第四章网络安全技术课件

2023/1/34.2.1防火墙体系结构基于网络防火墙的部件类型屏蔽路由器（Screeningrouter）实施分组过滤能够阻断网络与某一台主机的IP层的通信堡垒主机（Bastionhost）一个网络系统中安全性最强的计算机系统安全性受到最严密的监视没有保护的信息不能作为跳板实施分组代理2022/12/114.2.1防火墙体系结构基于网络防火墙2023/1/3网络防火墙体系结构双重宿主机体系结构基于堡垒主机屏蔽主机体系结构基于堡垒主机和屏蔽路由器被屏蔽子网体系结构双重屏蔽路由器2022/12/11网络防火墙体系结构双重宿主机体系结构2023/1/3双重宿主主机(dual-homedhost)连接因特网和局域网过滤和代理2022/12/11双重宿主主机(dual-homedho2023/1/3屏蔽主机(ScreenedHost)用包过滤和应用代理的双重安全保护包过滤器连接因特网代理服务器为局域网上的客户机提供服务2022/12/11屏蔽主机(ScreenedHost)用2023/1/3屏蔽子网(ScreenedSubnet)添加额外的安全层进一步地把内部网络与Internet隔离开DMZ2022/12/11屏蔽子网(ScreenedSubnet2023/1/34.2.2防火墙的安全策略安全策略的两个层次网络服务访问策略防火墙设计策略设计策略用户账号策略用户权限策略信任关系策略分组过滤策略认证、签名和数据加密策略密钥管理策略审计策略2022/12/114.2.2防火墙的安全策略安全策略的两2023/1/3用户账号策略口令最小长度口令最长有效期口令历史口令存储方式用户账号锁定方式在若干次口令错误之后2022/12/11用户账号策略口令最小长度2023/1/3用户权限策略备份文件权限远程/本地登录访问权限远程/本地关机权限更改系统时间权限管理日志权限删除/还原文件权限设置信任关系权限卷管理权限安装/卸载设备驱动程序权限2022/12/11用户权限策略备份文件权限2023/1/3审计策略成功或者不成功的登录事件成功或者不成功的对象访问成功或者不成功的目录服务访问成功或者不成功的特权使用成功或者不成功的系统事件成功或者不成功的账户管理事件2022/12/11审计策略成功或者不成功的登录事件2023/1/34.2.3防火墙技术分组过滤技术依据IP分组的源地址和目的地址源端口号和目的端口号传送协议优点可以实现粗颗粒的网络安全策略容易实现配置成本低速度快局限性配置分组过滤规则比较困难不能识别分组中的用户信息不能抵御IP地址欺骗2022/12/114.2.3防火墙技术分组过滤技术2023/1/3例4-1某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特网上的访问(123.45/16)。该网络中有一个特殊子网(/24)是一个与某大学合作的，该大学的网址是135.79。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网(/24)访问。试设计制订过滤规则。2022/12/11例4-1某一个具有B类网络123.45的2023/1/3解某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特网上的访问(123.45/16)。该网络中有一个特殊子网(/24)是一个与某大学合作的，该大学的网址是135.79。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网(/24)访问。试设计制订过滤规则。制订过滤规则如下2022/12/11解某一个具有B类网络123.45的公司的2023/1/3例4-2处于一个C类网络的防火墙，第一，希望阻止网络中的用户访问主机；假设需要阻止这个主机的Telnet服务，对于Internet的其他站点，允许网络内部用户通过Telnet方式访问，但不允许网络外部其他站点以Telnet方式访问网络。第二，为了收发电子邮件，允许SMTP出站入站服务，邮件服务器的IP地址为。第三，对于WWW服务，允许内部网用户访问Internet上任何网络和站点，但只允许一个公司的网络访问内部WWW服务器，内部WWW服务器的IP地址是。试根据以上要求设计过滤规则。2022/12/11例4-2处于一个C类网络116.111.2023/1/3解23：telnet25：SMTP80:web>1023:非系统进程2022/12/11解23：telnet80:web2023/1/3地址过滤配置实例2022/12/11地址过滤配置实例2023/1/3配置结果2022/12/11配置结果2023/1/3

