网络安全技术基础(下).ppt

网络安全技术基础 下 2 本讲概要 本讲主要阐述目前最常用的信息安全技术和信息安全产品 内容包括了 防火墙入侵检测VPN漏洞评估 本讲涉及内容宽泛 领域众多 讲师根据学员情况做好课时安排 本讲总课时建议为4 6课时 3 本讲学习目标 通过本讲学习 学员应该掌握 各类信息安全技术的概念 用途 部署方式防火墙的分类 原理 结构和用途入侵检测产品的工作原理和分类VPN的分类和用途漏洞评估的概念和意义 一 防火墙技术 5 防火墙产品 防火墙的基本概念防火墙的主要技术防火墙的用途防火墙的弱点防火墙的体系结构防火墙的构筑原则防火墙产品 本节将分以下几部分介绍网络防火墙 6 防火墙的基本概念 防火墙是一种高级访问控制设备 是置于不同网络安全域之间的一系列部件的组合 是不同网络安全域间通信流的唯一通道 能根据企业有关安全政策控制 允许 拒绝 监视 记录 进出网络的访问行为 7 防火墙的用途 控制对网点的访问和封锁网点信息的泄露能限制被保护子网的泄露具有审计作用能强制安全策略 8 防火墙不能防备病毒防火墙对不通过它的连接无能为力防火墙不能防备内部人员的攻击限制有用的网络服务防火墙不能防备新的网络安全问题 防火墙的弱点 9 形形色色的防火墙 10 防火墙的分类方法 11 单机防火墙VS网络防火墙 12 软件防火墙VS硬件防火墙 13 防火墙设备外观与结构 14 防火墙的主要技术 应用层代理技术 ApplicationProxy 包过滤技术 PacketFiltering 状态包过滤技术 StatefulPacketFiltering 防火墙的主要技术种类 15 数据包 数据包 查找对应的控制策略 拆开数据包 根据策略决定如何处理该数据包 分组过滤判断信息 数据包 防火墙的主要技术 包过滤技术的基本原理 数据包 16 数据包 数据包 查找对应的控制策略 拆开数据包 根据策略决定如何处理该数据包 数据包 防火墙的主要技术 状态检测包过滤技术的基本原理 数据包 分组过滤判断信息 状态检测 控制策略 17 数据包 数据包 查找对应的控制策略 拆开数据包 根据策略决定如何处理该数据包 数据包 防火墙的主要技术 应用层代理技术的基本原理 数据包 分组过滤判断信息 应用代理判断信息 控制策略 18 防火墙的体系结构 筛选路由器双网主机屏蔽主机屏蔽子网 防火墙可以设置成不同的体系结构 提供不同级别的安全 常见的体系结构有 19 防火墙的体系结构 内部网 外部网 筛选路由器式体系结构 包过滤 筛选路由器 20 防火墙的体系结构 双网主机式体系结构 双网主机插有两块网卡 分别连接到内网和外网 防火墙内 外的系统均可以与双网主机进行通信 但防火墙两边的系统之间不能直接进行通信 使用此结构 必须关闭双网主机上的路由分配功能 21 防火墙的体系结构 屏蔽主机式体系结构 Internet 堡垒主机 防火墙 屏蔽路由器 22 防火墙的体系结构 屏蔽子网式体系结构 Internet 堡垒主机 屏蔽路由器 屏蔽路由器 周边网络 23 防火墙的构筑原则 构筑防火墙要从以下几方面考虑 体系结构的设计安全策略的制定安全策略的实施 24 防火墙的性能指标 25 主流防火墙产品 二 虚拟局域网 VLAN 27 VLAN的定义VLAN VirtualLocalAreaNetwork 又称虚拟局域网 是指在交换局域网的基础上 采用网络管理软件构建的可跨越不同网段 不同网络的端到端的逻辑网络 一个VLAN组成一个逻辑子网 即一个逻辑广播域 它可以覆盖多个网络设备 允许处于不同地理位置的网络用户加入到一个逻辑子网中 组建VLAN的条件VLAN是建立在物理网络基础上的一种逻辑子网 因此建立VLAN需要相应的支持VLAN技术的网络设备 当网络中的不同VLAN间进行相互通信时 需要路由的支持 这时就需要增加路由设备 要实现路由功能 既可采用路由器 也可采用三层交换机来完成 什么是VLAN 28 从技术角度讲 VLAN的划分可依据不同原则 一般有以下三种划分方法 1 基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组 这是最简单 最有效的划分方法 该方法只需网络管理员对网络设备的交换端口进行重新分配即可 不用考虑该端口所连接的设备 2 基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符 每一块网卡的MAC地址都是惟一且固化在网卡上的 MAC地址由12位16进制数表示 前8位为厂商标识 后4位为网卡标识 网络管理员可按MAC地址把一些站点划分为一个逻辑子网 3 基于路由的VLAN划分路由协议工作在网络层 相应的工作设备有路由器和路由交换机 即三层交换机 该方式允许一个VLAN跨越多个交换机 或一个端口位于多个VLAN中 划分VLAN的基本策略 29 1 控制广播风暴一个VLAN就是一个逻辑广播域 通过对VLAN的创建 隔离了广播 