安全主流产品与常见工具PPT课件.ppt

1、2020年10月2日1安全主流产品与常见工具安全主流产品与常见工具 信息安全国家重点实验室Email:2020年10月2日2课程内容 防火墙 VPN 内外网隔离 日志审计 入侵检测 隐患扫描 PKI(CA) PGP 安全加固 防病毒2020年10月2日3课程内容 防火墙 VPN 内外网隔离 日志审计 入侵检测 隐患扫描 PKI(CA) PGP 安全加固 防病毒2020年10月2日4防火墙（Firewall） 防火墙基础知识防火墙基础知识防火墙体系结构防火墙体系结构防火墙技术防火墙技术 防火墙评测指标防火墙评测指标2020年10月2日5防火墙（Firewall） 防火墙基础知识防火墙基础知识 什

2、么是防火墙什么是防火墙 防火墙可以做什么防火墙可以做什么 防火墙的局限性防火墙的局限性防火墙体系结构防火墙体系结构防火墙技术防火墙技术 防火墙评测指标防火墙评测指标2020年10月2日6什么是防火墙（图）2020年10月2日7什么是防火墙什么是防火墙 防火墙是在被保护网络与因特网之间，或者在不同的网络之间，实施访问控制的一种或一系列部件。 2020年10月2日8防火墙可以做什么防火墙可以做什么防火墙是安全决策的焦点（阻塞点） 防火墙能强制安全策略 防火墙能有效地记录网络活动 2020年10月2日9防火墙的局限性防火墙的局限性 限制了可用性 对网络内部的攻击无能为力 不能防范不经过防火墙的攻击

3、不能防范因特网上不断产生的新的威胁和攻击不能完全防范恶意代码的通过2020年10月2日10防火墙（Firewall） 防火墙基础知识防火墙基础知识防火墙体系结构防火墙体系结构双重宿主主机体系结构双重宿主主机体系结构 屏蔽主机体系结构屏蔽主机体系结构 屏蔽子网体系结构屏蔽子网体系结构 其他体系结构其他体系结构防火墙技术防火墙技术 防火墙评测指标防火墙评测指标2020年10月2日11双重宿主主机体系结构（图）2020年10月2日12双重宿主主机体系结构 是最基本的防火墙系统结构双重宿主主机位于外部网络和受保护网络之间，至少有两个网络接口。所有在这两个网络间发送的IP数据包都会经过该主机，该主机可以

4、对转发的IP包进行安全检查优点：构造简单缺点：易受攻击2020年10月2日13屏蔽主机体系结构（图）2020年10月2日14屏蔽主机体系结构屏蔽主机结构将提供安全保护的堡垒主机置于内部网上，使用一个单独的路由器对该主机进行屏蔽优点：能够提供更高层次的安全保护缺点：堡垒主机一旦被攻破，整个网络就会被攻破2020年10月2日15屏蔽子网体系结构（图）2020年10月2日16屏蔽子网体系结构屏蔽子网结构在屏蔽主机结构基础上，增加了一层周边网络的安全机制，使内部网络与外部网络之间有两层隔离。优点：即使堡垒主机被攻破，也不能直接侵入内部网络。2020年10月2日17体系结构的其他形式 使用多堡垒主机 合

5、并内部与外部路由器 合并堡垒主机与外部路由器 使用多台外部路由器、多个周边网络 组合使用双重宿主主机和屏蔽子网 2020年10月2日18不宜采用的体系结构合并堡垒主机与内部路由器 使用多台内部路由器 2020年10月2日19防火墙（Firewall） 防火墙基础知识防火墙基础知识防火墙体系结构防火墙体系结构防火墙技术防火墙技术数据包过滤数据包过滤 应用代理应用代理NAT NAT 个人防火墙个人防火墙 防火墙评测指标防火墙评测指标2020年10月2日20数据包过滤数据包过滤(1)(1)数据包过滤是一个网络安全保护机制，数据包过滤是一个网络安全保护机制，它用来控制流出和流入网络的数据它用来控制流出

