网络安全-网络安全设备

网络安全——网络安全设备第一页，共43页。$dollars$dollars$dollarsDetection入侵检测Protect安全保护Reaction安全响应Recovery安全备份Management安全管理统一管理、协调PDRR之间的行动回顾整体性原则：PDRR安全防护模型2第二页，共43页。本讲要点：1.网络安全设备：防火墙2.网络安全设备：入侵检测3.网络安全新设备：

入侵防御、下一代防火墙、统一威胁管理3第三页，共43页。1.网络安全设备：防火墙（1）防火墙的概念国家标准GB/T20281-2006《信息安全技术防火墙技术要求和测试评价方法》给出的防火墙定义是：设置在不同网络（如可信任的企业内部网络和不可信的公共网络）或网络安全域之间的一系列部件的组合。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，能有效地监控流经防火墙的数据，保证内部网络和隔离区（DemilitarizedZone，DMZ，或译作非军事区）的安全。4第四页，共43页。1.网络安全设备：防火墙（1）防火墙的概念防火墙具有以下3种基本性质：是不同网络或网络安全域之间信息的唯一出入口；能根据网络安全策略控制(允许、拒绝、监测)出入网络的信息流，且自身具有较强的抗攻击能力；本身不能影响网络信息的流通。5第五页，共43页。1.网络安全设备：防火墙（1）防火墙的概念防火墙可以是软件、硬件或软硬件的组合。软件防火墙就像其它的软件产品一样需要在计算机上安装并做好配置才可以发挥作用，例如Windows系统自带的软件防火墙和著名安全公司CheckPoint推出的ZoneAlarmPro软件防火墙。6第六页，共43页。1.网络安全设备：防火墙（1）防火墙的概念防火墙可以是软件、硬件或软硬件的组合。目前市场上大多数防火墙是硬件防火墙。这类防火墙一般基于PC架构，也就是说这类防火墙和普通PC类似。还有基于特定用途集成电路（ApplicationSpecificIntegratedCircuit，ASIC）、基于网络处理器（NetworkProcessor，NP）以及基于现场可编程门阵列（Field-ProgrammableGateArray，FPGA）的防火墙。这类防火墙采用专用操作系统，因此防火墙本身的漏洞比较少，而且由于基于专门的硬件平台，因而处理能力强、性能高。7第七页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理包过滤防火墙工作在网络层和传输层，它根据通过防火墙的每个数据包的源IP地址、目标IP地址、端口号、协议类型等信息来决定是将让该数据包通过还是丢弃，从而达到对进出防火墙的数据进行检测和限制的目的。包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，而是适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。8第八页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理包过滤技术在发展中出现了两种不同版本，第一代称为静态包过滤，第二代称为动态包过滤。1）静态包过滤技术。这类防火墙几乎是与路由器同时产生的，它根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的包头信息进行制订。这些规则常称为数据包过滤访问控制列表（ACL）。各个厂商的防火墙产品都有自己的语法用于创建规则。9第九页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理1）静态包过滤技术。序号源IP目标IP协议源端口目的端口标志位操作1内部网络地址外部网络地址TCP任意80任意允许2外部网络地址内部网络地址TCP80>1023ACK允许3所有所有所有所有所有所有拒绝10第十页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理1）静态包过滤技术的缺陷。序号源IP目标IP协议源端口目的端口标志位操作1内部网络地址外部网络地址TCP任意80任意允许2外部网络地址内部网络地址TCP80>1023ACK允许3所有所有所有所有所有所有拒绝11第十一页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理2）状态包过滤技术。状态包过滤（StatefulPacketFilter）是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，对接收到的数据包进行分析，判断其是否属于当前合法连接，从而进行动态的过滤。跟传统包过滤只有一张过滤规则表不同，状态包过滤同时维护过滤规则表和状态表。过滤规则表是静态的，而状态表中保留着当前活动的合法连接，它的内容是动态变化的，随着数据包来回经过设备而实时更新。当新的连接通过验证，在状态表中则添加该连接条目，而当一条连接完成它的通信任务后，状态表中的该条目将自动删除。12第十二页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理2）状态包过滤技术的局限。基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤。访问控制列表的配置和维护困难。