《NGN承載網(wǎng)安全》PPT課件

NGN承載網(wǎng)安全基礎(chǔ),內(nèi)容提要,NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關(guān)TCP/IP知識(shí)防火墻核心技術(shù)介紹NAT技術(shù)和ALG技術(shù)常見(jiàn)網(wǎng)絡(luò)攻擊,NGN承載網(wǎng)安全概述,傳統(tǒng)PSTN網(wǎng)絡(luò)的特點(diǎn)NGN網(wǎng)絡(luò)的特點(diǎn)和風(fēng)險(xiǎn)NGN網(wǎng)絡(luò)安全需求,NGN承載網(wǎng)安全概述,傳統(tǒng)PSTN網(wǎng)絡(luò)的特點(diǎn)終端傻瓜化：簡(jiǎn)單，一般不具備復(fù)雜的功能；資源控制：網(wǎng)絡(luò)對(duì)每個(gè)用戶的資源使用嚴(yán)格控制(64K/128K等)；呼叫接納控制：在大量用戶同時(shí)使用網(wǎng)絡(luò)的情況下，支持的用戶數(shù)取決于網(wǎng)絡(luò)的帶寬。多級(jí)組網(wǎng)：整個(gè)網(wǎng)絡(luò)由多級(jí)構(gòu)成，存在接入層、匯聚層設(shè)備；一般出現(xiàn)問(wèn)題時(shí)也只是影響局部用戶，破壞力有限；,NGN承載網(wǎng)安全概述,NGN網(wǎng)絡(luò)的特點(diǎn)和風(fēng)險(xiǎn)終端智能化傾向：終端的能力較強(qiáng)；引入軟終端：軟終端的使用導(dǎo)致在NGN網(wǎng)絡(luò)中引入了許多IP網(wǎng)的固有安全問(wèn)題，如DOS攻擊等；資源不受控：比如一個(gè)語(yǔ)音終端可以使用超過(guò)128Kbps的流量；平面組網(wǎng)結(jié)構(gòu)：大部分NGN網(wǎng)絡(luò)架構(gòu)是終端/AG等設(shè)備直接接入，軟交換直接對(duì)終端可見(jiàn)，報(bào)文可以直達(dá)軟交換等設(shè)備。軟交換等設(shè)備容易受攻擊；,NGN承載網(wǎng)安全概述,NGN網(wǎng)絡(luò)的特點(diǎn)和風(fēng)險(xiǎn)IP網(wǎng)絡(luò)常見(jiàn)的攻擊：DOS攻擊，包括SYNFlooding，UDPFlooding，ICMPFlooding；DOS攻擊在NGN網(wǎng)絡(luò)中的新類(lèi)型：信令報(bào)文泛洪攻擊(SignalingFlooding)媒體流泛洪攻擊(MediaFlooding),NGN承載網(wǎng)安全概述,NGN網(wǎng)絡(luò)的安全需求防范DOS攻擊，尤其是信令報(bào)文的DOS攻擊隱藏NGN網(wǎng)絡(luò)拓?fù)洌篘GN核心設(shè)備對(duì)終端不直接可見(jiàn)；對(duì)終端資源進(jìn)行限制：比如對(duì)呼叫占用的帶寬進(jìn)行限制；防范通常IP網(wǎng)絡(luò)的攻擊；其他：如防止終端非法漫游等。,內(nèi)容提要,NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關(guān)TCP/IP知識(shí)防火墻核心技術(shù)介紹NAT技術(shù)和ALG技術(shù),NGN承載網(wǎng)安全規(guī)劃,根據(jù)不同的功能、安全級(jí)別劃分區(qū)域,NGN承載網(wǎng)安全規(guī)劃,在不同的區(qū)域之間設(shè)置訪問(wèn)控制策略,A15020MGC與USBS之間的私有協(xié)議；A2CMCclient與CMC1300之間的私有協(xié)議；D3CMCclient與CMC1300之間的私有協(xié)議。,NGN承載網(wǎng)安全規(guī)劃,其他注意事項(xiàng)策略具有單向性，A-B，B-A雙向都需要設(shè)置；策略中應(yīng)該只允許業(yè)務(wù)需要的報(bào)文通過(guò)，拒絕其他所有報(bào)文；安全策略應(yīng)該不斷完善和更新，隨著上層應(yīng)用的變化而變化的，而不是一成不變的。