安全知识基础培训

Internet的安全问题的产生Internet起于争论工程,安全不是主要的考虑少量的用户，多是争论人员,可信的用户群体网络协议的开放性与系统的通用性目标可访问性，行为可知性攻击工具易用性Internet没有集中的治理权威和统一的政策安全政策、计费政策、路由政策局域网安全治理把局域网比作大楼,大楼的不同用途打算它的安全级别和需求良好的网络拓扑规划(建设蓝图)对网络设备进展根本安全配置(房门锁)合理的划分VLAN(划分科室)绑定IP地址与Mac地址(对号入座)配置防火墙和IDS设备(大楼保安,摄像头)使用内容监控与病毒过滤(保密科,安检通道)安装网管软件(监控室)…………良好的网络规划网络安全规划原则合理的安排地址合理的网络拓扑构造通过VLAN分隔网络通过域或工作组确定用户权限建立良好的网络安全制度网络设备安全配置关闭不必要的设备效劳使用强口令或密码加强设备访问的认证与授权升级设备硬件或OS使用访问掌握列表限制访问使用访问掌握表限制数据包类型5网络安全木桶理论

传统木桶理论一个由很多块长短不同的木板箍成的木桶，其容量大小取决于其中最短的那块木板。要想提高木桶整体效应,就要下功夫补齐最短的那块木板的长度。同样的材质，同样的工艺能让木桶质量精进一层！依据这个理论，我们会觉察有些企业找出安全防护中的最短木块，并买了很多安全产品进展防护:觉察病毒对企业影响很大，就买了最好的反病毒软件，觉察边界担忧全，就用了最强的防火墙，觉察有黑客入侵，就部署了最先进的IDS。这其实只是一种头痛医头，脚痛医脚的做法，是治标不治本的方法。所以实施后，安全问题还是很多.传统木桶理论7木桶是否有缝隙，底板是否牢固更是木桶能否容水的关键！对于一个安全防护体系而言，其不同产品之间的协作和联动有如木板之间的缝隙，通常为我们所无视，但其危害却最深。安全产品之间的不协同工作有如木板之间的缝隙，将致使木桶不能容纳一滴水!而桶箍的妙处就在于它能把一堆独立的木条联合起来，紧紧地排成一圈，同时它消退了木条与木条之间的缝隙，使木条之间形成协作关系，形成一个共同得目标，成为一个封闭的容器。牢固的底板更是整个木桶能容水的根本所在！网络安全新木桶理论

网络安全新木桶理论

安全治理平台就是我们的桶箍，我们靠它来让全部安全设备协调工作，统一部署，充分发挥安全产品的整体防护效果。必需制定强有力的安全治理制度，为信息系统保驾护航。需要一批安全效劳专家常常对整个信息系统进展巡检，觉察安全隐患并赐予消退！8名目网络安全根底规划防拒绝效劳攻击防病毒网关防火墙技术原理VPN技术入侵检测系统安全治理平台安全效劳与治理询问拒绝效劳攻击定义

DoS〔DenialofService〕拒绝效劳攻击是用来显著降低系统供给效劳的质量或可用性的一种有目的行为。 DDoS〔DistributedDenialofservice〕分布式拒绝效劳攻击使用了分布式客户效劳器功能，，能被用于掌握任意数量的远程机器，以产生随机匿名的拒绝效劳攻击和远程访问。DDoS攻击示意图分布式拒绝效劳攻击示意图DoS攻击举例SynFloodIcmpSmurf〔directedbroadcast〕UdpFloodIcmpPingFloodTARGA3(堆栈突破)操作系统级别的拒绝效劳〔SMBDie〕应用级别的拒绝效劳〔pcanywhere〕SynFloodSYNFlood是当前最流行的DoS〔拒绝效劳攻击〕与DDoS〔分布式拒绝效劳攻击〕的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接恳求，从而使得被攻击方资源耗尽〔CPU满负荷或内存缺乏〕的攻击方式。SynFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方正常的三次握手建立通讯的过程SynFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进展SYN恳求为何还没回应就是让你白等不能建立正常的连接名目网络安全根底规划防拒绝效劳攻击防病毒网关防火墙技术原理VPN技术入侵检测系统安全治理平台总结17木桶的重要组成局部之一

—病毒过滤网关系统病毒传入途径：终端漏洞导致病毒传播；邮件接收导致病毒传播；外部带有病毒的介质直接接入网络导致病毒传播；内部用户绕过边界防护措施，直接接入因特网导致病毒被引入；网页中的恶意代码传入；移动存储介质；我已经在PC和效劳器上安装了防病毒软件，为什么我还会感染病毒?18首先，检测阻断SQLSlammer等的新型蠕虫的功击，这是传统的防病毒软件所做不到的。防病毒软件部署率不高，有漏装。防病毒软件病毒特征码没有准时更新或者禁用。防病毒软件配置不当影响了防病毒的力量。客户机及效劳器没有准时安装系统补丁。20需要一种能够在网关层面查、杀病毒，并且尽量不占用网络带宽资源的产品；尤其对于大型企业，网络流量大，网络构造多样，要求产品的适应性强，不需要转变原有的网络构造。硬件防毒墙作为面对企业级的新型病毒防护形式被准时提出，其可以在Internet与内部网络之间建立一个病毒防护壁垒，同时又是独立于防火墙的硬件产品，对效劳器的系统资源也不会造成额外负担。解决用户问题的手段需要防病毒网关和网络版防病毒软件协作工作形成整体的防病毒体系市场需要一种能够在网关层面查、杀病毒，并且尽量不占用网络带宽资源的产品；尤其对于大型企业，网络流量大，网络构造多样，要求产品的适应性强，不需要转变原有的网络构造。硬件防毒墙作为面对企业级的新型病毒防护形式被准时提出，其可以在Internet与内部网络之间建立一个病毒防护壁垒，同时又是独立于防火墙的硬件产品，对效劳器的系统资源也不会造成额外负担。解决用户问题的手段名目网络安全根底规划防拒绝效劳攻击防病毒网关防火墙技术原理VPN技术入侵检测系统安全治理平台总结23木桶的重要组成局部之二—防火墙系统防火墙已经是信息系统安全的根底设施，在网络中扮演的角色—保安，对流经它的全部数据进展严格的访问掌握。防火墙硬件比照分析ASICNP构架X86、通用CPU构架只有世界级前几名安全厂家拥有ASIC自有产权国内前几名厂商，选择了NP构架的防火墙国内以百计的小厂商依旧采用X86构架防火墙稳定的性能：无策略转发比照无策略路由转发ASIC性能千兆100％高端NP性能千兆100％X86小包千兆无法到达线速ASIC高端NPX86稳定的性能：模拟攻击模拟攻击下ASIC性能千兆100％高端NP在小包下性能降低X86性能快速下降ASIC高端NPX86安全加速技术的演进NP架构通讯加速ASIC架构通讯加速安全加速性能时间通用平台，无网络、安全加速网络处理器，对通讯专项加速只是对3层IP路由进展了加速，但是要说安全处理加速，NP缺乏定制安全芯片，对通讯和安全处理都加速x86架构28安装了防火墙后，可以为网络起到如下安全保障作用：1、在互联网接口处供给安全爱护措施，防止外部入侵。2、对效劳器进展爱护，不仅防止来自互联网的攻击，也可以防止内部员工利用内网对效劳器进展攻击。3、构建VPN，解决总部和分支机构间的互联互通和移动办公需求，合作伙伴、在家办公的员工、出差在外的员工可以在企业之外访问公司的内部网络资源。4、通过安全检查，过滤包含非法内容的网页，邮件，FTP5、带宽治理，确保即使在网络消失拥堵时，企业老总、中层领导、重要部门也能够快速、便捷、顺畅、优先上网29安装了防火墙后，可以为企业起到如下安全保障作用：6、对员工上网进展治理，防止他们在上班时间利用网络做与工作无关的事，而且掌握策略多种多样。例如：----只能访问与工作有关的网站----不能进入QQ谈天室----不能玩网络玩耍----不能用BT、电驴等P2P工具下载电影……7、掌握策略可以做到基于人而不是基于电脑。例如对员工张三限制上网，对员工李四允许上网，假设张三企图用李四的电脑上网，也一样不能得逞。8、掌握策略还可以基于时间。例如可以限制张三只能在下午七点到十点之间上网，在这个时间段以外就不能。9、可以限制每台主机，每个网段的并发连接数。防火墙的“胖”与“瘦”

