[精选]S08-网络安全防范.pptx
《[精选]S08-网络安全防范.pptx》由会员分享,可在线阅读,更多相关《[精选]S08-网络安全防范.pptx(42页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、网络协议网络协议&网络平安网络平安S08网络平安网络平安防范防范主要知识点主要知识点网络平安防范技术要点网络平安防范技术要点嵌入式平安防范技术嵌入式平安防范技术n防火墙防火墙n代理代理主动式平安防范技术主动式平安防范技术n平安口令平安口令nVLANnVPN被动式平安防范技术被动式平安防范技术n网页防篡改网页防篡改n入侵检测入侵检测n平安审计平安审计网络平安防范412网络网络平安防范平安防范Network Security Defencen针对网络平安威胁,使用各种技术和管理手段,到达防止、发现、针对网络平安威胁,使用各种技术和管理手段,到达防止、发现、遏制、消除网络攻击的目的,保障网络与信息系
2、统遏制、消除网络攻击的目的,保障网络与信息系统平安平安n网络平安防范技术要点:网络平安防范技术要点:1有的放矢地选择技术,在深入需求分析的基础上有所取舍。不做简单堆砌的泥水匠,要成为用心设计的建筑师2一项技术解决一类问题,相互结合、相互补充才能形成完善的防范体系,不能有失偏颇,应该以全局的观点,注重全面防范效果提升3讲究策略,讲究平衡,以最小的代价获得最正确防范效果4不断跟踪网络平安威胁与防范的最新技术动态,不断调整和更新技术,才能保持长效的平安防范能力5关注防范技术可能造成的负面影响,因为巩固的城堡可以更好地抵挡入侵,但同时也会在一定程度上禁锢自身网络平安防范341网络平安防范的认识网络平安
3、防范的认识水桶法则短板效应水桶法则短板效应n技术技术措施应与非技术措施包括物理平安、人员平安、平安管理措施应与非技术措施包括物理平安、人员平安、平安管理等紧密配合,等紧密配合,不可或缺,不可厚此薄彼不可或缺,不可厚此薄彼因噎废食不可取因噎废食不可取n为了所谓的平安,不用网络或采用完全为了所谓的平安,不用网络或采用完全物理隔离的方法,变成一物理隔离的方法,变成一个个信息孤岛个个信息孤岛,将使网络,将使网络的的优势丧失殆尽优势丧失殆尽树欲静而风不止树欲静而风不止n平安平安防范技术再出色,也不是万无一失防范技术再出色,也不是万无一失的,技术的,技术能力具有能力具有相对性,相对性,应当在应当在战略上藐
4、视网络黑暗势力战略上藐视网络黑暗势力,在,在战术上足够重视,未雨绸缪,战术上足够重视,未雨绸缪,让平安防范系统时刻处于活泼的、临战的、健康的、最正确的让平安防范系统时刻处于活泼的、临战的、健康的、最正确的状状态态网络平安防范441网络平安防范技术分类网络平安防范技术分类1嵌入式嵌入式平安防范平安防范embedded defencen在在信息交换路径上部署相应的平安防范信息交换路径上部署相应的平安防范技术技术n可以可以是具有特定功能的设备硬件,也可以是专门设计的协议、是具有特定功能的设备硬件,也可以是专门设计的协议、软件软件n嵌入式嵌入式平安防范技术平安防范技术包括:平安包括:平安协议或协议补丁
5、、虚拟专用网协议或协议补丁、虚拟专用网VPN、地址翻、地址翻译译NAT、访问代理、访问代理proxy、网络防火墙、网络防火墙firewall、病毒和木马查杀网关、病毒和木马查杀网关、垃圾邮件过滤垃圾邮件过滤等等2主动式主动式平安防范平安防范active defencen对对网络信息系统的操作层面用户、信息层面内容、通信层面组网等关键网络信息系统的操作层面用户、信息层面内容、通信层面组网等关键环节加强网络平安防范措施,主动发现平安隐患、及时进行改进调整,环节加强网络平安防范措施,主动发现平安隐患、及时进行改进调整,防患于未然防患于未然n主动式主动式平安防范技术包括:网络管理与系统管理、信息加密、
