1 / 104

网络安全和防火墙

网络安全和防火墙. 刘强 ————. CIW 认证的网络安全分析师课程讲师( CI ). CIW 网络安全认证体系. Instructor. Security Analyst. Security Professional. MCSE. CCNA/CCNP. Foundation. 时间表. Day 1 什么是安全 ? 安全要素 应用加密 攻击类型分析 通用安全要素. 时间表. Day 2 协议层安全 保护资源 防火墙技术原理与应用 防火墙设计与规划 检测并迷惑黑客 事件响应. Lesson 1: 什么是安全 ?. 目标. 安全的定义

mimis
Download Presentation

网络安全和防火墙

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 网络安全和防火墙 刘强 ———— CIW认证的网络安全分析师课程讲师(CI)

  2. CIW网络安全认证体系 Instructor Security Analyst Security Professional MCSE CCNA/CCNP Foundation

  3. 时间表 • Day 1 • 什么是安全? • 安全要素 • 应用加密 • 攻击类型分析 • 通用安全要素

  4. 时间表 • Day 2 • 协议层安全 • 保护资源 • 防火墙技术原理与应用 • 防火墙设计与规划 • 检测并迷惑黑客 • 事件响应

  5. Lesson 1:什么是安全?

  6. 目标 • 安全的定义 • 网络安全的需求 • 标识需要保护的资源 • 标识常见的安全威胁类型

  7. 什么是安全? • 网络安全 • 识别并消除威胁和攻击的能力 • 是一个持续的过程 • 涉及Internet的安全

  8. 黑客的行为统计 • CERT(计算机安全紧急响应中心)统计 • 近期,黑客活动频率上升势头猛、破坏所造成的经济损失逐渐加大 • 大多数的公司遭受攻击的情况仍然频繁发生

  9. 风险何处来? • 很多的站点对外提供黑客工具 • 教授如何使用黑客工具 • 扫描网络决定攻击目标 • 导致网络服务器的崩溃 • 破坏网络设备和功能 • 突破验证和加密防护 • (www.anticode.com)一个建议访问的网址

  10. 百分百安全的神话 • 没有绝对的安全 • 安全即寻求平衡 • 使用有效的方案但不能加重合法用户的访问负担

  11. 订制一个有效的安全矩阵 • 安全矩阵 • 使用所有的安全设备和组件来保护一个公司的网络安全. • 有效的安全系统规则 • 允许访问控制 • 方便用户使用 • 适当的经济开销 • 可扩展性和可升级性 • 报警和日志分析能力

  12. 你将尝试保护什么? • 用户终端 • 被雇员使用的终端计算机 • 威胁 : 病毒,特洛伊木马, Active X控件,Java Applet • 网络资源 • 路由器,交换机,配线室 • 威胁: IP欺骗,系统窃听 • 服务器资源 • DNS,WEB, Email, FTP 服务器等 • 威胁: 未验证侵入, 拒绝服务, 特洛伊木马 • 信息数据资源 • 人力资源和电子商务数据库 • 威胁: 获得商业秘密和竞争者资料数据

  13. 谁是安全威胁者? • 黑客的分类 • 偶然的攻击者 • 坚定的攻击者 • 商业间谍

  14. 安全标准 • ISO 7498-2 安全体系 • 安全服务 • 认证 • 访问控制 • 数据的保密性 • 数据的完整性 • 不可否认性 • 安全机制 • 特殊的安全机制 (一次性口令系统和Kerberos认证等 • 通用的安全机制

  15. Lesson1 总结 • 有效的安全矩阵结构 • 你尝试保护的资源 • 三种类型的黑客 • 安全标准

  16. Lesson 2:安全要素

  17. 目标 • 安全有效的安全策略构成要素 • 标识用户认证方法 • 解释访问控制方法的需求 • 描述 ACL 和 ECL • 罗列三种主要的网络加密类型 • 解释审核的需求

  18. 安全基本要素 User Authentication Corporate Security Policy

  19. 安全策略 • 成功的安全策略的要素 • 建立有效的安全策略 • 系统资源分类(level1,level2,level3) • 区分不同资源 • 定义风险指数 • 定义可接受和不可接受的行为 • 定义资源安全防护的方法 • 定义安全教育问题 • 决定谁管理哪部分策略

  20. 加密 • 加密种类 • 对称加密、非对称加密和哈希加密 • 加密是如何实现的? • 数据机密性(数字信封) • 数据完整性(哈希) • 验证(数字签名) • 怒棵否认性 (数字签名) • 决定加密强度的三大要素: • 算法的强壮性 • 密钥的保密性 • 密钥的长度 • (书2-16) : 密钥破解时间表

