【正文】 網(wǎng)絡(luò)基礎(chǔ)概念 TCP/IP協(xié)議介紹 TCP/IP協(xié)議族脆弱性分析 常見網(wǎng)絡(luò)設(shè)備及安全技術(shù) 路由器 交換機(jī) 防火墻 入侵檢測 日志審計(jì) AAAA認(rèn)證 VLAN技術(shù) 入侵檢測相關(guān)術(shù)語 ?入侵 對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作 ?入侵檢測（ Intrusion Detection） 對企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行 識別的過程 ?事件 CIDF 將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（ event） 入侵檢測相關(guān)術(shù)語 ?Pattern Matching Signature 模式匹配 ?Common Intrusion Detection Frame組件 ? 事件產(chǎn)生器（ Event generators） ? 事件分析器（ Event analyzers） ? 響應(yīng)單元（ Response units） ? 事件數(shù)據(jù)庫（ Event databases） ?Honeypot(蜜罐 ) 蜜罐是可以模擬脆弱性主機(jī) 誘惑攻擊者在其上浪費(fèi)時(shí)間，延緩對真正目標(biāo)的攻擊 入侵檢測相關(guān)術(shù)語 ?false positives（誤報(bào) ） 檢測系統(tǒng)在檢測時(shí)把系統(tǒng)的正常行為判為入侵行為的錯(cuò)誤被稱為誤報(bào)。每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺運(yùn)行的服務(wù)程序，對每個(gè)新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。 交換機(jī)分類 ?按照網(wǎng)絡(luò)技術(shù)劃分 ? 以太網(wǎng)交換機(jī) ? 令牌交換機(jī) ? FDDI交換機(jī) ? ATM交換機(jī) ? 快速以太網(wǎng)交換機(jī) ?按照性能劃分 ? 百兆交換機(jī) ? 千兆交換機(jī) 路由器與交換機(jī)的區(qū)別 ?工作層次不同 ?數(shù)據(jù)轉(zhuǎn)發(fā)所依據(jù)的對象不同 ?傳統(tǒng)的交換機(jī)只能分割沖突域，不能分割廣播域 ?路由器可以分割沖突域和廣播域 ?路由器提供防火墻的服務(wù) 目 錄 網(wǎng)絡(luò)基礎(chǔ)概念 TCP/IP協(xié)議介紹 TCP/IP協(xié)議族脆弱性分析 常見網(wǎng)絡(luò)設(shè)備及安全技術(shù) 路由器 交換機(jī) 防火墻 入侵檢測 日志審計(jì) AAAA認(rèn)證 VLAN技術(shù) 防火墻概要 ?防火墻定義 ?防火墻分類 ?防火墻原理 防火墻概念 ?防火墻是分隔不同安全級別網(wǎng)絡(luò)的隔離設(shè)備，能夠?qū)W(wǎng)絡(luò)訪問行為進(jìn)行策略控制 ?防火墻安全防護(hù)的特性 防火墻的控制策略不能被繞過 防火墻要盡可能少的對已有網(wǎng)絡(luò)產(chǎn)生影響 防火墻本身難以滲透 防火墻能做什么 ?防止網(wǎng)絡(luò)攻擊 通過安全策略的限制阻擋非法訪問（黑客攻擊） ?強(qiáng)化安全策略 對內(nèi)限制網(wǎng)絡(luò)的濫用（即時(shí)聊天工具、 P2P等） ?監(jiān)控和審計(jì)網(wǎng)絡(luò)使用 可以監(jiān)控網(wǎng)絡(luò)使用狀況（帶寬 , 流量）和審計(jì)網(wǎng)絡(luò)使用的合法性 防火墻的作用 兩個(gè)安全域之間通信流的唯一通道 安全域 1 Host A Host B 安全域 2 Host C Host D UDP Block Host C Host B TCP Pass Host C Host A Destination Protocol Permit Source 根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為 If having a firewall is like having a security guard, then having an IDS is like having a work of sensors that tell you when someone has broken in, where they are and what they’re doing.