安全主流产品与常见工具课件

安全主流产品与常见工具安全主流产品与常见工具信息安全国家重点实验室Email:2020年10月2日1安全主流产品与常见工具Email:2020年10月2日1课程内容防火墙VPN内外网隔离日志审计入侵检测隐患扫描 PKI(CA)PGP安全加固防病毒2020年10月2日2课程内容防火墙隐患扫描2020年10月2日2课程内容防火墙VPN内外网隔离日志审计入侵检测隐患扫描 PKI(CA)PGP安全加固防病毒2020年10月2日3课程内容防火墙隐患扫描2020年10月2日3防火墙（Firewall）防火墙基础知识防火墙基础知识防火墙体系结构防火墙体系结构防火墙技术防火墙技术 防火墙评测指标防火墙评测指标2020年10月2日4防火墙（Firewall）防火墙基础知识2020年10月2防火墙（Firewall）防火墙基础知识防火墙基础知识什么是防火墙什么是防火墙 防火墙可以做什么防火墙可以做什么防火墙的局限性防火墙的局限性防火墙体系结构防火墙体系结构防火墙技术防火墙技术 防火墙评测指标防火墙评测指标2020年10月2日5防火墙（Firewall）防火墙基础知识2020年10月2什么是防火墙（图）Internet Internet 2020年10月2日6什么是防火墙（图）Internet2020年10月2日6什么是防火墙什么是防火墙 防火墙是在被保护网络与因特网之间，或者在不同的网络之间，实施访问控制的一种或一系列部件。2020年10月2日7什么是防火墙2020年10月2日7防火墙可以做什么防火墙可以做什么防火墙是安全决策的焦点（阻塞点）防火墙能强制安全策略 防火墙能有效地记录网络活动 2020年10月2日8防火墙可以做什么2020年10月2日8防火墙的局限性防火墙的局限性 限制了可用性 对网络内部的攻击无能为力 不能防范不经过防火墙的攻击 不能防范因特网上不断产生的新的威胁和攻击不能完全防范恶意代码的通过2020年10月2日9防火墙的局限性限制了可用性2020年10月2日9防火墙（Firewall）防火墙基础知识防火墙基础知识防火墙体系结构防火墙体系结构双重宿主主机体系结构双重宿主主机体系结构 屏蔽主机体系结构屏蔽主机体系结构 屏蔽子网体系结构屏蔽子网体系结构 其他体系结构其他体系结构防火墙技术防火墙技术 防火墙评测指标防火墙评测指标2020年10月2日10防火墙（Firewall）防火墙基础知识2020年10月2双重宿主主机体系结构（图）2020年10月2日11双重宿主主机体系结构（图）2020年10月2日11双重宿主主机体系结构是最基本的防火墙系统结构双重宿主主机位于外部网络和受保护网络之间，至少有两个网络接口。所有在这两个网络间发送的IP数据包都会经过该主机，该主机可以对转发的IP包进行安全检查优点：构造简单缺点：易受攻击2020年10月2日12双重宿主主机体系结构是最基本的防火墙系统结构2020年10屏蔽主机体系结构（图）2020年10月2日13屏蔽主机体系结构（图）2020年10月2日13屏蔽主机体系结构屏蔽主机结构将提供安全保护的堡垒主机置于内部网上，使用一个单独的路由器对该主机进行屏蔽优点：能够提供更高层次的安全保护缺点：堡垒主机一旦被攻破，整个网络就会被攻破2020年10月2日14屏蔽主机体系结构屏蔽主机结构将提供安全保护的堡垒主机置于内部屏蔽子网体系结构（图）2020年10月2日15屏蔽子网体系结构（图）2020年10月2日15屏蔽子网体系结构屏蔽子网结构在屏蔽主机结构基础上，增加了一层周边网络的安全机制，使内部网络与外部网络之间有两层隔离。优点：即使堡垒主机被攻破，也不能直接侵入内部网络。2020年10月2日16屏蔽子网体系结构屏蔽子网结构在屏蔽主机结构基础上，增加了一层体系结构的其他形式使用多堡垒主机合并内部与外部路由器合并堡垒主机与外部路由器使用多台外部路由器、多个周边网络组合使用双重宿主主机和屏蔽子网2020年10月2日17体系结构的其他形式使用多堡垒主机2020年10月2日17不宜采用的体系结构合并堡垒主机与内部路由器使用多台内部路由器2020年10月2日18不宜采用的体系结构合并堡垒主机与内部路由器2020年10月防火墙（Firewall）防火墙基础知识防火墙基础知识防火墙体系结构防火墙体系结构防火墙技术防火墙技术数据包过滤数据包过滤 应用代理应用代理NAT NAT 个人防火墙个人防火墙 防火墙评测指标防火墙评测指标2020年10月2日19防火墙（Firewall）防火墙基础知识2020年10月2数据包过滤数据包过滤(1)(1)数数据据包包过过滤滤是是一一个个网网络络安安全全保保护护机机制制，它用来控制流出和流入网络的数据它用来控制流出和流入网络的数据在在TCP/IPTCP/IP网网络络中中，数数据据都都是是以以IPIP包包的的形形式式传传输输的的，数数据据包包过过滤滤机机制制就就是是对对通通过过防防火火墙墙的的IPIP包包进进行行安安全全检检查查，将将通通过过安安去去检检查查的的IPIP包包进进行行转转发发，否否则则就就阻阻止止通通过过2020年10月2日20数据包过滤(1)数据包过滤是一个网络安全保护机制，它用来控制数据包过滤数据包过滤(2)(2)（图）（图）2020年10月2日21数据包过滤(2)（图）2020年10月2日21数据包过滤数据包过滤(3)(3)判断依据有：判断依据有：数据包协议类型：数据包协议类型：TCP、UDP、ICMP、IGMP等等源、目的源、目的IP地址地址源、目的端口：源、目的端口：、DNS等等IP选项：源路由、记录路由等选项：源路由、记录路由等TCP选项：选项：SYN、ACK、FIN、RST等等其它协议选项：其它协议选项：ICMP ECHO、ICMP ECHO REPLY等等数据包流向：数据包流向：in或或out数据包流经网络接口：数据包流经网络接口：eth0、eth12020年10月2日22数据包过滤(3)判断依据有：2020年10月2日22数据包过滤设置实例规则 方向源地址源端口目标地址目标端口动作1出内部*61.X.