华为网络安全课件.ppt

网络安全网络安全网络安全网络安全固网宽带技术支持部固网宽带技术支持部固网宽带技术支持部固网宽带技术支持部2网络安全体系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录目录目录3网络安全必要性网络安全必要性网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l伴随互联网发展重要信息变得非常容易被获取è个人数据è重要企业资源è政府机密l网络攻击变的越来越便利è黑客（crack）技术在全球范围内共享è易用型操作系统和开发环境普及4网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构5网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构6可运营可运营IPIP网络的安全需求网络的安全需求网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l网络安全管理网络安全管理è网络结构安全，路由的稳定性，各节点设备的安全，设备操作的安全以及网络安全政策实施l信息安全管理信息安全管理è信息传输的安全，计费/认证信息的安全，信息服务器的安全l接入安全控制接入安全控制è身份认证，用户隔离，访问控制。

l业务安全开展业务安全开展è增对不同的业务采取具体的措施，譬如高速上网业务需要保证用户之间的隔离，专线业务需要保证QoS，虚拟专线业务需要保证QoS和信息安全7安全安全策略策略防护防护检测检测检测检测响应响应响应响应入侵检测黑名单身份认证数据加密访问控制用户隔离告警策略更改ASPF日志P2DR（Policy、Protection、Detection、Response）模型是网络安全管理基本思想，贯穿IP网络的各个层次网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构VRPVRP网络安全模型网络安全模型——P2DR——P2DR8IPIP网络网络的安全模型的安全模型网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l实实时时的的动动态态检检测测：：包括设备日志、动态防火墙以及专用入侵检测等技术l有有效效的的攻攻击击响响应应：：包括告警等自动响应以及策略更改、黑名单等手动响应操作l基基本本的的预预防防防防护护：：包括用户隔离、身份认证、访问控制、数据加密、动态防火墙等技术l核心的策略管理：核心的策略管理：包括网管和策略管理技术9•企业接入安全企业接入安全•专网安全专网安全•安全安全VPNVPN业务业务•丰富的电子商务应用丰富的电子商务应用安安全全业业务务管理层面管理层面应用层面应用层面安全管理安全管理安安全全技技术术VRPVRP平台安全结构平台安全结构基础层面基础层面•防火墙防火墙•内容过滤内容过滤•用户认证用户认证•CACA认证认证•访问控制访问控制•地址转换地址转换/ /隐藏隐藏•数据加密数据加密•入侵检测入侵检测•安全日志安全日志•……￿……￿网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构10接入层汇聚层骨干层基本增强高级Vlan技术分级分权管理Vlan技术流控防火墙技术web认证分级分权管理VPN/MPLSIPSECEAPoE认证CA安全策略管理路由保护分级分权管理CA安全策略管理安全策略管理Web/PPPoE认证防火墙技术（增强）ASPF技术安全日志专用防火墙IDC二层防火墙安全日志简单防火墙安全日志网络安全关键技术的应用网络安全关键技术的应用网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构11用户隔离和识别用户隔离和识别网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关关键键技技术术：：接入/汇聚层设备支持VLAN的划分；VLAN数量应不受4096的限制；支持VLAN ID与IP地址或MAC地址的捆绑；采用2.5层的vlan聚合技术（如代理ARP等），解决vlan浪费IP地址的问题。

l能能够够解解决决的的安安全全问问题题：：防止用户之间利用二层窃取信息，利用vlan技术直接将用户从二层完全隔离；Vlan ID与IP地址和MAC地址的捆绑，防止用户进行IP地址欺骗，在安全问题发生时便于快速定位12流控技术流控技术网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关关键键技技术术：：接入报文合法性验证、流分类、流量监管和控制（CAR）、路由转发、队列调度l能能够够解解决决的的安安全全问问题题：：可以防止外部通过流量攻击接入用户，同时也可以对接入用户进行流量限制13认证技术认证技术网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关键技术：关键技术：PPPoE、WEB Portal认证和EAPoEl能能够够解解决决的的安安全全问问题题：：解决对用户的认证、授权和计费对于固定用户，可以通过Vlan ID进行认证和授权，但经常需要移动的用户，不能通过vlan ID进行认证和授权，必须有相应的帐号同时，单纯利用vlan技术不能解决用户按时长计费的要求，只能适用于包月制14防火墙防火墙/ASPF/ASPF技术技术网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关关键键技技术术：：包过滤防火墙技术；状态防火墙技术(ASPF)；专用防火墙技术。

