第五章 网络安全结构设计在 1995年,计算机安全机构 CSI( Computer
Security Institute)对全球,财富,500家企业中的
242家进行了调查发现。 12%的企业因为网络的非法入侵而遭受过损失,平均损失 45万美元,总共损失将近 5000万美元。 1996年对美国 5000家私有企业、金融机构和大学进行计算机犯罪和安全调查发现,42%
的调查者回答,在过去的 12个月中,他们的计算机系统不同程度的经历过非授权使用。
本章重点
5,1 影响网络安全的隐患
5,2 网络安全技术概述
5,3 网络安全结构设计
5,4 防火墙
5,5 网络操作系统安全性概述
5,1,1网络窃听
Sniffer技术可以让内部局域网的入侵者快速探测内部网上的主机并获得控制权,通过分析以太网的数据帧获得有用的信息,比如网络服务器上的用户名和密码等。
影响网络安全的隐患
P109
5,1,2 完整性破坏
完整性破坏指的是在公共网络上传输的数据存在着被篡改的可能。
保护完整性的唯一方法就是使用散列( Hash
)函数算法。
散列函数生成的信息摘要具有不可逆性,任何人都不能将其还原成原始数据。
影响网络安全的隐患
P110
5,1,3 地址欺骗
地址欺骗技术的简单原理就是伪造一个被主机信任的 IP地址,从而获得主机的信任而造成攻击。
影响网络安全的隐患
P110
5,1,4拒绝服务攻击
拒绝服务攻击( Deny of Service,即 DOS)
通常是以消耗服务器端资源为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使正常的用户请求得不到应答,
实现攻击目的。
影响网络安全的隐患
P111
5,1,4拒绝服务攻击影响网络安全的隐患
P111
5,1,5 计算机病毒
计算机病毒其实就是一种程序,只不过这种程序能破坏计算机系统,并且能潜伏在计算机中
,复制,感染其它的程序和文件。
影响网络安全的隐患
P111
5,1,5,2病毒的危害
系统速度变慢甚至资源耗尽而死机
硬盘容量减小
网络系统崩溃
数据破坏和硬件损坏影响网络安全的隐患
P112
5,1,5,3病毒的分类
文件型病毒
引导扇区病毒
混合型病毒
宏病毒
木马病毒
蠕虫病毒
网页病毒影响网络安全的隐患
P112
目前网络上传播的多半是这三种类型的病毒,日常工作中尤其要引起注意
5,1,6系统漏洞系统漏洞实际上是软件设计中的缺陷,也被称为 Bug,但由于这些漏洞被 Hacker用来设计病毒或实施攻击,因此,人们就把漏洞和安全问题联系起来了。管理员要想解决漏洞的危害必须学会如何查漏和补漏,经常访问 Internet上的安全公告,及时下载相关安全补丁堵漏。
影响网络安全的隐患
P113
5,2网络安全技术概述
5,2,1身份验证技术
5,2,2数据完整性技术
5,2,3跟踪审计技术
5,2,4信息加密技术
5,2,5 防火墙技术网络安全技术概述
P114
5,3,1 网络结构划分按照对网络数据安全等级的标准,可以将网络结构划分为外部网(简称为外网)、内部网(简称为内网)和公共子网。
网络安全结构设计
P114
3.公共子网在一种网络安全结构的划分中,将一部分可以向 Internet用户提供公共服务的服务器设备单独从内网中隔离出来,即允许外部用户访问也允许内部用户访问,这就是公共子网,也称作军事管制区 ( Demilitarized Zone,DMZ)。
该子网是内部用户和外部用户都唯一能到达的网络区域,提供对内和对外的各种服务,负责传递或代理外部对内部的访问和内部对外部的访问。
网络安全结构设计
P115
5,3,2双宿主机结构双宿主机是一台具有多个网络接口的主机,它可以进行内部网络与外部网络之间的寻径,可以充当与这台主机相连的若干网络之间的路由器。
网络安全结构设计
P115
5,3,3主机过滤结构主机过滤结构防火墙由过滤路由器和堡垒主机共同组成。
网络安全结构设计
P116
5,3,4子网过滤结构 网络安全结构设计
P117
5,3,4子网过滤结构在这种结构中,有两台过滤器连接到公共子网
,一台位于公共子网与内部网络之间,而另一台位于参数网络与外部网络之间。这样,入侵者必须通过两台路由器和堡垒主机的安全控制才能抵达网络,同时还可以限制某些服务使之只能在指定的主机上与内部网络站点之间传递
