《网络安全架构设计和网络安全设备的部署.ppt》由会员分享,可在线阅读,更多相关《网络安全架构设计和网络安全设备的部署.ppt(234页珍藏版)》请在三一办公上搜索。
1、1,网络安全架构设计和网络安全设备的部署,2,主要内容,内网安全架构的设计与安全产品的部署安全扫描技术防火墙技术入侵检测技术IPSec VPN和SSL VPN技术,3,网络信息安全的基本问题,网络信息安全的基本问题保密性完整性可用性可控性可审查性最终要解决是使用者对基础设施的信心和责任感的问题。,4,网络与信息安全体系,要实施一个完整的网络与信息安全体系,至少应包括三类措施,并且三者缺一不可。社会的法律政策、规章制度措施技术措施审计和管理措施,5,网络安全设计的基本原则,要使信息系统免受攻击,关键要建立起安全防御体系,从信息的保密性,拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否
2、认性等。在进行计算机网络安全设计、规划时,应遵循以下原则:需求、风险、代价平衡分析的原则 综合性、整体性原则一致性原则易操作性原则适应性、灵活性原则多重保护原则,6,网络安全解决方案,网络安全解决方案的基本概念网络安全解决方案可以看作是一张有关网络系统安全工程的图纸,图纸设计的好坏直接关系到工程质量的优劣。总体来说,网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术等多方面的安全技术。,7,一份好的网络安全解决方案,不仅仅要考虑到技术,还要考虑到策略和管理。技术是关键策略是核心管理是保证在整个网络安全解决方案中,始终要体现
3、出这三个方面的关系。,8,网络安全解决方案设计,9,安全需求分析,网络系统的总体安全需求是建立在对网络安全层次分析基础上的。对于基于TCP/IP协议的网络系统来说,安全层次是与TCP/IP协议层次相对应的。针对该企业网络的实际情况,可以将安全需求层次归纳为网络层安全和应用层安全两个技术层次,同时将在各层都涉及的安全管理部分单独作为一部分进行分析。,10,网络层需求分析,网络层安全需求是保护网络不受攻击,确保网络服务的可用性。保证同Internet互联的边界安全能够防范来自Internet的对提供服务的非法利用防范来自Internet的网络入侵和攻击行为的发生对于内部网络提供高于网络边界更高的安
4、全保护,11,应用层需求分析,应用层的安全需求是针对用户和网络应用资源的,主要包括:合法用户可以以指定的方式访问指定的信息;合法用户不能以任何方式访问不允许其访问的信息;非法用户不能访问任何信息;用户对任何信息的访问都有记录。,12,应用层要解决的安全问题包括,非法用户利用应用系统的后门或漏洞,强行进入系统用户身份假冒非授权访问数据窃取数据篡改数据重放攻击抵赖,13,网络安全解决方案,14,电子政务网络拓扑概述,15,电子政务网络拓扑详细分析,16,电子政务网络风险及需求分析,领导层子网,分支机构2,业务处室子网,公共处室子网,服务处室子网,直属人事机构处室子网,共享数据库子网,INTERNE
5、T,分支机构1,此人正试图进入网络监听并窃取敏感信息,分支机构工作人员正试图在领导层子网安装木马,分支机构工作人员正试图越权访问业务子网安装木马,非内部人员正试图篡改公共网络服务器的数据,17,电子政务网络内网基础网络平台安全,领导层子网,业务处室子网,公共处室子网,服务处室子网,直属人事机构处室子网,共享数据库子网,分支机构2,分支机构1,INTERNET,防火墙FW1,防火墙FW2,防火墙FW3,安全认证服务器,安全管理器,安全网关SG1,安全网关SG2,安全网关SG3,路由器,路由器,路由器,交换机,18,内网核心网络与各级子网间的安全设计,分支机构2,INTERNET,分支机构1,交换
6、机,安全网关SG1,安全网关SG2,安全网关SG3,路由器,路由器,路由器,安全管理器,安全认证服务器,19,内网网络漏洞扫描系统设计,分支机构2,INTERNET,分支机构1,交换机,安全网关SG1,安全网关SG2,安全网关SG3,路由器,路由器,路由器,安全管理器,安全认证服务器,网络漏洞扫描器,20,内网网络入侵检测系统设计,分支机构2,INTERNET,分支机构1,交换机,安全网关SG1,安全网关SG2,安全网关SG3,路由器,路由器,路由器,安全管理器,安全认证服务器,网络入侵检测探头,网络入侵策略管理器,21,电子政务外网基础平台安全设计,INTERNET,办公厅办公业务网(简称“
7、内网”),路由器,交换机,安全管理器,防火墙FW,物理隔离器(K1),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,22,外网网络漏洞扫描系统设计,INTERNET,办公厅办公业务网(简称“内网”),路由器,交换机,安全管理器,防火墙FW,物理隔离器(K1),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,网络漏洞扫描器,23,外网网络入侵检测系统设计,INTERNET,办公厅办公业务网(简称“内网”),路由器,交换机,安全管理器,物理隔离器(K1),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,网络漏洞扫描器,网络入侵检测探头,网络入侵策略管理器,防火
