增強網(wǎng)絡(luò)安全性課件

第18章增強網(wǎng)絡(luò)安全性第18章增強網(wǎng)絡(luò)安全性在網(wǎng)絡(luò)建設(shè)和維護中，網(wǎng)絡(luò)安全成為了一個不可或缺的部分。網(wǎng)絡(luò)安全的范圍十分廣泛，包括了網(wǎng)絡(luò)的方方面面。本章首先對網(wǎng)絡(luò)安全進行概括性的闡述，隨后著重介紹增強網(wǎng)絡(luò)安全的幾個主要部分，包括業(yè)務(wù)隔離、訪問控制、認證授權(quán)、傳輸安全和安全防御等。引入在網(wǎng)絡(luò)建設(shè)和維護中，網(wǎng)絡(luò)安全成為了一個不可或缺的部分。網(wǎng)絡(luò)安了解網(wǎng)絡(luò)安全的內(nèi)容理解業(yè)務(wù)隔離、訪問控制和防御網(wǎng)絡(luò)攻擊的手段應(yīng)用狀態(tài)檢測防火墻技術(shù)對網(wǎng)絡(luò)設(shè)備進行安全加固課程目標學(xué)習(xí)完本課程，您應(yīng)該能夠：了解網(wǎng)絡(luò)安全的內(nèi)容課程目標學(xué)習(xí)完本課程，您應(yīng)該能夠：網(wǎng)絡(luò)安全概述業(yè)務(wù)隔離訪問控制認證與授權(quán)傳輸安全安全防御目錄網(wǎng)絡(luò)安全概述目錄非法用戶接入網(wǎng)絡(luò)內(nèi)部獲取信息SMTPPOP3WEBERPOA數(shù)據(jù)中心隨便就能接進來，查點機密CRM市場研發(fā)財務(wù)非法用戶接入網(wǎng)絡(luò)內(nèi)部獲取信息SMTPPOP3WEBERPOA外部網(wǎng)絡(luò)攻擊造成網(wǎng)絡(luò)癱瘓大量偽源IP訪問請求每秒上萬個?。?！偽源IP訪問請求DNS、FTP、WEB服務(wù)器受害主機受感染終端受感染終端受感染終端受感染終端受感染終端發(fā)送指令：攻擊開始！外部網(wǎng)絡(luò)攻擊造成網(wǎng)絡(luò)癱瘓大量偽源IP訪問請求偽源IP訪問請求傳輸過程中截取篡改數(shù)據(jù)中心站點分支機構(gòu)合作伙伴移動用戶SOHO用戶我修改一下再發(fā)出去POPInternet傳輸過程中截取篡改數(shù)據(jù)中心站點分支機構(gòu)合作伙伴移動用戶SOH網(wǎng)絡(luò)安全威脅的來源按照網(wǎng)絡(luò)安全威脅存在的位置來劃分：來自于網(wǎng)絡(luò)內(nèi)部的安全威脅來自于網(wǎng)絡(luò)外部的安全威脅來自于數(shù)據(jù)傳輸過程中的安全威脅從網(wǎng)絡(luò)層次、業(yè)務(wù)或應(yīng)用角度來分析：來自于設(shè)備自身物理上安全威脅來自于網(wǎng)絡(luò)層的安全威脅來自于應(yīng)用層的安全威脅來自于病毒的安全威脅來自于安全制度漏洞帶來的威脅網(wǎng)絡(luò)安全威脅的來源按照網(wǎng)絡(luò)安全威脅存在的位置來劃分：網(wǎng)絡(luò)安全關(guān)注的內(nèi)容有效的訪問控制有效識別合法的和非法的用戶有效的防偽手段，重要的數(shù)據(jù)重點保護內(nèi)部網(wǎng)絡(luò)的隱蔽性外網(wǎng)攻擊的防護內(nèi)外網(wǎng)病毒防范行之有效的安全管理手段網(wǎng)絡(luò)安全關(guān)注的內(nèi)容有效的訪問控制訪問控制基于數(shù)據(jù)流的訪問控制根據(jù)數(shù)據(jù)包信息進行數(shù)據(jù)分類不同的數(shù)據(jù)流采用不同的策略