*拒绝2入211.X.*内部*拒绝3双向*25拒绝2020年10月2日23数据包过滤设置实例规则方向源地址源端口目标地址目标端口动作1数据包过滤数据包过滤(4(4)数据包过滤的优点：数据包过滤的优点：一个配置适当的数据包过滤器可以保护整个网络一个配置适当的数据包过滤器可以保护整个网络对用户透明度高对用户透明度高易实现：大多数路由器都具有数据包过滤功能易实现：大多数路由器都具有数据包过滤功能数据包过滤的缺点：数据包过滤的缺点：配置和检验较为困难配置和检验较为困难一些协议不适合数据包过滤一些协议不适合数据包过滤 某些策略难以执行某些策略难以执行2020年10月2日24数据包过滤(4)数据包过滤的优点：2020年10月2日24应用代理应用代理(1)(1)是各种应用服务的转发器是各种应用服务的转发器它它接接收收来来自自内内部部网网络络特特定定用用户户应应用用程程序序的的通通信信，然然后后建建立立与与公公共共网网络络服服务务器器单单独的连接独的连接代代理理防防火火墙墙通通常常支支持持的的一一些些常常见见的的应应用用程程序序有有：HTTPHTTP、HTTPS/SSLHTTPS/SSL、SMTPSMTP、POP3POP3等等等等2020年10月2日25应用代理(1)是各种应用服务的转发器2020年10月2日25应用代理应用代理(2)(2)（图）（图）客户应用代理服务器发送请求转发响应转发请求发送响应2020年10月2日26应用代理(2)（图）客户应用代理服务器发送请求转发响应转发请应用代理应用代理(3)(3)（图）（图）2020年10月2日27应用代理(3)（图）2020年10月2日27应用代理应用代理(4)(4)它的优点是：对用户透明支持用户认证可以产生小并且更有效的日志。它的缺点是：速度比较慢对一些新的或不常用的服务不支持 2020年10月2日28应用代理(4)它的优点是：2020年10月2日28NATNAT（网络地址转换协议）网络地址转换协议）可以使多个用户分享单一的IP地址为Internet连接提供一些安全机制可以向外界隐藏内部网结构转换机制：当内部用户与一个公共主机通信时，NAT追踪是哪一个用户作的请求，修改传出的包，这样包就像是来自单一的公共IP地址 2020年10月2日29NAT（网络地址转换协议）可以使多个用户分享单一的IP地址2个人防火墙个人防火墙(1)(1)是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行 可以对用户计算机的网络通信进行过滤通常具有学习模式，可以在使用中不断增加新的规则2020年10月2日30个人防火墙(1)是一种能够保护个人计算机系统安全的软件，它可个人防火墙个人防火墙(2)(2)(图）图）2020年10月2日31个人防火墙(2)(图）2020年10月2日31防火墙（Firewall）防火墙基础知识防火墙基础知识防火墙体系结构防火墙体系结构防火墙技术防火墙技术 防火墙评测指标防火墙评测指标2020年10月2日32防火墙（Firewall）防火墙基础知识2020年10月2防火墙评测指标(1)对防火墙的评估通常包括对其功能、性能和可用性进行测试评估。对防火墙性能的测试指标主要有吞吐量延迟帧丢失率2020年10月2日33防火墙评测指标(1)对防火墙的评估通常包括对其功能、性能和防火墙评测指标(2)对防火墙的功能测试通常包含身份鉴别访问控制策略及功能密码支持审计管理对安全功能自身的保护2020年10月2日34防火墙评测指标(2)对防火墙的功能测试通常包含2020年1防火墙测评方法2020年10月2日35防火墙测评方法2020年10月2日35NetScreen Vs.CheckPoint供应商NetScreenCheckPoint架构硬件软件性能在操作系统screenos版本为3.0时防火墙的通透性可以达到12Gbps之高依赖于使用平台的CPU、内存等配置，使用新技术ApplicationInteglligence后，性能在原来的基础上进一步提升了31%。稳定性和兼容性采用的专门的软硬件，系统的稳定性上理论上应该领先；操作系统是专用的screenos，不存在防火墙和硬件的兼容性问题。操作系统和硬件不是特定为防火墙各项功能设计的，因此可能会存在稳定性和兼容方面的隐患功能和灵活性采用的专门设计的操作系统和硬件架构，灵活性上要相对差一些，而且可能提供的功能相对较少架构不依赖硬件，理论上功能是可以无限扩充的，它能给客户更多的控制和定制功能引自YimingGonghttp:/2020年10月2日36NetScreenVs.CheckPoint供应商Net课程内容防火墙VPN内外网隔离日志审计入侵检测隐患扫描 PKI(CA)PGP安全加固防病毒2020年10月2日37课程内容防火墙隐患扫描2020年10月2日37VPN(VirtualPrivateNetwork)什么是VPNVPN的分类VPN的隧道协议2020年10月2日38VPN(VirtualPrivateNetwork)什VPN什么是VPNVPN的分类VPN的隧道协议2020年10月2日39VPN什么是VPN2020年10月2日39什么是VPN(1)2020年10月2日40什么是VPN(1)2020年10月2日40什么是VPN(2)VPN即虚拟专用网，是指一些节点通过一个公用网络（通常是因特网）建立的一个临时的、安全的连接，它们之间的通信的机密性和完整性可以通过某些安全机制的实施得到保证特征虚拟(V)：并不实际存在，而是利用现有网络，通过资源配置以及虚电路的建立而构成的虚拟网络专用(P)：每个VPN用户都可以从公用网络中获得一部分资源供自己使用网络(N)：既可以让客户连接到公网所能够到达的任何地方，也可以方便地解决保密性、安全性、可管理性等问题，降低网络的使用成本 2020年10月2日41什么是VPN(2)VPN即虚拟专用网，是指一些节点通过一个什么是VPN(3)安全功能信息机密性，确保通过公网传输的信息以加密的方式传送，即使被他人截获也不会泄露信息完整性，保证信息的完整性 