《网络安全设备应用与实践》由会员分享,可在线阅读,更多相关《网络安全设备应用与实践(92页珍藏版)》请在金锄头文库上搜索。
1、网络安全设备网络安全设备2012/9/12应用与实践穆显亮课程内容课程内容2知识子域:防火墙技术知识子域:防火墙技术3v理解防火墙的作用v理解包过滤技术、状态检测技术和应用代理技术的原理和优缺点v掌握防火墙选择和使用中的基本注意事项防火墙技术防火墙技术v什么是防火墙?v为什么需要防火墙?v防火墙的功能v防火墙的典型部署v防火墙的分类v防火墙的工作模式v防火墙的相关技术v防火墙的弱点和局限性v选择防火墙需考虑的要素v防火墙使用中的注意事项4防火墙技术防火墙技术- - -什么是防火墙?什么是防火墙?v在网络间(内部在网络间(内部/ /外部网络、外部网络、不同信息级别)提供安全不同信息级别)提供安全
2、连接的设备;连接的设备;v用于实现和执行网络之间用于实现和执行网络之间通信的安全策略通信的安全策略Internet公司网站公司网站防火墙防火墙5防火墙技术防火墙技术为什么需要防火墙为什么需要防火墙? ?v阻止来自不可信网络的攻击阻止来自不可信网络的攻击v保护关键数据的完整性保护关键数据的完整性v维护客户对企业或机构的信任维护客户对企业或机构的信任6防火墙技术防火墙技术- - -防火墙的功能防火墙的功能v控制进出网络的信息流向和数据包,过滤不安全控制进出网络的信息流向和数据包,过滤不安全的服务;的服务;v隐藏内部隐藏内部IPIP地址及网络结构的细节;地址及网络结构的细节; v提供使用和流量的日志
3、和审计功能;提供使用和流量的日志和审计功能;v部署部署NATNAT(Network Address TranslationNetwork Address Translation,网络,网络地址转换);地址转换);v逻辑隔离内部网段,对外提供逻辑隔离内部网段,对外提供WEBWEB和和FTPFTP;v实现集中的安全管理;实现集中的安全管理;v提供提供VPNVPN功能。功能。 7这是最为普通的企业环境防火墙部署案例。利用防火墙将网这是最为普通的企业环境防火墙部署案例。利用防火墙将网络分为三个安全区域,企业内部网络,外部网络和服务器专络分为三个安全区域,企业内部网络,外部网络和服务器专网网(DMZ(D
4、MZ区区) )。可信网络可信网络不可信的网络不可信的网络& &服务服务防火墙防火墙路由器路由器InternetIntranetDMZ公开可访问的服务公开可访问的服务 & & 网络网络8防火墙技术:防火墙的典型部署防火墙技术:防火墙的典型部署防火墙技术防火墙技术- - -防火墙的分类防火墙的分类v防火墙从实现方式上来分,防火墙从实现方式上来分,可分为硬件防火墙和软件可分为硬件防火墙和软件防火墙两类。硬件防火墙防火墙两类。硬件防火墙通常部署在内、外部网络通常部署在内、外部网络之间,通过软、硬件结合之间,通过软、硬件结合的方式来达到隔离内、外的方式来达到隔离内、外部网络的目的;软件防火部网络的目的;
5、软件防火墙可以在一个独立的机器墙可以在一个独立的机器上运行,通过一定的规则上运行,通过一定的规则来达到限制非法用户访问来达到限制非法用户访问的目的。的目的。v从技术的发展阶段来分看,从技术的发展阶段来分看,防火墙可分为包过滤、应防火墙可分为包过滤、应用代理和状态检测等几大用代理和状态检测等几大类型。类型。 包过滤状态检测应用代理9防火墙的发展阶段防火墙技术防火墙技术- - -防火墙的相关技术防火墙的相关技术v包过滤技术v应用代理技术v状态检测技术10防火墙的相关技术防火墙的相关技术-包过滤包过滤(Packet filterPacket filter)v在网络层检查数据包在网络层检查数据包v简单
6、的拒绝或接受策略模型简单的拒绝或接受策略模型v无法识别更高层协议无法识别更高层协议网络层网络层应用层应用层表示层表示层会话层会话层传输层传输层数据链路层数据链路层物理层物理层网络层网络层应用层应用层表示层表示层会话层会话层传输层传输层数据链路层数据链路层物理层物理层网络层网络层应用层应用层表示层表示层会话层会话层传输层传输层数据链路层数据链路层物理层物理层网络层网络层11防火墙的相关技术防火墙的相关技术-包过滤包过滤(Packet filterPacket filter)包过滤防火墙具有以下特点:包过滤防火墙具有以下特点:v优点优点: :只对数据包的只对数据包的 IP IP 地址、地址、 TC
7、P/UDP TCP/UDP 协议和端协议和端口进行分析,规则简单,处理速度较快口进行分析,规则简单,处理速度较快 易于配置易于配置对用户透明对用户透明- -用户访问时不需要提供额外的密用户访问时不需要提供额外的密码或使用特殊的命令码或使用特殊的命令v缺点:缺点:检查和过滤器只在网络层检查和过滤器只在网络层- -不能识别应用层协不能识别应用层协议或维持连接状态议或维持连接状态安全性薄弱安全性薄弱 不能防止不能防止IPIP欺骗欺骗等等静态策略可能成为漏洞静态策略可能成为漏洞12防火墙的相关技术防火墙的相关技术应用网关或代理(应用网关或代理( Application Gateway or Proxy
8、Application Gateway or Proxy)v在应用层检查数据包在应用层检查数据包v能够对应用或内容进行过滤能够对应用或内容进行过滤 例如:禁止例如:禁止FTPFTP的的 “put”put”命令命令防火墙的相关技术防火墙的相关技术应用网关或代理应用网关或代理( Application Gateway or ProxyApplication Gateway or Proxy)应用代理或网关防火墙具有以下特点:应用代理或网关防火墙具有以下特点:v优点:优点:可以检查应用层、传输层和网络层的协议特征,对可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强数据包的检测能力比
