网络安全知识培训(-93张)课件.ppt

上传人(卖家):晟晟文业 文档编号:4947338 上传时间:2023-01-27 格式:PPT 页数:93 大小:2.04MB
下载 相关 举报
网络安全知识培训(-93张)课件.ppt_第1页
第1页 / 共93页
网络安全知识培训(-93张)课件.ppt_第2页
第2页 / 共93页
网络安全知识培训(-93张)课件.ppt_第3页
第3页 / 共93页
网络安全知识培训(-93张)课件.ppt_第4页
第4页 / 共93页
网络安全知识培训(-93张)课件.ppt_第5页
第5页 / 共93页
点击查看更多>>
资源描述

1、内容1.网络安全基础知识2.网络漏洞和网络攻击技术3.网络安全防御技术产品4.网络安全策略-网络安全服务一、网络安全基础知识1.网络安全的兴起2.网络安全的目的3.网络攻击后果4.网络安全风险网络安全的兴起 Internet 技术迅猛发展和普及技术迅猛发展和普及 有组织、有目的地网络攻击有组织、有目的地网络攻击Hacker出出现现 企业内部安全隐患企业内部安全隐患 有限的安全资源和管理专家有限的安全资源和管理专家 复杂程度复杂程度Internet 技术的迅猛发展和普及技术的迅猛发展和普及-网络应用网络应用Internet EmailWeb 浏览Intranet 电子商务电子商务 电子政务电子政

2、务电子交易电子交易时间时间黑客(黑客(Hacker)的分类)的分类 偶然的破坏者偶然的破坏者 坚定的破坏者坚定的破坏者 间谍间谍案例案例:电影电影黑客帝国黑客帝国黑客方:尼奥黑客方:尼奥(病毒、木马)(病毒、木马)反黑客方:史密斯(防火墙、杀毒软件)反黑客方:史密斯(防火墙、杀毒软件)全球超过全球超过26万个黑客站点提供系统漏洞和攻击知识万个黑客站点提供系统漏洞和攻击知识 越来越多的容易使用的攻击软件的出现越来越多的容易使用的攻击软件的出现 国内法律制裁打击力度不够国内法律制裁打击力度不够网络的普及使学习黑客技术变得异常简单网络的普及使学习黑客技术变得异常简单网络安全的目的网络安全的目的 保护

3、信息的安全保护信息的安全 保护信息交互、传输的安全保护信息交互、传输的安全 保护信息系统的正常运行保护信息系统的正常运行信息安全的目的信息安全的目的 财政损失 知识产权损失 时间消耗 由错误使用导致的生产力消耗 责任感下降 内部争执网络攻击后果网络攻击后果可见的网络攻击影响可见的网络攻击影响利润利润攻击发生攻击发生(财政影响财政影响)Q1 Q2 Q3 Q4 安全需求和实际操作脱离安全需求和实际操作脱离 内部的安全隐患内部的安全隐患 动态的网络环境动态的网络环境 有限的防御策略有限的防御策略 安全策略和实际执行之间的巨大差异安全策略和实际执行之间的巨大差异 用户对安全产品的依赖和理解误差用户对安

4、全产品的依赖和理解误差网络安全风险二、网络漏洞和网络攻击技术介绍1.网络中的漏洞2.网络攻击技术 网络通讯层漏洞 超过超过1000个个TCP/IP服务安全漏洞服务安全漏洞:Sendmail,FTP,NFS,File Sharing,Netbios,NIS,Telnet,Rlogin,等等.错误的路由配置错误的路由配置 TCP/IP中不健全的安全连接检查机制中不健全的安全连接检查机制 缺省路由帐户缺省路由帐户 反向服务攻击反向服务攻击 隐蔽隐蔽 Modem针对网络通讯层的攻击通讯通讯&服务层服务层 操作系统的安全隐患 1000个以上的商用操作系统安全漏洞个以上的商用操作系统安全漏洞 没有及时添加

5、安全补丁没有及时添加安全补丁 病毒程序的传播病毒程序的传播 文件文件/用户权限设置错误用户权限设置错误 默认安装的不安全设置默认安装的不安全设置 缺省用户的权限和密码口令缺省用户的权限和密码口令 用户设置过于简单密码使用用户设置过于简单密码使用 特洛依木马特洛依木马针对操作系统的攻击操作系统操作系统应用程序服务的安全漏洞 Web 服务器:错误的Web目录结构 CGI脚本缺陷 Web服务器应用程序缺陷 私人Web站点 未索引的Web页 数据库:危险的数据库读取删 除操作,缓冲区溢出 路由器:源端口/源路由 其他应用程序:Oracle,SAP,Peoplesoft 缺省帐户 有缺陷的浏览器针对应用

6、服务的攻击应用服务程序应用服务程序SAP R/3总结 通迅层漏洞(TCP/IP协议)操作系统漏洞 应用程序漏洞 非法授权访问 欺骗类攻击 拒绝服务攻击 利用病毒的攻击 木马程序攻击 入侵系统类攻击 后门攻击 缓冲区溢出攻击 暴力破解 字典程序三、网络安全防御技术产品1.防火墙2.防病毒3.VPN4.入侵检测5.网络扫描器(Scanner)6.加密7.数字证书防火墙综述防火墙综述防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网共网)或网络安全域之间的一系列部件的组合。它是

7、不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,许、拒绝、监测)出入网络的信息流,且本身具有较强的且本身具有较强的抗攻击能力。抗攻击能力。它是提供信息安全它是提供信息安全服务,实现网络和服务,实现网络和信息安全的基础设施。信息安全的基础设施。File ServerClientMail ServerClientClientClientFTP Server防火墙防火墙 防火墙可以是软件、硬件和软硬件结合的防火墙可以是软件、硬件和软硬件结合的 发展历经四代:简单包过滤、应用代理、状态检测

8、发展历经四代:简单包过滤、应用代理、状态检测(状态包过滤)防火墙、复合型防火墙(状态包过滤)防火墙、复合型防火墙防火墙综述防火墙综述防火墙发展概述防火墙功能防火墙功能 IP包检测包检测 Internet内容过滤内容过滤 网络地址转换网络地址转换(NAT)攻击检测攻击检测 日志审计日志审计/报警报警 应用层控制应用层控制 用户认证管理用户认证管理 控制网络内容行为(控制网络内容行为(NEW!)防病毒知识介绍防病毒知识介绍 什么是病毒什么是病毒 从广义上定义,凡能够引起计算机故障,自动破坏计算机数从广义上定义,凡能够引起计算机故障,自动破坏计算机数据的程序统称为计算机病毒。据的程序统称为计算机病毒

9、。计算机病毒,是指编制或者在计算机程序中插入的破坏计算计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。组计算机指令或者程序代码。病毒特征及目前流行病毒病毒特征及目前流行病毒 破坏性破坏性 自动复制自动复制 自动传播自动传播 红色代码红色代码 红色代码红色代码II 尼姆达尼姆达-Nimuda 求职信求职信网关防病毒产品特点及适用平台网关防病毒产品特点及适用平台 产品特点 企业企业Internet网关入口处针对网关入口处针对FTP,HTTP,SMTP高效能的高效能的

10、三合一防毒软件三合一防毒软件 全球全球查杀技术查杀技术,大大提升杀毒效能,大大提升杀毒效能 利用在网关入口处对病毒拦截的功能利用在网关入口处对病毒拦截的功能,降低了企业的防毒降低了企业的防毒成本成本,提高了扫毒效率,提高了扫毒效率 具有完整的实时监控功能具有完整的实时监控功能 适用平台 Windows NT、UNIX(Solaris、HP-UX)、Linux等等网关防病毒网关防病毒Disparate systemsIDSIDSHackerInternetVPN的基本技术的基本技术VPN(Virtual Private Network)它指的是以公用开放的网络它指的是以公用开放的网络(如如Int

11、ernet)作为基本传输媒体,通过加密和验证网络流量来保护在公共作为基本传输媒体,通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改,从而向最终用户提供类似网络上传输的私有信息不会被窃取和篡改,从而向最终用户提供类似于私有网络于私有网络(Private Network)性能的网络服务技术。性能的网络服务技术。远程访问Internet内部网分支机构虚拟私有网虚拟私有网虚拟私有网合作伙伴VPN 最大优势最大优势-投资回报投资回报大幅度减少电信服务费用,尤其针对地域上分散的公司和企业大幅度减少电信服务费用,尤其针对地域上分散的公司和企业针对远程拨号上网访问的用户,省去了每个月的电

12、信费用针对远程拨号上网访问的用户,省去了每个月的电信费用57%55%51%来源:Infonetics Researchv数据机密性保护数据机密性保护v 数据完整性保护数据完整性保护v 数据源身份认证数据源身份认证VPN作用实时入侵监控器是网络上实时的入侵检测、报警、响应和防范系统。将基于网络的和基于主机的入侵检测技术,分布式技术和可生存技术完美地结合起来,提供实时的安全监控。监控系统事件和传输的网络 数据,并对可疑的行为进行自动监测和安全响应,使用户的系统在受到危害之前即可截取并终止非法入侵的行为和内部网络的误用,从而最大程度地降低安全风险,保护企业网络的系统安全。口令口令?实时入侵检测系统实

