信息安全技术与应用 课件 第四章 信息安全技术拓展

第1节防火墙第4章目

录01防火墙简介02防火墙关键技术03防火墙部署方式及应用01防火墙简介防火墙的概念注：关于防火墙的内容介绍，请参阅第四章/防火墙防护动画.mp4什么是防火墙？一种位于内部网络与外部网络之间的网络安全系统，依照访问控制策略，允许或限制传输的数据通过。防火墙产品定义对经过的数据流进行解析，并实现访问控制及安全防护功能的网络安全产品。

——GB/T20281-2020对外服务器DMZ防火墙的功能防火墙的主要功能访问控制隔离记录为内部网络提供双向保护入的方向上

阻止外部网络对本地网络的非法访问和入侵；出的方向上

控制本地网络对外部不良网络进行访问或者是未经允许的数据输出。出入防火墙Internet不可信区外网，默认不安全可信区需要保护区域防火墙的分类系统自带（WindowsDefender）360安全卫士腾讯电脑管家火绒安全按防火墙的形态软件防火墙防火墙的分类按防火墙的形态硬件防火墙深信服下一代防火墙AF奇安信网神新一代智慧防火墙启明星辰天清汉马T系列防火墙天融信NGFW®下一代防火墙360下一代防火墙安恒明御®安全网关防火墙的分类按技术实现包过滤防火墙作用在网络层，根据分组包头源目的地址、源目的端口、协议类型等标志确定是否允许数据包通过。状态检测防火墙状态监测对每一个包的检查不仅根据ACL表，更考虑了数据包是否符合会话所处的状态，因此提供了对传输层的完整的控制能力。应用代理防火墙Web应用防火墙充当内部计算机与外部主机连接的中间者。作用是隐藏内部主机的地址和防止外部不正常的连接。Web应用防火墙主要用于应用层的Web攻击防护、网页保护、负载均衡等作用。防火墙的分类按体系结构单宿主机防火墙保护单台主机双宿主机防火墙多宿主机防火墙有两个网络接口，一个连接内部网络，另一个连接外部网络可以连接多个网络，实现多个网络之间的访问控制按应用部署位置分类其他分类方法边界防火墙个人防火墙混合防火墙按性能分类百兆级防火墙、千兆级防火墙按使用方法分类网络层防火墙物理层防火墙链路层防火墙02防火墙关键技术防火墙的关键技术IP包头TCP/UDP头数据判断部分源目标端口操作协议HostAHostC123允许TCPHostBHostC456阻止UDP数据包数据包拆数据包查询控制策略根据策略决定如何处理数据包数据包数据包HostBHostCHostA包过滤技术根据数据包首部信息决定处理方式。包过滤的判断信息网络层IP地址（源/目的地址）传输层端口（源/目的端口）协议协议类型状态检测技术基于连接的状态检测机制，将属于同一连接的包作为一个整体数据流来看待。包过滤的判断信息IP源/目的地址TCP/UDP源和目的端口包输入接口TCP通讯的连接状态ICMP包类型封装协议包输出接口UDP/ICMP通讯的通信状态数据链路层物理层网络层表示层会话层传输层检测引擎应用层动态状态表应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层

在数据链路层和网络层之间对数据包进行检测创建状态表用于维护连接上下文防火墙的关键技术网络地址转换技术网络地址转换（NetworkAddressTranslation），简称NAT。将一个地址域转换成另一个地址域。NAT对终端用户透明。以下地址为保留（私有）地址-55-55-55防火墙的关键技术自适应代理技术自适应代理技术(Adaptiveproxy)是应用代理技术的一种，它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。特点根据用户定义安全规则动态“适应”传输中的分组流量。高安全要求：在应用层进行检查明确会话安全细则：链路层数据包转发兼有高安全性和高效率。防火墙的关键技术03防火墙部署方式及应用防火墙的部署方式所有接口都配置IP地址；各接口所在的安全区域是三层区域，接口连接的外部用户属于不同的子网；报文在三层区域的接口间进行转发时，根据报文的IP地址来查找路由表。/24PC服务器内部网络PC服务器外部网络/24路由模式所有接口都不能配置IP地址；防火墙两端的IP地址同属一个子网；报文进行转发时，需要根据报文的MAC地址来寻找出接口表。/24PC服务器内部网络Internet透明模式防火墙的部署方式介于路由模式和透明模式既可以配置接口工作在路由模式（接口具有IP地址），又可以配置接口工作在透明模式（接口无IP地址）。/24PC服务器内部网络/24PC服务器内部网络VRRPHUB混合模式注（1）防火墙两端的IP地址同属一个子网（2）VRRP：虚拟路由冗余协议，启用VRRP的接口需要配置IP地址防火墙的部署方式防火墙内部网络/24网关54Internet可信网络外部网络/24网关：Internet不可信的网络单防火墙（无DMZ）部署方式区域划分可信网络、不可信网络特点结构简单，易于实施54/24/24防火墙的部署方式不可信的网络Internet路由器可信网络Intranet防火墙注：关于防火墙配置操作步骤，请参阅第四章/配置防火墙规则实现流量过滤.mp4单防火墙（DMZ）部署方式区域划分特点可信网络、不可信网络、DMZ区提供对外服务安全区域防火墙的部署方式DMZ非军事化区(DMZ)不可信的网络Internet非军事化区(DMZ)可信网络防火墙防火墙双防火墙部署方式优点缺点能提供更为安全的系统结构实施复杂性和费用较高防火墙的部署方式防火墙的应用场景某高校网络安全拓扑某企业网络安全拓扑防火墙的应用场景防火墙的关键技术包括：包过滤技术、状态检测技术、网络地址转换技术。常见防火墙的部署方式有：路由模式、透明模式、混合模式。通过拓扑展示，介绍了常见防火墙在网络结构中的部署应用场景。01.01.02.02.03.03.总结本章对防火墙进行了详细的分析，包括防火墙的概念、防火墙的功能和作用，以及防火墙的分类等内容。04.04.防火墙一般部署在网络结构中的哪个位置？1思考题谢谢第2节VPN技术与应用第4章目

录01VPN简介02VPN关键技术03VPN部署方式及应用01VPN简介总部出差用户VPN隧道VPN安全网关VPN安全网关分部什么是VPN？VPN（VirtualPrivateNetwork）是一种使用密码技术，在公共网络虚拟出的专用网络。VPN特点VPN是虚拟的连接，非物理的连接VPN能为使用者节约成本通过VPN能够安全传输数据VPN的概念专线费用高昂直接在网络上传输私有数据，安全得不到保证铺设/租用专线窃取数据分部上海总部北京VPN技术产生原因VPN的概念今天的晚餐真美味！明文今天的晚餐真美味！明文加密解密@#￥#@##%…………*&……%）（）@#！#@%￥&##@@@#@@@#@#@%密文发送方接收方VPNVPNVPN主要功能01.加密

网络传输分组之前，发送方可对其加密VPN的功能数据完整性

接收方可以检查数据在传输过程中是否被修改来源验证

接收方可以检查发送者的身份，确保信息来自正确的地方VPN的功能今天的晚餐真美味！明文今天的晚餐真美味！明文加密解密@#￥#@##%…………*&……%）（）@#！#@%￥&##@@@#@@@#@#@%密文发送方接收方VPNVPN数据完整性计算摘要计算并对比摘要VPN主要功能02.03.VPN的分类按协议类型二层隧道协议PPTP（PointtoPointTunnelingProtocol）点对点隧道协议（PPTP），通过PPTP控制连接来创建、维护、终止一条隧道。使用通用路由封装GRE（GenericRoutingEncapsulation）对PPP帧进行封装。PPP帧的有效载荷即有效传输数据必须经过加密、压缩或是两者的混合处理。PPTP协议假定在PPTP客户机和PPTP服务器之间有连通并且可用的IP网络。按协议类型二层隧道协议L2TP（Layer2TunnelingProtocol）VPN为用户和企业的服务器之间透明传输PPP报文。提供了对PPP链路层数据包的通道传输支持。结合了L2F和PPTP协议的各自优点，成为了IETF有关二层隧道协议的工业标准。L2TP协议主要用途：企业驻外机构和出差人员从公网通过虚拟隧道实现和公司内部网络连接。VPN的分类按协议类型三层隧道协议IPSec（InternetProtocolSecurity）VPNIPSec是IETF以RFC形式公布的一组安全IP协议集，是在IP层提供保护的安全协议标准，是虚拟专网的基础。IPSec将几种安全技术结合形成一个比较完整的安全体系结构，它通过在IP协议中增加两个基于密码的安全机制——认证头（AH）和封装安全载荷（ESP）来支持IP数据项的可认证性、完整性和机密性。IPSec工作涉及一个核心概念：安全关联（SA）VPN的分类按协议类型七层隧道协议SSL（SecuritySocketLayer）VPNSSLVPN指采用SSL协议来实现远程接入的一种新型VPN技术，是解决远程用户访问公司敏感数据最简单最安全的解决技术。任何安装浏览器的机器都可以使用SSLVPN。SSLVPN工作在应用层，SSL用公钥加密技术通过SSL连接传输数据。VPN的分类VPN隧道VPN安全网关总部远程接入VPN出差用户按应用分类远程接入VPN客户端到网关，利用公网传输数据，如：SSLVPN。内联网VPN网关到网关，利用公司网络架构连接来自同公司的资源。外联网VPN一个公司与另一个公司的资源进行连接。VPN的分类02VPN的关键技术VPN的关键技术VPN关键技术隧道技术在公用网建立一条专用数据通道，让数据包通过这条通道传输。加解密技术确保数据不被他人浏览、窃取和篡改。密钥管理技术身份认证技术私有地址被转换成合法的IP地址。用于确认使用者的身份。隧道协议新包头原数据VPN端点网关AVPN端点网关B原数据原数据封装解封装隧道技术其它协议数据帧重新封装在新的包头中发送新的包头提供路由信息，能够通过互联网传输到达网络终点，进行解包发送到最终目的地隧道通过隧道协议实现，报文前后经过封装与解封装VPN的关键技术新IP报头ESP报头原IP报头传输层报头应用程序数据ESP报尾ESP认证报尾加密部分ESP是IPSec体系下的封装安全载荷协议加解密技术数据包需要加密进行传输，到达对端后再进行解密加解密技术发展成熟，VPN可以直接使用采取何种加密技术，依赖于VPN服务器类型PPTP服务器采用微软点对点加密技术L2TP服务器使用IPSec机制对数据加密VPN的关键技术发起者cookie响应者cookie下一载荷消息IDISAKMP数据包格式IP头UDP头ISAKMP头载荷1……….密钥管理技术IKE（网络密钥交换协议）用于交换和管理在VPN中使用的加密密钥组成ISAKMP协议OAKLEY提供了一个多样化，多模式的应用SKEME提供了IKE交换密钥的算法，方式（因特网安全协商密钥管理协议）VPN的关键技术usernamepassword接入服务器用户数据库拨号者发起CHAP呼叫向拨号者发送挑战信息拨号者处理挑战信息，并发送挑战应答检查拨号者应答数据包，并发送认证结果usernamepassword远程用户身份认证技术链路层的认证PPP认证机制使用CHAP（PPP询问握手认证协议）认证协议，通过三次握手周期性校验对端身份。VPN的关键技术03VPN部署方式及应用VPN的部署方式常见终端到站点部署场景终端到站点部署可以实现终端到站点部署的VPN技术有PPTPVPNSSLVPNL2TPVPNL2TPoverIPSecVPN的部署案例SSLVPN部署案例OpenVPN是一个用于创建虚拟专用网络加密通道的软件。OpenVPN是一个基于OpenSSL库的应用层VPN实现。部署步骤STEP1STEP2制作OpenVPN证书安装OpenVPNSTEP5STEP4STEP3配置并启动OpenVPN服务端安装客户端客户端连接SSLVPN部署案例VPN的部署案例站点到站点部署可以实现站点到站点部署的VPN技术有IPSecVPN、GREoverIPSec下图为站点到站点部署场景场景描述：总部和分支都是单出口，总部和分支都有公网IPVPN的部署方式VPN的应用场景学校VPN部署解决方案及网络拓扑VPN的应用场景某市教育局VPN部署解决方案及网络拓扑本章对VPN进行了详细的分析，包括VPN的概念、VPN的功能和作用，以及VPN的分类等内容。VPN的关键技术包括：隧道技术、加解密技术、密钥管理技术、身份认证技术。常见VPN的部署方式有：终端到站点、站点到站点。通过拓扑展示，介绍了常见VPN在校园和企业网络结构中的部署应用场景。01.01.02.02.03.03.总结04.04.VPN产品是否支持软件形式？1思考题谢谢第3节入侵检测系统第4章目