8、墙FW,24,外网WEB服务器安全设计,INTERNET,办公厅办公业务网(简称“内网”),路由器,交换机,安全管理器,物理隔离器(K2),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,防火墙FW,物理隔离器(K1),办公厅办公业务网(简称“内网”),政府系统办公业务资源网(简称“专网”),Web网站监测&自动修复系统,25,内网、外网和专网的隔离系统设计,INTERNET,办公厅办公业务网(简称“内网”),路由器,交换机,安全管理器,物理隔离器(K2),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,防火墙FW,物理隔离器(K1),办公厅办公业务网(简称“内网”),
9、政府系统办公业务资源网(简称“专网”),26,其它网络安全设备,拨号检测系统上网行为管理系统DDOS防御网关VPN网关防病毒网关,27,安全扫描技术,扫描目的查看目标网络中哪些主机是存活的(Alive)查看存活的主机运行了哪些服务WWWFTPEMAILTELNET查看主机提供的服务有无漏洞,28,IP扫描,IP扫描Ping SweepingPing使用ICMP协议进行工作,29,IP扫描,ICMP协议负责差错的报告与控制。比如目标不可达,路由重定向等等 ICMP报文格式类型域(type)用来指明该ICMP报文的类型代码域(code)确定该包具体作用,30,IP扫描,常用的ICMP报文Ping程
10、序使用ICMP Echo Request/Reply报文,31,端口扫描,端口Internet上主机间通讯总是通过端口发生的 端口是入侵的通道端口分为TCP端口与UDP端口因此,端口扫描可分类为TCP扫描UDP扫描,32,端口扫描,基本扫描用Socket开发TCP应用,服务器端,客户端,33,端口扫描,connect()函数int connect(SOCKET s,const struct sockaddr FAR*name,int namelen);当connect返回0时,连接成功基本的扫描方法即TCP Connect扫描优点实现简单可以用普通用户权限执行缺点容易被防火墙检测,也会目标应用
11、所记录,34,端口扫描,隐秘扫描,服务器端,客户端,connect,35,端口扫描,TCP的连接建立过程,客户机,服务器,36,端口扫描,SYN扫描,客户机,服务器,如果接收到SYN+ACK,表明服务器端口可连接,如果服务器端口打开,则返回SYN+ACK,如果服务器端口未打开,则返回RST,SYN+ACK,如果接收到RST,表明服务器端口不可连接,RST,37,端口扫描,SYN扫描的实现WinSock2接口Raw Sock方式,允许自定义IP包SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);TCP包头标志位,38,端口扫描,SYN扫描的优缺点优点:一般不
12、会被目标主机所记录缺点:运行Raw Socket时必须拥有管理员权限,39,端口扫描,FIN扫描关闭TCP连接的过程,客户机,服务器,40,端口扫描,关闭一个并没有建立的连接,会产生以下情况对非连接FIN报文的回复TCP标准关闭的端口返回RST报文打开的端口忽略BSD操作系统与TCP标准一致其他操作系统均返回RST报文,41,TCP ACK扫描,扫描主机向目标主机发送ACK数据包。根据返回的RST数据包有两种方法可以得到端口的信息。方法一是:若返回的RST数据包的TTL值小于或等于64,则端口开放,反之端口关闭方法二是:若返回的RST数据包的WINDOW值非零,则端口开放,反之端口关闭,TCP
13、 ACK扫描建立连接成功,TCP ACK扫描建立连接成功,42,NULL扫描,扫描主机将TCP数据包中的ACK、FIN、RST、SYN、URG、PSH(接收端将数据转由应用处理)标志位置空后(保留的RES1和RES2对扫描的结果没有任何影响)发送给目标主机。若目标端口开放,目标主机将不返回任何信息。若目标主机返回RST信息,则表示端口关闭。,NULL扫描建立连接成功,NULL扫描建立连接未成功,43,Xmas tree扫描(圣诞树扫描),XMAS扫描原理和NULL扫描的类似,将TCP数据包中的ACK、FIN、RST、SYN、URG、PSH标志位置1后发送给目标主机。在目标端口开放的情况下,目标
14、主机将不返回任何信息若目标端口关闭,则目标主机将返回RST信息,XMAS扫描建立连接成功,XMAS扫描建立连接未成功,44,端口扫描,优点不会被记录到日志可以绕过某些防火墙netstat命令不会显示netstate命令只能显示TCP连接或连接的尝试缺点使用RAW IP编程,实现起来相对比较复杂利用BSD代码缺陷,可能被修复Open BSD不同操作系统结果不同,因此不完全可信,45,端口扫描,UDP端口扫描目前扫描UDP端口只有一种方法:向目标UDP端口发送一些随机数据,如果端口关闭,则目标主机会回复ICMP端口不可达消息,46,慢速扫描,随着防火墙的广泛应用,普通的扫描很难穿过防火墙去扫描受防
