1、3.5 安全防护技术3.5 安全防护技术3.5.1 网络防护技术1.防火墙2.VPN3.入侵检测/入侵防御4.安全网关3.5.2 终端防护技术1.云安全管理2.桌面安全管理防火墙防火墙防火墙是位于两个信任程度不同的网络之间(如企业内部网络和因特网之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。防火墙目的:作为不同网络或网络安全域之间信息的唯一出入口 ,目的是根据企业的安全策略控制(允许、拒绝、监测、记录)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙是提供信息安全服务,实现网络和信息安全
2、的基础设施。防火墙防火墙 firewall 是一个位于计算机和它所连接的网络之间的硬件或软件 防火墙的功能 集中管理。因特网防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户(如黑客、网络破坏者等)进人内部网络;禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。因特网防火墙能够简化安全管理,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。访问控制。防火墙是在两个网络通信时执行一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。访问控制11010110Access lis
3、t 192.168.1.3 to 202.2.33.2Access nat 192.168.3.0 to any passAccess 202.1.2.3 to 192.168.1.3 blockAccess default pass规则匹配成功防火墙的功能 内容控制。内容控制实质还是关键字过滤,内容过滤的速度取决于关键字模式的查找速度。内容过滤的关键就在于发现异常模式而切断连接,至于连接的切断模式也有各种方式,最好是能让用户知道是为什么被切断的。日志。网络管理员可以记录所有通过防火墙的重要信息。流量控制。流量控制是几乎任何防火墙都具备的功能,但各种防火墙的流量控制的实现各种各样,能实现的控制
4、能力也各有千秋。可以从流量限制、流量保障、QoS 三方面评价防火墙的流量控制能力。防火墙的功能防火墙能为管理人员提供对下列问题的答案:什么人在使用网络?他们什么时间,使用了什么网络资源?他们连接了什么站点?他们在网上做什么?谁要上网,但是没有成功?防火墙执行标准GB/T 18019-1999 信息技术包过滤防火墙安全技术要求GB/T 18020-1999 信息技术应用级防火墙安全技术要求GB/T 18336-2001 信息技术安全性评估准则GB/T 17900-1999 网络代理服务器的安全技术要求GB/T 18018-1999 路由器安全技术要求这些标准从安全环境、安全目标、安全要求、基本原
5、理等方面对防火墙的各种指标进行了规定。桌面型防火墙普通百兆防火墙防火墙+VPN高端百兆防火墙高端千兆防火墙 通过在安全边界部署防火墙,可以实比 VLAN、路由器更为强大、有效的访问控制功能;大大提高抗攻击的能力,实现边界防护。高端电信级千兆防火墙天融信防火墙产品系列线按形态分类软件防火墙硬件防火墙保护整个网络按保护对象分类网络防火墙保护单台主机单机防火墙防火墙的分类单机防火墙&网络防火墙1、保护单台主机2、安全策略分散3、安全功能简单4、普通用户维护5、安全隐患较大6、策略设置灵活单机防火墙网络防火墙1、保护整个网络2、安全策略集中3、安全功能复杂多样4、专业管理员维护5、安全隐患小6、策略设
6、置复杂单机防火墙单机防火墙网络防火墙网络防火墙产品形态产品形态软件软件硬件硬件安装点安装点每台独立的每台独立的 Host网络边界处网络边界处安全策略安全策略分散在各个安全点分散在各个安全点对整个网络有效对整个网络有效保护范围保护范围单台主机单台主机一个网段一个网段管理方式管理方式分散管理分散管理集中管理集中管理功能功能功能单一功能单一功能复杂、多样功能复杂、多样管理人员管理人员普通计算机用户普通计算机用户专业网管人员专业网管人员安全措施安全措施单点安全措施单点安全措施全局安全措施全局安全措施结论结论单机防火墙是网络防火墙的有益补充,但不能代替单机防火墙是网络防火墙的有益补充,但不能代替网络防火
7、墙为内部网络提供强大的保护功能网络防火墙为内部网络提供强大的保护功能防火墙分类软件防火墙&硬件防火墙硬件防火墙1、硬件+软件,不用准备额外的 OS 平台2、安全性完全取决于专用的 OS3、网络适应性强(支持多种接入模式)4、稳定性较高5、升级、更新不太灵活1、仅获得 Firewall 软件,需要额外的 OS 平台2、安全性依赖低层的 OS3、网络适应性弱4、稳定性高5、软件分发、升级比较方便操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Firewall软件防火墙防
