網(wǎng)絡(luò)安全技術(shù)與應(yīng)用PPT完整全套教學(xué)課件

網(wǎng)絡(luò)安全技術(shù)與應(yīng)用01網(wǎng)絡(luò)安全概述02防火墻技術(shù)03NAT技術(shù)04防火墻雙機(jī)熱備技術(shù)05防火墻用戶管理技術(shù)06入侵防御技術(shù)07數(shù)據(jù)加密技術(shù)08VPN技術(shù)全套PPT課件網(wǎng)絡(luò)安全概述隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)已經(jīng)成為社會和經(jīng)濟(jì)發(fā)展的強(qiáng)大推動力。但是，在網(wǎng)絡(luò)中存在諸多不安全因素，如果這些問題得不到妥善處理，后果將不堪設(shè)想。正因如此，網(wǎng)絡(luò)安全的保障也愈發(fā)重要和關(guān)鍵。本章主要講述網(wǎng)絡(luò)安全的基本概念、標(biāo)準(zhǔn)規(guī)范、網(wǎng)絡(luò)基礎(chǔ)、常見的網(wǎng)絡(luò)安全威脅及防范方法等知識，為后續(xù)內(nèi)容的學(xué)習(xí)提供鋪墊。學(xué)完本課程后，您將能夠：了解網(wǎng)絡(luò)安全的定義、發(fā)展歷程和趨勢了解網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范、常見網(wǎng)絡(luò)協(xié)議熟悉常見的網(wǎng)絡(luò)安全威脅及應(yīng)對方式掌握TCP/IP和OSI參考模型描述數(shù)據(jù)解封裝過程網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全發(fā)展歷史網(wǎng)絡(luò)安全發(fā)展趨勢信息安全標(biāo)準(zhǔn)和規(guī)范網(wǎng)絡(luò)基礎(chǔ)常見網(wǎng)絡(luò)安全威脅及防范網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全包括廣義的網(wǎng)絡(luò)安全和狹義的網(wǎng)絡(luò)安全。廣義的網(wǎng)絡(luò)安全，也就是網(wǎng)絡(luò)空間安全，網(wǎng)絡(luò)空間由獨(dú)立且互相依存的信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)組成，包括互聯(lián)網(wǎng)、電信網(wǎng)、計算機(jī)系統(tǒng)、嵌入式處理器和控制器系統(tǒng)等，是國家層面的；狹義的網(wǎng)絡(luò)安全，是指通過采取必要的措施，防范對網(wǎng)絡(luò)及網(wǎng)絡(luò)中傳遞的信息的攻擊、入侵、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，保障網(wǎng)絡(luò)中信息及數(shù)據(jù)的保密性、完整性、可用性。網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全發(fā)展歷史網(wǎng)絡(luò)安全發(fā)展趨勢信息安全標(biāo)準(zhǔn)和規(guī)范網(wǎng)絡(luò)基礎(chǔ)常見網(wǎng)絡(luò)安全威脅及防范網(wǎng)絡(luò)安全發(fā)展歷程網(wǎng)絡(luò)安全發(fā)展歷程通信技術(shù)還不發(fā)達(dá)，數(shù)據(jù)零散分布，注重信息保密性。20世紀(jì)40年代通信安全時期可控性和不可否認(rèn)性成為新的信息安全原則。20世紀(jì)90年代信息保障時期20世紀(jì)70-80年代信息安全時期網(wǎng)絡(luò)技術(shù)進(jìn)入實(shí)用化，注重信息的保密性、完整性和可用性。如今網(wǎng)絡(luò)空間安全時期信息安全內(nèi)涵和外延不斷擴(kuò)展，升級到網(wǎng)絡(luò)空間安全。通信安全時期20世紀(jì)40年代，通信技術(shù)還不發(fā)達(dá)，數(shù)據(jù)只是零散地位于不同的地點(diǎn)，信息系統(tǒng)的安全僅限于保證信息的物理安全以及通過密碼（主要是序列密碼）解決通信安全的保密問題。例如，將信息安置在相對安全的地點(diǎn)，不容許非授權(quán)用戶接近，使用密碼技術(shù)保障電話、電報和傳真等信息交換過程的安全，從而確保數(shù)據(jù)的安全性。該時期側(cè)重于保證數(shù)據(jù)在兩個地點(diǎn)傳輸過程中的安全性。信息系統(tǒng)安全僅限于保證信息的物理安全以及解決通信安全的保密問題。SECURITYABCDEFGHIJ……XYZABCDEFGHIJ……PBZROFQV信息安全時期計算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用進(jìn)入實(shí)用化和規(guī)模化，數(shù)據(jù)傳輸已經(jīng)可以通過電腦網(wǎng)絡(luò)完成。信息安全的主要目標(biāo)是確保信息的完整性、可用性和保密性。完整性確保信息在傳輸過程中不被篡改。如果被篡改，信息的接收方則可以識別到。可用性確保被授權(quán)人員在需要時可以獲取和使用相關(guān)的信息資產(chǎn)。保密性確保信息只能由被授權(quán)的人員獲取及使用。數(shù)據(jù)即使被攻擊者竊取，也不能讀出正確的信息。信息保障時期可控性和不可否認(rèn)性成為保密性、完整性和可用性三個原則外，新的信息安全焦點(diǎn)。從業(yè)務(wù)、安全體系和管理三個方面構(gòu)建企業(yè)信息保障體系。從安全體系入手通過更多的技術(shù)手段把安全管理與技術(shù)防護(hù)聯(lián)系起來，主動地防御攻擊而不是被動保護(hù)。從管理入手培養(yǎng)安全管理人才建立安全管理制度。從業(yè)務(wù)入手不同業(yè)務(wù)流量有不同的風(fēng)險點(diǎn)和防御方式。保密性完整性可用性可控性不可否認(rèn)性以信息安全原則為基礎(chǔ)，從三個方面構(gòu)建企業(yè)信息保障體系。網(wǎng)絡(luò)空間安全時期信息安全的內(nèi)涵和外延不斷擴(kuò)大，升級為網(wǎng)絡(luò)空間安全，其目標(biāo)是包含設(shè)施、數(shù)據(jù)、用戶和操作在內(nèi)整個網(wǎng)絡(luò)空間的系統(tǒng)安全。國家出臺網(wǎng)絡(luò)安全等級保護(hù)等相關(guān)標(biāo)準(zhǔn)和規(guī)范，引導(dǎo)企業(yè)建立信息安全管理體系。信息安全網(wǎng)絡(luò)空間安全網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全發(fā)展歷史網(wǎng)絡(luò)安全發(fā)展趨勢信息安全標(biāo)準(zhǔn)和規(guī)范網(wǎng)絡(luò)基礎(chǔ)常見網(wǎng)絡(luò)安全威脅及防范網(wǎng)絡(luò)安全態(tài)勢感知(1)隨著企業(yè)網(wǎng)絡(luò)規(guī)模擴(kuò)大，安全架構(gòu)日趨復(fù)雜，各種類型的安全設(shè)備、安全數(shù)據(jù)越來越多，企業(yè)的安全運(yùn)維壓力不斷加大。當(dāng)前企業(yè)網(wǎng)絡(luò)環(huán)境中部署的各類安全設(shè)備主要實(shí)現(xiàn)單點(diǎn)檢測，這種獨(dú)立分割的安全防護(hù)體系已經(jīng)很難應(yīng)對以APT為代表的新型網(wǎng)絡(luò)威脅。網(wǎng)絡(luò)安全態(tài)勢感知是一種基于環(huán)境動態(tài)地、整體地洞悉安全風(fēng)險的能力，它利用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)，直觀顯示網(wǎng)絡(luò)環(huán)境的實(shí)時安全狀況，為網(wǎng)絡(luò)安全保障提供技術(shù)支撐。安全態(tài)勢感知功能安全數(shù)據(jù)分析和結(jié)果展示安全要素采集安全數(shù)據(jù)處理網(wǎng)絡(luò)安全態(tài)勢感知(2)企業(yè)網(wǎng)絡(luò)中部署HiSecInsight，通過流探針采集網(wǎng)絡(luò)中的流量、設(shè)備日志等網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)，通過大數(shù)據(jù)分析，結(jié)合機(jī)器學(xué)習(xí)技術(shù)、專家信譽(yù)和情報驅(qū)動，有效地發(fā)現(xiàn)網(wǎng)絡(luò)中的潛在威脅和高級威脅，實(shí)現(xiàn)企業(yè)內(nèi)部的全網(wǎng)安全態(tài)勢感知，分析結(jié)果在可視化界面集中展示。辦公網(wǎng)服務(wù)器區(qū)域HiSecInsight流探針HiSecInsight采集器HiSecInsight流探針零信任安全零信任的核心思想是：默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人、設(shè)備和系統(tǒng)，需要基于認(rèn)證、授權(quán)和重構(gòu)訪問控制的信任基礎(chǔ)，即永不信任，始終驗證。零信任建立的是以身份為中心，以識別、持續(xù)認(rèn)證、動態(tài)訪問控制、授權(quán)、審計以及監(jiān)測為鏈條，以最小化實(shí)時授權(quán)為核心，以多維信任算法為基礎(chǔ)，認(rèn)證可覆蓋網(wǎng)絡(luò)末端的動態(tài)安全架構(gòu)。它的核心目標(biāo)就是解決邊界問題帶來的安全風(fēng)險。企業(yè)外部網(wǎng)絡(luò)企業(yè)內(nèi)部網(wǎng)絡(luò)企業(yè)內(nèi)部網(wǎng)絡(luò)企業(yè)外部網(wǎng)絡(luò)訪問策略決策網(wǎng)絡(luò)中心化身份中心化攻擊者病毒網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全發(fā)展歷史網(wǎng)絡(luò)安全發(fā)展趨勢信息安全標(biāo)準(zhǔn)和規(guī)范網(wǎng)絡(luò)基礎(chǔ)常見網(wǎng)絡(luò)安全威脅及防范信息安全標(biāo)準(zhǔn)和規(guī)范信息安全標(biāo)準(zhǔn)是規(guī)范性文件之一，是為了在一定的范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，制定的一種規(guī)范性文件。信息安全標(biāo)準(zhǔn)化是國家網(wǎng)絡(luò)安全保障體系建設(shè)的重要組成部分。企業(yè)在建立自己的信息系統(tǒng)時，如何能夠確保自己的系統(tǒng)是安全的呢？依據(jù)國際制定的權(quán)威標(biāo)準(zhǔn)來執(zhí)行和檢查每一個步驟是個好辦法！信息安全標(biāo)準(zhǔn)組織在國際上，與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有以下2個：InternationalOrganizationforStandardization（ISO）國際標(biāo)準(zhǔn)化組織InternationalElectrotechnicalCommission（IEC）國際電工委員會國內(nèi)的安全標(biāo)準(zhǔn)組織主要有：全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA）下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會（TC8）其它一些制定標(biāo)準(zhǔn)的組織：InternationalTelecommunicationUnion（ITU）國際電信聯(lián)盟TheInternetEngineeringTaskForce（IETF）Internet工程任務(wù)組NationalInstituteofStandardsandTechnology（NIST）美國國家標(biāo)準(zhǔn)與技術(shù)研究院常見信息安全標(biāo)準(zhǔn)與規(guī)范體系、標(biāo)準(zhǔn)與規(guī)范定義信息安全管理體系組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。ISO/IEC27000系列標(biāo)準(zhǔn)信息安全管理體系的國際標(biāo)準(zhǔn)。可以幫助企業(yè)建立與優(yōu)化自身的信息安全管理體系，并對其進(jìn)行評估。網(wǎng)絡(luò)安全等級保護(hù)制度對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種制度。信息安全管理體系信息安全管理體系（InformationSecurityManagementSystem，簡稱ISMS）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。ISMS的建設(shè)遵循PDCA的流程步驟：Plan：策劃（建立ISMS）Do：實(shí)施（實(shí)施和運(yùn)行ISMS）Check：檢查（見識和評審ISMS）Action：改進(jìn)ISMSPlanDoCheckActionISMS信息安全要求和期望受控的信息安全I(xiàn)SO/IEC27000系列標(biāo)準(zhǔn)ISMS體系一旦建立，組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作，保持體系運(yùn)作的有效性。任何組織都可以建設(shè)適合自身的ISMS體系，其中ISO/IEC27000系列標(biāo)準(zhǔn)給出了詳細(xì)的要求和建設(shè)標(biāo)準(zhǔn)，組織可以依據(jù)這些要求和標(biāo)準(zhǔn)去建立ISMS體系。ISO/IEC27001是ISO/IEC27000系列標(biāo)準(zhǔn)之一，是ISMS的國際規(guī)范性標(biāo)準(zhǔn)。它要求組織通過一系列的過程，（如確定信息安全管理體系范圍、制定信息安全方針和策略、明確管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)和控制措施等）使組織達(dá)到動態(tài)的、系統(tǒng)的、全員參與的、制度化的和預(yù)防為主的信息安全管理方式。ISO/IEC27002ISO/IEC27002是用于實(shí)施時選擇控制措施時參考，或作為組織實(shí)施信息安全控制措施的指南。其最新版本ISO/IEC27002:2022于2022年發(fā)布，從4個主題提出93個控制措施，這些控制措施是信息安全管理的最佳實(shí)踐。組織控制（37個控制點(diǎn)）人員控制（8個控制點(diǎn)）物理控制（14個控制點(diǎn)）技術(shù)控制（34個控制點(diǎn)）ISO/IEC27000體系家族除了ISO/IEC27001和ISO/IEC27002，ISO/IEC27000系列標(biāo)準(zhǔn)還包括認(rèn)證與審核指南相關(guān)的標(biāo)準(zhǔn)以及行業(yè)的相關(guān)標(biāo)準(zhǔn)。整個ISO/IEC27000系列標(biāo)準(zhǔn)致力于幫助不同類型、大小的企業(yè)及組織建立并運(yùn)行ISMS。ISO/IEC27000ISO/IEC27001ISO/IEC27002ISO/IEC27003ISO/IEC27004ISO/IEC27005第二部分認(rèn)證認(rèn)可及審核指南ISO/IEC27006ISO/IEC27007ISO/IEC27008金融業(yè)電信業(yè)其它專門應(yīng)用與某個具體的安全域。ISO/IEC27799處于研究階段并以新項目提案方式體現(xiàn)的成果。例如，供應(yīng)鏈安全、存儲安全等。第一部分要求及支持性指南第二部分認(rèn)證認(rèn)可及審核指南第三部分行業(yè)信息安全管理要求第四部分醫(yī)療信息安全管理標(biāo)準(zhǔn)等級保護(hù)發(fā)展歷程2017年6月1日，《網(wǎng)絡(luò)安全法》正式實(shí)施。網(wǎng)絡(luò)安全等級保護(hù)是指對網(wǎng)絡(luò)（含信息系統(tǒng)、數(shù)據(jù)）實(shí)施分等級保護(hù)、分等級監(jiān)管，對網(wǎng)絡(luò)中使用的網(wǎng)絡(luò)安全產(chǎn)品實(shí)行按等級管理，對網(wǎng)絡(luò)中發(fā)生的安全事件分等級響應(yīng)、處置。等保經(jīng)歷了20多年的發(fā)展，大概經(jīng)歷了四個階段，國家等級保護(hù)制定也從1.0版本發(fā)展到了2.0版本。國家呼吁加強(qiáng)信息安全建設(shè)，提出要對信息系統(tǒng)進(jìn)行劃分等級來保護(hù)。1994~2003起步階段2007~2016推廣階段（等保1.0）2004~2006發(fā)展階段制定了大量等級保護(hù)相關(guān)的標(biāo)準(zhǔn)、規(guī)范，并在部分單位進(jìn)行試點(diǎn)。2017~至今等保2.0公安部在等保1.0基礎(chǔ)上，制定了等保2.0標(biāo)準(zhǔn)，增加了對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等新技術(shù)的覆蓋?？煽匦院筒豢煞裾J(rèn)性成為新的信息安全原則。等級保護(hù)對象等級保護(hù)對象是指網(wǎng)絡(luò)安全等級保護(hù)工作中的對象，通常是指由計算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲、傳輸、交換和處理的系統(tǒng)，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)網(wǎng)技術(shù)的系統(tǒng)等。等級保護(hù)對象基礎(chǔ)信息平臺云計算平臺大數(shù)據(jù)平臺物聯(lián)網(wǎng)工業(yè)控制系統(tǒng)采用移動互聯(lián)技術(shù)的系統(tǒng)等級保護(hù)系統(tǒng)定級等級保護(hù)對象根據(jù)其在國家安全，經(jīng)濟(jì)建設(shè)和社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高被劃分為五個安全保護(hù)等級。受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第三級社會秩序公共利益第二級第三級第四級國家安全第三級第四級第五級定級要素與安全保護(hù)等級的關(guān)系不同級別的安全保護(hù)能力第一級自主保護(hù)級：一般適用于小型私營、個體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。第二級指導(dǎo)保護(hù)級：一般適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。第三級監(jiān)督保護(hù)級：一般適用于地市級以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)。第四級強(qiáng)制保護(hù)級：一般適用于國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。第五級?？乇Ｗo(hù)級：一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。等級保護(hù)安全要求等保2.0安全要求分為安全通用要求和安全擴(kuò)展要求，以實(shí)現(xiàn)對不同級別和不同形態(tài)等級保護(hù)對象的共性化和個性化保護(hù)。安全通用要求和擴(kuò)展要求都分為技術(shù)要求和管理要求兩方面，不同安全等級對應(yīng)的要求具體內(nèi)容不同，安全等級越高，要求內(nèi)容越嚴(yán)格。技術(shù)要求管理要求安全物理環(huán)境安全管理制度安全通信網(wǎng)絡(luò)安全管理機(jī)構(gòu)安全計算環(huán)境安全管理人員安全區(qū)域邊界安全建設(shè)管理安全管理中心安全運(yùn)維管理等保2.0安全要求安全通用要求云計算安全擴(kuò)展要求移動互聯(lián)安全擴(kuò)展要求物聯(lián)網(wǎng)安全擴(kuò)展要求工業(yè)控制系統(tǒng)安全擴(kuò)展要求安全擴(kuò)展要求等級保護(hù)標(biāo)準(zhǔn)體系等保2.0標(biāo)準(zhǔn)體系除了明確網(wǎng)絡(luò)安全等級保護(hù)基本要求的GB/T22239-2019外，還有其他一系列標(biāo)準(zhǔn)用于指導(dǎo)等保2.0的定級、實(shí)施、測評等工作。網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)體系定級指南GB/T22240-2020基本要求GB/T22239-2019設(shè)計要求GB/T25070-2019實(shí)施指南GB/T25058-2019測評要求GB/T28448-2019測評過程指南GB/T28449-2018等級保護(hù)的工作流程1.定級2.備案3.建設(shè)整改4.等級測評5.監(jiān)督檢查運(yùn)營單位（客戶）確定等級，編寫報告準(zhǔn)備材料，到當(dāng)?shù)毓矙C(jī)關(guān)備案建設(shè)技術(shù)和管理體系接受測評接受定期檢查安全承建單位（華為或第三方）協(xié)助協(xié)助提供安全產(chǎn)品和服務(wù)咨詢機(jī)構(gòu)（華為或第三方）輔導(dǎo)運(yùn)營單位準(zhǔn)備定級報告，并出具專家評審意見輔導(dǎo)運(yùn)營單位準(zhǔn)備材料及備案輔導(dǎo)運(yùn)營單位建設(shè)安全技術(shù)體系及制定管理制度協(xié)助運(yùn)營單位參與等級測評及整改協(xié)助運(yùn)營單位接受檢查和進(jìn)行整改測評機(jī)構(gòu)（第三方機(jī)構(gòu)）等級測評公安機(jī)關(guān)審核受理備案定期監(jiān)督檢查等級保護(hù)系統(tǒng)定級流程確定定級對象初步確認(rèn)等級最終確定的等級專家評審主管部門審核公安機(jī)關(guān)備案審查包括基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、其他信息系統(tǒng)和大數(shù)據(jù)等。使用單位需將定級結(jié)果上報行業(yè)主管部門核準(zhǔn)，并出具核準(zhǔn)意見。

