网络安全设备概述

1、网络安全设备概述知识域：网络安全设备知识子域：防火墙技术理解防火墙的作用、功能及分类理解包过滤技术、状态检测技术和应用代理技术等防火墙主要技术原理掌握防火墙的部署结构理解防火墙的局限性2防火墙基本概念什么是防火墙一种协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙部署在哪可信网络与不可信网络之间不同安全级别网络之间两个需要隔离的区域之间Internet防火墙3为什么需要防火墙控制：在网络连接点上建立一个安全控制点，对进出数据进行限制隔离：将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护记录：对进出数据进行检查，记录相关信息防火墙的作用4安全网域一防火墙

2、的分类按主要技术分包过滤型代理型混合型按体系结构分筛选路由器双宿/多宿主机防火墙屏蔽主机防火墙屏蔽子网防火墙混合结构其他分类方法5防火墙的实现技术包过滤技术状态检测技术代理网关技术6防火墙的实现技术-包过滤实现机制：依据数据包的基本标记来控制数据包网络层地址：IP地址（源地址及目的地址）传输层地址：端口（源端口及目的端口）协议：协议类型7安全网域一防火墙的实现技术-包过滤优点:逻辑简单，功能容易实现，设备价格便宜处理速度快可以识别和丢弃带欺骗性源IP地址的包过滤规则与应用层无关，无须修改主机上的应用程序，易于安装和使用缺点：过滤规则集合复杂，配置困难无法满足对应用层信息进行过滤的安全要求不能防

3、止地址欺骗，及外部客户与内部主机直接连接安全性较差，不提供用户认证功能8防火墙实现技术-状态检测数据链路层物理层网络层表示层会话层传输层检测引擎应用层动态状态表动态状态表动态状态表在数据链路层和网络层之间对数据包进行检测创建状态表用于维护连接上下文应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层9防火墙实现技术-状态检测优点可应用会话信息决定过滤规则具有记录有关通过的每个包的详细信息的能力安全性较高缺点检查内容比包过滤检测技术多，所以对防火墙的性能提出了更高的要求状态检测防火墙的配置非常复杂，对于用户的能力要求较高，使用起来不太方便10防火墙的实现技

4、术-代理网关每一个内外网络之间的连接都要通过防火墙的介入和转换，加强了控制分类电路级代理应用代理11防火墙的实现技术-电路级代理建立回路，对数据包进行转发优点能提供NAT，为内部地址管理提供灵活性，隐藏内部网络等适用面广缺点仅简单的在两个连接间转发数据，不能识别数据包的内容12防火墙的实现技术-NAT什么是NAT一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT技术设计初衷增加私有组织的可用地址空间解决现有私有网络接入的IP地址编号问题13防火墙的实现技术-NATNAT实现方式静态地址转换动态地址转换端口转换14安全网域

5、一00015NAT的优缺点优点管理方便并且节约IP地址资源隐藏内部 IP 地址信息可用于实现网络负载均衡缺点外部应用程序却不能方便地与 NAT 网关后面的应用程序联系。 防火墙的实现技术-应用代理工作在应用层使用代理技术，对应用层数据包进行检查对应用或内容进行过滤，例如：禁止FTP的 “put”命令16防火墙的实现技术-应用代理优点可以检查应用层内容，根据内容进行审核和过滤提供良好的安全性缺点支持的应用数量有限性能表现欠佳17防火墙实现技术-自适应代理技术自适应代理防火墙主要由自适应代理服务器与动态包过滤组成，它可以根据用户的配置信息，决定从应用层代理请求，还是从网络层转发包特点根据用户定义安

6、全规则动态“适应”传输中的分组流量高安全要求：在应用层进行检查明确会话安全细则：链路层数据包转发兼有高安全性和高效率18防火墙部署结构单防火墙（无DMZ）部署方式单防火墙（DMZ）部署方式双防火墙部署方式19单防火墙（无DMZ）部署方式内部网络/24GW:54外部网络/24GW:防火墙InternetIntranet/2454/2420单防火墙（DMZ）部署方式21防火墙的典型部署区域划分：可信网络、不可信网络、DMZ区22可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防护墙的策略设置没有明确允许的就是禁止先阻止所有数据包需要的给予开放没有明确禁止的就是允许对

7、明确禁止的设置策略23防火墙的策略设置可信网络可向DMZ区和不可信网络发起连接请求24可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防火墙的策略设置DMZ区可接受可信网络和不可信网络的连接请求DMZ区不可向可信网络发起连接请求DMZ区与不可信网络的连接请求根据业务需要确定25可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区双防火墙部署方式使用两台防火墙分别作为外部防火墙和内部防火墙，在两台防火墙之间形成了一个非军事区网段外部流量允许进入DMZ网段内部流量允许进入DMZ网络并通过DMZ网段流出至外部网络外部网络的流量不允许进入直接

8、进入内部网络特点能提供更为安全的系统结构实施复杂性和费用较高26防火墙的不足和局限性难于管理和配置，易造成安全漏洞防外不防内，不能防范恶意的知情者只实现了粗粒度的访问控制很难为用户在防火墙内外提供一致的安全策略不能防范病毒27知识域：网络安全设备知识子域：入侵检测系统理解入侵检测系统的作用、功能及分类理解入侵检测系统的主要技术原理掌握入侵检测系统的部署结构理解入侵检测系统的局限性28什么是入侵检测系统？29什么是入侵检测系统一种通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析以发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的设备入侵检测系统部署在哪数据流入流出点关键位置入

