网络安全架构设计及安全设备部署

1、网络安全架构设计及安全设备部署技术创新，变革未来2目 录内网安全架构的设计与安全产品的部署安全扫描技术防火墙技术入侵检测技术IPSec VPN和SSL VPN技术3网络信息安全的基本问题网络信息安全的基本问题保密性完整性可用性可控性可审查性最终要解决是使用者对基础设施的信心和责任感的问题。4网络与信息安全体系要实施一个完整的网络与信息安全体系，至少应包括三类措施，并且三者缺一不可。社会的法律政策、规章制度措施技术措施审计和管理措施5网络安全设计的基本原则要使信息系统免受攻击，关键要建立起安全防御体系，从信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否认性等。在进行计算

2、机网络安全设计、规划时，应遵循以下原则：需求、风险、代价平衡分析的原则 综合性、整体性原则一致性原则易操作性原则适应性、灵活性原则多重保护原则6网络安全解决方案网络安全解决方案的基本概念网络安全解决方案可以看作是一张有关网络系统安全工程的图纸，图纸设计的好坏直接关系到工程质量的优劣。总体来说，网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术等多方面的安全技术。 7一份好的网络安全解决方案，不仅仅要考虑到技术，还要考虑到策略和管理。技术是关键策略是核心管理是保证在整个网络安全解决方案中，始终要体现出这三个方面的关系。8网络

3、安全解决方案设计9安全需求分析网络系统的总体安全需求是建立在对网络安全层次分析基础上的。对于基于TCP / IP协议的网络系统来说，安全层次是与TCP/IP协议层次相对应的。针对该企业网络的实际情况，可以将安全需求层次归纳为网络层安全和应用层安全两个技术层次，同时将在各层都涉及的安全管理部分单独作为一部分进行分析。10网络层需求分析网络层安全需求是保护网络不受攻击，确保网络服务的可用性。保证同Internet互联的边界安全能够防范来自Internet的对提供服务的非法利用防范来自Internet的网络入侵和攻击行为的发生对于内部网络提供高于网络边界更高的安全保护11应用层需求分析应用层的安全需

4、求是针对用户和网络应用资源的，主要包括：合法用户可以以指定的方式访问指定的信息；合法用户不能以任何方式访问不允许其访问的信息；非法用户不能访问任何信息；用户对任何信息的访问都有记录。12应用层要解决的安全问题包括非法用户利用应用系统的后门或漏洞，强行进入系统用户身份假冒非授权访问数据窃取数据篡改数据重放攻击抵赖13网络安全解决方案14电子政务网络拓扑概述内部核心子网INTERNET分支机构1分支机构215电子政务网络拓扑详细分析领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构116电子政务网络风险及需求分析领导层子网分支机构2业

5、务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1此人正试图进入网络监听并窃取敏感信息分支机构工作人员正试图在领导层子网安装木马分支机构工作人员正试图越权访问业务子网安装木马非内部人员正试图篡改公共网络服务器的数据17电子政务网络内网基础网络平台安全领导层子网业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网分支机构2分支机构1NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源INTERNETNEsec300 FW2035968?告警内网接口外网接口电源防火

6、墙FW1防火墙FW2防火墙FW3安全认证服务器安全管理器安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器交换机NEsec300 FW2035968?告警内网接口外网接口电源18内网核心网络与各级子网间的安全设计分支机构2INTERNET分支机构1NEsec300 FW2035968?告警内网接口外网接口电源 内部核心子网NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全

7、认证服务器19内网网络漏洞扫描系统设计分支机构2INTERNET分支机构1NEsec300 FW2035968?告警内网接口外网接口电源 内部核心子网NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器网络漏洞扫描器20内网网络入侵检测系统设计分支机构2INTERNET分支机构1NEsec300 FW2035968?告警内网接口外网接口电源 内部核心子网NEsec300 F

8、W2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器网络入侵检测探头网络入侵策略管理器21电子政务外网基础平台安全设计INTERNET办公厅办公业务网 （简称“内网”）路由器交换机安全管理器防火墙FW物理隔离器（K1)E-MAIL服务器WWW服务器应用服务器数据库服务器22外网网络漏洞扫描系统设计INTERNET办公厅办公业务网 （简称“内网”）路由器交换机安全管理器防火墙FW物理隔离器（K1

