网络系统安全基础知识(-111张)课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《网络系统安全基础知识(-111张)课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 系统安全 基础知识 111 课件
- 资源描述:
-
1、45主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统6主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统7什么是安全?什么是安全?Security is the reduction of risk安全就是降低风险,并使之达到安全就是降低风险,并使之达到“可接受可接受”的程度的程度8整体安全整体安全技术因素全面技术因素全面服务保证服务保证信息
2、安全体系的构成信息安全体系的构成9安全服务系统单元应传网链物用输络路理层层层层层认证访问控制数据完整性数据保密抗抵赖 可用性安全管理安全管理安全管理协议层次审计物 理 安 全计算机网络安全计算机系统安全应用系统安全 传统网络安全防御体系传统网络安全防御体系10动态防御体系动态防御体系在在防护防护检测检测响应响应(PDR)模模型基础上的动态防御体系型基础上的动态防御体系,因为因为其优异的自适应、其优异的自适应、自控制、自控制、自自反馈特性反馈特性,已经在国际上得到了已经在国际上得到了广泛的接受和采纳广泛的接受和采纳.11安全的系统应当满足安全的系统应当满足P(t)P(t)防护时间防护时间D(t)
3、D(t)检测时间检测时间+R(t)+R(t)响应时间响应时间 防护的成本取决于风险导致的损失防护的成本取决于风险导致的损失 风险的大小和时间高度正相关风险的大小和时间高度正相关 防御体系的建立必须围绕实时性和应急机制来充防御体系的建立必须围绕实时性和应急机制来充分提高其性能价格比分提高其性能价格比 PDRPDR安全实用性模型安全实用性模型12动态防御体系动态防御体系13新型安全体系新型安全体系安安全全策策略略(业业务务和和组组织织规规范范)安安全全惯惯例例(安安全全组组织织、物物理理安安全全、个个人人安安全全、操操作作安安全全等等)体体系系和和机机制制 安安全全服服务务 过过程程和和方方法法
4、认认证证 授授权权 连连续续性性 完完整整性性 抗抗抵抵赖赖 审审计计 安安 全全 基基 础础 设设 施施 网网 络络 安安 全全 安安 全全 技技 术术 安安 全全APIs 安安 全全 令令 牌牌 可可用用性性 风风 险险 评评 估估 安安全全 监监控控 事事件件 管管理理 业业务务 连连续续 性性 灾灾难难 恢恢复复 计计划划 安安全全 保保障障 安安全全 鉴鉴定定 法法律律法法规规遵遵从从性性和和环环境境调调整整(银银行行业业、取取证证、电电子子传传输输等等)14主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏
5、洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统15安全解决方案模型安全解决方案模型访问控制内容安全审计响应冗余恢复鉴别认证16数据完整性认证访问控制数据保密性抗 抵 赖审 计可 用 性相邻节点间的认证主机、路由器等源发认证包过滤防火墙电路层防火墙(如SOCKs)主机或路由器间IPSec等协议点到点加密机数字签名第三方公证应用层安全通信协议,如SSL身份认证应用层代理或网关用户授权与访问控制流量分析入侵监测网络结构设计,路由系统安全,基础服务安全,网络管理应用系统的容错容灾、服务管理主机和服务的审计记录分析点到点加密机传输层安全通信协议数据链路层与物理层网络层传输层应用层 体系与技术的对应
6、关系体系与技术的对应关系17防护的主要技术防护的主要技术访问控制访问控制:ACL,VLAN,:ACL,VLAN,防火墙防火墙加密机加密机,VPN,VPN认证认证,CA,CA检测的主要技术检测的主要技术入侵检测系统入侵检测系统漏洞扫描系统漏洞扫描系统病毒防护病毒防护响应的主要技术响应的主要技术报警、记录、阻断、联动、反击报警、记录、阻断、联动、反击PDRPDR主要技术主要技术18静态与动态安全技术静态与动态安全技术 静态防护:静态防护:被动的,滞后的防御被动的,滞后的防御 动态防护:动态防护:主动的、实时的防御主动的、实时的防御19综合防御综合防御20安全解决方案安全解决方案防病毒制订最高安全方
7、针落实项目的安全审核工作明确安全领导小组工作职责策略的有效发布和执行策略体系开发和建立安全培训与资质认证落实安全责任文件安全组织建设资产鉴别和分类项目制订全员网络安全教育计划第三方安全管理策略的定期审查和修订BS7799认证项目网络安全域隔离和划分统一时钟服务防火墙和网络隔离紧急响应体系动态口令系统入侵监测系统主机安全业务连续性管理聘请专业公司或者专家作为顾问周期性风险评估服务项目日志监控系统冗余、备份和恢复可信信道数据源鉴别网络设备安全安全管理中心和网络安全平台PKI体系可行性分析基础项目基础项目优先项目优先项目非优先项目非优先项目长期项目长期项目技术类项目技术类项目管理类项目管理类项目表示
8、支持或支撑作用21IT安全框架资产威胁防护措施策略框架组织框架运作框架技术框架鉴别和认证I&A访问和控制AC审计跟踪AT恢复和冗余R&R内容安全CS体系到解决方案体系到解决方案风险评估服务风险评估服务顾问服务顾问服务顾问服务顾问服务CA/RSA基于系统基于系统AC功能功能漏洞扫描漏洞扫描IDS网络架构网络架构安全分析安全分析网络架构网络架构安全分析安全分析防火墙防火墙系统系统冗余设计冗余设计防病毒防病毒安全管理安全管理平台平台加密加密/完整检查完整检查22主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估
9、与漏洞扫描网络审计网络审计CA系统系统23防火墙功能防火墙功能 防火墙就是一个位于计算机和它所连接的网络之间的硬件或软件。所有流入流出的网络通信均要经过此防火墙。24为什么要使用防火墙为什么要使用防火墙?防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。可将防火墙配置成许多不同保护级别。高级别的保护可以禁止一些服务,如视频流,Java,ActiveX,JavaScript脚本等 有时需要将内部网络划分为多个网段,为不同的部门设置不同的访问级别25防火墙五大基本功能防火墙五大基本功能 过滤进、出网络的数据,是网络安全的屏障 管理进、出网络的访问行为,防止内部信息的
10、外泄封堵某些禁止的业务,对网络存取和访问进行控制 记录通过防火墙的信息内容和活动对网络攻击的检测和告警,强化网络安全策略 26防火墙的分类防火墙的分类按逻辑功能包过滤式防火墙:天融信,联想应用代理式防火墙:TIS状态检测防火墙 按体系结构硬件防火墙:Netscreen,Nokia,Cisco Pix软件防火墙:Checkpoint,ISA Server软硬结合 按操作模式网桥模式路由模式NAT按性能百兆千兆按部署方式边界(企业)防火墙个人(主机)防火墙27防火墙中的主要技术防火墙中的主要技术 封包过滤(Packet Fileter)状态检测(Stateful inspection)网络地址转换
11、NAT(Network Address Transform)代理技术(Proxy)28封包过滤封包过滤封包过滤(Packet Fileter):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。29状态检测状态检测状态检测(Stateful inspection):其工作原理是检测每一个有效连接的状态,并根据这些状态信息决定网络数据包是否能够通过防火墙。它在协议栈低层截取数据包,然后分析这些数据包,并且将当前数据包及其状态信息和其前一时刻的数据包及其状态信息进行
12、比较,从而得到该数据包的控制信息,以达到提高效率、保护网络安全的目的。状态检测将数据包分成4种连接状态:New,Established,Related,Invalid 30使用使用NATNAT的原因的原因 解决IP地址空间紧张的问题 共享 modem 拨号上网 多重服务器(负载分担load-sharing)31代理技术代理技术代理技术(Proxy):也叫应用网关(Application Gateway),作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务(如http,ftp,smtp)编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。32
13、防火墙典型部署防火墙典型部署防火墙33代理式防火墙部署示意图代理式防火墙部署示意图代理客户实际服务器代理内部网络管理终端内部主机外部主机34主要防火墙品牌主要防火墙品牌 中网 川大能士 方正数码 海信数码 华堂 华依科技 联想 龙马卫士通 三星防火墙 四川迈普 亿阳信通 中软华泰 中网通讯 天融信 东软 青鸟环宇 交大捷普 重庆银都天网 清华得实 中科安胜 华为 广州科达 广东海微 CheckPoint Netscreen Cisco Nokia 三星35如何选择防火墙?如何选择防火墙?主要指标 设计性能(M):10/100M,1000M 最大并发连接数(万)接口类型、接口数 操作系统类型 M
14、TBF(平均无故障时间/小时)策略规则许可值 设计性能策略数 管理方式 是否支持与IDS联动 是否支持VPN、是否支持SNMP 是否支持双机热备、负载均衡36防火墙性能指标防火墙性能指标 吞吐率 0%10%20%30%40%1Single-Rule Bi 64帧 吞吐量率CISCO PIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙NORTEL ASF185FE防火墙SERVGATE EdgeForce防火墙联想防火墙龙马卫士防火墙清华德实防火墙上海方正防火墙天融信防火墙亿阳信通防火墙37千兆防火墙产品比较千兆防火墙产品比较产 品 名 称
15、 中 软 HuaTech-2000 天 融 信 NGFW4000 1.产 品 类 型 硬 件 硬 件 2.接 口 类 型 千 兆 光 纤、千 兆 以 太 网 千 兆 光 纤、千 兆 以 太 网 3.LAN 接 口 数 2 10 3 4.并 发 连 接 数 50 万 100 万 5.防 火 墙 性 能 650M 860M 6.OS 平 台 专 用 安 全 操 作 系 统 专 用 安 全 操 作 系 统 7.支 持 SNMP、VPN 是 是 8.内 容 过 滤 内 置、URL 级 信 息 过 滤 HTTP、POP3、FTP、TELNET、SNMP 9.能 防 御 DOS攻 击 类 型 端 口 扫
16、描、拒 绝 服 务、IP 欺 骗、非 法 IP 报 攻 击 等 待 100 多 种 内 置 IDS 功 能 10.管 理 方 式 WEB、RS232、TELNET、SSL WEB、RS232、SSH、SSL 11.HA 系 统 双 机 备 份、负 载 均 衡 双 机 备 份、负 载 均 衡 12.处 理 日 志 的 方法 定 向 导 出、离 线 审 计、数 据 库 支持 自 动 导 出、自 动 分 析 13.与 IDS 联 动 是 是 38百兆防火墙产品比较百兆防火墙产品比较产 品 名 称 中 网Lx300 天 融 信 NGFW 3000 1.产 品 类 型 硬 件 硬 件 2.接 口 类 型
17、 百 兆 光 纤、百 兆 以 太 网 百 兆 光 纤、百 兆 以 太 网 3.LAN 接 口 数 2 6 3 4.并 发 连 接 数 2.5 万 16 万 5.防 火 墙 性 能 100M 100M 6.OS 平 台 专 用 安 全 操 作 系 统 专 用 安 全 操 作 系 统 7.支 持 SNM P 是 是 8.内 容 过 滤 支 持 实 时 代 码 检 测,可 外 接 防 病毒 网 关 HTTP、POP3、FTP、TELNET、SNMP 9.能 防 御 DOS攻 击 类 型 DDOS,SYN FLOODING 内 置 IDS 功 能 10.管 理 方 式 本 地 管 理 和 远 程 管
18、理,SSH,W EB界 面 W EB、RS232、SSH、SSL 11.HA 系 统 双 机 备 份、负 载 均 衡 双 机 备 份、负 载 均 衡 12.处 理 日 志 的 方法 支 持 周 期 备 份 自 动 导 出、自 动 分 析 13.支 持 VPN、与IDS 联 动 是 是 39东软东软NetEyeNetEye与与PIXPIX比较比较产品名称 东软 NetEye FW3.2 思科 PIX515E 1.产品类型 硬件 硬件 2.接口类型 千兆光纤、千兆以太网 百兆 RJ-45 3.LAN 接口数 3 2-6 个 4.并发连接数 100 万 13 万 5.防火墙性能 700M 188M
19、6.OS 平台 Linux PIX 操作系统 7.支持 SNMP、VPN 支持 SNMP,内置 VPN 支持 SNMP,内置无 VPN 8.内容过滤 无 ActiveX,Java applet 9.能防御 DOS 攻击类型 Ping of Death,TCP SYN floods,防源路由攻击、IP 碎片包攻击、SYN 等多种攻击 Ping of Death,TCP SYN floods 10.管理方式 C/S 结构的 GUI 管理、串口管理 串口、GUI、telnet,支持 SSH、SNMP管理协议 11.HA 系统 支持故障恢复(双机热备)支持故障恢复(双机热备)12.处理日志的方法 审计
20、日志存储方式:本地 无本地日志存储,必须设置远程日志服务器 13.与 IDS 联动 支持 无 40使用防火墙是否足够?使用防火墙是否足够?防火墙属于静态防护 防火墙难于防内 防火墙难于管理和配置,易造成安全漏洞 防火墙的安全控制主要是基于IP地址的,难于为用户在防火墙内提供一致的安全策略 防火墙只实现了粗粒度的访问控制,且不能与企业内部使用的其它安全机制(如访问控制)集成使用 任何一个系统(尤其是底层系统和应用系统)中可能存在着安全漏洞,造成绕过防火墙的攻击 41穿透防火墙的攻击穿透防火墙的攻击Unicode%255c策略80 端口 允许Del c:inetpubwwwrootdefault.
21、aspUnicode:%255c42绕过防火墙的攻击绕过防火墙的攻击拨号上网遭受攻击43来自防火墙内部的攻击来自防火墙内部的攻击44针对防火墙的攻击针对防火墙的攻击DOS攻击Fire Walk45主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统46理解入侵检测系统理解入侵检测系统(IDS)(IDS)监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎47IDSIDS的主要功能的主要功能 监视分析用户和系统的行为 审计系统配置和漏
22、洞 评估敏感系统和数据的完整性 识别攻击行为并告警 对异常行为进行统计 审计、跟踪、识别违反安全法规的行为 48IDSIDS的分类的分类 基于网络的入侵检测系统:侦测速度快,隐蔽性好,视野更宽,较少的监测点,攻击者不易转移证据,操作系统无关性,占用资源少 基于主机的入侵检测系统:性能价格比高,更加细腻,视野集中,易于用户剪裁,节省资源,对网络流量不敏感,适用于被加密的以及交换的环境,含有已发生事件信息,易于确定攻击是否成功49IDSIDS工作过程工作过程网络数据包的获取网络数据包的获取DMA技术技术网络数据包的解码网络数据包的解码协议分析协议分析网络数据包的检查网络数据包的检查模式匹配模式匹配
展开阅读全文