CISP0204網(wǎng)絡(luò)安全v課件

1、網(wǎng)絡(luò)安全 培訓(xùn)機(jī)構(gòu) 講師 1CISP0204網(wǎng)絡(luò)安全v 課程內(nèi)容 2 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 知識體知識域 網(wǎng)絡(luò)架構(gòu)安全網(wǎng)絡(luò)架構(gòu)安全 知識子域 網(wǎng)絡(luò)架構(gòu)安全基礎(chǔ)網(wǎng)絡(luò)架構(gòu)安全基礎(chǔ) 網(wǎng)絡(luò)架構(gòu)安全實踐網(wǎng)絡(luò)架構(gòu)安全實踐 網(wǎng)絡(luò)協(xié)議安全網(wǎng)絡(luò)協(xié)議安全 移動通信網(wǎng)絡(luò)安全移動通信網(wǎng)絡(luò)安全 TCP/IPTCP/IP協(xié)議安全協(xié)議安全 無線局域網(wǎng)協(xié)議安全無線局域網(wǎng)協(xié)議安全 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全設(shè)備設(shè)備 其他網(wǎng)絡(luò)安全設(shè)備其他網(wǎng)絡(luò)安全設(shè)備 防火墻防火墻 入侵檢測系統(tǒng)入侵檢測系統(tǒng) 2CISP0204網(wǎng)絡(luò)安全v 知識域：網(wǎng)絡(luò)協(xié)議安全 知識子域：TCP/IP協(xié)議安全 理解開放互聯(lián)系統(tǒng)模型ISO/OSI七層協(xié)議模型及其安全體系結(jié)構(gòu) 理解T

2、CP/IP四層協(xié)議模型及協(xié)議安全架構(gòu) 了解IPV6的安全特點 33CISP0204網(wǎng)絡(luò)安全v 什么是協(xié)議 v定義 協(xié)議是網(wǎng)絡(luò)中計算機(jī)或設(shè)備之間進(jìn)行通信的一系 列規(guī)則的集合 v 理解重點：規(guī)則 交通中的紅綠黃燈：紅燈停、綠燈行就是規(guī)則 我國汽車靠右行駛是規(guī)則、香港、西方國家靠左 行駛也是規(guī)則 4 4CISP0204網(wǎng)絡(luò)安全v OSI協(xié)議 5CISP0204網(wǎng)絡(luò)安全v OSI安全體系結(jié)構(gòu) 信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第二部分： 安全體系結(jié)構(gòu)（GB/T9387.2-1995）（等同于ISO 7498-2） 6CISP0204網(wǎng)絡(luò)安全v TCP/IP協(xié)議結(jié)構(gòu) 7 應(yīng)用層 傳輸層 互聯(lián)網(wǎng)絡(luò)層 網(wǎng)

3、絡(luò)接口層 應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議 TCPUDP ICMPIPIGMP ARP硬件接口RARP 7CISP0204網(wǎng)絡(luò)安全v OSI模型與TCP/IP協(xié)議的對 應(yīng) 8 表示層表示層 8CISP0204網(wǎng)絡(luò)安全v 網(wǎng)絡(luò)接口層安全威脅 損壞干擾電磁泄漏 搭線竊聽 欺騙 9 拒絕服務(wù) 嗅探 9CISP0204網(wǎng)絡(luò)安全v 網(wǎng)絡(luò)接口層安全威脅 v損壞：自然災(zāi)害、動物破壞、老化、誤操作 v干擾：大功率電器/電源線路/電磁輻射 v電磁泄漏：傳輸線路電磁泄漏 v搭線竊聽：物理搭線 v欺騙：ARP欺騙 v嗅探：常見二層協(xié)議是明文通信的（以太、arp等） v拒絕服務(wù)：mac flooding，arp fl

4、ooding等 10 10CISP0204網(wǎng)絡(luò)安全v 互聯(lián)網(wǎng)絡(luò)層 11 應(yīng)用層 傳輸層 互聯(lián)網(wǎng)絡(luò)層 網(wǎng)絡(luò)接口層 應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議 TCPUDP ICMPIPIGMP ARP硬件接口RARP 11CISP0204網(wǎng)絡(luò)安全v vIP是TCP/IP協(xié)議族中最為核心的協(xié)議 v不可靠（unreliable）通信 v無連接（connectionless）通信 v提供分層編址體系（ip地址） IP協(xié)議簡介 12 12CISP0204網(wǎng)絡(luò)安全v 互聯(lián)網(wǎng)絡(luò)層安全威脅 拒絕服務(wù)欺騙竊聽 偽造 13 13CISP0204網(wǎng)絡(luò)安全v 互聯(lián)網(wǎng)絡(luò)層安全威脅 v拒絕服務(wù)：分片攻擊（teardrop）/死亡之

5、ping v欺騙：IP源地址欺騙 v竊聽：嗅探 v偽造：IP數(shù)據(jù)包偽造 14 14CISP0204網(wǎng)絡(luò)安全v 傳輸層 15 應(yīng)用層 傳輸層 互聯(lián)網(wǎng)絡(luò)層 網(wǎng)絡(luò)接口層 應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議 TCPUDP ICMPIPIGMP ARP硬件接口RARP 15CISP0204網(wǎng)絡(luò)安全v v相同點 同一層的協(xié)議，基于IP報文基礎(chǔ)上 v不同點 TCP是可靠的，高可用性的協(xié)議，但是復(fù)雜，需 要大量資源的開銷 UDP是不可靠，但是高效的傳輸協(xié)議 TCP協(xié)議與UDP協(xié)議 16 16CISP0204網(wǎng)絡(luò)安全v 傳輸層安全威脅 拒絕服務(wù)欺騙竊聽 偽造 17 17CISP0204網(wǎng)絡(luò)安全v 傳輸層安全威脅

6、v拒絕服務(wù)：syn flood/udp flood/Smurf v欺騙：TCP會話劫持 v竊聽：嗅探 v偽造：數(shù)據(jù)包偽造 18 18CISP0204網(wǎng)絡(luò)安全v 應(yīng)用層協(xié)議 v域名解析：DNS v電子郵件：SMTP/POP3 v文件傳輸：FTP v網(wǎng)頁瀏覽：HTTP v 19 19CISP0204網(wǎng)絡(luò)安全v 應(yīng)用層安全威脅 拒絕服務(wù)欺騙竊聽偽造暴力破解 20 20CISP0204網(wǎng)絡(luò)安全v 應(yīng)用層協(xié)議的安全威脅 v拒絕服務(wù)：超長URL鏈接 v欺騙：跨站腳本、釣魚式攻擊、cookie欺騙 v竊聽：嗅探 v偽造：應(yīng)用數(shù)據(jù)篡改 v暴力破解：應(yīng)用認(rèn)證口令暴力破解等 v 21 21CISP0204網(wǎng)絡(luò)安全

7、v 基于TCP/IP協(xié)議簇的安全 架構(gòu) 22CISP0204網(wǎng)絡(luò)安全v IPv6的主要特性 網(wǎng)絡(luò)地址空間的極大擴(kuò)展 網(wǎng)絡(luò)地址表示法不同 網(wǎng)絡(luò)地址的分類方式不同 改進(jìn)的IP多播 新增了“任播地址” 簡化報頭格式 良好的擴(kuò)展性 內(nèi)嵌的安全性 服務(wù)質(zhì)量的保證 即插即用功能 身份驗證和隱私保護(hù)能力 23CISP0204網(wǎng)絡(luò)安全v 知識域：網(wǎng)絡(luò)協(xié)議安全 知識子域：無線局域網(wǎng)協(xié)議安全 了解無線局域網(wǎng)的基本組成與特點 了解WEP、802.11i、WAPI等無線局域網(wǎng)安全協(xié)議 24CISP0204網(wǎng)絡(luò)安全v 無線技術(shù) 25 PANPAN (Personal Area (Personal Area Networ

8、k)Network) LANLAN (Local Area Network)(Local Area Network) WANWAN (Wide Area Network)(Wide Area Network) MANMAN (Metropolitan Area Network)(Metropolitan Area Network) PANLANMANWAN Standards Bluetooth 802.15.3 UltraWideBan d (WiMedia) 802.11 802.11 (Wi-Fi) 802.16 (Wi- Max) 802.20 GSM, CDMA, Satellite

9、 Speed 1 Mbps11 to 54 Mbps 10-100+ Mbps 10 Kbps2 Mbps RangeShortMediumMedium-LongLong Application s Peer-to-Peer Device-to- Device Enterprise Networks Last Mile Access Mobile Data Devices 25CISP0204網(wǎng)絡(luò)安全v 無線局域網(wǎng)的傳輸媒質(zhì)分為無線電波和光波兩類 無線電波主要使用無線電波和微波，光波主要使用紅外線 無線電波和微波頻率由各個國家的無線電管理部門規(guī)定，分為 專用頻段和自由頻段。專用頻段需要經(jīng)過批準(zhǔn)

10、的獨自有償使用 的頻段；自由頻段主要是指ISM頻段（Industrical， Scientific，Medical） 無線局域網(wǎng)基本概念 26 26CISP0204網(wǎng)絡(luò)安全v 無線局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu) AP STA v客戶端（station，STA） 無線網(wǎng)訪問設(shè)備，例如筆記本、 掌上電腦等 v無線接入點（Access Point ，AP） 專用的無線接入設(shè)備 v分布系統(tǒng)（distribution system，DS） 其他網(wǎng)絡(luò)，無線或者有線網(wǎng)絡(luò) DS 27 27CISP0204網(wǎng)絡(luò)安全v 無線局域網(wǎng)無線局域網(wǎng) 安全風(fēng)險安全風(fēng)險 無線局域網(wǎng)安全問題 28 28CISP0204網(wǎng)絡(luò)安全v 傳統(tǒng)無線安全

11、防護(hù)措施 認(rèn)證 開放式認(rèn)證系統(tǒng) 共享密鑰認(rèn)證 服務(wù)集標(biāo)識符SSID 極易暴露和偽造，沒有安全性可言 物理地址（MAC）過濾 MAC地址容易偽造，擴(kuò)展性差 無線對等協(xié)議（WEP） 手動管理密鑰存在重大隱患 弱密鑰問題 不能防篡改 WEP沒有提供抵抗重放攻擊的對策 29 29CISP0204網(wǎng)絡(luò)安全v IEEE 802.11i無線局域網(wǎng) 安全協(xié)議 30 30CISP0204網(wǎng)絡(luò)安全v WAPI安全協(xié)議 3131CISP0204網(wǎng)絡(luò)安全v WEP、IEEE 802.11i、WAPI 比較 32 項目項目WEPIEEE 802.11iWAPI 鑒別 鑒別機(jī)制單向鑒別用戶和認(rèn)認(rèn)服務(wù)器之間雙 向認(rèn)證，但沒

12、有認(rèn)證AP 用戶、接入點和認(rèn)證服 務(wù)器之間的相互認(rèn)證 鑒別方法開放式系統(tǒng)鑒別或共享密 鑰鑒別 支持多種鑒別方式: 預(yù)共享密鑰 Radius服務(wù)器驗證 用戶名口令 可使用非對稱密碼 算法和數(shù)字證書 采用公鑰數(shù)字證書作為 身份憑證；無線用戶與 無線接入點地位對等， 實現(xiàn)無線接入點的接入 控制；客戶端支持多證 書，方便用戶多處使用 鑒別對象客戶機(jī)用戶、服務(wù)器用戶、接入點、服務(wù)器 密鑰管理無不同產(chǎn)商不完全相同全集中（局域網(wǎng)內(nèi)統(tǒng)一 由AS管理） 算法64 bit RC4AES192位橢圓曲線算法 加密 密鑰靜態(tài)動態(tài)動態(tài) 算法64 bit RC4128bit RC4或AES128-bit SMS4 32C