8、火墙分类防火墙的类型1、包过滤防火墙2、状态检测防火墙3、应用代理防火墙防火墙分类包过滤防火墙数据包过滤(Packet Filtering)技术在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,即访问控制表(Access Control List,ACL)包过滤防火墙分为静态包过滤、动态包过滤防火墙包检查器并不是检查数据包的所有内容,只检查报头(IP、TCP 头部),通常只检查下列几项:IP 源地址IP 目标地址TCP 或 UDP 的源端口号TCP 或 UDP 的目的端口号协议类型ICMP 消息类型TCP 报头中的 ACK 位TCP 的序列号、确认号IP 校验和数据包过滤检查信息IP
9、 报头TCP 报头包过滤防火墙应用层表达层会话层传输层网络层链路层物理层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层包过滤防火墙的工作原理应用层TCP 层IP 层数据链路层数据链路层IP 层TCP 层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IP TCP11010010TCPIPETH11010010IP TCP11010010TCPIPETH11010010IP TCP11010010TCP11010010只检查报头1、简单包过滤防火墙
10、 不检查数据区2、简单包过滤防火墙 不建立连接状态表3、前后报文无关4、应用层控制很弱包过滤防火墙优点逻辑简单对网络性能的影响较小,有较强的透明性开销较小,设备便宜缺点无法对数据包的内容进行过滤审核在传输层或则是网络层上检测数据,不能在更高一层检测数据,比如能禁止和通过一个向内的 HTTP 请求,但不能判断这个 请求是非法的还是合法的。防止欺骗攻击很难,特别是容易受到 IP 欺骗攻击所有可能用到的端口(尤其是 1024 的端口)都必需放开,增加了被攻击的可能性在复杂的网络中很难管理通常来说包过滤技术是防火墙技术中最低的状态检测防火墙由动态包过滤防火墙演变而来,工作在传输层,使用各种状态表(st
11、ate tables)来追踪活跃的 TCP 会话,它能够根据连接状态信息动态地建立和维持一个连接状态表,并且把这个连接状态表用于后续报文的处理。状态检测技术一般的检查点有:检查数据包是否是一个已经建立并且正在使用的通信流的一部分。如果数据包和连接表的各项都不匹配,那么防火墙就会检测数据包是否与它所配置的规则集相匹配。在检测完毕后,防火墙会根据路由转发数据包,并且会在连接表中为此次对话创建或者更新一个连接项防火墙通常对 TCP 包中被设置的 FIN 位进行检测、通过会话超时设置决定何时从连接表中删除某连接项。状态检测防火墙应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链
12、路层物理层应用层表达层会话层传输层网络层链路层物理层抽取各层的状态信息建立动态状态表状态检测防火墙的工作原理应用层TCP 层IP 层数据链路层数据链路层IP 层TCP 层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IP TCP11010010TCPIPETH11010010IP TCP11010010TCPIPETH11010010IP TCP11010010TCP11010010只检查报头1、不检查数据区2、建立连接状态表3、前后报文相关4、应用层控制很
13、弱建立连接状态表状态检测防火墙优点更高的安全性高效性应用范围广缺点不能对应用层数据进行控制不能产生高层日志配置复杂应用代理防火墙应用代理(Application Proxy)也称为应用层网关(Application Gateway)工作在应用层,其核心是代理进程每一种应用对应一个代理进程,实现监视和控制应用层通信流自适应代理防火墙:在每个连接通信的开始仍然需要在应用层接受检测,而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理IP 报头TCP 报头数据应用代理检查信息应用代理防火墙应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层应用层表
