第10章 網(wǎng)絡(luò)安全技術(shù)

1、計(jì)算機(jī)網(wǎng)絡(luò)安全,主講人 劉曉輝,1,第10章 網(wǎng)絡(luò)安全技術(shù),網(wǎng)絡(luò)安全的威脅,網(wǎng)絡(luò)安全解決方案,網(wǎng)絡(luò)穩(wěn)定性方案,網(wǎng)絡(luò)安全設(shè)備,2,10.1 網(wǎng)絡(luò)安全的威脅,網(wǎng)絡(luò)面臨的威脅 網(wǎng)絡(luò)安全威脅根本源自于網(wǎng)絡(luò)自身的脆弱性。網(wǎng)絡(luò)的開放性和安全性本身即是一對(duì)固有矛盾，無(wú)法從根本上予以調(diào)和。再加上基于網(wǎng)絡(luò)的諸多已知和未知的人為與技術(shù)安全隱患，網(wǎng)絡(luò)很難實(shí)現(xiàn)自身的根本安全當(dāng)網(wǎng)絡(luò)不僅作為信息傳遞的平臺(tái)和工具，而且擔(dān)當(dāng)起控制系統(tǒng)的中樞時(shí)，運(yùn)行于網(wǎng)絡(luò)平臺(tái)的各種應(yīng)用和服務(wù)，也必然地處于相應(yīng)的威脅中。,3,10.1 網(wǎng)絡(luò)安全的威脅,威脅網(wǎng)絡(luò)安全的因素 系統(tǒng)漏洞威脅,4,10.1 網(wǎng)絡(luò)安全的威脅,威脅網(wǎng)絡(luò)安全的因素 人為因素威

2、脅 操作失誤 惡意攻擊 黑客入侵 踩點(diǎn)、掃描、突破、獲得管理權(quán)限、數(shù)據(jù)竊取、留取后門程序、清理痕跡。,5,10.2 網(wǎng)絡(luò)安全解決方案,網(wǎng)絡(luò)信息安全系統(tǒng) 體系結(jié)構(gòu) 計(jì)算機(jī)安全 通信保密安全 信息安全,6,10.2 網(wǎng)絡(luò)安全解決方案,網(wǎng)絡(luò)信息安全系統(tǒng) 體系結(jié)構(gòu) 計(jì)算機(jī)安全 通信保密安全 信息安全 安全機(jī)制 訪問(wèn)控制 保密性 完整性 可用性 不可抵賴性,安全標(biāo)準(zhǔn) 信息安全標(biāo)準(zhǔn)的產(chǎn)生 國(guó)際組織信息安全標(biāo)準(zhǔn) 國(guó)內(nèi)組織信息安全標(biāo)準(zhǔn) 美國(guó)國(guó)防部安全計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn),7,10.2 網(wǎng)絡(luò)安全解決方案,網(wǎng)絡(luò)安全體系結(jié)構(gòu) 體系結(jié)構(gòu) 環(huán)境安全 設(shè)備安全 媒體安全 網(wǎng)絡(luò)臨界點(diǎn)安全,網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃 內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的

3、隔離及訪問(wèn)控制 網(wǎng)絡(luò)安全檢測(cè) 審計(jì)與監(jiān)控 網(wǎng)絡(luò)防病毒 網(wǎng)絡(luò)備份系統(tǒng),8,10.2 網(wǎng)絡(luò)安全解決方案,網(wǎng)絡(luò)安全體系結(jié)構(gòu) 系統(tǒng)安全 對(duì)操作系統(tǒng)進(jìn)行安全配置，提高系統(tǒng)的安全性。 盡可能建立安全的系統(tǒng)平臺(tái)，而且通過(guò)專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞，修補(bǔ)漏洞，以提高系統(tǒng)的安全性。 網(wǎng)絡(luò)上的服務(wù)器和網(wǎng)絡(luò)設(shè)備盡可能不采取同一家的產(chǎn)品。 通過(guò)專業(yè)的安全工具（安全檢測(cè)系統(tǒng)）定期對(duì)網(wǎng)絡(luò)進(jìn)行安全評(píng)估。,9,10.2 網(wǎng)絡(luò)安全解決方案,網(wǎng)絡(luò)安全體系結(jié)構(gòu) 信息安全 在局域網(wǎng)絡(luò)內(nèi)，對(duì)不同的信息進(jìn)行區(qū)域規(guī)劃，執(zhí)行嚴(yán)格的授權(quán)訪問(wèn)機(jī)制。 將所有敏感信息都集中保存在網(wǎng)絡(luò)內(nèi)的文件服務(wù)器中 制定嚴(yán)格的文件訪問(wèn)權(quán)限 將不同類型的用戶劃分于不

