網(wǎng)絡(luò)系統(tǒng)集成（第二版） 課件第六章 網(wǎng)絡(luò)安全方案設(shè)計(jì)

第六章網(wǎng)絡(luò)安全方案設(shè)計(jì)【內(nèi)容介紹】本章介紹了網(wǎng)絡(luò)安全現(xiàn)狀，我們從現(xiàn)狀分析得到應(yīng)該采取什么樣的策略，然后圍繞策略，結(jié)合常見(jiàn)安全技術(shù)進(jìn)行詳細(xì)地講解了網(wǎng)絡(luò)準(zhǔn)入控制及相關(guān)產(chǎn)品，防火墻技術(shù)及相關(guān)產(chǎn)品，網(wǎng)絡(luò)入侵檢測(cè)技術(shù)及相關(guān)產(chǎn)品，網(wǎng)絡(luò)防病毒技術(shù)及相關(guān)產(chǎn)品，統(tǒng)一威脅管理及相關(guān)產(chǎn)品，網(wǎng)絡(luò)傳輸安全及相關(guān)產(chǎn)品。最后通過(guò)具體的方案案例給予網(wǎng)絡(luò)安全補(bǔ)充講解。7.1網(wǎng)絡(luò)安全基礎(chǔ)隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。大多數(shù)安全性問(wèn)題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的?？梢钥闯霰ＷC網(wǎng)絡(luò)安全不僅僅是使它沒(méi)有編程錯(cuò)誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時(shí)間和金錢(qián)上是很充足、富有的人。同時(shí)，必須清楚地認(rèn)識(shí)到，能夠制止偶然實(shí)施破壞行為的敵人的方法對(duì)那些慣于作案的老手來(lái)說(shuō)，收效甚微。6.2網(wǎng)絡(luò)安全設(shè)計(jì)的步驟6.2.1信息安全的三要素信息安全的中心問(wèn)題是要能夠保障信息的合法持有和使用者能夠在任何需要該信息時(shí)獲得保密的，沒(méi)有被非法更改過(guò)的“原裝的”信息。在英文的文獻(xiàn)中，信息安全的目的常常用Confidentiality(保密性),Integrity（完整性）,和Availability（可用性）,三個(gè)詞概括。簡(jiǎn)而言之，叫CIA-Triad。6.2.2風(fēng)險(xiǎn)分析和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析主要是指：由于網(wǎng)絡(luò)存在的安全漏洞，黑客們所制造的各類新型的風(fēng)險(xiǎn)將會(huì)不斷產(chǎn)生，這些風(fēng)險(xiǎn)由多種因素引起，與網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等因素密切相關(guān)。（1）物理（2）網(wǎng)絡(luò)（3）系統(tǒng)（4）應(yīng)用1、物理安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險(xiǎn)主要有：地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅。電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失。電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱。不能保證幾個(gè)不同機(jī)密程度網(wǎng)絡(luò)的物理隔離。2、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間如果在沒(méi)有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易遭到來(lái)自外部網(wǎng)絡(luò)的攻擊。包括來(lái)自internet上的風(fēng)險(xiǎn)和下級(jí)單位的風(fēng)險(xiǎn)。內(nèi)部局域網(wǎng)不同部門(mén)或用戶之間如果沒(méi)有采用相應(yīng)一些訪問(wèn)控制，也可能造成信息泄漏或非法攻擊。據(jù)調(diào)查統(tǒng)計(jì)，已發(fā)生的網(wǎng)絡(luò)安全事件中，70%的攻擊是來(lái)自內(nèi)部。因此內(nèi)部網(wǎng)的安全風(fēng)險(xiǎn)更嚴(yán)重。