《通信网络安全与防护》课件5-1.ppt

1、5.1 防火墙5.2 入侵检测系统5.3 安全隔离技术5.4 蜜罐与蜜网安全安全 的威胁的威胁 黑客入侵黑客入侵 内部攻击内部攻击 病毒病毒危害危害 信息泄露信息泄露 数据篡改数据篡改防火墙的引入防火墙的引入InternetHTTP/FTP/SMTPServerFile ServerData BaseProxyServerUser Client边界点安全威胁边界点安全威胁防火防火墙墙5.1 防火墙防火墙的概念：防火墙的概念：在信任网络与非信任网络之间，通过预定义的在信任网络与非信任网络之间，通过预定义的安全策略，对内外网通信强制实施访问控制的安全安全策略，对内外网通信强制实施访问控制的安全应用

2、设备。应用设备。导入防火墙的技术原理：导入防火墙的技术原理：将不信任网络对信任网络的安全威胁强制到将不信任网络对信任网络的安全威胁强制到单一安全控制点。单一安全控制点。防火墙的原则：防火墙的原则：一切未被允许的就是禁止的！一切未被允许的就是禁止的！5.1 防火墙防火墙能做什么防火墙能做什么保障授权合法用户的通信与访问保障授权合法用户的通信与访问禁止未经授权的非法通信与访问禁止未经授权的非法通信与访问记录经过防火墙的通信活动记录经过防火墙的通信活动防火墙不能做什么防火墙不能做什么不能主动防范新的安全威胁不能主动防范新的安全威胁不能防范来自网络内部的攻击不能防范来自网络内部的攻击不能控制不经防火墙

3、的通信与访问不能控制不经防火墙的通信与访问5.1 防火墙防火墙软件的发展防火墙软件的发展包过滤防火墙状态检测包过滤防火墙应用网关(应用代理)防火墙5.1 防火墙基本的概念基本的概念应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层防火墙检测技术防火墙检测技术对特定应用进行对特定应用进行更更细粒度检测细粒度检测容易容易暴露暴露底层底层 OS对对更更多应用进行粗粒度检测多应用进行粗粒度检测效率效率更更高高5.1 防火墙防火墙：包过滤技术防火墙：包过滤技术应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层

4、表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层客户客户端端防火墙防火墙服务服务器器包过滤引擎包过滤引擎5.1 防火墙防火墙：包过滤技术防火墙：包过滤技术检检查查项项IP 包的源地址包的源地址IP 包的目的地址包的目的地址TCP/UDP 端口端口IP 包包检测包头检测包头检查路由检查路由安全策略：过滤规则安全策略：过滤规则路由表路由表包过滤防火墙包过滤防火墙转发转发符合符合不符合不符合丢弃丢弃5.1 防火墙 访问要求：1）网络123.45.0.0/16不愿其他Intern

5、et 主机访问其站点；2）但它的一个子网123.45.6.0/24和某大学135.79.0.0/16有合作项目，因此允许该大学访问该子网；3）然而135.79.99.0/24是黑客天堂，需要禁止。防火墙规则制订实例防火墙规则制订实例5.1 防火墙 注意这些规则之间并不是互斥的，因此要考虑顺序。注意这些规则之间并不是互斥的，因此要考虑顺序。123规则顺序安排原则：先特殊，后普遍规则顺序安排原则：先特殊，后普遍内网内网大学大学进来进来出去出去内网内网黑客天堂黑客天堂进来进来出去出去5.1 防火墙基于协议、端口的规则制定基于协议、端口的规则制定 HTTP是一个基于TCP的服务，一般使用端口80，也可

6、使用其他非标准端口，客户机使用任何大于1023的端口。如果防火墙允许WWW穿越网络边界，则可定义如下规则。规则规则1 1、规则、规则2 2允许外部主机访问本站点的允许外部主机访问本站点的WWWWWW服务器，服务器，规则规则3 3、规则、规则4 4允许内部主机访问外部的允许内部主机访问外部的WWWWWW服务器。服务器。5.1 防火墙包过滤防火墙特点：包过滤防火墙特点：对应用完全透明；对应用完全透明；数据吞吐率高；数据吞吐率高；实现容易（便宜），多用于接入路由器；实现容易（便宜），多用于接入路由器；随着安全规则的增加，配置、维护规则比较困难；随着安全规则的增加，配置、维护规则比较困难；处于较低层，