由于防火墙在网络中所处的重要位置，因此，人们对防火墙可以说是寄予厚望。现在防火墙正在不断增加各种各样的新功能，因此防火墙正在急剧“长胖”。“胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台；“瘦”防火墙是指功能少而精的防火墙，它只作访问掌握的专职工作，对于综合安全解决方案，则承受多家安全厂商联盟的方式来实现。“胖”、“瘦”防火墙的定义访问掌握病毒防护入侵检测交换路由内容过滤信息审计传输加密其他胖防火墙胖防火墙的优势首先是功能全其次是掌握力度细第三是协作力量强降低选购和治理本钱胖防火墙的缺乏主要表现在性能降低其次是自身安全性差还有专业性不强，表现为功能模块的拼凑第四是稳定性差，系统越大，BUG越多最终是配置简单，不合理的配置会带来更大的安全隐患。瘦防火墙的优劣势访问掌握病毒防护入侵检测交换路由内容过滤信息审计传输加密其他瘦防火墙性能高留意核心功能，专业性强整体安全性高配置简洁，简化对治理员的专业要求相互联动首先是功能单一其次是整体防护力量较弱胖瘦防火墙之争一种观点认为，要实行分工协作，防火墙应当做得精瘦，只做防火墙的专职工作，可实行多家安全厂商联盟的方式来解决；另一种观点认为，把防火墙做得尽量的胖，把全部安全功能尽可能多地附加在防火墙上，成为一个集成化的网络安全平台。以防火墙为核心的

安全联动应用体系将是一个进展方向以防火墙为核心形成开放的安全联动应用体系将形成一种防火墙系统的进展方向。防火墙在这一体系中充当主体角色，同时它也是一个效劳中心，将得到其他安全产品的大力支持，真正成为名副其实的防火墙系统。名目网络安全根底规划防拒绝效劳攻击防病毒网关防火墙技术原理VPN技术入侵检测系统安全治理平台总结37木桶的重要组成局部之三—虚拟专用网〔VPN)VPN是在公开的互联网上，通过路由和数据加密，虚拟出一个专用网络，以到达异地远程互联，加密传输数据的目的。VPN技术虚拟专用网〔VirtualPrivateNetwork〕：在公众网络上所建立的企业网络，且此企业网络拥有与专用网络一样的安全、治理及功能等特点。IPSecVPN一般用在两个局域网之间通过Internet建立的安全连接，爱护的是点对点之间的通信，适用于办公地点固定的网络环境。并且，它不局限于Web应用，而是构建了局域网之间的虚拟专用网络，功能和应用的扩展性更强。SSLVPN一般适用于出差或在家办公的用户，客户端无需安装软件，操作员不需要额外培训，只要会使用IE扫瞄器，就可通过身份认证访问机构和企业内部网络资源；各技术的优缺点PPTP根本已被淘汰，不再使用在VPN产品中L2TP是国际标准隧道协议，它结合了PPTP协议以及其次层转发L2F协议的优点，但没有任何加密措施，更多与IPSec协议结合使用IPSec是一个范围广泛的开发的VPN安全协议，隧道机制和加密机制都很完善，是当前Site2Site的VPN应用主流SSL是一个被广泛使用的安全协议，有很好的加密机制，是Point2Site的应用主流VPN的特点解决了企业进展远程通讯必需购置专用远程访问效劳器，必需使用租用线路的高本钱、低扩展性的问题。将远程网络主干的通讯的软硬件维护的任务交给ISP治理，大大削减企业为了治理网络所投入的人力和物力，削减了企业的治理本钱。利用点对点等隧道协议〔PPTP〕以及其次层隧道协议〔L2TP〕可以实现多点建立VPN，使得用户可以开通多个VPN，以便同时访问Internet和企业网络。承受Microsoft的点对点加密协议〔MPPE〕以及安全IP标准〔IPsec〕和密匙可以实现VPN的安全策略。用户对VPN的需求