15、火墙保护的网络。即使扫描能穿过防火墙,扫描的行为仍然有可能会被防火墙记录下来。如果扫描是对非连续性端口、源地址不一致、时间间隔很长且没有规律的扫描的话,这些扫描的记录就会淹没在其他众多杂乱的日志内容中。使用慢速扫描的目的也就是这样,骗过防火墙和入侵检测系统而收集信息。虽然扫描所用的时间较长,但这是一种比较难以被发现的扫描。,47,乱序扫描,乱序扫描也是一种常见的扫描技术,扫描器扫描的时候不是进行有序的扫描,扫描端口号的顺序是随机产生的,每次进行扫描的顺序都完全不一样,这种方式能有效地欺骗某些入侵检测系统而不会被发觉。,48,漏洞扫描,漏洞是指系统硬件、操作系统、软件、网络协议、数据库等在设计上
16、和实现上出现的可以被攻击者利用的错误、缺陷和疏漏。漏洞扫描程序是用来检测远程或本地主机安全漏洞的工具。针对扫描对象的不同,漏洞扫描又可分为网络扫描、操作系统扫描、WWW服务扫描、数据库扫描以及无线网络扫描等。,49,端口扫描,常用的端口扫描工具UNIX下的端口扫描工具NmapWindows下的端口扫描工具XScanSuperScanNmap for NT,50,防火墙,建筑业中的防火墙用在建筑单位间,防止火势的蔓延。在网络安全领域中,防火墙用来指应用于内部网络(局域网)和外部网络(Internet)之间的,用来保护内部网络免受非法访问和破坏的网络安全系统。,51,防火墙功能示意,两个不同网络安
17、全域间通信流的唯一通道,对流过的网络数据进行检查,阻止攻击数据包通过。,安全网域一,安全网域二,52,防火墙主要功能,过滤进、出网络的数据;防止不安全的协议和服务;管理进、出网络的访问行为;记录通过防火墙的信息内容与活动;对网络攻击进行检测与告警;防止外部对内部网络信息的获取提供与外部连接的集中管理;,53,防火墙不能防范的攻击,来自内部的安全威胁;病毒开放应用服务程序的漏洞;特洛伊木马;社会工程;不当配置,54,衡量防火墙三大要求,安全内部和外部间所有数据必须通过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身要安全管理良好的人机交互界面提供强劲的管理及扩展功能速度,55,防火墙发展历
18、程,主要经历了三个阶段:基于路由器的防火墙基于通用操作系统的防火墙基于安全操作系统的防火墙,56,防火墙分类,按实现技术分类:包过滤型代理型防火墙按体系结构分类:双宿/多宿主机防火墙屏蔽主机防火墙屏蔽子网防火墙混合结构,57,包过滤防火墙,包过滤防火墙在决定能否及如何传送数据包之外,还根据其规则集,看是否应该传送该数据包普通路由器当数据包到达时,查看IP包头信息,根据路由表决定能否以及如何传送数据包,58,静态包过滤防火墙,传输层 传输层 传输层,59,路由与包过滤,路由进行转发,过滤进行筛选,Host A,Sever X,60,包过滤所检查的内容,源和目的的IP地址 IP选项 IP的上层协议
19、类型(TCP/UDP/ICMP)TCP和UDP的源及目的端口 ICMP的报文类型和代码 我们称这种对包头内容进行简单过滤的方式为静态包过滤,61,包过滤配置,包过滤防火墙配置步骤:知道什么是应该和不应被允许,制定安全策略规定允许的包类型、包字段的逻辑表达用防火墙支持的语法重写表达式,62,规则制定的策略,拒绝任何访问,除非被规则特别允许 允许任何访问,除非规则特别地禁止,允许,拒绝,允许,拒绝,63,规则制定的策略,过滤的两种基本方式按服务过滤:根据安全策略决定是否允许或拒绝某一种服务按规则过滤:检查包头信息,与过滤规则匹配,决定是否转发该数据包,64,依赖于服务的过滤,多数服务对应特定的端口
20、,如要封锁输Telnet、SMTP的连接,则Router丢弃端口值为23和25的所有数据包。典型的过滤规则有以下几种:只允许进来的Telnet会话连接到指定的内部主机只允许进来的FTP会话连接到指定的内部主机允许所有出去的Telnet会话 允许所有出去的FTP会话拒绝从某些指定的外部网络进来的所有信息,65,按规则过滤,有些类型的攻击很难用基本包头信息加以鉴别,因为独立于服务。如果防范则需要定义规则1)源IP地址欺骗攻击 入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包;这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口,则舍弃每个含有这个源IP
21、地址的信息包,就可以挫败这种源欺骗攻击。,66,按规则过滤,2)源路由攻击攻击者为信息包指定一个穿越Internet的路由,这类攻击企图绕过安全措施,并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式,来挫败这类攻击。3)残片攻击入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断,使数据包绕过用户定义的过滤规则。黑客希望过滤路由器只检查第一分段,而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中Fragment Offset=1的数据包,即可挫败残片的攻击。,67,推荐的规则,任何进入内网的数据包不能将内部地
