《信息安全概论》课件第九章 网络安全技术.ppt

1、第九章 网络安全技术o 本章介绍了网络安全中的一些常用技术手段，包括防火墙技术、入侵检测技术、安全扫描技术、内外网隔离技术、内网安全技术、反病毒技术和无线通信网络安全技术。第九章 网络安全技术o 内容提要 防火墙技术 入侵检测技术 安全扫描技术 内外网隔离技术 内网安全技术 反病毒技术 无线通信网络安全技术 小结 思考题9.1 防火墙技术 网络防火墙是一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互连设备。9.1 防火墙技术o 9.1.1 防火墙的作用o 9.1.2 防火墙技术原理o 9.1.3 防火墙的体系结

2、构o 9.1.4 基于防火墙的VPN技术9.1.1 防火墙的作用 Internet防火墙是一种装置，它是由软件或硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限,它的基本系统模型如下图所示：9.1.1 防火墙的作用 防火墙能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问，并过滤不良信息的目的。安全、管理、速度是防火墙的三大要素。9.1.1 防火墙的作用一个好的防火墙系统应具备以下三方面的条件：o 内部和外部之间的所有网络数据流必须经过防火墙。否则就失去了

3、防火墙的主要意义了。o 只有符合安全策略的数据流才能通过防火墙。这也是防火墙的主要功能审计和过滤数据。o 防火墙自身应对渗透(penetration)免疫。如果防火墙自身都不安全，就更不可能保护内部网络的安全了。9.1.1 防火墙的作用一般来说，防火墙由四大要素组成：o 安全策略是一个防火墙能否充分发挥其作用的关键。哪些数据不能通过防火墙、哪些数据可以通过防火墙；防火墙应该如何具备部署；应该采取哪些方式来处理紧急的安全事件；以及如何进行审计和取证的工作。等等这些都属于安全策略的范畴。防火墙绝不仅仅是软件和硬件，而且包括安全策略，以及执行这些策略的管理员。o 内部网：需要受保护的网。o 外部网：

4、需要防范的外部网络。o 技术手段：具体的实施技术。9.1.1 防火墙的作用 虽然防火墙可以提高内部网的安全性，但是，防火墙也有它存在的一些缺陷和不足。有些缺陷是目前根本无法解决的：o为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，但这些服务也许正是用户所需要的服务，给用户带来使用的不便。这是防火墙在提高安全性的同时，所付出的代价。o目前防火墙对于来自网络内部的攻击还无能为力。防火墙只对内外网之间的通信进行审计和“过滤”，但对于内部人员的恶意攻击，防火墙无能为力。o防火墙不能防范不经过防火墙的攻击，如内部网用户通过SLIP 或PPP 直接进入Internet。这种绕过防火墙的攻击，

5、防火墙无法抵御。o防火墙对用户不完全透明，可能带来传输延迟、瓶颈及单点失效。o防火墙也不能完全防止受病毒感染的文件或软件的传输，由于病毒的种类繁多，如果要在防火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。o防火墙不能有效地防范数据驱动式攻击。防火墙不可能对所有主机上运行的文件进行监控，无法预计文件执行后所带来的结果o作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。9.1.2 防火墙技术原理o 防火墙的技术主要有：包过滤技术、代理技术、VPN技术、状态检查技术、地址翻译技术、内容检查技术以及其他技术。1.包过滤技术o 包过滤型防火墙即在网络中的适当的位

6、置对数据包实施有选择的通过，选择依据，即为系统内设置的过滤规则（通常称为访问控制列表），只有满足过滤规则的数据包才被转发到相应的网络接口，其余数据包则被丢弃。2.代理技术o 代理技术又称为应用层网关技术。代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有一个程序。代理是企图在应用层实现防火墙的功能。代理能提供部分与传输有关的状态，能完全提供与应用相关的状态和部分传输方面的信息，代理也能处理和管理信息。3.状态检测技术o 状态检测技术是防火墙近几年才应用的新技术。传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝，基于状态

7、检测技术的防火墙不仅仅对数据包进行检测，还对控制通信的基本因素状态信息（状态信息包括通信信息、通信状态、应用状态和信息操作性）进行检测。通过状态检测虚拟机维护一个动态的状态表，记录所有的连接通信信息、通信状态，以完成对数据包的检测和过滤。4.网络地址翻译技术o NAT（Network Address Translation，网络地址翻译）的最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到互联网上的IP地址编号问题。RFC3022描述了NAT详细细节，互联网网络号分配机构（IANA，Internet Assigned Numbers Authority）规定了