內(nèi)部員工對(duì)自身企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用比較熟悉，自己攻擊或泄露重要信息內(nèi)外勾結(jié)，都將可能成為導(dǎo)致系統(tǒng)受攻擊的最致命安全威脅。3、系統(tǒng)的安全風(fēng)險(xiǎn)分析所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無(wú)論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開(kāi)發(fā)的應(yīng)用系統(tǒng)，其開(kāi)發(fā)廠商必然有其后門(mén)（Back-Door），而且系統(tǒng)本身必定存在安全漏洞。這些“后門(mén)”或安全漏洞都將存在重大安全隱患。因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小做出相應(yīng)的安全解決方案。4、應(yīng)用的安全風(fēng)險(xiǎn)分析應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也是動(dòng)態(tài)的。比如新增了一個(gè)新的應(yīng)用程序，肯定會(huì)出現(xiàn)新的安全漏洞，必須在安全策略上做一些調(diào)整，不斷完善。6.2.3安全策略設(shè)計(jì)為了有效的解決網(wǎng)絡(luò)安全問(wèn)題，不能單單從安全技術(shù)策略出發(fā)，而應(yīng)該多方面的考慮整體策略，即網(wǎng)絡(luò)安全的定義、范圍、總體目標(biāo)、安全管理措施和安全技術(shù)等幾個(gè)方面。而在本文中，我們主要側(cè)重于兩方面來(lái)考慮，即安全管理、安全技術(shù)。下面將通過(guò)兩方面的介紹來(lái)了解網(wǎng)絡(luò)安全策略，1、安全管理通常所說(shuō)的網(wǎng)絡(luò)安全建設(shè)“三分技術(shù)，七分管理”，也就是突出了“管理”在網(wǎng)絡(luò)安全建設(shè)中所處的重要地位。長(zhǎng)期以來(lái)，由于管理的不完善、人員責(zé)任心差等因素導(dǎo)致網(wǎng)絡(luò)安全事件時(shí)時(shí)發(fā)生。雖然現(xiàn)在有安全管理建設(shè)，真正實(shí)行還是有一定的難度，但是，安全管理在一定的程度上還是非常的重要，所以，我同樣要加強(qiáng)安全管理建設(shè)，是實(shí)現(xiàn)安全技術(shù)的有效方式2、安全技術(shù)安全技術(shù)及安全產(chǎn)品在現(xiàn)時(shí)的網(wǎng)絡(luò)安全建設(shè)中投入的成本比例是最大的，而且安全技術(shù)具有強(qiáng)制性手段，能杜絕許多不安全事件的發(fā)生，具有事前預(yù)防和事后修復(fù)的能力，還能實(shí)現(xiàn)安全事件的取證。6.3常見(jiàn)的網(wǎng)絡(luò)安全手段隨著計(jì)算機(jī)的普及和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，人們也越來(lái)越依賴于計(jì)算機(jī)和網(wǎng)絡(luò)。因此，網(wǎng)絡(luò)安全應(yīng)該也必須引起注意。網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)、網(wǎng)絡(luò)、通訊、密碼、信息安全、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科，涉及面極廣，而且不斷更新和發(fā)展。國(guó)家對(duì)信息產(chǎn)業(yè)的扶持，使國(guó)內(nèi)的網(wǎng)絡(luò)狀況逐漸好轉(zhuǎn)，更多的服務(wù)器的開(kāi)通，更快的寬帶網(wǎng)得逐漸普及，各種各樣的攻擊行為在網(wǎng)上也越來(lái)越頻繁化和簡(jiǎn)單化。因此，網(wǎng)絡(luò)安全的嚴(yán)峻性對(duì)網(wǎng)絡(luò)管理員的水平提出了極高的要求。網(wǎng)絡(luò)安全有以下幾種常見(jiàn)的技術(shù)手段：密碼技術(shù)、網(wǎng)絡(luò)嗅探、安全掃描技術(shù)6.3.1密碼技術(shù)隨著密碼學(xué)商業(yè)應(yīng)用的普及，密碼學(xué)受到前所未有的重視。