22、址作为源地址任何进入内网的数据包必须将内部地址作为目标地址任何离开内网的数据包必须将内部地址作为源地址任何离开内网的数据包不能将内部地址作为目标地址任何进入或离开内网的数据包不能把一个私有地址或者作为源或目标地址,68,静态包过滤的优缺点,优点:速度快价格低对用户透明缺点:配置难把握防范能力低没有用户身份验证机制,69,动态包过滤,动态包过滤是Check Point的一项称为“Stateful Inspection”的专利技术,也称状态检测防火墙。动态包过滤防火墙不仅以一个数据包的内容作为过滤的依据,还根据这个数据包在信息流位置加以判断。动态包过滤防火墙可阻止未经内网请求的外部通信,而允许内网
23、请求的外部网站传入的通信。,70,动态包过滤防火墙,71,使用动态包过滤制定的规则,Deny ip from$internal to any in via eth0Deny ip from not$internal to any in via eth1Allow$internal access any dns by udp keep stateAllow$Internal acess any www by tcp keep stateAllow$internal access any ftp by tcp keep stateDeny ip from any to any,72,动态包过滤的优
24、缺点,优点:基于应用程序信息验证一个包状态的能力记录通过的每个包的详细信息缺点:造成网络连接的迟滞系统资源要求较高,73,防火墙分类:包过滤代理型防火墙:应用代理型代理型防火墙:电路代理型代理型防火墙:NAT,74,代理服务技术,代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接,由两个代理服务器之间的连接来实现,外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。,75,应用代理防火墙,工作在应用层对所有规则内允许的应用程序作中转转发牺牲了对应用程序的透明性,76,应用代理防火墙,应用代理防火墙,77,应用代理,应用代理工作
25、原理示意,78,应用代理防火墙,应用代理服务器的安全性屏蔽内网用户与外网的直接通信,提供更严格的检查提供对协议的控制,拒绝所有没有配置的连接提供用户级控制,可近一步提供身份认证等信息,79,应用代理的优缺点,优点:可以隐藏内部网络的信息;可以具有强大的日志审核;可以实现内容的过滤;缺点:价格高速度慢 失效时造成网络的瘫痪,80,电路级代理,电路级代理因此可以同时为不同的服务,如WEB、FTP、TELNET提供代理服即SOCKS代理,它工作在传输层。,81,应用代理,应用代理工作在应用层,对于不同的服务,必须使用不同的代理软件。,应用代理,内部主机,WEB服务,FTP服务,WEBFTP,82,电
26、路级代理优缺点,优点:隐藏内部网络信息配置简单,无需为每个应用程序配置一个代理缺点:多数电路级网关都是基于TCP端口配置,不对数据包检测,可能会有漏洞,83,NAT防火墙,NAT定义 NAT(Network Address Transla-tion)网络地址翻译最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到网上的IP地址编号问题,84,NAT防火墙,NAT提供的功能内部主机地址隐藏网络负载均衡网络地址交叠,85,NAT(网络地址翻译),根据内部IP地址和外部IP地址的数量对应关系,NAT分为:基本NAT:简单的地址翻译M-1,多个内部网地址翻译到1个IP地
27、址M-N,多个内部网地址翻译到N个IP地址池,86,NAT的优缺点,优点管理方便并且节约IP地址资源。隐藏内部 IP 地址信息。仅当向某个外部地址发送过出站包时,NAT 才允许来自该地址的流量入站。缺点外部应用程序却不能方便地与 NAT 网关后面的应用程序联系。,87,防火墙布置,简单包过滤路由双宿/多宿主机模式屏蔽主机模式屏蔽子网模式,88,包过滤路由,包过滤路由器,优点:配置简单缺点:日志没有或很少,难以判断是否被入侵规则表会随着应用变得很复杂单一的部件保护,脆弱,89,双宿/多宿主机模式,堡垒主机:关键位置上用于安全防御的某个系统,攻击者攻击网络必须先行攻击的主机。双宿/多宿主机防火墙又
28、称为双宿/多宿网关防火墙,它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,通常用一台装有两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与受保护网和外部网相连,90,双宿/多宿主机模式,应用代理服务器完成:对外屏蔽内网信息设置访问控制对应用层数据严格检查,91,优点:配置简单检查内容更细致屏蔽了内网结构缺点:应用代理本身的安全性,92,屏蔽主机,两道屏障:网络层的包过滤;应用层代理服务注:与双宿主机网关不同,这里的应用网关只有一块网卡。,93,屏蔽主机,优点:双重保护,安全性更高。实施策略:针对不同的服务,选择其中的一种或两种保护措施。,94,屏蔽子网,95,屏蔽子网,1)周边网