录01入侵检测系统简介02入侵检测系统关键技术及工作过程03入侵检测系统部署及应用04蜜罐及蜜网介绍01入侵检测系统简介入侵检测系统的概念什么是入侵检测？入侵检测（ID，IntrusionDetection）指的是：通过监视各种操作，分析、审计各种数据和现象来实时检测入侵行为的过程，是一种积极的和动态的安全防御技术。什么是入侵检测系统？入侵检测系统（IntrusionDetetionSystem，IDS）指的是以网络上的数据包作为数据源，监听所保护网络节点的所有数据包并进行分析，从而发现异常行为的产品。——GB/T20275--2021入侵检测的发展历程Aderson首先提出入侵检测概念1980年1987年1990年1996年2007年2010年后Denning提出了入侵检测系统的抽象模型IDS分化为基于网络的IDS和基于主机的IDS提出GrIDS可以方便地检测大规模网络攻击CIDF工作组发布了3份入侵检测RFC标准各大安全厂商先后推出下一代、智能化入侵检测产品入侵检测系统的功能入侵检测系统的功能监控网络和系统发现入侵企图或异常现象实时报警主动响应审计跟踪入侵检测系统的分类按入侵检测形态1按目标系统的类型2按系统结构3硬件入侵检测TopSentry-IDS、天阗入侵检测与管理系统(IDS)、网神入侵检测D3000-TX24E、绿盟NSFOCUSNIDS软件入侵检测Snort、Suricata、OSSEC、Sagan网络入侵检测（NIDS）在比较重要的网段安装探测器来监测和保护整个网段。主机入侵检测（HIDS）安装于被保护的主机中，主要分析主机内部活动。集中式分布式02入侵检测系统关键技术及工作过程入侵检测系统的技术架构事件分析引擎事件数据库事件产生器来源于网络上的数据响应组件入侵检测系统组成部分入侵检测系统的工作过程日志文件数据库信息存储入侵检测的工作流程第一步信息收集收集包括系统、网络、数据及用户活动的状态和行为。第二步入侵分析对收集到的数据信息进行处理分析。第三步信息存储将入侵检测系统收集到的信息进行保存，这些数据通常存储到用户指定的日志文件或特定的数据库中。第四步告警响应根据用户的设置，对攻击行为进行相应的处理，如发出警报、给系统管理员发邮件等方式提醒用户。入侵检测关键技术01.特征检测特征检测又称误用检测(MisuseDetection)，这种检测方法是：收集非正常操作（入侵）行为的特征，建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征进行比较，从而判断是否有入侵行为。特征检测特点01如果入侵特征与正常的用户行为匹配，则系统会发生误报；0203如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报；攻击特征的细微变化，会使得误用检测无能为力。入侵检测关键技术02.异常检测异常检测(AnomalyDetection)：这种检测方法是首先总结正常操作应该具有的特征；在得出正常操作的模型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，立即进行报警。异常检测特点010203异常检测系统的效率取决于用户轮廓的完备性和监控的频率；因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵；系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。03入侵检测系统部署及应用入侵检测系统部署方式基于网络的IDS部署14实施成本低2356隐蔽性好监测速度快视野更宽操作系统无关性攻击者不易转移证据基于网络的入侵检测的主要缺点只能监视本网段的活动，精确度不高在交换网络环境下无能为力对加密数据无能为力防入侵欺骗的能力也比较差，难以定位入侵者。入侵检测系统部署方式基于主机的IDS部署14能够检测到基于网络的系统检测不到的攻击2356安装、配置灵活监控粒度更细监视特定的系统活动适用于加密及交换环境不要求额外的硬件基于主机的入侵检测的主要缺点①会占用主机的资源,在服务器产生额外的负载。②缺乏平台支持,可移植性差，应用范围受到严重限制。入侵检测系统的应用场景某企业集中式入侵检测系统部署应用案例04蜜罐及蜜网介绍蜜罐和蜜网系统的定义守卫=IDS诱饵系统=蜜罐注：关于蜜罐和蜜网系统的介绍，请参阅第四章/蜜罐及蜜网介绍动画.mp4蜜罐指的是用设备、系统、目录或文件作为诱饵去引诱攻击者，使真正重要的主机和系统免于攻击，并收集入侵者行为。由多个蜜罐组成的模拟网络，即分布式蜜罐系统。蜜罐的作用在抵御攻击上变被动为主动。让被攻击单位认识到自身网络的安全风险和脆弱性。提高事件检测、响应能力。高效地收集攻击者的入侵证据。提供良好的追踪环境。蜜罐定义蜜网定义蜜罐系统的应用场景蜜罐系统的部署应用场景蜜罐系统的应用场景蜜网系统的部署应用场景蜜罐系统的应用案例蜜罐系统后台管理界面在“攻击列表中”可查看攻击者具体攻击内容单台服务器蜜罐部署应用本章介绍了入侵检测系统的概念、功能、分类、技术架构、工作过程、关键技术、部署方式以及应用场景等内容。入侵检测系统可以实现对入侵数据的采集和分析，将数据存储到数据库中，并且能够及时告警响应。入侵检测系统主要的技术是：特征检测技术、异常检测技术。蜜罐是一种变被动防御为主动防御的系统，能够搜集攻击者的入侵证据。01.01.02.02.03.03.总结04.04.入侵检测系统是否能够识别未知的攻击？1思考题谢谢第4节漏洞扫描技术第4章目

