防火墙及入侵检测技术
4
尸程序控制
训班
• 14907个网站被篡改
概述-主要安全技术
加密和数字签名技 • 数据传输加密
术
• 数据存储加密
•数据完整性的鉴别 •密钥管理技术
身份认证与访问控 • 基于密码的认证
制技术
• 基于地址的认证
•基于密码认证协议的认证 •动态身份认证 •生物特征认证
防火墙技术
• 数据包过滤技术 • 代理技术
应用服务 转换器
Internet 网卡 网卡
双闸式防火墙
2020/11/30
客戶端
服务器
网络通信安全管理员培
27
训班
內部网络
防火墙 5.3 –屏障单机式架构
• 属于结合包过滤器及代理服务器功能的一种架构 • 硬件设备除了主机还需要路由器
• 路由器:必须有包过滤功能 • 主机:负责过滤及处理网络服务要求的数据包
远端 端口
外部IP地址
外部 端口
80 网络20通2.信13安2.全2130管2.1理30员培2355 80 202.13训2.班10.10 2355
训班
完成30
防火墙 6.1 –防火墙产品选购策
略
• 防火墙的安全性
• 防火墙的高效性
• 防火墙的适用性
• 防火墙的可管理性
• 完善及时的售后服务体系
2020/11/30
网络通信安全管理员培
31
训班
防火墙 6.2 –防火墙设计策略
• 防火墙的系统环境 • 设置防火墙的要素 • 服务访问策略 • 防火墙设计策略
• 设置防火墙的目的是保护内部网络资源不被外部 非授权用户使用,防止内部受到外部非法用户的 攻击。
2020/11/30
网络通信安全管理员培
7
训班
防火墙 2 –功能
网络流量过滤
资料内容过滤
安全策略
网络地址翻译
2020/11/30
网络通信安全管理员培
8
训班
防火墙 3 –局限性
防外不防内
不能防范绕过 配置复杂,易 防火墙的攻击 出现安全漏洞
防火墙主机
Internet
路由器
2020/11/30
屏障子网网络域通信安全管理员培
28
训班
内部网络
防火墙 5.4 –屏障子网域式架构
• 结合许多主机及两个路由器 • 对外公开的应用服务器均需假设在屏障子网域内 • 用外部路由器隔离外部网络与屏障子网域 • 内部路由器隔离内部网络与屏障子网域 • 将内部网络的架构、各主机IP及名称完全隐藏起来 • 多次过滤检查
概述-网络安全现状(续)
我国网络安全形势非常严峻,
仅2010年上半年:
• 59.2%的网民遭遇病毒
或木马攻击
• 30.9%的网民账号或密
码被盗过
• 4780次网络安全事件报告(CNC •
2.5亿人遇到网络不安
ERT)
全事件
• 124万个IP地址对应的主机被木
马程序控制
• 23.3万个IP地202址0/1对1/3应0 主机被僵 网络通信安全管理员培
Internet 网卡 网卡
外部网络 堡垒主机式防火墙
2020/11/30
网络通信安全管理员培
26
训班
内部网络
防火墙 5.2 –双闸式防火墙
• 属于代理服务器型防火墙的一种 • 有两块网卡 • 需安装应用服务器转换器 • 所有网络应用服务数据包都需经过该应用服务转换器的检查 • 应用服务转换器将过滤掉不被系统允许的服务
填充域
Option
padding
2020/11/30 Payload(有0效或负多载个字网节络)通信安训全班管理员培
20 bytes 12
防火墙 4 –包过滤技术原理
封装
ICMP header
ICMP data
IP header
I P data
ICMP报文的一般格式:
0
8
16
类型
代码
Type
Code
• 规则表
规则过滤号 方向 动作 源主机地址 源端口号 目的主机地址 目的端口号 协议
描述
1
进入 阻塞 TESTHOST
*
*
阻塞来自
*
* TESTHOST的
所有数据包
2
输出 阻塞
*
*
TESTHOST
阻塞所有到
*
* TESTHOST的
数据包
3
进入 允许
*
>1023
192.1.6.2
允许外部用户
25
TCP
2020/11/30
网络通信安全管理员培
32
训班
防火墙 6.3 –防火墙设定实例(
1)
• 路由(Routing)
Internet
