《Web安全技术》PPT课件.ppt

1、第九章 Web安全技术,主要内容,IP安全技术 E-mail安全技术 安全扫描技术 网络安全管理技术 身份认证技术 VPN技术,1. IP安全技术,目前常见的安全威胁 数据泄漏 在网络上传输的明文信息被未授权的组织或个人所截获，造成信息泄漏。 数据完整性的破坏 确保信息的内容不会以任何方式被修改，保证信息到达目的地址时内容与源发地址时内容一致。 身份伪装 入侵者伪造合法用户的身份来登录系统，存取只有合法用户本人可存取的保密信息。 拒绝服务 由于攻击者攻击造成系统不能正常的提供应有的服务或系统崩溃。,解决的方案： 加密：防止Sniffer的侦听和篡改。 验证：防止简单的身份伪装和拒绝服务攻击。

2、为了实现IP网络的安全，IETF提出了一系列的协议，构成典型的安全体系IPSec（IPSecurity Protocol）。 在RFC中，RFC1825（Internet协议安全体系结构）、RFC1826（IP鉴别头：AH）、RFC1827（IP封装安全载荷：ESP）。,IPSec安全体系结构,安全体系结构 包含了一般的概念、安全需求、定义和定义IPSec的技术机制。 AH 将每个数据包中的数据和一个变化的数字签名 结合起来，共同验证发送方身份是的通信一方能确认发送数据的另一方的身份，并能够确认数据在传输过程中没有被篡改，防止受到第三方的攻击。 ESP 提供了一种对IP负载进行加密的机制，对数

3、据包上的数据另外进行加密。 IKE 一种协商协议，提供安全可靠的算法和密钥协商，帮助不同结点之间达成安全通信的协定，包括认证方法、加密方法、所有的密钥、密钥的使用期限等。,一个IP安全性的方案,IPSec的好处 当在防火墙或路由器中实现IPSec时，IPSec提供了强大的安全性，能够应用到所有穿越边界的数据通信量上。 防火墙内部的IPSec可以抵制旁路。 IPSec在传输层一下，对于应用程序是透明的。 IPSec可以对终端用户是透明的，操作简单。 IPSec可以为单个用户提供安全性。,IPSec的服务,2. E-mail安全技术,垃圾邮件 包括广告邮件、骚扰邮件、连锁邮件、反动邮件等。 安全电

4、子邮件技术 利用SSL SMTP和SSL POP 利用VPN或其他的IP通道技术，将所有的TCP/IP传输封装起,E-mail的安全隐患 密码被窃取 邮件内容被截获 附件中带有大量病毒 邮箱炸弹的攻击 本身设计上的缺陷,PGP（Pretty Good Privacy） 使用单向单列算法对邮件内容进行签名，以此保证信件内容无法被篡改，使用公钥和私钥技术保证邮件内容保密已不可否认。 特征： 把RSA公钥体系的方便和传统加密体制高度结合，在数字签名和密钥认证管理机制上更巧妙地设计。 密钥管理，采用公钥介绍机制来公布公钥信息，防止攻击者伪造公钥发布。,PGP服务,PGP的安全 针对私钥的攻击 对私钥数

5、据的访问； 对用于加密每个私钥的秘密通行短语（passphrase）的了解。 针对公钥的攻击 修改公钥中的签名，并且标记它为公钥中已经检查过的签名，使得系统不会再去检查它。 针对PGP的使用过程，修改公钥中的有效位标志，使一个无效的密钥被误认为有效。,3.安全扫描技术,基本原理 采用模拟黑客攻击的形式对目标可能存在的已知的安全漏洞进行逐项检查，然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为网络安全的整体水平产生重要的依据。 基于主机的安全扫描 基于网络的安全扫描,系统安全扫描的工作原理,安全 管理员,基于主机的安全扫描 针对操作系统的扫描检测，采用被动的，非破坏性的办法对系统进行

6、检测。 扫描工具安装在需扫描的主机上。 基于网络的安全扫描 采用积极的、非破坏性的办法来检测系统是否有可能被攻击崩溃，利用一系列的脚本模拟对系统进行攻击的行为，然后对结果进行分析。 通过网络远程探测其他主机的安全风险漏洞，安装在整个网络环境中的某一台机器上。,4.网络安全管理技术,基本概念 是指对所有计算既往拉应用体系中各个方面的安全技术和产品进行统一的管理和协调，进而从整体上提高整个计算机网络的防御入侵、抵抗攻击的能力的体系。 技术 安全管理方针 管理制度和安全人员,现代网络安全管理技术 需要达到的目标： 实现各类计算机安全技术、产品之间的协调和联动，实现有机化； 充分发挥各类安全技术和产品