8、私有IP地址空间。9.1.3 防火墙的体系结构o 在防火墙和网络的配置上，有以下四种典型结构：双宿/多宿主机模式、屏蔽主机模式、屏蔽子网模式一些混合结构模式。其中，堡垒主机是个很重要的概念。堡垒主机是指在极其关键的位置上用于安全防御的某个系统。对于此系统的安全要给予额外关注，还要进行理性的审计和安全检查。如果攻击者要攻击你的网络，那么他们只能攻击到这台主机。堡垒主机起到一个“牺牲主机”的角色。它不是绝对安全的，它的存在是保护内部网络的需要，从网络安全上来看，堡垒主机是防火墙管理员认为最强壮的系统。通常情况下，堡垒主机可作为代理服务器的平台。1.双宿/多宿主机模式o 双宿/多宿主机防火墙又称为双

9、宿/多宿网关防火墙，它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙，通常用一台装有两块或多块网卡的堡垒主机做防火墙，两块或多块网卡各自与受保护网和外部网相连。其体系结构图如图所示。这种防火墙的特点是主机的路由功能是被禁止的，两个网络之间的通信通过应用层代理服务来完成的。如果一旦黑客侵入堡垒主机并使其具有路由功能，那么防火墙将变得没用。1.双宿/多宿主机模式双宿/多宿主机模型的示意图 双宿/多宿主机Internet内部网络1内部网络22.屏蔽主机模式o 这种防火墙强迫所有的外部主机与堡垒主机相连接，而不让他们与内部主机直接连接。为了这个目的，专门设置了一个过滤路由器，通过它，把所有外部

10、到内部的连接都路由到了堡垒主机。这种体系结构中，屏蔽路由器介于Internet和内部网，是防火墙的第一道防线，如图所示。这个防火墙系统提供的安全等级比包过滤防火墙系统高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。在这一方式下，过滤路由器是否配置正确是这种防火墙安全与否的关键，如果路由表遭到破坏，堡垒主机就可能被越过，使内部网络完全暴露。被屏蔽主机体系结构示意图屏蔽主机型的典型构成o 屏蔽主机型的典型构成是包过滤路由器堡垒主机。包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。3.屏蔽子网模式o 屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但

11、添加了额外的一层保护体系周边网络，如图所示。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。增加一个周边网络的原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。并且万一堡垒主机被入侵者控制，入侵者仍不能直接侵袭内部网络，内部网络仍受到屏蔽路由器的保护。屏蔽子网结构图屏蔽子网结构图 4.混合模式o 主要是以上一些模式结构的混合使用，主要有：o(1)将屏蔽子网结构中的内部路由器和外部路由器合并o(2)合并屏蔽子网结构中堡垒主机与外部路由器o(3)使用多台堡垒主机o(4)使用多台外部路由器o(5)使用多个周边网络9.1.4 基于防火

12、墙的VPN技术o 1.VPN工作原理o 虚拟专用网指的是依靠ISP（因特网服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。1.VPN工作原理o IETF草案理解基于IP的VPN为：使用IP机制仿真出一个私有的广域网是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用因特网公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。隧道技术o VPN克

13、服这些障碍的办法就是采用了隧道技术：数据包不是公开在网上传输，而是首先进行加密以确保安全，然后由VPN封装成IP包的形式，通过隧道在网上传输。如图所示。2.基于防火墙的VPNo 基于防火墙的VPN很可能是VPN最常见的一种实现方式，许多厂商都提供这种配置类型。这并不是暗示与别的VPN相比，基于防火墙的VPN是一个较好的选择，它只是在已有的基础上再发展而已。如今很难找到一个连向因特网而不使用防火墙的公司。因为这些公司已经连到了因特网上，所需要的只是增加加密软件。很可能，如果公司刚购买了一个防火墙，往往它就有实现VPN机密技术的能力。9.2 入侵检测技术o 入侵检测系统作为一种积极主动的安全防护手

