安全主流產(chǎn)品與常見工具

1、安全主流產(chǎn)品與常見工具 信息安全國家重點實驗室課程內(nèi)容 防火墻 VPN 內(nèi)外網(wǎng)隔離 日志審計 入侵檢測 隱患掃描 PKI(CA) PGP 安全加固 防病毒課程內(nèi)容 防火墻 VPN 內(nèi)外網(wǎng)隔離 日志審計 入侵檢測 隱患掃描 PKI(CA) PGP 安全加固 防病毒防火墻（Firewall） 防火墻基礎知識防火墻體系結(jié)構防火墻技術 防火墻評測指標防火墻（Firewall） 防火墻基礎知識什么是防火墻 防火墻可以做什么防火墻的局限性防火墻體系結(jié)構防火墻技術 防火墻評測指標什么是防火墻（圖）Internet 什么是防火墻 防火墻是在被保護網(wǎng)絡與因特網(wǎng)之間，或者在不同的網(wǎng)絡之間，實施訪問控制的一種或一系

2、列部件。 防火墻可以做什么防火墻是安全決策的焦點（阻塞點） 防火墻能強制安全策略 防火墻能有效地記錄網(wǎng)絡活動 防火墻的局限性 限制了可用性 對網(wǎng)絡內(nèi)部的攻擊無能為力 不能防范不經(jīng)過防火墻的攻擊 不能防范因特網(wǎng)上不斷產(chǎn)生的新的威脅和攻擊不能完全防范惡意代碼的通過防火墻（Firewall） 防火墻基礎知識防火墻體系結(jié)構雙重宿主主機體系結(jié)構 屏蔽主機體系結(jié)構 屏蔽子網(wǎng)體系結(jié)構 其他體系結(jié)構防火墻技術 防火墻評測指標雙重宿主主機體系結(jié)構（圖）雙重宿主主機體系結(jié)構 是最基本的防火墻系統(tǒng)結(jié)構雙重宿主主機位于外部網(wǎng)絡和受保護網(wǎng)絡之間，至少有兩個網(wǎng)絡接口。所有在這兩個網(wǎng)絡間發(fā)送的IP數(shù)據(jù)包都會經(jīng)過該主機，該主

3、機可以對轉(zhuǎn)發(fā)的IP包進行安全檢查優(yōu)點：構造簡單缺點：易受攻擊屏蔽主機體系結(jié)構（圖）屏蔽主機體系結(jié)構屏蔽主機結(jié)構將提供安全保護的堡壘主機置于內(nèi)部網(wǎng)上，使用一個單獨的路由器對該主機進行屏蔽優(yōu)點：能夠提供更高層次的安全保護缺點：堡壘主機一旦被攻破，整個網(wǎng)絡就會被攻破屏蔽子網(wǎng)體系結(jié)構（圖）屏蔽子網(wǎng)體系結(jié)構屏蔽子網(wǎng)結(jié)構在屏蔽主機結(jié)構基礎上，增加了一層周邊網(wǎng)絡的安全機制，使內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間有兩層隔離。優(yōu)點：即使堡壘主機被攻破，也不能直接侵入內(nèi)部網(wǎng)絡。體系結(jié)構的其他形式 使用多堡壘主機 合并內(nèi)部與外部路由器 合并堡壘主機與外部路由器 使用多臺外部路由器、多個周邊網(wǎng)絡 組合使用雙重宿主主機和屏蔽子網(wǎng) 不

4、宜采用的體系結(jié)構合并堡壘主機與內(nèi)部路由器 使用多臺內(nèi)部路由器 防火墻（Firewall） 防火墻基礎知識防火墻體系結(jié)構防火墻技術數(shù)據(jù)包過濾 應用代理NAT 個人防火墻 防火墻評測指標數(shù)據(jù)包過濾(1)數(shù)據(jù)包過濾是一個網(wǎng)絡安全保護機制，它用來控制流出和流入網(wǎng)絡的數(shù)據(jù)在TCP/IP網(wǎng)絡中，數(shù)據(jù)都是以IP包的形式傳輸?shù)模瑪?shù)據(jù)包過濾機制就是對通過防火墻的IP包進行安全檢查，將通過安去檢查的IP包進行轉(zhuǎn)發(fā)，否則就阻止通過數(shù)據(jù)包過濾(2)（圖）數(shù)據(jù)包過濾(3)判斷依據(jù)有：數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口：、DNS等IP選項：源路由、記錄路由等TCP選項：SYN

5、、ACK、FIN、RST等其它協(xié)議選項：ICMP ECHO、ICMP ECHO REPLY等數(shù)據(jù)包流向：in或out數(shù)據(jù)包流經(jīng)網(wǎng)絡接口：eth0、eth1數(shù)據(jù)包過濾設置實例規(guī)則方向源地址源端口目標地址目標端口動作1出內(nèi)部*61.X.*拒絕2入211.X.*內(nèi)部*拒絕3雙向*25拒絕數(shù)據(jù)包過濾(4)數(shù)據(jù)包過濾的優(yōu)點：一個配置適當?shù)臄?shù)據(jù)包過濾器可以保護整個網(wǎng)絡對用戶透明度高易實現(xiàn)：大多數(shù)路由器都具有數(shù)據(jù)包過濾功能數(shù)據(jù)包過濾的缺點：配置和檢驗較為困難一些協(xié)議不適合數(shù)據(jù)包過濾 某些策略難以執(zhí)行應用代理(1)是各種應用服務的轉(zhuǎn)發(fā)器它接收來自內(nèi)部網(wǎng)絡特定用戶應用程序的通信，然后建立與公共網(wǎng)絡服務器單獨的連

