【正文】 安全主流產(chǎn)品與常見工具 蘇璞睿 信息安全國家重點實驗室Email:課程內(nèi)容? 防火墻? VPN? 內(nèi)外網(wǎng)隔離? 日志審計? 入侵檢測? 隱患掃描? PKI(CA)? PGP? 安全加固? 防病毒課程內(nèi)容? 防火墻? VPN? 內(nèi)外網(wǎng)隔離? 日志審計? 入侵檢測? 隱患掃描? PKI(CA)? PGP? 安全加固? 防病毒防火墻（ Firewall） ? 防火墻基礎知識? 防火墻體系結構? 防火墻技術 ? 防火墻評測指標防火墻（ Firewall） ? 防火墻基礎知識– 什么是防火墻 – 防火墻可以做什么– 防火墻的局限性? 防火墻體系結構? 防火墻技術 ? 防火墻評測指標什么是防火墻（圖）Inter 什么是防火墻 ? 防火墻是在被保護網(wǎng)絡與因特網(wǎng)之間，或者在不同的 網(wǎng)絡之間 ，實施 訪問控制的一種或一系列部件。 防火墻可以做什么? 防火墻是安全決策的焦點（阻塞點） ? 防火墻能強制安全策略 ? 防火墻能有效地記錄網(wǎng)絡活動 防火墻的局限性 ? 限制了可用性 ? 對網(wǎng)絡內(nèi)部的攻擊無能為力 ? 不能防范不經(jīng)過防火墻的攻擊 ? 不能防范因特網(wǎng)上不斷產(chǎn)生的新的威脅和攻擊? 不能完全防范惡意代碼的通過防火墻（ Firewall） ? 防火墻基礎知識? 防火墻體系結構– 雙重宿主主機體系結構 – 屏蔽主機體系結構 – 屏蔽子網(wǎng)體系結構 – 其他體系結構? 防火墻技術 ? 防火墻評測指標雙重宿主主機體系結構 （圖）雙重宿主主機體系結構 ? 是最基本的防火墻系統(tǒng)結構? 雙重宿主主機位于外部網(wǎng)絡和受保護網(wǎng)絡之間，至少有兩個網(wǎng)絡接口。所有在這兩個網(wǎng)絡間發(fā)送的 IP數(shù)據(jù)包都會經(jīng)過該主機 ，該主機可以對轉發(fā)的 IP包進行安全檢查? 優(yōu)點：構造簡單? 缺點：易受攻擊屏蔽主機體系結構 （圖）屏蔽主機體系結構? 屏蔽主機結構將提供安全保護的堡壘主機置于內(nèi)部網(wǎng)上，使用一個單獨的路由器對該主機進行屏蔽? 優(yōu)點：能夠提供更高層次的安全保護? 缺點：堡壘主機一旦被攻破，整個網(wǎng)絡就會被攻破屏蔽子網(wǎng)體系結構（圖）屏蔽子網(wǎng)體系結構? 屏蔽子網(wǎng)結構在屏蔽主機結構基礎上，增加了一層周邊網(wǎng)絡的安全機制，使內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間有兩層隔離。? 優(yōu)點：即使堡壘主機被攻破，也不能直接侵入內(nèi)部網(wǎng)絡。體系結構的其他形式 ? 使用多堡壘主機 ? 合并內(nèi)部與外部路由器 ? 合并堡壘主機與外部路由器 ? 使用多臺外部路由器、多個周邊網(wǎng)絡 ? 組合使用雙重宿主主機和屏蔽子網(wǎng) 不宜采用的體系結構? 合并堡壘主機與內(nèi)部路由器 ? 使用多臺內(nèi)部路由器 防火墻（ Firewall） ? 防火墻基礎知識? 防火墻體系結構? 防火墻技術– 數(shù)據(jù)包過濾 – 應用代理– NAT – 個人防火墻 ? 防火墻評測指標數(shù)據(jù)包過濾 (1)? 數(shù)據(jù)包過濾是一個網(wǎng)絡安全保護機制，它用來控制流出和流入網(wǎng)絡的數(shù)據(jù)? 在 TCP/IP網(wǎng)絡中，數(shù)據(jù)都是以 IP包的形式傳輸?shù)?，?shù)據(jù)包過濾機制就是對通過防火墻的 IP包進行安全檢查，將通過安去檢查的 IP包進行轉發(fā)，否則就阻止通過數(shù)據(jù)包過濾 (2)（圖）數(shù)據(jù)包過濾 (3)? 判斷依據(jù)有：– 數(shù)據(jù)包協(xié)議類型： TCP、 UDP、 ICMP、 IGMP等– 源、目的 IP地址– 源、目的端口： FTP、 HTTP、 DNS等– IP選項：源路由、記錄路由等– TCP選項： SYN、 ACK、 FIN、 RST等– 其它協(xié)議選項： ICMP ECHO、 ICMP ECHO REPLY等– 數(shù)據(jù)包流向： in或 out– 數(shù)據(jù)包流經(jīng)網(wǎng)絡接口： eth0、 eth1數(shù)據(jù)包過濾設置實例規(guī)則 方向 源地址源端口目標地址目標端口動作1 出 內(nèi)部 * . * 拒絕2 入 .* 內(nèi)部 * 拒絕3 雙向 * * * 25 拒絕數(shù)據(jù)包過濾 (4)? 