网络安全知识培训ppt课件.ppt

内容,1.网络安全基础知识2.网络漏洞和网络攻击技术3.网络安全防御技术产品4.网络安全策略-网络安全服务,11/5/2022,1,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,一、网络安全基础知识,1.网络安全的兴起2.网络安全的目的3.网络攻击后果4.网络安全风险,11/5/2022,2,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网络安全的兴起,Internet 技术迅猛发展和普及有组织、有目的地网络攻击Hacker出现企业内部安全隐患有限的安全资源和管理专家,11/5/2022,3,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,复杂程度,Internet 技术的迅猛发展和普及-网络应用,时间,11/5/2022,4,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,黑客（Hacker）的分类,偶然的破坏者坚定的破坏者间谍,11/5/2022,5,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,案例:电影黑客帝国,黑客方：尼奥 （病毒、木马） 反黑客方：史密斯（防火墙、杀毒软件）,11/5/2022,6,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,全球超过26万个黑客站点提供系统漏洞和攻击知识越来越多的容易使用的攻击软件的出现国内法律制裁打击力度不够,网络的普及使学习黑客技术变得异常简单,11/5/2022,7,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网络安全的目的,保护信息的安全保护信息交互、传输的安全保护信息系统的正常运行,11/5/2022,8,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,进不来,拿不走,改不了,跑不了,看不懂,信息安全的目的,可审查,11/5/2022,9,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,财政损失知识产权损失时间消耗由错误使用导致的生产力消耗责任感下降内部争执,网络攻击后果,可见的网络攻击影响,利润,Q1 Q2 Q3 Q4,11/5/2022,10,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,安全需求和实际操作脱离 内部的安全隐患动态的网络环境有限的防御策略安全策略和实际执行之间的巨大差异用户对安全产品的依赖和理解误差,网络安全风险,11/5/2022,11,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,二、网络漏洞和网络攻击技术介绍,1.网络中的漏洞2.网络攻击技术,11/5/2022,12,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网络通讯层漏洞,超过1000个TCP/IP服务安全漏洞:Sendmail, FTP, NFS, File Sharing, Netbios, NIS, Telnet, Rlogin, 等. 错误的路由配置 TCP/IP中不健全的安全连接检查机制 缺省路由帐户 反向服务攻击 隐蔽 Modem,11/5/2022,13,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,针对网络通讯层的攻击,11/5/2022,14,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,操作系统的安全隐患,1000个以上的商用操作系统安全漏洞 没有及时添加安全补丁 病毒程序的传播 文件/用户权限设置错误 默认安装的不安全设置 缺省用户的权限和密码口令 用户设置过于简单密码使用 特洛依木马,11/5/2022,15,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,针对操作系统的攻击,11/5/2022,16,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,应用程序服务的安全漏洞,Web 服务器: 错误的Web目录结构 CGI脚本缺陷 Web服务器应用程序缺陷 私人Web站点 未索引的Web页 数据库: 危险的数据库读取删 除操作, 缓冲区溢出,路由器:源端口/源路由 其他应用程序: Oracle, SAP, Peoplesoft 缺省帐户 有缺陷的浏览器,11/5/2022,17,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,针对应用服务的攻击,应用服务程序,Web服务器 数据库系统 内部办公系统 网络浏览器 ERP 系统 办公文件程序 FTP SMTP POP3,Oracle,11/5/2022,18,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,总结,通迅层漏洞(TCP/IP协议)操作系统漏洞应用程序漏洞非法授权访问,欺骗类攻击拒绝服务攻击利用病毒的攻击木马程序攻击入侵系统类攻击后门攻击缓冲区溢出攻击暴力破解字典程序,11/5/2022,19,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,三、网络安全防御技术产品,1.防火墙2.防病毒3.VPN4.入侵检测5.网络扫描器（Scanner）6.加密7.数字证书,11/5/2022,20,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,防火墙综述,防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。,File Server,Client,Mail Server,Client,Client,Client,FTP Server,防火墙,11/5/2022,21,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,防火墙可以是软件、硬件和软硬件结合的发展历经四代：简单包过滤、应用代理、状态检测（状态包过滤）防火墙、复合型防火墙,防火墙综述,11/5/2022,22,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,防火墙发展概述,11/5/2022,23,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,防火墙功能,IP包检测Internet内容过滤网络地址转换(NAT)攻击检测日志审计/报警应用层控制用户认证管理控制网络内容行为（NEW!）,11/5/2022,24,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,防病毒知识介绍,什么是病毒从广义上定义，凡能够引起计算机故障，自动破坏计算机数据的程序统称为计算机病毒。 