《CISP培训ppt课件网络安全.pptx》由会员分享,可在线阅读,更多相关《CISP培训ppt课件网络安全.pptx(96页珍藏版)》请在三一办公上搜索。
1、网络安全,版本:3.0发布日期:2014-12-1生效日期:2015-1-1,讲师姓名:,课程内容,2,知识域:网络协议安全,知识子域:OSI七层模型及安全架构了解开放系统互联(OSI)模型的七层网络通信结构及通信过程,了解每一层的功能了解OSI安全架构的核心内容:基于8类安全机制提供5类安全服务,3,ISO/OSI七层模型结构,4,物理层,网络层,传输层,会话层,表示层,应用层,数据链路层,应用层(高),数据流层,7654321,第一层:物理层,作用定义物理链路的电气、机械、通信规程、功能要求等;电压,数据速率,最大传输距离,物理连接器;线缆,物理介质;将比特流转换成电压;典型物理层设备光纤
2、、双绞线、中继器、集线器等;常见物理层标准(介质与速率)100BaseT, OC-3, OC-12, DS1, DS3, E1, E3,5,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第二层:数据链路层,作用物理寻址,网络拓扑,线路规章等错误检测和通告(但不纠错)将比特聚成帧进行传输流量控制(可选)寻址机制使用数据接收设备的硬件地址(物理地址)寻址(如MAC地址)典型数据链路层设备网卡、网桥和交换机数据链路层协议PPP, HDLC, FR,Ethernet, Token Ring, FDDI,6,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第二层:以太网协议标准
3、(两个子层),LLC(Logical Link Control)IEEE 802.2为上层提供统一接口;使上层独立于下层物理介质;提供流控、排序等服务;MAC(Media Access Control)IEEE 802.3烧录到网卡ROM;48比特;唯一性;,7,LLC MAC,物理层,网络层,传输层,会话层,表示层,应用层,第三层:网络层,作用逻辑寻址路径选择寻址机制使用网络层地址进行寻址(如IP地址)网络层典型设备路由器三层交换机,8,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第四层:传输层,作用提供端到端的数据传输服务建立逻辑连接寻址机制应用程序的界面端口(如端口号)传
4、输层协议TCP UDP SPX,9,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第五层:会话层,作用不同应用程序的数据隔离会话建立,维持,终止同步服务会话控制(单向或双向),10,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第六层:表示层,作用数据格式表示协议转换字符转换数据加密/解密数据压缩等表示层数据格式ASCII, MPEG, TIFF,GIF, JPEG,11,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第七层:应用层,作用应用接口网络访问流处理流控错误恢复应用层协议FTP, Telnet, HTTP, SNMP, SMTP, DNS,1
5、2,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,分层结构的优点,降低复杂性促进标准化工作各层间相互独立,某一层的变化不会影响其他层协议开发模块化简化理解与学习,13,数据封装与分用,数据封装应用数据发送时从高层向低层逐层加工后传递数据解封装数据接收时从低层向高层逐层传递,14,OSI安全体系结构,OSI安全体系结构定义了系统应当提供的五类安全服务,以及提供这些服务的八类安全机制;某种安全服务可以通过一种或多种安全机制提供,某种安全机制可用于提供一种或多种安全服务,15,OSI安全体系结构定义的安全服务,五类安全服务鉴别、访问控制、数据机密性、数据完整性、抗抵赖八种安全服务加密、
6、数字签名、访问控制、数据完整性、鉴别流量填充(用于对抗通信流量分析,在加密时才是有效的)路由控制(可以指定路由选择说明,回避某些特定的链路或子网)公证,16,知识域:网络协议安全,知识子域:TCP/IP安全了解TCP/IP协议模型及各层典型协议的功能理解基于TCP/IP的典型安全协议了解IPv6的安全特点,17,OSI模型与TCP/IP协议的对应,18,物理层,网络层,传输层,会话层,表示层,应用层,数据链路层,网络互联层,传输层,应用层,网络接口层,TCP/IP协议,19,网络接口层,主要协议ARPRARP安全问题损坏:自然灾害、动物破坏、老化、误操作干扰:大功率电器/电源线路/电磁辐射电磁
