【文章內(nèi)容簡介】 黑客設(shè)法入侵有安全漏洞的主機并獲取控制權(quán)。這些主機將被用于放置后門、sniffer或守護程序甚至是客戶程序。 2 分布式拒絕服務(wù)攻擊步驟 2 Inter 1 62 Hacker 黑客在得到入侵計算機清單后，從中選出滿足建立網(wǎng)絡(luò)所需要的主機，放置已編譯好的守護程序，并對被控制的計算機發(fā)送命令。 3 被控制計算機（代理端） Master Server 分布式拒絕服務(wù)攻擊步驟 3 Inter 1 63 Hacker Using Client program, 黑客發(fā)送控制命令給主機，準備啟動對目標系統(tǒng)的攻擊 4 被控制計算機（代理端） Targeted System Master Server 分布式拒絕服務(wù)攻擊步驟 4 Inter 1 64 Inter Hacker 主機發(fā)送攻擊信號給被控制計算機開始對目標系統(tǒng)發(fā)起攻擊。 5 Master Server 分布式拒絕服務(wù)攻擊步驟 5 Targeted System 被控制計算機（代理端） 1 65 Targeted System Hacker 目標系統(tǒng)被無數(shù)的偽造的請求所淹沒，從而無法對合法用戶進行響應(yīng)， DDOS攻擊成功。 6 Master Server User Request Denied 分布式拒絕服務(wù)攻擊步驟 6 Inter 被控制計算機（代理端） 1 66 （分布式）拒絕服務(wù)攻擊 DDOS攻擊的效果 由于整個過程是自動化的，攻擊者能夠在 5秒鐘內(nèi)入侵一臺主機并安裝攻擊工具。也就是說，在短短的一小時內(nèi)可以入侵數(shù)千臺主機。并使某一臺主機可能要遭受 1000MB/S數(shù)據(jù)量的猛烈攻擊，這一數(shù)據(jù)量相當于 。 1 67 （分布式）拒絕服務(wù)攻擊 預(yù)防 DDOS攻擊的措施 ? 確保主機不被入侵且是安全的； ? 周期性審核系統(tǒng)； ? 檢查文件完整性； ? 優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)； ? 優(yōu)化對外開放訪問的主機； ? 在網(wǎng)絡(luò)上建立一個過濾器（ filter）或偵測器（ sniffer），在攻擊信息到達網(wǎng)站服務(wù)器之前阻擋攻擊信息。 1 68 （分布式）拒絕服務(wù)攻擊 分布式拒絕服務(wù)攻擊的今后的發(fā)展趨勢： ? 如何增強自身的隱蔽性和攻擊能力； ? 采用加密通訊通道 、 ICMP協(xié)議等方法避開防火墻的檢測； ? 采用對自身進行數(shù)字簽名等方法研究自毀機制 ， 在被非攻擊者自己使用時自行消毀拒絕服務(wù)攻擊數(shù)據(jù)包 ， 以消除證據(jù) 。 1 69 當前網(wǎng)絡(luò)安全現(xiàn)狀 當前網(wǎng)絡(luò)安全熱點話題 大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè) 東軟公司介紹 東軟安全產(chǎn)品體系 東軟應(yīng)急響應(yīng)與安全服務(wù) 東軟售后服務(wù)及培訓體系 1 70 大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)特點 開放性 —與公網(wǎng)互聯(lián)，直接對話。 大規(guī)模性 —規(guī)模龐大，節(jié)點眾多。 復(fù)雜性 —多種應(yīng)用，大數(shù)據(jù)量，使用人員身份復(fù)雜 。 因為如上的眾多特點，大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)存在著眾多 安全風險 ! 1 71 大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)中需要保護的資源 各類服務(wù)器 工作站 網(wǎng)絡(luò)設(shè)備 網(wǎng)絡(luò)安全設(shè)備 操作系統(tǒng) 服務(wù)器系統(tǒng) 業(yè)務(wù)應(yīng)用系統(tǒng) Inter公共軟件 數(shù)據(jù)庫系統(tǒng) 自主開發(fā)的軟件 網(wǎng)管軟件等 數(shù)據(jù)庫服務(wù)器中數(shù)據(jù) 應(yīng)用服務(wù)器數(shù)據(jù) 郵件數(shù)據(jù) 網(wǎng)絡(luò)監(jiān)控數(shù)據(jù) 設(shè)備日志 工作人員用戶 應(yīng)用系統(tǒng)用戶 操作系統(tǒng)用戶 訪問服務(wù)器用戶 遠程登陸用戶 遠程管理用戶 硬件資源 數(shù)據(jù)資源 軟件資源 用戶資源 1 72 大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)常見的安全事件 網(wǎng)站被黑 數(shù)據(jù)被篡改 數(shù)據(jù)被偷竊 秘密泄漏 越權(quán)瀏覽 非法刪除 被病毒感染 系統(tǒng)自身故障 1 73 大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全隱患 物理 風險 無意錯 誤風險 有意 破壞 管理 風險 內(nèi)網(wǎng)安全風險 內(nèi)網(wǎng)安全風險 邊界安全風險 鏈路傳輸安全風險 橫 向 縱 向 其它 風險 如自然災(zāi)害，電力供應(yīng)突然中 斷，靜電、強磁場破壞硬件設(shè) 備以及設(shè)備老化等引起的風險。 