第07章+網(wǎng)絡(luò)安全設(shè)計_第1頁
第07章+網(wǎng)絡(luò)安全設(shè)計_第2頁
第07章+網(wǎng)絡(luò)安全設(shè)計_第3頁
第07章+網(wǎng)絡(luò)安全設(shè)計_第4頁
第07章+網(wǎng)絡(luò)安全設(shè)計_第5頁
已閱讀5頁,還剩132頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

第7章網(wǎng)絡(luò)安全設(shè)計7.1網(wǎng)絡(luò)安全體系與技術(shù)7.2防火墻與DMZ設(shè)計【重點】7.3網(wǎng)絡(luò)安全設(shè)計技術(shù)【重點】7.4網(wǎng)絡(luò)物理隔離設(shè)計17.1網(wǎng)絡(luò)安全體系與技術(shù)27.1網(wǎng)絡(luò)安全體系與技術(shù)7.1.1網(wǎng)絡(luò)安全故障案例分析網(wǎng)絡(luò)安全性是指在人為攻擊或自然破壞作用下,網(wǎng)絡(luò)在規(guī)定條件下生存的能力。網(wǎng)絡(luò)安全設(shè)計往往是多種方法綜合的結(jié)果。37.1網(wǎng)絡(luò)安全體系與技術(shù)1.519網(wǎng)絡(luò)故障事件【案例7-1】2009年5月19日晚,一個游戲“私服”網(wǎng)站對它的競爭對手發(fā)動攻擊,黑客對國內(nèi)最大的免費域名服務器DNSpod進行了攻擊,大流量攻擊導致DNSpod服務中止,運行在DNSpod免費服務器上的10萬個域名無法解析,由于DNSpod的DNS服務完全中斷。造成北京、天津、上海、河北、山西、內(nèi)蒙古、遼寧、吉林、江蘇、黑龍江、浙江、安徽、湖北、廣西、廣東等地區(qū)的DNS陸續(xù)癱瘓。中國互聯(lián)網(wǎng)遭遇了“多米諾骨牌”連鎖反應,出現(xiàn)了全國范圍的網(wǎng)絡(luò)故障。47.1網(wǎng)絡(luò)安全體系與技術(shù)2.519網(wǎng)絡(luò)故障原因分析網(wǎng)絡(luò)故障的三個關(guān)鍵環(huán)節(jié):DNSPod服務器暴風影音軟件電信運營商DNS服務器。DNS提供公共服務,IP地址必須向公眾公開,而且相對固定。如果IP地址經(jīng)常變更,會影響客戶端的服務,因此DNS具有目標大、易受攻擊的特點。519網(wǎng)絡(luò)故障事件曝露出我國互聯(lián)網(wǎng)諸多環(huán)節(jié)中,存在大量潛在的安全風險。57.1網(wǎng)絡(luò)安全體系與技術(shù)3.范·艾克實驗【案例7-2】1985年,在國際計算機安全會議上,范·艾克(FanEttc)用幾百美元的器件,對普通電視機進行改造,安裝在汽車里,這樣從街道上接收到了放置在8層樓上的計算機電磁波信息,并顯示出計算機屏幕上的圖像。他的演示給與會的各國代表以巨大的震動。距離計算機數(shù)百米的地方,都可以收到并還原計算機屏幕上的圖像。網(wǎng)絡(luò)設(shè)備電磁輻射引起的安全問題不容忽視。67.1網(wǎng)絡(luò)安全體系與技術(shù)7.1.2IATF網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.IATE(信息保障技術(shù)框架)標準IATF標準理論:深度保護戰(zhàn)略。IATF標準三個核心原則:人、技術(shù)和操作。四個信息安全保障領(lǐng)域:保護網(wǎng)絡(luò)和基礎(chǔ)設(shè)施;保護邊界;保護計算環(huán)境;保護支撐基礎(chǔ)設(shè)施。77.1網(wǎng)絡(luò)安全體系與技術(shù)[案例]IATF深度保護戰(zhàn)略結(jié)構(gòu)87.1網(wǎng)絡(luò)安全體系與技術(shù)2.IATF網(wǎng)絡(luò)模型飛地指位于非安全區(qū)中的一小塊安全區(qū)域。IATF模型將網(wǎng)絡(luò)系統(tǒng)分成4種類型局域網(wǎng);飛地邊界;網(wǎng)絡(luò)設(shè)備;支持性基礎(chǔ)設(shè)施。97.1網(wǎng)絡(luò)安全體系與技術(shù)[P165圖7-1]IATF模型[P165]IATF模型107.1網(wǎng)絡(luò)安全體系與技術(shù)在IATF模型中,局域網(wǎng)包括:涉密網(wǎng)絡(luò)(紅網(wǎng),如財務網(wǎng));專用網(wǎng)絡(luò)(黃網(wǎng),如內(nèi)部辦公網(wǎng)絡(luò));公共網(wǎng)絡(luò)(白網(wǎng),如公開信息網(wǎng)站)網(wǎng)絡(luò)設(shè)備。這些部分由企業(yè)建設(shè)和管理。網(wǎng)絡(luò)支持性基礎(chǔ)設(shè)施包括:專用網(wǎng)絡(luò)(如VPN);公共網(wǎng)絡(luò)(如Internet);通信網(wǎng)等基礎(chǔ)電信設(shè)施(如城域傳輸網(wǎng));這些部分由電信服務商提供。117.1網(wǎng)絡(luò)安全體系與技術(shù)IATF最重要的設(shè)計思想:在網(wǎng)絡(luò)中進行不同等級的區(qū)域劃分與網(wǎng)絡(luò)邊界保護。127.1網(wǎng)絡(luò)安全體系與技術(shù)[案例]安全等級防護設(shè)計137.1網(wǎng)絡(luò)安全體系與技術(shù)3.對手、動機和攻擊類型5類攻擊方法:被動攻擊;主動攻擊;物理臨近攻擊;內(nèi)部人員攻擊;分發(fā)攻擊。