企业信息化培训07课件

企业信息化傅建明武汉大学计算机学院fujms@谢谢罗敏博士企业信息化傅建明fujms@谢1第七章网络信息安全网络信息安全的概念网络信息安全的常用技术第七章网络信息安全网络信息安全的概念2网络信息安全的概念网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续可靠地运行，网络服务不中断。网络安全性指计算机机密性、完整性和可用性的实现。网络信息安全的概念网络信息安全是指网络系统的硬件、软件及其系3网络安全性可用性授权实体有权访问数据。机密性信息不暴露给未授权实体或进程。完整性保证数据不被未授权修改。网络安全性可用性4网络信息安全的常用技术防火墙技术入侵检测技术反病毒技术内外网隔离技术VPN技术电子邮件的安全网络信息安全的常用技术防火墙技术5企业信息化培训07课件67.1防火墙技术有关知识和概念体系结构防火墙的设计7.1防火墙技术有关知识和概念7

87.1.1有关知识和概念防火墙的概念

Internet防火墙指能增强网络安全性的（一组）系统或一种装置。它是由软件或硬件设计组合而成，通常位于局域网/内部网与Internet/外部网之间，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络不被破坏，防止内部网的敏感数据被窃取。所以防火墙实际上可以作为内部网和外部网之间的一种访问控制设备。它可以是路由器，也可以是个人主机、主系统或一批主系统，用于把网络或子网同子网外的可能是不安全的系统隔离。7.1.1有关知识和概念防火墙的概念97.1.1有关知识和概念防火墙的访问控制：1.

服务控制，决定哪些服务可以被访问2.

方向控制，决定哪些方向的服务请求被发起3.

用户控制，哪些用户可以访问服务（本地用户，远程用户）4.

行为控制，控制具体的服务过程7.1.1有关知识和概念防火墙的访问控制：107.1.1有关知识和概念防火墙的应用：1.

设立单一阻塞点2.

提供NAT，对外可以隐藏内部IP，可计费3.

作为IPSec的平台（性能管理、安全管理、故障管理、计费管理、配置管理）7.1.1有关知识和概念防火墙的应用：117.1.1有关知识和概念防火墙的优点防止易受攻击的服务控制访问网点集中安全性增强保密，强化私有权有关网络使用、滥用的纪录和统计政策执行7.1.1有关知识和概念防火墙的优点127.1.1有关知识和概念防火墙的主要组成部分：网络政策（高级的、低级的）先进的验证工具包过滤应用网关防火墙设计的基本方针只允许访问特定的服务只拒绝访问特定的服7.1.1有关知识和概念防火墙的主要组成部分：137.1.1有关知识和概念防火墙的缺点不能防范恶意的知情者不能防范不通过它的连接几乎不能防范病毒只能用来防备已知的威胁，不能防备新的未知的威胁7.1.1有关知识和概念防火墙的缺点147.1.1有关知识和概念按位置分：l

个人防火墙（主机）l

企业防火墙（网络）按实现方式分：l

软件防火墙l

硬件防火墙l

软硬一体化防火墙按技术分：l

包过滤器l

应用层网关

电路层网关

7.1.1有关知识和概念按位置分：157.1.2防火墙体系结构双宿主主机防火墙被屏蔽主机被屏蔽子网其它7.1.2防火墙体系结构双宿主主机防火墙167.1.2防火墙体系结构

堡垒主机

bastionhost是网络安全的一个边界点，可以作为应用层网关和电路层网关的服务平台。7.1.2防火墙体系结构

堡垒主机bastion17双宿主主机防火墙双宿主主机防火墙18双宿主主机防火墙双宿主主机防火墙19被屏蔽主机被屏蔽主机20被屏蔽主机被屏蔽主机21被屏蔽子网被屏蔽子网22被屏蔽子网被屏蔽子网237.1.3防火墙的设计包过滤防火墙网络层(IP层)应用层防火墙应用层NAT代理服务7.1.3防火墙的设计包过滤防火墙24包过滤防火墙包过滤防火墙25包过滤防火墙数据包的处理信息：

l

源IP地址/目的IP地址l

源端口/目的端口l

IP协议域-TCP,UDP,ICMP.RIP,OSPF…l

TCP标志位ACKl

ICMPtype包过滤防火墙数据包的处理信息：26包过滤防火墙设计要求：1.