用户身份认证，能对用户身份进行认证，确定该用户的访问权限 访问控制，用户只能读写被授予了访问权限的信息 2020年10月2日42什么是VPN(3)安全功能2020年10月2日42VPN什么是VPNVPN的分类VPN的隧道协议2020年10月2日43VPN什么是VPN2020年10月2日43VPN的分类根据VPN所起的作用，可以将VPN分为：AccessVPNIntranetVPNExtranetVPN2020年10月2日44VPN的分类根据VPN所起的作用，可以将VPN分为：2020AccessVPN处理可移动用户、远程交换和小部门的远程访问公司内部网的VPN 2020年10月2日45AccessVPN处理可移动用户、远程交换和小部门的远程访IntranetVPN（企业内部虚拟网企业内部虚拟网）是在公司远程分支机构的LAN和公司总部LAN之间，通过Internet建立的VPN2020年10月2日46IntranetVPN（企业内部虚拟网）是在公司远程分Extranet VPN（企业外部虚拟网）企业外部虚拟网）在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN由于不同公司网络环境的差异性，必须能兼容不同的操作平台和协议设置特定的访问控制表ACL（Access Control List），根据用户相应的访问权限开放相应资源2020年10月2日47ExtranetVPN（企业外部虚拟网）在供应商、商业Extranet VPN（图）图）2020年10月2日48ExtranetVPN（图）2020年10月2日48VPN什么是VPNVPN的分类VPN的隧道协议2020年10月2日49VPN什么是VPN2020年10月2日49VPN的隧道协议VPN的关键技术在于通信隧道的建立，数据包通过通信隧道进行封装后的传送以确保其机密性和完整性通常使用的方法有：使用点到点隧道协议PPTP、第二层隧道协议L2TP、第二层转发协议L2F等在数据链路层对数据实行封装使用IP安全协议IPSec在网络层实现数据封装使用介于第二层和第三层之间的隧道协议，如MPLS隧道协议2020年10月2日50VPN的隧道协议VPN的关键技术在于通信隧道的建立，数据包PPTP/L2TP(1)1996年，Microsoft和Ascend等在PPP协议的基础上开发了PPTP，并将它集成于Windows NT Server4.0中，同时也提供了相应的客户端软件PPTP可把数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进行传输PPTP提供流量控制,采用MPPE加密算法 2020年10月2日51PPTP/L2TP(1)1996年，Microsoft和PPTP/L2TP(2)1996年，Cisco提出L2F（Layer 2 Forwarding）隧道协议 1997年底，Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议 L2TP可以实现和企业原有非IP网的兼容,支持MP（Multilink Protocol），可以把多个物理通道捆绑为单一逻辑信道 2020年10月2日52PPTP/L2TP(2)1996年，Cisco提出L2FPPTP/L2TP(3)优点：支持其他网络协议 支持流量控制对用微软操作系统的用户来说很方便 缺点：通道打开后，源和目的用户身份不再就行认证，存在安全隐患限制同时最多只能连接255个用户 端点用户需要在连接前手工建立加密信道 2020年10月2日53PPTP/L2TP(3)优点：2020年10月2日53IPSec VPN(1)IPSEC的隧道协议开始于RFC 1827即IP封装安全有效负载(ESP)，它定义了一个通用的数据报封装方法ESP通过对要保护的数据进行加密，以及将它放置在I P封装安全有效负载的有效负载部分，来提供机密性和完整性。通过使用验证包头（AH，在RFC 2402中定义），也可以提供IP数据报的验证2020年10月2日54IPSecVPN(1)IPSEC的隧道协议开始于RFCIPSec VPN(2)AH包头的结构：IPSEC AH/ESP数据包结构2020年10月2日55IPSecVPN(2)AH包头的结构：IPSECAH/IPSec VPN(3)IPSEC VPN是基于IPSec协议的VPN产品，由IPSec协议提供隧道安全保障特点：只能支持IP数据流目前防火墙产品中集成的VPN多为使用IPSec 协议 2020年10月2日56IPSecVPN(3)IPSECVPN是基于IPSecMPLS VPN 是在网络路由和交换设备上应用MPLS(MultiprotocolLabelSwitching)技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN）运行在IP+ATM或者IP环境下，对应用完全透明 相关标准：RFC 3270RFC 27642020年10月2日57MPLSVPN是在网络路由和交换设备上应用MPLS(MMPLS VPNPE=Provider Edge Router LSR=Label Switch Router 2020年10月2日58MPLSVPNPE=ProviderEdgeRou课程内容防火墙VPN内外网隔离日志审计入侵检测隐患扫描 PKI(CA)PGP安全加固防病毒2020年10月2日59课程内容防火墙隐患扫描2020年10月2日59内外网隔离物理隔离逻辑隔离2020年10月2日60内外网隔离物理隔离2020年10月2日60内外网隔离物理隔离安全需求物理隔离技术逻辑隔离2020年10月2日61内外网隔离物理隔离2020年10月2日61安全需求(1)计算机信息系统国际联网保密管理规定第六条规定：涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离。