网络应用安全技术.ppt

网络应用安全本章主要介绍：本章主要介绍：1. 因特网安全概述因特网安全概述2. 反垃圾邮件技术反垃圾邮件技术 3. 网页防篡改技术网页防篡改技术 4. 反网络钓鱼技术反网络钓鱼技术 5. 内容过滤技术内容过滤技术  因特网安全概述因特网安全概述●因特网上的安全隐患因特网上的安全隐患●因特网的脆弱性及其根源因特网的脆弱性及其根源反垃圾邮件技术反垃圾邮件技术●垃圾邮件垃圾邮件:(1)收件人无法拒收的电子邮件收件人无法拒收的电子邮件;(2)收件人事先没有提出要求或同意接收的宣传性质的邮件收件人事先没有提出要求或同意接收的宣传性质的邮件;(3)含有不良或有害信息的邮件含有不良或有害信息的邮件;(4)隐藏发件人身份、地址、标题等信息的邮件隐藏发件人身份、地址、标题等信息的邮件;(5)含有虚假的信息源、发件人、路由等信息的电子邮件含有虚假的信息源、发件人、路由等信息的电子邮件; 反垃圾邮件技术反垃圾邮件技术●垃圾邮件的根源垃圾邮件的根源: SMTP协议邮件交换流程：协议邮件交换流程：n发送方发送方(S):HELO : user1@ n接收方接收方(R): 250 OKnS: MAIL FROM: user1@ nR: 250 OKnS: RCPT TO: user2@ nR: 250 OKnS: DATAnR: 354 Start mail input; end with .nS: This is a test.nS: .nR: 250 OK 反垃圾邮件技术反垃圾邮件技术●邮件过滤技术邮件过滤技术:(1)黑名单黑名单(2)白名单白名单(3)简单的关键字过滤简单的关键字过滤(4)简单的简单的DNS测试测试(5)实时黑名单实时黑名单(6)指纹识别技术指纹识别技术(7)基于规则的过滤技术基于规则的过滤技术(8)贝叶斯过滤技术贝叶斯过滤技术(9)分布式适应性黑名单分布式适应性黑名单 反垃圾邮件技术反垃圾邮件技术●SMTP协议的改进协议的改进:(1)反向查询反向查询(2)SenderID检查技术检查技术(3)DKIM技术技术(4)FairUCE技术技术(5)密码技术密码技术 反垃圾邮件技术反垃圾邮件技术●邮件服务器的安全管理邮件服务器的安全管理:(1)SMTP身份认证身份认证(2) 过滤过滤(3)安全审计安全审计 反垃圾邮件技术反垃圾邮件技术●邮件客户端的安全管理邮件客户端的安全管理:(1)邮件客户端的选择邮件客户端的选择(2)邮件客户端的使用邮件客户端的使用 网页防篡改技术n网页篡改技术n利用木马程序n通过窃听或暴力破解获得管理员权限n病毒n利用管理漏洞网页防篡改技术n网页防篡改技术n阻止黑客侵入1.加强操作系统安全性2.限制管理员权限3.防止恶意HTTP请求n阻止黑客侵入后篡改1.轮询检测2.时间触发技术3.核心内嵌技术网络防篡改技术n网页防篡改产品网络反钓鱼技术n网络钓鱼技术特点1.迷惑性2.目标性3.短暂性4.动态性网络反钓鱼技术n网络钓鱼常用手段1.利用垃圾邮件和社会工程2.利用假冒网上银行、网上证券网站3.利用虚假电子商务网站4.利用计算机病毒网络反钓鱼技术n网络钓鱼的应对措施服务器端： 1.提高用户安全意识 2.及时处理用户反馈，积极打击假冒网站等违法行为 3.采用技术手段增加网络钓鱼的难度 4.建立动态安全体系，防止服务器被攻击者利用客户端： 1.不要点击电子邮件中的链接 2.使用无效认证信息登录可疑站点 3.妥善选择和保管密码 4.防范黑客或病毒入侵计算机 5.积极进行举报内容过滤技术n内容过滤n过滤互联网请求n过滤流入的内容n过滤流出的内容n内容过滤的目的n阻止不良信息n规范用户行为n防止敏感数据泄露n遏制垃圾邮件n减少病毒危害 内容过滤技术内容过滤常用技术n基于源的过滤技术nDNS过滤nIP包过滤nURL过滤n基于内容的过滤n内容分级审查n关键字过滤n启发式内容过滤n机器学习技术 Web上威胁的比较Web安全策略制定原则1．基本原则每个Web站点都应有一个安全策略，在制定安全策略之前，首先应当先做威胁分析：（1）有多少外部入口点存在，能想象到什么威胁？（2）威胁来自网络内部还是网络外部？威胁来自黑客还是有知识的入侵者？（3）入侵者将访问哪些数据库、表、目录或信息？（4）威胁是网络内部的非授权使用还是移动数据？（5）数据被破坏还是受到了攻击，或是网络内外非授权的访问、地址欺骗、IP欺骗、协议欺骗等等？Web安全策略制定原则2．服务器记录原则大多数Web服务器记录它们收到的每一次联接和访问。