9、)E-MAIL服务器WWW服务器应用服务器数据库服务器网络漏洞扫描器23外网网络入侵检测系统设计INTERNET办公厅办公业务网 （简称“内网”）路由器交换机安全管理器物理隔离器（K1)E-MAIL服务器WWW服务器应用服务器数据库服务器网络漏洞扫描器网络入侵检测探头网络入侵策略管理器防火墙FW24外网WEB服务器安全设计INTERNET办公厅办公业务网 （简称“内网”）路由器交换机安全管理器物理隔离器（K2)E-MAIL服务器WWW服务器应用服务器数据库服务器防火墙FW物理隔离器（K1)办公厅办公业务网 （简称“内网”）政府系统办公业务资源网（简称“专网”）Web网站监测&自动修复系统 25

10、内网、外网和专网的隔离系统设计INTERNET办公厅办公业务网 （简称“内网”）路由器交换机安全管理器物理隔离器（K2)E-MAIL服务器WWW服务器应用服务器数据库服务器防火墙FW物理隔离器（K1)办公厅办公业务网 （简称“内网”）政府系统办公业务资源网（简称“专网”）26其它网络安全设备拨号检测系统上网行为管理系统DDOS防御网关VPN网关防病毒网关27安全扫描技术扫描目的查看目标网络中哪些主机是存活的（Alive）查看存活的主机运行了哪些服务WWWFTPEMAILTELNET查看主机提供的服务有无漏洞28IP扫描IP扫描Ping SweepingPing使用ICMP协议进行工作29IP扫

11、描ICMP协议负责差错的报告与控制。比如目标不可达，路由重定向等等 ICMP报文格式类型域(type)用来指明该ICMP报文的类型代码域(code)确定该包具体作用 0 8 16 31 类型 代码 校验和 其他字段（不同的类型可能不一样） 数据区 数据ICMP包头IP包头MAC帧头30IP扫描常用的ICMP报文Ping程序使用ICMP Echo Request/Reply报文名称类型ICMP Destination Unreachable（目标不可达）3ICMP Source Quench （源抑制）4ICMP Redirection（重定向）5ICMP Timestamp Request/R

12、eply（时间戳）13/14ICMP Address Mask Request/Reply（子网掩码）17/18ICMP Echo Request/Reply（响应请求/应答）8/031端口扫描端口Internet上主机间通讯总是通过端口发生的 端口是入侵的通道端口分为TCP端口与UDP端口因此，端口扫描可分类为TCP扫描UDP扫描32端口扫描基本扫描用Socket开发TCP应用服务器端客户端33端口扫描connect()函数int connect( SOCKET s, const struct sockaddr FAR *name, int namelen );当connect返回0时，连接

13、成功基本的扫描方法即TCP Connect扫描优点实现简单可以用普通用户权限执行缺点容易被防火墙检测，也会目标应用所记录34端口扫描隐秘扫描服务器端客户端connect35端口扫描TCP的连接建立过程客户机服务器发送SYN seq=x 接收SYN报文 发送SYN seq = y,ACK ack = x+1 接收SYN+ACK 发送ACK ack = y+1 接受ACK报文段 36端口扫描SYN扫描客户机服务器发送SYN seq=x 如果接收到SYN+ACK，表明服务器端口可连接如果服务器端口打开，则返回SYN+ACK如果服务器端口未打开，则返回RSTSYN+ACK如果接收到RST，表明服务器端

14、口不可连接RST37端口扫描SYN扫描的实现WinSock2接口Raw Sock方式，允许自定义IP包SockRaw = socket(AF_INET , SOCK_RAW , IPPROTO_IP); TCP包头标志位0 16 31源端口 目的端口 序列号 确认号 HLEN 保留 标志位 窗口 校验和 紧急指针 选项 填充 数据 保留保留Urgent pointACKPUSHRESETSYNFIN38端口扫描SYN扫描的优缺点优点：一般不会被目标主机所记录缺点：运行Raw Socket时必须拥有管理员权限39端口扫描FIN扫描关闭TCP连接的过程客户机服务器发送FIN seq=x 接收FIN

15、报文 发送FIN seq = y,ACK ack = x+1 接收FIN+ACK 发送ACK ack = y+1 接受ACK报文段 40端口扫描关闭一个并没有建立的连接，会产生以下情况对非连接FIN报文的回复TCP标准关闭的端口返回RST报文打开的端口忽略BSD操作系统与TCP标准一致其他操作系统均返回RST报文41TCP ACK扫描扫描主机向目标主机发送ACK数据包。根据返回的RST数据包有两种方法可以得到端口的信息。方法一是： 若返回的RST数据包的TTL值小于或等于64，则端口开放，反之端口关闭方法二是： 若返回的RST数据包的WINDOW值非零，则端口开放，反之端口关闭TCP ACK扫

