S08-网络安全防范

,41,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,网络协议,&,网络安全,S08,网络安全防范,1,主要知识点,网络安全防范技术要点,嵌入式安全防范技术,防火墙,代理,主动式安全防范技术,安全口令,VLAN,VPN,被动式安全防范技术,网页防篡改,入侵检测,安全审计,网络安全防范,Network Security Defence,针对网络安全威胁，使用各种技术和管理手段，达到防止、发现、遏制、消除网络攻击的目的，保障网络与信息系统安全,网络安全防范技术要点：,（,1,）有的放矢地选择技术，在深入需求分析的基础上有所取舍。不做简单堆砌的泥水匠，要成为用心设计的建筑师,（,2,）一项技术解决一类问题，相互结合、相互补充才能形成完善的防范体系，不能有失偏颇，应该以全局的观点，注重全面防范效果提升,（,3,）讲究策略，讲究平衡，以最小的代价获得最佳防范效果,（,4,）不断跟踪网络安全威胁与防范的最新技术动态，不断调整和更新技术，才能保持长效的安全防范能力,（,5,）关注防范技术可能造成的负面影响，因为坚固的城堡可以更好地抵挡入侵，但同时也会在一定程度上禁锢自身,网络安全防范的认识,水桶法则（短板效应）,技术措施应与非技术措施（包括物理安全、人员安全、安全管理等）紧密配合，不可或缺，不可厚此薄彼,因噎废食不可取,为了所谓的安全，不用网络或采用完全物理隔离的办法，变成一个个信息孤岛，将使网络的优势丧失殆尽,树欲静而风不止,安全防范技术再出色，也不是万无一失的，技术能力具有相对性，应当在战略上藐视网络黑暗势力，在战术上足够重视，未雨绸缪，让安全防范系统时刻处于活跃的、临战的、健康的、最佳的状态,网络安全防范技术分类,（,1,）嵌入式安全防范（,embedded defence,）,在信息交换路径上部署相应的安全防范技术,可以是具有特定功能的设备（硬件），也可以是专门设计的协议、软件,嵌入式安全防范技术包括：安全协议（或协议补丁）、虚拟专用网（,VPN,）、地址翻译（,NAT,）、访问代理（,proxy,）、网络防火墙（,firewall,）、病毒和木马查杀网关、垃圾邮件过滤等,（,2,）主动式安全防范（,active defence,）,对网络信息系统的操作层面（用户）、信息层面（内容）、通信层面（组网）等关键环节加强网络安全防范措施，主动发现安全隐患、及时进行改进调整，防患于未然,主动式安全防范技术包括：网络管理与系统管理、信息加密、数字证书、安全访问认证、虚拟子网（,VLAN,）、网络安全扫描与评估、软件安全修补等,（,3,）被动式安全防范（,passive defence,）,指两类安全防范措施：,通过部署的系统在网络安全威胁发生时能够及时发现、及时预警、及时采取措施，尽可能减少损失、防止灾难蔓延,通过对历史数据的分析，找出已经发生的攻击行为和事件、发现潜在的缺陷，以便采取针对性措施亡羊补牢,被动式安全防范不仅能够弥补嵌入式安全防范和主动式安全防范的不足和遗漏之处，而且具有动态检测的能力，是网络安全防范体系的重要组成部分,被动式安全防范技术包括入侵检测系统（,IDS,）、安全审计系统（,SAS,）、网页防篡改、实时监控系统、运行日志（,system log,）等,防火墙,FireWall,，,FW,防火墙作为一种网关（,gateway,），起到隔离内部网络和外部网络的作用，阻断来自外部网络的安全攻击,防火墙的技术优势在于其透明性，即对内部网络的组网结构、计算机设备数量和分布、网络应用类型等均不敏感，有利于安装和使用,防火墙类型,从安全防范方法上,过滤（,filtering,）、代理（,agent/proxy,）,从层次结构上,三层（,IP,）、四层（,TCP/UDP,）、七层（应用层协议）,从防范对象上,内网防火墙、病毒,/,木马防火墙、垃圾邮件防火墙,从技术实现上,硬件防火墙、软件防火墙,防火墙的过滤和代理功能,过滤和代理的共同点：,对协议报文、信息内容进行筛选，剔除不安全元素、放行安全的访问,具有不对称性，主要对来自外部网络（如,Internet,）的信息流进行严格检查，而对内部网络发起的会话，检查力度相对较弱,过滤和代理的不同点：,过滤（,filter,）,对每个通过的报文进行依次处理,是无状态的,报文间相互独立、互不影响，可以达到很高的处理速度,代理（,proxy,