NetScreen—网络安全培训

第1页2019/9/16朝华软件应用服务有限公司NetScreen—网络安全培训Page2Date:2019年9月培训内容•网络安全部分网络安全分析黑客常用攻击手段•网络安全的维护网络安全应用•防火墙的应用•常见故障解决Page3Date:2019年9月网络安全分析2004年，公安部公共信息网络安全监察局与中国计算机学会计算机安全专业委员会共同举办了全国首次信息网络安全状况调查活动。信息网络使用情况Page4Date:2019年9月网络安全分析•使用的操作系统Page5Date:2019年9月网络安全分析•网络安全事件情况Page6Date:2019年9月网络安全分析网络安全事件造成的破坏和损失Page7Date:2019年9月网络安全分析•网络攻击产生原因分析Page8Date:2019年9月网络安全分析•网络攻击来源分析Page9Date:2019年9月网络安全分析•网络安全事件的比例没有1次2次3次以上不清楚政府(1541份)40%22%14%18%5%金融证券(1017份)56%18%10%12%4%教育科研(976份)26%23%13%33%6%电信(503份)33%23%13%25%6%互联网和信息技术(934份)29%23%17%26%5%广电和新闻(106份)29%24%16%24%8%制造(386份)27%21%13%31%8%Page10Date:2019年9月网络安全分析•网络安全管理情况Page11Date:2019年9月网络安全分析*BasedondatafromDataquest/GartnerGroup,InfoneticsResearch,InternationalDataCorp.•应用最广泛的网络安全产品Page12Date:2019年9月网络安全分析•常用管理方法Page13Date:2019年9月黑客常用攻击手段Page14Date:2019年9月黑客常用攻击手段•隐藏IP地址利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址，可以向这个IP发动各种进攻，如DoS(拒绝服务)攻击、Floop溢出攻击等。•端口扫描黑客在入侵时常常会扫描你的计算机端口，通过这些服务端口进行攻击，可造成DoS等攻击。•恶意代码利用ActiveX控件和JavaApplets这些控件编写的小程序，只要打开网页就会被运行，对本地电脑安全产生巨大的影响。可完全控制你的电脑。•木马程序木马程序会窃取所植入电脑中的有用信息，从而控制这台电脑。Page15Date:2019年9月黑客常用攻击手段•操作系统漏洞黑客可利用主机的操作系统漏洞，控制这台计算机，进行黑客所想做的行为。•重放数据法收集特定的IP包，修改里面的数据，然后再一一重新发送，欺骗接收的主机。•分片数据向被攻击者发送多个分片的IP包，某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。Page16Date:2019年9月网络安全的维护•漏洞的预知•进出数据的安全管理•实时侦测与防护•网络实时防、杀毒•远程数据转输的安全性•强化的管理Page17Date:2019年9月网络安全的维护•安全漏洞评估安全漏洞评估系统是一个漏洞和风险评估工具，用于发现、发掘和报告网络安全漏洞。一个出色的安全评估系统不仅能够检测和报告漏洞，而且还可以证明漏洞发生在什么地方以及发生的原因。它质询网络和系统；在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞；还可以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞。这就使得风险分析更加精确并确保管理员可以把风险程度最高的漏洞放在优先考虑的位置。最新的漏洞评估系统还采用了独特的“路径分析技术”，用以发现漏洞的根本原因。通过分析漏洞的根本原因，任何重复的漏洞、模式或异常的现象很容易被确定到是否是重要问题，或被确定到网络中的系统并且迅速被排除。提前预知内部网络的漏洞，进行全面的修补后，可大量减少黑客攻击的成功性。Page18Date:2019年9月网络安全的维护•防火墙的应用防火墙是安全防护中必要的环节。防火墙可以提供稳定可靠的安全性，跟踪流经它的所有通信信息。为了达到控制目的，防火墙可以获得所有通信层和其它应用的信息，然后存储这些信息，并且能够重新获得以及控制这些信息。防火墙仅检查独立的信息包是不够的，因为状态信息——以前的通信和其它应用信息——是控制新的通信连接的最基本的因素。对于某一通信连接，通信状态（以前的通信信息）和应用状态（其他的应用信息）是对该连接做控制决定的关键因素。因此为了保证高层的安全，防火墙必须能够访问、分析和利用通信信息、通信状态、应用状态，并做信息处理。防火墙可处理其中一部分信息！Page19Date:2019年9月网络安全的维护•实时侦测与防护实时入侵检测系统，它能够对付来自内部网络的攻击，并且能够减少被黑客入侵的时间。基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视。因此，在提供关键服务的服务器上使用入侵监测系统，安装实时的安全监控系统，可以提高服务器系统的可靠性，使网络安全系统更加强健。选择入侵检测系统，应特别注意其主要性能的情况，包括：协议分析及检测能力；解码效率(速度)；自身安全的完备性；精确度及完整度，防欺骗能力；模式更新速度等等。入侵检测与防护并不在网络中旁路监听，而串接在网络链路中，所有进出数据都要被检测，且其工作在整个OSI网络的各个层面（主要是四到七层），因此入侵检测与防护产品能够真正的保护网络的安全（但它并有能取代防火墙）。Page20Date:2019年9月网络安全的维护•网络防、杀病毒防、杀病毒软件是专门为防止已知和未知的病毒感染你的信息系统而设计的。它的针对性很强，但是需要不断更新，而且存在一定的片面性。