,NGN承載網(wǎng)安全規(guī)劃,典型的兩種規(guī)劃方式方式A1.所有NGN網(wǎng)絡(luò)核心設(shè)備都安置在防火墻后端，得到安全保護(hù)。2.防火墻負(fù)荷較大，除了NGN信令消息流以外，還包括部分媒體流（主要為視頻會(huì)議媒體流和錄音通知媒體流）。方式B1.所有NGN網(wǎng)絡(luò)主要純信令核心設(shè)備都安置在防火墻后端。2.防火墻負(fù)荷較小，主要為NGN信令消息流，僅當(dāng)需要遠(yuǎn)程維護(hù)時(shí)才會(huì)有用于操作堡壘PC的媒體流穿過(guò)防火墻。3.MCU和媒體服務(wù)器未受防火墻保護(hù)，相關(guān)的業(yè)務(wù)安全程度較低（主要為視頻會(huì)議業(yè)務(wù)和錄音通知相關(guān)業(yè)務(wù)）。,內(nèi)容提要,NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關(guān)TCP/IP知識(shí)防火墻核心技術(shù)介紹NAT技術(shù)和ALG技術(shù)常見(jiàn)網(wǎng)絡(luò)攻擊,相關(guān)TCP/IP知識(shí),為什么分層,相關(guān)TCP/IP知識(shí),OSI七層模型,相關(guān)TCP/IP知識(shí),TCP/IP五層模型,相關(guān)TCP/IP知識(shí),TCP/IP協(xié)議棧,相關(guān)TCP/IP知識(shí),TCP/IP協(xié)議數(shù)據(jù)封裝,相關(guān)TCP/IP知識(shí),應(yīng)用層協(xié)議文件傳輸：FTP、TFTP郵件服務(wù)：SMTP、POP3網(wǎng)絡(luò)管理：SNMP、Telnet網(wǎng)絡(luò)服務(wù)：HTTP、DNS語(yǔ)音服務(wù)：SIP、H.323、H.248,相關(guān)TCP/IP知識(shí),傳輸層協(xié)議,相關(guān)TCP/IP知識(shí),TCP/UDP報(bào)文格式,相關(guān)TCP/IP知識(shí),TCP/UDP的端口號(hào)傳輸層協(xié)議用端口號(hào)來(lái)標(biāo)識(shí)和區(qū)分各種上層應(yīng)用程序。,相關(guān)TCP/IP知識(shí),網(wǎng)絡(luò)層協(xié)議,相關(guān)TCP/IP知識(shí),IP報(bào)文格式,相關(guān)TCP/IP知識(shí),ARP地址解析協(xié)議,相關(guān)TCP/IP知識(shí),ICMP協(xié)議,內(nèi)容提要,NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關(guān)TCP/IP知識(shí)防火墻核心技術(shù)介紹NAT技術(shù)和ALG技術(shù)常見(jiàn)網(wǎng)絡(luò)攻擊,防火墻核心技術(shù)介紹,防火墻的定義,一種高級(jí)訪問(wèn)控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。,防火墻核心技術(shù)介紹,簡(jiǎn)單包過(guò)濾防火墻包過(guò)濾利用定義的特定規(guī)則過(guò)濾數(shù)據(jù)包，防火墻直接獲得數(shù)據(jù)包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包過(guò)濾防火墻簡(jiǎn)單，但是缺乏靈活性，對(duì)一些動(dòng)態(tài)協(xié)商端口沒(méi)有辦法設(shè)置規(guī)則。另外包過(guò)濾防火墻每包需要都進(jìn)行策略檢查，策略過(guò)多會(huì)導(dǎo)致性能急劇下降。狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)是一種高級(jí)通信過(guò)濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于所有連接，每一個(gè)連接狀態(tài)信息都將被維護(hù)并用于動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過(guò)防火墻或丟棄。代理型防火墻代理型防火墻使得防火墻做為一個(gè)訪問(wèn)的中間節(jié)點(diǎn)，對(duì)Client來(lái)說(shuō)防火墻是一個(gè)Server，對(duì)Server來(lái)說(shuō)防火墻是一個(gè)Client。代理型防火墻安全性較高，但是開(kāi)發(fā)代價(jià)很大。對(duì)每一種應(yīng)用開(kāi)發(fā)一個(gè)對(duì)應(yīng)的代理服務(wù)是很難做到的，因此代理型防火墻不能支持很豐富的業(yè)務(wù)，只能針對(duì)某些應(yīng)用提供代理支持。,防火墻的分類(lèi),防火墻核心技術(shù)介紹,簡(jiǎn)單包過(guò)濾防火墻,應(yīng)用層,表示層,會(huì)話層,傳輸層,網(wǎng)絡(luò)層,鏈路層,物理層,應(yīng)用層,表示層,會(huì)話層,傳輸層,網(wǎng)絡(luò)層,鏈路層,物理層,鏈路層,物理層,優(yōu)點(diǎn)：速度快，性能高對(duì)應(yīng)用程序透明,缺點(diǎn)：不能根據(jù)狀態(tài)信息進(jìn)行控制不能處理網(wǎng)絡(luò)層以上的信息,網(wǎng)絡(luò)層,應(yīng)用層,TCP層,IP層,網(wǎng)絡(luò)接口層,IP,101010101,TCP,ETH,101010101,應(yīng)用層,TCP層,IP層,網(wǎng)絡(luò)接口層,101010101,只檢查報(bào)頭,101001001001010010000011100111101111011,001001001010010000011100111101111011,簡(jiǎn)單包過(guò)濾防火墻不檢查數(shù)據(jù)區(qū)簡(jiǎn)單包過(guò)濾防火墻不建立連接狀態(tài)表前后報(bào)文無(wú)關(guān)應(yīng)用層控制很弱,簡(jiǎn)單包過(guò)濾防火墻的工作原理,防火墻核心技術(shù)介紹,狀態(tài)檢測(cè)防火墻,應(yīng)用層,表示層,會(huì)話層,傳輸層,鏈路層,物理層,應(yīng)用層,表示層,會(huì)話層,傳輸層,鏈路層,物理層,應(yīng)用層,表示層,會(huì)話層,傳輸層,鏈路層,物理層,抽取各層的狀態(tài)信息建立動(dòng)態(tài)狀態(tài)表,網(wǎng)絡(luò)層,網(wǎng)絡(luò)層,網(wǎng)絡(luò)層,根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行在數(shù)據(jù)包進(jìn)入防火墻時(shí)就根據(jù)狀態(tài)表進(jìn)行識(shí)別和判斷，無(wú)需重復(fù)查找ACL,應(yīng)用層,TCP層,IP層,網(wǎng)絡(luò)接口層,IP,101010101,TCP,ETH,101010101,應(yīng)用層,TCP層,IP層,網(wǎng)絡(luò)接口層,101010101,只檢查報(bào)頭,101001001001010010000011100111101111011,001001001010010000011100111101111011,不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報(bào)文相關(guān)應(yīng)用層控制很弱,建立連接狀態(tài)表,狀態(tài)檢測(cè)包過(guò)濾防火墻的工作原理,防火墻核心技術(shù)介紹,應(yīng)用代理技術(shù)介紹,應(yīng)用層,表示層,會(huì