14、达层会话层传输层网络层链路层物理层HTTPFTPSMTP应用代理防火墙的工作原理应用层TCP 层IP 层数据链路层数据链路层IP 层TCP 层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IP TCP11010010TCPIPETH11010010IP TCP11010010TCPIPETH11010010IP TCP11010010TCP11010010只检查数据1、不检查 IP、TCP 报头2、不建立连接状态表3、网络层保护较弱防火墙简介优点可以检查应用
15、层、传输层和网络层的协议特征,对数据包的检测能力比较强代理完全控制会话,可以提供很详细的日志和安全审计功能可以隐藏内部网的 IP 地址,保护内部主机免受外部主机的进攻可以集成认证机制缺点最大缺点是要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件分析困难,实现困难 每一种应用服务必须设计一个代理软件模块进行安全控制,并且应用升级时,一半代理服务程序也要升级影响用户网络速度(命令解释)不能防止 SYN 攻击复合型防火墙复合型防火墙是指综合了状态检测与应用代理的新一代的防火墙对整个报文进行访问控制和处理,具体检测内容由策略决定,如果策略是包过滤策略,则对 TCP、IP报头进行检测
16、,如果策略是应用代理策略,则对用户数据进行检测IP 报头TCP 报头数据复合型防火墙检查信息应用层TCP 层IP 层数据链路层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP 层IP 层数据链路层TCP101010101IP101010101TCPTCP101010101IPETH101010101检查整个报文内容1010010010010100100000111001111011110010010010100100000111001111011110建立连接状态表1 1、可以检查整个数据包内容、可
17、以检查整个数据包内容2 2、根据需要建立连接状态表、根据需要建立连接状态表3 3、网络层保护强、网络层保护强4 4、应用层控制细、应用层控制细5 5、会话控制较弱、会话控制较弱复合型防火墙的工作原理复合型防火墙优点可以检查整个数据包的内容根据需要建立连接状态表网络层保护强应用层控制细缺点会话控制较弱windows7 防火墙的设置windows7 防火墙的设置windows7 防火墙的设置windows7 防火墙的设置windows7 防火墙的设置360 防火墙(安全防护中心)设置1.打开 360 安全卫士,进入首页,点击“安全防护中心”,进入防火墙设置界面360 防火墙(安全防护中心)设置2.
18、在防护墙设置中心点击“安全设置按钮”360 防火墙(安全防护中心)设置3.网页安全防护360 防火墙(安全防护中心)设置4.网络安全防护360 防火墙(安全防护中心)设置5.聊天安全防护360 防火墙(安全防护中心)设置6.主动防御服务360 防火墙(安全防护中心)设置7.恢复默认值防火墙的局限性不能防备计算机病毒;限制有用的网络服务;不能防范不经过防火墙的攻击;对于来自网络内部的攻击无能为力;不能解决进入防火墙的数据带来的所有安全问题;不能防备新的网络安全问题。VPNVPN 概述VPN 即虚拟专有网络(Virtual Private Network)。它不是真正的物理线路,但能够实现专有网络
19、功能。VPN 利用隧道加密技术,在公用网络上建立专用的数据通信网络,使企事业单位任何两个授权端点连接。它排除了传统专网所需要的费时费钱的端对端的物理链接,而是利用某种公众网的物理链路资源,动态组成,用户实现使用 不花钱的专网 的效果。用户只需购买 VPN 设备和软件产品,向企业所在地的网络服务提供商支付一定的 Internet 接入费用,节约了租用专线的费用,同时对于不同地域的客户联系还能起到大大节省长途电话费的作用。Internet总公司(北京)分公司(沈阳)分公司(上海)VPN 技术产生的背景信息在传输中可能泄密数据被黑客窃听总 部分支机构移动用户林诗音黑 客我的密码是CAF我的密码是CA
20、FVPN 的需求之一:数据机密性保护移动用户李寻欢InternetVPN 技术产生的背景信息在传输中可能失真总 部分支机构移动用户小龙女黑 客同意 2000元成交VPN 的需求之二:数据完整性保护移动用户杨过Internet黑客篡改数据同意 5000 元成交VPN 技术产生的背景信息的来源可能伪造的总 部分支机构黑 客交易服务器VPN 的需求之三:数据源发性保护移动用户余则成Internet谁是真的余则成?我是余则成,请求交易“我是余则成”,请求交易VPN 技术产生的背景信息传输的成本可能很高移动用户西门吹雪PSTNPSTN长途拨号:010-163市话拨号:163上海的拨号服务器沈阳北京的拨号
