《信息安全概论》课件第九章 网络安全技术.ppt
《《信息安全概论》课件第九章 网络安全技术.ppt》由会员分享,可在线阅读,更多相关《《信息安全概论》课件第九章 网络安全技术.ppt(151页珍藏版)》请在文库网上搜索。
1、第九章 网络安全技术o本章介绍了网络安全中的一些常用技术手段,包括防火墙技术、入侵检测技术、安全扫描技术、内外网隔离技术、内网安全技术、反病毒技术和无线通信网络安全技术。第九章 网络安全技术o内容提要防火墙技术入侵检测技术安全扫描技术内外网隔离技术内网安全技术反病毒技术无线通信网络安全技术小结思考题9.1 防火墙技术 网络防火墙是一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互连设备。9.1 防火墙技术o9.1.1 防火墙的作用o9.1.2 防火墙技术原理o9.1.3 防火墙的体系结构o9.1.4 基于防火墙的
2、VPN技术9.1.1 防火墙的作用 Internet防火墙是一种装置,它是由软件或硬件设备组合而成,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限,它的基本系统模型如下图所示:9.1.1 防火墙的作用 防火墙能有效地控制内部网络与外部网络之间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户的访问,并过滤不良信息的目的。安全、管理、速度是防火墙的三大要素。9.1.1 防火墙的作用一个好的防火墙系统应具备以下三方面的条件:o内部和外部之间的所有网络数据流必须经过防火墙。否则就失去了防火墙的主要意义了。o只有符合安
3、全策略的数据流才能通过防火墙。这也是防火墙的主要功能审计和过滤数据。o防火墙自身应对渗透(penetration)免疫。如果防火墙自身都不安全,就更不可能保护内部网络的安全了。9.1.1 防火墙的作用一般来说,防火墙由四大要素组成:o安全策略是一个防火墙能否充分发挥其作用的关键。哪些数据不能通过防火墙、哪些数据可以通过防火墙;防火墙应该如何具备部署;应该采取哪些方式来处理紧急的安全事件;以及如何进行审计和取证的工作。等等这些都属于安全策略的范畴。防火墙绝不仅仅是软件和硬件,而且包括安全策略,以及执行这些策略的管理员。o内部网:需要受保护的网。o外部网:需要防范的外部网络。o技术手段:具体的实施
4、技术。9.1.1 防火墙的作用 虽然防火墙可以提高内部网的安全性,但是,防火墙也有它存在的一些缺陷和不足。有些缺陷是目前根本无法解决的:o为了提高安全性,限制或关闭了一些有用但存在安全缺陷的网络服务,但这些服务也许正是用户所需要的服务,给用户带来使用的不便。这是防火墙在提高安全性的同时,所付出的代价。o目前防火墙对于来自网络内部的攻击还无能为力。防火墙只对内外网之间的通信进行审计和“过滤”,但对于内部人员的恶意攻击,防火墙无能为力。o防火墙不能防范不经过防火墙的攻击,如内部网用户通过SLIP 或PPP 直接进入Internet。这种绕过防火墙的攻击,防火墙无法抵御。o防火墙对用户不完全透明,可
5、能带来传输延迟、瓶颈及单点失效。o防火墙也不能完全防止受病毒感染的文件或软件的传输,由于病毒的种类繁多,如果要在防火墙完成对所有病毒代码的检查,防火墙的效率就会降到不能忍受的程度。o防火墙不能有效地防范数据驱动式攻击。防火墙不可能对所有主机上运行的文件进行监控,无法预计文件执行后所带来的结果o作为一种被动的防护手段,防火墙不能防范因特网上不断出现的新的威胁和攻击。9.1.2 防火墙技术原理o防火墙的技术主要有:包过滤技术、代理技术、VPN技术、状态检查技术、地址翻译技术、内容检查技术以及其他技术。1.包过滤技术o包过滤型防火墙即在网络中的适当的位置对数据包实施有选择的通过,选择依据,即为系统内
6、设置的过滤规则(通常称为访问控制列表),只有满足过滤规则的数据包才被转发到相应的网络接口,其余数据包则被丢弃。2.代理技术o代理技术又称为应用层网关技术。代理技术与包过滤技术完全不同,包过滤技术是在网络层拦截所有的信息流,代理技术是针对每一个特定应用都有一个程序。代理是企图在应用层实现防火墙的功能。代理能提供部分与传输有关的状态,能完全提供与应用相关的状态和部分传输方面的信息,代理也能处理和管理信息。3.状态检测技术o状态检测技术是防火墙近几年才应用的新技术。传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝,基于状态检测技术的防火墙不仅仅对数据包进行检测,还对控制通信