14、段，在保护计算机网络和信息安全方面发挥着重要的作用。入侵检测是监测计算机网络和系统以发现违反安全策略事件的过程。入侵检测系统（Intrusion Detection System，IDS）工作在计算机网络系统中的关键节点上，通过实时地收集和分析计算机网络或系统中的信息，来检查是否出现违反安全策略的行为和遭到袭击的迹象，进而达到防止攻击、预防攻击的目的。9.2 入侵检测技术o 9.2.1入侵检测概述o 9.2.2 IDS类型o 9.2.3 IDS基本技术9.2.1入侵检测概述o 入侵检测系统通过对网络中的数据包或主机的日志等信息进行提取、分析，发现入侵和攻击行为，并对入侵或攻击作出响应。入侵检测

15、系统在识别入侵和攻击时具有一定的智能，这主要体现在入侵特征的提取和汇总、响应的合并与融合、在检测到入侵后能够主动采取响应措施等方面，所以说，入侵检测系统是一种主动防御技术。1.IDS的产生o 国际上在20世纪70年代就开始了对计算机和网络遭受攻击进行防范的研究，审计跟踪是当时的主要方法。1980年4月，James P.Anderson为美国空军做了一份题为Computer Security Threat Monitoring and Surveillance（计算机安全威胁监控与监视）的技术报告，这份报告被公认为是入侵检测的开山之作，报告里第一次详细阐述了入侵检测的概念。他提出了一种对计算机系

16、统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据，监视入侵活动的思想。1.IDS的产生o 从1984年到1986年，Dorothy E.Denning和Peter Neumann研究并发展了一个实时入侵检测系统模型，命名为IDES（入侵检测专家系统），为构架入侵检测系统提供了一个通用的框架。o 1987年，Denning提出了一个经典的异常检测抽象模型，首次将入侵检测作为一种计算机系统安全的防御措施提出。o 1988年Morris Internet 蠕虫事件导致了许多IDS系统的开发研制。1.IDS的产生o1990年是入侵检测系统发展史上的一个分水

17、岭。这一年，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（Network Security Monitor）。NSM是入侵检测研究史上一个非常重要的里程碑，从此之后，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS。o1991年，美国空军等多部门进行联合，开展对分布式入侵检测系统（DIDS）的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品，它的检测模型采用了分层结构。o1994年，Mark Crosbie和Gene Spafford建议使用自治代理(autonomous agent

18、s)以便提高IDS的可伸缩性、可维护性、效率和容错性，该理念非常符合正在进行的计算机科学其他领域(如软件代理，software agent)的研究。o1995年开发了IDES完善后的版本NIDES(Next-Generation Intrusion Detection System)可以检测多个主机上的入侵。2.IDS功能与模型o 入侵检测就是监测计算机网络和系统以发现违反安全策略事件的过程。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。完成入侵检测功能的软件、硬件组合便是入侵检测系统。简单来说，IDS

19、包括3个部分：n 提供事件记录流的信息源，即对信息的收集和预处理；n 入侵分析引擎；n 基于分析引擎的结果产生反应的响应部件。2.IDS功能与模型o 一般来说，IDS能够完成下列活动：n 监控、分析用户和系统的活动；n 发现入侵企图或异常现象；n 审计系统的配置和弱点；n 评估关键系统和数据文件的完整性；n 对异常活动的统计分析；n 识别攻击的活动模式；n 实时报警和主动响应。2.IDS功能与模型o 为了提高IDS产品、组件及与其它安全产品之间的互操作性，美国国防高级研究计划署（DARPA）和互联网工程任务组（IETF）的入侵检测工作组（IDWG）发起制定了一系列建议草案，DARPA提出的建议

20、是通用入侵检测框架（CIDF，Common Intrusion Detection Framework），如图所示。CIDF根据IDS系统的通用的需求以及现有的IDS系统的结构，将入侵检测系统分为四个基本组件：事件产生器（Event generators）、事件分析器（Event analyzers）、响应单元（Response units）和事件数据库（Event databases）。这种划分体现了入侵检测系统所必须具有的体系结构：数据获取、数据分析、行为响应和数据管理。因此具有通用性。通用入侵检测模型 9.2.2 IDS类型o 随着入侵检测技术的发展，到目前为止出现了很多入侵检测系统，不

