山东大学《计算机网络设计》课件第5章 网络安全设计

1、第5章 网络安全设计主讲：易建勋第5章 网络安全设计第2页 共95页5.1 网络安全体系结构网络安全是一个系统的、全局性的问题。一个好的安全措施是多种方法综合的结果。5.1.1 TCP/IP协议的安全模型 （1）网络安全定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续、可靠的正常运行，网络服务不中断。主讲：易建勋第5章 网络安全设计第3页 共95页5.1 网络安全体系结构在TCP/IP体系结构中，各层都能提供一定的安全手段。如图5-1所示。主讲：易建勋第5章 网络安全设计第4页 共95页5.1 网络安全体系结构（2）接口层

2、的安全接口层安全技术： 加密传输、防电磁波泄漏等。（3）网络层的安全网络层安全威胁： 报文窃听、口令失密、流量攻击、拒绝服务攻击等。网络层安全技术： 路由安全机制、IPSec、防火墙技术等。主讲：易建勋第5章 网络安全设计第5页 共95页5.1 网络安全体系结构IPSec是加密服务的安全协议，对应用程序和终端用户是透明的。主讲：易建勋第5章 网络安全设计第6页 共95页5.1 网络安全体系结构（4）传输层的安全传输层安全协议： SSL（安全套接字协议）。SSL提供三个方面的服务： 用户和服务器认证 数据加密服务 维护数据的完整性。主讲：易建勋第5章 网络安全设计第7页 共95页5.1 网络安全

3、体系结构（5）应用层的安全应用层安全问题有： 操作系统漏洞、应用程序BUG、非法访问、病毒木马程序等。应用层安全技术： 加密、用户级认证、数字签名等。主讲：易建勋第5章 网络安全设计第8页 共95页5.1 网络安全体系结构网络层面可靠性研究测度指标网络拓扑层研究拓扑结构的可靠性及网络组织的要求和改进措施抗毁性、生存性网络设备层研究通信设备终端到终端的可靠性及整个网络系统设备的可靠性设备可靠性网络路由层分析网络路由算法的效率、流量控制、路由管理网络运行层研究网络环境和网络异常故障的规律对网络可靠性的影响可用性网络业务层分析网络业务能力及服务质量，对网络的性能可靠性进行综合评价完成性、有效性网络管

4、理层研究网络维护和管理体系及提高维护管理水平的措施网络的可靠性研究补充：网络可靠性指标主讲：易建勋第5章 网络安全设计第10页 共95页5.1 网络安全体系结构5.1.2 IATF网络安全体系结构（1）IATE安全技术标准美国国家安全局（NSA）组织世界安全专家制定了IATF（信息保障技术框架）标准。IATF代表理论是“深度保护战略”。IATF标准强调人、技术、操作三个核心原则IATF关注的四个信息安全保障领域： 保护网络和基础设施、保护边界、保护计算环境、保护支撑基础设施。主讲：易建勋第5章 网络安全设计第11页 共95页5.1 网络安全体系结构（2）边界有时边界定义为物理实体，如：人、信息

5、、和信息系统，它们在一个物理区域中。边界还被定义为包围在一个网络区域中，实施共同安全策略的信息系统。（3）信息基础设施在IATF标准中，飞地指位于非安全区中的一小块安全区域。IATF把网络和系统分成局域计算、飞地边界、网络基础设施、支持性基础设施等4种类型（如图5-2）。主讲：易建勋第5章 网络安全设计第12页 共95页5.1 网络安全体系结构主讲：易建勋第5章 网络安全设计第13页 共95页5.1 网络安全体系结构（4）对手、动机和攻击类型可能的对手（攻击者）： 国家、恐怖分子、罪犯、黑客或企业竞争者。攻击动机： 收集情报、窃取知识产权、引发尴尬不安，或仅仅是为了炫耀自己。五类攻击方法： 被

