Web安全技术课件

第九章Web安全技术主要内容IP安全技术E-mail安全技术安全扫描技术网络安全管理技术身份认证技术VPN技术1.IP安全技术目前常见的安全威胁数据泄漏 在网络上传输的明文信息被未授权的组织或个人所截获，造成信息泄漏。数据完整性的破坏 确保信息的内容不会以任何方式被修改，保证信息到达目的地址时内容与源发地址时内容一致。身份伪装 入侵者伪造合法用户的身份来登录系统，存取只有合法用户本人可存取的保密信息。拒绝服务 由于攻击者攻击造成系统不能正常的提供应有的服务或系统崩溃。解决的方案：加密：防止Sniffer的侦听和篡改。验证：防止简单的身份伪装和拒绝服务攻击。为了实现IP网络的安全，IETF提出了一系列的协议，构成典型的安全体系——IPSec（IPSecurityProtocol）。在RFC中，RFC1825（Internet协议安全体系结构）、RFC1826（IP鉴别头：AH）、RFC1827（IP封装安全载荷：ESP）。IPSec安全体系结构安全体系结构 包含了一般的概念、安全需求、定义和定义IPSec的技术机制。AH

将每个数据包中的数据和一个变化的数字签名结合起来，共同验证发送方身份是的通信一方能确认发送数据的另一方的身份，并能够确认数据在传输过程中没有被篡改，防止受到第三方的攻击。ESP

提供了一种对IP负载进行加密的机制，对数据包上的数据另外进行加密。IKE

一种协商协议，提供安全可靠的算法和密钥协商，帮助不同结点之间达成安全通信的协定，包括认证方法、加密方法、所有的密钥、密钥的使用期限等。AHESP（只加密）ESP（加密并鉴别）访问控制√√√无连接完整性√√数据源的鉴别√√拒绝重放的分组√√√机密性√√有限的通信量的机密性√√IPSec的服务2.E-mail安全技术垃圾邮件 包括广告邮件、骚扰邮件、连锁邮件、反动邮件等。安全电子邮件技术利用SSLSMTP和SSLPOP利用VPN或其他的IP通道技术，将所有的TCP/IP传输封装起E-mail的安全隐患密码被窃取邮件内容被截获附件中带有大量病毒邮箱炸弹的攻击本身设计上的缺陷PGP（PrettyGoodPrivacy） 使用单向单列算法对邮件内容进行签名，以此保证信件内容无法被篡改，使用公钥和私钥技术保证邮件内容保密已不可否认。 特征：把RSA公钥体系的方便和传统加密体制高度结合，在数字签名和密钥认证管理机制上更巧妙地设计。密钥管理，采用公钥介绍机制来公布公钥信息，防止攻击者伪造公钥发布。功能使用的算法描述数字签名DSS/SHA或RSA/SHA使用SHA-1创建的报文的散列编码。采用DSS或RSA算法使用发送者的私有密钥对这个报文摘要进行加密，并且包含在报文中报文加密CAST或IDEA或3DES，带有Diffie-Hellman算法或RSA采用CAST-128或IDEA或3DES，使用发送者生成的一次性会话密钥对报文进行加密，采用Diffie-Hellman或RSA，使用接收方的公开密钥对会话密钥进行加密并包含在报文中压缩ZIP报文可以使用ZIP进行压缩，用于存储或传输电子邮件兼容性64基转换为了提供电子邮件应用的透明性，加密的报文可以使用64基转换算法转换成ASCII字符串分段－为了满足最大报文长度的限制，PGP完成报文的分段和重新装配PGP服务PGP的安全针对私钥的攻击对私钥数据的访问；对用于加密每个私钥的秘密通行短语（passphrase）的了解。针对公钥的攻击修改公钥中的签名，并且标记它为公钥中已经检查过的签名，使得系统不会再去检查它。针对PGP的使用过程，修改公钥中的有效位标志，使一个无效的密钥被误认为有效。3.安全扫描技术基本原理 采用模拟黑客攻击的形式对目标可能存在的已知的安全漏洞进行逐项检查，然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为网络安全的整体水平产生重要的依据。基于主机的安全扫描基于网络的安全扫描系统安全扫描的工作原理安全管理员基于主机的安全扫描 针对操作系统的扫描检测，采用被动的，非破坏性的办法对系统进行检测。 扫描工具安装在需扫描的主机上。基于网络的安全扫描 采用积极的、非破坏性的办法来检测系统是否有可能被攻击崩溃，利用一系列的脚本模拟对系统进行攻击的行为，然后对结果进行分析。 通过网络远程探测其他主机的安全风险漏洞，安装在整个网络环境中的某一台机器上。4.网络安全管理技术基本概念 是指对所有计算既往拉应用体系中各个方面的安全技术和产品进行统一的管理和协调，进而从整体上提高整个计算机网络的防御入侵、抵抗攻击的能力的体系。技术安全管理方针管理制度和安全人员现代网络安全管理技术