外网的主机可以访问内网的SMTP服务器（25）2.

内网的主机可以访问外网的SMTP服务器（25）3.

除1，2外不允许其他流量通过该防火墙包过滤防火墙设计要求：27包过滤防火墙包过滤防火墙28包过滤防火墙规则号源地址目的地址协议类型源端口目的端口动作ACK位A1外部地址内部地址TCP>102425passanyB2内部地址外部地址TCP25>1024passACKC3内部地址外部地址TCP>102425passanyD4外部地址内部地址TCP25>1024passACKE5anyanyanyanyanydropany包过滤防火墙规则号源地址目的地址协议类型29包过滤防火墙-状态检查

包过滤防火墙-状态检查30应用层网关

增加验证功能/实现应用服务。应用层网关，也称为代理服务器，proxy，broker，Agent，传递消息。

应用层网关增加验证功能/实现应用服务。应用层网关，也称为代31电路层网关

应用：Web，BBS，FTP，EMAIL，QQSocks4TCP协议；Socks5TCP/UDP，IPv6，身份验证，DNS，RFC1928，1929；HTTPAgent：80电路层网关应用：Web，BBS，FTP，EMAIL32防火墙的发展

1.

功能：l

包过滤：基于状态检查的包过滤l

基于内容的信息过滤非法信息/垃圾邮件/端口扫描/拒绝服务/病毒/木马/蠕虫…l

VPN，VirtualPrivateNetworkl

IDS防火墙的发展1.

功能：33防火墙的发展2.

性能：千兆防火墙，专用芯片（ASIC芯片，NP）快速算法stress-test-强力测试规则数

性能

防火墙的发展2.

性能：34防火墙的发展3.

管理：l

Webl

GUIl

Console/CLI安全，认证4.

抗攻击：scanning，firewalk，SNMPwalk防火墙的发展3.

管理：357.2入侵检测技术入侵检测的任务入侵检测的原理入侵检测的方法7.2入侵检测技术入侵检测的任务367.2入侵检测技术入侵：指任何试图危及计算机资源的完整性、机密性或可用性的行为。

入侵的分类：1.

入侵者只获得系统访问权限，即获得了普通级别的系统帐号和口令并登录主机，不做破坏性的工作2.

入侵者进入系统后，毁坏改变数据3.

入侵得到部分或整个系统的控制权修改系统帐户、口令、修改日志、安装后门、木马等4.

拒绝服务的攻击，入侵者并没有获得系统的访问权，而是利用一些拒绝服务的攻击程序，引起网络挂起或重新启动.7.2入侵检测技术入侵：指任何试图危及计算机资源的完整性377.2入侵检测技术入侵的来源：1.

外部入侵者：未授权的用户2.

内部入侵者：逾越了合法访问权限的系统授权用户,如：伪装者：盗用秘密用户：躲过审计

7.2入侵检测技术入侵的来源：387.2入侵检测技术网络中的安全威胁主要有：1.

身份窃取，用户身份在通信时被非法窃取2.

假冒，指非法用户假冒合法用户身份获取敏感信息的行为3.

数据窃取，指非法用户截获通信网络的数据4.

否认，知通信方事后否认曾经参与某次活动的行为5.

非授权访问6.

拒绝服务，指合法用户的正常申请被拒绝、延迟、更改等7.

错误路由7.2入侵检测技术网络中的安全威胁主要有：39入侵检测的任务识别入侵者和入侵行为检测和监视已成功的安全突破为对抗措施及时提供重要信息入侵检测，IntrusionDetection，对入侵行为的发觉。它通过在系统（计算机）网络中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，IDS）。入侵检测的任务识别入侵者和入侵行为40安全模型PDR模型：

P（t）>D（t）+R（t）PreventionDetectionResponse

黑客：1.

scriptkiddy2.