6、和流入网络的数据在在TCP/IPTCP/IP网络中，数据都是以网络中，数据都是以IPIP包的形包的形式传输的，数据包过滤机制就是对通过式传输的，数据包过滤机制就是对通过防火墙的防火墙的IPIP包进行安全检查，将通过安包进行安全检查，将通过安去检查的去检查的IPIP包进行转发，否则就阻止通包进行转发，否则就阻止通过过2020年10月2日21数据包过滤数据包过滤(2)(2)（图）（图）2020年10月2日22数据包过滤数据包过滤(3)(3)判断依据有：判断依据有： 数据包协议类型：数据包协议类型：TCP、UDP、ICMP、IGMP等等 源、目的源、目的IP地址地址 源、目的端口：源、目的端口：、D

7、NS等等 IP选项：源路由、记录路由等选项：源路由、记录路由等 TCP选项：选项：SYN、ACK、FIN、RST等等 其它协议选项：其它协议选项：ICMP ECHO、ICMP ECHO REPLY等等 数据包流向：数据包流向：in或或out 数据包流经网络接口：数据包流经网络接口：eth0、eth12020年10月2日23数据包过滤设置实例规则 方向源地址源端口目标地址目标端口动作1出内部*61.X. *拒绝2入211.X. *内部 *拒绝3双向*25拒绝2020年10月2日24数据包过滤数据包过滤(4(4) )数据包过滤的优点：数据包过滤的优点： 一个配置适当的数据包过滤器可以保护整个网络一

8、个配置适当的数据包过滤器可以保护整个网络 对用户透明度高对用户透明度高 易实现：大多数路由器都具有数据包过滤功能易实现：大多数路由器都具有数据包过滤功能数据包过滤的缺点：数据包过滤的缺点： 配置和检验较为困难配置和检验较为困难 一些协议不适合数据包过滤一些协议不适合数据包过滤 某些策略难以执行某些策略难以执行2020年10月2日25应用代理应用代理(1)(1)是各种应用服务的转发器是各种应用服务的转发器它接收来自内部网络特定用户应用程序它接收来自内部网络特定用户应用程序的通信，然后建立与公共网络服务器单的通信，然后建立与公共网络服务器单独的连接独的连接代理防火墙通常支持的一些常见的应用代理防火

9、墙通常支持的一些常见的应用程序有：程序有：HTTPHTTP、HTTPS/SSLHTTPS/SSL、SMTPSMTP、POP3POP3等等等等2020年10月2日26应用代理应用代理(2)(2)（图）（图）客户应用代理服务器发送请求转发响应转发请求发送响应2020年10月2日27应用代理应用代理(3)(3)（图）（图）2020年10月2日28应用代理应用代理(4)(4)它的优点是：对用户透明支持用户认证可以产生小并且更有效的日志。它的缺点是：速度比较慢对一些新的或不常用的服务不支持 2020年10月2日29NATNAT（网络地址转换协议）网络地址转换协议）可以使多个用户分享单一的IP地址为Int

10、ernet连接提供一些安全机制可以向外界隐藏内部网结构转换机制：当内部用户与一个公共主机通信时，NAT追踪是哪一个用户作的请求，修改传出的包，这样包就像是来自单一的公共IP地址 2020年10月2日30个人防火墙个人防火墙(1)(1)是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行 可以对用户计算机的网络通信进行过滤通常具有学习模式，可以在使用中不断增加新的规则2020年10月2日31个人防火墙个人防火墙(2)(2)(图）图）2020年10月2日32防火墙（Firewall） 防火墙基础知识防火墙基础知识防火墙体系结构防火墙体系结构防火墙技术防火墙技术 防火墙评测指标防火

11、墙评测指标2020年10月2日33防火墙评测指标 (1)对防火墙的评估通常包括对其功能、性能和可用性进行测试评估。对防火墙性能的测试指标主要有 吞吐量 延迟 帧丢失率 2020年10月2日34防火墙评测指标 (2)对防火墙的功能测试通常包含身份鉴别访问控制策略及功能密码支持审计管理对安全功能自身的保护2020年10月2日35防火墙测评方法2020年10月2日36NetScreen Vs. CheckPoint供应商NetScreenCheckPoint架构硬件软件性能在操作系统screenos版本为3.0时防火墙的通透性可以达到12Gbps之高依赖于使用平台的CPU、内存等配置，使用新技术Ap

