威胁与脆弱性
管理上的欠缺 身份假冒 软件的缺陷 协议栈的缺陷
组织网络内部攻击
1
2
3
4
5
6
5.2 物理边界控制
物理边界控制的概念
• 对于计算机网络信息系统，物理边界控制的作用就是保护位于边 界内部区域的进行信息处理和信息存储的物理基础设施的安全。
• 物理边界控制必须防止对物理基础设施的损害。
1
2
1
2
3
4
5
6
包过滤路由器
• 包过滤器在包对包的基础上进行网络流量的处 理。它们只在OSI参考模型的网络层工作,因此, 它们能够准许或阻止IP地址和端口，并且能够 在标准的路由器上以及专门的防火墙设备上执 行。一个纯包过滤器只关注下列信息:源IP地址、 目标IP地址、源端口、目标端口、包类型
• 包过滤器的一个基本例子就是位于Internet和内 部网络之间的路由器，它根据数据包的来源、 目的地址和端口来过滤。这样的路由器被称为 筛分路由器(Screening Router)
第5章 边界安全
主要内容
• 概述 • 物理边界控制 • 防火墙技术 • 入侵检测 • 隔离 • 攻击及其防范
5.1 概述
基本概念、范畴、常见的安全问题
基本概念
• 物理的边界 • 物理安全区域的边界 • 建筑物的进入通道、停车场的入口、实验室的大门 • 逻辑的边界 • 网络边界处内部网络访问的安全
来检测入侵者
视频监控系统 • 通过闭路电视进行监控
1
2
3
4
5
6
人员管理制度
外来人员管理 工作人员管理 保卫人员管理
1
2
3
4
5
6
5.3 防火墙技术
防火墙的定义
• 在网络中，防火墙是一个或一组在两个网络之间执行访问控制策 略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。
内网
服务器
1
2
3
4
5
监控中心
PC客户终端
无线网络 无线网络
无线客户终端 无线客户终端
1
2
3
4
5
6
应用实例
• 某事业单位属于涉密性质，在内部网络中部署了大量的设备，如： 数据存储服务器、路由器、交换机、防火墙、入侵检测等，在存 储载体上存储了大量涉密数据及单位核心资料，如：技术开发文 档 、档案资料、财务资料等。这些设备和数据存放在单位的机房、 资料室和档案室中，在单位及关键房间的出入口处，有必要部署 门禁系统进行物理边界控制。
6
防火墙
互联网
防火墙的发展史
• 第一代防火墙技术几乎与路由器同时出现，采用了包过滤 （Packet filter）技术。
• 第二代防火墙 1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二 代防火墙，即应用层防火墙（代理防火墙）。
• 第三代防火墙 1992年，USC信息科学院的BobBraden开发出了基于动态包过滤 （Dynamic packet filter）技术的第三代防火墙，后来演变为目前 所说的状态监视（Stateful inspection）技术。1994年，以色列的 CheckPoint公司开发出了第一个采用这种技术的商业化的产品
1
2
3
4
5
6
常见的包过滤规则
• 包过滤系统只能让我们进行类似以下情况的操作： • （1）允许或不允许用户从外部网用Telnet登录； • （2）允许或不允许用户使用SMTP往内部网发电子邮件； • 包过滤不能允许我们进行如下的操作： • （1）允许某个用户从外部网用Telnet登录而不允许其它用户进行
1
2
3
4
5
6
范畴
1
2
3
4
5
6
常见的安全问题
常见问题\安全属性 物理边界非法闯入 非授权地拷贝设备数据 未授权的用户远程访问内部网络 未授权的用户篡改内部设备数据 利用内部服务器漏洞进行远程攻击 对设备进行拒绝服务攻击
真实性 √ √ √ √
完整性
√ √
机密性 √ √ √
可用性 √
√ √
1
2
3
4
5
6
3
4
5
6
门禁技术
• 门禁是对进出物理边界的人员进行控制的技术设备。 • 感应卡式门禁系统 • 指纹门禁系统 • 虹膜门禁系统 • 面部识别门禁系统
1
2
3
4
5
6
现代门禁系统
传感与告警
管理设置
身份识别
线路与通信
处理与控制
开关控制
1
2
3
4
5
6
门禁系统
1
2
3
4
5
6
巡更系统
1
2
3
4
5
6
红外防护系统
• 对射式主动红外入侵探测器
• 对外 可以限制未授权的用户进入内部网络，过滤掉不安全的服务 和非法用户；防止入侵者接近网络防御设施；
• 对内 限制内部用户访问特殊站点
1
2
3
4
5
6
防火墙应该满足的条件
• 所有进出网络的通信流都应该通过防火墙。 • 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权
1
2
3
4
5
6
防火墙的局限性
• 防火墙不能防范网络内部的攻击。比如：防火墙无法禁止内部人 员将敏感数据拷贝到软盘上
• 防火墙也不能防范没有防范心理的管理员授予其些入侵者临时的 网络访问权限
• 防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙 去对每一个文件进行扫描，查出潜在的病毒
1
2
3
4
5
6
防火墙的分类
• 从采用的技术上分，常见的防火墙有三种类型： • 包过滤防火墙； • 应用代理防火墙； • 状态检测防火墙。
1
2
3
4
5
6
技术部署
门禁系统的部署与运行 • 采用分布式网络结构，在各个关键位置（机房、
资料室和档案室）出入口安装部署门禁设备， 由系统控制服务器进行远程管理和控制
监视系统 • 采用了入侵检测系统、传感和报警系统和闭路
电视监视系统，对重点区域进行摄像、安防等 操作
1
2
3
4
5
6
技术部署
红外防护系统 • 部署在安全区域内，采用红外线
多谐振荡器
红外驱动电路
红外接收机
信号处理电路
报警控制器
• 反射式主动红外入侵探测器
报警控制器
信号处理电路
红外接收机
多谐振荡器
红外驱动电路
1
2
3
4
5
6
视频监控系统
管理中心
管理服务器 目录服务器 录像存储服务器 转发服务器
网络摄像头 网络摄像头
视频服务器
PC客户终端
网络摄像头
监控前端
普通摄像头 普通摄像头
•
1
2
3
4
5
6
防火墙适用的环境
• 由于防火墙假设了网络边界和服务，因此适合于相对独立的网络， 例如Intranet等种类相对集中的网络。Internet上的Web网站中， 超过三分之一的站点都是有某种防火墙保护的，任何关键性的服 务器，都应该放在防火墙之后
1
Байду номын сангаас
2
3
4
5
6
防火墙的功能
• 根据不同的需要，防火墙的功能有比较大的差异，但是一般都包 含以下基本功能：