信息安全概论----网络安全1

网络安全I

一、网络安全威胁

• 人为的无意失误
• 人为的恶意攻击
• 网络软件系统的漏洞和“后门”

1、对网络本身的威胁

• 协议的缺陷
• 网站漏洞

网站被“黑”
缓冲器溢出
“../”问题
应用代码错误
服务器端包含（Server-Side-Include）：网页调用特定函数，如email

• 拒接服务

死亡之ping
Smurf攻击
SYN洪水攻击

• 分布式拒绝服务

2、对网络中信息的威胁

• 传输中的威胁：偷听和窃听

针对不同通信媒介的可能攻击方法
电缆：嗅探器、自感应
微波：截取
卫星通信
光纤：从中继器、连接器和分接器等设备获取
无线通信：干扰、欺骗

• 假冒

通过猜测突破鉴别：如口令猜测
以偷听或者窃听突破鉴别：如某些网络协议显示传输口令
避开鉴别：如缓冲区溢出，使输入的字符数量超过缓冲区的容纳能力，出现溢出，从而导致操作系统省略对口令的比较
不存在的鉴别：如可信任主机，Guest/Anonymous账户
总所周知的鉴别：如多处使用统一的口令，系统网络管理协议（SNMP）公用字符串（Community String）

• 欺骗

伪装：混淆URL、“钓鱼欺诈”（Phishing）
会话劫持
中间人攻击

• 信息机密性面临的威胁

误传
暴露
流量分析

• 信息完整性面临的威胁

通信的完整性或者正确性与其机密性至少是同等重要的，如传递鉴别数据时
面临威胁：1、改变部分甚至全部消息内容
        2、完整地替换一条消息，包括其中的日期、时间以及发送者/接收者的身份
        3、重用一条以前的旧消息
        4、摘录不同的消息片段，组合成一条消息
        5、改变消息的来源
        6、改变消息的目标
        7、毁坏或者删除消息

二、网络安全控制

1、数据加密

数据加密-链路加密

系统在将数据放入物理通信链路之前对其加密
解密发生在到达并进入接收计算机时

数据加密-端到端加密

机密可以由用户和主机之间的硬件设备，或运行在主机上的软件来进行
两种情况下，加密都是在OSI模型的最高层（第7层，应用层、也可能第6层，表示层）上完成

2、虚拟专用网VPN

VPN：（虚拟专网，Virtual Private Network）：是指将物理上分布在不同地点的网络通过公用网络连接而构成逻辑上的虚拟专网
VPN的特点：

1. 费用低
2. 安全保障
3. 服务质量保证（QoS）
4. 可扩充性和灵活性
5. 可管理性

VPN关键技术

1. 隧道技术
2. 加/解密技术
3. 密钥管理技术
4. 身份认证技术
5. 访问控制
   
   

3、PKI与证书

PKI：公钥基础设施，是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施。
PKI的目的：解决网上身份认证、电子信息的完整性和不可抵达性等安全问题，为网络应用提供可靠的安全服务
PKI的任务：确立可信任的数字身份

提供以下服务：

• 使用（公开）加密密钥建立与用户身份相关的证书
• 从数据库中分发证书
• 对证书签名
• 验证证书
• 撤销无效证书
  

4、身份鉴别

5、访问控制

访问控制解决安全策略中如何实施访问及允许访问什么内容的问题

• ACL和路由器
• 防火墙

三、防火墙技术

1、防火墙概述

防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合，对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的
防火墙的设计目标

1. 内部和外部之间的所有网络数据流必须经过防火墙
2. 只有符合安全策略的数据流才能通过防火墙
   - 封闭原则
   - 开放原创
3. 防火墙本身应对渗透免疫
4. 使用智能卡、一次口令认证等强认证机制
5. 人机界面良好，用户配置方便，易管理 

防火墙的作用

防火墙主要通过以下四种手段来执行安全策略和实现网络访问控制：
1. 服务控制：确定可以访问的网络服务类型，可基于IP地址和TCP端口过滤通信
2. 方向控制：确定允许听过防火墙的特点服务请求发起的方向
3. 用户控制：控制访问服务的人员
4. 行为控制：控制服务的使用方式，如email过滤等

防火墙的局限性

1. 限制有用的网络服务
2. 无法防范来自内部的攻击
3. 无法防范数据驱动型的攻击
4. 无法防范新的网络安全问题

2、防火墙的类型

1. 包过滤 iptables

静态包过滤防火墙是最原始的防火墙，静态数据包过滤发生在网络层
检查IP数据包头的以下内容
   1、源IP地址、目的IP地址
   2、协议类型（TCP、UDP、ICMP等）
   3、TCP/UDP源端口、目的端口
   4、TCP标志位，如ACK位等
   5、IP分片标志位
   6、数据包流向

只能看到这些固定位置的信息，一个包一个包的看，看这些包的信息决定能不能通过
2. 状态包过滤
在包过滤的基础上增加了状态

状态包过滤防火墙：
 - 具有状态感知能力
 - 典型的动态包过滤防火墙工作在网络层
 - 先进的动态包过滤防火墙工作在传输层

检查的数据包头信息：
- 源地址
- 目的地址
- 应用或协议
- 源端口号
- 目的端口号

状态包过滤防火墙工作原理

数据包过滤：
- 与普通包过滤防火墙非常相似
- 不同点：对外在数据包进行身份记录，便于下次让具有相同连接的数据包通过
数据包过滤防火墙需要对已建连接和规则表进行动态维护，因此是动态的和有状态的
典型的状态包过滤防火墙能够感觉到新建连接与已建连接之间的差别

实现状态包过滤器有两种主要的方式：

1. 实时地改变普通包过滤器的规则集
2. 采用类似电路级网关的方式转发数据包

状态包过滤防火墙的优缺点：
优点：
- 采用SMP技术时，对网络性能的影响非常小
- 状态包过滤防火墙的安全性优于静态包过滤防火墙
- “状态感知”能力使其性能得到了显著的提高
- 如果不考虑操作系统成本，成本会很低
缺点：
- 仅工作于网络层，仅检查IP头
- 没过滤数据包的净荷部分，仍具有较低的安全性
- 容易遭受IP欺骗攻击
- 难于创建规则，管理员必须要考虑规则的先后次序
- 如果连接在建立时没有遵循三步握手协议，就会引入的风险

3. 应用层网关/代理

1. 所有通信必须经应用层代理转发
2. 代理对整个数据包进行检查，因此能在OSI模型的应用层上对数据包做过滤
3. 必须针对每个服务运行一个代理
   
   应用层代理防火墙工作原理
   工作原理：
   
   优点：安全性好
   缺点：可伸缩性差，性能损失相对较大
   几种类型防火墙的比较
   

3、防火墙体系结构

4、防火墙配置举例