信息安全技术基础第9章
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
11
9.2 网络扫描技术
• 端口扫描 –发现目标主机的开放端口,包括网络协议和各种应用 监听的端口。 –TCP Connect 扫描和TCP反向ident 扫描口。 –TCP Xmas 和TCP Null 扫描是FIN 扫描的两个变种。 –TCP FTP 代理扫描。 –分段扫描,将数据包分为两个较小的IP 段。 –TCP SYN 扫描和TCP 间接扫描,两种半开放扫描。
• 1.包过滤技术
规则 方向
1
出
2
入
3
出
4
入
5
出
6
入
7 双向
源 IP 地址 119.100.79.0 202.100.50.7 119.100.79.2
任意 192.100.50.0 119.100.79.4
任意
目的 IP 地址 协议类型
202.100.50.7 119.100.79.0
任意 119.100.79.2 119.100.79.4 192.100.50.0
过防火墙。 (2)只有符合安全策略的数据流才能通过防火墙。 (3)防火墙自身应具有非常强的抗攻击免疫力。
16
9.3.1 防火墙概念、功能
2.防火墙的功能 (1)防火墙是网络安全的屏障 (2)防火墙可以强化网络安全策略 (3)对网络存取和访问进行监控审计 (4)防止内部信息的外泄
17
9.3.2 防火墙工作原理
第9章 网络安全技术
学习目标
本章主要讲解网络环境下安全防范技术:
网络安ቤተ መጻሕፍቲ ባይዱ包括哪些常用技术和手段 网络扫描技术作用和实施 网络防火墙的作用和工作机理 入侵检测系统的作用和工作机理 使用蜜罐技术有效发现网络入侵行为
2
如何保护网络免遭入侵?
3
目录
9.1 网络安全技术概述 9.2 网络扫描技术 9.3 网络防火墙技术 9.4 入侵检测技术 9.5 蜜罐技术
12
如何隔离内部网络与外部网络?
13
目录
9.1 网络安全技术概述 9.2 网络扫描技术 9.3 网络防火墙技术 9.4 入侵检测技术 9.5 蜜罐技术
14
9.3.1 防火墙概念、功能
Internet
内部网络
防火墙
可信网络
15
9.3.1 防火墙概念、功能
1.防火墙的特性 (1)内部网络和外部网络之间的所有网络数据流都必须经
• 1.包过滤技术 • “静态包过滤” “动态包过滤” • 对通过防火墙的每个IP数据报文(简称数据包)的头部、
协议、地址、端口、类型等信息进行检查,与预先设定好 的防火墙过滤规则进行匹配,一旦发现某个数据包的某个 或多个部分与过滤规则匹配并且条件为“阻止”的时候, 这个数据包就会被丢弃。
18
9.3.2 防火墙工作原理
–防火墙和网络过滤设备常常导致传统的探测手段变得无效。 为了突破这种限制,攻击者通常利用ICMP协议提供的错误消 息机制,例如发送异常的IP 包头、在IP头中设置无效的字 段值、错误的数据分片,以及通过超长包探测内部路由器和 反向映射探测等。
9
9.2 网络扫描技术
• 端口扫描 –发现目标主机的开放端口,包括网络协议和各种应用 监听的端口。 –TCP Connect 扫描和TCP反向ident 扫描口。 –TCP Xmas 和TCP Null 扫描是FIN 扫描的两个变种。 –TCP FTP 代理扫描。 –分段扫描,将数据包分为两个较小的IP 段。 –TCP SYN 扫描和TCP 间接扫描,两种半开放扫描。
10
9.2 网络扫描技术
• 发现网络中设备及系统是否存在漏洞。 • 主机扫描:
–确定在目标网络上的主机是否可达,常用的扫描手段如ICMP Echo 扫描、Broadcast ICMP 扫描等。
–防火墙和网络过滤设备常常导致传统的探测手段变得无效。 为了突破这种限制,攻击者通常利用ICMP协议提供的错误消 息机制,例如发送异常的IP 包头、在IP头中设置无效的字 段值、错误的数据分片,以及通过超长包探测内部路由器和 反向映射探测等。
任意
TCP TCP TCP TCP TCP TCP 任意
源端口 >1023
23 >1023
25 >1023
80 任意
目的端口 23
>1023 25
>1023 80
>1023 任意
操作 拒绝 拒绝 允许 允许 允许 允许 拒绝
19
9.3.2 防火墙工作原理
• 通常需要检查下列分组字段:
–源IP地址和目的IP地址; –TCP、UDP和ICMP等协议类型; –源TCP端口和目的TCP端口; –源UDP端口和目的UDP端口; –ICMP消息类型; –输出分组的网络接口。
4
9.1 网络安全技术概述
• 由于网络的存在,攻击者更容易通过网络非法入侵他人网 络系统、计算机系统,非法访问网络上的资源,非法窃取 终端系统中的数据。
• 网络通常分为内部网络和外部网络(也称公共网络,如 Internet),对安全边界的监控是网络安全的重要内容。
• 构建网络安全防御体系,除了必要的人、制度、机制、管 理等方面保障,还要依赖于各种网络安全技术。
20
9.3.2 防火墙工作原理
• 匹配结果分为三种情况: –如果一个分组与一个拒绝转发的规则相匹配,则该分 组将被禁止通过; –如果一个分组与一个允许转发的规则相匹配,则该分 组将被允许通过; –如果一个分组没有与任何的规则相匹配,则该分组将 被禁止通过。这里遵循了“一切未被允许的都是禁止 的”的原则。
交换。
6
如何探测网络拓扑结构及网 络中系统存在的安全弱点?
