网络安全架构设计和网络安全设备的部署

VPN设备 公共网络 VPN设备 公司总部 VPN设备 办事处/SOHO VPN client
VPN通道
VPN 解决方案
合作伙伴
内部网
远程访问
虚拟私有网
Internet
分支机构
基于PPTP/L2TP的拨号VPN
1.1.1.1
2.2.2.2
3.3.3.3
• 在Internal 端网络定义远程地址池 • 每个客户端动态地在地址池中为VPN会话获取地址 • 客户端先得拨号（163/169）得到一个公网地址 ， 然后和公司的防火墙设备利用PPTP/L2TP协议进行VPN的建立 • 建立VPN 的用户可以访问公司内部网络的所有资源， 就象在内部网中一样 • 客户端不需要附加软件的安装，简单方便
防火墙安全策略
内部工作子网与外网的访问控制
WWW 内部WWW Mail DNS DMZ区域
一般子网 边界路由器
管理子网
发起访问 请求 进 行 访 合法请求 问 规 则 则允许对 检查 外访问
合法请求则允 许对外访问
Internet
Internet 区域 发起访问请求
重点子网
将访问记录 写进日志文 件 内部工作子网
防火墙不能防止通向站点的后门。 防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击。 防火墙本身的防攻击能力不够，容易成为被攻击 的首要目标。 防火墙不能根据网络被恶意使用和攻击的情况动 态调整自己的策略。
什么是 VPN
VPN (Virtual Private Network) 是通过 internet 公共网络在局域 网络之间或单点之间安全地传递数据的技术
入侵检测系统IDS
入侵预防系统也像入侵侦查系统一样，专门深入网路数据
内部，查找它所认识的攻击代码特征，过滤有害数据流，
丢弃有害数据包，并进行记载，以便事后分析。除此之外 ，更重要的是，大多数入侵预防系统同时结合考虑应用程 序或网路传输中的异常情况，来辅助识别入侵和攻击。 比如，用户或用户程序违反安全条例、数据包在不应该出 现的时段出现、作业系统或应用程序弱点的空子正在被利 用等等现象。入侵预防系统虽然也考虑已知病毒特征，但 是它并不仅仅依赖于已知病毒特征。
入侵检测系统
Intranet
攻击者
router
IDS Agent Firewall 发现攻击
报警
DMZ
发现攻击
监控中心
发现攻击
IDS Agent
报警
Servers
入侵检测工具举例
利用RealSecure进行可适应性 攻击检测和响应
生产部 DMZ ? E-Mail ? File Transfer ? HTTP
防火墙
Workstation 风险管理
入侵检测
Workstation
Internet Mail Server Mail Gateway
混合型、自动的攻击
网络安全防护产品 防火墙、防水墙 WEB防火墙、网页防篡改 入侵检测、入侵防御、防病毒 统一威胁管理UTM 身份鉴别、虚拟专网 加解密、文档加密、数据签名 物理隔离网闸、终端安全与上网行为管理 内网安全、审计与取证、漏洞扫描、补丁分发 安全管理平台 灾难备份产品
物理隔离实现基本原理
物理隔离实现基本原理
内外网模块连接相应网络实现数据的接收及预处理 等操作； 交换模块采用专用的高速隔离电子开关实现与内外 网模块的数据交换，保证任意时刻内外网间没有链 路层连接； 数据只能以专用数据块方式静态地在内外网间通过 网闸进行“摆渡”，传送到网闸另一侧； 集成多种安全技术手段，采用强制安全策略，对数 据内容进行安全检测，保障数据安全、可靠的交换 。
内部工作子网 将访问记录 写进日志文 件
防火墙在此处的功能： 1、DMZ网段与外部子网的物理隔离 2、访问控制 3、对DMZ子网做MAP映射 4、日志记录
防火墙的不足 防火墙并非万能，防火墙不能完成的工作：
源于内部的攻击 不通过防火墙的连接 完全新的攻击手段 不能防病毒
防火墙的局限性
远程局域 网络 分支机构
VPN Gateway
总部 Internet VPN Gateway 总部 网络
单个 用户
ISP Modems
VPN 可以省去专线租用费用或者长距离电话费用，大大降低成本 VPN 可以充分利用 internet 公网资源，快速地建立起公司的广域连接
传统VPN联网方式
入侵检测的概念和作用
入侵检测即通过从网络系统中的若干关键节点收集并
分析信息，监控网络中是否有违反安全策略的行为或
者是否存在入侵行为。
它能够提供安全审计、监视、攻击识别和反攻击等多
项功能，对内部攻击、外部攻击和误操作进行实时监
来自百度文库
控，在网络安全技术中起到了不可替代的作用。
入侵检测系统的作用
实时检测
入侵检测工具举例
生产部
DMZ ? E-Mail ? File Transfer ? HTTP 中继 路由
Internet
商务伙伴
工程部
记录进攻, 发送消息, 市场部 终止连接
警告!
