Web安全技術(shù)課件

第九章Web安全技術(shù)主要內(nèi)容IP安全技術(shù)E-mail安全技術(shù)安全掃描技術(shù)網(wǎng)絡(luò)安全管理技術(shù)身份認證技術(shù)VPN技術(shù)1.IP安全技術(shù)目前常見的安全威脅數(shù)據(jù)泄漏 在網(wǎng)絡(luò)上傳輸?shù)拿魑男畔⒈晃词跈?quán)的組織或個人所截獲，造成信息泄漏。數(shù)據(jù)完整性的破壞 確保信息的內(nèi)容不會以任何方式被修改，保證信息到達目的地址時內(nèi)容與源發(fā)地址時內(nèi)容一致。身份偽裝 入侵者偽造合法用戶的身份來登錄系統(tǒng)，存取只有合法用戶本人可存取的保密信息。拒絕服務(wù) 由于攻擊者攻擊造成系統(tǒng)不能正常的提供應(yīng)有的服務(wù)或系統(tǒng)崩潰。解決的方案：加密：防止Sniffer的偵聽和篡改。驗證：防止簡單的身份偽裝和拒絕服務(wù)攻擊。為了實現(xiàn)IP網(wǎng)絡(luò)的安全，IETF提出了一系列的協(xié)議，構(gòu)成典型的安全體系——IPSec（IPSecurityProtocol）。在RFC中，RFC1825（Internet協(xié)議安全體系結(jié)構(gòu)）、RFC1826（IP鑒別頭：AH）、RFC1827（IP封裝安全載荷：ESP）。IPSec安全體系結(jié)構(gòu)安全體系結(jié)構(gòu) 包含了一般的概念、安全需求、定義和定義IPSec的技術(shù)機制。AH

將每個數(shù)據(jù)包中的數(shù)據(jù)和一個變化的數(shù)字簽名結(jié)合起來，共同驗證發(fā)送方身份是的通信一方能確認發(fā)送數(shù)據(jù)的另一方的身份，并能夠確認數(shù)據(jù)在傳輸過程中沒有被篡改，防止受到第三方的攻擊。ESP

提供了一種對IP負載進行加密的機制，對數(shù)據(jù)包上的數(shù)據(jù)另外進行加密。IKE

一種協(xié)商協(xié)議，提供安全可靠的算法和密鑰協(xié)商，幫助不同結(jié)點之間達成安全通信的協(xié)定，包括認證方法、加密方法、所有的密鑰、密鑰的使用期限等。AHESP（只加密）ESP（加密并鑒別）訪問控制√√√無連接完整性√√數(shù)據(jù)源的鑒別√√拒絕重放的分組√√√機密性√√有限的通信量的機密性√√IPSec的服務(wù)2.E-mail安全技術(shù)垃圾郵件 包括廣告郵件、騷擾郵件、連鎖郵件、反動郵件等。安全電子郵件技術(shù)利用SSLSMTP和SSLPOP利用VPN或其他的IP通道技術(shù)，將所有的TCP/IP傳輸封裝起E-mail的安全隱患密碼被竊取郵件內(nèi)容被截獲附件中帶有大量病毒郵箱炸彈的攻擊本身設(shè)計上的缺陷PGP（PrettyGoodPrivacy） 使用單向單列算法對郵件內(nèi)容進行簽名，以此保證信件內(nèi)容無法被篡改，使用公鑰和私鑰技術(shù)保證郵件內(nèi)容保密已不可否認。 特征：把RSA公鑰體系的方便和傳統(tǒng)加密體制高度結(jié)合，在數(shù)字簽名和密鑰認證管理機制上更巧妙地設(shè)計。密鑰管理，采用公鑰介紹機制來公布公鑰信息，防止攻擊者偽造公鑰發(fā)布。功能使用的算法描述數(shù)字簽名DSS/SHA或RSA/SHA使用SHA-1創(chuàng)建的報文的散列編碼。采用DSS或RSA算法使用發(fā)送者的私有密鑰對這個報文摘要進行加密，并且包含在報文中報文加密CAST或IDEA或3DES，帶有Diffie-Hellman算法或RSA采用CAST-128或IDEA或3DES，使用發(fā)送者生成的一次性會話密鑰對報文進行加密，采用Diffie-Hellman或RSA，使用接收方的公開密鑰對會話密鑰進行加密并包含在報文中壓縮ZIP報文可以使用ZIP進行壓縮，用于存儲或傳輸電子郵件兼容性64基轉(zhuǎn)換為了提供電子郵件應(yīng)用的透明性，加密的報文可以使用64基轉(zhuǎn)換算法轉(zhuǎn)換成ASCII字符串分段－為了滿足最大報文長度的限制，PGP完成報文的分段和重新裝配PGP服務(wù)PGP的安全針對私鑰的攻擊對私鑰數(shù)據(jù)的訪問；對用于加密每個私鑰的秘密通行短語（passphrase）的了解。針對公鑰的攻擊修改公鑰中的簽名，并且標(biāo)記它為公鑰中已經(jīng)檢查過的簽名，使得系統(tǒng)不會再去檢查它。針對PGP的使用過程，修改公鑰中的有效位標(biāo)志，使一個無效的密鑰被誤認為有效。3.安全掃描技術(shù)基本原理 采用模擬黑客攻擊的形式對目標(biāo)可能存在的已知的安全漏洞進行逐項檢查，然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為網(wǎng)絡(luò)安全的整體水平產(chǎn)生重要的依據(jù)?；谥鳈C的安全掃描基于網(wǎng)絡(luò)的安全掃描系統(tǒng)安全掃描的工作原理安全管理員基于主機的安全掃描 針對操作系統(tǒng)的掃描檢測，采用被動的，非破壞性的辦法對系統(tǒng)進行檢測。 掃描工具安裝在需掃描的主機上。基于網(wǎng)絡(luò)的安全掃描 采用積極的、非破壞性的辦法來檢測系統(tǒng)是否有可能被攻擊崩潰，利用一系列的腳本模擬對系統(tǒng)進行攻擊的行為，然后對結(jié)果進行分析。 通過網(wǎng)絡(luò)遠程探測其他主機的安全風(fēng)險漏洞，安裝在整個網(wǎng)絡(luò)環(huán)境中的某一臺機器上。4.網(wǎng)絡(luò)安全管理技術(shù)基本概念 是指對所有計算既往拉應(yīng)用體系中各個方面的安全技術(shù)和產(chǎn)品進行統(tǒng)一的管理和協(xié)調(diào)，進而從整體上提高整個計算機網(wǎng)絡(luò)的防御入侵、抵抗攻擊的能力的體系。技術(shù)安全管理方針管理制度和安全人員現(xiàn)代網(wǎng)絡(luò)安全管理技術(shù)

