网络安全架构设计和网络安全设备的部署.ppt
《网络安全架构设计和网络安全设备的部署.ppt》由会员分享,可在线阅读,更多相关《网络安全架构设计和网络安全设备的部署.ppt(234页珍藏版)》请在三一文库上搜索。
1、1,网络安全架构设计和 网络安全设备的部署,2,主要内容,内网安全架构的设计与安全产品的部署 安全扫描技术 防火墙技术 入侵检测技术 IPSec VPN和SSL VPN技术,3,网络信息安全的基本问题,网络信息安全的基本问题 保密性 完整性 可用性 可控性 可审查性 最终要解决是使用者对基础设施的信心和责任感的问题。,4,网络与信息安全体系,要实施一个完整的网络与信息安全体系,至少应包括三类措施,并且三者缺一不可。 社会的法律政策、规章制度措施 技术措施 审计和管理措施,5,网络安全设计的基本原则,要使信息系统免受攻击,关键要建立起安全防御体系,从信息的保密性,拓展到信息的完整性、信息的可用性
2、、信息的可控性、信息的不可否认性等。 在进行计算机网络安全设计、规划时,应遵循以下原则: 需求、风险、代价平衡分析的原则 综合性、整体性原则 一致性原则 易操作性原则 适应性、灵活性原则 多重保护原则,6,网络安全解决方案,网络安全解决方案的基本概念 网络安全解决方案可以看作是一张有关网络系统安全工程的图纸,图纸设计的好坏直接关系到工程质量的优劣。 总体来说,网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术等多方面的安全技术。,7,一份好的网络安全解决方案,不仅仅要考虑到技术,还要考虑到策略和管理。 技术是关键 策略是核
3、心 管理是保证 在整个网络安全解决方案中,始终要体现出这三个方面的关系。,8,网络安全解决方案设计,9,安全需求分析,网络系统的总体安全需求是建立在对网络安全层次分析基础上的。对于基于TCP / IP协议的网络系统来说,安全层次是与TCP/IP协议层次相对应的。 针对该企业网络的实际情况,可以将安全需求层次归纳为网络层安全和应用层安全两个技术层次,同时将在各层都涉及的安全管理部分单独作为一部分进行分析。,10,网络层需求分析,网络层安全需求是保护网络不受攻击,确保网络服务的可用性。 保证同Internet互联的边界安全 能够防范来自Internet的对提供服务的非法利用 防范来自Interne
4、t的网络入侵和攻击行为的发生 对于内部网络提供高于网络边界更高的安全保护,11,应用层需求分析,应用层的安全需求是针对用户和网络应用资源的,主要包括: 合法用户可以以指定的方式访问指定的信息; 合法用户不能以任何方式访问不允许其访问的信息; 非法用户不能访问任何信息; 用户对任何信息的访问都有记录。,12,应用层要解决的安全问题包括,非法用户利用应用系统的后门或漏洞,强行进入系统 用户身份假冒 非授权访问 数据窃取 数据篡改 数据重放攻击 抵赖,13,网络安全解决方案,14,电子政务网络拓扑概述,15,电子政务网络拓扑详细分析,16,电子政务网络风险及需求分析,领导层子网,分支机构2,业务处
5、室子网,公共处 室子网,服务处 室子网,直属人 事机构 处室子网,共享数据 库子网,INTERNET,分支机构1,此人正试图进入网络监听并窃取敏感信息,分支机构工作人员正试图在领导层子网安装木马,分支机构工作人员正试图越权访问业务子网安装木马,非内部人员正试图篡改公共网络服务器的数据,17,电子政务网络内网基础网络平台安全,领导层子网,业务处 室子网,公共处 室子网,服务处 室子网,直属人 事机构 处室子网,共享数据 库子网,分支机构2,分支机构1,INTERNET,防火墙FW1,防火墙FW2,防火墙FW3,安全认证服务器,安全管理器,安全网关SG1,安全网关SG2,安全网关SG3,路由器,路
6、由器,路由器,交换机,18,内网核心网络与各级子网间的安全设计,分支机构2,INTERNET,分支机构1,交换机,安全网关SG1,安全网关SG2,安全网关SG3,路由器,路由器,路由器,安全管理器,安全认证服务器,19,内网网络漏洞扫描系统设计,分支机构2,INTERNET,分支机构1,交换机,安全网关SG1,安全网关SG2,安全网关SG3,路由器,路由器,路由器,安全管理器,安全认证服务器,网络漏洞扫描器,20,内网网络入侵检测系统设计,分支机构2,INTERNET,分支机构1,交换机,安全网关SG1,安全网关SG2,安全网关SG3,路由器,路由器,路由器,安全管理器,安全认证服务器,网络入
