网络安全技术概述-韩山师范学院网络教学平台课件

1、韩山师院网络与教育技术中心网络安全技术概述内容提要网络安全概述可使用的安全技术网络安全防范策略建议和忠告网络安全建设案例据联邦调查局统计，美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道，世界上平均每20秒就发生一次入侵国际互联网络的计算机安全事件，三分之一的防火墙被突破。 美国联邦调查局计算机犯罪组负责人吉姆 塞特尔称：给我精选10名 “黑客” ，组成个小组，90天内，我将使美国趴下。超过50%的攻击来自内部，其次是黑客。网络安全事件的报导操作系统本身的安全漏洞防火墙存在安全缺陷和规则配置不合理来自内部网用户的安全威胁缺乏有效的手段监视、评估网络的安全性TCP/IP协议族软件本

2、身缺乏安全性电子邮件病毒、Web页面中存在恶意的Java/ActiveX控件应用服务的访问控制、安全设计存在漏洞线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息网络中存在的安全威胁网络设备种类繁多当前使用的有各种各样的网络设备，从Windows NT和UNIX 服务器到防火墙、路由器和Web服务器,每种设备均有其独特的安全状况和保密功能；访问方式的多样化一般来说,网络环境存在多种进出方式,许多拔号登录点以及新的Internet访问方式可能会使安全策略的设立复杂化；网络的不断变化网络不是静态的,一直都处于发展变化中。启用新的硬件设备和操作系统,实施新的应用程序和Web服务器时,安全

3、配置也有不同；用户安全专业知识的缺乏许多组织所拥有的对网络进行有效保护的保安专业知识十分有限,这实际上是造成安全漏洞最为主要的一点。 网络存在的安全漏洞的原因相对性只有相对的安全，没有绝对的安全系统安全性在系统的不同部件间可以转移网络安全的特征时效性新的漏洞与攻击方法不断发现（Windows 2000业发现很多漏洞,针对Outlook的病毒攻击非常普遍)配置相关性日常管理中的不同配置会引入新的问题（安全测评只证明特定环境与特定配置下的安全）新的系统部件会引入新的问题(新的设备的引入、防火墙配置的修改)攻击的不确定性攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性复杂性网络安全是一

4、项系统工程，需要技术的和非技术的手段，涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急反应等网络安全的特征(续)层次一：物理环境的安全性（物理层安全）层次二：操作系统的安全性（系统层安全）层次三：网络的安全性（网络层安全）层次四：应用的安全性（应用层安全）层次五：管理的安全性（管理层安全） 网络安全的层次架构安全策略安全管理安全评估整体安全技术因素数据链路安全网络安全物理安全操作系统平台的安全性应用平台的安全性应用数据安全 网络安全概述可使用的安全技术网络安全防范策略建议和忠告网络安全建设案例防火墙技术最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发

5、生。这种墙被称之为防火墙。防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的软件或硬件设备的组合，它是不同网络间的唯一出入口，能根据预先制定的安全策略（允许、拒绝、监测）来控制出入网络的信息流，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的，是实现网络和信息安全的基础设施。Internet1. 企业内联网2. 部门子网3. 分公司网络防火墙示意图防火墙的功能应用程序代理包过滤&状态检测用户认证NATVPN日志IDS与报警内容过滤防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种

6、路线的攻击。防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。在防火墙上可以很方便的监视网络的安全性，并产生报警。网络管理员可以记录、审计所有通过防火墙的重要信息，并及时响应报警。防火墙可以作为部署NAT(Network Address Translator网络地址转换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记

7、费。防火墙也可以成为向客户发布信息的地点。防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。防火墙的用途Internet/公网内部网路由器NEsec300 FW2035968?告警内网接口外网接口电源控制台服务器服务器服务器主机主机内外网络隔离 截取IP包，根据安全策略控制其进/出 双向网络地址转换（NAT） 基于一次性口令对移动访问进行身份识别和控制 IPMAC捆绑，防止IP地址的滥用安全记录 通信事件记录 操作事件记录 违规事件记录 异常情况告警移动用户拨号用户局域网用户（内部地址

8、）（内部地址）防火墙的局限性 防火墙不是解决所有网络安全问题的万能药方，只是网络安全策略中的一个组成部分。防火墙不能防范绕过防火墙的攻击，例:内部提供拨号服务防火墙不能防范来自内部人员恶意的攻击防火墙不能阻止病毒、木马的攻击 防火墙造成单点故障防火墙技术与产品的发展防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。 Internet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业：据不完全统计，在国际上防火墙产品销售从1995年的不到1万套， 猛增到1997年底的1

9、0万套。据国际权威商业调查机构的预测,防火墙市场将以173的复合增长率增长，到2000年将达150万套，市场营业额将从1995年的1.6亿美元上升到2000年的9.8亿美元。防火墙技术的发展趋势 从目前对专网管理的方式，向远程上网集中管理的方式发展； 过滤深度不断加强，从目前的地址过滤、服务过滤，发展到页面过滤(WEB)、关键字过滤（BBS）及对ActiveX/Java等的过滤； 用防火墙建立VPN，IP加密越来越强； 对攻击的检测和告警将成为重要功能； 附加安全管理工具（如日志分析）。如何选择防火墙产品 选择防火墙的标准有很多，但最重要的是以下几条： 易于管理性数据包处理速度带宽控制操作环境

