網(wǎng)絡(luò)安全設(shè)備概述

1、網(wǎng)絡(luò)安全設(shè)備概述知識(shí)域：網(wǎng)絡(luò)安全設(shè)備知識(shí)子域：防火墻技術(shù)理解防火墻的作用、功能及分類理解包過濾技術(shù)、狀態(tài)檢測(cè)技術(shù)和應(yīng)用代理技術(shù)等防火墻主要技術(shù)原理掌握防火墻的部署結(jié)構(gòu)理解防火墻的局限性2防火墻基本概念什么是防火墻一種協(xié)助確保信息安全的設(shè)備，會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻部署在哪可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間不同安全級(jí)別網(wǎng)絡(luò)之間兩個(gè)需要隔離的區(qū)域之間Internet防火墻3為什么需要防火墻控制：在網(wǎng)絡(luò)連接點(diǎn)上建立一個(gè)安全控制點(diǎn)，對(duì)進(jìn)出數(shù)據(jù)進(jìn)行限制隔離：將需要保護(hù)的網(wǎng)絡(luò)與不可信任網(wǎng)絡(luò)進(jìn)行隔離，隱藏信息并進(jìn)行安全防護(hù)記錄：對(duì)進(jìn)出數(shù)據(jù)進(jìn)行檢查，記錄相關(guān)信息防火墻的作用4安全網(wǎng)域一防火墻

2、的分類按主要技術(shù)分包過濾型代理型混合型按體系結(jié)構(gòu)分篩選路由器雙宿/多宿主機(jī)防火墻屏蔽主機(jī)防火墻屏蔽子網(wǎng)防火墻混合結(jié)構(gòu)其他分類方法5防火墻的實(shí)現(xiàn)技術(shù)包過濾技術(shù)狀態(tài)檢測(cè)技術(shù)代理網(wǎng)關(guān)技術(shù)6防火墻的實(shí)現(xiàn)技術(shù)-包過濾實(shí)現(xiàn)機(jī)制：依據(jù)數(shù)據(jù)包的基本標(biāo)記來控制數(shù)據(jù)包網(wǎng)絡(luò)層地址：IP地址（源地址及目的地址）傳輸層地址：端口（源端口及目的端口）協(xié)議：協(xié)議類型7安全網(wǎng)域一防火墻的實(shí)現(xiàn)技術(shù)-包過濾優(yōu)點(diǎn):邏輯簡單，功能容易實(shí)現(xiàn)，設(shè)備價(jià)格便宜處理速度快可以識(shí)別和丟棄帶欺騙性源IP地址的包過濾規(guī)則與應(yīng)用層無關(guān)，無須修改主機(jī)上的應(yīng)用程序，易于安裝和使用缺點(diǎn)：過濾規(guī)則集合復(fù)雜，配置困難無法滿足對(duì)應(yīng)用層信息進(jìn)行過濾的安全要求不能防

3、止地址欺騙，及外部客戶與內(nèi)部主機(jī)直接連接安全性較差，不提供用戶認(rèn)證功能8防火墻實(shí)現(xiàn)技術(shù)-狀態(tài)檢測(cè)數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層表示層會(huì)話層傳輸層檢測(cè)引擎應(yīng)用層動(dòng)態(tài)狀態(tài)表動(dòng)態(tài)狀態(tài)表動(dòng)態(tài)狀態(tài)表在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)創(chuàng)建狀態(tài)表用于維護(hù)連接上下文應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層9防火墻實(shí)現(xiàn)技術(shù)-狀態(tài)檢測(cè)優(yōu)點(diǎn)可應(yīng)用會(huì)話信息決定過濾規(guī)則具有記錄有關(guān)通過的每個(gè)包的詳細(xì)信息的能力安全性較高缺點(diǎn)檢查內(nèi)容比包過濾檢測(cè)技術(shù)多，所以對(duì)防火墻的性能提出了更高的要求狀態(tài)檢測(cè)防火墻的配置非常復(fù)雜，對(duì)于用戶的能力要求較高，使用起來不太方便10防火墻的實(shí)現(xiàn)技

