第九章 網(wǎng)絡(luò)安全.ppt

1、第9章 網(wǎng)絡(luò)安全,9.1 網(wǎng)絡(luò)安全概述,9.1.1 網(wǎng)絡(luò)安全的基本要素 網(wǎng)絡(luò)安全的基本要素是實(shí)現(xiàn)信息的機(jī)密性、完整性、可用性、可控性、可審查性、不可抵賴性和合法性。 機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。 完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。 可用性：得到授權(quán)的實(shí)體在需要時(shí)可訪問(wèn)數(shù)據(jù)。 可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。 可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。 不可抵賴性：確保發(fā)送消息的人不能否認(rèn)其所發(fā)過(guò)的消息。 合法性：每個(gè)想獲得訪問(wèn)的實(shí)體都必須經(jīng)過(guò)鑒別或身份驗(yàn)證。,9.1 網(wǎng)絡(luò)安全概述,9.1.2 網(wǎng)絡(luò)安全面臨的威脅 典型

2、的網(wǎng)絡(luò)安全威脅主要包括以下幾個(gè)方面： 1.信息泄露或丟失 2.數(shù)據(jù)完整性破壞 3.拒絕服務(wù) 4.非授權(quán)防問(wèn) 5.特洛伊木馬 6.系統(tǒng)安全威脅 7.病毒/蠕蟲(chóng) 8.內(nèi)外部泄密,9.1 網(wǎng)絡(luò)安全概述,9.1.3 網(wǎng)絡(luò)安全防護(hù)技術(shù) 局域網(wǎng)在防范這些安全威脅時(shí)，網(wǎng)絡(luò)管理員可以綜合運(yùn)用下面這些常用防護(hù)技術(shù)來(lái)面對(duì)和解決。： 1.數(shù)據(jù)加密技術(shù) 2.身份認(rèn)證技術(shù) 3.訪問(wèn)控制技術(shù) 4.網(wǎng)絡(luò)防病毒技術(shù) 5.黑客防范技術(shù) 6.防火墻技術(shù) 7.入侵檢測(cè)技術(shù),9.2 局域網(wǎng)病毒防范,9.2.1 計(jì)算機(jī)病毒的定義 計(jì)算機(jī)病毒（Computer Virus）在中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中被明確定義，病毒“指

3、編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。此定義具有法律效力和權(quán)威性。,9.2 局域網(wǎng)病毒防范,9.2.2 計(jì)算機(jī)病毒特點(diǎn) 1.計(jì)算機(jī)病毒的共同特征 1）傳染性 2）非授權(quán)性 3）隱蔽性 4）潛伏性 5）破壞性,9.2 局域網(wǎng)病毒防范,9.2.2 計(jì)算機(jī)病毒特點(diǎn) 2.計(jì)算機(jī)病毒的新特征 1）感染速度快 2）擴(kuò)散面廣 3）傳播形式復(fù)雜多樣 4）難于徹底清除 5）破壞性大 6）可激發(fā)性 7）潛在性,9.2 局域網(wǎng)病毒防范,9.2.3 計(jì)算機(jī)病毒的防范技術(shù) （1）加強(qiáng)局域網(wǎng)使用者的安全意識(shí)，對(duì)日常工作中隱藏的病毒危害增加警覺(jué)

4、性。 （2）使用正版軟件。 （3）從可靠渠道下載軟件。 （4）安裝網(wǎng)絡(luò)版反病毒軟件，并及時(shí)進(jìn)行升級(jí)，定期掃描。 （5）對(duì)電子郵件提高警惕，對(duì)來(lái)歷不明的郵件不要輕易打開(kāi)。 （6）定期、不定期的備份重要文件。,9.3 網(wǎng)絡(luò)黑客防范,9.3.1 網(wǎng)絡(luò)黑客的定義 “他們瞄準(zhǔn)一臺(tái)計(jì)算機(jī)，對(duì)它進(jìn)行控制，然后毀壞它?！边@是1995年美國(guó)拍攝第一部有關(guān)黑客的電影戰(zhàn)爭(zhēng)游戲中，對(duì)“黑客”概念的描述。 從信息安全這個(gè)角度來(lái)說(shuō)，“黑客”的普遍含意是特指對(duì)電腦系統(tǒng)的非法侵入者。,9.3 網(wǎng)絡(luò)黑客防范,9.3.2 網(wǎng)絡(luò)黑客常用的攻擊手段 1.獲取口令 2.放置特洛伊木馬程序 3.WWW的欺騙技術(shù) 4.電子郵件攻擊 5.網(wǎng)