需要達到的目標(biāo)：實現(xiàn)各類計算機安全技術(shù)、產(chǎn)品之間的協(xié)調(diào)和聯(lián)動，實現(xiàn)有機化；充分發(fā)揮各類安全技術(shù)和產(chǎn)品的功能；真體安全能力大幅度提高；實現(xiàn)計算機安全手段與現(xiàn)有計算機網(wǎng)絡(luò)應(yīng)用系統(tǒng)的一體化。安全知識培訓(xùn)網(wǎng)絡(luò)設(shè)備組件的加固與維護日常檢測——漏洞/異常攻擊事故報告應(yīng)急事故恢復(fù)安全中心——風(fēng)險分析制定/實施/維護安全策略基于角色的培訓(xùn)安全動態(tài)知識長期培訓(xùn)主機保護產(chǎn)品組件加固服務(wù)網(wǎng)絡(luò)入侵檢測產(chǎn)品漏洞掃描產(chǎn)品應(yīng)急服務(wù)小組攻防實驗室安全分析工程師安全知識數(shù)據(jù)庫維護整體安全解決方案5.身份認證技術(shù)原理 身份認證是安全系統(tǒng)中的第一道關(guān)卡，用戶在訪問安全系統(tǒng)之前，首先經(jīng)過身份認證系統(tǒng)識別身份，然后訪問監(jiān)控器，根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫決定是否能夠訪問某個資源。單機狀態(tài)下的身份認證 用戶所知道的； 用戶所擁有的； 用戶所具有的；網(wǎng)絡(luò)環(huán)境下的身份認證一次性口令技術(shù) 如：S/KEY。PPP中的認證協(xié)議密碼驗證協(xié)議PAP（PasswordAuthenticationProtocol）挑戰(zhàn)－握手認證協(xié)議CHAP（Challenge－HandshakeAuthenticationProtocol）PPP擴展認證協(xié)議EAP（ExtensibleAuthenticationProtocol）6.1VPN技術(shù)含義VPN(VirtualPrivateNetwork)，虛擬專用網(wǎng)在公共網(wǎng)絡(luò)中，通過隧道和/或加密技術(shù)進行PN(PrivateNetwork)業(yè)務(wù)的仿真VPN業(yè)務(wù)在公共網(wǎng)絡(luò)中保證私有數(shù)據(jù)的安全性、專有性同時提供可管理性、擴展性和靈活性VPN的目的對于運營商利用現(xiàn)有網(wǎng)絡(luò)設(shè)施，充分共享資源在現(xiàn)有網(wǎng)絡(luò)上提供增值服務(wù)擴大其業(yè)務(wù)量對于客戶將繁重的網(wǎng)絡(luò)維護工作交由運營商管理比自建獨立的小型網(wǎng)絡(luò)更為便宜VPN原理VPN的功能可以替換現(xiàn)有的專用網(wǎng)網(wǎng)段或子網(wǎng)。通過把特定應(yīng)用分離出來滿足相應(yīng)需求，為專用網(wǎng)絡(luò)提供有益的補充。不影響現(xiàn)有專用網(wǎng)的情況下，處理新應(yīng)用。增加新位置，特別是國際性網(wǎng)站。VPN的分類按企業(yè)的組網(wǎng)方式可分為三大類：AccessVPN(遠程訪問VPN)IntranetVPN(企業(yè)內(nèi)部VPN)

