第10章 网络安全技术（经典实用）

第10章 网络安全技术,计算机网络安全,第10章 网络安全技术,第10章 网络安全技术,网络安全的威胁,网络安全解决方案,网络稳定性方案,网络安全设备,第10章 网络安全技术,10.1 网络安全的威胁,网络面临的威胁 网络安全威胁根本源自于网络自身的脆弱性。网络的开放性和安全性本身即是一对固有矛盾，无法从根本上予以调和。再加上基于网络的诸多已知和未知的人为与技术安全隐患，网络很难实现自身的根本安全当网络不仅作为信息传递的平台和工具，而且担当起控制系统的中枢时，运行于网络平台的各种应用和服务，也必然地处于相应的威胁中,第10章 网络安全技术,10.1 网络安全的威胁,威胁网络安全的因素 系统漏洞威胁,第10章 网络安全技术,10.1 网络安全的威胁,威胁网络安全的因素 人为因素威胁 操作失误 恶意攻击 黑客入侵 踩点、扫描、突破、获得管理权限、数据窃取、留取后门程序、清理痕迹,第10章 网络安全技术,10.2 网络安全解决方案,网络信息安全系统 体系结构 计算机安全 通信保密安全 信息安全,第10章 网络安全技术,10.2 网络安全解决方案,网络信息安全系统 体系结构 计算机安全 通信保密安全 信息安全 安全机制 访问控制 保密性 完整性 可用性 不可抵赖性,安全标准 信息安全标准的产生 国际组织信息安全标准 国内组织信息安全标准 美国国防部安全计算机系统评估标准,第10章 网络安全技术,10.2 网络安全解决方案,网络安全体系结构 体系结构 环境安全 设备安全 媒体安全 网络临界点安全,网络结构规划 内部网不同网络安全域的隔离及访问控制 网络安全检测 审计与监控 网络防病毒 网络备份系统,第10章 网络安全技术,10.2 网络安全解决方案,网络安全体系结构 系统安全 对操作系统进行安全配置，提高系统的安全性。 尽可能建立安全的系统平台，而且通过专业的安全工具不断发现漏洞，修补漏洞，以提高系统的安全性。 网络上的服务器和网络设备尽可能不采取同一家的产品。 通过专业的安全工具（安全检测系统）定期对网络进行安全评估,第10章 网络安全技术,10.2 网络安全解决方案,网络安全体系结构 信息安全 在局域网络内，对不同的信息进行区域规划，执行严格的授权访问机制。 将所有敏感信息都集中保存在网络内的文件服务器中 制定严格的文件访问权限 将不同类型的用户划分于不同的用户组或组织单位，并为用户组和组织单位指定相应的访问权限 安装RMS服务，严格限制对敏感文件的操作 其他基于交换机和路由器的安全措施,第10章 网络安全技术,10.2 网络安全解决方案,网络安全体系结构 应用安全 应用系统的安全跟具体的应用有关，并涉及到信息、数据的安全性，主要考虑通信的授权，传输的加密和审计记录。 管理的安全 建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务,第10章 网络安全技术,10.2 网络安全解决方案,网络安全关键技术 网络设备的安全 地址和端口转换 控制虚拟终端访问 端口安全 设置访问列表 MAC地址绑定 VLAN安全 控制HTTP访问 阻止蠕虫病毒,服务器安全 网络连接策略 账户安全策略 本地安全策略 客户端安全 系统自动更新 安装防病毒软件 使用代理服务器 安装个人防火墙,第10章 网络安全技术,10.2 网络安全解决方案,网络安全关键技术 无线网络安全 加密传输 身份验证 修改SSID并禁止SSID广播 禁用DHCP服务 禁用或修改SNMP设置 使用访问列表 放置无线AP和天线,第10章 网络安全技术,10.2 网络安全解决方案,安全管理 安全管理规范 负责原则、有限原则、分离原则 网络管理 管理员可以在管理机器上对整个内部网络上的网络设备、安全设备、网络上的防病毒软件、入侵检测探测器进行综合管理，同时利用安全分析软件可以从不同角度对所有的设备、服务器、工作站进行安全扫描，分析的安全漏洞，并采取相应的措施。 安全管理 安全管理的主要功能指对安全设备的管理；监视网络危险情况 ；身份认证；对资源或用户动态的或静态的审计；对违规事件，自动生成报警或生成事件消息；口令管理；密钥管理；冗余备份,第10章 网络安全技术,10.3 网络稳定性方案,数据备份 网络服务的备份,第10章 网络安全技术,10.3 网络稳定性方案,数据备份 数据库的备份 数据库备份是指对数据库结构和数据进行拷贝，以便在数据库出现故障的时候能够恢复数据库。数据库故障是难以预测的，因此必须采取安全措施尽量防止数据库出现故障。 Access数据库的备份 SQL Server数据库备份,第10章 网络安全技术,10.3 网络稳定性方案,网络设备安全 地址和端口转换 静态地址转换 动态地址转换 端口复用地址,第10章 网络安全技术,10.3 网络稳定性方案,网络设备安全 控制虚拟终端访问 Switch# configure terminal Switch（config）# access-list access-lis -number permit ip-address Switch（config）# line vty 0 4 Switch（config-line）# access-class access-class-number in Switch（config-line）# end Switch,第10章 网络安全技术,10.3 网络稳定性方案,网络设备安全 端口安全 MAC地址的静态指定。当启用了端口安全功能时，网站管理员可以将MAC地址进行编码。这种方法虽然安全，但在管理时比较麻烦。 MAC地址的动态学习。