网络安全及防护措施.ppt

《网络安全及防护措施.ppt》由会员分享，可在线阅读，更多相关《网络安全及防护措施.ppt（129页珍藏版）》请在三一办公上搜索。

1、精品文档,网络安全及防护措施,2,精品文档,概 要,一、安全隐患及安全认识分析二、网络安全体系结构三、网络安全整体防护思路,精品文档,一、安全隐患及安全认识分析,4,精品文档,网络安全事件,1998/9扬州郝氏兄弟工行窃款案例北京机场票务系统瘫痪深交所证券交易系统瘫痪 二滩电厂网络安全事故大量的网站被黑、被攻击网上信用卡密码被盗，钱被划走,5,精品文档,网 络,病毒,后门,信息外泄,信息丢失、篡改,资源占用,拒绝服务,黑客攻击,木马,逻辑炸弹,安全威胁种类分析图,6,精品文档,常见的攻击方式介绍,7,精品文档,了解攻击的作用,网络管理员对攻击行为的了解和认识，有助于提高危险性认识在遭遇到攻击行

2、为时能够及时的发现和应对了解攻击的手段才能更好的防范,8,精品文档,攻击带来的后果,系统被侵占，并被当作跳板进行下一步攻击文件，重要资料遭到破坏系统濒临崩溃，无法正常运行网络涌堵，正常通信无法进行重要信息资料被窃取，机密资料泄漏，造成重大经济损失,9,精品文档,常规攻击行为的步骤,预攻击信息探测，使用扫描器获取目标信息，这些信息可以为：主机或设备上打开的服务，端口，服务程序的版本，系统的版本，弱密码帐号等实施攻击，手法有很多，要视收集的信息来决定利用的手法如：缓冲区溢出，密码强打，字符串解码，DoS攻击等留下后门或者木马，以便再次利用清除攻击留下的痕迹包括痕迹记录，审计日志等,10,精品文档,

3、逻辑炸弹是一段潜伏的程序，它以某种逻辑状态为触发条件，可以用来释放病毒和蠕虫或完成其他攻击性功能，如破坏数据和烧毁芯片。它平时不起作用，只有当系统状态满足触发条件时才被激活。,逻辑炸弹,11,精品文档,邮件炸弹,概念：发送大容量的垃圾邮件如：KaBoomTo、From、Server拒收垃圾邮件、设置寄信地址黑名单（MailGuard),12,精品文档,OICQ攻击,OICQ本地密码使用简单的加密方式OICQ使用明文传输黑客可监听信息内容,13,精品文档,拒绝服务攻击,Denial of Service-Dos向目标主机发送大量数据包，导致主机不能响应正常请求，导致瘫痪在目标主机上放了木马，重启

4、主机，引导木马为完成IP欺诈，让被冒充的主机瘫痪在正式进攻之前，要使目标主机的日志记录系统无法正常工作,14,精品文档,拒绝服务攻击的种类,LandPing of DeathSYN floodDos/DDdos,15,精品文档,Land Attack,在Land攻击中，黑客利用一个特别打造的SYN包-它的原地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时，在Land攻击下，许多UNIX将崩溃，NT变得极其缓慢（大约持续五分钟）。,16,精品文档,Ping o

5、f death,ICMP(Internet Control Message Protocol，Internet控制信息协议)在Internet上用于错误处理和传递控制信息。它的功能之一是与主机联系，通过发送一个“回音请求”（echorequest）信息包看看主机是否“活着”。最普通的ping程序就是这个功能。而在TCP/IP的RFC文档中对包的最大尺寸都有严格限制规定，许多操作系统的TCP/IP协议栈都规定ICMP包大小为64KB，且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区。,17,精品文档,Ping of death,Ping of death就是故意产生

