《网络安全及防护措施.ppt》由会员分享,可在线阅读,更多相关《网络安全及防护措施.ppt(129页珍藏版)》请在金锄头文库上搜索。
1、网络安全及防护措施湖北托普1 1概 要一、安全隐患及安全认识分析二、网络安全体系结构三、网络安全整体防护思路2 2一、安全隐患及安全认识分析3 3网络安全事件网络安全事件 1998/9扬州郝氏兄弟工行窃款案例北京机场票务系统瘫痪深交所证券交易系统瘫痪 二滩电厂网络安全事故大量的网站被黑、被攻击网上信用卡密码被盗,钱被划走4 4网网 络络病毒后门信息外泄信息丢失、篡改资源占用拒绝服务黑客攻击木马逻辑炸弹安全威胁种类分析图安全威胁种类分析图5 5常见的攻击方式介绍6 6了解攻击的作用网络管理员对攻击行为的了解和认识,有助于提高危险性认识在遭遇到攻击行为时能够及时的发现和应对了解攻击的手段才能更好的
2、防范7 7攻击带来的后果系统被侵占,并被当作跳板进行下一步攻击文件,重要资料遭到破坏系统濒临崩溃,无法正常运行网络涌堵,正常通信无法进行重要信息资料被窃取,机密资料泄漏,造成重大经济损失8 8常规攻击行为的步骤预攻击信息探测,使用扫描器获取目标信息,这些信息可以为:主机或设备上打开的服务,端口,服务程序的版本,系统的版本,弱密码帐号等实施攻击,手法有很多,要视收集的信息来决定利用的手法如:缓冲区溢出,密码强打,字符串解码,DoS攻击等留下后门或者木马,以便再次利用清除攻击留下的痕迹包括痕迹记录,审计日志等9 9 逻辑炸弹是一段潜伏的程序,它以某种逻辑炸弹是一段潜伏的程序,它以某种逻辑状态为触发
3、条件,可以用来释放病毒和逻辑状态为触发条件,可以用来释放病毒和蠕虫或完成其他攻击性功能,如破坏数据和蠕虫或完成其他攻击性功能,如破坏数据和烧毁芯片。它平时不起作用,只有当系统状烧毁芯片。它平时不起作用,只有当系统状态满足触发条件时才被激活。态满足触发条件时才被激活。逻辑炸弹1010邮件炸弹概念:发送大容量的垃圾邮件概念:发送大容量的垃圾邮件如:如:KaBoomTo、From、Server拒收垃圾邮件、设置寄信地址黑名单拒收垃圾邮件、设置寄信地址黑名单(MailGuard)1111OICQ攻击OICQ本地密码使用简单的加密方式本地密码使用简单的加密方式OICQ使用明文传输使用明文传输黑客可监听信
4、息内容黑客可监听信息内容1212拒绝服务攻击Denial of Service-Dos向目标主机发送大量数据包,导致主机不向目标主机发送大量数据包,导致主机不能响应正常请求,导致瘫痪能响应正常请求,导致瘫痪在目标主机上放了木马,重启主机,引导在目标主机上放了木马,重启主机,引导木马木马为完成为完成IP欺诈,让被冒充的主机瘫痪欺诈,让被冒充的主机瘫痪在正式进攻之前,要使目标主机的日志记在正式进攻之前,要使目标主机的日志记录系统无法正常工作录系统无法正常工作1313拒绝服务攻击的种类LandPing of DeathSYN floodDos/DDdos1414Land Attack在在Land攻攻
5、击击中中,黑黑客客利利用用一一个个特特别别打打造造的的SYN包包-它它的的原原地地址址和和目目标标地地址址都都被被设设置置成成某某一一个个服服务务器器地地址址进进行行攻攻击击。此此举举将将导导致致接接受受服服务务器器向向它它自自己己的的地地址址发发送送SYN-ACK消消息息,结结果果这这个个地地址址又又发发回回ACK消消息息并并创创建建一一个个空空连连接接,每每一一个个这这样样的的连连接接都都将将保保留留直直到到超超时时,在在Land攻攻击击下下,许许多多UNIX将将崩崩溃溃,NT变变得得极极其其缓缓慢慢(大大约约持持续五分钟)。续五分钟)。 1515Ping of deathICMP(Int
6、ernet Control Message Protocol,Internet控制信息协议控制信息协议)在在Internet上用于错误处上用于错误处理和传递控制信息。它的功能之一是与主机联系,理和传递控制信息。它的功能之一是与主机联系,通过发送一个通过发送一个“回音请求回音请求”(echorequest)信)信息包看看息包看看主机主机是否是否“活着活着”。最普通的。最普通的ping程序程序就是这个功能。而在就是这个功能。而在TCP/IP的的RFC文档中对包文档中对包的最大尺寸都有严格限制规定,许多操作系统的的最大尺寸都有严格限制规定,许多操作系统的TCP/IP协议协议栈都规定栈都规定ICMP包
7、大小为包大小为64KB,且,且在对包的标题头进行读取之后,要根据该标题头在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。里包含的信息来为有效载荷生成缓冲区。 1616Ping of deathPing of death就就是是故故意意产产生生畸畸形形的的测测试试Ping包包,声声称称自自己己的的尺尺寸寸超超过过ICMP上上限限,也也就就是是加加载载的的尺尺寸寸超超过过64KB上上限限,使使未未采采取取保保护护措措施施的的网网络络系系统统出出现现内内存存分分配配错错误误,导导致致TCP/IP协议栈崩溃,最终接收方协议栈崩溃,最终接收方宕机宕机。 1717SYN Fl
8、ooding攻击SYN Flooding三段握手内核处理1818攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机,对攻击目标发动威力巨大的拒绝服务攻击。DenialDenial of Service ( of Service (DoSDoS) ) 拒绝服务攻击拒绝服务攻击Distributed Denial of Service (Distributed Denial of Service (DDoSDDoS) )分布式分布式拒绝服务攻击拒绝服务攻击攻击者利用大量的数据包攻击者利用大量的数据包“淹没淹没”目标主机,耗目标主机,耗尽可用资源乃至系统崩溃,而无法对合法用户作出尽可
