网络安全整体项目解决课件

1、网络安全整体解决方案神州数码DCN产品规划部王景辉网络安全建设原则网络安全体系结构P2DR模型网络安全技术不同行业中应用的安全技术主要内容网络安全的建设原则需求、风险、代价平衡的原则综合性、整体性原则一致性原则易操作性原则适应性、灵活性原则多重保护原则可评价性原则安全体系结构可用性审计管理不可抵赖数据完整数据保密访问控制身份鉴别应用层表示层会话层传输层网络层链路层物理层信息处理单元通信网络三维安全体系结构框架物理环境安全管理结构层次安全特性系统单元P2DR模型的组成部分 Protection（保护） Detection（检测） Response（响应） Policy（安全策略）P2DR模型的应

2、用MPDRR模型PMRRDManagement 安全管理Protect 安全保护Reaction安全响应Recovery安全恢复安全模型MPDRR访问控制机制入侵检测机制安全响应机制备份与恢复机制网络系统现状潜在的安全风险安全需求与目标安全体系安全解决方案分析后得出提出依照风险制定出进行安全集成 / 应用开发安全服务安全方案设计建立相应的安全风险分析物理层安全风险分析网络层安全风险分析应用层安全风险分析管理安全风险分析物理层安全风险网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。它是整个网络系统安全的前提。如：设备被盗、被毁坏链路老化或被有意

3、或者无意的破坏因电子辐射造成信息泄露设备意外故障、停电地震、火灾、水灾等自然灾害网络层安全风险分析数据传输安全网络边界安全网络设备安全数据传输安全由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威胁，同时局域网络内部也存在着内部攻击行为，其中包括登录通行字和一些敏感信息，可能被侵袭者搭线窃取和篡改，造成泄密。 由于目前尚无安全的数据库及个人终端安全保护措施，还不能抵御来自网络上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击，都将造成十分严重的影响和损失。 网络边界安全严格的说网络上的任何一个节点，其它所有网络节点都是不可信任域，都可能对

4、该系统造成一定的安全威胁。 网络设备的安全网络设备可能存在系统漏洞网络设备可能存错误的配置网络设备的安全风险以CISCO为例说明：对于网络设备本身访问认证的攻击对于网络设备运行的专有操作系统攻击对于网络设备的拒绝服务攻击不必要的IOS服务或潜在的安全问题Multiple Vendor SNMP World Writeable Community Vulnerability:对于已知的缺省SNMP社区，任何用户都可以进行写入或读取操作。Cisco IOS HTTP % Vulnerability:当正在利用Web接口时，如果在普通的URL上加上特定的字符串时，将陷入DoS状态。Cisco Rou

5、ter Online Help Vulnerability:在线帮助中显示不应泄漏的信息。系统层安全风险分析操作系统安全漏洞数据库系统安全漏洞操作系统(如Windows 2000 server/professional，Windows NT/Workstation，Windows ME，Windows 95/98、UNIX)、服务器(如DOMINO)、数据库(如SYBASE)等产品可能会因为设计、编码的原因存在各种各样的安全漏洞(有已知的、未知的)，还可能留有隐蔽通道或后门。操作系统(如NT、UNIX)、服务器(如DOMINO)、数据库(如SQL、SYBASE、ORACLE)等商用产品本身安全

6、级别较低。操作人员对系统功能、系统服务、数据库管理系统和Web服务器等的误操作或者配置，不可避免会给信息网系统带来一定的安全风险。网络管理人员和用户的终端极易感染病毒（如外来文件的拷贝，盗版软件，从外部站点下载的文件或应用软件的非法安装等），而一旦感染病毒，就有可能造成整个系统感染病毒。电子邮件系统的邮件收发，极易感染恶意病毒程序。病毒可肆意进行删除、篡改和拷贝操作，从而导致巨大的危害。 应用层安全风险身份认证漏洞DNS服务威胁WWW服务漏洞电子邮件系统漏洞身份认证漏洞网络服务系统登录和主机登录使用的是静态口令，口令在一定时间内是不变的，且在数据库中有存储记录，可重复使用。这样非法用户通过网络

7、窃听，非法数据库访问，穷举攻击，重放攻击等手段很容易得到这种静态口令，然后，利用口令，可对业务系统和OA系统中的资源非法访问和越权操作。DNS服务威胁Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。但是，域名服务通常为hacker提供了入侵网络的有用信息，如服务器的IP、操作系统信息、推导出可能的网络结构等。例如，新发现的针对BIND-DNS实现的安全漏洞也开始发现，而绝大多数的域名系统均存在类似的问题。如由于DNS查询使用无连接的UDP协议，利用可预测的查询ID可欺骗域名服务器给出错误的主机名-IP对应关系。 WWW服务漏

