1 / 152

网络安全系统概论

网络安全系统概论. 日期:. H3C 安全网络学院教程 1.0. 杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播. 安全的基本概念. 无危为安,无损为全。这是汉语中“安全”一词的字面解释。 国家标准 (GB/T 28001) 对“安全”给出的定义是:“免除了不可接受的损害风险的状态”。. 安全三维模型和防御模型. 安全三维模型 防御、制止、检测 安全防御模型 周边防御 深度防御. 目标. 目标. 周边防御. 深度防御. 安全性决定于最薄弱的环节. 如果把系统的安全性比作一条链,那么整个系统的安全可靠程度往往取决于链中最薄弱的环节。. 攻击.

rumor
Download Presentation

网络安全系统概论

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 网络安全系统概论 日期: H3C安全网络学院教程1.0 杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播

  2. 安全的基本概念 无危为安,无损为全。这是汉语中“安全”一词的字面解释。 国家标准(GB/T 28001)对“安全”给出的定义是:“免除了不可接受的损害风险的状态”。

  3. 安全三维模型和防御模型 安全三维模型 防御、制止、检测 安全防御模型 周边防御 深度防御 目标 目标 周边防御 深度防御

  4. 安全性决定于最薄弱的环节 如果把系统的安全性比作一条链,那么整个系统的安全可靠程度往往取决于链中最薄弱的环节。 攻击 保 护 目标

  5. 安全策略与机制 策略定义哪些是允许的,哪些是不允许的 机制使策略得到执行 策略整合 安全策略的步骤 资产:要保护的是什么? 风险:什么是威胁矢量、脆弱性和风险? 保护:该怎样保护资产呢? 工具:要保证实施安全措施,需要做什么?选取合适的工具和技术 优先权:保护措施实施的步骤?为每种技术和工具分配优先权,然后按顺序实施

  6. 什么是网络安全 简单的说,在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全以解决保护系统资产以下五项需求为目的。 机密性 完整性 可用性 可控性 可审计性 资产的概念比较宽泛,包括:信息和物理设备等

  7. 信息安全发展历程 • 上世纪40年代至70年代 • 主要威胁是搭线窃听、密码学破解与分析 • 解决通信保密的安全问题 • 主要保护措施加密手段 • 上世纪70年代至80年代 • 主要威胁是非法访问、恶意代码、脆弱口令 • 解决计算机系统安全问题 • 主要措施是安全操作系统设计技术 • 21世纪后 • 主要威胁是复杂多样的信息安全使实施措施与应对变得更加困难 • 解决如何进行信息保障IA(Information Assurance)问题 • 主要措施是建立信息安全保障体系

  8. 信息安全保障参考体系架构图 运 行 灾难恢复 安全评估 技 术 备份 网络安全 技术设施 边界安全 人 安全培训 人员安全 证书系统 安全意识 授权系统 安全管理 物理安全 计算环境安全 检 测 监 控 中国信息安全产品测评认证中心-安全保障架构图

  9. PDR模型 DR最早是由ISS(Internet Security Systems)公司提出的一种安全模型。 Protection(保护) Detectioon(检测) Response(响应)

  10. 网络安全策略 安全策略是指在一个特定应用的环境里,为确保一定级别的安全保护所必须遵守的规则 信息安全策略 先进的技术是手段 举例:防火墙技术可以很好的实现不同安全域之间的访问控制 相关的法律和法规则是支撑 举例:通过进行信息安全相关立法,威慑非法分子 先进的技术 法律、法规 管理审计制度 严格的管理审计制度是保障 举例:某企业通过建立审计和跟踪体系,可有效的提高企业整体的信息安全意识

  11. 网络安全研究内容 互联网与电信安全 信息对抗 工业网安全 软件安全 网络安全 密码学 信息隐藏与数字水印 内容安全

  12. 当前所处的网络环境 • 中国互联网络信息中心(CNNIC)第23次《中国互联网络发展状况统计报告》数据: • 网络规模发展迅猛 • 网民规模继续高速增长 • 互联网的使用人群日益向低学历人口普及 • 网络应用更加多样化,形成了网络生活形态 • 现代的、先进的复杂技术的局域网、广域网、Intranet和Extranet网络发展迅猛 网络在国家的政治、经济、文化、科学等领域以及社会组织活动的各个方面发挥着重要的作用!

