第九章 网络安全 (ppt)

史忠植 高级计算机网络
20
滥用检测模型
对用户的行为特征与某种攻击活动的行为特征进行 比较。这种方法的基本前提是对可能收集到入侵例子 的行为特征进行分析和提取，并使特征尽量覆盖可能 的变种攻击。然而，这种方法的有效性也由于攻击的 多样性和利用合法手段进行攻击的例子的增多而显出 其无能为力的一面。 另外不论哪一种入侵检测的教学模型，都同样面 临一个实时和处理大量信息的难题。如要检测的信息 源包括：网络包、主机事件（进程、任务等）、网络 状态（流社信息等）、主机状态（机器忙闲等）。日 益增多的攻击例子验证和说明入侵检测模型的局限性 2012-8-10 21 史忠植 高级计算机网络
2012-8-10
史忠植 高级计算机网络
22
防火墙有三种实现手段
● 分组过滤：这种方法过滤掉那些未经证实的主机发来 的TCP/IP分组，并拒绝内部 使用那些未经授权的服务以及 与其建立连接。 ● IP伪装：以一个虚假的IP地址代替内部主机的IP地址 ，这样可以躲避外部的监视。 ● 代理服务：这种方法是通过在高层建立代理，从而在 网络层完全断绝内部和外部之间的连接。
NetWare网络操作系统
● 继承 继承简化了为所有用户、目录、文件及对象创建相同的受托者 权限分配的任务。虽然继承给管理员提供了很大的方便，但是 必须小心使用继承以确保权限的适当分配。 ● 有效权限 当一个用户开始操作时，NetWare就会计算用户对给定的目录 、文件或对象的有效权限。有效权限是指用户对目录、文件或 对对象实际拥有的权限。 ● 属性 又称标志，主要描述了特殊目录和文件的特性，这些属性定义 了操作权限。属性在NetWare安全环境中特别重要。
2012-8-10 史忠植 高级计算机网络 9
Windows NT 网络操作系统
● 登录进程 这一部分接受用户的登录请求，包括远程请求
。
● 局部安全授权（LSA） 这部分保证任何已经登录的用户可以访问系统，局部 安全授权产生访问令牌、管理策略，同时给用户提供 鉴别服务。
2012-8-10
史忠植 高级计算机网络
2012-8-10
史忠植 高级计算机网络
16
9.4 虚拟专用网
VPN通过公用网络在多个地区之间建立了安全链路。 VPN新模型在公用INTERNET中勾划出一个“专用”网络，使 不同地方的网点或子网能相互连接在一起，为企业建立了一个 实实在在的WAN。这与VLAN不同，它将大型网络分成多个子 网，在通过软件来管理其间的连接。 有直接式的和隧道式的两种类型的VPN。直接式的VPN使用IP 寻址并通过VPN建立数据的直接控制。它加密数据，并作为基 于用户而不是IP地址的鉴别。另一方面，隧道模式的VPN使用 IP帧作为数据包的一个隧道。这种模式的网络受到侵入，入侵 者只能访问目标网络。如果是双向模式，源网络及目标网络二 者都会被侵入。
2012-8-10
史忠植 高级计算机网络
23
安全手段
● 加密鉴别：为公共网络的用户提供身份 检查的功能，这样企业的职员从外部也可以访 问企业专用网了。 ●加密隧道：通过一个与Internet一样的公 共媒介，在两个专用网间建立虚网络安全连接 ，这种方式为物理上分散的网络通过 Internet,而不是租用线建立通信连接提供了 可能。
2012-8-10
史忠植 高级计算机网络
6
网络操作系统的安全性能
NetWare网络操作系统 Windows NT 网络操作系统 UNIX网络操作系统
2012-8-10
史忠植 高级计算机网络
7
NetWare网络操作系统
● 登录安全 NetWare登录安全需要用户输入一个有效的用户名和 口令，并由此控制用户对网络的访问。 ● 受托者 一个受托者是指对特殊的目录、文件或对象有特定的 控制权的一个用户或一个用户组。网络管理员可通过 受托者来指定授予访问权。 ● 权限 权限表示了一个受托者对目录、文件和对象有什么级 别的访问权。权限可分为目录权限、文件权限、对象 权限和属性权限。 2012-8-10 8 史忠植 高级计算机网络
2012-8-10 史忠植 高级计算机网络 14
虚拟网络
