《2022年2022年计算机信息网络安全员培训资料 .pdf》由会员分享,可在线阅读,更多相关《2022年2022年计算机信息网络安全员培训资料 .pdf(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第四章操作系统安全管理与维护一操作系统的安全隐患操作系统的 “ 后门 ” n 用户账号问题n 黑客的攻击n 用户缺乏安全意识Windows 系统用户管理用户账号n 通过用户名 (账号) 和密码来标志n 不同的用户有不同的使用权限n n 用户组n 用于对用户权限的分配管理n 简化对用户的管理用户组的管理n 系统内置组n Administrators 组 n Backup 0perators 组 n Users 组n Power Users 组 n Guest 组n Network Configuration Operators 组n Remote Desktop users 组n Replica
2、tor 组n HelpServiceGroup 组系统内置组介绍nAdministrators 组:管理员组。该组成员可以完全控制计算机,默认情况下,管理员组成员拥有所有的权限。n nBackup Operators 组:备份操作员组。该组成员的主要职责为备份和还原计算机上的文件,他们不关心计算机系统的文件的权限设置。他们可以远程登录计算机和关闭计算机,但不能更改安全性设置。Users组 n 具有基本的使用计算机的权限,默认权限不允许成员修改系统注册表设置、操作系统文件或程序文件。该用户组成员通常不被允许运行旧版的应用程序,仅能运行已由Windows 认证的程序。 可以创建本地组, 但只能修改
3、和设置自己创建的本地组。nPower users组 n 高级用户组,该组成员除了具有users 组的权限,还可以运行Windows 未经认证的应用程序,这样提供了向后的兼容性。该组成员默认权限允许修改计算机的大部分设置。Guest组 n 来宾组。默认情况下,来宾跟用户组的成员有同等访问权,但来宾帐户的限制更多。 n nNetwork Configuration Operators 组 n 此组中的成员主要的管理权限用来管理和维护网络功能的配置。Remote Desktop users 组 n 此组中的成员被授予远程登录的权限。n nReplicator 组 n 完成域中的文件复制工作。n nH
4、elpServiceGroup 组 n 为帮助和支持中心组成员。用户组的管理特点n 可以建立新的用户组n 可以删除用户组n 只是删除这个组本身,不会删除组中的帐户,但被删除的组是无法恢复的。n 自主创建的组是可以删除的,但系统的内置组不能删除。n 用户组可以改名或是禁用。用户账号n 用户帐号:在系统中用来表示使用者的一个标识。n n 用户账号被授予一定的权限。n n 帐号分为三类:管理员(内置)、来宾帐号(内置)和授权用户帐号。用户账号介绍nGuest 账号 : n 来宾帐号,这是为那些临时访问系统而又没有用户帐号的使用者准备的。n 缺省的来宾帐号不需要密码,默认情况下是禁止的,但也可以启用,
5、出于安全原因,推荐用户禁用此帐号。n 该帐号可以被改名,但不能被删除。Administrator : n 为系统管理员帐号,拥有最高的权限。具有管理系统安全策略,创建、修改、删除用户和组,修改系统软件等高级权限。n 可以改名,但永远不能被删除、禁用或从本地组中删除。授权用户帐号 : n n 在系统中新建的用户帐号。n 可以设置成为一个或多个组的成员,这样它门就继承了该组的权限。n可以删除、改名和禁用。管理 “ 组和账号 ” n 用户组:n 用户组的建立、修改、删除名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 -
6、- - - - - - 第 1 页,共 34 页 - - - - - - - - - n 用户组成员的管理n n 用户n 用户的建立、修改、删除n 用户的权限分配管理组n 创建组、修改组、删除组n 操作:n(1)单击 “ 开始 ” 一“ 控制面板 ” 一“ 管理工具 ” 一“ 计算机管理 ” ,打开计算机管理窗口。n(2)鼠标右键单击目录树中的“ 组” ,在弹出的菜单中选择“ 新建组 ” 。n(3)填写组名、组的描述,添加组的成员。n(4)单击 添加 按钮一 高级 按钮一 立即查找 按钮,之后在列表中选择加入组的对象,单击确定 按钮管理账户n n 创建用户、修改用户、删除用户n n 创建用户:
