1、内容1.网络安全基础知识2.网络漏洞和网络攻击技术3.网络安全防御技术产品4.网络安全策略-网络安全服务6/7/20221北京网新易尚科技有限公司 | 一、网络安全基础知识1.网络安全的兴起2.网络安全的目的3.网络攻击后果4.网络安全风险6/7/20222北京网新易尚科技有限公司 | 网络安全的兴起 技术迅猛发展和普及技术迅猛发展和普及 有组织、有目的地网络攻击出现有组织、有目的地网络攻击出现 企业内部安全隐患企业内部安全隐患 有限的安全资源和管理专家有限的安全资源和管理专家 6/7/20223北京网新易尚科技有限公司 | 复杂程度复杂程度 技术的迅猛发展和普及技术的迅猛发展和普及-网络应用
2、网络应用Internet EmailWeb 浏览Intranet 电子商务电子商务 电子政务电子政务电子交易电子交易时间时间6/7/20224北京网新易尚科技有限公司 | 黑客()的分类黑客()的分类 偶然的破坏者偶然的破坏者 坚定的破坏者坚定的破坏者 间谍间谍6/7/20225北京网新易尚科技有限公司 | 案例案例:电影黑客帝国电影黑客帝国黑客方:尼奥黑客方:尼奥 (病毒、木马)(病毒、木马) 反黑客方:史密斯(防火墙、杀毒软件)反黑客方:史密斯(防火墙、杀毒软件)6/7/20226北京网新易尚科技有限公司 | 全球超过全球超过26万个黑客站点提供系统漏洞和攻击知识万个黑客站点提供系统漏洞和
3、攻击知识 越来越多的容易使用的攻击软件的出现越来越多的容易使用的攻击软件的出现 国内法律制裁打击力度不够国内法律制裁打击力度不够网络的普及使学习黑客技术变得异常简单网络的普及使学习黑客技术变得异常简单6/7/20227北京网新易尚科技有限公司 | 网络安全的目的网络安全的目的 保护信息的安全保护信息的安全 保护信息交互、传输的安全保护信息交互、传输的安全 保护信息系统的正常运行保护信息系统的正常运行6/7/20228北京网新易尚科技有限公司 | 信息安全的目的信息安全的目的6/7/20229北京网新易尚科技有限公司 | 财政损失 知识产权损失 时间消耗 由错误使用导致的生产力消耗 责任感下降
4、内部争执网络攻击后果网络攻击后果可见的网络攻击影响可见的网络攻击影响利润利润攻击发生攻击发生(财政影响财政影响)Q1 Q2 Q3 Q46/7/202210北京网新易尚科技有限公司 | 安全需求和实际操作脱离安全需求和实际操作脱离 内部的安全隐患内部的安全隐患 动态的网络环境动态的网络环境 有限的防御策略有限的防御策略 安全策略和实际执行之间的巨大差异安全策略和实际执行之间的巨大差异 用户对安全产品的依赖和理解误差用户对安全产品的依赖和理解误差网络安全风险6/7/202211北京网新易尚科技有限公司 | 二、网络漏洞和网络攻击技术介绍1.网络中的漏洞2.网络攻击技术6/7/202212北京网新易
5、尚科技有限公司 | 网络通讯层漏洞 超过超过1000个服务安全漏洞个服务安全漏洞: , , , , , , , , 等等. 错误的路由配置错误的路由配置 中不健全的安全连接检查机制中不健全的安全连接检查机制 缺省路由帐户缺省路由帐户 反向服务攻击反向服务攻击 隐蔽隐蔽 6/7/202213北京网新易尚科技有限公司 | 针对网络通讯层的攻击通讯通讯 & 服务层服务层6/7/202214北京网新易尚科技有限公司 | 操作系统的安全隐患 1000个以上的商用操作系统安全漏洞个以上的商用操作系统安全漏洞 没有及时添加安全补丁没有及时添加安全补丁 病毒程序的传播病毒程序的传播 文件文件/用户权限设置错误
6、用户权限设置错误 默认安装的不安全设置默认安装的不安全设置 缺省用户的权限和密码口令缺省用户的权限和密码口令 用户设置过于简单密码使用用户设置过于简单密码使用 特洛依木马特洛依木马6/7/202215北京网新易尚科技有限公司 | 针对操作系统的攻击操作系统操作系统6/7/202216北京网新易尚科技有限公司 | 应用程序服务的安全漏洞 服务器: 错误的目录结构 脚本缺陷 服务器应用程序缺陷 私人站点 未索引的页 数据库: 危险的数据库读取删 除操作, 缓冲区溢出 路由器: 源端口/源路由 其他应用程序: , , 缺省帐户 有缺陷的浏览器6/7/202217北京网新易尚科技有限公司 | 针对应用
7、服务的攻击应用服务程序应用服务程序SAP R/36/7/202218北京网新易尚科技有限公司 | 总结 通迅层漏洞(协议) 操作系统漏洞 应用程序漏洞 非法授权访问 欺骗类攻击 拒绝服务攻击 利用病毒的攻击 木马程序攻击 入侵系统类攻击 后门攻击 缓冲区溢出攻击 暴力破解 字典程序6/7/202219北京网新易尚科技有限公司 | 三、网络安全防御技术产品1.防火墙2.防病毒34.入侵检测5.网络扫描器()6.加密7.数字证书6/7/202220北京网新易尚科技有限公司 | 防火墙综述防火墙综述防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公防火墙是指设置在不同网络(如可信任的企业内部
8、网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,许、拒绝、监测)出入网络的信息流,且本身具有较强的且本身具有较强的抗攻击能力。抗攻击能力。它是提供信息安全它是提供信息安全服务,实现网络和服务,实现网络和信息安全的基础设施。信息安全的基础设施。File ServerMail ServerFTP Server防火墙防火墙6/7/202221北京网新易尚科技有限公司 |
9、防火墙可以是软件、硬件和软硬件结合的防火墙可以是软件、硬件和软硬件结合的发展历经四代:简单包过滤、应用代理、状态检测(状态包过滤)防火墙、复合型防发展历经四代:简单包过滤、应用代理、状态检测(状态包过滤)防火墙、复合型防火墙火墙防火墙综述防火墙综述6/7/202222北京网新易尚科技有限公司 | 防火墙发展概述6/7/202223北京网新易尚科技有限公司 | 防火墙功能防火墙功能 包检测包检测 内容过滤内容过滤 网络地址转换网络地址转换() 攻击检测攻击检测 日志审计日志审计/报警报警 应用层控制应用层控制 用户认证管理用户认证管理 控制网络内容行为(控制网络内容行为(!)6/7/202224
10、北京网新易尚科技有限公司 | 防病毒知识介绍防病毒知识介绍 什么是病毒什么是病毒 从广义上定义,凡能够引起计算机故障,自动破坏计算机数从广义上定义,凡能够引起计算机故障,自动破坏计算机数据的程序统称为计算机病毒。据的程序统称为计算机病毒。 计算机病毒,是指编制或者在计算机程序中插入的破坏计算计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。组计算机指令或者程序代码。 6/7/202225北京网新易尚科技有限公司 | 病毒特征及目前流行病毒病毒特征及目前流行病毒 破
11、坏性破坏性 自动复制自动复制 自动传播自动传播 红色代码红色代码 红色代码红色代码 尼姆达尼姆达- 求职信求职信6/7/202226北京网新易尚科技有限公司 | 网关防病毒产品特点及适用平台网关防病毒产品特点及适用平台 产品特点 企业网关入口处针对高效能的三合一防毒软件 全球查杀技术,大大提升杀毒效能 利用在网关入口处对病毒拦截的功能, 降低了企业的防毒成本 ,提高了扫毒效率 具有完整的实时监控功能 适用平台 、 (、)、等6/7/202227北京网新易尚科技有限公司 | 网关防病毒网关防病毒 HackerInternet6/7/202228北京网新易尚科技有限公司 | 的基本技术的基本技术6
12、/7/202229北京网新易尚科技有限公司 | ( ) 它指的是以公用开放的网络它指的是以公用开放的网络(如如)作为基本传输媒体,通过加密和验作为基本传输媒体,通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改,证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改,从而向最终用户提供类似于私有网络从而向最终用户提供类似于私有网络( )性能的网络服务技术。性能的网络服务技术。远程访问Internet内部网分支机构虚拟私有网虚拟私有网虚拟私有网合作伙伴6/7/202230北京网新易尚科技有限公司 | 最大优势最大优势 投资回报投资回报大幅度减少电信服务费用,尤其针对地域上
13、分散的公司和企业大幅度减少电信服务费用,尤其针对地域上分散的公司和企业针对远程拨号上网访问的用户,省去了每个月的电信费用针对远程拨号上网访问的用户,省去了每个月的电信费用57%55%51%来源: Infonetics Research6/7/202231北京网新易尚科技有限公司 | 数据机密性保护数据机密性保护 数据完整性保护数据完整性保护 数据源身份认证数据源身份认证作用6/7/202232北京网新易尚科技有限公司 | 实时入侵监控器是网络上实时的入侵检测、报警、响应和防范系统。 将基于网络的和基于主机的入侵检测技术,分布式技术和可生存技术完美地结合起来,提供实时的安全监控。 监控系统事件和
14、传输的网络 数据,并对可疑的行为进行自动监测和安全响应,使用户的系统在受到危害之前即可截取并终止非法入侵的行为和内部网络的误用,从而最大程度地降低安全风险,保护企业网络的系统安全。口令口令?实时入侵检测系统实时入侵检测系统6/7/202233北京网新易尚科技有限公司 | 网络安全评估系统对网络设备进行自动的安全漏洞检测和分析,网络安全评估系统对网络设备进行自动的安全漏洞检测和分析,并且在执行过程中支持基于策略的安全风险管理过程。另外,并且在执行过程中支持基于策略的安全风险管理过程。另外,执行预定的或事件驱动的网络探测,包括对网络通信服务、操执行预定的或事件驱动的网络探测,包括对网络通信服务、操
15、作系统、路由器、电子邮件、服务器、防火墙和应用程序的检作系统、路由器、电子邮件、服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。测,从而识别能被入侵者利用来非法进入网络的漏洞。 将给出检测到的漏洞信息,包括位置、详细描述和建议的将给出检测到的漏洞信息,包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息,并改进方案。这种策略允许管理员侦测和管理安全风险信息,并跟随开放的网络应用和迅速增长的网络规模而相应地改变。跟随开放的网络应用和迅速增长的网络规模而相应地改变。网络安全扫描系统网络安全扫描系统6/7/202234北京网新易尚科技有限公司 |
16、加密加密用于将数据转换成保密代码在不可信的网络上传输用于将数据转换成保密代码在不可信的网络上传输加密算法加密算法“ ”“44e33a1d382w4d”6/7/202235北京网新易尚科技有限公司 | 对称密钥对称密钥加密和解密使用同一把密钥加密和解密使用同一把密钥比非对称密钥速度快比非对称密钥速度快密钥管理工作量大密钥管理工作量大密钥传递容易泄密密钥传递容易泄密6/7/202236北京网新易尚科技有限公司 | 非对称密钥非对称密钥加密和解密采用不同密钥加密和解密采用不同密钥 (一把公钥一把公钥, 一把私钥一把私钥)密钥分配简单密钥分配简单密钥保存量小,便于管理密钥保存量小,便于管理6/7/20
17、2237北京网新易尚科技有限公司 | 数字证书和数字证书和 数字证书数字证书:包含了一个人的或一个实体的包含了一个人的或一个实体的 允许安全地分发允许安全地分发 a s 6/7/202238北京网新易尚科技有限公司 | 灵活的认证方式灵活的认证方式共享的密钥共享的密钥最简单的方式最简单的方式两个站点通过电话或方式共享两个站点通过电话或方式共享密钥密钥 提供在较大规模下发布和管理提供在较大规模下发布和管理 密钥的方法密钥的方法 ()自动更有效地进行身份认证、自动更有效地进行身份认证、协商算法及交换密钥协商算法及交换密钥6/7/202239北京网新易尚科技有限公司 | 四、网络安全策略四、网络安全
18、策略-网络安全服务网络安全服务 建立一个有效的安全策略建立一个有效的安全策略 为你的系统分类为你的系统分类 指定危险因数指定危险因数 确定每个系统的安全优先级确定每个系统的安全优先级 定义可接受和不可接受的活动定义可接受和不可接受的活动 决定在安全问题上如何教育所有员工决定在安全问题上如何教育所有员工 确定谁管理你的政策确定谁管理你的政策 6/7/202240北京网新易尚科技有限公司 | 安全基本元素安全基本元素审计管理加密访问控制用户验证安全策略6/7/202241北京网新易尚科技有限公司 | 管理分析 & 实施策略关闭安全维护关闭安全维护“后门后门”更改缺省的更改缺省的系统口令系统口令添加
19、所有添加所有操作系统操作系统Patch数据文件加密数据文件加密安装认证安装认证 & 授权授权用户安全培训用户安全培训授权复查授权复查入侵检测入侵检测实时监控实时监控6/7/202242北京网新易尚科技有限公司 | 风险风险RISKRISKRISKRISKRISKRISKRISKRISK风险风险基本的威胁基本的威胁采取措施后剩余的威胁采取措施后剩余的威胁漏洞漏洞6/7/202243北京网新易尚科技有限公司 | 安全服务建立相应的建立相应的6/7/202244北京网新易尚科技有限公司 | 冒名顶替冒名顶替废物搜寻废物搜寻身份识别错误身份识别错误不安全服务不安全服务配置配置初始化初始化乘虚而入乘虚而