6、动攻击、主动攻击、物理临近攻击、内部人员攻击、分发攻击。主讲：易建勋第5章 网络安全设计第14页 共95页5.1 网络安全体系结构非恶意事件引发的破坏性后果： 火灾、洪水、电力中断以及用户失误。主讲：易建勋第5章 网络安全设计第15页 共95页5.1 网络安全体系结构主讲：易建勋第5章 网络安全设计第16页 共95页5.1 网络安全体系结构（5）安全威胁的表现形式安全威胁的表现形式： 信息泄露、媒体废弃、人员不慎、授权侵犯、非授权访问、旁路控制、假冒、窃听、电磁/射频截获、完整性侵犯、截获/修改、物理侵入、重放、业务否认、业务拒绝、资源耗尽、业务欺骗、业务流分析、特洛伊木马程序、后门等。主讲：

7、易建勋第5章 网络安全设计第17页 共95页5.1 网络安全体系结构网络攻击包括被动攻击和主动攻击两大部分。被动攻击指对信息的保密性进行攻击。特点是偷听或监视信息的传输。主动攻击是篡改信息来源的真实性、信息传输的完整性和系统服务的可用性。包括中断、伪造、篡改等。网络信息系统受到安全威胁的IATF模型如图5-3所示。主讲：易建勋第5章 网络安全设计第18页 共95页案例：网络攻击主讲：易建勋第5章 网络安全设计第19页 共95页5.1 网络安全体系结构（6）深度保护战略模型深度保护战略的四个基本领域： 保护局域网计算环境； 保护区域边界； 保护网络和基础设施； 保护支撑基础设施。IATF标准认为

8、，只有将技术、管理、策略、工程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的依据。主讲：易建勋第5章 网络安全设计第20页 共95页5.1 网络安全体系结构IATF提出：深度保护战略体系包含人、技术和操作三个要素。深度保护战略的模型如图5-4所示。主讲：易建勋第5章 网络安全设计第21页 共95页5.1 网络安全体系结构5.1.3 网络安全防护技术（1）安全防护策略在设计内部网络时应满足以下两条原则：内网应当根据部门需要划分子网，并实现子网之间的隔离；采取安全措施后，子网之间应当可以相互访问。内网接口的安全防护对外网接口的安全防护对数据库的安全保护服务器主机的安全防护客户端的

9、安全防护物理环境用户层应用层表示层会话层传输层网络层链路层物理层可靠性可用性审计管理防止否认数据完整数据保密访问控制身份鉴别信息处理单元通信网络安全管理安全特性结构层次系统单元补充 ：ISO 7498-2安全模型案例：网络安全技术主讲：易建勋第5章 网络安全设计第24页 共95页5.1 网络安全体系结构（2）传输过程中的安全防护技术网络物理安全防护网络地址转换（NAT）（3）包过滤技术包过滤是最常见的一种安全防护技术。包过滤技术的特点是利用IP数据包的特征进行访问控制；它不像AAA技术那样是根据用户名和密码进行访问控制。主讲：易建勋第5章 网络安全设计第25页 共95页5.1 网络安全体系结构

10、主讲：易建勋第5章 网络安全设计第26页 共95页5.2 网络防火墙技术5.2.1 防火墙的功能防火墙是由软件或硬件构成的网络安全系统，用来在两个网络之间实施访问控制策略。（1）防火墙在网络中的位置防火墙用来解决内网和外网之间的安全问题。防火墙在网络中的位置如图5-6所示。主讲：易建勋第5章 网络安全设计第27页 共95页5.2 网络防火墙技术5.2.1 防火墙的功能LAN防火墙Internet主讲：易建勋第5章 网络安全设计第28页 共95页5.2 网络防火墙技术（2）防火墙的功能所有内网和外网之间交换的数据都可以，而且必须经过防火墙。只有防火墙安全策略允许的数据，才可以自由出入防火墙，其他

11、数据禁止通过。防火墙受到攻击后，应能稳定有效的工作。防火墙可以记录和统计网络的使用情况。防火墙应能过滤和屏蔽一切有害的服务和信息。防火墙应能隔离网络中的某些网段，防止一个网段的故障传播到整个网络。主讲：易建勋第5章 网络安全设计第29页 共95页5.2 网络防火墙技术（3）防火墙设置的基本安全准则防火墙设置有“阻止”和“允许”两种设计原则。大部分厂商遵循：一切未被允许的访问就是禁止的这一基本原则。部分厂商遵循：一切未被禁止的访问就是允许的这一基本准则。主讲：易建勋第5章 网络安全设计第30页 共95页5.2 网络防火墙技术（4）防火墙的不足不能防范不经过防火墙的攻击。不能防范恶意的知情者或内部

