《信息安全概论》第7章 网络安全技术

1、第七章 网络安全技术第七章 网络安全技术内容提要防火墙技术入侵检测技术安全扫描技术内外网隔离技术内网安全技术反病毒技术7.1 防火墙技术网络防火墙是一个特殊网络互连设备加强网络之间访问控制防止外部网络用户非法进入内部网络，访问内部网络资源保护内部网络操作环境。7.1 防火墙技术7.1.1 防火墙的作用7.1.2 防火墙技术原理7.1.3 防火墙的体系结构7.1.4 基于防火墙的VPN技术7.1.1 防火墙的作用防火墙是一种由软件或硬件设备组合而成的装置。处于企业的内部局域网与Internet之间。限制Internet用户对内部网络的访问。管理内部用户访问外界的权限。防火墙能有效地控制内部网络与

2、外部网络之间的访问及数据传送防火墙的三大要素：安全、管理、速度。7.1.1 防火墙的作用一个好的防火墙系统应具备以下三方面的条件：内部和外部之间的所有网络数据流必须经过防火墙。否则就失去了防火墙的主要意义了。只有符合安全策略的数据流才能通过防火墙。这也是防火墙的主要功能审计和过滤数据。防火墙自身应对渗透免疫。7.1.1 防火墙的作用一般来说，防火墙由四大要素组成：安全策略：是一个防火墙能否充分发挥其作用的关键。哪些数据不能通过防火墙、哪些数据可以通过防火墙；防火墙应该如何具备部署；应该采取哪些方式来处理紧急的安全事件；以及如何进行审计和取证的工作。内部网：需要受保护的网。外部网：需要防范的外部

3、网络。技术手段：具体的实施技术。保证内部网的安全，内部网与外部网的联通7.1.1 防火墙的作用7.1.2 防火墙技术原理防火墙的技术主要有：包过滤技术代理技术VPN技术状态检查技术地址翻译技术内容检查技术以及其他技术1.包过滤技术包过滤型防火墙：在网络中的适当的位置对数据包实施有选择的通过其选择依据：即为系统内设置的过滤规则（通常称为访问控制列表。2. 代理技术代理技术，称为应用层网关技术，针对每一个特定应用都有一个程序。代理是企图在应用层实现防火墙的功能。包括：提供部分与传输有关的状态提供与应用相关的状态和部分传输方面的信息，处理和管理信息。 3. 状态检测技术状态检测技术是防火墙近几年才应

4、用的新技术传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。 基于状态检测技术的防火墙数据包进行检测对控制通信的基本状态信息（包括通信信息、通信状态、应用状态和信息操作性）进行检测，以完成对数据包的检测和过滤。4. 网络地址翻译技术NAT（Network Address Translation，网络地址翻译）私有IP地址只能作为内部网络号，不能在互联网主干网使用。NAT可通过地址映射将其连接到公共

5、网络。解决IP地址短缺问题。增加私有组织的可用地址空间解决将现有的私有TCP/IP网络连接到互联网上的IP地址编号问题。7.1.3 防火墙的体系结构在防火墙和网络的配置上，有以下四种典型结构：双宿/多宿主机模式屏蔽主机模式屏蔽子网模式一些混合结构模式。堡垒主机堡垒主机是指在极其关键的位置上用于安全防御的某个系统。堡垒主机起到一个“牺牲主机”的角色。如果攻击者要攻击你的网络，那么他们只能攻击到这台主机。从网络安全上来看，堡垒主机是防火墙管理员认为最强壮的系统。堡垒主机可作为代理服务器的平台。1. 双宿/多宿主机模式用一台装有两块或多块网卡的堡垒主机做防火墙，两块或多块网卡各自与受保护网和外部网相

6、连。特点：主机的路由功能是被禁止的，两个网络之间的通信通过应用层代理服务来完成的。当黑客侵入堡垒主机并使其具有路由功能，防火墙将无用。双宿/多宿主机Internet内部网络1内部网络22. 屏蔽主机模式专门设置过滤路由器把所有外部到内部的连接都路由到了堡垒主机安全等级比包过滤防火墙系统高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。屏蔽主机型的典型构成屏蔽主机型的典型构成是包过滤路由器堡垒主机。包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。3. 屏蔽子网模式添加了额外的一层保护体系周边网络堡垒主机位于周边网络上,应用层网关，代理服务，入站必须