ExtranetVPN(擴展的企業(yè)內(nèi)部VPN)AccessVPNAccessVPN的優(yōu)點減少費用，優(yōu)化網(wǎng)絡(luò)實現(xiàn)本地撥號介入的功能來取代遠距離接入或800電話接入，能降低遠距離通信費用極大的可擴展性，方便對加入網(wǎng)絡(luò)的新用戶進行調(diào)度節(jié)省勞動力IntranetVPNIntranetVPN的優(yōu)點減少WAN帶寬的費用能使用靈活的拓撲結(jié)構(gòu)，包括全網(wǎng)孔連接新的站點能更快、更容易地被連接通過設(shè)備供應(yīng)商WAN的連接冗余，可以延長網(wǎng)絡(luò)的可用時間ExtranetVPNExtranetVPN的優(yōu)點能容易地對外部網(wǎng)進行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠端訪問VPN相同的架構(gòu)和協(xié)議進行部署。6.2VPN實現(xiàn)技術(shù)VPN實現(xiàn)技術(shù)隧道技術(shù)(Tunneling)加解密技術(shù)(Encryption&Decryption)QoS技術(shù)(QualityofService)隧道技術(shù)(Tunneling)加解密技術(shù)(Encryption&Decryption)

目前業(yè)界和市場上針對網(wǎng)絡(luò)傳輸?shù)募用芗夹g(shù)產(chǎn)品分為兩大類：逐鏈加密方式：針對鏈路層加密，市場上相關(guān)產(chǎn)品有X.25專線加密機、DDN數(shù)據(jù)加密機等。IPSec加密機制：運行在網(wǎng)絡(luò)層，以傳輸方式和隧道方式進行配置，前者適用于兩端點之間的IP層加密，后者適用于兩個網(wǎng)關(guān)之間構(gòu)成一條加密隧道，可以是非IP協(xié)議。QoS技術(shù)(QualityofService)帶寬：網(wǎng)絡(luò)提供給用戶的傳輸率。反應(yīng)時間：用戶所能容忍的數(shù)據(jù)報傳遞延時。抖動：延時的變化。丟失率：數(shù)據(jù)包丟失的比率。6.3VPN應(yīng)用方案1客戶網(wǎng)絡(luò)現(xiàn)狀企業(yè)總部網(wǎng)絡(luò)有大約20臺終端，使用一臺雙網(wǎng)卡的Windows2000服務(wù)器作為網(wǎng)關(guān)，并采用ADSL方式接入Internet15個辦事處有一臺計算機，使用電話撥號上網(wǎng)3個辦事處有一臺計算機，但使用小區(qū)寬帶上網(wǎng)5個辦事處有2到3臺計算機，組成一個小局域網(wǎng)并通過ISDN接入路由共享上網(wǎng)客戶需求每個辦事處需要有一臺終端能夠接入總部局域網(wǎng)不改變總部局域網(wǎng)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)有足夠的網(wǎng)絡(luò)安全性保障盡量節(jié)約網(wǎng)絡(luò)建設(shè)費用，并要求系統(tǒng)具備良好的可升級能力方案的選擇?方案對比對比項目遠程撥號遠程訪問VPN初期設(shè)備投入撥號服務(wù)器、中繼線VPN網(wǎng)關(guān)VPN客戶端軟件日常通訊費用長途電話費市話費+Internet通訊費通訊速率只能到56kbps根據(jù)客戶端接入Internet的方式?jīng)Q定，最低為56kbps并發(fā)訪問數(shù)量限制受限于電話中繼線的數(shù)量無管理復(fù)雜度需要一定的日常維護管理一次性配置，日常基本無需管理通訊加密不加密根據(jù)需要，可選擇加密強度網(wǎng)絡(luò)拓撲圖小結(jié)這種方案能夠保證企業(yè)異地辦事機構(gòu)的終端用戶、在家辦公的員工以及出差的員工能夠隨時通過Internet安全地接入企業(yè)內(nèi)部網(wǎng)絡(luò)并使用所有的內(nèi)部網(wǎng)絡(luò)資源；在網(wǎng)絡(luò)規(guī)模方面，只要求總部有比較完善的網(wǎng)絡(luò)環(huán)境，對公司分支機構(gòu)的網(wǎng)絡(luò)環(huán)境要求不高；可以方便地對用戶進行訪問權(quán)限管理。6.4VPN應(yīng)用方案2客戶需求

總部在廣州，全國多個城市