6-2网络安全——网络安全设备

网络安全——网络安全设备南京师范大学计算机科学与技术学院陈波2$dollars$dollars$dollarsDetection入侵检测Protect安全保护Reaction安全响应Recovery安全备份Management安全管理统一管理、协调PDRR之间的行动回顾整体性原则：PDRR安全防护模型信息安全案例教程：技术与应用本讲要点：31.网络安全设备：防火墙2.网络安全设备：入侵检测3.网络安全新设备：入侵防御、下一代防火墙、统一威胁管理信息安全案例教程：技术与应用1.网络安全设备：防火墙4（1）防火墙的概念国家标准GB/T20281-2006《信息安全技术防火墙技术要求和测试评价方法》给出的防火墙定义是：设置在不同网络（如可信任的企业内部网络和不可信的公共网络）或网络安全域之间的一系列部件的组合。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，能有效地监控流经防火墙的数据，保证内部网络和隔离区（DemilitarizedZone，DMZ，或译作非军事区）的安全。信息安全案例教程：技术与应用1.网络安全设备：防火墙5（1）防火墙的概念防火墙具有以下3种基本性质：是不同网络或网络安全域之间信息的唯一出入口；能根据网络安全策略控制(允许、拒绝、监测)出入网络的信息流，且自身具有较强的抗攻击能力；本身不能影响网络信息的流通。信息安全案例教程：技术与应用1.网络安全设备：防火墙6（1）防火墙的概念防火墙可以是软件、硬件或软硬件的组合。软件防火墙就像其它的软件产品一样需要在计算机上安装并做好配置才可以发挥作用，例如Windows系统自带的软件防火墙和著名安全公司CheckPoint推出的ZoneAlarmPro软件防火墙。信息安全案例教程：技术与应用1.网络安全设备：防火墙7（1）防火墙的概念防火墙可以是软件、硬件或软硬件的组合。目前市场上大多数防火墙是硬件防火墙。这类防火墙一般基于PC架构，也就是说这类防火墙和普通PC类似。还有基于特定用途集成电路（ApplicationSpecificIntegratedCircuit，ASIC）、基于网络处理器（NetworkProcessor，NP）以及基于现场可编程门阵列（Field-ProgrammableGateArray，FPGA）的防火墙。这类防火墙采用专用操作系统，因此防火墙本身的漏洞比较少，而且由于基于专门的硬件平台，因而处理能力强、性能高。信息安全案例教程：技术与应用1.网络安全设备：防火墙8（2）防火墙的工作原理包过滤防火墙工作在网络层和传输层，它根据通过防火墙的每个数据包的源IP地址、目标IP地址、端口号、协议类型等信息来决定是将让该数据包通过还是丢弃，从而达到对进出防火墙的数据进行检测和限制的目的。包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，而是适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。信息安全案例教程：技术与应用1.网络安全设备：防火墙9（2）防火墙的工作原理包过滤技术在发展中出现了两种不同版本，第一代称为静态包过滤，第二代称为动态包过滤。1）静态包过滤技术。这类防火墙几乎是与路由器同时产生的，它根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的包头信息进行制订。这些规则常称为数据包过滤访问控制列表（ACL）。各个厂商的防火墙产品都有自己的语法用于创建规则。信息安全案例教程：技术与应用1.网络安全设备：防火墙10（2）防火墙的工作原理1）静态包过滤技术。序号源IP目标IP协议源端口目的端口标志位操作1内部网络地址外部网络地址TCP任意80任意允许2外部网络地址内部网络地址TCP801023ACK允许3所有所有所有所有所有所有拒绝信息安全案例教程：技术与应用1.网络安全设备：防火墙11（2）防火墙的工作原理1）静态包过滤技术的缺陷。序号源IP目标IP协议源端口目的端口标志位操作1内部网络地址外部网络地址TCP任意80任意允许2外部网络地址内部网络地址TCP801023ACK允许3所有所有所有所有所有所有拒绝信息安全案例教程：技术与应用1.网络安全设备：防火墙12（2）防火墙的工作原理2）状态包过滤技术。状态包过滤（StatefulPacketFilter）是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，对接收到的数据包进行分析，判断其是否属于当前合法连接，从而进行动态的过滤。跟传统包过滤只有一张过滤规则表不同，状态包过滤同时维护过滤规则表和状态表。过滤规则表是静态的，而状态表中保留着当前活动的合法连接，它的内容是动态变化的，随着数据包来回经过设备而实时更新。当新的连接通过验证，在状态表中则添加该连接条目，而当一条连接完成它的通信任务后，状态表中的该条目将自动删除。信息安全案例教程：技术与应用1.网络安全设备：防火墙13（2）防火墙的工作原理2）状态包过滤技术的局限。基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤。访问控制列表的配置和维护困难。对安全管理人员的要求高，在建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的了解。包过滤防火墙难以详细了解主机之间的会话关系。大多数过滤器中缺少审计和报警机制，只能依据包头信息，而不能对用户身份进行验证，很容易遭受欺骗型攻击。