29、络:非军事化区、停火区(DMZ)周边网络是另一个安全层,是在外部网络与内部网络之间的附加的网络。对于周边网络,如果某人侵入周边网上的堡垒主机,他仅能探听到周边网上的通信。2)内部路由器(阻塞路由器):保护内部的网络使之免受Internet和周边子网的侵犯。它为用户的防火墙执行大部分的数据包过滤工作,96,屏蔽子网,3)外部路由器:在理论上,外部路由器保护周边网和内部网使之免受来自Internet的侵犯。实际上,外部路由器倾向于允许几乎任何东西从周边网出站,并且它们通常只执行非常少的数据包过滤。外部路由器安全任务之一是:阻止从Internet上伪造源地址进来的任何数据包。,97,优点安全性较高可
30、用性较好缺点配置复杂成本高,98,PIX,99,4种管理访问模式,非特权模式 PIX防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall 特权模式 输入enable进入特权模式,可以改变当前配置。显示为pixfirewall#配置模式 输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#监视模式 PIX防火墙在开机或重启过程中,按住Escape键或发送一个Break字符,进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor,100,6个基本命令,nameifinterfaceip a
31、ddressnatglobalroute,101,nameif,配置防火墙接口的名字,并指定安全级别 Pix525(config)#nameif ethernet0 outside security 0 Pix525(config)#nameif ethernet1 inside security 100Pix525(config)#nameif ethernet2 dmz security 50在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100。安全级别取值范围为199,数字越大安全级别越高。,102,inter
32、face,配置以太口参数 Pix525(config)#interface ethernet0 auto auto选项表明系统自适应网卡类型Pix525(config)#interface ethernet1 100full100full选项表示100Mbit/s以太网全双工通信 Pix525(config)#interface ethernet1 100full shutdown shutdown选项表示关闭这个接口,若启用接口去掉shutdown,103,ip address,Pix525(config)#ip address outside 61.144.51.42 255.255.25
33、5.248 Pix525(config)#ip address inside 192.168.0.1 255.255.255.0 很明显,Pix525防火墙在外网的ip地址是,内网ip地址是192.168.0.1,104,nat,指定要进行转换的内部地址 网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。,105,nat命令配置语法,nat(if_name)nat_id local_ip netmark 其中(if_na
34、me)表示内网接口名字,例如inside。nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip 表示内网被分配的ip地址。例如表示内网所有主机可以对外访问。netmark表示内网ip地址的子网掩码。,106,nat例子,例1Pix525(config)#nat(inside)1 0 0 表示启用nat,内网的所有主机都可以访问外网,用0可以代表例2Pix525(config)#nat(inside)1 172.16.5.0 255.255.0.0 表示只有这个网段内的主机可以访问外网。,107,global,指定外部地址范围 global命令把内网的ip地址翻
35、译成外网的ip地址或一段地址范围。global命令的配置语法:global(if_name)nat_id ip_address-ip_address netmark global_mask 其中(if_name)表示外网接口名字,例如outside.。Nat_id用来标识全局地址池,使它与其相应的nat命令相匹 配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。netmark global_mask表示全局ip地址的网络掩码。,108,global 例子,例1Pix525(config)#global(outside)1 61.144.51.42-61.
