【文章內容簡介】 Root Sdff R Admin 8990 R W Web 8668 R E ftp 8965 R W E Server Workstation 傳送特征信息 發(fā)起訪問請求 驗證用戶特征信息 回應訪問請求，允許訪問 驗證通過 指紋識別器 讀取特征信息 獲得特征信息 61 Strictly Private amp。 Confidential 對稱密碼的鑒別機制 ? 基于對稱密碼算法的鑒別依靠一定協(xié)議下的數(shù)據(jù)加密處理 ， 通信雙方共享一個密鑰 ? 鑒別和密鑰交換協(xié)議的核心問題 – 保密性 、 時效性 ? 采用對稱密碼的鑒別機制 – 無可信第三方參與的鑒別 – 單向：兩實體中只有一方被鑒別 。 – 雙向鑒別：兩通信實體進行相互鑒別 。 – 有可信第三方參與的鑒別 62 Strictly Private amp。 Confidential 防止消息重放攻擊 ? 形式 – 簡單重放 、 可被日志記錄的復制品 、 不能被檢測到的復制品 、 反向重放 ， 不做修改 ? 策略 – 序列號 、 時間戳 、 驗證者發(fā)送隨機值 – 詢問 /應答方式 (Challenge/Response) 63 Strictly Private amp。 Confidential 采用公開密碼算法的機制 ? 聲稱者要通過證明他知道某秘密簽名密鑰來證實身份 ? 分類 – 單向鑒別：僅對實體中的一個進行鑒別 – 雙向鑒別：兩個通信實體相互進行鑒別 64 Strictly Private amp。 Confidential 采用密碼校驗函數(shù)的機制 ? 待鑒別的實體通過表明它擁有某個秘密鑒別密鑰來證實其身份 ? 由使用他的秘密簽名密鑰簽署某一消息來完成 ? 消息可包含一個非重復值以抵抗重放攻擊 ? 要求驗證者有聲稱者的有效公鑰聲稱者有僅由自己知道和使用的秘密簽名私鑰 。 65 Strictly Private amp。 Confidential 零知識證明技術 ? 定義 ? 使信息的擁有者無需泄露任何信息就能夠向驗證者或任何第三方證明它擁有該信息 ? 在網絡身份鑒別中 ， 已經提出了零知識技術的一些變形 – 例如 ， FFS方案 、 FS方案 、 GQ方案 66 Strictly Private amp。 Confidential Kerberos認證機制 ? Kerberos系統(tǒng) – 美國麻省理工學院設計 ? 為分布式計算環(huán)境提供一種對用戶雙方進行驗證的認證方法 67 Strictly Private amp。 Confidential Kerberos驗證過程 TGS AS Server 用戶信息 檢查用戶信息，如正確就生成服務申請憑證和 client與 tgs的會話密鑰，并用由用戶口令導出的密鑰加密 Client 用戶輸入口令以解密得到服務申請憑證和與 TGS的會話密鑰 鑒定用戶身份，如有效生成服務許可憑證和client與server的會話密鑰 Kerberos服務器 68 Strictly Private amp。 Confidential 網絡設備安全 69 Strictly Private amp。 Confidential 防火墻技術 ? 防火墻 ： 是加載于可信網絡與不可信網絡之間的安全設備 ， 是網絡安全政策的有機組成部分 ， 它通過控制和監(jiān)測網絡之間的信息交換和訪問行為來實現(xiàn)對網絡安全的有效管理 。 ? 防火墻可以是軟件 、 硬件和軟硬件結合的 ? 發(fā)展歷經簡單包過濾 、 應用代理 、 狀態(tài)檢測 （ 狀態(tài)包過濾 ） 防火墻 ? 最新技術是具有數(shù)據(jù)流過濾功能的防火墻 ? 對于一個網絡來說 ， 所有通過 “ 內部 ” 和 “ 外部 ” 的網絡流量都要經過防火墻 ? 防火墻本身必須建立在安全操作系統(tǒng)的基礎上 70 Strictly Private amp。 Confidential 防火墻的控制能力 ? 服務控制 ， 確定哪些服務可以被訪問 ? 方向控制 ， 對于特定的服務 ， 可以確定允許哪個方向能夠通過防火墻 ? 用戶控制 ， 根據(jù)用戶來控制對服務的訪問 ? 行為控制 ， 控制一個特定的服務的行為 71 Strictly Private amp。 Confidential 防火墻主要功能 ? 過濾進 、 出網絡的數(shù)據(jù) ? 管理進 、 出網絡的訪問行為 ? 封堵某些禁止的業(yè)務 ? 記錄通過防火墻的信息內容和活動 ? 對網絡攻擊進行檢測和報警 72 Strictly Private amp。 Confidential 內部工作子網與外網的訪問控制 進行訪問規(guī)則檢查 發(fā)起訪問請求 合法請求則允許對外訪問 將訪問記錄寫進日志文件 合法請求則允許對外訪問 發(fā)起訪問請求 防火墻在此處的功能： 工作子網與外部子網的物理 隔離 訪問控制 對工作子網做 NAT地址轉換 日志記錄 Inter 區(qū)域 Inter 邊界路由器 DMZ區(qū)域 WWW Mail DNS 內部工作子網 管理子網 一般子網 內部 WWW 重點子網 73 Strictly Private amp。 Confidential DMZ區(qū)域與外網的訪問控制 Inter 區(qū)域 Inter 邊界路由器 進行訪問規(guī)則檢查 發(fā)起訪問請求 合法請求則允許對外訪問 將訪問記錄寫進日志文件 禁止對外發(fā)起連結請求 發(fā)起訪問請求 防火墻在此處的功能： DMZ網段與外部子網的物理隔離 訪問控制 對 DMZ子網做 MAP映射 日志記錄 DMZ區(qū)域 WWW Mail DNS 內部工作子網 管理子網 一般子網 內部 WWW 重點子網 74 Strictly Private amp。 