网络安全防范.ppt

第十二讲第十二讲 网络安全防范网络安全防范第十二讲 网络安全防范1主要内容主要内容网络安全认识网络安全认识网络安全防范技术分类网络安全防范技术分类网络安全防范技术网络安全防范技术网络安全防范体系网络安全防范体系第十二讲 网络安全防范2俗语说俗语说矛盾矛盾亡羊补牢亡羊补牢树欲静风不止树欲静风不止明枪易躲暗箭难防明枪易躲暗箭难防道高一尺魔高一丈道高一尺魔高一丈千里之堤毁于蚁穴千里之堤毁于蚁穴一朝被蛇咬十年怕井绳一朝被蛇咬十年怕井绳安全威安全威胁胁安全防安全防范范第十二讲 网络安全防范3网络安全认识网络安全认识网络安全防范十分必要并相当迫切网络安全防范十分必要并相当迫切不存在绝对安全的网络和信息系统不存在绝对安全的网络和信息系统用发展的眼光看待网络安全用发展的眼光看待网络安全注重网络安全体系的全面性注重网络安全体系的全面性从需求特点出发部署网络安全设施从需求特点出发部署网络安全设施把握网络安全与投入成本的平衡点把握网络安全与投入成本的平衡点第十二讲 网络安全防范4【网络安全命题一网络安全命题一】从来就没有安全的网络，从来就没有安全的网络，今后也不会有。今后也不会有。第十二讲 网络安全防范5【网络安全命题二网络安全命题二】不存在为安全而构筑的网络。不存在为安全而构筑的网络。第十二讲 网络安全防范6【网络安全命题三网络安全命题三】网络安全无小事。网络安全无小事。第十二讲 网络安全防范7网络安全防范技术分类网络安全防范技术分类嵌入式安全防范（嵌入式安全防范（Embedded Defence） 安全协议 安全设备主动式安全防范（主动式安全防范（Active Defence） 安全措施 安全补丁被动式安全防范（被动式安全防范（Passive Defence） 安全侦查 安全防御第十二讲 网络安全防范8Subnet子网子网 Sub-network AutonomousDomain（自治域、自治网络）构造具备特定应用目标的网络体系，自成相对独立体系、可自我管理 Intranet和Extranet把内部网络与Internet隔离开，通常使用NAT、Firewall等设备来完成 DMZ使用双防火墙机制，将内部网络分为内网和外网两个层次 VLAN把局域网划分为不同的虚拟子网，使用二层或三层局域网交换机或路由器完成 VPN使用安全协议和数据加密技术，构造安全的访问体系 Interconnection Host采用特殊设计的业务互连主机，将业务网络与其它系统进行互连，只传输指定数据 Physical Isolation物理隔离子网第十二讲 网络安全防范9VLAN概要概要VLAN的划分的划分 基于端口(Port) 基于MAC地址 基于IP地址VLAN作用作用 把数据交换限制在各个虚拟网的范围内，提高了网络的传输效率； 减少整个网络范围内广播包的传输，防止广播风暴（Broadcast Storm）的产生； 各虚拟网之间不能直接进行通信，而必须通过路由器转发，起到了隔离端口的作用，为高级安全控制提供了可能，增强了网络的安全性。第十二讲 网络安全防范10VLAN的逻辑分组特性的逻辑分组特性LAN1站点集线器集线器LAN2LAN3路由器站点站点站点站点站点站点站点站点集线器传统的LAN子网（物理分隔的冲突域）VLAN1支 持 VLAN的交 换 机计 算 机笔 记 本站 点支 持 VLAN的交 换 机计 算 机笔 记 本站 点支 持 VLAN的交 换 机计 算 机笔 记 本站 点VLAN2VLAN3第十二讲 网络安全防范11基于端口的基于端口的VLAN 根据以太网交换机的端口来划分VLAN，可以跨交换机进行。优点是定义VLAN成员时非常简单，只需将所有的端口都设定一遍；缺点是如果VLAN的某个用户离开了原来的端口，连接到了一个新的端口，那么就必须重新定义第十二讲 网络安全防范12基于基于MAC地址的地址的VLAN 根据每个主机的MAC地址来划分VLAN，所以也可称为基于用户的VLAN。优点就是当用户物理位置移动时，即使移动到另一个交换机，VLAN也不用重新配置；缺点是初始化时，所有的用户都必须进行配置，如果用户很多，配置的工作量非常大。此外，这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法有效限制广播包。如果网卡可能经常更换，VLAN就必须不停地更新第十二讲 网络安全防范13基于协议的基于协议的VLAN 通过第二层报文中的协议字段，判断出上层运行的网络层协议，如IP协议或者是IPX协议。当一个物理网络中存在多种第三层协议运行的时候，可采用这种VLAN的划分方法。但是现有的系统中一般仅有IP协议，所以基于协议的VLAN很少有机会使用第十二讲 网络安全防范14基于子网的基于子网的VLAN根据报文中的根据报文中的IP地址决定报文属于哪个地址决定报文属于哪个VLAN，同一个，同一个IP子网的所有报文属于子网的所有报文属于同一个同一个VLAN。优点是可以针对具体应。优点是可以针对具体应用的服务来组织用户，用户可以在网络用的服务来组织用户，用户可以在网络内部自由移动而不用重新配置自己的设内部自由移动而不用重新配置自己的设备；缺点是效率较低，因为检查每一个备；缺点是效率较低，因为检查每一个报文的报文的IP地址很耗时。同时由于一个端地址很耗时。同时由于一个端口也可能存在多个口也可能存在多个VLAN的成员，对广的成员，对广播报文也无法有效抑制播报文也无法有效抑制第十二讲 网络安全防范15VPNVirtual Private Network 虚拟专用网络虚拟专用网络 在“不安全”的网络上建立安全的互连关系VPN主要应用目的主要应用目的 用户通过Internet安全接入Intranet Intranet之间通过Internet的安全互连 通过Internet构造安全的Extranet 通过Internet的对等设备安全互连第十二讲 网络安全防范16VPN安全隧道安全隧道安全隧道（安全隧道（Secure Tunnel）第十二讲 网络安全防范17Intranet组网组网第十二讲 网络安全防范18Extranet组网组网第十二讲 网络安全防范19VPN安全隧道协议安全隧道协议点对点隧道协议（点对点隧道协议（Point-to-Point Tunnel Protocol，PPTP） PPTP协议允许对IP、IPX或NetBEUI数据流进行加密，然后封装在IP包头中，通过Intranet或Internet相互通信第第2层隧道协议（层隧道协议（Layer-2 Tunnel Protocol，L2TP） L2TP协议允许对IP、IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报通信的任意网络发送，如IP、X.25、FrameRelay或ATM安全安全IP（Secure IP，IPsec） IPSec隧道模式允许对IP负载数据进行加密，然后封装在IP包头中通过Intranet或Internet相互通信安全套接层（安全套接层（Secure Socket Layer，SSL） 使用SSL协议，实现移动用户远程安全接入内部网络。尤其是对于基于Web的应用访问，SSL-VPN方式有更强的灵活性优势第十二讲 网络安全防范20IPsecIP的安全子层（的安全子层（3.5层），包括两部分：层），包括两部分： AH（Authentication Header） ESP（Encapsulating Security Payload）AH的认证模式：的认证模式： 传输模式（Transport Mode） 不改变IP地址，插入一个AH 隧道模式（Tunnel Mode） 生成一个新的IP头，把AH和原来的整个IP包放到新IP包的载荷数据中第十二讲 网络安全防范21AH报头报头第十二讲 网络安全防范22ESP报头报头第十二讲 网络安全防范23VPN应用方式应用方式客户端方式客户端方式 由用户自行配置VPN设备和系统，ISP及Internet只提供普通的IP互连服务（网络透明方式）服务端方式服务端方式 由ISP提供VPN服务，用户端使用普通IP互连设备（用户透明方式）第十二讲 网络安全防范24NAT网络地址转换网络地址转换Network Address Translator第十二讲 网络安全防范25NAT方法方法静态翻译（静态翻译（Static Translation） 内部和外部地址一一对应（映射）动态翻译（动态翻译（Dynamic Translation） 复用外部地址，按需映射端口复用（端口复用（Port-Multiplexing） IP地址TCP/UDP端口号第十二讲 网络安全防范26NAT-PAT端口地址翻译端口地址翻译Port Address Translator，PAT第十二讲 网络安全防范27FW防火墙防火墙 FireWall第十二讲 网络安全防范28FW功能功能功能功能层次层次过滤过滤代理代理网络层网络层过滤IP地址过滤广播过滤探测报文过滤无效报文报文重组NATDoS攻击运输层运输层过滤端口号SYN攻击其它DoS攻击应用层应用层过滤内容策略应用病毒扫描木马探测其它其它过滤连接发起人Cache身份认证计费第十二讲 网络安全防范29FW抵抗同步攻击原理抵抗同步攻击原理1.攻击者发送攻击者发送SYN，请求会话连接。，请求会话连接。2.防火墙检查防火墙检查IP地址的有效性、源地址是否是内网地地址的有效性、源地址是否是内网地址等，丢弃可疑的连接请求（可不予以响应，以对址等，丢弃可疑的连接请求（可不予以响应，以对抗探测）。结束。抗探测）。结束。3.响应响应SYN-ACK，启动超时计时器。（只需匹配极少，启动超时计时器。（只需匹配极少资源；计时器长度可以依据不同需求进行调整，适资源；计时器长度可以依据不同需求进行调整，适当缩短。）当缩短。）4.若计时器超时而未受到若计时器超时而未受到ACK，则释放该连接（同样，则释放该连接（同样可以不发送拒绝报文，不占用带宽资源）。结束。可以不发送拒绝报文，不占用带宽资源）。结束。5.若受到若受到ACK，则立即向内网指定计算机（第，则立即向内网指定计算机（第3步已记步已记录相关连接参数）发送录相关连接参数）发送SYN，接收到，接收到SYN-ACK后立后立即响应即响应ACK。连接建立成功。连接建立成功。第十二讲 网络安全防范30FW-ACL访问控制列表访问控制列表Access Control List 黑名单（黑名单（Black List，Forbid List） 白名单（白名单（White List，Permission List） 灰名单（灰名单（Grey List）第十二讲 网络安全防范31双双FW与与DMZ非军事区非军事区 De-Military Zone 第十二讲 网络安全防范32DMZ应用示例应用示例第十二讲 网络安全防范33防火墙性能评价防火墙性能评价误报率漏报率误报率优劣优劣第十二讲 网络安全防范34FW类型类型软件防火墙（软件防火墙（Software Firewall）个人防火墙（个人防火墙（Personal Firewall）病毒防火墙病毒防火墙（Virus Firewall，Virus Scanner/Killer）垃圾邮件防火墙垃圾邮件防火墙（Spam Firewall，Spam Filter） 各对误报率/漏报率有何要求？第十二讲 网络安全防范35Proxy代理代理 Proxy 协助、转换、缓存、隔离、限制第十二讲 网络安全防范36信息系统访问控制分析（示例）信息系统访问控制分析（示例）总裁总监助理部门经理项目经理职员后勤人员级别级别角色角色办公 公关 生产 销售 市场 设计 技术 财务 规划查看 创建 录入 修改 删除 审核 批准操作操作第十二讲 网络安全防范37用户角色权限用户角色权限谁？可访问什么？做哪些操作？谁？可访问什么？做哪些操作？信息系统A信息系统B信息系统C功能模块A1功能模块A2功能模块B1功能模块B2功能模块B3功能模块C1组组组组读读删删改改添读读添改读字段