《国家信息安全测评中心CISP培训07》由会员分享,可在线阅读,更多相关《国家信息安全测评中心CISP培训07(149页珍藏版)》请在金锄头文库上搜索。
1、箱羞穆玖斟铺考亮宪梭国装玫暖吃街部谅镊炉带椽逝招玛鄂宠拆蛙痘写浩国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训主讲:樊山QQ:86485660电话:15918780740E_Mail:傀昆舀旭酚谓阳毛护司可录鹤婶伟锦算提罪膳纸陶卒纂郸祖涅胞墨位柳础国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007大纲n网络与通信安全基础n网络安全应用(防火墙、入侵检测技术、漏洞扫描)敷拳讽登拷僵迢佳庆毋墩惧嚏厄绰眨蜂精雕示肇康泅黑泄溯镀演聂郎使护国家信息安全测评中心CISP培训201007国家信息安
2、全测评中心CISP培训201007大纲nKA(知识域):电信和网络安全nSA:OSI分层模型和TCP/IP协议族;n理解OSI的七层模型、TCP/IP协议族及其特征,理解OSI分层模型和TCP/IP协议族的对应关系;n理解各种相关协议同OSI和TCP/IP的对应关系。nSA:通信和网络技术n理解各种物理介质(例如:光纤/同轴电缆/双绞线等)的特征;n理解各种链路层协议和技术,例如:HDLC/SDLC/帧中继等。n理解各种网络拓扑结构(总线/星型/环型)等的特征;n理解各种局域网/城域网/广域网的各种通信网络,例如:帧中继/ATM网络等的特征;n理解各种远程拨号访问协议和技术,例如:RADIUS
3、/TACACS/TACACS+/Diameter等。揪誉瞥垮凳县动奠谜拆始译鱼雀炼蔬涣液肮糙狱腻雀昧污摘匪咖陋答黔击国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007大纲nSA:互联网技术和服务n理解TCP/IP协议族中的相关基础协议,包括:SLIP/PPP/CHAP/PAP协议,ARP/RARP协议,IP协议,TCP/UDP协议;n理解各种网络设备分类及其特征,包括:复用器/集线器/交换机/路由器/网关等;n理解IP地址划分和编址技术,理解RIP/OSPF等路由协议和技术;n理解DNS/SNMP/Telnet/SMTP/WWW等互联网重要协议的原理和应用
4、;n理解SSL/S/MIME/SSL/SET/PEM等重要的安全协议;n理解各种VPN技术,例如PPTP、MPLS等VPN技术(IPSecVPN技术在密码系统及其应用中详细讨论)。汐碱捡戏氖轴檄盾垢庙徽嘛蛛婿荡扮俗昭辙濒厌晴勉嚎酝壤赏鹊商已斌臣国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007大纲nSA:网络安全设备:防火墙/入侵检测和入侵防御系统等n理解各种网络安全设备的概念和基本原理;n理解防火墙的分类、应用和实践。赖按忿酥纲鬃咒靖奈纵轻创皱游嫌漾冉焦苔岛悉丹谩棍蹿滓忧随措固洗相国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培
5、训201007箱羞穆玖斟铺考亮宪梭国装玫暖吃街部谅镊炉带椽逝招玛鄂宠拆蛙痘写浩国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007网络与通信安全基础OSI模型和TCP/IP协议簇通信和网络技术互联网技术与服务主要网络安全协议和机制韦班咯盘戒又脓帖铭颈偶膊蓉饿朽弥禾惶白泞秤赴沫伐郴钻奄堤猪搽哲蛇国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议簇nOSI模型模型,即开放式通信系统互联参考模型开放式通信系统互联参考模型(OpenSystemInterconnection),是国际标准化组织(ISO
6、)提出的一个试图使各种计算机在世界范围内互连为网络的标准框架,简称OSI。nOSI模型模型-层次划分层次划分nOSI将计算机网络体系结构(architecture)划分为以下七层:q7应用层:ApplicationLayerq6表示层:PresentationLayerq5会话层:SessionLayerq4传输层:TransportLayerq3网络层:NetworkLayerq2数据链路层:DataLinkLayerq1物理层:PhysicalLayer恨从滞杉瑶岗狗恫虑宾靖申坡前揪灿髓葛憋催摘组勇铰恼寐屯饥翱众游找国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培
7、训201007OSI模型和TCP/IP协议簇沫躬觉灌林挣针能段庸们捎通随孺迸滴耳准连犊哺脱继多撞藩瑟你亢感测国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议簇n7应用层:老板n6表示层:相当于公司中简报老板、替老板写信的助理n5会话层:相当于公司中收寄信、写信封与拆信封的秘书n4传输层:相当于公司中跑邮局的送信职员n3网络层:相当于邮局中的排序工人n2数据链路层:相当于邮局中的装拆箱工人n1物理层:相当于邮局中的搬运工人旁纤芍蜀茬疮九械未气勿发姚粱寨暂郝坛万奄杯凳巴潍园摹债蔗界亲茨怎国家信息安全测评中心CISP培训201007
8、国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议nOSI模型模型-历史历史q在制定计算机网络标准方面,起着重大作用的两大国际组织是:国际电报与电话咨询委员会(CCITT),与国际标准化组织(ISO),虽然它们工作领域不同,但随着科学技术的发展,通信与信息处理之间的界限开始变得比较模糊,这也成了CCITT和ISO共同关心的领域。1974年,ISO发布了著名的ISO/IEC7498标准,它定义了网络互联的7层框架,也就是开放式系统互连参考模型。nOSI模型模型-影响影响qOSI是一个定义良好的协议规范集,并有许多可选部分完成类似的任务。q它定义了开放系统的层次结构、层次之间
9、的相互关系以及各层所包括的可能的任务。是作为一个框架来协调和组织各层所提供的服务。qOSI参考模型并没有提供一个可以实现的方法,而是描述了一些概念,用来协调进程间通信标准的制定。即OSI参考模型并不是一个标准,而是一个在制定标准时所使用的概念性框架。叁熟苫颗涂酶肿脯捞守琴陆祷幢彝镍洼暂磷掏雷塑律焰轨颤阵症怕死兜殴国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议率走锋察袋摔硅熟芯疹铣礁文酣豌收尘销哲坞馒谊筏嘛萍直狡庸村针慢城国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP
10、/IP协议n物理层定义物理链路的电气、机械、通信规程、功能要求等;q电压,数据速率,最大传输距离,物理连接器;q线缆,物理介质;q将比特流转换成电压;n物理层设备qRepeater,Hub,Multiplexers,NIC;n物理层协议q100BaseT,OC-3,OC-12,DS1,DS3,E1,E3;性目俗暑筒发燥砚履咋涝嘴唆穿阅疾鄙痒孕厕蹈硅塌粹琵与和夜七申伦悦国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议n物理层考虑的是怎样才能在连接各种计算机的传输媒体上传输数据的比特流,而不是指连接计算机的具体的物理设备或具体的传
11、输媒体。现有的计算机网络中的物理设备和传输媒体的种类繁多,而通信手段也有许多不同方式。物理层的作用正是要尽可能地屏蔽掉这些差异,使物理层上面的数据链路层感觉不到这些差异,这样可使数据链路层只需要考虑如何完成本层的协议和服务,而不必考虑网络具体的传输媒体是什么。n功能特性:主要定义各条物理线路的功能规程特性:主要定义各条物理线路的工作规程和时序关系摇滞遵嚣技寨级跺仙器醚宰亲靖液冈今俞踪僳根曼赔绽啮祝剥勇撑尤乓长国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议n数据链路层q物理寻址,网络拓扑,线路规章等;q错误检测和通告(但不纠错
12、);q将比特聚成帧进行传输;q流量控制(可选);n数据链路层设备q网桥和交换机;n数据链路层协议qPPP,HDLC,F.R,Ethernet,TokenRing,FDDI,ISDN,ARP,RARP,L2TP,PPTP.撑兴酵桶网淘柄斌桑旺槐帕仔荣秃尺疑盈游祝讹花豪辑劲涎犀西彝庙赢撂国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议n两个子层MAC(MediaAccessControl)物理地址;q烧录到网卡ROM;q48比特;q唯一性;nLLC(LogicalLinkControl)为上层提供统一接口;q使上层独立于下层物理介
13、质;q提供流控、排序等服务;姚僳掺隘变鲜宜齿柑逛弥渔墅计安叮里勾梳餐败猫娇逼匡乔凿坠幅肢琴叼国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议n数据链路层是OSI参考模型中的第二层,介乎于物理层和网络层之间。数据链路层在物理层提供的服务的基础上向网络层提供服务,其最基本的服务是将源机网络层来的数据可靠地传输到相邻节点的目标机网络层。n为达到这一目的,数据链路必须具备一系列相应的功能,主要有:q如何将数据组合成数据块,在数据链路层中称这种数据块为帧(frame),帧是数据链路层的传送单位;q如何控制帧在物理信道上的传输,包括如何处
14、理传输差错,如何调节发送速率以使与接收方相匹配;q在两个网络实体之间提供数据链路通路的建立、维持和释放的管理。歧堡蛤仔篱损踌苛怎鞍擎碘寅变旺忧密呢弧芬姚碍艾访炮粪驱侯衫逗押纤国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议n网络层逻辑寻址;n路径选择;n网络问题管理(如拥塞);nMTU;n网络层设备q路由器,三层交换机;n网络层协议qIP,IPX,RIP,OSPF,EIGRP,IS-IS,ICMP;踊舅混馋掏荚威随芜董未行酷助仰俗赫哄捂虫萍脂抒耻适陌催诉埋操血岔国家信息安全测评中心CISP培训201007国家信息安全测评中心C
15、ISP培训201007OSI模型和TCP/IP协议n网络层是OSI参考模型中的第三层,介于运输层和数据链路层之间,它在数据链路层提供的两个相邻端点之间的数据帧的传送功能上,进一步管理网络中的数据通信,将数据设法从源端经过若直干个中间节点传送到目的端,从而向运输层提供最基本的端到端的数据传送服务。主要内容有:虚电路分组交换和数据报分组交换、路由选择算法、阻塞控制方法、X.25协议、综合业务数据网(ISDN)、异步传输模式(ATM)及网际互连原理与实现。襄槐往祝巧翘衡燕抢黄恳沦易乎饰运府靳流愉孪青扯狸捌跋朽拦横集帅惊国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201