7
目录
9.1 网络安全技术概述 9.2 网络扫描技术 9.3 网络防火墙技术 9.4 入侵检测技术 9.5 蜜罐技术
8
9.2 网络扫描技术
• 发现网络中设备及系统是否存在漏洞。 • 主机扫描:
–确定在目标网络上的主机是否可达,常用的扫描手段如ICMP Echo 扫描、Broadcast ICMP 扫描等。
5
9.1 网络安全技术概述
• 扫描技术:发现内部网络安全薄弱环节,进行完善保护。 • 防火墙技术:在内部与外部网络衔接处,阻止外部对内部
网络的访问,限制内部对外部网络的访问等。 • 入侵检测系统:发现非正常的外部对内部网络的入侵行为
,报警并阻止入侵行为和影响的进一步扩大。 • 隔离网闸技术:在物理隔离的两个网络之间进行安全数据
21
9.3.2 防火墙工作原理
• 2.应用代理技术 • “应用协议分析”技术工作在OSI模型的最高层——应用
9.2 网络扫描技术
• 端口扫描 –发现目标主机的开放端口,包括网络协议和各种应用 监听的端口。 –TCP Connect 扫描和TCP反向ident 扫描口。 –TCP Xmas 和TCP Null 扫描是FIN 扫描的两个变种。 –TCP FTP 代理扫描。 –分段扫描,将数据包分为两个较小的IP 段。 –TCP SYN 扫描和TCP 间接扫描,两种半开放扫描。
• 1.包过滤技术
规则 方向
1
出
2
入
3
出
4
入
5
出
6
入
7 双向
源 IP 地址 119.100.79.0 202.100.50.7 119.100.79.2
任意 192.100.50.0 119.100.79.4
任意
目的 IP 地址 协议类型
202.100.50.7 119.100.79.0
任意 119.100.79.2 119.100.79.4 192.100.50.0
过防火墙。 (2)只有符合安全策略的数据流才能通过防火墙。 (3)防火墙自身应具有非常强的抗攻击免疫力。
16
9.3.1 防火墙概念、功能
2.防火墙的功能 (1)防火墙是网络安全的屏障 (2)防火墙可以强化网络安全策略 (3)对网络存取和访问进行监控审计 (4)防止内部信息的外泄
17
9.3.2 防火墙工作原理
第9章 网络安全技术
学习目标
本章主要讲解网络环境下安全防范技术:
网络安ቤተ መጻሕፍቲ ባይዱ包括哪些常用技术和手段 网络扫描技术作用和实施 网络防火墙的作用和工作机理 入侵检测系统的作用和工作机理 使用蜜罐技术有效发现网络入侵行为
2
如何保护网络免遭入侵?
3
目录
9.1 网络安全技术概述 9.2 网络扫描技术 9.3 网络防火墙技术 9.4 入侵检测技术 9.5 蜜罐技术
12
如何隔离内部网络与外部网络?
