網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署

編輯課件1網(wǎng)絡(luò)安全架構(gòu)設(shè)計和

網(wǎng)絡(luò)安全設(shè)備的部署網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第1頁。編輯課件2主要內(nèi)容內(nèi)網(wǎng)安全架構(gòu)的設(shè)計與安全產(chǎn)品的部署安全掃描技術(shù)防火墻技術(shù)入侵檢測技術(shù)IPSecVPN和SSLVPN技術(shù)網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第2頁。編輯課件3網(wǎng)絡(luò)信息安全的基本問題網(wǎng)絡(luò)信息安全的基本問題保密性完整性可用性可控性可審查性最終要解決是使用者對基礎(chǔ)設(shè)施的信心和責(zé)任感的問題。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第3頁。編輯課件4網(wǎng)絡(luò)與信息安全體系要實施一個完整的網(wǎng)絡(luò)與信息安全體系，至少應(yīng)包括三類措施，并且三者缺一不可。社會的法律政策、規(guī)章制度措施技術(shù)措施審計和管理措施網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第4頁。編輯課件5網(wǎng)絡(luò)安全設(shè)計的基本原則要使信息系統(tǒng)免受攻擊，關(guān)鍵要建立起安全防御體系，從信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否認(rèn)性等。在進行計算機網(wǎng)絡(luò)安全設(shè)計、規(guī)劃時，應(yīng)遵循以下原則：需求、風(fēng)險、代價平衡分析的原則綜合性、整體性原則一致性原則易操作性原則適應(yīng)性、靈活性原則多重保護原則網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第5頁。編輯課件6網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案的基本概念網(wǎng)絡(luò)安全解決方案可以看作是一張有關(guān)網(wǎng)絡(luò)系統(tǒng)安全工程的圖紙，圖紙設(shè)計的好壞直接關(guān)系到工程質(zhì)量的優(yōu)劣?？傮w來說，網(wǎng)絡(luò)安全解決方案涉及安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)、認(rèn)證和數(shù)字簽名技術(shù)、VPN技術(shù)等多方面的安全技術(shù)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第6頁。編輯課件7一份好的網(wǎng)絡(luò)安全解決方案，不僅僅要考慮到技術(shù)，還要考慮到策略和管理。技術(shù)是關(guān)鍵策略是核心管理是保證在整個網(wǎng)絡(luò)安全解決方案中，始終要體現(xiàn)出這三個方面的關(guān)系。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第7頁。編輯課件8網(wǎng)絡(luò)安全解決方案設(shè)計網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第8頁。編輯課件9安全需求分析網(wǎng)絡(luò)系統(tǒng)的總體安全需求是建立在對網(wǎng)絡(luò)安全層次分析基礎(chǔ)上的。對于基于TCP/IP協(xié)議的網(wǎng)絡(luò)系統(tǒng)來說，安全層次是與TCP/IP協(xié)議層次相對應(yīng)的。針對該企業(yè)網(wǎng)絡(luò)的實際情況，可以將安全需求層次歸納為網(wǎng)絡(luò)層安全和應(yīng)用層安全兩個技術(shù)層次，同時將在各層都涉及的安全管理部分單獨作為一部分進行分析。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第9頁。編輯課件10網(wǎng)絡(luò)層需求分析網(wǎng)絡(luò)層安全需求是保護網(wǎng)絡(luò)不受攻擊，確保網(wǎng)絡(luò)服務(wù)的可用性。保證同Internet互聯(lián)的邊界安全能夠防范來自Internet的對提供服務(wù)的非法利用防范來自Internet的網(wǎng)絡(luò)入侵和攻擊行為的發(fā)生對于內(nèi)部網(wǎng)絡(luò)提供高于網(wǎng)絡(luò)邊界更高的安全保護網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第10頁。編輯課件11應(yīng)用層需求分析應(yīng)用層的安全需求是針對用戶和網(wǎng)絡(luò)應(yīng)用資源的，主要包括：合法用戶可以以指定的方式訪問指定的信息；合法用戶不能以任何方式訪問不允許其訪問的信息；非法用戶不能訪問任何信息；用戶對任何信息的訪問都有記錄。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第11頁。編輯課件12應(yīng)用層要解決的安全問題包括非法用戶利用應(yīng)用系統(tǒng)的后門或漏洞，強行進入系統(tǒng)用戶身份假冒非授權(quán)訪問數(shù)據(jù)竊取數(shù)據(jù)篡改數(shù)據(jù)重放攻擊抵賴網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第12頁。編輯課件13網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第13頁。編輯課件14電子政務(wù)網(wǎng)絡(luò)拓?fù)涓攀鰞?nèi)部核心子網(wǎng)INTERNET分支機構(gòu)1分支機構(gòu)2網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第14頁。編輯課件15電子政務(wù)網(wǎng)絡(luò)拓?fù)湓敿?xì)分析領(lǐng)導(dǎo)層子網(wǎng)分支機構(gòu)2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)INTERNET分支機構(gòu)1網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第15頁。編輯課件16電子政務(wù)網(wǎng)絡(luò)風(fēng)險及需求分析領(lǐng)導(dǎo)層子網(wǎng)分支機構(gòu)2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)INTERNET分支機構(gòu)1此人正試圖進入網(wǎng)絡(luò)監(jiān)聽并竊取敏感信息分支機構(gòu)工作人員正試圖在領(lǐng)導(dǎo)層子網(wǎng)安裝木馬分支機構(gòu)工作人員正試圖越權(quán)訪問業(yè)務(wù)子網(wǎng)安裝木馬非內(nèi)部人員正試圖篡改公共網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第16頁。編輯課件17電子政務(wù)網(wǎng)絡(luò)內(nèi)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)平臺安全領(lǐng)導(dǎo)層子網(wǎng)業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)分支機構(gòu)2分支機構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源INTERNETNEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源防火墻FW1防火墻FW2防火墻FW3安全認(rèn)證服務(wù)器安全管理器安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3路由器路由器路由器交換機NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第17頁。編輯課件18內(nèi)網(wǎng)核心網(wǎng)絡(luò)與各級子網(wǎng)間的安全設(shè)計

分支機構(gòu)2INTERNET分支機構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源

內(nèi)部核心子網(wǎng)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3路由器路由器路由器安全管理器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第18頁。編輯課件19內(nèi)網(wǎng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)設(shè)計分支機構(gòu)2INTERNET分支機構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源

內(nèi)部核心子網(wǎng)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3路由器路由器路由器安全管理器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第19頁。編輯課件20內(nèi)網(wǎng)網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計

分支機構(gòu)2INTERNET分支機構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源

內(nèi)部核心子網(wǎng)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3路由器路由器路由器安全管理器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)入侵檢測探頭網(wǎng)絡(luò)入侵策略管理器網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第20頁。編輯課件21電子政務(wù)外網(wǎng)基礎(chǔ)平臺安全設(shè)計INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱“內(nèi)網(wǎng)”）路由器交換機安全管理器防火墻FW物理隔離器（K1)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第21頁。編輯課件22外網(wǎng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)設(shè)計INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱“內(nèi)網(wǎng)”）路由器交換機安全管理器防火墻FW物理隔離器（K1)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第22頁。編輯課件23外網(wǎng)網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱“內(nèi)網(wǎng)”）路由器交換機安全管理器物理隔離器（K1)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)入侵檢測探頭網(wǎng)絡(luò)入侵策略管理器防火墻FW網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第23頁。編輯課件24外網(wǎng)WEB服務(wù)器安全設(shè)計INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱“內(nèi)網(wǎng)”）路由器交換機安全管理器物理隔離器（K2)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器防火墻FW物理隔離器（K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱“內(nèi)網(wǎng)”）政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)（簡稱“專網(wǎng)”）Web網(wǎng)站監(jiān)測&自動修復(fù)系統(tǒng)網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第24頁。編輯課件25內(nèi)網(wǎng)、外網(wǎng)和專網(wǎng)的隔離系統(tǒng)設(shè)計INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱“內(nèi)網(wǎng)”）路由器交換機安全管理器物理隔離器（K2)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器防火墻FW物理隔離器（K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱“內(nèi)網(wǎng)”）政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)（簡稱“專網(wǎng)”）網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第25頁。編輯課件26其它網(wǎng)絡(luò)安全設(shè)備撥號檢測系統(tǒng)上網(wǎng)行為管理系統(tǒng)DDOS防御網(wǎng)關(guān)VPN網(wǎng)關(guān)防病毒網(wǎng)關(guān)網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第26頁。編輯課件27安全掃描技術(shù)掃描目的查看目標(biāo)網(wǎng)絡(luò)中哪些主機是存活的（Alive）查看存活的主機運行了哪些服務(wù)WWWFTPEMAILTELNET查看主機提供的服務(wù)有無漏洞網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第27頁。編輯課件28IP掃描IP掃描——PingSweepingPing使用ICMP協(xié)議進行工作網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第28頁。編輯課件29IP掃描ICMP協(xié)議負(fù)責(zé)差錯的報告與控制。比如目標(biāo)不可達，路由重定向等等ICMP報文格式類型域(type)用來指明該ICMP報文的類型代碼域(code)確定該包具體作用

081631

類型

代碼

校驗和

其他字段（不同的類型可能不一樣）

數(shù)據(jù)區(qū)……

數(shù)據(jù)ICMP包頭IP包頭MAC幀頭網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第29頁。編輯課件30IP掃描常用的ICMP報文Ping程序使用ICMPEchoRequest/Reply報文名稱類型ICMPDestinationUnreachable（目標(biāo)不可達）3ICMPSourceQuench（源抑制）4ICMPRedirection（重定向）5ICMPTimestampRequest/Reply（時間戳）13/14ICMPAddressMaskRequest/Reply（子網(wǎng)掩碼）17/18ICMPEchoRequest/Reply（響應(yīng)請求/應(yīng)答）8/0網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第30頁。編輯課件31端口掃描端口Internet上主機間通訊總是通過端口發(fā)生的

端口是入侵的通道端口分為TCP端口與UDP端口因此，端口掃描可分類為TCP掃描UDP掃描網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第31頁。編輯課件32端口掃描基本掃描用Socket開發(fā)TCP應(yīng)用服務(wù)器端客戶端網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第32頁。編輯課件33端口掃描connect()函數(shù)intconnect(SOCKETs,conststructsockaddrFAR*name,intnamelen);當(dāng)connect返回0時，連接成功基本的掃描方法即TCPConnect掃描優(yōu)點實現(xiàn)簡單可以用普通用戶權(quán)限執(zhí)行缺點容易被防火墻檢測，也會目標(biāo)應(yīng)用所記錄網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第33頁。編輯課件34端口掃描隱秘掃描服務(wù)器端客戶端connect網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第34頁。編輯課件35端口掃描TCP的連接建立過程客戶機服務(wù)器發(fā)送SYN

seq=x

接收SYN報文

發(fā)送SYNseq=y,ACKack=x+1

接收SYN+ACK

發(fā)送ACKack=y+1

接受ACK報文段

網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第35頁。編輯課件36端口掃描SYN掃描客戶機服務(wù)器發(fā)送SYN

seq=x

如果接收到SYN+ACK，表明服務(wù)器端口可連接如果服務(wù)器端口打開，則返回SYN+ACK如果服務(wù)器端口未打開，則返回RSTSYN+ACK如果接收到RST，表明服務(wù)器端口不可連接RST網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第36頁。編輯課件37端口掃描SYN掃描的實現(xiàn)WinSock2接口RawSock方式，允許自定義IP包SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);TCP包頭標(biāo)志位01631源端口

目的端口

序列號

確認(rèn)號

HLEN

保留

標(biāo)志位

窗口

校驗和

緊急指針

選項

填充

數(shù)據(jù)

保留保留UrgentpointACKPUSHRESETSYNFIN網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第37頁。編輯課件38端口掃描SYN掃描的優(yōu)缺點優(yōu)點：一般不會被目標(biāo)主機所記錄缺點：運行RawSocket時必須擁有管理員權(quán)限網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第38頁。編輯課件39端口掃描FIN掃描關(guān)閉TCP連接的過程客戶機服務(wù)器發(fā)送FIN

