1、网网 络络 安安 全全 教教 程程2网络安全体系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录3网络安全必要性网络安全体系结构网络安全体系结构l伴随互联网发展重要信息变得非常容易被获取个人数据重要企业资源政府机密l网络攻击变的越来越便利黑客(crack)技术在全球范围内共享易用型操作系统和开发环境普及4重点安全管理安安全全体体系系物理安全网络安全信息安全环境安全媒体安全设备安全反病毒审计监控安全检测访问控制备份恢复传输安全储存安全用户鉴权内容审计网络安全体系结构网络安全体系结构5访
2、问控制传输安全用户鉴权安全检测出入控制存取控制安全扫描入侵检测口令机制智能卡主体特征传输数据加密数据完整鉴别防抵赖数字证书控制表技术攻击技术口令技术加密技术安全协议网络安全体系结构网络安全体系结构6可运营IP网络的安全需求网络安全体系结构网络安全体系结构l网络安全管理网络安全管理网络结构安全,路由的稳定性,各节点设备的安全,设备操作的安全以及网络安全政策实施。l信息安全管理信息安全管理信息传输的安全,计费/认证信息的安全,信息服务器的安全。l接入安全控制接入安全控制身份认证,用户隔离,访问控制。l业务安全开展业务安全开展增对不同的业务采取具体的措施,譬如高速上网业务需要保证用户之间的隔离,专线
3、业务需要保证QoS,虚拟专线业务需要保证QoS和信息安全。7安全安全策略策略防护防护检测检测响应响应入侵检测黑名单身份认证数据加密访问控制用户隔离告警策略更改ASPF日志P2DR(Policy、Protection、Detection、Response)模型是网络安全管理基本思想,贯穿IP网络的各个层次网络安全体系结构网络安全体系结构VRP网络安全模型P2DR8IP网络的安全模型网络安全体系结构网络安全体系结构l实时的动态检测:实时的动态检测:包括设备日志、动态防火墙以及专用入侵检测等技术。l有效的攻击响应:有效的攻击响应:包括告警等自动响应以及策略更改、黑名单等手动响应操作。l基本的预防防护
4、:基本的预防防护:包括用户隔离、身份认证、访问控制、数据加密、动态防火墙等技术。l核心的策略管理:核心的策略管理:包括网管和策略管理技术。9企业接入安全企业接入安全专网安全专网安全安全安全VPNVPN业务业务丰富的电子商务应用丰富的电子商务应用安安全全业业务务管理层面管理层面应用层面应用层面安全管理安全管理安安全全技技术术VRP平台安全结构基础层面基础层面防火墙防火墙内容过滤内容过滤用户认证用户认证CACA认证认证访问控制访问控制地址转换地址转换/隐藏隐藏数据加密数据加密入侵检测入侵检测安全日志安全日志 网络安全体系结构网络安全体系结构10接入层汇聚层骨干层基本增强高级Vlan技术分级分权管理
5、Vlan技术流控防火墙技术web认证分级分权管理VPN/MPLSIPSECEAPoE认证CA安全策略管理路由保护分级分权管理CA安全策略管理安全策略管理Web/PPPoE认证防火墙技术(增强)ASPF技术安全日志专用防火墙IDC二层防火墙安全日志简单防火墙安全日志网络安全关键技术的应用网络安全体系结构网络安全体系结构11用户隔离和识别网络安全体系结构网络安全体系结构l关键技术:关键技术:接入/汇聚层设备支持VLAN的划分;VLAN数量应不受4096的限制;支持VLAN ID与IP地址或MAC地址的捆绑;采用2.5层的vlan聚合技术(如代理ARP等),解决vlan浪费IP地址的问题。l能够解决
6、的安全问题:能够解决的安全问题:防止用户之间利用二层窃取信息,利用vlan技术直接将用户从二层完全隔离;Vlan ID与IP地址和MAC地址的捆绑,防止用户进行IP地址欺骗,在安全问题发生时便于快速定位。12流控技术网络安全体系结构网络安全体系结构l关键技术:关键技术:接入报文合法性验证、流分类、流量监管和控制(CAR)、路由转发、队列调度。l能够解决的安全问题:能够解决的安全问题:可以防止外部通过流量攻击接入用户,同时也可以对接入用户进行流量限制。13认证技术网络安全体系结构网络安全体系结构l关键技术:关键技术:PPPoE、WEB Portal认证和EAPoE。l能够解决的安全问题:能够解决
7、的安全问题:解决对用户的认证、授权和计费。对于固定用户,可以通过Vlan ID进行认证和授权,但经常需要移动的用户,不能通过vlan ID进行认证和授权,必须有相应的帐号。同时,单纯利用vlan技术不能解决用户按时长计费的要求,只能适用于包月制。14防火墙/ASPF技术网络安全体系结构网络安全体系结构l关键技术:关键技术:包过滤防火墙技术;状态防火墙技术(ASPF);专用防火墙技术。l能够解决的安全问题:能够解决的安全问题:防火墙技术运用在汇聚层设备,主要保护接入用户,包括阻止用户的非授权业务,阻止外部对接入用户的非法访问等;ASPF技术可以保护接入用户和网络设备本身免受恶意攻击,但是ASPF
