第三章网络边界流量控制及入侵防御技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验设备 1.DCR-1751 两台(注意此路由器当 前版本为1.3.2E,如使用其他版本的路由器, 请参考具体的配置手册进行具体命令的设置) 2.PC机 两台 3.CR-V35MT 一条 4.CR-V35FC 一条 5.网线 两条
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
实验拓扑
实验目标:禁止192.168.0.0/24 Telnet到PC-B,但能Ping。 实验目标:
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
实验步骤
第一步:参照基础路由实验和上表,配置所有接口的 第一步 地址,并测试连通性 第二步:参照基础路由实验,配置静态路由 第二步 第三步:PC-A能与PC-B通讯 第三步 第四步: 第四步:在ROUTER-A上设置访问列表 第五步: 第五步:查看访问列表 第六步: 第六步:验证
PC-A IP 192.168.0.2/24 网关 192.168.0.1
192.168.2.2/24 192.168.2.1
实验目标:禁止 实验目标:禁止192.168.0.0/24对PC-B的访问 对 的访问
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
实百度文库步骤
第一步:参照基础路由实验和上表,配置所有接口的地址,并测试连 第一步 通性 第二步:参照基础路由实验,配置静态路由 第二步 第三步:PC-A能与PC-B通讯 第三步 第四步:配置访问控制列表禁止PC-A所在的网段对PC-B的访问 第四步 第五步: 第五步:将访问控制列表(ACL)绑定在相应的接口 第六步:验证 第六步: 第七步: 第七步:测试
网络安全管理员
目录
第一章 第二章 第三章 第四章 第五章 第六章 网络设备安全 局域网安全攻防技术 网络边界流量控制及入侵防御技术 接入安全与准入技术 linux系统安全 系统安全 漏洞的利用和木马
第三章 网络边界流量控制及入侵防 御技术
提纲
过滤IP网络流量 过滤Web和应用流量 流量控制理论及控制方法 边界入侵防御技术
对于扩展访问列表:
– –
– –
扩展访问列表通常放在离源比较近的地方。 扩展访问列表可以基于源、目标IP、协议、端口号 等条件过滤。 命令比较长,可以通过“?”的方式查看帮助。 注意隐含的DENY。
3.2 过滤Web和应用流量
深度数据包处理 TCP/IP终止 终止 SSL终止 终止 URL过滤 过滤 请求分析 用户会话跟踪 响应模式匹配 行为建模
3.3 流量控制理论及控制方法 P2P应用及危害防御
打开“带宽通道管理”页面后,点击右上角按钮“新增带宽通 道”,如下图所示:
3.3 流量控制理论及控制方法 P2P应用及危害防御
上图是定义出口通道,也就是其他待定义通道的父通道,定义好出口 100M的父通道后,点击右侧的“新建子通道”,建立P2P带宽通道, 如下图所示:
3.4 边界入侵防御技术 数据审计和取证
数据库审计: 数据库审计 镜像数据库服务器前的链路,审计数
据库使用行为,可以重现到数据库的操作命令级别, 如SELECT、UPDATA等。
互联网审计: 互联网审计 针对员工上互联网的行为的专向审计,
主要识别的是Http、SMTP、FTP等协议,同时对互联 网的常用应用如QQ、MSN、BT等也需要识别。互联 网审计一般是对内部员工的上网进行规范。
入侵防御系统是一个内嵌的设备,可以阻止恶 意信息流。
3.4 边界入侵防御技术 入侵检测系统
IPS是什么? 是什么? 是什么
3.4 边界入侵防御技术 数据审计和取证
一、网络审计概念的起源 二、网络审计产品的主要功能 三、网络审计产品的分类
3.4 边界入侵防御技术 数据审计和取证
网络行为审计: 网络行为审计 通过端口镜像取得原始数据包,并
3.1 过滤 网络流量 过滤IP网络流量
路由器IP标准ACL 路由器IP扩展ACL 配置路由器IP ACL 配置路由器IP ACL的要点
返回
3.1 过滤 网络流量 过滤IP网络流量
最常用的过滤IP网络流量的办法就是ACL, 我们对此并不陌生,运用这种方式,可以按照 IP协议类型进行有效过滤。
3.1 过滤 网络流量 过滤IP网络流量 路由器IP标准ACL
