网络安全和防火墙.docxVIP

网络安全和防火墙 第一章定义安全 ―、安全： 1、 定义：在给合法用户提供正常的访问权限的情况下，限制或禁止非法用户对资源 的访问。由于在我们的网络中存在了复杂的技术，如 LAN, WAN, Internet, VPN ,所 以就要求我们针对不同的技术采用不同的防护措施。 2、 特点： 没有绝对的安全，仅有相对的安全 确定安全等级需要平衡 3、 有效的安全性系统包括： 能够进行访问控制 易于使用 尽量降低总体拥有成本 灵活稳定 具有很好的警报和日志功能 二、 需要保护的资源： 1、 终端：下载软件，安装服务，恶意操作 2、 网络资源：TCP/IP中没有内置安全性机制，Spoofing 3、 服务资源：网络的核心服务，DNS, WINS, Web.. 4、 数据：file server, database server 三、 黑客的类型： 1、 casual attackers: script kids 2、 determined attackers : hackers 3、 spies: crackers 四、 安全模型： 1、 验证： 2、 访问控制： 3、 数据机密性： prevent passive threats 4、 数据一致性： prevent active threats 5、 抗抵赖性 第二章安全组件： 一、 金字塔模型 二、 联合的安全性策略：定义了网络的安全性需求和所需的安全性技术 1、 系统分类： level I : 5%不允许超过两个小时的荡机时间，对公司的正常运行具有至关 重要的资源，验证、访问控制、审核、日志、病蠹扫描、晋级恢复机制、入侵 检测、 level II : 20%允许不超过48小时的荡机时间，少量的审核和监视 level III: 75%, 病蠹防护 2、 根据资源的重要性和可靠性进行优先级的划分 3、 标示入侵的可能性 、定义可接受和不可接受的活动： 可接受：安全性高，避免出现安全漏洞 限制用户的活动 不可接受：管理的工作量小，灵活 容易出现安全漏洞 、对不同的资源定义安全性标准： 、对不同的用户定义不同的教育内容 三、 加密： 1、 功能：数据的机密性、数据的一致性，验证和抗抵赖性 2、 类型：对称加密，公钥加密，散列 3、 加密的强度： 影响因素：算法的强度 密钥的安全性 密钥的长度 四、 身份验证： 1、 作用：提供用户级的访问控制 2、 方法： what you know : most common methods, password based what you have: smart card who you are: biometrics where you are: location based, r* serial programs and reverse dns lookup 3、 实现： Kerberos V5 演示分别从98和2000的计算机上登录域，进行密码的捕获 过程 优点：可以提供验证、加密和一致性 不需要在网络上传输密码 加密信息 抗重演攻击 能够控制对资源的访问 缺点：仅提供了工作站级的安全性 OTR 防止 snooping 和 password hijacking 三、访问控制：控制对于对象的访问 、ACL 、ECL调节进程的运行方式 五、 审核：对所发生的事件进行记录并采取相应的措施。 1、 消极的审核：仅记录 2、 积极的审核：记录事件并采取相应的措施 第三章加密技术 一、基本概念： 1、 rounds :数目愈大，加密越强 2、 parallelization :多进程处理 3、 strong encryption :密钥长度超过 128 位 、类型： 1、 对称加密 特点： 优点：速度快，适合加密大量数据 缺点：密钥的分发 产品：DES, 3DES, RSA 2、 公钥加密： 特点： 优点：密钥分发能过确保安全，抗蛮力攻击 缺点：比对称加密慢100倍，不适合加密大量数据 应用：数据加密，数字签名 产品：DSA, Diffie-Hellman 3、 散列加密： 特点：单向 优点：密钥的安全性 应用：身份验证 产品：MD5, SHA1 、加密的实际应用： 1、对电子邮件的防护： 原理： 类型： 客户端加密：优点，不依赖于服务器产品，能够在不同厂商的服务器问发送加 密的邮件 缺点，需要较多的配置 类型：PGP,开放的协议 S/MIME, 工业标准 服务器加密：优点，客户端不需要任何配置 缺点，依赖于服务器产品 应用：PGP 2、 加密文件： EFS:加密数据 MD5sum#名文件，防止修改 3、 加密Web^通： 类型：Secure HTTP, SSL/TLS, SET Secure HTTP:工作在应用层，仅能加密HTTP的交通 SSL/TLS: