系統與網絡安全技術培訓課件系統與網絡安全技術培訓課件本講提綱網絡防護技術防火墻VPN入侵檢測/入侵防御安全網關終端防護技術云安全技術桌面安全管理技術本講提綱網絡防護技術一、網絡防護技術防火墻VPN入侵檢測/入侵防御安全網關一、網絡防護技術防火墻1防火墻技術1.1防火墻概述1.2防火墻的分類1.3防火墻的體系結構1.4防火墻的局限性1防火墻技術1.1防火墻概述1.1防火墻概述防火墻概念WilliamCheswick和SteveBeilovin（1994）：防火墻是放置在兩個網絡之間的一組組件，這組組件共同具有下列性質：只允許本地安全策略授權的通信信息通過雙向通信信息必須通過防火墻防火墻本身不會影響信息的流通防火墻是位于兩個信任程度不同的網絡之間（如企業內部網絡和Internet之間）的軟件或硬件設備的組合，它對兩個網絡之間的通信進行控制，通過強制實施統一的安全策略，防止對重要信息資源的非法存取和訪問以達到保護系統安全的目的。1.1防火墻概述防火墻概念1.1防火墻概述——防火墻的功能集中管理內容控制訪問控制日志流量控制1.1防火墻概述——防火墻的功能集中管理內容控制訪問控制日1.2防火墻的分類包過濾防火墻應用網關狀態檢測防火墻電路級網關1.2防火墻的分類包過濾防火墻1.2.1包過濾防火墻包過濾防火墻是在網絡層中根據數據包中包頭信息有選擇地實施允許通過或阻斷即基于防火墻內事先設定的過濾規則，檢查數據包的頭部，根據以下因素確定是否允許數據包通過：源IP地址目的IP地址源端口目的端口協議類型ACK字段在IP/TCP層實現1.2.1包過濾防火墻包過濾防火墻是在網絡層中根據數據包中關鍵技術數據包過濾依據事先設定的過濾規則，對所接收的每個數據包做允許拒絕的決定。數據包過濾優點：速度快，性能高對用戶透明數據包過濾缺點：維護比較困難(需要對TCP/IP了解）安全性低（IP欺騙等）不提供有用的日志，或根本就不提供不防范數據驅動型攻擊不能根據狀態信息進行控制不能處理網絡層以上的信息無法對網絡上流動的信息提供全面的控制互連的物理介質應用層表示層會話層傳輸層應用層表示層會話層傳輸層網絡層數據鏈路層物理層網絡層數據鏈路層物理層網絡層數據鏈路層物理層關鍵技術數據包過濾互連的物理介質應用層表示層會話層傳輸層應用1.2.2應用級網關建立在網絡應用層，針對特別的應用協議進行數據過濾，并且能夠對數據包進行分析。1.2.2應用級網關建立在網絡應用層，針對特別的應用協議關鍵技術應用層代理網關理解應用協議，可以實施更細粒度的訪問控制對每一類應用，都需要一個專門的代理靈活性不夠客

戶網

關服務器發送請求轉發請求請求響應轉發響應關鍵技術應用層代理客戶網關服務器發送請求轉發請求請求1.2.3狀態檢測防火墻狀態檢測防火墻工作在4、5層之上。狀態檢測防火墻能夠實現連接的跟蹤功能，比如對于一些復雜協議，除了使用一個公開的端口進性通信外，在通信過程中還會動態建立自連接進行數據傳輸。狀態檢測防火墻能夠分析主動連接中的內容信息，識別出縮寫上的自連接的端口而在防火墻上將其動態打開1.2.3狀態檢測防火墻狀態檢測防火墻工作在4、5層之上。1.2.4電路級網關電路級網關工作在會話層，在兩個主機首次建立TCP連接時建立電子屏障。監視兩主機建立連接時的握手信息是否合乎邏輯，以后就是透明傳輸。1.2.4電路級網關電路級網關工作在會話層，1.3防火墻的體系結構雙重宿主主機體系結構被屏蔽主機體系結構被屏蔽子網體系結構1.3防火墻的體系結構雙重宿主主機體系結構1.3.1雙重宿主主機體系結構雙重宿主主機至少有兩個網絡接口，外部網絡能夠與雙重宿主主機通信，內部網絡也能夠與雙重宿主主機通信，但是內部網絡和外部網絡之間的通信必須經過雙重宿主主機的過濾和控制。1.3.1雙重宿主主機體系結構雙重宿主主機至少有兩個網絡接關鍵技術NAT（NetworkAddressTranslation）網絡地址轉就是在防火墻上裝一個合法IP地址集，然后當內部某一用戶要訪問Internet時，防火墻動態地從地址集中選一個未分配的地址分配給該用戶；同時，對于內部的某些服務器如Web服務器，網絡地址轉換器允許為其分配一個固定的合法地址。