36、144.51.48 表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用这段ip地址池为要访问外网的主机分配一个全局ip地址。例2Pix525(config)#global(outside)1 61.144.51.42 表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用这个单一ip地址。例3.Pix525(config)#no global(outside)1 61.144.51.42 表示删除这个全局表项。,109,route,设置指向内网和外网的静态路由(route)定义一条静态路由。route命令配置语法:route(if_name)0 0 gateway_ip
37、metric 其中(if_name)表示接口名字,例如inside,outside。gateway_ip表示网关路由器的ip地址。metric表示到gateway_ip的跳数。通常缺省是1。,110,例1 Pix525(config)#route outside 0 0 61.144.51.168 1 表示一条指向边界路由器(ip地址)的缺省路由。例2 Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 创建了一条到网络的静态路由,静态路由的下一条路由器ip地址是172.16.0.1 Pix525(config)#ro
38、ute inside 10.2.0.0 255.255.0.0 172.16.0.1 1,111,static,配置静态IP地址翻译如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。static(internal_if_name,external_if_name)outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口,安全级别较高,如inside。external_if_name为外部网络接口,安全级别较 低,如outside等。outside
39、_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。,112,conduit,管道命令前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡。conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。,113,conduit命令配置语法,conduit
40、permit|deny global_ip port-port protocol foreign_ip netmask permit|deny 允许|拒绝访问 global_ip 指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口protocol 指的是连接协议,比如:TCP、UDP、ICMP等。foreign_ip 表示可访问global_ip的外部ip。对于任意主
41、机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。,114,例1.Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any 这个例子表示允许任何外部主机对全局地址的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访问。例2.Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89 表示不允许外部主机对任何全局地址进行ftp访问。例3.Pix525(config)#c
42、onduit permit icmp any any 表示允许icmp消息向内部和外部通过。,115,例 Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any这个例子说明static和conduit的关系。在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到 web服务。所以先做static静态映射:(全局),然后利用conduit命令允许任何外 部主机对全局地址进行http访问。,116,配置fixup协议,fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是p