12、plication Integlligence后，性能在原来的基础上进一步提升了31%。稳定性和兼容性采用的专门的软硬件，系统的稳定性上理论上应该领先；操作系统是专用的screenos，不存在防火墙和硬件的兼容性问题。操作系统和硬件不是特定为防火墙各项功能设计的，因此可能会存在稳定性和兼容方面的隐患功能和灵活性采用的专门设计的操作系统和硬件架构，灵活性上要相对差一些，而且可能提供的功能相对较少架构不依赖硬件，理论上功能是可以无限扩充的，它能给客户更多的控制和定制功能引自Yiming Gong http:/ 2020年10月2日37课程内容 防火墙 VPN 内外网隔离 日志审计 入侵检测 隐患扫

13、描 PKI(CA) PGP 安全加固 防病毒2020年10月2日38VPN (Virtual Private Network)什么是VPN VPN的分类 VPN的隧道协议 2020年10月2日39VPN什么是VPN VPN的分类 VPN的隧道协议 2020年10月2日40什么是VPN(1)2020年10月2日41什么是VPN (2)VPN即虚拟专用网，是指一些节点通过一个公用网络（通常是因特网）建立的一个临时的、安全的连接，它们之间的通信的机密性和完整性可以通过某些安全机制的实施得到保证特征虚拟(V)：并不实际存在，而是利用现有网络，通过资源配置以及虚电路的建立而构成的虚拟网络专用(P)：每个

14、VPN用户都可以从公用网络中获得一部分资源供自己使用网络(N)：既可以让客户连接到公网所能够到达的任何地方，也可以方便地解决保密性、安全性、可管理性等问题，降低网络的使用成本 2020年10月2日42什么是VPN (3)安全功能信息机密性，确保通过公网传输的信息以加密的方式传送，即使被他人截获也不会泄露信息完整性，保证信息的完整性 用户身份认证，能对用户身份进行认证，确定该用户的访问权限 访问控制，用户只能读写被授予了访问权限的信息 2020年10月2日43VPN什么是VPN VPN的分类 VPN的隧道协议 2020年10月2日44VPN的分类根据VPN所起的作用，可以将VPN分为： Acce

15、ss VPN Intranet VPN Extranet VPN 2020年10月2日45Access VPN处理可移动用户、远程交换和小部门的远程访问公司内部网的VPN 2020年10月2日46Intranet VPN （企业内部虚拟网企业内部虚拟网）是在公司远程分支机构的LAN和公司总部LAN之间，通过Internet建立的VPN2020年10月2日47Extranet VPN（企业外部虚拟网）企业外部虚拟网） 在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN由于不同公司网络环境的差异性，必须能兼容不同的操作平台和协议设置特定的访问控制表ACL（Access Control Lis

16、t），根据用户相应的访问权限开放相应资源2020年10月2日48Extranet VPN（图）图）2020年10月2日49VPN什么是VPN VPN的分类 VPN的隧道协议 2020年10月2日50VPN的隧道协议 VPN的关键技术在于通信隧道的建立，数据包通过通信隧道进行封装后的传送以确保其机密性和完整性通常使用的方法有：使用点到点隧道协议PPTP、第二层隧道协议L2TP、第二层转发协议L2F等在数据链路层对数据实行封装使用IP安全协议IPSec在网络层实现数据封装使用介于第二层和第三层之间的隧道协议，如MPLS隧道协议 2020年10月2日51PPTP/ L2TP (1)1996年，Mic

17、rosoft和Ascend等在PPP协议的基础上开发了PPTP，并将它集成于Windows NT Server4.0中，同时也提供了相应的客户端软件PPTP可把数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进行传输PPTP提供流量控制, 采用MPPE加密算法 2020年10月2日52PPTP/ L2TP (2)1996年，Cisco提出L2F（Layer 2 Forwarding）隧道协议 1997年底，Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议 L2TP可以实现和企业原有非IP网的

18、兼容,支持MP（Multilink Protocol），可以把多个物理通道捆绑为单一逻辑信道 2020年10月2日53PPTP/ L2TP (3)优点：支持其他网络协议 支持流量控制对用微软操作系统的用户来说很方便 缺点：通道打开后，源和目的用户身份不再就行认证，存在安全隐患限制同时最多只能连接255个用户 端点用户需要在连接前手工建立加密信道 2020年10月2日54IPSec VPN (1)IPSEC的隧道协议开始于RFC 1827即IP封装安全有效负载( ESP )，它定义了一个通用的数据报封装方法ESP通过对要保护的数据进行加密，以及将它放置在I P封装安全有效负载的有效负载部分，来提