使用單位按照相關(guān)管理規(guī)定，將定級結(jié)果提交公安機(jī)關(guān)進(jìn)行備案審核。包括確定受侵害的客體、侵害對客體的侵害程度以及綜合判定侵害程度。定級對象的運(yùn)營、使用單位應(yīng)組織信息安全專家和業(yè)務(wù)專家，對初步定級結(jié)果的合理性進(jìn)行評審,出具專家評審意見。網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)體系結(jié)構(gòu)常見網(wǎng)絡(luò)協(xié)議數(shù)據(jù)封裝與解封裝常見網(wǎng)絡(luò)設(shè)備常見網(wǎng)絡(luò)安全威脅及防范OSI參考模型開放式系統(tǒng)互連（OpenSystemInterconnect，OSI），一般稱為OSI參考模型，是ISO發(fā)布的網(wǎng)絡(luò)互連模型。OSI參考模型定義了網(wǎng)絡(luò)互連的七層框架。層級作用應(yīng)用層為應(yīng)用程序提供接口。表示層進(jìn)行數(shù)據(jù)格式的轉(zhuǎn)換，以確保一個系統(tǒng)生成的應(yīng)用層數(shù)據(jù)能夠被另一個系統(tǒng)的應(yīng)用層所識別和理解。會話層在通信雙方之間建立、管理和終止會話。傳輸層建立、維護(hù)和取消一次端到端的數(shù)據(jù)傳輸過程。控制傳輸節(jié)奏的快慢，調(diào)整數(shù)據(jù)的排序等。網(wǎng)絡(luò)層定義邏輯地址，實(shí)現(xiàn)數(shù)據(jù)從源到目的地的轉(zhuǎn)發(fā)。數(shù)據(jù)鏈路層將分組數(shù)據(jù)封裝成幀，在數(shù)據(jù)鏈路上實(shí)現(xiàn)數(shù)據(jù)的點(diǎn)到點(diǎn)、或點(diǎn)到多點(diǎn)方式的直接通信以及差錯檢測。物理層在媒介上傳輸比特流，提供機(jī)械的和電氣的規(guī)約。TCP/IP參考模型由于TCP/IP參考模型的開放性和易用性，以致在實(shí)踐中得到了廣泛應(yīng)用，成為了互聯(lián)網(wǎng)的實(shí)際參考模型。而OSI參考模型較為復(fù)雜，只是作為理論研究的模型。TCP/IP模型在結(jié)構(gòu)上與OSI模型類似，采用分層架構(gòu)，分為四層。網(wǎng)絡(luò)接口層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)互聯(lián)層網(wǎng)絡(luò)層傳輸層傳輸層會話層表示層應(yīng)用層應(yīng)用層TCP/IP參考模型OSI參考模型TCP/IP對等模型網(wǎng)絡(luò)互聯(lián)層傳輸層應(yīng)用層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)體系結(jié)構(gòu)常見網(wǎng)絡(luò)協(xié)議數(shù)據(jù)封裝與解封裝常見網(wǎng)絡(luò)設(shè)備常見網(wǎng)絡(luò)安全威脅及防范TCP/IP常見協(xié)議TCP/IP協(xié)議棧定義了一系列的標(biāo)準(zhǔn)協(xié)議。應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTPSFTPTelnetSTelnetHTTPHTTPSDNS......TCPUDPICMPIPv4EthernetARP……應(yīng)用層應(yīng)用層為應(yīng)用軟件提供接口，使應(yīng)用程序能夠使用網(wǎng)絡(luò)服務(wù)。應(yīng)用層協(xié)議會使用某一種傳輸層協(xié)議，以及定義傳輸層所使用的端口號。典型應(yīng)用層協(xié)議：FTP：文件傳輸協(xié)議，提供互聯(lián)網(wǎng)文件資源共享服務(wù)。SFTP：安全文件傳輸協(xié)議。Telnet：遠(yuǎn)程登陸協(xié)議，提供遠(yuǎn)程管理服務(wù)。STelnet：安全的Telnet服務(wù)。HTTP：超文本傳輸協(xié)議，提供測覽網(wǎng)頁服務(wù)。HTTPS：以安全為目標(biāo)的HTTP通道。......應(yīng)用層（Data）傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTPFTP（FileTransferProtocol）是一個用于從一臺主機(jī)傳送文件到另一臺主機(jī)的協(xié)議，用于文件的“下載”和“上傳”，它采用C/S（Client/Server）結(jié)構(gòu)。使用FTP傳輸數(shù)據(jù)時，需要在服務(wù)器和客戶機(jī)之間建立控制連接和數(shù)據(jù)連接。FTP連接的建立分為主動模式和被動模式，兩者的區(qū)別在于數(shù)據(jù)連接是由服務(wù)器發(fā)起還是由客戶端發(fā)起。臨時端口臨時端口端口21端口20控制連接數(shù)據(jù)連接FTPClientFTPServer臨時端口臨時端口端口21臨時端口控制連接數(shù)據(jù)連接FTPClientFTPServer主動模式被動模式SFTPSFTP（SecureFileTransferProtocol，安全文件傳輸協(xié)議）是一種基于SSH（SecureShell）提供文件安全傳輸?shù)木W(wǎng)絡(luò)協(xié)議。FTP是明文傳輸?shù)?，并不安全。而SFTP對傳輸?shù)恼J(rèn)證信息和數(shù)據(jù)進(jìn)行加密，相對于FTP極大提升了安全性。SFTP是一個單通道協(xié)議，目的端口號默認(rèn)為22，通過客戶端和服務(wù)器之間的SSH協(xié)議安全連接來傳輸文件，而FTP是一個雙通道協(xié)議，包括控制通道和數(shù)據(jù)通道。InternetSFTP客戶端SFTP服務(wù)器更加安全加密加密TelnetTelnet是數(shù)據(jù)網(wǎng)絡(luò)中提供遠(yuǎn)程登錄的標(biāo)準(zhǔn)協(xié)議。Telnet為用戶提供了在本地計算機(jī)上完成遠(yuǎn)程設(shè)備工作的能力。用戶通過Telnet客戶端程序連接到Telnet服務(wù)器。用戶在Telnet客戶端中輸入命令,這些命令會在服務(wù)器端運(yùn)行，就像直接在服務(wù)端的控制臺上輸入一樣。無線接入點(diǎn)交換機(jī)防火墻服務(wù)器路由器Telnet服務(wù)器Telnet連接客戶端InternetSTelnetSTelnet（SecureTelnet）是一種安全的Telnet服務(wù)，使用戶可以從遠(yuǎn)端安全登錄到設(shè)備，所有交互數(shù)據(jù)均經(jīng)過加密，實(shí)現(xiàn)安全的會話連接。Telnet是明文傳輸?shù)?，并不安全，使用STelnet可以極大提升安全性。無線接入點(diǎn)交換機(jī)防火墻服務(wù)器路由器STelnet服務(wù)器STelnet連接客戶端Internet加密加密HTTPHTTP（HyperTextTransferProtocol）是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議，目的端口默認(rèn)為TCP的80號端口。HTTP是一個簡單的請求/響應(yīng)協(xié)議，基于B/S架構(gòu)進(jìn)行通信。HTTP客戶端HTTP服務(wù)器訪問：返回該頁面的HTML文件InternetHTTPSHTTPS（HypertextTransferProtocolSecure）是以安全為目標(biāo)的HTTP通道。HTTPS在HTTP的基礎(chǔ)上加入TLS（TransportLayerSecurity）層，為數(shù)據(jù)傳輸提供身份驗證、加密及完整性校驗。HTTPS的目的端口默認(rèn)為443。HTTP客戶端HTTP服務(wù)器HTTPS客戶端HTTPS服務(wù)器IPTCPHTTPIPTCPTLSHTTP身份驗證信息加密完整性校驗明文通信密文通信DNS在瀏覽網(wǎng)頁時，我們輸入網(wǎng)址這個字符串，但計算機(jī)去訪問這個網(wǎng)址時，真正需要知道的是網(wǎng)址對應(yīng)域名的IP地址，這時就需要由專門的域名解析系統(tǒng)（DomainNameSystem，簡稱DNS）來完成。域名解析分為動態(tài)域名解析和靜態(tài)域名解析。在解析域名時，首先采用靜態(tài)域名解析的方法，如果靜態(tài)解析不成功，再采用動態(tài)域名解析的方法。客戶端本地DNS服務(wù)器請求的IP地址返回的IP地址為X.X.X.XInternet訪問X.X.X.X地址傳輸層傳輸層協(xié)議接收來自應(yīng)用層協(xié)議的數(shù)據(jù)，封裝上相應(yīng)的傳輸層頭部，幫助其建立“端到端”的連接。傳輸層協(xié)議：TCP：一種面向連接的、可靠的傳輸層通信協(xié)議，由IETF的RFC793定義。UDP：一種簡單的無連接的傳輸層協(xié)議，由IETF的RFC768定義。傳輸層（Segment）應(yīng)用層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層TCP報文格式TCP（TransmissionControlProtocol）是一種面向連接的、可靠的傳輸層通信協(xié)議。TCP在IP數(shù)據(jù)報文中的封裝主要包括TCP報頭和TCP數(shù)據(jù)。0151631源端口（16）目標(biāo)端口（16）序列號（32）確認(rèn)號（32）數(shù)據(jù)可選項校驗和（16）緊急指針（16）窗口（16）FIN(1)SYN(1)RST(1)PSH(1)ACK(1)URG(1)數(shù)據(jù)偏移（4）保留（6）TCP頭部UDP報文格式UDP（UserDatagramProtocol）是一種無連接的傳輸層協(xié)議，提供面向事務(wù)的簡單不可靠信息傳送服務(wù)。UDP的傳輸過程比較簡單，傳輸效率較高，但可靠性較低，如果傳輸發(fā)生問題，UDP無法確認(rèn)、重傳及流量控制，必須通過應(yīng)用層的相關(guān)協(xié)議進(jìn)行處理。0151631源端口（16）目標(biāo)端口（16）數(shù)據(jù)長度（16）校驗和（16）網(wǎng)絡(luò)層傳輸層負(fù)責(zé)建立主機(jī)之間進(jìn)程與進(jìn)程之間的連接，而網(wǎng)絡(luò)層則負(fù)責(zé)數(shù)據(jù)從一臺主機(jī)到另外一臺主機(jī)之間的傳遞。網(wǎng)絡(luò)層作用：負(fù)責(zé)將分組報文從源主機(jī)發(fā)送到目的主機(jī)。為網(wǎng)絡(luò)中的設(shè)備提供邏輯地址。負(fù)責(zé)數(shù)據(jù)包的尋徑和轉(zhuǎn)發(fā)。常見協(xié)議如IPv4、IPv6、ICMP和IGMP等。網(wǎng)絡(luò)層（Packet）應(yīng)用層傳輸層數(shù)據(jù)鏈路層物理層IPv4報文頭部0163120Bytes固定長度版本首部長度區(qū)分服務(wù)總長度標(biāo)識標(biāo)志片偏移生存時間協(xié)議首部校驗和源IP地址目的IP地址可選字段（長度可變）