6、接代理防火墻通常支持的一些常見的應用程序有：HTTP、HTTPS/SSL、SMTP、POP3等等應用代理(2)（圖）客戶應用代理服務器發(fā)送請求轉(zhuǎn)發(fā)響應轉(zhuǎn)發(fā)請求發(fā)送響應應用代理(3)（圖）應用代理(4)它的優(yōu)點是：對用戶透明支持用戶認證可以產(chǎn)生小并且更有效的日志。它的缺點是：速度比較慢對一些新的或不常用的服務不支持 NAT（網(wǎng)絡地址轉(zhuǎn)換協(xié)議）可以使多個用戶分享單一的IP地址為Internet連接提供一些安全機制可以向外界隱藏內(nèi)部網(wǎng)結(jié)構轉(zhuǎn)換機制：當內(nèi)部用戶與一個公共主機通信時，NAT追蹤是哪一個用戶作的請求，修改傳出的包，這樣包就像是來自單一的公共IP地址 個人防火墻(1)是一種能夠保護個人計算機

7、系統(tǒng)安全的軟件，它可以直接在用戶的計算機上運行 可以對用戶計算機的網(wǎng)絡通信進行過濾通常具有學習模式，可以在使用中不斷增加新的規(guī)則個人防火墻(2)(圖）防火墻（Firewall） 防火墻基礎知識防火墻體系結(jié)構防火墻技術 防火墻評測指標防火墻評測指標 (1)對防火墻的評估通常包括對其功能、性能和可用性進行測試評估。對防火墻性能的測試指標主要有 吞吐量 延遲 幀丟失率 防火墻評測指標 (2)對防火墻的功能測試通常包含身份鑒別訪問控制策略及功能密碼支持審計管理對安全功能自身的保護防火墻測評方法NetScreen Vs. CheckPoint供應商NetScreenCheckPoint架構硬件軟件性能在

8、操作系統(tǒng)screenos版本為3.0時防火墻的通透性可以達到12Gbps之高依賴于使用平臺的CPU、內(nèi)存等配置，使用新技術Application Integlligence后，性能在原來的基礎上進一步提升了31%。穩(wěn)定性和兼容性采用的專門的軟硬件，系統(tǒng)的穩(wěn)定性上理論上應該領先；操作系統(tǒng)是專用的screenos，不存在防火墻和硬件的兼容性問題。操作系統(tǒng)和硬件不是特定為防火墻各項功能設計的，因此可能會存在穩(wěn)定性和兼容方面的隱患功能和靈活性采用的專門設計的操作系統(tǒng)和硬件架構，靈活性上要相對差一些，而且可能提供的功能相對較少架構不依賴硬件，理論上功能是可以無限擴充的，它能給客戶更多的控制和定制功能引自

9、Yiming Gong http:/ 課程內(nèi)容 防火墻 VPN 內(nèi)外網(wǎng)隔離 日志審計 入侵檢測 隱患掃描 PKI(CA) PGP 安全加固 防病毒VPN (Virtual Private Network)什么是VPN VPN的分類 VPN的隧道協(xié)議 VPN什么是VPN VPN的分類 VPN的隧道協(xié)議 什么是VPN(1)什么是VPN (2)VPN即虛擬專用網(wǎng)，是指一些節(jié)點通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立的一個臨時的、安全的連接，它們之間的通信的機密性和完整性可以通過某些安全機制的實施得到保證特征虛擬(V)：并不實際存在，而是利用現(xiàn)有網(wǎng)絡，通過資源配置以及虛電路的建立而構成的虛擬網(wǎng)絡專用(P)

10、：每個VPN用戶都可以從公用網(wǎng)絡中獲得一部分資源供自己使用網(wǎng)絡(N)：既可以讓客戶連接到公網(wǎng)所能夠到達的任何地方，也可以方便地解決保密性、安全性、可管理性等問題，降低網(wǎng)絡的使用成本 什么是VPN (3)安全功能信息機密性，確保通過公網(wǎng)傳輸?shù)男畔⒁约用艿姆绞絺魉?，即使被他人截獲也不會泄露信息完整性，保證信息的完整性 用戶身份認證，能對用戶身份進行認證，確定該用戶的訪問權限 訪問控制，用戶只能讀寫被授予了訪問權限的信息 VPN什么是VPN VPN的分類 VPN的隧道協(xié)議 VPN的分類根據(jù)VPN所起的作用，可以將VPN分為：Access VPN Intranet VPN Extranet VPN A