13、时入侵检测系统网络安全评估系统对网络设备进行自动的安全漏洞检测和分析,网络安全评估系统对网络设备进行自动的安全漏洞检测和分析,并且在执行过程中支持基于策略的安全风险管理过程。另外,并且在执行过程中支持基于策略的安全风险管理过程。另外,执行预定的或事件驱动的网络探测,包括对网络通信服务、操执行预定的或事件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、作系统、路由器、电子邮件、WebWeb服务器、防火墙和应用程序服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。的检测,从而识别能被入侵者利用来非法进入网络的漏洞。ScannerScanner将给出检测到的

14、漏洞信息,包括位置、详细描述将给出检测到的漏洞信息,包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风险和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息,并跟随开放的网络应用和迅速增长的网络规模而相应地信息,并跟随开放的网络应用和迅速增长的网络规模而相应地改变。改变。网络安全扫描系统网络安全扫描系统加密加密用于将数据转换成保密代码在不可信的网络上传输用于将数据转换成保密代码在不可信的网络上传输加密算法加密算法“The cow jumped over the moon”“4hsd4e3mjvd3sda1d38esdf2w4d”对称密钥对称密钥加密和解密使用同一把密钥

15、加密和解密使用同一把密钥比非对称密钥速度快比非对称密钥速度快密钥管理工作量大密钥管理工作量大密钥传递容易泄密密钥传递容易泄密非对称密钥非对称密钥加密和解密采用不同密钥加密和解密采用不同密钥(一把公钥一把公钥,一把私钥一把私钥)密钥分配简单密钥分配简单密钥保存量小,便于管理密钥保存量小,便于管理数字证书和数字证书和 Public Key Infrastructure数字证书数字证书:包含了一个人的或一个实体的包含了一个人的或一个实体的Public Keys允许安全地分发允许安全地分发 public keysIs signed by a Certificate Authoritys private

16、 keyVerifies identity through trusted third party灵活的认证方式灵活的认证方式共享的密钥共享的密钥 最简单的方式最简单的方式 两个站点通过电话或两个站点通过电话或E-Mail方式共享密钥方式共享密钥Public Key Infrastructure 提供在较大规模下发布和提供在较大规模下发布和管理管理Public/Private 密钥的密钥的方法方法Internet Key Exchange(IKE)自动更有效地进行身份认自动更有效地进行身份认证、协商算法及交换密钥证、协商算法及交换密钥四、网络安全策略四、网络安全策略-网络安全服务网络安全服务

17、建立一个有效的安全策略建立一个有效的安全策略 为你的系统分类为你的系统分类 指定危险因数指定危险因数 确定每个系统的安全优先级确定每个系统的安全优先级 定义可接受和不可接受的活动定义可接受和不可接受的活动 决定在安全问题上如何教育所有员工决定在安全问题上如何教育所有员工 确定谁管理你的政策确定谁管理你的政策 安全基本元素安全基本元素审计管理加密访问控制用户验证安全策略管理分析&实施策略关闭安全维护关闭安全维护“后门后门”更改缺省的更改缺省的系统口令系统口令添加所有添加所有操作系统操作系统PatchModem数据文件加密数据文件加密安装认证安装认证&授权授权用户安全培训用户安全培训授权复查授权复

18、查入侵检测入侵检测实时监控实时监控风险风险RISKRISKRISKRISKRISKRISKRISKRISK风险风险基本的威胁基本的威胁采取措施后剩余的威胁采取措施后剩余的威胁漏洞漏洞安全服务冒名顶替冒名顶替废物搜寻废物搜寻身份识别错误身份识别错误不安全服务不安全服务配置配置初始化初始化乘虚而入乘虚而入代码炸弹代码炸弹病毒病毒更新或下载更新或下载特洛伊木马特洛伊木马间谍行为间谍行为拨号进入拨号进入算法考虑不周算法考虑不周随意口令随意口令口令破解口令破解口令圈套口令圈套窃听窃听偷窃偷窃网络安全威胁网络安全威胁线缆连接线缆连接身份鉴别身份鉴别编程编程系统漏洞系统漏洞物理威胁物理威胁虚拟专虚拟专用网用

