Web安全技術(shù)課件

第九章Web安全技術(shù)主要內(nèi)容IP安全技術(shù)E-mail安全技術(shù)安全掃描技術(shù)網(wǎng)絡(luò)安全管理技術(shù)身份認(rèn)證技術(shù)VPN技術(shù)1.IP安全技術(shù)目前常見的安全威脅數(shù)據(jù)泄漏 在網(wǎng)絡(luò)上傳輸?shù)拿魑男畔⒈晃词跈?quán)的組織或個(gè)人所截獲，造成信息泄漏。數(shù)據(jù)完整性的破壞 確保信息的內(nèi)容不會(huì)以任何方式被修改，保證信息到達(dá)目的地址時(shí)內(nèi)容與源發(fā)地址時(shí)內(nèi)容一致。身份偽裝 入侵者偽造合法用戶的身份來登錄系統(tǒng)，存取只有合法用戶本人可存取的保密信息。拒絕服務(wù) 由于攻擊者攻擊造成系統(tǒng)不能正常的提供應(yīng)有的服務(wù)或系統(tǒng)崩潰。解決的方案：加密：防止Sniffer的偵聽和篡改。驗(yàn)證：防止簡單的身份偽裝和拒絕服務(wù)攻擊。為了實(shí)現(xiàn)IP網(wǎng)絡(luò)的安全，IETF提出了一系列的協(xié)議，構(gòu)成典型的安全體系——IPSec（IPSecurityProtocol）。在RFC中，RFC1825（Internet協(xié)議安全體系結(jié)構(gòu)）、RFC1826（IP鑒別頭：AH）、RFC1827（IP封裝安全載荷：ESP）。IPSec安全體系結(jié)構(gòu)安全體系結(jié)構(gòu) 包含了一般的概念、安全需求、定義和定義IPSec的技術(shù)機(jī)制。AH

將每個(gè)數(shù)據(jù)包中的數(shù)據(jù)和一個(gè)變化的數(shù)字簽名結(jié)合起來，共同驗(yàn)證發(fā)送方身份是的通信一方能確認(rèn)發(fā)送數(shù)據(jù)的另一方的身份，并能夠確認(rèn)數(shù)據(jù)在傳輸過程中沒有被篡改，防止受到第三方的攻擊。ESP

提供了一種對(duì)IP負(fù)載進(jìn)行加密的機(jī)制，對(duì)數(shù)據(jù)包上的數(shù)據(jù)另外進(jìn)行加密。IKE