问题1DMZ某屏蔽子网的应用代理服务器中，对外接口的IP地址是，对内接口的IP地址为。问如何配置包过滤器规则，使得所有的内网与外网的通信都经过代理服务器的检查和传递。2022/12/11问题1DMZ某屏蔽子网的应用代理服务器2023/1/3解答某屏蔽子网的应用代理服务器中，对外接口的IP地址是，对内接口的IP地址为。问如何配置包过滤器规则，使得所有的内网与外网的通信都经过代理服务器的检查和传递。规则方向协议源地址目地址源端口目端口动作AIn----允许Bout----允许C------禁止规则方向协议源地址目地址源端口目端口动作Ain----允许Bout----允许C------禁止包过滤器B包过滤器A2022/12/11解答某屏蔽子网的应用代理服务器中，对外接2023/1/3问题2主机防火墙如何对UDP进行过滤UDP请求可能来自打印机或扫描仪2022/12/11问题2主机防火墙如何对UDP进行过滤2023/1/3防火墙安全策略的例子AllowallinboundandoutboundICMPAllowinboundTCP445fromhosts–55BlockallinboundTCPBlockallinboundUDPAllowalloutboundTCPAllowalloutboundUDP2022/12/11防火墙安全策略的例子Allowall2023/1/3代理服务技术代理客户机与服务器之间的一个应用层中介在两者之间传递应用程序的信息可以根据数据包的内容进行检测应用代理的原理隔断通信双方的直接联系将内部网络与外部网络从网络层起分开所有通信都必须经应用层的代理进行转发用另外的连接和封装转发应用层信息2022/12/11代理服务技术代理2023/1/3代理服务技术特点安全性较高能够识别应用层信息数据重新封装应用滞后不支持没有开发代理的网络应用客户端配置较复杂需要在客户端进行代理设置要求应用层数据中不包含加密、压缩数据Email中做不到代理的实例网络地址转换器（NAT）URL过滤器（Web应用层）2022/12/11代理服务技术特点2023/1/3NAT网络层/传输层代理提供外网IP地址与内网地址之间的转换方便路由汇聚与IPv6网络连通使得外网地址重用分类静态NAT将内部地址与外部地址固定地一一对应动态NAT将多个内部地址与同一个外部地址对应（分时使用）通过TCP/UDP端口号区分（NAPT）IPv4/IPv4NAT

(RFC1631,RFC2663,RFC3022,RFC3235)IPv4/IPv6NAT

(RFC2766,RFC2765,RFC3027)2022/12/11NAT网络层/传输层代理2023/1/3例4-3NATSA=DA=SA=DA=SA=DA=SA=DA=2022/12/11例4-3NATSA=023/1/3例4-4NAPT2022/12/11例4-4NAPT2023/1/3NAPT将地址转换扩展到端口号全转换FullCone外网随时可以利用映射后的地址给内网发送UDP报文受限转换RestrictedCone当内网主机向外网发送数据分组后，外网才可以利用映射后的地址给内网发送UDP报文端口受限转换PortRestrictedCone当内网主机向外网发送数据分组后，外网才可以利用映射后相同的地址和端口号给内网发送UDP报文对称NATSymmetricNAT多个内网地址和端口号映射到同一个外网地址当内网主机向外网发送数据分组后，外网才可以利用映射后相同的地址和端口号给内网发送UDP报文2022/12/11NAPT将地址转换扩展到端口号2023/1/3NAT-PT地址转换静态地将每个IPv6地址转换成IPv4地址(NAT-PT)动态地将一个IPv6地址转换成一定期限的IPv4地址动态地将一个IPv6地址转换成IPv4地址和TCP/UDP端口号(NAPT-PT)协议转换在IPv4与对应的IPv6分组之间相互转换IPv4头与对应的IPv6头之间的相互转换TCP/UDP/ICMP校验和更新ICMPv4头与ICMPv6头之间的相互转换ICMPv4错误消息与ICMPv6错误消息的相互转换IPv4senderdoesnotperformpathMTUdiscovery

RFC27652022/12/11NAT-PT地址转换2023/1/3ProblemsofNAT

AndrewS.TanenbaumViolatesarchitecturemodelofIPChangestheInternetfromaconnectionlesstoconnection-orientedViolatestheroleofprotocollayeringDoesnotsupportothertransportprotocolDoesnotsupportIPaddressesinthebodyFTPandH.323worksthiswaybreaksmanyIPapplicationsRFC30272022/12/11ProblemsofNAT

