迈普安全技术白皮书Word格式文档下载.docx
- 文档编号:16762330
- 上传时间:2022-11-25
- 格式:DOCX
- 页数:81
- 大小:793.01KB
迈普安全技术白皮书Word格式文档下载.docx
《迈普安全技术白皮书Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《迈普安全技术白皮书Word格式文档下载.docx(81页珍藏版)》请在冰豆网上搜索。
2.2.4.2应用级网关20
2.2.4.3电路级网关20
2.2.5防火墙的应用配置21
2.2.5.1双重宿主主机结构21
2.2.5.2被屏蔽主机、单地址堡垒机结构21
2.2.5.3被屏蔽的主机、双地址堡垒机结构22
2.2.5.4被屏蔽的子网结构22
2.2.6防火墙产品23
2.2.6.1国外防火墙产品23
2.2.6.1.1FireWall-123
2.2.6.1.1.1reWall-1的组成模块:
23
2.2.6.1.1.2FireWall-1的主要功能分析24
2.2.6.1.1.2.1状态检测24
2.2.6.1.1.2.2认证(Authentication)25
2.2.6.1.1.2.3地址翻译(NAT)26
2.2.6.1.1.2.4内容安全26
2.2.6.1.1.2.5连接控制27
2.2.6.1.1.2.6路由器安全管理27
2.2.6.1.1.2.7小结28
2.2.7国内防火墙产品28
2.2.7.1"
网络卫士"
防火墙系统NGFW3000(天融信)28
2.2.7.2NetShineFW5x00防火墙和虚拟专用网(朗新信息科技)30
2.2.7.2.1ERCIST防火墙系统(中科院信息安全技术工程研究中心)32
2.2.7.3方御(FireGate)防火墙系列产品(方正数码公司)33
2.2.8国内外的防火墙产品总结34
2.3VPN34
2.3.1VPN的构成35
2.3.2VPN连接的类型36
2.3.3VPN连接的特性37
2.3.4基于Internet的VPN连接和基于Intranet的VPN连接38
2.3.5VPN管理41
2.3.6点对点隧道协议PPTP(Point-to-PointTunnelingProtocol)43
2.3.7第二层隧道协议L2TP和IP安全IPSec48
2.3.8VPN连接中的安全策略。
53
2.3.9VPN寻址及路由56
2.3.10VPN和防火墙59
2.3.11VPN和网络地址译码65
2.4网络攻击实例67
2.4.1测试报告一:
拒绝服务攻击与端口扫描67
2.4.1.1测试依据68
2.4.1.2测试内容、步骤和数据68
2.4.1.3情况一——直接连接68
2.4.1.4情况二——路由器连接68
2.4.1.5情况三——防火墙保护68
2.4.1.6情况四——路由器ACL保护69
2.4.1.7测试结果分析和结论69
2.4.2端口扫描结果69
2.4.3测试报告二:
数据侦听测试71
2.4.3.1测试环境71
2.4.3.1.1VPN隧道外的数据71
2.4.3.1.2听隧道内的数据的网络环境:
72
2.4.3.1.3听隧道内的数据的网络环境-273
2.4.3.2测试结果及其分析73
2.4.3.2.1侦听普通服务数据73
2.4.3.2.2侦听应用数据74
2.4.3.2.3侦听VPN隧道内的数据76
2.4.3.2.4采用四台路由器进行隧道内数据侦听77
2.4.3.3结论和建议79
2.4.4针对农信的网络安全解决方案80
2.4.4.1农信现有网络拓扑80
2.4.4.2农信现有网络的安全威胁分析及解决方案81
2.4.4.2.1网络中心81
2.4.4.2.2使用宽带网络的线路安全82
2.4.4.2.3新建网点/派柜的网络安全解决方案82
3.信息保障技术概论83
3.1概论83
3.1.1何为信息保障83
3.1.2深层防御目标的技术层面纵览84
3.2信息系统安全工程方法简介86
3.3在信息保障思想指导下分析用户网络安全挖掘用户网络安全的需求86
1.