9、侵检测系统的作用为什么需要入侵检测系统防火墙的重要补充构建网络安全防御体系重要环节克服传统防御机制的限制入侵检测系统能做什么监测并分析用户和系统的活动核查系统配置和漏洞对操作系统进行日志管理，并识别违反安全策略的用户活动；针对已发现的攻击行为作出适当的反应，如告警、中止进程等。30入侵检测系统的分类按检测原理分异常检测误用检测混合检测按数据来源分主机入侵检测网络入侵检测混合式入侵检测31入侵检测系统的典型部署32可信网络不可信的网络防火墙InternetIntranet旁路的方式接入部署位置防火墙外核心交换机关键位置HIDSNIDSNIDSNIDS33通用入侵检测框架34入侵检测工作过程基于网

10、络的入侵检测系统35入侵检测系统布署入侵检测系统布署基于主机的入侵检测系统36入侵检测系统的局限性37对用户知识要求较高，配置、操作和管理使用较为复杂网络发展迅速，对入侵检测系统的处理性能要求越来越高，现有技术难以满足实际需要；高虚警率，用户处理的负担重由于警告信息记录的不完整，许多警告信息可能无法与入侵行为相关联，难以得到有用的结果在应对对自身的攻击时，对其他数据的检测也可能会被抑制或受到影响。知识域：网络安全设备知识子域：其它网络安全设备了解安全隔离与信息交换系统的原理、特点及适用场景了解入侵防御系统（IPS）原理与特点了解安全管理平台（SOC）的主要功能了解统一威胁管理系统（UTM）的功

11、能与特点了解网络准入控制（NAC）的功能、组成及控制方式38安全隔离与信息交换系统（网闸）39网闸的组成与特点组成外部处理单元内部处理单元仲裁处理单元 特点在网络第二层（链路层）断开网络连接不允许信息以网络数据包的方式在两个网络之间交换同时集合了其他安全防护技术4041网闸与防火墙的区别双系统模式彻底将内网保护起来安全隔离与信息交换系统采用自身定义的私有通讯协议，避免了通用协议存在的漏洞安全隔离与信息交换系统采用专用硬件控制技术保证内外网之间没有实时连接42网闸的适用场景不同涉密网络之间同一涉密网络的不同安全域之间与互联网物理隔离的网络与秘密级网络之间未与涉密网络连接的网络与互联网络之间43入

12、侵防御系统(IPS)一种主动的、智能的入侵检测、防范、阻止系统预先对攻击性网络流量进行拦截，避免其造成任何损失IPS的部署44IPS的典型部署方式为串联在网络中可信网络不可信的网络&服务InternetIntranetIPSIPS的特点45IPS采取主动式的防御机制，以透明模式串联于网络中，能够实时阻断攻击；部署在网络关键点上；过滤阻断的是攻击包而非攻击源。采用多种检测技术，准确度高：特征分析；协议异常分析；行为异常分析。采用硬件加速技术，处理性能高，不影响网络的正常运行。IPS与IDS的区别46IPS采用In-line的透明模式接入网络，而IDS并联在网络中，接入交换机的接口需要做镜像；ID

13、S是一种检测技术，而IPS是一种检测加阻断技术，后者的检测结果是阻断攻击的依据是检测；IPS更多是专业化定制的集成电路，而IDS一般是硬件与软件的集合；入侵防御系统关注的是对入侵行为的控制，是一种侧重于风险控制的安全设备；入侵检测系统注重的是入侵行为的数据进行检测和报警，是一种侧重于风险管理的安全设备。如何选择部署IDS和IPS若计划在一次项目中实施较为完整的安全解决方案，则应同时选择和部署入侵检测系统和入侵防御系统两类产品若用户计划分布实施安全解决方案，可以考虑先布署入侵检测系统进行网络安全状况监控，后期再部署入侵防御系统若用户仅仅关注网络安全状况的监控，则可在目标信息系统中部署入侵检测系统

14、即可47IPS存在的问题单点故障性能瓶颈误报和漏报48安全管理平台（SOC）狭义上安全管理平台重点是指对安全设备的集中管理，包括集中的运行状态监控、事件采集分析、安全策略下发广义上不仅针对安全设备进行管理，还要针对所有IT资源，甚至是业务系统进行集中的安全管理，包括对IT资源的运行监控、事件采集分析，还包括风险管理与运维等内容。49SOC的理解以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还有运维（运

15、营），SOC是技术、流程和人的有机结合。50SOC的主要功能风险管理服务管理系统管理专业安全系统51统一威胁管理系统（UTM）由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，同时将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台。一般而言，防火墙、VPN、入侵防御、防病毒是必备的功能模块，缺少任何一个不能称之为UTM，其余功能用户可以根据自身需求进行选择。52UTM的特点优点将防病毒、入侵检测、网络过滤等多种同能融合在一台设备中，安全防护能力比单台设备大大增加提供综合的功能和安全的性能，降低了复杂度，也降低了成本能为用户定制安全策略，提供灵活性内部各个功能模块遵循同样的管理接口，在使用上也远较传统的安全产品简单能提供全面的管理、报告和日志平台，用户可以统一地管理全部安全特性不足容易存在单点故障本身安全漏洞也更容易会造成严重损失设备对性能要求较高53网络准入控制（NAC）通过对连入网络的客户端设备进行授权，以防止病毒和蠕虫等恶意代码对网络安全造成危害。通过NAC，可以只允许合法的、值得信任的端点设备（例如PC、服务器、笔记本、智能手机等）接入网络，而不允许其它设备接入检查设备的“状态”，能确保等待接入网络