基于用戶的訪問控制對于接入服務(wù)用戶，設(shè)定特定的過濾屬性訪問控制基于數(shù)據(jù)流的訪問控制用戶識別對接入用戶的認證內(nèi)網(wǎng)接入用戶的認證和授權(quán)遠程接入用戶的認證和授權(quán)網(wǎng)絡(luò)設(shè)備本身的認證訪問設(shè)備時的身份認證授權(quán)路由信息的認證用戶識別對接入用戶的認證數(shù)據(jù)加密和防偽數(shù)據(jù)加密利用公網(wǎng)傳輸數(shù)據(jù)不可避免地面臨數(shù)據(jù)竊聽的問題傳輸之前進行數(shù)據(jù)加密，保證只有與之通信的對端能夠解密數(shù)據(jù)防偽報文在傳輸過程中，有可能被攻擊者截獲、篡改接收端需要進行數(shù)據(jù)完整性鑒別數(shù)據(jù)加密和防偽數(shù)據(jù)加密內(nèi)部網(wǎng)絡(luò)的隱蔽性、攻擊防護和病毒防范內(nèi)部網(wǎng)絡(luò)的隱蔽性隱藏私網(wǎng)內(nèi)部地址，有效的保護內(nèi)部主機允許內(nèi)網(wǎng)用戶向外發(fā)起連接，禁止外網(wǎng)用戶對內(nèi)網(wǎng)發(fā)起連接攻擊防護對外網(wǎng)各類攻擊的有效防護病毒防范對于外網(wǎng)病毒傳入的防范對于內(nèi)網(wǎng)病毒發(fā)作的抑止內(nèi)部網(wǎng)絡(luò)的隱蔽性、攻擊防護和病毒防范內(nèi)部網(wǎng)絡(luò)的隱蔽性安全管理保證重要的網(wǎng)絡(luò)設(shè)備處于安全的運行環(huán)境，防止人為破壞保護好訪問口令、密碼等重要的安全信息在網(wǎng)絡(luò)上實現(xiàn)報文審計和過濾，提供網(wǎng)絡(luò)運行的必要信息制定完善的管理制度，并確保制度得到良好的執(zhí)行安全管理保證重要的網(wǎng)絡(luò)設(shè)備處于安全的運行環(huán)境，防止安全網(wǎng)絡(luò)需要具備的條件能夠確保網(wǎng)絡(luò)內(nèi)部用戶的安全接入，控制內(nèi)部用戶的訪問權(quán)限能夠防范來自外部的攻擊等安全威脅能夠確保傳輸過程中的數(shù)據(jù)安全整個網(wǎng)絡(luò)擁有完善的安全管理制度安全網(wǎng)絡(luò)需要具備的條件能夠確保網(wǎng)絡(luò)內(nèi)部用戶的安全接網(wǎng)絡(luò)內(nèi)部的安全保障SMTPPOP3WEBERPOA數(shù)據(jù)中心CRM市場研發(fā)財經(jīng)接入用戶的認證內(nèi)部病毒攻擊的抑止嚴格的訪問控制網(wǎng)絡(luò)內(nèi)部的安全保障SMTPPOP3WEBERPOA數(shù)據(jù)中心C安全接入Internet網(wǎng)絡(luò)出口啟用相應(yīng)的安全防護手段通過地址轉(zhuǎn)換訪問Internet，通過地址轉(zhuǎn)換向外提供WWW、FTP等服務(wù)Internet地址轉(zhuǎn)換安全接入Internet網(wǎng)絡(luò)出口啟用相應(yīng)的安全防護手數(shù)據(jù)傳輸?shù)陌踩霾顔T工通過當(dāng)?shù)豂SP接入到Internet，進而通過VPN接入公司總部辦事處及分支機構(gòu)通過隧道實現(xiàn)與總部的互聯(lián)，所有的數(shù)據(jù)均被加密傳送InternetVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)總部網(wǎng)絡(luò)出差員工分支機構(gòu)數(shù)據(jù)傳輸?shù)陌踩霾顔T工通過當(dāng)?shù)豂SP接入到Inte完善安全管理制度完善的安全管理制度要滿足以下條件對于日常工作中遇到的各個方面的安全相關(guān)內(nèi)容，事無巨細，均設(shè)定明確的安全要求對于遵守和違反安全制度的行為有著獎懲制度安全制度本身能夠不斷更新完善完善安全管理制度完善的安全管理制度要滿足以下條件網(wǎng)絡(luò)安全概述業(yè)務(wù)隔離訪問控制認證與授權(quán)傳輸安全安全防御目錄網(wǎng)絡(luò)安全概述目錄為什么要進行局域網(wǎng)的隔離市場研發(fā)財經(jīng)市場研發(fā)財經(jīng)市場研發(fā)財經(jīng)如何確保統(tǒng)一局域網(wǎng)內(nèi)各業(yè)務(wù)部門的相對獨立如何確保上網(wǎng)用戶之間的互不干擾為什么要進行局域網(wǎng)的隔離市場研發(fā)財經(jīng)市