【安全生产】网络安全和防火墙xxxx年xx月xx日xxxxxxxx集团企业有限公司Please enter your company's name and contentv网络安全和防火墙第一章定义安全一、安全：1、定义：在给合法用户提供正常的访问权限的情况下，限制或禁止非法用户对资源的访问。

由于在我们的网络中存在了复杂的技术，如LAN, WAN, Internet, VPN，所以就要求我们针对不同的技术采用不同的防护措施。

2、特点：没有绝对的安全，仅有相对的安全确定安全等级需要平衡3、有效的安全性系统包括：能够进行访问控制易于使用尽量降低总体拥有成本灵活稳定具有很好的警报和日志功能二、需要保护的资源：1、终端：下载软件，安装服务，恶意操作2、网络资源：TCP/IP中没有内置安全性机制，Spoofing3、服务资源：网络的核心服务，DNS, WINS, Web..4、数据：file server, database server三、黑客的类型：1、casual attackers: script kids2、determined attackers：hackers3、spies: crackers四、安全模型：1、验证：2、访问控制：3、数据机密性：prevent passive threats4、数据一致性：prevent active threats5、抗抵赖性第二章安全组件：一、金字塔模型二、联合的安全性策略：定义了网络的安全性需求和所需的安全性技术1、系统分类：level I：5%，不允许超过两个小时的荡机时间，对公司的正常运行具有至关重要的资源，验证、访问控制、审核、日志、病毒扫描、晋级恢复机制、入侵检测、level II：20%，允许不超过48小时的荡机时间，少量的审核和监视level III: 75%, 病毒防护2、根据资源的重要性和可靠性进行优先级的划分3、标示入侵的可能性4、定义可接受和不可接受的活动：可接受：安全性高，避免出现安全漏洞限制用户的活动不可接受：管理的工作量小，灵活容易出现安全漏洞5、对不同的资源定义安全性标准：6、对不同的用户定义不同的教育内容三、加密：1、功能：数据的机密性、数据的一致性，验证和抗抵赖性2、类型：对称加密，公钥加密，散列3、加密的强度：影响因素：算法的强度密钥的安全性密钥的长度四、身份验证：1、作用：提供用户级的访问控制2、方法：what you know：most common methods, passwordbasedwhat you have: smart cardwho you are: biometricswhere you are: location based, r* serial programs andreverse dns lookup3、实现：Kerberos V5演示分别从98和2000的计算机上登录域，进行密码的捕获过程优点：可以提供验证、加密和一致性不需要在网络上传输密码加密信息抗重演攻击能够控制对资源的访问缺点：仅提供了工作站级的安全性OTP：防止snooping和password hijacking三、访问控制：控制对于对象的访问1、ACL：2、ECL：调节进程的运行方式五、审核：对所发生的事件进行记录并采取相应的措施。

1、消极的审核：仅记录2、积极的审核：记录事件并采取相应的措施第三章加密技术一、基本概念：1、rounds：数目愈大，加密越强2、parallelization：多进程处理3、strong encryption：密钥长度超过128位二、类型：1、对称加密特点：优点：速度快，适合加密大量数据缺点：密钥的分发产品：DES, 3DES, RSA2、公钥加密：特点：优点：密钥分发能过确保安全，抗蛮力攻击缺点：比对称加密慢100倍，不适合加密大量数据应用：数据加密，数字签名产品：DSA, Diffie-Hellman3、散列加密：特点：单向优点：密钥的安全性应用：身份验证产品：MD5, SHA1三、加密的实际应用：1、对电子邮件的防护：原理：类型：客户端加密：优点，不依赖于服务器产品，能够在不同厂商的服务器间发送加密的邮件缺点，需要较多的配置类型：PGP, 开放的协议S/MIME, 工业标准服务器加密：优点，客户端不需要任何配置缺点，依赖于服务器产品应用：PGP2、加密文件：EFS:加密数据MD5sum:签名文件，防止修改3、加密Web交通：类型：Secure HTTP, SSL/TLS, SETSecure HTTP: 工作在应用层，仅能加密HTTP的交通SSL/TLS：工作于传输层，能够加密HTTP, FTP, EMAIL的交通：通过SSL提供WEB服务器的安全性：原理：实现考虑：如果需要验证服务器，则应该在服务器上安装服务器证书；如果要验证客户机，则要安装客户机证书（需要应用程序支持）可以实现不同级别的加密：40，56，128采用HTTPS访问对于内部站点，可以使用内部的CA；对于外部站点，可以使用共有CA可以选择保护站点中的某一部分区域实现：设计VPN连接的安全性：1、VPN的优点：外包的拨号支持减少话费指出增高的连接速度2、选择VPN协议：通过封装和加密两种方式进行数据的安全传颂，包括PPTPL2TP/IPSecPPTP：采用MPPE加密数据，具有40，56，128的加密强度，应用于基于IP的网络上，支持多种协议，不进行计算机身份验证，可以通过NAT，微软的所有客户机均支持，适中等安全性网络，不需要PKI和IPSecL2TP：结合IPSec形成隧道，可以在任何基于点对点的网络介质形成隧道，基于IPSec 进行计算机验证，支持多种协议，不能通过NAT，仅2000支持，能够提供强力安全性实现：（可选）实现IPSec提供数据安全性：原理：位于网络层，通过加密和签名提供IP层端到端数据安全性，不需要应用程序支持，对上层应用是透明的。