19、供机密性和完整性。通过使用验证包头（AH，在RFC 2402中定义），也可以提供IP数据报的验证2020年10月2日55IPSec VPN(2) AH包头的结构：IPSEC AH/ESP数据包结构2020年10月2日56IPSec VPN(3) IPSEC VPN是基于IPSec协议的VPN产品，由IPSec协议提供隧道安全保障特点：只能支持IP数据流目前防火墙产品中集成的VPN多为使用IPSec 协议 2020年10月2日57MPLS VPN 是在网络路由和交换设备上应用MPLS (Multiprotocol Label Switching ) 技术，简化核心路由器的路由选择方式，利用结合传

20、统路由技术的标记交换实现的IP虚拟专用网络（IP VPN）运行在IP+ATM或者IP环境下，对应用完全透明 相关标准：RFC 3270RFC 27642020年10月2日58MPLS VPNPE = Provider Edge Router LSR = Label Switch Router 2020年10月2日59课程内容 防火墙 VPN 内外网隔离 日志审计 入侵检测 隐患扫描 PKI(CA) PGP 安全加固 防病毒2020年10月2日60内外网隔离物理隔离 逻辑隔离2020年10月2日61内外网隔离物理隔离 安全需求 物理隔离技术逻辑隔离2020年10月2日62安全需求(1)计算机信息

21、系统国际联网保密管理规定第六条规定：涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离。 2020年10月2日63安全需求(2)实现内网和外网的网络隔离的要求： 用户访问内网时，断开外网网络连接 访问外网时，断开内网网络连接 用户不能同时连入内、外网，始终保持内网、外网网络隔离的状态 2020年10月2日64安全需求(3)对物理隔离技术的要求 ： 高度安全 较低的成本 容易部置、结构简单 易于操作 具有灵活性与扩展性 2020年10月2日65物理隔离技术双网机技术 物理隔离卡 双网线的物理隔离卡 单网线的物理隔离卡 网络安全隔离集线器 物理隔离

22、网闸（GAP）2020年10月2日66双网机技术在一个机箱内设有两块主机板、两套内存、两块硬盘和两CPU相当于两台计算机共用一个显示器用户通过客户端开关，分别选择两套计算机系统特点是：客户端成本很高网络布线为双网线结构技术水平简单2020年10月2日67物理隔离卡双网线隔离卡客户端需要增加一块PCI卡，客户端硬盘或其它存储设备首先连接到该卡，然后再转接到主板，这样通过该卡用户就能控制客户端的硬盘或其它存储设备。用户在选择硬盘的时候，同时也选择了该卡上所对应的网络接口，连接到不同的网络 2020年10月2日68物理隔离卡双网线隔离卡(cont)技术水平有所提高成本有所降低要求网络布线采用双网线结

23、构，存在安全隐患2020年10月2日69物理隔离卡单网线隔离卡单网线隔离卡 只有一个网络接口通过网线将不同的电平信息传递到网络选择端，在网络选择端安装网络选择器，并根据不同的电平信号，选择不同的网络连接特点：实现成本较低，能够有效利用现有单网线网络环境系统的安全性有所提高2020年10月2日70物理隔离卡（图）2020年10月2日71网络安全隔离集线器 作为A/B转换器被设置在机柜中根据网络安全隔离卡的状态自动地将网络连接到安全网络或公共网络中特点：能使用原有的单一的布线系统2020年10月2日72物理隔离网闸（GAP）(1) 由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接能够在网

24、络间进行安全适度的应用数据交换 2020年10月2日73物理隔离网闸（GAP）(2)性能指标：系统数据交换速率 硬件切换时间 通常包含的安全功能模块：安全隔离 内核防护协议转换病毒查杀访问控制安全审计身份认证 2020年10月2日74内外网隔离物理隔离 逻辑隔离2020年10月2日75逻辑隔离在技术上，实现逻辑隔离的方式有很多，但主要是防火墙 2020年10月2日76课程内容 防火墙 VPN 内外网隔离 日志审计 入侵检测 隐患扫描 PKI(CA) PGP 安全加固 防病毒2020年10月2日77日志审计日志审计基础知识日志审计过程2020年10月2日78日志审计日志审计基础知识 什么是日志审

