《网络安全技术与实践》第二篇边界安全ppt课件.ppt

网络安全技术与实践课件 制作人：蒋亚军,网络安全技术与实践（课件）人民邮电出版社2012 年,蒋亚军 编著,第二篇 网络边界安全,不同安全级别的网络存在着互联互通问题。政府要开放办公，其内网就需要与外网相联；商业银行要支持网上交易，其数据网也必须与互联网相连；企业要实现信息资源的共享和管理，其办公网与生产网、办公网与互联网的之间也存在连接问题；民航、铁路与交通部门要实现网上定票与实时信息查询也存在信息网与互联网的连接问题。不同安全级别的网络之间的互连就形成了网络边界，网络边界是指内部安全网络与外部非安全网络的分界线。由于网络中的泄密、攻击、病毒等侵害行为主要是透过网络边界实现，网络边界实际上就是网络安全的第一道防线,一、边界安全问题,信息泄密 不同的网络之间实现资源共享过程中，如果没有授权的人也获得了他不该得到的资源，就是信息泄露。网络攻击 入侵者通过互联网与内网的边界进入内部网络，篡改存储的数据，实施破坏，或者通过某种技术手段降低网络性能，造成网络的瘫痪。网络病毒 网络的业务互联，难免感染病毒，一旦在网络中发作，网络的业务将受到巨大的冲击。木马入侵,二、边界安全概念,网络可看作一个独立的对象，它通过自身的属性，维持内部业务的运转。网络的安全威胁来自网络内部与网络外部两个方面。内网的安全问题是指内部网络的合法用户在使用网络资源的时候，发生不合规范的操作与恶意的破坏，当然，内网的设备与系统自身的健康，软、硬件的稳定性，网络配置的合理性，流量是否均衡也会影响内网的安全。外网的安全问题是指外网的木马、病毒与网络攻击行为对于内网的威胁与破坏。由于外网的威胁主要通过网络边界完成，因此对于外网安全防护主要通过网络边界的安全手段来实现。边界安全问题是指内网与外网互通时由外网引起的安全问题，是指外网对于内网的入侵、病毒传播与攻击。对于网络边界的攻击，安全防护是唯一的手段。对于外网的入侵，关键是对入侵的识别和阻断，而如何区分正常非正常的业务申请则是边界安全防护的重点与难点。,三、边界安全技术,边界安全实际上是指边界的接入安全，边界安全技术是指面向互联网的边界安全体系，包括：边界路由器、防火墙、入侵检测系统、入侵防御系统、UTM、隔离网闸与VPN等技术。 本篇将透过五款典型边界安全产品的项目应用，介绍相关网络边界安全产品的基本知识包括：产品应用的技术、种类与功能，以及产品的部署与配置技术等。,项目一 防火墙,项目一 防火墙,【项目背景】 某企业有一个规模不大的计算机网络，其网络拓扑图如下图3.1所示。因没有采取任何安全防护措施，网络频繁受到攻击，员工在上班时经常访问娱乐网站，下载一些大容量的文件，造成网络拥塞。DMZ区域部署的WEB服务器常常有大量的不明链接侵扰，严重影响其服务性能。为提高网络的安全性能，公司要求采取网络安全措施，拟投资5万元，解决上述安全问题。,某公司的网络拓扑图,项目一 防火墙,【需求分析】 要解决网络安全问题首先要明确需求。项目中提到网络WEB服务器受到攻击，常常有不明的网络链接的侵扰，可以考虑选择对于应用层数据报文有控制能力的安全设备进行控制，对于员工下载一些大容量的文件，可以通过限制用户从Internet上的下载带宽，保证带宽资源的合理利用。要防止外网的攻击，选择的安全设备要具备抗攻击的功能。,项目一 防火墙,【预备知识】 防火墙原是指建筑物之间用来防止火灾蔓延的防火隔离墙，计算机网络中提到的防火墙是指隔离本地网络与外界网络之间的一道防御系统，是指具有此类功能的软件或硬件设备的总称。防火墙是通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理的软件或设备。互联网上的防火墙是一种非常有效的网络安全模型，通过它既可隔离风险区域与安全区域，同时也不妨碍本地网与外部网之间的信息访问。,知识点 1 防火墙的类型,1.按发展阶段划分,第0代防火墙,交换机访问控制列表ACL,第2代防火墙,状态包过滤防火墙,第2.5代防火墙,1. 重新组装数据包,!,特点,提高内容安全性,性能低,防火墙缓存区,记录,1,http:/,2,我不是蠕虫！