第10章 網(wǎng)絡(luò)安全技術(shù)教材

第10章網(wǎng)絡(luò)安全技術(shù)唐紹國(guó)制作網(wǎng)絡(luò)安全技術(shù)10.1.1

網(wǎng)絡(luò)安全的基本概念10.1.2

數(shù)據(jù)備份方法10.1.3

加密技術(shù)10.1.4

防病毒技術(shù)10.1.5

防火墻技術(shù)10.1.6

入侵檢測(cè)技術(shù)10.1.7

網(wǎng)絡(luò)安全評(píng)估10.1.1

網(wǎng)絡(luò)安全的基本概念一、網(wǎng)絡(luò)安全基本要素保密性完整性可用性可鑒別性不可否認(rèn)性10.1.1

網(wǎng)絡(luò)安全的基本概念二、信息泄露與篡改截獲信息-對(duì)可用性的攻擊（中斷）竊聽信息-對(duì)保密性的攻擊篡改信息-對(duì)完整性的攻擊偽造信息-對(duì)真實(shí)性的攻擊（假冒）三、網(wǎng)絡(luò)攻擊服務(wù)攻擊：對(duì)為網(wǎng)絡(luò)提供各種服務(wù)的服務(wù)器發(fā)起攻擊，造成網(wǎng)絡(luò)拒絕服務(wù)(DoS)，表現(xiàn)在消耗帶寬，消耗計(jì)算資源，使系統(tǒng)和應(yīng)用崩潰等。SYN攻擊是一種典型的拒絕服務(wù)攻擊。非服務(wù)攻擊：不針對(duì)某項(xiàng)具體的應(yīng)用服務(wù)，而是針對(duì)網(wǎng)絡(luò)層等低層協(xié)議進(jìn)行的。TCP/IP協(xié)議自身安全機(jī)制的不足為攻擊者提供了方便。源路由攻擊和地址欺騙都屬于這一類。非服務(wù)攻擊更為隱蔽，是一種更為危險(xiǎn)的攻擊手段。非授權(quán)訪問網(wǎng)絡(luò)病毒10.1.1

網(wǎng)絡(luò)安全的基本概念10.1.1

網(wǎng)絡(luò)安全的基本概念四、網(wǎng)絡(luò)安全模型設(shè)計(jì)一個(gè)網(wǎng)絡(luò)安全方案時(shí)需要完成四個(gè)基本任務(wù)(1)設(shè)計(jì)一個(gè)算法，執(zhí)行安全相關(guān)的轉(zhuǎn)換(2)生成該算法的秘密信息（如密鑰）(3)研制秘密信息的分發(fā)與共享的方法（可信第三方）(4)設(shè)定兩個(gè)責(zé)任者使用的協(xié)議，利用算法和秘密信息取得安全服務(wù)10.1.1

網(wǎng)絡(luò)安全的基本概念網(wǎng)絡(luò)安全模型(P2DR)包括：策略(Policy)防護(hù)(Protection):

數(shù)據(jù)加密、身份認(rèn)證、訪問控制、授權(quán)、VPN、防火墻等檢測(cè)(Detection)響應(yīng)(Response)10.1.1

網(wǎng)絡(luò)安全的基本概念五、網(wǎng)絡(luò)安全規(guī)范美國(guó)國(guó)防部可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則，共分為4類7個(gè)等級(jí)D

（安全要求最低）C1，C2B1，B2，B3A1（安全要求最高)D類：屬于非安全保護(hù)類,不能用于多用戶環(huán)境下的重要信息處理。C類：用戶能定義訪問控制要求的自主保護(hù)類型。B類：強(qiáng)制型安全保護(hù)類型（用戶不能分配權(quán)限，只有網(wǎng)絡(luò)管理員可以為用戶分配訪問權(quán)限）。A類：系統(tǒng)在安全模型設(shè)計(jì)及軟、硬件實(shí)現(xiàn)方面要通過認(rèn)證，要求達(dá)到更高的安全可信度。UNIX系統(tǒng)通常能滿足C2，只有一部分可以達(dá)到B1標(biāo)準(zhǔn)。10.1.2

數(shù)據(jù)備份方法邏輯備份：基于文件的備份，缺點(diǎn)是對(duì)于文件很小的改變也要將整個(gè)文件備份物理備份：”基于塊的備份”或“基于設(shè)備的備份“，缺點(diǎn)是可能產(chǎn)生數(shù)據(jù)的不一致性完全備份：恢復(fù)速度最快、空間使用最多、備份速度最慢增量備份：恢復(fù)速度最慢，空間使用最少，備份速度最快差異備份：中間性能冷備份：又叫離線備份，恢復(fù)時(shí)間長(zhǎng)、投資少熱備份：又稱在線備份，數(shù)據(jù)的有效性和完整性會(huì)受影響10.1.3

