网络安全与维护课件.ppt

1、Copyright McGraw-Hill Education.All rights reserved.No reproduction or distribution without the prior written consent of McGraw-Hill Education.本章内容防火墙设备的基础知识防火墙的设备实践操作技能入侵检测设备的基础知识入侵检测系统实践技术统一安全网关基础知识防火墙的基本概念 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Inter

2、net与Intranet之间建立起一个安全网关(Security Gateway)，从而保护内部网免受非法用户的侵入。防火墙的基本功能（1）增强的保密性（2）保护脆弱的服务（3）控制对系统的访问（4）集中的安全管理防火墙的工作原理 通过检查每个数据包的IP地址采用的通信协议和端口号来判断是否允许放行。防火墙将内部状态信息和连接状态进行比较，如果符合其中的某一条规则，就允许数据包通过，如果不符合就丢弃。因此只要定义想要禁止应用程序的TCP和UDP端口号，就能阻挡该应用程序和网络服务，不允许建立特定的链接。防火墙的分类 根据防火墙所采用的技术不同，我们可以将它分为三种基本类型：包过滤型、代理型和监

3、测型。1、包过滤防火墙又分为：静态包过滤和动态包过滤2、代理防火墙分为：代理防火墙和自适应代理防火墙防火墙硬件参数防火墙硬件参数是指设备使用的处理器类型或芯片及主频，内存容量，闪存容量，网络接口，存储容量类型等数据。防火墙初始化配置防火墙防火墙使用安全的登录方式，只有通过严格的身份认证后才能对防火使用安全的登录方式，只有通过严格的身份认证后才能对防火墙进行管理。登录防火墙后，初始化向导可以帮助用户在防火墙第一墙进行管理。登录防火墙后，初始化向导可以帮助用户在防火墙第一次上线前进行基本功能的配置。次上线前进行基本功能的配置。使用防火墙实现安全的访问控制包过滤防火墙规则中应该阻止如下几种IP包进入

4、内部网。源地址是内部地址的外来数据包。指定中转路由器的数据包。有效载荷很小的数据包。还应阻止某些类型的内部网数据包进入外部网，特别是那些用于建立局域网和提供内部网通信服务的各种协议数据包 使用防火墙实现安全NAT网络地址转换（Network Address Translation，NAT），也称IP地址伪装技术（IP Masquerading）。最初设计NAT的目的是允许将私有IP地址映射到公网（合法的因特网IP地址），以减少IP地址短缺的问题。正是因为这个原因，我们至今还能使用IPv4，否则早就已经升级到IPv6了。此外，NAT还具有的功能。内部主机地址隐藏。网络负载均衡。网络地址交迭处理。

5、配置防火墙地址绑定原理：如果防火墙某网口配置了IP/MAC地址绑定功能，并设置了默认策略（允许或禁止）后，当该网口接收数据包时，防火墙将根据数据包中的源IP地址与源MAC地址，检查管理员设置好的IP/MAC地址绑定表。如果地址绑定表中查找成功，匹配则允许数据包通过，不匹配则禁止数据包通过。如果查找失败，则按缺省策略（允许或禁止）执行。使用防火墙实现URL过滤URL过滤器的判断依据是基于最终目的地址或者被请求的网址，URL过滤有三种主要额方法：客户端，代理服务器和网络，并且每一种方法都不熟一个禁止访问站点的黑名单或一个仅由能被访问站点组成的白名单。1、客户端过滤器作为一个软件楔子进行部署，软件楔

6、子被插入网络协议栈，监控所有的web流量2、基于代理服务器的过滤器使用web代理服务器，它负责处理来自浏览器的web请求，并从互联网或本地告诉缓存检索文档。3、基于网络的URL过滤器部署在网络的出口点兵检查通过网络的流量。使用防火墙保护服务资源原理：服务保护是防火墙的一种安全功能，可以限制从某个区域到达另外一个区域中主机或服务器的连接数。配置客户端认证原理：RG-WALL防火墙的访问控制功能可以对客户端的身份进行验证，只有客户端通过验证后，才允许通过安全策略访问网络资源。配置防火墙链路负载 原理：防火墙的策略路由功能可以实现路由的负载均衡，即到达同一目的地的报文可以指定多个下一跳地址。使用防火

7、墙限制连接带宽 原理：RG-WALL防火墙集成了QoS（服务质量）功能，利用防火墙的带宽控制功能，可以限制每个IP地址或者每个子网访问外部网络所占用的带宽使用防火墙限制P2P流量 原理：P2P技术是一种具备客户端和服务器双重特性，可以同时作为服务使用者和服务提供者。由于P2P技术的飞速发展，现在Internet上70的流量都是P2P的流量。由于P2P技术在下载的同时，也需要上传，导致个人用户的下行流量和上行流量都很大。P2P流量造成了网络的极度拥塞。RG-WALL防火墙对P2P软件采用深度检测的方法，可以精确的识别P2P流量，以达到对P2P流量进行控制的目的。使用防火墙防止DOS攻击原理：SY

8、N Flood 是一种常见的 DoS 攻击，这种攻击通过使用伪造的源 IP 地址，向目标主机（被攻击端）发送大量的 TCP SYN 报文。目标主机接收到 SYN 报文后，会向伪造的源地 址回应 TCP SYN_ACK 报文以等待发送端的 ACK 报文来建立连接。但是由于发送端的地址 是伪造的，所以被攻击端永远不会收到合法的 ACK 报文，这将造成被攻击端建立大量的半 开放连接，消耗大量的系统资源，导致不能提供正常的服务。防火墙的抗攻击功能可以对 SYN Flood 攻击进行检测，阻止大量的 TCP SYN 报文到 达被攻击端，保护内部主机的资源。防火墙中VPN的配置与使用 防火墙对象定义及策略

9、路由设置过滤规则应用 入侵检测系统定义入侵检测(intrusion detection)简单地说就是通过实时地分析数据来检测、记录和终止非法的活动或入侵的能力。在实际应用中，入侵检测比以上简单的定义要复杂得多，一般是通过各种入侵检测系统(Intrusion Detection SystemIDS)来实现各种入侵检测的功能。入侵检测系统通过对入侵行为的过程与特征进行研究，使安全系统对入侵事件和入侵过程作出实时响应，包括切断网络连接、记录事件和报警等。入侵检测系统功能 入侵检测系统主要执行如下任务：监视、分析用户及系统活动。系统构造和弱点的审计。识别反映已知进攻的活动模式并向相关人士报警。异常行为

10、模式的统计分析。评估重要系统和数据文件的完整性。操作系统的审计跟踪管理，并识别用户违反安全策略的行为。入侵检测系统工作原理 实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。入侵检测系统类型1、基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析土机的审

11、计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。2、基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。入侵检测系统设备深信服下一代防火墙通过提出“融合安全，简单有效”价值主张，为用户业务提供全生命周期保护，真正实现全程可视和全程保护。事前：深信服NGAF帮助用户在事前自动发现新增资产、评估漏洞及是否有保护策略。事中：构建L2-7层纵深防御体系，屏蔽防护短板且具备联动和关联分析能力

12、。事后：持续检测绕过防御的威胁，并通过云端安全服务提供7*24小时快速响应的技术服务。在IT业务运维全过程内向用户提供对风险的认知、对保护过程的认知和对结果的认知，帮助IT系统更简单、更安全、更有价值。入侵检测系统设备性能指标 1每秒数据流量（Mbps或Gbps）2每秒抓包数（pps）3每秒能监控的网络连接数 4每秒能够处理的事件数入侵检测产品选择要点 要考虑的要点有：1.系统的价格 2.特征库升级与维护的费用 3.对于网络入侵检测系统，最大可处理流量(包/秒PPS)是多少4.该产品容易被躲避吗5.产品的可伸缩性 6.运行与维护系统的开销7.产品支持的入侵特征数 8.产品有哪些响应方法 9.是

13、否通过了国家权威机构的评测RG-IDS账户管理用户管理承担着系统认证中心的角色。用户登录时认证中心对用户名、密码做认证，如果有绑定设置则根据其绑定方式（静态绑定、动态绑定）对用户做绑定处理。此外，在认证登录用户时，如果某个用户从相同的IP（隐含的动态绑定）重复多次登录尝试，则将该用户视为可疑用户，认证中心会将该用户锁定，同时发送审计事件通知用户管理员（触发锁定的登录尝试次数可以用户管理员在创建时指定）。RG-IDS组件管理通过控制台可以管理的组件包括EC、LogServer和Sensor。EC:EventCollector（事件收集器):一个大型分布式应用中，用户希望能够通过单个控制台完全管理

14、多个传感器，允许从一个中央点分发安全策略，或者把多个传感器上的数据合并到一个报告中去。用户可以通过安装一个事件收集器来实现集中管理传感器及其数据。事件收集器还可以控制传感器的启动和停止，收集传感器日志信息，并且把相应的策略发送传感器，以及管理用户权限、提供对用户操作的审计功能LogServer:（数据服务器）LogServer是RG-IDS的数据处理模块。LogServer需要集成DB（数据库）一起协同工作。DB（数据库）是一个第三方数据库软件。RG-IDS7.1.2支持微软MSDE、SQL Server，并即将支持MySQL和Oracle数据库，根据部署规模和需求您可以选择其中之一作为您的数

15、据库。Sensor（传感器）部署在需要保护的网段上，对网段上流过的数据流进行检测，识别攻击特征，报告可疑事件，阻止攻击事件的进一步发生或给予其它相应的响应。RG-IDS策略管理传感器使用策略来控制其所监测的内容，并对监测到的事件作出响应。您可以使用系统管理平台所附带的预定义策略，也可以从预定义策略派生新的策略。预定义策略分别侧重于用户所关心的各种层面，用户可选择适合自己的预定义策略直接应用。考虑到用户的不同需求，系统管理平台提供了用户自定义策略的功能。用户可以从预定义策略派生新的策略并且对新策略进行编辑，用户还可对其关心的部分攻击签名进行微调，以便更符合用户的需要。策略是一个文件，其中包含称为

16、“签名”的一列项目，这些项目确定了传感器所能监测的内容。策略控制传感器的以下行为：传感器检测的安全事件的种类。每一事件的优先权。传感器对安全事件的响应方式。签名是网络传感器用来检测一个事件或一系列事件的内部代码，这些事件有可能表明网络受到了攻击，也可能提供安全方面的信息。配置交换机端口镜像把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。端口镜像（Port Mirroring）可以让用户将所有的流量从一个特定的端口复制到一个镜像端口。端口镜像选取的设备原则为网络中连接重要服务器群的交换机或路由器，或是连接到网通的出口路由器。为什么需要端口镜像？通常为了部署流量分析、IDS等产

17、品需要监听网络流量，但是在目前广泛采用的交换网络中监听所有流量有相当大的困难，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。端口扫描向目标主机的TCP/IP服务端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭，就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据包来监视本地主机的运行情况，它仅能对接收到的数据进行分析，帮助我们发现目标主机的某些内在的弱点，而不会提供进入一个系统的详细步骤。端口扫描技术行为作为恶意攻击的前奏，严重威胁用户的网络，RG-IDS通过扫描的行为特征准确

18、的识别出恶意的扫描行为，并及时通知管理员。端口扫描攻击检测DoS攻击检测DDoS攻击检测密码策略审计 密码攻击是骇客攻击时最常用到的方式之一，利用密码的猜测、暴力破解等方法来掌握关键帐号的密码，已达到控制远程机器的目的。防范此种攻击最常用的方法是保障密码的强度，即对帐号所使用的密码长度、复杂度（使用大小写、字母、数字、非标准字符等进行组合）进行强制性要求。当服务器登录账号密码使用简单密码（低于规定密码强度）时，IDS将发出警告。服务漏洞攻击检测 漏洞检测技术通常采用两种策略：被动式和主动式策略。被动式策略是基于主机的检测，对系统中不适合的设置，脆弱的口令以及其他同安全策略相抵触的对象进行检查。

19、主动式策略是基于网络的检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞，漏洞检测的结果实际上是对系统安全性能的一个评估，因此成为安全方案的一个重要组成部分。缓冲区溢出攻击检测 缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。理想的情况是：程序会检查数据长度，而且并不允许输入超过缓冲区长度的字符。但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区，又被称为“堆栈”，在各个操作进程之间，指令会被临时储存在“堆栈”当中，“堆栈”也会出现缓冲区溢出。缓冲区溢出攻击是

20、利用缓冲区溢出漏洞所进行的攻击行动。缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统关机、重新启动等后果。Windows Pnp远程执行代码漏洞攻击检测 Microsoft Windows即插即用（PnP）功能允许操作系统在安装新硬件时能够检测到这些设备。Microsoft Windows即插即用功能中存在缓冲区溢出漏洞，成功利用这个漏洞的攻击者可以完全控制受影响的系统。起因是PnP服务处理包含有过多数据的畸形消息的方式。在Windows 2000上，匿名用户可以通过发送特制消息来利用这个漏洞；在Windows XP

21、Service Pack 1上，只有通过认证的用户才能发送恶意消息；木马攻击检测44蠕虫病毒传输检测对蠕虫在网络中产生的异常，有多种的的方法可以对未知的蠕虫进行检测，比较通用的方法有对流量异常的统计分析，对tcp连接异常的分析，网威入侵检测在这两种分析的基础上，又使用了对ICMP数据异常分析的方法，可以更全面的检测网络中的未知蠕虫。配置IDS与防火墙联动入侵检测系统在捕捉到某一攻击事件后，按策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统就会发给防火墙一个相应的动态阻断策略。防火墙根据该动态策略中的设置进行相应的阻断，阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目

22、的IP等信息，完全依照入侵检测系统发出的动态策略来执行。以Ping-of-Death签名为攻击事件，在没有配置为联动的响应方式之前，攻击机能够向被攻击机发送超大字节的ICMP报文，并被IDS检测到。实施RG-IDS与RG-WALL联动后，IDS首先检测到Ping-of-Death攻击，并将事件的信息包括源、目的地址等通过SSH通知防火墙，防火墙根据IDS发送的攻击事件信息自动生成响应规则，阻断攻击源和目的之间通信。使用自定义事件进行检测事件列表窗口类似于告警策略列表窗口，其中显示由用户（策略管理员）定义的特殊事件组。策略管理员从一般事件攻击签名中选择对用户监控更有意义的特殊事件攻击签名插入到特

23、殊事件组中。具有事件查看权限的安全事件查看员可以查看特殊事件列表。告警事件风暴抑制管理事件归并配置：事件归并的整体配置”是指针对所有安全事件签名设置一种缺省的归并策略，这个归并策略将会作用在每一个传感器上，也就是说来自不同传感器的告警将不会被归并在一起。一旦开启这个功能，所有事件的缺省归并策略即是该策略，但是即便用户开启了整体归并策略，也还可以对每一个安全事件签名在“事件归并”设置中逐一修改归并策略。因此该功能事实上是对没有设置归并策略的告警的整体配置。事件归并策略的内容包括，是否启用事件归并，缺省按照事件名称归并（不可更改），然后可以按照事件的源、目的地址和端口归并。事件归并个别配置指对于某

24、一个或某几个攻击签名以及某一类攻击签名单独配置，系统只针对个别攻击签名进行归并。洪波抑制：洪波抑制功能是指，如果短时间内大量相同的告警信息被发送给管理控制台，影响了用户对网络事件的分析，可以在洪波抑制界面设置洪波抑制功能，以防止短时间内产生大量相同的告警。事件响应方式管理在监测到安全事件后，系统管理平台可以根据所配置的策略进行以下响应：1）将检测的事件显示在控制台上。2）将检测的事件记录在数据库中。3）发送snmptrap。4）在检测到特定事件时，通过电子邮件通知管理员。5）在检测到特定事件时，运行用户指定的程序。RG-IDS报表管理Report子系统作为RG-IDS系统的一个独立的部分，主要

25、完成从数据服务器提取数据进行显示的功能RG-IDS数据库管理通过查询工具对数据库进行查询，并使用数据库维护工具对数据库进行维护和管理。统一安全网关概念所谓统一安全网关，就是将防病毒，入侵检测和防火墙安全设备划归统一安全网关新类别。USG常定义为由硬件，软件和网络技术组成的具有专门用途的设备，简单来说就是将多项安全技术功能和多种安全特性集成在一个硬件设备中，构成一个标准的统一管理平台统一安全网关特点1）整合使成本降低。2）降低信息安全工作强度：数量减少，使用简单，服务和维护工作量减少。3）降低了技术复杂度：容易操作。4）网关防御的弊端：内部威胁无法防范；过度集成带来的风险;性能和稳定性的矛盾。统一安全网关设备1）RG-USG2000 1、高性能硬件架构和一体化的软件设计。2、集防火墙，入侵防御，防病毒，外联控制、抗拒绝服务攻击、内容过滤、反垃圾邮件、NetFlow等于一身，3、支撑QoS，高可用性能日志审计等 4、集成VPN、安全路由器 5、提供百兆性能，模块化架构，多借口。具有可高扩展和适应能力。