网络安全技术基础下

网络安全技术基础（下）目前一页\总数七十五页\编于十九点本讲概要 本讲主要阐述目前最常用的信息安全技术和信息安全产品，内容包括了：防火墙入侵检测VPN漏洞评估本讲涉及内容宽泛，领域众多，讲师根据学员情况做好课时安排。本讲总课时建议为4~6课时。2目前二页\总数七十五页\编于十九点本讲学习目标通过本讲学习，学员应该掌握：各类信息安全技术的概念、用途，部署方式防火墙的分类、原理、结构和用途入侵检测产品的工作原理和分类VPN的分类和用途漏洞评估的概念和意义3目前三页\总数七十五页\编于十九点（一）防火墙技术目前四页\总数七十五页\编于十九点防火墙产品防火墙的基本概念防火墙的主要技术防火墙的用途防火墙的弱点防火墙的体系结构防火墙的构筑原则防火墙产品本节将分以下几部分介绍网络防火墙：5目前五页\总数七十五页\编于十九点防火墙的基本概念防火墙是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。不可信的网络及服务器可信任的网络防火墙路由器InternetIntranet供外部访问的服务及资源可信任的用户不可信的用户

DMZ6目前六页\总数七十五页\编于十九点防火墙的用途控制对网点的访问和封锁网点信息的泄露能限制被保护子网的泄露具有审计作用能强制安全策略7目前七页\总数七十五页\编于十九点防火墙不能防备病毒防火墙对不通过它的连接无能为力防火墙不能防备内部人员的攻击限制有用的网络服务防火墙不能防备新的网络安全问题防火墙的弱点8目前八页\总数七十五页\编于十九点形形色色的防火墙9目前九页\总数七十五页\编于十九点防火墙的分类方法10目前十页\总数七十五页\编于十九点单机防火墙VS网络防火墙11目前十一页\总数七十五页\编于十九点软件防火墙VS硬件防火墙12目前十二页\总数七十五页\编于十九点防火墙设备外观与结构13目前十三页\总数七十五页\编于十九点防火墙的主要技术应用层代理技术(ApplicationProxy)包过滤技术(PacketFiltering)状态包过滤技术(StatefulPacketFiltering)应用层表示层会话层传输层网络层数据链路层物理层防火墙的主要技术种类14目前十四页\总数七十五页\编于十九点数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据TCP报头IP报头分组过滤判断信息企业内部网屏蔽路由器数据包防火墙的主要技术包过滤技术的基本原理数据包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略15目前十五页\总数七十五页\编于十九点数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包企业内部网屏蔽路由器数据包防火墙的主要技术状态检测包过滤技术的基本原理数据包数据3TCP报头IP报头分组过滤判断信息数据2TCP报头IP报头数据1TCP报头IP报头数据1TCP报头IP报头数据状态检测控制策略16目前十六页\总数七十五页\编于十九点数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包企业内部网屏蔽路由器数据包防火墙的主要技术应用层代理技术的基本原理数据包数据TCP报头IP报头分组过滤判断信息应用代理判断信息控制策略17目前十七页\总数七十五页\编于十九点防火墙的体系结构筛选路由器双网主机屏蔽主机屏蔽子网防火墙可以设置成不同的体系结构，提供不同级别的安全。常见的体系结构有：18目前十八页\总数七十五页\编于十九点防火墙的体系结构内部网外部网筛选路由器式体系结构包过滤筛选路由器19目前十九页\总数七十五页\编于十九点防火墙的体系结构双网主机式体系结构内部网外部网双网主机双网主机插有两块网卡，分别连接到内网和外网。防火墙内、外的系统均可以与双网主机进行通信，但防火墙两边的系统之间不能直接进行通信。使用此结构，必须关闭双网主机上的路由分配功能。20目前二十页\总数七十五页\编于十九点防火墙的体系结构屏蔽主机式体系结构Internet堡垒主机防火墙屏蔽路由器21目前二十一页\总数七十五页\编于十九点防火墙的体系结构屏蔽子网式体系结构Internet堡垒主机屏蔽路由器屏蔽路由器周边网络22目前二十二页\总数七十五页\编于十九点防火墙的构筑原则构筑防火墙要从以下几方面考虑：体系结构的设计安全策略的制定安全策略的实施23目前二十三页\总数七十五页\编于十九点防火墙的性能指标24目前二十四页\总数七十五页\编于十九点主流防火墙产品25目前二十五页\总数七十五页\编于十九点（二）虚拟局域网（VLAN）目前二十六页\总数七十五页\编于十九点