9、用资源乃至系统崩溃,而无法对合法用户作出响应。响应。什么是DoS/DdoS攻击1919DdoS攻击过程主控主机主控主机合法用户合法用户服务请求服务请求扫描程序扫描程序黑客黑客Internet非安全主机非安全主机被控主机被控主机服务响应服务响应应用服务器应用服务器服务请求服务请求服务响应服务响应2020IP欺骗攻击让被信任主机瘫痪联接目标主机猜测ISN基值和增加规律将源地址伪装成被信任主机,发送SYN数据段请求连接黑客等待目标机发送ACK包给已经瘫痪的主机黑客伪装成被信任主机,发送SYN数据段给目标主机建立连接2121IP碎片攻击2222IP碎片攻击只有第一个分段包含了上层协议信息包过滤将丢弃第
10、一个分段其他分段允许通过将在目的地被重组目的主机需等待重传不完全的包, 最后返回一个“packet reassembly time expired”信息可能被攻击者利用作为DoS攻击手段直接丢弃2323DNS欺骗攻击冒充DNS Server向域名解析请求发送错误的解析结果2424利用Web进行攻击CGI、ASPWeb的非交互性,的非交互性,CGI、ASP的交互性的交互性2525Web欺骗攻击创造某个网站的复制影像用户输入户名、口令用户下载信息,病毒、木马也下载2626扫描器的功能简介扫描器是 网络攻击中最常用的工具,并不直接攻击目标,而是为攻击提供信息扫描器至少应有三种功能:发现一个主机或网络
11、的能力;一旦发现,探测其存在的服务及对应的端口;通过测试这些服务,发现漏洞编写扫描器需要很多tcp/ip编程和c,perl和shell和socket编程的知识攻击利用的扫描技术必须有很快的速度和很好的隐身能力,否则会被发现2727针对互连设备的攻击网络上的大部分设备如路由器和交换机大多支持Snmp 网管协议,支持snmp的设备都维护着自己接口等运行状态的信息库称为MIBS库。现行版本中网管端和设备间的通信只需经过一个叫做community 值的简单验证,管理端提供read only 的community 值时可以读取该设备的常规运行信息,如提供read write值时,这可以完全管理该设备。攻
12、击网络互连设备的一条捷径,而且不太被注意2828Snmp的安全验证机制GET请求请求RO communityMIBS 常规配置信息常规配置信息SET请求请求RW community修改或下载所有状修改或下载所有状态信息态信息2929设备攻击的形式内部网络INTERNET其它网络攻击者攻击者控制控制对内部攻击对内部攻击切断切断跳板攻击跳板攻击3030 蠕虫是一段独立的可执行程序,它可以蠕虫是一段独立的可执行程序,它可以通过计算机网络把自身的拷贝(复制品)传通过计算机网络把自身的拷贝(复制品)传给其他的计算机。蠕虫可以修改、删除别的给其他的计算机。蠕虫可以修改、删除别的程序,但它也可以通过疯狂的自
13、我复制来占程序,但它也可以通过疯狂的自我复制来占尽网络资源,从而使网络瘫痪。尽网络资源,从而使网络瘫痪。蠕虫3131蠕虫攻击技术蠕虫技术是病毒和黑客攻击手法的结合,包含两者的技术,这种攻击造成的后果比单一的黑客攻击和病毒传染要大的多攻击的第一步是扫描,找出符合攻击漏洞的主机,这其中包括端口扫描和脆弱性扫描3232蠕虫攻击技术实施攻击,现在的手法大多是缓冲区溢出和系统自身的解码漏洞如Code red的.ida/idq 溢出和Lion的wu-ftpd缓冲区溢出成功后在目标主机上自我复制攻击程序,感染文件,疯狂调用进程。与发起者脱离关系直接成为下一次攻击发起者,换个网段继续扫描,攻击,以此类推,这种
14、扩散是最大的3333Code red蠕虫攻击原理攻击发起者攻击发起者扫描和扫描和攻击攻击地址段地址段A地址段地址段B地址段地址段C地址段地址段D3434特洛伊木马概念:古希腊人同特洛伊人的战争概念:古希腊人同特洛伊人的战争非法驻留在目标计算机里的执行事先约定操作的非法驻留在目标计算机里的执行事先约定操作的程序程序危害:复制、更改、删除文件,查获密码、口令,危害:复制、更改、删除文件,查获密码、口令,并发送到指定的信箱,监视被控计算机。并发送到指定的信箱,监视被控计算机。BO、国产木马冰河国产木马冰河查看注册表:有无陌生项查看注册表:有无陌生项3535木马技术攻击者在成功侵占系统后往往会留下能够
15、以特殊端口监听用户请求并且能够绕过系统身份验证的进程。改进程在系统中运行具有隐秘性质,管理员用常规的系统监视工具不容易发现攻击者利用该进程可以方便的再次进入系统而不用身份验证;攻击者可以利用这个后门向新的目标发起攻击通常控制端和木马植入端的通信是加密处理的,很难发现3636常见的木马工具NetbusBo2kSubsevenDoly冰河3737Unix 后门技术管理员通过改变所有密码类似的方法来提高安全性,仍然能再次侵入大多数后门能躲过日志,大多数情况下,即使入侵者正在使用系统也无法显示他在线的情况和记录后门往往被反复利用来攻击该主机,发现主机的变化,除掉新装上的监控系统后门攻击对unix有很大
16、的危害性3838密码破解后门入侵者通过一个弱密码和默认密码帐号进行弱点攻击取得了系统的控制权取得shadow文件和 passwd文件,其中passwd文件的加密机制较弱,但对shadow 文件的破解技术也在发展攻击者取得文件后crack密码文件,扩大战果,造成主机系统的众多用户口令丢失优点是管理员很难 确定到底那个帐号被窃取了3939Rhosts+后门联网的unix主机,像rsh和rlogin这样的服务是基于rhosts文件里的主机名的简单验证攻击者只需向可访问的某用户的主目录的rhosts文件中输入“+”表示所有的主机均可以利用该帐号就可以无需口令进入该帐号Home目录通过NFS向外共享时,
