系统与网络安全技术培训课件

第6讲系统与网络安全技术（三）安全防护技术北京邮电大学计算机学院郭燕慧系统与网络安全技术培训课件第1页本讲提要网络防护技术防火墙VPN入侵检测/入侵防御安全网关终端防护技术云安全技术桌面安全管理技术系统与网络安全技术培训课件第2页一、网络防护技术防火墙VPN入侵检测/入侵防御安全网关系统与网络安全技术培训课件第3页1防火墙技术1.1防火墙概述1.2防火墙分类1.3防火墙体系结构1.4防火墙不足系统与网络安全技术培训课件第4页1.1防火墙概述防火墙概念WilliamCheswick和SteveBeilovin（1994）：防火墙是放置在两个网络之间一组组件，这组组件共同含有以下性质：只允许当地安全策略授权通信信息经过双向通信信息必须经过防火墙防火墙本身不会影响信息流通防火墙是位于两个信任程度不一样网络之间（如企业内部网络和Internet之间）软件或硬件设备组合，它对两个网络之间通信进行控制，经过强制实施统一安全策略，预防对主要信息资源非法存取和访问以到达保护系统安全目标。系统与网络安全技术培训课件第5页1.1防火墙概述——防火墙功效集中管理内容控制访问控制日志流量控制系统与网络安全技术培训课件第6页1.2防火墙分类包过滤防火墙应用网关状态检测防火墙电路级网关系统与网络安全技术培训课件第7页1.2.1包过滤防火墙包过滤防火墙是在网络层中依据数据包中包头信息有选择地实施允许经过或阻断即基于防火墙内事先设定过滤规则，检验数据包头部，依据以下原因确定是否允许数据包经过：源IP地址目标IP地址源端口目标端口协议类型ACK字段在IP/TCP层实现系统与网络安全技术培训课件第8页关键技术数据包过滤依据事先设定过滤规则，对所接收每个数据包做允许拒绝决定。数据包过滤优点：速度快，性能高对用户透明数据包过滤缺点：维护比较困难(需要对TCP/IP了解）安全性低（IP坑骗等）不提供有用日志，或根本就不提供不防范数据驱动型攻击不能依据状态信息进行控制不能处理网络层以上信息无法对网络上流动信息提供全方面控制互连物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层系统与网络安全技术培训课件第9页1.2.2应用级网关

建立在网络应用层，针对尤其应用协议进行数据过滤，而且能够对数据包进行分析。系统与网络安全技术培训课件第10页关键技术应用层代理网关了解应用协议，能够实施更细粒度访问控制对每一类应用，都需要一个专门代理灵活性不够客

户网

关服务器发送请求转发请求请求响应转发响应系统与网络安全技术培训课件第11页1.2.3状态检测防火墙状态检测防火墙工作在4、5层之上。状态检测防火墙能够实现连接跟踪功效，比如对于一些复杂协议，除了使用一个公开端口进性通信外，在通信过程中还会动态建立自连接进行数据传输。状态检测防火墙能够分析主动连接中内容信息，识别出缩写上自连接端口而在防火墙上将其动态打开系统与网络安全技术培训课件第12页1.2.4电路级网关电路级网关工作在会话层，在两个主机首次建立TCP连接时建立电子屏障。监视两主机建立连接时握手信息是否合乎逻辑，以后就是透明传输。系统与网络安全技术培训课件第13页1.3防火墙体系结构双重宿主主机体系结构被屏蔽主机体系结构被屏蔽子网体系结构系统与网络安全技术培训课件第14页1.3.1双重宿主主机体系结构双重宿主主机最少有两个网络接口，外部网络能够与双重宿主主机通信，内部网络也能够与双重宿主主机通信，不过内部网络和外部网络之间通信必须经过双重宿主主机过滤和控制。系统与网络安全技术培训课件第15页关键技术NAT（NetworkAddressTranslation）网络地址转就是在防火墙上装一个正当IP地址集，然后当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配地址分配给该用户；同时，对于内部一些服务器如Web服务器，网络地址转换器允许为其分配一个固定正当地址。