7、泄漏:传输线路电磁泄漏欺骗:ARP欺骗嗅探:常见二层协议是明文通信的(以太、arp等)拒绝服务:mac flooding,arp flooding等,20,网络互联层,21,网络互联层协议核心协议-IP协议,IP是TCP/IP协议族中最为核心的协议IP协议的特点不可靠(unreliable)通信无连接(connectionless)通信,22,网络互联层安全问题,拒绝服务:分片攻击(teardrop)/死亡之ping欺骗:IP源地址欺骗窃听:嗅探伪造:IP数据包伪造,23,传输层,24,传输层协议-TCP协议,传输控制协议:提供面向连接的、可靠的字节流服务提供可靠性服务数据包分块、发送接收确认
8、、超时重发、数据校验、数据包排序、控制流量,25,传输层协议-UDP协议,用户数据报协议:提供面向事务的简单不可靠信息传送服务特点无连接、不可靠协议简单、占用资源少,效率高,26,传输层安全问题,拒绝服务:syn flood/udp flood/Smurf欺骗:TCP会话劫持窃听:嗅探伪造:数据包伪造,27,应用层协议,应用层协议定义了运行在不同端系统上的应用程序进程如何相互传递报文典型的应用层协议域名解析:DNS电子邮件:SMTP/POP3文件传输:FTP网页浏览:HTTP,28,应用层协议安全问题,拒绝服务:超长URL链接欺骗:跨站脚本、钓鱼式攻击、cookie欺骗窃听:数据泄漏伪造:应用
9、数据篡改暴力破解:应用认证口令暴力破解等,29,基于TCP/IP协议簇的安全架构,30,下一代互联网协议-IPv6,IPv6安全特性地址数量大量增加(32-128)报文头部格式简化,路由表简化、处理速度快内置安全特性(IPSec)移动性支持QoS和性能良好扩展性,31,知识域:网络协议安全,知识子域:无线局域网协议安全了解无线局域网的基本组成与特点了解WEP、802.11i、WAPI等无线局域网安全协议,32,无线局域网网络结构,无线局域网构成( 802.11x )客户端(station,STA)无线接入点(access Point,AP)分布系统(distribution system,DS
10、),33,无线局域网安全问题,安全问题传输信道开放,容易接入认证机制(802.11i之前)开放式认证系统通过易于伪造的SSID识别,无保护、任意接入MAC、IP地址控制易于伪造共享密钥认证(使用WEP进行保护)手动管理密钥存在重大隐患弱密钥问题不能防篡改WEP没有提供抵抗重放攻击的对策,34,案例:中间人攻击,注:建议讲师此处给学员做演示或案例讲解,中间人攻击,35,无线局域网安全协议,802.11iWPA(802.11i草案)WPA2(802.11i正式)802.11i运行四阶段发现AP阶段802.11i认证阶段密钥管理阶段安全传输阶段,36,WAPI无线安全协议,WAPI的构成WAI,用于
11、用户身份鉴别WPI,用于保护传输安全WAPI的安全优势双向三鉴别(服务器、AP、STA)高强度鉴别加密算法,37,知识域:网络安全设备,知识子域:防火墙理解防火墙的作用、功能及分类理解包过滤技术、状态检测技术和应用代理技术等防火墙主要技术原理掌握防火墙的典型部署方式理解防火墙的局限性,38,控制在网络连接点上建立一个安全控制点,对进出数据进行限制隔离将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护记录对进出数据进行检查,记录相关信息,防火墙的作用与功能,39,防火墙的分类,按防火墙形态硬件防火墙软件防火墙按技术实现包过滤(透明模式)代理按体系结构分双宿/多宿主机防火墙屏蔽主机防火
12、墙屏蔽子网防火墙其他分类方法,40,防火墙的实现技术,包过滤技术代理网关技术状态检测技术自适应代理技术,41,防火墙的实现技术-包过滤,实现机制:依据数据包的基本标记来控制数据包网络层地址:IP地址(源地址及目的地址)传输层地址:端口(源端口及目的端口)协议:协议类型,42,安全网域一,防火墙的实现技术-包过滤,优点:只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析,规则简单,处理速度较快 易于配置对用户透明,用户访问时不需要提供额外的密码或使用特殊的命令缺点:检查和过滤器只在网络层,不能识别应用层协议或维持连接状态安全性薄弱,不能防止IP欺骗等,43,防火墙的实现技术-代理网关
13、,每一个内外网络之间的连接都要通过防火墙的介入和转换,加强了控制分类电路级代理应用代理,44,防火墙的实现技术-电路级代理,建立回路,对数据包进行转发优点能提供NAT,为内部地址管理提供灵活性,隐藏内部网络等适用面广缺点仅简单的在两个连接间转发数据,不能识别数据包的内容,45,防火墙的实现技术-应用代理,工作在应用层使用代理技术,对应用层数据包进行检查对应用或内容进行过滤,例如:禁止FTP的 “put”命令,46,防火墙的实现技术-应用代理,优点可以检查应用层内容,根据内容进行审核和过滤提供良好的安全性缺点支持的应用数量有限性能表现欠佳,47,防火墙的实现技术-NAT,什么是NAT一种将私有(