17、如权限设置有误,更容易成为攻击的对象 攻击者更喜欢使用rsh这样的工具,因为这种连接缺少日志记录能力,不易被发现4040Suid和sgid进程后门Uid是unix中的用户标志,标志用户的身份和权限,suid进程则表示该进程归该用户所有,具有该用户的身份权限攻击者通常通过溢出和其他的手法取得root权限,然后使用root身份属主一个文件如chown root.root /bin/ls;suid这个文件如chmod 4755 /bin/ls ;然后将其移到一个不起眼的位置,这样任何一个普通用户登陆导系统后只要执行该/bin/ls就可提升到root身份优点:suid进程在系统中有很多,但并不都属于r
18、oot身份,很多是正常进程,难以查找即便使用find / -perm 4700 -print4141Login后门UnixUnix中,中,loginlogin程序通,常对程序通,常对telnettelnet的用户进行验证,的用户进行验证,入侵者在取得最高权限后获取入侵者在取得最高权限后获取login.clogin.c的源代码修的源代码修改,让它在比较口令与存储口令时先检查后门口改,让它在比较口令与存储口令时先检查后门口令,这样攻击者可以登录系统不需系统的验证令,这样攻击者可以登录系统不需系统的验证由于后门口令是在用户真实登陆之前进行的,所由于后门口令是在用户真实登陆之前进行的,所以不会被记录到
19、以不会被记录到utmputmp和和wtmpwtmp日志的,所以攻击者日志的,所以攻击者可以获得可以获得shellshell而不暴露而不暴露为了防止管理员使用为了防止管理员使用stringsstrings查找查找loginlogin文件的文本文件的文本信息,新的手法会将后门口令部分加密信息,新的手法会将后门口令部分加密缺点是如果管理员使用缺点是如果管理员使用MD5MD5校验的话,会被发现校验的话,会被发现4242Telnetd后门用户telnet 到系统,监听端口的inetd服务接受联接,随后传给in.telnetd,由他调用login进程,在in.telnetd中也有对用户的验证信息如登陆终端
20、有Xterm,VT100等,但当终端设为“letmein”时就会产生一个不需要身份验证的shell来攻击者知道管理员会检查login程序,故会修改in.telnetd程序,将终端设为“letmein”就可以轻易的做成后门4343文件系统后门攻击者需要在已占领的主机上存储一些脚本工具,后门集,侦听日志和sniffer信息等,为了防止被发现,故修改 ls,du,fsck以隐藏这些文件手法是用专用的格式在硬盘上划出一块,向系统表示为 坏扇区,而攻击者会使用特定的工具访问这些文件对于系统维护工具已被修改的管理员来说,发现这些问题是很困难的4444隐匿进程后门攻击者在获得最高权限后,将自己编写监听程序加
21、载到系统中以一个很不起眼的高位端口监听攻击者修改自己的argv()使他看起来像其他的进程名攻击者修改系统的 ps进程,使他不能显示所有的进程;攻击者将后门程序嵌入中断驱动程序使他不会在进程表中显现一个出名的例子:amod.tar.gz4545文件系统,进程后门源源ls源源ps修改修改修改修改显示文件显示文件显示进程显示进程后门后门工具工具后门后门进程进程返回不存在返回不存在返回不存在返回不存在4646内核后门内核后门是最新的技术,和以往的后门都有所不内核后门是最新的技术,和以往的后门都有所不同,他的修改和隐匿都体现在底层函数上面同,他的修改和隐匿都体现在底层函数上面攻击者直接修改系统调用列表攻
22、击者直接修改系统调用列表sys_call_tablesys_call_table将正将正常进程的函数调用接口转向为攻击者插入的内核常进程的函数调用接口转向为攻击者插入的内核模块接口,而不改变该进程,这样用户执行的命模块接口,而不改变该进程,这样用户执行的命令调用如令调用如ls,du,psls,du,ps等的最终调用结果是攻击者的自等的最终调用结果是攻击者的自定义模块定义模块现在的很多现在的很多LKMLKM技术的后门就是利用这个原理,技术的后门就是利用这个原理,这种技术用通常的检测手法很难发现,检查这种技术用通常的检测手法很难发现,检查sys_call_tablesys_call_table的接
23、口调用是目前唯一的办法的接口调用是目前唯一的办法著名的著名的knarkknark就是利用的这种技术就是利用的这种技术4747痕迹清除技术攻击系统过后,很多操作和行为都有可能被记录日志,因为这些往往都和系统的安全策略有关系系统的安全策略会定义那些服务和行为必须记录日志攻击完后必须清除自己的行为可能被那些日志记录找出这些日志文件,予以清除或修改4848Windows 的日志Windows 的日志主要是两个方面,第一个是web等服务系统的访问日志,这其中包括ftp ,mail等;第二个是系统的安全日志,由系统的安全策略来指定服务系统的日志文件默认情况下的权限给予较低,一般用户都可以清除,这是一个很大
24、的问题Windows 的服务日志如iis的日志是攻击的主要对象,在现今的攻击中体现的尤为充分4949Unix 日志处理服务进程都有自己的日志记录如常用的web 服务器apache ,ftp 服务器和sendmail服务等,这些服务器包都有自己的日志定制系统Syslogd守护进程定义的选项内容,很多进程如telnet 等都是在syslogd进程中定义的,攻击者查看syslog.conf就可发现有哪些进程在定义范围之内5050 需要处理的日志举例SulogSulog : :系统中所有的系统中所有的susu操作操作Lastlog:记录某用户最后一次的登陆时间和地址Utmp:记录以前登陆到系统中的所有