2020年10月2日62安全需求(1)计算机信息系统国际联网保密管理规定第六条规安全需求(2)实现内网和外网的网络隔离的要求：用户访问内网时，断开外网网络连接访问外网时，断开内网网络连接用户不能同时连入内、外网，始终保持内网、外网网络隔离的状态2020年10月2日63安全需求(2)实现内网和外网的网络隔离的要求：2020年10安全需求(3)对物理隔离技术的要求：高度安全较低的成本容易部置、结构简单易于操作具有灵活性与扩展性2020年10月2日64安全需求(3)对物理隔离技术的要求：2020年10月2日6物理隔离技术双网机技术物理隔离卡双网线的物理隔离卡单网线的物理隔离卡网络安全隔离集线器物理隔离网闸（GAP）2020年10月2日65物理隔离技术双网机技术2020年10月2日65双网机技术在一个机箱内设有两块主机板、两套内存、两块硬盘和两CPU相当于两台计算机共用一个显示器用户通过客户端开关，分别选择两套计算机系统特点是：客户端成本很高网络布线为双网线结构技术水平简单2020年10月2日66双网机技术在一个机箱内设有两块主机板、两套内存、两块硬盘和两物理隔离卡双网线隔离卡客户端需要增加一块PCI卡，客户端硬盘或其它存储设备首先连接到该卡，然后再转接到主板，这样通过该卡用户就能控制客户端的硬盘或其它存储设备。用户在选择硬盘的时候，同时也选择了该卡上所对应的网络接口，连接到不同的网络2020年10月2日67物理隔离卡双网线隔离卡客户端需要增加一块PCI卡，客户端硬物理隔离卡双网线隔离卡(cont)技术水平有所提高成本有所降低要求网络布线采用双网线结构，存在安全隐患2020年10月2日68物理隔离卡双网线隔离卡(cont)2020年10月2日6物理隔离卡单网线隔离卡单网线隔离卡 只有一个网络接口通过网线将不同的电平信息传递到网络选择端，在网络选择端安装网络选择器，并根据不同的电平信号，选择不同的网络连接特点：实现成本较低，能够有效利用现有单网线网络环境系统的安全性有所提高2020年10月2日69物理隔离卡单网线隔离卡只有一个网络接口2020年10月2物理隔离卡（图）2020年10月2日70物理隔离卡（图）2020年10月2日70网络安全隔离集线器 作为A/B转换器被设置在机柜中根据网络安全隔离卡的状态自动地将网络连接到安全网络或公共网络中特点：能使用原有的单一的布线系统2020年10月2日71网络安全隔离集线器作为A/B转换器被设置在机柜中2020年物理隔离网闸（GAP）(1)由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接能够在网络间进行安全适度的应用数据交换 2020年10月2日72物理隔离网闸（GAP）(1)由带有多种控制功能专用硬件在电物理隔离网闸（GAP）(2)性能指标：系统数据交换速率 硬件切换时间 通常包含的安全功能模块：安全隔离 内核防护协议转换病毒查杀访问控制安全审计身份认证 2020年10月2日73物理隔离网闸（GAP）(2)性能指标：2020年10月2日7内外网隔离物理隔离逻辑隔离2020年10月2日74内外网隔离物理隔离2020年10月2日74逻辑隔离在技术上，实现逻辑隔离的方式有很多，但主要是防火墙 2020年10月2日75逻辑隔离在技术上，实现逻辑隔离的方式有很多，但主要是防火墙课程内容防火墙VPN内外网隔离日志审计入侵检测隐患扫描 PKI(CA)PGP安全加固防病毒2020年10月2日76课程内容防火墙隐患扫描2020年10月2日76日志审计日志审计基础知识日志审计过程2020年10月2日77日志审计日志审计基础知识2020年10月2日77日志审计日志审计基础知识什么是日志审计日志实例日志审计的重要性日志的来源日志审计过程2020年10月2日78日志审计日志审计基础知识2020年10月2日78什么是日志审计识别、记录、存储和分析那些与安全相关活动有关的信息的行为被称为安全审计这些信息以日志的方式进行存储，对这些日志的检查审计可以用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责2020年10月2日79什么是日志审计识别、记录、存储和分析那些与安全相关活动有关的日志审计的重要性管理员入侵者网络异常发现黑客追踪证据2020年10月2日80日志审计的重要性管理员2020年10月2日80日志的来源(1)操作系统日志路由器日志IDS日志防火墙日志应用软件日志，等等2020年10月2日81日志的来源(1)操作系统日志2020年10月2日81日志的来源(2)通常可以进行审计的事件包括：文件审计应用程序与服务安装与卸载的审计安全配置更改的审计Internet审计用户登录审计用户打印审计进程状况审计与移动存储有关的审计，等等2020年10月2日82日志的来源(2)通常可以进行审计的事件包括：2020年10月日志审计日志审计基础知识日志审计过程审计事件生成审计事件选择审计事件存储审计事件查阅日志审计分析自动响应2020年10月2日83日志审计日志审计基础知识2020年10月2日83审计事件生成事件的日期和时间事件类型主体身份事件的结果针对不同类型的事件的其他相关信息在某些情况下，应当标识引起该事件的用户身份2020年10月2日84审计事件生成事件的日期和时间2020年10月2日84审计事件选择审计事件选择是指在所有可以审计的事件中，根据主体身份、事件类型等属性，选择对哪些事件进行审计，这种选择可以用包含或排除的方法。2020年10月2日85审计事件选择审计事件选择是指在所有可以审计的事件中，根据主审计事件存储保护审计记录不受未授权的删除 防止或检测对审计记录的修改 当存储耗尽、失败或受到攻击时，能够确保审计记录不受破坏 存储失败时，应采取一定行动确保新的审计记录不受破坏 2020年10月2日86审计事件存储保护审计记录不受未授权的删除2020年10月审计事件查阅 访问控制权限易于理解2020年10月2日87审计事件查阅访问控制权限2020年10月2日87日志审计分析 日志的分析可以分为手工和自动的方式，通常，对日志的自动分析任务可以由入侵检测系统完成。