147.1網(wǎng)絡(luò)安全體系與技術(shù)[案例]黑客攻擊過程157.1網(wǎng)絡(luò)安全體系與技術(shù)[案例]黑客攻擊路徑發(fā)現(xiàn)[P165]IATF模型167.1網(wǎng)絡(luò)安全體系與技術(shù)4.安全威脅的表現(xiàn)形式安全威脅的表現(xiàn)形式:信息泄漏、媒體廢棄(如報廢的硬盤)、人員不慎、非授權(quán)訪問、旁路控制(如線路搭接)、假冒、竊聽、電磁信號截獲、完整性侵犯(如篡改Email內(nèi)容)、數(shù)據(jù)截獲與修改、物理侵入、重放(如后臺屏幕錄像或鍵盤掃描)、業(yè)務否認、業(yè)務拒絕、資源耗盡、業(yè)務欺騙、業(yè)務流分析、特洛伊木馬程序等。177.1網(wǎng)絡(luò)安全體系與技術(shù)5.深度保護戰(zhàn)略模型深度保護戰(zhàn)略(DDS)認為:信息保障依賴于人、技術(shù)和操作共同實現(xiàn)。操作也稱為運行操作是各種安全技術(shù)結(jié)合在一起的過程。操作包括:風險評估、安全監(jiān)控、安全審計、跟蹤告警、入侵檢測、響應恢復等。187.1網(wǎng)絡(luò)安全體系與技術(shù)7.1.3TCP/IP各層安全技術(shù)1.常用網(wǎng)絡(luò)安全技術(shù)定義:網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改和泄漏,系統(tǒng)能連續(xù)、可靠地正常運行,網(wǎng)絡(luò)服務不中斷。197.1網(wǎng)絡(luò)安全體系與技術(shù)表7-2TCP/IP各個層次常用安全保護技術(shù)207.1網(wǎng)絡(luò)安全體系與技術(shù)2.接口層的安全物理層面臨的安全威脅有:搭線竊聽,電磁輻射信號還原、物理臨近等。3.網(wǎng)絡(luò)層的安全網(wǎng)絡(luò)層的安全威脅有:數(shù)據(jù)包竊聽、ARP欺騙、流量攻擊、拒絕服務攻擊等。網(wǎng)絡(luò)層的安全技術(shù)有:IP路由安全機制、IPSec(IP安全協(xié)議)和防火墻技術(shù)。217.1網(wǎng)絡(luò)安全體系與技術(shù)4.傳輸層的安全傳輸層主要的安全協(xié)議有SSL(安全套接層協(xié)議),它在兩實體之間建立了一個安全通道,當數(shù)據(jù)在通道中傳輸時是經(jīng)過認證和保密的。SSL提供三個方面的服務:用戶和服務器認證,對數(shù)據(jù)進行加密服務和維護數(shù)據(jù)的完整性。SSL對于應用層協(xié)議和程序是透明的,它可以為HTTP、SMTP和FTP等應用層協(xié)議提供安全性。227.1網(wǎng)絡(luò)安全體系與技術(shù)5.應用層的安全應用層的安全問題:操作系統(tǒng)漏洞,應用程序BUG,非法訪問,病毒木馬程序攻擊等。應用層采用的安全技術(shù):加密、用戶級認證、數(shù)字簽名等。應用層安全協(xié)議為特定應用提供安全服務。如S/MIME(安全/通用因特網(wǎng)郵件擴展服務)是一個用于保護電子郵件的規(guī)范,標準內(nèi)容包括數(shù)據(jù)加密、數(shù)據(jù)簽名等。237.1網(wǎng)絡(luò)安全體系與技術(shù)[案例]網(wǎng)絡(luò)計算機病毒解決方案[P165]IATF模型247.1網(wǎng)絡(luò)安全體系與技術(shù)7.1.4網(wǎng)絡(luò)信息加密技術(shù)1.加密系統(tǒng)的組成加密系統(tǒng)包括4個組件:軟件組件負責各功能子系統(tǒng)的協(xié)調(diào)和用戶交互加密算法根據(jù)一定規(guī)則對輸入信息進行加密處理協(xié)議加密系統(tǒng)和運行環(huán)境需要加密密鑰用戶加密/解密信息所需的鑰匙257.1網(wǎng)絡(luò)安全體系與技術(shù)2.常用加密算法(1)對稱加密加密和解密都使用相同密鑰的加密算法。優(yōu)點:加解密的高速度和使用長密鑰時難以破解性。常見的對稱加密算法:DES、3DES、IDEA等。DES的典型應用是IPSec(VPN安全標準)267.1網(wǎng)絡(luò)安全體系與技術(shù)(2)非對稱加密加密和解密使用不同密鑰的加密算法。常見的非對稱加密算法:RSA,SSL(傳輸層安全標準),ECC(移動設(shè)備安全標準),S-MIME(電子郵件安全標準),SET(電子交易安全標準),DSA(數(shù)字簽名安全標準)等。缺點:加解密速度遠遠慢于對稱加密,在某些極端情況下,比對稱加密慢1000倍。277.1網(wǎng)絡(luò)安全體系與技術(shù)(3)Hash(哈希)加密Hash算法是一種單向加密算法。常見Hash算法:MD5(消息摘要)等。MD5常用于密碼校驗、數(shù)字簽名等應用中。287.1網(wǎng)絡(luò)安全體系與技術(shù)3.加密系統(tǒng)在網(wǎng)絡(luò)中的應用基本應用:存儲、傳輸、認證數(shù)據(jù)量較少時,常采用RSA等對稱加密算法;校驗常采用MD5算法;商業(yè)加密軟件PGP;開源加密軟件GPG等。297.1網(wǎng)絡(luò)安全體系與技術(shù)【案例7-4】經(jīng)常采用MD5算法進行用戶密碼校驗。用戶密碼經(jīng)過MD5運算后存儲在文件系統(tǒng)中。當用戶登錄時,系統(tǒng)將用戶輸入的密碼進行MD5運算,然后再與系統(tǒng)中保存密碼的MD5值進行比較,從而確定輸入的密碼是否正確。