20、入代码炸弹代码炸弹病毒病毒更新或下载更新或下载特洛伊木马特洛伊木马间谍行为间谍行为拨号进入拨号进入算法考虑不周算法考虑不周随意口令随意口令口令破解口令破解口令圈套口令圈套窃听窃听偷窃偷窃网络安全威胁网络安全威胁线缆连接线缆连接身份鉴别身份鉴别编程编程系统漏洞系统漏洞物理威胁物理威胁6/7/202245北京网新易尚科技有限公司 | 虚拟专虚拟专用网用网防火墙防火墙访问控制访问控制防病毒防病毒入侵检测入侵检测网络安全整体框架(形象图)6/7/202246北京网新易尚科技有限公司 | 红色代码红色代码 尼姆达尼姆达 冲击波冲击波 震荡波震荡波 病毒病毒 6/7/202247北京网新易尚科技有限公司
21、| 病毒性木马病毒性木马 工行密码盗取工行密码盗取 木马木马 其它后门工具其它后门工具6/7/202248北京网新易尚科技有限公司 | 用户使用一台计算机用户使用一台计算机D访问位于网络中心服务器访问位于网络中心服务器S上的邮件服务,上的邮件服务,存在的安全威胁:存在的安全威胁:U在输入用户名和口令时被录像在输入用户名和口令时被录像机器机器D上有上有 程序,记录了用户名和口令程序,记录了用户名和口令机器机器D上存放用户名和密码的内存对其他进程可读,其他进程读取上存放用户名和密码的内存对其他进程可读,其他进程读取了信息,或这段内存没有被清了信息,或这段内存没有被清0就分配给了别的进程,其他进程读
22、就分配给了别的进程,其他进程读取了信息取了信息用户名和密码被自动保存了用户名和密码被自动保存了用户名和密码在网络上传输时被监听(共享介质、或伪造)用户名和密码在网络上传输时被监听(共享介质、或伪造)机器机器D上被设置了代理,经过代理被监听上被设置了代理,经过代理被监听6/7/202249北京网新易尚科技有限公司 | 查看邮件时被录像查看邮件时被录像 机器机器D附近的无线电接收装置接收到显示器发射的信号并且重附近的无线电接收装置接收到显示器发射的信号并且重现出来现出来 屏幕记录程序保存了屏幕信息屏幕记录程序保存了屏幕信息 浏览邮件时的临时文件被其他用户打开浏览邮件时的临时文件被其他用户打开 浏览
23、器了网页信息浏览器了网页信息 临时文件仅仅被简单删除,但是硬盘上还有信息临时文件仅仅被简单删除,但是硬盘上还有信息 由于攻击,连接到错误的站点,泄漏了用户名和密码由于攻击,连接到错误的站点,泄漏了用户名和密码 由于网络感染了病毒,主干网瘫痪,无法访问服务器由于网络感染了病毒,主干网瘫痪,无法访问服务器 服务器被攻击,无法提供服务服务器被攻击,无法提供服务6/7/202250北京网新易尚科技有限公司 | 本质就是网络上的信息安全。本质就是网络上的信息安全。 网络安全防护的目的。网络安全防护的目的。6/7/202251北京网新易尚科技有限公司 | (1)保密性:信息不泄露给非授权的用户、实体或过程
24、,或供其利用的特)保密性:信息不泄露给非授权的用户、实体或过程,或供其利用的特性。性。(2)完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过)完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。程中保持不被修改、不被破坏和丢失的特性。(3)可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存)可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。等都属于对可用性的攻击。(4)
25、可控性:对信息的传播及内容具有控制能力。)可控性:对信息的传播及内容具有控制能力。(5)可审查性:出现的安全问题时提供依据与手段)可审查性:出现的安全问题时提供依据与手段6/7/202252北京网新易尚科技有限公司 | ISO/OSI 模型网络层数据链路层物理层传输层应用层表示层会话层网络层数据链路层物理层传输层应用层表示层会话层对等协议物理介质系统 A系统 B第N+1层第N层PDUSDUHPDU第N-1层SDUN+1层协议实体N+1层协议实体N 层协议实体SAPSAP6/7/202253北京网新易尚科技有限公司 | 网际互连是通过网际互连是通过 网关()实现的网关()实现的 网关提供网络与网