但是，手工分析往往是日志分析不可缺少的部分2020年10月2日88日志审计分析日志的分析可以分为手工和自动的方式，通常，对自动响应 对日志的自动分析和自动响应通常由入侵检测系统实现自动相应可以是报警、自动采取某些安全措施，等等2020年10月2日89自动响应对日志的自动分析和自动响应通常由入侵检测系统实现SolarisBSM（BasicSecurityModel）BSM用户级审计记录包括：进程名手册页参考审计事件号审计事件名审计记录结构BSM核心级审计记录包括：系统调用名手册页参考审计事件号审计事件名审计事件类事件屏蔽审计记录结构2020年10月2日90SolarisBSM（BasicSecurityModWIN2000日志结构数据时间用户名计算机名事件ID源类型种类可变内容，依赖于事件，可以时问题的文本解释和纠正措施的建议附加域。如果采用的话，包含可以字节或字显示的二进数据及事件记录的源应用产生的信息记录头事件描述附加数据2020年10月2日91WIN2000日志结构数据时间用户名计算机名事件ID源类型WIN2000日志举例(1)事件类型:成功审核事件来源:Security事件种类:登录/注销 事件 ID:538日期:2003-9-9时间:20:47:042020年10月2日92WIN2000日志举例(1)事件类型:成功审核2020WIN2000日志举例(2)用户:QUhiiri计算机:QU描述:用户注销:用户名:hiiri域:QU登录 ID:(0 x0,0 x504001)登录类型:72020年10月2日93WIN2000日志举例(2)用户:QUhiiri2防火墙日志举例(CheckPointFirewall-1)19-May-0017:31:59时间戳drop动作inbound方向udp传输层协议scan.wins.bad.guy源地址MY.NET.29.8 目标地址netbios-ns目标端口netbios-ns源端口78包长度2020年10月2日94防火墙日志举例(CheckPointFirewalIDS日志举例(Snort)*rCGIaccessattempt*06/10-07:55:01.284025时间戳62.0.183.93:1526源地址及端口-208.237.191.52:80目标地址及端口TCP传输层协议TTL:52生存期TOS:0 x0服务种类ID:4816会话IDDF不可分段Len:358包长度2020年10月2日95IDS日志举例(Snort)*rCGIac课程内容防火墙VPN内外网隔离日志审计入侵检测隐患扫描 PKI(CA)PGP安全加固防病毒2020年10月2日96课程内容防火墙隐患扫描2020年10月2日96入侵检测（IntrusionDetection）入侵检测定义入侵检测方法入侵检测系统结构2020年10月2日97入侵检测（IntrusionDetection）入侵检测入侵检测（IntrusionDetection）入侵检测定义入侵检测定义入侵检测与入侵检测系统（入侵检测与入侵检测系统（IDS)IDS)入侵检测系统基本框架入侵检测系统基本框架 入侵检测方法入侵检测系统结构2020年10月2日98入侵检测（IntrusionDetection）入侵检测什么是入侵检测入侵检测（IntrusionDetection）是检测计算机网络和系统以发现违反安全策略事件的过程IDS入侵检测系统包括三个功能组件提供事件记录流的信息源发现入侵迹象的分析引擎基于分析引擎的结果产生反应的响应部件2020年10月2日99什么是入侵检测入侵检测（IntrusionDetectio入侵检测系统基本框架2020年10月2日100入侵检测系统基本框架2020年10月2日100入侵检测（IntrusionDetection）入侵检测定义入侵检测方法异常入侵检测技术异常检测典型系统TripWare误用入侵检测技术误用检测典型系统Snort入侵检测系统结构2020年10月2日101入侵检测（IntrusionDetection）入侵检测异常入侵检测技术(1)异常检测主要根据合法行为（状态）定义来分析系统是否受到攻击或者运行异常是目前入侵检测技术的主要研究发展方向典型应用：CPU使用率，内存使用率，网络流量，用户行为，系统调用等等2020年10月2日102异常入侵检测技术(1)异常检测主要根据合法行为（状态）定义异常入侵检测技术(2)优点：可以检测到未知攻击知识库相对稳定缺点：准确性差误报率高2020年10月2日103异常入侵检测技术(2)优点：2020年10月2日103异常检测典型系统TripWare(1)TripWare主要利用关键性文件的摘要作为自己知识库，合法用户修改文件后要更新该文件摘要，由于非法用户无权更改其摘要，所以当发现文件摘要和保存的记录不符时，判定系统受到攻击。2020年10月2日104异常检测典型系统TripWare(1)TripWare主异常检测典型系统TripWare(2)优点：实现简单管理方便缺点：检测能力差2020年10月2日105异常检测典型系统TripWare(2)优点：2020年10误用入侵检测技术(1)误用检测根据非法行为（状态）定义，分析目标系统状态，以确定是否受到攻击技术较为成熟，为绝大多数市场产品采用典型应用：网络数据包用户指令序列应用程序编码特征，等等2020年10月2日106误用入侵检测技术(1)误用检测根据非法行为（状态）定义，分误用入侵检测技术(2)优点准确高效（相对）易实现缺点不能检测未知攻击知识库会无限增长描述所有攻击行为困难2020年10月2日107误用入侵检测技术(2)优点2020年10月2日107误用检测典型系统Snort(1)Snort是一个典型的轻量级误用网络入侵检测系统。