4、術(shù)-代理網(wǎng)關(guān)每一個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要通過防火墻的介入和轉(zhuǎn)換，加強(qiáng)了控制分類電路級(jí)代理應(yīng)用代理11防火墻的實(shí)現(xiàn)技術(shù)-電路級(jí)代理建立回路，對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)優(yōu)點(diǎn)能提供NAT，為內(nèi)部地址管理提供靈活性，隱藏內(nèi)部網(wǎng)絡(luò)等適用面廣缺點(diǎn)僅簡單的在兩個(gè)連接間轉(zhuǎn)發(fā)數(shù)據(jù)，不能識(shí)別數(shù)據(jù)包的內(nèi)容12防火墻的實(shí)現(xiàn)技術(shù)-NAT什么是NAT一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT技術(shù)設(shè)計(jì)初衷增加私有組織的可用地址空間解決現(xiàn)有私有網(wǎng)絡(luò)接入的IP地址編號(hào)問題13防火墻的實(shí)現(xiàn)技術(shù)-NATNAT實(shí)現(xiàn)方式靜態(tài)地址轉(zhuǎn)換動(dòng)態(tài)地址轉(zhuǎn)換端口轉(zhuǎn)換14安全網(wǎng)域

5、一00015NAT的優(yōu)缺點(diǎn)優(yōu)點(diǎn)管理方便并且節(jié)約IP地址資源隱藏內(nèi)部 IP 地址信息可用于實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載均衡缺點(diǎn)外部應(yīng)用程序卻不能方便地與 NAT 網(wǎng)關(guān)后面的應(yīng)用程序聯(lián)系。 防火墻的實(shí)現(xiàn)技術(shù)-應(yīng)用代理工作在應(yīng)用層使用代理技術(shù)，對(duì)應(yīng)用層數(shù)據(jù)包進(jìn)行檢查對(duì)應(yīng)用或內(nèi)容進(jìn)行過濾，例如：禁止FTP的 “put”命令16防火墻的實(shí)現(xiàn)技術(shù)-應(yīng)用代理優(yōu)點(diǎn)可以檢查應(yīng)用層內(nèi)容，根據(jù)內(nèi)容進(jìn)行審核和過濾提供良好的安全性缺點(diǎn)支持的應(yīng)用數(shù)量有限性能表現(xiàn)欠佳17防火墻實(shí)現(xiàn)技術(shù)-自適應(yīng)代理技術(shù)自適應(yīng)代理防火墻主要由自適應(yīng)代理服務(wù)器與動(dòng)態(tài)包過濾組成，它可以根據(jù)用戶的配置信息，決定從應(yīng)用層代理請(qǐng)求，還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包特點(diǎn)根據(jù)用戶定義安

6、全規(guī)則動(dòng)態(tài)“適應(yīng)”傳輸中的分組流量高安全要求：在應(yīng)用層進(jìn)行檢查明確會(huì)話安全細(xì)則：鏈路層數(shù)據(jù)包轉(zhuǎn)發(fā)兼有高安全性和高效率18防火墻部署結(jié)構(gòu)單防火墻（無DMZ）部署方式單防火墻（DMZ）部署方式雙防火墻部署方式19單防火墻（無DMZ）部署方式內(nèi)部網(wǎng)絡(luò)/24GW:54外部網(wǎng)絡(luò)/24GW:防火墻InternetIntranet/2454/2420單防火墻（DMZ）部署方式21防火墻的典型部署區(qū)域劃分：可信網(wǎng)絡(luò)、不可信網(wǎng)絡(luò)、DMZ區(qū)22可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事化區(qū)防護(hù)墻的策略設(shè)置沒有明確允許的就是禁止先阻止所有數(shù)據(jù)包需要的給予開放沒有明確禁止的就是允許對(duì)

