CISP0204网络安全.pptx

网络安全 培训机构讲师 课程内容 2 知识域 网络协议安全 知识子域 TCP IP协议安全理解开放互联系统模型ISO OSI七层协议模型及其安全体系结构理解TCP IP四层协议模型及协议安全架构了解IPV6的安全特点 3 什么是协议 定义协议是网络中计算机或设备之间进行通信的一系列规则的集合理解重点 规则交通中的红绿黄灯 红灯停 绿灯行就是规则我国汽车靠右行驶是规则 香港 西方国家靠左行驶也是规则 4 OSI协议 OSI安全体系结构 信息处理系统开放系统互连基本参考模型 第二部分 安全体系结构 GB T9387 2 1995 等同于ISO7498 2 TCP IP协议结构 7 OSI模型与TCP IP协议的对应 8 物理层 网络层 传输层 会话层 表示层 应用层 数据链路层 互联网络层 传输层 应用层 网络接口层 网络接口层安全威胁 损坏 干扰 电磁泄漏 搭线窃听 欺骗 9 拒绝服务 嗅探 网络接口层安全威胁 损坏 自然灾害 动物破坏 老化 误操作干扰 大功率电器 电源线路 电磁辐射电磁泄漏 传输线路电磁泄漏搭线窃听 物理搭线欺骗 ARP欺骗嗅探 常见二层协议是明文通信的 以太 arp等 拒绝服务 macflooding arpflooding等 10 互联网络层 11 IP是TCP IP协议族中最为核心的协议不可靠 unreliable 通信无连接 connectionless 通信提供分层编址体系 ip地址 IP协议简介 12 互联网络层安全威胁 拒绝服务 欺骗 窃听 伪造 13 互联网络层安全威胁 拒绝服务 分片攻击 teardrop 死亡之ping欺骗 IP源地址欺骗窃听 嗅探伪造 IP数据包伪造 14 传输层 15 相同点同一层的协议 基于IP报文基础上不同点TCP是可靠的 高可用性的协议 但是复杂 需要大量资源的开销UDP是不可靠 但是高效的传输协议 TCP协议与UDP协议 16 传输层安全威胁 拒绝服务 欺骗 窃听 伪造 17 传输层安全威胁 拒绝服务 synflood udpflood Smurf欺骗 TCP会话劫持窃听 嗅探伪造 数据包伪造 18 应用层协议 域名解析 DNS电子邮件 SMTP POP3文件传输 FTP网页浏览 HTTP 19 应用层安全威胁 拒绝服务 欺骗 窃听 伪造 暴力破解 20 应用层协议的安全威胁 拒绝服务 超长URL链接欺骗 跨站脚本 钓鱼式攻击 cookie欺骗窃听 嗅探伪造 应用数据篡改暴力破解 应用认证口令暴力破解等 21 基于TCP IP协议簇的安全架构 IPv6的主要特性 网络地址空间的极大扩展网络地址表示法不同网络地址的分类方式不同改进的IP多播新增了 任播地址 简化报头格式良好的扩展性内嵌的安全性服务质量的保证即插即用功能身份验证和隐私保护能力 知识域 网络协议安全 知识子域 无线局域网协议安全了解无线局域网的基本组成与特点了解WEP 802 11i WAPI等无线局域网安全协议 无线技术 25 无线局域网的传输媒质分为无线电波和光波两类无线电波主要使用无线电波和微波 光波主要使用红外线无线电波和微波频率由各个国家的无线电管理部门规定 分为专用频段和自由频段 专用频段需要经过批准的独自有偿使用的频段 自由频段主要是指ISM频段 Industrical Scientific Medical 无线局域网基本概念 26 无线局域网网络结构 AP STA 客户端 station STA 无线网访问设备 例如笔记本 掌上电脑等无线接入点 AccessPoint AP 专用的无线接入设备分布系统 distributionsystem DS 其他网络 无线或者有线网络 DS 27 无线局域网安全问题 28 传统无线安全防护措施 认证开放式认证系统共享密钥认证服务集标识符SSID极易暴露和伪造 没有安全性可言物理地址 MAC 过滤MAC地址容易伪造 扩展性差无线对等协议 WEP 手动管理密钥存在重大隐患弱密钥问题不能防篡改WEP没有提供抵抗重放攻击的对策 29 IEEE802 11i无线局域网安全协议 