7、对会话内容无法监控，安全性能较低；处于较低层，对会话内容无法监控，安全性能较低；5.1 防火墙防火墙：应用网关防火墙：应用网关应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层客户客户端端防火墙（代理网关）防火墙（代理网关）服务服务器器5.1 防火墙某学校内网某学校内网代代理理服服务务器器 Internet步骤（步骤（1）（1）主机A发出访问Web站点的请求；步骤（步骤（

8、2）（2）请求到达代理服务器，代理服务器检查防火墙规则集，检查数据包报头信息和数据；主机主机A IP地址：地址：10.0.0.18代理服务器代理服务器IP地址：地址：210.27.64.2 IP地址：地址：10.0.0.15.1 防火墙步骤（步骤（3）步骤（步骤（4）代代理理服服务务器器 Internet步骤（步骤（1）步骤（步骤（2）（3）如果不允许该请求发出，代理服务器拒绝请求，发送ICMP消息给源主机；（4）如果允许该请求发出，代理服务器修改源IP地址，创建数据包；主机主机A IP地址：地址：10.0.0.18数据包源IP地址由10.0.0.18改成210.27.64.2代理服务器代理服

9、务器IP地址：地址：210.27.64.25.1 防火墙步骤（步骤（3）步骤（步骤（4）步骤（步骤（5）代代理理服服务务器器 Internet步骤（步骤（1）（5）代理服务器将数据包发给目的计算机，数据包显示源IP地址来自代理服务器；步骤（步骤（2）（6）返回的数据包又被发送到代理服务器。服务器再次根据防火墙规则集检查数据包报头信息和数据；步骤（步骤（6）代理服务器代理服务器IP地址：地址：210.27.64.25.1 防火墙步骤（步骤（3）步骤（步骤（4）步骤（步骤（5）步骤（步骤（8）步骤（步骤（6）步骤（步骤（7）代代理理服服务务器器 Internet步骤（步骤（1）步骤（步骤（2）（7

10、）如果不允许该数据包进入内部网，代理服务器丢弃该数据包，发送ICMP消息；（8）如果允许该数据包进入内部网，代理服务器将它发给最先发出请求的计算机；代理服务器代理服务器IP地址：地址：210.27.64.25.1 防火墙步骤（步骤（3）步骤（步骤（9）步骤（步骤（4）步骤（步骤（5）步骤（步骤（8）步骤（步骤（6）步骤（步骤（7）代代理理服服务务器器 Internet步骤（步骤（1）步骤（步骤（2）（9）数据包到达最先发出请求的计算机，此时数据包显示来自外部主机而不是代理服务器。代理服务器代理服务器IP地址：地址：210.27.64.25.1 防火墙防火墙：应用网关防火墙：应用网关缺点:必须对

11、每个应用程序创建过滤规则客户端配置新的应用和病毒速度慢5.1 防火墙防火墙：状态检测包过滤技术防火墙：状态检测包过滤技术应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层客户客户端端防火墙防火墙服务服务器器状态检测引擎状态检测引擎会话连接状态、上下文信息监控会话连接状态、上下文信息监控5.1 防火墙防火墙：状态检测包过滤技术防火墙：状态检测包过滤技术检检查查项项IP 包的

12、源、目的地址、端口包的源、目的地址、端口TCP 会话的连接状态会话的连接状态上下文信息上下文信息5.1 防火墙IP 包包检测包头检测包头下一步下一步处理处理安全策略：过滤规则安全策略：过滤规则会话连接状态缓存表会话连接状态缓存表状态检测包过滤防火墙状态检测包过滤防火墙符合符合不符合不符合丢弃丢弃状态检测包过滤检测流程状态检测包过滤检测流程符合符合5.1 防火墙状态检测包过滤防火墙特点状态检测包过滤防火墙特点对以上各层的通信进行主动、实时的监控对以上各层的通信进行主动、实时的监控重组会话，对应用进行细粒度检测重组会话，对应用进行细粒度检测数据吞吐率较高数据吞吐率较高5.1 防火墙安全区划分防火墙