25、计 日志实例 日志审计的重要性 日志的来源日志审计过程2020年10月2日79什么是日志审计识别、记录、存储和分析那些与安全相关活动有关的信息的行为被称为安全审计这些信息以日志的方式进行存储，对这些日志的检查审计可以用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责 2020年10月2日80日志审计的重要性管理员入侵者 网络异常发现黑客追踪证据2020年10月2日81日志的来源(1)操作系统日志路由器日志IDS日志防火墙日志应用软件日志，等等2020年10月2日82日志的来源(2)通常可以进行审计的事件包括：文件审计应用程序与服务安装与卸载的审计安全配置更改的审计Internet审计用

26、户登录审计用户打印审计进程状况审计与移动存储有关的审计，等等2020年10月2日83日志审计日志审计基础知识日志审计过程审计事件生成审计事件选择审计事件存储审计事件查阅日志审计分析自动响应2020年10月2日84审计事件生成事件的日期和时间事件类型主体身份事件的结果针对不同类型的事件的其他相关信息在某些情况下，应当标识引起该事件的用户身份2020年10月2日85审计事件选择 审计事件选择是指在所有可以审计的事件中，根据主体身份、事件类型等属性，选择对哪些事件进行审计，这种选择可以用包含或排除的方法。2020年10月2日86审计事件存储 保护审计记录不受未授权的删除 防止或检测对审计记录的修改

27、当存储耗尽、失败或受到攻击时，能够确保审计记录不受破坏 存储失败时，应采取一定行动确保新的审计记录不受破坏 2020年10月2日87审计事件查阅 访问控制权限易于理解2020年10月2日88日志审计分析 日志的分析可以分为手工和自动的方式，通常，对日志的自动分析任务可以由入侵检测系统完成。但是，手工分析往往是日志分析不可缺少的部分2020年10月2日89自动响应 对日志的自动分析和自动响应通常由入侵检测系统实现自动相应可以是报警、自动采取某些安全措施，等等2020年10月2日90Solaris BSM（Basic Security Model）BSM用户级审计记录包括：进程名手册页参考审计事件

28、号审计事件名审计记录结构BSM核心级审计记录包括：系统调用名手册页参考审计事件号审计事件名审计事件类事件屏蔽审计记录结构2020年10月2日91WIN 2000日志结构数据时间用户名计算机名事件ID源类型种类可变内容，依赖于事件，可以时问题的文本解释和纠正措施的建议附加域。如果采用的话，包含可以字节或字显示的二进数据及事件记录的源应用产生的信息记录头事件描述附加数据2020年10月2日92WIN 2000 日志举例(1)事件类型:成功审核事件来源:Security事件种类:登录/注销 事件 ID:538日期:2003-9-9时间:20:47:042020年10月2日93WIN 2000 日志举

29、例(2)用户:QUhiiri计算机:QU描述:用户注销:用户名:hiiri域:QU登录 ID:(0 x0,0 x504001)登录类型:72020年10月2日94防火墙日志举例 ( Check Point Firewall-1 )19-May-00 17:31:59 时间戳drop 动作 inbound 方向 udp 传输层协议 scan.wins.bad.guy 源地址MY.NET.29.8 目标地址netbios-ns 目标端口netbios-ns 源端口78 包长度2020年10月2日95IDS日志举例 ( Snort )* r CGI access attempt * 06/10-07

30、:55:01.284025 时间戳 62.0.183.93:1526 源地址及端口 - 208.237.191.52:80 目标地址及端口 TCP 传输层协议 TTL:52 生存期 TOS:0 x0 服务种类 ID:4816 会话 ID DF 不可分段 Len:358 包长度2020年10月2日96课程内容 防火墙 VPN 内外网隔离 日志审计 入侵检测 隐患扫描 PKI(CA) PGP 安全加固 防病毒2020年10月2日97入侵检测（Intrusion Detection） 入侵检测定义入侵检测方法 入侵检测系统结构2020年10月2日98入侵检测（Intrusion Detection）