Intranet
人事部
企业网络
重新配置 路由或防火墙 以便隐藏IP地址
外部攻击 外部攻击
中止连接
入侵检测 基本原理：利用sniffer方式获取网络数据，根据已 知特征判断是否存在网络攻击 优点：能及时获知网络安全状况，借助分析发现安 全隐患或攻击信息，便于及时采取措施。 不足： 准确性：误报率和漏报率 有效性：难以及时阻断危险行为
实时地监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据报文
安全审计
对系统记录的网络事件进行统计分析 发现异常现象 得出系统的安全状态，找出所需要的证据
主动响应
主动切断连接或与防火墙联动，调用其他程序处理
入侵检测系统
工作原理：实时监控网络数据，与已知的攻击手段进行匹 配，从而发现网络或系统中是否有违反安全策略的行为和 遭到袭击的迹象。 使用方式：作为防火墙后的第二道防线。
物理隔离装置
物理隔离
主要分两种： 双网隔离计算机 物理隔离网闸
双网隔离计算机
• 解决每人2台计算机的问题 • 1台计算机，可以分时使用内网或外网 • 关键部件 • 硬盘 • 网线 • 软盘/USB/MODEM等 • 共享部件 • 显示器 • 键盘/鼠标 • 主板/电源 • 硬盘* • 原理 • 切换关键部件
防火墙在此处的功能： 1、工作子网与外部子网的物理 隔离 2、访问控制 3、对工作子网做NAT地址转换 4、日志记录
内部子网与DMZ区的访问控制
WWW Mail DNS DMZ区域
内部WWW
一般子网
发起访问 请求
合法请求则允 许对外访问 禁止对工 作子网发 起连结请 求
边界路由器
Internet
管理子网
简单双网隔离计算机
公共部件
外网网线 内网网线
控制卡 外网硬盘 内网硬盘 控制开关
复杂双网隔离计算机
公共部件
外网网线
远端设备
控制卡
内网网线
使用控制卡上的翻译功能将硬盘分 为逻辑上独立的部分 充分使用UTP中的8芯，减少一根 网线
内网硬盘
物理隔离网闸的基本原理 采用数据“摆渡”的方式实现两个网络之间的信 息交换 在任意时刻，物理隔离设备只能与一个网络的主 机系统建立非TCP/IP协议的数据连接，即当它与 外部网络相连接时，它与内部网络的主机是断开 的，反之亦然。 任何形式的数据包、信息传输命令和TCP/IP协议 都不可能穿透物理隔离设备。物理隔离设备在网 络的第7层讲数据还原为原始数据文件，然后以“ 摆渡文件”形式传递原始数据。
只能针对已知安全问题进行扫描 准确性 vs 指导性
只能检查已经局部发作的病毒 对网络有一定影响
漏洞扫描工具
检查工具 经常性检查重要服务器、网络设备是否存在安全 漏洞
绿盟的漏扫设备 Nmap X-scan 流光 ISS-SCANNER等其他商业安全工具 WVS
网络扫描器 通过模拟网络攻击检查目标主机是否存在已知安 全漏洞 优点：有利于及早发现问题，并从根本上解决安 全隐患 不足：
网络安全架构设计和网络 安全设备的部署
信息安全模型
P
安全策略
P
访问控制机制 D
安全模型 MP2DRR 管理 M
入侵检测机制
R 备份与恢复机制 R 安全响应机制
攻击的发展趋势
File Server Web Server
混合型攻击:蠕虫
防病毒 Web Server Via Web Page Workstation Via Email
物理隔离技术的应用 涉密网和非涉密网之间
物理隔离技术的优缺点
优点：
中断直接连接 强大的检查机制 最高的安全性
缺点：
对协议不透明，对每一种协议都要一种具体的实 现 效率低
防病毒软件
网络防病毒 基本功能：串接于网络中，根据网络病毒的特征 在网络数据中比对，从而发现并阻断病毒传播 优点：能有效阻断已知网络病毒的传播 不足：
Internet
中继
工程部
警告!
路由
记录攻击
市场部
Intranet
人事部
外部攻击 外部攻击
企业网络
终止连接
入侵检测工具举例
生产部
DMZ ? E-Mail ? File Transfer ? HTTP
Internet
中继
工程部
路由
市场部
内部攻击
Intranet
警告!
启动事件日志, 发送消息
人事部
企业网络
Dial-Up NAT Pool 10.1.1.0/24 10.1.1.1 --- 10.1.1.10
SSL VPN
SSL VPN是解决远程用户访问敏感公司数据最简单最安全
的解决技术。与复杂的IPSec VPN相比，SSL通过简单易
用的方法实现信息远程连通。 任何安装浏览器的机器都可以使用SSL VPN， 这是因为 SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必 须为每一台客户机安装客户端软件。
防火墙
Workstation
入侵检测
风险管理 Workstation
Internet Mail Server Mail Gateway
混合型、自动的攻击
立体防御
File Server Web Server
混合型攻击:蠕虫
防病毒
Web Server Via Web Page Workstation Via Email
发起访问 请求
Internet 区域
进 行 访 问 规 则 检查
重点子网
内部工作子网
将访问记录 写进日志文 件
DMZ区域与外网的访问控制
WWW 内部WWW Mail DNS
DMZ区域
一般子网 发起访问 请求 管理子网
合法请求则允 许对外访问
边界路由器
Internet
Internet 区域 重点子网 禁止对外 发起连结 请求 进 行 访 问 规 则 检查 发起访问请求