网络安全技术基础(下)ppt课件

1、网络安全技术基础（下,2,本讲概要,本讲主要阐述目前最常用的信息安全技术和信息安全产品，内容包括了： 防火墙 入侵检测 VPN 漏洞评估,本讲涉及内容宽泛，领域众多，讲师根据学员情况做好课时安排。 本讲总课时建议为46课时,3,本讲学习目标,通过本讲学习，学员应该掌握： 各类信息安全技术的概念、用途，部署方式 防火墙的分类、原理、结构和用途 入侵检测产品的工作原理和分类 VPN的分类和用途 漏洞评估的概念和意义,一）防火墙技术,5,防火墙产品,防火墙的基本概念 防火墙的主要技术 防火墙的用途 防火墙的弱点 防火墙的体系结构 防火墙的构筑原则 防火墙产品,本节将分以下几部分介绍网络防火墙,6,防

2、火墙的基本概念,防火墙是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为,7,防火墙的用途,控制对网点的访问和封锁网点信息的泄露 能限制被保护子网的泄露 具有审计作用 能强制安全策略,8,防火墙不能防备病毒 防火墙对不通过它的连接无能为力 防火墙不能防备内部人员的攻击 限制有用的网络服务 防火墙不能防备新的网络安全问题,防火墙的弱点,9,形形色色的防火墙,10,防火墙的分类方法,11,单机防火墙VS网络防火墙,12,软件防火墙VS硬件防火墙,13,防火墙设备外观与结构,1

3、4,防火墙的主要技术,应用层代理技术 (Application Proxy) 包过滤技术 (Packet Filtering) 状态包过滤技术 (Stateful Packet Filtering,防火墙的主要技术种类,15,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,分组过滤判断信息,数据包,防火墙的主要技术,包过滤技术的基本原理,数据包,16,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,防火墙的主要技术,状态检测包过滤技术的基本原理,数据包,分组过滤判断信息,状态检测,控制策略,17,数据包,数据包,查找对应的控制

4、策略,拆开数据包,根据策略决定如何处理该数据包,数据包,防火墙的主要技术,应用层代理技术的基本原理,数据包,分组过滤判断信息,应用代理判断信息,控制策略,18,防火墙的体系结构,筛选路由器 双网主机 屏蔽主机 屏蔽子网,防火墙可以设置成不同的体系结构，提供不同级别的安全。常见的体系结构有,19,防火墙的体系结构,内部网,外部网,筛选路由器式体系结构,包过滤,筛选路由器,20,防火墙的体系结构,双网主机式体系结构,双网主机插有两块网卡，分别连接到内网和外网。 防火墙内、外的系统均可以与双网主机进行通信，但防火墙两边的系统之间不能直接进行通信。 使用此结构，必须关闭双网主机上的路由分配功能,21,

5、防火墙的体系结构,屏蔽主机式体系结构,Internet,堡垒主机,防火墙,屏蔽路由器,22,防火墙的体系结构,屏蔽子网式体系结构,Internet,堡垒主机,屏蔽路由器,屏蔽路由器,周边网络,23,防火墙的构筑原则,构筑防火墙要从以下几方面考虑,体系结构的设计 安全策略的制定 安全策略的实施,24,防火墙的性能指标,25,主流防火墙产品,二）虚拟局域网（VLAN,27,VLAN的定义 VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑

6、广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。 组建VLAN的条件 VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备要实现路由功能，既可采用路由器，也可采用三层交换机来完成,什么是VLAN,28,从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法： 1、基于端口的VLAN划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配

7、即可，不用考虑该端口所连接的设备。 2、基于MAC地址的VLAN划分 MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。 3、基于路由的VLAN划分 路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中,划分VLAN的基本策略,29,1、控制广播风暴 一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生

8、。 2、提高网络整体安全性 通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。 3、网络管理简单、直观 对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，

9、降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制,VLAN的作用,30,三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术三层转发技术。 三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。 三层交换原理 它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后，会

