间要有一定的互连关系, 用于安全地交换数据
内网中的计算机可以非访军事问区外De-M部ilita网ry Z络one
LAN DMZ WAN
带DMZ的FW 14
双防火墙应用效果
DB Server
data Web Email Server Server
最高的安全保障
有效的安全保障
● VLAN协议4B标签头:
标签协议标识(Tag Protocol Identifier,TPID) 标签控制信息(Tag Control Information,TCI
• 优先级字段,3b • 规范格式指示符CFI,1b • VLAN标识符VID,12b
28
VLAN类型
● (1)基于端口的VLAN
网络协议&网络安全
S08 网络安全防范
1
主要知识点
● 网络安全防范技术要点 ● 嵌入式安全防范技术
防火墙 代理
● 主动式安全防范技术
安全口令 VLAN VPN
● 被动式安全防范技术
网页防篡改 入侵检测
2
网络安全防范
● Network Security Defence
针对网络安全威胁,使用各种技术和管理手段,达到防 止、发现、遏制、消除网络攻击的目的,保障网络与信 息系统安全
(2)主动式安全防范(active defence)
对网络信息系统的操作层面(用户)、信息层面(内 容)、通信层面(组网)等关键环节加强网络安全防范 措施,主动发现安全隐患、及时进行改进调整,防患于 未然
主动式安全防范技术包括:网络管理与系统管理、信息 5
防火墙
● FireWall,FW
防火墙作为一种网关(gateway),起到隔离内部网络 和外部网络的作用,阻断来自外部网络的安全攻击
内网防火墙、病毒/木马防火墙、垃圾邮件防火墙
● 从技术实现上
硬件防火墙、软件防火墙
7
防火墙的过滤和代理功能
● 过滤和代理的共同点:
对协议报文、信息内容进行筛选,剔除不安全元素、放 行安全的访问
具有不对称性,主要对来自外部网络(如Internet) 的信息流进行严格检查,而对内部网络发起的会话,检 查力度相对较弱
23
口令序列
● S/Key
S/KEY口令为一个单向的前后相关的序列,由n个口令
组成 RFC1760定义 技术原理:
• 客户端的口令序列是由用户口令和服务端提供的种子(seed) 经MD4单向函数加密而成
• 客户端再通过连续n次单向函数,生成n个顺序排列的口令验证 码序列
• 客户端登录时,逆向使用生成的序列 • 当用户第i次登录时,服务端用单向函数计算收到的验证码,
来自外部网络的 访问仅限于到达 DMZ区域
无安全保障
15
双防火墙应用示例
16
防火墙评价指标
● 误报率(rate of false detection)
false positive
指正常访问或数据误遭防火墙拦截,直接造成访问失败、数据(如邮件)主丢要失针对
误报率越低越好
模糊判别
● 漏报率(rate of missing)
防火墙的技术优势在于其透明性,即对内部网络的组网 结构、计算机设备数量和分布、网络应用类型等均不敏 感,有利于安装和使用
6
防火墙类型
● 从安全防范方法上
过滤(filtering)、代理(agent/proxy)
● 从层次结构上
三层(IP)、四层(TCP/UDP)、七层(应用层协议)
● 从防范对象上
防火墙只需匹配极少资源 计时器长度可以依据不同需求进行调整,适当缩短
(4)若计时器超时未收到ACK,则释放连接,结束 (5)防火墙若收到ACK,则立即向内网指定计算机(第⑶步 已缓存)发送SYN,当接收到SYN-ACK后立即响应ACK (6)TCP连接建立成功,之后内外网直接通信
11
访问控制列表
依据合作关系的变动,Extranet的成员可以动态调整
• 例如:汽车公司与其配件公司的合作,保证配件供应、售前/售后服务准确配 合“零库存”生产计划、销售计划,既相互独立,又可在安全的前提下实现 各企业在生产、仓储、物流等方面紧密关联,并灵活适应变化
● Access Control Li Nhomakorabeat,ACL
用于防火墙实现灵活的管理过滤机制
ACL存放用于判别报文、连接与操作是否合法的相关参 量,如IP地址、端口号等,可以动态维护、更新
ACL类型:
• 黑名单(black list;forbid list)
– 显性指出禁止访问的项目,如某个IP地址(或网段)、某个 TCP/UDP端口号
网络之间 3
NAT 仅转发
× × ×
Firewall
