Internet安全和防火墙.ppt

第3章Internet安全 2 3 1Internet安全概述3 2防火墙技术3 3VPN技术3 4网络入侵检测3 5IP协议安全3 6电子商务应用安全协议 目录 3 引例 万事达系统遇袭事件 万事达系统遇袭事件不是网络时代的个案 网站遇袭时间早已不是新闻 难道Internet毫无安全可言吗 4 3 1Internet安全概述 3 1 1网络层安全3 1 2应用层安全3 1 3系统安全3 1 4TCP IP与WWW安全 5 3 1 1网络层安全网络层安全指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护 典型的网络层安全服务包括 认证和完整性保密性访问控制 3 1Internet概述 6 3 1 2应用层安全应用层安全指的是建立在某个特定的应用程序内部 不依赖于任何网络层安全措施而独立运行的安全措施 应用层安全措施包括 认证访问控制保密性数据完整性不可否认性与Web 与信息传送有关的安全措施 3 1Internet概述 7 3 1 3系统安全系统安全是指对特定终端系统及其局部环境的保护 而不考虑对网络层安全或应用层安全措施所承担的通信保护 系统安全措施包括 确保在安装的软件中没有已知的安全缺陷确保系统的配置能使入侵风险降至最低确保所下载的软件其来源是可信任的和可靠的确保系统能得到适当管理以使侵入风险最小确保采用合适的审计机制 以便能防止对系统的成功入侵和采取新的合适的防御性措施 3 1Internet概述 8 3 1 4TCP IP与WWW安全TCP IP协议及服务WWW的安全性Java的安全性 3 1Internet概述 9 TCP IP协议1定义2层次结构3内容 10 TCP IP是transmissioncontrolprotocol internetprotocol的缩写 传输控制协议 互联网络协议 其含有上百个协议的协议集 TCP和IP二个该协议集中最基本的协议 11 通常被认为是一个四层协议 应用层 运输层 网络层 链路层链路层 也称作数据链路层或网络接口层 通常包括操作系统中的设备驱动和计算机中对应的网络接口卡 网络层 也称作互连网层 处理分组在网络中的活动 运输层 主要为二台主机上的应用程序提供端到端的通信 应用层 负责处理特定的应用程序细节 12 13 14 链路层作用 为IP模块发送和接收IP数据报为ARP模块发送ARP请求和接收ARP应答为RARP模块发送RARP请求和接收RARP应答以太网链路层协议 ETHERNET 由数字设备公司 英特尔公司和Xerox公司在1982年联合公布的一个标准 是当今TCP IP采用的主要局域网技术 15 ARP协议和RARP协议ARP AddressResolutionProtocol 地址解析协议 为IP地址到对应的硬件地址之间提供动态映射 RARP ReverseAddressResolutionProtocol 逆地址解析协议 IP地址 32bit物理地址 mac 48bit 16 网络层作用 IP网际协议 ICMP互联网控制报文协议ping IGMP组管理协议 将数据封装成IP协议所需的数据包选择合适的发送路径 将数据发送到接收方IP地址 用于标记计算机由四个8位二进制数字域组成 总长度为4个字节的32位二进制数组成 理论上可组成2的32次方40多亿不同IP地址 实际上少得多 由四个用小数点隔开的十进制数字域组成 其中每个域的十进制取值在0 255之间 点分法 17 IP地址可以分为5类 A B C D E 18 19 20 21 ICMP互联网控制报文协议IP层的一个协议 传递差错报文以及其他需要注意的信息 主机不可达 端口不可达等 Ping命令的格式 ping目的地址参数1参数n其中目的地址是指被测试计算机的IP地址或域名A 解析主机地址 N 数据 发出的测试包的个数 缺省值为4 L 数值 所发送缓冲区的大小 T 继续执行ping命令 直到用户终止 命令返回的TTL 生存时间 系统设置不同 22 运输层作用为应用程序提供不同质量的服务TCP可靠 用于传输大量数据 如FTP等UDP不可靠 用于即时传输少量数据 如QQ MSN等TCP为两台主机提供高可靠性的数据通信 它所做的工作包括把应用程序交给它的数据分成合适的小块交给下面的网络层 确认接收到的分组 设置发送最后确认分组的超时时钟等 由于运输层提供了高可靠性的端到端通信 因为应用层可以忽略所有细节 23 TCP协议 端口 一个软件结构 