12、用户误操作造成的威胁。不能防止受病毒感染的软件或木马文件的传输。由于防火墙不检测数据的内容，因此防火墙不能防止数据驱动式的攻击。主讲：易建勋第5章 网络安全设计第31页 共95页5.2 网络防火墙技术5.2.2 防火墙的类型软件防火墙功能强于硬件防火墙，硬件防火墙性能高于软件防火墙。包过滤防火墙： 以以色列Checkpoint防火墙、 美国Cisco公司PIX防火墙。代理型防火墙的典型产品： 美国NAI公司Gauntlet防火墙。主讲：易建勋第5章 网络安全设计第32页 共95页5.2 网络防火墙技术（1）软件防火墙个人级软件防火墙： 瑞星防火墙产品。企业级软件防火墙： 微软公司ISA Ser

13、ver CheckPoint公司FW等。主讲：易建勋第5章 网络安全设计第33页 共95页5.2 网络防火墙技术（1）软件防火墙个人级软件防火墙：瑞星防火墙产品。企业级软件防火墙：微软公司ISA Server、CheckPoint公司FW等。案例：ISA Server企业级软件防火墙主讲：易建勋第5章 网络安全设计第34页 共95页5.2 网络防火墙技术（2）硬件防火墙大多数企业级防火墙都是硬件产品，都基于PC架构。硬件防火墙主要产品： Cisco PIX防火墙、 美国杰科公司NetScreen系列防火墙、 中国天融信公司“网络卫士”防火墙等。案例：Cisco PIX防火墙产品案例：华为180

14、0F硬件防火墙主讲：易建勋第5章 网络安全设计第37页 共95页5.2 网络防火墙技术（4）包过滤防火墙包过滤防火墙所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数由路由器集成。包过滤防火墙的弱点： 过滤的依据只是网络层和传输层的有限信息，安全要求不可能充分满足。 随着过滤规则数量的增加，防火墙性能会受到很大地影响。 缺少审计和报警机制，不能对用户身份进行验证，很容易受到地址欺骗型攻击。案例：防火墙包过滤策略主讲：易建勋第5章 网络安全设计第39页 共95页5.2 网络防火墙技术（5）代理型防火墙代理型防火墙是工作在应用层，实现监视和控制应用层通信流的作用。典型网络结构如图

15、5-8所示。优点： 安全，它可以对网络中任何一层的数据通信进行筛选和保护。缺点： 速度相对比较慢，当网关吞吐量较高时，容易成为内网与外网之间的瓶颈。主讲：易建勋第5章 网络安全设计第40页 共95页5.2 网络防火墙技术 代理服务器 侦听内部网络客户的服务请求，验证合法性。若合法，将向公共服务器发出请求，并取回所需信息，最后再转发给客户。代理服务器工作流程真实的客户端真实服务器转发请求外部网络代理客户机代理服务器应用协议分析响应内部网络请求转发响应主讲：易建勋第5章 网络安全设计第41页 共95页5.2 网络防火墙技术（6）分布式防火墙分布式防火墙不是只位于网络边界，而是渗透到网络的每一台主机

16、，对整个内网的主机实施保护。主讲：易建勋第5章 网络安全设计第42页 共95页5.2 网络防火墙技术5.2.3 PIX防火墙配置案例（1）防火墙的接口硬件防火墙的接口： 内网接口下行连接内部网络设备； 外网接口上行连接上公网的路由器等外部网关设备； DMZ接口接非军事区网络设备。硬件防火墙中的网卡一般都设置为混杂模式，这样就可以监测到流过防火墙的数据。Internet 服务器可以使用私有地址 隐藏内部网络的结构WWW FTP MAIL DNS ：80：80：21：21：25：25：53：53：21案例：网络端口映射主讲：易建勋第5章 网络安全设计第44页 共95页5.3 DMZ网络安全设计5.

