1、1網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署2主要內(nèi)容主要內(nèi)容n內(nèi)網(wǎng)安全架構(gòu)的設(shè)計(jì)與安全產(chǎn)品的部署內(nèi)網(wǎng)安全架構(gòu)的設(shè)計(jì)與安全產(chǎn)品的部署n安全掃描技術(shù)安全掃描技術(shù)n防火墻技術(shù)防火墻技術(shù)n入侵檢測技術(shù)入侵檢測技術(shù)nIPSec VPN和和SSL VPN技術(shù)技術(shù)3網(wǎng)絡(luò)信息安全的基本問題網(wǎng)絡(luò)信息安全的基本問題n網(wǎng)絡(luò)信息安全的基本問題網(wǎng)絡(luò)信息安全的基本問題q保密性保密性q完整性完整性q可用性可用性q可控性可控性q可審查性可審查性n最終要解決是使用者對基礎(chǔ)設(shè)施的信心和最終要解決是使用者對基礎(chǔ)設(shè)施的信心和責(zé)任感的問題。責(zé)任感的問題。4網(wǎng)絡(luò)與信息安全體系網(wǎng)絡(luò)與信息安全體系n要實(shí)施一個完整的網(wǎng)絡(luò)與信息安全體系，要實(shí)施一個

2、完整的網(wǎng)絡(luò)與信息安全體系，至少應(yīng)包括三類措施，并且三者缺一不可。至少應(yīng)包括三類措施，并且三者缺一不可。q社會的法律政策、規(guī)章制度措施社會的法律政策、規(guī)章制度措施q技術(shù)措施技術(shù)措施q審計(jì)和管理措施審計(jì)和管理措施5網(wǎng)絡(luò)安全設(shè)計(jì)的基本原則網(wǎng)絡(luò)安全設(shè)計(jì)的基本原則n要使信息系統(tǒng)免受攻擊，關(guān)鍵要建立起安全防御要使信息系統(tǒng)免受攻擊，關(guān)鍵要建立起安全防御體系，從信息的保密性，拓展到信息的完整性、體系，從信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否認(rèn)信息的可用性、信息的可控性、信息的不可否認(rèn)性等。性等。n在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)

3、遵循以下原則：下原則：q需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則 q綜合性、整體性原則綜合性、整體性原則q一致性原則一致性原則q易操作性原則易操作性原則q適應(yīng)性、靈活性原則適應(yīng)性、靈活性原則q多重保護(hù)原則多重保護(hù)原則6網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案n網(wǎng)絡(luò)安全解決方案的基本概念網(wǎng)絡(luò)安全解決方案的基本概念q網(wǎng)絡(luò)安全解決方案可以看作是一張有關(guān)網(wǎng)絡(luò)系網(wǎng)絡(luò)安全解決方案可以看作是一張有關(guān)網(wǎng)絡(luò)系統(tǒng)安全工程的圖紙，圖紙?jiān)O(shè)計(jì)的好壞直接關(guān)系統(tǒng)安全工程的圖紙，圖紙?jiān)O(shè)計(jì)的好壞直接關(guān)系到工程質(zhì)量的優(yōu)劣。到工程質(zhì)量的優(yōu)劣。q總體來說，網(wǎng)絡(luò)安全解決方案涉及安全操作系總體來說，網(wǎng)絡(luò)安全解決方案涉及安全操

4、作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)、認(rèn)證和數(shù)字簽名技術(shù)、測技術(shù)、安全掃描技術(shù)、認(rèn)證和數(shù)字簽名技術(shù)、VPN技術(shù)等多方面的安全技術(shù)。技術(shù)等多方面的安全技術(shù)。 7n一份好的網(wǎng)絡(luò)安全解決方案，不僅僅要考一份好的網(wǎng)絡(luò)安全解決方案，不僅僅要考慮到技術(shù)，還要考慮到策略和管理。慮到技術(shù)，還要考慮到策略和管理。q技術(shù)是關(guān)鍵技術(shù)是關(guān)鍵q策略是核心策略是核心q管理是保證管理是保證n在整個網(wǎng)絡(luò)安全解決方案中，始終要體現(xiàn)在整個網(wǎng)絡(luò)安全解決方案中，始終要體現(xiàn)出這三個方面的關(guān)系。出這三個方面的關(guān)系。8網(wǎng)絡(luò)安全解決方案設(shè)計(jì)網(wǎng)絡(luò)安全解決方案設(shè)計(jì)9安全需求分析

5、安全需求分析n網(wǎng)絡(luò)系統(tǒng)的總體安全需求是建立在對網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)的總體安全需求是建立在對網(wǎng)絡(luò)安全層次分析基礎(chǔ)上的。對于基于安全層次分析基礎(chǔ)上的。對于基于TCP / IP協(xié)議的網(wǎng)絡(luò)系統(tǒng)來說，安全層次是與協(xié)議的網(wǎng)絡(luò)系統(tǒng)來說，安全層次是與TCP/IP協(xié)議層次相對應(yīng)的。協(xié)議層次相對應(yīng)的。n針對該企業(yè)網(wǎng)絡(luò)的實(shí)際情況，可以將安全針對該企業(yè)網(wǎng)絡(luò)的實(shí)際情況，可以將安全需求層次歸納為需求層次歸納為網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層安全和和應(yīng)用層安全應(yīng)用層安全兩個技術(shù)層次，同時(shí)將在各層都涉及的兩個技術(shù)層次，同時(shí)將在各層都涉及的安安全管理全管理部分單獨(dú)作為一部分進(jìn)行分析。部分單獨(dú)作為一部分進(jìn)行分析。10網(wǎng)絡(luò)層需求分析網(wǎng)絡(luò)層需求分析n網(wǎng)絡(luò)層

6、安全需求是保護(hù)網(wǎng)絡(luò)不受攻擊，確保網(wǎng)絡(luò)層安全需求是保護(hù)網(wǎng)絡(luò)不受攻擊，確保網(wǎng)絡(luò)服務(wù)的可用性。網(wǎng)絡(luò)服務(wù)的可用性。q保證同保證同Internet互聯(lián)的邊界安全互聯(lián)的邊界安全q能夠防范來自能夠防范來自Internet的對提供服務(wù)的非法利用的對提供服務(wù)的非法利用q防范來自防范來自Internet的網(wǎng)絡(luò)入侵和攻擊行為的發(fā)生的網(wǎng)絡(luò)入侵和攻擊行為的發(fā)生q對于內(nèi)部網(wǎng)絡(luò)提供高于網(wǎng)絡(luò)邊界更高的安全保護(hù)對于內(nèi)部網(wǎng)絡(luò)提供高于網(wǎng)絡(luò)邊界更高的安全保護(hù)11應(yīng)用層需求分析應(yīng)用層需求分析n應(yīng)用層的安全需求是針對用戶和網(wǎng)絡(luò)應(yīng)用應(yīng)用層的安全需求是針對用戶和網(wǎng)絡(luò)應(yīng)用資源的，主要包括：資源的，主要包括：q合法用戶可以以指定的方式訪問指定的

