安全主流产品及常见工具

Extranet VPN （企业外部虚拟网）
• 在供应商、商业合作伙伴的LAN和公司的 LAN之间的VPN
• 由于不同公司网络环境的差异性，必须 能兼容不同的操作平台和协议
• 设置特定的访问控制表ACL（Access Control List），根据用户相应的访问 权限开放相应资源
Extranet VPN（图）
• PPTP可把数据包封装在PPP包中，再将整 个报文封装在PPTP隧道协议包中，最后， 再嵌入IP报文或帧中继或ATM中进行传输
• PPTP提供流量控制, 采用MPPE加密算法
PPTP/ L2TP (2)
• 1996年，Cisco提出L2F（Layer 2 Forwarding）隧道协议
• 1997年底，Micorosoft和Cisco公司把 PPTP协议和L2F协议的优点结合在一起， 形成了L2TP协议
• 特征
–虚拟(V)：并不实际存在，而是利用现有网络，通 过资源配置以及虚电路的建立而构成的虚拟网络
–专用(P)：每个VPN用户都可以从公用网络中获得一 部分资源供自己使用
–网络(N)：既可以让客户连接到公网所能够到达的 任何地方，也可以方便地解决保密性、安全性、可 管理性等问题，降低网络的使用成本
什么是VPN (3)
• 安全功能
–信息机密性，确保通过公网传输的信息以加 密的方式传送，即使被他人截获也不会泄露
–信息完整性，保证信息的完整性 –用户身份认证，能对用户ห้องสมุดไป่ตู้份进行认证，确
定该用户的访问权限 –访问控制，用户只能读写被授予了访问权限
的信息
VPN
• 什么是VPN • VPN的分类 • VPN的隧道协议
• 代理防火墙通常支持的一些常见的应用 程序有：HTTP、HTTPS/SSL、SMTP、POP3 等等
应用代理(2)（图）
客户
发送请求 转发响应
应用代理
转发请求 发送响应
服务器
应用代理(3)（图）
应用代理(4)
• 它的优点是：
–对用户透明 –支持用户认证 –可以产生小并且更有效的日志。
• 它的缺点是：
–限制同时最多只能连接255个用户 –端点用户需要在连接前手工建立加密信道
IPSec VPN (1)
• IPSEC的隧道协议开始于RFC 1827即IP封 装安全有效负载( ESP )，它定义了一个 通用的数据报封装方法
• ESP通过对要保护的数据进行加密，以及 将它放置在I P封装安全有效负载的有效 负载部分，来提供机密性和完整性。通 过使用验证包头（AH，在RFC 2402中定 义），也可以提供IP数据报的验证
防火墙（Firewall）
• 防火墙基础知识 • 防火墙体系结构 • 防火墙技术 • 防火墙评测指标
防火墙（Firewall）
• 防火墙基础知识
– 什么是防火墙 – 防火墙可以做什么 – 防火墙的局限性
• 防火墙体系结构 • 防火墙技术 • 防火墙评测指标
什么是防火墙（图）
Internet
什么是防火墙
VPN (Virtual Private Network)
• 什么是VPN • VPN的分类 • VPN的隧道协议
VPN
• 什么是VPN • VPN的分类 • VPN的隧道协议
什么是VPN(1)
什么是VPN (2)
• VPN即虚拟专用网，是指一些节点通过一个公 用网络（通常是因特网）建立的一个临时的、 安全的连接，它们之间的通信的机密性和完整 性可以通过某些安全机制的实施得到保证
架构不依赖硬件，理论上 功能是可以无限扩充的， 它能给客户更多的控制和 定制功能
引自Yiming Gong http://security.zz.ha.cn
课程内容
• 防火墙 • VPN • 内外网隔离 • 日志审计 • 入侵检测
• 隐患扫描 • PKI(CA) • PGP • 安全加固 • 防病毒
• L2TP可以实现和企业原有非IP网的兼容, 支持MP（Multilink Protocol），可以 把多个物理通道捆绑为单一逻辑信道
PPTP/ L2TP (3)
• 优点：
–支持其他网络协议 –支持流量控制 –对用微软操作系统的用户来说很方便
