《5 网络设备安全技术 ppt课件.ppt》由会员分享,可在线阅读,更多相关《5 网络设备安全技术 ppt课件.ppt(118页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、5 网络设备安全技术网络设备安全技术 ppt课件课件信息安全基础信息安全基础第第5章章 网络设备安全技术网络设备安全技术【学习目标】【学习目标】l了解防火墙、入侵检测、虚拟专用网、网络隔了解防火墙、入侵检测、虚拟专用网、网络隔离和统一威胁管理系统的概念,知道相关产品离和统一威胁管理系统的概念,知道相关产品的作用;的作用;l掌握防火墙、入侵检测、虚拟专用网等的关键掌握防火墙、入侵检测、虚拟专用网等的关键技术;技术;l了解相关网络安全的常见产品。了解相关网络安全的常见产品。案例导读案例导读l美国棱镜门的启示美国棱镜门的启示课程思政课程思政l芯片卡脖子的警示芯片卡脖子的警示5.1防火墙技术防火墙技术
2、防火墙概述防火墙概述1防火墙的基本概念防火墙的基本概念在现代计算机网络中,防火墙则是指一种协助确在现代计算机网络中,防火墙则是指一种协助确保信息安全的设施,其会依照特定的规则,允保信息安全的设施,其会依照特定的规则,允许或是禁止传输的数据通过。防火墙通常位于许或是禁止传输的数据通过。防火墙通常位于一个可信任的内部网络与一个不可信任的外界一个可信任的内部网络与一个不可信任的外界网络之间,用于保护内部网络免受非法用户的网络之间,用于保护内部网络免受非法用户的入侵。入侵。防火墙的逻辑部署防火墙的逻辑部署图图5-1防火墙的逻辑部署防火墙的逻辑部署5.1防火墙技术防火墙技术2防火墙的功能防火墙的功能防火
3、墙最基本的功能就是控制在计算机网络中,防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任网是不可信任的区域,而内部网络是高度信任的区域。具体包括以下四个方面。的区域。具体包括以下四个方面。(1)防火墙是网络安全的屏障)防火墙是网络安全的屏障(2)防火墙可以强化网络安全策略)防火墙可以强化网络安全策略(3)对网络存取和访问进行监控审计)对网络存取和访问进行监控审计(4)防止内部信息的外泄)防止内部信息的外泄5.1防火墙技术防火墙技术3防火墙的局限性防火墙的局限性虽然防火墙在网络安全部署
4、中起到非常重要的作用,但它并不是万能的。下面总虽然防火墙在网络安全部署中起到非常重要的作用,但它并不是万能的。下面总结了它的十个方面的缺陷。结了它的十个方面的缺陷。(1)防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无)防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查。法检查。(2)防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防)防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内,谁都不可信,但绝大多数单位因为不方便,不要求防火墙防内。外也防内,谁都不可信,但绝大多数单位因为不方便,不要求防火墙防内。(3)防火墙不能
5、防止策略配置不当或错误配置引起的安全威胁。防火墙是一个)防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,要根据政策规定来执行安全,而被动的安全策略执行设备,就像门卫一样,要根据政策规定来执行安全,而不能自作主张。不能自作主张。(4)防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但)防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。防火墙本身必须存在于一个安全的地方。(5)防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许)防火墙不能防止利用标准网络协议中的缺陷进
6、行的攻击。一旦防火墙准许某些标准网络协议,防火墙不能防止利用该协议中的缺陷进行的攻击。某些标准网络协议,防火墙不能防止利用该协议中的缺陷进行的攻击。5.1防火墙技术防火墙技术(5)防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防)防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙不能防止。火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙不能防止。(7)防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备)防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒的软件,也没有一种软查杀病
