网络安全设备应用与实践ppt课件

网络安全设备,应用与实践,穆显亮,2,课程内容,3,知识子域：防火墙技术,理解防火墙的作用理解包过滤技术、状态检测技术和应用代理技术的原理和优缺点掌握防火墙选择和使用中的基本注意事项,4,防火墙技术,什么是防火墙？为什么需要防火墙?防火墙的功能防火墙的典型部署防火墙的分类防火墙的工作模式防火墙的相关技术防火墙的弱点和局限性选择防火墙需考虑的要素防火墙使用中的注意事项,5,防火墙技术-什么是防火墙？,在网络间（内部/外部网络、不同信息级别）提供安全连接的设备；用于实现和执行网络之间通信的安全策略,Internet,公司网站,6,防火墙技术为什么需要防火墙?,阻止来自不可信网络的攻击保护关键数据的完整性维护客户对企业或机构的信任,7,防火墙技术-防火墙的功能,控制进出网络的信息流向和数据包，过滤不安全的服务；隐藏内部IP地址及网络结构的细节；提供使用和流量的日志和审计功能；部署NAT（NetworkAddressTranslation，网络地址转换）；逻辑隔离内部网段，对外提供WEB和FTP；实现集中的安全管理；提供VPN功能。,8,这是最为普通的企业环境防火墙部署案例。利用防火墙将网络分为三个安全区域，企业内部网络，外部网络和服务器专网(DMZ区)。,防火墙技术：防火墙的典型部署,9,防火墙技术-防火墙的分类,防火墙从实现方式上来分，可分为硬件防火墙和软件防火墙两类。硬件防火墙通常部署在内、外部网络之间，通过软、硬件结合的方式来达到隔离内、外部网络的目的；软件防火墙可以在一个独立的机器上运行，通过一定的规则来达到限制非法用户访问的目的。从技术的发展阶段来分看，防火墙可分为包过滤、应用代理和状态检测等几大类型。,包过滤,状态检测,应用代理,10,防火墙技术-防火墙的相关技术,包过滤技术应用代理技术状态检测技术,11,防火墙的相关技术-包过滤（Packetfilter）,在网络层检查数据包简单的拒绝或接受策略模型无法识别更高层协议,网络层,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,12,防火墙的相关技术-包过滤（Packetfilter）,包过滤防火墙具有以下特点：优点:只对数据包的IP地址、TCP/UDP协议和端口进行分析，规则简单，处理速度较快易于配置对用户透明-用户访问时不需要提供额外的密码或使用特殊的命令缺点：检查和过滤器只在网络层-不能识别应用层协议或维持连接状态安全性薄弱不能防止IP欺骗等静态策略可能成为漏洞,防火墙的相关技术应用网关或代理（ApplicationGatewayorProxy）,在应用层检查数据包能够对应用或内容进行过滤例如：禁止FTP的“put”命令,14,防火墙的相关技术应用网关或代理（ApplicationGatewayorProxy）,应用代理或网关防火墙具有以下特点：优点：可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强提供良好的安全性-所有数据的有效负载都在应用层进行检查缺点：支持的应用数量有限，无法很好的支持新的应用、技术和协议对用户不透明度性能表现欠佳,防火墙的相关技术-状态检测（StatefulInspection）,内置tcp/ip协议状态机，创建状态表用于维护连接上下文，检查每个会话连接的合法性（是否符合tcp/ip通信原理和特征）。能够识别和监听常用动态端口应用的协商过程，从而自动为动态应用建立通过防火墙的安全连接。,16,防火墙的相关技术-状态检测（StatefulInspection）,状态检测防火墙具有以下特点：性能大大提高支持大量应用在内核级实现检测过滤在所有接口对进/出的数据包进行状态检查支持应用层协议检查在动态状态表中存储连接状态检查对外的连接并预先计算出将返回的连接,17,防火墙技术-防火墙的工作模式,路由模式透明模式混合模式,18,防火墙技术-防火墙的工作模式,路由模式,内部网络/24GW:54,外部网络/24GW:,防火墙,路由器,Internet,Intranet,/24,54/24,19,防火墙技术-防火墙的工作模式,透明模式,内部网络/24GW:54,外部网络,路由器,Internet,Intranet,54/24,20,防火墙技术-防火墙的工作模式,混合模式工作于透明模式的防火墙可以实现透明接入，工作于路由模式的防火墙可以实现不同网段的连接。