• 缺点：
–通道打开后，源和目的用户身份不再就行认 证，存在安全隐患
防火墙评测指标 (1)
• 对防火墙的评估通常包括对其功能、性 能和可用性进行测试评估。
• 对防火墙性能的测试指标主要有
–吞吐量 –延迟 –帧丢失率
防火墙评测指标 (2)
• 对防火墙的功能测试通常包含
–身份鉴别 –访问控制策略及功能 –密码支持 –审计 –管理 –对安全功能自身的保护
防火墙测评方法
就会被攻破
屏蔽子网体系结构（图）
屏蔽子网体系结构
• 屏蔽子网结构在屏蔽主机结构基础上， 增加了一层周边网络的安全机制，使内 部网络与外部网络之间有两层隔离。
• 优点：即使堡垒主机被攻破，也不能直 接侵入内部网络。
体系结构的其他形式
• 使用多堡垒主机 • 合并内部与外部路由器 • 合并堡垒主机与外部路由器 • 使用多台外部路由器、多个周边网络 • 组合使用双重宿主主机和屏蔽子网
REPLY等 – 数据包流向：in或out – 数据包流经网络接口：eth0、eth1
数据包过滤设置实例
规则 方向 源地 源端 目标 目标 动作 址 口 地址 端口
1 出 内部 * 61.X. * 拒绝 2 入 211.X. * 内部 * 拒绝 3 双向 * * * 25 拒绝
数据包过滤(4)
• 数据包过滤的优点：
VPN
• 什么是VPN • VPN的分类 • VPN的隧道协议
VPN的隧道协议
• VPN的关键技术在于通信隧道的建立，数据包 通过通信隧道进行封装后的传送以确保其机密 性和完整性
• 通常使用的方法有：
–使用点到点隧道协议PPTP、第二层隧道协议L2TP、 第二层转发协议L2F等在数据链路层对数据实行封 装
和攻击 • 不能完全防范恶意代码的通过
防火墙（Firewall）
• 防火墙基础知识 • 防火墙体系结构
–双重宿主主机体系结构 –屏蔽主机体系结构 –屏蔽子网体系结构 –其他体系结构
• 防火墙技术 • 防火墙评测指标
双重宿主主机体系结构（图）
双重宿主主机体系结构
• 是最基本的防火墙系统结构 • 双重宿主主机位于外部网络和受保护网
个人防火墙(1)
• 是一种能够保护个人计算机系统安全的 软件，它可以直接在用户的计算机上运 行
• 可以对用户计算机的网络通信进行过滤 • 通常具有学习模式，可以在使用中不断
增加新的规则
个人防火墙(2)(图）
防火墙（Firewall）
• 防火墙基础知识 • 防火墙体系结构 • 防火墙技术 • 防火墙评测指标
• 是在网络路由和交换设备上应用MPLS (Multiprotocol Label Switching ) 技术，简化核 心路由器的路由选择方式，利用结合传统路由 技术的标记交换实现的IP虚拟专用网络（IP VPN）
• 运行在IP+ATM或者IP环境下，对应用完全透明 • 相关标准：
–RFC 3270 –RFC 2764
–速度比较慢 –对一些新的或不常用的服务不支持
NAT（网络地址转换协议）
• 可以使多个用户分享单一的IP地址 • 为Internet连接提供一些安全机制 • 可以向外界隐藏内部网结构 • 转换机制：
–当内部用户与一个公共主机通信时，NAT追 踪是哪一个用户作的请求，修改传出的包， 这样包就像是来自单一的公共IP地址
不宜采用的体系结构
• 合并堡垒主机与内部路由器 • 使用多台内部路由器
防火墙（Firewall）
• 防火墙基础知识 • 防火墙体系结构 • 防火墙技术
–数据包过滤 –应用代理 –NAT –个人防火墙
• 防火墙评测指标
数据包过滤(1)
• 数据包过滤是一个网络安全保护机制， 它用来控制流出和流入网络的数据
络之间，至少有两个网络接口。所有在 这两个网络间发送的IP数据包都会经过 该主机，该主机可以对转发的IP包进行 安全检查 • 优点：构造简单 • 缺点：易受攻击
屏蔽主机体系结构（图）
屏蔽主机体系结构
• 屏蔽主机结构将提供安全保护的堡垒主 机置于内部网上，使用一个单独的路由 器对该主机进行屏蔽
• 优点：能够提供更高层次的安全保护 • 缺点：堡垒主机一旦被攻破，整个网络
