商金培訓常用安全產(chǎn)品技術

1、常用安全(nqun)產(chǎn)品技術防火墻、IPS/IDS共四十五頁目錄(ml) Contents防火墻技術 防火墻技術基礎 下一代防火墻技術IDS/IPS技術 入侵(rqn)檢測技術基礎 IPS熱點技術共四十五頁什么(shn me)是防火墻不可(bk)信網(wǎng)絡和服務器可信網(wǎng)絡防火墻路由器InternetIntranet可信用戶不可信用戶DMZ共四十五頁什么(shn me)是防火墻定義：防火墻（Firewall）是一種用來加強(jiqing)網(wǎng)絡之間訪問控制的特殊網(wǎng)絡互連設備，是一種非常有效的網(wǎng)絡安全模型。核心思想：在不安全的網(wǎng)際網(wǎng)環(huán)境中構造一個相對安全的子網(wǎng)環(huán)境。目的：都是為了在被保護的內(nèi)部網(wǎng)與不安全

2、的非信任網(wǎng)絡之間設立唯一的通道，以按照事先制定的策略控制信息的流入和流出，監(jiān)督和控制使用者的操作。防火墻可在鏈路層、網(wǎng)絡層和應用層上實現(xiàn)；其功能的本質(zhì)特征是隔離內(nèi)外網(wǎng)絡和對進出信息流實施訪問控制。隔離方法可以是基于物理的，也可以是基于邏輯的。共四十五頁防火墻的功能(gngnng) 網(wǎng)絡安全的屏障(pngzhng)； 過濾不安全的服務；（兩層含義）內(nèi)部提供的不安全服務和內(nèi)部訪問外部的不安全服務 阻斷特定的網(wǎng)絡攻擊； 部署NAT機制； 提供了監(jiān)視局域網(wǎng)安全和預警的方便端點。提供包括安全和統(tǒng)計數(shù)據(jù)在內(nèi)的審計數(shù)據(jù)，好的防火墻還能靈活設置各種報警方式。共四十五頁1234防火墻的實現(xiàn)技術數(shù)據(jù)包過濾(gul

3、)（Packet Filtering）代理服務（Proxy Service）狀態(tài)檢測（Stateful Inspection） 網(wǎng)絡地址轉(zhuǎn)換（Network Address Translation ）共四十五頁數(shù)據(jù)包過濾(gul)（1/6）數(shù)據(jù)(shj)鏈路層物理層數(shù)據(jù)鏈路層物理層應用層表示層會話層傳輸層網(wǎng)絡層應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層路由器共四十五頁數(shù)據(jù)包過濾技術(jsh)是一種簡單、高效的安全控制技術(jsh)，是防火墻發(fā)展初期(chq)普遍采用的技術。工作原理：系統(tǒng)在網(wǎng)絡層檢查數(shù)據(jù)包，與應用層無關。依據(jù)在系統(tǒng)內(nèi)設置的過濾規(guī)則（通常稱為訪問控制表Access Contr

4、ol List）對數(shù)據(jù)流中每個數(shù)據(jù)包包頭中的參數(shù)或它們的組合進行檢查，以確定是否允許該數(shù)據(jù)包進出內(nèi)部網(wǎng)絡。數(shù)據(jù)包過濾（2/6）共四十五頁包過濾一般(ybn)要檢查（網(wǎng)絡層的IP頭和傳輸層的頭）：IP源地址IP目的(md)地址協(xié)議類型（TCP包/UDP包/ICMP包）TCP或UDP的源端口TCP或UDP的目的端口ICMP消息類型TCP報頭中的ACK位數(shù)據(jù)包過濾（3/6）共四十五頁舉例(j l)：某條過濾規(guī)則為：禁止(jnzh)地址1的任意端口到地址2的80端口的TCP包。含義？表示禁止地址1的計算機連接地址2的計算機的WWW服務。數(shù)據(jù)包過濾（4/6）共四十五頁優(yōu)點(yudin)：邏輯簡單(jin

5、dn)，價格便宜，易于安裝和使用，網(wǎng)絡性能和透明性好。主要缺點： 安全控制的力度只限于源地址、目的地址和端口號等，不能保存與傳輸或與應用相關的狀態(tài)信息，因而只能進行較為初步的安全控制，安全性較低； 數(shù)據(jù)包的源地址、目的地址以及端口號等都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。數(shù)據(jù)包過濾（5/6）共四十五頁注意(zh y)： 創(chuàng)建(chungjin)規(guī)則比較困難； 規(guī)則過于復雜并難以測試，必須要用手工或用儀器才能徹底檢測規(guī)則的正確性； 對特定協(xié)議包的過濾：FTP協(xié)議：使用兩個端口，因此要作特殊的考慮；UDP協(xié)議：要對UDP數(shù)據(jù)包進行過濾，防火墻應有動態(tài)數(shù)據(jù)包過濾的特點；ICMP協(xié)議：應根據(jù)ICMP