。这种方式大大增强了网络的安全性能,并且由于路由器控制数据包流向,提高了网络的吞吐能力,但是系统设置较为复杂。
网络安全结构设计
P116
5,3,2防火墙体系结构为了实现安全需求,防火墙体系结构一般设计得比较复杂,可以是上述结构中的一种或者是几种的结合:
1.使用多堡垒主机
2.合并内部路由器与边界路由器
3.合并堡垒主机与内部路由器
4.使用多台内部路由器
5.使用多台外部路由器
6.使用多个周边网络
7.使用双重宿主主机与 DMZ子网网络安全结构设计
P117
5,4,1防火墙概述
防火墙是一种在内部网和外部网之间实施的安全防范措施,可以认为它是一种访问机制,用于确定哪些内部服务可以提供给外部服务器,
以及哪些外部服务器可以访问内部网资源。
一般来说,防火墙存在的形式只有两种。一种是以软件的形式运行在计算机上,另外一种就是以硬件的形式存在。
防火墙
P117
5,4,1防火墙概述总的来说,一个好的防火墙系统应具有以下几个方面的特性和功能:
( 1) 所有在该内部网和外部网之间交换的数据都可以而且只能经过该防火墙;
( 2) 只有被防火墙检测后合格,即防火墙系统中安全策略允许的数据才可以自由出入防火墙,其它不合格的数据一律被禁止通过;
( 3) 防火墙的技术是最新安全的技术,和时代是同步的;
( 4) 防火墙本身不受任何攻击;
人机界面友好,易于操作,易于系统管理员进行配置和控制。
防火墙
P118
5,4,2防火墙技术防火墙根据内部所使用的技术一般可以分为
,包过滤防火墙,应用级网关 和 电路级网关 。
防火墙
P118
5,4,2,1包过滤防火墙包过滤器的工作是检查每个包的头部中的有关字段。网络管理员可以配置包过滤器,指定要检测哪些字段以及如何处理等等。
防火墙
P118
H H…
…
H H…
…
包过滤器
128,10,0,0 192,5,48,0
5,4,2,2应用级网关应用级网关防火墙安装在网络应用层上
,它是一种比包过滤防火墙更加安全的防火墙技术。
防火墙
P119
Intranet
应用层应用网关物理层 Internet
……
5,4,2,3电路级网关它的主要技术特点是不允许直接建立端对端的连接,而是将跨越防火墙的网络通信链路分为两段,通过代理服务器建立两个
TCP连接。
防火墙
P120
转发应答客户 代理服务器 服务器请求 请求应答应答
5,4,2,3电路级网关
代理服务是运行在网络主机上的一个软件应用程序
,它就像外部网和内部网之间的中间媒介,筛选进出的数据。
运行代理服务的网络主机称为代理服务器或网关。
对于外部网络,代理服务器相当于内部网络的一台服务器,实际上,它只是内部网络的一台过滤设备
。
代理服务器的安全性除了表现在它可以隔断内部和外部网络的直接连接,还可以防止外部网络发现内部网络的地址。
防火墙
P120
5,4,2,4新型防火墙技术新型防火墙,既有包过滤的功能,又能在应用层进行代理。它具有以下特点:
( 1)综合包过滤和代理技术,克服二者在安全方面的缺陷。
( 2)能从数据链路层一直到应用层施加全方位的控制。
( 3)实现 TCP/IP协议的微内核,从而在 TCP/IP协议层进行各项安全控制。
( 4)基于上述微内核,使速度超过传统的包过滤防火墙。
( 5)提供透明代理模式,减轻客户端的配置工作。
( 6)支持数据加密、解密( DES和 RSA),提供对虚拟网 VPN
的强大支持。
( 7)内部信息完全隐藏。
防火墙
P120
5,4,3,2防火墙产品介绍
1,Cisco PIX 515E防火墙
2,3COM的 SuperStack防火墙
3.天融信网络卫士 NGFW4000
4.东软的 Neteye 3.2
防火墙
P122
图 5-11 Cisco PIX 515E防火墙外观图
5,4,4架设防火墙的步骤
1.制定安全策略
2.搭建安全体系结构
3.制定规则次序
4.落实规则集
5.注意更换控制
6.做好审计工作防火墙
P124
5,4,4架设防火墙的步骤
现代的网络操作系统一般具有下列特点:
( 1)多用户支持
( 2)访问控制
( 3)安全性管理
( 4)网络管理功能
( 5)对 TCP/IP协议的良好支持
目前市场上流行的网络操作系统主要有三种:
Novell公司的 NetWare操作系统,Microsoft公司的
Windows NT/Windows 2000操作系统、各种版本的 Unix/Linux操作系统。