通過這樣的步驟,系統(tǒng)在并不知道用戶密碼的情況下,就可以確定用戶登錄系統(tǒng)的合法性。這可以避免用戶密碼被具有系統(tǒng)管理員權(quán)限的人員知道。307.2防火墻與DMZ設(shè)計317.2防火墻與DMZ設(shè)計7.2.1防火墻的類型與功能防火墻是由軟件或硬件構(gòu)成的網(wǎng)絡(luò)安全系統(tǒng),用來在兩個網(wǎng)絡(luò)之間實施訪問控制策略。1.防火墻在網(wǎng)絡(luò)中的位置所有從內(nèi)網(wǎng)到外網(wǎng)或從外網(wǎng)到內(nèi)網(wǎng)的通信都必須經(jīng)過防火墻,否則,防火墻將無法起到保護作用。防火墻本身應當是一個安全、可靠、防攻擊的可信任系統(tǒng),它應有足夠的可靠性和抵御外界的攻擊。327.2防火墻與DMZ設(shè)計2.防火墻的類型硬件防火墻可以是一臺獨立的硬件設(shè)備(如CiscoPIX);也可以在一臺路由器上,經(jīng)過配置成為一臺具有安全功能的防火墻。軟件防火墻是運行在服務器主機上的一個軟件(如ISAServer)。硬件防火墻在功能和性能上都優(yōu)于軟件防火墻,但是成本較高。337.2防火墻與DMZ設(shè)計3.防火墻的功能所有內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的數(shù)據(jù)交換,都可以而且必須經(jīng)過防火墻。只有符合防火墻安全策略的數(shù)據(jù),才可以自由出入防火墻。防火墻受到攻擊后,應能穩(wěn)定有效地工作。應當記錄和統(tǒng)計網(wǎng)絡(luò)的使用情況。有效地過濾、篩選和屏蔽有害服務和數(shù)據(jù)包。能隔離網(wǎng)絡(luò)中的某些網(wǎng)段,防止一個網(wǎng)段的故障傳播到整個網(wǎng)絡(luò)。347.2防火墻與DMZ設(shè)計4.防火墻的不足不能防范不經(jīng)過防火墻的攻擊。不能防范惡意的知情者。不能防范內(nèi)部用戶誤操作造成的威脅。不能防止受病毒感染的軟件或木馬文件的傳輸。防火墻不檢測數(shù)據(jù)包的內(nèi)容,因此不能防止數(shù)據(jù)驅(qū)動式的攻擊。不安全的防火墻、配置不合理的防火墻、防火墻在網(wǎng)絡(luò)中的位置不當?shù)?,會使防火墻形同虛設(shè)。357.2防火墻與DMZ設(shè)計7.2.2DMZ的功能與安全策略1.DMZ(隔離區(qū)/非軍事區(qū))的基本結(jié)構(gòu)和功能DMZ設(shè)立在非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。【案例7-5】如圖7-3所示,DMZ位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一個區(qū)域內(nèi),在DMZ內(nèi)可以放置一些對外的服務器設(shè)備,如企業(yè)Web服務器、FTP服務器和論壇等。DMZ的目的是將敏感的內(nèi)部網(wǎng)絡(luò)和提供外部訪問服務的網(wǎng)絡(luò)分離開,為網(wǎng)絡(luò)提供深度防御。367.2防火墻與DMZ設(shè)計[P171圖7-3]DMZ網(wǎng)絡(luò)安全結(jié)構(gòu)377.2防火墻與DMZ設(shè)計2.防火墻的接口硬件防火墻最少有三個接口:內(nèi)網(wǎng)接口,用于連接內(nèi)部網(wǎng)絡(luò)設(shè)備;外網(wǎng)接口,相當于主機接口,用于連接邊界路由器等外部網(wǎng)關(guān)設(shè)備;DMZ接口,用于連接DMZ區(qū)網(wǎng)絡(luò)設(shè)備。硬件防火墻中的網(wǎng)卡一般設(shè)置為混雜模式,這樣可以監(jiān)測到通過防火墻的數(shù)據(jù)包。387.2防火墻與DMZ設(shè)計3.DMZ訪問安全策略DMZ的設(shè)計基本原則:設(shè)計最小權(quán)限,例如定義允許訪問的網(wǎng)絡(luò)資源和網(wǎng)絡(luò)的安全級別;確定可信用戶和可信任區(qū)域;明確各個網(wǎng)絡(luò)之間的訪問關(guān)系。397.2防火墻與DMZ設(shè)計訪問安全策略(1)內(nèi)網(wǎng)可以訪問外網(wǎng)。(2)內(nèi)網(wǎng)可以訪問DMZ。(3)外網(wǎng)不能訪問內(nèi)網(wǎng)。(4)外網(wǎng)可以訪問DMZ。(5)DMZ不能訪問內(nèi)網(wǎng)。(6)DMZ不能訪問外網(wǎng)。407.2防火墻與DMZ設(shè)計7.2.3DMZ的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計1.單防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)單防火墻DMZ結(jié)構(gòu)將網(wǎng)絡(luò)劃分為三個區(qū)域,內(nèi)網(wǎng)(LAN)、外網(wǎng)(Internet)和DMZ。DMZ是外網(wǎng)與內(nèi)網(wǎng)之間附加的一個安全層,這個安全區(qū)域也稱為屏蔽子網(wǎng)、過濾子網(wǎng)等。這種網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)建成本低,多用于小型企業(yè)網(wǎng)絡(luò)設(shè)計。417.2防火墻與DMZ設(shè)計[案例]單防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)427.2防火墻與DMZ設(shè)計2.