内网出口 3~4(部分7)
× TCP落地 IP/Port过滤 IP/Port ACL 已知攻击防范
20
通过代理穿越防火墙示例
21
一次性口令
● One-Time Password,OTP
口令(验证码)只使用一次,每次使用后进行变化,使 每次的鉴别口令都各不相同
● 过滤和代理的不同点:
过滤(filter)
• 对每个通过的报文进行依次处理 • 是无状态的 • 报文间相互独立、互不影响,可以达到很高的处理速度
代理(proxy)
• 参与协议会话过程(中介) • 有状态的
8
防火墙功能
9
防火墙IP报文过滤操作流程
10
防火墙抵御TCP同步洪水攻击示例
(1)外网攻击者发送SYN,请求会话连接 (2)防火墙接收到SYN,检查IP地址的有效性、源地址是否 内网地址等,若判断为可疑的连接请求,丢弃报文(可不予 以响应,以对抗探测),结束 (3)防火墙响应SYN-ACK,启动超时计时器
– 访问控制引擎对黑名单采用负逻辑(negative logic)判别方式, 即符合条件者不通过,否则通过。
• 白名单(white list;permission list)
– 显性指出允许访问的项目
– 访问控制引擎对白名单采用正逻辑(positive logic)判别方式, 即符合条件者通过,否则不通过
网络安全防范技术要点:
(1)有的放矢地选择技术,在深入需求分析的基础上有所取舍。 不做简单堆砌的泥水匠,要成为用心设计的建筑师 (2)一项技术解决一类问题,相互结合、相互补充才能形成完善 的防范体系,不能有失偏颇,应该以全局的观点,注重全面防范 效果提升 (3)讲究策略,讲究平衡,以最小的代价获得最佳防范效果 (4)不断跟踪网络安全威胁与防范的最新技术动态,不断调整和 更新技术,才能保持长效的安全防范能力 (5)关注防范技术可能造成的负面影响,因为坚固的城堡可以更 好地抵挡入侵,但同时也会在一定程度上禁锢自身
false negative
是检出率(rate of detection)的反面,指防火墙未能发现安全攻击的访问或数 据,使漏网之鱼进入网络系统
漏报率越低越好
● 矛盾性
漏报率与误报率的降低存在一定的矛盾
应根据应用需求进行协调,寻找最佳平衡点
17
代理
● Proxy/Agent
计算机网络体系中的一种网关设备,用于协助网络用户 完成访问任务,即用户将访问请求提交给代理,由代理 完成对指定资源的访问,并把访问结果转交给用户
根据以太网交换机的物理端口来划分VLAN,可以跨交 换机进行
• 优点是定义VLAN成员时非常简单,只需将所有的端口都设定 一遍
• 缺点是如果VLAN的某个用户离开原来端口,连接到新的端口, 就必须重新定义
当采用按不同地理位置(如不同楼层、不同大楼)的不 同部门划分VLAN时,这种方式特别简单,因为往往各 部门采用单独的交换机
用于防范口令猜测攻击、重放攻击 技术原理:
• 在用户登录过程中的口令传输时加入不确定因子(salt),使 用户口令不以固定的明文或密文方式在网络上传输,每次传送 的验证码都不相同,而系统收到验证码后可以用相同的算法验 证
22
简单的一次性口令示例
登录验证码=MD5(口令+随机数)
①客户端产生随机数,在发送验证码时一起传送给服务端 ②服务端产生随机数,在询问口令时传送给客户端(即挑战) ③当前时间
Intranet功能:
• 单一地理位置的安全内部网络 • 多个地理位置的子网络互连成为统一的安全内部网络 • Internet终端的安全接入
31
Extranet
● 企业外部网
基于Internet并采用VPN安全隧道技术,通过Internet实现不同企业 Intranet中各自外联设备间的安全互连
代理的作用:
• 代理主要起到类似中间人的访问隔离作用,帮助网络用户完成 其不能直接实施的任务
• 代理可以设定缓存空间,存储网络访问的结果,以便向下一个 相同的访问(可能来自不同用户)提供本地响应的、快速的服 务,不占用珍贵的Internet接入带宽资源
• 对访问进行白名单式的控制,通过代理的设置,向指定的用户 开放指定的应用、指定的URL、指定的通信流量、指定的访问 时段等,使用户的访问行为得到有效的约束,也限制了外部网 络用户对内部网络用户不安全的直接访问行为
• 灰名单(grey list)
– 一种特殊ACL黑名单机制,可称为临时黑名单
12
ACL引擎控制流程
Permit
匹配ACL每一行
匹配? Y
允许/拒绝?