密码学简介
1.1几个简单例子
什么是密码?
让我们先来开一个例子:
本例对一段英文做加密变换,
规定:
凡是英文字母,均以每个字母之后的第三个字母代替,空格和标点符号不变,则“IloveThisgame”就变换成了“LoryhWklvjdph”。
逆变换就是将变换后的文字的每个字母使用该字母之前的第三个字母代替即可。
注意在例子中使用的字母表是循环的,即a的前面一个是z,z的后面一个就是a。
这个例子实际就是一个加密和解密的例子,其中规则:
“规定使用字母后的第X个字母“代替原字母就是加密变换,而使用字母的前第X个字母代替变换后的字母就是解密变换”就是加密算法,而第X个字母就是密钥,在本例中X=3就是本次加密使用的加密密钥。
从这个例子中可以归纳得到:
加密算法=对消息进行变换和逆变换的一组规则;
密钥=控制规则运行的一条信息。
如果现在要给自己心爱的人写一封浪漫浓情信那么你就知道如何保证在传递过程中不被其他人看到了。
密码技术是伴随着人类文明的发展而不断发展的,几百年前上述的这个加密算法足可以用于军事通信,但是随着人类认识数学的能力的不断提高,现在向例子这样的加密算法已经没有什么价值了,因为通过语言统计方面的知识,可以推断出如何进行的字母替换了,因此加密算法的设计水平在不断提高,以致于我们无法用1000字描述一个DES算法,但是无论算法如何设计,其总的思想同我们简单的例子是一样的:
就是将需要保密的数据经过一个变换,得到一堆谁也看不懂什么意思的文字,而且从这段文字不能得到任何原消息的信息。
在密码学中一般将待变换的消息称为明文如:
“IloveThisgame”,而将变换之后的文字称为密文如“LoryhWklvjdph”。
密码技术能够解决什么问题呢?
从例子中可以体会到,经过了加密变换的文字可以起到保密的作用,其实密码最早的应用就是应用于通信保密的,这个应用在二战时使用的尤其广泛,因为当时的无线通信技术已经用于军事,而在军事中通过无线电波传送的都是秘密的作战指挥数据,无线电波在空中传播时是可以被任何人接收到的,因此军方需要在将信息通过电传机发送之前先对其加密,当时使用的加密算法都是类似于例子的一些代换算法,只是相对复杂一些而已,下面就是当时使用的一些加密机的样子,都是机械制品,现在这种东西已经完全被电子设备代替了,比如迈普公司的VPN设备等。
附图
密码技术在今天的计算机世界中可以说是无处不再,当你登录linux系统或者登录windows系统时,系统将你输入的口令进行一个单向的hash运算得到一串数据进行比较,而不是直接将输入的口令同存储的数据进行比较。
另外一个例子:
“天王盖地虎,宝塔镇河妖”是一句来自电影智取威虎山的广为流传的暗号,其实这是一个典型的身份认证的例子,认证的依据是当一个人说出前一句时,另外一个人如果说出了后一句那就证明这个人是自己人了。
从这个例子中我们可以看到自古以来人们就需要对人的身份进行认证,尤其是古装戏中我们常见到的定情佩玉、手镯之类,都是身份认证的例子。
当人的见识越来越多,知识越来越丰富之后简单的通过认物对暗号的方式已经不能解决电子世界中的身份认证的问题,怎么办那采用密码技术。
密码技术中有一类称为单向函数(有时也称为hash函数)的技术,先举个例子:
将所有的输入数据按照字节排好对,然后依次进入一个盒子里面,在盒子里面进入的字节同盒子中的存储的一个自己进行异或,并将异或的结果存储在存储器中,盒子中存储器最初的值为0,当所有的输入完后盒子中的存储中存储的值就称为HASH值。
例如:
输入“ILoveThisgame”按照上述规则计算得到的结果是:
0x51(81)。
从计算得到的结果0x51中根本看不出输入的句子是什么,例子就是一个简单的hash(单向函数)算法。
很显然不同的输入得到的hash结果很可能是不同,相同的概率是1/256,这是因为这个例子中hash的结果只有一个字节,也就是只有256中值,在实际使用的hash函数(MD5,SHA1)中,hash的结果分别是10个字节和16个字节,那么两个不同的输入字符串得到相同的hash结果的可能性只有1/2^128。
如果我写一封电子英文的情书,并且情书的最后附加一个采用高强度的hash算法计算得到的结果,那么我将情书发送给爱人的时候就不怕别人会修改我的原文,因为只要一修改hash的结果就根信中的附加结果不同,从而收信人可以探测出信件被修改了。
但是仅仅使用hash,如果盒子中存储器的初始值始终都是0的话,那么在消息传送的中途截获了消息还是可以修改消息,因为依据同样的规则修改消息的人也可以制作一个hash。
怎么办那?
