08-网络安全技术课件

server 外部
往内包的特性(显示信息) IP源是server 目标地址为内部地址 TCP协议，源端口23 目标端口>1023 所有往内的包都是 ACK=1
17
2018/10/14
包过滤防火墙的设置(2)
从外往内的telnet服务
client 外部
往内包的特性(用户操作信息) IP源是外部地址 目标地址为本地server TCP协议，目标端口23 源端口>1023 连接的第一个包ACK=0， 其他包ACK=1
server 内部
往外包的特性(显示信息) IP源是本地server 目标地址为外部地址 TCP协议，源端口23 目标端口>1023 所有往内的包都是 ACK=1
18
2018/10/14
针对telnet服务的防火墙规则
服务 方向 往外 往外 往内
包方向 外 内 外
源地址 内部 外部 外部
目标 地址 外部 内部 内部
符合策略
防火墙
应用层 应用层 应用层
表示层
根据策略检查应 用层的数据 会话层 传输层 网络层 链路层 物理层
内部接口
表示层
会话层 传输层 网络层 链路层 物理层
外部接口
应用控制可以对常用的高
层应用做更细的控制 如HTTP的GET、POST 、HEAD 如FTP的GET、PUT等
内部网络
外部网络
2018/10/14
28
双宿主主机
所有的流量都通过堡垒主机 优点：简单
2018/10/14
29
屏蔽主机
从物理上把内部网络和Internet隔开，必须通过两层屏障 只允许堡垒主机可以与外界直接通讯 优点：两层保护：包过滤+应用层网关；配置灵活
2018/10/14
30
屏蔽子网
DMZ(Demilitarized Zone，非军事区或者停火区)：在内部网络和外部 网络之间增加的一个子网 优点： 三层防护，用来阻止入侵者 外面的router只向Internet暴露屏蔽子网中的主机 内部的router只向内部私有网暴露屏蔽子网中的主机
2018/10/14
27
防火墙的配置
几个概念 堡垒主机(Bastion Host)：对外部网络暴露， 同时也是内部网络用户的主要连接点 多宿主主机(multi-homed host)：至少有两个 网络接口的通用计算机系统 DMZ(Demilitarized Zone，非军事区或者停火 区)：在内部网络和外部网络之间增加的一个子 网
• 如果匹配到一条规则，则根据此规则决定转发或者丢弃 • 如果所有规则都不匹配，则根据缺省策略
2018/10/14 15
包过滤路由器示意图
网络层 链路层 物理层
外部网络
内部网 络
2018/10/14
16
包过滤防火墙的设置(1)
从内往外的telnet服务
client 内部
往外包的特性(用户操作信息) IP源是内部地址 目标地址为server TCP协议，目标端口23 源端口>1023 连接的第一个包ACK=0， 其他包ACK=1
2018/10/14
21
应用层网关
也称为代理服务器 特点 所有的连接都通过防火墙，防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全，但是开销比较大
2018/10/14 22
高层协议控制
2018/10/14
23
应用层网关的结构示意图
2018/10/14
24
应用层网关实现
编写代理软件 代理软件一方面是服务器软件
• 但是它所提供的服务可以是简单的转发功能
另一方面也是客户软件
• 对于外面真正的服务器来说，是客户软件
针对每一个服务都需要编写模块或者单独的程序 实现一个标准的框架，以容纳各种不同类型的服务
9 2018/10/14
防范方法
避免泄露你的邮件地址。 不要随便回应垃圾邮件。 借助反垃圾邮件的专门软件。 使用好邮件管理、过滤功能。 学会使用远程邮箱管理功能。 选择服务好的网站申请电子邮箱地址。
10
2018/10/14
课程内容
1 2 3 4 电子邮件安全 防火墙与VPN 入侵检测系统 网络扫描技术
http://www.freesurf.com/downloads/Gettysburg
URL 过滤
仅查找URL黑名单， 遗漏了深入在内容 里被禁止的词汇
Four score and seven years ago our forefathers brou
ght forth upon this BANNED WORDS a new nation, n liberty, and dedicated to the proposition that all
2018/10/14
12
内部工作子网与外网的访问控制
WWW
内部WWW
Mail DNS
DMZ区域
一般子网 边界路由器
管理子网
发起访问 请求
进 行 访 合法请求 问 规 则 则允许对 检查 外访问
合法请求则允 许对外访问
Internet
Internet 区域 发起访问请求
重点子网
将访问记录 写进日志文 件
2018/10/14
14
包过滤路由器
基本的思想很简单 对于每个进来的包，适用一组规则，然后决定 转发或者丢弃该包 往往配置成双向的 如何过滤 过滤的规则以IP和传输层的头中的域(字段)为 基础，包括源和目标IP地址、IP协议域、源和 目标端口号 过滤器往往建立一组规则，根据IP包是否匹配 规则中指定的条件来作出决定。
8 2018/10/14
环保问题
垃圾电子邮件虽然不浪费纸张，其实也是不环保 的 由美国环境咨询公司ICF实施的一项调查显示， 2008年全球处理电子垃圾邮件耗电量达330亿度， 相当于往大气中排放1700万吨二氧化碳。 日本《每日新闻》21日援引ICF公司的调查报道说 ，2008年全球电子垃圾邮件数量达62万亿封，处 理这些电子垃圾邮件浪费了330亿度电，这是920 万户日本普通家庭全年的用电量。 ICF公司指出，垃圾邮件不仅给用户造成财产损失 ，导致投入产出比下降，还将给地球环境带来深 刻的负面影响。
3
2018/10/14
解决方法
可以从三个方面入手： 端到端的安全电子邮件技术 PGP S/MIME 传输层的安全电子邮件技术 VPN SSL SMTP SSL POP 邮件服务器的安全与可靠性 防网络入侵 防拒绝服务攻击
4 2018/10/14
PGP
PGP是Pretty Good Privacy的缩写，是一种长期 在学术界和技术界都广泛使用的安全邮件标准。 PGP的特点: 使用单向散列算法对邮件内容进行签名，以保 证信件内容无法被篡改 使用公钥和私钥技术保证邮件内容保密且不可 否认。
内部工作子网
防火墙在此处的功能： 1、工作子网与外部子网的物理 隔离 2、访问控制 3、对工作子网做NAT地址转换 4、日志记录
2018/10/14
13
3.1 防火墙的类型
按照工作原理分类 分组过滤路由器（包过滤防火墙） 应用层网关防火墙 电路级网关防火墙 按照体系结构分类 双宿主主机 屏蔽主机 屏蔽子网
5
2018/10/14
PGP的算法
PGP是RSA和传统加密的杂合算法，PGP实际上并不是 用RSA来加密内容本身，而是采用了IDEA的传统加密 算法。PGP是用一个随机生成密钥(每次加密不同)及 IDEA算法对明文加密，然后再用RSA算法对该密钥加 密。这样的链式加密方式做到了既有RSA体系的保密 性，又有IDEA算法的快捷性。 PGP的创意有一半就在这一点上，另一半则在PGP的 密钥管理上。
包类型 TCP TCP TCP
源端口 >1023 23 >1023
目标 端口 23 >1023 23 * 1 *
ACK
往内
内
内部
外部
TCP
23
>1023
ห้องสมุดไป่ตู้
1
*: 第一个ACK=0, 其他=1
2018/10/14
19
只对网络级数据包做保护是不够的
防火墙
只检查包头 – 让 带有攻击和禁止内 容的“合法”数据 包通过 网络层内容 (数据包)
11
2018/10/14
防火墙原理
在计算机网络中，防火墙是能加强机构内部网络安 全的软硬件相结合的系统 防止外部用户非法进入 保护内部网络的资源不被破坏和窃取 哪些服务可以被外部网络访问 …… 防火墙通常部署在公共网络与内部网络的连接处 实际上是一种隔离技术。 防火墙本身也必须能够免于渗透