seq=x

接收FIN報文

發(fā)送FINseq=y,ACKack=x+1

接收FIN+ACK

發(fā)送ACKack=y+1

接受ACK報文段

網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第39頁。編輯課件40端口掃描關(guān)閉一個并沒有建立的連接，會產(chǎn)生以下情況對非連接FIN報文的回復(fù)TCP標(biāo)準(zhǔn)關(guān)閉的端口——返回RST報文打開的端口——忽略BSD操作系統(tǒng)與TCP標(biāo)準(zhǔn)一致其他操作系統(tǒng)均返回RST報文網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第40頁。編輯課件41TCPACK掃描掃描主機向目標(biāo)主機發(fā)送ACK數(shù)據(jù)包。根據(jù)返回的RST數(shù)據(jù)包有兩種方法可以得到端口的信息。方法一是：若返回的RST數(shù)據(jù)包的TTL值小于或等于64，則端口開放，反之端口關(guān)閉方法二是：若返回的RST數(shù)據(jù)包的WINDOW值非零，則端口開放，反之端口關(guān)閉TCPACK掃描建立連接成功TCPACK掃描建立連接成功網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第41頁。編輯課件42NULL掃描掃描主機將TCP數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH(接收端將數(shù)據(jù)轉(zhuǎn)由應(yīng)用處理)標(biāo)志位置空后（保留的RES1和RES2對掃描的結(jié)果沒有任何影響）發(fā)送給目標(biāo)主機。若目標(biāo)端口開放，目標(biāo)主機將不返回任何信息。若目標(biāo)主機返回RST信息，則表示端口關(guān)閉。NULL掃描建立連接成功NULL掃描建立連接未成功網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第42頁。編輯課件43Xmastree掃描（圣誕樹掃描）XMAS掃描原理和NULL掃描的類似，將TCP數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH標(biāo)志位置1后發(fā)送給目標(biāo)主機。在目標(biāo)端口開放的情況下，目標(biāo)主機將不返回任何信息若目標(biāo)端口關(guān)閉，則目標(biāo)主機將返回RST信息XMAS掃描建立連接成功XMAS掃描建立連接未成功網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第43頁。編輯課件44端口掃描優(yōu)點不會被記錄到日志可以繞過某些防火墻netstat命令不會顯示——netstate命令只能顯示TCP連接或連接的嘗試缺點使用RAWIP編程，實現(xiàn)起來相對比較復(fù)雜利用BSD代碼缺陷，可能被修復(fù)——OpenBSD不同操作系統(tǒng)結(jié)果不同，因此不完全可信網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第44頁。編輯課件45端口掃描UDP端口掃描目前掃描UDP端口只有一種方法：向目標(biāo)UDP端口發(fā)送一些隨機數(shù)據(jù)，如果端口關(guān)閉，則目標(biāo)主機會回復(fù)ICMP端口不可達消息網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第45頁。編輯課件46慢速掃描隨著防火墻的廣泛應(yīng)用，普通的掃描很難穿過防火墻去掃描受防火墻保護的網(wǎng)絡(luò)。即使掃描能穿過防火墻，掃描的行為仍然有可能會被防火墻記錄下來。如果掃描是對非連續(xù)性端口、源地址不一致、時間間隔很長且沒有規(guī)律的掃描的話，這些掃描的記錄就會淹沒在其他眾多雜亂的日志內(nèi)容中。使用慢速掃描的目的也就是這樣，騙過防火墻和入侵檢測系統(tǒng)而收集信息。雖然掃描所用的時間較長，但這是一種比較難以被發(fā)現(xiàn)的掃描。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第46頁。編輯課件47亂序掃描亂序掃描也是一種常見的掃描技術(shù)，掃描器掃描的時候不是進行有序的掃描，掃描端口號的順序是隨機產(chǎn)生的，每次進行掃描的順序都完全不一樣，這種方式能有效地欺騙某些入侵檢測系統(tǒng)而不會被發(fā)覺。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第47頁。編輯課件48漏洞掃描漏洞是指系統(tǒng)硬件、操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)庫等在設(shè)計上和實現(xiàn)上出現(xiàn)的可以被攻擊者利用的錯誤、缺陷和疏漏。漏洞掃描程序是用來檢測遠程或本地主機安全漏洞的工具。針對掃描對象的不同，漏洞掃描又可分為網(wǎng)絡(luò)掃描、操作系統(tǒng)掃描、WWW服務(wù)掃描、數(shù)據(jù)庫掃描以及無線網(wǎng)絡(luò)掃描等。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第48頁。編輯課件49端口掃描常用的端口掃描工具UNIX下的端口掃描工具NmapWindows下的端口掃描工具XScanSuperScanNmapforNT網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第49頁。編輯課件50防火墻建筑業(yè)中的防火墻用在建筑單位間，防止火勢的蔓延。在網(wǎng)絡(luò)安全領(lǐng)域中，防火墻用來指應(yīng)用于內(nèi)部網(wǎng)絡(luò)（局域網(wǎng)）和外部網(wǎng)絡(luò)（Internet）之間的，用來保護內(nèi)部網(wǎng)絡(luò)免受非法訪問和破壞的網(wǎng)絡(luò)安全系統(tǒng)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第50頁。編輯課件51防火墻功能示意

兩個不同網(wǎng)絡(luò)安全域間通信流的唯一通道，對流過的網(wǎng)絡(luò)數(shù)據(jù)進行檢查，阻止攻擊數(shù)據(jù)包通過。安全網(wǎng)域一安全網(wǎng)域二網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第51頁。編輯課件52防火墻主要功能過濾進、出網(wǎng)絡(luò)的數(shù)據(jù);防止不安全的協(xié)議和服務(wù)；管理進、出網(wǎng)絡(luò)的訪問行為；記錄通過防火墻的信息內(nèi)容與活動；對網(wǎng)絡(luò)攻擊進行檢測與告警;防止外部對內(nèi)部網(wǎng)絡(luò)信息的獲取提供與外部連接的集中管理；網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第52頁。編輯課件53防火墻不能防范的攻擊來自內(nèi)部的安全威脅；病毒開放應(yīng)用服務(wù)程序的漏洞；特洛伊木馬；社會工程；不當(dāng)配置網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第53頁。編輯課件54衡量防火墻三大要求安全內(nèi)部和外部間所有數(shù)據(jù)必須通過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身要安全管理良好的人機交互界面提供強勁的管理及擴展功能速度網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第54頁。編輯課件55防火墻發(fā)展歷程主要經(jīng)歷了三個階段：基于路由器的防火墻基于通用操作系統(tǒng)的防火墻基于安全操作系統(tǒng)的防火墻網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第55頁。編輯課件56防火墻分類按實現(xiàn)技術(shù)分類：包過濾型代理型防火墻按體系結(jié)構(gòu)分類：雙宿/多宿主機防火墻屏蔽主機防火墻屏蔽子網(wǎng)防火墻混合結(jié)構(gòu)網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第56頁。編輯課件57包過濾防火墻包過濾防火墻在決定能否及如何傳送數(shù)據(jù)包之外，還根據(jù)其規(guī)則集，看是否應(yīng)該傳送該數(shù)據(jù)包普通路由器當(dāng)數(shù)據(jù)包到達時，查看IP包頭信息，根據(jù)路由表決定能否以及如何傳送數(shù)據(jù)包網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第57頁。編輯課件58靜態(tài)包過濾防火墻