4、同的用戶組或組織單位，并為用戶組和組織單位指定相應(yīng)的訪問(wèn)權(quán)限 安裝RMS服務(wù)，嚴(yán)格限制對(duì)敏感文件的操作 其他基于交換機(jī)和路由器的安全措施,10,10.2 網(wǎng)絡(luò)安全解決方案,網(wǎng)絡(luò)安全體系結(jié)構(gòu) 應(yīng)用安全 應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，并涉及到信息、數(shù)據(jù)的安全性，主要考慮通信的授權(quán)，傳輸?shù)募用芎蛯徲?jì)記錄。 管理的安全 建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。,11,10.2 網(wǎng)絡(luò)安全解決方案,網(wǎng)絡(luò)安全關(guān)鍵技術(shù) 網(wǎng)絡(luò)設(shè)備的安全

5、地址和端口轉(zhuǎn)換 控制虛擬終端訪問(wèn) 端口安全 設(shè)置訪問(wèn)列表 MAC地址綁定 VLAN安全 控制HTTP訪問(wèn) 阻止蠕蟲病毒,服務(wù)器安全 網(wǎng)絡(luò)連接策略 賬戶安全策略 本地安全策略 客戶端安全 系統(tǒng)自動(dòng)更新 安裝防病毒軟件 使用代理服務(wù)器 安裝個(gè)人防火墻,12,10.2 網(wǎng)絡(luò)安全解決方案,網(wǎng)絡(luò)安全關(guān)鍵技術(shù) 無(wú)線網(wǎng)絡(luò)安全 加密傳輸 身份驗(yàn)證 修改SSID并禁止SSID廣播 禁用DHCP服務(wù) 禁用或修改SNMP設(shè)置 使用訪問(wèn)列表 放置無(wú)線AP和天線,13,10.2 網(wǎng)絡(luò)安全解決方案,安全管理 安全管理規(guī)范 負(fù)責(zé)原則、有限原則、分離原則 網(wǎng)絡(luò)管理 管理員可以在管理機(jī)器上對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)上的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、

6、網(wǎng)絡(luò)上的防病毒軟件、入侵檢測(cè)探測(cè)器進(jìn)行綜合管理，同時(shí)利用安全分析軟件可以從不同角度對(duì)所有的設(shè)備、服務(wù)器、工作站進(jìn)行安全掃描，分析的安全漏洞，并采取相應(yīng)的措施。 安全管理 安全管理的主要功能指對(duì)安全設(shè)備的管理；監(jiān)視網(wǎng)絡(luò)危險(xiǎn)情況 ；身份認(rèn)證；對(duì)資源或用戶動(dòng)態(tài)的或靜態(tài)的審計(jì)；對(duì)違規(guī)事件，自動(dòng)生成報(bào)警或生成事件消息；口令管理；密鑰管理；冗余備份。,14,10.3 網(wǎng)絡(luò)穩(wěn)定性方案,數(shù)據(jù)備份 網(wǎng)絡(luò)服務(wù)的備份,15,10.3 網(wǎng)絡(luò)穩(wěn)定性方案,數(shù)據(jù)備份 數(shù)據(jù)庫(kù)的備份 數(shù)據(jù)庫(kù)備份是指對(duì)數(shù)據(jù)庫(kù)結(jié)構(gòu)和數(shù)據(jù)進(jìn)行拷貝，以便在數(shù)據(jù)庫(kù)出現(xiàn)故障的時(shí)候能夠恢復(fù)數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)故障是難以預(yù)測(cè)的，因此必須采取安全措施盡量防止數(shù)據(jù)庫(kù)出

7、現(xiàn)故障。 Access數(shù)據(jù)庫(kù)的備份 SQL Server數(shù)據(jù)庫(kù)備份,16,10.3 網(wǎng)絡(luò)穩(wěn)定性方案,網(wǎng)絡(luò)設(shè)備安全 地址和端口轉(zhuǎn)換 靜態(tài)地址轉(zhuǎn)換 動(dòng)態(tài)地址轉(zhuǎn)換 端口復(fù)用地址,17,10.3 網(wǎng)絡(luò)穩(wěn)定性方案,網(wǎng)絡(luò)設(shè)備安全 控制虛擬終端訪問(wèn) Switch# configure terminal Switch（config）# access-list access-lis -number permit ip-address Switch（config）# line vty 0 4 Switch（config-line）# access-class access-class-number in Swit

