IT安全知识与技能竞赛培训教材_网络安全产品

中国电信“亮剑行动”IT安全知识与技能竞赛培训教材广州研究院及竞赛办公室编制网络安全产品广州研究院及竞赛办公室编制介绍主要的网络产品，包括防火墙、IDS、IPS、UTM、网闸、异常流量监控设备、异常流量清洗设备的原理和部署方法课程简介课程简介广州研究院及竞赛办公室编制学习完此课程，您将会：了解主要网络安全产品的原理了解主要网络安全产品的部署方法学习目标学习目标广州研究院及竞赛办公室编制第第11章章防火墙防火墙第2章入侵检测系统IDS第3章入侵防御系统IPS第4章统一威胁管理系统UTM第5章网闸第6章异常流量监控设备第7章异常流量清洗设备课程目录课程目录广州研究院及竞赛办公室编制防火墙防火墙••防火墙技术原理防火墙技术原理•防火墙在网络架构中的位置和功能•防火墙关键技术广州研究院及竞赛办公室编制传统防火墙的概念传统防火墙的概念•防火墙最早被用于建筑物之间防止火势蔓延•汽车工业中用于发动机与乘客之间进行隔离广州研究院及竞赛办公室编制IT防火墙的概念IT防火墙的概念InternetInternetHTTP/FTP/SMTPServerFileServerDataBaseProxyServerUserClient边界点安全威胁防火墙广州研究院及竞赛办公室编制防火墙定义防火墙定义•防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集合，它满足以下条件：–内部和外部之间的所有网络数据流必须经过防火墙–只有符合安全政策的数据流才能通过防火墙–防火墙自身应对渗透(peneration)免疫广州研究院及竞赛办公室编制防火墙基本概念防火墙基本概念•防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。•通常，防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机。其目的如同一个安全门，为门内的部门提供安全，控制那些可被允许出入该受保护环境的人或物。广州研究院及竞赛办公室编制•从逻辑上讲，防火墙是分离器、限制器和分析器。从物理角度看，各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。防火墙广州研究院及竞赛办公室编制•组成结构复杂•各节点通常自主管理•信任边界复杂，缺乏有效管理•有显著的内外区别•机构有整体的安全需求•最薄弱环节原则广州研究院及竞赛办公室编制防火墙主要功能防火墙主要功能为提高计算机网络的安全性，防火墙已被普遍应用在计算机网络中。应用防火墙可以达到以下目的。1.所有内部网络与外部网的信息交流必须经过防火墙。2.确保内部网向外部网的全功能互联。3.防止入侵者接近防御设施，限制进入受保护网络，保护内部网络的安全。4.只有按本地的安全策略被授权的信息才允许通过。5.防火墙本身具有防止被穿透的能力，防火墙本身不受各种攻击的影响。6.为监视网络安全提供方便。广州研究院及竞赛办公室编制防火墙带来的好处防火墙带来的好处•强化安全策略•有效地记录Internet上的活动•隔离不同网络，限制安全问题扩散•是一个安全策略的检查站广州研究院及竞赛办公室编制防火墙发展历程防火墙发展历程OS内核IP协议栈+通用处理器平台ASIC芯片+控制管理CPU可编程网络处理器+控制管理CPU第一代第二代第三代广州研究院及竞赛办公室编制单CPU架构单CPU架构•采用微机通用架构•成熟的软、硬件结构，可快速提供新业务•限于CPU处理能力和总线带宽，无法提供较高的性能CPU网卡网卡网卡网卡网卡网卡广州研究院及竞赛办公室编制分布式架构分布式架构•多CPU，多处理板。