《信息网络安员培训》由会员分享,可在线阅读,更多相关《信息网络安员培训(67页珍藏版)》请在金锄头文库上搜索。
1、信息网络安全员培训内容概述l计算机网络基础l局域网技术及解决方案 l广域网技术及解决方案l网络安全相关技术及解决方案l问题&应答计算机网络基础OSI 七层参考模型lApplicationlPresentationlSessionlTransportlNetworklData LinklPhysicallData LinklNetworklTransportlSessionlPresentationlApplicationlPhysicall比特流比特流l帧帧(Frame)l包包(Packet)l分段分段(Segment)l会话流会话流l代码流代码流l数据数据TCP/IPTCP/IP协议簇协议簇
2、l传输层传输层l数据连路层数据连路层 l网络层网络层l物理层物理层l应用应用层层l会话层会话层l表示层表示层l应用层应用层l传输层传输层l网络层网络层l物理物理层层lHTTP、FTP、SMTP、lSNMP、POP、TELNET、lRIP、NNTP等等lTCP和和UDPlIP、ICMP、IGMP、lARP、RARP等等lEthernet、ATM、FDDI、lX.25、ISDN等等l内容分发内容分发l负载均衡负载均衡l路由器路由器l交换机交换机TCP会话连接lSYN receivedl主机主机A:客户端:客户端l主机主机 B:服务端:服务端l发送发送TCP SYN分段分段 l(seq=100 ct
3、l=SYN)l1l发送发送TCP SYN&ACK分段分段l(seq=300 ack=101 ctl=syn,ack)lSYN receivedl2lEstablishedl(seq=101 ack=301 ctl=ack)l3TCP连接的终止l主机主机B:服务端:服务端l主机主机 A:客户端:客户端l1l发送发送TCP FIN分分段段l2l发送发送TCP ACK分分段段l3l发送发送TCP FIN分分段段l4l发送发送TCP ACK分分段段l关闭关闭A到到B的连接的连接l关闭关闭A到到B的连接的连接局域网技术及解决方案局域网技局域网技术 1 1 1 1、局域网(、局域网(、局域网(、局域网(L
4、ANLANLANLAN)的定义:)的定义:)的定义:)的定义: LANLAN是一个覆盖地理位置相对较小的高速数据网络,通过电缆将服务器、工作站、打是一个覆盖地理位置相对较小的高速数据网络,通过电缆将服务器、工作站、打印机和其它设备连接到一起。这种网络通常位于一个比较集中的建筑群内。印机和其它设备连接到一起。这种网络通常位于一个比较集中的建筑群内。 2 2 2 2、LAN LAN LAN LAN 拓扑结构:拓扑结构:拓扑结构:拓扑结构: 电脑连接的方式叫电脑连接的方式叫“网络拓扑网络拓扑”,常见的,常见的LANLAN物理拓扑结构物理拓扑结构物理拓扑结构物理拓扑结构有三种:总线型、环型和有三种:总
5、线型、环型和星型。而星型。而逻辑拓扑结构逻辑拓扑结构逻辑拓扑结构逻辑拓扑结构只有总线型和环型两种。逻辑总线型和环型拓扑结构通常可以在星只有总线型和环型两种。逻辑总线型和环型拓扑结构通常可以在星型物理拓扑结构中实现。型物理拓扑结构中实现。图一图一总线型总线型(以太网)(以太网)图二图二环型环型(令牌环、(令牌环、FDDI)图三图三星型星型图四图四星型星型局域网技局域网技术 3 3 3 3、以太网类型:、以太网类型:、以太网类型:、以太网类型: 1 1 1 1)标准以太网)标准以太网)标准以太网)标准以太网:速率为速率为10Mbps10Mbps,传输介质为同轴电缆或双绞线,传输介质为同轴电缆或双绞
6、线; 2 2 2 2)快速以太网:)快速以太网:)快速以太网:)快速以太网:速率为速率为100Mbps100Mbps,传输介质为双绞线或光纤;,传输介质为双绞线或光纤; 3 3 3 3)千兆以太网:)千兆以太网:)千兆以太网:)千兆以太网:速率为速率为1000Mbps1000Mbps,传输介质为双绞线或光纤;,传输介质为双绞线或光纤; 4 4)万兆以太网:速率为)万兆以太网:速率为10000Mbps,10000Mbps,传输介质为双绞线或光纤传输介质为双绞线或光纤. . 4 4 4 4、局域网(以太网)设备:、局域网(以太网)设备:、局域网(以太网)设备:、局域网(以太网)设备: 1 1 1
