Internet服务安全技术

Internet服务安全技术4、Internet服务安全技术Internet服务安全技术教学目标 没有安全的服务就没有安全的Internet 就Internet服务而言，主要由运行承载服务的网络服务器操作系统和具体执行的各类服务（ 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ）组成 重点是以网络服务器操作系统及基本服务为核心的Internet服务安全技术Internet服务安全技术要点内容 服务器操作系统安全概述 WindowsServer2003/2008安全技术 Linux/UNIX安全技术 FTP安全、E-mail安全、Web安全 DHCP与DNS服务安全技术Internet服务安全技术能力要求 掌握服务器操作系统安全、Internet服务安全的基本概念 了解WindowsServer2003/2008、Linux/UNIX、DHCP与DNS服务、IPv4/IPv6的基本安全漏洞及相关安全防范策略 能分析FTP、E-mail、Web的基本安全问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 ，会应用基本的相关安全防范操作Internet服务安全技术4.1服务器操作系统安全概述 只有立足于服务器操作系统，从造成信息安全问题的源头抓起，才能构筑全面高效的安全防护系统 如果说一个操作系统是安全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息Internet服务安全技术4.1服务器操作系统安全概述 操作系统的安全包含两层意思： 操作系统在 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 时通过权限访问控制、信息加密性保护、完整性鉴定等一些机制实现的安全 操作系统在使用中，通过一系列的配置，保证操作系统尽量避免由于实现时的缺陷或应用环境因素产生的不安全因素Internet服务安全技术服务器操作系统的安全漏洞 没有一款网络服务器操作系统是完全可靠的，它们总是存在各种各样的安全漏洞 实际上，根据目前的软件设计水平和开发工具，要想绝对避免软件漏洞是不可能的 网络服务器操作系统作为一种系统软件，在设计和开发过程中造成这样或那样的缺陷，埋下一些安全隐患，使黑客有机可乘，也是可以理解的 软件质量决定了软件的安全性Internet服务安全技术服务器操作系统安全特点 一方面，由于操作系统的代码庞大，从而存在安全漏洞；另一方面，管理员或使用人员对复杂的操作系统和安全机制了解不够、配置不当也会造成安全隐患 除了增加安全补丁之外，还需建立一套对系统的监控系统，并建立和实施有效的用户口令和访问控制等制度 Internet服务安全是一个系统工程，操作系统安全只是其中的一层，还需要其他环节的配合，如防火墙、杀毒软件、加密产品等配合使用，才能达到Internet服务安全Internet服务安全技术4.2Windows03/08安全技术 微软一直以在操作系统中捆绑许多额外特性而著称，这些额外特性大多数是以默认的服务访问权限进行安装的 03起打破了这种传统的模式，使得在默认情况下能够运行的二十多种服务被关闭或者使其以更低的权限运行Internet服务安全技术2003的安全特性 主要有连接防火墙、授权执行机制、无线网络的安全强化、安全凭证及SSL、EFS等方面 同时启用了安全模板，使得安全配置和管理变得容易理解、操作和简单Internet服务安全技术2003的安全配置 物理安全 停用Guest账号 限制用户数量 多个管理员账号 Administrator账号改名 陷阱账号 安全密码 防病毒软件 备份安全Internet服务安全技术2008的安全特性 增加了Web工具、虚拟化技术、安全性的强化及管理公用程序，提供稳固的网络服务器操作系统基础 通过政策驱动安全特征，提供改善的可管理性以及安全策略。简化的管理界面允许管理员轻松控制安全以及与功能相关的政策，提高安全同时减少管理时间Internet服务安全技术2008安全策略 高级安全Windows防火墙 网络访问保护策略NPS 应用程序控制策略AppLockerInternet服务安全技术4.3Linux/UNIX安全技术 Linux有两个特点：一是它免费提供源码，二是爱好者可以按照自己的需要自由修改、复制和发布程序的源码，并公布在Internet上 由于可以得到源码，所以内部逻辑可见，这样就可以准确地查明故障原因，及时采取相应对策。同时，这也使得用户容易根据操作系统的特点构建安全保障系统，不会由于不了解不公开源码的“黑盒子”式的系统预留的什么“后门”而受到意外的打击。Internet服务安全技术Linux系统安全技术 入侵检测技术 加密文件系统 安全审计 强制访问控制 防火墙Internet服务安全技术Linux系统安全加固 只开放所需要的服务，关闭所有不需要的服务。对外提供的服务越少，所面临的外部威胁越小 将所需的不同服务分布在不同的主机上，这样不仅提高系统的性能，同时便于配置和管理，减小系统的安全风险Internet服务安全技术Linux系统安全加固 安装：使系统处于单独（或隔离）的网络中，以防止未受保护的系统连接到其他网络或互联网中受到可能的攻击，安装完成后将下面软件卸载： Pump、apmd、lsapnptools、redhat-logos、mt-st、kernel-pcmcia-cs、Setserial、redhat-relese、eject、linuxconf、kudzu、gd、bc、getty_ps、raidtools、pciutils、mailcap、setconsole、gnupgInternet服务安全技术Linux系统安全加固 用户账号 系统设置 文件系统Internet服务安全技术4.4Internet服务安全概述 