网络系统安全基础- 体系-技术-产品(ppt 111页)

网络系统安全基础主讲人：刘恒2003年10月体系/技术/产品主要内容体系技术产品防火墙入侵检测与应急响应网络防病毒安全评估与漏洞扫描网络审计CA系统主要内容体系技术产品防火墙入侵检测与应急响应网络防病毒安全评估与漏洞扫描网络审计CA系统什么是安全？Securityisthereductionofrisk安全就是降低风险，并使之达到“可接受”的程度安全策略安全管理安全评估整体安全技术因素全面服务保证网络基础结构网络安全物理安全操作系统平台的安全性应用平台的安全性应用数据安全信息安全体系的构成安全服务系统单元应传网链物用输络路理层层层层层认证访问控制数据完整性数据保密抗抵赖可用性安全管理安全管理安全管理协议层次审计物理安全计算机网络安全计算机系统安全应用系统安全传统网络安全防御体系动态防御体系在防护检测响应(PDR)模型基础上的动态防御体系,因为其优异的自适应、自控制、自反馈特性,已经在国际上得到了广泛的接受和采纳.安全的系统应当满足P(t)防护时间D(t)检测时间+R(t)响应时间•防护的成本取决于风险导致的损失•风险的大小和时间高度正相关•防御体系的建立必须围绕实时性和应急机制来充分提高其性能价格比PDR安全实用性模型动态防御体系新型安全体系安全策略（业务和组织规范）安全惯例（安全组织、物理安全、个人安全、操作安全等）体系和机制安全服务过程和方法认证授权连续性完整性抗抵赖审计安全基础设施网络安全安全技术安全APIs安全令牌可用性风险评估安全监控事件管理业务连续性灾难恢复计划安全保障安全鉴定法律法规遵从性和环境调整（银行业、取证、电子传输等）主要内容体系技术产品防火墙入侵检测与应急响应网络防病毒安全评估与漏洞扫描网络审计CA系统安全解决方案模型安全策略安全组织管理安全运作管理安全技术框架访问控制内容安全鉴别认证数据完整性认证访问控制数据保密性抗抵赖审计可用性相邻节点间的认证主机、路由器等源发认证包过滤防火墙电路层防火墙(如SOCKs)主机或路由器间IPSec等协议点到点加密机数字签名第三方公证应用层安全通信协议，如SSL身份认证应用层代理或网关用户授权与访问控制流量分析入侵监测网络结构设计，路由系统安全，基础服务安全，网络管理应用系统的容错容灾、服务管理主机和服务的审计记录分析点到点加密机传输层安全通信协议数据链路层与物理层网络层传输层应用层网络安全协议/功能模型体系与技术的对应关系防护的主要技术•访问控制:ACL,VLAN,防火墙•加密机,VPN•认证,CA检测的主要技术•入侵检测系统•漏洞扫描系统•病毒防护响应的主要技术•报警、记录、阻断、联动、反击PDR主要技术静态与动态安全技术•静态防护：–被动的，滞后的防御•动态防护：–主动的、实时的防御综合防御安全解决方案防病毒制订最高安全方针落实项目的安全审核工作明确安全领导小组工作职责策略的有效发布和执行策略体系开发和建立安全培训与资质认证落实安全责任文件安全组织建设资产鉴别和分类项目制订全员网络安全教育计划第三方安全管理策略的定期审查和修订BS7799认证项目网络安全域隔离和划分统一时钟服务防火墙和网络隔离紧急响应体系动态口令系统入侵监测系统主机安全业务连续性管理聘请专业公司或者专家作为顾问周期性风险评估服务项目日志监控系统冗余、备份和恢复可信信道数据源鉴别网络设备安全安全管理中心和网络安全平台PKI体系可行性分析基础项目优先项目非优先项目长期项目技术类项目管理类项目表示支持或支撑作用IT安全框架资产威胁防护措施策略框架组织框架运作框架技术框架鉴别和认证I&A访问和控制AC审计跟踪AT恢复和冗余R&R内容安全CS体系到解决方案风险评估服务顾问服务顾问服务CA/RSA基于系统AC功能漏洞扫描IDS网络架构安全分析网络架构安全分析防火墙系统冗余设计防病毒安全管理平台加密/完整检查主要内容体系技术产品防火墙入侵检测与应急响应网络防病毒安全评估与漏洞扫描网络审计CA系统防火墙功能防火墙就是一个位于计算机和它所连接的网络之间的硬件或软件。