7、信息；合法用戶可以以指定的方式訪問指定的信息；q合法用戶不能以任何方式訪問不允許其訪問的合法用戶不能以任何方式訪問不允許其訪問的信息；信息；q非法用戶不能訪問任何信息；非法用戶不能訪問任何信息；q用戶對任何信息的訪問都有記錄。用戶對任何信息的訪問都有記錄。12應(yīng)用層要解決的安全問題包括應(yīng)用層要解決的安全問題包括n非法用戶利用應(yīng)用系統(tǒng)的后門或漏洞，強(qiáng)非法用戶利用應(yīng)用系統(tǒng)的后門或漏洞，強(qiáng)行進(jìn)入系統(tǒng)行進(jìn)入系統(tǒng)n用戶身份假冒用戶身份假冒n非授權(quán)訪問非授權(quán)訪問n數(shù)據(jù)竊取數(shù)據(jù)竊取n數(shù)據(jù)篡改數(shù)據(jù)篡改n數(shù)據(jù)重放攻擊數(shù)據(jù)重放攻擊n抵賴抵賴13網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案14電子政務(wù)網(wǎng)絡(luò)拓?fù)涓攀鲭娮诱?wù)網(wǎng)絡(luò)拓

8、撲概述內(nèi)部核心子網(wǎng)INTERNET分支機(jī)構(gòu)1分支機(jī)構(gòu)215電子政務(wù)網(wǎng)絡(luò)拓?fù)湓敿?xì)分析電子政務(wù)網(wǎng)絡(luò)拓?fù)湓敿?xì)分析領(lǐng)導(dǎo)層子網(wǎng)分支機(jī)構(gòu)2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)INTERNET分支機(jī)構(gòu)116電子政務(wù)網(wǎng)絡(luò)風(fēng)險(xiǎn)及需求分析電子政務(wù)網(wǎng)絡(luò)風(fēng)險(xiǎn)及需求分析領(lǐng)導(dǎo)層子網(wǎng)分支機(jī)構(gòu)2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)INTERNET分支機(jī)構(gòu)1此人正試圖進(jìn)入網(wǎng)絡(luò)監(jiān)聽并竊取敏感信息分支機(jī)構(gòu)工作分支機(jī)構(gòu)工作人員正試圖在人員正試圖在領(lǐng)導(dǎo)層子網(wǎng)安領(lǐng)導(dǎo)層子網(wǎng)安裝木馬裝木馬分支機(jī)構(gòu)工作分支機(jī)構(gòu)工作人員正試圖越人員正試圖越權(quán)訪問業(yè)務(wù)子權(quán)訪問業(yè)務(wù)子網(wǎng)安裝木馬網(wǎng)安

9、裝木馬非內(nèi)部人員正試圖篡改公共網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)17電子政務(wù)網(wǎng)絡(luò)內(nèi)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)平臺安全電子政務(wù)網(wǎng)絡(luò)內(nèi)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)平臺安全領(lǐng)導(dǎo)層子網(wǎng)業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)分支機(jī)構(gòu)2分支機(jī)構(gòu)1NEsec300 FW2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300 FW2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電源INTERNETNEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源防火墻防火墻FW1防火墻防火墻FW2防火墻防火墻FW3安全認(rèn)證服務(wù)器安全認(rèn)證服務(wù)器安全管理器安全管理器安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG3路由器路由器

10、路由器路由器路由器路由器交換機(jī)交換機(jī)NEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源18內(nèi)網(wǎng)核心網(wǎng)絡(luò)與各級子網(wǎng)間的安全設(shè)計(jì)內(nèi)網(wǎng)核心網(wǎng)絡(luò)與各級子網(wǎng)間的安全設(shè)計(jì)分支機(jī)構(gòu)2INTERNET分支機(jī)構(gòu)1NEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源 內(nèi)部核心子網(wǎng)內(nèi)部核心子網(wǎng)NEsec300 FW2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)交換機(jī)安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG3路由器路由器路由器路由器路由器路由器安

11、全管理器安全管理器安全認(rèn)證服務(wù)器安全認(rèn)證服務(wù)器19內(nèi)網(wǎng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)設(shè)計(jì)內(nèi)網(wǎng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)設(shè)計(jì)分支機(jī)構(gòu)2INTERNET分支機(jī)構(gòu)1NEsec300 FW2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電源 內(nèi)部核心子網(wǎng)內(nèi)部核心子網(wǎng)NEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)交換機(jī)安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG3路由器路由器路由器路由器路由器路由器安全管理器安全管理器安全認(rèn)證服務(wù)器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)漏洞掃描器

12、20內(nèi)網(wǎng)網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì)內(nèi)網(wǎng)網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì)分支機(jī)構(gòu)2INTERNET分支機(jī)構(gòu)1NEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源 內(nèi)部核心子網(wǎng)內(nèi)部核心子網(wǎng)NEsec300 FW2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)交換機(jī)安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)安全網(wǎng)關(guān)SG3路由器路由器路由器路由器路由器路由器安全管理器安全管理器安全認(rèn)證服務(wù)器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)入侵檢測探頭網(wǎng)絡(luò)入侵檢測探頭網(wǎng)絡(luò)入侵策略管理器網(wǎng)絡(luò)入侵策略管理器21

13、電子政務(wù)外網(wǎng)基礎(chǔ)平臺安全設(shè)計(jì)電子政務(wù)外網(wǎng)基礎(chǔ)平臺安全設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)辦公廳辦公業(yè)務(wù)網(wǎng) （簡稱（簡稱“內(nèi)網(wǎng)內(nèi)網(wǎng)”）路由器路由器交換機(jī)交換機(jī)安全管理器安全管理器防火墻防火墻FW物理隔離器（物理隔離器（K1)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器22外網(wǎng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)設(shè)計(jì)外網(wǎng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)辦公廳辦公業(yè)務(wù)網(wǎng) （簡稱（簡稱“內(nèi)網(wǎng)內(nèi)網(wǎng)”）路由器路由器交換機(jī)交換機(jī)安全管理器安全管理器防火墻防火墻FW物理隔離器（物理隔離器（K1)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)漏洞掃描器23外網(wǎng)網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì)

14、外網(wǎng)網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)辦公廳辦公業(yè)務(wù)網(wǎng) （簡稱（簡稱“內(nèi)網(wǎng)內(nèi)網(wǎng)”）路由器路由器交換機(jī)交換機(jī)安全管理器安全管理器物理隔離器（K1)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)入侵檢測探頭網(wǎng)絡(luò)入侵檢測探頭網(wǎng)絡(luò)入侵策略管理器網(wǎng)絡(luò)入侵策略管理器防火墻防火墻FW24外網(wǎng)外網(wǎng)WEB服務(wù)器安全設(shè)計(jì)服務(wù)器安全設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)辦公廳辦公業(yè)務(wù)網(wǎng) （簡稱（簡稱“內(nèi)網(wǎng)內(nèi)網(wǎng)”）路由器路由器交換機(jī)交換機(jī)安全管理器安全管理器物理隔離器（K2)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器防火墻防火墻FW物理隔離器（K1)辦公

15、廳辦公業(yè)務(wù)網(wǎng)辦公廳辦公業(yè)務(wù)網(wǎng) （簡稱（簡稱“內(nèi)網(wǎng)內(nèi)網(wǎng)”）政府系統(tǒng)辦公政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)業(yè)務(wù)資源網(wǎng)（簡稱（簡稱“專專網(wǎng)網(wǎng)”）Web網(wǎng)站監(jiān)測網(wǎng)站監(jiān)測&自動修復(fù)系統(tǒng)自動修復(fù)系統(tǒng) 25內(nèi)網(wǎng)、外網(wǎng)和專網(wǎng)的隔離系統(tǒng)設(shè)計(jì)內(nèi)網(wǎng)、外網(wǎng)和專網(wǎng)的隔離系統(tǒng)設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)辦公廳辦公業(yè)務(wù)網(wǎng) （簡稱（簡稱“內(nèi)網(wǎng)內(nèi)網(wǎng)”）路由器路由器交換機(jī)交換機(jī)安全管理器安全管理器物理隔離器（物理隔離器（K2)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器防火墻防火墻FW物理隔離器（物理隔離器（K1)辦公廳辦公業(yè)務(wù)網(wǎng)辦公廳辦公業(yè)務(wù)網(wǎng) （簡稱（簡稱“內(nèi)網(wǎng)內(nèi)網(wǎng)”）政府系統(tǒng)辦公業(yè)政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)（簡稱務(wù)

