CISP培训课件网络安全

网络安全版本：3.0发布日期：2014-12-1生效日期：2015-1-1讲师姓名：网络安全版本：3.0课程内容2网络安全知识体知识域网络架构安全知识子域网络架构安全基础网络架构安全设计网络协议安全无线局域网协议安全OSI七层模型及安全架构TCP/IP安全网络安全设备其他网络安全设备防火墙入侵检测系统课程内容2网络安全知识体知识域网络架构安全知识子域网络架构安知识域：网络协议安全知识子域：OSI七层模型及安全架构了解开放系统互联（OSI）模型的七层网络通信结构及通信过程，了解每一层的功能了解OSI安全架构的核心内容：基于8类安全机制提供5类安全服务3知识域：网络协议安全知识子域：OSI七层模型及安全架构3ISO/OSI七层模型结构4物理层网络层传输层会话层表示层应用层数据链路层应用层（高）数据流层7654321ISO/OSI七层模型结构4物理层网络层传输层会话层表示层应第一层：物理层作用定义物理链路的电气、机械、通信规程、功能要求等；电压，数据速率，最大传输距离，物理连接器；线缆，物理介质；将比特流转换成电压；典型物理层设备光纤、双绞线、中继器、集线器等；常见物理层标准（介质与速率）100BaseT,OC-3,OC-12,DS1,DS3,E1,E35数据链路层物理层网络层传输层会话层表示层应用层第一层：物理层作用5数据链路层物理层网络层传输层会话层表示层第二层：数据链路层作用物理寻址，网络拓扑，线路规章等错误检测和通告（但不纠错）将比特聚成帧进行传输流量控制（可选）寻址机制使用数据接收设备的硬件地址（物理地址）寻址（如MAC地址）典型数据链路层设备网卡、网桥和交换机数据链路层协议PPP,HDLC,FR,Ethernet,TokenRing,FDDI6数据链路层物理层网络层传输层会话层表示层应用层第二层：数据链路层作用6数据链路层物理层网络层传输层会话层表第二层：以太网协议标准（两个子层）LLC（LogicalLinkControl）IEEE802.2为上层提供统一接口；使上层独立于下层物理介质；提供流控、排序等服务；MAC（MediaAccessControl）IEEE802.3烧录到网卡ROM；48比特；唯一性；7LLCMAC物理层网络层传输层会话层表示层应用层第二层：以太网协议标准（两个子层）LLC（LogicalL第三层：网络层作用逻辑寻址路径选择寻址机制使用网络层地址进行寻址（如IP地址）网络层典型设备路由器三层交换机8数据链路层物理层网络层传输层会话层表示层应用层第三层：网络层作用8数据链路层物理层网络层传输层会话层表示层第四层：传输层作用提供端到端的数据传输服务建立逻辑连接寻址机制应用程序的界面端口（如端口号）传输层协议TCPUDPSPX9数据链路层物理层网络层传输层会话层表示层应用层第四层：传输层作用9数据链路层物理层网络层传输层会话层表示层第五层：会话层作用不同应用程序的数据隔离会话建立，维持，终止同步服务会话控制（单向或双向）10数据链路层物理层网络层传输层会话层表示层应用层第五层：会话层作用10数据链路层物理层网络层传输层会话层表示第六层：表示层作用数据格式表示协议转换字符转换数据加密/解密数据压缩等表示层数据格式ASCII,MPEG,TIFF,GIF,JPEG11数据链路层物理层网络层传输层会话层表示层应用层第六层：表示层作用11数据链路层物理层网络层传输层会话层表示第七层：应用层作用应用接口网络访问流处理流控错误恢复应用层协议FTP,Telnet,HTTP,SNMP,SMTP,DNS12数据链路层物理层网络层传输层会话层表示层应用层第七层：应用层作用12数据链路层物理层网络层传输层会话层表示分层结构的优点降低复杂性促进标准化工作各层间相互独立，某一层的变化不会影响其他层协议开发模块化简化理解与学习13分层结构的优点降低复杂性13数据封装与分用数据封装应用数据发送时从高层向低层逐层加工后传递数据解封装数据接收时从低层向高层逐层传递14数据封装与分用数据封装14OSI安全体系结构OSI安全体系结构定义了系统应当提供的五类安全服务，以及提供这些服务的八类安全机制；某种安全服务可以通过一种或多种安全机制提供，某种安全机制可用于提供一种或多种安全服务15OSI安全体系结构OSI安全体系结构定义了系统应当提供的五类OSI安全体系结构定义的安全服务五类安全服务鉴别、访问控制、数据机密性、数据完整性、抗抵赖八种安全服