《[精选]网络安全架构设计和设备的部署培训课件32644.pptx》由会员分享,可在线阅读,更多相关《[精选]网络安全架构设计和设备的部署培训课件32644.pptx(235页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1网络安全架构设计和网络安全设备的部署2主要内容主要内容n内网安全架构的内网安全架构的设计与安全与安全产品的部署品的部署n安全安全扫描技描技术n防火防火墙技技术n入侵入侵检测技技术nIPSec VPN和和SSL VPN技技术3网网络信息安全的基本信息安全的基本问题n网网络信息安全的基本信息安全的基本问题q保密性保密性q完整性完整性q可用性可用性q可控性可控性q可可审查性性n最最终要解决是使用者要解决是使用者对基基础设施的信心和施的信心和责任感的任感的问题。4网网络与信息安全体系与信息安全体系n要要实施一个完整的网施一个完整的网络与信息安全体系,与信息安全体系,至少至少应包括三包括三类措施,并且
2、三者缺一不可。措施,并且三者缺一不可。q社会的法律政策、社会的法律政策、规章制度措施章制度措施q技技术措施措施q审计和管理措施和管理措施5网网络安全安全设计的基本原的基本原则n要使信息系要使信息系统免受攻免受攻击,关,关键要建立起安全防御要建立起安全防御体系,从信息的保密性,拓展到信息的完整性、体系,从信息的保密性,拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否信息的可用性、信息的可控性、信息的不可否认性等。性等。n在在进行行计算机网算机网络安全安全设计、规划划时,应遵循以遵循以下原下原则:q需求、需求、风险、代价平衡分析的原、代价平衡分析的原则 q综合性、整体性原合性、整体性原
3、则q一致性原一致性原则q易操作性原易操作性原则q适适应性、灵活性原性、灵活性原则q多重保多重保护原原则6网网络安全解决方案安全解决方案n网网络安全解决方案的基本概念安全解决方案的基本概念q网网络安全解决方案可以看作是一安全解决方案可以看作是一张有关网有关网络系系统安全工程的安全工程的图纸,图纸设计的好坏直接关系的好坏直接关系到工程到工程质量的量的优劣。劣。q总体来体来说,网,网络安全解决方案涉及安全操作系安全解决方案涉及安全操作系统技技术、防火、防火墙技技术、病毒防、病毒防护技技术、入侵、入侵检测技技术、安全、安全扫描技描技术、认证和数字和数字签名技名技术、VPN技技术等多方面的安全技等多方面
4、的安全技术。7n一份好的网一份好的网络安全解决方案,不安全解决方案,不仅仅要考要考虑到技到技术,还要考要考虑到策略和管理。到策略和管理。q技技术是关是关键q策略是核心策略是核心q管理是保管理是保证n在整个网在整个网络安全解决方案中,始安全解决方案中,始终要体要体现出出这三个方面的关系。三个方面的关系。8网网络安全解决方案安全解决方案设计9安全需求分析安全需求分析n网网络系系统的的总体安全需求是建立在体安全需求是建立在对网网络安全安全层次分析基次分析基础上的。上的。对于基于于基于TCP/IP协议的网的网络系系统来来说,安全,安全层次是与次是与TCP/IP协议层次相次相对应的。的。n针对该企企业网
5、网络的的实际情况,可以将安全情况,可以将安全需求需求层次次归纳为网网络层安全安全和和应用用层安全安全两个技两个技术层次,同次,同时将在各将在各层都涉及的都涉及的安安全管理全管理部分部分单独作独作为一部分一部分进行分析。行分析。10网网络层需求分析需求分析n网网络层安全需求是保安全需求是保护网网络不受攻不受攻击,确保,确保网网络服服务的可用性。的可用性。q保保证同同Internet互互联的的边界安全界安全q能能够防范来自防范来自Internet的的对提供服提供服务的非法利用的非法利用q防范来自防范来自Internet的网的网络入侵和攻入侵和攻击行行为的的发生生q对于内部网于内部网络提供高于网提供
6、高于网络边界更高的安全保界更高的安全保护11应用用层需求分析需求分析n应用用层的安全需求是的安全需求是针对用用户和网和网络应用用资源的,主要包括:源的,主要包括:q合法用合法用户可以以指定的方式可以以指定的方式访问指定的信息;指定的信息;q合法用合法用户不能以任何方式不能以任何方式访问不允不允许其其访问的的信息;信息;q非法用非法用户不能不能访问任何信息;任何信息;q用用户对任何信息的任何信息的访问都有都有记录。12应用用层要解决的安全要解决的安全问题包括包括n非法用非法用户利用利用应用系用系统的后的后门或漏洞,或漏洞,强行行进入系入系统n用用户身份假冒身份假冒n非授非授权访问n数据窃取数据窃