Itisveryeasy,只需要在存储器中放入一个只有发信和收信人知道的随机数,那么其他人就不可能随意修改了。
这个只有发信人和收信人知道的随机数就是双方使用的一个密钥。
其实这个还不够安全,更安全的在下面的RSA数字签名一节中有更周密的方案。
1.2密码学基本概念
在我们的Internet上常见的网络结构,如图1.1所示。
图1.1常见网络结构
在网络中传输的数据都明文,任何人在任何地方都可以获得传输的信息。
例如下图是用sniffer软件看到的ftp的登录口令
这样是不安全的。
因此,我们希望在网络中传输的文件能够象图1.2所示的情况。
X端Y端
图1.2引入了安全的网络结构
1.2.1加/解密基本过程
在X->
Y的传输过程中,为了防止数据被伪造、篡改或者窥视。
我们可以在数据M从X端发出时,用一个密钥(key1)进行加密得到完全不同的数据C,经过Internet的传输,到达Y端。
在Internet上传输的数据是C,其他人得到C是没有用的。
而Y端可以用相应的密钥(key2)解密数据C,恢复数据M。
同样的,从Y->
X的传输过程也类似。
将有用信息转换成无意义的文字的过程,称为加密,而将无意义的文字转换回原来信息的过程,称为解密。
在实现时,加/解密的过程是由密码算法完成的。
原来的信息称为明文,转换后的无意义文字称为密文,密文可以被授权允许解密者解密成相应的明文。
为了确保两个转换过程能顺利进行的共享秘密信息,称为密钥。
1.2.2对称密钥
在加/解密过程中,如果加密密钥(key1)和解密密钥(key2)完全相同,或者一个密钥可以很容易从另一个密钥中导出,那么我们称这对密钥为对称密钥。
一般来讲,对称密钥都使用随机数,比如字符串”Ilovethisgame”也可以作为密钥。
采用对称密钥建立的加/解密通信系统有一些很好的特性,比如,运行占用空间小,加/解密速度能达到数十兆/秒,甚至更高(由算法决定)。
但是,它们存在明显的缺陷:
1、密钥管理困难
在对称密码体制中,在发送信息以前,信息的发送者和接收者必须共享密钥,因此,在通信以前,密钥必须先在一条安全的单独通道上进行传输。
这样就为通信附加了一个步骤,在通信负荷比较重的时候,这附加的步骤将变得极其不便。
同时,在一个团体中,每个用户都要与团体中其它每个用户共享一个密钥(若团体中有100个用户,则每个用户将保存99个密钥)。
随着系统用户的增加以及密钥的更新,密钥的数量将庞大得难以管理!