地址翻譯主要用在兩個方面：網絡管理員希望隱藏內部網絡的IP地址。這樣互聯網上的主機無法判斷內部網絡的情況。內部網絡的IP地址是無效的IP地址。這種情況主要是因為現在的IP地址不夠用，要申請到足夠多的合法IP地址很難辦到，因此需要翻譯IP地址。關鍵技術NAT（NetworkAddressTrans源IP目的IP10.0.0.108202.112.108.50源IP目的IP202.112.108.30源IP目的IP202.112.108.50202.112.108.3源IP目的IP202.112.108.5010.0.0.108防火墻網關源IP目的IP12.源IP目的IP2021.3.2被屏蔽主機體系結構被屏蔽主機體系結構使用一個單獨的路由器提供來自僅僅與內部的網絡相連的主機的服務。堡壘主機是因特網上的主機能連接到內部網絡上的系統的橋梁。任何外部的系統試圖訪問內部的系統或服務將必須連接到這臺堡壘主機上。1.3.2被屏蔽主機體系結構被屏蔽主機體系結構使用一個單獨1.3.3被屏蔽子網體系結構被屏蔽子網體系結構的最簡單的形式為：兩個屏蔽路由器，每一個都連接到周邊網。一個位于周邊網與內部網絡之間，另一個位于周邊網與外部網絡（通常為Internet）之間。這樣就在內部網絡與外部網絡之間形成了一個“隔離帶”。1.3.3被屏蔽子網體系結構被屏蔽子網體系結構的最簡單的形1.4防火墻的局限性防火墻不能防范不經防火墻的攻擊防火墻不能防止感染了病毒的軟件傳播防火墻不能防范內部攻擊端到端加密可以繞開防火墻防火墻不能提供細粒度的訪問控制防火墻的局限性1.4防火墻的局限性防火墻不能防范不經防火墻的攻擊防火墻不2VPN概述2.1VPN的分類2.2IPSec協議2.3SSL協議2.42VPN概述2.1VPN的分類2.2IPSec協議2.3S2.1VPN概述VPN是虛擬專用網(VirtualPrivateNetwork)的縮寫。是指不同地點的網絡通過公用網絡連接成邏輯上的虛擬子網。VPN具有以下優點：降低成本易于擴展靈活性2.1VPN概述VPN是虛擬專用網(VirtualPr系統與網絡安全技術培訓課件2.1VPN概述訪問控制完整性機密性認證密鑰管理VPN的安全需求2.1VPN概述訪問控制完整性機密性認證密鑰管理VPN的安2.2VPN的分類按用途分類：遠程訪問VPN內聯網VPN外聯網VPN按照隧道協議分類：PPTPL2FL2TPIPSecSSL2.2VPN的分類按用途分類：2.2VPN的分類PPTPL2FL2TPIPSecSSL/TLS層2223應用/傳輸加密基于PPP、MPPE基于PPP、MPPEPPP加密，MPPEDES、3DESAES、IDEADES、3DESAES、IDEA認證基于PPP基于PPP基于PPP數字證書、預共享密鑰數字證書、預共享密鑰數據的完整性無無無MD5、SHA-1MD5、SHA-1密鑰管理無無無IKE多重通信協議支持否是是否（僅IP）是主要支持的VPN類型用戶到網關用戶到網關用戶到網關用戶到網關、網關到網關用戶到網關RFC參考RFC2637RFC2341RFC2661RFC2401-2409RFC22462.2VPN的分類PPTPL2FL2TPIPSecSSL/2.3IPSec協議IPSec提供了一套安全算法和總體框架，允許一對通信實體利用其中的一個算法為通信提供安全性。安全服務集提供包括訪問控制、數據完整性、數據源認證、抗重放(replay)保護和數據保密性在內的服務。基于IP層提供對IP及其上層協議的保護。例如，TCP，UDP，ICMP等等。IPSec協議可以在主機和網關（如路由器、防火墻）上進行配置，對主機與主機間、安全網關與安全網關間、安全網關與主機間的路徑進行安全保護。2.3IPSec協議IPSec提供了一套安全算法和總體框架IPSec的體系結構IPSec的體系結構2.3IPSec概述AH提供無連接的數據完整性認證（hash校驗）、數據源身份認證（帶密鑰的hmac）和防重防攻擊（AH頭中的序列號）ESP比AH多了兩種功能，數據包加密和數據流加密。