录01漏洞扫描技术简介02漏洞扫描系统介绍03漏洞扫描系统应用01漏洞扫描技术简介漏洞扫描的概念漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。漏洞扫描一般与防火墙、入侵检测系统相互配合应用。什么是漏洞扫描？漏洞扫描的原理漏洞扫描技术原理通过远程检测目标主机TCP/IP不同端口的服务，记录目标的回答。方式一方式二在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后，与对应漏洞库进行匹配，若满足匹配条件，则视为漏洞存在。模拟黑客攻击，对目标主机系统进行攻击性的安全漏洞扫描，如：弱口令检测等。若模拟攻击成功，则视为漏洞存在。漏洞扫描的作用01.定期的网络安全自我检测、评估通过漏洞扫描，尽可能早地发现安全漏洞并进行修补。02.安装新软件、启动新服务后的安全检查通过漏洞扫描可以发现新软件、新服务启动后的隐藏漏洞。03.网络建设和网络改造前后的安全规划评估和成效检验通过漏洞扫描可以很方便的进行安全规划评估和成效检验，以满足合规要求。漏洞扫描的作用（续）05.网络安全事故后的分析调查04.网络承担重要任务前的安全性测试通过漏洞扫描可以由被动修补变成主动的防范，最终把出现事故的概率降到最低。通过漏洞扫描可以发现出现网络安全事故后的所在位置。06.重大网络安全事件前的准备及时找出网络中存在的隐患和漏洞，帮助用户进行漏洞修复。漏洞扫描的关键技术Ping扫描执行结果01.主机扫描主机扫描也叫主机存活扫描，是一种确定在目标网络上的主机是否在线的扫描技术。常用的扫描技术ICMPEcho扫描精度相对较高。通过简单地向目标主机发送ICMPEchoRequest数据包，并等待回复的ICMPEchoReply包，如Ping。ICMPSweep扫描适用于大范围的评估。Non-EchoICMP扫描不仅仅能探测主机，也可以探测网络设备，如：路由器。在完成主机存活性判断之后，就应该去判定主机开放信道的状态，端口就是在主机上面开放的信道，其中0-1024端口为公认端口，端口总数为65535。漏洞扫描的关键技术（续）02.端口扫描常用的扫描技术TCP扫描又叫开放式扫描。主要是利用三次握手过程与目标主机建立完整或不完整的TCP连接。常见TCP扫描方式有：TCPConnect()扫描、Reverse-ident扫描、TCP

SYN扫描、TCPFIN扫描等UDP扫描又叫隐蔽式扫描。由于现在防火墙设备的流行，TCP端口的管理状态越来越严格，不会轻易开放，并且通信监视严格。为了避免这种监视，达到评估的目的，就出现了隐蔽扫描。常见UDP扫描方式：Traceroute扫描。如果目标端口正处于监听状态，Connect()就成功返回，否则返回-1，表示端口不可访问，如图：TCPconnect()扫描02.端口扫描TCP扫描方式TCPConnect()扫描：这是最基本的TCP扫描，使用系统提供的Connect()函数来连接目标端口，尝试与目标主机的某个端口建立一次完整的三次握手过程，因此这种扫描方式又称为“全开放扫描”。漏洞扫描的关键技术（续）TCPSYN扫描02.端口扫描TCP扫描方式TCP