填充以太網(wǎng)頭部IP頭部數(shù)據(jù)部分以太網(wǎng)尾部IP數(shù)據(jù)報文IP報文轉(zhuǎn)發(fā)源設(shè)備發(fā)出的報文會在其網(wǎng)絡(luò)層頭部攜帶源及目的設(shè)備的網(wǎng)絡(luò)層地址。具備路由功能的網(wǎng)絡(luò)設(shè)備（例如路由器等）會維護(hù)路由表。當(dāng)這些網(wǎng)絡(luò)設(shè)備收到報文時，會讀取其網(wǎng)絡(luò)層攜帶的目的地址，并在其路由表中查詢該地址，找到匹配項后，按照該表項的指示轉(zhuǎn)發(fā)數(shù)據(jù)。PC1PC2路由器GE0/0/0GE0/0/1網(wǎng)絡(luò)A完成IP頭部的封裝，主要包括源和目的IP地址字段網(wǎng)絡(luò)出接口網(wǎng)絡(luò)AGE0/0/1…………路由表ICMP協(xié)議ICMP（InternetControlMessageProtocol）是IP協(xié)議的輔助協(xié)議。ICMP協(xié)議用來在網(wǎng)絡(luò)設(shè)備間傳遞各種差錯和控制信息，對于收集各種網(wǎng)絡(luò)信息、診斷和排除各種網(wǎng)絡(luò)故障等方面起著至關(guān)重要的作用。ICMP消息封裝在IP報文中，IP報文頭部協(xié)議字段為1時表示ICMP協(xié)議。ICMP消息的格式取決于類型和代碼字段，不同的類型和代碼表示不同的ICMP消息。以太網(wǎng)尾部ICMP報文IP頭部以太網(wǎng)頭部TypeCodeChecksumICMP的報文內(nèi)容TypeCode描述00EchoReply30網(wǎng)絡(luò)不可達(dá)31主機(jī)不可達(dá)32協(xié)議不可達(dá)33端口不可達(dá)50重定向80Echo

Request數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層位于網(wǎng)絡(luò)層和物理層之間，可以向網(wǎng)絡(luò)層的IPv4和IPv6等協(xié)議提供服務(wù)。以太網(wǎng)（Ethernet）是最常見的數(shù)據(jù)鏈路層協(xié)議。數(shù)據(jù)鏈路層位于網(wǎng)絡(luò)層和物理層之間：數(shù)據(jù)鏈路層向網(wǎng)絡(luò)層提供“段內(nèi)通信”；負(fù)責(zé)組幀、物理編址和差錯控制等功能；常見的數(shù)據(jù)鏈路層協(xié)議有：以太網(wǎng)、PPPoE和PPP等。數(shù)據(jù)鏈路層（Frame）應(yīng)用層傳輸層網(wǎng)絡(luò)層物理層Ethernet以太網(wǎng)（Ethernet）協(xié)議，用于實(shí)現(xiàn)鏈路層的數(shù)據(jù)傳輸和地址封裝。以太網(wǎng)技術(shù)所使用的幀稱為以太網(wǎng)幀（EthernetFrame），有EthernetII格式和IEEE802.3格式兩個標(biāo)準(zhǔn)。以太網(wǎng)中，主機(jī)間通信通過MAC地址進(jìn)行識別。MAC地址有48bit，例如，00-1E-10-DD-DD-02，在網(wǎng)絡(luò)中唯一標(biāo)識一個網(wǎng)卡。Ethernet_II格式DMACSMACType用戶數(shù)據(jù)FCSDMACSMACLengthLLCSNAP用戶數(shù)據(jù)FCSIEEE802.3格式OrgCodeType3B2B6B6B2B46-1500B4B6B6B2B38-1492B4B3B5B數(shù)據(jù)幀的總長度：64-1518

ByteARP主機(jī)通信過程中，要使IP報文能夠正常轉(zhuǎn)發(fā)，還需要知道目的主機(jī)MAC地址或者網(wǎng)關(guān)的MAC地址，這是就需要用到ARP，根據(jù)已知的IP地址解析獲得其對應(yīng)的MAC地址。/243C-52-82-49-7E-9D/2448-A4-72-1C-8F-4FHostAHostBARP請求報文ARP響應(yīng)報文目的IP地址：目的MAC地址：？源IP地址：源MAC地址：48-A4-72-1C-8F-4F網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)體系結(jié)構(gòu)常見網(wǎng)絡(luò)協(xié)議數(shù)據(jù)封裝與解封裝常見網(wǎng)絡(luò)設(shè)備常見網(wǎng)絡(luò)安全威脅及防范發(fā)送方數(shù)據(jù)封裝應(yīng)用層Data物理層傳輸層TCPHeaderData網(wǎng)絡(luò)層IPHeaderPayload數(shù)據(jù)鏈路層EthernetHeaderPayloadFCS……0110010101……段Segment包Packet幀F(xiàn)rame位Bit數(shù)據(jù)Data傳輸介質(zhì)接收方數(shù)據(jù)解封裝……0110010101……PayloadEthHeaderFCSPayloadIPHeaderDataTCP

HeaderWeb服務(wù)器應(yīng)用層物理層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層段Segment包Packet幀F(xiàn)rame位Bit數(shù)據(jù)Data傳輸介質(zhì)Data網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)體系結(jié)構(gòu)常見網(wǎng)絡(luò)協(xié)議數(shù)據(jù)封裝與解封裝常見網(wǎng)絡(luò)設(shè)備常見網(wǎng)絡(luò)安全威脅及防范企業(yè)園區(qū)網(wǎng)絡(luò)典型架構(gòu)網(wǎng)絡(luò)系統(tǒng)是通過多種網(wǎng)絡(luò)設(shè)備共同構(gòu)建的，這些設(shè)備各司其職、相互聯(lián)系，組成一個安全可靠的網(wǎng)絡(luò)環(huán)境。一個典型的園區(qū)數(shù)據(jù)網(wǎng)絡(luò)由路由器、交換機(jī)、防火墻等設(shè)備構(gòu)成，通常采用接入層、匯聚層、核心層和出口層的多層架構(gòu)。接入層匯聚層核心層出口層交換機(jī)交換機(jī)是距離終端用戶最近的設(shè)備，常用于終端接入網(wǎng)絡(luò)。二層交換機(jī)工作在數(shù)據(jù)鏈路層，它對數(shù)據(jù)幀的轉(zhuǎn)發(fā)是建立在MAC地址基礎(chǔ)之上的。通過學(xué)習(xí)以太網(wǎng)數(shù)據(jù)幀的源MAC地址來維護(hù)MAC地址與接口的對應(yīng)關(guān)系（保存MAC與接口對應(yīng)關(guān)系的表稱為MAC地址表），通過其目的MAC地址來查找MAC地址表決定向哪個接口轉(zhuǎn)發(fā)。IPA：/24MAC

A：0050-5600-0001IPB：/24MAC

B：0050-5600-0002主機(jī)A發(fā)出的數(shù)據(jù)幀交換機(jī)GE0/0/1GE0/0/2GE0/0/3主機(jī)A主機(jī)B網(wǎng)絡(luò)源地址目的地址源MAC：MACA目的MAC：MACB源IP：IPA目的IP：IPBMAC地址PortMACAGE0/0/1MACBGE0/0/2……交換機(jī)的MAC地址表路由器路由器工作在網(wǎng)絡(luò)層，使報文能夠在不同網(wǎng)絡(luò)間轉(zhuǎn)發(fā)。網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層RouterARouterBRouterC應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層HostAHostB應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層RouterCRouterBRouterA防火墻防火墻主要部署在網(wǎng)絡(luò)邊界，本質(zhì)是控制流量。防火墻是對網(wǎng)絡(luò)訪問行為進(jìn)行控制的一種設(shè)備，其核心特性是安全防護(hù)。交換機(jī)

匯聚組建局域網(wǎng)

二/三層快速轉(zhuǎn)發(fā)報文防火墻

控制報文轉(zhuǎn)發(fā)

防攻擊防病毒、木馬路由器

尋址和轉(zhuǎn)發(fā)