11、ccess VPN處理可移動用戶、遠程交換和小部門的遠程訪問公司內(nèi)部網(wǎng)的VPN Intranet VPN （企業(yè)內(nèi)部虛擬網(wǎng)）是在公司遠程分支機構的LAN和公司總部LAN之間，通過Internet建立的VPNExtranet VPN（企業(yè)外部虛擬網(wǎng)） 在供應商、商業(yè)合作伙伴的LAN和公司的LAN之間的VPN由于不同公司網(wǎng)絡環(huán)境的差異性，必須能兼容不同的操作平臺和協(xié)議設置特定的訪問控制表ACL（Access Control List），根據(jù)用戶相應的訪問權限開放相應資源Extranet VPN（圖）VPN什么是VPN VPN的分類 VPN的隧道協(xié)議 VPN的隧道協(xié)議 VPN的關鍵技術在于通信隧道的

12、建立，數(shù)據(jù)包通過通信隧道進行封裝后的傳送以確保其機密性和完整性通常使用的方法有：使用點到點隧道協(xié)議PPTP、第二層隧道協(xié)議L2TP、第二層轉(zhuǎn)發(fā)協(xié)議L2F等在數(shù)據(jù)鏈路層對數(shù)據(jù)實行封裝使用IP安全協(xié)議IPSec在網(wǎng)絡層實現(xiàn)數(shù)據(jù)封裝使用介于第二層和第三層之間的隧道協(xié)議，如MPLS隧道協(xié)議 PPTP/ L2TP (1)1996年，Microsoft和Ascend等在PPP協(xié)議的基礎上開發(fā)了PPTP，并將它集成于Windows NT Server4.0中，同時也提供了相應的客戶端軟件PPTP可把數(shù)據(jù)包封裝在PPP包中，再將整個報文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報文或幀中繼或ATM中進行傳輸

13、PPTP提供流量控制, 采用MPPE加密算法 PPTP/ L2TP (2)1996年，Cisco提出L2F（Layer 2 Forwarding）隧道協(xié)議 1997年底，Micorosoft和Cisco公司把PPTP協(xié)議和L2F協(xié)議的優(yōu)點結(jié)合在一起，形成了L2TP協(xié)議 L2TP可以實現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容,支持MP（Multilink Protocol），可以把多個物理通道捆綁為單一邏輯信道 PPTP/ L2TP (3)優(yōu)點：支持其他網(wǎng)絡協(xié)議 支持流量控制對用微軟操作系統(tǒng)的用戶來說很方便 缺點：通道打開后，源和目的用戶身份不再就行認證，存在安全隱患限制同時最多只能連接255個用戶 端點用戶

14、需要在連接前手工建立加密信道 IPSec VPN (1)IPSEC的隧道協(xié)議開始于RFC 1827即IP封裝安全有效負載( ESP )，它定義了一個通用的數(shù)據(jù)報封裝方法ESP通過對要保護的數(shù)據(jù)進行加密，以及將它放置在I P封裝安全有效負載的有效負載部分，來提供機密性和完整性。通過使用驗證包頭（AH，在RFC 2402中定義），也可以提供IP數(shù)據(jù)報的驗證IPSec VPN(2) AH包頭的結(jié)構：IPSEC AH/ESP數(shù)據(jù)包結(jié)構IPSec VPN(3) IPSEC VPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障特點：只能支持IP數(shù)據(jù)流目前防火墻產(chǎn)品中集成的VPN多為使用

15、IPSec 協(xié)議 MPLS VPN 是在網(wǎng)絡路由和交換設備上應用MPLS (Multiprotocol Label Switching ) 技術，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術的標記交換實現(xiàn)的IP虛擬專用網(wǎng)絡（IP VPN）運行在IP+ATM或者IP環(huán)境下，對應用完全透明 相關標準：RFC 3270RFC 2764MPLS VPNPE = Provider Edge Router LSR = Label Switch Router 課程內(nèi)容 防火墻 VPN 內(nèi)外網(wǎng)隔離 日志審計 入侵檢測 隱患掃描 PKI(CA) PGP 安全加固 防病毒內(nèi)外網(wǎng)隔離物理隔離 邏輯隔離內(nèi)外網(wǎng)隔

16、離物理隔離安全需求物理隔離技術邏輯隔離安全需求(1)計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定第六條規(guī)定：涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡相聯(lián)接，必須實行物理隔離。 安全需求(2)實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的網(wǎng)絡隔離的要求：用戶訪問內(nèi)網(wǎng)時，斷開外網(wǎng)網(wǎng)絡連接訪問外網(wǎng)時，斷開內(nèi)網(wǎng)網(wǎng)絡連接用戶不能同時連入內(nèi)、外網(wǎng)，始終保持內(nèi)網(wǎng)、外網(wǎng)網(wǎng)絡隔離的狀態(tài) 安全需求(3)對物理隔離技術的要求 ：高度安全較低的成本容易部置、結(jié)構簡單 易于操作具有靈活性與擴展性 物理隔離技術雙網(wǎng)機技術 物理隔離卡雙網(wǎng)線的物理隔離卡單網(wǎng)線的物理隔離卡 網(wǎng)絡安全隔離集線器 物理隔離網(wǎng)閘（GAP）雙網(wǎng)機技術在一