）,参与协议会话过程（中介）,有状态的,同一个会话（或同一个流）的报文间相互有关联性,防火墙功能,防火墙IP报文过滤操作流程,防火墙抵御TCP同步洪水攻击示例,（,1,）外网攻击者发送,SYN,，请求会话连接,（,2,）防火墙接收到,SYN,，检查,IP,地址的有效性、源地址是否内网地址等，若判断为可疑的连接请求，丢弃报文（可不予以响应，以对抗探测），结束,（,3,）防火墙响应,SYN-ACK,，启动超时计时器,防火墙只需匹配极少资源,计时器长度可以依据不同需求进行调整，适当缩短,（,4,）若计时器超时未收到,ACK,，则释放连接，结束,（,5,）防火墙若收到,ACK,，则立即向内网指定计算机（第步已缓存）发送,SYN,，当接收到,SYN-ACK,后立即响应,ACK,（,6,）,TCP,连接建立成功，之后内外网直接通信,访问控制列表,Access Control List,，,ACL,用于防火墙实现灵活的管理过滤机制,ACL,存放用于判别报文、连接与操作是否合法的相关参量，如,IP,地址、端口号等，可以动态维护、更新,ACL,类型：,黑名单（,black list,；,forbid list,）,显性指出禁止访问的项目，如某个,IP,地址（或网段）、某个,TCP/UDP,端口号,访问控制引擎对黑名单采用负逻辑（,negative logic,）判别方式，即符合条件者不通过，否则通过。,白名单（,white list,；,permission list,）,显性指出允许访问的项目,访问控制引擎对白名单采用正逻辑（,positive logic,）判别方式，即符合条件者通过，否则不通过,灰名单（,grey list,）,一种特殊,ACL,黑名单机制，可称为临时黑名单,灰名单可以由防火墙自动地、动态地进行调整，更为灵活,ACL引擎控制流程,匹配,ACL,每一行,匹配？,最后行？,允许,/,拒绝？,Y,N,N,丢弃报文,结束,Y,最后行隐式,Deny any,Deny,报文通过,Permit,双防火墙机制,实现目标：,某些内部网络需要对外提供访问服务，需要一定的安全保护，但应避免复杂性、提高访问效率,对外服务系统与内部应用系统间要有一定的互连关系，用于安全地交换数据,内网中的计算机可以访问外部网络,非军事区,De-Military Zone,LAN DMZ WAN,带,DMZ,的,FW,双防火墙应用效果,内部网络,DMZ,Internet,DB,Server,Web,Server,Email,Server,data,最高的安全保障,有效的安全保障,无安全保障,来自外部网络的,访问仅限于到达,DMZ,区域,双防火墙应用示例,防火墙评价指标,误报率（,rate of false detection,）,false positive,指正常访问或数据误遭防火墙拦截，直接造成访问失败、数据（如邮件）丢失,误报率越低越好,漏报率（,rate of missing,）,false negative,是检出率（,rate of detection,）的反面，指防火墙未能发现安全攻击的访问或数据，使漏网之鱼进入网络系统,漏报率越低越好,矛盾性,漏报率与误报率的降低存在一定的矛盾,应根据应用需求进行协调，寻找最佳平衡点,主要针对,模糊判别,代理,Proxy/Agent,计算机网络体系中的一种网关设备，用于协助网络用户完成访问任务，即用户将访问请求提交给代理，由代理完成对指定资源的访问，并把访问结果转交给用户,代理的作用：,代理主要起到类似中间人的访问隔离作用，帮助网络用户完成其不能直接实施的任务,代理可以设定缓存空间，存储网络访问的结果，以便向下一个相同的访问（可能来自不同用户）提供本地响应的、快速的服务，不占用珍贵的,Internet,接入带宽资源,对访问进行白名单式的控制，通过代理的设置，向指定的用户开放指定的应用、指定的,URL,、指定的通信流量、指定的访问时段等，使用户的访问行为得到有效的约束，也限制了外部网络用户对内部网络用户不安全的直接访问行为,代理功能示意,网络,A,网络,B,应用系统,A,应用系统,B,应用系统,C,用户,x,用户,y,用户,z,Proxy,允许访问,A|B|C,允许访问,B|C,允许访问,A,代理与防火墙/网关比较,通过代理穿越防火墙示例,一次性口令,One-Time