SYN扫描：TCPSYN扫描要比TCPConnect()扫描隐蔽一些，SYN扫描仅仅需要发送初始的SYN数据包给目标主机，如果端口开放，则相应SYN-ACK数据包；如果关闭，则响应RST数据包。这种技术称为“半开放扫描”。漏洞扫描的关键技术（续）02.端口扫描UDP扫描方式UDP扫描即Traceroute扫描，主要原理是向30000以上的高端口进行tracert。如果对方端口关闭，会返回给icmp信息，根据这个往返时间，计算跳数、路径信息，了解延时情况。UDP扫描技术即从traceroute原理演变而来。漏洞扫描的关键技术（续）03.服务及系统指纹识别服务识别方法根据端口识别根据端口与服务对应的关系，比如23端口对应TELNET服务，21端口对应FTP服务，80端口对应HTTP服务。缺点：精度较低。根据Banner识别获取服务的Banner信息，可以判定当前运行的服务，以及服务版本信息。通过Banner识别服务的方式相对精确。漏洞扫描的关键技术（续）03.服务及系统指纹识别系统指纹识别方法主动识别技术采用主动发包，利用多次的试探，去一次一次筛选不同信息，比如根据ACK值判断，有些系统会发送回所确认的TCP分组的序列号，有些会发回序列号加1。还有一些操作系统会使用一些固定的tcp窗口。被动识别技术通过被动监测网络通信，利用对报头内DF位，TOS位，窗口大小，TTL的嗅探判断，最终确定所用的操作系统。漏洞扫描的关键技术（续）04.脆弱性扫描脆弱性扫描包括系统脆弱性扫描Web应用扫描弱口令检测以及数据库扫描系统脆弱性扫描针对传统的操作系统、网络设备、防火墙、远程服务等系统层漏洞进行探测。若管理员能够定期进行系统脆弱性扫描，则能够尽早地发现安全漏洞并进行修补，提高网络的安全运行效率。漏洞扫描的关键技术（续）04.脆弱性扫描Web应用扫描1针对SQL注入、XSS跨站脚本、信息泄露、网络爬虫、目录遍历等Web攻击方式进行模拟黑客渗透攻击评估。弱口令检测2数据库扫描3通过弱口令字典，针对账户和密码相同、密码相对比较简单、默认密码等问题进行自动探测，测试口令是否存在弱口令现象。提高账号防破解的安全性。针对数据库进行扫描，探测数据库的漏洞信息。包括Oracle、Sybase、SQLServer、DB2、MySQL、Postgres等常见数据库。漏洞扫描的关键技术（续）02漏洞扫描系统介绍常见安全硬件扫描产品常见安全厂商硬件漏洞扫描产品启明星辰天镜脆弱性扫描与管理系统深信服云镜网络资产脆弱性扫描系统奇安信漏洞扫描系统天融信脆弱性扫描与管理系统TopScanner安天镇关漏洞扫描系统常见安全硬件扫描产品（续）系统扫描弱口令探测Web扫描数据库扫描奇安信漏洞扫描系统产品介绍奇安信漏洞扫描系统是一款自主知识产权的综合性漏洞扫描产品。从操作系统、数据库、网络设备、防火墙、Web系统、弱口令等多方位多视角对目标进行安全漏洞扫描检查。在发现问题后能够提供漏洞的详细报告和解决方案。产品核心功能常见安全漏洞扫描软件NmapOpenVASNessusAWVSAPPscanTripwireIP360Nexposecommunity常见开源漏洞扫描软件常见安全漏洞扫描软件（续）漏洞扫描工具--AWVSAWVS（AcunetixWebVulnerabilityScanner）是一款自动化的Web应用程序安全测试工具，支持扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。AWVS常用功能WebScanner：Web安全漏洞扫描SiteCrawler：遍历站点目录结构TargetFinder：端口扫描，找出Web服务器SubdomainScanner：子域名扫描器HTTPFuzzer：模糊测试工具AuthenticationTester：Web认证破解工具常见安全漏洞扫描软件（续）Nessus是一个功能强大的安全扫描器，主要功能是对指定网络进行安全检查，找出该网络是否存在有安全漏洞。该系统提供插件功能，允许用户加入执行特定功能的插件，通过插件可以进行更快速和更复杂的安全检查。注：关于漏洞扫描软件配置操作步骤，请参阅第四章/漏洞扫描软件配置使用.mp4漏洞扫描工具--Nessus03漏洞扫描系统应用适用于业务场景比较单一的中小型企业。漏洞扫描系统的部署方式单机部署方式适用于业务场景比较复杂的大型企业。漏洞扫描系统的部署方式（续）多级部署方式该企业部署要求：由于业务类型较多，结构也较为复杂，需要通过分布式部署漏洞扫描系统。漏洞扫描系统的应用案例某企业漏洞扫描系统应用案例本章了解了漏洞扫描系统的概念、作用、关键技术、部署方式以及应用场景等内容。漏洞扫描系统可以实现远程或者本地计算机系统的安全脆弱性进行检测。漏洞扫描的关键技术主要包括：主机扫描、端口扫描、服务及系统识别、脆弱性扫描。漏洞扫描系统可通过单机、多级等方式进行部署应用。01.01.02.02.03.03.04.04.总结TCPConnect()扫描的原理是什么？

