【文章內(nèi)容簡(jiǎn)介】 代理端 代理端 代理端 代理端 代理端 代理端 代理端 代理端 60 1 60 分布式拒絕服務(wù)攻擊步驟 1 Scanning Program 不安全的計(jì)算機(jī) Hacker 攻擊者使用掃描工具探測(cè)掃描大量主機(jī)以尋找潛在入侵目標(biāo)。 1 Inter 61 1 61 Hacker 被控制的計(jì)算機(jī) (代理端 ) 黑客設(shè)法入侵有安全漏洞的主機(jī)并獲取控制權(quán)。這些主機(jī)將被用于放置后門、sniffer或守護(hù)程序甚至是客戶程序。 2 分布式拒絕服務(wù)攻擊步驟 2 Inter 62 1 62 Hacker 黑客在得到入侵計(jì)算機(jī)清單后，從中選出滿足建立網(wǎng)絡(luò)所需要的主機(jī)，放置已編譯好的守護(hù)程序，并對(duì)被控制的計(jì)算機(jī)發(fā)送命令。 3 被控制計(jì)算機(jī)（代理端） Master Server 分布式拒絕服務(wù)攻擊步驟 3 Inter 63 1 63 Hacker Using Client program, 黑客發(fā)送控制命令給主機(jī)，準(zhǔn)備啟動(dòng)對(duì)目標(biāo)系統(tǒng)的攻擊 4 被控制計(jì)算機(jī)（代理端） Targeted System Master Server 分布式拒絕服務(wù)攻擊步驟 4 Inter 64 1 64 Inter Hacker 主機(jī)發(fā)送攻擊信號(hào)給被控制計(jì)算機(jī)開始對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊。 5 Master Server 分布式拒絕服務(wù)攻擊步驟 5 Targeted System 被控制計(jì)算機(jī)（代理端） 65 1 65 Targeted System Hacker 目標(biāo)系統(tǒng)被無數(shù)的偽造的請(qǐng)求所淹沒，從而無法對(duì)合法用戶進(jìn)行響應(yīng)， DDOS攻擊成功。 6 Master Server User Request Denied 分布式拒絕服務(wù)攻擊步驟 6 Inter 被控制計(jì)算機(jī)（代理端） 66 1 66 （分布式）拒絕服務(wù)攻擊 DDOS攻擊的效果 由于整個(gè)過程是自動(dòng)化的，攻擊者能夠在 5秒鐘內(nèi)入侵一臺(tái)主機(jī)并安裝攻擊工具。也就是說，在短短的一小時(shí)內(nèi)可以入侵?jǐn)?shù)千臺(tái)主機(jī)。并使某一臺(tái)主機(jī)可能要遭受 1000MB/S數(shù)據(jù)量的猛烈攻擊，這一數(shù)據(jù)量相當(dāng)于 。 67 1 67 （分布式）拒絕服務(wù)攻擊 預(yù)防 DDOS攻擊的措施 ? 確保主機(jī)不被入侵且是安全的； ? 周期性審核系統(tǒng)； ? 檢查文件完整性； ? 優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)； ? 優(yōu)化對(duì)外開放訪問的主機(jī)； ? 在網(wǎng)絡(luò)上建立一個(gè)過濾器（ filter）或偵測(cè)器（ sniffer），在攻擊信息到達(dá)網(wǎng)站服務(wù)器之前阻擋攻擊信息。 68 1 68 （分布式）拒絕服務(wù)攻擊 分布式拒絕服務(wù)攻擊的今后的發(fā)展趨勢(shì)： ? 如何增強(qiáng)自身的隱蔽性和攻擊能力； ? 采用加密通訊通道 、 ICMP協(xié)議等方法避開防火墻的檢測(cè)； ? 采用對(duì)自身進(jìn)行數(shù)字簽名等方法研究自毀機(jī)制 ， 在被非攻擊者自己使用時(shí)自行消毀拒絕服務(wù)攻擊數(shù)據(jù)包 ， 以消除證據(jù) 。 69 1 69 當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀 當(dāng)前網(wǎng)絡(luò)安全熱點(diǎn)話題 大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè) 東軟公司介紹 東軟安全產(chǎn)品體系 東軟應(yīng)急響應(yīng)與安全服務(wù) 東軟售后服務(wù)及培訓(xùn)體系 70 1 70 大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)特點(diǎn) 開放性 —與公網(wǎng)互聯(lián)，直接對(duì)話。 大規(guī)模性 —規(guī)模龐大，節(jié)點(diǎn)眾多。 復(fù)雜性 —多種應(yīng)用，大數(shù)據(jù)量，使用人員身份復(fù)雜 。 因?yàn)槿缟系谋姸嗵攸c(diǎn)，大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)存在著眾多 安全風(fēng)險(xiǎn) ! 