17、3.1 DMZ的功能与安全策略（1）DMZ的基本慨念DMZ把敏感的内部网络和提供外部访问服务的网络分离开。DMZ区域内通常放置一些不含机密信息的公用服务器，如Web、Email、FTP等服务器。DMZ并不是网络组成的必要部分。主讲：易建勋第5章 网络安全设计第45页 共95页5.3 DMZ网络安全设计主讲：易建勋第5章 网络安全设计第46页 共95页5.3 DMZ网络安全设计（3）DMZ网络访问控制策略基本原则： 设计最小权限，定义允许访问的网络资源和网络的安全级别。 确定可信用户和可信任区域。 明确各个网络之间的访问关系，制定访问控制策略。案例：DMZ区域与外网的访问控制主讲：易建勋第5章

18、网络安全设计第48页 共95页5.3 DMZ网络安全设计5.3.2 DMZ网络拓扑结构（1）堡垒主机防火墙结构堡垒主机是一台具有多个网络接口的计算机，它可以进行内部网络与外部网络之间的路由，也可以充当与这台主机相连的若干网络之间的路由。攻击者如果掌握了登录到堡垒主机的权限，那么内部网络就非常容易遭到攻击。主讲：易建勋第5章 网络安全设计第49页 共95页5.3 DMZ网络安全设计主讲：易建勋第5章 网络安全设计第50页 共95页5.3 DMZ网络安全设计（2）单防火墙DMZ网络结构单DMZ结构将网络划分为三个区域，内网、外网和DMZ区域（如图5-13）。（3）双防火墙DMZ网络结构如图5-14

19、所示，有两台防火墙连接到DMZ公共子网，一台位于DMZ子网与内部网络之间，而另一台防火墙位于外部网络与DMZ之间。主讲：易建勋第5章 网络安全设计第51页 共95页5.3 DMZ网络安全设计5.3.3 网络安全区域设计（1）定义网络安全区域（2）安全区域中的服务对于不同安全级别的信息，要采取不同级别的安全保护措施。（3）网络服务区域的安全问题网络内部应用服务类型： 数据库等服务器，它不允许内部用户直接访问； 应用服务器，需要为内部用户提供服务，并且需要访问数据库服务器。主讲：易建勋第5章 网络安全设计第52页 共95页5.3 DMZ网络安全设计在安全策略设置中，不允许内部用户直接访问信任域，允

20、许内部用户通过DMZ访问信任域，允许不信任域访问DMZ区域。这样就可以实现三个层次的安全防护。案例：网络安全设计主讲：易建勋第5章 网络安全设计第54页 共95页5.4 IDS和IPS网络安全设计5.4.1 IDS入侵检测技术 （1）入侵检测系统IDS是检测和识别系统中未授权的或异常的现象。入侵检测过程： 信息收集、信息预处理、数据检测分析和响应等。入侵检测系统本质上是一种“嗅探设备”。补充：入侵检测原理主讲：易建勋第5章 网络安全设计第56页 共95页5.4 IDS和IPS网络安全设计IDS通常设计为两部分：安全服务器和主机代理。（2） IDS常用的入侵检测方法特征检测、统计检测与专家系统。

21、（3）其他入侵防御技术防火墙口令验证系统虚拟专用网（VPN）系统完整性检测（SIV）蜜罐系统：它给黑客提供一个容易攻击的假目标。主讲：易建勋第5章 网络安全设计第57页 共95页5.4 IDS和IPS网络安全设计5.4.2 IDS网络安全设计（1）IDS系统在网络中的布署IDS系统可以部署在网络中各个关键节点，它们的工作效果大不相同的。案例：IDS在网络设计中的部署主讲：易建勋第5章 网络安全设计第59页 共95页5.4 IDS和IPS网络安全设计（2）IDS系统产品选择系统的价格最大处理流量（以pps为单位衡量）产品的扩展性是否通过了国家权威机构的评测系统的价格最大处理流量（以pps为单位衡