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,11/5/2022,25,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,病毒特征及目前流行病毒,破坏性自动复制自动传播红色代码红色代码II尼姆达- Nimuda求职信,11/5/2022,26,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网关防病毒产品特点及适用平台,产品特点企业Internet网关入口处针对FTP,HTTP,SMTP高效能的三合一防毒软件 全球查杀技术，大大提升杀毒效能 利用在网关入口处对病毒拦截的功能, 降低了企业的防毒成本 ，提高了扫毒效率具有完整的实时监控功能适用平台 Windows NT、UNIX (Solaris、HP-UX)、Linux等,11/5/2022,27,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网关防病毒,Disparate systems,IDS,11/5/2022,28,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,VPN的基本技术,Internet,11/5/2022,29,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,VPN(Virtual Private Network) 它指的是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。,11/5/2022,30,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,VPN 最大优势 - 投资回报,大幅度减少电信服务费用，尤其针对地域上分散的公司和企业针对远程拨号上网访问的用户，省去了每个月的电信费用,11/5/2022,31,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,数据机密性保护 数据完整性保护 数据源身份认证,VPN作用,11/5/2022,32,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,实时入侵监控器是网络上实时的入侵检测、报警、响应和防范系统。 将基于网络的和基于主机的入侵检测技术，分布式技术和可生存技术完美地结合起来，提供实时的安全监控。 监控系统事件和传输的网络 数据，并对可疑的行为进行自动监测和安全响应，使用户的系统在受到危害之前即可截取并终止非法入侵的行为和内部网络的误用，从而最大程度地降低安全风险，保护企业网络的系统安全。,口令?,实时入侵检测系统,11/5/2022,33,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网络安全评估系统对网络设备进行自动的安全漏洞检测和分析，并且在执行过程中支持基于策略的安全风险管理过程。另外，执行预定的或事件驱动的网络探测，包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测，从而识别能被入侵者利用来非法进入网络的漏洞。 Scanner将给出检测到的漏洞信息，包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息，并跟随开放的网络应用和迅速增长的网络规模而相应地改变。,网络安全扫描系统,11/5/2022,34,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,加密,用于将数据转换成保密代码在不可信的网络上传输,加密算法,“The cow jumped over the moon”,“4hsd4e3mjvd3sda1d38esdf2w4d”,明文,加密数据,11/5/2022,35,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,对称密钥,加密和解密使用同一把密钥比非对称密钥速度快密钥管理工作量大密钥传递容易泄密,Shared Secret Key,11/5/2022,36,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,非对称密钥,加密和解密采用不同密钥 (一把公钥, 一把私钥)密钥分配简单密钥保存量小，便于管理,Alice Public KeyEncrypt,Alice Private KeyDecrypt,Bob,Alice,11/5/2022,37,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,数字证书和 Public Key Infrastructure,数字证书:包含了一个人的或一个实体的Public Keys允许安全地分发 public keysIs signed by a Certificate Authoritys private keyVerifies identity through trusted third party,My Certificate:Name: BobOrganization: YI SHANGPublic Key: lk393l430fksffj398sdf1f594ier933d34w435dCA: xxx.xxx.xxx.xxxand more,11/5/2022,38,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,灵活的认证方式,共享的密钥最简单的方式两个站点通过电话或E-Mail方式共享密钥Public Key Infrastructure提供在较大规模下发布和管理Public/Private 密钥的方法Internet Key Exchange (IKE)自动更有效地进行身份认证、协商算法及交换密钥,11/5/2022,39,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,四、网络安全策略-网络安全服务,建立一个有效的安全策略为你的系统分类 指定危险因数 确定每个系统的安全优先级 定义可接受和不可接受的活动 决定在安全问题上如何教育所有员工 