Web安全技术课件

1、Web安全技术1 第九章 Web安全技术 Web安全技术2 主要内容 q IP安全技术 q E-mail安全技术 q 安全扫描技术 q 网络安全管理技术 q 身份认证技术 q VPN技术 Web安全技术3 1. IP安全技术 q 目前常见的安全威胁 v 数据泄漏 在网络上传输的明文信息被未授权的组织或个人所截获， 造成信息泄漏。 v 数据完整性的破坏 确保信息的内容不会以任何方式被修改，保证信息到达 目的地址时内容与源发地址时内容一致。 v 身份伪装 入侵者伪造合法用户的身份来登录系统，存取只有合法 用户本人可存取的保密信息。 v 拒绝服务 由于攻击者攻击造成系统不能正常的提供应有的服务或 系

2、统崩溃。 Web安全技术4 解决的方案：解决的方案： 加密：防止Sniffer的侦听和篡改。 验证：防止简单的身份伪装和拒绝服务攻击。 为了实现IP网络的安全，IETF提出了一系列的 协议，构成典型的安全体系IPSec （IPSecurity Protocol）。 在RFC中，RFC1825（Internet协议安全体系 结构）、RFC1826（IP鉴别头：AH）、 RFC1827（IP封装安全载荷：ESP）。 Web安全技术5 IPSec安全体系结构 Web安全技术6 v 安全体系结构 包含了一般的概念、安全需求、定义和定义IPSec的技术机 制。 v AH 将每个数据包中的数据和一个变化的

3、数字签名 结合起来，共 同验证发送方身份是的通信一方能确认发送数据的另一方的 身份，并能够确认数据在传输过程中没有被篡改，防止受到 第三方的攻击。 v ESP 提供了一种对IP负载进行加密的机制，对数据包上的数据另 外进行加密。 v IKE 一种协商协议，提供安全可靠的算法和密钥协商，帮助不同 结点之间达成安全通信的协定，包括认证方法、加密方法、 所有的密钥、密钥的使用期限等。 Web安全技术7 一个IP安全性的方案 Web安全技术8 q IPSec的好处 v 当在防火墙或路由器中实现IPSec时，IPSec提供 了强大的安全性，能够应用到所有穿越边界的数 据通信量上。 v 防火墙内部的IPS

4、ec可以抵制旁路。 v IPSec在传输层一下，对于应用程序是透明的。 v IPSec可以对终端用户是透明的，操作简单。 v IPSec可以为单个用户提供安全性。 Web安全技术9 AHESP（只加密） ESP（加密并鉴别） 访问控制 无连接完整性 数据源的鉴别 拒绝重放的分组 机密性 有限的通信量的 机密性 qIPSec的服务 Web安全技术10 2. E-mail安全技术 q 垃圾邮件 包括广告邮件、骚扰邮件、连锁邮件、反动 邮件等。 q 安全电子邮件技术 v 利用SSL SMTP和SSL POP v 利用VPN或其他的IP通道技术，将所有的TCP/IP 传输封装起 Web安全技术11 q

5、 E-mail的安全隐患 v 密码被窃取 v 邮件内容被截获 v 附件中带有大量病毒 v 邮箱炸弹的攻击 v 本身设计上的缺陷 Web安全技术12 q PGP（Pretty Good Privacy） 使用单向单列算法对邮件内容进行签名，以 此保证信件内容无法被篡改，使用公钥和私 钥技术保证邮件内容保密已不可否认。 特征：特征： v 把RSA公钥体系的方便和传统加密体制高度结合， 在数字签名和密钥认证管理机制上更巧妙地设计。 v 密钥管理，采用公钥介绍机制来公布公钥信息， 防止攻击者伪造公钥发布。 Web安全技术13 功能功能使用的算法使用的算法描述描述 数字签名DSS/SHA或 RSA/SH

6、A 使用SHA-1创建的报文的散列编码。采用 DSS或RSA算法使用发送者的私有密钥对这 个报文摘要进行加密，并且包含在报文中 报文加密CAST或IDEA 或3DES，带有 Diffie-Hellman 算法或RSA 采用CAST-128或IDEA或3DES，使用发送 者生成的一次性会话密钥对报文进行加密， 采用Diffie-Hellman或RSA，使用接收方的公 开密钥对会话密钥进行加密并包含在报文中 压缩ZIP报文可以使用ZIP进行压缩，用于存储或传 输 电子邮件兼 容性 64基转换为了提供电子邮件应用的透明性，加密的报 文可以使用64基转换算法转换成ASCII字符 串 分段为了满足最大报