17、個機箱內(nèi)設有兩塊主機板、兩套內(nèi)存、兩塊硬盤和兩CPU相當于兩臺計算機共用一個顯示器用戶通過客戶端開關，分別選擇兩套計算機系統(tǒng)特點是：客戶端成本很高網(wǎng)絡布線為雙網(wǎng)線結(jié)構技術水平簡單物理隔離卡雙網(wǎng)線隔離卡客戶端需要增加一塊PCI卡，客戶端硬盤或其它存儲設備首先連接到該卡，然后再轉(zhuǎn)接到主板，這樣通過該卡用戶就能控制客戶端的硬盤或其它存儲設備。用戶在選擇硬盤的時候，同時也選擇了該卡上所對應的網(wǎng)絡接口，連接到不同的網(wǎng)絡 物理隔離卡雙網(wǎng)線隔離卡(cont)技術水平有所提高成本有所降低要求網(wǎng)絡布線采用雙網(wǎng)線結(jié)構，存在安全隱患物理隔離卡單網(wǎng)線隔離卡 只有一個網(wǎng)絡接口通過網(wǎng)線將不同的電平信息傳遞到網(wǎng)絡選擇端，在

18、網(wǎng)絡選擇端安裝網(wǎng)絡選擇器，并根據(jù)不同的電平信號，選擇不同的網(wǎng)絡連接特點：實現(xiàn)成本較低，能夠有效利用現(xiàn)有單網(wǎng)線網(wǎng)絡環(huán)境系統(tǒng)的安全性有所提高物理隔離卡（圖）網(wǎng)絡安全隔離集線器 作為A/B轉(zhuǎn)換器被設置在機柜中根據(jù)網(wǎng)絡安全隔離卡的狀態(tài)自動地將網(wǎng)絡連接到安全網(wǎng)絡或公共網(wǎng)絡中特點：能使用原有的單一的布線系統(tǒng)物理隔離網(wǎng)閘（GAP）(1) 由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡之間的鏈路層連接能夠在網(wǎng)絡間進行安全適度的應用數(shù)據(jù)交換 物理隔離網(wǎng)閘（GAP）(2)性能指標：系統(tǒng)數(shù)據(jù)交換速率 硬件切換時間 通常包含的安全功能模塊：安全隔離 內(nèi)核防護協(xié)議轉(zhuǎn)換病毒查殺訪問控制安全審計身份認證 內(nèi)外網(wǎng)隔離物理隔離 邏

19、輯隔離邏輯隔離在技術上，實現(xiàn)邏輯隔離的方式有很多，但主要是防火墻 課程內(nèi)容 防火墻 VPN 內(nèi)外網(wǎng)隔離 日志審計 入侵檢測 隱患掃描 PKI(CA) PGP 安全加固 防病毒日志審計日志審計基礎知識日志審計過程日志審計日志審計基礎知識什么是日志審計日志實例日志審計的重要性日志的來源日志審計過程什么是日志審計識別、記錄、存儲和分析那些與安全相關活動有關的信息的行為被稱為安全審計這些信息以日志的方式進行存儲，對這些日志的檢查審計可以用來判斷發(fā)生了哪些安全相關活動以及哪個用戶要對這些活動負責 日志審計的重要性管理員入侵者 網(wǎng)絡異常發(fā)現(xiàn)黑客追蹤證據(jù)日志的來源(1)操作系統(tǒng)日志路由器日志IDS日志防火墻

20、日志應用軟件日志，等等日志的來源(2)通?？梢赃M行審計的事件包括：文件審計應用程序與服務安裝與卸載的審計安全配置更改的審計Internet審計用戶登錄審計用戶打印審計進程狀況審計與移動存儲有關的審計，等等日志審計日志審計基礎知識日志審計過程審計事件生成審計事件選擇審計事件存儲審計事件查閱日志審計分析自動響應審計事件生成事件的日期和時間事件類型主體身份事件的結(jié)果針對不同類型的事件的其他相關信息在某些情況下，應當標識引起該事件的用戶身份審計事件選擇 審計事件選擇是指在所有可以審計的事件中，根據(jù)主體身份、事件類型等屬性，選擇對哪些事件進行審計，這種選擇可以用包含或排除的方法。審計事件存儲 保護審計記

21、錄不受未授權的刪除 防止或檢測對審計記錄的修改 當存儲耗盡、失敗或受到攻擊時，能夠確保審計記錄不受破壞 存儲失敗時，應采取一定行動確保新的審計記錄不受破壞 審計事件查閱 訪問控制權限易于理解日志審計分析 日志的分析可以分為手工和自動的方式，通常，對日志的自動分析任務可以由入侵檢測系統(tǒng)完成。但是，手工分析往往是日志分析不可缺少的部分自動響應 對日志的自動分析和自動響應通常由入侵檢測系統(tǒng)實現(xiàn)自動相應可以是報警、自動采取某些安全措施，等等Solaris BSM（Basic Security Model）BSM用戶級審計記錄包括：進程名手冊頁參考審計事件號審計事件名審計記錄結(jié)構BSM核心級審計記錄包括

