《网络安全》(课件)-总结

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,LOGO,网络安全,郑万波,课程内容,第,1,章 概述,第,2,章 网络与威胁,第,4,章,TCP/IP,网络安全威胁,第,5,章 防火墙技术,2,第一章 概述,信息安全从总体上可以分成,5,个层次：安全的密码算法，安全协议，网络安全，系统安全以及应用安全,3,信息安全,层次结构,4,网络安全简介,定义,网络安全从其本质上来讲就是,网络上的信息安全,。从广义上说，凡是涉及网络上信息的机密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。,网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。,5,网络安全简介,定义,网络安全,包括,一切解决或缓解计算机网络技术应用过程中存在的安全威胁的技术手段或管理手段，,也包括,这些安全威胁本身及相关的活动。,网络安全威胁和网络安全技术,是网络安全含义最基本的表现。,6,机密性、完整性和可用性是处于计算机安全核心地位的三个关键目标，即,CIA,三元组,这三个概念具体体现了对数据和信息的基本安全目标与计算服务。,网络安全简介,属性,7,网络安全简介,属性,延伸属性：,可认证行、可控性、不可抵赖性和不可否认性,可认证性,：包括对等实体认证和数据源认证。,对等实体认证,:,为连接中的对等实体提供身份确认。,对等实体,:,当两个实体在不同系统中实现相同协议时，就说这两个实体是对等的。对等实体主要指用户应用实体。,对等实体认证,是指网络通信必须,保证双方或多方间身份,，对等实体身份的相互确认，这是网络间有效通信的前提。,对等实体认证用在连接的建立阶段或者数据传输阶段。它试图提供以下保证：,该实体没有进行假冒或对前面的连接进行非授权重放。,数据源认证,8,网络安全简介,内容,网络安全较全面地对,计算机和计算机之间相连接的传输线路,这个全过程进行管理，重点研究,网络的组成方式、拓扑结构和网络应用,。它包括了各种类型的局域网、通信与计算机相结合的广域网，以及更为广泛的计算机互联网络。,因此，,保护网络系统中的硬件、软件及其数据不受偶然或者恶意原因而遭到破坏、更改、泄露,;,系统连接可靠地正常运行,;,网络服务不中断,;,成为网络安全的主要内容。,9,网络安全简介,层次结构,物理层：在通信线路上采用某些技术使得搭线偷听变得不可能或者容易被检测出。,数据链路层：点对点的链路可能采用通信保密机进行加密和解密，但不适用于需要经过多个路由器的通信信道。,网络层：使用防火墙技术处理信息在内外网络边界的流动，确定来自哪些地址的信息允许或者禁止访问哪些目的地址的主机。,传输层：使用端到端的加密，即进程到进程间的加密。,应用层：主要是指针对用户身份进行认证并且建立起安全的通信信道。,网络安全 第,2,讲,TCPIP,深入理解,TCPIP,协议体系,OSI,层次划分,TCP/IP,层次划分,应用层,应用层,会话层,传输层,会话层,传输层,网络层,网络层,数据链路层,链路层,物理层,HTTP,FTP,TELNET,DNS,SNMP,TCP,UDP,IP,Ethernet Token Ring FDDI WANS,ARP,ICMP,TCP/IP,协议族中协议示例,6/19/2003,Internet安全协议及标准,Page:,11,TCP/IP,工作方式,12,网络安全威胁,网络系统缺陷,2,网络信息收集,3,拒绝服务攻击,4,有害程序,5,6,概述,网络欺骗,1,13,网络安全威胁,分类,根据威胁起因分类,2,3,根据威胁对象分类,根据威胁动机分类,1,网络攻击的目标,网络攻击模型,4,5,补充内容,网络安全威胁的,对象、动机和起因,是网络安全威胁的三大基本要素，以基本要素为依据可对网络安全威胁进行分类分析。,14,概述,威胁对象分类,14,网络设备安全,网络软件安全：,操作系统、漏洞数据库安全、网络应用缺陷,网络协议安全,总线型结构 星型结构 环型结构,网状结构 树型结构 混合结构,网络拓扑安全,根据网络系统受威胁的,对象,，网络安全威胁包括：,15,概述,威胁对象分类,15,消息伪装攻击,拒绝服务攻击,攻击者的,动机,一般是窃取目标的信息、使目标不能正常工作以及破坏受害人的资源等。,利用型攻击,信息收集型攻击,16,概述,威胁对象分类,16,拒绝服务攻击,网络系统缺陷,网络安全威胁的,起因,包括网络安全威胁各核心基本要素，它代表着网络安全威胁的行为形式。,网络欺骗,有害程序,网络信息收集,17,概述,威胁起因分类,拒绝服务攻击,拒绝服务（,DoS,）攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务，使目标系统停止响应甚至崩溃。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接等。,基本类别为：单一拒绝服务攻击、分布式拒绝服务攻击、反射式分布拒绝服务攻击。,18,概述,威胁起因分类,拒绝服务攻击,最基本的,DoS,攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。单一的,DoS,攻击一般是采用一对一方式的，当攻击目标,CPU,速度低、内存小或者网络带宽小等等各项性能指标不高时，它的效果是明显的。