地址翻译主要用在两个方面：网络管理员希望隐藏内部网络IP地址。这么互联网上主机无法判断内部网络情况。内部网络IP地址是无效IP地址。这种情况主要是因为现在IP地址不够用，要申请到足够多正当IP地址极难办到，所以需要翻译IP地址。系统与网络安全技术培训课件第16页源IP目标IP10.0.0.108202.112.108.50源IP目标IP202.112.108.30源IP目标IP202.112.108.50202.112.108.3源IP目标IP202.112.108.5010.0.0.108防火墙网关系统与网络安全技术培训课件第17页1.3.2被屏蔽主机体系结构被屏蔽主机体系结构使用一个单独路由器提供来自仅仅与内部网络相连主机服务。堡垒主机是因特网上主机能连接到内部网络上系统桥梁。任何外部系统试图访问内部系统或服务将必须连接到这台堡垒主机上。系统与网络安全技术培训课件第18页1.3.3被屏蔽子网体系结构被屏蔽子网体系结构最简单形式为：两个屏蔽路由器，每一个都连接到周围网。一个位于周围网与内部网络之间，另一个位于周围网与外部网络（通常为Internet）之间。这么就在内部网络与外部网络之间形成了一个“隔离带”。系统与网络安全技术培训课件第19页1.4防火墙不足防火墙不能防范不经防火墙攻击防火墙不能预防感染了病毒软件传输防火墙不能防范内部攻击端到端加密能够绕开防火墙防火墙不能提供细粒度访问控制防火墙不足系统与网络安全技术培训课件第20页2VPN概述2.1VPN分类2.2IPSec协议2.3SSL协议2.4系统与网络安全技术培训课件第21页2.1VPN概述VPN是虚拟专用网(VirtualPrivateNetwork)缩写。是指不一样地点网络经过公用网络连接成逻辑上虚拟子网。VPN含有以下优点：降低成本易于扩展灵活性系统与网络安全技术培训课件第22页系统与网络安全技术培训课件第23页2.1VPN概述访问控制完整性机密性认证密钥管理VPN安全需求系统与网络安全技术培训课件第24页2.2VPN分类按用途分类：远程访问VPN内联网VPN外联网VPN按照隧道协议分类：PPTPL2FL2TPIPSecSSL系统与网络安全技术培训课件第25页2.2VPN分类PPTPL2FL2TPIPSecSSL/TLS层2223应用/传输加密基于PPP、MPPE基于PPP、MPPEPPP加密，MPPEDES、3DESAES、IDEADES、3DESAES、IDEA认证基于PPP基于PPP基于PPP数字证书、预共享密钥数字证书、预共享密钥数据完整性无无无MD5、SHA-1MD5、SHA-1密钥管理无无无IKE多重通信协议支持否是是否（仅IP）是主要支持VPN类型用户到网关用户到网关用户到网关用户到网关、网关到网关用户到网关RFC参考RFC2637RFC2341RFC2661RFC2401-2409RFC2246系统与网络安全技术培训课件第26页2.3IPSec协议IPSec提供了一套安全算法和总体框架，允许一对通信实体利用其中一个算法为通信提供安全性。安全服务集提供包含访问控制、数据完整性、数据源认证、抗重放(replay)保护和数据保密性在内服务。基于IP层提供对IP及其上层协议保护。比如，TCP，UDP，ICMP等等。IPSec协议能够在主机和网关（如路由器、防火墙）上进行配置，对主机与主机间、安全网关与安全网关间、安全网关与主机间路径进行安全保护。系统与网络安全技术培训课件第27页IPSec体系结构系统与网络安全技术培训课件第28页2.3IPSec概述AH提供无连接数据完整性认证（hash校验）、数据源身份认证（带密钥hmac）和防重防攻击（AH头中序列号）ESP比AH多了两种功效，数据包加密和数据流加密。