10、产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。可见，三层交换机集路由与交换于一身，在交换机内部实现了路由，提高了网络的整体性能。 三层交换机分类 1.基于纯硬件(ASIC) 2.基于软件的,什么是三层交换,31,VLAN环境示意,三）入侵检测系统（IDS,33,入侵检测系统（IDS,关于入侵检测系统，我们将就以下部分进行学习： IDS简介 IDS分类 IDS作用 IDS工作原理 IDS部署方式 IDS应用 IDS技术的发展方向 ID

11、S产品 IDS资源,34,什么是IDS,IDS是什么？ 入侵检测系统(Intrusion Detection System) 入侵检测技术是为了保证计算机系统安全面而设置和配置的一种能够及时发现并报告系统中未授权或异常行为的技术，是一种检测计算机网络中违反安全策略行为的技术。 入侵检测被视为防火墙之后的第二道安全阐门，主要用来监视和分析用户和系统的活动，能够反映已知的攻击模式并报警，同时监控系统的异常模式，对于异常行为模式，IDS采用报表的方式进行统计分析,假如说防火墙是一幢大楼的门锁，那入侵监测系统就是这幢大楼里的监视系统,35,IDS的主要类型,应用软件入侵监测系统 Application

12、 Intrusion Detection 主机入侵监测系统 Host Intrusion Detection 网络入侵监测系统 Network Intrusion Detection 集成入侵监测系统 Integrated Intrusion Detection,根据IDS工作位置和数据来源，可以分为,36,网络入侵检测系统（NIDS,网络入侵检测系统(NIDS) -在网络中的某个节点上装有探测器来监测整个网络(工作对象 基于网络,特点： 1.拥有较低的成本-在几个很少的监测点上进行配置就可以监控一个网络中所发生的入侵行为; 2.能监测主机IDS所不能监测到的某些攻击(如DOS、Teardro

13、p)通过分析IP包的头可以捕捉这些须通过分析包头才能发现的攻击; 3.与操作系统无关性-基于网络的IDS与所监测的主机所运行的操作系统无关，而主机IDS则必须在特定的操作系统下才能运行; 4.检测未成功能攻击和不良意图-与之相比，主机IDS只能检测到成功的攻击，而很多未成功的攻击对系统的风险评估成到关键的作用; 5.实时检测和响应-网络IDS可以在攻击发生的同时将其检测出来，并进行实时的报警和响应,37,NIDS CIDF模型,CIDF模型（ Common Intrusion Detection Frame） 组件： 事件产生器（Event generators） 事件分析器（Event an

14、alyzers） 响应单元（Response units） 事件数据库（Event databases,38,NIDS 部署方式,39,主机入侵检测系统（HIDS,主机入侵检测系统(HIDS) -在网络中所监测的每台主机上都装有探测器(工作对象基于主机,HIDS特点: 1.确定攻击是否成功-比网络IDS更准确的判定攻击是否成功; 2.系统行动监视的更好-对于每一个用户(尤其是系统管理员)上网下网的信息、连入网络后的行为和所受到的入侵行为监测的更为详细，记录的更准确; 3.能够检测到网络IDS检测不到的特殊攻击-如某服务器上有人 直接对该机进行非法操作; 4.适用于加密的环境 -在某些特殊的加密

15、网络环境中，由于网络IDS所需要的网络环境不能满足，所以在这种地方应用主机IDS就可以完成这一地方的监测任务 5.不需要额外的硬件设备-与网络IDS相比，不需要专用的硬件检测系统，降低的硬件成本,40,IDS部署示意,含HIDS的网络体系结构,41,IDS 检测技术,签名分析法 Signature Analysis 统计分析法 Statistics Analysis 数据完整性分析法 Data Integration Analysis,入侵检测系统按照其检测原理可以分为以下类型,42,IDS 工作原理NIDS抓包,从链路层抓包 分析数据包,43,IDS 工作原理模式匹配,模式匹配(Patter