26、络之间物理和逻辑上的连通功能网关提供网络与网络之间物理和逻辑上的连通功能 网关是一种特殊的计算机,同时属于多个网络网关是一种特殊的计算机,同时属于多个网络G1网络 1网络 3G1网络 26/7/202254北京网新易尚科技有限公司 | 协议和模型的对应关系协议和模型的对应关系应用层表示层会话层传输层网络层数据链路层物理层、 、 、 , 802.3,802.11等 参考模型协议簇物理层6/7/202255北京网新易尚科技有限公司 | 网络的缺陷网络的缺陷因特网在设计之初对共享性和开放性的强调,使得其在安全性方面因特网在设计之初对共享性和开放性的强调,使得其在安全性方面存在先天的不足。其赖以生存的
27、存在先天的不足。其赖以生存的 协议族在设计理念上更多的是考虑该网协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输,基本没有考虑安全问题,故缺乏络不会因局部故障而影响信息的传输,基本没有考虑安全问题,故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。 例如:多数底层协议为广播方式,多数应用层协议为明文传输,缺乏例如:多数底层协议为广播方式,多数应用层协议为明文传输,缺乏保密保密 与
28、认证机制,因此容易遭到欺骗和窃听与认证机制,因此容易遭到欺骗和窃听 软件及系统的软件及系统的“漏洞漏洞”及后门及后门 随着软件及网络系统规模的不断增大,系统中的安全漏洞或随着软件及网络系统规模的不断增大,系统中的安全漏洞或“后门后门”也也不可避免的存在,比如我们常用的操作系统,无论是不可避免的存在,比如我们常用的操作系统,无论是 还是还是 几乎都存在或几乎都存在或多或少的安全漏洞,众多的服务器、浏览器、桌面软件等等都被发现存多或少的安全漏洞,众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因为程序员的一个疏忽或在很多安全隐患。任何一个软件系统都可能会因为程序
29、员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一6/7/202256北京网新易尚科技有限公司 | 黑客的攻击黑客的攻击黑客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。黑客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。目前,世界上有目前,世界上有20 多万个免费的黑客网站,这些站点从系统漏洞入手,多万个免费的黑客网站,这些站点从系统漏洞入手,介绍网络攻击的方法和各种攻击软件的使用,这样,系统和站点遭受攻介绍网络攻击的方法和各种攻击软件的使用,这样,系统和站点遭受攻击的可能性就变大了。加上现
30、在还缺乏针对网络犯罪卓有成效的反击和击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,这些都使得黑客攻击具有隐蔽性好,跟踪手段,这些都使得黑客攻击具有隐蔽性好,“杀伤力杀伤力”强的特点,强的特点,构成了网络安全的主要威胁。构成了网络安全的主要威胁。 网络普及,安全建设滞后网络普及,安全建设滞后网络硬件建设如火如荼,网络管理尤其是安全管理滞后,用户安全网络硬件建设如火如荼,网络管理尤其是安全管理滞后,用户安全意识不强,即使应用了最好的安全设备也经常达不到预期效果意识不强,即使应用了最好的安全设备也经常达不到预期效果6/7/202257北京网新易尚科技有限公司 | 网络安全是
31、一个系统的概念,可靠的网络安全解决方案必须建立在集成网络安全技术的基础上,网络系统安全策略就是基于这种技术集成而提出的,主要有三种: 1 直接风险控制策略(静态防御) 安全=风险分析+安全规则+直接的技术防御体系+安全监控 攻击手段是不断进步的,安全漏洞也是动态出现的,因此静态防御下的该模型存在着本质的缺陷。 2 自适应网络安全策略(动态性) 安全=风险分析+执行策略+系统实施+漏洞分析+实时响应 该策略强调系统安全管理的动态性,主张通过安全性检测、漏洞监测,自适应地填充“安全间隙”,从而提高网络系统的安全性。完善的网络安全体系,必须合理协调法律、技术和管理三种因素,集成防护、监控和恢复三种技
32、术,力求增强网络系统的健壮性与免疫力。局限性在于:只考虑增强系统的健壮性,仅综合了技术和管理因素,仅采用了技术防护。 6/7/202258北京网新易尚科技有限公司 | 6/7/202259北京网新易尚科技有限公司 | 安全技术选择 根据协议层次物理层:物理隔离物理层:物理隔离 链路层链路层: 链路加密技术、链路加密技术、2 网络层网络层: 协议()、防火墙协议()、防火墙 层层: 协议、基于公钥的认证和对称钥加密技术协议、基于公钥的认证和对称钥加密技术 应用层应用层: 、 ( )、开发专用协议()、开发专用协议()6/7/202260北京网新易尚科技有限公司 | 物理隔离设备物理隔离设备 交换
33、机交换机/路由器安全模块路由器安全模块 防火墙防火墙() 漏洞扫描器漏洞扫描器 入侵检测系统、入侵防御系统、安全审计系统、日志审计系统入侵检测系统、入侵防御系统、安全审计系统、日志审计系统 绿盟远程安全评估系统绿盟远程安全评估系统 虚拟专用网()、上网行为管理系统虚拟专用网()、上网行为管理系统 病毒防护(防病毒软件、防毒墙、防木马软件等)病毒防护(防病毒软件、防毒墙、防木马软件等) 网络加速,负载均衡、流量控制网络加速,负载均衡、流量控制 6/7/202261北京网新易尚科技有限公司 | 主要分两种:主要分两种:双网隔离计算机双网隔离计算机物理隔离网闸物理隔离网闸6/7/202262北京网新
34、易尚科技有限公司 | 解决每人解决每人2台计算机的问题台计算机的问题 1台计算机,可以分时使用内网或外网台计算机,可以分时使用内网或外网 关键部件关键部件 硬盘硬盘 网线网线 软盘等软盘等 共享部件共享部件 显示器显示器 键盘键盘/鼠标鼠标 主板主板/电源电源 硬盘硬盘* 原理原理 切换关键部件切换关键部件6/7/202263北京网新易尚科技有限公司 | 外网硬盘内网硬盘外网网线内网网线公共部件控制卡控制开关6/7/202264北京网新易尚科技有限公司 | 内网硬盘外网网线内网网线公共部件控制卡远端设备使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分充分使用中的8芯,减少一根网线6/7/202
35、265北京网新易尚科技有限公司 | 采用数据采用数据“摆渡摆渡”的方式实现两个网络之间的信息交换的方式实现两个网络之间的信息交换 在任意时刻,物理隔离设备只能与一个网络的主机系统建立非协议的数在任意时刻,物理隔离设备只能与一个网络的主机系统建立非协议的数据连接,即当它与外部网络相连接时,它与内部网络的主机是断开的,据连接,即当它与外部网络相连接时,它与内部网络的主机是断开的,反之亦然。反之亦然。 任何形式的数据包、信息传输命令和协议都不可能穿透物理隔离设备。任何形式的数据包、信息传输命令和协议都不可能穿透物理隔离设备。物理隔离设备在网络的第物理隔离设备在网络的第7层讲数据还原为原始数据文件,然
36、后以层讲数据还原为原始数据文件,然后以“摆渡摆渡文件文件”形式传递原始数据。形式传递原始数据。6/7/202266北京网新易尚科技有限公司 | 6/7/202267北京网新易尚科技有限公司 | 内外网模块连接相应网络实现数据的接收及预处理等操作;内外网模块连接相应网络实现数据的接收及预处理等操作; 交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交换,保证任意时刻内外网间没有链路层连接;换,保证任意时刻内外网间没有链路层连接; 数据只能以专用数据块方式静态地在内外网间通过网闸进行数据只能以专用数据块方式静态地在内外网间通过网闸进
37、行“摆摆渡渡”,传送到网闸另一侧;,传送到网闸另一侧; 集成多种安全技术手段,采用强制安全策略,对数据内容进行安全集成多种安全技术手段,采用强制安全策略,对数据内容进行安全检测,保障数据安全、可靠的交换。检测,保障数据安全、可靠的交换。6/7/202268北京网新易尚科技有限公司 | 涉密网和非涉密网之间涉密网和非涉密网之间6/7/202269北京网新易尚科技有限公司 | 优点:优点: 中断直接连接中断直接连接 强大的检查机制强大的检查机制 最高的安全性最高的安全性 缺点:缺点: 对协议不透明,对每一种协议都要一种具体的实现对协议不透明,对每一种协议都要一种具体的实现 效率低效率低6/7/20
38、2270北京网新易尚科技有限公司 | 绑定绑定 设置设置 多划分多划分 日志日志 其他其他6/7/202271北京网新易尚科技有限公司 | 访问控制链表访问控制链表 基于源地址基于源地址/目标地址目标地址/协议端口号协议端口号 路径的完整性路径的完整性 防止假冒和拒绝服务()防止假冒和拒绝服务() 检查源地址:检查源地址: 过滤过滤1918 地址空间的所有包;地址空间的所有包; 关闭源路由:关闭源路由: 路由协议的过滤与认证路由协议的过滤与认证 管理管理 日志日志 其他抗攻击功能其他抗攻击功能6/7/202272北京网新易尚科技有限公司 | v 通过一个私有的通道来创建一个安全的私有连接,将远