跨地域的分支机构网络互联互通构建远程“局域网”，远程“网上邻居”、资源共享降低网络通信本钱替代昂贵的专线，节省互联本钱信息流畅通，提高效率ERP、OA等业务系统实时信息共享随时随地移动办公出差在外、在家办公，随时安全接入公司网络安全、高效的电子商务与供给商和客户安全实时连接跨地域的安全网络承载应用的安全网络平台ERPOAVPN网络HRVOIP重点考虑的安全力量：－保密：防止窃听－防伪：防止被哄骗，保证用户的真实性－隔离：防止外部入侵－区分：防止内部入侵〔如病毒的跨地域传播〕－检测：检测安全漏洞，觉察入侵传统企业异地互联解决方案之一〔专线〕优点：独占IP地址空间，没有IP地址冲突问题；专线接入，带宽稳定；能够做到专网专用，网络安全性较高。缺点：部署、维护本钱很高；主干网技术落后，带宽资源有限；对于偏远地区接入困难，组网敏捷性差；无法解决移动办公人员接入问题；传统企业异地互联解决方案之二〔拨号〕优点：独占IP地址空间，没有IP地址冲突问题；网络组建简洁，费用较低；接入方式便利，网络扩展敏捷。缺点：技术落后，网络带宽很低；每次连接需要支付长途费，运营本钱高；并发接入用户数量有限；无法解决两端局域网互联的需求；VPN与传统组网方式比较网络部署维护本钱低网络传输速度高网络接入便利快捷网络可扩展性强VPN产品功能需求1、中高端网关设备支持标准协议，而且协议支持要完备；支持标准PKI体系，支持第三方CA；高安全性，包括支持国产加密卡、各种安全协议等；高性能，对加密速度和并发隧道数都有要求；高牢靠性，支持各种冗余备份方案；完备的网络路由功能；VPN产品功能需求2、中低端网关设备优秀的网络适应性，支持各种网络接入方式；安装配置简洁便利，最好能够零配置；高性价比，最好承受嵌入式体系构造；具有肯定的安全性；具有网络带宽叠加和链路备份功能；网络功能丰富，如DHCP、DNS代理、DDNS解析、自动拨号、远程唤醒等；VPN产品功能需求3、移动客户端安装使用简洁便利，最好能够零配置；具有丰富的身份认证功能，包括硬件特征码的认证；兼容性好，与其他软件不产生冲突；能够自动获得内网IP和内网DNS；支持移动用户访问权限的划分；局部用户需求支持个人防火墙等更高的安全性；VPN产品功能需求4、治理平台支持集中治理，包括设备治理、通讯策略治理等；支持证书认证和PKI体系构造；支持远程状态监控；支持分级治理；支持网络拓扑的直观显示；支持VPN网络运行状态的报表输出；名目网络安全根底规划防拒绝效劳攻击防病毒网关防火墙技术原理VPN技术入侵检测系统安全治理平台总结52木桶的重要组成局部之四—入侵检测系统〔IDS)53入侵检测系统是防火墙系统的有效补充防火墙不能防止通向站点的后门防火墙对不通过它的连接无能为力，如内网攻击等等一般防火墙不能防范病毒防火墙不能防范应用层的非法攻击入侵检测系统的理解形象地说，它就是机，能够捕获并记录网络上的全部数据，同时它也是智能摄像机，能够分析网络数据并提炼出可疑的、特别的网络数据，它还是X光摄象机，能够穿透一些奇妙的伪装，抓住实际的内容。它还不仅仅只是摄像机，还包括保安员的摄像机，能够对入侵行为自动地进展还击：阻断连接、关闭道路〔与防火墙联动〕。