7、取n数据数据篡改改n数据重放攻数据重放攻击n抵抵赖13网网络安全解决方案安全解决方案14电子政子政务网网络拓扑概述拓扑概述内部核心子网INTERNET分支机构1分支机构215电子政子政务网网络拓扑拓扑详细分析分析领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构116电子政子政务网网络风险及需求分析及需求分析领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1此人正试图进入网络监听并窃取敏感信息分支机构工作分支机构工作人员正试图在人员正试图在领导层子网安领导层子网安装
8、木马装木马分支机构工作分支机构工作人员正试图越人员正试图越权访问业务子权访问业务子网安装木马网安装木马非内部人员正试图篡改公共网络服务器的数据17电子政子政务网网络内网基内网基础网网络平台安全平台安全领导层子网业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网分支机构2分支机构1NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告 警内网接口外网接口电源INTERNETNEsec300 FW2035968?告警内网接口外网接口电源防火墙防火墙FW1防火墙防火墙FW2防火墙防火墙FW3安全认证服务器安全认证服务器安全管理器安全
9、管理器安全网关安全网关SG1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器交换机交换机NEsec300 FW2035968?告警内网接口外网接口电源18内网核心网内网核心网络与各与各级子网子网间的安全的安全设计分支机构2INTERNET分支机构1NEsec300 FW2035968?告警内网接口外网接口电源 内部核心子网内部核心子网NEsec300 FW2035968?告 警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机交换机安全网关安全网关SG1安全网关
10、安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器安全管理器安全管理器安全认证服务器安全认证服务器19内网网内网网络漏洞漏洞扫描系描系统设计分支机构2INTERNET分支机构1NEsec300 FW2035968?告警内网接口外网接口电源 内部核心子网内部核心子网NEsec300 FW2035968?告 警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机交换机安全网关安全网关SG1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器安全管理器
11、安全管理器安全认证服务器安全认证服务器网络漏洞扫描器网络漏洞扫描器20内网网内网网络入侵入侵检测系系统设计分支机构2INTERNET分支机构1NEsec300 FW2035968?告警内网接口外网接口电源 内部核心子网内部核心子网NEsec300 FW2035968?告 警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机交换机安全网关安全网关SG1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器安全管理器安全管理器安全认证服务器安全认证服务器网络入侵检测探头网
12、络入侵检测探头网络入侵策略管理器网络入侵策略管理器21电子政子政务外网基外网基础平台安全平台安全设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器防火墙防火墙FW物理隔离器(物理隔离器(K1)E-MAIL服务器应用服务器数据库服务器22外网网外网网络漏洞漏洞扫描系描系统设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器防火墙防火墙FW物理隔离器(物理隔离器(K1)E-MAIL服务器应用服务器数据库服务器网络漏洞扫描器网络漏洞扫描器23外网网外网网络