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
实验要求 ROUTER-A S1/1(DCE)192.168.1.1/24 F0/0 192.168.0.1/24 PC-A IP 192.168.0.2/24 网关 192.168.0.1 ROUTER-B S1/0(DTE)192.168.1.2/24 F0/0 192.168.2.1/24 PC-B 192.168.2.2/24 192.168.2.1
此外还可以通过限制P2P流量的办法对P2P的危 害进行可控的限制,方法如下: 这也是流量控制网关的一个很常见的应用实例, 例如总的带宽为100M,现在准备将P2P应用 限制为10M(单向10M,双向20M),示例如 下:
3.3 流量控制理论及控制方法 P2P应用及危害防御
首先定义带宽通道,点击菜单“控制策略”->“带宽通道管理”, 如下图所示:
量控制网关一个很常见的应用就是拦截目前流行的P2P应用,将 设备使用桥接方式接入网络后,进入管理界面,点击菜单”控制 策略”—〉”应用访问控制”,如下图所示:
3.3 流量控制理论及控制方法 P2P应用及危害防御
进入”应用访问控制”页面之后,点击右上角按钮”新增规则”, 将操作选择为”拦截”,如下图所示:
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL的要点
对于标准的访问列表:
– – – –
标准访问控制列表是基于源地址的 每条访问控制列表都有隐含的拒绝 标准访问控制列表一般绑定在离目标最近的接口 注意方向,以该接口为参考点,IN 是流进的方向; OUT是流出的方向
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL的要点
– –
1.
掌握访问列表实验安全性的配置 理解标准访问控制列表的作用 某些安全性要求比较高的主机或网络需要进行访 问控制 其他的很多应用都可以使用访问控制列表提供操 作条件
2.
应用环境
– –
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
实验设备 1.DCR-1751 两台(注意此路由器当 前版本为1.3.2E,如使用其他版本的路由器, 请参考具体的配置手册进行具体命令的设置) 2.PC机 两台 3.CR-V35MT 一条 4.CR-V35FC 一条 5.网线 两条
路由器IP标准ACL 所谓标准,就是指依照标准IP协议进行 过滤,而且只对数据包的源IP地址进行控制。
3.1 过滤 网络流量 过滤IP网络流量 路由器IP标准ACL
我们需要注意的就是,标准ACL的应用要尽量 靠近目的IP
5 4 1 2 6 7 8
D
A
3
12
10 11
9
C
B
3.1 过滤 网络流 过滤IP网络流 路由器IP扩展 扩展ACL 路由器 扩展
所有接口。 注:因为是拦截策略,在此的接口应该选择所有接口→所有接口。 因为是拦截策略,在此的接口应该选择所有接口 所有接口
3.3 流量控制理论及控制方法 P2P应用及危害防御
点击”应用”页面,选择与P2P相关的应用协议,然后”设定” 即可,如下图所示:
3.3 流量控制理论及控制方法 P2P应用及危害防御
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
实验拓扑
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
实验要求 ROUTER-A
S1/1 F0/0 (DCE)192.168.1.1/24 192.168.0.1/24
ROUTER-B
S1/0(DTE) 192.168.1.2/24 F0/0 192.168.2.1/24 PC-B IP 网关
3.3 流量控制理论及控制方法 P2P应用及危害防御
因为对P2P的流量控制一般不应该超出其带宽 上限,所以应该将“允许超出带宽上限”勾去 掉。 带宽通道如下图所示:
3.3 流量控制理论及控制方法 P2P应用及危害防御
定义完带宽通道后,通道并不生效,必须定义相应的策略跟通道 关联,使其生效。点击菜单“控制策略”—〉“带宽分配策略”, 如下图所示:
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
扩展访问列表的配置 实验目的
– –
1.
