【文章內(nèi)容簡(jiǎn)介】 Root Sdff R Admin 8990 R W Web 8668 R E ftp 8965 R W E Server Workstation 傳送特征信息 發(fā)起訪(fǎng)問(wèn)請(qǐng)求 驗(yàn)證用戶(hù)特征信息 回應(yīng)訪(fǎng)問(wèn)請(qǐng)求，允許訪(fǎng)問(wèn) 驗(yàn)證通過(guò) 指紋識(shí)別器 讀取特征信息 獲得特征信息 61 Strictly Private amp。 Confidential 對(duì)稱(chēng)密碼的鑒別機(jī)制 ? 基于對(duì)稱(chēng)密碼算法的鑒別依靠一定協(xié)議下的數(shù)據(jù)加密處理 ， 通信雙方共享一個(gè)密鑰 ? 鑒別和密鑰交換協(xié)議的核心問(wèn)題 – 保密性 、 時(shí)效性 ? 采用對(duì)稱(chēng)密碼的鑒別機(jī)制 – 無(wú)可信第三方參與的鑒別 – 單向：兩實(shí)體中只有一方被鑒別 。 – 雙向鑒別：兩通信實(shí)體進(jìn)行相互鑒別 。 – 有可信第三方參與的鑒別 62 Strictly Private amp。 Confidential 防止消息重放攻擊 ? 形式 – 簡(jiǎn)單重放 、 可被日志記錄的復(fù)制品 、 不能被檢測(cè)到的復(fù)制品 、 反向重放 ， 不做修改 ? 策略 – 序列號(hào) 、 時(shí)間戳 、 驗(yàn)證者發(fā)送隨機(jī)值 – 詢(xún)問(wèn) /應(yīng)答方式 (Challenge/Response) 63 Strictly Private amp。 Confidential 采用公開(kāi)密碼算法的機(jī)制 ? 聲稱(chēng)者要通過(guò)證明他知道某秘密簽名密鑰來(lái)證實(shí)身份 ? 分類(lèi) – 單向鑒別：僅對(duì)實(shí)體中的一個(gè)進(jìn)行鑒別 – 雙向鑒別：兩個(gè)通信實(shí)體相互進(jìn)行鑒別 64 Strictly Private amp。 Confidential 采用密碼校驗(yàn)函數(shù)的機(jī)制 ? 待鑒別的實(shí)體通過(guò)表明它擁有某個(gè)秘密鑒別密鑰來(lái)證實(shí)其身份 ? 由使用他的秘密簽名密鑰簽署某一消息來(lái)完成 ? 消息可包含一個(gè)非重復(fù)值以抵抗重放攻擊 ? 要求驗(yàn)證者有聲稱(chēng)者的有效公鑰聲稱(chēng)者有僅由自己知道和使用的秘密簽名私鑰 。 65 Strictly Private amp。 Confidential 零知識(shí)證明技術(shù) ? 定義 ? 使信息的擁有者無(wú)需泄露任何信息就能夠向驗(yàn)證者或任何第三方證明它擁有該信息 ? 在網(wǎng)絡(luò)身份鑒別中 ， 已經(jīng)提出了零知識(shí)技術(shù)的一些變形 – 例如 ， FFS方案 、 FS方案 、 GQ方案 66 Strictly Private amp。 Confidential Kerberos認(rèn)證機(jī)制 ? Kerberos系統(tǒng) – 美國(guó)麻省理工學(xué)院設(shè)計(jì) ? 為分布式計(jì)算環(huán)境提供一種對(duì)用戶(hù)雙方進(jìn)行驗(yàn)證的認(rèn)證方法 67 Strictly Private amp。 Confidential Kerberos驗(yàn)證過(guò)程 TGS AS Server 用戶(hù)信息 檢查用戶(hù)信息，如正確就生成服務(wù)申請(qǐng)憑證和 client與 tgs的會(huì)話(huà)密鑰，并用由用戶(hù)口令導(dǎo)出的密鑰加密 Client 用戶(hù)輸入口令以解密得到服務(wù)申請(qǐng)憑證和與 TGS的會(huì)話(huà)密鑰 鑒定用戶(hù)身份，如有效生成服務(wù)許可憑證和client與server的會(huì)話(huà)密鑰 Kerberos服務(wù)器 68 Strictly Private amp。 Confidential 網(wǎng)絡(luò)設(shè)備安全 69 Strictly Private amp。 Confidential 防火墻技術(shù) ? 防火墻 ： 是加載于可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的安全設(shè)備 ， 是網(wǎng)絡(luò)安全政策的有機(jī)組成部分 ， 它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪(fǎng)問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理 。 ? 防火墻可以是軟件 、 硬件和軟硬件結(jié)合的 ? 發(fā)展歷經(jīng)簡(jiǎn)單包過(guò)濾 、 應(yīng)用代理 、 狀態(tài)檢測(cè) （ 狀態(tài)包過(guò)濾 ） 防火墻 ? 最新技術(shù)是具有數(shù)據(jù)流過(guò)濾功能的防火墻 ? 對(duì)于一個(gè)網(wǎng)絡(luò)來(lái)說(shuō) ， 所有通過(guò) “ 內(nèi)部 ” 和 “ 外部 ” 的網(wǎng)絡(luò)流量都要經(jīng)過(guò)防火墻 ? 防火墻本身必須建立在安全操作系統(tǒng)的基礎(chǔ)上 70 Strictly Private amp。 Confidential 防火墻的控制能力 ? 服務(wù)控制 ， 確定哪些服務(wù)可以被訪(fǎng)問(wèn) ? 方向控制 ， 對(duì)于特定的服務(wù) ， 可以確定允許哪個(gè)方向能夠通過(guò)防火墻 ? 用戶(hù)控制 ， 根據(jù)用戶(hù)來(lái)控制對(duì)服務(wù)的訪(fǎng)問(wèn) ? 行為控制 ， 控制一個(gè)特定的服務(wù)的行為 71 Strictly Private amp。 Confidential 防火墻主要功能 ? 過(guò)濾進(jìn) 、 出網(wǎng)絡(luò)的數(shù)據(jù) ? 管理進(jìn) 、 出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為 ? 封堵某些禁止的業(yè)務(wù) ? 記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng) ? 對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和報(bào)警 72 Strictly Private amp。 Confidential 內(nèi)部工作子網(wǎng)與外網(wǎng)的訪(fǎng)問(wèn)控制 進(jìn)行訪(fǎng)問(wèn)規(guī)則檢查 發(fā)起訪(fǎng)問(wèn)請(qǐng)求 合法請(qǐng)求則允許對(duì)外訪(fǎng)問(wèn) 將訪(fǎng)問(wèn)記錄寫(xiě)進(jìn)日志文件 合法請(qǐng)求則允許對(duì)外訪(fǎng)問(wèn) 發(fā)起訪(fǎng)問(wèn)請(qǐng)求 防火墻在此處的功能： 工作子網(wǎng)與外部子網(wǎng)的物理 隔離 訪(fǎng)問(wèn)控制 對(duì)工作子網(wǎng)做 NAT地址轉(zhuǎn)換 日志記錄 Inter 區(qū)域 Inter 邊界路由器 DMZ區(qū)域 WWW Mail DNS 內(nèi)部工作子網(wǎng) 管理子網(wǎng) 一般子網(wǎng) 內(nèi)部 WWW 重點(diǎn)子網(wǎng) 73 Strictly Private amp。 