第11章网络安全技术剖析.ppt

第11章 网络安全技术 学习内容 网络安全概述 Linux防火墙 netfilter/iptables ARP欺骗与防御 盗链与防盗链技术 “蜜罐”技术 入侵检测技术 概述 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 概述 构建网络安全系统，主要是进行认证、加密、监听，分析、记录等工作，一个全方位的安全体系应该包括： 访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。 检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。 攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。 加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。 认证：良好的认证体系可防止攻击者假冒合法用户。 备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。 Linux防火墙 防火墙是保护主机和网络安全的一种重要设施 Linux 自带的iptables 防火墙功能非常丰富，是Linux 系统构建防火墙的首选。 netfilter/iptables IP信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在Linux内核中。 Linux防火墙 Netifilter是Linux核心中的一个通用架构，它提供了一系列的“表”（tables），每个表由若干“链”（chains）组成，而每条链中可以有一条或数条规则（rule）组成。 可以理解netfilter是表的容器，表是链的容器，而链又是规则的容器 Linux防火墙 系统缺省的表为“filter”，表中包含了INPUT、FORWARD和OUTPUT共3个链。每一条链中可以有一条或数条规则，每一条规则都定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。 当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件。如果满足条件，系统将根据该条件规则所定义的方法处理该数据包；否则继续检查下一条规则。最后，如果该数据包不符合该链中所有规则的话，系统就会根据该链预先定义的策略来处理该数据包。 iptables基础 iptables语法格式： iptables [-t 表名] 命令选项 [匹配] [-j 目标动作或跳转] 表名 -t 表名表示当前的策略属于哪个表，一共有三种表：mangle、filter和nat，由于iptables的主要工作是过滤进出本地网络适配器的数据包，因此，很自然的，如果一条策略是关于过滤的，那么在缺省情况下，“-t filter”是可以省略的，而mangle和nat是一定要注明的（在实际的应用环境当中，mangle几乎用不到） iptables基础 命令 命令指定iptables 对我们提交的规则要做什么样的操作。这些操作可能是在某个表里增加或删除一些东西，或其他动作。 iptables基础 匹配（matche） 在iptables 的一条策略中，如何匹配一个数据包是非常关键的。matche大致可以归为五类。 第一类是generic matches（通用的匹配），适用于所有的规则； 第二类是TCP matches，顾名思义，这只能用于TCP包； 第三类是UDP matches，当然它只能用在UDP包上了； 第四类是ICMP matches ，针对ICMP包的； 第五类比较特殊，针对的是状态（state），所有者（owner）和访问的频率限制（limit）等。 通用匹配：无论使用的是何种协议，也不管装入了匹配的何种扩展，通用匹配都是可用的。也就是说，它们可以直接使用，而不需要什么前提条件，有很多匹配操作是需要其他的匹配作为前提的。 iptables基础 iptables基础 iptables 实例 将FORWARD链的默认策略设置为DROP iptables -P FORWARD DROP 允许协议为tcp目标端口为80的且从外网接口eth3进入的数据包通过本防火墙，即开放对内网www服务的请求。 iptables -A FORWARD -i eth3 -p tcp --dport 80 -j ACCEPT 允许内网www服务的应答包通过本防火墙，即开放内网www服务