8、ch（config-line）# end Switch#,18,10.3 網(wǎng)絡(luò)穩(wěn)定性方案,網(wǎng)絡(luò)設(shè)備安全 端口安全 MAC地址的靜態(tài)指定。當(dāng)啟用了端口安全功能時(shí)，網(wǎng)站管理員可以將MAC地址進(jìn)行編碼。這種方法雖然安全，但在管理時(shí)比較麻煩。 MAC地址的動(dòng)態(tài)學(xué)習(xí)。如果沒(méi)有指定MAC地址，端口將為安全性打開學(xué)習(xí)功能，在端口上被發(fā)現(xiàn)的第一個(gè)源MAC地址將成為“安全”MAC地址。,19,10.3 網(wǎng)絡(luò)穩(wěn)定性方案,網(wǎng)絡(luò)設(shè)備安全 設(shè)置訪問(wèn)列表 創(chuàng)建標(biāo)準(zhǔn)IP訪問(wèn)列表的命令格式是： Switch（config-if）# access-list access-list-numbe deny | permit 創(chuàng)建擴(kuò)

9、展IP訪問(wèn)列表的命令格式是： Switch（config-if）# access-list access-list-numbe deny | permit protocol source source - wildcard destination destination-wildcard 當(dāng)利用訪問(wèn)列表阻止數(shù)據(jù)流進(jìn)入或離開某端口時(shí)： Switch（config-if）# ip access-group access-list-number in | out,20,10.3 網(wǎng)絡(luò)穩(wěn)定性方案,網(wǎng)絡(luò)設(shè)備安全 MAC地址綁定 使用下述命令，可將MAC地址與IP地址綁定在一起： Switch（confi

10、g-if）#arp ip-address mac-address arpa 使用下述命令，可將綁定在一起的MAC地址與IP地址拆開： Switch（config-if）#no arp ip-address mac-address arpa,21,10.3 網(wǎng)絡(luò)穩(wěn)定性方案,網(wǎng)絡(luò)設(shè)備安全 VLAN安全 在集中式網(wǎng)絡(luò)環(huán)境下，通常將敏感部門的所有主機(jī)系統(tǒng)集中到一個(gè)VLAN里，在這個(gè)VLAN里不允許有其他任何用戶節(jié)點(diǎn)，從而較好地保護(hù)這些主機(jī)中的資源。,22,10.3 網(wǎng)絡(luò)穩(wěn)定性方案,網(wǎng)絡(luò)設(shè)備安全 控制HTTP訪問(wèn) Cisco IOS允許通過(guò)Web瀏覽器管理網(wǎng)絡(luò)設(shè)備，所需的HTTP服務(wù)器軟件可在IOS 1

11、1.0及以后的版本中找到。若欲關(guān)閉HTTP遠(yuǎn)程管理服務(wù)，可使用下述命令： Switch（config）# no ip http server,23,10.3 網(wǎng)絡(luò)穩(wěn)定性方案,網(wǎng)絡(luò)設(shè)備安全 阻止蠕蟲病毒 創(chuàng)建擴(kuò)展訪問(wèn)列表 將訪問(wèn)列表應(yīng)用于VLAN,24,10.3 網(wǎng)絡(luò)穩(wěn)定性方案,網(wǎng)絡(luò)連接和設(shè)備冗余 連接冗余 EtherChannel,25,10.3 網(wǎng)絡(luò)穩(wěn)定性方案,網(wǎng)絡(luò)連接和設(shè)備冗余 中心設(shè)備冗余 網(wǎng)關(guān)負(fù)載均衡協(xié)議,26,10.3 網(wǎng)絡(luò)穩(wěn)定性方案,網(wǎng)絡(luò)連接和設(shè)備冗余 模塊冗余,27,10.4 網(wǎng)絡(luò)安全設(shè)備,網(wǎng)絡(luò)防火墻 網(wǎng)絡(luò)防火墻概述 防火墻最基本的功能就是將內(nèi)、外網(wǎng)絡(luò)隔離開，不僅確保不讓非法用戶

12、入侵，更要保證防止內(nèi)部信息的外泄。防火墻處于兩個(gè)網(wǎng)絡(luò)通信之間的一個(gè)檢查點(diǎn)，所有數(shù)據(jù)包必須通過(guò)防火墻。防火墻設(shè)備根據(jù)安全策略，對(duì)所經(jīng)過(guò)的數(shù)據(jù)包進(jìn)行監(jiān)視、過(guò)濾和檢查，達(dá)到保證網(wǎng)絡(luò)安全的目的。,28,10.4 網(wǎng)絡(luò)安全設(shè)備,網(wǎng)絡(luò)防火墻 網(wǎng)絡(luò)防火墻技術(shù) 數(shù)據(jù)包過(guò)濾技術(shù) 代理技術(shù) 狀態(tài)分析技術(shù),29,10.4 網(wǎng)絡(luò)安全設(shè)備,網(wǎng)絡(luò)防火墻 防火墻的局限性與脆弱性 無(wú)法檢測(cè)或攔截嵌入到普通流量中的惡意攻擊代碼。 墻無(wú)法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。 不經(jīng)過(guò)防火墻的數(shù)據(jù)，防火墻無(wú)法檢查。 絕大多數(shù)單位因?yàn)椴环奖?，不要求防火墻防?nèi)。 防火墻不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅。 防火墻不能防止人為或自然的破壞