13、入侵入侵检测系系统设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器物理隔离器(K1)E-MAIL服务器应用服务器数据库服务器网络漏洞扫描器网络漏洞扫描器网络入侵检测探头网络入侵检测探头网络入侵策略管理器网络入侵策略管理器防火墙防火墙FW24外网外网WEB服服务器安全器安全设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器物理隔离器(K2)E-MAIL服务器应用服务器数据库服务器防火墙防火墙FW物理隔离器(K1)办公厅办公业务网办公厅办公业务网 (
14、简称(简称“内网内网”)政府系统办公政府系统办公业务资源网业务资源网(简称(简称“专网专网”)Web网站监测网站监测&自动修复系统自动修复系统 25内网、外网和内网、外网和专网的隔离系网的隔离系统设计INTERNET办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)路由器路由器交换机交换机安全管理器安全管理器物理隔离器(物理隔离器(K2)E-MAIL服务器应用服务器数据库服务器防火墙防火墙FW物理隔离器(物理隔离器(K1)办公厅办公业务网办公厅办公业务网 (简称(简称“内网内网”)政府系统办公业政府系统办公业务资源网(简称务资源网(简称“专网专网”)26其它网其它网络安全安全设备n拨
15、号号检测系系统n上网行上网行为管理系管理系统nDDOS防御网关防御网关nVPN网关网关n防病毒网关防病毒网关27安全安全扫描技描技术28IP扫描描nIP扫描描Ping SweepingqPing使用使用ICMP协议进行工作行工作29IP扫描描nICMP协议负责差差错的的报告与控制。比如目告与控制。比如目标不可不可达,路由重定向等等达,路由重定向等等 qICMP报文格式文格式p类型域型域(type)用来指明用来指明该ICMP报文的文的类型型p代代码域域(code)确定确定该包具体作用包具体作用 0 8 16 31 类型类型 代码代码 校验和校验和 其他字段(不同的类型可能不一样)其他字段(不同的
16、类型可能不一样)数据区数据区 数据数据ICMP包头IP包头MAC帧头30IP扫描描n常用的常用的ICMP报文文qPing程序使用程序使用ICMP Echo Request/Reply报文文名称名称类型类型ICMP Destination Unreachable(目标不可达)(目标不可达)3ICMP Source Quench(源抑制)(源抑制)4ICMP Redirection(重定向)(重定向)5ICMP Timestamp Request/Reply(时间戳)(时间戳)13/14ICMP Address Mask Request/Reply(子网掩码)(子网掩码)17/18ICMP Ech
17、o Request/Reply(响应请求(响应请求/应答)应答)8/031端口端口扫描描n端口端口qInternet上主机上主机间通通讯总是通是通过端口端口发生的生的 n端口是入侵的通道端口是入侵的通道n端口分端口分为TCP端口与端口与UDP端口端口n因此,端口因此,端口扫描可分描可分类为qTCP扫描描qUDP扫描描32端口端口扫描描n基本基本扫描描q用用Socket开开发TCP应用用服务器端服务器端客户端客户端33端口端口扫描描nconnect()connect()函数函数qint connect(SOCKET int connect(SOCKET s s,const struct sock
18、addr FAR,const struct sockaddr FAR*name*name,int,int namelen namelen););q当当connectconnect返回返回0 0时,连接成功接成功n基本的基本的扫描方法即描方法即TCP ConnectTCP Connect扫描描q优点点p实现简单p可以用普通用可以用普通用户权限限执行行q缺点缺点p容易被防火容易被防火墙检测,也会目,也会目标应用所用所记录34端口端口扫描描n隐秘秘扫描描服务器端服务器端客户端客户端connect35端口端口扫描描nTCP的的连接建立接建立过程程客户机客户机服务器服务器发送发送SYN seq=x 接收
