第05章網(wǎng)絡(luò)安全設(shè)計(jì)2_第1頁(yè)
第05章網(wǎng)絡(luò)安全設(shè)計(jì)2_第2頁(yè)
第05章網(wǎng)絡(luò)安全設(shè)計(jì)2_第3頁(yè)
第05章網(wǎng)絡(luò)安全設(shè)計(jì)2_第4頁(yè)
第05章網(wǎng)絡(luò)安全設(shè)計(jì)2_第5頁(yè)
已閱讀5頁(yè),還剩86頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第5章網(wǎng)絡(luò)安全設(shè)計(jì)主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第2頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的、全局性的問(wèn)題。5.1.1TCP/IP協(xié)議的安全模型(1)網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)能連續(xù)、可靠的正常運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第3頁(yè)共93頁(yè)7.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)在TCP/IP體系結(jié)構(gòu)中,各層都能提供一定的安全手段。如圖所示。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第4頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)(2)接口層的安全加密傳輸、防電磁波泄漏等。(3)網(wǎng)絡(luò)層的安全網(wǎng)絡(luò)層安全威脅:報(bào)文竊聽(tīng)、流量攻擊、拒絕服務(wù)攻擊等。網(wǎng)絡(luò)層安全技術(shù):路由安全機(jī)制、IPSec、防火墻技術(shù)等。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第5頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)(4)傳輸層的安全傳輸層安全協(xié)議:

SSL(安全套接字協(xié)議)SSL提供三個(gè)方面的服務(wù):用戶和服務(wù)器認(rèn)證數(shù)據(jù)加密服務(wù)維護(hù)數(shù)據(jù)的完整性。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第6頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)(5)應(yīng)用層的安全應(yīng)用層安全問(wèn)題:操作系統(tǒng)漏洞、應(yīng)用程序BUG、非法訪問(wèn)、病毒木馬程序等。應(yīng)用層安全技術(shù):加密、用戶級(jí)認(rèn)證、數(shù)字簽名等。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第7頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)網(wǎng)絡(luò)層面可靠性研究測(cè)度指標(biāo)網(wǎng)絡(luò)拓?fù)鋵友芯客負(fù)浣Y(jié)構(gòu)的可靠性及網(wǎng)絡(luò)組織的要求和改進(jìn)措施抗毀性、生存性網(wǎng)絡(luò)設(shè)備層研究通信設(shè)備終端到終端的可靠性及整個(gè)網(wǎng)絡(luò)系統(tǒng)設(shè)備的可靠性設(shè)備可靠性網(wǎng)絡(luò)路由層分析網(wǎng)絡(luò)路由算法的效率、流量控制、路由管理網(wǎng)絡(luò)運(yùn)行層研究網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)異常故障的規(guī)律對(duì)網(wǎng)絡(luò)可靠性的影響可用性網(wǎng)絡(luò)業(yè)務(wù)層分析網(wǎng)絡(luò)業(yè)務(wù)能力及服務(wù)質(zhì)量,對(duì)網(wǎng)絡(luò)的性能可靠性進(jìn)行綜合評(píng)價(jià)完成性、有效性網(wǎng)絡(luò)管理層提高維護(hù)管理水平的措施網(wǎng)絡(luò)可靠性研究主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第8頁(yè)共93頁(yè)補(bǔ)充:網(wǎng)絡(luò)可靠性指標(biāo)主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第9頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)5.1.2IATF網(wǎng)絡(luò)安全體系結(jié)構(gòu)(1)IATE安全技術(shù)標(biāo)準(zhǔn)美國(guó)國(guó)家安全局(NSA)制定了IATF(信息保障技術(shù)框架)標(biāo)準(zhǔn)。