第8章網(wǎng)絡安全設計

1、2網(wǎng)絡工程設計概述(2學時) 網(wǎng)絡工程設計基礎(4+2學時)基本概念、基本設備簡單組網(wǎng)技能中型網(wǎng)絡設計知識與技能設計中型網(wǎng)絡大型網(wǎng)絡設計知識與技能設計大型網(wǎng)絡網(wǎng)絡設計綜合知識與應用配置二層以太網(wǎng)交換機(2+4學時)網(wǎng)絡需求分析 (4學時)結(jié)構(gòu)化布線系統(tǒng)和機房設計(2學時)網(wǎng)絡安全策略設計(2+0學時)網(wǎng)絡維護與測試(2+0學時)設計性實驗(0+10學時)路由器配置(2+4學時)企業(yè)網(wǎng)設計(4學時)l網(wǎng)絡安全的定義l美國“911”對網(wǎng)絡安全的啟示34l教學目的網(wǎng)絡安全性設計的基本步驟包括l對用戶網(wǎng)絡的安全需求進行風險評估l開發(fā)出有效的安全策略l選擇出適當?shù)陌踩珯C制l設計網(wǎng)絡安全方案l重點安全需求

2、進行風險評估設計網(wǎng)絡安全方案52.選擇網(wǎng)絡安全機制3.選擇數(shù)據(jù)備份和容錯技術4.設計網(wǎng)絡安全方案5.網(wǎng)絡工程案例教學lARPAnet設計初期沒有考慮網(wǎng)絡安全問題網(wǎng)絡規(guī)模小而且專用，物理控制計算機和通信硬件，門鎖和警衛(wèi)即可保證安全l因特網(wǎng)已成為世界上第一大網(wǎng)并向世界開放，應用領域不斷擴展，安全性需求隨之日益增加保證網(wǎng)絡整體的物理安全性已經(jīng)不可能網(wǎng)上居心叵測的人位于大部分其他設備之間，無法保證發(fā)送和接收的數(shù)據(jù)是安全的l我們訪問網(wǎng)絡獲取信息的方式越便捷，保護網(wǎng)絡各種資源的安全也就越困難67l確定網(wǎng)絡上的各類資源l針對網(wǎng)絡資源，分別分析它們的安全性威脅l分析安全性需求和折衷方案l開發(fā)安全性方案l定義安

3、全策略l開發(fā)實現(xiàn)安全策略的過程l開發(fā)和選用適當?shù)募夹g實現(xiàn)策略l實現(xiàn)技術策略和安全過程l測試安全性，發(fā)現(xiàn)問題及時修正l建立審計日志，響應突發(fā)事件，更新安全性計劃和策略8l安全攻擊危及由某個機構(gòu)擁有的信息安全的任何行為l安全機制設計用于檢測、防止或從安全攻擊中恢復的機制l安全服務目標是對抗安全攻擊，它們利用一個或多個安全機制來提供該服務9l對信息安全問題麻木不仁，不承認或逃避網(wǎng)絡安全問題l盲目夸大信息可能遇到的威脅如對一些無關緊要的數(shù)據(jù)采用極復雜的保護措施l解決任何網(wǎng)絡安全的問題都是要付出代價；某些威脅需要投入大量精力來控制，另一些則相反什么是正確的做法呢？10l風險管理風險管理包括一些物質(zhì)的、技

4、術的、管理控制及過程活動的范疇，根據(jù)此范疇可得到合算的安全性解決方法。對計算機系統(tǒng)所受的偶然或故意的攻擊，風險管理試圖達到最有效的安全防護l一個風險管理程序包括四個基本部分風險評估(或風險分析)安全防護選擇確認和鑒定應急措施11l風險指損失的程度l風險分析的目的是幫助選擇安全防護措施，將風險降到可接受的程度l大多數(shù)風險分析的方法先都要對資產(chǎn)進行確認和評估；可分為定量(如貨幣的)的或定性(估計)的方法l選擇一系列節(jié)約費用的控制方法或安全防護方法，為信息提供必要級別的保護l網(wǎng)絡資產(chǎn)可以包括網(wǎng)絡主機，網(wǎng)絡互聯(lián)設備以及網(wǎng)絡上的數(shù)據(jù)，以及知識產(chǎn)權(quán)、商業(yè)秘密和公司名譽12l必須選擇安全防護來減輕相應的威脅