9、较强提供良好的安全性提供良好的安全性 - - 所有数据的有效负载都在应所有数据的有效负载都在应用层进行检查用层进行检查v缺点:缺点:支持的应用数量有限,无法很好的支持新的应支持的应用数量有限,无法很好的支持新的应用、技术和协议用、技术和协议对用户不透明度对用户不透明度性能表现欠佳性能表现欠佳14防火墙的相关技术防火墙的相关技术-状态检测状态检测(Stateful InspectionStateful Inspection)v内置内置tcp/iptcp/ip协议状态机,创建协议状态机,创建状态表用于维护连接状态表用于维护连接上下文,检查每个会话连接的合法性(是否符合上下文,检查每个会话连接的合法
10、性(是否符合tcp/iptcp/ip通信原理和特征)。通信原理和特征)。v能够识别和监听常用动态端口应用的协商过程,从能够识别和监听常用动态端口应用的协商过程,从而自动为动态应用建立通过防火墙的安全连接。而自动为动态应用建立通过防火墙的安全连接。防火墙的相关技术防火墙的相关技术-状态检测状态检测(Stateful InspectionStateful Inspection)状态检测防火墙具有以下特点:状态检测防火墙具有以下特点:v性能大大提高性能大大提高v支持支持大量应用大量应用v在在内核级内核级实现检测过滤实现检测过滤在在所有接口所有接口对进对进/ /出出的的数据包数据包进行进行状态状态检查
11、检查v支持应用支持应用层层协议检查协议检查在在动态状态表中存储连接动态状态表中存储连接状态状态检查对外的检查对外的连接连接并并预预先计算出将返回的先计算出将返回的连接连接16防火墙技术防火墙技术- - -防火墙的工作模式防火墙的工作模式v路由模式v透明模式v混合模式17防火墙技术防火墙技术- - -防火墙的工作模式防火墙的工作模式v路由模式内部网络内部网络192.168.1.0/24192.168.1.0/24GW:192.168.1.254GW:192.168.1.254外部网络外部网络202.101.10.0/24202.101.10.0/24GW:202.101.10.1GW:202.1
12、01.10.1防火墙防火墙路由器路由器InternetIntranet202.101.10.1/24192.168.1.254/2418防火墙技术防火墙技术- - -防火墙的工作模式防火墙的工作模式v透明模式内部网络内部网络192.168.1.0/24GW:192.168.1.254外部网络外部网络路由器路由器InternetIntranet192.168.1.254/2419防火墙技术防火墙技术- - -防火墙的工作模式防火墙的工作模式v混合模式 工作于透明模式的防火墙可以实现透明接入,工作于路由模式的防火墙可以实现不同网段的连接。但路由模式的优点和透明模式的优点是不能同时并存的。所以,大多
13、数的防火墙一般同时保留了透明模式和路由模式,根据用户网络情况及用户需求,在使用时由用户进行选择。 20防火墙技术防火墙技术- - -弱点和局限性弱点和局限性v防火墙防外不防内;v防火墙难于管理和配置,易造成安全漏洞;v很难为用户在防火墙内外提供一致的安全策略;v防火墙只实现了粗粒度的访问控制;v对于某些攻击防火墙也无能为力。21防火墙技术防火墙技术选择防火墙需考虑的要素选择防火墙需考虑的要素v安全性安全性v高效性高效性v适用性适用性v可管理性可管理性v完善及时的售后服务体系完善及时的售后服务体系22防火墙技术防火墙技术防火墙使用中的注意事项防火墙使用中的注意事项v制定符合实际情况的安全策略,并
14、定期更新;制定符合实际情况的安全策略,并定期更新;v取消危险的系统调用,关闭多余的端口;取消危险的系统调用,关闭多余的端口;v限制命令的执行权限;限制命令的执行权限;v取消取消IPIP转发功能;转发功能;v取消动态路由功能;取消动态路由功能;v制定严格的远程管理措施等等。制定严格的远程管理措施等等。23知识子域:入侵检测技术知识子域:入侵检测技术24v理解审计和监控的基本概念v理解入侵检测基本概念和工作原理v理解入侵检测的分类v掌握入侵检测系统选择和使用中的基本注意事项入侵检测技术入侵检测技术25v什么是入侵?v入侵的分类v针对入侵构建防御系统v入侵检测系统的作用v入侵检测系统的功能v入侵检测
15、系统的典型部署v入侵检测模型v入侵检测系统的分类v异常检测v特征检测入侵检测技术入侵检测技术26v主机入侵检测系统主机入侵检测系统v网络入侵检测系统网络入侵检测系统v网络节点入侵检测系统网络节点入侵检测系统v入侵的响应方式入侵的响应方式v部署中需注意的问题部署中需注意的问题v在应用中的常见问题在应用中的常见问题v选择选择IDSIDS需考虑的要素需考虑的要素入侵检测技术入侵检测技术-什么是入侵?什么是入侵?27v入侵是指在非法或未经授权的情况下,试图存取入侵是指在非法或未经授权的情况下,试图存取或处理系统或网络中的信息,或破坏系统或网络正或处理系统或网络中的信息,或破坏系统或网络正常运行,致使系