6、数字证书、平安访问认平安防范技术包括:网络管理与系统管理、信息加密、数字证书、平安访问认证、虚拟子网证、虚拟子网VLAN、网络平安扫描与评估、软件平安修补、网络平安扫描与评估、软件平安修补等等3被动式被动式平安防范平安防范passive defencen指指两类平安防范措施两类平安防范措施:通过部署的系统在网络平安威胁发生时能够及时发现、及时预警、及时采取措施,尽可能减少损失、防止灾难蔓延通过对历史数据的分析,找出已经发生的攻击行为和事件、发现潜在的缺陷,以便采取针对性措施亡羊补牢n被动式被动式平安防范不仅能够弥补嵌入式平安防范和主动式平安防范的缺乏和遗漏之处,平安防范不仅能够弥补嵌入式平安防
7、范和主动式平安防范的缺乏和遗漏之处,而且具有动态检测的能力,是网络平安防范体系的重要而且具有动态检测的能力,是网络平安防范体系的重要组成局部组成局部n被动式被动式平安防范技术包括入侵检测系统平安防范技术包括入侵检测系统IDS、平安审计系统、平安审计系统SAS、网页防篡、网页防篡改、实时监控系统、运行日志改、实时监控系统、运行日志system log等等网络平安防范541防火墙防火墙FireWall,FWn防火墙作为一种网关防火墙作为一种网关gateway,起,起到隔离内部网络和外部网络到隔离内部网络和外部网络的的作用,阻断来自外部网络的平安攻击作用,阻断来自外部网络的平安攻击n防火墙的技术优势
8、在于其透明性,即对内部网络的组网结构、计防火墙的技术优势在于其透明性,即对内部网络的组网结构、计算机设备数量和分布、网络应用类型等均不敏感,有利于安装和算机设备数量和分布、网络应用类型等均不敏感,有利于安装和使用使用网络平安防范641防火墙类型防火墙类型从平安防范方法从平安防范方法上上n过滤过滤filtering、代理、代理agent/proxy从从层次结构层次结构上上n三三层层IP、四层、四层TCP/UDP、七层应用层协议、七层应用层协议从从防范对象防范对象上上n内内网防火墙、病毒网防火墙、病毒/木马防火墙、垃圾邮件木马防火墙、垃圾邮件防火墙防火墙从从技术实现技术实现上上n硬件硬件防火墙、软
9、件防火墙、软件防火墙防火墙网络平安防范741防火墙的过滤和代理功能防火墙的过滤和代理功能过滤和代理的共同点:过滤和代理的共同点:n对协议报文、信息内容进行筛选,剔除不平安元素、放行平安的对协议报文、信息内容进行筛选,剔除不平安元素、放行平安的访问访问n具有不对称性,主要对来自外部网络如具有不对称性,主要对来自外部网络如Internet的信息流进行的信息流进行严格检查,而对内部网络发起的会话,检查力度相对较弱严格检查,而对内部网络发起的会话,检查力度相对较弱过滤和代理的不同点:过滤和代理的不同点:n过滤过滤filter对每个通过的报文进行依次处理是无状态的报文间相互独立、互不影响,可以到达很高的
10、处理速度n代理代理proxy参与协议会话过程中介有状态的同一个会话或同一个流的报文间相互有关联性网络平安防范841防火墙功能防火墙功能网络平安防范941防火墙防火墙IP报文过滤操作流程报文过滤操作流程网络平安防范1041防火墙抵御防火墙抵御TCP同步洪水攻击例如同步洪水攻击例如1外外网攻击者发送网攻击者发送SYN,请求会话,请求会话连接连接2防火墙防火墙接收到接收到SYN,检查,检查IP地址的有效性、源地址是否地址的有效性、源地址是否内网地址等,假设判断为可疑的连接请求,丢弃报文可不内网地址等,假设判断为可疑的连接请求,丢弃报文可不予以响应,以对抗探测,予以响应,以对抗探测,结束结束3防火墙防