,DDoS,攻击手段是在传统的,DoS,攻击基础之上产生的，是一种特殊形式的拒绝服务攻击。它是利用多台已经被攻击者所控制的机器对某一台单机发起攻击，在这样的带宽相比之下被攻击的主机很容易失去反应能力的。现在这种方式被认为是最有效的攻击形式，并且很难于防备。,19,概述,威胁起因分类,拒绝服务攻击,DrDoS,这是,DDoS,攻击的变形，它与,DDoS,的不同之处就是,DrDoS,不需要在实际攻击之前占领大量的傀儡机。这种攻击是在伪造数据包源地址的情况下进行的，,DrDoS,可以在广域网上进行。,其名称中的,“r”,意为反射，是这种攻击行为最大的特点。黑客同样利用特殊的发包工具，首先把伪造了源地址的,SYN,连接请求包发送到那些被欺骗的计算机上，根据,TCP,三次握手的规则，这些计算机会向源,IP,发出,SYN+ACK,或,RST,包来响应这个请求。攻击者所发送的请求包的源,IP,地址是被害者的地址，这样受欺骗的计算机就都会把回应发到受害者处，造成该主机忙于处理这些回应而被拒绝服务攻击。,20,网络攻击的目标,网络攻击技术的演变,网络攻击的目标,网络攻击的分类,21,网络攻击的目标,攻击目标,网络攻击是指网络用户末经授权的访问尝试或者未经授权的使用尝试。网络攻击方法众多，其,攻击目标,主要是破坏网络信息的机密性、网络信息的完整性、网络服务的可用性、网络信息的非否认（抗抵赖）性和网络运行的可控性。,22,网络攻击的目标,攻击目标,网络信息的机密性与攻击方法实例,：网络信息的机密性目标是防止未经授权泄漏敏感信息。常见的针对网络信息保密性的攻击方法有：,网络信息拦截：网络攻击者可以偷听移动电话，搭线窃听，或者偷看传输的电子邮件。,Tempest,技术：网络攻击者采用电子设备远距离监视电磁波的传送过程。灵敏的无线电接收装置能够在远处看到计算机操作者输入的字符或屏幕显示的内容。,社交工程,(Social Engineering),方法：网络攻击者通过一系列的社交活动，获取需要的信息。例如，伪造系统管理员的身份，给特定的用户发电子邮件骗取他的密码口令。,23,网络攻击的目标,攻击目标,网络信息重定向：网络攻击者设法将信息发送端重定向到攻击者所在的计算机，然后再转发给接收者。例如，攻击者伪造某个网上银行域名，用户不知真假，却按银行要求输入账号和密码，攻击者从而获取银行账号信息。,数据推理：数据聚合和相关入侵使攻击者有可能从公开信息推测出敏感信息。,网络监听：利用以太网的特点，网络攻击者可以接收整个网络上的信息包（如将网卡设为混杂模式）。,邮件病毒：网络邮件病毒让邮件传播带有病毒的文件。,24,网络攻击的目标,攻击目标,网络信息的完整性与攻击方法实例,：网络信息的完整性目标是防止未经授权修改信息。在特定的环境中，完整性比机密性更加重要。例如，甲方向乙方通过网络电子转账,100,万元，如果将,100,万元改为,1000,万元，比泄漏这笔交易的后果更为严重。,25,网络攻击的目标,攻击目标,常见的针对网络信息完整性的攻击方法有：,身份认证攻击：身份认证攻击是指攻击者伪装成具有特权的用户。常见的攻击方法有：密码猜测、窃取口令、窃听网络连接口令、利用协议实现,/,设计缺陷、密钥泄漏、中继攻击。,会话劫持：会话劫持是指攻击者在初始授权之后建立一个连接。在会话劫持以后，攻击者具有合法用户的特权权限。典型的实例是“,TCP,会话劫持”。,程序异常输入：利用程序设计者的疏忽，攻击者可以通过输入异常数据给某个处理接收程序，导致该程序出现异常，最常用的输入异常攻击是缓冲区溢出攻击方法。攻击者有意向程序输入大量的字符，造成堆栈溢出，而溢出的地址指向一段有恶意的程序。这样，攻击者就可能获得系统更高的权限，进而修改敏感数据。,26,网络攻击的目标,攻击目标,网络可用性与攻击方法实例,：网络攻击者另一种常用的方法是针对网络可用性的攻击，即拒绝服务攻击。拒绝服务攻击具有以下特点：难确认性、隐蔽性、资源有限性、软件复杂性。,常见的拒绝服务攻击方法有以下,3,种：,消耗网络带宽,消耗磁盘空间,消耗,CPU,资源和内存资源,27,网络攻击的目标,攻击目标,网络运行可控性与攻击方法实例：常见的攻击方法有：,网络蠕虫,垃圾邮件,域名服务数据破环,28,网络攻击模型,网络攻击模型将攻击过程划分为以下阶段：,攻击身份和位置隐藏：隐藏网络攻击者的身份及主机位置。,目标系统信息收集：确定攻击目标并收集目标系统的有关信息。,弱点信息挖掘分析：从收集到的目标信息中提取可使用的漏洞信息。,目标使用权限获取：获取目标系统的普通或特权账户权限。,攻击行为隐蔽：隐蔽在目标系统中的操作，防止攻击行为被发现。,攻击实施：实施攻击或者以目标系统为跳板向其他系统发起新的攻击。,开辟后门：在目标系统中开辟后门，方便以后入侵。,攻击痕迹清除：清除攻击痕迹，逃避攻击取证。,29,网络攻击模型,攻击讨论,攻击过程的关键阶段是弱点信息挖掘分析和目标使用权限获取阶段。根据收集到的目标系统信息，攻击者对这些信息进行弱点分析。攻击者攻击成功的条件之一是目标系统存在安全漏洞或弱点。显然，攻击者攻击系统能力的强弱在于尽早发现或利用安全漏洞的能力。,目标使用权限获取是网络攻击的难点。对内部攻击者来说，大都具备目标的普通权限，攻击者往往具备发起后续攻击活动的条件。攻击者为了获得目标系统更大的管理权限，通常会寻找系统漏洞提升自己的权限，如利用操作系统的漏洞或猜测管理员的口令。获得系统的管理权限之后，攻击者己接近于完全成功。,攻击者能否成功地攻破一个系统，取决于多方面的因素。