这个记录通常包括IP地址和主机名如果站点采取任何形式的验证系统，服务器也会记录用户名如果用户在逗留期间填写任何表格，该表格下所有变量的值都会被记录在案请求的状态、传递数据的大小、用户E-mail地址等都会被记录下来一些浏览器和服务器一样，甚至也能提供如有关使用中的浏览器、URL、客户从哪里来以及用户的E-mail地址等信息这些记录对于分析服务器的性能，发现和跟踪黑客袭击是有用的 Web安全策略制定原则n●web与电子商务的安全关系与电子商务的安全关系 ◆◆对对web服务器的安全威胁服务器的安全威胁 ◆◆对对web浏览客户机的安全威胁浏览客户机的安全威胁 ◆◆对服务器和客户机之间通信信道的安全威胁对服务器和客户机之间通信信道的安全威胁配置Web服务器的安全特性SSL的应用配置Web服务器的安全特性名称名称描述描述服务器端口号服务器端口号https基于基于SSL的的http协议协议443ssmtp基于基于SSL的的SMTP协议协议465snntp基于基于SSL的的NNTP协议协议563sldap基于基于SSL的的LDAP协议协议636spop3基于基于SSL的的POP3协议协议995ftp-data基于基于SSL的的ftp数据传输数据传输889ftps基于基于SSL的的ftp控制控制990imaps基于基于SSL的的IMAP4协议协议991telnets基于基于SSL的的telnet协议协议992ircs基于基于SSL的的IRC协议协议993基于基于SSL的应用层协议端口的应用层协议端口配置Web服务器的安全特性数字证书及SSL的应用n证书服务n证书申请n证书应用监视控制Web站点出入情况•为了防止和追踪黑客闯入和内部滥用，需要对Web站点上的出入情况进行监视控制。

1.监控请求•服务器日常受访次数是多少？受访次数增加了吗？•用户从哪里连接的？•一周中哪天最忙？一天中何时最忙？•服务器上哪类信息被访问？哪些页面最受欢迎？每个目录下有多少用户访问？•访问站点的是哪些浏览器？与站点对话的是哪种操作系统？•更多的选择哪种提交方式？2.测算访问次数n确定站点访问次数描述了站点上文件下载的平均数目n确定站点访问者数目显然，将访问次数与主页文件联系在一起时，该数字接近于某个时期内访问者数目，但也不是百分之百的准确其它服务技术DNS服务的安全性服务的安全性nDDoS隐患 缺省设置: 一个域名服务器允许远程主机向它查询其他域(它本身并不管理这些域)的域名，即允许递归查询.查询过程:其它服务技术利用递归查询实施利用递归查询实施DDoS攻击攻击:其它服务技术n建议建议:禁止来自其它主机的递归查询，只允许从信任主机或网络禁止来自其它主机的递归查询，只允许从信任主机或网络查询，避免成为攻击的工具查询，避免成为攻击的工具nnamed.conf：acl "trusted" {192.168.0.0/24,192.168.0.0/16 }; options { directory "/var/named"; pid-file "named.pid"; recursion yes; allow-recursion { trusted; }; 允许trusted的ip集合进行递归查询； allow-transfer { trusted; }; 允许trusted的ip集合进行域名查询；};其它服务技术FTP服务的安全性服务的安全性n帐户管理(匿名)n权限管理(下载/上传)n主动模式/被动模式与防火墙规则 ●主动：客户端从一个任意的非特权端口N(N>=1024)连接到FTP服务器的命令端口21; 客户端开始监听端口N1，并发送FTP命令“port N1”到FTP服务器。

服务器从它自己的数据端口(20)连接到客户端指定的数据端口N1 ●被动：开启一个FTP连接时，客户端打开两个任意的非特权本地端口(N>=1024和N1)第一个端口连接服务器的21端口，但与主动方式的FTP不同，客户端不会提交PORT命令并允许服务器来回连它的数据端口，而是提交PASV命令这样做的结果是服务器会开启一个任意的非特权端口(P>=1024)，并发送PORT P命令给客户端然后客户端发起从本地端口N1到服务器的端口P的连接用来传送数据其它服务技术telnet服务的安全性服务的安全性n用途n安全隐患(监听演示)nSSH 其它服务技术Ipv6及其安全性及其安全性1.ipv6的特点的特点2.Ipv6的部署情况的部署情况3.Ipv6的安全特性的安全特性 。