13、防火墙Web ServerFTP/SMTPServer安全区1（内网）安全区2（外网）安全区3（DMZ、SSN）5.1 防火墙 透明接入透明接入网络A网络B192.168.0.X/24192.168.0.X/24透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址透明模式下，网络A和网络B不用做任何调整5.1 防火墙 路由、路由、NAT接入接入网络A192.168.0.X/24192.168.0.1/24202.16.1.x/26202.16.1.y/26路由模式下，防火墙的内外网接口必须配置不同的IP地址INTERNET5.1 防火墙 混合接入混合接入防火墙DMZ区212.18.

14、10.0内网 1192.168.1.0内网 2192.168.1.0网桥NATINTERNET5.1 防火墙基于源基于源IPIP地址地址基于目的基于目的IPIP地址地址基于源端口基于源端口基于目的端口基于目的端口基于时间基于时间基于用户基于用户基于流量基于流量基于文件基于文件基于网址基于网址基于基于MACMAC地址地址Web ServerFTP/SMTPServer 源源目的目的根据预定义的规则列表，进行访问控制基本的访问控制基本的访问控制5.1 防火墙NATNAT隐藏内部网络的 IP 地址及内部网络结构节约有效的 IP 地址空间10.1.5.22 发出请求发出请求应答发给应答发给 10.1.

15、5.22202.1.1.1 发出请求发出请求202.1.1.1 发出请求发出请求应答发给应答发给 202.1.1.1应答发给应答发给 202.1.1.1NAT10.1.5.22202.1.1.15.1 防火墙 服务器负载均衡服务器负载均衡INTERNETWeb服务器服务器3Web服务器服务器1Web服务器服务器25.1 防火墙 策略路由策略路由INTERNETCERNET网络 1192.168.1.0/24网 络2192.168.2.0/24网络1-INTERNET网络2-CERNET5.1 防火墙认证技术认证技术 认证是所有防火墙的基础。认证技术：认证技术：操作系统口令：Username/P

16、assword;S/Key；RADIUS；第三方的插件；认证模式：认证模式：用户认证 客户认证 会话认证5.1 防火墙防火墙：防火墙：S/Key 认证技术认证技术S/Key 是一次性口令挑战认证技术是一次性口令挑战认证技术登陆：用户名登陆：用户名挑战号挑战号计算口令计算口令 1计算口令计算口令 2口令口令 1结果一致，认证成功结果一致，认证成功结果不一致，认证失败结果不一致，认证失败比较口令比较口令 1、口、口令令 2 是否一致？是否一致？5.1 防火墙 代理服务：代理服务：应用代理是防火墙中一个重要的功能，启用代理可以针对特定 应用进行更细粒度的控制，包括内容过滤等。客户端服务器2：防火墙对

17、客户端的访问进行控制1：客户端访问服务器需先访问防火墙3：防火墙代替客户端向服务器发送请求FTPHTTPSMTP5.1 防火墙防火墙：高可用性技术防火墙：高可用性技术 高可用性（High Availability）技术是为解决防火墙单点故障点，提供无缝的故障恢复，保障企业网络的关键应用。如：双机热备、集群（Cluster）技术等。Internet内部网络内部网络HA BeatRouterSwitchSwitch5.1 防火墙 并发连接数并发连接数定义：定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数衡量标准：衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连

18、接的性能，同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力。CLIENTSERVER并发连接数可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数5.1 防火墙 吞吐量吞吐量定义：定义：在不丢包的情况下能够达到的最大速率衡量标准：衡量标准：吞吐量作为衡量防火墙性能的重要指标之一，吞吐量小就会造成网络的瓶颈，进而影响网络 的性能。Smart bits 6000B测试仪11010010100101010110！￥（以最大速率发包直到出现丢包时的最大值100M60M防火墙吞吐率小就会造成网络的瓶颈5.1 防火墙 时延时延定义：定义：入口处输入帧最后一个比特到达至出

