Web安全技术.ppt

第九章Web安全技术,,主要内容,IP安全技术E-mail安全技术安全扫描技术网络安全管理技术身份认证技术VPN技术,1.IP安全技术,目前常见的安全威胁数据泄漏在网络上传输的明文信息被未授权的组织或个人所截获，造成信息泄漏。数据完整性的破坏确保信息的内容不会以任何方式被修改，保证信息到达目的地址时内容与源发地址时内容一致。身份伪装入侵者伪造合法用户的身份来登录系统，存取只有合法用户本人可存取的保密信息。拒绝服务由于攻击者攻击造成系统不能正常的提供应有的服务或系统崩溃。,,解决的方案加密防止Sniffer的侦听和篡改。验证防止简单的身份伪装和拒绝服务攻击。为了实现IP网络的安全，IETF提出了一系列的协议，构成典型的安全体系IPSec（IPSecurityProtocol）。在RFC中，RFC1825（Internet协议安全体系结构）、RFC1826（IP鉴别头AH）、RFC1827（IP封装安全载荷ESP）。,IPSec安全体系结构,,安全体系结构包含了一般的概念、安全需求、定义和定义IPSec的技术机制。AH将每个数据包中的数据和一个变化的数字签名结合起来，共同验证发送方身份是的通信一方能确认发送数据的另一方的身份，并能够确认数据在传输过程中没有被篡改，防止受到第三方的攻击。ESP提供了一种对IP负载进行加密的机制，对数据包上的数据另外进行加密。IKE一种协商协议，提供安全可靠的算法和密钥协商，帮助不同结点之间达成安全通信的协定，包括认证方法、加密方法、所有的密钥、密钥的使用期限等。,一个IP安全性的方案,,IPSec的好处当在防火墙或路由器中实现IPSec时，IPSec提供了强大的安全性，能够应用到所有穿越边界的数据通信量上。防火墙内部的IPSec可以抵制旁路。IPSec在传输层一下，对于应用程序是透明的。IPSec可以对终端用户是透明的，操作简单。IPSec可以为单个用户提供安全性。,,IPSec的服务,2.E-mail安全技术,垃圾邮件包括广告邮件、骚扰邮件、连锁邮件、反动邮件等。安全电子邮件技术利用SSLSMTP和SSLPOP利用VPN或其他的IP通道技术，将所有的TCP/IP传输封装起,,E-mail的安全隐患密码被窃取邮件内容被截获附件中带有大量病毒邮箱炸弹的攻击本身设计上的缺陷,,PGP（PrettyGoodPrivacy）使用单向单列算法对邮件内容进行签名，以此保证信件内容无法被篡改，使用公钥和私钥技术保证邮件内容保密已不可否认。特征把RSA公钥体系的方便和传统加密体制高度结合，在数字签名和密钥认证管理机制上更巧妙地设计。密钥管理，采用公钥介绍机制来公布公钥信息，防止攻击者伪造公钥发布。,PGP服务,,PGP的安全针对私钥的攻击对私钥数据的访问；对用于加密每个私钥的秘密通行短语（passphrase）的了解。针对公钥的攻击修改公钥中的签名，并且标记它为公钥中已经检查过的签名，使得系统不会再去检查它。针对PGP的使用过程，修改公钥中的有效位标志，使一个无效的密钥被误认为有效。,3.安全扫描技术,基本原理采用模拟黑客攻击的形式对目标可能存在的已知的安全漏洞进行逐项检查，然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为网络安全的整体水平产生重要的依据。基于主机的安全扫描基于网络的安全扫描,系统安全扫描的工作原理,,安全管理员,,基于主机的安全扫描针对操作系统的扫描检测，采用被动的，非破坏性的办法对系统进行检测。扫描工具安装在需扫描的主机上。基于网络的安全扫描采用积极的、非破坏性的办法来检测系统是否有可能被攻击崩溃，利用一系列的脚本模拟对系统进行攻击的行为，然后对结果进行分析。通过网络远程探测其他主机的安全风险漏洞，安装在整个网络环境中的某一台机器上。,4.网络安全管理技术,基本概念是指对所有计算既往拉应用体系中各个方面的安全技术和产品进行统一的管理和协调，进而从整体上提高整个计算机网络的防御入侵、抵抗攻击的能力的体系。技术安全管理方针管理制度和安全人员,,现代网络安全管理技术需要达到的目标实现各类计算机安全技术、产品之间的协调和联动，实现有机化；充分发挥各类安全技术和产品的功能；真体安全能力大幅度提高；实现计算机安全手段与现有计算机网络应用系统的一体化。,,,安全知识培训,网络设备组件的加固与维护,日常检测漏洞/异常攻击事故报告,应急事故恢复,安全中心风险分析制定/实施/维护安全策略,,基于角色的培训安全动态知识长期培训,,主机保护产品组件加固服务,,网络入侵检测产品漏洞扫描产品,,应急服务小组攻防实验室,,安全分析工程师,,,,,,安全知识数据库维护,,,整体安全解决方案,5.