N Deny
报文通过
结束
N 最后行?
Y
最后行隐式 Deny any
丢弃报文
13
双防火墙机制
● 实现目标:
某些内部网络需要对外提供访问服务,需要一定的安全 保护,但应避免复杂性、提高访问效率
3
网络安全防范的认识
● 水桶法则(短板效应)
技术措施应与非技术措施(包括物理安全、人员安全、 安全管理等)紧密配合,不可或缺,不可厚此薄彼
● 因噎废食不可取
为了所谓的安全,不用网络或采用完全物理隔离的办法, 变成一个个信息孤岛,将使网络的优势丧失殆尽
● 树欲静而风不止
安全防范技术再出色,也不是万无一失的,技术能力具 有相对性,应当在战略上藐视网络黑暗势力,在战术上 足够重视,未雨绸缪,让安全防范系统时刻处于活跃的、 临战的、健康的、最佳的状态
并与上次保存的第i−1个验证码比较,以判断用户的合法性 • 客户端按序使用口令序列,而服务端只需记录最新一次成功登
录所用的验证码 • 由于口令数是有限的,用户登录n次后必须重新初始化口令序
24
口令序列原理图
25
VLAN
● Virtual Local Area Network 虚拟局域网
从逻辑(协议)上对网络资源和网络用户按照一定原则 进行的划分,把一个物理网络划分成多个小的逻辑网络
VLAN标准IEEE 802.1q VLAN功能:
• 限制广播域(广播范围) • 隔离子网 • 制定各种访问限制
– 可禁止来自其他VLAN的访问 – 可禁止离开VLAN的访问
一个计算机(用户)可同时从属于不同VLAN,但需分 别遵循相关VLAN的访问限定
26
VLAN示例
27
VLAN报头格式
• VPN采用安全隧道(secure tunnel)跨越Internet,采用安全协 议来实现安全认证和数据加密,构造安全的数据传输通道,进 而实现计算机设备或子网间的安全互连
30
Intranet
● 企业内部网
采用VPN构造的安全网络,是企业(或机构)生产、办公、管理等经营活 动的信息化基础设施
4
网络安全防范技术分类
(1)嵌入式安全防范(embedded defence)
在信息交换路径上部署相应的安全防范技术 可以是具有特定功能的设备(硬件),也可以是专门设
计的协议、软件 嵌入式安全防范技术包括:安全协议(或协议补丁)、
虚拟专用网(VPN)、地址翻译(NAT)、访问代理 (proxy)、网络防火墙(firewall)、病毒和木马查杀 网关、垃圾邮件过滤等
● (2)基于MAC地址的VLAN
根据每个主机的MAC地址来划分VLAN,也称为基于用户 的VLAN
• 优点就是当用户物理位置移动时,即使移动到另一个交换机,
VLAN也不用重新配置
29
VLAN
● Virtual Private Network 虚拟专用网
用于在不安全的网络环境上构建安全的互连关系 VPN技术原理: