网络安全入门概述

第10章实施网络安全第10章本章关键价值：本章主要描述CCNA认证范围内的安全技术，其中包括常见的网络威胁，对企业网络安全区域的规划，认识思科的IOS防火墙、IDS、IPS。由于网络安全的范围很广泛，根本不可能在一个章节的篇幅内叙述清楚，所以，根据思科CCNA（200-120）认证的考纲，结合实践工程环境的需求，在本章中将选取网络安全范围内的重点技术来进行描述，其中包括各种访问控制列表、限制设备的访问、记录网络设备发生的行为事件等。任务10.1简述网络安全的概念本节主要描述网络设备的常见威胁、网络安全区域的划分、基于思科IOS防火墙、IDS、IPS的基本特性，最后会分析CCNA认证中关于网络安全概念的试题。任务10.1.1认识常见的网络威胁常见的网络威胁包括：不合理的安全区域规划导致的非法访问流量、非法的网络接入、不受限制的网络设备访问、计算机病毒、网络攻击等。不合理的安全区域规划导致的非法访问流量：在部署企业网络边界时，必须谨慎地规划企业网络的安全区域，合理地划分安全等级。比如：在没有特殊的安全策略的条件下，企业内部网络可以任意地访问Internet，反之则不能，如果企业提供了公共访问服务，则应该将这些服务统一、集中地部署在一个独立的安全区域，并对该区域部署专用的访问控制策略，在不应该访问服务的前提下，对该区域执行有可能的安全加固。关于这一点的更多描述，可参看10.1.2节“理解网络安全区域”。非法的网络接入：指在没有得到相关鉴别服务的认可下，通信点不受限制地接入企业网络，这些通信点（如计算机、PDA）可能携带病毒或者木马程序，这将为企业网络安全造成极大的威胁，所以必须限制非法的网络接入。在CCNA认证的范围内，将描述使用动态ACL和交换机的端口安全技术来防御非法的网络接入。任务10.1.1不受限制的网络设备访问：为了方便远程管理网络设备，在第9章中曾描述了网络管理的方法，比如：Telnet、SSH，虽然SSH能够保障Telnet传输过程和传输内容的安全，但是它不能保障访问源点的身份是否合法，是否是指定的管理主机，在本章中将描述如何限制VTY和Console连接的访问。计算机病毒与网络攻击：计算机病毒是一个可执行的程序、代码或者脚本。计算机病毒具有很强的复制能力，使计算机运行性能下降，数据遭到破坏，对企业网络的信息工作造成极大的破坏和不可估计的损失。通过网络进行快速传播的网络病毒，会在企业网络中持续不断地寻找感染体，造成大量的扫描与探测流量，这些恶意流量会占据企业正常的业务网络，让业务流量的访问变得非常缓慢，甚至慢到让人无法接受的程度。网络攻击是指让某项服务失去正常的服务能力，来达到非法入侵者的某种目的的行为，比如：使用非法入侵者的伪装服务去代替正常的服务能力，提升权限等。通常网络攻击会伴随计算机病毒发生，常用的攻击行为有DoS攻击（拒绝服务攻击）、DDoS攻击（分布式拒绝服务攻击），在本章中可以使用基于思科的IOS防火墙来缓解网络攻击，使用基于思科IOS的入侵检测与入侵防御设备来探测网络攻击。任务10.1.2理解网络安全区域典型的安全区域部署如图10.1所示，要求安全区域（企业内部网络）可以不受阻地访问Internet区域和企业的服务器群，非安全区域（企业外部网络）不能访问企业内部网络，此时，企业的某台业务服务器需要被部署到Internet上，服务器上的信息就必须被Internet上的用户所访问，比如企业的门户网站、电子商务网站。图10.1划分网络安全区域的典型实例任务10.1.2非安全区域：通常指Internet区域，在防火墙划分的3个区域中，其安全性最低，也就是防火墙的外部接口所连接的网络。安全区域：通常指企业内部区域，在防火墙所划分的3个区域中，其安全性是最高的，也是防火墙的内部。一般情况下，该区域可以任意访问比自己安全级别低的区域，如外部区域与DMZ区域，但是不允许低级别的安全区域主动访问该区域。DMZ区域：非军事防御区域，该区域位于安全区域与非安全区域之间。它不能主动访问企业内部网络，但是可以被Internet主动访问，从而满足Internet用户访问企业服务器的需求，这是DMZ区域产生的一个重要原因。