网络系统安全网络安全防护ppt课件.pptx
网络系统安全网络安全防护,南京师范大学计算机科学与技术学院,陈 波,2,本讲我们学习了解网络安全防护的主要设备在前面课程中我们学习了信息安全防护的PDRR模型,就是安全防护分为防护、检测、响应和恢复四个主要环节,这一模型体现了安全防护的整体性和分层性原则。这一讲我们主要介绍网络安全防护中的边界防护和安全检测两个主要方法。首先我们看一看生活当中火车站、汽车站或者地铁是如何进行安全防护的。,3,例如,在火车站的入口,工作人员首先核对我们的身份证和火车票,那些票证不符的人不能进入车站接着,在火车站门内,工作人员会对我们进行安检,用仪器扫描我们的身体,要求随身携带的包裹通过安检仪器。这样那些携带危险品的人被禁止进入站内进入车站大厅以后,在上火车之前还会检票,那些票有问题的人又被拎出来被禁止上车经过这样在边界(站内和站外)以及内部不同安全域之间(候车大厅和站台)的安全检查,可以很大程度上确保我们乘车的安全。,4,安全防护,5,除了安全检查措施以外,大家可能还主要到,在火车站的外部、大厅内部、站台等很多区域,还设置了监控探头。安保人员通过监视监控探头可以及时发现出现的安全问题和各种突发情况。这些监控措施又极大地提高了车站的安全和服务能力。,6,安全检测,7,对应到我们这一讲的研究对象:网络,实际上也可以从边界防护和安全监测两个主要方面着手。,本讲要点:,8,1. 网络安全防护:防火墙2. 网络安全检测:入侵检测系统3. 防护和检测技术的发展与融合4. 防护技术应用实例: 家用无线路由安全设置 手机VPN设置,1. 网络安全防护:防火墙,9,(1)防火墙的概念防火墙,顾名思义,是指阻隔火的蔓延的,人们在需要防火的一边与外部边界之间修筑的一堵墙,以防止在外部火灾发生时火蔓延进受保护的一边。,1. 网络安全防护:防火墙,10,(1)防火墙的概念国家标准GB/T 20281-2015信息安全技术 防火墙技术要求和测试评价方法给出的防火墙定义是:部署于不同安全域之间,具备网络层访问控制及过滤功能,并具备应用层协议分析、控制及内容检测等功能,能够适用于IPv4、IPv6等不同网络环境的安全网关产品。,1. 网络安全防护:防火墙,11,(1)防火墙的概念部署:是在不同安全控制域之间建立的安全控制点工作原理:根据预先制定的访问控制策略和安全防护策略,解析和过滤流经防火墙的数据流,实现向被保护的安全域提供访问控制、审计等服务请求。保护的资产:是安全控制点内部的网络服务和资源等、防火墙本身及其内部的重要数据。,1. 网络安全防护:防火墙,12,(1)防火墙的概念防火墙可以是软件、硬件或软硬件的组合。软件防火墙就像其它的软件产品一样需要在计算机上安装并做好配置才可以发挥作用,例如Windows系统自带的软件防火墙和著名安全公司Check Point推出的ZoneAlarm Pro 软件防火墙。,1. 网络安全防护:防火墙,13,如图所示,为Windows中自带的防火墙设置界面。如图所示,为ZoneAlarm Pro防火墙软件控制界面。软件形式的防火墙具有安装灵活,便于升级扩展等优点,缺点是安全性受制于其支撑操作系统平台,性能不高。,1. 网络安全防护:防火墙,14,如图所示,为我国华为公司的硬件防火墙产品。目前市场上大多数防火墙是硬件防火墙。这类防火墙一般基于PC架构,也就是说这类防火墙和普通PC类似。还有基于特定用途集成电路(Application Specific Integrated Circuit,ASIC)、基于网络处理器(Network Processor,NP)以及基于现场可编程门阵列(Field-Programmable Gate Array,FPGA)的防火墙。这类防火墙采用专用操作系统,因此防火墙本身的漏洞比较少,而且由于基于专门的硬件平台,因而处理能力强、性能高。,1. 网络安全防护:防火墙,15,(2)防火墙的工作原理防火墙总体来讲可分为“包过滤型”和“应用代理型”两大类。包过滤防火墙工作在网络层和传输层,它根据通过防火墙的每个数据包的源IP地址、目标IP地址、端口号、协议类型等信息来决定是将让该数据包通过还是丢弃,从而达到对进出防火墙的数据进行检测和限制的目的。,1. 网络安全防护:防火墙,16,(2)防火墙的工作原理包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,而是适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。,1. 网络安全防护:防火墙,17,(2)防火墙的工作原理包过滤技术在发展中出现了两种不同版本,第一代称为静态包过滤,第二代称为动态包过滤。,1. 网络安全防护:防火墙,18,1)静态包过滤技术。这类防火墙几乎是与路由器同时产生的,它根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的包头信息进行制订。这些规则常称为数据包过滤访问控制列表(ACL)。各个厂商的防火墙产品都有自己的语法用于创建规则。,1. 网络安全防护:防火墙,19,在这张过滤规则样表中包含了:规则执行顺序、源IP地址、目标IP地址、协议类型(TCP包、UDP包和ICMP包)、TCP或UDP包的源端口、TCP或UDP包的目的端口、TCP包头的标志位(如ACK)、对数据包的操作、数据流向在实际应用中,过滤规则表中还可以包含TCP包的序列号、IP校验和等,如果设备有多个网卡,表中还应该包含网卡名称。,1. 网络安全防护:防火墙,20,该表中的第1条规则允许内部用户向外部Web服务器发送数据包,并定向到80端口,第2条规则允许外部网络向内部的高端口发送TCP包,只要ACK位置位,且入包的源端口为80。即允许外部Web服务器的应答返回内部网络。,1. 网络安全防护:防火墙,21,最后一条规则拒绝所有数据包,以确保除了先前规则所允许的数据包外,其他所有数据包都被丢弃。当数据流进入包过滤防火墙后,防火墙检查数据包的相关信息,开始从上至下扫描过滤规则,如果匹配成功则按照规则设定的操作执行,不再匹配后续规则。所以,在访问控制列表中规则的出现顺序至关重要。,1. 网络安全防护:防火墙,22,访问控制列表的配置有两种方式:严策略。接受受信任的IP包,拒绝其他所有IP包;宽策略。拒绝不受信任的IP包,接受其他所有IP包。显然,前者相对保守,但是相对安全。后者仅可以拒绝有限的可能造成安全隐患的IP包,网络攻击者可以改变IP地址轻松绕过防火墙,导致包过滤技术在实际应用中失效。所以,在实际应用中一般都应采用严策略来设置防火墙规则。表中所示即应用了严策略。,1. 网络安全防护:防火墙,23,(2)防火墙的工作原理1)静态包过滤技术的缺陷。通常,外部主机发给内部主机的数据包是应答包,是由于内部主机首先向外部主机提出了访问请求。当时攻击者可以主动发给内部某台主机一个应答包以对该主机进行扫描等操作。来看这张过滤规则表。对于这种不是真正响应请求的应答包,由于它符合规则表的第2条,防火墙会允许其通过,而给内部主机的安全带来隐患。究其原因,就是因为这张表的规则是离散的,不能对一次网络连接的多个数据包进行综合判断。,1. 网络安全防护:防火墙,24,(2)防火墙的工作原理1)静态包过滤技术的缺陷。,1. 网络安全防护:防火墙,25,(2)防火墙的工作原理2)状态包过滤技术。状态包过滤(Stateful Packet Filter)是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,对接收到的数据包进行分析,判断其是否属于当前合法连接,从而进行动态的过滤。,1. 网络安全防护:防火墙,26,(2)防火墙的工作原理2)状态包过滤技术。跟传统包过滤只有一张过滤规则表不同,状态包过滤同时维护过滤规则表和状态表。过滤规则表是静态的,而状态表中保留着当前活动的合法连接,它的内容是动态变化的,随着数据包来回经过设备而实时更新。当新的连接通过验证,在状态表中则添加该连接条目,而当一条连接完成它的通信任务后,状态表中的该条目将自动删除。,1. 网络安全防护:防火墙,27,(2)防火墙的工作原理2)状态包过滤技术的局限。基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤。对于包过滤防火墙而言,数据包来自远端主机。由于防火墙不是数据包的最终接收者,仅仅能够对数据包网络层和传输层信息头等控制信息进行分析,所以难以了解数据包是由哪个应用程序发起。目前的网络攻击和木马程序往往伪装成常用的应用层服务的数据包逃避包过滤防火墙的检查,这也正是包过滤技术难以解决的问题之一。,1. 网络安全防护:防火墙,28,(2)防火墙的工作原理2)状态包过滤技术的局限。访问控制列表的配置和维护困难。包过滤技术的实现依赖于详细和正确的访问控制列表。