5、。通常，將威脅減小到零并不合算l管理者決定可承受風險的級別，采用省錢的安全防護措施將損失減少到可接受的級別l安全防護的幾種方法減少威脅發(fā)生的可能性減少威脅發(fā)生后造成的影響威脅發(fā)生后的恢復13l是進行計算機環(huán)境的風險管理的重要步驟確認確認是指一種技術確認，用以證明為應用或計算機系統(tǒng)所選擇的安全防護或控制是合適的，并且運行正常鑒定鑒定是指對操作、安全性糾正或?qū)δ撤N行為終止的官方授權(quán)應急措施應急措施是指發(fā)生意外事件時，確保主系統(tǒng)連續(xù)處理事務的能力14l保護該網(wǎng)的費用是否比恢復的費用要少費用：不動產(chǎn)、名譽、信譽和其他一些潛在財富l折衷必須在安全性目標和可購買性、易用性、性能和可用性目標之間做出權(quán)衡維護

6、用戶注冊IP、口令和審計日志，安全管理增加了管理工作量安全管理還會影響網(wǎng)絡性能往往需要減少網(wǎng)絡冗余，增加單故障點15l安全設計的第一步是開發(fā)安全方案l安全方案是一個總體文檔，它指出一個機構(gòu)怎樣做才能滿足安全性需求。計劃詳細說明了時間、人員和其他開發(fā)安全規(guī)則所需要的資源l安全方案應當參考網(wǎng)絡拓撲結(jié)構(gòu)，并包括一張它所提供的網(wǎng)絡服務列表l應當根據(jù)用戶的應用目標和技術目標，幫助用戶估計需要哪些服務。應當避免過度復雜的安全策略l一個重要方面是對參與實現(xiàn)網(wǎng)絡安全性人員的認定16l安全策略是所有人員都必須遵守的規(guī)則l安全策略規(guī)定了用戶、管理人員和技術人員保護技術和信息資源的義務，也指明了完成這些義務要通過的

7、機制l開發(fā)安全策略是網(wǎng)絡安全員和網(wǎng)絡管理員的任務，并廣泛征求各方面的意見。網(wǎng)絡安全的設計者應當與網(wǎng)絡管理員密切合作，充分理解安全策略是如何影響網(wǎng)絡設計的l開發(fā)出了安全策略之后，由高層管理人員向所有人進行解釋，并由相關人員認可l安全策略是一個不斷變化的文檔17l開發(fā)安全過程實現(xiàn)安全策略。該過程定義了配置、登錄、審計和維護的過程l安全過程是為端用戶、網(wǎng)絡管理員和安全管理員開發(fā)的l安全過程指出了如何處理偶發(fā)事件如果檢測到非法入侵，應當做什么以及與何人聯(lián)系l需要安排用戶和管理員培訓安全過程181.網(wǎng)絡安全設計的步驟 3.選擇數(shù)據(jù)備份和容錯技術4.設計網(wǎng)絡安全方案5.網(wǎng)絡工程案例教學19l安全通信所需要

8、的特性機密性鑒別報文完整性和不可否認性可用性和訪問控制 l設計網(wǎng)絡安全方案時，可能用到其中的一個構(gòu)件或一些構(gòu)件的組合l密碼學是網(wǎng)絡安全性機制的基礎，但僅僅保證數(shù)據(jù)的機密性是不夠的20l加密算法對稱密鑰算法和公開密鑰加密體制計算不可破l信息加密解密的模型E加密算法D解密算法加密密鑰 K解密密鑰 K明文 X明文 X密文 Y = EK(X)入侵者截獲篡改密鑰源安全信道21l鑒別(authentication)就是向其他人證明一個人身份的過程 l鑒別協(xié)議首先建立滿足通信對方要求的身份標識；鑒別完成之后通信實體才開始具體的工作 22l有時通信的雙方并不關心是否有人在竊聽，而只關心發(fā)送過來的報文是否是真的

9、，從真實的對方發(fā)送過來的報文中途是否沒有被改變l這就是要確保報文完整性的問題23l公鑰技術的加、解密的計算代價昂貴，有時數(shù)據(jù)不需要加密，但不能篡改l報文摘要不用加密全部報文就可以實現(xiàn)簽名和防篡改l MD5摘要算法正在廣泛使用24l公鑰密碼也有其自身的缺陷，特別是如何獲取某一方真正的公鑰的問題l確定用于對稱密鑰密碼的共享密鑰和安全獲取公鑰密碼的正確公鑰的問題，都可通過使用一個可信中介(trusted intermediary)得到解決l對于對稱密鑰密碼體制，可信中介被稱為密鑰分發(fā)中心(key distribution center, KDC)，它是唯一可信的網(wǎng)絡實體，任一方能與它創(chuàng)建一個共享密鑰