13、ISP0204網(wǎng)絡(luò)安全v 知識域：網(wǎng)絡(luò)協(xié)議安全 知識子域：移動通信網(wǎng)絡(luò)協(xié)議安全 了解GSM、CDMA存在的安全問題 了解3G系統(tǒng)的安全問題及安全結(jié)構(gòu) 3333CISP0204網(wǎng)絡(luò)安全v 移動通信的發(fā)展 第一代模擬蜂窩移動通信系統(tǒng) 第二代數(shù)字蜂窩移動通信系統(tǒng)（2G） GSM、CDMA 第三代移動通信系統(tǒng)（3G） W-CDMA、CDMA2000、TD-SCDMA、 WiMAX 3434CISP0204網(wǎng)絡(luò)安全v GSM的安全性 安全措施 用戶鑒權(quán)（AUC） 無線通道加密 移動設(shè)備確認(rèn) IMSI臨時身份等 安全問題 安全系統(tǒng)內(nèi)在的弱點 支持?jǐn)?shù)據(jù)業(yè)務(wù)帶來的弱點 加密算法的弱點 3535CISP0204

14、網(wǎng)絡(luò)安全v CDMA的安全性 安全措施 保密與認(rèn)證架構(gòu)大致與GSM相同 使用64b的對稱密鑰（稱為A-Key）進(jìn)行認(rèn)證 安全問題 允許語音通信加密，但是CDMA運營商并不總是提供這種服務(wù) 由于網(wǎng)絡(luò)現(xiàn)狀，許多系統(tǒng)目前不支持認(rèn)證功能，許多手機(jī)既沒有認(rèn)證算法也 無法輸入 3636CISP0204網(wǎng)絡(luò)安全v 3GPP的3G系統(tǒng)安全結(jié)構(gòu) 3737CISP0204網(wǎng)絡(luò)安全v 3G系統(tǒng)的主要安全威脅 3G無線網(wǎng)絡(luò)的空中開放性對信息安全構(gòu)成潛在威脅 3G核心網(wǎng)絡(luò)的IP化給安全帶來了巨大挑戰(zhàn) 業(yè)務(wù)種類的豐富導(dǎo)致失泄密渠道增加 定位服務(wù)容易造成一些敏感涉密的位置信息泄露 手機(jī)終端強(qiáng)大的功能帶來了新的安全漏洞 38

15、38CISP0204網(wǎng)絡(luò)安全v 知識域：網(wǎng)絡(luò)安全設(shè)備 知識子域：防火墻技術(shù) 理解防火墻的作用、功能及分類 理解包過濾技術(shù)、狀態(tài)檢測技術(shù)和應(yīng)用代理技術(shù)等防火墻主要技術(shù)原理 掌握防火墻的部署結(jié)構(gòu) 理解防火墻的局限性 3939CISP0204網(wǎng)絡(luò)安全v 防火墻基本概念 什么是防火墻 一種協(xié)助確保信息安全的設(shè)備，會依照特 定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。 防火墻部署在哪 可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間 不同安全級別網(wǎng)絡(luò)之間 兩個需要隔離的區(qū)域之間 InternetInternet 防火墻防火墻 4040CISP0204網(wǎng)絡(luò)安全v 為什么需要防火墻為什么需要防火墻 控制：在網(wǎng)絡(luò)連接點上建立一個安全控制點

16、，對進(jìn)出數(shù)據(jù)進(jìn)行限制 隔離：將需要保護(hù)的網(wǎng)絡(luò)與不可信任網(wǎng)絡(luò)進(jìn)行隔離，隱藏信息并進(jìn) 行安全防護(hù) 記錄：對進(jìn)出數(shù)據(jù)進(jìn)行檢查，記錄相關(guān)信息 防火墻的作用 41 安全網(wǎng) 域一 41CISP0204網(wǎng)絡(luò)安全v 防火墻的分類 按主要技術(shù)分按主要技術(shù)分 包過濾型 代理型 混合型 按按體系結(jié)構(gòu)體系結(jié)構(gòu)分分 篩選路由器 雙宿雙宿/ /多宿主機(jī)防火墻多宿主機(jī)防火墻 屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻 屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)防火墻 混合結(jié)構(gòu)混合結(jié)構(gòu) 其他分類方法其他分類方法 4242CISP0204網(wǎng)絡(luò)安全v 防火墻的實現(xiàn)技術(shù) 包過濾技包過濾技術(shù)術(shù) 狀態(tài)檢測技術(shù)狀態(tài)檢測技術(shù) 代理網(wǎng)關(guān)技術(shù)代理網(wǎng)關(guān)技術(shù) 4343CISP02

17、04網(wǎng)絡(luò)安全v 防火墻的實現(xiàn)技術(shù)-包 過濾 v實現(xiàn)機(jī)制：依據(jù)數(shù)據(jù)包的基本標(biāo)記來控制數(shù)據(jù) 包 網(wǎng)絡(luò)層地址：IP地址（源地址及目的地址） 傳輸層地址：端口（源端口及目的端口） 協(xié)議：協(xié)議類型 44 安全網(wǎng) 域一 44CISP0204網(wǎng)絡(luò)安全v 防火墻的實現(xiàn)技術(shù)-包 過濾 v 優(yōu)優(yōu)點點: : 邏輯簡單，功能容易實現(xiàn)，設(shè)備價格便宜邏輯簡單，功能容易實現(xiàn)，設(shè)備價格便宜 處理速度快處理速度快 可以識別和丟棄帶欺騙性源可以識別和丟棄帶欺騙性源IPIP地址的包地址的包 過濾規(guī)則與應(yīng)用層無關(guān)，無須修改主機(jī)上的過濾規(guī)則與應(yīng)用層無關(guān)，無須修改主機(jī)上的 應(yīng)用程序，易于安裝和使用應(yīng)用程序，易于安裝和使用 v 缺點：缺點