)話層,傳輸層,鏈路層,物理層,應(yīng)用層,表示層,會(huì)話層,傳輸層,鏈路層,物理層,應(yīng)用層,表示層,會(huì)話層,傳輸層,鏈路層,物理層,優(yōu)點(diǎn)：安全性高提供應(yīng)用層的安全,缺點(diǎn)：性能差只支持有限的應(yīng)用對(duì)用戶不透明,FTP,HTTP,SMTP,網(wǎng)絡(luò)層,網(wǎng)絡(luò)層,網(wǎng)絡(luò)層,應(yīng)用層,TCP層,IP層,網(wǎng)絡(luò)接口層,IP,101010101,TCP,ETH,101010101,應(yīng)用層,TCP層,IP層,網(wǎng)絡(luò)接口層,101010101,只檢查數(shù)據(jù),101001001001010010000011100111101111011,001001001010010000011100111101111011,不檢查IP、TCP報(bào)頭不建立連接狀態(tài)表網(wǎng)絡(luò)層保護(hù)比較弱,應(yīng)用代理防火墻的工作原理,防火墻核心技術(shù)介紹,防火墻的基本工作流程傳統(tǒng)包過(guò)濾防火墻,防火墻核心技術(shù)介紹,防火墻的基本工作流程狀態(tài)檢測(cè)防火墻,內(nèi)容提要,NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關(guān)TCP/IP知識(shí)防火墻核心技術(shù)介紹NAT技術(shù)和ALG技術(shù)常見(jiàn)網(wǎng)絡(luò)攻擊,NAT技術(shù),基本原理修改數(shù)據(jù)包的源地址/端口和目的地址/端口，并生成一張轉(zhuǎn)換對(duì)應(yīng)關(guān)系表,NAT技術(shù),三種實(shí)現(xiàn)方式靜態(tài)地址轉(zhuǎn)換(StaticNAT)動(dòng)態(tài)地址轉(zhuǎn)換(DynamicNAT)復(fù)用地址轉(zhuǎn)換(OverloadingNAT),NAT技術(shù),三種實(shí)現(xiàn)方式靜態(tài)地址轉(zhuǎn)換(StaticNAT)1.一對(duì)一地址轉(zhuǎn)換2.手工配置私有地址和公有地址的對(duì)應(yīng)關(guān)系，一經(jīng)配置，地址轉(zhuǎn)換表永久存在。3.NAT轉(zhuǎn)換表：-,NAT技術(shù),三種實(shí)現(xiàn)方式動(dòng)態(tài)地址轉(zhuǎn)換(DynamicNAT)1.多對(duì)多地址轉(zhuǎn)換2.配置一個(gè)地址池，當(dāng)需要地址轉(zhuǎn)換的時(shí)候隨機(jī)從地址池中選取一個(gè)地址。3.NAT轉(zhuǎn)換表：--。,NAT技術(shù),三種實(shí)現(xiàn)方式復(fù)用地址轉(zhuǎn)換(OverloadingNAT)1.一對(duì)多地址轉(zhuǎn)換，PAT，EasyIP2.多個(gè)私有地址使用同一個(gè)公有地址進(jìn)行地址轉(zhuǎn)換，在tcp和udp中使用(ip,port)實(shí)現(xiàn)復(fù)用，在icmp中可以使用(ip,id)實(shí)現(xiàn)復(fù)用。3.NAT轉(zhuǎn)換表：，1024-，32768，1025-，32769。,NAT技術(shù),具有NAT功能時(shí)數(shù)據(jù)包的轉(zhuǎn)發(fā)流程,ALG技術(shù),ALG(ApplicationLevelGateway)NAT主要是通過(guò)對(duì)數(shù)據(jù)包的ip頭中的ip地址和tcp(udp)頭端口號(hào)進(jìn)行修改，但是當(dāng)一些應(yīng)用協(xié)議的payload位中包含端口號(hào)或者ip地址的時(shí)候，常規(guī)的nat無(wú)法實(shí)現(xiàn)轉(zhuǎn)換。