网络安全和防火墙

1. 网络安全和防火墙 刘强 ———— CIW认证的网络安全分析师课程讲师（CI）

2. CIW网络安全认证体系 Instructor Security Analyst Security Professional MCSE CCNA/CCNP Foundation

3. 时间表 • Day 1 • 什么是安全? • 安全要素 • 应用加密 • 攻击类型分析 • 通用安全要素

4. 时间表 • Day 2 • 协议层安全 • 保护资源 • 防火墙技术原理与应用 • 防火墙设计与规划 • 检测并迷惑黑客 • 事件响应

5. Lesson 1:什么是安全?

6. 目标 • 安全的定义 • 网络安全的需求 • 标识需要保护的资源 • 标识常见的安全威胁类型

7. 什么是安全? • 网络安全 • 识别并消除威胁和攻击的能力 • 是一个持续的过程 • 涉及Internet的安全

8. 黑客的行为统计 • CERT(计算机安全紧急响应中心)统计 • 近期，黑客活动频率上升势头猛、破坏所造成的经济损失逐渐加大 • 大多数的公司遭受攻击的情况仍然频繁发生

9. 风险何处来? • 很多的站点对外提供黑客工具 • 教授如何使用黑客工具 • 扫描网络决定攻击目标 • 导致网络服务器的崩溃 • 破坏网络设备和功能 • 突破验证和加密防护 • (www.anticode.com)一个建议访问的网址

10. 百分百安全的神话 • 没有绝对的安全 • 安全即寻求平衡 • 使用有效的方案但不能加重合法用户的访问负担

11. 订制一个有效的安全矩阵 • 安全矩阵 • 使用所有的安全设备和组件来保护一个公司的网络安全. • 有效的安全系统规则 • 允许访问控制 • 方便用户使用 • 适当的经济开销 • 可扩展性和可升级性 • 报警和日志分析能力

12. 你将尝试保护什么？ • 用户终端 • 被雇员使用的终端计算机 • 威胁 : 病毒,特洛伊木马, Active X控件,Java Applet • 网络资源 • 路由器,交换机,配线室 • 威胁: IP欺骗,系统窃听 • 服务器资源 • DNS,WEB, Email, FTP 服务器等 • 威胁: 未验证侵入, 拒绝服务, 特洛伊木马 • 信息数据资源 • 人力资源和电子商务数据库 • 威胁: 获得商业秘密和竞争者资料数据

13. 谁是安全威胁者? • 黑客的分类 • 偶然的攻击者 • 坚定的攻击者 • 商业间谍

14. 安全标准 • ISO 7498-2 安全体系 • 安全服务 • 认证 • 访问控制 • 数据的保密性 • 数据的完整性 • 不可否认性 • 安全机制 • 特殊的安全机制 (一次性口令系统和Kerberos认证等 • 通用的安全机制

15. Lesson1 总结 • 有效的安全矩阵结构 • 你尝试保护的资源 • 三种类型的黑客 • 安全标准

16. Lesson 2:安全要素

17. 目标 • 安全有效的安全策略构成要素 • 标识用户认证方法 • 解释访问控制方法的需求 • 描述 ACL 和 ECL • 罗列三种主要的网络加密类型 • 解释审核的需求

18. 安全基本要素 User Authentication Corporate Security Policy

19. 安全策略 • 成功的安全策略的要素 • 建立有效的安全策略 • 系统资源分类(level1,level2,level3) • 区分不同资源 • 定义风险指数 • 定义可接受和不可接受的行为 • 定义资源安全防护的方法 • 定义安全教育问题 • 决定谁管理哪部分策略

20. 加密 • 加密种类 • 对称加密、非对称加密和哈希加密 • 加密是如何实现的? • 数据机密性（数字信封） • 数据完整性(哈希) • 验证(数字签名) • 怒棵否认性 (数字签名) • 决定加密强度的三大要素: • 算法的强壮性 • 密钥的保密性 • 密钥的长度 • (书2-16) : 密钥破解时间表

21. 认证 • 认证方法 • what you know(密码认证) • what you have(智能卡、数字证书) • who you are(指纹和视网膜认证) • where you are(rlogin,rsh时的源地址)