10、l對公鑰密碼而言，KDC被稱為證書權(quán)威機構(gòu)(certification authority, CA) 25l用戶可以多種方式公開發(fā)布其公鑰放在其個人網(wǎng)頁上、把公鑰放置在公鑰服務器上、或通過電子郵件把公鑰發(fā)送給對方 l要使公鑰密碼有用，實體(用戶、瀏覽器和路由器等)必須能夠確定它們所得到的公鑰確實來自其通信的對方 l由證書權(quán)威機構(gòu)(CA)把一個特定實體與其公鑰綁定到一起，CA的職責就是使得實體身份和其發(fā)出的證書有效 lITU X.509 ITU 1993規(guī)定了證書的一種鑒別服務和特定的證書語法 26l鑒別控制誰能訪問網(wǎng)絡資源，而授權(quán)則指出一旦它們可以訪問網(wǎng)絡資源時，它們能做些什么。安全管理員為進

11、程或用戶設置權(quán)限，授權(quán)是控制網(wǎng)絡安全的一部分。根據(jù)用戶的部門或工作性質(zhì)，能為不同用戶授予不同的權(quán)限l基于角色的訪問控制(RBAC)是自主訪問控制(DAC)和強制訪問控制(MAC)策略的另一種選擇將代表行為的“操作”與角色相關聯(lián)，而角色的成員由適當?shù)挠脩艚M成，這可大大簡化安全管理27l為有效地分析網(wǎng)絡安全性和響應安全性事件，安全過程應當收集有關的網(wǎng)絡活動數(shù)據(jù)。這種收集數(shù)據(jù)的過程就被稱為審計l對于使用安全性策略的網(wǎng)絡，審計數(shù)據(jù)應當包括任何個人獲得鑒別和授權(quán)的所有嘗試l收集的數(shù)據(jù)應當包括試圖登錄和注銷的用戶名以及改變前后的訪問權(quán)限。審計記錄中的每一個等級項都應當有時間戳l審計過程不應收集口令l審計的

12、進一步擴展是安全性評估28l惡意軟件就是惡意的程序代碼，通常是以某種方式悄然安裝在計算機系統(tǒng)內(nèi)的軟件。這些程序代碼具有一些人們所不希望的功能，影響網(wǎng)絡系統(tǒng)的數(shù)據(jù)安全性和資源可用性l惡意軟件大體可以分為5大類病毒蠕蟲特洛伊木馬惡意遠程程序追蹤Cookiel特征強制安裝難以卸載瀏覽器劫持廣告彈出惡意收集用戶信息惡意卸載惡意捆綁l流氓軟件：常常介于病毒程序和正常程序之間的程序2930l防火墻(firewall)是把一個組織的內(nèi)部網(wǎng)絡與整個Internet隔離開的軟件和硬件的組合，它允許一些數(shù)據(jù)分組通過，禁止另一些數(shù)據(jù)分組通過l防火墻允許網(wǎng)絡管理員控制對外部網(wǎng)絡和被管理網(wǎng)絡內(nèi)部資源之間的訪問，這種控制

13、是通過管理流入和流出這些資源的流量實現(xiàn)的l兩種類型分組過濾防火墻應用程序級網(wǎng)關電路級網(wǎng)關Internet分組過濾路由器(a)屏蔽的主機防火墻(單地址堡壘主機)堡壘主機信息服務器內(nèi)部網(wǎng)主機Internet分組過濾路由器(b)屏蔽的主機防火墻(雙地址堡壘主機)堡壘主機信息服務器內(nèi)部網(wǎng)主機Internet分組過濾路由器(c)屏蔽的子網(wǎng)防火墻系統(tǒng)堡壘主機信息服務器內(nèi)部網(wǎng)內(nèi)部路由器3132l網(wǎng)絡內(nèi)部人員濫用職權(quán)往往對網(wǎng)絡安全危害性很大l入侵檢測用于識別未經(jīng)授權(quán)使用計算機系統(tǒng)資源的行為；識別有權(quán)使用計算機系統(tǒng)資源但濫用特權(quán)的行為(如內(nèi)部威脅)；識別未成功的入侵嘗試行為l即使一個系統(tǒng)中不存在某個特定的漏洞，

