网络安全技术介绍

网络平安网络平安网络平安网络平安固网宽带技术支持部固网宽带技术支持部固网宽带技术支持部固网宽带技术支持部2网络平安体系结构网络平安体系结构网络平安攻击网络平安攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络平安策略网络平安策略网络平安案例网络平安案例参考资料参考资料目录目录3网络平安必要性网络平安必要性网络平安体系结构网络平安体系结构l伴随互联网开展重要信息变得非常容易被获取l个人数据l重要企业资源l政府机密l网络攻击变的越来越便利l黑客crack技术在全球范围内共享l易用型操作系统和开发环境普及4网络平安体系结构网络平安体系结构5网络平安体系结构网络平安体系结构6可运营可运营IPIP网络的平安需求网络的平安需求网络平安体系结构网络平安体系结构l网络平安管理网络平安管理l网网络络结结构构平平安安，路路由由的的稳稳定定性性，各各节节点点设设备备的的平平安安，设设备备操操作作的的平安以及网络平安政策实施。平安以及网络平安政策实施。l信息平安管理信息平安管理l信息传输的平安，计费信息传输的平安，计费/认证信息的平安，信息效劳器的平安。认证信息的平安，信息效劳器的平安。l接入平安控制接入平安控制l身份认证，用户隔离，访问控制。身份认证，用户隔离，访问控制。l业务平安开展业务平安开展l增增对对不不同同的的业业务务采采取取具具体体的的措措施施，譬譬如如高高速速上上网网业业务务需需要要保保证证用用户户之之间间的的隔隔离离，专专线线业业务务需需要要保保证证QoS，虚虚拟拟专专线线业业务务需需要要保保证证QoS和信息平安。和信息平安。7安全安全策略策略防护防护检测检测检测检测响应响应响应响应入侵检测黑名单身份认证数据加密访问控制用户隔离告警策略更改ASPF日志P2DRPolicy、Protection、Detection、Response模型是网络平安管理根本思想，贯穿IP网络的各个层次网络平安体系结构网络平安体系结构VRPVRP网络平安模型网络平安模型P2DRP2DR8IPIP网络的平安模型网络的平安模型网络平安体系结构网络平安体系结构l实实时时的的动动态态检检测测：包包括括设设备备日日志志、动动态态防防火火墙墙以以及及专专用用入侵检测等技术。入侵检测等技术。l有有效效的的攻攻击击响响应应：包包括括告告警警等等自自动动响响应应以以及及策策略略更更改改、黑名单等手动响应操作。黑名单等手动响应操作。l根根本本的的预预防防防防护护：包包括括用用户户隔隔离离、身身份份认认证证、访访问问控控制制、数据加密、动态防火墙等技术。数据加密、动态防火墙等技术。l核心的策略管理：包括网管和策略管理技术。核心的策略管理：包括网管和策略管理技术。9企业接入平安企业接入平安专网平安专网平安平安平安VPNVPN业务业务丰富的电子商务应用丰富的电子商务应用平平安安业业务务管理层面管理层面应用层面应用层面平安管理平安管理平平安安技技术术VRPVRP平台平安结构平台平安结构根底层面根底层面防火墙防火墙内容过滤内容过滤用户认证用户认证CACA认证认证访问控制访问控制地址转换地址转换/隐藏隐藏数据加密数据加密入侵检测入侵检测平安日志平安日志网络平安体系结构网络平安体系结构10接入层汇聚层骨干层基本增强高级Vlan技术分级分权管理Vlan技术流控防火墙技术web认证分级分权管理VPN/MPLSIPSECEAPoE认证CA安全策略管理路由保护分级分权管理CA安全策略管理安全策略管理Web/PPPoE认证防火墙技术（增强）ASPF技术安全日志专用防火墙IDC二层防火墙安全日志简单防火墙安全日志网络平安关键技术的应用网络平安关键技术的应用网络平安体系结构网络平安体系结构11用户隔离和识别用户隔离和识别网络平安体系结构网络平安体系结构l关关键键技技术术：接接入入/会会聚聚层层设设备备支支持持VLAN的的划划分分；VLAN数数量量应应不不受受4096的的限限制制；支支持持VLAN ID与与IP地地址址或或MAC地地址址的的捆捆绑绑；采采用用2.5层层的的vlan聚聚合合技技术术如如代代理理ARP等，解决等，解决vlan浪费浪费IP地址的问题。地址的问题。