14、保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT技术设计初衷增加私有组织的可用地址空间解决现有私有网络接入的IP地址编号问题,48,防火墙的实现技术-NAT,NAT实现方式静态地址转换动态地址转换端口转换,49,202.2.2.2,安全网域一,202.2.2.100,192.168.1.1,192.168.1.30,NAT的优缺点,优点管理方便并且节约IP地址资源隐藏内部 IP 地址信息可用于实现网络负载均衡缺点外部应用程序却不能方便地与 NAT 网关后面的应用程序联系。,50,防火墙实现技术-状态检测,数据链路层,物理层,网络层
15、,表示层,会话层,传输层,检测引擎,应用层,在数据链路层和网络层之间对数据包进行检测创建状态表用于维护连接上下文,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,51,防火墙实现技术-状态检测,状态检测技术的特点安全性高,可根据通信和应用程序状态确定是否允许包的通行性能高,在数据包进入防火墙时就进行识别和判断适应性好对用户、应用程序透明,52,防火墙实现技术-自适应代理技术,特点根据用户定义安全规则动态“适应”传输网络数据代理服务可以从应用层转发,也可以从网络层转发高安全要求:则在应用层进行检查明确会话安全细节:则在链路层
16、数据包转发兼有高安全性和高效率,53,防火墙部署方式,路由模式透明模式混合模式,54,防火墙的工作模式-路由模式,55,防火墙的工作模式-透明模式,56,内部网络192.168.1.0/24GW:192.168.1.254,外部网络,路由器,Internet,Intranet,192.168.1.254/24,防火墙的工作模式-混合模式,57,内部网络192.168.1.0/24192.168.1.254,外部网络202.101.10.0/24GW:202.101.10.1,防火墙,Internet,Intranet,Intranet,内部网络192.168.1.100/24GW:192.16
17、8.1.253,路由模式,透明模式,防火墙的典型部署,区域划分:可信网络、不可信网络、DMZ区,58,防护墙的策略设置,没有明确允许的就是禁止先阻止所有数据包需要的给予开放没有明确禁止的就是允许对明确禁止的设置策略,59,防火墙的策略设置,可信网络可向DMZ区和不可信网络发起连接请求,60,防火墙的策略设置,DMZ区可接受可信网络和不可信网络的连接请求DMZ区不可向可信网络发起连接请求DMZ区与不可信网络的连接请求根据业务需要确定,61,防火墙部署结构,防火墙的部署位置可信网络与不可信网络之间不同安全级别网络之间两个需要隔离的区域之间防火墙的部署方式单防火墙(无DMZ)部署方式单防火墙(DMZ
18、)部署方式双防火墙部署方式,62,单防火墙(无DMZ)部署方式,区域划分:可信网络、不可信网络结构简单,易于实施,63,单防火墙(DMZ)部署方式,区域划分:可信网络、不可信网络、DMZ区提供对外服务安全区域,64,双防火墙的部署方式,能提供更为安全的系统结构实施复杂性和费用较高,65,防火墙的不足和局限性,难于管理和配置,易造成安全漏洞防外不防内,不能防范恶意的知情者只实现了粗粒度的访问控制很难为用户在防火墙内外提供一致的安全策略不能防范病毒,66,知识域:网络安全设备,知识子域:入侵检测系统理解入侵检测系统的作用、功能及分类了解入侵检测系统的主要技术原理掌握入侵检测系统的典型部署方式理解入
19、侵检测系统的局限性,67,入侵检测系统的作用与功能,入侵检测系统的作用防火墙的重要补充构建网络安全防御体系重要环节克服传统防御机制的限制入侵检测系统功能监测并分析用户和系统的活动核查系统配置和漏洞对操作系统进行日志管理,并识别违反安全策略的用户活动针对已发现的攻击行为作出适当的反应,如告警、中止进程等,68,入侵检测系统的分类,按入侵检测形态硬件入侵检测软件入侵检测按目标系统的类型网络入侵检测主机入侵检测按系统结构集中式分布式,69,入侵检测的技术架构,事件产生器:采集和监视被保护系统的数据事件分析器:分析数据,发现危险、异常事件,通知响应单元响应单元:对分析结果作出反应事件数据库:存放各种中