7、的基本因素状态信息(状态信息包括通信信息、通信状态、应用状态和信息操作性)进行检测。通过状态检测虚拟机维护一个动态的状态表,记录所有的连接通信信息、通信状态,以完成对数据包的检测和过滤。4.网络地址翻译技术oNAT(Network Address Translation,网络地址翻译)的最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到互联网上的IP地址编号问题。RFC3022描述了NAT详细细节,互联网网络号分配机构(IANA,Internet Assigned Numbers Authority)规定了私有IP地址空间。9.1.3 防火墙的体系结构o在防火
8、墙和网络的配置上,有以下四种典型结构:双宿/多宿主机模式、屏蔽主机模式、屏蔽子网模式一些混合结构模式。其中,堡垒主机是个很重要的概念。堡垒主机是指在极其关键的位置上用于安全防御的某个系统。对于此系统的安全要给予额外关注,还要进行理性的审计和安全检查。如果攻击者要攻击你的网络,那么他们只能攻击到这台主机。堡垒主机起到一个“牺牲主机”的角色。它不是绝对安全的,它的存在是保护内部网络的需要,从网络安全上来看,堡垒主机是防火墙管理员认为最强壮的系统。通常情况下,堡垒主机可作为代理服务器的平台。1.双宿/多宿主机模式o双宿/多宿主机防火墙又称为双宿/多宿网关防火墙,它是一种拥有两个或多个连接到不同网络上
9、的网络接口的防火墙,通常用一台装有两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与受保护网和外部网相连。其体系结构图如图所示。这种防火墙的特点是主机的路由功能是被禁止的,两个网络之间的通信通过应用层代理服务来完成的。如果一旦黑客侵入堡垒主机并使其具有路由功能,那么防火墙将变得没用。1.双宿/多宿主机模式双宿/多宿主机模型的示意图 双宿/多宿主机Internet内部网络1内部网络22.屏蔽主机模式o这种防火墙强迫所有的外部主机与堡垒主机相连接,而不让他们与内部主机直接连接。为了这个目的,专门设置了一个过滤路由器,通过它,把所有外部到内部的连接都路由到了堡垒主机。这种体系结构中,屏蔽路由器介
10、于Internet和内部网,是防火墙的第一道防线,如图所示。这个防火墙系统提供的安全等级比包过滤防火墙系统高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。在这一方式下,过滤路由器是否配置正确是这种防火墙安全与否的关键,如果路由表遭到破坏,堡垒主机就可能被越过,使内部网络完全暴露。被屏蔽主机体系结构示意图屏蔽主机型的典型构成o屏蔽主机型的典型构成是包过滤路由器堡垒主机。包过滤路由器配置在内部网和外部网之间,保证外部系统对内部网络的操作只能经过堡垒主机。3.屏蔽子网模式o屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层保护体系周边网络,如图所示。堡垒主机位于周边网络
11、上,周边网络和内部网络被内部路由器分开。增加一个周边网络的原因:堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机,能减少在堡垒主机被侵入的影响。并且万一堡垒主机被入侵者控制,入侵者仍不能直接侵袭内部网络,内部网络仍受到屏蔽路由器的保护。屏蔽子网结构图屏蔽子网结构图 4.混合模式o主要是以上一些模式结构的混合使用,主要有:o(1)将屏蔽子网结构中的内部路由器和外部路由器合并o(2)合并屏蔽子网结构中堡垒主机与外部路由器o(3)使用多台堡垒主机o(4)使用多台外部路由器o(5)使用多个周边网络9.1.4 基于防火墙的VPN技术o1.VPN工作原理o虚拟专用网指的是依靠ISP(因
12、特网服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。1.VPN工作原理oIETF草案理解基于IP的VPN为:使用IP机制仿真出一个私有的广域网是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用因特网公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。隧道技术oVPN克服这些障碍的办法就是采用了隧道技术:数据包不是公开在网上传输,而是首先进行