31、 入侵检测定义入侵检测定义入侵检测与入侵检测系统（入侵检测与入侵检测系统（IDS)IDS)入侵检测系统基本框架入侵检测系统基本框架 入侵检测方法 入侵检测系统结构2020年10月2日99什么是入侵检测入侵检测（Intrusion Detection）是检测计算机网络和系统以发现违反安全策略事件的过程IDS入侵检测系统包括三个功能组件提供事件记录流的信息源发现入侵迹象的分析引擎基于分析引擎的结果产生反应的响应部件2020年10月2日100入侵检测系统基本框架 2020年10月2日101入侵检测（Intrusion Detection） 入侵检测定义入侵检测方法 异常入侵检测技术 异常检测典型系统

32、TripWare 误用入侵检测技术 误用检测典型系统Snort 入侵检测系统结构2020年10月2日102异常入侵检测技术 (1)异常检测主要根据合法行为（状态）定义来分析系统是否受到攻击或者运行异常是目前入侵检测技术的主要研究发展方向典型应用：CPU使用率，内存使用率，网络流量，用户行为，系统调用等等 2020年10月2日103异常入侵检测技术 (2) 优点：可以检测到未知攻击知识库相对稳定 缺点：准确性差误报率高 2020年10月2日104异常检测典型系统TripWare(1) TripWare主要利用关键性文件的摘要作为自己知识库，合法用户修改文件后要更新该文件摘要，由于非法用户无权更改

33、其摘要，所以当发现文件摘要和保存的记录不符时，判定系统受到攻击。 2020年10月2日105异常检测典型系统TripWare(2)优点：实现简单管理方便缺点：检测能力差 2020年10月2日106误用入侵检测技术 (1)误用检测根据非法行为（状态）定义，分析目标系统状态，以确定是否受到攻击 技术较为成熟，为绝大多数市场产品采用典型应用：网络数据包用户指令序列应用程序编码特征，等等 2020年10月2日107误用入侵检测技术 (2)优点准确高效（相对）易实现缺点不能检测未知攻击知识库会无限增长描述所有攻击行为困难2020年10月2日108误用检测典型系统Snort (1)Snort是一个典型的轻

34、量级误用网络入侵检测系统。该系统自己定义了一套规则语言来定义入侵行为，规则语言所描述的主要是网络数据包的特性，比如地址、端口、包头属性、包含的特殊数据等等。 2020年10月2日109误用检测典型系统Snort (2)Snort规则语言（示例）log tcp any any - 10.1.1.0/24 79 alert tcp any any - 10.1.1.0/24 80 (content: /cgi-bin/phf;msg PHF probe!) alert tcp !10.1.1.0/24 any - 10.1.1.0/24 6000:6010 ( msg: X traffic;) a

35、lert tcp any any - 192.168.1.0/24 143 (content:|E8C0 FFF FF|/bin/sh; msg:New IMAP Buffer Overflow detected!;) 2020年10月2日110误用检测典型系统Snort (3) 优点:检测的准确度比较高缺点:检测的效率低对复杂攻击检测能力差容易被欺骗 2020年10月2日111入侵检测（Intrusion Detection） 入侵检测定义入侵检测方法入侵检测系统结构基于主机系统的结构 基于网络系统的结构2020年10月2日112基于主机系统的结构其检测目标主要是主机系统和系统本地用户根据主

36、机的审计数据和系统的日志发现可疑事件依赖于审计数据和系统日志的准确性和完整性2020年10月2日113基于网络系统的结构根据网络流量和单台或多台主机的审计数据对入侵行为进行检测。由探测器和分析器以及网络安全知识库组成具有配置简单，服务器平台独立性等优点2020年10月2日114课程内容 防火墙 VPN 内外网隔离 日志审计 入侵检测 隐患扫描 PKI(CA) PGP 安全加固 防病毒2020年10月2日115隐患扫描（vulnerabilities scanning） 网络弱点扫描 主机弱点扫描 特定应用弱点扫描2020年10月2日116隐患扫描（vulnerabilities scannin

37、g） 网络弱点扫描 功能分类 常用扫描工具主机弱点扫描 特定应用弱点扫描2020年10月2日117什么是网络弱点扫描 定期或按需寻找网络设备或网络主机上的漏洞，从而可以对这些漏洞进行及时弥补，以改善网络的安全性2020年10月2日118网络扫描器功能分类 简单漏洞识别与分析 全面漏洞识别与分析 2020年10月2日119简单漏洞识别与分析许多工具能实现相对有限的安全检测。这些工具可以自动进行目标主机的TCP/IP端口扫描，尝试连接存在已知漏洞的服务端口，并且记录下目标主机的反应它们可以为特定的系统特性实现安全配置检查 2020年10月2日120全面漏洞识别与分析 扫描漏洞范围更广对漏洞进行分析