被客户程序和服务进程用来发送和接收信息 一个端口对应一个16比特的数 服务进程通常使用一个固定的端口 分类 保留端口0 1023动态端口1024 49151私有端口49152 65535 24 常用端口列表 25 UDP用户数据协议为应用层提供一种非常简单的服务 只是把称作数据报的分组从一台主机发送到另一台主机 但并不保证该数据报能到达另一端 任何必需的可靠性必须由应用层来提供 26 应用层作用应用程序进入网络的通道 在应用层有许多TCP IP工具和服务 如telnet ftp http smtp pop3等 27 常用tcp ip服务及安全性telnet远程登录最早的一种internet应用 起源于1969年的阿帕网 是telecommunicationnetworkprotocol的缩写 提供远程登录功能的应用 几乎每个TCP IP的实现都提供这个功能 能够运行在不同操作系统的主机之间 28 telnet采用客户服务器模式 29 一般步骤 30 telnet应用 BBS最常用应用 提供信息分类讨论 收发邮件 聊天交流等 telnet工具 telnet命令登录 网页登录 专用工具 netterm cterm Telnet的安全性1没有口令保护 远程用户的登录传送的帐号和密码都是明文 安全弱点2认证过程简单 只是验证连接者的帐户和密码3传送数据没有加密 意味着telnet不安全 使用网络嗅控器可以截取其数据 31 FTP文件传输Filetransferprotocol是另一个常见的应用程序 用于文件传输的internet标准 由FTP提供的文件传送是将一个完整的文件从一个系统复制到另一个系统中 要使用FTP 就需要有登录服务器的注册账号 或通过允许匿名FTP的服务器来使用 32 FTP与TELNET应用不同 它采用二个TCP连接来传输一个文件 1控制连接 以通常的客户服务器方式建立 服务器以被动方式打开众所周知的用于FTP的端口21 等待客户的连接 客户刚以主动方式找开TCP端口21 来建立连接 2数据连接 每当一个文件在客户与服务器之间传输时 就创建一个数据连接 33 FTP文件传输 34 FTP传输文件类型 ASCII码文件类型 二进制文件类型TELNET传输文件类型 ASCII码文件类型FTP 命令 IE 工具 cuteftp leapftp FTP安全性 未加密 易被窃听 匿名账号的设置 权限控制 路径设置做法 未经授权用户禁止操作 不可读取未经系统所有者允许的文件或目录 不可在服务器上建文件或目录 不能删除服务器上的文件或目录 35 HTTP网页浏览超文本传输协议 hypertexttransferprotocol 是用于从WWW服务器传输超文本到本地浏览器的传送协议 其万维网worldwideweb的核心 URL uniformresourcelocator统一资源定位符 36 HTTP浏览 客户服务器结构 37 HTTP是一个简单协议 客户进程建立一条同服务器进程的TCP连接 然后发出请求并读取服务器进程的响应 服务器进程关闭连接表示本次响应结束 客户进程 浏览器 提供图形界面 HTTP服务器进程只是简单返回客户进程所请求的文档 这些文档包括文本 图片 语音 视频 其他格式的文件 Www工具 IE NETSCAPE 38 WEB的安全性服务器 选择安全的WEB服务器 及时安装补丁程序 关闭不必要服务浏览器 及时安装补丁程序 选择合适安全级别 信息加密防截获 39 DNS域名服务domainnameservice由于一般用户很难记住数字形式的IP地址 而名字则比号码容易记忆 INTERNET从85年起在原有IP地址系统的基础上 开始向用户提供了DNS域名系统 对比 某网站 40 域名系统 主机名 域名 的多级结构 一般不超过五级域名服务器在互联网上 用于完成域名及对应IP地址转换的服务器每一个域名服务器保存有在它上面注册的域名与对应的IP地址 并组成域名数据库 将因特网所有的域名服务器编联到一起 就组成了域名管理系统域名服务器的IP地址是一项重要参数 41 国家代码 42 国际流行域类型 43 国内流行域类型 44 DNS安全性可能泄露内部机器主机信息 域名注册 认证ip或主机名认证 可结合认证用户 防假冒 WWW的安全性风险1存放服务器文件系统上的机密文件被窃取2由远程用户发送给服务器的私人或保密信息被截获3有关服务器主机详细信息泄露 使侵入者分析 找出漏洞并闯入4服务器存在允许外来者在服务器上执行命令的漏洞 使得外来者得以改动或破坏 45 www服务器主要安全漏洞物理路径泄露 