该系统自己定义了一套规则语言来定义入侵行为，规则语言所描述的主要是网络数据包的特性，比如地址、端口、包头属性、包含的特殊数据等等。2020年10月2日108误用检测典型系统Snort(1)Snort是一个典型的轻误用检测典型系统Snort(2)Snort规则语言（示例）log tcp any any-10.1.1.0/24 79 alert tcp any any-10.1.1.0/24 80(content:/cgi-bin/phf;msg PHF probe!)alert tcp!10.1.1.0/24 any-10.1.1.0/24 6000:6010(msg:X traffic;)alert tcp any any-192.168.1.0/24 143(content:|E8C0 FFF FF|/bin/sh;msg:New IMAP Buffer Overflow detected!;)2020年10月2日109误用检测典型系统Snort(2)Snort规则语言（示例误用检测典型系统Snort(3)优点:检测的准确度比较高缺点:检测的效率低对复杂攻击检测能力差容易被欺骗 2020年10月2日110误用检测典型系统Snort(3)优点:2020年10月入侵检测（IntrusionDetection）入侵检测定义入侵检测方法入侵检测系统结构基于主机系统的结构 基于网络系统的结构2020年10月2日111入侵检测（IntrusionDetection）入侵检测基于主机系统的结构其检测目标主要是主机系统和系统本地用户根据主机的审计数据和系统的日志发现可疑事件依赖于审计数据和系统日志的准确性和完整性2020年10月2日112基于主机系统的结构其检测目标主要是主机系统和系统本地用户20基于网络系统的结构根据网络流量和单台或多台主机的审计数据对入侵行为进行检测。由探测器和分析器以及网络安全知识库组成具有配置简单，服务器平台独立性等优点2020年10月2日113基于网络系统的结构根据网络流量和单台或多台主机的审计数据对入课程内容防火墙VPN内外网隔离日志审计入侵检测隐患扫描 PKI(CA)PGP安全加固防病毒2020年10月2日114课程内容防火墙隐患扫描2020年10月2日114隐患扫描（vulnerabilitiesscanning）网络弱点扫描主机弱点扫描特定应用弱点扫描2020年10月2日115隐患扫描（vulnerabilitiesscanning隐患扫描（vulnerabilitiesscanning）网络弱点扫描功能分类常用扫描工具主机弱点扫描特定应用弱点扫描2020年10月2日116隐患扫描（vulnerabilitiesscanning什么是网络弱点扫描定期或按需寻找网络设备或网络主机上的漏洞，从而可以对这些漏洞进行及时弥补，以改善网络的安全性2020年10月2日117什么是网络弱点扫描2020年10月2日117网络扫描器功能分类简单漏洞识别与分析 全面漏洞识别与分析 2020年10月2日118网络扫描器功能分类2020年10月2日118简单漏洞识别与分析许多工具能实现相对有限的安全检测。这些工具可以自动进行目标主机的TCP/IP端口扫描，尝试连接存在已知漏洞的服务端口，并且记录下目标主机的反应它们可以为特定的系统特性实现安全配置检查 2020年10月2日119简单漏洞识别与分析许多工具能实现相对有限的安全检测。这些工具全面漏洞识别与分析 扫描漏洞范围更广对漏洞进行分析提出的建议，减轻潜在的安全风险 2020年10月2日120全面漏洞识别与分析扫描漏洞范围更广2020年10月2日12常用扫描工具SATANNessusISSInternetScanner2020年10月2日121常用扫描工具SATAN2020年10月2日121SATAN(1)SATAN：SecurityAnalysisToolforAuditingNetworks其基本功能是通过finger，NFS，ftp，NIS，Web等服务尽可能的搜集目标主机和网络的相关信息并具有简单的推理功能2020年10月2日122SATAN(1)SATAN：SecurityAnalysSATAN(2)具有良好的可扩展性最核心部分对操作系统类型、网络服务名称、漏洞信息和其他细节信息依赖性很小 提供了较为灵活的方式供用户添加自己的探测模块,用户可以自己编写一个可执行文件，以.satan结尾 2020年10月2日123SATAN(2)具有良好的可扩展性2020年10月2日12NESSUS一个公开代码的安全评估工具 有灵活Plugin结构，强大的扫描功能，并且具有很好的扩展性 自己提供了一个语言NASL用于用户自己开发测试模块 2020年10月2日124NESSUS一个公开代码的安全评估工具2020年10月2ISSInternetScanner(1)针对网络上主机网络连接相关信息，分析主机系统平台，提供的服务，并分析是否存弱点 其可以诊断出的弱点包括：对PC、服务器、Web服务器、防火墙、路由器等网络设备的错误配置设备所启动的服务弱的或者无密码防护没有打补丁或者过时的系统平台。