16、描建立连接成功TCP ACK扫描建立连接成功42NULL扫描扫描主机将TCP数据包中的ACK、FIN、RST、SYN、URG、PSH(接收端将数据转由应用处理)标志位置空后（保留的RES1和RES2对扫描的结果没有任何影响）发送给目标主机。若目标端口开放，目标主机将不返回任何信息。若目标主机返回RST信息，则表示端口关闭。NULL扫描建立连接成功NULL扫描建立连接未成功43Xmas tree扫描（圣诞树扫描）XMAS扫描原理和NULL扫描的类似，将TCP数据包中的ACK、FIN、RST、SYN、URG、PSH标志位置1后发送给目标主机。在目标端口开放的情况下，目标主机将不返回任何信息若目标端

17、口关闭，则目标主机将返回RST信息XMAS扫描建立连接成功XMAS扫描建立连接未成功44端口扫描优点不会被记录到日志可以绕过某些防火墙netstat命令不会显示netstate命令只能显示TCP连接或连接的尝试缺点使用RAW IP编程，实现起来相对比较复杂利用BSD代码缺陷，可能被修复Open BSD不同操作系统结果不同，因此不完全可信45端口扫描UDP端口扫描目前扫描UDP端口只有一种方法：向目标UDP端口发送一些随机数据，如果端口关闭，则目标主机会回复ICMP端口不可达消息46慢速扫描随着防火墙的广泛应用，普通的扫描很难穿过防火墙去扫描受防火墙保护的网络。即使扫描能穿过防火墙，扫描的行为仍

18、然有可能会被防火墙记录下来。如果扫描是对非连续性端口、源地址不一致、时间间隔很长且没有规律的扫描的话，这些扫描的记录就会淹没在其他众多杂乱的日志内容中。使用慢速扫描的目的也就是这样，骗过防火墙和入侵检测系统而收集信息。虽然扫描所用的时间较长，但这是一种比较难以被发现的扫描。47乱序扫描乱序扫描也是一种常见的扫描技术，扫描器扫描的时候不是进行有序的扫描，扫描端口号的顺序是随机产生的，每次进行扫描的顺序都完全不一样，这种方式能有效地欺骗某些入侵检测系统而不会被发觉。48漏洞扫描漏洞是指系统硬件、操作系统、软件、网络协议、数据库等在设计上和实现上出现的可以被攻击者利用的错误、缺陷和疏漏。漏洞扫描程序

19、是用来检测远程或本地主机安全漏洞的工具。针对扫描对象的不同，漏洞扫描又可分为网络扫描、操作系统扫描、WWW服务扫描、数据库扫描以及无线网络扫描等。49端口扫描常用的端口扫描工具UNIX下的端口扫描工具NmapWindows下的端口扫描工具XScanSuperScanNmap for NT 50防火墙建筑业中的防火墙用在建筑单位间，防止火势的蔓延。在网络安全领域中，防火墙用来指应用于内部网络（局域网）和外部网络（Internet）之间的，用来保护内部网络免受非法访问和破坏的网络安全系统。 51防火墙功能示意 两个不同网络安全域间通信流的唯一通道，对流过的网络数据进行检查，阻止攻击数据包通过。安全

20、网域一安全网域二52防火墙主要功能过滤进、出网络的数据 ;防止不安全的协议和服务；管理进、出网络的访问行为 ；记录通过防火墙的信息内容与活动；对网络攻击进行检测与告警;防止外部对内部网络信息的获取提供与外部连接的集中管理；53防火墙不能防范的攻击来自内部的安全威胁；病毒开放应用服务程序的漏洞；特洛伊木马；社会工程；不当配置54衡量防火墙三大要求安全内部和外部间所有数据必须通过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身要安全管理良好的人机交互界面提供强劲的管理及扩展功能速度55防火墙发展历程主要经历了三个阶段：基于路由器的防火墙基于通用操作系统的防火墙基于安全操作系统的防火墙56防火