And2023/1/3NAT穿透与语音通信H.323与SIP的共同点传输中需要建立两种通道控制通道媒体通道RTP/RTCP连接使用的UDP端口需要通过协商确定因为一台主机可能建立多条媒体通道（多个媒体流）要求防火墙打开所有的端口号发起呼叫方的IP地址在分组的载荷中根据这个IP地址发回的分组将被防火墙阻挡防火墙的穿透问题NAT-FriendlyApplicationDesignGuidelines在分组中不包含IP地址和端口号许多协议无法根据这个指导原则构建RFC32352022/12/11NAT穿透与语音通信H.323与SIP的2023/1/3NAT穿透与语音通信解决方案应用级网关ALG

(ApplicationLayerGateways)存放应用层信息并用于NAT修改应用层信息中的IP地址需要更新已有的NAT扩展性问题、可靠性问题和新应用布署问题FullProxy由专门的应用层代理对业务流进行转发代理在防火墙的外部对载荷中的IP地址进行处理对应答分组中的IP地址进行转换NAT2022/12/11NAT穿透与语音通信解决方案NAT2023/1/3TraverseaFirewallMIDCOM

MiddleboxCommunicationsprotocol采用应用代理与NAT通信允许一个应用实体控制NAT需要更新当前的NAT和防火墙

RFC3303STUNSimpletraversalofUDPthroughNAT使得应用程序能发现NAT和防火墙的存在通过发送绑定请求给STUN服务器并比较应答中的IP地址和端口号使得应用程序发现映射的地址和端口号确定NAT的地址映像把映射后的地址放在分组载荷中RFC34892022/12/11TraverseaFirewallM2023/1/3TraverseaFirewall

建立高层隧道FirewallEnhancementProtocol(FEP)allowsANYapplicationtotraverseaFirewall可以使用固定的端口号TCP/IPpacketencodedintoHTTPcommandRFC3093AppTCPIPFEPTCPIPIPTCPFEPIPTCPAppfirewall局限性？2022/12/11TraverseaFirewall2023/1/3TraverseaFirewallIPsecFirewalltraversal为IPsec穿越NAT而建立的UDP隧道theinitiatorisbehindNA(P)TandtheresponderhasafixedstaticIPaddressPortno=4500TheremotehostdetectthepresenceofNATanddeterminetheNATtraversalcapabilitydetectwhethertheIPaddressortheportchangesalongthepathbysendingthehashesoftheIPaddressesandportsUDPEncapsulationofIPsecESPPacketsRFC3948NegotiationofNAT-TraversalintheIKERFC39472022/12/11TraverseaFirewallI2023/1/3状态检测技术会话层代理基于入侵检测能够根据上层协议的状态进行过滤对网络通信的各个协议层次实施监测不仅检查数据分组的TCP/IP头利用状态表跟踪每一个会话的状态记录会话的序列透明性较好不修改应用程序的执行过程和处理步骤2022/12/11状态检测技术会话层代理2023/1/3基于网络防火墙的不足之处基于分组网络头信息容易被篡改无双向的身份验证粗颗粒的访问控制防外不防内不能防止旁路不能预防新的攻击手段不能防范病毒和后门2022/12/11基于网络防火墙的不足之处基于分组网络头信2023/1/3新型防火墙技术可信信息系统技术加强认证计算机病毒检测防护技术和密码技术加强应用层数据检查自适应代理适应新的应用新功能spam过滤Web站点过滤2022/12/11新型防火墙技术可信信息系统技术2023/1/34.3入侵检测识别越权使用计算机系统的人员及其活动网络活动监视器基本假设入侵者的行为方式与合法用户是不同的目标发现新的入侵行为对入侵事件的可说明性能够对入侵事件做出反应2022/12/114.3入侵检测识别越权使用计算机系统的人2023/1/3入侵检测方法记录有关证据实时地检测网络中的所有分组或检测主机的状态及日志或审计信息识别攻击的类型评估攻击的威胁程度发出告警信息或主动采取措施阻止攻击入侵防御2022/12/11入侵检测方法2023/1/34.3.1入侵分类攻击的方式本地攻击远程攻击伪远程攻击网络上的安全弱点管理漏洞软件漏洞结构漏洞信任漏洞跳板（Zombie）

