《《北京信息安全服务人员资质培训材料》之二:安全产品和工具》由会员分享,可在线阅读,更多相关《《北京信息安全服务人员资质培训材料》之二:安全产品和工具(209页珍藏版)》请在金锄头文库上搜索。
1、安全主流产品与常见工具,苏璞睿 信息安全国家重点实验室,Email:,课程内容,防火墙 VPN 内外网隔离 日志审计 入侵检测,隐患扫描 PKI(CA) PGP 安全加固 防病毒,课程内容,防火墙 VPN 内外网隔离 日志审计 入侵检测,隐患扫描 PKI(CA) PGP 安全加固 防病毒,防火墙(Firewall),防火墙基础知识 防火墙体系结构 防火墙技术 防火墙评测指标,防火墙(Firewall),防火墙基础知识 什么是防火墙 防火墙可以做什么 防火墙的局限性 防火墙体系结构 防火墙技术 防火墙评测指标,什么是防火墙(图),什么是防火墙,防火墙是在被保护网络与因特网之间,或者在不同的网络之
2、间,实施访问控制的一种或一系列部件。,防火墙可以做什么,防火墙是安全决策的焦点(阻塞点) 防火墙能强制安全策略 防火墙能有效地记录网络活动,防火墙的局限性,限制了可用性 对网络内部的攻击无能为力 不能防范不经过防火墙的攻击 不能防范因特网上不断产生的新的威胁和攻击 不能完全防范恶意代码的通过,防火墙(Firewall),防火墙基础知识 防火墙体系结构 双重宿主主机体系结构 屏蔽主机体系结构 屏蔽子网体系结构 其他体系结构 防火墙技术 防火墙评测指标,双重宿主主机体系结构(图),双重宿主主机体系结构,是最基本的防火墙系统结构 双重宿主主机位于外部网络和受保护网络之间,至少有两个网络接口。所有在这
3、两个网络间发送的IP数据包都会经过该主机,该主机可以对转发的IP包进行安全检查 优点:构造简单 缺点:易受攻击,屏蔽主机体系结构(图),屏蔽主机体系结构,屏蔽主机结构将提供安全保护的堡垒主机置于内部网上,使用一个单独的路由器对该主机进行屏蔽 优点:能够提供更高层次的安全保护 缺点:堡垒主机一旦被攻破,整个网络就会被攻破,屏蔽子网体系结构(图),屏蔽子网体系结构,屏蔽子网结构在屏蔽主机结构基础上,增加了一层周边网络的安全机制,使内部网络与外部网络之间有两层隔离。 优点:即使堡垒主机被攻破,也不能直接侵入内部网络。,体系结构的其他形式,使用多堡垒主机 合并内部与外部路由器 合并堡垒主机与外部路由器
4、 使用多台外部路由器、多个周边网络 组合使用双重宿主主机和屏蔽子网,不宜采用的体系结构,合并堡垒主机与内部路由器 使用多台内部路由器,防火墙(Firewall),防火墙基础知识 防火墙体系结构 防火墙技术 数据包过滤 应用代理 NAT 个人防火墙 防火墙评测指标,数据包过滤(1),数据包过滤是一个网络安全保护机制,它用来控制流出和流入网络的数据 在TCP/IP网络中,数据都是以IP包的形式传输的,数据包过滤机制就是对通过防火墙的IP包进行安全检查,将通过安去检查的IP包进行转发,否则就阻止通过,数据包过滤(2)(图),数据包过滤(3),判断依据有: 数据包协议类型:TCP、UDP、ICMP、I
5、GMP等 源、目的IP地址 源、目的端口:FTP、HTTP、DNS等 IP选项:源路由、记录路由等 TCP选项:SYN、ACK、FIN、RST等 其它协议选项:ICMP ECHO、ICMP ECHO REPLY等 数据包流向:in或out 数据包流经网络接口:eth0、eth1,数据包过滤设置实例,数据包过滤(4),数据包过滤的优点: 一个配置适当的数据包过滤器可以保护整个网络 对用户透明度高 易实现:大多数路由器都具有数据包过滤功能 数据包过滤的缺点: 配置和检验较为困难 一些协议不适合数据包过滤 某些策略难以执行,应用代理(1),是各种应用服务的转发器 它接收来自内部网络特定用户应用程序的