30 WAPI安全协议 31 WEP IEEE802 11i WAPI比较 32 知识域 网络协议安全 知识子域 移动通信网络协议安全了解GSM CDMA存在的安全问题了解3G系统的安全问题及安全结构 33 移动通信的发展 第一代模拟蜂窝移动通信系统第二代数字蜂窝移动通信系统 2G GSM CDMA第三代移动通信系统 3G W CDMA CDMA2000 TD SCDMA WiMAX 34 GSM的安全性 安全措施用户鉴权 AUC 无线通道加密移动设备确认IMSI临时身份等安全问题安全系统内在的弱点支持数据业务带来的弱点加密算法的弱点 35 CDMA的安全性 安全措施保密与认证架构大致与GSM相同使用64b的对称密钥 称为A Key 进行认证安全问题允许语音通信加密 但是CDMA运营商并不总是提供这种服务由于网络现状 许多系统目前不支持认证功能 许多手机既没有认证算法也无法输入 36 3GPP的3G系统安全结构 37 3G系统的主要安全威胁 3G无线网络的空中开放性对信息安全构成潜在威胁3G核心网络的IP化给安全带来了巨大挑战业务种类的丰富导致失泄密渠道增加定位服务容易造成一些敏感涉密的位置信息泄露手机终端强大的功能带来了新的安全漏洞 38 知识域 网络安全设备 知识子域 防火墙技术理解防火墙的作用 功能及分类理解包过滤技术 状态检测技术和应用代理技术等防火墙主要技术原理掌握防火墙的部署结构理解防火墙的局限性 39 防火墙基本概念 什么是防火墙一种协助确保信息安全的设备 会依照特定的规则 允许或是限制传输的数据通过 防火墙部署在哪可信网络与不可信网络之间不同安全级别网络之间两个需要隔离的区域之间 Internet 40 为什么需要防火墙控制 在网络连接点上建立一个安全控制点 对进出数据进行限制隔离 将需要保护的网络与不可信任网络进行隔离 隐藏信息并进行安全防护记录 对进出数据进行检查 记录相关信息 防火墙的作用 41 防火墙的分类 按主要技术分包过滤型代理型混合型按体系结构分筛选路由器双宿 多宿主机防火墙屏蔽主机防火墙屏蔽子网防火墙混合结构其他分类方法 42 防火墙的实现技术 包过滤技术状态检测技术代理网关技术 43 防火墙的实现技术 包过滤 实现机制 依据数据包的基本标记来控制数据包网络层地址 IP地址 源地址及目的地址 传输层地址 端口 源端口及目的端口 协议 协议类型 44 安全网域一 防火墙的实现技术 包过滤 优点 逻辑简单 功能容易实现 设备价格便宜处理速度快可以识别和丢弃带欺骗性源IP地址的包过滤规则与应用层无关 无须修改主机上的应用程序 易于安装和使用缺点 过滤规则集合复杂 配置困难无法满足对应用层信息进行过滤的安全要求不能防止地址欺骗 及外部客户与内部主机直接连接安全性较差 不提供用户认证功能 45 防火墙实现技术 状态检测 数据链路层 物理层 网络层 表示层 会话层 传输层 检测引擎 应用层 在数据链路层和网络层之间对数据包进行检测创建状态表用于维护连接上下文 应用层 表示层 会话层 传输层 数据链路层 物理层 网络层 应用层 表示层 会话层 传输层 数据链路层 物理层 网络层 46 防火墙实现技术 状态检测 优点可应用会话信息决定过滤规则具有记录有关通过的每个包的详细信息的能力安全性较高缺点检查内容比包过滤检测技术多 所以对防火墙的性能提出了更高的要求状态检测防火墙的配置非常复杂 对于用户的能力要求较高 使用起来不太方便 47 防火墙的实现技术 代理网关 每一个内外网络之间的连接都要通过防火墙的介入和转换 加强了控制分类电路级代理应用代理 48 防火墙的实现技术 电路级代理 建立回路 对数据包进行转发优点能提供NAT 为内部地址管理提供灵活性 隐藏内部网络等适用面广缺点仅简单的在两个连接间转发数据 不能识别数据包的内容 49 防火墙的实现技术 NAT 什么是NAT一种将私有 保留 地址转化为合法IP地址的转换技术 它被广泛应用于各种类型Internet接入方式和各种类型的网络中 NAT技术设计初衷增加私有组织的可用地址空间解决现有私有网络接入的IP地址编号问题 