08-网络安全技术_计算机软件及应用_it计算机_专业资料

* 1第 8讲 网络安全技术*2课程内容电 子 邮 件安全防火 墙 与 VPN 入侵 检测 系 统 网 络扫 描技 术4123*3电子邮件的安全v电子邮件已经成为我们生活中不可缺少的一部分v带来方便的同时也存在安全问题 垃圾邮件 诈骗邮件 邮件炸弹 通过邮件传播的病毒 *4解决方法v 可以从三个方面入手：v 端到端的安全电子邮件技术 PGP S/MIMEv 传输层的安全电子邮件技术 VPN SSL SMTP SSL POPv 邮件服务器的安全与可靠性 防网络入侵 防拒绝服务攻击*5PGPvPGP是 Pretty Good Privacy的缩写，是一种长期在学术界和技术界都广泛使用的安全邮件标准。vPGP的特点 : 使用单向散列算法对邮件内容进行签名，以保证信件内容无法被篡改 使用公钥和私钥技术保证邮件内容保密且不可否认。*6v PGP是 RSA和传统加密的杂合算法， PGP实际上并不是用 RSA来加密内容本身，而是采用了 IDEA的传统加密算法。 PGP是用一个随机生成密钥 (每次加密不同 )及IDEA算法对明文加密， 然后再用 RSA算法对该密钥加密 。这样的 链式加密方式 做到了既有 RSA体系的保密性，又有 IDEA算法的快捷性。v PGP的创意有一半就在这一点上，另一半则在 PGP的密钥管理上 。PGP的算法*7垃圾邮件的定义v收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件；v收件人无法拒收的电子邮件；v隐藏发件人身份、地址、标题等信息的电子邮件；v含有虚假的信息源、发件人、路由等信息的电子邮件 *8现状v2010年 9月份 10大垃圾邮件发源地1. 美国 2. 巴西3. 韩国 4. 印度5. 哥伦比亚 6. 波兰7. 中国 8. 越南9. 阿根廷 10. 俄罗斯v美国是最大的垃圾邮件发源地，所占比例为 25%。其次是巴西和韩国，所占比例分别为 12%和 4%。v来自中国的垃圾邮件所占比例为 3%，排名第七*9环保问题v垃圾电子邮件虽然不浪费纸张，其实也是不环保的v由美国环境咨询公司 ICF实施的一项调查显示，2008年全球处理电子垃圾邮件耗电量达 330亿度，相当于往大气中排放 1700万吨二氧化碳。 v日本 每日新闻 21日援引 ICF公司的调查报道说， 2008年全球电子垃圾邮件数量达 62万亿封，处理这些电子垃圾邮件浪费了 330亿度电，这是 920万户日本普通家庭全年的用电量。 vICF公司指出，垃圾邮件不仅给用户造成财产损失，导致投入产出比下降，还将给地球环境带来深刻的负面影响。*10防范方法v避免泄露你的邮件地址。 v不要随便回应垃圾邮件。v借助反垃圾邮件的专门软件。v使用好邮件管理、过滤功能。v学会使用远程邮箱管理功能。v选择服务好的网站申请电子邮箱地址。*11课程内容电 子 邮 件安全防火 墙 与 VPN 入侵 检测 系 统 网 络扫 描技 术4123* 12防火墙原理防火墙原理v在计算机网络中，防火墙是能加强机构内部网络安全的软硬件相结合的系统 防止外部用户非法进入 保护内部网络的资源不被破坏和窃取 哪些服务可以被外部网络访问 v防火墙通常部署在公共网络与内部网络的连接处v实际上是一种隔离技术。v防火墙本身也必须能够免于渗透* 13内部工作子网与外网的访问控制内部工作子网与外网的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求防火墙在此处的功能：防火墙在此处的功能：1、工作子网与外部子网的物理、工作子网与外部子网的物理 隔离隔离2、访问控制、访问控制3、对工作子网做、对工作子网做 NAT地址转换地址转换4、日志记录、日志记录Internet 区域区域Internet边界路由器边界路由器DMZ区域区域WWW Mail DNS内部工作子网内部工作子网管理子网一般子网内部 WWW重点子网* 143.1 防火墙的类型防火墙的类型v按照工作原理分类 分组过滤路由器（包过滤防火墙） 应用层网关防火墙 电路级网关防火墙v按照体系结构分类 双宿主主机 屏蔽主机 屏蔽子网* 15包过滤路由器包过滤路由器v基本的思想很简单 对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包 往往配置成双向的v如何过滤 过滤的规则以 IP和传输层的头中的域 (字段 )为基础，包括源和目标 IP地址、 IP协议域、源和目标端口号 过滤器往往建立一组规则，根据 IP包是否匹配规则中指定的条件来作出决定。 