6、通信,然后建立与公共网络服务器单独的连接 代理防火墙通常支持的一些常见的应用程序有:HTTP、HTTPS/SSL、SMTP、POP3等等,应用代理(2)(图),客户,应用代理,服务器,发送请求,转发响应,转发请求,发送响应,应用代理(3)(图),应用代理(4),它的优点是: 对用户透明 支持用户认证 可以产生小并且更有效的日志。 它的缺点是: 速度比较慢 对一些新的或不常用的服务不支持,NAT(网络地址转换协议),可以使多个用户分享单一的IP地址 为Internet连接提供一些安全机制 可以向外界隐藏内部网结构 转换机制: 当内部用户与一个公共主机通信时,NAT追踪是哪一个用户作的请求,修改传
7、出的包,这样包就像是来自单一的公共IP地址,个人防火墙(1),是一种能够保护个人计算机系统安全的软件,它可以直接在用户的计算机上运行 可以对用户计算机的网络通信进行过滤 通常具有学习模式,可以在使用中不断增加新的规则,个人防火墙(2)(图),防火墙(Firewall),防火墙基础知识 防火墙体系结构 防火墙技术 防火墙评测指标,防火墙评测指标 (1),对防火墙的评估通常包括对其功能、性能和可用性进行测试评估。 对防火墙性能的测试指标主要有 吞吐量 延迟 帧丢失率,防火墙评测指标 (2),对防火墙的功能测试通常包含 身份鉴别 访问控制策略及功能 密码支持 审计 管理 对安全功能自身的保护,防火墙
8、测评方法,NetScreen Vs. CheckPoint,引自Yiming Gong http:/,课程内容,防火墙 VPN 内外网隔离 日志审计 入侵检测,隐患扫描 PKI(CA) PGP 安全加固 防病毒,VPN (Virtual Private Network),什么是VPN VPN的分类 VPN的隧道协议,VPN,什么是VPN VPN的分类 VPN的隧道协议,什么是VPN(1),什么是VPN (2),VPN即虚拟专用网,是指一些节点通过一个公用网络(通常是因特网)建立的一个临时的、安全的连接,它们之间的通信的机密性和完整性可以通过某些安全机制的实施得到保证 特征 虚拟(V):并不实际
9、存在,而是利用现有网络,通过资源配置以及虚电路的建立而构成的虚拟网络 专用(P):每个VPN用户都可以从公用网络中获得一部分资源供自己使用 网络(N):既可以让客户连接到公网所能够到达的任何地方,也可以方便地解决保密性、安全性、可管理性等问题,降低网络的使用成本,什么是VPN (3),安全功能 信息机密性,确保通过公网传输的信息以加密的方式传送,即使被他人截获也不会泄露 信息完整性,保证信息的完整性 用户身份认证,能对用户身份进行认证,确定该用户的访问权限 访问控制,用户只能读写被授予了访问权限的信息,VPN,什么是VPN VPN的分类 VPN的隧道协议,VPN的分类,根据VPN所起的作用,可
10、以将VPN分为: Access VPN Intranet VPN Extranet VPN,Access VPN,处理可移动用户、远程交换和小部门的远程访问公司内部网的VPN,Intranet VPN (企业内部虚拟网),是在公司远程分支机构的LAN和公司总部LAN之间,通过Internet建立的VPN,Extranet VPN (企业外部虚拟网),在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN 由于不同公司网络环境的差异性,必须能兼容不同的操作平台和协议 设置特定的访问控制表ACL(Access Control List),根据用户相应的访问权限开放相应资源,Extranet VP
11、N(图),VPN,什么是VPN VPN的分类 VPN的隧道协议,VPN的隧道协议,VPN的关键技术在于通信隧道的建立,数据包通过通信隧道进行封装后的传送以确保其机密性和完整性 通常使用的方法有: 使用点到点隧道协议PPTP、第二层隧道协议L2TP、第二层转发协议L2F等在数据链路层对数据实行封装 使用IP安全协议IPSec在网络层实现数据封装 使用介于第二层和第三层之间的隧道协议,如MPLS隧道协议,PPTP/ L2TP (1),1996年,Microsoft和Ascend等在PPP协议的基础上开发了PPTP,并将它集成于Windows NT Server4.0中,同时也提供了相应的客户端软件
