安全主流产品与常见工具

安全主流产品与常见工具

信息安全国家重点实验室第一页，共二百一十页。课程内容

防火墙

VPN内外网隔离

日志审计

入侵检测

隐患扫描PKI(CA)

PGP

安全加固

防病毒第二页，共二百一十页。课程内容

防火墙

VPN内外网隔离

日志审计

入侵检测

隐患扫描PKI(CA)

PGP

安全加固

防病毒第三页，共二百一十页。防火墙（Firewall）防火墙基础知识防火墙体系结构防火墙技术防火墙评测指标第四页，共二百一十页。防火墙（Firewall）防火墙基础知识什么是防火墙防火墙可以做什么防火墙的局限性防火墙体系结构防火墙技术防火墙评测指标第五页，共二百一十页。什么是防火墙（图）Internet第六页，共二百一十页。什么是防火墙防火墙是在被保护网络与因特网之间，或者在不同的网络之间，实施访问控制的一种或一系列部件。

第七页，共二百一十页。防火墙可以做什么防火墙是安全决策的焦点（阻塞点）防火墙能强制安全策略防火墙能有效地记录网络活动第八页，共二百一十页。防火墙的局限性限制了可用性对网络内部的攻击无能为力不能防范不经过防火墙的攻击不能防范因特网上不断产生的新的威胁和攻击不能完全防范恶意代码的通过第九页，共二百一十页。防火墙（Firewall）防火墙基础知识防火墙体系结构双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构其他体系结构防火墙技术防火墙评测指标第十页，共二百一十页。双重宿主主机体系结构（图）第十一页，共二百一十页。双重宿主主机体系结构

是最基本的防火墙系统结构双重宿主主机位于外部网络和受保护网络之间，至少有两个网络接口。所有在这两个网络间发送的IP数据包都会经过该主机，该主机可以对转发的IP包进行安全检查优点：构造简单缺点：易受攻击第十二页，共二百一十页。屏蔽主机体系结构（图）第十三页，共二百一十页。屏蔽主机体系结构屏蔽主机结构将提供安全保护的堡垒主机置于内部网上，使用一个单独的路由器对该主机进行屏蔽优点：能够提供更高层次的安全保护缺点：堡垒主机一旦被攻破，整个网络就会被攻破第十四页，共二百一十页。屏蔽子网体系结构（图）第十五页，共二百一十页。屏蔽子网体系结构屏蔽子网结构在屏蔽主机结构基础上，增加了一层周边网络的安全机制，使内部网络与外部网络之间有两层隔离。优点：即使堡垒主机被攻破，也不能直接侵入内部网络。第十六页，共二百一十页。体系结构的其他形式

使用多堡垒主机

合并内部与外部路由器

合并堡垒主机与外部路由器

使用多台外部路由器、多个周边网络

组合使用双重宿主主机和屏蔽子网

第十七页，共二百一十页。不宜采用的体系结构合并堡垒主机与内部路由器

使用多台内部路由器

第十八页，共二百一十页。防火墙（Firewall）防火墙基础知识防火墙体系结构防火墙技术数据包过滤应用代理NAT个人防火墙

防火墙评测指标第十九页，共二百一十页。数据包过滤(1)数据包过滤是一个网络安全保护机制，它用来控制流出和流入网络的数据在TCP/IP网络中，数据都是以IP包的形式传输的，数据包过滤机制就是对通过防火墙的IP包进行安全检查，将通过安去检查的IP包进行转发，否则就阻止通过第二十页，共二百一十页。数据包过滤(2)（图）第二十一页，共二百一十页。数据包过滤(3)判断依据有：数据包协议类型：TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口：、DNS等IP选项：源路由、记录路由等TCP选项：SYN、ACK、FIN、RST等其它协议选项：ICMPECHO、ICMPECHOREPLY等数据包流向：in或out数据包流经网络接口：eth0、eth1第二十二页，共二百一十页。数据包过滤设置实例规则方向源地址源端口目标地址目标端口动作1出内部*61.X.*拒绝2入211.X.*内部*拒绝3双向***25拒绝第二十三页，共二百一十页。数据包过滤(4)数据包过滤的优点：一个配置适当的数据包过滤器可以保护整个网络对用户透明度高易实现：大多数路由器都具有数据包过滤功能数据包过滤的缺点：配置和检验较为困难一些协议不适合数据包过滤

某些策略难以执行第二十四页，共二百一十页。应用代理(1)是各种应用服务的转发器它接收来自内部网络特定用户应用程序的通信，然后建立与公共网络服务器单独的连接代理防火墙通常支持的一些常见的应用程序有：HTTP、HTTPS/SSL、SMTP、POP3等等第二十五页，共二百一十页。应用代理(2)（图）客户应用代理服务器发送请求转发响应转发请求发送响应第二十六页，共二百一十页。应用代理(3)（图）第二十七页，共二百一十页。应用代理(4)它的优点是：对用户透明支持用户认证可以产生小并且更有效的日志。它的缺点是：速度比较慢对一些新的或不常用的服务不支持