16、统或网络的常运行,致使系统或网络的可用性、机密性和完整可用性、机密性和完整性受到破坏性受到破坏的故意行为。的故意行为。 入侵检测技术入侵检测技术-入侵的分类入侵的分类28 v攻击的类型:攻击的类型:网络嗅探网络嗅探利用利用设计缺陷设计缺陷实现缺陷实现缺陷拒绝服务拒绝服务v攻击针对以下方面:攻击针对以下方面:网络网络操作系统操作系统应用应用入侵检测技术入侵检测技术针对入侵构建防御系统针对入侵构建防御系统29 v预防入侵预防入侵v检测入侵检测入侵v对入侵做出响应对入侵做出响应入侵检测技术入侵检测技术针对入侵构建防御系统针对入侵构建防御系统30 v预防入侵预防入侵非常重要的第一步;非常重要的第一步;
17、阻止某些不良企图,例如阻止某些不良企图,例如防火墙防火墙无法检查和控制的无法检查和控制的;但是攻击仍然发生:但是攻击仍然发生:网络、操作系统和应用在设计和实现上的缺陷;网络、操作系统和应用在设计和实现上的缺陷;隧道技术;隧道技术;来自网络内部的攻击。来自网络内部的攻击。入侵检测技术入侵检测技术针对入侵构建防御系统针对入侵构建防御系统31 v检测入侵检测入侵采取预防措施阻止某些攻击采取预防措施阻止某些攻击; ;是否能够实时检测到剩余的攻击是否能够实时检测到剩余的攻击? ?监控各种恶意行为:监控各种恶意行为:网络流量网络流量; ;主机中的行为主机中的行为; ;实时分析大量的审计数据,来识别入侵或误
18、用。实时分析大量的审计数据,来识别入侵或误用。入侵检测技术入侵检测技术针对入侵构建防御系统针对入侵构建防御系统32 v对入侵做出响应对入侵做出响应实时响应;实时响应;识别入侵并做出响应;识别入侵并做出响应;做出反应以减小入侵造成的响应,并尽快恢复服务。做出反应以减小入侵造成的响应,并尽快恢复服务。入侵检测技术入侵检测技术-入侵检测系统的作用入侵检测系统的作用33v克服某些传统的防御机制的限制;克服某些传统的防御机制的限制;v在在“深度防御深度防御”的基础上成为安全框架的一部分;的基础上成为安全框架的一部分;v在整个组织的网络中能够识别入侵或违反安全策略在整个组织的网络中能够识别入侵或违反安全策
19、略的行为,并能够做出回应。的行为,并能够做出回应。入侵检测技术入侵检测技术-入侵检测系统的功能入侵检测系统的功能34v自动检测入侵行为;自动检测入侵行为;v监视网络流量(监视网络流量(Network IDS)Network IDS)和主机和主机(Host (Host IDS)IDS)中的操作;中的操作;v分析入侵行为:分析入侵行为:n基于特征基于特征n基本异常基本异常v按预定的规则做出响应:按预定的规则做出响应:n阻止指定的行为。阻止指定的行为。入侵检测技术入侵检测技术-入侵检测系统的典型部署入侵检测系统的典型部署35可信网络可信网络不可信的网络不可信的网络& &服务服务防火墙防火墙Inter
20、netIntranetv以旁路的方式接入到网络中,且部署在需要以旁路的方式接入到网络中,且部署在需要的关键位置。的关键位置。HIDSNIDSNIDS入侵检测技术入侵检测技术-入侵检测系统的分类入侵检测系统的分类36v按检测方法按检测方法n异常检测异常检测n特征检测特征检测 v按检测范围按检测范围n基于主机基于主机n基于网络基于网络n基于网络节点基于网络节点入侵检测技术入侵检测技术异常检测异常检测37v设定设定“正常正常”的行为模式;的行为模式;v假设所有的入侵行为是异常的;假设所有的入侵行为是异常的;v基于系统和基于用户的异常;基于系统和基于用户的异常;v优点:优点:n可检测未知的攻击;可检测
21、未知的攻击;n自适应、自学习功能;自适应、自学习功能;n不需要先验知识。不需要先验知识。v关键问题:关键问题:n“正常正常”行为特征的选择;行为特征的选择;n统计算法、统计点的选取等。统计算法、统计点的选取等。入侵检测技术入侵检测技术异常检测异常检测38v使用的检测方法使用的检测方法基于规则基于规则统计分析统计分析神经网络神经网络v数据来源数据来源审计日志或网络流量审计日志或网络流量特殊用途的数据收集机制特殊用途的数据收集机制键盘击键监控键盘击键监控入侵检测技术入侵检测技术特征检测特征检测39v建立入侵行为模型建立入侵行为模型( (攻击特征攻击特征) );v假设可以识别和表示所有可能的特征;假
22、设可以识别和表示所有可能的特征;v基于系统的和基于用户;基于系统的和基于用户;v优点优点: :准确率高;准确率高;算法简单。算法简单。v关键问题:关键问题:有所有的攻击特征,建立完备的特征库;有所有的攻击特征,建立完备的特征库;特征库要不断更新;特征库要不断更新;无法检测新的入侵。无法检测新的入侵。入侵检测技术入侵检测技术特征检测特征检测40v使用的检测方法使用的检测方法基于规则基于规则模式匹配模式匹配 状态转换分析状态转换分析神经网络神经网络 v数据来源数据来源审计日志或网络流量审计日志或网络流量特殊用途的数据收集机制特殊用途的数据收集机制入侵检测技术入侵检测技术主机入侵检测系统主机入侵检测
23、系统41v基于主机的入侵检测系统是以代理软件的形式基于主机的入侵检测系统是以代理软件的形式安装在每台主机或服务器上,以监测主机上的安装在每台主机或服务器上,以监测主机上的各种活动;各种活动;v代理软件实现对入侵的检测分析;代理软件实现对入侵的检测分析;v由代理软件向统一的管理由代理软件向统一的管理/ /策略服务器发送日志策略服务器发送日志和告警信息。和告警信息。入侵检测技术入侵检测技术主机入侵检测系统主机入侵检测系统42v主机入侵检测系统的优点:主机入侵检测系统的优点:在长期监控谁访问什么在长期监控谁访问什么可以将问题映射到一个具体的用户可以将问题映射到一个具体的用户IDID系统可以跟踪滥用行