25、用户Wtmp: 记录用户登陆和退出的事件Access_log:apache服务器的访问访问日志.bash_history:shell记录的用户操作命令历史sh_history:sh shell记录的使用该shell的用户操作命令历史5151清除的方法使用重定向符“ ”可以予以清除如cat /var/log/wtmp;cat /var/log/utmp;但清除日志太过于明显,很容易让管理员发现计算机被入侵了删除日志,将整个日志文件删除,属于恶意的报复行为rm rf /var/log/utmp使用特定的工具按照ip地址,用户身份等条件筛选删除,这是常用的方法5252二、网络安全体系结构5353安全
26、体系模型5454安全体系模型地震、火灾、地震、火灾、设备损坏、电设备损坏、电源故障、被盗源故障、被盗5555安全体系模型在传输线路在传输线路在传输线路在传输线路上窃取数据上窃取数据上窃取数据上窃取数据5656安全体系模型InternetInternet、系统系统系统系统内网络、系统外内网络、系统外内网络、系统外内网络、系统外网络、内部局域网络、内部局域网络、内部局域网络、内部局域网、拨号网络网、拨号网络网、拨号网络网、拨号网络5757安全体系模型操作系统的脆弱操作系统的脆弱操作系统的脆弱操作系统的脆弱性、漏洞、错误性、漏洞、错误性、漏洞、错误性、漏洞、错误配置配置配置配置5858安全体系模型应
27、用软件、数据应用软件、数据应用软件、数据应用软件、数据库,包括资源共库,包括资源共库,包括资源共库,包括资源共享、享、享、享、EmailEmail、病病病病毒等毒等毒等毒等5959安全体系模型管理员权限、口管理员权限、口管理员权限、口管理员权限、口令、错误操作、令、错误操作、令、错误操作、令、错误操作、资源乱用、内部资源乱用、内部资源乱用、内部资源乱用、内部攻击、内部泄密攻击、内部泄密攻击、内部泄密攻击、内部泄密6060技术措施6161技术措施设备冗余、线设备冗余、线路冗余、数据路冗余、数据备份备份6262技术措施VPNVPN加密技术加密技术加密技术加密技术6363技术措施防火墙、物理隔防火墙
28、、物理隔防火墙、物理隔防火墙、物理隔离、离、离、离、AAAAAA认证认证认证认证6464技术措施漏洞扫描、入侵漏洞扫描、入侵漏洞扫描、入侵漏洞扫描、入侵检测、病毒防护检测、病毒防护检测、病毒防护检测、病毒防护6565技术措施认证、病毒防护、认证、病毒防护、认证、病毒防护、认证、病毒防护、数据备份、灾难数据备份、灾难数据备份、灾难数据备份、灾难恢复恢复恢复恢复6666技术措施认证、访问控制认证、访问控制认证、访问控制认证、访问控制及授权及授权及授权及授权6767三、网络安全整体防护思路6868网络脆弱性发展趋势信息网络系统的复杂性增加脆弱性程度网络系统日益复杂,网络系统日益复杂,安全隐患急剧增加
29、安全隐患急剧增加6969木桶原则最大容积取决于最短的木快攻击者“最易渗透原则”目标:提高整个系统的“安全最低点”。7070整体性原则建立预警、防护、恢复机制构成闭环系统PolicyPolicy预警预警预警预警 防护防护防护防护恢复恢复7171动态性原则安全是相对的,不可能一劳永逸;道高一尺,魔高一丈;安全策略不断变化完善;安全投入不断增加(总投入的30%)。7272安全事件案例分析年月下旬,杜守志在南宁市拾到一张户名为黄某某在建行广西分行开户的医疗保险复合卡,并于月日至月日在银行交易系统识别错误的情况下,输入“”为密码,连续从多家银行的机上,分别支取余笔现金,合计人民币元。安全事件成因分析安全
30、事件原因1IC卡卡丢失失管理管理问题2输入密入密码123456密密码的脆弱性的脆弱性3卡上没卡上没钱能取能取钱,并且取多少增加多并且取多少增加多少少应用用软件存在漏洞件存在漏洞4半小半小时取取7万元,万元,一个下午取出一个下午取出17万元万元异常行异常行为审计的脆的脆弱性(未作弱性(未作单位位时间内的最高取款内的最高取款额的限制)的限制)5持持续近一个月近一个月报警机制不完善警机制不完善7373安全事件案例分析一名普通的系统维护人员,轻松破解数道密码,进入邮政储蓄网络,盗走835万元 。邮政储蓄使用的是专用的网络,和互联网物理隔绝;网络使用了防火墙系统;从前台分机到主机,其中有数道密码保护。
31、安全事件成因分析安全事件原因1私搭私搭电缆,从来没有人,从来没有人过问管理管理问题2邮政政储蓄网点竟然一直使用原始蓄网点竟然一直使用原始密密码,没有定期更改,也没有在,没有定期更改,也没有在工作人工作人员之之间互相保密互相保密 密密码的管理的管理问题3远程登程登录访问临洮太石洮太石邮政政储蓄蓄所的所的计算机算机 内部网内部网纵向之向之间未未采用防火采用防火墙隔离隔离4破破译对方密方密码之后之后进入操作系入操作系统以以营业员身份向自身份向自8个活期个活期账户存存入了入了835万元的万元的现金,并在退出金,并在退出系系统前,前,删除了除了营业计算机的打算机的打印操作系印操作系统,造成机器故障。,造
32、成机器故障。密密码脆弱性脆弱性5几天后几天后还在提取在提取现金金异常行异常行为审计、报警机制、警机制、应急措施急措施不完善不完善7474事前检测:隐患扫描事前检测:隐患扫描安全安全危险危险高度高度危险危险通过模拟黑客的进攻手法通过模拟黑客的进攻手法通过模拟黑客的进攻手法通过模拟黑客的进攻手法, , , , 先于黑客发现并弥补漏洞,先于黑客发现并弥补漏洞,先于黑客发现并弥补漏洞,先于黑客发现并弥补漏洞,防患于未然。防患于未然。防患于未然。防患于未然。也称为漏洞扫描、脆弱性分析、安全评估。也称为漏洞扫描、脆弱性分析、安全评估。7575网络结构专网或公网InternetInternet公司总部公司总