一種協(xié)商協(xié)議，提供安全可靠的算法和密鑰協(xié)商，幫助不同結(jié)點(diǎn)之間達(dá)成安全通信的協(xié)定，包括認(rèn)證方法、加密方法、所有的密鑰、密鑰的使用期限等。AHESP（只加密）ESP（加密并鑒別）訪問控制√√√無連接完整性√√數(shù)據(jù)源的鑒別√√拒絕重放的分組√√√機(jī)密性√√有限的通信量的機(jī)密性√√IPSec的服務(wù)2.E-mail安全技術(shù)垃圾郵件 包括廣告郵件、騷擾郵件、連鎖郵件、反動(dòng)郵件等。安全電子郵件技術(shù)利用SSLSMTP和SSLPOP利用VPN或其他的IP通道技術(shù)，將所有的TCP/IP傳輸封裝起E-mail的安全隱患密碼被竊取郵件內(nèi)容被截獲附件中帶有大量病毒郵箱炸彈的攻擊本身設(shè)計(jì)上的缺陷PGP（PrettyGoodPrivacy） 使用單向單列算法對(duì)郵件內(nèi)容進(jìn)行簽名，以此保證信件內(nèi)容無法被篡改，使用公鑰和私鑰技術(shù)保證郵件內(nèi)容保密已不可否認(rèn)。 特征：把RSA公鑰體系的方便和傳統(tǒng)加密體制高度結(jié)合，在數(shù)字簽名和密鑰認(rèn)證管理機(jī)制上更巧妙地設(shè)計(jì)。密鑰管理，采用公鑰介紹機(jī)制來公布公鑰信息，防止攻擊者偽造公鑰發(fā)布。功能使用的算法描述數(shù)字簽名DSS/SHA或RSA/SHA使用SHA-1創(chuàng)建的報(bào)文的散列編碼。采用DSS或RSA算法使用發(fā)送者的私有密鑰對(duì)這個(gè)報(bào)文摘要進(jìn)行加密，并且包含在報(bào)文中報(bào)文加密CAST或IDEA或3DES，帶有Diffie-Hellman算法或RSA采用CAST-128或IDEA或3DES，使用發(fā)送者生成的一次性會(huì)話密鑰對(duì)報(bào)文進(jìn)行加密，采用Diffie-Hellman或RSA，使用接收方的公開密鑰對(duì)會(huì)話密鑰進(jìn)行加密并包含在報(bào)文中壓縮ZIP報(bào)文可以使用ZIP進(jìn)行壓縮，用于存儲(chǔ)或傳輸電子郵件兼容性64基轉(zhuǎn)換為了提供電子郵件應(yīng)用的透明性，加密的報(bào)文可以使用64基轉(zhuǎn)換算法轉(zhuǎn)換成ASCII字符串分段－為了滿足最大報(bào)文長度的限制，PGP完成報(bào)文的分段和重新裝配PGP服務(wù)PGP的安全針對(duì)私鑰的攻擊對(duì)私鑰數(shù)據(jù)的訪問；對(duì)用于加密每個(gè)私鑰的秘密通行短語（passphrase）的了解。針對(duì)公鑰的攻擊修改公鑰中的簽名，并且標(biāo)記它為公鑰中已經(jīng)檢查過的簽名，使得系統(tǒng)不會(huì)再去檢查它。針對(duì)PGP的使用過程，修改公鑰中的有效位標(biāo)志，使一個(gè)無效的密鑰被誤認(rèn)為有效。3.安全掃描技術(shù)基本原理 采用模擬黑客攻擊的形式對(duì)目標(biāo)可能存在的已知的安全漏洞進(jìn)行逐項(xiàng)檢查，然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為網(wǎng)絡(luò)安全的整體水平產(chǎn)生重要的依據(jù)?；谥鳈C(jī)的安全掃描基于網(wǎng)絡(luò)的安全掃描系統(tǒng)安全掃描的工作原理安全管理員基于主機(jī)的安全掃描 針對(duì)操作系統(tǒng)的掃描檢測(cè)，采用被動(dòng)的，非破壞性的辦法對(duì)系統(tǒng)進(jìn)行檢測(cè)。 掃描工具安裝在需掃描的主機(jī)上?；诰W(wǎng)絡(luò)的安全掃描 采用積極的、非破壞性的辦法來檢測(cè)系統(tǒng)是否有可能被攻擊崩潰，利用一系列的腳本模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為，然后對(duì)結(jié)果進(jìn)行分析。 通過網(wǎng)絡(luò)遠(yuǎn)程探測(cè)其他主機(jī)的安全風(fēng)險(xiǎn)漏洞，安裝在整個(gè)網(wǎng)絡(luò)環(huán)境中的某一臺(tái)機(jī)器上。4.網(wǎng)絡(luò)安全管理技術(shù)基本概念 是指對(duì)所有計(jì)算既往拉應(yīng)用體系中各個(gè)方面的安全技術(shù)和產(chǎn)品進(jìn)行統(tǒng)一的管理和協(xié)調(diào)，進(jìn)而從整體上提高整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的防御入侵、抵抗攻擊的能力的體系。技術(shù)安全管理方針管理制度和安全人員現(xiàn)代網(wǎng)絡(luò)安全管理技術(shù)

