《通信网络安全与防护》课件5-1

第五章网络防护技术5.1防火墙5.2入侵检测系统5.3安全隔离技术5.4蜜罐与蜜网目录安全的威胁

√

黑客入侵√

内部攻击√

病毒危害√信息泄露√

数据篡改引入防火墙的引入InternetHTTP/FTP/SMTPServerFileServerDataBaseProxyServerUserClient边界点安全威胁防火墙一、防火墙概述5.1防火墙防火墙的概念：

在信任网络与非信任网络之间，通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用设备。导入防火墙的技术原理：

将不信任网络对信任网络的安全威胁强制到单一安全控制点。防火墙的原则：

一切未被允许的就是禁止的！一、防火墙概述5.1防火墙防火墙能做什么保障授权合法用户的通信与访问禁止未经授权的非法通信与访问记录经过防火墙的通信活动防火墙不能做什么不能主动防范新的安全威胁不能防范来自网络内部的攻击不能控制不经防火墙的通信与访问一、防火墙概述5.1防火墙防火墙软件的发展包过滤防火墙状态检测包过滤防火墙应用网关(应用代理)防火墙二、防火墙的常用技术5.1防火墙基本的概念应用层表示层会话层传输层网络层数据链路层物理层防火墙检测技术对特定应用进行更细粒度检测容易暴露底层OS对更多应用进行粗粒度检测效率更高二、防火墙的常用技术5.1防火墙防火墙：包过滤技术应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层客户端防火墙服务器包过滤引擎二、防火墙的常用技术5.1防火墙防火墙：包过滤技术检查项IP

包的源地址IP包的目的地址TCP/UDP端口IP包检测包头检查路由安全策略：过滤规则路由表包过滤防火墙转发符合不符合丢弃二、防火墙的常用技术5.1防火墙访问要求：

1）网络/16不愿其他Internet主机访问其站点；

2）但它的一个子网/24和某大学/16有合作项目，因此允许该大学访问该子网；

3）然而/24是黑客天堂，需要禁止。防火墙规则制订实例二、防火墙的常用技术5.1防火墙注意这些规则之间并不是互斥的，因此要考虑顺序。123规则顺序安排原则：先特殊，后普遍内网大学进来出去内网黑客天堂进来出去二、防火墙的常用技术5.1防火墙基于协议、端口的规则制定

HTTP是一个基于TCP的服务，一般使用端口80，也可使用其他非标准端口，客户机使用任何大于1023的端口。如果防火墙允许WWW穿越网络边界，则可定义如下规则。

规则1、规则2允许外部主机访问本站点的WWW服务器，规则3、规则4允许内部主机访问外部的WWW服务器。二、防火墙的常用技术5.1防火墙包过滤防火墙特点：对应用完全透明；数据吞吐率高；实现容易（便宜），多用于接入路由器；随着安全规则的增加，配置、维护规则比较困难；处于较低层，对会话内容无法监控，安全性能较低；二、防火墙的常用技术5.1防火墙防火墙：应用网关应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层客户端防火墙（代理网关）服务器二、防火墙的常用技术5.1防火墙某学校内网代理服务器Internet步骤（1）（1）主机A发出访问Web站点的请求；步骤（2）（2）请求到达代理服务器，代理服务器检查防火墙规则集，检查数据包报头信息和数据；主机AIP地址：8代理服务器IP地址：