傳輸層傳輸層傳輸層

網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第58頁。編輯課件59路由與包過濾路由進行轉(zhuǎn)發(fā)，過濾進行篩選源地址目標(biāo)地址協(xié)議是否允許HostASeverXTCPYESHostASeverXUDPNOHostA外部網(wǎng)絡(luò)目標(biāo)路由SeverX接口1……………………SeverX網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第59頁。編輯課件60包過濾所檢查的內(nèi)容源和目的的IP地址IP選項IP的上層協(xié)議類型（TCP/UDP/ICMP）TCP和UDP的源及目的端口ICMP的報文類型和代碼我們稱這種對包頭內(nèi)容進行簡單過濾的方式為靜態(tài)包過濾網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第60頁。編輯課件61包過濾配置包過濾防火墻配置步驟：知道什么是應(yīng)該和不應(yīng)被允許，制定安全策略規(guī)定允許的包類型、包字段的邏輯表達用防火墻支持的語法重寫表達式網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第61頁。編輯課件62規(guī)則制定的策略拒絕任何訪問，除非被規(guī)則特別允許允許任何訪問，除非規(guī)則特別地禁止允許拒絕允許拒絕網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第62頁。編輯課件63規(guī)則制定的策略過濾的兩種基本方式按服務(wù)過濾：根據(jù)安全策略決定是否允許或拒絕某一種服務(wù)按規(guī)則過濾：檢查包頭信息，與過濾規(guī)則匹配，決定是否轉(zhuǎn)發(fā)該數(shù)據(jù)包網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第63頁。編輯課件64依賴于服務(wù)的過濾

多數(shù)服務(wù)對應(yīng)特定的端口，如要封鎖輸Telnet、SMTP的連接，則Router丟棄端口值為23和25的所有數(shù)據(jù)包。典型的過濾規(guī)則有以下幾種：只允許進來的Telnet會話連接到指定的內(nèi)部主機只允許進來的FTP會話連接到指定的內(nèi)部主機允許所有出去的Telnet會話允許所有出去的FTP會話拒絕從某些指定的外部網(wǎng)絡(luò)進來的所有信息網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第64頁。編輯課件65按規(guī)則過濾有些類型的攻擊很難用基本包頭信息加以鑒別，因為獨立于服務(wù)。如果防范則需要定義規(guī)則1）源IP地址欺騙攻擊入侵者從偽裝成源自一臺內(nèi)部主機的一個外部地點傳送一些信息包；這些信息包似乎像包含了一個內(nèi)部系統(tǒng)的源IP地址。如果這些信息包到達Router的外部接口，則舍棄每個含有這個源IP地址的信息包，就可以挫敗這種源欺騙攻擊。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第65頁。編輯課件66按規(guī)則過濾2）源路由攻擊攻擊者為信息包指定一個穿越Internet的路由，這類攻擊企圖繞過安全措施，并使信息包沿一條意外(疏漏)的路徑到達目的地?？梢酝ㄟ^舍棄所有包含這類源路由選項的信息包方式，來挫敗這類攻擊。3）殘片攻擊入侵者利用IP分段特性生成一個極小的片斷并將TCP報頭信息肢解成一個分離的信息包片斷，使數(shù)據(jù)包繞過用戶定義的過濾規(guī)則。黑客希望過濾路由器只檢查第一分段，而允許其它分段通過。通過舍棄所有協(xié)議類型為TCP、IP報頭中FragmentOffset=1的數(shù)據(jù)包，即可挫敗殘片的攻擊。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第66頁。編輯課件67推薦的規(guī)則任何進入內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為源地址任何進入內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為目標(biāo)地址任何離開內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為源地址任何離開內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為目標(biāo)地址任何進入或離開內(nèi)網(wǎng)的數(shù)據(jù)包不能把一個私有地址或者/8作為源或目標(biāo)地址網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第67頁。編輯課件68靜態(tài)包過濾的優(yōu)缺點優(yōu)點：速度快價格低對用戶透明缺點：配置難把握防范能力低沒有用戶身份驗證機制網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第68頁。編輯課件69動態(tài)包過濾動態(tài)包過濾是CheckPoint的一項稱為“

StatefulInspection”的專利技術(shù)，也稱狀態(tài)檢測防火墻。動態(tài)包過濾防火墻不僅以一個數(shù)據(jù)包的內(nèi)容作為過濾的依據(jù)，還根據(jù)這個數(shù)據(jù)包在信息流位置加以判斷。動態(tài)包過濾防火墻可阻止未經(jīng)內(nèi)網(wǎng)請求的外部通信，而允許內(nèi)網(wǎng)請求的外部網(wǎng)站傳入的通信。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第69頁。編輯課件70動態(tài)包過濾防火墻網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第70頁。編輯課件71使用動態(tài)包過濾制定的規(guī)則Setinternal=/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allow$internalaccessanydnsbyudpkeepstateAllow$InternalacessanywwwbytcpkeepstateAllow$internalaccessanyftpbytcpkeepstateDenyipfromanytoany網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第71頁。編輯課件72動態(tài)包過濾的優(yōu)缺點優(yōu)點：基于應(yīng)用程序信息驗證一個包狀態(tài)的能力記錄通過的每個包的詳細(xì)信息缺點：造成網(wǎng)絡(luò)連接的遲滯系統(tǒng)資源要求較高網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第72頁。編輯課件73防火墻分類：包過濾代理型防火墻：應(yīng)用代理型代理型防火墻：電路代理型代理型防火墻：NAT網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第73頁。編輯課件74代理服務(wù)技術(shù)

代理服務(wù)技術(shù)能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的連接，由兩個代理服務(wù)器之間的連接來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器，從而起到隔離防火墻內(nèi)外計算機系統(tǒng)的作用。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第74頁。編輯課件75應(yīng)用代理防火墻工作在應(yīng)用層對所有規(guī)則內(nèi)允許的應(yīng)用程序作中轉(zhuǎn)轉(zhuǎn)發(fā)犧牲了對應(yīng)用程序的透明性網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第75頁。編輯課件76應(yīng)用代理防火墻應(yīng)用代理防火墻網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第76頁。編輯課件77應(yīng)用代理應(yīng)用代理工作原理示意緩沖文件應(yīng)用請求回復(fù)應(yīng)用請求回復(fù)網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第77頁。編輯課件78應(yīng)用代理防火墻應(yīng)用代理服務(wù)器的安全性屏蔽內(nèi)網(wǎng)用戶與外網(wǎng)的直接通信，提供更嚴(yán)格的檢查提供對協(xié)議的控制，拒絕所有沒有配置的連接提供用戶級控制，可近一步提供身份認(rèn)證等信息網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第78頁。編輯課件79應(yīng)用代理的優(yōu)缺點優(yōu)點：可以隱藏內(nèi)部網(wǎng)絡(luò)的信息；可以具有強大的日志審核；可以實現(xiàn)內(nèi)容的過濾；缺點：價格高速度慢失效時造成網(wǎng)絡(luò)的癱瘓網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第79頁。編輯課件80電路級代理電路級代理因此可以同時為不同的服務(wù)，如WEB、FTP、TELNET提供代理服即SOCKS代理，它工作在傳輸層。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第80頁。編輯課件81應(yīng)用代理應(yīng)用代理工作在應(yīng)用層，對于不同的服務(wù)，必須使用不同的代理軟件。應(yīng)用代理內(nèi)部主機WEB服務(wù)FTP服務(wù)WEBFTP網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第81頁。編輯課件82電路級代理優(yōu)缺點優(yōu)點：隱藏內(nèi)部網(wǎng)絡(luò)信息配置簡單，無需為每個應(yīng)用程序配置一個代理缺點：多數(shù)電路級網(wǎng)關(guān)都是基于TCP端口配置，不對數(shù)據(jù)包檢測，可能會有漏洞網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第82頁。編輯課件83NAT防火墻NAT定義

