网络安全设备培训教材(42张)课件

1、网络安全网络安全设备南京师范大学计算机科学与技术学院陈 波$dollars$dollars$dollarsDetection 入侵检测Protect 安全保护Reaction 安全响应Recovery 安全备份Management 安全管理统一管理、协调PDRR之间的行动回顾整体性原则：PDRR安全防护模型2信息安全案例教程：技术与应用本讲要点：1. 网络安全设备：防火墙2. 网络安全设备：入侵检测3. 网络安全新设备： 入侵防御、下一代防火墙、统一威胁管理3信息安全案例教程：技术与应用1. 网络安全设备：防火墙（1）防火墙的概念国家标准GB/T 20281-2006 信息安全技术 防火墙技术

2、要求和测试评价方法给出的防火墙定义是：设置在不同网络（如可信任的企业内部网络和不可信的公共网络）或网络安全域之间的一系列部件的组合。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，能有效地监控流经防火墙的数据，保证内部网络和隔离区（Demilitarized Zone，DMZ，或译作非军事区）的安全。4信息安全案例教程：技术与应用1. 网络安全设备：防火墙（1）防火墙的概念防火墙具有以下3种基本性质：是不同网络或网络安全域之间信息的唯一出入口；能根据网络安全策略控制(允许、拒绝、监测)出入网络的信息流，且自身具有较强的抗攻击能力；本身不能影响网络信息的流通。5信息安全案例教程：技术与

3、应用1. 网络安全设备：防火墙（1）防火墙的概念防火墙可以是软件、硬件或软硬件的组合。软件防火墙就像其它的软件产品一样需要在计算机上安装并做好配置才可以发挥作用，例如Windows系统自带的软件防火墙和著名安全公司Check Point推出的ZoneAlarm Pro 软件防火墙。6信息安全案例教程：技术与应用1. 网络安全设备：防火墙（1）防火墙的概念防火墙可以是软件、硬件或软硬件的组合。目前市场上大多数防火墙是硬件防火墙。这类防火墙一般基于PC架构，也就是说这类防火墙和普通PC类似。还有基于特定用途集成电路（Application Specific Integrated Circuit，A

4、SIC）、基于网络处理器（Network Processor，NP）以及基于现场可编程门阵列（Field-Programmable Gate Array，FPGA）的防火墙。这类防火墙采用专用操作系统，因此防火墙本身的漏洞比较少，而且由于基于专门的硬件平台，因而处理能力强、性能高。7信息安全案例教程：技术与应用1. 网络安全设备：防火墙（2）防火墙的工作原理包过滤防火墙工作在网络层和传输层，它根据通过防火墙的每个数据包的源IP地址、目标IP地址、端口号、协议类型等信息来决定是将让该数据包通过还是丢弃，从而达到对进出防火墙的数据进行检测和限制的目的。包过滤方式是一种通用、廉价和有效的安全手段。之

5、所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，而是适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。8信息安全案例教程：技术与应用1. 网络安全设备：防火墙（2）防火墙的工作原理包过滤技术在发展中出现了两种不同版本，第一代称为静态包过滤，第二代称为动态包过滤。1）静态包过滤技术。这类防火墙几乎是与路由器同时产生的，它根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的包头信息进行制订。这些规则常称为数据包过滤访问控制列

6、表（ACL）。各个厂商的防火墙产品都有自己的语法用于创建规则。9信息安全案例教程：技术与应用1. 网络安全设备：防火墙（2）防火墙的工作原理1）静态包过滤技术。序号源IP目标IP协议源端口目的端口标志位操作1内部网络地址外部网络地址TCP任意80任意允许2外部网络地址内部网络地址TCP801023ACK允许3所有所有所有所有所有所有拒绝10信息安全案例教程：技术与应用1. 网络安全设备：防火墙（2）防火墙的工作原理1）静态包过滤技术的缺陷。序号源IP目标IP协议源端口目的端口标志位操作1内部网络地址外部网络地址TCP任意80任意允许2外部网络地址内部网络地址TCP801023ACK允许3所有所

