第11章网络安全.ppt

1、第11章 Red Hat Linux 9网络安全,Linux平台作为一个安全性、稳定性比较高的操作系统被广泛地应用到了民用或者商业网络服务领域。尽管Linux是安全系数比较高的操作系统，但作为一种动态的、不断发展的操作系统，其自身仍然不可避免地存在着各种问题。本章将主要介绍Linux操作系统的一些安全特点，以及与之相关的安全技术。,11.1 网络安全基础,计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科地综合性学科。从广义上讲，凡是涉及网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全地研究内容。

2、11.1.1 信息安全简介 广义信息安全：包括军事、政治等国家机密安全，防范商业企业机密泄露，防范青少年对不良信息的浏览，个人信息的泄露等。 狭义信息安全：指信息网络的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续、可靠、正常地运行，信息服务不中断。 网络环境下的信息安全：包括计算机安全操作系统、各种安全协议、安全机制（数字签名、信息认证、数据加密等）以及安全系统。,1信息安全的实现目标 （1）真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别。 （2）保密性：保证机密信息不被窃听，或使窃听者不能了解信息的真实含义。 （3）完整性：保证数

3、据的一致性，防止数据被非法用户篡改。 （4）可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。 （5）不可抵赖性：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。 （6）可控制性：对信息的传播及内容具有控制能力。 （7）可审查性：对出现的网络安全问题提供调查的依据和手段。,2主要的信息安全威胁 （1）窃取：非法用户通过数据窃听的手段获得敏感信息。 （2）截取：非法用户首先获得信息，再将此信息发送给真实接收者。 （3）伪造：将伪造的信息发送给接收者。 （4）篡改：非法用户对合法用户之间的通讯信息进行修改，再发送给接收者。 （5）拒绝服务攻击：攻击服务系统，造成系统

4、瘫痪，阻止合法用户获得服务。 （6）行为否认：否认已经发生的行为。 （7）非授权访问：未经系统授权而使用网络或计算机资源。 （8）传播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很难进行防范。,3信息安全威胁的主要来源 （1）自然灾害、意外事故。（2）计算机犯罪。（3）人为错误，如使用不当，安全意识差等。（4）内部泄密。（5）外部泄密。（6）信息丢失。（7）电子谍报，如信息流量分析、信息窃取等。（8）信息战。 （9）网络协议自身缺陷，如TCP/IP协议的安全问题等。 4信息安全涉及的主要问题 （1）网络攻击与攻击检测、防范问题。（2）安全漏洞与安全对策问题。（3）信息安全保密问题。（

5、4）系统内部安全防范问题。（5）防病毒问题。（6）数据备份与恢复问题、灾难恢复问题。,11.1.2 网络安全技术 网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性等问题的技术手段，主要包括物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术、终端安全技术等。,11.2 防火墙技术,网络面临的安全威胁主要有人为或自然力造成的数据丢失、设备失效、线路阻断；操作人员的失误造成的数据丢失；来自外部或内部人员的恶意攻击和入侵等。 前面两种威胁的预防方法与传统电信网络中的预防方法基本相同。最后一种是当前In

6、ternet所面临的最大威胁，是电子商务、电子政务等顺利发展的最大障碍，也是企业网络安全策略最需要解决的问题。目前解决网络安全问题的最有效方法是采用防火墙。 防火墙就是在可以信任的本地网络和不可信任的外部网络之间的一个阻塞点，内部网络和外部网络之间的所有数据传输都必须经过这一个阻塞点。,11.2.1 防火墙的体系结构及分类 目前防火墙的体系结构一般有双重宿主主机体系结构、主机过滤体系结构和子网过滤体系结构3种。,1双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主机而构筑的。该计算机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络向另一个网

