安全主流产品与常见工具(3)

安全主流产品与常见工具苏璞睿信息安全国家重点实验室Email:supurui@is.iscas.ac.cn课程内容•防火墙•VPN•内外网隔离•日志审计•入侵检测•隐患扫描•PKI(CA)•PGP•安全加固•防病毒课程内容•防火墙•VPN•内外网隔离•日志审计•入侵检测•隐患扫描•PKI(CA)•PGP•安全加固•防病毒防火墙（Firewall）•防火墙基础知识•防火墙体系结构•防火墙技术•防火墙评测指标防火墙（Firewall）•防火墙基础知识–什么是防火墙–防火墙可以做什么–防火墙的局限性•防火墙体系结构•防火墙技术•防火墙评测指标什么是防火墙（图）Internet什么是防火墙•防火墙是在被保护网络与因特网之间，或者在不同的网络之间，实施访问控制的一种或一系列部件。防火墙可以做什么•防火墙是安全决策的焦点（阻塞点）•防火墙能强制安全策略•防火墙能有效地记录网络活动防火墙的局限性•限制了可用性•对网络内部的攻击无能为力•不能防范不经过防火墙的攻击•不能防范因特网上不断产生的新的威胁和攻击•不能完全防范恶意代码的通过防火墙（Firewall）•防火墙基础知识•防火墙体系结构–双重宿主主机体系结构–屏蔽主机体系结构–屏蔽子网体系结构–其他体系结构•防火墙技术•防火墙评测指标双重宿主主机体系结构（图）双重宿主主机体系结构•是最基本的防火墙系统结构•双重宿主主机位于外部网络和受保护网络之间，至少有两个网络接口。所有在这两个网络间发送的IP数据包都会经过该主机，该主机可以对转发的IP包进行安全检查•优点：构造简单•缺点：易受攻击屏蔽主机体系结构（图）屏蔽主机体系结构•屏蔽主机结构将提供安全保护的堡垒主机置于内部网上，使用一个单独的路由器对该主机进行屏蔽•优点：能够提供更高层次的安全保护•缺点：堡垒主机一旦被攻破，整个网络就会被攻破屏蔽子网体系结构（图）屏蔽子网体系结构•屏蔽子网结构在屏蔽主机结构基础上，增加了一层周边网络的安全机制，使内部网络与外部网络之间有两层隔离。•优点：即使堡垒主机被攻破，也不能直接侵入内部网络。体系结构的其他形式•使用多堡垒主机•合并内部与外部路由器•合并堡垒主机与外部路由器•使用多台外部路由器、多个周边网络•组合使用双重宿主主机和屏蔽子网不宜采用的体系结构•合并堡垒主机与内部路由器•使用多台内部路由器防火墙（Firewall）•防火墙基础知识•防火墙体系结构•防火墙技术–数据包过滤–应用代理–NAT–个人防火墙•防火墙评测指标数据包过滤(1)•数据包过滤是一个网络安全保护机制，它用来控制流出和流入网络的数据•在TCP/IP网络中，数据都是以IP包的形式传输的，数据包过滤机制就是对通过防火墙的IP包进行安全检查，将通过安去检查的IP包进行转发，否则就阻止通过数据包过滤(2)（图）数据包过滤(3)•判断依据有：–数据包协议类型：TCP、UDP、ICMP、IGMP等–源、目的IP地址–源、目的端口：FTP、HTTP、DNS等–IP选项：源路由、记录路由等–TCP选项：SYN、ACK、FIN、RST等–其它协议选项：ICMPECHO、ICMPECHOREPLY等–数据包流向：in或out–数据包流经网络接口：eth0、eth1数据包过滤设置实例规则方向源地址源端口目标地址目标端口动作1出内部*61.X.*拒绝2入211.X.*内部*拒绝3双向***25拒绝数据包过滤(4)•数据包过滤的优点：–一个配置适当的数据包过滤器可以保护整个网络–对用户透明度高–易实现：大多数路由器都具有数据包过滤功能•数据包过滤的缺点：–配置和检验较为困难–一些协议不适合数据包过滤–某些策略难以执行应用代理(1)•是各种应用服务的转发器•它接收来自内部网络特定用户应用程序的通信，然后建立与公共网络服务器单独的连接•代理防火墙通常支持的一些常见的应用程序有：HTTP、HTTPS/SSL、SMTP、POP3等等应用代理(2)（图）客户应用代理服务器发送请求转发响应转发请求发送响应应用代理(3)（图）应用代理(4)•它的优点是：–对用户透明–支持用户认证–可以产生小并且更有效的日志。