身份认证技术,原理身份认证是安全系统中的第一道关卡，用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器，根据用户的身份和授权数据库决定是否能够访问某个资源。单机状态下的身份认证用户所知道的；用户所拥有的；用户所具有的；,,网络环境下的身份认证一次性口令技术如S/KEY。PPP中的认证协议密码验证协议PAP（PasswordAuthenticationProtocol）挑战－握手认证协议CHAP（Challenge－HandshakeAuthenticationProtocol）PPP扩展认证协议EAP（ExtensibleAuthenticationProtocol）,6.1VPN技术,含义VPNVirtualPrivateNetwork，虚拟专用网在公共网络中，通过隧道和/或加密技术进行PNPrivateNetwork业务的仿真VPN业务在公共网络中保证私有数据的安全性、专有性同时提供可管理性、扩展性和灵活性,,VPN的目的对于运营商利用现有网络设施，充分共享资源在现有网络上提供增值服务扩大其业务量对于客户将繁重的网络维护工作交由运营商管理比自建独立的小型网络更为便宜,,VPN原理,,VPN的功能可以替换现有的专用网网段或子网。通过把特定应用分离出来满足相应需求，为专用网络提供有益的补充。不影响现有专用网的情况下，处理新应用。增加新位置，特别是国际性网站。,,VPN的分类按企业的组网方式可分为三大类AccessVPN远程访问VPNIntranetVPN企业内部VPNExtranetVPN扩展的企业内部VPN,AccessVPN,,AccessVPN的优点减少费用，优化网络实现本地拨号介入的功能来取代远距离接入或800电话接入，能降低远距离通信费用极大的可扩展性，方便对加入网络的新用户进行调度节省劳动力,IntranetVPN,,IntranetVPN的优点减少WAN带宽的费用能使用灵活的拓扑结构，包括全网孔连接新的站点能更快、更容易地被连接通过设备供应商WAN的连接冗余，可以延长网络的可用时间,ExtranetVPN,,ExtranetVPN的优点能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。,6.2VPN实现技术,VPN实现技术隧道技术Tunneling加解密技术EncryptionDecryptionQoS技术QualityofService,,隧道技术Tunneling,,加解密技术EncryptionDecryption目前业界和市场上针对网络传输的加密技术产品分为两大类逐链加密方式针对链路层加密，市场上相关产品有X.25专线加密机、DDN数据加密机等。IPSec加密机制运行在网络层，以传输方式和隧道方式进行配置，前者适用于两端点之间的IP层加密，后者适用于两个网关之间构成一条加密隧道，可以是非IP协议。,,QoS技术QualityofService带宽网络提供给用户的传输率。反应时间用户所能容忍的数据报传递延时。抖动延时的变化。丢失率数据包丢失的比率。,6.3VPN应用方案1,客户网络现状企业总部网络有大约20台终端，使用一台双网卡的Windows2000服务器作为网关，并采用ADSL方式接入Internet15个办事处有一台计算机，使用电话拨号上网3个办事处有一台计算机，但使用小区宽带上网5个办事处有2到3台计算机，组成一个小局域网并通过ISDN接入路由共享上网客户需求每个办事处需要有一台终端能够接入总部局域网不改变总部局域网现有网络结构有足够的网络安全性保障尽量节约网络建设费用，并要求系统具备良好的可升级能力,方案的选择,方案对比,网络拓扑图,小结,这种方案能够保证企业异地办事机构的终端用户、在家办公的员工以及出差的员工能够随时通过Internet安全地接入企业内部网络并使用所有的内部网络资源；在网络规模方面，只要求总部有比较完善的网络环境，对公司分支机构的网络环境要求不高；可以方便地对用户进行访问权限管理。,6.4VPN应用方案2,客户需求总部在广州，全国多个城市设立分公司和分销中心分公司都有局域网，都通过512kADSL上网每个分公司有5-8台电脑需访问总部的数据库各个分公司之间不需要相互访问,网络拓扑图,小结,根据公司特点，采用建立星型结构的VPN应用系统；同时支持无中心节点的网状网络和有中心节点的星型网络；实现了安全和低成本的完美结合；路由器提供了先进的流量控制技术，良好的可扩展性；方便管理；通过路由器自带的防火墙功能，建立特定的安全策略，可防止外部攻击，并通过日志和审计方式，分析潜在风险。,