务加密、数字签名、访问控制、数据完整性、鉴别流量填充（用于对抗通信流量分析，在加密时才是有效的）路由控制（可以指定路由选择说明，回避某些特定的链路或子网）公证16OSI安全体系结构定义的安全服务五类安全服务16知识域：网络协议安全知识子域：TCP/IP安全了解TCP/IP协议模型及各层典型协议的功能理解基于TCP/IP的典型安全协议了解IPv6的安全特点17知识域：网络协议安全知识子域：TCP/IP安全17OSI模型与TCP/IP协议的对应18物理层网络层传输层会话层表示层应用层数据链路层网络互联层传输层应用层网络接口层OSI模型与TCP/IP协议的对应18物理层网络层传输层会话TCP/IP协议19应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARPTCP/IP协议19应用层传输层网络互联层网络接口层应用协议网络接口层主要协议ARPRARP安全问题损坏：自然灾害、动物破坏、老化、误操作干扰：大功率电器/电源线路/电磁辐射电磁泄漏：传输线路电磁泄漏欺骗：ARP欺骗嗅探：常见二层协议是明文通信的（以太、arp等）拒绝服务：macflooding，arpflooding等20网络接口层主要协议20网络互联层21应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络互联层21应用层传输层网络互联层网络接口层应用协议应用协网络互联层协议核心协议-IP协议IP是TCP/IP协议族中最为核心的协议IP协议的特点不可靠（unreliable）通信无连接（connectionless）通信22版本包头长度服务类型数据包长度标识标记偏移生存期协议类型包头校验和源IP地址目的IP地址可选项用户数据网络互联层协议核心协议-IP协议IP是TCP/IP协议族中最网络互联层安全问题拒绝服务：分片攻击（teardrop）/死亡之ping欺骗：IP源地址欺骗窃听：嗅探伪造：IP数据包伪造23网络互联层安全问题拒绝服务：分片攻击（teardrop）/死传输层24应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP传输层24应用层传输层网络互联层网络接口层应用协议应用协议应传输层协议-TCP协议传输控制协议：提供面向连接的、可靠的字节流服务提供可靠性服务数据包分块、发送接收确认、超时重发、数据校验、数据包排序、控制流量……2516源端口号16位目的端口号32位序号32位确认序号偏移量保留位UAPRSF16窗口指针16位校验和16位紧急指针数据传输层协议-TCP协议传输控制协议：提供面向连接的、可靠的字传输层协议-UDP协议用户数据报协议：提供面向事务的简单不可靠信息传送服务特点无连接、不可靠协议简单、占用资源少，效率高……2616源端口号16位目的端口号16UDP报文长度16位校验和数据传输层协议-UDP协议用户数据报协议：提供面向事务的简单不可传输层安全问题拒绝服务：synflood/udpflood/Smurf欺骗：TCP会话劫持窃听：嗅探伪造：数据包伪造27传输层安全问题拒绝服务：synflood/udpfloo应用层协议应用层协议定义了运行在不同端系统上的应用程序进程如何相互传递报文典型的应用层协议域名解析：DNS电子邮件：SMTP/POP3文件传输：FTP网页浏览：HTTP……28应用层协议应用层协议定义了运行在不同端系统上的应用程序进程如应用层协议安全问题拒绝服务：超长URL链接欺骗：跨站脚本、钓鱼式攻击、cookie欺骗窃听：数据泄漏伪造：应用数据篡改暴力破解：应用认证口令暴力破解等……29应用层协议安全问题拒绝服务：超长URL链接29基于TCP/IP协议簇的安全架构30基于TCP/IP协议簇的安全架构30下一代互联网协议-IPv6IPv6安全特性地址数量大量增加（32->128）报文头部格式简化，路由表简化、处理速度快内置安全特性（IPSec）移动性支持QoS和性能良好扩展性……31下一代互联网协议-IPv6IPv6安全特性31知识域：网络协议安全知识子域：无线局域网协议安全了解无线局域网的基本组成与特点了解WEP、802.11i、WAPI等无线局域网安全协议32知识域：网络协议安全知识子域：无线局域网协议安全32无线局域网网络结构无线局域网构成（802.11x）客户端（station，STA）无线接