—ComputerWorld, April 2023 防火墻分類 ?包過濾防火墻 最早的防火墻技術(shù)之一，功能簡單，配置復(fù)雜 ?應(yīng)用網(wǎng)關(guān)防火墻 最早的防火墻技術(shù)之二，連接效率低，速度慢 ?狀態(tài)檢測防火墻 現(xiàn)代主流防火墻，速度快，配置方便，功能較多 ?DPI防火墻（ Deep Packet Inspection） 未來防火墻的發(fā)展方向，能夠高速的對第七層數(shù)據(jù)進(jìn)行檢測 包過濾防火墻 ?也叫分組過濾防火墻（ Packet Filtering）。 ? 四層交換機(jī) 支持多種網(wǎng)絡(luò)協(xié)議，如 、 ftp等，為每個(gè)供搜尋使用的服務(wù)器組設(shè)立虛 IP地址（ VIP），每組服務(wù)器支持某種應(yīng)用。 ?交換機(jī)是一種基于 MAC地址識別，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備。 ?數(shù)據(jù)處理 ? 提供包括分組過濾、分組轉(zhuǎn)發(fā)、優(yōu)先級、復(fù)用、加密、壓縮和簡單防火墻功能。所有的信息都有需回復(fù)的虛假地址 （ synflooding工具） SYN 欺騙 ?達(dá)到“拒絕服務(wù)”攻擊的效果： ? 當(dāng)服務(wù)器試圖回傳時(shí)，卻無法找到用戶。 ? 每個(gè) TCP數(shù)據(jù)報(bào)都有唯一的 sequence number ，用于排序與重傳。Ping Sweep(SolarWinds)。 ?IP偽裝能做什么？ ? DoS(主機(jī)、路由器） ? 偽裝成信任主機(jī) ? 切斷并接管連接 ? 繞過防火墻 ?IP偽裝給黑客帶來的好處 ? 獲得訪問權(quán)。 目 錄 網(wǎng)絡(luò)基礎(chǔ)概念 TCP/IP協(xié)議介紹 TCP/IP協(xié)議族脆弱性分析 常見網(wǎng)絡(luò)設(shè)備及安全技術(shù) 路由器 交換機(jī) 防火墻 入侵檢測 日志審計(jì) AAAA認(rèn)證 VLAN技術(shù) TCP/IP脆弱性分析 協(xié)議族模型與格式 IP地址濫用與攻擊 數(shù)據(jù)報(bào)分片與組裝 基于 ICMP的 欺騙 UDP協(xié)議脆弱分析 TCP協(xié)議脆弱分析 TCP/IP協(xié)議族模型 TCP/IP模型與 OSI模型 ? 七層 VS 四層 TCP/IP四層模型 ? 網(wǎng)絡(luò)接口層； (PPP、 ARP) ? 互聯(lián)層； (IP、 ICMP) ? 傳輸層； (TCP、 UDP) ? 應(yīng)用層； (HTTP， SNMP，F(xiàn)TP， SMTP， DNS， Tel ) IP 數(shù)據(jù)報(bào)格式 0 16 31 version hdr lnth type of service total length of datagram identification number fragment offset timetolive (ttl) protocol header checksum source IP address (4 bytes) destination IP address (4 bytes) options field (variable length, max length 40 bytes) data 20 bytes R DF MF 數(shù)據(jù)封裝與傳送 ?所有 TCP, UDP, ICMP 數(shù)據(jù)通過 IP數(shù)據(jù)包封裝進(jìn)行傳輸。這兩個(gè)協(xié)議屬于眾多的TCP/IP 協(xié)議組中的一部分。該層的作用包括：物理地址尋址、數(shù)據(jù)的成幀、流量控制、數(shù)據(jù)的檢錯(cuò)、重發(fā)等。 