l能能够够解解决决的的平平安安问问题题：防防止止用用户户之之间间利利用用二二层层窃窃取取信信息息，利利用用vlan技技术术直直接接将将用用户户从从二二层层完完全全隔隔离离；Vlan ID与与IP地地址址和和MAC地地址址的的捆捆绑绑，防防止止用用户户进进行行IP地地址址欺欺骗骗，在平安问题发生时便于快速定位。在平安问题发生时便于快速定位。12流控技术流控技术网络平安体系结构网络平安体系结构l关关键键技技术术：接接入入报报文文合合法法性性验验证证、流流分分类类、流流量量监监管和控制管和控制CAR、路由转发、队列调度。、路由转发、队列调度。l能能够够解解决决的的平平安安问问题题：可可以以防防止止外外部部通通过过流流量量攻攻击击接入用户，同时也可以对接入用户进行流量限制。接入用户，同时也可以对接入用户进行流量限制。13认证技术认证技术网络平安体系结构网络平安体系结构l关键技术：关键技术：PPPoE、WEB Portal认证和认证和EAPoE。l能能够够解解决决的的平平安安问问题题：解解决决对对用用户户的的认认证证、授授权权和和计计费费。对对于于固固定定用用户户，可可以以通通过过Vlan ID进进行行认认证证和和授授权权，但但经经常常需需要要移移动动的的用用户户，不不能能通通过过vlan ID进进行行认认证证和和授授权权，必必须须有有相相应应的的帐帐号号。同同时时，单单纯纯利利用用vlan技技术术不不能能解解决决用户按时长计费的要求，只能适用于包月制。用户按时长计费的要求，只能适用于包月制。14防火墙防火墙/ASPF/ASPF技术技术网络平安体系结构网络平安体系结构l关关键键技技术术：包包过过滤滤防防火火墙墙技技术术；状状态态防防火火墙墙技技术术(ASPF)；专专用防火墙技术。用防火墙技术。l能能够够解解决决的的平平安安问问题题：防防火火墙墙技技术术运运用用在在会会聚聚层层设设备备，主主要要保保护护接接入入用用户户，包包括括阻阻止止用用户户的的非非授授权权业业务务，阻阻止止外外部部对对接接入入用用户户的的非非法法访访问问等等；ASPF技技术术可可以以保保护护接接入入用用户户和和网网络络设设备备本本身身免免受受恶恶意意攻攻击击，但但是是ASPF技技术术的的采采用用会会带带来来设设备备性能的下降；另外在城域数据中心一般采用专用防火墙。性能的下降；另外在城域数据中心一般采用专用防火墙。15平安日志平安日志网络平安体系结构网络平安体系结构l关键技术：网管技术；设备平安日志。关键技术：网管技术；设备平安日志。l能够解决的平安问题：对网络攻击提供分析检测手段。能够解决的平安问题：对网络攻击提供分析检测手段。16策略管理策略管理网络平安体系结构网络平安体系结构l关关键键技技术术：LDAP协协议议；RADIUS+协协议议；策策略略效效劳劳器器技术。技术。l能能够够解解决决的的平平安安问问题题：通通过过对对策策略略的的管管理理和和分分配配，能能够实现全网范围内的网络平安。够实现全网范围内的网络平安。17VPNVPN技术技术网络平安体系结构网络平安体系结构l关关键键技技术术：目目前前有有多多种种形形式式的的VPN，对对于于运运营营商商主主要要是是VPDN和和VPRN。VPDN技技术术比比较较明明朗朗，主主要要是是L2TP，VPRN技技术术包包括括GRE和和MPLS，目目前前MPLS被被普普遍遍看看好好。MPLS技技术术又又包包括括扩展扩展BGP和和VR两种方式。两种方式。l能能够够解解决决的的平平安安问问题题：VPN主主要要运运用用在在一一些些平平安安性性较较高高的的组组网网业业务务中中，例例如如企企业业之之间间可可以以通通过过VPN互互联联；城城域域网网络络本本身身计计费费、网网管管等等可可以以通通过过VPN组组成成虚虚拟拟专专网网，保保证证平平安安性性；另另外外VoIP应应用，用，GPRS应用也都可以通过应用也都可以通过VPN，保证，保证QoS和平安性。和平安性。18IPSecIPSec技术技术网络平安体系结构网络平安体系结构l关关键键技技术术：IPSec技技术术是是目目前前最最重重要要的的加加密密技技术术。IPSec在在两两个个端端点点之之间间通通过过建建立立平平安安联联盟盟SA进进行行数数据据传传输输。SA定定义义了了数数据据保保护护中中使使用用的的协协议议和和算算法法以以及及平平安安联联盟盟的的有效时间等属性。有效时间等属性。IPSec有隧道和传输两种工作方式。