22、量）产品的扩展性是否通过了国家权威机构的评测主讲：易建勋第5章 网络安全设计第60页 共95页5.4 IDS和IPS网络安全设计5.4.3 IDS存在的问题误报/漏报率高没有主动防御能力缺乏准确定位和处理机制性能普遍不足主讲：易建勋第5章 网络安全设计第61页 共95页5.4 IDS和IPS网络安全设计5.4.4 IPS入侵防御技术（1）IPS的功能IPS（入侵防御系统）是一种主动的、积极的入侵防御系统，IPS不但能检测入侵的发生，并且能实时终止入侵行为。IPS一般部署在网络的进出口处。IPS的功能比较单一，它只能串联在网络上，对防火墙不能过滤的攻击进行处理。主讲：易建勋第5章 网络安全设计第

23、62页 共95页5.4 IDS和IPS网络安全设计（2）IPS工作原理IPS中流行的检测技术： 并行处理检测 协议重组分析并行处理检测是指所有流经IPS的数据包，都要被送入处理单元中进行过滤器。协议重组分析是指所有流经IPS的数据包，首先经过硬件级别的预处理，这个预处理过程主要是对数据包进行重组，以便IPS能够看清楚具体的应用协议。补充：IPS工作原理主讲：易建勋第5章 网络安全设计第64页 共95页5.4 IDS和IPS网络安全设计5.4.5 IPS网络安全设计（1）IPS在网络中的位置IDS产品在网络中采用旁路式连接。主讲：易建勋第5章 网络安全设计第65页 共95页5.4 IDS和IPS

24、网络安全设计5.4.6 IPS存在的问题（1）单点故障如果IPS出现问题，则会严重影响网络的正常运转。（2）性能瓶颈IPS串接在网络上，要求必须像网络设备一样对数据包做快速转发。IPS必须与数千兆或更大容量的网络流量保持同步，尤其是加载了数量庞大的检测特征库时，IPS嵌入设备无法支持这种响应速度。主讲：易建勋第5章 网络安全设计第66页 共95页5.4 IDS和IPS网络安全设计（3）误报和漏报IPS是串接在网络中的主动防御，产生误报后将直接影响网络的正常工作。（4）规则动态更新IPS设备由于集成了庞大的攻击特征库，因此更新支持势在必行。（5）总体拥有成本IPS总体拥有成本高。主讲：易建勋第5

25、章 网络安全设计第67页 共95页5.5 网络隔离设计我国2000年1月1日起实施的计算机信息系统国际联网保密管理规定第二章保密制度第六条的规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离”。 主讲：易建勋第5章 网络安全设计第68页 共95页5.5 网络隔离设计5.5.1 网络隔离的技术特点（2）网络物理隔离卡技术物理隔离的思路是首先切断可能的攻击途径（如物理链路），然后再尽力满足用户的应用需求。（3）协议隔离技术协议隔离指两个网络之间存在直接的物理连接，但通过专用协议来连接两个网络。协议隔离把两个或两个以上可路由的网络（如TCP/

26、IP）通过不可路由的协议（如IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。主讲：易建勋第5章 网络安全设计第69页 共95页5.5 网络隔离设计（4）网络隔离的安全要求在物理传输上使内网与外网络隔断。在物理辐射上隔断内网与外网。在物理存储上隔断两个网络环境。网络隔离产品自身具有高度的安全性。要保证网络之间交换的只是应用数据。在网络隔离的前提下，保证网络畅通和应用透明。主讲：易建勋第5章 网络安全设计第70页 共95页5.5 网络隔离设计5.5.2 网络物理隔离卡工作原理（1）单主板安全隔离计算机采用双硬盘，将内网与外网的转换功能做入主板BIOS中，并将主板网卡插槽也分为内网和外