7、毒的功能,即使集成了第三方的防病毒的软件,也没有一种软件可以查杀所有的病毒。件可以查杀所有的病毒。(8)防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据)防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。攻击。(9)防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主)防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密,防火墙是无能为力的。动泄密,防火墙是无能为力的。(10)防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却)防火墙不
8、能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己,目前还没有厂商绝对保证防火墙不会存在安全漏洞。无法保护自己,目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。因此对防火墙也必须提供某种安全保护。5.1防火墙技术防火墙技术防火墙技术概述防火墙技术概述1包过滤技术包过滤技术包过滤技术是防火墙最基本的实现技术,具有包包过滤技术是防火墙最基本的实现技术,具有包过滤技术的装置是用来控制内、外网络数据流过滤技术的装置是用来控制内、外网络数据流入和流出,包过滤技术的数据包大部分是基于入和流出,包过滤技术的数据包大部分是基于TCP/IP协议平台的,对数据流的每个包
9、进行协议平台的,对数据流的每个包进行检查,根据数据报的源地址、目的地址、检查,根据数据报的源地址、目的地址、TCP和和IP的端口号,以及的端口号,以及TCP的其他状态来确定是的其他状态来确定是否允许数据包通过。否允许数据包通过。包过滤技术及其工作原理包过滤技术及其工作原理l表示层表示层l会话层会话层l网络层网络层l数据链路层数据链路层l物理层物理层l传输层传输层l应用层应用层l表示层表示层l会话层会话层l网络层网络层l数据链路层数据链路层l物理层物理层l传输层传输层l应用层应用层l表示层表示层l会话层会话层l网络层网络层l数据链路层数据链路层l物理层物理层l传输层传输层l 非信任域非信任域 防
10、火墙防火墙 信任信任域域l应用层应用层l 网络层网络层 网络层网络层 网络层网络层包过滤技术及其工作原理包过滤技术及其工作原理包过滤技术包过滤技术包过滤技术的基础是包过滤技术的基础是ACL(Access List Control,访问控制列表),其作用是定义报,访问控制列表),其作用是定义报文匹配规则。文匹配规则。ACL可以限制网络流量、提高网可以限制网络流量、提高网络性能。在实施络性能。在实施ACL的过程中,应遵循两个基的过程中,应遵循两个基本原则:最小特权原则:只给受控对象完成任本原则:最小特权原则:只给受控对象完成任务所必须的最小的权限;最靠近受控对象原则务所必须的最小的权限;最靠近受控
11、对象原则:所有的网络层访问权限控制。:所有的网络层访问权限控制。5.1防火墙技术防火墙技术防火墙技术概述防火墙技术概述2应用网关技术应用网关技术应用网关(应用网关(Application Gateway)技术又被称)技术又被称为代理技术。它的逻辑位置在为代理技术。它的逻辑位置在OSI七层协议的七层协议的应用层上,所以主要采用协议代理服务(应用层上,所以主要采用协议代理服务(Proxy Services)。)。应用网关(应用网关(Application Gateway)技术技术代理服务器可以解决诸如代理服务器可以解决诸如IP地址耗尽、网络资源地址耗尽、网络资源争用和网络安全等问题。下面从代理服务
