《網(wǎng)絡空間安全導論》 課件 18-網(wǎng)絡安全04-網(wǎng)絡安全防護技術

網(wǎng)絡安全基礎04

網(wǎng)絡安全防護技術（1）理解防火墻的概念、部署方式和工作模式了解防火墻的功能和缺陷熟悉防火墻的評價指標理解包過濾技術的基本原理教學目標防火墻的概念防火墻的功能與缺陷防火墻的評價指標包過濾技術目錄信任網(wǎng)絡防火墻非信任網(wǎng)絡定義防火墻是用于將信任網(wǎng)絡與非信任網(wǎng)絡隔離的一種技術，它通過制定相應的安全策略，可監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，來保護信任網(wǎng)絡，以防止發(fā)生不可預測的、具有潛在破壞性的侵入。防火墻的概念在網(wǎng)絡中的位置防火墻一般位于網(wǎng)絡數(shù)據(jù)流的必經(jīng)節(jié)點一般位于路由器后面，交換機前面防火墻與網(wǎng)絡一般是串聯(lián)關系防火墻的概念防火墻之外的網(wǎng)絡，一般為Internet，默認為風險區(qū)域。為了配置方便，內(nèi)網(wǎng)中需要向外網(wǎng)提供服務的服務器（如WWW、FTP、DNS等）往往放在內(nèi)網(wǎng)與Internet之間一個單獨的網(wǎng)段，即為DMZ。防火墻之內(nèi)的網(wǎng)絡，一般為局域網(wǎng)，默認為安全區(qū)域。安全域的典型劃分防火墻的概念如何理解防火墻的概念一種網(wǎng)絡安全防護機制用于加強網(wǎng)絡間（安全域間）的訪問控制防止外部用戶非法使用內(nèi)部網(wǎng)的資源，防止內(nèi)部網(wǎng)的敏感數(shù)據(jù)被外部用戶竊取能根據(jù)網(wǎng)絡安全策略控制（允許、拒絕、修改、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力防火墻的概念基本工作模式路由模式透明（橋接）模式防火墻的概念路由模式防火墻的概念透明（橋接）模式防火墻的概念防火墻的概念防火墻的功能與缺陷防火墻的評價指標包過濾技術目錄防火墻的典型功能訪問控制傳輸安全（VPN）路由地址轉(zhuǎn)換服務代理攻擊檢測和防御防火墻的功能與缺陷訪問控制傳輸安全路由地址轉(zhuǎn)換服務代理攻擊檢測與防御訪問控制訪問控制的機制類型自主訪問控制（DAC）強制訪問控制（MAC）訪問控制的對象服務控制：確定哪些服務可以被訪問方向控制：對于特定的服務，可以確定允許哪個方向能夠通過防火墻用戶控制：根據(jù)用戶來控制對服務的訪問行為控制：控制一個特定的服務的行為防火墻的功能與缺陷內(nèi)容監(jiān)控與過濾應用層防護支持常見協(xié)議基于誤用的自定義規(guī)則大都支持碎片重組URL過濾利用黑名單、白名單、自定義區(qū)分URL對網(wǎng)頁掛馬、釣魚網(wǎng)站有很好的效果防火墻的功能與缺陷防火墻的缺陷不能防范惡意的內(nèi)部用戶不能防范繞過防火墻的連接不能防范全新的安全威脅不適合防范數(shù)據(jù)驅(qū)動式攻擊防火墻的功能與缺陷防火墻的概念防火墻的功能與缺陷防火墻的評價指標包過濾技術目錄選購防火墻需要考慮的因素性能指標功能指標價格因素其它指標防火墻的評價指標性能指標吞吐量（Throughput）時延（Latency）丟包率（Packetlossrate）并發(fā)連接數(shù)防火墻的評價指標功能指標工作模式配置與管理方式接口的數(shù)量和類型日志和審計功能可用性參數(shù)以及其它參數(shù)（內(nèi)容過濾、入侵檢測、用戶認證、VPN與加密等主要的附加功能）防火墻的評價指標防火墻的概念防火墻的功能與缺陷防火墻的評價指標包過濾技術目錄CD數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對應的控制策略拆開數(shù)據(jù)包進行分析根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包控制策略

基于源IP地址基于目的IP地址基于源端口基于目的端口基于協(xié)議類型基于出入網(wǎng)口基于時間基于用戶靈活制定控制策略包過濾技術包過濾技術簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)！應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPETHTCP101010101IP101010101TCP101010101IP應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCP101010101只檢查報頭101001001001010010000011100111101111011101001001001010010000011100111101111011UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource查找對應的控制策略TCP101010101IPETH包過濾工作原理包過濾技術

