第5章 网络安全技术(2)
《第5章 网络安全技术(2)》由会员分享,可在线阅读,更多相关《第5章 网络安全技术(2)(58页珍藏版)》请在文档大全上搜索。
1、第5章网络安全技术 5.6 ARP欺骗 网络窃听是指截获和复制系统、服务器、路由器、防火墙等设备中所有的网络通信信息,不仅可以用于安全监控,也是攻击者用来截获网络信息的重要方式。ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。对路由器ARP表的欺骗截获网关数据。即通过路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发给错误的MAC地址,造成正常PC无法收到信息。对内网PC的网关欺骗伪造网关。建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常
2、的路由器途径上网。在PC看来,就是上不了网了。5.6 ARP欺骗5.6 ARP欺骗例:本网络内,所有向外发送的数据包,都会被转发到攻击者的主机(A)上,从而获得敏感信息。实验五 arp欺骗【实验目的】加深对ARP高速缓存的理解掌握ARP欺骗在网络攻击中的应用【实验内容】被欺骗者可以ping通欺骗者。 进行arp欺骗。 被欺骗者不可以ping通欺骗者。5.7 防火墙技术 什么是防火墙防火墙的功能防火墙的局限性防火墙的体系结构防火墙的实现技术防火墙示意图防火墙示意图什么是防火墙什么是防火墙定义:防火墙(Firewall)是一种用来加强网络之间访问控制的特殊网络互连设备,是一种非常有效的网络安全模型
3、。核心思想:在不安全的网际网环境中构造一个相对安全的子网环境。目的:都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道,以按照事先制定的策略控制信息的流入和流出,监督和控制使用者的操作。从网络防御体系上看,防火墙是一种被动防御的保护装置。防火墙是根据过滤规则来判断是否允许某个访问请求。防火墙是根据过滤规则来判断是否允许某个访问请求。防火墙的功能网络安全的屏障(隔离内外网络);过滤不安全的服务(两层含义) ; 内部提供的不安全服务和内部访问外部的不安全服务(双向)阻断特定的网络攻击(联动技术的产生) ;部署NAT机制;是提供了监视局域网安全和预警的方便端点。 提供包括安全和统计数据在
4、内的审计数据,好的防火墙还能灵活设置各种报警方式。防火墙的局限性只能防范经过其本身的非法访问和攻击,对绕过防火墙的访问和攻击无能为力。不能解决来自内部网络的攻击和安全问题。不能防止受病毒感染的文件的传输。不能防止策略配置不当或错误配置引起的安全威胁。不能防止自然或人为的故意破坏,不能防止本身安全漏洞的威胁。防火墙的体系结构分组过滤路由器双宿主机屏蔽主机屏蔽子网防火墙的体系结构:防火墙系统实现所采用的架构及其实现所采用的方法,它决定着防火墙的功能、性能以及使用范围。分组过滤路由器分组过滤路由器作为内外网连接的唯一通道,要求所有的数据包都必须在此通过检查。通过在分组过滤路由器上安装基于IP层的报文
5、过滤软件,就可利用过滤规则实现报文过滤功能。在单机上实现,是网络中的“单失效点”。不支持有效的用户认证、不提供有用的日志,安全性低。双宿主机双宿主机双宿主机双宿主机在被保护网络和Internet之间设置一个具有双网卡的堡垒主机,IP层的通信完全被阻止,两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成。通常采用代理服务方式。堡垒主机上运行着防火墙软件,可以转发应用程序和提供服务等。堡垒主机的系统软件可用于身份认证和维护系统日志,有利于进行安全审计。防火墙仍是网络的“单失效点”。隔离了一切内部网与Internet的直接连接,不适合于一些高灵活性要求的场合。屏蔽主机堡垒主机堡垒主机分组
6、过滤路由器分组过滤路由器屏蔽主机一个分组过滤路由器连接外部网络,同时一个运行网关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则,使这个堡垒主机成为从外部唯一可直接到达的主机。提供的安全等级较高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。过滤路由器是否正确配置是这种防火墙安全与否的关键。屏蔽子网堡垒主机堡垒主机外部路由器外部路由器内部路由器内部路由器屏蔽子网是最安全的防火墙系统,它在内部网络和外部网络之间建立一个被隔离的子网(非军事区,DMZ,专门提供服务的场所)在很多实现中,两个分组过滤路由器放在子网的两端,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子
7、网通信通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中堡垒主机通常是黑客集中攻击的目标,如果没有DMZ,入侵者控制堡垒主机后就可以监听整个内部网络的会话防火墙的实现技术 数据包过滤(Packet Filtering)代理服务(Proxy Service)状态检测(Stateful Inspection)网络地址转换NAT (Network AddressTranslation )数据包过滤数据包过滤数据包过滤技术是一种简单、高效的安全控制技术,是防火墙发展初期普遍采用的技术。工作原理: 系统在网络层检查数据包,与应用层无关,因此它不能控制传输数据的内容。 依据在系统内设置的过滤规则(通常
8、称为访问控制表Access Control List)对数据流中每个数据包包头中的参数或它们的组合进行检查,以确定是否允许该数据包进出内部网络。数据包过滤包过滤一般要检查(网络层的IP头和传输层的头):IP源地址IP目的地址协议类型(TCP包/UDP包/ICMP包)TCP或UDP的源端口TCP或UDP的目的端口ICMP消息类型TCP报头中的ACK位数据包过滤举例: 某条过滤规则为:禁止地址1的任意端口到地址2的80端口的TCP包。 含义? 表示禁止地址1的计算机连接地址2的计算机的WWW服务。数据包过滤优点: 逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好。主要缺点: 安全控制的力度只
9、限于源地址、目的地址和端口号等,不能保存与传输或与应用相关的状态信息,因而只能进行较为初步的安全控制,安全性较低; 数据包的源地址、目的地址以及端口号等都在数据包的头部,很有可能被窃听或假冒。代理服务代理服务是运行于连接内部网络与外部网络的主机(堡垒主机)上的一种应用,是一种比较高级的防火墙技术。 工作过程: 当用户需要访问代理服务器另一侧的主机时,对符合安全规则的连接,代理服务器会代替主机响应,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序把相应连接进行映射来实现。对于用户而言,似乎是直接与外部网络相连。代理服务主要优点: 内
10、部网络拓扑结构等重要信息不易外泄,从而减少了黑客攻击时所必需的必要信息;可以实施用户认证、详细日志、审计跟踪和数据加密等功能和对具体协议及应用的过滤,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹,安全性较高。代理服务主要缺点:针对不同的应用层协议必须有单独的应用代理,也不能自动支持新的网络应用;有些代理还需要相应的支持代理的客户和服务器软件;用户可能还需要专门学习程序的使用方法才能通过代理访问Internet,大大增加了系统管理的复杂性。工作在高层,信息处理效率低,性能下降。状态检测状态检测状态检测防火墙是在动态包过滤的基础上,增加了状态检测机制而形成的;动态包过滤与普通包过滤