l能能够够解解决决的的安安全全问问题题：：防火墙技术运用在汇聚层设备，主要保护接入用户，包括阻止用户的非授权业务，阻止外部对接入用户的非法访问等；ASPF技术可以保护接入用户和网络设备本身免受恶意攻击，但是ASPF技术的采用会带来设备性能的下降；另外在城域数据中心一般采用专用防火墙15安全日志安全日志网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关键技术：关键技术：网管技术；设备安全日志l能够解决的安全问题：能够解决的安全问题：对网络攻击提供分析检测手段16策略管理策略管理网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关关键键技技术术：：LDAP协议；RADIUS+协议；策略服务器技术l能能够够解解决决的的安安全全问问题题：：通过对策略的管理和分配，能够实现全网范围内的网络安全17VPNVPN技术技术网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关关键键技技术术：：目前有多种形式的VPN，对于运营商主要是VPDN和VPRNVPDN技术比较明朗，主要是L2TP，VPRN技术包括GRE和MPLS，目前MPLS被普遍看好MPLS技术又包括扩展BGP和VR两种方式。

l能能够够解解决决的的安安全全问问题题：：VPN主要运用在一些安全性较高的组网业务中，例如企业之间可以通过VPN互联；城域网络本身计费、网管等可以通过VPN组成虚拟专网，保证安全性；另外VoIP应用，GPRS应用也都可以通过VPN，保证QoS和安全性18IPSecIPSec技术技术网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关关键键技技术术：IPSec技术是目前最重要的加密技术IPSec在两个端点之间通过建立安全联盟（SA）进行数据传输SA定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性IPSec有隧道和传输两种工作方式l能能够够解解决决的的安安全全问问题题：：与VPN技术结合保证用户数据传输的私有性、完整性、真实性和防重放性19网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关关键键技技术术：：CA技术是安全认证技术的一种，它基于公开密钥体系，通过安全证书来实现安全证书由CA中心分发并维护网络设备对CA中心的支持包含两方面的内容，其一是针对CA中心的管理功能完成与CA中心的交互；其二即是网络设备作为通信实体的认证功能l能能够够解解决决的的安安全全问问题题：：网络设备通过对CA的支持可以实现相互之间的认证，保证路由信息和用户数据信息的安全。

CACA技术技术20网络安全体系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录目录目录21网络攻击分类网络攻击分类网络安全攻击网络安全攻击网络安全攻击网络安全攻击l报文窃听（Packet Sniffers）lIP欺骗（IP Spoofing）l服务拒绝（Denial of Service）l密码攻击（Password Attacks）l中间人攻击(Man-in-the-Middle Attacks)l应用层攻击（Application Layer Attacks）l网络侦察（Network Reconnaissance）l信任关系利用（Trust Exploitation）l端口重定向（Port Redirection）l未授权访问（Unauthorized Access）l病 毒 与 特 洛 伊 木 马 应 用 （ Virus and Trojan Horse Applications）22报文窃听报文窃听(Packet (Packet SniffersSniffers) )网络安全攻击网络安全攻击网络安全攻击网络安全攻击l报文窃听是一种软件应用，该应用利用一种处于无区别模式的网络适配卡捕获通过某个冲突域的所有网络分组。