7、有所有所有所有所有拒绝11信息安全案例教程：技术与应用1. 网络安全设备：防火墙（2）防火墙的工作原理2）状态包过滤技术。状态包过滤（Stateful Packet Filter）是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，对接收到的数据包进行分析，判断其是否属于当前合法连接，从而进行动态的过滤。跟传统包过滤只有一张过滤规则表不同，状态包过滤同时维护过滤规则表和状态表。过滤规则表是静态的，而状态表中保留着当前活动的合法连接，它的内容是动态变化的，随着数据包来回经过设备而实时更新。当新的连接通过验证，在状态表中则添加该连接条目，而当一条连接完成它的通信任务后，状

8、态表中的该条目将自动删除。12信息安全案例教程：技术与应用1. 网络安全设备：防火墙（2）防火墙的工作原理2）状态包过滤技术的局限。基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤。访问控制列表的配置和维护困难。对安全管理人员的要求高，在建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的了解。包过滤防火墙难以详细了解主机之间的会话关系。大多数过滤器中缺少审计和报警机制，只能依据包头信息，而不能对用户身份进行验证，很容易遭受欺骗型攻击。13信息安全案例教程：技术与应用1. 网络安全设备：防火墙（2）防火墙的工作原理3）应用代理技术采用应用代理技术的防火墙工作在应用层

9、。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。应用代理技术的发展也经历了两个版本，第一代的应用层网关（Application Gateway）技术，第二代的自适应代理（Adaptive Proxy）技术。14信息安全案例教程：技术与应用1. 网络安全设备：防火墙（2）防火墙的工作原理3）应用代理技术应用层网关可分3种类型：双宿主主机网关；屏蔽主机网关；屏蔽子网网关。这三种网关都要求有一台主机，通常称为“堡垒主机”（Bastion Host），它起着防火墙的作用，即隔离内外网的作用。15信息安全案例教程：技术与应用1. 网络安全设备：

10、防火墙（2）防火墙的工作原理3）应用代理技术：双宿主主机网关特点：堡垒主机充当应用层网关。在主机中需要插入两块网卡，用于将主机分别连接到被保护的内网和外网上。在主机上运行防火墙软件，被保护内网与外网间的通信必须通过主机，因而可以将内网很好地屏蔽起来。内网可以通过堡垒主机获得外网提供的服务。优点：这种应用层网关能有效地保护和屏蔽内网，且要求的硬件较少，因而是应用较多的一种防火墙；缺点：但堡垒主机本身缺乏保护，容易受到攻击。16信息安全案例教程：技术与应用1. 网络安全设备：防火墙（2）防火墙的工作原理3）应用代理技术：屏蔽主机网关特点：为了保护堡垒主机而将它置入被保护网的范围中，在被保护内网与外

11、网之间设置一个屏蔽路由器。它不允许外网用户对被保护内网进行直接访问，只允许对堡垒主机进行访问，屏蔽路由器也只接收来自堡垒主机的数据。与前述的双宿主主机网关类似，也在堡垒主机上运行防火墙软件。优点：屏蔽主机网关是一种更为灵活的防火墙软件，它可以利用屏蔽路由器来做更进一步的安全保护。缺点：此时的路由器又处于易受攻击的地位。此外，网络管理员应该管理在路由器和堡垒主机中的访问控制表，使两者协调一致，避免出现矛盾。17信息安全案例教程：技术与应用1. 网络安全设备：防火墙（2）防火墙的工作原理3）应用代理技术：屏蔽子网网关特点：使用一个或者更多的屏蔽路由器和堡垒主机，同时在内外网间建立一个被隔离的子网D

12、MZ。18信息安全案例教程：技术与应用1. 网络安全设备：防火墙（2）防火墙的工作原理3）应用代理技术：屏蔽子网网关优点：这种防火墙系统的安全性很好，因为来自外部网络将要访问内部网络的流量，必须经过这个由屏蔽路由器和堡垒主机组成的DMZ子网络；可信网络内部流向外界的所有流量，也必须首先接收这个子网络的审查。堡垒主机上运行代理服务，它是一个连接外部非信任网络和可信网络的“桥梁”。堡垒主机是最容易受侵袭的，万一堡垒主机被控制，如果采用了屏蔽子网体系结构，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部屏蔽路由器的保护。19信息安全案例教程：技术与应用1. 网络安全设备：防火墙（2）防火墙的工作原