雙防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)防火墻通常與邊界路由器協(xié)同工作,邊界路由器是網(wǎng)絡(luò)安全的第一道屏障。通常的方法是在路由器中設(shè)置數(shù)據(jù)包過濾和NAT功能,讓防火墻完成特定的端口阻塞和數(shù)據(jù)包檢查,這樣在整體上提高了網(wǎng)絡(luò)性能。437.2防火墻與DMZ設(shè)計[案例]雙防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)447.2防火墻與DMZ設(shè)計7.2.4PIX防火墻配置命令1.接口配置命令interfaceInterface的功能是開啟或關(guān)閉接口、配置接口的速度、對接口進行命名等。新防火墻的各個端口都是關(guān)閉的,如果不進行任何配置,則防火墻無法工作。防火墻接口速度可以手工配置和自動配置。457.2防火墻與DMZ設(shè)計(1)配置接口速度命令格式:interfaceethernet0auto//對e0接口設(shè)置為自動設(shè)置連接速度//命令格式:interfaceethernet2100ful//為接口2手工指定連接速度為100M//467.2防火墻與DMZ設(shè)計(2)關(guān)閉與開啟接口防火墻打開的接口不用時要及時關(guān)閉。打開的接口越多,會影響防火墻的運行效率。可用不帶參數(shù)的shutdown命令關(guān)閉防火墻接口。注意:打開接口不采用noshutdown命令。477.2防火墻與DMZ設(shè)計2.別名配置命令nameif廠商會為防火墻接口配置默認名,如ethernet0等。網(wǎng)絡(luò)工程師可以用更加直觀的名字來描述接口的用途。如用outside命令說明這個接口用來連接外部網(wǎng)絡(luò);用inside命令說明這個接口用來連接內(nèi)部網(wǎng)絡(luò)。命令格式:nameif<接口名><接口別名><安全級別>487.2防火墻與DMZ設(shè)計3.地址配置命令I(lǐng)Paddress防火墻的IP地址可以通過DHCP自動獲得;也可以通過手工設(shè)置IP地址。命令格式:ipadress<接口別名><IP地址>[<網(wǎng)絡(luò)掩碼>]防火墻的接口IP地址,在整個內(nèi)部網(wǎng)絡(luò)中必須保持唯一,否則會造成IP地址沖突。沒有配置網(wǎng)絡(luò)掩碼時,防火墻會根據(jù)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu),自動設(shè)置一個網(wǎng)絡(luò)掩碼。497.2防火墻與DMZ設(shè)計4.地址轉(zhuǎn)換配置命令NAT、Global、StaticNAT命令可以將內(nèi)部的一組IP地址轉(zhuǎn)換成為外部的公網(wǎng)地址;global命令用于定義用網(wǎng)絡(luò)地址轉(zhuǎn)換命令NAT轉(zhuǎn)換成的地址或者地址的范圍。企業(yè)只有一個公有IP地址時,可以利用static命令實現(xiàn)端口的重定向配置。507.2防火墻與DMZ設(shè)計5.測試命令I(lǐng)CMPPing與Debug是常用的測試命令。防火墻在默認情況下,會拒絕所有來自外部接口的ICMP數(shù)據(jù)包流量,這主要是出于安全方面的考慮。如果需要防火墻接收來自外部的ICMP流量,就需要利用permit命令來允許防火墻通過ICMP流量。命令格式:icmppermitanyanyoutside測試完后,最好讓防火墻拒絕接收外部接口的ICMP流量,這可以防止DOS等攻擊。517.2防火墻與DMZ設(shè)計6.配置保存命令writememory對防火墻所做的更改,不會直接寫入防火墻閃存中。防火墻先把它存放在RAM中,防火墻重啟后,更改的配置就會丟失。當配置測試無誤后可以用writememory命令將更改的配置寫入到閃存中。527.3網(wǎng)絡(luò)安全設(shè)計技術(shù)537.3網(wǎng)絡(luò)安全設(shè)計技術(shù)7.3.1IDS網(wǎng)絡(luò)安全設(shè)計1.IDS(入侵檢測系統(tǒng))IDS分為實時入侵檢測和事后入侵檢測。實時入侵檢測在網(wǎng)絡(luò)連接過程中進行,IDS發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接,實施數(shù)據(jù)恢復。事后入侵檢測由網(wǎng)絡(luò)管理人員定期或不定期進行。入侵檢測系統(tǒng)本質(zhì)上是一種“嗅探設(shè)備”。547.3網(wǎng)絡(luò)安全設(shè)計技術(shù)2.IDS常用入侵檢測方法IDS常用檢測方法有:特征檢測、統(tǒng)計檢測與專家系統(tǒng)。國內(nèi)90%的IDS使用特征檢測方法。特征檢測與計算機病毒檢測方式類似,主要是對數(shù)據(jù)包進行特征模式匹配,但對于采用新技術(shù)和新方法的入侵與攻擊行為則無能為力。統(tǒng)計檢測常用異常檢測。測量參數(shù)包括:事件的數(shù)量、間隔時間、資源消耗情況等。557.3網(wǎng)絡(luò)安全設(shè)計技術(shù)3.IDS網(wǎng)絡(luò)安全設(shè)計IDS可以串聯(lián)或并聯(lián)的部署在網(wǎng)絡(luò)中各個關(guān)鍵位置。[P178圖7-7]IDS在網(wǎng)絡(luò)中的位置567.