因此，攻击者在攻击目标之前，要做到知己知彼，首先要摸清目标的安全防范措施，挖掘目标系统的弱点，乘虚而入，攻破系统。为此，网络安全防范不仅要从正面去进行防御，更要从反面入手，从攻击者的角度设计更坚固的安全保障系统。,30,1,、,TCP/IP,网络安全威胁,IP,欺骗,MAC,欺骗,ARP,欺骗,ICMP,欺骗,路由欺骗,IP,包碎片攻击,TCP,端口扫描,Land,攻击,TCP,欺骗,SYN FLOODING,TCP,会话劫持,RST,攻击,FIN,攻击,E-MAIL Cheating,DNS,欺骗,网络钓鱼,31,IP,欺骗,IP,欺骗,IP,欺骗指攻击者假冒他人,IP,地址，发送数据包。,它用来破坏信任关系。,信任关系：在主机,A,和主机,B,中建立起两个帐户的相互信任关系后，可以使用任何以,r*,开头的远程登录如：,rlogin,，,rcall,，,rsh,等，而无需口令验证。这些命令允许以地址为基础的验证。即，这里的信任关系是基于,IP,地址的。,32,IP,欺骗,防止,IP,欺骗的安全策略,抛弃基于地址的信任策略,进行包过滤,可以利用路由器来进行包过滤。确信只有内部,LAN,可以使用信任关系，而内部,LAN,上的主机对于,LAN,以外的主机要慎重处理。路由器可以帮助过滤掉所有来自于外部而希望与内部建立连接的请求。,使用加密方法,阻止,IP,欺骗的另一种明显的方法是在通信时要求加密传输和验证。,使用随机化的初始序列号,33,MAC,欺骗,MAC,地址欺骗安全策略,上述问题主要集中在二层交换机。,MAC,地址与端口的绑定,。绑定可以实现手工静态绑定和自动静态绑定,改变地址学习策略,端口的地址学习优先级,34,ARP,欺骗,ARP协议用于IP地址到MAC地址的转换，此映射关系存储在ARP缓存表中，若ARP缓存表被他人非法修改，则会导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机。ARP欺骗，也叫ARP毒药，即可完成这些功能。,35,ARP,欺骗,36,ARP,欺骗,ARP,欺骗的防范：,主机静态绑定网关MAC,使用arp命令静态绑定网关MAC，格式如下：,arp,-,s 网关IP 网关MAC,网关使用IP+MAC绑定模式,将用户的IP与MAC进行静态绑定，防止ARP欺骗发生。,使用ARP服务器,在局域网内架设ARP服务器，替代主机应答ARP包。,37,ICMP,欺骗,ICMP,（,Internet Control Message Protocol,）：,Internet,控制报文协议，用于传输出错报告控制信息。允许主机或路由器报告差错情况和提供有关异常情况的报告。一般来说，,ICMP,报文提供针对网络层的错误诊断、拥塞控制、路径控制和查询服务四种主要功能。如，当一个分组无法到达目的站点或,TTL,超时后，路由器就会丢弃此分组，并向源站点返回一个目的站点不可到达的,ICMP,报文。,38,ICMP,欺骗,ICMP,攻击导致拒绝服务,死亡之Ping（ping of death）：对目标IP不停地Ping探测从而致使目标主机网络瘫痪。常见工具有蜗牛炸弹等。早期路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击。简单来说发送大于64K的文件并一直ping，就是死亡之ping。,39,ICMP,欺骗,基于重定向（,redirect,）的路由欺骗技术,ICMP,虽然不是路由协议，但是有时它也可以指导数据包的流向（使数据流向正确的网关）。,ICMP,协议通过,ICMP,重定向数据包达到这个目的,。,主机,A,要,ping,路由器,B,的,S0/1,地址,192.168.3.1,，主机将判断出目标属于不同的网段，因此它要将,ICMP,请求包发往自己的默认网关,192.168.1.253,（路由器,A,的,E0/1,端口）。这之前主机,A,首先必须发送,arp,请求，请求路由器,A,的,E0/1,的,mac,地址。当路由器,A,收到此,ARP,请求包后，它首先用,ARP,应答包回答主机,A,的,arp,请求（通知主机,A,：路由器,A,的,E0/1,端口的,mac,地址）。,然后，路由器,A,将此,ICMP,请求转发到路由器,B,的,E0/1,端口：,192.168.1.254,。,此外，路由器,A,还要发送一个,ICMP,重定向消息给主机,A,，通知主机,A,对于主机,pc,请求的地址的网关是：,192.168.1.254,。,路由器,B,此时会发送一个,arp,请求消息请求主机,A,的,mac,地址，而主机,A,会发送,arp,应答消息给路由器,B,。最后路由器,B,通过获得的主机,A,的,mac,地址信息，将,ICMP,应答消息发送给主机,A,。,40,ICMP,欺骗,ICMP,消息欺骗的防御方法：,ICMP echo enable,，,ICMP echo disable,，可以使能或禁止,ICMP,的,echo reply,报文的发送。一旦禁止该类型的报文，从其他机器利用,ping,命令搜索该路由器时，路由器将不作出反应。,ICMP mask enable,，,ICMP mask disable,，可以使能或禁止,ICMP,的,Mask Reply,报文的发送。当在路由器上禁止该类型的报文时，路由器对于来自其他机器的,mask requst,请求不作反应。