16、資源網(wǎng)（簡稱“專網(wǎng)專網(wǎng)”）26其它網(wǎng)絡(luò)安全設(shè)備其它網(wǎng)絡(luò)安全設(shè)備n撥號檢測系統(tǒng)撥號檢測系統(tǒng)n上網(wǎng)行為管理系統(tǒng)上網(wǎng)行為管理系統(tǒng)nDDOS防御網(wǎng)關(guān)防御網(wǎng)關(guān)nVPN網(wǎng)關(guān)網(wǎng)關(guān)n防病毒網(wǎng)關(guān)防病毒網(wǎng)關(guān)27安全掃描技術(shù)安全掃描技術(shù)n掃描目的掃描目的q查看目標(biāo)網(wǎng)絡(luò)中哪些主機(jī)是存活的（查看目標(biāo)網(wǎng)絡(luò)中哪些主機(jī)是存活的（Alive）q查看存活的主機(jī)運(yùn)行了哪些服務(wù)查看存活的主機(jī)運(yùn)行了哪些服務(wù)pWWWpFTPpEMAILpTELNETq查看主機(jī)提供的服務(wù)有無漏洞查看主機(jī)提供的服務(wù)有無漏洞28IP掃描掃描nIP掃描掃描Ping SweepingqPing使用使用ICMP協(xié)議進(jìn)行工作協(xié)議進(jìn)行工作29端口掃描端口掃描n端口端口

17、qInternet上主機(jī)間通訊總是通過端口發(fā)生的上主機(jī)間通訊總是通過端口發(fā)生的 n端口是入侵的通道端口是入侵的通道n端口分為端口分為TCP端口與端口與UDP端口端口n因此，端口掃描可分類為因此，端口掃描可分類為qTCP掃描掃描qUDP掃描掃描30端口掃描端口掃描nconnect()connect()函數(shù)函數(shù)qintint connect( SOCKET connect( SOCKET s s, const struct sockaddr, const struct sockaddr FAR FAR * *namename, int, int namelennamelen ); );q當(dāng)當(dāng)con

18、nectconnect返回返回0 0時(shí)，連接成功時(shí)，連接成功n基本的掃描方法即基本的掃描方法即TCP ConnectTCP Connect掃描掃描q優(yōu)點(diǎn)優(yōu)點(diǎn)p實(shí)現(xiàn)簡單實(shí)現(xiàn)簡單p可以用普通用戶權(quán)限執(zhí)行可以用普通用戶權(quán)限執(zhí)行q缺點(diǎn)缺點(diǎn)p容易被防火墻檢測，也會目標(biāo)應(yīng)用所記錄容易被防火墻檢測，也會目標(biāo)應(yīng)用所記錄31端口掃描端口掃描nTCP的連接建立過程的連接建立過程客戶機(jī)客戶機(jī)服務(wù)器服務(wù)器發(fā)送發(fā)送SYN seq=x 接收接收SYN報(bào)文報(bào)文 發(fā)送發(fā)送SYN seq = y,ACK ack = x+1 接收接收SYN+ACK 發(fā)送發(fā)送 ACK ack = y+1 接受接受ACK報(bào)文段報(bào)文段 32端口掃描端

19、口掃描nSYN掃描掃描客戶機(jī)客戶機(jī)服務(wù)器服務(wù)器發(fā)送發(fā)送SYN seq=x 如果接收到如果接收到SYN+ACKSYN+ACK，表明服務(wù)器端口可連接表明服務(wù)器端口可連接如果服務(wù)器端口打開，如果服務(wù)器端口打開，則返回則返回SYN+ACKSYN+ACK如果服務(wù)器端口未打開，如果服務(wù)器端口未打開，則返回則返回RSTRSTSYN+ACK如果接收到如果接收到RSTRST，表明，表明服務(wù)器端口不可連接服務(wù)器端口不可連接RST33端口掃描端口掃描nSYN掃描的實(shí)現(xiàn)掃描的實(shí)現(xiàn)qWinSock2接口接口Raw Sock方式，允許自定義方式，允許自定義IP包包pSockRaw = socket(AF_INET , S

20、OCK_RAW , IPPROTO_IP); qTCP包頭標(biāo)志位包頭標(biāo)志位保留保留保留保留Urgent Urgent pointpointACKACKPUSHPUSHRESETRESETSYNSYNFINFIN34端口掃描端口掃描nSYN掃描的優(yōu)缺點(diǎn)掃描的優(yōu)缺點(diǎn)q優(yōu)點(diǎn)：優(yōu)點(diǎn)：p一般不會被目標(biāo)主機(jī)所記錄一般不會被目標(biāo)主機(jī)所記錄q缺點(diǎn)：缺點(diǎn)：p運(yùn)行運(yùn)行Raw Socket時(shí)必須擁有管理員權(quán)限時(shí)必須擁有管理員權(quán)限35端口掃描端口掃描nFIN掃描掃描q關(guān)閉關(guān)閉TCP連接的過程連接的過程客戶機(jī)客戶機(jī)服務(wù)器服務(wù)器發(fā)送發(fā)送FIN seq=x 接收接收FIN 報(bào)文報(bào)文 發(fā)送發(fā)送FIN seq = y,ACK

21、ack = x+1 接收接收FIN+ACK 發(fā)送發(fā)送 ACK ack = y+1 接受接受ACK報(bào)文段報(bào)文段 36端口掃描端口掃描n關(guān)閉一個并沒有建立的連接，會產(chǎn)生以下情況關(guān)閉一個并沒有建立的連接，會產(chǎn)生以下情況n對非連接對非連接FIN報(bào)文的回復(fù)報(bào)文的回復(fù)qTCP標(biāo)準(zhǔn)標(biāo)準(zhǔn)p關(guān)閉的端口關(guān)閉的端口返回返回RST報(bào)文報(bào)文p打開的端口打開的端口忽略忽略qBSD操作系統(tǒng)操作系統(tǒng)p與與TCP標(biāo)準(zhǔn)一致標(biāo)準(zhǔn)一致q其他操作系統(tǒng)其他操作系統(tǒng)p均返回均返回RST報(bào)文報(bào)文37TCP ACK掃描掃描n掃描主機(jī)向目標(biāo)主機(jī)發(fā)送掃描主機(jī)向目標(biāo)主機(jī)發(fā)送ACK數(shù)據(jù)包。根據(jù)返回的數(shù)據(jù)包。根據(jù)返回的RST數(shù)據(jù)包有兩種方法可以數(shù)據(jù)包有