,/downloads/.rmvb,3,OK,记录,2,非法字段,!,增量状态表,第3代防火墙,基于内容增量检测技术的防火墙,2.按物理形态划分,软件防火墙软件防火墙以软件形式存在，不同类型的计算机（如：X86架构、ASIC架构）要求安装不同类型的软件防火墙，不同的操作系统（如：Windows、Linux）运行的也是不同的软件防火墙。软件防火墙又分为网络软件防火墙与个人软件防火墙两类。网络软件防火墙一般安装在作为网关的网络服务器上，做堡垒主机用，个人软件防火墙则安装在个人电脑上。网络版软件防火墙最出名的莫过于Checkpoint，个人软件防火墙最出名的是BitDefender。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可使用，使用这类防火墙，要求网管对所工作的操作系统平台比较熟悉。,2.按物理形态划分,硬件防火墙硬件防火墙又可分为基于PC架构防火墙和基于专门硬件平台的防火墙。芯片级防火墙是基于专门硬件平台的防火墙，不使用通常的操作系统，使用专门的ASIC芯片。此类的防火墙速度比较快，处理能力比较强，性能也比较好。这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等，目前国内也有不少的防火墙采用这种架构，由于这类防火墙采用的是专用OS（操作系统）,防火墙本身的漏洞比较少，不过相对价格比较贵。,3.按技术分类,（1）包过滤型防火墙 包过滤型防火墙就是前面说的第“1”代防火墙，它工作在OSI网络参考模型的网络层和传输层。包过滤方式是一种通用、廉价和有效的安全手段。 在整个防火墙技术的发展过程中，包过滤技术出有两种不同版本，称为“静态包过滤”和“动态包过滤”。动态包过滤防火墙采用是动态设置包过滤规则，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测Stateful Inspection技术，采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要动态地在过滤规则中增加或更新条目。,3.按技术分类,（2）应用代理(Application roxy)防火墙应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层数据流的作用。在代理型防火墙技术的发展过程中，它也有两个不同的版本，即：应用网关型代理防火和自适应代理防火墙。,3. 按体系结构分类,（1）单主机防火墙（2）分布式防火墙,4按部署的位置分类,（1）边界防火墙边界防火墙是最为传统的那种防火墙，安装在内、外部网络的边界，所起的作用是对内、外部网络实施隔离，保护好边界以内的网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。（2）个人防火墙个人防火墙安装于单台主机中，防护的对象是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也相对较差。,二、防火墙的功能与特性,防火墙系统是网络的第一道防线，一个企业在决定使用防火墙保护内部网络的安全时，首先需要了解一个防火墙系统应具备的基本功能，这是用户选择防火墙产品的依据和前提。一个成功的防火墙产品应该具有认证、VPN、访问控制、数据加密、攻击防御、管理、实时审计与自动日志、包过滤等基本功能。,防火墙的功能与特性,（1）认证 防火墙产品作为对网络访问进行有效控制的信息安全设备，在对用户的网络访问进行控制的时候，要使用有效的用户认证技术来区分不同的用户身份，以适应不同访问级别的用户对网络访问的不同权限。防火墙的认证是指用户通过客户端软件，使用电子钥匙、自动认证方式或用户手动认证方式向防火墙证明自己的身份。只有当登录用户成功证明自己的身份，该用户才可以成为防火墙系统认可的认证用户，从而可以使用认证用户才能使用的网络服务。,防火墙的功能与特性,（2）VPN虚拟专用网 (Virtual Private Network)，简单地说就是利用公共网络的基础设施传送私有信息，并通过一定的技术手段保证数据的安全性，形成逻辑上的专用网络。VPN 通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的企业网连接起来，构成一个扩展的公司企业网。VPN传输加密的数据信息是通过隧道协议实现。 目前较为常见的隧道协议大致有两类：第二层隧道协议（PPTP、L2F、L2TP）和第三层隧道协议（IPSec、MPLS、SSL 等）。,防火墙的功能与特性,（3）访问控制防火墙的访问控制分为网络层的访问控制和应用层的访问控制。所有防火墙都必须具备网络层的访问控制功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现网络层的访问控制功能。,防火墙的功能与特性,NAT功能也非常重要，包括网络地址翻译（NAT）和端口地址翻译（PAT）。NAT指将一个IP地址域映射到另一个IP地址域，从而为终端主机提供透明路由的方法。NAT用于私有地址域与公有地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部结构，在一定程度上提高了网络的安全性。利用IP/MAC绑定可以阻止来自IP地址欺骗的攻击。,防火墙的功能与特性,防火墙应用层的访问控制功能是防火墙生产厂家的实力比拼点。应用层协议过滤控制要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。很多基于免费操作系统实现的防火墙虽然有状态监测模块（Linux、FreeBSD等内核模块可支持状态监测），但对应用层的控制却无法做得很好。在对应用层的控制上，选择防火墙时可以考察以下几点。,防火墙的功能与特性,是否提供HTTP协议的内容过滤？是否提供SMTP协议的内容过滤？是否提供FTP协议的内容过滤？ 是否提供应用层代理支持,防火墙的功能与特性,（4）数据加密防火墙支持的VPN加密标准也是衡量防火墙水平的一项重要功能。一般的防火墙应该支持数据加密标准DES、3DES、RC4以及国内专用的加密算法。加密除用于保护传输数据以外，还应用于其他领域，如身份认证、报文完整性认证，密钥分配等。有些防火墙提供基于硬件的加密，硬件加密可以提供更快的加密速度和更高的加密强度。,防火墙的功能与特性,（5）防御功能 后期的防火墙都有专门的防御功能，包括病毒扫描、内容过滤、防御DoS攻击、阻止ActiveX、Java、Cookies、Javascript等的侵入。防火墙应该能够从HTTP页面剥离Java Applet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒，并向浏览器用户报警。同时，能够过滤用户上载的CGI、ASP等程序，当发现危险代码时，向服务器报警。,防火墙的功能与特性,（6）管理功能防火墙管理是指具有管理权限的管理员的依据防火墙的运行状态可采取的管理行为，包括：防火墙的身份鉴别，防火墙安全规则的编写，防火墙安全参数的配置，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。,防火墙的功能与特性,防火墙的负载均衡特性也很重要，负载均衡可以看成动态的端口映射，它将一个外部地址的某一TCP或UDP端口映射到一组内部地址的某一端口，负载均衡主要用于将某项服务（如HTTP）分摊到一组内部服务器上以平衡负载。 防火墙的失败恢复特性（failover)指支持的容错技术，如双机热备份、故障恢复，双电源备份等也要考虑的。,防火墙的功能与特性,（7）审计与日志目前绝大多数防火墙都提供了审计和日志功能，区别是审计的粒度粗细不同、日志的存储方式和存储量不同。很多防火墙的审计和日志功能很弱，这一点在那些以DOM、DOC等电子盘（并且不提供网络数据库支持）为存储介质的防火墙中体现得尤为明显，有些甚至没有区分事件日志和访问日志。如果需要丰富的审计和日志功能，就需要考察防火墙的存储方式，如果是DOM、DOC等Flash电子盘的存储方式，将可能限制审计和日志的功能效果。