入点（accessPoint，AP）分布系统（distributionsystem，DS）33分布系统STASTAAPAP无线局域网网络结构无线局域网构成（802.11x）33分无线局域网安全问题安全问题传输信道开放，容易接入认证机制（802.11i之前）开放式认证系统通过易于伪造的SSID识别，无保护、任意接入MAC、IP地址控制易于伪造共享密钥认证（使用WEP进行保护）手动管理密钥存在重大隐患弱密钥问题不能防篡改WEP没有提供抵抗重放攻击的对策34无线局域网安全问题安全问题34案例：中间人攻击注：建议讲师此处给学员做演示或案例讲解，中间人攻击35案例：中间人攻击注：建议讲师此处给学员做演示或案例讲解，中间无线局域网安全协议802.11iWPA（802.11i草案）WPA2(802.11i正式)802.11i运行四阶段发现AP阶段802.11i认证阶段密钥管理阶段安全传输阶段36无线局域网安全协议802.11i36WAPI无线安全协议WAPI的构成WAI，用于用户身份鉴别WPI，用于保护传输安全WAPI的安全优势双向三鉴别（服务器、AP、STA）高强度鉴别加密算法37WAPI无线安全协议WAPI的构成37知识域：网络安全设备知识子域：防火墙理解防火墙的作用、功能及分类理解包过滤技术、状态检测技术和应用代理技术等防火墙主要技术原理掌握防火墙的典型部署方式理解防火墙的局限性38知识域：网络安全设备知识子域：防火墙38控制在网络连接点上建立一个安全控制点，对进出数据进行限制隔离将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护记录对进出数据进行检查，记录相关信息防火墙的作用与功能39安全网域一控制防火墙的作用与功能39安全网域一防火墙的分类按防火墙形态硬件防火墙软件防火墙按技术实现包过滤（透明模式）代理按体系结构分双宿/多宿主机防火墙屏蔽主机防火墙屏蔽子网防火墙其他分类方法40防火墙的分类按防火墙形态40防火墙的实现技术包过滤技术代理网关技术状态检测技术自适应代理技术41防火墙的实现技术包过滤技术41防火墙的实现技术-包过滤实现机制：依据数据包的基本标记来控制数据包网络层地址：IP地址（源地址及目的地址）传输层地址：端口（源端口及目的端口）协议：协议类型42安全网域一防火墙的实现技术-包过滤实现机制：依据数据包的基本标记来控制防火墙的实现技术-包过滤优点:只对数据包的IP地址、TCP/UDP协议和端口进行分析，规则简单，处理速度较快易于配置对用户透明，用户访问时不需要提供额外的密码或使用特殊的命令缺点：检查和过滤器只在网络层，不能识别应用层协议或维持连接状态安全性薄弱，不能防止IP欺骗等43防火墙的实现技术-包过滤优点:43防火墙的实现技术-代理网关每一个内外网络之间的连接都要通过防火墙的介入和转换，加强了控制分类电路级代理应用代理44防火墙的实现技术-代理网关每一个内外网络之间的连接都要通过防防火墙的实现技术-电路级代理建立回路，对数据包进行转发优点能提供NAT，为内部地址管理提供灵活性，隐藏内部网络等适用面广缺点仅简单的在两个连接间转发数据，不能识别数据包的内容45防火墙的实现技术-电路级代理建立回路，对数据包进行转发45防火墙的实现技术-应用代理工作在应用层使用代理技术，对应用层数据包进行检查对应用或内容进行过滤，例如：禁止FTP的“put”命令46防火墙的实现技术-应用代理工作在应用层46防火墙的实现技术-应用代理优点可以检查应用层内容，根据内容进行审核和过滤提供良好的安全性缺点支持的应用数量有限性能表现欠佳47防火墙的实现技术-应用代理优点47防火墙的实现技术-NAT什么是NAT一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT技术设计初衷增加私有组织的可用地址空间解决现有私有网络接入的IP地址编号问题48防火墙的实现技术-NAT什么是NAT48防火墙的实现技术-NATNAT实现方式静态地址转换动态地址转换端口转换49安全网域一000防火墙的实现技术-NATNAT实现方式49NAT的优缺点优点管理方便并且节约IP地址资源隐藏内部IP地址信息可用于实现网络负载均衡缺点外部应用程序却不能方便地与NAT网关后面的应用程序联系。