[IT认证]网络安全4.ppt
《[IT认证]网络安全4.ppt》由会员分享,可在线阅读,更多相关《[IT认证]网络安全4.ppt(102页珍藏版)》请在三一办公上搜索。
1、第七章 网络安全防御技术-应用层的安全之一,访问控制(过滤),访问控制列表(ACL)和路由器 路由器可以对每个数据报进行处理,可以设置一些过滤规则,删除某些源地址和目的地址的包 问题:有了ACL,每个包处理时需要和ACL比较,降低效率;路由器通常不可能存日志(降低效率),但日志很重要,分析日志可以知道多少包被删除了,特定的ACL是否可以被删除。,防火墙定义 防火墙是建立在两个(多个)网络的边界上的实现安全策略和网络通信监控的系统或系统组,强制执行对内部网和外部网的访问控制。通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流,实现保护内部网络的目的。防火墙满足以下条件:内部和外部之间的
2、所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透(peneration)免疫防火墙的访问控制能力 服务控制:确定哪些服务可以被访问 方向控制:对于特定的服务,可以确定允许哪个方向能够 通过防火墙 用户控制:根据用户来控制对服务的访问 行为控制:控制一个特定的服务的行为,防火墙系统的位置,从逻辑上讲,防火墙是分离器、限制器和分析器。从物理角度看,各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备,即路由器、主计算机或者是路由器、计算机和配有特别的服务软件的多种组合。,防火墙的优点1防火墙对企业内部网实现了集中的安全管理,可以强化 网络安全策略,比
3、分散的主机管理更经济易行。2防火墙能防止非授权用户进入内部网络。3防火墙可以方便地监视网络的安全性并报警。4可以作为部署网络地址转换(Network Address Translation)的地点,利用NAT技术,可以缓解地址空 间的短缺,隐藏内部网的结构。5利用防火墙对内部网络的划分,可以实现重点网段的分 离,从而限制安全问题的扩散。6由于所有的访问都经过防火墙,防火墙是审计和记录网 络的访问和使用的最佳地方。,防火墙的缺点1为了提高安全性,限制或关闭了一些有用但存在安全缺陷的网络服务,给用户带来使用的不便。2目前防火墙对于来自网络内部的攻击还无能为力。3防火墙不能防范不经过防火墙的攻击,如
4、内部网用户通过拨号直接进入Internet。4防火墙对用户不完全透明,可能带来传输延迟、瓶颈及单点失效。防火墙也不能完全防止受病毒感染的文件或软件的传输,由于病毒的种 类繁多,如果要在防火墙完成对所有病毒代码的检查,防火墙的效率就 会降到不能忍受的程度。6.防火墙不能有效地防范数据驱动式攻击。(当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击)作为一种被动的防护手段,防火墙不能防范因特网上不断出现的新的威 胁和攻击。,防火墙的基本功能访问控制授权认证内容安全:病毒扫描、URL扫描、HTTP过滤加密路由器安全管理地址翻译均衡负载日志记帐、审计
5、报警,防火墙的配置几个概念 堡垒主机(Bastion Host):配置 了安全防范措施的网络计算机。对 外部网络暴露,同时也是内部网络 用户的主要连接点双宿主机(dual-homed host):至 少有两个网络接口的通用计算机系 统 DMZ(Demilitarized Zone,非军 事区或者停火区):在内部网络和 外部网络之间增加的一个子网,防火墙几种典型配置模式 1.双宿/多宿主机模式 单宿主堡垒主机 双宿主堡垒主机 2.屏蔽主机模式 3.屏蔽子网模式,双宿主堡垒主机模式(dual-homed Bastion Host)双宿主堡垒主机结构是在堡垒主机上插入两块网卡,由堡垒主机充当内部网与
6、Internet之间的网关,并在其上运行代理服务器软件。这样,所保护的内部网与Internet之间不能直接建立连接,必须通过堡垒主机才能通信。外部用户只能看到堡垒主机,看不到内部网。内部网的所有开放服务必须通过堡垒主机上的代理服务软件来实施。问题:一旦防火墙失效,堡垒主机就变成了丧失路由功能的路由器,有经验的入侵者可以恢复它的路由功能,从而入侵。,优点:两层保护:包过滤+应用层网关;灵活配置缺点:一旦包过滤路由器被攻破,则面临双宿主堡垒主机网关的同样安全隐患。,屏蔽主机模式(Screened Host Gateway)通过路由器把内外网隔开,外网与内网的唯一联系是堡垒主机。安全保证主要由包过滤