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[案例]IDS產(chǎn)品外觀577.3網(wǎng)絡(luò)安全設(shè)計技術(shù)(1)IDS安裝在網(wǎng)絡(luò)邊界區(qū)域。IDS非常適合于安裝在網(wǎng)絡(luò)邊界處,如防火墻的兩端以及到其他網(wǎng)絡(luò)連接處。如果IDS2與路由器并聯(lián)安裝,可以實時監(jiān)測進入到內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包,但是這個位置的帶寬很高,IDS性能必須跟上通信流的速度。587.3網(wǎng)絡(luò)安全設(shè)計技術(shù)(2)IDS系統(tǒng)安裝在服務器群區(qū)域。對于流量速度不是很高的應用服務器,安裝IDS是非常好的選擇;對于流量速度高,而且特別重要的服務器,可以考慮安裝專用IDS進行監(jiān)測。DMZ往往是遭受攻擊最多的區(qū)域,在此部署一臺IDS非常必要。597.3網(wǎng)絡(luò)安全設(shè)計技術(shù)(3)IDS系統(tǒng)安裝在網(wǎng)絡(luò)主機區(qū)域??梢詫DS安裝在主機區(qū)域,從而監(jiān)測位于同一交換機上的其他主機是否存在攻擊現(xiàn)象。如IDS部署在內(nèi)部各個網(wǎng)段,可以監(jiān)測來自內(nèi)部的網(wǎng)絡(luò)攻擊行為。(4)網(wǎng)絡(luò)核心層。網(wǎng)絡(luò)核心層帶寬非常高,不適宜布置IDS。607.3網(wǎng)絡(luò)安全設(shè)計技術(shù)4.IDS存在的問題(1)誤報/漏報率高。(2)沒有主動防御能力。(3)缺乏準確定位和處理機制。617.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[案例]IDS在網(wǎng)絡(luò)中的應用627.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[案例]IDS在網(wǎng)絡(luò)中的應用637.3網(wǎng)絡(luò)安全設(shè)計技術(shù)7.3.2IPS網(wǎng)絡(luò)安全設(shè)計1.IPS(入侵防御系統(tǒng))的功能IPS不但能檢測入侵的發(fā)生,而且能實時終止入侵行為。IPS一般部署在網(wǎng)絡(luò)的進出口處,當它檢測到攻擊企圖后,它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。647.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[案例]IPS產(chǎn)品外觀657.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[案例]IPS工作原理667.3網(wǎng)絡(luò)安全設(shè)計技術(shù)2.IPS的性能參數(shù)IPS的吞吐率與延時重要的性能參數(shù)。不同廠家IPS支持的協(xié)議數(shù)量、默認功能開啟程度、檢測精細度、承受攻擊的時間等指標差異極大,獲取性能指標的前提條件有很大不同。高性能的IPS往往伴隨著高成本。677.3網(wǎng)絡(luò)安全設(shè)計技術(shù)3.IPS在網(wǎng)絡(luò)中的部署IDS設(shè)備在網(wǎng)絡(luò)中采用旁路式連接;IPS在網(wǎng)絡(luò)中采用串接式連接。串接工作模式保證所有網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過IPS設(shè)備,IPS檢測數(shù)據(jù)流中的惡意代碼,核對策略,在未轉(zhuǎn)發(fā)到服務器之前,將信息包或數(shù)據(jù)流阻截。IPS是網(wǎng)關(guān)型設(shè)備,最好串接在網(wǎng)絡(luò)出口處,IPS經(jīng)常部署在網(wǎng)關(guān)出口的防火墻和路由器之間,監(jiān)控和保護內(nèi)部網(wǎng)絡(luò)。687.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[P179圖7-8]IPS在網(wǎng)絡(luò)中的位置697.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[案例]IPS在網(wǎng)絡(luò)中的應用707.3網(wǎng)絡(luò)安全設(shè)計技術(shù)4.IPS存在的問題(1)單點故障。(2)性能瓶頸。(3)誤報和漏報。(4)規(guī)則動態(tài)更新。(5)總體擁有成本(TOC)較高。717.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[案例]統(tǒng)一威脅隔離系統(tǒng)(UTM)727.3網(wǎng)絡(luò)安全設(shè)計技術(shù)7.3.3ACL網(wǎng)絡(luò)安全技術(shù)1.ACL(訪問控制列表)工作原理ACL是網(wǎng)絡(luò)設(shè)備處理數(shù)據(jù)包轉(zhuǎn)發(fā)的一組規(guī)則。ACL采用包過濾技術(shù),在路由器中讀取第三層和第四層數(shù)據(jù)包包頭中的信息,如源地址、目的地址、源端口、目的端口等,然后根據(jù)網(wǎng)絡(luò)工程師預先定義好的ACL規(guī)則,對數(shù)據(jù)包進行過濾,從而達到訪問控制的目的。737.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[案例]ACL處理流程747.3網(wǎng)絡(luò)安全設(shè)計技術(shù)2.ACL配置的基本原則

