第一章--网络安全概述最新版实施高级网络安全DCNSE课件.ppt

1、吴江教委培训郑璐构建智能安全网络 第一章 网络安全概述 第二章 TCP/IP协议集 第三章 常用的攻击方法 第四章 计算机病毒 第五章 防火墙技术 第六章 入侵检测系统 第七章 数据加密 第八章 VPN 第九章 安全审计第一章 网络安全概述 网络安全基础知识 -网络安全的定义 -网络存在的威胁 -网络安全技术 安全体系结构 -ISO/OSI安全体系结构 -P2DR模型 -安全体系结构 网络安全解决方案 -电子政务网 -电信网络网络安全定义保密性可用性真实性可控性完整性网络安全网络安全网络安全：是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统

2、连续可靠正常地运行，网络服务不中断。网络安全定义保密性可用性真实性可控性完整性网络安全网络安全网络安全：是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络存在的威胁 非授权访问 信息泄漏或丢失 破坏数据完整性 拒绝服务攻击 利用网络传播病毒网络安全技术网络安全技术主机安全技术身份认证技术访问控制技术密码技术防火墙技术安全审计技术安全管理技术安全体系结构 ISO/OSI安全体系结构 -安全服务 -安全机制 -安全管理 P2DR安全模型ISO/OSI安全体系结构公证路由控制业务流填充认证交换数据完整性访问控

3、制数字签名加密对象认证对象认证数据保密性数据保密性防抵赖性防抵赖性数据完整性数据完整性结构层次结构层次安全机制安全机制安全服务安全服务访问控制访问控制OSI各种安全机制和安全服务的关系加密数字签名访问控制数据完整性认证交换防业务流量分析路由控制公证对象认证访问控制数据保密性数据完整性防抵赖性安全服务安全机制 P2DR安全模型安全体系结构物理安全网络安全信息安全环境安全设备安全媒体安全网络安全网络安全系统（主机、服务器）安全反病毒系统安全检测入侵检测审计分析网络运行安全 备份与恢复应急、灾难恢复局域网、子网安全访问控制（防火墙）网络安全检测信息安全信息安全信息传输安全（动态安全）数据加密数据完整

4、性的鉴别防抵赖信息存储安全（静态安全）数据库安全终端安全信息的防泄密信息内容审计用户鉴别授权电信网络 电信网络信息安全的需求 -电信网络基础服务的安全需求 -电信网络增值业务的安全需求 -电信业务运营管理的安全需求 电信网络信息安全模型安全维度安全维度3DSMP3DSMP动态防御动态防御D D2 2SMPSMP静态防御静态防御安全方案安全方案安全威胁类别安全威胁类别网络活动平面网络活动平面网络层次结构网络层次结构网络层次结构网络层次结构 基础设施层，服务层和应用层基础设施层，服务层和应用层 基础设施层：提供基础网络传输服务，包括主基础设施层：提供基础网络传输服务，包括主机、接入、汇聚、核心；机

5、、接入、汇聚、核心；服务层：提供支撑性服务（指为实现接入网络服务层：提供支撑性服务（指为实现接入网络所必须的服务，如所必须的服务，如AAA、DHCP、DNS）和增）和增值服务（如值服务（如QoS、VPN、VoIP）的管理系统；）的管理系统；应用层：指各种网络应用，如应用层：指各种网络应用，如email,WEB,文文件共享，件共享，VOIP，视频会议、网管。，视频会议、网管。网络活动平面网络活动平面 管理平面、控制平面和传输平面；管理平面：指对网络的各种管理行为，如配置、网管、日志 控制平面：指对网络的各种控制行为，如STP、路由、H323的呼叫连接、DHCP的地址租借配置表、AAA的认证用户数

6、据库；数据平面：指信息在网元间的传输和在网元上的存储行为 安全威胁类别安全威胁类别 由CCITT X.800定义如下：1）信息或资源的破坏；2）信息误用或篡改；3）信息或资源的窃取、删除或丢失；4）信息泄漏；5）服务中断 管理平面控制平面数据平面信息或资源破坏非法用户破坏网元上存储的管理信息 1非法用户破坏网元上存储的控制信息（路由表等）2虚假源、目的IP/MAC的包淹没MAC、主机表资源1网线差，线序错 信息误用或篡改1非法用户篡改存储的网元配置信息2非法用户篡改传输的网元管理信息3非法用户管理非法路由、STP、DHCP、ARP、1X、RADIUS响应接收或传输非法数据流（组播数据流）信息或

7、资源窃取、删除、丢失非法用户读取网元上或传输中的管理信息非法用户读取网元上或传输中的控制信息非法用户读取网元上或传输中的应用信息信息泄漏管理信息（IP、端口、内容）被监听控制信息（IP、端口、内容）被监听组播数据流泄漏服务中断1IP/MAC无效或冲突2网管、日志服务器IP/MAC无效3广播淹没CPU4数据流淹没管理通道1广播淹没CPU2虚假路由、BPDU等包淹没CPU；1.广播风暴2突发异常流量导致正常用户不能使用对基础设施层的安全威胁对基础设施层的安全威胁 管理平面控制平面数据平面信息或资源破坏非法用户破坏服务层的管理信息 1非法用户破坏网元上存储的控制信息（如AAA的认证用户数据库、DHC

8、P的地址租借表）2 虚 假 服 务 申 请（A R P、DHCP、AAA等）消耗这些资源1网线差，线序错 信息误用或篡改1非法用户篡改存储的服务层配置信息2非法用户篡改传输的服务层管理信息3非法用户管理非法篡改用户认证数据库等信息、接收非法VOIP会话控制信息非法DHCP、ARP、1X、RADIUS响应信息或资源窃取、删除、丢失非法用户读取服务层存储或传输中的管理信息非法用户读取存储或传输中的用户认证数据库信息非法用户读取传输中的服务信息信息泄漏由于广播或组播，管理信息（IP、端口、内容）被监听由于广播或组播，服务的控制信息泄漏由于广播或组播，服务信息泄漏服务中断1本机IP/MAC无效或冲突2

9、 网 管、日 志 服 务 器IP/MAC无效3广播淹没CPU4数据流淹没管理通道1广播淹没CPU2虚假会话控制请求淹没H323控制信息处理能力 1.广播风暴2突发大量服务申请导致正常用户不能使用对服务层的安全威胁对服务层的安全威胁 管理平面控制平面数据平面信息或资源破坏非法用户破坏应用的管理信息 1非法用户破坏网元上存储的应用层控制信息（URL黑名单等）2虚假URL黑名单的控制信息包淹没黑名单表等资源网页内容被篡改 信息误用或篡改1非法用户篡改存储的应用配置信息2非法用户篡改传输中的应用管理信息3非法用户管理非法URL黑名单信息、非法SMTP控制信息 信息或资源窃取、删除、丢失非法用户读取应用

10、层存储或传输中的管理信息非法用户读取网元上或传输中的URL黑名单、SMTP等控制信息提供或访问非法地址和内容信息泄漏管理信息（IP、端口、进程名、版本）被监听控制信息（IP、端口、内容）被监听 服务中断1本机IP/MAC无效或冲突2 网 管、日 志 服 务 器IP/MAC无效3广播淹没CPU4数据流淹没管理通道1广播淹没CPU2感染病毒3系统漏洞攻击垃圾邮件攻击 对应用层的安全威胁对应用层的安全威胁静态防范措施可信、可控、可取证静态防范措施可信、可控、可取证1）访问控制：防止对网络资源、信息的非授权使用；2）认证：确认通信实体的身份；3)通信安全：保证信息只在授权端点之间流动。telnet时的

11、口令相当于首次访问时身份鉴别，SSH或IPSEC则相当于保证信息只在两点之间流动，其他端点插进来的telnet包不管用。或者：认证相当于同意为两点之间建一个通道，通信安全则保证这个通道不会被其他端点侵入。4)数据保密性：保护数据内容不被非授权实体理解；5)数据完整性：保证数据的正确性，防止被非法修改、创建、复制；6)非否认：防止销毁证据；7)分级服务：由于服务能力有限，为防止一种服务量特别大时阻碍其他服务，提供分级服务。8)备份：用于信息破坏后的恢复。措施管理平面控制平面数据平面访问控制管理用户分不同权限管理用户分不同权限IP/MAC/PORT是否有权限发路由、DHCP、ARP、1 X、RAD

12、IUS包(DHCP snooping,ARP检测)组播源、目的ACL认证AAA管理用户认证AAA管理认证未1X认证的IP/MAC不学组播源、目的认证通信安全SSH,SSL,IPSECSSH,SSL,IPSEC 数据保密配置/日志加密,SNMPv3路由加密 数据完整 非否认行为记录行为记录DHCP snooping 分级服务1为管理服务预留CPU2管理信息QOS高限制端口可学习的IP/MAC数量QOS备份配置信息备份路由、ARP等信息备份 对基础设施层的静态防范措施对基础设施层的静态防范措施动态防范措施可信、可控、可取证动态防范措施可信、可控、可取证识别识别调整调整取证取证安全安全策略策略检检测

13、测 基础设施层服务层应用层探测应用类型、地址设置、网关设置、防毒设置、网卡设置、ping响应、关键词检测、关键进程检测、补丁检测、TCP连接数检测网线质量、流量检测、广 播 速 率 检 测、DHCP 监测、ARP监测、URL检测、识别故障？攻击？正常故障？攻击？正常故障？攻击？正常报警向网管服务器报警主动切断 动态调整控制带宽、切换端口、过滤指定数据流 取证（非否认）时间、SIP、DIP、URL、user动态防范措施动态防范措施3DSMP神州数码神州数码IPv4安全可运营方案安全可运营方案 3D-SMP(Dynamic Distributed Defence Security、Manageme

14、nt、Policy)高度自动化响应的智能网络安全管理系统，以便降低客户的总体拥有成本高度自动化响应的智能网络安全管理系统，以便降低客户的总体拥有成本TCO，加强网络系统的长期可服务性，降低人为维护工作量。，加强网络系统的长期可服务性，降低人为维护工作量。统一的平台统一的平台 降低总体拥有成本降低总体拥有成本 动态防范动态防范 自我学习自我学习 自我完善自我完善 无须人为干预无须人为干预 全网防御全网防御 安全到每个节点安全到每个节点3DSMP神州数码神州数码IPv4安全可运营方案安全可运营方案遭到来自内网的遭到来自内网的攻击攻击阻止阻止阻止阻止来自外网的来自外网的攻击攻击针对外网的针对外网的攻击攻击安全行为控制安全行为控制