19、接收SYN报文报文 发送发送SYN seq=y,ACK ack=x+1 接收接收SYN+ACK 发送发送 ACK ack=y+1 接受接受ACK报文段报文段 36端口端口扫描描nSYN扫描描客户机客户机服务器服务器发送发送SYN seq=x 如果接收到如果接收到SYN+ACKSYN+ACK,表明服务器端口可连接表明服务器端口可连接如果服务器端口打开,如果服务器端口打开,则返回则返回SYN+ACKSYN+ACK如果服务器端口未打开,如果服务器端口未打开,则返回则返回RSTRSTSYN+ACK如果接收到如果接收到RSTRST,表明,表明服务器端口不可连接服务器端口不可连接RST37端口端口扫描描n
20、SYN扫描的描的实现qWinSock2接口接口Raw Sock方式,允方式,允许自定自定义IP包包pSockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);qTCP包包头标志位志位0 16 31源端口源端口 目的端口目的端口 序列号序列号 确认号确认号 HLEN 保留保留 标志位标志位 窗口窗口 校验和校验和 紧急指针紧急指针 选项选项 填充填充 数据数据 保留保留保留保留Urgent Urgent pointpointACKACKPUSHPUSHRESETRESETSYNSYNFINFIN38端口端口扫描描nSYN扫描的描的优缺点缺点q优点:点:p一般不会被目
21、一般不会被目标主机所主机所记录q缺点:缺点:p运行运行Raw Socket时必必须拥有管理有管理员权限限39端口端口扫描描nFIN扫描描q关关闭TCP连接的接的过程程客户机客户机服务器服务器发送发送FIN seq=x 接收接收FIN 报文报文 发送发送FIN seq=y,ACK ack=x+1 接收接收FIN+ACK 发送发送 ACK ack=y+1 接受接受ACK报文段报文段 40端口端口扫描描n关关闭一个并没有建立的一个并没有建立的连接,会接,会产生以下情况生以下情况n对非非连接接FIN报文的回复文的回复qTCP标准准p关关闭的端口的端口返回返回RST报文文p打开的端口打开的端口忽略忽略q
22、BSD操作系操作系统p与与TCP标准一致准一致q其他操作系其他操作系统p均返回均返回RST报文文41TCP ACK扫描描n扫描主机向目描主机向目标主机主机发送送ACK数据包。根据返回的数据包。根据返回的RST数据包有两种方法可以数据包有两种方法可以得到端口的信息。得到端口的信息。n方法一是:方法一是:若返回的若返回的RST数数据包的据包的TTL值小于或等于小于或等于64,则端口开放,反之端口关端口开放,反之端口关闭n方法二是:方法二是:若返回的若返回的RST数数据包的据包的WINDOW值非零,非零,则端口开放,反之端口关端口开放,反之端口关闭TCP ACK扫描建立连接成功扫描建立连接成功TCP
23、 ACK扫描建立连接成功扫描建立连接成功42NULL扫描描n扫描主机将描主机将TCP数据包中的数据包中的ACK、FIN、RST、SYN、URG、PSH(接收端将数据接收端将数据转由由应用用处理理)标志位置空后志位置空后(保留的(保留的RES1和和RES2对扫描的描的结果没有任何影响)果没有任何影响)发送送给目目标主机。若目主机。若目标端口端口开放,目开放,目标主机将不返回任主机将不返回任何信息。何信息。n若目若目标主机返回主机返回RST信息,信息,则表示端口关表示端口关闭。NULL扫描建立连接成功扫描建立连接成功NULL扫描建立连接未成功扫描建立连接未成功43Xmas tree扫描描(圣圣诞树
24、扫描描)nXMAS扫描原理和描原理和NULL扫描描的的类似,将似,将TCP数据包中的数据包中的ACK、FIN、RST、SYN、URG、PSH标志位置志位置1后后发送送给目目标主机。在目主机。在目标端口开放端口开放的情况下,目的情况下,目标主机将不返回主机将不返回任何信息任何信息n若目若目标端口关端口关闭,则目目标主机主机将返回将返回RST信息信息XMAS扫描建立连接成功扫描建立连接成功XMAS扫描建立连接未成功扫描建立连接未成功44端口端口扫描描n优点点q不会被不会被记录到日志到日志q可以可以绕过某些防火某些防火墙qnetstat命令不会命令不会显示示netstate命令只能命令只能显示示TC
25、P连接或接或连接的接的尝试n缺点缺点q使用使用RAW IP编程,程,实现起来相起来相对比比较复复杂q利用利用BSD代代码缺陷,可能被修复缺陷,可能被修复Open BSDq不同操作系不同操作系统结果不同,因此不完全可信果不同,因此不完全可信45端口端口扫描描nUDP端口端口扫描描q目前目前扫描描UDP端口只有一种方法:端口只有一种方法:q向目向目标UDP端口端口发送一些随机数据,如果端口送一些随机数据,如果端口关关闭,则目目标主机会回复主机会回复ICMP端口不可达消息端口不可达消息46慢速慢速扫描描n随着防火随着防火墙的广泛的广泛应用,普通的用,普通的扫描很描很难穿穿过防防火火墙去去扫描受防火描
