《网络安全设备-v4》由会员分享,可在线阅读,更多相关《网络安全设备-v4(88页珍藏版)》请在金锄头文库上搜索。
1、网络安全设备 大纲要求 了解常见安全设备功能及使用方法 能根据安全需求正确选择、部署相关安全 设备 常见安全设备包括:防火墙(含Web应用防 火墙)、入侵检测系统、抗拒绝服务攻击 系统、网页防篡改系统、网络漏洞扫描系 统、安全配置检查工具、安全运营中心 (SOC)、服务器安全加固系统等 2 网络安全设备 防火墙 入侵检测系统 入侵防御系统 Web应用安全网关 漏洞扫描 网络审计 内网管理平台 安全运营中心(SOC) 3 防火墙技术 什么是防火墙? 为什么需要防火墙? 防火墙的功能 防火墙的典型部署 防火墙的分类 防火墙的工作模式 防火墙的相关技术 防火墙的弱点和局限性 选择防火墙需考虑的要素
2、防火墙使用中的注意事项 4 什么是防火墙? 在网络间(内部/外 部网络、不同信息 级别)提供安全连 接的设备; 用于实现和执行网 络之间通信的安全 策略 5 InternetInternet 公司网站公司网站 防火墙防火墙 为什么需要防火墙? 阻止来自不可信网络的攻击 保护关键数据的完整性 维护客户对企业或机构的信任 6 防火墙的功能 控制进出网络的信息流向和数据包,过滤不安 全的服务; 隐藏内部IP地址及网络结构的细节; 提供使用和流量的日志和审计功能; 部署NAT(Network Address Translation,网络 地址转换); 逻辑隔离内部网段,对外提供WEB和FTP; 实现集
3、中的安全管理; 提供VPN功能。 7 地址转换(NAT)功能 用于当企业没有足够的合法(公有)IP地址 NAT可为内部网络提供额外的安全措施 按照用户的需要提供给外部网络一定的服务 利用NAT实现多服务器负载均衡 8 地址转换(NAT) 静态地址转换 动态地址转换 端口地址转换(PAT) 9 防火墙的典型部署 这是最为普通的企业环境防火墙部署案例。利 用防火墙将网络分为三个安全区域,企业内部 网络,外部网络和服务器专网(DMZ区)。 10 可信网络可信网络 不可信的网络不可信的网络& &服务服务 防火墙防火墙 路由器路由器 InternetInternet IntranetIntranet D
4、MZ 公开可访问的服务公开可访问的服务 & & 网络网络 防火墙的分类 防火墙从实现方式上来分, 可分为硬件防火墙和软件 防火墙两类。硬件防火墙 通常部署在内、外部网络 之间,通过软、硬件结合 的方式来达到隔离内、外 部网络的目的;软件防火 墙可以在一个独立的机器 上运行,通过一定的规则 来达到限制非法用户访问 的目的。 从技术的发展阶段来分看, 防火墙可分为包过滤、应 用代理和状态检测等几大 类型。 11 包过滤 状态检测 应用代理 防火墙的发展阶段 防火墙的工作模式 路由模式 透明模式 混合模式 12 防火墙的工作模式-路由模式 路由模式 13 内部网络内部网络 192.168.1.0/2
5、4192.168.1.0/24 GW:192.168.1.254GW:192.168.1.254 外部网络外部网络 202.101.10.0/24202.101.10.0/24 GW:202.101.10.1GW:202.101.10.1 防火墙防火墙 路由器路由器 InternetInternet IntranetIntranet 202.101.10.1/24202.101.10.1/24 192.168.1.254/24192.168.1.254/24 防火墙的工作模式透明模式 14 透明模式 内部网络内部网络 192.168.1.0/24192.168.1.0/24 GW:192.16