22、兩種方法可以得到端口的信息。得到端口的信息。n方法一是：方法一是： 若返回的若返回的RST數(shù)數(shù)據(jù)包的據(jù)包的TTL值小于或等于值小于或等于64，則端口開放，反之端口關(guān)閉則端口開放，反之端口關(guān)閉n方法二是：方法二是： 若返回的若返回的RST數(shù)數(shù)據(jù)包的據(jù)包的WINDOW值非零，值非零，則端口開放，反之端口關(guān)閉則端口開放，反之端口關(guān)閉TCP ACK掃描建立連接成功掃描建立連接成功TCP ACK掃描建立連接成功掃描建立連接成功38NULL掃描掃描n掃描主機(jī)將掃描主機(jī)將TCP數(shù)據(jù)包中的數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH(接收端將數(shù)據(jù)接收端將數(shù)據(jù)轉(zhuǎn)由應(yīng)用處理轉(zhuǎn)由應(yīng)用處理)標(biāo)志位置空后標(biāo)

23、志位置空后（保留的（保留的RES1和和RES2對掃對掃描的結(jié)果沒有任何影響）發(fā)描的結(jié)果沒有任何影響）發(fā)送給目標(biāo)主機(jī)。若目標(biāo)端口送給目標(biāo)主機(jī)。若目標(biāo)端口開放，目標(biāo)主機(jī)將不返回任開放，目標(biāo)主機(jī)將不返回任何信息。何信息。n若目標(biāo)主機(jī)返回若目標(biāo)主機(jī)返回RST信息，信息，則表示端口關(guān)閉。則表示端口關(guān)閉。NULL掃描建立連接成功掃描建立連接成功NULL掃描建立連接未成功掃描建立連接未成功39Xmas tree掃描掃描（圣誕樹掃描圣誕樹掃描）nXMAS掃描原理和掃描原理和NULL掃描掃描的類似，將的類似，將TCP數(shù)據(jù)包中的數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH標(biāo)志位置標(biāo)志位置1后發(fā)送后發(fā)送

24、給目標(biāo)主機(jī)。在目標(biāo)端口開放給目標(biāo)主機(jī)。在目標(biāo)端口開放的情況下，目標(biāo)主機(jī)將不返回的情況下，目標(biāo)主機(jī)將不返回任何信息任何信息n若目標(biāo)端口關(guān)閉，則目標(biāo)主機(jī)若目標(biāo)端口關(guān)閉，則目標(biāo)主機(jī)將返回將返回RST信息信息XMAS掃描建立連接成功掃描建立連接成功XMAS掃描建立連接未成功掃描建立連接未成功40端口掃描端口掃描n優(yōu)點(diǎn)優(yōu)點(diǎn)q不會被記錄到日志不會被記錄到日志q可以繞過某些防火墻可以繞過某些防火墻qnetstat命令不會顯示命令不會顯示netstate命令只能顯示命令只能顯示TCP連連接或連接的嘗試接或連接的嘗試n缺點(diǎn)缺點(diǎn)q使用使用RAW IP編程，實(shí)現(xiàn)起來相對比較復(fù)雜編程，實(shí)現(xiàn)起來相對比較復(fù)雜q利用利用B

25、SD代碼缺陷，可能被修復(fù)代碼缺陷，可能被修復(fù)Open BSDq不同操作系統(tǒng)結(jié)果不同，因此不完全可信不同操作系統(tǒng)結(jié)果不同，因此不完全可信41端口掃描端口掃描nUDP端口掃描端口掃描q目前掃描目前掃描UDP端口只有一種方法：端口只有一種方法：q向目標(biāo)向目標(biāo)UDP端口發(fā)送一些隨機(jī)數(shù)據(jù)，如果端口端口發(fā)送一些隨機(jī)數(shù)據(jù)，如果端口關(guān)閉，則目標(biāo)主機(jī)會回復(fù)關(guān)閉，則目標(biāo)主機(jī)會回復(fù)ICMP端口不可達(dá)消端口不可達(dá)消息息42慢速掃描慢速掃描n隨著防火墻的廣泛應(yīng)用，普通的掃描很難穿過防隨著防火墻的廣泛應(yīng)用，普通的掃描很難穿過防火墻去掃描受防火墻保護(hù)的網(wǎng)絡(luò)。即使掃描能穿火墻去掃描受防火墻保護(hù)的網(wǎng)絡(luò)。即使掃描能穿過防火墻，掃

26、描的行為仍然有可能會被防火墻記過防火墻，掃描的行為仍然有可能會被防火墻記錄下來。錄下來。n如果掃描是對非連續(xù)性端口、源地址不一致、時(shí)如果掃描是對非連續(xù)性端口、源地址不一致、時(shí)間間隔很長且沒有規(guī)律的掃描的話，這些掃描的間間隔很長且沒有規(guī)律的掃描的話，這些掃描的記錄就會淹沒在其他眾多雜亂的日志內(nèi)容中。使記錄就會淹沒在其他眾多雜亂的日志內(nèi)容中。使用慢速掃描的目的也就是這樣，騙過防火墻和入用慢速掃描的目的也就是這樣，騙過防火墻和入侵檢測系統(tǒng)而收集信息。雖然掃描所用的時(shí)間較侵檢測系統(tǒng)而收集信息。雖然掃描所用的時(shí)間較長，但這是一種比較難以被發(fā)現(xiàn)的掃描。長，但這是一種比較難以被發(fā)現(xiàn)的掃描。43亂序掃描亂序掃

27、描n亂序掃描也是一種常見的掃描技術(shù)，掃描亂序掃描也是一種常見的掃描技術(shù)，掃描器掃描的時(shí)候不是進(jìn)行有序的掃描，掃描器掃描的時(shí)候不是進(jìn)行有序的掃描，掃描端口號的順序是隨機(jī)產(chǎn)生的，每次進(jìn)行掃端口號的順序是隨機(jī)產(chǎn)生的，每次進(jìn)行掃描的順序都完全不一樣，這種方式能有效描的順序都完全不一樣，這種方式能有效地欺騙某些入侵檢測系統(tǒng)而不會被發(fā)覺。地欺騙某些入侵檢測系統(tǒng)而不會被發(fā)覺。44漏洞掃描漏洞掃描q漏洞是指系統(tǒng)硬件、操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議、漏洞是指系統(tǒng)硬件、操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)庫等在設(shè)計(jì)上和實(shí)現(xiàn)上出現(xiàn)的可以被攻擊者數(shù)據(jù)庫等在設(shè)計(jì)上和實(shí)現(xiàn)上出現(xiàn)的可以被攻擊者利用的錯誤、缺陷和疏漏。利用的錯誤、缺陷和

28、疏漏。q漏洞掃描程序是用來檢測遠(yuǎn)程或本地主機(jī)安全漏漏洞掃描程序是用來檢測遠(yuǎn)程或本地主機(jī)安全漏洞的工具。洞的工具。q針對掃描對象的不同，漏洞掃描又可分為針對掃描對象的不同，漏洞掃描又可分為網(wǎng)絡(luò)掃網(wǎng)絡(luò)掃描描、操作系統(tǒng)掃描操作系統(tǒng)掃描、WWW服務(wù)掃描服務(wù)掃描、數(shù)據(jù)庫掃數(shù)據(jù)庫掃描描以及以及無線網(wǎng)絡(luò)掃描無線網(wǎng)絡(luò)掃描等。等。45端口掃描端口掃描n常用的端口掃描工具常用的端口掃描工具qUNIX下的端口掃描工具下的端口掃描工具pNmapqWindows下的端口掃描工具下的端口掃描工具pXScanpSuperScanpNmap for NT 46防火墻防火墻n建筑業(yè)中的防火墻用在建筑單位間，防止火勢的建筑業(yè)中的