38、提出的建议，减轻潜在的安全风险 2020年10月2日121常用扫描工具SATAN Nessus ISS Internet Scanner 2020年10月2日122SATAN (1)SATAN：Security Analysis Tool for Auditing Networks 其基本功能是通过finger，NFS，ftp，NIS，Web等服务尽可能的搜集目标主机和网络的相关信息 并具有简单的推理功能 2020年10月2日123SATAN (2)具有良好的可扩展性最核心部分对操作系统类型、网络服务名称、漏洞信息和其他细节信息依赖性很小 提供了较为灵活的方式供用户添加自己的探测模块,用户可以

39、自己编写一个可执行文件，以.satan结尾 2020年10月2日124NESSUS 一个公开代码的安全评估工具 有灵活Plugin结构，强大的扫描功能，并且具有很好的扩展性 自己提供了一个语言NASL用于用户自己开发测试模块 2020年10月2日125ISS Internet Scanner (1)针对网络上主机网络连接相关信息，分析主机系统平台，提供的服务，并分析是否存弱点 其可以诊断出的弱点包括：对PC、服务器、Web服务器、防火墙、路由器等网络设备的错误配置设备所启动的服务弱的或者无密码防护没有打补丁或者过时的系统平台。 2020年10月2日126ISS Internet Scanner

40、 (2) 特点：扫描模块与管理控制模块分开，管理方便采用XML方式定义扫描任务，策略配置灵活多样 支持对各种网络设备、平台、应用的评估 界面友好，报告齐全 2020年10月2日127隐患扫描（vulnerabilities scanning） 网络弱点扫描 主机弱点扫描 主机弱点扫描功能与特点 ISS System Scanner 特定应用弱点扫描2020年10月2日128主机弱点扫描功能与特点是针对单一主机系统的扫描，它在目标系统上运行，可以搜集到比较全面的系统信息，对系统安全性作比较深入地分析 只能分析单个主机，不能分析整个网络状况，也不能远程执行对于单一主机来说，主机弱点评估比网络弱点评

41、估的评估能力强，准确性高 它对弱点的修复能力比网络评估系统强 2020年10月2日129ISS System Scanner是ISS公司开发的针对主机的弱点扫描工具只涉及到单一主机，功能较为单一，报告比较简略对目标系统平台具有很强的依赖性，不同的平台涉及到不同的评测内容，不同的评测方法，目前主要分为Windows和Unix两大系列结合了传统安全评估和完整性检测两种方法的特点，提出Security Baseline技术，即在进行完一次完整的安全评估后，对所有漏洞修补，保证系统达到自己的安全需求 2020年10月2日130隐患扫描（vulnerabilities scanning） 网络弱点扫描

42、主机弱点扫描特定应用弱点扫描数据库弱点扫描 对未知漏洞的检测 2020年10月2日131数据库弱点扫描以ISS的 Database Scanner 为代表自动解析数据库系统的重要配置管理参数分析数据库系统的授权、认证、完整性检测一些流行数据库的安全漏洞生成详细用户报告提供两种评估方式内部扫描外部穿透性测试 2020年10月2日132对未知漏洞的检测目前主要有三种方法：静态源代码扫描环境错误注入汇编代码扫描 已有一些成果发布，尚待进一步研究2020年10月2日133课程内容 防火墙 VPN 内外网隔离 日志审计 入侵检测 隐患扫描 PKI(CA) PGP 安全加固 防病毒2020年10月2日13

43、4PKI (CA)PKI基础知识PKI技术 WIN2000 PKI 2020年10月2日135PKI (CA)PKI基础知识 什么是PKI PKI的组成 PKI标准的制定组织PKI技术 WIN2000 PKI 2020年10月2日136什么是PKIPKI是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施提供机密性（包括公钥加密和对称加密）、数据完整性、非否认服务，比如加密、数字签名、数字信封、时间戳等等 遵循标准： X.509、RFC2459 等2020年10月2日137公钥密码体制(1)公钥密码技术由Diffe和Hellman于1976年首次提出有两个不同的密钥（公钥私钥对）

