防火墙及入侵检测技术课件

防火墙及入侵检测技术简介 网络通信安全管理员培训班网络通信安全管理员培训班网络安全概述防火墙技术入侵检测技术系统安全审计与评估讲座提纲2022/9/102网络通信安全管理员培训班概述-网络安全现状网络网络内部、外部泄内部、外部泄密密拒绝服务攻拒绝服务攻击击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒后门、隐蔽通后门、隐蔽通道道蠕虫蠕虫2022/9/103网络通信安全管理员培训班概述-网络安全现状（续）我国网络安全形势非常严峻，仅2010年上半年：59.2%的网民遭遇病毒或木马攻击 30.9%的网民账号或密码被盗过 2.5亿人遇到网络不安全事件 4780次网络安全事件报告（CNCERT）124万个IP地址对应的主机被木马程序控制 23.3万个IP地址对应主机被僵尸程序控制 14907个网站被篡改 2022/9/104网络通信安全管理员培训班概述-主要安全技术数据传输加密数据存储加密基于密码的认证基于地址的认证加密和数字签名技术数据包过滤技术代理技术身份认证与访问控制技术防火墙技术入侵检测技术数据完整性的鉴别密钥管理技术基于密码认证协议的认证动态身份认证生物特征认证状态检测技术地址翻译技术虚拟专用网 误用检测 异常检测混合检测2022/9/105网络通信安全管理员培训班网络安全概述防火墙技术入侵检测技术系统安全审计与评估讲座提纲2022/9/106网络通信安全管理员培训班防火墙是在网络之间执行安全控制策略的系统，防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件；它包括硬件和软件；设置防火墙的目的是保护内部网络资源不被外部设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的非授权用户使用，防止内部受到外部非法用户的攻击。攻击。防火墙 1-基本概念2022/9/107网络通信安全管理员培训班网络流量过滤资料内容过滤网络地址翻译安全策略防火墙 2 功能2022/9/108网络通信安全管理员培训班防外不防内不能防范绕过防火墙的攻击配置复杂，易出现安全漏洞控制粒度较粗不能防范病毒不能防止数据驱动式攻击防火墙 3 局限性2022/9/109网络通信安全管理员培训班防火墙 4 技术分类包过滤防火墙 静态包过滤、动态包过滤代理防火墙ApplicationApplication FilterFilterTCP/UDPTCP/UDPIPIPTCP/UDPTCP/UDPIPIP2022/9/1010网络通信安全管理员培训班Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头，不理会包内的正文信息)。如果找到一个匹配，且规则允许这包，这个包则根据路由表中的信息前行；如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃；如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。防火墙 4 包过滤技术原理2022/9/1011网络通信安全管理员培训班防火墙 4 包过滤技术原理版本号Version(4bit)报头长IHL(4bit)服务类型 ServiceType(8bit)分组总长度Total Length(16bit)标识Identification(16bit)标志Flags(3bit)片偏移Fragment Offset(13bit)生存时间Time to Live(8bit)传输层协议Protocol(8bit)头部校验和 Header Checksum(16bit)源IP地址Source Address(32bit)宿IP地址Destination Address(32bit)可选项Option有效负载Payload（0或多个字节）20 bytes0 4 8 16 19 31填充域padding2022/9/1012网络通信安全管理员培训班防火墙 4 包过滤技术原理ICMP报文的一般格式：Data差错信息出错IP数据报的头+64个字节数据类型Type(8bit)代码Code (8bit)检验和Checksum(16bit)不同类型和代码有不同的内容Data0 8 16 31ICMP header ICMP data IP header I P data 封装2022/9/1013网络通信安全管理员培训班防火墙 4 包过滤技术原理源端口Source Port(16bit)宿端口Destination Port(16bit)序列号Sequence Number(32bit)确认号Acknowledgment Number(32bit)DataOffset(4bit)Reserved(6bit)URGACKPSHRSTSYNFIN窗口大小Window size(16bit)校验和Checksum(16bit)紧急指针Urgent Pointer(16bit)选项 Options(0或多个32 bit字)数据Data(可选)TCPTCP头部头部：2022/9/1014网络通信安全管理员培训班防火墙 4 包过滤技术原理UDPUDP头部头部：UDP源端口UDP宿端口UDP长度UDP校验和16bit16bit最小值为8全“0”：不选；全“1”：校验和为0。2022/9/1015网络通信安全管理员培训班IP 源地址IP目的地址封装协议(TCP、UDP、或IP Tunnel)TCP/UDP源端口TCP/UDP目的端口ICMP包类型TCP报头的ACK位包输入接口和包输出接口防火墙 4 包过滤的依据2022/9/1016网络通信安全管理员培训班多数服务对应特定的端口，例：Telnet、SMTP、POP3分别为23、25、110。如要封锁输入Telnet、SMTP的连接，则Router丢弃端口值为23和25的所有数据包。典型的过滤规则有以下几种：.只允许进来的Telnet会话连接到指定的一些内部主机 .