有隧道和传输两种工作方式。l能能够够解解决决的的平平安安问问题题：与与VPN技技术术结结合合保保证证用用户户数数据据传传输的私有性、完整性、真实性和防重放性输的私有性、完整性、真实性和防重放性19网络平安体系结构网络平安体系结构l关关键键技技术术：CA技技术术是是平平安安认认证证技技术术的的一一种种，它它基基于于公公开开密密钥钥体体系系，通通过过平平安安证证书书来来实实现现。平平安安证证书书由由CA中中心心分分发发并并维维护护。网网络络设设备备对对CA中中心心的的支支持持包包含含两两方方面面的的内内容容，其其一一是是针针对对CA中中心心的的管管理理功功能能完完成成与与CA中中心心的的交交互互；其其二二即即是网络设备作为通信实体的认证功能。是网络设备作为通信实体的认证功能。l能能够够解解决决的的平平安安问问题题：网网络络设设备备通通过过对对CA的的支支持持可可以以实实现现相互之间的认证，保证路由信息和用户数据信息的平安。相互之间的认证，保证路由信息和用户数据信息的平安。CACA技术技术20网络平安体系结构网络平安体系结构网络平安攻击网络平安攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络平安策略网络平安策略网络平安案例网络平安案例参考资料参考资料目录目录21网络攻击分类网络攻击分类网络平安攻击网络平安攻击l报文窃听Packet SnifferslIP欺骗IP Spoofingl效劳拒绝Denial of Servicel密码攻击Password Attacksl中间人攻击(Man-in-the-Middle Attacks)l应用层攻击Application Layer Attacksl网络侦察Network Reconnaissancel信任关系利用Trust Exploitationl端口重定向Port Redirectionl未授权访问Unauthorized Accessl病毒与特洛伊木马应用Virus and Trojan Horse Applications22报文窃听报文窃听(Packet Sniffers)(Packet Sniffers)网络平安攻击网络平安攻击l报文窃听是一种软件应用，该应用利用一种处于无区别模式的网络适配卡捕获通过某个冲突域的所有网络分组。l可以轻易通过解码工具sniffers/netxray等获得敏感信息用户密码等。23报文窃听报文窃听(Packet Sniffers)(Packet Sniffers)网络平安攻击网络平安攻击24报文窃听报文窃听(Packet Sniffers)(Packet Sniffers)网络平安攻击网络平安攻击l减轻危害的方法：减轻危害的方法：l验验证证(Authentication)：采采用用一一次次性性密密码码技技术术(one-time-passwords OTPs)l交换型根底设施：用交换机来替代交换型根底设施：用交换机来替代HUB，可以减少危害。，可以减少危害。l防防窃窃听听工工具具：使使用用专专门门检检测测网网络络上上窃窃听听使使用用情情况况的的软软件件与与硬硬件。件。l加加密密：采采用用IP Security(IPSec)、Secure Shell(SSH)、Secure Sockets Layer(SSL)等技术。等技术。25IPIP欺骗欺骗(IP Spoofing)(IP Spoofing)网络平安攻击网络平安攻击lIP欺骗是指网络内部或外部的黑客模仿一台可靠计算时机话IP协议头中源IP地址欺骗lIP欺骗通常会引发其他的攻击DoS。l实现与攻击目标双向通讯方法更改网络上的路由表。26IPIP欺骗欺骗(IP Spoofing)(IP Spoofing)网络平安攻击网络平安攻击l减轻危害的方法：减轻危害的方法：访问控制：拒绝任何来自外部网络而其源地址为内部网络的流量。如果某些外部地址也可靠，此方法无效。RFC 2827过滤：防止一个网络的用户欺骗其他网络。27效劳拒绝效劳拒绝(Denial of Service)(Denial of Service)网络平安攻击网络平安攻击lDoSDeny Of Service就是攻击者通过使你的网络设备崩溃或把它压跨网络资源耗尽来阻止合法用户获得网络效劳，DOS是最容易实施的攻击行为。