13、加密以确保安全,然后由VPN封装成IP包的形式,通过隧道在网上传输。如图所示。2.基于防火墙的VPNo基于防火墙的VPN很可能是VPN最常见的一种实现方式,许多厂商都提供这种配置类型。这并不是暗示与别的VPN相比,基于防火墙的VPN是一个较好的选择,它只是在已有的基础上再发展而已。如今很难找到一个连向因特网而不使用防火墙的公司。因为这些公司已经连到了因特网上,所需要的只是增加加密软件。很可能,如果公司刚购买了一个防火墙,往往它就有实现VPN机密技术的能力。9.2 入侵检测技术o入侵检测系统作为一种积极主动的安全防护手段,在保护计算机网络和信息安全方面发挥着重要的作用。入侵检测是监测计算机网络和
14、系统以发现违反安全策略事件的过程。入侵检测系统(Intrusion Detection System,IDS)工作在计算机网络系统中的关键节点上,通过实时地收集和分析计算机网络或系统中的信息,来检查是否出现违反安全策略的行为和遭到袭击的迹象,进而达到防止攻击、预防攻击的目的。9.2 入侵检测技术o9.2.1入侵检测概述o9.2.2 IDS类型o9.2.3 IDS基本技术9.2.1入侵检测概述o入侵检测系统通过对网络中的数据包或主机的日志等信息进行提取、分析,发现入侵和攻击行为,并对入侵或攻击作出响应。入侵检测系统在识别入侵和攻击时具有一定的智能,这主要体现在入侵特征的提取和汇总、响应的合并与融
15、合、在检测到入侵后能够主动采取响应措施等方面,所以说,入侵检测系统是一种主动防御技术。1.IDS的产生o国际上在20世纪70年代就开始了对计算机和网络遭受攻击进行防范的研究,审计跟踪是当时的主要方法。1980年4月,James P.Anderson为美国空军做了一份题为Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)的技术报告,这份报告被公认为是入侵检测的开山之作,报告里第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟
16、踪数据,监视入侵活动的思想。1.IDS的产生o从1984年到1986年,Dorothy E.Denning和Peter Neumann研究并发展了一个实时入侵检测系统模型,命名为IDES(入侵检测专家系统),为构架入侵检测系统提供了一个通用的框架。o1987年,Denning提出了一个经典的异常检测抽象模型,首次将入侵检测作为一种计算机系统安全的防御措施提出。o1988年Morris Internet 蠕虫事件导致了许多IDS系统的开发研制。1.IDS的产生o1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(Network
17、Security Monitor)。NSM是入侵检测研究史上一个非常重要的里程碑,从此之后,入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS。o1991年,美国空军等多部门进行联合,开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品,它的检测模型采用了分层结构。o1994年,Mark Crosbie和Gene Spafford建议使用自治代理(autonomous agents)以便提高IDS的可伸缩性、可维护性、效率和容错性,该理念非常符合正在进行的计算机科学其他领
18、域(如软件代理,software agent)的研究。o1995年开发了IDES完善后的版本NIDES(Next-Generation Intrusion Detection System)可以检测多个主机上的入侵。2.IDS功能与模型o入侵检测就是监测计算机网络和系统以发现违反安全策略事件的过程。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。完成入侵检测功能的软件、硬件组合便是入侵检测系统。简单来说,IDS包括3个部分:n提供事件记录流的信息源,即对信息的收集和预处理;n入侵分析引擎;n基于分析引擎的
19、结果产生反应的响应部件。2.IDS功能与模型o一般来说,IDS能够完成下列活动:n监控、分析用户和系统的活动;n发现入侵企图或异常现象;n审计系统的配置和弱点;n评估关键系统和数据文件的完整性;n对异常活动的统计分析;n识别攻击的活动模式;n实时报警和主动响应。2.IDS功能与模型o为了提高IDS产品、组件及与其它安全产品之间的互操作性,美国国防高级研究计划署(DARPA)和互联网工程任务组(IETF)的入侵检测工作组(IDWG)发起制定了一系列建议草案,DARPA提出的建议是通用入侵检测框架(CIDF,Common Intrusion Detection Framework),如图所示。CI