12、器的争用和网络安全等问题。下面从代理服务器的功能和代理服务器的原理两个方面介绍代理技功能和代理服务器的原理两个方面介绍代理技术。术。(1)代理服务器的功能)代理服务器的功能(2)代理服务器的原理)代理服务器的原理代理服务器的原理代理服务器的原理l访问控制列表l(ACL)l缓存lCachelInternetl代理服务器l图图5-4 Web代理的原理代理的原理代理服务器代理服务器l代理服务器是接收和解释客户端连接并发起到代理服务器是接收和解释客户端连接并发起到服务器的新连接的网络节点,这意味着代理服服务器的新连接的网络节点,这意味着代理服务器必须满足以下条件:务器必须满足以下条件:l第一:能够接收
13、和解释客户端的请求;第一:能够接收和解释客户端的请求;l第二:能够创建到服务器的新连接;第二:能够创建到服务器的新连接;l第三:能够接收服务器发来的响应;第三:能够接收服务器发来的响应;l第四:能够发出或解释服务器的响应并将该响第四:能够发出或解释服务器的响应并将该响应传回给客户端。应传回给客户端。l因此实现代理服务器必须同时要实现服务器和因此实现代理服务器必须同时要实现服务器和客户端两端的功能。客户端两端的功能。5.1防火墙技术防火墙技术防火墙技术概述防火墙技术概述3状态检测技术状态检测技术状态检测包过滤和应用代理这两种技术目前仍然状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍
14、采用的主流技术,但两种是防火墙市场中普遍采用的主流技术,但两种技术正在形成一种融合的趋势,演变的结果也技术正在形成一种融合的趋势,演变的结果也许会导致一种新的结构名称的出现。状态检查许会导致一种新的结构名称的出现。状态检查技术原理如图技术原理如图5-5所示。所示。状态检查技术原理状态检查技术原理l图图5-5 状态检查技术原理状态检查技术原理5.1防火墙技术防火墙技术防火墙技术概述防火墙技术概述3状态检测技术状态检测技术传统的包过滤防火墙只是通过检测传统的包过滤防火墙只是通过检测IP包头的相关包头的相关信息来决定数据流的通过还是拒绝,而状态检信息来决定数据流的通过还是拒绝,而状态检测技术采用的是
15、一种基于连接的状态检测机制测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素态表的共同配合,对表中的各个连接状态因素加以识别。加以识别。NAT地址转换地址转换l图图5-5 NAT地址转换地址转换状态检查技术原理状态检查技术原理l图图5-5 状态检查技术原理状态检查技术原理5.1防火墙技术防火墙技术4.网络地址转换(网络地址转换(NAT)技术)技术(1)NAT(网络地址转换)的定义(网络地址转换)的定义NAT
16、英文全称是英文全称是Network Address Translation,称是网络地址转换,它是一个,称是网络地址转换,它是一个IETF标准,标准,允许一个机构以一个地址出现在允许一个机构以一个地址出现在Internet上。上。NAT将每个局域网节点的地址转换成一个将每个局域网节点的地址转换成一个IP地地址,反之亦然。址,反之亦然。5.1防火墙技术防火墙技术4.网络地址转换(网络地址转换(NAT)技术)技术(2)NAT技术的基本原理和类型技术的基本原理和类型1)NAT技术基本原理技术基本原理NAT技术能帮助解决令人头痛的技术能帮助解决令人头痛的IP地址紧缺的问地址紧缺的问题,而且能使得内外网
17、络隔离,提供一定的网题,而且能使得内外网络隔离,提供一定的网络安全保障。它解决问题的办法是:在内部网络安全保障。它解决问题的办法是:在内部网络中使用内部地址,通过络中使用内部地址,通过NAT把内部地址翻译把内部地址翻译成合法的成合法的IP地址在地址在Internet上使用,其具体的上使用,其具体的做法是把做法是把IP包内的地址域用合法的包内的地址域用合法的IP地址来替地址来替换。换。5.1防火墙技术防火墙技术2)NAT技术的类型技术的类型(2)NAT技术的基本原理和类型技术的基本原理和类型NAT有三种类型:静态有三种类型:静态NAT(Static NAT)、动态、动态地址地址NAT(Poole
18、d NAT)、网络地址端口转换、网络地址端口转换NAPT(PortLevel NAT)。)。5.1防火墙技术防火墙技术4.网络地址转换(网络地址转换(NAT)技术)技术(3)NAT的优点和缺点的优点和缺点NAT的优点:的优点:1)宽带共享:)宽带共享:2)安全防护)安全防护NAT的缺点:的缺点:NAT的局限性:的局限性:5.1防火墙技术防火墙技术防火墙的体系结构防火墙的体系结构1.包过滤型防火墙包过滤型防火墙包过滤型防火墙也称包(分组)过滤型路由器,包过滤型防火墙也称包(分组)过滤型路由器,是最基本、最简单的一种防火墙,位于内部网是最基本、最简单的一种防火墙,位于内部网络与外部网络之间。内部网