VLAN的定义

VLAN（VirtualLocalAreaNetwork）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。组建VLAN的条件VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。什么是VLAN27目前二十七页\总数七十五页\编于十九点从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法：1、基于端口的VLAN划分

这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。2、基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。3、基于路由的VLAN划分路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。划分VLAN的基本策略28目前二十八页\总数七十五页\编于十九点

1、控制广播风暴一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。

2、提高网络整体安全性通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。

3、网络管理简单、直观

对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。VLAN的作用29目前二十九页\总数七十五页\编于十九点三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术＋三层转发技术。

三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。

三层交换原理

它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后，会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。可见，三层交换机集路由与交换于一身，在交换机内部实现了路由，提高了网络的整体性能。三层交换机分类1.基于纯硬件(ASIC)2.基于软件的什么是三层交换？

30目前三十页\总数七十五页\编于十九点VLAN环境示意31目前三十一页\总数七十五页\编于十九点（三）入侵检测系统（IDS）目前三十二页\总数七十五页\编于十九点入侵检测系统（IDS）关于入侵检测系统，我们将就以下部分进行学习：

IDS简介

IDS分类

IDS作用

IDS工作原理

IDS部署方式

IDS应用

IDS技术的发展方向

IDS产品

IDS资源

33目前三十三页\总数七十五页\编于十九点什么是IDS？IDS是什么？

入侵检测系统(IntrusionDetectionSystem)

入侵检测技术是为了保证计算机系统安全面而设置和配置的一种能够及时发现并报告系统中未授权或异常行为的技术，是一种检测计算机网络中违反安全策略行为的技术。入侵检测被视为防火墙之后的第二道安全阐门，主要用来监视和分析用户和系统的活动，能够反映已知的攻击模式并报警，同时监控系统的异常模式，对于异常行为模式，IDS采用报表的方式进行统计分析假如说防火墙是一幢大楼的门锁，那入侵监测系统就是这幢大楼里的监视系统。34目前三十四页\总数七十五页\编于十九点IDS的主要类型应用软件入侵监测系统ApplicationIntrusionDetection主机入侵监测系统HostIntrusionDetection网络入侵监测系统NetworkIntrusionDetection集成入侵监测系统IntegratedIntrusionDetection根据IDS工作位置和数据来源，可以分为：35目前三十五页\总数七十五页\编于十九点网络入侵检测系统（NIDS）

网络入侵检测系统(NIDS)-----在网络中的某个节点上装有探测器来监测整个网络(工作对象基于网络)特点：1.拥有较低的成本--在几个很少的监测点上进行配置就可以监控一个网络中所发生的入侵行为;2.能监测主机IDS所不能监测到的某些攻击(如DOS、Teardrop)—通过分析IP包的头可以捕捉这些须通过分析包头才能发现的攻击;3.与操作系统无关性--基于网络的IDS与所监测的主机所运行的操作系统无关，而主机IDS则必须在特定的操作系统下才能运行;4.检测未成功能攻击和不良意图-与之相比，主机IDS只能检测到成功的攻击，而很多未成功的攻击对系统的风险评估成到关键的作用;5.实时检测和响应----网络IDS可以在攻击发生的同时将其检测出来，并进行实时的报警和响应。36目前三十六页\总数七十五页\编于十九点NIDSCIDF模型CIDF模型（CommonIntrusionDetectionFrame）组件：事件产生器（Eventgenerators）事件分析器（Eventanalyzers）响应单元（Responseunits）事件数据库（Eventdatabases）

37目前三十七页\总数七十五页\编于十九点NIDS部署方式HUBMonitoredServersConsoleIDSSensorsL4或L7交换设备38目前三十八页\总数七十五页\编于十九点主机入侵检测系统（HIDS）主机入侵检测系统(HIDS)

-----在网络中所监测的每台主机上都装有探测器(工作对象基于主机)HIDS特点:1.确定攻击是否成功---比网络IDS更准确的判定攻击是否成功;2.系统行动监视的更好---对于每一个用户(尤其是系统管理员)上网下网的信息、连入网络后的行为和所受到的入侵行为监测的更为详细，记录的更准确;3.能够检测到网络IDS检测不到的特殊攻击----如某服务器上有人直接对该机进行非法操作;4.适用于加密的环境

----在某些特殊的加密网络环境中，由于网络IDS所需要的网络环境不能满足，所以在这种地方应用主机IDS就可以完成这一地方的监测任务5.不需要额外的硬件设备----与网络IDS相比，不需要专用的硬件检测系统，降低的硬件成本39目前三十九页\总数七十五页\编于十九点IDS部署示意InternetIDS1IDS2IDS3IDS4子网A子网B交换机带主机IDS感应器的服务器服务器含HIDS的网络体系结构40目前四十页\总数七十五页\编于十九点IDS检测技术签名分析法SignatureAnalysis统计分析法StatisticsAnalysis数据完整性分析法DataIntegrationAnalysis入侵检测系统按照其检测原理可以分为以下类型：41目前四十一页\总数七十五页\编于十九点IDS工作原理－NIDS抓包从链路层抓包分析数据包模式匹配EthernetIPTCPEthernetIPTCP协议分析HTTPUnicodeXML42目前四十二页\总数七十五页\编于十九点IDS工作原理－模式匹配模式匹配(PatternMatching)

效率低---对每一条事件都要与事件库中的特征事件进行对比，工作量大。误报多---如果两个攻击事件具有极其相近的特征，在对比的过程中容易产生误报，而错过真实的问题。模式匹配举例较早版本的Sendmail漏洞利用

$telnet25

WIZ

shell或者

DEBUG

#直接获得rootshell！模式匹配检查每个packet是否包含： “WIZ” |“DEBUG”43目前四十三页\总数七十五页\编于十九点IDS工作原理－协议分析FrameHeaderIPDatagramHeaderICMP/UDP/TCPHeaderFrameDataAreaIPDataProtocolDataInterfaceLayerInternetLayerTransportLayer44目前四十四页\总数七十五页\编于十九点IDS技术的发展方向分布式入侵检测

1.针对分布式攻击的检测方法

2.使用分布式的方法来检测分布式的攻击，关键技术为检测信息的协同处理与入侵攻击的全局信息提取智能化入侵检测使用智能化的手法也实现入侵检测，现阶段常用的有神经网络、模糊算法、遗传算法、免疫原理等技术全面的安全防御方案采用安全工程风险管理的理论也来处理网络安全问题，将网络安全做为一个整体工程来处理，从管理、网络结构、防火墙、防病毒、入侵检测、漏洞扫描等多方面对网结进行安全分析

随着网络技术的发展，还会有更多新技术应用到入侵检测系统中来!45目前四十五页\总数七十五页\编于十九点IDS产品免费产品

Snort(http://)国内市场上的IDS厂商启明星辰安氏绿盟金诺瑞星等国外的IDS产品CyberCopMonitor,NAIDragonSensor,EnterasyseTrustID,CANetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISSSecureNetPro,I46目前四十六页\总数七十五页\编于十九点IDS资源IDSFAQFocus-IDSMailinglistYawlOldHandSinbad47目前四十七页\总数七十五页\编于十九点（四）虚拟专用网（VPN）目前四十八页\总数七十五页\编于十九点VPN网关VPN的基本概念VPN的功能VPN的分类及用途VPN常用协议基于IPSec协议的VPN体系结构本节将分以下几部分介绍VPN网关：49目前四十九页\总数七十五页\编于十九点VPN的基本概念虚拟专用网VPN（VirtualPrivateNetwork）技术是指在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播。InternetVPN通道隧道交换机移动用户VPN的基本概念50目前五十页\总数七十五页\编于十九点VPN必须具备如下功能：VPN的功能保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认（IPSpoofing）的能力。保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。提供动态密钥交换功能，提供密钥中心管理服务器，必须具备防止数据重演（Replay）的功能，保证通道不能被重演。提供安全防护措施和访问控制，要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制（AccessControl）51目前五十一页\总数七十五页\编于十九点内部网VPN——用VPN连接公司总部和其分支机构.

