網(wǎng)絡安全規(guī)劃

1、網(wǎng)絡安全規(guī)劃,2013.6,主要內(nèi)容,什么是網(wǎng)絡安全網(wǎng)絡防火墻技術網(wǎng)絡防病毒技術網(wǎng)絡加密技術入侵檢測系統(tǒng)企業(yè)防黑五大策略,私密性：當信息被信息來源人士和收受人獲知 時,就喪失了私密性。完整性：當信息被非預期方式更動時，就喪失 了完整性。身份鑒別：確保使用者能夠提出與宣稱身份相 符的證明。,10.1 什么是網(wǎng)絡安全,信息系統(tǒng)的安全原則

2、：,授 權：系統(tǒng)必須能夠判定用戶是否具備足夠的權限， 進行特定的活動，如開啟檔案、執(zhí)行程序等 等。因為系統(tǒng)授權給特定用戶后，用戶才具備 權限運行于系統(tǒng)之上，因此用戶事先必須經(jīng)由 系統(tǒng)“身份鑒別”，才能取得對應的權限。不可否認：用戶在系統(tǒng)進行某項運作后，若事后能提 出證明，而無法加以否認，便具備不可否認

3、 性。因為在系統(tǒng)運作時必須擁有權限，不可否 認性通常架構在“授權”機制之上。,10.2 網(wǎng)絡防火墻技術,10.2.1 防火墻的基本原理1.防火墻技術 包過濾包過濾技術是一種簡單、有效的安全控制技術，它通過在網(wǎng)絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設備的數(shù)據(jù)包進行檢查，限制數(shù)據(jù)包進出內(nèi)部網(wǎng)絡。優(yōu) 點：對用戶透

4、明，傳輸性能高。,狀態(tài)檢測它是比包過濾更為有效的安全控制方法。對新建的應用連接，狀態(tài)檢測檢查預先設置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。,優(yōu) 點：由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查，而是 一個連接的后續(xù)數(shù)據(jù)包（通常是大量的數(shù)據(jù) 包）通過散列算法，直接進行狀態(tài)檢查，從而

5、 使得性能得到了較大提高；而且，由于狀態(tài)表 是動態(tài)的，因而可以有選擇地、動態(tài)地開通 1024號以上的端口，使得安全性得到進一步地 提高。,2. 防火墻的工作原理(1)包過濾防火墻 包過濾防火墻一般在路由器上實現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址。工作原理：系統(tǒng)在網(wǎng)絡層檢查數(shù)據(jù)包，與應用層無關。這樣系統(tǒng)就具有很好的傳輸性能，可擴展

6、能力強。 主要問題： 防火墻不理解通信的內(nèi)容，容易被黑客所攻破。,,包過濾防火墻工作原理圖,（2）應用網(wǎng)關防火墻 應用網(wǎng)關防火墻檢查所有應用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡的安全性。 應用網(wǎng)關防火墻是通過打破客戶機／服務器模式實現(xiàn)的。 每個客戶機／服務器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務器。,應用網(wǎng)關防火墻工作原理圖,（3）狀態(tài)檢測防火墻

7、 狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。 這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網(wǎng)絡的數(shù)據(jù)包，不關心數(shù)據(jù)包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網(wǎng)絡的數(shù)據(jù)當成一個個的事件來處理。 可以這樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡層和傳輸層行為，而應用代理型防火墻則是規(guī)范了特定的應用協(xié)議上的行為。

8、,狀態(tài)檢測防火墻工作原理圖,（4）復合型防火墻 復合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進一步基于ASIC架構，把防病毒、內(nèi)容過濾整合到防火墻里，其中還包括VPN、IDSS功能，多單元融為一體，是一種新突破。 在網(wǎng)絡界面對應用層掃描，把防病毒、內(nèi)容過濾與防火墻結合起來，這體現(xiàn)了網(wǎng)絡與信息安全的新思路。 它在網(wǎng)絡邊界實施OSI第七層的內(nèi)容掃描，實現(xiàn)了實時在網(wǎng)絡邊緣部署病毒防護

9、、內(nèi)容過濾等應用層服務措施。,復合型防火墻工作原理圖,3. 四類防火墻的對比包過濾防火墻：包過濾防火墻不檢查數(shù)據(jù)區(qū)，包過濾防火墻不建立連接狀態(tài)表，前后報文無關，應用層控制很弱。 應用網(wǎng)關防火墻：不檢查IP、TCP報頭，不建立連接狀態(tài)表，網(wǎng)絡層保護比較弱。 狀態(tài)檢測防火墻：不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前后報文相關，應用層控制很弱。復合型防火墻：可以檢查整個數(shù)據(jù)包內(nèi)容，根據(jù)需要建立連接狀態(tài)表，網(wǎng)絡層保護強

