日常用网络安全技术

《日常用网络安全技术》由会员分享，可在线阅读，更多相关《日常用网络安全技术（132页珍藏版）》请在金锄头文库上搜索。

1、常用网络安全技术介绍,防火墙技术介绍 漏洞扫描技术介绍 入侵检测技术介绍,讲义内容整体介绍,Firewall,Internet,DMZ,Internal Network,防火墙是在不同安全区域之间进行访问控制的一种措施。,什么是防火墙?,防火墙概念,防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许 、拒绝 、 监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。,防火墙特征,保护脆弱和有缺陷的网络服务 集中化的安全管理 加强对网络系统的访问

2、控制 加强隐私 对网络存取和访问进行监控审计,保护脆弱和有缺陷的网络服务 一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。 防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。,防火墙特征,防火墙特征,集中化的安全管理 通过以防火墙为中心的安全方案配置，能将所有安全软件（

3、如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。,加强对网络系统的访问控制 一个防火墙的主要功能是对整个网络的访问控制。比如防火墙可以屏蔽部分主机，使外部网络无法访问，同样可以屏蔽部分主机的特定服务，使得外部网络可以访问该主机的其它服务，但无法访问该主机的特定服务。 防火墙不应向外界提供网络中任何不需要服务的访问权，这实际上是安全政策的要求了。 控制对特殊站点的访问：如有些主机或服务能被外部网络访问，而有些则需被保护起来，防

4、止不必要的访问。,防火墙特征,加强隐私 隐私是内部网络非常关心的问题。一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。 使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。,防火墙特

5、征,对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。 另外，收集一个网络的使用和误用情况是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。,防火墙特征,防火墙实现策略,对防火墙系统而言，共有两层网络安全策略： 网络服务访问策略：是高层策略，定义了受保护网络明确允许和明确拒绝的网络服务，分析网络服务的可用性（包括可

6、用条件）、风险性等。 防火墙设计策略：是低层策略，描述了防火墙如何根据高层的网络服务访问策略中定义的策略来具体地限制访问和过滤服务。,网络服务访问策略 不允许外部网络或Internet访问内部网络，但允许内部网络访问外部网络或Internet。 允许外部网络或Internet访问部分内部网络，这些特定的网络服务是经过严格选择和控制的，如一些信息服务器、电子邮件服务器或域名服务器等等。,防火墙实现策略,防火墙设计策略 防火墙设计策略必须针对具体的防火墙，它定义过滤规则等，以实现高层的网络服务策略。这个策略在设计时必须考虑到防火墙本身的性能、限制及具体协议如TCP/IP。常用的两种基本防火墙设计策

7、略是： 允许所有除明确拒绝之外的通信或服务（很少考虑，因为这样的防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种拒绝策略中没有定义的服务而被允许并攻击网络） 拒绝所有除明确允许之外的通信或服务（常用，但操作困难，并有可能拒绝网络用户的正常需求与合法服务）,防火墙实现策略,作为一个安全策略的设计者，应懂得以下问题的要点： 哪些Internet服务是本网络系统打算使用或提供的？（如TELNET、FTP、HTTP） 这些Internet服务在哪或哪个范围内使用？（如在本地网内、整个Internet或拨号服务等） 可能有哪些额外或临时的服务或需求？（如加密、拨入服务等） 提供这些服务和访问有哪

8、些风险和总的花费？,防火墙实现策略,防火墙发展历程 第一阶段：基于路由器的防火墙 第二阶段：用户化的防火墙工具套 第三阶段：建立在通用操作系统上的防火墙 第四阶段：具有安全操作系统的防火墙,对防火墙技术与产品发展的介绍,第一代防火墙产品的特点是： 利用路由器本身对分组的解析,以访问控制表（access list）方式实现对分组的过滤； 过滤判决的依据可以是：地址、端口号、IP旗标及其它特征； 只有分组过滤的功能，且防火墙与路由器是一体的，对 安全要求低的网络可采用路由器附带防火墙功能的方法， 对安全性要求高的网络则可单独利用一台路由器作防火墙。,第一阶段：基于路由器的防火墙,第一阶段：基于路由

9、器的防火墙,第一代防火墙产品的不足之处为： 路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。 路由器上的分组过滤规则的设置和配置存在安全隐患。 攻击者可以“假冒”地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。 防火墙的规则设置会大大降低路由器的性能。,第二阶段：用户化的防火墙工具套,作为第二代防火墙产品，用户化的防火墙工具套具有 下特征： 将过滤功能从路由器中独立出来，并加上审计和告警功能； 针对用户需求，提供模块化的软件包； 软件可通过网络发送，用户可根据需要构造防火墙； 与第一代防火墙相比，安全性提高了，价格降低了。,第二阶段：用户化