NAT（NetworkAddressTransla-tion）網(wǎng)絡(luò)地址翻譯最初設(shè)計目的是用來增加私有組織的可用地址空間和解決將現(xiàn)有的私有TCP/IP網(wǎng)絡(luò)連接到網(wǎng)上的IP地址編號問題網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第83頁。編輯課件84NAT防火墻NAT提供的功能內(nèi)部主機地址隱藏網(wǎng)絡(luò)負(fù)載均衡網(wǎng)絡(luò)地址交疊網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第84頁。編輯課件85NAT（網(wǎng)絡(luò)地址翻譯）根據(jù)內(nèi)部IP地址和外部IP地址的數(shù)量對應(yīng)關(guān)系，NAT分為：基本NAT：簡單的地址翻譯M-1，多個內(nèi)部網(wǎng)地址翻譯到1個IP地址M-N，多個內(nèi)部網(wǎng)地址翻譯到N個IP地址池網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第85頁。編輯課件86NAT的優(yōu)缺點優(yōu)點管理方便并且節(jié)約IP地址資源。隱藏內(nèi)部IP地址信息。僅當(dāng)向某個外部地址發(fā)送過出站包時，NAT才允許來自該地址的流量入站。

缺點外部應(yīng)用程序卻不能方便地與NAT網(wǎng)關(guān)后面的應(yīng)用程序聯(lián)系。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第86頁。編輯課件87防火墻布置簡單包過濾路由雙宿/多宿主機模式屏蔽主機模式屏蔽子網(wǎng)模式網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第87頁。編輯課件88包過濾路由內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過濾路由器優(yōu)點：配置簡單缺點：日志沒有或很少，難以判斷是否被入侵規(guī)則表會隨著應(yīng)用變得很復(fù)雜單一的部件保護，脆弱網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第88頁。編輯課件89雙宿/多宿主機模式堡壘主機：關(guān)鍵位置上用于安全防御的某個系統(tǒng)，攻擊者攻擊網(wǎng)絡(luò)必須先行攻擊的主機。雙宿/多宿主機防火墻又稱為雙宿/多宿網(wǎng)關(guān)防火墻，它是一種擁有兩個或多個連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，通常用一臺裝有兩塊或多塊網(wǎng)卡的堡壘主機做防火墻，兩塊或多塊網(wǎng)卡各自與受保護網(wǎng)和外部網(wǎng)相連網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第89頁。編輯課件90雙宿/多宿主機模式內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)應(yīng)用代理服務(wù)器完成：對外屏蔽內(nèi)網(wǎng)信息設(shè)置訪問控制對應(yīng)用層數(shù)據(jù)嚴(yán)格檢查網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第90頁。編輯課件91優(yōu)點：配置簡單檢查內(nèi)容更細(xì)致屏蔽了內(nèi)網(wǎng)結(jié)構(gòu)缺點：應(yīng)用代理本身的安全性網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第91頁。編輯課件92屏蔽主機內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過濾路由堡壘主機兩道屏障：網(wǎng)絡(luò)層的包過濾；應(yīng)用層代理服務(wù)注：與雙宿主機網(wǎng)關(guān)不同，這里的應(yīng)用網(wǎng)關(guān)只有一塊網(wǎng)卡。Web服務(wù)器網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第92頁。編輯課件93屏蔽主機優(yōu)點：雙重保護，安全性更高。實施策略：針對不同的服務(wù)，選擇其中的一種或兩種保護措施。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第93頁。編輯課件94屏蔽子網(wǎng)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)外部路由器內(nèi)部路由器周邊網(wǎng)絡(luò)（DMZ）網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第94頁。編輯課件95屏蔽子網(wǎng)1）周邊網(wǎng)絡(luò)：非軍事化區(qū)、?；饏^(qū)（DMZ）周邊網(wǎng)絡(luò)是另一個安全層,是在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò)。對于周邊網(wǎng)絡(luò)，如果某人侵入周邊網(wǎng)上的堡壘主機，他僅能探聽到周邊網(wǎng)上的通信。2）內(nèi)部路由器（阻塞路由器）：保護內(nèi)部的網(wǎng)絡(luò)使之免受Internet和周邊子網(wǎng)的侵犯。它為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第95頁。編輯課件96屏蔽子網(wǎng)3）外部路由器：在理論上，外部路由器保護周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來自Internet的侵犯。實際上，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾。外部路由器安全任務(wù)之一是：阻止從Internet上偽造源地址進來的任何數(shù)據(jù)包。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第96頁。編輯課件97優(yōu)點安全性較高可用性較好缺點配置復(fù)雜成本高網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第97頁。編輯課件98PIX網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第98頁。編輯課件994種管理訪問模式非特權(quán)模式

PIX防火墻開機自檢后，就是處于這種模式。系統(tǒng)顯示為pixfirewall>特權(quán)模式輸入enable進入特權(quán)模式，可以改變當(dāng)前配置。顯示為pixfirewall#配置模式輸入configureterminal進入此模式，絕大部分的系統(tǒng)配置都在這里進行。顯示為pixfirewall(config)#監(jiān)視模式