而且单独地划分出DMZ区域还有一个重要的因素：提供Internet访问的服务器本身就处于危险状态，随时有可能被攻击或感染病毒，如果把这些危险的服务器统一划分到非军事防御区域，即使这些服务器被攻击或感染病毒，也只会在该区域蔓延传播，不会传播给内部安全区域，做到了把安全违例事件限制在一定范围内，阻止其扩大蔓延。任务10.1.3理解思科的IOS防火墙思科的IOS防火墙是思科IOS系统的一个重要安全特性，它被集成到思科的路由器中，作为一个安全特性功能体现。虽然IOS防火墙只是IOS系统的一个特性集，但是它并不逊色于安全市场上某些专业级防火墙。思科基于IOS的防火墙组件包括：进行常规包过滤的访问控制列表、动态访问控制列表、日志系统、实时报警、审计系统、入侵检测系统、基于上下文的智能检测访问控制列表及NAT翻译系统等。由于基于IOS的防火墙是路由器的一个特性集且功能强大，所以有较高的性价比，在不同的子网边界设置基于IOS的防火墙是一个良好的安全策略。任务10.1.4理解基于思科IOS的IDS/IPS现今越来越多的企业将其核心业务向互联网转移，网络安全作为一个无法回避的问题摆在了人们面前，企业一般采用防火墙作为安全的第一道防线。而随着攻击者技能的日趋成熟，以及攻击工具与手法的复杂多样，单纯的防火墙策略已经无法满足对网络安全高度敏感的部门的需要，网络防卫必须采用一种纵深、多样的手段。与此同时，目前的网络环境也变得越来越复杂，各式各样复杂的设备，需要不断升级、补漏的系统使得网络管理员的工作不断加重，不经意的疏忽却有可能造成重大的安全隐患。在这种情况下，入侵检测系统（IntrusionDetectionSystem，IDS）就成了构建网络安全体系中不可或缺的组成部分。IDS是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。任务10.1.4入侵检测系统分为哪几种类型入侵检测系统可分为主机的入侵检测系统（HIDS）和基于网络的入侵检测系统（NIDS）。我们在项目中常说到的入侵检测系统（IDS）是指HIDS。基于主机的入侵检测系统（HIDS）：通过分析系统的审计数据来发现可疑的活动，如内存和文件的变化等。其输入数据主要来源于系统的审计日志，一般只能检测该主机上发生的入侵。基于网络的入侵检测系统（NIDS）：通过连接在网络上的站点捕获网上的包，并分析其是否具有已知的攻击模式，以此来判别是否为入侵者。当该系统发现某些可疑的现象时会产生告警，并会向一个中心管理站点发出“告警”信号。任务10.1.4入侵检测系统检测流量的方式穿越模式：穿越模式是指被IDS系统检测的流量必须经过IDS系统本身，否则不能完成流量的分析与识别，如图10.2所示。图10.2IDS穿越模式旁路模式：旁路模式是指被IDS系统检测的流量不需要穿越IDS系统本身，而是与交换机的端口镜像技术相结合，将流经交换机某个端口的流量镜像一份到连接有旁路模式IDS的端口上，完成流量的分析与识别，如图10.3所示。图10.3IDS旁路模式任务10.1.4CiscoIDS的检测依据是基于签名检测的。事实上，签名是一种规则，用于检查一个或一系列数据包的某些内容，例如，匹配数据包头信息或者数据有效载荷信息。签名是Cisco基于网络IDS解决方案的核心。注意：需要指出的是，签名的数目多并不一定使得基于签名的IDS解决方案更好，重要的是在检测攻击时签名的灵活性。例如，在一个IDS方案中，可能需要3个独立的签名来检测3种独立的攻击；而在另一个不同的方案中，单个的签名可以检测3种攻击。选择基于签名的IDS解决方案时，更应该关注签名的灵活性，以及自己能够建立签名的能力。思科的IPS是用来替代IDS的解决方案，它除了提供流量检测以外，还提供了发现违规信息后的防御策略。思科的IOS路由器提供了IPS服务，可以使用SDM配置基于路由器IOS的IPS服务。任务10.1.4CiscoIDS的检测依据是基于签名检测的。事实上，签名是一种规则，用于检查一个或一系列数据包的某些内容，例如，匹配数据包头信息或者数据有效载荷信息。签名是Cisco基于网络IDS解决方案的核心。注意：需要指出的是，签名的数目多并不一定使得基于签名的IDS解决方案更好，重要的是在检测攻击时签名的灵活性。例如，在一个IDS方案中，可能需要3个独立