2、未知实体间通信困难
当两个通信实体互不认识时,需要一个秘密的单独通道进行密钥交换这一步骤就会非常困难。
也就是说,互不相识的两个实体A和B,在第一次通信前,必须要通过一个“介绍人”来使他们达到密钥共享。
由于这种特殊身份,在对称密钥体制中,这一个“介绍人”必须随时在线且工作量十分庞大,往往会成为系统的瓶颈。
3、缺乏自动检测密钥是否泄密的能力。
为了解决对称密钥的这些问题,非对称密钥—公/私钥就应运而生。
1.2.3非对称密钥
在一对密钥中的两个密钥(key1和key2)是不同的,但却是相关的,这种相关性是一种数学关系,可能依赖一些只有密钥对的创造者才知道的信息。
除了密钥对的创造者,其他人想从一个密钥推导出另一个密钥,在计算上是完全不可能的(即,理论上可以推导出另一个密钥,但实际上推导所用的时间、存储量和计算能力大得惊人)。
这是由数论中的一些定义、定理或公理决定的。
著名的公开密钥加密算法主要有:
Diffie-hellman、RSA、DSA等
因为两个密钥不同,知道一个又不能推导或计算出另一个,那么就可以将一个密钥完全公开,比如,存在公开的数据库中,列在电话本上。
只要另一个密钥是安全的,那么该密钥对的安全性是可以信赖的。
公开的密钥称为公钥,另一个需要安全保密的密钥,称为私钥。
其加/解密的基本原理如图1.3所示:
发送方接收方
图1.3非对称密钥加/解密基本原理
下图就是IE中存放的证书中的公钥证书中存在的公钥:
1.2.4非对称密钥的加/解密
由于公钥密码中的计算速度比对称密码慢,当需要加密大量数据的时候,就显得不够实用。
因此在公钥体制中可以采用如下策略:
1、用随机生成的对称密钥来对报文数据加密;
2、用接收者的公钥来加密这个对称密钥,加密后的对称密钥密文被称为数字信封。
当接收者收到这个加密信息后,先分离出报文数据密文和数字信封两部分,然后采取一个类似的解密过程:
1、用自己的私钥解密,得到对称密钥;
2、用对称密钥对密文进行解密得到明文。
加/解密过程如图1.4所示。
图1.4数据机密性的实现过程
1.2.5非对称密钥的数字签名
数字签名是公钥体制下提供的一项十分具有优势的服务(对称密钥体制下虽然也可以实现数字签名,但十分繁琐且可靠性不高)。
通过数字签名,可以认证发送方的身份。
消息发送者A在消息末尾附上的标识自己身份且别人无法伪造的一串密文信息。
消息接收者B可以通过验证这串信息来确认该消息是否是真正的A所发送的。
数字签名从根本上来说是依靠密钥对的概念。
用户A通过杂凑函数把要发送的消息数据进行运算,得到固定长度的数据串,然后用自己的私钥对杂凑后的结果加密,其加密结果就是A的签名。
其它用户在接收到A传来的消息后,同样先用杂凑函数对数据部分进行杂凑得到固定长度的数据串M,然后用A的公钥对加密信息进行解密得到M’,最后将M与M’进行对比看是否匹配。
如果匹配,则A的签名得到了验证,证实这条消息是A发出来的,否则验证失败。
因此,数字签名实际上就是一次私钥操作(在发送端)和一次公钥操作(在接收端)的过程,如图1.5所示。
图1.5数字签名的实现过程
1.2.6非对称密钥的数字签名验证(数据完整性)
杂凑函数的特征之一就是很难找到两个不同的输入产生相同的输出,数据的任何改动会导致杂凑后的结果不同,从而导致签名验证的失败。
因此,如果签名验证成功,接收者就可以认为数据是完整无缺的。
验证过程如图1.6所示。
图1.6数据完整性的实现过程
1.2.7协商密钥
从上面的描述中,可以看到如果用对称密钥加/解密数据时,发送方和接收方必须事先知道这对密钥。
我们可以通过打电话,写信等方式得到密钥,但是必须要保证电话和信件不被窃取。