PIX防火墻在開機或重啟過程中，按住Escape鍵或發(fā)送一個"Break"字符，進入監(jiān)視模式。這里可以更新*作系統(tǒng)映象和口令恢復(fù)。顯示為monitor>網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第99頁。編輯課件1006個基本命令nameifinterfaceipaddressnatglobalroute網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第100頁。編輯課件101nameif配置防火墻接口的名字，并指定安全級別Pix525(config)#nameifethernet0outsidesecurity0Pix525(config)#nameifethernet1insidesecurity100Pix525(config)#nameifethernet2dmzsecurity50在缺省配置中，以太網(wǎng)0被命名為外部接口（outside），安全級別是0；以太網(wǎng)1被命名為內(nèi)部接口（inside），安全級別是100。安全級別取值范圍為1～99，數(shù)字越大安全級別越高。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第101頁。編輯課件102interface配置以太口參數(shù)Pix525(config)#interfaceethernet0autoauto選項表明系統(tǒng)自適應(yīng)網(wǎng)卡類型Pix525(config)#interfaceethernet1100full100full選項表示100Mbit/s以太網(wǎng)全雙工通信Pix525(config)#interfaceethernet1100fullshutdownshutdown選項表示關(guān)閉這個接口，若啟用接口去掉shutdown網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第102頁。編輯課件103ipaddressPix525(config)#ipaddressoutside248Pix525(config)#ipaddressinside很明顯，Pix525防火墻在外網(wǎng)的ip地址是2，內(nèi)網(wǎng)ip地址是

網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第103頁。編輯課件104nat指定要進行轉(zhuǎn)換的內(nèi)部地址網(wǎng)絡(luò)地址翻譯（nat）作用是將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)的公有ip.Nat命令總是與global命令一起使用，這是因為nat命令可以指定一臺主機或一段范圍的主機訪問外網(wǎng)，訪問外網(wǎng)時需要利用global所指定的地址池進行對外訪問。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第104頁。編輯課件105nat命令配置語法nat(if_name)nat_idlocal_ip[netmark]其中（if_name）表示內(nèi)網(wǎng)接口名字，例如inside。nat_id用來標(biāo)識全局地址池，使它與其相應(yīng)的global命令相匹配，local_ip表示內(nèi)網(wǎng)被分配的ip地址。例如表示內(nèi)網(wǎng)所有主機可以對外訪問。[netmark]表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第105頁。編輯課件106nat例子例1．Pix525(config)#nat(inside)100表示啟用nat,內(nèi)網(wǎng)的所有主機都可以訪問外網(wǎng)，用0可以代表例2．Pix525(config)#nat(inside)1表示只有這個網(wǎng)段內(nèi)的主機可以訪問外網(wǎng)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第106頁。編輯課件107global指定外部地址范圍global命令把內(nèi)網(wǎng)的ip地址翻譯成外網(wǎng)的ip地址或一段地址范圍。global命令的配置語法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中（if_name）表示外網(wǎng)接口名字，例如outside.。Nat_id用來標(biāo)識全局地址池，使它與其相應(yīng)的nat命令相匹配，ip_address-ip_address表示翻譯后的單個ip地址或一段ip地址范圍。[netmarkglobal_mask]表示全局ip地址的網(wǎng)絡(luò)掩碼。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第107頁。編輯課件108global例子例1．Pix525(config)#global(outside)12-8表示內(nèi)網(wǎng)的主機通過pix防火墻要訪問外網(wǎng)時，pix防火墻將使用2-8這段ip地址池為要訪問外網(wǎng)的主機分配一個全局ip地址。例2．Pix525(config)#global(outside)12表示內(nèi)網(wǎng)要訪問外網(wǎng)時，pix防火墻將為訪問外網(wǎng)的所有主機統(tǒng)一使用2這個單一ip地址。例3.Pix525(config)#noglobal(outside)12表示刪除這個全局表項。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第108頁。編輯課件109route設(shè)置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由（route）定義一條靜態(tài)路由。route命令配置語法：route(if_name)00gateway_ip[metric]其中（if_name）表示接口名字，例如inside，outside。gateway_ip表示網(wǎng)關(guān)路由器的ip地址。[metric]表示到gateway_ip的跳數(shù)。通常缺省是1。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第109頁。編輯課件110例1．Pix525(config)#routeoutside00681表示一條指向邊界路由器（ip地址68）的缺省路由。例2．Pix525(config)#routeinside1創(chuàng)建了一條到網(wǎng)絡(luò)的靜態(tài)路由，靜態(tài)路由的下一條路由器ip地址是

Pix525(config)#routeinside1網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第110頁。編輯課件111static配置靜態(tài)IP地址翻譯如果從外網(wǎng)發(fā)起一個會話，會話的目的地址是一個內(nèi)網(wǎng)的ip地址，static就把內(nèi)部地址翻譯成一個指定的全局地址，允許這個會話建立。static(internal_if_name，external_if_name)outside_ip_addressinside_ip_address其中internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口，安全級別較高，如inside。external_if_name為外部網(wǎng)絡(luò)接口，安全級別較低，如outside等。outside_ip_address為正在訪問的較低安全級別的接口上的ip地址。inside_ip_address為內(nèi)部網(wǎng)絡(luò)的本地ip地址。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第111頁。編輯課件112conduit管道命令前面講過使用static命令可以在一個本地ip地址和一個全局ip地址之間創(chuàng)建了一個靜態(tài)映射，但從外部到內(nèi)部接口的連接仍然會被pix防火墻的自適應(yīng)安全算法(ASA)阻擋。conduit命令用來允許數(shù)據(jù)流從具有較低安全級別的接口流向具有較高安全級別的接口，例如允許從外部到DMZ或內(nèi)部接口的入方向的會話。對于向內(nèi)部接口的連接，static和conduit命令將一起使用，來指定會話的建立。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第112頁。編輯課件113conduit命令配置語法conduitpermit|denyglobal_ipport[-port]protocolforeign_ip[netmask]permit|deny允許|拒絕訪問global_ip指的是先前由global或static命令定義的全局ip地址，如果global_ip為0，就用any代替0；如果global_ip是一臺主機，就用host命令參數(shù)。port指的是服務(wù)所作用的端口，例如www使用80，smtp使用25等等，我們可以通過服務(wù)名稱或端口數(shù)字來指定端口protocol指的是連接協(xié)議，比如：TCP、UDP、ICMP等。foreign_ip表示可訪問global_ip的外部ip。對于任意主機，可以用any表示。如果foreign_ip是一臺主機，就用host命令參數(shù)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第113頁。編輯課件114例1.Pix525(config)#conduitpermittcphosteqwwwany這個例子表示允許任何外部主機對全局地址的這臺主機進行http訪問。其中使用eq和一個端口來允許或拒絕對這個端口的訪問。Eqftp就是指允許或拒絕只對ftp的訪問。例2.Pix525(config)#conduitdenytcpanyeqftphost9表示不允許外部主機9對任何全局地址進行ftp訪問。例3.Pix525(config)#conduitpermiticmpanyany表示允許icmp消息向內(nèi)部和外部通過。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第114頁。編輯課件115例4.Pix525(config)#static(inside,outside)2Pix525(config)#conduitpermittcphost2eqwwwany這個例子說明static和conduit的關(guān)系。在內(nèi)網(wǎng)是一臺web服務(wù)器，現(xiàn)在希望外網(wǎng)的用戶能夠通過pix防火墻得到web服務(wù)。所以先做static靜態(tài)映射：－>2（全局），然后利用conduit命令允許任何外部主機對全局地址2進行http訪問。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第115頁。編輯課件116配置fixup協(xié)議fixup命令作用是啟用，禁止，改變一個服務(wù)或協(xié)議通過pix防火墻，由fixup命令指定的端口是pix防火墻要偵聽的服務(wù)。例1．Pix525(config)#fixupprotocolftp21啟用ftp協(xié)議，并指定ftp的端口號為21例2．Pix525(config)#fixupprotocolhttp80Pix525(config)#fixupprotocolhttp1080