利用已有的漏洞和弱点，编制新的工具3.

发现已有的系统的漏洞和弱点安全模型PDR模型：P（t）>D（t）+R（t）41入侵检测的功能IDS的功能：1.

检测并分析用户和系统的活动2.

检查系统的配置和漏洞-scanning3.

评估系统关键资源和数据文件的完整性4.

识别已知的攻击行为5.

统计分析异常行为6.

管理操作系统日志，并识别违反安全策略的用户活动

入侵检测的功能IDS的功能：42入侵检测的原理入侵检测的原理43入侵检测系统的分类根据审计数据的来源可l

基于主机的IDS保护关键位置的服务器，实时监视可疑的连接、系统日志、非法访问的入侵等。一般通过分析审计记录确认是否有入侵发生.Filemonitor(R,W,E,B);registertablemonitor;memorymonitor;portmonitor.l

基于网络的IDS通过连接在网络的站点捕获网上的数据包，并分析其是否具有已知的攻击模式，以此来判别是否为入侵者。基于agent的IDS

入侵检测系统的分类根据审计数据的来源可44入侵检测的方法异常检测误用检测入侵检测的方法异常检测45异常入侵检测

分析用户正常的行为活动，并建立统计概率模型，然后观察系统的行为，决定在何种程序上将一个行为标识为“异常”。该方法只能识别出那些与正常过程有较大偏差的行为，而无法知道具体的入侵情况，误警较高。

异常入侵检测分析用户正常的行为活动，并建立统计概率模型，然46异常入侵检测例：

用户名

时间戳

主机

用户主机

命令

参数

行为

Aam0cat/etc/passwdAam0vi.cAam0gcc

……常用算法：Bayes，HMM，神经网络，……优点：可以检测未知的攻击异常入侵检测例：用户名时间戳主机47误用入侵检测

是基于已知的系统缺陷和入侵模式；假设能精确的编码攻击特征。检测：按先定义好的入侵模式匹配当前用户的活动，若匹配则有入侵。常用算法：规则，专家系统，Petrinet……

误用入侵检测是基于已知的系统缺陷和入侵模式；48误用入侵检测例：1.%cp/bin/sh/usr/spool/mail/root2.%chmod4755/usr/spool/mail/root3.%touchx4.%mailroot<x5.%/usr/spool/mail/root6.root%误用入侵检测例：49检测结果当前用户的活动有4种可能：1.

入侵但非异常，……漏检2.

非入侵且异常，……误检3.

非入侵且非异常4.

入侵且异常检测结果当前用户的活动有4种可能：50入侵检测系统指标

1可靠性，容错能力，可连续运行

TolearanceIntrusionSystem2.可用性3.可测性4.适应性，适应环境的变化（未知攻击）1.

实时性--PDR2.

准确性，——falsepositive误检

MDADfalsenegative漏检

MD5.安全性，IDS本身安全

入侵检测系统指标1可靠性，容错能力，可连续运行To51入侵检测系统发展和困难

系统的漏洞百出，入侵行为表现为不确定性、复杂性、多样性等。关键的问题：1.

高效的检测算法2.

入侵模式的自动生成及确认3.

实时监测、响应4.

入侵描述语言XML、数据标准化5.

数据捕获，20M，30M，50M6.

IDS间的协同7.

IDS评估8.容侵研究

入侵检测系统发展和困难系统的漏洞百出，入侵行为表现为不确定527.3反病毒技术基本知识病毒的特征病毒的分类反病毒技术病毒的预防措施7.3反病毒技术基本知识537.3反病毒技术《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”

7.3反病毒技术《中华人民共和国计算机信息系统安全保护条547.3反病毒技术其产生的原因有：（1）、一些计算机爱好者出于好奇或兴趣；（2）、产生于个别人的报复心理。（3）、来源于软件加密。（4）、产生于游戏。（5）、用于研究或实验而设计的“有用”程序，由于某种原因失去控制而扩散出来。

