第01章 网络安全概述4.ppt

ARP分组格式 RARP分组格式 ICMP报文格式 * 人在技术的支持下去执行操作从而来对信息系统进行保障。 攻击的一般过程 预攻击 内容： 获得域名及IP分布 获得拓扑及OS等 获得端口和服务 获得应用系统情况 跟踪新漏洞发布 目的： 收集信息，进行进一步攻击决策 攻击 内容： 获得远程权限 进入远程系统 提升本地权限 进一步扩展权限 进行实质性操作 目的： 进行攻击，获得系统的一定权限 后攻击 内容： 植入后门木马 删除日志 修补明显的漏洞 进一步渗透扩展 目的： 消除痕迹，长期维持一定的权限 2.3 网络防御意义 进攻和防御是对立统一的矛盾体 必须树立“积极防御”的网络战指导思想，因为在网络战中“进攻未必就是最好的防御”。 “网络防御作战”的成熟研究，是网络战尽早达到“攻防平衡”的前提和基础。 2.4 网络防御构架 网络防护 被动防护：包括路由器过滤、防火墙等 主动防护：在充分利用被动防护技术的基础上，还包括攻击预警、入侵检测、网络攻击诱骗和反向攻击等 网络主动防御技术 在增强和保证被网络安全性的同时，及时发现正在遭受的攻击并及时采取各种措施使攻击者不能达到其目的，使自己的损失降到最低的各种方法和技术。 网络主动防御安全模型 管理——对技术的管理、对人的管理、对政策的管理 对技术的管理——通过策略进行，以使各种安全技术能成为一个有机的整体，从而提高系统的整体防护能力。 对人的管理——通过各种政策和安全制度对参与信息系统的人员进行安全制度强制的执行、安全意识和安全技术的培训等，增强参与信息系统的人员的安全意识和遵纪守法意识，提高安全警觉性，从而加强系统的整体安全性。 对政策的管理——包括政策的制定、执行和改进等。 策略——将各种安全技术有机结合起来的关键。 纵深防御策略 纵深防御策略描述如下： 网络安全首先是网络管理的安全，这包括对技术管理的安全、对人员管理的安全和对政策管理的安全。 这是一个层次性的循环防御策略，该层次性的结构可以根据网络攻击的深入提供不同层次的防护。 层与层之间必须进行信息交互，也可跨层进行信息交互，信息的交互需要利用安全的网络通信协议进行。各层子系统进行信息交互的目的就是使各层间相互配合来保证一层被攻破，会有下一层的防护阻止网络攻击的继续进行。 网络内部的攻击比外部攻击要容易，其危害更大。所以网络监控系统要实时监控内部网络的各个主机行为，并根据相应的策略限制网络内部的可能的异常行为。 技术 操作 人 纵深防御策略的防护流程 Step1：根据对已经发生的网络攻击或正在发生的网络攻击及其趋势的分析，以及对本地网络的安全性分析，预警对可能发生的网络攻击提出警告。 Step2：网络系统的各种保护手段（如防火墙）除了在平时根据其各自的安全策略正常运行外，还要对预警发出的警告做出及时的反应，从而能够在本防护阶段最大限度的阻止网络攻击行为。 Step3：检测手段包括入侵检测、网络监控和网络系统信息和漏洞信息检测等。其中的漏洞信息检测在纵深防御的若干阶段都要用到，比如预警、检测和反击等。入侵检测检测到网络入侵行为后要及时通知其他的防护手段，比如防火墙、网络监控、网络攻击响应等。网络监控系统不仅可以实时监控本地网络的行为从而阻止来自内部网络的攻击，同时也可作为入侵检测系统的有益补充。 Step4:只有及时的响应才能使网络攻击造成的损失降到最低。响应除了根据检测的入侵行为及时地调整相关手段（如防火墙、网络监控）来阻止进一步的网络攻击，还包括其他的主动积极的技术：网络僚机、网络攻击诱骗、网络攻击源精确定位和电子取证等。 网路僚机：如蜜罐系统。一方面可以牺牲自己来保护网络，另一方面可以收集网络攻击者信息，为攻击源定位和电子取证提供信息。 网络攻击诱骗：显著提高网络攻击的代价，并可以将网络攻击流量引导到其他主机上。 网络攻击源定位：除了可以利用网络僚机和网络攻击诱骗的信息外，还可以利用其他技术（如移动Agent、智能分布式Agent、流量分析）来定位攻击源。 电子取证：综合利用以上信息，根据获得的网络攻击者的详细信息进行电子取证，为法律起诉和网络反向攻击提供法律凭证。 Step5：遭受到网络攻击后，除了及时的阻止网络攻击外，还要及时地恢复遭到破坏的本地系统，并及时地对外提供正常的服务。 Step6：网络反击是防护流程的最后一步，也是重要的一步。根据获得的网络攻击者的详细信息，网络反击综合运用探测类、阻塞类、漏洞类、控制类、欺骗类和病毒类攻击手段进行反击。 网络主动防御系统体系结构 网络主动防御安全模型＋ 纵深防御策略 技术层面 预警 预警是对可能发生的网络攻击给出预先的警告。包括几方面： 漏洞预警：根据已知的系统漏洞或研究发现的系统漏洞来对可能发生的网络攻击提出预警。 行为预警：分析网络黑客