HSE培训教材(安全)

安全产品培训资料日期：201105密级：秘密杭州华三通信技术有限公司2011年华三HSE培训教材学习目的学习完本课程，您应该能够：1.掌握安全产品的基本原理2.掌握H3C安全产品的种类、功能及特点3.掌握H3C安全产品基本部署方法及行业重要应用案例4.掌握H3C园区网、广域网、数据中心三大安全解决方案及典型应用n第一章安全产品基础理论n第二章全系列安全产品综述n第三章SecPath防火墙/VPN/UTM产品系列n第四章SecPathIPS产品系列n第五章H3C应用控制产品系列n第六章H3C负载均衡交换机产品系列n第七章H3C专业抗DDoS攻击产品系列n第八章H3CSecCenter管理中心n第九章安全三大解决方案目录什么是防火墙？n防火墙：保护网络周边安全的关键设备，可以保护一个“信任”网络免受“非信任”网络的攻击，但是同时还必须允许两个网络之间可以进行合法（符合安全策略）的通信。n基本功能：网络隔离和访问控制防火墙交换机受信区域不受信区域DMZ区ü受信区域－DMZ区，可以访问POP3和SMTP服务üDMZ－受信区域，不可访问任何服务ü不受信区域－DMZ区，可以访问POP3和SMTP服务üDMZ－不受信区域，可以访问任何服务不受信区域和受信区域之间不能互访？中心节点Site-to-Site分支机构Extranet合作伙伴接入点DSLCable移动用户SOHO用户VPNInternetVPN即虚拟专用网：通过组合数据封装（隧道）技术和加密技术，实现私有数据通过公共网络平台进行安全传输，从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接，或者提供移动用户安全的通过公共网络平台接入内网。VPN协议包括：L2TPVPN、GREVPN、IPSecVPN、MPLSVPN、SSLVPN等多种协议模式，其中IPSec和SSLVPN为主要应用协议，某些情况下需要组合多种协议。？包头协议数据内容nIPS定义：IntrusionPreventionSystem，入侵防御系统nIPS的两个关键特征：n深入七层的数据流攻击特征检测（可检测蠕虫、基于Web的攻击、利用漏洞的攻击、网页篡改、木马、病毒、P2P滥用、DoS/DDoS等）n在线部署，实时阻断攻击，这个特征也是与IDS的主要区别FW交换机IPS内部网络nIPS是目前业界最主流的应用层安全硬件产品：不同网络层次面临的安全威胁中间件数据库操作系统HTTPSMTPDNSSQLP2PTCPUDPIPICMP路由协议以太网ARP/RARP物理链路IM应用程序应用层网络层链路层物理层层次主要安全威胁知名安全事故举例防护技术物理层设备或传输线路物理损坏07年初，多条国际海底通信光缆发生中断防盗、防震、防灾等链路层ARP欺骗、广播风暴07年，ARP病毒产生的ARP欺骗造成部分高校大面积断网MAC地址绑定、VLAN隔离、安全组网网络层访问控制问题、协议异常、网络层DDoS90年代末的Teardrop、Land攻击；00年2月，雅虎、亚马逊等被大流量攻瘫安全域技术、防火墙技术应用层漏洞利用、扫描探测、协议异常、蠕虫、病毒、木马、钓鱼、SQL注入、P2P、应用层DDoS……举不胜举入侵防御技术什么是蠕虫？定义：计算机蠕虫是指通过计算机网络传播的病毒，泛滥时可以导致网络阻塞甚至瘫痪。特点：传播快、传播广、危害高蠕虫的危害性、系统漏洞蠕虫蠕虫的主要危害：•网络拥挤某知名三大蠕虫病毒一齐爆发，蚕食25%网络带宽•DoS（DenialofService）攻击由于DoS攻击，联众网络瘫痪攻击长达一个月。•经济损失巨大联众网络瘫痪攻击长达一个月，经济损失达上百万。•蠕虫的分类系统漏洞型、群发邮件型、共享型、寄生型、混合型系统漏洞蠕虫：利用系统漏洞主动感染传播•红色代码(CodeRed)：MS01-033，微软索引服务器缓冲区溢出漏洞，TCP80•冲击波(Blaster)MS03-026，RPCDCOM服务漏洞，TCP135139等•震荡波(Sasser)：MS04-011，LSASS本地安全认证子系统服务漏洞，TCP445等•SQLSLAMMER：MS02-039，SQL服务器漏洞，UDP1434间谍软件定义：谍软件驻留在计算机的系统中，收集有关用户操作习惯的信息，并将这些信息通过互联网悄无声息地发送给软件的发布者，由于这一过程是在用户不知情的情况下进行，因此具有此类双重功能的软件通常被称作SpyWare（间谍软件）。类型n浏览器劫持IE工具条和弹出窗口nWinsock劫持n中间人代理危害n占用大量硬盘和CPU资源n造成计算机计算缓慢、死机n修改IE设置、安装工具条，很难修改回去n安装后门、病毒和向外泄漏信息n个人信息和密码、上网习惯、EMAIL联系人地址等等n不断向外连接和弹出广告窗口，耗费了大量的网络带宽带宽滥用•“带宽滥用”是指对于企业网络来说，非业务数据流（如P2P文件传输与即时通讯、垃圾邮件、病毒和网络攻击）消耗了大量带宽，轻则影响企业业务无法正常运作，重则致使企业IT系统瘫痪。•据研究机构Cachelogic调查，如今P2P占了全球网络流量的一半以上02040608010012014016018020013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:00Mbps(AverageperHour)OracleE-mailHTTPP2PRateLimitKazaaeDonkeyWinMX(DenialofService，拒绝服务)，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。