《网络空间安全导论》 课件 18-网络安全04-网络安全防护技术

网络安全基础04

网络安全防护技术（1）理解防火墙的概念、部署方式和工作模式了解防火墙的功能和缺陷熟悉防火墙的评价指标理解包过滤技术的基本原理教学目标防火墙的概念防火墙的功能与缺陷防火墙的评价指标包过滤技术目录信任网络防火墙非信任网络定义防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过制定相应的安全策略，可监测、限制、更改跨越防火墙的数据流，来保护信任网络，以防止发生不可预测的、具有潜在破坏性的侵入。防火墙的概念在网络中的位置防火墙一般位于网络数据流的必经节点一般位于路由器后面，交换机前面防火墙与网络一般是串联关系防火墙的概念防火墙之外的网络，一般为Internet，默认为风险区域。为了配置方便，内网中需要向外网提供服务的服务器（如WWW、FTP、DNS等）往往放在内网与Internet之间一个单独的网段，即为DMZ。防火墙之内的网络，一般为局域网，默认为安全区域。安全域的典型划分防火墙的概念如何理解防火墙的概念一种网络安全防护机制用于加强网络间（安全域间）的访问控制防止外部用户非法使用内部网的资源，防止内部网的敏感数据被外部用户窃取能根据网络安全策略控制（允许、拒绝、修改、监测）出入网络的信息流，且本身具有较强的抗攻击能力防火墙的概念基本工作模式路由模式透明（桥接）模式防火墙的概念路由模式防火墙的概念透明（桥接）模式防火墙的概念防火墙的概念防火墙的功能与缺陷防火墙的评价指标包过滤技术目录防火墙的典型功能访问控制传输安全（VPN）路由地址转换服务代理攻击检测和防御防火墙的功能与缺陷访问控制传输安全路由地址转换服务代理攻击检测与防御访问控制访问控制的机制类型自主访问控制（DAC）强制访问控制（MAC）访问控制的对象服务控制：确定哪些服务可以被访问方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制：根据用户来控制对服务的访问行为控制：控制一个特定的服务的行为防火墙的功能与缺陷内容监控与过滤应用层防护支持常见协议基于误用的自定义规则大都支持碎片重组URL过滤利用黑名单、白名单、自定义区分URL对网页挂马、钓鱼网站有很好的效果防火墙的功能与缺陷防火墙的缺陷不能防范恶意的内部用户不能防范绕过防火墙的连接不能防范全新的安全威胁不适合防范数据驱动式攻击防火墙的功能与缺陷防火墙的概念防火墙的功能与缺陷防火墙的评价指标包过滤技术目录选购防火墙需要考虑的因素性能指标功能指标价格因素其它指标防火墙的评价指标性能指标吞吐量（Throughput）时延（Latency）丢包率（Packetlossrate）并发连接数防火墙的评价指标功能指标工作模式配置与管理方式接口的数量和类型日志和审计功能可用性参数以及其它参数（内容过滤、入侵检测、用户认证、VPN与加密等主要的附加功能）防火墙的评价指标防火墙的概念防火墙的功能与缺陷防火墙的评价指标包过滤技术目录CD数据包数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略

基于源IP地址基于目的IP地址基于源端口基于目的端口基于协议类型基于出入网口基于时间基于用户灵活制定控制策略包过滤技术包过滤技术简单包过滤防火墙不检查数据区！应用层TCP层IP层网络接口层TCP101010101IP101010101TCPETHTCP101010101IP101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCP101010101只检查报头101001001001010010000011100111101111011101001001001010010000011100111101111011UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource查找对应的控制策略TCP101010101IPETH包过滤工作原理包过滤技术

IP源地址

IP目标地址

协议类型（TCP包、UDP包、ICMP包等）

TCP或UDP包的源端口

TCP或UDP包目的端口ICMP消息类型数据包过滤一般要检查网络层的IP头和传输层头五元组：源/目的地址、源/目的端口、协议类型包过滤规则包过滤技术包过滤默认规则默认禁止：仅放行明确允许的访问行为，其他均禁止默认允许：仅禁止明确禁止的访问行为，其他均允许包过滤技术序号动作源IP目的IP源端口目的端口协议类型1禁止any443TCP2允许/24any443TCP3允许/24443anyTCP如果将第1条规则调整到第3条规则之后，会是什么结果？包过滤规则实例1A网络地址为/24，内部服务器B地址为，如果只拒绝通过HTTPS访问服务器B，而不限制A网络中的其他主机，如何来设置包过滤规则？包过滤规则：1.禁止通过HTTPS访问服务器B2.允许A网络中其他的主机通过HTTPS访问服务器B包过滤技术包过滤规则匹配流程提取数据包的相关信息，按照从头到尾的顺序，与规则表中的规则进行比较。如果符合其中的一条规则，则按照相应的规则处理该数据包（允许或拒绝），终止匹配。规则次序很关键，要把特殊的规则放在前面端，把相对不特殊的规则放在后端。默认规则位于规则列表末尾，用户应该慎重设置默认规则。包过滤技术包过滤技术包过滤规则实例2