21、墙分类按实现技术分类：包过滤型代理型防火墙按体系结构分类：双宿/多宿主机防火墙屏蔽主机防火墙屏蔽子网防火墙混合结构57包过滤防火墙包过滤防火墙在决定能否及如何传送数据包之外，还根据其规则集，看是否应该传送该数据包普通路由器当数据包到达时，查看IP包头信息，根据路由表决定能否以及如何传送数据包 58静态包过滤防火墙 传输层 传输层 传输层 59路由与包过滤路由进行转发，过滤进行筛选源地址目标地址协议是否允许Host ASever XTCPYESHost ASever XUDPNOHost A外部网络目标路由Sever X接口1Sever X60包过滤所检查的内容源和目的的IP地址 IP选项 IP

22、的上层协议类型（TCP/UDP/ICMP） TCP和UDP的源及目的端口 ICMP的报文类型和代码 我们称这种对包头内容进行简单过滤的方式为静态包过滤61包过滤配置包过滤防火墙配置步骤：知道什么是应该和不应被允许，制定安全策略规定允许的包类型、包字段的逻辑表达用防火墙支持的语法重写表达式62规则制定的策略拒绝任何访问，除非被规则特别允许 允许任何访问，除非规则特别地禁止 允许拒绝允许拒绝63规则制定的策略过滤的两种基本方式按服务过滤：根据安全策略决定是否允许或拒绝某一种服务按规则过滤：检查包头信息，与过滤规则匹配，决定是否转发该数据包64依赖于服务的过滤 多数服务对应特定的端口，如要封锁输Te

23、lnet 、SMTP的连接，则Router丢弃端口值为23和25的所有数据包。典型的过滤规则有以下几种：只允许进来的Telnet会话连接到指定的内部主机只允许进来的FTP会话连接到指定的内部主机允许所有出去的Telnet会话 允许所有出去的FTP会话拒绝从某些指定的外部网络进来的所有信息65按规则过滤有些类型的攻击很难用基本包头信息加以鉴别，因为独立于服务。如果防范则需要定义规则1）源IP地址欺骗攻击 入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以

24、挫败这种源欺骗攻击。66按规则过滤2）源路由攻击攻击者为信息包指定一个穿越Internet的路由，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。3）残片攻击入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断，使数据包绕过用户定义的过滤规则。黑客希望过滤路由器只检查第一分段，而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中Fragment Offset=1的数据包，即可挫败残片的攻击。 67推荐的规则任何进入内网的数据包不能将内部地址作为源地址任何进入内网的数据

25、包必须将内部地址作为目标地址任何离开内网的数据包必须将内部地址作为源地址任何离开内网的数据包不能将内部地址作为目标地址任何进入或离开内网的数据包不能把一个私有地址或者/8作为源或目标地址68静态包过滤的优缺点优点：速度快价格低对用户透明缺点：配置难把握防范能力低没有用户身份验证机制69动态包过滤动态包过滤是Check Point的一项称为“Stateful Inspection”的专利技术，也称状态检测防火墙 。动态包过滤防火墙不仅以一个数据包的内容作为过滤的依据，还根据这个数据包在信息流位置加以判断。动态包过滤防火墙可阻止未经内网请求的外部通信，而允许内网请求的外部网站传入的通信 。70动态

26、包过滤防火墙71使用动态包过滤制定的规则Set internal=/24Deny ip from $internal to any in via eth0Deny ip from not $internal to any in via eth1Allow $internal access any dns by udp keep stateAllow $Internal acess any www by tcp keep stateAllow $internal access any ftp by tcp keep stateDeny ip from any to any72动态包过滤的优缺点优

27、点：基于应用程序信息验证一个包状态的能力记录通过的每个包的详细信息缺点：造成网络连接的迟滞系统资源要求较高73防火墙分类：包过滤代理型防火墙：应用代理型代理型防火墙：电路代理型代理型防火墙：NAT74代理服务技术 代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。75应用代理防火墙工作在应用层对所有规则内允许的应用程序作中转转发牺牲了对应用程序的透明性76应用代理防火墙应用代理防火墙77应用代理应用代理工作原理示意缓冲文件应用请求回复应用请

28、求回复78应用代理防火墙应用代理服务器的安全性屏蔽内网用户与外网的直接通信，提供更严格的检查提供对协议的控制，拒绝所有没有配置的连接提供用户级控制，可近一步提供身份认证等信息79应用代理的优缺点优点：可以隐藏内部网络的信息；可以具有强大的日志审核；可以实现内容的过滤；缺点：价格高速度慢 失效时造成网络的瘫痪80电路级代理电路级代理因此可以同时为不同的服务，如WEB、FTP、TELNET提供代理服即SOCKS代理，它工作在传输层。81应用代理应用代理工作在应用层，对于不同的服务，必须使用不同的代理软件。应用代理内部主机WEB服务FTP服务WEBFTP82电路级代理优缺点优点：隐藏内部网络信息配置