7、路由器实现。包过滤的结果指示堡垒主机是否开放连接。除了某些服务外,内部主机需通过堡垒主机的代理服务对外交互。,增加了一个内部包过滤路由器,由于使用了内、外两个包过滤路,形 成了一个子网态势。子网在内外网之间形成一个“隔离带”从原理上 讲,可以连接多个子网。两个路由器都与子网连接,一个位于子网与内部网之间,一个位于 子网与外部网之间。内外路由器加应用网关形成三层防护,入侵者必须通过两个路由器才 能接触到内部网。,屏蔽子网模式(Screened Subnet),子网:(参数网络)是在内外部网之间另加的一层安全保护网络层。如果入侵者成功地闯过外层保护网到达防火墙,子网就能在入侵者与内部网之间再提供一
8、层保护。如果入侵者仅仅侵入到子网的堡垒主机,他只能偷看到这层网络(子网)的信息流但看不到内部网的信息,而这层网络的信息流仅从子网往来于外部网或者从子网往来于堡垒主机。因为没有纯粹的内部信息流(内部主机间互传的重要和敏感的信息)在子网中流动,所以即使堡垒主机受到损害也不会让入侵者破坏内部网的信息流(入侵者仍然须通过内部路由器)。,堡垒主机:在子网过滤结构中,我们将堡垒主机与参数网络相连,而这台主机是外部网服务于内部网的主节点。为内部网服务的主要功能有:它接收外来的电子邮件再分发给相应的站点;它接收外来的FTP,并连到内部网的匿名FTP服务 器;它接收外来的有关内部网站点的域名服务。向外的服务功能
9、可用以下方法来实施:在内、外部路由器上建立包过滤,以便内部网的用 户可直接操作外部服务器;在主机上建立代理服务,在内部网的用户与外部的 服务器之间建立间接的连接。,内部路由器 内部路由器的主要功能是保护内部网免受来自外部网与参数网络的侵扰。内部路由器完成防火墙的大部分包过滤工作,它允许某些站点的包过滤系统认为符合安全规则的服务在内外部网之间互传。根据各站点的需要和安全规则,可允许的服务是以下这些外向服务中的若干种,如:Telnet、FTP、WAIS、Archie、Gopher或者其它服务。内部路由器可以设定,使参数网络上的堡垒主机与内部网之间传递的各种服务和内部网与外部网之间传递的各种服务不完
10、全相同。外部路由器 外部路由器既可保护参数网络又保护内部网。实际上,在外部路由器上仅做一小部分包过滤,它几乎让所有参数网络的外向请求通过,而外部路由器与内部路由器的包过滤规则是基本上相同的。外部路由器的包过滤主要是对参数网络上的主机提供保护。然而,一般情况下,因为参数网络上主机的安全主要通过主机安全机制加以保障,所以由外部路由器提供的很多保护并非必要。外部路由器真正有效的任务就是阻断来自外部网上伪造源地址进来的任何数据包。这些数据包自称是来自内部网,而其实它是来自外部网。,组合配置 构建防火墙时,很少采用单一技术,通常组合多种技术以增强安全性具体的组合主要取决于安全服务内容,安全等级,经费等因
11、素:(l)使用多堡垒主机;(2)合并内部路由器与外部路由器;(3)合并堡垒主机与外部路由器;(4)合并堡垒主机与内部路由器;(5)使用多台内部路由器;(6)使用多台外部路由器;(7)使用多个参数网络;(8)使用双重宿主主机与子网过滤。,防火墙类别及相关技术 静态包过滤 动态包过滤 应用程序网关(代理服务器)电路级网关 网络地址翻译 虚拟专用网,包过滤防火墙的物理位置,包过滤防火墙的逻辑位置(网络层),包过滤防火墙(packet filter)-IP级防火墙 包过滤防火墙工作在网络层,通常实现在路由软件中,是一个具有包过滤功能的简单路由器(第一代防火墙)过滤路由器放置在内部网络与因特网之间,内外
12、部主机之间存在IP报文的交互,即使防火墙停止工作也不影响其连通,但一旦防火墙被绕过或被击溃,内部的网络将被暴露;报文过滤仅根据IP地址和端口号,无法针对特定的用户和特定的服务请求,粒度较大 可以作为一个独立的软硬件设备出现,也可以作为其他网络设备(例如路由器)的一个功能模块,工作原理:根据流经防火墙的数据包头信息,由此判断该数据包是否符合一定的安全过滤规则,由此决定是否允许该数据包通过 判断依据:数据包协议类型:TCP包、UDP包还是ICMP包?源、目的IP地址:源、目的端口:源、目的TCP端口;源、目的UDP端口?FTP、HTTP、DNS等 IP选项:源路由、记录路由等 TCP选项:SYN、
13、ACK、FIN、RST等 其它协议选项:ICMP ECHO、ICMP ECHO REPLY等 数据包流向:in或out 数据包流经网络接口:eth0、eth1,安全过滤规则及过滤原则规则排序,按规则的排序顺序依次运用每个规则对包进行检查,如遇一个规则匹配,则检查停止。如与所有的规则不匹配,则该包被禁止通过。这里,采用了“一切未被允许的都是禁止的”过滤原则。根据该原则,防火墙应封锁所有的信息流,然后对希望提供的服务逐项开放。也可以采用“一切未被禁止的都是允许的”的原则,根据该原则防火墙应转发所有的信息流,然后逐项屏蔽可能有害的服务。灵活但安全性不如前者,过滤规则集,包过滤示例1假设网络策略安全规