  13. 当前网络中主要安全威胁 第一、信息系统安全漏洞层出不穷。 • 系统安全漏洞是在系统具体实现存在的缺陷和在具体使用中产生的错误,这种缺陷和错误能被攻击者利用,从而使攻击者能在未授权的情况下访问和破坏系统。 • 网络的普及引发全新的信息沟通及应用模式,同时也引进了大量系统安全漏洞,截止08年底已公开的漏洞累计达4万多个,其中80%可以被远程利用。

  14. 当前网络中主要安全威胁 入侵企业服务器 窃取企业机密信息 出售 第二、 日益成熟的黑色产业链推动木马与僵尸网络不断增长。 盗取游戏道具、虚拟货币 入侵网络游戏服务器 通过各种渠道进行销售 盗取用户帐号 入侵者 获取金钱 洗钱 批量入侵网站 盗取银行账号 盗取信用卡账号 发送垃圾邮件 编写病毒 盗取证券交易账号 收费传播流氓软件、病毒、提高网站流量 主动攻击勒索网站 盗取虚拟财产 受雇攻击收取佣金 传播病毒 拒绝服务攻击 组建僵尸网络

  15. 当前网络中主要安全威胁 第三、篡改网站、网络仿冒以及恶意代码是排名前三的安全威胁。 2008年大陆被篡改网站总数达53917个,其中政府网站被篡改数量为3595个;网络仿冒事件报告1227件 。

  16. 当前网络中主要安全威胁 第四、 P2P下载、网络游戏、即时聊天等应用占据主要互联网业务流量。

  17. 当前网络中主要安全威胁 第五、 不断变化的业务模型和信任模型使安全防护变的越发复杂。 不断变化的信任模型 • 雇员、合作伙伴、客户 • 网络边界:无线接入、Extranet • 边界安全模型还是内网安全模型 不断变化的业务模型 • 新业务、新应用、新领域 • 组织架构的变化 • 人员的变化

  18. 安全建设模式 安全风险分析 网络安全问题解决技术 安全产品部署 确立安全目标 安全体系规划 安全体系建设 访问控制 蠕虫/病毒 DDoS攻击 带宽滥用 etc…… 防火墙、杀毒软件、防毒墙、IPS、抗DDoS设备、带宽管理 etc…… 端点部署 内/外网关部署 网络边界部署 etc…… 机密性 完整性 可用性 可控性、可审计性 业务流程安全规划 系统安全体系规划 业务持续性规划 安全管理规划 业务流程安全建设 系统安全体系建设 业务持续性实现 安全管理规划 关键点安全:分析安全的脆弱点并在关键点部署安全产品 面向业务的安全保障:分析业务流程,制定针对性安全规划

  19. 发展趋势 L2~L7层深度安全防御 L7 内容识别 威胁识别 基于专家系统和统计技术的威胁识别技术 基于关联分析的流量识别和行为识别技术 应用层威胁识别和抵御,可以检测并阻止攻击、蠕虫、间谍软件、带宽滥用等行为 应用识别 L6 L5 L4 状态检测 基于状态的访问控制和隔离,基于syn Proxy/Cookie的DDoS防护 L3 基于ACL的访问控制和隔离技术,基于IPSec的加密技术 基础安全 L2.5 基于MPLS网络和业务隔离技术 L2 BPDU Guard、PVLAN、五元组绑定、802.1X等二层安全技术 第一、从技术发展的角度看:深度的内容安全是目前热点的技术研究方向

  20. 发展趋势 防火墙 应用控制 内容过滤 防垃圾 邮件 入侵防御 防病毒 VPN 限制P2P/IM应用,保证关键业务的有效带宽 屏蔽有害内容、防止机要信息泄密 提供垃圾邮件、病毒邮件的过滤 提供访问控制和策略加强 防御最新的安全威胁及恶意攻击 提供病毒、蠕虫、木马、恶意代码的查杀功能 提供远程访问数据的防窃取、防窜改的安全保证 UTM(统一威胁管理) 融合基础网络安全功能和内容安全功能 第二、从产品演变的趋势看,多功能的UTM已成为新一代安全防护的发展方向。