但路由模式的优点和透明模式的优点是不能同时并存的。所以，大多数的防火墙一般同时保留了透明模式和路由模式，根据用户网络情况及用户需求，在使用时由用户进行选择。,21,防火墙技术-弱点和局限性,防火墙防外不防内；防火墙难于管理和配置，易造成安全漏洞；很难为用户在防火墙内外提供一致的安全策略；防火墙只实现了粗粒度的访问控制；对于某些攻击防火墙也无能为力。,22,防火墙技术选择防火墙需考虑的要素,安全性高效性适用性可管理性完善及时的售后服务体系,23,防火墙技术防火墙使用中的注意事项,制定符合实际情况的安全策略，并定期更新；取消危险的系统调用，关闭多余的端口；限制命令的执行权限；取消IP转发功能；取消动态路由功能；制定严格的远程管理措施等等。,24,知识子域：入侵检测技术,理解审计和监控的基本概念理解入侵检测基本概念和工作原理理解入侵检测的分类掌握入侵检测系统选择和使用中的基本注意事项,入侵检测技术,25,什么是入侵？入侵的分类针对入侵构建防御系统入侵检测系统的作用入侵检测系统的功能入侵检测系统的典型部署入侵检测模型入侵检测系统的分类异常检测特征检测,入侵检测技术,26,主机入侵检测系统网络入侵检测系统网络节点入侵检测系统入侵的响应方式部署中需注意的问题在应用中的常见问题选择IDS需考虑的要素,入侵检测技术-什么是入侵？,27,入侵是指在非法或未经授权的情况下，试图存取或处理系统或网络中的信息，或破坏系统或网络正常运行，致使系统或网络的可用性、机密性和完整性受到破坏的故意行为。,入侵检测技术-入侵的分类,28,攻击的类型：网络嗅探利用设计缺陷实现缺陷拒绝服务,攻击针对以下方面：网络操作系统应用,入侵检测技术针对入侵构建防御系统,29,预防入侵检测入侵对入侵做出响应,入侵检测技术针对入侵构建防御系统,30,预防入侵非常重要的第一步；阻止某些不良企图，例如防火墙无法检查和控制的；但是攻击仍然发生：网络、操作系统和应用在设计和实现上的缺陷；隧道技术；来自网络内部的攻击。,入侵检测技术针对入侵构建防御系统,31,检测入侵采取预防措施阻止某些攻击;是否能够实时检测到剩余的攻击?监控各种恶意行为：网络流量;主机中的行为;实时分析大量的审计数据，来识别入侵或误用。,入侵检测技术针对入侵构建防御系统,32,对入侵做出响应实时响应；识别入侵并做出响应；做出反应以减小入侵造成的响应，并尽快恢复服务。,入侵检测技术-入侵检测系统的作用,33,克服某些传统的防御机制的限制；在“深度防御”的基础上成为安全框架的一部分；在整个组织的网络中能够识别入侵或违反安全策略的行为，并能够做出回应。,34,入侵检测技术-入侵检测系统的功能,自动检测入侵行为；监视网络流量（NetworkIDS)和主机(HostIDS)中的操作；分析入侵行为：基于特征基本异常按预定的规则做出响应：阻止指定的行为。,入侵检测技术-入侵检测系统的典型部署,35,可信网络,不可信的网络&服务,防火墙,Internet,Intranet,以旁路的方式接入到网络中，且部署在需要的关键位置。,HIDS,NIDS,NIDS,入侵检测技术-入侵检测系统的分类,36,按检测方法异常检测特征检测按检测范围基于主机基于网络基于网络节点,入侵检测技术异常检测,37,设定“正常”的行为模式；假设所有的入侵行为是异常的；基于系统和基于用户的异常；优点：可检测未知的攻击；自适应、自学习功能；不需要先验知识。关键问题：“正常”行为特征的选择；统计算法、统计点的选取等。,入侵检测技术异常检测,38,使用的检测方法基于规则统计分析神经网络数据来源审计日志或网络流量特殊用途的数据收集机制键盘击键监控,入侵检测技术特征检测,39,建立入侵行为模型(攻击特征)；假设可以识别和表示所有可能的特征；基于系统的和基于用户；优点:准确率高；算法简单。关键问题：有所有的攻击特征，建立完备的特征库；特征库要不断更新；无法检测新的入侵。