,41,ICMP,欺骗,ICMP,消息欺骗的防御方法：,ICMP unreach enable,，,ICMP unreach disable,，可以使能或禁止,Destination Unreachable,报文的发送。当在路由器上禁止该类型的报文时，路由器对于其无法转发的,ip,报文将不再向其源地址发送,Destination Unreachable,报文。,ICMP redirect enable,，,ICMP redirect disable,，可以使能或禁止,ICMP,的重定向报文的发送。当在路由器上禁止该类型的报文时，路由器对于可能的路由错误不作反应。避免,ICMP,重定向欺骗的最简单方法是将主机配置成不处理,ICMP,重定向消息。,42,路由欺骗,IP,源路由欺骗,攻击示例,P60,防范,配置路由器防范IP地址欺骗,，抛弃由外部网流入却声称是内部主机的报文,关闭主机和路由器上的源路由功能,43,IP,包碎片攻击,IP,碎片攻击,IP,分片数据中偏移量和长度用来指示当前分片在原数据包中的位置和自身长度。对于人为设计的偏移量、长度有矛盾的数据包的重组处理，可能导致操作系统出现异常，利用操作系统这种缺陷实施的攻击称为,IP,包碎片攻击。,有意发送总长度超出的,IP,碎片，一些老的系统内核在处理的时候就会出现问题，导致崩溃或者拒绝服务；,如果分片之间偏移量经过精心构造，一些系统就无法处理，导致死机。,44,IP,包碎片攻击,TearDrop,攻击,工作原理,：向被攻击者发送两个或多个分片的,IP包,，第一个包的偏移量是,0,，长度为,N,；第二片,IP,包的偏移量小于第一片结束的位移，而且加上第二片,IP,包的数据部分，也未超过第一片的尾部，这就是重叠现象（,overlap,）。,Linux,内核（,1.x - 2.0.x,）在处理这种重叠分片的时候存在问题，,WinNT/95,在接收到,10,至,50,个,teardrop,分片时也会崩溃。,Windows系统会导致蓝屏死机，并显示STOP 0x0000000A错误。,检测方法：,分析接收到的分片数据包，计算数据包的片偏移量（,Offset）是否有误。,45,IP,包碎片攻击,Jolt2,攻击,jolt2.c是在一个死循环中不停的发送一个ICMP/UDP的IP碎片，不仅可以使未打补丁的Windows系统死锁，而且也大大增加了网络流量。,如何阻止,IP,碎片攻击,Windows,系统打上最新的,Service Pack,，目前的,Linux,内核已经不受影响。,在网络边界上禁止碎片包通过，或者用,iptables,限制每秒通过碎片包的数目。,如果防火墙有重组碎片的功能，要确保自身的算法没有问题，否则被,DoS,就会影响整个网络。,46,SYN FLOODING,SYN FLOODING,利用,TCP,连接建立的三次握手机制进行攻击,阻止三次握手过程的完成，特别是阻止服务器端接收客户端的,TCP,确认标志,ACK,，使得服务器端保持大量的半开放,TCP,连接，以达到拒绝服务攻击的目的。,防范,缩短,SYN Timeout,（连接等待超时）时间,根据源,IP,记录,SYN,连接,设置,HALF-TCP,连接的最大个数,容忍策略,利用防火墙技术,网关型防火墙,路由型防火墙,带宽控制技术,47,TCP端口扫描,TCP端口扫描,端口,端口是TCP/IP体系中传输层的服务访问点，传输层到某端口的数据都被绑定到该端口的进程接收。,保留端口对应了相应的应用程序和服务,1024号端口以下为保留端口,网络应用自己可以确定使用的端口,扫描器是自动检测远程或本地主机安全性弱点的程序。,发现远程服务器的各种,TCP,端口的分配、提供的服务和它们的软件版本,操作系统版本,针对,UDP,端口的扫描,扫描器不是一个直接攻击网络漏洞的程序，仅仅用于攻击前的准备工作,48,TCP端口扫描,端口扫描防范,扫描工具不胜枚举,：,各种平台,通过统计分析发现单一源主机发送大量目的端口不同的数据包,检测慢速扫描更需要综合一段较长时间内的网络流量进行分析才能判断,入侵检测系统均具备检测扫描的能力,49,Land攻击,Land攻击,向目标主机发送一个特别伪造的SYN包，其中源IP和目的IP均设置为目标主机的IP，这样将导致目标主机向它自身发送SYN,/,ACK消息，而其自身又发回ACK消息，并创建一个空连接，每一个这样的连接都将保持,到,直,至,超时，这样的空连接到达一定数目时，就造成了拒绝服务攻击,。,防范,系统的补丁升级：一般较新的操作系统其TCP/IP协议栈的实现都可防止此攻击,在防火墙上做过滤规则设置,：,过滤源地址和目标地址相同的IP数据包,50,TCP欺骗,TCP欺骗,非盲攻击,攻击者和被欺骗的目的主机在同一个网络上，攻击者可以简单地使用协议分析器（嗅探器）捕获TCP报文段，从而获得需要的序列号。攻击步骤,如下,：,攻击者X要确定目标主机A的被信任主机B不在工作状态，若其在工作状态，使用SYN flooding等攻击手段使其处于拒绝服务状态。,攻击者X伪造数据包：,X(,B,),-A：SYN（ISN C, SRC B,），源IP地址使用B，初始序列号ISN为C，给目标主机发送TCP,SYN包，请求建立连接。,目标主机回应数据包：A-B：SYN（ISN S），ACK（ISN C），初始序列号为S。由于B处于拒绝服务状态，不会发出响应包。攻击者X使用嗅探工具捕获TCP报文段，得到初始序列号S。,攻击者X伪造数据包：,X(,B,),-A,：,ACK(ISN S),，,完成三次握手建立TCP连接。,攻击者X一直使用B的IP地址与A进行通信。