其实,根据数论中的一些原理,两个实体间可以通过一系列对话,交换一些用来产生密钥的材料,协商出一个对称密钥,而这些材料即使泄露,也不会对产生的密钥构成威胁。
当然,这个对称密钥是不为其它的实体所知的。
1.2.8身份认证与访问控制
访问控制的例子
身份认证和访问控制是现实生活中使用最广泛的技术,最典型的例子就是每一位成年人都有自己的身份证,在承飞机、住宾馆时都需要向提供服务的单位出示自己的身份证,以证明自己的身份。
那么让我们来分析一下获取身份证、使用身份证的过程和参与的人员。
首先,要获得身份证就必须到主管部门——公安局进行注册,
过一段时间之后证件制作好证件之后,身份证的持有者到公安局领取自己的证件
领取了自己的证件之后,在使用证件的地方就需要向提供服务的单位出示自己的证件
在身份证丢失之后需要到主管部门进行证件的挂失,然后还要在公共的媒体上进行公布。
在挂失一段时间之后,需要重新申请证件
身份证都有一定的使用期限(10年/20年),证件到期之后,需要到主管部门重新换取一个新的证件。
如果在身份证的有效期内,证件持有人的住址或者姓名需要改变,那么也需要到主管部门重新申请证件。
从上述的7个步骤中我们看到一个身份认证系统涉及发证、验证者、持证者还有公共媒体作为撤销证件的发布平台。
如下图所示:
持证者首先从发证者处获得证明,然后同验证者进行交互,获得一定的权限(比如登机),这个过程包含了身份认证和访问控制。
验证者(登机检查人员)检查登机人的身份证时身份认证的过程,允许登机就是一个授权的过程也就是一个访问控制的过程。
在现实世界中使用防伪技术制作身份证,验证时参与双方通过人的视觉来辨别持证者的真伪,而在电子世界中,密码技术在身份认证和访问控制中的作用就是要模拟现实世界中各种认证手段,通过密码技术保证持证者的证件的不可伪造性,向发证机关申请身份凭证的过程的安全性,验证者验证持证者身份是要能够验证凭证的真伪等。
利用密码学技术开发的认证系统有:
Radius,Kerberos,PKI等。
PKI是目前炒作的比较多的一个概念,其实PKI就是一个凭证的管理系统,它包括许多成员:
RA,CA,LDAP,WEB等,这些成员各有用途:
RA负责验证持证者的身份,CA负责签发凭证,LDAP负责公布凭证以及撤销的凭证。
使用SSL协议的安全WEB服务器就好比是机场或者宾馆,要进入安全WEB服务器就必须出具凭证,WEB服务器要对登录者出具的凭证进行验证,验证的过程包括凭证本身是否正确,该凭证是否已经被撤销等。
其他的认证一是一样的,比如大家采用拨号上网时,首先要获得一个用户名和密码,比如买一张上网卡或者使用163/163公用帐号,然后拨号进入拨号服务器,拨号服务器要求输入用户名和密码,然后就可以进入互联网了。
如果该帐号资金用完了,那么该用户名和密码就不能通过拨号服务器的认证了,从而拨号服务器的访问控制策略就起作用了。
明白了认证和访问控制的作用和运作过程,下面就介绍一下LINUX系统用户认证和访问控制的具体实现。
1.安装系统过程中需要设置root口令,同时还可以在安装过程中添加一个普通的用户。
2.在安装完系统之后使用useradd命令增加用户,使用passwd命令设定指定用户的口令,
3.在Linux系统中,用户信息存储在/etc/passwd文件中,口令存储在/etc/shadow文件中,存储的口令是用户口令的hash值。
4.在linux系统中,采用的是自主控制的访问控制原则,
回顾一下:
1.什么是加密算法?
2.什么是密钥?
对称密钥的具体体现形式是什么?
非对称密要的具体体现形式是什么?
3.什么是对称加密算法?
什么是非对称加密算法?
4.什么是完整性保护?