l可以轻易通过解码工具（sniffers/netxray等）获得敏感信息（用户密码等）23报文窃听报文窃听(Packet (Packet SniffersSniffers) )网络安全攻击网络安全攻击网络安全攻击网络安全攻击24报文窃听报文窃听(Packet (Packet SniffersSniffers) )网络安全攻击网络安全攻击网络安全攻击网络安全攻击l减轻危害的方法：减轻危害的方法：è验证(Authentication)：采用一次性密码技术(one-time-passwords OTPs)è交换型基础设施：用交换机来替代HUB，可以减少危害è防窃听工具：使用专门检测网络上窃听使用情况的软件与硬件è加密：采用IP Security (IPSec)、Secure Shell (SSH)、 Secure Sockets Layer (SSL)等技术25IPIP欺骗欺骗(IP Spoofing)(IP Spoofing)网络安全攻击网络安全攻击网络安全攻击网络安全攻击lIP欺骗是指网络内部或外部的黑客模仿一台可靠计算机会话（IP协议头中源IP地址欺骗）lIP欺骗通常会引发其他的攻击－－DoS。

l实现与攻击目标双向通讯办法－－更改网络上的路由表26IPIP欺骗欺骗(IP Spoofing)(IP Spoofing)网络安全攻击网络安全攻击网络安全攻击网络安全攻击l减轻危害的方法：减轻危害的方法：è访问控制：拒绝任何来自外部网络而其源地址为内部网络的流量如果某些外部地址也可靠，此方法无效èRFC 2827过滤：防止一个网络的用户欺骗其他网络27服务拒绝服务拒绝(Denial of Service)(Denial of Service)网络安全攻击网络安全攻击网络安全攻击网络安全攻击lDoS（Deny Of Service）就是攻击者通过使你的网络设备崩溃或把它压跨（网络资源耗尽）来阻止合法用户获得网络服务，DOS是最容易实施的攻击行为lDoS主要包括ping of death、teardrop、UDP flood、TCP SYN Flood、land攻击、smurf攻击等28服务拒绝服务拒绝(Denial of Service)(Denial of Service)网络安全攻击网络安全攻击网络安全攻击网络安全攻击lDDoS（（Distributed Denial Of Service））è黑客侵入并控制了很多台电脑，并使它们一起向主机发动DoS攻击，主机很快陷于瘫痪，这就是分布式拒绝服务攻击——DDoS（Distributed Denial Of Service）。

29死亡之死亡之ping(pingping(ping of death)— of death)—DoSDoS 网络安全攻击网络安全攻击网络安全攻击网络安全攻击l一般网络设备对包的最大处理尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷（PayLoad）生成缓冲区l当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方宕机 30网络安全攻击网络安全攻击网络安全攻击网络安全攻击死亡之死亡之ping(pingping(ping of death)— of death)—DoSDoS 31死亡之死亡之ping(pingping(ping of death)— of death)—DoSDoS 网络安全攻击网络安全攻击网络安全攻击网络安全攻击l减轻危害的方法：减轻危害的方法：è现在所有的标准TCP/IP都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击è对操作系统进行升级和打补丁32泪滴泪滴(teardrop)—(teardrop)—DoSDoS网络安全攻击网络安全攻击网络安全攻击网络安全攻击l利用那些在TCP/IP堆栈实现中信任IP分片中的IP协议首部所包含的信息来实现攻击。

lIP分片含有指示该分片所包含的是原数据报文的哪一段信息，某些设备在收到重叠IP分段报文时会崩溃或严重异常33泪滴泪滴(teardrop)—(teardrop)—DoSDoS网络安全攻击网络安全攻击网络安全攻击网络安全攻击34泪滴泪滴(teardrop)—(teardrop)—DoSDoS网络安全攻击网络安全攻击网络安全攻击网络安全攻击l减轻危害的方法减轻危害的方法è服务器应用最新的服务包，或者在设置防火墙时对分片进行重组，而不是转发它们 35网络安全攻击网络安全攻击网络安全攻击网络安全攻击l各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的数据l通过伪造与主机的Chargen服务的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台设备之间的足够多的无用数据流，从而导致带宽不足的严重问题UDPUDP洪水洪水(UDP flood)—(UDP flood)—DoSDoS36UDPUDP洪水洪水(UDP flood)—(UDP flood)—DoSDoS网络安全攻击网络安全攻击网络安全攻击网络安全攻击l减轻危害的方法减轻危害的方法è关掉不必要的TCP/IP服务è对防火墙进行配置阻断来自Internet的对这些服务的请求è在路由器或防火墙上进行源地址过滤 37网络安全攻击网络安全攻击网络安全攻击网络安全攻击TCP SYN flood —TCP SYN flood —DoSDoS 38网络安全攻击网络安全攻击网络安全攻击网络安全攻击l在TCP协议中，SYN置位的报文表示请求建立一个连接。