29、防火墻用在建筑單位間，防止火勢的蔓延。蔓延。n在網(wǎng)絡(luò)安全領(lǐng)域中，防火墻用來指應(yīng)用于在網(wǎng)絡(luò)安全領(lǐng)域中，防火墻用來指應(yīng)用于內(nèi)部網(wǎng)內(nèi)部網(wǎng)絡(luò)絡(luò)（局域網(wǎng)）和（局域網(wǎng)）和外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)（Internet）之間的，用）之間的，用來來保護(hù)內(nèi)部網(wǎng)絡(luò)保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法訪問和破壞的網(wǎng)絡(luò)免受非法訪問和破壞的網(wǎng)絡(luò)安全安全系統(tǒng)系統(tǒng)。 47防火墻功能示意防火墻功能示意 兩個不同網(wǎng)絡(luò)安全域間通信流的兩個不同網(wǎng)絡(luò)安全域間通信流的唯一唯一通通道，對流過的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢查，阻止道，對流過的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢查，阻止攻擊數(shù)據(jù)包通過。攻擊數(shù)據(jù)包通過。安全網(wǎng)域一安全網(wǎng)域二48防火墻主要功能防火墻主要功能n過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)過濾進(jìn)、出網(wǎng)

30、絡(luò)的數(shù)據(jù) ;n防止不安全的協(xié)議和服務(wù)；防止不安全的協(xié)議和服務(wù)；n管理進(jìn)、出網(wǎng)絡(luò)的訪問行為管理進(jìn)、出網(wǎng)絡(luò)的訪問行為 ；n記錄通過防火墻的信息內(nèi)容與活動；記錄通過防火墻的信息內(nèi)容與活動；n對網(wǎng)絡(luò)攻擊進(jìn)行檢測與告警對網(wǎng)絡(luò)攻擊進(jìn)行檢測與告警;n防止外部對內(nèi)部網(wǎng)絡(luò)信息的獲取防止外部對內(nèi)部網(wǎng)絡(luò)信息的獲取n提供與外部連接的集中管理；提供與外部連接的集中管理；49防火墻不能防范的攻擊防火墻不能防范的攻擊n來自內(nèi)部的安全威脅；來自內(nèi)部的安全威脅；n病毒病毒n開放應(yīng)用服務(wù)程序的漏洞；開放應(yīng)用服務(wù)程序的漏洞；n特洛伊木馬；特洛伊木馬；n社會工程；社會工程；n不當(dāng)配置不當(dāng)配置50衡量防火墻三大要求衡量防火墻三大要求n

31、安全安全q內(nèi)部和外部間所有數(shù)據(jù)必須通過防火墻內(nèi)部和外部間所有數(shù)據(jù)必須通過防火墻q只有符合安全策略的數(shù)據(jù)流才能通過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻q防火墻自身要安全防火墻自身要安全n管理管理q良好的人機(jī)交互界面良好的人機(jī)交互界面q提供強(qiáng)勁的管理及擴(kuò)展功能提供強(qiáng)勁的管理及擴(kuò)展功能n速度速度51防火墻發(fā)展歷程防火墻發(fā)展歷程主要經(jīng)歷了三個階段：主要經(jīng)歷了三個階段：n基于路由器的防火墻基于路由器的防火墻n基于通用操作系統(tǒng)的防火墻基于通用操作系統(tǒng)的防火墻n基于安全操作系統(tǒng)的防火墻基于安全操作系統(tǒng)的防火墻52防火墻分類防火墻分類按實(shí)現(xiàn)技術(shù)分類：按實(shí)現(xiàn)技術(shù)分類：q包過濾型包過濾型q代理型防火墻代理

32、型防火墻按體系結(jié)構(gòu)分類：按體系結(jié)構(gòu)分類：q雙宿雙宿/多宿主機(jī)防火墻多宿主機(jī)防火墻q屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻q屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)防火墻q混合結(jié)構(gòu)混合結(jié)構(gòu)53包過濾防火墻包過濾防火墻n包過濾防火墻包過濾防火墻q在決定能否及如何傳送數(shù)據(jù)包之外，還根據(jù)其在決定能否及如何傳送數(shù)據(jù)包之外，還根據(jù)其規(guī)則集，看是否應(yīng)該傳送該數(shù)據(jù)包規(guī)則集，看是否應(yīng)該傳送該數(shù)據(jù)包n普通路由器普通路由器q當(dāng)數(shù)據(jù)包到達(dá)時(shí)，查看當(dāng)數(shù)據(jù)包到達(dá)時(shí)，查看IP包頭信息，根據(jù)路由包頭信息，根據(jù)路由表決定能否以及如何傳送數(shù)據(jù)包表決定能否以及如何傳送數(shù)據(jù)包 54靜態(tài)包過濾防火墻靜態(tài)包過濾防火墻 傳輸層傳輸層 傳輸層傳輸層 傳輸層傳輸層 55

33、路由與包過濾路由與包過濾n路由進(jìn)行轉(zhuǎn)發(fā)，過濾進(jìn)行篩選路由進(jìn)行轉(zhuǎn)發(fā)，過濾進(jìn)行篩選源地址源地址目標(biāo)地址目標(biāo)地址協(xié)議協(xié)議是否允許是否允許Host ASever XTCPYESHost ASever XUDPNOHost A外部網(wǎng)絡(luò)目標(biāo)目標(biāo)路由路由Sever X接口接口1Sever X56包過濾所檢查的內(nèi)容包過濾所檢查的內(nèi)容n源和目的的源和目的的IP地址地址 nIP選項(xiàng)選項(xiàng) nIP的上層協(xié)議類型（的上層協(xié)議類型（TCP/UDP/ICMP） nTCP和和UDP的源及目的端口的源及目的端口 nICMP的報(bào)文類型和代碼的報(bào)文類型和代碼 我們稱這種對包頭內(nèi)容進(jìn)行簡單過濾的方我們稱這種對包頭內(nèi)容進(jìn)行簡單過濾的方

34、式為式為靜態(tài)包過濾靜態(tài)包過濾57包過濾配置包過濾配置包過濾防火墻配置步驟：包過濾防火墻配置步驟：q知道什么是應(yīng)該和不應(yīng)被允許，制定安全策知道什么是應(yīng)該和不應(yīng)被允許，制定安全策略略q規(guī)定允許的包類型、包字段的邏輯表達(dá)規(guī)定允許的包類型、包字段的邏輯表達(dá)q用防火墻支持的語法重寫表達(dá)式用防火墻支持的語法重寫表達(dá)式58規(guī)則制定的策略規(guī)則制定的策略n拒絕任何訪問，除非被規(guī)則特別允許拒絕任何訪問，除非被規(guī)則特別允許 n允許任何訪問，除非規(guī)則特別地禁止允許任何訪問，除非規(guī)則特別地禁止 允許拒絕允許拒絕59規(guī)則制定的策略規(guī)則制定的策略過濾的兩種基本方式過濾的兩種基本方式n按服務(wù)過濾：根據(jù)安全策略決定是否允許按服

35、務(wù)過濾：根據(jù)安全策略決定是否允許或拒絕某一種服務(wù)或拒絕某一種服務(wù)n按規(guī)則過濾：檢查包頭信息，與過濾規(guī)則按規(guī)則過濾：檢查包頭信息，與過濾規(guī)則匹配，決定是否轉(zhuǎn)發(fā)該數(shù)據(jù)包匹配，決定是否轉(zhuǎn)發(fā)該數(shù)據(jù)包60依賴于服務(wù)的過濾依賴于服務(wù)的過濾 多數(shù)服務(wù)對應(yīng)特定的端口，如要封鎖輸多數(shù)服務(wù)對應(yīng)特定的端口，如要封鎖輸Telnet 、SMTP的連接，則的連接，則Router丟棄端口值為丟棄端口值為23和和25的的所有數(shù)據(jù)包。所有數(shù)據(jù)包。典型的過濾規(guī)則有以下幾種：典型的過濾規(guī)則有以下幾種：n只允許只允許進(jìn)來進(jìn)來的的Telnet會話連接到會話連接到指定的內(nèi)部主機(jī)指定的內(nèi)部主機(jī)n只允許只允許進(jìn)來進(jìn)來的的FTP會話連接到會話

