1 / 95

网络安全设备

网络安全设备. 培训机构名称 讲师名字. 课程内容. 知识子域:防火墙技术. 理解防火墙的作用 理解包过滤技术、状态检测技术和应用代理技术的原理和优缺点 掌握防火墙选择和使用中的基本注意事项. 防火墙技术. 什么是防火墙? 为什么需要防火墙 ? 防火墙的功能 防火墙的典型部署 防火墙的分类 防火墙的工作模式 防火墙的相关技术 防火墙的弱点和局限性 选择防火墙需考虑的要素 防火墙使用中的注意事项. Internet. 防火墙. 防火墙技术 - - 什么是防火墙?. 在网络间(内部 / 外部网络、不同信息级别)提供安全连接的设备;

louie
Download Presentation

网络安全设备

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 网络安全设备 培训机构名称 讲师名字

  2. 课程内容

  3. 知识子域:防火墙技术 • 理解防火墙的作用 • 理解包过滤技术、状态检测技术和应用代理技术的原理和优缺点 • 掌握防火墙选择和使用中的基本注意事项

  4. 防火墙技术 • 什么是防火墙? • 为什么需要防火墙? • 防火墙的功能 • 防火墙的典型部署 • 防火墙的分类 • 防火墙的工作模式 • 防火墙的相关技术 • 防火墙的弱点和局限性 • 选择防火墙需考虑的要素 • 防火墙使用中的注意事项

  5. Internet 防火墙 防火墙技术--什么是防火墙? • 在网络间(内部/外部网络、不同信息级别)提供安全连接的设备; • 用于实现和执行网络之间通信的安全策略 公司网站

  6. 防火墙技术—为什么需要防火墙? • 阻止来自不可信网络的攻击 • 保护关键数据的完整性 • 维护客户对企业或机构的信任

  7. 防火墙技术--防火墙的功能 • 控制进出网络的信息流向和数据包,过滤不安全的服务; • 隐藏内部IP地址及网络结构的细节; • 提供使用和流量的日志和审计功能; • 部署NAT(Network Address Translation,网络地址转换); • 逻辑隔离内部网段,对外提供WEB和FTP; • 实现集中的安全管理; • 提供VPN功能。

  8. 防火墙的相关功能—地址转换(NAT) • 用于当企业没有足够的合法(公有)IP地址; • NAT可为内部网络提供额外的安全措施; • 按照用户的需要提供给外部网络一定的服务; • 利用NAT实现多服务器负载均衡。

  9. 防火墙的相关功能—地址转换(NAT) • 静态地址转换 • 动态地址转换 • 端口地址转换(PAT)

  10. 不可信的网络&服务 防火墙 可信网络 Internet 路由器 Intranet 公开可访问的服务 & 网络 DMZ 防火墙技术:防火墙的典型部署 这是最为普通的企业环境防火墙部署案例。利用防火墙将网络分为三个安全区域,企业内部网络,外部网络和服务器专网(DMZ区)。

  11. 防火墙的发展阶段 防火墙技术--防火墙的分类 • 防火墙从实现方式上来分,可分为硬件防火墙和软件防火墙两类。硬件防火墙通常部署在内、外部网络之间,通过软、硬件结合的方式来达到隔离内、外部网络的目的;软件防火墙可以在一个独立的机器上运行,通过一定的规则来达到限制非法用户访问的目的。 • 从技术的发展阶段来分看,防火墙可分为包过滤、应用代理和状态检测等几大类型。 状态检测 应用代理 包过滤

  12. 防火墙技术--防火墙的工作模式 • 路由模式 • 透明模式 • 混合模式

  13. 防火墙技术--防火墙的工作模式 • 路由模式 192.168.1.254/24 202.101.10.1/24 防火墙 路由器 Intranet Internet 外部网络 202.101.10.0/24 GW:202.101.10.1 内部网络 192.168.1.0/24 GW:192.168.1.254

  14. 防火墙技术--防火墙的工作模式 • 透明模式 192.168.1.254/24 路由器 Intranet Internet 外部网络 内部网络 192.168.1.0/24 GW:192.168.1.254

  15. 防火墙技术--防火墙的工作模式 • 混合模式 工作于透明模式的防火墙可以实现透明接入,工作于路由模式的防火墙可以实现不同网段的连接。但路由模式的优点和透明模式的优点是不能同时并存的。所以,大多数的防火墙一般同时保留了透明模式和路由模式,根据用户网络情况及用户需求,在使用时由用户进行选择。

  16. 防火墙技术--防火墙的相关技术 • 包过滤技术 • 应用代理技术 • 状态检测技术

  17. 防火墙的相关技术--包过滤(Packet filter) • 在网络层检查数据包 • 简单的拒绝或接受策略模型 • 无法识别更高层协议 应用层 应用层 应用层 表示层 表示层 表示层 会话层 会话层 会话层 传输层 传输层 传输层 网络层 网络层 网络层 网络层 数据链路层 数据链路层 数据链路层 物理层 物理层 物理层

  18. 防火墙的相关技术--包过滤(Packet filter) 包过滤防火墙具有以下特点: • 优点: • 只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析,规则简单,处理速度较快 • 易于配置 • 对用户透明-用户访问时不需要提供额外的密码或使用特殊的命令 • 缺点: • 检查和过滤器只在网络层-不能识别应用层协议或维持连接状态 • 安全性薄弱 –不能防止IP欺骗等

  19. 防火墙的相关技术—应用网关或代理( Application Gateway or Proxy) • 在应用层检查数据包 • 能够对应用或内容进行过滤 – 例如:禁止FTP的 “put”命令 应用层 应用层 应用层 表示层 表示层 表示层 会话层 会话层 会话层 传输层 传输层 传输层 网络层 网络层 网络层 网络层 数据链路层 数据链路层 数据链路层 物理层 物理层 物理层

  20. 防火墙的相关技术—应用网关或代理( Application Gateway or Proxy) 应用代理或网关防火墙具有以下特点: • 优点: • 可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强 • 提供良好的安全性 - 所有数据的有效负载都在应用层进行检查 • 缺点: • 支持的应用数量有限,无法很好的支持新的应用、技术和协议 • 对用户不透明度 • 性能表现欠佳

  21. 动态状态表 动态状态表 动态状态表 防火墙的相关技术--状态检测(Stateful Inspection) • 在数据链路层和网络层之间对数据包检测进行检测 • 创建状态表用于维护连接上下文 应用层 应用层 应用层 表示层 表示层 表示层 会话层 会话层 会话层 传输层 传输层 传输层 网络层 网络层 网络层 数据链路层 数据链路层 数据链路层 物理层 物理层 物理层 检测引擎

  22. 防火墙的相关技术--状态检测(Stateful Inspection) 状态检测防火墙具有以下特点: • 性能大大提高 • 支持大量应用 • 在内核级实现检测过滤 • 在所有接口对进/出的数据包进行检查 • 支持七层协议检查 • 在动态状态表中存储连接状态 • 检查对外的连接并预先计算出将返回的连接 • 支持对所有的七层协议进行检查

  23. 防火墙技术--弱点和局限性 • 防火墙防外不防内; • 防火墙难于管理和配置,易造成安全漏洞; • 很难为用户在防火墙内外提供一致的安全策略; • 防火墙只实现了粗粒度的访问控制; • 对于某些攻击防火墙也无能为力。

  24. 防火墙技术—选择防火墙需考虑的要素 • 安全性 • 高效性 • 适用性 • 可管理性 • 完善及时的售后服务体系

  25. 防火墙技术—防火墙使用中的注意事项 • 制定符合实际情况的安全策略,并定期更新; • 取消危险的系统调用,关闭多余的端口; • 限制命令的执行权限; • 取消IP转发功能; • 取消动态路由功能; • 制定严格的远程管理措施等等。

  26. 防火墙技术--实例讲解

  27. 知识子域:入侵检测技术 • 理解审计和监控的基本概念 • 理解入侵检测基本概念和工作原理 • 理解入侵检测的分类 • 掌握入侵检测系统选择和使用中的基本注意事项

  28. 入侵检测技术 • 什么是入侵? • 入侵的分类 • 针对入侵构建防御系统 • 入侵检测系统的作用 • 入侵检测系统的功能 • 入侵检测系统的典型部署 • 入侵检测模型 • 入侵检测系统的分类 • 异常检测 • 特征检测 28

  29. 入侵检测技术 • 主机入侵检测系统 • 网络入侵检测系统 • 网络节点入侵检测系统 • 入侵的响应方式 • 部署中需注意的问题 • 在应用中的常见问题 • 选择IDS需考虑的要素 29

  30. 入侵检测技术--什么是入侵? • 入侵是指在非法或未经授权的情况下,试图存取或处理系统或网络中的信息,或破坏系统或网络正常运行,致使系统或网络的可用性、机密性和完整性受到破坏的故意行为。 30

  31. 入侵检测技术--入侵的分类 • 攻击的类型: • 网络嗅探 • 利用 • 设计缺陷 • 实现缺陷 • 拒绝服务 • 攻击针对以下方面: • 网络 • 操作系统 • 应用 31

  32. 入侵检测技术—针对入侵构建防御系统 • 预防入侵 • 检测入侵 • 对入侵做出响应 32

  33. 入侵检测技术—针对入侵构建防御系统 • 预防入侵 • 非常重要的第一步; • 阻止某些不良企图,例如防火墙; • 但是攻击仍然发生: • 网络、操作系统和应用在设计和实现上的缺陷; • 隧道技术; • 来自网络内部的攻击。 33

  34. 入侵检测技术—针对入侵构建防御系统 • 检测入侵 • 采取预防措施阻止某些攻击; • 是否能够实时检测到剩余的攻击? • 监控各种恶意行为: • 网络流量; • 主机中的行为; • 实时分析大量的审计数据,来识别入侵或误用。 34

  35. 入侵检测技术—针对入侵构建防御系统 • 对入侵做出响应 • 实时响应; • 识别入侵并做出响应; • 做出反应以减小入侵造成的响应,并尽快恢复服务。 35

  36. 入侵检测技术--入侵检测系统的作用 • 克服某些传统的防御机制的限制; • 在“深度防御”的基础上成为安全框架的一部分; • 在整个组织的网络中能够识别入侵或违反安全策略的行为,并能够做出回应。 36

  37. 入侵检测技术--入侵检测系统的功能 • 自动检测入侵行为; • 监视网络流量(Network IDS)和主机(Host IDS)中的操作; • 分析入侵行为: • 基于特征 • 基本异常 • 按预定的规则做出响应: • 阻止指定的行为。

  38. 入侵检测技术--入侵检测系统的典型部署 • 以旁路的方式接入到网络中,且部署在需要的关键位置。 不可信的网络&服务 HIDS 防火墙 NIDS 可信网络 Internet Intranet NIDS 38

  39. 入侵检测技术--入侵检测模型 入侵检测系统的告知模型(IDWG) -- Intrusion Detection Working Group • 数据源 • 感应器 • 行为 • 分析器 • 事件 • 告警 • 管理器 • 响应器 • 响应 • 管理员 • 操作员 39

  40. 入侵检测技术--入侵检测模型 操作员 通知 行为 事件 分析器 感应器 数据源 响应 告警 安全 策略 管理器 管理员 40

  41. 入侵检测技术--入侵检测模型 入侵检测系统的通用模型(CIDF) --Common Intrusion Detection Framework • 事件生成器 • 事件分析器 • 事件响应器 • 事件数据库 41

  42. 入侵检测技术--入侵检测模型 行动 交互数据 交互数据 事件分析器 事件响应器 事件生成器 交互数据 事件数据库 42

  43. 入侵检测技术--入侵检测系统的分类 • 按检测方法 • 异常检测 • 特征检测 • 按地点 • 基于主机 • 基于网络 • 基于网络节点 • 按比较/分类方法 • 基于规则 • 统计分析 • 神经网络 • 模式匹配 • 状态转换分析 • 以上所有的组合 43

  44. 入侵检测技术—异常检测 • 设定“正常”的行为模式; • 假设所有的入侵行为是异常的; • 基于系统和基于用户的异常; • 优点: • 可检测未知的攻击; • 自适应、自学习功能; • 不需要先验知识。 • 关键问题: • “正常”行为特征的选择; • 统计算法、统计点的选取等。 44

  45. 入侵检测技术—异常检测 • 使用的检测方法 • 基于规则 • 统计分析 • 神经网络 • 数据来源 • 审计日志或网络流量 • 特殊用途的数据收集机制 • 键盘击键监控 45

  46. 入侵检测技术—特征检测 • 建立入侵行为模型(攻击特征); • 假设可以识别和表示所有可能的特征; • 基于系统的和基于用户; • 优点: • 准确率高; • 算法简单。 • 关键问题: • 有所有的攻击特征,建立完备的特征库; • 特征库要不断更新; • 无法检测新的入侵。 46

  47. 入侵检测技术—特征检测 • 使用的检测方法 • 基于规则 • 模式匹配 • 状态转换分析 • 神经网络 • 数据来源 • 审计日志或网络流量 • 特殊用途的数据收集机制 47

  48. 入侵检测技术—主机入侵检测系统 • 基于主机的入侵检测系统是以代理软件的形式安装在每台主机或服务器上,以监测主机上的各种活动; • 代理软件实现对入侵的检测分析; • 由代理软件向统一的管理/策略服务器发送日志和告警信息。 48

  49. 入侵检测技术—主机入侵检测系统 • 主机入侵检测系统的优点: • 在长期监控谁访问什么 • 可以将问题映射到一个具体的用户ID • 系统可以跟踪滥用行为的变化 • 适用于加密环境 • 可以运行在交换环境中 • 监测分布在多台主机上的负载,并只将有关数据上报中央控制台 49

  50. 入侵检测技术—主机入侵检测系统 • 主机入侵检测系统的缺点: • 无法监测网络活动; • 审计机制的运行增加了系统负载; • 审计记录会占用大量的存储空间; • 由于操作系统的漏洞可能破坏代理软件的有效性; • 不同类型的操作系统需要不同的代理软件; • 升级的问题; • 更高的部署和维护成本。 50

More Related