IP地址：二、防火墙的常用技术5.1防火墙步骤（3）步骤（4）代理服务器Internet步骤（1）步骤（2）（3）如果不允许该请求发出，代理服务器拒绝请求，发送ICMP消息给源主机；（4）如果允许该请求发出，代理服务器修改源IP地址，创建数据包；主机AIP地址：8数据包源IP地址由8改成代理服务器IP地址：二、防火墙的常用技术5.1防火墙步骤（3）步骤（4）步骤（5）代理服务器Internet步骤（1）（5）代理服务器将数据包发给目的计算机，数据包显示源IP地址来自代理服务器；步骤（2）（6）返回的数据包又被发送到代理服务器。服务器再次根据防火墙规则集检查数据包报头信息和数据；步骤（6）代理服务器IP地址：二、防火墙的常用技术5.1防火墙步骤（3）步骤（4）步骤（5）步骤（8）步骤（6）步骤（7）代理服务器Internet步骤（1）步骤（2）（7）如果不允许该数据包进入内部网，代理服务器丢弃该数据包，发送ICMP消息；（8）如果允许该数据包进入内部网，代理服务器将它发给最先发出请求的计算机；代理服务器IP地址：二、防火墙的常用技术5.1防火墙步骤（3）步骤（9）步骤（4）步骤（5）步骤（8）步骤（6）步骤（7）代理服务器Internet步骤（1）步骤（2）（9）数据包到达最先发出请求的计算机，此时数据包显示来自外部主机而不是代理服务器。代理服务器IP地址：二、防火墙的常用技术5.1防火墙防火墙：应用网关缺点:必须对每个应用程序创建过滤规则客户端配置新的应用和病毒速度慢二、防火墙的常用技术5.1防火墙防火墙：状态检测包过滤技术应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层客户端防火墙服务器状态检测引擎会话连接状态、上下文信息监控二、防火墙的常用技术5.1防火墙防火墙：状态检测包过滤技术检查项IP

包的源、目的地址、端口TCP会话的连接状态上下文信息二、防火墙的常用技术5.1防火墙IP包检测包头下一步处理安全策略：过滤规则会话连接状态缓存表状态检测包过滤防火墙符合不符合丢弃状态检测包过滤检测流程符合二、防火墙的常用技术5.1防火墙状态检测包过滤防火墙特点对以上各层的通信进行主动、实时的监控重组会话，对应用进行细粒度检测数据吞吐率较高二、防火墙的常用技术5.1防火墙安全区划分防火墙WebServerFTP/SMTPServer安全区1（内网）安全区2（外网）安全区3（DMZ、SSN）三、防火墙的功能与性能分析5.1防火墙透明接入网络A网络B192.168.0.X/24192.168.0.X/24透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址透明模式下，网络A和网络B不用做任何调整三、防火墙的功能与性能分析5.1防火墙路由、NAT接入网络A192.168.0.X/24/24202.16.1.x/26202.16.1.y/26路由模式下，防火墙的内外网接口必须配置不同的IP地址INTERNET三、防火墙的功能与性能分析5.1防火墙混合接入防火墙DMZ区内网1内网2网桥NATINTERNET三、防火墙的功能与性能分析5.1防火墙基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址基于MAC地址WebServerFTP/SMTPServer

源目的根据预定义的规则列表，进行访问控制基本的访问控制三、防火墙的功能与性能分析5.1防火墙NAT隐藏内部网络的IP

地址及内部网络结构节约有效的IP

地址空间2

发出请求应答发给2

发出请求

发出请求应答发给应答发给NAT2↔三、防火墙的功能与性能分析5.1防火墙服务器负载均衡INTERNETWeb服务器3Web服务器1Web服务器2三、防火墙的功能与性能分析5.1防火墙策略路由INTERNETCERNET网络1/24网络2/24网络1-----INTERNET网络2------CERNET三、防火墙的功能与性能分析5.1防火墙认证技术

认证是所有防火墙的基础。认证技术：

操作系统口令：Username/Password;S/Key；

RADIUS；第三方的插件；认证模式：

用户认证客户认证会话认证三、防火墙的功能与性能分析5.1防火墙防火墙：S/Key认证技术S/Key是一次性口令挑战认证技术登陆：用户名挑战号计算口令1计算口令2口令1结果一致，认证成功结果不一致，认证失败比较口令1、口令2是否一致？三、防火墙的功能与性能分析5.1防火墙代理服务：应用代理是防火墙中一个重要的功能，启用代理可以针对特定应用进行更细粒度的控制，包括内容过滤等。客户端服务器2：防火墙对客户端的访问进行控制1：客户端访问服务器需先访问防火墙3：防火墙代替客户端向服务器发送请求FTPHTTPSMTP三、防火墙的功能与性能分析5.1防火墙防火墙：高可用性技术