7、侵检测探头,网络入侵策略管理器,21,电子政务外网基础平台安全设计,INTERNET,办公厅办公业务网 (简称“内网”),路由器,交换机,安全管理器,防火墙FW,物理隔离器(K1),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,22,外网网络漏洞扫描系统设计,INTERNET,办公厅办公业务网 (简称“内网”),路由器,交换机,安全管理器,防火墙FW,物理隔离器(K1),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,网络漏洞扫描器,23,外网网络入侵检测系统设计,INTERNET,办公厅办公业务网 (简称“内网”),路由器,交换机,安全管理器,物理隔离器(K1),E
8、-MAIL服务器,WWW服务器,应用服务器,数据库服务器,网络漏洞扫描器,网络入侵检测探头,网络入侵策略管理器,防火墙FW,24,外网WEB服务器安全设计,INTERNET,办公厅办公业务网 (简称“内网”),路由器,交换机,安全管理器,物理隔离器(K2),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,防火墙FW,物理隔离器(K1),办公厅办公业务网 (简称“内网”),政府系统办公业务资源网(简称“专网”),Web网站监测&自动修复系统,25,内网、外网和专网的隔离系统设计,INTERNET,办公厅办公业务网 (简称“内网”),路由器,交换机,安全管理器,物理隔离器(K2),E-
9、MAIL服务器,WWW服务器,应用服务器,数据库服务器,防火墙FW,物理隔离器(K1),办公厅办公业务网 (简称“内网”),政府系统办公业务资源网(简称“专网”),26,其它网络安全设备,拨号检测系统 上网行为管理系统 DDOS防御网关 VPN网关 防病毒网关,27,安全扫描技术,扫描目的 查看目标网络中哪些主机是存活的(Alive) 查看存活的主机运行了哪些服务 WWW FTP EMAIL TELNET 查看主机提供的服务有无漏洞,28,IP扫描,IP扫描Ping Sweeping Ping使用ICMP协议进行工作,29,IP扫描,ICMP协议负责差错的报告与控制。比如目标不可达,路由重定向
10、等等 ICMP报文格式 类型域(type)用来指明该ICMP报文的类型 代码域(code)确定该包具体作用,30,IP扫描,常用的ICMP报文 Ping程序使用ICMP Echo Request/Reply报文,31,端口扫描,端口 Internet上主机间通讯总是通过端口发生的 端口是入侵的通道 端口分为TCP端口与UDP端口 因此,端口扫描可分类为 TCP扫描 UDP扫描,32,端口扫描,基本扫描 用Socket开发TCP应用,服务器端,客户端,33,端口扫描,connect()函数 int connect( SOCKET s, const struct sockaddr FAR *nam
11、e, int namelen ); 当connect返回0时,连接成功 基本的扫描方法即TCP Connect扫描 优点 实现简单 可以用普通用户权限执行 缺点 容易被防火墙检测,也会目标应用所记录,34,端口扫描,隐秘扫描,服务器端,客户端,connect,35,端口扫描,TCP的连接建立过程,客户机,服务器,36,端口扫描,SYN扫描,客户机,服务器,如果接收到SYN+ACK,表明服务器端口可连接,如果服务器端口打开,则返回SYN+ACK,如果服务器端口未打开,则返回RST,SYN+ACK,如果接收到RST,表明服务器端口不可连接,RST,37,端口扫描,SYN扫描的实现 WinSock2
12、接口Raw Sock方式,允许自定义IP包 SockRaw = socket(AF_INET , SOCK_RAW , IPPROTO_IP); TCP包头标志位,38,端口扫描,SYN扫描的优缺点 优点: 一般不会被目标主机所记录 缺点: 运行Raw Socket时必须拥有管理员权限,39,端口扫描,FIN扫描 关闭TCP连接的过程,客户机,服务器,40,端口扫描,关闭一个并没有建立的连接,会产生以下情况 对非连接FIN报文的回复 TCP标准 关闭的端口返回RST报文 打开的端口忽略 BSD操作系统 与TCP标准一致 其他操作系统 均返回RST报文,41,TCP ACK扫描,扫描主机向目标主