22. 特殊的认证技术 • Kerberos(RFC 1519) • One-time passwords(RFC 1938)

23. 访问控制 • 访问控制列表(ACL) • 访问控制选项(ECL) • 练习 书2-27

24. 审核 • 被动审核—非实时性审核 • 主动审核 • 结束一个会话 • 阻止访问某一特殊主机 • 追踪非法行为

25. 安全的反面因素 • 增加访问系统和使用系统的复杂性 • 减缓系统的响应时间

26. Lesson2 总结 • 安全策略 • 加密类型 • 认证技术 • 审核技术

27. Lesson 3:应用加密

28. 目标 • 使用公钥技术创建信任关系 • 对称加密技术、非对称加密技术和哈希加密技术原理 • 在Windows2000和Linux中部署PGP

29. 创建信任关系 • 对称、非对称和哈希加密 • 公钥加密技术模型 • 分发密钥 • 手工分发: S/MIMI , PGP • 自动分发: SSL, IPSec

30. 对称加密模型

31. 对称加密技术 • 对称加密算法 • DES(数据加密标准) • Triple DES • RSA 公司的对称算法 • RC2 and RC4(最为经常使用的算法) • RC5 • RC6 • Lotus Notes,Oracle,SQL 使用 RC4 • IDEA • Blowfish(448位密钥) and Twofish • Skipjack • MARS • Rijndael and Serpen

32. 非对称加密模型

33. 非对称加密技术 • 非对称加密产品 • RSA • DSA(Digital Signature Algorithm) • Diffie-Hellman • Key-exchange protocol

34. 哈希加密 • 定义 • 将数据转换为不可逆的数据形式 • 特点 • 单向 • 变长输入，定长输出 • 哈希算法 • MD2,MD4 and MD5 (Message Digest N) • 创建 单向的消息摘要 • Secure hash algorithm: • SHA(160位)

35. 应用加密过程 • 对称加密、非对称加密和哈希加密的联合 • E-mail 加密 • PGP, S/MIME • 文件加密 • Md5sum • Web 服务器加密 • Secure HTTP • SSL (Secure Sockets Layer)

36. 应用加密过程 • 网络层加密 • VPN (虚拟专用网络) : PPTP • IPSec • AH (验证头) • ESP (加密安全负荷) • SA (安全联合) • IKE (Internet 密钥交换)

37. 公钥基础架构(PKI) • PKI 是基于X.509 标准的 • 授权机构(CA) • CA 颁发的证书

38. Use of a Certificate to Encrypt

39. Use of a Certificate to Decrypt

40. Lesson 4:攻击类型

41. 课前练习 • 书3-22 • 书3-30 • 书3-50 • 书3-61

42. 目标 • 描述常见的攻击烈性 • 描述特殊的攻击类型

43. 前门和蛮力攻击 • 字典攻击 • 用户自定义化的蛮力攻击 • John the Ripper形式的攻击

44. 系统漏洞和后门攻击 • 一个程序设计中的漏洞将会导致严重的后果 • 缓冲区溢出 • 后门是一个非法打开的访问途径 • Root kits攻击

45. 社会工程和非直接性攻击 • 命令索要或请求索要密码 • 欺骗性的电子邮件 • 拒绝服务攻击 • 病毒、系统BUG和服务漏洞

46. 社会工程和非直接性攻击 • 欺骗 • IP 欺骗, ARP 欺骗, DNS中毒 • Trojans—特洛伊木马 • 信息泄露 • 会话劫持和中间人攻击

47. Lesson 5:通用安全准则

48. 目标 • 描述有效实现网络安全通用准则 • 使用通用安全准则创建一个系统安全策略

49. 10 个通用准则 • 偏执狂 • 必须有一个安全策略 • 没有任何系统或技术是孤立的 • 最小化遭受攻击后的破坏程度 • 在公司范围内强制执行策略

50. 10 个通用准则 • 为员工提供培训 • 终端用户、网络管理员和行政管理人员 • 使用综合化的安全策略 • 安全地放置网络设备 • 识别安全商业问题 • 考虑物理安全问题