系统与网络安全技术培训课件

系统与网络安全技术培训课件系统与网络安全技术培训课件本讲提纲网络防护技术防火墙VPN入侵检测/入侵防御安全网关终端防护技术云安全技术桌面安全管理技术本讲提纲网络防护技术一、网络防护技术防火墙VPN入侵检测/入侵防御安全网关一、网络防护技术防火墙1防火墙技术1.1防火墙概述1.2防火墙的分类1.3防火墙的体系结构1.4防火墙的局限性1防火墙技术1.1防火墙概述1.1防火墙概述防火墙概念WilliamCheswick和SteveBeilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：只允许本地安全策略授权的通信信息通过双向通信信息必须通过防火墙防火墙本身不会影响信息的流通防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。1.1防火墙概述防火墙概念1.1防火墙概述——防火墙的功能集中管理内容控制访问控制日志流量控制1.1防火墙概述——防火墙的功能集中管理内容控制访问控制日1.2防火墙的分类包过滤防火墙应用网关状态检测防火墙电路级网关1.2防火墙的分类包过滤防火墙1.2.1包过滤防火墙包过滤防火墙是在网络层中根据数据包中包头信息有选择地实施允许通过或阻断即基于防火墙内事先设定的过滤规则，检查数据包的头部，根据以下因素确定是否允许数据包通过：源IP地址目的IP地址源端口目的端口协议类型ACK字段在IP/TCP层实现1.2.1包过滤防火墙包过滤防火墙是在网络层中根据数据包中关键技术数据包过滤依据事先设定的过滤规则，对所接收的每个数据包做允许拒绝的决定。数据包过滤优点：速度快，性能高对用户透明数据包过滤缺点：维护比较困难(需要对TCP/IP了解）安全性低（IP欺骗等）不提供有用的日志，或根本就不提供不防范数据驱动型攻击不能根据状态信息进行控制不能处理网络层以上的信息无法对网络上流动的信息提供全面的控制互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层关键技术数据包过滤互连的物理介质应用层表示层会话层传输层应用1.2.2应用级网关建立在网络应用层，针对特别的应用协议进行数据过滤，并且能够对数据包进行分析。1.2.2应用级网关建立在网络应用层，针对特别的应用协议关键技术应用层代理网关理解应用协议，可以实施更细粒度的访问控制对每一类应用，都需要一个专门的代理灵活性不够客

户网

关服务器发送请求转发请求请求响应转发响应关键技术应用层代理客户网关服务器发送请求转发请求请求1.2.3状态检测防火墙状态检测防火墙工作在4、5层之上。状态检测防火墙能够实现连接的跟踪功能，比如对于一些复杂协议，除了使用一个公开的端口进性通信外，在通信过程中还会动态建立自连接进行数据传输。状态检测防火墙能够分析主动连接中的内容信息，识别出缩写上的自连接的端口而在防火墙上将其动态打开1.2.3状态检测防火墙状态检测防火墙工作在4、5层之上。1.2.4电路级网关电路级网关工作在会话层，在两个主机首次建立TCP连接时建立电子屏障。监视两主机建立连接时的握手信息是否合乎逻辑，以后就是透明传输。1.2.4电路级网关电路级网关工作在会话层，1.3防火墙的体系结构双重宿主主机体系结构被屏蔽主机体系结构被屏蔽子网体系结构1.3防火墙的体系结构双重宿主主机体系结构1.3.1双重宿主主机体系结构双重宿主主机至少有两个网络接口，外部网络能够与双重宿主主机通信，内部网络也能够与双重宿主主机通信，但是内部网络和外部网络之间的通信必须经过双重宿主主机的过滤和控制。1.3.1双重宿主主机体系结构双重宿主主机至少有两个网络接关键技术NAT（NetworkAddressTranslation）网络地址转就是在防火墙上装一个合法IP地址集，然后当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户；同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。