•它的缺点是：–速度比较慢–对一些新的或不常用的服务不支持NAT（网络地址转换协议）•可以使多个用户分享单一的IP地址•为Internet连接提供一些安全机制•可以向外界隐藏内部网结构•转换机制：–当内部用户与一个公共主机通信时，NAT追踪是哪一个用户作的请求，修改传出的包，这样包就像是来自单一的公共IP地址个人防火墙(1)•是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行•可以对用户计算机的网络通信进行过滤•通常具有学习模式，可以在使用中不断增加新的规则个人防火墙(2)(图）防火墙（Firewall）•防火墙基础知识•防火墙体系结构•防火墙技术•防火墙评测指标防火墙评测指标(1)•对防火墙的评估通常包括对其功能、性能和可用性进行测试评估。•对防火墙性能的测试指标主要有–吞吐量–延迟–帧丢失率防火墙评测指标(2)•对防火墙的功能测试通常包含–身份鉴别–访问控制策略及功能–密码支持–审计–管理–对安全功能自身的保护防火墙测评方法NetScreenVs.CheckPoint供应商NetScreenCheckPoint架构硬件软件性能在操作系统screenos版本为3.0时防火墙的通透性可以达到12Gbps之高依赖于使用平台的CPU、内存等配置，使用新技术ApplicationInteglligence后，性能在原来的基础上进一步提升了31%。稳定性和兼容性采用的专门的软硬件，系统的稳定性上理论上应该领先；操作系统是专用的screenos，不存在防火墙和硬件的兼容性问题。操作系统和硬件不是特定为防火墙各项功能设计的，因此可能会存在稳定性和兼容方面的隐患功能和灵活性采用的专门设计的操作系统和硬件架构，灵活性上要相对差一些，而且可能提供的功能相对较少架构不依赖硬件，理论上功能是可以无限扩充的，它能给客户更多的控制和定制功能引自YimingGong课程内容•防火墙•VPN•内外网隔离•日志审计•入侵检测•隐患扫描•PKI(CA)•PGP•安全加固•防病毒VPN(VirtualPrivateNetwork)•什么是VPN•VPN的分类•VPN的隧道协议VPN•什么是VPN•VPN的分类•VPN的隧道协议什么是VPN(1)什么是VPN(2)•VPN即虚拟专用网，是指一些节点通过一个公用网络（通常是因特网）建立的一个临时的、安全的连接，它们之间的通信的机密性和完整性可以通过某些安全机制的实施得到保证•特征–虚拟(V)：并不实际存在，而是利用现有网络，通过资源配置以及虚电路的建立而构成的虚拟网络–专用(P)：每个VPN用户都可以从公用网络中获得一部分资源供自己使用–网络(N)：既可以让客户连接到公网所能够到达的任何地方，也可以方便地解决保密性、安全性、可管理性等问题，降低网络的使用成本什么是VPN(3)•安全功能–信息机密性，确保通过公网传输的信息以加密的方式传送，即使被他人截获也不会泄露–信息完整性，保证信息的完整性–用户身份认证，能对用户身份进行认证，确定该用户的访问权限–访问控制，用户只能读写被授予了访问权限的信息VPN•什么是VPN•VPN的分类•VPN的隧道协议VPN的分类•根据VPN所起的作用，可以将VPN分为：–AccessVPN–IntranetVPN–ExtranetVPNAccessVPN•处理可移动用户、远程交换和小部门的远程访问公司内部网的VPNIntranetVPN（企业内部虚拟网）•是在公司远程分支机构的LAN和公司总部LAN之间，通过Internet建立的VPNExtranetVPN（企业外部虚拟网）•在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN•由于不同公司网络环境的差异性，必须能兼容不同的操作平台和协议•设置特定的访问控制表ACL（AccessControlList），根据用户相应的访问权限开