50NAT的优缺点优点50防火墙实现技术--状态检测数据链路层物理层网络层表示层会话层传输层检测引擎应用层动态状态表动态状态表动态状态表在数据链路层和网络层之间对数据包进行检测创建状态表用于维护连接上下文应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层51防火墙实现技术--状态检测数据链路层物理层网络层表示层会话层防火墙实现技术--状态检测状态检测技术的特点安全性高，可根据通信和应用程序状态确定是否允许包的通行性能高，在数据包进入防火墙时就进行识别和判断适应性好对用户、应用程序透明52防火墙实现技术--状态检测状态检测技术的特点52防火墙实现技术-自适应代理技术特点根据用户定义安全规则动态“适应”传输网络数据代理服务可以从应用层转发，也可以从网络层转发高安全要求：则在应用层进行检查明确会话安全细节：则在链路层数据包转发兼有高安全性和高效率53防火墙实现技术-自适应代理技术特点53防火墙部署方式路由模式透明模式混合模式54防火墙部署方式路由模式54防火墙的工作模式-路由模式内部网络/24GW:54外部网络/24GW:防火墙InternetIntranet/2454/2455防火墙的工作模式-路由模式内部网络外部网络防火墙Intern防火墙的工作模式-透明模式56内部网络/24GW:54外部网络路由器InternetIntranet54/24防火墙的工作模式-透明模式56内部网络外部网络路由器Inte防火墙的工作模式-混合模式57内部网络/2454外部网络/24GW:防火墙InternetIntranetIntranet内部网络00/24GW:53路由模式透明模式防火墙的工作模式-混合模式57内部网络外部网络防火墙Inte防火墙的典型部署区域划分：可信网络、不可信网络、DMZ区58可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防火墙的典型部署区域划分：可信网络、不可信网络、DMZ区58防护墙的策略设置没有明确允许的就是禁止先阻止所有数据包需要的给予开放没有明确禁止的就是允许对明确禁止的设置策略59防护墙的策略设置没有明确允许的就是禁止59防火墙的策略设置可信网络可向DMZ区和不可信网络发起连接请求60可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防火墙的策略设置可信网络可向DMZ区和不可信网络发起连接请求防火墙的策略设置DMZ区可接受可信网络和不可信网络的连接请求DMZ区不可向可信网络发起连接请求DMZ区与不可信网络的连接请求根据业务需要确定61可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防火墙的策略设置DMZ区可接受可信网络和不可信网络的连接请求防火墙部署结构防火墙的部署位置可信网络与不可信网络之间不同安全级别网络之间两个需要隔离的区域之间防火墙的部署方式单防火墙（无DMZ）部署方式单防火墙（DMZ）部署方式双防火墙部署方式62防火墙部署结构防火墙的部署位置62单防火墙（无DMZ）部署方式区域划分：可信网络、不可信网络结构简单，易于实施内部网络/24GW:54外部网络/24GW:防火墙InternetIntranet/2454/2463单防火墙（无DMZ）部署方式区域划分：可信网络、不可信网络内单防火墙（DMZ）部署方式区域划分：可信网络、不可信网络、DMZ区提供对外服务安全区域64可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区单防火墙（DMZ）部署方式区域划分：可信网络、不可信网络、D双防火墙的部署方式能提供更为安全的系统结构实施复杂性和费用较高65可信网络不可信的网络防火墙Internet非军事化区防火墙双防火墙的部署方式能提供更为安全的系统结构65可信网络不可信防火墙的不足和局限性难于管理和配置，易造成安全漏洞防外不防内，不能防范恶意的知情者只实现了粗粒度的访问控制很难为用户在防火墙内外提供一致的安全策略不能防范病毒66防火墙的不足和局限性难于管理和配置，易造成安全漏洞66知识域：网络安全设备知识子域：入侵检测系统理解入侵检测系统的作用、功能及分类了解入侵检测系统的主要技术原理掌握入侵检测系统的典型部署方式理解入侵检测系统的局限性67知识域：网络安全设备知识子域：入侵检测系统67入侵检测系统的作用与功能入侵检测系统的作用防火墙的重要补充构建网络安