10、，應用層控制細，會話控制較弱。,4. 防火墻術語,網(wǎng)關：在兩個設備之間提供轉發(fā)服務的系統(tǒng)。DMZ非軍事化區(qū)：為了配置管理方便，內(nèi)部網(wǎng)中需要向外提供服務的服務器往往放在一個單獨的網(wǎng)段，這個網(wǎng)段便是非軍事化區(qū) 。吞吐量：吞吐量是指在不丟包的情況下單位時間內(nèi)通過防火墻的數(shù)據(jù)包數(shù)量。最大連接數(shù)：和吞吐量一樣，數(shù)字越大越好。數(shù)據(jù)包轉發(fā)率：是指在所有安全規(guī)則配置正確的情況下，防火墻對數(shù)據(jù)流量的處理速度。,網(wǎng)絡地址轉換：網(wǎng)絡地址轉換（NAT

11、）是一種將一個IP地址域映射到另一個IP地址域技術，從而為終端主機提供透明路由。NAT包括靜態(tài)網(wǎng)絡地址轉換、動態(tài)網(wǎng)絡地址轉換、網(wǎng)絡地址及端口轉換、動態(tài)網(wǎng)絡地址及端口轉換、端口映射等。 堡壘主機：一種被強化的可以防御進攻的計算機，被暴露于因特網(wǎng)之上，作為進入內(nèi)部網(wǎng)絡的一個檢查點，以達到把整個網(wǎng)絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。,10.2.2 市場上常見的硬件防火墻,1．NetScre

12、en 208 Firewall NetScreen科技公司推出的NetScreen防火墻產(chǎn)品是一種新型的網(wǎng)絡安全硬件產(chǎn)品。 NetScreen采用內(nèi)置的ASIC技術，其安全設備具有低延時、高效的IPSec加密和防火墻功能，可以無縫地部署到任何網(wǎng)絡。,2．Cisco Secure PIX 515-E Firewall  Cisco Secure PIX防火墻是Cisco防火墻

13、家族中的專用防火墻設施。 Cisco Secure PIX 515-E防火墻系通過端到端的安全服務的有機組合，提供了很高的安全性。 適合那些僅需要與自己企業(yè)網(wǎng)進行雙向通信的遠程站點，或由企業(yè)網(wǎng)在自己的企業(yè)防火墻上提供所有的Web服務的情況。,3．天融信網(wǎng)絡衛(wèi)士NGFW4000-S防火墻 北京天融信公司的網(wǎng)絡衛(wèi)士是我國第一套自主版權的防火墻系統(tǒng),目前在我國電信、電子、教育、科研等單位廣

14、泛使用。它由防火墻和管理器組成。 網(wǎng)絡衛(wèi)士NGFW4000-S防火墻是我國首創(chuàng)的核檢測防火墻，更加安全更加穩(wěn)定。 網(wǎng)絡衛(wèi)士防火墻系統(tǒng)是中國人自己設計的，因此管理界面完全是中文化的，使管理工作更加方便，網(wǎng)絡衛(wèi)士NGFW4000-S防火墻的管理界面是所有防火墻中最直觀的。適合中型企業(yè)的網(wǎng)絡安全需求。,4．東軟NetEye 4032防火墻  NetEye 4032防火墻是NetEye防火墻系列中的最

15、新版本，該系統(tǒng)在性能，可靠性，管理性等方面大大提高。其基于狀態(tài)包過濾的流過濾體系結構，保證從數(shù)據(jù)鏈路層到應用層的完全高性能過濾，可以進行應用級插件的及時升級，攻擊方式的及時響應，實現(xiàn)動態(tài)的保障網(wǎng)絡安全。,10.2.3 防火墻的基本配置,NGFW4000有3個標準端口，其中一個接外網(wǎng)（Internet網(wǎng)），一個接內(nèi)網(wǎng)，一個接DMZ區(qū)，在DMZ區(qū)中有網(wǎng)絡服務器。,網(wǎng)絡拓撲結構,1．配置管理端口 