22、：系統(tǒng)調(diào)用名手冊頁參考審計事件號審計事件名審計事件類事件屏蔽審計記錄結(jié)構WIN 2000日志結(jié)構數(shù)據(jù)時間用戶名計算機名事件ID源類型種類可變內(nèi)容，依賴于事件，可以時問題的文本解釋和糾正措施的建議附加域。如果采用的話，包含可以字節(jié)或字顯示的二進數(shù)據(jù)及事件記錄的源應用產(chǎn)生的信息記錄頭事件描述附加數(shù)據(jù)WIN 2000 日志舉例(1)事件類型:成功審核事件來源:Security事件種類:登錄/注銷 事件 ID:538日期:2003-9-9時間:20:47:04WIN 2000 日志舉例(2)用戶:QUhiiri計算機:QU描述:用戶注銷:用戶名:hiiri域:QU登錄 ID:(0 x0,0 x5040

23、01)登錄類型:7防火墻日志舉例 ( Check Point Firewall-1 )19-May-00 17:31:59 時間戳drop 動作 inbound 方向 udp 傳輸層協(xié)議 scan.wins.bad.guy 源地址MY.NET.29.8 目標地址netbios-ns 目標端口netbios-ns 源端口78 包長度IDS日志舉例 ( Snort )* r CGI access attempt * 06/10-07:55:01.284025 時間戳 3:1526 源地址及端口 - 2:80 目標地址及端口 TCP 傳輸層協(xié)議 TTL:52 生存期 TOS:0 x0 服務種類 ID

24、:4816 會話 ID DF 不可分段 Len:358 包長度課程內(nèi)容 防火墻 VPN 內(nèi)外網(wǎng)隔離 日志審計 入侵檢測 隱患掃描 PKI(CA) PGP 安全加固 防病毒入侵檢測（Intrusion Detection） 入侵檢測定義入侵檢測方法 入侵檢測系統(tǒng)結(jié)構入侵檢測（Intrusion Detection） 入侵檢測定義入侵檢測與入侵檢測系統(tǒng)（IDS)入侵檢測系統(tǒng)基本框架 入侵檢測方法 入侵檢測系統(tǒng)結(jié)構什么是入侵檢測入侵檢測（Intrusion Detection）是檢測計算機網(wǎng)絡和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程IDS入侵檢測系統(tǒng)包括三個功能組件提供事件記錄流的信息源發(fā)現(xiàn)入侵跡象的分析

25、引擎基于分析引擎的結(jié)果產(chǎn)生反應的響應部件入侵檢測系統(tǒng)基本框架 入侵檢測（Intrusion Detection） 入侵檢測定義入侵檢測方法 異常入侵檢測技術 異常檢測典型系統(tǒng)TripWare 誤用入侵檢測技術 誤用檢測典型系統(tǒng)Snort 入侵檢測系統(tǒng)結(jié)構異常入侵檢測技術 (1)異常檢測主要根據(jù)合法行為（狀態(tài)）定義來分析系統(tǒng)是否受到攻擊或者運行異常是目前入侵檢測技術的主要研究發(fā)展方向典型應用：CPU使用率，內(nèi)存使用率，網(wǎng)絡流量，用戶行為，系統(tǒng)調(diào)用等等 異常入侵檢測技術 (2) 優(yōu)點：可以檢測到未知攻擊知識庫相對穩(wěn)定 缺點：準確性差誤報率高 異常檢測典型系統(tǒng)TripWare(1) TripWare

26、主要利用關鍵性文件的摘要作為自己知識庫，合法用戶修改文件后要更新該文件摘要，由于非法用戶無權更改其摘要，所以當發(fā)現(xiàn)文件摘要和保存的記錄不符時，判定系統(tǒng)受到攻擊。 異常檢測典型系統(tǒng)TripWare(2)優(yōu)點：實現(xiàn)簡單管理方便缺點：檢測能力差 誤用入侵檢測技術 (1)誤用檢測根據(jù)非法行為（狀態(tài)）定義，分析目標系統(tǒng)狀態(tài)，以確定是否受到攻擊 技術較為成熟，為絕大多數(shù)市場產(chǎn)品采用典型應用：網(wǎng)絡數(shù)據(jù)包用戶指令序列應用程序編碼特征，等等 誤用入侵檢測技術 (2)優(yōu)點準確高效（相對）易實現(xiàn)缺點不能檢測未知攻擊知識庫會無限增長描述所有攻擊行為困難誤用檢測典型系統(tǒng)Snort (1)Snort是一個典型的輕量級誤用

27、網(wǎng)絡入侵檢測系統(tǒng)。該系統(tǒng)自己定義了一套規(guī)則語言來定義入侵行為，規(guī)則語言所描述的主要是網(wǎng)絡數(shù)據(jù)包的特性，比如地址、端口、包頭屬性、包含的特殊數(shù)據(jù)等等。 誤用檢測典型系統(tǒng)Snort (2)Snort規(guī)則語言（示例）log tcp any any - /24 79 alert tcp any any - /24 80 (content: /cgi-bin/phf;msg PHF probe!) alert tcp !/24 any - /24 6000:6010 ( msg: X traffic;) alert tcp any any - /24 143 (content:|E8C0 FFF FF|