代表理論是“深度保護(hù)戰(zhàn)略”。IATF標(biāo)準(zhǔn)強(qiáng)調(diào)人、技術(shù)、操作三個(gè)核心原則。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第10頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)(2)邊界有時(shí)邊界定義為物理實(shí)體,如:人、信息、和信息系統(tǒng),它們?cè)谝粋€(gè)物理區(qū)域中。(3)信息基礎(chǔ)設(shè)施在IATF標(biāo)準(zhǔn)中,飛地指位于非安全區(qū)中的一小塊安全區(qū)域。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第11頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第12頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)(4)對(duì)手、動(dòng)機(jī)和攻擊類型可能的對(duì)手(攻擊者):國(guó)家、恐怖分子、罪犯、黑客或企業(yè)競(jìng)爭(zhēng)者。攻擊動(dòng)機(jī):收集情報(bào)、竊取知識(shí)產(chǎn)權(quán)、或僅僅是為了炫耀。攻擊方法:

被動(dòng)攻擊、主動(dòng)攻擊、物理臨近攻擊、內(nèi)部人員攻擊、分發(fā)攻擊。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第13頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)表5-1IATF描述的5類攻擊的特點(diǎn)攻擊類型攻擊特點(diǎn)被動(dòng)攻擊包括分析通信流,監(jiān)視沒(méi)有保護(hù)的通信,解密弱加密通信,獲取鑒別信息(如口令)等。被動(dòng)攻擊可能造成在沒(méi)有得到用戶同意或告知用戶的情況下,將用戶信息或文件泄漏給攻擊者,如泄露個(gè)人信用卡號(hào)碼等主動(dòng)攻擊包括試圖阻斷或攻破保護(hù)機(jī)制、引入惡意代碼、偷竊或篡改信息。主動(dòng)攻擊可能造成數(shù)據(jù)資料的泄漏和傳播,或?qū)е戮芙^服務(wù)及數(shù)據(jù)的篡改物理臨近攻擊指未被授權(quán)的個(gè)人,在物理意義上接近網(wǎng)絡(luò)系統(tǒng)或設(shè)備,試圖改變和收集信息,或拒絕他人對(duì)信息的訪問(wèn)內(nèi)部人員攻擊可分為惡意攻擊或無(wú)惡意攻擊。前者是指內(nèi)部人員對(duì)信息的惡意破壞或不當(dāng)使用,或使他人的訪問(wèn)遭到拒絕;后者指由于粗心、無(wú)知以及其他非惡意的原因造成的破壞分發(fā)攻擊在工廠生產(chǎn)或分銷過(guò)程中,對(duì)硬件和軟件進(jìn)行惡意修改。這種攻擊可能是在產(chǎn)品里引入惡意代碼,如后門(mén)等主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第14頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)(5)安全威脅的表現(xiàn)形式信息泄露、媒體廢棄、人員不慎、授權(quán)侵犯、非授權(quán)訪問(wèn)、旁路控制、假冒、竊聽(tīng)、電磁/射頻截獲、完整性侵犯、截獲/修改、物理侵入、重放、業(yè)務(wù)否認(rèn)、業(yè)務(wù)拒絕、資源耗盡、業(yè)務(wù)欺騙、業(yè)務(wù)流分析、特洛伊木馬程序、后門(mén)等。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第15頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)被動(dòng)攻擊指對(duì)信息的保密性進(jìn)行攻擊。特點(diǎn)是偷聽(tīng)或監(jiān)視信息的傳輸。主動(dòng)攻擊是篡改信息來(lái)源的真實(shí)性、信息傳輸?shù)耐暾院拖到y(tǒng)服務(wù)的可用性。包括中斷、偽造、篡改等。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第16頁(yè)共93頁(yè)案例:網(wǎng)絡(luò)攻擊主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第17頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)(6)深度保護(hù)戰(zhàn)略模型深度保護(hù)戰(zhàn)略的四個(gè)基本領(lǐng)域:保護(hù)局域網(wǎng)計(jì)算環(huán)境;保護(hù)區(qū)域邊界;保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施;保護(hù)支撐基礎(chǔ)設(shè)施。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第18頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)深度保護(hù)戰(zhàn)略體系包含人、技術(shù)和操作三個(gè)要素。