第四讲主流信息安全技术资料.ppt

第四讲第四讲 安全技术与产品安全技术与产品2本讲主要阐述目前最常用的信息安全技术和信息安全产品，内容包括了：q防火墙q入侵检测qVPNq漏洞评估 本讲涉及内容宽泛，领域众多，讲师根据学员情况做好课时安排。 本讲总课时建议为46课时。3通过本讲学习，学员应该掌握：q各类信息安全技术的概念、用途，部署方式q防火墙的分类、原理、结构和用途q入侵检测产品的工作原理和分类qVPN的分类和用途q漏洞评估的概念和意义（一）防火墙技术（一）防火墙技术5q 防火墙的基本概念防火墙的基本概念q 防火墙的主要技术防火墙的主要技术q 防火墙的用途防火墙的用途q 防火墙的弱点防火墙的弱点q 防火墙的体系结构防火墙的体系结构q 防火墙的构筑原则防火墙的构筑原则q 防火墙产品防火墙产品本节将分以下几部分介绍网络防火墙：本节将分以下几部分介绍网络防火墙：6 防火墙是一种高级访问控制设备，是置于不同网防火墙是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，是不同网络安全络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关安全政策控域间通信流的唯一通道，能根据企业有关安全政策控制制(允许、拒绝、监视、记录允许、拒绝、监视、记录)进出网络的访问行为。进出网络的访问行为。不可信的网络及服务器可信任的网络防火墙路由器InternetIntranet供外部访问的服务及资源可信任的用户不可信的用户 DMZ 7q 控制对网点的访问和封锁网点信息的泄露控制对网点的访问和封锁网点信息的泄露q 能限制被保护子网的泄露能限制被保护子网的泄露q 具有审计作用具有审计作用q 能强制安全策略能强制安全策略8q 防火墙不能防备病毒防火墙不能防备病毒q 防火墙对不通过它的连接无能为力防火墙对不通过它的连接无能为力q 防火墙不能防备内部人员的攻击防火墙不能防备内部人员的攻击q 限制有用的网络服务限制有用的网络服务q 防火墙不能防备新的网络安全问题防火墙不能防备新的网络安全问题91011121314q 应用层代理技术应用层代理技术 (Application Proxy)q 包过滤技术包过滤技术 (Packet Filtering)q 状态包过滤技术状态包过滤技术 (Stateful Packet Filtering)应用层表示层会话层传输层网络层数据链路层物理层15数据包数据包数据包数据包查找对应的查找对应的控制策略控制策略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包数据TCP报头IP报头分组过滤判断信息企业内部网企业内部网屏蔽路由器屏蔽路由器数据包数据包数据包数据包UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource控制策略16数据包数据包数据包数据包查找对应的查找对应的控制策略控制策略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包企业内部网企业内部网屏蔽路由器屏蔽路由器数据包数据包数据包数据包数据3TCP报头IP报头分组过滤判断信息数据2TCP报头IP报头数据1TCP报头IP报头数据1TCP报头IP报头数据状态检测控制策略控制策略17数据包数据包数据包数据包查找对应的查找对应的控制策略控制策略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包企业内部网企业内部网屏蔽路由器屏蔽路由器数据包数据包数据包数据包数据TCP报头IP报头分组过滤判断信息应用代理判断信息控制策略控制策略18 防火墙可以设置成不同的体系结构，提供不同级防火墙可以设置成不同的体系结构，提供不同级别的安全。常见的体系结构有：别的安全。常见的体系结构有：19内部网内部网外部网外部网包过滤包过滤筛选路由器筛选路由器20内部网内部网外部网外部网双网主机双网主机q 双网主机插有两块网卡，分别连接到内网和外网。双网主机插有两块网卡，分别连接到内网和外网。q 防火墙内、外的系统均可以与双网主机进行通信，防火墙内、外的系统均可以与双网主机进行通信，但防火墙两边的系统之间不能直接进行通信。但防火墙两边的系统之间不能直接进行通信。q 使用此结构，必须关闭双网主机上的路由分配功使用此结构，必须关闭双网主机上的路由分配功能。能。21Internet堡垒主机防火墙屏蔽路由器22Internet堡垒主机屏蔽路由器屏蔽路由器周边网络23构筑防火墙要从以下几方面考虑：构筑防火墙要从以下几方面考虑：l体系结构的设计l安全策略的制定l安全策略的实施2425（二）虚拟局域网（二）虚拟局域网（VLAN）27q VLAN的定义的定义 VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。 q 组建组建VLAN的条件的条件 VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备要实现路由功能，既可采用路由器，也可采用三层交换机来完成。 28从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法：1、基于端口的基于端口的VLAN划分划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。 2、基于基于MAC地址的地址的VLAN划分划分 MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。 3、基于路由的、基于路由的VLAN划分划分 路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。 29 1、控制广播风暴、控制广播风暴 一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。 2、提高网络整体安全性、提高网络整体安全性 通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。 3、网络管理简单、直观、网络管理简单、直观 对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。 30 三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术三层转发技术。 三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。 q 三层交换原理三层交换原理 它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后，会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。可见，三层交换机集路由与交换于一身，在交换机内部实现了路由，提高了网络的整体性能。 q三层交换机分类三层交换机分类 1.基于纯硬件(ASIC) 2.基于软件的31（三）入侵检测系统（三）入侵检测系统（IDS）33关于入侵检测系统，我们将就以下部分进行学习：q IDS简介简介q IDS分类分类q IDS作用作用q IDS工作原理工作原理q IDS部署方式部署方式q IDS应用应用q IDS技术的发展方向技术的发展方向q IDS产品产品q IDS资源资源 34q IDS是什么？是什么？ 入侵检测系统入侵检测系统(Intrusion Detection System)(Intrusion Detection System) 入侵检测技术是为了保证计算机系统安全面而设置和配置的一种能够及时发现并报告系统中未授权或异常行为的技术，是一种检测计算机网络中违反安全策略行为的技术。 入侵检测被视为防火墙之后的第二道安全阐门，主要用来监视和分析用户和系统的活动，能够反映已知的攻击模式并报警，同时监控系统的异常模式，对于异常行为模式，IDS采用报表的方式进行统计分析35q 应用软件入侵监测系统Application Intrusion Detectionq 主机入侵监测系统Host Intrusion Detectionq 网络入侵监测系统Network Intrusion Detectionq 集成入侵监测系统Integrated Intrusion Detection根据根据IDSIDS工作位置和数据来源，可以分为：工作位置和数据来源，可以分为：36q 网络入侵检测系统网络入侵检测系统(NIDS) -在网络中的某个节点上装有探测器来监测整个网络在网络中的某个节点上装有探测器来监测整个网络(工作对象工作对象 基于网络基于网络)q特点：特点：1.1.拥有较低的成本拥有较低的成本-在几个很少的监测点上进行配置就可以监控一个网络中所发生的入侵行为;2.2.能监测主机能监测主机IDSIDS所不能监测到的某些攻击所不能监测到的某些攻击(如DOS、Teardrop)通过分析IP包的头可以捕捉这些须通过分析包头才能发现的攻击;3.3.与操作系统无关性与操作系统无关性-基于网络的IDS与所监测的主机所运行的操作系统无关，而主机IDS则必须在特定的操作系统下才能运行;4.4.检测未成功能攻击和不良意图检测未成功能攻击和不良意图-与之相比，主机IDS只能检测到成功的攻击，而很多未成功的攻击对系统的风险评估成到关键的作用;5.5.实时检测和响应实时检测和响应-网络IDS可以在攻击发生的同时将其检测出来，并进行实时的报警和响应。37CIDF模型（ Common Intrusion Detection Frame） 组件： 事件产生器（Event generators） 事件分析器（Event analyzers） 响应单元（Response units） 事件数据库（Event databases） 38HUBMonitored ServersConsoleIDS SensorsL4或或L7交换设备交换设备39q 主机入侵检测系统主机入侵检测系统(HIDS) -在网络中所监测的每台主机上都装有探测器(工作对象基于主机)q HIDS特点特点:1.确定攻击是否成功确定攻击是否成功-比网络IDS更准确的判定攻击是否成功;2.系统行动监视的更好系统行动监视的更好-对于每一个用户(尤其是系统管理员)上网下网的信息、连入网络后的行为和所受到的入侵行为监测的更为详细，记录的更准确; 3.能够检测到网络能够检测到网络IDS检测不到的特殊攻击检测不到的特殊攻击-如某服务器上有人 直接对该机进行非法操作;4.适用于加密的环境适用于加密的环境 -在某些特殊的加密网络环境中，由于网络IDS所需要的网络环境不能满足，所以在这种地方应用主机IDS就可以完成这一地方的监测任务5.不需要额外的硬件设备不需要额外的硬件设备-与网络IDS相比，不需要专用的硬件检测系统，降低的硬件成本40InternetIDS 1IDS 2IDS 3IDS 4子网子网 A子网子网 B交换机交换机带主机带主机IDS感应感应器的服务器器的服务器服务器服务器含含HIDS的网络体系结构的网络体系结构41q 签名分析法Signature Analysisq 统计分析法Statistics Analysisq 数据完整性分析法Data Integration Analysis入侵检测系统按照其检测原理可以分为以下类型：入侵检测系统按照其检测原理可以分为以下类型：42 从链路层抓包 分析数据包模式匹配EthernetIPTCPEthernetIPTCP协议分析HTTPUnicodeXML43模式匹配模式匹配(Pattern Matching)(Pattern Matching) 效率低-对每一条事件都要与事件库中的 特征事件进行对比，工作量大。 误报多-如果两个攻击事件具有极其相近的特征，在对比的过程中容易产生误报，而错过真实的问题。模式匹配举例模式匹配举例 较早版本的Sendmail漏洞利用$ telnet 25WIZshell或者DEBUG# 直接获得rootshell！模式匹配模式匹配检查每个packet是否包含：“WIZ”| “DEBUG”44FrameHeaderIP DatagramHeaderICMP/UDP/TCPHeaderFrame Data AreaIP DataProtocolDataInterface LayerInternet LayerTransport Layer45q 分布式入侵检测分布式入侵检测 1.针对分布式攻击的检测方法 2.使用分布式的方法来检测分布式的攻击，关键技术为检测信息的协同处理与入侵攻击的全局信息提取q 智能化入侵检测智能化入侵检测 使用智能化的手法也实现入侵检测，现阶段常用的有神经网络、模糊算法、遗传算法、免疫原理等技术q 全面的安全防御方案全面的安全防御方案 采用安全工程风险管理的理论也来处理网络安全问题，将网络安全做为一个整体工程来处理，从管理、网络结构、防火墙、防病毒、入侵检测、漏洞扫描等多方面对网结进行安全分析 随着网络技术的发展，还会有更多新技术应用到入侵检测系统中来!46q 免费产品免费产品 Snort (http:/ www.snort.org)q 国内市场上的国内市场上的IDSIDS厂商厂商启明星辰安氏绿盟金诺瑞星等q 国外的国外的IDS产品产品CyberCop Monitor, NAIDragon Sensor, EnterasyseTrust ID, CANetProwler, SymantecNetRanger, CiscoNID-100/200, NFR SecurityRealSecure, ISSSecureNet Pro, I47 IDS FAQ http:/ Focus-IDS Mailinglist http:/ Yawl http:/OldHand http:/www.oldhand.orgSinbad http:/sinbad.dhs.org/doc.html?board=IDS（四）虚拟专用网（四）虚拟专用网（VPN）49q VPN的基本概念的基本概念q VPN的功能的功能q VPN的分类及用途的分类及用途q VPN常用协议常用协议q 基于基于IPSec协议的协议的VPN体系结构体系结构本节将分以下几部分介绍本节将分以下几部分介绍VPN网关：网关：50 虚拟专用网虚拟专用网VPN（Virtual Private Network）技术技术是指在公共网络中建立专用网络，数据通过安全的是指在公共网络中建立专用网络，数据通过安全的“加加密管道密管道”在公共网络中传播。在公共网络中传播。InternetVPN通道通道隧道交换机隧道交换机移动用户移动用户51VPN必须具备如下功能：必须具备如下功能： q保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。 q保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。 q保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 q提供动态密钥交换功能，提供密钥中心管理服务器，必须具备防止数据重演（Replay）的功能，保证通道不能被重演。 q提供安全防护措施和访问控制，要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制（Access Control）52 内内 部部 网网VPN用用VPN连接公司总部和其分支机构连接公司总部和其分支机构. 远程访问远程访问VPN用用VPN连接公司总部和远程用户连接公司总部和远程用户. 外外 联联 网网VPN用用VPN连接公司和其业务伙伴连接公司和其业务伙伴.子公司子公司LAN合作伙伴合作伙伴LAN远程用户远程用户Internet53InternetVPN服务器服务器VPN服务器服务器路由器路由器路由器路由器加密信道加密信道加密加密认证认证VPN总总部部LAN子子公公司司LAN一个安全的VPN服务，应该为子公司的不同用户指定不同的访问权限。内部网内部网VPN 54InternetVPN服服务务器器加密信道加密信道总总部部LANVPN的功能：1、访问控制管理。2、用户身份认证。3、数据加密。4、智能监视和审计记录。5、密钥和数字签名管理。PC机机移动用户移动用户公公共共服服务务器器远程访问远程访问VPN 55InternetVPN服务器服务器VPN服务器服务器加密信道加密信道加密加密认证认证VPN公公司司内内联联网网合合作作公公司司内内联联网网1、VPN服务应有详细的访问控制。2、与防火墙/协议兼容。FTP服服务务器器外联网外联网VPN 56OSI七层模型安全技术安全协议应用层表示层应用代理会话层传输层会话层代理SOCK V5网络层数据链路层物理层包过滤IPSecPPTP/L2TP VPN常用的协议有常用的协议有SOCK v5、IPSec、PPTP以及以及L2TP等。这些协议对应的等。