7、经过周边网络和内部网络被内部路由器分开，防止堡垒主机对内部的影响原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。4. 混合模式主要是以上一些模式结构的混合使用，主要有：(1) 将屏蔽子网结构中的内部路由器和外部路由器合并(2) 合并屏蔽子网结构中堡垒主机与外部路由器(3) 使用多台堡垒主机(4) 使用多台外部路由器(5) 使用多个周边网络7.1.4 基于防火墙的VPN技术1. VPN工作原理虚拟专用网指的是依靠ISP（因特网服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点

8、之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。1. VPN工作原理通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟：用户不再需要拥有实际的长途数据线路，而是使用因特网公众数据网络的长途数据线路。所谓专用网络：是指用户可以为自己制定一个最符合自己需求的网络。隧道技术VPN采用了隧道技术：数据包进行加密以确保安全，由VPN封装成IP包的形式通过隧道在网上传输。2. 基于防火墙的VPN基于防火墙的VPN是VPN最常见的一种实现方式。它是在已有的基础上再发展而已。公司使用防火墙连到因特网上，所需要的只是增加加密软件。7.2 入侵检测技术一种积极

9、主动的安全防护手段。入侵检测是监测计算机网络和系统以发现违反安全策略事件的过程。入侵检测系统（Intrusion Detection System，IDS）工作在计算机网络系统中的关键节点上通过实时地收集和分析计算机网络或系统中的信息来检查是否出现违反安全策略的行为和遭到袭击的迹象进而达到防止攻击、预防攻击的目的。7.2 入侵检测技术7.2.1 入侵检测概述7.2.2 IDS类型7.2.3 IDS基本技术7.2.1入侵检测概述入侵检测系统通过对网络中的数据包或主机的日志等信息进行提取、分析，发现入侵和攻击行为，并对入侵或攻击作出响应。入侵检测系统在识别入侵和攻击时具有一定的智能，这主要体现在入

10、侵特征的提取和汇总响应的合并与融合在检测到入侵后能够主动采取响应措施等方面入侵检测系统是一种主动防御技术。1. IDS的产生20世纪70年代就开始了对计算机和网络遭受攻击，审计跟踪是当时的主要方法。1980年4月，James P. Anderson为美国空军做了一份题为计算机安全威胁监控与监视的技术报告，第一次详细阐述了入侵检测的概念。1. IDS的产生从1984年到1986年，Dorothy 等研究并发展了一个实时入侵检测系统模型，命名为IDES（入侵检测专家系统），提供了一个通用的框架。1988年Morris Internet 蠕虫事件导致了许多IDS系统的开发研制。 1. IDS的产生1

11、990年是入侵检测系统发展史上的重要阶段。两大阵营正式形成：基于网络的IDS基于主机的IDS。1991年，美国空军等多部门进行联合，将基于主机和基于网络的检测方法集成到一起。1995年开发了IDES完善后的版本NIDES， 可以检测多个主机上的入侵。2. IDS功能与模型入侵检测系统：完成入侵检测功能的软件、硬件组合。IDS包括3个部分：对信息的收集和预处理；入侵分析引擎；产生反应的响应部件。2. IDS功能与模型一般来说，IDS能够完成下列活动：监控、分析用户和系统的活动；发现入侵企图或异常现象；审计系统的配置和弱点；评估关键系统和数据文件的完整性；对异常活动的统计分析；识别攻击的活动模式；

12、实时报警和主动响应。2. IDS功能与模型通用入侵检测框架（CIDF）。入侵检测系统所必须具有的体系结构：数据获取、数据分析、行为响应和数据管理。因此具有通用性7.2.2 IDS类型入侵检测系统主要分为两类：基于网络的IDS基于主机的IDS1. 基于网络的IDS使用原始的网络数据包作为数据源，主要用于实时监控网络关键路径的信息，它侦听网络上的所有分组来采集数据，分析可疑现象。基于网络的IDS通常将主机的网卡设成混乱模式，实时监视并分析通过网络的所有通信业务。2. 基于主机的IDS通过监视与分析主机的审计记录和日志文件来检测入侵。发现成功的入侵或入侵企图并很快地启动相应的应急响应程序。基于主机的