場研發(fā)財經(jīng)市場研發(fā)財經(jīng)局域網(wǎng)業(yè)務(wù)隔離技術(shù)局域網(wǎng)的業(yè)務(wù)隔離最常用的方式是使用VLAN隔離VLAN的擴展技術(shù)也是常用手段，如：PVLANSuperVLAN混合端口局域網(wǎng)業(yè)務(wù)隔離技術(shù)局域網(wǎng)的業(yè)務(wù)隔離最常用的方式是使用VLAN為什么要進行廣域網(wǎng)業(yè)務(wù)隔離當(dāng)業(yè)務(wù)數(shù)據(jù)通過公有廣域網(wǎng)傳遞的時候，如何保障其獨立性合作伙伴出差員工辦事處總部分支機構(gòu)辦事處Internet為什么要進行廣域網(wǎng)業(yè)務(wù)隔離當(dāng)業(yè)務(wù)數(shù)據(jù)通過公有廣域網(wǎng)傳遞的時候廣域網(wǎng)業(yè)務(wù)隔離技術(shù)——物理隔離為每個部門或每種業(yè)務(wù)配置單獨的物理線路。辦事處總部分支機構(gòu)分支機構(gòu)Internet廣域網(wǎng)業(yè)務(wù)隔離技術(shù)——物理隔離為每個部門或每種業(yè)務(wù)配置單獨的廣域網(wǎng)業(yè)務(wù)隔離技術(shù)——邏輯隔離廣域網(wǎng)的業(yè)務(wù)隔離可以采用VPN技術(shù)來實現(xiàn)，即為每個部門或每種業(yè)務(wù)配置單獨的隧道。隧道種類包括：二層隧道技術(shù)主要有VPDN三層隧道技術(shù)主要有GRE和IPSec全網(wǎng)狀隧道主要有MPLS-VPN廣域網(wǎng)業(yè)務(wù)隔離技術(shù)——邏輯隔離廣域網(wǎng)的業(yè)務(wù)隔離可以采用VPN網(wǎng)絡(luò)安全概述業(yè)務(wù)隔離訪問控制認證與授權(quán)傳輸安全安全防御目錄網(wǎng)絡(luò)安全概述目錄為什么要進行訪問控制需要嚴格限制每一類用戶的相應(yīng)權(quán)限服務(wù)器部門A部門BIntranetInternet為什么要進行訪問控制需要嚴格限制每一類用戶的相應(yīng)權(quán)限服務(wù)器部訪問控制的實現(xiàn)手段通常情況下使用ACL來實現(xiàn)訪問控制2層流分類3/4層流分類通常情況下在以下地方部署ACL用戶接入網(wǎng)絡(luò)的入口區(qū)域的交匯處訪問控制的實現(xiàn)手段通常情況下使用ACL來實現(xiàn)訪問控制包過濾防火墻技術(shù)工作原理檢查項IP包的源地址IP包的目的地址TCP/UDP源端口IP包檢測包頭檢查路由安全策略：過濾規(guī)則路由表包過濾轉(zhuǎn)發(fā)符合不符合丟棄包過濾防火墻技術(shù)工作原理檢IP包的源地址IP包的目的地址狀態(tài)檢測防火墻技術(shù)工作原理IP包檢測包頭下一步處理安全策略：過濾規(guī)則會話連接狀態(tài)緩存表狀態(tài)檢測符合不符合丟棄符合檢查項IP包的源、目的地址、端口TCP會話的連接狀態(tài)上下文信息狀態(tài)檢測防火墻技術(shù)工作原理IP包檢測包頭下一步安全策略：過狀態(tài)檢測防火墻功能常用配置命令啟動防火墻置創(chuàng)建一個ASPF策略在一個接口的指定方向上應(yīng)用ASPF策略[Router]firewallenable{all|slotslot-number}[Router]aspf-policy

aspf-policy-number

[Router-Ethernet0]firewallaspfaspf-policy-number

{inbound|outbound}狀態(tài)檢測防火墻功能常用配置命令啟動防火墻置[Ro狀態(tài)檢測防火墻功能常用維護命令顯示一個特定ASPF策略顯示ASPF的會話信息[Router]displayaspfpolicyaspf-policy-number