更强的处理能力，更多的网络接口支持•可提供冗余备份、热插拔等电信级特性CPUcpu网络接口cpu网络接口数据转发层面控制层面广州研究院及竞赛办公室编制分布式架构分布式架构•单个CPU不再成为系统的瓶颈•控制和转发平面的分离–主控的CPU负责•设备管理（各个接口板的管理）•配置管理（CLI/WebUI)•路由管理–接口板的CPU负责•报文转发•链路层协议处理（ARP/PPP）•新的问题–总线成为系统的瓶颈–进程间通信–数据的同步–通用CPU的性能瓶颈广州研究院及竞赛办公室编制NP架构NP架构•CPU负责控制层面，NP负责转发层面•可提供理想的端口数目和转发性能CPUNP网络接口数据转发层面控制层面网络接口网络接口NP：NetworkProcessor，网络处理器广州研究院及竞赛办公室编制NP架构NP架构•多引擎，更强的处理能力•开发难度大（微码），扩展性较弱广州研究院及竞赛办公室编制多核CPU架构多核CPU架构•多核通用CPU，一个负责控制，其余负责数据转发•开发容易，灵活性，扩展性好网络接口网络接口网络接口corecorecorecore控制数据转发广州研究院及竞赛办公室编制防火墙发展历程防火墙发展历程●处理性能高●灵活性好●投资较小/周期较短●处理性能很高●开发周期长/投资大●灵活性差●技术成熟●开发难度低●处理性能上不去总结好很差好灵活性较长很长端开发周期较高很高低投资成本高基本成熟NP很高低处理性能成熟成熟技术成熟度ASIC通用CPU技术路线比较项目广州研究院及竞赛办公室编制防火墙体系结构防火墙体系结构广州研究院及竞赛办公室编制防火墙的局限性防火墙的局限性•到目前为止防火墙都是基于一个假设：内部网络是安全的，不安全因素主要来在外部。而处于防火墙内部的攻击流防火墙一般无能为力。•防火墙不能防范未知的攻击方式(最新)–时刻关注TCP/IP攻击技术的发展•防火墙不能防范不经过防火墙的攻击–确认防火墙是对外的唯一连接广州研究院及竞赛办公室编制内容介绍•防火墙技术原理••防火墙在网络架构中的位置和功能防火墙在网络架构中的位置和功能•防火墙关键技术广州研究院及竞赛办公室编制防火墙的位置防火墙的位置一般讲，企业内部网常采用局域网技术，外部网常为广域网，用路由器来互连内部网和外部网，因此路由器所在的位置也应是防火墙的位置；有时，路由器中也集成了防火墙的功能。双端口时，分别接外部网和内部网单端口时，则需交换设备的端口绑定广州研究院及竞赛办公室编制防火墙的位置和功能防火墙的位置和功能•内部网络被认为是安全和可信赖的，而外部网络被认为是不安全和不可信赖的。•作用：防止不希望的、未经授权的通信进出被保护的网络；通过边界控制强化内部网络的安全政策。广州研究院及竞赛办公室编制防火墙的工作模式防火墙的工作模式路由模式透明模式防火墙可以有两种工作模式：路由模式：基于IP地址转发数据，和路由器相似透明模式：基于MAC地址转发数据，和交换机相似广州研究院及竞赛办公室编制路由防火墙路由防火墙•防火墙是网络中的一个路由节点。多个端口上是不同的IP地址网段。•可以配置静态/动态路由协议（RIP/OSPF等），参与全网路由。•可以配置NAT，进行内外地址转换广州研究院及竞赛办公室编制透明防火墙透明防火墙•容易融入现网，易于维护和管理。–无需配置NAT–无需端口IP–仅需要1个管理IP–不用考虑IP路由的问题•实现特定数据的转发–路由模式无法实现的转发，必须依靠透明防火墙实现–动态路由协议的信令（OSPF,RIP,BGP）透传–HSRP/VRRP高可靠性报文透传•透明防火墙无法使用的功能–VPN终结/组播/动态路由协议广州研究院及竞赛办公室编制内容介绍•防火墙技术原理•防火墙在网络架构中的位置和功能••防火墙关键技术防火墙关键技术广州研究院及竞赛办公室编制防火墙的关键技术防火墙的关键技术1.包过滤（Packetfiltering）技术2.应用代理网关技术3.状态检测技术4.复合型防火墙技术5.端口映射技术6.黑名单技术广州研究院及竞赛办公室编制包过滤技术包过滤技术•包过滤防火墙工作在网络层，对数据包的源及目地IP具有识别和控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息。