7、n(1)右键单击 “ 用户 ” ,在弹出的菜单中选择“ 新用户 ” 。 n(2)填写用户名,设置密码等操作之后,单击创建 按钮,新用户就创建成功。n n 为用户帐户指定用户组n(1)右键单击刚建立的用户名,选择属性。n(2)单击 添加 按钮 高级 按钮 立即查找 按钮,之后在列表中选择隶属的组,单击确定 按钮。操作系统安全管理与维护二Windows 操作系统的安全机制n 系统用户管理n 应用安全方式来使用Windows系统nWindows 的安全中心n 注册表安全应用安全方式来使用Windows 系统n 屏幕保护和锁定机制n 电源保护功能n 文件加密n保障 Windows 账号数据库的安全n
8、保障计算机在工作中的安全n 屏幕保护n 锁定机制n n 屏幕保护的实现方法n 启动屏幕保护n 计算机恢复工作时加以保护锁定机制n 可随时保护计算机n 实现方法:n传统方式登陆nCtrl + Alt + Delete 组合键nWin + L 组合键n欢迎屏幕方式登录nWin + L 组合键n 建立一个快速锁定的快捷方式、创建锁定计算机快捷方式:n (1)先用鼠标右键单击Windows XP 的桌面,在弹出菜单中选择“新建”一“快捷方式”。 n (2)按照屏幕提示,在命令行的文本框中输入“rundll32.exe user32.dll,Lockworkstation ”命令字符,单击下一步 按钮。
9、n (3)在随后的向导窗口中输入对应该快捷方式的具体名称“快速锁定”,确定,建立完成,随后直接双击这个快捷方式就可以了。操作方法n 电源属性选项对话框高级当按下计算机电源按钮时,点下拉框:n 不采取任何措施n 问我要做什么n 待机n 休眠n 关机加密文件系统nWindows 的文件系统nFAT nFAT32 n 系统开销少,效率高,但不安全nNTFS n 具有访问控制机制,安全性高n 可以实现对文件和目录的加密保护Windows 的文件系统nFAT nFAT32 n 系统开销少, 效率高, 但不安全nNTFS n 具有访问控制机制,安全性高n 可以实现对文件和目录的加密保护实现方法nEFS(E
10、ncrypting File System,加密文件系统)。 n 加密和解密过程对用户是完全透明的,也就是说,如果加密了这些文件,对这些文件的访问将完全允许。n 其他用户不能访问或移动这些数据。操作方法n 在想加密的文件或文件夹上右键单击,选择“属性”,在属性的“常规”选项卡上点击 高级 按钮,会弹出一个窗口,选中创窗口中“加密内容以便保护数据”即可实现在名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 34 页 - - - - - - - - - NTFS 卷上对文件的加
11、密。保障 Windows 账号数据库的安全n 启动 Windows 账号数据库加密安全n 密码方式n 软盘保存密钥方式n 本机保存方式n 可以再加一层系统保障的安全Windows 的安全中心n“安全中心”是Windows XP SP2 引进的一项全新服务。它作为一个“中央区域”,方便用户更改安全设置,了解更多的安全问题以及确保系统执行了微软建议的最新的基本安全更新。用户只要在“控制面板”中双击“安全中心”的图标就可以进入此项服务。防火墙n 新推出的一个功能较强的防火墙软件n 自动更新n 下载安装Windows 的系统补丁n 病毒防护n 监视是否有病毒防护系统注册表的概念和结构n 概念 : n
12、注册表是windows 的一个巨大的树状分层内部数据库,它记录了用户安装在计算机上的软件和每个程序相互关联的关系,记录了计算机的硬件配置,包括自动配置的即插即用设备和已有的各种设备。n 特点:n 注册表中存放着各种参数,直接控制windows 的启动、硬件驱动程序的装载,以及一些windows 应用程序的运行,从而在整个系统中起着核心作用。主要包含内容:n 软、硬件的有关配置和状态信息。注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据。n 联网计算机整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件的描述、状态和属性。n 性能记录和其他底层的系统状态信息,以及其他相关