5、絡(luò)監(jiān)聽(tīng) 6.拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊（DoS 和DDoS） 7.尋找系統(tǒng)漏洞 8.利用帳號(hào)進(jìn)行攻擊 9.偷取特權(quán),9.3 網(wǎng)絡(luò)黑客防范,9.3.3 防范網(wǎng)絡(luò)黑客的常用措施 對(duì)于個(gè)人計(jì)算機(jī)用戶來(lái)說(shuō)，可以采用以下措施來(lái)防范黑客攻擊。 （1）安裝殺毒軟件以及軟件防火墻，并經(jīng)常升級(jí)殺毒軟件，更新病毒代碼庫(kù)，定期對(duì)系統(tǒng)進(jìn)行全面殺毒。 （2）經(jīng)常升級(jí)系統(tǒng)及應(yīng)用軟件補(bǔ)丁，系統(tǒng)補(bǔ)丁的安裝可以到控制面板中開(kāi)啟系統(tǒng)的“自動(dòng)更新”完成，應(yīng)用軟件的補(bǔ)丁需要到軟件的官方網(wǎng)站下載安裝。 （3）防范木馬程序。木馬程序會(huì)竊取植入計(jì)算機(jī)中的有用信息，因此也要防止被黑客植入木馬程序，常用的辦法有： 下載文件后先不要急于使

6、用，應(yīng)用殺毒軟件先進(jìn)行檢測(cè)是否安全，起到提前預(yù)防的作用。 打開(kāi)“開(kāi)始”“程序”“啟動(dòng)”菜單，看是否有不明的運(yùn)行項(xiàng)目，如果有則刪除。 將注冊(cè)表下的所有以“Run”為前綴的可疑程序全部刪除。,9.3 網(wǎng)絡(luò)黑客防范,9.3.3 防范網(wǎng)絡(luò)黑客的常用措施 （4）關(guān)閉不需要的系統(tǒng)服務(wù)，每個(gè)開(kāi)放的服務(wù)就像一扇開(kāi)啟的門，都有可能會(huì)被黑客悄悄地進(jìn)入?？梢缘皆诳刂泼姘逯须p擊“管理工具”圖標(biāo)，打開(kāi)“管理工具”窗口，雙擊“服務(wù)”圖標(biāo)，在打開(kāi)的“服務(wù)”窗口中可以查看系統(tǒng)服務(wù)的運(yùn)行情況，雙擊不需要的服務(wù)，單擊“停止”按鈕即可。 （5）為所有帳號(hào)設(shè)置足夠復(fù)雜的密碼，用戶弱口令不但會(huì)被黑客利用，現(xiàn)在不少病毒也是利用系統(tǒng)的弱口

7、令進(jìn)行傳播的。,9.3 網(wǎng)絡(luò)黑客防范,9.3.3 防范網(wǎng)絡(luò)黑客的常用措施 針對(duì)服務(wù)器及企業(yè)用戶來(lái)說(shuō)，可以采用的黑客防范措施有： （1）安裝殺毒軟件以及軟件防火墻（有條件可以使用硬件防火墻），經(jīng)常升級(jí)殺毒軟件，更新病毒代碼庫(kù)，定期對(duì)系統(tǒng)進(jìn)行全面殺毒，這樣上網(wǎng)時(shí)即便有黑客攻擊，網(wǎng)絡(luò)安全也是有保障的。 （2）經(jīng)常升級(jí)系統(tǒng)及應(yīng)用軟件補(bǔ)丁。 （4）不要輕易打開(kāi)來(lái)歷不明的可疑的文件，不輕易打開(kāi)郵箱中的附件，在打開(kāi)前先使用殺毒軟件掃描一下；不要回陌生人的郵件。 （5）關(guān)閉不需要的系統(tǒng)服務(wù)和不必要的端口。 （6）杜絕Guest賬戶的入侵。,9.3 網(wǎng)絡(luò)黑客防范,9.3.3 防范網(wǎng)絡(luò)黑客的常用措施 （7）更換管