21、同的入侵检测系统具有不同的特征。根据不同的分类标准，入侵检测系统可分为不同的类别。按照信息源划分入侵检测系统是目前最通用的划分方法。入侵检测系统主要分为两类，即基于网络的IDS和基于主机的IDS。1.基于网络的IDSo 基于网络的入侵监测系统使用原始的网络数据包作为数据源，主要用于实时监控网络关键路径的信息，它侦听网络上的所有分组来采集数据，分析可疑现象。基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常将主机的网卡设成混乱模式，实时监视并分析通过网络的所有通信业务。当然也可能采用其它特殊硬件获得原始网络包。它的攻击识别模块通常使用四种常用技术来识别攻击标志：1.基于网络的I

22、DSo 它的攻击识别模块通常使用四种常用技术来识别攻击标志：o 模式、表达式或字节匹配o 频率或穿越阀值o 次要事件的相关性o 统计学意义上的非常规现象检测基于网络检测的优点o(1)实施成本低。o(2)隐蔽性好。o(3)监测速度快。o(4)视野更宽。o(5)操作系统无关性。o(6)攻击者不易转移证据。基于网络检测的缺点o 基于网络的入侵检测系统的主要缺点是：只能监视本网段的活动，精确度不高；在交换网络环境下无能为力；对加密数据无能为力；防入侵欺骗的能力也比较差；难以定位入侵者。2.基于主机的IDSo 基于主机的入侵检测系统通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上

23、的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。当然也可以通过其它手段从所在的主机收集信息进行分析。基于主机的入侵检测系统主要用于保护运行关键应用的服务器。基于主机IDS的优点o(1)能够检测到基于网络的系统检测不到的攻击。o(2)安装、配置灵活。o(3)监控粒度更细。o(4)监视特定的系统活动。o(5)适用于交换及加密环境。o(6)不要求额外的硬件。基于主机入侵检测的缺点o 占用主机的资源，在服务器上产生额外的负载；缺乏平台支持，可移植性差，应用范围受到严重限制，例如，在网络环境中,某

24、些活动对于单个主机来说可能构不成入侵,但是对于整个网络是入侵活动.例如“旋转门柄”攻击,入侵者企图登录到网络主机,他对每台主机只试用一次用户ID和口令,并不进行暴力口令猜测,如果不成功,便转向其它主机.对于这种攻击方式,各主机上的入侵检测系统显然无法检测到,这就需要建立面向网络的入侵检测系统.9.2.3 IDS基本技术o 1.误用检测o 误用检测最适用于已知使用模式的可靠检测，这种方法的前提是入侵行为能按照某种方式进行特征编码。如果入侵者攻击方式恰好匹配上检测系统中的模式库，则入侵者即被检测到。入侵特征描述了安全事件或其它误用事件的特征、条件、排列和关系。误用入侵检测模型 模式库模式匹配攻击者

25、警报2.异常检测o 异常检测的前提是异常行为包括入侵行为。最理想情况下，异常行为集合等同于入侵行为集合，但事实上，入侵行为集合不可能等同于异常行为集合，有4 种行为：行为是入侵行为，但不表现异常；行为是入侵行为，且表现异常；行为不是入侵行为，却表现异常；行为既不是入侵行为，也不表现异常。2.异常检测 异常活动集与入侵活动集之间的关系如下图所示：入侵检测技术o 入侵检测系统是一种主动防御技术。由于现在针对系统和网络的入侵行为越来越多，因此入侵检测系统的应用越来越广泛。入侵检测作为传统计算机安全机制的补充，它的开发应用增大了网络与系统安全的保护纵深，成为目前动态安全工具的主要研究和开发方向。o 随

26、着系统漏洞不断被发现，攻击不断发生，入侵检测系统在整个安全系统中的地位不断提高，所发挥的作用也越来越大。9.3 安全扫描技术o 安全扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措施，从而降低系统的安全风险而发展起来的一种安全技术。利用扫描技术，可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，系统管理员可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可能导致攻击的安全漏洞。扫描技术是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为，并对结果进行分析。扫描技术与

27、防火墙、安全监控系统互相配合就能够为网络提供很高的安全性。9.3 安全扫描技术o 9.3.1 安全扫描技术概述o 9.3.2 端口扫描和漏洞扫描o 9.3.3 安全扫描器的原理和结构9.3.1 安全扫描技术概述o 安全扫描技术也称为脆弱性评估(vulnerability assessment)，其基本原理是采用模拟黑客攻击的方式对目标可能存在的已知安全漏洞进行逐项检测，可以对工作站、服务器、交换机、数据库等各种对象进行安全漏洞检测。发现漏洞，有两个不同的出发点。一方面，从攻击者的角度，他们会不断地去发现目标系统的安全漏洞，从而通过漏洞入侵系统。另一方面，从系统安全防护的角度来看，要尽可能发现可