19、网防火墙防火墙访问控制访问控制防病毒防病毒入侵检测入侵检测网络安全整体框架(形象图)红色代码红色代码 尼姆达尼姆达 冲击波冲击波 震荡波震荡波 ARP病毒病毒 病毒性木马病毒性木马 工行密码盗取工行密码盗取 木马木马 其它后门工具其它后门工具用户使用一台计算机用户使用一台计算机D访问位于网络中心服务器访问位于网络中心服务器S上的上的webmail邮件邮件服务,存在的安全威胁:服务,存在的安全威胁:U在输入用户名和口令时被录像在输入用户名和口令时被录像 机器机器D上有上有key logger程序,记录了用户名和口令程序,记录了用户名和口令 机器机器D上存放用户名和密码的内存对其他进程可读,其他进

20、程上存放用户名和密码的内存对其他进程可读,其他进程读取了信息,或这段内存没有被清读取了信息,或这段内存没有被清0就分配给了别的进程,其他就分配给了别的进程,其他进程读取了信息进程读取了信息 用户名和密码被自动保存了用户名和密码被自动保存了 用户名和密码在网络上传输时被监听(共享介质、或用户名和密码在网络上传输时被监听(共享介质、或arp伪造)伪造)机器机器D上被设置了代理,经过代理被监听上被设置了代理,经过代理被监听 查看邮件时被录像查看邮件时被录像 机器机器D附近的无线电接收装置接收到显示器发射的信号并且重附近的无线电接收装置接收到显示器发射的信号并且重现出来现出来 屏幕记录程序保存了屏幕信

21、息屏幕记录程序保存了屏幕信息 浏览邮件时的临时文件被其他用户打开浏览邮件时的临时文件被其他用户打开 浏览器浏览器cache了网页信息了网页信息 临时文件仅仅被简单删除,但是硬盘上还有信息临时文件仅仅被简单删除,但是硬盘上还有信息 由于由于DNS攻击,连接到错误的站点,泄漏了用户名和密码攻击,连接到错误的站点,泄漏了用户名和密码 由于网络感染了病毒,主干网瘫痪,无法访问服务器由于网络感染了病毒,主干网瘫痪,无法访问服务器 服务器被服务器被DOS攻击,无法提供服务攻击,无法提供服务 本质就是网络上的信息安全。本质就是网络上的信息安全。网络安全防护的目的。网络安全防护的目的。(1)保密性)保密性co

22、nfidentiality:信息不泄露给非授权的用户、实体或过程,或:信息不泄露给非授权的用户、实体或过程,或供其利用的特性。供其利用的特性。(2)完整性)完整性integrity:数据未经授权不能进行改变的特性,即信息在存储:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。或传输过程中保持不被修改、不被破坏和丢失的特性。(3)可用性)可用性availability:可被授权实体访问并按需求使用的特性,即当需:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统要时应能存取所需的信息。网络环境下拒绝

23、服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。的正常运行等都属于对可用性的攻击。(4)可控性)可控性controllability:对信息的传播及内容具有控制能力。:对信息的传播及内容具有控制能力。(5)可审查性:出现的安全问题时提供依据与手段)可审查性:出现的安全问题时提供依据与手段ISO/OSI 模型网络层数据链路层物理层传输层应用层表示层会话层网络层数据链路层物理层传输层应用层表示层会话层对等协议物理介质系统 A系统 B第N+1层第N层PDUSDUHPDU第N-1层SDUN+1层协议实体N+1层协议实体N 层协议实体SAPSAP 网际互连是通过网际互连是通过 IP 网关网关(

24、gateway)实现的实现的 网关提供网络与网络之间物理和逻辑上的连通功能网关提供网络与网络之间物理和逻辑上的连通功能 网关是一种特殊的计算机,同时属于多个网络网关是一种特殊的计算机,同时属于多个网络G1网络 1网络 3G1网络 2 TCP/IP协议和协议和OSI模型的对应关系模型的对应关系应用层表示层会话层传输层网络层数据链路层物理层FTP、TELNET NFSSMTP、SNMP XDR RPC TCP、UDP IPEthernet,IEEE802.3,802.11等 ICMPARP RARPOSI参考模型Internet协议簇物理层 网络的缺陷网络的缺陷因特网在设计之初对共享性和开放性的强

25、调,使得其在安全性方面存因特网在设计之初对共享性和开放性的强调,使得其在安全性方面存在先天的不足。其赖以生存的在先天的不足。其赖以生存的TCP/IP TCP/IP 协议族在设计理念上更多的是协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输,基本没有考虑安全问考虑该网络不会因局部故障而影响信息的传输,基本没有考虑安全问题,故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访题,故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。的重要隐患。