7、1)网络线缆)网络线缆)网络线缆)网络线缆:同轴电缆、双绞线、光纤。同轴电缆、双绞线、光纤。 2 2 2 2)网卡:)网卡:)网卡:)网卡:一种电脑辅助板卡,一面插入电脑母板的扩展槽,另一面与网络线缆相连。一种电脑辅助板卡,一面插入电脑母板的扩展槽,另一面与网络线缆相连。网卡完成网络通信所需的各种功能。只有通过网卡,电脑才能通过网络进行通信。网卡完成网络通信所需的各种功能。只有通过网卡,电脑才能通过网络进行通信。 目前常用的以太网卡:目前常用的以太网卡:10M10M、10/100M10/100M自适应、自适应、1000M1000M。 3 3 3 3)集线器:)集线器:)集线器:)集线器:是一种
8、连接多个用户节点的是一种连接多个用户节点的物理层物理层物理层物理层设备,每个经集线器连接的节点都需要设备,每个经集线器连接的节点都需要一条专用电缆,用集线器可以建立一个物理的星型网络结构。一条专用电缆,用集线器可以建立一个物理的星型网络结构。 常用的集线器按速率分有常用的集线器按速率分有10M10M、100M100M、10/100M10/100M自适应三种,支持的端口数从自适应三种,支持的端口数从8 8口到口到2424口口不等。集线器令所有端口不等。集线器令所有端口共享共享共享共享10M10M(或(或100M100M)带宽。)带宽。 局域网技术4 4 4 4、局域网(以太网)设备:、局域网(以
9、太网)设备:、局域网(以太网)设备:、局域网(以太网)设备: 4 4 4 4)交换机:)交换机:)交换机:)交换机:是是数据链路层数据链路层数据链路层数据链路层设备,它将较大的局域网分解成较小的子网,另每个端口下设备,它将较大的局域网分解成较小的子网,另每个端口下连接的单个设备或子网独享连接的单个设备或子网独享10M10M(或(或100M100M)分段,然后再实现分段间通信。)分段,然后再实现分段间通信。 交换机对大网进行细分,减少了从一个分段到另一个分段时不必要的网络信息流,从交换机对大网进行细分,减少了从一个分段到另一个分段时不必要的网络信息流,从而解决了网络拥塞问题,提高网络整体性能。而
10、解决了网络拥塞问题,提高网络整体性能。 常见交换机类型:常见交换机类型:10M10M、10/100M10/100M、1000M1000M,端口从,端口从8 8口到口到4848口不等。口不等。 交换机还有可堆叠、不可堆叠,可网管、不可网管以及是否带三层路由功能之分。交换机还有可堆叠、不可堆叠,可网管、不可网管以及是否带三层路由功能之分。交换机交换机集线器集线器子网子网A集线器集线器子网子网B局域网技术5 5 5 5、虚拟局域网(、虚拟局域网(、虚拟局域网(、虚拟局域网(VLANVLANVLANVLAN)简介:)简介:)简介:)简介: 1 1 1 1)所谓所谓VLANVLANVLANVLAN,是指
11、一个由多个段组成的物理网络中的结点的,是指一个由多个段组成的物理网络中的结点的逻辑分组逻辑分组逻辑分组逻辑分组,利用,利用VLANVLAN,工作组应用可以象所有工作组成员都连接到同一个物理网段上一样进行工作,而不必关心工作组应用可以象所有工作组成员都连接到同一个物理网段上一样进行工作,而不必关心用户实际连接到哪个网段上。用户实际连接到哪个网段上。VLANVLAN是交换式是交换式LANLAN的最大特点。的最大特点。交换交换机机交换交换机机交换交换机机部门部门A部门部门B部门部门A部门部门B局域网技术 2 2 2 2)VLANVLANVLANVLAN的优点:的优点:的优点:的优点: 改进管理的效率
12、:改进管理的效率:VLANVLAN提供了有效的机制来控制由于企业结构、人事或资源变化对提供了有效的机制来控制由于企业结构、人事或资源变化对网络系统所造成的影响。例如,当用户从一个地点移到另一个地点时,只需对交换机的配网络系统所造成的影响。例如,当用户从一个地点移到另一个地点时,只需对交换机的配置稍做改动即可,大大简化了重新布线。配置和测试的步骤。置稍做改动即可,大大简化了重新布线。配置和测试的步骤。 控制广播活动:控制广播活动:VLANVLAN可保护网络不受由广播流量所造成的影响,一个可保护网络不受由广播流量所造成的影响,一个VLANVLAN内的广播内的广播信息不会传送到信息不会传送到VLAN
13、VLAN之外,网络管理人员可以通过设置之外,网络管理人员可以通过设置VLANVLAN灵活控制广播域。灵活控制广播域。 增强网络安全:增强网络安全:VLANVLAN创造了虚拟边界,它只能通过路由跨越,因此通过将网络用户创造了虚拟边界,它只能通过路由跨越,因此通过将网络用户划分到不同划分到不同VLANVLAN并结合访问控制,可控制并结合访问控制,可控制VLANVLAN外部站点对外部站点对VLANVLAN内部资源的访问,提高网络内部资源的访问,提高网络的安全性。的安全性。 3 3 3 3)VLANVLANVLANVLAN的划分方法:的划分方法:的划分方法:的划分方法: MACMAC地址、地址、IPI