掌握扩展访问列表的配置 理解扩展访问列表丰富的过滤条件 可以针对目标IP地址进行控制 针对某些服务进行控制 可以针对某些协议进行控制
2.
应用环境
– – –
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
3.3 流量控制理论及控制方法 QQ特定数据包危害及防御
在防火墙上,可以对IM数据进行如下的控制:
3.3 流量控制理论及控制方法 QQ特定数据包危害及防御
QQ病毒常见攻击手段
– – –
消息炸弹法 健盘记录法 猜解软件法
3.4 边界入侵防御技术
入侵检测系统 数据审计和取证
返回
3.4 边界入侵防御技术
1.
2.
3.
3.1 过滤 网络流量 过滤IP网络流量 路由器IP扩展 扩展ACL 路由器 扩展
与标准列表不同的是,扩展列表的应用应该靠 近特征数据的源地址所在端口,这样可以将被 阻止的数据尽快地组织在不需传递它的网络外 面。
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
标准访问控制列表的配置 实验目的
还原成连接,恢复到相应的通讯协议,如:FTP、 Http、Telnet、SNMP等,进而重现通过该链路的网络 行为。
主机审计: 主机审计 若网络是街道,主机就是各个单位的内
部。在服务器上安装审计代理,审计主机使用者的各 种行为,把主机的系统、安全等日志记录下来相当于 针对主机上运行的所有业务系统的安全审计。
当需要对从某点到某点的数据进行更准确 的控制时,标准访问列表显然已经不能满足要 求,这时需要针对网络层的源地址、目的地址 以及传输层的端口号同时匹配才可以按照表项 的动作执行。
3.1 过滤 网络流量 过滤IP网络流量 路由器IP扩展 扩展ACL 路由器 扩展
扩展ACL主要由以下几个部分构成: 列表名称或序号 拒绝或允许的关键字 数据包匹配轮廓(由源网络地址+源网络掩码 +目的网络地址+目的网络掩码+目的端口号 共同组成)。
阻塞P2P常用端口 使用NAT方法隐藏用户公网IP 阻塞P2P对等端向P2P信息服务节点的通信
3.3 流量控制理论及控制方法 P2P应用及危害防御
UTM系统采用业界领先的特征识别技术,有 效降低网络带宽的资源滥用。在UTM中的配 置界面如下所示
3.3 流量控制理论及控制方法 P2P应用及危害防御
3.3 流量控制理论及控制方法 P2P应用及危害防御
进入“带宽分配策略”页面后,点击按钮“新增带宽策略”,选 择我们上面所作的带宽通道-P2P通道 通道,接口选择“内网”到 通道 “外网”,如下图所示:
因为是带宽策略,需要知道方向,在此的接口应该选择内网→外网 外网。 注:因为是带宽策略,需要知道方向,在此的接口应该选择内网 外网。
返回
3.3 流量控制理论及控制方法
安全管理+网络管理 监控对象的制定
返回
3.3 流量控制理论及控制方法 P2P应用及危害防御
目前很多企业用户对视频的需求及P2P的应用 导致带宽非常紧张,使得正常业务有时都无法 通过网络实现,部分用户反映比较强烈,网管 人员对此也非常头痛。
3.3 流量控制理论及控制方法 P2P应用及危害防御
3.3 流量控制理论及控制方法 P2P应用及危害防御
点击“服务”页面,选择相关的P2P服务,点击“设定”即可, 如下图所示:
3.3 流量控制理论及控制方法 P2P应用及危害防御
如果只针对某段地址限制,则需要指定来源地址:
3.3 流量控制理论及控制方法 QQ特定数据包危害及防御
对于QQ等IM应用对企业网络运行和业务运行 造成的影响,从网络安全层面可以进行一些控 制,如使用DCN防火墙可以对常见的IM应用 实施控制,界面如下:
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
实验拓扑
实验目标:禁止192.168.0.0/24 Telnet到PC-B,但能Ping。 实验目标:
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