6、8.1.254GW:192.168.1.254 外部网络外部网络 路由器路由器 InternetInternet IntranetIntranet 192.168.1.254/24192.168.1.254/24 防火墙的工作模式-混合模式 混合模式 工作于透明模式的防火墙可以实现透明接入, 工作于路由模式的防火墙可以实现不同网 段的连接。但路由模式的优点和透明模式 的优点是不能同时并存的。所以,大多数 的防火墙一般同时保留了透明模式和路由 模式,根据用户网络情况及用户需求,在 使用时由用户进行选择。 15 防火墙的相关技术 包过滤技术 应用代理技术 状态检测技术 16 包过滤(Packet
7、filter) 17 在网络层检查数据包 简单的拒绝或接受策略模型 无法识别更高层协议 网络层网络层 应用层应用层 表示层表示层 会话层会话层 传输层传输层 数据链路层数据链路层 物理层物理层 网络层网络层 应用层应用层 表示层表示层 会话层会话层 传输层传输层 数据链路层数据链路层 物理层物理层 网络层网络层 应用层应用层 表示层表示层 会话层会话层 传输层传输层 数据链路层数据链路层 物理层物理层 网络层网络层 包过滤(Packet filter) 包过滤防火墙具有以下特点: 优点: 只对数据包的 IP 地址、 TCP/UDP 协议和端口 进行分析,规则简单,处理速度较快 易于配置 对用户
8、透明-用户访问时不需要提供额外的密码 或使用特殊的命令 缺点: 检查和过滤器只在网络层-不能识别应用层协议 或维持连接状态 安全性薄弱 不能防止IP欺骗等 18 应用网关或代理 19 ( Application Gateway or Proxy) 在应用层检查数据包 能够对应用或内容进行过滤 例如:禁止FTP的 “put”命令 网络层网络层 应用层应用层 表示层表示层 会话层会话层 传输层传输层 数据链路层数据链路层 物理层物理层 网络层网络层 应用层应用层 表示层表示层 会话层会话层 传输层传输层 数据链路层数据链路层 物理层物理层 网络层网络层 应用层应用层 表示层表示层 会话层会话层 传
9、输层传输层 数据链路层数据链路层 物理层物理层 网络层网络层 应用网关或代理 应用代理或网关防火墙具有以下特点: 优点: 可以检查应用层、传输层和网络层的协议特征,对数 据包的检测能力比较强 提供良好的安全性 - 所有数据的有效负载都在应用层进 行检查 缺点: 支持的应用数量有限,无法很好的支持新的应用、技 术和协议 对用户不透明度 性能表现欠佳 20 状态检测 21 数据链路层数据链路层 物理层物理层 网络层网络层 表示层表示层 会话层会话层 传输层传输层 检测引擎检测引擎 应用层应用层 动态状态表动态状态表 动态状态表动态状态表 动态状态表动态状态表 (Stateful Inspectio
10、n) 在数据链路层和网络层之间对数据包检测进行检测 创建状态表用于维护连接上下文 应用层应用层 表示层表示层 会话层会话层 传输层传输层 数据链路层数据链路层 物理层物理层 网络层网络层 应用层应用层 表示层表示层 会话层会话层 传输层传输层 数据链路层数据链路层 物理层物理层 网络层网络层 状态检测(Stateful Inspection) 22 状态检测防火墙具有以下特点: 性能大大提高 支持大量应用 在内核级实现检测过滤 在所有接口对进/出的数据包进行检查 支持七层协议检查 在动态状态表中存储连接状态 检查对外的连接并预先计算出将返回的连接 支持对所有的七层协议进行检查 防火墙弱点和局限
11、性 防火墙防外不防内; 防火墙难于管理和配置,易造成安全漏洞; 很难为用户在防火墙内外提供一致的安全 策略; 防火墙只实现了粗粒度的访问控制; 对于某些攻击防火墙也无能为力。 23 防火墙的弱点和局限性 24 Internet 总部 恶意网页 蠕虫病毒 间谍软件 BT,Skype,MSN新型应用 垃圾邮件 网页欺骗 木马软件 DMZ服务器区 70%的攻击防火墙无法检测 入侵检测系统概述 什么是入侵检测系统 入侵检测的作用 入侵检测系统的体系结构 入侵检测检测模型 25 什么是入侵检测系统 入侵检测(intrusion detection) 入侵检测是对即将发生、正在发生的或已经发生 的入侵行为
12、的一种识别过程,是一种动态的安全 防护手段,它能主动寻找入侵信号,给网络系统 提供对外部攻击、内部攻击和误操作的安全保护, 是一种增强系统安全的有效方法。 入侵检测系统(IDS-intrusion detection system)用于 辅助进行入侵检测或者独立进行入侵检测的自动 化工具。一般是用于检测的软件和硬件的组合。 26 入侵检测系统 在安全体系中,IDS是唯一一个通过数据和行为模式判断其是否有效 的系统 27 监控监控 后门后门 检测检测 Card Key 响应响应 检测检测 检测检测 入侵检测系统概述 什么是入侵检测系统 入侵检测的作用 入侵检测系统的体系结构 入侵检测检测模型 2
13、8 入侵检测系统的作用 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 审计跟踪 29 入侵检测系统概述 什么是入侵检测系统 入侵检测的作用 入侵检测系统的体系结构 入侵检测检测模型 30 入侵检测系统IDS体系结构 事件产生器 检测引擎(事件分析引擎) 事件数据库 响应组件 31 事件产生器 负责原始数据的采集,并将获得的原始数 据转化为可以向其它系统提供的事件。 数据来源: 对于NIDS系统,主要在网络不同的关键点 处,收集的来自网络中的数据包。 对于HIDS系统,主要来自审计日志、系统 日志、主机网络端口等处获得的信息。 32 事件产生器 入侵检测很大程度上依赖收集信息的可靠
14、 性和正确性。 入侵检测系统的用于收集信息的部分应该 具有相当强的坚固性,防止被篡改而收集 到错误信息。 33 检测引擎(事件分析引擎) 对事件产生器所提供的事件,进行分析, 通过与预定义的检测规则进行比对,判断 是否为入侵行为。并将分析结果提供给其 他系统,转变为告警信息。 34 检测引擎(事件分析引擎) 事件分析方法:目前IDS系统主要有几种通用的分析方法, 每种分析方法也各有利弊。 1、模式匹配:将收集到的事件与已知的网络入侵行为数 据库和系统误用模式数据库进行对比,从而发现违背安全 规律的行为。 2、统计分析:首先给系统对象(用户、文件、目录和设 备)等创建一个统计描述,统计一些正常使
15、用时的一些测 量属性(如访问次数、操作失败次数)。测量属性的平均 值和偏差将被用来与网络、系统的行为进行对比,任何观 察值在正常范围值之外,就认为入侵发生。 3、完整性分析(用于事后分析):主要关注某个文件或 对象是否被更改。 35 事件数据库 用于存放各种中间和最终数据,如检测规 则和检测结果。 从事件产生器或事件分析器接收数据,一 般会将数据进行长时间的保存。 36 响应组件 响应组件用于对检测引擎分析的结果作出 反应。 可以是切断连接、封锁用户帐号、改变文 件属性等强烈反应,也可以是简单的报警 (如控制台显示、电子邮件通知、手机短 信等) 37 入侵检测系统概述 什么是入侵检测系统 入侵
16、检测的作用 入侵检测系统的体系结构 入侵检测检测模型 38 按数据检测方法分类 异常检测模型(anomaly detection):总结 出正常操作应该具有的特征(用户轮廓), 当用户的行为与正常行为有重大偏离时, 即被认为是入侵行为 误用检测模型(misuse detection):收集 非正常行为操作的特征,建立相关特征库, 当检测的用户或系统行为与库中的记录相 匹配时,系统就认为这种行为是入侵。 39 入侵检测系统两个重要参数 误报:检测系统在检测时,将系统的正常 行为判为入侵行为的错误,被称为误报。 检测系统在检测过程中,出现误报的概率 称为系统的误报率 漏报:检测系统在检测时,没有能够正确 的识别某些入侵行为,因而没有报警现象 称为漏报。检测系统在
