網絡安全架構設計和網絡安全設備的部署2022/10/31網絡安全架構設計和網絡安全設備的部署網絡安全架構設計和網絡安全設備的部署2022/10/23網絡1主要內容內網安全架構的設計與安全產品的部署安全掃描技術防火墻技術入侵檢測技術IPSecVPN和SSLVPN技術網絡安全架構設計和網絡安全設備的部署2主要內容內網安全架構的設計與安全產品的部署網絡安全架構設計和網絡信息安全的基本問題網絡信息安全的基本問題保密性完整性可用性可控性可審查性最終要解決是使用者對基礎設施的信心和責任感的問題。網絡安全架構設計和網絡安全設備的部署3網絡信息安全的基本問題網絡信息安全的基本問題網絡安全架構設計網絡與信息安全體系要實施一個完整的網絡與信息安全體系，至少應包括三類措施，并且三者缺一不可。社會的法律政策、規章制度措施技術措施審計和管理措施網絡安全架構設計和網絡安全設備的部署4網絡與信息安全體系要實施一個完整的網絡與信息安全體系，至少應網絡安全設計的基本原則要使信息系統免受攻擊，關鍵要建立起安全防御體系，從信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否認性等。在進行計算機網絡安全設計、規劃時，應遵循以下原則：需求、風險、代價平衡分析的原則綜合性、整體性原則一致性原則易操作性原則適應性、靈活性原則多重保護原則網絡安全架構設計和網絡安全設備的部署5網絡安全設計的基本原則要使信息系統免受攻擊，關鍵要建立起安全網絡安全解決方案網絡安全解決方案的基本概念網絡安全解決方案可以看作是一張有關網絡系統安全工程的圖紙，圖紙設計的好壞直接關系到工程質量的優劣。總體來說，網絡安全解決方案涉及安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術、認證和數字簽名技術、VPN技術等多方面的安全技術。網絡安全架構設計和網絡安全設備的部署6網絡安全解決方案網絡安全解決方案的基本概念網絡安全架構設計和一份好的網絡安全解決方案，不僅僅要考慮到技術，還要考慮到策略和管理。技術是關鍵策略是核心管理是保證在整個網絡安全解決方案中，始終要體現出這三個方面的關系。網絡安全架構設計和網絡安全設備的部署7一份好的網絡安全解決方案，不僅僅要考慮到技術，還要考慮到策略網絡安全解決方案設計網絡安全架構設計和網絡安全設備的部署8網絡安全解決方案設計網絡安全架構設計和網絡安全設備的部署8安全需求分析網絡系統的總體安全需求是建立在對網絡安全層次分析基礎上的。對于基于TCP/IP協議的網絡系統來說，安全層次是與TCP/IP協議層次相對應的。針對該企業網絡的實際情況，可以將安全需求層次歸納為網絡層安全和應用層安全兩個技術層次，同時將在各層都涉及的安全管理部分單獨作為一部分進行分析。網絡安全架構設計和網絡安全設備的部署9安全需求分析網絡系統的總體安全需求是建立在對網絡安全層次分析網絡層需求分析網絡層安全需求是保護網絡不受攻擊，確保網絡服務的可用性。保證同Internet互聯的邊界安全能夠防范來自Internet的對提供服務的非法利用防范來自Internet的網絡入侵和攻擊行為的發生對于內部網絡提供高于網絡邊界更高的安全保護網絡安全架構設計和網絡安全設備的部署10網絡層需求分析網絡層安全需求是保護網絡不受攻擊，確保網絡服務應用層需求分析應用層的安全需求是針對用戶和網絡應用資源的，主要包括：合法用戶可以以指定的方式訪問指定的信息；合法用戶不能以任何方式訪問不允許其訪問的信息；非法用戶不能訪問任何信息；用戶對任何信息的訪問都有記錄。網絡安全架構設計和網絡安全設備的部署11應用層需求分析應用層的安全需求是針對用戶和網絡應用資源的，主應用層要解決的安全問題包括非法用戶利用應用系統的后門或漏洞，強行進入系統用戶身份假冒非授權訪問數據竊取數據篡改數據重放攻擊抵賴網絡安全架構設計和網絡安全設備的部署12應用層要解決的安全問題包括非法用戶利用應用系統的后門或漏洞，網絡安全解決方案網絡安全架構設計和網絡安全設備的部署13網絡安全解決方案網絡安全架構設計和網絡安全設備的部署13電子政務網絡拓撲概述內部核心子網INTERNET分支機構1分支機構2網絡安全架構設計和網絡安全設備的部署14電子政務網絡拓撲概述內部核心子網INTERNET分支機構1分電子政務網絡拓撲詳細分析領導層子網分支機構2業務處室子網公共處室子網服務處室子網直屬人事機構處室子網共享數據庫子網INTERNET分支機構1網絡安全架構設計和網絡安全設備的部署15電子政務網絡拓撲詳細分析領導層子網分支機構2業務處公共處服務電子政務網絡風險及需求分析領導層子網分支機構2業務處室子網公共處室子網服務處室子網直屬人事機構處室子網共享數據庫子網INTERNET分支機構1此人正試圖進入網絡監聽并竊取敏感信息分支機構工作人員正試圖在領導層子網安裝木馬分支機構工作人員正試圖越權訪問業務子網安裝木馬非內部人員正試圖篡改公共網絡服務器的數據網絡安全架構設計和網絡安全設備的部署16電子政務網絡風險及需求分析領導層子網分支機構2業務處公共處服電子政務網絡內網基礎網絡平臺安全領導層子網業務處室子網公共處室子網服務處室子網直屬人事機構處室子網共享數據庫子網分支機構2分支機構1NEsec300FW2035968?告警內網接口外網接口電源NEsec300FW2035968?告警內網接口外網接口電源INTERNETNEsec300FW2035968?告警內網接口外網接口電源防火墻FW1防火墻FW2防火墻FW3安全認證服務器安全管理器安全網關SG1安全網關SG2安全網關SG3路由器路由器路由器交換機NEsec300FW2035968?告警內網接口外網接口電源網絡安全架構設計和網絡安全設備的部署17電子政務網絡內網基礎網絡平臺安全領導層子網業務處公共處服務處內網核心網絡與各級子網間的安全設計

分支機構2INTERNET分支機構1NEsec300FW2035968?告警內網接口外網接口電源

內部核心子網NEsec300FW2035968?告警內網接口外網接口電源NEsec300FW2035968?告警內網接口外網接口電源NEsec300FW2035968?告警內網接口外網接口電源交換機安全網關SG1安全網關SG2安全網關SG3路由器路由器路由器安全管理器安全認證服務器網絡安全架構設計和網絡安全設備的部署18內網核心網絡與各級子網間的安全設計

分支機構2INTERNE內網網絡漏洞掃描系統設計分支機構2INTERNET分支機構1NEsec300FW2035968?告警內網接口外網接口電源

內部核心子網NEsec300FW2035968?告警內網接口外網接口電源NEsec300FW2035968?告警內網接口外網接口電源NEsec300FW2035968?告警內網接口外網接口電源交換機安全網關SG1安全網關SG2安全網關SG3路由器路由器路由器安全管理器安全認證服務器網絡漏洞掃描器網絡安全架構設計和網絡安全設備的部署19內網網絡漏洞掃描系統設計分支機構2INTERNET分支機構1內網網絡入侵檢測系統設計

分支機構2INTERNET分支機構1NEsec300FW2035968?告警內網接口外網接口電源

內部核心子網NEsec300FW2035968?告警內網接口外網接口電源NEsec300FW2035968?告警內網接口外網接口電源NEsec300FW2035968?告警內網接口外網接口電源交換機安全網關SG1安全網關SG2安全網關SG3路由器路由器路由器安全管理器安全認證服務器網絡入侵檢測探頭網絡入侵策略管理器網絡安全架構設計和網絡安全設備的部署20內網網絡入侵檢測系統設計

分支機構2INTERNET分支機構電子政務外網基礎平臺安全設計INTERNET辦公廳辦公業務網（簡稱“內網”）路由器交換機安全管理器防火墻FW物理隔離器（K1)E-MAIL服務器WWW服務器應用服務器數據庫服務器網絡安全架構設計和網絡安全設備的部署21電子政務外網基礎平臺安全設計INTERNET辦公廳辦公業務網外網網絡漏洞掃描系統設計INTERNET辦公廳辦公業務網（簡稱“內網”）路由器交換機安全管理器防火墻FW物理隔離器（K1)E-MAIL服務器WWW服務器應用服務器數據庫服務器網絡漏洞掃描器網絡安全架構設計和網絡安全設備的部署22外網網絡漏洞掃描系統設計INTERNET辦公廳辦公業務網外網網絡入侵檢測系統設計INTERNET辦公廳辦公業務網（簡稱“內網”）路由器交換機安全管理器物理隔離器（K1)E-MAIL服務器WWW服務器應用服務器數據庫服務器網絡漏洞掃描器網絡入侵檢測探頭網絡入侵策略管理器防火墻FW網絡安全架構設計和網絡安全設備的部署23外網網絡入侵檢測系統設計INTERNET辦公廳辦公業務網外網WEB服務器安全設計INTERNET辦公廳辦公業務網（簡稱“內網”）路由器交換機安全管理器物理隔離器（K2)E-MAIL服務器WWW服務器應用服務器數據庫服務器防火墻FW物理隔離器（K1)辦公廳辦公業務網（簡稱“內網”）政府系統辦公業務資源網（簡稱“專網”）Web網站監測&自動修復系統網絡安全架構設計和網絡安全設備的部署24外網WEB服務器安全設計INTERNET辦公廳辦公業務網內網、外網和專網的隔離系統設計INTERNET辦公廳辦公業務網（簡稱“內網”）路由器交換機安全管理器物理隔離器（K2)E-MAIL服務器WWW服務器應用服務器數據庫服務器防火墻FW物理隔離器（K1)辦公廳辦公業務網（簡稱“內網”）政府系統辦公業務資源網（簡稱“專網”）網絡安全架構設計和網絡安全設備的部署25內網、外網和專網的隔離系統設計INTERNET辦公廳辦公業務其它網絡安全設備撥號檢測系統上網行為管理系統DDOS防御網關VPN網關防病毒網關網絡安全架構設計和網絡安全設備的部署26其它網絡安全設備撥號檢測系統網絡安全架構設計和網絡安全設備的安全掃描技術掃描目的查看目標網絡中哪些主機是存活的（Alive）查看存活的主機運行了哪些服務WWWFTPEMAILTELNET查看主機提供的服務有無漏洞網絡安全架構設計和網絡安全設備的部署27安全掃描技術掃描目的網絡安全架構設計和網絡安全設備的部署27IP掃描IP掃描——PingSweepingPing使用ICMP協議進行工作網絡安全架構設計和網絡安全設備的部署28IP掃描IP掃描——PingSweeping網絡安全架構設IP掃描ICMP協議負責差錯的報告與控制。比如目標不可達，路由重定向等等ICMP報文格式類型域(type)用來指明該ICMP報文的類型代碼域(code)確定該包具體作用

081631

類型

代碼

校驗和

其他字段（不同的類型可能不一樣）

數據區……

數據ICMP包頭IP包頭MAC幀頭網絡安全架構設計和網絡安全設備的部署29IP掃描ICMP協議負責差錯的報告與控制。比如目標不可達，路IP掃描常用的ICMP報文Ping程序使用ICMPEchoRequest/Reply報文名稱類型ICMPDestinationUnreachable（目標不可達）3ICMPSourceQuench（源抑制）4ICMPRedirection（重定向）5ICMPTimestampRequest/Reply（時間戳）13/14ICMPAddressMaskRequest/Reply（子網掩碼）17/18ICMPEchoRequest/Reply（響應請求/應答）8/0網絡安全架構設計和網絡安全設備的部署30IP掃描常用的ICMP報文名稱類型ICMPDestinat端口掃描端口Internet上主機間通訊總是通過端口發生的

端口是入侵的通道端口分為TCP端口與UDP端口因此，端口掃描可分類為TCP掃描UDP掃描網絡安全架構設計和網絡安全設備的部署31端口掃描端口網絡安全架構設計和網絡安全設備的部署31端口掃描基本掃描用Socket開發TCP應用服務器端客戶端網絡安全架構設計和網絡安全設備的部署32端口掃描基本掃描服務器端客戶端網絡安全架構設計和網絡安全設備端口掃描connect()函數intconnect(SOCKETs,conststructsockaddrFAR*name,intnamelen);當connect返回0時，連接成功基本的掃描方法即TCPConnect掃描優點實現簡單可以用普通用戶權限執行缺點容易被防火墻檢測，也會目標應用所記錄網絡安全架構設計和網絡安全設備的部署33端口掃描connect()函數網絡安全架構設計和網絡安全設備端口掃描隱秘掃描服務器端客戶端connect網絡安全架構設計和網絡安全設備的部署34端口掃描隱秘掃描服務器端客戶端connect網絡安全架構設計端口掃描TCP的連接建立過程客戶機服務器發送SYN

seq=x

接收SYN報文

發送SYNseq=y,ACKack=x+1

接收SYN+ACK

發送ACKack=y+1

接受ACK報文段

網絡安全架構設計和網絡安全設備的部署35端口掃描TCP的連接建立過程客戶機服務器發送SYNseq=端口掃描SYN掃描客戶機服務器發送SYN

seq=x

如果接收到SYN+ACK，表明服務器端口可連接如果服務器端口打開，則返回SYN+ACK如果服務器端口未打開，則返回RSTSYN+ACK如果接收到RST，表明服務器端口不可連接RST網絡安全架構設計和網絡安全設備的部署36端口掃描SYN掃描客戶機服務器發送SYNseq=x如端口掃描SYN掃描的實現WinSock2接口RawSock方式，允許自定義IP包SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);TCP包頭標志位01631源端口