13、入侵检测系统主要用于保护运行关键应用的服务器。基于主机入侵检测的缺点占用主机的资源，在服务器上产生额外的负载；缺乏平台支持，可移植性差，应用范围受到严重限制。对一个网络的所有机子进行一次猜测的检查有困难7.2.3 IDS基本技术1. 误用检测，适用于已知使用模式的可靠检测前提：入侵行为能按照某种方式进行特征编码。入侵特征描述了安全事件或其它误用事件的特征、条件、排列和关系。模式库模式匹配2. 异常检测前提：异常行为包括入侵行为。最理想情况下，异常行为集合等同于入侵行为集合，有4 种行为： 行为是入侵行为，但不表现异常； 行为是入侵行为，且表现异常； 行为不是入侵行为，却表现异常； 行为既不是入

14、侵行为，也不表现异常。 入侵检测技术总结入侵检测系统是一种主动防御技术。入侵检测作为传统计算机安全机制的补充，它的开发应用增大了网络与系统安全的保护纵深，成为目前动态安全工具的主要研究和开发方向。随着系统漏洞不断被发现，攻击不断发生，入侵检测系统在整个安全系统中的地位不断提高，所发挥的作用也越来越大。7.3 安全扫描技术安全扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措施，从而降低系统的安全风险。可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，系统管理员可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可能导致攻

15、击的安全漏洞。扫描技术是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。7.3 安全扫描技术7.3.1 安全扫描技术概述7.3.2 端口扫描和漏洞扫描7.3.3 安全扫描器的原理和结构7.3.1 安全扫描技术概述安全扫描技术也称为脆弱性评估基本原理是采用模拟黑客攻击的方式对目标可能存在的已知安全漏洞进行逐项检测，对象：工作站、服务器、交换机、数据库有两个不同的出发点。一方面，从攻击者的角度，他们会不断地去发现目标系统的安全漏洞，从而通过漏洞入侵系统。一方面，从系统安全防护的角度来看，要尽可能发现可能存在的漏洞，在被攻击者发现、利用之前就将其修补好。安全扫描器是一个对扫描技术进行软件化

16、、自动化实现的工具。一种通过收集系统的信息来自动检测远程或者本地主机安全性脆弱点的程序。安全扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。通过使用安全扫描器，可以了解被检测端的大量信息：开放端口、提供的服务、操作系统版本、软件版本等。安全扫描器会根据扫描结果向系统管理员提供周密可靠的安全性分析报告。功能功能 一般来说，安全扫描器具备下面的功能： 1、信息收集信息收集是安全扫描器的主要作用，也是安全扫描器的价值所在。信息收集包括远程操作系统识别网络结构分析端口开放情况其他敏感信息收集等。功能2、漏洞检测漏洞检测是漏洞安全扫描器的核心功能，包括已知安全漏洞的检测错误的配置检测弱

17、口令检测。分类安全扫描技术主要分为两类： 1. 主机型安全扫描器；扫描本地主机查找安全漏洞查杀病毒、木马、蠕虫等危害系统安全的恶意程序 2. 网络型安全扫描器。通过网络来测试主机安全性检测主机当前可用的服务及其开放端口查找可能被远程试图恶意访问者攻击的漏洞、隐患及安全脆弱点。按照扫描过程的不同方面，扫描技术又可分为4大类：1. ping扫描技术；2. 端口扫描技术；3. 操作系统探测扫描技术；4. 已知漏洞的扫描技术。其中，端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术，目前许多安全扫描器都集成了此两项功能 。分类端口：潜在的通信通道，也是入侵通道。原理：端口扫描向目标主机的 T

18、CP/IP服务端口发送探测数据包记录目标主机的响应。通过分析响应判断服务端口是打开还是关闭得知端口提供的服务或信息。7.3.2 端口扫描和漏洞扫描 漏洞扫描技术建立在端口扫描技术之上的，针对特定端口。 两种方法：一是在端口扫描后，得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在。二是通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。漏洞扫描技术及原理基于网络系统漏洞库，漏洞扫描大体包括 CGI漏洞扫描POP3漏洞扫描FTP漏洞扫描SS