lDoS主要包括ping of death、teardrop、UDP flood、TCP SYN Flood、land攻击、smurf攻击等。28效劳拒绝效劳拒绝(Denial of Service)(Denial of Service)网络平安攻击网络平安攻击lDDoSDistributed Denial Of Servicel黑黑客客侵侵入入并并控控制制了了很很多多台台电电脑脑，并并使使它它们们一一起起向向主主机机发发动动DoS攻攻击击，主主机机很很快快陷陷于于瘫瘫痪痪，这这就就是是分分布布式式拒拒绝绝效劳攻击效劳攻击DDoSDistributed Denial Of Service。29死亡之死亡之ping(ping of death)DoS ping(ping of death)DoS 网络平安攻击网络平安攻击l一般网络设备对包的最大处理尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷PayLoad生成缓冲区。l当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方宕机。30网络平安攻击网络平安攻击死亡之死亡之ping(ping of death)DoS ping(ping of death)DoS 31死亡之死亡之ping(ping of death)DoS ping(ping of death)DoS 网络平安攻击网络平安攻击l减轻危害的方法：减轻危害的方法：现在所有的标准TCP/IP都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击。对操作系统进行升级和打补丁32泪滴泪滴(teardrop)DoS(teardrop)DoS网络平安攻击网络平安攻击l利用那些在TCP/IP堆栈实现中信任IP分片中的IP协议首部所包含的信息来实现攻击。lIP分片含有指示该分片所包含的是原数据报文的哪一段信息，某些设备在收到重叠IP分段报文时会崩溃或严重异常。33泪滴泪滴(teardrop)DoS(teardrop)DoS网络平安攻击网络平安攻击34泪滴泪滴(teardrop)DoS(teardrop)DoS网络平安攻击网络平安攻击l减轻危害的方法减轻危害的方法l效效劳劳器器应应用用最最新新的的效效劳劳包包，或或者者在在设设置置防防火火墙墙时时对分片进行重组，而不是转发它们。对分片进行重组，而不是转发它们。35网络平安攻击网络平安攻击l各种各样的假冒攻击利用简单的TCP/IP效劳，如Chargen和Echo来传送毫无用处的数据。l通过伪造与主机的Chargen效劳的一次的UDP连接，回复地址指向开着Echo效劳的一台主机，这样就生成在两台设备之间的足够多的无用数据流，从而导致带宽缺乏的严重问题。UDPUDP洪水洪水(UDP flood)DoS(UDP flood)DoS36UDPUDP洪水洪水(UDP flood)DoS(UDP flood)DoS网络平安攻击网络平安攻击l减轻危害的方法减轻危害的方法l关掉不必要的关掉不必要的TCP/IP效劳效劳l对对防防火火墙墙进进行行配配置置阻阻断断来来自自Internet的的对对这这些些效效劳的请求劳的请求l在路由器或防火墙上进行源地址过滤在路由器或防火墙上进行源地址过滤 37网络平安攻击网络平安攻击TCP SYN flood DoS TCP SYN flood DoS 38网络平安攻击网络平安攻击l在TCP协议中，SYN置位的报文表示请求建立一个连接。当效劳器端收到SYN置位的报文时，将预留资源并向客户端回应一个报文，表示连接请求被允许。按照正常的流程，客户端应当返回一个报文表示连接已经建立。SYN flooding攻击一方面伪造源地址，另一方面即使不伪造源地址，也不给予响应。而一个TCP连接在发送报文到目的地址失败的情况下，会试图再进行屡次重传，这样越发加重了网络的负担。lSYN flooding攻击采用伪造源地址并创立许多的SYN报文的方式，在很短的时间内将特定目标的内存或其他资源消耗殆尽。这种攻击使得特定网络上的HTTP或FTP效劳器保持大量的会话连接，从而让合法的用户不能访问该资源。