需要達(dá)到的目標(biāo)：實(shí)現(xiàn)各類計(jì)算機(jī)安全技術(shù)、產(chǎn)品之間的協(xié)調(diào)和聯(lián)動(dòng)，實(shí)現(xiàn)有機(jī)化；充分發(fā)揮各類安全技術(shù)和產(chǎn)品的功能；真體安全能力大幅度提高；實(shí)現(xiàn)計(jì)算機(jī)安全手段與現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的一體化。安全知識(shí)培訓(xùn)網(wǎng)絡(luò)設(shè)備組件的加固與維護(hù)日常檢測(cè)——漏洞/異常攻擊事故報(bào)告應(yīng)急事故恢復(fù)安全中心——風(fēng)險(xiǎn)分析制定/實(shí)施/維護(hù)安全策略基于角色的培訓(xùn)安全動(dòng)態(tài)知識(shí)長期培訓(xùn)主機(jī)保護(hù)產(chǎn)品組件加固服務(wù)網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品漏洞掃描產(chǎn)品應(yīng)急服務(wù)小組攻防實(shí)驗(yàn)室安全分析工程師安全知識(shí)數(shù)據(jù)庫維護(hù)整體安全解決方案5.身份認(rèn)證技術(shù)原理 身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡，用戶在訪問安全系統(tǒng)之前，首先經(jīng)過身份認(rèn)證系統(tǒng)識(shí)別身份，然后訪問監(jiān)控器，根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫決定是否能夠訪問某個(gè)資源。單機(jī)狀態(tài)下的身份認(rèn)證 用戶所知道的； 用戶所擁有的； 用戶所具有的；網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證一次性口令技術(shù) 如：S/KEY。PPP中的認(rèn)證協(xié)議密碼驗(yàn)證協(xié)議PAP（PasswordAuthenticationProtocol）挑戰(zhàn)－握手認(rèn)證協(xié)議CHAP（Challenge－HandshakeAuthenticationProtocol）PPP擴(kuò)展認(rèn)證協(xié)議EAP（ExtensibleAuthenticationProtocol）6.1VPN技術(shù)含義VPN(VirtualPrivateNetwork)，虛擬專用網(wǎng)在公共網(wǎng)絡(luò)中，通過隧道和/或加密技術(shù)進(jìn)行PN(PrivateNetwork)業(yè)務(wù)的仿真VPN業(yè)務(wù)在公共網(wǎng)絡(luò)中保證私有數(shù)據(jù)的安全性、專有性同時(shí)提供可管理性、擴(kuò)展性和靈活性VPN的目的對(duì)于運(yùn)營商利用現(xiàn)有網(wǎng)絡(luò)設(shè)施，充分共享資源在現(xiàn)有網(wǎng)絡(luò)上提供增值服務(wù)擴(kuò)大其業(yè)務(wù)量對(duì)于客戶將繁重的網(wǎng)絡(luò)維護(hù)工作交由運(yùn)營商管理比自建獨(dú)立的小型網(wǎng)絡(luò)更為便宜VPN原理VPN的功能可以替換現(xiàn)有的專用網(wǎng)網(wǎng)段或子網(wǎng)。通過把特定應(yīng)用分離出來滿足相應(yīng)需求，為專用網(wǎng)絡(luò)提供有益的補(bǔ)充。不影響現(xiàn)有專用網(wǎng)的情況下，處理新應(yīng)用。增加新位置，特別是國際性網(wǎng)站。VPN的分類按企業(yè)的組網(wǎng)方式可分為三大類：AccessVPN(遠(yuǎn)程訪問VPN)IntranetVPN(企業(yè)內(nèi)部VPN)

ExtranetVPN(擴(kuò)展的企業(yè)內(nèi)部VPN)AccessVPNAccessVPN的優(yōu)點(diǎn)減少費(fèi)用，優(yōu)化網(wǎng)絡(luò)實(shí)現(xiàn)本地?fù)芴?hào)介入的功能來取代遠(yuǎn)距離接入或800電話接入，能降低遠(yuǎn)距離通信費(fèi)用極大的可擴(kuò)展性，方便對(duì)加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度節(jié)省勞動(dòng)力IntranetVPNIntranetVPN的優(yōu)點(diǎn)減少WAN帶寬的費(fèi)用能使用靈活的拓?fù)浣Y(jié)構(gòu)，包括全網(wǎng)孔連接新的站點(diǎn)能更快、更容易地被連接通過設(shè)備供應(yīng)商WAN的連接冗余，可以延長網(wǎng)絡(luò)的可用時(shí)間ExtranetVPNExtranetVPN的優(yōu)點(diǎn)能容易地對(duì)外部網(wǎng)進(jìn)行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠(yuǎn)端訪問VPN相同的架構(gòu)和協(xié)議進(jìn)行部署。6.2VPN實(shí)現(xiàn)技術(shù)VPN實(shí)現(xiàn)技術(shù)隧道技術(shù)(Tunneling)加解密技術(shù)(Encryption&Decryption)QoS技術(shù)(QualityofService)隧道技術(shù)(Tunneling)加解密技術(shù)(Encryption&Decryption)