（6）、由于政治、经济和军事等特殊目的，一些组织或个人也会编制一些程序用于进攻对方电脑。

7.3反病毒技术其产生的原因有：557.3反病毒技术其特征可以归纳为传染性，非授权性，隐蔽性，潜伏性，破坏性，不可预见性和可触发性。计算机病毒的传染性是指病毒具有把自身复制到其它程序的能力，是病毒的基本特征。非授权性强调病毒程序的执行对用户是未知的，即病毒的执行具有某种主动性。隐蔽性是指病毒生存的必要条件。病毒的非授权性，隐蔽性，潜伏性使得病毒的行为是不可预见的，病毒的触发条件越多，则传染性越强，但同时其隐蔽性和潜伏性降低。7.3反病毒技术其特征可以归纳为传染性，非授权性，隐蔽性56病毒的分类 按传染方式分：引导型病毒文件型病毒混合型病毒按连接方式分：源码型病毒入侵型病毒操作系统型病毒外壳型病毒按破坏性分：良性病毒恶性病毒病毒的分类 按传染方式分：57计算机病毒的状态静态病毒，指存在于辅助存储介质(如软盘、硬盘、磁带、CD-ROM)上的计算机病毒。静态病毒不能产生传染和破坏作用。

动态病毒，指进入了计算机内存的计算机病毒，它必定是随病毒宿主的运行而运行，如使用寄生了病毒的软、硬盘启动机器，或执行染有病毒的程序文件时进入内存的。

计算机病毒的状态静态病毒，指存在于辅助存储介质(如软盘、硬盘58计算机病毒的组成病毒程序是一种特殊程序，其最大特点是具有感染能力。病毒的感染动作受到触发机制的控制，病毒触发机制还控制了病毒的破坏动作。病毒程序一般由感染模块、触发模块、破坏模块、主控模块组成，相应为感染机制、触发机制和破坏机制三种。有的病毒不具备所有的模块，如巴基斯坦智囊病毒没有破坏模块。

计算机病毒的组成病毒程序是一种特殊程序，其最大特点是具有感59常见计算机病毒种类DOS病毒,PE病毒,宏病毒,脚本病毒,蠕虫--蠕虫王/冲击波/MyDoom//Netsky/震荡波常见计算机病毒种类DOS病毒,60反病毒技术第一代静态特征代码扫描第二代静态广谱特征扫描第三代静态扫描和动态仿真相结合第四代多种技术相结合反病毒技术第一代61反病毒技术特征值检测技术；校验和检测技术；行为监测技术；启发式扫描技术；虚拟机技术。

反病毒技术特征值检测技术；62病毒预防（1）检查外来文件

（2）局域网预防

（3）购买正版软件

（4）小心运行可执行文件

（5）使用确认和数据完整性工具

（6）周期性备份工作文件

病毒预防（1）检查外来文件63病毒预防（7）留心计算机出现的异常，如操作突然中止、系统无法启动、文件消失、文件属性自动变更、程序大小和时间出现异常、非使用者意图的电脑自行操作、电脑有不明音乐传出或死机、硬盘的指示灯持续闪烁、系统的运行速度明显变慢、上网速度缓慢。

（8）及时升级抗病毒工具的病毒特征库和有关的杀毒引擎。

（9）建立健全的网络系统安全管理制度

“预防为主，消灭结合”

病毒预防（7）留心计算机出现的异常，如操作突然中止、系统无法647.4内外网隔离技术（物理隔离）什么是物理隔离物理隔离技术双机物理隔离双硬盘物理隔离单硬盘物理隔离系统网络级物理隔离隔离网闸7.4内外网隔离技术（物理隔离）什么是物理隔离657.4内外网隔离技术2000年1月，国家保密局发文：涉密网络不能直接或间接与互联网或公众网互联。物理隔离：指内部网络与外部网络之间物理上没有相互连接的通道。逻辑隔离：指内部网络与外部网络之间物理上有相互连接的设备，但只是逻辑上的通道。7.4内外网隔离技术2000年1月，国家保密局发文：涉密667.4内外网隔离技术第一代隔离技术——完全的隔离。此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，需要至少两套网络和系统。第二代隔离技术——硬件卡隔离。在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。共享键盘/cpu/显示器P2047.4内外网隔离技术第一代隔离技术——完全的隔离。此方法677.4内外网隔离技术第三代隔离技术—数据转播隔离。利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义.第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在有许多问题。-隔离集线器第五代隔离技术—安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，透明支持多种网络应用。网闸/渡船