13、理4）自适应代理技术：特点：采用这种技术的防火墙有两个基本组件：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet Filter）。在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应代理的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。20信息安全案例教程：技术与应用1. 网络安全设备：防火墙（2）防火

14、墙的工作原理4）自适应代理技术：优点：安全性高。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。21信息安全案例教程：技术与应用1. 网络安全设备：防火墙（2）防火墙的工作原理4）自适应代理技术：缺点：速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间

15、的瓶颈。因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。22信息安全案例教程：技术与应用1. 网络安全设备：防火墙（3）防火墙的部署处于外部不可信网络（包括因特网、广域网和其他公司的专用网）与内部可信网络之间，控制来自外部不可信网络对内部可信网络的访问，防范来自外部网络的非法攻击。同时，保证DMZ区服务器的相对安全性和使用便利性。处于内部不同可信等级安全域之间，起到隔离内网关键部门、子网或用户的目的。应用于广大的个人主机用户，通常为软件防火墙，安装于单台主机中，防护的也只是单台主机。23

16、信息安全案例教程：技术与应用本讲要点：1. 网络安全设备：防火墙2. 网络安全设备：入侵检测3. 网络安全新设备： 入侵防御、下一代防火墙、统一威胁管理24信息安全案例教程：技术与应用2. 网络安全设备：入侵检测系统（1）入侵检测的概念入侵（Intrusion）是指任何企图危及资源的完整性、机密性和可用性的活动。不仅包括发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务等对计算机系统产生危害的行为。入侵检测顾名思义，是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。25信息安

17、全案例教程：技术与应用2. 网络安全设备：入侵检测系统（1）入侵检测的概念入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，IDS）。与防火墙类似，除了有基于PC架构、主要功能由软件实现的IDS，还有基于ASIC、NP以及FPGA架构开发的IDS。26信息安全案例教程：技术与应用2. 网络安全设备：入侵检测系统（2）入侵检测的工作原理事件产生器：从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器：分析得到的数据，并产生分析结果。响应单元：对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警

18、。事件数据库：是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。事件来源事件产生器事件分析器响应单元事件数据库27信息安全案例教程：技术与应用2. 网络安全设备：入侵检测系统（2）入侵检测的工作原理根据检测数据的不同，IDS分为主机型和网络型入侵检测系统。1）基于主机的IDS（HIDS），通过监视和分析主机的审计记录检测入侵。2）基于网络的IDS（NIDS），通过在共享网段上对通信数据进行侦听，检测入侵。28信息安全案例教程：技术与应用2. 网络安全设备：入侵检测系统（2）入侵检测的工作原理根据其采用的分析方法可分为异常检测和误用检测。1）异常检测。需要建立目

19、标系统及其用户的正常活动模型，然后基于这个模型对系统和用户的实际活动进行审计，当主体活动违反其统计规律时，则将其视为可疑行为。该技术的关键是异常阈值和特征的选择。优点是可以发现新型的入侵行为，漏报少。缺点是容易产生误报。29信息安全案例教程：技术与应用2. 网络安全设备：入侵检测系统（2）入侵检测的工作原理根据其采用的分析方法可分为异常检测和误用检测。2）误用检测。假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征，系统的目标就是检测主体活动是否符合这些模式。该技术的关键是模式匹配。优点是可以有针对性地建立高效的入侵检测系统，其精确性较高，误报少。主要缺陷是只能发现攻击库中已知的攻击

20、，不能检测未知的入侵，也不能检测已知入侵的变种，因此可能发生漏报。且其复杂性将随着攻击数量的增加而增加。30信息安全案例教程：技术与应用2. 网络安全设备：入侵检测系统（3）入侵检测的部署与防火墙不同，入侵检测主要是一个监听和分析设备，不需要跨接在任何网络链路上，无需网络流量流经它，便可正常工作。对入侵检测系统的部署，唯一的要求是：应当挂接在所有所关注的流量都必须流经的链路上，即IDS采用旁路部署方式接入网络。这些流量通常是指需要进行监视和统计的网络报文。IDS和防火墙均具备对方不可代替的功能，因此在很多应用场景中，IDS与防火墙共存，形成互补。31信息安全案例教程：技术与应用2. 网络安全设