只允许进来的FTP会话连接到指定的一些内部主机 .允许所有出去的Telnet 会话 .允许所有出去的FTP 会话 .拒绝从某些指定的外部网络进来的所有信息防火墙 4 依赖于服务的过滤2022/9/1017网络通信安全管理员培训班源IP地址欺骗攻击源路由攻击残片攻击防火墙 4 独立于服务的过滤2022/9/1018网络通信安全管理员培训班结构防火墙 4.1 包过滤防火墙2022/9/1019网络通信安全管理员培训班防火墙 4.1 包过滤防火墙IPIP封包封包目的目的IP地址地址源源IP地址地址目的端目的端口号口号源端源端口号口号数据数据TCP/UDPTCP/UDP封包封包包过滤防火墙包过滤防火墙 原理2022/9/1020网络通信安全管理员培训班规则表防火墙 4.1 包过滤防火墙2022/9/1021网络通信安全管理员培训班原理 通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。防火墙 4.2 代理防火墙2022/9/1022网络通信安全管理员培训班防火墙 4.2 应用代理2022/9/1023网络通信安全管理员培训班防火墙 4.3 技术对比2022/9/1024网络通信安全管理员培训班堡垒主机式架构(Bastion Host Firewall)双闸式架构（Dual-Homed Firewall）屏障单机式架构(Screened Host Firewall)屏障子网域式架构（Screened Subnet Firewall）防火墙 5 防火墙的系统结构2022/9/1025网络通信安全管理员培训班防火墙 5.1 堡垒主机式防火墙属于包过滤器有两块网卡 进出的包都要经过该防火墙检查内部网络与外部网络无法直接相连数据包均需透过该堡垒主机转发Internet网卡网卡堡垒主机式防火墙外部网络内部网络2022/9/1026网络通信安全管理员培训班属于代理服务器型防火墙的一种有两块网卡需安装应用服务器转换器所有网络应用服务数据包都需经过该应用服务转换器的检查应用服务转换器将过滤掉不被系统允许的服务防火墙 5.2 双闸式防火墙Internet网卡网卡应用服务转换器双闸式防火墙內部网络服务器客戶端2022/9/1027网络通信安全管理员培训班属于结合包过滤器及代理服务器功能的一种架构硬件设备除了主机还需要路由器路由器：必须有包过滤功能主机：负责过滤及处理网络服务要求的数据包防火墙 5.3 屏障单机式架构Internet屏障子网域路由器防火墙主机内部网络2022/9/1028网络通信安全管理员培训班结合许多主机及两个路由器对外公开的应用服务器均需假设在屏障子网域内用外部路由器隔离外部网络与屏障子网域内部路由器隔离内部网络与屏障子网域将内部网络的架构、各主机IP及名称完全隐藏起来多次过滤检查防火墙 5.4 屏障子网域式架构Internet路由器路由器内部网络屏障子网域外部路由器內部路由器堡垒式主机Mail ServerMail ServerWWW ServerWWW ServerFTP ServerFTP Server2022/9/1029网络通信安全管理员培训班防火墙 6 防火墙系统的构建了解需求了解需求选择适适当当的的防火防火墙产品品决决定定网网络架架构构安装防火安装防火墙设定防火定防火墙开开开开始始始始完成完成完成完成测试防火防火墙2022/9/1030网络通信安全管理员培训班防火墙的安全性防火墙的高效性防火墙的适用性防火墙的可管理性完善及时的售后服务体系防火墙 6.1 防火墙产品选购策略2022/9/1031网络通信安全管理员培训班防火墙的系统环境设置防火墙的要素服务访问策略防火墙设计策略防火墙 6.2 防火墙设计策略2022/9/1032网络通信安全管理员培训班路由(Routing)防火墙 6.3 防火墙设定实例（1）InternetInternet 192.168.0.0192.168.0.0255.255.255.0255.255.255.0202.132.10.160202.132.10.160202.132.10.160202.132.10.160|202.132.10.191202.132.10.191202.132.10.191202.132.10.191255.255.255.224255.255.255.224255.255.255.224255.255.255.224202.132.10.160202.132.10.160202.132.10.160202.132.10.160|202.132.10.175202.132.10.175202.132.10.175202.132.10.175255.255.255.240255.255.255.240255.255.255.240255.255.255.240202.132.10.176202.132.10.176202.132.10.176202.132.10.176|202.132.10.191202.132.10.191202.132.10.191202.132.10.191255.255.255.240255.255.255.240255.255.255.240255.255.255.2402022/9/1033网络通信安全管理员培训班过滤策略防火墙 6.3 防火墙设定实例（2）ICMPICMPHTTPHTTPFTPFTPSMTPSMTP來源端位址來源端埠號目的端位址目的端埠號通訊協定允許或拒絕AnyAnyAny25TCP允許AnyAnyAny21TCP拒絕AnyAnyAny80TCP拒絕AnyAnyAny-ICMP拒絕AnyAnyAnyAnyAny拒絕存取規則存取規則存取規則存取規則2022/9/1034网络通信安全管理员培训班地址翻译防火墙 6.3 防火墙设定实例（3）23232323Web ServerWeb ServerIP=131.107.50.1远端IP地址远端端口外部IP地址外部端口內部IP地址內部端口131.107.50.180202.132.10.1023