如果没有指定MAC地址，端口将为安全性打开学习功能，在端口上被发现的第一个源MAC地址将成为“安全”MAC地址,第10章 网络安全技术,10.3 网络稳定性方案,网络设备安全 设置访问列表 创建标准IP访问列表的命令格式是： Switch（config-if）# access-list access-list-numbe deny | permit 创建扩展IP访问列表的命令格式是： Switch（config-if）# access-list access-list-numbe deny | permit protocol source source - wildcard destination destination-wildcard 当利用访问列表阻止数据流进入或离开某端口时： Switch（config-if）# ip access-group access-list-number in | out,第10章 网络安全技术,10.3 网络稳定性方案,网络设备安全 MAC地址绑定 使用下述命令，可将MAC地址与IP地址绑定在一起： Switch（config-if）#arp ip-address mac-address arpa 使用下述命令，可将绑定在一起的MAC地址与IP地址拆开： Switch（config-if）#no arp ip-address mac-address arpa,第10章 网络安全技术,10.3 网络稳定性方案,网络设备安全 VLAN安全 在集中式网络环境下，通常将敏感部门的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有其他任何用户节点，从而较好地保护这些主机中的资源,第10章 网络安全技术,10.3 网络稳定性方案,网络设备安全 控制HTTP访问 Cisco IOS允许通过Web浏览器管理网络设备，所需的HTTP服务器软件可在IOS 11.0及以后的版本中找到。若欲关闭HTTP远程管理服务，可使用下述命令： Switch（config）# no ip http server,第10章 网络安全技术,10.3 网络稳定性方案,网络设备安全 阻止蠕虫病毒 创建扩展访问列表 将访问列表应用于VLAN,第10章 网络安全技术,10.3 网络稳定性方案,网络连接和设备冗余 连接冗余 EtherChannel,第10章 网络安全技术,10.3 网络稳定性方案,网络连接和设备冗余 中心设备冗余 网关负载均衡协议,第10章 网络安全技术,10.3 网络稳定性方案,网络连接和设备冗余 模块冗余,第10章 网络安全技术,10.4 网络安全设备,网络防火墙 网络防火墙概述 防火墙最基本的功能就是将内、外网络隔离开，不仅确保不让非法用户入侵，更要保证防止内部信息的外泄。防火墙处于两个网络通信之间的一个检查点，所有数据包必须通过防火墙。防火墙设备根据安全策略，对所经过的数据包进行监视、过滤和检查，达到保证网络安全的目的,第10章 网络安全技术,10.4 网络安全设备,网络防火墙 网络防火墙技术 数据包过滤技术 代理技术 状态分析技术,第10章 网络安全技术,10.4 网络安全设备,网络防火墙 防火墙的局限性与脆弱性 无法检测或拦截嵌入到普通流量中的恶意攻击代码。 墙无法发现内部网络中的攻击行为。 不经过防火墙的数据，防火墙无法检查。 绝大多数单位因为不方便，不要求防火墙防内。 防火墙不能防止策略配置不当或错误配置引起的安全威胁。 防火墙不能防止人为或自然的破坏。 当防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击,第10章 网络安全技术,10.4 网络安全设备,网络防火墙 防火墙的局限性与脆弱性 黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止其攻击的。 防火墙并不具备查杀病毒的功能。 防火墙不能防止数据驱动式的攻击。 防火墙内部的一个合法用户主动泄密，防火墙无能为力。 防火墙保护别人有时却无法保护自己，目前还没有厂商保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护,第10章 网络安全技术,10.4 网络安全设备,网络防火墙 防火墙在网络中的位置及连接 常用连接方式,第10章 网络安全技术,10.4 网络安全设备,网络防火墙 防火墙在网络中的位置及连接 连接局域网和广域网,第10章 网络安全技术,10.4 网络安全设备,网络防火墙 防火墙在网络中的位置及连接 连接内部和第三方网络,第10章 网络安全技术,10.4 网络安全设备,网络防火墙 防火墙在网络中的位置及连接 连接同一部门的不同网络,第10章 网络安全技术,10.4 网络安全设备,入侵检测系统 IDS IDS概述,第10章 网络安全技术,10.4 网络安全设备,入侵检测系统 IDS的缺陷： 检测范围不够广 检测效果不理想 无力防御UDP攻击 只能检测，不能防御 过分依赖检测主机 难以突破百兆瓶颈 性能有待提高 伸缩性差 部署难度大 安全策略不够丰富,第10章 网络安全技术,10.4 网络安全设备,入侵检测系统 IDS IDS的优势缺陷： 整体部署，实时检测，对用户当前的操作进行判断，可及时发现入侵事件。 对于入侵与异常不必做出阻断通信的决定，能够从容提供大量的网络活动数据，有利于在事后入侵分析中评估系统关键资源和数据文件的完整性。 独立于所检测的网络，使黑客难于消除入侵证据，便于入侵追踪与网络犯罪取证。 同一网段或者一台主机上一般只需部署一个监测点就近监测，即速度快、成本低,第10章 网络安全技术,10.4 网络安全设备,入侵检测系统 IDS与防火墙联动,第10章 网络安全技术,10.4 网络安全设备,入侵防御系统 IPS,第10章 网络安全技术,10.4 网络安全设备,入侵防御系统 IPS的技术优势： 在线安装 实时阻断 先进的检测技术 特殊规则植入功能 自学习与自适应能力,第10章 网络安全技术,10.4 网络安全设备,入侵防御系统 IPS的缺陷： 单点故障 性能瓶颈 误报与漏报 总体拥有成本高,第10章 网络安全技术,10.4 网络安全设备,入侵防御系统 IPS部署 路由防护,第10章 网络安全技术,10.4 网络安全设备,入侵防御系统 IPS部署 交换防护,第10章