44、，可将加密功能和解密功能分开是目前若干关键技术如PKI、VPN等的基础2020年10月2日138公钥加密模型2020年10月2日139公钥认证模型2020年10月2日140公钥密码体制(2)公钥密码体制的优点:可以简化密钥的管理，并且可以通过公开系统如公开目录服务来分配密钥。 公钥密码体制的缺点:加、解密的速度太慢密钥长度太长 RSA算法：是一个可逆的公钥密码体制，在PGP中被用来加密通信密钥和数字签名;基于以下原理：寻找大素数是相对容易的，而分解两个大素数的积在计算上是不可行的;目前建议使用模长为1024比特以上的模作为密钥 2020年10月2日141PKI的组成1 CA（认证机构）2 证书

45、库3 证书撤销4 密钥备份和恢复5 自动密钥更新6 密钥历史档案7 交叉认证8 支持非否认9 时间戳10. 客户端软件 2020年10月2日142PKI标准的制定组织国际标准化组织/国际电信联盟 (ISO)/(ITU)- X.509 因特网特别工程任务组 (IETF). RFC2459 RSA 实验室 PKCS系列 美国国家标准和技术协会 (NIST) MISPC最小互操作规范 2020年10月2日143PKI (CA)PKI基础知识PKI技术 RFC 2459 X.509 信任模型 PKI技术应用现状WIN2000 PKI 2020年10月2日144RFC 24592020年10月2日145

46、RFC 24592020年10月2日146X.509 证书(1)（图）2020年10月2日147X.509 证书(2)证书版本号（证书版本号（VersionVersion）证书序列号（证书序列号（SerialNumberSerialNumber）签名算法标识符签名算法标识符( (Signatue Alg ID)Signatue Alg ID)颁发者（颁发者（IssuerIssuer） 有效期（有效期（ValidityValidity）2020年10月2日148X.509 证书(3)主体名（主体名（SubjectSubject）主体公钥信息（主体公钥信息（Subject Public Key I

47、nfoSubject Public Key Info）签发者唯一标识符签发者唯一标识符( (Issuer ID)Issuer ID)主体唯一标识符主体唯一标识符( (Subject ID)Subject ID)签名值（签名值（Issuers SignatureIssuers Signature）扩展项扩展项 X.509 V3X.509 V3版本的版本的1414项标准扩展项标准扩展2020年10月2日149信任模型层次信任模型层次信任模型网状信任模型网状信任模型混和信任模型混和信任模型桥信任模型桥信任模型2020年10月2日150层次信任模型Root CASubordinate CA(level

48、 2)Subordinate CA(level 1)Subordinate CA(level 1)Subordinate CA(level 2)Subordinate CA(level 2)2020年10月2日151网状信任模型Local CA ELocal CA BLocal CA ALocal CA DLocal CA C2020年10月2日152混和信任模型Subordinate CA(level 2)Local CA B(level 1)Local CA A(level 1)Subordinate CA(level 2)Subordinate CA(level 2)2020年10月2日

49、153桥信任模型Bridge CA(cross-certificationauthority)Subordinate CA(level 2)CA B(level 1)CA A(level 1)Subordinate CA(level 2)Subordinate CA(level 2)CA C(level 1)2020年10月2日154PKI技术应用现状VeriSign,IBM ,Balitimore,Entrust等为用户提供了一系列的客户端和服务器端的安全产品各国政府也相继推出和建立了国家和政府级的PKI体系，如美国联邦PKI体系（FPKI）、加拿大政府PKI体系（GOC PKI）等2020

50、年10月2日155PKI (CA)PKI基础知识PKI技术 WIN2000 PKI WIN2000中CA的层次结构 证书颁发过程 WIN2000 PKI 的组成 2020年10月2日156WIN2000 PKIWindows 2000 为电子商务提供了一个平台，其中包括证书管理、CA服务与PKI应用程序等2020年10月2日157WIN2000中CA的层次结构 Windows2000 PKI采用了分层CA模型。这种模型具备可伸缩性，易于管理，并且能够对不断增长的商业性第三方CA产品提供良好的支持。在最简单的情况下，认证体系可以只包含一个CA。但是就一般情况而言，这个体系是由相互信任的多重CA构