18、： 過濾規(guī)則集合復(fù)雜，配置困難過濾規(guī)則集合復(fù)雜，配置困難 無法滿足對應(yīng)用層信息進(jìn)行過濾的安全要求無法滿足對應(yīng)用層信息進(jìn)行過濾的安全要求 不能防止地址欺騙，及外部客戶與內(nèi)部主機(jī)不能防止地址欺騙，及外部客戶與內(nèi)部主機(jī) 直接連接直接連接 安全性較差，不提供用戶認(rèn)證功能安全性較差，不提供用戶認(rèn)證功能 4545CISP0204網(wǎng)絡(luò)安全v 防火墻實現(xiàn)技術(shù)-狀態(tài)檢 測 數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層 物理層物理層 網(wǎng)絡(luò)層網(wǎng)絡(luò)層 表示層表示層 會話層會話層 傳輸層傳輸層 檢測引擎檢測引擎 應(yīng)用層應(yīng)用層 動態(tài)狀態(tài)表動態(tài)狀態(tài)表 動態(tài)狀態(tài)表動態(tài)狀態(tài)表 動態(tài)狀態(tài)表動態(tài)狀態(tài)表 v在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間對數(shù)據(jù)包進(jìn)行檢測 v創(chuàng)建狀

19、態(tài)表用于維護(hù)連接上下文 應(yīng)用層應(yīng)用層 表示層表示層 會話層會話層 傳輸層傳輸層 數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層 物理層物理層 網(wǎng)絡(luò)層網(wǎng)絡(luò)層 應(yīng)用層應(yīng)用層 表示層表示層 會話層會話層 傳輸層傳輸層 數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層 物理層物理層 網(wǎng)絡(luò)層網(wǎng)絡(luò)層 4646CISP0204網(wǎng)絡(luò)安全v 防火墻實現(xiàn)技術(shù)-狀 態(tài)檢測 v優(yōu)點優(yōu)點 可應(yīng)用會話信息決定過濾規(guī)則 具有記錄有關(guān)通過的每個包的詳細(xì)信息的能力 安全性較高 v缺點缺點 檢查內(nèi)容比包過濾檢測技術(shù)多，所以對防火墻 的性能提出了更高的要求 狀態(tài)檢測防火墻的配置非常復(fù)雜，對于用戶的 能力要求較高，使用起來不太方便 4747CISP0204網(wǎng)絡(luò)安全v 防火墻的實現(xiàn)技術(shù)-

20、代理網(wǎng) 關(guān) 每一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過防火墻的介入和轉(zhuǎn)換，加強(qiáng)了 控制 分類 電路級代理 應(yīng)用代理 4848CISP0204網(wǎng)絡(luò)安全v 防火墻的實現(xiàn)技術(shù)-電路級 代理 建立回路，對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā) 優(yōu)點 能提供NAT，為內(nèi)部地址管理提供靈活性，隱藏內(nèi)部網(wǎng)絡(luò)等 適用面廣 缺點 僅簡單的在兩個連接間轉(zhuǎn)發(fā)數(shù)據(jù)，不能識別數(shù)據(jù)包的內(nèi)容 4949CISP0204網(wǎng)絡(luò)安全v 防火墻的實現(xiàn)技術(shù)-NAT 什么是NAT 一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各 種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。 NAT技術(shù)設(shè)計初衷 增加私有組織的可用地址空間 解決現(xiàn)有私有網(wǎng)絡(luò)接入的

21、IP地址編號問題 50 50CISP0204網(wǎng)絡(luò)安全v 防火墻的實現(xiàn)技術(shù)-NAT NAT實現(xiàn)方式 靜態(tài)地址轉(zhuǎn)換 動態(tài)地址轉(zhuǎn)換 端口轉(zhuǎn)換 51 安全網(wǎng) 域一 00 0 51CISP0204網(wǎng)絡(luò)安全v 52 NAT的優(yōu)缺點 優(yōu)點 管理方便并且節(jié)約IP地址資源 隱藏內(nèi)部 IP 地址信息 可用于實現(xiàn)網(wǎng)絡(luò)負(fù)載均衡 缺點 外部應(yīng)用程序卻不能方便地與 NAT 網(wǎng)關(guān)后面的應(yīng)用程序聯(lián)系。 CISP0204網(wǎng)絡(luò)安全v 防火墻的實現(xiàn)技術(shù)-應(yīng)用代 理 工作在應(yīng)用層 使用代理技術(shù)，對應(yīng)用層數(shù)據(jù)包進(jìn)行檢查 對應(yīng)用或內(nèi)容進(jìn)行過濾，例如：禁止F

22、TP的 “put”命令 5353CISP0204網(wǎng)絡(luò)安全v 防火墻的實現(xiàn)技術(shù)-應(yīng)用代 理 v優(yōu)點 可以檢查應(yīng)用層內(nèi)容，根據(jù)內(nèi)容進(jìn)行審核和過 濾 提供良好的安全性 v缺點 支持的應(yīng)用數(shù)量有限 性能表現(xiàn)欠佳 5454CISP0204網(wǎng)絡(luò)安全v 防火墻實現(xiàn)技術(shù)-自適應(yīng)代 理技術(shù) 自適應(yīng)代理防火墻主要由自適應(yīng)代理服務(wù)器與動態(tài)包過濾組成，它 可以根據(jù)用戶的配置信息，決定從應(yīng)用層代理請求，還是從網(wǎng)絡(luò)層 轉(zhuǎn)發(fā)包 特點 根據(jù)用戶定義安全規(guī)則動態(tài)“適應(yīng)”傳輸中的分組流量 高安全要求：在應(yīng)用層進(jìn)行檢查 明確會話安全細(xì)則：鏈路層數(shù)據(jù)包轉(zhuǎn)發(fā) 兼有高安全性和高效率 5555CISP0204網(wǎng)絡(luò)安全v 防火墻部署結(jié)構(gòu) 單

23、防火墻（無DMZ）部署方式 單防火墻（DMZ）部署方式 雙防火墻部署方式 5656CISP0204網(wǎng)絡(luò)安全v 單防火墻（無DMZ）部署方 式 內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò) /24/24 GW:54GW:54 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) /24/24 GW:GW: 防火墻防火墻 InternetInternet IntranetIntranet /24/2454/24