第二十八页，共二百一十页。NAT（网络地址转换协议）可以使多个用户分享单一的IP地址为Internet连接提供一些安全机制可以向外界隐藏内部网结构转换机制：当内部用户与一个公共主机通信时，NAT追踪是哪一个用户作的请求，修改传出的包，这样包就像是来自单一的公共IP地址第二十九页，共二百一十页。个人防火墙(1)是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行可以对用户计算机的网络通信进行过滤通常具有学习模式，可以在使用中不断增加新的规则第三十页，共二百一十页。个人防火墙(2)(图）第三十一页，共二百一十页。防火墙（Firewall）防火墙基础知识防火墙体系结构防火墙技术防火墙评测指标第三十二页，共二百一十页。防火墙评测指标(1)对防火墙的评估通常包括对其功能、性能和可用性进行测试评估。对防火墙性能的测试指标主要有

吞吐量

延迟

帧丢失率

第三十三页，共二百一十页。防火墙评测指标(2)对防火墙的功能测试通常包含身份鉴别访问控制策略及功能密码支持审计管理对安全功能自身的保护第三十四页，共二百一十页。防火墙测评方法第三十五页，共二百一十页。NetScreenVs.CheckPoint供应商NetScreenCheckPoint架构硬件软件性能在操作系统screenos版本为3.0时防火墙的通透性可以达到12Gbps之高依赖于使用平台的CPU、内存等配置，使用新技术ApplicationInteglligence后，性能在原来的基础上进一步提升了31%。稳定性和兼容性采用的专门的软硬件，系统的稳定性上理论上应该领先；操作系统是专用的screenos，不存在防火墙和硬件的兼容性问题。操作系统和硬件不是特定为防火墙各项功能设计的，因此可能会存在稳定性和兼容方面的隐患功能和灵活性采用的专门设计的操作系统和硬件架构，灵活性上要相对差一些，而且可能提供的功能相对较少架构不依赖硬件，理论上功能是可以无限扩充的，它能给客户更多的控制和定制功能引自YimingGongh/

第三十六页，共二百一十页。课程内容

防火墙

VPN内外网隔离

日志审计

入侵检测

隐患扫描PKI(CA)

PGP

安全加固

防病毒第三十七页，共二百一十页。VPN(VirtualPrivateNetwork)什么是VPNVPN的分类

VPN的隧道协议

第三十八页，共二百一十页。VPN什么是VPNVPN的分类

VPN的隧道协议

第三十九页，共二百一十页。什么是VPN(1)第四十页，共二百一十页。什么是VPN(2)VPN即虚拟专用网，是指一些节点通过一个公用网络（通常是因特网）建立的一个临时的、安全的连接，它们之间的通信的机密性和完整性可以通过某些安全机制的实施得到保证特征虚拟(V)：并不实际存在，而是利用现有网络，通过资源配置以及虚电路的建立而构成的虚拟网络专用(P)：每个VPN用户都可以从公用网络中获得一部分资源供自己使用网络(N)：既可以让客户连接到公网所能够到达的任何地方，也可以方便地解决保密性、安全性、可管理性等问题，降低网络的使用成本第四十一页，共二百一十页。什么是VPN(3)安全功能信息机密性，确保通过公网传输的信息以加密的方式传送，即使被他人截获也不会泄露信息完整性，保证信息的完整性用户身份认证，能对用户身份进行认证，确定该用户的访问权限访问控制，用户只能读写被授予了访问权限的信息第四十二页，共二百一十页。VPN什么是VPNVPN的分类

VPN的隧道协议

第四十三页，共二百一十页。VPN的分类根据VPN所起的作用，可以将VPN分为：AccessVPNIntranetVPNExtranetVPN第四十四页，共二百一十页。AccessVPN处理可移动用户、远程交换和小部门的远程访问公司内部网的VPN第四十五页，共二百一十页。IntranetVPN

（企业内部虚拟网）是在公司远程分支机构的LAN和公司总部LAN之间，通过Internet建立的VPN第四十六页，共二百一十页。ExtranetVPN

（企业外部虚拟网）

在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN由于不同公司网络环境的差异性，必须能兼容不同的操作平台和协议设置特定的访问控制表ACL（AccessControlList），根据用户相应的访问权限开放相应资源第四十七页，共二百一十页。ExtranetVPN（图）第四十八页，共二百一十页。VPN什么是VPNVPN的分类