14、则确定:从外部主机发来的因特网邮件在某一特定网关被接收,并且想拒绝从不信任的CREE-PHOST的主机发来的数据流 SMTP使用的网络安全策略必须翻译成包过滤规则。我们可以把网络安全规则翻译成下列中文规则:过滤器规则1:我们不相信从CREE-PHOST来的连接。过滤器规则2:我们允许与我们的邮件网关的连接。这些规则可以编成表。其中星号(*)表明它可以匹配该列的任何值。对于过滤器规则1:阻塞任何从(*)CREE-PHOST端口来的到我们任意(*)主机的任意(*)端口的连接。对于过滤器规则2:允许任意(*)外部主机从其任意(*)端口到我们的Mail-GW主机端口的连接。,对于过滤器规则3:表示了一
15、个内部主机发送SMTP邮件到外部主机端口25。如果外部站点对SMTP不使用端口25,那么SMTP发送者便不发送邮件。这些规则应用的顺序与它们在表中的顺序相同。如果一个包不与任何规则匹配,它就会遭到拒绝。表中规定:它允许任何外部机器从端口25产生一个请求。端口25应该保留SMTP。,静态包过滤特点优点:包过滤防火墙的优点是逻辑简单,价格便宜,对网络性能的影响较小,有较强的透明性。并且它的工作与序,易于安装和使用。缺点:配置基于包过滤方式的防火墙,需要对IP、TCP、UDP、ICMP等各种协议有深入的了解,否则容易出 现因配置不当带来的问题;据以过滤判别的只有网络层和传输层的有限信息,因而各种安全
16、要求不能得到充分满足;由于数据包的地址及端口号都在数据包的头部,不能彻底防止地址欺骗;允许外部客户和内部主机的直接连接;不提供用户的鉴别机制。,针对包过滤防火墙的攻击 IP地址欺骗,例如,假冒内部的IP地址 对策:在外部接口上禁止内部地址 源路由攻击,即由源指定路由 对策:禁止这样的选项 小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中 对策:丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 例如,利用ftp协议对内部进行探查,动态包过滤 又称为“Stateful Inspection”防火墙的技术 防火墙跟踪客户端口,而不是打开全部高编号端口给外部访问,因而更安全。状态
17、检测防火墙建立连接状态表,记录外出的TCP连接及相应的高编号客户端口,以验证任何进入的通信是否合法。可动态生成/删除规则 目前的状态检测技术仅可用于 TCP/IP网络。分析高层协议,应用级防火墙(应用程序网关,代理服务器)所谓代理就是一个提供替代连接并且充当服务的网关。代理也称之为应用级网关。代理服务位于内部用户(在内部的网络上)和外部服务(在因特网上)之间。代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。这些程序接受用户对因特网服务的请求(诸如文件传输FTP和远程登录Telnet等),并按照安全策略转发它们到实
18、际的服务。,应用层网关配置,特点 所有的连接都通过防火墙,防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全,但是开销比较大,优点应用网关代理的优点是易于配置,界面友好不允许内外网主机的直接连接可以提供比包过滤更详细的日 志记录,例如在一个HTTP连接 中,包过滤只能记录单个的数 据包,无法记录文件名、URL 等信息可以隐藏内部IP地址;可以给单个用户授权;可以为用户提供透明的加密机制;可以与鉴别、授权等安全手段方便的集成。,缺点 代理速度比包过滤慢 代理对用户不透明,给用户的使用带来不便,而且这种代理技术需要针对
19、每种协议设置一个不同的代理服务器。新的服务不能及时地被代理 客户软件需要修改,重新编译或者配置 有些服务要求建立直接连接,无法使用代理 比如聊天服务、或者即时消息服务 代理服务不能避免协议本身的 缺陷或者限制,选择防火墙的原则,设计和选用防火墙首先要明确哪些数据是必须保护的,这些数据的被侵入会导致什么样的后果及网络不同区域需要什么等级的安全级别。不管采用原始设计还是使用现成的防火墙产品,对于防火墙的安全标准,首先需根据安全级别确定。其次,设计或选用防火墙必须与网络接口匹配,要防止你所能想到的威胁。防火墙可以是软件或硬件模块,并能集成于网桥、网关和路由器等设备之中。1防火墙自身的安全性大多数人在