如果匹配到一条规则，则根据此规则决定转发或者丢弃 如果所有规则都不匹配，则根据缺省策略* 16包过滤路由器示意图包过滤路由器示意图网络层链路层物理层外部网络 内部网络* 17包过滤防火墙的设置包过滤防火墙的设置 (1)v从内往外的 telnet服务client server外部内部往外包的特性 (用户操作信息 )IP源是内部地址目标地址为 serverTCP协议，目标端口 23源端口 1023连接的第一个包 ACK=0，其他包 ACK=1往内包的特性 (显示信息 )IP源是 server目标地址为内部地址TCP协议，源端口 23目标端口 1023所有往内的包都是ACK=1* 18包过滤防火墙的设置包过滤防火墙的设置 (2)v从外往内的 telnet服务client server内部外部往内包的特性 (用户操作信息 )IP源是外部地址目标地址为本地 serverTCP协议，目标端口 23源端口 1023连接的第一个包 ACK=0，其他包 ACK=1往外包的特性 (显示信息 )IP源是本地 server目标地址为外部地址TCP协议，源端口 23目标端口 1023所有往内的包都是ACK=1* 19针对针对 telnet服务的防火墙规则服务的防火墙规则*: 第一个 ACK=0, 其他 =1服务方向包方向 源地址 目标地址包类型 源端口 目标端口ACK往外 外 内部 外部 TCP 1023 23 *往外 内 外部 内部 TCP 23 1023 1往内 外 外部 内部 TCP 1023 23 *往内 内 内部 外部 TCP 23 1023 1* 20只对网络级数据包做保护是不够的只对网络级数据包做保护是不够的/downloads/Gettysburg Four score and seven years ago our forefathers brought forth upon this BANNED WORDS a new nation, n liberty, and dedicated to the proposition that all 防火墙只检查包头 让带有攻击和禁止内容的 “合法 ”数据包通过应用层内容过滤1. 重新组装数据包Four score and seven years ago our forefathers brought forth upon this BANNED WORDS a new liberty, and dedicated to the proposition that all URL 过滤仅查找 URL黑名单，遗漏了深入在内容里 被禁止的词汇 BAD CONTENTBANNED WORDSNASTY THINGSNASTIER THINGS不接受的内容攻击特征2. 对比不允许内容和攻击列表网络层内容(数据包 )基于数据包的病毒扫描可能觉察不到横跨在多个数据包里的攻击* 21针对包过滤防火墙的攻击针对包过滤防火墙的攻击vIP地址欺骗，例如，假冒内部的 IP地址 对策：在外部接口上禁止内部地址v小碎片攻击，利用 IP分片功能把 TCP头部切分到不同的分片中 对策：丢弃分片太小的分片v利用复杂协议和管理员的配置失误进入防火墙 例如，利用 ftp协议对内部进行探查* 22应用层网关应用层网关v也称为代理服务器v特点 所有的连接都通过防火墙，防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全，但是开销比较大* 23高层协议控制高层协议控制v 应用控制可以对常用的高层应用做更细的控制v 如 HTTP的 GET、 POST、 HEADv 如 FTP的 GET、 PUT等物理层链路层网络层传输层会话层表示层应用层物理层链路层网络层传输层会话层表示层应用层内部网络 外部网络防火墙内部接口 外部接口根据策略检查应用层的数据符合策略应用层 应用层应用层* 24应用层网关的结构示意图应用层网关的结构示意图* 25应用层网关实现应用层网关实现v 编写代理软件 代理软件一方面是服务器软件 但是它所提供的服务可以是简单的转发功能 另一方面也是客户软件 对于外面真正的服务器来说，是客户软件 针对每一个服务都需要编写模块或者单独的程序 实现一个标准的框架，以容纳各种不同类型的服务 软件实现的可扩展性和可重用性v 客户软件 软件需要定制或者改写 对于最终用户的透明性？v 协议对于应用层网关的处理 协议设计时考虑到中间代理的存在，特别是在考虑安全性，比如数据完整性的时候* 26电路层网关电路层网关* 27电路层网关电路层网关v本质上，也是一种代理服务器 有状态的包过滤器 动态包过滤器v状态 上下文环境 流状态v认证和授权方案v例子： socks* 28防火墙的配置防火墙的配置v几个概念 堡垒主机 (Bastion Host)：对外部网络暴露，同时也是内部网络用户的主要连接点 多宿主主机 (m