Internet服务安全事件年平均增长率为16%，其中的48%属于非授权应用（44%来源于内部人员的非授权应用），25%定性为拒绝服务攻击（24%报告称由于被外部攻击所致），18%为盗用私密信息（15%属于财务机密信息）；接入Internet机构所受攻击事件年平均增长率为7%Internet服务安全技术Internet服务安全隐患 Internet服务是一个开放的、无控制管理机构的网络 TCP/IP通信协议缺乏使传输过程中的信息不被窃取的安全措施 病毒通过Internet服务传播给上网用户带来极大的危害 通信业务使用Linux系统支持，系统存在的安全脆弱问题直接影响安全服务；在应用层支持的服务协议是凭君子协定来维系；电子邮件存在着被拆看、误投和伪造的可能性Internet服务安全技术TCP/IP协议对Internet安全威胁 SYN泛洪攻击 IP欺骗 TCP序列号预测 TCP会话挟持 RST和FIN攻击 PingofDeathInternet服务安全技术4.5FTP安全 一方面是协议自身的安全问题以及用户如何进行安全防范；另一方面是协议在安全功能方面怎样扩展Internet服务安全技术FTP安全问题及防范措施 代理FTP与跳转攻击 有限访问与地址盗用 用户名、密码与强力密码猜测 端口分配与端口盗用Internet服务安全技术4.6E-mail安全AClient@aServer.comBClient@bServer.comPOP3SMTPInternetSMTPaServer.combServer.comInternet服务安全技术E-mail安全问题 电子邮件窃取 电子邮件炸弹 电子邮件病毒Internet服务安全技术E-mail安全技术 成熟的端到端的全程的安全电子邮件技术 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 主要有PGP和S/MIME PGP（PrettyGoodPrivacy）是一种长期在学术圈和技术圈内得到广泛使用的安全邮件标准，其特点是通过单向散列算法对邮件内容进行签名，以保证信件内容无法修改，使用公钥和私钥技术保证邮件内容保密且不可否认Internet服务安全技术E-mail安全技术 OE安全电子邮件技术 设置标识密码 记住邮箱密码功能 采用规则过滤功能 其他安全设置Internet服务安全技术4.7Web安全ServerSQLServerHTTPHTTPInternetIntranetBrowserBrowserBrowserWebServer(IIS)Internet服务安全技术Web客户端安全 清除上网 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 禁用Cookie与阻止弹出窗口 安全设置 恢复IE默认页的设置功能Internet服务安全技术Web服务器安全—IIS6.0安全配置 启用内容过期 内容分级设置 安全认证 IP地址及域名限制 停止、启动和暂停站点服务Internet服务安全技术4.8DHCP服务安全DHCPClientInternetSwitchA（DHCPSnooping）SwitchB（DHCPRelay）DHCPServerInternet服务安全技术4.8DHCP服务安全 DHCP服务的不安全因素，主要有DHCP中继和DHCPSnooping两种，通过运行在网络层的DHCP中继的安全功能，或运行在数据链路层的DHCPSnooping的安全功能来监听DHCP报文，记录服务器分配给客户端的IP地址等配置信息Internet服务安全技术DHCP服务安全防范 DHCP服务欺骗攻击 ARP“中间人”攻击  IP/MAC欺骗攻击  DHCP报文泛洪攻击Internet服务安全技术4.8 DNS服务安全 DNS：DomainNameSystem，是一种组织成域层次结构的计算机和网络服务命名系统，存在以下缺陷： 单点故障，FullyQualifiedDomainName，FQDN 无认证机制 DNS本身漏洞 缓存中毒 信息泄露 不安全的动态更新Internet服务安全技术DNS服务安全措施 使用DNS转发器 使用只缓冲DNS服务器 使用DNS广告者、解析者 保护DNS不受缓存污染 使DNS只用安全连接 禁用区域传输 使用防火墙来控制DNS访问 在DNS注册表中建立访问控制 在DNS文件系统入口设置访问控制Internet服务安全技术4.9IPv4/IPv6过渡安全 IPv4/IPv6过渡 IPv6与IPv4协议兼容，像一般的软件升级一样能在Internet设备上进行升级安装 满足IP地址不足之需 提升网络安全 IPv4/IPv6过渡途径 双栈协议技术 隧道技术 地址/协议转换技术Internet服务安全技术过渡技术 双栈协议技术 双栈协议主机上既有IPv4又有IPv6，在双协议栈结构中必须同时考虑IPv4和IPv6的安全性，一种协议的漏洞往往会殃及另一种，这使得网络存在着不确定的安全隐患，给恶意用户提供了更多的攻击机会Internet服务安全技术过渡技术 隧道技术 隧道技术是将IPv6的数据包封装入IPv4中，将隧道入口和出口的IPv4地址作为IPv4分组的源地址和目的地址，从而实现IPv6数据包的传输。但是，将IPv6协议封装在IPv4协议的数据包中会使得过滤分组的安全机制失效，攻击者可以建立由IPv6到IPv4的隧道，绕过防火墙对IPv4进行攻击Internet服务安全技术过渡技术 地址/协议转换技术 协议转换技术（NAT-PT）通过与SIIT协议转换和IPv4下的动态地址翻译（NAT）以及适当的应用层网关（ALG）相结合，利用转换网关在IPv4和IPv6网络之间转换IP报头的地址，同时根据协议不同对分组做相应的语义翻译，就能使纯IPv4和纯IPv6站点之间透明通信 NAT-PT的优点是不需要进行IPv4、IPv6结点的升级改造 缺点是NAT-PT与IPv6中IPSec存在兼容性问题，使得IPv4结点与IPv6结点之间的安全通信存在威胁