39、程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来,形成一个扩展的公司企业网v 提供高性能、低价位的因特网接入v 是企业网在公共网络上的延伸6/7/202273北京网新易尚科技有限公司 | Internet内部网恶意修改通道终点到:假冒网关外部段(公共因特网)接入设备原始终点为:安全网关1.数据在到达终点之前要经过许多路由器,明文传输的报文很容易在路由器上被查看和修改2.监听者可以在其中任一段链路上监听数据3.逐段加密不能防范在路由器上查看报文,因为路由器需要解密报文选择路由信息,然后再重新加密发送4.恶意的可以修改通道的终点到一台假冒的网关远程访问搭线监听攻击者ISP窃听正确通道6/7/
40、202274北京网新易尚科技有限公司 | 功能v 数据机密性保护v 数据完整性保护v 数据源身份认证v 重放攻击保护6/7/202275北京网新易尚科技有限公司 | 远程访问内部网合作伙伴分支机构虚拟私有网虚拟私有网虚拟私有网是企业网在因特网上的延伸6/7/202276北京网新易尚科技有限公司 | 现有的 解决方案v 基于 的解决方案v 基于第二层的解决方案v 非 的网络层解决方案v 非 的应用层解决方案6/7/202277北京网新易尚科技有限公司 | 现有的 解决方案小结 1.网络层对所有的上层数据提供透明方式的保护,但无法为应用提供足够细的控制粒度2.数据到了目的主机,基于网络层的安全技术
41、就无法继续提供保护,因此在目的主机的高层协议栈中很容易受到攻击3.应用层的安全技术可以保护堆栈高层的数据,但在传递过程中,无法抵抗常用的网络层攻击手段,如源地址、目的地址欺骗4.应用层安全几乎更加智能,但更复杂且效率低5. 因此可以在具体应用中采用多种安全技术,取长补短6/7/202278北京网新易尚科技有限公司 | 监控并限制访问监控并限制访问针对黑客攻击的不安全因素,防火墙采取控制进出内外网的数针对黑客攻击的不安全因素,防火墙采取控制进出内外网的数据包的方法,实时监控网络上数据包的状态,并对这些状态加以据包的方法,实时监控网络上数据包的状态,并对这些状态加以分析和处理,及时发现存在的异常行
42、为;同时,根据不同情况采分析和处理,及时发现存在的异常行为;同时,根据不同情况采取相应的防范措施,从而提高系统的抗攻击能力。取相应的防范措施,从而提高系统的抗攻击能力。控制协议和服务控制协议和服务针对网络先天缺陷的不安全因素,防火墙采取控制协议和服务针对网络先天缺陷的不安全因素,防火墙采取控制协议和服务的方法,使得只有授权的协议和服务才可以通过防火墙,从而大的方法,使得只有授权的协议和服务才可以通过防火墙,从而大大降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能大降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。性。6/7/202279北京网新易尚科技有限公司 | 保护网络内部保
43、护网络内部针对软件及系统的漏洞或针对软件及系统的漏洞或“后门后门”,防火墙采用了与受保护网络的,防火墙采用了与受保护网络的操作系统、应用软件无关的体系结构,其自身建立在安全操作系统之操作系统、应用软件无关的体系结构,其自身建立在安全操作系统之上;同时,针对受保护的内部网络,防火墙能够及时发现系统中存在上;同时,针对受保护的内部网络,防火墙能够及时发现系统中存在的漏洞,进行访问上的限制;防火墙还可以屏蔽受保护网络的相关信的漏洞,进行访问上的限制;防火墙还可以屏蔽受保护网络的相关信息,使黑客无从下手。息,使黑客无从下手。日志记录与审计日志记录与审计当防火墙系统被配置为所有内部网络与外部当防火墙系统
44、被配置为所有内部网络与外部 连接均需经过的安全连接均需经过的安全节点时,防火墙系统就能够对所有的网络请求做出日志记录。日志是节点时,防火墙系统就能够对所有的网络请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外对一些可能的攻击行为进行分析和防范的十分重要的情报。另外, ,防火防火墙系统也能够对正常的网络使用情况做出统计。这样网络管理员通过墙系统也能够对正常的网络使用情况做出统计。这样网络管理员通过对统计结果进行分析,掌握网络的运行状态,继而更加有效的管理整对统计结果进行分析,掌握网络的运行状态,继而更加有效的管理整个网络。个网络。6/7/202280北京网新易尚科
