網(wǎng)絡(luò)安全及防護(hù)措施ppt課件

1、網(wǎng)絡(luò)安全及防護(hù)措施湖北托普亠、安全隱患及安全認(rèn)識分析:、網(wǎng)絡(luò)安全體系結(jié)構(gòu)1、網(wǎng)絡(luò)安全整體防護(hù)思路安全隱患及安全認(rèn)識分析1998/9揚(yáng)州郝氏兄弟工行竊款案例北京機(jī)場票務(wù)系統(tǒng)癱瘓深交所證券交易系統(tǒng)癱瘓2二灘電廠網(wǎng)絡(luò)安全事故大量的網(wǎng)站被黑、被攻擊4網(wǎng)上信用卡密碼被盜，錢被劃走安幻病毒篡改黑客攻擊資源占用5常見的攻擊方式介紹9rrT解攻擊的作圧網(wǎng)絡(luò)管理員對攻擊行為的了解和認(rèn)識,有助于提高危險(xiǎn)性認(rèn)識在遭遇到攻擊行為時能夠及時的發(fā)現(xiàn)和應(yīng)對了解攻擊的手段才能更好的防范以tet帶來旳JnM系統(tǒng)被侵占，并被當(dāng)作跳板進(jìn)行下一步攻=二二二=二二二=二匸文件，重要資料遭到破壞系統(tǒng)瀕臨崩潰，無法正常運(yùn)行網(wǎng)絡(luò)涌堵，正常通

2、信無法進(jìn)行重要信息資料被竊取，機(jī)密資料泄漏，造成重大經(jīng)濟(jì)損失常規(guī)攻擊行為的步驍預(yù)攻擊信息探測，使用掃描器獲取目標(biāo)信息，這些信息可以為：主機(jī)或設(shè)備上打開的服務(wù)，端口，服務(wù)程序的版本，系統(tǒng)的版本1弱窖碼帳號等:實(shí)施攻擊，手法有很多，要視收集的信息來決定利用的手法如：緩沖區(qū)溢出，密碼強(qiáng)打，字符串解碼，DoS攻擊等:留下后門或者木馬，以便再次利用:清除攻擊留下的痕跡包括痕跡記錄，審計(jì)日志等9邏輯炸彈是一段潛伏的程序，它以某種邏輯狀態(tài)為觸發(fā)條件，可以用來釋放病毒和蠕蟲或完成其他攻擊性功能，如破壞數(shù)據(jù)和燒毀芯片。它平時不起作用，只有當(dāng)系統(tǒng)狀態(tài)滿足觸發(fā)條件時才被激活。11郵件炸彈概念：發(fā)送大容量的垃圾郵件如

3、:KaBoom二二二二二To、FromServer拒收垃圾郵件、設(shè)置寄信地址黑名單(MailGuard)6CQ攻擊OICQ本地密碼OICQ使用明文傳輸黑客可監(jiān)聽信息內(nèi)容匚DenialofService-Do匚二向目標(biāo)主機(jī)發(fā)送大量數(shù)據(jù)包，導(dǎo)致主機(jī)不能響應(yīng)正常請求，導(dǎo)致癱瘓?jiān)谀繕?biāo)主機(jī)上放了木馬，重啟主機(jī)，引導(dǎo)木馬為完成IP欺詐，讓被冒充的主機(jī)癱瘓?jiān)谡竭M(jìn)攻之前，要使目標(biāo)主機(jī)的日志記錄系統(tǒng)無法正常工作拒絕服務(wù)攻擊的種類 Land PingofDeath SYNflood Dos/DDdos19在Land攻擊中F黑客利用二個特別打造的=SYN包“它的原地址和目標(biāo)地址都被設(shè)置成某一個服務(wù)器地址進(jìn)行攻擊。

4、此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時，在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢（大約持續(xù)五分鐘）。PingofdeathjICMP(lnternetControlMessageProtocol,Internet控制信息協(xié)議)在lnternet用于錯誤處理和傳遞控制信息。它的功能之一是與主機(jī)聯(lián)系,通過發(fā)送一個“回音請求”(echorequest)信息包看看主機(jī)是否“活著”。最普通的ping程序就是這個功能。而在TCP/IP的RFC文檔中對包的最大尺寸都有嚴(yán)格限制規(guī)定，許多操作系統(tǒng)的T