这些协议对应的OSI层次结构如下：层次结构如下：VPN常用协议常用协议 57不安全网不安全网网关或主机网关或主机网关或主机网关或主机IP数据包数据包传输层数据传输层数据应用程序应用程序IP数据包数据包传输层数据传输层数据应用程序应用程序SA加密算法加密算法加密密钥加密密钥认证算法认证算法认证密钥认证密钥SA加密算法加密算法加密密钥加密密钥认证算法认证算法认证密钥认证密钥安全联系安全联系58 IP Sec共分四种模式 AH的传输模式(Transport Mode) AH的通道模式(Tunnel Mode)、 ESP的传输模式(Transport Mode) ESP的通道模式(Tunnel Mode) 59 AH认证报头操作模式 IP 负载(IP Payload)AH头原始IP头(IP Header)AH 传输传输模式模式IP 负载(IP Payload)原始IP头(IP Header)IP Datagram认证IP 负载(IP Payload)原始IP头(IP Header)AH头新的IP头(New IP Header)AH 通道模式通道模式认证60 ESP协议操作模式 加密ESP认证ESP TrailerIP负载(IP Payload)ESP Header原始IP头(IP Header)传输传输模式模式加密ESP认证ESP TrailerIP 负载(IP Payload)(IP Header)原始IP头ESP Header新IP头通道通道模式模式认证认证61626364（五）漏洞评估（五）漏洞评估66q 漏洞评估的概念漏洞评估的概念q 漏洞评估的分类漏洞评估的分类q 漏洞评估产品选择原则漏洞评估产品选择原则q 常见的漏洞评估产品常见的漏洞评估产品本节将分以下几部分介绍漏洞评估产品：本节将分以下几部分介绍漏洞评估产品：67基本概念基本概念 通过对系统进行动态的试探和扫描，找出系统中各类潜在的弱点，给出相应的报告，建议采取相应的补救措施或自动填补某些漏洞。主要优点主要优点 通过漏洞评估，网络管理人员能提前发现网络系统的弱点和漏洞，防范于未然。68q 网络型安全漏洞评估产品网络型安全漏洞评估产品模拟黑客行为，扫描网络上的漏洞并进行评估q 主机型安全漏洞评估产品主机型安全漏洞评估产品针对操作系统的漏洞作更深入的扫描q 数据库安全漏洞评估产品数据库安全漏洞评估产品专门针对数据库的漏洞进行扫描69q 服务扫描侦测服务扫描侦测q 后门程序扫描侦测后门程序扫描侦测q 密码破解扫描侦测密码破解扫描侦测q 应用程序扫描侦测应用程序扫描侦测q 拒绝服务扫描侦测拒绝服务扫描侦测q 系统安全扫描侦测系统安全扫描侦测q 分析报表分析报表q 安全知识库的更新安全知识库的更新70主机型漏洞评估产品的主要功能主机型漏洞评估产品的主要功能q 重要资料锁定重要资料锁定q 密码检测密码检测q 系统日志文件和文字文件分析系统日志文件和文字文件分析q 动态式的警训动态式的警训q 分析报表分析报表q 加密加密q 安全知识库的更新安全知识库的更新71数据库漏洞评估产品的主要功能数据库漏洞评估产品的主要功能q 不良的密码设定不良的密码设定q 过期密码设定过期密码设定q 侦测登录攻击行为侦测登录攻击行为q 关闭久未使用的账户关闭久未使用的账户q 追踪登录期间的活动追踪登录期间的活动72q 是否具有针对网络、主机和数据库的漏洞是否具有针对网络、主机和数据库的漏洞检测功能检测功能q 产品扫描能力产品扫描能力q 产品的评估能力产品的评估能力q 产品的漏洞修复能力及报告格式产品的漏洞修复能力及报告格式73qInternet Security System: Internet ScannerSystem ScannerDatabase ScannerRealSecureqAxent Technologies: NetRecon 3.0 q北京网盾：北京网盾：网络漏洞探测器网络漏洞探测器常见的漏洞评估产品常见的漏洞评估产品74如果将计算机网络比作城堡：如果将计算机网络比作城堡：q 防火墙就是城堡的护城桥（河）防火墙就是城堡的护城桥（河）只允许己只允许己方的队伍通过。方的队伍通过。 q 入侵监测系统就是城堡中的了望哨入侵监测系统就是城堡中的了望哨监视有监视有无敌方或其他误入城堡的人出现。无敌方或其他误入城堡的人出现。q VPN就是城褒外到城堡内的一个安全地道就是城褒外到城堡内的一个安全地道有时城堡周围遍布敌军而内外需要联络。有时城堡周围遍布敌军而内外需要联络。q 漏洞评估就是巡锣漏洞评估就是巡锣检测城堡是否坚固以及检测城堡是否坚固以及是否存在潜在隐患。是否存在潜在隐患。q 防病毒产品就是城堡中的将士防病毒产品就是城堡中的将士想方设法把想方设法把发现的敌人消灭。发现的敌人消灭。75防火墙防火墙访问控制访问控制防病毒防病毒入侵检测入侵检测 虚拟专用网虚拟专用网 漏洞评估漏洞评估