1 / 94

广西壮族自治区 国家保密局北海会议

广西壮族自治区 国家保密局北海会议. 网络安全的技术支持 —— 网络安全若干技术介绍 主讲广西大学网络中心 莫林 2002 年 6 月. 一、网络安全存在的问题. 物理风险 网络风险 系统风险 信息风险 应用风险 管理风险 其他风险. 物理风险. 系统风险 信息风险 应用风险 管理风险. 物理风险. 网络风险. 设备防盗,防毁 链路老化,人为破坏,被动物咬断等 网络设备自身故障

faustine-gaynor
Download Presentation

广西壮族自治区 国家保密局北海会议

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 广西壮族自治区 国家保密局北海会议 网络安全的技术支持 —— 网络安全若干技术介绍 主讲广西大学网络中心 莫林 2002年6月

  2. 一、网络安全存在的问题 • 物理风险 • 网络风险 • 系统风险 • 信息风险 • 应用风险 • 管理风险 • 其他风险

  3. 物理风险 • 系统风险 信息风险 应用风险 管理风险 物理风险 网络风险 • 设备防盗,防毁 • 链路老化,人为破坏,被动物咬断等 • 网络设备自身故障 • 停电导致网络设备无法工作 • 机房电磁辐射 • 其他 其他风险

  4. Internet 设备防盗、防毁 WEB服务器 http://www.sina.com.cn 破坏了网络的可用性 路由器被盗走连接中断

  5. 干扰器 机房电磁辐射 监听 • 建立标准机房,减少辐射 • 采用人为干扰措施

  6. 网络风险 • 系统风险 信息风险 应用风险 管理风险 物理风险 网络风险 • 安全拓扑 • 安全路由 • 其他 其他风险

  7. 不信任域 安全域4 不信任域 安全域1 安全域3 安全域2 安全拓扑 • 将安全等级相同的设备划归在同一个安全域 • 将不信任域与安全域隔开

  8. 远程访问 监听者 Internet 内部网 安全路由 非安全路径 Router B应该选择一条不经过Router A的路径转发数据包 因此引入了路由控制机制 Router A Router B 路径 选择? 安全路径A 安全路径B

  9. 系统风险 • 系统风险 信息风险 应用风险 管理风险 物理风险 网络风险 • 操作系统漏洞 • 系统配置安全 • 安全数据库 • 系统中运行的服务安全 • 其他 其他风险

  10. 信息风险 • 系统风险 信息风险 应用风险 管理风险 物理风险 网络风险 • 信息存储安全 • 信息传输安全 • 信息访问安全 • 其他 其他风险

  11. 信息存储风险 磁盘意外损坏 光盘意外损坏 磁带被意外盗走 • 导致数据丢失 • 导致数据无法访问

  12. 搭线窃听信息 公网 总部 下属机构 黑客 信息传输风险 • 信息泄密 • 信息被篡改

  13. 网络中有拨 号服务器 内部网络 信息访问安全 非法用户 非法登录 访问了自己 权限以外的资源 合法用户

  14. 应用风险 • 系统风险 信息风险 应用风险 管理风险 物理风险 • 网络反病毒 • 身份鉴别 • 电子邮件应用安全 • WEB服务安全 • FTP服务安全 • DNS服务安全 • 业务应用软件安全 • 其它 网络风险 其他风险

  15. 系统风险 信息风险 应用风险 管理风险 • C/S模式: • 客户机除了GUI显示、事件输入外,应用逻辑和业务处理也在客户机上。 • 客户机的升级以及硬件的适应性都牵制者系统中的客户机,造成资金的开销的增加和管理难度加大。 • 与OS有关,不同OS对应不同语言和开发工具 • 通讯、命令解释通过自己的程序进行,不存在专用软件的漏洞 物理风险 网络风险 B/S模式 : • 浏览器-WEB服务器-数据库三层结构。 • 与OS无关,用JAVE、HTML开发的软件 • 应用逻辑、业务处理在服务器端 • 必须用WEB服务器对浏览器的请求作解释。 • 编程人员对安全性考虑不多,所以CGI请求时可能造成缓冲区溢出。 其他风险

  16. 管理风险 • 系统风险 信息风险 应用风险 管理风险 物理风险 • 国家是否制定了健全、完善的信息安全法规 • 国家是否成立了专门的机构来规范和管理信息安全 • 用户需制定相应的安全管理规则、责权分明的机房管理制度 • 用户可以考虑建立自己的安全管理机构 • 明确有效的安全策略、高素质的安全管理人员 • 行之有效的监督检查体系,保证规章制度被顺利执行 • 使用网管软件统一管理自己的网络 • 其他 网络风险 其他风险

  17. 其他风险 • 系统风险 信息风险 应用风险 管理风险 物理风险 网络风险 • 网络畅通问题 • 误操作导致数据被删除、修改等 • 其他没有想到的风险 其他风险