24、54/24 5757CISP0204網(wǎng)絡(luò)安全v 單防火墻（DMZ）部署方式 5858CISP0204網(wǎng)絡(luò)安全v 防火墻的典型部署 區(qū)域劃分：可信網(wǎng)絡(luò)、不可信網(wǎng)絡(luò)、DMZ區(qū) 59 可信網(wǎng)絡(luò)可信網(wǎng)絡(luò) 不可信的網(wǎng)不可信的網(wǎng)絡(luò)絡(luò) 防火墻防火墻 路由器路由器 InternetInternet IntranetIntranet DMZDMZ 非軍事化區(qū)非軍事化區(qū) 59CISP0204網(wǎng)絡(luò)安全v 防護(hù)墻的策略設(shè)置 沒有明確允許的就是禁止 先阻止所有數(shù)據(jù)包 需要的給予開放 沒有明確禁止的就是允許 對明確禁止的設(shè)置策略 6060CISP0204網(wǎng)絡(luò)安全v 防火墻的策略設(shè)置 可信網(wǎng)絡(luò)可向DM

25、Z區(qū)和不可信網(wǎng)絡(luò)發(fā)起連接請求 61 可信網(wǎng)絡(luò)可信網(wǎng)絡(luò) 不可信的網(wǎng)不可信的網(wǎng)絡(luò)絡(luò) 防火墻防火墻 路由器路由器 InternetInternet IntranetIntranet DMZDMZ 非軍事化區(qū)非軍事化區(qū) 61CISP0204網(wǎng)絡(luò)安全v 防火墻的策略設(shè)置 DMZ區(qū)可接受可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)的連接請求 DMZ區(qū)不可向可信網(wǎng)絡(luò)發(fā)起連接請求 DMZ區(qū)與不可信網(wǎng)絡(luò)的連接請求根據(jù)業(yè)務(wù)需要確定 62 可信網(wǎng)絡(luò)可信網(wǎng)絡(luò) 不可信的網(wǎng)不可信的網(wǎng)絡(luò)絡(luò) 防火墻防火墻 路由器路由器 InternetInternet IntranetIntranet DMZDMZ 非軍事化區(qū)非軍事化區(qū) 62CISP0204網(wǎng)絡(luò)安

26、全v 雙防火墻部署方式 使用兩臺防火墻分別作為外部防火墻和內(nèi)部防火墻，在兩臺防火墻 之間形成了一個非軍事區(qū)網(wǎng)段 外部流量允許進(jìn)入DMZ網(wǎng)段 內(nèi)部流量允許進(jìn)入DMZ網(wǎng)絡(luò)并通過DMZ網(wǎng)段流出至外部網(wǎng)絡(luò) 外部網(wǎng)絡(luò)的流量不允許進(jìn)入直接進(jìn)入內(nèi)部網(wǎng)絡(luò) 特點 能提供更為安全的系統(tǒng)結(jié)構(gòu) 實施復(fù)雜性和費用較高 6363CISP0204網(wǎng)絡(luò)安全v 防火墻的不足和局限性 難于管理和配置，易造成安全漏洞 防外不防內(nèi)，不能防范惡意的知情者 只實現(xiàn)了粗粒度的訪問控制 很難為用戶在防火墻內(nèi)外提供一致的安全策略 不能防范病毒 6464CISP0204網(wǎng)絡(luò)安全v 知識域：網(wǎng)絡(luò)安全設(shè)備 知識子域：入侵檢測系統(tǒng) 理解入侵檢測系統(tǒng)的

27、作用、功能及分類 理解入侵檢測系統(tǒng)的主要技術(shù)原理 掌握入侵檢測系統(tǒng)的部署結(jié)構(gòu) 理解入侵檢測系統(tǒng)的局限性 6565CISP0204網(wǎng)絡(luò)安全v 什么是入侵檢測系統(tǒng)？ 66 v什么是入侵檢測系統(tǒng) 一種通過對計算機(jī)網(wǎng)絡(luò) 或計算機(jī)系統(tǒng)中若干關(guān) 鍵點收集信息并對其進(jìn) 行分析以發(fā)現(xiàn)網(wǎng)絡(luò)或系 統(tǒng)中是否有違反安全策 略的行為和被攻擊的跡 象的設(shè)備 v入侵檢測系統(tǒng)部署在哪 數(shù)據(jù)流入流出點 關(guān)鍵位置 66CISP0204網(wǎng)絡(luò)安全v 入侵檢測系統(tǒng)的作用 為什么需要入侵檢測系統(tǒng) 防火墻的重要補(bǔ)充 構(gòu)建網(wǎng)絡(luò)安全防御體系重要環(huán)節(jié) 克服傳統(tǒng)防御機(jī)制的限制 入侵檢測系統(tǒng)能做什么 監(jiān)測并分析用戶和系統(tǒng)的活動 核查系統(tǒng)配置和漏洞

28、對操作系統(tǒng)進(jìn)行日志管理，并識別違反安全策略的用戶活動； 針對已發(fā)現(xiàn)的攻擊行為作出適當(dāng)?shù)姆磻?yīng)，如告警、中止進(jìn)程等。 6767CISP0204網(wǎng)絡(luò)安全v 入侵檢測系統(tǒng)的分類 按檢測原理分 異常檢測 誤用檢測 混合檢測 按數(shù)據(jù)來源分 主機(jī)入侵檢測 網(wǎng)絡(luò)入侵檢測 混合式入侵檢測 6868CISP0204網(wǎng)絡(luò)安全v 入侵檢測系統(tǒng)的典型部署 69 可信網(wǎng)絡(luò)可信網(wǎng)絡(luò) 不可信的網(wǎng)不可信的網(wǎng)絡(luò)絡(luò) 防火墻防火墻 InternetInternet IntranetIntranet v旁路旁路的方式的方式接入接入 v部署部署位位置置 防火墻外 核心交換機(jī) 關(guān)鍵位置 HIDSHIDS NIDSNIDS NIDSNIDS