24、为的变化系统可以跟踪滥用行为的变化适用于加密环境适用于加密环境可以运行在交换环境中可以运行在交换环境中监测分布在多台主机上的负载,并只将有关数据监测分布在多台主机上的负载,并只将有关数据上报中央控制台上报中央控制台入侵检测技术入侵检测技术主机入侵检测系统主机入侵检测系统43v主机入侵检测系统的缺点:主机入侵检测系统的缺点:无法监测网络活动;无法监测网络活动;审计机制的运行增加了系统负载;审计机制的运行增加了系统负载;审计记录会占用大量的存储空间;审计记录会占用大量的存储空间;由于操作系统的漏洞可能破坏代理软件的有效性;由于操作系统的漏洞可能破坏代理软件的有效性;不同类型的操作系统需要不同的代理
25、软件;不同类型的操作系统需要不同的代理软件;升级的问题;升级的问题;更高的部署和维护成本。更高的部署和维护成本。入侵检测技术入侵检测技术网络入侵检测系统网络入侵检测系统44v以混杂模式接入网络;以混杂模式接入网络; v感应器可部署在网络的关键位置;感应器可部署在网络的关键位置;v将日志将日志/ /告警信息发送至位于企业防火墙内部告警信息发送至位于企业防火墙内部的服务器。的服务器。入侵检测技术入侵检测技术网络入侵检测系统网络入侵检测系统45v网络入侵检测系统的优点:网络入侵检测系统的优点:不需重新配置或重定向日志机制即可快速获不需重新配置或重定向日志机制即可快速获取信息;取信息;其部署不影响现有
26、的网络架构或数据源;其部署不影响现有的网络架构或数据源;实时监视与检测网络攻击或误用;实时监视与检测网络攻击或误用;与操作系统无关;与操作系统无关;不会增加系统开销。不会增加系统开销。入侵检测技术入侵检测技术网络入侵检测系统网络入侵检测系统46v网络入侵检测系统的缺点:网络入侵检测系统的缺点:无法分析加密的数据;无法分析加密的数据;从网络流量可以推断发生了什么,但不能判从网络流量可以推断发生了什么,但不能判断结果断结果对全对全交换网络需要配置交换机端口镜像;交换网络需要配置交换机端口镜像;对于带宽的要求较高。对于带宽的要求较高。入侵检测技术入侵检测技术网络节点入侵检测系统网络节点入侵检测系统4
27、7v安装在网络节点的主机中;安装在网络节点的主机中;v结合了结合了NIDSNIDS和和HIDSHIDS的技术;的技术;v适合于高速交换环境和加密环境。适合于高速交换环境和加密环境。入侵检测技术入侵检测技术入侵的响应方式入侵的响应方式48vIDSIDS控制台显示告警信息;控制台显示告警信息;v通过电子邮件向管理员发送告警信息;通过电子邮件向管理员发送告警信息;v根据预先设定的规则阻断连接;根据预先设定的规则阻断连接;IDSIDS自身阻断自身阻断与防火墙联动与防火墙联动v采取事件归并,以确保响应采取事件归并,以确保响应机制机制不不被被入侵者利用,入侵者利用,导致拒绝服务。导致拒绝服务。入侵检测技术
28、入侵检测技术部署中需注意的问题部署中需注意的问题49v首先在企业中有效地进行首先在企业中有效地进行IDSIDS的部署,需要大量的的部署,需要大量的管理机制为后盾;管理机制为后盾;vIDSIDS必须被广泛部署在的关键位置(不仅仅是互联必须被广泛部署在的关键位置(不仅仅是互联网连接),才能获得最大的利益;网连接),才能获得最大的利益;v特征库是否完整、准确对于特征库是否完整、准确对于IDSIDS的检测能力具有决的检测能力具有决定性的影响;定性的影响;v感应器的优化是非常重要的,以确保能够准确快感应器的优化是非常重要的,以确保能够准确快速的产生相关告警。速的产生相关告警。入侵检测技术入侵检测技术在应
29、用中的常见问题在应用中的常见问题50v需要大量的资源来配置、操作和管理;需要大量的资源来配置、操作和管理;v分布式的感应器会产生大量的信息:分布式的感应器会产生大量的信息:当告警信息的汇集加剧;当告警信息的汇集加剧;在特定情况下,许多告警可能无法与入侵行为在特定情况下,许多告警可能无法与入侵行为相关联;相关联;需要大量的人力介入,尤其是在响应方面。需要大量的人力介入,尤其是在响应方面。v管理控制台的安全性问题;管理控制台的安全性问题;v感应器与控制台通信的安全性问题。感应器与控制台通信的安全性问题。入侵检测技术入侵检测技术选择选择IDSIDS需考虑的要素需考虑的要素51v如何评价一款优秀的入侵
30、检测系统?如何评价一款优秀的入侵检测系统?准确性(Accuracy)-误报率处理性能(Performance)完备性(Completeness)-漏报率容错性(Fault Tolerance)IDS自身防御攻击的能力及时性(Timeliness)数据源分析的速度知识子域:其他网络安全技术知识子域:其他网络安全技术52v了解安全隔离与信息交换系统(网闸)、入侵防御系统(IPS)、安全管理平台(SOC)、统一威胁管理系统(UTM)、网络准入控制(NAC)等常见网络安全技术产品的概念和作用其他网络安全技术其他网络安全技术53v入侵防御系统(IPS)v安全隔离与信息交换系统(网闸)v安全管理平台(So
31、c)v统一威胁管理系统(UTM)v网络准入控制(NAC)其他网络安全技术其他网络安全技术- -入侵防御系统(入侵防御系统(IPSIPS)54v入侵防御系统的定义v入侵防御系统的功能v入侵防御系统的工作原理v入侵防御系统的的典型部署vIPS与IDS的区别其他网络安全技术其他网络安全技术- -入侵防御系统入侵防御系统55v什么是入侵防御系统IPSIPS是一种集入侵检测和防御于一体的安全是一种集入侵检测和防御于一体的安全产品,它不但能检测入侵的发生,而且能通产品,它不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的过一定的响应方式,实时地中止入侵行为的发生和发展,实时地保护信息系统