网络操作系统安全性概述
P124
5,5 网络操作系统安全性概述
现代的网络操作系统一般具有下列特点:
( 1)多用户支持
( 2)访问控制
( 3)安全性管理
( 4)网络管理功能
( 5)对 TCP/IP协议的良好支持
目前市场上流行的网络操作系统主要有三种:
Novell公司的 NetWare操作系统,Microsoft公司的
Windows NT/Windows 2000操作系统、各种版本的 Unix/Linux操作系统。
网络操作系统安全性概述
P126
5,5,1 Windows2000安全性
作为 Win NT的升级版本,Win2000操作系统不仅具有一般操作系统的功能,还具有强大的局域网管理功能。它可通过多种技术和手段来控制用户对资源的访问,提高网络的安全性,其中包括与活动目录( Active Directory)服务的集成
、支持认证 Windows 2000用户的 Kerberos v5认证协议、
提供了公钥基础设施 PKI支持,用公钥证书对外部用户进行认证、使用加密文件系统 EFS( Encrypting FileSystem)
保护本地数据以使用 Internet协议安全 IPSec( Internet
Protocol security)来保证通过公有网络的通信的安全性,
以及基于 Windows 2000的安全应用开发的可扩展性等等。
网络操作系统安全性概述
P126
5,5,1,2 Win2000的用户账号网络操作系统安全性概述
P130
5,5,1,3 Win2000的本地安全策略网络操作系统安全性概述
P131
5,5,1,4提高 Win2000安全性的措施
1.使用 NTFS文件系统,而不用 FAT文件系统
2.启用合适的密码策略
3.启用系统审核
4.定期备份日志文件
5.为系统管理员账号和来宾账号改名
6.尽量不使用 NetBios协议
7.合理使用 Win2000提供的网络服务
8.关闭不必要的端口
9.删除中文输入法的帮助文件,或者改名,避免输入法漏洞。
10.加强学习,及时堵漏网络操作系统安全性概述
P134
作业
P135
,网络工程原理与实践,
胡胜红、毕娅 编著人民邮电出版社 2005年 1月
Security Institute)对全球,财富,500家企业中的
242家进行了调查发现。 12%的企业因为网络的非法入侵而遭受过损失,平均损失 45万美元,总共损失将近 5000万美元。 1996年对美国 5000家私有企业、金融机构和大学进行计算机犯罪和安全调查发现,42%
的调查者回答,在过去的 12个月中,他们的计算机系统不同程度的经历过非授权使用。
本章重点
5,1 影响网络安全的隐患
5,2 网络安全技术概述
5,3 网络安全结构设计
5,4 防火墙
5,5 网络操作系统安全性概述
5,1,1网络窃听
Sniffer技术可以让内部局域网的入侵者快速探测内部网上的主机并获得控制权,通过分析以太网的数据帧获得有用的信息,比如网络服务器上的用户名和密码等。
影响网络安全的隐患
P109
5,1,2 完整性破坏
完整性破坏指的是在公共网络上传输的数据存在着被篡改的可能。
保护完整性的唯一方法就是使用散列( Hash
)函数算法。
散列函数生成的信息摘要具有不可逆性,任何人都不能将其还原成原始数据。
影响网络安全的隐患
P110
5,1,3 地址欺骗
地址欺骗技术的简单原理就是伪造一个被主机信任的 IP地址,从而获得主机的信任而造成攻击。
影响网络安全的隐患
P110
5,1,4拒绝服务攻击
拒绝服务攻击( Deny of Service,即 DOS)
通常是以消耗服务器端资源为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使正常的用户请求得不到应答,
实现攻击目的。
影响网络安全的隐患
P111
5,1,4拒绝服务攻击影响网络安全的隐患
P111
5,1,5 计算机病毒
计算机病毒其实就是一种程序,只不过这种程序能破坏计算机系统,并且能潜伏在计算机中
,复制,感染其它的程序和文件。
影响网络安全的隐患
P111
5,1,5,2病毒的危害
系统速度变慢甚至资源耗尽而死机
硬盘容量减小
网络系统崩溃
数据破坏和硬件损坏影响网络安全的隐患
P112
5,1,5,3病毒的分类
文件型病毒
引导扇区病毒
混合型病毒
