信息安全技术基础第9章

第9章网络安全技术://www.hd88go.com://www.oemgc.com/://www.hzp580.com://www.oemdg.com/://www.oemdg.com://www.189286.com/://www.dgxcdn.com://www.xcwxpx.com://www.oemfy.com://www.lczx188.com://www.ystdzkj.com/://www.mynzf.com://www.mynzg.com://www.mysgf.com://www.mljnzf.com://www.0838mlj.com://www.023era.com://www.023midea.net://www.023haier.net学习目标网络安全包括哪些常用技术和手段网络扫描技术作用和实施网络防火墙的作用和工作机理入侵检测系统的作用和工作机理使用蜜罐技术有效发现网络入侵行为本章主要讲解网络环境下安全防范技术：2如何保护网络免遭入侵？3目录9.1网络安全技术概述9.2网络扫描技术9.3网络防火墙技术9.4入侵检测技术9.5蜜罐技术49.1网络安全技术概述•由于网络的存在，攻击者更容易通过网络非法入侵他人网络系统、计算机系统，非法访问网络上的资源，非法窃取终端系统中的数据。•网络通常分为内部网络和外部网络（也称公共网络，如Internet），对安全边界的监控是网络安全的重要内容。•构建网络安全防御体系，除了必要的人、制度、机制、管理等方面保障，还要依赖于各种网络安全技术。59.1网络安全技术概述•扫描技术：发现内部网络安全薄弱环节，进行完善保护。•防火墙技术：在内部与外部网络衔接处，阻止外部对内部网络的访问，限制内部对外部网络的访问等。•入侵检测系统：发现非正常的外部对内部网络的入侵行为，报警并阻止入侵行为和影响的进一步扩大。•隔离网闸技术：在物理隔离的两个网络之间进行安全数据交换。6如何探测网络拓扑结构及网络中系统存在的安全弱点？7://www.hd88go.com://www.oemgc.com/://www.hzp580.com://www.oemdg.com/://www.oemdg.com://www.189286.com/://www.dgxcdn.com://www.xcwxpx.com://www.oemfy.com://www.lczx188.com://www.ystdzkj.com/://www.mynzf.com://www.mynzg.com://www.mysgf.com://www.mljnzf.com://www.0838mlj.com://www.023era.com://www.023midea.net://www.023haier.net目录9.1网络安全技术概述9.2网络扫描技术9.3网络防火墙技术9.4入侵检测技术9.5蜜罐技术89.2网络扫描技术•发现网络中设备及系统是否存在漏洞。•主机扫描：–确定在目标网络上的主机是否可达，常用的扫描手段如ICMPEcho扫描、BroadcastICMP扫描等。–防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，攻击者通常利用ICMP协议提供的错误消息机制，例如发送异常的IP包头、在IP头中设置无效的字段值、错误的数据分片，以及通过超长包探测内部路由器和反向映射探测等。99.2网络扫描技术•端口扫描–发现目标主机的开放端口，包括网络协议和各种应用监听的端口。–TCPConnect扫描和TCP反向ident扫描口。–TCPXmas和TCPNull扫描是FIN扫描的两个变种。–TCPFTP代理扫描。–分段扫描，将数据包分为两个较小的IP段。–TCPSYN扫描和TCP间接扫描，两种半开放扫描。109.2网络扫描技术•发现网络中设备及系统是否存在漏洞。•主机扫描：–确定在目标网络上的主机是否可达，常用的扫描手段如ICMPEcho扫描、BroadcastICMP扫描等。–防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，攻击者通常利用ICMP协议提供的错误消息机制，例如发送异常的IP包头、在IP头中设置无效的字段值、错误的数据分片，以及通过超长包探测内部路由器和反向映射探测等。119.2网络扫描技术•端口扫描–发现目标主机的开放端口，包括网络协议和各种应用监听的端口。–TCPConnect扫描和TCP反向ident扫描口。–TCPXmas和TCPNull扫描是FIN扫描的两个变种。–TCPFTP代理扫描。–分段扫描，将数据包分为两个较小的IP段。–TCPSYN扫描和TCP间接扫描，两种半开放扫描。12如何隔离内部网络与外部网络？13目录9.1网络安全技术概述9.2网络扫描技术9.3网络防火墙技术9.4入侵检测技术9.5蜜罐技术149.3.1防火墙概念、功能15Internet内部网络防火墙可信网络9.3.1防火墙概念、功能1．防火墙的特性（1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙。（2）只有符合安全策略的数据流才能通过防火墙。（3）防火墙自身应具有非常强的抗攻击免疫力。16://www.hd88go.com://www.oemgc.com/://www.hzp580.com://www.oemdg.com/://www.oemdg.com://www.189286.com/://www.dgxcdn.com://www.xcwxpx.com://www.oemfy.com://www.lczx188.com://www.ystdzkj.com/://www.mynzf.com://www.mynzg.com://www.mysgf.com://www.mljnzf.com://www.0838mlj.com://www.023era.com://www.023midea.net://www.023haier.net9.3.1防火墙概念、功能2．防火墙的功能（1）防火墙是网络安全的屏障（2）防火墙可以强化网络安全策略（3）对网络存取和访问进行监控审计（4）防止内部信息的外泄179.3.2防火墙工作原理•1．包过滤技术•“静态包过滤”“动态包过滤”•对通过防火墙的每个IP数据报文（简称数据包）的头部、协议、地址、端口、类型等信息进行检查，与预先设定好的防火墙过滤规则进行匹配，一旦发现某个数据包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个数据包就会被丢弃。189.3.2防火墙工作原理•1．包过滤技术19规则方向源IP地址目的IP地址协议类型源端口目的端口操作1出119.100.79.0202.100.50.7TCP102323拒绝2入202.100.50.7119.100.79.0TCP231023拒绝3出119.100.79.2任意TCP102325允许4入任意119.100.79.2TCP251023允许5出192.100.50.0119.100.79.4TCP102380允许6入119.100.79.4192.100.50.0TCP801023允许7双向任意任意任意任意任意拒绝9.3.2防火墙工作原理•通常需要检查下列分组字段：–源IP地址和目的IP地址；–TCP、UDP和ICMP等协议类型；–源TCP端口和目的TCP端口；–源UDP端口和目的UDP端口；–ICMP消息类型；–输出分组的网络接口。209.3.2防火墙工作原理•匹配结果分为三种情况：–如果一个分组与一个拒绝转发的规则相匹配，则该分组将被禁止通过；–如果一个分组与一个允许转发的规则相匹配，则该分组将被允许通过；–如果一个分组没有与任何的规则相匹配，则该分组将被禁止通过。这里遵循了“一切未被允许的都是禁止的”的原则。219.3.2防火墙工作原理•2．应用代理技术•“应用协议分析”技术工作在OSI模型的最高层——应用层上，在这一层防火墙能“看到”应用数据最终形式，因而可以实现更高级、更全面的数据检测。•采取代理机制进行工作，即内外部网络之间的通信都需要先经过代理服务器审核，内外部网络的计算机不能直接连接会话，这样就可以避免攻击者使用“数据驱动”网络攻击。22://www.hd88go.com://www.oemgc.com/://www.hzp580.com