12、 PPTP可把数据包封装在PPP包中,再将整个报文封装在PPTP隧道协议包中,最后,再嵌入IP报文或帧中继或ATM中进行传输 PPTP提供流量控制, 采用MPPE加密算法,PPTP/ L2TP (2),1996年,Cisco提出L2F(Layer 2 Forwarding)隧道协议 1997年底,Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起,形成了L2TP协议 L2TP可以实现和企业原有非IP网的兼容,支持MP(Multilink Protocol),可以把多个物理通道捆绑为单一逻辑信道,PPTP/ L2TP (3),优点: 支持其他网络协议 支持流量控制 对
13、用微软操作系统的用户来说很方便 缺点: 通道打开后,源和目的用户身份不再就行认证,存在安全隐患 限制同时最多只能连接255个用户 端点用户需要在连接前手工建立加密信道,IPSec VPN (1),IPSEC的隧道协议开始于RFC 1827即IP封装安全有效负载( ESP ),它定义了一个通用的数据报封装方法 ESP通过对要保护的数据进行加密,以及将它放置在I P封装安全有效负载的有效负载部分,来提供机密性和完整性。通过使用验证包头(AH,在RFC 2402中定义),也可以提供IP数据报的验证,IPSec VPN(2),AH包头的结构:,IPSEC AH/ESP数据包结构,IPSec VPN(3
14、),IPSEC VPN是基于IPSec协议的VPN产品,由IPSec协议提供隧道安全保障 特点:只能支持IP数据流 目前防火墙产品中集成的VPN多为使用IPSec 协议,MPLS VPN,是在网络路由和交换设备上应用MPLS (Multiprotocol Label Switching ) 技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN) 运行在IP+ATM或者IP环境下,对应用完全透明 相关标准: RFC 3270 RFC 2764,MPLS VPN,PE = Provider Edge Router LSR = Label Switc
15、h Router,课程内容,防火墙 VPN 内外网隔离 日志审计 入侵检测,隐患扫描 PKI(CA) PGP 安全加固 防病毒,内外网隔离,物理隔离 逻辑隔离,内外网隔离,物理隔离 安全需求 物理隔离技术 逻辑隔离,安全需求(1),计算机信息系统国际联网保密管理规定第六条规定:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。“,安全需求(2),实现内网和外网的网络隔离的要求: 用户访问内网时,断开外网网络连接 访问外网时,断开内网网络连接 用户不能同时连入内、外网,始终保持内网、外网网络隔离的状态,安全需求(3),对物理隔离技术的要求 :
16、 高度安全 较低的成本 容易部置、结构简单 易于操作 具有灵活性与扩展性,物理隔离技术,双网机技术 物理隔离卡 双网线的物理隔离卡 单网线的物理隔离卡 网络安全隔离集线器 物理隔离网闸(GAP),双网机技术,在一个机箱内设有两块主机板、两套内存、两块硬盘和两CPU 相当于两台计算机共用一个显示器 用户通过客户端开关,分别选择两套计算机系统 特点是: 客户端成本很高 网络布线为双网线结构 技术水平简单,物理隔离卡双网线隔离卡,客户端需要增加一块PCI卡,客户端硬盘或其它存储设备首先连接到该卡,然后再转接到主板,这样通过该卡用户就能控制客户端的硬盘或其它存储设备。用户在选择硬盘的时候,同时也选择了该卡上所对应的网络接口,连接到不同的网络,物理隔离卡双网线隔离卡(cont),技术水平有所提高 成本有所降低 要求网络布线采用双网线结构,存在安全隐患,物理隔离卡单网线隔离卡,只有一个网络接口 通过网线将不同的电平信息传递到网络选择端,在网络选择端安装网络选择器