缩小了广播范围 可以控制广播风暴的产生 2 提高网络整体安全性通过路由访问列表和MAC地址分配等VLAN划分原则 可以控制用户访问权限和逻辑网段大小 将不同用户群划分在不同VLAN 从而提高交换式网络的整体性能和安全性 3 网络管理简单 直观对于交换式以太网 如果对某些用户重新进行网段分配 需要网络管理员对网络系统的物理结构重新进行调整 甚至需要追加网络设备 增大网络管理的工作量 而对于采用VLAN技术的网络来说 一个VLAN可以根据部门职能 对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段 在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动 利用虚拟网络技术 大大减轻了网络管理和维护工作的负担 降低了网络维护费用 在一个交换网络中 VLAN提供了网段和机构的弹性组合机制 VLAN的作用 30 三层交换 也称多层交换技术 或IP交换技术 是相对于传统交换概念而提出的 众所周知 传统的交换技术是在OSI网络标准模型中的第二层 数据链路层进行操作的 而三层交换技术是在网络模型中的第三层实现了数据包的高速转发 简单地说 三层交换技术就是 二层交换技术 三层转发技术 三层交换技术的出现 解决了局域网中网段划分之后 网段中子网必须依赖路由器进行管理的局面 解决了传统路由器低速 复杂所造成的网络瓶颈问题 三层交换原理它是将路由技术与交换技术合二为一的技术 三层交换机在对第一个数据流进行路由后 会产生一个MAC地址与IP地址的映射表 当同样的数据流再次通过时 将根据此表直接从二层通过而不是再次路由 从而消除了路由器进行路由选择而造成网络的延迟 提高了数据包转发的效率 消除了路由器可能产生的网络瓶颈问题 可见 三层交换机集路由与交换于一身 在交换机内部实现了路由 提高了网络的整体性能 三层交换机分类1 基于纯硬件 ASIC 2 基于软件的 什么是三层交换 31 VLAN环境示意 三 入侵检测系统 IDS 33 入侵检测系统 IDS 关于入侵检测系统 我们将就以下部分进行学习 IDS简介IDS分类IDS作用IDS工作原理IDS部署方式IDS应用IDS技术的发展方向IDS产品IDS资源 34 什么是IDS IDS是什么 入侵检测系统 IntrusionDetectionSystem 入侵检测技术是为了保证计算机系统安全面而设置和配置的一种能够及时发现并报告系统中未授权或异常行为的技术 是一种检测计算机网络中违反安全策略行为的技术 入侵检测被视为防火墙之后的第二道安全阐门 主要用来监视和分析用户和系统的活动 能够反映已知的攻击模式并报警 同时监控系统的异常模式 对于异常行为模式 IDS采用报表的方式进行统计分析 假如说防火墙是一幢大楼的门锁 那入侵监测系统就是这幢大楼里的监视系统 35 IDS的主要类型 应用软件入侵监测系统ApplicationIntrusionDetection主机入侵监测系统HostIntrusionDetection网络入侵监测系统NetworkIntrusionDetection集成入侵监测系统IntegratedIntrusionDetection 根据IDS工作位置和数据来源 可以分为 36 网络入侵检测系统 NIDS 网络入侵检测系统 NIDS 在网络中的某个节点上装有探测器来监测整个网络 工作对象基于网络 特点 1 拥有较低的成本 在几个很少的监测点上进行配置就可以监控一个网络中所发生的入侵行为 2 能监测主机IDS所不能监测到的某些攻击 如DOS Teardrop 通过分析IP包的头可以捕捉这些须通过分析包头才能发现的攻击 3 与操作系统无关性 基于网络的IDS与所监测的主机所运行的操作系统无关 而主机IDS则必须在特定的操作系统下才能运行 4 检测未成功能攻击和不良意图 与之相比 主机IDS只能检测到成功的攻击 而很多未成功的攻击对系统的风险评估成到关键的作用 5 实时检测和响应 网络IDS可以在攻击发生的同时将其检测出来 并进行实时的报警和响应 37 NIDSCIDF模型 CIDF模型 CommonIntrusionDetectionFrame 组件 事件产生器 Eventgenerators 事件分析器 Eventanalyzers 响应单元 Responseunits 事件数据库 Eventdatabases 38 NIDS部署方式 39 主机入侵检测系统 HIDS 主机入侵检测系统 HIDS 在网络中所监测的每台主机上都装有探测器 工作对象基于主机 HIDS特点 1 确定攻击是否成功 比网络IDS更准确的判定攻击是否成功 2 系统行动监视的更好 对于每一个用户 尤其是系统管理员 上网下网的信息 连入网络后的行为和所受到的入侵行为监测的更为详细 记录的更准确 3 能够检测到网络IDS检测不到的特殊攻击 如某服务器上有人直接对该机进行非法操作 4 适用于加密的环境 