,51,TCP欺骗,TCP欺骗,盲攻击由于攻击者和被欺骗的目标主机不在同一个网络上，攻击者无法使用嗅探工具捕获,TCP,报文段。其攻击步骤与非盲攻击几乎相同，只不过在步骤（,3,）中无法使用嗅探工具，可以使用,TCP,初始序列号预测技术得到初始序列号。从攻击者的角度来考虑，盲攻击比较困难。然而，攻击者可使用路由欺骗技术把盲攻击转化为非盲攻击。,对,TCP,欺骗攻击的防范策略主要有：,使用伪随机数发生工具产生,TCP,初始序号；,路由器拒绝来自外网而源,IP,是内网的数据包；,使用,TCP,段加密工具加密。,步骤（,3,）：目标主机回应数据包：,A-B,：,SYN,（,ISN S,），,ACK,（,ISN C,），初始序列号为,S,。由于,B,处于拒绝服务状态，不会发出响应包。,攻击者,X,使用嗅探工具捕获,TCP,报文段，得到初始序列号,S,。,52,TCP欺骗,TCP欺骗,区分“盲攻击”与“非盲攻击”：是否能够监测到目标主机的,TCP,应答包,53,TCP会话劫持,TCP会话劫持,攻击者、被劫持主机和目标主机在同一个网络上，攻击者可以监测到被劫持主机和目标主机之间的,TCP,通信,TCP,劫持发生在,TCP,连接建立之后，也可以发生在基于,TCP,的应用层认证流程过后，例如，经常用于劫持,TELNET,会话防范,加密技术：,TCP,层加密、应用层加密,54,TCP会话劫持,所谓会话，就是两台主机之间的一次通讯。,Telnet,到某台主机，就是一次,Telnet,会话；,浏览某个网站，就是一次,HTTP,会话。,会话劫持（,Session Hijack,），就是结合了嗅探以及欺骗技术在内的攻击手段。例如，在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行监听，甚至可以是代替某一方主机接管会话。,会话劫持攻击分为两种类型：,中间人攻击,(Man In The Middle,，简称,MITM),，将受攻击者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。然后攻击者把这台计算机模拟为一台或两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或篡改传递的信息，然而两个原始计算机用户却认为他们是在互相通信，因而这种攻击方式并不很容易被发现。,注射式攻击（,Injection,），这种方式的会话劫持比中间人攻击实现起来简单一些，它不会改变会话双方的通讯流，而是在双方正常的通讯流插入恶意数据。,会话劫持攻击分为两种形式：,被动劫持：被动劫持实际上就是在后台监视双方会话的数据流，从中获得敏感数据；,主动劫持：是攻击者取代会话中的某一台主机并接管会话，这种攻击方法危害非常大。,55,TCP会话劫持,TCP,会话劫持,防范,处理会话劫持问题有两种机制：预防和检测。预防措施包括限制入网的连接和设置网络拒绝假冒本地地址从互联网上发来的数据包。监视网络流量，如发现网络中出现大量的,ACK,包，则有可能已被进行了会话劫持攻击。,用交换式网络替代共享式网络，防范最基本的嗅探攻击，但是像,Hunt,这样的工具可以在交换环境中实现会话劫持。,加密,使用,IPsec/VPN,SSH,Telnet,Https Http,56,应用层安全,随着针对应用层SMTP、HTTP、FTP、POP3等协议所发动的攻击,越来越严重，专门侧重于网络层安全的防火墙与入侵检测入侵防护系统（,IDSIPS）已无法满足目前的安全需求，于是，应用层安全防护方案,就成为企业加强的重点。,在应用层方面，,病毒、蠕虫,、木马程序、间谍软件、垃圾邮件、网络钓鱼,等攻击，造成个人、企业，社会的极大损失。,不仅如此，虽然新应用的出现带来全新的功能与商机，但也同时伴随出新的安全风险，包括,Web Mail、实时通讯、P2P共享软件、VoIP、RSS阅读器等，其中最使人困扰的，莫过于系统软件中接二连三出现的安全漏洞，为了更新漏洞，又会衍生出额外的成本、管理，甚至系统稳定性与效能上的新问题。,57,应用层安全,安全业者表示，虽然应用层安全早已成为现阶段企业防护的重要项目之一，不过，目前企业在面对类型繁杂的各式应用层安全方案时，常面临难以抉择的状况。长久以来，防火墙与防毒软件几乎成为大部分企业最基本的安全,设置项目，但讲求封包过滤的防火墙却无法适应,应用层的安全问题，至于防毒软件，不但无法面对急剧变动的各种应用层攻击，更无法解决零日,漏洞造成的安全威胁。,安全厂商表示，为了解决防火墙与防毒软件之不足，安全网关设备,已逐渐兴起，但种类上仍相当繁杂，常造成企业选购上的困扰。目前常见的安全网关设备，大致包括防毒墙、内容过滤器与多功能安全网关设备等类型，其中多功能安全网关设备已成为目前当红的安全设备之一。多功能安全网关是一个整合了多种安全机制于一身的多功能网络安全防御系统。这些安全机制可以包括,动态防火墙、入侵检测、,VPN,、多线宽带负载平衡、服务器负载平衡及带宽管理,等。,58,第,5,章 防火墙技术,防火墙技术概述,防火墙的分类,新一代防火墙的主要技术,防火墙体系结构,防火墙技术发展动态和趋势,防火墙的选购和使用,防火墙产品介绍,59,防火墙技术概述,防火墙定义,防火墙的本义原是指房屋之间修建的可以防止火灾发生时蔓延到别的房屋的墙。多数防火墙里都有一个重要的门，允许人们进入或离开房屋。即：防火墙在提供增强安全性的同时允许必要的访问。