6、畸形的测试Ping包，声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过64KB上限，使未采取保护措施的网络系统出现内存分配错误，导致TCP/IP协议栈崩溃，最终接收方宕机。,18,精品文档,SYN Flooding攻击,SYN Flooding三段握手内核处理,19,精品文档,攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机，对攻击目标发动威力巨大的拒绝服务攻击。,Denial of Service(DoS)拒绝服务攻击,Distributed Denial of Service(DDoS)分布式拒绝服务攻击,攻击者利用大量的数据包“淹没”目标主机，耗尽可用资源乃至系统崩

7、溃，而无法对合法用户作出响应。,什么是DoS/DdoS攻击,20,精品文档,DdoS攻击过程,主控主机,合法用户,扫描程序,黑客,Internet,非安全主机,被控主机,应用服务器,21,精品文档,IP欺骗攻击,让被信任主机瘫痪联接目标主机猜测ISN基值和增加规律将源地址伪装成被信任主机，发送SYN数据段请求连接黑客等待目标机发送ACK包给已经瘫痪的主机黑客伪装成被信任主机，发送SYN数据段给目标主机建立连接,22,精品文档,IP碎片攻击,23,精品文档,IP碎片攻击,只有第一个分段包含了上层协议信息包过滤将丢弃第一个分段其他分段允许通过将在目的地被重组目的主机需等待重传不完全的包,最后返回一

8、个“packet reassembly time expired”信息可能被攻击者利用作为DoS攻击手段直接丢弃,24,精品文档,DNS欺骗攻击,冒充DNS Server向域名解析请求发送错误的解析结果,25,精品文档,利用Web进行攻击,CGI、ASPWeb的非交互性，CGI、ASP的交互性,26,精品文档,Web欺骗攻击,创造某个网站的复制影像用户输入户名、口令用户下载信息，病毒、木马也下载,27,精品文档,扫描器的功能简介,扫描器是 网络攻击中最常用的工具，并不直接攻击目标，而是为攻击提供信息扫描器至少应有三种功能：发现一个主机或网络的能力；一旦发现，探测其存在的服务及对应的端口；通过测

9、试这些服务，发现漏洞编写扫描器需要很多tcp/ip编程和c,perl和shell和socket编程的知识攻击利用的扫描技术必须有很快的速度和很好的隐身能力，否则会被发现,28,精品文档,针对互连设备的攻击,网络上的大部分设备如路由器和交换机大多支持Snmp 网管协议，支持snmp的设备都维护着自己接口等运行状态的信息库称为MIBS库。现行版本中网管端和设备间的通信只需经过一个叫做community 值的简单验证，管理端提供read only 的community 值时可以读取该设备的常规运行信息，如提供read write值时，这可以完全管理该设备。攻击网络互连设备的一条捷径，而且不太被注意,

10、29,精品文档,Snmp的安全验证机制,GET请求,RO community,MIBS,常规配置信息,SET请求,RW community,修改或下载所有状态信息,30,精品文档,设备攻击的形式,INTERNET,攻击者,控制,对内部攻击,切断,跳板攻击,31,精品文档,蠕虫是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝（复制品）传给其他的计算机。蠕虫可以修改、删除别的程序，但它也可以通过疯狂的自我复制来占尽网络资源，从而使网络瘫痪。,蠕虫,32,精品文档,蠕虫攻击技术,蠕虫技术是病毒和黑客攻击手法的结合，包含两者的技术，这种攻击造成的后果比单一的黑客攻击和病毒传染要大的多攻击的第一

11、步是扫描，找出符合攻击漏洞的主机，这其中包括端口扫描和脆弱性扫描,33,精品文档,蠕虫攻击技术,实施攻击，现在的手法大多是缓冲区溢出和系统自身的解码漏洞如Code red的.ida/idq 溢出和Lion的wu-ftpd缓冲区溢出成功后在目标主机上自我复制攻击程序，感染文件，疯狂调用进程。与发起者脱离关系直接成为下一次攻击发起者，换个网段继续扫描，攻击，以此类推，这种扩散是最大的,34,精品文档,Code red蠕虫攻击原理,攻击发起者,.ida漏洞服务器,扫描和攻击,.ida漏洞服务器,.ida漏洞服务器,.ida漏洞服务器,.ida漏洞服务器,.ida漏洞服务器,地址段A,地址段B,地址段

12、C,地址段D,35,精品文档,特洛伊木马,概念：古希腊人同特洛伊人的战争非法驻留在目标计算机里的执行事先约定操作的程序危害：复制、更改、删除文件，查获密码、口令，并发送到指定的信箱，监视被控计算机。BO、国产木马冰河查看注册表：有无陌生项,36,精品文档,木马技术,攻击者在成功侵占系统后往往会留下能够以特殊端口监听用户请求并且能够绕过系统身份验证的进程。改进程在系统中运行具有隐秘性质，管理员用常规的系统监视工具不容易发现攻击者利用该进程可以方便的再次进入系统而不用身份验证；攻击者可以利用这个后门向新的目标发起攻击通常控制端和木马植入端的通信是加密处理的，很难发现,37,精品文档,常见的木马工具

13、,NetbusBo2kSubsevenDoly冰河,38,精品文档,Unix 后门技术,管理员通过改变所有密码类似的方法来提高安全性，仍然能再次侵入大多数后门能躲过日志，大多数情况下，即使入侵者正在使用系统也无法显示他在线的情况和记录后门往往被反复利用来攻击该主机，发现主机的变化，除掉新装上的监控系统后门攻击对unix有很大的危害性,39,精品文档,密码破解后门,入侵者通过一个弱密码和默认密码帐号进行弱点攻击取得了系统的控制权取得shadow文件和 passwd文件，其中passwd文件的加密机制较弱，但对shadow 文件的破解技术也在发展攻击者取得文件后crack密码文件，扩大战果，造成主

14、机系统的众多用户口令丢失优点是管理员很难 确定到底那个帐号被窃取了,40,精品文档,Rhosts+后门,联网的unix主机，像rsh和rlogin这样的服务是基于rhosts文件里的主机名的简单验证攻击者只需向可访问的某用户的主目录的rhosts文件中输入“+”表示所有的主机均可以利用该帐号就可以无需口令进入该帐号Home目录通过NFS向外共享时，如权限设置有误，更容易成为攻击的对象 攻击者更喜欢使用rsh这样的工具，因为这种连接缺少日志记录能力，不易被发现,41,精品文档,Suid和sgid进程后门,Uid是unix中的用户标志，标志用户的身份和权限，suid进程则表示该进程归该用户所有，具

15、有该用户的身份权限攻击者通常通过溢出和其他的手法取得root权限，然后使用root身份属主一个文件如chown root.root/bin/ls;suid这个文件如chmod 4755/bin/ls;然后将其移到一个不起眼的位置，这样任何一个普通用户登陆导系统后只要执行该/bin/ls就可提升到root身份优点：suid进程在系统中有很多，但并不都属于root身份，很多是正常进程，难以查找即便使用find/-perm 4700-print,42,精品文档,Login后门,Unix中，login程序通，常对telnet的用户进行验证，入侵者在取得最高权限后获取login.c的源代码修改，让它在比

16、较口令与存储口令时先检查后门口令，这样攻击者可以登录系统不需系统的验证由于后门口令是在用户真实登陆之前进行的，所以不会被记录到utmp和wtmp日志的，所以攻击者可以获得shell而不暴露为了防止管理员使用strings查找login文件的文本信息，新的手法会将后门口令部分加密缺点是如果管理员使用MD5校验的话，会被发现,43,精品文档,Telnetd后门,用户telnet 到系统，监听端口的inetd服务接受联接，随后传给in.telnetd,由他调用login进程，在in.telnetd中也有对用户的验证信息如登陆终端有Xterm,VT100等，但当终端设为“letmein”时就会产生一个

17、不需要身份验证的shell来攻击者知道管理员会检查login程序，故会修改in.telnetd程序，将终端设为“letmein”就可以轻易的做成后门,44,精品文档,文件系统后门,攻击者需要在已占领的主机上存储一些脚本工具，后门集，侦听日志和sniffer信息等，为了防止被发现，故修改 ls,du,fsck以隐藏这些文件手法是用专用的格式在硬盘上划出一块，向系统表示为 坏扇区，而攻击者会使用特定的工具访问这些文件对于系统维护工具已被修改的管理员来说，发现这些问题是很困难的,45,精品文档,隐匿进程后门,攻击者在获得最高权限后，将自己编写监听程序加载到系统中以一个很不起眼的高位端口监听攻击者修改

18、自己的argv（）使他看起来像其他的进程名攻击者修改系统的 ps进程，使他不能显示所有的进程；攻击者将后门程序嵌入中断驱动程序使他不会在进程表中显现一个出名的例子：amod.tar.gz,46,精品文档,文件系统，进程后门,源ls,源ps,修改,修改,显示文件,显示进程,后门工具,后门进程,返回不存在,返回不存在,47,精品文档,内核后门,内核后门是最新的技术，和以往的后门都有所不同，他的修改和隐匿都体现在底层函数上面攻击者直接修改系统调用列表sys_call_table将正常进程的函数调用接口转向为攻击者插入的内核模块接口，而不改变该进程，这样用户执行的命令调用如ls,du,ps等的最终调用

19、结果是攻击者的自定义模块现在的很多LKM技术的后门就是利用这个原理，这种技术用通常的检测手法很难发现，检查sys_call_table的接口调用是目前唯一的办法著名的knark就是利用的这种技术,48,精品文档,痕迹清除技术,攻击系统过后，很多操作和行为都有可能被记录日志，因为这些往往都和系统的安全策略有关系系统的安全策略会定义那些服务和行为必须记录日志攻击完后必须清除自己的行为可能被那些日志记录找出这些日志文件，予以清除或修改,49,精品文档,Windows 的日志,Windows 的日志主要是两个方面，第一个是web等服务系统的访问日志，这其中包括ftp,mail等；第二个是系统的安全日志

20、，由系统的安全策略来指定服务系统的日志文件默认情况下的权限给予较低，一般用户都可以清除，这是一个很大的问题Windows 的服务日志如iis的日志是攻击的主要对象，在现今的攻击中体现的尤为充分,50,精品文档,Unix 日志处理,服务进程都有自己的日志记录如常用的web 服务器apache，ftp 服务器和sendmail服务等，这些服务器包都有自己的日志定制系统Syslogd守护进程定义的选项内容，很多进程如telnet 等都是在syslogd进程中定义的，攻击者查看syslog.conf就可发现有哪些进程在定义范围之内,51,精品文档,需要处理的日志举例,Sulog:系统中所有的su操作L

21、astlog:记录某用户最后一次的登陆时间和地址Utmp：记录以前登陆到系统中的所有用户Wtmp:记录用户登陆和退出的事件Access_log:apache服务器的访问访问日志.bash_history:shell记录的用户操作命令历史sh_history:sh shell记录的使用该shell的用户操作命令历史,52,精品文档,清除的方法,使用重定向符“”可以予以清除如cat/var/log/wtmp;cat/var/log/utmp;但清除日志太过于明显，很容易让管理员发现计算机被入侵了删除日志，将整个日志文件删除，属于恶意的报复行为rm rf/var/log/utmp使用特定的工具按照i

22、p地址，用户身份等条件筛选删除，这是常用的方法,精品文档,二、网络安全体系结构,54,精品文档,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,55,精品文档,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,地震、火灾、设备损坏、电源故障、被盗,56,精品文档,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,在传输线路上窃取数据,57,精品文档,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,Internet、系统内网络、系统外网络、内部局域网、拨号网络,58,精品文档,安全

23、体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,操作系统的脆弱性、漏洞、错误配置,59,精品文档,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,应用软件、数据库，包括资源共享、Email、病毒等,60,精品文档,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,管理员权限、口令、错误操作、资源乱用、内部攻击、内部泄密,61,精品文档,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,62,精品文档,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,设备冗余、线路

24、冗余、数据备份,63,精品文档,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,VPN加密技术,64,精品文档,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,防火墙、物理隔离、AAA认证,65,精品文档,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,漏洞扫描、入侵检测、病毒防护,66,精品文档,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,认证、病毒防护、数据备份、灾难恢复,67,精品文档,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,认证、访问控制及授权,

25、精品文档,三、网络安全整体防护思路,69,精品文档,网络脆弱性发展趋势,70,精品文档,木桶原则,最大容积取决于最短的木快攻击者“最易渗透原则”目标：提高整个系统的“安全最低点”。,71,精品文档,整体性原则,建立预警、防护、恢复机制构成闭环系统,72,精品文档,动态性原则,安全是相对的，不可能一劳永逸；道高一尺，魔高一丈；安全策略不断变化完善；安全投入不断增加（总投入的30%）。,精品文档,安全事件案例分析,年月下旬，杜守志在南宁市拾到一张户名为黄某某在建行广西分行开户的医疗保险复合卡，并于月日至月日在银行交易系统识别错误的情况下，输入“”为密码，连续从多家银行的机上，分别支取余笔现金，合计

26、人民币元。安全事件成因分析,精品文档,安全事件案例分析,一名普通的系统维护人员，轻松破解数道密码，进入邮政储蓄网络，盗走835万元。邮政储蓄使用的是专用的网络，和互联网物理隔绝；网络使用了防火墙系统；从前台分机到主机，其中有数道密码保护。安全事件成因分析,75,精品文档,事前检测：隐患扫描,通过模拟黑客的进攻手法,先于黑客发现并弥补漏洞，防患于未然。也称为漏洞扫描、脆弱性分析、安全评估。,76,精品文档,网络结构,专网或公网,Internet,公司总部,分公司,分公司,77,精品文档,总出口的门户安全,专网或公网,Internet,公司总部,分公司,分公司,防火墙,78,精品文档,各子网的边界

27、安全,专网或公网,Internet,公司总部,分公司,分公司,防火墙,79,精品文档,入侵检测产品的部署,专网或公网,Internet,公司总部,分公司,分公司,防火墙,80,精品文档,防病毒产品的部署,专网或公网,Internet,公司总部,分公司,分公司,防火墙,81,精品文档,加密传输产品的部署,专网或公网,Internet,公司总部,分公司,分公司,防火墙,82,精品文档,身份认证（3A）产品的部署,专网或公网,Internet,公司总部,分公司,分公司,防火墙,3A：认证、授权、审计,确认身份，防止抵赖,83,精品文档,事后恢复机制,灾难恢复技术日志查询,84,精品文档,关键产品,8

28、5,精品文档,关键产品,防火墙产品,防病毒产品,身份认证产品（3A）,加密产品（VPN）,入侵检测产品,物理隔离网闸,抗攻击网关,漏洞扫描产品,数据备份产品,86,精品文档,个人安全建议,关闭不必要的服务（如关闭SNMP、UPS、RAS）；关闭不必要的服务端口（80、21、161）；不轻易点击不熟悉的网页或链接；不轻易下载不了解的软件运行；不打开不熟悉的邮件附件；不要将硬盘设置为共享；要将IE等软件的安全等级设置为高等级；及时下载及安装补丁程序.,87,精品文档,加强密码的强壮性，并经常更改激活审计功能作好备份工作，包括本地备份、异地备份、磁盘阵列不要随意共享硬盘上的目录,88,精品文档,尽量

29、不要使用系统默认的OUTLOOK程序对于未知电子邮件小心打开网上下载要注意不去黑客等有危险性的网站经常查病毒，并主义随时出现的情况,精品文档,四、防火墙技术介绍,90,精品文档,什么是防火墙？,以隔离为目的的安全网关设备不同网络或网络安全域之间信息的唯一出入口根据安全政策控制出入网络的信息流本身具有较强的抗攻击能力,91,精品文档,防火墙主要作用,过滤不安全的服务；控制对系统的访问；集中的安全管理；抗攻击；入侵监测；隔离与保密；记录和统计。,精品文档,防火墙的典型应用,93,精品文档,Internet,Web Server,之一：对托管服务器的保护,防火墙,交换机,ISP机房,94,精品文档,

30、Internet,防火墙,路由器,内部局域网,交换机,之二：对内网的保护,95,精品文档,Internet,防火墙,路由器,WWW、DNS、FTP等,Email,内部局域网,内网交换机,外网交换机,之三：对内网及网站的保护,96,精品文档,DDN网,分支机构局域网,分支机构局域网,总部局域网,防火墙,接本地Internet平台,之四：利用专线构建广域网,防火墙,防火墙,97,精品文档,Internet,分支机构局域网,分支机构局域网,VPN防火墙,VPN防火墙,总部局域网,VPN防火墙,接本地Internet平台,之五：利用Internet构建广域网,98,精品文档,财务网段,一般员工办公网段

31、,防火墙,之六：对内网进行逻辑划分,OA及人事网段,领导办公网段,99,精品文档,传统防火墙的局限性,传统防火墙的共同特点采用逐一匹配方法进行检测和过滤，计算量太大。包过滤是对IP包进行逐一匹配检查。状态检测包过滤除了对包进行匹配检查外，还要对状态信息进行逐一匹配检查。应用代理对应用协议和应用数据进行逐一匹配检查。,100,精品文档,传统防火墙的局限性,传统防火墙的共同缺陷安全性越高，检查的越多，效率越低。防火墙的安全性与效率成反比。,101,精品文档,新一代防火墙面临的问题,目前网络安全的三大主要问题以拒绝访问（DoS/DDoS）为目的网络攻击；以蠕虫（WORM）为代表的病毒传播；以垃圾电子

32、邮件（SPAM）为代表的内容控制。这三大安全问题占据网络安全问题的九成以上，传统防火墙无能为力。,102,精品文档,产品特色（访问控制特性）,强访问控制基于IP地址和端口、传输方向和协议的访问控制；基于时间的访问控制；基于用户的访问控制（内核AAA身份认证）；基于网络空间（七层）的访问控制：OSI模型的第一层：网卡控制技术；OSI模型的第二层：MAC过滤防火墙；OSI模型的第三层：智能包过滤（Intelligent Packet Filter）；OSI模型的第四层：协议改造技术（Protocol Normalization）；OSI模型的第五层：会话控制技术；OSI模型的第六层：表现控制技术；

33、OSI模型的第七层：应用控制技术。,103,精品文档,产品特色（高安全）,高安全性高效安全的BSD 系统内核 采用基于BSD的中网专用安全操作系统，内核级的工作模式，使防火墙更加稳定、高效和安全。优化的TCP/IP协议栈 经过加固的系统内核和优化TCP/IP栈，能够有效防范DoS/DDoS、源路由攻击、IP碎片包等多种黑客攻击。内置入侵检测模块 内置的入情检测系统为客户提供更加广泛和全面的攻击防范、日志查证，确保内部网络的安全。防范恶意代码 可以有效阻止ActiveX、Java、Cookies、Java Script的入侵。,104,精品文档,支持移动用户远程拨入，实现对内部网络资源安全访问。

34、可以为用户提供全功能的网关到网关VPN解决方案。支持国密办许可的加密卡，提供高安全保障。,集成VPN模块，并支持第三方的加密卡,可扩展性,标配4或6个网口，满足大多数网络环境需求。模块化结构设计，最多支持10个网卡接口，适应多种网络环境。,1U设备下实现多网口支持,产品特色（可扩展）,可与IDS等安全产品联动,与国内领先的IDS产品实现联动，如启明星辰、金诺网安等。支持国际领先的OPENSEC联动协议，如冠群金辰等。,支持各种网络协议和应用协议,支持路由协议OSPF、RIP、RIPII、策略路由、DNS、DHCP等。支持VLAN 802.1Q和视频点播、H.323等应用协议过滤。,105,精品

35、文档,产品特色（高可用性）,问题 网络是否必须24x7的不间断运行？解决办法心跳互动 采用两台防火墙以主从方式工作，实现故障切换的功能。稳定、可靠,106,精品文档,带宽管理,Web服务器,视频应用服务器,浏览,下载,30%,20%,50%,视频,Ftp服务器,带宽管理规则库,内网,外网,外网,内网,分级带宽管理，管理直观简便；可粗可细带宽分配；粗可对某些网卡，可对某个部门的连续IP地址段，也可对离散的多个IP地址；细可以到每一个IP地址；,107,精品文档,双机热备份,保证系统的可用性无需手工插拔，10s内自动完成切换内部用户和外部用户完全透明，无需任何配置,主黑客愁TM,从黑客愁TM,客户

36、机,客户机,客户机,服务器,服务器,服务器,请求,请求,请求,请求,精品文档,五、物理隔离网闸介绍,109,精品文档,隔离网闸实现的目标,X-GAP技术在设计上主要是为了解决目前网络安全设备中存在的四个主要难题：第一，阻断内外网络的任何网络通信协议的连接。第二，抵御任何基于TCP/IP的已知和未知的网络攻击，特别是DoS/DDoS攻击。第三，抵御基于操作系统平台漏洞或后门的攻击。第四，阻断内外网络的直接连接，保护安全设备的安全策略。,110,精品文档,中网隔离网闸构成,硬件组成：内网机；外网机；SCSI控制开关系统；两个网卡：分别连接在内网机和外网机的主板上，用于内网机和外网机的输入输出。,1

37、11,精品文档,中网隔离网闸构成,软件组成：开关控制软件：快速的在两个处理单元之间交换数据。外部单边代理：接收外部的请求，解析出应用协议，过滤数据内容，保证数据中不包含危险命令。内部单边代理：通过传输层软件模块接收外部处理单元传入的请求和数据，解析出应用协议，过滤数据内容，保证数据中不包含危险命令。,112,精品文档,中网隔离网闸X-GAP的特征,阻断两个网络的物理连接：确保连接网闸X-GAP设备上的两个网络在任何时候链路层均是断开的，没有链路连接；阻断两个网络的逻辑连接：TCP/IP协议必须被阻断、被剥离，将原始数据通过P2P非TCP/IP的连接透过网闸设备X-GAP传递，没有通信连接、没有

38、网络连接、没有应用连接、完全阻断；网闸实现服务的应用代理：任何数据交流均通过两级代理的方式来完成，两级代理之间是通过开关系统实现信息交流的；,113,精品文档,中网隔离网闸X-GAP的特征,网闸安全策略的内部控制：网闸X-GAP内外系统的安全策略均在可信内网配置合传递，确保安全策略不能被攻击的特性；协议剥离后的数据摆渡：网闸X-GAP传输的原始数据通过表单方式进行，不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样，不会执行命令；网闸隔离设备的自我保护：网闸X-GAP外网内置防DoS/DDoS模块，抗攻击、防扫描、防入侵、防篡改、防破坏、防欺骗，同时系统提供完备的日志、审计功能。,

39、114,精品文档,协议处理图,TCP,IP,Raw Data,IP,TCP,DataInspection,ProtocolInspection,ProtocolInspection,115,精品文档,TCP/IP协议处理图,116,精品文档,SCSI开关系统,基于SCSI的开关系统开关系统是通过SCSI控制系统来实现的。SCSI控制系统作为网闸的开关系统是国际公认的、领先的技术。X-GAP将SCSI开关功能在系统的内核中实现，远远优于其它常见的开关技术。国内唯一实现基于SCSI开关技术的安全公司。,117,精品文档,隔离网闸主要性能指标,最小开关切换时间：12.5ns；网闸摆渡数据速率：248

40、Mbps；百兆带宽网闸吞吐量：80Mbps；设计的最大并发连接数：8192个；网闸内部最大带宽：5120Mbit/s（5G）；接口数量：支持24个网络接口；在性能方面达到了同期国际主要厂商同类产品的水平.,118,精品文档,X-GAP产品功能模块,安全的隔离（断开与摆渡）由外部主机、内部主机和开关系统组成。外部主机连接外网，内部主机连接内网，外部主机包含外部单边代理、内部主机包含内部单边代理，内外网主机代理之间的文件交换均通过网闸开关系统来摆渡。抗攻击内核（内核防护）抗攻击；防扫描；防入侵；防篡改；防破坏；防欺骗。,119,精品文档,X-GAP产品功能模块,协议的中止 中止IP包穿透；中止TC

41、P/UDP/ICMP/ARP包的穿透；中止应用协议（相关的RFC）；不是协议转换；不是私用协议,120,精品文档,X-GAP产品功能模块,病毒查杀 集成防病毒网关；支持手动升级；支持自动升级。访问控制 基于目标安全域；来源安全域；基于IP；基于Port；基于协议；基于状态标志。,121,精品文档,X-GAP产品功能模块,安全审计 外部主机的系统日志；内部主机的系统日志；功能模块的日志；管理员日志；对所有日志信息进行备份。身份认证 基于用户的访问控制；支持Radius协议认证；支持本地数据库的认证；网络层的身份认证；支持证书认证接口。,122,精品文档,X-GAP产品功能模块,123,精品文档,

42、X-GAP产品功能模块,应用安全：对命令进行过滤对协议进行过滤对URL进行过滤对代码进行过滤完整支持代理,124,精品文档,X-GAP产品功能模块,内容安全：基于关键词的过滤基于语意的过滤基于人工智能的控制支持人工干预,125,精品文档,X-GAP产品特点和优势,遵循RFC的互联网国际标准X-GAP在剥离第七层的应用协议的时候，完全遵守相关的RFC国际标准。因此对应用的兼容性支持好。具有可定制的特性X-GAP采用模块化结构，具有灵活的定制特性。X-GAP可以满足为特殊行业定制具体的业务需求。,126,精品文档,X-GAP产品特点和优势,一次一认证支持发送电子邮件采用高强度认证；防止病毒乱发电子

43、邮件；防止病毒泄密；每次授权、每次认证。协议恢复应用支持；不改变用户的使用方式；不改变用户的使用习惯；在第七层根据RFC恢复协议。,精品文档,典型案例介绍电力系统内部隔离方案,省电力调度数据专网,省电力综合信息网,EMS/SCADA电量计费系统,调度管理信息系统DMIS,管理信息系统MIS及OA等,Internet,物理隔离网闸,防火墙,防火墙,精品文档,省局,党政网,互联网,SDH,核心层,市局办大楼 访问层,20个区（市）县局访问层,OA,内部Mail,应用服务器,应用层,GE,GE,FE,FE,FE,FE,外联层,外联应用 服务器,发票抽奖,WEB,12366 系统,DDN64K,10M,FE,FE,GE,GE,FE,FE,FE,FE,GE,GE,MPLS VPN,备份服务器,病毒服务器,X-Gap8500,SX-120,LX-120,某市地税局方案,精品文档,Thank You!,