CISP0205网络安全设备

网络安全设备培训机构名称讲师名字课程内容2知识子域：防火墙技术3理解防火墙的作用理解包过滤技术、状态检测技术和应用代理技术的原理和优缺点掌握防火墙选择和使用中的基本注意事项防火墙技术什么是防火墙？为什么需要防火墙?防火墙的功能防火墙的典型部署防火墙的分类防火墙的工作模式防火墙的相关技术防火墙的弱点和局限性选择防火墙需考虑的要素防火墙使用中的注意事项4防火墙技术--什么是防火墙？在网络间（内部/外部网络、不同信息级别）提供安全连接的设备；用于实现和执行网络之间通信的安全策略Internet公司网站防火墙5防火墙技术—为什么需要防火墙?阻止来自不可信网络的攻击保护关键数据的完整性维护客户对企业或机构的信任6防火墙技术--防火墙的功能控制进出网络的信息流向和数据包，过滤不安全的服务；隐藏内部IP地址及网络结构的细节；提供使用和流量的日志和审计功能；部署NAT（NetworkAddressTranslation，网络地址转换）；逻辑隔离内部网段，对外提供WEB和FTP；实现集中的安全管理；提供VPN功能。7防火墙的相关功能—地址转换（NAT)用于当企业没有足够的合法（公有）IP地址；NAT可为内部网络提供额外的安全措施；按照用户的需要提供给外部网络一定的服务；利用NAT实现多服务器负载均衡。8防火墙的相关功能—地址转换（NAT)静态地址转换动态地址转换端口地址转换（PAT）9这是最为普通的企业环境防火墙部署案例。利用防火墙将网络分为三个安全区域，企业内部网络，外部网络和服务器专网(DMZ区)。可信网络不可信的网络&服务防火墙路由器InternetIntranetDMZ公开可访问的服务&网络10防火墙技术：防火墙的典型部署防火墙技术--防火墙的分类防火墙从实现方式上来分，可分为硬件防火墙和软件防火墙两类。硬件防火墙通常部署在内、外部网络之间，通过软、硬件结合的方式来达到隔离内、外部网络的目的；软件防火墙可以在一个独立的机器上运行，通过一定的规则来达到限制非法用户访问的目的。从技术的发展阶段来分看，防火墙可分为包过滤、应用代理和状态检测等几大类型。包过滤状态检测应用代理防火墙的发展阶段11防火墙技术--防火墙的工作模式路由模式透明模式混合模式12防火墙技术--防火墙的工作模式路由模式内部网络192.168.1.0/24GW:192.168.1.254外部网络202.101.10.0/24GW:202.101.10.1防火墙路由器InternetIntranet202.101.10.1/24192.168.1.254/2413防火墙技术--防火墙的工作模式透明模式内部网络192.168.1.0/24GW:192.168.1.254外部网络路由器InternetIntranet192.168.1.254/2414防火墙技术--防火墙的工作模式混合模式工作于透明模式的防火墙可以实现透明接入，工作于路由模式的防火墙可以实现不同网段的连接。但路由模式的优点和透明模式的优点是不能同时并存的。所以，大多数的防火墙一般同时保留了透明模式和路由模式，根据用户网络情况及用户需求，在使用时由用户进行选择。15防火墙技术--防火墙的相关技术包过滤技术应用代理技术状态检测技术16防火墙的相关技术--包过滤（Packetfilter）在网络层检查数据包简单的拒绝或接受策略模型无法识别更高层协议网络层应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层17防火墙的相关技术--包过滤（Packetfilter）包过滤防火墙具有以下特点：优点:只对数据包的IP地址、TCP/UDP协议和端口进行分析，规则简单，处理速度较快易于配置对用户透明-用户访问时不需要提供额外的密码或使用特殊的命令缺点：检查和过滤器只在网络层-不能识别应用层协议或维持连接状态安全性薄弱–不能防止IP欺骗等18防火墙的相关技术—应用网关或代理（ApplicationGatewayorProxy）在应用层检查数据包能够对应用或内容进行过滤–例如：禁止FTP的“put”命令网络层应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层19防火墙的相关技术—应用网关或代理（ApplicationGatewayorProxy）应用代理或网关防火墙具有以下特点：优点：可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强提供良好的安全性-所有数据的有效负载都在应用层进行检查缺点：支持的应用数量有限，无法很好的支持新的应用、技术和协议对用户不透明度性能表现欠佳20防火墙的相关技术--状态检测（StatefulInspection）数据链路层物理层网络层表示层会话层传输层检测引擎应用层动态状态表动态状态表动态状态表在数据链路层和网络层之间对数据包检测进行检测创建状态表用于维护连接上下文应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层21防火墙的相关技术--状态检测（StatefulInspection）状态检测防火墙具有以下特点：性能大大提高支持大量应用在内核级实现检测过滤在所有接口对进/出的数据包进行检查支持七层协议检查在动态状态表中存储连接状态检查对外的连接并预先计算出将返回的连接支持对所有的七层协议进行检查22防火墙技术--弱点和局限性防火墙防外不防内；防火墙难于管理和配置，易造成安全漏洞；很难为用户在防火墙内外提供一致的安全策略；防火墙只实现了粗粒度的访问控制；对于某些攻击防火墙也无能为力。23防火墙技术—选择防火墙需考虑的要素安全性高效性适用性可管理性完善及时的售后服务体系24防火墙技术—防火墙使用中的注意事项制定符合实际情况的安全策略，并定期更新；取消危险的系统调用，关闭多余的端口；限制命令的执行权限；取消IP转发功能；取消动态路由功能；制定严格的远程管理措施等等。25防火墙技术--实例讲解26知识子域：入侵检测技术27理解审计和监控的基本概念理解入侵检测基本概念和工作原理理解入侵检测的分类掌握入侵检测系统选择和使用中的基本注意事项入侵检测技术28什么是入侵？入侵的分类针对入侵构建防御系统入侵检测系统的作用入侵检测系统的功能入侵检测系统的典型部署入侵检测模型入侵检测系统的分类异常检测特征检测入侵检测技术29主机入侵检测系统网络入侵检测系统网络节点入侵检测系统入侵的响应方式部署中需注意的问题在应用中的常见问题选择IDS需考虑的要素入侵检测技术--什么是入侵？30入侵是指在非法或未经授权的情况下，试图存取或处理系统或网络中的信息，或破坏系统或网络正常运行，致使系统或网络的可用性、机密性和完整性受到破坏的故意行为。入侵检测技术--入侵的分类31攻击的类型：网络嗅探利用•设计缺陷•实现缺陷拒绝服务攻击针对以下方面：网络操作系统应用入侵检测技术—针对入侵构建防御系统32预防入侵检测入侵对入侵做出响应入侵检测技术—针对入侵构建防御系统33预防入侵非常重要的第一步；阻止某些不良企图，例如防火墙；但是攻击仍然发生：网络、操作系统和应用在设计和实现上的缺陷；隧道技术；来自网络内部的攻击。入侵检测技术—针对入侵构建防御系统34检测入侵采取预防措施阻止某些攻击;是否能够实时检测到剩余的攻击?监控各种恶意行为：网络流量;主机中的行为;实时分析大量的审计数据，来识别入侵或误用。入侵检测技术—针对入侵构建防御系统35对入侵做出响应实时响应；识别入侵并做出响应；做出反应以减小入侵造成的响应，并尽快恢复服务。入侵检测技术--入侵检测系统的作用36克服某些传统的防御机制的限制；在“深度防御”的基础上成为安全框架的一部分；在整个组织的网络中能够识别入侵或违反安全策略的行为，并能够做出回应。入侵检测技术--入侵检测系统的功能37自动检测入侵行为；监视网络流量（NetworkIDS)和主机(HostIDS)中的操作；分析入侵行为：基于特征基本异常按预定的规则做出响应：阻止指定的行为。入侵检测技术--入侵检测系统的典型部署38可信网络不可信的网络&服务防火墙InternetIntranet以旁路的方式接入到网络中，且部署在需要的关键位置。HIDSNIDSNIDS入侵检测技术--入侵检测模型39入侵检测系统的告知模型(IDWG)－－IntrusionDetectionWorkingGroup数据源感应器行为分析器事件告警管理器响应器响应管理员操作员入侵检测技术--入侵检测模型40数据源感应器管理员管理器操作员分析器安全策略响应事件告警通知行为入侵检测技术--入侵检测模型41入侵检测系统的通用模型(CIDF)－－CommonIntrusionDetectionFramework事件生成器事件分析器事件响应器事件数据库入侵检测技术--入侵检测模型42事件生成器事件数据库事件响应器事件分析器交互数据行动交互数据交互数据入侵检测技术--入侵检测系统的分类43按检测方法异常检测特征检测按地点基于主机基于网络基于网络节点按比较/分类方法基于规则统计分析神经网络模式匹配状态转换分析以上所有的组合入侵检测技术—异常检测44设定“正常”的行为模式；假设所有的入侵行为是异常的；基于系统和基于用户的异常；优点：可检测未知的攻击；自适应、自学习功能；不需要先验知识。关键问题：“正常”行为特征的选择；统计算法、统计点的选取等。入侵检测技术—异常检测45使用的检测方法基于规则统计分析神经网络数据来源审计日志或网络流量特殊用途的数据收集机制键盘击键监控入侵检测技术—特征检测46建立入侵行为模型(攻击特征)；假设可以识别和表示所有可能的特征；基于系统的和基于用户；优点:准确率高；算法简单。关键问题：有所有的攻击特征，建立完备的特征库；特征库要不断更新；无法检测新的入侵。入侵检测技术—特征检测47使用的检测方法基于规则模式匹配状态转换分析神经网络数据来源审计日志或网络流量特殊用途的数据收集机制入侵检测技术—主机入侵检测系统48基于主机的入侵检测系统是以代理软件的形式安装在每台主机或服务器上，以监测主机上的各种活动；代理软件实现对入侵的检测分析；由代理软件向统一的管理/策略服务器发送日志和告警信息。入侵检测技术—主机入侵检测系统49主机入侵检测系统的优点：在长期监控谁访问什么可以将问题映射到一个具体的用户ID系统可以跟踪滥用行为的变化适用于加密环境可以运行在交换环境中监测分布在多台主机上的负载，并只将有关数据上报中央控制台入侵检测技术—主机入侵检测系统50主机入侵检测系统的缺点：无法监测网络活动；审计机制的运行增加了系统负载；审计记录会占用大量的存储空间；由于操作系统的漏洞可能破坏代理软件的有效性；不同类型的操作系统需要不同的代理软件；升级的问题；更高的部署和维护成本。入侵检测技术—网络入侵检测系统51以混杂模式接入网络；感应器可部署在网络的关键位置；将日志/告警信息发送至位于企业防火墙内部的服务器。入侵检测技术—网络入侵检测系统52网络入侵检测系统的优点：不需重新配置或重定向日志机制即可快速获取信息；其部署不影响现有的网络架构或数据源；实时监视与检测网络攻击或误用；与操作系统无关；不会增加系统开销。入侵检测技术—网络入侵检测系统53网络入侵检测系统的缺点：无法分析加密的数据；从网络流量可以推断发生了什么，但不能判断结果对全交换网络难以实现；对于带宽的要求较高。