VPN的隧道协议

第四十九页，共二百一十页。VPN的隧道协议

VPN的关键技术在于通信隧道的建立，数据包通过通信隧道进行封装后的传送以确保其机密性和完整性通常使用的方法有：使用点到点隧道协议PPTP、第二层隧道协议L2TP、第二层转发协议L2F等在数据链路层对数据实行封装使用IP安全协议IPSec在网络层实现数据封装使用介于第二层和第三层之间的隧道协议，如MPLS隧道协议

第五十页，共二百一十页。PPTP/L2TP(1)1996年，Microsoft和Ascend等在PPP协议的基础上开发了PPTP，并将它集成于WindowsNTServer4.0中，同时也提供了相应的客户端软件PPTP可把数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进行传输PPTP提供流量控制,采用MPPE加密算法

第五十一页，共二百一十页。PPTP/L2TP(2)1996年，Cisco提出L2F（Layer2Forwarding）隧道协议1997年底，Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议L2TP可以实现和企业原有非IP网的兼容,支持MP（MultilinkProtocol），可以把多个物理通道捆绑为单一逻辑信道第五十二页，共二百一十页。PPTP/L2TP(3)优点：支持其他网络协议支持流量控制对用微软操作系统的用户来说很方便缺点：通道打开后，源和目的用户身份不再就行认证，存在安全隐患限制同时最多只能连接255个用户端点用户需要在连接前手工建立加密信道第五十三页，共二百一十页。IPSecVPN(1)IPSEC的隧道协议开始于RFC1827即IP封装安全有效负载(ESP)，它定义了一个通用的数据报封装方法ESP通过对要保护的数据进行加密，以及将它放置在IP封装安全有效负载的有效负载部分，来提供机密性和完整性。通过使用验证包头（AH，在RFC2402中定义），也可以提供IP数据报的验证第五十四页，共二百一十页。IPSecVPN(2)

AH包头的结构：IPSECAH/ESP数据包结构第五十五页，共二百一十页。IPSecVPN(3)

IPSECVPN是基于IPSec协议的VPN产品，由IPSec协议提供隧道安全保障特点：只能支持IP数据流目前防火墙产品中集成的VPN多为使用IPSec协议第五十六页，共二百一十页。MPLSVPN是在网络路由和交换设备上应用MPLS(MultiprotocolLabelSwitching)

技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IPVPN）运行在IP+ATM或者IP环境下，对应用完全透明

相关标准：RFC3270RFC2764第五十七页，共二百一十页。MPLSVPNPE=ProviderEdgeRouterLSR=LabelSwitchRouter第五十八页，共二百一十页。课程内容

防火墙

VPN

内外网隔离

日志审计

入侵检测

隐患扫描PKI(CA)

PGP

安全加固

防病毒第五十九页，共二百一十页。内外网隔离物理隔离

逻辑隔离第六十页，共二百一十页。内外网隔离物理隔离安全需求物理隔离技术逻辑隔离第六十一页，共二百一十页。安全需求(1)《计算机信息系统国际联网保密管理规定》第六条规定："涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离。"第六十二页，共二百一十页。安全需求(2)实现内网和外网的网络隔离的要求：用户访问内网时，断开外网网络连接访问外网时，断开内网网络连接用户不能同时连入内、外网，始终保持内网、外网网络隔离的状态第六十三页，共二百一十页。安全需求(3)对物理隔离技术的要求：高度安全较低的成本容易部置、结构简单易于操作具有灵活性与扩展性

第六十四页，共二百一十页。物理隔离技术双网机技术

物理隔离卡双网线的物理隔离卡单网线的物理隔离卡网络安全隔离集线器

物理隔离网闸（GAP）第六十五页，共二百一十页。双网机技术在一个机箱内设有两块主机板、两套内存、两块硬盘和两CPU相当于两台计算机共用一个显示器用户通过客户端开关，分别选择两套计算机系统特点是：客户端成本很高网络布线为双网线结构技术水平简单第六十六页，共二百一十页。物理隔离卡－双网线隔离卡客户端需要增加一块PCI卡，客户端硬盘或其它存储设备首先连接到该卡，然后再转接到主板，这样通过该卡用户就能控制客户端的硬盘或其它存储设备。用户在选择硬盘的时候，同时也选择了该卡上所对应的网络接口，连接到不同的网络

第六十七页，共二百一十页。物理隔离卡－双网线隔离卡(con’t)技术水平有所提高成本有所降低要求网络布线采用双网线结构，存在安全隐患第六十八页，共二百一十页。物理隔离卡－单网线隔离卡