在实际应用中,对于一个大型的网络,由于可信任的IP数目巨大而且经常变动,而防火墙的安全性能与访问控制列表中的配置规则出现的先后顺序有关,网络安全策略维护将变得非常繁杂。而且,基于IP地址的包过滤技术,即使采用严策略的防火墙规则也无法避免IP地址欺骗的攻击。,1. 网络安全防护:防火墙,29,(2)防火墙的工作原理2)状态包过滤技术的局限。对安全管理人员的要求高,在建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的了解。包过滤防火墙难以详细了解主机之间的会话关系。包过滤防火墙处于网络边界并根据流经防火墙的数据包进行网络会话分析,生成会话连接状态表。由于包过滤防火墙并非会话连接的发起者,所以对网络会话连接的上下文关系难以详细了解,容易受到欺骗。,1. 网络安全防护:防火墙,30,(2)防火墙的工作原理2)状态包过滤技术的局限。大多数过滤器中缺少审计和报警机制,只能依据包头信息,而不能对用户身份进行验证,很容易遭受欺骗型攻击。,1. 网络安全防护:防火墙,31,(2)防火墙的工作原理3)应用代理技术采用应用代理技术的防火墙工作在应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。应用代理技术的发展也经历了两个版本,第一代的应用层网关(Application Gateway)技术,第二代的自适应代理(Adaptive Proxy)技术。,1. 网络安全防护:防火墙,32,(2)防火墙的工作原理3)应用代理技术应用层网关可分3种类型:双宿主主机网关;屏蔽主机网关;屏蔽子网网关。这三种网关都要求有一台主机,通常称为“堡垒主机”(Bastion Host),它起着防火墙的作用,即隔离内外网的作用。,1. 网络安全防护:防火墙,33,(2)防火墙的工作原理3)应用代理技术:双宿主主机网关特点:堡垒主机充当应用层网关。在主机中需要插入两块网卡,用于将主机分别连接到被保护的内网和外网上。在主机上运行防火墙软件,被保护内网与外网间的通信必须通过主机,因而可以将内网很好地屏蔽起来。内网可以通过堡垒主机获得外网提供的服务。,1. 网络安全防护:防火墙,34,(2)防火墙的工作原理3)应用代理技术:双宿主主机网关优点:这种应用层网关能有效地保护和屏蔽内网,且要求的硬件较少,因而是应用较多的一种防火墙;缺点:但堡垒主机本身缺乏保护,容易受到攻击。,1. 网络安全防护:防火墙,35,(2)防火墙的工作原理3)应用代理技术:屏蔽主机网关特点:为了保护堡垒主机而将它置入被保护网的范围中,在被保护内网与外网之间设置一个屏蔽路由器。它不允许外网用户对被保护内网进行直接访问,只允许对堡垒主机进行访问,屏蔽路由器也只接收来自堡垒主机的数据。与前述的双宿主主机网关类似,也在堡垒主机上运行防火墙软件。,1. 网络安全防护:防火墙,36,(2)防火墙的工作原理3)应用代理技术:屏蔽主机网关优点:屏蔽主机网关是一种更为灵活的防火墙软件,它可以利用屏蔽路由器来做更进一步的安全保护。缺点:此时的路由器又处于易受攻击的地位。此外,网络管理员应该管理在路由器和堡垒主机中的访问控制表,使两者协调一致,避免出现矛盾。,1. 网络安全防护:防火墙,37,(2)防火墙的工作原理3)应用代理技术:屏蔽子网网关特点:不少被保护网有这样一种要求,即它能向外网上的用户提供部分信息。这部分存放在公用信息服务器上的信息,应允许由外网的用户直接读取。针对这种情况,屏蔽子网网关结构使用一个或者更多的屏蔽路由器和堡垒主机,同时在内外网间建立一个被隔离的子网DMZ。,1. 网络安全防护:防火墙,38,(2)防火墙的工作原理3)应用代理技术:屏蔽子网网关DMZ网络是一个与内部网络和外部网络隔离的小型网络,一般将堡垒主机、Web服务器、邮件服务器以及其他公用服务器放在DMZ网络中。,1. 网络安全防护:防火墙,39,(2)防火墙的工作原理3)应用代理技术:屏蔽子网网关整个体系结构中存在3道防线。外部屏蔽路由器防火墙用于管理所有外部网络对DMZ的访问,它只允许外部系统访问堡垒主机或是DMZ中对外开放的服务器,并防范来自外部网络的攻击。内部屏蔽路由器防火墙位于DMZ网络和内部网之间,提供第三层防御。它只接受源于堡垒主机的数据包,管理DMZ到内部网络的访问。它只允许内部系统访问DMZ网络中的堡垒主机或是服务器。,1. 网络安全防护:防火墙,40,(2)防火墙的工作原理3)应用代理技术:屏蔽子网网关优点:这种防火墙系统的安全性很好,因为来自外部网络将要访问内部网络的流量,必须经过这个由屏蔽路由器和堡垒主机组成的DMZ子网络;可信网络内部流向外界的所有流量,也必须首先接收这个子网络的审查。,1. 网络安全防护:防火墙,41,(2)防火墙的工作原理3)应用代理技术:屏蔽子网网关堡垒主机上运行代理服务,它是一个连接外部非信任网络和可信网络的“桥梁”。堡垒主机是最容易受侵袭的,万一堡垒主机被控制,如果采用了屏蔽子网体系结构,入侵者仍然不能直接侵袭内部网络,内部网络仍受到内部屏蔽路由器的保护。,1. 网络安全防护:防火墙,42,(2)防火墙的工作原理4)自适应代理技术:特点:采用这种技术的防火墙有两个基本组件:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet Filter)。在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。,1. 网络安全防护:防火墙,43,(2)防火墙的工作原理4)自适应代理技术:在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应代理的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。,1. 网络安全防护:防火墙,44,(2)防火墙的工作原理4)自适应代理技术:优点:安全性高。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。,1. 网络安全防护:防火墙,45,(2)防火墙的工作原理4)自适应代理技术:缺点:速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。,1. 网络安全防护:防火墙,46,(2)防火墙的工作原理5)虚拟专用网VPN:如图所示,组织内部的用户出差了,或是回家后如何使用组织内网。例如学校的图书馆资源进行IP限制。远程用户可以通过因特网建立到组织内部网络的VPN连接,远程用户建立到远程访问服务器的VPN拨号后,会得到一个内网的IP地址,这样该用户就可以像是在内网中一样访问组织内部的主机,通常称这种应用为端到点的VPN接入。,1. 网络安全防护:防火墙,47,(2)防火墙的工作原理5)虚拟专用网VPN:如果分支机构的局域网如果不能通过专线连接,也可以利用站点间的VPN通过因特网将两个局域网连接起来。如图中,它具有一条跨越不安全的公网来连接两个端点的安全数据通道。通常称这种情况为点到点的VPN接入。,1. 网络安全防护:防火墙,48,(2)防火墙的工作原理5)虚拟专用网VPN:从上面的两个例子可以看出,VPN技术是利用因特网扩展内部网络的一项非常有用的技术,它利用现有的因特网接入,只需稍加配置就能实现远程用户对内网的安全访问或是两个私有网络的相互访问。,1. 网络安全防护:防火墙,49,(2)防火墙的工作原理5)虚拟专用网VPN:一个虚拟专用网络至少应该能提供如下功能:数据加密:保证通过公共网络传输的数据即使被他人截获也不至于泄露信息。信息认证和身份认证:保证信息的完整性、合法性和来源可靠性(不可抵赖性)。访问控制:不同的用户应该分别具有不同的访问权限。,1. 网络安全防护:防火墙,50,(2)防火墙的工作原理5)虚拟专用网VPN:虚拟专用网络可以帮助远程用户、公司分支机构、商业伙伴以及供应商等和公司内部网络建立可信的安全连接,并保证数据的安全传输。虚拟专用网络利用了现有的因特网环境,有利于降低建立远程安全网络连接的成本,同时也将简化网络的设计和管理的复杂度和难度,利于网络的扩展。随着移动用户的增加,虚拟专用网络的解决方案可以有效地实现远程网络办公和商业合作间的安全网络连接。,1. 网络安全防护:防火墙,51,(3)防火墙的部署只需要把防火墙的LAN端口与组织内部的局域网线路连接,把防火墙的WAN端口连接到外部网络线路连接即可。其实这是非常错误的观点,防火墙的具体部署方法要根据实际的应用需求而定,不是一成不变的。考虑一个典型的网络应用结构,1. 网络安全防护:防火墙,52,(3)防火墙的部署在这种应用中,整个网络结构分为3个不同的安全区域1)外部网络。包括外部因特网用户主机和设备,这个区域为防火墙的非可信网络区域,此边界上设置的防火墙将对外部网络用户发起的通信连接按照防火墙的安全过滤规则进行过滤和审计,不符合条件的则不允许连接,起到保护内网的目的。,1. 网络安全防护:防火墙,53,(3)防火墙的部署2)DMZ网络。它是从内部网络中划分的一个小区域,其中包括内部网络中用于公众服务的服务器,如Web服务器、Email服务器、FTP服务器、外部DNS服务器等,都是为因特网公众用户提供某种信息服务的。在这个区域中,由于需要对外开放某些特定的服务和应用,因而网络受保护的级别较低,如果级别太高,则这些提供公共服务的网络应用就无法进行。也正因此,在这个区域中的网络设备所运行的应用也非常单一。,1. 网络安全防护:防火墙,54,(3)防火墙的部署3)内部网络。这是防火墙要保护的对象,包括全部的内部网络设备、内网核心服务器及用户主机。要注意的是,内部网络还可能包括不同的安全区域,具有不同等级的安全访问权限。虽然内部网络和DMZ区都属于内部网络的一部分,但它们的安全级别(策略)是不同的。,1. 网络安全防护:防火墙,55,(3)防火墙的部署对于要保护的大部分内部网络来说,在一般情况下,禁止所有来自因特网用户的访问;而由企业内部网络划分出去的DMZ区,因需为因特网应用提供相关的服务,所以在一定程度上没有内部网络限制得那么严格,如Web服务器通常是允许任何人进行正常访问的。虽然这些服务器很容易遭受攻击,但是由于在这些服务器上所安装的服务非常少,所允许的权限非常低,真正的服务器数据是在受保护的内部网络主机上,所以黑客攻击这些服务器最可能的后果就是使服务器瘫痪。,1. 网络安全防护:防火墙,56,(3)防火墙的部署对于以上典型的网络体系结构,可以部署3种类型的防火墙:,外部防火墙。处于外部不可信网络(包括因特网、广域网和其他公司的专用网)与内部可信网络之间,控制来自外部不可信网络对内部可信网络的访问,防范来自外部网络的非法攻击。同时,保证DMZ区服务器的相对安全性和使用便利性。,1. 网络安全防护:防火墙,57,(3)防火墙的部署对于以上典型的网络体系结构,可以部署3种类型的防火墙:,内部防火墙。处于内部不同可信等级安全域之间,起到隔离内网关键部门、子网或用户的目的。,1. 网络安全防护:防火墙,58,(3)防火墙的部署对于以上典型的网络体系结构,可以部署3种类型的防火墙:,主机型防火墙,又称个人防火墙。服务于广大的个人主机用户,通常为软件防火墙,安装于单台主机中,防护的也只是单台主机。它可以监测主机上进行的入站和出站网络连接,并能够根据预先定义的规则,执行基于网络地址和基于应用的访问控制,通常还具有反恶意软件、入侵检测和网络告警等其他安全功能。,本讲要点:,59,1. 网络安全防护:防火墙2. 网络安全检测:入侵检测系统3. 防护和检测技术的发展与融合4. 防护技术应用实例: 家用无线路由安全设置 手机VPN设置,2. 网络安全检测:入侵检测系统,60,(1)入侵检测的概念人们希望在危险发生的时候能够及时发现危险并作出响应。例如碟中谍4影片开头的一个片段,就反映了这样的情节:当特工眼中安装的监视芯片扫描到对面走来的美女时,迅速与任务信息库中的人物特征匹配并识别出其为职业杀手并向特工的iPhone 4手机发送了报警信息。不过为时已晚,这名特工还是被美女杀手杀害了。视频片段,2. 网络安全检测:入侵检测系统,61,(1)入侵检测的概念现在我们来介绍入侵检测技术。入侵(Intrusion)是指任何企图危及资源的完整性、机密性和可用性的活动。不仅包括发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务等对计算机系统产生危害的行为。入侵检测顾名思义,是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。,2. 网络安全检测:入侵检测系统,62,(1)入侵检测的概念入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。与防火墙类似,除了有基于PC架构、主要功能由软件实现的IDS,还有基于ASIC、NP以及FPGA架构开发的IDS。图中所示,为著名的开源入侵检测软件Snort官方网站。图中所示,为我国启明星辰公司的入侵检测产品天阗(音同“填”)。,2. 网络安全检测:入侵检测系统,63,(2)入侵检测的工作原理事件产生器:从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器:分析得到的数据,并产生分析结果。响应单元:对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库:是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。,事件来源,事件产生器,事件分析器,响应单元,事件数据库,2. 网络安全检测:入侵检测系统,64,(2)入侵检测的工作原理根据检测数据的不同,IDS分为主机型和网络型入侵检测系统。1)基于主机的IDS(HIDS),通过监视和分析主机的审计记录检测入侵。2)基于网络的IDS(NIDS),通过在共享网段上对通信数据进行侦听,检测入侵。,2. 网络安全检测:入侵检测系统,65,(2)入侵检测的工作原理根据其采用的分析方法可分为异常检测和误用检测。1)异常检测。需要建立目标系统及其用户的正常活动模型,然后基于这个模型对系统和用户的实际活动进行审计,当主体活动违反其统计规律时,则将其视为可疑行为。该技术的关键是异常阈值和特征的选择。优点是可以发现新型的入侵行为,漏报少。缺点是容易产生误报。,2. 网络安全检测:入侵检测系统,66,(2)入侵检测的工作原理根据其采用的分析方法可分为异常检测和误用检测。2)误用检测。假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,系统的目标就是检测主体活动是否符合这些模式。该技术的关键是模式匹配。优点是可以有针对性地建立高效的入侵检测系统,其精确性较高,误报少。主要缺陷是只能发现攻击库中已知的攻击,不能检测未知的入侵,也不能检测已知入侵的变种,因此可能发生漏报。且其复杂性将随着攻击数量的增加而增加。,2. 网络安全检测:入侵检测系统,67,(3)入侵检测的部署与防火墙不同,入侵检测主要是一个监听和分析设备,不需要跨接在任何网络链路上,无需网络流量流经它,便可正常工作。对入侵检测系统的部署,唯一的要求是:应当挂接在所有所关注的流量都必须流经的链路上,即IDS采用旁路部署方式接入网络。这些流量通常是指需要进行监视和统计的网络报文。IDS和防火墙均具备对方不可代替的功能,因此在很多应用场景中,IDS与防火墙共存,形成互补。,2. 网络安全检测:入侵检测系统,68,(3)入侵检测的部署一种简单的IDS部署如图所示,IDS旁路部署在因特网接入路由器之后的第一台交换机上。,2. 网络安全检测:入侵检测系统,69,(3)入侵检测的部署,检测引擎,检测引擎,检测引擎,控制台,IDS在典型网络环境中的一种部署如图所示。控制台位于公开网段,它可以监控位于各个内网的检测引擎。,本讲要点:,70,1. 网络安全防护:防火墙2. 网络安全检测:入侵检测系统3. 网络安全技术的发展与融合4. 网络安全技术应用实例: 家用无线路由安全设置 手机VPN设置,3. 网络安全技术的发展与融合,71,(1)入侵防御系统主动防御能力的需求虽然传统的安全防御技术在某种程度上对防止系统非法入侵起到了一定的作用,但这些安全措施自身存在许多缺点,尤其是对网络环境下日新月异的攻击手段缺乏主动防御能力。例如,刚刚看过的碟中谍4中特工遇袭的片段,虽然特工有了报警功能的监视芯片,但是仍然存在两个主要问题:无法预警,不能在女杀手刚刚出现时就给出警报,必须走近才行;不能给出响应处理,仅仅是手机发出警报声音。,3. 网络安全技术的发展与融合,72,(1)入侵防御系统主动防御能力是指:系统不仅要具有入侵检测系统的入侵发现能力和防火墙的静态防御能力,还要有针对当前入侵行为动态调整系统安全策略,阻止入侵和对入侵攻击源进行主动追踪和发现的能力。入侵防御系统IPS(Intrusion Prevention System,也有称作Intrusion Detection Prevention,即IDP)作为IDS的替代技术诞生了。,3. 网络安全技术的发展与融合,73,(1)入侵防御系统IPS的概念IPS是一种主动的、智能的入侵检测、防范、阻止系统,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。,3. 网络安全技术的发展与融合,74,(2)下一代防火墙2008年Palo Alto Networks公司发布了下一代防火墙,可以对用户、应用和内容进行管控。2009年著名市场分析咨询机构Gartner发布了一份名为Defining the Next-Generation Firewall的文档给出了下一代防火墙NGFW(Next-Generation Firewall)的定义。1)传统防火墙。NGFW必须拥有传统防火墙所提供的所有功能,如基于连接状态的访问控制、NAT、VPN等等。虽然传统防火墙已经不能满足需求,但它仍然是一种无可替代的基础性访问控制手段。,3. 网络安全技术的发展与融合,75,(2)下一代防火墙2)支持与防火墙自动联动的集成化IPS。NGFW内置的防火墙与IPS之间应该具有联动的功能,例如IPS检测到某个IP地址不断地发送恶意流量,可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当由NGFW自动完成,而不再需要管理员介入。比起传统防火墙与IDS间的联动机制,这一属性将能让管理和安全业务处理变得更简单、高效。,3. 网络安全技术的发展与融合,76,(2)下一代防火墙3)应用识别、控制与可视化。NGFW必须具有与传统的基于端口和IP协议不同的方式进行应用识别的能力,并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天,或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况,保证关键业务的畅通。虽然严格意义上来讲应用流量优化(俗称应用QoS)不是一个属于安全范畴的特性,但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。,3. 网络安全技术的发展与融合,77,(2)下一代防火墙4)智能化联动。获取来自“防火墙外面”的信息,作出更合理的访问控制,例如从域控制器上获取用户身份信息,将权限与访问控制策略联系起来,或是来自URL 过滤判定的恶意地址的流量直接由防火墙去阻挡,而不再浪费IPS的资源去判定。也可以理解这个“外面”是NGFW本体内的其他安全业务,它们应该像之前提到的IPS那样与防火墙形成紧密的耦合关系,实现自动联动的效果(如思科的“云火墙”解决方案)。,3. 网络安全技术的发展与融合,78,(3)统一威胁管理UTM市场分析咨询机构IDC这样定义UTM:这是一类集成了常用安全功能的设备,必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能,并且可能会集成其他一些安全或网络特性。UTM可以说是将防火墙、IDS系统、防病毒和脆弱性评估等技术的优点与自动阻止攻击的功能融为一体。应当说,UTM和NGFW只是针对不同级别用户的需求,对宏观意义上的防火墙的功能进行了更有针对性的归纳总结,是互为补充的关系。,3. 网络安全技术的发展与融合,79,发展趋势由于网络攻击技术的不确定性,靠单一的产品往往不能够满足不同用户的不同安全需求。信息安全产品的发展趋势是不断地走向融合,走向集中管理。通过采用协同技术,让网络攻击防御体系更加有效地应对重大网络安全事件,实现多种安全产品的统一管理和协同操作、分析,从而实现对网络攻击行为进行全面、深层次的有效管理,降低安全风险和管理成本,成为网络攻击防护产品发展的一个主要方向。,网络边界安全防护小结,80,把不同安全级别的网络相连接,就产生了网络边界,为了防止来自网络外界的入侵,就需要在网络边界上建立可靠的安全防御措施。网络边界安全访问总体策略为:允许高级别的安全域访问低级别的安全域,限制低级别的安全域访问高级别的安全域,不同安全域内部分区进行安全防护,做到安全可控。边界可能包括以下一些部件:路由器、防火墙、IDS、IPS、VPN设备、防病毒网关等。上述部件和技术的不同组合,可以构成不同级别的边界防护机制。,网络边界安全防护小结,81,1)基本安全防护。采用常规的边界防护机制,如登录、连接控制等,实现基本的信息系统边界安全防护,可以使用路由器或者三层交换机来实现。2)较严格安全防护。如较严格的登录、连接控制,普通功能的防火墙、防病毒网关、IDS、信息过滤、边界完整性检查等。,网络边界安全防护小结,82,3)严格安全防护。如严格的登录、连接机制,高安全功能的防火墙、防病毒网关、IPS、信息过滤、边界完整性检查等。4)特别安全防护。采用当前较为先进的边界防护技术,必要时可以采用物理隔离安全机制,实现特别安全要求的边界安全防护。,本讲要点:,83,1. 网络安全防护:防火墙2. 网络安全检测:入侵检测系统3. 防护和检测技术的发展与融合4. 防护技术应用实例: 家用无线路由安全设置 手机VPN设置,4. 防护技术应用实例,84,实例1:家用无线路由安全设置现在无线路由器使用越来越普遍,针对无线路由的攻击也越来越多,蹭网就是一种攻击行为。为了保护我们无线网络的安全,防止别人蹭网,可以启用无线路由中的防火墙功能来防护。这里简单介绍一下防火墙与路由器、交换机的区别。路由器用来连接不同的网络,通过路由协议保证互联互通,确保数据包转发到目的地;,4. 防护技术应用实例,85,交换机通常用于组件局域网,作为局域网通信的重要枢纽,通过二层/三层交换机快速转发数据包。路由器和交换机的本质是交换,而防火墙的本质是控制。现阶段中低端路由器常常集成防火墙功能。,4. 防护技术应用实例,86,下面针对TP-Link的TL-R402M路由器介绍设置方法首先需要开启防火墙功能,该界面控制路由器防火墙总功能的开启,以及各子项功能:IP地址过滤、域名过滤和MAC地址过滤功能的开启和过滤规则。只有防火墙的总开关开启后,后续的安全设置才能够生效。,4. 防护技术应用实例,87,IP地址过滤用于通过IP地址设置内网主机对外网的访问权限,适用于这样的需求:在某个时间段,禁止/允许内网某个IP(段)所有或部分端口和外网IP的所有或部分端口的通信。,4. 防护技术应用实例,88,下面将通过一个例子说明IP地址过滤的使用如果希望:禁止局域网中IP地址为192.168.1.7的计算机收发邮件,禁止IP地址为192.168.1.8的计算机访问IP为202.96.134.12的网站,对局域网中的其它计算机则不做任何限制这时可以按照如下步骤设置:,4. 防护技术应用实例,89,打开防火墙总开关;在图中开启“IP地址过滤”,设置“缺省过滤规则”为“凡是不符合已设IP地址过滤规则的数据包,允许通过本路由器”。,4. 防护技术应用实例,90,在图中点击“添加新条目”按钮,4. 防护技术应用实例,91,然后在下图中按要求添加过滤条目。下图是禁止192.168.1.7的计算机发送邮件的设置,设置完成后,点击“保存”按钮。,4. 防护技术应用实例,92,重复刚才的步骤,继续设置过滤条目:禁止局域网中IP地址为192.168.1.7的计算机接收邮件,禁止IP地址为192.168.1.8的计算机访问IP为202.96.134.12的网站。一共需要设置3条IP过滤规则,依次对应下面列表中的三条过滤条目。,4. 防护技术应用实例,93,2添加IP地址过滤新条目:允许内网192.168.1.103完全不受限制的访问外网的所有IP地址因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”,所以内网电脑IP地址段:192.168.1.100-192.168.1.102不需要进行添加,默认禁止其通过。,4. 防护技术应用实例,94,3保存后生成如下条目,即能达到预期目的:,4. 防护技术应用实例,95,例二:预期目的:内网192.168.1.100-192.168.1.102的IP地址在任何时候都只能浏览外网网页;192.168.1.103从上午8点到下午6点只允在外网219.134.132.62邮件服务器上收发邮件,其余时间不能和对外网通信。浏览网页需使用到80端口(HTTP协议),收发电子邮件使用25(SMTP)与110(POP),同时域名服务器端口号53(DNS),4. 防护技术应用实例,96,设置方法如下:1选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器:,4. 防护技术应用实例,97,2设置生成如下条目后即能达到预期目的:,4. 防护技术应用实例,98,2设置生成如下条目后即能达到预期目的:,4. 防护技术应用实例,99,下面介绍MAC地址过滤设置的步骤:MAC地址过滤用于通过MAC地址来设置内网主机对外网的访问权限,适用于这样的需求:禁止/允许内网某个MAC地址和外网的通信。开启MAC地址过滤功能时,必须要开启防火墙总开关,并明确MAC地址过滤的缺省过滤规则(设置过程中若有不明确处,可点击当前页面的“帮助”按钮查看帮助信息):,4. 防护技术应用实例,100,下面通过一个例子说明MAC地址过滤的使用。例:只允许MAC地址为“00-19-66-80-53-52”的计算机访问外网,禁止其他计算机访问外网,设置方法如下:1、选择缺省过滤规则为