全防御体系重要环节克服传统防御机制的限制入侵检测系统功能监测并分析用户和系统的活动核查系统配置和漏洞对操作系统进行日志管理，并识别违反安全策略的用户活动针对已发现的攻击行为作出适当的反应，如告警、中止进程等68入侵检测系统的作用与功能入侵检测系统的作用68入侵检测系统的分类按入侵检测形态硬件入侵检测软件入侵检测按目标系统的类型网络入侵检测主机入侵检测按系统结构集中式分布式69入侵检测系统的分类按入侵检测形态69入侵检测的技术架构事件产生器：采集和监视被保护系统的数据事件分析器：分析数据，发现危险、异常事件，通知响应单元响应单元：对分析结果作出反应事件数据库：存放各种中间和最终数据70入侵检测的技术架构事件产生器：采集和监视被保护系统的数据7071入侵检测工作过程71入侵检测工作过程数据检测技术误用检测技术建立入侵行为模型(攻击特征)假设可以识别和表示所有可能的特征基于系统和基于用户的误用异常检测技术设定“正常”的行为模式假设所有的入侵行为是异常的基于系统和基于用户的异常72数据检测技术误用检测技术72误用检测73优点准确率高算法简单关键问题有所有的攻击特征，建立完备的特征库特征库要不断更新无法检测新的入侵误用检测73优点异常检测74误报率、漏报率较高优点可检测未知攻击自适应、自学习能力关键问题“正常”行为特征的选择统计算法、统计点的选择异常检测74误报率、漏报率较高优点基于网络的入侵检测系统75入侵检测系统布署基于网络的入侵检测系统75入侵检测系统布署入侵检测系统布署基于主机的入侵检测系统76入侵检测系统布署基于主机的入侵检测系统76入侵检测系统的局限性77对用户知识要求较高，配置、操作和管理使用较为复杂网络发展迅速，对入侵检测系统的处理性能要求越来越高，现有技术难以满足实际需要高虚警率，用户处理的负担重由于警告信息记录的不完整，许多警告信息可能无法与入侵行为相关联，难以得到有用的结果在应对对自身的攻击时，对其他数据的检测也可能会被抑制或受到影响入侵检测系统的局限性77对用户知识要求较高，配置、操作和管理知识域：网络安全设备知识子域：其它网络安全设备了解安全隔离与信息交换系统的原理、特点及适用场景了解入侵防御系统（IPS）的原理与特点了解安全管理平台（SOC）的主要功能了解统一威胁管理系统（UTM）的功能与特点了解网络准入控制（NAC）的功能、组成及控制方式78知识域：网络安全设备知识子域：其它网络安全设备78安全隔离与信息交换系统（网闸）组成外部处理单元、内部处理单元、仲裁处理单元特点断开内外网之间的会话（物理隔离、协议隔离）同时集合了其他安全防护技术79安全隔离与信息交换系统（网闸）组成79入侵防御系统(IPS)接入方式：串行工作机制：检测+阻断不足：单点故障、性能瓶颈、误报80可信网络不可信的网络&服务InternetIntranetIPS入侵防御系统(IPS)接入方式：串行80可信网络不可信的网络安全管理平台（SOC）SOC的含义狭义：安全设备集中管理中心广义：IT资源集中管理中心SOC的主要功能风险管理服务管理系统管理专业安全系统81安全管理平台（SOC）SOC的含义81统一威胁管理系统（UTM）接入方式：串行工作机制：检测+阻断+病毒防护+流控+……不足：单点故障、性能瓶颈、误报、……82可信网络不可信的网络&服务InternetIntranetUTM统一威胁管理系统（UTM）接入方式：串行82可信网络不可信的网络准入控制作用：对接入终端进行授权组成：策略服务器、接入设备、终端检查83认证服务器RadiusServer接入设备终端设备网络准入控制作用：对接入终端进行授权83认证服务器接入设备终知识域：网络架构安全知识子域：网络架构安全基础理解网络架构安全的含义理解网络架构安全设计的主要工作知识子域：网络架构安全设计理解网络安全域划分应考虑的主要因素理解IP地址规划方法理解VLAN划分的作用与策略理解路由交换设备安全配置常见的要求理解网络边界访问控制策略的类型理解网络冗余配置应考虑的因素84知识域：网络架构安全知识子域：网络架构安全基础84网络架构安全网络是信息系统的基础支撑环境IATF中“保护网络和基础设施”主要内容85骨干网络保护网络边界保护网络和基础设施保护计算环境网络架构安全网络是信息系统的基础支撑环境85骨干网络保护网络网络架构安全设计合理划分网络安全区域规划网络IP地址、Vlan设计安全配置路由交换设备网络边界访问控制策略网络冗余