50 防火墙的实现技术 NAT NAT实现方式静态地址转换动态地址转换端口转换 51 202 2 2 2 安全网域一 202 2 2 100 192 168 1 1 192 168 1 30 52 NAT的优缺点 优点管理方便并且节约IP地址资源隐藏内部IP地址信息可用于实现网络负载均衡缺点外部应用程序却不能方便地与NAT网关后面的应用程序联系 防火墙的实现技术 应用代理 工作在应用层使用代理技术 对应用层数据包进行检查对应用或内容进行过滤 例如 禁止FTP的 put 命令 53 防火墙的实现技术 应用代理 优点可以检查应用层内容 根据内容进行审核和过滤提供良好的安全性缺点支持的应用数量有限性能表现欠佳 54 防火墙实现技术 自适应代理技术 自适应代理防火墙主要由自适应代理服务器与动态包过滤组成 它可以根据用户的配置信息 决定从应用层代理请求 还是从网络层转发包特点根据用户定义安全规则动态 适应 传输中的分组流量高安全要求 在应用层进行检查明确会话安全细则 链路层数据包转发兼有高安全性和高效率 55 防火墙部署结构 单防火墙 无DMZ 部署方式单防火墙 DMZ 部署方式双防火墙部署方式 56 单防火墙 无DMZ 部署方式 57 单防火墙 DMZ 部署方式 58 防火墙的典型部署 区域划分 可信网络 不可信网络 DMZ区 59 防护墙的策略设置 没有明确允许的就是禁止先阻止所有数据包需要的给予开放没有明确禁止的就是允许对明确禁止的设置策略 60 防火墙的策略设置 可信网络可向DMZ区和不可信网络发起连接请求 61 防火墙的策略设置 DMZ区可接受可信网络和不可信网络的连接请求DMZ区不可向可信网络发起连接请求DMZ区与不可信网络的连接请求根据业务需要确定 62 双防火墙部署方式 使用两台防火墙分别作为外部防火墙和内部防火墙 在两台防火墙之间形成了一个非军事区网段外部流量允许进入DMZ网段内部流量允许进入DMZ网络并通过DMZ网段流出至外部网络外部网络的流量不允许进入直接进入内部网络特点能提供更为安全的系统结构实施复杂性和费用较高 63 防火墙的不足和局限性 难于管理和配置 易造成安全漏洞防外不防内 不能防范恶意的知情者只实现了粗粒度的访问控制很难为用户在防火墙内外提供一致的安全策略不能防范病毒 64 知识域 网络安全设备 知识子域 入侵检测系统理解入侵检测系统的作用 功能及分类理解入侵检测系统的主要技术原理掌握入侵检测系统的部署结构理解入侵检测系统的局限性 65 什么是入侵检测系统 66 什么是入侵检测系统一种通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析以发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的设备入侵检测系统部署在哪数据流入流出点关键位置 入侵检测系统的作用 为什么需要入侵检测系统防火墙的重要补充构建网络安全防御体系重要环节克服传统防御机制的限制入侵检测系统能做什么监测并分析用户和系统的活动核查系统配置和漏洞对操作系统进行日志管理 并识别违反安全策略的用户活动 针对已发现的攻击行为作出适当的反应 如告警 中止进程等 67 入侵检测系统的分类 按检测原理分异常检测误用检测混合检测按数据来源分主机入侵检测网络入侵检测混合式入侵检测 68 入侵检测系统的典型部署 69 可信网络 不可信的网络 防火墙 Internet Intranet 旁路的方式接入部署位置防火墙外核心交换机关键位置 HIDS NIDS NIDS NIDS 70 通用入侵检测框架 71 入侵检测工作过程 基于网络的入侵检测系统 72 入侵检测系统布署 入侵检测系统布署 基于主机的入侵检测系统 73 入侵检测系统的局限性 74 对用户知识要求较高 配置 操作和管理使用较为复杂网络发展迅速 对入侵检测系统的处理性能要求越来越高 现有技术难以满足实际需要 高虚警率 用户处理的负担重由于警告信息记录的不完整 许多警告信息可能无法与入侵行为相关联 难以得到有用的结果在应对对自身的攻击时 