服务文件存放地址 源代码泄露 早其直接查看脚本 动态编程改善 目录遍历 类似于本机文件查阅使用 执行任意命令 发送命令 缓冲区溢出 冲击波病毒 一旦产生溢出后 可使用任意命令 拒绝服务 电子珍珠港 不能提供正常服务 46 3 2防火墙技术 3 2 1防火墙的基本概念3 2 2防火墙的基本原理3 2 3防火墙的实现方式 47 3 2 1防火墙的基本概念防火墙 firewall 是在两个网络之间强制实施访问控制策略的一个系统或一组系统 用来限制被保护的网络与互联网络之间 或者与其他网络之间相互进行信息存取 传递操作的部件或部件集 狭义 指安装了防火墙软件的主机或路由器系统 防火墙应具备条件1内部与外部之间的所有网络数据流必须经过防火墙2只有符合安全策略的数据流才能通过防火墙 3 2防火墙技术 48 防火墙 隔离内部网和internet的有效安全机制 49 3 2 1防火墙的基本概念防火墙作用 定义了一个必经之点提拱了一个监视各种安全事件的位置实现某些功能的一个理想平台防火墙的功能 过滤不安全的服务和非法用户控制对特殊站点的访问作为网络安全的集中监视点防火墙的不足之处 不能防范不经由防火墙的攻击 e g 拨号不能防止受到病毒感染的软件或文件的传输不能防止数据驱动式攻击 3 2防火墙技术 50 3 2 2防火墙的基本原理1 包过滤型防火墙 3 2防火墙技术 51 3 2 2防火墙的基本原理2 应用网关型防火墙 3 2防火墙技术 52 3 2 2防火墙的基本原理3 代理服务型防火墙 3 2防火墙技术 53 3 2 3防火墙的策略构筑防火墙之前 需要制定一套有效的安全策略网络服务访问策略 一种高层次具体到事件的策略 主要用于定义在网络上允许或禁止的服务防火墙设计策略 1一切未被允许的就是禁止的2一切未被禁止的都是允许的 3 2防火墙技术 54 3 2 4防火墙的基本类型包过滤型代理服务器型复合型防火墙 55 包过滤型1基本思想 对于每个进来的包适用一组规则 然后决定转发或丢弃该包2如何过滤过滤规则以IP层和运输层的头中字段为基础过滤器往往建立一组规则 根据IP包是匹配规则中指定的条件来作出决定 如果匹配到一条规则 则根据此规则决定转发或丢弃 如果所有规则都不匹配 则根据缺省策略 判断依据 数据包协议类型 IP地址 端口 IP选项 数据包流向等等 56 包过滤路由器设置实例 1按地址2按服务 57 包过滤路由器示意图 58 包过滤型防火墙特点 优点 1逻辑简单 对网络性能的影响较小2与应用层无关 无须改动任何客户机和主机上的应用程序 易于安装和使用缺点 1配置基于包过滤方式的防火墙 需要对TCP IP UDP等各种协议有深入了解 包的特征 2允许外部客户和内部主机直接连接3不提供用户的鉴别机制 身份等的确认 59 代理服务器型1基本思想代理服务是运行在防火墙主机上的一些特定的应用程序或服务器程序这些程序将用户对互联网络的服务请求依据已制定的安全规则向外提交 代理服务替代了用户与互联网络的直接连接 达到安全目的代理服务器也称为应用层网关 60 应用层网关结构示意图 61 代理服务器特点 优点 易于配置 界面友好透明性 假象 不允许内外网主机直接连接可以实现基于用户的认证可以提供比包过滤更详细的日志记录可以隐藏内部IP地址可以与认证 授权等安全手段方便的集成缺点 代理速度比包过滤慢新服务不能及时被代理每个被代理的服务要求专门的代理软件有些服务要求建立直接连接 无法使用代理代理服务不能避免协议本身的缺陷 62 复合型防火墙把包过滤和代理服务二种方法结合起来 构成复合型的防火墙 所用主机称为堡垒主机 负责提供代理服务 63 3 2 5防火墙的基本体系结构双宿主主机结构主机过滤结构子网过滤结构 64 几个有关定义主机 与网络系统相连的计算机系统堡垒主机 指一个计算机系统 它对外部网络暴露 同时又是内部网络用户的主要连接点 所以非常容易被侵入 因此要严加保护双宿主主机 具有至少二个网络接口的通用计算机系统包 在互联网络上进行通信时的基本信息单位路由 为转发的包分组选择正确的接口和下一路径片段的过程DMZ demilitarizedzone 非军事区或停火区 在内部网络和外部网络之间增加的一个子网 也称参数网络 65 双宿主主机结构 拥有两个或多个连接到不同网络上的网络接口 通常用一台装有两块或多块网卡的双宿主主机做防火墙 分别与受保护网和外部网相连 66 双宿主主机结构 优点 结构简单可以提供很高的网络控制缺点 需要用户认证 使用不方便 67 主机过滤结构 