28、/bin/sh; msg:New IMAP Buffer Overflow detected!;) 誤用檢測典型系統(tǒng)Snort (3) 優(yōu)點:檢測的準確度比較高缺點:檢測的效率低對復雜攻擊檢測能力差容易被欺騙 入侵檢測（Intrusion Detection） 入侵檢測定義入侵檢測方法入侵檢測系統(tǒng)結(jié)構基于主機系統(tǒng)的結(jié)構 基于網(wǎng)絡系統(tǒng)的結(jié)構基于主機系統(tǒng)的結(jié)構其檢測目標主要是主機系統(tǒng)和系統(tǒng)本地用戶根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件依賴于審計數(shù)據(jù)和系統(tǒng)日志的準確性和完整性基于網(wǎng)絡系統(tǒng)的結(jié)構根據(jù)網(wǎng)絡流量和單臺或多臺主機的審計數(shù)據(jù)對入侵行為進行檢測。由探測器和分析器以及網(wǎng)絡安全知識庫組成具有配置

29、簡單，服務器平臺獨立性等優(yōu)點課程內(nèi)容 防火墻 VPN 內(nèi)外網(wǎng)隔離 日志審計 入侵檢測 隱患掃描 PKI(CA) PGP 安全加固 防病毒隱患掃描（vulnerabilities scanning） 網(wǎng)絡弱點掃描 主機弱點掃描 特定應用弱點掃描隱患掃描（vulnerabilities scanning） 網(wǎng)絡弱點掃描 功能分類常用掃描工具主機弱點掃描 特定應用弱點掃描什么是網(wǎng)絡弱點掃描 定期或按需尋找網(wǎng)絡設備或網(wǎng)絡主機上的漏洞，從而可以對這些漏洞進行及時彌補，以改善網(wǎng)絡的安全性網(wǎng)絡掃描器功能分類 簡單漏洞識別與分析 全面漏洞識別與分析 簡單漏洞識別與分析許多工具能實現(xiàn)相對有限的安全檢測。這些工具

30、可以自動進行目標主機的TCP/IP端口掃描，嘗試連接存在已知漏洞的服務端口，并且記錄下目標主機的反應它們可以為特定的系統(tǒng)特性實現(xiàn)安全配置檢查 全面漏洞識別與分析 掃描漏洞范圍更廣對漏洞進行分析提出的建議，減輕潛在的安全風險 常用掃描工具SATAN Nessus ISS Internet Scanner SATAN (1)SATAN：Security Analysis Tool for Auditing Networks 其基本功能是通過finger，NFS，ftp，NIS，Web等服務盡可能的搜集目標主機和網(wǎng)絡的相關信息 并具有簡單的推理功能 SATAN (2)具有良好的可擴展性最核心部分對操

31、作系統(tǒng)類型、網(wǎng)絡服務名稱、漏洞信息和其他細節(jié)信息依賴性很小 提供了較為靈活的方式供用戶添加自己的探測模塊,用戶可以自己編寫一個可執(zhí)行文件，以.satan結(jié)尾 NESSUS 一個公開代碼的安全評估工具 有靈活Plugin結(jié)構，強大的掃描功能，并且具有很好的擴展性 自己提供了一個語言NASL用于用戶自己開發(fā)測試模塊 ISS Internet Scanner (1)針對網(wǎng)絡上主機網(wǎng)絡連接相關信息，分析主機系統(tǒng)平臺，提供的服務，并分析是否存弱點 其可以診斷出的弱點包括：對PC、服務器、Web服務器、防火墻、路由器等網(wǎng)絡設備的錯誤配置設備所啟動的服務弱的或者無密碼防護沒有打補丁或者過時的系統(tǒng)平臺。 IS

32、S Internet Scanner (2) 特點：掃描模塊與管理控制模塊分開，管理方便采用XML方式定義掃描任務，策略配置靈活多樣 支持對各種網(wǎng)絡設備、平臺、應用的評估 界面友好，報告齊全 隱患掃描（vulnerabilities scanning） 網(wǎng)絡弱點掃描 主機弱點掃描主機弱點掃描功能與特點ISS System Scanner 特定應用弱點掃描主機弱點掃描功能與特點是針對單一主機系統(tǒng)的掃描，它在目標系統(tǒng)上運行，可以搜集到比較全面的系統(tǒng)信息，對系統(tǒng)安全性作比較深入地分析 只能分析單個主機，不能分析整個網(wǎng)絡狀況，也不能遠程執(zhí)行對于單一主機來說，主機弱點評估比網(wǎng)絡弱點評估的評估能力強，準確

33、性高 它對弱點的修復能力比網(wǎng)絡評估系統(tǒng)強 ISS System Scanner是ISS公司開發(fā)的針對主機的弱點掃描工具只涉及到單一主機，功能較為單一，報告比較簡略對目標系統(tǒng)平臺具有很強的依賴性，不同的平臺涉及到不同的評測內(nèi)容，不同的評測方法，目前主要分為Windows和Unix兩大系列結(jié)合了傳統(tǒng)安全評估和完整性檢測兩種方法的特點，提出Security Baseline技術，即在進行完一次完整的安全評估后，對所有漏洞修補，保證系統(tǒng)達到自己的安全需求 隱患掃描（vulnerabilities scanning） 網(wǎng)絡弱點掃描 主機弱點掃描特定應用弱點掃描數(shù)據(jù)庫弱點掃描 對未知漏洞的檢測 數(shù)據(jù)庫弱點