13、的一些数据。注册表的结构n 注册表采用了“键”和“键值”来管理登录的数据nWindows XP 注册表由5个 根 键 组 成nHKEY_CLASSES_ROOT根 键nHKEY_CURRENT_USER根 键nHKEY_LOCAL_MACHINE根键nHKEY_USERS 根键nHKEY_CURRENT_CONFIG根键HKEY_CLASSES_ROOT n说明:该根键包括启动应用程序所需的全部信息,包括扩展名,应用程序与文档之间的关系,驱动程序名,DDE 和 OLE 信息,类ID 编号和应用程序与文档的图标等。n2.HKEY_CURRENT_USER n说明:该根键包括当前登录用户的配置信息
14、,包括环境变量,个人程序以及桌面设置等3.HKEY_LOCAL_MACHINE n说明:该根键包括本地计算机的系统信息,包括硬件和操作系统信息,安全数据和计算机专用的各类软件设置信息。n4.HKEY_USERS n 说明:该根键包括计算机的所有用户使用的配置数据,这些数据只有在用户登录系统时才能访问。这些信息告诉系统当前用户使用的图标,激活的程序组,开始菜单的内容以及颜色,字体。n5.HKEY_CURRENT_CONFIG n 说明:该根键包括当前硬件的配置信息,其中的信息是从HKEY_LOCAL_MACHINE中映射出来的注册表的操作n 打开注册表n编辑主键和键值n 查找注册表的键n 修改注
15、册表注册表的操作n 修改注册表n 以修改键盘的重复延迟为例来演示注册表的修改n 打开注册表 n 找到” HKEY_CURRENT_USERCONTROL PANELKEYBORD” n 点击右侧窗口中“KEYBORDDELAY”的键,双击,即弹出窗口可以修改其键值。注册表的备份与恢复n 注册表是系统的核心和灵魂,对注册表的一个不经意的错误修改都可能造成系统的破坏,因此对注册表做好备份工作十分重要。当系统出现小的问题时,把备份的注册表文件重新导入注册表,就可恢复系统的正常运行。注册表的备份和恢复nWindows 提供的备份程序备份、恢复n n n 使用 regedit 进行备份、恢复名师资料总结
16、 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 34 页 - - - - - - - - - 使用 regedit 的导入、导出功能n 启动 regedit n 选择“导出”进行备份n 选择“导入”进行恢复第五章网络安全技术基础一n n 加密技术nPKI 技术n 数据备份与恢复n防火墙n 入侵检测系统nVPN 加密技术n 密码技术是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科,是保护信息安全的主要技术手段之一。n n 用户在计算机网络信道上相互通信,其主要危险是被非法窃
17、听。对网络传输的报文进行数据加密,是一种很有效的反窃听手段。n n密码技术不仅可以保证信息的机密性,而且可以保证信息的完整性,还能够实现通信用户间的身份认证和不可否认性。基本概念n 信息机密性 :只有有权限的用户才可以对信息进行加密和解密。n 信息完整性:信息在存储或传输过程中保持不被修改数据是否被修改过。n 身份认证:鉴别通信双方的身份。n 不可否认性:保证用户不能否认发送或接收过一个特定的信息或做个某个操作。n 明文 :信息的原始形式(Plaintext,记为 P) 。 n 密文: 明文经过加密后的形式(Ciphenext,记为 C)。 n 加密 :由明文变成密文的过程称为加密(Encip
18、hering ,记为 E),加密通常是由加密算法来实现。n 解密 : 由密文还原成明文的过程称为解密(Deciphering ,记为D),解密通常是由解密算法来实现。n 加密算法: 实现加密所遵循的规则。n 解密算法 :实现解密所遵循的规则密钥:为了有效地控制加密和解密算法的实现,在其处理过程中要有通信双方单程的专门信息参与加密和解密操作,这种专门信息称为密钥(Key ,记为 K) 。 n 对称式加密算法:加密密钥和解密密钥相同或者可以由其中一个推知另一个,通常把参与加密、解密过程的相同的密钥叫做公共密钥, 用 K 来表示。代表性的对称式加密算法有DES(数学加密标准 ), IDEA( 国际数
19、据加密算法),Rijndael,AES,RC4 算法等。非对称式加密算法: 加密和解密使用不同的密钥,每个用户拥有一对密钥,其中的一个作为公开密钥,用PK 来表示,公钥是公开的,任何人都可以获得,另一个就用来作为私钥,用SK 来表示,私钥是保密的,只有密钥对的拥有者独自知道。在使用过程中一个用来加密,另一个一定能够进行解密。典型的非对称式加密算法有RSA 、DSA( 数字签名算法 )、Diffie一 Hellman、ECC(椭圆曲线加密算法)等。n 哈希算法 ,也称为单向散列函数、杂凑函数、HASH 算法。 它通过一个单向数学函数,将任意长度的一块数据转换为一个定长的、不可逆转的数据。 这段数
