第九讲 网络安全(2012)

防火墙策略
在构筑防火墙之前,需要制定一套完整有效的安全战略 1. 网络服务访问策略
– 一种高层次的具体到事件的策略，主要用于定义在网 络中允许或禁止的服务。
2.
防火墙设计策略 一种是“一切未被允许的就是禁止的”，一种是 “一切未被禁止的都是允许的”。
第一种的特点是安全性好，但是用户所能使用的服务 范围受到严格限制。 第二种的特点是可以为用户提供更多的服务，但是在 日益增多的网络服务面前，很难为用户提供可靠的 安全防护。
网络攻击类型
按照攻击的性质及其手段，可将通常 的网络攻击分为以下五大类型
① ห้องสมุดไป่ตู้ ③
④
⑤
口令攻击 拒绝服务攻击（也叫业务否决攻击） 利用型攻击 信息收集型攻击 假消息攻击
1.口令攻击
通过猜测或获取口令文件等方式，获得 系统认证口令，从而进入系统。 危险口令类型：

用户名 用户名变形 生日 常用英文单词 6位以下长度的口令 无口令默认口令
1.
双宿/多宿主机模式

它是一种拥有两个或多个连接到不同网络上的网络 接口的防火墙，通常用一台装有两块或多块网卡的 堡垒主机做防火墙，两块或多块网卡各自与受保护 网和外部网相连。
2.
屏蔽主机模式 屏蔽主机防火墙由包过滤路由器和堡垒主机组成。
屏蔽主机模式特点：
— — — —
在这种方式的防火墙中，堡垒主机安装在内部网络上， 通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯 一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的 攻击。 屏蔽主机防火墙实现了网络层和应用层的安全，因而比单独的包过滤 或应用网关代理更安全。 在这一方式下，过滤路由器是否配置正确是这种防火墙安全与否的关 键，如果路由表遭到破坏，堡垒主机就可能被越过，使内部网完全暴 露。
2.服务拒绝攻击
拒绝服务攻击：通过使计算机功能或性能崩 溃，来阻止提供服务。是常见实施的攻击行 为。主要包括：
① ② ③ ④
⑤
⑥ ⑦ ⑧
⑨
死ping（ping of death） 泪滴teardrop UDP 洪流（UDP flood） SYN 洪水（SYN flood） Land 攻击 Smurf 攻击 Fraggle 攻击 电子邮件炸弹 畸形消息攻击
双宿主机：Dual-homed Host

防火墙的作用 确保一个单位内的网络与因特网的通 信符合该单位的安全方针，为管理人 员提供下列问题的答案：
1. 2. 3. 4. 5.
谁在使用网络 他们在网络上做什么 他们什么时间使用了网络 他们上网去了何处 谁要上网没有成功
防火墙的优点
1. 2. 3.
4.
需求、风险、代价平衡分析 综合性、整体性原则
一致性原则：网络安全与网络生命周期
同在 易操作性 适应性、灵活性 可评价性

网络安全保障体系 加强计算机安全立法 《刑法》(1997.10.1)对计算机犯罪作了 明文规定 《中华人民共和国计算机信息网络国际联 网管理暂行规定实施办法》 《计算机信息系统保密管理暂行规定》 《计算机信息网络国际联网安全保护管理 办法》 制定合理的网络管理措施 加强网络使用人员的安全措施 建立完善 的安全管理体制和制度 管理规范化、标准化、科学化
网络安全面临的主要威胁
黑客攻击：黑客非法进入网络窃取资源，
如用户的帐号和密码、网上传输的数据等 计算机病毒的侵袭：计算机病毒侵入网络， 对网络资源进行破坏，使网络不能正常工 作 拒绝服务攻击：如“电子邮件炸弹”，使 用户在短时间内收到大量无用的电子邮件， 影响正常业务的运行，严重时会引起网络 瘫痪
3.利用型攻击
利用型攻击是一类试图直接对主机进行 控制的攻击。 最常见的有三种：口令猜测、特洛伊木 马和缓冲区溢出。
4.信息收集型攻击
信息收集型攻击并不对目标本身造成危 害，顾名思义这类攻击被用来为进一步 入侵提供有用的信息。主要包括：
扫描技术 体系结构刺探 利用信息服务

