网络系统安全部署课件.ppt

1、元素说明：元素说明： 该元素由网络交换机、路由器、防火墙等网该元素由网络交换机、路由器、防火墙等网络传输设备组成，络传输设备组成， 进行用户网络数据的交换处理。进行用户网络数据的交换处理。 病毒泛滥：病毒泛滥：计算机病毒的感染率比例非常高，高达计算机病毒的感染率比例非常高，高达89.73% 软件漏洞：软件漏洞：软件系统中的漏洞也不断被发现，从漏洞软件系统中的漏洞也不断被发现，从漏洞公布到出现攻击代码的时间为公布到出现攻击代码的时间为5.8天天黑客攻击黑客攻击：世界上目前有世界上目前有20多万个黑客网站，各种黑多万个黑客网站，各种黑客工具随时都可以找到，攻击方法达几千种之多。客工具随时都可以找到

2、，攻击方法达几千种之多。 移动用户越来越多移动用户越来越多：网络用户往往跨越多个工作区域网络用户往往跨越多个工作区域以上相关数据来自以上相关数据来自Symantec。现有网络安全现有网络安全防御体制防御体制IDS68%杀毒杀毒软件软件99%防火防火墙墙98%ACL（规（规则控则控制）制）71%* 2004 CSI/FBI Computer Crime and Security Survey资料来源：资料来源：Computer Security Institute第一代第一代引导性病毒引导性病毒第二代第二代宏病毒宏病毒DOS电子邮件电子邮件有限的黑客有限的黑客攻击攻击第三代第三代网络网络DOS攻

3、击攻击混合威胁（混合威胁（蠕虫蠕虫+病毒病毒+特洛伊）特洛伊）广泛的系统广泛的系统黑客攻击黑客攻击下一代下一代网络基础网络基础设施黑客设施黑客攻击攻击瞬间威胁瞬间威胁大规模蠕大规模蠕虫虫DDoS破坏有效破坏有效负载的病负载的病毒和蠕虫毒和蠕虫波及全球的波及全球的网络基础架网络基础架构构地区网络地区网络多个网络多个网络单个网络单个网络单台计算机单台计算机周周天天分钟分钟秒秒影响的目标影响的目标和范围和范围1980s1990s今天今天未来未来安全事件对我们的安全事件对我们的威胁威胁越来越快越来越快 攻击和威胁转移到服务器和网关，对防毒体系提出新的挑战攻击和威胁转移到服务器和网关，对防毒体系提出新的

4、挑战IDC, 2004邮件邮件/互联网互联网Code RedNimdafunloveKlez20012002邮件邮件Melissa19992000LoveLetter1969物理介质物理介质Brain19861998CIHSQL Slammer20032004冲击波冲击波震荡波震荡波1831,0005,00010,00018,00038,00048,00060,00073,00077,000+0100002000030000400005000060000700008000090000病毒数目增长趋势图病毒数目增长趋势图 (1990- 04/2003)1990 19911994 1996 199

5、8 19992000 2001 20022003主流病毒行态主流病毒行态 木马、蠕虫木马、蠕虫引导区病毒引导区病毒台式电脑台式电脑第第1代代第第2代代第第3代代第第4代代台式电脑台式电脑台式电脑台式电脑台式电脑台式电脑台式电脑台式电脑LAN服务器服务器基于文件的病毒基于文件的病毒邮件群发病毒邮件群发病毒 互联网互联网防毒墙防毒墙电子邮件电子邮件服务器墙服务器墙台式电脑台式电脑笔记本电脑笔记本电脑网络病毒网络病毒 互联网互联网防毒墙防毒墙服务器服务器服务器服务器服务器服务器服务器服务器台式电脑台式电脑台式电脑台式电脑台式电脑台式电脑笔记本电脑笔记本电脑已打补丁的机器已打补丁的机器网络拥堵网络拥堵

6、Internet未修补漏洞的系统未修补漏洞的系统已修补漏洞的系统已修补漏洞的系统冲击波2003年8月11日补丁：MS03-026 2003年7月16日补丁： MS02-0392002年7月24日蠕虫王2003年1月25日时间间隔26 天185 天336 天尼姆达补丁： MS00-0782000年10月17日2001年9月18日震荡波2004年5月1日补丁：MS04-011 2004年4月13日18 天 据国家计算机应急处理协调中心（据国家计算机应急处理协调中心（CNCERT/CC）统计：）统计：2003年，我年，我国互联网内共有国互联网内共有272万台主机受到攻击，造成的损失数以亿计；万台主机

7、受到攻击，造成的损失数以亿计；数据来源：Radicati，2004.6设计阶段设计阶段开发阶段开发阶段实施阶段实施阶段使用阶段使用阶段管理制度管理制度监督机制监督机制使用方法使用方法 各信息系统依据重要程度的等级需要划各信息系统依据重要程度的等级需要划分不同安全强度的安全域，采取不同的安分不同安全强度的安全域，采取不同的安全控制措施和制定安全策略全控制措施和制定安全策略完成安全设施的重新部署或响应如何从全局角度对安全状况分析、评估与管理制定安全策略指导或自动p p p p p p p p p p p p p困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起

8、系统安全漏洞微软每周都有数个修正档需要更新2003年Windows 2000 Server有50个漏洞补丁怎样定位病毒源怎样定位病毒源或者攻击源，怎或者攻击源，怎样实时监控病毒样实时监控病毒 与攻击与攻击语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段教学网段教学网段1网站网站OA网段网段教学网段教学网段3教学网段教学网段2教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5内部办公内部办公NIntranet 24531612345678关闭安全维护关闭安全维护“后门后门”更改缺省的更改缺省的

9、系统口令系统口令Modem用户安全培训用户安全培训授权复查授权复查入侵检测入侵检测实时监控实时监控安装认证安装认证 & 授权授权数据文件加密数据文件加密添加所有添加所有操作系统操作系统Patch信息安全的目的信息安全的目的打不垮打不垮对于非法访问及攻击类对于非法访问及攻击类 -在非可信网络接口处安装在非可信网络接口处安装访问控制防火墙、蠕虫墙、访问控制防火墙、蠕虫墙、Dos/DDos墙、墙、IPsec VPN、SSL VPN、内容过滤、内容过滤系统系统领导网段领导网段防火墙、防火墙、IPSEC VPN、SSL VPN、内容过滤等、内容过滤等防防DOS/DDOS设备设备个人安全套件个人安全套件语

10、音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3教学网段教学网段2教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5对于病毒、蠕虫、木马类对于病毒、蠕虫、木马类 -实施全网络防病毒系统实施全网络防病毒系统对于垃圾邮件类对于垃圾邮件类 -在网关处实施防垃圾邮件系统在网关处实施防垃圾邮件系统邮件过滤网关、邮件过滤网关、反垃圾邮件系统反垃圾邮件系统在在MAIL系统中邮件病系统中邮件病毒过滤系统、反垃圾毒过滤系统、反垃圾邮件系统邮件系统领导网段领导网段语

11、音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3教学网段教学网段2教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5对于内部信息泄露、非法外联、内部攻击对于内部信息泄露、非法外联、内部攻击类类 -在各网络中安装在各网络中安装IDS系统系统 -在系统中安装安全隐患扫描系统在系统中安装安全隐患扫描系统 -在系统中安装事件分析响应系统在系统中安装事件分析响应系统 -在主机中安装资源管理系统在主机中安装资源管理系统 -在主机中安装防火墙系统在主机中安装防

12、火墙系统 -在重要主机中安装内容过滤系统在重要主机中安装内容过滤系统 -在重要主机中安装在重要主机中安装VPN系统系统人事商务网段人事商务网段领导网段领导网段语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3教学网段教学网段2教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5对于系统统一管理、信息分析、事件分析对于系统统一管理、信息分析、事件分析响应响应 -在网络中配置管理系统在网络中配置管理系统 -在网络中配置信息审计系统在网络中配置信息审计系

13、统 -在网络中配置日志审计系统在网络中配置日志审计系统 -在网络中补丁分发系统在网络中补丁分发系统 -在网络中配置安全管理中心在网络中配置安全管理中心销售体系销售体系网段网段N安全审安全审计中心计中心010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100领导网段领导网段语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3教学网段教学网段2教学

14、网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5安全管理中心安全管理中心专家库专家库领导网段领导网段语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3安服网段安服网段教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5 PPPoE： PPPoE的本质就是在以太网上运行PPP协议。由于PPP协议认证过程的第一阶段是发现阶段，广播只能在二层网络，才能发现宽带接入服务器。因此，也就决定了在客户机和服务器之间，不能有路由器或三层

15、交换机。另外，由于PPPoE点对点的本质，在客户机和服务器之间，限制了组播协议存在。这样，将会在一定程度上，影响视频业务的开展。除此之外，PPP协议需要再次封装到以太网中，所以效率较低。WebDHCP：采用旁路方式网络架构时，不能对用户进行类似带宽管理。另外，DHCP是动态分配IP地址，但其本身的成熟度加上设备对这种方式支持力度还较小，故在防止用户盗用IP地址等方面，还需要额外的手段来控制。除此之外，用户连接性差，易用性不够好。例如，Cisco的二层和三层交换机。在二层交换机只能绑定与该交换机IP地址具有相同网络地址的IP地址。在三层交换机可以绑定该设备所有VLAN的IP地址。交换机支持静态绑

16、定和动态帮绑定，一般采用静态绑定。其绑定操作过程是：采用Telnet命令或Console口连接交换机，进入特权模式；输入config，进入全局配置模式；输入绑定命令：arp 202.207.176.3 0010.5CAD.72E3 arpa；至此，即可完成绑定。绑定的解除，在全局配置模式下输入：no arp 202.207.176.3即可。 数据分析模块相当于IDS的大脑，必须具备高度的“智慧”和“判断能力”。所以，在设计此模块之前，需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入的研究，然后制订出相应的安全规则库和安全策略；再分别建立滥用检测模型和异常检测模型，让机器模拟

17、人脑的分析过程，识别确知特征的攻击和异常行为，最后将分析结果形成报警消息，发送给控制管理中心。 设计数据分析模块的工作量浩大，需要特别注意三个问题：应优化检测模型和算法的设计，确保系统的执行效率；安全规则的制订要充分考虑包容性和可扩展性，以提高系统的伸缩性；报警消息要遵循特定的标准格式，增强其共享与互操作能力，切忌随意制订消息格式的不规范做法。 该模块的数据来源有两个： 数据分析子系统发来的报警信息及其他重要信息； 管理员经过条件查询后对查询结果处理所得的数据，如生成的本地文件、格式报表等。 以上几步完成之后，一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来，还需要保持各个部分之

18、间安全、顺畅地通信和交互，这就是联调工作所要解决的问题。首先，要实现数据采集分析中心和控制管理中心之间的通信，二者之间是双向的通信。控制管理中心显示、整理数据采集分析中心发送过来的分析结果及其他信息，数据采集分析中心接收控制管理中心发来的配置、管理等命令。注意确保这二者之间通信的安全性，最好对通信数据流进行加密操作，以防止被窃听或篡改。同时，控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作，如警报信息查询、网络事件重建等。联调通过之后，一个基本的IDS就搭建完毕。后面要做的就是不断完善各部分功能，尤其是提高系统的检测能力。 OSPF（Open Shortest Path Firs

19、t）是一个内部网关协议（IGP，Interior Gateway Protocol），用于在单一自治系统（AS，Autonomous System）内决策路由。与RIP相对，OSPF是链路状态路由协议，而RIP是距离向量路由协议。任务命令指定使用OSPF协议router ospf process-id1指定与该路由器相连的网络network address wildcard-mask area area-id指定与该路由器相邻的节点地址neighbor ip-address Router1:interface ethernet 0 ip address 192.1.0.129 255.255.

20、255.192interface serial 0 ip address 192.200.10.5 255.255.255.252router ospf 100 network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.128 0.0.0.63 area 1Router2:interface ethernet 0 ip address 192.1.0.65 255.255.255.192interface serial 0 ip address 192.200.10.6 255.255.255.252router ospf 200 network

21、192.200.10.4 0.0.0.3 area 0 network 192.1.0.64 0.0.0.63 area 2Router3:interface ethernet 0 ip address 192.1.0.130 255.255.255.192router ospf 300 network 192.1.0.128 0.0.0.63 area 1Router4:interface ethernet 0 ip address 192.1.0.66 255.255.255.192router ospf 400 network 192.1.0.64 0.0.0.63 area 1 ：Ro

22、uter1:interface ethernet 0 ip address 192.1.0.129 255.255.255.192interface serial 0 ip address 192.200.10.5 255.255.255.252 ip ospf authentication-key ciscorouter ospf 100 network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.128 0.0.0.63 area 1 area 0 authenticationRouter2:interface ethernet 0 ip add

23、ress 192.1.0.65 255.255.255.192interface serial 0 ip address 192.200.10.6 255.255.255.252 ip ospf authentication-key ciscorouter ospf 200 network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.64 0.0.0.63 area 2 area 0 authenticationRouter1:interface ethernet 0 ip address 192.1.0.129 255.255.255.192int

24、erface serial 0 ip address 192.200.10.5 255.255.255.252 ip ospf message-digest-key 1 md5 ciscorouter ospf 100 network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.128 0.0.0.63 area 1 area 0 authentication message-digestRouter2:interface ethernet 0 ip address 192.1.0.65 255.255.255.192interface serial

25、 0 ip address 192.200.10.6 255.255.255.252 ip ospf message-digest-key 1 md5 ciscorouter ospf 200 network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.64 0.0.0.63 area 2 area 0 authentication message-digest出站数据报出站数据报进行路由表的查进行路由表的查询询接口有接口有ACL?源地址匹配？源地址匹配？列表中的下一项列表中的下一项更多的项目？更多的项目？执行条件执行条件允许允许Permit拒绝拒绝

26、Deny否否否否无无是是是是有有向源站发送向源站发送ICMP信息信息转发数据报转发数据报Router(config)#access-list access-list-number permit/denytest-conditionspermit/deny参数参数PermitDeny向源站发送向源站发送ICMP消息消息转发数据报转发数据报Router(config)#access-list access-list-number permit/denytest-conditionsRouter(config)#access-list access-list-number permit/denyte

27、st-conditionsLab-A(config)#access-list 1 deny 192.5.5.10 0.0.0.0IP地址地址通配符掩码通配符掩码例子：地址区域例子：地址区域192.5.5.1到到.127和和.128到到.255例子：地址区域例子：地址区域192.5.5.1到到.127和和.128到到.255host命令扩展扩展ACL概貌概貌端口号协议名称21FTP23Telnet25SMTP53DNS6980TFTPWWW端口号端口号放置扩展放置扩展ACL的正确位置的正确位置放置扩展放置扩展ACL的正确位置的正确位置Router-C(config)#access-list 10

28、0 deny ip 221.23.123.0 0.0.0.255 198.150.13.34 0.0.0.0Router-C(config)#access-list 100 permit ip any anyRouter-C(config)#int e0Router-C(config-if)#ip access-group 100 in使用使用ACLLab-A(config)# ip access-list standard over_andLab-A(config-std-nacl)#deny host 192.5.5.10.Lab-A(config-if)#ip access-group

29、over_and out验证验证ACLACL的特点的特点扩展扩展ACL的应用的应用 外网扩展访问控制列表外网扩展访问控制列表 /*将此访问控制列表应用于边界路由器的外网接口*/interface s0/0ip access-group 110 in内网扩展访问控制列表内网扩展访问控制列表 （5）指定外部地址范围（global）global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。Global命令的配置语法：global (if_name) nat_id ip_address-ip_address netmark global_mask，其中（if_name）表示外网接口名字，例如

30、outside。Nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。netmark global_mask表示全局ip地址的网络掩码。（6）设置指向内网和外网的静态路由（route）定义一条静态路由。route命令配置语法：route (if_name) 0 0 gateway_ip metric；其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示网关路由器的ip地址。metric表示到gateway_ip的跳数。通常缺省是1。地址对象地址空间地址转换I

31、P地址分配地址数量防火墙f0/0口218.26.174.114/28218.26.174.114/281接入服务对端218.26.174.113/28218.26.174.113/281防火墙f1/0口192.168.100.1/25WWW192.168.100.3/25静态218.26.174.116/281E-mail192.168.100.2/25静态218.26.174.115/281用户上网192.168.100.4/25192.168.100.254/25动态218.26.174.117/28218.26.174.12610interface ethernet0 auto inte

32、rface ethernet1 auto /*设置两个网卡的类型为自适应。mtu outside 1500 mtu inside 1500 /*以太网标准的MTU长度为1500字节。ip address outside 218.26.174.114 255.255.255.240 /*pix外网的ip地址为218.26.174.114。ip address inside 192.168.100.1 255.255.255.0 /*内网的ip地址为192.168.100.1。ip audit info action alarm ip audit attack action alarm /*pix

33、入侵检测的两个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。pdm history enable /*pix设备管理器可以图形化的监视pix。arp timeout 14400 /* arp表的超时时间。global (outside) 1 218.26.174.117-218.26.174.126 netmask 255.255.255.240 /* nat的ip-poolnat (inside) 1 0.0.0.0 0.0.0.0 0 0 /*将内部所有的

34、ip转换成外部地址。static (inside, outside) 218.26.174.116 192.168.100.3 netmask 255.255.255.255 0 0static (inside, outside) 218.26.174.115 192.168.100.2 netmask 255.255.255.255 0 0/* 将内部服务器192.168.100.2-3 map转换成外部地址218.26.174.115-16。access-group acl_out in interface outside /* 在外部端口应用访问控制列表。conduit permit t

35、cp host 218.26.174.116 eq www any /*利用管道(conduit)只允许外网访问80端口。conduit permit tcp host 218.26.174.115 eq smtp any /*利用管道(conduit)只允许外网访问25端口。conduit permit tcp host 218.26.174.115 eq pop3 any /*利用管道(conduit)只允许外网访问110端口。conduit permit udp host 218.26.174.115 eq domain any /*用218.26.174.115提供domain-nam

36、e服务，而且只允许外部用户访问domain的udp端口。route outside 0.0.0.0 0.0.0.0 218.26.174.113 /*外部网关218.26.174.113。timeout xlate 3:00:00 /*某个内部设备向外部发出的ip包经过翻译(global)后，在缺省三个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址。 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02

37、:00 timeout uauth 0:05:00 absolute /*AAA认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证。aaa-server TACACS+ protocol tacacs+ /*AAA服务器的tacacs+协议。aaa-server RADIUS protocol radius /*AAA服务器的radius协议。AAA是指认证、授权、审计。Pix防火墙可以通过AAA服务器增加内部网络的安全。no snmp-server locationno snmp-server contactsnmp-server community p

38、ublic /*由于没有设置snmp工作站，也就没有snmp工作站的位置和联系人。no snmp-server enable traps /*发送snmp陷阱。floodguard enable /*防止有人伪造大量认证请求，将pix的AAA资源用完。no sysopt route dnattelnet 10.10.1.0 255.255.255.0 inside /*只允许内部10.10.1.0网段的主机telnet到PIX。telnet timeout 5ssh timeout 5 /*使用ssh访问pix的超时时间。terminal width 80常用的维护命令：show interf

39、ace查看端口状态，show static查看静态地址映射，show ip查看接口ip地址，ping outside | inside ip_address确定连通性。 （1）实验目的，了解路由器的访问控制列表配置与使用过程，会运用标准、扩展访问控制列表建立基于路由器的防火墙，保护网络边界。（2）实验资源、工具和准备工作。Catalyst2621路由器2台，Windows 2000客户机2台，Windows 2000 Server IIS服务器2台，集线器或交换机2台。制作好的UTP网络连接（双端均有RJ-45头）平行线若干条、交叉线（一端568A，另一端568B）1条。网络连接参考和子网地址

40、分配可参考图8.15。（3）实验内容。设置图8.15中各台路由器名称、IP地址、一般用户口令、特权用户口令、静态路由，保存配置文件。安装与配置IIS服务器，设置WWW服务器的IP地址。安装与配置客户机，设置客户机的IP地址。分别对两台路由器设置扩展访问控制列表，调试网络，使子网1的客户机只能访问子网2的Web服务80端口，使子网2的客户机只能访问子网1的Web服务80端口。（4）实验步骤 配置路由器名称、IP地址、一般用户口令、特权用户口令、静态路由，保存配置文件。 安装与配置IIS服务器，设置WWW服务器的IP地址。安装与配置客户机，设置客户机的IP地址。 路由器设置扩展访问控制列表，调试网络。使子网1的客户机只能访问子网2的Web服务80端口，使子网2的客户机只能访问子网1的Web服务80端口。写出实验报告。