HSE培训教材(安全产品2012)-上

安全产品培训资料日期：201203密级：秘密杭州华三通信技术有限公司2012年华三HSE培训教材学习目的学习完本课程，您应该能够：1.掌握安全产品的基本原理2.掌握H3C安全产品的种类、功能及特点3.掌握H3C安全产品基本部署方法及行业重要应用案例4.掌握H3C园区网、广域网、数据中心三大场景安全解决方案5.掌握12年H3C主推云安全、智能广域网安全、Internet出口安全、LB全场景部署、远程安全接入五大解决方案第一章安全产品基础理论第二章全系列安全产品综述第三章SecPath防火墙/VPN/UTM产品系列第四章SecPathIPS产品系列第五章H3C应用控制产品系列第六章H3C负载均衡交换机产品系列第七章H3CSecBlade安全模块系列第八章H3CSecCenter管理中心第九章三大场景安全解决方案第十章12年主推五大解决方案目录什么是防火墙？防火墙：保护网络周边安全的关键设备，可以保护一个“信任”网络免受“非信任”网络的攻击，但是同时还必须允许两个网络之间可以进行合法（符合安全策略）的通信。基本功能：网络隔离和访问控制防火墙交换机受信区域不受信区域DMZ区受信区域－DMZ区，可以访问POP3和SMTP服务DMZ－受信区域，不可访问任何服务不受信区域－DMZ区，可以访问POP3和SMTP服务DMZ－不受信区域，可以访问任何服务不受信区域和受信区域之间不能互访？中心节点Site-to-Site分支机构Extranet合作伙伴接入点DSLCable移动用户SOHO用户VPNInternetVPN即虚拟专用网：通过组合数据封装（隧道）技术和加密技术，实现私有数据通过公共网络平台进行安全传输，从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接，或者提供移动用户安全的通过公共网络平台接入内网。VPN协议包括：L2TPVPN、GREVPN、IPSecVPN、MPLSVPN、SSLVPN等多种协议模式，其中IPSec和SSLVPN为主要应用协议，某些情况下需要组合多种协议。？包头协议数据内容IPS定义：IntrusionPreventionSystem，入侵防御系统IPS的两个关键特征：深入七层的数据流攻击特征检测（可检测蠕虫、基于Web的攻击、利用漏洞的攻击、网页篡改、木马、病毒、P2P滥用、DoS/DDoS等）在线部署，实时阻断攻击，这个特征也是与IDS的主要区别FW交换机IPS内部网络IPS是目前业界最主流的应用层安全硬件产品：不同网络层次面临的安全威胁中间件数据库操作系统HTTPSMTPDNSSQLP2PTCPUDPIPICMP路由协议以太网ARP/RARP物理链路IM应用程序应用层网络层链路层物理层层次主要安全威胁知名安全事故举例防护技术物理层设备或传输线路物理损坏07年初，多条国际海底通信光缆发生中断防盗、防震、防灾等链路层ARP欺骗、广播风暴07年，ARP病毒产生的ARP欺骗造成部分高校大面积断网MAC地址绑定、VLAN隔离、安全组网网络层访问控制问题、协议异常、网络层DDoS90年代末的Teardrop、Land攻击；00年2月，雅虎、亚马逊等被大流量攻瘫安全域技术、防火墙技术应用层漏洞利用、扫描探测、协议异常、蠕虫、病毒、木马、钓鱼、SQL注入、P2P、应用层DDoS……举不胜举入侵防御技术什么是蠕虫？定义：计算机蠕虫是指通过计算机网络传播的病毒，泛滥时可以导致网络阻塞甚至瘫痪。特点：传播快、传播广、危害高蠕虫的危害性、系统漏洞蠕虫蠕虫的主要危害：•网络拥挤某知名三大蠕虫病毒一齐爆发，蚕食25%网络带宽•DoS（DenialofService）攻击由于DoS攻击，联众网络瘫痪攻击长达一个月。•经济损失巨大联众网络瘫痪攻击长达一个月，经济损失达上百万。•蠕虫的分类系统漏洞型、群发邮件型、共享型、寄生型、混合型系统漏洞蠕虫：利用系统漏洞主动感染传播•红色代码(CodeRed)：MS01-033，微软索引服务器缓冲区溢出漏洞，TCP80•冲击波(Blaster)MS03-026，RPCDCOM服务漏洞，TCP135139等•震荡波(Sasser)：MS04-011，LSASS本地安全认证子系统服务漏洞，TCP445等•SQLSLAMMER：MS02-039，SQL服务器漏洞，UDP1434间谍软件定义：谍软件驻留在计算机的系统中，收集有关用户操作习惯的信息，并将这些信息通过互联网悄无声息地发送给软件的发布者，由于这一过程是在用户不知情的情况下进行，因此具有此类双重功能的软件通常被称作SpyWare（间谍软件）。类型浏览器劫持IE工具条和弹出窗口Winsock劫持中间人代理危害占用大量硬盘和CPU资源造成计算机计算缓慢、死机修改IE设置、安装工具条，很难修改回去安装后门、病毒和向外泄漏信息个人信息和密码、上网习惯、EMAIL联系人地址等等不断向外连接和弹出广告窗口，耗费了大量的网络带宽带宽滥用•“带宽滥用”是指对于企业网络来说，非业务数据流（如P2P文件传输与即时通讯、垃圾邮件、病毒和网络攻击）消耗了大量带宽，轻则影响企业业务无法正常运作，重则致使企业IT系统瘫痪。