29、简单，无需为每个应用程序配置一个代理缺点：多数电路级网关都是基于TCP端口配置，不对数据包检测，可能会有漏洞83NAT防火墙NAT定义 NAT（Network Address Transla- tion）网络地址翻译最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到网上的IP地址编号问题 84NAT防火墙NAT提供的功能内部主机地址隐藏网络负载均衡网络地址交叠85NAT（网络地址翻译）根据内部IP地址和外部IP地址的数量对应关系，NAT分为：基本NAT：简单的地址翻译M-1，多个内部网地址翻译到1个IP地址M-N，多个内部网地址翻译到N个IP地址池86NAT的

30、优缺点优点管理方便并且节约IP地址资源。隐藏内部 IP 地址信息。仅当向某个外部地址发送过出站包时，NAT 才允许来自该地址的流量入站。 缺点外部应用程序却不能方便地与 NAT 网关后面的应用程序联系。 87防火墙布置简单包过滤路由双宿/多宿主机模式屏蔽主机模式屏蔽子网模式88包过滤路由内部网络外部网络包过滤路由器优点：配置简单缺点：日志没有或很少，难以判断是否被入侵规则表会随着应用变得很复杂单一的部件保护，脆弱89双宿/多宿主机模式堡垒主机：关键位置上用于安全防御的某个系统，攻击者攻击网络必须先行攻击的主机。双宿/多宿主机防火墙又称为双宿/多宿网关防火墙，它是一种拥有两个或多个连接到不同网络

31、上的网络接口的防火墙，通常用一台装有两块或多块网卡的堡垒主机做防火墙，两块或多块网卡各自与受保护网和外部网相连 90双宿/多宿主机模式内部网络外部网络应用代理服务器完成：对外屏蔽内网信息设置访问控制对应用层数据严格检查91优点：配置简单检查内容更细致屏蔽了内网结构缺点：应用代理本身的安全性92屏蔽主机内部网络外部网络包过滤路由堡垒主机两道屏障：网络层的包过滤；应用层代理服务注：与双宿主机网关不同，这里的应用网关只有一块网卡。Web服务器93屏蔽主机优点：双重保护，安全性更高。实施策略：针对不同的服务，选择其中的一种或两种保护措施。94屏蔽子网内部网络外部网络外部路由器内部路由器周边网络（DMZ

32、）95屏蔽子网1）周边网络：非军事化区、停火区（DMZ）周边网络是另一个安全层,是在外部网络与内部网络之间的附加的网络。对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。2）内部路由器（阻塞路由器）：保护内部的网络使之免受Internet和周边子网的侵犯。它为用户的防火墙执行大部分的数据包过滤工作96屏蔽子网3）外部路由器：在理论上，外部路由器保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。外部路由器安全任务之一是：阻止从Internet上伪造源地址进来的任何数据包。97优

33、点安全性较高可用性较好缺点配置复杂成本高98PIX994种管理访问模式 非特权模式 PIX防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall 特权模式 输入enable进入特权模式，可以改变当前配置。显示为pixfirewall# 配置模式 输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)# 监视模式 PIX防火墙在开机或重启过程中，按住Escape键或发送一个Break字符，进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor1006个基本命令 nameifinterfacei

34、p addressnatglobalroute 101nameif 配置防火墙接口的名字，并指定安全级别 Pix525(config)#nameif ethernet0 outside security 0 Pix525(config)#nameif ethernet1 inside security 100Pix525(config)#nameif ethernet2 dmz security 50在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100。安全级别取值范围为199，数字越大安全级别越高。 102inte

35、rface 配置以太口参数 Pix525(config)#interface ethernet0 auto auto选项表明系统自适应网卡类型Pix525(config)#interface ethernet1 100full100full选项表示100Mbit/s以太网全双工通信 Pix525(config)#interface ethernet1 100full shutdown shutdown选项表示关闭这个接口，若启用接口去掉shutdown103ip address Pix525(config)#ip address outside 2 48 Pix525(config)#ip a

36、ddress inside 很明显，Pix525防火墙在外网的ip地址是2，内网ip地址是 104nat 指定要进行转换的内部地址 网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。 105nat命令配置语法nat (if_name) nat_id local_ip netmark 其中（if_name）表示内网接口名字，例如inside。nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_

