第四讲 主流信息安全技术
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
39
IDS部署示意
含HIDS的网络体系结构
Internet
IDS 2
子网 A IDS 3
交换机
子网 B
IDS 1
IDS 4
带主机IDS感应 器的服务器 服务器
40
IDS 检测技术
入侵检测系统按照其检测原理可以分为以下类型: 签名分析法 Signature Analysis 统计分析法 Statistics Analysis
假如说防火墙是一幢大楼的门锁,那入侵监测系统就是这 幢大楼里的监视系统。
34
IDS的主要类型
根据IDS工作位置和数据来源,可以分为: 应用软件入侵监测系统 Application Intrusion Detection 主机入侵监测系统 Host Intrusion Detection
网络入侵监测系统
8
形形色色的防火墙
9
防火墙的分类方法
10
单机防火墙VS网络防火墙
11
软件防火墙VS硬件防火墙
12
防火墙设备外观与结构
13
防火墙的主要技术
防火墙的主要技术种类
应用层代理技术 (Application Proxy) 包过滤技术 (Packet Filtering) 状态包过滤技术 (Stateful Packet Filtering) 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
2、提高网络整体安全性
通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和 逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性 能和安全性。
3、网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络 系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。 而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应 用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情 况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减 轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中, VLAN提供了网段和机构的弹性组合机制。
24
主流防火墙产品
25
(二)虚拟局域网(VLAN)
什么是VLAN
VLAN的定义 VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局 域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的 端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域, 它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一 个逻辑子网中。 组建VLAN的条件 VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要 相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通 信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能, 既可采用路由器,也可采用三层交换机来完成。
IP报头
TCP报头
企业内部网
分组过滤判断信息
15
防火墙的主要技术
状态检测包过滤技术的基本原理
控制策略
查找对应的 控制策略 根据策略决定如 何处理该数据包 数据包 拆开数据包
IP报头 IP报头 IP报头 TCP报头 TCP报头 TCP报头 数据1 数据2 数据 数据1 数据3
数据包 屏蔽路由器
企业内部网
29
什么是三层交换?
三层交换(也称多层交换技术,或IP交换技术)是相对于传统交换概念而提出的。 众所周知,传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操 作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说, 三层交换技术就是:二层交换技术+三层转发技术。 三层交换技术的出现,解决了局域网中网段划分之后,网段中子网必须依赖路由器进 行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。 三层交换原理 它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路 由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据 此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的 延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三 层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。
14
防火墙的主要技术
包过滤技术的基本原理
Source Host A Host B Destination Host C Host C Permit Pass Block Protocol TCP UDP
控制策略
ห้องสมุดไป่ตู้
查找对应的 控制策略
根据策略决定如 何处理该数据包 数据包 数据包
拆开数据包
屏蔽路由器
数据
3
(一)防火墙技术
防火墙产品
本节将分以下几部分介绍网络防火墙:
防火墙的基本概念 防火墙的主要技术 防火墙的用途 防火墙的弱点 防火墙的体系结构
防火墙的构筑原则
防火墙产品
5
防火墙的基本概念
防火墙是一种高级访问控制设备,是置于不同网 络安全域之间的一系列部件的组合,是不同网络安全 域间通信流的唯一通道,能根据企业有关安全政策控 制(允许、拒绝、监视、记录)进出网络的访问行为。
不可信的网 络及服务器
可信任的网络
防火墙
Internet Intranet
DMZ 路由器
不可信 的用户
供外部访问的 服务及资源
可信任的用户
6
防火墙的用途
控制对网点的访问和封锁网点信息的泄露 能限制被保护子网的泄露 具有审计作用 能强制安全策略
7
防火墙的弱点
防火墙不能防备病毒 防火墙对不通过它的连接无能为力 防火墙不能防备内部人员的攻击 限制有用的网络服务 防火墙不能防备新的网络安全问题
Network Intrusion Detection 集成入侵监测系统 Integrated Intrusion Detection
35
网络入侵检测系统(NIDS)
网络入侵检测系统(NIDS)
-----在网络中的某个节点上装有探测器来监测整个网络(工作对象 基于网络)
特点: 1.拥有较低的成本--在几个很少的监测点上进行配置就可以监控一个网络中所发 生的入侵行为; 2.能监测主机IDS所不能监测到的某些攻击(如DOS、Teardrop)—通过分析IP包的 头可以捕捉这些须通过分析包头才能发现的攻击; 3.与操作系统无关性--基于网络的IDS与所监测的主机所运行的操作系统无关,而 主机IDS则必须在特定的操作系统下才能运行; 4.检测未成功能攻击和不良意图-与之相比,主机IDS只能检测到成功的攻击,而 很多未成功的攻击对系统的风险评估成到关键的作用; 5.实时检测和响应----网络IDS可以在攻击发生的同时将其检测出来,并进行实时 的报警和响应。
筛选路由器 双网主机
屏蔽主机
屏蔽子网
18
防火墙的体系结构
筛选路由器式体系结构
包过滤 外部网
筛选路由器
内部网
19
防火墙的体系结构
双网主机式体系结构
外部网
内部网
双网主机
双网主机插有两块网卡,分别连接到内网和外网。 防火墙内、外的系统均可以与双网主机进行通信, 但防火墙两边的系统之间不能直接进行通信。 使用此结构,必须关闭双网主机上的路由分配功 能。
20
防火墙的体系结构
屏蔽主机式体系结构
Internet
防 火 墙
屏蔽路由器
堡垒主机
21
防火墙的体系结构
屏蔽子网式体系结构
周边网络
Internet
屏蔽路由器
屏蔽路由器
堡垒主机
22
防火墙的构筑原则
构筑防火墙要从以下几方面考虑:
体系结构的设计 安全策略的制定 安全策略的实施
23
防火墙的性能指标
33
什么是IDS?