7、明確禁止的設(shè)置策略23防火墻的策略設(shè)置可信網(wǎng)絡(luò)可向DMZ區(qū)和不可信網(wǎng)絡(luò)發(fā)起連接請(qǐng)求24可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事化區(qū)防火墻的策略設(shè)置DMZ區(qū)可接受可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)的連接請(qǐng)求DMZ區(qū)不可向可信網(wǎng)絡(luò)發(fā)起連接請(qǐng)求DMZ區(qū)與不可信網(wǎng)絡(luò)的連接請(qǐng)求根據(jù)業(yè)務(wù)需要確定25可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事化區(qū)雙防火墻部署方式使用兩臺(tái)防火墻分別作為外部防火墻和內(nèi)部防火墻，在兩臺(tái)防火墻之間形成了一個(gè)非軍事區(qū)網(wǎng)段外部流量允許進(jìn)入DMZ網(wǎng)段內(nèi)部流量允許進(jìn)入DMZ網(wǎng)絡(luò)并通過DMZ網(wǎng)段流出至外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)的流量不允許進(jìn)入直接

8、進(jìn)入內(nèi)部網(wǎng)絡(luò)特點(diǎn)能提供更為安全的系統(tǒng)結(jié)構(gòu)實(shí)施復(fù)雜性和費(fèi)用較高26防火墻的不足和局限性難于管理和配置，易造成安全漏洞防外不防內(nèi)，不能防范惡意的知情者只實(shí)現(xiàn)了粗粒度的訪問控制很難為用戶在防火墻內(nèi)外提供一致的安全策略不能防范病毒27知識(shí)域：網(wǎng)絡(luò)安全設(shè)備知識(shí)子域：入侵檢測(cè)系統(tǒng)理解入侵檢測(cè)系統(tǒng)的作用、功能及分類理解入侵檢測(cè)系統(tǒng)的主要技術(shù)原理掌握入侵檢測(cè)系統(tǒng)的部署結(jié)構(gòu)理解入侵檢測(cè)系統(tǒng)的局限性28什么是入侵檢測(cè)系統(tǒng)？29什么是入侵檢測(cè)系統(tǒng)一種通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象的設(shè)備入侵檢測(cè)系統(tǒng)部署在哪數(shù)據(jù)流入流出點(diǎn)關(guān)鍵位置入

9、侵檢測(cè)系統(tǒng)的作用為什么需要入侵檢測(cè)系統(tǒng)防火墻的重要補(bǔ)充構(gòu)建網(wǎng)絡(luò)安全防御體系重要環(huán)節(jié)克服傳統(tǒng)防御機(jī)制的限制入侵檢測(cè)系統(tǒng)能做什么監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)核查系統(tǒng)配置和漏洞對(duì)操作系統(tǒng)進(jìn)行日志管理，并識(shí)別違反安全策略的用戶活動(dòng)；針對(duì)已發(fā)現(xiàn)的攻擊行為作出適當(dāng)?shù)姆磻?yīng)，如告警、中止進(jìn)程等。30入侵檢測(cè)系統(tǒng)的分類按檢測(cè)原理分異常檢測(cè)誤用檢測(cè)混合檢測(cè)按數(shù)據(jù)來源分主機(jī)入侵檢測(cè)網(wǎng)絡(luò)入侵檢測(cè)混合式入侵檢測(cè)31入侵檢測(cè)系統(tǒng)的典型部署32可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻InternetIntranet旁路的方式接入部署位置防火墻外核心交換機(jī)關(guān)鍵位置HIDSNIDSNIDSNIDS33通用入侵檢測(cè)框架34入侵檢測(cè)工作過程基于網(wǎng)