7、络发送IP数据包。双重宿主主机的防火墙体系结构使IP数据包不是从一个网络直接发送到其他网络，而是通过防火墙实现其内外计算机之间的通信。 双重宿主主机体系结构如右图所示。,2主机过滤体系结构 双重宿主主机结构是由一台同时连接于内、外网络的双重宿主主机提供安全保障的，而在主机过滤体系结构中，提供安全保护的主机仅与内部网络相连。另外，主机过滤结构还有一台单独的路由器（过滤路由器）。在这种体系结构中，网络安全主要由数据包过滤提供，其结构如右图：,过滤路由器中，数据包过滤配置的两种方法： （1）允许其他内部主机为了使用某些服务于Internet上的主机连接，即允许那些已经由数据包过滤的服务。 （2）不允

8、许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）。 3.子网过滤体系结构 子网过滤体系结构在主机过滤体系结构中添加了额外的安全层，即通过添加参数网络（内外部网络之间另加的一层安全保护网络层，如果入侵者成功地闯过外保护网到达防火墙，参数网络就能在入侵者与内部网络之间再提供一层保护），更进一步地把内部网络与Internet隔离开。,子网过滤体系结构的最简单的形式为采用两个连接到参数网络的过滤路由器：一个位于参数网络与内部网络之间，另一个位于参数网络与外部网络（通常为Internet）之间，其结构图如下图所示：,此体系结构中采用的组件： （1）参数网络 如果使用了参数网络，则入侵者侵

9、入到堡垒主机时，只能偷看到参数网络的信息流，而看不到内部网络的信息，而这层网络的信息流仅往来于参数网络与外部网络或者参数网络与堡垒主机。 （2）堡垒主机 堡垒主机与参数网络相连，而这台主机是外部网络服务于内部网络的主节点。它为内部网络提供服务，并向外（由内部网络的客户端向外部服务器）提供服务。 （3）内部路由器 有时也称为阻流路由器，主要功能是保护内部网络免受外部网络与参数网络的侵扰。 （4）外部路由器 有时也称为接触路由提，既保护参数网络，又保护内部网络。外部路由器真正有效的作用就是阻断从外部网络的伪造源地址进来的任何数据包。,11.2.3 使用iptables实现网络层和传输层防火墙 1.

10、 netfilter/iptable简介 netfilter/iptable是Linux核心的一个通用框架，该框架定义了包过滤子系统功能的实现，提供了filter、NAT（network address tranletion）和mangle 三个表，默认使用的是filter表。每个表包含有若干条内建的链（chains），用户也可以在表中创建自定义的链。在每条链中，可定义一条或多条过滤规则（rule），即链是一个规则的列表。每条规则应指定所要检查的包的特征以及如何处理与之相匹配的包，即目标 （ target ），目标值可以是用户自定义的一个链名，以便跳转到同一个表内的用户自定义链进行规则检查，也

11、可以是ACCEPT、DROP、REJECT或RETURN等值。 规则的定义方式一般是“如果数据波符合这样的条件，这样处理该数据包”，规则遵循第一匹配优先原则，在表达规则时应注意先后顺序。若未指定源或目的地址，则默认为任意主机。,2.iptables的安装及命令简介 1）查看是否安装了ipchains iptables不能与ipchains同时使用，使用以下命令检查是否加载了ipchains： #lsmod grep ipchains 若出现相应的版本号说明已加载，可使用以下命令卸载该模块： #rmmod ipchains 2）查看iptables是否正在运行 在Red Hat Linux 9中

12、iptables是默认安装的，可用如下命令来查看是否正在运行： #service iptables status 如果可以看到详细的规则信息，那么用户可以直接进入，如果iptables还没有被编译到内核中，就需要先将它编译到内核里。,3）使用iptables命令 iptables命令的语法一般如下： iptables -flag chain options extensions ACTION 各参数含义如下： flag：标志项 chain：链 options：选项 extensions：扩展功能 ACTION：事件项 其中标志项和选项还有很多种类，具体看课本介绍。,11.2.4 使用Squid