71 1 71 大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)中需要保護(hù)的資源 各類服務(wù)器 工作站 網(wǎng)絡(luò)設(shè)備 網(wǎng)絡(luò)安全設(shè)備 操作系統(tǒng) 服務(wù)器系統(tǒng) 業(yè)務(wù)應(yīng)用系統(tǒng) Inter公共軟件 數(shù)據(jù)庫系統(tǒng) 自主開發(fā)的軟件 網(wǎng)管軟件等 數(shù)據(jù)庫服務(wù)器中數(shù)據(jù) 應(yīng)用服務(wù)器數(shù)據(jù) 郵件數(shù)據(jù) 網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù) 設(shè)備日志 工作人員用戶 應(yīng)用系統(tǒng)用戶 操作系統(tǒng)用戶 訪問服務(wù)器用戶 遠(yuǎn)程登陸用戶 遠(yuǎn)程管理用戶 硬件資源 數(shù)據(jù)資源 軟件資源 用戶資源 72 1 72 大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)常見的安全事件 網(wǎng)站被黑 數(shù)據(jù)被篡改 數(shù)據(jù)被偷竊 秘密泄漏 越權(quán)瀏覽 非法刪除 被病毒感染 系統(tǒng)自身故障 73 1 73 大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全隱患 物理 風(fēng)險(xiǎn) 無意錯(cuò) 誤風(fēng)險(xiǎn) 有意 破壞 管理 風(fēng)險(xiǎn) 內(nèi)網(wǎng)安全風(fēng)險(xiǎn) 內(nèi)網(wǎng)安全風(fēng)險(xiǎn) 邊界安全風(fēng)險(xiǎn) 鏈路傳輸安全風(fēng)險(xiǎn) 橫 向 縱 向 其它 風(fēng)險(xiǎn) 如自然災(zāi)害，電力供應(yīng)突然中 斷，靜電、強(qiáng)磁場(chǎng)破壞硬件設(shè) 備以及設(shè)備老化等引起的風(fēng)險(xiǎn)。 指由于人為或系統(tǒng)錯(cuò)誤而影響信 息的完整性、機(jī)密性和可用性。 指內(nèi)部和外部人員有意通過物理手段 破壞信息系統(tǒng)而影響信息的機(jī)密性、 完整性、可用性和可控性。比如：有 意破壞基礎(chǔ)設(shè)施、擴(kuò)散計(jì)算機(jī)病毒、 電子欺騙等。 這種風(fēng)險(xiǎn)帶來的破壞一般而言是巨大 的。嚴(yán)重時(shí)會(huì)引起整個(gè)系統(tǒng)的癱瘓和 不可恢復(fù) 它是指因?yàn)榭诹詈兔荑€管 理不當(dāng)、制度遺漏，崗 位、職責(zé)設(shè)置不全面等因 素引起信息泄露、系統(tǒng)無 序運(yùn)行等。 是指除上述所列舉 的一些風(fēng)險(xiǎn)外，一 切可能危及信息系 統(tǒng)的機(jī)密性、完整 性、可用性、可控 性和系統(tǒng)正常運(yùn)行 的風(fēng)險(xiǎn)。 74 1 74 標(biāo)準(zhǔn)安全產(chǎn)品架構(gòu) Inter 總部 辦事處 分公司 公眾用戶 分公司 防火墻和 VPN體系 入侵檢測(cè)系統(tǒng) 病毒防護(hù)系統(tǒng) 風(fēng)險(xiǎn)評(píng)估系統(tǒng) 備份恢復(fù)系統(tǒng) 網(wǎng)絡(luò)綜合安全管理系統(tǒng) 75 1 75 防火墻及 VPN策略 Inter 總部 辦事處 分公司 VPN客戶端用戶 分公司 部署防火墻和 VPN在網(wǎng) 絡(luò)邊界處，對(duì)進(jìn)出邊界 的信息做訪問控制，同 時(shí)采用 VPN對(duì)網(wǎng)絡(luò)中傳 輸?shù)男畔⑦M(jìn)行加密處理， 以保證數(shù)據(jù)在傳輸過程 中的安全性 利用防火墻的包過濾、應(yīng) 用代理、 NAT、訪問控制 等技術(shù)對(duì)網(wǎng)絡(luò)邊界進(jìn)行安 全防護(hù)。 利用 VPN的加密方式對(duì)信 息做加密，再傳輸?shù)骄W(wǎng)絡(luò) 中，可采用網(wǎng)關(guān) —網(wǎng)關(guān)或 網(wǎng)關(guān)到客戶端兩種模式。 01010101010 !@$!@%$^%4 010101010101 76 1 76 Server Client 防火墻（ Firewall） 注解：防火墻類似一堵城墻，將服務(wù)器與客戶主機(jī)進(jìn)行物理隔離，并在此基礎(chǔ)上實(shí)現(xiàn)服務(wù)器與客戶主機(jī)之間的授權(quán)互訪、互通等功能。 77 1 77 防火墻概念 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的一系列部件的組合。它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許 、拒絕 、 監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有很高的抗攻擊能力，它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 78 1 78 防火墻特征 保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)服務(wù) 集中化的安全管理 加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的訪問控制 加強(qiáng)隱私 對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì) 79 1 79 保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)服務(wù) 一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的 NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。 防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 IP選項(xiàng)中的源路由攻擊和 ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。 防火墻特征 (cont.) 80 1 80 防火墻特征 (cont.) 