只有一个网络接口通过网线将不同的电平信息传递到网络选择端，在网络选择端安装网络选择器，并根据不同的电平信号，选择不同的网络连接特点：实现成本较低，能够有效利用现有单网线网络环境系统的安全性有所提高第六十九页，共二百一十页。物理隔离卡（图）第七十页，共二百一十页。网络安全隔离集线器作为A/B转换器被设置在机柜中根据网络安全隔离卡的状态自动地将网络连接到安全网络或公共网络中特点：能使用原有的单一的布线系统第七十一页，共二百一十页。物理隔离网闸（GAP）(1)由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接能够在网络间进行安全适度的应用数据交换第七十二页，共二百一十页。物理隔离网闸（GAP）(2)性能指标：系统数据交换速率硬件切换时间通常包含的安全功能模块：安全隔离内核防护协议转换病毒查杀访问控制安全审计身份认证第七十三页，共二百一十页。内外网隔离物理隔离

逻辑隔离第七十四页，共二百一十页。逻辑隔离在技术上，实现逻辑隔离的方式有很多，但主要是防火墙

第七十五页，共二百一十页。课程内容

防火墙

VPN内外网隔离

日志审计

入侵检测

隐患扫描PKI(CA)

PGP

安全加固

防病毒第七十六页，共二百一十页。日志审计日志审计基础知识日志审计过程第七十七页，共二百一十页。日志审计日志审计基础知识什么是日志审计日志实例日志审计的重要性日志的来源日志审计过程第七十八页，共二百一十页。什么是日志审计识别、记录、存储和分析那些与安全相关活动有关的信息的行为被称为安全审计这些信息以日志的方式进行存储，对这些日志的检查审计可以用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责第七十九页，共二百一十页。日志审计的重要性管理员入侵者网络异常发现黑客追踪证据第八十页，共二百一十页。日志的来源(1)操作系统日志路由器日志IDS日志防火墙日志应用软件日志，等等第八十一页，共二百一十页。日志的来源(2)通常可以进行审计的事件包括：文件审计应用程序与服务安装与卸载的审计安全配置更改的审计Internet审计用户登录审计用户打印审计进程状况审计与移动存储有关的审计，等等第八十二页，共二百一十页。日志审计日志审计基础知识日志审计过程审计事件生成审计事件选择审计事件存储审计事件查阅日志审计分析自动响应第八十三页，共二百一十页。审计事件生成事件的日期和时间事件类型主体身份事件的结果针对不同类型的事件的其他相关信息在某些情况下，应当标识引起该事件的用户身份第八十四页，共二百一十页。审计事件选择

审计事件选择是指在所有可以审计的事件中，根据主体身份、事件类型等属性，选择对哪些事件进行审计，这种选择可以用包含或排除的方法。第八十五页，共二百一十页。审计事件存储

保护审计记录不受未授权的删除防止或检测对审计记录的修改当存储耗尽、失败或受到攻击时，能够确保审计记录不受破坏存储失败时，应采取一定行动确保新的审计记录不受破坏第八十六页，共二百一十页。审计事件查阅访问控制权限易于理解第八十七页，共二百一十页。日志审计分析日志的分析可以分为手工和自动的方式，通常，对日志的自动分析任务可以由入侵检测系统完成。但是，手工分析往往是日志分析不可缺少的部分第八十八页，共二百一十页。自动响应对日志的自动分析和自动响应通常由入侵检测系统实现自动相应可以是报警、自动采取某些安全措施，等等第八十九页，共二百一十页。SolarisBSM（BasicSecurityModel）BSM用户级审计记录包括：进程名手册页参考审计事件号审计事件名审计记录结构BSM核心级审计记录包括：系统调用名手册页参考审计事件号审计事件名审计事件类事件屏蔽审计记录结构第九十页，共二百一十页。WIN2000日志结构数据时间用户名计算机名事件ID源类型种类可变内容，依赖于事件，可以时问题的文本解释和纠正措施的建议附加域。如果采用的话，包含可以字节或字显示的二进数据及事件记录的源应用产生的信息记录头事件描述附加数据第九十一页，共二百一十页。WIN2000日志举例(1)事件类型: 成功审核事件来源: Security事件种类: 登录/注销

事件

ID: 538日期: 2003-9-9时间: 20:47:04第九十二页，共二百一十页。WIN2000日志举例(2)用户: QU\hiiri计算机: QU描述:用户注销:用户名: hiiri域: QU登录

ID: (0x0,0x504001)登录类型: 7第九十三页，共二百一十页。防火墙日志举例

(CheckPointFirewall-1)19-May-0017:31:59[时间戳]drop[动作]

inbound[方向]udp[传输层协议]

scan.wins.bad.guy[源地址]MY.NET.29.8[目标地址]netbios-ns[目标端口]netbios-ns[源端口]78[包长度]第九十四页，共二百一十页。IDS日志举例(Snort)第九十五页，共二百一十页。课程内容

防火墙

VPN内外网隔离

日志审计

入侵检测

隐患扫描PKI(CA)