由于这方面的介绍已经很多，这里不作进一步的展开。网络版防、杀病毒软件能够有效的进行整体网络的病毒库的升级，并且可强制对某一台或多台终端杀毒，大大减少了因病毒而引起的网络和终端的网络应用方面的故障！Page21Date:2019年9月网络安全的维护•多层防护发挥的作用经过以上产品的应用，可实现多层防护，达到网络安全的目的。让我们看看多层防护策略如何发挥作用。即使网络中的入侵检测系统失效，防火墙、安全漏洞评估和防病毒软件还会起作用。配置合理的防火墙能够在入侵检测系统发现之前阻止最普通的攻击。安全漏洞评估能够发现漏洞并帮助清除这些漏洞。如果一个系统没有安全漏洞，即使某一个攻击没有被发现，那么这样的攻击也不会成功。即使入侵检测系统没有发现已知病毒，防火墙没能够阻止病毒，安全漏洞检测没有清除病毒传播途径，防病毒软件同样能够侦测这些病毒。所以，在使用了多层安全防护措施以后，企图入侵你公司的信息系统的黑客要付出成数倍的代价才有可能达到入侵目的。这时，你的信息系统的安全系数得到了大大的提升。需要特别说明的事，网络安全的多层防护并不是一个空洞的概念和设想，而是当今领先的专业厂商完全可以提供的网络安全系列产品和全面解决方案。Page22Date:2019年9月网络安全的维护•远程数据转输的安全性•常用手段•VPN•SSLVPNPage23Date:2019年9月网络安全的维护•VPNVPN常用方式为IPSEC方式IPSecVPN技术在IP传输上通过加密隧道，在用公网传送内部专网的内容的同时，保证内部数据的安全性，从而实现企业总部与各分支机构之间的数据、话音、视频业务互通。Page24Date:2019年9月网络安全的维护•IPSECVPN的优势经济不再承担昂贵的固定线路的租费。DDN、帧中继、SDH的异地收费随着通讯距离的增加而递增，分支越远，租费越高。而Internet的接入费用则只承担本地的接入费用，无论分支多远，费用却是一样的。因此，连接长途分支时，采用Internet作为传输骨干是非常便宜的，但带宽却可以较高。此外，VPN设备功能强劲但造价低廉。灵活连接Internet的方式可以是10M、100M端口，也可以是2M或更低速的端口，还可以是便宜的DSL连接，甚至于拨号连接都可以连接Internet，因而成为选择种类众多的端口连接方式。一个IPSecVPN网络可以连接任意地点的分支，即使跨越大洋也毫不受限制。Page25Date:2019年9月网络安全的维护•IPSECVPN的优势广泛IPSecVPN可以以低廉的价格连接少量的分支，也适合连接众多的分支。IPSecVPN的核心设备的扩展性好，一个端口可以同时连接成千上万的分支，包括分支部门和移动办公的用户，而不需要SDH、DDN等一个端口对应一个远端用户。多业务远程的IP话音业务和视频也可传送到远端分支和移动用户，连通数据业务一起，为现代化办公提供便利条件，节省大量长途话费。Page26Date:2019年9月网络安全的维护•IPSECVPN的优势安全IPSecVPN的显著特点就是它的安全性，这是它保证内部数据安全的根本。在VPN交换机上，通过支持所有领先的通道协议、数据加密、过滤/防火墙、通过RADIUS、LDAP和SecurID实现授权等多种方式保证安全。同时，VPN设备提供内置防火墙功能，可以在VPN通道之外，从公网到私网接口传输流量。此外，该技术还可通过RADIUS、PAP、CHAP、Tokens、X.509、LDAP和SecurID等认证方式。冗余设计VPN设备可提供冗余机制，保证链路和设备的可靠性。在中心节点VPN核心设备提供冗余CPU、冗余电源的硬件冗余设计。而在链路发生故障时，VPN交换机支持静态隧道故障恢复功能，其安全IP服务网关可以在多条路由选择路径以及多个交换机之间实现负载均衡。此外在连接时，VPN客户端会自动选择通讯列表中设置的本区域的骨干节点，当本区域节点故障时，自动依列表上的设置选择连接其他VPN交换机，从而达到连接的目的。Page27Date:2019年9月网络安全的维护•IPSECVPN的优势通道分离VPN交换机的分离通道特性为IPSec客户端提供同时对Internet、Extranet和本地网络访问的支持。该技术可以设置权限，允许用户的访问权限，如允许本地打印和文件共享访问，允许直接Internet访问和允许安全外网访问，该特性使用户在安全条件下合理方便地使用网络资源，既有安全性又有灵活性。动、静态路由众多的用户和复杂的路由需要路由协议的支持使得整个网络的地址管理方便有效，RIP和OSPF协议使得VPN设备之间象路由器一样连接和扩展，适合网络规模的不断扩大。并且动态路由协议可在加密隧道中支持。Page28Date:2019年9月网络安全的维护•IPSECVPN的优势管理特性管理人员可以通过管理软件，远程配置达到对远端节点的管理。Page29Date:2019年9月网络安全的维护•VPN•SSLVPNSSL的英文全称是“SecureSocketsLayer”，中文名为“安全套接层协议层”，它是网景（Netscape）公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议（如Http、Telenet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。•SSL与IPSec安全协议一样，也可提供加密和身份验证安全方法。但是不管怎样，SSL协议只对通信双方所进行的应用通道进行加密，而不是对从一个主机到另一主机的整个通道进行加密。因为绝大多数客户应用，是不必加密从一个系统到另一个系统的整个通道的，仅加密应用数据这一方案更显恰当。Page30Date:2019年9月网络安全的维护•SSLVPN的优势不需要客户端软件在SSL代理中的一个关键优势就是不需要在客户端安装另外的软件，而只需要在服务器端安装相应的软件和硬件，然后通过服务器向客户端发布。SSL代理可以使用于支持SSL技术的标准Web浏览器和email客户中。容易使用，容易支持Web界面