21、服务器10010010101010长途拨号,成本太高?VPN 的需求之四:降低远程传输成本InternetVPN 技术产生的背景长途拨号,成本太高?数据在公网上传输随时都面临安全性问题n信息在传输中可能泄密n信息在传输中可能失真n信息的来源可能被伪造n信息传输的成本可能很高(相对于专线)VPN 技术产生的背景VPN 是虚拟专用网络,是企业网在因特网等公共网络上的延伸VPN 通过一个私有的通道来创建一个安全的私有连接,将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来,形成一个扩展的公司企业网提供高安全、低价位的因特网接入解决方案VPN 技术产生的背景远程访问虚拟网(Access VPN
22、)企业内部虚拟网(Intranet VPN)企业扩展虚拟网(Extranet VPN)VPN 接入类型Internet远程访问内部网合作伙伴分支机构Access VPNExtranet VPNVPN 接入类型Intranet VPN远程访问虚拟网(Access VPN):对于出差流动员工、远程办公人员和远程小办公室,Access VPN 通过公用网络与企业内部网络建立私有的网络连接。在 Access VPN 的应用中,利用了二层网络隧道技术在公用网络上建立 VPN 隧道(Tunnel)连接来传输私有网络数据。Internet内部网Access VPN远程访问VPN 接入类型Access VPN
23、Access VPN企业内部虚拟网(Intranet VPN):内部网分支机构VPN 接入类型分支机构InternetIntranet VPNIntranet VPN 通过公用网络进行企业各个分布点互联 Intranet VPN企业扩展虚拟网(Extranet VPN):Internet内部网Extranet VPN合作伙伴VPN 接入类型合作伙伴Extranet VPNExtranet VPN 是指利用 VPN 将企业网延伸至合作伙伴与客户 1100111001010001010010101001000100100100000100000011001110010100010100101010
24、010001001001000001000000明文加密解密明文保证数据在传输途中不被窃取发起方接受方密文#¥&(%#%$%&*(!#$%*(_%$#$%*&*)%$#VPN 功能-数据机密性保护发起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010HashHash100010101001000101010010100001000000110110001010是否一样?防止数据被篡改1000101010010001010100101000010000001101
25、10001010VPN 功能-数据完整性保护快男超女假冒的“超女”假冒VPNInternet101011011110100110010100验证签名,证实数据来源私钥签名私钥签名101011011110100110010100VPN 功能-数据源身份认证保留负载长度认证数据(完整性校验值 ICV)变长序列号安全参数索引(SPI)下一头部填充(0255 字节)下一头部填充长度认证数据(变长的)负载数据(变长的)序列号安全参数索引(SPI)AH 协议头ESP 协议头SA 建立之初,序列号初始化为0,使用该 SA 传递的第一个数据包序列号为 1,序列号不允许重复,因此每个 SA 所能传递的最大IP
26、报文数为 2321,当序列号达到最大时,就需要建立一个新的SA,使用新的密钥。VPN 功能-重放攻击保护缩略语与专业名词PPTP(Point-to-Point Tunneling Protocol)-点到点隧道协议L2F(Level Two Forwarding)Protocol-第二层转发协议L2TP(Layer Two Tunneling Protocol)-第二层隧道协议IPSec(IP Security)-Internet 协议安全性AH(Authentication Header)-认证头ESP(Encapsulated Security Payload)-封装安全载荷SSL(Sec
27、ure Sockets Layer)-安全套接层深信服深信服防火墙深信服 IPSec VPN 深信服 SSL VPN深信服人才招聘深信服人才招聘深信服人才招聘深信服人才招聘白帽子白帽子,描述的是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样,系统将可以在被其他人(例如黑帽子)利用之前来修补漏洞。入侵检测04/04/07 10:18什么是入侵检测系统为什么需要入侵检测入侵检测系统的作用入侵检测系统的分类入侵检测系统的发展趋势入侵检测系统概述04/04/07 10:18什么是入侵检测系统 对信息系统的非授权访问及(或)未经许可在信息系统中进行操作入