數據包加密可以加密整個IP包，也可以只加密IP包的載荷，一般用于計算機端；數據流加密用于路由器，源端路由把整個IP包加密后傳輸，目的端路由解密后轉發。AH和ESP可以單獨/組合使用。2.3IPSec概述AH提供無連接的數據完整性認證（has2.3IPSec概述IKE負責密鑰管理和策略協商，定義了通信實體之間進行身份認證、協商加密算法和生成會話密鑰的方法。協商結果保存在SA中。解釋域（DOI）為使用IKE進行協商SA的協議統一分配標識符。2.3IPSec概述IKE負責密鑰管理和策略協商，定義了通2.3IPSec概述IPSec有兩種運行模式：傳輸模式和隧道模式。AH和ESP都支持兩種使用模式。傳輸模式只保護IP載荷，可能是TCP/UDP/ICMP，IP頭沒有保護。隧道模式保護的內容是整個IP包，隧道模式為IP協議提供安全保護。通常IPSec的雙方只要有一方是網關或者路由，就必須使用隧道模式。路由器需要將要保護的原始IP包看成一個整體，在前面添加AH或者ESP頭，再添加新的IP頭，組成新的IP包之后再轉發出去。2.3IPSec概述IPSec有兩種運行模式：傳輸模式和隧2.3.1IPSec概述原始IP數據包外部IP頭IPSec頭數據TCP頭IP頭IP頭IPSec頭數據TCP頭IP頭TCP頭數據傳輸模式隧道模式

IP數據包對比2.3.1IPSec概述2.4SSL協議SSL基本概念協議的設計目標：為兩個通訊個體之間提供保密性和完整性(身份認證)；互操作性、可擴展性、相對效率為上層協議提的供安全性：保密性、身份認證和數據完整性SSL連接（connection)一個連接是一個提供一種合適類型服務的傳輸（OSI分層的定義）。SSL的連接是點對點的關系。連接是暫時的，每一個連接和一個會話關聯。SSL會話（session）一個SSL會話是在客戶與服務器之間的一個關聯。會話由HandshakeProtocol創建。會話定義了一組可供多個連接共享的加密安全參數。會話用以避免為每一個連接提供新的安全參數所需昂貴的談判代價。2.4SSL協議SSL基本概念SSL協議體系：協議分為兩層底層：TLS記錄協議上層：TLS握手協議、TLS密碼變化協議、TLS警告協議SSL協議體系：協議分為兩層TLS記錄協議建立在可靠的傳輸協議(如TCP)之上，為更高層提供基本安全服務。特別是HTTP，它提供了Web的client/server交互的傳輸服務，可以構造在SSL之上。它提供連接安全性，有兩個特點保密性，使用了對稱加密算法完整性，使用HMAC算法用來封裝高層的協議SSLHandshakeProtocol,SSLChangeCipherSpecProtocol,SSLAlertProtocol是SSL的高層協議，用于管理SSL交換。TLS記錄協議SSL握手協議功能客戶和服務器之間相互認證協商加密算法和密鑰它提供連接安全性，有三個特點身份認證，至少對一方實現認證，也可以是雙向認證協商得到的共享密鑰是安全的，中間人不能夠知道協商過程是可靠的SSL握手協議整體流程(1)、交換Hello消息，對于算法、交換隨機值等協商一致(2)、交換必要的密碼參數，以便雙方得到統一的premastersecret(3)、交換證書和相應的密碼信息，以便進行身份認證(4)、產生mastersecret(5)、把安全參數提供給TLS記錄層(6)、檢驗雙方是否已經獲得同樣的安全參數整體流程3入侵檢測/入侵防御技術3.1入侵檢測概述3.2入侵檢測系統分類3.3入侵防御系統3入侵檢測/入侵防御技術3.1入侵檢測概述3.1入侵檢測系統IDS入侵檢測是從計算機網絡或計算機系統中的若干關鍵點搜集信息并對其進行分析，從中發現網絡或者系統中是否有違反安全策略的行為和遭到攻擊的跡象的一種機制。入侵檢測采用旁路偵聽的機制，通過對數據包流的分析，可以從數據流中過濾除可以數據包，通過與已知的入侵方式進行比較，確定入侵是否發生以及入侵的類型并進行報警。網絡管理員可以根據這些報警確切的知道所周到的攻擊并采取相應的措施。