第章网络安全技术四

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,第,9,章 网络安全技术,学习目标,网络安全包括哪些常用技术和手段,网络扫描技术作用和实施,网络防火墙的作用和工作机理,入侵检测系统的作用和工作机理,使用蜜罐技术有效发现网络入侵行为,本章主要讲解网络环境下安全防范技术：,2,如何保护网络免遭入侵？,3,目 录,9.1,网络安全技术概述,9.2,网络扫描技术,9.3,网络防火墙技术,9.4,入侵检测技术,9.5,蜜罐技术,4,9.1,网络安全技术概述,由于网络的存在，攻击者更容易通过网络非法入侵他人网络系统、计算机系统，非法访问网络上的资源，非法窃取终端系统中的数据。,网络通常分为内部网络和外部网络（也称公共网络，如,Internet,），对安全边界的监控是网络安全的重要内容。,构建网络安全防御体系，除了必要的人、制度、机制、管理等方面保障，还要依赖于各种网络安全技术。,5,9.1,网络安全技术概述,扫描技术：发现内部网络安全薄弱环节，进行完善保护。,防火墙技术：在内部与外部网络衔接处，阻止外部对内部网络的访问，限制内部对外部网络的访问等。,入侵检测系统：发现非正常的外部对内部网络的入侵行为，报警并阻止入侵行为和影响的进一步扩大。,隔离网闸技术：在物理隔离的两个网络之间进行,安全,数据交换,。,6,如何探测网络拓扑结构及网络中系统存在的安全弱点？,7,目 录,9.1,网络安全技术概述,9.2,网络扫描技术,9.3,网络防火墙技术,9.4,入侵检测技术,9.5,蜜罐技术,8,9.2,网络扫描技术,发现网络中设备及系统是否存在漏洞,。,主机扫描,：,确定在目标网络上的主机是否可达，常用的扫描手段如,ICMP Echo,扫描、,Broadcast ICMP,扫描等。,防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，攻击者通常利用,ICMP,协议提供的错误消息机制，例如发送异常的,IP,包头、在,IP,头中设置无效的字段值、错误的数据分片，以及通过超长包探测内部路由器和反向映射探测等。,9,9.2,网络扫描技术,端口扫描,发现目标主机的开放端口，包括网络协议和各种应用监听的端,口。,TCP Connect,扫描和,TCP,反向,ident,扫描口。,TCP Xmas,和,TCP Null,扫描是,FIN,扫描的两个变种。,TCP FTP,代理扫描,。,分段扫描，将数据包分为两个较小的,IP,段。,TCP SYN,扫描和,TCP,间接扫描，两种半开放扫描,。,10,9.2,网络扫,描,描技术,发现网,络,络中设,备,备及系,统,统是否,存,存在漏,洞,洞,。,主机扫,描,描,：,确定在,目,目标网,络,络上的,主,主机是,否,否可达,，,，常用,的,的扫描,手,手段如,ICMP Echo,扫描、,BroadcastICMP,扫描等,。,。,防火墙,和,和网络,过,过滤设,备,备常常,导,导致传,统,统的探,测,测手段,变,变得无,效,效。为,了,了突破,这,这种限,制,制，攻,击,击者通,常,常利用,ICMP,协议提,供,供的错,误,误消息,机,机制，,例,例如发,送,送异常,的,的,IP,包头、,在,在,IP,头中设,置,置无效,的,的字段,值,值、错,误,误的数,据,据分片,，,，以及,通,通过超,长,长包探,测,测内部,路,路由器,和,和反向,映,映射探,测,测等。,11,9.2,网络扫,描,描技术,端口扫,描,描,发现目,标,标主机,的,的开放,端,端口，,包,包括网,络,络协议,和,和各种,应,应用监,听,听的端,口。,TCPConnect,扫描和,TCP,反向,ident,扫描口,。,。,TCPXmas,和,TCPNull,扫描是,FIN,扫描的,两,两个变,种,种。,TCPFTP,代理扫,描,描,。,分段扫,描,描，将,数,数据包,分,分为两,个,个较小,的,的,IP,段。