14、入侵檢測系統(tǒng)仍然可以檢測到特定的攻擊事件，并自動調(diào)整系統(tǒng)狀態(tài)對未來可能發(fā)生的侵入做出警告預報l它是一種利用入侵留下的痕跡，如試圖登錄的失敗記錄等信息來有效地發(fā)現(xiàn)來自外部或內(nèi)部的非法入侵的技術。它以探測、控制為技術本質(zhì)，起著主動防御的作用33l通常分為基于主機和基于網(wǎng)絡兩類l基于主機的IDS早期用于審計用戶的活動，如用戶的登錄、命令操作行和應用程序使用等。一般主要使用操作系統(tǒng)的審計跟蹤日志作為輸入l基于網(wǎng)絡的IDS在網(wǎng)絡中某點被動地監(jiān)聽網(wǎng)絡上傳輸?shù)脑剂髁浚ㄟ^對俘獲的網(wǎng)絡分組進行處理，從中得到有用信息l入侵檢測方法一般可以分為基于異常的入侵檢測和基于特征的入侵檢測兩種方式l基本思想：跨越費用低

15、廉的公網(wǎng)來擴展信任關系而不犧牲安全性。理想的VPN應當像一個專網(wǎng)一樣，它應當是安全的、高度可用的和具有可預測的性能3435l指將資源保護在加鎖的門里來限制對網(wǎng)絡關鍵資源的訪問l也指保護資源免受諸如洪水、火災、暴風雪和地震等自然災害的侵害l它是一個當然的需求，很容易熟視無睹而忘記對它進行設計，非常重要l網(wǎng)絡安全性設計要考慮網(wǎng)絡設備放置的問題網(wǎng)絡數(shù)據(jù)的異地備份問題361.網(wǎng)絡安全設計的步驟 2.選擇網(wǎng)絡安全機制4.設計網(wǎng)絡安全方案5.網(wǎng)絡工程案例教學37l“幸運的是那些做了數(shù)據(jù)備份的悲觀主義者” l如果我們通過有效而簡單的數(shù)據(jù)備份，就能具有更強的數(shù)據(jù)恢復能力，很容易找回失去的數(shù)據(jù)；而如果有了堅實的

16、容錯手段，數(shù)據(jù)丟失也許就不會發(fā)生了l數(shù)據(jù)備份備份通常要按日、按周或按月做備份對最為重要的文件進行更為頻繁的備份38l容錯是指系統(tǒng)在部分出現(xiàn)故障的情況下仍能提供正確功能的能力lRAID技術通過冗余具有可靠性和可用性方面的優(yōu)勢lRAID分為幾級，不同的級實現(xiàn)不同的可靠性，但是工作的基本思想是相同的，即用冗余來保證在個別驅(qū)動器故障的情況下，仍然維持數(shù)據(jù)的可訪問性l得到業(yè)界廣泛認同的有4種，即RAID 0，RAID 1, RAID 0+1和RAID 5lRAID 0是無數(shù)據(jù)冗余的存儲空間條帶化，具有成本低、讀寫性能極高以及存儲空間利用率高等特點lRAID 1是兩塊硬盤數(shù)據(jù)的完全鏡像，其優(yōu)點是安全性好、

17、技術簡單、管理方便以及讀寫性能較好lRAID 01綜合了RAID 0和RAID 1的特點，獨立磁盤配置成RAID 0，兩套完整的RAID 0互相鏡像lRAID 5應用最廣泛，各塊獨立硬盤進行條帶化分割，具有數(shù)據(jù)安全、讀寫速度快和空間利用率高等優(yōu)點3940l存儲區(qū)域網(wǎng)絡(SAN)是儲存資料所要流通的網(wǎng)域SAN 基于光纖信道，采用光纖通道(Fiber Channel)標準協(xié)議l因特網(wǎng)數(shù)據(jù)中心(IDC)為因特網(wǎng)內(nèi)容提供商(ICP)、企業(yè)、媒體和各類網(wǎng)站提供大規(guī)模、高質(zhì)量、安全可靠的專業(yè)化服務器托管、空間租用、網(wǎng)絡批發(fā)帶寬以及動態(tài)服務器主頁、電子商務等業(yè)務數(shù)據(jù)中心在大型主機時代就已出現(xiàn)，那時是為了通過

