内网安全架构设计和安全产品部署

1网络安全架构设计和网络安全设备的部署主讲：五邑大学计算机学院容振邦邮件：rongzhenbang@yahoo.com.cn手机：134225714232主要内容内网安全架构的设计与安全产品的部署安全扫描技术防火墙技术入侵检测技术VPN技术3网络信息安全的基本问题网络信息安全的基本问题保密性完整性可用性可控性可审查性拒绝否认性最终要解决是使用者对基础设施的信心和责任感的问题。4网络与信息安全体系要实施一个完整的网络与信息安全体系，至少应包括三类措施，并且三者缺一不可。社会的法律政策、规章制度措施技术措施审计和管理措施5网络安全设计的基本原则要使信息系统免受攻击，关键要建立起安全防御体系，从信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否认性等。在进行计算机网络安全设计、规划时，应遵循以下原则：需求、风险、代价平衡分析的原则综合性、整体性原则一致性原则易操作性原则适应性、灵活性原则多重保护原则6网络安全解决方案网络安全解决方案的基本概念网络安全解决方案可以看作是一张有关网络系统安全工程的图纸，图纸设计的好坏直接关系到工程质量的优劣。总体来说，网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术等多方面的安全技术。7一份好的网络安全解决方案，不仅仅要考虑到技术，还要考虑到策略和管理。技术是关键策略是核心管理是保证在整个网络安全解决方案中，始终要体现出这三个方面的关系。8网络安全解决方案设计INTERNET工作站工作站…工作站工作站…交换机防火墙网管计算机路由器服务器…服务器9安全需求分析网络系统的总体安全需求是建立在对网络安全层次分析基础上的。对于基于TCP/IP协议的网络系统来说，安全层次是与TCP/IP协议层次相对应的。针对该企业网络的实际情况，可以将安全需求层次归纳为网络层安全和应用层安全两个技术层次，同时将在各层都涉及的安全管理部分单独作为一部分进行分析。10网络层需求分析网络层安全需求是保护网络不受攻击，确保网络服务的可用性。保证同Internet互联的边界安全能够防范来自Internet的对提供服务的非法利用防范来自Internet的网络入侵和攻击行为的发生对于内部网络提供高于网络边界更高的安全保护11应用层需求分析应用层的安全需求是针对用户和网络应用资源的，主要包括：合法用户可以以指定的方式访问指定的信息；合法用户不能以任何方式访问不允许其访问的信息；非法用户不能访问任何信息；用户对任何信息的访问都有记录。12应用层要解决的安全问题包括非法用户利用应用系统的后门或漏洞，强行进入系统用户身份假冒非授权访问数据窃取数据篡改数据重放攻击抵赖13网络安全解决方案…路由器防病毒入侵检测安全审计中心交换机防火墙网管计算机身份认证服务器身份认证服务器工作站工作站工作站工作站……服务器互联网DMZ区内部网络14电子政务网络拓扑概述内部核心子网INTERNET分支机构1分支机构215电子政务网络拓扑详细分析领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构116电子政务网络风险及需求分析领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1此人正试图进入网络监听并窃取敏感信息分支机构工作人员正试图在领导层子网安装木马分支机构工作人员正试图越权访问业务子网安装木马非内部人员正试图篡改公共网络服务器的数据17电子政务网络内网基础网络平台安全领导层子网业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网分支机构2分支机构1NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源INTERNETNEsec300FW2035968?告警内网接口外网接口电源防火墙FW1防火墙FW2防火墙FW3安全认证服务器安全管理器安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器交换机NEsec300FW2035968?告警内网接口外网接口电源18内网核心网络与各级子网间的安全设计分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源内部核心子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器19内网网络漏洞扫描系统设计分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源内部核心子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器网络漏洞扫描器20内网网络入侵检测系统设计分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源内部核心子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器网络入侵检测探头网络入侵策略管理器21电子政务外网基础平台安全设计INTERNET办公厅办公业务网（简称“内网”）路由器交换