29、NIDSNIDS 69CISP0204網(wǎng)絡(luò)安全v 70 通用入侵檢測框架通用入侵檢測框架 70CISP0204網(wǎng)絡(luò)安全v 71 入侵檢測工作過程入侵檢測工作過程 71CISP0204網(wǎng)絡(luò)安全v 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) 72 入侵檢測系統(tǒng)布署入侵檢測系統(tǒng)布署 72CISP0204網(wǎng)絡(luò)安全v 入侵檢測系統(tǒng)布署 基于主機(jī)的入侵檢測系統(tǒng) 7373CISP0204網(wǎng)絡(luò)安全v 入侵檢測系統(tǒng)的局限性 74 v對用戶知識要求較高，配置、操作和管理使用較 為復(fù)雜 v網(wǎng)絡(luò)發(fā)展迅速，對入侵檢測系統(tǒng)的處理性能要求 越來越高，現(xiàn)有技術(shù)難以滿足實際需要； v高虛警率，用戶處理的負(fù)擔(dān)重 v由于警告信息記錄的不完整，許多警告

30、信息可能 無法與入侵行為相關(guān)聯(lián)，難以得到有用的結(jié)果 v在應(yīng)對對自身的攻擊時，對其他數(shù)據(jù)的檢測也可 能會被抑制或受到影響。 74CISP0204網(wǎng)絡(luò)安全v 知識域：網(wǎng)絡(luò)安全設(shè)備 知識子域：其它網(wǎng)絡(luò)安全設(shè)備 了解安全隔離與信息交換系統(tǒng)的原理、特點及適用場景 了解入侵防御系統(tǒng)（IPS）原理與特點 了解安全管理平臺（SOC）的主要功能 了解統(tǒng)一威脅管理系統(tǒng)（UTM）的功能與特點 了解網(wǎng)絡(luò)準(zhǔn)入控制（NAC）的功能、組成及控制方式 7575CISP0204網(wǎng)絡(luò)安全v 安全隔離與信息交換系統(tǒng)（網(wǎng) 閘） 7676CISP0204網(wǎng)絡(luò)安全v 網(wǎng)閘的組成與特點 組成 外部處理單元 內(nèi)部處理單元 仲裁處理單元 特點

31、 在網(wǎng)絡(luò)第二層（鏈路層）斷開網(wǎng)絡(luò)連接 不允許信息以網(wǎng)絡(luò)數(shù)據(jù)包的方式在兩個網(wǎng)絡(luò)之間交換 同時集合了其他安全防護(hù)技術(shù) 77 77CISP0204網(wǎng)絡(luò)安全v 78 網(wǎng)閘與防火墻的區(qū)別 雙系統(tǒng)模式徹底將內(nèi)網(wǎng)保護(hù)起來 安全隔離與信息交換系統(tǒng)采用自身定義的私有通訊協(xié)議，避免了通 用協(xié)議存在的漏洞 安全隔離與信息交換系統(tǒng)采用專用硬件控制技術(shù)保證內(nèi)外網(wǎng)之間沒 有實時連接 78CISP0204網(wǎng)絡(luò)安全v 79 網(wǎng)閘的適用場景 不同涉密網(wǎng)絡(luò)之間 同一涉密網(wǎng)絡(luò)的不同安全域之間 與互聯(lián)網(wǎng)物理隔離的網(wǎng)絡(luò)與秘密級網(wǎng)絡(luò)之間 未與涉密網(wǎng)絡(luò)連接的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間 79CISP0204網(wǎng)絡(luò)安全v 80 入侵防御系統(tǒng)(IPS)

32、一種主動的、智能的入侵檢測、防范、阻止系統(tǒng) 預(yù)先對攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失 80CISP0204網(wǎng)絡(luò)安全v IPS的部署 81 v IPSIPS的典型部署方式為串聯(lián)在網(wǎng)絡(luò)的典型部署方式為串聯(lián)在網(wǎng)絡(luò)中中 可信網(wǎng)絡(luò)可信網(wǎng)絡(luò) 不可信的網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)& &服務(wù)服務(wù) InternetInternet IntranetIntranet IPSIPS 81CISP0204網(wǎng)絡(luò)安全v IPS的特點 82 vIPSIPS采取主動式的防御機(jī)制，以透明模式串聯(lián)采取主動式的防御機(jī)制，以透明模式串聯(lián) 于網(wǎng)絡(luò)中，能夠?qū)崟r阻斷攻擊；于網(wǎng)絡(luò)中，能夠?qū)崟r阻斷攻擊； n部署在網(wǎng)絡(luò)關(guān)鍵點上；部署在網(wǎng)絡(luò)關(guān)鍵點上；

33、 n過濾阻斷的是攻擊包而非攻擊源。過濾阻斷的是攻擊包而非攻擊源。 v采用多種檢測技術(shù)，準(zhǔn)確度高：采用多種檢測技術(shù)，準(zhǔn)確度高： n特征分析；特征分析； n協(xié)議異常分析；協(xié)議異常分析； n行為異常分析。行為異常分析。 v采用采用硬件加速技術(shù)，處理性能高，不影響網(wǎng)硬件加速技術(shù)，處理性能高，不影響網(wǎng) 絡(luò)的正常運行絡(luò)的正常運行。 82CISP0204網(wǎng)絡(luò)安全v IPS與IDS的區(qū)別 83 v IPSIPS采用采用In-lineIn-line的透明模式接入網(wǎng)絡(luò)，而的透明模式接入網(wǎng)絡(luò)，而IDSIDS并聯(lián)在網(wǎng)并聯(lián)在網(wǎng) 絡(luò)中，接入交換機(jī)的接口需要做鏡像；絡(luò)中，接入交換機(jī)的接口需要做鏡像； v IDSIDS是一種