,入侵检测技术特征检测,40,使用的检测方法基于规则模式匹配状态转换分析神经网络数据来源审计日志或网络流量特殊用途的数据收集机制,入侵检测技术主机入侵检测系统,41,基于主机的入侵检测系统是以代理软件的形式安装在每台主机或服务器上，以监测主机上的各种活动；代理软件实现对入侵的检测分析；由代理软件向统一的管理/策略服务器发送日志和告警信息。,入侵检测技术主机入侵检测系统,42,主机入侵检测系统的优点：在长期监控谁访问什么可以将问题映射到一个具体的用户ID系统可以跟踪滥用行为的变化适用于加密环境可以运行在交换环境中监测分布在多台主机上的负载，并只将有关数据上报中央控制台,入侵检测技术主机入侵检测系统,43,主机入侵检测系统的缺点：无法监测网络活动；审计机制的运行增加了系统负载；审计记录会占用大量的存储空间；由于操作系统的漏洞可能破坏代理软件的有效性；不同类型的操作系统需要不同的代理软件；升级的问题；更高的部署和维护成本。,入侵检测技术网络入侵检测系统,44,以混杂模式接入网络；感应器可部署在网络的关键位置；将日志/告警信息发送至位于企业防火墙内部的服务器。,入侵检测技术网络入侵检测系统,45,网络入侵检测系统的优点：不需重新配置或重定向日志机制即可快速获取信息；其部署不影响现有的网络架构或数据源；实时监视与检测网络攻击或误用；与操作系统无关；不会增加系统开销。,入侵检测技术网络入侵检测系统,46,网络入侵检测系统的缺点：无法分析加密的数据；从网络流量可以推断发生了什么，但不能判断结果对全交换网络需要配置交换机端口镜像；对于带宽的要求较高。,入侵检测技术网络节点入侵检测系统,47,安装在网络节点的主机中；结合了NIDS和HIDS的技术；适合于高速交换环境和加密环境。,入侵检测技术入侵的响应方式,48,IDS控制台显示告警信息；通过电子邮件向管理员发送告警信息；根据预先设定的规则阻断连接；IDS自身阻断与防火墙联动采取事件归并，以确保响应机制不被入侵者利用，导致拒绝服务。,入侵检测技术部署中需注意的问题,49,首先在企业中有效地进行IDS的部署，需要大量的管理机制为后盾；IDS必须被广泛部署在的关键位置（不仅仅是互联网连接），才能获得最大的利益；特征库是否完整、准确对于IDS的检测能力具有决定性的影响；感应器的优化是非常重要的，以确保能够准确快速的产生相关告警。,入侵检测技术在应用中的常见问题,50,需要大量的资源来配置、操作和管理；分布式的感应器会产生大量的信息：当告警信息的汇集加剧；在特定情况下，许多告警可能无法与入侵行为相关联；需要大量的人力介入，尤其是在响应方面。管理控制台的安全性问题；感应器与控制台通信的安全性问题。,入侵检测技术选择IDS需考虑的要素,51,如何评价一款优秀的入侵检测系统？准确性（Accuracy）-误报率处理性能（Performance）完备性（Completeness）-漏报率容错性（FaultTolerance）IDS自身防御攻击的能力及时性（Timeliness）数据源分析的速度,52,知识子域：其他网络安全技术,了解安全隔离与信息交换系统（网闸）、入侵防御系统（IPS）、安全管理平台（SOC）、统一威胁管理系统（UTM）、网络准入控制（NAC）等常见网络安全技术产品的概念和作用,53,其他网络安全技术,入侵防御系统（IPS）安全隔离与信息交换系统（网闸）安全管理平台（Soc）统一威胁管理系统（UTM）网络准入控制（NAC）,其他网络安全技术-入侵防御系统（IPS）,54,入侵防御系统的定义入侵防御系统的功能入侵防御系统的工作原理入侵防御系统的的典型部署IPS与IDS的区别,其他网络安全技术-入侵防御系统,55,什么是入侵防御系统IPS是一种集入侵检测和防御于一体的安全产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。简单地理解，可认为IPS就是防火墙加上入侵检测系统。,其他网络安全技术-入侵防御系统的功能,56,识别对网络和主机的恶意攻击，并实时进行阻断；向管理控制台发送日志信息；集成病毒过滤、带宽管理和URL过滤等功能；,其他网络安全技术-入侵防御系统的工作原理,57,IPS采取主动式的防御机制，以透明模式串联于网络中，能够实时阻断攻击；部署在网络关键点上；过滤阻断的是攻击包而非攻击源。