  21. 发展趋势 5. NAT地址转换 1. 基于状态的检查 4. ACL访问控制 线程 线程1 线程2 线程3 线程… CPU2 CPU1 2. VPN远程安全互联 CPU3 多核多线程 保障多个安全业务的并行处理,解决安全性能瓶颈问题。 3. 安全区域划分 第三、从硬件支撑方面看,基于多核+FPGA硬件架构已 成为安全业务网关的主流平台。 FW/Anti-DDoS/VPN等多种安全业务高速并行处理

  22. 发展趋势 3、管理中心收到入侵防御系统事件 入侵防御系统IPS 告警 告警 告警 内网防护的策略:对非 法攻击阻断并查找攻击源, 彻底保障内网安全 安全管理中心 服务器区 2、IPS防御来自终端的攻击,同时将入侵事件上报安全管理中心 核心交换机 4、安全管理中心对攻击源,对用户进行告警、下线等处理。 核心防火墙 1、用户进行非法或非授权行为 终端 终端 终端 第四、从解决方案的建设思路看,要实现从被动防御到主动防御, 从局部安全到智能安全防护的转变。

  23. 网络安全技术分类

  24. 防火墙技术 杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播 H3C安全网络学院教程1.0

  25. 引入 • 防火墙作为维护网络安全的关键设备,在当今网络安全防范体系架构中发挥着极其重要的作用。 • 本课程系统地介绍了防火墙技术的应用背景、发展历程、应具备的重要功能以及工作模式等。

  26. 课程目标 学习完本课程,您应该能够: • 了解为什么需要防火墙 • 了解什么是防火墙 • 掌握防火墙技术的演进 • 重点掌握防火墙应具备的重要功能 • 掌握防火墙的三种工作模式

  27. 为什么需要防火墙 Internet的开放性导致网络安全威胁无处不在 未授权资源访问 没有防火墙的 Internet千疮百孔 ARP攻击泛滥 Internet 拒绝服务攻击 各种协议漏洞攻击 非法资源访问 ……

  28. 什么是防火墙 一种放置于本地网络和外部网络之间的防御系统,外部网络和本地网络之间交互的所有数据流都需要经过防火墙的处理之后,才能决定能否将这些数据放行,一旦发现异常数据流,防火墙就将其拦截下来,实现对本地网络的保护功能。 外网访问内网、内网访问外网的所有通信过程都必须经过防火墙。 只有防火墙安全策略允许的通信才允许通过。 本地网络 可信任的网络,如受保护的公司或企业内部网络 外部网络 不可信任的网络,如开放式的因特网

  29. 防火墙技术演进 应用代理 防火墙 状态检测 防火墙 包过滤 防火墙 部署在受信网络与非受信网络之间,代替各种网络客户端执行应用层连接,即提供代理服务。与包过滤防火墙不同的是,其所有访问都在应用层中进行控制。 比包过滤防火墙具有更高的智能性和安全性。会话成功建立连接以后,记录状态信息并实时更新,所有会话数据都要与状态表信息相匹配,否则会话将被阻断。 根据配置的ACL规则,允许一些数据包通过,同时阻塞其它数据包。ACL规则可以根据网络层协议(如源/目的IP)中的地址信息或者传输层(如源/目的端口等)信息制定。 现代防火墙基本为上述三种类型防火墙的综合体, 即采用状态检测型包过滤技术,同时提供透明应用代理功能。

  30. 防火墙应具备的重要功能 防火墙 安全域策略 包过滤 黑名单 ASPF NAT ALG ARP防攻击 攻击防范 Web过滤 双机热备

  31. 安全域—为什么需要安全域? 传统防火墙通常都基于接口进行策略配置,网络管理员需要为每一个接口配置安全策略。 防火墙的端口朝高密度方向发展,基于接口的策略配置方式给网络管理员带来了极大的负担,安全策略的维护工作量成倍增加,从而也增加了因为配置引入安全风险的概率。 配置维护太复杂了! 教学楼 #1 办公楼 #1 教学楼 #2 办公楼 #2 教学楼 #3 实验楼 #1 服务器群 实验楼 #2 宿舍楼 Internet