14、P地址、交换机端口地址、交换机端口5 5 5 5、虚拟局域网(、虚拟局域网(、虚拟局域网(、虚拟局域网(VLANVLANVLANVLAN)简介:)简介:)简介:)简介:局域网络的设计需求 更高的可靠性更高的可靠性l冗余的网络结构:冗余的网络结构:STP,PVSTl高速故障链路切换:高速故障链路切换:Uplink fast, Backbone fast, Port fast 更高的安全性更高的安全性l完整的网络安全策略:完整的网络安全策略:VLAN, 基于交换机端口的安全性,基于交换机端口的安全性, 更高的性能更高的性能l基于光纤和基于光纤和UTP的千兆以太网及以太网通道的千兆以太网及以太网通道
15、l高效的第三层交换高效的第三层交换 更好的可管理性更好的可管理性l强大的网络管理工具:强大的网络管理工具:CiscoWorks2000 支持未来业务的发展支持未来业务的发展局域网网络解决方案特点1.系统稳定可靠;采用Catalyst4506/4507组成双中心,且链路冗余;2.高性能全交换、千兆主干,满足大负荷网络运行需求;中心交换机备板64Gbps,二层和三层交换性能为48MPPS;3.三层交换,虚拟网络划分,有效隔离办公与业务网络,避免广播风暴,提高网络性能;4.边缘交换机采用10/100M端口连接终端用户,Catalyst 3550光纤千兆上联,可堆叠扩展用户数目,节省上联链路;Cata
16、lyst 2950采用UTP千兆上联,投资保护5.思科GEC/FEC带宽聚合技术保证网络速度不会造成业务的瓶颈6.系统安全, 保密性高; ACL,VLAN等网络安全策略7.管理简单,浏览器方式无需专门培训; 配置 CiscoWorks 2000或CiscoWorks Windows网管软件8.良好的扩充性9.支持多媒体应用,视频点播、IP电话机供电局域网网络解决方案 lCiscoWorks for Windowsl网管网管lOA/邮件服件服务器器l4GB GECl中心两台中心两台Catalyst3550T交换机,交换机,通过千兆连接,支持通过千兆连接,支持VLAN和高和高速三层交换速三层交换l
17、1000Ml10/100Ml10/100Ml业务服服务器器l10/100Ml10/100MlCatalyst 2950Tl1000Ml1000MlCatalyst 2950Tl工作站工作站 10/100M 接入接入 l1000Ml1000MlCatalyst 2950T企业中型分支机构局域网网络解决方案特点1.系统稳定可靠;采用Catalyst 3550T组成双中心,且链路冗余;2.高性能全交换、千兆主干,满足大负荷网络运行需求;中心交换机备板24Gbps; 性能价格比高; 17Mpps的二、三层转发速率; 3.三层交换,虚拟网络划分,有效隔离办公与业务网络,避免广播风暴,提高网络性能;4.边
18、缘交换机采用10/100M端口连接终端用户,Catalyst 3550光纤千兆上联,可堆叠扩展用户数目,节省上联链路;Catalyst 2950T采用UTP千兆上联,投资保护5.思科GEC/FEC带宽聚合技术保证网络速度不会造成业务的瓶颈6.系统安全, 保密性高; ACL,VLAN等网络安全策略7.管理简单,浏览器方式无需专门培训; 配置 CiscoWorks Windows网管软件8.良好的扩充性9.支持多媒体应用,视频点播网络安全技术及相关解决方案防火墙技术l防火墙:是加载于可信网络与不可信网络之间的安全设备,是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现
19、对网络安全的有效管理。l防火墙可以是软件、硬件和软硬件结合的l发展历经简单包过滤、应用代理、状态检测(状态包过滤)防火墙l最新技术是具有数据流过滤功能的防火墙l对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙l防火墙本身必须建立在安全操作系统的基础上防火墙的控制能力l服务控制,确定哪些服务可以被访问l方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙l用户控制,根据用户来控制对服务的访问l行为控制,控制一个特定的服务的行为防火墙主要功能l过滤进、出网络的数据l管理进、出网络的访问行为l封堵某些禁止的业务l记录通过防火墙的信息内容和活动l对网络攻击进行检测和报警内部