32、不受实质发生和发展,实时地保护信息系统不受实质性的攻击。性的攻击。IPSIPS使得使得IDSIDS和防火墙走向统一。和防火墙走向统一。简单地理解,可认为简单地理解,可认为IPSIPS就是防火墙加上入就是防火墙加上入侵检测系统。侵检测系统。 其他网络安全技术其他网络安全技术- -入侵防御系统的功能入侵防御系统的功能56v识别对网络和主机的恶意攻击,并实时进行阻识别对网络和主机的恶意攻击,并实时进行阻断;断;v向管理控制台发送日志信息;向管理控制台发送日志信息;v集成病毒过滤、带宽管理和集成病毒过滤、带宽管理和URLURL过滤等功能;过滤等功能;其他网络安全技术其他网络安全技术- -入侵防御系统的
33、工作原理入侵防御系统的工作原理57vIPSIPS采取主动式的防御机制,以透明模式串联采取主动式的防御机制,以透明模式串联于网络中,能够实时阻断攻击;于网络中,能够实时阻断攻击;n部署在网络关键点上;部署在网络关键点上;n过滤阻断的是攻击包而非攻击源。过滤阻断的是攻击包而非攻击源。v采用多种检测技术,准确度高:采用多种检测技术,准确度高:n特征分析;特征分析;n协议异常分析;协议异常分析;n行为异常分析。行为异常分析。v采用硬件加速技术,处理性能高,不影响网采用硬件加速技术,处理性能高,不影响网络的正常运行。络的正常运行。其他网络安全技术其他网络安全技术- -入侵防御系统的典型部署入侵防御系统的
34、典型部署58vIPSIPS的典型部署方式为串联在网络的典型部署方式为串联在网络中中可信网络可信网络不可信的网络不可信的网络& &服务服务InternetIntranetIPS其他网络安全技术其他网络安全技术- -IPSIPS与与IDSIDS的区别的区别59vIPSIPS采用采用In-lineIn-line的透明模式接入网络,的透明模式接入网络,IDSIDS并联在网络并联在网络中,接入交换机的接口需要做镜像;中,接入交换机的接口需要做镜像;vIDSIDS是一种检测技术,而是一种检测技术,而IPSIPS是一种阻断技术,只不过后是一种阻断技术,只不过后者阻断攻击的依据是检测;者阻断攻击的依据是检测;
35、防火墙的局限性防火墙的局限性u 关于防火墙关于防火墙防火墙不能安全过滤应用层的非法攻击,如SQL 注入防火墙对不通过它的连接无能为力,如内网攻击等防火墙采用静态安全策略技术,无法动态防御新的非法攻u动机转变动机转变,安全事件无处不在,安全事件无处不在人,安全意识薄弱漏洞,与日俱增入侵教程,随处可见黑客工具,唾手可得以经济利益为目的的地下黑客产业链 uIDS系统的缺陷系统的缺陷旁路部署:缺乏及时、有效的阻断功能响应时间:NIDS响应可能滞后于攻性能:置于混杂模式的网卡数据报文捕获和转发能力受限u防火墙互动方案防火墙互动方案的不足的不足缺乏统一、认可的标准防火墙响应NIDS阻断会话请求前,攻击可能
36、已经发生旁路监听的旁路监听的IDSIDS系统系统Attack TimeDetect TimeResponse TimeNIDS安全:安全: Detect Time Detect Time + + Response Time Response Time Attack TimeAttack Time从从IDSIDS到到IPSIPS入侵保护入侵保护系统系统IPSIPS入侵检入侵检测系统测系统IDSIDSIDSIDSIPSIPS防火墙不能有效检测并阻断夹防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码杂在正常流量中的攻击代码IDSIDS由于旁路部署,不能第一由于旁路部署,不能第一时间阻断所有攻击,亡
37、羊补时间阻断所有攻击,亡羊补牢,侧重安全状态监控牢,侧重安全状态监控IPSIPS在线部署,主动防御,实在线部署,主动防御,实时阻断攻击时阻断攻击其他网络安全技术其他网络安全技术- -统一威胁管理系统(统一威胁管理系统(UTMUTM)63v什么是统一威胁管理系统(什么是统一威胁管理系统(UTMUTM)v统一威胁管理系统的技术架构统一威胁管理系统的技术架构v统一威胁管理系统的功能统一威胁管理系统的功能v统一威胁管理系统的优点统一威胁管理系统的优点v统一威胁管理系统的缺点统一威胁管理系统的缺点其他网络安全技术其他网络安全技术- -什么是统一威胁管理系统(什么是统一威胁管理系统(UTMUTM)64vU
38、TMUTM(United Threat ManagementUnited Threat Management)意为统一威胁管理,)意为统一威胁管理,是在是在20042004年年9 9月由月由IDCIDC提出的信息安全概念。提出的信息安全概念。IDCIDC将防病将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中,该概念引起了业界的广泛重视,并管理的新类别中,该概念引起了业界的广泛重视,并推动了以整合式安全设备为代表的市场细分的诞生。推动了以整合式安全设备为代表的市场细分的诞生。由由IDCIDC提出的提出的UTMUTM是指由硬件、软件和
