系统与网络安全技术培训课件.pptx

LOGO第第6讲讲 系统与网络平安技术三系统与网络平安技术三平安防护技术北京邮电大学计算机学院郭燕慧LOGO本讲提纲本讲提纲网络防护技术防火墙VPN入侵检测/入侵防御平安网关终端防护技术云平安技术桌面平安管理技术LOGO一、一、 网络防护技术网络防护技术防火墙VPN入侵检测/入侵防御平安网关LOGO1防火墙技术防火墙技术防火墙概述防火墙的分类防火墙的体系结构防火墙的局限性LOGO1.1 防火墙概述防火墙概述防火墙概念WilliamCheswick和SteveBeilovin1994：防火墙是放置在两个网络之间的一组组件，这组组件共同具有以下性质：只允许本地平安策略授权的通信信息通过双向通信信息必须通过防火墙防火墙本身不会影响信息的流通防火墙是位于两个信任程度不同的网络之间如企业内部网络和Internet之间的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的平安策略，防止对重要信息资源的非法存取和访问以到达保护系统平安的目的LOGO1.1 防火墙概述防火墙概述防火墙的功能防火墙的功能集中管理内容控制访问控制日志流量控制LOGO1.2 防火墙的分类防火墙的分类包过滤防火墙应用网关状态检测防火墙电路级网关LOGO1.2.1 包过滤防火墙包过滤防火墙包过滤防火墙是在网络层中根据数据包中包头信息有选择地实施允许通过或阻断即基于防火墙内事先设定的过滤规那么，检查数据包的头部，根据以下因素确定是否允许数据包通过：源IP地址目的IP地址源端口目的端口协议类型ACK字段在IP/TCP层实现LOGO关键技术关键技术数据包过滤依据事先设定的过滤规那么，对所接收的每个数据包做允许拒绝的决定。

数据包过滤优点：速度快，性能高对用户透明数据包过滤缺点：维护比较困难(需要对TCP/IP了解平安性低IP欺骗等不提供有用的日志，或根本就不提供不防范数据驱动型攻击不能根据状态信息进行控制不能处理网络层以上的信息无法对网络上流动的信息提供全面的控制互连的物理介质互连的物理介质应用层应用层表示层表示层会话层会话层传输层传输层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理物理层层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层LOGO1.2.2 应用级网关应用级网关 建立在网络应用层，针对特别的应用协议进行数据过滤，并且能够对数据包进行分析LOGO关键技术关键技术应用层代理网关理解应用协议，可以实施更细粒度的访问控网关理解应用协议，可以实施更细粒度的访问控制制对每一类应用，都需要一个专门的代理对每一类应用，都需要一个专门的代理灵活性不够灵活性不够客客 户户网网 关关效劳器效劳器发送请求发送请求转发请求转发请求请求响应请求响应转发响应转发响应LOGO1.2.3 状态检测防火墙状态检测防火墙状态检测防火墙工作在4、5层之上。

状态检测防火墙能够实现连接的跟踪功能，比方对于一些复杂协议，除了使用一个公开的端口进性通信外，在通信过程中还会动态建立自连接进行数据传输状态检测防火墙能够分析主动连接中的内容信息，识别出缩写上的自连接的端口而在防火墙上将其动态翻开LOGO1.2.4 电路级网关电路级网关电路级网关工作在会话层，在两个主机首次建立TCP连接时建立电子屏障监视两主机建立连接时的握手信息是否符合逻辑，以后就是透明传输LOGO1.3 防火墙的体系结构防火墙的体系结构双重宿主主机体系结构被屏蔽主机体系结构被屏蔽子网体系结构LOGO1.3.1 双重宿主主机体系结构双重宿主主机体系结构双重宿主主机至少有两个网络接口，外部网络能够与双重宿主主机通信，内部网络也能够与双重宿主主机通信，但是内部网络和外部网络之间的通信必须经过双重宿主主机的过滤和控制LOGO关键技术关键技术NATNetworkAddressTranslation网络地址转就是在防火墙上装一个合法IP地址集，然后当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户；同时，对于内部的某些效劳器如Web效劳器，网络地址转换器允许为其分配一个固定的合法地址。