除傳統(tǒng)的密碼應(yīng)用系統(tǒng)外，PKI系統(tǒng)以公鑰密碼技術(shù)為主，提供加密、簽名、認(rèn)證、密鑰管理、分配等功能。6.3.2網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)嗅探是指局域網(wǎng)環(huán)境下網(wǎng)絡(luò)數(shù)據(jù)的截獲，針對(duì)不同的局域網(wǎng)環(huán)境嗅探的技術(shù)有所不同，分共享式網(wǎng)絡(luò)和交換式網(wǎng)絡(luò)。6.3.3安全掃描技術(shù)安全掃描技術(shù)主要分為兩類：主機(jī)安全掃描技術(shù)和網(wǎng)絡(luò)安全掃描技術(shù)。主機(jī)安全掃描技術(shù)是通過(guò)執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。網(wǎng)絡(luò)安全掃描技術(shù)主要針對(duì)系統(tǒng)中不合適的設(shè)置脆弱的口令，以及針對(duì)其它同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查等。網(wǎng)絡(luò)安全掃描技術(shù)是一類重要的網(wǎng)絡(luò)安全技術(shù)。6.3.4無(wú)線網(wǎng)絡(luò)安全問(wèn)題安全問(wèn)題是無(wú)線網(wǎng)絡(luò)的核心問(wèn)題，也是由它的固有的屬性決定的。其中一些安全威脅和有線網(wǎng)絡(luò)相同，另一些則是無(wú)線網(wǎng)絡(luò)特有的。由于無(wú)線局域網(wǎng)采用公共的電磁波作為載體，電磁波能夠穿過(guò)天花板、玻璃、樓層、磚、墻等物體，因此在一個(gè)無(wú)線局域網(wǎng)接入點(diǎn)(AccessPoint)所服務(wù)的區(qū)域中，任何一個(gè)無(wú)線客戶端都可以接受到此接入點(diǎn)的電磁波信號(hào)，這樣就可能包括一些惡意用戶也能接收到其他無(wú)線數(shù)據(jù)信號(hào)。這樣惡意用戶在無(wú)線局域網(wǎng)中相對(duì)于在有線局域網(wǎng)當(dāng)中，去竊聽(tīng)或干擾信息就來(lái)得容易得多。無(wú)線網(wǎng)絡(luò)所面臨的安全威脅主要有以下幾類：1、網(wǎng)絡(luò)竊聽(tīng)2、中間人欺騙3、WEP破解4、MAC地址欺騙5、地址欺騙和會(huì)話攔截6、高級(jí)入侵6.3.5網(wǎng)絡(luò)操作系統(tǒng)安全加固如何保護(hù)通用操作系統(tǒng)的安全，主要有下列防范措施：1、使用強(qiáng)密碼2、做好邊界防御3、更新軟件，打補(bǔ)丁4、關(guān)閉沒(méi)有使用的服務(wù)5、使用數(shù)據(jù)加密6.3.6防火墻技術(shù)從分布式來(lái)看，有個(gè)人防火墻、邊界網(wǎng)絡(luò)防火墻和分布式防火墻。其中個(gè)人防火墻是最簡(jiǎn)單，也是應(yīng)用最為廣泛的，比如360個(gè)人防火墻和；邊界防火墻屬于企業(yè)內(nèi)網(wǎng)與外網(wǎng)的安全隔離的傳統(tǒng)技術(shù)，幾乎所有的企業(yè)網(wǎng)絡(luò)都有，稱為網(wǎng)絡(luò)防火墻；分布式防火墻相對(duì)于傳統(tǒng)防火墻，分布式防火墻要負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)，是一個(gè)完整的防護(hù)系統(tǒng)，而不是單一的產(chǎn)品，根據(jù)其所需完成的功能，分布式防火墻體系結(jié)構(gòu)包含網(wǎng)絡(luò)防火墻、主機(jī)防火墻、中心管理。從防火墻的實(shí)現(xiàn)層次上可以分兩種：包過(guò)濾防火墻和應(yīng)用層網(wǎng)關(guān)級(jí)防火墻。包過(guò)濾是在IP層實(shí)現(xiàn)的，主要表現(xiàn)為報(bào)文過(guò)濾，根據(jù)報(bào)文的源IP地址、目的IP地址、協(xié)議類型（TCP包、UDP包、ICMP包）、源端口、目的端口及報(bào)文傳遞方向等報(bào)頭信息來(lái)判斷是否允許報(bào)文通過(guò)，現(xiàn)在在此基礎(chǔ)上有更強(qiáng)的過(guò)濾技術(shù)：基于內(nèi)容的智能型和基于網(wǎng)絡(luò)連接狀態(tài)的狀態(tài)型。