16、 天融信網(wǎng)絡衛(wèi)士NGFW4000防火墻是由防火墻和管理器組成的，管理防火墻都是通過網(wǎng)絡中的一臺電腦來實現(xiàn)的。防火墻默認情況下，3個口都不是管理端口，所以我們先要通過串口把天融信網(wǎng)絡衛(wèi)士NGFW4000防火墻與我們的電腦連接起來，給防火墻指定一個管理端口，以后對防火墻的設置就可以通過遠程來實現(xiàn)了。,使用一條串口線把電腦的串口（COM1）與NGFW4000防火墻的console口連接起來，啟動電腦的“超級終端”

17、，端口選擇COM1，通信參數(shù)設置為每秒位數(shù)9600，數(shù)據(jù)位8，奇偶校驗無，停止位1，數(shù)據(jù)流控制無。 進入超級終端的界面，輸入防火墻的密碼進入命令行格式。  定義管理口：if eth1 XXX.XXX.XXX.XXX 255.255.255.0修改管理口GUI的登錄權限： fire client add topsec -t gui -a 外網(wǎng) -i

18、0.0.0.0-255.255.255.255,2.使用GUI管理軟件配置防火墻,（1）定義網(wǎng)絡區(qū)域 Internet（外網(wǎng)）：接在eth0上，缺省訪問策略為any（即缺省可讀、可寫），日志選項為空，禁止ping、GUI、telnet。Intranet（內(nèi)網(wǎng)）：接在eth1上，缺省訪問策略為none（不可讀、不可寫），日志選項為記錄用戶命令，允許ping、GUI、telnet。DMZ區(qū)：接在eth2上， 缺省訪問策略為

19、none（不可讀、不可寫），日志選項為記錄用戶命令，禁止ping、GUI、telnet。,（2）定義網(wǎng)絡對象  一個網(wǎng)絡節(jié)點表示某個區(qū)域中的一臺物理機器。它可以作為訪問策略中的源和目的，也可以作為通信策略中的源和目的。,FTP_SERVER：FTP服務器，區(qū)域=DMZ，IP地址= XXX.XXX.XXX.XXX。HTTP_SERVER：HTTP服務器，區(qū)域=DMZ，IP地址= XXX.XXX.XXX.XXX。MA

20、IL_SERVER：郵件服務器，區(qū)域=DMZ，IP地址= XXX.XXX.XXX.XXX。 V_SERVER：外網(wǎng)訪問的虛擬服務器，區(qū)域=Internet，IP=防火墻IP地址。insIDSe：表示內(nèi)網(wǎng)上的所有機器，區(qū)域=Intranet， 起始地址=0.0.0.0，結束地址=255.255.255.255。outsIDSe：表示外網(wǎng)上的所有機器，區(qū)域=Internet，

21、 起始地址=0.0.0.0，結束地址=255.255.255.255。,（3）配置訪問策略,在DMZ區(qū)域中增加三條訪問策略：A、訪問目的=FTP_SERVER，目的端口=TCP 21。源=insIDSe，訪問權限=讀、寫。源=outsIDSe，訪問權限=讀。這條配置表示內(nèi)網(wǎng)的用戶可以讀、寫FTP服務器上的文件，而外網(wǎng)的用戶只能讀文件，不能寫文件。B、訪問目的=HTTP_SERVER，目的端口=TCP 80。源=insID

22、Se+outsIDSe，訪問權限=讀、寫。這條配置表示內(nèi)網(wǎng)、外網(wǎng)的用戶都可以訪問HTTP服務器。C、訪問目的=MAIL_SERVER，目的端口=TCP 25，TCP 110。源=insIDSe+outsIDSe，訪問權限=讀、寫。這條配置表示內(nèi)網(wǎng)、外網(wǎng)的用戶都可以訪問MAIL服務器。,（4）通信策略 由于內(nèi)網(wǎng)的機器沒有合法的IP地址，它們訪問外網(wǎng)需要進行地址轉換。當內(nèi)部機器訪問外部機器時，可以將其地址轉換為防火墻的地址

23、，也可以轉換成某個地址池中的地址。,（5）特殊端口（6）其他配置,防火墻對比,10.3 網(wǎng)絡防病毒技術,10.3.1 病毒的歷史10.3.2 病毒的產(chǎn)生 1. 開個玩笑，一個惡作劇 2. 產(chǎn)生于個別人的報復心理 3. 用于版權保護,10.3.3 病毒的特征 1.傳染性 2. 隱蔽性 3. 潛伏性 4.