16、n Matching) 效率低-对每一条事件都要与事件库中的 特征事件进行对比，工作量大。 误报多-如果两个攻击事件具有极其相近的特征，在对比的过程中容易产生误报，而错过真实的问题。 模式匹配举例 较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell！ 模式匹配 检查每个packet是否包含： “WIZ” | “DEBUG,44,IDS 工作原理协议分析,45,IDS 技术的发展方向,分布式入侵检测 1.针对分布式攻击的检测方法 2.使用分布式的方法来检测分布式的攻击，关键技术为检测信息的协同处理与入侵攻击的全局信息提

17、取 智能化入侵检测 使用智能化的手法也实现入侵检测，现阶段常用的有神经网络、模糊算法、遗传算法、免疫原理等技术 全面的安全防御方案 采用安全工程风险管理的理论也来处理网络安全问题，将网络安全做为一个整体工程来处理，从管理、网络结构、防火墙、防病毒、入侵检测、漏洞扫描等多方面对网结进行安全分析 随着网络技术的发展，还会有更多新技术应用到入侵检测系统中来,46,IDS 产品,免费产品 Snort (http:/ ) 国内市场上的IDS厂商 启明星辰 安氏 绿盟 金诺 瑞星等,国外的IDS产品 CyberCop Monitor, NAI Dragon Sensor, Ent

18、erasys eTrust ID, CA NetProwler, Symantec NetRanger, Cisco NID-100/200, NFR Security RealSecure, ISS SecureNet Pro, I,47,IDS 资源,IDS FAQ http:/ Focus-IDS Mailinglist http:/ Yawl http:/ OldHand Sinbad /doc.html?board=IDS,四）虚拟专用网（VPN,49,VPN网关,VPN的基本概念 VPN的功能 VP

19、N的分类及用途 VPN常用协议 基于IPSec协议的VPN体系结构,本节将分以下几部分介绍VPN网关,50,VPN的基本概念,虚拟专用网VPN（Virtual Private Network）技术是指在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播,VPN的基本概念,51,VPN必须具备如下功能,VPN的功能,保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。 保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。 保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 提供动态

20、密钥交换功能，提供密钥中心管理服务器，必须具备防止数据重演（Replay）的功能，保证通道不能被重演。 提供安全防护措施和访问控制，要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制（Access Control,52,内 部 网VPN用VPN连接公司总部和其分支机构. 远程访问VPN用VPN连接公司总部和远程用户. 外 联 网VPN用VPN连接公司和其业务伙伴,VPN的分类及用途,53,VPN的分类及用途,内部网VPN,54,VPN的分类及用途,远程访问VPN,55,VPN的分类及用途,外联网VPN,56,VPN常用协议,VPN常用的协议有SOCK v5、IPSe

21、c、PPTP以及L2TP等。这些协议对应的OSI层次结构如下,VPN常用协议,57,基于IPSec协议的VPN体系结构,58,IP Sec协议,IP Sec共分四种模式 AH的传输模式(Transport Mode) AH的通道模式(Tunnel Mode)、 ESP的传输模式(Transport Mode) ESP的通道模式(Tunnel Mode,59,IP Sec协议,AH认证报头操作模式,60,IP Sec协议,ESP协议操作模式,61,传输模式下的ESP工作原理,62,通道模式下的ESP工作原理,63,基于IPSec协议的VPN原理,64,VPN产品,五）漏洞评估,66,漏洞评估产品,漏洞评估的概念 漏洞评估的分类 漏洞评估产品选择原则 常见的漏洞评估产品,本节将分以下几部分介绍漏洞评估产品,67,漏洞评估的概念,基本概念,通过对系统进行动态的试探和扫描，找出系统中各类潜在的弱点，给出相应的报告，建议采取相应的补救措施或自动填补某些漏洞,主要优点,通过漏洞评估，网络管理人员能提前发现网络系统的弱点和漏洞，防范于未然,68,漏洞评估产品的分类,网络型安全漏洞评估产品 模拟黑客行为，扫描网络上的漏洞并进行评估 主机型安全