26、例如:多数底层协议为广播方式,多数应用层协议为明文传输,缺乏例如:多数底层协议为广播方式,多数应用层协议为明文传输,缺乏保密保密 与认证机制,因此容易遭到欺骗和窃听与认证机制,因此容易遭到欺骗和窃听 软件及系统的软件及系统的“漏洞漏洞”及后门及后门 随着软件及网络系统规模的不断增大,系统中的安全漏洞或随着软件及网络系统规模的不断增大,系统中的安全漏洞或“后门后门”也不可避免的存在,比如我们常用的操作系统,无论是也不可避免的存在,比如我们常用的操作系统,无论是Windows Windows 还是还是UNIX UNIX 几乎都存在或多或少的安全漏洞,众多的服务器、浏览器、桌几乎都存在或多或少的安全

27、漏洞,众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一为网络的不安全因素之一 黑客的攻击黑客的攻击黑客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。黑客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。目前,世界上有目前,世界上有20 20 多万个免费的黑客网站,这些站点从系统漏洞入多万个免费的黑客网站,这些站点从系统漏洞入手,介绍网络攻击的方

28、法和各种攻击软件的使用,这样,系统和站点手,介绍网络攻击的方法和各种攻击软件的使用,这样,系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,这些都使得黑客攻击具有隐蔽性好,的反击和跟踪手段,这些都使得黑客攻击具有隐蔽性好,“杀伤力杀伤力”强的特点,构成了网络安全的主要威胁。强的特点,构成了网络安全的主要威胁。网络普及,安全建设滞后网络普及,安全建设滞后网络硬件建设如火如荼,网络管理尤其是安全管理滞后,用户安全意网络硬件建设如火如荼,网络管理尤其是安全管理滞后,用户安全意识不强,即使应用了最好的安全

29、设备也经常达不到预期效果识不强,即使应用了最好的安全设备也经常达不到预期效果 网络安全是一个系统的概念,可靠的网络安全解决方案必须建立在网络安全是一个系统的概念,可靠的网络安全解决方案必须建立在集成网络安全技术的基础上,网络系统安全策略就是基于这种技术集成集成网络安全技术的基础上,网络系统安全策略就是基于这种技术集成而提出的,主要有三种:而提出的,主要有三种:1 1 直接风险控制策略(静态防御)直接风险控制策略(静态防御)安全安全=风险分析风险分析+安全规则安全规则+直接的技术防御体系直接的技术防御体系+安全监控安全监控 攻击手段是不断进步的,安全漏洞也是动态出现的,因此静态防御下攻击手段是不

30、断进步的,安全漏洞也是动态出现的,因此静态防御下的该模型存在着本质的缺陷。的该模型存在着本质的缺陷。2 2 自适应网络安全策略(动态性)自适应网络安全策略(动态性)安全安全=风险分析风险分析+执行策略执行策略+系统实施系统实施+漏洞分析漏洞分析+实时响应实时响应 该策略强调系统安全管理的动态性,主张通过安全性检测、漏洞监测,该策略强调系统安全管理的动态性,主张通过安全性检测、漏洞监测,自适应地填充自适应地填充“安全间隙安全间隙”,从而提高网络系统的安全性。完善的网络,从而提高网络系统的安全性。完善的网络安全体系,必须合理协调法律、技术和管理三种因素,集成防护、监控安全体系,必须合理协调法律、技

31、术和管理三种因素,集成防护、监控和恢复三种技术,力求增强网络系统的健壮性与免疫力。局限性在于:和恢复三种技术,力求增强网络系统的健壮性与免疫力。局限性在于:只考虑增强系统的健壮性,仅综合了技术和管理因素,仅采用了技术防只考虑增强系统的健壮性,仅综合了技术和管理因素,仅采用了技术防护。护。3 3 智能网络系统安全策略(动态免疫力)智能网络系统安全策略(动态免疫力)安全安全=风险分析风险分析+安全策略安全策略+技术防御体系技术防御体系+攻击实时检测攻击实时检测+安全跟踪安全跟踪+系统系统数据恢复数据恢复+系统学习进化系统学习进化 技术防御体系包括漏洞检测和安全缝隙填充;安全跟踪是为攻击证据记技术防

32、御体系包括漏洞检测和安全缝隙填充;安全跟踪是为攻击证据记录服务的,系统学习进化是旨在改善系统性能而引入的智能反馈机制。录服务的,系统学习进化是旨在改善系统性能而引入的智能反馈机制。模型中,模型中,“风险分析风险分析+安全策略安全策略”体现了管理因素;体现了管理因素;“技术防御体系技术防御体系+攻攻击实时检测击实时检测+系统数据恢复系统数据恢复+系统学习进化系统学习进化”体现了技术因素;技术因素体现了技术因素;技术因素综合了防护、监控和恢复技术;综合了防护、监控和恢复技术;“安全跟踪安全跟踪+系统数据恢复系统数据恢复+系统学习进系统学习进化化”使系统表现出动态免疫力。使系统表现出动态免疫力。安全