34、掃描以ISS的 Database Scanner 為代表自動解析數(shù)據(jù)庫系統(tǒng)的重要配置管理參數(shù)分析數(shù)據(jù)庫系統(tǒng)的授權、認證、完整性檢測一些流行數(shù)據(jù)庫的安全漏洞生成詳細用戶報告提供兩種評估方式內(nèi)部掃描外部穿透性測試 對未知漏洞的檢測目前主要有三種方法：靜態(tài)源代碼掃描環(huán)境錯誤注入?yún)R編代碼掃描 已有一些成果發(fā)布，尚待進一步研究課程內(nèi)容 防火墻 VPN 內(nèi)外網(wǎng)隔離 日志審計 入侵檢測 隱患掃描 PKI(CA) PGP 安全加固 防病毒PKI (CA)PKI基礎知識PKI技術 WIN2000 PKI PKI (CA)PKI基礎知識什么是PKIPKI的組成 PKI標準的制定組織PKI技術 WIN2000 PK

35、I 什么是PKIPKI是一個用公鑰概念和技術實施和提供安全服務的具有普適性的安全基礎設施提供機密性（包括公鑰加密和對稱加密）、數(shù)據(jù)完整性、非否認服務，比如加密、數(shù)字簽名、數(shù)字信封、時間戳等等 遵循標準： X.509、RFC2459 等公鑰密碼體制(1)公鑰密碼技術由Diffe和Hellman于1976年首次提出有兩個不同的密鑰（公鑰私鑰對），可將加密功能和解密功能分開是目前若干關鍵技術如PKI、VPN等的基礎公鑰加密模型公鑰認證模型公鑰密碼體制(2)公鑰密碼體制的優(yōu)點:可以簡化密鑰的管理，并且可以通過公開系統(tǒng)如公開目錄服務來分配密鑰。 公鑰密碼體制的缺點:加、解密的速度太慢密鑰長度太長 RSA

36、算法：是一個可逆的公鑰密碼體制，在PGP中被用來加密通信密鑰和數(shù)字簽名;基于以下原理：尋找大素數(shù)是相對容易的，而分解兩個大素數(shù)的積在計算上是不可行的;目前建議使用模長為1024比特以上的模作為密鑰 PKI的組成1 CA（認證機構）2 證書庫3 證書撤銷4 密鑰備份和恢復5 自動密鑰更新6 密鑰歷史檔案7 交叉認證8 支持非否認9 時間戳10. 客戶端軟件 PKI標準的制定組織國際標準化組織/國際電信聯(lián)盟 (ISO)/(ITU)- X.509 因特網(wǎng)特別工程任務組 (IETF). RFC2459 RSA 實驗室 PKCS系列 美國國家標準和技術協(xié)會 (NIST) MISPC最小互操作規(guī)范 PKI

37、 (CA)PKI基礎知識PKI技術 RFC 2459X.509信任模型PKI技術應用現(xiàn)狀WIN2000 PKI RFC 2459RFC 2459X.509 證書(1)（圖）X.509 證書(2)證書版本號（Version）證書序列號（SerialNumber）簽名算法標識符(Signatue Alg ID)頒發(fā)者（Issuer） 有效期（Validity）X.509 證書(3)主體名（Subject）主體公鑰信息（Subject Public Key Info）簽發(fā)者唯一標識符(Issuer ID)主體唯一標識符(Subject ID)簽名值（Issuers Signature）擴展項 X.5

38、09 V3版本的14項標準擴展信任模型層次信任模型網(wǎng)狀信任模型混和信任模型橋信任模型層次信任模型網(wǎng)狀信任模型混和信任模型橋信任模型PKI技術應用現(xiàn)狀VeriSign,IBM ,Balitimore,Entrust等為用戶提供了一系列的客戶端和服務器端的安全產(chǎn)品各國政府也相繼推出和建立了國家和政府級的PKI體系，如美國聯(lián)邦PKI體系（FPKI）、加拿大政府PKI體系（GOC PKI）等PKI (CA)PKI基礎知識PKI技術 WIN2000 PKI WIN2000中CA的層次結(jié)構 證書頒發(fā)過程 WIN2000 PKI 的組成 WIN2000 PKIWindows 2000 為電子商務提供了一個平

39、臺，其中包括證書管理、CA服務與PKI應用程序等WIN2000中CA的層次結(jié)構 Windows2000 PKI采用了分層CA模型。這種模型具備可伸縮性，易于管理，并且能夠?qū)Σ粩嘣鲩L的商業(yè)性第三方CA產(chǎn)品提供良好的支持。在最簡單的情況下，認證體系可以只包含一個CA。但是就一般情況而言，這個體系是由相互信任的多重CA構成的 WIN2000中CA的層次結(jié)構(圖) 證書頒發(fā)過程 CA收到證書請求信息，包括個人資料和公鑰等 CA對用戶提供的信息進行核實 CA用自己的私鑰對證書進行數(shù)字簽名 CA將證書發(fā)給用戶 WIN2000 PKI 的組成認證服務 活動目錄 支持PKI的應用程序 使用的安全協(xié)議 WIN2