目的端口

序列號

確認號

HLEN

保留

標志位

窗口

校驗和

緊急指針

選項

填充

數據

保留保留UrgentpointACKPUSHRESETSYNFIN網絡安全架構設計和網絡安全設備的部署37端口掃描SYN掃描的實現0端口掃描SYN掃描的優缺點優點：一般不會被目標主機所記錄缺點：運行RawSocket時必須擁有管理員權限網絡安全架構設計和網絡安全設備的部署38端口掃描SYN掃描的優缺點網絡安全架構設計和網絡安全設備的部端口掃描FIN掃描關閉TCP連接的過程客戶機服務器發送FIN

seq=x

接收FIN報文

發送FINseq=y,ACKack=x+1

接收FIN+ACK

發送ACKack=y+1

接受ACK報文段

網絡安全架構設計和網絡安全設備的部署39端口掃描FIN掃描客戶機服務器發送FINseq=x接收F端口掃描關閉一個并沒有建立的連接，會產生以下情況對非連接FIN報文的回復TCP標準關閉的端口——返回RST報文打開的端口——忽略BSD操作系統與TCP標準一致其他操作系統均返回RST報文網絡安全架構設計和網絡安全設備的部署40端口掃描關閉一個并沒有建立的連接，會產生以下情況網絡安全架構TCPACK掃描掃描主機向目標主機發送ACK數據包。根據返回的RST數據包有兩種方法可以得到端口的信息。方法一是：若返回的RST數據包的TTL值小于或等于64，則端口開放，反之端口關閉方法二是：若返回的RST數據包的WINDOW值非零，則端口開放，反之端口關閉TCPACK掃描建立連接成功TCPACK掃描建立連接成功網絡安全架構設計和網絡安全設備的部署41TCPACK掃描掃描主機向目標主機發送ACK數據包。根據返NULL掃描掃描主機將TCP數據包中的ACK、FIN、RST、SYN、URG、PSH(接收端將數據轉由應用處理)標志位置空后（保留的RES1和RES2對掃描的結果沒有任何影響）發送給目標主機。若目標端口開放，目標主機將不返回任何信息。若目標主機返回RST信息，則表示端口關閉。NULL掃描建立連接成功NULL掃描建立連接未成功網絡安全架構設計和網絡安全設備的部署42NULL掃描掃描主機將TCP數據包中的ACK、FIN、RSTXmastree掃描（圣誕樹掃描）XMAS掃描原理和NULL掃描的類似，將TCP數據包中的ACK、FIN、RST、SYN、URG、PSH標志位置1后發送給目標主機。在目標端口開放的情況下，目標主機將不返回任何信息若目標端口關閉，則目標主機將返回RST信息XMAS掃描建立連接成功XMAS掃描建立連接未成功網絡安全架構設計和網絡安全設備的部署43Xmastree掃描（圣誕樹掃描）XMAS掃描原理和NUL端口掃描優點不會被記錄到日志可以繞過某些防火墻netstat命令不會顯示——netstate命令只能顯示TCP連接或連接的嘗試缺點使用RAWIP編程，實現起來相對比較復雜利用BSD代碼缺陷，可能被修復——OpenBSD不同操作系統結果不同，因此不完全可信網絡安全架構設計和網絡安全設備的部署44端口掃描優點網絡安全架構設計和網絡安全設備的部署44端口掃描UDP端口掃描目前掃描UDP端口只有一種方法：向目標UDP端口發送一些隨機數據，如果端口關閉，則目標主機會回復ICMP端口不可達消息網絡安全架構設計和網絡安全設備的部署45端口掃描UDP端口掃描網絡安全架構設計和網絡安全設備的部署4慢速掃描隨著防火墻的廣泛應用，普通的掃描很難穿過防火墻去掃描受防火墻保護的網絡。即使掃描能穿過防火墻，掃描的行為仍然有可能會被防火墻記錄下來。如果掃描是對非連續性端口、源地址不一致、時間間隔很長且沒有規律的掃描的話，這些掃描的記錄就會淹沒在其他眾多雜亂的日志內容中。使用慢速掃描的目的也就是這樣，騙過防火墻和入侵檢測系統而收集信息。雖然掃描所用的時間較長，但這是一種比較難以被發現的掃描。網絡安全架構設計和網絡安全設備的部署46慢速掃描隨著防火墻的廣泛應用，普通的掃描很難穿過防火墻去掃描亂序掃描亂序掃描也是一種常見的掃描技術，掃描器掃描的時候不是進行有序的掃描，掃描端口號的順序是隨機產生的，每次進行掃描的順序都完全不一樣，這種方式能有效地欺騙某些入侵檢測系統而不會被發覺。網絡安全架構設計和網絡安全設備的部署47亂序掃描亂序掃描也是一種常見的掃描技術，掃描器掃描的時候不是漏洞掃描漏洞是指系統硬件、操作系統、軟件、網絡協議、數據庫等在設計上和實現上出現的可以被攻擊者利用的錯誤、缺陷和疏漏。漏洞掃描程序是用來檢測遠程或本地主機安全漏洞的工具。針對掃描對象的不同，漏洞掃描又可分為網絡掃描、操作系統掃描、WWW服務掃描、數據庫掃描以及無線網絡掃描等。網絡安全架構設計和網絡安全設備的部署48漏洞掃描漏洞是指系統硬件、操作系統、軟件、網絡協議、數據庫等端口掃描常用的端口掃描工具UNIX下的端口掃描工具NmapWindows下的端口掃描工具XScanSuperScanNmapforNT網絡安全架構設計和網絡安全設備的部署49端口掃描常用的端口掃描工具網絡安全架構設計和網絡安全設備的部防火墻建筑業中的防火墻用在建筑單位間，防止火勢的蔓延。在網絡安全領域中，防火墻用來指應用于內部網絡（局域網）和外部網絡（Internet）之間的，用來保護內部網絡免受非法訪問和破壞的網絡安全系統。網絡安全架構設計和網絡安全設備的部署50防火墻建筑業中的防火墻用在建筑單位間，防止火勢的蔓延。網絡安防火墻功能示意兩個不同網絡安全域間通信流的唯一通道，對流過的網絡數據進行檢查，阻止攻擊數據包通過。安全網域一安全網域二網絡安全架構設計和網絡安全設備的部署51防火墻功能示意兩個不同網絡安全域間通信流的唯一通道，對防火墻主要功能過濾進、出網絡的數據;防止不安全的協議和服務；管理進、出網絡的訪問行為；記錄通過防火墻的信息內容與活動；對網絡攻擊進行檢測與告警;防止外部對內部網絡信息的獲取提供與外部連接的集中管理；網絡安全架構設計和網絡安全設備的部署52防火墻主要功能過濾進、出網絡的數據;網絡安全架構設計和網絡防火墻不能防范的攻擊來自內部的安全威脅；病毒開放應用服務程序的漏洞；特洛伊木馬；社會工程；不當配置網絡安全架構設計和網絡安全設備的部署53防火墻不能防范的攻擊來自內部的安全威脅；網絡安全架構設計和網衡量防火墻三大要求安全內部和外部間所有數據必須通過防火墻只有符合安全策略的數據流才能通過防火墻防火墻自身要安全管理良好的人機交互界面提供強勁的管理及擴展功能速度網絡安全架構設計和網絡安全設備的部署54衡量防火墻三大要求安全網絡安全架構設計和網絡安全設備的部署5防火墻發展歷程主要經歷了三個階段：基于路由器的防火墻基于通用操作系統的防火墻基于安全操作系統的防火墻網絡安全架構設計和網絡安全設備的部署55防火墻發展歷程主要經歷了三個階段：網絡安全架構設計和網絡安全防火墻分類按實現技術分類：包過濾型代理型防火墻按體系結構分類：雙宿/多宿主機防火墻屏蔽主機防火墻屏蔽子網防火墻混合結構網絡安全架構設計和網絡安全設備的部署56防火墻分類按實現技術分類：網絡安全架構設計和網絡安全設備的部包過濾防火墻包過濾防火墻在決定能否及如何傳送數據包之外，還根據其規則集，看是否應該傳送該數據包普通路由器當數據包到達時，查看IP包頭信息，根據路由表決定能否以及如何傳送數據包網絡安全架構設計和網絡安全設備的部署57包過濾防火墻包過濾防火墻網絡安全架構設計和網絡安全設備的部署靜態包過濾防火墻傳輸層傳輸層傳輸層

網絡安全架構設計和網絡安全設備的部署58靜態包過濾防火墻傳輸層路由與包過濾路由進行轉發，過濾進行篩選源地址目標地址協議是否允許HostASeverXTCPYESHostASeverXUDPNOHostA外部網絡目標路由SeverX接口1……………………SeverX網絡安全架構設計和網絡安全設備的部署59路由與包過濾路由進行轉發，過濾進行篩選源地址目標地址協議是否包過濾所檢查的內容源和目的的IP地址IP選項IP的上層協議類型（TCP/UDP/ICMP）TCP和UDP的源及目的端口ICMP的報文類型和代碼我們稱這種對包頭內容進行簡單過濾的方式為靜態包過濾網絡安全架構設計和網絡安全設備的部署60包過濾所檢查的內容源和目的的IP地址網絡安全架構設計和網絡包過濾配置包過濾防火墻配置步驟：知道什么是應該和不應被允許，制定安全策略規定允許的包類型、包字段的邏輯表達用防火墻支持的語法重寫表達式網絡安全架構設計和網絡安全設備的部署61包過濾配置包過濾防火墻配置步驟：網絡安全架構設計和網絡安全設規則制定的策略拒絕任何訪問，除非被規則特別允許允許任何訪問，除非規則特別地禁止允許拒絕允許拒絕網絡安全架構設計和網絡安全設備的部署62規則制定的策略拒絕任何訪問，除非被規則特別允許允許拒絕允許規則制定的策略過濾的兩種基本方式按服務過濾：根據安全策略決定是否允許或拒絕某一種服務按規則過濾：檢查包頭信息，與過濾規則匹配，決定是否轉發該數據包網絡安全架構設計和網絡安全設備的部署63規則制定的策略過濾的兩種基本方式網絡安全架構設計和網絡安全設依賴于服務的過濾多數服務對應特定的端口，如要封鎖輸Telnet、SMTP的連接，則Router丟棄端口值為23和25的所有數據包。典型的過濾規則有以下幾種：只允許進來的Telnet會話連接到指定的內部主機只允許進來的FTP會話連接到指定的內部主機允許所有出去的Telnet會話允許所有出去的FTP會話拒絕從某些指定的外部網絡進來的所有信息網絡安全架構設計和網絡安全設備的部署64依賴于服務的過濾多數服務對應特定的端口，如要封鎖輸Teln按規則過濾有些類型的攻擊很難用基本包頭信息加以鑒別，因為獨立于服務。如果防范則需要定義規則1）源IP地址欺騙攻擊入侵者從偽裝成源自一臺內部主機的一個外部地點傳送一些信息包；這些信息包似乎像包含了一個內部系統的源IP地址。如果這些信息包到達Router的外部接口，則舍棄每個含有這個源IP地址的信息包，就可以挫敗這種源欺騙攻擊。網絡安全架構設計和網絡安全設備的部署65按規則過濾有些類型的攻擊很難用基本包頭信息加以鑒別，因為獨立按規則過濾2）源路由攻擊攻擊者為信息包指定一個穿越Internet的路由，這類攻擊企圖繞過安全措施，并使信息包沿一條意外(疏漏)的路徑到達目的地。可以通過舍棄所有包含這類源路由選項的信息包方式，來挫敗這類攻擊。3）殘片攻擊入侵者利用IP分段特性生成一個極小的片斷并將TCP報頭信息肢解成一個分離的信息包片斷，使數據包繞過用戶定義的過濾規則。黑客希望過濾路由器只檢查第一分段，而允許其它分段通過。通過舍棄所有協議類型為TCP、IP報頭中FragmentOffset=1的數據包，即可挫敗殘片的攻擊。網絡安全架構設計和網絡安全設備的部署66按規則過濾2）源路由攻擊網絡安全架構設計和網絡安全設備的部署推薦的規則任何進入內網的數據包不能將內部地址作為源地址任何進入內網的數據包必須將內部地址作為目標地址任何離開內網的數據包必須將內部地址作為源地址任何離開內網的數據包不能將內部地址作為目標地址任何進入或離開內網的數據包不能把一個私有地址或者/8作為源或目標地址網絡安全架構設計和網絡安全設備的部署67推薦的規則任何進入內網的數據包不能將內部地址作為源地址網絡安靜態包過濾的優缺點優點：速度快價格低對用戶透明缺點：配置難把握防范能力低沒有用戶身份驗證機制網絡安全架構設計和網絡安全設備的部署68靜態包過濾的優缺點優點：網絡安全架構設計和網絡安全設備的部署動態包過濾動態包過濾是CheckPoint的一項稱為“

StatefulInspection”的專利技術，也稱狀態檢測防火墻。動態包過濾防火墻不僅以一個數據包的內容作為過濾的依據，還根據這個數據包在信息流位置加以判斷。動態包過濾防火墻可阻止未經內網請求的外部通信，而允許內網請求的外部網站傳入的通信。網絡安全架構設計和網絡安全設備的部署69動態包過濾動態包過濾是CheckPoint的一項稱為“