信息安全案例教程：技术与应用1.网络安全设备：防火墙14（2）防火墙的工作原理3）应用代理技术采用应用代理技术的防火墙工作在应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。应用代理技术的发展也经历了两个版本，第一代的应用层网关（ApplicationGateway）技术，第二代的自适应代理（AdaptiveProxy）技术。信息安全案例教程：技术与应用1.网络安全设备：防火墙15（2）防火墙的工作原理3）应用代理技术应用层网关可分3种类型：双宿主主机网关；屏蔽主机网关；屏蔽子网网关。这三种网关都要求有一台主机，通常称为“堡垒主机”（BastionHost），它起着防火墙的作用，即隔离内外网的作用。信息安全案例教程：技术与应用1.网络安全设备：防火墙16（2）防火墙的工作原理3）应用代理技术：双宿主主机网关特点：堡垒主机充当应用层网关。在主机中需要插入两块网卡，用于将主机分别连接到被保护的内网和外网上。在主机上运行防火墙软件，被保护内网与外网间的通信必须通过主机，因而可以将内网很好地屏蔽起来。内网可以通过堡垒主机获得外网提供的服务。优点：这种应用层网关能有效地保护和屏蔽内网，且要求的硬件较少，因而是应用较多的一种防火墙；缺点：但堡垒主机本身缺乏保护，容易受到攻击。信息安全案例教程：技术与应用1.网络安全设备：防火墙17（2）防火墙的工作原理3）应用代理技术：屏蔽主机网关特点：为了保护堡垒主机而将它置入被保护网的范围中，在被保护内网与外网之间设置一个屏蔽路由器。它不允许外网用户对被保护内网进行直接访问，只允许对堡垒主机进行访问，屏蔽路由器也只接收来自堡垒主机的数据。与前述的双宿主主机网关类似，也在堡垒主机上运行防火墙软件。优点：屏蔽主机网关是一种更为灵活的防火墙软件，它可以利用屏蔽路由器来做更进一步的安全保护。缺点：此时的路由器又处于易受攻击的地位。此外，网络管理员应该管理在路由器和堡垒主机中的访问控制表，使两者协调一致，避免出现矛盾。信息安全案例教程：技术与应用1.网络安全设备：防火墙18（2）防火墙的工作原理3）应用代理技术：屏蔽子网网关特点：使用一个或者更多的屏蔽路由器和堡垒主机，同时在内外网间建立一个被隔离的子网——DMZ。信息安全案例教程：技术与应用1.网络安全设备：防火墙19（2）防火墙的工作原理3）应用代理技术：屏蔽子网网关优点：这种防火墙系统的安全性很好，因为来自外部网络将要访问内部网络的流量，必须经过这个由屏蔽路由器和堡垒主机组成的DMZ子网络；可信网络内部流向外界的所有流量，也必须首先接收这个子网络的审查。堡垒主机上运行代理服务，它是一个连接外部非信任网络和可信网络的“桥梁”。堡垒主机是最容易受侵袭的，万一堡垒主机被控制，如果采用了屏蔽子网体系结构，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部屏蔽路由器的保护。信息安全案例教程：技术与应用1.网络安全设备：防火墙20（2）防火墙的工作原理4）自适应代理技术：特点：采用这种技术的防火墙有两个基本组件：自适应代理服务器（AdaptiveProxyServer）与动态包过滤器（DynamicPacketFilter）。在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应代理的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。信息安全案例教程：技术与应用1.网络安全设备：防火墙21（2）防火墙的工作原理4）自适应代理技术：优点：安全性高。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。信息安全案例教程：技术与应用1.网络安全设备：防火墙22（2）防火墙的工作原理4）自适应代理技术：缺点：速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。信息安全案例教程：技术与应用1.网络安全设备：防火墙23（3）防火墙的部署处于外部不可信网络（包括因特网、广域网和其他公司的专用网）与内部可信网络之间，控制来自外部不可信网络对内部可信网络的访问，防范来自外部网络的非法攻击。同时，保证DMZ区服务器的相对安全性和使用便利性。处于内部不同可信等级安全域之间，起到隔离内网关键部门、子网或用户的目的。应用于广大的个人主机用户，通常为软件防火墙，安装于单台主机中，防护的也只是单台主机。信息安全案例教程：技术与应用本讲要点：241.网络安全设备：防火墙2.网络安全设备：入侵检测3.网络安全新设备：入侵防御、下一代防火墙、统一威胁管理信息安全案例教程：技术与应用2.网络安全设备：入侵检测系统25（1）入侵检测的概念入侵（Intrusion）是指任何企图危及资源的完整性、机密性和可用性的活动。不仅包括发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务等对计算机系统产生危害的行为。入侵检测顾名思义，是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。信息安全案例教程：技术与应用2.网络安全设备：入侵检测系统26（1）入侵检测的概念入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，IDS）。与防火墙类似，除了有基于PC架构、主要功能由软件实现的IDS，还有基于ASIC、NP以及FPGA架构开发的IDS。信息安