1、1防火墙 防火墙分为软件防火墙、硬件防火墙以及专用防火墙 一是限制人们从一个特别的控制点进入;防止侵入者接近内部设施;二是限定人们从一个特别的点离开;有效的保护内部资源。受信任网络非受信任网络未授权访问未授权访问2防火墙设计政策(1)拒绝除明确许可以外的任何一种服务。比较保守,是受推荐的方案。遵循“我们所不知道的都会伤害我们”的观点,因此能提供一个非常安全的环境。拒绝允许3防火墙设计政策(2)允许除明确拒绝以外的任何一种服务。第二种则较灵活,可以提供较多的服务。由于将易使用这个特点放在了安全性的前面,所以存在的风险较大。例如有一用户,他有权不从标准的Telnet端口(port 23)来提供Te
2、lnet服务,而是从另一个Port来提供此服务。允许拒绝4防火墙的功能访问控制功能内置VPN功能地址转换功能((Network Address Translation,NAT))负载均衡日志审计和报警功能上网行为管理5内置VPN利用公共网络在两个专用网络之间建立一个安全连接。通道技术通常也称为虚拟专用网技术VPN(Virtual Private Networking)。VPN客户端6网络地址转换 防火墙的网络地址转换功能是指将内部主机的IP地址转换为某一固定或者某范围内的某个IP地址,使从网络外部无法探测到它们。网络地址转换(NAT,Network Address Translation),有
3、时也称为IP伪装。7第一代:包过滤防火墙 TCP/IP数据包示意(图中IP所承载的上层协议为TCP/UDP)IPIP报头报头TCP/UDPTCP/UDP报头报头数据数据协议号源地址目的地址源端口目的端口MACMAC报头报头协议号源地址目的地址对于TCP/UDP来说,这5个元素组成了一个TCP/UDP连接,访问控制列表就是利用这些元素所定义的规则。8第二代:应用代理防火墙9第三代:状态检测防火墙状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。状态检测机制 状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配
4、会话表项进行转发。状态检测机制关闭状态下,即使首包没有经过设备,后续包只要通过设备也可以生成会话表项。Host 10.0.0.1Host 10.0.0.1Server 20.0.0.1Server 20.0.0.1会话表项源IP地址源端口目的IP地址目的端口协议192.168.1.1200001.1.1.123TCP源IP地址源端口目的IP地址目的端口协议1.1.1.123192.168.1.120000TCPServer Client Server Server 1.1.1.1:231.1.1.1:23 Host 192.168.1.1:20000 Host 192.168.1.1:2000
5、0创建会话表命中会话表 该报文通过Session:TCP 192.168.1.1:20000 1.1.1.1:23Client Server12第四代:统一威胁管理(UTM,Unified Threat Management)网关UTM网关:是指一个功能全面的安全产品,它能防范多种威胁。UTM网关集防火墙、虚拟专用网、入侵防御系统、防病毒、上网行为管理、内网安全、反垃圾邮件、抗拒绝服务攻击、内容过滤等多种安全技术于一身。13第五代:下一代防火墙下一代防火墙:一种整合式的网络平台,将多种功能整合在其上。除了传统的防火墙功能之外,还包括线上深度封包检测(Deep Packet Inspection
6、,DPI)、入侵防御系统、应用层侦测与控制、SSL/SSH检测、网站过滤以及QoS/带宽管理等功能,使得这个系统能够应对复杂而高智慧的网络攻击行动14入侵检测防护是必要的,但仅有防护是不够的,入侵检测是防火墙的合理补充入侵检测的概念最早由Anderson在1980年提出,是指对入侵行为的发觉,并对此做出反应的过程。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。15网络安全工具的特点网络安全工具的特点优点优点局限性局限性防火墙防火墙可简化网络管理,产品成熟可简化网络管理,产品成熟无法处理网络内部的攻击无法处理
7、网络内部的攻击IDS实时监控网络安全状态实时监控网络安全状态误报警,缓慢攻击,新的攻击模式误报警,缓慢攻击,新的攻击模式Scanner简单可操作,帮助系统管理员和安全简单可操作,帮助系统管理员和安全服务人员解决实际问题服务人员解决实际问题并不能真正扫描漏洞并不能真正扫描漏洞VPN保护公网上的内部通信保护公网上的内部通信可视为防火墙上的一个漏洞可视为防火墙上的一个漏洞防病毒防病毒针对文件与邮件,产品成熟针对文件与邮件,产品成熟功能单一功能单一16入侵检测系统主要功能 监视并分析用户和系统的活动。检查系统配置和漏洞。识别已知的攻击行为并报警。异常行为模式的统计分析。评估系统关键资源和数据文件的完整
8、性。操作系统的审计跟踪管理,并识别用户违反安全策略的行为。数据收集数据分析结果处理数据数据事件结果17基于主机的入侵检测系统 基于主机的入侵检测系统(Host-based Intrusion Detection System)为早期的入侵检测系统结构,其检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上18基于网络的入侵检测系统安全配置构造器分 析 结果网络接口分析引擎探测器探测器网络安全数据库基于网络系统的结构19入侵检测的分析技术-异常检测 异常检测原则是任何与已知行为模型不符合的行为都认为是入侵行为。
9、正常行为描述库异常检测匹配规则动态产生新描述动态更新描述网络数据日志数据入侵行为20入侵检测的分析技术-误用检测 误用检测假设所有入侵的行为或手段及其变种都能表达为一种模式或特征。误用检测技术通过对已知的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名。检测时,主要判别主机或者网络中所搜集到的数据特征是否匹配所收集的特征库中的一种,以此判断是否有入侵行为。21入侵防御系统入侵防御系统(Intrusion Prevention System,IPS)是近年来新兴的一种网络安全产品。它是由入侵检测系统(Intrusion Detection System,IDS)发展而来,兼有防火墙的
10、一部分功能。IPS系统包含两大功能模块:防火墙和入侵检测。从功能上讲,IPS是传统防火墙和入侵检测系统的组合,它对入侵检测模块的检测结果进行动态响应,将检测出的攻击行为在位于网络出入口的防火墙模块上进行阻断(联动)。虚拟专用网VPN VPN(Virtual Private Network)即虚拟专用网,是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。它是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。企业总部企业总部分公司分公司办事处办事处合作伙伴合作伙伴移动用户移动用户公共网络公共网络 VPN可分为以下三大类:(1)
11、企业各部门与远程分支之间的Intranet VPN。(2)企业网与远程(移动)雇员之间的远程访问(Remote Access)VPN。(3)企业与合作伙伴、客户、供应商之间的Extranet VPN。企业总部企业总部分公司分公司移动用户移动用户VPNVPN办事处办事处VPN互联网互联网VPN客户端客户端合作伙伴合作伙伴VPN内部VPN。在公司总部和它的分支机构之间建立的VPN。这是通过公用网络将一个组织的各分支机构通过VPN连接而成的网络总部总部分支机构分支机构远程办公室远程办公室Internet 远程访问VPN:在公司总部和远地雇员或旅行中的雇员之间建立的VPN。如果一个用户在家里或在旅途之
12、中,想同公司的内部网建立一个安全连接,可以用“远程访问VPN”来实现总部总部家庭办公家庭办公安装了安装了VPN客户客户端软件的移动用户端软件的移动用户Internet 外部网VPN:在公司和商业伙伴、顾客、供应商、投资者之间建立的VPN。外部网VPN为公司合作伙伴、顾客、供应商提供安全性。它应该能保证包括使用TCP和UDP协议的各种应用服务的安全,例如,电子邮件。Http,FTP,数据库的安全以及一些应用程序的安全。外部VPN的主要目标是保证数据在传输过程中不被修改,保护网络资源不受外部威胁。总部总部合作伙伴合作伙伴Internet蜜罐被动安全防护机制 加密、VPN 防火墙:配置问题、针对开放业务端口的攻击、内部攻击 入侵检测系统IDS:已知攻击特征库、高误报率 反病毒软件:病毒特征库在线升级,延迟“主动”安全防护机制 漏洞扫描与补丁分发工具:扫描脚本、补丁延迟 入侵防御系统IPS:已知攻击特征库、“傻瓜式”蜜罐28蜜罐的原理(1)布置安全陷阱(2)诱骗攻击(3)记录攻击过程