5、CP/IP協(xié)議棧都規(guī)定ICMP包大小為64KB,且在對包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)。PingofdeathPingofdeath就是故意產(chǎn)生畸形的測三試Ping包三聲稱自己的&超過二ICMP上限，也就是加載的尺寸超過64KB上限，使未釆取保護(hù)措施的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP協(xié)議棧崩潰，最終接收方宕機(jī)。什么是DoS/DdoS攻擊-攻擊者利用大量的數(shù)據(jù)包“淹沒”目標(biāo)主機(jī)，耗盡可用資源乃至系統(tǒng)崩潰，而無法對合法用戶作出響應(yīng)。-攻擊者利用因特網(wǎng)上成百上千的“Zombie”（僵尸）-即被利用主機(jī)，對攻擊目標(biāo)發(fā)動威力巨大的拒絕服務(wù)攻擊。DdoS攻

6、擊過程-黑；儔主控主機(jī)rWs被控主機(jī)2_3-JI園圍圍圍三21應(yīng)用服務(wù)器InternetJ宀IU/掃描程序g、：口人合法用戶艙Jh1V服空丄服仝肪f才IP欺騙攻擊23讓被信任主機(jī)癱瘓聯(lián)接目標(biāo)主機(jī)猜測ISN基值和增加規(guī)律將源地址偽裝成被信任主機(jī)，發(fā)送SYN數(shù)據(jù)段請求連接黑客等待目標(biāo)機(jī)發(fā)送ACK包給已經(jīng)癱瘓的主機(jī)黑客偽裝成被信任主機(jī)，發(fā)送SYN數(shù)據(jù)段給目標(biāo)主機(jī)建立連接IP碎片攻擊IPHeaderTCPHeaderjDATA.IIPHeader:.DATA.|IPHeaderDATAP碎片攻擊27只有第一徐段包含了主層協(xié)議信息三三三包過濾將丟棄第二個分段其他分段允許通過將在目的地被重組目的主機(jī)需等待

7、重傳不完全的包,最后返回一個“packetreassemblytimeexpired”信息可能被攻擊者利用作為DoS攻擊手段直接丟棄01左欺騙攻擊冒充DNSServer向域名解析請求發(fā)送錯誤的解析結(jié)果(JGJL、ASPWeb的非交互性，CGI、ASP的交互性內(nèi)功欺騙攻擊掃描器的功能簡介掃描器是網(wǎng)絡(luò)攻擊中最常用的工具，并不直接攻擊目標(biāo)，而是為攻擊提供信息掃描器至少應(yīng)有三種功能：發(fā)現(xiàn)一個主機(jī)或網(wǎng)絡(luò)的能力一旦發(fā)現(xiàn)，探測其存在的服務(wù)及對應(yīng)的端口；通過測試這些服務(wù)，發(fā)現(xiàn)漏洞編寫掃描器需要很多t卬/ip編程和c,perl和shell和socket編程的知識攻擊利用的掃描技術(shù)必須有很快的速度和很好的隱身能力

8、否則會被發(fā)現(xiàn)針對互連設(shè)備的攻擊網(wǎng)絡(luò)上的大部分設(shè)備如路由器和交換機(jī)大多支持Snmp網(wǎng)管協(xié)議，支持snmp的設(shè)備都維護(hù)著自己接口等運(yùn)行狀態(tài)的信息庫稱二為MIBS庫?，F(xiàn)行版本中網(wǎng)管端和設(shè)備間的通信只需經(jīng):過一個叫做community值的簡單驗(yàn)證，管理端提供readonly的community值時可以讀取該設(shè)備的常規(guī)運(yùn)行信息，如提供readwrite值時，這可以完全管理該設(shè)備。攻擊網(wǎng)絡(luò)互連設(shè)備的一條捷徑，而且不太被注意28Fcmp的安全驗(yàn)證機(jī)帝ij設(shè)備攻擊的形式攻擊者其它網(wǎng)絡(luò)對內(nèi)部37蠕蟲是一段獨(dú)立的可執(zhí)行程序，它可以通過計(jì)算機(jī)網(wǎng)絡(luò)把自身的拷貝（復(fù)制品）傳給其他的計(jì)算機(jī)。蠕蟲可以修改、刪除別的程序，但