39、网络技术组成的是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。标准的统一管理平台。其他网络安全技术其他网络安全技术- -统一威胁管理系统的技术架构统一威胁管理系统的技术架构65v完全性内容保护,简称完全性内容保护,简称CPPCPP,CCPCCP提供了对提供了对OSIOSI网络模型所有层次上网络威胁网络模型所有层次上网络威胁的实时保护,这种方法比防火墙状态检测和深度包检测等技术更加可靠;的实时保护,这种方法比防
40、火墙状态检测和深度包检测等技术更加可靠;vASICASIC加速技术,加速技术,ASICASIC是被广泛应用于性能敏感平台的一种处理器技术,在是被广泛应用于性能敏感平台的一种处理器技术,在UTMUTM安全产品中安全产品中ASICASIC的应用是提升整体性能的关键;的应用是提升整体性能的关键;v采用多核技术,利用多核心平台处理计算任务的并行化以及攻击防御任务采用多核技术,利用多核心平台处理计算任务的并行化以及攻击防御任务时将更加快速;时将更加快速;v专有的操作系统专有的操作系统OSOS,采用专业的操作系统可以使各种任务的处理时间达到,采用专业的操作系统可以使各种任务的处理时间达到最小,从而给用户提
41、供最好的实时反馈,有效地实现防病毒、防火墙、最小,从而给用户提供最好的实时反馈,有效地实现防病毒、防火墙、VPNVPN、反垃圾邮件等安全功能的并行处理;、反垃圾邮件等安全功能的并行处理;v紧凑型模式识别语言,简称紧凑型模式识别语言,简称CPRLCPRL,CPRLCPRL智能技术是为内容防护中大量计算智能技术是为内容防护中大量计算程式所需求的加速而设计的。程式所需求的加速而设计的。v动态威胁防护系统,简称动态威胁防护系统,简称DTPSDTPS,它在传统模式检测技术中结合了未知威胁,它在传统模式检测技术中结合了未知威胁处理的防御体系。处理的防御体系。其他网络安全技术其他网络安全技术- -统一威胁管
42、理系统的功能统一威胁管理系统的功能66UTMUTM集多功能于一身:集多功能于一身:v传统的防火墙功能;传统的防火墙功能;v入侵防御(入侵防御(IPSIPS)功能;)功能;v防病毒功能;防病毒功能;v端到端的端到端的IPSec VPNIPSec VPN功能;功能;v动态路由功能;动态路由功能;v内容过滤功能。内容过滤功能。其他网络安全技术其他网络安全技术- -统一威胁管理系统的优点统一威胁管理系统的优点67v整合所带来的成本降低整合所带来的成本降低v降低信息安全工作强度降低信息安全工作强度v降低技术复杂度降低技术复杂度其他网络安全技术其他网络安全技术- -统一威胁管理系统的缺点统一威胁管理系统的
43、缺点68v网关集中防御对内部安全防护不足网关集中防御对内部安全防护不足v过度集成带来的风险过度集成带来的风险v性能和稳定性性能和稳定性其他网络安全技术其他网络安全技术- -安全隔离与信息交换系统(网闸)安全隔离与信息交换系统(网闸)69v什么是网闸?什么是网闸?v网闸的组成部件网闸的组成部件v网闸的工作原理网闸的工作原理v网闸与防火墙的区别网闸与防火墙的区别v网闸的典型部署网闸的典型部署其他网络安全技术其他网络安全技术- -什么是网闸?什么是网闸?70v网闸是在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用
44、服务。v在信息摆渡的过程中内外网(上下游)从未发生物理连接,所以“网闸产品”必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。v网闸主要用于在两个物理隔离的网络之间进行安全的数据交换。其他网络安全技术其他网络安全技术- -网闸的组成部件网闸的组成部件71v外部处理单元外部处理单元v内部处理单元内部处理单元v隔离硬件隔离硬件 其他网络安全技术其他网络安全技术- -网闸的工作原理网闸的工作原理72v网闸的工作原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机
45、制获取所需数据。 其他网络安全技术其他网络安全技术- -网闸与防火墙的区别网闸与防火墙的区别73v主要有以下几点不同:主要有以下几点不同:n网闸采用双主机系统,内端机与需要保护的内部网络连接,外端网闸采用双主机系统,内端机与需要保护的内部网络连接,外端机与外网连接。这种双系统模式彻底将内网保护起来,即使外网机与外网连接。这种双系统模式彻底将内网保护起来,即使外网被黑客攻击,甚至瘫痪,也无法对内网造成伤害。防火墙是单主被黑客攻击,甚至瘫痪,也无法对内网造成伤害。防火墙是单主机系统;机系统;n网闸采用自身定义的私有通讯协议,避免了通用协议存在的漏洞。网闸采用自身定义的私有通讯协议,避免了通用协议存
46、在的漏洞。防火墙采用通用通讯协议即防火墙采用通用通讯协议即TCP/IPTCP/IP协议;协议;n网闸采用专用硬件控制技术保证内外网之间没有实时连接。而防网闸采用专用硬件控制技术保证内外网之间没有实时连接。而防火墙必须保证实时连接火墙必须保证实时连接;其他网络安全技术其他网络安全技术- -网闸的典型部署网闸的典型部署74可信网络可信网络不可信的网络不可信的网络网闸网闸其他网络安全技术其他网络安全技术- -安全管理平台(安全管理平台(SOCSOC)75vSOCSOC的概念的概念v安全管理平台(安全管理平台(SOCSOC)的定义)的定义vSOCSOC产品的功能产品的功能v安全管理平台国内外发展现状安