机安全管理器防火墙FW物理隔离器（K1)E-MAIL服务器办公厅办公业务网（简称“内网”）路由器交换机安全管理器防火墙FW物理隔离器（K1)E-MAIL服务器办公厅办公业务网（简称“内网”）路由器交换机安全管理器物理隔离器（K1)E-MAIL服务器办公厅办公业务网（简称“内网”）路由器交换机安全管理器物理隔离器（K2)E-MAIL服务器物理隔离器（K1)办公厅办公业务网（简称“内网”）政府系统办公业务资源网（简称“专网”）Web网站监测&自动修复系统25内网、外网和专网的隔离系统设计INTERNET办公厅办公业务网（简称“内网”）路由器交换机安全管理器物理隔离器（K2)E-MAIL服务器物理隔离器（K1)办公厅办公业务网（简称“内网”）政府系统办公业务资源网（简称“专网”）26其它网络安全设备拨号检测系统上网行为管理系统DDOS防御网关VPN网关防病毒网关27安全扫描技术扫描目的查看目标网络中哪些主机是存活的（Alive）查看存活的主机运行了哪些服务FTPEMAILTELNET查看主机提供的服务有无漏洞28IP扫描IP扫描——PingSweepingPing使用ICMP协议进行工作29IP扫描ICMP协议负责差错的报告与控制。比如目标不可达，路由重定向等等ICMP报文格式类型域(type)用来指明该ICMP报文的类型代码域(code)确定该包具体作用081631类型代码校验和其他字段（不同的类型可能不一样）数据区……数据ICMP包头IP包头MAC帧头30IP扫描常用的ICMP报文Ping程序使用ICMPEchoRequest/Reply报文名称类型ICMPDestinationUnreachable（目标不可达）3ICMPSourceQuench（源抑制）4ICMPRedirection（重定向）5ICMPTimestampRequest/Reply（时间戳）13/14ICMPAddressMaskRequest/Reply（子网掩码）17/18ICMPEchoRequest/Reply（响应请求/应答）8/031端口扫描端口Internet上主机间通讯总是通过端口发生的端口是入侵的通道端口分为TCP端口与UDP端口因此，端口扫描可分类为TCP扫描UDP扫描32端口扫描基本扫描用Socket开发TCP应用服务器端客户端33端口扫描connect()函数intconnect(SOCKETs,conststructsockaddrFAR*name,intnamelen);当connect返回0时，连接成功基本的扫描方法即TCPConnect扫描优点实现简单可以用普通用户权限执行缺点容易被防火墙检测，也会目标应用所记录34端口扫描隐秘扫描服务器端客户端connect35端口扫描TCP的连接建立过程客户机服务器发送SYNseq=x接收SYN报文发送SYNseq=y,ACKack=x+1接收SYN+ACK发送ACKack=y+1接受ACK报文段36端口扫描SYN扫描客户机服务器发送SYNseq=x如果接收到SYN+ACK，表明服务器端口可连接如果服务器端口打开，则返回SYN+ACK如果服务器端口未打开，则返回RSTSYN+ACK如果接收到RST，表明服务器端口不可连接RST37端口扫描SYN扫描的实现WinSock2接口RawSock方式，允许自定义IP包SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);TCP包头标志位01631源端口目的端口序列号确认号HLEN保留标志位窗口校验和紧急指针选项填充数据保留保留UrgentpointACKPUSHRESETSYNFIN38端口扫描SYN扫描的优缺点优点：一般不会被目标主机所记录缺点：运行RawSocket时必须拥有管理员权限39端口扫描FIN扫描关闭TCP连接的过程客户机服务器发送FINseq=x接收FIN报文发送FINseq=y,ACKack=x+1接收FIN+ACK发送ACKack=y+1接受ACK报文段40端口扫描关闭一个并没有建立的连接，会产生以下情况对非连接FIN报文的回复TCP标准关闭的端口——返回RST报文打开的端口——忽略BSD操作系统与TCP标准一致其他操作系统均返回RST报文41TCPACK扫描扫描主机向目标主机发送ACK数据包。根据返回的RST数据包有两种方法可以得到端口的信息。方法一是：若返回的RST数据包的TTL值小于或等于64，则端口开放，反之端口关闭方法二是：若返回的RST数据包的WINDOW值非零，则端口开放，反之端口关闭TCPACK扫描建立连接成功TCPACK扫描建立连接成功42NULL扫描扫描主机将TCP数据包中的ACK、FIN、RST、SYN、URG、PSH(接收端将数据转由应用处理)标志位置空后发送给目标主机。若目标端口开放，目标主机将不返回任何信息。若目标主机返回RST信息，则表示端口关闭。NULL扫描建立连接成功NULL扫描建立连接未成功43Xmastree扫描（圣诞树扫描）XMAS扫描原理和NULL扫描的类似，将TCP数据包中的ACK、FIN、RST、SYN、URG、PSH标志位置1后发送给目标主机。在目标端口开放的情况下，目标主机将不返回任何信息若目标端口关闭，则目标主机将返回RST信息XMAS扫描建立连接成功XMAS扫描建立连接未成功44端口扫描优点不会被记录到日志可以绕过某些防火墙netst