《网络安全防范.ppt》由会员分享,可在线阅读,更多相关《网络安全防范.ppt(64页珍藏版)》请在优知文库上搜索。
1、2023-3-7网络安全防范网络安全防范网络安全防范网络安全防范主要内容主要内容 网络安全认识网络安全认识 网络安全防范技术分类网络安全防范技术分类 网络安全防范技术网络安全防范技术 网络安全防范体系网络安全防范体系网络安全防范俗语说俗语说 矛盾矛盾 亡羊补牢亡羊补牢 树欲静风不止树欲静风不止 明枪易躲暗箭难防明枪易躲暗箭难防 道高一尺魔高一丈道高一尺魔高一丈 千里之堤毁于蚁穴千里之堤毁于蚁穴 一朝被蛇咬十年怕井绳一朝被蛇咬十年怕井绳安全威安全威胁胁安全防安全防范范网络安全防范网络安全认识网络安全认识 网络安全防范十分必要并相当迫切网络安全防范十分必要并相当迫切 不存在绝对安全的网络和信息系统
2、不存在绝对安全的网络和信息系统 用发展的眼光看待网络安全用发展的眼光看待网络安全 注重网络安全体系的全面性注重网络安全体系的全面性 从需求特点出发部署网络安全设施从需求特点出发部署网络安全设施 把握网络安全与投入成本的平衡点把握网络安全与投入成本的平衡点网络安全防范【网络安全命题一网络安全命题一】从来就没有安全的网络,从来就没有安全的网络,今后也不会有。今后也不会有。网络安全防范【网络安全命题二网络安全命题二】不存在为安全而构筑的网络。不存在为安全而构筑的网络。网络安全防范【网络安全命题三网络安全命题三】网络安全无小事。网络安全无小事。网络安全防范网络安全防范技术分类网络安全防范技术分类 嵌入
3、式安全防范(嵌入式安全防范(Embedded Defence) 安全协议安全协议 安全设备安全设备 主动式安全防范(主动式安全防范(Active Defence) 安全措施安全措施 安全补丁安全补丁 被动式安全防范(被动式安全防范(Passive Defence) 安全侦查安全侦查 安全防御安全防御网络安全防范Subnet子网子网 Sub-network AutonomousDomain(自治域、自治网络)(自治域、自治网络)构造具备特定应用目标的网络体系,自成相对独立体系、可自我管理构造具备特定应用目标的网络体系,自成相对独立体系、可自我管理 Intranet和和Extranet把内部网络与
4、把内部网络与Internet隔离开,通常使用隔离开,通常使用NAT、Firewall等设备来完成等设备来完成 DMZ使用双防火墙机制,将内部网络分为内网和外网两个层次使用双防火墙机制,将内部网络分为内网和外网两个层次 VLAN把局域网划分为不同的虚拟子网,使用二层或三层局域网交换机或路由器完成把局域网划分为不同的虚拟子网,使用二层或三层局域网交换机或路由器完成 VPN使用安全协议和数据加密技术,构造安全的访问体系使用安全协议和数据加密技术,构造安全的访问体系 Interconnection Host采用特殊设计的业务互连主机,将业务网络与其它系统进行互连,只传输指定数据采用特殊设计的业务互连主
5、机,将业务网络与其它系统进行互连,只传输指定数据 Physical Isolation物理隔离子网物理隔离子网网络安全防范VLAN概要概要 VLAN的划分的划分 基于端口基于端口(Port) 基于基于MAC地址地址 基于基于IP地址地址 VLAN作用作用 把数据交换限制在各个虚拟网的范围内,提高了网把数据交换限制在各个虚拟网的范围内,提高了网络的传输效率;络的传输效率; 减少整个网络范围内广播包的传输,防止广播风暴减少整个网络范围内广播包的传输,防止广播风暴(Broadcast Storm)的产生;)的产生; 各虚拟网之间不能直接进行通信,而必须通过路由各虚拟网之间不能直接进行通信,而必须通过