47、全管理平台国内外发展现状其他网络安全技术其他网络安全技术- -SOCSOC的概念的概念76v概念概念nSOCSOC(Security Operations CenterSecurity Operations Center)是)是一个外来词。而在国外,一个外来词。而在国外,SOCSOC这个词则来这个词则来自于自于NOCNOC(Network Operation CenterNetwork Operation Center,即网络运行中心)。即网络运行中心)。NOCNOC强调对客户网络强调对客户网络进行集中化、全方位的监控、分析与响应,进行集中化、全方位的监控、分析与响应,实现体系化的网络运行维护
48、。实现体系化的网络运行维护。n 维基百科也只有基本的介绍:维基百科也只有基本的介绍:SOCSOC(Security Operations CenterSecurity Operations Center)是)是组织中的一个集中单元,在整个组织和技组织中的一个集中单元,在整个组织和技术的高度处理各类安全问题。术的高度处理各类安全问题。其他网络安全技术其他网络安全技术- -安全管理平台的定义安全管理平台的定义77v一般地,一般地,SOCSOC被定义为:以资产为核心,以安全事件管被定义为:以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实理为关键流程,采用安全域划分的思想,建立
49、一套实时的资产风险模型,协助管理员进行事件分析、风险时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。分析、预警管理和应急响应处理的集中安全管理系统。v 本质上,本质上,SOCSOC不是一款单纯的产品,而是一个复杂的不是一款单纯的产品,而是一个复杂的系统,他既有产品,又有服务,还有运维(运营),系统,他既有产品,又有服务,还有运维(运营),SOCSOC是技术、流程和人的有机结合。是技术、流程和人的有机结合。其他网络安全技术其他网络安全技术- -SOCSOC产品的功能产品的功能78v收集各种防火墙、收集各种防火墙、IDSIDS、IPSIPS等网络设备的
50、信息;等网络设备的信息;v对安全事件进行收集、过滤、合并和查询;对安全事件进行收集、过滤、合并和查询;v分析可能存在的风险,发出告警信息;分析可能存在的风险,发出告警信息;其他网络安全技术其他网络安全技术- -安全管理平台国内外发展现状安全管理平台国内外发展现状79v国外国外nSOCSOC产品:国外鲜见以产品:国外鲜见以SOCSOC命名的产品,命名的产品, SOCSOC更多更多地是与服务挂钩的。国外产品厂商使用了地是与服务挂钩的。国外产品厂商使用了SIEMSIEM(Security Information and Event Security Information and Event Man
51、agementManagement,安全信息与事件管理)这个词来代,安全信息与事件管理)这个词来代表表SOCSOC产品,以示产品与服务的区别。主要的产品,以示产品与服务的区别。主要的SIEMSIEM厂商有厂商有CiscoCisco、IBMIBM、SymantecSymantec、NovellNovell等等;等等;nSOCSOC服务:服务:SOCSOC服务是指服务是指MSSPMSSP(Managed Security Managed Security Service ProviderService Provider,可管理安全服务提供商)以,可管理安全服务提供商)以SOCSOC为技术支撑为客户
52、提供安全服务。这里,客为技术支撑为客户提供安全服务。这里,客户感受到的只是安全服务,而非户感受到的只是安全服务,而非SOCSOC本身。本身。IBM IBM Internet security systemsInternet security systems、AT&TAT&T、SymantecSymantec、VeriSignVeriSign等等。等等。其他网络安全技术其他网络安全技术- -安全管理平台国内外发展现状安全管理平台国内外发展现状80v国内国内n一般一般把把SOCSOC产品称为安全管理产品称为安全管理平台。狭义平台。狭义上,安上,安全管理平台重点是指对安全设备的集中管理,包全管理平台
53、重点是指对安全设备的集中管理,包括集中的运行状态监控、事件采集分析、安全策括集中的运行状态监控、事件采集分析、安全策略下发。略下发。 n广义广义的安全管理平台则不仅针对安全设备进行管的安全管理平台则不仅针对安全设备进行管理,还要针对所有理,还要针对所有ITIT资源,甚至是业务系统进行资源,甚至是业务系统进行集中的安全管理,包括对集中的安全管理,包括对ITIT资源的运行监控、事资源的运行监控、事件采集分析,还包括风险管理与运维等内容件采集分析,还包括风险管理与运维等内容。其他网络安全技术其他网络安全技术- -网络准入控制(网络准入控制(NACNAC)81v准入控制技术准入控制技术v什么叫网络准入
54、控制(什么叫网络准入控制(NACNAC)?)?v网络准入控制技术网络准入控制技术vEAPOLEAPOL技术技术vEAPOUEAPOU技术技术v网络网络Plug-inPlug-in技术技术v三种技术的比较三种技术的比较其他网络安全技术其他网络安全技术- -准入控制技术准入控制技术82准入控制技术分为两大类:准入控制技术分为两大类:v基于网络的准入控制基于网络的准入控制v基于主机的准入控制基于主机的准入控制其他网络安全技术其他网络安全技术- -什么叫网络准入控制(什么叫网络准入控制(NACNAC)?)?83v网络准入控制网络准入控制(Network Access control)(Network