8、理員賬戶。Administrator賬戶擁有最高的系統(tǒng)權(quán)限，一旦該賬戶被人利用，后果不堪設(shè)想。 （8）封堵黑客的后門。 刪掉不必要的協(xié)議。 關(guān)閉“文件和打印共享”。 禁止建立空連接。 （9）隱藏IP地址。 （10）拒絕惡意代碼。,9.4 防火墻技術(shù),9.4.1 防火墻定義 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。,9.4 防火墻技術(shù),9.4.2 防火墻

9、的功能 1.強(qiáng)化網(wǎng)絡(luò)安全策略 2.對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì) 3.防止內(nèi)部信息外泄,9.4 防火墻技術(shù),9.4.3 防火墻的類型 1.包過(guò)濾防火墻 包過(guò)濾防火墻（Packet Filtering）作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址、目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。,9.4 防火墻技術(shù),9.4.3 防火墻的類型 2.應(yīng)用代理防火墻 應(yīng)用代理防火墻作用在應(yīng)用層，檢查所有應(yīng)用層的信息包，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。,9.4 防火墻技術(shù),9.

10、4.3 防火墻的類型 3.狀態(tài)檢測(cè)防火墻 狀態(tài)檢測(cè)防火墻不僅保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn)，性能較好，同時(shí)對(duì)應(yīng)用是透明的，這對(duì)于安全性有了大幅提升。它摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考查進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包而不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)連接。對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，生存狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過(guò)。適合網(wǎng)絡(luò)流量大的環(huán)境。,9.4 防火墻技術(shù),9.4.3 防火墻的類型 4.復(fù)合型防火墻 由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法和基于代理服務(wù)的方法結(jié)合起來(lái)，形成

11、復(fù)合型防火墻產(chǎn)品。復(fù)合型防火墻把防病毒、內(nèi)容過(guò)濾整合到防火墻中，其中還包括VPN、IDS功能。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣部署病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施。,9.4 防火墻技術(shù),9.4.4 防火墻的體系結(jié)構(gòu) 1篩選路由式體系結(jié)構(gòu) 這種體系結(jié)構(gòu)極為簡(jiǎn)單，路由器作為內(nèi)部網(wǎng)和外部網(wǎng)的唯一過(guò)濾設(shè)備，如下圖所示。,9.4 防火墻技術(shù),9.4.4 防火墻的體系結(jié)構(gòu) 2雙宿主主機(jī)體系結(jié)構(gòu) 雙宿主主機(jī)專門用作內(nèi)部網(wǎng)和外部網(wǎng)的分界線。該主機(jī)安裝了兩塊網(wǎng)卡，分別連接到兩個(gè)網(wǎng)絡(luò)，如下圖所示。,9.4 防火墻技術(shù),9.4.4 防火墻的體系結(jié)構(gòu) 3屏蔽主機(jī)式體系結(jié)構(gòu) 屏蔽主機(jī)防火墻

12、比雙宿主機(jī)防火墻更安全。屏蔽主機(jī)防火墻體系結(jié)構(gòu)是在防火墻的前面增加了屏蔽路由器，如下圖所示。,9.4 防火墻技術(shù),9.4.4 防火墻的體系結(jié)構(gòu) 4屏蔽子網(wǎng)式體系結(jié)構(gòu) 屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)添加額外的安全層到主機(jī)屏蔽體系結(jié)構(gòu)中，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離，如下圖所示。,9.5 入侵檢測(cè)技術(shù),9.5.1 入侵檢測(cè)的概念 入侵檢測(cè)是指“通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”。,9.5 入侵檢測(cè)技術(shù),9.5.2 入侵檢測(cè)系統(tǒng)基本組成及分類 IETF（互聯(lián)網(wǎng)網(wǎng)絡(luò)工程組）將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件：事件產(chǎn)生器（Event Generators）、事件分析器（Event Analyzers）、響應(yīng)單元（Response Units）；事件數(shù)據(jù)庫(kù)（Event Databases）。 根據(jù)檢測(cè)對(duì)象的不同，入侵檢測(cè)系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型。,9.5 入侵檢測(cè)技術(shù),9.5. 入侵檢測(cè)的過(guò)程 信息收集 1）系統(tǒng)和網(wǎng)絡(luò)日志文件 2）非正常的目錄和文件改變 3）非正常的程序執(zhí)行,9.5 入侵