Password,，,OTP,口令（验证码）只使用一次，每次使用后进行变化，使每次的鉴别口令都各不相同,用于防范口令猜测攻击、重放攻击,技术原理：,在用户登录过程中的口令传输时加入不确定因子（,salt,），使用户口令不以固定的明文或密文方式在网络上传输，每次传送的验证码都不相同，而系统收到验证码后可以用相同的算法验证,简单的一次性口令示例,登录验证码,=MD5(,口令,随机数,),客户端产生随机数，在发送验证码时一起传送给服务端,服务端产生随机数，在询问口令时传送给客户端（即挑战）,当前时间,口令序列,S/Key,S/KEY,口令为一个单向的前后相关的序列，由,n,个口令组成,RFC1760,定义,技术原理：,客户端的口令序列是由用户口令和服务端提供的种子（,seed,）经,MD4,单向函数加密而成,客户端再通过连续,n,次单向函数，生成,n,个顺序排列的口令验证码序列,客户端登录时，逆向使用生成的序列,当用户第,i,次登录时，服务端用单向函数计算收到的验证码，并与上次保存的第,i,1,个验证码比较，以判断用户的合法性,客户端按序使用口令序列，而服务端只需记录最新一次成功登录所用的验证码,由于口令数是有限的，用户登录,n,次后必须重新初始化口令序列，且客户端和服务端应始终保持同步,口令序列原理图,VLAN,Virtual Local Area Network,虚拟局域网,从逻辑（协议）上对网络资源和网络用户按照一定原则进行的划分，把一个物理网络划分成多个小的逻辑网络,VLAN,标准,IEEE 802.1q,VLAN,功能：,限制广播域（广播范围）,隔离子网,制定各种访问限制,可禁止来自其他,VLAN,的访问,可禁止离开,VLAN,的访问,一个计算机（用户）可同时从属于不同,VLAN,，但需分别遵循相关,VLAN,的访问限定,VLAN示例,VLAN报头格式,VLAN,协议,4B,标签头：,标签协议标识（,Tag Protocol Identifier,，,TPID,）,标签控制信息（,Tag Control Information,，,TCI,优先级字段，,3b,规范格式指示符,CFI,，,1b,VLAN,标识符,VID,，,12b,VLAN类型,（,1,）基于端口的,VLAN,根据以太网交换机的物理端口来划分,VLAN,，可以跨交换机进行,优点是定义,VLAN,成员时非常简单，只需将所有的端口都设定一遍,缺点是如果,VLAN,的某个用户离开原来端口，连接到新的端口，就必须重新定义,当采用按不同地理位置（如不同楼层、不同大楼）的不同部门划分,VLAN,时，这种方式特别简单，因为往往各部门采用单独的交换机,（,2,）基于,MAC,地址的,VLAN,根据每个主机的,MAC,地址来划分,VLAN,，也称为基于用户的,VLAN,优点就是当用户物理位置移动时，即使移动到另一个交换机，,VLAN,也不用重新配置,缺点是初始化时，所有的用户都必须进行配置，如果用户很多，配置的工作量非常大，也会导致交换机执行效率降低，在每一个交换机的端口都可能存在很多个,VLAN,组的成员，无法有效限制广播包，而且如果网卡可能经常更换，,VLAN,就必须不停地更新,（,3,）基于协议的,VLAN,通过第二层报文的协议字段，识别上层运行的网络层协议，如,IP,或,IPX,现有的系统中一般仅有,IP,，所以基于协议的,VLAN,很少有机会使用,（,4,）基于子网的,VLAN,根据报文中的,IP,地址决定报文属于哪个,VLAN,，同一个,IP,子网的所有报文属于同一个,VLAN,优点是可针对具体应用服务来组织用户，用户可在网络内部自由移动而不用重新配置,缺点是效率较低，检查每一个报文的,IP,地址很耗时，同时一个端口可能存在多个,VLAN,的成员，对广播报文无法有效抑制,VLAN,Virtual Private Network,虚拟专用网,用于在不安全的网络环境上构建安全的互连关系,VPN,技术原理：,VPN,采用安全隧道（,secure