20、据通常叫做信息摘要,其实现过程通常称为压缩。典型的哈希算法有MD5 、SHA 、HMAC 和 GOST 等。例如:任何信息经过MD5 压缩之后都生成128 位的信息摘要,经过 SHA 压缩之后都生成160 位信息摘要。各种算法特点及简单应用对称式加密算法算法简单,加密速度很快,但在信息通信之前需要通过一个安全的通道交换密钥,对公共密钥进行协商,才能实现信息加密传输,具有安全的协商密钥较困难的问题。n n 非对称式加密算法多是基于数学难题问题,算法复杂,加密速度较慢,与同等安全强度的对称算法相比,一般慢三个数量级,但是它的优点是通信双方不必事先约定密钥就可以进行安全通信。对称式加密技术和非对称式
21、加密技术在使用过程中各有其优缺点,并且其优缺点是互补的,利用这点, 通常两种加密技术台结合应用,实现信息通信过程的保密性。n“数字信封”技术。数字信封的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容,数字信封则采用密码技术保证了只名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 34 页 - - - - - - - - - 有规定的接收人才能阅读信息的内容。数字签名技术n书信或文件是通过亲笔签名或印章来达到法律上的真实、有效,并且可以核实。但随着网
22、络的发展,人们可以在网上进行交易,在交易中怎么确保可信,这就需要在网络中实现传统的文件签名和盖章所能达到的效果,这就是数字签名所要解决的问题。数字签名技术n数字签名可以做到以下3 点:n1、接受者能够核实发送者对信息的签名;n2、发送者不能抵赖对信息的签名;n3、接受者不能伪造对信息的签名。n 现已有多种实现各种数字签名的方法,可以使用对称式加密算法或哈西算法,也可以使用非对称式加密算法,采用非对称式加密算法要比采用其他加密算法更容易实现。n PKI 技术( Public Key Infrastructure,PKI ) ?公开密钥体系,是提供公钥加密和数字签名服务的系统或平台,目的是通过自动
23、管理密钥和证书,为用户建立一个安全的网络运行环境,通过发放和维护数字证书来建立一套信用网络,在同一网络中的用户通过申请到的数字证书来完成身份认证和安全处理。PKI 是由数字证书、证书颁发机构(CA)以及对电子交易所涉及的各方的合法性进行检验的注册机构组成,从广义上讲, 所有提供公钥加密和数字签名服务的系统,都叫做PKI 系统。数字证书n n 数字证书 :即互联网通讯中标志通讯各方身份信息的一系列数据,它提供了一种在 Internet 上验证用户身份的方式。n n 数字证书由一个权威机构CA 机构,又称为证书授权(Certificate Authority) 中心发行。数字证书是一个经证书授权中
24、心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。从原理上来讲, 就是一个可信的第三方实体对另一个实体的一系列信息进行签名得到一个数字文档,证书用户可以通过这个可信第三方签发的证书来证明另一实体的身份。n n 证书中信息由三部分组成:实体的一系列信息,签名加密算法和一个数字签名。其中实体的信息主要包括三方面的内容:证书所有者的信息、证书所有者的公开密钥和证书颁发机构的信息。PKI 的组件及功能PKI 作为一种密钥管理平台,能够为各种网络应用透明地提供密钥和数字证书管理。PKI 体系由认证中心(CA) 、注册中心 (RA) 、存储库、密钥备份及恢复系统、证书作废处理系统、PKI 应用接口六大
25、部分组成。n(1)认证机构 (Certification Authority ,CA) :证书的签发机构,它是 PKI 的核心,是PKI 应用中权威的、可信任的公正的第三方机构。认证中心作为一个可信任的机构, 管理各个主体的公钥并对其进行公证,目的是证明主体的身份与其公钥的匹配关系。认证中心的功能包括证书的分发、更新、查询、作废和归档等。PKI 的组件及功能n(2)注册机构 (Registration Authority ,RA) :RA 是可选的实体,RA 实现分担 CA 部分职责的功能,其基本职责是认证和验证服务,可将RA 配置为代表CA 处理认证请求和撤销请求服务。n(3)证书库:是包含