13、机发送ACK数据包。根据返回的RST数据包有两种方法可以得到端口的信息。 方法一是: 若返回的RST数据包的TTL值小于或等于64,则端口开放,反之端口关闭 方法二是: 若返回的RST数据包的WINDOW值非零,则端口开放,反之端口关闭,TCP ACK扫描建立连接成功,TCP ACK扫描建立连接成功,42,NULL扫描,扫描主机将TCP数据包中的ACK、FIN、RST、SYN、URG、PSH(接收端将数据转由应用处理)标志位置空后(保留的RES1和RES2对扫描的结果没有任何影响)发送给目标主机。若目标端口开放,目标主机将不返回任何信息。 若目标主机返回RST信息,则表示端口关闭。,NULL扫
14、描建立连接成功,NULL扫描建立连接未成功,43,Xmas tree扫描(圣诞树扫描),XMAS扫描原理和NULL扫描的类似,将TCP数据包中的ACK、FIN、RST、SYN、URG、PSH标志位置1后发送给目标主机。在目标端口开放的情况下,目标主机将不返回任何信息 若目标端口关闭,则目标主机将返回RST信息,XMAS扫描建立连接成功,XMAS扫描建立连接未成功,44,端口扫描,优点 不会被记录到日志 可以绕过某些防火墙 netstat命令不会显示netstate命令只能显示TCP连接或连接的尝试 缺点 使用RAW IP编程,实现起来相对比较复杂 利用BSD代码缺陷,可能被修复Open BSD
15、 不同操作系统结果不同,因此不完全可信,45,端口扫描,UDP端口扫描 目前扫描UDP端口只有一种方法: 向目标UDP端口发送一些随机数据,如果端口关闭,则目标主机会回复ICMP端口不可达消息,46,慢速扫描,随着防火墙的广泛应用,普通的扫描很难穿过防火墙去扫描受防火墙保护的网络。即使扫描能穿过防火墙,扫描的行为仍然有可能会被防火墙记录下来。 如果扫描是对非连续性端口、源地址不一致、时间间隔很长且没有规律的扫描的话,这些扫描的记录就会淹没在其他众多杂乱的日志内容中。使用慢速扫描的目的也就是这样,骗过防火墙和入侵检测系统而收集信息。虽然扫描所用的时间较长,但这是一种比较难以被发现的扫描。,47,
16、乱序扫描,乱序扫描也是一种常见的扫描技术,扫描器扫描的时候不是进行有序的扫描,扫描端口号的顺序是随机产生的,每次进行扫描的顺序都完全不一样,这种方式能有效地欺骗某些入侵检测系统而不会被发觉。,48,漏洞扫描,漏洞是指系统硬件、操作系统、软件、网络协议、数据库等在设计上和实现上出现的可以被攻击者利用的错误、缺陷和疏漏。 漏洞扫描程序是用来检测远程或本地主机安全漏洞的工具。 针对扫描对象的不同,漏洞扫描又可分为网络扫描、操作系统扫描、WWW服务扫描、数据库扫描以及无线网络扫描等。,49,端口扫描,常用的端口扫描工具 UNIX下的端口扫描工具 Nmap Windows下的端口扫描工具 XScan S
17、uperScan Nmap for NT,50,防火墙,建筑业中的防火墙用在建筑单位间,防止火势的蔓延。 在网络安全领域中,防火墙用来指应用于内部网络(局域网)和外部网络(Internet)之间的,用来保护内部网络免受非法访问和破坏的网络安全系统。,51,防火墙功能示意,两个不同网络安全域间通信流的唯一通道,对流过的网络数据进行检查,阻止攻击数据包通过。,安全网域一,安全网域二,52,防火墙主要功能,过滤进、出网络的数据 ; 防止不安全的协议和服务; 管理进、出网络的访问行为 ; 记录通过防火墙的信息内容与活动; 对网络攻击进行检测与告警; 防止外部对内部网络信息的获取 提供与外部连接的集中管
18、理;,53,防火墙不能防范的攻击,来自内部的安全威胁; 病毒 开放应用服务程序的漏洞; 特洛伊木马; 社会工程; 不当配置,54,衡量防火墙三大要求,安全 内部和外部间所有数据必须通过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身要安全 管理 良好的人机交互界面 提供强劲的管理及扩展功能 速度,55,防火墙发展历程,主要经历了三个阶段: 基于路由器的防火墙 基于通用操作系统的防火墙 基于安全操作系统的防火墙,56,防火墙分类,按实现技术分类: 包过滤型 代理型防火墙 按体系结构分类: 双宿/多宿主机防火墙 屏蔽主机防火墙 屏蔽子网防火墙 混合结构,57,包过滤防火墙,包过滤防火墙