Confidential 內部子網與 DMZ區(qū)的訪問控制 進行訪問規(guī)則檢查 發(fā)起訪問請求 合法請求則允許對外訪問 將訪問記錄寫進日志文件 禁止對工作子網發(fā)起連結請求 發(fā)起訪問請求 Inter 區(qū)域 Inter 邊界路由器 DMZ區(qū)域 WWW Mail DNS 內部工作子網 管理子網 一般子網 內部 WWW 重點子網 75 Strictly Private amp。 Confidential 撥號用戶對內部網的訪問控制 撥號服務器 Cisco 2620 移動用戶 PSTN Modem Modem 進行一次性口令認證 認證通過后允 許 訪 問 內網 將訪問記錄寫進日志文件 內部工作子網 管理子網 一般子網 內部 WWW 重點子網 76 Strictly Private amp。 Confidential 基于時間的訪問控制 Host C Host D 在防火墻上制定基于時間的訪問控制策略 上班時間不允許訪問 Inter 上班時間可以訪問公司的網絡 Inter 77 Strictly Private amp。 Confidential 用戶級權限控制 Host C Host D Host B Host A 受保護網絡 Inter 〃〃〃 〃〃〃 〃〃〃 〃〃〃 〃〃〃 〃〃〃 〃〃〃 Permit Password Username 預先可在防火墻上設定用戶 root 123 root 123 Yes admin 883 No 不管那臺電腦都可以用相同的用戶名來登陸防火墻 只需在防火墻設置該用戶的規(guī)則即可 78 Strictly Private amp。 Confidential IP與 MAC綁定 Inter Host A Host B Host C Host D 005004BB71A6 005004BB71BC Bind To 005004BB71A6 Bind To 005004BB71BC IP與 MAC地址綁定后，不允許 Host B假冒 Host A的 IP地址上網 防火墻允許 Host A上網 79 Strictly Private amp。 Confidential 流量控制 Host C Host D Host B Host A 受保護網絡 Host A的流量已達到 10M Host A的流量已達到 極限值 30M 阻斷 Host A的連接 Inter 80 Strictly Private amp。 Confidential NAT網關和 IP復用 Inter Host A 受保護網絡 Host C Host D 防火墻 Eth2： Eth0： 數(shù)據(jù) IP報頭 數(shù)據(jù) IP報頭 源地址： 目地址： 源地址： 目地址： ? 隱藏了內部網絡的結構 ? 內部網絡可以使用私有 IP地址 ? 公開地址不足的網絡可以使用這種方式提供 IP復用功能 81 Strictly Private amp。 Confidential 透明接入 受保護網絡 Inter 如果防火墻支持透明模式，則內部網絡主機的配置不用調整 Host A Host C Host D Host B 同一網段 透明模式下，這里不用配置 IP地址 透明模式下，這里不用配置 IP地址 Default Gateway= 防火墻相當于網橋，原網絡結構沒有改變 82 Strictly Private amp。 Confidential 包過濾防火墻 ? 基本的思想很簡單 – 對于每個進來的包 ， 適用一組規(guī)則 ， 然后決定轉發(fā)或者丟棄該包 – 往往配臵成雙向的 ? 如何過濾 – 過濾的規(guī)則以 IP和傳輸層的頭中的域 (字段 )為基礎 ， 包括源和目標 IP地址 、 IP協(xié)議域 、 源和目標端口號 – 過濾器往往建立一組規(guī)則 ， 根據(jù) IP包是否匹配規(guī)則中指定的條件來作出決定 83 Strictly Private amp。 Confidential 包過濾路由器示意圖 網絡層 鏈路層 物理層 外部網絡 內部網絡 84 Strictly Private amp。 Confidential 包過濾 Host C Host D 數(shù)據(jù)包 數(shù)據(jù)包 數(shù)據(jù)包 查找對應的控制策略 拆開數(shù)據(jù)包 進行分析 根據(jù)策略決定如何處理該數(shù)據(jù)包 數(shù)據(jù)包 控制策略 ? 基于源 IP地址 ? 基于目的 IP地址 ? 基于源端口 ? 基于目的端口 ? 基于時間 ?基于用戶 ? 基于流量 ?基于數(shù)據(jù)流 可以靈活的制定 的控制策略 85 Strictly Private amp。 Confidential 包過濾防火墻的優(yōu)缺點 ? 在網絡層上進行監(jiān)測 – 并沒有考慮連接狀態(tài)信息 ? 通常在路由器上實現(xiàn) – 實際上是一種網絡的訪問控制機制 ? 優(yōu)點 – 實現(xiàn)簡單 – 對用戶透明 – 效率高 ? 缺點 – 正確制定規(guī)則并不容易 – 不可能引入認證機制 86 Strictly Private amp。 Confidential 針對包過濾防火墻的攻擊 ? IP地址欺騙 ， 例如 ，