11、火墙响应响应SYN-ACK,启动超时,启动超时计时器计时器n防火墙防火墙只需匹配极少只需匹配极少资源资源n计时器计时器长度可以依据不同需求进行调整,适当长度可以依据不同需求进行调整,适当缩短缩短4假设假设计时器计时器超时未超时未收到收到ACK,则,则释放连接,结束释放连接,结束5防火墙防火墙假设收到假设收到ACK,则立即向内网指定计算机第,则立即向内网指定计算机第步步已缓存发送已缓存发送SYN,当接收到,当接收到SYN-ACK后立即响应后立即响应ACK6TCP连接建立连接建立成功,之后内外网直接通信成功,之后内外网直接通信网络平安防范1141访问控制列表访问控制列表Access Control
12、 List,ACLn用于防火墙实现灵活的管理用于防火墙实现灵活的管理过滤过滤机制机制nACL存放用于判别报文、连接与操作是否合法的相关参量,如存放用于判别报文、连接与操作是否合法的相关参量,如IP地址、端口号等,可以动态维护、地址、端口号等,可以动态维护、更新更新nACL类型:类型:黑 black list;forbid list显性指出禁止访问的工程,如某个IP地址或网段、某个TCP/UDP端口号访问控制引擎对黑 采用负逻辑negative logic判别方式,即符合条件者不通过,否则通过。白 white list;permission list显性指出允许访问的工程访问控制引擎对白 采用正
13、逻辑positive logic判别方式,即符合条件者通过,否则不通过灰 grey list一种特殊ACL黑 机制,可称为临时黑 灰 可以由防火墙自动地、动态地进行调整,更为灵活网络平安防范1241ACL引擎控制流程引擎控制流程网络平安防范1341匹配ACL每一行匹配?最后行?允许/拒绝?YNN丢弃报文结束Y最后行隐式Deny anyDeny报文通过Permit双防火墙机制双防火墙机制实现目标:实现目标:n某些内部某些内部网络网络需要对外需要对外提供访问效劳提供访问效劳,需要,需要一定的平安保护,但一定的平安保护,但应防止复杂性、提高访问应防止复杂性、提高访问效率效率n对外对外效劳系统与内部应
14、用系统间要有一定的互连关系,用于平安效劳系统与内部应用系统间要有一定的互连关系,用于平安地交换地交换数据数据n内内网中的计算机可以访问外部网络网中的计算机可以访问外部网络网络平安防范1441非非 事区事区 De-Military ZoneLAN DMZ WAN带DMZ的FW双防火墙应用效果双防火墙应用效果网络平安防范1541内部网络DMZInternetDBServerWebServerEmailServerdata最高的平安保障有效的平安保障无平安保障来自外部网络的访问仅限于到达DMZ区域双防火墙应用例如双防火墙应用例如网络平安防范1641防火墙评价指标防火墙评价指标误报率误报率rate o
15、f false detectionnfalse positiven指正指正常访问或数据误遭防火墙拦截,直接造成访问失败、数据如邮件常访问或数据误遭防火墙拦截,直接造成访问失败、数据如邮件丧失丧失n误报率越低越好误报率越低越好漏报漏报率率rate of missingnfalse negativen是是检出率检出率rate of detection的反面,指防火墙未能发现平安攻击的访问或数据,的反面,指防火墙未能发现平安攻击的访问或数据,使漏网之鱼进入网络使漏网之鱼进入网络系统系统n漏报率越低越好漏报率越低越好矛盾性矛盾性n漏报率与误报率的降低存在一定的矛盾漏报率与误报率的降低存在一定的矛盾n应