24、 破壞性 5. 不可預見性,10.3.4 病毒的定義 從廣義上定義，凡能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。 “計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。,10.3.5 病毒的分析 引導部分、傳染部分、表現(xiàn)部分。,10.3.6 病毒的命名,(1) 按病毒出現(xiàn)的地點，如“ZH

25、ENJIANG_JES”其樣本最先來自鎮(zhèn)江某用戶。 　 (2) 按病毒中出現(xiàn)的人名或特征字符，如“ZHANGFANG-1535”，“DISK KILLER”，“上海一號”。 (3) 按病毒發(fā)作時的癥狀命名，如“火炬”，“蠕蟲”。 　　(4) 按病毒發(fā)作的時間，如“NOVEMBER 9TH”在11月9日發(fā)作。,10.3.7 病毒的分類,按照計算機病毒攻擊的系統(tǒng)分類攻擊DOS系統(tǒng)的病毒；攻擊Windows系統(tǒng)的病毒；攻擊

26、UNIX系統(tǒng)的病毒；攻擊OS/2系統(tǒng)的病毒。 2.按照病毒的攻擊機型分類攻擊微型計算機的病毒；攻擊小型計算機的病毒；攻擊工作站的計算機病毒。,,3. 按照病毒的破壞性分類良性病毒：僅僅顯示信息、奏樂、發(fā)出聲響，自我復制能 的。 惡性病毒：封鎖、干擾、中斷輸入輸出、使用戶無法打印等正常工作，甚至電腦中止運行。 極惡性病毒：死機、系統(tǒng)崩潰、刪除普通程序或系統(tǒng)文件，破壞系統(tǒng)配置導致系統(tǒng)死機、崩潰、無法重

27、啟。 災難性病毒：破壞分區(qū)表信息、主引導信息、FAT，刪除數(shù)據(jù)文件，甚至格式化硬盤等。,4.按照病毒的傳染方式分類引導型病毒：是一種在ROM BIOS之后，系統(tǒng)引導時出現(xiàn)的病毒。文件型病毒：一般只傳染磁盤上的可執(zhí)行文件（COM，EXE）。混合型病毒：兼有以上兩種病毒的特點，既感染引導區(qū)又感染文件。,5.按照病毒鏈結方式分類 源碼型病毒 嵌入型病毒 操作系統(tǒng)型

28、病毒 外殼型病毒,10.3.8 病毒發(fā)作的現(xiàn)象計算機無故死機計算機無法啟動Windows3.X運行不正常Windows9X無法正常啟動微機運行速度明顯變慢曾正常運行的軟件常報內(nèi)存不足微機打印和通訊發(fā)生異常曾正常運行的應用程序發(fā)生死機或者非法錯誤 系統(tǒng)文件的時間、日期、長度發(fā)生變化運行Word，打開文檔后，該文件另存時只能以模板方式保存無意中要求對軟盤進行寫操作 磁盤空

29、間迅速減少網(wǎng)絡數(shù)據(jù)卷無法調(diào)用基本內(nèi)存發(fā)生變化,2.病毒發(fā)作中提示一段話發(fā)出動聽的音樂產(chǎn)生特定的圖像硬盤燈不斷閃爍 進行游戲算法 Windows桌面圖標發(fā)生變化,10.3.9 防御計算機病毒的9大步驟1．用常識進行判斷 2. 安裝防病毒產(chǎn)品并保證更新最新的病毒定義碼 3. 首次安裝防病毒軟件時，一定要對計算機做一次徹底的病毒掃描 4. 不要從任何不可靠的渠道下載任何軟件 5. 警惕欺騙性的病毒

30、6. 使用其它形式的文檔 7. 不要用共享的軟盤安裝軟件，或者更為糟糕的是復制共享的軟盤8. 禁用Windows Scripting Host 9. 使用基于客戶端的防火墻或過濾措施,10.4 網(wǎng)絡加密技術--對稱、非對稱和HASH加密,10.4.1 加密的優(yōu)勢,10.4.2加密強度 加密強度取決于三個主要因素： 首先是算法的強度，包括幾個因素，例如，除了嘗試所有可能的密鑰組合之外的任何方法都不能數(shù)學的使信息被解密。