5. 假消息攻击
防火墙的局限性
1．为了提高安全性，限制或关闭了一些有用但存在安全缺陷 的网络服务，给用户带来使用的不便。 2．目前防火墙对于来自网络内部的攻击还无能为力。 3．防火墙不能防范不经过防火墙的攻击，如内部网用户通过 SLIP或PPP直接进入Internet。 4．防火墙对用户不完全透明，可能带来传输延迟、瓶颈及单 点失效。 5. 防火墙也不能完全防止受病毒感染的文件或软件的传输， 由于病毒的种类繁多，如果要在防火墙完成对所有病毒代 码的检查，防火墙的效率就会降到不能忍受的程度。 6. 防火墙不能有效地防范数据驱动式攻击。 7. 作为一种被动的防护手段，防火墙不能防范因特网上不断 出现的新的威胁和攻击。
1.
2.
3.
内部和外部之间的所有网络数据流必须经过防 火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透(penetration)免疫
防火墙相关的概念 堡垒主机：Bastion Host

堡垒主机是一种配置了安全防范措施的 网络的计算机，堡垒主机为网络之间的 通信提供了一个阻塞点，也就是说如果 没有堡垒主机，网络之间将不能相互访 问。 有两个网络接口的计算机系统，一个接 口接内部网，一个接口接外部网。
3. 防火墙安全策略 1. 用户帐号 2. 用户权限 3. 信任关系 4. 包过滤 5. 鉴别 6. 签名 7. 数据加密 8. 密钥分配 9. 审计
防火墙的体系结构
共有三种体系结构：
1.
2. 3.
双宿/多宿主机模式 (Dual-Homed /MultiHomed Host Firewall) 屏蔽主机模式(Screened Host Firewall ) 屏蔽子网模式(Screened Subnet mode)
网络安全
网络安全概述
网络安全问题


计算机安全 计算机系统的硬件、软件和数据库受到保护，不因偶 然或者恶意的原因而遭到破坏、更改和显露，系统能 连续正常运行 3 种计算机安全 实体的安全 计算机软硬件本身的安全 运行环境的安全 保证计算机在良好的环境下工作 信息的安全 保障信息不会被非法阅读、修改和泄露
踩点->扫描->攻击 踩点信息收集
① ② ③
④
⑤ ⑥
简单网络管理协议（SNMP）允许你从网络 主机上查询相关的数据。例如，你可以收集 TCP/IP方面的信息，还有在路由器、工作站 和其它网络组件上运行的服务情况。SNMP 由网络管理系统（NMS）和代理Agent组成。 Whois〔类似于finger〕是一种internet的目 NMS通常安装在一台工作站上，再将代理安 录服务，whois 提供了在Internet上一台主机 装在任何需要接受管理和配置的主机上。 或某个域的所有者的信息，如管理员的姓名、 通信地址、电话号码和Email地址等信息， Finger服务使你可以获取远程服务器上的用户 这些信息是在官方网站whois server上注册 信息。使用Finger，你可以得到： 的，如保存在InterNIC的数据库内。Whois 用户名，服务器名，E-mail账号，用户当前是 Traceroute 用于路由追踪，如判断从你的主 SNMP协议 命令通常是安全审计人员了解网络情况的开 否在线，用户登录时间， 机到目标主机经过哪些路由器、跳计数、响 始。一旦你得到了Whois记录，从查询的结 TraceRoute程序 应时间如何、是否有路由器当掉等。大多数 Ping一个公司的Web服务器可帮助你获得该 果还可得知primary和secondary域名服务器 操作系统，包括UNIX，Novell和Windows 公司所使用的IP地址范围。一旦你得知了 的信息。 Whois协议 NT，若配置了TCP/IP协议的话都会有自己版 HTTP服务器的IP地址，你可以使用Ping扫描 本的traceroute程序。 ， 工具Ping该子网的所有IP地址，这可以帮助 DNS服务器 你得到该网络的地址图。，
导致网络不安全的因素
环境：自然环境和社会环境对计算机网络的
影响 资源共享：相互的资源共享为异地用户提供 了方便，但同时也为非法用户窃取和破坏信 息创造了条件 数据通信：信息在通信传输的过程中可能会 遭到破坏或者窃听 计算机病毒：计算机病毒侵入网络极易造成 网络系统的瘫痪 TCP/IP协议的安全缺陷：该协议力求简单高 效，而缺少安全机制，如网上的流量没有加 密，缺乏安全策略等
局域网安全技术
实体访问控制，防止非工作人员接近系
统 保护网络介质，加强系统设备而后通信 线路的定期检查和维修 数据访问控制，只有授权用户才可访问 系统资源 数据存储保护，做好数据备份和安全保 管 计算机病毒防护，以预防为主
广域网安全技术
数据通信加密
采用DES、RSA算法等对通信数 据加密 通信链路安全保护 选择保密性较好的通信线路和 设备，如光纤，重要信息不采 用无线电传输 采用局域网络安全的各项措施
用于攻击目标配置不正确的消息，主要 包括：DNS高速缓存污染和伪造电子邮 件 ① DNS 高速缓存污染