现在的路由器、SwitchRouter以及某些操作系统已经具有用PacketFilter控制的能力。•由于只对数据包的IP地址、TCP/UDP协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。广州研究院及竞赛办公室编制包过滤（Packetfiltering）技术包过滤（Packetfiltering）技术•包过滤防火墙具有根本的缺陷：–不能防范黑客攻击。–不支持应用层协议。–不能处理新的安全威胁。广州研究院及竞赛办公室编制包过滤防火墙工作原理示意图包过滤防火墙工作原理示意图应用层TCP层IP层网络接口层应用层TCP层IP层网络接口层开始攻击开始攻击TCP开始攻击TCPIP开始攻击TCPIPETH1001100110011001100110100110101开始攻击TCPIP1001100110011001100110100110101开始攻击开始攻击TCP开始攻击TCPIP开始攻击TCPIPETH广州研究院及竞赛办公室编制包过滤(PacketFiltering)包过滤(PacketFiltering)•根据数据流的源地址和目的地址判断是否允许该数据进入/离开网络广州研究院及竞赛办公室编制包过滤包过滤•根据流经该设备的数据包地址信息，决定是否允许该数据包通过•判断依据有(只考虑IP包)：–数据包协议类型：TCP、UDP、ICMP、IGMP等–源、目的IP地址–源、目的端口：FTP、HTTP、DNS等–IP选项：源路由、记录路由等–TCP选项：SYN、ACK、FIN、RST等–其它协议选项：ICMPECHO、ICMPECHOREPLY等–数据包流向：in或out–数据包流经网络接口：eth0、eth1广州研究院及竞赛办公室编制包过滤示例包过滤示例堡垒主机内部网外部网络在上图所示配置中，内部网地址为：192.168.0.0/24，堡垒主机内网卡eth1地址为：192.168.0.1，外网卡eth0地址为：10.11.12.13DNS地址为：10.11.15.4要求允许内部网所有主机能访问外网、FTP服务，外部网不能访问内部主机广州研究院及竞赛办公室编制端口映射技术端口映射技术端口映射功能主要是将防火墙WAN的公网IP地址的某个端口或某一段的端口映射到局域网的某台PC的IP地址，实现从Internet的用户能通过WAN公网IP访问内部局域网的某一应用或程序。广州研究院及竞赛办公室编制黑名单技术黑名单技术黑名单技术是在防火墙中屏蔽那些对你有危险或攻击的IP，使你在任何时间不会接受这个IP的任何信息以及命令等，它是属于主动防御模式。广州研究院及竞赛办公室编制第1章防火墙第2章入侵检测系统IDS第3章入侵防御系统IPS第4章统一威胁管理系统UTM第5章网闸第6章异常流量监控设备第7章异常流量清洗设备课程目录课程目录广州研究院及竞赛办公室编制入侵检测系统IDS入侵检测系统IDS•主机入侵检测系统•网络入侵检测系统•网络节点入侵检测系统•入侵的响应方式•部署中需注意的问题•在应用中的常见问题•选择IDS需考虑的要素广州研究院及竞赛办公室编制什么是入侵什么是入侵入侵是指在非法或未经授权的情况下，试图存取或处理系统或网络中的信息，或破坏系统或网络正常运行，致使系统或网络的可用性、机密性和完整性受到破坏的故意行为。广州研究院及竞赛办公室编制攻击的类型：网络嗅探利用•设计缺陷•实现缺陷拒绝服务攻击针对以下方面：网络操作系统应用广州研究院及竞赛办公室编制针对入侵构建防御系统针对入侵构建防御系统•预防入侵•检测入侵•对入侵做出响应广州研究院及竞赛办公室编制针对入侵构建防御系统针对入侵构建防御系统•预防入侵–非常重要的第一步；–阻止某些不良企图，例如防火墙；–但是攻击仍然发生：•网络、操作系统和应用在设计和实现上的缺陷；•隧道技术；•来自网络内部的攻击。广州研究院及竞赛办公室编制针对入侵构建防御系统针对入侵构建防御系统•检测入侵–采取预防措施阻止某些攻击;–是否能够实时检测到剩余的攻击?