19、络的所有出入都必络与外部网络之间。内部网络的所有出入都必须通过包过滤型路由器,包过滤型路由器审查须通过包过滤型路由器,包过滤型路由器审查每个数据包,根据过滤规则决定允许或拒绝数每个数据包,根据过滤规则决定允许或拒绝数据包。据包。5.1防火墙技术防火墙技术防火墙的体系结构防火墙的体系结构包过滤型防火墙可以在一般的路由器上实现,也包过滤型防火墙可以在一般的路由器上实现,也可以在基于主机的路由器上实现,其配置如图可以在基于主机的路由器上实现,其配置如图5-7所示。所示。l图图5-7 包过滤型防火墙的配包过滤型防火墙的配置置包过滤型路由器的优点包过滤型路由器的优点l(1)一个过滤路由器能协助保护整个网
20、络。)一个过滤路由器能协助保护整个网络。绝大多数绝大多数Internet防火墙系统只用一个包过滤防火墙系统只用一个包过滤路由器;路由器;l(2)过滤路由器速度快、效率高。执行包过)过滤路由器速度快、效率高。执行包过滤所用的时间很少或几乎不需要什么时间,由滤所用的时间很少或几乎不需要什么时间,由于过滤路由器只检查报头相应的字段,一般不于过滤路由器只检查报头相应的字段,一般不查看数据报的内容,而且某些核心部分是由专查看数据报的内容,而且某些核心部分是由专用硬件实现的,如果通信负载适中且定义的过用硬件实现的,如果通信负载适中且定义的过滤很少的话,则对路由器性能没有多大影响;滤很少的话,则对路由器性能
21、没有多大影响;l(3)包过滤路由器对终端用户和应用程序是)包过滤路由器对终端用户和应用程序是透明的。透明的。包过滤型路由器的缺点包过滤型路由器的缺点l(1)定义包过滤器可能是一项复杂的工作。)定义包过滤器可能是一项复杂的工作。l(2)路由器信息包的吞吐量随过滤器数量的增)路由器信息包的吞吐量随过滤器数量的增加而减少。加而减少。l(3)不能彻底防止地址欺骗。)不能彻底防止地址欺骗。l(4)一些应用协议不适合于数据包过滤。)一些应用协议不适合于数据包过滤。l(5)正常的数据包过滤路由器无法执行某些安)正常的数据包过滤路由器无法执行某些安全策略。全策略。l(5)一些包过滤路由器不提供任何日志能力,)
22、一些包过滤路由器不提供任何日志能力,直到闯入发生后,危险的封包才可能检测出来。直到闯入发生后,危险的封包才可能检测出来。它可以阻止非法用户进入内部网络,但也不会告它可以阻止非法用户进入内部网络,但也不会告诉我们究竟都有谁来过,或者谁从内部进入了外诉我们究竟都有谁来过,或者谁从内部进入了外部网络。部网络。5.1防火墙技术防火墙技术防火墙的体系结构防火墙的体系结构2.双宿主主机防火墙双宿主主机防火墙这种防火墙系统由一种特殊的主机来实现,这台这种防火墙系统由一种特殊的主机来实现,这台主机拥有两个不同的网络接口,一端接外部网主机拥有两个不同的网络接口,一端接外部网络,另一端需要保护的内部网络,并运行代
23、理络,另一端需要保护的内部网络,并运行代理服务器软件,故被称为双宿主主机防火墙,如服务器软件,故被称为双宿主主机防火墙,如图图5-8所示。所示。双宿主主机防火墙双宿主主机防火墙l图图5-8 双宿主主机防火墙双宿主主机防火墙双宿主主机防火墙双宿主主机防火墙双宿主主机防火墙的优点双宿主主机防火墙的优点双宿主主机防火墙的缺点双宿主主机防火墙的缺点5.1防火墙技术防火墙技术防火墙的体系结构防火墙的体系结构3.屏蔽主机防火墙屏蔽主机防火墙屏蔽主机防火墙由一台包过滤型路由器和一台堡屏蔽主机防火墙由一台包过滤型路由器和一台堡垒主机组成,如图垒主机组成,如图5-9所示。所示。l图图5-9 屏蔽主机防火墙屏蔽主
24、机防火墙5.1防火墙技术防火墙技术防火墙的体系结构防火墙的体系结构3.屏蔽主机防火墙屏蔽主机防火墙(1)屏蔽主机网关防火墙的优点)屏蔽主机网关防火墙的优点(2)屏蔽主机网关防火墙的缺点)屏蔽主机网关防火墙的缺点5.1防火墙技术防火墙技术防火墙的体系结构防火墙的体系结构4.屏蔽子网防火墙屏蔽子网防火墙屏蔽子网防火墙是在屏蔽主机网关防火墙的配置屏蔽子网防火墙是在屏蔽主机网关防火墙的配置上加上另一个包过滤型路由器,如图上加上另一个包过滤型路由器,如图5-10所示所示l图图5-10 屏蔽子网防火墙屏蔽子网防火墙(DMZ)5.1防火墙技术防火墙技术防火墙的体系结构防火墙的体系结构4.屏蔽子网防火墙屏蔽子