1思考题谢谢第5节Web应用防火墙第4章目

录01Web应用防火墙简介02Web应用防火墙的功能03Web应用防火墙部署及应用01Web应用防火墙简介Web应用防火墙的概念Web应用防火墙（WebApplicationFirewall），简称：WAF。根据Gartner定义：什么是Web应用防火墙？WAF是一种以保护Web应用程序和API服务免受各种攻击（包括自动化攻击（bot）、应用层拒绝服务（httpflood）和常见Web安全漏洞攻击等）为主要目标的软硬件系统。WAF一般提供基于规则的保护，也提供可靠的安全模型或异常检测功能。Web应用防火墙的工作过程WAF的工作过程解析HTTP请求（攻击请求、业务请求）….….….进行规则检测（恶意访问过滤）做不同的防御动作（拦截、放行、记录）将防御过程记录下来（日志）Web应用防火墙的实现原理WAF通过5个模块来实现防护功能配置模块协议解析模块规则模块动作模块日志模块Web应用防火墙的实现原理配置模块WAF引擎设置协议解析配置规则配置是否开启WAF：开启、关闭、仅记录拦截方式：允许访问、拒绝访问、关闭链接、继续处理部署方式：透明桥接、反向代理、透明代理、路由模式、检测端口请求内容：请求体、响应体类型支持的协议组成：请求头、请求体、响应头、响应体协议大小限制HTTP格式：协议版本、Cookie格式、参数内置规则：启用、停用规则自定义规则：不同HTTP请求类型，不同拦截方式，URI、POST、COOKIE，特征关键词规则模板设置：内置模板、自定义模板Web应用防火墙的实现原理协议解析模块协议解析配置1解析错误处理2协议解析3请求体处理响应体处理文件上传处理解析错误处理协议内容限制协议编码配置Multipart解析错误X-www-form-urlencode解析错误响应体解析错误请求头解析请求体解析响应头解析响应体解析Web应用防火墙的实现原理规则模块规则配置规则解析规则检测规则信息：ID、规则名称、规则描述、拦截方式、告警等级、攻击类别、启用状态、更新时间规则模板变量部分：请求变量、响应变量、客户端变量、Server变量、时间变量、事务变量、其他操作符部分事物函数部分动作部分操作符函数库事务函数库检测控制流Web应用防火墙的实现原理字符操作模式匹配、字符串操作校验URL编码、utf8校验、xml校验、JSON校验、字节校验数字操作IP库校验攻击IP库规则模块-规则检测操作符函数库1事务函数库2检测控制流302Web应用防火墙的实现原理动作模块01030405通过后续请求全部通过继续继续执行下一个规则拦截拦截本次http请求、断开连接、封IP、禁止对URI访问0607重定向重定向到honepot中主动防御响应体页面注入防御代码验证码验证通过后才能继续访问只记录只记录本次命中规则的细节‍‍主要功能进行日志记录（用户访问日志、攻击日志）提供日志分析与攻击溯源Web应用防火墙的实现原理日志模块02Web应用防火墙的功能Web应用防火墙的基本功能1.漏洞扫描2.Web业务可用性监测3.外联监控4.Web应用防护6.混合型攻击防护7.恶意扫描防护8.DDOS/CC攻击防护9.策略分组5.专业网页防篡改10.高可用性11.服务器信息隐藏12.敏感信息过滤13.Web云加速14.软硬件BTPASS功能15.动态建模Web应用防火墙的基本功能扫描的项目包括无效链接代码泄露目录遍历入侵广告目录浏览邮箱地址泄露典型登录页面内部IP泄露内部目录泄露内部文件泄露SQL注入漏洞XSS脚本漏洞Web后门网页挂马程序错误信息扫描过程功能·漏洞扫描扫描结果扫描报告可靠的数据支撑生成提供Web应用防火墙的基本功能功能·Web业务可用性监测对网页主页和指定页面进行页面级可用性监测。确保Web业务系统的连续运营和服务的正常提供。监测的过程根据配置的检测任务网站服务的可用性质量目标的URL请求执行时间耗时结束时间状态正常与否检测指定的web应用页面测试监控HTTP/HTTPS流量，对数据包内容具有完全的访问控制权限。检查所有流经网络的HTTP/HTTPSl流量，通过各类防护引擎，策略控制识别黑Web攻击应用行为。系统监控画面Web应用防火墙的基本功能功能·Web应用攻击防护SQL注入攻击XSS跨站攻击CSRF跨站请求伪造攻击木马病毒恶意爬虫盗链请求Web应用防火墙的基本功能实现的过程SQL语句SQL注入特点SQL语法结构根据SQL注入符合正常SQL语句不符合功能·Web应用攻击防护·SQL注入防护分析通过人工智能的方式识别“注入攻击”使用的SQL语句。大幅度提高对SQL注入攻击的识别率和准确率。实现低漏报率，抗攻击逃逸。可防御未知的SQL注入。Web应用防火墙的基本功能爬虫分为搜索引擎爬虫和扫描程序爬虫。屏蔽特定的搜索引擎爬虫。屏蔽扫描程序爬虫。节省带宽和性能。避免网站被恶意抓取页面。基于关联分析技术进行有效识别和阻断告警。功能·Web应用攻击防护·爬虫防护Web应用防火墙的基本功能屏蔽Web扫描器的检测功能·恶意扫描防护Web应用防火墙的基本功能Internet……网站服务器A网站服务器J网站服务器C网站服务器I网站服务器B网站服务器……云防线发起DDOS攻击流量引入云防线进行清洗流量预定阀值云防护模式有效分流和清洗动态防护机制DDOS/CC攻击达到切换进行WAF功能·DDOS/CC攻击联合防护在httpheader里看到服务器构建的信息，如：典型的响应消息：Web应用防火墙的基本功能功能·服务器信息隐藏在一些信息比如在404页面，会输出服务器版本和运行的程序版本。将服务器版本信息、服务信息和漏洞信息进行伪装和隐藏。避免将服务器系统上的服务器信息与web软件版本信息等一些关键信息透露给任何潜在的攻击者。Web应用防火墙的基本功能功能·敏感信息过滤12345动态获取各种网络资源。根据输入的搜索规则（关键词）组合对于发表的信息进行过滤与审核。及时、准确定位涉密或敏感信息资源。防止重要的信息泄露或非法言论通过网站进行传播。同时记录、跟踪敏感信息的传播行为，及时阻止、消灭此类信息的传播。Web应用防火墙的基本功能注：关于WAF配置操作步骤，请参阅第四章/配置WAF实现安全防护.mp4功能·动态建模03Web应用防火墙部署及应用Web应用防火墙的部署方式适用于需要在WAF上部署负载均衡的场景。反向代理模式下，路由器需要通过配置策略路由的方式，将被保护站点的流量先牵引到WAF设备（或WAF集群），WAF设备通过反向代理的方式，再将请求送至Web服务器。WAF防火墙Web服务器部署模式·反向代理模式Web应用防火墙的部署方式特点是即插即用，一般适用于需要紧急部署WAF进行防护的场景。透明模式下部署WAF，无需更改网络及服务器配置，透明串接在防火墙和Web服务器群之间，即可对Web服务器群的出入流量进行有效监控，从而确保Web应用的安全。WAF防火墙Web服务器部署模式·透明模式Web应用防火墙的部署方式WAF支持路由模式部署，它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式，其它工作原理都一样。由于工作在路由（网关）模式因此需要为WAF的转发接口配置IP地址以及路由。WAF防火墙Web服务器部署模式·路由模式当缺少Web服务器网关时，可进行路由模式部署。Web应用防火墙的部署方式WAF的混合部署模式，可把设备网口配置成反向代理模式和透明网桥模式共同工作，可提供多组透明桥。WAFWeb服务器2Web服务器1防火墙部署模式·混合模式适用于多个安全域的安全防护的场景。使用CC防护，实现基于session的，频率控制，对超过频率的请求，进行滑块验证使用BOT行为管理，通过对流量进行分析，识别爬虫和机器人行为，减少垃圾流量访问DNSCC防护BOT管理GAAPGAAP业务架构图Web应用防火墙的应用案例某游戏企业Web应用防火墙部署案例客户情况核心需求：防CC攻击防恶意账号减少或者减缓垃圾流量访问，节约服务器和带宽资源对高频访问行为进行限制和阻断结合天御方案，对恶意账号进行处理客户需求防护效果通过基于用户级别CC防护，对恶意刷资源消耗接口、营销接口的行为进行有效识别和拦截。本章对WAF进行了详细的分析，包括WAF的概念、WAF的实现原理，以及WAF的策略建模等内容。WAF的核心功能包括：漏洞扫描、Web应用防护、网页防篡改、恶意扫描防护、DDOS/CC攻击联合防护、服务器信息隐藏等。常见WAF的部署方式有：反向代理模式、透明模式、路由模式、混合模式。通过拓扑展示，了解了WAF在企业中的部署应用场景。01.01.02.02.03.03.04.04.总结防火墙和WAF有什么区别？请简要描述。1思考题谢谢第6节安全运营第4章目

