通信網(wǎng)絡(luò)安全

通信網(wǎng)絡(luò)安全第一頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第1頁。第5章網(wǎng)絡(luò)安全技術(shù)

第二頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第2頁。5.1網(wǎng)絡(luò)系統(tǒng)安全技術(shù)概述5.1.1網(wǎng)絡(luò)系統(tǒng)面臨的安全問題從系統(tǒng)和應(yīng)用出發(fā)，網(wǎng)絡(luò)的安全因素可以劃分為五個安全層，即物理層、系統(tǒng)層、應(yīng)用層、網(wǎng)絡(luò)層和安全管理層。應(yīng)該在每個層面上進(jìn)行細(xì)致的分析，根據(jù)風(fēng)險(xiǎn)分析的結(jié)果設(shè)計(jì)出符合具體實(shí)際的、可行的網(wǎng)絡(luò)安全整體解決方案。1.物理層的安全風(fēng)險(xiǎn)2.網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)3.系統(tǒng)層的安全風(fēng)險(xiǎn)第三頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第3頁。4.應(yīng)用層安全風(fēng)險(xiǎn)（1）身份認(rèn)證漏洞（2）DNS服務(wù)威脅（3）WWW服務(wù)漏洞（4）電子郵件系統(tǒng)漏洞5.管理層安全風(fēng)險(xiǎn)5.1.2網(wǎng)絡(luò)安全產(chǎn)品信息安全和網(wǎng)絡(luò)安全產(chǎn)品有以下幾類：（1）防火墻。（2）安全路由器。（3）虛擬專用網(wǎng)(VPN)。（4）安全服務(wù)器。第四頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第4頁。（5）認(rèn)證中心和公鑰機(jī)制。（6）用戶認(rèn)證產(chǎn)品。（7）安全管理中心。（8）數(shù)據(jù)恢復(fù)與容災(zāi)系統(tǒng)。（9）入侵檢測系統(tǒng)（IDS）。（10）安全數(shù)據(jù)庫。（11）安全操作系統(tǒng)。5.2信息防護(hù)技術(shù)5.2.1訪問控制策略1.入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗(yàn)證、用戶口令的識別與驗(yàn)證、用戶賬號的默認(rèn)限制檢查。第五頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第5頁。2.文件和網(wǎng)絡(luò)的權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。（1）特殊用戶（即系統(tǒng)管理員）；（2）一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；（3）審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。文件系統(tǒng)的安全主要是通過設(shè)置文件的權(quán)限來實(shí)現(xiàn)的。（1）文件許可權(quán)文件屬性決定了文件的被訪問權(quán)限，即什么人能存取或執(zhí)行該文件。（2）目錄級安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。第六頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第6頁。（3）屬性安全控制屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。（4）網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。5.2.2加密和認(rèn)證1.加密網(wǎng)絡(luò)系統(tǒng)自身的安全涉及很多技術(shù)，這些技術(shù)在網(wǎng)絡(luò)攻守較量中又不斷發(fā)展、完善。網(wǎng)絡(luò)的一種安全問題是數(shù)據(jù)的安全，數(shù)據(jù)安全包括傳輸保密和存儲保密，保密最核心的是密碼算法，密碼算法包括加密算法、密鑰管理算法及驗(yàn)證算法。

第七頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第7頁。2.認(rèn)證傳統(tǒng)的用戶認(rèn)證系統(tǒng)有三個功能，即對用戶進(jìn)行認(rèn)證(Authentication)、授權(quán)(Authorization)和計(jì)費(fèi)數(shù)據(jù)采集(Accounting)。