对其他数据的检测也可能会被抑制或受到影响 知识域 网络安全设备 知识子域 其它网络安全设备了解安全隔离与信息交换系统的原理 特点及适用场景了解入侵防御系统 IPS 原理与特点了解安全管理平台 SOC 的主要功能了解统一威胁管理系统 UTM 的功能与特点了解网络准入控制 NAC 的功能 组成及控制方式 75 安全隔离与信息交换系统 网闸 76 网闸的组成与特点 组成外部处理单元内部处理单元仲裁处理单元特点在网络第二层 链路层 断开网络连接不允许信息以网络数据包的方式在两个网络之间交换同时集合了其他安全防护技术 77 78 网闸与防火墙的区别 双系统模式彻底将内网保护起来安全隔离与信息交换系统采用自身定义的私有通讯协议 避免了通用协议存在的漏洞安全隔离与信息交换系统采用专用硬件控制技术保证内外网之间没有实时连接 79 网闸的适用场景 不同涉密网络之间同一涉密网络的不同安全域之间与互联网物理隔离的网络与秘密级网络之间未与涉密网络连接的网络与互联网络之间 80 入侵防御系统 IPS 一种主动的 智能的入侵检测 防范 阻止系统预先对攻击性网络流量进行拦截 避免其造成任何损失 IPS的部署 81 IPS的典型部署方式为串联在网络中 可信网络 不可信的网络 服务 Internet Intranet IPS IPS的特点 82 IPS采取主动式的防御机制 以透明模式串联于网络中 能够实时阻断攻击 部署在网络关键点上 过滤阻断的是攻击包而非攻击源 采用多种检测技术 准确度高 特征分析 协议异常分析 行为异常分析 采用硬件加速技术 处理性能高 不影响网络的正常运行 IPS与IDS的区别 83 IPS采用In line的透明模式接入网络 而IDS并联在网络中 接入交换机的接口需要做镜像 IDS是一种检测技术 而IPS是一种检测加阻断技术 后者的检测结果是阻断攻击的依据是检测 IPS更多是专业化定制的集成电路 而IDS一般是硬件与软件的集合 入侵防御系统关注的是对入侵行为的控制 是一种侧重于风险控制的安全设备 入侵检测系统注重的是入侵行为的数据进行检测和报警 是一种侧重于风险管理的安全设备 如何选择部署IDS和IPS 若计划在一次项目中实施较为完整的安全解决方案 则应同时选择和部署入侵检测系统和入侵防御系统两类产品若用户计划分布实施安全解决方案 可以考虑先布署入侵检测系统进行网络安全状况监控 后期再部署入侵防御系统若用户仅仅关注网络安全状况的监控 则可在目标信息系统中部署入侵检测系统即可 84 IPS存在的问题 单点故障性能瓶颈误报和漏报 85 安全管理平台 SOC 狭义上安全管理平台重点是指对安全设备的集中管理 包括集中的运行状态监控 事件采集分析 安全策略下发广义上不仅针对安全设备进行管理 还要针对所有IT资源 甚至是业务系统进行集中的安全管理 包括对IT资源的运行监控 事件采集分析 还包括风险管理与运维等内容 86 SOC的理解 以资产为核心 以安全事件管理为关键流程 采用安全域划分的思想 建立一套实时的资产风险模型 协助管理员进行事件分析 风险分析 预警管理和应急响应处理的集中安全管理系统 本质上 SOC不是一款单纯的产品 而是一个复杂的系统 他既有产品 又有服务 还有运维 运营 SOC是技术 流程和人的有机结合 87 SOC的主要功能 风险管理服务管理系统管理专业安全系统 88 统一威胁管理系统 UTM 由硬件 软件和网络技术组成的具有专门用途的设备 它主要提供一项或多项安全功能 同时将多种安全特性集成于一个硬件设备里 形成标准的统一威胁管理平台 一般而言 防火墙 VPN 入侵防御 防病毒是必备的功能模块 缺少任何一个不能称之为UTM 其余功能用户可以根据自身需求进行选择 89 UTM的特点 优点将防病毒 入侵检测 网络过滤等多种同能融合在一台设备中 安全防护能力比单台设备大大增加提供综合的功能和安全的性能 降低了复杂度 也降低了成本能为用户定制安全策略 提供灵活性内部各个功能模块遵循同样的管理接口 在使用上也远较传统的安全产品简单能提供全面的管理 报告和日志平台 