高可用性（HighAvailability）技术是为解决防火墙单点故障点，提供无缝的故障恢复，保障企业网络的关键应用。如：双机热备、集群（Cluster）技术等。Internet内部网络HABeatRouterSwitchSwitch三、防火墙的功能与性能分析5.1防火墙并发连接数定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力。CLIENTSERVER并发连接数可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数三、防火墙的功能与性能分析5.1防火墙吞吐量定义：在不丢包的情况下能够达到的最大速率衡量标准：吞吐量作为衡量防火墙性能的重要指标之一，吞吐量小就会造成网络的瓶颈，进而影响网络的性能。Smartbits6000B测试仪11010010100101010110！◎＃…％￥￥＃（×※以最大速率发包直到出现丢包时的最大值100M60M防火墙吞吐率小就会造成网络的瓶颈三、防火墙的功能与性能分析5.1防火墙时延定义：入口处输入帧最后一个比特到达至出口处输出帧的第一个比特输出所用的时间间隔。衡量标准：防火墙的时延能够体现它处理数据的速度Smartbits6000B测试仪11010010100101010110最后一个比特到达11010010100101010110第一个比特输出时间间隔数据包排队经防火墙检查后转发，造成数据包延迟到达目的地。1101001010010101011011010010100101010110三、防火墙的功能与性能分析5.1防火墙背靠背定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。衡量标准：背靠背的测试结果能体现出防火墙的缓冲容量，网络上经常有一些应用会产生大量的突发数据包（如NFS、备份、路由更新等），而且这样的数据包的丢失可能会产生更多的数据包，强大的缓冲能力可以减少这种突发对网络造成的影响。Smartbits6000B测试仪少量包没有数据包增多峰值包减少包数量（N)时间（T）背靠背指标体现防火墙对突发数据的处理能力三、防火墙的功能与性能分析5.1防火墙丢包率Smartbits6000B测试仪11010010100101010110发送了100个包1101001010010101丢包率＝（100－80）/100＝20％定义：在连线负载的情况下，防火墙设备由于资源不足应转发但却没转发的帧百分比。衡量标准：防火墙的丢包率对其稳定性、可靠性有很大影响。转发了80个包三、防火墙的功能与性能分析5.1防火墙知识点回顾：接入方式：透明、路由、混合实现技术：安全区划分、NAT、策略路由、认证技术、代理技术、高可用技术性能指标：并发连接数、吞吐量、时延、背靠背、丢包率三、防火墙的功能与性能分析5.1防火墙如何在不同安全等级的网络间进行信息交换人工拷盘：由指定人员将需要转移的数据拷贝到软盘等移动存储介质上，经过查病毒、内容检查等安全处理后，再复制到目标网络中。5.3网络隔离技术一、安全隔离的概念A网B网存储介质数据的交换通过人工来实现，工作效率低；安全性完全依赖于人的因素，可靠性无法保证；随着电子政务的开展，内外网交换数据的数量和频率呈几何量级上升，这种解决方案已经越来越无法满足用户的需要。5.3网络隔离技术一、安全隔离的概念人工拷盘的缺点：上世纪90年代中期俄罗斯人RyJones首先提出“AirGap”隔离概念；以色列首先研制成功物理隔离卡，实现网络之间的安全隔离；美国WhaleCommunications公司和以色列SpearHead公司先后推出了e-Gap和NetGap产品，利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享；安全隔离技术从单纯实现“网络隔离禁止交换”的安全隔离发展到“安全隔离和可靠交换”的安全隔离。美国军方、重要政府部门均采用隔离技术保障信息安全。5.3网络隔离技术一、安全隔离的概念网络隔离（NetworkIsolation），主要是指把两个或两个以上可路由的网络（如TCP/IP）通过不可路由的协议进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离（ProtocolIsolation）。5.3网络隔离技术一、安全隔离的概念数据交换技术安全性适合场合人工方式安全性最好，物理隔离适合临时的小数量的数据交换数据交换网物理上连接，采用完整安全保障体系的深层次防护(防护、监控、审计)，安全程度依赖当前安全技术适合提供大数据服务或时时的网络服务，支持多业务平台建设网闸物理上不同时连接，对攻击防护好，但协议的代理对病毒防护依赖当前技术适合定期的批量数据交换，但不适合多应用的穿透安全网关从网络层到应用层的防护不适合涉密网络与非涉密网络数据交换。适合办公网络与互联网的隔离，也适合涉密网络之间的隔离5.3网络隔离技术一、安全隔离的概念常见的网络安全隔离方式