36、連接到指定的內(nèi)部主機(jī)指定的內(nèi)部主機(jī)n允許允許所有出去所有出去的的Telnet會話會話 n允許允許所有出去所有出去的的FTP會話會話n拒絕從某些指定的外部網(wǎng)絡(luò)進(jìn)來的所有信息拒絕從某些指定的外部網(wǎng)絡(luò)進(jìn)來的所有信息61按規(guī)則過濾按規(guī)則過濾n有些類型的攻擊很難用基本包頭信息加以鑒別，有些類型的攻擊很難用基本包頭信息加以鑒別，因?yàn)楠?dú)立于服務(wù)。如果防范則需要定義規(guī)則因?yàn)楠?dú)立于服務(wù)。如果防范則需要定義規(guī)則1）源）源IP地址欺騙攻擊地址欺騙攻擊 入侵者從偽裝成源自一臺內(nèi)部主機(jī)的一個外部地點(diǎn)入侵者從偽裝成源自一臺內(nèi)部主機(jī)的一個外部地點(diǎn)傳送一些信息包；這些信息包似乎像包含了一個傳送一些信息包；這些信息包似乎像包含

37、了一個內(nèi)部系統(tǒng)的源內(nèi)部系統(tǒng)的源IP地址。如果這些信息包到達(dá)地址。如果這些信息包到達(dá)Router的外部接口，則舍棄每個含有這個源的外部接口，則舍棄每個含有這個源IP地地址的信息包，就可以挫敗這種源欺騙攻擊。址的信息包，就可以挫敗這種源欺騙攻擊。62按規(guī)則過濾按規(guī)則過濾2）源路由攻擊）源路由攻擊攻擊者為信息包指定一個穿越攻擊者為信息包指定一個穿越Internet的路由，的路由，這類攻擊企圖繞過安全措施，并使信息包沿一條意這類攻擊企圖繞過安全措施，并使信息包沿一條意外外(疏漏疏漏)的路徑到達(dá)目的地?？梢酝ㄟ^舍棄所有包的路徑到達(dá)目的地。可以通過舍棄所有包含這類源路由選項(xiàng)的信息包方式，來挫敗這類攻擊。含

38、這類源路由選項(xiàng)的信息包方式，來挫敗這類攻擊。3）殘片攻擊）殘片攻擊入侵者利用入侵者利用IP分段特性生成一個極小的片斷并將分段特性生成一個極小的片斷并將TCP報(bào)頭信息肢解成一個分離的信息包片斷，使數(shù)報(bào)頭信息肢解成一個分離的信息包片斷，使數(shù)據(jù)包繞過用戶定義的過濾規(guī)則。黑客希望過濾路由據(jù)包繞過用戶定義的過濾規(guī)則。黑客希望過濾路由器只檢查第一分段，而允許其它分段通過。通過舍器只檢查第一分段，而允許其它分段通過。通過舍棄所有協(xié)議類型為棄所有協(xié)議類型為TCP、IP報(bào)頭中報(bào)頭中Fragment Offset=1的數(shù)據(jù)包，即可挫敗殘片的攻擊。的數(shù)據(jù)包，即可挫敗殘片的攻擊。 63推薦的規(guī)則推薦的規(guī)則n任何進(jìn)入內(nèi)

39、網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為源地址任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為源地址n任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為目標(biāo)地任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為目標(biāo)地址址n任何離開內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為源地址任何離開內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為源地址n任何離開內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為目標(biāo)地任何離開內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為目標(biāo)地址址n任何進(jìn)入或離開內(nèi)網(wǎng)的數(shù)據(jù)包不能把一個私有地址任何進(jìn)入或離開內(nèi)網(wǎng)的數(shù)據(jù)包不能把一個私有地址或者或者/8作為源或目標(biāo)地址作為源或目標(biāo)地址64靜態(tài)包過濾的優(yōu)缺點(diǎn)靜態(tài)包過濾的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：優(yōu)點(diǎn)：n速度快速度快n價(jià)格低價(jià)格低n對用戶透明

40、對用戶透明缺點(diǎn)：缺點(diǎn)：n配置難把握配置難把握n防范能力低防范能力低n沒有用戶身份驗(yàn)證機(jī)制沒有用戶身份驗(yàn)證機(jī)制65動態(tài)包過濾動態(tài)包過濾n動態(tài)包過濾是動態(tài)包過濾是Check Point的一項(xiàng)稱為的一項(xiàng)稱為“Stateful Inspection”的專利技術(shù)，也稱狀態(tài)的專利技術(shù)，也稱狀態(tài)檢測防火墻檢測防火墻 。n動態(tài)包過濾防火墻不僅以一個數(shù)據(jù)包的內(nèi)動態(tài)包過濾防火墻不僅以一個數(shù)據(jù)包的內(nèi)容作為過濾的依據(jù)，還根據(jù)這個數(shù)據(jù)包在容作為過濾的依據(jù)，還根據(jù)這個數(shù)據(jù)包在信息流位置加以判斷。信息流位置加以判斷。n動態(tài)包過濾防火墻可阻止未經(jīng)內(nèi)網(wǎng)請求的動態(tài)包過濾防火墻可阻止未經(jīng)內(nèi)網(wǎng)請求的外部通信，而允許內(nèi)網(wǎng)請求的外部網(wǎng)站

41、傳外部通信，而允許內(nèi)網(wǎng)請求的外部網(wǎng)站傳入的通信入的通信 。66動態(tài)包過濾防火墻動態(tài)包過濾防火墻67動態(tài)包過濾的優(yōu)缺點(diǎn)動態(tài)包過濾的優(yōu)缺點(diǎn)n優(yōu)點(diǎn)：優(yōu)點(diǎn)：q基于應(yīng)用程序信息驗(yàn)證一個包狀態(tài)的能力基于應(yīng)用程序信息驗(yàn)證一個包狀態(tài)的能力q記錄通過的每個包的詳細(xì)信息記錄通過的每個包的詳細(xì)信息n缺點(diǎn)：缺點(diǎn)：q造成網(wǎng)絡(luò)連接的遲滯造成網(wǎng)絡(luò)連接的遲滯q系統(tǒng)資源要求較高系統(tǒng)資源要求較高68防火墻分類：防火墻分類：q包過濾包過濾q代理型防火墻：應(yīng)用代理型代理型防火墻：應(yīng)用代理型q代理型防火墻：電路代理型代理型防火墻：電路代理型q代理型防火墻：代理型防火墻：NAT69代理服務(wù)技術(shù)代理服務(wù)技術(shù) 代理服務(wù)技術(shù)能夠?qū)⑺锌缭椒阑?/p>