2022/12/114.3.1入侵分类攻击的方式跳板（Zom2023/1/3常见网络入侵类型拒绝服务攻击网络流量攻击阻断协议攻击基于网络窃取、伪造、篡改、阻断用户账号攻击基于主机窃取、伪造、篡改2022/12/11常见网络入侵类型拒绝服务攻击2023/1/3网络入侵的方式端口扫描（portscanning）IP哄骗（IPsmurfing）洪泛攻击（flooding）缓存溢出（bufferoverrun）脚本攻击（scriptattack）口令探测（passwordsniffing）会话劫持（sessionhijacking）2022/12/11网络入侵的方式端口扫描（portsca2023/1/3网络入侵的例子Land攻击（landattack）SYN分组中IP源地址和目标地址相同造成死机泪滴攻击（teardropping）一些操作系统在收到含有重叠偏移的伪造分段时将崩溃ICMP洪泛攻击（ICMPflooding）广播ICMP应答请求（ping）加上假冒的返回地址使得应答包返回到某一台被攻击的主机错误长度攻击（lengtherror）未知协议类型攻击（unknownprotocol）2022/12/11网络入侵的例子Land攻击（landa2023/1/3网络入侵的例子UDP炸弹攻击（UDPbomb）伪造UDP长度字段使它的值大于实际的UDP报文长度UDP端口扫描（UDPscanning）TCP端口扫描（TCPscanning）SYN洪泛攻击（SYNflooding）UDP洪泛（UDPflooding）发送大量带有假返回地址的UDP包PHF攻击（PHFattack）apacheweb服务器早期版本中的PHF脚本网虫（Worm)

