《网络攻击与防御》课件第七章网络安全设备的攻击与防御.pptx
《《网络攻击与防御》课件第七章网络安全设备的攻击与防御.pptx》由会员分享,可在线阅读,更多相关《《网络攻击与防御》课件第七章网络安全设备的攻击与防御.pptx(86页珍藏版)》请在文库网上搜索。
1、第七章 网络安全设备的攻击与防御第七章第七章 网络安全设备的攻击与防御网络安全设备的攻击与防御7.1 路由技术路由技术7.2 路由器安全路由器安全7.3 防火墙防火墙7.4 防火墙攻击防火墙攻击7.5 路由器和防火墙的路由器和防火墙的比较比较第七章 网络安全设备的攻击与防御7.1 路路 由由 技技 术术7.1.1 路由和路由器路由和路由器 1路由路由路由是数据从一个节点传输到另外一个节点的过程。我们要出发到某地,一般先确定路线,但是走到中途,可能由于某些原因必须改变路线,路由就是在网络上类似的路线。路由的功能就是选择一条从源网络到目的网络的路径,并进行数据包的转发。在网络中,携带目的地址的数据
2、包沿着指定的路由传送到目的地。第七章 网络安全设备的攻击与防御2路由器路由器路由器是在互联网中实现路由功能的主要节点设备。同一子网中的计算机可以直接通信,不同子网中的计算机要互相通信,则必须借助路由器。路由器通过路由来决定数据在网络之间的转发。路由器有两大典型功能,即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等,一般由特定的硬件来完成;控制功能一般用软件来实现,包括与相邻路由器之间的信息交换、系统配置、系统管理等。第七章 网络安全设备的攻击与防御人们一般会把路由和交换进行比较,主要是因为在普通用户看来两者所实现的功能是完全一样的。其实,路由和交换之间的主要区别就
3、是交换发生在 OSI 参考模型的第 2 层(数据链路层),而路由发生在第 3 层(网络层)。但是为了实现从源网络到目的网络的数据包传递,应该使用路由选择功能。第七章 网络安全设备的攻击与防御3支持路由的网络协议支持路由的网络协议在常见的网络协议中,TCP/IP、IPX/SPX(主要用于 Novell NetWare 网 络)和AppleTalk(主要用于 Apple Macintosh 网络)等都是支持路由的协议,支持这些协议的路由器也称为 IP 路由器、IPX 路由器、AppleTalk 路由器。能够同时支持两种以上网络协议的路由器称为多协议路由器。在 TCP/IP 网络中,IP 路由器又叫
4、 IP 网关。第七章 网络安全设备的攻击与防御4软件路由器和专用路由器软件路由器和专用路由器在路由的实现过程中,根据方法的不同,可以分为专用路由器路由及软件路由,相应地,路由器可以是专门的硬件设备,一般称专用路由器或硬件路由器,也可以由软件来实现,一般称主机路由器或软件路由器。一般认为普通 PC 安装一套专用的路由器程序组成的系统称为软件路由器。第七章 网络安全设备的攻击与防御专用路由器在速度、流量控制方面都比较优越,网络接口多,适用于多个网络的互联。如果网络的规模较大,如大学的校园网、大型企业的网络、ISP 等,还是采用专用的路由器为好。专用路由器并不是纯粹的硬件产品,像计算机一样,它包括电
5、源、内部总线、主存、闪存、处理器和操作系统,而且其内部组件还包括专用网卡,用来处理各种各样的可能连接。Cisco 路由器有自己专用的网络操作系统(ISO)。第七章 网络安全设备的攻击与防御7.1.2 路由路由表表1路由表结构路由表结构路由表中的每项包括网络地址、转发地址、接口和跃点等信息。不同的网络协议,路由表的结构略有不同。TCP/IP 对应的是 IP 路由表,每台安装 TCP/IP 的系统里面都有一份路由表,在命令行中输入 route print 命令,就可以查看当前的路由表,如图 7-1 所示。第七章 网络安全设备的攻击与防御第七章 网络安全设备的攻击与防御路由表中相关字段:活动路由网络
6、目标:目的地址,用来标识 IP 包的目的地址或者目的网络。网络掩码:与目的地址一起标识目的主机或者路由器所在的网段的地址。网关:转发路由数据包的 IP 地址,一般就是下一个路由器的地址。在路由表中查到目的地址后,将数据包发送到此 IP 地址,由该地址的路由器接收数据包。该地址可以是本机网卡的 IP 地址,也可以是同一子网的路由的地址。接口:指定转发 IP 数据包的网络接口,也就是路由数据包从哪个接口转发出去。跃点数:一个路由为一个跃点。跃点数是经过了多少个跃点的累加器,为了防止无用的数据包在网上流散。第七章 网络安全设备的攻击与防御2主机路由、网络路由和默认路由主机路由、网络路由和默认路由主机