33、技术选择-根据协议层次物理层:物理隔离物理层:物理隔离 链路层链路层:链路加密技术、链路加密技术、PPTP/L2TP 网络层网络层:IPSec协议(协议(VPN)、防火墙)、防火墙 TCP 层层:SSL 协议、基于公钥的认证和对称钥加密技术协议、基于公钥的认证和对称钥加密技术 应用层应用层:SHTTP、PGP、S/MIME、SSH(Secure shell)、开发专用协议、开发专用协议(SET)物理隔离设备物理隔离设备 交换机交换机/路由器安全模块路由器安全模块 防火墙防火墙(Firewall)漏洞扫描器漏洞扫描器 入侵检测系统入侵检测系统IDS、入侵防御系统、入侵防御系统IPS、安全审计系统

34、、日志审计系统、安全审计系统、日志审计系统 绿盟远程安全评估系统绿盟远程安全评估系统 虚拟专用网(虚拟专用网(VPN)、上网行为管理系统)、上网行为管理系统 病毒防护(防病毒软件、防毒墙、防木马软件等)病毒防护(防病毒软件、防毒墙、防木马软件等)网络加速,负载均衡、流量控制网络加速,负载均衡、流量控制 主要分两种:主要分两种:双网隔离计算机双网隔离计算机 物理隔离网闸物理隔离网闸 解决每人解决每人2台计算机的问题台计算机的问题 1台计算机,可以分时使用内网或外网台计算机,可以分时使用内网或外网 关键部件关键部件硬盘硬盘网线网线软盘软盘/USB/MODEM等等 共享部件共享部件显示器显示器键盘键

35、盘/鼠标鼠标主板主板/电源电源硬盘硬盘*原理原理切换关键部件切换关键部件外网硬盘内网硬盘外网网线内网网线公共部件控制卡控制开关内网硬盘外网网线内网网线公共部件控制卡远端设备使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分充分使用UTP中的8芯,减少一根网线 采用数据采用数据“摆渡摆渡”的方式实现两个网络之间的信息交换的方式实现两个网络之间的信息交换 在任意时刻,物理隔离设备只能与一个网络的主机系统建立非在任意时刻,物理隔离设备只能与一个网络的主机系统建立非TCP/IP协协议的数据连接,即当它与外部网络相连接时,它与内部网络的主机是断议的数据连接,即当它与外部网络相连接时,它与内部网络的主机是断

36、开的,反之亦然。开的,反之亦然。任何形式的数据包、信息传输命令和任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离协议都不可能穿透物理隔离设备。物理隔离设备在网络的第设备。物理隔离设备在网络的第7层讲数据还原为原始数据文件,然后以层讲数据还原为原始数据文件,然后以“摆渡文件摆渡文件”形式传递原始数据。形式传递原始数据。内外网模块连接相应网络实现数据的接收及预处理等操作;内外网模块连接相应网络实现数据的接收及预处理等操作;交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交换,保证任意时刻内外网间没有链路层连接;换

37、,保证任意时刻内外网间没有链路层连接;数据只能以专用数据块方式静态地在内外网间通过网闸进行数据只能以专用数据块方式静态地在内外网间通过网闸进行“摆摆渡渡”,传送到网闸另一侧;,传送到网闸另一侧;集成多种安全技术手段,采用强制安全策略,对数据内容进行安全集成多种安全技术手段,采用强制安全策略,对数据内容进行安全检测,保障数据安全、可靠的交换。检测,保障数据安全、可靠的交换。涉密网和非涉密网之间涉密网和非涉密网之间 优点:优点:中断直接连接中断直接连接 强大的检查机制强大的检查机制 最高的安全性最高的安全性 缺点:缺点:对协议不透明,对每一种协议都要一种具体的实现对协议不透明,对每一种协议都要一种

38、具体的实现 效率低效率低 MAC绑定绑定 QOS设置设置 多多VLAN划分划分 日志日志 其他其他 访问控制链表访问控制链表 基于源地址基于源地址/目标地址目标地址/协议端口号协议端口号 路径的完整性路径的完整性 防止防止IP假冒和拒绝服务(假冒和拒绝服务(Anti-spoofing/DDOS)检查源地址:检查源地址:ip verify unicast reverse-path 过滤过滤RFC1918 地址空间的所有地址空间的所有IP包;包;关闭源路由:关闭源路由:no ip source-route 路由协议的过滤与认证路由协议的过滤与认证 Flood 管理管理 日志日志 其他抗攻击功能其他