表5-2深度保護(hù)戰(zhàn)略的具體內(nèi)容人技術(shù)操作培訓(xùn)意識(shí)培養(yǎng)物理安全人事安全系統(tǒng)安全管理深度保護(hù)技術(shù)框架領(lǐng)域安全標(biāo)準(zhǔn)IT/IA采購(gòu)風(fēng)險(xiǎn)評(píng)估認(rèn)證和鑒定評(píng)估監(jiān)視入侵檢測(cè)警報(bào)響應(yīng)恢復(fù)主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第19頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)5.1.3網(wǎng)絡(luò)安全防護(hù)技術(shù)(1)安全防護(hù)策略設(shè)計(jì)內(nèi)部網(wǎng)絡(luò)的原則:應(yīng)根據(jù)部門(mén)需要?jiǎng)澐肿泳W(wǎng),并實(shí)現(xiàn)子網(wǎng)之間的隔離;采取安全措施后,子網(wǎng)之間應(yīng)當(dāng)可以相互訪問(wèn)。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第20頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)網(wǎng)絡(luò)的安全防護(hù):內(nèi)網(wǎng)接口安全防護(hù)外網(wǎng)接口安全防護(hù)數(shù)據(jù)庫(kù)安全保護(hù)服務(wù)器主機(jī)安全防護(hù)客戶端的安全防護(hù)主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第21頁(yè)共93頁(yè)物理環(huán)境用戶層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層可靠性可用性審計(jì)管理防止否認(rèn)數(shù)據(jù)完整數(shù)據(jù)保密訪問(wèn)控制身份鑒別信息處理單元通信網(wǎng)絡(luò)安全管理安全特性結(jié)構(gòu)層次系統(tǒng)單元補(bǔ)充:ISO7498-2安全模型主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第22頁(yè)共93頁(yè)案例:網(wǎng)絡(luò)安全技術(shù)主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第23頁(yè)共93頁(yè)5.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)(2)傳輸過(guò)程中的安全防護(hù)技術(shù)網(wǎng)絡(luò)物理安全防護(hù)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)(3)包過(guò)濾技術(shù)包過(guò)濾是最常見(jiàn)的一種安全防護(hù)技術(shù)包過(guò)濾技術(shù)是利用IP數(shù)據(jù)包的特征進(jìn)行訪問(wèn)控制AAA技術(shù)根據(jù)用戶名和密碼進(jìn)行訪問(wèn)控制主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第24頁(yè)共93頁(yè)5.2網(wǎng)絡(luò)防火墻技術(shù)5.2.1防火墻的功能防火墻是由軟件或硬件構(gòu)成的網(wǎng)絡(luò)安全系統(tǒng)。防火墻用來(lái)在兩個(gè)網(wǎng)絡(luò)之間實(shí)施訪問(wèn)控制策略。(1)防火墻在網(wǎng)絡(luò)中的位置防火墻用來(lái)解決內(nèi)網(wǎng)和外網(wǎng)之間的安全問(wèn)題。防火墻在網(wǎng)絡(luò)中的位置如圖5-6所示。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第25頁(yè)共93頁(yè)5.2網(wǎng)絡(luò)防火墻技術(shù)LAN防火墻Internet主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第26頁(yè)共93頁(yè)5.2網(wǎng)絡(luò)防火墻技術(shù)(2)防火墻的功能只有防火墻安全策略允許的數(shù)據(jù),才可以自由出入防火墻,其他數(shù)據(jù)禁止通過(guò)。防火墻受到攻擊后,應(yīng)能穩(wěn)定有效的工作。防火墻可以記錄和統(tǒng)計(jì)網(wǎng)絡(luò)的使用情況。防火墻應(yīng)能過(guò)濾和屏蔽一切有害的服務(wù)和信息。防火墻應(yīng)能隔離網(wǎng)絡(luò)中的某些網(wǎng)段。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第27頁(yè)共93頁(yè)5.2網(wǎng)絡(luò)防火墻技術(shù)(3)防火墻設(shè)置的基本安全準(zhǔn)則部分廠商遵循:

一切未被允許的訪問(wèn)就是禁止的。部分廠商遵循:

一切未被禁止的訪問(wèn)就是允許的。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第28頁(yè)共93頁(yè)5.2網(wǎng)絡(luò)防火墻技術(shù)(4)防火墻的不足不能防范不經(jīng)過(guò)防火墻的攻擊。不能防范惡意的知情者或內(nèi)部用戶的誤操作。不能防止受病毒或木馬文件。由于防火墻不檢測(cè)數(shù)據(jù)的內(nèi)容,因此防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第29頁(yè)共93頁(yè)5.2網(wǎng)絡(luò)防火墻技術(shù)5.2.2防火墻的類型軟件防火墻功能強(qiáng)于硬件防火墻硬件防火墻性能高于軟件防火墻。包過(guò)濾防火墻產(chǎn)品:以以色列Checkpoint防火墻、美國(guó)Cisco公司PIX防火墻。代理型防火墻產(chǎn)品:美國(guó)NAI公司Gauntlet防火墻。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第30頁(yè)共93頁(yè)5.2網(wǎng)絡(luò)防火墻技術(shù)(1)軟件防火墻個(gè)人級(jí)軟件防火墻:瑞星防火墻產(chǎn)品。企業(yè)級(jí)軟件防火墻:微軟公司ISAServerCheckPoint公司FW等。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第31頁(yè)共93頁(yè)案例:ISAServer企業(yè)級(jí)軟件防火墻主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第32頁(yè)共93頁(yè)5.2網(wǎng)絡(luò)防火墻技術(shù)(2)硬件防火墻大多數(shù)企業(yè)級(jí)防火墻都基于PC架構(gòu)。硬件防火墻產(chǎn)品:美國(guó)思科公司:CiscoPIX

美國(guó)杰科公司:NetScreen

中國(guó)天融信公司:網(wǎng)絡(luò)衛(wèi)士中國(guó)華為公司防火墻等主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第33頁(yè)共93頁(yè)案例:CiscoPIX防火墻產(chǎn)品主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第34頁(yè)共93頁(yè)案例:華為1800F硬件防火墻主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第35頁(yè)共93頁(yè)5.2網(wǎng)絡(luò)防火墻技術(shù)(4)包過(guò)濾防火墻包過(guò)濾防火墻的弱點(diǎn):☆過(guò)濾的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息,安全要求不可能充分滿足?!铍S著過(guò)濾規(guī)則的增加,性能會(huì)受到很大影響?!钊鄙賹徲?jì)和報(bào)警機(jī)制。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第36頁(yè)共93頁(yè)案例:防火墻包過(guò)濾策略主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第37頁(yè)共93頁(yè)5.2網(wǎng)絡(luò)防火墻技術(shù)(5)代理型防火墻代理型防火墻是工作在應(yīng)用層。優(yōu)點(diǎn):可以對(duì)網(wǎng)絡(luò)中任何一層的數(shù)據(jù)進(jìn)行篩選和保護(hù)。缺點(diǎn):速度較慢,當(dāng)網(wǎng)關(guān)吞吐量較高時(shí),容易成為內(nèi)網(wǎng)與外網(wǎng)之間的瓶頸。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第38頁(yè)共93頁(yè)5.2網(wǎng)絡(luò)防火墻技術(shù)代理服務(wù)器工作流程真實(shí)的客戶端真實(shí)服務(wù)器轉(zhuǎn)發(fā)請(qǐng)求外部網(wǎng)絡(luò)代理客戶機(jī)代理服務(wù)器應(yīng)用協(xié)議分析響應(yīng)內(nèi)部網(wǎng)絡(luò)請(qǐng)求轉(zhuǎn)發(fā)響應(yīng)主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第39頁(yè)共93頁(yè)5.2網(wǎng)絡(luò)防火墻技術(shù)5.2.3PIX防火墻配置案例(1)防火墻的接口內(nèi)網(wǎng)接口:下行連接內(nèi)部網(wǎng)絡(luò)設(shè)備外網(wǎng)接口:上行連接公網(wǎng)的路由器等設(shè)備DMZ接口:接非軍事區(qū)網(wǎng)絡(luò)設(shè)備硬件防火墻中的網(wǎng)卡一般都設(shè)置為混雜模式,這樣就可以監(jiān)測(cè)到流過(guò)防火墻的數(shù)據(jù)。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第40頁(yè)共93頁(yè)Internet