37、ip 表示内网被分配的ip地址。例如表示内网所有主机可以对外访问。netmark表示内网ip地址的子网掩码。106nat例子例1Pix525(config)#nat (inside) 1 0 0 表示启用nat,内网的所有主机都可以访问外网，用0可以代表例2Pix525(config)#nat (inside) 1 表示只有这个网段内的主机可以访问外网。107global 指定外部地址范围 global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。global命令的配置语法：global (if_name) nat_id ip_address-ip_address netmark g

38、lobal_mask 其中（if_name）表示外网接口名字，例如outside.。Nat_id用来标识全局地址池，使它与其相应的nat命令相匹 配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。netmark global_mask表示全局ip地址的网络掩码。 108global 例子例1Pix525(config)#global (outside) 1 2-8 表示内网的主机通过pix防火墙要访问外网时，pix防火墙将使用2-8这段ip地址池为要访问外网的主机分配一个全局ip地址。例2Pix525(config)#global (outside) 1

39、 2 表示内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用2这个单一ip地址。例3. Pix525(config)#no global (outside) 1 2 表示删除这个全局表项。109route 设置指向内网和外网的静态路由（route） 定义一条静态路由。 route命令配置语法：route (if_name) 0 0 gateway_ip metric 其中（if_name）表示接口名字，例如inside，outside。gateway_ip表示网关路由器的ip地址。metric表示到gateway_ip的跳数。通常缺省是1。110例1 Pix525(config)#r

40、oute outside 0 0 68 1 表示一条指向边界路由器（ip地址68）的缺省路由。例2 Pix525(config)#route inside 1 创建了一条到网络的静态路由，静态路由的下一条路由器ip地址是 Pix525(config)#route inside 1 111static 配置静态IP地址翻译如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。 static (internal_if_name，external_if_name) outside_ip_address inside_ ip_a

41、ddress 其中internal_if_name表示内部网络接口，安全级别较高，如inside。external_if_name为外部网络接口，安全级别较 低，如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。 112conduit 管道命令前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡。conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别

42、的接口，例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。 113conduit命令配置语法conduit permit | deny global_ip port-port protocol foreign_ip netmask permit | deny 允许 | 拒绝访问 global_ip 指的是先前由global或static命令定义的全局ip地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。 port 指的是服务所作用的端口，例如www使用80

43、，smtp使用25等等，我们可以通过服务名称或端口数字来指定端口protocol 指的是连接协议，比如：TCP、UDP、ICMP等。foreign_ip 表示可访问global_ip的外部ip。对于任意主机，可以用any表示。如果foreign_ip是一台主机，就用host命令参数。114例1. Pix525(config)#conduit permit tcp host eq www any 这个例子表示允许任何外部主机对全局地址的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访问。例2. Pix525(config)

44、#conduit deny tcp any eq ftp host 9 表示不允许外部主机9对任何全局地址进行ftp访问。例3. Pix525(config)#conduit permit icmp any any 表示允许icmp消息向内部和外部通过。115例4. Pix525(config)#static (inside, outside) 2 Pix525(config)#conduit permit tcp host 2 eq www any这个例子说明static和conduit的关系。在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到 web服务。所以先做stat

45、ic静态映射： 2（全局），然后利用conduit命令允许任何外 部主机对全局地址2进行http访问。 116配置fixup协议 fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。 例1Pix525(config)#fixup protocol ftp 21 启用ftp协议，并指定ftp的端口号为21 例2Pix525(config)#fixup protocol http 80 Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。 例3Pix525(c

46、onfig)#no fixup protocol smtp 80 禁用smtp协议。117telnet从内网telnet：telnet 55 inside 从外网需要使用IPSEC VPN118防火墙的不足无法发现和阻止对合法服务的攻击；无法发现和阻止源自其它入口的攻击；无法发现和阻止来自内部网络的攻击；无法发现和阻止来自特洛伊木马的威胁；119绕过防火墙的攻击穿过防火墙的攻击行为IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，如果用户提供一些特殊的

47、编码，将导致IIS错误的打开或者执行某些web根目录以外的文件。 120据统计80%的成功攻击来自于防火墙内部！121入侵检测技术通过对计算机网络或计算机系统中若干关键点信息的收集和分析，从中发现网络或系统中是否有违反安全策略行为和被攻击迹象的一种安全技术。 122入侵检测的作用检测防护部分阻止不了的入侵 检测入侵的前兆 入侵事件的归档 网络受威胁程度的评估 帮助从入侵事件中恢复 123防火墙与入侵检测防火墙属于信息保障的保护环节门禁系统入侵检测属于信息保障的检测环节监控系统124入检测检测历史入侵检测的发源1980，James Anderson 提出入侵检测的设想1987，Dorothy D