  32. 安全域—什么是安全域? 将安全需求相同的接口或IP地址划分到不同的域,实现策略的分层管理。 Trust Untrust SecPath系列防火墙 教学楼 办公楼 实验楼 宿舍楼 Internet 配置维护简单多了! DMZ Web服务器 FTP服务器 邮件服务器 打印服务器

  33. 安全域—策略规则 • Trust区域的市场部门员工在上班时间可以访问Internet • Untrust区域在任何时候都不允许访问DMZ区域的邮件服务器 • Trust区域的研发部门员工在任何时候都可以访问DMZ区域的Web服务器 DMZ Web Server www.h3c.com Mail Server mail.h3c.com Trust 市场部门 129.111.0.0/16 Untrust Internet SecPath系列防火墙 研发部门 129.112.0.0/16 安全域策略规则

  34. 包过滤技术基础 什么是包过滤? 包过滤是访问控制技术的一种,对于需要转发的数据包,首先获取包头信息(包括源地址、目的地址、源端口和目的端口等),然后与设定的策略进行比较,根据比较的结果对数据包进行相应的处理(允许通过或直接丢弃)。 包过滤技术基础 ACL(Access List Control:访问控制列表)是实现包过滤的基础技术,其作用是定义报文匹配规则。 当防火墙端口接收到报文后,即根据当前端口上应用的ACL规则对报文字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。

  35. 包过滤—基本ACL 基本ACL:只根据源IP地址信息制定匹配规则。 办公楼 10.1.0.0/16 SecPath系列防火墙 Internet 宿舍楼 10.2.0.0/16 访问控制列表 实验楼 10.3.0.0/16 • 办公楼用户可以访问Internet • 宿舍楼用户可以访问Internet • 实验楼用户不允许访问Internet

  36. 包过滤—高级ACL 高级ACL 根据报文的源/目的IP地址、协议类型、协议的特性(如TCP或UDP的源端口、目的端口、TCP标记、ICMP协议的消息类型、消息码等)等来制定匹配规则。 财务部门 129.111.1.2/24 工资查询服务器 129.110.1.2/24 SecPath系列防火墙 研发部门 市场部门 访问控制列表 • 财务部门可以访问工资服务器 • 其它所有部门都不允许访问

  37. 包过滤—二层ACL 二层ACL 根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等制定匹配规则。 网络实验室主管 192.168.1.2 0002-6779-0F4C SecPath系列防火墙 192.168.1.1 00F0-1236-5383 Internet 网络实验室职员 192.168.1.3 00A0-2470-FEBD 访问控制列表 • 网络实验室主管可以访问防火墙 • 其它职员都不允许访问

  38. 包过滤—基于时间段的包过滤 时间段用于描述一个特殊的时间范围。通过在ACL规则下引用时间段,使ACL规则在指定的时间段内生效,从而实现基于时间段的ACL过滤。 包括周期时间段和绝对时间段两种。 财务部门 129.111.1.2/24 工资查询服务器 129.110.1.2/24 SecPath系列防火墙 研发部门 市场部门 访问控制列表 • 财务部门任何时候都可以访问工资查询服务器 • 其它所有部门在上班时间不允许访问

  39. 黑名单—基本概念 什么是黑名单? 根据报文的源IP地址进行过滤的一种方式,同包过滤功能相比,黑名单进行匹配的参数非常简单,可以实现高效率的报文过滤,从而有效地屏蔽特定IP地址发送来的报文。 SecPath系列防火墙 10.1.1.100 Internet 10.1.1.200 黑名单

  40. 黑名单—两种方式 静态添加:由网络管理员手工添加到黑名单。 动态添加:当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后,通过主动修改黑名单列表将该IP地址发送的报文过滤掉。 SecPath系列防火墙 10.1.1.100 Internet • 用户10.1.1.200正在进行端口扫描,自动将其加入黑名单。 • 用户10.1.1.210正在进行地址扫描,自动将其加入黑名单。 • 用户10.1.1.220试图以暴力猜测方式登录防火墙,自动将其加入黑名单。 • …… 10.1.1.200 ! 10.1.1.210 10.1.1.220