IDS是什么?
入侵检测系统(Intrusion Detection System) 入侵检测技术是为了保证计算机系统安全面而设置和配置的一种能够及时发 现并报告系统中未授权或异常行为的技术,是一种检测计算机网络中违反安全 策略行为的技术。 入侵检测被视为防火墙之后的第二道安全阐门,主要用来监视和分析用户和 系统的活动,能够反映已知的攻击模式并报警,同时监控系统的异常模式,对 于异常行为模式,IDS采用报表的方式进行统计分析
三层交换机分类
1.基于纯硬件(ASIC) 2.基于软件的
30
VLAN环境示意
31
(三)入侵检测系统(IDS)
入侵检测系统(IDS)
关于入侵检测系统,我们将就以下部分进行学习:
IDS简介
IDS分类 IDS作用 IDS工作原理 IDS部署方式 IDS应用 IDS技术的发展方向 IDS产品 IDS资源
3、基于路由的VLAN划分 路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换 机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
28
VLAN的作用
1、控制广播风暴
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播 范围,可以控制广播风暴的产生。
36
NIDS CIDF模型
CIDF模型( Common Intrusion Detection Frame) 组件: – 事件产生器(Event generators) – 事件分析器(Event analyzers) – 响应单元(Response units) – 事件数据库(Event databases)
37
NIDS 部署方式
Console
HUB
L4或L7 交换设备
Monitored Servers
IDS Sensors
38
主机入侵检测系统(HIDS)
主机入侵检测系统(HIDS)
-----在网络中所监测的每台主机上都装有探测器(工作对象基于主机)
HIDS特点:
1.确定攻击是否成功---比网络IDS更准确的判定攻击是否成功; 2.系统行动监视的更好---对于每一个用户(尤其是系统管理员)上网下网的信息、连 入网络后的行为和所受到的入侵行为监测的更为详细,记录的更准确; 3.能够检测到网络IDS检测不到的特殊攻击----如某服务器上有人 直接对该机进行 非法操作; 4.适用于加密的环境 ----在某些特殊的加密网络环境中,由于网络IDS所需要的网 络环境不能满足,所以在这种地方应用主机IDS就可以完成这一地方的监测任 务 5.不需要额外的硬件设备----与网络IDS相比,不需要专用的硬件检测系统,降低 的硬件成本
第四讲 安全技术与产品
本讲概要
本讲主要阐述目前最常用的信息安全技术和信息安全产品, 内容包括了:
防火墙 入侵检测 VPN 漏洞评估
本讲涉及内容宽泛,领域众多,讲师根据学员情况做好课 时安排。 本讲总课时建议为4~6课时。
2
本讲学习目标
通过本讲学习,学员应该掌握:
各类信息安全技术的概念、用途,部署方式 防火墙的分类、原理、结构和用途 入侵检测产品的工作原理和分类 VPN的分类和用途 漏洞评估的概念和意义
数据完整性分析法
Data Integration Analysis
41
IDS 工作原理-NIDS抓包
– 从链路层抓包 – 分析数据包
协议分析
模式匹配 XML Unicode HTTP TCP IP Ethernet
分组过滤判断信息
状态检测
16
防火墙的主要技术
应用层代理技术的基本原理
控制策略
查找对应的 控制策略 根据策略决定如 何处理该数据包 数据包 拆开数据包
IP报头 TCP报头 数据
数据包
屏蔽路由器
分组过滤判断信息 应用代理判断信息
企业内部网
17
防火墙的体系结构
防火墙可以设置成不同的体系结构,提供不同级 别的安全。常见的体系结构有:
27
划分VLAN的基本策略
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
1、基于端口的VLAN划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、 最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即 可,不用考虑该端口所连接的设备。 2、基于MAC地址的VLAN划分 MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化 在网卡上的。MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标 识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
IDS部署示意
含HIDS的网络体系结构
Internet
IDS 2
子网 A IDS 3
交换机
子网 B
IDS 1
IDS 4
带主机IDS感应 器的服务器 服务器
40
IDS 检测技术
入侵检测系统按照其检测原理可以分为以下类型: 签名分析法 Signature Analysis 统计分析法 Statistics Analysis
假如说防火墙是一幢大楼的门锁,那入侵监测系统就是这 幢大楼里的监视系统。
34
IDS的主要类型
根据IDS工作位置和数据来源,可以分为: 应用软件入侵监测系统 Application Intrusion Detection 主机入侵监测系统 Host Intrusion Detection
网络入侵监测系统
8
形形色色的防火墙
9
防火墙的分类方法
10
单机防火墙VS网络防火墙
11
软件防火墙VS硬件防火墙
12
防火墙设备外观与结构
13
防火墙的主要技术
防火墙的主要技术种类
应用层代理技术 (Application Proxy) 包过滤技术 (Packet Filtering) 状态包过滤技术 (Stateful Packet Filtering) 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
2、提高网络整体安全性
通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和 逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性 能和安全性。