9、它也可以通過瘋狂的自我復(fù)制來占盡網(wǎng)絡(luò)資源，從而使網(wǎng)絡(luò)癱瘓。蠕蟲攻擊技才蠕蟲技術(shù)是病毒和黑客攻擊手法的結(jié)合，包含兩者的技術(shù)，這種攻擊造成的后果比第一的黑客攻擊和病毒傳染要夫的多攻擊的第一步是掃描，找岀符合攻】擊漏洞的主機(jī)，這其中包括端口掃施弱性Is描0i?I蠕蟲攻擊技才實(shí)施攻擊，現(xiàn)在的手法大多是緩沖區(qū)溢岀和系統(tǒng)自身的解碼漏洞如Code一red的.ida/idq溢宙和Lion的wuftpd緩沖區(qū)溢出成功后在目標(biāo)主機(jī)上自我復(fù)制攻擊程-序，感變文件，瘋廷調(diào)用進(jìn)程。與茂起者$兌禺關(guān)系直接成另下一次攻擊發(fā)起者，換個網(wǎng)段繼續(xù)掃描，攻擊，以此類推，這種擴(kuò)散是最大的Codeed蠕蟲攻擊原理地址段D攻擊發(fā)起特洛伊

10、木馬概念：古希臘人同特洛伊人的戰(zhàn)爭二二非法駐留在目標(biāo)計(jì)算機(jī)里的執(zhí)行事先約定操作的危害：復(fù)制、更改、刪除文件，查獲密碼、口令,并發(fā)送到指定的信箱，監(jiān)視被控計(jì)算機(jī)。BO、國產(chǎn)木馬冰河查看注冊表：有無陌生項(xiàng)木馬技術(shù)攻擊者在成功侵占系統(tǒng)后往往會留下能夠以特殊端口監(jiān)聽用戶請求并且能夠繞過系統(tǒng)身份驗(yàn)證的進(jìn)程。改進(jìn)程在系統(tǒng)中運(yùn)行具有隱秘性質(zhì)，管理-員用常規(guī)的系統(tǒng)監(jiān)視工具不容易發(fā)現(xiàn)攻擊者利用該進(jìn)程可以方便的再次進(jìn)入系統(tǒng)而不用身份驗(yàn)證；攻擊者可以利用這個后門向新的目標(biāo)發(fā)起攻擊通?？刂贫撕湍抉R植入端的通信是加密處理的,很難發(fā)現(xiàn)常見的木馬工具 Netbus Bo2k Subseven Doly冰河管理員通過改變所有

11、密碼類似的方法來提高安全性；仍然能再次侵入大多數(shù)后門能躲過日志，大多數(shù)情況下，即使入侵者正在使用系統(tǒng)也無法顯示他在線的情況和記錄后門往往被反復(fù)利用來攻擊該主機(jī)，發(fā)現(xiàn)主機(jī)的變化，除掉新裝上的監(jiān)控系統(tǒng)后門攻擊對unix有很大的危害性密碼破解后門入侵者通過一個弱密碼和默認(rèn)密碼帳號進(jìn)行弱點(diǎn)攻擊取得了系統(tǒng)的控制權(quán)取得shadow文件和passwd文件，其中passwd文件的加密機(jī)制較弱，但對shadow二文件的破解技術(shù)也在發(fā)展攻擊者取得文件后crack密碼文件，擴(kuò)大戰(zhàn)果，造成主機(jī)系統(tǒng)的眾多用戶口令丟失優(yōu)點(diǎn)是管理員很難確定到底那個帳號被竊取了39聯(lián)網(wǎng)的Unix主機(jī)，像rsh和rlogin這樣的服務(wù)是基于r

12、hosts文件里的主機(jī)名的簡單驗(yàn)證攻擊者只需向可訪問的某用戶的主目錄的二rhosts文件中輸入“+”表示所有的主機(jī)均可以利用該帳號就可以無需口令進(jìn)入該帳號Home目錄通過NFS向外共享時，如權(quán)限設(shè)置有誤更容易成為攻擊的對象攻擊者更喜歡使用rsh這樣的工具，因?yàn)檫@種連接缺少日志記錄能力，不易被發(fā)現(xiàn)Uid是unix中的用戶標(biāo)志標(biāo)志用戶的身份和權(quán)限，suid途卡呈貝ij委示該建程歸該用戶紡二有，具有該用戶的身份權(quán)限二二=攻擊者通常通過溢岀和其他的手法取得root-權(quán)限，然后建用root身份屬主一個交件如chownroot.root/bin/ls;suid這個文件女口-chmod4755/bin/ls