10、的防火墙工具套,不足之处： 配置和维护过程复杂、费时； 对用户的技术要求高； 全软件实现，安全性和处理速度均有局限； 实践表明，使用中出现差错的情况很多。,第三阶段：建立在通用操作系统上的防火墙,具有以下特点： 是批量上市的专用防火墙产品； 包括分组过滤或者借用路由器的分组过滤功能； 装有专用的代理系统，监控所有协议的数据和指令； 保护用户编程空间和用户可配置内核参数的设置； 安全性和速度大为提高。,第三阶段：建立在通用操作系统上的防火墙,存在的问题： 作为基础的操作系统及其内核往往不为防火墙管理者所知，由于原码的保密，其安全性无从保证； 由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系

11、统厂商不会对操作系统的安全性负责； 从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击。 用户必须依赖两方面的安全支持：一是防火墙厂商、一是操作系统厂商。,第四阶段：具有安全操作系统的防火墙,具有以下特点： 防火墙厂商具有操作系统的源代码，并可实现安全内核； 对安全内核实现加固处理:即去掉不必要的系统特性，加固内核，强化安全保护； 对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其它部份构成威胁； 在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能； 透明性好，易于使用。,第四代防火墙的主要技术

12、与功能,第四代防火墙产品将网关与安全系统合二为一，具有以下技术与功能特点： 双端口或三端口的结构 透明的访问方式 灵活的代理系统 多级的过滤技术 网络地址转换技术,Internet网关技术 安全服务器网络（SSN） 用户鉴别与加密 用户定制服务 审计和告警,Host C,Host D,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包 进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于用户 基于流量 基于访问内容,可以灵活的制定 的控制策略,灵活的包过滤规则,Host C,Host D,在防火

13、墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,下班时间可以自由访问公司的网络,Internet,基于时间对象的访问控制,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,root,123,Yes,admin,883,No,不管那台电脑都可以用相同的用户名来登陆防火墙,只需在防火墙设置该用户的规则即可,用户级权限控制,客户机A,客户机B,Internet,192161,192162,192161,192161-MAC(A) 192162-MAC(B),内部网络,IP地址和MAC地址绑定 防止IP地址盗用,MAC与

14、IP绑定规则的技术挑战,视频H323协议动态开放通讯端口,防火墙正常工作状态只开放端口1718或1719(发向网守的RAS消息所用端口)、1720(呼叫信令消息所用端口)。,媒体流需要通过RTP协议来传输，而传输所需要的源端口和目的端口是动态确定的，这些端口可能是大于1024的任意端口，因此要使H323数据流通过防火墙，需要在防火墙规则中打开所有大于1024的端口，这显然是非常不安全的。,防火墙需要全程跟踪H323协议过程，可以动态开放特定端口保证安全与应用相统一。,用户 C,用户 D,用户 B,用户 A,受保护网络,用户 A的流量已达到 10M,用户 A的流量已达到 极限值30M,阻断用户

15、A的连接,基于帐号的流量限制,Internet,Internet,RADIUS服务器,认证服务器,admin,12354876,防火墙将认证信息传给真正的RADIUS服务器,进行认证,将认证结果传给防火墙,根据认证结果决定用户对资源的访问权限,支持第三方认证服务器,带宽优先级别管理,Web服务器,视频应用服务器,浏览,下载,一级,二级,三级,视频,Ftp服务器,带宽管理规则库,内网,外网,外网,内网,双机热备份保证网络高可用性,客户机,客户机,客户机,服务器,服务器,服务器,请求,请求,请求,请求,多链路负载均衡功能,多ISP链路冗余 互联网连接（ISP)已经成为最后的故障点 将高可用性引入I

16、SP连接可以消除此故障点，防火墙出口可能会有几个网关，管理员可以通过此功能平均分流给各个网关，而对源IP则无需考虑。,ISP的网络,ISP的网络,ISP的网络,内网,以太网通道功能,极大地节省企业租用网络线路和带宽的投资,1000M,2000M,聚合链路,Port 1,Port 2,Port 3,Port n,帧分发器,发送队列,Higher-layer Protocols,Port 1,Port 2,Port 3,Port n,帧接收器,接收队列,Higher-layer Protocols,System A,System B,实现链路备份，单条链路故障不影响应用的正常运行,网络设备通过两个或多个端口并行传输数据以提供更高的带宽,