20、选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上,但往往忽略一点,防火墙也是网络上的主机设备,也可能存在安全问题。防火墙如果不能确保自身安全,则防火墙的控制功能再强,也终究不能完全保护内部网络。,2考虑特殊的需求(1)IP地址转换(IP Address Translation)进行IP地址转换有两个好处:其一是隐藏内部网络真正的IP,这可以使黑客无法直接攻击内部网络,也是要强调防火墙自身安全性问题的主要原因;另一个好处是可以让内部用户使用保留的IP,这对许多IP不足的企业是有益的。(2)双重 DNS当内部网络使用没有注册的IP地址,或是防火墙进行IP转换时,DNS也必须经
21、过转换。因为,同样的一个主机在内部的IP与给予外界的IP将会不同,有的防火墙会提供双重DNS有的则必须在不同主机上各安装一个DNS。(3)虚拟企业网络(VPN)VPN可以在防火墙与防火墙或移动的Client间对所有网络传输的内容加密,建立一个虚拟通道,让两者间感觉是在同一个网络上,可以安全且不受拘束地互相存取。,(4)病毒扫描功能大部分防火墙都可以与防病毒防火墙搭配实现病毒扫描功能。有的防火墙则可以直接集成病毒扫描功能,差别只是病毒扫描工作是由防火墙完成,或是由另一台专用的计算机完成。(5)特殊控制需求有时候企业会有特别的控制需求,如限制特定使用者才能发送E-mail,FTP只能得到档案不能上
22、传档案,限制同时上网人数、使用时间等,依需求不同而定。选择防火墙的原则(1)防火墙应该是一个整体网络的保护者(2)防火墙必须能弥补其它操作系统的不足(3)防火墙应该为使用者提供不同平台的选择(4)防火墙应能向使用者提供完善的售后服务,防火墙技术发展趋势,防火墙技术也有一些新的发展趋势。这主要可以从包过滤技 术、防火墙体系结构和防火墙系统管理三方面来体现。1、包过滤技术发展趋势(1).一些防火墙厂商把在 AAA 系统上运用的用户认证及其服务扩展到防火墙中,使 其拥有可以支持基于用户角色的安全策略功能.(2).多级过滤技术:指防火墙采用多级过滤措施,并辅以鉴别手段。在网 络层一级,过滤掉所有的源路
23、由分组和假冒的 IP 源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包;在应用网关(应用 层)一级,能利用 FTP、SMTP 等各种网关,控制和监测 Internet 提供的所用通用服务。,2.防火墙的体系结构发展趋势。随着网络应用的增加,进一步要求防火墙要能以非常高 的速率处理数据。一些防火墙制造商开发了基于 ASIC 的防火 墙和基于网络处理器的防火墙 基于网络处理器的防火墙也是基于 软件的解决方案在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专 门用于处理数据层面任务的引擎,从而减轻了 CPU 的负担,因此性能要比传统防 火墙的性能好许多。基于 A
24、SIC 的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火 墙具有更好的性能。但是纯硬件的 ASIC 防火墙缺乏可编程性,因此缺乏灵活性。理想的解决方案是增加 ASIC 芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求,3.防火墙的系统管理发展趋势。(1).首先是集中式管理,分布式和分层的安全结构是将来的趋势。集中式管理可以 降低管理成本,并保证在大型网络中安全策略的一致性。(2).强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威 胁并预防攻击的发生。(3).网络安全产品的系统化。随着网络安全技术的发展,现在有一种提法,叫做
25、“建立以防火墙为核心的网络安全体 系”。因为仅现有的防火墙技术难以满足当前网络安全需求。通过建立 一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术 各司其职,从各方面防御外来入侵。,强鉴别,网络环境安全实现鉴别更加困难,可能出现窃听和偷听.有时候可能需要相互鉴别.,一次性口令,背景:20世纪80年代,针对静态口令认证的缺陷,美国科学家Leslie Lamport首次提出利用散列函数产生一次性口令的思想。91年Bell研究中心用DES算法研制出基于一次性口令思想的挑战(质询)/应答式动态密码身份认证系统S/KEY.之后,研发出基于MD4,MD5散列算法的动态密码认
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IT认证 IT 认证 网络安全
链接地址:https://www.31ppt.com/p-4594031.html