当服务器端收到SYN置位的报文时，将预留资源并向客户端回应一个报文，表示连接请求被允许按照正常的流程，客户端应当返回一个报文表示连接已经建立SYN flooding攻击一方面伪造源地址，另一方面即使不伪造源地址，也不给予响应而一个TCP连接在发送报文到目的地址失败的情况下，会试图再进行多次重传，这样越发加重了网络的负担lSYN flooding攻击采用伪造源地址并创建许多的SYN报文的方式，在很短的时间内将特定目标的内存或其他资源消耗殆尽这种攻击使得特定网络上的HTTP或FTP服务器保持大量的会话连接，从而让合法的用户不能访问该资源TCP SYN flood —TCP SYN flood —DoSDoS 39TCP SYN flood —TCP SYN flood —DoSDoS 网络安全攻击网络安全攻击网络安全攻击网络安全攻击l防御：防御：在防火墙上过滤来自同一主机的后续连接40LandLand攻击攻击——DoSDoS 网络安全攻击网络安全攻击网络安全攻击网络安全攻击l一个伪造的SYN包它的源地址和目标地址都被设置成某一个网络设备的地址，此举将导致接受的网络设备向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，这样就会产生大量的空TCP连接。

l防御：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉41SmurfSmurf攻击攻击——DoSDoS网络安全攻击网络安全攻击网络安全攻击网络安全攻击l将回复地址设置成被攻击方的广播地址的ICMP应答请求（ping）数据包，最终导致该网络的所有主机都对此ICMP应答请求作出答复，造成网络阻塞，比ping of death洪水的流量高出一或两个数量级l防御：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包 42减弱减弱DoSDoS攻击的方法攻击的方法网络安全攻击网络安全攻击网络安全攻击网络安全攻击l防IP地址欺骗特性——RFC 2827过滤l防DoS特性——在路由器上或防火墙上进行相关配置l流量比率限制——对某些流量类型进行限制43密码攻击密码攻击(Password Attacks)(Password Attacks)网络安全攻击网络安全攻击网络安全攻击网络安全攻击l防御防御è使用OTP或密码验证方法è加强密码维护l强力攻击l特洛伊木马计划lIP欺骗与报文窃听44中间人攻击中间人攻击(Man-in-the-Middle Attacks)(Man-in-the-Middle Attacks)网络安全攻击网络安全攻击网络安全攻击网络安全攻击l通过使用网络报文窃听以及路由和传输协议进行这种攻击。

主要目的是窃取信息、截获正在传输中的会话以便访问专用网络资源、进行流量分析以获取关于一个网络及其用途的信息、拒绝服务、破坏传输数据以及在网络会话中插入新的信息l防护措施：防护措施：对数据进行加密45应用层攻击应用层攻击(Application Layer Attacks)(Application Layer Attacks)网络安全攻击网络安全攻击网络安全攻击网络安全攻击l利用服务器上软件常见弱点进行攻击如：SMTP、HTTP、FTP、DNS、SNMP等l防护措施：防护措施：è读取OS与网络日志文件对其进行分析è使用应用层防火墙è使用入侵检测系统（IDS）46网络侦察网络侦察(Network Reconnaissance)(Network Reconnaissance)网络安全攻击网络安全攻击网络安全攻击网络安全攻击l网络侦察是指运用公用的信息和应用获得关于某个目标网络的信息如DNS查询、Ping等l减少风险的措施：减少风险的措施：è使用入侵检测系统（IDS）47信任关系利用（信任关系利用（Trust ExploitationTrust Exploitation））网络安全攻击网络安全攻击网络安全攻击网络安全攻击l它指的是个人利用网络内部的某种信任关系进行攻击的行为。