8、技术的采用会带来设备性能的下降;另外在城域数据中心一般采用专用防火墙。15安全日志网络安全体系结构网络安全体系结构l关键技术:关键技术:网管技术;设备安全日志。l能够解决的安全问题:能够解决的安全问题:对网络攻击提供分析检测手段。16策略管理网络安全体系结构网络安全体系结构l关键技术:关键技术:LDAP协议;RADIUS+协议;策略服务器技术。l能够解决的安全问题:能够解决的安全问题:通过对策略的管理和分配,能够实现全网范围内的网络安全。17VPN技术网络安全体系结构网络安全体系结构l关键技术:关键技术:目前有多种形式的VPN,对于运营商主要是VPDN和VPRN。VPDN技术比较明朗,主要是L
9、2TP,VPRN技术包括GRE和MPLS,目前MPLS被普遍看好。MPLS技术又包括扩展BGP和VR两种方式。l能够解决的安全问题:能够解决的安全问题:VPN主要运用在一些安全性较高的组网业务中,例如企业之间可以通过VPN互联;城域网络本身计费、网管等可以通过VPN组成虚拟专网,保证安全性;另外VoIP应用,GPRS应用也都可以通过VPN,保证QoS和安全性。18IPSec技术网络安全体系结构网络安全体系结构l关键技术关键技术:IPSec技术是目前最重要的加密技术。IPSec在两个端点之间通过建立安全联盟(SA)进行数据传输。SA定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。I
10、PSec有隧道和传输两种工作方式。l能够解决的安全问题:能够解决的安全问题:与VPN技术结合保证用户数据传输的私有性、完整性、真实性和防重放性19网络安全体系结构网络安全体系结构l关键技术:关键技术:CA技术是安全认证技术的一种,它基于公开密钥体系,通过安全证书来实现。安全证书由CA中心分发并维护。网络设备对CA中心的支持包含两方面的内容,其一是针对CA中心的管理功能完成与CA中心的交互;其二即是网络设备作为通信实体的认证功能。l能够解决的安全问题:能够解决的安全问题:网络设备通过对CA的支持可以实现相互之间的认证,保证路由信息和用户数据信息的安全。CA技术20网络安全体系结构网络安全体系结构
11、网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录21网络攻击分类网络安全攻击网络安全攻击l报文窃听(Packet Sniffers)lIP欺骗(IP Spoofing)l服务拒绝(Denial of Service)l密码攻击(Password Attacks)l中间人攻击(Man-in-the-Middle Attacks)l应用层攻击(Application Layer Attacks)l网络侦察(Network Reconnaissance)l信任关系利用(Trust Exploitation)l
12、端口重定向(Port Redirection)l未授权访问(Unauthorized Access)l病毒与特洛伊木马应用(Virus and Trojan Horse Applications)22报文窃听(Packet Sniffers)网络安全攻击网络安全攻击l报文窃听是一种软件应用,该应用利用一种处于无区别模式的网络适配卡捕获通过某个冲突域的所有网络分组。l可以轻易通过解码工具(sniffers/netxray等)获得敏感信息(用户密码等)。23报文窃听(Packet Sniffers)网络安全攻击网络安全攻击24报文窃听(Packet Sniffers)网络安全攻击网络安全攻击l减轻
13、危害的方法:减轻危害的方法:验证(Authentication):采用一次性密码技术(one-time-passwords OTPs)交换型基础设施:用交换机来替代HUB,可以减少危害。防窃听工具:使用专门检测网络上窃听使用情况的软件与硬件。加密:采用IP Security(IPSec)、Secure Shell(SSH)、Secure Sockets Layer(SSL)等技术。25IP欺骗(IP Spoofing)网络安全攻击网络安全攻击lIP欺骗是指网络内部或外部的黑客模仿一台可靠计算机会话(IP协议头中源IP地址欺骗)lIP欺骗通常会引发其他的攻击DoS。l实现与攻击目标双向通讯办法更
14、改网络上的路由表。26IP欺骗(IP Spoofing)网络安全攻击网络安全攻击l减轻危害的方法:减轻危害的方法:访问控制:拒绝任何来自外部网络而其源地址为内部网络的流量。如果某些外部地址也可靠,此方法无效。RFC 2827过滤:防止一个网络的用户欺骗其他网络。27服务拒绝(Denial of Service)网络安全攻击网络安全攻击lDoS(Deny Of Service)就是攻击者通过使你的网络设备崩溃或把它压跨(网络资源耗尽)来阻止合法用户获得网络服务,DOS是最容易实施的攻击行为。lDoS主要包括ping of death、teardrop、UDP flood、TCP SYN Floo
15、d、land攻击、smurf攻击等。28服务拒绝(Denial of Service)网络安全攻击网络安全攻击lDDoS(Distributed Denial Of Service)黑客侵入并控制了很多台电脑,并使它们一起向主机发动DoS攻击,主机很快陷于瘫痪,这就是分布式拒绝服务攻击DDoS(Distributed Denial Of Service)。29死亡之ping(ping of death)DoS 网络安全攻击网络安全攻击l一般网络设备对包的最大处理尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的