3、网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络 系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。 而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应 用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情 况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减 轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中, VLAN提供了网段和机构的弹性组合机制。
24
主流防火墙产品
25
(二)虚拟局域网(VLAN)
什么是VLAN
VLAN的定义 VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局 域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的 端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域, 它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一 个逻辑子网中。 组建VLAN的条件 VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要 相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通 信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能, 既可采用路由器,也可采用三层交换机来完成。
IP报头
TCP报头
企业内部网
分组过滤判断信息
15
防火墙的主要技术
状态检测包过滤技术的基本原理
控制策略
查找对应的 控制策略 根据策略决定如 何处理该数据包 数据包 拆开数据包
IP报头 IP报头 IP报头 TCP报头 TCP报头 TCP报头 数据1 数据2 数据 数据1 数据3
数据包 屏蔽路由器
企业内部网
29
什么是三层交换?
三层交换(也称多层交换技术,或IP交换技术)是相对于传统交换概念而提出的。 众所周知,传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操 作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说, 三层交换技术就是:二层交换技术+三层转发技术。 三层交换技术的出现,解决了局域网中网段划分之后,网段中子网必须依赖路由器进 行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。 三层交换原理 它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路 由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据 此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的 延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三 层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。
14
防火墙的主要技术
包过滤技术的基本原理
Source Host A Host B Destination Host C Host C Permit Pass Block Protocol TCP UDP
控制策略
ห้องสมุดไป่ตู้
查找对应的 控制策略
根据策略决定如 何处理该数据包 数据包 数据包
拆开数据包
屏蔽路由器
数据
3
(一)防火墙技术
防火墙产品
本节将分以下几部分介绍网络防火墙:
防火墙的基本概念 防火墙的主要技术 防火墙的用途 防火墙的弱点 防火墙的体系结构
防火墙的构筑原则
防火墙产品
5
防火墙的基本概念
防火墙是一种高级访问控制设备,是置于不同网 络安全域之间的一系列部件的组合,是不同网络安全 域间通信流的唯一通道,能根据企业有关安全政策控 制(允许、拒绝、监视、记录)进出网络的访问行为。
不可信的网 络及服务器
可信任的网络
防火墙
Internet Intranet
DMZ 路由器
不可信 的用户
供外部访问的 服务及资源
可信任的用户
6
防火墙的用途
控制对网点的访问和封锁网点信息的泄露 能限制被保护子网的泄露 具有审计作用 能强制安全策略
7
防火墙的弱点
防火墙不能防备病毒 防火墙对不通过它的连接无能为力 防火墙不能防备内部人员的攻击 限制有用的网络服务 防火墙不能防备新的网络安全问题
Network Intrusion Detection 集成入侵监测系统 Integrated Intrusion Detection
35
网络入侵检测系统(NIDS)
网络入侵检测系统(NIDS)
-----在网络中的某个节点上装有探测器来监测整个网络(工作对象 基于网络)
特点: 1.拥有较低的成本--在几个很少的监测点上进行配置就可以监控一个网络中所发 生的入侵行为; 2.能监测主机IDS所不能监测到的某些攻击(如DOS、Teardrop)—通过分析IP包的 头可以捕捉这些须通过分析包头才能发现的攻击; 3.与操作系统无关性--基于网络的IDS与所监测的主机所运行的操作系统无关,而 主机IDS则必须在特定的操作系统下才能运行; 4.检测未成功能攻击和不良意图-与之相比,主机IDS只能检测到成功的攻击,而 很多未成功的攻击对系统的风险评估成到关键的作用; 5.实时检测和响应----网络IDS可以在攻击发生的同时将其检测出来,并进行实时 的报警和响应。
筛选路由器 双网主机
屏蔽主机
屏蔽子网
18
防火墙的体系结构
筛选路由器式体系结构
包过滤 外部网
筛选路由器
内部网
19
防火墙的体系结构
双网主机式体系结构
外部网
内部网
双网主机
双网主机插有两块网卡,分别连接到内网和外网。 防火墙内、外的系统均可以与双网主机进行通信, 但防火墙两边的系统之间不能直接进行通信。 使用此结构,必须关闭双网主机上的路由分配功 能。
20
防火墙的体系结构
屏蔽主机式体系结构
Internet
防 火 墙
屏蔽路由器
堡垒主机
21
防火墙的体系结构
屏蔽子网式体系结构
周边网络
Internet
屏蔽路由器
屏蔽路由器
堡垒主机
22
防火墙的构筑原则
构筑防火墙要从以下几方面考虑:
体系结构的设计 安全策略的制定 安全策略的实施
23
防火墙的性能指标
33
什么是IDS?