录01ITIL安全运营管理02ITIL企业应用方案03安全运营中心01ITIL安全运营管理IT服务管理的概念什么是IT服务管理？IT服务管理（ITServiceManagement，ITSM）是一套帮助企业对IT系统的规划、研发、实施和运营进行有效管理的方法，是一套方法论。ITSM起源于ITIL（ITInfrastructureLibrary，IT基础架构标准库），ITIL是CCTA（英国国家电脑局）于1980年开发的一套IT服务管理标准库。它把英国在IT管理方面的方法归纳起来，变成规范，为企业的IT部门提供一套从计划、研发、实施到运维的标准方法。IT服务运营职能IT服务运营流程与职能事件管理….IT服务运营流程故障管理问题管理….….访问管理….服务请求服务台技术管理应用管理IT运营管理基于ITIL的网络安全运营管理业务技术IT服务管理规划与实施模块业务视野模块服务管理ICT基础设施管理模块应用管理模块安全管理模块网络安全运营管理平台框架ITIL的基本方法：使用信息和通信技术基础设施，根据业务所需的信息和解决方案，去设计、规划和实施IT服务。ITIL框架包含7个模块，如下图所示：安全管理模块从1999年新增到ITIL框架02ITIL企业应用方案“重庆XX网络服务有限公司”ITIL项目方案重庆XX网络服务公司是一家主营通信网络建设和维护的公司，主营业务是为电信、移动和联通等公司提供网络建设、维护的外包服务，同时也为其他企业提供网络和网站建设等服务。公司有员工500人左右，分为综合办公室、财务管理部、网络建设部、网络开发部、客户服务部、市场部等部门组成。公司的业务高度依赖于IT，公司设置维护支撑小组，直接面向客户的窗口部门。各个维护支撑小组分布在不同的部门中，每个维护支撑组负责其中一个或多个系统的维护及技术支撑，目前全职和兼职从事该项工作的人数达到180人左右。

ITIL项目实施之前，公司运营流程管理存在以下问题：随着公司业务的不断壮大与发展，客户服务请求事件数量的不断增多，给公司IT维护支撑小组部门带来了极大工作量，由于缺乏明确的角色定义和职责划分，一旦发生事故，IT维护支撑小组内部人员不是像“救火队员”一样四处去“灭火”，就是对事故处理责任进行相互推托，造成事故处理效率非常低。同时，公司IT部门还缺乏良好的运营绩效考核机制，组织上评价IT部门及人员的工作绩效缺少准确参照依据。公司应用工具固化ITIL服务管理流程，实现流程自动化，从而达到快速提升整体服务能力的目标要求。项目背景介绍服务台构建实践01服务台作为一项职能，它的建立可以实现信息流集中统一控制。服务台人员素质采用混合式，非技能型+技能型混合构建为了规范服务台运作流程，建立服务台人员行为规范，从人员的工作时间、仪表、着装、办公秩序、语言等多维度要求。根据服务需求呼叫规律合理配置服务台人员，并规范工作时间、交接班制度以及职责划分。为了提高服务台电话接听质量和增强电话服务质量的稳定性，编写服务台电话接听规范是非常有必要的，通常来说，要求非技能型服务台90%的用语应该来源于电话接听规范，技能型服务台除了事件排查询问内容外，其他用语均应出自电话接听规范。“重庆XX网络服务有限公司”ITIL项目方案事件管理实践02服务台搭建好了以后，具备了相应的人员和设备工具，要想保证它能高效的运作就需要做好事件管理流程。(1)时效控制如何快速记录在事件管理中要实现快速的事件记录就需要编制一个简单又信息完备的事件记录单。如何快速分派根据事件分类表中界定的事件类别与对应支持小组之间的映射关系确定派单对象。“重庆XX网络服务有限公司”ITIL项目方案事件优先级当前责任人时间经理运维组主管CIO优先级150%（提醒点）30分钟（升级点）45分钟（升级点）60分钟优先级250%（提醒点）45分钟（升级点）60分钟（升级点）N/A优先级350%（提醒点）2小时（升级点）3小时（升级点）N/A优先级450%（提醒点）2小时（升级点）4小时（升级点）N/A事件升级时间框架事件管理实践02（2）升级管理1按照ITIL理论，事件管理中的升级分为职能性升级和结构性升级。23升级政策的目的是，对于不同优先级的事件或问题，确保分配到合适的资源来解决问题。为了达到这个目的，需要定义事件升级的时间框架。当达到某个时间点时，如事件还未解决，将触发相应的事件升级路径。“重庆XX网络服务有限公司”ITIL项目方案类别一级事件二级事件三级事件描述1．业务系统无法登录2．核心应用服务停止3．核心数据库停止4．中断节点大于40个1．某系统完全中断2．中断节点大于10个小于41个1．处级及以上领导系统无法使用系统2．重复数据错误产生引起5例同类错误影响范围1．全线业务瘫痪2．41人无法办公3．窗口业务瘫痪4．某二级事件在2小时内未恢复1．某系统无法使用2．11人以上41人以下无法办公3．某三级事件在4小时内未恢复1．处室领导无法正常办公2．5例同类事件出现3．某错误在8小时内未恢复响应时间20分钟现场响应60分钟现场响应120分钟内响应通知要求恢复前每30分钟通知相关负责人恢复前每60分钟通知相关负责人恢复前每日通知相关负责人报告时间到达现场20分钟内向系统负责人报告并提交恢复方案到达现场30分钟内向系统负责人报告并提交恢复方案到达现场30分钟内向系统负责人报告并提交恢复方案批复时间30分钟内批复应急方案60分钟内批复应急方案60分钟内批复应急方案恢复时间批复后30分钟内恢复应用批复后60分钟内恢复应用批复后60分钟内恢复应用分析时间1个工作日内提交分析报告与解决方案2个工作日内提交分析报告与解决方案3个工作日内提交分析报告与解决方案解决时间解决方案批准后1个工作日内解决解决方案批准后2个工作日内解决解决方案批准后3个工作日内解决报告要求事件解决3个工作日内提交重大事件报告：日报、周报、月报体现日报、周报、月报体现日报、周报、月报体现公司业务系统事件分类处理时限表事件管理实践02（3）事件处理时限在时间管理中，通常对不同级别的事件，需要约定相应的处理时限。“重庆XX网络服务有限公司”ITIL项目方案问题管理实践03（1）问题管理流程构建模式问题管理流程构建应该根据IT组织规模大小区别设计，通常确定一个IT组织的问题管理流程的模式应该从以下几个因素来考虑：IT组织运维人员数量IT基础架构的数量IT基础架构的稳定性（质量以及保修范围等）重复事件的数量“重庆XX网络服务有限公司”ITIL项目方案问题管理实践03（2）流程实施细节确定了问题管理的构建模式之后，还应注意以下流程实施的细节：①日健康检查通过每日检查、分析业务应用系统的运行情况和趋势，主动发现问题以预防重大事件的发生和消除系统潜在隐患。②问题管理或应用服务人员③问题经理或应用服务负责人通过定期的健康检查来实现问题分析和主动问题预防。“重庆XX网络服务有限公司”ITIL项目方案问题管理实践03（3）主动问题管理通过从整体上对已出现的和可能出现的问题的分析，可以确立哪个或哪类问题是“真正”需要重点关注和优先解决。给每个故障一个“影响指数”，指数大小根据以下几点确定：故障出现次数T01受影响的客户数T02解决故障所需时间和成本T03业务损失T04“重庆XX网络服务有限公司”ITIL项目方案03安全运营中心常见安全运营平台什么是安全运营平台？安全运营平台是指以IT资产为基础，以业务信息系统为核心，以客户体验为指引，从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台。常见安全运营中心产品腾讯T-Sec安全运营中心(SOC)启明星辰泰合安全管理平台......互联网流量威胁感知资产安全中心云安全配置管理互联网攻击面测绘安全事件统一运营日志审计与检索调查安全可视化安全编排与自动化响应合规管理CloudUBA安全运营中心核心功能常见安全运营平台安全运营中心应用场景某单位安全运营中心部署场景此部署场景适用于中小型企业，对于大型的政府机构或者企事业单位，需要多级级联部署模式，以适合分级管理的体制。本章介绍了ITIL服务运营流程和职能的概念和设计流程，以及分析了基于ITIL的网络安全运营管理。通过重庆XX公司ITSM的建设项目方案，重点介绍服务台、事件管理、问题管理的实施要素和方法。安全运营中心SOC可以对客户重要业务系统进行量化的风险评估，满足等级保护和信息安全管理体系等安全要求。01.01.02.02.03.03.总结企业ITIL的网络安全运营管理主要实现的目标是什么？1思考题谢谢第7节堡垒机第4章目