用户可以统一地管理全部安全特性不足容易存在单点故障本身安全漏洞也更容易会造成严重损失设备对性能要求较高 90 网络准入控制 NAC 通过对连入网络的客户端设备进行授权 以防止病毒和蠕虫等恶意代码对网络安全造成危害 通过NAC 可以只允许合法的 值得信任的端点设备 例如PC 服务器 笔记本 智能手机等 接入网络 而不允许其它设备接入检查设备的 状态 能确保等待接入网络的设备符合一定级别的安全标准能够防止易损主机接入正常网络 减少病毒和蠕虫对企业网络的干扰 91 NAC的组成与工作过程 组成终端安全检查软件网络接入设备策略 AAA服务器工作过程由终端设备和网络接入设备进行交互通讯将终端信息发给策略 AAA服务器对接入终端和终端使用者进行检查当终端及使用者符合策略 AAA服务器上定义的策略后 策略 AAA服务器会通知网络接入设备 对终端进行授权和访问控制 92 NAC的四种准入控制方式 802 1x准入控制DHCP准入控制网关型准入控制ARP准入控制 93 知识域 网络架构安全 知识子域 网络架构安全基础理解网络架构安全的含义及主要工作理解网络安全域划分应考虑的主要因素理解IP地址分配的方法理解VLAN划分的作用与策略理解路由交换设备安全配置常见的要求理解网络边界访问控制策略的类型理解网络冗余配置应考虑的因素 94 网络架构安全的内容 合理划分网络安全区域规划网络IP地址设计VLAN安全配置路由交换设备网络边界访问控制策略网络冗余配置 95 网络安全域划分的目的与方法 定义安全域是遵守相同安全策略的用户和系统的集合安全域划分的目的把大规模负责系统安全问题化解为更小区域的安全保护问题网络抗渗透的有效防护方式 安全域边界是灾难发生时的抑制点安全域的划分方法按信息资产划分按业务类型划分按地域划分按组织架构划分 96 同级别安全域同级别安全域之间的边界 同级别安全域之间的安全防护主要是安全隔离和可信互访不同级别安全域不同级别安全域之间的边界 实际设计实施时又分为高等级安全域和低等级安全域的边界和防护远程连接用户远程连接的用户 对于远程接入用户通常采用VPN结合用户认证授权的方式进行边界防护 同级别安全域之间的边界 远程接入边界的安全 网络安全域防护 97 IP地址规划 据IP编址特点 为所设计的网络中的节点 网络设备分配合适的IP地址应与网络层次规划 路由协议规划 流量规划等结合起来考虑IP地址规划应采用自顶向下的方法 98 IP地址分配的方式 静态地址分配给网络中每台计算机 网络设备分配一个固定的 静态不变的IP地址提供网络服务的网络设备 如WEB服务器 邮件服务器 FTP服务器等服务器 一般为其分配静态IP地址动态地址分配在计算机连接到网路时 每次为其临时分配一个IP地址NAT地址分配将私网地址和公网地址转换使用 99 VLAN设计 将网内设备的逻辑地划分成一个个网段从而实现虚拟工作组通过VLAN隔离技术 可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组安全作用建立VLAN之间的访问机制 阻止蠕虫和恶意病毒的广泛传播建立VLAN区域安全和资源保护 将受限制的应用程序和资源置于更为安全的VLAN中 100 VLAN划分方法 一个交换机上可以划分出多个VLAN多个交换机并在一起共同划分出若干个VLAN某些计算机可以同时处于多个VLAN中 101 路由交换设备的安全配置 交换机安全配置要点安装最新版本的操作系统 定期更新交换机操作系统补丁关闭空闲的物理端口带外管理交换机明确禁止未经授权的访问配置必要的网路服务 关闭不必要的网络服务打开日志功能 并且将日志文件专门放到一台安全的日志主机上对交换机配置文件进行脱机安全备份 并且限制对配置文件的访问 102 路由器的安全配置要点 在路由器上安装最新版本的操作系统 定期更新对应的操作系统补丁防止欺骗性路由更新 配置路由协议鉴别路由器的配置保持下线备份 对它的访问进行限制明确禁止未经授权的访问防止网络数据窃听 适当部署加密保护技术禁用不需要的服务和组件 禁用有风险的接口服务打开日志功能 配置日志服务器进行日志收集和分析 103 网络边界的概