13、。 當(dāng)防火墻準(zhǔn)許某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，防火墻不能防止利用該協(xié)議中的缺陷進(jìn)行的攻擊。,30,10.4 網(wǎng)絡(luò)安全設(shè)備,網(wǎng)絡(luò)防火墻 防火墻的局限性與脆弱性 黑客通過(guò)防火墻準(zhǔn)許的訪問(wèn)端口對(duì)該服務(wù)器的漏洞進(jìn)行攻擊，防火墻不能防止其攻擊的。 防火墻并不具備查殺病毒的功能。 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。 防火墻內(nèi)部的一個(gè)合法用戶主動(dòng)泄密，防火墻無(wú)能為力。 防火墻保護(hù)別人有時(shí)卻無(wú)法保護(hù)自己，目前還沒(méi)有廠商保證防火墻不會(huì)存在安全漏洞。因此對(duì)防火墻也必須提供某種安全保護(hù)。,31,10.4 網(wǎng)絡(luò)安全設(shè)備,網(wǎng)絡(luò)防火墻 防火墻在網(wǎng)絡(luò)中的位置及連接 常用連接方式,32,10.4 網(wǎng)絡(luò)安全設(shè)備,網(wǎng)絡(luò)防火墻 防火墻在網(wǎng)絡(luò)中的

14、位置及連接 連接局域網(wǎng)和廣域網(wǎng),33,10.4 網(wǎng)絡(luò)安全設(shè)備,網(wǎng)絡(luò)防火墻 防火墻在網(wǎng)絡(luò)中的位置及連接 連接內(nèi)部和第三方網(wǎng)絡(luò),34,10.4 網(wǎng)絡(luò)安全設(shè)備,網(wǎng)絡(luò)防火墻 防火墻在網(wǎng)絡(luò)中的位置及連接 連接同一部門的不同網(wǎng)絡(luò),35,10.4 網(wǎng)絡(luò)安全設(shè)備,入侵檢測(cè)系統(tǒng) IDS IDS概述,36,10.4 網(wǎng)絡(luò)安全設(shè)備,入侵檢測(cè)系統(tǒng) IDS的缺陷： 檢測(cè)范圍不夠廣 檢測(cè)效果不理想 無(wú)力防御UDP攻擊 只能檢測(cè)，不能防御 過(guò)分依賴檢測(cè)主機(jī) 難以突破百兆瓶頸 性能有待提高 伸縮性差 部署難度大 安全策略不夠豐富,37,10.4 網(wǎng)絡(luò)安全設(shè)備,入侵檢測(cè)系統(tǒng) IDS IDS的優(yōu)勢(shì)缺陷： 整體部署，實(shí)時(shí)檢測(cè)，對(duì)用戶當(dāng)前的操作進(jìn)行判斷，可及時(shí)發(fā)現(xiàn)入侵事件。 對(duì)于入侵與異常不必做出阻斷通信的決定，能夠從容提供大量的網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)，有利于在事后入侵分析中評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。 獨(dú)立于所檢測(cè)的網(wǎng)絡(luò)，使黑客難于消除入侵證據(jù)，便于入侵追蹤與網(wǎng)絡(luò)犯罪取證。 同一網(wǎng)段或者一臺(tái)主機(jī)上一般只需部署一個(gè)監(jiān)測(cè)點(diǎn)就近監(jiān)測(cè)，即速度快、成本低。,38,10.4 網(wǎng)絡(luò)安全設(shè)備,入侵檢測(cè)系統(tǒng) IDS與防火墻聯(lián)動(dòng),39,10.4 網(wǎng)絡(luò)安全設(shè)備,入侵防御系統(tǒng) IPS,40,10.4 網(wǎng)絡(luò)安全設(shè)備,入侵防御系統(tǒng) IPS的技術(shù)優(yōu)勢(shì)： 在線安裝 實(shí)時(shí)阻斷 先進(jìn)的檢測(cè)技術(shù) 特殊規(guī)