PGP

安全加固

防病毒第九十六页，共二百一十页。入侵检测（IntrusionDetection）

入侵检测定义入侵检测方法

入侵检测系统结构第九十七页，共二百一十页。入侵检测（IntrusionDetection）

入侵检测定义入侵检测与入侵检测系统（IDS)入侵检测系统基本框架入侵检测方法

入侵检测系统结构第九十八页，共二百一十页。什么是入侵检测入侵检测（IntrusionDetection）是检测计算机网络和系统以发现违反安全策略事件的过程IDS入侵检测系统包括三个功能组件提供事件记录流的信息源发现入侵迹象的分析引擎基于分析引擎的结果产生反应的响应部件第九十九页，共二百一十页。入侵检测系统基本框架

第一百页，共二百一十页。入侵检测（IntrusionDetection）

入侵检测定义入侵检测方法

异常入侵检测技术

异常检测典型系统－TripWare误用入侵检测技术

误用检测典型系统－Snort入侵检测系统结构第一百零一页，共二百一十页。异常入侵检测技术(1)异常检测主要根据合法行为（状态）定义来分析系统是否受到攻击或者运行异常是目前入侵检测技术的主要研究发展方向典型应用：CPU使用率，内存使用率，网络流量，用户行为，系统调用等等

第一百零二页，共二百一十页。异常入侵检测技术(2)

优点：可以检测到未知攻击知识库相对稳定

缺点：准确性差误报率高

第一百零三页，共二百一十页。异常检测典型系统－TripWare(1)TripWare主要利用关键性文件的摘要作为自己知识库，合法用户修改文件后要更新该文件摘要，由于非法用户无权更改其摘要，所以当发现文件摘要和保存的记录不符时，判定系统受到攻击。

第一百零四页，共二百一十页。异常检测典型系统－TripWare(2)优点：实现简单管理方便缺点：检测能力差

第一百零五页，共二百一十页。误用入侵检测技术(1)误用检测根据非法行为（状态）定义，分析目标系统状态，以确定是否受到攻击

技术较为成熟，为绝大多数市场产品采用典型应用：网络数据包用户指令序列应用程序编码特征，等等

第一百零六页，共二百一十页。误用入侵检测技术(2)优点准确高效（相对）易实现缺点不能检测未知攻击知识库会无限增长描述所有攻击行为困难第一百零七页，共二百一十页。误用检测典型系统－Snort(1)Snort是一个典型的轻量级误用网络入侵检测系统。该系统自己定义了一套规则语言来定义入侵行为，规则语言所描述的主要是网络数据包的特性，比如地址、端口、包头属性、包含的特殊数据等等。第一百零八页，共二百一十页。误用检测典型系统－Snort(2)Snort规则语言（示例）logtcpanyany->/2479alerttcpanyany->/2480(content:

"/cgi-bin/phf";msg"PHFprobe!")alerttcp!/24any->/246000:6010(msg:"Xtraffic";)alerttcpanyany->/24143(content:"|E8C0FFFFF|/bin/sh";msg:"NewIMAPBufferOverflowdetected!";)第一百零九页，共二百一十页。误用检测典型系统－Snort(3)优点:检测的准确度比较高缺点:检测的效率低对复杂攻击检测能力差容易被欺骗第一百一十页，共二百一十页。入侵检测（IntrusionDetection）

入侵检测定义入侵检测方法入侵检测系统结构基于主机系统的结构基于网络系统的结构第一百一十一页，共二百一十页。基于主机系统的结构其检测目标主要是主机系统和系统本地用户根据主机的审计数据和系统的日志发现可疑事件依赖于审计数据和系统日志的准确性和完整性第一百一十二页，共二百一十页。基于网络系统的结构根据网络流量和单台或多台主机的审计数据对入侵行为进行检测。由探测器和分析器以及网络安全知识库组成具有配置简单，服务器平台独立性等优点第一百一十三页，共二百一十页。课程内容

防火墙

VPN内外网隔离

日志审计

入侵检测

隐患扫描PKI(CA)

PGP

安全加固

防病毒第一百一十四页，共二百一十页。隐患扫描

（vulnerabilitiesscanning）

网络弱点扫描

主机弱点扫描

特定应用弱点扫描第一百一十五页，共二百一十页。隐患扫描

（vulnerabilitiesscanning）

网络弱点扫描

功能分类常用扫描工具主机弱点扫描

特定应用弱点扫描第一百一十六页，共二百一十页。什么是网络弱点扫描

定期或按需寻找网络设备或网络主机上的漏洞，从而可以对这些漏洞进行及时弥补，以改善网络的安全性第一百一十七页，共二百一十页。网络扫描器功能分类

简单漏洞识别与分析全面漏洞识别与分析第一百一十八页，共二百一十页。简单漏洞识别与分析许多工具能实现相对有限的安全检测。这些工具可以自动进行目标主机的TCP/IP端口扫描，尝试连接存在已知漏洞的服务端口，并且记录下目标主机的反应它们可以为特定的系统特性实现安全配置检查第一百一十九页，共二百一十页。全面漏洞识别与分析扫描漏洞范围更广对漏洞进行分析提出的建议，减轻潜在的安全风险第一百二十页，共二百一十页。常用扫描工具SATANNessusISSInternetScanner第一百二十一页，共二百一十页。SATAN(1)SATAN：SecurityAnalysisToolforAuditingNetworks其基本功能是通过finger，NFS，ftp，NIS，Web等服务尽可能的搜集目标主机和网络的相关信息