192.168.0.0 255.255.255.0
202.132.10.160
220022..113322|..1100..116901225052..215352|..21505..127450
Internet External IP = 202.132.10.10
IP = 192.168.0.3
IP = 192.168.0.4
Web Server IP = 131.107.50.1
远端IP地址
2020/11/13301.107.50.1
IP = 192.168.0.5
168.95.1.1
发送到外部 网络的包
包过滤防火墙 进入内部 网络的包
Internet
外部网络
网络通信安全管理员培
19
训班
防火墙 4.1 –包过滤防火墙
➢ 原理
包过滤防火墙
目的IP地址 源IP地址
目的端口号 源端口号
数据
2020/11/30
网络通信安全管理员培
20
TCP训/班UDP封包
IP封包
防火墙 4.1 –包过滤防火墙
紧急指针 Urgent Pointer (16bit)
选项 Options (0
或多个 32 bit 字 )
2020/11/30
网络通信安全管理员培
14
训班
数据 Data ( 可选 )
防火墙 4 –包过滤技术原理
16bit UDP源端口 UDP长度
16bit UDP宿端口 UDP校验和
最小值为8
全“0”:不选; 全“1”:校验和为0。
2020/11/30
网络通信安全管理员培
22
训班
防火墙 4.2 –应用代理
2020/11/30
网络通信安全管理员培
23
训班
防火墙 4.3 –技术对比
2020/11/30
网络通信安全管理员培
24
训班
防火墙 5 –防火墙的系统结构
• 堡垒主机式架构(Bastion Host Firewall)
• 双闸式架构( Dual-Homed Firewall )
序列号 Sequence Number
(32bit)
确认号 Acknowledgment Number
(32bit)
Data Offset (4bit)
Reserved (6bit)
UAP RS F R CS S YI G KH T NN
窗口大小 Window size (16bit)
校验和 Checksum (16bit)
防火墙及入侵检测技术简介
网络通信安全管理员培训班
讲座提纲
网络安全概述
防火墙技术
入侵检测技术
系统安全审计与评估
2020/11/30
网络通信安全管理员培
2
训班
概述-网络安全现状
特洛伊木马
黑客攻击
后门、隐蔽通 道
计算机病毒
网络
拒绝服务攻 击
逻辑20炸20/弹11/30
蠕虫
网络通信安全管理员培内部、外部泄 3 训班 密
2020/11/30
网络通信安全管理员培
15
训班
防火墙 4 –包过滤的依据
• IP 源地址 • IP目的地址 • 封装协议(TCP、UDP、或IP Tunnel) • TCP/UDP源端口 • TCP/UDP目的端口 • ICMP包类型 • TCP报头的ACK位 • 包输入接口和包输出接口
2020/11/30
(16bit)
(3bit)
(13bit)
生存时间
传输层协议
头部校验和
Time to Live
Protocol
Header Checksum
(8bit)
(8bit)
(16bit)
源 IP 地址
Source Address(32bit)
宿 IP 地址
Destination Address(32bit)
可选项
2020/11/30
网络通信安全管理员培
17
训班
防火墙 4 –独立于服务的过滤
• 源IP地址欺骗攻击 • 源路由攻击 • 残片攻击
2020/11/30
网络通信安全管理员培
18
训班
防火墙 4.1 –包过滤防火墙
• 结构
内部网络
防火墙
E-mail服务器 (192.1.6.2)
工作站
2020/11/30
•状态检测技术 •地址翻译技术 •虚拟专用网
入侵检测技术 2020/11/30
• 误用检测
•混合检测
• 异常检测网络通信安全管理员培
5
训班
讲座提纲
网络安全概述
防火墙技术
入侵检测技术