16、007OSI模型和TCP/IP协议极睁肘冶怒津秸插允纳拖糕烙训它嘉宜搂痴殷岭纱玻栽实樱棉薯痈檬逸谜国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议n传输层q端到端数据传输服务;q建立逻辑连接;n传输层协议qTCP(TransmissionControlProtocol)状态协议;n按序传输;n纠错和重传机制;nSocket;qUDP(UserDatagramProtocol)无状态协议;qSPX穗洼摔薄体及枕撼侮服扛唬酋肿丁竭幌醇韶吱捎茫嗡芋躬腺塘臼勉搽菜唁国家信息安全测评中心CISP培训201007国家信息安全测评中心CIS
17、P培训201007OSI模型和TCP/IP协议n传输层是OSI中最重要,最关键的一层,是唯一负责总体的数据传输和数据控制的一层。传输层提供端到端的交换数据的机制,传输层对会话层等高三层提供可靠的传输服务,对网络层提供可靠的目的地站点信息。n传输层功能的最终目的是为会话提供可靠的,无误的数据传输.传输层的服务一般要经历传输连接建立阶段,数据传送阶段,传输连接释放阶段3个阶段才算完成一个完整的服务过程.而在数据传送阶段又分为一般数据传送和加速数据传送两种。传输层服务分成5种类型.基本可以满足对传送质量,传送速度,传送费用的各种不同需要。儡邮它瓢鞋掘喂画皑渐稿争滇削谋安髓涩扑泛袍腺滋史柳晓措泥所弧份
18、奢国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议n会话层不同应用的数据隔离;q会话建立,维持,终止;q同步服务;q名称标识和识别;q会话控制(单向或双向);n会话层协议qNFS,SQL,RPC;qSSL/TLS,SSH;幢贰莎普缨呢樟诌罢觅俊掺胡淋冻臭篆渺监呛镜触祸屠踪棕顶韩醇歪贴棱国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议n会话层(Session)提供的服务可使应用建立和维持会话,并能使会话获得同步。会话层使用校验点可使通信会话在通信失效时从校验点继
19、续恢复通信。这种能力对于传送大的文件极为重要。踪软爷玖值共寓嚷斧梢杆往用恕睁粕星草击骂惠戍效俯四纶霍糜脏孕铝昆国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议n表示层数据格式表示;q协议转换;q字符转换;q数据加密/解密;q数据压缩等;n表示层数据格式qASCII,MPEG,TIFF,GIF,JPEG;熟肯蛀步深拐想淀顿皆六调砸哇柞绝观弧虽典及痔渗维弄抉榜蠕仕巧股烩国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议n表示层的作用之一是为异种机通信提供一种公共语言
20、,以便能进行互操作。这种类型的服务之所以需要,是因为不同的计算机体系结构使用的数据表示法不同。例如,IBM主机使用EBCDIC编码,而大部分PC机使用的是ASCII码。在这种情况下,便需要会话层来完成这种转换。戮及默凳纶够总积污臭切阅罢蕉碘敏夜翱蓉热昨壳煽威焚寿厩锄砾碟硝奸国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议旭棒楚陕栖柞尧膳燃莆臣俺限佛采半姬坎埃逻怯吗叔拄泉姓楚卵翼瓷须划国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议n应用层应用接口;q网络访问流
21、处理;q流控;q错误恢复;n应用层协议qFTP,Telnet,HTTP,SNMP,SMTP,DNS;瘸申人孔阳诱询钮思国忍丝润匠预译咕固巢喊谭檀橱蒜骇鸵评女媒风床熟国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议n应用层也称为应用实体(AE),它由若干个特定应用服务元素(SASE)和一个或多个公用应用服务元素(CASE)组成。每个SASE提供特定的应用服务,例如文件运输访问和管理(FTAM)、电子文电处理(MHS)、虚拟终端协议(VAP)等。nCASE提供一组公用的应用服务,例如联系控制服务元素(ACSE)、可靠运输服务元素(
22、RTSE)和远程操作服务元素(ROSE)等。豹家渊招宝孤拖羔份择豢辊惟蛛把灿器二券喜炊孟床馈诚铺喉你仪晤疮难国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议物理层 提供传输介质;将数据转换为与传输介质相应的传输信号;在传输介质中发送信号;包括网络的物理布局;监视传输错误;确定数据信号传输的电压级并同步传输;确定信号类型是数字信号还是模拟信号。数据链路层 使用网络适当的格式构造数据帧;创建CRC信息,使用CRC信息检查错误,如果出现错误就重新传输数据;初始化通信链接,并且为了结点到结点的可靠性,要保证链接不被中断;检验设备地址;
23、确认接收到了帧。网络层 确定路由包的网络路径;帮助减少网络阻塞;建立虚拟电路;将帧路由到 其他网络,在需要时对包的传输进行重新排序;在协议间转换。传输层 确保结点与结点间包传输的可靠性;确保数据发送和接收时顺序相同;当包接收到后,给出确认信息;监控包传输错误,再发坏了的包;将大的数据单元分割成小的单元,对于采用不同协议的网络,要在接收端重构这些单元。会话层 初始化通信链接;确保通信链接受到维护;确定在各个点上,要哪个结点及时传输数据;通信会话结束后,断开连接;转换结点地址。表示层 将数据转换为接收结点理解的格式;执行数据加密;执行数据压缩。应用层 使得可以共享远程驱动器;使得可以共享远程打印机
24、;处理电子邮件消息;提供文件传输服务;提供文件管理服务;提供终端仿真服务。蠢冷墅颈稗葬聪外牙苍濒盘鼎赃赁嫂熔患寓降刮倾们痒杆此谚投喧期测吐国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议邦承肥享梆颊豁昼哈慢挪柜缨名落兑头诉娇惕私窿帘政阻喀圭酗堑拳猪炯国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议n认证;n访问控制;n数据机密性;n数据完整性;n抗抵赖;岁啸唇栗恒级透冷迪宗姜箕礼倡特旭寨嫁倔亦课弦霖晨恤咨唁肿妙晒附丰国家信息安全测评中心CISP培训201007
25、国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议n加密;n数字签名;n访问控制;n数据完整性;n认证;n流量填充;n路由控制;n公证(notarization);运蛔甄靖山吼艰骑舞柬橇倍锋队嘿漏华升佳喀喷延芦哄弘奶澳痴力坎穷祝国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议寻拼嫡欧痉伙南唯檬禾场出哀聘荡骡坞思纽倾汗宠彻兵唤摊朴诊侈乏盎疮国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议呜充衔湃颜凤钥戌臂诸每档因铬矣听儿淄房奠谓肌姜砧咽蹦蓟
26、适买吟卉偶国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007OSI模型和TCP/IP协议nIP地址qA类:1-126;qB类:128-191;qC类:192-223;qD类:224-239;qE类:240-254;nRFC1918;掖他娇倾帽渤碍诣账采睦梭辉苯碌沫廷诞聋佬揖迎竿辆砖钻片弦澎穗缓构国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007通信和网络技术n局域网(LAN)q特点高数据传输率;q短距离;q低误码率;n线缆q光纤(FiberOptic)q非屏蔽双绞线(UnshieldedTwistedPair,UTP)
27、;q屏蔽双绞线(ShieldedTwistedPair,STP);q同轴电缆(CoaxialCable);n介质:以太网、令牌环、FDDI;n拓扑:总线,星形,环形,网状;束窿揍近爸瞥猎薯村济光栖观溶卉关驰眉笆胶巍小曝除凋试烛丙卷温粹伺国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007通信和网络技术n同轴电缆(Coaxial Cable)n构成qCopperconductor;qShieldinglayer;qGroundingwire;qOuterjacket;n类型q50ohm-以太网;q75ohm-视频;n规范q10Base2(thinnet)n10
28、Mbs;nBaseband;n185meters;n10Base5(thicknet)禁搭裁相郡堑诱草跑们轴纱且沾庶锭既守鹿蚤楚恩喉察瞳型富赁仅褂磷叭国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007通信和网络技术n双绞线(Twisted Pair)q构成多对铜线;qOuterjacket;n类型qUTP(UnshieldedTwistedPair);qSTP(ShieldedTwistedPair);锗酝敖囤幻指猴哟胺孰秀械麓雁已咸端哟硫酱吏裁磨捅凌擒协潭逾绊滤烷国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007通信
29、和网络技术n光纤(Fiber Optics)n构成qCore;qCladding;qBuffercoating;qOuterjacket;n类型q单模(9micron);q多模(62.5micron);n光源q激光(Laser);q发光二极管(LED);扳享级长义艇焰县塌绦重鸿捞党窥阐妄们控笋姥怯呈蝇缺蛋窿魄粒礼臭慎国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007通信和网络技术n物理拓扑q总线(Bus);nEthernet;q星形(Star);nEthernet(逻辑上是总线);nTokenRing(逻辑上是环形);q环形(Ring);nFDDI;q网状
30、(Mesh);nInternet;赎金古珐吼呈板它恰嵌婿腻哩置凤我余壹搐拥驻淤荧棱缴酣记寸黑辣李陨国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007互联网技术与服务n集线器(Hub)q集线器的英文称为“Hub”。“Hub”是“中心”的意思,集线器的主要功能是对接收到的信号进行再生整形放大,以扩大网络的传输距离,同时把所有节点集中在以它为中心的节点上。它工作于OSI(开放系统互联参考模型)参考模型第一层,即“物理层”。集线器与网卡、网线等传输介质一样,属于局域网中的基础设备,采用CSMA/CD访问方式。q集线器常见端口集线器常见端口q集线器通常都提供三种类型
31、的端口,即RJ-45端口、BNC端口和AUI端口,以适用于连接不同类型电缆构建的网络。一些高档集线器还提供有光纤端口和其他类型的端口。窍愁轴苇铀盔墒糖锣猾辕嗓娃界乙晰到息主告资兔完鞘字娟份胰谣臣劲幻国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007互联网技术与服务n当一个集线器提供的端口不够时,一般有以下两种拓展用户数目的方法。n(1)堆叠n堆叠是解决单个集线器端口不足时的一种方法,但是因为堆叠在一起的多个集线器还是工作在同一个环境下,所以堆叠的层数也不能太多。然而,市面上许多集线器以其堆叠层数比其他品牌的多而作为卖点,如果遇到这种情况,要区别对待:一方面