6、路由器转发,起到了隔离端口的作用,为高级安全控制器转发,起到了隔离端口的作用,为高级安全控制提供了可能,增强了网络的安全性。提供了可能,增强了网络的安全性。网络安全防范VLAN的逻辑分组特性的逻辑分组特性传统的LAN子网(物理分隔的冲突域)网络安全防范基于端口的基于端口的VLAN 根据以太网交换机的端口来划分根据以太网交换机的端口来划分VLAN,可,可以跨交换机进行。优点是定义以跨交换机进行。优点是定义VLAN成员时成员时非常简单,只需将所有的端口都设定一遍;非常简单,只需将所有的端口都设定一遍;缺点是如果缺点是如果VLAN的某个用户离开了原来的的某个用户离开了原来的端口,连接到了一个新的端口
7、,那么就必须端口,连接到了一个新的端口,那么就必须重新定义重新定义网络安全防范基于基于MAC地址的地址的VLAN 根据每个主机的根据每个主机的MAC地址来划分地址来划分VLAN,所以也可称为基于用户的所以也可称为基于用户的VLAN。优点就是。优点就是当用户物理位置移动时,即使移动到另一个当用户物理位置移动时,即使移动到另一个交换机,交换机,VLAN也不用重新配置;缺点是初也不用重新配置;缺点是初始化时,所有的用户都必须进行配置,如果始化时,所有的用户都必须进行配置,如果用户很多,配置的工作量非常大。此外,这用户很多,配置的工作量非常大。此外,这种划分的方法也导致了交换机执行效率的降种划分的方法
8、也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在低,因为在每一个交换机的端口都可能存在很多个很多个VLAN组的成员,这样就无法有效限组的成员,这样就无法有效限制广播包。如果网卡可能经常更换,制广播包。如果网卡可能经常更换,VLAN就必须不停地更新就必须不停地更新网络安全防范基于协议的基于协议的VLAN 通过第二层报文中的协议字段,判断出上层通过第二层报文中的协议字段,判断出上层运行的网络层协议,如运行的网络层协议,如IP协议或者是协议或者是IPX协协议。当一个物理网络中存在多种第三层协议议。当一个物理网络中存在多种第三层协议运行的时候,可采用这种运行的时候,可采用这种VLAN的
9、划分方法。的划分方法。但是现有的系统中一般仅有但是现有的系统中一般仅有IP协议,所以基协议,所以基于协议的于协议的VLAN很少有机会使用很少有机会使用网络安全防范基于子网的基于子网的VLAN 根据报文中的根据报文中的IP地址决定报文属于哪个地址决定报文属于哪个VLAN,同一个,同一个IP子网的所有报文属于子网的所有报文属于同一个同一个VLAN。优点是可以针对具体应。优点是可以针对具体应用的服务来组织用户,用户可以在网络用的服务来组织用户,用户可以在网络内部自由移动而不用重新配置自己的设内部自由移动而不用重新配置自己的设备;缺点是效率较低,因为检查每一个备;缺点是效率较低,因为检查每一个报文的报
10、文的IP地址很耗时。同时由于一个端地址很耗时。同时由于一个端口也可能存在多个口也可能存在多个VLAN的成员,对广的成员,对广播报文也无法有效抑制播报文也无法有效抑制网络安全防范VPN Virtual Private Network 虚拟专用网络虚拟专用网络 在在“不安全不安全”的网络上建立安全的互连关系的网络上建立安全的互连关系 VPN主要应用目的主要应用目的 用户通过用户通过Internet安全接入安全接入Intranet Intranet之间通过之间通过Internet的安全互连的安全互连 通过通过Internet构造安全的构造安全的Extranet 通过通过Internet的对等设备安全
11、互连的对等设备安全互连网络安全防范VPN安全隧道安全隧道 安全隧道(安全隧道(Secure Tunnel)网络安全防范Intranet组网组网网络安全防范Extranet组网组网网络安全防范VPN安全隧道协议安全隧道协议 点对点隧道协议(点对点隧道协议(Point-to-Point Tunnel Protocol,PPTP) PPTP协议允许对协议允许对IP、IPX或或NetBEUI数据流进行加密,然后数据流进行加密,然后封装在封装在IP包头中,通过包头中,通过Intranet或或Internet相互通信相互通信 第第2层隧道协议(层隧道协议(Layer-2 Tunnel Protocol,L