20、工作子网与外网的访问控制l进进行行访访问问 规规 则则检查检查l发发起起访访问问请求请求l合合法法请请求求则则允允许对外访问许对外访问l将将访访问问记记录录写写进进日日志志文件文件l合合法法请请求求则则允允许许对外访问对外访问l发起访问请求发起访问请求l l防火墙在此处的功能:防火墙在此处的功能:防火墙在此处的功能:防火墙在此处的功能:l l1 1、工作子网与外部子网的物理、工作子网与外部子网的物理、工作子网与外部子网的物理、工作子网与外部子网的物理 隔离隔离隔离隔离l l2 2、访问控制、访问控制、访问控制、访问控制l l3 3、对工作子网做、对工作子网做、对工作子网做、对工作子网做NATN
21、AT地址转换地址转换地址转换地址转换l l4 4、日志记录、日志记录、日志记录、日志记录l l l lInternet Internet 区域区域区域区域l lInternetInternetl l边界路由器边界路由器边界路由器边界路由器l lDMZDMZ区域区域区域区域lWWW Mail DNSl l内部工作子网内部工作子网内部工作子网内部工作子网l管理子网管理子网l一般子网一般子网l内部内部WWWl重点子网重点子网DMZ区域与外网的访问控制l l l lInternet Internet 区域区域区域区域l lInternetInternetl l边界路由器边界路由器边界路由器边界路由器l
22、进进行行访访问问 规规 则则检查检查l发发起起访访问问请求请求l合合法法请请求求则则允允许对外访问许对外访问l将将访访问问记记录录写写进进日日志志文件文件l禁禁止止对对外外发发起起连连结请求结请求l发起访问请求发起访问请求l l防火墙在此处的功能:防火墙在此处的功能:防火墙在此处的功能:防火墙在此处的功能:l l1 1、DMZDMZ网段与外部子网的物理隔离网段与外部子网的物理隔离网段与外部子网的物理隔离网段与外部子网的物理隔离l l2 2、访问控制、访问控制、访问控制、访问控制l l3 3、对、对、对、对DMZDMZ子网做子网做子网做子网做MAPMAP映射映射映射映射l l4 4、日志记录、日
23、志记录、日志记录、日志记录l lDMZDMZ区域区域区域区域lWWW Mail DNSl l内部工作子网内部工作子网内部工作子网内部工作子网l管理子网管理子网l一般子网一般子网l内部内部WWWl重点子网重点子网内部子网与DMZ区的访问控制l进进行行访访问问 规规 则则检查检查l发发起起访访问问请求请求l合合法法请请求求则则允允许对外访问许对外访问l将将访访问问记记录录写写进进日日志志文件文件l禁禁止止对对工工作作子子网网 发发起起连连结结 请请求求l发发起起访访问问请求请求l l l lInternet Internet 区域区域区域区域l lInternetInternetl l边界路由器边
24、界路由器边界路由器边界路由器l lDMZDMZ区域区域区域区域lWWW Mail DNSl l内部工作子网内部工作子网内部工作子网内部工作子网l管理子网管理子网l一般子网一般子网l内部内部WWWl重点子网重点子网拨号用户对内部网的访问控制l拨号服务器拨号服务器lCisco 2620l移移 动动 用用户户lPSTNlModemlModeml进进 行行 一一次次性性口口令令认证认证l认认 证证 通通过过后后允允许许访问访问 内网内网l将将访访问问记记录录写写进进日日志志文件文件l l内部工作子网内部工作子网内部工作子网内部工作子网l管理子网管理子网l一般子网一般子网l内部内部WWWl重点子网重点子
25、网基于时间的访问控制Host C Host D 在防火墙上制定基于在防火墙上制定基于时间的访问控制策略时间的访问控制策略上班时间不允许上班时间不允许访问访问Internet上班时间可以访上班时间可以访问公司的网络问公司的网络Internet用户级权限控制Host C Host D Host B Host A l受保护网络受保护网络Internet PermitPasswordUsername预先可在防火墙上设定用户预先可在防火墙上设定用户root123lroot123Yesladmin883No不管那台电脑都可以用相不管那台电脑都可以用相同的用户名来登陆防火墙同的用户名来登陆防火墙只需在防火墙
26、设置只需在防火墙设置该用户的规则即可该用户的规则即可高层协议控制v 应用控制可以对常用的高层应用做更应用控制可以对常用的高层应用做更细的控制细的控制v 如如HTTP的的GET、POST、HEADv 如如FTP的的GET、PUT等等物理层物理层链路层链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层物理层物理层链路层链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层内部网络内部网络外部网络外部网络防火墙防火墙内部接口内部接口外部接口外部接口根据策略检查根据策略检查应用层的数据应用层的数据符合策略符合策略应用层应用层应用层应用层应用层应用层IP与MAC绑定Inter