保證網(wǎng)絡(luò)互聯(lián)互通訪問外網(wǎng)流量訪問內(nèi)網(wǎng)流量主機(jī)網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)基礎(chǔ)常見網(wǎng)絡(luò)安全威脅及防范企業(yè)網(wǎng)絡(luò)安全威脅概覽通信網(wǎng)絡(luò)安全需求與方案邊界區(qū)域防護(hù)計算環(huán)境防護(hù)管理中心防護(hù)企業(yè)網(wǎng)絡(luò)安全威脅概覽(1)企業(yè)存在來自內(nèi)部和外部的安全威脅，下圖是一張典型的企業(yè)網(wǎng)絡(luò)架構(gòu)圖：員工區(qū)2員工區(qū)1運(yùn)營商邊界區(qū)域計算環(huán)境（辦公區(qū)）計算環(huán)境（服務(wù)器區(qū)）管理中心AntiDDoSATIC防火墻IPS路由器核心交換機(jī)接入交換機(jī)郵件服務(wù)器Web服務(wù)器UMA堡壘機(jī)iMaster-NCEDDoS攻擊病毒企業(yè)網(wǎng)絡(luò)安全威脅概覽(2)為了有效的防范企業(yè)網(wǎng)絡(luò)安全威脅，企業(yè)工程師常常會根據(jù)威脅來源將網(wǎng)絡(luò)劃分為不同區(qū)域：通信網(wǎng)絡(luò)架構(gòu)邊界區(qū)域管理中心計算環(huán)境企業(yè)網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)基礎(chǔ)常見網(wǎng)絡(luò)安全威脅及防范企業(yè)網(wǎng)絡(luò)安全威脅概覽通信網(wǎng)絡(luò)安全需求與方案邊界區(qū)域防護(hù)計算環(huán)境防護(hù)管理中心防護(hù)需求1-網(wǎng)絡(luò)架構(gòu)可靠性從第三級等級保護(hù)（監(jiān)督保護(hù)級）開始，安全通信網(wǎng)絡(luò)部分中網(wǎng)絡(luò)架構(gòu)要求：應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余，保證系統(tǒng)的可用性。防火墻作為企業(yè)出口區(qū)域的關(guān)鍵設(shè)備，應(yīng)該具備高可靠性，不僅是線路的高可靠性，也需要保障設(shè)備的高可靠性。因此，通常采用防火墻雙機(jī)熱備技術(shù)實(shí)現(xiàn)高可靠組網(wǎng)。主機(jī)A訪問外網(wǎng)流量主機(jī)B訪問外網(wǎng)流量內(nèi)網(wǎng)主機(jī)A主機(jī)B防火墻AMaster防火墻BBackup交換機(jī)A交換機(jī)B路由器A路由器BInternet需求2-區(qū)域隔離企業(yè)網(wǎng)絡(luò)資源不能直接暴露在公網(wǎng)中，以免遭受來自互聯(lián)網(wǎng)的猛烈攻擊。此外，互聯(lián)網(wǎng)中的不法份子可能通過ping掃描或其他方式探測企業(yè)網(wǎng)絡(luò)，便于進(jìn)行下一步的攻擊。通常在出口處部署防火墻，防火墻通過將所連接的不同網(wǎng)絡(luò)分隔在不同安全區(qū)域隔離內(nèi)外網(wǎng)，而通過在防火墻上部署地址轉(zhuǎn)換技術(shù)，可以在一定程度上隱藏內(nèi)網(wǎng)IP地址，保護(hù)內(nèi)部網(wǎng)絡(luò)。NAT映射表PC終端/24Web服務(wù)器防火墻私有地址：端口公有地址：端口：10321：102554TrustUntrust源IP地址目的IP地址源IP地址目的IP地址Internet數(shù)據(jù)包轉(zhuǎn)發(fā)路徑交換機(jī)需求3-信息保密性企業(yè)有出差員工，或者大型企業(yè)有多個分支機(jī)構(gòu)。出差員工和企業(yè)總部，企業(yè)分支和企業(yè)總部之間在不安全的Internet上進(jìn)行數(shù)據(jù)傳輸時，可能存在數(shù)據(jù)被竊取或篡改的風(fēng)險。企業(yè)總部出差員工企業(yè)分支攻擊者Internet信息保密性安全方案由于Internet的開放性，導(dǎo)致企業(yè)和其分支機(jī)構(gòu)在Internet上傳輸數(shù)據(jù)的安全性無法保證，可以使用VPN技術(shù)在Internet上構(gòu)建安全可靠的傳輸隧道。對于有經(jīng)濟(jì)實(shí)力和有高安全高可靠性要求的企業(yè)，還可以通過向運(yùn)營商購買專線的方式，滿足總部與分支機(jī)構(gòu)之間的互聯(lián)需求。對于出差員工，可以使用L2TPoverIPSec，SSLVPN等方式安全地接入公司網(wǎng)絡(luò)。企業(yè)總部出差員工企業(yè)分支IPSec

VPNInternetSSL

VPN網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)基礎(chǔ)常見網(wǎng)絡(luò)安全威脅及防范企業(yè)網(wǎng)絡(luò)安全威脅概覽通信網(wǎng)絡(luò)安全需求與方案邊界區(qū)域防護(hù)計算環(huán)境防護(hù)管理中心防護(hù)威脅1-DDoS攻擊DDoS攻擊是指攻擊者通過控制大量僵尸主機(jī)，向攻擊目標(biāo)發(fā)送大量攻擊報文，導(dǎo)致被攻擊目標(biāo)所在網(wǎng)絡(luò)的鏈路擁塞，系統(tǒng)資源耗盡，從而無法向正常用戶提供服務(wù)。有些惡意競爭對手會使用DDoS攻擊，對正常合法企業(yè)造成較大經(jīng)濟(jì)損失。如在購物節(jié)期間對網(wǎng)上購物平臺發(fā)動的DDoS攻擊。僵尸主機(jī)攻擊目標(biāo)跳板機(jī)攻擊者控制流量攻擊流量路由器DDoS攻擊種類根據(jù)攻擊報文類型的不同，可以分為TCPFlood、UDPFlood、ICMP