nDDoS(DistributedDenialofService，分布式拒绝服务)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。DoS攻击是导致去年损失最为惨重的计算机犯罪事件，其带来的损失是其它各类攻击造成损失总和的两倍有余。”—2004年CSI/FBI计算机犯罪及安全调查。网上黑客每周发起的DoS攻击超过了4000次DoS/DDoS的危害n服务器宕机，业务中断n大面积断网，网络瘫痪网络层漏洞典型：PingofDeath：根据TCP/IP的规范，一个包的长度最大为64K。当一个主机收到了长度大于64K字节的包时，会造成主机的宕机。特点：种类繁多，一击致命，攻击方式生命周期短防范：防火墙匹配攻击特征，升级系统。应用层漏洞典型：•MS04-29：当RPC运行时库处理特制的消息时，存在一个信息泄露和拒绝漏洞•MS05-45：网络连接管理器中的漏洞可能允许拒绝服务特点：层出不穷一击致命，防火墙无法防御。防范：及时打补丁•利用数字疫苗技术•IPS进行精确阻断～～77安全安全负载均衡负载均衡11、防火墙、防火墙/VPN/VPN22、入侵防御系统、入侵防御系统33、防、防Dos/DDosDos/DDos攻击攻击11、、L4L4负载均衡负载均衡(85%)(85%)22、、L7L7负载均衡负载均衡33、链路负载均衡、链路负载均衡44、全局负载均衡、全局负载均衡11、、SSLSSL卸载卸载22、、TCPTCP连接复用和优化连接复用和优化33、、WEBcacheWEBcache44、压缩技术、压缩技术应用交付负载均衡（LoadBalance），属于应用交付领域，其意思就是将负载（工作任务）进行平衡、分摊到多个操作单元上进行执行，比如服务器、多条链路、全局服务器等，从而共同完成工作任务为什么需要负载均衡？Internet解决方案n服务器负载均衡方案优点n提高整网的反应速度与总体性能n提高服务器组的可靠性n提高系统的扩展能力ServerTooBusyInternet应用背景n访问流量快速增长n业务量不断提高用户需求n希望获得7×24的不间断可用性及较快的系统反应时间根据配置规则，将客户端请求智能地分发到后端应用服务器健康性检查算法n实时监控服务器运行状态Application192.168.1.12Database192.168.1.11Web192.168.1.10ClientsLoadBalancerServerFarmsClientIP:4.3.2.1Client’sRequest:SourceIP=4.3.2.1Destination=VIP-6.6.6.100VIP:6.6.6.100LBtoClient:SourceIP=VIP-6.6.6.100Destination=4.3.2.1LBtoServer:SourceIP=4.3.2.1Destination=192.168.1.10ServertoClient::SourceIP=192.168.1.10Destination=4.3.2.1n第一章安全产品基础理论n第二章全系列安全产品综述n第三章SecPath防火墙/VPN/UTM产品系列n第四章SecPathIPS产品系列n第五章H3C应用控制产品系列n第六章H3C负载均衡交换机产品系列n第七章H3C专业抗DDoS攻击产品系列n第八章H3CSecCenter管理中心n第九章安全三大解决方案目录防火墙/VPN系列网络层安全专业抗DDoS产品F100-C系列F100-SF100-MF100-A系列V100-EF100-EU200-C系列U200-SU200-MU200-AF1000-S系列F1000-A系列F1000-E系列SecbladeAFCF5000-A5H3C防火墙/VPN系列应用层安全负载均衡产品SecbladeLBT1000-ST1000-MT5000-S3T1000-CSecBladeIPST200-MT200-AT200-ST1000-AACG2000-MSecBladeACGACG8800-S3安全管理安全管理中心SecCenterEADFW/IPS/UTM/ACG/AFC/IPS-DManagerFW、SSLVPNF1000-C架构，安全与网络深度融合无线控制器业务模块业界容量最大，同时支持640个AP实现有线无线一体化网络部署SSLVPN模块让用户使用最低成本情况下部署移动、远程接入满足多种远程方式ACG应用控制网关模块首创UAAE技术，实现对各种P2P与VoIP协议模型的深层次分析和控制AFC异常流量清洗模块多核CPU+ASIC硬件架构提供万兆高性能业务处理能力结合交换机设备实现灵活的网络部署LB负载均衡模块支持NAT、DR模式以及各种负载均衡算法，满足各类用户的不同需求，在服务器群前端形成有效均衡，极BL大提升服务器组的性能。防火墙功能业务模块万兆处理能力多CPU架构，突破安全处理瓶颈融合网络产品丰富安全特性板卡插卡融合的优势——即插即用，确保业务连续性u快速升级和扩容，满足业务平滑升级u所有组件（单板、电源、风扇）支持热插拔，即插即用u部署简单，网络功能与4、7层应用优化功能一体化，减少设备占用空间和布线难度u管理简单，支持统一管理，字母