服務(wù)器可以使用私有地址隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)WWWFTP

MAILDNS

:80——:80:21——:21:25——:25:53——:53:21案例:網(wǎng)絡(luò)端口映射主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第41頁(yè)共93頁(yè)5.3DMZ網(wǎng)絡(luò)安全設(shè)計(jì)5.3.1DMZ的功能與安全策略(1)DMZ的基本慨念DMZ區(qū)域內(nèi)通常放置一些不含機(jī)密信息的公用服務(wù)器,如Web、Email、FTP等服務(wù)器。DMZ并不是網(wǎng)絡(luò)組成的必要部分。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第42頁(yè)共93頁(yè)5.3DMZ網(wǎng)絡(luò)安全設(shè)計(jì)主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第43頁(yè)共93頁(yè)5.3DMZ網(wǎng)絡(luò)安全設(shè)計(jì)(3)DMZ網(wǎng)絡(luò)訪問(wèn)控制策略基本原則:☆設(shè)計(jì)最小權(quán)限,定義允許訪問(wèn)的網(wǎng)絡(luò)資源和網(wǎng)絡(luò)的安全級(jí)別。☆確定可信用戶和可信任區(qū)域?!蠲鞔_網(wǎng)絡(luò)之間的訪問(wèn)關(guān)系,制定訪問(wèn)控制策略。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第44頁(yè)共93頁(yè)案例:DMZ區(qū)域與外網(wǎng)的訪問(wèn)控制主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第45頁(yè)共93頁(yè)5.3DMZ網(wǎng)絡(luò)安全設(shè)計(jì)5.3.2DMZ網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(1)堡壘主機(jī)防火墻結(jié)構(gòu)堡壘主機(jī)是一臺(tái)具有多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī),它可以進(jìn)行內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的路由,也可以充當(dāng)與這臺(tái)主機(jī)相連的若干網(wǎng)絡(luò)之間的路由。攻擊者如果掌握了登錄到堡壘主機(jī)的權(quán)限,那么內(nèi)部網(wǎng)絡(luò)就非常容易遭到攻擊。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第46頁(yè)共93頁(yè)5.3DMZ網(wǎng)絡(luò)安全設(shè)計(jì)主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第47頁(yè)共93頁(yè)5.3DMZ網(wǎng)絡(luò)安全設(shè)計(jì)(2)單防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)DMZ將網(wǎng)絡(luò)劃分為:內(nèi)網(wǎng)、外網(wǎng)和DMZ區(qū)域。(3)雙防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)如圖5-14所示,有兩臺(tái)防火墻連接到DMZ公共子網(wǎng),一臺(tái)位于DMZ子網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間,而另一臺(tái)防火墻位于外部網(wǎng)絡(luò)與DMZ之間。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第48頁(yè)共93頁(yè)5.3DMZ網(wǎng)絡(luò)安全設(shè)計(jì)5.3.3網(wǎng)絡(luò)安全區(qū)域設(shè)計(jì)(1)定義網(wǎng)絡(luò)安全區(qū)域(2)安全區(qū)域中的服務(wù)(3)網(wǎng)絡(luò)服務(wù)區(qū)域的安全問(wèn)題數(shù)據(jù)庫(kù)等服務(wù)器,不允許內(nèi)部用戶直接訪問(wèn);應(yīng)用服務(wù)器,為內(nèi)部用戶提供服務(wù),并且需要訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第49頁(yè)共93頁(yè)5.3DMZ網(wǎng)絡(luò)安全設(shè)計(jì)在安全策略設(shè)置中,應(yīng)當(dāng)不允許內(nèi)部用戶直接訪問(wèn)信任域,允許內(nèi)部用戶通過(guò)DMZ訪問(wèn)信任域,允許不信任域訪問(wèn)DMZ區(qū)域。這樣就可以實(shí)現(xiàn)三個(gè)層次的安全防護(hù)。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第50頁(yè)共93頁(yè)案例:網(wǎng)絡(luò)安全設(shè)計(jì)主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第51頁(yè)共93頁(yè)5.4IDS和IPS網(wǎng)絡(luò)安全設(shè)計(jì)5.4.1IDS入侵檢測(cè)技術(shù)(1)入侵檢測(cè)系統(tǒng)入侵檢測(cè)過(guò)程:

信息收集、信息預(yù)處理、數(shù)據(jù)檢測(cè)分析和響應(yīng)等。入侵檢測(cè)系統(tǒng)本質(zhì)上是一種“嗅探設(shè)備”。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第52頁(yè)共93頁(yè)補(bǔ)充:入侵檢測(cè)原理主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第53頁(yè)共93頁(yè)5.4IDS和IPS網(wǎng)絡(luò)安全設(shè)計(jì)IDS通常設(shè)計(jì)為兩部分:安全服務(wù)器和主機(jī)代理。(2)IDS常用的入侵檢測(cè)方法特征檢測(cè)、統(tǒng)計(jì)檢測(cè)與專家系統(tǒng)。(3)其他入侵防御技術(shù)防火墻、口令驗(yàn)證系統(tǒng)、虛擬專用網(wǎng)(VPN)、系統(tǒng)完整性檢測(cè)(SIV)、蜜罐系統(tǒng)(給黑客提供一個(gè)容易攻擊的假目標(biāo))。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第54頁(yè)共93頁(yè)5.4IDS和IPS網(wǎng)絡(luò)安全設(shè)計(jì)5.4.2IDS網(wǎng)絡(luò)安全設(shè)計(jì)(1)IDS系統(tǒng)在網(wǎng)絡(luò)中的布署IDS系統(tǒng)可以部署在網(wǎng)絡(luò)中各個(gè)關(guān)鍵節(jié)點(diǎn),它們的工作效果大不相同的。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第55頁(yè)共93頁(yè)案例:IDS在網(wǎng)絡(luò)設(shè)計(jì)中的部署主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第56頁(yè)共93頁(yè)5.4IDS和IPS網(wǎng)絡(luò)安全設(shè)計(jì)(2)IDS系統(tǒng)產(chǎn)品選擇最大處理流量(以pps為單位衡量)產(chǎn)品的擴(kuò)展性是否通過(guò)了國(guó)家權(quán)威機(jī)構(gòu)的評(píng)測(cè)主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第57頁(yè)共93頁(yè)5.4IDS和IPS網(wǎng)絡(luò)安全設(shè)計(jì)5.4.3IDS存在的問(wèn)題誤報(bào)/漏報(bào)率高沒(méi)有主動(dòng)防御能力缺乏準(zhǔn)確定位和處理機(jī)制性能普遍不足主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第58頁(yè)共93頁(yè)5.4IDS和IPS網(wǎng)絡(luò)安全設(shè)計(jì)5.4.4IPS入侵防御技術(shù)(1)IPS的功能IPS是一種主動(dòng)、積極的入侵防御系統(tǒng),IPS不但能檢測(cè)入侵的發(fā)生,并且能實(shí)時(shí)終止入侵行為。IPS一般部署在網(wǎng)絡(luò)的進(jìn)出口處。IPS只能串聯(lián)在網(wǎng)絡(luò)上,對(duì)防火墻不能過(guò)濾的攻擊進(jìn)行處理。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第59頁(yè)共93頁(yè)5.4IDS和IPS網(wǎng)絡(luò)安全設(shè)計(jì)(2)IPS工作原理IPS檢測(cè)技術(shù):

☆并行處理檢測(cè)

☆協(xié)議重組分析主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第60頁(yè)共93頁(yè)補(bǔ)充:IPS工作原理主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第61頁(yè)共93頁(yè)5.4IDS和IPS網(wǎng)絡(luò)安全設(shè)計(jì)5.4.5IPS網(wǎng)絡(luò)安全設(shè)計(jì)IPS產(chǎn)品在網(wǎng)絡(luò)中采用串聯(lián)式連接。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第62頁(yè)共93頁(yè)5.4IDS和IPS網(wǎng)絡(luò)安全設(shè)計(jì)5.4.6IPS存在的問(wèn)題(1)單點(diǎn)故障如果IPS出現(xiàn)問(wèn)題,則會(huì)嚴(yán)重影響網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。