27、netHost A 199.168.1.2Host B199.168.1.3Host C199.168.1.4Host D199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBind 199.168.1.2 To 00-50-04-BB-71-A6Bind 199.168.1.2 To 00-50-04-BB-71-A6Bind 199.168.1.4 To 00-50-04-BB-71-BCBind 199.168.1.4 To 00-50-04-BB-71-BCIPIP与与与与MACMAC地址绑定后,不允许地址绑定后,不允许地址绑定后,不允许地址绑定后
28、,不允许Host BHost B假冒假冒假冒假冒Host AHost A的的的的IPIP地址上网地址上网地址上网地址上网防火墙允许防火墙允许Host A上网上网流量控制Host C Host D Host B Host A l受保护网络受保护网络Host A的流量已达到的流量已达到 10MHost A的流量已达到的流量已达到 极限值极限值30M阻断阻断Host A的连接的连接Internet端口映射Internetv 公开服务器可以使用私有地址公开服务器可以使用私有地址v 隐藏内部网络的结构隐藏内部网络的结构WWW 199.168.1.2FTP 199.168.1.3MAIL 199.168.
29、1.4DNS 199.168.1.5199.168.1.612.4.1.5202.102.1.3199.168.1.2:80202.102.1.3:80l199.168.1.3:21202.102.1.3:21l199.168.1.4:25202.102.1.3:25l199.168.1.5:53202.102.1.3:53http:/199.168.1.2http:/202.102.1.3NAT网关和IP复用InternetInternet202.102.93.54Host Al受保护网络受保护网络Host C Host D 192.168.1.21192.168.1.25防火墙防火墙Eth
30、2:192.168.1.23Eth0:101.211.23.1数据数据IP报头报头数据数据IP报头报头源地址:源地址:192.168.1.21目地址:目地址:202.102.93.54源地址:源地址:101.211.23.1目地址:目地址:202.102.93.54101.211.23.2 隐藏了内部网络的结构隐藏了内部网络的结构 内部网络可以使用私有内部网络可以使用私有IP地址地址 公开地址不足的网络可以使用这种方式提供公开地址不足的网络可以使用这种方式提供IP复用功能复用功能透明接入l受保护网络受保护网络Internet如果防火墙支持透明模式,则如果防火墙支持透明模式,则内部网络主机的配置
31、不用调整内部网络主机的配置不用调整Host A 199.168.1.2Host C199.168.1.4Host D199.168.1.5Host B199.168.1.3199.168.1.8同一网段同一网段透明模式下,这里不透明模式下,这里不用配置用配置IP地址地址透明模式下,这里不透明模式下,这里不用配置用配置IP地址地址Default Gateway=199.168.1.8防火墙相当于网桥,防火墙相当于网桥,原网络结构没有改变原网络结构没有改变信息系统审计与日志Host A 199.168.1.2Host B199.168.1.3Host C199.168.1.4Host D199.1
32、68.1.5Internetl安全网域安全网域Host G Host H TCP202.102.1.2199.168.1.28:302001-02-07202.102.1.2202.102.1.3TCP202.102.1.3199.168.1.59:102001-02-07写入日志写入日志写入日志写入日志一旦出现安全事故一旦出现安全事故可以查询此日志可以查询此日志身份鉴别功能Host C Host D Host B Host A l受保护网络受保护网络Internet PermitPasswordUsername预先可在防火墙上设定用户预先可在防火墙上设定用户rootasdasdf验证通过则允