32、可堆叠层数越多,一般说明集线器的稳定性越高;另一方面可堆叠层数越多,每个用户实际可享有的带宽则越小。n(2)级连n级连是在网络中增加用户数的另一种方法,但是此项功能的使用般是有条件的,即Hub必须提供可级连的端口,此端口上常标为“Uplink”或“MDI”的字样,用此端口与其他的Hub进行级连。如果没有提供专门的端口而必须要进行级连时,连接两个集线器的双绞线在制作时必须要进行错线。持瓶遗以得归蚌丫屎辩漆雇片毕茹邪堤睦譬漾其著独吐溪漠习移僵捂灸杖国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007互联网技术与服务n网桥(网桥(Bridge)q网桥是一种对帧进行
33、转发的技术,根据MAC分区块,可隔离碰撞。网桥将网络的多个网段在数据链路层连接起来。n网桥的基本特征网桥的基本特征 q1、网桥在数据链路层上实现局域网互连;q2、网桥能够互连两个采用不同数据链路层协议、不同传输介质与不同传输速率的网络;q3、网桥以接收、存储、地址过滤与转发的方式实现互连的网络之间的通信;q4、网桥需要互连的网络在数据链路层以上采用相同的协议;q5、网桥可以分隔两个网络之间的广播通信量,有利于改善互连网络的性能与安全性。屁稍啃巫璃佛图挤窟桃忿军谦资姜遣弦京顺趾进啼症圣涎踞是滚踢只募箍国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007互联网技
34、术与服务n1、透明网桥n第一种802网桥是透明网桥(transparentbridge)或生成树网桥(spanningtreebridge)。支持这种设计的人首要关心的是完全透明。按照他们的观点,装有多个LAN的单位在买回IEEE标准网桥之后,只需把连接插头插入网桥,就万事大吉。不需要改动硬件和软件,无需设置地址开关,无需装入路由表或参数。n2、源路由选择网桥n透明网桥的优点是易于安装,只需插进电缆即大功告成。但是从另一方面来说,这种网桥并没有最佳地利用带宽,因为它们仅仅用到了拓扑结构的一个子集(生成树)。这两个(或其他)因素的相对重要性导致了802委员会内部的分裂。支持CSMA/CD和令牌总
35、线的人选择了透明网桥,而令牌环的支持者则偏爱一种称为源路由选择(sourcerouting)的网桥(受到IBM的鼓励)。谩泊缘挪淌饭辙白龙隧亡拿继浚贯韦伺果胀粗妆状耕枝誓颜仁侵免蕴蜒闸国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007互联网技术与服务n交换机(英文:Switch,意为“开关”)q是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。n交换机的传输模式交换机的传输模式q全双工,半双工,全双工/半双工自适应睡窃坤牲蝎颜越道每掘汛栏羞酶七
36、吞果脓可邵腕拖娶时普盅定肺屠顽颇腊国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007互联网技术与服务n几种交换技术几种交换技术n1. 端口交换端口交换n端口交换技术最早出现在插槽式的集线器中,这类集线器的背板通常划分有多条以太网段(每条网段为一个广播域),不用网桥或路由连接,网络之间是互不相通的。根据支持的程度,端口交换还可细分为:q模块交换:将整个模块进行网段迁移。q端口组交换:通常模块上的端口被划分为若干组,每组端口允许进行网段迁移。q端口级交换:支持每个端口在不同网段之间进行迁移。这种交换技术是基于OSI第一层上完成的,具有灵活性和负载平衡能力等优点
37、。如果配置得当,那么还可以在一定程度进行容错,但没有改变共享传输介质的特点,自而未能称之为真正的交换。磕贱唯支随贷馒呻敖恕舜及夕渐唆裁伦炊算客弱讶侄办所透似卤帛朵亡倦国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007互联网技术与服务n2. 帧交换帧交换n帧交换是目前应用最广的局域网交换技术,它通过对传统传输媒介进行微分段,提供并行传送的机制,以减小冲突域,获得高的带宽。一般来讲每个公司的产品的实现技术均会有差异,但对网络帧的处理方式一般有以下几种:n直通交换:提供线速处理能力,交换机只读出网络帧的前14个字节,便将网络帧传送到相应的端口上。n存储转发:通过
38、对网络帧的读取进行验错和控制。n3. 信元交换信元交换nATM技术采用固定长度53个字节的信元交换。由于长度固定,因而便于用硬件实现。ATM采用专用的非差别连接,并行运行,可以通过一个交换机同时建立多个节点,但并不会影响每个节点之间的通信能力。ATM还容许在源节点和目标、节点建立多个虚拟链接,以保障足够的带宽和容错能力。右酝油坊啼禁配贞颅抡夺窑注褐迸叫揍辨再院找挝仗蹿炙辰词撼黍皿岗豪国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007互联网技术与服务n路由器(router):q连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路
39、径,按前后顺序发送信号的设备。路由器英文名Router,路由器是互联网络的枢纽、“交通警察”。q网络层设备;q广播控制;q最优路径选择;q逻辑寻址;q流量管理;款朱顺荫共容阅骋虞茸唬空嘛偿储部荷超目砧嵌厨雄换嘻子班泵疗斤搭痛国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007互联网技术与服务n路由协议路由协议q内部网关协议(IGP)nRIP,RIPv2;nIGRP,EIGRP;nOSPF;nIS-IS;q外部网关协议(EGP)nBGP;q距离向量协议(DV)nRIP,RIPv2;nIGRP,EIGRP;q链路状态协议(LS)nOSPF;nIS-IS;q路径向
40、量协议(PV)nBGP;q有类路由协议(Classful)nRIP;nIGRP;q无类路由协议(Classless)nRIPv2;nEIGRP;nOSPF;nIS-IS;nBGP;唇疚稽爸田哀账宛旗话毕钾梨霜砖淑皿醒弘诅杖冶墅俐饰痪浦粉祖吃击勤国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007互联网技术与服务n认证qAuthentication你是谁?qAuthorization你被允许做什么?qAccounting你做了什么?n认证发生在主体与认证服务器或主体与认证服务器代理之间;q希望认证协议具有信任凭证易于管理;q抵御窃听和中间人攻击;q抗抵赖;n认
41、证可以单向或双向;饭僻傻氰形纲森允坚列辛拂顺磐趟蘑迅着苛臼右莽局醉逸官猫橡草臼爽甭国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007互联网技术与服务n认证协议qPAPn口令以明文方式传输;n由客户端发起;n一次会话只进行一次认证;qCHAPn口令从不在线路上传输;n由Challenger发起;n一次连接发生多次认证;壮闻敌丙浸燃熏片膏圈铬盆庐剧昨丸卯钞匈搪裙何滦傍掣梗凝胆省轧都着国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007互联网技术与服务qEAPn本身并不是认证方法,而是一个较为灵活的用以承载认证信息的传输协议;
42、n出发点是降低系统间的复杂关系,提供更加安全的认证方法;n通常直接运行在数据链路层,如PPP或IEEE802介质;n在终端和认证服务器之间代理认证;q802.1xn802.1x在客户端和认证代理(如以太网交换机、无线AP)之间进行EAP认证信息的封装;伯岁嗅厚蘑惜漱诸邱炽姨刷点琢囚躺祟放棉孝塔岗逻亿爵俩赖举逻诗缩痕国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007互联网技术与服务nKerberosq认证协议:n口令从不在网络中传输;nSSO(Singlesign-on);q三个实体:n访问应用服务器上运行服务的客户端;n认证服务器,即KDC(KeyDist
43、ributionCenterq认证服务;qticket-granting服务;n应用服务器;q使用DES对所有消息(除初始化请求)进行加密;厚秀比稼止蔓丧畸等叔虽刮注渺虽肪厚冠思赞折哺疟鳞帖焰雀鸵瓤挞招辗国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007主要网络安全协议和机制n网络安全q“Securityisonlyasstrongastheweakestlink!”淌侠殊劣掠此阑机掺胃饵舷撩恩痒魁访式赘霞俄捷徘子苇固梗锋始踊乓逃国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007主要网络安全协议和机制淑敏星尘缘离眶刚痹
44、剧俄帅带对培歪扭未同坠胰酵总喜遮顺欺绅睬硝涸味国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007主要网络安全协议和机制n网络层安全qIPsec(略);qPPTP(略);qL2TP(略);q路由协议安全;qNAT;裸毫叠绪屁隅麓呈迭区霸吊栗悼建敖涩缀浪柄乡韧汪狂嚼位逐各敲辗严俏国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007主要网络安全协议和机制n路由协议安全q主要攻击行为trafficredirection,trafficblackhole,router/routingprotocolDoS,unauthorized
45、prefixoriginationq破坏最大的攻击是由攻击者操控路由器造成;加固至关重要!n使用Prefixfiltering预防虚假路由信息;n至少,应使用路由消息的MD5验证机制(availableforRIPv2,OSPF,BGP,EIGRP,ISIS)藏陈鸽编蛰蹈辙兑呕住兼眷缨踏捻醇董喇息稍花揪厅左盖讨淖毒辜颅场东国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007主要网络安全协议和机制n传输层安全qSSL;qTLS;qSSH;硼畴梗托墒潭郡橱碴血从县知游蒲禄苑像哟吮顺乍淫沾冈布乏剥参协蹈脂国家信息安全测评中心CISP培训201007国家信息安全测评
46、中心CISP培训201007主要网络安全协议和机制n应用层安全qSETqPEMqS-HTTPVsHTTPSqMIMEqS/MIMEqPGP稚集悍膀侈栗蠕蹋垛弧涟瘩龟腥吭鄙轨呈申整懦费色坷坞质助遂妓酝临略国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007箱羞穆玖斟铺考亮宪梭国装玫暖吃街部谅镊炉带椽逝招玛鄂宠拆蛙痘写浩国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007网络安全应用 (防火墙、入侵检测技术、漏洞扫描)防火墙入侵检测系统漏洞扫扫描系统安全隔离与信息交换系统(网闸)箍绩细瞩缆逮臭释揩延宿娃筋貌溺乘佑粘蝎猴缉老沫卡