2020年10月2日125ISSInternetScanner(1)针对网络上主ISSInternetScanner(2)特点：扫描模块与管理控制模块分开，管理方便采用XML方式定义扫描任务，策略配置灵活多样 支持对各种网络设备、平台、应用的评估 界面友好，报告齐全2020年10月2日126ISSInternetScanner(2)特点：20隐患扫描（vulnerabilitiesscanning）网络弱点扫描主机弱点扫描主机弱点扫描功能与特点ISSSystemScanner特定应用弱点扫描2020年10月2日127隐患扫描（vulnerabilitiesscanning主机弱点扫描功能与特点是针对单一主机系统的扫描，它在目标系统上运行，可以搜集到比较全面的系统信息，对系统安全性作比较深入地分析只能分析单个主机，不能分析整个网络状况，也不能远程执行对于单一主机来说，主机弱点评估比网络弱点评估的评估能力强，准确性高 它对弱点的修复能力比网络评估系统强 2020年10月2日128主机弱点扫描功能与特点是针对单一主机系统的扫描，它在目标系统ISSSystemScanner是ISS公司开发的针对主机的弱点扫描工具只涉及到单一主机，功能较为单一，报告比较简略对目标系统平台具有很强的依赖性，不同的平台涉及到不同的评测内容，不同的评测方法，目前主要分为Windows和Unix两大系列结合了传统安全评估和完整性检测两种方法的特点，提出Security Baseline技术，即在进行完一次完整的安全评估后，对所有漏洞修补，保证系统达到自己的安全需求 2020年10月2日129ISSSystemScanner是ISS公司开发的针对主隐患扫描（vulnerabilitiesscanning）网络弱点扫描主机弱点扫描特定应用弱点扫描数据库弱点扫描 对未知漏洞的检测 2020年10月2日130隐患扫描（vulnerabilitiesscanning数据库弱点扫描以ISS的 Database Scanner 为代表自动解析数据库系统的重要配置管理参数分析数据库系统的授权、认证、完整性检测一些流行数据库的安全漏洞生成详细用户报告提供两种评估方式内部扫描外部穿透性测试 2020年10月2日131数据库弱点扫描以ISS的DatabaseScanner对未知漏洞的检测目前主要有三种方法：静态源代码扫描环境错误注入汇编代码扫描 已有一些成果发布，尚待进一步研究2020年10月2日132对未知漏洞的检测目前主要有三种方法：2020年10月2日13课程内容防火墙VPN内外网隔离日志审计入侵检测隐患扫描 PKI(CA)PGP安全加固防病毒2020年10月2日133课程内容防火墙隐患扫描2020年10月2日133PKI(CA)PKI基础知识PKI技术WIN2000PKI2020年10月2日134PKI(CA)PKI基础知识2020年10月2日134PKI(CA)PKI基础知识什么是PKIPKI的组成PKI标准的制定组织PKI技术WIN2000PKI2020年10月2日135PKI(CA)PKI基础知识2020年10月2日135什么是PKIPKI是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施提供机密性（包括公钥加密和对称加密）、数据完整性、非否认服务，比如加密、数字签名、数字信封、时间戳等等 遵循标准：X.509、RFC2459等2020年10月2日136什么是PKIPKI是一个用公钥概念和技术实施和提供安全服务的公钥密码体制(1)公钥密码技术由Diffe和Hellman于1976年首次提出有两个不同的密钥（公钥私钥对），可将加密功能和解密功能分开是目前若干关键技术如PKI、VPN等的基础2020年10月2日137公钥密码体制(1)公钥密码技术由Diffe和Hellman于公钥加密模型2020年10月2日138公钥加密模型2020年10月2日138公钥认证模型2020年10月2日139公钥认证模型2020年10月2日139公钥密码体制(2)公钥密码体制的优点:可以简化密钥的管理，并且可以通过公开系统如公开目录服务来分配密钥。公钥密码体制的缺点:加、解密的速度太慢密钥长度太长 RSA算法：是一个可逆的公钥密码体制，在PGP中被用来加密通信密钥和数字签名;基于以下原理：寻找大素数是相对容易的，而分解两个大素数的积在计算上是不可行的;目前建议使用模长为1024比特以上的模作为密钥 2020年10月2日140公钥密码体制(2)公钥密码体制的优点:2020年10月2日1PKI的组成1CA（认证机构）2证书库3证书撤销4密钥备份和恢复5自动密钥更新6密钥历史档案7交叉认证8支持非否认9时间戳10.客户端软件 2020年10月2日141PKI的组成1CA（认证机构）2020年1PKI标准的制定组织国际标准化组织/国际电信联盟(ISO)/(ITU)-X.509因特网特别工程任务组(IETF).RFC2459RSA实验室PKCS系列美国国家标准和技术协会(NIST)MISPC最小互操作规范2020年10月2日142PKI标准的制定组织国际标准化组织/国际电信联盟(ISO)PKI(CA)PKI基础知识PKI技术RFC2459X.509信任模型PKI技术应用现状WIN2000PKI2020年10月2日143PKI(CA)PKI基础知识2020年10月2日143RFC24592020年10月2日144RFC24592020年10月2日144RFC24592020年10月2日145RFC24592020年10月2日145X.509证书(1)（图）2020年10月2日146X.509证书(1)（图）2020年10月2日146X.509证书(2)证书版本号（证书版本号（VersionVersion）证书序列号（证书序列号（SerialNumberSerialNumber）签名算法标识符签名算法标识符(Signatue Alg ID)Signatue Alg ID)颁发者（颁发者（IssuerIssuer）有效期（有效期（ValidityValidity）2020年10月2日147X.509证书(2)证书版本号（Version）2020年X.509证书(3)主体名（主体名（SubjectSubject）主主体体公公钥钥信信息息（Subject Subject Public Public Key Key InfoInfo）签发者唯一标识符签发者唯一标识符(Issuer ID)Issuer ID)主体唯一标识符主体唯一标识符(Subject ID)Subject ID)签名值（签名值（Issuers SignatureIssuers Signature）扩展项扩展项 X.509 V3X.509 