34、檢測技術(shù)，而是一種檢測技術(shù)，而IPSIPS是一種檢測加阻斷技術(shù)，后是一種檢測加阻斷技術(shù)，后 者的檢測結(jié)果是阻斷攻擊的依據(jù)是檢測；者的檢測結(jié)果是阻斷攻擊的依據(jù)是檢測； v IPSIPS更多是專業(yè)化定制的集成電路，而更多是專業(yè)化定制的集成電路，而IDSIDS一般是硬件與一般是硬件與 軟件的集合；軟件的集合； v 入侵入侵防御系統(tǒng)關(guān)注的是對入侵行為的控制，是一種側(cè)重防御系統(tǒng)關(guān)注的是對入侵行為的控制，是一種側(cè)重 于風(fēng)險控制的安全設(shè)備；入侵檢測系統(tǒng)注重的是入侵行于風(fēng)險控制的安全設(shè)備；入侵檢測系統(tǒng)注重的是入侵行 為的數(shù)據(jù)進(jìn)行檢測和報警，是一種側(cè)重于風(fēng)險管理的安為的數(shù)據(jù)進(jìn)行檢測和報警，是一種側(cè)重于風(fēng)險管理的

35、安 全設(shè)備。全設(shè)備。 83CISP0204網(wǎng)絡(luò)安全v 如何選擇部署IDS和IPS 若計劃在一次項目中實施較為完整的安全解決方案，則應(yīng)同時選擇 和部署入侵檢測系統(tǒng)和入侵防御系統(tǒng)兩類產(chǎn)品 若用戶計劃分布實施安全解決方案，可以考慮先布署入侵檢測系統(tǒng) 進(jìn)行網(wǎng)絡(luò)安全狀況監(jiān)控，后期再部署入侵防御系統(tǒng) 若用戶僅僅關(guān)注網(wǎng)絡(luò)安全狀況的監(jiān)控，則可在目標(biāo)信息系統(tǒng)中部署 入侵檢測系統(tǒng)即可 8484CISP0204網(wǎng)絡(luò)安全v IPS存在的問題 單點故障 性能瓶頸 誤報和漏報 8585CISP0204網(wǎng)絡(luò)安全v 安全管理平臺（SOC） 狹義上 安全管理平臺重點是指對安全設(shè)備的集中管理，包括集中的運行狀態(tài)監(jiān)控、 事件采集分

36、析、安全策略下發(fā) 廣義上 不僅針對安全設(shè)備進(jìn)行管理，還要針對所有IT資源，甚至是業(yè)務(wù)系統(tǒng)進(jìn)行集 中的安全管理，包括對IT資源的運行監(jiān)控、事件采集分析，還包括風(fēng)險管理 與運維等內(nèi)容。 86 86CISP0204網(wǎng)絡(luò)安全v SOC的理解 以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思 想，建立一套實時的資產(chǎn)風(fēng)險模型，協(xié)助管理員進(jìn)行事件分析、風(fēng) 險分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。 本質(zhì)上，SOC不是一款單純的產(chǎn)品，而是一個復(fù)雜的系統(tǒng)，他既有 產(chǎn)品，又有服務(wù)，還有運維（運營），SOC是技術(shù)、流程和人的有 機(jī)結(jié)合。 87 87CISP0204網(wǎng)絡(luò)安全v SOC的主要功能 風(fēng)險

37、管理 服務(wù)管理 系統(tǒng)管理 專業(yè)安全系統(tǒng) 8888CISP0204網(wǎng)絡(luò)安全v 統(tǒng)一威脅管理系統(tǒng)（UTM） 由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供 一項或多項安全功能，同時將多種安全特性集成于一個硬件設(shè)備里， 形成標(biāo)準(zhǔn)的統(tǒng)一威脅管理平臺。 一般而言，防火墻、VPN、入侵防御、防病毒是必備的功能模塊， 缺少任何一個不能稱之為UTM，其余功能用戶可以根據(jù)自身需求進(jìn) 行選擇。 89 89CISP0204網(wǎng)絡(luò)安全v UTM的特點 優(yōu)點 將防病毒、入侵檢測、網(wǎng)絡(luò)過濾等多種同能融合在一臺設(shè)備中，安全防護(hù)能力比 單臺設(shè)備大大增加 提供綜合的功能和安全的性能，降低了復(fù)雜度，也降低了成本 能為用

38、戶定制安全策略，提供靈活性 內(nèi)部各個功能模塊遵循同樣的管理接口，在使用上也遠(yuǎn)較傳統(tǒng)的安全產(chǎn)品簡單 能提供全面的管理、報告和日志平臺，用戶可以統(tǒng)一地管理全部安全特性 不足 容易存在單點故障 本身安全漏洞也更容易會造成嚴(yán)重?fù)p失 設(shè)備對性能要求較高 9090CISP0204網(wǎng)絡(luò)安全v 網(wǎng)絡(luò)準(zhǔn)入控制（NAC） 通過對連入網(wǎng)絡(luò)的客戶端設(shè)備進(jìn)行授權(quán)，以防止病毒和蠕蟲等惡意 代碼對網(wǎng)絡(luò)安全造成危害。通過NAC，可以只允許合法的、值得信 任的端點設(shè)備（例如PC、服務(wù)器、筆記本、智能手機(jī)等）接入網(wǎng)絡(luò)， 而不允許其它設(shè)備接入 檢查設(shè)備的“狀態(tài)”，能確保等待接入網(wǎng)絡(luò)的設(shè)備符合一定級別的 安全標(biāo)準(zhǔn) 能夠防止易損主機(jī)接

39、入正常網(wǎng)絡(luò)，減少病毒和蠕蟲對企業(yè)網(wǎng)絡(luò)的干 擾 91 91CISP0204網(wǎng)絡(luò)安全v NAC的組成與工作過程 組成 終端安全檢查軟件 網(wǎng)絡(luò)接入設(shè)備 策略/AAA服務(wù)器 工作過程 由終端設(shè)備和網(wǎng)絡(luò)接入設(shè)備進(jìn)行交互通訊 將終端信息發(fā)給策略/AAA服務(wù)器對接入終端和終端使用者進(jìn)行檢查 當(dāng)終端及使用者符合策略/AAA服務(wù)器上定義的策略后，策略/AAA服務(wù)器會通 知網(wǎng)絡(luò)接入設(shè)備，對終端進(jìn)行授權(quán)和訪問控制 9292CISP0204網(wǎng)絡(luò)安全v NAC的四種準(zhǔn)入控制方式 802.1x準(zhǔn)入控制 DHCP準(zhǔn)入控制 網(wǎng)關(guān)型準(zhǔn)入控制 ARP準(zhǔn)入控制 9393CISP0204網(wǎng)絡(luò)安全v 知識域：網(wǎng)絡(luò)架構(gòu)安全 知識子域：網(wǎng)