宏病毒
木马病毒
蠕虫病毒
网页病毒影响网络安全的隐患
P112
目前网络上传播的多半是这三种类型的病毒,日常工作中尤其要引起注意
5,1,6系统漏洞系统漏洞实际上是软件设计中的缺陷,也被称为 Bug,但由于这些漏洞被 Hacker用来设计病毒或实施攻击,因此,人们就把漏洞和安全问题联系起来了。管理员要想解决漏洞的危害必须学会如何查漏和补漏,经常访问 Internet上的安全公告,及时下载相关安全补丁堵漏。
影响网络安全的隐患
P113
5,2网络安全技术概述
5,2,1身份验证技术
5,2,2数据完整性技术
5,2,3跟踪审计技术
5,2,4信息加密技术
5,2,5 防火墙技术网络安全技术概述
P114
5,3,1 网络结构划分按照对网络数据安全等级的标准,可以将网络结构划分为外部网(简称为外网)、内部网(简称为内网)和公共子网。
网络安全结构设计
P114
3.公共子网在一种网络安全结构的划分中,将一部分可以向 Internet用户提供公共服务的服务器设备单独从内网中隔离出来,即允许外部用户访问也允许内部用户访问,这就是公共子网,也称作军事管制区 ( Demilitarized Zone,DMZ)。
该子网是内部用户和外部用户都唯一能到达的网络区域,提供对内和对外的各种服务,负责传递或代理外部对内部的访问和内部对外部的访问。
网络安全结构设计
P115
5,3,2双宿主机结构双宿主机是一台具有多个网络接口的主机,它可以进行内部网络与外部网络之间的寻径,可以充当与这台主机相连的若干网络之间的路由器。
网络安全结构设计
P115
5,3,3主机过滤结构主机过滤结构防火墙由过滤路由器和堡垒主机共同组成。
网络安全结构设计
P116
5,3,4子网过滤结构 网络安全结构设计
P117
5,3,4子网过滤结构在这种结构中,有两台过滤器连接到公共子网
,一台位于公共子网与内部网络之间,而另一台位于参数网络与外部网络之间。这样,入侵者必须通过两台路由器和堡垒主机的安全控制才能抵达网络,同时还可以限制某些服务使之只能在指定的主机上与内部网络站点之间传递
。这种方式大大增强了网络的安全性能,并且由于路由器控制数据包流向,提高了网络的吞吐能力,但是系统设置较为复杂。
网络安全结构设计
P116
5,3,2防火墙体系结构为了实现安全需求,防火墙体系结构一般设计得比较复杂,可以是上述结构中的一种或者是几种的结合:
1.使用多堡垒主机
2.合并内部路由器与边界路由器
3.合并堡垒主机与内部路由器
4.使用多台内部路由器
5.使用多台外部路由器
6.使用多个周边网络
7.使用双重宿主主机与 DMZ子网网络安全结构设计
P117
5,4,1防火墙概述
防火墙是一种在内部网和外部网之间实施的安全防范措施,可以认为它是一种访问机制,用于确定哪些内部服务可以提供给外部服务器,
以及哪些外部服务器可以访问内部网资源。
一般来说,防火墙存在的形式只有两种。一种是以软件的形式运行在计算机上,另外一种就是以硬件的形式存在。
防火墙
P117
5,4,1防火墙概述总的来说,一个好的防火墙系统应具有以下几个方面的特性和功能:
( 1) 所有在该内部网和外部网之间交换的数据都可以而且只能经过该防火墙;
( 2) 只有被防火墙检测后合格,即防火墙系统中安全策略允许的数据才可以自由出入防火墙,其它不合格的数据一律被禁止通过;
( 3) 防火墙的技术是最新安全的技术,和时代是同步的;
( 4) 防火墙本身不受任何攻击;
人机界面友好,易于操作,易于系统管理员进行配置和控制。
防火墙
P118
5,4,2防火墙技术防火墙根据内部所使用的技术一般可以分为
,包过滤防火墙,应用级网关 和 电路级网关 。
防火墙
P118
5,4,2,1包过滤防火墙包过滤器的工作是检查每个包的头部中的有关字段。网络管理员可以配置包过滤器,指定要检测哪些字段以及如何处理等等。
防火墙
P118
H H…
…
H H…
…
包过滤器
128,10,0,0 192,5,48,0
5,4,2,2应用级网关应用级网关防火墙安装在网络应用层上
,它是一种比包过滤防火墙更加安全的防火墙技术。
防火墙
P119
Intranet
应用层应用网关物理层 Internet
……
5,4,2,3电路级网关它的主要技术特点是不允许直接建立端对端的连接,而是将跨越防火墙的网络通信链路分为两段,通过代理服务器建立两个