Flood、HTTPFlood和GREFlood等。攻擊類型描述TCPFlood利用TCP協(xié)議發(fā)起的DDoS攻擊，常見的攻擊有SYNFlood，SYN+ACKFlood，ACKFlood，F(xiàn)IN/RSTFlood等。UDPFlood使用UDP協(xié)議發(fā)起的攻擊，常見攻擊有UDPFlood，UDP分片攻擊等。ICMPFlood利用ICMP協(xié)議在短時間內(nèi)發(fā)送大量的ICMP報文導(dǎo)致網(wǎng)絡(luò)癱瘓，或采用超大報文攻擊導(dǎo)致網(wǎng)絡(luò)鏈路擁塞。HTTPFlood利用HTTP協(xié)議交互，發(fā)動HTTPFlood，或者HTTP慢速攻擊等。GREFlood利用GRE報文發(fā)動的DDoS攻擊，利用GRE報文的解封裝消耗攻擊目標(biāo)的計算資源。DDoS攻擊安全防范對于不同類型的DDoS攻擊，AntiDDoS設(shè)備有源認(rèn)證、限流等不同的防御方式，右圖描述SYNFlood源認(rèn)證防御的工作原理。SYNFlood攻擊是通過偽造一個源地址的SYN報文，發(fā)送給受害主機(jī)，受害主機(jī)回復(fù)SYN+ACK報文給這些地址后，不會收到ACK報文，導(dǎo)致受害主機(jī)保持了大量的半連接，直到超時。這些半連接可以耗盡主機(jī)資源，使受害主機(jī)無法建立正常TCP連接，從而達(dá)到攻擊的目的。攻擊者目標(biāo)服務(wù)器SYNSYN+ACK連續(xù)一段時間內(nèi)到同一目的地址的SYN報文超過閾值就啟動源認(rèn)證SYNSYN+ACK：回應(yīng)一個正確確認(rèn)號的報文源IP在白名單中，信任此源……防火墻SYN+ACKSYN真實(shí)主機(jī)SYN+ACKACKRSTSYNACK：認(rèn)證通過，加白名單SYNSYN+ACKSYN+ACK：回應(yīng)一個正確確認(rèn)號的報文威脅2-單包攻擊單包攻擊不像DDoS攻擊通過使網(wǎng)絡(luò)擁塞，或消耗系統(tǒng)資源的方式進(jìn)行攻擊，而是通過發(fā)送有缺陷的報文，使主機(jī)或服務(wù)器在處理這類報文時系統(tǒng)崩潰，或發(fā)送特殊控制報文、掃描類報文探測網(wǎng)絡(luò)結(jié)構(gòu)，為真正的攻擊做準(zhǔn)備。掃描型攻擊畸形報文攻擊特殊報文控制類攻擊攻擊者運(yùn)用ICMP報文探測目標(biāo)地址，以確定哪些目標(biāo)系統(tǒng)確實(shí)存活著并且連接在目標(biāo)網(wǎng)絡(luò)上；或攻擊者對端口進(jìn)行掃描探測，探尋被攻擊對象目前開放的端口，從而確定攻擊方式。攻擊者通過發(fā)送大量有缺陷的報文，從而造成主機(jī)或服務(wù)器在處理這類報文時系統(tǒng)崩潰。典型的有Teardrop攻擊，Smurf攻擊，Land攻擊等。一種潛在的攻擊行為，不具備直接的破壞行為，攻擊者通過發(fā)送特殊控制報文探測網(wǎng)絡(luò)結(jié)構(gòu)，為后續(xù)發(fā)起真正的攻擊做準(zhǔn)備。典型的有超大ICMP報文控制攻擊，IP報文控制攻擊等。單包攻擊安全防范防火墻具有單包攻擊防范功能，可以對掃描類攻擊、畸形報文攻擊和特殊報文控制類攻擊進(jìn)行有效防范。不同單包攻擊的原理不同，防火墻采用的防范原理也不同。攻擊者ICMP報文企業(yè)內(nèi)網(wǎng)源地址目的地址……通過應(yīng)答報文判斷目標(biāo)網(wǎng)絡(luò)上存在的設(shè)備節(jié)點(diǎn)。在防火墻中，設(shè)置同一源IP每秒發(fā)往不同目的地址的ICMP報文數(shù)量的最大閾值Threshold。若Rate<Threshold，放行報文；若Rate>Threshold，將源IP加入黑名單，并丟包報文。威脅3–用戶行為不受控70%的信息安全事件是由于內(nèi)部員工誤操作或安全意識不夠引起的。在加強(qiáng)員工安全意識的同時，企業(yè)也需要在技術(shù)層面管控員工訪問外網(wǎng)的行為，可以通過防火墻的內(nèi)容安全過濾功能管控用戶的上網(wǎng)行為，當(dāng)然也可以采用專業(yè)的解決方案。郵件服務(wù)器文件服務(wù)器DMZUntrustTrustWeb服務(wù)器文件服務(wù)器Internet研發(fā)部銷售部機(jī)密限制附件大小郵件收發(fā)控制55信息泄露HTTP、FTP行為控制病毒游戲暴力23146防火墻URL過濾DNS過濾文件過濾內(nèi)容過濾郵件過濾應(yīng)用行為控制123456公司內(nèi)網(wǎng)公司外網(wǎng)學(xué)習(xí)、合法域名威脅4-外部網(wǎng)絡(luò)入侵行為一般情況下，企業(yè)內(nèi)網(wǎng)都是與外部網(wǎng)絡(luò)相連，這樣企業(yè)內(nèi)網(wǎng)就有可能受到外部攻擊者的入侵，如黑客攻擊、病毒、SQL注入和DDoS攻擊等。入侵類型描述病毒一種可感染或附著在應(yīng)用程序或文件中的惡意代碼，一般通過郵件或文件共享等協(xié)議進(jìn)行傳播，威脅用戶主機(jī)和網(wǎng)絡(luò)的安全。病毒能夠自我復(fù)制，但需要通過打開受感染的文件，啟用宏等手動操作才能激活。SQL注入SQL注入攻擊指的是通過構(gòu)建特殊的輸入作為參數(shù)傳入Web應(yīng)用程序，而這些輸入大都是SQL語法里的一些組合，通過破壞SQL語句的原始邏輯，進(jìn)而執(zhí)行攻擊者所希望的操作。SQL注入漏洞屬于高危型Web漏洞。DDoS攻擊DDoS攻擊通過發(fā)出海量數(shù)據(jù)包，造成目標(biāo)設(shè)備負(fù)載過高，最終導(dǎo)致網(wǎng)絡(luò)帶寬或是設(shè)備資源耗盡。攻擊者企業(yè)內(nèi)網(wǎng)Internet病毒入侵入侵防御安全防范針對外部網(wǎng)絡(luò)入侵行為，企業(yè)可以在網(wǎng)絡(luò)出口處部署防火墻或IPS入侵防御系統(tǒng)。防火墻的入侵防御功能可以對所有通過的報文進(jìn)行檢測分析，并實(shí)時決定允許通過或阻斷。企業(yè)內(nèi)網(wǎng)Web服務(wù)器郵件服務(wù)器正常流量，放行異常流量，控制簽名庫更新/自定義檢測Internet防火墻網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)基礎(chǔ)常見網(wǎng)絡(luò)安全威脅及防范企業(yè)網(wǎng)絡(luò)安全威脅概覽通信網(wǎng)絡(luò)安全需求與方案邊界區(qū)域防護(hù)計算環(huán)境防護(hù)管理中心防護(hù)系統(tǒng)和軟件漏洞企業(yè)內(nèi)網(wǎng)終端軟件存在漏洞，往往給攻擊者可乘之機(jī)，不管是從外網(wǎng)或是內(nèi)網(wǎng)進(jìn)行的網(wǎng)絡(luò)攻擊，內(nèi)網(wǎng)終端感染病毒后，借助內(nèi)網(wǎng)設(shè)備之間的信任關(guān)系，病毒通過橫向擴(kuò)散，最終往往造成內(nèi)網(wǎng)大量終端設(shè)備感染。針對計算環(huán)境中系統(tǒng)和軟件的漏洞，可以采用以下方法進(jìn)行防護(hù)。及時更新補(bǔ)丁修復(fù)漏洞，安裝防病毒軟件。使用NAC方案，對企業(yè)網(wǎng)絡(luò)自有的終端和外來接入的終端進(jìn)行安全性檢查，阻止不符合要求的終端接入網(wǎng)絡(luò)。使用漏洞掃描工具掃描企業(yè)網(wǎng)絡(luò)，檢查存在的漏洞，對信息安全進(jìn)行風(fēng)險評估。通過專業(yè)人士對企業(yè)網(wǎng)絡(luò)系統(tǒng)安全性進(jìn)行評估，并給出針對性的改進(jìn)措施。網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)基礎(chǔ)常見網(wǎng)絡(luò)安全威脅及防范企業(yè)網(wǎng)絡(luò)安全威脅概覽通信網(wǎng)絡(luò)安全需求與方案邊界區(qū)域防護(hù)計算環(huán)境防護(hù)管理中心防護(hù)需求1–管理員權(quán)限管控某些情況下，企業(yè)員工因為利益或不滿，會實(shí)施危害企業(yè)信息安全的行為。比如盜取企業(yè)機(jī)密數(shù)據(jù)，破壞企業(yè)網(wǎng)絡(luò)基礎(chǔ)實(shí)施等。某公司員工受虛擬貨幣利益驅(qū)使，偷偷使用公司服務(wù)器計算資源進(jìn)行挖礦活動，獲利數(shù)十萬元，最后行為敗露，收到法律制裁。但期間公司的服務(wù)器資源遭到侵占，影響正常業(yè)務(wù)的運(yùn)行。某公司員工因個人精神、生活等原因?qū)揪€上生產(chǎn)環(huán)境進(jìn)行了惡意的破壞。導(dǎo)致生產(chǎn)環(huán)境和數(shù)據(jù)遭受嚴(yán)重破壞，公司和客戶利益收到嚴(yán)重?fù)p害。最終該員工也收到法律制裁。某公司員工受利益驅(qū)使，離職前通過拍照、郵件外發(fā)等方式，盜竊公司機(jī)密信息。事發(fā)后受到法律制裁。管理員權(quán)限管控安全方案對于可能發(fā)生的企業(yè)員工的信息安全風(fēng)險行為，可以從技術(shù)和管理兩方面進(jìn)行應(yīng)對。技術(shù)方面：更嚴(yán)密的權(quán)限管理：對不同級別的企業(yè)員工設(shè)置不同權(quán)限的賬號，特別是對運(yùn)維的權(quán)限要遵循最小授權(quán)的原則，比如使用UMA統(tǒng)一運(yùn)維審計對管理員的運(yùn)維權(quán)限進(jìn)行管控，并監(jiān)控管理員行為；更可靠的備份機(jī)制：對于已經(jīng)造成生產(chǎn)環(huán)境和數(shù)據(jù)破壞的情況，可以快速恢復(fù)，盡量減少損失。管理方面：在企業(yè)內(nèi)部經(jīng)常進(jìn)行信息安全案例宣傳，提高員工安全意識；對于高安全需求的區(qū)域，可以使用門禁系統(tǒng)；關(guān)注員工工作生活狀態(tài)，及時進(jìn)行心理輔導(dǎo)，防止員工因心理問題造成的信息安全風(fēng)險行為。需求2-上網(wǎng)權(quán)限管控除了從企業(yè)外部網(wǎng)絡(luò)帶來的安全風(fēng)險，企業(yè)內(nèi)網(wǎng)安全隱患也日益增加。企業(yè)內(nèi)可能會有外來人員，如果出現(xiàn)非法接入和非授權(quán)訪問時，也會存在導(dǎo)致業(yè)務(wù)系統(tǒng)遭受破壞、關(guān)鍵信息資產(chǎn)泄露的風(fēng)險。惡意人員接入網(wǎng)絡(luò)之后，會進(jìn)行破壞，或盜取信息的活動；接入網(wǎng)絡(luò)的終端，如果攜帶有病毒，有可能導(dǎo)致病毒在企業(yè)內(nèi)網(wǎng)傳播。針對此類威脅，可以從網(wǎng)絡(luò)準(zhǔn)入控制及人員管理等方面進(jìn)行防范。上網(wǎng)權(quán)限管控方案(1)對于非法接入的應(yīng)對措施，華為提供NAC方案。NAC方案從用戶角度考慮內(nèi)部網(wǎng)絡(luò)安全，通過對接入用戶進(jìn)行安全控制，提供“端到端”的安全保證。NAC具有以下功能：身份認(rèn)證：對接入網(wǎng)絡(luò)的用戶身份進(jìn)行合法性認(rèn)證，只有合法的用戶才能接入企業(yè)網(wǎng)絡(luò)；訪問控制：根據(jù)用戶身份、接入時間、接入地點(diǎn)、終端類型、接入方式精細(xì)匹配用戶，控制用戶能夠訪問的資源；終端安全性檢查和控制：只有“健康的、安全的”用戶終端才可以接入網(wǎng)絡(luò)；系統(tǒng)修復(fù)和升級：如果系統(tǒng)存在安全隱患，NAC方案提供了系統(tǒng)自動和手動修復(fù)升級功能。無線終端啞終端有線終端企業(yè)網(wǎng)絡(luò)終端802.1X/PortalMAC802.1X/Portal網(wǎng)絡(luò)準(zhǔn)入設(shè)備準(zhǔn)入控制服務(wù)器補(bǔ)丁/病毒庫/軟件服務(wù)器業(yè)務(wù)服務(wù)器服務(wù)器系統(tǒng)上網(wǎng)權(quán)限管控方案(2)可以通過管理手段，規(guī)范人員進(jìn)入企業(yè)內(nèi)部，嚴(yán)格控制外來人員的進(jìn)入。外來訪問人員必須要提前登記，并出示有效證件才能進(jìn)入；使用安保人員和設(shè)備控制外來人員及車輛的進(jìn)入；對企業(yè)內(nèi)部重要區(qū)域，可使用門禁系統(tǒng)，限制不符合權(quán)限的人員進(jìn)入；禁止在計算機(jī)等設(shè)備上私自插入U盤等存儲設(shè)備。創(chuàng)建訪客網(wǎng)絡(luò)供外來訪問人員進(jìn)行接入，與企業(yè)辦公網(wǎng)絡(luò)隔離，消除安全風(fēng)險。訪客Wi-FiGuest-XX辦公Wi-FiEmployee-XX訪客網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)隔離企業(yè)員工訪客Internet路由器無線接入點(diǎn)（單選題）TCP/IP參考模型中，描述物理介質(zhì)的機(jī)械特性和傳輸方式的是哪一層？（）應(yīng)用層傳輸層網(wǎng)絡(luò)互聯(lián)層網(wǎng)絡(luò)接口層（判斷題）Smurf攻擊屬于單包攻擊。（）正確錯誤（多選題）以下選項中，屬于應(yīng)用層的協(xié)議有哪些？（）HTTPDNSFTPIP（判斷題）路由器是工作在第二層的網(wǎng)絡(luò)設(shè)備。（）正確錯誤（多選題）以下選項中，屬于單包攻擊的是哪些項？（）ICMP重定向報文控制攻擊Tracert報文攻擊UDPFlood攻擊PingofDeath攻擊本章第一小節(jié)介紹了網(wǎng)絡(luò)安全的基本概念、經(jīng)歷的四個發(fā)展時期、網(wǎng)絡(luò)安全態(tài)勢感知、零信任安全等安全理念和方案，概述了各種信息安全國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的制定，如ISO27000，等保2.0等內(nèi)容。第二小節(jié)簡要介紹了TCP/IP和OSI參考模型、常見的網(wǎng)絡(luò)設(shè)備，描述了一些常見的協(xié)議，如ARP、ICMP、FTP以及HTTPS等。第三小節(jié)介紹了常見網(wǎng)絡(luò)安全威脅的種類以及其威脅來源，分別概述了不同威脅的應(yīng)對方式和解決方案。通過本課程的學(xué)習(xí)，您將能夠?qū)φ麄€網(wǎng)絡(luò)安全基礎(chǔ)有一定的了解，為下一步深入學(xué)習(xí)打下基礎(chǔ)。華為官方網(wǎng)站企業(yè)業(yè)務(wù)：/cn/技術(shù)支持：/enterprise/在線學(xué)習(xí)：/cn/縮略語表(1)縮略語英文全稱解釋ACKAcknowledge應(yīng)答消息APTAdvancedPersistentThreat高級持續(xù)性威脅ARPAddressResolutionProtocol地址解析協(xié)議ATICAbnormalTrafficInspection&ControlSystem異常流量監(jiān)管系統(tǒng)C/SClient/Server客戶服務(wù)器模型CCSAChinaCommunicationsStandardsAssociation中國通信標(biāo)準(zhǔn)化協(xié)會DDoSDistributedDenialofService分布式拒絕服務(wù)DNSDomainNameSystem域名系統(tǒng)FINFinish結(jié)束消息FTPFileTransferProtocol文件傳輸協(xié)議GREGenericRoutingEncapsulation通用路由封裝縮略語表(2)縮略語英文全稱解釋HTTPHyperTextTransferProtocol超文本傳輸協(xié)議HTTPSHypertextTransferProtocolSecure加密的超文本傳輸協(xié)議ICMPInternetControlMessageProtocol互聯(lián)網(wǎng)控制消息協(xié)議IECInternationalElectrotechnicalCommission國際電工委員會IETFInternetEngineeringTaskForceInternet工程任務(wù)組IPInternetProtocol網(wǎng)際互連協(xié)議IPSIntrusionPreventionSystem入侵防御系統(tǒng)IPSecInternetProtocolSecurity因特網(wǎng)協(xié)議安全I(xiàn)SMSInformationSecurityManagementSystem信息安全管理體系ISOInternationalOrganizationforStandardization國際標(biāo)準(zhǔn)化組織ITUInternationalTelecommunicationUnion國際電信聯(lián)盟縮略語表(3)縮略語英文全稱解釋L2TPLayer2TunnelingProtocol二層隧道協(xié)議MACMediaAccessControl媒體介入控制NACNetworkAccessControl網(wǎng)絡(luò)訪問控制NISTNationalInstituteofStandardsandTechnology美國國家標(biāo)準(zhǔn)與技術(shù)研究院OSIOpenSystemsInterconnection開放系統(tǒng)互聯(lián)PDCAPlan–Do–Check–ActionPDCA循環(huán)RSTReset重置消息SFTPSecureFileTransferProtocol安全文件傳輸協(xié)議SQLStructuredQueryLanguage結(jié)構(gòu)化查詢語言SSHSecureShellProtocol安全外殼協(xié)議SSLSecureSocketsLayer安全套接層協(xié)議縮略語表(4)縮略語英文全稱解釋STelnetSecureTelnet安全TelnetSYNSynchronizeSequenceNumbers同步序列編號TC260NationalInformationSecurityStandardizationTechnicalCommittee國家安全標(biāo)準(zhǔn)委員會TCPTransmissionControlProtocol傳輸控制協(xié)議TLSTransportLayerSecurity傳輸層安全性協(xié)議UDPUserDatagramProtocol用戶數(shù)據(jù)包協(xié)議UMAUnifiedMaintenanceAudit統(tǒng)一運(yùn)維審計系統(tǒng)VPNVirtualPrivateNetwork虛擬專用網(wǎng)防火墻技術(shù)隨著信息技術(shù)的快速發(fā)展，特別是各類新技術(shù)、新業(yè)態(tài)、新應(yīng)用的不斷涌現(xiàn)，給社會發(fā)展、百姓生活帶來了極大“紅利”，但另一方面也給網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)。作為網(wǎng)絡(luò)安全防護(hù)的第一道防線，防火墻扮演著非常重要的角色。本章主要講述防火墻的基本概念、發(fā)展歷史、安全區(qū)域、安全策略以及相應(yīng)的控制原理等基礎(chǔ)理論和相關(guān)知識。學(xué)完本課程后，您將能夠：描述防火墻的功能、發(fā)展歷史熟悉防火墻的分類和工作模式理解防火墻的安全區(qū)域理解防火墻的狀態(tài)檢測技術(shù)和會話表理解防火墻的ASPF技術(shù)和Server-map表防火墻概述防火墻簡介防火墻功能防火墻發(fā)展歷史防火墻分類防火墻工作模式防火墻技術(shù)原理ASPF技術(shù)原理防火墻簡介在通信領(lǐng)域，防火墻是網(wǎng)絡(luò)中的一道安全屏障，阻斷來自外部網(wǎng)絡(luò)的威脅和入侵，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。防火墻是一個由計算機(jī)硬件和軟件組成的系統(tǒng)，通常部署于網(wǎng)絡(luò)邊界，位于兩個信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）。它對兩個網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問，以達(dá)到保護(hù)系統(tǒng)安全的目的。在每一個被防火墻分割的網(wǎng)絡(luò)中，所有的計算機(jī)之間是被認(rèn)為“可信任的”，即防火墻認(rèn)為在同一安全區(qū)域內(nèi)部發(fā)生的數(shù)據(jù)流動是不存在安全風(fēng)險的，不需要實(shí)施任何安全策略。只有當(dāng)不同安全區(qū)域之間發(fā)生數(shù)據(jù)流動時，才會觸發(fā)設(shè)備的安全檢查，并實(shí)施相應(yīng)的安全策略。防火墻概述防火墻簡介防火墻功能防火墻發(fā)展歷史防火墻分類防火墻工作模式防火墻技術(shù)原理ASPF技術(shù)原理防火墻功能防火墻可以實(shí)現(xiàn)的功能如下：隔離不同安全級別的網(wǎng)絡(luò)；實(shí)現(xiàn)不同安全級別網(wǎng)絡(luò)之間的訪問控制；用戶身份認(rèn)證；實(shí)現(xiàn)遠(yuǎn)程接入功能；實(shí)現(xiàn)數(shù)據(jù)加密及虛擬專用網(wǎng)業(yè)務(wù)；執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換；其他安全功能。Internet用戶出差員工合作伙伴分支機(jī)構(gòu)2分支機(jī)構(gòu)1內(nèi)網(wǎng)接入?yún)^(qū)防火墻專線互聯(lián)網(wǎng)出口防火墻核心交換機(jī)數(shù)據(jù)中心出口防火墻業(yè)務(wù)服務(wù)區(qū)1業(yè)務(wù)服務(wù)區(qū)2業(yè)務(wù)服務(wù)區(qū)3DMZRADIUSController日志中心eSight沙箱……數(shù)據(jù)中心防火墻概述防火墻簡介防火墻功能防火墻發(fā)展歷史防火墻分類防火墻工作模式防火墻技術(shù)原理ASPF技術(shù)原理防火墻發(fā)展歷史隨著科技的進(jìn)步，防火墻的發(fā)展歷史經(jīng)歷了從低級到高級、從功能簡單到功能復(fù)雜的過程。網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和越來越多的需求不斷推動著防火墻的更新。根據(jù)發(fā)展歷史可以將防火墻分為：包過濾防火墻狀態(tài)檢測防火墻下一代防火墻包過濾19891994~1995UTM下一代防火墻NGFW20092004~2005應(yīng)用代理狀態(tài)檢測1990~1991防火墻概述防火墻簡介防火墻功能防火墻發(fā)展歷史防火墻分類防火墻工作模式防火墻技術(shù)原理ASPF技術(shù)原理包過濾防火墻包過濾防火墻，工作在網(wǎng)絡(luò)層，通過檢查所流經(jīng)單個數(shù)據(jù)包的源/目的地址、所承載的上層協(xié)議、源/目的端口、傳遞方向等信息來決定是否允許此數(shù)據(jù)包穿過防火墻。核心是通過配置訪問控制列表ACL實(shí)施數(shù)據(jù)包的過濾。包過濾防火墻的設(shè)計簡單，非常易于實(shí)現(xiàn)，而且價格便宜。但隨著ACL復(fù)雜度和長度的增加，其過濾性能呈指數(shù)下降趨勢；且包過濾不檢查會話狀態(tài)也不分析數(shù)據(jù)，這很容易讓黑客蒙混過關(guān)。代理型防火墻代理型防火墻，主要作用于網(wǎng)絡(luò)的應(yīng)用層。實(shí)質(zhì)是把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用戶之間直接進(jìn)行的業(yè)務(wù)由防火墻代理接管。代理防火墻能夠完全控制網(wǎng)絡(luò)信息的交換，控制會話過程，具有較高的安全性。但軟件實(shí)現(xiàn)限制了處理速度，易于遭受拒絕服務(wù)攻擊。同時，需要針對每一種協(xié)議開發(fā)應(yīng)用層代理，開發(fā)周期長，而且升級很困難。狀態(tài)檢測防火墻狀態(tài)檢測防火墻采用了狀態(tài)檢測包過濾的技術(shù)，是傳統(tǒng)包過濾上的功能擴(kuò)展。狀態(tài)防火墻通過檢測基于TCP/UDP連接的連接狀態(tài)，動態(tài)地決定報文是否可以通過防火墻。在狀態(tài)防火墻中，會維護(hù)一個以五元組為Key值的會話表項，后續(xù)數(shù)據(jù)包通過匹配會話表項，防火墻就可以決定哪些是合法訪問，哪些是非法訪問。狀態(tài)檢測防火墻雖然工作在協(xié)議棧較低層，但它檢測所有應(yīng)用層的數(shù)據(jù)包，從中提取有用信息（如IP地址、端口號等），這樣安全性得到很大提高。同時，狀態(tài)檢測防火墻只對一個連接的首包進(jìn)行包過濾檢查，后續(xù)數(shù)據(jù)包直接匹配會話表轉(zhuǎn)發(fā)，執(zhí)行效率明顯提高。防火墻概述防火墻簡介防火墻功能防火墻發(fā)展歷史防火墻分類防火墻工作模式防火墻技術(shù)原理ASPF技術(shù)原理路由模式如果防火墻作為三層設(shè)備連接不同的區(qū)域，則表示防火墻工作在路由模式。此種組網(wǎng)方式，防火墻可支持更多的安全特性（如NAT、UTM等），但需要修改原有網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。HostHost防火墻IntranetTrustUntrustInternetGE1/0/1/30GE1/0/2/30交換機(jī)路由器透明模式若防火墻作為二層設(shè)備連接不同的區(qū)域，則表示防火墻工作在透明模式。此種組網(wǎng)方式可以避免改變拓?fù)浣Y(jié)構(gòu)造成的麻煩，只需在網(wǎng)絡(luò)中串聯(lián)接入防火墻設(shè)備即可，無需修改任何已有的配置。HostHost防火墻IntranetTrustUntrustInternetGE0/0/0/30GE0/0/0/30交換機(jī)路由器GE1/0/1GE1/0/2混合模式若防火墻的某些接口工作在路由模式，另一些接口工作在透明模式（某些接口具有IP地址，某些接口無IP地址），則表示防火墻工作在混合模式?；旌夏Ｊ街饕糜谕该髂Ｊ较绿峁╇p機(jī)熱備的特殊場景中。HostHost防火墻BTrustUntrustGE1/0/2/30防火墻AIntranetGE1/0/2/30GE1/0/1GE1/0/3GE1/0/1GE1/0/3防火墻概述防火墻技術(shù)原理安全區(qū)域安全策略狀態(tài)檢測技術(shù)和會話表ASPF技術(shù)原理安全區(qū)域定義安全區(qū)域（SecurityZone）：是防火墻設(shè)備所引入的一個安全概念，它是一個或多個接口的集合。防火墻通過安全區(qū)域來劃分網(wǎng)絡(luò)、標(biāo)識報文流動的“路線”，防火墻認(rèn)為同一安全區(qū)域內(nèi)的網(wǎng)絡(luò)設(shè)備是“同樣安全”的，當(dāng)報文在不同的安全區(qū)域之間流動時，才會觸發(fā)安全檢查。TrustTrust服務(wù)器區(qū)市場部管理層防火墻Trust生產(chǎn)部UntrustDMZ研發(fā)部Trust缺省安全區(qū)域防火墻支持多個安全區(qū)域，缺省情況下支持非受信區(qū)域（Untrust）、非軍事化區(qū)域（DMZ）、受信區(qū)域（Trust）、本地區(qū)域（Local）四種預(yù)定義的安全區(qū)域。Untrust區(qū)域：優(yōu)先級為5，網(wǎng)絡(luò)受信任程度低，通常用來定義Internet等不安全的網(wǎng)絡(luò)。DMZ區(qū)域：優(yōu)先級為50，網(wǎng)絡(luò)受信任程度中等，通常用來定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。Trust區(qū)域：優(yōu)先級為85，網(wǎng)絡(luò)受信任程度高，通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。Local區(qū)域：優(yōu)先級為100，網(wǎng)絡(luò)受信任程度最高，代表防火墻設(shè)備自身。防火墻WebServerFTPServerIntranetHostUntrustTrustDMZLocal防火墻概述防火墻技術(shù)原理安全區(qū)域安全策略狀態(tài)檢測技術(shù)和會話表ASPF技術(shù)原理安全策略防火墻的基本作用是對進(jìn)出網(wǎng)絡(luò)的訪問行為進(jìn)行控制，保護(hù)特定網(wǎng)絡(luò)免受“不信任”網(wǎng)絡(luò)的攻擊，但同時還必須允許兩個網(wǎng)絡(luò)之間可以進(jìn)行合法的通信。防火墻一般通過安全策略實(shí)現(xiàn)以上功能。安全策略是防火墻的核心特性，它的作用是對通過防火墻的數(shù)據(jù)流進(jìn)行檢驗，只有符合安全策略的合法流量才能通過防火墻進(jìn)行轉(zhuǎn)發(fā)。安全策略禁止通過的流量安全策略允許通過的流量防火墻IntranetTrustUntrust安全策略組成安全策略由匹配條件、處理動作以及其他附加的功能組成。防火墻接收流量后，對流量的屬性（五元組、用戶、時間段等）進(jìn)行識別，并將流量的屬性與安全策略的匹配條件進(jìn)行匹配。如果所有條件都匹配，則此流量成功匹配安全策略。流量匹配安全策略后，防火墻將會執(zhí)行安全策略的動作。反病毒入侵防御URL過濾文件過濾內(nèi)容過濾應(yīng)用行為控制郵件過濾APT防御DNS過濾云接入安全感知允許禁止發(fā)送不發(fā)送條件動作配置文件反饋報文安全策略VLANID源安全區(qū)域目的安全區(qū)域源地址/地區(qū)目的地址/地區(qū)用戶服務(wù)應(yīng)用URL分類時間段流量安全策略的匹配條件安全策略的匹配條件均為可選，如果不選，默認(rèn)為any，表示該安全策略與任意報文匹配。VLANID：指定流量的VLANID。源安全區(qū)域/目的安全區(qū)域：指定流量發(fā)出/去往的安全區(qū)域。源地址/地區(qū)、目的地址/地區(qū)：指定流量發(fā)出/去往的地址。用戶：指定流量的所有者，代表了“誰”發(fā)出的流量。服務(wù)：指定流量的協(xié)議類型或端口號。應(yīng)用：指定流量的應(yīng)用類型。URL分類：指定流量的URL分類。時間段：指定安全策略生效的時間段。安全策略的動作安全策略的動作包括允許和拒絕兩種。允許：如果動作為“允許”，則對流量進(jìn)行如下處理。如果沒有配置內(nèi)容安全檢測，則允許流量通過；如果配置內(nèi)容安全檢測，最終根據(jù)內(nèi)容安全檢測（如反病毒、入侵防御等）的結(jié)論來判斷是否對流量進(jìn)行放行。禁止：表示拒絕符合條件的流量通過，防火墻將丟棄報文。如果動作為“禁止”，防火墻不僅可以將報文丟棄，還可以針對不同的報文類型選擇發(fā)送對應(yīng)的反饋報文?？蛻舳?服務(wù)器收到防火墻發(fā)送的阻斷報文后，應(yīng)用層可以快速結(jié)束會話并讓用戶感知到請求被阻斷。安全策略的匹配過程(1)