Confidential DMZ區(qū)域與外網(wǎng)的訪(fǎng)問(wèn)控制 Inter 區(qū)域 Inter 邊界路由器 進(jìn)行訪(fǎng)問(wèn)規(guī)則檢查 發(fā)起訪(fǎng)問(wèn)請(qǐng)求 合法請(qǐng)求則允許對(duì)外訪(fǎng)問(wèn) 將訪(fǎng)問(wèn)記錄寫(xiě)進(jìn)日志文件 禁止對(duì)外發(fā)起連結(jié)請(qǐng)求 發(fā)起訪(fǎng)問(wèn)請(qǐng)求 防火墻在此處的功能： DMZ網(wǎng)段與外部子網(wǎng)的物理隔離 訪(fǎng)問(wèn)控制 對(duì) DMZ子網(wǎng)做 MAP映射 日志記錄 DMZ區(qū)域 WWW Mail DNS 內(nèi)部工作子網(wǎng) 管理子網(wǎng) 一般子網(wǎng) 內(nèi)部 WWW 重點(diǎn)子網(wǎng) 74 Strictly Private amp。 Confidential 內(nèi)部子網(wǎng)與 DMZ區(qū)的訪(fǎng)問(wèn)控制 進(jìn)行訪(fǎng)問(wèn)規(guī)則檢查 發(fā)起訪(fǎng)問(wèn)請(qǐng)求 合法請(qǐng)求則允許對(duì)外訪(fǎng)問(wèn) 將訪(fǎng)問(wèn)記錄寫(xiě)進(jìn)日志文件 禁止對(duì)工作子網(wǎng)發(fā)起連結(jié)請(qǐng)求 發(fā)起訪(fǎng)問(wèn)請(qǐng)求 Inter 區(qū)域 Inter 邊界路由器 DMZ區(qū)域 WWW Mail DNS 內(nèi)部工作子網(wǎng) 管理子網(wǎng) 一般子網(wǎng) 內(nèi)部 WWW 重點(diǎn)子網(wǎng) 75 Strictly Private amp。 Confidential 撥號(hào)用戶(hù)對(duì)內(nèi)部網(wǎng)的訪(fǎng)問(wèn)控制 撥號(hào)服務(wù)器 Cisco 2620 移動(dòng)用戶(hù) PSTN Modem Modem 進(jìn)行一次性口令認(rèn)證 認(rèn)證通過(guò)后允 許 訪(fǎng) 問(wèn) 內(nèi)網(wǎng) 將訪(fǎng)問(wèn)記錄寫(xiě)進(jìn)日志文件 內(nèi)部工作子網(wǎng) 管理子網(wǎng) 一般子網(wǎng) 內(nèi)部 WWW 重點(diǎn)子網(wǎng) 76 Strictly Private amp。 Confidential 基于時(shí)間的訪(fǎng)問(wèn)控制 Host C Host D 在防火墻上制定基于時(shí)間的訪(fǎng)問(wèn)控制策略 上班時(shí)間不允許訪(fǎng)問(wèn) Inter 上班時(shí)間可以訪(fǎng)問(wèn)公司的網(wǎng)絡(luò) Inter 77 Strictly Private amp。 Confidential 用戶(hù)級(jí)權(quán)限控制 Host C Host D Host B Host A 受保護(hù)網(wǎng)絡(luò) Inter 〃〃〃 〃〃〃 〃〃〃 〃〃〃 〃〃〃 〃〃〃 〃〃〃 Permit Password Username 預(yù)先可在防火墻上設(shè)定用戶(hù) root 123 root 123 Yes admin 883 No 不管那臺(tái)電腦都可以用相同的用戶(hù)名來(lái)登陸防火墻 只需在防火墻設(shè)置該用戶(hù)的規(guī)則即可 78 Strictly Private amp。 Confidential IP與 MAC綁定 Inter Host A Host B Host C Host D 005004BB71A6 005004BB71BC Bind To 005004BB71A6 Bind To 005004BB71BC IP與 MAC地址綁定后，不允許 Host B假冒 Host A的 IP地址上網(wǎng) 防火墻允許 Host A上網(wǎng) 79 Strictly Private amp。 