42、墻的網(wǎng)代理服務(wù)技術(shù)能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接，由兩個代理服務(wù)器系統(tǒng)間應(yīng)用層的連接，由兩個代理服務(wù)器之間的連接來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈之間的連接來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔離防路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用?；饓?nèi)外計(jì)算機(jī)系統(tǒng)的作用。70應(yīng)用代理防火墻應(yīng)用代理防火墻n工作在應(yīng)用層工作在應(yīng)用層n對所有規(guī)則內(nèi)允許的應(yīng)用程序作中轉(zhuǎn)轉(zhuǎn)發(fā)對所有規(guī)則內(nèi)允許的應(yīng)用程序作中轉(zhuǎn)轉(zhuǎn)發(fā)n犧牲了對應(yīng)用程序的透明性犧牲了對應(yīng)用程序的透明性71應(yīng)用代理防火墻應(yīng)用代理防火墻72

43、應(yīng)用代理應(yīng)用代理n應(yīng)用代理工作原理示意應(yīng)用代理工作原理示意73應(yīng)用代理應(yīng)用代理n應(yīng)用代理工作在應(yīng)用層，對于不同的服務(wù)，應(yīng)用代理工作在應(yīng)用層，對于不同的服務(wù)，必須使用不同的代理軟件。必須使用不同的代理軟件。FTP服務(wù)服務(wù)74應(yīng)用代理防火墻應(yīng)用代理防火墻應(yīng)用代理服務(wù)器的安全性應(yīng)用代理服務(wù)器的安全性n屏蔽內(nèi)網(wǎng)用戶與外網(wǎng)的直接通信，提供更屏蔽內(nèi)網(wǎng)用戶與外網(wǎng)的直接通信，提供更嚴(yán)格的檢查嚴(yán)格的檢查n提供對協(xié)議的控制，拒絕所有沒有配置的提供對協(xié)議的控制，拒絕所有沒有配置的連接連接n提供用戶級控制，可近一步提供身份認(rèn)證提供用戶級控制，可近一步提供身份認(rèn)證等信息等信息75應(yīng)用代理的優(yōu)缺點(diǎn)應(yīng)用代理的優(yōu)缺點(diǎn)n優(yōu)點(diǎn)：

44、優(yōu)點(diǎn)：q可以隱藏內(nèi)部網(wǎng)絡(luò)的信息；可以隱藏內(nèi)部網(wǎng)絡(luò)的信息；q可以具有強(qiáng)大的日志審核；可以具有強(qiáng)大的日志審核；q可以實(shí)現(xiàn)內(nèi)容的過濾；可以實(shí)現(xiàn)內(nèi)容的過濾；n缺點(diǎn)：缺點(diǎn)：q價(jià)格高價(jià)格高q速度慢速度慢 q失效時(shí)造成網(wǎng)絡(luò)的癱瘓失效時(shí)造成網(wǎng)絡(luò)的癱瘓76電路級代理電路級代理n電路級代理可以同時(shí)為不同的服務(wù)，如電路級代理可以同時(shí)為不同的服務(wù)，如WEB、FTP、TELNET提供代理服即提供代理服即SOCKS代理，它工作在傳輸層。代理，它工作在傳輸層。77電路級代理優(yōu)缺點(diǎn)電路級代理優(yōu)缺點(diǎn)優(yōu)點(diǎn)：優(yōu)點(diǎn)：n隱藏內(nèi)部網(wǎng)絡(luò)信息隱藏內(nèi)部網(wǎng)絡(luò)信息n配置簡單，無需為每個應(yīng)用程序配置一個配置簡單，無需為每個應(yīng)用程序配置一個代理代理缺

45、點(diǎn)：缺點(diǎn)：n多數(shù)電路級網(wǎng)關(guān)都是基于多數(shù)電路級網(wǎng)關(guān)都是基于TCP端口配置，端口配置，不對數(shù)據(jù)包檢測，可能會有漏洞不對數(shù)據(jù)包檢測，可能會有漏洞78NAT防火墻防火墻NAT定義定義 NAT（Network Address Transla- tion）網(wǎng)絡(luò)）網(wǎng)絡(luò)地址翻譯最初設(shè)計(jì)目的是用來增加私有組地址翻譯最初設(shè)計(jì)目的是用來增加私有組織的可用地址空間和解決將現(xiàn)有的私有織的可用地址空間和解決將現(xiàn)有的私有TCP/IP網(wǎng)絡(luò)連接到網(wǎng)上的網(wǎng)絡(luò)連接到網(wǎng)上的IP地址編號問題地址編號問題 79NAT防火墻防火墻NAT提供的功能提供的功能n內(nèi)部主機(jī)地址隱藏內(nèi)部主機(jī)地址隱藏n網(wǎng)絡(luò)負(fù)載均衡網(wǎng)絡(luò)負(fù)載均衡n網(wǎng)絡(luò)地址交疊網(wǎng)絡(luò)地址交

46、疊80NAT（網(wǎng)絡(luò)地址翻譯）（網(wǎng)絡(luò)地址翻譯）n根據(jù)內(nèi)部根據(jù)內(nèi)部IP地址和外部地址和外部IP地址的數(shù)量對應(yīng)關(guān)系，地址的數(shù)量對應(yīng)關(guān)系，NAT分為：分為：q基本基本NAT：簡單的地址翻譯：簡單的地址翻譯qM-1，多個內(nèi)部網(wǎng)地址翻譯到，多個內(nèi)部網(wǎng)地址翻譯到1個個IP地址地址qM-N，多個內(nèi)部網(wǎng)地址翻譯到，多個內(nèi)部網(wǎng)地址翻譯到N個個IP地址池地址池81NAT的優(yōu)缺點(diǎn)的優(yōu)缺點(diǎn)n優(yōu)點(diǎn)優(yōu)點(diǎn)q管理方便并且節(jié)約管理方便并且節(jié)約IP地址資源。地址資源。q隱藏內(nèi)部隱藏內(nèi)部 IP 地址信息。僅當(dāng)向某個外部地址發(fā)地址信息。僅當(dāng)向某個外部地址發(fā)送過出站包時(shí)，送過出站包時(shí)，NAT 才允許來自該地址的流量才允許來自該地址的流量

47、入站。入站。 n缺點(diǎn)缺點(diǎn)q外部應(yīng)用程序卻不能方便地與外部應(yīng)用程序卻不能方便地與 NAT 網(wǎng)關(guān)后面的網(wǎng)關(guān)后面的應(yīng)用程序聯(lián)系。應(yīng)用程序聯(lián)系。 82防火墻布置防火墻布置n簡單包過濾路由簡單包過濾路由n雙宿雙宿/多宿主機(jī)模式多宿主機(jī)模式n屏蔽主機(jī)模式屏蔽主機(jī)模式n屏蔽子網(wǎng)模式屏蔽子網(wǎng)模式83包過濾路由包過濾路由內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過濾路由器84雙宿雙宿/多宿主機(jī)模式多宿主機(jī)模式n堡壘主機(jī)：關(guān)鍵位置上用于安全防御的某堡壘主機(jī)：關(guān)鍵位置上用于安全防御的某個系統(tǒng)，攻擊者攻擊網(wǎng)絡(luò)必須先行攻擊的個系統(tǒng)，攻擊者攻擊網(wǎng)絡(luò)必須先行攻擊的主機(jī)。主機(jī)。n雙宿雙宿/多宿主機(jī)防火墻又稱為雙宿多宿主機(jī)防火墻又稱為