,TCPSYN,扫描和,TCP,间接扫,描,描，两,种,种半开,放,放扫描,。,12,如何隔,离,离内部,网,网络与,外,外部网,络,络？,13,目,录,录,9.1,网络安,全,全技术,概,概述,9.2,网络扫,描,描技术,9.3,网络防,火,火墙技,术,术,9.4,入侵检测技,术,术,9.5,蜜罐技术,14,9.3.1,防火墙概念,、,、功能,15,9.3.1,防火墙概念,、,、功能,1,防火墙的,特,特性,（,1,）内部网络,和,和外部网络,之,之间的所有,网,网络数据流,都,都必须经过,防,防火墙。,（,2,）只有符合,安,安全策略的,数,数据流才能,通,通过防火墙,。,。,（,3,）防火墙自,身,身应具有非,常,常强的抗攻,击,击免疫力。,16,9.3.1,防火墙概念,、,、功能,2,防火墙的,功,功能,（,1,）防火墙是,网,网络安全的,屏,屏障,（,2,）防火墙可,以,以强化网络,安,安全策略,（,3,）对网络存,取,取和访问进,行,行监控审计,（,4,）防止内部,信,信息的外泄,17,9.3.2,防火墙工作,原,原理,1,包过滤技,术,术,“静态包过,滤,滤”,“动态包过,滤,滤”,对通过防火,墙,墙的每个,IP,数据报文（,简,简称数据包,）,）的头部、,协,协议、地址,、,、端口、类,型,型等信息进,行,行检查，与,预,预先设定好,的,的防火墙过,滤,滤规则进行,匹,匹配，一旦,发,发现某个数,据,据包的某个,或,或多个部分,与,与过滤规则,匹,匹配并且条,件,件为“阻止,”,”的时候，,这,这个数据包,就,就会被丢弃,。,。,18,9.3.2,防火墙工作,原,原理,1,包过滤技,术,术,19,9.3.2,防火墙工作,原,原理,通常需要检,查,查下列分组,字,字段：,源,IP,地址和目的,IP,地址；,TCP,、,UDP,和,ICMP,等协议类型,；,；,源,TCP,端口和目的,TCP,端口；,源,UDP,端口和目的,UDP,端口；,ICMP,消息类型；,输出分组的,网,网络接口。,20,9.3.2,防火,墙,墙工,作,作原,理,理,匹配,结,结果,分,分为,三,三种,情,情况,：,：,如果,一,一个,分,分组,与,与一,个,个拒,绝,绝转,发,发的,规,规则,相,相匹,配,配，,则,则该,分,分组,将,将被,禁,禁止,通,通过,；,；,如果,一,一个,分,分组,与,与一,个,个允,许,许转,发,发的,规,规则,相,相匹,配,配，,则,则该,分,分组,将,将被,允,允许,通,通过,；,；,如果,一,一个,分,分组,没,没有,与,与任,何,何的,规,规则,相,相匹,配,配，,则,则该,分,分组,将,将被,禁,禁止,通,通过,。,。这,里,里遵,循,循了,“,“一,切,切未,被,被允,许,许的,都,都是,禁,禁止,的,的”,的,的原,则,则。,21,9.3.2,防火,墙,墙工,作,作原,理,理,2,应,用,用代,理,理技,术,术,“,应,应,用,用,协,协,议,议,分,分,析,析,”,”,技,技,术,术,工,工,作,作,在,在,OSI,模,型,型,的,的,最,最,高,高,层,层,应,应,用,用,层,层,上,上,，,，,在,在,这,这,一,一,层,层,防,防,火,火,墙,墙,能,能,“,“,看,看,到,到,”,”,应,应,用,用,数,数,据,据,最,最,终,终,形,形,式,式,，,，,因,因,而,而,可,可,以,以,实,实,现,现,更,更,高,高,级,级,、,、,更,更,全,全,面,面,的,的,数,数,据,据,检,检,测,测,。,。,采,取,取,代,代,理,理,机,机,制,制,进,进,行,行,工,工,作,作,，,，,即,即,内,内,外,外,部,部,网,网,络,络,之,之,间,间,的,的,通,通,信,信,都,都,需,需,要,要,先,先,经,经,过,过,代,代,理,理,服,服,务,务,器,器,审,审,核,核,，,，,内,内,外,外,部,部,网,网,络,络,的,的,计,计,算,算,机,机,不,不,能,能,直,直,接,接,连,连,接,接,会,会,话,话,，,，,这,这,样,样,就,就,可,可,以,以,避,避,免,免,攻,攻,击,击,者,者,使,使,用,用,“,“,数,数,据,据,驱,驱,动,动,”,”,网,网,络,络,攻,攻,击,击,。