8、洞Web Server经常成为Internet用户访问企业内部资源的通道之一，如Web server通过中间件访问主机系统，通过数据库连接部件访问数据库，利用CGI访问本地文件系统或网络系统中其它资源。但Web服务器越来越复杂，其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板，我们需要给予更多的关心。电子邮件系统漏洞电子邮件为网络系统用户提供电子邮件应用。内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些恶意程序（如，特洛伊木马、蠕虫等）、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者

9、提供机会，给系统带来不安全因至素。 安全管理再安全的网络设备也离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络，更是如此。因此我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。OSI七层参考模型物理层安全技术网络层安全技术应用层安全技术系统层安全技术安全管理物理层安全技术GAP技术（物理隔离）物理设备的冗余和备份防电磁辐射、抗静电等等物理隔离技术双机双网双硬盘隔离卡单硬盘隔离卡安全网闸网络层安全技术防火墙技术VPN技术网络入侵检测技术网络设备的安全性增强技术防火墙分类ApplicationPresentat

10、ionSessionTransportNetworkData LinkPhysicalApplication Layer Gateway (Proxy)Application LevelPacket FilteringNetwork LevelStateful InspectionBefore Network LevelPacket Filtering（包过滤防火墙的优点）ProsInexpensiveApplication TransparencyQuicker than application layer gatewaysApplicationPresentationSessionTran

11、sportNetworkData LinkPhysicalPacket Filtering（包过滤防火墙的缺点）ConsLow SecurityLimited access to packet headerLimited screening above network layerLimited ability to manipulate informationDifficult to configureInadequate loggingSubject to IP SpoofingApplicationPresentationSessionTransportNetworkData LinkPh

12、ysicalApplication Layer Gateway的优点ProsGood SecurityFull application-layer awarenessApplicationPresentationSessionTransportNetworkData LinkPhysicalApplication Layer Gateway的缺点ConsState information partial.Poor ScalabilityDetrimental PerformanceProxies cannot provide for UDPMost proxies non-transparen

13、tVulnerable to OSOverlooks lower level infoExpensive performance costApplicationPresentationSessionTransportNetworkData LinkPhysicalStateful Inspection的特点Good SecurityFull Application-layer awarenessHigh PerformanceScalabilityExtensibleTransparencyApplicationPresentationSessionTransportNetworkData L

14、inkPhysical防火墙功能访问控制功能NAT功能PAT功能流量管理功能地址绑定双机热备和负载均衡支持入侵检测支持动态路由支持身份认证等等动态防火墙安全模型Policy网络访问控制策略的制订Protection传统防火墙，可以定义防火墙允许流过的服务数据，定义基本的访问控制限制Detection 实时入侵检测系统，可以动态地发现那些透过防火墙的入侵行为Response根据发现的安全问题，在统一策略的指导下，动态地调整防火墙动态防火墙安全模型示例Host C 入侵检测 控制台 Host B Host A 受保护网络IDS主机黑客发起攻击验证报文并采取措施识别出攻击行为阻断连接或者报警等Pro

15、tectionDetectionResponsePolicyInternetInternet返回Intranet 省局各地市局各电厂移动办公用户防火墙配置方案入侵检测技术 Intrusion Detection System入侵的定义 破坏系统资源可用性、完整性和保密性的行为入侵检测系统的定义 检测侵入系统或非法使用系统资源行为的系统机理：基于某种策略或规则 推理的方法 知识库方法 模式匹配方法 自学习的方法响应机制：日志、报警、通讯阻断、事后审计 IDS 的 分 类按数据源：基于主机IDS：数据源来自单个主机-文件系统、帐户系统、进程分析分布式IDS：多主机系统基于网络IDS：网络数据-数据

16、包分析和嗅探器技术按数据处理方式： 单包分析 与 上下文分析按模型：异常（anomaly)检测模型-偏离正常的行为检测违规 (misuse)检测模型-具有入侵特征或利用系统漏洞的行为检测IDS 具备的攻击检测能力按服务划分监视E-Mail攻击监视Web攻击监视远程过程攻击监视NFS攻击监视FTP攻击监视Telnet攻击监视非授权网络传输按技术途径划分监视口令攻击监视扫描攻击监视特洛伊攻击监视拒绝服务攻击监视防火墙攻击监视daemon攻击监视非授权网络访问网络入侵检测示意图VPN概述 什么是VPN VPN，英文全称是virtual Private Network，中文名称一般称为虚拟专用网或虚拟