10、絡(luò)的入侵檢測(cè)系統(tǒng)35入侵檢測(cè)系統(tǒng)布署入侵檢測(cè)系統(tǒng)布署基于主機(jī)的入侵檢測(cè)系統(tǒng)36入侵檢測(cè)系統(tǒng)的局限性37對(duì)用戶知識(shí)要求較高，配置、操作和管理使用較為復(fù)雜網(wǎng)絡(luò)發(fā)展迅速，對(duì)入侵檢測(cè)系統(tǒng)的處理性能要求越來越高，現(xiàn)有技術(shù)難以滿足實(shí)際需要；高虛警率，用戶處理的負(fù)擔(dān)重由于警告信息記錄的不完整，許多警告信息可能無法與入侵行為相關(guān)聯(lián)，難以得到有用的結(jié)果在應(yīng)對(duì)對(duì)自身的攻擊時(shí)，對(duì)其他數(shù)據(jù)的檢測(cè)也可能會(huì)被抑制或受到影響。知識(shí)域：網(wǎng)絡(luò)安全設(shè)備知識(shí)子域：其它網(wǎng)絡(luò)安全設(shè)備了解安全隔離與信息交換系統(tǒng)的原理、特點(diǎn)及適用場(chǎng)景了解入侵防御系統(tǒng)（IPS）原理與特點(diǎn)了解安全管理平臺(tái)（SOC）的主要功能了解統(tǒng)一威脅管理系統(tǒng)（UTM）的功

11、能與特點(diǎn)了解網(wǎng)絡(luò)準(zhǔn)入控制（NAC）的功能、組成及控制方式38安全隔離與信息交換系統(tǒng)（網(wǎng)閘）39網(wǎng)閘的組成與特點(diǎn)組成外部處理單元內(nèi)部處理單元仲裁處理單元 特點(diǎn)在網(wǎng)絡(luò)第二層（鏈路層）斷開網(wǎng)絡(luò)連接不允許信息以網(wǎng)絡(luò)數(shù)據(jù)包的方式在兩個(gè)網(wǎng)絡(luò)之間交換同時(shí)集合了其他安全防護(hù)技術(shù)4041網(wǎng)閘與防火墻的區(qū)別雙系統(tǒng)模式徹底將內(nèi)網(wǎng)保護(hù)起來安全隔離與信息交換系統(tǒng)采用自身定義的私有通訊協(xié)議，避免了通用協(xié)議存在的漏洞安全隔離與信息交換系統(tǒng)采用專用硬件控制技術(shù)保證內(nèi)外網(wǎng)之間沒有實(shí)時(shí)連接42網(wǎng)閘的適用場(chǎng)景不同涉密網(wǎng)絡(luò)之間同一涉密網(wǎng)絡(luò)的不同安全域之間與互聯(lián)網(wǎng)物理隔離的網(wǎng)絡(luò)與秘密級(jí)網(wǎng)絡(luò)之間未與涉密網(wǎng)絡(luò)連接的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間43入

12、侵防御系統(tǒng)(IPS)一種主動(dòng)的、智能的入侵檢測(cè)、防范、阻止系統(tǒng)預(yù)先對(duì)攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失IPS的部署44IPS的典型部署方式為串聯(lián)在網(wǎng)絡(luò)中可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)&服務(wù)InternetIntranetIPSIPS的特點(diǎn)45IPS采取主動(dòng)式的防御機(jī)制，以透明模式串聯(lián)于網(wǎng)絡(luò)中，能夠?qū)崟r(shí)阻斷攻擊；部署在網(wǎng)絡(luò)關(guān)鍵點(diǎn)上；過濾阻斷的是攻擊包而非攻擊源。采用多種檢測(cè)技術(shù)，準(zhǔn)確度高：特征分析；協(xié)議異常分析；行為異常分析。采用硬件加速技術(shù)，處理性能高，不影響網(wǎng)絡(luò)的正常運(yùn)行。IPS與IDS的區(qū)別46IPS采用In-line的透明模式接入網(wǎng)絡(luò)，而IDS并聯(lián)在網(wǎng)絡(luò)中，接入交換機(jī)的接口需要做鏡像；ID