[Router]displayaspfsession[verbose]狀態(tài)檢測防火墻功能常用維護命令顯示一個特定ASPF狀態(tài)檢測防火墻功能配置示例在路由器上配置一個ASPF策略，檢測通過防火墻的FTP和HTTP流量。要求：如果報文是內(nèi)部網(wǎng)絡(luò)用戶發(fā)起的FTP和HTTP連接的返回報文，則允許其通過防火墻進入內(nèi)部網(wǎng)絡(luò)；其他報文被禁止。InternetS1/0E1/0狀態(tài)檢測防火墻功能配置示例在路由器上配置一個ASPF策略，狀態(tài)檢測防火墻功能配置示例（續(xù)）InternetS1/0E1/0[Router]firewallenable[Router]aclnumber3111[Router-acl-adv-3111]ruledenyip[Router]aspf-policy1[Router-aspf-policy-1]detectftpaging-time3000[Router-aspf-policy-1]detecthttpaging-time3000[Router-Serial1/0]firewallaspf1outbound[Router-Serial1/0]firewallpacket-filter3111inbound狀態(tài)檢測防火墻功能配置示例（續(xù)）InternetS1/0E1網(wǎng)絡(luò)安全概述業(yè)務(wù)隔離訪問控制認證與授權(quán)傳輸安全安全防御目錄網(wǎng)絡(luò)安全概述目錄AAA框架認證（Authentication）授權(quán)（Authorization）計費（Accounting）AAA框架認證（Authentication）用戶接入認證授權(quán)用戶有著多種接入認證授權(quán)方式本地認證授權(quán)RADIUS認證授權(quán)CA認證授權(quán)用戶直接發(fā)起連接總部用戶直接發(fā)起連接用戶RADIUS認證RADIUS用戶接入認證授權(quán)用戶有著多種接入認證授權(quán)方式用戶直登錄設(shè)備認證授權(quán)登錄設(shè)備有著多種接入認證授權(quán)方式本地認證授權(quán)RADIUS認證授權(quán)用戶登錄設(shè)備本地認證登錄設(shè)備認證授權(quán)登錄設(shè)備有著多種接入認證授權(quán)方式用戶設(shè)備間協(xié)議認證設(shè)備間的協(xié)議認證大多采用本地認證本地認證本地認證BGP鄰居設(shè)備間協(xié)議認證設(shè)備間的協(xié)議認證大多采用本地認證本地網(wǎng)絡(luò)安全概述業(yè)務(wù)隔離訪問控制認證與授權(quán)傳輸安全安全防御目錄網(wǎng)絡(luò)安全概述目錄保證數(shù)據(jù)機密性和完整性確保數(shù)據(jù)的機密性，即防止數(shù)據(jù)被未獲得授權(quán)的查看者理解對稱密鑰加密和非對稱密鑰加密確保數(shù)據(jù)的完整性，即發(fā)覺數(shù)據(jù)是否被篡改摘要算法和數(shù)字簽名保證數(shù)據(jù)機密性和完整性確保數(shù)據(jù)的機密性，即防止數(shù)據(jù)被網(wǎng)絡(luò)安全概述業(yè)務(wù)隔離訪問控制認證與授權(quán)傳輸安全安全防御目錄網(wǎng)絡(luò)安全概述目錄使用NAT進行安全防御使用NAT進行安全防御的好處實現(xiàn)內(nèi)部主機的隱藏有效阻斷內(nèi)外網(wǎng)的路由，禁止外部主機直接訪問內(nèi)部網(wǎng)絡(luò)使用NAT進行安全防御使用NAT進行安全防御的好處應(yīng)用層攻擊及其防御