3.1入侵檢測系統IDS入侵檢測是從計算機網絡或計算機系統中3.1入侵檢測概述CIDF——入侵檢測系統的通用模型3.1入侵檢測概述CIDF——入侵檢測系統的通用模型3.2入侵檢測系統分類3.2.1基于主機的入侵檢測系統3.2.2基于網絡的入侵檢測系統3.2入侵檢測系統分類3.2.1基于主機的入侵檢測系統3.2.1基于主機的入侵檢測系統網絡連接檢測對試圖進入該主機的數據流進行檢測，分析確定是否有入侵行為，避免或減少這些數據流進入主機系統后造成傷害。基于主機的入侵檢測系統可以保護單臺主機不受網絡攻擊行為的侵害，需要安裝在受保護的主機上。可以有效地檢測出是否存在攻擊探測行為。3.2.1基于主機的入侵檢測系統網絡連接檢測基于主機的入侵3.2.1基于主機的入侵檢測系統主機文件檢測1系統日志2文件系統3進程記錄系統日志文件記錄了各種類型的信息。如果日志文件中存在異常記錄，就可以認為發生了網絡入侵。惡意的網絡攻擊者會修改網絡主機上的各種數據文件。如果入侵檢測系統發現文件系統發生了異常的改變，就可以懷疑發生了網絡入侵。黑客可能使程序終止，或執行違背用戶意圖的操作。如果入侵檢測系統發現某個進程存在異常行為，就可以懷疑有網絡入侵。4系統運行控制針對操作系統的特性，采取措施防止緩沖區溢出，增加對文件系統的保護3.2.1基于主機的入侵檢測系統主機文件檢測1系統日志2文3.2.1基于主機的入侵檢測系統檢測準確度較高可以檢測到沒有明顯行為特征的入侵成本較低不會因為網絡流量影響性能適用于加密和交換環境優點3.2.1基于主機的入侵檢測系統檢測準確度較高可以檢測到沒3.2.1基于主機的入侵檢測系統實時性較差無法檢測數據包的全部檢測效果取決于日志系統占用主機資源性能隱蔽性較差缺點3.2.1基于主機的入侵檢測系統實時性較差無法檢測數據包的3.2.2基于網絡的入侵檢測系統基于網絡的入侵檢測系統使用原始的網絡分組數據報作為進行攻擊分析的數據源，一般利用一個網絡適配器來實時監視和分析所有通過網絡進行傳輸的通信。大多數的攻擊都有一定的特征，入侵檢測系統將實際的數據流量記錄與入侵模式庫中的入侵模式進行匹配，尋找可能的攻擊特征。3.2.2基于網絡的入侵檢測系統基于網絡的入侵檢測系統使用3.2.2基于網絡的入侵檢測系統基于網絡的入侵監測系統可以實現如下功能：對數據包進行統計、詳細的檢查數據包檢測端口掃描檢測常見的攻擊行為識別各種各樣可能的IP欺騙攻擊當檢測到一個不希望的活動時，入侵檢測系統可以重新配置防火墻以攔截從入侵者發來的數據。3.2.2基于網絡的入侵檢測系統基于網絡的入侵監測系統可以典型部署方式典型部署方式3.2.2基于網絡的入侵檢測系統可以提供實時的網絡監測行為可以同時保護多臺網絡主機具有良好的隱蔽性有效保護入侵證據不影響被保護主機的性能優點3.2.2基于網絡的入侵檢測系統可以提供實時的網絡監測行為3.2.2基于網絡的入侵檢測系統防入侵欺騙的能力較差在交換式網絡環境中難以配置檢測性能受硬件條件限制不能處理加密后的數據缺點3.2.2基于網絡的入侵檢測系統防入侵欺騙的能力較差在交換3.3入侵防御系統IPS入侵檢測的目的是提供網絡活動的監測、審計、證據以及報告。入侵防御的目的是為了提供資產、資源、數據和網絡的保護。IDS和IPS之間最根本的不同在于確定性，即IDS可以使用非確定性的方法從現有的和以前的通信中預測出任何形式的威脅而IPS所有的決策必須是正確的、確定的3.3入侵防御系統IPS入侵檢測的目的是提供網絡活動的監測、3.3入侵防御系統IPS就像小區門口的保安，在通行證和其它預設的規則或策略的基礎上允許和拒絕訪問。IDS就像巡警的巡邏車，監測活動并提供異常情況3.3入侵防御系統IPS就像小區門口的保安，在通行證和其它預典型部署方式服務器IPSIDS防火墻交換機outboundinterfaceinboundinterface典型部署方式服務器IPSIDS防火墻交換機outbound3.3入侵防御系統IPS的優勢入侵的迅速終止更準確和可靠的檢測積極防御IPS的設計需求能夠準確、可靠的檢測，精確的阻斷攻擊IPS的運行對網絡的性能和可用性沒有負面影響可以有效地安全管理可以容易的實現對未來攻擊的防御3.3入侵防御系統IPS的優勢4安全網關概述4.1安全網關的分類4.2UTM4.34安全網關概述4.1安全網關的分類4.2UTM4.34.1概述早期的網關就是指路由器。