33、部公司总部公司总部分公司分公司分公司分公司分公司分公司分公司分公司7676总出口的门户安全专网或公网InternetInternet公司总部公司总部公司总部公司总部分公司分公司分公司分公司分公司分公司分公司分公司防火墙防火墙防火墙防火墙7777各子网的边界安全专网或公网InternetInternet公司总部公司总部公司总部公司总部分公司分公司分公司分公司分公司分公司分公司分公司防火墙防火墙防火墙防火墙7878入侵检测产品的部署专网或公网InternetInternet公司总部公司总部公司总部公司总部分公司分公司分公司分公司分公司分公司分公司分公司防火墙防火墙防火墙防火墙7979防病毒产品的部
34、署专网或公网InternetInternet公司总部公司总部公司总部公司总部分公司分公司分公司分公司分公司分公司分公司分公司防火墙防火墙防火墙防火墙8080加密传输产品的部署专网或公网InternetInternet公司总部公司总部公司总部公司总部分公司分公司分公司分公司分公司分公司分公司分公司防火墙防火墙防火墙防火墙8181身份认证(3A)产品的部署专网或公网InternetInternet公司总部公司总部公司总部公司总部分公司分公司分公司分公司分公司分公司分公司分公司防火墙防火墙防火墙防火墙3 3A A:认证、授权、审计认证、授权、审计认证、授权、审计认证、授权、审计确认身份,防止抵赖确认
35、身份,防止抵赖确认身份,防止抵赖确认身份,防止抵赖8282事后恢复机制事后恢复机制灾难恢复技术日志查询8383关键产品专网或公网InternetInternet公司总部公司总部公司总部公司总部分公司分公司分公司分公司分公司分公司分公司分公司防火墙防火墙防火墙防火墙8484关键产品专网或公网InternetInternet公司总部公司总部公司总部公司总部分公司分公司分公司分公司分公司分公司分公司分公司防火墙防火墙防火墙防火墙防火墙产品防病毒产品防病毒产品身份认证产品(身份认证产品(3 3A A)加密产品(加密产品(VPNVPN)入侵检测产品入侵检测产品物理隔离网闸物理隔离网闸抗攻击网关抗攻击网关
36、漏洞扫描产品漏洞扫描产品数据备份产品数据备份产品8585个人安全建议关闭不必要的服务(如关闭关闭不必要的服务(如关闭SNMPSNMP、UPSUPS、RASRAS););关闭不必要的服务端口(关闭不必要的服务端口(8080、2121、161161););不轻易点击不熟悉的网页或链接;不轻易点击不熟悉的网页或链接;不轻易下载不了解的软件运行;不轻易下载不了解的软件运行;不打开不熟悉的邮件附件;不打开不熟悉的邮件附件;不要将硬盘设置为共享;不要将硬盘设置为共享;要将要将IEIE等软件的安全等级设置为高等级;等软件的安全等级设置为高等级;及时下载及安装补丁程序及时下载及安装补丁程序. .8686加强密
37、码的强壮性,并经常更改加强密码的强壮性,并经常更改激活审计功能激活审计功能作好备份工作,包括本地备份、异地备份、磁作好备份工作,包括本地备份、异地备份、磁盘阵列盘阵列不要随意共享硬盘上的目录不要随意共享硬盘上的目录8787尽量不要使用系统默认的尽量不要使用系统默认的OUTLOOKOUTLOOK程序程序对于未知电子邮件小心打开对于未知电子邮件小心打开网上下载要注意网上下载要注意不去黑客等有危险性的网站不去黑客等有危险性的网站经常查病毒,并主义随时出现的情况经常查病毒,并主义随时出现的情况8888四、防火墙技术介绍8989什么是防火墙?以隔离为目的的安全网关设备不同网络或网络安全域之间信息的唯一出
38、入口根据安全政策控制出入网络的信息流本身具有较强的抗攻击能力9090防火墙主要作用过滤不安全的服务;控制对系统的访问;集中的安全管理; 抗攻击;入侵监测;隔离与保密;记录和统计。9191防火墙的典型应用9292InternetInternetWeb Server之一:对托管服务器的保护防火墙防火墙交换机交换机ISP机房机房9393InternetInternet防火墙路由器内部局域网交换机之二:对内网的保护9494InternetInternet防火墙路由器WWWWWW、DNSDNS、FTPFTP等等Email内部局域网内网交换机外网交换机之三:对内网及网站的保护9595DDN网分支机构局域网
39、分支机构局域网总部局域网防火墙接本地Internet平台之四:利用专线构建广域网之四:利用专线构建广域网防火墙防火墙9696Internet分支机构局域网分支机构局域网VPN防火墙VPN防火墙总部局域网VPN防火墙接本地Internet平台之五:利用之五:利用InternetInternet构建广域网构建广域网9797财务网段一般员工办公网段防火墙之六之六:对内网进行逻辑划分对内网进行逻辑划分OA及人事网段领导办公网段9898传统防火墙的局限性传统防火墙的局限性v传统防火墙的共同特点采用逐一匹配方法进行检测和过滤,计算量太大。包过滤是对IP包进行逐一匹配检查。状态检测包过滤除了对包进行匹配检查
40、外,还要对状态信息进行逐一匹配检查。应用代理对应用协议和应用数据进行逐一匹配检查。9999传统防火墙的局限性传统防火墙的局限性v传统防火墙的共同缺陷安全性越高,检查的越多,效率越低。防火墙的安全性与效率成反比。 100100新一代防火墙面临的问题新一代防火墙面临的问题v目前网络安全的三大主要问题以拒绝访问(DoS/DDoS)为目的网络攻击;以蠕虫(WORM)为代表的病毒传播;以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题占据网络安全问题的九成以上,传统防火墙无能为力。101101产品特色(访问控制特性产品特色(访问控制特性)v 强访问控制强访问控制基于基于基于基于IPIPIPIP地