26、了CA 发行证书的数据库,集中存放证书,提供公众查询。n(4)密钥备份及恢复系统:用户的解密密钥进行备份,当丢失时进行恢复,而签名密钥不能备份和恢复。n(5)证书作废处理系统:证书由于某种原因而要作废、终止使用,这将通过证书撤销列表CRL(Centificate Revocation List)来完成。数字证书和其他加密算法结合使用可以实现的安全性能指标为:n(1)保密性:双方的通信内容高度保密,第三方无从知晓。n(2)完整性:通信的内容无法被篡改。n(3)身份认证:收方通过发方的电子签名确认发方的确切身份,但无法伪造。n(4)不可否认性:发方一旦将数字签名的信息发出,就不能再否认。数字证书的
27、使用n 实现过程: 现有持有证书人甲向持有证书人乙传送数字信息,通信过程要求通信双方实现身份认证,并要保证信息传送的保密性、完整性和不可否认性。实现过程名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 34 页 - - - - - - - - - 使用数字加密和数字签名,其传送过程如下:n(1)甲准备好要传送的数字信息(明文 )。 n(2)甲对数字信息进行压缩,得到一个信息摘要。n(3)甲用自己的私钥(SK)对信息摘要进行加密得到甲的数字签名,并将其附在数字信息上。n(4)
28、甲随机产生一个实现对称式加密的公共密钥 (K) ,并用 K 对要发送的信息进行加密,形成密文。(5)甲用乙的公钥(PK)对 K 进行加密,将加密后的K 连同密文一起传送给乙。n(6)乙收到甲传送来的密文和加过密的公共密钥 K,先用自己的私钥(SK)对加密公共密钥K 进行解密,得到K。 n(7)乙然后用K 对收到的密文进行解密,得到明文的数字信息。n(8)乙用甲的公钥(PK) 对甲的数字签名进行解密,得到信息摘要。n(9)乙用相同的HASH 算法对收到的明文再进行一次HASH 运算 ,得到一个新的信息摘要。n(10)乙将收到的信息摘要和新产生的信息摘要进行比较如果一致,说明收到的信息没有被修改过
29、。数字证书的使用n 随着 Internet 的普及、各种电子商务活动和电子政务活动的飞速发展,数字证书开始广泛地应用到各个领域之中,目前主要包括: 发送安全电子邮件、访问安全站点、 网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。数据备份与恢复n n把文件或数据库从原来存储的地方复制到其他地方的活动称为数据备份,取回原先 (备份 )文件的过程称为恢复数据。数据备份和恢复的主要目的就是保证在设备发生故障或发生其他威胁数据安全的灾害时能保护数据,使数据及时恢复,从而减小损失保证系统正常运行。n n 采取异地数据备份后,一旦工作场所发生意外,企
30、业可以在较短的时间内恢复正常运行。企业最宝贵的不是各种网络硬件,而是网络上存储的业务数据。建立一套全方位、多层次的数据备份系统成为网络建设的重要责任。数据故障的形式n 数据故障的形式是多种多样的,通常,数据故障可划分为系统故障、失误故障和介质故障,还有攻击者造成的文件损坏,如:病毒、 木马或黑客攻击等也会造成数据故障。无论是哪种故障都不是用户所希望的,特别是系统管理员,通常会采用防火墙、防病毒软件和入侵检测系统等对系统进行安全防御,维护系统和数据的完整性,但是,世界上没有能真正保证信息绝对安全的防护措施,在信息的收集、处理、存储、 传输和分发过程中经常会出现一些新的问题,其中最值得我们关注的就
31、是系统失效、数据丢失或遭到破坏。造成这些故障的主要原因有以下几个方面:n n(1)由于系统或电器物理损坏导致文件、数据的丢失;n(2)人为的错误删除一个文件或格式化一个磁盘等;n(3)黑客侵入计算机系统,破坏计算机系统;n(4)病毒感染计算机,甚至损坏计算机数据;n(5)火灾、洪水或地震等自然灾难毁坏计算机系统;n(6)由于瞬间过载电功率或磁场等外界因素造成计算机系统中数据损坏。n 需要备份的数据类型n n 对一般用户来讲,在计算机中需要备份的数据有三类:n 自己编写的和平实积累的文件n 安装软件生成的文件n 网络或其他媒体上的文件常用的备份方法硬件级备份n 硬件级备份一般采用的技术分为磁盘镜