26、受防火墙保保护的网的网络。即使。即使扫描能穿描能穿过防火防火墙,扫描的行描的行为仍然有可能会被防火仍然有可能会被防火墙记录下来。下来。n如果如果扫描是描是对非非连续性端口、源地址不一致、性端口、源地址不一致、时间间隔很隔很长且没有且没有规律的律的扫描的描的话,这些些扫描的描的记录就会淹没在其他众多就会淹没在其他众多杂乱的日志内容中。使乱的日志内容中。使用慢速用慢速扫描的目的也就是描的目的也就是这样,骗过防火防火墙和入和入侵侵检测系系统而收集信息。而收集信息。虽然然扫描所用的描所用的时间较长,但,但这是一种比是一种比较难以被以被发现的的扫描。描。47乱序乱序扫描描n乱序乱序扫描也是一种常描也是一
27、种常见的的扫描技描技术,扫描描器器扫描的描的时候不是候不是进行有序的行有序的扫描,描,扫描描端口号的端口号的顺序是随机序是随机产生的,每次生的,每次进行行扫描的描的顺序都完全不一序都完全不一样,这种方式能有效种方式能有效地欺地欺骗某些入侵某些入侵检测系系统而不会被而不会被发觉。48漏洞漏洞扫描描49端口端口扫描描n常用的端口常用的端口扫描工具描工具qUNIX下的端口下的端口扫描工具描工具pNmapqWindows下的端口下的端口扫描工具描工具pXScanpSuperScanpNmap for NT 50防火防火墙n建筑建筑业中的防火中的防火墙用在建筑用在建筑单位位间,防止火,防止火势的的蔓延。
28、蔓延。n在网在网络安全安全领域中,防火域中,防火墙用来指用来指应用于用于内部网内部网络(局域网)和(局域网)和外部网外部网络(Internet)之)之间的,用的,用来来保保护内部网内部网络免受非法免受非法访问和破坏的网和破坏的网络安全安全系系统。51防火防火墙功能示意功能示意 两个不同网两个不同网络安全域安全域间通信流的通信流的唯一唯一通通道,道,对流流过的网的网络数据数据进行行检查,阻止,阻止攻攻击数据包通数据包通过。安全网域一安全网域二52防火防火墙主要功能主要功能n过滤进、出网、出网络的数据的数据;n防止不安全的防止不安全的协议和服和服务;n管理管理进、出网、出网络的的访问行行为;n记录
29、通通过防火防火墙的信息内容与活的信息内容与活动;n对网网络攻攻击进行行检测与告警与告警;n防止外部防止外部对内部网内部网络信息的信息的获取取n提供与外部提供与外部连接的集中管理;接的集中管理;53防火防火墙不能防范的攻不能防范的攻击n来自内部的安全威来自内部的安全威胁;n病毒病毒n开放开放应用服用服务程序的漏洞;程序的漏洞;n特洛伊木特洛伊木马;n社会工程;社会工程;n不当配置不当配置54衡量防火衡量防火墙三大要求三大要求n安全安全q内部和外部内部和外部间所有数据必所有数据必须通通过防火防火墙q只有符合安全策略的数据流才能通只有符合安全策略的数据流才能通过防火防火墙q防火防火墙自身要安全自身要
30、安全n管理管理q良好的人机交互界面良好的人机交互界面q提供提供强劲的管理及的管理及扩展功能展功能n速度速度55防火防火墙发展展历程程主要主要经历了三个了三个阶段:段:n基于路由器的防火基于路由器的防火墙n基于通用操作系基于通用操作系统的防火的防火墙n基于安全操作系基于安全操作系统的防火的防火墙56防火防火墙分分类按按实现技技术分分类:q包包过滤型型q代理型防火代理型防火墙按体系按体系结构分构分类:q双宿双宿/多宿主机防火多宿主机防火墙q屏蔽主机防火屏蔽主机防火墙q屏蔽子网防火屏蔽子网防火墙q混合混合结构构57包包过滤防火防火墙n包包过滤防火防火墙q在决定能否及如何在决定能否及如何传送数据包之外
31、,送数据包之外,还根据其根据其规则集,看是否集,看是否应该传送送该数据包数据包n普通路由器普通路由器q当数据包到达当数据包到达时,查看看IP包包头信息,根据路由信息,根据路由表决定能否以及如何表决定能否以及如何传送数据包送数据包 58静静态包包过滤防火防火墙 传输层传输层 传输层传输层 传输层传输层 59路由与包路由与包过滤n路由路由进行行转发,过滤进行行筛选源地址源地址目标地址目标地址协议协议是否允许是否允许Host ASever XTCPYESHost ASever XUDPNOHost A外部网络目标目标路由路由Sever X接口接口1Sever X60包包过滤所所检查的内容的内容n源和