,计算机网络安全中的防火墙（,Firewall,）指位于不同网络安全域之间的软件和硬件设备的一系列部件的组合,做为不同网络安全域之间通信流的唯一通道，根据用户的有关安全策略控制进出不同网络安全域的访问。,计算机网络安全中的防火墙（,Firewall,）指位于不同网络安全域之间的软件和硬件设备的一系列部件的组合,做为不同网络安全域之间通信流的唯一通道，根据用户的有关安全策略控制进出不同网络安全域的访问。,防火墙定义,William Cheswick,和,Steve Beilovin,（,1994,）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：,只允许本地安全策略授权的通信信息通过,双向通信信息必须通过防火墙,防火墙本身不会影响信息的流通,防火墙是位于两个信任程度不同的网络之间（如企业内部网络和,Internet,之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。,传统防火墙概念特指网络层实现,防火墙技术概述,61,防火墙系统模型,防火墙技术概述,DMZ,即隔离区，也称非军事化区。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如,Web,服务器、,FTP,服务器和论坛等。,62,应用防火墙的目的,所有内部网络与外部网络的信息交流必须经过防火墙。,确保内部网向外部网的全功能互联。,防止入侵者接近防御设施，限制进入受保护网络，保护内部网络的安全。,只有按本地的安全策略被授权的信息才允许通过。,防火墙本身具有防止被穿透的能力，防火墙本身不受各种攻击的影响。,为监视网络安全提供方便。,防火墙技术概述,63,防火墙基本功能,防火墙是网络安全政策的有机组成部分，通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理，防止外部网络不安全的信息流入内部网络和限制内部网络的重要信息流到外部网络。从总体上看，防火墙应具有以下五大基本功能。,过滤进、出内部网络的数据。,管理进、出内部网络的访问行为。,封堵某些禁止的业务。,记录通过防火墙的信息内容和活动。,对网络攻击进行检测和报警。,防火墙技术概述,64,除此以外，有的防火墙还根据需求包括其他的功能，如网络地址转换功能,(NAT),、双重,DNS,（双重,DNS,，即对外解析成公网地址，对内解析成内网地址。）、虚拟专用网络,(VPN),、扫毒功能、负载均衡和计费等功能。,为实现以上功能，在防火墙产品的开发中，广泛地应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术以及安全审计技术等。,防火墙技术概述,防火墙的设计策略,防火墙一般执行以下两种基本设计策略中的一种。,（,1,）除非明确不允许，否则允许某种服务。,（,2,）除非明确允许，否则将禁止某种服务。,防火墙的安全策略,研制和开发一个有效的防火墙，首先要设计和制定一个有效的安全策略。安全策略应包含以下主要内容：,（,1,）用户账号策略；（,2,）用户权限策略；,（,3,）信任关系策略；（,4,）包过虑策略；,（,5,）认证策略； （,6,）签名策略；,（,7,）数据加密策略； （,8,）密钥分配策略；,（,9,）审计策略。,防火墙的分类,组成组件：硬件防火墙、软件防火墙、芯片防火墙,-,比较,实现平台：,windows,、,linux,、,unix,保护对象：主机防火墙、网络防火墙,网络性能：百兆防火墙、千兆防火墙,功能和技术：主机防火墙、病毒防火墙、智能防火墙,体系结构：包过滤防火墙、应用层代理、电路级网关、地址翻译防火墙、状态防火墙,：,基本原理，优缺点，比较,67,68,三种类型防火墙比较,由于软件防火墙和硬件防火墙的结构是运行于一定的操作系统之上，就决定了它的功能是可以随着客户的实际需要而做相应调整的，这一点比较灵活。从性能上来说，多添加一个扩展功能就会对防火墙处理数据的性能产生影响，添加的扩展功能越多，防火墙的性能就下降的越快。,防火墙的分类,69,软件防火墙和硬件防火墙的安全性很大程度上决定于操作系统自身的安全性。无论是,UNIX,、,Linux,还是,FreeBSD,系统，都或多或少存在漏洞，一旦被人取得了控制权，将可以随意修改防火墙上的策略和访问权限，进入内网进行任意破坏，将危及整个内网的安全。芯片级防火墙不存在这个问题，自身有很好的安全保护，所以较其他类型的防火墙安全性高一些。,防火墙的分类,70,芯片级防火墙专有的,ASIC,芯片，促使它们比其他种类的防火墙速度更快，处理能力更强。专用硬件和软件的结合提供了线速处理、深层次信息包检查、坚固的加密、复杂内容和行为扫描功能的优化等，不会在网络流量的处理上出现瓶颈。采用,PC,架构的硬件防火墙技术在百兆防火墙上取得了很大的成功，但由于,CPU,处理能力和,PCI,总线速度的制约，在实际应用中，尤其在小包情况下，这种结构的千兆防火墙远远达不到千兆的转发速度，难以满足千兆骨干网络的应用要求。目前使用芯片级防火墙技术成为实现千兆防火墙的主要选择。,防火墙的分类,71,按采用技术分类：,常见防火墙按采用的技术分类主要有包过滤防火墙、代理防火墙和状态监测防火墙，每种防火墙都有各自的优缺点。,防火墙的分类,72,包过滤操作通常在选择路由的同时对数据包进行过滤,(,通常是对从外部网络到内部网络的包进行过滤,),。