消耗网络带宽和缓存资源CodeRed,SQLSlammer2022/12/11网络入侵的例子UDP炸弹攻击（UDP2023/1/3SYN洪泛攻击主机A主机BSyn,Seq=xSyn,Seq=y,ACK=x+1ACK=y+12022/12/11SYN洪泛攻击主机A主机BSyn,S2023/1/3从网络对主机进行入侵的阶段搜集资料探测目标机IP地址扫描端口口令猜测用户名猜测进入系统利用猜测的口令利用缓存溢出利用后门驻留建立新文件修改系统文件启动黑客进程启动陷阱进程传播发email发web连接请求通过FTP感染局域网内共享文件攻击破坏删除文件修改文件拒绝服务窃取信息状态分析2022/12/11从网络对主机进行入侵的阶段搜集资料传播状2023/1/3IPv6的可信性Reliability自动配置Security巨大的稀疏地址空间可抵御恶意的自动端口扫描和自动传播的蠕虫IPv4/v6双地址机制可以进一步增加扫描的难度自动配置的地址可动态改变以抵御重复入侵通过IPsec支持网络数据安全2022/12/11IPv6的可信性Reliability2023/1/34.3.2入侵检测系统要求可用性连续高效运行而不需要人工干预具有较低的系统运行开销可靠性能够从系统崩溃中恢复过来能够防止自身被篡改可管理性能够精确地实现安全策略自适应性能够适应用户行为的改变例如在安装了新的软件之后用户的行为会发生变化可扩展性适应系统规模的扩张2022/12/114.3.2入侵检测系统要求2023/1/3系统构成活动(activity)数据源的事例被探测器（sensor）或者分析器识别管理员制订安全策略的人员部署和配置ID系统探测器从数据源收集信息如网卡的“混杂”（promiscuous）模式数据源原始数据如网络上的数据包、监控日志事件数据源中发生的需要检测的情况分析器分析探测器收集的数据2022/12/11系统构成活动(activity)2023/1/3系统构成警告分析器给管理器的消息表示检测到一个入侵事件提示（notification）在屏幕上显示、发Email或短消息管理器探测器的配置分析器的配置事件提示管理数据汇总和报告安全策略预定义的文档定义允许和禁止的服务2022/12/11系统构成警告2023/1/34.3.3入侵检测技术1.入侵检测方法分类分类一集中式入侵检测方法基于主机基于网络分布式入侵检测方法2022/12/114.3.3入侵检测技术2023/1/34.2.1防火墙体系结构基于网络防火墙的部件类型屏蔽路由器（Screeningrouter）实施分组过滤能够阻断网络与某一台主机的IP层的通信堡垒主机（Bastionhost）一个网络系统中安全性最强的计算机系统安全性受到最严密的监视没有保护的信息不能作为跳板实施分组代理2022/12/114.2.1防火墙体系结构基于网络防火墙2023/1/3网络防火墙体系结构双重宿主机体系结构基于堡垒主机屏蔽主机体系结构基于堡垒主机和屏蔽路由器被屏蔽子网体系结构双重屏蔽路由器2022/12/11网络防火墙体系结构双重宿主机体系结构2023/1/3双重宿主主机(dual-homedhost)连接因特网和局域网过滤和代理2022/12/11双重宿主主机(dual-homedho2023/1/3屏蔽主机(ScreenedHost)用包过滤和应用代理的双重安全保护包过滤器连接因特网代理服务器为局域网上的客户机提供服务2022/12/11屏蔽主机(ScreenedHost)用2023/1/3屏蔽子网(ScreenedSubnet)添加额外的安全层进一步地把内部网络与Internet隔离开DMZ2022/12/11屏蔽子网(ScreenedSubnet2023/1/34.2.2防火墙的安全策略安全策略的两个层次网络服务访问策略防火墙设计策略设计策略用户账号策略用户权限策略信任关系策略分组过滤策略认证、签名和数据加密策略密钥管理策略审计策略2022/12/114.2.2防火墙的安全策略安全策略的两2023/1/3用户账号策略口令最小长度口令最长有效期口令历史口令存储方式用户账号锁定方式在若干次口令错误之后2022/12/11用户账号策略口令最小长度2023/1/3用户权限策略备份文件权限远程/本地登录访问权限远程/本地关机权限更改系统时间权限管理日志权限删除/还原文件权限设置信任关系权限卷管理权限安装/卸载设备驱动程序权限2022/12/11用户权限策略备份文件权限2023/1/3审计策略成功或者不成功的登录事件成功或者不成功的对象访问成功或者不成功的目录服务访问成功或者不成功的特权使用成功或者不成功的系统事件成功或者不成功的账户管理事件2022/12/11审计策略成功或者不成功的登录事件2023/1/34.2.3防火墙技术分组过滤技术依据IP分组的源地址和目的地址源端口号和目的端口号传送协议优点可以实现粗颗粒的网络安全策略容易实现配置成本低速度快局限性配置分组过滤规则比较困难不能识别分组中的用户信息不能抵御IP地址欺骗2022/12/114.2.3防火墙技术分组过滤技术2023/1/3例4-1某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特网上的访问(123.45/16)。该网络中有一个特殊子网(/24)是一个与某大学合作的，该大学的网址是135.79。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网(/24)访问。试设计制订过滤规则。2022/12/11例4-1某一个具有B类网络123.45的2023/1/3解某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特网上的访问(123.45/16)。该网络中有一个特殊子网(/24)是一个与某大学合作的，该大学的网址是135.79。他希望这个特殊的子网能够被该大学的所有子网访问。此外还希望阻止公司的网络被大学中某一个特殊子网(/24)访问。试设计制订过滤规则。制订过滤规则如下2022/12/11解某一个具有B类网络123.45的公司的2023/1/3例4-2处于一个C类网络的防火墙，第一，希望阻止网络中的用户访问主机；假设需要阻止这个主机的Telnet服务，对于Internet的其他站点，允许网络内部用户通过Telnet方式访问，但不允许网络外部其他站点以Telnet方式访问网络。第二，为了收发电子邮件，允许SMTP出站入站服务，邮件服务器的IP地址为。第三，对于WWW服务，允许内部网用户访问Internet上任何网络和站点，但只允许一个公司的网络访问内部WWW服务器，内部WWW服务器的IP地址是。试根据以上要求设计过滤规则。2022/12/11例4-2处于一个C类网络116.111.2023/1/3解23：telnet25：SMTP80:web>1023:非系统进程2022/12/11解23：telnet80:web2023/1/3地址过滤配置实例2022/12/11地址过滤配置实例2023/1/3配置结果2022/12/11配置结果2023/1/3