MPLS VPN
PE = Provider Edge Router LSR = Label Switch Router
课程内容
• 防火墙 • VPN • 内外网隔离 • 日志审计 • 入侵检测
– 一个配置适当的数据包过滤器可以保护整个网络 – 对用户透明度高 – 易实现：大多数路由器都具有数据包过滤功能
• 数据包过滤的缺点：
– 配置和检验较为困难 – 一些协议不适合数据包过滤 – 某些策略难以执行
应用代理(1)
• 是各种应用服务的转发器
• 它接收来自内部网络特定用户应用程序 的通信，然后建立与公共网络服务器单 独的连接
• 防火墙是在被保护网络与因特网之间， 或者在不同的网络之间，实施访问控制 的一种或一系列部件。
防火墙可以做什么
• 防火墙是安全决策的焦点（阻塞点） • 防火墙能强制安全策略 • 防火墙能有效地记录网络活动
防火墙的局限性
• 限制了可用性 • 对网络内部的攻击无能为力 • 不能防范不经过防火墙的攻击 • 不能防范因特网上不断产生的新的威胁
安全主流产品与常见工具
信息安全国家重点实验室
课程内容
• 防火墙 • VPN • 内外网隔离 • 日志审计 • 入侵检测
• 隐患扫描 • PKI(CA) • PGP • 安全加固 • 防病毒
课程内容
• 防火墙 • VPN • 内外网隔离 • 日志审计 • 入侵检测
• 隐患扫描 • PKI(CA) • PGP • 安全加固 • 防病毒
VPN的分类
• 根据VPN所起的作用，可以将VPN分为：
– Access VPN – Intranet VPN – Extranet VPN
Access VPN
• 处理可移动用户、远程交换和小部门的 远程访问公司内部网的VPN
Intranet VPN （企业内部虚拟网）
• 是在公司远程分支机构的LAN和公司总部 LAN之间，通过Internet建立的VPN
• 在TCP/IP网络中，数据都是以IP包的形 式传输的，数据包过滤机制就是对通过 防火墙的IP包进行安全检查，将通过安 去检查的IP包进行转发，否则就阻止通 过
数据包过滤(2)（图）
数据包过滤(3)
• 判断依据有：
– 数据包协议类型：TCP、UDP、ICMP、IGMP等 – 源、目的IP地址 – 源、目的端口：FTP、HTTP、DNS等 – IP选项：源路由、记录路由等 – TCP选项：SYN、ACK、FIN、RST等 – 其它协议选项：ICMP ECHO、ICMP ECHO
NetScreen Vs. CheckPoint
供应商
NetScreen
CheckPoint
架构 性能
稳定性和兼容性
硬件 在操作系统screenos版本 为3.0时防火墙的通透性 可以达到12Gbps之高
采用的专门的软硬件，系 统的稳定性上理论上应该 领先；操作系统是专用的 screenos，不存在防火墙 和硬件的兼容性问题。
IPSec VPN(2)
• AH包头的结构：
• IPSEC AH/ESP数据包结构
IPSec VPN(3)
• IPSEC VPN是基于IPSec协议的VPN产品， 由IPSec协议提供隧道安全保障
• 特点：只能支持IP数据流 • 目前防火墙产品中集成的VPN多为使用
IPSec 协议
MPLS VPN
–使用IP安全协议IPSec在网络层实现数据封装 –使用介于第二层和第三层之间的隧道协议，如
MPLS隧道协议
PPTP/ L2TP (1)
• 1996年，Microsoft和Ascend等在PPP协 议的基础上开发了PPTP，并将它集成于 Windows NT Server4.0中，同时也提供 了相应的客户端软件
软件
依赖于使用平台的CPU、 内存等配置，使用新技术 Application Integlligence后， 性能在原来的基础上进一 步提升了31%。
操作系统和硬件不是特定 为防火墙各项功能设计的， 因此可能会存在稳定性和 兼容方面的隐患
功能和灵活性
采用的专门设计的操作系 统和硬件架构，灵活性上 要相对差一些，而且可能 提供的功能相对较少