安全隔离的工作原理是模拟人工在两个隔离网络之间的信息交换。其本质在于：阻断两侧网络间直接协议连接，使之不能直接进行网络协议通讯，对传递的数据内容进行检测，即实现“协议落地、内容检测”。5.3网络隔离技术二、安全隔离的原理5.3网络隔离技术二、安全隔离的原理1.安全隔离理论模型安全隔离的安全思路来自于“不同时连接”5.3网络隔离技术安全隔离的设计是“代理+摆渡”。代理不只是协议代理，而是数据的“拆卸”，把数据还原成原始的部分，拆除各种通讯协议添加的包头和包尾，通讯协议落地，用专用协议、单向通道技术、存储等方式阻断业务的连接，用代理方式支持上层业务。二、安全隔离的原理1.安全隔离理论模型5.3网络隔离技术二、安全隔离的原理2.网闸的工作原理网闸是在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。在信息摆渡的过程中内外网（上下游）从不发生物理连接。5.3网络隔离技术二、安全隔离的原理2.网闸的工作原理网闸内部采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块。内、外网主机模块具有独立运算单元和存储单元，分别连接可信及不可信网络，对访问请求进行预处理，以实现安全应用数据的剥离。隔离交换模块采用专用的双通道隔离交换卡实现，通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。网闸进行数据交换的过程：1）切断网络之间的通用协议连接，当外网需要有数据到达内网的时候，外部处理单元发起对隔离设备的非TCP/IP协议的数据连接；2）隔离设备将所有的协议剥离，将数据包进行分解或重组为静态数据，写入存储介质。3）一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外部处理单元的连接，对静态数据进行安全审查，包括网络协议检查和代码扫描等；4）数据确认安全后，隔离设备发起对内部处理单元的非TCP/IP协议的数据连接，将存储介质内的数据推向内部处理单元。5）内部处理单元收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统。内部用户通过严格的身份认证机制获取所需数据。5.3网络隔离技术二、安全隔离的原理2.网闸的工作原理5.3网络隔离技术二、安全隔离的原理2.网闸的工作原理安全隔离网闸最初只支持文件交换功能（工作原理是模拟人工拷盘），目前已经发展到具有数据库同步、数据库访问、邮件访问、安全Web访问、FTP访问等多种功能，能对HTTP、FTP、SMTP、POP3等通用协议进行内容检查。安全隔离网闸存在无法对私有协议进行数据内容检查的问题，这是由于不少用户应用系统采用的都是自定义格式的私有协议，其数据格式、数据内容等都没有公开，导致安全隔离网闸厂商无法定义出相应的数据内容检查规则，也就无法实现高安全的隔离交换控制。文件同步：完成内外网服务器（用户）之间的文件交换（同步）5.3网络隔离技术二、安全隔离的原理2.网闸的工作原理NFSSAMBAFTPNFSSAMBAFTP文件同步模块文件同步模块内容病毒格式内容病毒格式文件同步：完成内外网服务器（用户）之间的文件交换（同步）5.3网络隔离技术二、安全隔离的原理2.网闸的工作原理数据库同步5.3网络隔离技术二、安全隔离的原理2.网闸的工作原理开关模块数据库同步模块数据库同步模块数据Select*frompubsJDBC数据