集中化的安全管理 通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。 81 1 81 加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的訪問控制 一個(gè)防火墻的主要功能是對(duì)整個(gè)網(wǎng)絡(luò)的訪問控制。比如防火墻可以屏蔽部分主機(jī)，使外部網(wǎng)絡(luò)無法訪問，同樣可以屏蔽部分主機(jī)的特定服務(wù)，使得外部網(wǎng)絡(luò)可以訪問該主機(jī)的其它服務(wù)，但無法訪問該主機(jī)的特定服務(wù)。 防火墻不應(yīng)向外界提供網(wǎng)絡(luò)中任何不需要服務(wù)的訪問權(quán)，這實(shí)際上是安全政策的要求了。 控制對(duì)特殊站點(diǎn)的訪問：如有些主機(jī)或服務(wù)能被外部網(wǎng)絡(luò)訪問，而有些則需被保護(hù)起來，防止不必要的訪問。 防火墻特征 (cont.) 82 1 82 加強(qiáng)隱私 隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題。一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。 使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如 Finger， DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用 shell類型等。但是 Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的 DNS信息，這樣一臺(tái)主機(jī)的域名和 IP地址就不會(huì)被外界所 了解 。 防火墻特征 (cont.) 83 1 83 對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì) ? 如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。 ? 另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 防火墻特征 (cont.) 84 1 84 從總體上看 ， 防火墻應(yīng)具有以下五大基本功 能： 過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)； 管理進(jìn)、出網(wǎng)絡(luò)的訪問行為； 封堵某些禁止的業(yè)務(wù)； 記錄通過防火墻的信息內(nèi)容和活動(dòng)； 對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警。 防火墻功能 85 1 85 VPN即虛擬專用網(wǎng)，是指一些節(jié)點(diǎn)通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立的一個(gè)臨時(shí)的、安全的連接，它們之間的通信的機(jī)密性和完整性可以通過某些安全機(jī)制的實(shí)施得到保證 特征 ? 虛擬 (V)：并不實(shí)際存在，而是利用現(xiàn)有網(wǎng)絡(luò)，通過資源配置以及虛電路的建立而構(gòu)成的虛擬網(wǎng)絡(luò) ? 專用 (P)：只有企業(yè)自己的用戶才可以聯(lián)入企業(yè)自己的網(wǎng)絡(luò) ? 網(wǎng)絡(luò) (N)：既可以讓客戶連接到公網(wǎng)所能夠到達(dá)的任何地方，也可以方便地解決保密性、安全性、可管理性等問題，降低網(wǎng)絡(luò)的使用成本 什么是 VPN 86 1 86 ? VPN（ 虛擬專用網(wǎng)絡(luò)）是通過公共介質(zhì)如 Inter擴(kuò)展公司的網(wǎng)絡(luò) ? VPN可以加密傳輸?shù)臄?shù)據(jù)，保障數(shù)據(jù)的機(jī)密性、完整性、真實(shí)性 ? 防火墻是用來保證內(nèi)部網(wǎng)絡(luò)不被侵犯，相當(dāng)于銀行的門衛(wèi)； 而 VPN則是保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被竊取，相當(dāng)于運(yùn)鈔車。 VPN的用途 87 1 87 VPN的隧道協(xié)議 VPN的關(guān)鍵技術(shù)在于通信隧道的建立，數(shù)據(jù)包通過通信隧道進(jìn)行封裝后的傳送以確保其機(jī)密性和完整性 通常使用的方法有： ? 使用點(diǎn)到點(diǎn)隧道協(xié)議 PPTP、第二層隧道協(xié)議 L2TP、第二層轉(zhuǎn)發(fā)協(xié)議 L2F等在數(shù)據(jù)鏈路層對(duì)數(shù)據(jù)實(shí)行封裝 ? 使用 IP安全協(xié)議 IPSec在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝 ? 使用介于第二層和第三層之間的隧道協(xié)議，如 MPLS隧道協(xié)議 88 1 88 PPTP/ L2TP 1996年， Microsoft和 Ascend等在 PPP協(xié)議的基礎(chǔ)上開發(fā)了 PPTP，并將它集成于 Windows NT 中，同時(shí)也提供了相應(yīng)的客戶端軟件 PPTP可把數(shù)據(jù)包封裝在 PPP包中，再將整個(gè)報(bào)文封裝在 PPTP隧道協(xié)議包中，最后，再嵌入 IP報(bào)文或幀中繼或 ATM中進(jìn)行傳輸 PPTP提供流量控制 , 采用 MPPE加密算法 89 1 89 1996年， Cisco提出 L2F（ L