监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey5455产品功能防火墙联动功能主机C主机D主机B主机A受爱护网络Internet黑客发起攻击发送通知报文验证报文并实行措施发送响应报文识别出攻击行为阻断连接或者报警等NGIDS检测引擎NGIDS掌握台管理员用户面临的安全问题蠕虫攻击的危害TruSecure下属的ICSA〔InternationalComputerSecurityAssociation〕试验室调查说明，97%的病毒是通过网络传播的这些病毒大多数都是蠕虫病毒来势凶狠，传播速度很快，传播范围很广，快速涉及整个互联网，导致用户的网络信息系统消失不同程度的危害，造成不行估量的损失OurnetworkInternet用户面临的安全问题加密通信的数据中也可能含有攻击信息如何检测基于HTTPS协议的加密通信以爱护效劳器免受攻击？检测到网络中的特别行为，如何记录和取证？目前IDS的瓶颈误报率与漏报率很高网络速度愈来愈快快速检测蠕虫攻击很难加密通信的数据中也可能含有攻击信息调查取证越来越难先进的IDS需要具备的核心技术多重检测技术多层加速技术强大病毒蠕虫检测力量SSL加密访问检测技术报文回放网络数据误用检测异常检测智能协议分析会话状态分析报警大事实时关联检测综合使用误用检测、特别检测、智能协议分析、会话状态分析、实时关联检测等多种入侵检测技术，保证检测准确性多重检测技术特有的多层加速功能组件底层抓包加速引擎多线程分散式重组引擎EDUA检测访问技术双网卡分流重组技术高效的流定位及状态型的协议分析技术无缝集成的优化智能模式匹配算法专用的高速硬件平台1、供给高速网络接口接入；2、全面优化的背板总线设计；3、MBTF大于40000小时的专用一体机。1、专用的底层硬件驱动优化技术；2、供给在全负载下小包100％的检测率。1、双网卡分别处理上行和下行网络流量，相当于把网卡力量提升一倍；2、独有的流会聚引擎，有效保证协议分析技术的应用。1、检测进程对捕获数据的访问直接在内核完成；2、无需在内核空间和用户空间之间频繁切换；3、在大量并发连接的状况下不会产生大量进程，爱护系统资源。1、承受多线程分散式分片重组引擎，大大提高了重组效率；2、解决了IP分片重组造成的性能瓶颈。1、优化哈希〔Hash〕表查询，快速定位每个报文所属session；2、通过学习，模拟目标主机进展TCP流重组，有效的提高TCP流重组性能，并削减了误报；3、状态型的会话跟踪分析，优化了同一会话的检测速度；4、完整的协议分析，使得不需传统方式对每个数据包都进展检测，而是基于一个完整数据流进展分析。1、协议解码器与模式匹配引擎承受无缝连接；2、在进展细粒度协议分析后进展高效的模式匹配，最大限度提高性能。多层加速技术大多数不支持双网卡分流重组技术的IDS大于1G的网络数据小于1G的网络数据丧失的网络数据双网卡分流重组技术大多数IDS检测和分析报警和响应大于1G的网络数据上行数据下行数据双网卡分流重组技术支持双网卡分流重组技术的NGIDS分流镜像设备IDS监听口1IDS监听口2流会聚检测和分析报警和响应检测SSL加密访问中的攻击行为SSL加密访问检测IDS检测引擎交换机路由器数据镜像IDS掌握台客户SSL加密通讯HTTPS效劳器InternetSSL加密访问检测原理SSL加密访问检测公钥证书和私钥文件SSL加密数据流解密后数据流数据解密检测和分析报警和响应名目网络安全根底规划防拒绝效劳攻击防病毒网关防火墙技术原理VPN技术入侵检测系统安全治理平台总结67木桶的重要组成局部之五—综合安全治理平台〔桶箍〕终端治理现状分析