21、备：入侵检测系统（3）入侵检测的部署32信息安全案例教程：技术与应用2. 网络安全设备：入侵检测系统（3）入侵检测的部署检测引擎检测引擎检测引擎控制台33信息安全案例教程：技术与应用本讲要点：1. 网络安全设备：防火墙2. 网络安全设备：入侵检测3. 网络安全新设备： 入侵防御、下一代防火墙、统一威胁管理34信息安全案例教程：技术与应用3. 网络安全新设备（1）入侵防御系统主动防御能力的需求主动防御能力是指：系统不仅要具有入侵检测系统的入侵发现能力和防火墙的静态防御能力，还要有针对当前入侵行为动态调整系统安全策略，阻止入侵和对入侵攻击源进行主动追踪和发现的能力。入侵防御系统IPS（Intrus

22、ion Prevention System，也有称作Intrusion Detection Prevention，即IDP）作为IDS的替代技术诞生了。35信息安全案例教程：技术与应用3. 网络安全新设备（1）入侵防御系统IPS的概念IPS是一种主动的、智能的入侵检测、防范、阻止系统，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。36信息安全案例教程：技术与应用3. 网络安全新设备（2）下一代防火墙著名市场分析咨询机构Gartner

23、于2009年发布的一份名为Defining the Next-Generation Firewall的文档给出了下一代防火墙NGFW(Next-Generation Firewall)的定义。1）传统防火墙。2）支持与防火墙自动联动的集成化IPS。3）应用识别、控制与可视化。4）智能化联动。37信息安全案例教程：技术与应用3. 网络安全新设备（3）统一威胁管理UTM市场分析咨询机构IDC这样定义UTM：这是一类集成了常用安全功能的设备，必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。UTM可以说是将防火墙、IDS系统、防病毒和脆弱性评估等技术的优点

24、与自动阻止攻击的功能融为一体。38信息安全案例教程：技术与应用3. 网络安全新设备（3）统一威胁管理UTM市场分析咨询机构IDC这样定义UTM：这是一类集成了常用安全功能的设备，必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。UTM可以说是将防火墙、IDS系统、防病毒和脆弱性评估等技术的优点与自动阻止攻击的功能融为一体。应当说，UTM和NGFW只是针对不同级别用户的需求，对宏观意义上的防火墙的功能进行了更有针对性的归纳总结，是互为补充的关系。39信息安全案例教程：技术与应用3. 网络安全新设备发展趋势由于网络攻击技术的不确定性，靠单一的产品往往不能

25、够满足不同用户的不同安全需求。信息安全产品的发展趋势是不断地走向融合，走向集中管理。通过采用协同技术，让网络攻击防御体系更加有效地应对重大网络安全事件，实现多种安全产品的统一管理和协同操作、分析，从而实现对网络攻击行为进行全面、深层次的有效管理，降低安全风险和管理成本，成为网络攻击防护产品发展的一个主要方向。40信息安全案例教程：技术与应用本讲要点：1. 网络安全设备：防火墙2. 网络安全设备：入侵检测3. 网络安全新设备： 入侵防御、下一代防火墙、统一威胁管理41信息安全案例教程：技术与应用本讲思考与练习名词解释：FW、NGFW、IDS、IPS、UTM操作实验：1. 网络防火墙的使用和攻防测试。实验内容：学习使用网络防火墙软件Zone Alarm Pro（），理解和掌握防火墙原理和主要技术。完成实验报告。2. Windows下安装配置开放源码的入侵检测系统Snort（）。Snort是一个轻量级的网络入侵检测系统，能完成协议分析，内容的查找/匹配，可用来探测多种攻击的入侵探测器(如缓冲区溢出、秘密端口扫描、CGI攻击、SMB嗅探、指纹采集尝试等)。完成实验报告。更多资源请访问南京师范大学信息化教学网本课程主页42信息安全案例教程：技术与应用激励学生学习的名言格言220、每一个成功者都有一个开始。勇于开始，才能找到成功的路。221、世界会向那