S動態包過濾防火墻網絡安全架構設計和網絡安全設備的部署70動態包過濾防火墻網絡安全架構設計和網絡安全設備的部署70使用動態包過濾制定的規則Setinternal=/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allow$internalaccessanydnsbyudpkeepstateAllow$InternalacessanywwwbytcpkeepstateAllow$internalaccessanyftpbytcpkeepstateDenyipfromanytoany網絡安全架構設計和網絡安全設備的部署71使用動態包過濾制定的規則Setinternal=192.1動態包過濾的優缺點優點：基于應用程序信息驗證一個包狀態的能力記錄通過的每個包的詳細信息缺點：造成網絡連接的遲滯系統資源要求較高網絡安全架構設計和網絡安全設備的部署72動態包過濾的優缺點優點：網絡安全架構設計和網絡安全設備的部署防火墻分類：包過濾代理型防火墻：應用代理型代理型防火墻：電路代理型代理型防火墻：NAT網絡安全架構設計和網絡安全設備的部署73防火墻分類：網絡安全架構設計和網絡安全設備的部署73代理服務技術代理服務技術能夠將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的連接，由兩個代理服務器之間的連接來實現，外部計算機的網絡鏈路只能到達代理服務器，從而起到隔離防火墻內外計算機系統的作用。網絡安全架構設計和網絡安全設備的部署74代理服務技術代理服務技術能夠將所有跨越防火墻的網應用代理防火墻工作在應用層對所有規則內允許的應用程序作中轉轉發犧牲了對應用程序的透明性網絡安全架構設計和網絡安全設備的部署75應用代理防火墻工作在應用層網絡安全架構設計和網絡安全設備的部應用代理防火墻應用代理防火墻網絡安全架構設計和網絡安全設備的部署76應用代理防火墻應用代理防火墻網絡安全架構設計和網絡安全設備的應用代理應用代理工作原理示意緩沖文件應用請求回復應用請求回復網絡安全架構設計和網絡安全設備的部署77應用代理應用代理工作原理示意緩沖文件應用請求回復應用請求回復應用代理防火墻應用代理服務器的安全性屏蔽內網用戶與外網的直接通信，提供更嚴格的檢查提供對協議的控制，拒絕所有沒有配置的連接提供用戶級控制，可近一步提供身份認證等信息網絡安全架構設計和網絡安全設備的部署78應用代理防火墻應用代理服務器的安全性網絡安全架構設計和網絡安應用代理的優缺點優點：可以隱藏內部網絡的信息；可以具有強大的日志審核；可以實現內容的過濾；缺點：價格高速度慢失效時造成網絡的癱瘓網絡安全架構設計和網絡安全設備的部署79應用代理的優缺點優點：網絡安全架構設計和網絡安全設備的部署7電路級代理電路級代理因此可以同時為不同的服務，如WEB、FTP、TELNET提供代理服即SOCKS代理，它工作在傳輸層。網絡安全架構設計和網絡安全設備的部署80電路級代理電路級代理因此可以同時為不同的服務，如WEB、FT應用代理應用代理工作在應用層，對于不同的服務，必須使用不同的代理軟件。應用代理內部主機WEB服務FTP服務WEBFTP網絡安全架構設計和網絡安全設備的部署81應用代理應用代理工作在應用層，對于不同的服務，必須使用不同的電路級代理優缺點優點：隱藏內部網絡信息配置簡單，無需為每個應用程序配置一個代理缺點：多數電路級網關都是基于TCP端口配置，不對數據包檢測，可能會有漏洞網絡安全架構設計和網絡安全設備的部署82電路級代理優缺點優點：網絡安全架構設計和網絡安全設備的部署8NAT防火墻NAT定義NAT（NetworkAddressTransla-tion）網絡地址翻譯最初設計目的是用來增加私有組織的可用地址空間和解決將現有的私有TCP/IP網絡連接到網上的IP地址編號問題網絡安全架構設計和網絡安全設備的部署83NAT防火墻NAT定義網絡安全架構設計和網絡安全設備的部署8NAT防火墻NAT提供的功能內部主機地址隱藏網絡負載均衡網絡地址交疊網絡安全架構設計和網絡安全設備的部署84NAT防火墻NAT提供的功能網絡安全架構設計和網絡安全設備的NAT（網絡地址翻譯）根據內部IP地址和外部IP地址的數量對應關系，NAT分為：基本NAT：簡單的地址翻譯M-1，多個內部網地址翻譯到1個IP地址M-N，多個內部網地址翻譯到N個IP地址池網絡安全架構設計和網絡安全設備的部署85NAT（網絡地址翻譯）根據內部IP地址和外部IP地址的數量對NAT的優缺點優點管理方便并且節約IP地址資源。隱藏內部IP地址信息。僅當向某個外部地址發送過出站包時，NAT才允許來自該地址的流量入站。