地址翻译主要用在两个方面：网络管理员希望隐藏内部网络的IP地址。这样互联网上的主机无法判断内部网络的情况。内部网络的IP地址是无效的IP地址。这种情况主要是因为现在的IP地址不够用，要申请到足够多的合法IP地址很难办到，因此需要翻译IP地址。关键技术NAT（NetworkAddressTrans源IP目的IP10.0.0.108202.112.108.50源IP目的IP202.112.108.30源IP目的IP202.112.108.50202.112.108.3源IP目的IP202.112.108.5010.0.0.108防火墙网关源IP目的IP12.源IP目的IP2021.3.2被屏蔽主机体系结构被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁。任何外部的系统试图访问内部的系统或服务将必须连接到这台堡垒主机上。1.3.2被屏蔽主机体系结构被屏蔽主机体系结构使用一个单独1.3.3被屏蔽子网体系结构被屏蔽子网体系结构的最简单的形式为：两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。1.3.3被屏蔽子网体系结构被屏蔽子网体系结构的最简单的形1.4防火墙的局限性防火墙不能防范不经防火墙的攻击防火墙不能防止感染了病毒的软件传播防火墙不能防范内部攻击端到端加密可以绕开防火墙防火墙不能提供细粒度的访问控制防火墙的局限性1.4防火墙的局限性防火墙不能防范不经防火墙的攻击防火墙不2VPN概述2.1VPN的分类2.2IPSec协议2.3SSL协议2.42VPN概述2.1VPN的分类2.2IPSec协议2.3S2.1VPN概述VPN是虚拟专用网(VirtualPrivateNetwork)的缩写。是指不同地点的网络通过公用网络连接成逻辑上的虚拟子网。VPN具有以下优点：降低成本易于扩展灵活性2.1VPN概述VPN是虚拟专用网(VirtualPr系统与网络安全技术培训课件2.1VPN概述访问控制完整性机密性认证密钥管理VPN的安全需求2.1VPN概述访问控制完整性机密性认证密钥管理VPN的安2.2VPN的分类按用途分类：远程访问VPN内联网VPN外联网VPN按照隧道协议分类：PPTPL2FL2TPIPSecSSL2.2VPN的分类按用途分类：2.2VPN的分类PPTPL2FL2TPIPSecSSL/TLS层2223应用/传输加密基于PPP、MPPE基于PPP、MPPEPPP加密，MPPEDES、3DESAES、IDEADES、3DESAES、IDEA认证基于PPP基于PPP基于PPP数字证书、预共享密钥数字证书、预共享密钥数据的完整性无无无MD5、SHA-1MD5、SHA-1密钥管理无无无IKE多重通信协议支持否是是否（仅IP）是主要支持的VPN类型用户到网关用户到网关用户到网关用户到网关、网关到网关用户到网关RFC参考RFC2637RFC2341RFC2661RFC2401-2409RFC22462.2VPN的分类PPTPL2FL2TPIPSecSSL/2.3IPSec协议IPSec提供了一套安全算法和总体框架，允许一对通信实体利用其中的一个算法为通信提供安全性。安全服务集提供包括访问控制、数据完整性、数据源认证、抗重放(replay)保护和数据保密性在内的服务。基于IP层提供对IP及其上层协议的保护。例如，TCP，UDP，ICMP等等。IPSec协议可以在主机和网关（如路由器、防火墙）上进行配置，对主机与主机间、安全网关与安全网关间、安全网关与主机间的路径进行安全保护。2.3IPSec协议IPSec提供了一套安全算法和总体框架IPSec的体系结构IPSec的体系结构2.3IPSec概述AH提供无连接的数据完整性认证（hash校验）、数据源身份认证（带密钥的hmac）和防重防攻击（AH头中的序列号）ESP比AH多了两种功能，数据包加密和数据流加密。