32、目的的源和目的的IP地址地址 nIP选项 nIP的上的上层协议类型(型(TCP/UDP/ICMP)nTCP和和UDP的源及目的端口的源及目的端口 nICMP的的报文文类型和代型和代码 我我们称称这种种对包包头内容内容进行行简单过滤的方式的方式为静静态包包过滤61包包过滤配置配置包包过滤防火防火墙配置步配置步骤:q知道什么是知道什么是应该和不和不应被允被允许,制定安全策,制定安全策略略q规定允定允许的包的包类型、包字段的型、包字段的逻辑表达表达q用防火用防火墙支持的支持的语法重写表达式法重写表达式62规则制定的策略制定的策略n拒拒绝任何任何访问,除非被,除非被规则特特别允允许 n允允许任何任何访
33、问,除非,除非规则特特别地禁止地禁止 允许拒绝允许拒绝63规则制定的策略制定的策略过滤的两种基本方式的两种基本方式n按服按服务过滤:根据安全策略决定是否允:根据安全策略决定是否允许或拒或拒绝某一种服某一种服务n按按规则过滤:检查包包头信息,与信息,与过滤规则匹配,决定是否匹配,决定是否转发该数据包数据包64依依赖于服于服务的的过滤 多数服多数服务对应特定的端口,如要封特定的端口,如要封锁输Telnet、SMTP的的连接,接,则Router丢弃端口弃端口值为23和和25的的所有数据包。所有数据包。典型的典型的过滤规则有以下几种:有以下几种:n只允只允许进来来的的Telnet会会话连接到接到指定的
34、内部主机指定的内部主机n只允只允许进来来的的FTP会会话连接到接到指定的内部主机指定的内部主机n允允许所有出去所有出去的的Telnet会会话 n允允许所有出去所有出去的的FTP会会话n拒拒绝从某些指定的外部网从某些指定的外部网络进来的所有信息来的所有信息65按按规则过滤n有些有些类型的攻型的攻击很很难用基本包用基本包头信息加以信息加以鉴别,因因为独立于服独立于服务。如果防范。如果防范则需要定需要定义规则1)源)源IP地址欺地址欺骗攻攻击 入入侵侵者者从从伪装装成成源源自自一一台台内内部部主主机机的的一一个个外外部部地地点点传送送一一些些信信息息包包;这些些信信息息包包似似乎乎像像包包含含了了一
35、一个个内内部部系系统的的源源IP地地址址。如如果果这些些信信息息包包到到达达Router的的外外部部接接口口,则舍舍弃弃每每个个含含有有这个个源源IP地地址的信息包,就可以挫址的信息包,就可以挫败这种源欺种源欺骗攻攻击。66按按规则过滤2)源路由攻)源路由攻击攻攻击者者为信息包指定一个穿越信息包指定一个穿越Internet的路由,的路由,这类攻攻击企企图绕过安全措施,并使信息包沿一条意安全措施,并使信息包沿一条意外外(疏漏疏漏)的路径到达目的地。可以通的路径到达目的地。可以通过舍弃所有包舍弃所有包含含这类源路由源路由选项的信息包方式,来挫的信息包方式,来挫败这类攻攻击。3)残片攻)残片攻击入侵
36、者利用入侵者利用IP分段特性生成一个极小的片断并将分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断,使数信息肢解成一个分离的信息包片断,使数据包据包绕过用用户定定义的的过滤规则。黑客希望。黑客希望过滤路由路由器只器只检查第一分段,而允第一分段,而允许其它分段通其它分段通过。通。通过舍舍弃所有弃所有协议类型型为TCP、IP报头中中Fragment Offset=1的数据包,即可挫的数据包,即可挫败残片的攻残片的攻击。67推荐的推荐的规则n任何任何进入内网的数据包不能将内部地址作入内网的数据包不能将内部地址作为源地址源地址n任何任何进入内网的数据包必入内网的数据包必须将内部地
37、址作将内部地址作为目目标地地址址n任何离开内网的数据包必任何离开内网的数据包必须将内部地址作将内部地址作为源地址源地址n任何离开内网的数据包不能将内部地址作任何离开内网的数据包不能将内部地址作为目目标地地址址n任何任何进入或离开内网的数据包不能把一个私有地址入或离开内网的数据包不能把一个私有地址或者或者127.0.0.0/8作作为源或目源或目标地址地址68静静态包包过滤的的优缺点缺点优点:点:n速度快速度快n价格低价格低n对用用户透明透明缺点:缺点:n配置配置难把握把握n防范能力低防范能力低n没有用没有用户身份身份验证机制机制69动态包包过滤n动态包包过滤是是Check Point的一的一项称