13、实现代理服务器 1. 代理服务器的定义 代理服务器英文全称是proxy server，其功能就是代理网络用户去取得网络信息。形象地说：它是网络信息的中转站。 代理服务器是介于浏览器和Web服务器之间的另一台服务器。有了它之后，网络浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，即信号会先送到代理服务器，由代理服务器来取回所需要的信息并传送到网络浏览器。 代理服务器提供两方面服务：让不能直接访问Internet的用户访问Internet；让那些已经能访问Internet的用户可以更快或更广泛地访问Internet。,2.安装与配置Squid缓存透明代理 Squid是一个具有高性能

14、的、有网页缓存功能的、支持HTTP和FTP协议的代理。Squid在缓存数据的同时，也缓存DNS查询结果，并支持SSL和访问控制，是Linux系统常用的一种代理服务器软件。对于squid无法代理的服务，可通过网络地址转换来实现代理，从而使透明代理服务器同时具有网页缓存的功能，可以加快对网页的访问速度。 Squid的安装： （1）从站点获取Squid软件的源代码安装包，包括.gz和.bz2两种压缩格式的文件。也可以使用Linux的发行版提供的RPM包。 （2）使用RPM方式安装，命令为： rpm -ivh Squid-2.x.STALBx.i386.rpm 使

15、用压缩包安装，先解压。 如果是最新稳定版本squid-2.5.STABLE2.tar.gz，解压命令为： tar xvfz squid-2.5.STABLE.tar.gz 如果是.bz2方式的压缩包，解压命令为： tar xvfj squid-2.5.STABLE.tar.bz2,（3）进入相应目录，对源代码进行配置和编译，命令如下： cd squid-2.5.STABLE2 配置命令configure有很多选项，可以受用-help命令查看使用方法，此处不做介绍，课本中列举了常用的选项。 整个配置编译过程如下： ./configure -prefix=/var/squid -sysconfdi

16、r=/etc -enable-arp-acl -enable-linux-netfilter -enable-pthreads -enable-err-language=Simplify_Chinese -enable-storeio=ufs，null -enable-default-err-language=Simplify_Chinese -enable-auth=basic -enable-baisc-auth-helpers=NCSA -enable-underscore,（4）最后执行make和make install两条命令，将源代码编译为可执行文件，并复制到指定位置。 Squid

17、的配置： 安装完成后，接下来要对Squid的运行进行配置(不是前面安装时的置)，所有项目都在squid.conf中完成。Squid自带的squid.conf包括非常详尽的说明，相当于一篇用户手册，对配置有任何疑问都可以参照解决。 课本中有详细的配置例子，这里不再列出。,11.2.5 测试防火墙 通过防火墙前一节的学习，我们对防火墙的规则及命令已经很熟悉了，接下来就可以用这些规则来测试防火墙。在测试之前先熟悉一些防火墙中常用的规则。 # iptables F # iptables P INPUT DROP # iptables P OUTPUT DROP # iptables P FORWARD

18、 DROP # iptables A INPUT i lo j ACCEPT # iptables A OUTPUT i lo j ACCEPT # iptables A INPUT i eth1 s /24 j ACCEPT # iptables A OUTPUT i eth1 d /24 j ACCEPT # iptables t nat -A POSTROUTING o eth0 d !/24 j MASQUERADE,# iptables A FORWARD s /24 j ACCEPT # ipt

19、ables A FORWARD d /24 j ACCEPT # iptables A INPUT f -i eth0 -j DROP # iptables A OUTPUT -i eth0 p -tcp -s /24 sport 1024 :65535 d any/0 -dport 80 j ACCEPT # iptables A INPUT -i eth0 p -tcp -s any/0 -sport 80 d /24 dport 1024：65535 -j ACCEPT # iptables A OUTPUT -i eth

20、0 p -tcp -s /24 sport 1024 :65535 d any/0 -dport 21 j ACCEPT # iptables A INPUT -i eth0 p -tcp -s any/0 -sport 21 d /24 dport 1024：65535 -j ACCEPT # iptables-save/etc/sysconfig/iptables,这些规则的解释如下： 第1条：清空存在的所有规则。 第2、3、4条：这是“默认策略规则”，禁止了所有IP传输。 第5、6条：启用本地回环接口（本地回环设备lo（地址）

