《网络安全技术基础(下)ppt课件.ppt》由会员分享,可在线阅读,更多相关《网络安全技术基础(下)ppt课件.ppt(75页珍藏版)》请在三一办公上搜索。
1、网络安全技术基础(下),2,本讲概要,本讲主要阐述目前最常用的信息安全技术和信息安全产品,内容包括了:防火墙入侵检测VPN漏洞评估,本讲涉及内容宽泛,领域众多,讲师根据学员情况做好课时安排。 本讲总课时建议为46课时。,3,本讲学习目标,通过本讲学习,学员应该掌握:各类信息安全技术的概念、用途,部署方式防火墙的分类、原理、结构和用途入侵检测产品的工作原理和分类VPN的分类和用途漏洞评估的概念和意义,(一)防火墙技术,5,防火墙产品,防火墙的基本概念防火墙的主要技术防火墙的用途防火墙的弱点防火墙的体系结构防火墙的构筑原则防火墙产品,本节将分以下几部分介绍网络防火墙:,6,防火墙的基本概念,防火墙
2、是一种高级访问控制设备,是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。,7,防火墙的用途,控制对网点的访问和封锁网点信息的泄露能限制被保护子网的泄露具有审计作用能强制安全策略,8,防火墙不能防备病毒防火墙对不通过它的连接无能为力防火墙不能防备内部人员的攻击限制有用的网络服务防火墙不能防备新的网络安全问题,防火墙的弱点,9,形形色色的防火墙,10,防火墙的分类方法,11,单机防火墙VS网络防火墙,12,软件防火墙VS硬件防火墙,13,防火墙设备外观与结构,14,防火墙的主要技术,应用层代理技
3、术 (Application Proxy)包过滤技术 (Packet Filtering)状态包过滤技术 (Stateful Packet Filtering),防火墙的主要技术种类,15,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,分组过滤判断信息,数据包,防火墙的主要技术,包过滤技术的基本原理,数据包,16,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,防火墙的主要技术,状态检测包过滤技术的基本原理,数据包,分组过滤判断信息,状态检测,控制策略,17,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处
4、理该数据包,数据包,防火墙的主要技术,应用层代理技术的基本原理,数据包,分组过滤判断信息,应用代理判断信息,控制策略,18,防火墙的体系结构,筛选路由器 双网主机 屏蔽主机 屏蔽子网,防火墙可以设置成不同的体系结构,提供不同级别的安全。常见的体系结构有:,19,防火墙的体系结构,内部网,外部网,筛选路由器式体系结构,包过滤,筛选路由器,20,防火墙的体系结构,双网主机式体系结构,双网主机插有两块网卡,分别连接到内网和外网。防火墙内、外的系统均可以与双网主机进行通信,但防火墙两边的系统之间不能直接进行通信。使用此结构,必须关闭双网主机上的路由分配功能。,21,防火墙的体系结构,屏蔽主机式体系结构
5、,Internet,堡垒主机,防火墙,屏蔽路由器,22,防火墙的体系结构,屏蔽子网式体系结构,Internet,堡垒主机,屏蔽路由器,屏蔽路由器,周边网络,23,防火墙的构筑原则,构筑防火墙要从以下几方面考虑:,体系结构的设计安全策略的制定安全策略的实施,24,防火墙的性能指标,25,主流防火墙产品,(二)虚拟局域网(VLAN),27,VLAN的定义 VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允
6、许处于不同地理位置的网络用户加入到一个逻辑子网中。 组建VLAN的条件 VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备要实现路由功能,既可采用路由器,也可采用三层交换机来完成。,什么是VLAN,28,从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:1、基于端口的VLAN划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
7、 2、基于MAC地址的VLAN划分 MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。 3、基于路由的VLAN划分 路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。,划分VLAN的基本策略,29,1、控制广播风暴 一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。 2、提高网络整体安全性 通过
8、路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。 3、网络管理简单、直观 对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网
9、络中,VLAN提供了网段和机构的弹性组合机制。,VLAN的作用,30,三层交换(也称多层交换技术,或IP交换技术)是相对于传统交换概念而提出的。众所周知,传统的交换技术是在OSI网络标准模型中的第二层数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说,三层交换技术就是:二层交换技术三层转发技术。 三层交换技术的出现,解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。三层交换原理 它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映