28、能存在的漏洞，在被攻击者发现、利用之前就将其修补好。这促使了安全扫描技术的进一步发展。第一个扫描器War Dialer 早在20世纪80年代，当时网络还没有普及开来，上网的好奇心驱使很多的年轻人通过Modem拨号进入到Unix系统中。这时候的攻击手段需要大量的手工操作。这种纯粹的手工劳动不仅费时费力，而且对操作者的编程能力和经验提出了很高的要求。在这种情况下出现了第一个扫描器War Dialer，它采用几种已知的扫描技术实现了自动扫描，并且以统一的格式记录下扫描的结果。发展历史发展历史 传奇人物Chris Klaus(一)1992年，计算机科学系学生Chris Klaus在做Internet安

29、全试验时编写了一个扫描工具ISS(Internet security scanner)，ISS是Internet上用来进行远程安全评估扫描的最早的工具之一，它能识别出几十种常见的安全漏洞，并将这些漏洞做上标记以便日后解决。虽然有些人担心该工具的强大功能可能会被用于非法目的，但多数管理员对这个工具却很欢迎。发展历史发展历史发展历史发展历史传奇人物Chris Klaus(二)Chris Klaus说说:ISS项目使我开始对计算项目使我开始对计算机安全产生了浓厚的兴趣。令我感到惊讶的是，机安全产生了浓厚的兴趣。令我感到惊讶的是，许多机器的安全保护都做的很好，但有一个域内许多机器的安全保护都做的很好，

30、但有一个域内的机器却有明显的漏洞，任何人都可以通过这些的机器却有明显的漏洞，任何人都可以通过这些漏洞入侵到这台计算机上，并进而访问这个域内漏洞入侵到这台计算机上，并进而访问这个域内的其他计算机。的其他计算机。发展历史发展历史 传奇人物Chris Klaus(三)Chris Klaus产品的原始版本“互联网安全扫瞄仪”还是以共享软件的形式出现的。由于一家意大利公司出1000美元买他的代码，使Klaus意识到了其中的商业价值。他花钱为ISS买了商业许可证，然后退了学。借助Chris Klaus开发共享软件时的牛仔气，ISS的软件打了一个好底子。在这个基础上，ISS公司的努力得到了风险投资家的青睐，

31、终于走上坦途。传奇人物Chris Klaus(四)Chris Klaus创办了互联网安全系统公司（ISS），是ASAP 100的最年轻的一位亿万富翁，拥有1.87亿财富。有人这样描绘ISS：“曾经是高明的黑客，转而研究黑客，研制出更高明的检测黑客入侵的系统漏洞产品是ISS公司创业者的经历”。发展历史发展历史发展历史发展历史 传奇人物Chris Klaus(五)ISS公司据说至今仍与美国社会上的“黑客”有着广泛联系，“黑客”向ISS公司透 露他们新的攻击方法，ISS公司则向美国政府汇报“黑客”的动向，同时ISS公司根据协 议将他们的研究情况通报有关公司，促使其系统安全的改进。据了解，ISS公司还

32、与其它 系统安全公司有密切合作，这些公司包括美国国家计算机安全协会、美国网络紧急事务 响应小组以及以色列的RSA公司等。Dan Farmer（一）1995年4月，Dan Farmer（写过网络安全检查工具COPS）和Wietse Venema（TCP_Wrapper的作者）发布了SATAN(security administrator tool for analyzing networks，安全管理员的网络分析工具)，引起了轰动。发展历史发展历史 Dan Farmer（二）SATAN本质上与ISS相同，但更加成熟。并在界面上实现了突破，从命令行走向图形界面(使用HTML界面)，SATAN基于W

33、eb的界面，并能进行分类检查。当时许多人甚至担心SATAN的发布会给internet带来混乱。发展历史发展历史发展历史发展历史 Dan Farmer（三）奇怪的是，Farmer因为SATAN丢掉了他在SGI的工作，然而Klaus却利用ISS创办了一个拥有几百万资产的网络安全公司Internet Security Systems(ISS)。从那时起，安全评估技术就得了不断的发展并日趋成熟。今天，业界已经出现了十几种扫描器，每种都有其优点，也有其弱点；但自从ISS和SATAN问世以来，相关的基本理论和基本概念却没有改变多少。发展历史发展历史 安全扫描器是一个对扫描技术进行软件化、自动化实现的工具，