45、技有限公司 | 可屏蔽内部服务,避免相关安全缺陷被利用可屏蔽内部服务,避免相关安全缺陷被利用 27层访问控制(集中在层访问控制(集中在3-4层)层) 解决地址不足问题解决地址不足问题 抗网络层、传输层一般攻击抗网络层、传输层一般攻击 不足不足 防外不防内防外不防内 对网络性能有影响对网络性能有影响 对应用层检测能力有限对应用层检测能力有限6/7/202281北京网新易尚科技有限公司 | 基本原理:利用方式获取网络数据,根据已知特征判断是否存在网络攻击基本原理:利用方式获取网络数据,根据已知特征判断是否存在网络攻击优点:能及时获知网络安全状况,借助分析发现安全隐患或攻击信息,便于及时采优点:能及
46、时获知网络安全状况,借助分析发现安全隐患或攻击信息,便于及时采取措施。取措施。不足:不足:准确性:误报率和漏报率准确性:误报率和漏报率有效性:难以及时阻断危险行为有效性:难以及时阻断危险行为6/7/202282北京网新易尚科技有限公司 | 基本功能:串接于网络中,根据网络病毒的特征在网络数据中比对,从而发现并基本功能:串接于网络中,根据网络病毒的特征在网络数据中比对,从而发现并阻断病毒传播阻断病毒传播 优点:能有效阻断已知网络病毒的传播优点:能有效阻断已知网络病毒的传播 不足:不足: 只能检查已经局部发作的病毒只能检查已经局部发作的病毒 对网络有一定影响对网络有一定影响6/7/202283北京
47、网新易尚科技有限公司 | 通过模拟网络攻击检查目标主机是否存在已知安全漏洞通过模拟网络攻击检查目标主机是否存在已知安全漏洞 优点:有利于及早发现问题,并从根本上解决安全隐患优点:有利于及早发现问题,并从根本上解决安全隐患 不足:不足: 只能针对已知安全问题进行扫描只能针对已知安全问题进行扫描 准确性准确性 指导性指导性6/7/202284北京网新易尚科技有限公司 | 广义的访问控制功能包括鉴别、授权和记账等广义的访问控制功能包括鉴别、授权和记账等鉴别():辨别用户是谁的过程。鉴别():辨别用户是谁的过程。 授权()对完成认证过程的用户授予相应权限,解决用户能做什么的问题。在一些授权()对完成认
48、证过程的用户授予相应权限,解决用户能做什么的问题。在一些访问控制的实现中,认证和授权是统一在一起的访问控制的实现中,认证和授权是统一在一起的 记账();统计用户做过什么的过程,通常使用消耗的系统时间、接收和发送的数记账();统计用户做过什么的过程,通常使用消耗的系统时间、接收和发送的数据量来量度。据量来量度。、等技术能实现这三种功能。、等技术能实现这三种功能。 6/7/202285北京网新易尚科技有限公司 | 协议协议 针对远程用户(针对远程用户( )协议,采用分布式的结构完成密码的集中管理和其他访问)协议,采用分布式的结构完成密码的集中管理和其他访问控制功能;网络用户()通过网络访问服务器(
49、)访问网络,同时作为结构的客控制功能;网络用户()通过网络访问服务器()访问网络,同时作为结构的客户端,认证、授权和计帐的户端,认证、授权和计帐的3A功能通过和安全服务器(功能通过和安全服务器( )或服务器之间的协议)或服务器之间的协议过程完成,而用户的控制功能在实现。过程完成,而用户的控制功能在实现。 6/7/202286北京网新易尚科技有限公司 | 协议协议 ( 终端访问控制系统)是历史上用于系统的认证协议,它使远程访问服务器终端访问控制系统)是历史上用于系统的认证协议,它使远程访问服务器将用户的登录信息发送到认证服务器以确定用户是否可以访问给定系统。对数据将用户的登录信息发送到认证服务器
50、以确定用户是否可以访问给定系统。对数据并不加密,因此它的安全性要差一些,针对这种情况,又设计了和协议。并不加密,因此它的安全性要差一些,针对这种情况,又设计了和协议。 6/7/202287北京网新易尚科技有限公司 | 协议协议 由公司提出,在此协议中,当用户试图登录时,将询问安全服务做什么,安全由公司提出,在此协议中,当用户试图登录时,将询问安全服务做什么,安全服务器通常知输入用户名和密码,然后,发送接受或拒绝响应信息给。用户登录服务器通常知输入用户名和密码,然后,发送接受或拒绝响应信息给。用户登录进入之后,对于每一条用户输入的命令,都将提请安全服务器进行授权。进入之后,对于每一条用户输入的命