TCP SYN flood DoS TCP SYN flood DoS 39TCP SYN flood DoS TCP SYN flood DoS 网络平安攻击网络平安攻击l防御：防御：在防火墙上过滤来自同一主机的后续连接。40LandLand攻击攻击DoS DoS 网络平安攻击网络平安攻击l一个伪造的SYN包它的源地址和目标地址都被设置成某一个网络设备的地址，此举将导致接受的网络设备向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创立一个空连接，每一个这样的连接都将保存直到超时掉，这样就会产生大量的空TCP连接。l防御：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。41SmurfSmurf攻击攻击DoSDoS网络平安攻击网络平安攻击l将回复地址设置成被攻击方的播送地址的ICMP应答请求ping数据包，最终导致该网络的所有主机都对此ICMP应答请求作出答复，造成网络阻塞，比ping of death洪水的流量高出一或两个数量级。l防御：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的播送地址特性。为防止被攻击，在防火墙上设置规那么，丢弃掉ICMP包。42减弱减弱DoSDoS攻击的方法攻击的方法网络平安攻击网络平安攻击l防IP地址欺骗特性RFC 2827过滤l防DoS特性在路由器上或防火墙上进行相关配置l流量比率限制对某些流量类型进行限制43密码攻击密码攻击(Password Attacks)(Password Attacks)网络平安攻击网络平安攻击l防御防御使用OTP或密码验证方法加强密码维护l强力攻击l特洛伊木马方案lIP欺骗与报文窃听44中间人攻击中间人攻击(Man-in-the-Middle Attacks)(Man-in-the-Middle Attacks)网络平安攻击网络平安攻击l通过使用网络报文窃听以及路由和传输协议进行这种攻击。主要目的是窃取信息、截获正在传输中的会话以便访问专用网络资源、进行流量分析以获取关于一个网络及其用途的信息、拒绝效劳、破坏传输数据以及在网络会话中插入新的信息。l防护措施：对数据进行加密。45应用层攻击应用层攻击(Application Layer Attacks)(Application Layer Attacks)网络平安攻击网络平安攻击l利用效劳器上软件常见弱点进行攻击如：SMTP、HTTP、FTP、DNS、SNMP等l防护措施：l读取OS与网络日志文件对其进行分析l使用应用层防火墙l使用入侵检测系统IDS46网络侦察网络侦察(Network Reconnaissance)(Network Reconnaissance)网络平安攻击网络平安攻击l网络侦察是指运用公用的信息和应用获得关于某个目标网络的信息。如DNS查询、Ping等。l减少风险的措施：l使用入侵检测系统IDS47信任关系利用信任关系利用Trust ExploitationTrust Exploitation网络平安攻击网络平安攻击l它指的是个人利用网络内部的某种信任关系进行攻击的行为。典型的例子是公司的周边网路连接。这些网络区域通常拥有DNS，SMTP，HTTP效劳器。由于他们均位于同一区域，因此对一个系统的破坏就会造成其它系统的受损，因为它们与其网络相连接的系统会比较信任。48信任关系利用信任关系利用Trust ExploitationTrust Exploitation网络平安攻击网络平安攻击l防防护护措措施施：可以通过严格限制网络内部的信任水平来防止信任关系利用攻击。防火墙内侧的系统永远不能完全信任防火墙外部的系统。这种信任应限定到某些具体的协议，而且应该通过除IP地址之外的某种机制进行验证。