远程访问VPN——用VPN连接公司总部和远程用户.

外联网VPN——用VPN连接公司和其业务伙伴.VPN的分类及用途子公司LAN合作伙伴LAN远程用户Internet52目前五十二页\总数七十五页\编于十九点InternetVPN服务器VPN服务器路由器路由器加密信道加密认证VPN总部LAN子公司LAN一个安全的VPN服务，应该为子公司的不同用户指定不同的访问权限。VPN的分类及用途内部网VPN

53目前五十三页\总数七十五页\编于十九点InternetVPN服务器加密信道总部LANVPN的功能：1、访问控制管理。2、用户身份认证。3、数据加密。4、智能监视和审计记录。5、密钥和数字签名管理。PC机移动用户公共服务器VPN的分类及用途远程访问VPN

54目前五十四页\总数七十五页\编于十九点InternetVPN服务器VPN服务器加密信道加密认证VPN公司内联网合作公司内联网1、VPN服务应有详细的访问控制。2、与防火墙/协议兼容。FTP服务器VPN的分类及用途外联网VPN

55目前五十五页\总数七十五页\编于十九点VPN常用协议OSI七层模型安全技术安全协议应用层表示层应用代理会话层传输层会话层代理SOCKV5网络层数据链路层物理层包过滤IPSecPPTP/L2TP

VPN常用的协议有SOCKv5、IPSec、PPTP以及L2TP等。这些协议对应的OSI层次结构如下：VPN常用协议56目前五十六页\总数七十五页\编于十九点不安全网网关或主机网关或主机IP数据包传输层数据应用程序IP数据包传输层数据应用程序SA加密算法加密密钥认证算法认证密钥SA加密算法加密密钥认证算法认证密钥安全联系基于IPSec协议的VPN体系结构57目前五十七页\总数七十五页\编于十九点IPSec协议IPSec共分四种模式AH的「传输模式」(TransportMode)AH的「通道模式」(TunnelMode)、ESP的「传输模式」(TransportMode)ESP的「通道模式」(TunnelMode)58目前五十八页\总数七十五页\编于十九点IPSec协议AH认证报头操作模式IP负载(IPPayload)AH头原始IP头(IPHeader)AH传输模式IP负载(IPPayload)原始IP头(IPHeader)IPDatagram认证IP负载(IPPayload)原始IP头(IPHeader)AH头新的IP头(NewIPHeader)AH通道模式认证59目前五十九页\总数七十五页\编于十九点IPSec协议ESP协议操作模式加密ESP认证ESPTrailerIP负载(IPPayload)ESPHeader原始IP头(IPHeader)传输模式加密ESP认证ESPTrailerIP负载(IPPayload)(IPHeader)原始IP头ESPHeader新IP头通道模式认证认证60目前六十页\总数七十五页\编于十九点传输模式下的ESP工作原理61目前六十一页\总数七十五页\编于十九点通道模式下的ESP工作原理62目前六十二页\总数七十五页\编于十九点基于IPSec协议的VPN原理63目前六十三页\总数七十五页\编于十九点VPN产品64目前六十四页\总数七十五页\编于十九点（五）漏洞评估目前六十五页\总数七十五页\编于十九点漏洞评估产品漏洞评估的概念漏洞评估的分类漏洞评估产品选择原则常见的漏洞评估产品本节将分以下几部分介绍漏洞评估产品：66目前六十六页\总数七十五页\编于十九点漏洞评估的概