确定谁管理你的政策,11/5/2022,40,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,安全基本元素,审计,管理,加密,访问控制,用户验证,安全策略,11/5/2022,41,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,管理分析 & 实施策略,Modem,11/5/2022,42,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,RISK,RISK,RISK,风险,实施安全解决方案：-就是为了把网络的风险降到最低限度,基本的威胁,采取措施后剩余的威胁,11/5/2022,43,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网络系统现状,潜在的安全风险,安全需求与目标,安全体系,安全解决方案,分析后得出,提出,进行,安全集成 / 应用开发,安全服务,安全方案设计,建立相应的,网络安全整体设计流程,依照风险制定出,11/5/2022,44,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,冒名顶替,废物搜寻,身份识别错误,不安全服务,配置,初始化,乘虚而入,代码炸弹,病毒,更新或下载,特洛伊木马,间谍行为,拨号进入,算法考虑不周,随意口令,口令破解,口令圈套,窃听,偷窃,网络安全威胁,线缆连接,身份鉴别,编程,系统漏洞,物理威胁,网络安全威胁,11/5/2022,45,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,虚拟专用网,防火墙,访问控制,防病毒,入侵检测,网络安全整体框架(形象图),11/5/2022,46,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网络病毒,红色代码尼姆达冲击波震荡波ARP病毒,11/5/2022,47,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,木马,病毒性木马工行密码盗取木马其它后门工具,11/5/2022,48,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,安全威胁实例,用户使用一台计算机D访问位于网络中心服务器S上的webmail邮件服务，存在的安全威胁：U在输入用户名和口令时被录像机器D上有key logger程序，记录了用户名和口令机器D上存放用户名和密码的内存对其他进程可读，其他进程读取了信息，或这段内存没有被清0就分配给了别的进程，其他进程读取了信息用户名和密码被自动保存了用户名和密码在网络上传输时被监听（共享介质、或arp伪造）机器D上被设置了代理，经过代理被监听,11/5/2022,49,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,安全威胁实例（续）,查看邮件时被录像机器D附近的无线电接收装置接收到显示器发射的信号并且重现出来屏幕记录程序保存了屏幕信息浏览邮件时的临时文件被其他用户打开浏览器cache了网页信息临时文件仅仅被简单删除，但是硬盘上还有信息由于DNS攻击，连接到错误的站点，泄漏了用户名和密码由于网络感染了病毒，主干网瘫痪，无法访问服务器服务器被DOS攻击，无法提供服务,11/5/2022,50,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,什么是网络安全？,本质就是网络上的信息安全。网络安全防护的目的。,11/5/2022,51,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网络安全的特征,（1）保密性confidentiality：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性integrity：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性availability：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性controllability：对信息的传播及内容具有控制能力。（5）可审查性：出现的安全问题时提供依据与手段,11/5/2022,52,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网络系统结构开放系统互连参考模型（1）,11/5/2022,53,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,TCP/IP 的网络互连,网际互连是通过 IP 网关（gateway）实现的网关提供网络与网络之间物理和逻辑上的连通功能网关是一种特殊的计算机，同时属于多个网络,11/5/2022,54,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,TCP/IP与OSI参考模型,TCP/IP协议和OSI模型的对应关系,应用层表示层会话层传输层网络层数据链路层物理层,FTP、TELNET NFSSMTP、SNMP XDR RPC TCP、UDP IPEthernet, IEEE802.3,802.11等,ICMP,ARP RARP,OSI参考模型,Internet协议簇,物理层,11/5/2022,55,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,影响网络安全的主要因素,网络的缺陷因特网在设计之初对共享性和开放性的强调，使得其在安全性方面存在先天的不足。其赖以生存的TCP/IP 协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输，基本没有考虑安全问题，故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。 例如：多数底层协议为广播方式，多数应用层协议为明文传输，缺乏保密 与认证机制，因此容易遭到欺骗和窃听软件及系统的“漏洞”及后门 随着软件及网络系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是Windows 还是UNIX 几乎都存在或多或少的安全漏洞，众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一,11/5/2022,56,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,黑客的攻击黑客技术不再是一种高深莫测的技术，并逐渐被越来越多的人掌握。目前，世界上有20 多万个免费的黑客网站，这些站点从系统漏洞入手，介绍网络攻击的方法和各种攻击软件的使用，这样，系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，这些都使得黑客攻击具有隐蔽性好，“杀伤力”强的特点，构成了网络安全的主要威胁。