13
目录
9.1 网络安全技术概述 9.2 网络扫描技术 9.3 网络防火墙技术 9.4 入侵检测技术 9.5 蜜罐技术
14
9.3.1 防火墙概念、功能
Internet
内部网络
防火墙
可信网络
15
9.3.1 防火墙概念、功能
1.防火墙的特性 (1)内部网络和外部网络之间的所有网络数据流都必须经
• 1.包过滤技术 • “静态包过滤” “动态包过滤” • 对通过防火墙的每个IP数据报文(简称数据包)的头部、
协议、地址、端口、类型等信息进行检查,与预先设定好 的防火墙过滤规则进行匹配,一旦发现某个数据包的某个 或多个部分与过滤规则匹配并且条件为“阻止”的时候, 这个数据包就会被丢弃。
18
9.3.2 防火墙工作原理
–防火墙和网络过滤设备常常导致传统的探测手段变得无效。 为了突破这种限制,攻击者通常利用ICMP协议提供的错误消 息机制,例如发送异常的IP 包头、在IP头中设置无效的字 段值、错误的数据分片,以及通过超长包探测内部路由器和 反向映射探测等。
9
9.2 网络扫描技术
• 端口扫描 –发现目标主机的开放端口,包括网络协议和各种应用 监听的端口。 –TCP Connect 扫描和TCP反向ident 扫描口。 –TCP Xmas 和TCP Null 扫描是FIN 扫描的两个变种。 –TCP FTP 代理扫描。 –分段扫描,将数据包分为两个较小的IP 段。 –TCP SYN 扫描和TCP 间接扫描,两种半开放扫描。
10
9.2 网络扫描技术
• 发现网络中设备及系统是否存在漏洞。 • 主机扫描:
–确定在目标网络上的主机是否可达,常用的扫描手段如ICMP Echo 扫描、Broadcast ICMP 扫描等。
–防火墙和网络过滤设备常常导致传统的探测手段变得无效。 为了突破这种限制,攻击者通常利用ICMP协议提供的错误消 息机制,例如发送异常的IP 包头、在IP头中设置无效的字 段值、错误的数据分片,以及通过超长包探测内部路由器和 反向映射探测等。
任意
TCP TCP TCP TCP TCP TCP 任意
源端口 >1023
23 >1023
25 >1023
80 任意
目的端口 23
>1023 25
>1023 80
>1023 任意
操作 拒绝 拒绝 允许 允许 允许 允许 拒绝
19
9.3.2 防火墙工作原理
• 通常需要检查下列分组字段:
–源IP地址和目的IP地址; –TCP、UDP和ICMP等协议类型; –源TCP端口和目的TCP端口; –源UDP端口和目的UDP端口; –ICMP消息类型; –输出分组的网络接口。
4
9.1 网络安全技术概述
• 由于网络的存在,攻击者更容易通过网络非法入侵他人网 络系统、计算机系统,非法访问网络上的资源,非法窃取 终端系统中的数据。
• 网络通常分为内部网络和外部网络(也称公共网络,如 Internet),对安全边界的监控是网络安全的重要内容。
• 构建网络安全防御体系,除了必要的人、制度、机制、管 理等方面保障,还要依赖于各种网络安全技术。
20
9.3.2 防火墙工作原理
• 匹配结果分为三种情况: –如果一个分组与一个拒绝转发的规则相匹配,则该分 组将被禁止通过; –如果一个分组与一个允许转发的规则相匹配,则该分 组将被允许通过; –如果一个分组没有与任何的规则相匹配,则该分组将 被禁止通过。这里遵循了“一切未被允许的都是禁止 的”的原则。
交换。
6
如何探测网络拓扑结构及网 络中系统存在的安全弱点?
7
目录
9.1 网络安全技术概述 9.2 网络扫描技术 9.3 网络防火墙技术 9.4 入侵检测技术 9.5 蜜罐技术
8
9.2 网络扫描技术
• 发现网络中设备及系统是否存在漏洞。 • 主机扫描:
–确定在目标网络上的主机是否可达,常用的扫描手段如ICMP Echo 扫描、Broadcast ICMP 扫描等。
5
9.1 网络安全技术概述
• 扫描技术:发现内部网络安全薄弱环节,进行完善保护。 • 防火墙技术:在内部与外部网络衔接处,阻止外部对内部
网络的访问,限制内部对外部网络的访问等。 • 入侵检测系统:发现非正常的外部对内部网络的入侵行为
,报警并阻止入侵行为和影响的进一步扩大。 • 隔离网闸技术:在物理隔离的两个网络之间进行安全数据
21
9.3.2 防火墙工作原理
• 2.应用代理技术 • “应用协议分析”技术工作在OSI模型的最高层——应用