41、址和端口、传输方向和协议的访问控制;地址和端口、传输方向和协议的访问控制;地址和端口、传输方向和协议的访问控制;地址和端口、传输方向和协议的访问控制;基于时间的访问控制;基于时间的访问控制;基于时间的访问控制;基于时间的访问控制;基于用户的访问控制(内核基于用户的访问控制(内核基于用户的访问控制(内核基于用户的访问控制(内核AAAAAAAAAAAA身份认证);身份认证);身份认证);身份认证);基于网络空间(七层)的访问控制:基于网络空间(七层)的访问控制:基于网络空间(七层)的访问控制:基于网络空间(七层)的访问控制: OSI OSI OSI OSI模型的第一层:网卡控制技术;模型的第一层:
42、网卡控制技术;模型的第一层:网卡控制技术;模型的第一层:网卡控制技术; OSI OSI OSI OSI模型的第二层:模型的第二层:模型的第二层:模型的第二层:MACMACMACMAC过滤防火墙;过滤防火墙;过滤防火墙;过滤防火墙; OSI OSI OSI OSI模型的第三层:智能包过滤(模型的第三层:智能包过滤(模型的第三层:智能包过滤(模型的第三层:智能包过滤(Intelligent Packet FilterIntelligent Packet FilterIntelligent Packet FilterIntelligent Packet Filter);););); OSI OSI
43、OSI OSI模型的第四层:协议改造技术(模型的第四层:协议改造技术(模型的第四层:协议改造技术(模型的第四层:协议改造技术(Protocol NormalizationProtocol NormalizationProtocol NormalizationProtocol Normalization);););); OSI OSI OSI OSI模型的第五层:会话控制技术;模型的第五层:会话控制技术;模型的第五层:会话控制技术;模型的第五层:会话控制技术; OSI OSI OSI OSI模型的第六层:表现控制技术;模型的第六层:表现控制技术;模型的第六层:表现控制技术;模型的第六层:表现控制
44、技术; OSI OSI OSI OSI模型的第七层:应用控制技术。模型的第七层:应用控制技术。模型的第七层:应用控制技术。模型的第七层:应用控制技术。102102产品特色(高安全产品特色(高安全)v高安全性vv高效安全的高效安全的BSD BSD 系统内核系统内核 采用基于采用基于BSDBSD的中网专用安全操作系统,内核级的工作模式,使防火墙的中网专用安全操作系统,内核级的工作模式,使防火墙更加稳定、高效和安全。更加稳定、高效和安全。vv优化的优化的TCP/IPTCP/IP协议栈协议栈 经过加固的系统内核和优化经过加固的系统内核和优化TCP/IPTCP/IP栈,能够有效防范栈,能够有效防范DoS
45、/DDoSDoS/DDoS、源路、源路由攻击、由攻击、IPIP碎片包等多种黑客攻击。碎片包等多种黑客攻击。vv内置入侵检测模块内置入侵检测模块 内置的入情检测系统为客户提供更加广泛和全面的攻击防范、日志查证,内置的入情检测系统为客户提供更加广泛和全面的攻击防范、日志查证,确保内部网络的安全。确保内部网络的安全。vv防范恶意代码防范恶意代码 可以有效阻止可以有效阻止ActiveXActiveX、JavaJava、CookiesCookies、Java ScriptJava Script的入侵。的入侵。1031031.1.1.1.支持移动用户远程拨入,实现对内部网络资源安全访问。支持移动用户远程拨
46、入,实现对内部网络资源安全访问。支持移动用户远程拨入,实现对内部网络资源安全访问。支持移动用户远程拨入,实现对内部网络资源安全访问。2.2.2.2.可以为用户提供全功能的网关到网关可以为用户提供全功能的网关到网关可以为用户提供全功能的网关到网关可以为用户提供全功能的网关到网关VPNVPNVPNVPN解决方案。解决方案。解决方案。解决方案。3.3.3.3.支持国密办许可的加密卡,提供高安全保障。支持国密办许可的加密卡,提供高安全保障。支持国密办许可的加密卡,提供高安全保障。支持国密办许可的加密卡,提供高安全保障。vv集成集成集成集成VPNVPN模块,并支持第三方的加密卡模块,并支持第三方的加密卡
47、模块,并支持第三方的加密卡模块,并支持第三方的加密卡v可扩展性可扩展性1. 1.标配标配标配标配4 4或或或或6 6个网口,满足大多数网络环境需求。个网口,满足大多数网络环境需求。个网口,满足大多数网络环境需求。个网口,满足大多数网络环境需求。2. 2.模块化结构设计,最多支持模块化结构设计,最多支持模块化结构设计,最多支持模块化结构设计,最多支持1010个网卡接口,适应多种网络环境。个网卡接口,适应多种网络环境。个网卡接口,适应多种网络环境。个网卡接口,适应多种网络环境。vv1 1U U设备下实现多网口支持设备下实现多网口支持设备下实现多网口支持设备下实现多网口支持产品特色(可扩展)产品特色
48、(可扩展)vv 可与可与可与可与IDSIDSIDSIDS等安全产品联动等安全产品联动等安全产品联动等安全产品联动1. 1.与国内领先的与国内领先的与国内领先的与国内领先的IDSIDS产品实现联动,如启明星辰、金诺网安等。产品实现联动,如启明星辰、金诺网安等。产品实现联动,如启明星辰、金诺网安等。产品实现联动,如启明星辰、金诺网安等。2. 2.支持国际领先的支持国际领先的支持国际领先的支持国际领先的OPENSECOPENSEC联动协议,如冠群金辰等。联动协议,如冠群金辰等。联动协议,如冠群金辰等。联动协议,如冠群金辰等。v 支持各种网络协议和应用支持各种网络协议和应用支持各种网络协议和应用支持各