网络普及，安全建设滞后网络硬件建设如火如荼，网络管理尤其是安全管理滞后，用户安全意识不强，即使应用了最好的安全设备也经常达不到预期效果,11/5/2022,57,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网络安全策略,网络安全是一个系统的概念，可靠的网络安全解决方案必须建立在集成网络安全技术的基础上，网络系统安全策略就是基于这种技术集成而提出的，主要有三种： 1 直接风险控制策略（静态防御） 安全=风险分析+安全规则+直接的技术防御体系+安全监控 攻击手段是不断进步的，安全漏洞也是动态出现的，因此静态防御下的该模型存在着本质的缺陷。 2 自适应网络安全策略（动态性） 安全=风险分析+执行策略+系统实施+漏洞分析+实时响应 该策略强调系统安全管理的动态性，主张通过安全性检测、漏洞监测，自适应地填充“安全间隙”，从而提高网络系统的安全性。完善的网络安全体系，必须合理协调法律、技术和管理三种因素，集成防护、监控和恢复三种技术，力求增强网络系统的健壮性与免疫力。局限性在于：只考虑增强系统的健壮性，仅综合了技术和管理因素，仅采用了技术防护。,11/5/2022,58,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,3 智能网络系统安全策略（动态免疫力） 安全=风险分析+安全策略+技术防御体系+攻击实时检测+安全跟踪+系统数据恢复+系统学习进化 技术防御体系包括漏洞检测和安全缝隙填充；安全跟踪是为攻击证据记录服务的，系统学习进化是旨在改善系统性能而引入的智能反馈机制。模型中，“风险分析+安全策略”体现了管理因素；“技术防御体系+攻击实时检测+系统数据恢复+系统学习进化”体现了技术因素；技术因素综合了防护、监控和恢复技术；“安全跟踪+系统数据恢复+系统学习进化”使系统表现出动态免疫力。,11/5/2022,59,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,安全技术选择- 根据协议层次,物理层：物理隔离 链路层: 链路加密技术、PPTP/L2TP 网络层: IPSec协议（VPN）、防火墙 TCP 层: SSL 协议、基于公钥的认证和对称钥加密技术 应用层: SHTTP、PGP、S/MIME、 SSH(Secure shell)、开发专用协议（SET）,11/5/2022,60,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网络安全工具,物理隔离设备 交换机/路由器安全模块 防火墙(Firewall) 漏洞扫描器 入侵检测系统IDS、入侵防御系统IPS、安全审计系统、日志审计系统绿盟远程安全评估系统 虚拟专用网（VPN）、上网行为管理系统 病毒防护（防病毒软件、防毒墙、防木马软件等） 网络加速，负载均衡、流量控制,11/5/2022,61,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,物理隔离,主要分两种：双网隔离计算机物理隔离网闸,11/5/2022,62,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,双网隔离计算机,解决每人2台计算机的问题1台计算机，可以分时使用内网或外网关键部件硬盘网线软盘/USB/MODEM等共享部件显示器键盘/鼠标主板/电源硬盘*原理切换关键部件,11/5/2022,63,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,简单双网隔离计算机,外网硬盘,内网硬盘,外网网线,内网网线,公共部件,控制卡,控制开关,11/5/2022,64,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,复杂双网隔离计算机,内网硬盘,外网网线,内网网线,公共部件,控制卡,远端设备,使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分充分使用UTP中的8芯，减少一根网线,11/5/2022,65,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,物理隔离网闸的基本原理,采用数据“摆渡”的方式实现两个网络之间的信息交换在任意时刻，物理隔离设备只能与一个网络的主机系统建立非TCP/IP协议的数据连接，即当它与外部网络相连接时，它与内部网络的主机是断开的，反之亦然。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离设备。物理隔离设备在网络的第7层讲数据还原为原始数据文件，然后以“摆渡文件”形式传递原始数据。,11/5/2022,66,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,物理隔离实现基本原理（1）,11/5/2022,67,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,内外网模块连接相应网络实现数据的接收及预处理等操作；交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交换，保证任意时刻内外网间没有链路层连接；数据只能以专用数据块方式静态地在内外网间通过网闸进行“摆渡”，传送到网闸另一侧；集成多种安全技术手段，采用强制安全策略，对数据内容进行安全检测，保障数据安全、可靠的交换。,11/5/2022,68,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,物理隔离技术的应用,涉密网和非涉密网之间,11/5/2022,69,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,物理隔离技术的优缺点,优点： 中断直接连接 强大的检查机制 最高的安全性 缺点： 对协议不透明，对每一种协议都要一种具体的实现 效率低,11/5/2022,70,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,交换机安全模块,MAC绑定QOS设置多VLAN划分日志其他,11/5/2022,71,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,路由器安全功能,访问控制链表基于源地址/目标地址/协议端口号路径的完整性防止IP假冒和拒绝服务（Anti-spoofing/DDOS）检查源地址： ip verify unicast reverse-path 过滤RFC1918 地址空间的所有IP包；关闭源路由： no ip source-route路由协议的过滤与认证Flood 