10、射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。 三层交换机分类 1.基于纯硬件(ASIC) 2.基于软件的,什么是三层交换?,31,VLAN环境示意,(三)入侵检测系统(IDS),33,入侵检测系统(IDS),关于入侵检测系统,我们将就以下部分进行学习: IDS简介 IDS分类 IDS作用 IDS工作原理 IDS部署方式 IDS应用 IDS技术的发展方向 IDS产品 IDS资源,34
11、,什么是IDS?,IDS是什么? 入侵检测系统(Intrusion Detection System) 入侵检测技术是为了保证计算机系统安全面而设置和配置的一种能够及时发现并报告系统中未授权或异常行为的技术,是一种检测计算机网络中违反安全策略行为的技术。 入侵检测被视为防火墙之后的第二道安全阐门,主要用来监视和分析用户和系统的活动,能够反映已知的攻击模式并报警,同时监控系统的异常模式,对于异常行为模式,IDS采用报表的方式进行统计分析,假如说防火墙是一幢大楼的门锁,那入侵监测系统就是这幢大楼里的监视系统。,35,IDS的主要类型,应用软件入侵监测系统Application Intrusion
12、Detection主机入侵监测系统Host Intrusion Detection网络入侵监测系统Network Intrusion Detection集成入侵监测系统Integrated Intrusion Detection,根据IDS工作位置和数据来源,可以分为:,36,网络入侵检测系统(NIDS),网络入侵检测系统(NIDS) -在网络中的某个节点上装有探测器来监测整个网络(工作对象 基于网络),特点:1.拥有较低的成本-在几个很少的监测点上进行配置就可以监控一个网络中所发生的入侵行为;2.能监测主机IDS所不能监测到的某些攻击(如DOS、Teardrop)通过分析IP包的头可以捕捉这
13、些须通过分析包头才能发现的攻击;3.与操作系统无关性-基于网络的IDS与所监测的主机所运行的操作系统无关,而主机IDS则必须在特定的操作系统下才能运行;4.检测未成功能攻击和不良意图-与之相比,主机IDS只能检测到成功的攻击,而很多未成功的攻击对系统的风险评估成到关键的作用;5.实时检测和响应-网络IDS可以在攻击发生的同时将其检测出来,并进行实时的报警和响应。,37,NIDS CIDF模型,CIDF模型( Common Intrusion Detection Frame) 组件:事件产生器(Event generators)事件分析器(Event analyzers)响应单元(Respons
14、e units)事件数据库(Event databases),38,NIDS 部署方式,39,主机入侵检测系统(HIDS),主机入侵检测系统(HIDS) -在网络中所监测的每台主机上都装有探测器(工作对象基于主机),HIDS特点:1.确定攻击是否成功-比网络IDS更准确的判定攻击是否成功;2.系统行动监视的更好-对于每一个用户(尤其是系统管理员)上网下网的信息、连入网络后的行为和所受到的入侵行为监测的更为详细,记录的更准确; 3.能够检测到网络IDS检测不到的特殊攻击-如某服务器上有人 直接对该机进行非法操作;4.适用于加密的环境 -在某些特殊的加密网络环境中,由于网络IDS所需要的网络环境不
15、能满足,所以在这种地方应用主机IDS就可以完成这一地方的监测任务5.不需要额外的硬件设备-与网络IDS相比,不需要专用的硬件检测系统,降低的硬件成本,40,IDS部署示意,含HIDS的网络体系结构,41,IDS 检测技术,签名分析法Signature Analysis统计分析法Statistics Analysis数据完整性分析法Data Integration Analysis,入侵检测系统按照其检测原理可以分为以下类型:,42,IDS 工作原理NIDS抓包,从链路层抓包分析数据包,43,IDS 工作原理模式匹配,模式匹配(Pattern Matching) 效率低-对每一条事件都要与事件库
16、中的 特征事件进行对比,工作量大。 误报多-如果两个攻击事件具有极其相近的特征,在对比的过程中容易产生误报,而错过真实的问题。模式匹配举例 较早版本的Sendmail漏洞利用$ telnet 25WIZshell或者DEBUG# 直接获得rootshell!模式匹配检查每个packet是否包含:“WIZ”| “DEBUG”,44,IDS 工作原理协议分析,45,IDS 技术的发展方向,分布式入侵检测 1.针对分布式攻击的检测方法 2.使用分布式的方法来检测分布式的攻击,关键技术为检测信息的协同处理与入侵攻击的全局信息提取智能化入侵检测 使用智能化的手法也实现入侵检测,现阶段常用的有神经网络、模