32、像、磁盘双工、磁盘阵列和双机热备份。n 软件级备份n 软件级备份可分为对整个系统进行备份、对定制文件和文件夹备份和只对系统状态数据备份。数据故障的形式n(1)由于系统或电器物理损坏导致文件、数据的丢失;n(2)人为的错误删除一个文件或格式化一个磁盘等;n(3)黑客侵入计算机系统,破坏计算机系统;n(4)病毒感染计算机, 甚至损坏计算机数据;n(5)火灾、洪水或地震等自然灾难毁坏计算机系统;n(6) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 34 页 - - - -
33、- - - - - 由于瞬间过载电功率或磁场等外界因素造成计算机系统中数据损坏。n 2 防火墙 n n 防火墙概述n 防火墙是防护网络边界的一种基本的重要的防护手段。古代,人们在房屋的周围用石头围成一个圈墙,可以有效防止火灾蔓延到房屋,这圈墙被称为 “防火墙” 。现在,人们在网络的边界处部署网络安全防护设备,形象地称为“防火墙”。如下图所示。防火墙的特性n(1)所有内部对外部的通信都必须经过防火墙,反之亦然n(2)只有安全策略所定义的授权通信才允许通过n(3)防火墙本身是抗入侵的n(4)防火墙是网络的要塞点,尽可能将安全措施都集中于这一点n(5)防火墙可以强制安全策略的实施n(6)防火墙可以记
34、录内、外网络通信时发生的行为防火墙的功能n(1)过滤出入网络的数据n 所有网络内部和网络外部流通的数据都必须经过防火墙, 防火墙检查所有数据的细节,并根据事先定义好的策略允许或者禁止对数据进行通信。n(2)强化网络安全策略n 网络上的许多服务都是不安全的,防火墙执行站点的安全策略,仅仅允许符合规则的服务通过。n (3)对网络存取和访问进行监控审计由于所有访问网络的数据都要经过防火墙,这样防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的数据统计。当发现可疑数据时, 防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外防火墙还可以收集网络的使用情况和误用情况,这样
35、防火墙可以清楚是否能够抵挡攻击,提高了网络的安全性。n(4)控制不安全的服务n位于防火墙后,只有授权的协议和服务才能通过网络,这样可以控制一些不安全的服务, 从而使内部网络免于遭受来自外界的基于协议或者服务的攻击,提高网络的安全性。n(5)对站点访问控制n 防火墙可以限制外界用户访问内部网络的某些主机,这样可有效地保护内部网络中某些计算机的安全。n 防火墙定制安全策略的基本准则n n(1)“没有明确允许的都是被禁止的”,即拒绝一切位于特许的通信,定义“允许”控制表。优点是安全实用;缺点是服务范围受到限制。n(2)“没有明确禁止的都是被允许的”,即允许一切未被特别拒绝的通信,定义为“拒绝”控制表
36、。优点是灵活,服务范围大;缺点是管理人员的工作量大,安全性差。防火墙的局限性n(1)防火墙防外不防内n防火墙可以禁止系统用户经过网络连接发送的信息,但用户可以将数据复制到磁盘、磁带上, 放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育、管理、制度等。n(2)防火墙配置复杂,容易出现安全漏洞。n(3)防火墙不能防范病毒。防火墙不能防止感染了病毒的软件或文件的传输。在每台主机上装反病毒软件。(4)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据
37、被邮寄或复制到内部网主机上并被执行,就会发生数据驱动攻击。n(5)防火墙对服务器合法开放的端口的攻击大多无法阻止 。 n 防火墙要保证服务,必须开放相应的端口。防火墙要准许HTTP 服务,就必须开放80 端口,要提供Mail 服务,就必须开放25 端口等。对开放的端口进行攻击,防火墙不能防止。n(6)利用开放服务流入的数据来攻击,攻击开放服务的软件缺陷,防火墙无法防止。(7)防火墙不能干涉还没有到达防火墙的数据包。n(8)防火墙对操作系统的依赖,因为操作系统也有漏洞。n(9)防火墙不能抵抗最新的未设置策略的攻击漏洞。n 就如杀毒软件与病毒一样,总是先出现病毒, 杀毒软件经过分析出特征码后加入到
38、病毒库内名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 34 页 - - - - - - - - - 才能查杀。n(10)防火墙的并发连接数限制容易导致拥塞或者溢出。n 由于要判断、处理流经防火墙的每一个数据包,因此防火墙在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈影响性能。而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过。防火墙技术的类型n 防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应