采用多种检测技术，准确度高：特征分析；协议异常分析；行为异常分析。采用硬件加速技术，处理性能高，不影响网络的正常运行。,其他网络安全技术-入侵防御系统的典型部署,58,IPS的典型部署方式为串联在网络中,可信网络,不可信的网络&服务,Internet,Intranet,IPS,其他网络安全技术-IPS与IDS的区别,59,IPS采用In-line的透明模式接入网络，IDS并联在网络中，接入交换机的接口需要做镜像；IDS是一种检测技术，而IPS是一种阻断技术，只不过后者阻断攻击的依据是检测；,防火墙的局限性,关于防火墙防火墙不能安全过滤应用层的非法攻击，如SQL注入防火墙对不通过它的连接无能为力，如内网攻击等防火墙采用静态安全策略技术，无法动态防御新的非法攻动机转变，安全事件无处不在人，安全意识薄弱漏洞，与日俱增入侵教程，随处可见黑客工具，唾手可得以经济利益为目的的地下黑客产业链,IDS系统的缺陷旁路部署：缺乏及时、有效的阻断功能响应时间：NIDS响应可能滞后于攻性能：置于混杂模式的网卡数据报文捕获和转发能力受限防火墙互动方案的不足缺乏统一、认可的标准防火墙响应NIDS阻断会话请求前，攻击可能已经发生,旁路监听的IDS系统,AttackTime,DetectTime,ResponseTime,NIDS,安全：DetectTime+ResponseTimeAttackTime,从IDS到IPS,入侵保护系统IPS,入侵检测系统IDS,IDS,IPS,防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码,IDS由于旁路部署，不能第一时间阻断所有攻击，亡羊补牢，侧重安全状态监控,IPS在线部署，主动防御，实时阻断攻击,其他网络安全技术-统一威胁管理系统（UTM）,63,什么是统一威胁管理系统（UTM）统一威胁管理系统的技术架构统一威胁管理系统的功能统一威胁管理系统的优点统一威胁管理系统的缺点,其他网络安全技术-什么是统一威胁管理系统（UTM）,64,UTM（UnitedThreatManagement）意为统一威胁管理，是在2004年9月由IDC提出的信息安全概念。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中，该概念引起了业界的广泛重视，并推动了以整合式安全设备为代表的市场细分的诞生。由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。,其他网络安全技术-统一威胁管理系统的技术架构,65,完全性内容保护，简称CPP，CCP提供了对OSI网络模型所有层次上网络威胁的实时保护，这种方法比防火墙状态检测和深度包检测等技术更加可靠；ASIC加速技术，ASIC是被广泛应用于性能敏感平台的一种处理器技术，在UTM安全产品中ASIC的应用是提升整体性能的关键；采用多核技术，利用多核心平台处理计算任务的并行化以及攻击防御任务时将更加快速；专有的操作系统OS，采用专业的操作系统可以使各种任务的处理时间达到最小，从而给用户提供最好的实时反馈，有效地实现防病毒、防火墙、VPN、反垃圾邮件等安全功能的并行处理；紧凑型模式识别语言，简称CPRL，CPRL智能技术是为内容防护中大量计算程式所需求的加速而设计的。动态威胁防护系统，简称DTPS，它在传统模式检测技术中结合了未知威胁处理的防御体系。,其他网络安全技术-统一威胁管理系统的功能,66,UTM集多功能于一身：传统的防火墙功能；入侵防御（IPS）功能；防病毒功能；端到端的IPSecVPN功能；动态路由功能；内容过滤功能。,其他网络安全技术-统一威胁管理系统的优点,67,整合所带来的成本降低降低信息安全工作强度降低技术复杂度,其他网络安全技术-统一威胁管理系统的缺点,68,网关集中防御对内部安全防护不足过度集成带来的风险性能和稳定性,69,其他网络安全技术-安全隔离与信息交换系统（网闸）,什么是网闸？网闸的组成部件网闸的工作原理网闸与防火墙的区别网闸的典型部署,其他网络安全技术-什么是网闸？