19、口处输出帧的第一个比特输出所用的时间间隔。衡量标准：衡量标准：防火墙的时延能够体现它处理数据的速度Smart bits 6000B测试仪11010010100101010110最后一个比特到达11010010100101010110第一个比特输出时间间隔数据包排队经防火墙检查后转发，造成数据包延迟到达目的地。11010010100101010110110100101001010101105.1 防火墙 背靠背背靠背定义：定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。衡量标准：衡量标准：背靠背的测试结果能体现出防火墙的

20、缓冲容量，网络上经常有一些应用会产生大量的突发数据包（如NFS、备份、路由更新等），而且这样的数据包的丢失可能会产生更多的数据包，强大的缓冲能力可以减少这种突发对网络造成的影响。Smart bits 6000B测试仪少量包没有数据包增多峰值包减少包数量（N)时间（T）背靠背指标体现防火墙对突发数据的处理能力5.1 防火墙 丢包率丢包率Smart bits 6000B测试仪11010010100101010110发送了100个包1101001010010101丢包率（10080）/10020定义：定义：在连线负载的情况下，防火墙设备由于资源不足应转发但却没转发的帧百分比。衡量标准：衡量标准：防火

21、墙的丢包率对其稳定性、可靠性有很大影响。转发了80个包5.1 防火墙 知识点回顾：知识点回顾：接入方式：接入方式：透明、路由、混合实现技术：实现技术：安全区划分、NAT、策略路由、认证技术、代理技术、高可用技术性能指标：性能指标：并发连接数、吞吐量、时延、背靠背、丢包率5.1 防火墙p如何在不同安全等级的网络间进行信息交换p人工拷盘：由指定人员将需要转移的数据拷贝到软盘等移动存储介质上，经过查病毒、内容检查等安全处理后，再复制到目标网络中。5.3 网络隔离技术DB SERVER数据数据A网B网存储介质数据的交换通过人工来实现，工作效率低；安全性完全依赖于人的因素，可靠性无法保证；随着电子政务的

22、开展，内外网交换数据的数量和频率呈几何量级上升，这种解决方案已经越来越无法满足用户的需要。5.3 网络隔离技术人工拷盘的缺点：p上世纪90年代中期俄罗斯人Ry Jones首先提出“AirGap”隔离概念；p以色列首先研制成功物理隔离卡，实现网络之间的安全隔离；p美国Whale Communications公司和以色列SpearHead公司先后推出了e-Gap和NetGap产品，利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享；p安全隔离技术从单纯实现“网络隔离禁止交换”的安全隔离发展到“安全隔离和可靠交换”的安全隔离。p美国军方、重要政府部门均采用隔离技术保障信息安全。5.3

23、网络隔离技术p网络隔离（Network Isolation），主要是指把两个或两个以上可路由的网络（如TCP/IP）通过不可路由的协议进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离（Protocol Isolation）。5.3 网络隔离技术数据交换技术数据交换技术安全性安全性适合场合适合场合人工方式安全性最好，物理隔离适合临时的小数量的数据交换数据交换网物理上连接，采用完整安全保障体系的深层次防护(防护、监控、审计)，安全程度依赖当前安全技术适合提供大数据服务或时时的网络服务，支持多业务平台建设网闸物理上不同时连接，对攻击防护好，但协议的代理对病毒防护依赖

24、当前技术适合定期的批量数据交换，但不适合多应用的穿透安全网关从网络层到应用层的防护不适合涉密网络与非涉密网络数据交换。适合办公网络与互联网的隔离，也适合涉密网络之间的隔离5.3 网络隔离技术常见的网络安全隔离方式 安全隔离的工作原理是模拟人工在两个隔离网络之间的信息交换。其本质在于：阻断两侧网络间直接协议连接，使之不能直接进行网络协议通讯，对传递的数据内容进行检测，即实现“协议落地、内容检测”。5.3 网络隔离技术5.3 网络隔离技术1.安全隔离理论模型安全隔离的安全思路来自于“不同时连接”5.3 网络隔离技术p安全隔离的设计是“代理+摆渡”。p代理不只是协议代理，而是数据的“拆卸”，把数据还

25、原成原始的部分，拆除各种通讯协议添加的包头和包尾，通讯协议落地，用专用协议、单向通道技术、存储等方式阻断业务的连接，用代理方式支持上层业务。1.安全隔离理论模型5.3 网络隔离技术2.网闸的工作原理p网闸是在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。在信息摆渡的过程中内外网（上下游）从不发生物理连接。5.3 网络隔离技术2.网闸的工作原理p网闸内部采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块。p内、外网主机模块具有独立运算单元和存储单元，分别连接可信及不可信网络，对访