但仅有2000支持。

AHFigure 8.1 Authentication HeaderNext Header Identifies the next header that uses the IP protocol ID. For example, the value might be “6” to indicate TCP.Length Indicates the length of the AH header.Security Parameters Index (SPI) Used in combination with the destinationaddress and the security protocol (AH or ESP) to identify the correct security association for the communication. (For more information, see the “Inte rnet Key Exchange” section later in this chapter.) The receiver uses this value to determine with which security association this packet is identified.Sequence Number Provides anti-replay protection for the SA. It is 32-bit, incrementally increasing number (starting from 1) that is never allowed to cycle and that indicates the packet number sent over the security association for the communication. The receiver checks this field to verify that a packet for a security association with this number has not been received already. If one has been received, the packet is rejected.Authentication Data Contains the Integrity Check Value (ICV) that is used to verify the integrity of the message. The receiver calculates the hash value and checks it against this value (calculated by the sender) to verify integrity.Figure 8.2 AH Integrity SignatureESPFigure 8.3 ESPThe ESP header contains the following fields:Security Parameters Index Identifies, when used in combination with the destination address and the security protocol (AH or ESP), the correct security association for the communication. The receiver uses this value to determine the security association with which this packet should be identified.Sequence Number Provides anti-replay protection for the SA. It is 32-bit, incrementally increasing number (starting from 1) that indicates the packet number sent over the security association for the communication. The sequence number is never allowed to cycle. The receiver checks this field to verify that a packet for a security association with this number has not been received already. If one has been received, the packet is rejected.The ESP trailer contains the following fields:Padding 0 to 255 bytes is used for 32-bit alignment and with the block size of the block cipher.Padding Length Indicates the length of the Padding field in bytes. This field is used by the receiver to discard the Padding field.Next Header Identifies the nature of the payload, such as TCP or UDP.The ESP Authentication Trailer contains the following field:Authentication Data Contains the Integrity Check Value (ICV), and a message authentication code that is used to verify the sender’s identity and message integrity. The ICV is calculated over the ESP header, the payload data and the ESP trailer.Figure 8.4 ESP: Signature and Encryption 工作过程：Figure 8.5 IPSec Policy AgentFigure 8.7 IPSec Driver Services实现：选择验证模式：Kerveros V5：需要活动目录，属于同一个域基于证书：验证外部用户或结合L2TP使用预定义的密钥：易于实现选择模式：传输模式，隧道模式，使用缺省的策略：客户机：在域级设置服务器：请求安全，混合网络安全服务器：需要安全，须制定信息类型自定义策略：自动进行证书发放：证书模板，发放机构域控制器：自动接受证书客户寄：从本地CA请求证书利用组策略进行设置：利用OU组织局相同目的的计算机在域级配置Client以响应安全通信每台计算机同时只能有一个生效验证：PINGIPSec monitorNetwork monitor: capture ISAKMP AH ESP 事件查看器：启用安全审核启用Oakley Logs: HKLM\SYSTEM\CurrentControlSet\Services\Policyagent\Oakley=1练习：使用PGP, SSL, IPSec第四章常见攻击类型一、蛮力攻击和字典攻击：Gain access as a legitimate user through guess password or using dictionaryCommon tools: John the Ripper for UNIXNovell PassCrackSolution: auditing account logon failureenable account