缺點外部應用程序卻不能方便地與NAT網關后面的應用程序聯系。網絡安全架構設計和網絡安全設備的部署86NAT的優缺點優點網絡安全架構設計和網絡安全設備的部署86防火墻布置簡單包過濾路由雙宿/多宿主機模式屏蔽主機模式屏蔽子網模式網絡安全架構設計和網絡安全設備的部署87防火墻布置簡單包過濾路由網絡安全架構設計和網絡安全設備的部署包過濾路由內部網絡外部網絡包過濾路由器優點：配置簡單缺點：日志沒有或很少，難以判斷是否被入侵規則表會隨著應用變得很復雜單一的部件保護，脆弱網絡安全架構設計和網絡安全設備的部署88包過濾路由內部網絡外部網絡包過濾路由器優點：配置簡單網絡安全雙宿/多宿主機模式堡壘主機：關鍵位置上用于安全防御的某個系統，攻擊者攻擊網絡必須先行攻擊的主機。雙宿/多宿主機防火墻又稱為雙宿/多宿網關防火墻，它是一種擁有兩個或多個連接到不同網絡上的網絡接口的防火墻，通常用一臺裝有兩塊或多塊網卡的堡壘主機做防火墻，兩塊或多塊網卡各自與受保護網和外部網相連網絡安全架構設計和網絡安全設備的部署89雙宿/多宿主機模式堡壘主機：關鍵位置上用于安全防御的某個系統雙宿/多宿主機模式內部網絡外部網絡應用代理服務器完成：對外屏蔽內網信息設置訪問控制對應用層數據嚴格檢查網絡安全架構設計和網絡安全設備的部署90雙宿/多宿主機模式內部網絡外部網絡應用代理服務器完成：網絡安優點：配置簡單檢查內容更細致屏蔽了內網結構缺點：應用代理本身的安全性網絡安全架構設計和網絡安全設備的部署91優點：網絡安全架構設計和網絡安全設備的部署91屏蔽主機內部網絡外部網絡包過濾路由堡壘主機兩道屏障：網絡層的包過濾；應用層代理服務注：與雙宿主機網關不同，這里的應用網關只有一塊網卡。Web服務器網絡安全架構設計和網絡安全設備的部署92屏蔽主機內部網絡外部網絡包過濾路由堡壘主機兩道屏障：網絡層的屏蔽主機優點：雙重保護，安全性更高。實施策略：針對不同的服務，選擇其中的一種或兩種保護措施。網絡安全架構設計和網絡安全設備的部署93屏蔽主機優點：網絡安全架構設計和網絡安全設備的部署93屏蔽子網內部網絡外部網絡外部路由器內部路由器周邊網絡（DMZ）網絡安全架構設計和網絡安全設備的部署94屏蔽子網內部網絡外部網絡外部路由器內部路由器周邊網絡（DMZ屏蔽子網1）周邊網絡：非軍事化區、停火區（DMZ）周邊網絡是另一個安全層,是在外部網絡與內部網絡之間的附加的網絡。對于周邊網絡，如果某人侵入周邊網上的堡壘主機，他僅能探聽到周邊網上的通信。2）內部路由器（阻塞路由器）：保護內部的網絡使之免受Internet和周邊子網的侵犯。它為用戶的防火墻執行大部分的數據包過濾工作網絡安全架構設計和網絡安全設備的部署95屏蔽子網1）周邊網絡：非軍事化區、停火區（DMZ）網絡安全架屏蔽子網3）外部路由器：在理論上，外部路由器保護周邊網和內部網使之免受來自Internet的侵犯。實際上，外部路由器傾向于允許幾乎任何東西從周邊網出站，并且它們通常只執行非常少的數據包過濾。外部路由器安全任務之一是：阻止從Internet上偽造源地址進來的任何數據包。網絡安全架構設計和網絡安全設備的部署96屏蔽子網3）外部路由器：在理論上，外部路由器保護周邊網和內部優點安全性較高可用性較好缺點配置復雜成本高網絡安全架構設計和網絡安全設備的部署97優點網絡安全架構設計和網絡安全設備的部署97PIX網絡安全架構設計和網絡安全設備的部署98PIX網絡安全架構設計和網絡安全設備的部署984種管理訪問模式非特權模式PIX防火墻開機自檢后，就是處于這種模式。系統顯示為pixfirewall>特權模式輸入enable進入特權模式，可以改變當前配置。顯示為pixfirewall#配置模式輸入configureterminal進入此模式，絕大部分的系統配置都在這里進行。顯示為pixfirewall(config)#監視模式PIX防火墻在開機或重啟過程中，按住Escape鍵或發送一個"Break"字符，進入監視模式。這里可以更新*作系統映象和口令恢復。顯示為monitor>網絡安全架構設計和網絡安全設備的部署994種管理訪問模式非特權模式網絡安全架構設計和網絡安全設備的6個基本命令nameifinterfaceipaddressnatglobalroute網絡安全架構設計和網絡安全設備的部署1006個基本命令nameif網絡安全架構設計和網絡安全設備的部nameif配置防火墻接口的名字，并指定安全級別Pix525(config)#nameifethernet0outsidesecurity0Pix525(config)#nameifethernet1insidesecurity100Pix525(config)#nameifethernet2dmzsecurity50在缺省配置中，以太網0被命名為外部接口（outside），安全級別是0；以太網1被命名為內部接口（inside），安全級別是100。安全級別取值范圍為1～99，數字越大安全級別越高。網絡安全架構設計和網絡安全設備的部署101nameif配置防火墻接口的名字，并指定安全級別網絡安全interface配置以太口參數Pix525(config)#interfaceethernet0autoauto選項表明系統自適應網卡類型Pix525(config)#interfaceethernet1100full100full選項表示100Mbit/s以太網全雙工通信Pix525(config)#interfaceethernet1100fullshutdownshutdown選項表示關閉這個接口，若啟用接口去掉shutdown網絡安全架構設計和網絡安全設備的部署102interface配置以太口參數網絡安全架構設計和網絡安ipaddressPix525(config)#ipaddressoutside248Pix525(config)#ipaddressinside很明顯，Pix525防火墻在外網的ip地址是2，內網ip地址是網絡安全架構設計和網絡安全設備的部署103ipaddressPix525(config)#ipanat指定要進行轉換的內部地址網絡地址翻譯（nat）作用是將內網的私有ip轉換為外網的公有ip.Nat命令總是與global命令一起使用，這是因為nat命令可以指定一臺主機或一段范圍的主機訪問外網，訪問外網時需要利用global所指定的地址池進行對外訪問。網絡安全架構設計和網絡安全設備的部署104nat指定要進行轉換的內部地址網絡安全架構設計和網絡安全nat命令配置語法nat(if_name)nat_idlocal_ip[netmark]其中（if_name）表示內網接口名字，例如inside。nat_id用來標識全局地址池，使它與其相應的global命令相匹配，local_ip表示內網被分配的ip地址。例如表示內網所有主機可以對外訪問。[netmark]表示內網ip地址的子網掩碼。網絡安全架構設計和網絡安全設備的部署105nat命令配置語法nat(if_name)nat_idnat例子例1．Pix525(config)#nat(inside)100表示啟用nat,內網的所有主機都可以訪問外網，用0可以代表例2．Pix525(config)#nat(inside)1表示只有這個網段內的主機可以訪問外網。網絡安全架構設計和網絡安全設備的部署106nat例子例1．Pix525(config)#nat(inglobal指定外部地址范圍global命令把內網的ip地址翻譯成外網的ip地址或一段地址范圍。global命令的配置語法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中（if_name）表示外網接口名字，例如outside.。Nat_id用來標識全局地址池，使它與其相應的nat命令相匹配，ip_address-ip_address表示翻譯后的單個ip地址或一段ip地址范圍。[netmarkglobal_mask]表示全局ip地址的網絡掩碼。網絡安全架構設計和網絡安全設備的部署107global指定外部地址范圍網絡安全架構設計和網絡安全設global例子例1．Pix525(config)#global(outside)12-8表示內網的主機通過pix防火墻要訪問外網時，pix防火墻將使用2-8這段ip地址池為要訪問外網的主機分配一個全局ip地址。例2．Pix525(config)#global(outside)12表示內網要訪問外網時，pix防火墻將為訪問外網的所有主機統一使用2這個單一ip地址。例3.Pix525(config)#noglobal(outside)12表示刪除這個全局表項。網絡安全架構設計和網絡安全設備的部署108global例子例1．Pix525(config)#gloroute設置指向內網和外網的靜態路由（route）定義一條靜態路由。route命令配置語法：route(if_name)00gateway_ip[metric]其中（if_name）表示接口名字，例如inside，outside。gateway_ip表示網關路由器的ip地址。[metric]表示到gateway_ip的跳數。通常缺省是1。網絡安全架構設計和網絡安全設備的部署109route設置指向內網和外網的靜態路由（route）定義例1．Pix525(config)#routeoutside00681表示一條指向邊界路由器（ip地址68）的缺省路由。例2．Pix525(config)#routeinside1創建了一條到網絡的靜態路由，靜態路由的下一條路由器ip地址是Pix525(config)#routeinside1網絡安全架構設計和網絡安全設備的部署110例1．Pix525(config)#routeoutsistatic配置靜態IP地址翻譯如果從外網發起一個會話，會話的目的地址是一個內網的ip地址，static就把內部地址翻譯成一個指定的全局地址，允許這個會話建立。static(internal_if_name，external_if_name)outside_ip_addressinside_ip_address其中internal_if_name表示內部網絡接口，安全級別較高，如inside。external_if_name為外部網絡接口，安全級別較低，如outside等。outside_ip_address為正在訪問的較低安全級別的接口上的ip地址。inside_ip_address為內部網絡的本地ip地址。