38、称为“Stateful Inspection”的的专利技利技术,也称状,也称状态检测防火防火墙。n动态包包过滤防火防火墙不不仅以一个数据包的内以一个数据包的内容作容作为过滤的依据,的依据,还根据根据这个数据包在个数据包在信息流位置加以判断。信息流位置加以判断。n动态包包过滤防火防火墙可阻止未可阻止未经内网内网请求的求的外部通信,而允外部通信,而允许内网内网请求的外部网站求的外部网站传入的通信入的通信。70动态包包过滤防火防火墙71使用使用动态包包过滤制定的制定的规则72动态包包过滤的的优缺点缺点n优点:点:q基于基于应用程序信息用程序信息验证一个包状一个包状态的能力的能力q记录通通过的每个包的
39、的每个包的详细信息信息n缺点:缺点:q造成网造成网络连接的接的迟滞滞q系系统资源要求源要求较高高73防火防火墙分分类:q包包过滤q代理型防火代理型防火墙:应用代理型用代理型q代理型防火代理型防火墙:电路代理型路代理型q代理型防火代理型防火墙:NAT74代理服代理服务技技术 代理服代理服务技技术能能够将所有跨越防火将所有跨越防火墙的网的网络通信通信链路分路分为两段。防火两段。防火墙内外内外计算机算机系系统间应用用层的的连接,由两个代理服接,由两个代理服务器器之之间的的连接来接来实现,外部,外部计算机的网算机的网络链路只能到达代理服路只能到达代理服务器,从而起到隔离防器,从而起到隔离防火火墙内外内
40、外计算机系算机系统的作用。的作用。75应用代理防火用代理防火墙n工作在工作在应用用层n对所有所有规则内允内允许的的应用程序作中用程序作中转转发n牺牲了牲了对应用程序的透明性用程序的透明性76应用代理防火用代理防火墙应用代理防火墙应用代理防火墙应用代理防火墙应用代理防火墙77应用代理用代理n应用代理工作原理示意用代理工作原理示意缓冲文件缓冲文件缓冲文件缓冲文件应用请求应用请求应用请求应用请求回复回复回复回复应用请求应用请求应用请求应用请求回复回复回复回复78应用代理防火用代理防火墙应用代理服用代理服务器的安全性器的安全性n屏蔽内网用屏蔽内网用户与外网的直接通信,提供更与外网的直接通信,提供更严格
41、的格的检查n提供提供对协议的控制,拒的控制,拒绝所有没有配置的所有没有配置的连接接n提供用提供用户级控制,可近一步提供身份控制,可近一步提供身份认证等信息等信息79应用代理的用代理的优缺点缺点n优点:点:q可以可以隐藏内部网藏内部网络的信息;的信息;q可以具有可以具有强大的日志大的日志审核;核;q可以可以实现内容的内容的过滤;n缺点:缺点:q价格高价格高q速度慢速度慢 q失效失效时造成网造成网络的的瘫痪80电路路级代理代理n电路路级代理因此可以同代理因此可以同时为不同的服不同的服务,如如WEB、FTP、TELNET提供代理服即提供代理服即SOCKS代理,它工作在代理,它工作在传输层。81应用代
42、理用代理n应用代理工作在用代理工作在应用用层,对于不同的服于不同的服务,必必须使用不同的代理使用不同的代理软件。件。应用代理应用代理应用代理应用代理内部主机内部主机内部主机内部主机WEBWEB服务服务服务服务FTP服务服务WEBWEBWEBWEBFTPFTPFTPFTP82电路路级代理代理优缺点缺点优点:点:n隐藏内部网藏内部网络信息信息n配置配置简单,无需,无需为每个每个应用程序配置一个用程序配置一个代理代理缺点:缺点:n多数多数电路路级网关都是基于网关都是基于TCP端口配置,端口配置,不不对数据包数据包检测,可能会有漏洞,可能会有漏洞83NAT防火防火墙NAT定定义 NAT(Network
43、 Address Transla-tion)网)网络地址翻地址翻译最初最初设计目的是用来增加私有目的是用来增加私有组织的可用地址空的可用地址空间和解决将和解决将现有的私有有的私有TCP/IP网网络连接到网上的接到网上的IP地址地址编号号问题 84NAT防火防火墙NAT提供的功能提供的功能n内部主机地址内部主机地址隐藏藏n网网络负载均衡均衡n网网络地址交叠地址交叠85NAT(网(网络地址翻地址翻译)n根根据据内内部部IP地地址址和和外外部部IP地地址址的的数数量量对应关关系系,NAT分分为:q基本基本NAT:简单的地址翻的地址翻译qM-1,多个内部网地址翻,多个内部网地址翻译到到1个个IP地址地
44、址qM-N,多个内部网地址翻,多个内部网地址翻译到到N个个IP地址池地址池86NAT的的优缺点缺点n优点点q管理方便并且管理方便并且节约IP地址地址资源。源。q隐藏内部藏内部 IP 地址信息。地址信息。仅当向某个外部地址当向某个外部地址发送送过出站包出站包时,NAT 才允才允许来自来自该地址的流量地址的流量入站。入站。n缺点缺点q外部外部应用程序却不能方便地与用程序却不能方便地与 NAT 网关后面的网关后面的应用程序用程序联系。系。87防火防火墙布置布置n简单包包过滤路由路由n双宿双宿/多宿主机模式多宿主机模式n屏蔽主机模式屏蔽主机模式n屏蔽子网模式屏蔽子网模式88包包过滤路由路由内部网络内部