18、托管、外包或集中方式向企業(yè)提供大型主機的管理維護，以達到專業(yè)化管理和降低運行成本的目的41l關鍵技術包括網(wǎng)絡技術、存儲技術與解決方案l網(wǎng)絡技術無論ATM網(wǎng)絡還是光纖網(wǎng)絡，都已經(jīng)廣泛應用于存儲技術領域RAID和磁盤等技術已經(jīng)成熟存儲區(qū)域網(wǎng)絡也已經(jīng)得到認可l實現(xiàn)異地容災兩類方式基于主機系統(tǒng)的數(shù)據(jù)復制基于存儲系統(tǒng)的遠地鏡像42l沒有電力，網(wǎng)絡就會癱瘓；電壓過高或過低，網(wǎng)絡設備就會損壞，特別是如果服務器遭受破壞，損失就可能難以估計。據(jù)統(tǒng)計，大量的計算機損壞是由電涌引起的l有幾種設備能夠保持電源的穩(wěn)定供給電涌抑制器、穩(wěn)壓電源、交流濾波器或不間斷電源(UPS)UPS通常能夠提供上述幾種設備的功能，因此得到

19、了廣泛的使用431.網(wǎng)絡安全設計的步驟 2.選擇網(wǎng)絡安全機制3.選擇數(shù)據(jù)備份和容錯技術5.網(wǎng)絡工程案例教學44l與因特網(wǎng)的連接應當采用一種多重安全機制多重安全機制來保證其安全性，包括火墻、入侵檢測系統(tǒng)、審計、鑒別和授權(quán)甚至物理安全性l提供公用信息的公用服務器如Web服務器和FTP服務器，可以允許無鑒別訪問，但是其他的服務器一般都需要鑒別和授權(quán)機制鑒別和授權(quán)機制l即使是公用服務器也應當放在非軍事區(qū)中，用防火墻對其進行保護4546l對Intranet而言，撥號訪問是造成系統(tǒng)安全威脅的重要原因l提高撥號訪問安全性，應當綜合采用防火墻技術、物理安全性、鑒別和授權(quán)機制、審計技術以及加密技術等l鑒別和授權(quán)

20、是撥號訪問安全性最重要的功能。在這種情況使用安全卡提供的一次性口令是最好的方法對于遠程用戶和遠程路由器，應使用詢問握手鑒別協(xié)議鑒別(CHAP)。 鑒別、授權(quán)和審計的另一個選擇是遠程鑒別撥入用戶服務器(RADIUS)協(xié)議 47l內(nèi)部網(wǎng)絡服務可以使用鑒別和授權(quán)、分組過濾、審計日志、物理安全性和加密等安全手段l不論用戶是通過控制臺端口還是通過網(wǎng)絡訪問這些設備，都需要注冊ID和口令。有權(quán)查看或修改配置的管理員可使用安全等級更高的第二級口令l可使用終端訪問控制器訪問控制系統(tǒng)(TACACS) 來管理中心中的大量路由器和交換機用戶的IP地址和口令。TACACS還提供審計功能l限制使用SNMPv3以下的set

21、操作修改管理和配置數(shù)據(jù)48l用戶服務包括端系統(tǒng)、應用程序、主機、文件服務器、數(shù)據(jù)庫服務器和其他服務等l提供這些服務的服務器通常能夠提供鑒別和授權(quán)功能。如果用戶關心使用該系統(tǒng)的人員的話，端系統(tǒng)也可以提供該功能當用戶長時間離開自己的辦公室時，建議用戶退出會話。不工作時應關閉機器，以免未授權(quán)用戶進入系統(tǒng)去訪問服務和應用程序。也可使用自動退出功能在長時間沒有用戶活動時，自動退出一個會話安全策略和過程應當說明可接受的有關口令的規(guī)則：何時使用口令，如何格式化口令，如何修改口令等。一般說來，口令應當包括字符和數(shù)字，至少6個字符，而且不是通常使用的詞匯，且需經(jīng)常修改49 大致有如下幾種方法l集中上因特網(wǎng)在專門的辦公室，用指定專人負責的專用計算機，供大家訪問因特網(wǎng)。這些專用計算機不得用于處理涉密內(nèi)容l完全冗余的主機使用具有雙主板、雙硬盤和雙網(wǎng)卡的主機；啟動時，選擇某臺機器與某網(wǎng)絡相連。該法節(jié)省空間、安全保密，但不夠方便501.網(wǎng)絡安全設計的步驟 2.選擇網(wǎng)絡安全機制3.選擇數(shù)據(jù)備份和容錯技術4.設計網(wǎng)絡安全方案l案例教學要求：掌握設計高可靠性網(wǎng)絡