firewallVPN技术报告.ppt

防火墙与VPN技术 授课内容 网络安全概述 网络服务的安全问题 电子邮件的安全问题 UNIX平台上常用的邮件服务器sendmail 常以root帐号运行，存在潜在的危险； 角色欺骗：电子邮件上的地址是可以假冒的； 窃听：电子邮件的题头和内容是用明文传送的，所以内容在传送过程中可能被他人偷看或修改； 电子邮件炸弹：被攻击的计算机被电子邮件所淹没直到系统崩溃； 针对电子邮件的病毒大量涌现。 FTP文件传输的安全问题 多数FTP服务器可以用anonymous用户名登录，这样存在让用户破坏系统和文件可能。 上载的软件可能有破坏性，大量上载的文件会耗费机时及磁盘空间。 建立匿名服务器时，应当确保用户不能访问系统的重要部分，尤其是包含系统配置信息的文件目录。 注意不要让用户获得SHELL级的用户访问权限。 普通文件传输协议（TFTP）支持无认证操作，应屏蔽掉。 Telnet服务和WWW的安全问题 Telnet登录时要输入帐号和密码，但帐号和密码是以明文方式传输的，易被监听到。SSH(Secure Shell) Web浏览器和服务器难以保证安全。 Web浏览器比FTP更易于传送和执行正常的程序，所以它也更易于传送和执行病毒程序。 服务器端的安全问题主要来自于CGI（公共网关接口）程序，网上很多的CGI程序并不是由有经验、了解系统安全的程序员编写的，所以存在着大量的安全漏洞。 JavaScript ,Java Applet, Active X都会带来安全问题。 Usenet新闻和DNS域名服务的安全问题 用户的机器可能被洪水般的信息所淹没，用户也可能被收到的信息所欺骗，并有可能泄漏机密的信息。 Newsgroup新闻组用户可能会泄露一些机密信息。 DNS服务中，主机名欺骗就是一种常见的入侵方式。 DNS服务器向外提供了一些服务器的主机名和用户信息，黑客经常把它作为攻击的一种手段。 假冒的DNS服务器可能会提供一些错误的信息。 网络管理服务及NFS的安全问题 Ping、traceroute/ tracert经常被用来测试网络上的计算机，以此作为攻击计算机的最初的手段。 简单网络管理协议（SNMP）可以用来集中管理网络上的设备，SNMP的安全问题是别人可能控制并重新配置你的网络设备以达到危险的目的：取消数据包过滤功能、改变路径、废弃网络设备的配置文件等。 NFS可以让你使用远程文件系统，不恰当的配置NFS，侵袭者可以很容易用NFS安装你的文件系统。 NFS使用的是主机认证，黑客可以冒充合法的主机。 NIS 目前流行的网络安全技术 防火墙技术 防病毒软件 PKI公钥基础设施 防火墙 VPN虚拟专用网 漏洞扫描 入侵检测 一、防火墙技术 防火墙 分类 软件，硬件 包过滤，应用代理，状态检测 优点 有宜于在网络层阻止非授权访问和攻击 可以在保护的边界上实施一定的安全基准 提供一些增强的安全特性 缺点 无法防止基于应用层的攻击 无法防止全部的网络层拒绝服务攻击 二、认证技术 智能卡，软件挑战 一次性口令方式 单点登陆认证 生物鉴别机制 PKI认证技术 混合认证 三、入侵检测技术 IDS系统（实时入侵检测) 分类 基于主机 基于网络 优点 对重要服务的攻击企图能及时发现 能进行系统受攻击程度的量化 对攻击进行一定的取证 弥补防火墙的不足 缺点 一般无法防止未知的攻击 不正确的使用等于无用 误报和漏报 网络IDS企业内部典型安装 IDS阻断入侵示意图 四、系统安全增强技术 系统安全加固 分类 使用产品 利用系统本身设置 优点 将C2级的unix系统提高到B级 增强系统的的抗攻击性 较大的提高系统本身安全和审计能力 缺点 目前不便于普遍的实施 系统易用性会下降，管理成本上升。 五、内容安全技术 加密技术 分类 VPN网络 各种链路加密 各种应用安全 优点 不能被窃听和中途修改 不能被中途劫持 缺点 实施和管理成本较高 在一些应用上效率较低 内容过滤与检测技术（Carnivore、邮件过滤，BBS预审平台） 防病毒技术 基于桌面的防病毒 企业级防病毒 基于群件服务器的防病毒 基于网络的防病毒 数字水印和信息隐藏技术 六、安全扫描技术 安全扫描审计 分类 网络安全扫描 系统安全扫描 优点 较全面检测流行漏洞 降低安全审计人员的劳动强度 防止最严重的安全问题 缺点 无法跟上安全技术的发展速度 只能提供报告，无法实际解决 可能出现漏报和误报 日志分析：记录所发生的重要的操作行为 安全扫描的使用 七、冗余备份和灾难恢复技术 备份与容灾系统 多种备份方式结合，能很好保障数据安全 多种应用平台的集中备份 大规模实施，成本很高 双机热备技术 集群技术 路径冗余 综合安全体系示意图 防火墙技术 授课内容 防火墙基本知识 防火墙技术 防火墙种类 防火墙体系结构