lockout练习使用NAT二、系统漏洞和后门：an unintentional flaw in a program that creates an inadvertent openingBack door: an undocumented opening in an operating system or programCommon type:buffer overflow:TheoryDamage:copy password database to a world-readable placestart/stop services or daemonsopen additional port then upload bad applicationswrite any informationRoot kit is a collection of Trojans designed to compromise the system Damages:replace or modify some system elements(/bin/login, /bin/ps, /bin/ls, /bin/su)create hidden directoriesinstall loadable kernel moduleslaunch hidden processesAvoid the attack:Reconfigure Linux kernel as a “monolithic kernel”Install Tripwire or the WFP applicationUse antivirus applications三、社交攻击：Use tricks and disinformation to gain access sensitive information(such as password)Common form:Call and ask for the passwordFake e-mail练习使用fake email四、拒绝服务：Prevent legitimate user from accessing a service and crash remote systemDOS: SYN floodDDOS: 消耗带宽Ping of deathRecovering:DOS:simple rebootDDOS: reprogram switch and router to drop bad packetwin2k IPSecIpchains(2.2 and earlier) Iptables (2.3 and later)五、Spoof：进行地址伪装，以击败基于地址的验证类型：包括IP spoofing, ARP spoofing, router spoofing and DNS spoofingip spoofing:攻击对象：运行由tcp/ip的计算机任何使用了sun RPC调用的计算机任何利用IP地址认证的网络服务MIT的X Window系统R服务过程：确定目标主机序列号取样和猜测对原主机执行拒绝服务攻击对目的主机进行地址欺骗防范：放弃以地址进行验证利用路由器进行包过滤，确认只有内部具有信任关系在通信时使用加密和验证六、中间人攻击第五章通用安全性要素物理安全性：实验第六章TCP/IP协议栈和相关安全性一、概述：在开发的初期没有考虑安全性，没有内置相关的安全性机制二、各层的功能及安全性考虑：1、物理层：定义了介质的类型、信号和网络拓扑威胁：缺少安全性机制网络监听安全措施：加密、数据标记和填充2、网络层：寻址和路由选择，没有提供任何的安全防护和流控机制，能够高效地进行数据传递组件：IP, ICMP, IGMP, ARP威胁：spoofing, ARP spoofing, IP spoofingICMP: smurf, network topologies scan, DOS防护：防火墙过滤3、传输层：实现端到端的传输Port: 唯一标示一个应用Well-known：default,0~1023Assigned by os: 1024~65536威胁：端口扫描组件：TCP, UDPTCP:TCP header: SYN,同步序列号FIN,连接的终结ACK,期待下一个接受的数据包的序列号连接的建立连接的终止威胁：DOS, SYN floodTCP connection hijackingUDP:Applications:TFTP, DNS, video and audio broadcast 威胁：DOS4、应用层：最难于防护SMTP:Common attacks:Fake mailFlood SMTP serverTransfer viruses and Trojan horsesProtection:Disable forwarduser authenticationUse proxy server scan all messagesFTP: TCP 20/21Common attacks:Buffer overflowFill disk space to prevent system or FTP service loggingTransfer password with plaintextProtection:Allow anonymous connection and disable uploadDistribute log file and ftp directory in differ partitionUse encryption protocol to encrypt trafficHTTP: TCP 80Common attacks:Buffer overflowBad codes:CGI, ASP, Java programProtection:Attend to patch and fix that has been publishedAvoid use too much programTelnet: TCP 23Common attacks:Transmit data and account information using plaintextPort redirectPrevention:Replace telnet with SSHUse encryption protocol to encrypt trafficSNMP: UDP 161/162Common attacks:AuthenticationTransmit data using plaintextPrevention:Avoid using the protocol in public networkFilter all SNMP traffic at the firewallDNS: UDP/TCP 53Common attacks:DNS poisoningObtaining illicit zone transfersPrevention:Secure zone transfersZone signing and public-key encryption实验：1、利用sniffer捕获telnet的密码2、利用NC入侵Windows NT3、锁定端口第七章保护资源一、安全实现模型：1、分类资源和需求：根据所使用的硬件、系统、协议及对公司运营的重要性对资源进行分类，同时进行归档2、定义并发布安全性策略：3、保护每种服务和资源4、记录、测试和评估5、重复以上过程二、保护资源和服务：1、Protect against profiling2、Coordinate methods and techniques3、Change default settings4、Remove unnecessary services：利用C2删除OS/25、Specialized accounts：防止buffer overflowweb server:原则：1、进行分区放置：将OS, web application, html files, script放在不同的分区里，赋予不同的权限。