39、抗攻击功能v VPN通过一个私有的通道来创建一个安全的私有连接,将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来,形成一个扩展的公司企业网v 提供高性能、低价位的因特网接入v VPN是企业网在公共网络上的延伸Internet内部网恶意修改通道终点到:假冒网关外部段(公共因特网)ISP接入设备原始终点为:安全网关数据在到达终点之前要经过许多路由器,明文传输的报文很容易在路由器上被查看和修改监听者可以在其中任一段链路上监听数据逐段加密不能防范在路由器上查看报文,因为路由器需要解密报文选择路由信息,然后再重新加密发送恶意的ISP可以修改通道的终点到一台假冒的网关远程访问搭线监听攻击者ISP

40、ISP窃听正确通道VPN功能v 数据机密性保护v 数据完整性保护v 数据源身份认证v 重放攻击保护远程访问Internet内部网合作伙伴分支机构虚拟私有网虚拟私有网虚拟私有网VPN是企业网在因特网上的延伸 现有的VPN 解决方案v 基于 IPSec 的VPN解决方案v 基于第二层的VPN解决方案v 非 IPSec 的网络层VPN解决方案v 非 IPSec 的应用层解决方案现有的VPN 解决方案小结 网络层对所有的上层数据提供透明方式的保护,但无法为应用提供足够细的控制粒度数据到了目的主机,基于网络层的安全技术就无法继续提供保护,因此在目的主机的高层协议栈中很容易受到攻击应用层的安全技术可以保护

41、堆栈高层的数据,但在传递过程中,无法抵抗常用的网络层攻击手段,如源地址、目的地址欺骗应用层安全几乎更加智能,但更复杂且效率低 因此可以在具体应用中采用多种安全技术,取长补短监控并限制访问监控并限制访问针对黑客攻击的不安全因素,防火墙采取控制进出内外网的数据针对黑客攻击的不安全因素,防火墙采取控制进出内外网的数据包的方法,实时监控网络上数据包的状态,并对这些状态加以分包的方法,实时监控网络上数据包的状态,并对这些状态加以分析和处理,及时发现存在的异常行为;同时,根据不同情况采取析和处理,及时发现存在的异常行为;同时,根据不同情况采取相应的防范措施,从而提高系统的抗攻击能力。相应的防范措施,从而提

42、高系统的抗攻击能力。控制协议和服务控制协议和服务针对网络先天缺陷的不安全因素,防火墙采取控制协议和服务的针对网络先天缺陷的不安全因素,防火墙采取控制协议和服务的方法,使得只有授权的协议和服务才可以通过防火墙,从而大大方法,使得只有授权的协议和服务才可以通过防火墙,从而大大降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。保护网络内部保护网络内部针对软件及系统的漏洞或针对软件及系统的漏洞或“后门后门”,防火墙采用了与受保护网络的操,防火墙采用了与受保护网络的操作系统、应用软件无关的体系结构,其自身建立在安全操作系统之上;作系统、应

43、用软件无关的体系结构,其自身建立在安全操作系统之上;同时,针对受保护的内部网络,防火墙能够及时发现系统中存在的漏同时,针对受保护的内部网络,防火墙能够及时发现系统中存在的漏洞,进行访问上的限制;防火墙还可以屏蔽受保护网络的相关信息,洞,进行访问上的限制;防火墙还可以屏蔽受保护网络的相关信息,使黑客无从下手。使黑客无从下手。日志记录与审计日志记录与审计当防火墙系统被配置为所有内部网络与外部当防火墙系统被配置为所有内部网络与外部Internet Internet 连接均需经过的连接均需经过的安全节点时,防火墙系统就能够对所有的网络请求做出日志记录。日安全节点时,防火墙系统就能够对所有的网络请求做出

44、日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用情况做出统计。这样网络管理员防火墙系统也能够对正常的网络使用情况做出统计。这样网络管理员通过对统计结果进行分析,掌握网络的运行状态,继而更加有效的管通过对统计结果进行分析,掌握网络的运行状态,继而更加有效的管理整个网络。理整个网络。可屏蔽内部服务,避免相关安全缺陷被利用可屏蔽内部服务,避免相关安全缺陷被利用 27层访问控制(集中在层访问控制(集中在3-4层)层)解决地址不足问题解决地址不足问题 抗网络层、传输层一般攻击抗网络层、传