  41. 黑名单—表项的老化 永久老化:永久黑名单表项建立后一直存在,除非用户手工删除该表项。 非永久老化:用户可以指定一个生存时间,超出生存时间后,防火墙自动将该黑名单表项删除,黑名单表项对应的IP地址发送的报文可正常通过。 SecPath系列防火墙 黑名单 Internet 10.1.1.200 10分钟之后 SecPath系列防火墙 黑名单 Internet 10.1.1.200

  42. ASPF—为什么需要ASPF? 传统的包过滤技术只能根据IP报文中的源/目的IP、源/目的端口来制定防火墙规则,对于多通道协议,其数据通道是动态协商的,无法预先知道数据通道的地址和端口,所以也无法制定完善的安全策略。 ASPF (Application Specific Packet Filter:基于应用层的包过滤)与ALG配合,可以实现动态通道检测和应用状态检测两大功能,是比传统包过滤技术更高级的一种防火墙技术。

  43. ASPF—动态通道检测 多通道协议的报文交互过程中需要协商动态通道的地址和端口,ALG通过记录报文交互过程中的动态通道地址和端口,与ASPF一起配合决定哪些报文允许通过。 SecPath系列防火墙 内网主机 FTP服务器 内网主机与FTP服务器之间建立控制通道 发送Port报文 PORT(IP, Port) ALG处理 记录IP和Port PORT(IP, Port) 仅允许目的地址和目的端口是IP、Port的报文通过 其它目的地址和端口的报文拒绝通过

  44. ASPF—应用状态检测 通过解析、记录应用层报文的状态信息,记录会话的上下文信息,对即将到来的报文做预测,对于不符合要求的报文进行丢弃,实现应用层状态的跟踪检测。 SecPath系列防火墙 公网主机 FTP服务器 公网主机向私网FTP服务器发起连接请求 USER命令正常通过 私网FTP服务器要求公网主机输入密码 发送PASV命令,被丢弃 发送PORT命令,被丢弃 PASS命令正常通过 发送其它命令,被丢弃

  45. NAT—为什么需要NAT? NAT(Network Addressing Translation:网络地址转换) 问题 解决之道 如何应对IPv4地址日益短缺的问题? NAT 如何有效隐藏私网内部结构?

  46. NAT—基本原理和实现方式 基本原理 仅在私网主机需要访问Internet时才会分配到合法的公网地址,而在内部互联时则使用私网地址。当访问Internet的报文经过防火墙时,会用一个合法的公网地址替换原报文中的源IP地址,并对这种转换进行记录;之后,当报文从Internet侧返回时,防火墙查询原有的记录,将报文的目的地址再替换回原来的私网地址,并送回发出请求的主机。 实现方式 基本NAT方式 NAPT方式 NAT Server方式 Easy IP方式

  47. NAT—基本NAT方式 ! NAT地址池 外网服务器 内网主机 源 10.1.1.200 源 162.15.18.65 10.1.1.200 目的 10.1.1.200 211.100.7.38 目的 162.15.18.65 SecPath系列防火墙 NAT转换表项 1、只转换IP地址,对TCP/UDP协议端口号不做处理。 2、一个公网IP地址不能同时被多个用户使用。

  48. NAT—NAPT方式 NAT地址池 内网主机A 源 10.1.1.100:1025 源 162.15.18.65:16384 外网服务器 10.1.1.100 目的 10.1.1.100:1025 目的 162.15.18.65:16384 内网主机B 211.100.7.38 源 162.15.18.65:16400 源 10.1.1.200:1028 SecPath 系列防火墙 目的 162.15.18.65:16400 10.1.1.200 目的 10.1.1.200:1028 NAPT转换表项

  49. NAT—NAT Server方式 NATServer NATServer 外网服务器 内网主机 目的 162.105.178.6:80 目的 10.1.1.2:80 211.100.7.3 源 162.105.178.6:80 10.1.1.2 源 10.1.1.2:80 SecPath系列防火墙 NAT转换表项

  50. NAT—Easy IP方式 内网主机A 源 10.1.1.100:1540 源 162.10.2.8:5480 外网服务器 10.1.1.100 目的 10.1.1.100:1540 目的 162.10.2.8:5480 内网主机B 211.100.7.38 源 162.10.2.8:5481 源 10.1.1.200:1586 SecPath 系列防火墙 目的 162.10.2.8:5481 10.1.1.200 目的 10.1.1.200:1586 Easy IP转换表项

More Related