防火墻最基本的設(shè)計原則一般是沒有明確允許的流量默認(rèn)都會被禁止，這樣能夠確保防火墻一旦接入網(wǎng)絡(luò)就能保護(hù)網(wǎng)絡(luò)的安全。如果想要允許某流量通過，可以創(chuàng)建安全策略。一般針對不同的業(yè)務(wù)流量，設(shè)備上會配置多條安全策略。安全策略匹配過程如下：匹配順序策略編號匹配條件動作Policy1:匹配條件1匹配條件2……匹配條件N動作（允許/禁止）Policy2:匹配條件1匹配條件2……匹配條件N動作（允許/禁止）……PolicyN:匹配條件1匹配條件2……匹配條件N動作（允許/禁止）Default:匹配條件均為any動作（禁止）安全策略的匹配過程(2)安全策略的配置順序很重要，需要先配置條件精確的策略，再配置寬泛的策略。如果某條具體的安全策略放在通用的安全策略之后，可能永遠(yuǎn)不會被命中。例如，企業(yè)的Web服務(wù)器地址為00，允許IP網(wǎng)段為/24的內(nèi)部辦公網(wǎng)絡(luò)訪問，但要求禁止兩臺臨時終端PC（0、0）訪問FTP服務(wù)器。需要按下面順序配置安全策略。序號名稱源地址目的地址動作1Policy10/320/3200禁止2Policy2/2400允許...............nDefaultanyany禁止防火墻概述防火墻技術(shù)原理安全區(qū)域安全策略狀態(tài)檢測技術(shù)和會話表ASPF技術(shù)原理狀態(tài)檢測機(jī)制狀態(tài)檢測防火墻使用基于連接狀態(tài)的檢測機(jī)制，將通信雙方之間交互的屬于同一連接的所有報文都作為整個數(shù)據(jù)流來對待。在狀態(tài)檢測防火墻看來，同一個數(shù)據(jù)流內(nèi)的報文不再是孤立的個體，而是存在聯(lián)系的。狀態(tài)檢測機(jī)制開啟狀態(tài)下，只有首包通過設(shè)備才能建立會話表項，后續(xù)包直接匹配會話表項進(jìn)行轉(zhuǎn)發(fā)。HostServer源IP：目的IP：TCPSYN源IP：目的IP：TCPACK防火墻源IP：目的IP：TCPSYN+ACK會話機(jī)制(1)會話是通信雙方的連接在防火墻上的具體體現(xiàn)，代表兩者的連接狀態(tài)。通過會話中的五元組信息（源/目的地址、源/目的端口、協(xié)議）可以唯一確定通信雙方的一條連接。httpVPN：public-->public:2049-->:80協(xié)議目的地址目的端口源地址源端口五元組會話機(jī)制(2)一條會話表示通信雙方的一個連接，多條會話的集合叫做會話表。會話表是用來記錄TCP、UDP、ICMP等協(xié)議連接狀態(tài)的表項，是防火墻轉(zhuǎn)發(fā)報文的重要依據(jù)。會話ID源地址源端口目的地址目的端口動作10205380允許通過請求報文通過回應(yīng)報文通過用戶