在某些特殊的加密网络环境中 由于网络IDS所需要的网络环境不能满足 所以在这种地方应用主机IDS就可以完成这一地方的监测任务5 不需要额外的硬件设备 与网络IDS相比 不需要专用的硬件检测系统 降低的硬件成本 40 IDS部署示意 含HIDS的网络体系结构 41 IDS检测技术 签名分析法SignatureAnalysis统计分析法StatisticsAnalysis数据完整性分析法DataIntegrationAnalysis 入侵检测系统按照其检测原理可以分为以下类型 42 IDS工作原理 NIDS抓包 从链路层抓包分析数据包 43 IDS工作原理 模式匹配 模式匹配 PatternMatching 效率低 对每一条事件都要与事件库中的特征事件进行对比 工作量大 误报多 如果两个攻击事件具有极其相近的特征 在对比的过程中容易产生误报 而错过真实的问题 模式匹配举例较早版本的Sendmail漏洞利用 25WIZshell或者DEBUG 直接获得rootshell 模式匹配检查每个packet是否包含 WIZ DEBUG 44 IDS工作原理 协议分析 45 IDS技术的发展方向 分布式入侵检测1 针对分布式攻击的检测方法2 使用分布式的方法来检测分布式的攻击 关键技术为检测信息的协同处理与入侵攻击的全局信息提取智能化入侵检测使用智能化的手法也实现入侵检测 现阶段常用的有神经网络 模糊算法 遗传算法 免疫原理等技术全面的安全防御方案采用安全工程风险管理的理论也来处理网络安全问题 将网络安全做为一个整体工程来处理 从管理 网络结构 防火墙 防病毒 入侵检测 漏洞扫描等多方面对网结进行安全分析随着网络技术的发展 还会有更多新技术应用到入侵检测系统中来 46 IDS产品 免费产品Snort http www snort org 国内市场上的IDS厂商启明星辰安氏绿盟金诺瑞星等 国外的IDS产品CyberCopMonitor NAIDragonSensor EnterasyseTrustID CANetProwler SymantecNetRanger CiscoNID 100 200 NFRSecurityRealSecure ISSSecureNetPro I 47 IDS资源 IDSFAQ 四 虚拟专用网 VPN 49 VPN网关 VPN的基本概念VPN的功能VPN的分类及用途VPN常用协议基于IPSec协议的VPN体系结构 本节将分以下几部分介绍VPN网关 50 VPN的基本概念 虚拟专用网VPN VirtualPrivateNetwork 技术是指在公共网络中建立专用网络 数据通过安全的 加密管道 在公共网络中传播 VPN的基本概念 51 VPN必须具备如下功能 VPN的功能 保证数据的真实性 通信主机必须是经过授权的 要有抵抗地址冒认 IPSpoofing 的能力 保证数据的完整性 接收到的数据必须与发送时的一致 要有抵抗不法分子纂改数据的能力 保证通道的机密性 提供强有力的加密手段 必须使偷听者不能破解拦截到的通道数据 提供动态密钥交换功能 提供密钥中心管理服务器 必须具备防止数据重演 Replay 的功能 保证通道不能被重演 提供安全防护措施和访问控制 要有抵抗黑客通过VPN通道攻击企业网络的能力 并且可以对VPN通道进行访问控制 AccessControl 52 内部网VPN 用VPN连接公司总部和其分支机构 远程访问VPN 用VPN连接公司总部和远程用户 外联网VPN 用VPN连接公司和其业务伙伴 VPN的分类及用途 53 VPN的分类及用途 内部网VPN 54 VPN的分类及用途 远程访问VPN 55 VPN的分类及用途 外联网VPN 56 VPN常用协议 VPN常用的协议有SOCKv5 IPSec PPTP以及L2TP等 这些协议对应的OSI层次结构如下 VPN常用协议 57 基于IPSec协议的VPN体系结构 58 IPSec协议 IPSec共分四种模式AH的 传输模式 TransportMode AH的 通道模式 TunnelMode ESP的 传输模式 TransportMode ESP的 通道模式 TunnelMode 59 IPSec协议 AH认证报头操作模式 60 IPSec协议 ESP协议操作模式 61 传输模式下的ESP工作原理 62 通道模式下的ESP工作原理 63 基于IPSec协议的VPN原理 64 VPN产品 五 漏洞评估 66 漏洞评估产品 漏洞评估的概念漏洞评估的分类漏洞评估产品选择原则常见的漏洞评估产品 本节将分以下几部分介绍漏洞评估产品 67 漏洞评估的概念 基本概念 通过对系统进行动态的试探和扫描 找出系统中各类潜在的弱点 给出相应的报告 建议采取相应的补救措施或自动填补某些漏洞 主要优点 通过漏洞评估 网络管理人员能提前发现网络系统的弱点和漏洞 防范于未然 68 漏洞评估产品的分类 网络型安全漏洞评估产品模拟黑客行为 扫描网络上的漏洞并进行评估主机型安全漏洞评