16、信息来为有效载荷(PayLoad)生成缓冲区。l当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方宕机。30网络安全攻击网络安全攻击死亡之ping(ping of death)DoS 31死亡之ping(ping of death)DoS 网络安全攻击网络安全攻击l减轻危害的方法:减轻危害的方法:现在所有的标准TCP/IP都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击。对操作系统进行升级和打补丁32泪滴(teardrop)DoS网络安全攻击网络安全攻击l利用那些在TCP/IP堆栈实现中信任
17、IP分片中的IP协议首部所包含的信息来实现攻击。lIP分片含有指示该分片所包含的是原数据报文的哪一段信息,某些设备在收到重叠IP分段报文时会崩溃或严重异常。33泪滴(teardrop)DoS网络安全攻击网络安全攻击34泪滴(teardrop)DoS网络安全攻击网络安全攻击l减轻危害的方法减轻危害的方法服务器应用最新的服务包,或者在设置防火墙时对分片进行重组,而不是转发它们。35网络安全攻击网络安全攻击l各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的数据。l通过伪造与主机的Chargen服务的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样
18、就生成在两台设备之间的足够多的无用数据流,从而导致带宽不足的严重问题。UDP洪水(UDP flood)DoS36UDP洪水(UDP flood)DoS网络安全攻击网络安全攻击l减轻危害的方法减轻危害的方法关掉不必要的TCP/IP服务对防火墙进行配置阻断来自Internet的对这些服务的请求在路由器或防火墙上进行源地址过滤 37网络安全攻击网络安全攻击TCP SYN flood DoS 38网络安全攻击网络安全攻击l在TCP协议中,SYN置位的报文表示请求建立一个连接。当服务器端收到SYN置位的报文时,将预留资源并向客户端回应一个报文,表示连接请求被允许。按照正常的流程,客户端应当返回一个报文表
19、示连接已经建立。SYN flooding攻击一方面伪造源地址,另一方面即使不伪造源地址,也不给予响应。而一个TCP连接在发送报文到目的地址失败的情况下,会试图再进行多次重传,这样越发加重了网络的负担。lSYN flooding攻击采用伪造源地址并创建许多的SYN报文的方式,在很短的时间内将特定目标的内存或其他资源消耗殆尽。这种攻击使得特定网络上的HTTP或FTP服务器保持大量的会话连接,从而让合法的用户不能访问该资源。TCP SYN flood DoS 39TCP SYN flood DoS 网络安全攻击网络安全攻击l防御:防御:在防火墙上过滤来自同一主机的后续连接。40Land攻击DoS 网
20、络安全攻击网络安全攻击l一个伪造的SYN包它的源地址和目标地址都被设置成某一个网络设备的地址,此举将导致接受的网络设备向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,这样就会产生大量的空TCP连接。l防御:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。41Smurf攻击DoS网络安全攻击网络安全攻击l将回复地址设置成被攻击方的广播地址的ICMP应答请求(ping)数据包,最终导致该网络的所有主机都对此ICMP应答请求作出答复,造成网络阻塞,比ping of death洪水的流量高出一或两个
21、数量级。l防御:为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。42减弱DoS攻击的方法网络安全攻击网络安全攻击l防IP地址欺骗特性RFC 2827过滤l防DoS特性在路由器上或防火墙上进行相关配置l流量比率限制对某些流量类型进行限制43密码攻击(Password Attacks)网络安全攻击网络安全攻击l防御防御使用OTP或密码验证方法加强密码维护l强力攻击l特洛伊木马计划lIP欺骗与报文窃听44中间人攻击(Man-in-the-Middle Attacks)网络安全攻击网络安全攻击l通过使用网络报文窃听以及路由和传
22、输协议进行这种攻击。主要目的是窃取信息、截获正在传输中的会话以便访问专用网络资源、进行流量分析以获取关于一个网络及其用途的信息、拒绝服务、破坏传输数据以及在网络会话中插入新的信息。l防护措施:防护措施:对数据进行加密。45应用层攻击(Application Layer Attacks)网络安全攻击网络安全攻击l利用服务器上软件常见弱点进行攻击如:SMTP、HTTP、FTP、DNS、SNMP等l防护措施:防护措施:读取OS与网络日志文件对其进行分析使用应用层防火墙使用入侵检测系统(IDS)46网络侦察(Network Reconnaissance)网络安全攻击网络安全攻击l网络侦察是指运用公用的