33、许访问验证通过则允许访问lroot123Yesladmin883Novv 用户身份认证用户身份认证用户身份认证用户身份认证vv 根据用户控制访问根据用户控制访问根据用户控制访问根据用户控制访问防火墙的类型l包过滤路由器l应用层网关l电路层网关l这仅是一种防火墙分类方法,所着眼的视角不同,得到的类型划分也不一样包过滤防火墙l基本的思想很简单n对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包n往往配置成双向的l如何过滤n过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址、IP协议域、源和目标端口号n过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定包过
34、滤路由器示意图l网络层网络层l链路层链路层l物理层物理层l外部网外部网络络l内部网内部网络络包过滤Host C Host D 数据包数据包数据包数据包数据包数据包数据包数据包数据包数据包查找对应的查找对应的控制策略控制策略拆开数据包拆开数据包进行分析进行分析根据策略决定如根据策略决定如何处理该数据包何处理该数据包数数据据包包控制策略控制策略v 基于源基于源IP地址地址v 基于目的基于目的IP地址地址v 基于源端口基于源端口v 基于目的端口基于目的端口v 基于时间基于时间v基于用户基于用户v 基于流量基于流量v基于数据流基于数据流可以灵活的制定可以灵活的制定的控制策略的控制策略包过滤防火墙的优缺
35、点l在网络层上进行监测n并没有考虑连接状态信息l通常在路由器上实现n实际上是一种网络的访问控制机制l优点n实现简单n对用户透明n效率高l缺点n正确制定规则并不容易n不可能引入认证机制针对包过滤防火墙的攻击lIP地址欺骗,例如,假冒内部的IP地址n对策:在外部接口上禁止内部地址l源路由攻击,即由源指定路由n对策:禁止这样的选项l小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中n对策:丢弃分片太小的分片l利用复杂协议和管理员的配置失误进入防火墙n例如,利用ftp协议对内部进行探查应用层网关l也称为代理服务器l特点n所有的连接都通过防火墙,防火墙作为网关n在应用层上实现n可以监视包的内容n
36、可以实现基于用户的认证n所有的应用需要单独实现n可以提供理想的日志功能n非常安全,但是开销比较大应用层网关的优缺点l优点n允许用户“直接”访问Internetn易于记录日志l缺点n新的服务不能及时地被代理n每个被代理的服务都要求专门的代理软件n客户软件需要修改,重新编译或者配置n有些服务要求建立直接连接,无法使用代理n代理服务不能避免协议本身的缺陷或者限制电路层网关l工作于OSI/RM的会话层l充当屏蔽路由器,将内外网彻底隔离防火墙设计规则l保持设计的简单性l计划好防火墙被攻破时的应急响应l考虑以下问题n双机热备n安全的远程管理n入侵监测的集成n数据保护功能双机热备内部网内部网外网或者不信任域
37、外网或者不信任域Eth 0Eth 0Eth1Eth1Eth2Eth2心跳线心跳线Active FirewallStandby Firewall检测检测Active Firewall的状态的状态发现出故障,立即接管其工作发现出故障,立即接管其工作 正常情况下由主正常情况下由主防火墙工作防火墙工作主防火墙出故障以后,主防火墙出故障以后,接管它的工作接管它的工作安全远程管理l安全网域安全网域Host C Host D Internet管理员管理员黑客黑客如何实现如何实现安全管理呢安全管理呢采用一次性口令认证来实采用一次性口令认证来实现安全管理现安全管理用户名,口令用户名,口令用户名,口令用户名,口令
38、数据机密性保护l l拨号服务器拨号服务器拨号服务器拨号服务器l lPSTNPSTNl l l lInternet Internet 区域区域区域区域l lInternetInternetl l边界路由器边界路由器边界路由器边界路由器l l内部工作子网内部工作子网内部工作子网内部工作子网l管理子网管理子网l一般子网一般子网l内部内部WWWl重点子网重点子网l l下属机构下属机构下属机构下属机构l lDDN/FRDDN/FRl lX.25X.25专线专线专线专线l lDMZDMZ区域区域区域区域lWWW Mail DNSl密文密文传输传输l明文传输明文传输l明文传输明文传输数据完整性保护l l内部
39、工作子网内部工作子网内部工作子网内部工作子网l管理子网管理子网l一般子网一般子网l内部内部WWWl重点子网重点子网l l下属机构下属机构下属机构下属机构l lDDN/FRDDN/FRl lX.25X.25专线专线专线专线l原始数据包原始数据包l对原始数据包进行对原始数据包进行Hashl加密后的数据加密后的数据包包l摘要摘要lHashl摘要摘要l对原始数据包进行加密对原始数据包进行加密l加密后的数据加密后的数据包包l加密加密l加密后的数据加密后的数据包包l摘要摘要l加密后的数据加密后的数据包包l摘要摘要l摘要摘要l解密解密l原始数据包原始数据包lHashl原始数据包原始数据包l与原摘要进行比较,