指由于人為或系統(tǒng)錯誤而影響信 息的完整性、機密性和可用性。 指內(nèi)部和外部人員有意通過物理手段 破壞信息系統(tǒng)而影響信息的機密性、 完整性、可用性和可控性。比如：有 意破壞基礎(chǔ)設(shè)施、擴散計算機病毒、 電子欺騙等。 這種風險帶來的破壞一般而言是巨大 的。嚴重時會引起整個系統(tǒng)的癱瘓和 不可恢復(fù) 它是指因為口令和密鑰管 理不當、制度遺漏，崗 位、職責設(shè)置不全面等因 素引起信息泄露、系統(tǒng)無 序運行等。 是指除上述所列舉 的一些風險外，一 切可能危及信息系 統(tǒng)的機密性、完整 性、可用性、可控 性和系統(tǒng)正常運行 的風險。 1 74 標準安全產(chǎn)品架構(gòu) Inter 總部 辦事處 分公司 公眾用戶 分公司 防火墻和 VPN體系 入侵檢測系統(tǒng) 病毒防護系統(tǒng) 風險評估系統(tǒng) 備份恢復(fù)系統(tǒng) 網(wǎng)絡(luò)綜合安全管理系統(tǒng) 1 75 防火墻及 VPN策略 Inter 總部 辦事處 分公司 VPN客戶端用戶 分公司 部署防火墻和 VPN在網(wǎng) 絡(luò)邊界處，對進出邊界 的信息做訪問控制，同 時采用 VPN對網(wǎng)絡(luò)中傳 輸?shù)男畔⑦M行加密處理， 以保證數(shù)據(jù)在傳輸過程 中的安全性 利用防火墻的包過濾、應(yīng) 用代理、 NAT、訪問控制 等技術(shù)對網(wǎng)絡(luò)邊界進行安 全防護。 利用 VPN的加密方式對信 息做加密，再傳輸?shù)骄W(wǎng)絡(luò) 中，可采用網(wǎng)關(guān) —網(wǎng)關(guān)或 網(wǎng)關(guān)到客戶端兩種模式。 01010101010 !@$!@%$^%4 010101010101 1 76 Server Client 防火墻（ Firewall） 注解：防火墻類似一堵城墻，將服務(wù)器與客戶主機進行物理隔離，并在此基礎(chǔ)上實現(xiàn)服務(wù)器與客戶主機之間的授權(quán)互訪、互通等功能。 1 77 防火墻概念 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的一系列部件的組合。它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許 、拒絕 、 監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有很高的抗攻擊能力，它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 1 78 防火墻特征 保護脆弱和有缺陷的網(wǎng)絡(luò)服務(wù) 集中化的安全管理 加強對網(wǎng)絡(luò)系統(tǒng)的訪問控制 加強隱私 對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計 1 79 保護脆弱和有缺陷的網(wǎng)絡(luò)服務(wù) 一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的 NFS協(xié)議進出受保護網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。 防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如 IP選項中的源路由攻擊和 ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。 防火墻特征 (cont.) 1 80 防火墻特征 (cont.) 集中化的安全管理 通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。 1 81 加強對網(wǎng)絡(luò)系統(tǒng)的訪問控制 一個防火墻的主要功能是對整個網(wǎng)絡(luò)的訪問控制。比如防火墻可以屏蔽部分主機，使外部網(wǎng)絡(luò)無法訪問，同樣可以屏蔽部分主機的特定服務(wù)，使得外部網(wǎng)絡(luò)可以訪問該主機的其它服務(wù)，但無法訪問該主機的特定服務(wù)。 防火墻不應(yīng)向外界提供網(wǎng)絡(luò)中任何不需要服務(wù)的訪問權(quán)，這實際上是安全政策的要求了。 控制對特殊站點的訪問：如有些主機或服務(wù)能被外部網(wǎng)絡(luò)訪問，而有些則需被保護起來，防止不必要的訪問。 防火墻特征 (cont.) 1 82 加強隱私 隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題。一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。 使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如 Finger， DNS等服務(wù)。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用 shell類型等。但是 Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的 DNS信息，這樣一臺主機的域名和 IP地址就不會被外界所 了解 。 防火墻特征 (cont.) 1 83 對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計 ? 如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。 ? 另外，收集一個網(wǎng)絡(luò)的使用和誤用情況是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 防火墻特征 (cont.) 1 84 從總體上看 ， 防火墻應(yīng)具有以下五大基本功 能： 過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)； 管理進、出網(wǎng)絡(luò)的訪問行為； 封堵某些禁止的業(yè)務(wù)； 記錄通過防火墻的信息內(nèi)容和活動； 對網(wǎng)絡(luò)攻擊的檢測和告警。 防火墻功能 1 85 VPN即虛擬專用網(wǎng)，是指一些節(jié)點通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立的一個臨時的、安全的連接，它們之間的通信的機密性和完整性可以通過某些安全機制的實施得到保證 特征 ? 虛擬 (V)：并不實際存在，而是利用現(xiàn)有網(wǎng)絡(luò)，通過資源配置以及虛電路的建立而構(gòu)成的虛擬網(wǎng)絡(luò) ? 專用 (P)：只有企業(yè)自己的用戶才可以聯(lián)入企業(yè)自己的網(wǎng)絡(luò) ? 網(wǎng)絡(luò) (N)：既可以讓客戶連接到公網(wǎng)所能夠到達的任何地方，也可以方便地解決保密性、安全性、可管理性等問題，降低網(wǎng)絡(luò)的使用成本 什么是 VPN 1 86 ? VPN（ 虛擬專用網(wǎng)絡(luò)）是通過公共介質(zhì)如 Inter擴展公司的網(wǎng)絡(luò) ? VPN可以加密傳輸?shù)臄?shù)據(jù)，保障數(shù)據(jù)的機密性、完整性、真實性 ? 防火墻是用來保證內(nèi)部網(wǎng)絡(luò)不被侵犯，相當于銀行的門衛(wèi)； 而 VPN則是保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被竊取，相當于運鈔車。 VPN的用途 1 87 VPN的隧道協(xié)議 VPN的關(guān)鍵技術(shù)在于通信隧道的建立，數(shù)據(jù)包通過通信隧道進行封裝后的傳送以確保其機密性和完整性 通常使用的方法有： ? 使用點到點隧道協(xié)議 PPTP、第二層隧道協(xié)議 L2TP、第二層轉(zhuǎn)發(fā)協(xié)議 L2F等在數(shù)據(jù)鏈路層對數(shù)據(jù)實行封裝 ? 使用 IP安全協(xié)議 IPSec在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)封裝 ? 使用介于第二層和第三層之間的隧道協(xié)議，如 MPLS隧道協(xié)議 1 88 PPTP/ L2TP 1996年， Microsoft和 Ascend等在 PPP協(xié)議的基礎(chǔ)上開發(fā)了 PPTP，并將它集成于 Windows NT 中，同時也提供了相應(yīng)的客戶端軟件 PPTP可把數(shù)據(jù)包封裝在 PPP包中，再將整個報文封裝在 PPTP隧道協(xié)議包中，最后，再嵌入 IP報文或幀中繼或 ATM中進行傳輸 PPTP提供流量控制 , 采用 MPPE加密算法 1 89 1996年， Cisco提出 L2F（ Layer 2 Forwarding）隧道協(xié)議 1997年底， Micorosoft和 Cisco公司把 PPTP協(xié)議和 L2F協(xié)議的優(yōu)點結(jié)合在一起，形成了 L2TP協(xié)議 L2TP協(xié)議綜合了 PPTP協(xié)議和 L2F（ Layer 2 Forwarding）協(xié)議的優(yōu)點 ,并且支持多路隧道，這樣可以使用戶同時訪問Inter和企業(yè)網(wǎng)。 L2TP可以實現(xiàn)和企業(yè)原有非 IP網(wǎng)的兼容，支持 MP（ Multilink Protocol），可以把多個物理通道捆綁為單一邏輯信道 PPTP/ L2TP 1 90 優(yōu)點： ? 支持其他網(wǎng)絡(luò)協(xié)議 （如 Novell的 IPX， NetBEUI和 Apple Talk協(xié)議 ） ? 支持流量控制 缺點： ? 通道打開后，源和目的用戶身