26、问请求进行预处理，以实现安全应用数据的剥离。p隔离交换模块采用专用的双通道隔离交换卡实现，通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。网闸进行数据交换的过程：1）切断网络之间的通用协议连接，当外网需要有数据到达内网的时候，外部处理单元发起对隔离设备的非TCP/IP协议的数据连接；2）隔离设备将所有的协议剥离，将数据包进行分解或重组为静态数据，写入存储介质。3）一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外部处理单元的连接，对静态数据进行安全审查，包括网络协议检查和代码扫描等；4）数据确认安全后，隔离设备发起对内部处理单元的非TCP/IP协议的数据连接，将存储介质内的数据推向

27、内部处理单元。5）内部处理单元收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统。内部用户通过严格的身份认证机制获取所需数据。5.3 网络隔离技术2.网闸的工作原理5.3 网络隔离技术2.网闸的工作原理u 安全隔离网闸最初只支持文件交换功能（工作原理是模拟人工拷盘），目前已经发展到具有数据库同步、数据库访问、邮件访问、安全Web访问、FTP访问等多种功能，能对HTTP、FTP、SMTP、POP3等通用协议进行内容检查。u 安全隔离网闸存在无法对私有协议进行数据内容检查的问题，这是由于不少用户应用系统采用的都是自定义格式的私有协议，其数据格式、数据内容等都没有公开，导致安全隔

28、离网闸厂商无法定义出相应的数据内容检查规则，也就无法实现高安全的隔离交换控制。文件同步：完成内外网服务器（用户）之间的文件交换（同步）5.3 网络隔离技术2.网闸的工作原理NFSSAMBAFTPNFSSAMBAFTP文件同步模块文件同步模块内容病毒格式内容病毒格式文件同步：完成内外网服务器（用户）之间的文件交换（同步）5.3 网络隔离技术2.网闸的工作原理数据库同步5.3 网络隔离技术2.网闸的工作原理开关模块数据库同步模块数据库同步模块数据Select*from pubsJDBC数据数据数据Insert into JDBC数据库同步5.3 网络隔离技术2.网闸的工作原理邮件同步SMTPPOP

29、3邮件SMTPPOP3邮件同步模块邮件同步模块内容病毒格式内容病毒格式邮件邮件OUT LOOKFOX MAILMAIL SERVEROUT LOOKFOX MAILMAIL SERVER5.3 网络隔离技术2.网闸的工作原理5.3 网络隔离技术3.数据交换网u 交换网络的模型来源于银行系统的Clark-Wilson模型，主要是通过业务代理与双人审计的思路保护数据的完整性。u 交换网络是在两个隔离的网络之间建立一个网络交换区域，负责数据的交换。u 交换网络的两端可以采用多重网关，也可以采用网闸。在交换网络内部采用监控、审计等安全技术，整体上形成一个立体的交换网安全防护体系。5.3 网络隔离技术3

30、.数据交换网5.3 网络隔离技术 国家保密局对安全隔离与信息交换类产品的应用做了规定，规定安全隔离与信息交换系统在以下四种网络环境下应用：u 不同的涉密网络之间；u 同一涉密网络的不同安全域之间；u 与Internet物理隔离的网络与秘密级涉密网络之间；u 未与涉密网络连接的网络与Internet之间。1.应用场景2.主要功能 5.3 网络隔离技术（1）内容安全过滤功能 安全隔离系统应该能提供多种内容安全过滤与内容访问控制功能，既能有效的防止外部恶意软件进入内网，也能控制内网用户对外部资源不良内容的访问及敏感信息的泄漏。包括HTTP、FTP、邮件及文件交换、URL过滤、关键字过滤、Cookie过滤、文件类型检查及病毒查杀等。（2）管理和审计功能防火墙：定义、功能与不足；主要技术；功能与性能；安全隔离技术：基本概念；网闸的结构与工作原理；数据交换网的概念与结构；应用场景作业：2、7、8