数据包加密能够加密整个IP包，也能够只加密IP包载荷，普通用于计算机端；数据流加密用于路由器，源端路由把整个IP包加密后传输，目标端路由解密后转发。AH和ESP能够单独/组合使用。系统与网络安全技术培训课件第29页2.3IPSec概述IKE负责密钥管理和策略协商，定义了通信实体之间进行身份认证、协商加密算法和生成会话密钥方法。协商结果保留在SA中。解释域（DOI）为使用IKE进行协商SA协议统一分配标识符。系统与网络安全技术培训课件第30页2.3IPSec概述IPSec有两种运行模式：传输模式和隧道模式。AH和ESP都支持两种使用模式。传输模式只保护IP载荷，可能是TCP/UDP/ICMP，IP头没有保护。隧道模式保护内容是整个IP包，隧道模式为IP协议提供安全保护。通常IPSec双方只要有一方是网关或者路由，就必须使用隧道模式。路由器需要将要保护原始IP包看成一个整体，在前面添加AH或者ESP头，再添加新IP头，组成新IP包之后再转发出去。系统与网络安全技术培训课件第31页2.3.1IPSec概述原始IP数据包外部IP头IPSec头数据TCP头IP头IP头IPSec头数据TCP头IP头TCP头数据传输模式隧道模式

IP数据包对比系统与网络安全技术培训课件第32页2.4SSL协议SSL基本概念协议设计目标：为两个通讯个体之间提供保密性和完整性(身份认证)；互操作性、可扩展性、相对效率为上层协议提供安全性：保密性、身份认证和数据完整性SSL连接（connection)一个连接是一个提供一个适当类型服务传输（OSI分层定义）。SSL连接是点对点关系。连接是暂时，每一个连接和一个会话关联。SSL会话（session）一个SSL会话是在客户与服务器之间一个关联。会话由HandshakeProtocol创建。会话定义了一组可供多个连接共享加密安全参数。会话用以防止为每一个连接提供新安全参数所需昂贵谈判代价。系统与网络安全技术培训课件第33页SSL协议体系：协议分为两层底层：TLS统计协议上层：TLS握手协议、TLS密码改变协议、TLS警告协议系统与网络安全技术培训课件第34页TLS统计协议建立在可靠传输协议(如TCP)之上，为更高层提供基本安全服务。尤其是HTTP，它提供了Webclient/server交互传输服务，能够结构在SSL之上。它提供连接安全性，有两个特点保密性，使用了对称加密算法完整性，使用HMAC算法用来封装高层协议SSLHandshakeProtocol,SSLChangeCipherSpecProtocol,SSLAlertProtocol是SSL高层协议，用于管理SSL交换。系统与网络安全技术培训课件第35页SSL握手协议功效客户和服务器之间相互认证协商加密算法和密钥它提供连接安全性，有三个特点身份认证，最少对一方实现认证，也能够是双向认证协商得到共享密钥是安全，中间人不能够知道协商过程是可靠系统与网络安全技术培训课件第36页整体流程(1)、交换Hello消息，对于算法、交换随机值等协商一致(2)、交换必要密码参数，方便双方得到统一premastersecret(3)、交换证书和对应密码信息，方便进行身份认证(4)、产生mastersecret(5)、把安全参数提供给TLS统计层(6)、检验双方是否已经取得一样安全参数系统与网络安全技术培训课件第37页3入侵检测/入侵防御技术3.1入侵检测概述3.2入侵检测系统分类3.3入侵防御系统系统与网络安全技术培训课件第38页3.1入侵检测系统IDS入侵检测是从计算机网络或计算机系统中若干关键点搜集信息并对其进行分析，从中发觉网络或者系统中是否有违反安全策略行为和遭到攻击迹象一个机制。