網絡安全架構設計和網絡安全設備的部署111static配置靜態IP地址翻譯網絡安全架構設計和網絡安全conduit管道命令前面講過使用static命令可以在一個本地ip地址和一個全局ip地址之間創建了一個靜態映射，但從外部到內部接口的連接仍然會被pix防火墻的自適應安全算法(ASA)阻擋。conduit命令用來允許數據流從具有較低安全級別的接口流向具有較高安全級別的接口，例如允許從外部到DMZ或內部接口的入方向的會話。對于向內部接口的連接，static和conduit命令將一起使用，來指定會話的建立。網絡安全架構設計和網絡安全設備的部署112conduit管道命令網絡安全架構設計和網絡安全設備的部署conduit命令配置語法conduitpermit|denyglobal_ipport[-port]protocolforeign_ip[netmask]permit|deny允許|拒絕訪問global_ip指的是先前由global或static命令定義的全局ip地址，如果global_ip為0，就用any代替0；如果global_ip是一臺主機，就用host命令參數。port指的是服務所作用的端口，例如www使用80，smtp使用25等等，我們可以通過服務名稱或端口數字來指定端口protocol指的是連接協議，比如：TCP、UDP、ICMP等。foreign_ip表示可訪問global_ip的外部ip。對于任意主機，可以用any表示。如果foreign_ip是一臺主機，就用host命令參數。網絡安全架構設計和網絡安全設備的部署113conduit命令配置語法conduitpermit|例1.Pix525(config)#conduitpermittcphosteqwwwany這個例子表示允許任何外部主機對全局地址的這臺主機進行http訪問。其中使用eq和一個端口來允許或拒絕對這個端口的訪問。Eqftp就是指允許或拒絕只對ftp的訪問。例2.Pix525(config)#conduitdenytcpanyeqftphost9表示不允許外部主機9對任何全局地址進行ftp訪問。例3.Pix525(config)#conduitpermiticmpanyany表示允許icmp消息向內部和外部通過。網絡安全架構設計和網絡安全設備的部署114例1.Pix525(config)#conduitper例4.Pix525(config)#static(inside,outside)2Pix525(config)#conduitpermittcphost2eqwwwany這個例子說明static和conduit的關系。在內網是一臺web服務器，現在希望外網的用戶能夠通過pix防火墻得到web服務。所以先做static靜態映射：－>2（全局），然后利用conduit命令允許任何外部主機對全局地址2進行http訪問。網絡安全架構設計和網絡安全設備的部署115例4.Pix525(config)#static(ins配置fixup協議fixup命令作用是啟用，禁止，改變一個服務或協議通過pix防火墻，由fixup命令指定的端口是pix防火墻要偵聽的服務。例1．Pix525(config)#fixupprotocolftp21啟用ftp協議，并指定ftp的端口號為21例2．Pix525(config)#fixupprotocolhttp80Pix525(config)#fixupprotocolhttp1080為http協議指定80和1080兩個端口。例3．Pix525(config)#nofixupprotocolsmtp80禁用smtp協議。網絡安全架構設計和網絡安全設備的部署116配置fixup協議fixup命令作用是啟用，禁止，改變一個telnet從內網telnet：telnet55inside從外網需要使用IPSECVPN網絡安全架構設計和網絡安全設備的部署117telnet從內網telnet：網絡安全架構設計和網絡安全設防火墻的不足無法發現和阻止對合法服務的攻擊；無法發現和阻止源自其它入口的攻擊；無法發現和阻止來自內部網絡的攻擊；無法發現和阻止來自特洛伊木馬的威脅；網絡安全架構設計和網絡安全設備的部署118防火墻的不足無法發現和阻止對合法服務的攻擊；網絡安全架構設計繞過防火墻的攻擊穿過防火墻的攻擊行為IIS4.0和IIS5.0在Unicode字符解碼的實現中存在一個安全漏洞，導致用戶可以遠程通過IIS執行任意命令。當IIS打開文件時，如果該文件名包含unicode字符，它會對其進行解碼，如果用戶提供一些特殊的編碼，將導致IIS錯誤的打開或者執行某些web根目錄以外的文件。網絡安全架構設計和網絡安全設備的部署119繞過防火墻的攻擊穿過防火墻的攻擊行為IIS4.0和IIS據統計80%的成功攻擊來自于防火墻內部！網絡安全架構設計和網絡安全設備的部署120據統計80%的成功攻擊來自于防火墻內部！網絡安全架構設計和網入侵檢測技術通過對計算機網絡或計算機系統中若干關鍵點信息的收集和分析，從中發現網絡或系統中是否有違反安全策略行為和被攻擊跡象的一種安全技術。網絡安全架構設計和網絡安全設備的部署121入侵檢測技術通過對計算機網絡或計算機系統中若干關鍵點信息的收入侵檢測的作用檢測防護部分阻止不了的入侵檢測入侵的前兆入侵事件的歸檔網絡受威脅程度的評估幫助從入侵事件中恢復網絡安全架構設計和網絡安全設備的部署122入侵檢測的作用檢測防護部分阻止不了的入侵網絡安全架構設計和防火墻與入侵檢測防火墻屬于信息保障的保護環節門禁系統入侵檢測屬于信息保障的檢測環節監控系統網絡安全架構設計和網絡安全設備的部署123防火墻與入侵檢測防火墻網絡安全架構設計和網絡安全設備的部署1入檢測檢測歷史入侵檢測的發源1980，JamesAnderson提出入侵檢測的設想1987，DorothyDenning提出入侵檢測系統抽象模型主機入侵檢測1988，出現一批基于主機審計信息的入侵檢測系統網絡入侵檢測1990，開始出現基于網絡數據的入侵檢測系統入侵檢測的新技術與新方法致力于提高入侵檢測系統的可伸縮性、可維護性、容錯性。一些新的思想，如免疫、信息挖掘引入到入侵檢測領域網絡安全架構設計和網絡安全設備的部署124入檢測檢測歷史入侵檢測的發源網絡安全架構設計和網絡安全設備的入侵檢測的核心任務攻擊者進行攻擊的時候會留下痕跡，這些痕跡和系統正常運行的時候產生的數據混在一起。入侵檢測的任務就是從混合的數據中找出入侵的痕跡并作出響應。網絡安全架構設計和網絡安全設備的部署125入侵檢測的核心任務攻擊者進行攻擊的時候會留下痕跡，這些痕跡和通用入侵檢測框架CIDF體系結構：闡述了一個標準的IDS的通用模型組件通信：定義了IDS組件之間進行通信的標準協議語言規范：定義了一個用來描述各種檢測信息的標準語言編程接口：提供了一整套標準的應用程序接口網絡安全架構設計和網絡安全設備的部署126通用入侵檢測框架CIDF體系結構：闡述了一個標準的IDS的通CIDF體系結構網絡安全架構設計和網絡安全設備的部署127CIDF體系結構網絡安全架構設計和網絡安全設備的部署127CIDF組件事件產生器（Eventgenerators）事件分析器（Eventanalyzers）事件數據庫（Eventdatabases）響應單元（Responseunits）網絡安全架構設計和網絡安全設備的部署128CIDF組件事件產生器（Eventgenerators）網事件產生器數據獲取主機入侵檢測：系統審計記錄，應用程序日志網絡入侵檢測：網絡流量復合型入侵檢測：其它安全產品的數據，如防火墻的事件記錄網絡安全架構設計和網絡安全設備的部署129事件產生器數據獲取網絡安全架構設計和網絡安全設備的部署129事件分析器數據分析模式匹配統計分析網絡安全架構設計和網絡安全設備的部署130事件分析器數據分析網絡安全架構設計和網絡安全設備的部署130事件數據庫數據管理保存事件信息，包括正常事件和入侵事件用來存儲臨時處理數據，扮演各個組件之間的數據交換中心網絡安全架構設計和網絡安全設備的部署131事件數據庫數據管理網絡安全架構設計和網絡安全設備的部署131響應單元行為響應主動響應：自動干涉入侵，如切斷懷疑可能是攻擊行為的TCP連接，與防火墻聯動操作阻塞后續的數據包，甚至向被懷疑是攻擊來源的主機發動反擊被動響應：僅僅啟動告警機制，向管理員提供信息，由管理員采取相應行動網絡安全架構設計和網絡安全設備的部署132響應單元行為響應網絡安全架構設計和網絡安全設備的部署132信息收集技術系統日志文件日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等方面的內容以用戶活動為例，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的訪問企圖等等。網絡安全架構設計和網絡安全設備的部署133信息收集技術系統日志文件網絡安全架構設計和網絡安全設備的部署信息收集技術網絡流量遠程的網絡攻擊伴隨著攻擊數據的發送，比如掃描、口令攻擊、遠程的緩沖區溢出、腳本攻擊、假消息攻擊等。另外一些攻擊可能使網絡流量產生異常，比如特洛伊木馬、服務拒絕等等。網絡安全架構設計和網絡安全設備的部署134信息收集技術網絡流量網絡安全架構設計和網絡安全設備的部署13信息收集技術系統目錄和文件的異常變化入侵者經常替換、修改和破壞他們獲得訪問權的系統上的文件，同時為了隱藏系統中他們的表現及活動痕跡，都會盡力去替換系統程序或修改系統日志。目錄和文件中的不期望的改變（包括修改、創建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產生的指示和信號。網絡安全架構設計和網絡安全設備的部署135信息收集技術系統目錄和文件的異常變化網絡安全架構設計和網絡安信息收集技術程序執行中的異常行為針對程序漏洞的攻擊，常導致程序產生異常的行為，如發生緩沖區溢出，進行權限提升等。網絡安全架構設計和網絡安全設備的部署136信息收集技術程序執行中的異常行為網絡安全架構設計和網絡安全設信息分析技術信息分析技術的技術指標誤報率漏報率常用的信息分析技術包括模式匹配（基于知識的檢測）統計分析（基于行為的檢測）網絡安全架構設計和網絡安全設備的部署137信息分析技術信息分析技術的技術指標網絡安全架構設計和網絡安全模式匹配過程：監控特征提取匹配判定網絡安全架構設計和網絡安全設備的部署138模式匹配過程：監控特征提取匹配判定網絡安全模式匹配的特點前提：所有的入侵行為都有可被檢測到的特征特點：系統負擔小準確度高不能檢測未知的入侵網絡安全架構設計和網絡安全設備的部署139模式匹配的特點前提：網絡安全架構設計和網絡安全設備的部署13統計分析過程：監控量化比較判定