数据包加密可以加密整个IP包，也可以只加密IP包的载荷，一般用于计算机端；数据流加密用于路由器，源端路由把整个IP包加密后传输，目的端路由解密后转发。AH和ESP可以单独/组合使用。2.3IPSec概述AH提供无连接的数据完整性认证（has2.3IPSec概述IKE负责密钥管理和策略协商，定义了通信实体之间进行身份认证、协商加密算法和生成会话密钥的方法。协商结果保存在SA中。解释域（DOI）为使用IKE进行协商SA的协议统一分配标识符。2.3IPSec概述IKE负责密钥管理和策略协商，定义了通2.3IPSec概述IPSec有两种运行模式：传输模式和隧道模式。AH和ESP都支持两种使用模式。传输模式只保护IP载荷，可能是TCP/UDP/ICMP，IP头没有保护。隧道模式保护的内容是整个IP包，隧道模式为IP协议提供安全保护。通常IPSec的双方只要有一方是网关或者路由，就必须使用隧道模式。路由器需要将要保护的原始IP包看成一个整体，在前面添加AH或者ESP头，再添加新的IP头，组成新的IP包之后再转发出去。2.3IPSec概述IPSec有两种运行模式：传输模式和隧2.3.1IPSec概述原始IP数据包外部IP头IPSec头数据TCP头IP头IP头IPSec头数据TCP头IP头TCP头数据传输模式隧道模式

IP数据包对比2.3.1IPSec概述2.4SSL协议SSL基本概念协议的设计目标：为两个通讯个体之间提供保密性和完整性(身份认证)；互操作性、可扩展性、相对效率为上层协议提的供安全性：保密性、身份认证和数据完整性SSL连接（connection)一个连接是一个提供一种合适类型服务的传输（OSI分层的定义）。SSL的连接是点对点的关系。连接是暂时的，每一个连接和一个会话关联。SSL会话（session）一个SSL会话是在客户与服务器之间的一个关联。会话由HandshakeProtocol创建。会话定义了一组可供多个连接共享的加密安全参数。会话用以避免为每一个连接提供新的安全参数所需昂贵的谈判代价。2.4SSL协议SSL基本概念SSL协议体系：协议分为两层底层：TLS记录协议上层：TLS握手协议、TLS密码变化协议、TLS警告协议SSL协议体系：协议分为两层TLS记录协议建立在可靠的传输协议(如TCP)之上，为更高层提供基本安全服务。特别是HTTP，它提供了Web的client/server交互的传输服务，可以构造在SSL之上。它提供连接安全性，有两个特点保密性，使用了对称加密算法完整性，使用HMAC算法用来封装高层的协议SSLHandshakeProtocol,SSLChangeCipherSpecProtocol,SSLAlertProtocol是SSL的高层协议，用于管理SSL交换。TLS记录协议SSL握手协议功能客户和服务器之间相互认证协商加密算法和密钥它提供连接安全性，有三个特点身份认证，至少对一方实现认证，也可以是双向认证协商得到的共享密钥是安全的，中间人不能够知道协商过程是可靠的SSL握手协议整体流程(1)、交换Hello消息，对于算法、交换随机值等协商一致(2)、交换必要的密码参数，以便双方得到统一的premastersecret(3)、交换证书和相应的密码信息，以便进行身份认证(4)、产生mastersecret(5)、把安全参数提供给TLS记录层(6)、检验双方是否已经获得同样的安全参数整体流程3入侵检测/入侵防御技术3.1入侵检测概述3.2入侵检测系统分类3.3入侵防御系统3入侵检测/入侵防御技术3.1入侵检测概述3.1入侵检测系统IDS入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和遭到攻击的迹象的一种机制。入侵检测采用旁路侦听的机制，通过对数据包流的分析，可以从数据流中过滤除可以数据包，通过与已知的入侵方式进行比较，确定入侵是否发生以及入侵的类型并进行报警。网络管理员可以根据这些报警确切的知道所周到的攻击并采取相应的措施。