7、路由:到特定 IP 地址即特定主机的路由。主机路由通常用于将自定义路由创建到特定主机以控制或优化网络通信。主机路由的网络掩码为 255.255.255.255。网络路由:到特定网络 ID 的路由。默认路由:如果在路由表中没有找到其他路由,则使用默认路由。例如,如果路由器或主机不能找到目标的网络路由或主机路由,则使用默认路由。默认路由简化了主机的配置。默认路由的网络地址和网络掩码均为 0.0.0.0。第七章 网络安全设备的攻击与防御7.1.3 路由选择过程路由选择过程路由功能就是指选择一条从源到目的的路径,并进行数据包的转发。了解路由选择功能是理解路由的关键。数据在路由选择时 IP 数据包的格式
8、如图 7-2 所示。第七章 网络安全设备的攻击与防御第七章 网络安全设备的攻击与防御7.1.4 静态路由和动态静态路由和动态路由路由1静态路由静态路由静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的,不会传递给其他的路由器。当然,网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。在一个支持 DDR(Dial-on-Demand Routing)的网络中,拨号链路
9、只在需要时才拨通,因此不能为动态路由信息表提供路由信息的变更情况。在这种情况下,网络也适合使用静态路由。第七章 网络安全设备的攻击与防御使用静态路由的另一个好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表,而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。因此,网络出于安全方面的考虑也可以采用静态路由。大型和复杂的网络环境通常不宜采用静态路由。一方面,网络管理员难以全面地了解整个网络的拓扑结构;另一方面,当网络的拓扑结构和链路状态发生变化时,路由器中的静态路由信息需要大范围地调整,这一工作的难度和复杂程度非常高。第七章 网络安全设备的攻击与防御2.动态路由动态路由
10、动态路由是指路由器能够自动地建立自己的路由表,并且能够根据实际情况的变化适时地进行调整。动态路由机制的运作依赖路由器的两个基本功能:对路由表的维护;路由器之间适时的路由信息交换。第七章 网络安全设备的攻击与防御路由器之间的路由信息交换是基于路由协议实现的。交换路由信息的最终目的在于通过路由表找到一条数据交换的“最佳”路径。每一种路由算法都有其衡量“最佳”的一套原则。大多数算法使用一个量化的参数来衡量路径的优劣,一般来说,参数值越小,路径越好。该参数可以通过路径的某一特性进行计算,也可以在综合多个特性的基础上进行计算。几个比较常用的特征是:路径所包含的路由器节点数(hop count)、网络传输
11、费用(cost)、带宽(bandwidth)、延迟(delay)、负载(load)、可靠性(reliability)和最大传输单元 MTU(Maximum Transmission Unit)。第七章 网络安全设备的攻击与防御7.1.5 路由协议路由协议1内部网关协议和外部网关协议内部网关协议和外部网关协议按作用范围,路由协议可分为内部网关协议和外部网关协议。1)内部网关协议内部网关协议简称 IGP,用于自治系统内部,内部网关协议实现简单,系统开销小,不适用于特大规模网络。最常见的是路由信息协议(RIP)、开放式最短路径优先(OSPF)协议。在路由配置中用得最多的是内部网关协议。第七章 网络安
12、全设备的攻击与防御2)外部网关协议外部网关协议简称 EGP,工作在自治系统之间,实现自治域系统之间的通信。外部网关协议针对特大规模网络,复杂程度高,系统开销大。最流行的是边界路由协议(BGP),它是 Internet 上互联网络使用的外部网关协议。第七章 网络安全设备的攻击与防御2距离向量路由协议和连接状态路由协议距离向量路由协议和连接状态路由协议按照路由信息交换的方法,路由协议可分为距离向量路由协议和连接状态路由协议。1)距离向量路由协议距离向量路由协议只与直接连接到网络中的路由器交换路由信息,各个路由器都将信息转发到直接邻接的路由器。交换的路由信息网络链路的距离向量,主要就是在路由表中包含
13、到达目的网络所经过的距离和到达目的网络的下一跳地址。运行距离向量协议的路由器会根据相邻路由器发送过来的信息更改自己的路由表。RIP 是典型的距离向量协议,适用于中小型网络。第七章 网络安全设备的攻击与防御2)连接状态路由协议典型的连接状态路由选择协议是 OSPF 协议。连接状态路由选择协议的目的是得到整个网络的拓扑结构。每个运行连接状态路由协议的路由器都要提供链路状态的拓扑结构信息,并配合网络拓扑结构的变化及时修改路由配置,以适应新的路由选择。连接状态路由协议非常适合中大型网络。第七章 网络安全设备的攻击与防御3RIP 路由信息协议(RIP)是内部网关协议(IGP)中最先得到合法使用的协议。R