31、 第二個因素是密鑰的保密性，一個合乎邏輯但有時被忽略了的方面，沒有算法能夠發(fā)揮作用如果密鑰受到損害，因此，數(shù)據(jù)的保密程度直接與密鑰的保密程度相關，注意區(qū)分密鑰和算法，算法不需要保密，被加密的數(shù)據(jù)是先與密鑰共同使用，然后再通過加密算法。 第三個因素是密鑰程度。這是最為人所知的一個方面，根據(jù)加密和解密的應用程序，密鑰的長度是由“位”為單位，在密鑰的長度上加上一位則相當于把可能的密鑰的總數(shù)乘以二倍，簡單的說構成一個任意給定長

32、度的密鑰的位的可能組合的個數(shù)可以被表示為2的n次方，這兒的n是一個密鑰長度，因此，一個40位密鑰長度的配方將是2的40次方或1099511627776種可能的不同的鑰，與之形成鮮明對比的是現(xiàn)代計算機的速度。,10.4.3 建立信任關系 應用加密指的是在主機之間建立一個信任關系。在最基本的級別上，一個信任關系包括一方加密的信息，并只有另一方的合作伙伴可以解密這個信息。 通過以下兩種方法來發(fā)布你的公鑰：

33、手動：你首先必須和接收方交換公鑰，然后用接收方的公鑰來加密信息。PGP和S/MIME需要使用這種方法。 自動：SSL和IPSec通過一系列的握手可以安全地交換信息（包括私鑰）。在本課你將學到有關這方面更多的知識。,10.4.4加密術語簡介 對稱加密 在對稱加密(或叫單密鑰加密)中，只有一個密鑰用來加密和解密信息。盡管單密鑰加密是一個簡單的過程，但是雙方都必須完全的相信對方，并都持有這個密鑰的備份。 2. 非對

34、稱加密 非對稱加密在加密的過程中使用一對密鑰，而不像對稱加密只使用一個單獨的密鑰。一對密鑰中一個用于加密，另一個用來解密。 3. 簽名 信息鑒別的方法可以使信息接收者確定：信息發(fā)送者的身份以及信息在傳送過程中是否被改動過。,10.5 入侵檢測系統(tǒng),10.5.1 什么是入侵檢測（IDS） 工作方式：你有臺機器，被連接到網(wǎng)絡上，也許就是被連到了INTERNET上，出于可以理解的原因,你也愿意為被授權者設置從網(wǎng)

35、絡上訪問你的系統(tǒng)的許可。10.5.2 使用IDS的理由保護數(shù)據(jù)安全和系統(tǒng)保護網(wǎng)絡安全IDS的其它作用,10.5.3 IDS的分類 基于主機的系統(tǒng)： 這種系統(tǒng)經(jīng)常運行在被監(jiān)測的系統(tǒng)之上，用以監(jiān)測系統(tǒng)上正在運行的進程是否合法。 基于網(wǎng)絡的IDS 包嗅探和網(wǎng)絡監(jiān)測 (普通模式、任意模式）包嗅探與任意模式 所有包嗅探都需要網(wǎng)卡被設置為任意模式，因為僅在此模式下，所有通過網(wǎng)卡的數(shù)據(jù)可以被傳送到嗅探器

36、，包嗅探的使用前提是安裝他的機器上使用者具有管理員權限。,2. 基于主機的IDS外來連接監(jiān)測 注冊行為監(jiān)測 根操作監(jiān)控監(jiān)測文件系統(tǒng)3.基于內(nèi)核的IDS 基于內(nèi)核的IDS還是以種新生事務，但是成長很快，尤其是在和LINUX的配合方面。 現(xiàn)在有兩種基于LINUX的不同的基于內(nèi)核的IDS，它們是OPENWALL和LIDSS。,10.6 企業(yè)防黑五大策略,要充分認識到您所面臨的內(nèi)外部危險，并因此建立一套安全

37、策略。 求助專業(yè)安全公司，找尋企業(yè)存在的安全漏洞。 確保固定資產(chǎn)的安全 。防范電腦病毒。 杜絕犯一些安全小錯誤，不要為黑客留下把柄。,小 結,1.網(wǎng)絡安全技術研究的基本問題包括： 網(wǎng)絡防攻擊、網(wǎng)絡安全漏洞與對策、網(wǎng)絡中的信息安全保密、網(wǎng)絡內(nèi)部安全防范、網(wǎng)絡防病毒、網(wǎng)絡數(shù)據(jù)備份與災難恢復。2.網(wǎng)絡安全服務應該提供保密性、論證、數(shù)據(jù)完整性、防抵賴與訪問控制服務。3.制定網(wǎng)絡安全策略就是研究造成信息丟失、系統(tǒng)損壞的各種可能