34、更确切地说，是一种通过收集系统的信息来自动检测远程或者本地主机安全性脆弱点的程序。功能功能 扫描技术的主要体现在对安全扫描器的使用方面。安全扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。通过使用安全扫描器，可以了解被检测端的大量信息，例如，开放端口、提供的服务、操作系统版本、软件版本等。安全扫描器会根据扫描结果向系统管理员提供周密可靠的安全性分析报告。功能功能功能功能 一般来说，安全扫描器具备下面的功能：1、信息收集 信息收集是安全扫描器的主要作用，也是安全扫描器的价值所在。信息收集包括远程操作系统识别、网络结构分析、端口开放情况以及其他敏感信息收集等。功能功能 2、漏洞检

35、测 漏洞检测是漏洞安全扫描器的核心功能，包括已知安全漏洞的检测、错误的配置检测、弱口令检测。功能功能 在网络安全体系的建设中，安全扫描工具具有花费低、效果好、见效快、使用方便等优点。一个优秀的安全扫描器能对检测到的数据进行分析，查找目标主机的安全漏洞并给出相应的建议。分类 到目前为止，安全扫描技术已经发展到很成熟的地步。安全扫描技术主要分为两类：基于主机和基于网络的安全扫描技术。相应地对安全扫描器分为以下两类：1.主机型安全扫描器；2.网络型安全扫描器。分类 1.主机型安全扫描器；主机型安全扫描器用于扫描本地主机，查找安全漏洞，查杀病毒、木马、蠕虫等危害系统安全的恶意程序，主要是针对操作系统的

36、扫描检测，通常涉及系统的内核、文件的属性、操作系统的补丁等问题，还包括口令解密等。分类 2.网络型安全扫描器。网络型安全扫描器通过网络来测试主机安全性，它检测主机当前可用的服务及其开放端口，查找可能被远程试图恶意访问者攻击的大量众所周知的漏洞、隐患及安全脆弱点。分类 安全扫描是一个比较综合的过程，包括以下几个方面：1.找到网络地址范围和关键的目标机器IP地址，发现因特网上的一个网络或者一台主机；2.找到开放端口和入口点，发现其上所运行的服务类型；3.能进行操作系统辨别、应用系统识别；4.通过对这些服务的测试，可以发现存在的已知漏洞，并给出修补建议 按照上面的扫描过程的不同方面，扫描技术又可分为

37、4大类：1.ping扫描技术；2.端口扫描技术；3.操作系统探测扫描技术；4.已知漏洞的扫描技术。在上面的4种安全扫描技术中，端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术，目前许多安全扫描器都集成了端口和漏洞扫描的功能 分类9.3.2 端口扫描和漏洞扫描 对目标计算机进行端口扫描，能得到许多有用的信息。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。它使系统用户了解系统目前向外界提供了哪些服务，从而为系统用户管理网络提供了一种手段。一个端口就是一个潜在的通信通道，也就是一个入侵通道。端口扫描技术是一项自动探测本地和远程系统端口开放情况的策略及方法。端口扫描技术的原

38、理是端口扫描向目标主机的 TCP/IP服务端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭，就可以得知端口提供的服务或信息。9.3.2 端口扫描和漏洞扫描 端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据包来监视本地主机的运行情况，它通过对接收到的数据进行分析，帮助我们发现目标主机的某些内在的弱点。端口扫描技术可以分为许多类型，按照按端口连接的情况主要可分为全连接扫描、半连接扫描、秘密扫描和其他扫描。9.3.2 端口扫描和漏洞扫描 漏洞扫描技术的原理是主要通过以下两种方法来检查目标主机是否存在漏洞：o 一是在端口扫描后得知目标主机开启的端口以及端口上的

39、网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在。o 二是通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。漏洞扫描技术及原理漏洞扫描技术及原理 基于网络系统漏洞库，漏洞扫描大体包括 CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。这些漏洞扫描是基于漏洞库，将扫描结果与漏洞库相关数据匹配比较得到漏洞信息；漏洞扫描还包括没有相应漏洞库的各种扫描，比如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPENreply邮件转发漏洞探