（1）認(rèn)證(Authentication)認(rèn)證就是指用戶必須提供他是誰的證明。（2）授權(quán)(Authorization)授權(quán)主要是用戶管理，即針對普通操作員。（3）計(jì)費(fèi)數(shù)據(jù)采集(Accounting)①計(jì)費(fèi)管理②計(jì)費(fèi)策略定制③系統(tǒng)管理功能第八頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第8頁。5.2.3安裝Radius認(rèn)證訪問服務(wù)器遠(yuǎn)程認(rèn)證撥號用戶服務(wù)(RemoteAuthenticationDialInUserService，RADIUS)是在網(wǎng)絡(luò)訪問服務(wù)器(NetworkAccessServer，NAS)和集中存放認(rèn)證信息的Radius服務(wù)器之間傳輸認(rèn)證、授權(quán)和配置信息的協(xié)議。1.RADIUS的工作原理RADIUS以Client/Server方式工作，實(shí)現(xiàn)了對遠(yuǎn)程電話撥號用戶的身份認(rèn)證、授權(quán)和計(jì)費(fèi)功能。RADIUS的工作流程是：（1）用戶撥入NAS;（2）NAS向RADIUS服務(wù)器發(fā)送一系列加密的“屬性/值”;（3）RADIUS服務(wù)器檢查用戶是否存在、屬性/值是否匹配；（4）RADIUS服務(wù)器發(fā)送回“接受“或“拒絕“給NAS。第九頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第9頁。用戶認(rèn)證、管理和計(jì)費(fèi)系統(tǒng)的結(jié)構(gòu)如圖5.1所示：第十頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第10頁。5.2.4網(wǎng)絡(luò)防病毒技術(shù)網(wǎng)絡(luò)病毒是在網(wǎng)絡(luò)上傳播的病毒。網(wǎng)絡(luò)病毒的來源主要有兩種：一種威脅是來自文件下載。另一種主要威脅來自于電子郵件。1.病毒防治軟件安裝位置網(wǎng)絡(luò)病毒防治必須考慮安裝病毒防治軟件。2.防病毒軟件的部署和管理部署一種防病毒軟件的實(shí)際操作一般包括以下步驟：（1）調(diào)查和制定計(jì)劃（2）測試（3）系統(tǒng)安裝（4）維護(hù)3.常用防病毒軟件第十一頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第11頁。5.3防火墻技術(shù)防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間執(zhí)行訪問控制策略的一個或一組控制系統(tǒng)。防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。原則上，防火墻是由兩種機(jī)制構(gòu)成：一種是查阻信息通行，另一種是允許信息通過。防火墻有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。第十二頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第12頁。5.3.1防火墻系統(tǒng)概述1.防火墻系統(tǒng)的體系結(jié)構(gòu)（1）簡單包過濾防火墻簡單包過濾技術(shù)對網(wǎng)絡(luò)層和傳輸層協(xié)議進(jìn)行保護(hù)，對進(jìn)出網(wǎng)絡(luò)的單個包進(jìn)行檢查，具有性能較好和對應(yīng)用透明的優(yōu)點(diǎn)，目前絕大多數(shù)路由器都提供這種功能。（2）應(yīng)用代理防火墻應(yīng)用代理防火墻也可稱之為應(yīng)用網(wǎng)關(guān)防火墻。應(yīng)用代理的原理是徹底隔斷通信兩端的直接通信，所有通信都必須經(jīng)應(yīng)用層代理層轉(zhuǎn)發(fā)，訪問者任何時候都不能與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會話過程必須符合代理的安全策略要求。（3）狀態(tài)監(jiān)測防火墻狀態(tài)監(jiān)測防火墻已經(jīng)成為防火墻的標(biāo)準(zhǔn)。

第十三頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第13頁。2.防火墻系統(tǒng)的關(guān)鍵技術(shù)（1）分組過濾技術(shù)分組過濾又稱“包過濾”，它是防火墻最傳統(tǒng)、最簡單和最基本的技術(shù)。（2）地址翻譯技術(shù)地址翻譯是指將一個IP地址映射為另一IP地址。它既可解決內(nèi)部網(wǎng)絡(luò)IP地址不足的問題，也能使內(nèi)部網(wǎng)絡(luò)中的主機(jī)IP地址對外部網(wǎng)絡(luò)無效，隱藏內(nèi)部網(wǎng)絡(luò)主機(jī)。（3）應(yīng)用級網(wǎng)關(guān)（代理服務(wù)器）與分組過濾技術(shù)不同，代理服務(wù)器(Proxy)技術(shù)不是在網(wǎng)絡(luò)層攔截?cái)?shù)據(jù)分組，而是通過為各種應(yīng)用服務(wù)分別設(shè)立代管的方法在應(yīng)用層對網(wǎng)絡(luò)信息攻擊進(jìn)行防范。第十四頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第14頁。（4）電路級網(wǎng)關(guān)電路級網(wǎng)關(guān)防火墻屬于第三代防火墻技術(shù)，它通過監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息來決定該會話是否合法。（5）非軍事化區(qū)(DMZ)DMZ位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域，通常是一個過濾的子網(wǎng)。（6）狀態(tài)監(jiān)視器(StatefulInspection)：狀態(tài)監(jiān)視器是一種最新的防火墻技術(shù)，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測模塊。第十五頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第15頁。5.3.2防火墻的選購1.產(chǎn)品類型2.LAN接口3.協(xié)議支持4.訪問控制配置5.自身的可靠性6.防御功能7.連接性能8.管理功能9.記錄和報(bào)表功能10.靈活的可擴(kuò)展和可升級性11.協(xié)同工作能力12.品牌知名度