主机过滤结构由包过滤路由和保垒主机组成 堡垒主机仅仅与内部网相连 任何外部网的主机都只能与内部网的堡垒主机建立连接 任何外部系统对内部网络的操作都必须经过堡垒主机 双层 68 主机过滤结构 优点 两层保护 包过滤和应用层网关比单独包过滤或应用网关代理更安全可以进行灵活配置缺点 一旦包过滤路由器被攻破 堡垒主机就可能被越过 使内部网络完全暴露 69 子网过滤结构 采用了两个包过滤路由器和一个保垒主机 在内外网络之间建立了一个被隔离的子网 定义为DMZ 使得内部网与外部网之间有三层防护 最安全的一种 70 子网过滤结构 优点 三层防护 安全性高外部路由器只向外网暴露子网中的主机内部路由器只向内网暴露子网中的主机即使堡垒主机被入侵者控制 内部网仍受到内部包过滤路由器的保护 71 防火墙局限性 不能防止内部攻击对于绕过防火墙的攻击无能为力不能防止被病毒感染的程序或邮件等作为一种被动防护手段 不能防范网络上不断出现的新威胁和攻击 72 3 2 6防火墙的选择确立网络安全保护策略1要保护内部网的规模2内部网的主要用途 用户结构 需求3内部网有无安全级别要求对防火墙进行评价 分析1对防火墙的各种类型的优缺点要有所了解2防火墙的稳定性及所支持平台3投资大小4企业技术力量能否支持维护 73 3 3VPN技术 虚拟专用网络 virtualprivatenetwork VPN 技术为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式 74 3 3 1VPN的基本功能一个成功的VPN方案应能满足 用户身份验证地址管理数据加密密钥管理多协议支持3 3 2VPN的安全策略隧道技术加解密技术密钥管理技术使用者与设备身份认证技术 3 3VPN技术 75 3 4网络入侵检测 3 4 1网络入侵检测的原理检测策略基于主机的检测基于应用程序的检测基于目标的检测基于网络的检测3 4 2网络入侵检测的主要方法异常检测误用检测 76 3 5IP协议安全 3 5 1IP安全体系结构IPsec文档IPsec的服务IPsec安全结构3 5 2认证头协议 AH 3 5 3分组加密协议 ESP 3 5 4安全关联3 5 5密钥交换3 5 6Ipsec的应用 77 3 5 1IP安全体系结构IPsec的基本功能包括 在IP层提供安全服务选择需要的安全协议决定使用的算法保存加密使用的密钥IPsec文档 3 5IP协议地址 78 3 5 1IP安全体系结构IPsec的服务访问控制无连接完整性数据源的鉴别拒绝重放的分组机密性有限的通信量机密性IPsec安全结构安全协议 AH和ESP安全关联 SA 密钥交换 手工和自动 IKE 认证和加密算法 3 5IP协议地址 79 3 5 2认证头协议AHAH的功能AH的格式AH的两种模式认证算法 3 5IP协议地址 80 3 5 3分组加密协议ESPESP的功能主要支持IP数据项的机密性也可提供认证服务ESP的格式ESP的两种模式传输模式隧道模式ESP的处理输出包处理输入包处理 3 5IP协议地址 81 3 5 4安全关联 SA 安全关联的概念一个SA是在发送者和接收者这两个IPsec系统之间的一个简单的单向逻辑连接SA三元组 安全关联的类型传输模式隧道模式SPD和SAD 3 5IP协议地址 82 3 5 5密钥交换IPsec的密钥交换包括密钥的确定和分配两种类型手工方式自动方式 3 5IP协议地址 83 3 5 6Ipsec的应用Ipsec的优点Ipsec的应用 3 5IP协议地址 84 3 6电子商务应用安全协议 3 6 1增强的私密电子邮件 PEM 3 6 2安全多用途网际邮件扩充协议 S MIME 3 6 3安全超文本传输协议 S HTTP 3 6 4安全套接层协议 SSL 3 6 5安全电子交易协议 SET 85 3 6 1增强的私密电子邮件 PEM PEM规范缺点 与同期的多用途网际邮件扩充协议MIME不兼容 3 6电子商务应用安全协议 86 3 6 2安全多用途网际邮件扩充协议S MIME电子邮件内容的安全问题发送者身份认证不可否认邮件的完整性邮件的保密性S MIME标准 Secure MultipurposeInternetMailExtension 设计目标 使自己能较易加入到已有的Email产品之中安全标准 信息格式 继承了MIME规格信息加密标准 包括DES 三重DES RC4数字签名标准 PKCS数字证书格式 X 509MIME和S MIME 3 6电子商务应用安全协议 87 3 6 3安全超文本传输协议 S HTTP S