实验步骤
第一步:参照基础路由实验和上表,配置所有接口的 第一步 地址,并测试连通性 第二步:参照基础路由实验,配置静态路由 第二步 第三步:PC-A能与PC-B通讯 第三步 第四步: 第四步:在ROUTER-A上设置访问列表 第五步: 第五步:查看访问列表 第六步: 第六步:验证
PC-A IP 192.168.0.2/24 网关 192.168.0.1
192.168.2.2/24 192.168.2.1
实验目标:禁止 实验目标:禁止192.168.0.0/24对PC-B的访问 对 的访问
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
实百度文库步骤
第一步:参照基础路由实验和上表,配置所有接口的地址,并测试连 第一步 通性 第二步:参照基础路由实验,配置静态路由 第二步 第三步:PC-A能与PC-B通讯 第三步 第四步:配置访问控制列表禁止PC-A所在的网段对PC-B的访问 第四步 第五步: 第五步:将访问控制列表(ACL)绑定在相应的接口 第六步:验证 第六步: 第七步: 第七步:测试
网络安全管理员
目录
第一章 第二章 第三章 第四章 第五章 第六章 网络设备安全 局域网安全攻防技术 网络边界流量控制及入侵防御技术 接入安全与准入技术 linux系统安全 系统安全 漏洞的利用和木马
第三章 网络边界流量控制及入侵防 御技术
提纲
过滤IP网络流量 过滤Web和应用流量 流量控制理论及控制方法 边界入侵防御技术
对于扩展访问列表:
– –
– –
扩展访问列表通常放在离源比较近的地方。 扩展访问列表可以基于源、目标IP、协议、端口号 等条件过滤。 命令比较长,可以通过“?”的方式查看帮助。 注意隐含的DENY。
3.2 过滤Web和应用流量
深度数据包处理 TCP/IP终止 终止 SSL终止 终止 URL过滤 过滤 请求分析 用户会话跟踪 响应模式匹配 行为建模
3.3 流量控制理论及控制方法 P2P应用及危害防御
打开“带宽通道管理”页面后,点击右上角按钮“新增带宽通 道”,如下图所示:
3.3 流量控制理论及控制方法 P2P应用及危害防御
上图是定义出口通道,也就是其他待定义通道的父通道,定义好出口 100M的父通道后,点击右侧的“新建子通道”,建立P2P带宽通道, 如下图所示:
3.4 边界入侵防御技术 数据审计和取证
数据库审计: 数据库审计 镜像数据库服务器前的链路,审计数
据库使用行为,可以重现到数据库的操作命令级别, 如SELECT、UPDATA等。
互联网审计: 互联网审计 针对员工上互联网的行为的专向审计,
主要识别的是Http、SMTP、FTP等协议,同时对互联 网的常用应用如QQ、MSN、BT等也需要识别。互联 网审计一般是对内部员工的上网进行规范。
入侵防御系统是一个内嵌的设备,可以阻止恶 意信息流。
3.4 边界入侵防御技术 入侵检测系统
IPS是什么? 是什么? 是什么
3.4 边界入侵防御技术 数据审计和取证
一、网络审计概念的起源 二、网络审计产品的主要功能 三、网络审计产品的分类
3.4 边界入侵防御技术 数据审计和取证
网络行为审计: 网络行为审计 通过端口镜像取得原始数据包,并
3.1 过滤 网络流量 过滤IP网络流量
路由器IP标准ACL 路由器IP扩展ACL 配置路由器IP ACL 配置路由器IP ACL的要点
返回
3.1 过滤 网络流量 过滤IP网络流量
最常用的过滤IP网络流量的办法就是ACL, 我们对此并不陌生,运用这种方式,可以按照 IP协议类型进行有效过滤。
3.1 过滤 网络流量 过滤IP网络流量 路由器IP标准ACL
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
实验要求 ROUTER-A S1/1(DCE)192.168.1.1/24 F0/0 192.168.0.1/24 PC-A IP 192.168.0.2/24 网关 192.168.0.1 ROUTER-B S1/0(DTE)192.168.1.2/24 F0/0 192.168.2.1/24 PC-B 192.168.2.2/24 192.168.2.1