虚拟局域网 第三层。在第三层的VLAN中，管理员用不同的协议 要求对不同的VLAN分配通信业务。 协议策略VLAN。这种类型的网络基于数据帧内的协 议标准。比如，管理员可以在这类网络的数据帧内指 明一个数据场用于确定VLAN的隶属。 多终点传输VLAN。多终点传输VLAN通过“一点对多 点”或“多点对多点”的方式传输信息。这对新闻广 播或电视会议之类的应用是很有用的。
2012-8-10 史忠植 高级计算机网络 24
防火墙的种类
数据包过滤防火墙 双位置网关防火墙 主机屏蔽防火墙 子网屏蔽防火墙
2012-8-10
史忠植 高级计算机网络
25
数据包过滤防火墙
Internet
IP 软 件 包 过 滤路由器
201ቤተ መጻሕፍቲ ባይዱ-8-10
史忠植 高级计算机网络
26
数据包过滤器
数据包过滤防火墙是最普通的防火墙，最适合于简单网络。这 种方法只需简单地在Internet网关处安装一个数据包过滤路由 器，并设置过滤规则阻挡协议或地址。 数据包过滤器在发送前检查每一个数据包，在将其与规则进行 对比，决定什么类型的数据包是允许的，什么类型是禁止的。 IP数据包过滤功能是在比IP协议更低层执行的。IP在每台主机 上运行，负责将数据包送到相应的目的地。 数据包过滤路由器对IP数据包的过滤基于如下几个方面： (1)源IP地址 (2)目的IP地址 (3)TCP/UDP源端口 (4)TCP/UDP目标端口
2012-8-10
2
9.1 网络安全概述
众所周知，作为全球使用范围最大的信息网，Internet自身协 议的开放性极大地方便了各种计算机连网，拓宽了共享资源。 但是，由于在早期网络协议设计上对安全问题的忽视，以及在 使用和管理上的无政府状态，给了众多的hacker们许多机会， 使Internet自身的安全受到严重威胁，与它有关的安全事故屡 有发生。对网络安全的威胁主要表现在：非授权访问、冒充合 法用户、破坏数据完整性、干扰系统正常运行、利用网络传播 病毒、线路窃听等方面。这就要求我们对与Internet互连所带 来的安全性问题予以足够重视。
2012-8-10
史忠植 高级计算机网络
3
9.1 网络安全概述
保密性 安全协议的设计 访问控制
2012-8-10
史忠植 高级计算机网络
4
9.2 网络安全的级别
D1级 C1级 C2级 B1级 B2级 B3级 A级
2012-8-10
史忠植 高级计算机网络
5
9.3 网络安全的策略
● ● ● ● ● 产？ 你试图保护那些资源？ 你需要保护这些资源防备那些人？ 可能存在什么样的威胁？ 资源如何重要？ 你能够采取什么措施以合算和节时的方式保护你的财
10
Windows NT 网络操作系统
2012-8-10
史忠植 高级计算机网络
11
UNIX网络操作系统
UNIX安全涉及的主要范围是用户、用户组和文件系统。 ● 用户和用户组 象Windows NT一样UNIX利用用户名和口令来识别用户。每个 用户被指定到某一用户组，就能指定这些用户与用户组访问文 件和目录。这是UNIX安全存在的实际问题。即为使用户能够 创建其它用户，可简单允许该用户写访问口令文件。 ● 文件系统 UNIX的文件系统类似于NT，也是以层次结构组织的。每个文 件有一组简单的许可权或权限，对三类用户——文件拥有者， 文件拥有者组与在其它组上的用户，各不相同。可使用的许可 权包括：读、写、执行。
2012-8-10 史忠植 高级计算机网络 12
网络设计及硬件
安全设备 （1）脸部特征识别设备 （2）智能卡； (3）Web站点阻断工具 （4）冗余设备
2012-8-10
史忠植 高级计算机网络
13
虚拟网络
虚拟局域网 基于端口的虚拟LAN。这种VLAN是最简单的，但提供 了绝大部分控制功能和安全特性。基于VLAN实际所连 接的端口给VLAN分配设备。端口分配是静态的，只有 管理员才能改变。 MAC地址VLAN。配置MAC地址VLAN更为复杂。VLAN 网络由一组MAC 地址组成，AutoTracker软件将这组 地址转换成了一个广播域。由于是基于对MAC地址的 鉴别，这种类型的VLAN是一种更安全的方案。机器在 访问VLAN之前，必须先具有一个可识别的VLAN地址。