入侵检测采取旁路侦听机制，经过对数据包流分析，能够从数据流中过滤除能够数据包，经过与已知入侵方式进行比较，确定入侵是否发生以及入侵类型并进行报警。网络管理员能够依据这些报警确切知道所周到攻击并采取对应办法。系统与网络安全技术培训课件第39页3.1入侵检测概述CIDF——入侵检测系统通用模型系统与网络安全技术培训课件第40页3.2入侵检测系统分类3.2.1基于主机入侵检测系统3.2.2基于网络入侵检测系统系统与网络安全技术培训课件第41页3.2.1基于主机入侵检测系统网络连接检测对试图进入该主机数据流进行检测，分析确定是否有入侵行为，防止或降低这些数据流进入主机系统后造成伤害。基于主机入侵检测系统能够保护单台主机不受网络攻击行为侵害，需要安装在受保护主机上。能够有效地检测出是否存在攻击探测行为。系统与网络安全技术培训课件第42页3.2.1基于主机入侵检测系统主机文件检测1系统日志2文件系统3进程统计系统日志文件统计了各种类型信息。假如日志文件中存在异常统计，就能够认为发生了网络入侵。恶意网络攻击者会修改网络主机上各种数据文件。假如入侵检测系统发觉文件系统发生了异常改变，就能够怀疑发生了网络入侵。黑客可能使程序终止，或执行违反用户意图操作。假如入侵检测系统发觉某个进程存在异常行为，就能够怀疑有网络入侵。4系统运行控制针对操作系统特征，采取办法预防缓冲区溢出，增加对文件系统保护系统与网络安全技术培训课件第43页3.2.1基于主机入侵检测系统检测准确度较高能够检测到没有显著行为特征入侵成本较低不会因为网络流量影响性能适合用于加密和交换环境优点系统与网络安全技术培训课件第44页3.2.1基于主机入侵检测系统实时性较差无法检测数据包全部检测效果取决于日志系统占用主机资源性能隐蔽性较差缺点系统与网络安全技术培训课件第45页3.2.2基于网络入侵检测系统基于网络入侵检测系统使用原始网络分组数据报作为进行攻击分析数据源，普通利用一个网络适配器来实时监视和分析全部经过网络进行传输通信。大多数攻击都有一定特征，入侵检测系统将实际数据流量统计与入侵模式库中入侵模式进行匹配，寻找可能攻击特征。系统与网络安全技术培训课件第46页3.2.2基于网络入侵检测系统基于网络入侵监测系统能够实现以下功效：对数据包进行统计、详细检验数据包检测端口扫描检测常见攻击行为识别各种各样可能IP坑骗攻击当检测到一个不希望活动时，入侵检测系统能够重新配置防火墙以拦截从入侵者发来数据。系统与网络安全技术培训课件第47页经典布署方式系统与网络安全技术培训课件第48页3.2.2基于网络入侵检测系统能够提供实时网络监测行为能够同时保护多台网络主机含有良好隐蔽性有效保护入侵证据不影响被保护主机性能优点系统与网络安全技术培训课件第49页3.2.2基于网络入侵检测系统防入侵坑骗能力较差在交换式网络环境中难以配置检测性能受硬件条件限制不能处理加密后数据缺点系统与网络安全技术培训课件第50页3.3入侵防御系统IPS入侵检测目标是提供网络活动监测、审计、证据以及汇报。入侵防御目标是为了提供资产、资源、数据和网络保护。IDS和IPS之间最根本不一样在于确定性，即IDS能够使用非确定性方法从现有和以前通信中预测出任何形式威胁而IPS全部决议必须是正确、确定系统与网络安全技术培训课件第51页3.3入侵防御系统IPS就像小区门口保安，在通行证和其它预设规则或策略基础上允许和拒绝访问。IDS就像巡警巡查车，监测活动并提供异常情况系统与网络安全技术培训课件第52页经典布署方式服务器IPSIDS防火墙交换机outboundinterfaceinboundinterface系统与网络安全技术培训课件第53页3.3入侵防御系统IPS优势入侵快速终止更准确和可靠检测主动防御IPS设计需求能够准确、可靠检测，准确阻断攻击IPS运行对网络性能和可用性没有负面影响能够有效地安全管理能够轻易实现对未来攻击防御系统与网络安全技术培训课件第54页4安全网关概述4.1安全网关分类4.2UTM4.3系统与网络安全技术培训课件第55页4.1概述早期网关就是指路由器。