问题1DMZ某屏蔽子网的应用代理服务器中，对外接口的IP地址是，对内接口的IP地址为。问如何配置包过滤器规则，使得所有的内网与外网的通信都经过代理服务器的检查和传递。2022/12/11问题1DMZ某屏蔽子网的应用代理服务器2023/1/3解答某屏蔽子网的应用代理服务器中，对外接口的IP地址是，对内接口的IP地址为。问如何配置包过滤器规则，使得所有的内网与外网的通信都经过代理服务器的检查和传递。规则方向协议源地址目地址源端口目端口动作AIn----允许Bout----允许C------禁止规则方向协议源地址目地址源端口目端口动作Ain----允许Bout----允许C------禁止包过滤器B包过滤器A2022/12/11解答某屏蔽子网的应用代理服务器中，对外接2023/1/3问题2主机防火墙如何对UDP进行过滤UDP请求可能来自打印机或扫描仪2022/12/11问题2主机防火墙如何对UDP进行过滤2023/1/3防火墙安全策略的例子AllowallinboundandoutboundICMPAllowinboundTCP445fromhosts–55BlockallinboundTCPBlockallinboundUDPAllowalloutboundTCPAllowalloutboundUDP2022/12/11防火墙安全策略的例子Allowall2023/1/3代理服务技术代理客户机与服务器之间的一个应用层中介在两者之间传递应用程序的信息可以根据数据包的内容进行检测应用代理的原理隔断通信双方的直接联系将内部网络与外部网络从网络层起分开所有通信都必须经应用层的代理进行转发用另外的连接和封装转发应用层信息2022/12/11代理服务技术代理2023/1/3代理服务技术特点安全性较高能够识别应用层信息数据重新封装应用滞后不支持没有开发代理的网络应用客户端配置较复杂需要在客户端进行代理设置要求应用层数据中不包含加密、压缩数据Email中做不到代理的实例网络地址转换器（NAT）URL过滤器（Web应用层）2022/12/11代理服务技术特点2023/1/3NAT网络层/传输层代理提供外网IP地址与内网地址之间的转换方便路由汇聚与IPv6网络连通使得外网地址重用分类静态NAT将内部地址与外部地址固定地一一对应动态NAT将多个内部地址与同一个外部地址对应（分时使用）通过TCP/UDP端口号区分（NAPT）IPv4/IPv4NAT

(RFC1631,RFC2663,RFC3022,RFC3235)IPv4/IPv6NAT

(RFC2766,RFC2765,RFC3027)2022/12/11NAT网络层/传输层代理2023/1/3例4-3NATSA=DA=SA=DA=SA=DA=SA=DA=2022/12/11例4-3NATSA=023/1/3例4-4NAPT2022/12/11例4-4NAPT2023/1/3NAPT将地址转换扩展到端口号全转换FullCone外网随时可以利用映射后的地址给内网发送UDP报文受限转换RestrictedCone当内网主机向外网发送数据分组后，外网才可以利用映射后的地址给内网发送UDP报文端口受限转换PortRestrictedCone当内网主机向外网发送数据分组后，外网才可以利用映射后相同的地址和端口号给内网发送UDP报文对称NATSymmetricNAT多个内网地址和端口号映射到同一个外网地址当内网主机向外网发送数据分组后，外网才可以利用映射后相同的地址和端口号给内网发送UDP报文2022/12/11NAPT将地址转换扩展到端口号2023/1/3NAT-PT地址转换静态地将每个IPv6地址转换成IPv4地址(NAT-PT)动态地将一个IPv6地址转换成一定期限的IPv4地址动态地将一个IPv6地址转换成IPv4地址和TCP/UDP端口号(NAPT-PT)协议转换在IPv4与对应的IPv6分组之间相互转换IPv4头与对应的IPv6头之间的相互转换TCP/UDP/ICMP校验和更新ICMPv4头与ICMPv6头之间的相互转换ICMPv4错误消息与ICMPv6错误消息的相互转换IPv4senderdoesnotperformpathMTUdiscovery

RFC27652022/12/11NAT-PT地址转换2023/1/3ProblemsofNAT

AndrewS.TanenbaumViolatesarchitecturemodelofIPChangestheInternetfromaconnectionlesstoconnection-orientedViolatestheroleofprotocollayeringDoesnotsupportothertransportprotocolDoesnotsupportIPaddressesinthebodyFTPandH.323worksthiswaybreaksmanyIPapplicationsRFC30272022/12/11ProblemsofNAT

And2023/1/3NAT穿透与语音通信H.323与SIP的共同点传输中需要建立两种通道控制通道媒体通道RTP/RTCP连接使用的UDP端口需要通过协商确定因为一台主机可能建立多条媒体通道（多个媒体流）要求防火墙打开所有的端口号发起呼叫方的IP地址在分组的载荷中根据这个IP地址发回的分组将被防火墙阻挡防火墙的穿透问题NAT-FriendlyApplicationDesignGuidelines在分组中不包含IP地址和端口号许多协议无法根据这个指导原则构建RFC32352022/12/11NAT穿透与语音通信H.323与SIP的2023/1/3NAT穿透与语音通信解决方案应用级网关ALG

(ApplicationLayerGateways)存放应用层信息并用于NAT修改应用层信息中的IP地址需要更新已有的NAT扩展性问题、可靠性问题和新应用布署问题FullProxy由专门的应用层代理对业务流进行转发代理在防火墙的外部对载荷中的IP地址进行处理对应答分组中的IP地址进行转换NAT2022/12/11NAT穿透与语音通信解决方案NAT2023/1/3TraverseaFirewallMIDCOM

MiddleboxCommunicationsprotocol采用应用代理与NAT通信允许一个应用实体控制NAT需要更新当前的NAT和防火墙

RFC3303STUNSimpletraversalofUDPthroughNAT使得应用程序能发现NAT和防火墙的存在通过发送绑定请求给STUN服务器并比较应答中的IP地址和端口号使得应用程序发现映射的地址和端口号确定NAT的地址映像把映射后的地址放在分组载荷中RFC34892022/12/11TraverseaFirewallM2023/1/3TraverseaFirewall

建立高层隧道FirewallEnhancementProtocol(FEP)allowsANYapplicationtotraverseaFirewall可以使用固定的端口号TCP/IPpacketencodedintoHTTPcommandRFC3093AppTCPIPFEPTCPIPIPTCPFEPIPTCPAppfirewall局限性？2022/12/11TraverseaFirewall2023/1/3TraverseaFirewallIPsecFirewalltraversal为IPsec穿越NAT而建立的UDP隧道theinitiatorisbehindNA(P)TandtheresponderhasafixedstaticIPaddressPortno=4500TheremotehostdetectthepresenceofNATanddeterminetheNATtraversalcapabilitydetectwhethertheIPaddressortheportchangesalongthepathbysendingthehashesoftheIPaddressesandportsUDPEncapsulationofIPsecESPPacketsRFC3948NegotiationofNAT-TraversalintheIKERFC39472022/12/11TraverseaFirewallI2023/1/3状态检测技术会话层代理基于入侵检测能够根据上层协议的状态进行过滤对网络通信的各个协议层次实施监测不仅检查数据分组的TCP/IP头利用状态表跟踪每一个会话的状态记录会话的序列透明性较好不修改应用程序的执行过程和处理步骤2022/12/11状态检测技术会话层代理2023/1/3基于网络防火墙的不足之处基于分组网络头信息容易被篡改无双向的身份验证粗颗粒的访问控制防外不防内不能防止旁路不能预防新的攻击手段不能防范病毒和后门2022/12/11基于网络防火墙的不足之处基于分组网络头信2023/1/3新型防火墙技术可信信息系统技术加强认证计算机病毒检测防护技术和密码技术加强应用层数据检查自适应代理适应新的应用新功能spam过滤Web站点过滤2022/12/11新型防火墙技术可信信息系统技术2023/1/34.3入侵检测识别越权使用计算机系统的人员及其活动网络活动监视器基本假设入侵者的行为方式与合法用户是不同的目标发现新的入侵行为对入侵事件的可说明性能够对入侵事件做出反应2022/12/114.3入侵检测识别越权使用计算机系统的人2023/1/3入侵检测方法记录有关证据实时地检测网络中的所有分组或检测主机的状态及日志或审计信息识别攻击的类型评估攻击的威胁程度发出告警信息或主动采取措施阻止攻击入侵防御2022/12/11入侵检测方法2023/1/34.3.1入侵分类攻击的方式本地攻击远程攻击伪远程攻击网络上的安全弱点管理漏洞软件漏洞结构漏洞信任漏洞跳板（Zombie）

2022/12/114.3.1入侵分类攻击的方式跳板（Zom2023/1/3常见网络入侵类型拒绝服务攻击网络流量攻击阻断协议攻击基于网络窃取、伪造、篡改、阻断用户账号攻击基于主机窃取、伪造、篡改2022/12/11常见网络入侵类型拒绝服务攻击2023/1/3网络入侵的方式端口扫描（portscanning）IP哄骗（IPsmurfing）洪泛攻击（flooding）缓存溢出（bufferoverrun）脚本