互聯(lián)網(wǎng)就是由多個(gè)局域網(wǎng)和廣域網(wǎng)組成的網(wǎng)絡(luò)。 網(wǎng)絡(luò)的組成 ?計(jì)算機(jī)網(wǎng)絡(luò)也是由硬件和軟件構(gòu)成的。 ? 數(shù)據(jù)的單位稱為幀（ frame） ? 典型代表： SDLC、 HDLC、 PPP、 STP、幀中繼等 ?網(wǎng)絡(luò)層（ Network Layer） ? 負(fù)責(zé)對子網(wǎng)間的數(shù)據(jù)包進(jìn)行路由選擇。 ?TCP/IP協(xié)議組中的協(xié)議保證 Inter上數(shù)據(jù)的傳輸，提供了幾乎現(xiàn)在上網(wǎng)所用到的所有服務(wù)。 ?IP數(shù)據(jù)報(bào)的傳輸是不可靠的。 ? 不留下蹤跡。WS_Ping ProPack(IPSwitch) ? 實(shí)例：（ FakePing工具） 基于 ICMP的欺騙 ?Broadcast ICMP ? Smurf攻擊，向網(wǎng)絡(luò)的廣播地址發(fā)送 echo requset請求，將得到網(wǎng)絡(luò)中所有主機(jī)的 echo reply響應(yīng)。 ?與 UDP一樣 ,使用 port numbers 來區(qū)分收發(fā)進(jìn)程 ?由標(biāo)志位的組合指明 TCP分組的功能 簡單的 TCP會話 (三次握手 ) client (port = 33623/tcp) server (port = 23/tcp) SYN SYN ACK ACK [session proceeds] [ACK set for remainder of session] ACK FIN ACK FIN ACK ACK 客戶端與服務(wù) 器端都可以發(fā) 起關(guān)閉序列 正常用戶登錄 ?通過普通的網(wǎng)絡(luò)連線，用戶傳送信息要求服務(wù)器予以確定 , ?服務(wù)器接收到客戶請求后回復(fù)用戶。服務(wù)器于是暫時(shí)等候，有時(shí)超過一分鐘，然后再切斷連接。 ?網(wǎng)絡(luò)管理 ? 路由器提供包括配置管理、性能管理、容錯(cuò)管理和流量控制等功能。交換機(jī)通過學(xué)習(xí) MAC地址，將其存放在內(nèi)部 MAC地址表中，通過在數(shù)據(jù)幀的始發(fā)者和目標(biāo)接收者之間建立臨時(shí)的交換路由，使數(shù)據(jù)幀直接由源地址達(dá)到目的地址。在域名服務(wù)器（ DNS）中存儲的每個(gè)應(yīng)用服務(wù)器地址是 VIP，而不是真實(shí)的服務(wù)器地址。根據(jù)分組包的源、目的地址，端口號及協(xié)議類型、標(biāo)志位確定是否允許分組包通過。 ?優(yōu)點(diǎn)：安全性高，檢測內(nèi)容 ?缺點(diǎn)：連接性能差、可伸縮性差 狀態(tài)檢測防火墻 ?從傳統(tǒng)包過濾發(fā)展而來，除了包過濾檢測的特性外，對網(wǎng)絡(luò)連接設(shè)置狀態(tài)特性加以檢測。 檢測系統(tǒng)在檢測過程中出現(xiàn)誤報(bào)的概率稱為系統(tǒng)的誤報(bào)率。 活動 數(shù)據(jù)源 感應(yīng)器 分析器 管理器 操作員 管理員 事件 警報(bào) 通 告 應(yīng)急 安全策略 安全策略 入侵檢測系統(tǒng)原理圖 入侵檢測系統(tǒng)原理 攻擊模式庫 入侵檢測器 應(yīng)急措施 配置系統(tǒng)庫 數(shù)據(jù)采集 安全控制 系統(tǒng) 審計(jì)記錄 /協(xié)議數(shù)據(jù)等 系統(tǒng)操作 簡單的入侵檢測示意圖 入侵檢測系統(tǒng)原理 %c1%1c %c1%1c Dir c:\ 為什么需要入侵檢測系統(tǒng) 防火墻不能防止通向站點(diǎn)的后門。 確保網(wǎng)絡(luò)的安全 ,就要對網(wǎng)絡(luò)內(nèi)部進(jìn)行實(shí)時(shí)的檢測 , 這就需要 IDS無時(shí)不在的防護(hù)！ 為什么需要入侵檢測系統(tǒng) 監(jiān)控室 =控制中心 后門 保安 =防火墻 攝像機(jī) =探測引擎 Card Key 形象地說，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝象機(jī)，能夠分