IP源地址

IP目標地址

協(xié)議類型（TCP包、UDP包、ICMP包等）

TCP或UDP包的源端口

TCP或UDP包目的端口ICMP消息類型數(shù)據(jù)包過濾一般要檢查網(wǎng)絡層的IP頭和傳輸層頭五元組：源/目的地址、源/目的端口、協(xié)議類型包過濾規(guī)則包過濾技術包過濾默認規(guī)則默認禁止：僅放行明確允許的訪問行為，其他均禁止默認允許：僅禁止明確禁止的訪問行為，其他均允許包過濾技術序號動作源IP目的IP源端口目的端口協(xié)議類型1禁止any443TCP2允許/24any443TCP3允許/24443anyTCP如果將第1條規(guī)則調(diào)整到第3條規(guī)則之后，會是什么結果？包過濾規(guī)則實例1A網(wǎng)絡地址為/24，內(nèi)部服務器B地址為，如果只拒絕通過HTTPS訪問服務器B，而不限制A網(wǎng)絡中的其他主機，如何來設置包過濾規(guī)則？包過濾規(guī)則：1.禁止通過HTTPS訪問服務器B2.允許A網(wǎng)絡中其他的主機通過HTTPS訪問服務器B包過濾技術包過濾規(guī)則匹配流程提取數(shù)據(jù)包的相關信息，按照從頭到尾的順序，與規(guī)則表中的規(guī)則進行比較。如果符合其中的一條規(guī)則，則按照相應的規(guī)則處理該數(shù)據(jù)包（允許或拒絕），終止匹配。規(guī)則次序很關鍵，要把特殊的規(guī)則放在前面端，把相對不特殊的規(guī)則放在后端。默認規(guī)則位于規(guī)則列表末尾，用戶應該慎重設置默認規(guī)則。包過濾技術包過濾技術包過濾規(guī)則實例2

已知內(nèi)部網(wǎng)網(wǎng)絡地址為/24，外部網(wǎng)網(wǎng)絡地址為/24。現(xiàn)制定以下包過濾規(guī)則:1.除了IP地址為的主機，禁止其他外網(wǎng)主機用Telnet登錄到內(nèi)部網(wǎng)；

2.允許IP地址為的內(nèi)網(wǎng)主機使用Telnet登錄到外網(wǎng)主機；

3.允許任何主機使用SMTP往內(nèi)部網(wǎng)發(fā)送電子郵件；

4.只允許內(nèi)部主機使用FTP訪問外部主機，而限制其他的內(nèi)部主機；

5.允許任何ICMP數(shù)據(jù)通過；

6.允許內(nèi)部網(wǎng)任何主機發(fā)送WWW數(shù)據(jù)；

7.默認規(guī)則：不允許其他數(shù)據(jù)包通過。不考慮“回包”的處理，將這些策略寫成五元組包過濾規(guī)則表的格式。序號動作源地址目的地址源端口目的端口協(xié)議類型1允許/24any23TCP2禁止/24/24any23TCP3允許any23TCP4允許any/24any25TCP5允許any21，20TCP6禁止/24any21，20TCP7允許anyanyanyanyICMP8允許/24anyany80TCP9禁止anyanyanyanyany包過濾規(guī)則實例2包過濾技術包過濾技術的優(yōu)缺點優(yōu)點處理包速度較快對用戶和應用透明缺點維護比較難，定義過濾規(guī)則比較難不支持有效的用戶認證過濾條目多時，防火墻性能下降包過濾技術防火墻的概念防火墻的功能與缺陷防火墻的評價指標包過濾技術總結網(wǎng)絡安全基礎05

網(wǎng)絡安全防護技術（2）理解入侵檢測與VPN的作用、原理及部署方式了解計算機病毒的分類及防治技術教學目標入侵檢測技術VPN技術計算機病毒防治技術目錄入侵檢測的概念入侵檢測（IntrusionDetection）：對企圖入侵、正在進行的入侵或者已經(jīng)發(fā)生的入侵進行識別的過程。入侵檢測技術是一種能夠及時發(fā)現(xiàn)系統(tǒng)中未授權或異?，F(xiàn)象，并能根據(jù)系統(tǒng)安全規(guī)則進行檢測和報警的技術，是一種用于檢測計算機網(wǎng)絡系統(tǒng)中惡意行為的技術。入侵檢測系統(tǒng)（IntrusionDetection

System，簡稱IDS）：一種網(wǎng)絡安全設備（機制），通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測技術入侵檢測系統(tǒng)的作用事前警告：在黑客入侵之前，根據(jù)網(wǎng)絡異常情況發(fā)出告警。事中防御：在黑客入侵之時，根據(jù)惡意訪問特征及時發(fā)現(xiàn)入侵行為并采取適當措施。事后審計：在黑客入侵之后，根據(jù)惡意訪問的各種日志記錄，對入侵造成的損失進行審計，為修復系統(tǒng)、加固安全策略提供基本依據(jù)。安全策略管理：根據(jù)安全策略對入侵行為進行記錄和告警，并對各種警告進行輸出、存儲和查詢等。入侵檢測技術監(jiān)控室=控制中心保安=防火墻攝像機=入侵探測系統(tǒng)CardKey入侵檢測技術相關術語警報（alert）：當一個入侵正在發(fā)生或者試圖發(fā)生時，IDS將發(fā)布一個警報信息通知系統(tǒng)管理員特征（signatures）：一組能確定網(wǎng)絡訪問或系統(tǒng)行為是入侵行為的字符串、數(shù)據(jù)、行為模式或符號組合等誤報（falsepositive）：實際無害的事件卻被IDS檢測為攻擊事件漏報（falsenegative）：一個攻擊事件未被IDS檢測到或被分析人員認為是無害的蜜罐（honeypot）：一種資源，其價值在于被攻擊或攻陷入侵檢測技術通用入侵檢測系統(tǒng)模型（CIDF）事件產(chǎn)生器響應單元事件分析器存儲機制低級事件高級事件低級事件高級事件來自網(wǎng)絡中的數(shù)據(jù)包入侵檢測技術IDS分類根據(jù)檢測方式和技術分類基于知識的IDS：又稱為誤用檢測技術，通過某種方式預先定義規(guī)則（知識庫），然后監(jiān)視系統(tǒng)的運行，從中找出符合預先定義規(guī)則的入侵行為。基于行為的IDS：又稱為異常檢測技術，入侵和濫用行為通常和正常的行為存在嚴重的差異，檢查出這些差異就可以檢測出入侵。入侵檢測技術IDS分類根據(jù)部署位置和工作方式分類HIDS（主機入侵檢測系統(tǒng)）：運行于被檢測的主機上，通過查詢、監(jiān)聽當前系統(tǒng)的各種資源的使用運行狀態(tài)，檢測系統(tǒng)資源被非法使用和修改的事件，進行上報和處理。NIDS（網(wǎng)絡入侵檢測系統(tǒng)）：通過連接在網(wǎng)絡上的“探針”捕獲網(wǎng)絡上的包，并分析其是否具有已知的攻擊模式，以此來判斷是否是入侵行為。當該系統(tǒng)發(fā)現(xiàn)某些可疑的行為時會產(chǎn)生報警（NIPS同時還可以根據(jù)安全策略對該行為進行阻斷）。入侵檢測技術HIDS部署方式PC1PC2PC3agentagentagentIDSServer交換機防火墻路由器入侵檢測技術NIDS部署方式PC1PC2PC3IDS探針（旁路方式部署）交換機IDS管理控制中心防火墻路由器入侵檢測技術入侵檢測技術VPN技術計算機病毒防治技術目錄VPN技術為什么需要VPN問題一：私有IP網(wǎng)絡之間無法通過Internet互聯(lián)，如何解決？問題二：異種網(wǎng)絡（IPX、AppleTalk）之間無法通過Internet直接進行通信，如何解決？問題三：對于一個企業(yè)，如何保證出差員工、分支機構、合作伙伴能接入自己的內(nèi)網(wǎng)？VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)）依靠網(wǎng)絡服務提供商NSP（NetworkServiceProvider）在公共網(wǎng)絡中建立的虛擬專用通信網(wǎng)絡。VPN的特點專用（Private）：對于VPN用戶，使用VPN與使用傳統(tǒng)專網(wǎng)沒有區(qū)別，VPN與底層承載網(wǎng)絡之間保持資源獨立，VPN內(nèi)部信息不受外部侵擾。虛擬（Virtual）：VPN用戶內(nèi)部的通信是通過公共網(wǎng)絡進行的，而這個公共網(wǎng)絡同時也可以被其他非VPN用戶使用，VPN用戶獲得的只是一個邏輯意義上的專網(wǎng)。這個公共網(wǎng)絡也被稱為VPN骨干網(wǎng)（VPNBackbone）。VPN技術VPN的優(yōu)勢安全：在遠端用戶、駐外機構、合作伙伴、供應商與公司總部之間建立可靠的連接，保證數(shù)據(jù)傳輸?shù)陌踩?。廉價：利用公共網(wǎng)絡進行信息通訊，企業(yè)可以用更低的成本連接遠程辦事機構、出差人員和業(yè)務伙伴。