40、验证数据的完整性与原摘要进行比较,验证数据的完整性数据源身份验证l l内部工作子网内部工作子网内部工作子网内部工作子网l管理子网管理子网l一般子网一般子网l内部内部WWWl重点子网重点子网l l下属机构下属机构下属机构下属机构l lDDN/FRDDN/FRl lX.25X.25专线专线专线专线l原始数据包原始数据包l对原始数据包进行对原始数据包进行HashlHashl摘要摘要l加密加密l摘要摘要l摘要摘要l取取 出出DSSl原始数据包原始数据包lHashl原始数据包原始数据包l两摘要相比较两摘要相比较l私钥私钥l原始数据包原始数据包DSSDSSl将数字签名附在原始包将数字签名附在原始包后面供对
41、方验证签名后面供对方验证签名l得到数字签名得到数字签名l原始数据包原始数据包DSSl原始数据包原始数据包DSSDSSl解密解密l相相等等吗吗?l验验证证通通过过IDSlIDS(Intrusion Detection System)就是入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。 l监控室监控室=控制中心控制中心l后门后门l保安保安=防火墙防火墙l摄像机摄像机=探测引擎探测引擎l lCard KeyCard Keyl形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同
42、时它也形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。(与防火墙联动)。入侵检测系统l Firewall FirewalllServer
43、slDMZDMZlIDS AgentlIntranIntranetetl监控中心监控中心lrouterl攻击攻击者者l发现攻击发现攻击l发现攻击发现攻击l发现攻发现攻击击l报报警警l报报警警lIDS Agent入侵检测系统的作用l实时检测n实时地监视、分析网络中所有的数据报文n发现并实时处理所捕获的数据报文l安全审计n对系统记录的网络事件进行统计分析n发现异常现象n得出系统的安全状态,找出所需要的证据l主动响应n主动切断连接或与防火墙联动,调用其他程序处理 典型部署lIntranIntranetetlIDS AgentlIDS AgentlFirewalFirewall llServerslD
44、MZDMZlIDS Agentl监控中心监控中心lrouter病毒新概念病毒感染不仅是一个文件,病毒感染不仅是一个文件,而是一个系统而是一个系统病毒文件会替换操作系统文件病毒文件会替换操作系统文件不是所有病毒都可以修复的!不是所有病毒都可以修复的!杀蠕虫和特洛伊木马的方法就是删除整个杀蠕虫和特洛伊木马的方法就是删除整个文件文件 完整的防毒规划七大要素多层次多层次、全方位全方位、跨平台的技术及強大功能跨平台的技术及強大功能简易快速的网络安装简易快速的网络安装集中管理集中管理警报和报表系统警报和报表系统自动化服务机制自动化服务机制合理的预算规划合理的预算规划对对企业用户的服务与支持企业用户的服务与
45、支持防毒产品的剖析l选购防毒产品的考虑选购防毒产品的考虑防毒解毒能力最重要的基本防毒解毒能力最重要的基本能力能力管理能力管理能力针对中国用户的病毒库升级服务针对中国用户的病毒库升级服务l选择的标准选择的标准厂商提供的比较表最不可靠厂商提供的比较表最不可靠单一产品評比仅在當发有效单一产品評比仅在當发有效( (产品版本不断更新产品版本不断更新) )专业防毒认证具公信力,需要持续送测专业防毒认证具公信力,需要持续送测l主要认证单位主要认证单位ICSA (ICSA (基本认证基本认证) )Check-Mark (Level 2 Check-Mark (Level 2 确保修复能力确保修复能力) )Vi
46、rus Bulletin (Virus Bulletin (最最严格严格) )lInternetInternetlInternet Email Internet Email 网网关关l防火墙防火墙l l网关级网关级网关级网关级l群件服务器群件服务器 - Notes and - Notes and ExchangeExchangelNetWare NetWare lServerServerlNT ServerNT Serverl l服务器服务器服务器服务器级级级级lMacintoshMacintoshlWindowsWindowsl 95/98 95/98lWinXPWinXPlWindowsW
