网络安全结构的设计.ppt

第五章 网络安全结构设计 本章重点 网络安全基本知识 5．1．5 计算机病毒 5．1．5．2病毒的危害 5．1．5．3病毒的分类 5．1．6系统漏洞 5．2网络安全技术概述 5.3 网络安全结构设计 5．3．1 网络结构划分 外网 不属于本部门的网络设备和主机都可以称为外网用户。 设计上：主要是在控制网络出入的路由器上对进出的数据包进行粗粒度的访问控制，过滤非法入内的数据包，实现第一层的安全保护。 内网 一般指隔离在内部防火墙之内的私有网部分。 实际上，对系统破坏最大的来自于内部泄密用户。即使外部用户也想尽各种办法试图伪装成内部用户窃取信息。 设计上：信息加密、身份认证、授权访问、广播隔离等，还要加强对内网用户的安全培训。 3．公共子网 5．3．2双宿主机结构 5．3．3主机过滤结构 5．3．4子网过滤结构 5．3．4子网过滤结构 5．3．2防火墙体系结构 5．4．1防火墙概述 5．4．1防火墙概述 5．4．2防火墙技术 5．4．2．1包过滤防火墙 定义好过滤规, 审查每个数据包. 过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。 系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。 缺陷： 通信信息：包过滤防火墙只能访问部分数据包的头信息； 通信和应用状态信息：包过滤防火墙是无状态的，所以它不可能保存来自于通信和应用的状态信. 普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两种可能性：若路由器可以找到一个路径到达目标地址则发送出去；若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。 带包过滤的路由器 带包过滤的路由器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。这些决定是路由器的过滤策略决定并强行执行的。 路由器的过滤策略主要有： 拒绝来自某主机或某网段的所有连接。 允许来自某主机或某网段的所有连接。 拒绝来自某主机或某网段的指定端口的连接。 允许来自某主机或某网段的指定端口的连接。 拒绝本地主机或本地网络与其它主机或其它网络的所有连接。 允许本地主机或本地网络与其它主机或其它网络的所有连接。 拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。 允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。 Netfilter / iptables 1）内核空间。Netfilter组件也称为内核空间（KernelSpace），是内核的一部分，由一些“表”（table）组成，每个表由若干“链”组成，而每条链中可以有一条或数条规则（rule）。 （2）用户空间。Iptables组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。 用户使用iptables命令在用户空间设置过滤规则。这些规则存储在内核空间的信息包过滤表中。这些规则告诉内核对来自某些源、前往某些目的地或具有某些协议类型的信息包做些什么。 如果某个信息包与规则匹配，那么使用目标 ACCEPT允许该信息包通过。还可以使用目标DROP或REJECT来阻塞并拒绝信息包。 根据规则所处理的信息包的类型，可以将规则分组在3个链中。 →处理入站信息包的规则被添加到INPUT链中。 →处理出站信息包的规则被添加到OUTPUT链中。 →处理正在转发的信息包的规则被添加到FORWARD链中。 当规则建立并将链放在filter表之后， 就可以开始进行真正的信息包过滤工作了。这时内核空间从用户空间接管工作。 常见的攻击形式 IP地址欺骗：攻击者从外部发送数据包，但在传输时，将其源IP地址改成内部网络中的 某个IP地址。然后通过假IP渗透系统。 解决方法：对所有来自外部的，但是IP地址是内部的数据包制定信任的范围。 源路由攻击： I PV4在I P报头中定义了一个可选项：Loose Source and Record Route Option。这个可选项列出了一个或多个中间目的地址，要求数据包在到达最终的目的地址前必须经过这几个中间地址。 利用这个选项可以指定路由，从而绕过防火墙，避免一系列的安全检查。 解决的方法：丢弃那些包含源路由选项的数据包。 例 主机A向目的主机B发送数据包，但它想让数据包经过从源到目的地的路径上的一台