7、文长度的限制，PGP完成报 文的分段和重新装配 PGP服务 Web安全技术14 q PGP的安全 v 针对私钥的攻击 l 对私钥数据的访问； l 对用于加密每个私钥的秘密通行短语（passphrase） 的了解。 v 针对公钥的攻击 l 修改公钥中的签名，并且标记它为公钥中已经检查过的 签名，使得系统不会再去检查它。 l 针对PGP的使用过程，修改公钥中的有效位标志，使 一个无效的密钥被误认为有效。 Web安全技术15 3.安全扫描技术 q 基本原理 采用模拟黑客攻击的形式对目标可能存在的 已知的安全漏洞进行逐项检查，然后根据扫 描结果向系统管理员提供周密可靠的安全性 分析报告，为网络安全的整

8、体水平产生重要 的依据。 v 基于主机的安全扫描 v 基于网络的安全扫描 Web安全技术16 系统安全扫描的工作原理 安全 隐患 知识库 检测 方法库 结果分析 风险评估 策略执行 部件 (FireWall) 数据处理 加工 安全体系中 其他功能 系统安全 决策中心 系统安全风险 评估报告 安全隐患报告 结果 新知识 安全策 略调整 扫描控制 安全 管理员 Web安全技术17 q 基于主机的安全扫描 针对操作系统的扫描检测，采用被动的，非破坏性 的办法对系统进行检测。 扫描工具安装在需扫描的主机上。 q 基于网络的安全扫描 采用积极的、非破坏性的办法来检测系统是否有可 能被攻击崩溃，利用一系列

9、的脚本模拟对系统进行 攻击的行为，然后对结果进行分析。 通过网络远程探测其他主机的安全风险漏洞，安装 在整个网络环境中的某一台机器上。 Web安全技术18 4.网络安全管理技术 q 基本概念 是指对所有计算既往拉应用体系中各个方面 的安全技术和产品进行统一的管理和协调， 进而从整体上提高整个计算机网络的防御入 侵、抵抗攻击的能力的体系。 v 技术 v 安全管理方针 v 管理制度和安全人员 Web安全技术19 q 现代网络安全管理技术 需要达到的目标：需要达到的目标： v 实现各类计算机安全技术、产品之间的协调和联 动，实现有机化； v 充分发挥各类安全技术和产品的功能； v 真体安全能力大幅度

10、提高； v 实现计算机安全手段与现有计算机网络应用系统 的一体化。 Web安全技术20 基于角色的培训 安全动态知识长期培训 主机保护产品 组件加固服务 网络入侵检测产品 漏洞扫描产品 应急服务小组 攻防实验室 安全分析工程师 安全知识数据库维护 整体安全解决方案整体安全解决方案 Web安全技术21 5. 身份认证技术 q 原理 身份认证是安全系统中的第一道关卡，用户 在访问安全系统之前，首先经过身份认证系 统识别身份，然后访问监控器，根据用户的 身份和授权数据库决定是否能够访问某个资 源。 q 单机状态下的身份认证 v 用户所知道的； v 用户所拥有的； v 用户所具有的； Web安全技术2

11、2 q 网络环境下的身份认证 v 一次性口令技术 如：S/KEY。 v PPP中的认证协议 l密码验证协议PAP（Password Authentication Protocol） l挑战握手认证协议CHAP（ChallengeHandshake Authentication Protocol） lPPP扩展认证协议EAP（Extensible Authentication Protocol） Web安全技术23 6.1 VPN技术技术 q含义 VPN(Virtual Private Network)，虚拟专用网 在公共网络中，通过隧道和/或加密技术进行 PN(Private Network)

12、业务的仿真 VPN业务在公共网络中保证私有数据的安全性、 专有性 同时提供可管理性、扩展性和灵活性 Web安全技术24 q VPN的目的的目的 对于运营商对于运营商 q 利用现有网络设施，充分共享资源 q 在现有网络上提供增值服务 q 扩大其业务量 对于客户对于客户 q 将繁重的网络维护工作交由运营商管理 q 比自建独立的小型网络更为便宜 Web安全技术25 VPN客户端 软件 移动用户 Internet VPN网关 VPN网关 终端 终端 局域网 局域网 qVPN原理原理 Web安全技术26 q VPN的功能的功能 v 可以替换现有的专用网网段或子网。 v 通过把特定应用分离出来满足相应需求