13、;然后爾其參到一個不起眼的位置，這樣任何一個晉通用戶登陸導(dǎo)索繞后只要執(zhí)行該/bin/ls競可提弁到root身優(yōu)點(diǎn)：suid進(jìn)程在系統(tǒng)中有很多，但并不者B屬于root身份,很多是正常進(jìn)程，難以查找T一即便使用find/-perm4700-printogir回二Unix中，login程序通，常對telnet的用戶進(jìn)行驗(yàn)證,入侵者在取得最高權(quán)限后獲取login.c的源代碼修改，讓它在比較口令與存儲口令時先檢查后門口令，這樣攻擊者可以登錄系統(tǒng)不需系統(tǒng)的驗(yàn)證里由于后門口令是在用戶真實(shí)登陸之前進(jìn)行的，所以木會祓記隸至血tmp和wtmp日志的，厲以攻擊者可以獲得亞囘I而不暴露為了防止管理員使用strings

14、查找login文件的文本信息，新的手法會將后門口令部分加密缺點(diǎn)是如果管理員使用MD5校驗(yàn)的話，會被發(fā)現(xiàn)#用戶telnet到系統(tǒng)，監(jiān)聽端口的inetd服務(wù)接受聯(lián)接，隨后傳給in.telnetd,由他調(diào)用login進(jìn)程，在in.telnetd中也有對用戶的驗(yàn)證信息如登陸終端有Xterm,VT100等，但當(dāng)終端設(shè)為“l(fā)etmein”時就會產(chǎn)生一個不需要身份驗(yàn)證的shell來攻擊者知道管理員會檢查login程序，故會修改in.telnetd程序，將終端設(shè)為“l(fā)etmein”就可以輕易的做成后仃攻擊者需要在已占領(lǐng)的主機(jī)上存儲M些腳未工具，后門集，偵昉日志和sniffer信息等,為了防止被發(fā)現(xiàn)，故修改ls

15、,du,fsck以隱藏龍些文件手法是用專用的格式在硬盤上劃岀一塊，Z-向系統(tǒng)表示為壞扇區(qū)，而攻擊者會使用特定的工具訪問這些文件對于系統(tǒng)維護(hù)工具已被修改的管理員來說，發(fā)現(xiàn)這些問題是很困難的#攻擊者在獲得最高權(quán)限后，將自己編寫監(jiān)聽程序加載到系統(tǒng)中以一個很不起眼的高位端口監(jiān)阱二二二二二二二二攻擊者修改自己的argv()使他看起來像其他的進(jìn)程名攻擊者修改系統(tǒng)的ps進(jìn)程，使他不能顯示所有的進(jìn)程；攻擊者將后門程序嵌入中斷驅(qū)動程序使他不會在進(jìn)程表中顯現(xiàn)一個出名的例子：amod.tar.gz文件系統(tǒng)，進(jìn)程后門源1修改修改顯示進(jìn)程返回不存在后門進(jìn)程顯示文件返回不存在內(nèi)核后門是最新的技術(shù)，和以往的后門都有所不同，

16、他的修改和隱匿都體現(xiàn)在底層函數(shù)上面攻擊者直接修改系統(tǒng)調(diào)用列表sys_call_table將正常進(jìn)程的函數(shù)調(diào)用接口轉(zhuǎn)向?yàn)楣粽逬f入的內(nèi)核模塊接口，而不改變該進(jìn)程，這樣用戶執(zhí)行的命令調(diào)用如ls,du,ps等的最終調(diào)用結(jié)果是攻擊者的自-模塊現(xiàn)在的很多LKM技術(shù)的后門就是利用這個原理，這種技術(shù)用通常的檢測手法很難發(fā)現(xiàn)，檢查sys_call_table的接口謫用是自前唯一的蘇法著名的knark就是利用的這種技術(shù)痕跡清除技術(shù)攻擊系統(tǒng)過后，很多操作和行為都有可能被記錄日志，因?yàn)檫@些往往都和系統(tǒng)的安全策略有關(guān)系系統(tǒng)的安全策略會定義那些服務(wù)和行為必須記錄日志攻擊完后必須清除自己的行為可能被那些日志記錄找岀這些