20、DF根据IDS系统的通用的需求以及现有的IDS系统的结构,将入侵检测系统分为四个基本组件:事件产生器(Event generators)、事件分析器(Event analyzers)、响应单元(Response units)和事件数据库(Event databases)。这种划分体现了入侵检测系统所必须具有的体系结构:数据获取、数据分析、行为响应和数据管理。因此具有通用性。通用入侵检测模型 9.2.2 IDS类型o随着入侵检测技术的发展,到目前为止出现了很多入侵检测系统,不同的入侵检测系统具有不同的特征。根据不同的分类标准,入侵检测系统可分为不同的类别。按照信息源划分入侵检测系统是目前最通用的
21、划分方法。入侵检测系统主要分为两类,即基于网络的IDS和基于主机的IDS。1.基于网络的IDSo基于网络的入侵监测系统使用原始的网络数据包作为数据源,主要用于实时监控网络关键路径的信息,它侦听网络上的所有分组来采集数据,分析可疑现象。基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常将主机的网卡设成混乱模式,实时监视并分析通过网络的所有通信业务。当然也可能采用其它特殊硬件获得原始网络包。它的攻击识别模块通常使用四种常用技术来识别攻击标志:1.基于网络的IDSo它的攻击识别模块通常使用四种常用技术来识别攻击标志:o 模式、表达式或字节匹配o 频率或穿越阀值o 次要事件的相关性o
22、 统计学意义上的非常规现象检测基于网络检测的优点o(1)实施成本低。o(2)隐蔽性好。o(3)监测速度快。o(4)视野更宽。o(5)操作系统无关性。o(6)攻击者不易转移证据。基于网络检测的缺点o基于网络的入侵检测系统的主要缺点是:只能监视本网段的活动,精确度不高;在交换网络环境下无能为力;对加密数据无能为力;防入侵欺骗的能力也比较差;难以定位入侵者。2.基于主机的IDSo基于主机的入侵检测系统通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快
23、地启动相应的应急响应程序。当然也可以通过其它手段从所在的主机收集信息进行分析。基于主机的入侵检测系统主要用于保护运行关键应用的服务器。基于主机IDS的优点o(1)能够检测到基于网络的系统检测不到的攻击。o(2)安装、配置灵活。o(3)监控粒度更细。o(4)监视特定的系统活动。o(5)适用于交换及加密环境。o(6)不要求额外的硬件。基于主机入侵检测的缺点o占用主机的资源,在服务器上产生额外的负载;缺乏平台支持,可移植性差,应用范围受到严重限制,例如,在网络环境中,某些活动对于单个主机来说可能构不成入侵,但是对于整个网络是入侵活动.例如“旋转门柄”攻击,入侵者企图登录到网络主机,他对每台主机只试用
24、一次用户ID和口令,并不进行暴力口令猜测,如果不成功,便转向其它主机.对于这种攻击方式,各主机上的入侵检测系统显然无法检测到,这就需要建立面向网络的入侵检测系统.9.2.3 IDS基本技术o1.误用检测o误用检测最适用于已知使用模式的可靠检测,这种方法的前提是入侵行为能按照某种方式进行特征编码。如果入侵者攻击方式恰好匹配上检测系统中的模式库,则入侵者即被检测到。入侵特征描述了安全事件或其它误用事件的特征、条件、排列和关系。误用入侵检测模型 模式库模式匹配攻击者警报2.异常检测o异常检测的前提是异常行为包括入侵行为。最理想情况下,异常行为集合等同于入侵行为集合,但事实上,入侵行为集合不可能等同于
25、异常行为集合,有4 种行为:行为是入侵行为,但不表现异常;行为是入侵行为,且表现异常;行为不是入侵行为,却表现异常;行为既不是入侵行为,也不表现异常。2.异常检测 异常活动集与入侵活动集之间的关系如下图所示:入侵检测技术o入侵检测系统是一种主动防御技术。由于现在针对系统和网络的入侵行为越来越多,因此入侵检测系统的应用越来越广泛。入侵检测作为传统计算机安全机制的补充,它的开发应用增大了网络与系统安全的保护纵深,成为目前动态安全工具的主要研究和开发方向。o随着系统漏洞不断被发现,攻击不断发生,入侵检测系统在整个安全系统中的地位不断提高,所发挥的作用也越来越大。9.3 安全扫描技术o安全扫描技术是为
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全概论 信息安全概论课件第九章 网络安全技术 信息 安全 概论 课件 第九 网络安全 技术