地址翻译主要用在两个方面：网络管理员希望隐藏内部网络的IP地址这样互联网上的主机无法判断内部网络的情况内部网络的IP地址是无效的IP地址这种情况主要是因为现在的IP地址不够用，要申请到足够多的合法IP地址很难办到，因此需要翻译IP地址LOGO源IP目的IP10.0.0.108202.112.108.50源IP目的IP202.112.108.3202.112.108.50源IP目的IP202.112.108.50202.112.108.3源IP目的IP202.112.108.5010.0.0.108防火墙网关LOGO1.3.2 被屏蔽主机体系结构被屏蔽主机体系结构被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的效劳堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁任何外部的系统试图访问内部的系统或效劳将必须连接到这台堡垒主机上LOGO1.3.3 被屏蔽子网体系结构被屏蔽子网体系结构被屏蔽子网体系结构的最简单的形式为：两个屏蔽路由器，每一个都连接到周边网一个位于周边网与内部网络之间，另一个位于周边网与外部网络通常为Internet之间这样就在内部网络与外部网络之间形成了一个“隔离带。

LOGO1.4 防火墙的局限性防火墙的局限性防火墙不能防范不经防火墙的攻击防火墙不能防止感染了病毒的软件传播防火墙不能防范内部攻击端到端加密可以绕开防火墙防火墙不能提供细粒度的访问控制防火墙的局限性防火墙的局限性防火墙的局限性防火墙的局限性防火墙的局限性防火墙的局限性LOGO2 VPN概述概述VPN的分类的分类IPSec协议协议SSL协议协议LOGO2.1 VPN概述概述VPN是虚拟专用网(VirtualPrivateNetwork)的缩写是指不同地点的网络通过公用网络连接成逻辑上的虚拟子网VPN具有以下优点：降低本钱易于扩展灵活性LOGOLOGO2.1 VPN概述概述访问控制完整性机密性认证密钥管理VPN的安全需求的安全需求LOGO2.2 VPN的分类的分类按用途分类：远程访问VPN内联网VPN外联网VPN按照隧道协议分类：PPTPL2FL2TPIPSecSSLLOGO2.2 VPN的分类的分类PPTPL2FL2TPIPSecSSL/TLS层2223应用/传输加密基于PPP、MPPE基于PPP、MPPEPPP加密，MPPEDES、3DESAES、IDEADES、3DESAES、IDEA认证基于PPP基于PPP基于PPP数字证书、预共享密钥数字证书、预共享密钥数据的完整性无无无MD5、SHA-1MD5、SHA-1密钥管理无无无IKE多重通信协议支持否是是否（仅IP）是主要支持的VPN类型用户到网关用户到网关用户到网关用户到网关、网关到网关用户到网关RFC参考RFC2637RFC2341RFC2661RFC2401-2409RFC2246LOGO2.3 IPSec协议协议IPSec提供了一套平安算法和总体框架，允许一对通信实体利用其中的一个算法为通信提供平安性。

平安效劳集提供包括访问控制、数据完整性、数据源认证、抗重放(replay)保护和数据保密性在内的效劳基于IP层提供对IP及其上层协议的保护例如，TCP，UDP，ICMP等等IPSec协议可以在主机和网关如路由器、防火墙上进行配置，对主机与主机间、平安网关与平安网关间、平安网关与主机间的路径进行平安保护LOGOIPSec的体系结构的体系结构LOGO2.3 IPSec概述概述AH提供无连接的数据完整性认证hash校验、数据源身份认证带密钥的hmac和防重防攻击AH头中的序列号ESP比AH多了两种功能，数据包加密和数据流加密数据包加密可以加密整个IP包，也可以只加密IP包的载荷，一般用于计算机端；数据流加密用于路由器，源端路由把整个IP包加密后传输，目的端路由解密后转发AH和ESP可以单独/组合使用LOGO2.3 IPSec概述概述IKE负责密钥管理和策略协商，定义了通信实体之间进行身份认证、协商加密算法和生成会话密钥的方法协商结果保存在SA中解释域DOI为使用IKE进行协商SA的协议统一分配标识符LOGO2.3 IPSec概述概述IPSec有两种运行模式：传输模式和隧道模式AH和ESP都支持两种使用模式。

传输模式只保护IP载荷，可能是TCP/UDP/ICMP，IP头没有保护隧道模式保护的内容是整个IP包，隧道模式为IP协议提供平安保护通常IPSec的双方只要有一方是网关或者路由，就必须使用隧道模式路由器需要将要保护的原始IP包看成一个整体，在前面添加AH或者ESP头，再添加新的IP头，组成新的IP包之后再转发出去LOGO2.3.1 IPSec概述概述原始IP数据包外部IP头IPSec头数据TCP头IP头IP头IPSec头数据TCP头IP头TCP头数据传输模式隧道模式IP 数据包对比 LOGO2.4 SSL协议协议SSL根本概念协议的设计目标：为两个通讯个体之间提供保密性和完整性(身份认证)；互操作性、可扩展性、相对效率为上层协议提的供平安性：保密性、身份认证和数据完整性SSL连接connection)一个连接是一个提供一种适宜类型效劳的传输OSI分层的定义SSL的连接是点对点的关系连接是暂时的，每一个连接和一个会话关联SSL会话session一个SSL会话是在客户与效劳器之间的一个关联会话由HandshakeProtocol创立会话定义了一组可供多个连接共享的加密平安参数会话用以防止为每一个连接提供新的平安参数所需昂贵的谈判代价。

LOGOSSL协议体系：协议分为两层底层：TLS记录协议上层：TLS握手协议、TLS密码变化协议、TLS警告协议LOGOTLS记录协议建立在可靠的传输协议(如TCP)之上，为更高层提供根本平安效劳特别是HTTP，它提供了Web的client/server交互的传输效劳，可以构造在SSL之上它提供连接平安性，有两个特点保密性，使用了对称加密算法完整性，使用HMAC算法用来封装高层的协议SSL Handshake Protocol, SSLChange Cipher Spec Protocol, SSL Alert Protocol是SSL的高层协议，用于管理SSL交换LOGOSSL握手协议功能客户和效劳器之间相互认证协商加密算法和密钥它提供连接平安性，有三个特点身份认证，至少对一方实现认证，也可以是双向认证协商得到的共享密钥是平安的，中间人不能够知道协商过程是可靠的LOGO整体流程(1)、交换Hello消息，对于算法、交换随机值等协商一致(2)、交换必要的密码参数，以便双方得到统一的premastersecret(3)、交换证书和相应的密码信息，以便进行身份认证(4)、产生mastersecret(5)、把平安参数提供给TLS记录层(6)、检验双方是否已经获得同样的平安参数LOGO3 入侵检测入侵检测/入侵防御技术入侵防御技术3.1入侵检测概述3.2入侵检测系统分类3.3入侵防御系统LOGO入侵检测系统入侵检测系统IDS入侵检测是从计算机网络或计算机系统中的假设干关键点搜集信息并对其进行分析，从中发现网络或者系统中是否有违反平安策略的行为和遭到攻击的迹象的一种机制。

入侵检测采用旁路侦听的机制，通过对数据包流的分析，可以从数据流中过滤除可以数据包，通过与的入侵方式进行比较，确定入侵是否发生以及入侵的类型并进行报警网络管理员可以根据这些报警确切的知道所周到的攻击并采取相应的措施LOGO3.1 入侵检测概述入侵检测概述CIDF入侵检测系统的通用模型LOGO3.2 入侵检测系统分类入侵检测系统分类基于主机的入侵检测系统基于网络的入侵检测系统LOGO3.2.1 基于主机的入侵检测系统基于主机的入侵检测系统网络连接检测网络连接检测对试图进入该主机的数据流进行检测，分析确定。