第8章 网络安全[修改版].pptVIP

讲师：韩立刚MSN:onesthan@;8.1 网络安全简介 8.2 访问控制列表 8.3 基于时间的访问控制列表 8.4 使用ACL降低安全威胁 8.5 ACL的位置;在讲解在路由器上实现网络层安全之前，先给大家从广义上介绍一下网络安全涉及的范围。;大家在工作中可能会听到这样的词“物理层安全”、“数据链路层安全”、“网络层安全”、“应用层安全”，这些都是根据OSI参考模型的分层来说的。 下面针对OSI参考模型的层举一些安全的例子。 1.物理层安全 通过网络设备进行攻击：例Hub和无线AP进行攻击。 物理层安全措施：使用交换机替代Hub，给无线AP配置密码实现无线设备的接入保护和实现数据加密通信。;2.数据链路层安全 数据链路层攻击举例：恶意获取数据或MAC地址，例如ARP欺骗、ARP广播等等。 数据链路层安全措施举例：在交换机的端口上控制连接计算机的数量或绑定MAC地址或在交换机上划分VLAN也属于数据链路层安全。ADSL拨号上网的账号和密码实现的是数据链路层安全。 3.网络层安全 网络层攻击举例：IP Spoofing（IP欺骗）、Fragmentation Attacks（碎片攻击）、Reassembly attacks（重组攻击）、PING of death（Ping死攻击）。 网络层安全措施举例：在路由器上设置访问控制列表和IPSec、在Windows上实现的Windows防火墙和IPSec;4.传输层安全 传输层攻击举例：Port Scan（端口扫描）、TCP reset attack（TCP重置攻击）、SYN DoS floods（SYN拒绝服务攻击）、LAND attack（LAND攻击）、Session hijacking（会话劫持） 5.应用层安全 应用层攻击举例：MS-SQL Slammer worm 缓冲区溢出、IIS红色警报、Email 蠕虫、蠕虫，病毒，木马、垃圾邮件、IE漏洞。 安全措施：安装杀毒软件，更新操作系统。;一种典型的网络架构为如图所示的三向外围网，防火墙设备连接Internet、内网和DMZ区。DMZ区部署了公司的对外的Web和Mail服务器，一般是公网IP地址。内网是私网IP地址，一般不对Internet用户提供服务，但是需要访问Internet。;另外一种典型的网络架构就是背靠背防火墙，如图所示，两个防火墙之间是DMZ区，内网在后端防火墙后端。建议这两个防火墙不是同一家公司的产品，这样入侵者要想入侵内网，就需要突破两个???同厂商的防火墙，增加了难度。; 图 8-2 背靠背防火墙 ;防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。 1.数据包过滤 数据包过滤（Packet Filtering）技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表（Access Control List）。 数据包过滤又称为网络级别防火墙，网络级别的防火墙很快，但是不能基于数据包的内容过滤数据。;2.应用级网关 应用级网关（Application Level Gateways）是在网络应用层上建立协议过滤和转发功能，实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。 ;3.代理服务 代理服务(Proxy Service)也称链路级网关或TCP通道（Circuit Level Gateways or TCP Tunnels。它特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接“，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。 国内代理服务器软件有CCProxy，微软的代理服务器软件ISA2006防火墙能有效地防止外来的入侵;IP大多与生俱来就是不安全的，让我们来分析一些常见的攻击。 1.应用层攻击 这些攻击通常瞄准运行在服务器上的软件漏洞，比如服务器运行FTP、Mail、HTTP服务都有可能有漏洞。 2.Autorooters 它像一种黑客机器人，恶意者使用它来探测、扫描并从目标机器上捕获数据，装了rootkit后的目标机像是在整个系统中装了 “眼睛”一样，自动监视着整个