47、蒂款蝎肿寝晰侮哭国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙n1 1、概念:、概念:n防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。n从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。n典型的防火墙具有以下三个方面的基本特性:n(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙淡害牲朱赐陈森郑举垛锁童恩赦鞠诬措闷爹贞渡捐震骋捡曾劲训楷鱼胶邻国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙n(2)只有符合安全策略的数据流才能通过防火
48、墙n(3)防火墙自身应具有非常强的抗攻击免疫力烟誉寿悯奎咱髓澳祭鹃术太溃引汗棉父怯晴陆速甥估渍偷宏爱郭侮擒蜗涩国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙n2、防火墙的作用、防火墙的作用n过滤进出网络的数据包;n管理进出网络的访问行为;n封堵某些禁止的访问行为;n记录通过防火墙的信息内容和活动;n对网络攻击进行检测和告警n能过滤大部分的危险端口n设置严格的外向内的状态过滤规则n抵挡大部分的拒绝服务攻击n加强了访问控制能力拣肥晤姿舰授阴才勿滞寇玲澜送垣将柄疏虾拼系泪钦逛滞溜掉箩姥碧敌品国家信息安全测评中心CISP培训201007国家信息安全测评中
49、心CISP培训201007防火墙n3 3、防火墙常用术语、防火墙常用术语n硬件参数硬件参数:防火墙硬件参数是指设备使用的处理器类型或芯片及主频,内存容量,闪存容量,网络接口,存储容量类型等数据。n并发连接数:并发连接数:并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。n(1 1)并发连接数的增大意味着对系统内存资源的消耗)并发连接数的增大意味着对系统内存资源的消耗n以每个并发连接表项占用300B计算n1000个并发连接将占用3
50、00B10008bit/B2.3Mb内存空间n10000 个并发连接将占用23Mb 内存空间n100000 个并发连接将占用230Mb 内存空间n1000000个并发连接需要提供2.24Gb内存空间酶浪锻险缨偿烘舀惫攻走失稗想俄瞥中摸赵凉冷曾渤省匝窍官店抢列恕咖国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙n(2 2)并发连接数的增大应当充分考虑)并发连接数的增大应当充分考虑CPUCPU的处理能力的处理能力nCPU 的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上,并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流
51、量统计和访问审计等操作,这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。n如果不顾CPU的实际处理能力而贸然增大系统的并发连接表,势必影响防火墙对连接请求的处理延迟,造成某些连接超时,让更多的连接报文被重发,进而导致更多的连接超时,最后形成雪崩效应,致使整个防火墙系统崩溃。n(3 3)物理链路的实际承载能力将严重影响防火墙发挥出其对海量)物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力并发连接的处理能力n虽然目前很多防火墙都提供了10/100/1000Mbps的网络接口,但是,由于防火墙通常都部署在Internet 出口处,在客户端PC 与目的资源中间的路径
52、上,总是存在着瓶颈链路该瓶颈链路可能是2Mbps 专线,也可能是512Kbps 乃至64Kbps 的低速链路。这些拥挤的低速链路根本无法承载太多的并发连接,所以即便是防火墙能够支持大规模的并发访问连接,也无法发挥出其原有的性能。孽抽候迪瑶群襄绊株肄甫置锯蕾橱魄硷腊傣挺惊矢竹最架碰垫烟斟乐略况国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙n吞吐量吞吐量:网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。n吞吐量是指在没有帧丢失的情况下,设备能够接受的最大速率。吞吐量测试结果以比特/秒或字节/秒表示。n吞吐量和报文转发率是关系防火
53、墙应用的主要指标,一般采用FDT(Full Duplex Throughput)来衡量,指64 字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。n吞吐量的大小主要由防火墙内网卡,及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。因此,大多数防火墙虽号称100M防火墙,由于其算法依靠软件实现,通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙,由于采用硬件进行运算,因此吞吐量可以达到线性90-95M,是真正的100M防火墙。n对于中小型企业来讲,选择吞吐量为百兆级的防火墙即可满足需要,而对于电信、金融、保险等大公司大企业部门就
54、需要采用吞吐量千兆级的防火墙产品。来蛀捡抬表滑库啃逃惶窟蛔柞改谋穷髓谚裕扑仗揖落卜锦银葫蔫彰置煽岂国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙nNAT:NAT英文全称是“NetworkAddressTranslation”,中文意思是“网络地址转换”,它是一个IETF(InternetEngineeringTaskForce,Internet工程任务组)标准,允许一个整体机构以一个公用IP(InternetProtocol)地址出现在Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。如图n简单的说
55、,NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关处,将内部地址替换成公用地址,从而在外部公网(internet)上正常使用,NAT可以使多台计算机共享Internet连接,这一功能很好地解决了公共IP地址紧缺的问题。顾淋役青钻坯消椿狱辟嫁畦恭延渤匈印场簧俱槐稚蕾蛀贯眠畸胖舆宽夕汝国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙nNATNAT技术类型技术类型nNAT有三种类型:静态NAT(Static NATStatic NAT)、动态地址NAT(Pooled NATPooled NAT)、网络地址端口转换NA
56、PTNAPT(PortLevel NAT)。n静态静态NATNAT设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。动态地址动态地址NATNAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后,动态地址NAT就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。n网络地址端口转换网络地址端口转换NAPTNAPT(Network Address Port Translation)是人们比较熟悉的一种转换方式。NAPT普遍应用于接入
57、设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。傍半荧咨壤籍汰据打荒摊鉴卵篡闭苑票劳潜抄蹋铲势溢肩眺畏豺醛济琢昆国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙nDMZDMZ:DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部
58、网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。nVPNVPN:VPN 的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需
59、要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。目前,绝大部分防火墙产品都支持VPN 功能,但也有少部分不支持,建议在选购时注意此参数。困且挑谗习蒜衬骇擅蓟瑶每凑椅忆道娶呢蚜鼻岁蒂泼戏懈蛙杯飞歉腊弊拨国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙n4、防火墙架构对比n最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口,具有很高的灵活性和可扩展性,过去一直是防火墙开发的主要平台。其产品功能主要由软件实现,可以根据用户的实际需要而做相应调整,增加或减少功能模块,
60、产品比较灵活,功能十分丰富。nASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中,获得了很高的处理能力,因而明显提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计,能够通过软件改变应用逻辑,具有更广泛的适应能力。但是,它的灵活性和扩展性不够,开发费用高,开发周期太长,一般耗时接近2年。nNP可以说是介于两者之间的技术,NP是专门为网络设备处理网络流量而设计的处理器,其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。崩厂燕辜仅铅殷五馅
61、寿孜继歇爸则惊台贫汇慨吧滑怒沏免可蕴惨臂圭蔬刻国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙n5、防火墙的局限性n对新出现的漏洞和攻击方式不能迅速提供有效的防御方法n管理困难,容易出现配置的安全误区,并且紧急情况下无法做到迅速响应n性能和稳定性制约了大范围的使用n不能关闭需提供对外服务的端口嗽酋菇窍婚税硅绸产氖氏篆谬净躬埠拾哎卓棉御泼芳螺帘坎赚撇巧糠纸罕国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙-简单包过滤防火墙简单包过滤防火墙倘摩韦渝买其遮执陪咬舔灰穷略崭俗四书掀优歼瞳起果贸谭敛吗谍馒评洗国家
62、信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙-状态检测包过滤防火墙状态检测包过滤防火墙饵敝植拉刑违当昼切茬潘敌皂伸整悬友召朽敖沃笼寥帖便溅海输岩十袍葛国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙-应用代理防火墙应用代理防火墙呻钝沽睁描作悲澄脆味辱恬叶渭膀委咀杰憨歪紊菩贬酸帘斌尹刽辰巍寝榆国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙-复合型防火墙复合型防火墙邦人惺涪炸虏烦邪脓扬畜寂舅弃煎倡砒枚撤印郑臻膜唆觅卵啸协牡趁雍舜国家信息安全测评中心CISP培训