典型的例子是公司的周边网路连接这些网络区域通常拥有DNS，SMTP，HTTP服务器由于他们均位于同一区域，因此对一个系统的破坏就会造成其它系统的受损，因为它们与其网络相连接的系统会比较信任48信任关系利用（信任关系利用（Trust ExploitationTrust Exploitation））网络安全攻击网络安全攻击网络安全攻击网络安全攻击l防防护护措措施施：：可以通过严格限制网络内部的信任水平来防止信任关系利用攻击防火墙内侧的系统永远不能完全信任防火墙外部的系统这种信任应限定到某些具体的协议，而且应该通过除IP地址之外的某种机制进行验证49网络安全攻击网络安全攻击网络安全攻击网络安全攻击l端口重定向（Port Redirection）l未授权访问（Unauthorized Access）l病毒与特洛伊木马应用（Virus and Trojan Horse Applications）50网络安全体系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录目录目录51防火墙技术防火墙技术防火墙技术防火墙技术l专用防火墙专用防火墙èCisco PIXèNetScreenl集成在路由器平台防火墙集成在路由器平台防火墙èHuawei VRPèCisco IOS52防火墙技术防火墙技术防火墙技术防火墙技术l包过滤防火墙包过滤防火墙èAccess Listl状态防火墙状态防火墙èASPF（Application Specific Packet Filter）è CBAC（Context-based Access Control）53网络安全体系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录目录目录54入侵检测系统入侵检测系统入侵检测系统入侵检测系统l网络网络IDS:è网络IDS（NIDS），这种设备能够捕获LAN区域中的信息流并试着将实时信息流与已知的攻击签名进行对照。

l主机主机IDS：：è主机入侵检测系统（HIDS）是一种用于监控单个主机上的活动的软件应用监控方法包括验证操作系统与应用呼叫及检查日志文件、文件系统信息与网络连接55网络安全体系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录目录目录56网络安全策略网络安全策略网络安全策略网络安全策略l安全策略是一种正式的规定，那些被允许访问某机构的技术与信息资源的人必须遵守这些规定l真正的网络安全是产品与服务的结合，包括全面的安全策略57网络安全体系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录目录目录58某客户网络遭受某客户网络遭受某客户网络遭受某客户网络遭受DoSDoS攻击后攻击后攻击后攻击后8750DHCP Relay8750DHCP Relay失效分析失效分析失效分析失效分析网络安全案例网络安全案例网络安全案例网络安全案例59某客户网络遭受某客户网络遭受某客户网络遭受某客户网络遭受DoSDoS攻击后攻击后攻击后攻击后8750DHCP Relay8750DHCP Relay失效分析失效分析失效分析失效分析网络安全案例网络安全案例网络安全案例网络安全案例60某客户网络遭受某客户网络遭受某客户网络遭受某客户网络遭受DoSDoS攻击后攻击后攻击后攻击后MA 5100MA 5100用户中断分析用户中断分析用户中断分析用户中断分析网络安全案例网络安全案例网络安全案例网络安全案例61某客户网络遭受某客户网络遭受某客户网络遭受某客户网络遭受DoSDoS攻击后攻击后攻击后攻击后MA 5100MA 5100用户中断分析用户中断分析用户中断分析用户中断分析网络安全案例网络安全案例网络安全案例网络安全案例62网络安全体系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录目录目录63RFCsRFC 2196 “Site Security Handbook” http://www.ietf.org/rfc/rfc2196.txtRFC 1918 “Address Allocation for Private Internets” http://www.ietf.org/rfc/rfc1918.txtRFC 2827 “Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing” http://www.ietf.org/rfc/rfc2827.txt参考资料参考资料参考资料参考资料64Miscellaneous References“Denial of Service Attacks” http://www.cert.org/tech_tips/denial_of_service.html“Computer Emergency Response Team” http://www.cert.org“Improving Security on Cisco Routers” Security Test Report” http://www.sans.org/newlook/resources/IDFAQ/vlan.htm参考资料参考资料参考资料参考资料65谢谢 谢谢 大大 家家。