所有流入流出的网络通信均要经过此防火墙。为什么要使用防火墙？•防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。可将防火墙配置成许多不同保护级别。高级别的保护可以禁止一些服务，如视频流，Java，ActiveX，JavaScript脚本等•有时需要将内部网络划分为多个网段，为不同的部门设置不同的访问级别防火墙五大基本功能•过滤进、出网络的数据，是网络安全的屏障•管理进、出网络的访问行为，防止内部信息的外泄•封堵某些禁止的业务，对网络存取和访问进行控制•记录通过防火墙的信息内容和活动•对网络攻击的检测和告警，强化网络安全策略防火墙的分类•按逻辑功能•包过滤式防火墙：天融信，联想•应用代理式防火墙：TIS•状态检测防火墙•按体系结构•硬件防火墙：Netscreen,Nokia,CiscoPix•软件防火墙：Checkpoint,ISAServer•软硬结合•按操作模式•网桥模式•路由模式•NAT•按性能•百兆•千兆•按部署方式•边界(企业)防火墙•个人（主机）防火墙防火墙中的主要技术•封包过滤（PacketFileter）•状态检测（Statefulinspection）•网络地址转换NAT（NetworkAddressTransform）•代理技术（Proxy）封包过滤封包过滤（PacketFileter）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。状态检测状态检测（Statefulinspection）：其工作原理是检测每一个有效连接的状态，并根据这些状态信息决定网络数据包是否能够通过防火墙。它在协议栈低层截取数据包，然后分析这些数据包，并且将当前数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较，从而得到该数据包的控制信息，以达到提高效率、保护网络安全的目的。状态检测将数据包分成4种连接状态：New,Established，Related，Invalid使用NAT的原因•解决IP地址空间紧张的问题•共享modem拨号上网•多重服务器（负载分担load-sharing）代理技术代理技术（Proxy）：也叫应用网关（ApplicationGateway）,作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务(如http,ftp,smtp)编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。防火墙典型部署防火墙代理式防火墙部署示意图代理客户实际服务器代理内部网络管理终端内部主机外部主机主要防火墙品牌•中网•川大能士•方正数码•海信数码•华堂•华依科技•联想•龙马卫士通•三星防火墙•四川迈普•亿阳信通•中软华泰•中网通讯•天融信•东软•青鸟环宇•交大捷普•重庆银都天网•清华得实•中科安胜•华为•广州科达•广东海微•CheckPoint•Netscreen•Cisco•Nokia•三星如何选择防火墙？主要指标•设计性能（M）：10/100M，1000M•最大并发连接数（万）•接口类型、接口数•操作系统类型•MTBF(平均无故障时间/小时)•策略规则许可值•设计性能策略数•管理方式•是否支持与IDS联动•是否支持VPN、是否支持SNMP•是否支持双机热备、负载均衡防火墙性能指标•吞吐率0%10%20%30%40%1Single-RuleBi64帧吞吐量率CISCOPIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙NORTELASF185FE防火墙SERVGATEEdgeForce防火墙联想防火墙龙马卫士防火墙清华德实防火墙上海方正防火墙天融信防火墙亿阳信通防火墙千兆防火墙产品比较产品名称中软HuaTech-2000天融信NGFW40001.