(2)性能瓶頸要求對(duì)數(shù)據(jù)包做快速轉(zhuǎn)發(fā)。加載數(shù)量龐大的檢測(cè)特征庫(kù)時(shí),IPS設(shè)備無(wú)法支持這種響應(yīng)速度。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第63頁(yè)共93頁(yè)5.4IDS和IPS網(wǎng)絡(luò)安全設(shè)計(jì)(3)誤報(bào)和漏報(bào)(4)規(guī)則動(dòng)態(tài)更新(5)總體擁有成本主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第64頁(yè)共93頁(yè)5.5網(wǎng)絡(luò)隔離設(shè)計(jì)我國(guó)2000年1月1日起實(shí)施的《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》第二章保密制度第六條的規(guī)定:“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng),不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接,必須實(shí)行物理隔離”。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第65頁(yè)共93頁(yè)5.5網(wǎng)絡(luò)隔離設(shè)計(jì)5.5.1網(wǎng)絡(luò)隔離的技術(shù)特點(diǎn)(2)網(wǎng)絡(luò)物理隔離卡技術(shù)思路:首先切斷可能的攻擊途徑(如物理鏈路),然后再盡力滿足用戶的應(yīng)用需求。(3)協(xié)議隔離技術(shù)協(xié)議隔離指兩個(gè)網(wǎng)絡(luò)之間存在直接的物理連接,但通過(guò)專用協(xié)議來(lái)連接兩個(gè)網(wǎng)絡(luò)。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第66頁(yè)共93頁(yè)5.5網(wǎng)絡(luò)隔離設(shè)計(jì)(4)網(wǎng)絡(luò)隔離的安全要求在物理傳輸上使內(nèi)網(wǎng)與外網(wǎng)絡(luò)隔斷。在物理輻射上隔斷內(nèi)網(wǎng)與外網(wǎng)。在物理存儲(chǔ)上隔斷兩個(gè)網(wǎng)絡(luò)環(huán)境。保證網(wǎng)絡(luò)之間交換的只是應(yīng)用數(shù)據(jù)。在網(wǎng)絡(luò)隔離的前提下,保證網(wǎng)絡(luò)暢通。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第67頁(yè)共93頁(yè)5.5網(wǎng)絡(luò)隔離設(shè)計(jì)5.5.2網(wǎng)絡(luò)物理隔離卡工作原理(1)單主板安全隔離計(jì)算機(jī)采用雙硬盤(pán),將內(nèi)網(wǎng)與外網(wǎng)的轉(zhuǎn)換功能做入主板BIOS中,并將主板網(wǎng)卡插槽也分為內(nèi)網(wǎng)和外網(wǎng)。(2)網(wǎng)絡(luò)物理隔離卡技術(shù)采用雙硬盤(pán)技術(shù),啟動(dòng)外網(wǎng)時(shí)關(guān)閉內(nèi)網(wǎng)硬盤(pán),啟動(dòng)內(nèi)網(wǎng)時(shí)關(guān)閉外網(wǎng)硬盤(pán),使兩個(gè)網(wǎng)絡(luò)和硬盤(pán)進(jìn)行物理隔離。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第68頁(yè)共93頁(yè)5.5網(wǎng)絡(luò)隔離設(shè)計(jì)主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第69頁(yè)共93頁(yè)案例:網(wǎng)絡(luò)物理隔離解決方案主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第70頁(yè)共93頁(yè)案例:網(wǎng)絡(luò)安全隔離解決方案主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第71頁(yè)共93頁(yè)5.5網(wǎng)絡(luò)隔離設(shè)計(jì)5.5.3安全隔離網(wǎng)閘工作原理(1)GAP技術(shù)原理GAP技術(shù)包含兩個(gè)獨(dú)立的主機(jī)系統(tǒng)和一套固態(tài)開(kāi)關(guān)讀寫(xiě)介質(zhì)系統(tǒng)。GAP所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間,不存在通信連接,沒(méi)有命令,沒(méi)有協(xié)議,沒(méi)有TCP/IP連接,沒(méi)有包轉(zhuǎn)發(fā)等。