網(wǎng)絡(luò)安全架構(gòu)設(shè)計和設(shè)備的部署培訓(xùn)課件

1網(wǎng)絡(luò)安全架構(gòu)設(shè)計和

網(wǎng)絡(luò)安全設(shè)備的部署2主要內(nèi)容內(nèi)網(wǎng)安全架構(gòu)的設(shè)計與安全產(chǎn)品的部署安全掃描技術(shù)防火墻技術(shù)入侵檢測技術(shù)IPSecVPN和SSLVPN技術(shù)3網(wǎng)絡(luò)信息安全的基本問題網(wǎng)絡(luò)信息安全的基本問題保密性完整性可用性可控性可審查性最終要解決是使用者對基礎(chǔ)設(shè)施的信心和責(zé)任感的問題。4網(wǎng)絡(luò)與信息安全體系要實施一個完整的網(wǎng)絡(luò)與信息安全體系，至少應(yīng)包括三類措施，并且三者缺一不可。社會的法律政策、規(guī)章制度措施技術(shù)措施審計和管理措施5網(wǎng)絡(luò)安全設(shè)計的基本原則要使信息系統(tǒng)免受攻擊，關(guān)鍵要建立起安全防御體系，從信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否認(rèn)性等。在進(jìn)行計算機(jī)網(wǎng)絡(luò)安全設(shè)計、規(guī)劃時，應(yīng)遵循以下原則：需求、風(fēng)險、代價平衡分析的原則綜合性、整體性原則一致性原則易操作性原則適應(yīng)性、靈活性原則多重保護(hù)原則6網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案的基本概念網(wǎng)絡(luò)安全解決方案可以看作是一張有關(guān)網(wǎng)絡(luò)系統(tǒng)安全工程的圖紙，圖紙設(shè)計的好壞直接關(guān)系到工程質(zhì)量的優(yōu)劣?？傮w來說，網(wǎng)絡(luò)安全解決方案涉及安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)、認(rèn)證和數(shù)字簽名技術(shù)、VPN技術(shù)等多方面的安全技術(shù)。7一份好的網(wǎng)絡(luò)安全解決方案，不僅僅要考慮到技術(shù)，還要考慮到策略和管理。技術(shù)是關(guān)鍵策略是核心管理是保證在整個網(wǎng)絡(luò)安全解決方案中，始終要體現(xiàn)出這三個方面的關(guān)系。8網(wǎng)絡(luò)安全解決方案設(shè)計9安全需求分析網(wǎng)絡(luò)系統(tǒng)的總體安全需求是建立在對網(wǎng)絡(luò)安全層次分析基礎(chǔ)上的。對于基于TCP/IP協(xié)議的網(wǎng)絡(luò)系統(tǒng)來說，安全層次是與TCP/IP協(xié)議層次相對應(yīng)的。針對該企業(yè)網(wǎng)絡(luò)的實際情況，可以將安全需求層次歸納為網(wǎng)絡(luò)層安全和應(yīng)用層安全兩個技術(shù)層次，同時將在各層都涉及的安全管理部分單獨(dú)作為一部分進(jìn)行分析。10網(wǎng)絡(luò)層需求分析網(wǎng)絡(luò)層安全需求是保護(hù)網(wǎng)絡(luò)不受攻擊，確保網(wǎng)絡(luò)服務(wù)的可用性。保證同Internet互聯(lián)的邊界安全能夠防范來自Internet的對提供服務(wù)的非法利用防范來自Internet的網(wǎng)絡(luò)入侵和攻擊行為的發(fā)生對于內(nèi)部網(wǎng)絡(luò)提供高于網(wǎng)絡(luò)邊界更高的安全保護(hù)11應(yīng)用層層需求求分析析應(yīng)用層層的安安全需需求是是針對對用戶戶和網(wǎng)網(wǎng)絡(luò)應(yīng)應(yīng)用資資源的的，主主要包包括：：合法用用戶可可以以以指定定的方方式訪訪問指指定的的信息息；合法用用戶不不能以以任何何方式式訪問問不允允許其其訪問問的信信息；；非法用用戶不不能訪訪問任任何信信息；；用戶對對任何何信息息的訪訪問都都有記記錄。。12應(yīng)用層層要解解決的的安全全問題題包括括非法用用戶利利用應(yīng)應(yīng)用系系統(tǒng)的的后門門或漏漏洞，，強(qiáng)行行進(jìn)入入系統(tǒng)統(tǒng)用戶身身份假假冒非授權(quán)權(quán)訪問問數(shù)據(jù)竊竊取數(shù)據(jù)篡篡改數(shù)據(jù)重重放攻攻擊抵賴13網(wǎng)絡(luò)安安全解解決方方案14電子政政務(wù)網(wǎng)網(wǎng)絡(luò)拓拓?fù)涓鸥攀鰞?nèi)部核心子網(wǎng)INTERNET分支機(jī)構(gòu)1分支機(jī)構(gòu)215電子政政務(wù)網(wǎng)網(wǎng)絡(luò)拓拓?fù)湓斣敿?xì)分分析領(lǐng)導(dǎo)層子網(wǎng)分支機(jī)構(gòu)2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)INTERNET分支機(jī)構(gòu)116電子政政務(wù)網(wǎng)網(wǎng)絡(luò)風(fēng)風(fēng)險及及需求求分析析領(lǐng)導(dǎo)層層子網(wǎng)網(wǎng)分支機(jī)機(jī)構(gòu)2業(yè)務(wù)處處室子網(wǎng)網(wǎng)公共處處室子網(wǎng)網(wǎng)服務(wù)處處室子網(wǎng)網(wǎng)直屬人人事機(jī)構(gòu)構(gòu)處室子子網(wǎng)共享數(shù)數(shù)據(jù)庫子網(wǎng)網(wǎng)INTERNET分支機(jī)機(jī)構(gòu)1此人正正試圖圖進(jìn)入入網(wǎng)絡(luò)絡(luò)監(jiān)聽聽并竊竊取敏敏感信信息分支機(jī)機(jī)構(gòu)工工作人人員正正試圖圖在領(lǐng)領(lǐng)導(dǎo)層層子網(wǎng)網(wǎng)安裝裝木馬馬分支機(jī)機(jī)構(gòu)工工作人人員正正試圖圖越權(quán)權(quán)訪問問業(yè)務(wù)務(wù)子網(wǎng)網(wǎng)安裝裝木馬馬非內(nèi)部部人員員正試試圖篡篡改公公共網(wǎng)網(wǎng)絡(luò)服服務(wù)器器的數(shù)數(shù)據(jù)17電子政政務(wù)網(wǎng)網(wǎng)絡(luò)內(nèi)內(nèi)網(wǎng)基基礎(chǔ)網(wǎng)網(wǎng)絡(luò)平平臺安安全領(lǐng)導(dǎo)層層子網(wǎng)網(wǎng)業(yè)務(wù)處處室子網(wǎng)網(wǎng)公共處處室子網(wǎng)網(wǎng)服務(wù)處處室子網(wǎng)網(wǎng)直屬人人事機(jī)構(gòu)構(gòu)處室子子網(wǎng)共享數(shù)數(shù)據(jù)庫子網(wǎng)網(wǎng)分支機(jī)機(jī)構(gòu)2分支機(jī)機(jī)構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源INTERNETNEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源防火墻墻FW1防火墻墻FW2防火墻墻FW3安全認(rèn)認(rèn)證服服務(wù)器器安全管管理器器安全網(wǎng)網(wǎng)關(guān)SG1安全網(wǎng)網(wǎng)關(guān)SG2安全網(wǎng)網(wǎng)關(guān)SG3路由器器路由器器路由器器交換機(jī)機(jī)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源18內(nèi)網(wǎng)核核心網(wǎng)網(wǎng)絡(luò)與與各級級子網(wǎng)網(wǎng)間的的安全全設(shè)計計分支機(jī)機(jī)構(gòu)2INTERNET分支機(jī)機(jī)構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源

內(nèi)部核心子網(wǎng)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)機(jī)安全網(wǎng)網(wǎng)關(guān)SG1安全網(wǎng)網(wǎng)關(guān)SG2安全網(wǎng)網(wǎng)關(guān)SG3路由器器路由器器路由器器安全管管理器器安全認(rèn)認(rèn)證服服務(wù)器器19內(nèi)網(wǎng)網(wǎng)網(wǎng)絡(luò)漏漏洞掃掃描系系統(tǒng)設(shè)設(shè)計分支機(jī)機(jī)構(gòu)2INTERNET分支機(jī)機(jī)構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源

內(nèi)部核心子網(wǎng)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)安全網(wǎng)關(guān)關(guān)SG1安全網(wǎng)關(guān)關(guān)SG2安全網(wǎng)關(guān)關(guān)SG3路由器路由器路由器安全管理理器安全認(rèn)證證服務(wù)器器網(wǎng)絡(luò)漏洞洞掃描器器20內(nèi)網(wǎng)網(wǎng)絡(luò)絡(luò)入侵檢檢測系統(tǒng)統(tǒng)設(shè)計分支機(jī)構(gòu)構(gòu)2INTERNET分支機(jī)構(gòu)構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源

內(nèi)部核心子網(wǎng)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)安全網(wǎng)關(guān)關(guān)SG1安全網(wǎng)關(guān)關(guān)SG2安全網(wǎng)關(guān)關(guān)SG3路由器路由器路由器安全管理理器安全認(rèn)證證服務(wù)器器網(wǎng)絡(luò)入侵侵檢測探探頭網(wǎng)絡(luò)入侵侵策略管管理器21電子政務(wù)務(wù)外網(wǎng)基基礎(chǔ)平臺臺安全設(shè)設(shè)計INTERNET辦公廳辦辦公業(yè)務(wù)務(wù)網(wǎng)（（簡簡稱“內(nèi)內(nèi)網(wǎng)”））路由器交換機(jī)安全管理理器防火墻FW物理隔離離器（K1)E-MAIL服務(wù)器應(yīng)用服務(wù)務(wù)器數(shù)據(jù)庫服服務(wù)器22外網(wǎng)網(wǎng)絡(luò)絡(luò)漏洞掃掃描系統(tǒng)統(tǒng)設(shè)計INTERNET辦公廳辦辦公業(yè)務(wù)務(wù)網(wǎng)（（簡簡稱“內(nèi)內(nèi)網(wǎng)”））路由器交換機(jī)安全管理理器防火墻FW物理隔離離器（K1)E-MAIL服務(wù)器應(yīng)用服務(wù)務(wù)器數(shù)據(jù)庫服服務(wù)器網(wǎng)絡(luò)漏洞洞掃描器器23外網(wǎng)網(wǎng)絡(luò)絡(luò)入侵檢檢測系統(tǒng)統(tǒng)設(shè)計INTERNET辦公廳辦辦公業(yè)務(wù)務(wù)網(wǎng)（（簡簡稱“內(nèi)內(nèi)網(wǎng)”））路由器交換機(jī)安全管理理器物理隔離離器（K1)E-MAIL服務(wù)器應(yīng)用服務(wù)務(wù)器數(shù)據(jù)庫服服務(wù)器網(wǎng)絡(luò)漏洞洞掃描器器網(wǎng)絡(luò)入侵侵檢測探探頭網(wǎng)絡(luò)入侵侵策略管管理器防火墻FW24外網(wǎng)WEB服務(wù)器安安全設(shè)計計INTERNET辦公廳辦辦公業(yè)務(wù)務(wù)網(wǎng)（（簡簡稱“內(nèi)內(nèi)網(wǎng)”））路由器交換機(jī)安全管理理器物理隔離離器（K2)E-MAIL服務(wù)器應(yīng)用服務(wù)務(wù)器數(shù)據(jù)庫服服務(wù)器防火墻FW物理隔離離器（K1)辦公廳辦辦公業(yè)務(wù)務(wù)網(wǎng)（（簡簡稱“內(nèi)內(nèi)網(wǎng)”））政府系統(tǒng)統(tǒng)辦公業(yè)業(yè)務(wù)資源源網(wǎng)（簡簡稱“專專網(wǎng)”））Web網(wǎng)站監(jiān)測測&自動修復(fù)復(fù)系統(tǒng)25內(nèi)網(wǎng)、外外網(wǎng)和專專網(wǎng)的隔隔離系統(tǒng)統(tǒng)設(shè)計INTERNET辦公廳辦辦公業(yè)務(wù)務(wù)網(wǎng)（（簡簡稱“內(nèi)內(nèi)網(wǎng)”））路由器交換機(jī)安全管理理器物理隔離離器（K2)E-MAIL服務(wù)器應(yīng)用服務(wù)務(wù)器數(shù)據(jù)庫服服務(wù)器防火墻FW物理隔離離器（K1)辦公廳辦辦公業(yè)務(wù)務(wù)網(wǎng)（（簡簡稱“內(nèi)內(nèi)網(wǎng)”））政府系統(tǒng)統(tǒng)辦公業(yè)業(yè)務(wù)資源源網(wǎng)（簡簡稱“專專網(wǎng)”））26其它網(wǎng)絡(luò)絡(luò)安全設(shè)設(shè)備撥號檢測測系統(tǒng)上網(wǎng)行為為管理系系統(tǒng)DDOS防御網(wǎng)關(guān)關(guān)VPN網(wǎng)關(guān)防病毒網(wǎng)網(wǎng)關(guān)27安全掃描描技術(shù)28IP掃描IP掃描——PingSweepingPing使用ICMP協(xié)議進(jìn)行行工作29IP掃描ICMP協(xié)議負(fù)責(zé)責(zé)差錯的的報告與與控制。。比如目目標(biāo)不可可達(dá)，路路由重定定向等等等ICMP報文格式式類型域(type)用來指明明該ICMP報文的類類型代碼域(code)確定該包包具體作作用

081631

類型

代碼

校驗和

其他字段（不同的類型可能不一樣）

數(shù)據(jù)區(qū)……

數(shù)據(jù)ICMP包頭IP包頭MAC幀頭30IP掃描常用的ICMP報文Ping程序使用用ICMPEchoRequest/Reply報文名稱類型ICMPDestinationUnreachable（目標(biāo)不可達(dá)）3ICMPSourceQuench（源抑制）4ICMPRedirection（重定向）5ICMPTimestampRequest/Reply（時間戳）13/14ICMPAddressMaskRequest/Reply（子網(wǎng)掩碼）17/18ICMPEchoRequest/Reply（響應(yīng)請求/應(yīng)答）8/031端口掃描描端口Internet上主機(jī)間間通訊總總是通過過端口發(fā)發(fā)生的端口是入入侵的通通道端口分為為TCP端口與UDP端口因此，端端口掃描描可分類類為TCP掃描UDP掃描32端口掃描描基本掃描描用Socket開發(fā)TCP應(yīng)用服務(wù)器端端客戶端33端口掃描connect()函數(shù)intconnect(SOCKETs,conststructsockaddrFAR*name,intnamelen);當(dāng)connect返回0時，連接成功功基本的掃描方方法即TCPConnect掃描優(yōu)點實現(xiàn)簡單可以用普通用用戶權(quán)限執(zhí)行行缺點容易被防火墻墻檢測，也會會目標(biāo)應(yīng)用所所記錄34端口掃描隱秘掃描服務(wù)器端客戶端connect35端口掃描TCP的連接建立過過程客戶機(jī)服務(wù)器發(fā)送SYN

seq=x

接收SYN報文

發(fā)送SYNseq=y,ACKack=x+1

接收SYN+ACK

發(fā)送ACKack=y+1

接受ACK報文段

36端口掃描SYN掃描客戶機(jī)服務(wù)器發(fā)送SYN

seq=x

如果接收到到SYN+ACK，表明服務(wù)務(wù)器端口可可連接如果服務(wù)器器端口打開開，則返回回SYN+ACK如果服務(wù)器器端口未打打開，則返返回RSTSYN+ACK如果接收到到RST，表明服務(wù)務(wù)器端口不不可連接RST37端口掃描SYN掃描的實現(xiàn)現(xiàn)WinSock2接口RawSock方式，允許許自定義IP包SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);TCP包頭標(biāo)志位位01631源端口

目的端口

序列號

確認(rèn)號

HLEN

保留

標(biāo)志位

窗口

校驗和

緊急指針

選項

填充

數(shù)據(jù)

保留保留UrgentpointACKPUSHRESETSYNFIN38端口掃描SYN掃描的優(yōu)缺缺點優(yōu)點：一般不會被被目標(biāo)主機(jī)機(jī)所記錄缺點：運(yùn)行RawSocket時必須擁有有管理員權(quán)權(quán)限39端口掃描FIN掃描關(guān)閉TCP連接的過程程客戶機(jī)服務(wù)器發(fā)送FIN

seq=x

接收FIN報文

發(fā)送FINseq=y,ACKack=x+1

接收FIN+ACK

發(fā)送ACKack=y+1

接受ACK報文段

40端口掃描關(guān)閉一個并并沒有建立立的連接，，會產(chǎn)生以以下情況對非連接FIN報文的回復(fù)復(fù)TCP標(biāo)準(zhǔn)關(guān)閉的端口口——返回RST報文打開的端口口——忽略BSD操作系統(tǒng)與TCP標(biāo)準(zhǔn)一致其他操作系系統(tǒng)均返回RST報文41TCPACK掃描掃描主機(jī)向向目標(biāo)主機(jī)機(jī)發(fā)送ACK數(shù)據(jù)包。根根據(jù)返回的的RST數(shù)據(jù)包有兩兩種方法可可以得到端端口的信息息。方法一是：：若返回回的RST數(shù)據(jù)包的TTL值小于或等等于64，則端口開開放，反之之端口關(guān)閉閉方法二是：：若返回回的RST數(shù)據(jù)包的WINDOW值非零，則則端口開放放，反之端端口關(guān)閉TCPACK掃描建立連接成功TCPACK掃描建立連接成功42NULL掃描掃描主機(jī)將將TCP數(shù)據(jù)包中的的ACK、FIN、RST、SYN、URG、PSH(接收端將數(shù)數(shù)據(jù)轉(zhuǎn)由應(yīng)應(yīng)用處理)標(biāo)志位置空空后（保留留的RES1和RES2對掃描的結(jié)結(jié)果沒有任任何影響））發(fā)送給目目標(biāo)主機(jī)。。若目標(biāo)端端口開放，，目標(biāo)主機(jī)機(jī)將不返回回任何信息息。若目標(biāo)主機(jī)機(jī)返回RST信息，則表表示端口關(guān)關(guān)閉。NULL掃描建立連接成功NULL掃描建立連接未成功43Xmastree掃描（圣誕樹掃描描）XMAS掃描原理和和NULL掃描的類似似，將TCP數(shù)據(jù)包中的的ACK、FIN、RST、SYN、URG、PSH標(biāo)志位置1后發(fā)送給目目標(biāo)主機(jī)。。在目標(biāo)端端口開放的的情況下，，目標(biāo)主機(jī)機(jī)將不返回回任何信息息若目標(biāo)端口口關(guān)閉，則則目標(biāo)主機(jī)機(jī)將返回RST信息XMAS掃描建立連接成功XMAS掃描建立連接未成功44端口掃描優(yōu)點不會被記錄錄到日志可以繞過某某些防火墻墻netstat命令不會顯顯示——netstate命令只能顯顯示TCP連接或連接接的嘗試缺點使用RAWIP編程，實現(xiàn)現(xiàn)起來相對對比較復(fù)雜雜利用BSD代碼缺陷，，可能被修修復(fù)——OpenBSD不同操作系系統(tǒng)結(jié)果不不同，因此此不完全可可信45端口掃描UDP端口掃描目前掃描UDP端口只有一一種方法：：向目標(biāo)UDP端口發(fā)送一一些隨機(jī)數(shù)數(shù)據(jù)，如果果端口關(guān)閉閉，則目標(biāo)標(biāo)主機(jī)會回回復(fù)ICMP端口不可達(dá)達(dá)消息46慢速掃描隨著防火墻墻的廣泛應(yīng)應(yīng)用，普通通的掃描很很難穿過防防火墻去掃掃描受防火火墻保護(hù)的的網(wǎng)絡(luò)。即即使掃描能能穿過防火火墻，掃描描的行為仍仍然有可能能會被防火火墻記錄下下來。如果掃描是是對非連續(xù)續(xù)性端口、、源地址不不一致、時時間間隔很很長且沒有有規(guī)律的掃掃描的話，，這些掃描描的記錄就就會淹沒在在其他眾多多雜亂的日日志內(nèi)容中中。使用慢慢速掃描的的目的也就就是這樣，，騙過防火火墻和入侵侵檢測系統(tǒng)統(tǒng)而收集信信息。雖然然掃描所用用的時間較較長，但這這是一種比比較難以被被發(fā)現(xiàn)的掃掃描。47亂序序掃掃描描亂序序掃掃描描也也是是一一種種常常見見的的掃掃描描技技術(shù)術(shù)，，掃掃描描器器掃掃描描的的時時候候不不是是進(jìn)進(jìn)行行有有序序的的掃掃描描，，掃掃描描端端口口號號的的順順序序是是隨隨機(jī)機(jī)產(chǎn)產(chǎn)生生的的，，每每次次進(jìn)進(jìn)行行掃掃描描的的順順序序都都完完全全不不一一樣樣，，這這種種方方式式能能有有效效地地欺欺騙騙某某些些入入侵侵檢檢測測系系統(tǒng)統(tǒng)而而不不會會被被發(fā)發(fā)覺覺。。48漏洞洞掃掃描描49端口口掃掃描描常用用的的端端口口掃掃描描工工具具UNIX下的的端端口口掃掃描描工工具具NmapWindows下的的端端口口掃掃描描工工具具XScanSuperScanNmapforNT50防火墻建筑業(yè)中的防防火墻用在建建筑單位間，，防止火勢的的蔓延。在網(wǎng)絡(luò)安全領(lǐng)領(lǐng)域中，防火火墻用來指應(yīng)應(yīng)用于內(nèi)部網(wǎng)絡(luò)（局域網(wǎng)）和和外部網(wǎng)絡(luò)（Internet）之間的，用用來保護(hù)內(nèi)部網(wǎng)絡(luò)絡(luò)免受非法訪問問和破壞的網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)。51防火墻功能示示意兩個不同網(wǎng)絡(luò)絡(luò)安全域間通通信流的唯一通道，對流過過的網(wǎng)絡(luò)數(shù)據(jù)據(jù)進(jìn)行檢查，，阻止攻擊數(shù)數(shù)據(jù)包通過。。安全網(wǎng)域一安全網(wǎng)域二52防火墻主要功功能過濾進(jìn)、出網(wǎng)網(wǎng)絡(luò)的數(shù)據(jù);防止不安全的的協(xié)議和服務(wù)務(wù)；管理進(jìn)、出網(wǎng)網(wǎng)絡(luò)的訪問行行為；記錄通過防火火墻的信息內(nèi)內(nèi)容與活動；；對網(wǎng)絡(luò)攻擊進(jìn)進(jìn)行檢測與告告警;防止外部對內(nèi)內(nèi)部網(wǎng)絡(luò)信息息的獲取提供與外部連連接的集中管管理；53防火墻不能防防范的攻擊來自內(nèi)部的安安全威脅；病毒開放應(yīng)用服務(wù)務(wù)程序的漏洞洞；特洛伊木馬；；社會工程；不當(dāng)配置54衡量防火墻三三大要求安全內(nèi)部和外部間間所有數(shù)據(jù)必必須通過防火火墻只有符合安全全策略的數(shù)據(jù)據(jù)流才能通過過防火墻防火墻自身要要安全管理良好的人機(jī)交交互界面提供強(qiáng)勁的管管理及擴(kuò)展功功能速度55防火墻發(fā)展歷歷程主要經(jīng)歷了三三個階段：基于路由器的的防火墻基于通用操作作系統(tǒng)的防火火墻基于安全操作作系統(tǒng)的防火火墻56防火墻分類按實現(xiàn)技術(shù)分分類：包過濾型代理型防火墻墻按體系結(jié)構(gòu)分分類：雙宿/多宿主機(jī)防火火墻屏蔽主機(jī)防火火墻屏蔽子網(wǎng)防火火墻混合結(jié)構(gòu)57包過濾防火墻墻包過濾防火墻墻在決定能否及及如何傳送數(shù)數(shù)據(jù)包之外，，還根據(jù)其規(guī)規(guī)則集，看是是否應(yīng)該傳送送該數(shù)據(jù)包普通路由器當(dāng)數(shù)據(jù)包到達(dá)達(dá)時，查看IP包頭信息，根根據(jù)路由表決決定能否以及及如何傳送數(shù)數(shù)據(jù)包58靜態(tài)包過濾防防火墻傳輸層傳傳輸層傳傳輸輸層59路由與包過濾濾路由進(jìn)行轉(zhuǎn)發(fā)發(fā)，過濾進(jìn)行行篩選源地址目標(biāo)地址協(xié)議是否允許HostASeverXTCPYESHostASeverXUDPNOHostA外部網(wǎng)絡(luò)目標(biāo)路由SeverX接口1……………………SeverX60包過濾所檢查查的內(nèi)容源和目的的IP地址IP選項IP的上層協(xié)議類類型（TCP/UDP/ICMP）TCP和UDP的源及目的端端口ICMP的報文類型和和代碼我們稱這種對對包頭內(nèi)容進(jìn)進(jìn)行簡單過濾濾的方式為靜態(tài)包過濾61包過濾配置包過濾防火墻墻配置步驟：：知道什么是應(yīng)應(yīng)該和不應(yīng)被被允許，制定定安全策略規(guī)定允許的包包類型、包字字段的邏輯表表達(dá)用防火墻支持持的語法重寫寫表達(dá)式62規(guī)則制定的策策略拒絕任何訪問問，除非被規(guī)規(guī)則特別允許許允許任何訪問問，除非規(guī)則則特別地禁止止允許拒絕允許拒絕63規(guī)則制定的策策略過濾的兩種基基本方式按服務(wù)過濾：：根據(jù)安全策策略決定是否否允許或拒絕絕某一種服務(wù)務(wù)按規(guī)則過濾：：檢查包頭信信息，與過濾濾規(guī)則匹配，，決定是否轉(zhuǎn)轉(zhuǎn)發(fā)該數(shù)據(jù)包包64依賴于服務(wù)的的過濾多數(shù)服務(wù)對應(yīng)應(yīng)特定的端口口，如要封鎖鎖輸Telnet、SMTP的連接，則Router丟棄端口值為為23和25的所有數(shù)據(jù)包包。典型的過濾規(guī)規(guī)則有以下幾幾種：只允許進(jìn)來的Telnet會話連接到指定的內(nèi)部主主機(jī)只允許許進(jìn)來的FTP會話連連接到到指定的的內(nèi)部部主機(jī)機(jī)允許所有出出去的Telnet會話允許所有出出去的FTP會話拒絕從從某些些指定定的外外部網(wǎng)網(wǎng)絡(luò)進(jìn)進(jìn)來的的所有有信息息65按規(guī)則則過濾濾有些類類型的的攻擊擊很難難用基基本包包頭信信息加加以鑒鑒別，，因為為獨(dú)立立于服服務(wù)。。如果果防范范則需需要定定義規(guī)規(guī)則1）源IP地址欺騙攻攻擊入侵者從偽偽裝成源自自一臺內(nèi)部部主機(jī)的一一個外部地地點傳送一一些信息包包；這些信信息包似乎乎像包含了了一個內(nèi)部部系統(tǒng)的源源IP地址。如果果這些信息息包到達(dá)Router的外部接口口，則舍棄棄每個含有有這個源IP地址的信息息包，就可可以挫敗這這種源欺騙騙攻擊。66按規(guī)則過濾濾2）源路由攻攻擊攻擊者為信信息包指定定一個穿越越Internet的路由，這這類攻擊企企圖繞過安安全措施，，并使信息息包沿一條條意外(疏漏)的路徑到達(dá)達(dá)目的地。。可以通過過舍棄所有有包含這類類源路由選選項的信息息包方式，，來挫敗這這類攻擊。。3）殘片攻擊擊入侵者利用用IP分段特性生生成一個極極小的片斷斷并將TCP報頭信息肢肢解成一個個分離的信信息包片斷斷，使數(shù)據(jù)據(jù)包繞過用用戶定義的的過濾規(guī)則則。黑客希希望過濾路路由器只檢檢查第一分分段，而允允許其它分分段通過。。通過舍棄棄所有協(xié)議議類型為TCP、IP報頭中FragmentOffset=1的數(shù)據(jù)包，，即可挫敗敗殘片的攻攻擊。67推薦的規(guī)則則任何進(jìn)入內(nèi)內(nèi)網(wǎng)的數(shù)據(jù)據(jù)包不能將將內(nèi)部地址址作為源地地址任何進(jìn)入內(nèi)內(nèi)網(wǎng)的數(shù)據(jù)據(jù)包必須將將內(nèi)部地址址作為目標(biāo)標(biāo)地址任何離開內(nèi)內(nèi)網(wǎng)的數(shù)據(jù)據(jù)包必須將將內(nèi)部地址址作為源地地址任何離開內(nèi)內(nèi)網(wǎng)的數(shù)據(jù)據(jù)包不能將將內(nèi)部地址址作為目標(biāo)標(biāo)地址任何進(jìn)入或或離開內(nèi)網(wǎng)網(wǎng)的數(shù)據(jù)包包不能把一一個私有地地址或者/8作為源或目目標(biāo)地址68靜態(tài)包過濾濾的優(yōu)缺點點優(yōu)點：速度快價格低對用戶透明明缺點：配置難把握握防范能力低低沒有用戶身身份驗證機(jī)機(jī)制69動態(tài)包過濾濾動態(tài)包過濾濾是CheckPoint的一項稱為為“StatefulInspection”的專利技術(shù)術(shù)，也稱狀狀態(tài)檢測防防火墻。。動態(tài)包過濾濾防火墻不不僅以一個個數(shù)據(jù)包的的內(nèi)容作為為過濾的依依據(jù)，還根根據(jù)這個數(shù)數(shù)據(jù)包在信信息流位置置加以判斷斷。動態(tài)包過濾濾防火墻可可阻止未經(jīng)經(jīng)內(nèi)網(wǎng)請求求的外部通通信，而允允許內(nèi)網(wǎng)請請求的外部部網(wǎng)站傳入入的通信。。70動態(tài)包過濾濾防火墻71使用動態(tài)包包過濾制定定的規(guī)則72動態(tài)包過濾濾的優(yōu)缺點點優(yōu)點：基于應(yīng)用程程序信息驗驗證一個包包狀態(tài)的能能力記錄通過的的每個包的的詳細(xì)信息息缺點：造成網(wǎng)絡(luò)連連接的遲滯滯系統(tǒng)資源要要求較高73防火墻分類類：包過濾代理型防火火墻：應(yīng)用用代理型代理型防火火墻：電路路代理型代理型防火火墻：NAT74代理服務(wù)技技術(shù)代理服務(wù)技技術(shù)能夠?qū)⑺锌缭皆椒阑饓Φ牡木W(wǎng)絡(luò)通信信鏈路分為為兩段。防防火墻內(nèi)外外計算機(jī)系系統(tǒng)間應(yīng)用用層的連接接，由兩個個代理服務(wù)務(wù)器之間的的連接來實實現(xiàn)，外部部計算機(jī)的的網(wǎng)絡(luò)鏈路路只能到達(dá)達(dá)代理服務(wù)務(wù)器，從而而起到隔離離防火墻內(nèi)內(nèi)外計算機(jī)機(jī)系統(tǒng)的作作用。75應(yīng)用代理防防火墻工作在應(yīng)用用層對所有規(guī)則則內(nèi)允許的的應(yīng)用程序序作中轉(zhuǎn)轉(zhuǎn)轉(zhuǎn)發(fā)犧牲了對應(yīng)應(yīng)用程序的的透明性76應(yīng)用代理防防火墻應(yīng)用代理防防火墻77應(yīng)用代理應(yīng)用代理工工作原理示示意緩沖文件應(yīng)用請求回復(fù)應(yīng)用請求回復(fù)78應(yīng)用代理防防火墻應(yīng)用代理服服務(wù)器的安安全性屏蔽內(nèi)網(wǎng)用用戶與外網(wǎng)網(wǎng)的直接通通信，提供供更嚴(yán)格的的檢查提供對協(xié)議議的控制，，拒絕所有有沒有配置置的連接提供用戶戶級控制制，可近近一步提提供身份份認(rèn)證等等信息79應(yīng)用代理理的優(yōu)缺缺點優(yōu)點：可以隱藏藏內(nèi)部網(wǎng)網(wǎng)絡(luò)的信信息；可以具有有強(qiáng)大的的日志審審核；可以實現(xiàn)現(xiàn)內(nèi)容的的過濾；；缺點：價格高速度慢失效時造造成網(wǎng)絡(luò)絡(luò)的癱瘓瘓80電路級代代理電路級代代理因此此可以同同時為不不同的服服務(wù)，如如WEB、FTP、TELNET提供代理理服即SOCKS代理，它它工作在在傳輸層層。81應(yīng)用代理理應(yīng)用代理理工作在在應(yīng)用層層，對于于不同的的服務(wù)，，必須使使用不同同的代理理軟件。。應(yīng)用代理理內(nèi)部主機(jī)機(jī)WEB服務(wù)FTP服務(wù)WEBFTP82電路級代代理優(yōu)缺缺點優(yōu)點：隱藏內(nèi)部部網(wǎng)絡(luò)信信息配置簡單單，無需需為每個個應(yīng)用程程序配置置一個代代理缺點：多數(shù)電路路級網(wǎng)關(guān)關(guān)都是基基于TCP端口配置置，不對對數(shù)據(jù)包包檢測，，可能會會有漏洞洞83NAT防火墻NAT定義NAT（NetworkAddressTransla-tion）網(wǎng)絡(luò)地地址翻譯譯最初設(shè)設(shè)計目的的是用來來增加私私有組織織的可用用地址空空間和解解決將現(xiàn)現(xiàn)有的私私有TCP/IP網(wǎng)絡(luò)連接接到網(wǎng)上上的IP地址編號號問題84NAT防火墻NAT提供的功功能內(nèi)部主機(jī)機(jī)地址隱隱藏網(wǎng)絡(luò)負(fù)載載均衡網(wǎng)絡(luò)地址址交疊85NAT（網(wǎng)絡(luò)地地址翻譯譯）根據(jù)內(nèi)部部IP地址和外外部IP地址的數(shù)數(shù)量對應(yīng)應(yīng)關(guān)系，，NAT分為：基本NAT：簡單的的地址翻翻譯M-1，多個內(nèi)內(nèi)部網(wǎng)地地址翻譯譯到1個IP地址M-N，多個內(nèi)內(nèi)部網(wǎng)地地址翻譯譯到N個IP地址池86NAT的優(yōu)缺點點優(yōu)點管理方便便并且節(jié)節(jié)約IP地址資源源。隱藏內(nèi)部部IP地址信息息。僅當(dāng)當(dāng)向某個個外部地地址發(fā)送送過出站站包時，，NAT才允許來來自該地地址的流流量入站站。缺點外部應(yīng)用用程序卻卻不能方方便地與與NAT網(wǎng)關(guān)后面面的應(yīng)用用程序聯(lián)聯(lián)系。87防火墻布布置簡單包過過濾路由由雙宿/多宿主機(jī)機(jī)模式屏蔽主機(jī)機(jī)模式屏蔽子網(wǎng)網(wǎng)模式88包過濾路路由內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過濾路路由器優(yōu)點：配置簡單單缺點：日志沒有有或很少少，難以以判斷是是否被入入侵規(guī)則表會會隨著應(yīng)應(yīng)用變得得很復(fù)雜雜單一的部部件保護(hù)護(hù)，脆弱弱89雙宿/多宿主機(jī)機(jī)模式堡壘主機(jī)機(jī)：關(guān)鍵鍵位置上上用于安安全防御御的某個個系統(tǒng)，，攻擊者者攻擊網(wǎng)網(wǎng)絡(luò)必須須先行攻攻擊的主主機(jī)。雙宿/多宿主機(jī)機(jī)防火墻墻又稱為為雙宿/多宿網(wǎng)關(guān)關(guān)防火墻墻，它是是一種擁擁有兩個個或多個個連接到到不同網(wǎng)網(wǎng)絡(luò)上的的網(wǎng)絡(luò)接接口的防防火墻，，通常用用一臺裝裝有兩塊塊或多塊塊網(wǎng)卡的的堡壘主主機(jī)做防防火墻，，兩塊或或多塊網(wǎng)網(wǎng)卡各自自與受保保護(hù)網(wǎng)和和外部網(wǎng)網(wǎng)相連90雙宿/多宿主機(jī)機(jī)模式內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)應(yīng)用代理理服務(wù)器器完成：：對外屏蔽蔽內(nèi)網(wǎng)信信息設(shè)置訪問問控制對應(yīng)用層層數(shù)據(jù)嚴(yán)嚴(yán)格檢查查91優(yōu)點：配置簡單單檢查內(nèi)容容更細(xì)致致屏蔽了內(nèi)內(nèi)網(wǎng)結(jié)構(gòu)構(gòu)缺點：應(yīng)用代理理本身的的安全性性92屏蔽主機(jī)機(jī)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過濾路由堡壘主機(jī)兩道屏障障：網(wǎng)絡(luò)絡(luò)層的包包過濾；；應(yīng)用層層代理服服務(wù)注：與雙雙宿主機(jī)機(jī)網(wǎng)關(guān)不不同，這這里的應(yīng)應(yīng)用網(wǎng)關(guān)關(guān)只有一一塊網(wǎng)卡卡。Web服務(wù)器93屏蔽主機(jī)機(jī)優(yōu)點：雙重保護(hù)護(hù)，安全全性更高高。實施策略略：針對不同同的服務(wù)務(wù)，選擇擇其中的的一種或或兩種保保護(hù)措施施。94屏蔽子網(wǎng)網(wǎng)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)外部路由器內(nèi)部路由器周邊網(wǎng)絡(luò)（DMZ）95屏蔽子網(wǎng)網(wǎng)1）周邊網(wǎng)網(wǎng)絡(luò)：非非軍事化化區(qū)、停停火區(qū)（（DMZ）周邊網(wǎng)絡(luò)是另另一個安全層層,是在外部網(wǎng)絡(luò)絡(luò)與內(nèi)部網(wǎng)絡(luò)絡(luò)之間的附加加的網(wǎng)絡(luò)。對于周邊網(wǎng)絡(luò)絡(luò)，如果某人人侵入周邊網(wǎng)網(wǎng)上的堡壘主主機(jī)，他僅能能探聽到周邊邊網(wǎng)上的通信信。2）內(nèi)部路由器器（阻塞路由由器）：保護(hù)護(hù)內(nèi)部的網(wǎng)絡(luò)絡(luò)使之免受Internet和周邊子網(wǎng)的的侵犯。它為為用戶的防火火墻執(zhí)行大部部分的數(shù)據(jù)包包過濾工作96屏蔽子網(wǎng)3）外部路由器器：在理論上，外外部路由器保保護(hù)周邊網(wǎng)和和內(nèi)部網(wǎng)使之之免受來自Internet的侵犯。實際際上，外部路路由器傾向于于允許幾乎任任何東西從周周邊網(wǎng)出站，，并且它們通通常只執(zhí)行非非常少的數(shù)據(jù)據(jù)包過濾。外部路由器安安全任務(wù)之一一是：阻止從從Internet上偽造源地址址進(jìn)來的任何何數(shù)據(jù)包。97優(yōu)點安全性較高可用性較好缺點配置復(fù)雜成本高98PIX994種管理訪問模模式非特權(quán)模式PIX防火墻開機(jī)自自檢后，就是是處于這種模模式。系統(tǒng)顯顯示為pixfirewall>特權(quán)模式輸入enable進(jìn)入特權(quán)模式式，可以改變變當(dāng)前配置。。顯示為pixfirewall#配置模式輸入configureterminal進(jìn)入此模式，，絕大部分的的系統(tǒng)配置都都在這里進(jìn)行行。顯示為pixfirewall(config)#監(jiān)視模式PIX防火墻在開機(jī)機(jī)或重啟過程程中，按住Escape鍵或發(fā)送一個個"Break"字符，進(jìn)入監(jiān)監(jiān)視模式。這這里可以更新新*作系統(tǒng)映映象和口令恢恢復(fù)。顯示為為monitor>1006個基本命令nameifinterfaceipaddressnatglobalroute101nameif配置防火墻接接口的名字，，并指定安全全級別Pix525(config)#nameifethernet0outsidesecurity0Pix525(config)#nameifethernet1insidesecurity100Pix525(config)#nameifethernet2dmzsecurity50在缺省配置中中，以太網(wǎng)0被命名為外部部接口（outside），安全級別別是0；以太網(wǎng)1被命名為內(nèi)部部接口（inside），安全級別別是100。安全級別取取值范圍為1～99，數(shù)字越大安安全級別越高高。102interface配置以太口參參數(shù)Pix525(config)#interfaceethernet0autoauto選項表明系統(tǒng)統(tǒng)自適應(yīng)網(wǎng)卡卡類型Pix525(config)#interfaceethernet1100full100full選項表示100Mbit/s以太網(wǎng)全雙工工通信Pix525(config)#interfaceethernet1100fullshutdownshutdown選項表示關(guān)閉閉這個接口，，若啟用接口口去掉shutdown103ipaddressPix525(config)#ipaddressoutside248Pix525(config)#ipaddressinside很明顯，Pix525防火墻在外網(wǎng)網(wǎng)的ip地址是2，內(nèi)網(wǎng)ip地址是104nat指定要進(jìn)行轉(zhuǎn)轉(zhuǎn)換的內(nèi)部地地址網(wǎng)絡(luò)地址翻譯譯（nat）作用是將內(nèi)內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)的的公有ip.Nat命令總是與global命令一起使用用，這是因為為nat命令可以指定定一臺主機(jī)或或一段范圍的的主機(jī)訪問外外網(wǎng)，訪問外外網(wǎng)時需要利利用global所指定的地址址池進(jìn)行對外外訪問。105nat命令配置語法法nat(if_name)nat_idlocal_ip[netmark]其中（if_name）表示內(nèi)網(wǎng)接接口名字，例例如inside。nat_id用來標(biāo)識全局局地址池，使使它與其相應(yīng)應(yīng)的global命令相匹配，，local_ip表示內(nèi)網(wǎng)被分分配的ip地址。例如表示內(nèi)網(wǎng)所有有主機(jī)可以對對外訪問。[netmark]表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩掩碼。106nat例子例1．Pix525(config)#nat(inside)100表示啟用nat,內(nèi)網(wǎng)的所有主主機(jī)都可以訪訪問外網(wǎng)，用用0可以代表例2．Pix525(config)#nat(inside)1表示只有這個網(wǎng)段內(nèi)的的主機(jī)可以訪訪問外網(wǎng)。107global指定外部地址址范圍global命令把內(nèi)網(wǎng)的的ip地址翻譯成外外網(wǎng)的ip地址或一段地地址范圍。global命令的配置語語法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中（if_name）表示外網(wǎng)接接口名字，例例如outside.。Nat_id用來標(biāo)識全局局地址池，使使它與其相應(yīng)應(yīng)的nat命令相匹配配，ip_address-ip_address表示翻譯后的的單個ip地址或一段ip地址范圍。[netmarkglobal_mask]表示全局ip地址的網(wǎng)絡(luò)掩掩碼。108global例子例1．Pix525(config)#global(outside)12-8表示內(nèi)網(wǎng)的主主機(jī)通過pix防火墻要訪問問外網(wǎng)時，pix防火墻將使用用2-8這段ip地址池為要訪訪問外網(wǎng)的主主機(jī)分配一個個全局ip地址。例2．Pix525(config)#global(outside)12表示內(nèi)網(wǎng)要訪訪問外網(wǎng)時，，pix防火墻將為訪訪問外網(wǎng)的所所有主機(jī)統(tǒng)一一使用2這個單一ip地址。例3.Pix525(config)#noglobal(outside)2表示刪除這個個全局表項。。109route設(shè)置指向內(nèi)網(wǎng)網(wǎng)和外網(wǎng)的靜靜態(tài)路由（route）定義一條條靜態(tài)路由。。route命令配置語法法：route(if_name)00gateway_ip[metric]其中（if_name）表示接口名名字，例如inside，outside。gateway_ip表示網(wǎng)關(guān)路由由器的ip地址。[metric]表示到gateway_ip的跳數(shù)。通常常缺省是1。110例1．Pix525(config)#routeoutside00681表示一條指向向邊界路由器器（ip地址68）的缺省路由由。例2．Pix525(config)#routeinside1創(chuàng)建了一條到到網(wǎng)絡(luò)的靜態(tài)路由，，靜態(tài)路由的的下一條路由由器ip地址是Pix525(config)#routeinside1111static配置靜態(tài)IP地址翻譯如果從外網(wǎng)發(fā)發(fā)起一個會話話，會話的目目的地址是一一個內(nèi)網(wǎng)的ip地址，static就把內(nèi)部地址址翻譯成一個個指定的全局局地址，允許許這個會話建建立。static(internal_if_name，external_if_name)outside_ip_addressinside_ip_address其中internal_if_name表示內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)接接口，，安全全級別別較高高，如如inside。external_if_name為外外部部網(wǎng)網(wǎng)絡(luò)絡(luò)接接口口，，安安全全級級別別較較低低，，如如outside等。。outside_ip_address為正正在在訪訪問問的的較較低低安安全全級級別別的的接接口口上上的的ip地址址。。inside_ip_address為內(nèi)部部網(wǎng)絡(luò)絡(luò)的本本地ip地址。。112conduit管道命命令前面講講過使使用static命令可可以在在一個個本地地ip地址和和一個個全局局ip地址之之間創(chuàng)創(chuàng)建了了一個個靜態(tài)態(tài)映射射，但但從外外部到到內(nèi)部部接口口的連連接仍仍然會會被pix防火墻墻的自自適應(yīng)應(yīng)安全全算法法(ASA)阻擋。。conduit命令用用來允允許數(shù)數(shù)據(jù)流流從具具有較較低安安全級級別的的接口口流向向具有有較高高安全全級別別的接接口，，例如如允許許從外外部到到DMZ或內(nèi)部部接口口的入入方向向的會會話。。對于于向內(nèi)內(nèi)部接接口的的連接接，static和conduit命令將將一起起使用用，來來指定定會話話的建建立。。113conduit命令配配置語語法114115116配置fixup協(xié)議fixup命令作作用是是啟用用，禁禁止，，改變變一個個服務(wù)務(wù)或協(xié)協(xié)議通通過pix防火墻墻，由由fixup命令指定的的端口是pix防火墻要偵偵聽的服務(wù)務(wù)。例1．Pix525(config)#fixupprotocolftp21啟用ftp協(xié)議，并指指定ftp的端口號為為21例2．Pix525(config)#fixupprotocolhttp80Pix525(config)#fixupprotocolhttp1080為http協(xié)議指定80和1080兩個端口。。例3．Pix525(config)#nofixupprotocolsmtp80禁用smtp協(xié)議。117telnet從內(nèi)網(wǎng)telnet：telnet55inside從外網(wǎng)需要要使用IPSECVPN118防火墻的不不足無法發(fā)現(xiàn)和和阻止對合合法服務(wù)的的攻擊；無法發(fā)現(xiàn)和和阻止源自自其它入口口的攻擊；；無法發(fā)現(xiàn)和和阻止來自自內(nèi)部網(wǎng)絡(luò)絡(luò)的攻擊；；無法發(fā)現(xiàn)和和阻止來自自特洛伊木木馬的威脅脅；119繞過防火墻墻的攻擊穿過防火墻墻的攻擊行行為IIS4.0和IIS5.0在Unicode字符解碼的的實現(xiàn)中存存在一個安安全漏洞，，導(dǎo)致用戶戶可以遠(yuǎn)程程通過IIS執(zhí)行任意命命令。當(dāng)IIS打開文件時時，如果該該文件名包包含unicode字符，它會會對其進(jìn)行行解碼，如如果用戶提提供一些特特殊的編碼碼，將導(dǎo)致致IIS錯誤的打開開或者執(zhí)行行某些web根目錄以外外的文件。。120據(jù)統(tǒng)計80%的成功攻擊擊來自于防防火墻內(nèi)部部！121入侵檢測技技術(shù)通過對計算算機(jī)網(wǎng)絡(luò)或或計算機(jī)系系統(tǒng)中若干干關(guān)鍵點信信息的收集集和分析，，從中發(fā)現(xiàn)現(xiàn)網(wǎng)絡(luò)或系系統(tǒng)中是否否有違反安安全策略行行為和被攻攻擊跡象的的一種安全全技術(shù)。122入侵檢測的的作用檢測防護(hù)部部分阻止不不了的入侵侵檢測入侵的的前兆入侵事件的的歸檔網(wǎng)絡(luò)受威脅脅程度的評評估幫助從入侵侵事件中恢恢復(fù)123防火墻與入入侵檢測防火墻屬于信息保保障的保護(hù)護(hù)環(huán)節(jié)門禁系統(tǒng)入侵檢測屬于信息保保障的檢測測環(huán)節(jié)監(jiān)控系統(tǒng)124入檢測檢測測歷史入侵檢測的的發(fā)源1980，JamesAnderson提出入侵檢檢測的設(shè)想想1987，，DorothyDenning提出入侵檢檢測系統(tǒng)抽抽象模型主機(jī)入侵檢檢測1988，出現(xiàn)一批批基于主機(jī)機(jī)審計信息息的入侵檢檢測系統(tǒng)網(wǎng)絡(luò)入侵檢檢測1990，開始出現(xiàn)現(xiàn)基于網(wǎng)絡(luò)絡(luò)數(shù)據(jù)的入入侵檢測系系統(tǒng)入侵檢測的新新技術(shù)與新方方法致力于提高入入侵檢測系統(tǒng)統(tǒng)的可伸縮性性、可維護(hù)性性、容錯性。。一些新的思思想，如免疫疫、信息挖掘掘引入到入侵侵檢測領(lǐng)域125入侵檢測的核核心任務(wù)攻擊者進(jìn)行攻攻擊的時候會會留下痕跡，，這些痕跡和和系統(tǒng)正常運(yùn)運(yùn)行的時候產(chǎn)產(chǎn)生的數(shù)據(jù)混混在一起。入入侵檢測的任任務(wù)就是從混混合的數(shù)據(jù)中中找出入侵的的痕跡并作出出響應(yīng)。126通用入侵檢測測框架CIDF體系結(jié)構(gòu)：闡闡述了一個標(biāo)標(biāo)準(zhǔn)的IDS的通用模型組件通信：定定義了IDS組件之間進(jìn)行行通信的標(biāo)準(zhǔn)準(zhǔn)協(xié)議語言規(guī)范：定定義了一個用用來描述各種種檢測信息的的標(biāo)準(zhǔn)語言編程接口：提提供了一整套套標(biāo)準(zhǔn)的應(yīng)用用程序接口127CIDF體系結(jié)構(gòu)128CIDF組件事件產(chǎn)生器（（Eventgenerators）事件分析器（（Eventanalyzers）事件數(shù)據(jù)庫（（Eventdatabases）響應(yīng)應(yīng)單單元元（（Responseunits）129事件件產(chǎn)產(chǎn)生生器器數(shù)據(jù)據(jù)獲獲取取主機(jī)機(jī)入入侵侵檢檢測測：：系系統(tǒng)統(tǒng)審審計計記記錄錄，，應(yīng)應(yīng)用用程程序序日日志志網(wǎng)絡(luò)絡(luò)入入侵侵檢檢測測：：網(wǎng)網(wǎng)絡(luò)絡(luò)流流量量復(fù)合合型型入入侵侵檢檢測測：：其其它它安安全全產(chǎn)產(chǎn)品品的的數(shù)數(shù)據(jù)據(jù)，，如如防防火火墻墻的的事事件件記記錄錄130事件分析析器數(shù)據(jù)分析析模式匹配配統(tǒng)計分析析131事件數(shù)據(jù)據(jù)庫數(shù)據(jù)管理理保存事件件信息，，包括正正常事件件和入侵侵事件用來存儲儲臨時處處理數(shù)據(jù)據(jù)，扮演演各個組組件之間間的數(shù)據(jù)據(jù)交換中中心132響應(yīng)單元元行為響應(yīng)應(yīng)主動響應(yīng)應(yīng)：自動動干涉入入侵，如如切斷懷懷疑可能能是攻擊擊行為的的TCP連接，，與防防火墻墻聯(lián)動動操作作阻塞塞后續(xù)續(xù)的數(shù)數(shù)據(jù)包包，甚甚至向向被懷懷疑是是攻擊擊來源源的主主機(jī)發(fā)發(fā)動反反擊被動響響應(yīng)：：僅僅僅啟動動告警警機(jī)制制，向向管理理員提提供信信息，，由管管理員員采取取相應(yīng)應(yīng)行動動133信息收收集技技術(shù)系統(tǒng)日日志文文件日志文文件中中記錄錄了各各種行行為類類型，，每種種類型型又包包含不不同的的信息息，例例如記記錄““用戶戶活動動”類類型的的日志志，就就包含含登錄錄、用用戶ID改變、、用戶戶對文文件的的訪問問、授授權(quán)和和認(rèn)證證信息息等方方面的的內(nèi)容容以用戶戶活動動為例例，不不正常常的或或不期期望的的行為為就是是重復(fù)復(fù)登錄錄失敗敗、登登錄到到不期期望的的位置置以及及非授授權(quán)的的訪問問企圖圖等等等。134信息收收集技技術(shù)網(wǎng)絡(luò)流流量遠(yuǎn)程的的網(wǎng)絡(luò)絡(luò)攻擊擊伴隨隨著攻攻擊數(shù)數(shù)據(jù)的的發(fā)送送，比比如掃掃描、、口令令攻擊擊、遠(yuǎn)遠(yuǎn)程的的緩沖沖區(qū)溢溢出、、腳本本攻擊擊、假假消息息攻擊擊等。。另外一一些攻攻擊可可能使使網(wǎng)絡(luò)絡(luò)流量量產(chǎn)生生異常常，比比如特特洛伊伊木馬馬、服服務(wù)拒拒絕等等等。。135信息收收集技技術(shù)系統(tǒng)目目錄和和文件件的異異常變變化入侵者者經(jīng)常常替換換、修修改和和破壞壞他們們獲得得訪問問權(quán)的的系統(tǒng)統(tǒng)上的的文件件，同同時為為了隱隱藏系系統(tǒng)中中他們們的表表現(xiàn)及及活動動痕跡跡，都都會盡盡力去去替換換系統(tǒng)統(tǒng)程序序或修修改系系統(tǒng)日日志。。目錄和和文件件中的的不期期望的的改變變（包包括修修改、、創(chuàng)建建和刪刪除）），特特別是是那些些正常常情況況下限限制訪訪問的的，很很可能能就是是一種種入侵侵產(chǎn)生生的指指示和和信號號。136信息收收集技技術(shù)程序執(zhí)執(zhí)行中中的異異常行行為針對程程序漏漏洞的的攻擊擊，常常導(dǎo)致致程序序產(chǎn)生生異常常的行行為，，如發(fā)發(fā)生緩緩沖區(qū)區(qū)溢出出，進(jìn)進(jìn)行權(quán)權(quán)限提提升等等。137信息分分析技技術(shù)信息分分析技技術(shù)的的技術(shù)術(shù)指標(biāo)標(biāo)誤報率率漏報率率常用的的信息息分析析技術(shù)術(shù)包括括模式匹匹配（（基于于知識識的檢檢測））統(tǒng)計分析（（基于行為為的檢測））138模式匹配過程：監(jiān)控控特征提取匹配判定139模式匹配的的特點前提：所有的入侵侵行為都有有可被檢測測到的特征征特點：系統(tǒng)負(fù)擔(dān)小小準(zhǔn)確度高不能檢測未未知的入侵侵140統(tǒng)計分析過程：監(jiān)控控量化比較較判判定修正141統(tǒng)計分析的的特點前提入侵是異常?；顒拥淖幼蛹攸c：測系統(tǒng)能針針對用戶行行為的改變變進(jìn)行自我我調(diào)整和優(yōu)優(yōu)化能檢測到未未知的入侵侵和更為復(fù)復(fù)雜的入侵侵對系統(tǒng)資源源消耗大系統(tǒng)誤報相相對比較高高，且不能能適應(yīng)用戶戶正常行為為的突然改改變。142入侵檢測部部署目標(biāo)：檢測測整個網(wǎng)絡(luò)絡(luò)信息143共享網(wǎng)絡(luò)的的入侵檢測測部署IDSSensorConsoleHUBMonitoredServers144交換網(wǎng)絡(luò)的的入侵檢測測部署IDSSensorConsole通過端口鏡鏡像實現(xiàn)（SPAN/PortMonitor）SwitchMonitoredServers145分段網(wǎng)絡(luò)的的部署在一個分段段的網(wǎng)絡(luò)中中，應(yīng)保證證IDS的探測器可可以監(jiān)聽到到所有網(wǎng)絡(luò)絡(luò)數(shù)據(jù)IDSSensorConsoleIDSSensorSwitchMonitoredServersMonitoredServersRouter146發(fā)展趨勢分析技術(shù)的的改進(jìn)內(nèi)容恢復(fù)和和網(wǎng)絡(luò)審計計功能的引引入集成網(wǎng)絡(luò)分分析和管理理功能安全性和易易用性的提提高改進(jìn)對大數(shù)數(shù)據(jù)量網(wǎng)絡(luò)絡(luò)的處理方方法防火墻聯(lián)動動功能入侵防護(hù)系系統(tǒng)（IPS）147IPS148TCP/IP協(xié)議棧對應(yīng)應(yīng)的VPN協(xié)議149VPN技術(shù)及應(yīng)用用簡介-IPSECIPSEC協(xié)議簡介（（RFC2401－2409等）IPSec（網(wǎng)絡(luò)安全全協(xié)議）協(xié)協(xié)議是一個個協(xié)議集而而不是一個個單個的協(xié)協(xié)議；IPSec協(xié)議給出了了應(yīng)用于IP層上網(wǎng)絡(luò)絡(luò)數(shù)據(jù)安安全的一一整套體體系結(jié)構(gòu)構(gòu)；自1995年IPSec的研究工工作開始始以來，，IETF組織已經(jīng)經(jīng)積累了了大量的的標(biāo)準(zhǔn)文文件集（（RFC）。150VPN技術(shù)及應(yīng)用簡簡介-IPSECIPSec協(xié)議的組成IPSec協(xié)議包括AH協(xié)議、ESP協(xié)議、密鑰管管理協(xié)議（IKE協(xié)議）和用于于網(wǎng)絡(luò)驗證及及加密的一些些算法等。IPSec規(guī)定了如何在在對等層之間間選擇安全協(xié)協(xié)議、確定安安全算法和密密鑰交換，向向上提供了訪訪問控制、數(shù)數(shù)據(jù)源驗證、、數(shù)據(jù)加密等等網(wǎng)絡(luò)安全服服務(wù)。151IPSec基本原理理對報文進(jìn)行安安全封裝后再再在不可信賴賴網(wǎng)絡(luò)上傳輸輸并檢查和解解除接收到的的報文的安全全封裝IPSEC隧道報文封裝報文解封AB152VPN技術(shù)及應(yīng)用簡簡介-IPSECIPSec認(rèn)證－AH協(xié)議其使用的包頭頭號放在標(biāo)準(zhǔn)準(zhǔn)的IPv4和IPv6包頭和下一個個高層協(xié)議幀幀（如TCP、UDP、ICMP、ESP等）之間；國際IANA機(jī)構(gòu)分配給AH的協(xié)議號為51。IPv4包頭AH包頭高層協(xié)議AH協(xié)議提供數(shù)據(jù)據(jù)的認(rèn)證服務(wù)務(wù)；保證數(shù)據(jù)據(jù)在傳輸過程程中沒有被改改變或破壞，，數(shù)據(jù)的順序序也沒有很大大變化。153VPN技術(shù)及應(yīng)用簡簡介-IPSECIPSec加密－ESP協(xié)議其使用的包頭頭號放在標(biāo)準(zhǔn)準(zhǔn)的IPv4和IPv6包頭和下一個個高層協(xié)議幀幀（如TCP、UDP、ICMP等）之間。國際IANA機(jī)構(gòu)分配給ESP的協(xié)議號為50。IPv4包頭ESP包頭高層協(xié)議ESP協(xié)議為IP數(shù)據(jù)包提供機(jī)機(jī)密性、數(shù)據(jù)據(jù)源驗證、抗抗重播以及數(shù)數(shù)據(jù)完整性等等安全服務(wù)。。154安全聯(lián)盟（SA）安全聯(lián)盟簡稱稱SA，是構(gòu)成IPSec的基礎(chǔ)。SA是兩個通信實實體經(jīng)協(xié)商建建立起來的一一種協(xié)定。SA是單向的，雙雙向的通信需需要兩個SA。主機(jī)A主機(jī)BSA（out）SA（in）SA（in）SA（out）共享相同的加加密參數(shù)共享相同的加加密參數(shù)155安全聯(lián)盟（SA）SA是安全策略通通常用一個三三元組唯一的的表示：<SPI，IP目的地址，安安全協(xié)議標(biāo)識識符>SPI：安全參數(shù)索索引(SecurityParametersIndex)，說明用SA的IP頭類型，它可可以包含認(rèn)證證算法、加密密算法、用于于認(rèn)證加密的的密鑰以及密密鑰的生存期期；IP目的地址：指指定輸出處理理的目的IP地址，或輸入入處理的源IP地址；安全協(xié)議標(biāo)識識符：指明使使用的協(xié)議是是AH還是ESP或者兩者同同時使用。156安全關(guān)聯(lián)數(shù)據(jù)據(jù)庫SADSAD存放著和安全全實體相關(guān)的的所有SA，每個SA由三元組索引引。一個SAD條目包含下列列域：序列號計數(shù)器器：32位整數(shù)，用于于生成AH或ESP頭中的序列號號；序列號溢出標(biāo)標(biāo)志：標(biāo)識是是否對序列號號計數(shù)器的溢溢出進(jìn)行審核核；抗重發(fā)窗口：：使用一個32位計數(shù)器和位位圖確定一個個輸入的AH或ESP數(shù)據(jù)包是否是是重發(fā)包；IPSec協(xié)議操作模式式：傳輸或隧隧道；AH的認(rèn)證算法和和所需密鑰；；ESP的認(rèn)證算法和和所需密鑰；；ESP加密算法，密密鑰，初始向向量（IV）和IV模式；路徑最大傳輸輸單元；進(jìn)出標(biāo)志；SA生存期狀態(tài)。。157安全策略數(shù)據(jù)據(jù)庫SPDSPD決定了對數(shù)據(jù)據(jù)包提供的安安全服務(wù)，所所有IPSec實施方案的策策略都保存在在該數(shù)據(jù)庫中中。IP包的處理過程程中，系統(tǒng)要要查閱SPD，每一個數(shù)據(jù)據(jù)包，都有三三種可能的選選擇：丟棄、、繞過IPSec或應(yīng)用IPSec:丟棄：根本不不允許數(shù)據(jù)包包離開主機(jī)穿穿過安全網(wǎng)關(guān)關(guān)；繞過：允許數(shù)數(shù)據(jù)包通過，，在傳輸中不不使用IPSec進(jìn)行保護(hù)；應(yīng)用：在傳輸輸中需要IPSec保護(hù)數(shù)據(jù)包，，對于這樣的的傳輸SPD必須規(guī)定提供供的安全服務(wù)務(wù)、所使用的的協(xié)議和算法法等等。158IPSec對數(shù)據(jù)包的處處理TCP層產(chǎn)生的或者需要轉(zhuǎn)發(fā)的數(shù)據(jù)包安全關(guān)聯(lián)？處理策略？查詢SPD丟棄繞過IPSec應(yīng)用IPSec，查詢SADSA不存在或SA無效進(jìn)行IPSec處理添加IPSec頭SA有效添加IP頭，送到IP層發(fā)送隊列返回丟棄數(shù)據(jù)包，記錄出錯信息