13、，为专用 网络提供有益的补充。 v 不影响现有专用网的情况下，处理新应用。 v 增加新位置，特别是国际性网站。 Web安全技术27 q VPN的分类的分类 按企业的组网方式可分为三大类： v Access VPN(远程访问VPN) v Intranet VPN(企业内部VPN) v Extranet VPN (扩展的企业内部VPN) Web安全技术28 Access VPN Web安全技术29 q Access VPN的优点的优点 v 减少费用，优化网络 v 实现本地拨号介入的功能来取代远距离接入或 800电话接入，能降低远距离通信费用 v 极大的可扩展性，方便对加入网络的新用户进行 调度 v

14、 节省劳动力 Web安全技术30 Intranet VPN Web安全技术31 q Intranet VPN的优点的优点 v 减少WAN带宽的费用 v 能使用灵活的拓扑结构，包括全网孔连接 v 新的站点能更快、更容易地被连接 v 通过设备供应商WAN的连接冗余，可以延长网络 的可用时间 Web安全技术32 Extranet VPN Web安全技术33 q Extranet VPN的优点的优点 能容易地对外部网进行部署和管理，外部网的连接 可以使用与部署内部网和远端访问VPN相同的架构 和协议进行部署。 Web安全技术34 6.2 VPN实现技术实现技术 q VPN实现技术实现技术 v 隧道技术

15、(Tunneling) v 加解密技术(Encryption &Decryption) v QoS技术(Quality of Service) Web安全技术35 q隧道技术(Tunneling) IP包头负载 新的IP包头新的负载 终端发出的数据包： 经过VPN网关处理后的数据包： 在终端上显示的IP包传递通道： 实际的IP包传递通道： 终端 网络一 VPN网关 Internet VPN网关 终端 网络二 Web安全技术36 q 加解密技术(Encryption&Decryption) 目前业界和市场上针对网络传输的加密技术产品分 为两大类： q逐链加密方式：针对链路层加密，市场上相关产品有

16、 X.25专线加密机、DDN数据加密机等。 qIPSec加密机制：运行在网络层，以传输方式和隧道方 式进行配置，前者适用于两端点之间的IP层加密，后者适 用于两个网关之间构成一条加密隧道，可以是非IP协议。 Web安全技术37 qQoS技术(Quality of Service) q带宽：网络提供给用户的传输率。 q反应时间：用户所能容忍的数据报传递延 时。 q抖动：延时的变化。 q丢失率：数据包丢失的比率。 Web安全技术38 6.3 VPN应用方案应用方案1 客户网络现状客户网络现状 q企业总部网络有大约20台终端，使 用一台双网卡的Windows 2000服务 器作为网关，并采用ADSL

17、方式接入 Internet q15个办事处有一台计算机，使用电 话拨号上网 q3个办事处有一台计算机，但使用小 区宽带上网 q5个办事处有2到3台计算机，组成一 个小局域网并通过ISDN接入路由共 享上网 客户需求客户需求 q每个办事处需要有一台终端能够接入 总部局域网 q不改变总部局域网现有网络结构 q有足够的网络安全性保障 q尽量节约网络建设费用，并要求系统 具备良好的可升级能力 方案的选择? Web安全技术39 方案对比方案对比 对比项目对比项目远程拨号远程拨号远程访问远程访问VPN 初期设备投入拨号服务器、中继线VPN网关 VPN客户端软件 日常通讯费用长途电话费市话费+Interne

18、t通讯费 通讯速率只能到56kbps根据客户端接入Internet的 方式决定，最低为56kbps 并发访问数量限制受限于电话中继 线的数量 无 管理复杂度需要一定的日常维护 管理 一次性配置，日常基本无 需管理 通讯加密不加密根据需要，可选择加密强 度 Web安全技术40 网络拓扑图网络拓扑图 Web安全技术41 小结小结 q 这种方案能够保证企业异地办事机构的终端 用户、在家办公的员工以及出差的员工能够 随时通过Internet安全地接入企业内部网络并 使用所有的内部网络资源； q 在网络规模方面，只要求总部有比较完善的 网络环境，对公司分支机构的网络环境要求 不高； q 可以方便地对用户进行访问权限管理。 Web安全技术42 6.4 VPN应用方案应用方案2 客户需求客户需求 q 总部在广州，全国多个城市设立分公司和分 销中心 q 分公司都有局域网，都通过512k ADSL上网 q 每个分公司有5-8台电脑需访问总部的数据库 q 各个分公司之间不需要相互访问 Web安全技术43 网络拓扑图网络拓扑图 上海分公司 台式机 台式