48、enning提出入侵检测系统抽象模型主机入侵检测1988，出现一批基于主机审计信息的入侵检测系统网络入侵检测1990，开始出现基于网络数据的入侵检测系统入侵检测的新技术与新方法致力于提高入侵检测系统的可伸缩性、可维护性、容错性。一些新的思想，如免疫、信息挖掘引入到入侵检测领域125入侵检测的核心任务攻击者进行攻击的时候会留下痕迹，这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测的任务就是从混合的数据中找出入侵的痕迹并作出响应。126通用入侵检测框架CIDF体系结构：阐述了一个标准的IDS的通用模型组件通信：定义了IDS组件之间进行通信的标准协议语言规范：定义了一个用来描述各种检测信息的

49、标准语言编程接口：提供了一整套标准的应用程序接口127CIDF体系结构128CIDF组件事件产生器（Event generators）事件分析器（Event analyzers）事件数据库（Event databases）响应单元（Response units）129事件产生器数据获取主机入侵检测：系统审计记录，应用程序日志网络入侵检测 ：网络流量复合型入侵检测：其它安全产品的数据，如防火墙的事件记录130事件分析器数据分析模式匹配统计分析131事件数据库数据管理保存事件信息，包括正常事件和入侵事件用来存储临时处理数据，扮演各个组件之间的数据交换中心 132响应单元行为响应主动响应：自动干涉入

50、侵，如切断怀疑可能是攻击行为的TCP连接，与防火墙联动操作阻塞后续的数据包，甚至向被怀疑是攻击来源的主机发动反击被动响应：仅仅启动告警机制，向管理员提供信息，由管理员采取相应行动133信息收集技术系统日志文件日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等方面的内容以用户活动为例，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的访问企图等等。134信息收集技术网络流量远程的网络攻击伴随着攻击数据的发送，比如扫描、口令攻击、远程的缓冲区溢出、脚本攻击、假消息攻击等。另外一些攻

51、击可能使网络流量产生异常，比如特洛伊木马、服务拒绝等等。135信息收集技术系统目录和文件的异常变化入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。136信息收集技术程序执行中的异常行为针对程序漏洞的攻击，常导致程序产生异常的行为，如发生缓冲区溢出，进行权限提升等。137信息分析技术信息分析技术的技术指标误报率漏报率常用的信息分析技术包括模式匹配（基于知识的检测）统计分析（基于行为的检测）13

52、8模式匹配过程：监控 特征提取 匹配 判定139模式匹配的特点前提：所有的入侵行为都有可被检测到的特征特点：系统负担小准确度高不能检测未知的入侵140统计分析过程：监控 量化 比较 判定 修正141统计分析的特点前提入侵是异常活动的子集 特点：测系统能针对用户行为的改变进行自我调整和优化能检测到未知的入侵和更为复杂的入侵对系统资源消耗大系统误报相对比较高，且不能适应用户正常行为的突然改变。142入侵检测部署目标：检测整个网络信息143共享网络的入侵检测部署IDS SensorConsoleHUBMonitored Servers144交换网络的入侵检测部署IDS SensorConsole通过

53、端口镜像实现（SPAN / Port Monitor）SwitchMonitored Servers145分段网络的部署在一个分段的网络中，应保证IDS的探测器可以监听到所有网络数据IDS SensorConsoleIDS SensorSwitchMonitored ServersMonitored ServersRouter146发展趋势分析技术的改进 内容恢复和网络审计功能的引入 集成网络分析和管理功能 安全性和易用性的提高 改进对大数据量网络的处理方法 防火墙联动功能 入侵防护系统（IPS） 147IPS148TCP/IP协议栈对应的VPN协议149VPN技术及应用简介- IPSECIP

54、SEC协议简介 （RFC24012409等）IPSec（网络安全协议）协议是一个协议集而不是一个单个的协议；IPSec协议给出了应用于IP层上网络数据安全的一整套体系结构；自1995年IPSec的研究工作开始以来，IETF组织已经积累了大量的标准文件集（RFC）。150VPN技术及应用简介- IPSEC IPSec协议的组成IPSec协议包括AH协议、ESP协议、密钥管理协议（IKE协议）和用于网络验证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网络安全服务。151IPSec基本原理对报文进行安全封装后再在