•据研究机构Cachelogic调查，如今P2P占了全球网络流量的一半以上02040608010012014016018020013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:00Mbps(AverageperHour)OracleE-mailHTTPP2PRateLimitKazaaeDonkeyWinMXDoS(DenialofService，拒绝服务)，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。DDoS(DistributedDenialofService，分布式拒绝服务)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。DoS攻击是导致去年损失最为惨重的计算机犯罪事件，其带来的损失是其它各类攻击造成损失总和的两倍有余。”—2004年CSI/FBI计算机犯罪及安全调查。网上黑客每周发起的DoS攻击超过了4000次DoS/DDoS的危害服务器宕机，业务中断大面积断网，网络瘫痪网络层漏洞典型：PingofDeath：根据TCP/IP的规范，一个包的长度最大为64K。当一个主机收到了长度大于64K字节的包时，会造成主机的宕机。特点：种类繁多，一击致命，攻击方式生命周期短防范：防火墙匹配攻击特征，升级系统。应用层漏洞典型：•MS04-29：当RPC运行时库处理特制的消息时，存在一个信息泄露和拒绝漏洞•MS05-45：网络连接管理器中的漏洞可能允许拒绝服务特点：层出不穷一击致命，防火墙无法防御。防范：及时打补丁•利用数字疫苗技术•IPS进行精确阻断～7安全负载均衡1、防火墙/VPN2、入侵防御系统3、防Dos/DDos攻击1、L4负载均衡(85%)2、L7负载均衡3、链路负载均衡4、全局负载均衡1、SSL卸载2、TCP连接复用和优化3、WEBcache4、压缩技术应用交付负载均衡（LoadBalance），属于应用交付领域，其意思就是将负载（工作任务）进行平衡、分摊到多个操作单元上进行执行，比如服务器、多条链路、全局服务器等，从而共同完成工作任务负载均衡分类及价值负载均衡分类链路负载均衡全局负载均衡服务器负载均衡负载均衡带来的好处扩展网络设备和服务器的带宽；增加吞吐量，加强网络数据处理能力；提高网络的灵活性和可用性。基本原理•SSL（SecureSocketLayer）安全套接层是一种运行在两台机器之间的安全通道协议；也可以运行在SSL代理和PC之间；•功能：保护传输数据（加密），识别通信机器（认证）；•SSL提供的安全通道是透明的，几乎所有基于TCP的协议稍加改动就可以直接运行于SSL之上；•目前，IETF将SSL作了标准化，推出TLS传输层安全协议（RFC2246）整合取代，它工作在TCP之上。TLS1.0与SSL3.0的差别非常微小。协议栈•握手协议：–对服务器进行认证–确立用于保护数据传输的加密密钥•记录协议：–传输数据；•SSL连接分为两个阶段，即握手和数据传输阶段密钥改变协议记录层协议握手协议告警协议SSLAPI握手层记录层ApplicationTCPSSL层，分支网络间互联安全传输，加密两端网关支持IPSECSSLVPNInternet，移动终端接入安全传输，加密中心网关支持SSLVPN第一章安全产品基础理论第二章全系列安全产品综述第三章SecPath防火墙/VPN/UTM产品系列第四章SecPathIPS产品系列第五章H3C应用控制产品系列第六章H3C负载均衡交换机产品系列第七章H3CSecBlade安全模块系列第八章H3CSecCenter管理中心第九章三大场景安全解决方案第十章12年主推五大解决方案目录防火墙/VPN系列网络层安全F100-C系列F100-SF100-MF100-A系列V100-EF100-EU200-C系列U200-SU200-MU200-AF1000-S系列F1000-A系列F1000-E系列F5000-A5H3C防火墙/VPN系列应用层安全负载均衡产品SecbladeLBT1000-ST5000-S3T1000-CSecBladeIPST200-MT200-AT200-ST1000-AACG2000-MSecBladeACGACG8800-S3安全管理安全管理中心SecCenterFW/IPS/UTM/ACG/IPS-DManagerFW、SSLVPN安全模块F1000-C，字母用于细分产品类型和档次C——表示Compact，定位为该档次的精简型产品S——表示Standard，定位为该档次的标准型产品M——表示Middle，定位为该档次的中间型产品A——表示Advanced,定位为该档次的高级型产品E——表示Enhanced，定位为该档次的增强型产品性能、功能及价格对比：CSMAEH3C产品型号命名规则第一章安全产品基础理论第二章全系列安全产品综述第三章SecPath防火墙/VPN/UTM产品系列第四章SecPathIPS产品系列第五章H3C应用控制产品系列第六章H3C负载均衡交换机产品系列第七章H3CSecBlade安全模块系列第八章H3CSecCenter管理中心第九章三大场景安全解决方案第十章12年主推五大解决方案目录H3C百兆、千兆、万兆系列防火墙H3C新一代防火墙UTM系列H3CVPN产品防火墙/UTM/VPN部