加密技術(shù)密碼學(xué)包括密碼編碼學(xué)與密碼分析學(xué)密碼體制的設(shè)計(jì)是密碼學(xué)研究的主要內(nèi)容現(xiàn)代密碼學(xué)基本原則：一切密碼屬于密鑰之中。在設(shè)計(jì)加密系統(tǒng)時(shí)，加密算法是可以公開的，真正需要保密的是密鑰加密體制：對(duì)稱密碼體制（加密密鑰與解密密鑰相同）非對(duì)稱密碼體制（加密密鑰與解密密鑰不同）10.1.3

加密技術(shù)一、對(duì)稱密碼體制數(shù)據(jù)加密標(biāo)準(zhǔn)DES是最典型的對(duì)稱加密算法，采用64位密鑰長(zhǎng)度，8位用于奇偶校驗(yàn)，用戶使用其中的56位

其他的對(duì)稱密碼體制：IDEARC2RC4Skipjack10.1.3

加密技術(shù)二、非對(duì)稱密碼體制對(duì)信息加密解密使用不同的密鑰，用來(lái)加密的密鑰（公鑰

publickey）是可以公開的，解密的密鑰

(

私鑰

privatekey

)

是用來(lái)保密的，又稱公鑰加密技術(shù)。公鑰和私鑰成對(duì)出現(xiàn)。10.1.3

加密技術(shù)公鑰加密實(shí)現(xiàn)加密傳輸10.1.3

加密技術(shù)私鑰加密實(shí)現(xiàn)數(shù)字簽名10.1.3

加密技術(shù)常用的公鑰算法包括：RSA（最成熟的一種公鑰密碼體制，安全性建立在大素?cái)?shù)分解的基礎(chǔ)上）DSAPKCSPGP10.1.4

防病毒技術(shù)計(jì)算機(jī)病毒的主要特征:非授權(quán)可執(zhí)行性隱蔽性傳染性潛伏性表現(xiàn)性或破壞性可觸發(fā)性10.1.4

防病毒技術(shù)計(jì)算機(jī)病毒的分類:1

按寄生方式

引導(dǎo)型病毒

文件型病毒

復(fù)合型病毒2

按破壞性

良性

惡性10.1.4

防病毒技術(shù)網(wǎng)絡(luò)病毒的特征:傳播方式多樣傳播速度更快影響面更廣破壞性更強(qiáng)難以控制和根治編寫方式多樣病毒變種多智能化混合病毒10.1.4

防病毒技術(shù)惡意代碼包括蠕蟲和木馬計(jì)算機(jī)蠕蟲是一個(gè)自我包含的程序或程序集，能夠傳播自身并拷貝自身，蠕蟲不需要宿主，而是一個(gè)獨(dú)立的程序，能夠主動(dòng)的運(yùn)行。蠕蟲分為宿主計(jì)算機(jī)蠕蟲和網(wǎng)絡(luò)蠕蟲。木馬寄生在計(jì)算機(jī)系統(tǒng)中，是沒有自我復(fù)制功能的惡意程序。木馬傳播途徑：電子郵件，軟件下載，通過會(huì)話軟件10.1.5

防火墻技術(shù)一、防火墻的功能檢查所有流入流出的數(shù)據(jù)包執(zhí)行安全策略具有防攻擊能力10.1.5

防火墻技術(shù)根據(jù)防火墻的實(shí)現(xiàn)技術(shù)，可以將防火墻分為：包過濾路由器應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用代理狀態(tài)檢測(cè)目前市場(chǎng)上的主流防火墻，一般都是狀態(tài)檢測(cè)防火墻10.1.5防火墻技術(shù)1、包過濾路由器實(shí)現(xiàn)包過濾的關(guān)鍵是制定包過濾規(guī)則包過濾規(guī)則一般是基于部分或全部包頭的內(nèi)容10.1.5

防火墻技術(shù)2、應(yīng)用級(jí)網(wǎng)關(guān)包過濾只能針對(duì)網(wǎng)絡(luò)層和傳輸層，但對(duì)于應(yīng)用層的安全控制需要應(yīng)用級(jí)網(wǎng)關(guān)。多宿主主機(jī)是具有多個(gè)網(wǎng)絡(luò)接口卡的主機(jī)，如果多宿主主機(jī)應(yīng)用在應(yīng)用層的用戶身份認(rèn)證與服務(wù)合法性檢查上，那么這一類多宿主主機(jī)叫做應(yīng)用級(jí)網(wǎng)關(guān)如果多宿主主機(jī)連接了兩個(gè)網(wǎng)絡(luò)，那么它可以叫做雙宿主主機(jī)。10.1.5

防火墻技術(shù)10.1.5

防火墻技術(shù)3、應(yīng)用代理應(yīng)用代理完全隔離了用戶與被訪問服務(wù)器之間的數(shù)據(jù)交換通道。應(yīng)用代理代替用戶與服務(wù)器相連10.1.5

防火墻技術(shù)4、狀態(tài)檢測(cè)狀態(tài)檢測(cè)就是在包過濾的同時(shí)，檢查數(shù)據(jù)包之間的關(guān)聯(lián)性，檢查數(shù)據(jù)包中動(dòng)態(tài)變化的狀態(tài)碼。狀態(tài)檢測(cè)防火墻保留狀態(tài)連接表，對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)，因此提供了完整的對(duì)傳輸層的控制能力10.1.5

防火墻技術(shù)三、防火墻的系統(tǒng)結(jié)構(gòu)包過濾路由器結(jié)構(gòu)雙宿主主機(jī)結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)任何一種結(jié)構(gòu)的防火墻系統(tǒng)都是由包過濾路由器與應(yīng)用級(jí)網(wǎng)關(guān)組合而成。10.1.5

防火墻技術(shù)人們將處于防火墻關(guān)鍵部位、運(yùn)行應(yīng)用級(jí)網(wǎng)關(guān)軟件的計(jì)算機(jī)稱為堡壘主機(jī)。屏蔽子網(wǎng)結(jié)構(gòu)采用兩個(gè)過濾路由器與兩個(gè)堡壘主機(jī)組成。外部包過濾路由器與外部堡壘主機(jī)構(gòu)成了防火墻的過濾子網(wǎng)，又被稱為非軍事化區(qū)(DMZ)。10.1.5

防火墻技術(shù)10.1.6

入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)(IDS)IDS一般由事件發(fā)生器、事件分析器、響應(yīng)單元與事件數(shù)據(jù)庫(kù)組成。入侵檢測(cè)的分類分為異常檢測(cè)、誤用檢測(cè)及兩種方式結(jié)合。10.1.6

入侵檢測(cè)技術(shù)1、異常檢測(cè)異常檢測(cè)是指已知網(wǎng)絡(luò)的正常活動(dòng)狀態(tài)，如果當(dāng)前網(wǎng)絡(luò)不符合正常狀態(tài)，則認(rèn)為有攻擊發(fā)生。其關(guān)鍵是建立一個(gè)對(duì)應(yīng)正常網(wǎng)絡(luò)活動(dòng)的特征原型。異常檢測(cè)方法包括：基于統(tǒng)計(jì)異常檢測(cè)基于數(shù)據(jù)采掘的異常檢測(cè)基于神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)10.1.6

入侵檢測(cè)技術(shù)2、誤用檢測(cè)誤用檢測(cè)是建立在使用某種模式或特征描述方法，能夠?qū)θ魏我阎暨M(jìn)行表達(dá)的理論基礎(chǔ)上的。10.1.6

入侵檢測(cè)技術(shù)按照檢測(cè)的數(shù)據(jù)來(lái)源，入侵檢測(cè)系統(tǒng)可以分為：基于主機(jī)的入侵檢測(cè)系統(tǒng)（以日志為數(shù)據(jù)源）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（以原始的數(shù)據(jù)幀為數(shù)據(jù)源）。10.1.6

入侵檢測(cè)技術(shù)分布式入侵檢測(cè)系統(tǒng)可以分為以下三種類型：層次式協(xié)作式對(duì)等式10.1.6

入侵檢測(cè)技術(shù)入侵防護(hù)系統(tǒng)(IPS)IPS采用in-line工作模式IPS組成：嗅探器檢測(cè)分析組件策略執(zhí)行組件狀態(tài)開關(guān)日志系統(tǒng)控制臺(tái)10.1.6

入侵檢測(cè)技術(shù)IPS分類基于主機(jī)的入侵防護(hù)系統(tǒng)基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)基于應(yīng)用的入侵防護(hù)系統(tǒng)10.1.7

網(wǎng)絡(luò)安全評(píng)估從本質(zhì)上說評(píng)估分析技術(shù)就是一種檢測(cè)技術(shù)。網(wǎng)絡(luò)安全評(píng)估分析可以分為基于應(yīng)用和基于網(wǎng)絡(luò)的兩種評(píng)估分析技術(shù)。大型網(wǎng)絡(luò)中，評(píng)估分析系統(tǒng)通常采用控制臺(tái)和代理相結(jié)合的結(jié)構(gòu)。網(wǎng)絡(luò)安全評(píng)估包括漏洞檢測(cè)、修復(fù)建議和整體建議等幾個(gè)方面。網(wǎng)絡(luò)安全技術(shù)10.2.1

數(shù)據(jù)備份設(shè)備與軟件安裝和配置10.2.2

防病毒軟件安裝與配置10.2.3

防火墻的安裝與配置10.2.4

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署10.2.1

數(shù)據(jù)備份設(shè)備與軟件安裝和配置一、常用備份設(shè)備1、磁盤陣列(RAID)

種類：RAID0、RAID1、RAID3、RAID52、光盤塔3、光盤庫(kù)4、磁帶機(jī)5、磁帶庫(kù)6、光盤網(wǎng)絡(luò)鏡像服務(wù)器10.2.1數(shù)據(jù)備份設(shè)備與軟件安裝和配置二、Windows2003server

備份工具和使用方法

備份方法1、副本備份2、每日備份3、差異備份4、增量備份（備份后標(biāo)記）5、正常備份（備份后標(biāo)記）10.2.2

防病毒軟件安裝與配置

網(wǎng)絡(luò)版防病毒系統(tǒng)通常由系統(tǒng)中心、服務(wù)器端、客戶端、管理控制臺(tái)等組成。網(wǎng)絡(luò)版防病毒系統(tǒng)的主要參數(shù)配置1、系統(tǒng)升級(jí)設(shè)置2、掃描設(shè)置3、黑白名單設(shè)置4、端口設(shè)置10.2.3

防火墻的安裝與配置防火墻通常具有至少3個(gè)接口，連接到3個(gè)網(wǎng)絡(luò)1、內(nèi)部區(qū)域2、外部區(qū)域3、非軍事化區(qū)(DMZ)只有兩個(gè)網(wǎng)絡(luò)接口的防火墻是沒有DMZ的。10.2.3

防火墻的安裝與配置基本配置，以CiscoPIX525為例：1、訪問模式：

非特權(quán)模式：開機(jī)自檢后進(jìn)入，提示符為

pixfirewall>

特權(quán)模式：輸入enable進(jìn)入，提示符為

pixfirewall#2、配置模式：在特權(quán)模式下輸入configureterminal進(jìn)入，提示符為

pixfirewall(config)#3、監(jiān)視模式：開機(jī)時(shí)按Esc或Break鍵進(jìn)入，提示符為monitor>10.2.3

防火墻的安裝與配置

2、基本配置命令nameif：配置防火墻接口的名字，并制定安全級(jí)別配置實(shí)例：Pix525(config)#nameif

ethernet0outside

security0Pix525(config)#nameif

ethernet1inside

security100Pix525(config)#nameif

dmz

security5010.2.3

防火墻的安裝與配置配置以太網(wǎng)接口參數(shù)Pix525(config)#interface

ethernet0

autoPix525(config)#interface

ethernet1

100full配置網(wǎng)卡IP地址

Pix525(config)#ip

address

outside240Pix525(config)#ip

addressinside

10.2.3

防火墻的安裝與配置nat指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址Pix525(config)#nat(inside)1

說明：指定內(nèi)網(wǎng)可以訪問外網(wǎng)的主機(jī)，表示這個(gè)網(wǎng)段內(nèi)的主機(jī)可以訪問外網(wǎng)，inside是默認(rèn)的內(nèi)網(wǎng)接口名字，1是地址池標(biāo)識(shí)id,需與global命令一起使用global指定外部IP地址范圍Pix525(config)#global

(outside)1-4

說明：防火墻將使用這段IP地址為要訪問外網(wǎng)的主機(jī)分配一個(gè)全局IP地址，outside是外網(wǎng)接口的名字，1是地址池標(biāo)識(shí)id，需與nat命令一起使用Route:設(shè)置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由

格式：routeif_name00gateway_ipmetric

說明：gateway_ip是網(wǎng)關(guān)路由器的IP地址，metric是到gateway_ip的跳數(shù)，默認(rèn)是1

例：Pix525(config)#routeoutsi