47、indowsl NT/2000 NT/2000l l客户端级客户端级客户端级客户端级l3. 3. 第三是通过软盘和盗版光盘传播病毒第三是通过软盘和盗版光盘传播病毒l1. 1. 第一是电子邮件带来的病毒第一是电子邮件带来的病毒l2. 2. 第二是通过第二是通过Internet Internet 浏览、浏览、下载(下载(HTTPHTTP、FTPFTP)病毒病毒- -多层感染途径多层感染途径l l只要有可能感染和传播病毒的途只要有可能感染和传播病毒的途只要有可能感染和传播病毒的途只要有可能感染和传播病毒的途径和方式都应有相应的解决方案径和方式都应有相应的解决方案径和方式都应有相应的解决方案径和方式都
48、应有相应的解决方案l服务器服务器l客户端客户端l网关网关l防病毒防病毒l入侵检测入侵检测l风险管理风险管理l内容过滤内容过滤l内容过滤内容过滤l入侵检测入侵检测l防病毒防病毒l防火墙防火墙l内容过滤内容过滤l入侵检测入侵检测l防病毒防病毒l防火墙防火墙安全市场的现状lInternet病毒网关应用lDMZ Email HTTPl财务财务部部l市场市场部部l研发研发部部lRouterlExe/doc/zipl病毒病毒库库病毒网关性能测试 lNote 1: The testing results for Symantec, Trend/Cisco and Trend/Nokia are obtain
49、ed from Veritest report December 2002lNote 2: The FortiGate 3000 performance testing are performed using the same testing environment and testing methodologylNote 3: Up to 120 HTTP clients have been simulated in FG test while only 60 have been simulated in the competitors testlNote 4: In FG test, a
50、mix of files with over 25% of executable files and other AV scannable content is used which constitutes a heavier scanning burden to the AV scanning enginelNote 5: These numbers are performance/price numbers Mbps/Thousand $; used peak performance for all vendors in the calculationl5.38(5)l0.40 (5) (
51、CSCO)l0.20 (5) (Nokia)l0.53(5) (SMTC)网络安全的重点l网络安全一直无法落实的主因就在于,不知道漏洞的存在,甚至不去实时修补漏洞,那黑客铁定比你清楚如何利用它。正确的网络安全观念并不是一昧的购置网络安全产品,更重要的是主动正视安全漏洞的问题,做好入侵预防,并且实时做好漏洞修补的工作,让黑客根本就不得其门而入。常用安全工具l防火墙l入侵检测工具snortl端口扫描工具nmapl系统工具netstat、lsofl网络嗅探器tcpdump、snifferl综合工具X-Scanner、流光、Nessus十大最佳网络安全工具lNessus http:/www.nessu
52、s.org lNetcat http:/ lTcpdump http:/www.tcpdump.org lSnort http:/www.snort.org lSaint http:/ lEthereal http:/ethereal.zing.org/ lWhisker http:/ lInternet Security Scanner http:/ lAbacus Portsentry http:/ lDsniff http:/naughty.monkey.org/dugsong/dsniff 安全站点l绿盟科技http:/l绿色兵团http:/www.vertarmy.orgl网络安全评估中心http:/l安全焦点http:/l网络安全响应中心http:/l国外:lhttp:/www.cert.orglhttp:/www.sans.orglhttp:/www.securityfocus.orglhttp:/www.securiteam.orgT