(1)最小權(quán)限原則。只滿足ACL部分條件的數(shù)據(jù)包不允許通過。(2)最靠近受控對象原則。標準ACL盡可能放置在靠近目的地址的地方;擴展ACL盡量放置在靠近源地址的地方。(3)立即終止原則。(4)默認丟棄原則。如果數(shù)據(jù)包與所有ACL行都不匹配,將被丟棄。757.3網(wǎng)絡(luò)安全設(shè)計技術(shù)(5)單一性原則。一個接口在一個方向上只能有一個ACL。(6)默認設(shè)置原則。路由器或三層交換機在沒有配置ACL的情況下,默認允許所有數(shù)據(jù)包通過。防火墻在在沒有配置ACL的情況下,默認不允許所有數(shù)據(jù)包通過。767.3網(wǎng)絡(luò)安全設(shè)計技術(shù)3.標準ACL配置(1)創(chuàng)建ACL命令格式:Router(config)#access-list<ACL表號>{permit|deny}{<源IP地址|host><通配符掩碼>|any}(2)將ACL應用到某一接口命令格式:Router(config-if)#

{protocol}access-group<ACL表號>{in|out}777.3網(wǎng)絡(luò)安全設(shè)計技術(shù)4.擴展ACL配置標準ACL只能控制源IP地址,不能控制到端口。要控制第四層的端口,需要使用擴展ACL配置。如果路由器沒有硬件ACL加速功能,它會消耗路由器大量的CPU資源,因此擴展ACL要盡量放置在靠近源地址的地方。命令格式:Router(config)#

access-list<ACL表號>{permit|deny}{<協(xié)議名稱>|<端口號>}{<源IP地址><通配符掩碼>}{<目的IP地址><通配符掩碼>}[<關(guān)系><協(xié)議名稱>][log]787.3網(wǎng)絡(luò)安全設(shè)計技術(shù)5.ACL單向訪問控制問題:重要部門(如財務部)的主機不允許其他部門訪問,而這個部門卻可以訪問其他的部門(如市場部)的主機。ACL可以實現(xiàn)單向訪問功能。命令格式:Router(config)#

access-list<ACL表號>{permit|deny}<協(xié)議名稱><源IP地址><源通配符掩碼>[operatorport]<目標IP地址><目標通配符掩碼>[operatorport][established][log]797.3網(wǎng)絡(luò)安全設(shè)計技術(shù)7.3.4VPN網(wǎng)絡(luò)安全設(shè)計2.VPN的概念定義:使用IP機制仿真出一個私有的廣域網(wǎng)。VPN通過私有隧道技術(shù),在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線。虛擬是指用戶不需要擁有實際的長途數(shù)據(jù)線路,而是利用Internet的數(shù)據(jù)傳輸線路;專用網(wǎng)絡(luò)是指用戶可以制定一個最符合自己需求的網(wǎng)絡(luò)。VPN是在Internet上臨時建立的安全專用虛擬網(wǎng)絡(luò)。807.3網(wǎng)絡(luò)安全設(shè)計技術(shù)3.VPN隧道技術(shù)工作原理隧道是一種數(shù)據(jù)加密傳輸技術(shù)。數(shù)據(jù)包通過隧道進行安全傳輸。被封裝的數(shù)據(jù)包在隧道的兩個端點之間通過Internet進行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑稱為隧道。數(shù)據(jù)包一旦到達隧道終點,將被解包并轉(zhuǎn)發(fā)到最終目的主機。817.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[案例]VPN隧道827.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[P183圖7-10]隧道技術(shù)工作原理837.3網(wǎng)絡(luò)安全設(shè)計技術(shù)在數(shù)據(jù)傳輸過程中,用戶和VPN服務器之間可以協(xié)商數(shù)據(jù)加密傳輸。加密之后,即使是ISP也無法了解數(shù)據(jù)包的內(nèi)容。即使用戶不對數(shù)據(jù)加密,NAS和VPN服務器建立的隧道兩側(cè)也可以協(xié)商加密傳輸,這使得Internet上的其他用戶無法識別隧道中傳輸?shù)臄?shù)據(jù)信息。因此VPN服務的安全性是有保證的。847.3網(wǎng)絡(luò)安全設(shè)計技術(shù)4.VPN工作協(xié)議VPN有兩種隧道協(xié)議:PPTP(點到點隧道協(xié)議)PPTP是PPP的擴展,它增加了安全等級,并且可以通過Internet進行多協(xié)議通信。L2TP(第二層隧道協(xié)議)L2TP與PPTP功能大致相同。不同的是L2TP使用IPSec機制進行身份驗證和數(shù)據(jù)加密。L2TP只支持IP網(wǎng)絡(luò)建立的隧道,不支持X.25、FR或ATM網(wǎng)絡(luò)的本地隧道。857.