此外还可以通过限制P2P流量的办法对P2P的危 害进行可控的限制,方法如下: 这也是流量控制网关的一个很常见的应用实例, 例如总的带宽为100M,现在准备将P2P应用 限制为10M(单向10M,双向20M),示例如 下:
3.3 流量控制理论及控制方法 P2P应用及危害防御
首先定义带宽通道,点击菜单“控制策略”->“带宽通道管理”, 如下图所示:
量控制网关一个很常见的应用就是拦截目前流行的P2P应用,将 设备使用桥接方式接入网络后,进入管理界面,点击菜单”控制 策略”—〉”应用访问控制”,如下图所示:
3.3 流量控制理论及控制方法 P2P应用及危害防御
进入”应用访问控制”页面之后,点击右上角按钮”新增规则”, 将操作选择为”拦截”,如下图所示:
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL的要点
对于标准的访问列表:
– – – –
标准访问控制列表是基于源地址的 每条访问控制列表都有隐含的拒绝 标准访问控制列表一般绑定在离目标最近的接口 注意方向,以该接口为参考点,IN 是流进的方向; OUT是流出的方向
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL的要点
– –
1.
掌握访问列表实验安全性的配置 理解标准访问控制列表的作用 某些安全性要求比较高的主机或网络需要进行访 问控制 其他的很多应用都可以使用访问控制列表提供操 作条件
2.
应用环境
– –
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
实验设备 1.DCR-1751 两台(注意此路由器当 前版本为1.3.2E,如使用其他版本的路由器, 请参考具体的配置手册进行具体命令的设置) 2.PC机 两台 3.CR-V35MT 一条 4.CR-V35FC 一条 5.网线 两条
路由器IP标准ACL 所谓标准,就是指依照标准IP协议进行 过滤,而且只对数据包的源IP地址进行控制。
3.1 过滤 网络流量 过滤IP网络流量 路由器IP标准ACL
我们需要注意的就是,标准ACL的应用要尽量 靠近目的IP
5 4 1 2 6 7 8
D
A
3
12
10 11
9
C
B
3.1 过滤 网络流 过滤IP网络流 路由器IP扩展 扩展ACL 路由器 扩展
所有接口。 注:因为是拦截策略,在此的接口应该选择所有接口→所有接口。 因为是拦截策略,在此的接口应该选择所有接口 所有接口
3.3 流量控制理论及控制方法 P2P应用及危害防御
点击”应用”页面,选择与P2P相关的应用协议,然后”设定” 即可,如下图所示:
3.3 流量控制理论及控制方法 P2P应用及危害防御
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
实验拓扑
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
实验要求 ROUTER-A
S1/1 F0/0 (DCE)192.168.1.1/24 192.168.0.1/24
ROUTER-B
S1/0(DTE) 192.168.1.2/24 F0/0 192.168.2.1/24 PC-B IP 网关
3.3 流量控制理论及控制方法 P2P应用及危害防御
因为对P2P的流量控制一般不应该超出其带宽 上限,所以应该将“允许超出带宽上限”勾去 掉。 带宽通道如下图所示:
3.3 流量控制理论及控制方法 P2P应用及危害防御
定义完带宽通道后,通道并不生效,必须定义相应的策略跟通道 关联,使其生效。点击菜单“控制策略”—〉“带宽分配策略”, 如下图所示:
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
扩展访问列表的配置 实验目的
– –
1.