6、的類型進行過濾。數(shù)據(jù)包過濾（6/6）共四十五頁應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)(shj)鏈路層物理層狀態(tài)(zhungti)檢測（1/5）應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層引擎檢測應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層動態(tài)狀態(tài)表共四十五頁狀態(tài)檢測防火墻是在動態(tài)包過濾的基礎上，增加了狀態(tài)檢測機制(jzh)而形成的；動態(tài)包過濾與普通包過濾相比，需要多做一項工作：對外出數(shù)據(jù)包的“身份”做一個(y )標記，允許相同連接的進入數(shù)據(jù)包通過狀態(tài)檢測（2/5）共四十五頁利用狀態(tài)表跟蹤每一個網(wǎng)絡會話的狀態(tài)，對每一個數(shù)據(jù)包的檢查不僅(bjn)根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)；狀

7、態(tài)檢測防火墻采用了一個在網(wǎng)關上執(zhí)行網(wǎng)絡安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡正常(zhngchng)工作的前提下，采用抽取相關數(shù)據(jù)的方法對網(wǎng)絡通信的各層實施監(jiān)測，并動態(tài)地保存起來作為以后制定安全決策的參考。狀態(tài)檢測（3/5）共四十五頁既能夠提供(tgng)代理服務的控制靈活性，又能夠提供(tgng)包過濾的高效性，是二者的結(jié)合(jih)；工作過程：對新建的應用連接，狀態(tài)檢測檢查預先設置的安全規(guī)則，允許符合規(guī)則的連接；請求數(shù)據(jù)包通過，并記錄下該連接的相關信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。狀態(tài)檢測（4/5）共四十五頁主要(zhyo)優(yōu)點：高安全性

8、（工作在數(shù)據(jù)(shj)鏈路層和網(wǎng)絡層之間；“狀態(tài)感知”能力） 高效性（對連接的后續(xù)數(shù)據(jù)包直接進行狀態(tài)檢查） 應用范圍廣（支持基于無連接協(xié)議的應用）主要缺點：狀態(tài)檢測防火墻在阻止DDoS攻擊、病毒傳播問題以及高級應用入侵問題（如實現(xiàn)應用層內(nèi)容過濾）等方面顯得力不從心。狀態(tài)檢測（5/5）共四十五頁網(wǎng)絡安全產(chǎn)品(chnpn)的系統(tǒng)化“以防火墻為核心(hxn)的網(wǎng)絡安全體系”解決方法： 直接把相關安全產(chǎn)品“做”到防火墻中 各個產(chǎn)品相互分離，但是通過某種通信方式形成一個整體（防火墻聯(lián)動技術）聯(lián)動：通過一種組合的方式，將不同技術與防火墻技術進行整合，在提高防火墻自身功能和性能的同時，由其他技術完成防火墻所

9、缺乏的功能，以適應網(wǎng)絡安全整體化、立體化的要求。共四十五頁防火墻性能(xngnng)測試簡介性能測試標準：RFC 2544（2-3層）和RFC 3511（4-7層） 吞吐量：用以衡量防火墻工作的流量大小。 最大并發(fā)連接數(shù)：決定同時在線的用戶(yngh)數(shù)。 最大新建并發(fā)連接數(shù)：影響網(wǎng)絡的瞬時訪問體驗。共四十五頁目錄(ml) Contents防火墻技術 防火墻技術基礎(jch) 下一代防火墻技術IDS/IPS技術 入侵檢測技術基礎 IPS熱點技術共四十五頁高性能：多業(yè)務(yw)安全Page21100%為防火墻功能處理(chl)性能 相對傳統(tǒng)UTM產(chǎn)品，下一代防火墻在多業(yè)務安全防護功能開啟后，性能

10、下降只有25%共四十五頁高性能總結(jié)(zngji)：一體化引擎Page22一次跑完報文處理全流程，各功能模塊復用公有流程，加快(ji kui)處理速度各功能模塊按邏輯排序，減少冗余操作。 例：先做流控，后做防病毒，流控策略丟棄的報文不需殺毒控制層與處理層分離，既保證高性能處理又提升了系統(tǒng)可靠性和擴展性報文預處理VPN行為分析引擎模式匹配引擎IPS處理引擎內(nèi)容過濾引擎防病毒引擎數(shù)據(jù)流分類報文重組流量整形FW管理中心數(shù)據(jù)中心行為事件庫特征庫報文接收報文發(fā)送交互界面共四十五頁下一代防火墻十全(shqun)功能反圾圾郵件(yujin)IPS交換上網(wǎng)行為管理VPN防火墻防病毒W(wǎng)AF流控路由融合設備級十項全

11、能，安全可以多位一體一臺設備支持FW，AV，IPS老三樣，滿足等保要求一臺設備實現(xiàn)高性能NAT、負載均衡、流控、反垃圾郵件，客戶上網(wǎng)快，辦公效率高一臺設備實現(xiàn)網(wǎng)絡實名制，內(nèi)置web portal,又可以802.1x認證，防內(nèi)部信息泄漏 一臺設備支持移動辦公(SSL VPN)，支持iPhone、Android、WP、MAC等終端一臺設備支持上網(wǎng)行為管理、內(nèi)容過濾，內(nèi)部行為可管可控共四十五頁智管理(gunl)：一體化策略Page24下一代防火墻之道：一體化策略(cl)一個頁面完成多個功能模塊配置，簡潔；一體化引擎為基礎，高性能傳統(tǒng)安全方案：“串糖葫蘆”問題 防火墻IPS流控防病毒N臺業(yè)內(nèi)解決方案：

12、 UTM（管理一臺設備，N個功能模塊）配置工作量與管理N臺設備相同仍需規(guī)避策略沖突的問題 共四十五頁智管理(gunl)：一體化策略Page25工作(gngzu)時間（9：00-17：00）信息中心人員過濾文件病毒開啟“虛擬補丁”限制P2P下載信息中心總帶寬限制10M,每人限制為1M是否支持“一次配置完成策略部署”，是區(qū)分“真”、“偽”下一代防火墻的判定依據(jù)過濾文件病毒開啟“虛擬補丁”限制P2P下載時間控制應用控制身份認證帶寬控制管理者想：共四十五頁智管理(gunl)：面向用戶的安全訪問控制實現(xiàn)基于Web的用戶身份(shn fen)認證互聯(lián)網(wǎng)服務器區(qū)Radius認證服務器2. 發(fā)起Radius

13、認證申請Web認證界面互聯(lián)網(wǎng)服務器區(qū)2. 本地用戶認證匹配Web認證界面1. 向防火墻發(fā)送認證請求3. 防火墻根據(jù)認證結(jié)果和策略允行或拒絕訪問1. 向防火墻發(fā)送認證請求4. 返回認證結(jié)果3. 本地用戶認證匹配5. 防火墻根據(jù)認證結(jié)果和策略允行或拒絕訪問防火墻本地認證對接第三方認證系統(tǒng)共四十五頁下一代防火墻特點(tdin)總結(jié)HiHiSpeed 高性能(xngnng)多業(yè)務安全防護High integrated 十大設備級功能全融合High intelligence 一體化策略智能人本管理高全智共四十五頁目錄(ml) Contents防火墻技術 防火墻技術基礎 下一代防火墻技術IDS/IPS技術

14、 入侵(rqn)檢測技術基礎 IPS熱點技術共四十五頁入侵檢測(jin c)系統(tǒng)（IDS）入侵檢測（Intrusion Detection）的定義：通過從計算機網(wǎng)絡(wnglu)或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。入侵檢測系統(tǒng)（IDS）：進行入侵檢測的軟件與硬件的組合。其本質(zhì)是為了解決傳統(tǒng)防火墻不能防御應用層攻擊共四十五頁入侵檢測(jin c)性能關鍵參數(shù)誤報(false positive)：實際無害的事件卻被IDS檢測(jin c)為攻擊事件。漏報(false negative)：一個攻擊事件未被IDS

15、檢測到或被分析人員認為是無害的。共四十五頁入侵(rqn)檢測的分類按照分析方法/檢測(jin c)原理 異常檢測（Anomaly Detection ):首先總結(jié)正常操作應該具有的特征（用戶輪廓），試圖用定量的方式加以描述，當用戶活動與正常行為有重大偏離時即被認為是入侵 誤用檢測（Misuse Detection)：收集非正常操作的行為特征，建立相關的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵共四十五頁異常檢測前提：入侵是異?；顒拥淖蛹脩?yngh)輪廓(Profile): 通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍過程：監(jiān)控(jin kn)