防火墻應(yīng)用示例6.3.7入侵檢測(cè)技術(shù)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的主要特點(diǎn)為：廣泛適用于各種網(wǎng)絡(luò)環(huán)境，不影響現(xiàn)有網(wǎng)絡(luò)性能實(shí)時(shí)的檢測(cè)和響應(yīng)監(jiān)控來(lái)源于網(wǎng)絡(luò)的入侵行為和攻擊企圖使得攻擊者轉(zhuǎn)移證據(jù)困難獨(dú)立的系統(tǒng)，不需改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)，不需在任何主機(jī)上安裝程序2、入侵檢測(cè)工作流程通常，入侵檢測(cè)系統(tǒng)在分析和判斷攻擊行為、特定行為或違反策略的異常行為時(shí)，需要經(jīng)過(guò)下列四個(gè)階段：（1）數(shù)據(jù)采集，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）利用處于混雜模式的網(wǎng)卡來(lái)獲得通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)，采集必要的數(shù)據(jù)用于入侵分析。（2）數(shù)據(jù)過(guò)濾，根據(jù)預(yù)設(shè)的閾值，進(jìn)行必要的數(shù)據(jù)過(guò)濾，從而提高檢測(cè)、分析的效率。（3）攻擊檢測(cè)/分析，根據(jù)定義的安全策略，來(lái)實(shí)時(shí)監(jiān)測(cè)并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)，使用采集的網(wǎng)絡(luò)包作為數(shù)據(jù)源進(jìn)行攻擊辨別，通常采用模式匹配、表達(dá)式或字節(jié)匹配、頻率或穿越閥值、事件的相關(guān)性和統(tǒng)計(jì)異常檢測(cè)等技術(shù)來(lái)識(shí)別攻擊。（4）事件報(bào)警/響應(yīng)，當(dāng)IDS一旦檢測(cè)到了攻擊行為，其響應(yīng)模塊就提供多種選項(xiàng)以通知、報(bào)警并對(duì)攻擊采取相應(yīng)的反應(yīng)，例如通知管理員、記錄數(shù)據(jù)庫(kù)等。3、入侵檢測(cè)的基本體系結(jié)構(gòu)傳感器管理平臺(tái)事件分析數(shù)據(jù)庫(kù)TCP/IP網(wǎng)絡(luò)傳感器……信息分析事件收集響應(yīng)控制圖6.2入侵檢測(cè)基本體系結(jié)構(gòu)4、常見(jiàn)的入侵檢測(cè)技術(shù)(1)模式匹配(2)異常檢測(cè)(3)協(xié)議分析(4)會(huì)話檢測(cè)(5)實(shí)時(shí)關(guān)聯(lián)檢測(cè)6.3.8病毒防范主要采用防病毒軟件6.4傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品及選型6.4.1防火墻1、防火墻產(chǎn)品選型：在選擇網(wǎng)絡(luò)防火墻時(shí)，應(yīng)主要考慮網(wǎng)絡(luò)的規(guī)模、網(wǎng)絡(luò)的架構(gòu)、網(wǎng)絡(luò)的安全需求、在網(wǎng)絡(luò)中的位置，以及網(wǎng)絡(luò)端口的類型等要素，選擇性能、功能、結(jié)構(gòu)、接口、價(jià)格都最為適宜的網(wǎng)絡(luò)安全產(chǎn)品。（1）系統(tǒng)性能（2）接口（3）并發(fā)連接數(shù)（4）吞吐量（5）安全過(guò)濾帶寬（6）支持用戶數(shù)華為USG2000防火墻產(chǎn)品圖華為USG6300防火墻產(chǎn)品圖6.4.2入侵檢測(cè)圖6.5RG-IDS入侵檢測(cè)系統(tǒng)產(chǎn)品圖6.4.3統(tǒng)一威脅圖6.6UTM功能集合6.4.4桌面安全管理系統(tǒng)桌面安全管理（又稱終端安全管理）是為企業(yè)級(jí)用戶提供全面高效的計(jì)算機(jī)設(shè)備管理手段，監(jiān)控企業(yè)內(nèi)IT環(huán)境的變化，保障計(jì)算機(jī)設(shè)備正常運(yùn)行，大幅度降低維護(hù)成本，幫助