支持移動業(yè)務：支持駐外VPN用戶在任何時間、任何地點的移動接入，能夠滿足不斷增長的移動業(yè)務需求?？蓴U展性：由于VPN為邏輯上的網(wǎng)絡，物理網(wǎng)絡中增加或修改節(jié)點，不影響VPN的部署。VPN技術VPN技術VPN的分類按應用類型分類遠程訪問VPN（AccessVPN）：面向出差員工，允許出差員工跨越公用網(wǎng)絡遠程接入公司內(nèi)部網(wǎng)絡。內(nèi)部VPN（IntranetVPN）：面向分支結構，通過公用網(wǎng)絡進行企業(yè)內(nèi)部各個分支網(wǎng)絡的互連。擴展VPN（ExtranetVPN）：面向合作伙伴，使不同企業(yè)間通過公網(wǎng)來構筑“專線”。VPN技術遠程訪問VPN內(nèi)部VPN擴展VPNVPN技術VPN的分類按組網(wǎng)類型分類基于VPN的遠程訪問（主機到網(wǎng)關）基于VPN的網(wǎng)絡互連（網(wǎng)關到網(wǎng)關）基于VPN的點對點通信（主機到主機）VPN技術VPN的分類按實現(xiàn)層次分類基于數(shù)據(jù)鏈路層的VPN：PPTPVPN、L2FVPN、L2TPVPN基于網(wǎng)絡層的VPN：GREVPN、IPSecVPN基于應用層的VPN：SSLVPNVPN的關鍵技術隧道技術隧道技術是VPN的基本技術，類似于點到點連接技術。它的基本過程就是在數(shù)據(jù)進入源VPN網(wǎng)關時，將數(shù)據(jù)“封裝”后通過公網(wǎng)傳輸?shù)侥康腣PN網(wǎng)關，再對數(shù)據(jù)“解封裝”?！胺庋b/解封裝”過程本身就可以為原始報文提供安全防護功能，所以被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為“隧道”。VPN技術VPN的關鍵技術身份認證技術：通過對用戶的身份進行認證，確保接入內(nèi)部網(wǎng)絡的用戶是合法用戶，而非惡意用戶。加密技術：把能讀懂的報文變成無法讀懂的報文，也就是把明文變成密文。數(shù)據(jù)驗證技術：對收到的報文進行完整性和真實性校驗，對于偽造的、被篡改的數(shù)據(jù)進行丟棄。VPN技術VPN技術GREVPNL2TPVPNIPSecVPNSSLVPN保護范圍IP層及以上數(shù)據(jù)IP層及以上數(shù)據(jù)IP層及以上數(shù)據(jù)應用層特定數(shù)據(jù)適用場景IntranetVPNAccessVPN、ExtranetVPNIntranetVPN、AccessVPNAccessVPN身份認證技術不支持支持，基于PPP的CHAP、PAP、EAP認證支持，采用“IP或ID+口令或證書”進行數(shù)據(jù)源認證；IKEv2撥號方式采用EAP進行用戶身份認證支持，“用戶名+口令+證書”對服務器進行認證，也可以進行雙向認證加密技術不支持不支持支持支持數(shù)據(jù)驗證技術支持（校驗和方式驗證、關鍵字驗證）不支持支持支持如何使用GREoverIPSecL2TPoverIPSec單獨使用IPSec，或用IPSec保護GRE、L2TPSSLVPN入侵檢測技術VPN技術計算機病毒防治技術目錄計算機病毒的定義從廣義上講，能夠引起計算機故障、破壞計算機數(shù)據(jù)、影響計算機正常運行的指令或者代碼，均統(tǒng)稱為計算機病毒（computervirus）。計算機病毒防治技術《中華人民共和國計算機信息系統(tǒng)安全保護條例》（1994年2月18日頒布實施）中第二十八條規(guī)定：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼?！庇嬎銠C病毒的特點破壞性：計算機病毒的首要特征，任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應用程序產(chǎn)生不同程度的影響，輕者占用系統(tǒng)資源、降低計算機工作效率，重者竊取或破壞數(shù)據(jù)、破壞正常程序，甚至導致系統(tǒng)崩潰。傳染性：計算機病毒與生物病毒一樣具有傳染性。病毒會通過網(wǎng)絡、移動存儲介質(zhì)等各種渠道，從已被感染的計算機擴散到為被感染的計算機中，感染型病毒會直接將自己植入正常文件的方式來進行傳播。隱蔽性：計算機病毒通常沒有任何可見的界面，為了最大限度提高自己在被攻擊系統(tǒng)上的生命周期，會采用隱藏進程、文件等手段，千