10、和硬件要求VPN功能与IDS功能接口的数量可扩充性升级能力成本路由器HTTP服务器DNS服务器Email服务器防火墙DMZ区内部专用网络InternetDDNPSTNATMISDNX.25帧中继防火墙管理器外部网络防火墙配置案例一防火墙防火墙管理工作站分支机构受保护局域网防火墙防火墙资源子网路由器路由器路由器分支机构受保护局域网公共网络总部路由器路由器防火墙配置案例二防火墙配置案例三入侵检测系统入侵（intrusion），是指任何企图危及信息和资源的机密性、完整性和可用性的活动。入侵检测（Intrusion Detection），是指对入侵行为的发现，它通过在计算机网络或计算机系统中的若干关键

11、点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统（Intrusion Detection System，IDS）：完成入侵检测功能的软件、硬件组合。入侵检测系统的作用实时检测 实时捕获、分析网络中所有的数据报文，检测出其中带有恶意信息的数据包安全审计 通过对网络事件的统计和分析，发现其中的异常现象，得出系统的安全状态，找出所需要的证据。 确保网络的安全，就要对网络内部进行实时的检测，这就需要IDS无时不在的防护。为什么要使用入侵检测系统入侵和攻击不断增多网络规模不断扩大网络用户不断增加黑客水平不断提高现有的安全产品不能完成全部的安全防

12、护任务防火墙、加解密、物理隔离、身份认证等：被动防御入侵检测系统：主动防御 入侵检测系统的分类基于主机的IDS保护网络中比较重要的主机 信息源：操作系统审计迹和系统日志优点：视野集中，能够相对精确地分析入侵活动； 对网络流量不敏感； 缺点：占用系统资源； 缺乏跨平台支持，可移植性差； 基于网络的IDS侧重于监视和保护网络信息源：网络数据包 优点：对系统资源的占用比较少；实时检测和响应；缺点：精确度不高，漏报、误报多；难以定位入侵者； IntranetIDS AgentIDS AgentFirewallInternetServersDMZIDS Agent监控中心router网络IDS典型部署

13、FirewallInternetServersDMZIDS AgentIntranetIDS Agent监控中心router攻击者攻击者发现攻击发现攻击发现攻击报警报警网络IDS阻断攻击示意图入侵检测产品的选购攻击检测的规则库的大小和检测的准确程度；入侵检测系统的检测速度；是否有完整网络审计、网络事件记录和全面的网络信息收集功能；是否集成网络分析和管理的辅助工具，如扫描器、嗅探器等；是否自带数据库，不需第三方数据源，数据是否可自动维护；互操作性如何，是否可和防火墙联动；自身安全性和隐蔽性如何 加密传输分类链路加密（链路加密机）网络层加密（IPSec VPN）传输层加密（SSL）应用层加密（针对

14、具体应用）优点不能被窃听和中途修改不能被中途劫持缺点实施和管理成本较高在一些应用上效率较低加密传输技术漏洞扫描系统是专用的安全漏洞扫描工具。可快速严格地检测操作系统、数据库系统以及网络设备的配置，识别安全隐患，评测安全风险，提供安全建议和改进措施，帮助安全管理员控制可能发生的安全事件，最大可能地消除安全隐患。 漏洞扫描分类网络安全扫描系统安全扫描优点较全面检测流行漏洞降低安全审计人员的劳动强度防止最严重的安全问题缺点无法跟上安全技术的发展速度只能提供报告，无法实际解决可能出现漏报和误报漏洞扫描市场部工程部router开发部InternetServersFirewall安全扫描的使用 为堵死安全

15、策略和安全措施之间的缺口,必须从以下三方面对网络安全状况进行评估:从企业外部进行评估:考察企业计算机基础设施中的防火墙;从企业内部进行评估:考察内部网络系统中的计算机;从应用系统进行评估:考察每台硬件设备上运行的操作系统。 从哪些方面进行安全评估 操作系统、数据库系统、应用软件系统以及一些网络设备系统均不同程度存在一些安全漏洞和一些未知的“后门”，这些漏洞和后门是黑客攻击得手的关键因素。因此，确保操作系统、数据库系统安全，对服务器、网络设备进行安全加固是非常重要的。 系统安全加固关闭不必要、不常用的服务和端口，慎重开放比较敏感的端口；及时对系统升级或安装相应的系统安全补丁； 强化系统中各种密码