V3版本的版本的1414项标准扩展项标准扩展2020年10月2日148X.509证书(3)主体名（Subject）2020年10信任模型层次信任模型层次信任模型网状信任模型网状信任模型混和信任模型混和信任模型桥信任模型桥信任模型2020年10月2日149信任模型层次信任模型2020年10月2日149层次信任模型2020年10月2日150层次信任模型2020年10月2日150网状信任模型2020年10月2日151网状信任模型2020年10月2日151混和信任模型2020年10月2日152混和信任模型2020年10月2日152桥信任模型2020年10月2日153桥信任模型2020年10月2日153PKI技术应用现状VeriSign,IBM,Balitimore,Entrust等为用户提供了一系列的客户端和服务器端的安全产品各国政府也相继推出和建立了国家和政府级的PKI体系，如美国联邦PKI体系（FPKI）、加拿大政府PKI体系（GOC PKI）等2020年10月2日154PKI技术应用现状VeriSign,IBM,BalitimPKI(CA)PKI基础知识PKI技术WIN2000PKIWIN2000中CA的层次结构证书颁发过程WIN2000PKI的组成2020年10月2日155PKI(CA)PKI基础知识2020年10月2日155WIN2000PKIWindows2000为电子商务提供了一个平台，其中包括证书管理、CA服务与PKI应用程序等2020年10月2日156WIN2000PKI2020年10月2日156WIN2000中CA的层次结构Windows2000 PKI采用了分层CA模型。这种模型具备可伸缩性，易于管理，并且能够对不断增长的商业性第三方CA产品提供良好的支持。在最简单的情况下，认证体系可以只包含一个CA。但是就一般情况而言，这个体系是由相互信任的多重CA构成的2020年10月2日157WIN2000中CA的层次结构Windows2000PKWIN2000中CA的层次结构(图)2020年10月2日158WIN2000中CA的层次结构(图)2020年10月2日1证书颁发过程1.CA收到证书请求信息，包括个人资料和公钥等2.CA对用户提供的信息进行核实3.CA用自己的私钥对证书进行数字签名4.CA将证书发给用户2020年10月2日159证书颁发过程CA收到证书请求信息，包括个人资料和公钥等2WIN2000PKI的组成认证服务认证服务活动目录活动目录支持支持PKIPKI的应用程序的应用程序使用的安全协议使用的安全协议2020年10月2日160WIN2000PKI的组成认证服务2020年10月2日WIN2000PKI的组成（图）2020年10月2日161WIN2000PKI的组成（图）2020年10月2日1认证服务认证服务(Certificate Services)是WIN2000 PKI中的一个关键部分通过它可以部署一个或多个企业性的CA。这些CA都可以进行认证发布和撤销服务，它们与活动目录集成在一起2020年10月2日162认证服务(CertificateServices)202活动目录活动目录提供了CA的定位信息和CA策略，并可以公布有关认证发布和撤销的信息2020年10月2日163活动目录提供了CA的定位信息和CA策略，并可以公布有关认证发支持支持WIN2000 PKIWIN2000 PKI的的应用程序用程序 MicrosoftInternetExplorerMicrosoftInternetInformationServiceMicrosoftOutlookMicrosoftOutlookExpressMicrosoftMoney其他第三方程序2020年10月2日164支持WIN2000PKI的应用程序MicrosoftIWIN2000 PKIWIN2000 PKI使用的安全使用的安全协议安全套接字协议SSL 网际安全协议IPSec 2020年10月2日165WIN2000PKI使用的安全协议安全套接字协议SSL2课程内容防火墙VPN内外网隔离日志审计入侵检测隐患扫描 PKI(CA)PGP安全加固防病毒2020年10月2日166课程内容防火墙隐患扫描2020年10月2日166PGP(PrettyGoodPrivacy)PGP发展历史与现状PGP加密流程PGP加解密算法PGP的密钥管理机制2020年10月2日167PGP(PrettyGoodPrivacy)PGP发展PGP(PrettyGoodPrivacy)PGP概述PGP发展历史与现状PGP功能PGP加密流程PGP加解密算法PGP的密钥管理机制2020年10月2日168PGP(PrettyGoodPrivacy)PGP概述PGP发展历史与现状是一个基于RSA公钥加密体系的邮件加密软件由美国的PhilZimmermann于1991年发布采用了RSA和对称加密算法相结合的机制1993年，美国政府以违反出口法规提起了对Phil Zimmermann的诉讼。最后以Phil Zimmermann获胜告终。2020年10月2日169PGP发展历史与现状是一个基于RSA公钥加密体系的邮件加密软PGP功能电子邮件机密性身份认证文件加密2020年10月2日170PGP功能电子邮件机密性2020年10月2日170PGP(PrettyGoodPrivacy)PGP发展历史与现状PGP加密流程安全机制PGP公钥与证书口令PGP加解密算法PGP的密钥管理机制2020年10月2日171PGP(PrettyGoodPrivacy)PGP发展PGP安全机制采用公开密钥加密与对称密钥加密相结合的加密体系对称密钥加密技术部分所使用的密钥称为“会话密钥”会话密钥在每次会话中随机产生会话密钥用来保护报文内容公开密钥加密技术中的公钥和私钥则用来加密和解密会话密钥2020年10月2日172PGP安全机制采用公开密钥加密与对称密钥加密相结合的加密体系PGP公钥与证书每个PGP公钥都伴随着一个证书PGP承认两种不同的证书格式PGP证书X.509证书2020年10月2日173PGP公钥与证书每个PGP公钥都伴随