數(shù)據(jù)包過濾的優(yōu)點：– 一個配置適當?shù)臄?shù)據(jù)包過濾器可以保護整個網(wǎng)絡– 對用戶透明度高– 易實現(xiàn)：大多數(shù)路由器都具有數(shù)據(jù)包過濾功能? 數(shù)據(jù)包過濾的缺點：– 配置和檢驗較為困難– 一些協(xié)議不適合數(shù)據(jù)包過濾 – 某些策略難以執(zhí)行應用代理 (1)? 是各種應用服務的轉發(fā)器? 它接收來自內(nèi)部網(wǎng)絡特定用戶應用程序的通信，然后建立與公共網(wǎng)絡服務器單獨的連接? 代理防火墻通常支持的一些常見的應用程序有： HTTP、 HTTPS/SSL、 SMTP、 POP3等等應用代理 (2)（圖）客戶 應用代理 服務器發(fā)送請求轉發(fā)響應轉發(fā)請求發(fā)送響應應用代理 (3)（圖）應用代理 (4)? 它的優(yōu)點是：– 對用戶透明– 支持用戶認證– 可以產(chǎn)生小并且更有效的日志。? 它的缺點是：– 速度比較慢– 對一些新的或不常用的服務不支持 NAT（ 網(wǎng)絡地址轉換協(xié)議）? 可以使多個用戶分享單一的 IP地址? 為 Inter連接提供一些安全機制? 可以向外界隱藏內(nèi)部網(wǎng)結構? 轉換機制：– 當內(nèi)部用戶與一個公共主機通信時， NAT追蹤是哪一個用戶作的請求，修改傳出的包，這樣包就像是來自單一的公共 IP地址 個人防火墻 (1)? 是一種能夠保護個人計算機系統(tǒng)安全的軟件，它可以直接在用戶的計算機上運行 ? 可以對用戶計算機的網(wǎng)絡通信進行過濾? 通常具有學習模式，可以在使用中不斷增加新的規(guī)則個人防火墻 (2)(圖）防火墻（ Firewall） ? 防火墻基礎知識? 防火墻體系結構? 防火墻技術 ? 防火墻評測指標防火墻評測指標 (1)? 對防火墻的評估通常包括對其功能、性能和可用性進行測試評估。? 對防火墻性能的測試指標主要有 – 吞吐量 – 延遲 – 幀丟失率 防火墻評測指標 (2)? 對防火墻的功能測試通常包含– 身份鑒別– 訪問控制策略及功能– 密碼支持– 審計– 管理– 對安全功能自身的保護防火墻測評方法NetScreen Vs. CheckPoint供應商 NetScreen CheckPoint架構 硬件 軟件性能 在操作系統(tǒng) screenos版本為 可以達到 12Gbps之高依賴于使用平臺的 CPU、內(nèi)存等配置，使用新技術ApplicationInteglligence后，性能在原來的基礎上進一步提升了 31%。穩(wěn)定性和兼容性 采用的專門的軟硬件，系統(tǒng)的穩(wěn)定性上理論上應該領先；操作系統(tǒng)是專用的screenos， 不存在防火墻和硬件的兼容性問題。操作系統(tǒng)和硬件不是特定為防火墻各項功能設計的，因此可能會存在穩(wěn)定性和兼容方面的隱患功能和靈活性 采用的專門設計的操作系統(tǒng)和硬件架構，靈活性上要相對差一些，而且可能提供的功能相對較少架構不依賴硬件，理論上功能是可以無限擴充的，它能給客戶更多的控制和定制功能引自 YimingGong課程內(nèi)容? 防火墻? VPN? 內(nèi)外網(wǎng)隔離? 日志審計? 入侵檢測? 隱患掃描? PKI(CA)? PGP? 安全加固? 防病毒VPN(VirtualPrivateNetwork)? 什么是 VPN? VPN的分類 ? VPN的隧道協(xié)議 VPN? 什么是 VPN? VPN的分類 ? VPN的隧道協(xié)議 什么是 VPN(1)什么是 VPN(2)? VPN即虛擬專用網(wǎng)，是指一些節(jié)點通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立的一個臨時的、安全的連接，它們之間的通信的機密性和完整性可以通過某些安全機制的實施得到保證? 特征– 虛擬 (V)： 并不實際存在，而是利用現(xiàn)有網(wǎng)絡，通過資源配置以及虛電路的建立而構成的虛擬網(wǎng)絡– 專用 (P)： 每個 VPN用戶都可以從公用網(wǎng)絡中獲得一部分資源供自己使用– 網(wǎng)絡 (N)： 既可以讓客戶連接到公網(wǎng)所能夠到達的任何地方，也可以方便地解決保密性、安全性、可管理性等問題，降低網(wǎng)絡的使用成本 什么是 VPN(3)? 安全功能– 信息機密性，確保通過公網(wǎng)傳輸?shù)男畔⒁约用艿姆绞絺魉停词贡凰私孬@也不會泄露– 信息完整性，保證信息的完整性 – 用戶身份認證，能對用戶身份進行認證，確定該用戶的訪問權限 – 訪問控制，用戶只能讀寫被授予了訪問權限的信息 VPN? 什么是 VPN? VPN的分類 ? VPN的隧道協(xié)議 VPN的分類? 根據(jù) VPN所起的作用，可以將 VP