tunnel,）跨越,Internet,，采用安全协议来实现安全认证和数据加密，构造安全的数据传输通道，进而实现计算机设备或子网间的安全互连,Intranet,企业内部网,采用,VPN,构造的安全网络，是企业（或机构）生产、办公、管理等经营活动的信息化基础设施,Intranet,功能：,单一地理位置的安全内部网络,多个地理位置的子网络互连成为统一的安全内部网络,Internet,终端的安全接入,Extranet,企业外部网,基于,Internet,并采用,VPN,安全隧道技术，通过,Internet,实现不同企业,Intranet,中,各自外联设备间的安全互连,依据合作关系的变动，,Extranet,的成员可以动态调整,例如：汽车公司与其配件公司的合作，保证配件供应、售前,/,售后服务准确配合“零库存”生产计划、销售计划，既相互独立，又可在安全的前提下实现各企业在生产、仓储、物流等方面紧密关联，并灵活适应变化,VPN组网技术,VPN,安全隧道协议：,PPTP,L2TP,IPsec,SSL,VPN,组网方案：,（,1,）网络透明方式：,由用户自行配置,VPN,设备和系统，,ISP,及,Internet,只提供普通的,IP,互连服务,（,2,）用户透明方式：,由,ISP,提供,VPN,服务，用户端使用普通,IP,互连设备,网页防篡改,Webpage Tamper-Proof,专门设计用于防止网站网页被篡改行为，一旦发现文件有任何修改的迹象，立即予以恢复,网页防篡改本质上是一种文件保护措施,（,1,）所有文件更新并发布时，采用数字签名技术，当文件因访问需要而被调用时，使用数字签名检查是否有改变,（,2,）监测用户,URL,，防止注入式攻击,（,3,）定时轮询检查所有已发布的文件的完整性，并检查是否有未知的新增文件,（,4,）检测,Web,服务器运行情况，包括负载情况、带宽占用情况、活跃进程以及系统操作日志，以及时发现异常状况,网页防篡改系统部署,独立系统方案,部署于网站内容发布服务器与网站,Web,服务器（集群）之间,附属系统方案,作为内容发布服务器应用系统的一部分,IDS,Intrusion Detection System,入侵检测系统,用于在内部网络上探测和发现网络入侵活动的系统,基于可适应网络安全技术,P2DR,（,Policy Protection Detection Response,）安全模型,IDS,功能：,深入解析入侵事件、入侵手段及被入侵目标的漏洞,对可能的入侵现象进行及时发现和报告,与其他网络安全设备联动，实施拦截,IDS,类型：,基于主机的,IDS,基于网络的,IDS,IDS体系结构,探针（,probe,）,在网络信息系统中部署的软件或硬件，用于实时采集信息,对于不适合安装探针的设备，可采用智能代理（,agent,）,多台设备可合用一个探针,IDS,控制台（,console,）或管理中心,探针采集的各种操作信息，特别是网络访问的有关信息，如源与目的,IP,地址、时间、用户账号、操作序列、访问资源、流量等，汇总到控制台,控制台经过数据分析，可以得到网络访问的行为模式，并进行分析判定，发现入侵行为,IDS通用模型,IDS分析方法,（,1,）模式发现技术,假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法发现,模式发现的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来,模式发现的优点是误报少，局限是它只能发现已知的攻击，对未知的攻击无能为力,（,2,）异常发现技术,假定所有入侵行为都是与正常行为有差异的，如果建立系统正常行为的轨迹，理论上可以把所有与正常轨迹不同的系统状态视为可疑企图,对于异常阈值与特征的选择是异常发现技术的关键，例如，通过流量统计分析将异常时间的异常网络流量视为可疑,异常发现技术的局限是并非所有的入侵都表现为异常，甚至可能被攻击者“训练”而规避,SA,Security Audit,安全审计,对日志、系统文件等大量数据进行分析，除了采用模式匹配方法外，还可以采用数理统计分析、数据完整性分析等技术手段,SA,与,IDS,相比不同点在于：,SA,以分析静态数据为主,SA,以“事后”分析为主,SA,优势：,可以进行海量信息的分析,数据分析也能更为深入和细致,能够进行回顾性分析，使用最新的分析模型对原有技术条件下曾判别为干净的记录重新进行安全隐患挖掘,攻击陷阱,Attacking Trap,由,IDS,和,SA,系统部署的特殊设备，用于吸引安全攻击,作用：,诱使网络安全攻击进入预设的目标,转移攻击者注意力，防止真正的数据被窃取或破坏,通过特别预设的监控程序及时发现攻击行为，并进一步跟踪和寻找攻击源,方法：,部署看上去比其他主机更像核心服务器的设备,开设具有通用的管理员账户名称的虚假管理员账户,存放显得很有价值的杜撰用户信息列表文件或数据库等,