  18. 二、网络安全的目标 • 企业网络系统和外界的网络系统具有安全隔离,以及良好的安全边界 • 网络系统能阻止来自外部的攻击行为和防止内部职工的违规操作行为 •  确保合法用户使用合法网络资源 • 网络传输的信息资源不被窃取、篡改。 •  网络的入侵能够被检测并提供日志,以便跟踪和事后追踪 • 检测并处理网络安全漏洞,减少可能被黑客利用的不安全因素。 • 信息审计系统,审计、跟踪敏感信息的流向,防范敏感信息通过网络泄露。 • 在病毒到达内部网之前或者是在病毒传播感染和发作之前就被检测并清除。 • 确保重要服务器系统在意外损坏情况下,通过灾难恢复系统在最短时间内恢复正常工作。

  19. 三、网络安全的若干技术 访问控制 入侵检测 安全评估 信息审计 信息保密 病毒防护 数据备份

  20. 访问控制一企业网络系统和外界的网络系统隔离访问控制一企业网络系统和外界的网络系统隔离 Internet 防火墙 保留IP地址 合法IP地址 192.168.1.5 202.102.100.5 Host A Host B Host C 192.168.1.1 192.168.1.2 192.168.1.3 提供网络地址转换功能,解决IP地址不足的问题 公司用于连接INTERNET的局域网 保留IP地址 保留IP地址 保留IP地址

  21. 访问控制二 网站的保护 Internet 防火墙 黑客对网站的攻击 做端口映射,隐藏WWW服务器结构 与IDS联动,直接阻断黑客攻击 使用WEBGUARD站点保护软件 进行严格的访问控制 WWW Mail FTP 用于连接INTERNET的局域网

  22. 访问控制三内部不同级别子网之间的严格控制 防火墙 严格控制两个不同安全级别子网之间的访问 VLAN 1 安全级别低 VLAN 2 安全级别高 内部网络 Host A Host B Host C Host E Host F Host G OA子网 财务子网

  23. 访问控制四 合法用户使用合法的资源 次级交换机 生产部门 生产服务器 只接受生产部门员工的访问 次级交换机 OA子网 次级交换机 OA服务器 只接受OA子网员工的访问 财务部门 次级交换机 财务服务器 其他子网 只接受财务部门员工的访问 其他服务器 只接受其他子网员工的访问 核心交换机

  24. 入侵检测(IDS) Internet DDN XX集团 帧中继 下属单位 Internet FTP Server 分支机构B WWW Server Mail Server FTP Server XX中心局域网 WWW Server 拨号服务器 Mail Server FTP Server WWW Server 分支机构A Mail Server

  25. 安全评估 Internet DDN XX集团 帧中继 下属单位 Internet FTP Server 分支机构B WWW Server Mail Server FTP Server XX中心局域网 WWW Server 拨号服务器 Mail Server FTP Server WWW Server 分支机构A Mail Server

  26. 员工信息审计 Internet 内网 企业内部不满员工 发表反动言论 进行信息审计

  27. 全网的病毒防护 Internet DDN XX集团 帧中继 下属单位 Internet FTP Server 分支机构B WWW Server Mail Server FTP Server XX中心局域网 网关防病毒 WWW Server 拨号服务器 Mail Server 工作站防病毒 服务器防病毒 FTP Server WWW Server 分支机构A Mail Server

  28. 数据备份 Internet DDN XX集团 帧中继 下属单位 Internet FTP Server 分支机构B WWW Server Mail Server FTP Server XX中心局域网 WWW Server 拨号服务器 Mail Server FTP Server WWW Server 分支机构A Mail Server

  29. 四、防火墙原理及技术 1、防火墙技术类型 2、防火墙种类 3、包过滤原理 4、防火墙功能 5、防火墙在网络中的位置

  30. 防火墙技术类型 • 分组过滤:作用在网络层和传输层 • 应用代理 :作用在应用层

  31. 防火墙种类 1、包过滤型防火墙 工作在网络层和传输层,根据数据包的源地址、源端口号、目的地址、目的端口号、协议类型、标志来决定是否允许数据包通过。 优点:不用改变客户机上的应用程序。 缺点: 安全性不能充分满足。

  32. 2、应用代理防火墙 工作在应用层,监视和隔绝应用层的通信流

  33. 复合型防火墙是包过滤与应用代理的结合 这种结合通常是以下两种方案: 屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。 屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。 3、复合型防火墙