49、种网络协议和应用协议协议协议协议1. 1.支持路由协议支持路由协议支持路由协议支持路由协议OSPFOSPF、RIPRIP、RIPIIRIPII、策略路由、策略路由、策略路由、策略路由、DNSDNS、DHCPDHCP等。等。等。等。2. 2.支持支持支持支持VLAN 802.1QVLAN 802.1Q和视频点播、和视频点播、和视频点播、和视频点播、H.323H.323等应用协议过滤。等应用协议过滤。等应用协议过滤。等应用协议过滤。104104产品特色(高可用性产品特色(高可用性)vv问题问题问题问题 网络是否必须网络是否必须网络是否必须网络是否必须24242424x7x7x7x7的不间断运行?的
50、不间断运行?的不间断运行?的不间断运行?vv解决办法心解决办法心解决办法心解决办法心跳互动跳互动跳互动跳互动 采用两台防火墙采用两台防火墙采用两台防火墙采用两台防火墙以主从方式工作,实以主从方式工作,实以主从方式工作,实以主从方式工作,实现故障切换的功能。现故障切换的功能。现故障切换的功能。现故障切换的功能。 稳定、可靠稳定、可靠稳定、可靠稳定、可靠主黑客愁主黑客愁主黑客愁主黑客愁TMTM从黑客愁从黑客愁从黑客愁从黑客愁TMTM请求请求请求请求请求请求请求请求客户机客户机客户机客户机 客户机客户机客户机客户机 客户机客户机客户机客户机2424x7x7应用服务器集群应用服务器集群应用服务器集群应
51、用服务器集群请求请求请求请求请求请求请求请求105105带宽管理带宽管理WebWeb服务器服务器服务器服务器视频应用服务器视频应用服务器视频应用服务器视频应用服务器客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机浏览浏览浏览浏览下载下载下载下载30%30%20%20%50%50%视频视频视频视频FtpFtp服务器服务器服务器服务器带宽管理规则库带宽管理规则库带宽管理规则库带宽管理规则库内网内网外网外网外网外网内网内网vv分级带宽管理,管理分级带宽管理,管理分级带宽管理,管理分级带宽管理,管理直观简便;直观简便;直观简便;直观简便;vv可粗可细带宽分配;可粗可细带宽分配;
52、可粗可细带宽分配;可粗可细带宽分配;vv粗可对某些网卡,可粗可对某些网卡,可粗可对某些网卡,可粗可对某些网卡,可对某个部门的连续对某个部门的连续对某个部门的连续对某个部门的连续IPIP地地地地址段,也可对离散的多址段,也可对离散的多址段,也可对离散的多址段,也可对离散的多个个个个IPIP地址;地址;地址;地址;vv细可以到每一个细可以到每一个细可以到每一个细可以到每一个IPIP地地地地址;址;址;址;106106双机热备份双机热备份v保证系统的可用性v无需手工插拔,10s内自动完成切换v内部用户和外部用户完全透明,无需任何配置主主主主黑客愁黑客愁黑客愁黑客愁TMTM从从从从黑客愁黑客愁黑客愁黑
53、客愁TMTM客户机客户机客户机客户机 客户机客户机客户机客户机 客户机客户机客户机客户机服务器服务器服务器服务器服务器服务器服务器服务器服务器服务器服务器服务器请求请求请求请求请求请求请求请求请求请求请求请求请求请求请求请求107107五、物理隔离网闸介绍108108隔离网闸实现的目标隔离网闸实现的目标 X-GAP技术在设计上主要是为了解决目前网络安全设备中存在的四个主要难题:第一,阻断内外网络的任何网络通信协议的连接。第二,抵御任何基于TCP/IP的已知和未知的网络攻击, 特别是DoS/DDoS攻击。第三,抵御基于操作系统平台漏洞或后门的攻击。第四,阻断内外网络的直接连接,保护安全设备的安全
54、策略。109109中网隔离网闸构成中网隔离网闸构成v硬件组成:内网机;内网机;外网机;外网机;SCSISCSI控制开关系统;控制开关系统;两个网卡两个网卡:分别连接在内网机和外网机的主板:分别连接在内网机和外网机的主板上,用于内网机和外网机的输入输出。上,用于内网机和外网机的输入输出。 110110中网隔离网闸构成中网隔离网闸构成v软件组成:开关控制软件开关控制软件:快速的在两个处理单元之间交换:快速的在两个处理单元之间交换数据。数据。外部单边代理外部单边代理:接收外部的请求,解析出应用协:接收外部的请求,解析出应用协议,过滤数据内容,保证数据中不包含危险命令。议,过滤数据内容,保证数据中不包
55、含危险命令。内部单边代理内部单边代理:通过传输层软件模块接收外部处:通过传输层软件模块接收外部处理单元传入的请求和数据,解析出应用协议,过理单元传入的请求和数据,解析出应用协议,过滤数据内容,保证数据中不包含危险命令。滤数据内容,保证数据中不包含危险命令。 111111中网隔离网闸中网隔离网闸X-GAPX-GAP的特征的特征 v阻断两个网络的物理连接:确保连接网闸X-GAP设备上的两个网络在任何时候链路层均是断开的,没有链路连接;v阻断两个网络的逻辑连接:TCP/IP协议必须被阻断、被剥离,将原始数据通过P2P非TCP/IP的连接透过网闸设备X-GAP传递,没有通信连接、没有网络连接、没有应用
56、连接、完全阻断;v网闸实现服务的应用代理:任何数据交流均通过两级代理的方式来完成,两级代理之间是通过开关系统实现信息交流的;112112中网隔离网闸中网隔离网闸X-GAPX-GAP的特征的特征 v网闸安全策略的内部控制:网闸X-GAP内外系统的安全策略均在可信内网配置合传递,确保安全策略不能被攻击的特性;v协议剥离后的数据摆渡:网闸X-GAP传输的原始数据通过表单方式进行,不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样,不会执行命令;v网闸隔离设备的自我保护:网闸X-GAP外网内置防DoS/DDoS模块,抗攻击、防扫描、防入侵、防篡改、防破坏、防欺骗,同时系统提供完备的日志、审