21、，IP数据报文可以在eth0和eth1之间传输，这样数据可以通过防火墙主机。 第7条：规定从内部网/24发来的数据能被eth1接口接受。 第8条：规定从防火墙的eth1接口向/24网络输出数据是允许。 第9条：向网络地址转换表的POSTROUTING链中加入规则。规则规定对所有不发送到/24网络的数据报文进行源地址转换，使用eth0的IP地址来改变报文的源IP地址（/24），这样，从/24发出的报文在Internet上传输的过程中，数据的源地址会显示为eth0的IP地址。 第10、11

22、条：规定允许系统转送这两种报文：发往内部网络 （/24）的报文和从内部网络（/24）发出的报文。,第12条：禁止所有分片包，防止分片包攻击。 第13条：允许防火墙的外部接口送出使用TCP协议、源地址为内部网络地址、源端口在1024和65535之间、目标地址为任意IP地址、目标端口为80的数据包。该规则允许内 部网络用户访问外部的Web服务。 第14条：允许防火墙的外部接口送进使用TCP协议、源地址为任意IP地址、源端口为80、目标地址为内部网络地址、目标端口在1024和65535之间的数据包。该规则允许外部Web服务对内部网络用户的Web回应。 第1

23、5条：允许防火墙的外部接口送出使用TCP协议、源地址为内部网络地址、源端口在1024和65535之间、目标地址为任意IP地址、目标端口为21的数据包。该规则允许内部网络用户访问外部的FTP服务。 第16条：允许防火墙的外部接口送进使用TCP协议、源地址为任意IP地址、源端口是21、目标地址为内部网络地址、目标端口范围为1024到65535之间的数据包。该规则允许外部FTP服务对内部网络用户的FTP回应。 第17条：将用户定义的规则保存到/etc/sysconfig/iptables中。,11.3 入侵检测技术,入侵检测技术是近年来出现的一种主动保护自己免受黑客攻击的新型网络安全技术。入侵检测被

24、认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时检测。 11.3.1 入侵检测系统原理及分类 入侵检测是对入侵行为的发现，它通过在计算机网络或计算机系统中的若干关键点收集信息并进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。完成入侵检测功能的软件和硬件组合便是入侵检测系统（Intrusion Detection Systems，IDS ）。,1.IDS原理 IDS通常使用两种基本的分析方法来分析事件、检测入侵行为，即误用检测（Misuse Detection）和异常检测（Anomaly Detectio

25、n）。 误用检测会对不正常的行为进行建模，这些行为是以前记录下来的确认了的误用或攻击。误用检测器分析系统的活动，发现那些与被预先定义好的攻击特征相匹配的事件或事件集。由于与攻击模式相对应的是特征，误用检测往往也被称为基于特征的检测。目前，最常用的做法是将每一个攻击事件的模式定为一个独立的特征，从而使对入侵行为的检测成为对特征的匹配搜索：如果和已知的入侵特征匹配，就认为是攻击；如果不匹配，就认为不是攻击。 异常检测是对正常行为建模，不符合这个模型的事件就被怀疑为攻击。异常检测首先收集一段时期正常操作活动的历史数据，建立代表用户、主机网络连接的正常行为轮廓，然后收集事件数据，并使用各种方法来确定所检测到的事件活动是否偏离了正常行为模式。这些方法主要有阀值检测和统计方法等，还有一些新的技术，如神经网络等。,2.IDS分类 1）根据信息源分类 从数据源来看，可以将入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统和基于应用的入侵检测系统。 2）根据分析方法分类 传统的观点是根据入侵行为的属性将其分为异常和误用两种，然后分别对其建立异常检测模型和误用检测模型。异常入侵检测是指能够根据异常行为和计算机资源的使用情况检测出入侵的方法，它试图用定量的方式描述可以接受的行为特