19、在决定能否及如何传送数据包之外,还根据其规则集,看是否应该传送该数据包 普通路由器 当数据包到达时,查看IP包头信息,根据路由表决定能否以及如何传送数据包,58,静态包过滤防火墙,传输层 传输层 传输层,59,路由与包过滤,路由进行转发,过滤进行筛选,Host A,Sever X,60,包过滤所检查的内容,源和目的的IP地址 IP选项 IP的上层协议类型(TCP/UDP/ICMP) TCP和UDP的源及目的端口 ICMP的报文类型和代码 我们称这种对包头内容进行简单过滤的方式为静态包过滤,61,包过滤配置,包过滤防火墙配置步骤: 知道什么是应该和不应被允许,制定安全策略 规定允许的包类型、包字
20、段的逻辑表达 用防火墙支持的语法重写表达式,62,规则制定的策略,拒绝任何访问,除非被规则特别允许 允许任何访问,除非规则特别地禁止,允许,拒绝,允许,拒绝,63,规则制定的策略,过滤的两种基本方式 按服务过滤:根据安全策略决定是否允许或拒绝某一种服务 按规则过滤:检查包头信息,与过滤规则匹配,决定是否转发该数据包,64,依赖于服务的过滤,多数服务对应特定的端口,如要封锁输Telnet 、SMTP的连接,则Router丢弃端口值为23和25的所有数据包。 典型的过滤规则有以下几种: 只允许进来的Telnet会话连接到指定的内部主机 只允许进来的FTP会话连接到指定的内部主机 允许所有出去的Te
21、lnet会话 允许所有出去的FTP会话 拒绝从某些指定的外部网络进来的所有信息,65,按规则过滤,有些类型的攻击很难用基本包头信息加以鉴别,因为独立于服务。如果防范则需要定义规则 1)源IP地址欺骗攻击 入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包;这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口,则舍弃每个含有这个源IP地址的信息包,就可以挫败这种源欺骗攻击。,66,按规则过滤,2)源路由攻击 攻击者为信息包指定一个穿越Internet的路由,这类攻击企图绕过安全措施,并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类
22、源路由选项的信息包方式,来挫败这类攻击。 3)残片攻击 入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断,使数据包绕过用户定义的过滤规则。黑客希望过滤路由器只检查第一分段,而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中Fragment Offset=1的数据包,即可挫败残片的攻击。,67,推荐的规则,任何进入内网的数据包不能将内部地址作为源地址 任何进入内网的数据包必须将内部地址作为目标地址 任何离开内网的数据包必须将内部地址作为源地址 任何离开内网的数据包不能将内部地址作为目标地址 任何进入或离开内网的数据包不能把一个私有地址或者127.0.
23、0.0/8作为源或目标地址,68,静态包过滤的优缺点,优点: 速度快 价格低 对用户透明 缺点: 配置难把握 防范能力低 没有用户身份验证机制,69,动态包过滤,动态包过滤是Check Point的一项称为“ Stateful Inspection”的专利技术,也称状态检测防火墙 。 动态包过滤防火墙不仅以一个数据包的内容作为过滤的依据,还根据这个数据包在信息流位置加以判断。 动态包过滤防火墙可阻止未经内网请求的外部通信,而允许内网请求的外部网站传入的通信 。,70,动态包过滤防火墙,71,使用动态包过滤制定的规则,Set internal=192.168.0.0/24 Deny ip fro
24、m $internal to any in via eth0 Deny ip from not $internal to any in via eth1 Allow $internal access any dns by udp keep state Allow $Internal acess any www by tcp keep state Allow $internal access any ftp by tcp keep state Deny ip from any to any,72,动态包过滤的优缺点,优点: 基于应用程序信息验证一个包状态的能力 记录通过的每个包的详细信息 缺点:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 架构 设计 网络 安全设备 部署
链接地址:https://www.31doc.com/p-3026030.html