協(xié)商成功？啟動IKE協(xié)商否是159SA的管理SA管理的兩大任任務(wù)創(chuàng)建先協(xié)商SA參數(shù)，再用SA更新SADB刪除SA管理方式手工進(jìn)行通過Internet密鑰交換協(xié)議議來完成，如如IKE160IPSec兩種安全機(jī)制制IPSec提供了兩種安安全機(jī)制：認(rèn)認(rèn)證和加密。。認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接接收方能夠確確認(rèn)數(shù)據(jù)發(fā)送送方的真實身身份以及數(shù)據(jù)據(jù)在傳輸過程程中是否遭篡篡改；加密機(jī)制通過過對數(shù)據(jù)進(jìn)行行編碼來保證證數(shù)據(jù)的機(jī)密密性，以防數(shù)數(shù)據(jù)在傳輸過過程中被竊聽聽。AH定義了認(rèn)證的的應(yīng)用方法，，提供數(shù)據(jù)源源認(rèn)證和完整整性保證；ESP定義了加密和和可選認(rèn)證的的應(yīng)用方法，，提供可靠性性保證。IKE的作用是協(xié)助助進(jìn)行安全管管理，它在IPSec進(jìn)行處理過程程中對身份進(jìn)進(jìn)行鑒別，同同時進(jìn)行安全全策略的協(xié)商商和處理會話話密鑰的交換換工作。161IP認(rèn)證包頭AHAH協(xié)議提供無連連接的完整性性、數(shù)據(jù)源認(rèn)認(rèn)證和抗重發(fā)發(fā)保護(hù)服務(wù)，，但不提供保保密性服務(wù)。。它能保護(hù)通通信免受篡改改，但不能防防止竊聽，適適用于傳輸非非機(jī)密數(shù)據(jù)。。AH在每一個數(shù)據(jù)據(jù)包上添加一一個身份驗證證包頭。