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[案例]IPv6中IPSec協(xié)議的實現(xiàn)867.3網(wǎng)絡(luò)安全設(shè)計技術(shù)5.VPN網(wǎng)絡(luò)設(shè)計構(gòu)建VPN只需在資源共享處放置一臺VPN服務器即可。(1)自建VPN網(wǎng)絡(luò)企業(yè)可以自建VPN網(wǎng)絡(luò),在企業(yè)總部和分支機構(gòu)中安裝專用VPN設(shè)備,或在路由器、防火墻等設(shè)備中配置VPN協(xié)議,就可以將各個外地機構(gòu)與企業(yè)總部安全地連接在一起了。自建VPN的優(yōu)勢在于可控制性強,可以滿足企業(yè)的某些特殊業(yè)務要求。877.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[P185圖7-11]企業(yè)自建VPN結(jié)構(gòu)887.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[案例]VPN端到端安全保證897.3網(wǎng)絡(luò)安全設(shè)計技術(shù)(2)外包VPN網(wǎng)絡(luò)電信企業(yè)、ISP目前都提供VPN外包服務。VPN外包可以簡化企業(yè)網(wǎng)絡(luò)部署,但降低了企業(yè)對網(wǎng)絡(luò)的控制權(quán)。[P185圖7-12]企業(yè)擴展虛擬網(wǎng)結(jié)構(gòu)907.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[案例]ISP的VPN網(wǎng)絡(luò)917.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[案例]VPN在企業(yè)網(wǎng)絡(luò)中的應用927.3網(wǎng)絡(luò)安全設(shè)計技術(shù)[案例]VPN在企業(yè)網(wǎng)絡(luò)中的應用937.4網(wǎng)絡(luò)物理隔離設(shè)計947.4網(wǎng)絡(luò)物理隔離設(shè)計7.4.1網(wǎng)絡(luò)隔離的技術(shù)特點我國《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》規(guī)定:涉及國家秘密的計算機信息系統(tǒng),不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接,必須實行物理隔離。957.4網(wǎng)絡(luò)物理隔離設(shè)計1.網(wǎng)絡(luò)隔離技術(shù)的發(fā)展隔離技術(shù)物理隔離(物理隔離卡或物理隔離交換機)協(xié)議隔離(安全網(wǎng)閘)網(wǎng)絡(luò)物理隔離卡確保了計算機在同一時間只能訪問一個網(wǎng)絡(luò),兩個網(wǎng)絡(luò)在同一時間內(nèi)不會有任何連接。網(wǎng)絡(luò)物理隔離卡解決了網(wǎng)絡(luò)的攻擊問題,缺點是信息交流仍然不便。967.4網(wǎng)絡(luò)物理隔離設(shè)計[案例]網(wǎng)絡(luò)安全技術(shù)的發(fā)展977.4網(wǎng)絡(luò)物理隔離設(shè)計2.網(wǎng)絡(luò)隔離的安全要求網(wǎng)絡(luò)隔離必須達到以下要求:在物理傳輸上使內(nèi)網(wǎng)與外網(wǎng)徹底隔斷。在物理輻射上隔斷內(nèi)網(wǎng)與外網(wǎng)。在物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境。對于斷電后會清除信息的部件,如內(nèi)存、CPU寄存器等,要在內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)換時做清除處理,防止殘留信息流出網(wǎng)絡(luò)。對于斷電后數(shù)據(jù)非遺失性設(shè)備,如硬盤等,內(nèi)網(wǎng)與外網(wǎng)的信息要分開存儲(不能使用同一個硬盤)。987.4網(wǎng)絡(luò)物理隔離設(shè)計網(wǎng)絡(luò)隔離產(chǎn)品比防火墻高一個安全級別。網(wǎng)絡(luò)隔離產(chǎn)品的安全措施:對操作系統(tǒng)進行加固優(yōu)化;由兩套操作系統(tǒng)(OS)組成;一套OS控制外網(wǎng)接口,另一套OS控制內(nèi)網(wǎng)接口,在兩套操作系統(tǒng)之間通過不可路由的協(xié)議進行數(shù)據(jù)交換。即使黑客進入了內(nèi)網(wǎng)系統(tǒng),仍然無法控制內(nèi)網(wǎng)系統(tǒng)。數(shù)據(jù)包不能路由到對方網(wǎng)絡(luò)。對網(wǎng)間訪問進行嚴格控制和檢查,確保每次數(shù)據(jù)交換都是可信和可控制的。產(chǎn)品要求很高的處理性能,不能成為網(wǎng)絡(luò)的瓶頸。997.4網(wǎng)絡(luò)物理隔離設(shè)計7.4.2網(wǎng)絡(luò)物理隔離工作原理1.單主板安全隔離計算機工作原理:采用雙硬盤,將內(nèi)網(wǎng)與外網(wǎng)的轉(zhuǎn)換功能嵌入在主板BIOS中。主板網(wǎng)卡也分為內(nèi)網(wǎng)和外網(wǎng)。價格介于雙主機和網(wǎng)絡(luò)物理隔離卡之間。這種安全技術(shù)在低層的BIOS上開發(fā),因此CPU、內(nèi)存、顯卡等設(shè)備的升級,不會給計算機帶來不兼容的影響。