  21. 认证 • 认证方法 • what you know(密码认证) • what you have(智能卡、数字证书) • who you are(指纹和视网膜认证) • where you are(rlogin,rsh时的源地址)

  22. 特殊的认证技术 • Kerberos(RFC 1519) • One-time passwords(RFC 1938)

  23. 访问控制 • 访问控制列表(ACL) • 访问控制选项(ECL) • 练习 书2-27

  24. 审核 • 被动审核—非实时性审核 • 主动审核 • 结束一个会话 • 阻止访问某一特殊主机 • 追踪非法行为

  25. 安全的反面因素 • 增加访问系统和使用系统的复杂性 • 减缓系统的响应时间

  26. Lesson2 总结 • 安全策略 • 加密类型 • 认证技术 • 审核技术

  27. Lesson 3:应用加密

  28. 目标 • 使用公钥技术创建信任关系 • 对称加密技术、非对称加密技术和哈希加密技术原理 • 在Windows2000和Linux中部署PGP

  29. 创建信任关系 • 对称、非对称和哈希加密 • 公钥加密技术模型 • 分发密钥 • 手工分发: S/MIMI , PGP • 自动分发: SSL, IPSec

  30. 对称加密模型

  31. 对称加密技术 • 对称加密算法 • DES(数据加密标准) • Triple DES • RSA 公司的对称算法 • RC2 and RC4(最为经常使用的算法) • RC5 • RC6 • Lotus Notes,Oracle,SQL 使用 RC4 • IDEA • Blowfish(448位密钥) and Twofish • Skipjack • MARS • Rijndael and Serpen

  32. 非对称加密模型

  33. 非对称加密技术 • 非对称加密产品 • RSA • DSA(Digital Signature Algorithm) • Diffie-Hellman • Key-exchange protocol

  34. 哈希加密 • 定义 • 将数据转换为不可逆的数据形式 • 特点 • 单向 • 变长输入,定长输出 • 哈希算法 • MD2,MD4 and MD5 (Message Digest N) • 创建 单向的消息摘要 • Secure hash algorithm: • SHA(160位)

  35. 应用加密过程 • 对称加密、非对称加密和哈希加密的联合 • E-mail 加密 • PGP, S/MIME • 文件加密 • Md5sum • Web 服务器加密 • Secure HTTP • SSL (Secure Sockets Layer)

  36. 应用加密过程 • 网络层加密 • VPN (虚拟专用网络) : PPTP • IPSec • AH (验证头) • ESP (加密安全负荷) • SA (安全联合) • IKE (Internet 密钥交换)

  37. 公钥基础架构(PKI) • PKI 是基于X.509 标准的 • 授权机构(CA) • CA 颁发的证书

  38. Use of a Certificate to Encrypt

  39. Use of a Certificate to Decrypt

  40. Lesson 4:攻击类型

  41. 课前练习 • 书3-22 • 书3-30 • 书3-50 • 书3-61

  42. 目标 • 描述常见的攻击烈性 • 描述特殊的攻击类型

  43. 前门和蛮力攻击 • 字典攻击 • 用户自定义化的蛮力攻击 • John the Ripper形式的攻击

  44. 系统漏洞和后门攻击 • 一个程序设计中的漏洞将会导致严重的后果 • 缓冲区溢出 • 后门是一个非法打开的访问途径 • Root kits攻击

  45. 社会工程和非直接性攻击 • 命令索要或请求索要密码 • 欺骗性的电子邮件 • 拒绝服务攻击 • 病毒、系统BUG和服务漏洞

  46. 社会工程和非直接性攻击 • 欺骗 • IP 欺骗, ARP 欺骗, DNS中毒 • Trojans—特洛伊木马 • 信息泄露 • 会话劫持和中间人攻击

  47. Lesson 5:通用安全准则

  48. 目标 • 描述有效实现网络安全通用准则 • 使用通用安全准则创建一个系统安全策略

  49. 10 个通用准则 • 偏执狂 • 必须有一个安全策略 • 没有任何系统或技术是孤立的 • 最小化遭受攻击后的破坏程度 • 在公司范围内强制执行策略

  50. 10 个通用准则 • 为员工提供培训 • 终端用户、网络管理员和行政管理人员 • 使用综合化的安全策略 • 安全地放置网络设备 • 识别安全商业问题 • 考虑物理安全问题

More Related