3.1入侵检测系统IDS入侵检测是从计算机网络或计算机系统中3.1入侵检测概述CIDF——入侵检测系统的通用模型3.1入侵检测概述CIDF——入侵检测系统的通用模型3.2入侵检测系统分类3.2.1基于主机的入侵检测系统3.2.2基于网络的入侵检测系统3.2入侵检测系统分类3.2.1基于主机的入侵检测系统3.2.1基于主机的入侵检测系统网络连接检测对试图进入该主机的数据流进行检测，分析确定是否有入侵行为，避免或减少这些数据流进入主机系统后造成伤害。基于主机的入侵检测系统可以保护单台主机不受网络攻击行为的侵害，需要安装在受保护的主机上。可以有效地检测出是否存在攻击探测行为。3.2.1基于主机的入侵检测系统网络连接检测基于主机的入侵3.2.1基于主机的入侵检测系统主机文件检测1系统日志2文件系统3进程记录系统日志文件记录了各种类型的信息。如果日志文件中存在异常记录，就可以认为发生了网络入侵。恶意的网络攻击者会修改网络主机上的各种数据文件。如果入侵检测系统发现文件系统发生了异常的改变，就可以怀疑发生了网络入侵。黑客可能使程序终止，或执行违背用户意图的操作。如果入侵检测系统发现某个进程存在异常行为，就可以怀疑有网络入侵。4系统运行控制针对操作系统的特性，采取措施防止缓冲区溢出，增加对文件系统的保护3.2.1基于主机的入侵检测系统主机文件检测1系统日志2文3.2.1基于主机的入侵检测系统检测准确度较高可以检测到没有明显行为特征的入侵成本较低不会因为网络流量影响性能适用于加密和交换环境优点3.2.1基于主机的入侵检测系统检测准确度较高可以检测到没3.2.1基于主机的入侵检测系统实时性较差无法检测数据包的全部检测效果取决于日志系统占用主机资源性能隐蔽性较差缺点3.2.1基于主机的入侵检测系统实时性较差无法检测数据包的3.2.2基于网络的入侵检测系统基于网络的入侵检测系统使用原始的网络分组数据报作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。大多数的攻击都有一定的特征，入侵检测系统将实际的数据流量记录与入侵模式库中的入侵模式进行匹配，寻找可能的攻击特征。3.2.2基于网络的入侵检测系统基于网络的入侵检测系统使用3.2.2基于网络的入侵检测系统基于网络的入侵监测系统可以实现如下功能：对数据包进行统计、详细的检查数据包检测端口扫描检测常见的攻击行为识别各种各样可能的IP欺骗攻击当检测到一个不希望的活动时，入侵检测系统可以重新配置防火墙以拦截从入侵者发来的数据。3.2.2基于网络的入侵检测系统基于网络的入侵监测系统可以典型部署方式典型部署方式3.2.2基于网络的入侵检测系统可以提供实时的网络监测行为可以同时保护多台网络主机具有良好的隐蔽性有效保护入侵证据不影响被保护主机的性能优点3.2.2基于网络的入侵检测系统可以提供实时的网络监测行为3.2.2基于网络的入侵检测系统防入侵欺骗的能力较差在交换式网络环境中难以配置检测性能受硬件条件限制不能处理加密后的数据缺点3.2.2基于网络的入侵检测系统防入侵欺骗的能力较差在交换3.3入侵防御系统IPS入侵检测的目的是提供网络活动的监测、审计、证据以及报告。入侵防御的目的是为了提供资产、资源、数据和网络的保护。IDS和IPS之间最根本的不同在于确定性，即IDS可以使用非确定性的方法从现有的和以前的通信中预测出任何形式的威胁而IPS所有的决策必须是正确的、确定的3.3入侵防御系统IPS入侵检测的目的是提供网络活动的监测、3.3入侵防御系统IPS就像小区门口的保安，在通行证和其它预设的规则或策略的基础上允许和拒绝访问。