产品类型硬件硬件2.接口类型千兆光纤、千兆以太网千兆光纤、千兆以太网3.LAN接口数2—10≥34.并发连接数50万100万5.防火墙性能650M860M6.OS平台专用安全操作系统专用安全操作系统7.支持SNMP、VPN是是8.内容过滤内置、URL级信息过滤HTTP、POP3、FTP、TELNET、SNMP9.能防御DOS攻击类型端口扫描、拒绝服务、IP欺骗、非法IP报攻击等待100多种内置IDS功能10.管理方式WEB、RS232、TELNET、SSLWEB、RS232、SSH、SSL11.HA系统双机备份、负载均衡双机备份、负载均衡12.处理日志的方法定向导出、离线审计、数据库支持自动导出、自动分析13.与IDS联动是是百兆防火墙产品比较产品名称中网Lx300天融信NGFW30001.产品类型硬件硬件2.接口类型百兆光纤、百兆以太网百兆光纤、百兆以太网3.LAN接口数2—6≥34.并发连接数2.5万16万5.防火墙性能100M100M6.OS平台专用安全操作系统专用安全操作系统7.支持SNMP是是8.内容过滤支持实时代码检测，可外接防病毒网关HTTP、POP3、FTP、TELNET、SNMP9.能防御DOS攻击类型DDOS，SYNFLOODING内置IDS功能10.管理方式本地管理和远程管理，SSH，WEB界面WEB、RS232、SSH、SSL11.HA系统双机备份、负载均衡双机备份、负载均衡12.处理日志的方法支持周期备份自动导出、自动分析13.支持VPN、与IDS联动是是东软NetEye与PIX比较产品名称东软NetEyeFW3.2思科PIX515E1.产品类型硬件硬件2.接口类型千兆光纤、千兆以太网百兆RJ-453.LAN接口数32-6个4.并发连接数100万13万5.防火墙性能700M188M6.OS平台LinuxPIX操作系统7.支持SNMP、VPN支持SNMP，内置VPN支持SNMP，内置无VPN8.内容过滤无ActiveX，Javaapplet9.能防御DOS攻击类型PingofDeath，TCPSYNfloods，防源路由攻击、IP碎片包攻击、SYN等多种攻击PingofDeath，TCPSYNfloods10.管理方式C/S结构的GUI管理、串口管理串口、GUI、telnet，支持SSH、SNMP管理协议11.HA系统支持故障恢复（双机热备）支持故障恢复（双机热备）12.处理日志的方法审计日志存储方式:本地无本地日志存储，必须设置远程日志服务器13.与IDS联动支持无使用防火墙是否足够？•防火墙属于静态防护•防火墙难于防内•防火墙难于管理和配置，易造成安全漏洞•防火墙的安全控制主要是基于IP地址的，难于为用户在防火墙内提供一致的安全策略•防火墙只实现了粗粒度的访问控制，且不能与企业内部使用的其它安全机制（如访问控制）集成使用•任何一个系统（尤其是底层系统和应用系统）中可能存在着安全漏洞，造成绕过防火墙的攻击穿透防火墙的攻击Unicode%255c策略80端口允许Delc:\inetpub\:%255c绕过防火墙的攻击拨号上网遭受攻击来自防火墙内部的攻击针对防火墙的攻击DOS攻击FireWalk主要内容体系技术产品防火墙入侵检测与应急响应网络防病毒安全评估与漏洞扫描网络审计CA系统理解入侵检测系统(IDS)监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKeyIDS的主要功能•监视分析用户和系统的行为•审计系统配置和漏洞•评估敏感系统和数据的完整性•识别攻击行为并告警•对异常行为进行统计•审计、跟踪、识别违反安全法规的行为IDS的分类•基于网络的入侵检测系统：侦测速度快，隐蔽性好，视野更宽，较少的监测点，攻击者不易转移证据，操作系统无关性，占用资源少•基于主机的入侵检测系统：性能价格比高，更加细腻，视野集中，易于用户剪裁，节省资源，对网络流量不敏感，适