25、网防火墙(1)屏蔽子网防火墙的优点屏蔽子网防火墙的优点(2)屏蔽子网防火墙的缺点屏蔽子网防火墙的缺点5.1防火墙技术防火墙技术防火墙的常见产品防火墙的常见产品1.NetScreen108防火墙防火墙2.Cisco Secure PIX 515-E防火墙防火墙3.天融信网络卫士天融信网络卫士NGFW4000-S防火墙防火墙4.东软东软NetEye 4032防火墙防火墙5.2入侵检测技术入侵检测技术入侵检测概述入侵检测概述入侵检测是监控计算机系统或网络中所发生的事入侵检测是监控计算机系统或网络中所发生的事件并分析这些事件以查找可能的事故的过程,件并分析这些事件以查找可能的事故的过程,这些事故违反或
26、者即将违反计算机安全策略、这些事故违反或者即将违反计算机安全策略、可接受使用策略或标准安全实践。入侵检测系可接受使用策略或标准安全实践。入侵检测系统(统(Instrusion Detection System,IDS)是)是自动化入侵检测过程的软件和硬件的组合。自动化入侵检测过程的软件和硬件的组合。入侵检测应用入侵检测应用入侵检测应用示意图如图入侵检测应用示意图如图5-11所示。所示。l图图5-11 入侵检测应用示意图入侵检测应用示意图5.2入侵检测技术入侵检测技术入侵检测系统的技术实现入侵检测系统的技术实现1.入侵检测系统的组成入侵检测系统的组成入侵检测系统的组成如图入侵检测系统的组成如图5
27、-12所示。所示。l图图5-12 入侵检测系统的组成入侵检测系统的组成5.2入侵检测技术入侵检测技术入侵检测系统的技术实现入侵检测系统的技术实现2.入侵检测系统的功能入侵检测系统的功能一个入侵检测系统,至少应该能够完成如下功能一个入侵检测系统,至少应该能够完成如下功能(1)监控、分析用户和系统的活动)监控、分析用户和系统的活动(2)发现入侵企图或异常现象)发现入侵企图或异常现象(3)记录、报警和响应)记录、报警和响应5.2入侵检测技术入侵检测技术入侵检测系统的技术实现入侵检测系统的技术实现3.入侵检测系统的工作原理入侵检测系统的工作原理在安全体系中,在安全体系中,IDS是唯一一个通过数据和行为
28、是唯一一个通过数据和行为模式判断其是否有效的系统。模式判断其是否有效的系统。如图如图5-13所示,入侵检测系统在网络连接过程中所示,入侵检测系统在网络连接过程中通过实时监测网络中的各种数据,并与自己的通过实时监测网络中的各种数据,并与自己的入侵规则库进行匹配判断,一旦发生入侵迹象入侵规则库进行匹配判断,一旦发生入侵迹象立即响应立即响应/报警,从而完成整个实时监测。入报警,从而完成整个实时监测。入侵检测系统通过安全审计将历史事件一一记录侵检测系统通过安全审计将历史事件一一记录下来,作为证据和为实施数据恢复做准备。下来,作为证据和为实施数据恢复做准备。实时监控系统实时监控系统l图图5-13 实时监
29、控系统实时监控系统通用入侵监测系统模型(通用入侵监测系统模型(NIDS)图图5-14 通用入侵监测系统模型(通用入侵监测系统模型(NIDS)通用入侵监测系统模型(通用入侵监测系统模型(NIDS)l数据收集器:主要负责收集数据。数据收集器:主要负责收集数据。l探测器:收集捕获所有可能的和入侵行为有关探测器:收集捕获所有可能的和入侵行为有关的信息,包括网络数据包、系统或应用程序的的信息,包括网络数据包、系统或应用程序的日志和系统调用记录等探测器将数据收集后,日志和系统调用记录等探测器将数据收集后,送到检测器进行处理。送到检测器进行处理。l检测器:负责分析和监测入侵行为,并发出警检测器:负责分析和监
30、测入侵行为,并发出警报信号。报信号。l知识库:提供必要的数据信息支持,如用户的知识库:提供必要的数据信息支持,如用户的历史活动档案、监测规则集等。历史活动档案、监测规则集等。l控制器:根据报警信号,人工或自动做出反应控制器:根据报警信号,人工或自动做出反应动作。动作。入侵检测的工作流程入侵检测的工作流程l第一步,网络数据包的获取(混杂模式);第一步,网络数据包的获取(混杂模式);l第二步,网络数据包的解码(协议分析);第二步,网络数据包的解码(协议分析);l第三步,网络数据包的检查(特征即规则匹配第三步,网络数据包的检查(特征即规则匹配/误用检测);误用检测);l第四步,网络数据包的统计(异常
31、检测);第四步,网络数据包的统计(异常检测);l第五步,网络数据包的审查(事件生成);第五步,网络数据包的审查(事件生成);l第六步,网络数据包的处理(报警和响应)。第六步,网络数据包的处理(报警和响应)。5.2入侵检测技术入侵检测技术入侵检测系统的技术实现入侵检测系统的技术实现4.入侵检测系统的分类入侵检测系统的分类对于入侵检测系统,要考虑的因素(分类依据)对于入侵检测系统,要考虑的因素(分类依据)主要由:信息源、入侵、事件生成、事件处理主要由:信息源、入侵、事件生成、事件处理、检测方法等。下面就不同的分类依据及分类、检测方法等。下面就不同的分类依据及分类结果分别加以介绍。结果分别加以介绍。