55、不可信赖网络上传输并检查和解除接收到的报文的安全封装IPSEC隧道报文封装报文解封AB152VPN技术及应用简介- IPSECIPSec 认证AH协议其使用的包头号放在标准的IPv4和IPv6包头和下一个高层协议帧（如TCP、UDP、ICMP、ESP等）之间；国际IANA机构分配给AH的协议号为51。 IPv4包头AH包头高层协议AH协议提供数据的认证服务；保证数据在传输过程中没有被改变或破坏，数据的顺序也没有很大变化。153VPN技术及应用简介- IPSECIPSec 加密ESP协议其使用的包头号放在标准的IPv4和IPv6包头和下一个高层协议帧（如TCP、UDP、ICMP等）之间。国际IA

56、NA机构分配给ESP的协议号为50。IPv4包头ESP包头高层协议ESP协议为IP数据包提供机密性、数据源验证、抗重播以及数据完整性等安全服务。154安全联盟（SA）安全联盟简称SA，是构成IPSec的基础。SA是两个通信实体经协商建立起来的一种协定。SA是单向的，双向的通信需要两个SA。主机A主机BSA（out）SA（in）SA（in）SA（out）共享相同的加密参数共享相同的加密参数155安全联盟（SA）SA是安全策略通常用一个三元组唯一的表示： SPI：安全参数索引(Security Parameters Index)，说明用SA的IP头类型，它可以包含认证算法、加密算法、用于认证加密的

57、密钥以及密钥的生存期；IP目的地址：指定输出处理的目的IP地址，或输入处理的源IP地址；安全协议标识符：指明使用的协议是AH还是ESP或者两者 同时使用。 156安全关联数据库SAD SAD存放着和安全实体相关的所有SA，每个SA由三元组索引。一个SAD条目包含下列域： 序列号计数器：32位整数，用于生成AH或ESP头中的序列号；序列号溢出标志：标识是否对序列号计数器的溢出进行审核；抗重发窗口：使用一个32位计数器和位图确定一个输入的AH或ESP数据包是否是重发包；IPSec协议操作模式：传输或隧道；AH的认证算法和所需密钥；ESP的认证算法和所需密钥；ESP加密算法，密钥，初始向量（IV）和

58、IV模式；路径最大传输单元；进出标志；SA 生存期状态。 157安全策略数据库SPDSPD决定了对数据包提供的安全服务，所有IPSec 实施方案的策略都保存在该数据库中。IP包的处理过程中，系统要查阅SPD，每一个数据包，都有三种可能的选择：丢弃、绕过IPSec或应用IPSec:丢弃：根本不允许数据包离开主机穿过安全网关；绕过：允许数据包通过，在传输中不使用IPSec进行保护；应用：在传输中需要IPSec保护数据包，对于这样的传输SPD必须规定提供的安全服务、所使用的协议和算法等等。 158IPSec对数据包的处理TCP层产生的或者需要转发的数据包安全关联？处理策略？查询SPD丢弃绕过IPSe

59、c应用IPSec，查询SADSA不存在或SA无效进行IPSec处理添加IPSec头SA有效添加IP头，送到IP层发送队列返回丢弃数据包，记录出错信息 协商成功？启动IKE协商否是159SA的管理SA管理的两大任务创建先协商SA参数，再用SA更新SADB删除SA管理方式手工进行通过Internet密钥交换协议来完成，如IKE160IPSec两种安全机制IPSec提供了两种安全机制：认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改；加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。 AH定义了认证的应用方法，提供数据源认证

60、和完整性保证；ESP定义了加密和可选认证的应用方法，提供可靠性保证。IKE的作用是协助进行安全管理，它在IPSec 进行处理过程中对身份进行鉴别，同时进行安全策略的协商和处理会话密钥的交换工作。 161IP认证包头AHAH协议提供无连接的完整性、数据源认证和抗重发保护服务，但不提供保密性服务。它能保护通信免受篡改，但不能防止窃听，适用于传输非机密数据。AH在每一个数据包上添加一个身份验证包头。 IP头 IPSec AH头 传输层头（TCP/UDP） 数 据 下一个包头 长度 保留 安全参数索引(SPI) 序列号 认证数据162AH包头字段下一个包头(Next Header，8位)：标识紧跟AH