TCP连接。
防火墙
P120
转发应答客户 代理服务器 服务器请求 请求应答应答
5,4,2,3电路级网关
代理服务是运行在网络主机上的一个软件应用程序
,它就像外部网和内部网之间的中间媒介,筛选进出的数据。
运行代理服务的网络主机称为代理服务器或网关。
对于外部网络,代理服务器相当于内部网络的一台服务器,实际上,它只是内部网络的一台过滤设备
。
代理服务器的安全性除了表现在它可以隔断内部和外部网络的直接连接,还可以防止外部网络发现内部网络的地址。
防火墙
P120
5,4,2,4新型防火墙技术新型防火墙,既有包过滤的功能,又能在应用层进行代理。它具有以下特点:
( 1)综合包过滤和代理技术,克服二者在安全方面的缺陷。
( 2)能从数据链路层一直到应用层施加全方位的控制。
( 3)实现 TCP/IP协议的微内核,从而在 TCP/IP协议层进行各项安全控制。
( 4)基于上述微内核,使速度超过传统的包过滤防火墙。
( 5)提供透明代理模式,减轻客户端的配置工作。
( 6)支持数据加密、解密( DES和 RSA),提供对虚拟网 VPN
的强大支持。
( 7)内部信息完全隐藏。
防火墙
P120
5,4,3,2防火墙产品介绍
1,Cisco PIX 515E防火墙
2,3COM的 SuperStack防火墙
3.天融信网络卫士 NGFW4000
4.东软的 Neteye 3.2
防火墙
P122
图 5-11 Cisco PIX 515E防火墙外观图
5,4,4架设防火墙的步骤
1.制定安全策略
2.搭建安全体系结构
3.制定规则次序
4.落实规则集
5.注意更换控制
6.做好审计工作防火墙
P124
5,4,4架设防火墙的步骤
现代的网络操作系统一般具有下列特点:
( 1)多用户支持
( 2)访问控制
( 3)安全性管理
( 4)网络管理功能
( 5)对 TCP/IP协议的良好支持
目前市场上流行的网络操作系统主要有三种:
Novell公司的 NetWare操作系统,Microsoft公司的
Windows NT/Windows 2000操作系统、各种版本的 Unix/Linux操作系统。
网络操作系统安全性概述
P124
5,5 网络操作系统安全性概述
现代的网络操作系统一般具有下列特点:
( 1)多用户支持
( 2)访问控制
( 3)安全性管理
( 4)网络管理功能
( 5)对 TCP/IP协议的良好支持
目前市场上流行的网络操作系统主要有三种:
Novell公司的 NetWare操作系统,Microsoft公司的
Windows NT/Windows 2000操作系统、各种版本的 Unix/Linux操作系统。
网络操作系统安全性概述
P126
5,5,1 Windows2000安全性
作为 Win NT的升级版本,Win2000操作系统不仅具有一般操作系统的功能,还具有强大的局域网管理功能。它可通过多种技术和手段来控制用户对资源的访问,提高网络的安全性,其中包括与活动目录( Active Directory)服务的集成
、支持认证 Windows 2000用户的 Kerberos v5认证协议、
提供了公钥基础设施 PKI支持,用公钥证书对外部用户进行认证、使用加密文件系统 EFS( Encrypting FileSystem)
保护本地数据以使用 Internet协议安全 IPSec( Internet
Protocol security)来保证通过公有网络的通信的安全性,
以及基于 Windows 2000的安全应用开发的可扩展性等等。
网络操作系统安全性概述
P126
5,5,1,2 Win2000的用户账号网络操作系统安全性概述
P130
5,5,1,3 Win2000的本地安全策略网络操作系统安全性概述
P131
5,5,1,4提高 Win2000安全性的措施
1.使用 NTFS文件系统,而不用 FAT文件系统
2.启用合适的密码策略
3.启用系统审核
4.定期备份日志文件
5.为系统管理员账号和来宾账号改名
6.尽量不使用 NetBios协议
7.合理使用 Win2000提供的网络服务
8.关闭不必要的端口
9.删除中文输入法的帮助文件,或者改名,避免输入法漏洞。
10.加强学习,及时堵漏网络操作系统安全性概述
P134
作业
P135
,网络工程原理与实践,
胡胜红、毕娅 编著人民邮电出版社 2005年 1月