只有數(shù)據(jù)文件的無(wú)協(xié)議“擺渡”,且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫(xiě)”兩個(gè)命令。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第72頁(yè)共93頁(yè)5.5網(wǎng)絡(luò)隔離設(shè)計(jì)(2)GAP數(shù)據(jù)交換過(guò)程內(nèi)網(wǎng)與專網(wǎng)之間無(wú)信息交換時(shí),安全隔離網(wǎng)閘與內(nèi)網(wǎng),安全隔離網(wǎng)閘與專網(wǎng),內(nèi)網(wǎng)與專網(wǎng)之間是完全斷開(kāi)的,即三者之間不存在物理連接和邏輯連接,如圖5-21所示。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第73頁(yè)共93頁(yè)5.5網(wǎng)絡(luò)隔離設(shè)計(jì)主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第74頁(yè)共93頁(yè)5.5網(wǎng)絡(luò)隔離設(shè)計(jì)當(dāng)內(nèi)網(wǎng)數(shù)據(jù)需要傳輸?shù)綄>W(wǎng)時(shí),安全隔離網(wǎng)閘主動(dòng)向內(nèi)網(wǎng)服務(wù)器數(shù)據(jù)交換代理發(fā)起非TCP/IP協(xié)議的數(shù)據(jù)連接請(qǐng)求,并發(fā)出“寫(xiě)”命令,將寫(xiě)入開(kāi)關(guān)合上,并把所有的協(xié)議剝離,將原始數(shù)據(jù)寫(xiě)入存儲(chǔ)介質(zhì)。如圖5-22所示。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第75頁(yè)共93頁(yè)5.5網(wǎng)絡(luò)隔離設(shè)計(jì)一旦數(shù)據(jù)寫(xiě)入存儲(chǔ)介質(zhì),開(kāi)關(guān)立即打開(kāi),中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)專網(wǎng)的連接請(qǐng)求,當(dāng)專網(wǎng)服務(wù)器收到請(qǐng)求后,發(fā)出“讀”命令,將安全隔離網(wǎng)閘存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)導(dǎo)向?qū)>W(wǎng)服務(wù)器。服務(wù)器收到數(shù)據(jù)后,按TCP/IP協(xié)議重新封裝接收到的數(shù)據(jù),交給應(yīng)用系統(tǒng),完成內(nèi)網(wǎng)到專網(wǎng)的信息交換。如圖5-23所示。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第76頁(yè)共93頁(yè)5.5網(wǎng)絡(luò)隔離設(shè)計(jì)(4)GAP與其他技術(shù)的區(qū)別防火墻側(cè)重于網(wǎng)絡(luò)層至應(yīng)用層的隔離GAP屬于從物理層到應(yīng)用層數(shù)據(jù)級(jí)別的隔離一個(gè)物理隔離卡只能管一臺(tái)計(jì)算機(jī)GAP可管理整個(gè)網(wǎng)絡(luò),并且不需要物理隔離卡物理隔離卡每次切換網(wǎng)絡(luò)都要重新啟動(dòng)GAP進(jìn)行網(wǎng)絡(luò)轉(zhuǎn)換不需要開(kāi)關(guān)機(jī)主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第77頁(yè)共93頁(yè)5.5網(wǎng)絡(luò)隔離設(shè)計(jì)5.5.4安全隔離網(wǎng)絡(luò)設(shè)計(jì)(1)利用GAP技術(shù)的組網(wǎng)設(shè)計(jì)(2)利用網(wǎng)絡(luò)物理隔離卡組網(wǎng)設(shè)計(jì)使用網(wǎng)絡(luò)物理隔離卡的安全主機(jī),內(nèi)網(wǎng)和外網(wǎng)最好分別使用兩個(gè)IP地址。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第78頁(yè)共93頁(yè)5.6VPN網(wǎng)絡(luò)安全設(shè)計(jì)5.6.1VPN技術(shù)特點(diǎn)(2)VPN的定義VPN使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)。(3)VPN隧道技術(shù)工作原理VPN在公用網(wǎng)上建立一條數(shù)據(jù)通道(隧道),讓數(shù)據(jù)包通過(guò)這條隧道進(jìn)行安全傳輸。隧道技術(shù)是指包括數(shù)據(jù)封裝,傳輸和解包在內(nèi)的全過(guò)程。主講:易建勛第5章網(wǎng)絡(luò)安全設(shè)計(jì)第79頁(yè)共93頁(yè)5.6VPN網(wǎng)絡(luò)安全設(shè)計(jì)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論