目前業(yè)界和市場(chǎng)上針對(duì)網(wǎng)絡(luò)傳輸?shù)募用芗夹g(shù)產(chǎn)品分為兩大類：逐鏈加密方式：針對(duì)鏈路層加密，市場(chǎng)上相關(guān)產(chǎn)品有X.25專線加密機(jī)、DDN數(shù)據(jù)加密機(jī)等。IPSec加密機(jī)制：運(yùn)行在網(wǎng)絡(luò)層，以傳輸方式和隧道方式進(jìn)行配置，前者適用于兩端點(diǎn)之間的IP層加密，后者適用于兩個(gè)網(wǎng)關(guān)之間構(gòu)成一條加密隧道，可以是非IP協(xié)議。QoS技術(shù)(QualityofService)帶寬：網(wǎng)絡(luò)提供給用戶的傳輸率。反應(yīng)時(shí)間：用戶所能容忍的數(shù)據(jù)報(bào)傳遞延時(shí)。抖動(dòng)：延時(shí)的變化。丟失率：數(shù)據(jù)包丟失的比率。6.3VPN應(yīng)用方案1客戶網(wǎng)絡(luò)現(xiàn)狀企業(yè)總部網(wǎng)絡(luò)有大約20臺(tái)終端，使用一臺(tái)雙網(wǎng)卡的Windows2000服務(wù)器作為網(wǎng)關(guān)，并采用ADSL方式接入Internet15個(gè)辦事處有一臺(tái)計(jì)算機(jī)，使用電話撥號(hào)上網(wǎng)3個(gè)辦事處有一臺(tái)計(jì)算機(jī)，但使用小區(qū)寬帶上網(wǎng)5個(gè)辦事處有2到3臺(tái)計(jì)算機(jī)，組成一個(gè)小局域網(wǎng)并通過ISDN接入路由共享上網(wǎng)客戶需求每個(gè)辦事處需要有一臺(tái)終端能夠接入總部局域網(wǎng)不改變總部局域網(wǎng)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)有足夠的網(wǎng)絡(luò)安全性保障盡量節(jié)約網(wǎng)絡(luò)建設(shè)費(fèi)用，并要求系統(tǒng)具備良好的可升級(jí)能力方案的選擇?方案對(duì)比對(duì)比項(xiàng)目遠(yuǎn)程撥號(hào)遠(yuǎn)程訪問VPN初期設(shè)備投入撥號(hào)服務(wù)器、中繼線VPN網(wǎng)關(guān)VPN客戶端軟件日常通訊費(fèi)用長途電話費(fèi)市話費(fèi)+Internet通訊費(fèi)通訊速率只能到56kbps根據(jù)客戶端接入Internet的方式?jīng)Q定，最低為56kbps并發(fā)訪問數(shù)量限制受限于電話中繼線的數(shù)量無管理復(fù)雜度需要一定的日常維護(hù)管理一次性配置，日?；緹o需管理通訊加密不加密根據(jù)需要，可選擇加密強(qiáng)度網(wǎng)絡(luò)拓?fù)鋱D小結(jié)這種方案能夠保證企業(yè)異地辦事機(jī)構(gòu)的終端用戶、在家辦公的員工以及出差的員工能夠隨時(shí)通過Internet安全地接入企業(yè)內(nèi)部網(wǎng)絡(luò)并使用所有的內(nèi)部網(wǎng)絡(luò)資源；在網(wǎng)絡(luò)規(guī)模方面，只要求總部有比較完善的網(wǎng)絡(luò)環(huán)境，對(duì)公司分支機(jī)構(gòu)的網(wǎng)絡(luò)環(huán)境要求不高；可以方便地對(duì)用戶進(jìn)行訪問權(quán)限管理。6.4VPN應(yīng)用方案2客戶需求

總部在廣州，全國多個(gè)城市