19、H漏洞扫描HTTP漏洞扫描等。这些漏洞扫描是基于漏洞库，将扫描结果与漏洞库相关数据匹配比较得到漏洞信息。基于网络系统漏洞库的漏洞扫描的关键部分：漏洞库。漏洞扫描技术及原理7.3.3 安全扫描器的原理和结构(1) 主机型安全扫描器原理主要针对操作系统的扫描检测，通常涉及系统的内核文件的属性操作系统的补丁口令解密等问题通过扫描引擎以root身份（超级管理员 ）登录目标主机，记录系统配置的各项主要参数，一方面知道目标主机开放的端口以及主机名等信息一方面获得的漏洞信息与漏洞特征库进行比较，如果能够匹配则说明存在相应的漏洞。主机型安全扫描器结构(1) 主机型安全扫描器结构由两部分组成：管理端：管理各个代

20、理端向各个代理端发送扫描任务指令处理扫描结果的功能代理端：是采用主机扫描技术对所在的被扫描目标进行检测，收集可能存在的安全状况。主机型安全扫描器扫描过程采用Client/Server的构架，其扫描过程是：首先在需要扫描的目标主机上安装代理端然后由管理端发送扫描开始命令给各代理端各代理端接收到命令后执行扫描操作然后把扫描结果传回给管理端分析最后管理端把分析结果以报表方式给出安全漏洞报表。网络型安全扫描器(2) 网络型安全扫描器原理针对远程网络或者主机的端口、开放的服务以及已知漏洞等。对象：网络中的服务器、路由器以及交换机等网络设备网络型安全扫描器步骤扫描引擎首先向远端目标发送特殊的数据包记录返回

21、的响应信息然后与已知漏洞的特征库进行比较，如果能够匹配，则说明存在相应的开放端口或者漏洞。2. 安全扫描器的结构（2）网络型安全扫描器结构由两部分组成扫描服务端：扫描器的核心，所有的检测和分析操作都是它发起的管理端：提供管理的作用以及方便用户查看扫描结果。也采用Client/Server的架构：首先管理端设置参数、制定扫描目标；扫描服务端接收到管理端的扫描开始命令后即对目标进行扫描；扫描服务端一边发送检测数据包到被扫描目标，一边分析目标返回的响应信息扫描服务端还把分析的结果发送给管理端。7.4 内外网物理隔离技术物理隔离：是指内部网络与外部网络在物理上没有相互连接的通道，两个系统在物理上完全独

22、立。必须保证做到以下几点： 在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网；同时防止内部网信息通过网络连接泄漏到外部网。在物理辐射上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。 在物理存储上隔断两个网络环境对于断电后会逸失信息的部件，如内存、处理器等暂存部件，要在网络转换时作清除处理，防止残留信息串网。对于断电非逸失性存储设备，如硬盘，内部网与外部网信息要分开存储。 应用于：政府部门、军队、金融系统7.4 内外网物理隔离技术7.4.1 用户级物理隔离7.4.2 网络级物理隔离7.4.3 单硬盘物理隔离系统7.4.1 用户级物理隔离用户级物理隔离

23、技术经历三个发展阶段：第一阶段，主要是双机物理隔离系统。（随时切换）两套主板、芯片、网卡、硬盘；一套显示器、鼠标、键盘 第二阶段，主要采用双硬盘物理隔离系统。第三阶段，主要采用单硬盘物理隔离系统 。一个网络接口、不同电平信号控制网络连接。公共区和安全区。同时只能和一个网络相连。7.4.2 网络级物理隔离1.隔离集线器隔离集线器相当于内网和外网两个集线器的集成。7个网络端口的每一个都可以通过电子开关进行切换，从而连接到内网和外网两者之一。2.因特网信息转播服务器一种非实时的因特网访问方式3.隔离服务器隔离服务器是目前比较新的物理隔离技术。但安全性不如完全物理隔离7.4.3 单硬盘物理隔离系统 防

24、范外部对计算机信息网络的入侵上面防范计算机信息网络内部自身的安全。在内网的安全解决方案中以数据安全为核心以身份认证为基础从信息的源头开始抓安全 对信息的交换通道进行全面保护，从而达到信息的全程安全。7.5 内网安全7.5.1 移动存储介质管理7.5.2 网络行为监控7.5 内网安全灵活授权管理：对计算机外设的使用比如U盘、打印机或者拨号Modem的使用；移动存储介质主要包括： U盘、移动硬盘、软盘、可刻录光盘、手机/MP3/MP4/MD/SD卡、以及各类FlashDisk产品手机、MP3等。使用便利，但给单位机密资料外泄带来严重的隐患。7.5.1 移动存储介质管理必须对用户的行为进行有效管理：