17、日志文件，予以清除或修改Windows的日志W(wǎng)indows的日志主要是兩個方面，第=個是web等服務(wù)系統(tǒng)的訪|可日志，這其中包括等；第二個是系統(tǒng)的安全日志，由系統(tǒng)的二安全策略來指定服務(wù)系統(tǒng)的日志文件默認(rèn)情況下的權(quán)限給予較低，-一般用戶都可以清除，一這是一很大的問題Windows的服務(wù)日志如iis的日志是攻擊的主要對象，在現(xiàn)今的攻擊中體現(xiàn)的尤為充分Unix日志處理服務(wù)進(jìn)程都有自己的日志記錄如常用的web服務(wù)器apache,ftp服務(wù)器和sendmail服務(wù)等，這些服務(wù)器包都有自己的日志定制系統(tǒng)-Syslogd守護(hù)進(jìn)程定義的選項(xiàng)內(nèi)容，很多進(jìn)程如telnet等都是在syslogd進(jìn)程中定義的,攻擊者

18、查看syslog.conf就可發(fā)現(xiàn)有哪些進(jìn)程在定義范圍之內(nèi)49需要處理的日志舉例 Sulog:系統(tǒng)中所有的su操作 Lastlog:iS錄某用戶最后三次的登陸時間和ZUtmp：記錄以前登陸到系統(tǒng)中的所有用戶Wtmp:I記錄用戶登陸和退出的事件AccessJog:apache服務(wù)器的訪問訪問日志 .bash_history:shell記錄的用戶操作命令歷史 sh_history:shshell記錄的使用該shell的用戶硬作命令歷史清除的方法-使用重定向符“”可以予以清除如cat/var/log/wtmp;cat/var/log/utmp;SM除:日志太過于明顯，很容易讓管理員發(fā)現(xiàn)計(jì)算機(jī)被入侵了

19、刪除日志，一將整個日志文件刪除，屬于惡意的報(bào)復(fù)行為rm-rf/var/log/utmp使用特定的工具按照ip地址，用戶身份等條件篩選刪除，這是常用的方法531、網(wǎng)絡(luò)安全體系結(jié)構(gòu)管理安全應(yīng)用安全丿系統(tǒng)安全網(wǎng)絡(luò)互聯(lián)安全傳輸安全物理安全安全體務(wù)模型物理安全55傳輸安全地震、火災(zāi)、設(shè)備損壞、電源故障、被盜安全體系模型物理安全61管理安全應(yīng)用安全I(xiàn)nternet、系統(tǒng)系統(tǒng)安全內(nèi)網(wǎng)絡(luò)、系統(tǒng)外網(wǎng)絡(luò)互聯(lián)安全網(wǎng)絡(luò)、內(nèi)部局域人網(wǎng)誡魯網(wǎng)絡(luò)丿傳輸安全管理安全應(yīng)用安全系統(tǒng)安全網(wǎng)絡(luò)互聯(lián)安全傳輸安全操作系統(tǒng)的脆弱性、漏洞、錯誤管理安全應(yīng)用安全應(yīng)用軟件、數(shù)據(jù)庫，包括資源共享、Email病I毒等系統(tǒng)安全網(wǎng)絡(luò)互聯(lián)安全傳輸安全管理