包过滤这个操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。,传统的包过滤只是与规则表进行匹配。防火墙的,IP,包过滤，主要是根据一个有固定排序的规则链过滤，其中的每个规则包含着,IP,地址、端口、传输方向、分包、协议等多项内容。同时，一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员才可以修改，是静态存在的，称为静态过滤规则。,防火墙的分类,73,有些防火墙采用了基于连接状态的检查，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合进行检查，称为动态过滤规则。,包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许管理员指定希望通过的数据包，而禁止其他的数据包。,防火墙的分类,包过滤模型,包过滤实例,第一，假设处于一个,C,类网,116.111.4.0,，认为站点,202.208.5.6,上有不健康的,BBS,，所以希望阻止网络中的用户访问该点的,BBS,；再假设这个站点的,BBS,服务是通过,Telnet,方式提供的，那么需要阻止到那个站点的的出站,Telnet,服务，对于,Internet,的其他站点，允许内部网用户通过,Telnet,方式访问，但不允许其他站点以,Telnet,方式访问网络。,第二，为了收发电子邮件，允许,SMTP,出站入站服务，邮件服务器是,IP,地址为,116.111.4.1,。,第三，对于,WWW,服务，允许内部网用户访问,Internet,上任何网络和站点，但只允许一个公司的网络访问内部,WWW,服务器，内部,WWW,服务器的,IP,地址为,116.111.4.5,，因为你们是合作伙伴关系，那个公司的网络为,98.120.7.0,。,75,规则,方向,源地址,目标地址,协议,源端口,目标端口,ACK,设置,动作,A,出,116.111.4.0,202.108.5.6,TCP,1023,23,任意,拒绝,B,入,202.108.5.6,116.111.4.0,TCP,23,1023,是,任意,C,出,116.111.4.0,任意,TCP,1023,23,任意,允许,D,入,任意,116.111.4.0,TCP,23,1023,是,允许,E,出,116.111.4.1,任意,TCP,1023,25,任意,允许,F,入,任意,116.111.4.1,TCP,25,1023,是,允许,G,入,任意,116.111.4.1,TCP,1023,25,任意,允许,H,出,116.111.4.1,任意,TCP,25,1023,任意,允许,I,出,116.111.4.0,任意,TCP,1023,80,任意,允许,J,入,任意,116.111.4.0,TCP,80,1023,是,允许,K,入,98.120.7.0,116.111.4.5,TCP,1023,80,任意,允许,L,出,116.111.4.5,98.120.7.0,TCP,80,1023,任意,允许,M,双向,任意,任意,任意,任意,禁止,76,规则,A,、,B,用来阻止你的内部主机以,Telnet,服务形式联接到站,202.108.5.6,，规则,C,、,D,允许你的内部主机以,Telnet,方式访问,Internet,上的任何主机。这似乎和我们的政策发生了矛盾，但事实上并部矛盾。在前面提到过规则的次序是十分重要的，而且防火墙实施规则的特点是当防火墙找到匹配的规则后就不再向下应用其他的规则，所以当内部网主机访问站点,202.108.5.6,，并试图通过,Telnet,建立联接时，这个联接请求会被规则,A,阻塞，因为规则,A,正好与之相匹配。至于规则,B,，实际上并非毫无用处，规则,B,用来限制站点,202.108.5.6 Telnet,服务的返回包。事实上，内部主机试图建立,Telnet,联接时就会被阻塞，一般不会存在返回包，但高明的用户也可能想出办法使联接成功，那时,B,规则也会有用，总之，有些冗余对安全是有好处的。当用户以,Telnet,方式访问除,202.105.5.6,之外的其他站点时，规则,A,、,B,不匹配，所以应用,C,、,D,规则，内部主机被允许建立联接，返回包也被允许入站。,规则,E,、,F,用于允许出站的,SMTP,服务，规则,G,、,H,用于允许入站的,SMTP,服务，,SMTP,服务的端口是,25,。,I,和,J,规则用于允许出站的,WWW,服务，,K,、,L,规则用于允许网络,95.120.7.0,的主机访问你的网络,WWW,服务器。,规则,M,是默认项，它实现的准则是“没有明确允许就表示禁止”。,77,78,代理防火墙：,代理防火墙是一种较新型的防火墙技术，它分为应用层网关防火墙和电路层网关防火墙。,代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层提供访问控制。,代理防火墙记录所有应用程序的访问情况，记录和控制所有进出流量的能力是代理防火墙的主要优点之一。代理防火墙一般是运行代理服务器的主机。,防火墙的分类,79,代理的工作方式,防火墙的分类,80,应用层网关型防火墙,(,应用级代理,),应用层网关防火墙也就是传统的代理型防火墙。应用层网关型防火墙工作在,OSI,模型的应用层，且针对特定的应用层协议。它的核心技术就是代理服务器技术，它是基于软件的，通常安装在专用的服务器或工作站系统上。