对安全管理人员的要求高，在建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的了解。包过滤防火墙难以详细了解主机之间的会话关系。大多数过滤器中缺少审计和报警机制，只能依据包头信息，而不能对用户身份进行验证，很容易遭受欺骗型攻击。13第十三页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理3）应用代理技术采用应用代理技术的防火墙工作在应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。应用代理技术的发展也经历了两个版本，第一代的应用层网关（ApplicationGateway）技术，第二代的自适应代理（AdaptiveProxy）技术。14第十四页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理3）应用代理技术应用层网关可分3种类型：双宿主主机网关；屏蔽主机网关；屏蔽子网网关。这三种网关都要求有一台主机，通常称为“堡垒主机”（BastionHost），它起着防火墙的作用，即隔离内外网的作用。15第十五页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理3）应用代理技术：双宿主主机网关特点：堡垒主机充当应用层网关。在主机中需要插入两块网卡，用于将主机分别连接到被保护的内网和外网上。在主机上运行防火墙软件，被保护内网与外网间的通信必须通过主机，因而可以将内网很好地屏蔽起来。内网可以通过堡垒主机获得外网提供的服务。优点：这种应用层网关能有效地保护和屏蔽内网，且要求的硬件较少，因而是应用较多的一种防火墙；缺点：但堡垒主机本身缺乏保护，容易受到攻击。16第十六页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理3）应用代理技术：屏蔽主机网关特点：为了保护堡垒主机而将它置入被保护网的范围中，在被保护内网与外网之间设置一个屏蔽路由器。它不允许外网用户对被保护内网进行直接访问，只允许对堡垒主机进行访问，屏蔽路由器也只接收来自堡垒主机的数据。与前述的双宿主主机网关类似，也在堡垒主机上运行防火墙软件。优点：屏蔽主机网关是一种更为灵活的防火墙软件，它可以利用屏蔽路由器来做更进一步的安全保护。缺点：此时的路由器又处于易受攻击的地位。此外，网络管理员应该管理在路由器和堡垒主机中的访问控制表，使两者协调一致，避免出现矛盾。17第十七页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理3）应用代理技术：屏蔽子网网关特点：使用一个或者更多的屏蔽路由器和堡垒主机，同时在内外网间建立一个被隔离的子网——DMZ。18第十八页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理3）应用代理技术：屏蔽子网网关优点：这种防火墙系统的安全性很好，因为来自外部网络将要访问内部网络的流量，必须经过这个由屏蔽路由器和堡垒主机组成的DMZ子网络；可信网络内部流向外界的所有流量，也必须首先接收这个子网络的审查。堡垒主机上运行代理服务，它是一个连接外部非信任网络和可信网络的“桥梁”。堡垒主机是最容易受侵袭的，万一堡垒主机被控制，如果采用了屏蔽子网体系结构，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部屏蔽路由器的保护。19第十九页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理4）自适应代理技术：特点：采用这种技术的防火墙有两个基本组件：自适应代理服务器（AdaptiveProxyServer）与动态包过滤器（DynamicPacketFilter）。在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应代理的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。20第二十页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理4）自适应代理技术：优点：安全性高。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。21第二十一页，共43页。1.网络安全设备：防火墙（2）防火墙的工作原理4）自适应代理技术：缺点：速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。22第二十二页，共43页。1.网络安全设备：防火墙（3）防火墙的部署处于外部不可信网络（包括因特网、广域网和其他公司的专用网）与内部可信网络之间，控制来自外部不可信网络对内部可信网络的访问，防范来自外部网络的非法攻击。同时，保证DMZ区服务器的相对安全性和使用便利性。处于内部不同可信等级安全域之间，起到隔离内网关键部门、子网或用户的目的。应用于广大的个人主机用户，通常为软件防火墙，安装于单台主机中，防护的也只是单台主机。23第二十三页，共43页。本讲要点：1.网络安全设备：防火墙2.网络安全设备：入侵检测3.网络安全新设备：

