第05章网络安全设计2

第5章网络安全设计主讲：易建勋第5章网络安全设计第2页共93页5.1网络安全体系结构

网络安全是一个系统的、全局性的问题。5.1.1TCP/IP协议的安全模型（1）网络安全定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续、可靠的正常运行，网络服务不中断。主讲：易建勋第5章网络安全设计第3页共93页7.1网络安全体系结构在TCP/IP体系结构中，各层都能提供一定的安全手段。如图所示。主讲：易建勋第5章网络安全设计第4页共93页5.1网络安全体系结构（2）接口层的安全加密传输、防电磁波泄漏等。（3）网络层的安全网络层安全威胁：报文窃听、流量攻击、拒绝服务攻击等。网络层安全技术：路由安全机制、IPSec、防火墙技术等。主讲：易建勋第5章网络安全设计第5页共93页5.1网络安全体系结构（4）传输层的安全传输层安全协议：

SSL（安全套接字协议）SSL提供三个方面的服务：用户和服务器认证数据加密服务维护数据的完整性。主讲：易建勋第5章网络安全设计第6页共93页5.1网络安全体系结构（5）应用层的安全应用层安全问题：操作系统漏洞、应用程序BUG、非法访问、病毒木马程序等。应用层安全技术：加密、用户级认证、数字签名等。主讲：易建勋第5章网络安全设计第7页共93页5.1网络安全体系结构网络层面可靠性研究测度指标网络拓扑层研究拓扑结构的可靠性及网络组织的要求和改进措施抗毁性、生存性网络设备层研究通信设备终端到终端的可靠性及整个网络系统设备的可靠性设备可靠性网络路由层分析网络路由算法的效率、流量控制、路由管理网络运行层研究网络环境和网络异常故障的规律对网络可靠性的影响可用性网络业务层分析网络业务能力及服务质量，对网络的性能可靠性进行综合评价完成性、有效性网络管理层提高维护管理水平的措施网络可靠性研究主讲：易建勋第5章网络安全设计第8页共93页补充：网络可靠性指标主讲：易建勋第5章网络安全设计第9页共93页5.1网络安全体系结构5.1.2IATF网络安全体系结构（1）IATE安全技术标准美国国家安全局（NSA）制定了IATF（信息保障技术框架）标准。代表理论是“深度保护战略”。IATF标准强调人、技术、操作三个核心原则。主讲：易建勋第5章网络安全设计第10页共93页5.1网络安全体系结构（2）边界有时边界定义为物理实体，如：人、信息、和信息系统，它们在一个物理区域中。（3）信息基础设施在IATF标准中，飞地指位于非安全区中的一小块安全区域。主讲：易建勋第5章网络安全设计第11页共93页5.1网络安全体系结构主讲：易建勋第5章网络安全设计第12页共93页5.1网络安全体系结构（4）对手、动机和攻击类型可能的对手（攻击者）：国家、恐怖分子、罪犯、黑客或企业竞争者。攻击动机：收集情报、窃取知识产权、或仅仅是为了炫耀。攻击方法：

被动攻击、主动攻击、物理临近攻击、内部人员攻击、分发攻击。主讲：易建勋第5章网络安全设计第13页共93页5.1网络安全体系结构表5-1IATF描述的5类攻击的特点攻击类型攻击特点被动攻击包括分析通信流，监视没有保护的通信，解密弱加密通信，获取鉴别信息（如口令）等。被动攻击可能造成在没有得到用户同意或告知用户的情况下，将用户信息或文件泄漏给攻击者，如泄露个人信用卡号码等主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动攻击可能造成数据资料的泄漏和传播，或导致拒绝服务及数据的篡改物理临近攻击指未被授权的个人，在物理意义上接近网络系统或设备，试图改变和收集信息，或拒绝他人对信息的访问内部人员攻击可分为恶意攻击或无恶意攻击。前者是指内部人员对信息的恶意破坏或不当使用，或使他人的访问遭到拒绝；后者指由于粗心、无知以及其他非恶意的原因造成的破坏分发攻击在工厂生产或分销过程中，对硬件和软件进行恶意修改。这种攻击可能是在产品里引入恶意代码，如后门等主讲：易建勋第5章网络安全设计第14页共93页5.1网络安全体系结构（5）安全威胁的表现形式信息泄露、媒体废弃、人员不慎、授权侵犯、非授权访问、旁路控制、假冒、窃听、电磁/射频截获、完整性侵犯、截获/修改、物理侵入、重放、业务否认、业务拒绝、资源耗尽、业务欺骗、业务流分析、特洛伊木马程序、后门等。主讲：易建勋第5章网络安全设计第15页共93页5.1网络安全体系结构被动攻击指对信息的保密性进行攻击。特点是偷听或监视信息的传输。主动攻击是篡改信息来源的真实性、信息传输的完整性和系统服务的可用性。包括中断、伪造、篡改等。主讲：易建勋第5章网络安全设计第16页共93页案例：网络攻击主讲：易建勋第5章网络安全设计第17页共93页5.1网络安全体系结构（6）深度保护战略模型深度保护战略的四个基本领域：保护局域网计算环境；保护区域边界；保护网络和基础设施；保护支撑基础设施。主讲：易建勋第5章网络安全设计第18页共93页5.1网络安全体系结构深度保护战略体系包含人、技术和操作三个要素。表5-2深度保护战略的具体内容人技术操作培训意识培养物理安全人事安全系统安全管理深度保护技术框架领域安全标准IT/IA采购风险评估认证和鉴定评估监视入侵检测警报响应恢复主讲：易建勋第5章网络安全设计第19页共93页5.1网络安全体系结构5.1.3网络安全防护技术（1）安全防护策略设计内部网络的原则：应根据部门需要划分子网，并实现子网之间的隔离；采取安全措施后，子网之间应当可以相互访问。主讲：易建勋第5章网络安全设计第20页共93页5.1网络安全体系结构网络的安全防护：内网接口安全防护外网接口安全防护数据库安全保护服务器主机安全防护客户端的安全防护主讲：易建勋第5章网络安全设计第21页共93页物理环境用户层应用层表示层会话层传输层网络层链路层物理层可靠性可用性审计管理防止否认数据完整数据保密访问控制身份鉴别信息处理单元通信网络安全管理安全特性结构层次系统单元补充：ISO7498-2安全模型主讲：易建勋第5章网络安全设计第22页共93页案例：网络安全技术主讲：易建勋第5章网络安全设计第23页共93页5.1网络安全体系结构（2）传输过程中的安全防护技术网络物理安全防护网络地址转换（NAT）（3）包过滤技术包过滤是最常见的一种安全防护技术包过滤技术是利用IP数据包的特征进行访问控制AAA技术根据用户名和密码进行访问控制主讲：易建勋第5章网络安全设计第24页共93页5.2网络防火墙技术5.2.1防火墙的功能防火墙是由软件或硬件构成的网络安全系统。防火墙用来在两个网络之间实施访问控制策略。（1）防火墙在网络中的位置防火墙用来解决内网和外网之间的安全问题。防火墙在网络中的位置如图5-6所示。主讲：易建勋第5章网络安全设计第25页共93页5.2网络防火墙技术LAN防火墙Internet主讲：易建勋第5章网络安全设计第26页共93页5.2网络防火墙技术（2）防火墙的功能只有防火墙安全策略允许的数据，才可以自由出入防火墙，其他数据禁止通过。防火墙受到攻击后，应能稳定有效的工作。防火墙可以记录和统计网络的使用情况。防火墙应能过滤和屏蔽一切有害的服务和信息。防火墙应能隔离网络中的某些网段。主讲：易建勋第5章网络安全设计第27页共93页5.2网络防火墙技术（3）防火墙设置的基本安全准则部分厂商遵循：

一切未被允许的访问就是禁止的。部分厂商遵循：

一切未被禁止的访问就是允许的。主讲：易建勋第5章网络安全设计第28页共93页5.2网络防火墙技术（4）防火墙的不足不能防范不经过防火墙的攻击。不能防范恶意的知情者或内部用户的误操作。不能防止受病毒或木马文件。由于防火墙不检测数据的内容，因此防火墙不能防止数据驱动式的攻击。主讲：易建勋第5章网络安全设计第29页共93页5.2网络防火墙技术5.2.2防火墙的类型软件防火墙功能强于硬件防火墙硬件防火墙性能高于软件防火墙。包过滤防火墙产品：以以色列Checkpoint防火墙、美国Cisco公司PIX防火墙。代理型防火墙产品：美国NAI公司Gauntlet防火墙。主讲：易建勋第5章网络安全设计第30页共93页5.2网络防火墙技术（1）软件防火墙个人级软件防火墙：瑞星防火墙产品。企业级软件防火墙：微软公司ISAServerCheckPoint公司FW等。主讲：易建勋第5章网络安全设计第31页共93页案例：ISAServer企业级软件防火墙主讲：易建勋第5章网络安全设计第32页共93页5.2网络防火墙技术（2）硬件防火墙大多数企业级防火墙都基于PC架构。硬件防火墙产品：美国思科公司：CiscoPIX

美国杰科公司：NetScreen

中国天融信公司：网络卫士中国华为公司防火墙等主讲：易建勋第5章网络安全设计第33页共93页案例：CiscoPIX防火墙产品主讲：易建勋第5章网络安全设计第34页共93页案例：华为1800F硬件防火墙主讲：易建勋第5章网络安全设计第35页共93页5.2网络防火墙技术（4）包过滤防火墙包过滤防火墙的弱点：☆过滤的依据只是网络层和传输层的有限信息，安全要求不可能充分满足。☆随着过滤规则的增加，性能会受到很大影响。☆缺少审计和报警机制。主讲：易建勋第5章网络安全设计第36页共93页案例：防火墙包过滤策略主讲：易建勋第5章网络安全设计第37页共93页5.2网络防火墙技术（5）代理型防火墙代理型防火墙是工作在应用层。优点：可以对网络中任何一层的数据进行筛选和保护。缺点：速度较慢，当网关吞吐量较高时，容易成为内网与外网之间的瓶颈。主讲：易建勋第5章网络安全设计第38页共93页5.2网络防火墙技术代理服务器工作流程真实的客户端真实服务器转发请求外部网络代理客户机代理服务器应用协议分析响应内部网络请求转发响应主讲：易建勋第5章网络安全设计第39页共93页5.2网络防火墙技术5.2.3PIX防火墙配置案例（1）防火墙的接口内网接口：下行连接内部网络设备外网接口：上行连接公网的路由器等设备DMZ接口：接非军事区网络设备硬件防火墙中的网卡一般都设置为混杂模式，这样就可以监测到流过防火墙的数据。主讲：易建勋第5章网络安全设计第40页共93页Internet

服务器可以使用私有地址隐藏内部网络的结构WWWFTP

MAILDNS

：80——：80：21——：21：25——：25：53——：53：21案例：网络端口映射主讲：易建勋第5章网络安全设计第41页共93页5.3DMZ网络安全设计5.3.1DMZ的功能与安全策略（1）DMZ的基本慨念DMZ区域内通常放置一些不含机密信息的公用服务器，如Web、Email、FTP等服务器。DMZ并不是网络组成的必要部分。主讲：易建勋第5章网络安全设计第42页共93页5.3DMZ网络安全设计主讲：易建勋第5章网络安全设计第43页共93页5.3DMZ网络安全设计（3）DMZ网络访问控制策略基本原则：☆设计最小权限，定义允许访问的网络资源和网络的安全级别。☆确定可信用户和可信任区域。☆明确网络之间的访问关系，制定访问控制策略。主讲：易建勋第5章网络安全设计第44页共93页案例：DMZ区域与外网的访问控制主讲：易建勋第5章网络安全设计第45页共93页5.3DMZ网络安全设计5.3.2DMZ网络拓扑结构（1）堡垒主机防火墙结构堡垒主机是一台具有多个网络接口的计算机，它可以进行内部网络与外部网络之间的路由，也可以充当与这台主机相连的若干网络之间的路由。攻击者如果掌握了登录到堡垒主机的权限，那么内部网络就非常容易遭到攻击。主讲：易建勋第5章网络安全设计第46页共93页5.3DMZ网络安全设计主讲：易建勋第5章网络安全设计第47页共93页5.3DMZ网络安全设计（2）单防火墙DMZ网络结构DMZ将网络划分为：内网、外网和DMZ区域。（3）双防火墙DMZ网络结构如图5-14所示，有两台防火墙连接到DMZ公共子网，一台位于DMZ子网与内部网络之间，而另一台防火墙位于外部网络与DMZ之间。主讲：易建勋第5章网络安全设计第48页共93页5.3DMZ网络安全设计5.3.3网络安全区域设计（1）定义网络安全区域（2）安全区域中的服务（3）网络服务区域的安全问题数据库等服务器，不允许内部用户直接访问；应用服务器，为内部用户提供服务，并且需要访问数据库服务器。主讲：易建勋第5章网络安全设计第49页共93页5.3DMZ网络安全设计在安全策略设置中，应当不允许内部用户直接访问信任域，允许内部用户通过DMZ访问信任域，允许不信任域访问DMZ区域。这样就可以实现三个层次的安全防护。主讲：易建勋第5章网络安全设计第50页共93页案例：网络安全设计主讲：易建勋第5章网络安全设计第51页共93页5.4IDS和IPS网络安全设计5.4.1IDS入侵检测技术（1）入侵检测系统入侵检测过程：

信息收集、信息预处理、数据检测分析和响应等。入侵检测系统本质上是一种“嗅探设备”。主讲：易建勋第5章网络安全设计第52页共93页补充：入侵检测原理主讲：易建勋第5章网络安全设计第53页共93页5.4IDS和IPS网络安全设计IDS通常设计为两部分：安全服务器和主机代理。（2）IDS常用的入侵检测方法特征检测、统计检测与专家系统。（3）其他入侵防御技术防火墙、口令验证系统、虚拟专用网（VPN）、系统完整性检测（SIV）、蜜罐系统（给黑客提供一个容易攻击的假目标）。主讲：易建勋第5章网络安全设计第54页共93页5.4IDS和IPS网络安全设计5.4.2IDS网络安全设计（1）IDS系统在网络中的布署IDS系统可以部署在网络中各个关键节点，它们的工作效果大不相同的。主讲：易建勋第5章网络安全设计第55页共93页案例：IDS在网络设计中的部署主讲：易建勋第5章网络安全设计第56页共93页5.4IDS和IPS网络安全设计（2）IDS系统产品选择最大处理流量（以pps为单位衡量）产品的扩展性是否通过了国家权威机构的评测主讲：易建勋第5章网络安全设计第57页共93页5.4IDS和IPS网络安全设计5.4.3IDS存在的问题误报/漏报率高没有主动防御能力缺乏准确定位和处理机制性能普遍不足主讲：易建勋第5章网络安全设计第58页共93页5.4IDS和IPS网络安全设计5.4.4IPS入侵防御技术（1）IPS的功能IPS是一种主动、积极的入侵防御系统，IPS不但能检测入侵的发生，并且能实时终止入侵行为。IPS一般部署在网络的进出口处。IPS只能串联在网络上，对防火墙不能过滤的攻击进行处理。主讲：易建勋第5章网络安全设计第59页共93页5.4IDS和IPS网络安全设计（2）IPS工作原理IPS检测技术：

☆并行处理检测

☆协议重组分析主讲：易建勋第5章网络安全设计第60页共93页补充：IPS工作原理主讲：易建勋第5章网络安全设计第61页共93页5.4IDS和IPS网络安全设计5.4.5IPS网络安全设计IPS产品在网络中采用串联式连接。主讲：易建勋第5章网络安全设计第62页共93页5.4IDS和IPS网络安全设计5.4.6IPS存在的问题（1）单点故障如果IPS出现问题，则会严重影响网络的正常运转。（2）性能瓶颈要求对数据包做快速转发。加载数量庞大的检测特征库时，IPS设备无法支持这种响应速度。主讲：易建勋第5章网络安全设计第63页共93页5.4IDS和IPS网络安全设计（3）误报和漏报（4）规则动态更新（5）总体拥有成本主讲：易建勋第5章网络安全设计第64页共93页5.5网络隔离设计我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条的规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离”。主讲：易建勋第5章网络安全设计第65页共93页5.5网络隔离设计5.5.1网络隔离的技术特点（2）网络物理隔离卡技术思路：首先切断可能的攻击途径（如物理链路），然后再尽力满足用户的应用需求。（3）协议隔离技术协议隔离指两个网络之间存在直接的物理连接，但通过专用协议来连接两个网络。主讲：易建勋第5章网络安全设计第66页共93页5.5网络隔离设计（4）网络隔离的安全要求在物理传输上使内网与外网络隔断。在物理辐射上隔断内网与外网。在物理存储上隔断两个网络环境。保证网络之间交换的只是应用数据。在网络隔离的前提下，保证网络畅通。主讲：易建勋第5章网络安全设计第67页共93页5.5网络隔离设计5.5.2网络物理隔离卡工作原理（1）单主板安全隔离计算机采用双硬盘，将内网与外网的转换功能做入主板BIOS中，并将主板网卡插槽也分为内网和外网。（2）网络物理隔离卡技术采用双硬盘技术，启动外网时关闭内网硬盘，启动内网时关闭外网硬盘，使两个网络和硬盘进行物理隔离。主讲：易建勋第5章网络安全设计第68页共93页5.5网络隔离设计主讲：易建勋第5章网络安全设计第69页共93页案例：网络物理隔离解决方案主讲：易建勋第5章网络安全设计第70页共93页案例：网络安全隔离解决方案主讲：易建勋第5章网络安全设计第71页共93页5.5网络隔离设计5.5.3安全隔离网闸工作原理（1）GAP技术原理GAP技术包含两个独立的主机系统和一套固态开关读写介质系统。GAP所连接的两个独立主机系统之间，不存在通信连接，没有命令，没有协议，没有TCP/IP连接，没有包转发等。只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。主讲：易建勋第5章网络安全设计第72页共93页5.5网络隔离设计（2）GAP数据交换过程内网与专网之间无信息交换时，安全隔离网闸与内网，安全隔离网闸与专网，内网与专网之间是完全断开的，即三者之间不存在物理连接和逻辑连接，如图5-21所示。主讲：易建勋第5章网络安全设计第73页共93页5.5网络隔离设计主讲：易建勋第5章网络安全设计第74页共93页5.5网络隔离设计当内网数据需要传输到专网时，安全隔离网闸主动向内网服务器数据交换代理发起非TCP/IP协议的数据连接请求，并发出“写”命令，将写入开关合上，并把所有的协议剥离，将原始数据写入存储介质。如图5-22所示。主讲：易建勋第5章网络安全设计第75页共93页5.5网络隔离设计一旦数据写入存储介质，开关立即打开，中断与内网的连接。转而发起对专网的连接请求，当专网服务器收到请求后，发出“读”命令，将安全隔离网闸存储介质内的数据导向专网服务器。服务器收到数据后，按TCP/IP协议重新封装接收到的数据，交给应用系统，完成内网到专网的信息交换。如图5-23所示。主讲：易建勋第5章网络安全设计第76页共93页5.5网络隔离设计（4）GAP与其他技术的区别防火墙侧重于网络层至应用层的隔离GAP属于从物理层到应用层数据级别的隔离一个物理隔离卡只能管一台计算机GAP可管理整个网络，并且不需要物理隔离卡物理隔离卡每次切换网络都要重新启动GAP进行网络转换不需要开关机主讲：易建勋第5章网络安全设计第77页共93页5.5网络隔离设计5.5.4安全隔离网络设计（1）利用GAP技术的组网设计（2）利用网络物理隔离卡组网设计使用网络物理隔离卡的安全主机，内网和外网最好分别使用两个IP地址。主讲：易建勋第5章网络安全设计第78页共93页5.6VPN网络安全设计5.6.1VPN技术特点（2）VPN的定义VPN使用IP机制仿真出一个私有的广域网。（3）VPN隧道技术工作原理VPN在公用网上建立一条数据通道（隧道），让数据包通过这条隧道进行安全传输。隧道技术是指包括数据封装，传输和解包在内的全过程。主讲：易建勋第5章网络安全设计第79页共93页5.6VPN网络安全设计