IDS是什么?
入侵检测系统(Intrusion Detection System) 入侵检测技术是为了保证计算机系统安全面而设置和配置的一种能够及时发 现并报告系统中未授权或异常行为的技术,是一种检测计算机网络中违反安全 策略行为的技术。 入侵检测被视为防火墙之后的第二道安全阐门,主要用来监视和分析用户和 系统的活动,能够反映已知的攻击模式并报警,同时监控系统的异常模式,对 于异常行为模式,IDS采用报表的方式进行统计分析
三层交换机分类
1.基于纯硬件(ASIC) 2.基于软件的
30
VLAN环境示意
31
(三)入侵检测系统(IDS)
入侵检测系统(IDS)
关于入侵检测系统,我们将就以下部分进行学习:
IDS简介
IDS分类 IDS作用 IDS工作原理 IDS部署方式 IDS应用 IDS技术的发展方向 IDS产品 IDS资源
3、基于路由的VLAN划分 路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换 机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
28
VLAN的作用
1、控制广播风暴
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播 范围,可以控制广播风暴的产生。
36
NIDS CIDF模型
CIDF模型( Common Intrusion Detection Frame) 组件: – 事件产生器(Event generators) – 事件分析器(Event analyzers) – 响应单元(Response units) – 事件数据库(Event databases)
37
NIDS 部署方式
Console
HUB
L4或L7 交换设备
Monitored Servers
IDS Sensors
38
主机入侵检测系统(HIDS)
主机入侵检测系统(HIDS)
-----在网络中所监测的每台主机上都装有探测器(工作对象基于主机)
HIDS特点:
1.确定攻击是否成功---比网络IDS更准确的判定攻击是否成功; 2.系统行动监视的更好---对于每一个用户(尤其是系统管理员)上网下网的信息、连 入网络后的行为和所受到的入侵行为监测的更为详细,记录的更准确; 3.能够检测到网络IDS检测不到的特殊攻击----如某服务器上有人 直接对该机进行 非法操作; 4.适用于加密的环境 ----在某些特殊的加密网络环境中,由于网络IDS所需要的网 络环境不能满足,所以在这种地方应用主机IDS就可以完成这一地方的监测任 务 5.不需要额外的硬件设备----与网络IDS相比,不需要专用的硬件检测系统,降低 的硬件成本
第四讲 安全技术与产品
本讲概要
本讲主要阐述目前最常用的信息安全技术和信息安全产品, 内容包括了:
防火墙 入侵检测 VPN 漏洞评估
本讲涉及内容宽泛,领域众多,讲师根据学员情况做好课 时安排。 本讲总课时建议为4~6课时。
2
本讲学习目标
通过本讲学习,学员应该掌握:
各类信息安全技术的概念、用途,部署方式 防火墙的分类、原理、结构和用途 入侵检测产品的工作原理和分类 VPN的分类和用途 漏洞评估的概念和意义
数据完整性分析法
Data Integration Analysis
41
IDS 工作原理-NIDS抓包
– 从链路层抓包 – 分析数据包
协议分析
模式匹配 XML Unicode HTTP TCP IP Ethernet
分组过滤判断信息
状态检测
16
防火墙的主要技术
应用层代理技术的基本原理
控制策略
查找对应的 控制策略 根据策略决定如 何处理该数据包 数据包 拆开数据包
IP报头 TCP报头 数据
数据包
屏蔽路由器
分组过滤判断信息 应用代理判断信息
企业内部网
17
防火墙的体系结构
防火墙可以设置成不同的体系结构,提供不同级 别的安全。常见的体系结构有:
27
划分VLAN的基本策略
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
1、基于端口的VLAN划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、 最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即 可,不用考虑该端口所连接的设备。 2、基于MAC地址的VLAN划分 MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化 在网卡上的。MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标 识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。