网络对抗6安全体系结构和网络安全组建

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络攻击与防御-绪论,6-,*,安全问题出自内部漏洞，,网络防御就是堵住所有漏洞+抓住漏网黑客,第3章,安全体系结构和模型,1,网络攻击与防御-绪论,安全漏洞可能由以下因素引起：,网络物理连接,网络电磁耦合,网络设备的操作系统,网络设备的应用程序,网络中的数据库,网络用户行为,2,网络攻击与防御-绪论,网络物理连接,与外界连通就有合法者进来，要避免非法者进来,网络电磁耦合,没有物理连通，但通过电磁辐射可以接收，通过电磁干扰和耦合可以注入,网络设备的操作系统,有合法者使用，要避免非法者偷用,网络设备的应用程序,有合法者使用，要避免非法者偷用,网络中的数据库,有合法读写，要避免组合分析和非法读写,网络用户行为,3,网络攻击与防御-绪论,内联：全内部域,专线,DDN,帧中继,内部域,内部专用,内部域,相对比较安全,4,网络攻击与防御-绪论,内联：通过外部域,内部域,相对不安全,专线,DDN,帧中继,外部租用,5,网络攻击与防御-绪论,外联：内部网与外部网互连,内部域,外部域,外部域,相对更不安全,Hack,Crack,黑客,6,网络攻击与防御-绪论,要“上锁”，提前消除漏洞,要“检查”，及时发现漏洞,要“监视”，及时发现入侵者,漏洞是不可避免的,积极防御包括：,网络安全防护,网络安全评估,网络安全监测,用假目标欺骗,7,网络攻击与防御-绪论,3.1 OSI安全体系结构,安全,机制,安全,机制,安全,机制,安 全 服 务,安全威胁,网络应用,8,网络攻击与防御-绪论,1、对等实体鉴别服务,2、数据源鉴别服务,3、访问控制服务,4、连接保密服务,5、无连接保密服务,6、选择字段保密服务,7、业务流保密服务,8、可恢复连接完整性服务,9、无恢复连接完整性服务,10、选择字段连接完整性服务,11、无连接完整性服务,12、选择字段无连接完整性服务,13、带源验证的来源不可否认服务,14、带交付验证的交付不可否认服务,OSI 规定 14 种服务和 8 种机制,9,网络攻击与防御-绪论,（,1,）,加密,（,2,）,伪装业务流,（,3,）,数字签名,（,4,）,数据完整性,（5）,身份鉴别,通信对方鉴别,单方鉴别,互相鉴别,数据发方鉴别,（6）,访问控制,（7）,路由控制,（8）,第三方公证,OSI 规定 14 种服务和 8 种机制,10,网络攻击与防御-绪论,使安全机制和安全服务能够正常发挥作用；,支持安全审计和追踪；,安全管理,11,网络攻击与防御-绪论,3.2 动态自适应的安全模型,安全策略,安全防护,安全检测,安全响应,12,网络攻击与防御-绪论,3.4 六层网络安全体系,链路安全,物理安全,环境安全,设备安全,介质安全,网络级安全,信息安全,传输安全,存储安全,安全审计,应用安全,传输安全,存储安全,安全审计,用户安全,13,网络攻击与防御-绪论,3.5 基于六层体系的网络安全方案,1、物理安全保障,2、数据链路安全保障,3、网络访问安全保障,4、身份认证体系,5、漏洞扫描和安全评估,6、入侵检测和病毒防护,7、审计、追踪、取证,8、主机系统安全,9、桌面应用安全,10、应急响应和灾难恢复,14,网络攻击与防御-绪论,基于TCP/IP的安全体系结构,SSL 安全套接字层,IPsec 加密的IP,15,网络攻击与防御-绪论,物理通信网,链路层通信安全机制,IP加密解密防火墙的安全控制与过滤及,IPsec,IP 路由选择数据报,加密解密 及 网络安全控制与过滤（SSL）,TCP,UDP,商业事务,FTP,SMTP,TELNET,NFS,DNS,SNTP,安全,服务器,安全,服务器,审计与记录,1,2,3,4,5,16,网络攻击与防御-绪论,安全套接字层协议,（SSL）,安全套接字层协议是美国,Netscape,公司于1996年推出的一种著名安全协议。此协议是一个建立在,TCPIP,协议之上提供客户和服务器双方网络应用安全通讯的开放式协议。,SSL,协议建立在传送层和应用层之间，由记录协议和握手协议组成，其中记录协议在握手协议下端。,SL,记录协议主要完成分组和组合，压缩和解压缩，以及消息认证和加密等功能。