16、量化比較判定修正指標:漏報率低,誤報率高共四十五頁異常(ychng)檢測特點異常檢測系統(tǒng)的效率取決于用戶輪廓(lnku)的完備性和監(jiān)控的頻率不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源共四十五頁指標(zhbio):誤報低、漏報高誤用檢測前提：所有的入侵行為(xngwi)都有可被檢測到的特征攻擊特征庫: 當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵過程：監(jiān)控特征提取匹配判定共四十五頁誤用(w yn)檢測如果入侵特征與正常(zhngchng)的用戶行為能匹配，則系統(tǒng)會

17、發(fā)生誤報；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會發(fā)生漏報特點：采用模式匹配，誤用模式能明顯降低誤報率，但漏報率隨之增加。攻擊特征的細微變化，會使得誤用檢測無能為力。共四十五頁當一個入侵正在(zhngzi)發(fā)生或者試圖發(fā)生時，IDS將發(fā)布一個alert信息通知系統(tǒng)管理員如果控制臺與IDS同在一臺機器，alert信息將顯示在監(jiān)視器上，也可能伴隨有聲音(shngyn)提示如果是遠程控制臺，那么alert將通過IDS的內(nèi)置方法（通常是加密的）、SNMP（簡單網(wǎng)絡管理協(xié)議，通常不加密）、email、SMS（短信息）或者以上幾種方法的混合方式傳遞給管理員Alert（警報）共四十五頁攻擊特征是IDS

18、的核心，它使IDS在事件發(fā)生時觸發(fā)特征信息過短會經(jīng)常觸發(fā)IDS，導致誤報或錯報；過長則會影響(yngxing)IDS的工作速度有人(yu rn)將IDS所支持的特征數(shù)視為IDS好壞的標準，但是有的廠商用一個特征涵蓋許多攻擊，而有些廠商則會將這些特征單獨列出，這就會給人一種印象：好像它包含了更多的特征，是更好的IDSSignatures（特征）共四十五頁入侵檢測技術異常檢測技術誤/濫用(lnyng)檢測技術高級檢測技術入侵誘騙技術入侵響應技術12345共四十五頁目錄(ml) Contents防火墻技術(jsh) 防火墻技術基礎 下一代防火墻技術IDS/IPS技術 入侵檢測技術基礎 IPS熱點技術

19、共四十五頁DDOS攻擊(gngj)的變化CC攻擊一次好的黑客攻擊需要必須為：自身(zshn)消耗極少的資源，但給對方最大的資源消耗；DDOS2（CC攻擊）：以小搏大黑客通向目標機上開銷比較大的頁面發(fā)起請求，造成服務器CPU過載，無法正常工作!http請求請計算所有星星與地球的距離請窮舉中國人的名字DOS2時代來臨，從以多打少到以小搏大傳統(tǒng)DDoS：以多打少雖然只有兩個問題，但都是海量運算啊傳統(tǒng)DDoS攻擊傳統(tǒng)DDoS攻擊需要雇傭大量的肉雞。同時自身也需要消耗大量性能DDoS2時代的來臨共四十五頁您的問題計算超過1000w條，不合理，最多反饋100w條，您的問題計算復雜，規(guī)定時間內(nèi)，您只能問一個

20、RG-IDP提供(tgng)專業(yè)、完整的防DDoS攻擊解決方案：IDP可智能檢測并阻擋(zdng)攻擊某IP使用某SQL語句數(shù)量多或者運算復雜，則暫時鎖定一段時間甚至IDP會拒絕該IP的訪問。黑客RG-IDP請列舉所有星星與地球之間的距離請窮舉中國人姓名服務器對于客戶端請求的回復超過一定數(shù)目，既有攻擊嫌疑，則IDP會拒絕部分請求。DDOS攻擊的變化CC攻擊共四十五頁虛擬(xn)補丁系統(tǒng)補丁管理員最頭痛(tutng)的問題系統(tǒng)補丁多，工作量大補丁更新頻繁，且不分時間段在服務器上進行修改，風險高！補丁不容易卸載，一旦出BUG，問題更大還不如不更新一天之內(nèi)發(fā)布六大補丁共四十五頁亂弄，系統(tǒng)(xtng)掛了怎么辦虛擬(xn)補丁微軟2011年最重大服務器安全漏