管理日志其他抗攻击功能,11/5/2022,72,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网 提供高性能、低价位的因特网接入VPN是企业网在公共网络上的延伸,VPN简介,11/5/2022,73,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网上数据泄漏的风险,恶意修改通道终点到：假冒网关,外部段（公共因特网）,ISP接入设备,原始终点为：安全网关,数据在到达终点之前要经过许多路由器，明文传输的报文很容易在路由器上被查看和修改监听者可以在其中任一段链路上监听数据逐段加密不能防范在路由器上查看报文，因为路由器需要解密报文选择路由信息，然后再重新加密发送恶意的ISP可以修改通道的终点到一台假冒的网关,远程访问,搭线监听,攻击者,ISP,ISP窃听,正确通道,11/5/2022,74,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,VPN功能,数据机密性保护 数据完整性保护 数据源身份认证 重放攻击保护,11/5/2022,75,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,远程访问,Internet,VPN是企业网在因特网上的延伸,VPN的典型应用,11/5/2022,76,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,现有的VPN 解决方案,基于 IPSec 的VPN解决方案 基于第二层的VPN解决方案 非 IPSec 的网络层VPN解决方案 非 IPSec 的应用层解决方案,11/5/2022,77,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,现有的VPN 解决方案小结,网络层对所有的上层数据提供透明方式的保护，但无法为应用提供足够细的控制粒度数据到了目的主机，基于网络层的安全技术就无法继续提供保护，因此在目的主机的高层协议栈中很容易受到攻击应用层的安全技术可以保护堆栈高层的数据，但在传递过程中，无法抵抗常用的网络层攻击手段，如源地址、目的地址欺骗应用层安全几乎更加智能，但更复杂且效率低 因此可以在具体应用中采用多种安全技术，取长补短,11/5/2022,78,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,防火墙的主要功能,监控并限制访问针对黑客攻击的不安全因素，防火墙采取控制进出内外网的数据包的方法，实时监控网络上数据包的状态，并对这些状态加以分析和处理，及时发现存在的异常行为；同时，根据不同情况采取相应的防范措施，从而提高系统的抗攻击能力。控制协议和服务针对网络先天缺陷的不安全因素，防火墙采取控制协议和服务的方法，使得只有授权的协议和服务才可以通过防火墙，从而大大降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。,11/5/2022,79,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,防火墙的主要功能（续）,保护网络内部针对软件及系统的漏洞或“后门”，防火墙采用了与受保护网络的操作系统、应用软件无关的体系结构，其自身建立在安全操作系统之上；同时，针对受保护的内部网络，防火墙能够及时发现系统中存在的漏洞，进行访问上的限制；防火墙还可以屏蔽受保护网络的相关信息，使黑客无从下手。日志记录与审计当防火墙系统被配置为所有内部网络与外部Internet 连接均需经过的安全节点时，防火墙系统就能够对所有的网络请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用情况做出统计。这样网络管理员通过对统计结果进行分析，掌握网络的运行状态，继而更加有效的管理整个网络。,11/5/2022,80,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,防火墙的优点与不足,可屏蔽内部服务，避免相关安全缺陷被利用27层访问控制（集中在3-4层）解决地址不足问题抗网络层、传输层一般攻击不足防外不防内对网络性能有影响对应用层检测能力有限,11/5/2022,81,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,入侵检测,基本原理：利用sniffer方式获取网络数据，根据已知特征判断是否存在网络攻击优点：能及时获知网络安全状况，借助分析发现安全隐患或攻击信息，便于及时采取措施。不足：准确性：误报率和漏报率有效性：难以及时阻断危险行为,11/5/2022,82,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网络防病毒,基本功能：串接于网络中，根据网络病毒的特征在网络数据中比对，从而发现并阻断病毒传播优点：能有效阻断已知网络病毒的传播不足：只能检查已经局部发作的病毒对网络有一定影响,11/5/2022,83,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,网络扫描器,通过模拟网络攻击检查目标主机是否存在已知安全漏洞优点：有利于及早发现问题，并从根本上解决安全隐患不足：只能针对已知安全问题进行扫描准确性 vs 指导性,11/5/2022,84,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,访问控制（1）,广义的访问控制功能包括鉴别、授权和记账等鉴别（Authentication）：辨别用户是谁的过程。 授权（Authorization）对完成认证过程的用户授予相应权限，解决用户能做什么的问题。在一些访问控制的实现中，认证和授权是统一在一起的 记账（Accounting）；统计用户做过什么的过程，通常使用消耗的系统时间、接收和发送的数据量来量度。Tacacs、Tacacs+、Radius等技术能实现这三种功能。,11/5/2022,85,北京网新易尚科技有限公司 | YISHANG INNOVATION TECHNOLOGY CO.,LTD,访问控制（2）,RADIUS协议 针对远程用户Radius（Remote Authentication Dialin User service）协议，采用分布式的Client/Server结构完成密码的集中管理和其他访问控制功能；网络用户（Client）通过网络访问服务器（NAS）访问网络，NAS同时作为Radius结构的客户端，认证、授权和计帐的3A功能通过NAS和安全服务器（Secutity Server）或Radius服务器之间的Radius协议过程完成，而用户的控制功能在NAS实现。,11/5/2022,86,北京网新易尚科技有限公司 | YISHANG INNOVATION TEC