因此需要有一種方法能讀取到payload中的地址和端口，ALG是解決這種特殊應(yīng)用穿越NAT的一種常用方式，該方法按照地址轉(zhuǎn)換規(guī)則，對(duì)載荷中的IP地址和端口號(hào)進(jìn)行替換，從而實(shí)現(xiàn)對(duì)該應(yīng)用的透明中繼。,ALG技術(shù),普通NAT時(shí)ftp的數(shù)據(jù)通信無(wú)法建立,FTPClient,NAT,FTPServer0,,控制連接三次握手,控制連接三次握手,Port,10,3,RETRtest.txt,RETRtest.txt,syn0,2563,Port,10,3,X,ALG技術(shù),使用了ALG后可以對(duì)port命令修改，并產(chǎn)生相應(yīng)的NAT表項(xiàng),FTPClient,NAT,FTPServer0,,控制連接三次握手,控制連接三次握手,Port,10,3,Port,20,4,,2563-,5124,RETRtest.txt,RETRtest.txt,syn,5124,syn,2563,數(shù)據(jù)傳送,ALG技術(shù),其他的一些ALG應(yīng)用ICMPDNSH323SIP,ALG技術(shù),ALG技術(shù)對(duì)訪問(wèn)控制的增強(qiáng)1.它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于所有連接，每一個(gè)連接狀態(tài)信息都將被維護(hù)并用于動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過(guò)防火墻或丟棄；2.能夠?qū)δ承┕暨M(jìn)行過(guò)濾；3.不能對(duì)所有的應(yīng)用進(jìn)行智能的報(bào)文過(guò)濾。,ALG技術(shù),ALG技術(shù)對(duì)訪問(wèn)控制的增強(qiáng)工作原理針對(duì)單通道連接時(shí)：對(duì)于TCP數(shù)據(jù)包，因?yàn)門(mén)CP有狀態(tài)機(jī)的概念，因此其工作過(guò)程為：1.收到syn報(bào)文時(shí)建立一條相應(yīng)的session表項(xiàng)2.收到后續(xù)的報(bào)文時(shí)檢測(cè)acl，并更新session狀態(tài)3.收到fin，rst報(bào)文后刪除session表項(xiàng)對(duì)于udp數(shù)據(jù)包，因?yàn)閡dp沒(méi)有狀態(tài)機(jī)的概念，因此收到第一個(gè)報(bào)文認(rèn)為發(fā)起連接，收到第一個(gè)返回報(bào)文認(rèn)為連接建立,Session表項(xiàng)和ACL的刪除取決于空閑超時(shí),ALG技術(shù),ALG技術(shù)對(duì)訪問(wèn)控制的增強(qiáng)工作原理針對(duì)多通道連接時(shí)：1.主控制通道的處理和單通道的tcp一致2.其他控制通道或者數(shù)據(jù)通道的session和acl則需要檢測(cè)主控制通道在應(yīng)用層中的信息來(lái)建立3.典型的應(yīng)用有ftp、h323、rstp、sip,ALG技術(shù),ALG技術(shù)對(duì)訪問(wèn)控制的增強(qiáng)一些注意事項(xiàng)1.有些網(wǎng)絡(luò)質(zhì)量不是很好，數(shù)據(jù)包的響應(yīng)時(shí)間比較長(zhǎng)，有可能超過(guò)session表項(xiàng)的超時(shí)時(shí)間，導(dǎo)致數(shù)據(jù)包被丟棄;2.