17、私有网。它指的是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。VPN功能数据机密性保护数据完整性保护数据源身份鉴别数字签名数据机密性保护拨号服务器PSTN Internet 区域Internet边界路由器内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线SSN区域WWW Mail DNS密文传输明文传输明文传输数据完整性保护内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线

18、原始数据包对原始数据包进行Hash加密后的数据包摘要Hash摘要对原始数据包进行加密加密后的数据包加密加密后的数据包摘要加密后的数据包摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较，验证数据的完整性内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线原始数据包对原始数据包进行HashHash摘要加密摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较私钥原始数据包DSSDSS将数字签名附在原始包后面供对方验证签名得到数字签名原始数据包DSS原始数据包DSSDSS解密相等吗？验证通过数据源身份认证VPN概述 VPN的应用示意图 VPN网关Internet

19、路由器路由器VPN网关受保护子网受保护子网Windows客户端控制中心VPN移动客户VPN的组成VPN网关VPN客户端软件集中管理软件或控制中心网络设备的安全性增强从全网角度考虑，在保证全网路由畅通的基础之上，通过安全配置路由器、交换机等网络设备改进整个网络的安全性。 以路由器为例说明Global服务配置-通过考察骨干节点上的骨干路由器配置情况，结合实际需求，打开某些必要的服务或是关闭一些不必要的服务。例如：no service fingerno service pad等Interface服务配置-根据制定好的基本配置方案对路由器进行配置检查，删去某些不必要ip特性，诸如：no ip redi

20、rectsno ip drected-broadcastCDP配置根据ISP网络的特点，以及制定好的方案，配置路由器的CDP。Login Banner配置修改login banner，隐藏路由器系统真实信息。Enable secret配置使用enable secret来加密secret口令。等等系统层的安全技术操作系统的安全性增强技术数据库系统的安全性增强技术基于主机的入侵检测技术漏洞扫描技术（针对操作系统和数据库）基于主机的入侵检测基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查、非法访问的闯入等，并且提供对典型应用的监视，如Web服务器应用。主机入侵检测基于

21、这样一个原理：计算机系统上的攻击和正常的系统活动有着显著的不同。一个系统入侵者所表现出的行为模式不同于合法用户的正常行为。入侵检测的工作就是通过分析现有系统提供的众多信息来检测那些异常模式。基于主机的入侵检测示意图漏洞扫描技术从原理上讲，网络漏洞检测就是模拟攻击者的角度、攻击的方法和手段并结合漏洞知识库进行扫描和检测，也就是说网络漏洞检测是通过扫描工具发出模拟攻击检测包，然后侦听检测目标响应来收集信息和判断网络中是否存在漏洞。检测范围包括所有的网络系统设备：服务器、防火墙、交换机、路由器等网络中所有设备及主机。漏洞扫描示意图漏洞扫描产品的功能对所有网络中的附属设备进行扫描，检查来自通讯、服务、

22、防火墙、WEB应用等的漏洞；其扫描对网络不会做任何修改和造成任何危害；生成针对企业决策人、部门管理人员以及技术人员等不同管理对象的报告，报告中详细说明了每个漏洞的危害及补救办法；网络的漏洞扫描可以按安全级别实施，评估安全级别越高，达到的安全程度越高。应用层安全技术身份认证技术防病毒技术应用服务器的安全增强技术PKI的引入PKI组成框图PKI应用证书机构CA注册机构RA证书发布系统PKI策略软硬件系统基础服务实体典型CA框架图一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。 CA系统构成CAServer认证中心CA本地数据库服务器CA证书库（目录服

23、务器）（可选件）RAServer注册中心（可选件）RA本地数据库服务器LRA（Local RA）注册终端（可选件）CATerminal个人管理器（可选件） CABrowser公众申请/下载服务器（可选件）CA主要功能根CA管理证书管理密钥管理CRL管理目录管理审计管理 证书的申请、签发流程HOMERA/CAAdmin新用户目录服务器CA身份证明策略规定的方法用户申请创建用户DNLDAP参考号授权码参考号和授权码证书下载流程最终用户CAAdminCALDAP填写得到的Ref#和AuthCode并通过验证用户本地产生密钥对用户将公钥传送给CACA签证将用户证书发布到目录服务器CA下传用户证书和根CA证书HOMECATerminalCABrowser防病毒产品组成网关防毒FTP/HTTP/SMTP服务器防病毒邮件或群件防毒EXCHANGESendmailLotus Notes客户机防病毒病毒控制中心互联网proxyftp serverwww serverMail server病毒控制中心防火墙防毒产品构架服务器防毒：ServerProtect Information Server服务器防毒：ServerProtectNormal Server 群件防