网络安全和防火墙讲解.ppt

网络安全和防火墙 CIW认证的网络安全分析师课程讲师 （CI） 刘强 ———— CIW网络安全认证体系 Instructor Security Analyst Security Professional Foundation MCSE CCNA/CCNP 时间表 ·Day 1 -什么是安全? -安全要素 -应用加密 -攻击类型分析 -通用安全要素 时间表 ·Day 2 -协议层安全 -保护资源 -防火墙技术原理与应用 -防火墙设计与规划 -检测并迷惑黑客 -事件响应 Lesson 1: 什么是安全? 目标 ü安全的定义 ü网络安全的需求 ü标识需要保护的资源 ü标识常见的安全威胁类型 什么是安全? ·网络安全 -识别并消除威胁和攻击的能力 -是一个持续的过程 ·涉及Internet的安全 黑客的行为统计 ·CERT(计算机安全紧急响应中心)统计 ·近期，黑客活动频率上升势头猛、破坏所造成 的经济损失逐渐加大 ·大多数的公司遭受攻击的情况仍然频繁发生 风险何处来? ·很多的站点对外提供黑客工具 -教授如何使用黑客工具 -扫描网络决定攻击目标 -导致网络服务器的崩溃 -破坏网络设备和功能 -突破验证和加密防护 -( )一个建议访问的网址 百分百安全的神话 ·没有绝对的安全 ·安全即寻求平衡 -使用有效的方案但不能加重合法用户的访问 负担 订制一个有效的安全矩阵 ·安全矩阵 -使用所有的安全设备和组件来保护一个公司 的网络安全. ·有效的安全系统规则 -允许访问控制 -方便用户使用 -适当的经济开销 -可扩展性和可升级性 -报警和日志分析能力 你将尝试保护什么？ ·用户终端 -被雇员使用的终端计算机 -威胁 : 病毒,特洛伊木马, Active X控件,Java Applet ·网络资源 -路由器,交换机,配线室 -威胁: IP欺骗,系统窃听 ·服务器资源 -DNS,WEB, Email, FTP 服务器等 -威胁: 未验证侵入, 拒绝服务, 特洛伊木马 ·信息数据资源 -人力资源和电子商务数据库 -威胁: 获得商业秘密和竞争者资料数据 谁是安全威胁者? ·黑客的分类 -偶然的攻击者 -坚定的攻击者 -商业间谍 安全标准 ·ISO 7498-2 安全体系 ·安全服务 -认证 -访问控制 -数据的保密性 -数据的完整性 -不可否认性 ·安全机制 -特殊的安全机制 ( 一次性口令系统和Kerberos认证等 -通用的安全机制 Lesson1 总结 ·有效的安全矩阵结构 ·你尝试保护的资源 ·三种类型的黑客 ·安全标准 Lesson 2: 安全要素 目标 ü安全有效的安全策略构成要素 ü标识用户认证方法 ü解释访问控制方法的需求 ü描述 ACL 和 ECL ü罗列三种主要的网络加密类型 ü解释审核的需求 安全基本要素 Corporate Security Policy User Authentication 安全策略 ·成功的安全策略的要素 ·建立有效的安全策略 -系统资源分类(level1,level2,level3) -区分不同资源 -定义风险指数 -定义可接受和不可接受的行为 -定义资源安全防护的方法 -定义安全教育问题 -决定谁管理哪部分策略 加密 ·加密种类 -对称加密、非对称加密和哈希加密 ·加密是如何实现的? -数据机密性（数字信封） -数据完整性(哈希) -验证(数字签名) -怒棵否认性 (数字签名) ·决定加密强度的三大要素: -算法的强壮性 -密钥的保密性 -密钥的长度 - (书2-16) : 密钥破解时间表 认证 ·认证方法 -what you know(密码认证) -what you have(智能卡、数字证书) -who you are(指纹和视网膜认证) -where you are(rlogin,rsh时的源地址) 特殊的认证技术 ·Kerberos(RFC 1519) ·One-time passwords(RFC 1938) 访问控制 ·访问控制列表(ACL) ·访问控制选项(ECL) ·练习 书2-27 审核 ·被动审核—非实时性审核 ·主动审核 -结束一个会话 -阻止访问某一特殊主机 -追踪非法行为 安全的反面因素 ·增加访问系统和使用系统的复杂性 ·减缓系统的响应时间 Lesson2 总结 ·安全策略 ·加密类型 ·认证技术 ·审核技术 Lesson 3: 应用加密 目标 ü使用公钥技术创建信任关系 ü对称加密技术、非对称加密技术和哈希加密技术 原理 ü在Windows2000和Linux中部署PGP 创建信任关系 ·对称、非对称和哈希加密 ·公钥加密技术模型 ·分发密钥 -手工分发: S/MIMI , PGP -自动分发: SSL, IPSec 对称加密模型 对称加密技术 ·对称加密算法 -DES(数据加密标准) -Triple DES - RSA 公司的对称算法 ·RC2 and RC4(最为经常使用的算法) ·RC5 ·RC6 ·Lotus Notes,Oracle,SQL 使用 RC4 -IDEA -Blowfish(448位密钥) and Twofish -Skipjack -MARS -Rijndael and Serpen 非对称加密模型 非对称加密技术 ·非对称加密产品 -RSA -DSA(Digital Signature Algorithm) -Diffie-Hellman ·Key-exchange protocol 哈希加密 ·定义 -将数据转换为不可逆的数据形式 ·特点 -单向 -变长输入，定长输出 ·哈希算法 -MD2,MD4 and MD5 (Message Digest N) ·创建 单向的消息摘要 -Secure hash algorithm: ·SHA(160位) 应用加密过程 ·对称加密、非对称加密和哈希加密的联合 ·E-mail 加密 -PGP, S/MIME ·文件加密 -Md5sum ·Web 服务器加密 -Secure HTTP - SSL (Secure Sockets Layer) 应用加密过程 ·网络层加密 -VPN (虚拟专用网络) : PPTP ·IPSec -AH (验证头) -ESP (加密安全负荷) -SA (安全联合) -IKE (Internet 密钥交换) 公钥基础架构(PKI) ·PKI 是基于X.509 标准的 ·授权机构(CA) ·CA 颁发的证书 Use of a Certificate to Encrypt Use of a Certificate to Decrypt Lesson 4: 攻击类型 课前练习 ·书3-22 ·书3-30 ·书3-50 ·书3-61 目标 ü描述常见的攻击烈性 ü描述特殊的攻击类型 前门和蛮力攻击 ·字典攻击 -用户自定义化的蛮力攻击 -John the Ripper形式的攻击 系统漏洞和后门攻击 ·一个程序设计中的漏洞将会导致严重的后果 -缓冲区溢出 ·后门是一个非法打开的访问途径 -Root kits攻击 社会工程和非直接性攻击 ·命令索要或请求索要密码 ·欺骗性的电子邮件 ·拒绝服务攻击 ·病毒、系统BUG和服务漏洞 社会工程和非直接性攻击 ·欺骗 -IP 欺骗, ARP 欺骗, DNS中毒 ·Trojans—特洛伊木马 ·信息泄露 ·会话劫持和中间人攻击 Lesson 5: 通用安全准则 目标 ü描述有效实现网络安全通用准则 ü使用通用安全准则创建一个系统安全策略 10 个通用准则 ·偏执狂 ·必须有一个安全策略 ·没有任何系统或技术是孤立的 ·最小化遭受攻击后的破坏程度 ·在公司范围内强制执行策略 10 个通用准则 ·为员工提供培训 -终端用户、网络管理员和行政管理人员 ·使用综合化的安全策略 ·安全地放置网络设备 ·识别安全商业问题 ·考虑物理安全问题 Lesson 6: 协议层安全 目标 ü标识不同的协议层的潜在威胁 TCP/IP协议栈和OSI参考模型 Application Presentation Session Transport Network Data link Physical 用户程序 TCP&UDP IP,ICMP Physical Applications 操作系统或IP栈 外围和网络设备 物理层 ·组织信号在网络上发送（比特流、编码方式） ·威胁: 窃听和嗅探 ·保护: 加密, 数据标签, 波扰器 网络层 ·提供寻址和路由的功能 ·IP,ICMP,IGMP,ARP,RARP… ·Internet Protocol (IP) -32-bit ,唯一性 ,分为网络位和主机位 -头长(20bytes): 信息和控制区域 -威胁: Smurf 拒绝服务攻击 ·Internet Control Message Protocol (ICMP) -差错检测和信息控制 -威胁:TFN泛洪, -保护: 防火墙和系统补丁 传输层 ·控制主机见的信息传送 ·TCP, UDP 协议 ·TCP 标志位: SYN, FIN, ACK（FTP,HTTP.） -建立连接的过程 -断立连接的过程 ·TCP 威胁: SYN 泛洪 ·UDP :传输协议(用于视频、声频、DNS查询、TFTP等) ·端口号(IANA定义) -Web(80),FTP(20,21),DNS(53), …. -Well-known(reserved) ports : 1024 -Registered ports : ≥ 1024 应用层 ·最难保护的层次 ·Simple Mail Transfer Protocol(SMTP) -威胁: ·垃圾邮件 ·邮件中的病毒和木马程序 ·用户名的泄露 -保护: ·邮件病毒过滤网关 ·使用安全的SMTP协议 ·对用户进行教育 应用层 ·File Transfer Protocol(FTP) -威胁: ·通过上传添满所有的磁盘空间 ·拷贝盗窃来的软件 ·用户名和密码使用明文传输 -保护: ·仅允许匿名连接 ·放置FTP数据在一个单独的分区上 ·Hypertext Transfer Protocol(HTTP) -威胁: ·恶意的active X 和Java applet ·扩展的应用程序(Java,CGI,ASP) Application Layer(2) ·Telnet -威胁: 明文传输所有数据 ·Simple Network Management Protocol (SNMP) -仅使用团体名称进行验证 -明文传输所有信息 -威胁: ·团体名猜测 ·信息泄露 ·Domain Name System(DNS) -威胁: ·区域文件传输 ·DNS中毒技术 -保护: ·防火墙阻止对外的区域传送 ·规划只允许将区域文件传诵给特定主机 Lesson 7: 保护资源 课前练习 ·书6-17 ·书6-19 ·书6-20 目标 ü始终应用安全策略 ü使用C2以上级别的系统 ü保护 TCP/IP 服务, 包括HTTP 和 TCP ü描述测试的重要性并且评估系统和服务 实现安全保护 ·五个步骤 (书7-3) -区别资源和需求 -定义安全策略 -保护每一个资源和服务 -日志记录、测试和评估 -重复这个过程，保护最新的安全 资源和服务 ·通过各种技术来保护资源和服务 -保护数据不被嗅探 -适时调整方法和技术 -通过更改默认设置来保护服务 -移除没必要的服务 保护TCP/IP服务 ·最通用的Internet服务: HTTP, FTP, SMTP 服务器 ·Web服务器的安全 ·在操作系统上为硬盘分区. -把操作系统安全放在第一个分区 -把Web服务放在第二个分区 -把主目录放在第三个分区 ·通用网关接口(CGI) : -威胁: ·信息泄露 ·间接执行系统命令 -方案: 书写安全的 CGI脚本 保护TCP/IP服务 ·File Transfer Protocol servers(FTP) (书7-。