需要达到的目标：实现各类计算机安全技术、产品之间的协调和联动，实现有机化；充分发挥各类安全技术和产品的功能；真体安全能力大幅度提高；实现计算机安全手段与现有计算机网络应用系统的一体化。安全知识培训网络设备组件的加固与维护日常检测——漏洞/异常攻击事故报告应急事故恢复安全中心——风险分析制定/实施/维护安全策略基于角色的培训安全动态知识长期培训主机保护产品组件加固服务网络入侵检测产品漏洞扫描产品应急服务小组攻防实验室安全分析工程师安全知识数据库维护整体安全解决方案5.身份认证技术原理 身份认证是安全系统中的第一道关卡，用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器，根据用户的身份和授权数据库决定是否能够访问某个资源。单机状态下的身份认证 用户所知道的； 用户所拥有的； 用户所具有的；网络环境下的身份认证一次性口令技术 如：S/KEY。PPP中的认证协议密码验证协议PAP（PasswordAuthenticationProtocol）挑战－握手认证协议CHAP（Challenge－HandshakeAuthenticationProtocol）PPP扩展认证协议EAP（ExtensibleAuthenticationProtocol）6.1VPN技术含义VPN(VirtualPrivateNetwork)，虚拟专用网在公共网络中，通过隧道和/或加密技术进行PN(PrivateNetwork)业务的仿真VPN业务在公共网络中保证私有数据的安全性、专有性同时提供可管理性、扩展性和灵活性VPN的目的对于运营商利用现有网络设施，充分共享资源在现有网络上提供增值服务扩大其业务量对于客户将繁重的网络维护工作交由运营商管理比自建独立的小型网络更为便宜VPN原理VPN的功能可以替换现有的专用网网段或子网。通过把特定应用分离出来满足相应需求，为专用网络提供有益的补充。不影响现有专用网的情况下，处理新应用。增加新位置，特别是国际性网站。VPN的分类按企业的组网方式可分为三大类：AccessVPN(远程访问VPN)IntranetVPN(企业内部VPN)

ExtranetVPN(扩展的企业内部VPN)AccessVPNAccessVPN的优点减少费用，优化网络实现本地拨号介入的功能来取代远距离接入或800电话接入，能降低远距离通信费用极大的可扩展性，方便对加入网络的新用户进行调度节省劳动力IntranetVPNIntranetVPN的优点减少WAN带宽的费用能使用灵活的拓扑结构，包括全网孔连接新的站点能更快、更容易地被连接通过设备供应商WAN的连接冗余，可以延长网络的可用时间ExtranetVPNExtranetVPN的优点能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。6.2VPN实现技术VPN实现技术隧道技术(Tunneling)加解密技术(Encryption&Decryption)QoS技术(QualityofService)隧道技术(Tunneling)加解密技术(Encryption&Decryption)

目前业界和市场上针对网络传输的加密技术产品分为两大类：逐链加密方式：针对链路层加密，市场上相关产品有X.25专线加密机、DDN数据加密机等。IPSec加密机制：运行在网络层，以传输方式和隧道方式进行配置，前者适用于两端点之间的IP层加密，后者适用于两个网关之间构成一条加密隧道，可以是非IP协议。QoS技术(QualityofService)带宽：网络提供给用户的传输率。反应时间：用户所能容忍的数据报传递延时。抖动：延时的变化。丢失率：数据包丢失的比率。6.3VPN应用方案1客户网络现状企业总部网络有大约20台终端，使用一台双网卡的Windows2000服务器作为网关，并采用ADSL方式接入Internet15个办事处有一台计算机，使用电话拨号上网3个办事处有一台计算机，但使用小区宽带上网5个办事处有2到3台计算机，组成一个小局域网并通过ISDN接入路由共享上网客户需求每个办事处需要有一台终端能够接入总部局域网不改变总部局域网现有网络结构有足够的网络安全性保障尽量节约网络建设费用，并要求系统具备良好的可升级能力方案的选择?方案对比对比项目远程拨号远程访问VPN初期设备投入拨号服务器、中继线VPN网关VPN客户端软件日常通讯费用长途电话费市话费+Internet通讯费通讯速率只能到56kbps根据客户端接入Internet的方式决定，最低为56kbps并发访问数量限制受限于电话中继线的数量无管理复杂度需要一定的日常维护管理一次性配置，日常基本无需管理通讯加密不加密根据需要，可选择加密强度网络拓扑图小结这种方案能够保证企业异地办事机构的终端用户、在家办公的员工以及出差的员工能够随时通过Internet安全地接入企业内部网络并使用所有的内部网络资源；在网络规模方面，只要求总部有比较完善的网络环境，对公司分支机构的网络环境要求不高；可以方便地对用户进行访问权限管理。6.4VPN应用方案2客户需求

总部在广州，全国多个城市