1007.4網(wǎng)絡(luò)物理隔離設(shè)計計算機形成了兩個網(wǎng)絡(luò)物理隔離環(huán)境,它們分別對應于Internet和內(nèi)部局域網(wǎng),構(gòu)成了網(wǎng)絡(luò)接入和信息存儲環(huán)境的各自獨立。計算機每次啟動后,只能工作在一種網(wǎng)絡(luò)環(huán)境下。BIOS還可以對所有輸入/輸出設(shè)備進行控制。例如,對U盤、光驅(qū)提供限制功能,在系統(tǒng)引導時不允許驅(qū)動器中有移動存儲介質(zhì)。BIOS自身的安全采用硬件防寫入跳線,防止病毒破壞、非法刷新或破壞BIOS的攻擊行為。1017.4網(wǎng)絡(luò)物理隔離設(shè)計2.雙主板安全隔離計算機每臺計算機有兩塊主板,每塊主板一個網(wǎng)卡,分別連接內(nèi)網(wǎng)和外網(wǎng)。每塊主板有一個串行口,雙端口RAM是連接兩塊主板的唯一通道。[P187圖7-14]雙主板安全隔離計算機結(jié)構(gòu)1027.4網(wǎng)絡(luò)物理隔離設(shè)計兩塊主板之間通過雙端口RAM進行數(shù)據(jù)傳輸。雙端口RAM分為兩個區(qū),第一區(qū)是內(nèi)網(wǎng)客戶端向外網(wǎng)服務器單向傳輸數(shù)據(jù)的通道;第二區(qū)是外網(wǎng)客戶端向內(nèi)網(wǎng)服務器單向傳輸數(shù)據(jù)時的通道。平時內(nèi)網(wǎng)與外網(wǎng)之間是斷開的,雙端口RAM處于斷開狀態(tài)。當有數(shù)據(jù)傳輸時,內(nèi)網(wǎng)與外網(wǎng)才通過雙端口RAM進行數(shù)據(jù)傳輸。1037.4網(wǎng)絡(luò)物理隔離設(shè)計3.物理隔離卡技術(shù)物理隔離卡分為單網(wǎng)口卡和雙網(wǎng)口卡。[P187圖7-15]物理隔離卡結(jié)構(gòu)1047.4網(wǎng)絡(luò)物理隔離設(shè)計[案例]物理隔離卡1057.4網(wǎng)絡(luò)物理隔離設(shè)計采用物理隔離卡時,需要在主板BIOS中做一些定制和修改,將內(nèi)網(wǎng)與外網(wǎng)的轉(zhuǎn)換功能嵌入BIOS中。工作原理:物理隔離卡采用雙硬盤,啟動外網(wǎng)時關(guān)閉內(nèi)網(wǎng)硬盤,啟動內(nèi)網(wǎng)時關(guān)閉外網(wǎng)硬盤,使兩個網(wǎng)絡(luò)和硬盤進行物理隔離。這種技術(shù)的優(yōu)點是價格低。進行內(nèi)網(wǎng)與外網(wǎng)轉(zhuǎn)換時,需要重新啟動計算機。1067.4網(wǎng)絡(luò)物理隔離設(shè)計物理隔離卡的功能是以物理方式將一臺計算機機虛擬為兩臺計算機,實現(xiàn)計算機的雙重狀態(tài),既可在內(nèi)部安全狀態(tài),又可在公共外部狀態(tài),兩種狀態(tài)是完全隔離的。物理隔離卡與操作系統(tǒng)無關(guān),兼容所有操作系統(tǒng),可以應用于所有SATA或IDE接口硬盤。物理隔離卡對網(wǎng)絡(luò)技術(shù)和協(xié)議完全透明,支持單或雙布線的隔離網(wǎng)絡(luò)。1077.4網(wǎng)絡(luò)物理隔離設(shè)計[案例]物理隔離卡在網(wǎng)絡(luò)中的應用1087.4網(wǎng)絡(luò)物理隔離設(shè)計6.隔離交換機隔離交換機簡化了用戶PC到隔離交換機之間的布線,使用戶端不需要布放雙網(wǎng)線。隔離交換機根據(jù)數(shù)據(jù)包包頭的標記信息來決定數(shù)據(jù)包是通過內(nèi)網(wǎng)還是通過外網(wǎng)。利用物理隔離卡、計算機和隔離交換機組成的網(wǎng)絡(luò),是徹底的物理隔離網(wǎng)絡(luò),兩個網(wǎng)絡(luò)之間沒有信息交流,因此可以抵御所有的網(wǎng)絡(luò)攻擊。1097.4網(wǎng)絡(luò)物理隔離設(shè)計[P188圖7-17]隔離交換機1107.4網(wǎng)絡(luò)物理隔離設(shè)計[P188圖7-17]隔離交換機應用1117.4網(wǎng)絡(luò)物理隔離設(shè)計[P188圖7-17]隔離交換機應用1127.4網(wǎng)絡(luò)物理隔離設(shè)計7.物理隔離卡產(chǎn)品的技術(shù)性能(1)兼容性(2)網(wǎng)絡(luò)環(huán)境(3)操作系統(tǒng)(4)硬盤規(guī)格(5)安裝簡單(6)維護簡單1137.4網(wǎng)絡(luò)物理隔離設(shè)計7.4.3安全隔離網(wǎng)閘工作原理GAP(安全隔離網(wǎng)閘)通過專用硬件和軟件技術(shù),使兩個或者兩個以上的網(wǎng)絡(luò)在不連通的情況下,實現(xiàn)數(shù)據(jù)安全傳輸和資源共享。1147.4網(wǎng)絡(luò)物理隔離設(shè)計1.GAP技術(shù)的特點GAP由固態(tài)讀寫開關(guān)和存儲介質(zhì)系統(tǒng)組成,存儲介質(zhì)通常采用SCSI硬盤。GAP在同一時刻只有一個網(wǎng)絡(luò)與安全隔離網(wǎng)閘建立無協(xié)議的數(shù)據(jù)連接。GAP沒有網(wǎng)絡(luò)連接,并將通信協(xié)議全部剝離。數(shù)據(jù)文件以原始數(shù)據(jù)方式進行“擺渡”,因此,它能夠抵御互聯(lián)網(wǎng)絕大部分攻擊。115

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論