28、侵 Intrusion入侵检测 Intrusion Detection 对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程入侵检测系统(IDS)用于辅助进行入侵检测或者独立进行入侵检测的自动化工具04/04/07 10:18边界防御的局限 攻工具唾手可得 击 入侵程可教随处见部的攻占的攻事件的内网击总击70%以上有的部是部人的“自由王”没监测内网内员国入侵行为日益严重内部的非法访问 防火不能防止通向站点的后。墙门 防火一般不提供部的保。墙对内护 防火无法防范据型的攻。墙数驱动击 防火不能防止墙Internet 上下被病毒感染的程序载为什么需要入侵检测04/04/07 10:18 假如防火
29、是一幢大的,那入侵系说墙楼门锁么检测统就是幢大里的系。可以防止小入大这楼监视统门锁偷进,但不能防止大部人的不良企,且一楼楼内个别员图并旦小入大,就有任何作用了。偷绕过门锁进楼门锁没网系中的入侵系恰恰似于大的络统检测统类楼内实时监视和警装置,在安全中是十分必要的,被防报监测它视为火之后的第二道安全。墙闸门为什么需要入侵检测04/04/07 10:18如:穿透防火墙的攻击http:/http:/clienthttp:/ 10:18监控室监控室=控制中心控制中心Card Key监控前门和保安监控屋内人员监控后门监控楼外入侵检测系统的作用04/04/07 10:18监控网络和系统发现入侵企图或异常现象
30、实时报警主动响应审计跟踪入侵检测系统的作用04/04/07 10:18基于主机的入侵检测系统(H I DS)基于网络的入侵检测系统(NI DS)入侵检测系统的分类04/04/07 10:18定义运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理特点安装于被保护的主机中系统日志系统调用文件完整性检查主要分析主机内部活动占用一定的系统资源HIDS04/04/07 10:18收集过程 ID:2092 用户名:Administrator 登录 ID:(0 x0,0 x141FA)分析处理 文 进 日 注册 件 程 志 表.结果HI
31、DS04/04/07 10:18(1)精确地判断攻击行为是否成功。(2)监控主机上特定用户活动、系统运行情况(3)HIDS 能够检测到 NIDS 无法检测的攻击(4)HIDS 适用加密的和交换的环境。(5)不需要额外的硬件设备。HIDS 的优势04/04/07 10:18(1)HIDS 对被保护主机的影响。(2)HIDS 的安全性受到宿主操作系统的限制。(3)HIDS 的数据源受到审计系统限制。(4)被木马化的系统内核能够骗过 HIDS。(5)维护/升级不方便。HIDS 的劣势04/04/07 10:18定义通过在共享网段上对通信数据的侦听采集数据,分析可疑现象。这类系统不需要主机对提供严格的
32、审计,对主机资源消耗少,并可以提供对网络通用的保护而无需顾及异构主机的不同架构。特点安装在被保护的网段(通常是共享网络)中混杂模式监听分析网段中所有的数据包实时检测和响应NIDS04/04/07 10:1801 01 01 0101 01 01 01收集01 01 01 01 01 01 01 01 01 01 01 01 0101010101010分析处理结果NIDS04/04/07 10:18(1)实时分析网络数据,检测网络系统的非法行为;(2)网络 IDS 系统单独架设,不占用其它计算机系统的任何资源;(3)网络 IDS 系统是一个独立的网络设备,可以做到对黑客透明,因此其本身的安全性高
33、;(4)它既可以用于实时监测系统,也是记录审计系统,可以做到实时保护,事后分析取证;(5)通过与防火墙的联动,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担NIDS 的优势04/04/07 10:18(1)不适合交换环境和高速环境(2)不能处理加密数据(3)资源及处理能力局限(4)系统相关的脆弱性NIDS 的劣势04/04/07 10:18事件产生器(Event generators)事件分析器(Event analyzers)响应单元(Response units)事件数据库(Event databases)Common Intrusion Detection Frame 组件CIDF 组件04/04/07 10:18CIDF 组件 输出:反应或事件 输出:高级中断事件 输出:事件的存储信息 输出:原始或低级事件 输入:原始事件源 事件产生器 响应单