录01堡垒机简介02堡垒机的功能03堡垒机的部署方式及应用01堡垒机简介堡垒机的概念什么是堡垒机？一种旁路部署在网络交换节点上，能够对服务器、网络设备、数据库、应用系统进行集中管理与审计实现物理并联逻辑串联的硬件设备。堡垒机产生的原因01.02.03.04.05.企业大量的网络设备、系统分属不同部门，认证、授权和审计方式没有统一；一些设备和业务系统由厂商代维，因缺乏统一监管，安全状况不得而知；权限管理复杂，系统安全难以得到保障；一人多个账号，多人共用一个账号，发生安全事故时更难以确定实际使用者；需要多个口令在各系统间进行切换。堡垒机的概念堡垒机的地位人们往往重视控制设备而不是取证设备缺乏堡垒机，好比城墙坚固，内部却很脆弱例如：特洛伊木马典故堡垒机与其他安全设备同等重要提供事后取证，让恶意者无法狡辩；保障网络和数据不受来自外部和内部用户的入侵和破坏。堡垒机的作用企业角度通过细粒度的安全管控策略，保证企业设备安全可靠运行降低人为安全损失，保障企业效益。管理员角度简单有序管理所有的运维账号，直观方便的监控各种访问行为，及时发现违规操作、权限滥用等。普通用户角度运维人员只需要登录一次，即可访问多台设备，提高了工作效率。02堡垒机的功能堡垒机的核心功能堡垒机的核心功能包括单点登录身份认证资源授权访问控制操作审计01.单点登录单点登录（SingleSignOn，SSO）指的是用户只要登录一个系统，就可以访问所有相互信任的应用系统。作用减少用户在不同系统中登录耗费的时间，减少用户登录出错的可能性实现安全的同时避免了处理和保存多套系统用户的认证信息减少了系统管理员增加、删除用户和修改用户权限的时间增加了安全性：系统管理员有了更好的方法管理用户堡垒机的核心功能单点登录解决方案以Cookie作为凭证媒介01HTTP是一种无状态的协议，服务器单从网络连接上无法知道客户身份。0203服务器记录该用户状态，向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。0405浏览器再请求该网站时，把网址连同该Cookie一同提交给服务器。服务器检查该Cookie，以此来辨认用户状态。堡垒机的核心功能父应用子应用登录验证cookie通过验证，并登录成功以Cookie作为凭证媒介实施过程用户登录父应用之后，应用返回一个加密的Cookie。访问子应用的时候，携带上这个Cookie。授权应用解密Cookie并