20、安全應(yīng)用安全系統(tǒng)安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全管理員權(quán)限、口令、錯誤操作、資源亂用、內(nèi)部攻擊、內(nèi)部泄密物理安全65技術(shù)措施管理安全應(yīng)用安全丿系統(tǒng)安全網(wǎng)絡(luò)互聯(lián)安全傳輸安全物理安全技術(shù)措施網(wǎng)絡(luò)互聯(lián)安全物理安全#傳輸安全設(shè)備冗余、線路冗余、數(shù)據(jù)備份管理安全應(yīng)用安全系統(tǒng)安全網(wǎng)絡(luò)互聯(lián)安全傳輸安全物理安全管理安全應(yīng)用安全系統(tǒng)安全網(wǎng)絡(luò)互聯(lián)安全傳輸安全技術(shù)措施漏洞掃描、入侵檢測、病毒防護(hù)物理安全69管理安全應(yīng)用安全系統(tǒng)安全網(wǎng)絡(luò)互聯(lián)安全傳輸安全管理安全應(yīng)用安全系統(tǒng)安全網(wǎng)絡(luò)互聯(lián)安全傳輸安全技術(shù)措施認(rèn)證、訪問控制及授權(quán)三、網(wǎng)絡(luò)安全整體防護(hù)思路71信息網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性增加最大容積取決于最短的木快攻擊者三最易滲透原則”目標(biāo)：

21、提高整個系統(tǒng)的“安全最低點(diǎn)”O(jiān)最大容積取決于最短的木快攻擊者“最易滲透原則目標(biāo)：提咼整個系統(tǒng)的“安全最低點(diǎn)”O(jiān)木桶原則木桶原則71動態(tài)性原則安全是相對的，不可能三勞永逸；道高一尺，魔高一丈；3安壟策略不斷變化完善；三三三一安全投入不斷增加（總投入的30%）o2002年8月下旬，杜守志在南寧市拾到一張戶名為黃某某在建行廣西分行開戶的醫(yī)療保險(xiǎn)IC復(fù)合卡，并于8月29日至9月24日在銀行交易系統(tǒng)識別錯誤的情況下，輸入“123456”為密碼，連續(xù)從多家銀行的ATM機(jī)上，分別支取300余筆現(xiàn)金，合計(jì)人民幣66210-一一安全事件成因翳IC卡丟失管理問題輸入密碼123456密碼的脆弱性卡上沒錢能取錢,并且

22、取多少增加多應(yīng)用軟件存在漏洞半小時取7萬元,一個下午取出17萬元異常行為審計(jì)的脆弱性（未作單位時間內(nèi)的最高取款額的限制）一名普通的系統(tǒng)維護(hù)人員，輕松破解數(shù)道密碼，進(jìn)入郵政儲蓄網(wǎng)絡(luò),盜走83.5萬元。郵政儲蓄使用的是專用的網(wǎng)絡(luò)，和互聯(lián)網(wǎng)物理隔絕；網(wǎng)絡(luò)使用了防火墻系統(tǒng)；從前臺分機(jī)到主機(jī)，其中有數(shù)道密碼保護(hù)。安全事件成因分析安全事件原因私搭電纜，從來沒有人過問郵政儲蓄網(wǎng)點(diǎn)竟然一直使用原始密碼，沒有定期更改，也沒有在工作人員之間互相保密-遠(yuǎn)程登錄訪問臨洸太石郵政儲蓄所的計(jì)算機(jī)破譯對方密碼之后進(jìn)入操作系統(tǒng)以營業(yè)員身份向自8個活期賬戶存入了83.5萬元的現(xiàn)金，并在退出系統(tǒng)前，刪除了營業(yè)計(jì)算機(jī)的打印操作系統(tǒng)

23、，造成機(jī)器故障。管理問題密碼的管理問題內(nèi)部網(wǎng)縱向之間未釆用防火墻隔離密碼脆弱性幾天后還在提取現(xiàn)金異常行為審計(jì)、報(bào)警機(jī)制、應(yīng)急措施不完善事前檢測：隱患掃描通過模擬黑客的進(jìn)攻手法，先于黑客發(fā)現(xiàn)并彌補(bǔ)漏洞，防患于未然。也稱為漏洞掃描、脆弱性分析、安全評估。75網(wǎng)絡(luò)結(jié)構(gòu)#入侵檢測產(chǎn)品的部署i防病毒產(chǎn)品的部署#加密傳輸產(chǎn)品的部署身份認(rèn)證（3AJ產(chǎn)品的部署3A：認(rèn)證確認(rèn)身份,#85inMt宓士口防火墻)u17九J斥廠7/尸丄珈公司公伺總部分公司:IWHBHHBHHHHIr；.;JHaHBMHMHV.Java、CookiesJavaScript的入侵。1030SI模型的第一層:/0SI模型的第二層:0SI模