27、网。（2）网络物理隔离卡技术网络物理隔离是一个基于PCI总线的硬件插卡。隔离卡采用双硬盘技术，启动外网时关闭内网硬盘，启动内网时关闭外网硬盘，使两个网络和硬盘进行物理隔离。网络物理隔离卡兼容所有操作系统。主讲：易建勋第5章 网络安全设计第71页 共95页5.5 网络隔离设计（3）双网口网络物理隔离卡隔离卡上有三个接口，一个总线接口连接主板，一个IDE接口连接内网硬盘，另外一个IDE接口连接外网硬盘。在安全状态时，主机只能使用内网硬盘与内网连接，此时外部因特网连接是断开的，而且硬盘上的公共区通道是封闭的。当PC机处于公共状态时，主机只能使用外网硬盘，此时与内网是断开的，而且硬盘上的公共区也是被封

28、闭的。（5）网络物理隔离卡技术原理双硬盘型网络物理隔离卡工作原理如图5-20。主讲：易建勋第5章 网络安全设计第72页 共95页5.5 网络隔离设计案例：网络物理隔离解决方案案例：网络安全隔离解决方案主讲：易建勋第5章 网络安全设计第75页 共95页5.5 网络隔离设计5.5.3 安全隔离网闸工作原理GAP是一种通过专用硬件和软件技术，使两个或者两个以上的网络在不连通的情况下，实现数据安全传输和资源共享的技术。（1）GAP技术原理GAP技术包含两个独立的主机系统和一套固态开关读写介质系统。GAP所连接的两个独立主机系统之间，不存在通信连接，没有命令，没有协议，没有TCP/IP连接，没有包转发等

29、。只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。主讲：易建勋第5章 网络安全设计第76页 共95页5.5 网络隔离设计纯数据交换是GAP技术的特点。GAP把通信协议全部剥离，以原始数据方式进行“摆渡”。因此，它能够抵御互联网目前存在的几乎所有攻击。（2）GAP数据交换过程当内网与专网之间无信息交换时，安全隔离网闸与内网，安全隔离网闸与专网，内网与专网之间是完全断开的，即三者之间不存在物理连接和逻辑连接，如图5-21所示。主讲：易建勋第5章 网络安全设计第77页 共95页5.5 网络隔离设计主讲：易建勋第5章 网络安全设计第78页 共95页5.5 网络隔离设计当内网数

30、据需要传输到专网时，安全隔离网闸主动向内网服务器数据交换代理发起非TCP/IP协议的数据连接请求，并发出“写”命令，将写入开关合上，并把所有的协议剥离，将原始数据写入存储介质。如图5-22所示。一旦数据写入存储介质，开关立即打开，中断与内网的连接。转而发起对专网的连接请求，当专网服务器收到请求后，发出“读”命令，将安全隔离网闸存储介质内的数据导向专网服务器。服务器收到数据后，按TCP/IP协议重新封装接收到的数据，交给应用系统，完成内网到专网的信息交换。如图5-23所示。主讲：易建勋第5章 网络安全设计第79页 共95页5.5 网络隔离设计（3）GAP系统的逻辑隔离属性GAP经有关部门鉴定，仍

31、然属于逻辑隔离产品，不能直接用于内部网与国际因特网之间进行隔离。（4）GAP与其他技术的区别防火墙侧重于网络层至应用层的隔离；而GAP属于从物理层到应用层数据级别的隔离。一个物理隔离卡只能管一台计算机；而GAP系统可管理整个网络，GAP不需要物理隔离卡。物理隔离卡每次切换网络都要重新启动；GAP进行网络转换不需要开关机。主讲：易建勋第5章 网络安全设计第80页 共95页5.5 网络隔离设计5.5.4 安全隔离网络设计（1）利用GAP技术的组网设计安全隔离网闸可以部署在涉密网与非涉密网之间，如图5-24所示。（2）利用网络物理隔离卡组网设计使用网络物理隔离卡的安全主机，内网和外网最好分别使用两个IP地址。网络结构如图5-26所示。主讲：易建勋第5章 网络安全设计第81页 共95页5.6 VPN网络安全设计5.6.1 VPN技术特点（2）VPN的定义VPN使用IP机制仿真出一个私有的广域网。（3）VPN隧道技术工作原理VPN在公用网上建立一条数据通道（隧道），让数据包通过这条隧道进行安全传输（如图5-29）。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。