為http協(xié)議指定80和1080兩個端口。例3．Pix525(config)#nofixupprotocolsmtp80

禁用smtp協(xié)議。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第116頁。編輯課件117telnet從內(nèi)網(wǎng)telnet：telnet55inside從外網(wǎng)需要使用IPSECVPN網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第117頁。編輯課件118防火墻的不足無法發(fā)現(xiàn)和阻止對合法服務(wù)的攻擊；無法發(fā)現(xiàn)和阻止源自其它入口的攻擊；無法發(fā)現(xiàn)和阻止來自內(nèi)部網(wǎng)絡(luò)的攻擊；無法發(fā)現(xiàn)和阻止來自特洛伊木馬的威脅；網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第118頁。編輯課件119繞過防火墻的攻擊穿過防火墻的攻擊行為IIS4.0和IIS5.0在Unicode字符解碼的實現(xiàn)中存在一個安全漏洞，導(dǎo)致用戶可以遠程通過IIS執(zhí)行任意命令。當(dāng)IIS打開文件時，如果該文件名包含unicode字符，它會對其進行解碼，如果用戶提供一些特殊的編碼，將導(dǎo)致IIS錯誤的打開或者執(zhí)行某些web根目錄以外的文件。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第119頁。編輯課件120據(jù)統(tǒng)計80%的成功攻擊來自于防火墻內(nèi)部！網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第120頁。編輯課件121入侵檢測技術(shù)通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點信息的收集和分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略行為和被攻擊跡象的一種安全技術(shù)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第121頁。編輯課件122入侵檢測的作用檢測防護部分阻止不了的入侵檢測入侵的前兆入侵事件的歸檔網(wǎng)絡(luò)受威脅程度的評估幫助從入侵事件中恢復(fù)網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第122頁。編輯課件123防火墻與入侵檢測防火墻屬于信息保障的保護環(huán)節(jié)門禁系統(tǒng)入侵檢測屬于信息保障的檢測環(huán)節(jié)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第123頁。編輯課件124入檢測檢測歷史入侵檢測的發(fā)源1980，JamesAnderson

提出入侵檢測的設(shè)想1987，DorothyDenning提出入侵檢測系統(tǒng)抽象模型主機入侵檢測1988，出現(xiàn)一批基于主機審計信息的入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵檢測1990，開始出現(xiàn)基于網(wǎng)絡(luò)數(shù)據(jù)的入侵檢測系統(tǒng)入侵檢測的新技術(shù)與新方法致力于提高入侵檢測系統(tǒng)的可伸縮性、可維護性、容錯性。一些新的思想，如免疫、信息挖掘引入到入侵檢測領(lǐng)域網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第124頁。編輯課件125入侵檢測的核心任務(wù)攻擊者進行攻擊的時候會留下痕跡，這些痕跡和系統(tǒng)正常運行的時候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測的任務(wù)就是從混合的數(shù)據(jù)中找出入侵的痕跡并作出響應(yīng)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第125頁。編輯課件126通用入侵檢測框架CIDF體系結(jié)構(gòu)：闡述了一個標(biāo)準(zhǔn)的IDS的通用模型組件通信：定義了IDS組件之間進行通信的標(biāo)準(zhǔn)協(xié)議語言規(guī)范：定義了一個用來描述各種檢測信息的標(biāo)準(zhǔn)語言編程接口：提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第126頁。編輯課件127CIDF體系結(jié)構(gòu)網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第127頁。編輯課件128CIDF組件事件產(chǎn)生器（Eventgenerators）事件分析器（Eventanalyzers）事件數(shù)據(jù)庫（Eventdatabases）響應(yīng)單元（Responseunits）網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第128頁。編輯課件129事件產(chǎn)生器數(shù)據(jù)獲取主機入侵檢測：系統(tǒng)審計記錄，應(yīng)用程序日志網(wǎng)絡(luò)入侵檢測：網(wǎng)絡(luò)流量復(fù)合型入侵檢測：其它安全產(chǎn)品的數(shù)據(jù)，如防火墻的事件記錄網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第129頁。編輯課件130事件分析器數(shù)據(jù)分析模式匹配統(tǒng)計分析網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第130頁。編輯課件131事件數(shù)據(jù)庫數(shù)據(jù)管理保存事件信息，包括正常事件和入侵事件用來存儲臨時處理數(shù)據(jù)，扮演各個組件之間的數(shù)據(jù)交換中心網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第131頁。編輯課件132響應(yīng)單元行為響應(yīng)主動響應(yīng)：自動干涉入侵，如切斷懷疑可能是攻擊行為的TCP連接，與防火墻聯(lián)動操作阻塞后續(xù)的數(shù)據(jù)包，甚至向被懷疑是攻擊來源的主機發(fā)動反擊被動響應(yīng)：僅僅啟動告警機制，向管理員提供信息，由管理員采取相應(yīng)行動網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第132頁。編輯課件133信息收集技術(shù)系統(tǒng)日志文件日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認(rèn)證信息等方面的內(nèi)容以用戶活動為例，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的訪問企圖等等。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第133頁。編輯課件134信息收集技術(shù)網(wǎng)絡(luò)流量遠程的網(wǎng)絡(luò)攻擊伴隨著攻擊數(shù)據(jù)的發(fā)送，比如掃描、口令攻擊、遠程的緩沖區(qū)溢出、腳本攻擊、假消息攻擊等。另外一些攻擊可能使網(wǎng)絡(luò)流量產(chǎn)生異常，比如特洛伊木馬、服務(wù)拒絕等等。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第134頁。編輯課件135信息收集技術(shù)系統(tǒng)目錄和文件的異常變化入侵者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第135頁。編輯課件136信息收集技術(shù)程序執(zhí)行中的異常行為針對程序漏洞的攻擊，常導(dǎo)致程序產(chǎn)生異常的行為，如發(fā)生緩沖區(qū)溢出，進行權(quán)限提升等。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第136頁。編輯課件137信息分析技術(shù)信息分析技術(shù)的技術(shù)指標(biāo)誤報率漏報率常用的信息分析技術(shù)包括模式匹配（基于知識的檢測）統(tǒng)計分析（基于行為的檢測）網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第137頁。編輯課件138模式匹配過程：監(jiān)控特征提取匹配判定網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第138頁。編輯課件139模式匹配的特點前提：所有的入侵行為都有可被檢測到的特征特點：系統(tǒng)負(fù)擔(dān)小準(zhǔn)確度高不能檢測未知的入侵網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第139頁。編輯課件140統(tǒng)計分析過程：監(jiān)控量化比較判定