已知内部网网络地址为/24，外部网网络地址为/24。现制定以下包过滤规则:1.除了IP地址为的主机，禁止其他外网主机用Telnet登录到内部网；

2.允许IP地址为的内网主机使用Telnet登录到外网主机；

3.允许任何主机使用SMTP往内部网发送电子邮件；

4.只允许内部主机使用FTP访问外部主机，而限制其他的内部主机；

5.允许任何ICMP数据通过；

6.允许内部网任何主机发送WWW数据；

7.默认规则：不允许其他数据包通过。不考虑“回包”的处理，将这些策略写成五元组包过滤规则表的格式。序号动作源地址目的地址源端口目的端口协议类型1允许/24any23TCP2禁止/24/24any23TCP3允许any23TCP4允许any/24any25TCP5允许any21，20TCP6禁止/24any21，20TCP7允许anyanyanyanyICMP8允许/24anyany80TCP9禁止anyanyanyanyany包过滤规则实例2包过滤技术包过滤技术的优缺点优点处理包速度较快对用户和应用透明缺点维护比较难，定义过滤规则比较难不支持有效的用户认证过滤条目多时，防火墙性能下降包过滤技术防火墙的概念防火墙的功能与缺陷防火墙的评价指标包过滤技术总结网络安全基础05

网络安全防护技术（2）理解入侵检测与VPN的作用、原理及部署方式了解计算机病毒的分类及防治技术教学目标入侵检测技术VPN技术计算机病毒防治技术目录入侵检测的概念入侵检测（IntrusionDetection）：对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。入侵检测技术是一种能够及时发现系统中未授权或异常现象，并能根据系统安全规则进行检测和报警的技术，是一种用于检测计算机网络系统中恶意行为的技术。入侵检测系统（IntrusionDetection