概览：由于DNS服务器相互交换信息的时候 并不进行身份验证。这就使得黑客可以使用 错误信息将用户引向设定主机。 防御：在防火墙上过滤入站的DNS更新，外 部DNS服务器不应能更改内部服务器对内部 机器的认识。
② 伪造电子邮件


概览：由于SMTP并不对邮件的发送者的身份 进行鉴定，因此，黑客可以对内部客户伪造 电子邮件声称是来自某个客户认识并相信的 人，并附带上可安装的特洛伊木马程序或者 是一个引向恶意网站的连接。 防御：使用PGP等安全工具，并安装电子邮 件证书。
防火墙的基本概念与体系结构
防火墙定义 防火墙是位于两个或多个网络之间，执 行访问控制策略的一个或一组系统，是 一类防范措施的总称。 一个好的防火墙具备：

安全层次体系结构
网络与信息安全防范模型
网络安全防范体系工作流程
网络威胁与网络攻击
黑客（Hacker）
Hacker起源 飞客“phreak”–早期攻击电话网的青少年，研究各 种盗打电话而不用付费的技术。 黑客（Hack）：通常是指试图通过网络闯入其他人 的计算机中，并试图进行操作行为的人。（cut roughly or clumsily, chop--砍辟，砍伐工，person paid to do hard and uninteresting work as a writer-引伸义干了一件漂亮的事；Hacker differs from Cracker） 黑客“Hacker”：一个给予喜欢发现和解决技术挑 战、攻击计算机网络系统的精通计算机技能的人的 称号，与闯入计算机网络系统目的在于破坏和偷窃 信息的骇客不同。 骇客“Cracker”：一个闯入计算机系统和网络试图 破坏和偷窃个人信息的个体，与没有兴趣做破坏只 是对技术上的挑战感兴趣的黑客相对应。
网络攻击三部曲
Finger协议 Ping实用程序
扫描漏洞侦测
①
②
使用自制工具 SATAN是为UNIX设计的，它主要是用C 使用专用工具SATAN等 和Perl语言编写的。
SATAN用于扫描远程主机的许多已知 的漏洞，可写的FTP目录，Sendmail
攻击
① ② ③ ④
建立帐户 安装远程控制器 发现信任关系全面攻击 获取特权
网络安全措施和体系
法律政策：安全的基石 政府和主流厂商扮演重要角色 技术措施：安全的保障 防火墙技术、防病毒、信息加密、身 份认证、授权等 管理和审计：安全的防线 实时监控企业安全状态、实时改变安 全策略、对现有的安全漏洞实施检查， 防患于未然
安全策略
预防为主，对症下药
安全策略的一般原则
5. 6.
防火墙对企业内部网实现了集中的安全管理，可以 强化网络安全策略，比分散的主机管理更经济易行。 防火墙能防止非授权用户进入内部网络。 防火墙可以方便地监视网络的安全性并报警。 可以作为部署网络地址转换（Network Address Translation）的地点，利用NAT技术，可以缓解地 址空间的短缺，隐藏内部网的结构。 利用防火墙对内部网络的划分，可以实现重点网段 的分离，从而限制安全问题的扩散。 由于所有的访问都经过防火墙，防火墙是审计和记 录网络的访问和使用的最佳地方。