修正網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第140頁。編輯課件141統(tǒng)計分析的特點前提入侵是異?；顒拥淖蛹?/p>

特點：測系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化能檢測到未知的入侵和更為復(fù)雜的入侵對系統(tǒng)資源消耗大系統(tǒng)誤報相對比較高，且不能適應(yīng)用戶正常行為的突然改變。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第141頁。編輯課件142入侵檢測部署目標(biāo)：檢測整個網(wǎng)絡(luò)信息網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第142頁。編輯課件143共享網(wǎng)絡(luò)的入侵檢測部署IDSSensorConsoleHUBMonitoredServers網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第143頁。編輯課件144交換網(wǎng)絡(luò)的入侵檢測部署IDSSensorConsole通過端口鏡像實現(xiàn)（SPAN/PortMonitor）SwitchMonitoredServers網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第144頁。編輯課件145分段網(wǎng)絡(luò)的部署在一個分段的網(wǎng)絡(luò)中，應(yīng)保證IDS的探測器可以監(jiān)聽到所有網(wǎng)絡(luò)數(shù)據(jù)IDSSensorConsoleIDSSensorSwitchMonitoredServersMonitoredServersRouter網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第145頁。編輯課件146發(fā)展趨勢分析技術(shù)的改進內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計功能的引入集成網(wǎng)絡(luò)分析和管理功能安全性和易用性的提高改進對大數(shù)據(jù)量網(wǎng)絡(luò)的處理方法防火墻聯(lián)動功能入侵防護系統(tǒng)（IPS）網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第146頁。編輯課件147IPS網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第147頁。編輯課件148TCP/IP協(xié)議棧對應(yīng)的VPN協(xié)議網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第148頁。編輯課件149VPN技術(shù)及應(yīng)用簡介-IPSECIPSEC協(xié)議簡介（RFC2401－2409等）IPSec（網(wǎng)絡(luò)安全協(xié)議）協(xié)議是一個協(xié)議集而不是一個單個的協(xié)議；IPSec協(xié)議給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)；自1995年IPSec的研究工作開始以來，IETF組織已經(jīng)積累了大量的標(biāo)準(zhǔn)文件集（RFC）。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第149頁。編輯課件150VPN技術(shù)及應(yīng)用簡介-IPSECIPSec協(xié)議的組成IPSec協(xié)議包括AH協(xié)議、ESP協(xié)議、密鑰管理協(xié)議（IKE協(xié)議）和用于網(wǎng)絡(luò)驗證及加密的一些算法等。IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源驗證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第150頁。編輯課件151IPSec基本原理對報文進行安全封裝后再在不可信賴網(wǎng)絡(luò)上傳輸并檢查和解除接收到的報文的安全封裝IPSEC隧道報文封裝報文解封AB網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第151頁。編輯課件152VPN技術(shù)及應(yīng)用簡介-IPSECIPSec認(rèn)證－AH協(xié)議其使用的包頭號放在標(biāo)準(zhǔn)的IPv4和IPv6包頭和下一個高層協(xié)議幀（如TCP、UDP、ICMP、ESP等）之間；國際IANA機構(gòu)分配給AH的協(xié)議號為51。IPv4包頭AH包頭高層協(xié)議AH協(xié)議提供數(shù)據(jù)的認(rèn)證服務(wù)；保證數(shù)據(jù)在傳輸過程中沒有被改變或破壞，數(shù)據(jù)的順序也沒有很大變化。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第152頁。編輯課件153VPN技術(shù)及應(yīng)用簡介-IPSECIPSec加密－ESP協(xié)議其使用的包頭號放在標(biāo)準(zhǔn)的IPv4和IPv6包頭和下一個高層協(xié)議幀（如TCP、UDP、ICMP等）之間。國際IANA機構(gòu)分配給ESP的協(xié)議號為50。IPv4包頭ESP包頭高層協(xié)議ESP協(xié)議為IP數(shù)據(jù)包提供機密性、數(shù)據(jù)源驗證、抗重播以及數(shù)據(jù)完整性等安全服務(wù)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第153頁。編輯課件154安全聯(lián)盟（SA）安全聯(lián)盟簡稱SA，是構(gòu)成IPSec的基礎(chǔ)。SA是兩個通信實體經(jīng)協(xié)商建立起來的一種協(xié)定。SA是單向的，雙向的通信需要兩個SA。主機A主機BSA（out）SA（in）SA（in）SA（out）共享相同的加密參數(shù)共享相同的加密參數(shù)網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第154頁。編輯課件155安全聯(lián)盟（SA）SA是安全策略通常用一個三元組唯一的表示：<SPI，IP目的地址，安全協(xié)議標(biāo)識符>SPI：安全參數(shù)索引(SecurityParametersIndex)，說明用SA的IP頭類型，它可以包含認(rèn)證算法、加密算法、用于認(rèn)證加密的密鑰以及密鑰的生存期；IP目的地址：指定輸出處理的目的IP地址，或輸入處理的源IP地址；安全協(xié)議標(biāo)識符：指明使用的協(xié)議是AH還是ESP或者兩者同時使用。網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁，當(dāng)前為第155頁。編輯課件156安全關(guān)聯(lián)數(shù)據(jù)庫SADSAD存放著和安全實體相關(guān)的所有SA，每個SA由三元組索引。一個SAD條目包含下列域：序列號計數(shù)器：32位整數(shù)，用于生成AH或ESP頭中的序列號；序列號溢出標(biāo)志：標(biāo)識是否對序列號計數(shù)器的溢出進行審核；抗重發(fā)窗口：使用一個32位計數(shù)器和位圖確定一個輸入的AH或ESP數(shù)據(jù)包是否是重發(fā)包；IPSec協(xié)議操作模式：傳輸或隧道；AH的認(rèn)證算法和所需密鑰；ESP的認(rèn)證算法和所需密鑰；ESP加