45、输层一般攻击不足不足 防外不防内防外不防内 对网络性能有影响对网络性能有影响 对应用层检测能力有限对应用层检测能力有限基本原理:利用基本原理:利用sniffer方式获取网络数据,根据已知特征判断是否存在网络攻击方式获取网络数据,根据已知特征判断是否存在网络攻击优点:能及时获知网络安全状况,借助分析发现安全隐患或攻击信息,便于及时采优点:能及时获知网络安全状况,借助分析发现安全隐患或攻击信息,便于及时采取措施。取措施。不足:不足:准确性:误报率和漏报率准确性:误报率和漏报率 有效性:难以及时阻断危险行为有效性:难以及时阻断危险行为 基本功能:串接于网络中,根据网络病毒的特征在网络数据中比对,从而

46、发现并基本功能:串接于网络中,根据网络病毒的特征在网络数据中比对,从而发现并阻断病毒传播阻断病毒传播 优点:能有效阻断已知网络病毒的传播优点:能有效阻断已知网络病毒的传播 不足:不足:只能检查已经局部发作的病毒只能检查已经局部发作的病毒 对网络有一定影响对网络有一定影响 通过模拟网络攻击检查目标主机是否存在已知安全漏洞通过模拟网络攻击检查目标主机是否存在已知安全漏洞 优点:有利于及早发现问题,并从根本上解决安全隐患优点:有利于及早发现问题,并从根本上解决安全隐患 不足:不足:只能针对已知安全问题进行扫描只能针对已知安全问题进行扫描 准确性准确性 vs 指导性指导性广义的访问控制功能包括鉴别、授

47、权和记账等广义的访问控制功能包括鉴别、授权和记账等 鉴别(鉴别(Authentication):辨别用户是谁的过程。):辨别用户是谁的过程。授权(授权(Authorization)对完成认证过程的用户授予相应权限,解决用户能做什么)对完成认证过程的用户授予相应权限,解决用户能做什么的问题。在一些访问控制的实现中,认证和授权是统一在一起的的问题。在一些访问控制的实现中,认证和授权是统一在一起的 记账(记账(Accounting);统计用户做过什么的过程,通常使用消耗的系统时间、接);统计用户做过什么的过程,通常使用消耗的系统时间、接收和发送的数据量来量度。收和发送的数据量来量度。Tacacs、T

48、acacs+、Radius等技术能实现这三种功能。等技术能实现这三种功能。RADIUS协议协议 针对远程用户针对远程用户Radius(Remote Authentication Dialin User service)协议,采用分)协议,采用分布式的布式的Client/Server结构完成密码的集中管理和其他访问控制功能;网络用户结构完成密码的集中管理和其他访问控制功能;网络用户(Client)通过网络访问服务器()通过网络访问服务器(NAS)访问网络,)访问网络,NAS同时作为同时作为Radius结构的结构的客户端,认证、授权和计帐的客户端,认证、授权和计帐的3A功能通过功能通过NAS和安全

49、服务器(和安全服务器(Secutity Server)或或Radius服务器之间的服务器之间的Radius协议过程完成,而用户的控制功能在协议过程完成,而用户的控制功能在NAS实现。实现。TACAS协议协议 TACACS(Terminal Access Controller Access Control System-终端访问控制系统)终端访问控制系统)是历史上用于是历史上用于UNIX系统的认证协议,它使远程访问服务器将用户的登录信息发系统的认证协议,它使远程访问服务器将用户的登录信息发送到认证服务器以确定用户是否可以访问给定系统。送到认证服务器以确定用户是否可以访问给定系统。TACACS对数

50、据并不加密,对数据并不加密,因此它的安全性要差一些,针对这种情况,又设计了因此它的安全性要差一些,针对这种情况,又设计了TACACS+和和RADIUS协议。协议。TACACS+协议协议 由由Cisco公司提出,在此协议中,当用户试图登录时,公司提出,在此协议中,当用户试图登录时,NAS将询问安全服务做什么,将询问安全服务做什么,安全服务器通常知安全服务器通常知NAS输入用户名和密码,然后,发送接受或拒绝响应信息给输入用户名和密码,然后,发送接受或拒绝响应信息给NAS。用户登录进入之后,对于每一条用户输入的命令,。用户登录进入之后,对于每一条用户输入的命令,NAS都将提请安全服务都将提请安全服务

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 办公、行业 > 各类PPT课件(模板)
版权提示 | 免责声明

1,本文(网络安全知识培训(-93张)课件.ppt)为本站会员(晟晟文业)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!


侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|