應(yīng)用層攻擊大多是利用軟件的漏洞進行攻擊。SQL注入攻擊應(yīng)用層的攻擊防御一般依靠部署IPS/UTM來完成根據(jù)攻擊的特征在IPS/UTM上開啟相應(yīng)的特征庫進行檢測根據(jù)需要對于攻擊報文采取阻斷、告警、記錄等動作。路由器交換機IPS/UTM內(nèi)部網(wǎng)絡(luò)Internet應(yīng)用層攻擊及其防御應(yīng)用層攻擊大多是利用軟件的漏洞進行攻畸形報文攻擊及其防御典型畸形報文攻擊TearDorp攻擊、Pingofdeath攻擊、畸形TCP報文攻擊畸形報文攻擊一般有較為明顯的特征，可根據(jù)特征進行分辨，對于攻擊進行防范防范pingofdeath攻擊：檢測Ping請求報文的長度是否超過65535字節(jié)，若超過，則直接丟棄防范TearDrop攻擊：緩存分片信息，每一個源、目的IP、報文ID相同的構(gòu)成一組，在緩存的組數(shù)達到最大時，直接丟棄后續(xù)分片，同時根據(jù)緩存的分片信息，分析IP報文分段的合法性，直接丟棄不合法的IP報文畸形報文攻擊及其防御典型畸形報文攻擊DoS攻擊DoS攻擊舉例——SYNFlood攻擊TCPconnect攻擊者受害者大量的TCPconnect這么多需要處理？不能建立正常的連接TCPconnectTCPconnectTCPconnectTCPconnect正常用戶TCPconnectDoS攻擊DoS攻擊舉例——SYNFloodDoS攻擊防御通過SynCookie機制防范SynFlood攻擊。通過限制單個源地址的每秒連接數(shù)來防范ConnectionFlood攻擊。通過流量閾值模型、反向認證等方式來防范UDPFlood、ICMPFlood、HTTPGetFlood、DNSFlood等DDoS攻擊。通過攻擊特征規(guī)則檢測可發(fā)現(xiàn)常見DoS攻擊工具的控制報文，從而切斷DoS攻擊工具的控制通道。DoS攻擊防御通過SynCookie機制防范Sy設(shè)備安全加固概述現(xiàn)有網(wǎng)絡(luò)上設(shè)備的安全威脅包括：對設(shè)備登錄權(quán)限的安全威脅對設(shè)備管理權(quán)限的安全威脅對設(shè)備本身系統(tǒng)的攻擊對設(shè)備資源（如MAC表，ARP表）的安全威脅網(wǎng)絡(luò)設(shè)備是整個網(wǎng)絡(luò)的基礎(chǔ)，如果網(wǎng)絡(luò)設(shè)備的安全無法保障，網(wǎng)絡(luò)安全更無從談起設(shè)備安全加固概述現(xiàn)有網(wǎng)絡(luò)上設(shè)備的安全威脅包括：設(shè)備登錄權(quán)限安全加固常用手段設(shè)備登錄用戶權(quán)限分級，加強口令安全[Router]local-userh3c[Router-luser-h3c]passwordcipherXXXX[Router-luser-h3c]

service-typetelnetlevel1[Router]user-interfacecon0[Router-ui-con0]setauthenticationpasswordcipherXXXX[Router-ui-con0]authentication-modepassword[Router]user-interfacevty04[Router-ui-vty0-4]authentication-modescheme設(shè)備登錄權(quán)限安全加固常用手段設(shè)備登錄用戶權(quán)限分級，加設(shè)備管理權(quán)限安全加固常用手段將設(shè)備納入網(wǎng)管，確保讀寫團體字的安全，開啟Trap功能[Router]snmp-agent[Router]snmp-agentsys-infoversionv2c[Router]snmp-agentcommunitywriteXXX[Router]snmp-agentcommunityreadXXX[Router]snmp-agenttrapenable[Router]snmp-agenttarget-hosttrapaddressudp-domainparamssecuritynameXXX[Router]snmp-agenttrapsourceLoopback0設(shè)備管理權(quán)限安全加固常用手段將設(shè)備納入網(wǎng)管，確保設(shè)備管理安全加固常用手段限制能夠管理設(shè)備的IP地址，包括網(wǎng)管和遠程登錄[Router]aclnumber2001[Router-acl2001]rule1permitsource55[Router]snmp-agent[Router]snmp