入侵防御、下一代防火墙、统一威胁管理24第二十四页，共43页。2.网络安全设备：入侵检测系统（1）入侵检测的概念入侵（Intrusion）是指任何企图危及资源的完整性、机密性和可用性的活动。不仅包括发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务等对计算机系统产生危害的行为。入侵检测顾名思义，是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。25第二十五页，共43页。2.网络安全设备：入侵检测系统（1）入侵检测的概念入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，IDS）。与防火墙类似，除了有基于PC架构、主要功能由软件实现的IDS，还有基于ASIC、NP以及FPGA架构开发的IDS。26第二十六页，共43页。2.网络安全设备：入侵检测系统（2）入侵检测的工作原理事件产生器：从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器：分析得到的数据，并产生分析结果。响应单元：对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据库：是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。事件来源事件产生器事件分析器响应单元事件数据库27第二十七页，共43页。2.网络安全设备：入侵检测系统（2）入侵检测的工作原理根据检测数据的不同，IDS分为主机型和网络型入侵检测系统。1）基于主机的IDS（HIDS），通过监视和分析主机的审计记录检测入侵。2）基于网络的IDS（NIDS），通过在共享网段上对通信数据进行侦听，检测入侵。28第二十八页，共43页。2.网络安全设备：入侵检测系统（2）入侵检测的工作原理根据其采用的分析方法可分为异常检测和误用检测。1）异常检测。需要建立目标系统及其用户的正常活动模型，然后基于这个模型对系统和用户的实际活动进行审计，当主体活动违反其统计规律时，则将其视为可疑行为。该技术的关键是异常阈值和特征的选择。优点是可以发现新型的入侵行为，漏报少。缺点是容易产生误报。29第二十九页，共43页。2.网络安全设备：入侵检测系统（2）入侵检测的工作原理根据其采用的分析方法可分为异常检测和误用检测。2）误用检测。假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征，系统的目标就是检测主体活动是否符合这些模式。该技术的关键是模式匹配。优点是可以有针对性地建立高效的入侵检测系统，其精确性较高，误报少。主要缺陷是只能发现攻击库中已知的攻击，不能检测未知的入侵，也不能检测已知入侵的变种，因此可能发生漏报。且其复杂性将随着攻击数量的增加而增加。30第三十页，共43页。2.网络安全设备：入侵检测系统（3）入侵检测的部署与防火墙不同，入侵检测主要是一个监听和分析设备，不需要跨接在任何网络链路上，无需网络流量流经它，便可正常工作。对入侵检测系统的部署，唯一的要求是：应当挂接在所有所关注的流量都必须流经的链路上，即IDS采用旁路部署方式接入网络。这些流量通常是指需要进行监视和统计的网络报文。IDS和防火墙均具备对方不可代替的功能，因此在很多应用场景中，IDS与防火墙共存，形成互补。31第三十一页，共43页。2.网络安全设备：入侵检测系统（3）入侵检测的部署32第三十二页，共43页。2.网络安全设备：入侵检测系统（3）入侵检测的部署检测引擎检测引擎检测引擎控制台33第三十三页，共43页。本讲要点：1.网络安全设备：防火墙2.网络安全设备：入侵检测3.网络安全新设备：

入侵防御、下一代防火墙、统一威胁管理34第三十四页，共43页。3.网络安全新设备（1）入侵防御系统主动防御能力的需求主动防御能力是指：系统不仅要具有入侵检测系统的入侵发现能力和防火墙的静态防御能力，还要有针对当前入侵行为动态调整系统安全策略，阻止入侵和对入侵攻击源进行主动追踪和发现的能力。入侵防御系统IPS（IntrusionPreventionSystem，也有称作IntrusionDetectionPrevention，即IDP）作为IDS的替代技术诞生了。35第三十五页，共43页。3.网络安全新设备（1）入侵防御系统IPS的概念IPS是一种主动的、智能的入侵检测、防范、阻止系统，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。36第三十六页，共43页。3.网络安全新设备（2）下一代防火墙著名市场分析咨询机构Gartner于2009年发布的一份名为《DefiningtheNext-GenerationFirewall》的文档给出了下一代防火墙NGFW(Next-GenerationFirewall)的定义。1）传统防火墙。2）支持与防火墙自动联动的集成化IPS。3）应用识别、控制与可视化。4）智能化联动。37第三十七页，共43页。3.网络安全新设备（3）统一威胁管理UTM市场分析咨询机构IDC这样定义UTM：这是一类集成了常用安全功能的设备，必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。UTM可以说是将防火墙、IDS系统、防病毒和脆弱性评估等技术的优点与自动阻止攻击的功能融为一体。38第三十八页，共43页。3.网络安全新设备（3）统一威胁管理UTM市场分析咨询机构IDC这样定义