9.6 防火墙
防火墙是通过创建一个中心控制点来实现网络安全控制的一种 技术。通过在专用网和Internet之间设置路卡，防火墙监视所 有出入专用网的信息流，并决定那些是可以通过的，那些是不 可以的。 给防火墙下一个确切的定义如下： 防火墙是放置在两个网络之间的一组组件。这组元件共同具有 下列性质： ● 双向通信信息必须经过防火墙 ● 只允许本地安全策略授权的通信信息通过 ● 防火墙本身不会影响信息的流通
2012-8-10 史忠植 高级计算机网络 27
数据包过滤器
数据包过滤设备检查数据包的标题，这一部分描述了连接及使用的协议。 数据包过滤器基于以下条件对数据包过滤： ² 源及目的IP地址 ² 源及目的的端口。这些端口表明了对TCP/UDP 的使用，如FTP、Telnet 、SNMP或RealAudio。 ² TCP。这是一种面向连接的协议，用于绝大多数服务器，如FTP、 Telnet。 ² UDP（用户数据报协议）。这是一种无连接协议，用于SNMP及 RealAudio。 ² ICMP（Internet控制报文协议）。这是一种Internet的低层管理协议 。 ² 数据包是否是新的TCP/IP连接的第一个数据包或是接着的数据包。 ² 数据包是起源于某局部应用或指定用于某局部应用。 数据包是内界的还是外界的。
18
2012-8-10
史忠植 高级计算机网络
19
异常检测模型
（1）通过将征抽取或事件到特征字符串的映射 形成异常行为空间； （2）系统运行时采集可观察的事件窨并进行筛 选； （3）采集到的事件与预先建好的异常行为空间 中的事件比较，差异标闪准可用预先确定的阈值或某 个统计量，超过则判断为攻击。
2012-8-10
2012-8-10 史忠植 高级计算机网络 17
9.5 入侵检测
系 统 审 计 记 录 /网 络 包 /应 用 审 计 记 录 事件生成器 确定新的规则 修改现存规则 活 动 Profile 修 改 Profile 生成异常记录 规则集
系统时钟
图 9.2
一般的入侵检测模型
2012-8-10
史忠植 高级计算机网络
2012-8-10 史忠植 高级计算机网络 28
双位置网关防火墙
网关
安全局域网 周边局域网
R ou te r
I n te r n e t
2012-8-10 史忠植 高级计算机网络 29
双位置网关防火墙
双位置网关防火墙可能是一种更好的方案。双位置网关配置在 一个主机上设立了两个网络接口并禁止了主机的IP 移动。换 句话说，双位置网关连接了两个网络。一个是内部安全网络， 另一个是通过路由器连接到Internet的周边网络。这种方案完 全禁止了Internet与内部网络之间的IP 传输。 双位置网关通常用于禁止访问没有得到特别允许的所有设备。 例如，这种类型的防火墙可以用来分隔通信，允许从外界访问 信息服务器，同时禁止访问任何其他服务器。 由于存在两个域名服务器，内部主机的名字对Internet上的任 何用户都是不可见的；然而，内部用户仍然可因访问全系统， 甚至包括周边网上的公用服务器。
高级计算机网络
第九章 网络安全
史忠植 中国科学院计算技术研究所
2012-8-10 史忠植 高级计算机网络 1
内容提要
9.1 网络安全概述 9.2 网络安全的级别 9.3 网络安全的策略 9.4 虚拟专用网 9.5 入侵检测 9.6 防火墙 9.7 加密 9.8 常规密码体系 9.9 公开密钥密码体制 9.10 报文的鉴别 9.11 密钥分配 9.12 公钥证书 9.13 网络安全的发展 史忠植 高级计算机网络
2012-8-10 史忠植 高级计算机网络 15
虚拟网络
虚拟局域网 基于政策的VLAN。这类VLAN 使管理员能组合应用 VLAN政策以产生灵活的VLAN 。设备可以配置给不同 政策条件下的VLAN 系统。网络中的每个转换器都能 识别各种VLAN政策。 用户鉴别VLAN。这是一种高安全性能的VLAN，它要 求用户在访问网络资源之前，先要通过服务器对用户 的鉴别。