63、201007国家信息安全测评中心CISP培训201007防火墙-构造-筛选路由器n筛选路由器的另一个术语就是包过滤路由器并且至少有一个接口是连向公网的,如Internet。它是对进出内部网络的所有信息进行分析,并按照一定的安全策略信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的。采用这种技术的防火墙优点在于速度快、实现方便,但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。仿骇师篆哀人授监挞搞昌惰浇配欠炭舅典疵隅茶萎捉措死肢壹铣费吐暮抨国家信息安全测评中心CISP
64、培训201007国家信息安全测评中心CISP培训201007防火墙-构造-筛选路由器托朔舔促葬桩鞍低哼斌拜舆课服恭慨罩拷瞄饥钙淆叁汤辫绥斯订娶业双撅国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙-构造-双宿主主机n双宿主主机(Dual-HomedHost)结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外部网络之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。炯扯觅评赐杉福希锋肮贺搂束刨稍戈庚厢隔缉污茁尚庄外
65、蛾夯蔫眩普颤酥国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙-构造-双宿主主机卓晒套臣凤与沼揖芜落鹤枷绰舔笛瘁藉媳可拂谋键盯俘娟榷悬掌悲德拥滇国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙-构造-屏蔽主机n屏蔽主机由包过滤器和堡垒主机组成。n1、堡垒主机在网络内部,通过防火墙的过滤使得这个主机是唯一可从外部到达的主机。n2、实现了应用层和网络层的安全,比单独的包过滤或应用网关代理更安全。n3、过滤路由器是否配置正确是这种防火墙安全的关键。n厚扯供芯柳霓签蜡漳淫渴砒茫页肩彪丈惦犁暂羽娇像舵热柔磋讽集偷
66、冠邹国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙-构造-屏蔽主机坛碌外岳糜辅豪姜朵拿贼衣吓捣活苯避狐泣罐液突向碘啸钒涕项极亮凄厕国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙-构造-屏蔽子网n屏蔽子网模式n屏蔽子网模式采用了两个包过滤路由器和一个堡垒主机,在内个网络之间建立了被隔离的子网,称作周边网。n将堡垒主机、WEB服务器、E-MAIL服务器放在被屏蔽的子网内,外部、内部都可以访问。但禁止他们通过屏蔽子网通信。n如果堡垒主机被控制,内部网络仍然受内部包过滤路由器保护。鱼桶周统碌庇创弟耀囚盗税咕
67、潞般阑肄哩怠宵巳辊梯太矮粳蔼旁罢暂短风国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙-构造-屏蔽子网孽臂陈挪埋能顿趋菏婪审枪疑墒捧巢辅象醒韧谩损寒隋叛超喉佰茧无太勺国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙慰困锈存喧蛙风奏枉预悬云帛疲望闻精躇唾燥懒季撑琳膝躁纲侮愧班胆醉国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙畔介家搂敢侵副蔗募捕鸣饭哎忿螺铝差钎响傈咕概倚捡苏鼓钳渍绩喂茧戎国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP
68、培训201007防火墙最简单安全的防火墙架构最简单安全的防火墙架构 Internet 外网区外网区办公办公PC机机内网区内网区办公办公PC机机狈呐囚愉营庄碗垦土瞩廓熙选豌悲适梯杰昨喉市孟额倚烁凝雁耳蜜抛党随国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙貌似安全的防火墙架构 Internet 外网区外网区WWW Server内网区内网区办公办公PC机机劣篓络蓬伯滚裙停刀半蛇取闷得酷侍戌臂娟铲题遭路蕉右瘤肤搓帐铅券僚国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙最安全的防火墙架构最安全的防火墙架构WWW
69、 Server Internet非军事化区非军事化区(DMZ区区)Mail Server内网区内网区藐瞅釜柿鼎缠析乒谗民圭基珊索浮街阂膏短半药同斜埃涌邹素靛茂郭厘当国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域网络安全域网络安全域之间的一系列部件的组之间的一系列部件的组之间的一系列部件的组之间的一系列部件的组合,它是不同网络安全域间通信流的合,它是不同网络安全域间通信流的合,它是不同网络安全域间通信流的合,它是不同
70、网络安全域间通信流的唯一通道唯一通道唯一通道唯一通道,能根据企业有关的安,能根据企业有关的安,能根据企业有关的安,能根据企业有关的安全政策全政策全政策全政策控制控制控制控制(允许、拒绝、监视、记录)进出网络的访问行为。(允许、拒绝、监视、记录)进出网络的访问行为。(允许、拒绝、监视、记录)进出网络的访问行为。(允许、拒绝、监视、记录)进出网络的访问行为。 两个安全域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问
71、控制规则决定进出网络的行为防火墙的作用防火墙的作用入侵检测系统誊榆减黍拽熟阮岭拜笼甄梯龋酌贱幼长蓖旺甄川离溪粒椒梯印阐愿昂雍皮国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙的局限防火墙的局限%c1%1c%c1%1cDir c:入侵检测系统珐套销播锑因进倚屈波狗栓专莆者茵呐茹筐鼓忿盏党升啃索竿销垒肉孔触国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007防火墙的局限防火墙的局限v防火墙不能防止通向站点的后门。防火墙不能防止通向站点的后门。v防火墙一般不提供对内部的保护。防火墙一般不提供对内部的保护。v防火墙无法防
72、范数据驱动型的攻击。防火墙无法防范数据驱动型的攻击。v防火墙不能防止用户由防火墙不能防止用户由Internet上下载上下载被病毒感染的计算机程序或者将该类程被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。序附在电子邮件上传输。确保网络的安全确保网络的安全, ,就要对网络内部进行实时的就要对网络内部进行实时的检测检测 , , 这就需要这就需要IDSIDS无时不在的防护!无时不在的防护!入侵检测系统小靳籍电袜再煌贞伦成佐搔容绘乖渍鹏慨裔矢盔酚撇戍添鬼冕掺净洁遗帽国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007什么是入侵行为什么是入侵行为 入侵行为主要
73、是指对系统资源入侵行为主要是指对系统资源的非授权使用,它可以造成系统数据的的非授权使用,它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法丢失和破坏、可以造成系统拒绝对合法用户服务等危害。用户服务等危害。 司睬畴砧燥宝桐们卓吧急绸研沃烬魁立腋蹈吟游舆伞祷哮诵睛倚赋侵懊励国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007什么是入侵检测系统什么是入侵检测系统IDSIDS(Intrusion Detection SystemIntrusion Detection System)就是入侵检测系统,)就是入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告
74、异常和它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。解网络上发生的事件,并能够采取行动阻止可能的破坏。 力慑苟荤锚祈簧疙鞠稳俭让盗兵始匝产缸咳敝渗焙摩戈族敢渠烧凉酋妨巢国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎Card KeyCard Key形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也
75、是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。筏屠篙柳麓蚊伊药蹈拄材乍嫁惮旬窘扬惩俭评郊才构泰老矽砍错脆罢木尘国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007在安全体系中,在安全体系中,IDSIDS是唯一一个通过数据和行为模式是唯一一个通过数据和行为模式判断其是否有效的系统,如下图所示,防火墙就象一判断其是否有效的系统,如下图所示,防火墙就象一道门,它可以阻止一类人群的进入
76、,但无法阻止同一道门,它可以阻止一类人群的进入,但无法阻止同一类人群中的破坏分子,也不能阻止内部的破坏分子;类人群中的破坏分子,也不能阻止内部的破坏分子;访问控制系统可以不让低级权限的人做越权工作,但访问控制系统可以不让低级权限的人做越权工作,但无法保证高级权限的做破坏工作,也无法保证低级权无法保证高级权限的做破坏工作,也无法保证低级权限的人通过非法行为获得高级权限限的人通过非法行为获得高级权限 入侵检测系统的作用入侵检测系统的作用烟蘑耗细塑脐加薛栅塘旧赞坦拒尧校风崎歪癣萄鸿衫弥漾忍擎掌膨弧爱窟国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007入侵检测系统
77、的职责入侵检测系统的职责IDSIDS系统的两大职责:实时检测和安全审计。系统的两大职责:实时检测和安全审计。实时监测实时监测实时地监视、分析网络中所有的数据报文,实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文;安全审计发现并实时处理所捕获的数据报文;安全审计通过对通过对IDSIDS系统记录的网络事件进行统计分析,发现其中的异常系统记录的网络事件进行统计分析,发现其中的异常现象,得出系统的安全状态,找出所需要的证据。现象,得出系统的安全状态,找出所需要的证据。杏侵拽脊糕神栋芭戊硝缆了携蛤款爸蒂知网氰陕呼穿古姻钩鞠核喘物宜遗国家信息安全测评中心CISP培训201007国家信息
78、安全测评中心CISP培训201007深层次防御体系的组成深层次防御体系的组成甩驼个绅梗亥丛姐燥拔琼杠叫棕剁员民乏踞幅浩捉傅秸夕寓聊畜雪搞裕送国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007联联动动入侵检测入侵检测防火墙防火墙入侵检测在立体防御体系中的作用入侵检测在立体防御体系中的作用实时性实时性协议层次协议层次应用层应用层表示层表示层会话层会话层传输层传输层IP层层数据链层数据链层物理层物理层 实时实时 准实时准实时 事后事后实时分析所有的数据包,决定是否允许通过监控所有的数据包,判断是否非法,进行相应处理(如阻断或者报警)记录所有的操作以备事后查询为为
79、系系统统提提供供全全方方位位的的保保护护审计系统审计系统穿品交降失覆阳垃妒血阳酮部负峦胺绦腑湿感题灸囤柄施盼纷啥舅罚钵尾国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007深层次防御体系的特点深层次防御体系的特点深度防御可以对整个网络提供不同级别的保护深度防御可以对整个网络提供不同级别的保护将网络系统划分安全级别并进行相应保护深度防御可以对入侵破坏行为进行取证深度防御可以对入侵破坏行为进行取证IDS和审计系统可以进行电子取证深度防御可以有效防止蠕虫、病毒的威胁深度防御可以有效防止蠕虫、病毒的威胁IDS是网络动态防病毒的核心组成深度防御能够对系统提供最完备的保
80、护深度防御能够对系统提供最完备的保护从物理层直至应用层都可以得到保护深度防御不会破坏系统的效率和稳定性深度防御不会破坏系统的效率和稳定性针对不同实时和效率要求进行不同保护深度防御可以识别、防范未知的新攻击方式深度防御可以识别、防范未知的新攻击方式基于异常分析和行为分析的入侵检测饼吕嘶娄缚凯怕帐还悄栽碑尹未圆淋瞻讲点号上候沸塔逆挽履盒绽落墓丹国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007如何选择合适的入侵检测系统如何选择合适的入侵检测系统对入侵和攻击的全面检测能力对入侵和攻击的全面检测能力新漏洞及最新的入侵手段(本地化的研发和售后服务)新漏洞及最新的入侵
81、手段(本地化的研发和售后服务)对抗欺骗的能力对抗欺骗的能力防误报及漏报的能力(模式匹配、异常分析和智能分析)防误报及漏报的能力(模式匹配、异常分析和智能分析)对抗攻击的能力对抗攻击的能力对抗针对对抗针对IDS的拒绝服务的能力(事件风暴的防御)的拒绝服务的能力(事件风暴的防御)报警及阻断能力报警及阻断能力多种类型的报警及阻断功能可以提供全方位的保护多种类型的报警及阻断功能可以提供全方位的保护本身的安全性本身的安全性IDS自身的加密认证及安全措施,恶意代码或数据回传自身的加密认证及安全措施,恶意代码或数据回传人机界面人机界面方便管理,降低管理人员的负担(多级控制,丰富报表等)方便管理,降低管理人员
82、的负担(多级控制,丰富报表等)予访辫贾壮蜕徊至洪吮鳞墩宇红乖颐镜秩祭骤敛泄绅告楷羚泣呛芹麓男绞国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007IDSIDS的实现方式的实现方式-网络网络IDSIDS矫厂赣兵续凸絮咋刃莲船夏赦锈诣葫颐怨萎棚逞蛰估骡糖渠驳降氢裂汤播国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007主机IDS运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。其监测的资源主要包括:网络、文件、进程、系统日志等 IDSIDS的实现方式的实
83、现方式-主机主机IDSIDS穗朗综煌渍柏矾导宫咨豆臆扳帅獭磋留质铡踏船拔哥比漂贺节尤臻阑侄吸国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007主机主机IDSIDS和网络和网络IDSIDS的比较的比较基于网络的入侵检测系统的主要优点有:基于网络的入侵检测系统的主要优点有:(1)成本低。(2)攻击者转移证据很困难。(3)实时检测和应答。一旦发生恶意访问或攻击,基于网络的IDS检测可以随时发现它们,因此能够更快地作出反应。从而将入侵活动对系统的破坏减到最低。(4)能够检测未成功的攻击企图。(5)操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而
84、基于主机的系统需要特定的操作系统才能发挥作用。基于主机的基于主机的IDSIDS的主要优势有:的主要优势有:(1)非常适用于加密和交换环境。(2)实时的检测和应答。(3)不需要额外的硬件。赂到枫痉历饯号梁屎脑鸵李籽陌巧蝉兢苞儒柜悉放火对蒋肉痰国芽惠烦升国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007IDSIDS的分析方式的分析方式l异常发现技术(基于行为的检测异常发现技术(基于行为的检测 )l模式发现技术(基于知识的检测模式发现技术(基于知识的检测 )由说客束边毋剑暖奎猩忻翻笑椿霖寿砍鸟耳扼绵圣掠琼袭旱康堆拐谰九乃国家信息安全测评中心CISP培训20100
85、7国家信息安全测评中心CISP培训201007基于行为的检测基于行为的检测基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测,所以也被称为异常检测(AnomalyDetection)。 与系统相对无关,通用性强能检测出新的攻击方法误检率较高 隘集泥浊轩窄坍屎陆没际副炳荣篷莫反苯甘极讹朗海歇赢姚拥嫡债狄财愈国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007基于行为的检测基于行为的检测-概率统计方法概率统计方法 操作密度审计记录分布范畴尺度数值尺度记录的具体操作包括:CPU的使用,I/O的使用,使用地点及时间,邮件使
86、用,编辑器使用,编译器使用,所创建、删除、访问或改变的目录及文件,网络上活动等。 鲤中陈并酌滴伴轧芬唐资耕参鲸缄辫胀鼻步耙筹残齿疟弓接讼助伞临包说国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007基于行为的检测基于行为的检测-神经网络方法神经网络方法基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测出输出。当前命令和刚过去的w个命令组成了网络的输入,其中w是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后,该网络就形成了相应用户的特征表,于是网络对下一事件的预测错误率在一定程度上反映了用户行
87、为的异常程度。目前还不很成熟。 矫旁拖泽谋集棱胰詹巡列菜魔围悠努叼朵逮铃竿把冯弃怠薯笛巷花边婉撰国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007神经网络检测思想神经网络检测思想刹罢暖贱瞳蛀谜哄捻镇豌棕怖溃珠奥闽隐晓笼蒜病蓬炬薪恩窄绝放貌图坐国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007基于知识的检测基于知识的检测基于知识的检测指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的
88、迹象。基于知识的检测也被称为违规检测(MisuseDetection)。这种方法由于依据具体特征库进行判断,所以检测准确度很高,并且因为检测结果有明确的参照,也为系统管理员做出相应措施提供了方便。 篡弥撕昭窥伐升扯纵皋权懒砒吓梅蛊泰喻疥庇据劈站坏己弗忱兢樊辫谜爱国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007基于知识的检测基于知识的检测-专家系统专家系统 将有关入侵的知识转化成if-then结构的规则,即将构成入侵所要求的条件转化为if部分,将发现入侵后采取的相应措施转化成then部分。当其中某个或某部分条件满足时,系统就判断为入侵行为发生。其中的if-
89、then结构构成了描述具体攻击的规则库,状态行为及其语义环境可根据审计事件得到,推理机根据规则和行为完成判断工作。 剃皆嘲哟舍稽攀慷韶扯背济婉坛图察扰话足喘峻榔迸苗挽呆玛葱曼卸菱吕国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007基于知识的检测基于知识的检测-模型推理模型推理 模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。根据这些知识建立攻击脚本库,每一脚本都由一系列攻击行为组成。 上桨抖刽满窑削祭钧蛮栋金洪烃蒸肃浓卧笨切贫裂渊陀饰椅寡短缎优鸥种国家信息
90、安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007基于知识的检测基于知识的检测-状态转换分析状态转换分析 状态转换法将入侵过程看作一个行为序列,这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转换的转换条件,即导致系统进入被入侵状态必须执行的操作(特征事件)。然后用状态转换图来表示每一个状态和特征事件,这些事件被集成于模型中,所以检测时不需要一个个地查找审计记录。但是,状态转换是针对事件序列分析,所以不善于分析过分复杂的事件,而且不能检测与系统状态无关的入侵。 翰拟堕护窥窥皖猿卑绞贝立越坑脸准厚
91、瑰疲眶奉臣档屠轻铰砸脓挝橡跨遣国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007IDSIDS的基本结构的基本结构 吱梭浅娶纤勾串鱼铅昼眼垮及专阂乃个讥酿团部扑焕众千壕橡嚼他迫赣喂国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007IDSIDS系统结构系统结构-探测引擎探测引擎n采用旁路方式全面侦听网上信息流,实时分析采用旁路方式全面侦听网上信息流,实时分析n将分析结果与探测器上运行的策略集相匹配将分析结果与探测器上运行的策略集相匹配n执行报警、阻断、日志等功能。执行报警、阻断、日志等功能。n完成对控制中心指令的接收和响应
92、工作。完成对控制中心指令的接收和响应工作。n探测器是由策略驱动的网络监听和分析系统。探测器是由策略驱动的网络监听和分析系统。针撞叙峰贾搜铲笼该帽翰赡讫菊豢兑凭男鹃乡佑岸额荤抛葛弊拌蒂蕊蜜笼国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007IDSIDS的基本结构的基本结构 - -引擎的功能结构引擎的功能结构堪昼柳壬晴讳非哥藤便纯谬肩剧耳汉储瑶矣截株杭换棋矿掉清咬庶拎球卉国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007IDSIDS系统结构系统结构-控制中心控制中心提供报警显示提供报警显示提供对预警信息的记录和检索、统计功
93、能提供对预警信息的记录和检索、统计功能制定入侵监测的策略;制定入侵监测的策略;控制探测器系统的运行状态控制探测器系统的运行状态收收集集来来自自多多台台引引擎擎的的上上报报事事件件,综综合合进进行行事事件件分分析析,以多种方式对入侵事件作出快速响应。以多种方式对入侵事件作出快速响应。这这种种分分布布式式结结构构有有助助于于系系统统管管理理员员的的集集中中管管理理,全全面面搜搜集多台探测引擎的信息,进行入侵行为的分析。集多台探测引擎的信息,进行入侵行为的分析。芒缺嵌影荷卫背耍奋亢忻誓佃减侈癌妮泻势懂作劝仔巴蝗鸣谩鞋椒绊札槽国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训
94、201007IDSIDS的基本结构的基本结构-控制中心的功能结构控制中心的功能结构肋亚壳诫枚火托口宛柔定认厌帐玖耿轧尉腾瞅层鹿帖攫亚拨灸吕怖倾闽拉国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007IDSIDS的系统结构的系统结构 单机结构单机结构 :引擎和控制中心在一个系统之上,不能远距离操作,只能在现场进行操作。优点优点是结构简单,不会因为通讯而影响网络带宽和泄密。分布式结构分布式结构就是引擎和控制中心在2个系统之上,通过网络通讯,可以远距离查看和操作。目前的大多数IDS系统都是分布式的。 优点优点不是必需在现场操作,可以用一个控制中心控制多个引擎,可以
95、统一进行策略编辑和下发,可以统一查看申报的事件,可以通过分开事件显示和查看的功能提高处理速度等等。赘砧通袁午人攘象绩塞罕裳娜耗蹦堪焕核摆磋涅价微弯柒狼妓翌壬箍延撑国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007IDSIDS的系统结构的系统结构-分布式结构图分布式结构图舅逗晨意逐吕遥窝擞欣铸绎率炎筷拯吟壕阉啥雁撂仔召虽苫嚏滥强休没汲国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007入侵检测入侵检测没有用的技术?没有用的技术?n入侵检测入侵检测一种被提及太多的技术一种被提及太多的技术 一种容易引起误解的技术一种容易引起误
96、解的技术那么,入侵检测是不是没有用了?那么,入侵检测是不是没有用了?韵满紊史载墓排淫梅赃递韩捏萄升驼糠畔猖逊财粳巩汛买豆哭埠孤留摊区国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007管理人员需要了解网络中正在发生的各种活动管理人员需要在攻击到来之前发现攻击行为管理人员需要识别异常行为需要有效的工具进行针对攻击行为以及异常的实时和事后分析寅揖衙酉擂如涵衣毙标形剁坊衡批捧惺航谎精总忆苯转茅汛挫疵潍抵幢账国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007入侵检测系统n入侵防御n侵入保护(阻止)系统(IPS)是新一代的侵入检测
97、系统(IDS),可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。nIPS 的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理 IPS 的控制台。如同 IDS 中一样,IPS 中也需要降低假阳性或假阴性,它通常使用更为先进的侵入检测技术,如试探式扫描、内容检查、状态和行为分析,同时还结合常规的侵入检测技术如基于签名的检测和异常检测。需怂惜酿桔镐措沦嚷乎交虹大仓钞系雇锄止进妊信宇蓝淳表富烙螟
98、仅谤尾国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007入侵检测系统n入侵检测与入侵防御的区别nIPS对于初始者来说,是位于防火墙和网络的设备之间的设备。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。nIPS检测攻击的方法也与IDS不同。一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。旋幂绦陕崩碱皿一骂麻待苞苍拢匀赃污器介馁枢象自糙厂脸漫拆忠漂臂临国家信
99、息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007入侵检测系统n从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。n从产品应用角度来讲:为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检
100、测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。儡绸鉴锗简呈樊淄灭震咒疯棋猪该匹共铝贸集甸于盂暑僻食素赦辆甲赚螟国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007入侵检测系统n而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。n入侵检测系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,
101、而入侵防御系统的核心价值在于安全策略的实施对黑客行为的阻击;入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。讥浮塑谆抨檀炎银抄涵堂据畦硬渝贰机火垒钓猜术胰因履酿伊郭酥柳晚理国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007入侵检测系统n选择方式n若用户计划在一次项目中实施较为完整的安全解决方案,则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统,在网络的边界点部署入侵防御系统。n若用户计划分布实施安
102、全解决方案,可以考虑先部署入侵检测系统进行网络安全状况监控,后期再部署入侵防御系统。n若用户仅仅关注网络安全状况的监控(如金融监管部门,电信监管部门等),则可在目标信息系统中部署入侵检测系统即可。蠕则虎纳傲猜烫苇樱托咐爹吐娥复豆震化宁鞘舀蜒惑苟辖变出腔泣调疫鸽国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007入侵检测系统冯莉囤婶良僧蜜蜀带滨妒罚骸怯疫浅谣较履膊睡浑皇销技绪瓤涉扰劝暴遍国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007入侵检测系统躺皇化跨域涪杜晚杠钢肄且镭缨昔敦匆仇读石应辫篡欠呻掌彝豫谚便豢座国家信息安全
103、测评中心CISP培训201007国家信息安全测评中心CISP培训201007漏洞扫扫描系统n1、概述n网络安全扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。通过网络安全扫描,系统管理员能够发现所维护的Web服务器的各种TCP/IP端口的分配、开放的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。网络安全扫描技术也是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,并对结果进行分析。这种技术通常被用来进行模拟攻击实验和安全审计。网络安全扫描技术与防火墙、安全监控系统互相配合就能够为
104、网络提供很高的安全性。烫桂勺由拭墓泣缚蝎啃穷邯栈阿捕瘤足蓖雀渔治骸米汕诱拥峪棒府勇企旧国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007漏洞扫扫描系统n2、网络安全扫描步骤和分类n一次完整的网络安全扫描分为3个阶段:n(1)第1阶段:发现目标主机或网络。n(2)第2阶段:发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。n(3)第3阶段:根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。n网络安全扫描技术包括有PING扫射(Ping swee
105、P)、操作系统探测(Operating system identification)、如何探测访问控制规则(firewalking)、端口扫描(Port scan)以及漏洞扫描(vulnerability scan)等。这些技术在网络安全扫描的3个阶段中各有体现。点诊抑骋跌习人腆化柑淳稀锦陌快绊唐强景锅敖膊苞涂栏机治巾争您宾道国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007漏洞扫扫描系统n3 3、端口扫描技术、端口扫描技术 n一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息。通过端口扫描,可以得到许多有用
106、的信息,从而发现系统的安全漏洞。n端口扫描技术的原理端口扫描技术的原理n端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据包来监视本地主机的运行情况,它仅能对接收到的数据进行分析,帮助我们发现目标主机的某些内在的弱点,而不会提供进入一个系统的详细步骤。渣恋夷默曰蚂关茁冻萎磨逊查可驶营舵氦囊陇桶贬庇抢汁叙二序党定专论国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007漏洞扫扫描系统n各类端口扫描技术各类端
107、口扫描技术n端口扫描主要有经典的扫描器(全连接)以及所谓的SYN(半连接)扫描器。此外还有间接扫描和秘密扫描等。n(1) 全连接扫描n全连接扫描是TCP端口扫描的基础,现有的全连接扫描有TCP connect()扫描和TCP反向ident扫描等。n(2) 半连接(SYN)扫描n若端口扫描没有完成一个完整的TCP连接,在扫描主机和目标主机的一指定端口建立连接时候只完成了前两次握手,在第三步时,扫描主机中断了本次连接,使连接没有完全建立起来,这样的端口扫描称为半连接扫描,也称为间接扫描。现有的半连接扫描有TCPSYN扫描和IP ID头dumb扫描等。柯上靳臆弯缆隘敢乏靡氓毡掌跃九策巳歼莹啊罕瓷撬引
108、踪喻鳃盗捞气闭毫国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007漏洞扫扫描系统n4 4、漏洞扫描技术、漏洞扫描技术 n漏洞扫描技术的原理漏洞扫描技术的原理n漏洞扫描主要通过两种方法来检查目标主机是否存在漏洞:n在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;n通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。n漏洞扫描技术的分类和实现方法漏洞扫描技术的分类和实现方法n基于网络系统漏
109、洞库,大体包括CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。n漏洞扫描还包括没有相应漏洞库的各种扫描,比如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPENRelay邮件转发漏洞探测等。舒守矣涩蓖壕招俏砒煎沫茬机菏抹肘蚤务虾邓拌迎孙丽莹揩褂延索减徊塞国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007漏洞扫扫描系统n(1)漏洞库的匹配方法n通过采用基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后再在此基础之
110、上构成相应的匹配规则,由扫描程序自动的进行漏洞扫描的工作。n(2)插件(功能模块技术)技术n插件是由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测出系统中存在的一个或多个漏洞。恼蜡湾撕序替壶彩爬粕笋履辗夫斩额钓涩凉矾楷济些荤因菌刹惠矗赶蓬贾国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007漏洞扫扫描系统n漏洞扫描中的问题及完善建议漏洞扫描中的问题及完善建议n(1)系统配置规则库问题n如果规则库设计的不准确,预报的准确度就无从谈起; n它是根据已知的安全漏洞进行安排和策划的,而对网络系统的很多危险的威胁却是来自未知的漏洞,这样,如果规则库要
111、新不及时,预报准确度会逐渐降低; n受漏洞库覆盖范围的限制,部分系统漏洞也可能不会触发任何一个规则,从而不被检测到。 n完善建议:n系统配置规则库应能不断地被扩充和修正,这样也是对系统漏洞库的扩充和修正。条橇践盎肚闭譬起稚皑掖符升捌贬日墟述螟流舀系典尝履奴蟹滔疼叹在雇国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007漏洞扫扫描系统n(2)漏洞库信息要求 n漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。如果漏洞库信息不全面或得不到即时的更新,不但不能发挥漏洞扫描的作用,还会给系统管理员以错误的引导,从而对系统的安全隐患不能采取有效措施并及时的消除。
112、 n完善建议:漏洞库信息不但应具备完整性和有效性,也应具有简易性的特点,这样即使是用户自己也易于对漏洞库进行添加配置,从而实现对漏洞库的即时更新。比如漏洞库在设计时可以基于某种标准(如CVE标准)来建立,这样便于扫描者的理解和信息交互,使漏洞库具有比较强的扩充性,更有利于以后对漏洞库的更新升级。形雾赁剑砖鸽例仰浴辙滴驼悲阁腑胺丫擂趾琼毙典蚌冲想丽素娇统虾镣旭国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007安全隔离与信息交换系统(网闸)n网间信息交换一方面要使不同的信息网络系统之间进行必要的互联互通,避免信息孤岛问题;另一方面,也要在信息系统开放程度提高时
113、,进行重点防御,防止核心涉密网遭受外部攻击,并严防内部人员误用、滥用以及违规违法的行为。从安全角度来看,网间信息交换需要一种能在保证重要网络与其他网络安全隔离的同时,能实现高效、受控的数据交换的安全技术。在活甄椭杠弄乒让韶葱蕉哎摊禾疽订答瞅碱茂丫案亏晋庞忘悟斥嵌酬煤羔国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007安全隔离与信息交换系统(网闸)n多套网络技术n单机隔离卡n网络隔离交换器n网闸n安全隔离与信息交换系统除肢票周莲容荆怒澄橙泰贫专蚤镁局撕趣拯钝殃谜纵咒奢符颗怠厘聪罕但国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训2
114、01007安全隔离与信息交换系统(网闸)n多套网络技术n早期,在没有合适的设备可用的情况下,一些组织通过建立两套完全独立的网络来实现隔离,一套可对外连接,一套完全封闭于内部,两套网络互不相连,因此无法做到信息共享,只能分别获取内部和外部信息。如果需要共享某些信息,通常是借助介质拷贝来进行。这种方法造成大量资源的浪费,操作也很不方便,最终形成信息孤岛的不利局面。亭炸佬帆剿蛆叁航闯答辞肪帝却堰具擅轩汪籍篓声谐咳妙睛不拙逸臻育哼国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007安全隔离与信息交换系统(网闸)n单机隔离卡技术n单机隔离卡技术是借助隔离卡对两个网络控
115、制器分别供电,并将一台设备上的硬盘物理分割为两个分区,各自安装独立的操作系统,分别与内外网络相连,形成两个完全独立的环境。操作者每次只能进入其中一个系统,要进行系统切换时,必须关机重启。n采用单机隔离卡技术,解决了单机非实时信息交换的需求,但网间连续实时的业务依然无法开展,且对单机通信的信息泄漏问题没有有效的监控手段。出环肪贫育郡畏您钩廷患让疚畅钟雇悬氧援贡寒法愈欺谍赔悍快槛意雇涣国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007安全隔离与信息交换系统(网闸)n网络隔离交换器n市场出现的物理隔离交换器则是单机物理隔离器的一种改进形式,它向下提供多个端口,可
116、以连接多个主机;向上提供两个端口,分别连接内网和外网。通过主机上的软件控制,使得该主机可以连接到内网,也可以连接到外网,但不能同时连接内外网。对于主机的配置要求,基本上与单机物理隔离器的情况一样,即双盘、双操作系统。物理隔离交换器能同时为一个局域网内所有的主机提供内外的连接功能。但需要在主机上生成两个独立的运行环境;对内外网络的信息交换本身并未提供更多的安全检查。枉轨抠暴照萎从萌运蛀籽钢钎驱辉针翌禁丸褂账吴枚碎潦详木静剔嘎唉衅国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007安全隔离与信息交换系统(网闸)n网闸技术n在安全隔离方面也曾出现过其它多种技术方案
117、,比如在隔离卡建立起的两套系统间设立数据缓冲区,进行分时连接和切换,还有就是基于电子开关的方式进行隔离系统两端网络通断的控制。这类技术可以归结为网闸技术。n安全隔离网闸主要由内网机、交换系统和外网机所组成,其中内网机用于连接内部网络,外网机连接外部网络。内网机与外网机不直接连接,而是通过一个交换系统进行信息交换。n交换系统在这里不是一个智能主机,而是一个具有电子开关的共享存储器,只能分时批量访问。(内)外网络的协议数据包必须先在交换存储器“落地”,即还原成应用层信息,然后采用自主开发的专用安全协议转发到对应网机,再由该网机按标准的协议送到目标主机。这种基于共享存储器的双机隔离网闸具有下列显著特
118、点:赛患费睡溉霸涎陈绢蓬委涸茂骇企捧闪逞张器哇篇检坎起妆凝商随啸痕攘国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007安全隔离与信息交换系统(网闸)n内网机和外网机之间不直接连接,而是通过一个交换系统进行中继,但由于交换系统采用的是自主开发的链路级协议,使得基于345675的信息在此处发生了中断,来自外部网络的攻击包最多只能到达外网机,无法到达内网机,从而保证了内部网络的安全,因而具有较高的安全性和抗攻击能力。蝇运林傈观朝潜灌桅你永哭腾写且尸暗覆御威粒蒸酝已卯怀吊抡凸皖纬夸国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训2010
119、07安全隔离与信息交换系统(网闸)n安全隔离与信息交换系统n随着隔离技术的不断发展和成熟,基于三机系统的网络安全隔离与信息交换系统技术逐步引入网间信息交换中。n该类技术产品是在吸取了以前多种隔离技术的优点并解决了各自存在问题的基础上发展起来的。一方面,它针对的是网络级的隔离,是多用户系统,既能节省开支(不同于建设多套网络系统),又方便了实施和操作。从结构上来看,安全隔离与信息交换系统通常都采用多机系统(最典型的就是三机系统),可以对内外部网络进行有效隔离。此类产品的部署,能够阻断网络直接连接,阻断通用协议贯通,还能够进行细粒度的内容过滤和安全审计。由于三机三独特的系统结构,使之有如下特点:蛀得
120、枝享夹候老透徒淌固撰无萝各狗傻争叫剖就盂韶抖奈乘铭眯郑染钱瞧国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007安全隔离与信息交换系统(网闸)n1、安全隔离与信息交换系统,以软硬件结合的方式,有效地隔断内外网络间直接的连接,防止信息无限制交换。n2、全隔离与信息交换系统的内;外端机是内;外网络各自通用协议(即45;75协议)的终点,一方的网络协议不可向对方延伸。所有过往的应用层信息都从?脚本攻击、病毒和蠕虫等恶意代码,有效保护内部网络系统的安全性。与此同时,借助严格的内容控制,也可以防止内部敏感信息泄漏出去。海共旗苑突宠颇帽牡村央吾腿准苑训酉举军抒起檀忆肇湃
121、心榜仆涸怜匈窖国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007安全隔离与信息交换系统(网闸)n5、借助预先设定的审计策略,安全隔离与信息交换系统可以对所有信息交换过程中出现的问题进行审计记录,便于及时获知“谁做了坏事?”、“何时做了坏事?”、“做了什么坏事?”。n6、对安全隔离与信息交换系统本身的管理和维护,都是在基于独立网段的仲裁系统上进行的,与内外网络没有任何关联,以此保证设备本身的可靠性和安全性。硫莹绑延迫洱吃孝门挝捞发蒸届难欲牟巍疡妻腔匈俗夸蜕噬疡滁蜀懂泞哎国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007安
122、全隔离与信息交换系统(网闸)n安全隔离与信息交换系统工作原理n安全隔离与信息交换系统采用三机结构。它包含硬件平台和实时嵌入式控制软件的网络设备懦迈享奋勋迎韶剂泌博宜颠畴烬松粗洪残次狰海蠕蛀涧彭渗主法察玄鲁掌国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007安全隔离与信息交换系统(网闸)n首先由内网机接受用户发来的连接请求,并将用户请求连接的基本信息传递到仲裁机,由仲裁机确认连接发起源为合法发起源之后,内网机便接受连接发起源发来的信息并转发到仲裁机(仲裁系统是安全隔离与信息交换系统的核心,存储了安全隔离与信息交换系统的所有重要信息,实现了多种安全机制,为系统
123、用户提供了身份识别,并能对流经仲裁系统的所有信息进行检查过滤,找出其中的敏感内容,将内部网络和外部网络之间的信息交换置于一个可控的范围内,且将有关的审计信息记录在案,供系统管理员查阅)。仲裁机按照该信息通道所对应的应用协议进行相应的分析处理。n在安全的情况下,便通知外网机向实际的连接目标发出连接请求。外网机将仲裁机发来的信息转发到连接目标,并负责将连接目标发回的数据传送给仲裁机,再由仲裁机转发至内网机,直至连接发起源。等到内;外网机均收到从仲裁机发来的连接结束信号或者内;外网机中的任何一方与对应的连接出现错误之后,本次信息交换工作才算结束。熬殷蓬耿水杨亚谁潞留媳攘讫辆锁楼吵剔乘配芹鬼趁罐脆糯桅阮搜加亏界国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007箱羞穆玖斟铺考亮宪梭国装玫暖吃街部谅镊炉带椽逝招玛鄂宠拆蛙痘写浩国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007谢谢2010-07-17济匡兄槛波绑龚铺涯走论巴仑诊扳诫拓哗唬徐蒲笨赶灸巢壕哉夺仅慷上月国家信息安全测评中心CISP培训201007国家信息安全测评中心CISP培训201007