liberty, and dedicated to the proposition
that all…

攻击特征
2018/10/14
20
针对包过滤防火墙的攻击
IP地址欺骗，例如，假冒内部的IP地址 对策：在外部接口上禁止内部地址 小碎片攻击，利用IP分片功能把TCP头部切分到 不同的分片中 对策：丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 例如，利用ftp协议对内部进行探查
• 软件实现的可扩展性和可重用性
客户软件 软件需要定制或者改写 对于最终用户的透明性？ 协议对于应用层网关的处理 协议设计时考虑到中间代理的存在，特别是在考虑安全性，比 如数据完整性的时候
2018/10/14
25
电路层网关
2018/10/14
26
电路层网关
本质上，也是一种代理服务器 有状态的包过滤器 动态包过滤器 状态 上下文环境 流状态 认证和授权方案 例子：socks
6
2018/10/14
垃圾邮件的定义
收件人事先没有提出要求或者同意接收的广告、电 子刊物、各种形式的宣传品等宣传性的电子邮件； 收件人无法拒收的电子邮件； 隐藏发件人身份、地址、标题等信息的电子邮件； 含有虚假的信息源、发件人、路由等信息的电子邮 件
7
2018/10/14
现状
2010年9月份10大垃圾邮件发源地 •1. 美国 •2. 巴西 •3. 韩国 •4. 印度 •5. 哥伦比亚 •6. 波兰 •7. 中国 •8. 越南 •9. 阿根廷 •10. 俄罗斯 美国是最大的垃圾邮件发源地，所占比例为 25%。 其次是巴西和韩国，所占比例分别为12%和4%。 来自中国的垃圾邮件所占比例为3%，排名第七
第8讲 网络安全技术
2018/10/14
1
课程内容
1 2 3 4 电子邮件安全 防火墙与VPN 入侵检测系统 网络扫描技术
2
2018/10/14
电子邮件的安全
电子邮件已经成为我们生活中不可缺少的一部分 带来方便的同时也存在安全问题 垃圾邮件 诈骗邮件 邮件炸弹 通过邮件传播的病毒 ……
基于数据包 的病毒扫描
可能觉察不到横跨在 多个数据包里的攻击
应用层内容过滤
不接受的内容
BAD CONTENT BANNED WORDS NASTY THINGS NASTIER THINGS
1. 重新组装数据包 2. 对比不允许内容和攻击列表
Four score and seven years ago our forefathers brought forth upon this BANNED WORDS a new
2018/10/14
31
传统的防火墙配置
非军事区DMZ 内/外部可以访问 有外部 IP, 转发 防火墙 firewall 外部地址 内部可以访问 内部地址 不允许外部访问
恶意用户
DMZ
2018/10/14
内部用户
32
一种新型的防火墙设置
Http://friewall.ip/ 虚拟 DMZ 外部可以访问 内部IP 单一映象 外部可以访问 内部IP 优点 屏蔽了DMZ的结构 10.11.11.2 内部IP 可扩展性, Cluster的结构
2018/10/14
路径选择表 80->10.11.11.2:80 21->10.11.11.5.21 接受请求
选定 10.11.11.2
33
包过滤示例
内部网
堡垒主机
外 部 网 络
在上图所示配置中，内部网地址为：192.168.0.0/24， 堡垒主机内网卡eth1地址为：192.168.0.1， 外网卡eth0地址为：10.11.12.13 DNS地址为：10.11.15.4 要求允许内部网所有主机能访问外网WWW、FTP服务， 外部网不能访问内部主机