45、网络外部网络外部网络包过滤路由器优点:优点:优点:优点:配置简单配置简单配置简单配置简单缺点:缺点:缺点:缺点:日志没有或很少,难以判断是否被入侵日志没有或很少,难以判断是否被入侵日志没有或很少,难以判断是否被入侵日志没有或很少,难以判断是否被入侵 规则表会随着应用变得很复杂规则表会随着应用变得很复杂规则表会随着应用变得很复杂规则表会随着应用变得很复杂 单一的部件保护,脆弱单一的部件保护,脆弱单一的部件保护,脆弱单一的部件保护,脆弱89双宿双宿/多宿主机模式多宿主机模式n堡堡垒主机:关主机:关键位置上用于安全防御的某位置上用于安全防御的某个系个系统,攻,攻击者攻者攻击网网络必必须先行攻先行攻击
46、的的主机。主机。n双宿双宿/多宿主机防火多宿主机防火墙又称又称为双宿双宿/多宿网关多宿网关防火防火墙,它是一种,它是一种拥有两个或多个有两个或多个连接到接到不同网不同网络上的网上的网络接口的防火接口的防火墙,通常用,通常用一台装有两一台装有两块或多或多块网卡的堡网卡的堡垒主机做防主机做防火火墙,两,两块或多或多块网卡各自与受保网卡各自与受保护网和网和外部网相外部网相连 90双宿双宿/多宿主机模式多宿主机模式内部网络内部网络外部网络外部网络应用代理服务器完成:应用代理服务器完成:对外屏蔽内网信息对外屏蔽内网信息设置访问控制设置访问控制对应用层数据严格检查对应用层数据严格检查91优点:点:n配置配
47、置简单n检查内容更内容更细致致n屏蔽了内网屏蔽了内网结构构缺点:缺点:n应用代理本身的安全性用代理本身的安全性92屏蔽主机屏蔽主机内部网络内部网络外部网络外部网络包过滤路由包过滤路由包过滤路由包过滤路由堡垒主机堡垒主机堡垒主机堡垒主机两道屏障:网络层的包过滤;应用层代理服务两道屏障:网络层的包过滤;应用层代理服务两道屏障:网络层的包过滤;应用层代理服务两道屏障:网络层的包过滤;应用层代理服务注:与双宿主机网关不同,这里的应用网关只有注:与双宿主机网关不同,这里的应用网关只有注:与双宿主机网关不同,这里的应用网关只有注:与双宿主机网关不同,这里的应用网关只有一块网卡。一块网卡。一块网卡。一块网卡
48、。WebWeb服务器服务器服务器服务器93屏蔽主机屏蔽主机优点:点:n双重保双重保护,安全性更高。,安全性更高。实施策略:施策略:n针对不同的服不同的服务,选择其中的一种或两种其中的一种或两种保保护措施。措施。94屏蔽子网屏蔽子网内部网络内部网络外部网络外部网络外部路外部路外部路外部路由器由器由器由器内部路内部路内部路内部路由器由器由器由器周边网络周边网络周边网络周边网络(DMZDMZ)95屏蔽子网屏蔽子网1)周)周边网网络:非:非军事化区、停火区(事化区、停火区(DMZ)n周周边网网络是另一个安全是另一个安全层,是在外部网是在外部网络与内与内部网部网络之之间的附加的网的附加的网络。n对于周于
49、周边网网络,如果某人侵入周,如果某人侵入周边网上的堡网上的堡垒主机,他主机,他仅能探听到周能探听到周边网上的通信。网上的通信。2)内部路由器(阻塞路由器):保)内部路由器(阻塞路由器):保护内部的内部的网网络使之免受使之免受Internet和周和周边子网的侵犯。子网的侵犯。它它为用用户的防火的防火墙执行大部分的数据包行大部分的数据包过滤工作工作96屏蔽子网屏蔽子网n3)外部路由器:)外部路由器:在理在理论上,外部路由器保上,外部路由器保护周周边网和内部网使之免受来自网和内部网使之免受来自Internet的的侵犯。侵犯。实际上,外部路由器上,外部路由器倾向于允向于允许几几乎任何乎任何东西从周西从
50、周边网出站,并且它网出站,并且它们通常通常只只执行非常少的数据包行非常少的数据包过滤。n外部路由器安全任外部路由器安全任务之一是:阻止从之一是:阻止从Internet上上伪造源地址造源地址进来的任何数据包。来的任何数据包。97优点点n安全性安全性较高高n可用性可用性较好好缺点缺点n配置复配置复杂n成本高成本高98PIX994种管理种管理访问模式模式 n非特非特权模式模式q PIX防火防火墙开机自开机自检后,就是后,就是处于于这种模式。系种模式。系统显示示为pixfirewall n特特权模式模式q 输入入enable进入特入特权模式,可以改模式,可以改变当前配置。当前配置。显示示为pixfir