24、型的第三層:0SI模型的第四層:0SI模型的第五層:0SI模型的第六層:0SI模型的第七層:?IKMTII.1k.l11KJwLJflKJ-*嚀輕制.尸=網(wǎng)卡控制技術(shù)；MAC過濾防火墻；智能包過濾(IntelligentPacketFilter)；協(xié)議改造技術(shù)(ProtocolNormalization)；會話控制技術(shù)；表現(xiàn)控制技術(shù)；應(yīng)用控制技術(shù)。蟲鶴6翱蹩用安全操作系統(tǒng)內(nèi)核級的工作模式匚使防火墻廠偽仙HlTP/IPWhi7出ILJ11JJ7III/JI兀鵲唯魏麴鶴響棧能夠有效防范ODDOS源路V內(nèi)置入侵檢測模塊飜艦撕躍為客戶提供更加廣泛和全面的攻擊防范、日志查證防范惡意代碼產(chǎn)品特金（可獷展）

25、可擴(kuò)滾性v禁龐VPN；漠塊:丿并支持請三方釣加密專1. 支持移動用戶遠(yuǎn)程撥入，實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)資源安全訪問。2. 可以為用戶提供全功能的網(wǎng)關(guān)到網(wǎng)關(guān)VPN解決方案。3. 支持國密辦許可的加密卡，提供高安全保障。V匕設(shè)芻丁冥觀多岡口支持1. 標(biāo)配4或6個網(wǎng)口，滿足大多數(shù)網(wǎng)絡(luò)環(huán)境需求。2. 模塊化結(jié)構(gòu)設(shè)計(jì)，最多支持10個網(wǎng)卡接口，適應(yīng)多種網(wǎng)絡(luò)環(huán)境?？膳c山3等炙士產(chǎn)品滋動1. 與國內(nèi)領(lǐng)先的IDS產(chǎn)品實(shí)現(xiàn)聯(lián)動，如啟明星辰、金諾網(wǎng)安等。2. 支持國際領(lǐng)先的OPENSEC聯(lián)動協(xié)議,如冠群金辰等。支#各漓回絡(luò)協(xié)議制應(yīng)用協(xié)級1. 支持路由協(xié)議OSPF、RIP、RIPII、策略路由、DNS、DHCP等。2. 支持V

26、LAN802.1Q和視頻點(diǎn)播、H.323等應(yīng)用協(xié)議過濾。105產(chǎn)品特色（髙可用性丿107請求采用兩臺防少墻以主戻方式工作，實(shí)現(xiàn)故障切換的功能網(wǎng)絡(luò)是否必須2業(yè)7的不間斷運(yùn)行?客戶機(jī)客戶機(jī)客戶機(jī)知解決辦法一心跳互動主黑客愁從黑客愁請求請求穩(wěn)定.可靠卜、24x7應(yīng)用服務(wù)器集群帶寬管理*分級帶寬管理W理直觀簡便；*可粗可細(xì)帶寬分配;外網(wǎng)丨瀏覽客戶機(jī)組可對慕些網(wǎng)億可對第個部門的連續(xù)p地址玫也可對離散的筈戶削多個p地址；3細(xì)可以到每一QP地址；客戶機(jī)劉內(nèi)網(wǎng)視頻應(yīng)用服務(wù)器106帶寬管理規(guī)則庫I下載Web服務(wù)器Ftp服務(wù)器;儀機(jī)熱備份保證系統(tǒng)的可用，無需手工插拔內(nèi)自動完成切換觀內(nèi)部用戶和外部用戶完全透明無需任