12、2TP) L2TP协议允许对协议允许对IP、IPX或或NetBEUI数据流进行加密,然后数据流进行加密,然后通过支持点对点数据报通信的任意网络发送,如通过支持点对点数据报通信的任意网络发送,如IP、X.25、FrameRelay或或ATM 安全安全IP(Secure IP,IPsec) IPSec隧道模式允许对隧道模式允许对IP负载数据进行加密,然后封装在负载数据进行加密,然后封装在IP包包头中通过头中通过Intranet或或Internet相互通信相互通信 安全套接层(安全套接层(Secure Socket Layer,SSL) 使用使用SSL协议,实现移动用户远程安全接入内部网络。尤其是协
13、议,实现移动用户远程安全接入内部网络。尤其是对于基于对于基于Web的应用访问,的应用访问,SSL-VPN方式有更强的灵活性优方式有更强的灵活性优势势网络安全防范IPsec IP的安全子层(的安全子层(3.5层),包括两部分:层),包括两部分: AH(Authentication Header) ESP(Encapsulating Security Payload) AH的认证模式:的认证模式: 传输模式(传输模式(Transport Mode) 不改变不改变IP地址,插入一个地址,插入一个AH 隧道模式(隧道模式(Tunnel Mode) 生成一个新的生成一个新的IP头,把头,把AH和原来的整
14、个和原来的整个IP包放到新包放到新IP包的载荷数据中包的载荷数据中网络安全防范AH报头报头网络安全防范ESP报头报头网络安全防范VPN应用方式应用方式 客户端方式客户端方式 由用户自行配置由用户自行配置VPN设备和系统,设备和系统,ISP及及Internet只提供普通的只提供普通的IP互连服务(网络透互连服务(网络透明方式)明方式) 服务端方式服务端方式 由由ISP提供提供VPN服务,用户端使用普通服务,用户端使用普通IP互互连设备(用户透明方式)连设备(用户透明方式)网络安全防范NAT 网络地址转换网络地址转换Network Address Translator网络安全防范NAT方法方法 静
15、态翻译(静态翻译(Static Translation) 内部和外部地址一一对应(映射)内部和外部地址一一对应(映射) 动态翻译(动态翻译(Dynamic Translation) 复用外部地址,按需映射复用外部地址,按需映射 端口复用(端口复用(Port-Multiplexing) IP地址地址TCP/UDP端口号端口号网络安全防范NAT-PAT 端口地址翻译端口地址翻译Port Address Translator,PAT网络安全防范FW 防火墙防火墙 FireWall网络安全防范FW功能功能功能功能层次层次过滤过滤代理代理网络网络层层过滤IP地址过滤广播过滤探测报文过滤无效报文报文重组N
16、ATDoS攻击运输运输层层过滤端口号SYN攻击其它DoS攻击应用应用层层过滤内容策略应用病毒扫描木马探测其它其它过滤连接发起人Cache身份认证计费网络安全防范FW抵抗同步攻击原理抵抗同步攻击原理1.攻击者发送攻击者发送SYN,请求会话连接。,请求会话连接。2.防火墙检查防火墙检查IP地址的有效性、源地址是否是内网地地址的有效性、源地址是否是内网地址等,丢弃可疑的连接请求(可不予以响应,以对址等,丢弃可疑的连接请求(可不予以响应,以对抗探测)。结束。抗探测)。结束。3.响应响应SYN-ACK,启动超时计时器。(只需匹配极少,启动超时计时器。(只需匹配极少资源;计时器长度可以依据不同需求进行调整,适资源;计时器长度可以依据不同需求进行调整,适当缩短。)当缩短。)4.若计时器超时而未受到若计时器超时而未受到ACK,则释放该连接(同样,则释放该连接(同样可以不发送拒绝报文,不占用带宽资源)。结束。可以不发送拒绝报文,不占用带宽资源)。结束。5.若受到若受到ACK,则立即向内网指定计算机(第,则立即向内网指定计算机(第3步已记步已记录相关连接参数)发送录相关连接参数)发送SYN,接收到,接收到