現在主要有三種網關，即協議網關、應用網關和安全網關安全網關布置在內部網絡和外部網絡之間。現在的網關多數都是集成多種功能為一體的集成網關。UTM通過對各種安全技術的整合，構建起一個立體防護體系，為信息網絡提供全面動態的安全防護體系。內容過濾、應用層協議處理是發展趨勢4.1概述早期的網關就是指路由器。現在主要有三種網關，即協4.2安全網關的分類從應用角度的分類防火墻VPN網關Web安全網關反病毒網關郵件安全網關UTM安全網關4.2安全網關的分類從應用角度的分類防火墻VPN網關Web4.3UTMUTM(UnifiedThreatManagement)是集防病毒、入侵檢測/防御和防火墻、VPN于一體的網關設備，有的廠商還加上了防垃圾郵件、內容過濾等功能UTM可以通過軟件實現，即在通用處理器上通過軟件編程來實現，也可以通過硬件實現，即在ASIC芯片或者FPGA加上CPU來實現。4.3UTMUTM(UnifiedThreatManaUTM簡介VPN反病毒防火墻Web過濾IDS/IPS反垃圾郵件UTMUTM簡介VPN反病毒防火墻Web過濾IDS/IPS反垃圾郵UTM部署方式UTM部署方式UTM技術的優勢成本較低1統一管理，降低人力投入2技術復雜度低3UTM技術的優勢成本較低1統一管理，降低人力投入2技術復雜度UTM技術的不足單一功能性能較低1穩定性需要提升2功能過度集中，出現故障影響較大3UTM技術的不足單一功能性能較低1穩定性需要提升2功能過度集二、終端防護技術云安全技術桌面安全管理技術二、終端防護技術云安全技術1、云安全技術“云安全（CloudSecurity）”融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，傳送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。1、云安全技術“云安全（CloudSecurity）”融云安全技術的應用特征庫或類特征庫在云端的儲存與共享信息安全產品具有很強的終端特性，僅僅將特征庫放在云端，并無優勢。因為在現有網絡環境中，下載速度不成問題，而且在本地存放特征庫還會大大減少因網絡故障帶來的響應失敗問題。作為一個最新的惡意代碼、垃圾郵件或釣魚網址等的快速收集、匯總和響應處理的系統隨著惡意程序的爆炸式增長，用戶更為迫切地需要能夠在第一時間就對新的惡意程序及其產生的不良影響進行防御，甚至在新的惡意威脅出現之前就具備對其進行防御的能力。云安全技術的應用特征庫或類特征庫在云端的儲存與共享來源挖掘云安全中心即時升級服務器互聯網內容惡意威脅下載網站門戶網站搜索網站云安全客戶端互聯網用戶威脅信息數據中心即時查殺平臺自動分析處理系統威脅挖掘集群威脅信息分析來源挖掘即時升級服務器互聯網內容惡意威脅下載網站門戶網站搜索McAfee云安全Artemis工作流程McAfee云安全Artemis工作流程2、桌面安全管理技術內部網絡和應用系統發生故障的原因很少是由于網絡設備和應用系統自身的問題所引起，更多的是因為內網的其它安全因素導致，如病毒爆發、資源濫用、惡意接入、用戶誤操作等。而這些安全因素，幾乎全部來源于用戶桌面計算機。典型問題包括：缺乏必要的安全加固手段缺乏有效的接入控制手段缺乏有效的行為監控手段缺乏必要的配置管理手段2、桌面安全管理技術內部網絡和應用系統發生故障的原因很少是由概念桌面安全管理將終端安全管理、終端補丁管理、終端用戶行為管理、網上行為管理有機地結合在一起，通過對網絡中所有設備的統一策略制定、用戶行為的統一管理，安全工具的集中審計，最大限度地減少安全隱患。同時，它還對個人桌面系統的軟件資源實施安全管理，通過對個人桌面系統的工作狀況進行管理，有效地提高員工工作效