40、絡(luò)架構(gòu)安全基礎(chǔ) 理解網(wǎng)絡(luò)架構(gòu)安全的含義及主要工作 理解網(wǎng)絡(luò)安全域劃分應(yīng)考慮的主要因素 理解IP地址分配的方法 理解VLAN劃分的作用與策略 理解路由交換設(shè)備安全配置常見的要求 理解網(wǎng)絡(luò)邊界訪問控制策略的類型 理解網(wǎng)絡(luò)冗余配置應(yīng)考慮的因素 94 94CISP0204網(wǎng)絡(luò)安全v 網(wǎng)絡(luò)架構(gòu)安全的內(nèi)容 合理劃分網(wǎng)絡(luò)安全區(qū)域 規(guī)劃網(wǎng)絡(luò)IP地址 設(shè)計VLAN 安全配置路由交換設(shè)備 網(wǎng)絡(luò)邊界訪問控制策略 網(wǎng)絡(luò)冗余配置 9595CISP0204網(wǎng)絡(luò)安全v 網(wǎng)絡(luò)安全域劃分的目的與方法 v定義定義 安全域是遵守相同安全策略的用戶和系統(tǒng)的集合 v安全域劃分的目的安全域劃分的目的 把大規(guī)模負(fù)責(zé)系統(tǒng)安全問題化解為更小區(qū)

41、域的安全 保護(hù)問題 網(wǎng)絡(luò)抗?jié)B透的有效防護(hù)方式，安全域邊界是災(zāi)難發(fā) 生時的抑制點 v安全域的劃分方法安全域的劃分方法 按信息資產(chǎn)劃分 按業(yè)務(wù)類型劃分 按地域劃分 按組織架構(gòu)劃分 96 96CISP0204網(wǎng)絡(luò)安全v 同級別安全域同級別安全域 同級別安全域之間的邊界-同級別 安全域之間的安全防護(hù)主要是安全 隔離和可信互訪 不同級別安全域不同級別安全域 不同級別安全域之間的邊界實 際設(shè)計實施時又分為高等級安全域 和低等級安全域的邊界和防護(hù) 遠(yuǎn)程連接用戶遠(yuǎn)程連接用戶 遠(yuǎn)程連接的用戶對于遠(yuǎn)程接入用 戶通常采用VPN結(jié)合用戶認(rèn)證授權(quán)的 方式進(jìn)行邊界防護(hù) 同級別安全域之間的邊界 遠(yuǎn)程接入邊界的安全 網(wǎng)絡(luò)安全

42、域防護(hù)網(wǎng)絡(luò)安全域防護(hù) 97 97CISP0204網(wǎng)絡(luò)安全v IP地址規(guī)劃 據(jù)IP編址特點，為所設(shè)計的網(wǎng)絡(luò)中的節(jié)點、網(wǎng)絡(luò)設(shè)備分配合適的IP 地址 應(yīng)與網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮 IP地址規(guī)劃應(yīng)采用自頂向下的方法 9898CISP0204網(wǎng)絡(luò)安全v IP地址分配的方式 靜態(tài)地址分配 給網(wǎng)絡(luò)中每臺計算機(jī)、網(wǎng)絡(luò)設(shè)備分配一個固定的、靜態(tài)不變的IP地址 提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)設(shè)備，如WEB服務(wù)器、郵件服務(wù)器、FTP服務(wù)器等服務(wù)器， 一般為其分配靜態(tài)IP地址 動態(tài)地址分配 在計算機(jī)連接到網(wǎng)路時，每次為其臨時分配一個IP地址 NAT地址分配 將私網(wǎng)地址和公網(wǎng)地址轉(zhuǎn)換使用 9999CISP0

43、204網(wǎng)絡(luò)安全v VLAN設(shè)計 將網(wǎng)內(nèi)設(shè)備的邏輯地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組 通過VLAN隔離技術(shù)，可以把一個網(wǎng)絡(luò)系統(tǒng)中眾多的網(wǎng)絡(luò)設(shè)備分成若 干個虛擬的工作組 安全作用 建立VLAN之間的訪問機(jī)制，阻止蠕蟲和惡意病毒的廣泛傳播 建立VLAN區(qū)域安全和資源保護(hù)，將受限制的應(yīng)用程序和資源置于更為安全的 VLAN中 100100CISP0204網(wǎng)絡(luò)安全v VLAN劃分方法 一個交換機(jī)上可以劃分出多個VLAN 多個交換機(jī)并在一起共同劃分出若干個VLAN 某些計算機(jī)可以同時處于多個VLAN中 101101CISP0204網(wǎng)絡(luò)安全v 路由交換設(shè)備的安全配置 交換機(jī)安全配置要點 安裝最新版本的操作系統(tǒng)，定期更新交換機(jī)操作系統(tǒng)補(bǔ)丁 關(guān)閉空閑的物理端口 帶外管理交換機(jī) 明確禁止未經(jīng)授權(quán)的訪問 配置必要的網(wǎng)路服務(wù)，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù) 打開日志功能，并且將日志文件專門放到一臺安全的日志主機(jī)上 對交換機(jī)配置文件進(jìn)行脫機(jī)安全備份，并且限制對配置文件的訪問 102102CISP0204網(wǎng)絡(luò)安全v 路由器的安全配置要點 在路由器上安裝最新版本的操作系統(tǒng)，定期更新對應(yīng)的操作系統(tǒng)補(bǔ) 丁 防止欺騙性路由更新，配置路由協(xié)議鑒別 路由器的配置保持下線備份，對它的訪問進(jìn)行限制 明確禁止未經(jīng)授權(quán)的訪問 防止網(wǎng)絡(luò)數(shù)