32、(1)按体系结构进行分类)按体系结构进行分类(2)按检测原理进行分类)按检测原理进行分类(3)按所能监控的事件以及部署方法进行分类)按所能监控的事件以及部署方法进行分类误用检测模型误用检测模型l用户行用户行为为l模式匹模式匹配配l入侵特入侵特征征l知识库知识库l发现入侵发现入侵!图图5-15 误用检测模型误用检测模型异常检测(异常检测(Anomaly Detection)l异常检测是首先总结正常操作应该具有的特征,在得出正常操作异常检测是首先总结正常操作应该具有的特征,在得出正常操作的模型之后,对后续的操作进行监视,一旦发现偏离正常统计学的模型之后,对后续的操作进行监视,一旦发现偏离正常统计学
33、意义上的操作模式,即进行报警。因为它的特征库匹配的是正常意义上的操作模式,即进行报警。因为它的特征库匹配的是正常操作行为,所以又存在以下几个特点:操作行为,所以又存在以下几个特点:l异常检测系统的效率取决于用户轮廓的完备性和监控的频率;异常检测系统的效率取决于用户轮廓的完备性和监控的频率;l因为不需要对每种入侵行为进行定义,因此能有效检测未知的入因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;侵;l系统能针对用户行为的改变进行自我调整和优化,但随着检测模系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源。型的逐步精确,异常检测会消耗更
34、多的系统资源。5.2入侵检测技术入侵检测技术入侵检测的局限性与发展方向入侵检测的局限性与发展方向1入侵检测系统的局限性入侵检测系统的局限性2入侵检测系统的发展方向入侵检测系统的发展方向(1)与防火墙联动)与防火墙联动IDS与防火墙的联动系统示意图如图与防火墙的联动系统示意图如图5-15所示。所示。(2)IPS(入侵防御系统)(入侵防御系统)IPS是一种基于应用层、主动防御的产品,它以是一种基于应用层、主动防御的产品,它以在线方式部署于网络关键路径,通过对数据报在线方式部署于网络关键路径,通过对数据报文的深度检测,实时发现威胁并主动进行处理文的深度检测,实时发现威胁并主动进行处理IPS在网络中的
35、部署如图在网络中的部署如图5-17所示。所示。联动系统联动系统l日志,告警l日志,告警l告警,联动l日志,告警l告警,联动lIDSl防火墙l审计中心l受保护主机l图图5-15 联动系统示意图联动系统示意图 IPS在网络中的部署在网络中的部署l图图5-17 IPS在网络中的部署在网络中的部署IPS的基本原理的基本原理IPS的基本原理就是通过对数据流进行重组后进的基本原理就是通过对数据流进行重组后进行协议识别分析和特征模式匹配,将符合特定行协议识别分析和特征模式匹配,将符合特定条件的数据进行限流、整形,或进行阻断、重条件的数据进行限流、整形,或进行阻断、重定向或隔离,而对正常流量进行转发。定向或隔
36、离,而对正常流量进行转发。IPS的的基本原理如图基本原理如图5-18所示。所示。 IPS的基本原理的基本原理l图图5-18 IPS的基本原理的基本原理 IPS的基本原理的基本原理l数据流重组数据流重组l协议分析协议分析l特征特征/模式匹配模式匹配l特征特征/模式更新模式更新l主动处理主动处理IPS的功能的功能l针对漏洞的主动防御针对漏洞的主动防御l针对攻击的主动防御针对攻击的主动防御l基于应用的带宽管理基于应用的带宽管理l报警及报表报警及报表5.2入侵检测技术入侵检测技术入侵检测的常见产品入侵检测的常见产品l目前流行的目前流行的IDS产品主要有产品主要有Cisco公司公司NetRanger,I
37、SS公司的公司的RealSesure,Axent的的ITA、ESM,以及,以及NAI的的CyberCop等。等。5.3虚拟专用网技术虚拟专用网技术l虚拟专用网概述虚拟专用网概述l1VPN的定义的定义VPN(Virtual Private Network)即虚拟专用网)即虚拟专用网,被定义为通过一个公用网络(通常是因特网,被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过)建立一个临时的、安全的连接,是一条穿过非安全网络的安全、稳定的隧道。非安全网络的安全、稳定的隧道。“虚拟虚拟”的的意思是没有固定的物理连接,网络只有需要时意思是没有固定的物理连接,网络只有需要时才建