43、ix防火墙要侦听的服务。例1Pix525(config)#fixup protocol ftp 21 启用ftp协议,并指定ftp的端口号为21 例2Pix525(config)#fixup protocol http 80 Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。例3Pix525(config)#no fixup protocol smtp 80 禁用smtp协议。,117,telnet,从内网telnet:telnet 192.168.1.2 255.255.255.255 inside 从外网需要使用IPS
44、EC VPN,118,防火墙的不足,无法发现和阻止对合法服务的攻击;无法发现和阻止源自其它入口的攻击;无法发现和阻止来自内部网络的攻击;无法发现和阻止来自特洛伊木马的威胁;,119,绕过防火墙的攻击,穿过防火墙的攻击行为,IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行某些web根目录以外的文件。,120,据统计80%的成功攻击来自于防火墙内部!,121,入侵检测技术,通过对计算机网络或计算机
45、系统中若干关键点信息的收集和分析,从中发现网络或系统中是否有违反安全策略行为和被攻击迹象的一种安全技术。,122,入侵检测的作用,检测防护部分阻止不了的入侵 检测入侵的前兆 入侵事件的归档 网络受威胁程度的评估 帮助从入侵事件中恢复,123,防火墙与入侵检测,防火墙属于信息保障的保护环节门禁系统入侵检测属于信息保障的检测环节监控系统,124,入检测检测历史,入侵检测的发源1980,James Anderson 提出入侵检测的设想1987,Dorothy Denning提出入侵检测系统抽象模型主机入侵检测1988,出现一批基于主机审计信息的入侵检测系统网络入侵检测1990,开始出现基于网络数据的
46、入侵检测系统入侵检测的新技术与新方法致力于提高入侵检测系统的可伸缩性、可维护性、容错性。一些新的思想,如免疫、信息挖掘引入到入侵检测领域,125,入侵检测的核心任务,攻击者进行攻击的时候会留下痕迹,这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测的任务就是从混合的数据中找出入侵的痕迹并作出响应。,126,通用入侵检测框架CIDF,体系结构:阐述了一个标准的IDS的通用模型组件通信:定义了IDS组件之间进行通信的标准协议语言规范:定义了一个用来描述各种检测信息的标准语言编程接口:提供了一整套标准的应用程序接口,127,CIDF体系结构,128,CIDF组件,事件产生器(Event gen
47、erators)事件分析器(Event analyzers)事件数据库(Event databases)响应单元(Response units),129,事件产生器,数据获取主机入侵检测:系统审计记录,应用程序日志网络入侵检测:网络流量复合型入侵检测:其它安全产品的数据,如防火墙的事件记录,130,事件分析器,数据分析模式匹配统计分析,131,事件数据库,数据管理保存事件信息,包括正常事件和入侵事件用来存储临时处理数据,扮演各个组件之间的数据交换中心,132,响应单元,行为响应主动响应:自动干涉入侵,如切断怀疑可能是攻击行为的TCP连接,与防火墙联动操作阻塞后续的数据包,甚至向被怀疑是攻击来源
48、的主机发动反击被动响应:仅仅启动告警机制,向管理员提供信息,由管理员采取相应行动,133,信息收集技术,系统日志文件日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等方面的内容以用户活动为例,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的访问企图等等。,134,信息收集技术,网络流量远程的网络攻击伴随着攻击数据的发送,比如扫描、口令攻击、远程的缓冲区溢出、脚本攻击、假消息攻击等。另外一些攻击可能使网络流量产生异常,比如特洛伊木马、服务拒绝等等。,135,信息收集技术,系统目
49、录和文件的异常变化入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。,136,信息收集技术,程序执行中的异常行为针对程序漏洞的攻击,常导致程序产生异常的行为,如发生缓冲区溢出,进行权限提升等。,137,信息分析技术,信息分析技术的技术指标误报率漏报率常用的信息分析技术包括模式匹配(基于知识的检测)统计分析(基于行为的检测),138,模式匹配,过程:监控 特征提取 匹配 判定,139,模式匹配的
50、特点,前提:所有的入侵行为都有可被检测到的特征特点:系统负担小准确度高不能检测未知的入侵,140,统计分析,过程:监控 量化 比较 判定 修正,141,统计分析的特点,前提入侵是异常活动的子集 特点:测系统能针对用户行为的改变进行自我调整和优化能检测到未知的入侵和更为复杂的入侵对系统资源消耗大系统误报相对比较高,且不能适应用户正常行为的突然改变。,142,入侵检测部署,目标:检测整个网络信息,143,共享网络的入侵检测部署,144,交换网络的入侵检测部署,通过端口镜像实现(SPAN/Port Monitor),145,分段网络的部署,在一个分段的网络中,应保证IDS的探测器可以监听到所有网络数