IDS就像巡警的巡逻车，监测活动并提供异常情况3.3入侵防御系统IPS就像小区门口的保安，在通行证和其它预典型部署方式服务器IPSIDS防火墙交换机outboundinterfaceinboundinterface典型部署方式服务器IPSIDS防火墙交换机outbound3.3入侵防御系统IPS的优势入侵的迅速终止更准确和可靠的检测积极防御IPS的设计需求能够准确、可靠的检测，精确的阻断攻击IPS的运行对网络的性能和可用性没有负面影响可以有效地安全管理可以容易的实现对未来攻击的防御3.3入侵防御系统IPS的优势4安全网关概述4.1安全网关的分类4.2UTM4.34安全网关概述4.1安全网关的分类4.2UTM4.34.1概述早期的网关就是指路由器。现在主要有三种网关，即协议网关、应用网关和安全网关安全网关布置在内部网络和外部网络之间。现在的网关多数都是集成多种功能为一体的集成网关。UTM通过对各种安全技术的整合，构建起一个立体防护体系，为信息网络提供全面动态的安全防护体系。内容过滤、应用层协议处理是发展趋势4.1概述早期的网关就是指路由器。现在主要有三种网关，即协4.2安全网关的分类从应用角度的分类防火墙VPN网关Web安全网关反病毒网关邮件安全网关UTM安全网关4.2安全网关的分类从应用角度的分类防火墙VPN网关Web4.3UTMUTM(UnifiedThreatManagement)是集防病毒、入侵检测/防御和防火墙、VPN于一体的网关设备，有的厂商还加上了防垃圾邮件、内容过滤等功能UTM可以通过软件实现，即在通用处理器上通过软件编程来实现，也可以通过硬件实现，即在ASIC芯片或者FPGA加上CPU来实现。4.3UTMUTM(UnifiedThreatManaUTM简介VPN反病毒防火墙Web过滤IDS/IPS反垃圾邮件UTMUTM简介VPN反病毒防火墙Web过滤IDS/IPS反垃圾邮UTM部署方式UTM部署方式UTM技术的优势成本较低1统一管理，降低人力投入2技术复杂度低3UTM技术的优势成本较低1统一管理，降低人力投入2技术复杂度UTM技术的不足单一功能性能较低1稳定性需要提升2功能过度集中，出现故障影响较大3UTM技术的不足单一功能性能较低1稳定性需要提升2功能过度集二、终端防护技术云安全技术桌面安全管理技术二、终端防护技术云安全技术1、云安全技术“云安全（CloudSecurity）”融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。1、云安全技术“云安全（CloudSecurity）”融云安全技术的应用特征库或类特征库在云端的储存与共享信息安全产品具有很强的终端特性，仅仅将特征库放在云端，并无优势。因为在现有网络环境中，下载速度不成问题，而且在本地存放特征库还会大大减少因网络故障带来的响应失败问题。作为一个最新的恶意代码、垃圾邮件或钓鱼网址等的快速收集、汇总和响应处理的系统随着恶意程序的爆炸式增长，用户更为迫切地需要能够在第一时间就对新的恶意程序及其产生的不良影响进行防御，甚至在新的恶意威胁出现之前就具备对其进行防御的能力。云安全技术的应用特征库或类特征库在云端的储存与共享来源挖掘云安全中心即时升级服务器互联网内容恶意威胁下载网站门户网站搜索网站云安全客户端互联网用户威胁信息数据中心即时查杀平台自动分析处理系统威胁挖掘集群威胁信息分析来源挖掘即时升级服务器互联网内容恶意威胁下载网站门户网站搜索McAfee云安全Artemis工作流程McAfee云安全Artemis工作流程2、桌面安全管理技术内部网络和应用系统发生故障的原因很少是由于网络设备和应用系统自身的问题所引起，更多的是因为内网的其它安全因素导致，如病毒爆发、资源滥用、恶意接入、用户误操作等。而这些安全因素，几乎全部来源于用户桌面计算机。典型问题包括：缺乏必要的安全加固手段缺乏有效的接入控制手段缺乏有效的行为监控手段缺乏必要的配置管理手段2、桌面安全管理技术内部网络和应用系统发生故障的原因很少是由概念桌面安全管理将终端安全管理、终端补丁管理、终端用户行为管理、网上行为管理有机地结合在一起，通过对网络中所有设备的统一策略制定、用户行为的统一管理，安全工具的集中审计，最大限度地减少安全隐患。同时，它还对个人桌面系统的软件资源实施安全管理，通过对个人桌面系统的工作状况进行管理，有效地提高员工工作效