网络安全结构设计-修改.ppt

第五章 网络安全结构设计 本章重点 5．1．1网络窃听 5．1．2 完整性破坏 5．1．3 地址欺骗 5．1．4拒绝服务攻击 5．1．4拒绝服务攻击 5．1．5 计算机病毒 5．1．5．2病毒的危害 5．1．5．3病毒的分类 5．1．6系统漏洞 网络的组成元素 导致这些问题的原因是什么？ 现有网络安全体制 网络安全的演化 病毒的演化趋势 病毒发展史 病毒发展史（续1） 病毒出现越来越快 网络病毒的特征 通过攻击操作系统或应用软件的已知安全漏洞来获得控制权 在本地硬盘上并不留下文件 由于其在网络上进行扫描的动作，可能会引起严重的网络负载 如果攻击是属于常规的应用，例如SQL, IIS等就可能穿过防火墙 垃圾邮件的发展速度和趋势 5．2网络安全技术概述 4. 信息加密技术 通过对信息的重新组合，使得只有收发双方才能解码还原信息。加密技术的安全性与硬件的性能和所选密码的长度有关。 5. 防火墙技术 防火墙技术是位于内部网和外部网之间的屏障，通过预先制定的过滤策略，控制数据的进出，是系统的第一防线。 5．3．1 网络结构划分 5．3．2双宿主机结构 5．3．3主机过滤结构 5．3．4子网过滤结构 5．3．4子网过滤结构 5．3．2防火墙体系结构 5．4．1防火墙概述 5．4．1防火墙概述 5．4．2防火墙技术 5．4．2．1包过滤防火墙 包过滤防火墙 包过滤防火墙 在决定能否及如何传送数据包之外，还根据其规则集，看是否应该传送该数据包 普通路由器 当数据包到达时，查看IP包头信息，根据路由表决定能否以及如何传送数据包 静态包过滤防火墙 路由与包过滤 路由进行转发，过滤进行筛选 包过滤所检查的内容 源和目的的IP地址 IP选项 IP的上层协议类型（TCP/UDP/ICMP） TCP和UDP的源及目的端口 ICMP的报文类型和代码 我们称这种对包头内容进行简单过滤的方式为静态包过滤 包过滤配置 包过滤防火墙配置步骤： 知道什么是应该和不应被允许，制定安全策略 规定允许的包类型、包字段的逻辑表达 用防火墙支持的语法重写表达式 规则制定的策略 拒绝任何访问，除非被规则特别允许 允许任何访问，除非规则特别地禁止 规则制定的策略 过滤的两种基本方式 按服务过滤：根据安全策略决定是否允许或拒绝某一种服务 按规则过滤：检查包头信息，与过滤规则匹配，决定是否转发该数据包 依赖于服务的过滤 多数服务对应特定的端口，如要封锁输Telnet 、SMTP的连接，则Router丢弃端口值为23和25的所有数据包。 典型的过滤规则有以下几种： 只允许进来的Telnet会话连接到指定的内部主机 只允许进来的FTP会话连接到指定的内部主机 允许所有出去的Telnet会话 允许所有出去的FTP会话 拒绝从某些指定的外部网络进来的所有信息 按规则过滤 有些类型的攻击很难用基本包头信息加以鉴别，因为独立于服务。如果防范则需要定义规则 1）源IP地址欺骗攻击 入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。 按规则过滤 2）源路由攻击 　　攻击者为信息包指定一个穿越Internet的路由，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。 3）残片攻击 　　入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断，使数据包绕过用户定义的过滤规则。黑客希望过滤路由器只检查第一分段，而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中Fragment Offset=1的数据包，即可挫败残片的攻击。 推荐的规则 任何进入内网的数据包不能将内部地址作为源地址 任何进入内网的数据包必须将内部地址作为目标地址 任何离开内网的数据包必须将内部地址作为源地址 任何离开内网的数据包不能将内部地址作为目标地址 任何进入或离开内网的数据包不能把一个私有地址或者/8作为源或目标地址 静态包过滤的优缺点 优点： 速度快 价格低 对用户透明 缺点： 配置难把握 防范能力低 没有用户身份验证机制 动态包过滤 动态包过滤是Check Point的一项称为“Stateful Inspection”的专利技术，也称状态检测防火墙 。 动态包过滤防火墙不仅以一个数据包的内容作为过滤的依据，还根据这个数据包在信息流位置加以判断。 动态包过滤防火墙可阻止未经内网请求的外部通信，而允许内网请求的外部网站传入的通信 。 动态包过滤防火墙 使用动态包