55、Access control)是一套由思是一套由思科提出的准入控制技术解决方案。基于网络设备进行科提出的准入控制技术解决方案。基于网络设备进行端点安全状态控制,可以防止各种蠕虫病毒入侵网络,端点安全状态控制,可以防止各种蠕虫病毒入侵网络,解决网络环境状态控制维护的复杂性问题,同时提供解决网络环境状态控制维护的复杂性问题,同时提供基于网络全局的控制能力。基于网络全局的控制能力。其他网络安全技术其他网络安全技术- -网络准入控制技术网络准入控制技术84v基于网络的准入控制主要有:基于网络的准入控制主要有:nEAPOLEAPOL(Extensible Authentication Protocol
56、Extensible Authentication Protocol Over LANOver LAN)技术)技术nEAPOUEAPOU(Extensible Authentication Protocol Extensible Authentication Protocol Over UDPOver UDP)技术)技术n网络网络Plug-inPlug-in技术。技术。 其他网络安全技术其他网络安全技术- - EAPOLEAPOL技术技术85vEAPEAP最初是用作为最初是用作为PPPPPP的扩展认证协议,使的扩展认证协议,使PPPPPP的认证更的认证更具安全性。而最初的局域网的接入是没有安全
57、认证的,具安全性。而最初的局域网的接入是没有安全认证的,无线局域网的兴起对接入终端的身份认证提出了新的需无线局域网的兴起对接入终端的身份认证提出了新的需求。于是人们在无线局域网接入领域引入了求。于是人们在无线局域网接入领域引入了EAPEAP认证,认证,同时设计了专门封装和传送同时设计了专门封装和传送EAPEAP认证数据的认证数据的IEEE 802.1xIEEE 802.1x协议格式。协议格式。EAPEAP与与802.1x802.1x的结合就是的结合就是EAPOLEAPOL(EAP Over EAP Over LANLAN),或者称为),或者称为EAP over 802.1xEAP over 8
58、02.1x。其他网络安全技术其他网络安全技术- - EAPOLEAPOL技术技术86vEAPOLEAPOL的部署示意图的部署示意图认证服务器认证服务器Radius Server不支持不支持802.1x接入的交换机接入的交换机支持支持802.1x接入的交换机接入的交换机网络汇聚层网络汇聚层网络接入层网络接入层被准入控制覆盖的区域其他网络安全技术其他网络安全技术- - EAPOUEAPOU技术技术87vEAPOUEAPOU基本上是基本上是CiscoCisco的专有协议或独家技术的专有协议或独家技术, ,是是Cisco NACCisco NAC技术的第一个实现版本,最早是技术的第一个实现版本,最早是
59、在在20032003年在年在CiscoCisco的路由器上实现,后来在的路由器上实现,后来在CiscoCisco的的3 3层交换机上也实现了层交换机上也实现了EAPOUEAPOU。EAPOLEAPOL是是在网络的接入层进行准入控制,而在网络的接入层进行准入控制,而EAPOUEAPOU是在是在网络的汇聚层或核心层进行准入控制。网络的汇聚层或核心层进行准入控制。 其他网络安全技术其他网络安全技术- - EAPOUEAPOU技术技术88vEAPOUEAPOU的部署示意图的部署示意图认证服务器认证服务器Radius Server支持支持NAC的思科的思科三层交换机或路由器三层交换机或路由器网络汇聚层网
60、络汇聚层网络接入层网络接入层被准入控制覆盖的区域其他网络安全技术其他网络安全技术- - 网络网络Plug-inPlug-in技术技术89v网络网络Plug-inPlug-in技术就是在现有的网络的汇聚处插入一技术就是在现有的网络的汇聚处插入一个设备,利用这个插入设备进行安全状态认证或身份个设备,利用这个插入设备进行安全状态认证或身份认证,所以网络认证,所以网络Plug-inPlug-in技术改变了网络拓扑。从控技术改变了网络拓扑。从控制点在网络上的位置看,网络制点在网络上的位置看,网络Plug-inPlug-in与与EAPOUEAPOU类似,类似,都是位于网络的汇聚层。都是位于网络的汇聚层。
61、其他网络安全技术其他网络安全技术- -三种技术的比较三种技术的比较90准入控制技术准入控制技术优点优点缺点缺点EAPOLEAPOL强度最大的准入控制强度最大的准入控制功能一致性差;功能一致性差;设备依赖性大;设备依赖性大;部署配置难度大;部署配置难度大;对网络性能有影响;对网络性能有影响;覆盖面小。覆盖面小。EAPOUEAPOU对接入设备要求不高;对接入设备要求不高;覆盖面较广;覆盖面较广;部署较部署较EAPOLEAPOL容易。容易。准入控制强度不高;准入控制强度不高;仅仅CiscoCisco设备支持;设备支持;协议上有原理性缺陷。协议上有原理性缺陷。网络网络Plug-inPlug-in对接入设备要求不高;对接入设备要求不高;覆盖面较广;覆盖面较广;部署较容易;部署较容易;访问控制功能好。访问控制功能好。需改变网络拓扑;需改变网络拓扑;增加单点故障几率;增加单点故障几率;管理复杂,投资大;管理复杂,投资大;准入控制强度不高。准入控制强度不高。课程内容总结课程内容总结91防火墙基本原理和部署IDS基本原理和部署其他安全设备谢谢,请提问题!谢谢,请提问题!