,22,9.3.2,防火墙,工,工作原,理,理,3,、状态,监,监视技,术,术,状态监,视,视技术,在,在支持,对,对每个,数,数据包,的,的头部,、,、协议,、,、地址,、,、端口,、,、类型,等,等信息,进,进行分,析,析的基,础,础上，,进,进一步,发,发展了,“,“会话,过,过滤”,（,（,Session Filtering,）功能,，,，在每,个,个连接,建,建立时,，,，防火,墙,墙会为,这,这个连,接,接构造,一,一个会,话,话状态,，,，包含,了,了这个,连,连接数,据,据包的,所,所有信,息,息，之,后,后基于,连,连接状,态,态信息,对,对每个,数,数据包,的,的内容,进,进行分,析,析和监,视,视。,23,9.3.3,基于,DMZ,的防,火,火墙,部,部署,24,DMZ,部署方式，提供至少,3,个网路接,口,口，一个,用,用于连接,外,外部网络,通常,是,是,Internet,，一个用,于,于连接内,部,部网络，,一,一个用于,连,连接提供,对,对外服务,的,的屏蔽子,网,网。,DMZ,称为“隔离区,”,”，也称,“,“非军事,化,化区”，,它,它是一个,非,非安全系,统,统与安全,系,系统之间,的,的缓冲区,，,，这个缓,冲,冲区位于,企,企业内部,网,网络和外,部,部网络之,间,间，放置,一,一些必须,公,公开的服,务,务器设施,，,，如企业,Web,服务器、,FTP,服务器和,论,论坛等。,如何检测非,法,法入侵网络,行,行为？,25,目 录,9.1,网络安全技,术,术概述,9.2,网络扫描技,术,术,9.3,网络防火墙,技,技术,9.4,入侵检测技,术,术,9.5,蜜罐技术,26,9.4.1,入侵检测系,统,统概述,入侵检测（,IntrusionDetection,），通过收,集,集和分析计,算,算机网络或,计,计算机系统,中,中若干关键,点,点的信息，,检,检查网络或,系,系统中是否,存,存在违反安,全,全策略的行,为,为和被攻击,的,的迹象,。,实现这一功,能,能的软件与,硬,硬件组合即,构,构成入侵检,测,测系统,IDS,（,IntrusionDetectionSystem,）。,入侵检测系,统,统,分类：,主机型,IDS,是安装在服,务,务器或,PC,机上软件，,监,监测到达主,机,机的网络信,息,息流；,网络型,IDS,一般配置在,网,网络入口处,（,（路由器）,、,、或网络核,心,心交换处（,核,核心交换路,由,由）通过旁,路,路技术监测,网,网络上的信,息,息流。,27,9.4.1,入侵检测系,统,统概述,入侵检测系,统,统应包括以,下,下主要功能,：,：,监测、记录,并,并分析用户,和,和系统的活,动,动；,核查系统配,置,置和漏洞；,评估系统关,键,键资源和数,据,据文件的完,整,整性；,识别已知的,攻,攻击行为；,统计分析异,常,常行为；,管理操作系,统,统日志，识,别,别违反安全,策,策略的用户,活,活动。,28,9.4.1,入侵检测系,统,统概述,入侵检测系,统,统一般包括,以,以下组件：,事件产生器,（,（,Eventgenerators,）,事件分析,器,器（,Event analyzers,）,响应单元,（,（,Responseunits,）,事件数据,库,库（,Event databases,）,29,为事件（,event,），它可,以,以是网络,中,中的数据,包,包，也可,以,以是从系,统,统日志等,其,其他途径,得,得到的信,息,息。,9.4.2IDS,类,型,型,与,与,部,部,署,署,30,1,网,网,络,络,IDS,9.4.2IDS,类,型,型,与,与,部,部,署,署,31