,防火墙的功能与特性,（8）包过滤IP包过滤的是根据IP包头部信息如源地址和目的地址进行过滤，如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP，那么再根据ICMP头信息（类型和代码值）、TCP头信息（源端口和目的端口）或UDP头信息（源端口和目的端口）进行过滤，其他的还有MAC地址过滤。应用层的包过滤主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤以及动态包过滤等。,防火墙的功能与特性,（9）高可用性网络设备的高可用性是指一台网络设备失效后仍然能够提供网络服务。高端防火墙应具备双机容错功能，要支持多重冗余，实现链路备份、端口备份、热备份、集群备份等实现设备的高可用。,防火墙的功能与特性,（1）LAN接口 包括支持LAN接口类型与支持的最大LAN接口数。防火墙所能保护的网络类型有以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。防火墙所支持的局域网络接口数目，是指其能够保护的不同内网数目。,防火墙的功能与特性,（2）服务器平台指防火墙所运行的操作系统平台（如Linux、UNIX、Win NT、专用安全操作系统等）。 目前大部分防火墙采用专用的安全操作系统，如联想网御采用的是VSP（Versatile Security Platform）通用安全平台，天融信公司采用的是TOS (Topsec Operating System) 操作系统，锐捷的防火墙的操作系统是RG-SecOS。,防火墙的功能与特性,协议支持 指防火墙的非IP协议的支持能力。除支持IP协议之外，还有AppleTalk、DECnet、IPX及NETBEUI等协议。另外就是建立VPN通道的可采用的协议和认证时密钥的协议等，主要有IPSec，PPTP与其他专用协议等。,防火墙的功能与特性,（4）吞吐量网络中的数据是由一个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。吞吐量的大小主要由防火墙内网的网卡及程序算法的效率决定。,防火墙的功能与特性,（5）并发连接数指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。,三、不同厂家生产的防火墙,1. 核心技术对比（1）天融信天融信提出TOPSEC联动技术体系，采用TopASIC安全芯片，采用SoC（System on Chip）技能，芯片内置硬件防火墙、7层数据分析、VPN加密、硬件路由交换单元和快速报文缓存MAC等众多硬件模组，具备包过滤、应用代理、核检测等多项功能，,天融信,构建了适用于中小企业级到电信级各种网络应用需求的NGFWARES、NGFW4000、NGFW4000-UF三大系列60多个型号的防火墙产品。,高端（万兆）防火墙采用并行多处理器系统，中端产品（1000/100兆）采用ASIC，中端（百兆）采用X86，低端产品采用NP。,不同厂家生产的防火墙,（2）启明星辰天清汉马USG防火墙采用领先的专用MIPS64多核硬件架构，高性能、绿色低功耗，集防火墙、VPN、内容过滤、上网行为管理、抗拒绝服务攻击(Anti-DoS)、NetFlow等多种安全技术于一身，全面支持QoS、高可用性 （HA）、日志审计等功能，同时，可软件升级支持UTM功能，保护用户投资，。可用于政府、能源、金融、教育、大型企业、中小企业、军队等用户的边界安全。,启明星辰,（3）网御星云,网御防火墙分为KingGuard系列（万兆）、Super V系列（千兆）、Power V系列和Smart V（百兆+千兆）系列产品，共计80余款，,网御研发出的新一代防火墙产品将防火墙、IPSEC VPN、SSL VPN、入侵检测与防护系统、虚拟防火墙、漏洞扫描、主动防御、绿色上网、VRRP、集中管理等多项功能集成在一起。,（4）华为,华为Eudemon主要有两个产品系列，其中Eudemon100和200采用的是多核CPU，500和1000采用的是NP网络处理器，两者采用相同基本配置。华Eudemon防火墙300/500/1000采用NP专门处理数据业务，将控制层面和转发层面的业务分离，系统采用模块化结构，功能扩展灵活，处理能力很强。,为 图3- 11 VRP专用软件系统,