40、000 PKI 的組成（圖） 認證服務(Certificate Services)是WIN2000 PKI中的一個關鍵部分通過它可以部署一個或多個企業(yè)性的CA。這些CA都可以進行認證發(fā)布和撤銷服務，它們與活動目錄集成在一起活動目錄提供了CA的定位信息和CA策略，并可以公布有關認證發(fā)布和撤銷的信息 支持WIN2000 PKI的應用程序 Microsoft Internet ExplorerMicrosoft Internet Information ServiceMicrosoft OutlookMicrosoft Outlook ExpressMicrosoft Money其他第三方程序 WI

41、N2000 PKI使用的安全協(xié)議安全套接字協(xié)議SSL 網(wǎng)際安全協(xié)議IPSec 課程內(nèi)容 防火墻 VPN 內(nèi)外網(wǎng)隔離 日志審計 入侵檢測 隱患掃描 PKI(CA) PGP 安全加固 防病毒PGP (Pretty Good Privacy)PGP發(fā)展歷史與現(xiàn)狀 PGP加密流程 PGP加解密算法PGP的密鑰管理機制 PGP (Pretty Good Privacy)PGP概述PGP發(fā)展歷史與現(xiàn)狀 PGP功能PGP加密流程 PGP加解密算法PGP的密鑰管理機制 PGP發(fā)展歷史與現(xiàn)狀是一個基于RSA公鑰加密體系的郵件加密軟件由美國的 Phil Zimmermann于1991年發(fā)布采用了RSA和對稱加密算

42、法相結(jié)合的機制1993年，美國政府以違反出口法規(guī)提起了對Phil Zimmermann的訴訟。最后以Phil Zimmermann獲勝告終。 PGP功能電子郵件機密性身份認證文件加密PGP (Pretty Good Privacy)PGP發(fā)展歷史與現(xiàn)狀 PGP加密流程安全機制 PGP公鑰與證書 口令PGP加解密算法PGP的密鑰管理機制 PGP安全機制采用公開密鑰加密與對稱密鑰加密相結(jié)合的加密體系 對稱密鑰加密技術部分所使用的密鑰稱為“會話密鑰” 會話密鑰在每次會話中隨機產(chǎn)生會話密鑰用來保護報文內(nèi)容公開密鑰加密技術中的公鑰和私鑰則用來加密和解密會話密鑰 PGP公鑰與證書 每個PGP公鑰都伴隨著一

43、個證書PGP承認兩種不同的證書格式 PGP證書X.509證書 PGP證書(1)（圖）PGP證書(2)（圖）PGP證書(3)（圖）PGP證書(3)PGP證書通常包括以下信息PGP版本號 證書持有者的公鑰 證書持有者的信息 證書擁有者的數(shù)字簽名 證書的有效期 密鑰首選的對稱加密算法 中介人簽名 X.509證書與PGP證書的不同 用戶可以創(chuàng)建自己的PGP證書;但是必須向CA請求才能得到一份X.509證書 X.509證書只支持密鑰擁有者的一個名字 X.509證書只支持證明密鑰合法性的一個數(shù)字簽名PGP (Pretty Good Privacy)PGP發(fā)展歷史與現(xiàn)狀 加密流程 PGP加解密算法PGP中的

44、公鑰密碼體制PGP中的身份認證PGP中的對稱密碼體制 PGP的密鑰管理機制 PGP公鑰密碼體制公鑰密碼體制的優(yōu)點:可以簡化密鑰的管理，并且可以通過公開系統(tǒng)如公開目錄服務來分配密鑰。 公鑰密碼體制的缺點:加、解密的速度太慢密鑰長度太長 RSA算法：是一個可逆的公鑰密碼體制，在PGP中被用來加密通信密鑰和數(shù)字簽名;基于以下原理：尋找大素數(shù)是相對容易的，而分解兩個大素數(shù)的積在計算上是不可行的;目前建議使用模長為1024比特以上的模作為密鑰 數(shù)字簽名與消息摘要 (1)什么是數(shù)字簽名：是一種確保數(shù)據(jù)完整性和非否認性的手段，通過給消息附加一段數(shù)據(jù)來實現(xiàn)使用對稱密碼體制或公鑰密碼體制，目前一般使用公鑰密碼體

45、制實現(xiàn)問題：速度慢產(chǎn)生大量數(shù)據(jù)，大約是原始數(shù)據(jù)的兩倍數(shù)字簽名與消息摘要 (2)解決方法：引入消息摘要什么是消息摘要：通過對一段任意長的消息使用單向函數(shù)，獲得的一段定長的數(shù)據(jù)流程：構造一段消息的消息摘要對該段消息摘要進行數(shù)字簽名數(shù)字簽名與消息摘要 (3)對消息摘要算法的要求：函數(shù)必須是單向的，即對任意消息摘要來構筑能產(chǎn)生該消息摘要的輸入消息是計算上不可行的構造兩個能產(chǎn)生相同消息摘要的不同的消息是計算上不可行的PGP中的對稱密碼體制什么是對稱密碼體制一種使用相同密鑰（或相互容易推出的）進行加密和解密的密碼體制分為序列密碼和分組密碼，PGP中使用分組密碼中的IDEA算法來加密數(shù)據(jù)優(yōu)點：加解密速度快缺點：必須有一個安全的傳遞通道用來傳遞密鑰PG