16、根据应用需求进行协调,寻找最正确平衡点应根据应用需求进行协调,寻找最正确平衡点网络平安防范1741主要针对模糊判别代理代理Proxy/Agentn计算机网络体系中的一种网关设备,用于协助网络用户完成访问计算机网络体系中的一种网关设备,用于协助网络用户完成访问任务,即用户将访问请求提交给代理,由代理完成对指定资源的任务,即用户将访问请求提交给代理,由代理完成对指定资源的访问,并把访问结果转交给访问,并把访问结果转交给用户用户n代理的作用:代理的作用:代理主要起到类似中间人的访问隔离作用,帮助网络用户完成其不能直接实施的任务代理可以设定缓存空间,存储网络访问的结果,以便向下一个相同的访问可能来自不
17、同用户提供本地响应的、快速的效劳,不占用珍贵的Internet接入带宽资源对访问进行白 式的控制,通过代理的设置,向指定的用户开放指定的应用、指定的URL、指定的通信流量、指定的访问时段等,使用户的访问行为得到有效的约束,也限制了外部网络用户对内部网络用户不平安的直接访问行为网络平安防范1841代理功能示意代理功能示意网络平安防范1941网络A网络B应用系统A应用系统B应用系统C用户x用户y用户zProxy允许访问A|B|C允许访问B|C允许访问A代理与防火墙代理与防火墙/网关比较网关比较网络平安防范2041ProxyGateway/RouterFirewall部署位置部署位置任意网络之间内网
18、出口互连层次互连层次7334局部7地址转换地址转换IP+PortNAT中继转发中继转发应用落地仅转发TCP落地过滤功能过滤功能应用/内容过滤IP/Port过滤访问控制访问控制限制功能IP/Port ACLDoS防范防范攻击防范通过代理穿越防火墙例如通过代理穿越防火墙例如网络平安防范2141一次性一次性口令口令One-Time Password,OTPn口令口令验证码只使用一次验证码只使用一次,每次使用后进行变化,使每次,每次使用后进行变化,使每次的鉴的鉴别口令都各不别口令都各不相同相同n用于防范口令猜测攻击、重放攻击用于防范口令猜测攻击、重放攻击n技术原理:技术原理:在用户登录过程中的口令传输
19、时参加不确定因子salt,使用户口令不以固定的明文或密文方式在网络上传输,每次传送的验证码都不相同,而系统收到验证码后可以用相同的算法验证网络平安防范2241简单的一次性口令例如简单的一次性口令例如网络平安防范2341登登录验证码=MD5 口令随机数口令随机数 客户端产生随机数,在发送验证码时一起传送给效劳端效劳端产生随机数,在询问口令时传送给客户端即挑战当前时间口令序列口令序列S/KeynS/KEY口令为一个单向的前后相关的序列,由口令为一个单向的前后相关的序列,由n个口令个口令组成组成nRFC1760定义定义n技术原理:技术原理:客户端的口令序列是由用户口令和效劳端提供的种子seed经MD
20、4单向函数加密而成客户端再通过连续n次单向函数,生成n个顺序排列的口令验证码序列客户端登录时,逆向使用生成的序列当用户第i次登录时,效劳端用单向函数计算收到的验证码,并与上次保存的第i1个验证码比较,以判断用户的合法性客户端按序使用口令序列,而效劳端只需记录最新一次成功登录所用的验证码由于口令数是有限的,用户登录n次后必须重新初始化口令序列,且客户端和效劳端应始终保持同步网络平安防范2441口令序列原理图口令序列原理图网络平安防范2541VLANVirtual Local Area Network 虚拟局域网虚拟局域网n从逻辑协议上对网络资源和网络用户按照一定原则进行的从逻辑协议上对网络资源和
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精选 S08 网络安全 防范
限制150内