38、立;才建立;“专用专用”是指它利用公共网络设施构是指它利用公共网络设施构成的专用网。如图成的专用网。如图5-19所示的虚拟专用网。所示的虚拟专用网。虚拟专用网虚拟专用网l图图5-19 虚拟专用网虚拟专用网5.3虚拟专用网技术虚拟专用网技术虚拟专用网概述虚拟专用网概述2分类分类根据根据VPN的服务类型,的服务类型,VPN业务大致分为三类业务大致分为三类:接入:接入VPN(Access VPN)、内联网)、内联网VPN(Intranet VPN)和外联网)和外联网VPN(Extranet VPN)。通常情况下内联网)。通常情况下内联网VPN是专线是专线VPN.(1)接入)接入VPNl图图5-20
39、Access VPN(2)内联网)内联网VPN内联网内联网VPN是企业的总部与分支机构之间通过是企业的总部与分支机构之间通过公网构筑的虚拟网,这是一种网络到网络以对公网构筑的虚拟网,这是一种网络到网络以对等的方式连接起来所组成的等的方式连接起来所组成的VPN。内联网。内联网VPN如图如图5-21所示。所示。l图图5-21 内联网内联网VPN(3)外联网)外联网VPN外联网外联网VPN是企业在发生收购、兼并或企业间是企业在发生收购、兼并或企业间建立战略联盟后,使不同企业间通过公网来构建立战略联盟后,使不同企业间通过公网来构筑的虚拟网。筑的虚拟网。l图图5-22 外联网外联网VPN5.3虚拟专用网
40、技术虚拟专用网技术虚拟专用网的关键技术虚拟专用网的关键技术1隧道技术隧道技术2加密技术加密技术3密钥管理技术密钥管理技术4用户认证技术用户认证技术(1)用户名)用户名/密码方式密码方式(2)智能卡认证)智能卡认证(3)动态口令)动态口令(4)USB Key认证认证几种认证方式的比较几种认证方式的比较5.3虚拟专用网技术虚拟专用网技术虚拟专用网常用隧道协议虚拟专用网常用隧道协议VPN具体实现是采用隧道技术,将企业网的数具体实现是采用隧道技术,将企业网的数据封装在隧道中进行传输。隧道协议可分为第据封装在隧道中进行传输。隧道协议可分为第二层隧道协议二层隧道协议PPTP、L2F、L2TP和第三层隧和第
41、三层隧道协议道协议GRE、IPsec。它们的本质区别在于用。它们的本质区别在于用户的数据包是被封装在哪种数据包中在隧道中户的数据包是被封装在哪种数据包中在隧道中传输的。传输的。1 建立隧道主要方式建立隧道主要方式l建立隧道主要有两种方式:客户启动(建立隧道主要有两种方式:客户启动(Client-Initiated)和客户透明()和客户透明(Client-Transparent)。()。(1).客户启动(客户启动(Client-Initiated)l客户启动方式要求客户和隧道服务器(或网关客户启动方式要求客户和隧道服务器(或网关)都安装隧道软件。)都安装隧道软件。l(2).客户透明(客户透明(C
42、lient-Transparent)2 几种主流几种主流VPN协议协议(1).点到点隧道协议(点到点隧道协议(PPTP)(2).第二层转发协议(第二层转发协议(L2F)(3).第二层隧道协议(第二层隧道协议(L2TP)(4).第三层隧道协议第三层隧道协议-通用路由封装协议(通用路由封装协议(GRE)(5).IP安全协议(安全协议(IPSec)(5)高层隧道协议)高层隧道协议-SSL协议协议(7)多协议标记交换()多协议标记交换(MPLS)(8)各种)各种VPN的应用的应用统拨号接入统拨号接入l图图5-23 传统拨号接入传统拨号接入L2TP典型组网应用典型组网应用l图图5-24 L2TP典型组网
43、应用典型组网应用GRE封装包格式封装包格式l图图5-25 GRE封装包格式封装包格式IP安全协议(安全协议(IPSec)lIPSec(IPSecurity)是一种开放标准的框架)是一种开放标准的框架结构,特定的通信方之间在结构,特定的通信方之间在IP层通过加密和数层通过加密和数据摘要(据摘要(Hash)等手段来保证数据包在)等手段来保证数据包在Internet网上传输时的私密性(网上传输时的私密性(Confidentiality)、完整性()、完整性(Dataintegrity)和真实性(和真实性(Originauthentication)。)。IPSec协议如图协议如图5-25所示。所示。I
44、PSec协议协议l图图5-25 IPSec协议协议IPSec的框架结构的框架结构l图图5-27 IPSec的框架结构的框架结构IPSec传输模式结构图传输模式结构图l图图5-28 IPSec传输模式结构传输模式结构图图IPSec隧道模式结构图隧道模式结构图l图图5-29 IPSec隧道模式结构隧道模式结构图图AH模式无法与模式无法与NAT一起进行一起进行l图图5-30 AH模式无法与模式无法与NAT一一起进行起进行ESP模式模式l图图5-31 ESP模式示意图模式示意图IPSec转换转换l图图5-32 IPSec转换示意图转换示意图高层隧道协议高层隧道协议-SSL协议协议lSSL的英文全称是的