23、信息和应用获得关于某个目标网络的信息。如DNS查询、Ping等。l减少风险的措施:减少风险的措施:使用入侵检测系统(IDS)47信任关系利用(Trust Exploitation)网络安全攻击网络安全攻击l它指的是个人利用网络内部的某种信任关系进行攻击的行为。典型的例子是公司的周边网路连接。这些网络区域通常拥有DNS,SMTP,HTTP服务器。由于他们均位于同一区域,因此对一个系统的破坏就会造成其它系统的受损,因为它们与其网络相连接的系统会比较信任。48信任关系利用(Trust Exploitation)网络安全攻击网络安全攻击l防护措施:防护措施:可以通过严格限制网络内部的信任水平来防止信任
24、关系利用攻击。防火墙内侧的系统永远不能完全信任防火墙外部的系统。这种信任应限定到某些具体的协议,而且应该通过除IP地址之外的某种机制进行验证。49网络安全攻击网络安全攻击l端口重定向(Port Redirection)l未授权访问(Unauthorized Access)l病毒与特洛伊木马应用(Virus and Trojan Horse Applications)50网络安全体系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录51防火墙技术防火墙技术l专用防火墙专用防火墙Cisco
25、 PIXNetScreenl集成在路由器平台防火墙集成在路由器平台防火墙Huawei VRPCisco IOS52防火墙技术防火墙技术l包过滤防火墙包过滤防火墙Access Listl状态防火墙状态防火墙ASPF(Application Specific Packet Filter)CBAC(Context-based Access Control)53网络安全体系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录54入侵检测系统入侵检测系统l网络网络IDS:网络IDS(NIDS),这
26、种设备能够捕获LAN区域中的信息流并试着将实时信息流与已知的攻击签名进行对照。l主机主机IDS:主机入侵检测系统(HIDS)是一种用于监控单个主机上的活动的软件应用。监控方法包括验证操作系统与应用呼叫及检查日志文件、文件系统信息与网络连接。55网络安全体系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录56网络安全策略网络安全策略l安全策略是一种正式的规定,那些被允许访问某机构的技术与信息资源的人必须遵守这些规定。l真正的网络安全是产品与服务的结合,包括全面的安全策略。57网络安全体
27、系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录58Foundry BigIron 8000 Cisco 12016InternetGEDHCP ServerRadium 8750MA 5100MA 5100FEGEAgilent AdvisorFoundry BigIron 8000 Cisco 12016InternetInternetGEDHCP ServerRadium 8750MA 5100MA 5100FEGEAgilent Advisor网络安全案例网络安全案例59网
28、络安全案例网络安全案例60Cisco 12016InternetGERadium 8750MA 5100MA 5100Agilent AdvisorRadium 8750GECisco 12016InternetInternetGERadium 8750MA 5100MA 5100Agilent AdvisorRadium 8750GE网络安全案例网络安全案例61网络安全案例网络安全案例62网络安全体系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录63RFCsRFC 2196“Si
29、te Security Handbook”http:/www.ietf.org/rfc/rfc2196.txtRFC 1918“Address Allocation for Private Internets”http:/www.ietf.org/rfc/rfc1918.txtRFC 2827“Network Ingress Filtering:Defeating Denial of Service Attacks which employ IP Source Address Spoofing”http:/www.ietf.org/rfc/rfc2827.txt参考资料参考资料64Miscellaneous References“Denial of Service Attacks”http:/www.cert.org/tech_tips/denial_of_service.html“Computer Emergency Response Team”http:/www.cert.org“Improving Security on Cisco Routers”http:/ Security Test Report”http:/www.sans.org/newlook/resources/IDFAQ/vlan.htm参考资料参考资料65谢谢 谢谢 大大 家家