网络安全中国信息安全测评中心课程内容2网络安全技术网络安全基础常见网络安全设备虚拟专用网PKI体系知识体:网络安全技术知识域:网络安全基础了解网络安全基本概念;了解如何构建安全的网络;3网络安全基本概念网络安全要解决什么问题保密性完整性可用性怎么解决IATF:人操作技术信息系统安全保障模型:管理、工程、人、技术4网络面临的安全威胁物理安全威胁自然灾害:火灾、水浸、雷击、地震、……设备问题:电力故障、电磁泄漏、……人为破坏:爆炸、盗窃……网络攻击威胁设计缺陷:协议设计缺陷、协议实现缺陷网络攻击:欺骗、拒绝服务、嗅探等人为错误误操作收买5构建安全的网络系统安全的物理环境合理的网络规划正确配置的网络安全设备完善的网络安全管理6安全的物理环境机房位置选址地下、一楼、顶楼、其他楼层等基础支撑设备电力、防火、防水、防雷击、防尘、抗干扰等安保门禁、摄像头、保安员等7合理的网络规划网络结构星型、环形、总线型、网状等网络安全域划分把大规模负责系统安全问题化解为更小区域的安全保护问题IP地址规划提高运行效率、性能及可管理性VLAN规划控制网络的广播风暴提高网络安全性及简化网络管理8正确配置的网络安全设备网络安全设备部署边界网络安全设备(防火墙、流量管理、网闸等)旁路网络安全设备(IDS、审计、网络分析等)管理型网络安全设备(SOC、准入控制等)网络安全设备策略配置先紧后松,不是明确允许的就是禁止设备自身安全设备日志保护9完善的网络安全管理管理目标管理制度组织架构人员职责10知识体:网络安全技术知识域:常见网络安全设备理解防火墙系统的基本原理和应用;理解入侵检测系统的基本原理和应用;11防火墙技术防火墙的基本概念防火墙实现技术防火墙的工作模式防火墙典型部署12防火墙基本概念什么是防火墙一种协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙部署在哪可信网络与不可信网络之间不同安全级别网络之间两个需要隔离的区域之间Internet防火墙13为什么需要防火墙控制:在网络连接点上建立一个安全控制点,对进出数据进行限制隔离:将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护记录:对进出数据进行检查,记录相关信息防火墙基本概念14安全网域一防火墙基本概念防火墙的分类按防火墙形态•硬件防火墙•软件防火墙按体系结构分•双宿/多宿主机防火墙•屏蔽主机防火墙•屏蔽子网防火墙•混合结构其他分类方法15防火墙的实现技术包过滤技术代理网关技术状态检测技术自适应代理技术16防火墙的实现技术-包过滤实现机制:依据数据包的基本标记来控制数据包网络层地址:IP地址(源地址及目的地址)传输层地址:端口(源端口及目的端口)协议:协议类型17安全网域一防火墙的实现技术-包过滤优点:只对数据包的IP地址、TCP/UDP协议和端口进行分析,规则简单,处理速度较快易于配置对用户透明,用户访问时不需要提供额外的密码或使用特殊的命令缺点:检查和过滤器只在网络层,不能识别应用层协议或维持连接状态安全性薄弱,不能防止IP欺骗等18防火墙的实现技术-代理网关每一个内外网络之间的连接都要通过防火墙的介入和转换,加强了控制分类电路级代理应用代理19防火墙的实现技术-电路级代理建立回路,对数据包进行转发优点能提供NAT,为内部地址管理提供灵活性,隐藏内部网络等适用面广缺点仅简单的在两个连接间转发数据,不能识别数据包的内容20防火墙的实现技术-应用代理工作在应用层使用代理技术,对应用层数据包进行检查对应用或内容进行过滤,例如:禁止FTP的“put”命令21防火墙的实现技术-应用代理优点可以检查应用层内容,根据内容进行审核和过滤提供良好的安全性缺点支持的应用数量有限性能表现欠佳22防火墙的实现技术-NAT什么是NAT一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT技术设计初衷增加私有组织的可用地址空间解决现有私有网络接入的IP地址编号问题23防火墙的实现技术-NATNAT实现方式静态地址转换动态地址转换端口转换24202.2.2.2安全网域一202.2.2.100192.168.1.1192.168.1.3025NAT的优缺点优点管理方便并且节约IP地址资源隐藏内部IP地址信息可用于实现网络负载均衡缺点外部应用程序却不能方便地与NAT网关后面的应用程序联系。防火墙实现技术--状态检测数据链路层物理层网络层表示层会话层传输层检测引擎应用层动态状态表动态状态表动态状态表在数据链路层和网络层之间对数据包进行检测创建状态表用于维护连接上下文应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层26防火墙实现技术--状态检测状态检测技术的特点安全性高,可根据通信和应用程序状态确定是否允许包的通行性能高,在数据包进入防火墙时就进行识别和判断适应性好对用户、应用程序透明27防火墙实现技术-自适应代理技术特点根据用户定义安全规则动态“适应”传输中的分组流量•高安全要求:在应用层进行检查•明确会话安全细则:链路层数据包转发兼有高安全性和高效率28防火墙技术--防火墙的工作模式路由模式透明模式混合模式29防火墙的工作模式-路由模式内部网络192.168.1.0/24GW:192.168.1.254外部网络202.101.10.0/24GW:202.101.10.1防火墙InternetIntranet202.101.10.1/24192.168.1.254/2430防火墙的工作模式-透明模式31内部网络192.168.1.0/24GW:192.168.1.254外部网络路由器InternetIntranet192.168.1.254/24防火墙的工作模式-混合模式32内部网络192.168.1.0/24192.168.1.254外部网络202.101.10.0/24GW:202.101.10.1防火墙InternetIntranetIntranet内部网络192.168.1.100/24GW:192.168.1.253路由模式透明模式防火墙的典型部署区域划分:可信网络、不可信网络、DMZ区33可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防护墙的策略设置没有明确允许的就是禁止先阻止所有数据包需要的给予开放没有明确禁止的就是允许对明确禁止的设置策略34防火墙的策略设置可信网络可向DMZ区和不可信网络发起连接请求35可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防火墙的策略设置DMZ区可接受可信网络和不可信网络的连接请求DMZ区不可向可信网络发起连接请求DMZ区与不可信网络的连接请求根据业务需要确定36可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防火墙的不足和局限性无法发现和阻止对合法服务的攻击;无法发现和阻止源自其它入口的攻击;无法发现和阻止来自内部网络的攻击;无法发现和阻止应用层的攻击;防火墙本身也会出现问题和受到攻击。37入侵检测技术38入侵检测的基本概念入侵检测实现技术入侵检测的典型部署什么是入侵检测系统?39什么是入侵检测系统一种通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析以发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的设备入侵检测系统部署在哪数据流入流出点关键位置入侵检测系统的价值及作用为什么需要入侵检测系统防火墙的重要补充构建网络安全防御体系重要环节克服传统防御机制的限制入侵检测系统能做什么检测对网络和系统的攻击行为对攻击行为作出响应40入侵检测系统的分类按入侵检测形态硬件入侵检测软件入侵检测按目标系统的类型网络入侵检测主机入侵检测按系统结构集中式分布式41主机入侵检测系统什么是主机入侵检测运行在被检测主机上,通过对主机数据包和主机上的系统调研、资源使用状态进行分析,发现可能的入侵通常是软件形式42主机入侵检测系统优点运行在被检测的主机上,不仅能检测主机网卡上的数据流,还可以分析主机日志、检测系统调用等主机内部活动能精确地判断攻击行为是否成功监控主机上特定用户活动、系统运行情况HIDS能够检测到NIDS无法检测的攻击适用加密环境43主机入侵检测系统不足无法检测到网络中的其他数据流需要消耗主机资源,影响主机性能安全性受宿主操作系统限制数据源受系统审计功能限制针对不同的操作系统需要单独开发维护/升级不方便44网络入侵检测系统部署在核心网络或重要网络位置对通信数据的侦听采集数据,分析可疑现象通常是硬件形式45网络入侵检测系统优势实时分析网络数据,检测网络系统的非法行为;网络IDS系统单独架设,不占用其它计算机系统的任何资源;网络IDS系统是一个独立的网络设备,不提供对外服务,因此其本身的安全性高;通过与防火墙的联动,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏。不会增加网络中主机的负担46网络入侵检测系统的不足不适合交换环境和高速环境不能处理加密数据资源及处理能力局限无法分析攻击是否成功47入侵检测的实现技术关键技术数据采集技术数据检测技术外围技术联动日志分析事件合并过滤漏洞机理研究……48数据采集技术嗅探技术交换环境下的数据采集镜像口•1对1镜像•多对1镜像491234复制一份将端口4镜像到端口1数据检测技术误用检测技术建立入侵行为模型(攻击特征);假设可以识别和表示所有可能的特征;基于系统和基于用户的误用;异常检测技术设定“正常”的行为模式;假设所有的入侵行为是异常的;基于系统和基于用户的异常;50误用检测51优点准确率高;算法简单。关键问题有所有的攻击特征,建立完备的特征库;特征库要不断更新;无法检测新的入侵。异常检测52误报率、漏报率较高优点可检测未知攻击自适应、自学习能力关键问题“正常”行为特征的选择统计算法、统计点的选择入侵检测系统的典型部署53可信网络不可信的网络防火墙InternetIntranet旁路的方式接入部署位置防火墙外核心交换机关键位置HIDSNIDSNIDSNIDS部署中需注意的问题54入侵检测需要发挥效果,需要大量管理机制作为后盾攻击特征库决定入侵检测系统对入侵行为的发现能力事件分析器优化非常重要,确保能够准确快速的产生相关警告信息(避免重复报警、漏报等)入侵检测的选择结构分布式、集中式通讯方式(加密、不加密)……探头检测能力事件通知自身安全……55控制中心策略设置灵活检测库更新自定义事件查询报表综合分析能力易用性……其他网络安全设备56整合型边界安全防护设备入侵防御系统(IPS)统一威胁管理系统(UTM)边界防病毒网关等数据交换管理设备安全隔离与信息交换系统(网闸)流量管理、上网行为管理安全管理设备安全管理平台(Soc)网络准入控制(NAC)……知识体:网络安全技术知识域:PKI体系了解密码学基本概念及知识;了解PKI体系的构成及应用。57什么是密码学密码学研究什么密码编码学——主要研究对信息进行编码,实现对信息的隐蔽、完整性验证等密码分析学——主要研究加密信息的破译或信息的伪造密码学在信息安全中的地位信息安全的重要基础技术58密码学发展古典密码学(1949年之前)1949年之前,密码学是一门艺术主要特点:数据的安全基于算法的保密近代密码学(1949~1975年)1949~1975年,密码学成为科学主要特点:数据的安全基于密钥而不是算法的保密