57、计功能。 113113协议处理图协议处理图TCPTCPIPIPRaw DataRaw DataIPIPTCPTCPDataDataInspectionInspectionProtocolProtocolInspectionInspectionProtocolProtocolInspectionInspection114114TCP/IPTCP/IP协议处理图协议处理图115115SCSISCSI开关系统开关系统v基于SCSI的开关系统开关系统是通过开关系统是通过SCSISCSI控制系统来实现的。控制系统来实现的。SCSISCSI控制系统作为网闸的开关系统是国际公认的、领先控制系统作为网闸的开关
58、系统是国际公认的、领先的技术。的技术。X-GAPX-GAP将将SCSISCSI开关功能在系统的内核中实现,远远优于开关功能在系统的内核中实现,远远优于其它常见的开关技术。其它常见的开关技术。国内唯一实现基于国内唯一实现基于SCSISCSI开关技术的安全公司。开关技术的安全公司。116116隔离网闸主要性能指标最小开关切换时间:12.5ns;网闸摆渡数据速率:248Mbps;百兆带宽网闸吞吐量:80Mbps;设计的最大并发连接数:8192个;网闸内部最大带宽:5120Mbit/s (5G) ;接口数量:支持24个网络接口;在性能方面达到了同期国际主要厂商同类产品的水平.117117X-GAP产品
59、功能模块安全的隔离(断开与摆渡) 由外部主机、内部主机和开关系统组成。外部主由外部主机、内部主机和开关系统组成。外部主机连接外网,内部主机连接内网,外部主机包含机连接外网,内部主机连接内网,外部主机包含外部单边代理、内部主机包含内部单边代理,内外部单边代理、内部主机包含内部单边代理,内外网主机代理之间的文件交换均通过网闸开关系外网主机代理之间的文件交换均通过网闸开关系统来摆渡。统来摆渡。 抗攻击内核(内核防护) 抗攻击;抗攻击; 防扫描;防扫描;防入侵;防入侵; 防篡改;防篡改;防破坏;防破坏; 防欺骗。防欺骗。118118X-GAP产品功能模块协议的中止 中止中止IPIP包穿透;包穿透; 中
60、止中止TCP/UDP/ICMP/ARPTCP/UDP/ICMP/ARP包的穿透;包的穿透; 中止应用协议(相关的中止应用协议(相关的RFCRFC); 不是协议转换;不是私用协议不是协议转换;不是私用协议119119X-GAP产品功能模块病毒查杀 集成防病毒网关;集成防病毒网关;支持手动升级;支持手动升级; 支持自动升级。支持自动升级。访问控制 基于目标安全域;来源安全域;基于目标安全域;来源安全域;基于基于IPIP; 基于基于PortPort;基于协议;基于协议; 基于状态标志。基于状态标志。120120X-GAP产品功能模块安全审计 外部主机的系统日志;内部主机的系统日志;外部主机的系统日志
61、;内部主机的系统日志;功能模块的日志;管理员日志;功能模块的日志;管理员日志;对所有日志信息进行备份。对所有日志信息进行备份。身份认证 基于用户的访问控制;支持基于用户的访问控制;支持RadiusRadius协议认证;协议认证; 支持本地数据库的认证;支持本地数据库的认证; 网络层的身份认证;网络层的身份认证; 支持证书认证接口。支持证书认证接口。121121X-GAP产品功能模块122122X-GAP产品功能模块应用安全:对命令进行过滤对协议进行过滤对URL进行过滤对代码进行过滤完整支持代理123123X-GAP产品功能模块内容安全:基于关键词的过滤基于语意的过滤基于人工智能的控制支持人工干
62、预124124X-GAP产品特点和优势遵循RFC的互联网国际标准X-GAPX-GAP在剥离第七层的应用协议的时候,完全遵在剥离第七层的应用协议的时候,完全遵守相关的守相关的RFCRFC国际标准。因此对应用的兼容性支国际标准。因此对应用的兼容性支持好。持好。具有可定制的特性X-GAPX-GAP采用模块化结构,具有灵活的定制特性。采用模块化结构,具有灵活的定制特性。X-GAPX-GAP可以满足为特殊行业定制具体的业务需求。可以满足为特殊行业定制具体的业务需求。125125X-GAP产品特点和优势一次一认证支持发送电子邮件采用高强度认证;防止病毒乱支持发送电子邮件采用高强度认证;防止病毒乱发电子邮件
63、;发电子邮件;防止病毒泄密;每次授权、每次认证。防止病毒泄密;每次授权、每次认证。协议恢复应用支持;不改变用户的使用方式;应用支持;不改变用户的使用方式;不改变用户的使用习惯;不改变用户的使用习惯; 在第七层根据在第七层根据RFCRFC恢复协议。恢复协议。126126典型案例介绍典型案例介绍电力系统内部隔离方案电力系统内部隔离方案省电力调度数据专网省电力综合信息网EMS/SCADA电量计费系统调度管理信息系统DMIS管理信息系统MIS及OA等Internet物理隔离网闸防火墙防火墙127127省局党政网互联网SDH核心层市局办大楼 访问层20个区(市) 县局访问层OA内部Mail 应用服务器应用层GEGEFEFEFEFE外联层外联应用 服务器发票抽奖WEB12366 系统DDN64K10MFEFEGEGEFEFEFEFEGEGEIDS1IDS2IDS3MPLS VPN备份服务器病毒服务器X-Gap8500 SX-120 LX-120LX-120LX-120LX-120 EX-520 EX-520 EX-520 EX-520 某市地税局方案某市地税局方案128128Thank You!129129