加密过程如图1所示，解密过程如图2所示。,17,网络攻击与防御-绪论,安全套接字层协议（SSL）,图1 加密过程,图2 解密过程,18,网络攻击与防御-绪论,安全套接字层协议（SSL）,SSL,握手协议描述安全连接建立的过程，在客户和服务器传送应用层数据之前，完成加密算法，密钥加密密钥算法的确定，以及交换预主密钥，并最后产生相应的客户和服务器,MAC,秘密、会话加密密钥等功能，协议由下面不同的连续过程组成：,19,网络攻击与防御-绪论,要堵住所有漏洞,补充,网络的安全组建,20,网络攻击与防御-绪论,合理划分网段,网络层隔离,多用交换机少用集线器,避免共享网段,管好映射监测端口 telnet,划分VLAN,避免共享,限制广播域,管好VLAN设置 telnet,1、局域网中减少共享,21,网络攻击与防御-绪论,2、广域网的拓扑安全,局域网划分网段，MAC层还是全互通的,解决办法：构建广域网,采用设备：网桥、路由器、网关,路由器弱点：篡改路由,路由表被修改 telnet,错误的路由信息报文，RIP传播快,静态路由,OSPF较安全，错误可及时纠正,22,网络攻击与防御-绪论,外联：经防火墙互连,内部域,防火墙：,阻止无权用户出入,记录出入审计信息,Hack黑客,Crack,合法用户,网络防火墙,有权用户,无权用户,因特网,多重防火墙,23,网络攻击与防御-绪论,外联：经代理连接,内部域,Hack黑客,Proxy,有权用户,WWW,FTP,SMTP,无权用户,因特网,Proxy：应用网关,只代理设定应用,有选择地转发请求,隐藏内部地址,多级代理,24,网络攻击与防御-绪论,3、通过虚拟专用网互连,内部域,相对不安全,解决：自建专用网,VPN,专线,DDN,帧中继,外部租用,内部域,25,网络攻击与防御-绪论,公用的 Internet,虚拟专用网 VPN,(Virtual Private Network),加密信道,远程接入,IPsec,内网2,IPsec,IPsec,内网1,4、通过防火墙互连,防火墙：,阻止无权用户出入,记录出入审计信息,网络防火墙,因特网,27,网络攻击与防御-绪论,1)连接控制，控制哪些应用程序终结点之间可建立连接。例如，防火墙可控制内部的某些用户可以发起对外部WEB站点间的的连接。,2)协议控制，控制用户通过一个应用程序可以进行什么操作，例如，防火墙可以允许用户浏览一个页面，同时拒绝用户在非信任的服务器上发布数据。,3)数据控制，防火墙可以控制应用数据流的通过。如防火墙可以阻塞邮件附件中的病毒。,防火墙,28,网络攻击与防御-绪论,防火墙,基本作用,允许授权用户访问网络资源,阻止未授权用户访问网络资源,基本功能,数据转发功能,数据过滤功能,依据：,源、目的IP地址和端口号,设备：,专用硬件+软件,硬件防火墙设备,通用计算机+防火墙软件,29,网络攻击与防御-绪论,防火墙,附加功能,审计日志纪录,网址变换 NAT,内容过滤,负载均衡,入侵检测,虚拟专用网 VPN,防火墙不是铜墙铁壁 常有攻破的,30,网络攻击与防御-绪论,要堵住所有漏洞,补充,常见的安全技术,31,网络攻击与防御-绪论,1.加密编码技术,2.数字签名技术,3.散列技术 利用Hash函数加解密,4.身份鉴别技术 口令，或专门硬件,5.自动回叫技术 增加连接的隐蔽性,6.防火墙和入侵检测,7.VPN技术,安全技术,32,网络攻击与防御-绪论,加密传输：,防止传输中的信息泄密,加密存储：,防止存储中的信息泄密,数据加密,33,网络攻击与防御-绪论,数字签名,D,SK,PK,用公开密钥,核实签名,用秘密密钥,进行签名,X,发送者A,接收者B,D,SK,(X),X,E,34,网络攻击与防御-绪论,加密+数字签名,D,SKA,PKA,用公开密钥,核实签名,用秘密密钥,签名,X,发送者A,接收者B,D,SKA,(X),X,E,E,PKB,用公开密钥,加密,E,PKB,(D,SKA,(X),D,SKB,用秘密密钥,解密,D,SKA,(X),密文,35,网络攻击与防御-绪论,报文鉴别码,报,文,鉴别,算法,K,MAC,报,文,报,文,发送,鉴别,算法,K,比较,MAC,发送方,接收方,36,网络攻击与防御-绪论,