40、测等，这些扫描通过使用插件（功能模块技术）进行模拟攻击，测试出目标主机的漏洞信息。漏洞扫描技术及原理漏洞扫描技术及原理 基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞库。通过采用基于规则的匹配技术，即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验，可以形成一套标准的网络系统漏洞库，然后再在此基础之上构成相应的匹配规则，由扫描程序自动地进行漏洞扫描的工作。漏洞扫描技术及原理漏洞扫描技术及原理 现有的安全隐患扫描系统基本上是采用上述的两种方法来完成对漏洞的扫描，但是这两种方法在不同程度上也各有不足之处。一是关于系统配置规则库问题。二是关于漏洞库

41、信息的要求。漏洞扫描技术及原理漏洞扫描技术及原理 系统配置规则库问题 网络系统漏洞库是基于漏洞库的漏洞扫描的核心所在，但是，如果规则库设计得不准确，预报的准确度就无从谈起；它是根据已知的安全漏洞进行安排和策划的，而对网络系统的很多危险的威胁却是来自未知的漏洞，这样，如果规则库更新不及时，预报准确度也会逐渐降低；受漏洞库覆盖范围的限制，部分系统漏洞也可能不会触发任何一个规则，从而不被检测到。系统配置规则库应能不断地被扩充和修正，这也是对系统漏洞库的扩充和修正。漏洞扫描技术及原理漏洞扫描技术及原理 漏洞库信息的要求 漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。如果漏洞库信息不全面或得不

42、到即时的更新，不但不能发挥漏洞扫描的作用，还会给系统管理员以错误的引导，从而对系统的安全隐患不能采取有效措施并及时消除。所以，漏洞库信息不但应具备完整性和有效性，也应具有简易性的特点，这样即使是用户自己也易于对漏洞库进行添加配置，从而实现对漏洞库的即时更新，有利于以后对漏洞库的更新升级。漏洞扫描技术及原理漏洞扫描技术及原理9.3.3 安全扫描器的原理和结构o 1.安全扫描器的原理o 安全扫描器发展到现在，已经从初期的功能单一、结构简单的系统，发展到目前功能众多、结构良好的综合系统。虽然不同的扫描器功能和结构差别比较大，但是其核心原理是相同的。9.3.3 安全扫描器的原理和结构o(1)主机型安全

43、扫描器o 主机型安全扫描器主要是针对操作系统的扫描检测，通常涉及系统的内核、文件的属性、操作系统的补丁等问题，还包括口令解密等。主机型安全扫描器通过扫描引擎以root身份登录目标主机（也就是本扫描引擎所在的主机），记录系统配置的各项主要参数，在获得目标主机配置信息的情况下，一方面可以知道目标主机开放的端口以及主机名等信息；另一方面将获得的漏洞信息与漏洞特征库进行比较，如果能够匹配则说明存在相应的漏洞。9.3.3 安全扫描器的原理和结构o(2)网络型安全扫描器o 网络型安全扫描器是针对远程网络或者主机的端口、开放的服务以及已知漏洞等。主控台可以对网络中的服务器、路由器以及交换机等网络设备进行安全

44、扫描。对检测的数据进行处理后，主控台以报表形式呈现扫描结果。网络型安全扫描器利用TCP/IP、UDP以及ICMP协议的原理和缺点，扫描引擎首先向远端目标发送特殊的数据包，记录返回的响应信息，然后与已知漏洞的特征库进行比较，如果能够匹配，则说明存在相应的开放端口或者漏洞。此外，还可以通过模拟黑客的攻击手法，对目标主机系统发送攻击性的数据包。2.安全扫描器的结构o 目前许多安全扫描器都集成了端口和漏洞扫描的功能，下面首先从体系结构上看主机型安全扫描器和网络型安全扫描器两类安全扫描器的结构特点。2.安全扫描器的结构o(1)主机型安全扫描器o 主机型安全扫描器主要是由两部分组成，即管理端和代理端。其中