27、何配置請求隔離網(wǎng)閘實(shí)現(xiàn)的目標(biāo)五、物理隔離網(wǎng)閘介紹X-GAP技術(shù)在設(shè)計(jì)上主要是為了解決目前網(wǎng)絡(luò)安全設(shè)備中存在的四個主要難題：A第一，阻斷內(nèi)外網(wǎng)絡(luò)的任何網(wǎng)絡(luò)通信協(xié)議f的連接。A第二，抵御任何基于TCP/IP的已知和未知的網(wǎng)絡(luò)攻擊，特別是DoS/DDoS攻擊。A第三，抵御基于操作系統(tǒng)平臺漏洞或后門的攻擊。A第四，阻斷內(nèi)外網(wǎng)絡(luò)的直接連接，保護(hù)安全設(shè)備的安全策略。中網(wǎng)隔離網(wǎng)閘構(gòu)成E109分別連接在內(nèi)網(wǎng)機(jī)和外網(wǎng)機(jī)的主板刃扁別連接在函I上，用于內(nèi)網(wǎng)機(jī)和外網(wǎng)機(jī)的輸入輸出。隔離網(wǎng)閘構(gòu)成快速的在兩個處理單元之間交換、wLrT數(shù)據(jù)。:接收外部的請求，解析出應(yīng)用協(xié)議，過濾數(shù)據(jù)內(nèi)容，保證數(shù)據(jù)中不包含危險(xiǎn)命令。mu:通過

28、傳輸層軟件模塊接收外部處理單元傳入的請求和數(shù)據(jù)，解析出應(yīng)用協(xié)議，過濾數(shù)據(jù)內(nèi)容，保證數(shù)據(jù)中不包含危險(xiǎn)命令。一二；一確保連接網(wǎng)閘X-GAP設(shè)備上的兩個網(wǎng)絡(luò)在任何時候鏈路層均是斷開的，沒有鏈路連接；W：TCP/IP協(xié)議必須被阻斷、被剝離，將原始數(shù)據(jù)通過P2P非TCP/IP的連接透過網(wǎng)閘設(shè)備X-GAP傳遞，沒有通信連接、沒有網(wǎng)絡(luò)連接、沒有應(yīng)用連接、完全阻斷；立用代理ISllB任何數(shù)據(jù)交流均通過兩級代理的方式來完成，兩級代理之間是通過開關(guān)系統(tǒng)實(shí)現(xiàn)信息交流的；11311!網(wǎng)隔離網(wǎng)閘X-GAP的特征輕川r全策略的內(nèi)咅暉制網(wǎng)閘G眄內(nèi)外協(xié)鄉(xiāng)劇離后曇數(shù)據(jù)挖巴網(wǎng)閘X-GAP外網(wǎng)內(nèi)置防DoS/DDoS模塊，抗攻擊、防

29、掃描、防入侵、防篡改、防破壞、防欺騙，同時系統(tǒng)提供完備的日志、審計(jì)功能。115協(xié)，議處理圖117TCPPetosld宓IPRawDataProrocolriSDecnonIPTCP文件擺渡TGP/JP協(xié)議理圖OSI第七層之外B/S會話5至7層TCP會話工4層00000)IP包,3層B/S會話5至7層CTTTTOTCP會話CTTTTD4層0000)IP包，3層121開關(guān)系統(tǒng)是通過SCSI控制系統(tǒng)來實(shí)現(xiàn)的。 SCSI控制系統(tǒng)作為網(wǎng)閘的開關(guān)系統(tǒng)是國際公認(rèn)的、的技 X-GAP將SCSI開關(guān)功能在系統(tǒng)的內(nèi)核中實(shí)現(xiàn)，遠(yuǎn)遠(yuǎn)優(yōu)手其它常見的開關(guān)技杠國內(nèi)唯一實(shí)現(xiàn)基于SCSI開關(guān)技術(shù)的安全公司。CIntranetS1m二0在伯?何吋巾死K1禾口K2不可能同吋扌妾重，其彳也的三利晴況為：K2【析開；K1I祈開，K2接通；K1斷開，K2也斷開。號u丿匚匚1嚴(yán)+士不7廠匚IT廠IVI匸|二最小開關(guān)切換時間匸125ns；二網(wǎng)閘擺渡數(shù)據(jù)速率248Mbps；百兆帶寬網(wǎng)閘吞吐量：80Mbps；設(shè)計(jì)的最大并發(fā)連接數(shù)：8192個；網(wǎng)閘內(nèi)部最大帶寬：5120Mbit/s(5G)；接口數(shù)量：支持24個網(wǎng)絡(luò)接口；在性能方面達(dá)到了同期國際主要廠商同類產(chǎn)品的水平.產(chǎn)品功能模塊由外部主機(jī)、內(nèi)部主機(jī)和開關(guān)系統(tǒng)組成。外部主機(jī)連接外網(wǎng)，內(nèi)部主機(jī)連接內(nèi)