并具有简单的推理功能

第一百二十二页，共二百一十页。SATAN(2)具有良好的可扩展性最核心部分对操作系统类型、网络服务名称、漏洞信息和其他细节信息依赖性很小提供了较为灵活的方式供用户添加自己的探测模块,用户可以自己编写一个可执行文件，以.satan结尾第一百二十三页，共二百一十页。NESSUS一个公开代码的安全评估工具有灵活Plugin结构，强大的扫描功能，并且具有很好的扩展性自己提供了一个语言NASL用于用户自己开发测试模块第一百二十四页，共二百一十页。ISSInternetScanner(1)针对网络上主机网络连接相关信息，分析主机系统平台，提供的服务，并分析是否存弱点其可以诊断出的弱点包括：对PC、服务器、Web服务器、防火墙、路由器等网络设备的错误配置设备所启动的服务弱的或者无密码防护没有打补丁或者过时的系统平台。

第一百二十五页，共二百一十页。ISSInternetScanner(2)特点：扫描模块与管理控制模块分开，管理方便采用XML方式定义扫描任务，策略配置灵活多样支持对各种网络设备、平台、应用的评估界面友好，报告齐全

第一百二十六页，共二百一十页。隐患扫描

（vulnerabilitiesscanning）

网络弱点扫描

主机弱点扫描主机弱点扫描功能与特点ISSSystemScanner

特定应用弱点扫描第一百二十七页，共二百一十页。主机弱点扫描功能与特点是针对单一主机系统的扫描，它在目标系统上运行，可以搜集到比较全面的系统信息，对系统安全性作比较深入地分析

只能分析单个主机，不能分析整个网络状况，也不能远程执行对于单一主机来说，主机弱点评估比网络弱点评估的评估能力强，准确性高它对弱点的修复能力比网络评估系统强第一百二十八页，共二百一十页。ISSSystemScanner是ISS公司开发的针对主机的弱点扫描工具只涉及到单一主机，功能较为单一，报告比较简略对目标系统平台具有很强的依赖性，不同的平台涉及到不同的评测内容，不同的评测方法，目前主要分为Windows和Unix两大系列结合了传统安全评估和完整性检测两种方法的特点，提出SecurityBaseline技术，即在进行完一次完整的安全评估后，对所有漏洞修补，保证系统达到自己的安全需求第一百二十九页，共二百一十页。隐患扫描

（vulnerabilitiesscanning）

网络弱点扫描

主机弱点扫描特定应用弱点扫描数据库弱点扫描对未知漏洞的检测第一百三十页，共二百一十页。数据库弱点扫描以ISS的DatabaseScanner为代表自动解析数据库系统的重要配置管理参数分析数据库系统的授权、认证、完整性检测一些流行数据库的安全漏洞生成详细用户报告提供两种评估方式内部扫描外部穿透性测试第一百三十一页，共二百一十页。对未知漏洞的检测目前主要有三种方法：静态源代码扫描环境错误注入汇编代码扫描已有一些成果发布，尚待进一步研究第一百三十二页，共二百一十页。课程内容

防火墙

VPN内外网隔离

日志审计

入侵检测

隐患扫描

PKI(CA)

PGP

安全加固

防病毒第一百三十三页，共二百一十页。PKI(CA)PKI基础知识PKI技术WIN2000PKI

第一百三十四页，共二百一十页。PKI(CA)PKI基础知识什么是PKIPKI的组成PKI标准的制定组织PKI技术WIN2000PKI

第一百三十五页，共二百一十页。什么是PKIPKI是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施提供机密性（包括公钥加密和对称加密）、数据完整性、非否认服务，比如加密、数字签名、数字信封、时间戳等等遵循标准：X.509、RFC2459等第一百三十六页，共二百一十页。公钥密码体制(1)公钥密码技术由Diffe和Hellman于1976年首次提出有两个不同的密钥（公钥－私钥对），可将加密功能和解密功能分开是目前若干关键技术如PKI、VPN等的基础第一百三十七页，共二百一十页。公钥加密模型第一百三十八页，共二百一十页。公钥认证模型第一百三十九页，共二百一十页。公钥密码体制(2)公钥密码体制的优点:可以简化密钥的管理，并且可以通过公开系统如公开目录服务来分配密钥。公钥密码体制的缺点:加、解密的速度太慢密钥长度太长RSA算法：是一个可逆的公钥密码体制，在PGP中被用来加密通信密钥和数字签名;基于以下原理：寻找大素数是相对容易的，而分解两个大素数的积在计算上是不可行的;目前建议使用模长为1024比特以上的模作为密钥