IP頭IPSecAH頭傳輸層頭（TCP/UDP）數(shù)據(jù)

下一個包頭長長度保保留安全全參數(shù)索引(SPI)序列號認(rèn)認(rèn)證數(shù)據(jù)162AH包頭字字段下一個個包頭頭(NextHeader，8位)：標(biāo)識識緊跟跟AH頭后面面使用用IP協(xié)議號號的包包頭；；載荷長長度(PayloadLen，8位)：AH包頭長長度；；保留（Reserved，16位）：：為將來來的應(yīng)應(yīng)用保保留，（目前前為0）；安全參參數(shù)索索引(SPI，32位)：與目目的IP地址一同標(biāo)標(biāo)識SA；序列號號(SequenceNumberField，32位)：從1開始的的32位單增增序列列號，，不允允許重重復(fù)，，唯一一地標(biāo)標(biāo)識每每一個個發(fā)送送的數(shù)數(shù)據(jù)包包，為為SA提供反反重發(fā)發(fā)保護(hù)護(hù)。認(rèn)證數(shù)數(shù)據(jù)(AuthenticationData，長度度可變變)：包含含完整整性檢檢查和和。163VPN技術(shù)及及應(yīng)用用簡介介-IPSEC通道模模式的的AH報文164IP封裝安安全負(fù)負(fù)載ESPESP為IP包提供供完整整性性檢檢查查、、認(rèn)認(rèn)證證和和加加密密。它它使使用用HMAC-MD5或HMAC-SHA-1算法法對對IP進(jìn)行行認(rèn)認(rèn)證證。。為為了了保保證證各各種種IPSec之間間實實現(xiàn)現(xiàn)互互操操作作性性，，目目前前ESP必須提供供對56位DES算法的支支持。ESP可以單獨(dú)獨(dú)使用，，也可以以和AH結(jié)合使用用。

安全參數(shù)索引序列號

（SPI）IP頭I