14、IP 是一种分布式的基于距离向量的路由选择协议,是因特网的标准协议,其最大的优点就是简单。RIP要求网络中的每一个路由器都要维护从它自己到其他每一个目的网络的距离记录。这里有三个要点,和后面的 OSPF 协议不相同。(1)仅和相邻路由交换信息。两个路由器是相邻的,即在同一个网络上有自己的接口。RIP 规定,不相邻的路由器不交换信息。第七章 网络安全设备的攻击与防御(2)交换的信息是当前本路由器所知道的全部信息,即自己的路由表。即到本自治系统中所有网络的(最短)距离,以及到每个网络应经的下一跳路由器。(3)按固定的时间间隔交换路由信息。例如,每隔 30 秒,路由器根据收到的路由信息更新路由表。当
15、网络拓扑发生变化时,路由器也及时向相邻路由器通告拓扑变化后的路由信息。第七章 网络安全设备的攻击与防御4OSPF 协议OSPF 协议是典型的连接状态路由协议。OSPF 路由器与区域内的每个路由器通信,从而获知整个网络的拓扑结构,是网络拓扑结构来选择路由。这里我们将 OSPF 和 RIP 进行比较。第七章 网络安全设备的攻击与防御第七章 网络安全设备的攻击与防御OSPF 最主要的特征就是使用分布式的链路状态协议,而不是像 RIP 那样的距离向量协议。和 RIP 相比,OSPF 的三个要点和 RIP 的都是不一样的,具体如下:(1)向本自治系统中所有路由器发送信息。这里使用的是洪泛法,就是路由器通
16、过所有输出端口向所有相邻的路由器发送信息。每一个相邻路由器又再次将此信息发往其所有的相邻路由器(但是不再发送给刚刚发来信息的那个路由器)。这样,最终整个区域中所有的路由器都得到了这个信息的一个副本。第七章 网络安全设备的攻击与防御(2)发送的信息就是与本路由器相邻的所有路由器的链接状态。但这只是路由器所知道的部分信息。这里的链路状态是指本路由器和哪些路由器相邻,以及该链路的度量。OSPF用这个“度量”来表示费用、距离、时延、带宽等,这些可以由管理人员自己来决定。(3)只有当链路状态发生变化时,路由器才用洪泛法向所有路由器发送此信息(RIP 是不管网络拓扑有无变化,路由器之间都要定时交换路由表的
17、信息)。第七章 网络安全设备的攻击与防御7.2 路由器路由器安全安全7.2.1 路由器的安全设计路由器的安全设计为了使路由器将合法信息完整、及时、安全地转发到目的地,许多路由器厂商开始在路由器中添加安全模块,于是出现了路由器与安全设备融合的趋势。从本质上讲,增加安全模块的路由器,在路由器功能实现方面与普通路由器没有区别。所不同的是,添加安全模块的路由器可以通过加密、认证等技术手段增强报文的安全性,与专用安全设备进行有效配合,来提高路由器本身的安全性和所管理网段的可用性。第七章 网络安全设备的攻击与防御1网络应用环境对路由器提出的安全要求网络应用环境对路由器提出的安全要求 完整性:要求路由器在转
18、发报文过程中,保证信息不会遭到偶然或蓄意地添加、删除、修改、重放等破坏。保密性:要求路由器保证信息在发送过程中不会被窃听,即使信息被窃听也不能被破译。可用性:要求路由器保证系统或系统资源可被授权用户访问并按照需求使用。可控性:要求路由器根据需要对转发信息进行安全监控,对可疑的网络信息进行分析、截留或其他处理。及时性:要求路由器保证网络信息能够被及时转发,不会因安全处理而使转发时间超出限度。抗攻击性:要求路由器具有抵抗网络攻击的能力。第七章 网络安全设备的攻击与防御2采用的安全技术采用的安全技术为了满足网络应用环境对路由器的安全要求,许多路由器厂商将防火墙、VPN、IDS、防病毒、URL 过滤等
19、技术引入路由器当中。1)访问控制技术用户验证是实现用户安全防护的基础技术。路由器上可以采用多种用户接入的控制手段,如 PPP、Web 登录认证、ACL、802.1x 协议等,保护接入用户不受网络攻击,同时能够阻止接入用户攻击其他用户和网络。基于 CA 标准体系的安全认证,将进一步加强访问控制的安全性。第七章 网络安全设备的攻击与防御2)传输加密技术IPSec 是路由器常用的协议。借助该协议,路由器支持建立虚拟专用网(VPN)。IPSec协议包括 ESP(Encapsulating Security Payload,封装安全负载)、AH(Authentication Header,报头验证)协议