第一百四十页，共二百一十页。PKI的组成1．

CA（认证机构）2．

证书库3．

证书撤销4．

密钥备份和恢复5．

自动密钥更新6．

密钥历史档案7．

交叉认证8．

支持非否认9．

时间戳10.客户端软件第一百四十一页，共二百一十页。PKI标准的制定组织国际标准化组织/国际电信联盟

(ISO)/(ITU)-X.509

因特网特别工程任务组

(IETF).RFC2459RSA实验室

PKCS系列

美国国家标准和技术协会(NIST)MISPC最小互操作规范

第一百四十二页，共二百一十页。PKI(CA)PKI基础知识PKI技术

RFC2459X.509信任模型PKI技术应用现状WIN2000PKI

第一百四十三页，共二百一十页。RFC2459第一百四十四页，共二百一十页。RFC2459第一百四十五页，共二百一十页。X.509证书(1)（图）第一百四十六页，共二百一十页。X.509证书(2)证书版本号（Version）证书序列号（SerialNumber）签名算法标识符(SignatueAlgID)颁发者（Issuer）

有效期（Validity）第一百四十七页，共二百一十页。X.509证书(3)主体名（Subject）主体公钥信息（SubjectPublicKeyInfo）签发者唯一标识符(IssuerID)主体唯一标识符(SubjectID)签名值（Issuer'sSignature）扩展项X.509V3版本的14项标准扩展第一百四十八页，共二百一十页。信任模型层次信任模型网状信任模型混和信任模型桥信任模型第一百四十九页，共二百一十页。层次信任模型第一百五十页，共二百一十页。网状信任模型第一百五十一页，共二百一十页。混和信任模型第一百五十二页，共二百一十页。桥信任模型第一百五十三页，共二百一十页。PKI技术应用现状VeriSign,IBM,Balitimore,Entrust等为用户提供了一系列的客户端和服务器端的安全产品各国政府也相继推出和建立了国家和政府级的PKI体系，如美国联邦PKI体系（FPKI）、加拿大政府PKI体系（GOCPKI）等第一百五十四页，共二百一十页。PKI(CA)PKI基础知识PKI技术WIN2000PKIWIN2000中CA的层次结构

证书颁发过程

WIN2000PKI的组成

第一百五十五页，共二百一十页。WIN2000PKIWindows2000为电子商务提供了一个平台，其中包括证书管理、CA服务与PKI应用程序等第一百五十六页，共二百一十页。WIN2000中CA的层次结构

Windows2000PKI采用了分层CA模型。这种模型具备可伸缩性，易于管理，并且能够对不断增长的商业性第三方CA产品提供良好的支持。在最简单的情况下，认证体系可以只包含一个CA。但是就一般情况而言，这个体系是由相互信任的多重CA构成的

第一百五十七页，共二百一十页。WIN2000中CA的层次结构(图)

第一百五十八页，共二百一十页。证书颁发过程CA收到证书请求信息，包括个人资料和公钥等

CA对用户提供的信息进行核实

CA用自己的私钥对证书进行数字签名

CA将证书发给用户

第一百五十九页，共二百一十页。WIN2000PKI的组成认证服务

活动目录

支持PKI的应用程序

使用的安全协议

第一百六十页，共二百一十页。WIN2000PKI的组成（图）

第一百六十一页，共二百一十页。认证服务

(CertificateServices)是WIN2000PKI中的一个关键部分通过它可以部署一个或多个企业性的CA。这些CA都可以进行认证发布和撤销服务，它们与活动目录集成在一起第一百六十二页，共二百一十页。活动目录提供了CA的定位信息和CA策略，并可以公布有关认证发布和撤销的信息

第一百六十三页，共二百一十页。支持WIN2000PKI的应用程序

MicrosoftInternetExplorerMicrosoftInternetInformationServiceMicrosoftOutlookMicrosoftOutlookExpressMicrosoftMoney其他第三方程序

第一百六十四页，共二百一十页。WIN2000PKI使用的安全协议安全套接字协议SSL

网际安全协议IPSec第一百六十五页，共二百一十页。课程内容

防火墙

VPN内外网隔离

日志审计

入侵检测

隐患扫描PKI(CA)