7、的功能； 真体安全能力大幅度提高； 实现计算机安全手段与现有计算机网络应用系统的一体化。,安全知识培训,网络设备组件的加固与维护,日常检测漏洞/异常攻击事故报告,应急事故恢复,安全中心风险分析 制定/实施/维护安全策略,基于角色的培训 安全动态知识长期培训,主机保护产品 组件加固服务,网络入侵检测产品 漏洞扫描产品,应急服务小组 攻防实验室,安全分析工程师,安全知识数据库维护,整体安全解决方案,5. 身份认证技术,原理 身份认证是安全系统中的第一道关卡，用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器，根据用户的身份和授权数据库决定是否能够访问某个资源。 单机状态下的身份认

8、证 用户所知道的； 用户所拥有的； 用户所具有的；,网络环境下的身份认证 一次性口令技术 如：S/KEY。 PPP中的认证协议 密码验证协议PAP（Password Authentication Protocol） 挑战握手认证协议CHAP（ChallengeHandshake Authentication Protocol） PPP扩展认证协议EAP（Extensible Authentication Protocol）,6.1 VPN技术,含义 VPN(Virtual Private Network)，虚拟专用网 在公共网络中，通过隧道和/或加密技术进行PN(Private Network

9、)业务的仿真 VPN业务在公共网络中保证私有数据的安全性、专有性 同时提供可管理性、扩展性和灵活性,VPN的目的 对于运营商 利用现有网络设施，充分共享资源 在现有网络上提供增值服务 扩大其业务量 对于客户 将繁重的网络维护工作交由运营商管理 比自建独立的小型网络更为便宜,VPN原理,VPN的功能 可以替换现有的专用网网段或子网。 通过把特定应用分离出来满足相应需求，为专用网络提供有益的补充。 不影响现有专用网的情况下，处理新应用。 增加新位置，特别是国际性网站。,VPN的分类 按企业的组网方式可分为三大类： Access VPN(远程访问VPN) Intranet VPN(企业内部VPN)

10、Extranet VPN (扩展的企业内部VPN),Access VPN,Access VPN的优点 减少费用，优化网络 实现本地拨号介入的功能来取代远距离接入或800电话接入，能降低远距离通信费用 极大的可扩展性，方便对加入网络的新用户进行调度 节省劳动力,Intranet VPN,Intranet VPN的优点 减少WAN带宽的费用 能使用灵活的拓扑结构，包括全网孔连接 新的站点能更快、更容易地被连接 通过设备供应商WAN的连接冗余，可以延长网络的可用时间,Extranet VPN,Extranet VPN的优点 能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问V

11、PN相同的架构和协议进行部署。,6.2 VPN实现技术,VPN实现技术 隧道技术(Tunneling) 加解密技术(Encryption &Decryption) QoS技术(Quality of Service),隧道技术(Tunneling),加解密技术(Encryption&Decryption) 目前业界和市场上针对网络传输的加密技术产品分为两大类： 逐链加密方式：针对链路层加密，市场上相关产品有X.25专线加密机、DDN数据加密机等。 IPSec加密机制：运行在网络层，以传输方式和隧道方式进行配置，前者适用于两端点之间的IP层加密，后者适用于两个网关之间构成一条加密隧道，可以是非IP

12、协议。,QoS技术(Quality of Service) 带宽：网络提供给用户的传输率。 反应时间：用户所能容忍的数据报传递延时。 抖动：延时的变化。 丢失率：数据包丢失的比率。,6.3 VPN应用方案1,客户网络现状 企业总部网络有大约20台终端，使用一台双网卡的Windows 2000服务器作为网关，并采用ADSL方式接入Internet 15个办事处有一台计算机，使用电话拨号上网 3个办事处有一台计算机，但使用小区宽带上网 5个办事处有2到3台计算机，组成一个小局域网并通过ISDN接入路由共享上网 客户需求 每个办事处需要有一台终端能够接入总部局域网 不改变总部局域网现有网络结构 有足够的网络安全性保障 尽量节约网络建设费用，并要求系统具备良好的可升级能力,方案的选择?,方案对比,网络拓扑图,小结,这种方案能够保证企业异地办事机构的终端用户、在家办公的员工以及出差的员工能够随时通过Internet安全地接入企业内部网络并使用所有的内部网络资源； 在网络规模方面，只要求总部有比较完善的网络环境，对公司分支机构的网络环境要求不高； 可以方便地对用户进行访问权限管理。,6.4 VPN应用方案2,客户需求 总部在广州，全国多个城市设立分公司和分销中心 分公司都有局域网，都通过512k A