39、用代理网关、状态检测、复合型防火墙技术。n1包过滤( Packet filtering )技术n 包过滤防火墙工作在网络层,对数据包的源及目地IP 具有识别和控制作用,对于传输层,也只能识别数据包是TCP 还是 UDP 及所用的端口信息,如下图所示。现在的路由器、 Switch Router 以及某些操作系统已经具有用Packet Filter 控制的能力。n 由于只对数据包的IP 地址、 TCP/UDP 协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。包过滤防火墙具有根本的缺陷:n 不能防范黑客攻击。包过滤防火墙的工作基于一个前提,就是网管知道哪些IP 是可信网络,哪些是不可信
40、网络的IP 地址。但是随着远程办公等新应用的出现, 网管不可能区分出可信网络与不可信网络的界限,对于黑客来说, 只需将源IP 包改成合法IP 即可轻松通过包过滤防火墙,进入内网, 而任何一个初级水平的黑客都能进行 IP 地址欺骗。n 不支持应用层协议。假如内网用户提出这样一个需求,只允许内网员工访问外网的网页(使用HTTP 协议),不允许去外网下载电影(一般使用FTP 协议)。包过滤防火墙无能为力,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙。n不能处理新的安全威胁。它不能跟踪TCP 状态,所以对TCP 层的控制有漏洞。如当它配置了仅允许从内到外的TCP 访问时,一些以TCP 应答包的
41、形式从外部对内网进行的攻击仍可以穿透防火墙。n 综上可见,包过滤防火墙技术面太过初级,就好比一位保安只能根据访客来自哪个省市来判断是否允许他(她)进入一样, 难以履行保护内网安全的职责。应用代理网关技术n 应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP 连接,应用层的协议会话过程必须符合代理的安全策略要求,如下图所示。n 应用代理网关技术n 应用代理网关 的优点是 可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。n n
42、缺点也非常突出,主要有:n(1)难于配置 。由于每个应用都要求单独的代理进程,这就要求网管能理解每项应用协议的弱点,并能合理的配置安全策略,由于配置繁琐,难于理解,容易出现配置失误,最终影响内网的安全防范能力。应用代理网关技术n(2)处理速度非常慢。断掉所有的连接,由防火墙重新建立连接,理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行,因为对于内网的每个Web 访问请求,应用代理都需要开一个单独的代理进程,它要保护内网的Web 服务器、数据库服务器、文件服务器、邮件服务器,及业务程序等,就需要建立一个个的服务代理,以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用
43、户的正常Web 访问不能及时得到响应。n 总之,应用代理防火墙不能支持大规模的并发连接,在对速度敏感的行业使用这类防火墙时简直是灾难。另外,防火墙核心要求预先内置一些已知应用程序的代理,使得一些新出现的应用在代理防火墙内被无情地阻断,不能很好地支持新应用。在计算机网络领域中,新应用、新技术、新协议层出不穷,代理防火墙很难适应这种局面。因此,在一些重要的领域和行业的核心业务应用中,代理防火墙正被逐渐疏远。n 但是,自适应代理技术的出现让应用代理防火墙技术出现了新的转机,它结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10 倍。n3状态检测技术
44、n 我们知道, Internet 上传输的数据都必须遵循TCP/IP 协名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 34 页 - - - - - - - - - 议,根据TCP 协议,每个可靠连接的建立需要经过“客户端同步请求” 、 “服务器应答” 、“客户端再应答”三个阶段,我们最常用到的Web 浏览、文件下载、收发邮件等都要经过这三个阶段。 这反映出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,引出了状态检测技术。状态检测防火墙摒弃了包过滤