45、英文全称是“Secure Sockets Layer”,中文名为,中文名为“安全套接层协议层安全套接层协议层”,是网景(,是网景(Netscape)公司提出的基于)公司提出的基于Web应用的安全应用的安全协议。协议。lSSL协议位于协议位于TCP/IP与各种应用层协议之间与各种应用层协议之间,为数据通信提供安全支持。目前已被广泛地,为数据通信提供安全支持。目前已被广泛地应用于应用于Web浏览器与服务器之间的身份认证和浏览器与服务器之间的身份认证和加密数据传输。加密数据传输。SSL VPN实现原理实现原理l图图5-33 SSL VPN实现原理实现原理SSL VPN实现原理实现原理l远程主机向远程
46、主机向VPN网关发出网关发出http请求。请求。lSSL VPN网关改写网关改写http请求中的目的请求中的目的URL,并将报文转发给真实的服务器。并将报文转发给真实的服务器。l内网的服务器返回响应报文内网的服务器返回响应报文lSSL VPN网关改写网关改写Web页面中的页面中的URL链接,链接,并将其返回给远程主机。并将其返回给远程主机。多协议标记交换(多协议标记交换(MPLS)lMPLS属于第三代网络架构,是新一代的属于第三代网络架构,是新一代的IP高高速骨干网络交换标准,由速骨干网络交换标准,由IETF(Internet Engineering Task Force,因特网工程任务,因特
47、网工程任务组)所提出,由组)所提出,由Cisco、ASCEND、3Com等等网络设备大厂所主导。网络设备大厂所主导。lMPLS的核心概念是交换,也就是这里最后一的核心概念是交换,也就是这里最后一个字母个字母S(Switching)的含义;其次的重要概念的含义;其次的重要概念是标记,即这里是标记,即这里L(Label)字母的含义;最后一字母的含义;最后一层概念是多协议,即这里的层概念是多协议,即这里的MP(Multi-Protocol)的含义。的含义。MPLS的概念图的概念图l图图5-34 MPLS的概念图的概念图MPLS解决方案解决方案l图图5-35 MPLS解决方案解决方案各种各种VPN的应
48、用的应用5.3虚拟专用网技术虚拟专用网技术虚拟专用网网络安全解决方案虚拟专用网网络安全解决方案l图图5-35 Internet安全解决方安全解决方案案5.3虚拟专用网技术虚拟专用网技术虚拟专用网的发展方向虚拟专用网的发展方向虚拟专用网的发展方向包括以下虚拟专用网的发展方向包括以下3个方面:个方面:lSSL VPN发展加速发展加速l服务质量有待加强服务质量有待加强l基础设施化趋势显现基础设施化趋势显现5.4网络隔离技术网络隔离技术网络隔离技术概述网络隔离技术概述l网络隔离,英文名为网络隔离,英文名为Network Isolation,主要主要是指把两个或两个以上可路由的网络(如:是指把两个或两个
49、以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的等)进行数据交换而达到隔离目的,保护内部网络的安全和信息不致外泄。网络,保护内部网络的安全和信息不致外泄。网络隔离结构如图隔离结构如图5-37所示。所示。网络隔离结构图网络隔离结构图l图图5-37 网络隔离结构图网络隔离结构图5.4网络隔离技术网络隔离技术网络隔离技术工作原理及关键技术网络隔离技术工作原理及关键技术1网络隔离技术的特点网络隔离技术的特点网络隔离技术的特点包括以下网络隔离技术的特点包括以下5个方面:个方面:l要具有高度的自身安全性要具有
50、高度的自身安全性l要确保网络之间是隔离的要确保网络之间是隔离的l要保证网间交换的只是应用数据要保证网间交换的只是应用数据l要对网间的访问进行严格的控制和检查要对网间的访问进行严格的控制和检查l要在坚持隔离的前提下保证网络畅通和应用透要在坚持隔离的前提下保证网络畅通和应用透明明5.4网络隔离技术网络隔离技术网络隔离技术工作原理及关键技术网络隔离技术工作原理及关键技术2网络隔离技术工作原理网络隔离技术工作原理网络隔离技术的核心是物理隔离,并通过专用硬网络隔离技术的核心是物理隔离,并通过专用硬件和安全协议来确保两个链路层断开的网络能件和安全协议来确保两个链路层断开的网络能够实现数据信息在可信网络环境