System，简称IDS）：一种网络安全设备（机制），通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术入侵检测系统的作用事前警告：在黑客入侵之前，根据网络异常情况发出告警。事中防御：在黑客入侵之时，根据恶意访问特征及时发现入侵行为并采取适当措施。事后审计：在黑客入侵之后，根据恶意访问的各种日志记录，对入侵造成的损失进行审计，为修复系统、加固安全策略提供基本依据。安全策略管理：根据安全策略对入侵行为进行记录和告警，并对各种警告进行输出、存储和查询等。入侵检测技术监控室=控制中心保安=防火墙摄像机=入侵探测系统CardKey入侵检测技术相关术语警报（alert）：当一个入侵正在发生或者试图发生时，IDS将发布一个警报信息通知系统管理员特征（signatures）：一组能确定网络访问或系统行为是入侵行为的字符串、数据、行为模式或符号组合等误报（falsepositive）：实际无害的事件却被IDS检测为攻击事件漏报（falsenegative）：一个攻击事件未被IDS检测到或被分析人员认为是无害的蜜罐（honeypot）：一种资源，其价值在于被攻击或攻陷入侵检测技术通用入侵检测系统模型（CIDF）事件产生器响应单元事件分析器存储机制低级事件高级事件低级事件高级事件来自网络中的数据包入侵检测技术IDS分类根据检测方式和技术分类基于知识的IDS：又称为误用检测技术，通过某种方式预先定义规则（知识库），然后监视系统的运行，从中找出符合预先定义规则的入侵行为。基于行为的IDS：又称为异常检测技术，入侵和滥用行为通常和正常的行为存在严重的差异，检查出这些差异就可以检测出入侵。入侵检测技术IDS分类根据部署位置和工作方式分类HIDS（主机入侵检测系统）：运行于被检测的主机上，通过查询、监听当前系统的各种资源的使用运行状态，检测系统资源被非法使用和修改的事件，进行上报和处理。NIDS（网络入侵检测系统）：通过连接在网络上的“探针”捕获网络上的包，并分析其是否具有已知的攻击模式，以此来判断是否是入侵行为。当该系统发现某些可疑的行为时会产生报警（NIPS同时还可以根据安全策略对该行为进行阻断）。入侵检测技术HIDS部署方式PC1PC2PC3agentagentagentIDSServer交换机防火墙路由器入侵检测技术NIDS部署方式PC1PC2PC3IDS探针（旁路方式部署）交换机IDS管理控制中心防火墙路由器入侵检测技术入侵检测技术VPN技术计算机病毒防治技术目录VPN技术为什么需要VPN问题一：私有IP网络之间无法通过Internet互联，如何解决？问题二：异种网络（IPX、AppleTalk）之间无法通过Internet直接进行通信，如何解决？问题三：对于一个企业，如何保证出差员工、分支机构、合作伙伴能接入自己的内网？VPN（VirtualPrivateNetwork，虚拟专用网）依靠网络服务提供商NSP（NetworkServiceProvider）在公共网络中建立的虚拟专用通信网络。VPN的特点专用（Private）：对于VPN用户，使用VPN与使用传统专网没有区别，VPN与底层承载网络之间保持资源独立，VPN内部信息不受外部侵扰。虚拟（Virtual）：VPN用户内部的通信是通过公共网络进行的，而这个公共网络同时也可以被其他非VPN用户使用，VPN用户获得的只是一个逻辑意义上的专网。这个公共网络也被称为VPN骨干网（VPNBackbone）。VPN技术VPN的优势安全：在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。廉价：利用公共网络进行信息通讯，企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。支持移动业务：支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。可扩展性：由于VPN为逻辑上的网络，物理网络中增加或修改节点，不影响VPN的部署。VPN技术VPN技术VPN的分类按应用类型分类远程访问VPN（AccessVPN）：面向出差员工，允许出差员工跨越公用网络远程接入公司内部网络。内部VPN（IntranetVPN）：面向分支结构，通过公用网络进行企业内部各个分支网络的互连。扩展VPN（ExtranetVPN）：面向合作伙伴，使不同企业间通过公网来构筑“专线”。VPN技术远程访问VPN内部VPN扩展VPNVPN技术VPN的分类按组网类型分类基于VPN的远程访问（主机到网关）基于VPN的网络互连（网关到网关）基于VPN的点对点通信（主机到主机）VPN技术VPN的分类按实现层次分类基于数据链路层的VPN：PPTPVPN、L2FVPN、L2TPVPN基于网络层的VPN：GREVPN、IPSecVPN基于应用层的VPN：SSLVPNVPN的关键技术隧道技术隧道技术是VPN的基本技术，类似于点到点连接技术。它的基本过程就是在数据进入源VPN网关时，将数据“封装”后通过公网传输到目的VPN网关，再对数据“解封装”。“封装/解封装”过程本身就可以为原始报文提供安全防护功能，所以被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。VPN技术VPN的关键技术身份认证技术：通过对用户的身份进行认证，确保接入内部网络的用户是合法用户，而非恶意用户。加密技术：把能读懂的报文变成无法读懂的报文，也就是把明文变成密文。数据验证技术：对收到的报文进行完整性和真实性校验，对于伪造的、被篡改的数据进行丢弃。VPN技术VPN技术GREVPNL2TPVPNIPSecVPNSSLVPN保护范围IP层及以上数据IP层及以上数据IP层及以上数据应用层特定数据适用场景IntranetVPNAccessVPN、ExtranetVPNIntranetVPN、AccessVPNAccessVPN身份认证技术不支持支持，基于PPP的CHAP、PAP、EAP认证支持，采用“IP或ID+口令或证书”进行数据源认证；IKEv2拨号方式采用EAP进行用户身份认证支持，“用户名+口令+证书”对服务器进行认证，也可以进行双向认证加密技术不支持不支持支持支持数据验证技术支持（校验和方式验证、关键字验证）不支持支持支持如何使用GREoverIPSecL2TPoverIPSec单独使用IPSec，或用IPSec保护GRE、L2TPSSLVPN入侵检测技术VPN技术计算机病毒防治技术目录计算机病毒的定义从广义上讲，能够引起计算机故障、破坏计算机数据、影响计算机正常运行的指令或者代码，均统称为计算机病毒（computervirus）。计算机病毒防治技术《中华人民共和国计算机信息系统安全保护条例》（1994年2月18日颁布实施）中第二十八条规定：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”计算机病毒的特点破坏性：计算机病毒的首要特征，任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响，轻者占用系统资源、降低计算机工作效率，重者窃取或破坏数据、破坏正常程序，甚至导致系统崩溃。传染性：计算机病毒与生物病毒一样具有传染性。病毒会通过网络、移动存储介质等各种渠道，从已被感染的计算机扩散到为被感染的计算机中，感染型病毒会直接将自己植入正常文件的方式来进行传播。隐蔽性：计算机病毒通常没有任何可见的界面，为了最大限度提高自己在被攻击系统上的生命周期，会采用隐藏进程、文件等手段，千