网络安全架构设计

北邮•信息安全中心•崔宝江安全网络架构设计崔宝江北京邮电大学信息安全中心北邮•信息安全中心•崔宝江目录一.防火墙二.IDS三.IPS四.VPN五.安全的网络架构设计北邮•信息安全中心•崔宝江防火墙分类•根据保护对象分为：ˆ网络防火墙ˆ主机防火墙•根据防范技术分为：ˆ包过滤防火墙ˆ应用层代理ˆ全状态检测防火墙ˆ地址翻译防火墙北邮•信息安全中心•崔宝江包过滤检查内容安全网域HostCHostD•UDP•Block•HostC•HostB•TCP•Pass•HostC•HostA•Destination•Protocol•Permit•Source数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包控制策略数据包过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理•数据•TCP报头•IP报头分组过滤判断信息北邮•信息安全中心•崔宝江包过滤检查内容•数据包过滤一般要检查网络层的IP头和传输层的头：ˆIP源地址ˆIP目标地址ˆ协议类型（TCP包、UDP包和ICMP包）ˆTCP或UDP包的目的端口ˆTCP或UDP包的源端口ˆICMP消息类型ˆTCP包头的ACK位ˆTCP包的序列号、IP校验和等北邮•信息安全中心•崔宝江包过滤防火墙北邮•信息安全中心•崔宝江优点：•速度快，性能高•对用户透明缺点：•维护比较困难(需要对TCP/IP了解）•安全性低（IP欺骗等）•不提供有用的日志，或根本就不提供•不防范数据驱动型攻击•不能根据状态信息进行控制•不能处理网络层以上的信息•无法对网络上流动的信息提供全面的控制包过滤防火墙优缺点互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层北邮•信息安全中心•崔宝江目录一.防火墙二.IDS三.IPS四.VPN五.安全的网络架构设计北邮•信息安全中心•崔宝江IDS入侵检测系统（英文名称IntrusionDetectionSystem或者称为IDS）工作在计算机网络系统中的关键节点上，通过实时地收集和分析计算机网络或系统中的信息，来检查是否出现违反安全策略的行为和遭到袭击的迹象，进而达到防止攻击、预防攻击的目的。北邮•信息安全中心•崔宝江IDS的作用交换机防火墙内部网路由器internet智能发现攻击记录并发出报警信息启动响应动作北邮•信息安全中心•崔宝江IDS的作用DMZDMZEE--MailMailFileTransferFileTransferHTTPHTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继外部攻击外部攻击警告警告!!记录攻击外部攻击外部攻击终止连接北邮•信息安全中心•崔宝江DMZDMZEE--MailMailFileTransferFileTransferHTTPHTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继内部攻击行为内部攻击行为警告警告!!启动事件日志,发送消息IDS的作用北邮•信息安全中心•崔宝江功能：在网络关键点收集信息和分析，发现可疑行为。缺陷：能发现但难以阻止NIDS北邮•信息安全中心•崔宝江FIREWALL&NIDS功能互补，通过合理搭配部署和联动提升网络安全级别：检测来自外部和内部的入侵行为和资源滥用在关键边界点进行访问控制攻击检测更新迅速，实时的发现和阻断北邮•信息安全中心•崔宝江IDS&FIREWALL•相辅相成，在网络安全解决方案中承担不同的角色。发现（detect）审计（audit）保护（Protect）FWIDSflag1幻灯片15flag1flag,2003-6-3北邮•信息安全中心•崔宝江IDS和扫描器的关系•IDS和扫描器都是简化管理员的工作，发现网络中的问题扫描器是完全主动式安全工具，能够了解网络现有的安全水平IDS是相对被动式安全工具，能够了解网络中即时发生的攻击北邮•信息安全中心•崔宝江目录一.