放相应资源ExtranetVPN（图）VPN•什么是VPN•VPN的分类•VPN的隧道协议VPN的隧道协议•VPN的关键技术在于通信隧道的建立，数据包通过通信隧道进行封装后的传送以确保其机密性和完整性•通常使用的方法有：–使用点到点隧道协议PPTP、第二层隧道协议L2TP、第二层转发协议L2F等在数据链路层对数据实行封装–使用IP安全协议IPSec在网络层实现数据封装–使用介于第二层和第三层之间的隧道协议，如MPLS隧道协议PPTP/L2TP(1)•1996年，Microsoft和Ascend等在PPP协议的基础上开发了PPTP，并将它集成于WindowsNTServer4.0中，同时也提供了相应的客户端软件•PPTP可把数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进行传输•PPTP提供流量控制,采用MPPE加密算法PPTP/L2TP(2)•1996年，Cisco提出L2F（Layer2Forwarding）隧道协议•1997年底，Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议•L2TP可以实现和企业原有非IP网的兼容,支持MP（MultilinkProtocol），可以把多个物理通道捆绑为单一逻辑信道PPTP/L2TP(3)•优点：–支持其他网络协议–支持流量控制–对用微软操作系统的用户来说很方便•缺点：–通道打开后，源和目的用户身份不再就行认证，存在安全隐患–限制同时最多只能连接255个用户–端点用户需要在连接前手工建立加密信道IPSecVPN(1)•IPSEC的隧道协议开始于RFC1827即IP封装安全有效负载(ESP)，它定义了一个通用的数据报封装方法•ESP通过对要保护的数据进行加密，以及将它放置在IP封装安全有效负载的有效负载部分，来提供机密性和完整性。通过使用验证包头（AH，在RFC2402中定义），也可以提供IP数据报的验证IPSecVPN(2)•AH包头的结构：•IPSECAH/ESP数据包结构IPSecVPN(3)•IPSECVPN是基于IPSec协议的VPN产品，由IPSec协议提供隧道安全保障•特点：只能支持IP数据流•目前防火墙产品中集成的VPN多为使用IPSec协议MPLSVPN•是在网络路由和交换设备上应用MPLS(MultiprotocolLabelSwitching)技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IPVPN）•运行在IP+ATM或者IP环境下，对应用完全透明•相关标准：–RFC3270–RFC2764MPLSVPNPE=ProviderEdgeRouterLSR=LabelSwitchRouter课程内容•防火墙•VPN•内外网隔离•日志审计•入侵检测•隐患扫描•PKI(CA)•PGP•安全加固•防病毒内外网隔离•物理隔离•逻辑隔离内外网隔离•物理隔离–安全需求–物理隔离技术•逻辑隔离安全需求(1)•《计算机信息系统国际联网保密管理规定》第六条规定：涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离。安全需求(2)•实现内网和外网的网络隔离的要求：–用户访问内网时，断开外网网络连接–访问外网时，断开内网网络连接–用户不能同时连入内、外网，始终保持内网、外网网络隔离的状态安全需求(3)•对物理隔离技术的要求：–高度安全–较低的成本–容易部置、结构简单–易于操作–具有灵活性与扩展性物理隔离技术•双网机技术•物理隔离卡–双网线的物理隔离卡–单网线的物理隔离卡•网络安全隔离集线器•物理隔离网闸（GAP）双网机技术•在一个机箱内设有两块主机板、两套内存、两块硬盘和两CPU•相当于两台计算机共用一个显示器•用户通过客户端开关，分别选择两套计算机系统•特点是：–客户端成本很高–网络布线为双网线结构–技术水平简单物理隔离卡－双网线隔离卡