0Web服務(wù)器

防火墻允許通過建立會話匹配會話允許通過用戶訪問Web服務(wù)器Web服務(wù)器回應(yīng)用戶狀態(tài)檢測與會話表創(chuàng)建的關(guān)系(1)在報文來回路徑不一致的組網(wǎng)環(huán)境中，防火墻可能只會收到通信過程中的后續(xù)報文，而沒有收到首包，導(dǎo)致不能創(chuàng)建會話表，無法轉(zhuǎn)發(fā)后續(xù)報文；此時，應(yīng)該關(guān)閉防火墻的狀態(tài)檢測功能，使防火墻可以通過后續(xù)報文建立會話，保證業(yè)務(wù)的正常運(yùn)行。Trust防火墻交換機(jī)Untrust上行流量下行流量狀態(tài)檢測與會話表創(chuàng)建的關(guān)系(2)開啟和關(guān)閉狀態(tài)檢測功能的情況下，防火墻對收到的TCP、UDP、ICMP等協(xié)議首包的處理結(jié)果如下表所示。協(xié)議首包報文類型開啟狀態(tài)檢測功能關(guān)閉狀態(tài)檢測功能TCPSYN創(chuàng)建會話，轉(zhuǎn)發(fā)報文創(chuàng)建會話，轉(zhuǎn)發(fā)報文SYN+ACK、ACK不創(chuàng)建會話，丟棄報文創(chuàng)建會話，轉(zhuǎn)發(fā)報文UDP/創(chuàng)建會話，轉(zhuǎn)發(fā)報文創(chuàng)建會話，轉(zhuǎn)發(fā)報文ICMPEchoRequest創(chuàng)建會話，轉(zhuǎn)發(fā)報文創(chuàng)建會話，轉(zhuǎn)發(fā)報文EchoReply不創(chuàng)建會話，丟棄報文創(chuàng)建會話，轉(zhuǎn)發(fā)報文DestinationUnreachable；SourceQuench；TimeExceeded不創(chuàng)建會話，丟棄報文不創(chuàng)建會話，丟棄報文其它ICMP報文創(chuàng)建會話并轉(zhuǎn)發(fā)報文，但不支持NAT轉(zhuǎn)換創(chuàng)建會話并轉(zhuǎn)發(fā)報文，