必須保證狀態(tài)表項(xiàng)的完整性和及時(shí)更新，數(shù)據(jù)包出去和返回的通路必須一致.,內(nèi)容提要,NGN承載網(wǎng)安全概述NGN承載網(wǎng)安全規(guī)劃相關(guān)TCP/IP知識(shí)防火墻核心技術(shù)介紹NAT技術(shù)和ALG技術(shù)常見(jiàn)網(wǎng)絡(luò)攻擊,常見(jiàn)網(wǎng)絡(luò)攻擊,單報(bào)文攻擊FraggleIpspoofLandSmurfTcpflagWinnukeip-fragment,常見(jiàn)網(wǎng)絡(luò)攻擊,分片報(bào)文攻擊TearDropPingofdeath拒絕服務(wù)類(lèi)攻擊SYNFloodUDPFlood&ICMPFlood掃描IPsweepPortscan,常見(jiàn)網(wǎng)絡(luò)攻擊,Fraggle特征：UDP報(bào)文，目的端口7（echo）或19（CharacterGenerator）目的：echo服務(wù)會(huì)將發(fā)送給這個(gè)端口的報(bào)文再次發(fā)送回去CharacterGenerator服務(wù)會(huì)回復(fù)無(wú)效的字符串攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發(fā)送請(qǐng)求，會(huì)導(dǎo)致受害者被回應(yīng)報(bào)文泛濫攻擊如果將二者互指，源、目的都是廣播地址，會(huì)造成網(wǎng)絡(luò)帶寬被占滿原理：過(guò)濾UDP類(lèi)型的目的端口號(hào)為7或19的報(bào)文,常見(jiàn)網(wǎng)絡(luò)攻擊,IPSpoof特征：地址偽冒目的：偽造IP地址發(fā)送報(bào)文原理：對(duì)源地址進(jìn)行路由表查找，如果發(fā)現(xiàn)報(bào)文進(jìn)入接口不是本機(jī)所認(rèn)為的這個(gè)IP地址的出接口，丟棄報(bào)文,常見(jiàn)網(wǎng)絡(luò)攻擊,Land特征：源目的地址都是受害者的IP地址，或者源地址為127這個(gè)網(wǎng)段的地址目的：導(dǎo)致被攻擊設(shè)備向自己發(fā)送響應(yīng)報(bào)文，通常用在synflood攻擊中配置：firewalldefendlandenable防范原理：對(duì)符合上述特征的報(bào)文丟棄,常見(jiàn)網(wǎng)絡(luò)攻擊,Smurf特征：偽冒受害者IP地址向廣播地址發(fā)送pingecho目的：使受害者被網(wǎng)絡(luò)上主機(jī)回復(fù)的響應(yīng)淹沒(méi)原理：丟棄目的地址為廣播地址的報(bào)文,常見(jiàn)網(wǎng)絡(luò)攻擊,TCPflag特征：報(bào)文的所有可設(shè)置的標(biāo)志都被標(biāo)記，明顯有沖突。比如同時(shí)設(shè)置SYN、FIN、RST等位目的：使被攻擊主機(jī)因處理錯(cuò)誤死機(jī)原理：丟棄符合特征的報(bào)文,常見(jiàn)網(wǎng)絡(luò)攻擊,Winnuke特征：設(shè)置了分片標(biāo)志的IGMP報(bào)文，或針對(duì)139端口的設(shè)置了URG標(biāo)志的報(bào)文目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)原理：丟棄符合上述特征報(bào)文,常見(jiàn)網(wǎng)絡(luò)攻擊,Ip-frag特征：同時(shí)設(shè)置了DF和MF標(biāo)志，或偏移量加報(bào)文長(zhǎng)度超過(guò)65535目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)原理：丟棄符合上述特征報(bào)文,常見(jiàn)網(wǎng)絡(luò)攻擊,Teardrop特征：分片報(bào)文后片和前片發(fā)生重疊目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)或使報(bào)文通過(guò)重組繞過(guò)防火墻訪問(wèn)內(nèi)部端口原理：防火墻為分片報(bào)文建立數(shù)據(jù)結(jié)構(gòu)，記錄通過(guò)防火墻的分片報(bào)文的偏移量，一點(diǎn)發(fā)生重疊，丟