7.4内外网隔离技术第三代隔离技术—数据转播隔离。利用转687.5企业的虚拟专用网（VPN技术）VPN的定义和分类VPN的作用和特点VPN技术7.5企业的虚拟专用网（VPN技术）VPN的定义和分类69什么是VPN?VPN(VirtualPrivateNetwork)是通过internet公共网络在局域网络之间或单点之间安全地传递数据的技术ISPModemsVPNGatewayVPNGateway总部网络远程局域网络总部分支机构单个用户Internet

VPN可以省去专线租用费用或者长距离电话费用，大大降低成本

VPN可以充分利用internet公网资源，快速地建立起公司的广域连接什么是VPN?VPN(VirtualPrivateNe70VPN的作用数据加密信息认证和身份认证访问权限控制VPN的作用数据加密71VPN技术隧道协议（TunnelProtocols）PPTP(PointtoPointTunnelingProtocol)L2TP(Layer2TunnelingProtocol)Ipsec(SecureIP)隧道服务器(TunnelServers)认证(Authentication)加密(Encryption)VPN技术隧道协议（TunnelProtocols）72PPTP(PointtoPointTunnelingProtocol)由3Com公司和Microsoft公司合作开发的PPTP是第一个广泛使用建立VPN的协议。

Windows95/98/NT4.0／2000,Linux、Solaris

PPTP可以将其他类型协议的数据包提取出来，然后封装在一个PPTP包中，这样就可以支持从客户机到VPN网络(LAN)服务器(例如移动用户到公司总部LAN)和LAN-to-LAN(例如分支机构、合作伙伴到总部VPN网络服务器)两种隧道。

PPTP(PointtoPointTunneling73PPTP是PPP协议的扩展当与远程计算机连接时，PPP需要与远程计算机一起按以下步骤协商完成工作：

(1)在远程计算机和服务器之间建立帧传输规则，通过该规则的建立，才允许进行连续的通信(通常称为“帧传输”)。

(2)远程访问服务器通过使用PPP协议中的身份验证协议(如：MS-CHAP、EAP、CHAP、SPAP、PAP等)，来验证远程用户的身份。

(3)身份验证完毕后，如果用户启用了回拨，则远程访问服务器将挂断并呼叫远程访问客户机，实现服务器回拨。

(4)“网络控制协议”(NCP)启用并配置远程客户机，使得所用的LAN协议与服务器端进行PPP通信连接。

PPTP是PPP协议的扩展当与远程计算机连接时，PPP需要与74PPTPPPTP75第2层隧道协议（L2TP）

L2TP也是PPP协议的扩展，它综合了PPTP和L2F两个隧道协议的优点。它是由Cisco、Microsoft、Ascend、3Com和其他网络设备供应商开发-RFC2661。

L2TP主要由LAC(L2TPAccessConcentrator，第2层隧道协议接入集线器)和LNS(L2TPNetworkServer，第2层隧道协议网络服务器)构成

第2层隧道协议（L2TP）L2TP也是PPP协议的扩展，它76L2TPL2TP77PPTP与L2TP比较

1.PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），帧中继永久虚拟电路（PVCs）,X.25虚拟电路（VC）或ATMVC网络上使用。2.PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。3.L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。4.L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道PPTP与L2TP比较1.PPTP要求互联网络为IP网络。78VPN技术-传输模式传输模式主要是为上层协议提供保护，同时增加了IP包载荷的保护。例如，TCP段或UDP段、ICMP包均是在主机协议栈的IP层进行操作。典型地，传输模式用于在两台主机（如服务器与工作站之间、两个工作站之间）进行的端到端通信。当一个主机在IPv4上运行AH或ESP时，其载荷是跟在IP报头后面的数据，对