掌握扩展访问列表的配置 理解扩展访问列表丰富的过滤条件 可以针对目标IP地址进行控制 针对某些服务进行控制 可以针对某些协议进行控制
2.
应用环境
– – –
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
3.3 流量控制理论及控制方法 QQ特定数据包危害及防御
在防火墙上,可以对IM数据进行如下的控制:
3.3 流量控制理论及控制方法 QQ特定数据包危害及防御
QQ病毒常见攻击手段
– – –
消息炸弹法 健盘记录法 猜解软件法
3.4 边界入侵防御技术
入侵检测系统 数据审计和取证
返回
3.4 边界入侵防御技术
1.
2.
3.
3.1 过滤 网络流量 过滤IP网络流量 路由器IP扩展 扩展ACL 路由器 扩展
与标准列表不同的是,扩展列表的应用应该靠 近特征数据的源地址所在端口,这样可以将被 阻止的数据尽快地组织在不需传递它的网络外 面。
3.1 过滤 网络流量 过滤IP网络流量 配置路由器IP ACL
标准访问控制列表的配置 实验目的
还原成连接,恢复到相应的通讯协议,如:FTP、 Http、Telnet、SNMP等,进而重现通过该链路的网络 行为。
主机审计: 主机审计 若网络是街道,主机就是各个单位的内
部。在服务器上安装审计代理,审计主机使用者的各 种行为,把主机的系统、安全等日志记录下来相当于 针对主机上运行的所有业务系统的安全审计。
当需要对从某点到某点的数据进行更准确 的控制时,标准访问列表显然已经不能满足要 求,这时需要针对网络层的源地址、目的地址 以及传输层的端口号同时匹配才可以按照表项 的动作执行。
3.1 过滤 网络流量 过滤IP网络流量 路由器IP扩展 扩展ACL 路由器 扩展
扩展ACL主要由以下几个部分构成: 列表名称或序号 拒绝或允许的关键字 数据包匹配轮廓(由源网络地址+源网络掩码 +目的网络地址+目的网络掩码+目的端口号 共同组成)。
阻塞P2P常用端口 使用NAT方法隐藏用户公网IP 阻塞P2P对等端向P2P信息服务节点的通信
3.3 流量控制理论及控制方法 P2P应用及危害防御
UTM系统采用业界领先的特征识别技术,有 效降低网络带宽的资源滥用。在UTM中的配 置界面如下所示
3.3 流量控制理论及控制方法 P2P应用及危害防御
3.3 流量控制理论及控制方法 P2P应用及危害防御
进入“带宽分配策略”页面后,点击按钮“新增带宽策略”,选 择我们上面所作的带宽通道-P2P通道 通道,接口选择“内网”到 通道 “外网”,如下图所示:
因为是带宽策略,需要知道方向,在此的接口应该选择内网→外网 外网。 注:因为是带宽策略,需要知道方向,在此的接口应该选择内网 外网。
返回
3.3 流量控制理论及控制方法
安全管理+网络管理 监控对象的制定
返回
3.3 流量控制理论及控制方法 P2P应用及危害防御
目前很多企业用户对视频的需求及P2P的应用 导致带宽非常紧张,使得正常业务有时都无法 通过网络实现,部分用户反映比较强烈,网管 人员对此也非常头痛。
3.3 流量控制理论及控制方法 P2P应用及危害防御
3.3 流量控制理论及控制方法 P2P应用及危害防御
点击“服务”页面,选择相关的P2P服务,点击“设定”即可, 如下图所示:
3.3 流量控制理论及控制方法 P2P应用及危害防御
如果只针对某段地址限制,则需要指定来源地址:
3.3 流量控制理论及控制方法 QQ特定数据包危害及防御
对于QQ等IM应用对企业网络运行和业务运行 造成的影响,从网络安全层面可以进行一些控 制,如使用DCN防火墙可以对常见的IM应用 实施控制,界面如下: