第 5 章 网络安全设计

1. 第5章 网络安全设计 主讲：易建勋

2. 5.1 网络安全体系结构 • 网络安全是一个系统的、全局性的问题。 • 一个好的安全措施是多种方法综合的结果。 5.1.1 TCP/IP协议的安全模型 （1）网络安全定义 • 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续、可靠的正常运行，网络服务不中断。 第5章 网络安全设计

3. 5.1 网络安全体系结构 • 在TCP/IP体系结构中，各层都能提供一定的安全手段。如图5-1所示。 第5章 网络安全设计

4. 5.1 网络安全体系结构 （2）接口层的安全 • 接口层安全技术： 加密传输、防电磁波泄漏等。 （3）网络层的安全 • 网络层安全威胁： 报文窃听、口令失密、流量攻击、拒绝服务攻击等。 • 网络层安全技术： 路由安全机制、IPSec、防火墙技术等。 第5章 网络安全设计

5. 5.1 网络安全体系结构 • IPSec是加密服务的安全协议，对应用程序和终端用户是透明的。 第5章 网络安全设计

6. 5.1 网络安全体系结构 （4）传输层的安全 • 传输层安全协议： SSL（安全套接字协议）。 • SSL提供三个方面的服务： 用户和服务器认证 数据加密服务 维护数据的完整性。 第5章 网络安全设计

7. 5.1 网络安全体系结构 （5）应用层的安全 • 应用层安全问题有： 操作系统漏洞、应用程序BUG、非法访问、病毒木马程序等。 • 应用层安全技术： 加密、用户级认证、数字签名等。 第5章 网络安全设计

8. 5.1 网络安全体系结构 网络的可靠性研究 第5章 网络安全设计

9. 补充：网络可靠性指标

10. 5.1 网络安全体系结构 5.1.2 IATF网络安全体系结构 （1）IATE安全技术标准 • 美国国家安全局（NSA）组织世界安全专家制定了IATF（信息保障技术框架）标准。 • IATF代表理论是“深度保护战略”。 • IATF标准强调人、技术、操作三个核心原则 • IATF关注的四个信息安全保障领域： 保护网络和基础设施、保护边界、保护计算环境、保护支撑基础设施。 第5章 网络安全设计

11. 5.1 网络安全体系结构 （2）边界 • 有时边界定义为物理实体，如：人、信息、和信息系统，它们在一个物理区域中。 • 边界还被定义为包围在一个网络区域中，实施共同安全策略的信息系统。 （3）信息基础设施 • 在IATF标准中，飞地指位于非安全区中的一小块安全区域。 • IATF把网络和系统分成局域计算、飞地边界、网络基础设施、支持性基础设施等4种类型（如图5-2）。 第5章 网络安全设计

12. 5.1 网络安全体系结构 第5章 网络安全设计

13. 5.1 网络安全体系结构 （4）对手、动机和攻击类型 • 可能的对手（攻击者）： 国家、恐怖分子、罪犯、黑客或企业竞争者。 • 攻击动机： 收集情报、窃取知识产权、引发尴尬不安，或仅仅是为了炫耀自己。 • 五类攻击方法： 被动攻击、主动攻击、物理临近攻击、内部人员攻击、分发攻击。 第5章 网络安全设计

14. 5.1 网络安全体系结构 • 非恶意事件引发的破坏性后果： 火灾、洪水、电力中断以及用户失误。 第5章 网络安全设计

15. 5.1 网络安全体系结构 第5章 网络安全设计

16. 5.1 网络安全体系结构 （5）安全威胁的表现形式 • 安全威胁的表现形式： 信息泄露、媒体废弃、人员不慎、授权侵犯、非授权访问、旁路控制、假冒、窃听、电磁/射频截获、完整性侵犯、截获/修改、物理侵入、重放、业务否认、业务拒绝、资源耗尽、业务欺骗、业务流分析、特洛伊木马程序、后门等。 第5章 网络安全设计

17. 5.1 网络安全体系结构 • 网络攻击包括被动攻击和主动攻击两大部分。 • 被动攻击指对信息的保密性进行攻击。特点是偷听或监视信息的传输。 • 主动攻击是篡改信息来源的真实性、信息传输的完整性和系统服务的可用性。包括中断、伪造、篡改等。 • 网络信息系统受到安全威胁的IATF模型如图5-3所示。 第5章 网络安全设计

18. 案例：网络攻击 第5章 网络安全设计

19. 5.1 网络安全体系结构 （6）深度保护战略模型 • 深度保护战略的四个基本领域： 保护局域网计算环境； 保护区域边界； 保护网络和基础设施； 保护支撑基础设施。 • IATF标准认为，只有将技术、管理、策略、工程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的依据。 第5章 网络安全设计

20. 5.1 网络安全体系结构 • IATF提出：深度保护战略体系包含人、技术和操作三个要素。 • 深度保护战略的模型如图5-4所示。 第5章 网络安全设计

21. 5.1 网络安全体系结构 5.1.3 网络安全防护技术 （1）安全防护策略 • 在设计内部网络时应满足以下两条原则： • 内网应当根据部门需要划分子网，并实现子网之间的隔离； • 采取安全措施后，子网之间应当可以相互访问。 • 内网接口的安全防护 • 对外网接口的安全防护 • 对数据库的安全保护 • 服务器主机的安全防护 • 客户端的安全防护 第5章 网络安全设计

22. 补充 ：ISO 7498-2安全模型 结构层次 用户层 应用层 表示层 会话层 传输层 网络层 身 访 数 数 防 审 可 可 份 问 据 据 止 计 用 靠 链路层 鉴 控 保 完 否 管 性 性 别 制 密 整 认 理 物理层 安全特性 信息处理单元 通信网络 安全管理 系统单元 物理环境

23. 案例：网络安全技术

24. 5.1 网络安全体系结构 （2）传输过程中的安全防护技术 • 网络物理安全防护 • 网络地址转换（NAT） （3）包过滤技术 • 包过滤是最常见的一种安全防护技术。 • 包过滤技术的特点是利用IP数据包的特征进行访问控制；它不像AAA技术那样是根据用户名和密码进行访问控制。 第5章 网络安全设计

25. 5.1 网络安全体系结构 第5章 网络安全设计

26. 5.2 网络防火墙技术 5.2.1 防火墙的功能 • 防火墙是由软件或硬件构成的网络安全系统，用来在两个网络之间实施访问控制策略。 （1）防火墙在网络中的位置 • 防火墙用来解决内网和外网之间的安全问题。 • 防火墙在网络中的位置如图5-6所示。 第5章 网络安全设计

27. 防 火 墙 I n t e r n e t LAN 5.2 网络防火墙技术 5.2.1 防火墙的功能 第5章 网络安全设计

28. 5.2 网络防火墙技术 （2）防火墙的功能 • 所有内网和外网之间交换的数据都可以，而且必须经过防火墙。 • 只有防火墙安全策略允许的数据，才可以自由出入防火墙，其他数据禁止通过。 • 防火墙受到攻击后，应能稳定有效的工作。 • 防火墙可以记录和统计网络的使用情况。 • 防火墙应能过滤和屏蔽一切有害的服务和信息。 • 防火墙应能隔离网络中的某些网段，防止一个网段的故障传播到整个网络。 第5章 网络安全设计

29. 5.2 网络防火墙技术 （3）防火墙设置的基本安全准则 • 防火墙设置有“阻止”和“允许”两种设计原则。 • 大部分厂商遵循：一切未被允许的访问就是禁止的这一基本原则。 • 部分厂商遵循：一切未被禁止的访问就是允许的这一基本准则。 第5章 网络安全设计

30. 5.2 网络防火墙技术 （4）防火墙的不足 • 不能防范不经过防火墙的攻击。 • 不能防范恶意的知情者或内部用户误操作造成的威胁。 • 不能防止受病毒感染的软件或木马文件的传输。 • 由于防火墙不检测数据的内容，因此防火墙不能防止数据驱动式的攻击。 第5章 网络安全设计

31. 5.2 网络防火墙技术 5.2.2 防火墙的类型 • 软件防火墙功能强于硬件防火墙，硬件防火墙性能高于软件防火墙。 • 包过滤防火墙： 以以色列Checkpoint防火墙、 美国Cisco公司PIX防火墙。 • 代理型防火墙的典型产品： 美国NAI公司Gauntlet防火墙。 第5章 网络安全设计

32. 5.2 网络防火墙技术 （1）软件防火墙 • 个人级软件防火墙： 瑞星防火墙产品。 • 企业级软件防火墙： 微软公司ISA Server CheckPoint公司FW等。 第5章 网络安全设计

33. 案例：ISA Server企业级软件防火墙 5.2 网络防火墙技术 （1）软件防火墙 • 个人级软件防火墙：瑞星防火墙产品。 • 企业级软件防火墙：微软公司ISA Server、CheckPoint公司FW等。 第5章 网络安全设计

34. 5.2 网络防火墙技术 （2）硬件防火墙 • 大多数企业级防火墙都是硬件产品，都基于PC架构。 • 硬件防火墙主要产品： Cisco PIX防火墙、 美国杰科公司NetScreen系列防火墙、 中国天融信公司“网络卫士”防火墙等。 第5章 网络安全设计

35. 案例：Cisco PIX防火墙产品

36. 案例：华为1800F硬件防火墙

37. 5.2 网络防火墙技术 （4）包过滤防火墙 • 包过滤防火墙所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数由路由器集成。 • 包过滤防火墙的弱点： ☆过滤的依据只是网络层和传输层的有限信息，安全要求不可能充分满足。 ☆随着过滤规则数量的增加，防火墙性能会受到很大地影响。 ☆缺少审计和报警机制，不能对用户身份进行验证，很容易受到地址欺骗型攻击。 第5章 网络安全设计

38. 案例：防火墙包过滤策略

39. 5.2 网络防火墙技术 （5）代理型防火墙 • 代理型防火墙是工作在应用层，实现监视和控制应用层通信流的作用。典型网络结构如图5-8所示。 • 优点： 安全，它可以对网络中任何一层的数据通信进行筛选和保护。 • 缺点： 速度相对比较慢，当网关吞吐量较高时，容易成为内网与外网之间的瓶颈。 第5章 网络安全设计

40. 真实服务器 外部网络 转发请求 响应 应用协 议分析 代理服务器 代理客户机 请求 转发响应 内部网络 真实的 客户端 5.2 网络防火墙技术 • 代理服务器 • 侦听内部网络客户的服务请求，验证合法性。若合法，将向公共服务器发出请求，并取回所需信息，最后再转发给客户。 代理服务器工作流程 第5章 网络安全设计

41. 5.2 网络防火墙技术 （6）分布式防火墙 • 分布式防火墙不是只位于网络边界，而是渗透到网络的每一台主机，对整个内网的主机实施保护。 第5章 网络安全设计

42. 5.2 网络防火墙技术 5.2.3 PIX防火墙配置案例 （1）防火墙的接口 • 硬件防火墙的接口： ☆内网接口下行连接内部网络设备； ☆外网接口上行连接上公网的路由器等外部网关设备； ☆DMZ接口接非军事区网络设备。 • 硬件防火墙中的网卡一般都设置为混杂模式，这样就可以监测到流过防火墙的数据。 第5章 网络安全设计

43. 案例：网络端口映射 192.168.1.3 192.168.1.2 192.168.1.5 192.168.1.4 WWW FTP DNS MAIL • 服务器可以使用私有地址 • 隐藏内部网络的结构 Internet 192.168.1.6 http://202.103.96.3：21 192.168.1.2：80——202.103.96.3：80 192.168.1.3：21——202.103.96.3：21 192.168.1.5：53——202.103.96.3：53 192.168.1.4：25——202.103.96.3：25 202.103.96.3

44. 5.3 DMZ网络安全设计 5.3.1 DMZ的功能与安全策略 （1）DMZ的基本慨念 • DMZ把敏感的内部网络和提供外部访问服务的网络分离开。 • DMZ区域内通常放置一些不含机密信息的公用服务器，如Web、Email、FTP等服务器。 • DMZ并不是网络组成的必要部分。 第5章 网络安全设计

45. 5.3 DMZ网络安全设计 第5章 网络安全设计

46. 5.3 DMZ网络安全设计 （3）DMZ网络访问控制策略 • 基本原则： ☆设计最小权限，定义允许访问的网络资源和网络的安全级别。 ☆确定可信用户和可信任区域。 ☆明确各个网络之间的访问关系，制定访问控制策略。 第5章 网络安全设计

47. 案例：DMZ区域与外网的访问控制

48. 5.3 DMZ网络安全设计 5.3.2 DMZ网络拓扑结构 （1）堡垒主机防火墙结构 • 堡垒主机是一台具有多个网络接口的计算机，它可以进行内部网络与外部网络之间的路由，也可以充当与这台主机相连的若干网络之间的路由。 • 攻击者如果掌握了登录到堡垒主机的权限，那么内部网络就非常容易遭到攻击。 第5章 网络安全设计

49. 5.3 DMZ网络安全设计 第5章 网络安全设计

50. 5.3 DMZ网络安全设计 （2）单防火墙DMZ网络结构 • 单DMZ结构将网络划分为三个区域，内网、外网和DMZ区域（如图5-13）。 （3）双防火墙DMZ网络结构 • 如图5-14所示，有两台防火墙连接到DMZ公共子网，一台位于DMZ子网与内部网络之间，而另一台防火墙位于外部网络与DMZ之间。 第5章 网络安全设计