PGP

安全加固

防病毒第一百六十六页，共二百一十页。PGP(PrettyGoodPrivacy)PGP发展历史与现状

PGP加密流程

PGP加解密算法PGP的密钥管理机制

第一百六十七页，共二百一十页。PGP(PrettyGoodPrivacy)PGP概述PGP发展历史与现状

PGP功能PGP加密流程

PGP加解密算法PGP的密钥管理机制

第一百六十八页，共二百一十页。PGP发展历史与现状是一个基于RSA公钥加密体系的邮件加密软件由美国的

PhilZimmermann于1991年发布采用了RSA和对称加密算法相结合的机制1993年，美国政府以违反出口法规提起了对PhilZimmermann的诉讼。最后以PhilZimmermann获胜告终。第一百六十九页，共二百一十页。PGP功能电子邮件机密性身份认证文件加密第一百七十页，共二百一十页。PGP(PrettyGoodPrivacy)PGP发展历史与现状

PGP加密流程安全机制

PGP公钥与证书

口令PGP加解密算法PGP的密钥管理机制

第一百七十一页，共二百一十页。PGP安全机制采用公开密钥加密与对称密钥加密相结合的加密体系

对称密钥加密技术部分所使用的密钥称为“会话密钥”会话密钥在每次会话中随机产生会话密钥用来保护报文内容公开密钥加密技术中的公钥和私钥则用来加密和解密会话密钥

第一百七十二页，共二百一十页。PGP公钥与证书

每个PGP公钥都伴随着一个证书PGP承认两种不同的证书格式

PGP证书X.509证书

第一百七十三页，共二百一十页。PGP证书(1)（图）第一百七十四页，共二百一十页。PGP证书(2)（图）第一百七十五页，共二百一十页。PGP证书(3)（图）第一百七十六页，共二百一十页。PGP证书(3)PGP证书通常包括以下信息PGP版本号

证书持有者的公钥

证书持有者的信息

证书拥有者的数字签名

证书的有效期

密钥首选的对称加密算法

中介人签名

第一百七十七页，共二百一十页。X.509证书与PGP证书的不同用户可以创建自己的PGP证书;但是必须向CA请求才能得到一份X.509证书X.509证书只支持密钥拥有者的一个名字X.509证书只支持证明密钥合法性的一个数字签名第一百七十八页，共二百一十页。PGP(PrettyGoodPrivacy)PGP发展历史与现状

加密流程

PGP加解密算法PGP中的公钥密码体制PGP中的身份认证PGP中的对称密码体制

PGP的密钥管理机制

第一百七十九页，共二百一十页。PGP公钥密码体制公钥密码体制的优点:可以简化密钥的管理，并且可以通过公开系统如公开目录服务来分配密钥。公钥密码体制的缺点:加、解密的速度太慢密钥长度太长RSA算法：是一个可逆的公钥密码体制，在PGP中被用来加密通信密钥和数字签名;基于以下原理：寻找大素数是相对容易的，而分解两个大素数的积在计算上是不可行的;目前建议使用模长为1024比特以上的模作为密钥

第一百八十页，共二百一十页。数字签名与消息摘要(1)什么是数字签名：是一种确保数据完整性和非否认性的手段，通过给消息附加一段数据来实现使用对称密码体制或公钥密码体制，目前一般使用公钥密码体制实现问题：速度慢产生大量数据，大约是原始数据的两倍第一百八十一页，共二百一十页。数字签名与消息摘要(2)解决方法：引入消息摘要什么是消息摘要：通过对一段任意长的消息使用单向函数，获得的一段定长的数据流程：构造一段消息的消息摘要对该段消息摘要进行数字签名第一百八十二页，共二百一十页。数字签名与消息摘要(3)对消息摘要算法的要求：函数必须是单向的，即对任意消息摘要来构筑能产生该消息摘要的输入消息是计算上不可行的构造两个能产生相同消息摘要的不同的消息是计算上不可行的第一百八十三页，共二百一十页。PGP中的对称密码体制什么是对称密码体制一种使用相同密钥（或相互容易推出的）进行加密和解密的密码体制分为序列密码和分组密码，PGP中使用分组密码中的IDEA算法来加密数据优点：加解密速度快缺点：必须有一个安全的传递通道用来传递密钥第一百八十四页，共二百一十页。PGP(PrettyGoodPrivacy)PGP发展历史与现状

加密流程

PGP加解密算法PGP的密钥管理机制

第一百八十五页，共二百一十页。PGP的密钥管理机制

一个成熟的加密体系必然要有一个成熟的密钥管理机制配套PGP密钥管理的问题：容易被他人篡改、伪造解决方法：公钥介绍机制通过其他人对公钥的签名保证公钥的可信度存在的问题：密钥撤销第一百八十六页，共二百一十页。课程内容

防火墙

VPN内外网隔离

日志审计

入侵检测

隐患扫描PKI(CA)

PGP

安全加固

防病毒第一百八十七页，共二百一十页。安全加固(1)安全加固通常是指通过一定的技术手段，在不增加新产品的基础上，提高系统的安全性和抗攻击能力

安全加固的优点相对于重新开发系统，成本较低可以满足大多数用户对安全系统的要求