13、S是一種檢測(cè)技術(shù)，而IPS是一種檢測(cè)加阻斷技術(shù)，后者的檢測(cè)結(jié)果是阻斷攻擊的依據(jù)是檢測(cè)；IPS更多是專業(yè)化定制的集成電路，而IDS一般是硬件與軟件的集合；入侵防御系統(tǒng)關(guān)注的是對(duì)入侵行為的控制，是一種側(cè)重于風(fēng)險(xiǎn)控制的安全設(shè)備；入侵檢測(cè)系統(tǒng)注重的是入侵行為的數(shù)據(jù)進(jìn)行檢測(cè)和報(bào)警，是一種側(cè)重于風(fēng)險(xiǎn)管理的安全設(shè)備。如何選擇部署IDS和IPS若計(jì)劃在一次項(xiàng)目中實(shí)施較為完整的安全解決方案，則應(yīng)同時(shí)選擇和部署入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)兩類產(chǎn)品若用戶計(jì)劃分布實(shí)施安全解決方案，可以考慮先布署入侵檢測(cè)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全狀況監(jiān)控，后期再部署入侵防御系統(tǒng)若用戶僅僅關(guān)注網(wǎng)絡(luò)安全狀況的監(jiān)控，則可在目標(biāo)信息系統(tǒng)中部署入侵檢測(cè)系統(tǒng)

14、即可47IPS存在的問題單點(diǎn)故障性能瓶頸誤報(bào)和漏報(bào)48安全管理平臺(tái)（SOC）狹義上安全管理平臺(tái)重點(diǎn)是指對(duì)安全設(shè)備的集中管理，包括集中的運(yùn)行狀態(tài)監(jiān)控、事件采集分析、安全策略下發(fā)廣義上不僅針對(duì)安全設(shè)備進(jìn)行管理，還要針對(duì)所有IT資源，甚至是業(yè)務(wù)系統(tǒng)進(jìn)行集中的安全管理，包括對(duì)IT資源的運(yùn)行監(jiān)控、事件采集分析，還包括風(fēng)險(xiǎn)管理與運(yùn)維等內(nèi)容。49SOC的理解以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型，協(xié)助管理員進(jìn)行事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。本質(zhì)上，SOC不是一款單純的產(chǎn)品，而是一個(gè)復(fù)雜的系統(tǒng)，他既有產(chǎn)品，又有服務(wù)，還有運(yùn)維（運(yùn)

15、營），SOC是技術(shù)、流程和人的有機(jī)結(jié)合。50SOC的主要功能風(fēng)險(xiǎn)管理服務(wù)管理系統(tǒng)管理專業(yè)安全系統(tǒng)51統(tǒng)一威脅管理系統(tǒng)（UTM）由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項(xiàng)或多項(xiàng)安全功能，同時(shí)將多種安全特性集成于一個(gè)硬件設(shè)備里，形成標(biāo)準(zhǔn)的統(tǒng)一威脅管理平臺(tái)。一般而言，防火墻、VPN、入侵防御、防病毒是必備的功能模塊，缺少任何一個(gè)不能稱之為UTM，其余功能用戶可以根據(jù)自身需求進(jìn)行選擇。52UTM的特點(diǎn)優(yōu)點(diǎn)將防病毒、入侵檢測(cè)、網(wǎng)絡(luò)過濾等多種同能融合在一臺(tái)設(shè)備中，安全防護(hù)能力比單臺(tái)設(shè)備大大增加提供綜合的功能和安全的性能，降低了復(fù)雜度，也降低了成本能為用戶定制安全策略，提供靈活性內(nèi)部各個(gè)功能模塊遵循同樣的管理接口，在使用上也遠(yuǎn)較傳統(tǒng)的安全產(chǎn)品簡單能提供全面的管理、報(bào)告和日志平臺(tái)，用戶可以統(tǒng)一地管理全部安全特性不足容易存在單點(diǎn)故障本身安全漏洞也更容易會(huì)造成嚴(yán)重?fù)p失設(shè)備對(duì)性能要求較高53網(wǎng)絡(luò)準(zhǔn)入控制（NAC）通過對(duì)連入網(wǎng)絡(luò)的客戶端設(shè)備進(jìn)行授權(quán)，以防止病毒和蠕蟲等惡意代碼對(duì)網(wǎng)絡(luò)安全造成危害。通過NAC，可以只允許合法的、值得信任的端點(diǎn)設(shè)備（例如PC、服務(wù)器、筆記本、智能手機(jī)等）接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入檢查設(shè)備的“狀態(tài)”，能確保等待接入網(wǎng)絡(luò)