16、的设置与管理，对一些保存有用户信息及其口令的关键文件（如UNIX下：/.rhost、etc/host、passwd、shadow、group等；Windows NT下的LMHOST、SAM等）使用权限进行严格限制，防止对系统的非法访问；加强日志管理和审计工作，开启操作系统、数据库系统、网络设备、安全产品的日志管理功能，并定期对日志文件进行审计。系统安全加固措施分类使用产品利用系统本身设置优点增强系统的的抗攻击性较大的提高系统本身安全和审计能力缺点目前不便于普遍的实施系统易用性会下降，管理成本上升系统安全加固 网络应用迅速发展和扩充在带来方便性的同时，也带来了许多严重的安全问题，不仅仅是各种网络

17、攻击行为会破坏网络信息系统的正常运行。滥用内部网络资源，泄漏内部信息等现象也非常严重，传递和发布非法信息，不仅影响正常的工作秩序，甚至会造成一定的政治和社会影响。加强安全审计，不仅是及时和发现网络攻击行为，确定和追踪攻击来源提供有力证据，重要的是加强对内部人员网络行为的审计，防止滥用网络资源和非授权访问。网络审计数据库审计 安全审计 网络审计系统通过对各种应用协议的网络数据进行分析、剥离、恢复，判断网络违规访问行为的发生，能够实现对FTP协议传送文件、SMTP协议发送邮件、POP3协议接收邮件、HTTP协议远程浏览（WEB）、TELNET协议（BBS）、UDP协议通讯的监控，能够对文件传输、发

18、送和接收的邮件内容、远程登录过程等进行真实的恢复，具有强大的统计、分析和报表功能，管理员能够清楚的知道网络上正在发生的各种事件，实现对内部网络信息交换的全方位监控，从而实现对内部网络全面的控制和有效的管理。 网络审计 数据库审计系统从数据库访问操作入手，对特定的数据库远程连接数据包进行语法分析，从而审计对数据库中的哪些数据进行操作，可以对特定的数据操作制定规则，产生报警事件。 数据库审计通过安全审计系统，管理员可以监视所有的连接及登录信息、用户发出的命令、系统返回的数据、交换文件信息等，从而可以清楚的了解内部网络的通信情况和信息交换状况，为追查网上违规行为提供了技术保证。 安全审计小结分类生物

19、特征：指纹、虹膜智能卡：IC、Token/USB Key一次性口令方式：基于时间同步、基于事件同步认证协议：CHAP、Radius、TACACS、LDAP、CA（SSL、SSH、IKE、自定制）单点登陆：通过认证授权服务器优点很好的解决口令泄漏的问题便于实施统一的口令管理认证技术 建立可靠的容灾备份系统，可以确保在本地出现意外事件甚至灾难时，如主机发生故障、数据丢失等现象发生时，可在可控的时间内对业务系统进行恢复，以保证网络服务的顺利进行。 备份与容灾 设备备份主要是为了防止因设备损坏造成网络中断，保证网络系统的高可靠性和高可用性。设备备份一般通过设备冗余、部件冗余来实现。 1、网络设备备份：

20、对骨干交换机和接入路由器采用冷备，防止当一台出现故障时，可采用人工方式进行快速恢复，保证网络连接畅通。也可以作热备和双机容错处理，以保障核心网络设备能够不间断运行。 2、服务器备份：对重要的服务器进行双机热备，当主设备发生故障时，能够自动快速的切换到备份设备，确保整个系统正常运行。 3、防火墙备份：对防火墙进行双机热备，保证不会对正常业务造成影响。还可以冷备份一些防火墙，对其中防火墙出现故障时，及时用冷备的防火墙替换。 设备备份 随着计算机存储信息量的不断增长，数据备份和灾难恢复就成为引人关注的话题。数据备份恢复主要是为了防止因意外或受攻击时造成系统数据和业务数据丢失、损毁，保证数据的安全、可

21、靠、准确。目前数据备份管理已经在网络系统管理中占有非常重要的地位。一般来说，各种操作系统所附带的备份程序都有着这样或那样的缺陷，若想对数据进行可靠的备份及管理，必须选择专门的备份软、硬件，并制定相应的备份管理及恢复方案。如果每一台服务器或每一个局域网络都配置了数据备份设备以及相应的备份软件，那么无论网络硬件还是软件出了问题，都能够很轻松地恢复，保证系统的正常运行。数据备份 通过部署备份服务器、磁带库和专业备份恢复软件来实现对数据库服务器、邮件服务器和重要的应用服务器的系统数据和业务数据的高效全自动备份和灾难恢复。 数据备份的部署 利用假日或晚上系统相对空闲的时间，对重要数据每周进行一次全备份，每天进行差分备份；对非重要数据每月进行一次全备份，每个星期进行一次增量或差分备份；同时每月采用光盘备份方式对所有数据冷备份两份，其中一份异地保存，以防止本地备份数据意外损坏。 数据备份策略网络安全概述网络安全防范策略建议和忠告可使用的安全技术网络安全建设案例P2DR模型包含4个主要部分：Policy（安全策略）Protection（防护）Detection（检测）Response（响应）网络安全的P2DR模型确定系统安全的脆弱性分析系统潜在的安全威胁评估安全攻击的后果估计安全攻击的代价估价安全防护措施根据风险评估制定合理的安全策略与需求选用合适安全机制和技术手段实现安全