第十六頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第16頁。5.3.3Cisco防火墻的配置1.防火墻的基本配置原則在防火墻的配置過程中需堅(jiān)持以下三個基本原則：（1）簡單實(shí)用。（2）全面深入。（3）內(nèi)外兼顧。2.CiscoPIX防火墻的基本配置防火墻的具體配置步驟如下：（1）如圖7.2所示，將防火墻的Console端口用一條防火墻自帶的串行電纜連接到電腦的一個空余串口上。（2）開啟所連電腦和防火墻的電源，進(jìn)入Windows系統(tǒng)自帶的"超級終端"，通訊參數(shù)可按系統(tǒng)默然。第十七頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第17頁。（3）輸入enable命令，進(jìn)入Pix525特權(quán)用戶模式，默然密碼為空。（4）定義以太端口：先必須用enable命令進(jìn)入特權(quán)用戶模式，然后輸入configureterminal（可簡稱為configt），進(jìn)入全局配置模式模式。（5）配置時鐘（6）指定接口的安全級別（7）配置以太網(wǎng)接口IP地址（8）access-group這個命令是把訪問控制列表綁定在特定的接口上。（9）配置訪問列表（10）配置地址轉(zhuǎn)換（NAT）（11）靜態(tài)端口重定向（12）顯示與保存結(jié)果第十八頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第18頁。3.包過濾型防火墻的訪問控制表（ACL）配置（1）access-list：用于創(chuàng)建訪問規(guī)則①創(chuàng)建標(biāo)準(zhǔn)訪問列表②創(chuàng)建擴(kuò)展訪問列表③刪除訪問列表（2）清除訪問列表規(guī)則的統(tǒng)計(jì)信息（3）IPaccess-group（4）showaccess-list（5）showfirewall（6）Telnet第十九頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第19頁。5.4廣域網(wǎng)的網(wǎng)絡(luò)安全方案設(shè)計(jì)5.4.1電子政務(wù)的網(wǎng)絡(luò)結(jié)構(gòu)與應(yīng)用系統(tǒng)所謂電子政務(wù)就是將政府機(jī)構(gòu)運(yùn)用現(xiàn)代計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，將其管理和服務(wù)的職能轉(zhuǎn)移到網(wǎng)絡(luò)上去完成，同時實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時間、空間和部門分隔的制約，向全社會提供高效優(yōu)質(zhì)、規(guī)范透明和全方位的管理與服務(wù)。5.4.2電子政務(wù)網(wǎng)絡(luò)安全方案設(shè)計(jì)原則（1）需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則（2）綜合性、整體性原則（3）一致性原則（4）易操作性原則（5）適應(yīng)性、靈活性原則（6）多重保護(hù)原則（7）可評價(jià)性原則第二十頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第20頁。具體是采用下面的安全措施實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全：（1）網(wǎng)絡(luò)系統(tǒng)內(nèi)各局域網(wǎng)邊界的安全。（2）網(wǎng)絡(luò)與其它網(wǎng)絡(luò)如Internet互連的安全。（3）網(wǎng)絡(luò)系統(tǒng)內(nèi)部各局域網(wǎng)之間信息傳輸?shù)陌踩?。?）撥號用戶的接入安全問題。（5）網(wǎng)絡(luò)監(jiān)控與入侵防范。（6）網(wǎng)絡(luò)安全檢測。5.4.3電子政務(wù)網(wǎng)絡(luò)安全解決方案物理層安全解決方案保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個網(wǎng)絡(luò)系統(tǒng)安全的前提。它主要包括環(huán)境安全、設(shè)備安全和線路安全三個方面。

第二十一頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第21頁。2.網(wǎng)絡(luò)層安全解決方案（1）防火墻安全技術(shù)建議（2）入侵檢測安全技術(shù)建議（3）數(shù)據(jù)傳輸安全建議3.系統(tǒng)層安全解決方案系統(tǒng)層安全主要包括兩個部分：操作系統(tǒng)安全技術(shù)以及數(shù)據(jù)庫安全技術(shù)。數(shù)據(jù)庫管理系統(tǒng)應(yīng)具有如下能力：（1）自主訪問控制（DAC）：DAC用來決定用戶是否有權(quán)訪問數(shù)據(jù)庫對象；（2）驗(yàn)證：保證只有授權(quán)的合法用戶才能注冊和訪問；（3）授權(quán)：對不同的用戶訪問數(shù)據(jù)庫授予不同的權(quán)限；（4）審計(jì)：數(shù)據(jù)庫管理系統(tǒng)應(yīng)能夠提供與安全相關(guān)事件的審計(jì)能力，監(jiān)視各用戶對數(shù)據(jù)庫的操作，例如試圖改變訪問控制許可權(quán)、試圖創(chuàng)建、拷貝、清除或執(zhí)行數(shù)據(jù)庫等操作。第二十二頁，共25頁通信網(wǎng)絡(luò)安全全文共25頁，當(dāng)前為第22頁。4.應(yīng)用層安全技術(shù)方案（1）身份認(rèn)證技術(shù)（2）防病毒技術(shù)5.安全管理方案建議（1）安全體系建設(shè)規(guī)范

（2）安