修正網絡安全架構設計和網絡安全設備的部署140統計分析過程：監控量化比較判定統計分析的特點前提入侵是異常活動的子集

特點：測系統能針對用戶行為的改變進行自我調整和優化能檢測到未知的入侵和更為復雜的入侵對系統資源消耗大系統誤報相對比較高，且不能適應用戶正常行為的突然改變。網絡安全架構設計和網絡安全設備的部署141統計分析的特點前提網絡安全架構設計和網絡安全設備的部署141入侵檢測部署目標：檢測整個網絡信息網絡安全架構設計和網絡安全設備的部署142入侵檢測部署目標：檢測整個網絡信息網絡安全架構設計和網絡安全共享網絡的入侵檢測部署IDSSensorConsoleHUBMonitoredServers網絡安全架構設計和網絡安全設備的部署143共享網絡的入侵檢測部署IDSSensorConsoleHU交換網絡的入侵檢測部署IDSSensorConsole通過端口鏡像實現（SPAN/PortMonitor）SwitchMonitoredServers網絡安全架構設計和網絡安全設備的部署144交換網絡的入侵檢測部署IDSSensorConsole通過分段網絡的部署在一個分段的網絡中，應保證IDS的探測器可以監聽到所有網絡數據IDSSensorConsoleIDSSensorSwitchMonitoredServersMonitoredServersRouter網絡安全架構設計和網絡安全設備的部署145分段網絡的部署在一個分段的網絡中，應保證IDS的探測器可以監發展趨勢分析技術的改進內容恢復和網絡審計功能的引入集成網絡分析和管理功能安全性和易用性的提高改進對大數據量網絡的處理方法防火墻聯動功能入侵防護系統（IPS）網絡安全架構設計和網絡安全設備的部署146發展趨勢分析技術的改進網絡安全架構設計和網絡安全設備的部署IPS網絡安全架構設計和網絡安全設備的部署147IPS網絡安全架構設計和網絡安全設備的部署147TCP/IP協議棧對應的VPN協議網絡安全架構設計和網絡安全設備的部署148TCP/IP協議棧對應的VPN協議網絡安全架構設計和網絡安全VPN技術及應用簡介-IPSECIPSEC協議簡介（RFC2401－2409等）IPSec（網絡安全協議）協議是一個協議集而不是一個單個的協議；IPSec協議給出了應用于IP層上網絡數據安全的一整套體系結構；自1995年IPSec的研究工作開始以來，IETF組織已經積累了大量的標準文件集（RFC）。網絡安全架構設計和網絡安全設備的部署149VPN技術及應用簡介-IPSECIPSEC協議簡介（RFVPN技術及應用簡介-IPSECIPSec協議的組成IPSec協議包括AH協議、ESP協議、密鑰管理協議（IKE協議）和用于網絡驗證及加密的一些算法等。IPSec規定了如何在對等層之間選擇安全協議、確定安全算法和密鑰交換，向上提供了訪問控制、數據源驗證、數據加密等網絡安全服務。網絡安全架構設計和網絡安全設備的部署150VPN技術及應用簡介-IPSECIPSec協議的組成網絡IPSec基本原理對報文進行安全封裝后再在不可信賴網絡上傳輸并檢查和解除接收到的報文的安全封裝IPSEC隧道報文封裝報文解封AB網絡安全架構設計和網絡安全設備的部署151IPSec基本原理對報文進行安全封裝后再在不可信賴網絡上傳輸VPN技術及應用簡介-IPSECIPSec認證－AH協議其使用的包頭號放在標準的IPv4和IPv6包頭和下一個高層協議幀（如TCP、UDP、ICMP、ESP等）之間；國際IANA機構分配給AH的協議號為51。IPv4包頭AH包頭高層協議AH協議提供數據的認證服務；保證數據在傳輸過程中沒有被改變或破壞，數據的順序也沒有很大變化。網絡安全架構設計和網絡安全設備的部署152VPN技術及應用簡介-IPSECIPSec認證－AH協議VPN技術及應用簡介-IPSECIPSec加密－ESP協議其使用的包頭號放在標準的IPv4和IPv6包頭和下一個高層協議幀（如TCP、UDP、ICMP等）之間。國際IANA機構分配給ESP的協議號為50。IPv4包頭ESP包頭高層協議ESP協議為IP數據包提供機密性、數據源驗證、抗重播以及數據完整性等安全服務。網絡安全架構設計和網絡安全設備的部署153VPN技術及應用簡介-IPSECIPSec加密－ESP協安全聯盟（SA）安全聯盟簡稱SA，是構成IPSec的基礎。SA是兩個通信實體經協商建立起來的一種協定。SA是單向的，雙向的通信需要兩個SA。主機A主機BSA（out）SA（in）SA（in）SA（out）共享相同的加密參數共享相同的加密參數網絡安全架構設計和網絡安全設備的部署154安全聯盟（SA）安全聯盟簡稱SA，是構成IPSec的基礎。主安全聯盟（SA）SA是安全策略通常用一個三元組唯一的表示：<SPI，IP目的地址，安全協議標識符>SPI：安全參數索引(SecurityParametersIndex)，說明用SA的IP頭類型，它可以包含認證算法、加密算法、用于認證加密的密鑰以及密鑰的生存期；IP目的地址：指定輸出處理的目的IP地址，或輸入處理的源IP地址；安全協議標識符：指明使用的協議是AH還是ESP或者兩者同時使用。網絡安全架構設計和網絡安全設備的部署155安全聯盟（SA）SA是安全策略通常用一個三元組唯一的表示：<安全關聯數據庫SADSAD存放著和安全實體相關的所有SA，每個SA由三元組索引。一個SAD條目包含下列域：序列號計數器：32位整數，用于生成AH或ESP頭中的序列號；序列號溢出標志：標識是否對序列號計數器的溢出進行審核；抗重發窗口：使用一個32位計數器和位圖確定一個輸入的AH或ESP數據包是否是重發包；IPSec協議操作模式：傳輸或隧道；AH的認證算法和所需密鑰；ESP的認證算法和所需密鑰；ESP加密算法，密鑰，初始向量（IV）和IV模式；路徑最大傳輸單元；進出標志；SA生存期狀態。網絡安全架構設計和網絡安全設備的部署156安全關聯數據庫SADS