25、因为计算机网络的使用通常关系整个单位的信息安全和网络稳定性，为了部门内部管理需要和网络安全稳定需要。对每台计算机的网络状况进行实时监控及时发现用户使用带有危害的计算机应用程序硬件设备用户帐号网络状况等用户信息7.5.2 网络行为监控有效管理每个计算机网络，对于每个用户：比如：控制访问的站点、IP地址和应用端口记录访问网络的内容记录用户违反管理规则的行为记录用户的文件操作，以便日后为追查用户责任提供有力证据。网络监控主要是对：监控：邮件发送、聊天内容、文件传输、网页浏览管理：远程登录和P2P下载管理、端口与流量7.5.2 网络行为监控7.6 反病毒技术7.6.1 病毒概论7.6.2 病毒的特征7

26、.6.3 计算机病毒的分类7.6.4 反病毒技术7.6.5 邮件病毒及其防范7.6.1 病毒概论病毒是一段具有自我复制能力的代理程序它将自己的代码写入宿主程序的代码中，以感染宿主程序；每当运行受感染的宿主程序时病毒就自我复制；然后其副本感染其他程序，如此周而复始。它一般隐藏在其他宿主程序中，具有：潜伏能力自我繁殖能力被激活产生破坏能力。7.6.1 病毒概论计算机病毒是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。自从Fred Cohen博士于1983年11月成功研制了第一种计算机病毒以来，计算机病毒技术正以惊人速度发展，不断有新的病毒出现。从广义上定义，凡能够引起计算机故障，

27、破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为计算机病毒。蠕虫蠕虫也是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝（复制品）传给其他的计算机。蠕虫像细菌一样，它可以修改删除别的程序，也可通过疯狂的自我复制来占尽网络资源，从而使网络资源瘫痪。木马（Trojan Horse）又称特洛伊木马：是一种通过各种方法直接或者间接与远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序。木马通常不包括感染程序，因而并不自我复制，只是靠欺骗获得传播。7.6.2 病毒的特征 病毒这种特殊程序有以下几种特征： （1）传染性是病毒的基本特征； （2）未经授权

28、执行； （3）隐蔽性； （4）潜伏性； （5）破坏性； 从对病毒的检测方面来看，病毒还有不可预见性。 7.6.3 计算机病毒的分类 按传染方式分为： （1）引导型病毒； （2）文件型病毒； （3）混合型病毒。 （1）引导型病毒；感染对象：计算机存储介质的引导区。将正常的引导记录隐藏在介质的其他存储区。可在计算机运行前获得控制权，传染性较强。Bupt、Monkey、CMOS dethroner7.6.3 计算机病毒的分类（2）文件型病毒；感染对象：计算机系统中独立存在的文件。主要以感染文件扩展名为.com、.exe和.ovl等可执行程序为主 它的安装必须借助于病毒的载体程序，即要运行病毒的载体程

29、序，文件型病毒引入内存 如Honking、宏病毒CIH7.6.3 计算机病毒的分类（3）混合型病毒。混合型病毒综合引导区和文件型病毒的特性，同时还使用加密、变形算法。它的“性情”也就比系统型和文件型病毒更为“凶残”。7.6.3 计算机病毒的分类 按连接方式（感染方式）分（1）源码型病毒： 对象：高级语言编写的程序，该病毒在程序编译前插入到原程序中，经编译成为合法程序的一部分。（2）嵌入型病毒、入侵型：用自身代替正常程序中的部分模块，只攻击某些特定的程序。一旦侵入程序体后也较难消除（3）外壳型病毒：将其自身包围在主程序的四周，对原来的程序不作修改。最常见，易编写，也易于发现（测试文件的大小）。（4）操作系统型病毒：用自已的程序加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。7.6.4 反病毒技术外观检测法特征代码法虚拟机技术启发式扫描技术检测计算机病毒的基本方法1. 外观检测法些异常现象，如：屏幕显示的异常现象系统运行速度的异常打印机并行端口的异常通信串行口的异常等2. 特征代码法将已知病毒的特征代码串组成病毒特征代码数据库。通过各种工具软件检查搜索可疑计算机系统（可能是文件、磁盘、内存等等）时逐一比较。很多著名的病毒检测工具中广泛使用特征代码法。检测计算机病毒的基本方法3. 虚拟机技术针对：多态性病毒