48、雙宿/多宿網(wǎng)關(guān)多宿網(wǎng)關(guān)防火墻，它是一種擁有兩個或多個連接到防火墻，它是一種擁有兩個或多個連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，通常用不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，通常用一臺裝有兩塊或多塊網(wǎng)卡的堡壘主機(jī)做防一臺裝有兩塊或多塊網(wǎng)卡的堡壘主機(jī)做防火墻，兩塊或多塊網(wǎng)卡各自與受保護(hù)網(wǎng)和火墻，兩塊或多塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連外部網(wǎng)相連 85雙宿雙宿/多宿主機(jī)模式多宿主機(jī)模式內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)應(yīng)用代理服務(wù)器完成：應(yīng)用代理服務(wù)器完成：對外屏蔽內(nèi)網(wǎng)信息對外屏蔽內(nèi)網(wǎng)信息設(shè)置訪問控制設(shè)置訪問控制對應(yīng)用層數(shù)據(jù)嚴(yán)格檢查對應(yīng)用層數(shù)據(jù)嚴(yán)格檢查86優(yōu)點(diǎn)：優(yōu)點(diǎn)：n配置簡單配置簡單n檢查內(nèi)容更細(xì)致檢查內(nèi)容更細(xì)

49、致n屏蔽了內(nèi)網(wǎng)結(jié)構(gòu)屏蔽了內(nèi)網(wǎng)結(jié)構(gòu)缺點(diǎn)：缺點(diǎn)：n應(yīng)用代理本身的安全性應(yīng)用代理本身的安全性87屏蔽主機(jī)屏蔽主機(jī)內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)88屏蔽主機(jī)屏蔽主機(jī)優(yōu)點(diǎn)：優(yōu)點(diǎn)：n雙重保護(hù)，安全性更高。雙重保護(hù)，安全性更高。實(shí)施策略：實(shí)施策略：n針對不同的服務(wù)，選擇其中的一種或兩種針對不同的服務(wù)，選擇其中的一種或兩種保護(hù)措施。保護(hù)措施。89屏蔽子網(wǎng)屏蔽子網(wǎng)內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)90屏蔽子網(wǎng)屏蔽子網(wǎng)1）周邊網(wǎng)絡(luò)：非軍事化區(qū)、?；饏^(qū)（）周邊網(wǎng)絡(luò)：非軍事化區(qū)、?；饏^(qū)（DMZ）n周邊網(wǎng)絡(luò)是另一個安全層周邊網(wǎng)絡(luò)是另一個安全層,是在外部網(wǎng)絡(luò)與內(nèi)是在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò)。部網(wǎng)絡(luò)之間的附加的網(wǎng)

50、絡(luò)。n對于周邊網(wǎng)絡(luò)，如果某人侵入周邊網(wǎng)上的堡對于周邊網(wǎng)絡(luò)，如果某人侵入周邊網(wǎng)上的堡壘主機(jī)，他僅能探聽到周邊網(wǎng)上的通信。壘主機(jī)，他僅能探聽到周邊網(wǎng)上的通信。2）內(nèi)部路由器（阻塞路由器）：保護(hù)內(nèi)部的）內(nèi)部路由器（阻塞路由器）：保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受網(wǎng)絡(luò)使之免受Internet和周邊子網(wǎng)的侵犯。和周邊子網(wǎng)的侵犯。它為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾它為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作工作91屏蔽子網(wǎng)屏蔽子網(wǎng)n3）外部路由器：在理論上，外部路由器保）外部路由器：在理論上，外部路由器保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來自護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來自Internet的的侵犯。實(shí)際上，外部路由器傾向于允許幾

51、侵犯。實(shí)際上，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通常乎任何東西從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾。只執(zhí)行非常少的數(shù)據(jù)包過濾。n外部路由器安全任務(wù)之一是：阻止從外部路由器安全任務(wù)之一是：阻止從Internet上偽造源地址進(jìn)來的任何數(shù)據(jù)包。上偽造源地址進(jìn)來的任何數(shù)據(jù)包。92優(yōu)點(diǎn)優(yōu)點(diǎn)n安全性較高安全性較高n可用性較好可用性較好缺點(diǎn)缺點(diǎn)n配置復(fù)雜配置復(fù)雜n成本高成本高93繞過防火墻的攻擊繞過防火墻的攻擊n穿過防火墻的攻擊行為穿過防火墻的攻擊行為IIS 4.0和IIS 5.0在Unicode字符解碼的實(shí)現(xiàn)中存在一個安全漏洞，導(dǎo)致用戶可以遠(yuǎn)程通過IIS執(zhí)行任意命令。當(dāng)I

52、IS打開文件時(shí)，如果該文件名包含unicode字符，它會對其進(jìn)行解碼，如果用戶提供一些特殊的編碼，將導(dǎo)致IIS錯誤的打開或者執(zhí)行某些web根目錄以外的文件。 94據(jù)統(tǒng)計(jì)80%的成功攻擊來自于防火墻內(nèi)部！95入侵檢測技術(shù)入侵檢測技術(shù)n通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)信息的收集和分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或鍵點(diǎn)信息的收集和分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略行為和被攻擊系統(tǒng)中是否有違反安全策略行為和被攻擊跡象的一種安全技術(shù)。跡象的一種安全技術(shù)。 96入侵檢測的作用入侵檢測的作用n檢測防護(hù)部分阻止不了的入侵檢測防護(hù)部分阻止不了的入侵 n檢測入侵的前兆檢測入

53、侵的前兆 n入侵事件的歸檔入侵事件的歸檔 n網(wǎng)絡(luò)受威脅程度的評估網(wǎng)絡(luò)受威脅程度的評估 n幫助從入侵事件中恢復(fù)幫助從入侵事件中恢復(fù) 97防火墻與入侵檢測防火墻與入侵檢測n防火墻防火墻q屬于信息保障的保護(hù)環(huán)節(jié)屬于信息保障的保護(hù)環(huán)節(jié)q門禁系統(tǒng)門禁系統(tǒng)n入侵檢測入侵檢測q屬于信息保障的檢測環(huán)節(jié)屬于信息保障的檢測環(huán)節(jié)q監(jiān)控系統(tǒng)監(jiān)控系統(tǒng)98入檢測檢測歷史入檢測檢測歷史n入侵檢測的發(fā)源入侵檢測的發(fā)源q1980，James Anderson 提出入侵檢測的設(shè)想提出入侵檢測的設(shè)想q1987，Dorothy Denning提出入侵檢測系統(tǒng)抽象模型提出入侵檢測系統(tǒng)抽象模型n主機(jī)入侵檢測主機(jī)入侵檢測q1988，出現(xiàn)一批基于主機(jī)審計(jì)信息的入侵檢測系統(tǒng)，出現(xiàn)一批基于主機(jī)審計(jì)信息的入侵檢測系統(tǒng)n網(wǎng)絡(luò)入侵檢測網(wǎng)絡(luò)入侵檢測q1990，開始出現(xiàn)基于網(wǎng)絡(luò)數(shù)據(jù)的入侵檢測系統(tǒng)，開始出現(xiàn)基于網(wǎng)絡(luò)數(shù)據(jù)的入侵檢測系統(tǒng)n入侵檢測的新技術(shù)與新方法入侵檢測的新技術(shù)與新方法q致力于提高入侵檢測系統(tǒng)的可伸縮性、可維護(hù)性、容錯致力于提高入侵檢測系統(tǒng)的可伸縮性、可維護(hù)性、容錯性。一些新的思想，如免疫、信息挖掘引入到入侵檢測性。一些新的思想，如免疫、信息挖掘引入到入侵檢測領(lǐng)域領(lǐng)域99入侵檢測的核心任務(wù)入侵檢測的核心任務(wù)n攻擊者進(jìn)行攻擊的