,70,网闸是在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。在信息摆渡的过程中内外网（上下游）从未发生物理连接，所以“网闸产品”必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。网闸主要用于在两个物理隔离的网络之间进行安全的数据交换。,其他网络安全技术-网闸的组成部件,71,外部处理单元内部处理单元隔离硬件,其他网络安全技术-网闸的工作原理,72,网闸的工作原理是：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。,其他网络安全技术-网闸与防火墙的区别,73,主要有以下几点不同：网闸采用双主机系统，内端机与需要保护的内部网络连接，外端机与外网连接。这种双系统模式彻底将内网保护起来，即使外网被黑客攻击，甚至瘫痪，也无法对内网造成伤害。防火墙是单主机系统；网闸采用自身定义的私有通讯协议，避免了通用协议存在的漏洞。防火墙采用通用通讯协议即TCP/IP协议；网闸采用专用硬件控制技术保证内外网之间没有实时连接。而防火墙必须保证实时连接；,其他网络安全技术-网闸的典型部署,74,可信网络,不可信的网络,网闸,其他网络安全技术-安全管理平台（SOC）,75,SOC的概念安全管理平台（SOC）的定义SOC产品的功能安全管理平台国内外发展现状,其他网络安全技术-SOC的概念,76,概念SOC（SecurityOperationsCenter）是一个外来词。而在国外，SOC这个词则来自于NOC（NetworkOperationCenter，即网络运行中心）。NOC强调对客户网络进行集中化、全方位的监控、分析与响应，实现体系化的网络运行维护。维基百科也只有基本的介绍：SOC（SecurityOperationsCenter）是组织中的一个集中单元，在整个组织和技术的高度处理各类安全问题。,其他网络安全技术-安全管理平台的定义,77,一般地，SOC被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还有运维（运营），SOC是技术、流程和人的有机结合。,其他网络安全技术-SOC产品的功能,78,收集各种防火墙、IDS、IPS等网络设备的信息；对安全事件进行收集、过滤、合并和查询；分析可能存在的风险，发出告警信息；,其他网络安全技术-安全管理平台国内外发展现状,79,国外SOC产品：国外鲜见以SOC命名的产品，SOC更多地是与服务挂钩的。国外产品厂商使用了SIEM（SecurityInformationandEventManagement，安全信息与事件管理）这个词来代表SOC产品，以示产品与服务的区别。主要的SIEM厂商有Cisco、IBM、Symantec、Novell等等；SOC服务：SOC服务是指MSSP（ManagedSecurityServiceProvider，可管理安全服务提供商）以SOC为技术支撑为客户提供安全服务。这里，客户感受到的只是安全服务，而非SOC本身。IBMInternetsecuritysystems、AT&T、Symantec、VeriSign等等。,其他网络安全技术-安全管理平台国内外发展现状,80,国内一般把SOC产品称为安全管理平台。狭义上，安全管理平台重点是指对安全设备的集中管理，包括集中的运行状态监控、事件采集分析、安全策略下发。广义的安全管理平台则不仅针对安全设备进行管理，还要针对所有IT资源，甚至是业务系统进行集中的安全管理，包括对IT资源的运行监控、事件采集分析，还包括风险管理与运维等内容。,其他网络安全技术-网络准入控制（NAC）,81,准入控制技术什么叫网络准入控制（NAC）？网络准入控制技术EAPOL技术EAPOU技术网络Plug-in技术三种技术的比较,其他网络安全技术-准入控制技术,82,准入控制技术分为两大类：基于网络的准入控制基于主机的准入控制,其他网络安全技术-什么叫网络准入控制（NAC）？,83,网络准入控制(NetworkAccesscontrol