Confidential 流量控制 Host C Host D Host B Host A 受保護(hù)網(wǎng)絡(luò) Host A的流量已達(dá)到 10M Host A的流量已達(dá)到 極限值 30M 阻斷 Host A的連接 Inter 80 Strictly Private amp。 Confidential NAT網(wǎng)關(guān)和 IP復(fù)用 Inter Host A 受保護(hù)網(wǎng)絡(luò) Host C Host D 防火墻 Eth2： Eth0： 數(shù)據(jù) IP報(bào)頭 數(shù)據(jù) IP報(bào)頭 源地址： 目地址： 源地址： 目地址： ? 隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu) ? 內(nèi)部網(wǎng)絡(luò)可以使用私有 IP地址 ? 公開(kāi)地址不足的網(wǎng)絡(luò)可以使用這種方式提供 IP復(fù)用功能 81 Strictly Private amp。 Confidential 透明接入 受保護(hù)網(wǎng)絡(luò) Inter 如果防火墻支持透明模式，則內(nèi)部網(wǎng)絡(luò)主機(jī)的配置不用調(diào)整 Host A Host C Host D Host B 同一網(wǎng)段 透明模式下，這里不用配置 IP地址 透明模式下，這里不用配置 IP地址 Default Gateway= 防火墻相當(dāng)于網(wǎng)橋，原網(wǎng)絡(luò)結(jié)構(gòu)沒(méi)有改變 82 Strictly Private amp。 Confidential 包過(guò)濾防火墻 ? 基本的思想很簡(jiǎn)單 – 對(duì)于每個(gè)進(jìn)來(lái)的包 ， 適用一組規(guī)則 ， 然后決定轉(zhuǎn)發(fā)或者丟棄該包 – 往往配臵成雙向的 ? 如何過(guò)濾 – 過(guò)濾的規(guī)則以 IP和傳輸層的頭中的域 (字段 )為基礎(chǔ) ， 包括源和目標(biāo) IP地址 、 IP協(xié)議域 、 源和目標(biāo)端口號(hào) – 過(guò)濾器往往建立一組規(guī)則 ， 根據(jù) IP包是否匹配規(guī)則中指定的條件來(lái)作出決定 83 Strictly Private amp。 Confidential 包過(guò)濾路由器示意圖 網(wǎng)絡(luò)層 鏈路層 物理層 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 84 Strictly Private amp。 Confidential 包過(guò)濾 Host C Host D 數(shù)據(jù)包 數(shù)據(jù)包 數(shù)據(jù)包 查找對(duì)應(yīng)的控制策略 拆開(kāi)數(shù)據(jù)包 進(jìn)行分析 根據(jù)策略決定如何處理該數(shù)據(jù)包 數(shù)據(jù)包 控制策略 ? 基于源 IP地址 ? 基于目的 IP地址 ? 基于源端口 ? 基于目的端口 ? 基于時(shí)間 ?基于用戶(hù) ? 基于流量 ?基于數(shù)據(jù)流 可以靈活的制定 的控制策略 85 Strictly Private amp。 Confidential 包過(guò)濾防火墻的優(yōu)缺點(diǎn) ? 在網(wǎng)絡(luò)層上進(jìn)行監(jiān)測(cè) – 并沒(méi)有考慮連接狀態(tài)信息 ? 通常在路由器上實(shí)現(xiàn) – 實(shí)際上是一種網(wǎng)絡(luò)的訪(fǎng)問(wèn)控制機(jī)制 ? 優(yōu)點(diǎn) – 實(shí)現(xiàn)簡(jiǎn)單 – 對(duì)用戶(hù)透明 – 效率高 ? 缺點(diǎn) – 正確制定規(guī)則并不容易 – 不可能引入認(rèn)證機(jī)制 86 Strictly Private amp。 Confidential 針對(duì)包過(guò)濾防火墻的攻擊 ? IP地址欺騙 ， 例如 ，