20、间和最终数据,70,71,入侵检测工作过程,数据检测技术,误用检测技术建立入侵行为模型(攻击特征)假设可以识别和表示所有可能的特征基于系统和基于用户的误用异常检测技术设定“正常”的行为模式假设所有的入侵行为是异常的基于系统和基于用户的异常,72,误用检测,73,优点准确率高算法简单关键问题有所有的攻击特征,建立完备的特征库特征库要不断更新无法检测新的入侵,异常检测,74,误报率、漏报率较高,优点可检测未知攻击自适应、自学习能力关键问题“正常”行为特征的选择统计算法、统计点的选择,基于网络的入侵检测系统,75,入侵检测系统布署,入侵检测系统布署,基于主机的入侵检测系统,76,入侵检测系统的局限性
21、,77,对用户知识要求较高,配置、操作和管理使用较为复杂网络发展迅速,对入侵检测系统的处理性能要求越来越高,现有技术难以满足实际需要高虚警率,用户处理的负担重由于警告信息记录的不完整,许多警告信息可能无法与入侵行为相关联,难以得到有用的结果在应对对自身的攻击时,对其他数据的检测也可能会被抑制或受到影响,知识域:网络安全设备,知识子域:其它网络安全设备了解安全隔离与信息交换系统的原理、特点及适用场景了解入侵防御系统(IPS)的原理与特点了解安全管理平台(SOC)的主要功能了解统一威胁管理系统(UTM)的功能与特点了解网络准入控制(NAC)的功能、组成及控制方式,78,安全隔离与信息交换系统(网闸
22、),组成外部处理单元、内部处理单元、仲裁处理单元 特点断开内外网之间的会话(物理隔离、协议隔离)同时集合了其他安全防护技术,79,入侵防御系统(IPS),接入方式:串行工作机制:检测+阻断不足:单点故障、性能瓶颈、误报,80,可信网络,不可信的网络&服务,Internet,Intranet,IPS,安全管理平台(SOC),SOC的含义狭义:安全设备集中管理中心广义:IT资源集中管理中心SOC的主要功能风险管理服务管理系统管理专业安全系统,81,统一威胁管理系统(UTM),接入方式:串行工作机制:检测+阻断+病毒防护+流控+不足:单点故障、性能瓶颈、误报、,82,可信网络,不可信的网络&服务,I
23、nternet,Intranet,UTM,网络准入控制,作用:对接入终端进行授权组成:策略服务器、接入设备、终端检查,83,知识域:网络架构安全,知识子域:网络架构安全基础理解网络架构安全的含义理解网络架构安全设计的主要工作知识子域:网络架构安全设计 理解网络安全域划分应考虑的主要因素理解IP地址规划方法理解VLAN划分的作用与策略理解路由交换设备安全配置常见的要求理解网络边界访问控制策略的类型理解网络冗余配置应考虑的因素,84,网络架构安全,网络是信息系统的基础支撑环境IATF中“保护网络和基础设施”主要内容,85,网络架构安全设计,合理划分网络安全区域规划网络IP地址、Vlan设计安全配置
24、路由交换设备网络边界访问控制策略网络冗余配置,86,安全域划分,安全域划分安全域是遵守相同安全策略的用户和系统的集合安全域划分的目的把大规模负责系统安全问题化解为更小区域的安全保护问题网络抗渗透的有效防护方式,安全域边界是灾难发生时的抑制点安全域的划分方法业务和功能特性安全性要求现有状况(有网络结构、地域和机房等),87,IP地址规划,规划要点自顶向下的方法为所设计的网络中的节点、网络设备分配合适的IP地址综合考虑网络层次规划、路由协议规划、流量规划IP地址分配静态IP地址分配动态IP地址分配NAT,88,VLAN设计,将网内设备的逻辑地划分成一个个网段从而实现虚拟工作组通过VLAN隔离技术,
25、可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组安全作用建立VLAN之间的访问机制,阻止蠕虫和恶意病毒的广泛传播建立VLAN区域安全和资源保护,将受限制的应用程序和资源置于更为安全的VLAN中,89,VLAN设计,VLAN的作用控制网络的广播风暴提高网络安全性简化网络管理设计要点根据业务需要划分虚拟工作组、保护重要资源,建立VLAN之间的访问机制VLAN划分方法基于端口划分的VLAN基于MAC地址划分VLAN基于网络层划分VLAN根据IP组播划分VLAN,90,路由交换设备的安全配置,设备操作系统版本关闭空闲的物理端口访问控制(严格口令及关闭服务)日志保护配置备份,91,网络边界访问控
26、制,具有不同安全级别的网络之间的分界线都可以定义为网络边界网络边界的范例内部网络与互联网之间内部网络与外部网络之间重要部门与其他部门之间组织机构总部与分支机构之间,92,93,作用防止单点故障可以提高网络的健全性、稳定性考虑因素接入互联网时,同时采用不同电信运营商线路,相互备份且互不影响核心层、汇聚层的设备和重要的接入层设备均应双机热备保证网络带宽和网络设备的业务处理能力具备冗余空间,满足业务高峰期和业务发展需要,网络冗余配置,案例:网络规划,注:请讲师根据自己的网络规划经验准备一个案例给学员讲解网络规划,94,总结,协议安全TCP/IP协议各层安全性问题及解决网络安全设备防火墙入侵检测网络安全架构设计,95,谢谢,请提问题!,