45、管理端（manager）管理各个代理端，具备向各个代理端发送扫描任务指令和处理扫描结果的功能；而代理端（agent）是采用主机扫描技术对所在的被扫描目标进行检测，收集可能存在的安全状况。o 主机型安全扫描器一般采用Client/Server的构架，其扫描过程是：首先在需要扫描的目标主机上安装代理端，然后由管理端发送扫描开始命令给各代理端，各代理端接收到命令后执行扫描操作，然后把扫描结果传回给管理端分析，最后管理端把分析结果以报表方式给出安全漏洞报表。2.安全扫描器的结构o（2）网络型安全扫描器o 网络型安全扫描器也主要由两部分组成，即扫描服务端和管理端，其中服务端是整个扫描器的核心，所有的检测

46、和分析操作都是它发起的；而管理端的功能是提供管理的作用以及方便用户查看扫描结果。o 网络型安全扫描器一般也采用Client/Server的架构：首先在管理端设置需要的参数以及制定扫描目标；然后把这些信息发送给扫描器服务端，扫描服务端接收到管理端的扫描开始命令后即对目标进行扫描；此后，服务端一边发送检测数据包到被扫描目标，一边分析目标返回的响应信息，同时服务端还把分析的结果发送给管理端。目前的网络安全扫描技术仍然有许多不完善的地方，随着这种技术的不断发展，它应普遍具有以下3个方向。(1)高速化。网络的迅速发展带来系统内部网络系统规模的扩大，为系统管理员保障本系统的安全提出了更高的要求。面对大规模

47、的网络系统要实施全面的扫描，使用高速的网络扫描技术非常重要。安全扫描技术的发展趋势安全扫描技术的发展趋势 (2)智能化。目前的网络扫描技术尚不具有扫描任意端口服务的能力；而且在检测系统漏洞时所用的漏洞库及匹配规则，需要依据专家和系统管理员的实际经验形成；对网络的安全状况缺乏整体的评估，随着计算机技术和智能处理技术的发展，扫描技术也向智能化的方向发展。安全扫描技术的发展趋势安全扫描技术的发展趋势 (3)标准化。不同的扫描工具，不同的漏洞库之间应能共享统一标准的漏洞库数据。当前的CVE就是基于这个目的提出的一个漏洞库数据标准。标准的使用以及与扫描代码的分离，能使扫描用户更方便更有效地更新扫描工具。

48、安全扫描技术的发展趋势安全扫描技术的发展趋势9.4 内外网物理隔离技术内外网物理隔离技术 所谓物理隔离，是指内部网络与外部网络在物理上没有相互连接的通道，两个系统在物理上完全独立。要实现公众信息网（外部网）与内部网络物理隔离的目的，必须保证做到以下几点：（1）在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网；同时防止内部网信息通过网络连接泄漏到外部网。（2）在物理辐射上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。（3）在物理存储上隔断两个网络环境，对于断电后会逸失信息的部件，要在网络转换时作清除处理，防止残留信息串网；对于断电非逸失性存储设备，内

49、部网与外部网信息要分开存储。9.4 内外网物理隔离技术内外网物理隔离技术o 9.4.1用户级物理隔离o 9.4.2网络级物理隔离o 9.4.3 单硬盘物理隔离系统9.4.1 用户级物理隔离用户级物理隔离 用户级物理隔离技术自出现至今已经过多次演变，不断的发展成熟。目前已经经历三个发展阶段：第一阶段，主要是双机物理隔离系统。第二阶段，主要采用双硬盘物理隔离系统。第三阶段，主要采用单硬盘物理隔离系统。9.4.2 网络级物理隔离网络级物理隔离1.1.隔离集线器隔离集线器 从内部结构来讲，隔离集线器相当于内网和外网两个集线器的集成。7个网络端口（以8口集线器为例，不计Uplink端口）的每一个都可以通

50、过电子开关进行切换，从而连接到内网和外网两者之一。如下图所示。2.因特网信息转播服务器因特网信息转播服务器 因特网资源转播服务器是一种非实时的因特网访问方式。它的基本功能框图如下图所示。Internet内部网转播服务器状态转换开关采集服务器信息转播服务器3.隔离服务器隔离服务器 隔离服务器是目前比较新的物理隔离技术，一些厂商将其称为“第四代物理隔离技术”。隔离服务器的基本功能框图如下图所示。9.4.3 单硬盘物理隔离系统单硬盘物理隔离系统 单硬盘物理隔离系统的设计目标是：在一块硬盘上，将硬盘分成两个独立的分区，同时，通过对硬盘读写地址的监视及控制，使两个分区的内容完全独立，不能够相互访问。使用