现在主要有三种网关，即协议网关、应用网关和安全网关安全网关布置在内部网络和外部网络之间。现在网关多数都是集成各种功效为一体集成网关。UTM经过对各种安全技术整合，构建起一个立体防护体系，为信息网络提供全方面动态安全防护体系。内容过滤、应用层协议处理是发展趋势系统与网络安全技术培训课件第56页4.2安全网关分类从应用角度分类防火墙VPN网关Web安全网关反病毒网关邮件安全网关UTM安全网关系统与网络安全技术培训课件第57页4.3UTMUTM(UnifiedThreatManagement)是集防病毒、入侵检测/防御和防火墙、VPN于一体网关设备，有厂商还加上了防垃圾邮件、内容过滤等功效UTM能够经过软件实现，即在通用处理器上经过软件编程来实现，也能够经过硬件实现，即在ASIC芯片或者FPGA加上CPU来实现。系统与网络安全技术培训课件第58页UTM介绍VPN反病毒防火墙Web过滤IDS/IPS反垃圾邮件UTM系统与网络安全技术培训课件第59页UTM布署方式系统与网络安全技术培训课件第60页UTM技术优势成本较低1统一管理，降低人力投入2技术复杂度低3系统与网络安全技术培训课件第61页UTM技术不足单一功效性能较低1稳定性需要提升2功效过分集中，出现故障影响较大3系统与网络安全技术培训课件第62页二、终端防护技术云安全技术桌面安全管理技术系统与网络安全技术培训课件第63页1、云安全技术“云安全（CloudSecurity）”融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，经过网状大量客户端对网络中软件行为异常监测，获取互联网中木马、恶意程序最新信息，传送到Server端进行自动分析和处理，再把病毒和木马处理方案分发到每一个客户端。系统与网络安全技术培训课件第64页云安全技术应用特征库或类特征库在云端储存与共享信息安全产品含有很强终端特征，仅仅将特征库放在云端，并无优势。因为在现有网络环境中，下载速度不成问题，而且在当地存放特征库还会大大降低因网络故障带来响应失败问题。作为一个最新恶意代码、垃圾邮件或钓鱼网址等快速搜集、汇总和响应处理系统伴随恶意程序爆炸式增加，用户更为迫切地需要能够在第一时间就对新恶意程序及其产生不良影响进行防御，甚至在新恶意威胁出现之前就具备对其进行防御能力。系统与网络安全技术培训课件第65页起源挖掘云安全中心即时升级服务器互联网内容恶意威胁下载网站门户网站搜索网站云安全客户端互联网用户威胁信息数据中心即时查杀平台自动分析处理系统威胁挖掘集群威胁信息分析系统与网络安全技术培训课件第66页McAfee云安全Artemis工作流程系统与网络安全技术培训课件第67页2、桌面安全管理技术内部网络和应用系统发生故障原因极少是因为网络设备和应用系统本身问题所引发，更多是因为内网其它安全原因造成，如病毒暴发、资源滥用、恶意接入、用户误操作等。而这些安全原因，几乎全部起源于用户桌面计算机。经典问题包含：缺乏必要安全加固伎俩缺乏有效接入控制伎俩缺乏有效行为监控伎俩缺乏必要配置管理伎俩系统与网络安全技术培训课件第68页概念桌面安全管理将终端安全管理、终端补丁管理、终端用户行为管理、网上行为管理有机地结合在一起，经过对网络中全部设备统一策略制订、用户行为统一管理，安全工具集中审计，最大程度地降低安全隐患。同时，它还对个人桌面系统软件资源实施安全管理，经过对个人桌面系统工作情况进行管理，有效地提升员工工作效率。系统与网络安全技术培训课件第69页主要功效补丁管理主机防火墙主机准入控制桌面监控审计网络行为监控主要