49网络平安攻击网络平安攻击l端口重定向Port Redirectionl未授权访问Unauthorized Accessl病毒与特洛伊木马应用Virus and Trojan Horse Applications50网络平安体系结构网络平安体系结构网络平安攻击网络平安攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络平安策略网络平安策略网络平安案例网络平安案例参考资料参考资料目录目录51防火墙技术防火墙技术l专用防火墙专用防火墙Cisco PIXNetScreenl集成在路由器平台防火墙集成在路由器平台防火墙Huawei VRPCisco IOS52防火墙技术防火墙技术l包过滤防火墙包过滤防火墙lAccess Listl状态防火墙状态防火墙lASPFApplication Specific Packet Filterl CBACContext-based Access Control53网络平安体系结构网络平安体系结构网络平安攻击网络平安攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络平安策略网络平安策略网络平安案例网络平安案例参考资料参考资料目录目录54入侵检测系统入侵检测系统l网络网络IDS:l网网络络IDSNIDS，这这种种设设备备能能够够捕捕获获LAN区区域域中中的的信信息息流流并试着将实时信息流与的攻击签名进行对照。并试着将实时信息流与的攻击签名进行对照。l主机主机IDS：l主主机机入入侵侵检检测测系系统统HIDS是是一一种种用用于于监监控控单单个个主主机机上上的的活活动动的的软软件件应应用用。监监控控方方法法包包括括验验证证操操作作系系统统与与应应用用呼呼叫叫及及检检查日志文件、文件系统信息与网络连接。查日志文件、文件系统信息与网络连接。55网络平安体系结构网络平安体系结构网络平安攻击网络平安攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络平安策略网络平安策略网络平安案例网络平安案例参考资料参考资料目录目录56网络平安策略网络平安策略l平安策略是一种正式的规定，那些被允许访问某机构的技术与信息资源的人必须遵守这些规定。l真正的网络平安是产品与效劳的结合，包括全面的平安策略。57网络平安体系结构网络平安体系结构网络平安攻击网络平安攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络平安策略网络平安策略网络平安案例网络平安案例参考资料参考资料目录目录58某客户网络遭受某客户网络遭受某客户网络遭受某客户网络遭受DoSDoS攻击后攻击后攻击后攻击后8750DHCP Relay8750DHCP Relay失效分析失效分析失效分析失效分析网络平安案例网络平安案例59某客户网络遭受某客户网络遭受某客户网络遭受某客户网络遭受DoSDoS攻击后攻击后攻击后攻击后8750DHCP Relay8750DHCP Relay失效分析失效分析失效分析失效分析网络平安案例网络平安案例60某客户网络遭受某客户网络遭受某客户网络遭受某客户网络遭受DoSDoS攻击后攻击后攻击后攻击后MA 5100MA 5100用户中断分析用户中断分析用户中断分析用户中断分析网络平安案例网络平安案例61某客户网络遭受某客户网络遭受某客户网络遭受某客户网络遭受DoSDoS攻击后攻击后攻击后攻击后MA 5100MA 5100用户中断分析用户中断分析用户中断分析用户中断分析网络平安案例网络平安案例62网络平安体系结构网络平安体系结构网络平安攻击网络平安攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络平安策略网络平安策略网络平安案例网络平安案例参考资料参考资料目录目录63RFCsRFC 2196“Site Security Handbook RFC 1918“Address Allocation for Private Internets RFC 2827“Network Ingress Filtering:Defeating Denial of Service Attacks which employ IP Source Address Spoofing 参考资料参考资料64Miscellaneous References“Denial of Service Attacks “Computer Emergency Response Team :/“Improving Security on Cisco Routers“VLAN Security Test Report 参考资料参考资料65谢谢 谢谢 大大 家家