20、及 IKE(Internet Key Exchange,密钥交换)协议等,可以用在公共 IP 网络上确保数据通信的可靠性和完整性,能够保障数据安全穿越公网而没有被侦听。IPSec 部署简便,只需安全通道两端的路由器或主机支持 IPSec 协议即可,几乎不需对网络现有基础设施进行更动。这正是 IPSec 协议能够确保包括远程登录、客户机、服务器、电子邮件、文件传输及 Web 访问等多种应用程序安全的重要原因。第七章 网络安全设备的攻击与防御3)防火墙防护技术采用防火墙功能模块的路由器具有报文过滤功能,能够对所有接收和转发的报文进行过滤和检查,检查策略可以通过配置实现更改和管理。路由器还可以利用
21、NAT/PAT 功能隐藏内网拓扑结构,进一步实现复杂的应用网关(ALG)功能。还有一些路由器提供基于报文内容的防护。原理是,当报文通过路由器时,防火墙功能模块可以对报文与指定的访问规则进行比较,如果规则允许,报文将接受检查,否则报文直接被丢弃。如果该报文用于打开一个新的控制或数据连接,防护功能模块将动态修改或创建规则,同时更新状态表以允许与新创建的连接相关的报文。回来的报文只有属于一个已经存在的有效连接,才会被允许通过。第七章 网络安全设备的攻击与防御4)入侵检测技术在安全架构中,入侵检测(IDS)是一个非常重要的技术,目前有些路由器和高端交换机已经内置 IDS 功能模块。内置入侵检测模块需要
22、路由器具备完善的端口镜像(一对一、多对一)和报文统计支持功能。5)HA(高可用性)提高自身的安全性,需要路由器能够支持备份协议(如 VRRP)和具有日志管理功能,以使得网络数据具备更高的冗余性和能够获取更多的保障。第七章 网络安全设备的攻击与防御7.2.2 路由器的安全路由器的安全设置设置1.堵住安全漏洞堵住安全漏洞限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问,用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被
23、披露,这就使得黑客抢在供应商发行补丁之前利用受影响的系统,这需要引起用户的关注。第七章 网络安全设备的攻击与防御2.避免身份危机避免身份危机黑客常常利用弱口令或默认口令进行攻击。加长口令、选用 30 到 60 天的口令有效期等措施有助于防止这类漏洞。另外,一旦重要的 IT 员工辞职,用户应该立即更换口令。用户应该启用路由器上的口令加密功能,这样即使黑客能够浏览系统的配置文件,他仍然需要破译密文口令。另外,要实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上,用户可以配置一些协议,如远程验证拨入用户服务,这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用
24、户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证,以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分,后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳(SSH)或 IPSec 内传送安全证书。第七章 网络安全设备的攻击与防御3.禁用不必要的服务禁用不必要的服务拥有众多路由服务是件好事,但近来许多安全事件都凸显了禁用不需要的本地服务的重要性。需要注意的是,禁用路由器上的 CDP(Cisco 发现协议)可能会影响路由器的性能。另一个需要用户考虑的因素是定时,定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步,经过一段时间后,时钟仍
25、有可能逐渐失去同步。用户可以利用名为网络时间协议(NTP)的服务,对照有效准确的时间源以确保网络上的设备时针同步。不过,确保网络设备时钟同步的最佳方式不是通过路由器,而是在防火墙保护的非军事区(DMZ)的网络区段放一台 NTP 服务器,将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上,用户很少需要运行其他服务,如 SNMP 和 DHCP,只有绝对必要的时候才使用这些服务。第七章 网络安全设备的攻击与防御4.限制逻辑访问限制逻辑访问主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH 是优先的逻辑访问方法,但如果无法避免 Telnet,不妨
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络攻击与防御 网络攻击与防御课件第七章 网络安全设备的攻击与防御 网络 攻击 防御 课件 第七 网络安全 设备