它适用于特定的互联网服务，如超文本传输,(HTTP),和远程文件传输,(FTP),等。应用级网关比单一的包过滤更为可靠，而且会详细地记录所有的访问状态信息。,防火墙的分类,1,应用级代理,应用级代理有两种情况，一种是内部网通过代理访问外部网。另一种情况是，外部网通过代理访问内部网。,代理使得网络管理员能够实现比包过滤路由器更严格的安全策略，它会对应用程序的数据进行校验以确保数据格式可以接受。,Telnet,代理服务,Internet,客户通过代理服务器访问内部网主机,84,电路层网关防火墙：另一种类型的代理技术称为电路层网关或,TCP,通道。在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包。,防火墙的分类,Socks,服务器,Socks,是一种非常强大的电路级网关防火墙，它只中继基于,TCP,的数据包,86,状态监测防火墙,状态,监测,（,Stateful Inspection,）,防火墙安全特性非常好，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参考。,防火墙的分类,状态包检查的逻辑流程,88,第,5,章 防火墙技术,防火墙技术概述,防火墙的分类,新一代防火墙的主要技术,防火墙体系结构,防火墙技术发展动态和趋势,防火墙的选购和使用,防火墙产品介绍,89,网络地址转换技术,(NAT),新一代防火墙利用,NAT,技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己定制的,IP,地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。网络地址转换的过程对于用户来说是透明的，不需要进行设置。,有些防火墙提供了“内部网络到外部网络”，“外部网络到内部网络”的双向的,NAT,功能。,新一代防火墙的主要技术,地址翻译可以有多种模式，主要有如下几种。,（,1,）静态翻译,（,2,）动态翻译,（,3,）端口转换,（,4,）负载平衡翻译,（,5,）网络冗余翻译,91,92,安全服务器网络,(,Security Server Network,),第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护。它将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分，又与内部网关完全隔离。这就是安全服务器网络（,SSN,）技术，对,SSN,上的主机既可单独管理，也可设置成通过,FTP,、,Telnet,等方式从内部网上管理。,新一代防火墙的主要技术,93,SSN,的方法提供的安全性要比传统的隔离区,(DMZ),方法好，因为,SSN,与外部网之间有防火墙保护，,SSN,与内部网之间也有防火墙的保护，而,DMZ,只是一种在内、外部网络网关之间存在的一种防火墙方式。一旦,SSN,受破坏，内部网络仍会处于防火墙的保护之下，而一旦,DMZ,受到破坏，内部网络便暴露于攻击之下。,新一代防火墙的主要技术,94,用户鉴别与加密,为了降低防火墙产品在,Telnet,、,FTP,等服务和远程管理上的安全风险，鉴别功能必不可少，新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段，并实现了对邮件的加密。,新一代防火墙的主要技术,95,用户定制服务,为满足特定用户的特定需求，新一代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有通用,TCP,、出站,UDP,、,FTP,以及,SMTP,等类，如果某一用户需要建立一个数据库的代理，便可利用这些支持，方便设置。,新一代防火墙的主要技术,96,审计和告警,新一代防火墙产品的审计和告警功能十分健全，日志文件包括一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、,FTP,代理、出站代理、邮件服务器和域名服务器等。,告警功能以发出邮件、声音等多种方式报警。 此外新一代防火墙还在网络诊断，数据备份与保全等方面具有特色。,新一代防火墙的主要技术,97,第,5,章 防火墙技术,防火墙技术概述,防火墙的分类,新一代防火墙的主要技术,防火墙体系结构,防火墙技术发展动态和趋势,防火墙的选购和使用,防火墙产品介绍,98,屏蔽路由器示意图,防火墙体系结构,99,双穴主机示意图,防火墙体系结构,100,屏蔽主机示意图,防火墙体系结构,101,屏蔽子网示意图,防火墙体系结构,102,103,104,在构造防火墙的实际应用中，一般很少采用单一的技术，通常采用多种技术的组合。这种组合主要取决于向用户提供什么样的服务，能接受什么等级的风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等因素。应该根据所购买防火墙软件的要求、硬件环境所能提供的支持，综合考虑选用最合适的防火墙体系结构，最大限度地发挥防火墙软件的功能，实现对信息的安全保护。,防火墙体系结构,105,106,小结,防火墙作为网络安全体系的基础和核心控制设备，是设置在被保护网络和外部网络之间的一道屏障，在网络安全中具有举足轻重的地位。,防火墙目前还处于发展阶段，还有不少不足之处需要克服，还有不少难题有待解决。不能把“安全保护”完全依赖于防火墙。,