17、糊算法、遗传算法、免疫原理等技术全面的安全防御方案 采用安全工程风险管理的理论也来处理网络安全问题,将网络安全做为一个整体工程来处理,从管理、网络结构、防火墙、防病毒、入侵检测、漏洞扫描等多方面对网结进行安全分析 随着网络技术的发展,还会有更多新技术应用到入侵检测系统中来!,46,IDS 产品,免费产品 Snort (http:/ www.snort.org)国内市场上的IDS厂商启明星辰安氏绿盟金诺瑞星等,国外的IDS产品CyberCop Monitor, NAIDragon Sensor, EnterasyseTrust ID, CANetProwler, SymantecNetRange
18、r, CiscoNID-100/200, NFR SecurityRealSecure, ISSSecureNet Pro, I,47,IDS 资源,IDS FAQhttp:/ Focus-IDS Mailinglisthttp:/ Yawlhttp:/OldHandhttp:/www.oldhand.orgSinbadhttp:/sinbad.dhs.org/doc.html?board=IDS,(四)虚拟专用网(VPN),49,VPN网关,VPN的基本概念VPN的功能VPN的分类及用途VPN常用协议基于IPSec协议的VPN体系结构,本节将分以下几部分介绍VPN网关:,50,VPN的基本概
19、念,虚拟专用网VPN(Virtual Private Network)技术是指在公共网络中建立专用网络,数据通过安全的“加密管道”在公共网络中传播。,VPN的基本概念,51,VPN必须具备如下功能:,VPN的功能,保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址冒认(IP Spoofing)的能力。 保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。 保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。 提供动态密钥交换功能,提供密钥中心管理服务器,必须具备防止数据重演(Replay)的功能,保证通道不能被重演。 提供安全防护措
20、施和访问控制,要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制(Access Control),52,内 部 网VPN用VPN连接公司总部和其分支机构. 远程访问VPN用VPN连接公司总部和远程用户. 外 联 网VPN用VPN连接公司和其业务伙伴.,VPN的分类及用途,53,VPN的分类及用途,内部网VPN,54,VPN的分类及用途,远程访问VPN,55,VPN的分类及用途,外联网VPN,56,VPN常用协议,VPN常用的协议有SOCK v5、IPSec、PPTP以及L2TP等。这些协议对应的OSI层次结构如下:,VPN常用协议,57,基于IPSec协议的VPN体
21、系结构,58,IP Sec协议,IP Sec共分四种模式AH的传输模式(Transport Mode)AH的通道模式(Tunnel Mode)、ESP的传输模式(Transport Mode)ESP的通道模式(Tunnel Mode),59,IP Sec协议,AH认证报头操作模式,60,IP Sec协议,ESP协议操作模式,61,传输模式下的ESP工作原理,62,通道模式下的ESP工作原理,63,基于IPSec协议的VPN原理,64,VPN产品,(五)漏洞评估,66,漏洞评估产品,漏洞评估的概念漏洞评估的分类漏洞评估产品选择原则常见的漏洞评估产品,本节将分以下几部分介绍漏洞评估产品:,67,漏
22、洞评估的概念,基本概念,通过对系统进行动态的试探和扫描,找出系统中各类潜在的弱点,给出相应的报告,建议采取相应的补救措施或自动填补某些漏洞。,主要优点,通过漏洞评估,网络管理人员能提前发现网络系统的弱点和漏洞,防范于未然。,68,漏洞评估产品的分类,网络型安全漏洞评估产品模拟黑客行为,扫描网络上的漏洞并进行评估主机型安全漏洞评估产品针对操作系统的漏洞作更深入的扫描数据库安全漏洞评估产品专门针对数据库的漏洞进行扫描,69,漏洞评估产品的分类,服务扫描侦测后门程序扫描侦测密码破解扫描侦测应用程序扫描侦测拒绝服务扫描侦测系统安全扫描侦测分析报表安全知识库的更新,70,漏洞评估产品的分类,主机型漏洞评
23、估产品的主要功能,重要资料锁定密码检测系统日志文件和文字文件分析动态式的警训分析报表加密安全知识库的更新,71,漏洞评估产品的分类,数据库漏洞评估产品的主要功能,不良的密码设定过期密码设定侦测登录攻击行为关闭久未使用的账户追踪登录期间的活动,72,漏洞评估产品选择原则,是否具有针对网络、主机和数据库的漏洞检测功能产品扫描能力产品的评估能力产品的漏洞修复能力及报告格式,73,Internet Security System: Internet ScannerSystem ScannerDatabase ScannerRealSecureAxent Technologies: NetRecon 3.0 北京网盾:网络漏洞探测器,漏洞评估产品,常见的漏洞评估产品,74,如果将计算机网络比作城堡:,小结:网络安全产品的集成,防火墙就是城堡的护城桥(河)只允许己方的队伍通过。 入侵监测系统就是城堡中的了望哨监视有无敌方或其他误入城堡的人出现。VPN就是城褒外到城堡内的一个安全地道有时城堡周围遍布敌军而内外需要联络。漏洞评估就是巡锣检测城堡是否坚固以及是否存在潜在隐患。防病毒产品就是城堡中的将士想方设法把发现的敌人消灭。,75,防火墙,访问控制,防病毒,入侵检测,虚拟专用网,小结:网络安全产品的集成,漏洞评估,