防火墙二.IDS三.IPS四.VPN五.安全的网络架构设计北邮•信息安全中心•崔宝江IPS•背景：€防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码€IDS由于旁路部署，无法阻断攻击，亡羊补牢，侧重安全状态监控•IPS的优点ˆ串联在线部署，主动防御，实时阻断攻击ˆ实现内容和应用层的拦截北邮•信息安全中心•崔宝江如何防御攻击？入侵保护系统IPS入侵检测系统IDSIDSIPS北邮•信息安全中心•崔宝江内容管理•能够基于行为、时间、IP地址等多种条件组合，灵活控制用户上网行为，包括IM即时通讯、P2P下载、在线视频、网络流媒体及网络游戏等行为•对IM即时通讯、P2P下载等行为提供内容监控，及时发现恶意行为并进行阻断•全面抵御木马后门、广告软件、恶意程序等间谍软件功能，对间谍软件的通信和传播进行拦截并阻止对这些恶意程序的下载•支持审计功能，可以记录网络的通信报文，并解码回放，支持HTTP、SMTP、FTP、Telnet、POP3协议北邮•信息安全中心•崔宝江目录一.防火墙二.IDS三.IPS四.VPN五.安全的网络架构设计北邮•信息安全中心•崔宝江一.VPN概述•专用网的特点：ˆ封闭的用户群ˆ安全性高ˆ服务质量保证北邮•信息安全中心•崔宝江InternetVPNVPN——VirtualPrivateNetwork出差员工隧道专线办事处总部分支机构合作伙伴异地办事处北邮•信息安全中心•崔宝江一.VPN概述•VPN概述ˆ功能€加密数据€身份认证€完整性检验ˆ优点€成本低€结构灵活在公共网络中建立一个安全连接北邮•信息安全中心•崔宝江HostCHostDHostBHostA受保护网络InternetHostCHostDHostBHostA受保护网络判断是否需要加密对数据加密或认证判断是否需要解密解密数据是VPNVPN北邮•信息安全中心•崔宝江目录一.防火墙二.IDS三.IPS四.VPN五.安全的网络架构设计北邮•信息安全中心•崔宝江网络安全基本组件防火墙/虚拟专用网(Firewall/VPN)入侵防护系统(IntrusionPreventionSystem)病毒网关(ApplicationAnti-Virusgateway)漏洞评估(VulnerabilityAssessment)SSLVPN网关(SSLVPNGateway)无线安全网关(WirelessSecurityGateway)网页内容过滤(WebContentFiltering)电子邮件内容过滤(E-MailContentFiltering)北邮•信息安全中心•崔宝江网络安全基础架构北邮•信息安全中心•崔宝江•个人方面：提高警惕，避免End-User端的攻击ˆ在网络中（特别是一些论坛中），尽量避免泄漏本单位信息，如单位名称和EMAIL地址等。ˆ不要随便执行文件ˆ不要随便打开陌生的电子邮件ˆ不要连接到未知网站ˆ不要随意打开未知的URLˆ密码不要太简单ˆ关闭文件共享ˆ不要使用系统默认值ˆ安装防病毒软件，并经常更新ˆ定期更新系统补丁结束语北邮•信息安全中心•崔宝江•主机方面ˆ定期进行漏洞扫描ˆIntegrityCheck(ex.Tripwire、MD5Sum)ˆ确认每一个在执行的Service用途ˆ确认每一个在执行的Process用途ˆ确认每一个监听端口的用途，以及建立连接程序的用途。(netstat、fport、TCPView)ˆ定期更新防病毒软件规则ˆ确认安装最新的ServicePack及补丁程序结束语北邮•信息安全中心•崔宝江•网络方面ˆ定期进行漏洞扫描ˆ限制一般User，不可在內部网络上进行漏洞扫描ˆ使用防火墙，防止外部对内部的扫描ˆ流量监控ˆ连接监控ˆ使用IDS，防止来自内部的攻击ˆ定期检查系统Log结束语北邮•信息安全中心•崔宝江Q&A