  34. 户 端 SYN(第一步) 服务 端 1633 23 SYN/ACK(第二步) 1633 23 ACK(第三步) 1633 23 包过滤原理 在CLIENT端发起一个TELNET连接到SERVER端,首先CLIENT端打开一个大于1023的TCP端口,向SERVER端23端口发出一个连接请求(SYN) 如果SERVER端允许23端口连接,那么SERVER端的23端口向CLINET端的大于1023的TCP端口发出一个允许连接的回应(SYN/ACK) 最后CLIENT端的大于1023的端口向SERVER端的23端口发出一个确认连接的数据包(ACK)。这称为TCP的三步握手 以一个telnet的建立过程为例:

  35. 内网 外网 客 户 端 防 火 墙 服务 端 1633 23 1633 23 服务 器 防 火 墙 客户端 内网 SYN 外网 23 1633 图(一) 图(二) 1 、拒绝所有的TCP连接 2 、允许源IP地址为安全网段的TCP端口大于1023,目的IP地址为0.0.0.0(所有IP地址)TCP端口等于23的TCP包从FIREWALL内部经FIREWALL出站。 3 、允许源IP地址为0.0.0.0、TCP端口等于23,目的IP地址为安全网段IP、目的TCP端口大于1023的TCP/ACK包从FIREWALL外部经FIREWALL进站。 外网源端口>1023,目的端口=23的TCP连接未被允许,所以外网不能TELNET内网

  36. 防火墙功能 防火墙的功能 防火墙 网络反病毒 入侵检测 漏洞扫描 加密设备 存储与备份 信息审计 页面恢复 隔离设备 PKI/CA • 基于源IP地址 • 基于目的IP地址 • 基于源端口 • 基于目的端口 • 高层协议命令级控制 • 状态检测 • URL过滤 访问控制 附加功能 • IP与MAC绑定 • IP与用户名绑定 • 基于时间控制 • 基于流量控制 • NAT转换 • MAP功能 • QOS功能 • 加密功能 • SNMP管理 • 双机热备 • 安全联动

  37. 防火墙在网络中位置/作用 Internet DDN 帧中继 下属单位 FTP Server 分支机构B WWW Server Mail Server FTP Server XX中心局域网 WWW Server 拨号服务器 Mail Server FTP Server WWW Server 分支机构A Mail Server

  38. 五、VPN原理技术及实现方法 1、VPN的概念 2、VPN在网络中的位置 3、 VPN的实现 4、 VPN 的好处 5、公开密钥体系 6、CA认证中心 7、证书申请过程

  39. VPN的概念 VPN(Virtual Private Network):虚拟专用网络 组成:客户机、传输通道和服务器

  40. VPN 的实现

  41. VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务器,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务器,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

  42. 提 纲 • 现有那些VPN解决方案? • VPN如何实现信息传输安全? • 天融信VPN解决方案介绍 • 天融信VPN解决方案的特点

  43. 现有的VPN解决方案 我们怎样选择适合自己的VPN解决方案? 应用层VPN: 比如 MS代理、应用代理 应用层 应用层 传输层VPN: 比如 SOCKv5、SSL、TLS TCP 层 TCP 层 网络层VPN: 比如 IPSEC、GRE 网络 层 网络 层 链路层VPN: 比如 PPTP、L2F、L2TP、FR、ATM 网络接口层 网络接口层

  44. 应用层加密 ? 加密 全程加密(密文数据从PC——PC) 全程密文,包括在路由器中的数据 不管是DDN、ATM…链路都跟VPN设备无关 1010010 @#$%#@ 帧 IP TCP 101001011 解密 1010010 进行加密

  45. 链路层加密 ? 10101001 @##@@% • 用了这么多的链路加密机? • 还不能保证全程是密文? • 链路加密机需要多种类型DDN、ATM……? • 链路加密机跟物理链路有关 10101001 @##@@% 10101001 @##@@% 10101001 帧 IP TCP 101001011 @##@@% 10101001 进行加密

  46. 网络层加密 ? 10101001 @##@@% 只需5台VPN设备 全程密文,包括在路由器中的数据 不管是DDN、ATM…链路都跟VPN设备无关 帧 IP TCP 101001011 101001001 进行加密

  47. Windows 自带的VPN?

  48. 提 纲 • 现有那些VPN解决方案? • VPN如何实现信息传输安全? • 天融信VPN解决方案介绍 • 天融信VPN解决方案的特点

  49. VPN的基本原理 • 数据机密性保护的实现 • 数据完整性保护的实现 • 数据源发性保护的实现

  50. 密文 密文 ·#¥^&(%# %$%^&*(! #$%*((_%$ @#$%%^* &**)%$#@ ·#¥^&(%# %$%^&*(! #$%*((_%$ @#$%%^* &**)%$#@ 数据机密性保护 明文 明文 1100111001 0100010100 1010100100 0100100100 0001000000 1100111001 0100010100 1010100100 0100100100 0001000000 加密 解密 保证数据在传输途中不被窃取 发起方 接受方

More Related