45、防火墙仅考查数据包的IP 地址等几个参数, 而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力,如下图所示。开始攻击只检查报头建立连接状态表应用代理网关技术n网关防火墙的一个挑战就是能处理的流量, 状态检测技术在大力提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。目前任何一款高性能的防火墙,
46、都会采用状态检测技术。复合型防火墙技术n 复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC 架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS 功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、 内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI 第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施,如下图所示。n 四类防火墙技术的对比n 包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很
47、弱。n 应用代理网关防火墙:不检查IP、 TCP 报头,不建立连接状态表,网络层保护比较弱。n 状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。n 复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱入侵检测系统组成nIETF(Internet 工程任务组 )将一个 IDS 分为四个组件: 事件产生器 (Event Generators );事件分析器 (Event Analyzers) ;响应单元 (Response Units);事件数据库(Event Databases)。 n(1)事件产生器的功能是从整个计算
48、环境中捕获事件信息,并向系统的其他组成部分提供该事件数据。n(2)事件分析器分析得到的事件数据,并产生分析结果。n(3)响应单元则是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等有效反应,当然也可以只是报警。n(4)事件数据库是存放各种中间和最终数据的地方的统称,用于指导事件的分析及反应,它可以是复杂的数据库,也可以是简单的文本文件。入侵检测系统分类n 根据检测对象的不同,IDS 可分为主机型和网络型:n(1)基于主机的监测(HIDS) 。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入
49、侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。 最近出现的一种ID(Intrusion Detection) 位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。n(2)网络型入侵检测(NIDS) 。它的数据源是网络上的数据包。往往将一台主机的网卡设于混杂模式,对所有本网段内的数据包进行信息收集,并进行判断。 一般网络型入侵检测系统担负着保护整个网段的任务。n 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -
50、- - - - 第 9 页,共 34 页 - - - - - - - - - 入侵检测系统主要功能(1)对网络流量的跟踪与分析功能:跟踪用户从进入网络到退出网络的所有活动时监测并分析用户在系统中的活动状态。n(2)对已知攻击特征的识别功能:识别特定类型的攻击,并向控制台报警, 为防御提供依据。 并根据定制的条件过滤重复警报事件,减轻传输与响应的压力。n(3)对异常行为的分析、统计与响应功能:分析系统的异常行为模式,统计异常行为,并对异常行为做出响应。n(4)特征库的在线升级功能:提供在线升级,实时更新入本地,不断提高 IDS 的入侵监测能力。5)数据文件的完整性检验功能:检查关控数据文件的完整