5.什么是数字签名?
6.数字信封是怎么形成的?
7.什么是身份认证?
什么是访问控制?
8.身份认证同访问控制之间的关系是什么?
2.网络安全
2.1概述
网络安全同密码安全既有区别也有联系。
从目前来看,一般将网络安全定义为网络中存在的各种安全问题的一种总称,即包含传统意义上的密码安全,也包括非密码的安全。
在本文中将网络安全特指非密码的安全,以有所区别。
密码学是通过数学的方法对数据进行变换,从而达到数据的保密、完整和不可否认,而网络安全则更多是侧重于利用网络协议或者应用软件自身设计或者实现中的一些漏洞而造成系统产生后门。
目前的黑客主要就是利用系统的漏洞对系统进行的一些攻击,比如红色代码就是利用缓冲区溢出攻击方法攻击IIS服务器,从而获得WINDWOS系统的超级用户的权限,还有一个摸的着的例子就是win2000在没有装sp2时,在要求输入用户名和口令时可以通过全拼输入法进入帮助系统,从而可以进入系统的控制面板的目录,由此获得系统超级用户的权限。
在网络方面,尤其时TCP/IP网络中,网络协议本身就存在一定的安全漏洞,比如利用TCP协议的状态转移的特性发起的SYNFLOODING攻击,
网络安全同密码学的区别和联系?
在2.4节中有一个具体的网络攻击的示例。
2.2防火墙基本知识
2.2.1防火墙的概念
防火墙在内部网络和因特网之间,执行访问安全策略,建立可控连接;
防火墙确立了内部网络到外部网络的安全边界。
其目的是保护内部网络免受来自因特网的攻击,并且可以提供其他安全和审计服务。
防火墙可以是单个计算机系统也可以由两个或者多个系统组成。
图1防火墙的组成
防火墙包括几个不同的组成部分(见图1)。
●过滤器根据一定的安全策略阻断特定类型的通信传输。
●网关是一台或多台机器,提供中继服务。
网关包括应用级网关和电路级网关。
应用级网关又叫应用代理。
●驻有网关的网络称做停火区,又叫非军事区(DMZ:
DeMilitarizedZone)
●如果没有外部过滤器,则网关暴露于因特网之中,此时运行网关的系统称为堡垒主机
2.2.2防火墙的位置
传统的做法是,将防火墙安放在组织机构与外部世界之间。
但是一个大的机构可能还需要内部防火墙将安全域(securitydomain,也叫管理域(administrativedomain))隔离开来。
安全域即一组在共同管理控制之下,并具有相同安全策略和安全等级的机器。
考虑图2中的网络。
不同的阴影指出了不同的安全区。
用二极管符号表示的防火墙应该放置在各个安全域的边界上。
二极管的箭头指向外部网络。
在这种情况下,我们看到Net1不信任任何其他网络,甚至连Net2也不信任(即使Net2看来是一个内部网络,因为它直接挂在Net1上)。
图2防火墙的位置
2.2.3防火墙的特征和功能
2.2.3.1特征
1.所有从内到外和从外到内的通信都必须经过防火墙
2.只有被认可的、符合安全策略的通信才允许通过防火墙。
使用不同类型的防火墙
可以实现不同类型的安全策略。
3.防火墙一般构建在一个安全操作系统之上
2.2.3.2功能
1.防火墙定义了单个阻塞点,可以将未授权的用户的通信隔离在被保护的网络之外,
禁止潜在的易受攻击的服务进入或者离开网络。
阻塞点:
强迫数据通信使用一个可以监控的狭窄通道。
2.防火墙可以是提供其他安全功能的平台。
如计费、审计、入侵检测、告警等。
3.防火墙可以提供内容过滤功能。
内容过滤是指防火墙在http、ftp和smtp等协议层,根据过滤条件对信息流进行过滤。
过滤的主要内容包括:
URL、ht
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 普安 技术 白皮书